文章目录
3.1 公司网络设计
3.1 网络拓扑结构
- 使用混合拓扑结构
3.2 网络配置
3.2.1 VLAN划分
-
通过虚拟局域网(Virtual LAN),可以把一个较大的局域网分割成一些较小的、与地理位置无关的逻辑上的VLAN,每个VLAN都是一个较小的广播域。
-
VLAN划分的作用
- 第一是更好的网络性能:对于大型网络,现在常用的Windows NetBEUI是广播协议,当网络规模很大时,网上的广播信息会很多,会使网络性能恶化,甚至形成广播风暴,引起网络堵塞。可以通过划分很多虚拟局域网而减少整个网络范围内广播包的传输,因为广播信息是不会跨过VLAN的,可以把广播限制在各个虚拟网的范围内,用术语讲就是缩小了广播域,提高了网络的传输效率,从而提高网络性能。
- 第二是更高的安全性:因为各虚拟网之间不能直接进行通讯,而必须通过路由器转发,为高级的安全控制提供了可能,增强了网络的安全性。在大规模的网络,比如说大的集团公司,有财务部、采购部和客户部等,它们之间的数据是保密的,相互之间只能提供接口数据,其它数据是保密的。我们可以通过划分虚拟局域网对不同部门进行隔离。
- 第三是更优的组织结构:同一部门的人员分散在不同的物理地点,比如集团公司的财务部在各子公司均有分部,但都属于财务部管理,虽然这些数据都是要保密的,但需统一结算时,就可以跨地域(也就是跨交换机)将其设在同一虚拟局域网之中,实现数据安全和共享。采用虚拟局域网有如下优势:抑制网络上的广播风暴;增加网络的安全性;集中化的管理控制。
-
使用VLAN的优势:
- 控制广播风暴:一个VLAN就是一个逻辑广播域,通过对VLAN的创建,隔离了广播,缩小了广播范围,可以控制广播风暴的产生。
- 提高网络整体安全性 :通过路由访问列表和MAC地址分配等VLAN划分原则,可以控制用户访问权限和逻辑网段大小,将不同用户群划分在不同VLAN,从而提高交换式网络的整体性能和安全性。 例如将重要部门与其它部门通过VLAN隔离,即使同在一个网络也可以保证他们不能互相通讯,确保重要部门的数据安全;也可以按照不同的部门、人员,位置划分VLAN,分别赋给不同的权限来进行管理。
- 网络管理简单、直观 :对于交换式以太网,如果对某些用户重新进行网段分配,需要网络管理员对网络系统的物理结构重新进行调整,甚至需要追加网络设备,增大网络管理的工作量。而对于采用VLAN技术的网络来说,一个VLAN可以根据部门职能、对象组或者应用将不同地理位置的网络用户划分为一个逻辑网段。在不改动网络物理连接的情况下可以任意地将工作站在工作组或子网之间移动。利用虚拟网络技术,大大减轻了网络管理和维护工作的负担,降低了网络维护费用。在一个交换网络中,VLAN提供了网段和机构的弹性组合机制。
-
公司有5个教育部门和5个工作部门,每个部门之间使用一个VLAN号,分别分配给主网和次网的VLAN10到VLAN50,一共10个VLAN。依次进行网段分配,分别是10.1.1.0、10.1.2.0、10.2.3.0、10.2.4.0、10.3.5.0,以及11.1.1.0、11.1.2.0、11.1.3.0、11.1.4.0、11.1.5.0,一共10个网段,子网掩码均是255.255.255.0。VLAN划分如表所示:
-
主网VLAN划分
部门 | VLAN号 | IP网段 | IP地址段 |
---|---|---|---|
外语培训 | VLAN10 | 10.1.1.0/24 | 10.1.1.1/24 |
中小学基础教育 | VLAN20 | 10.1.2.0/24 | 10.1.2.1/24 |
学前教育 | VLAN30 | 10.1.3.0/24 | 10.1.3.1/24 |
在线教育 | VLAN40 | 10.1.4.0/24 | 10.1.4.1/24 |
IT 职业人才培养 | VLAN50 | 10.1.5.0/24 | 10.1.5.1/24 |
- 次网VLAN划分
部门 | VLAN号 | IP网段 | IP地址段 |
---|---|---|---|
办公室 | VLAN10 | 11.1.1.0/24 | 11.1.1.1/24 |
人事部 | VLAN20 | 11.1.2.0/24 | 11.1.2.1/24 |
财务部 | VLAN30 | 11.1.3.0/24 | 11.1.3.1/24 |
宣传部 | VLAN40 | 11.1.4.0/24 | 11.1.4.1/24 |
工程部 | VLAN50 | 11.1.5.0/24 | 11.1.5.1/24 |
3.2.2 IP地址划分
- 公司主网和次网的IP地址划分如图表所示:
- 公司主网IP地址划分
VLAN号 | IP网段 |
---|---|
VLAN10 | 10.1.1.0/24 |
VLAN20 | 10.1.2.0/24 |
VLAN30 | 10.1.3.0/24 |
VLAN40 | 10.1.4.0/24 |
VLAN50 | 10.1.5.0/24 |
- 公司次网IP地址划分
VLAN号 | IP网段 |
---|---|
VLAN10 | 11.1.1.0/24 |
VLAN20 | 11.1.2.0/24 |
VLAN30 | 11.1.3.0/24 |
VLAN40 | 11.1.4.0/24 |
VLAN50 | 11.1.5.0/24 |
- 使用DHCP动态分配IP地址(默认开启)
- 动态主机配置协议(Dynamic Host Configuration Protocol,DHCP),用于给主机动态分配IP地址,提供了即插即用的互联网机制,机制允许一台计算机自动加入新的网络和获取IP地址。
- DHCP是基于UDP的应用层协议。
3.2.3 路由器配置
-
配置路由表【路由表配置详情】
-
配置路由器
OSPF
R1 使用ospf
Router(config)#router ospf 10
Router(config-router)#network 192.168.1.0 0.0.0.3 area 10
Router(config-router)#network 192.168.1.4 0.0.0.3 area 10
Router(config-router)#network 192.168.1.8 0.0.0.3 area 10
Router(config-router)#network 192.168.1.12 0.0.0.3 area 10
Router(config-router)#do wr
Router(config-router)#exit
在SW11上使用 动态路由ospf
Switch(config)#router ospf 10
Switch(config-router)#network 192.168.1.0 0.0.0.3 area 10
Switch(config-router)#network 192.168.1.16 0.0.0.3 area 10
Switch(config-router)#network 192.168.1.20 0.0.0.3 area 10
Switch(config-router)#network 192.168.1.24 0.0.0.3 area 10
Switch(config-router)#do wr
Switch(config-router)#exit
Switch (config)#ip route 0.0.0.0 0.0.0.0 192.168.1.1 (设置一条静态默认路由)
SW33 上配置 DHCP 与 VLAN与ospf
Switch(config)#vlan 10
Switch(config-vlan)#vlan 20
Switch(config-vlan)#exit
Switch(config)#interface vlan 10
Switch(config-if)#ip address 192.168.10.254 255.255.255.0
Switch(config-if)#vrrp ip address 192.168.10.6
Switch(config-if)#vrrp priority 150
Switch(config-if)#exit
Switch(config)#interface vlan 20
Switch(config-if)#ip address 192.168.20.254 255.255.255.0
Switch(config-if)#vrrp ip address 192.168.10.6
Switch(config-if)#vrrp priority 150
Switch(config-if)#exit
Switch(config)#ip dhcp pool vlan10
Switch(dhcp-config)#network 192.168.10.0 255.255.255.0
Switch(dhcp-config)#dns-server 1.1.1.1
Switch(dhcp-config)#default-router 192.168.10.254
Switch(dhcp-config)#exit
Switch (config)#ip dhcp excluded-address 192.168.10.254
Switch(config)#ip dhcp pool vlan20
Switch(dhcp-config)#network 192.168.20.0 255.255.255.0
Switch(dhcp-config)#dns-server 2.2.2.2
Switch(dhcp-config)#default-router 192.168.20.254
Switch(dhcp-config)#exit
Switch (config)#ip dhcp excluded-address 192.168.20.254
Switch(config)#router ospf 10
Switch(config-router)#network 192.168.10.0 255.255.255.0 area 10
Switch(config-router)#network 192.168.20.0 255.255.255.0 area 10
Switch(config-router)#do wr
Switch(config-router)#exit
SW22 的RIP配置
Switch#conf t
Switch(config)#router rip
Switch(config-router)#version 2
Switch(config-router)#no auto
Switch(config-router)#network 192.168.12.0
Switch(config-router)#network 192.168.21.0
Switch(config-router)#network 192.168.23.0
Switch(config-router)#end
NAT
通过配置NAT,解决内外网通信和地址转化问题,还能有效的避免来自网络外部的攻击。下列代码是配置路由器R1的核心代码:
Switch(config)#access-list 1 permit any
Switch(config)#ip nat inside source list 1 interface g0/1 overload
Switch(config)#int g0/0
Switch(config-if)#ip nat inside
Switch(config-if)#exit
Switch(config)#int g0/1
Switch(config-if)#ip nat outside
Switch(config-if)#exit
在SW11 上配置ip地址
Switch(config)#ip routing
Switch(config)#interface loopback 1
Switch(config-if)# ip address 201.1.1.1 255.255.255.255
Switch(config-if)#exit
Switch(config)#interface rang fastEthernet 0/1-4
Switch(config-if-range)#no switchport
Switch(config-if-range)#exit
Switch(config)#interface FastEthernet0/1
Switch(config-if)#ip address 192.168.1.2 255.255.255.252
Switch(config-if)#exit
Switch(config)#interface loopback 1
Switch(config-if)# ip address 201.1.1.1 255.255.255.255
Switch(config-if)#exit
Switch(config)#interface FastEthernet0/2
Switch(config-if)#ip address 192.168.1.9 255.255.255.252
Switch(config-if)#exit
Switch(config)#interface FastEthernet0/3
Switch(config-if)#ip address 192.168.1.21 255.255.255.252
Switch(config-if)#exit
Switch(config)#interface FastEthernet0/4
Switch(config-if)#ip address 192.168.1.25 255.255.255.252
Switch(config-if)#exit
3.2.4 网络速率选择
公司网络速率的选择需要考虑以下几点:
- 公司使用网络人数
- 未来发展网络需要
- 公司所在地具有的宽带接入资源
- 宽带安装预算
- 本公司宽带选择:100-1000M,分配到下面的机器与路由速度由网管设置,一般不会超过20M的带宽的,也就是下载速度在3M以内
3.2.5 公司网络地址转换
- 网络地址转换(NAT),通过将专用网络地址转换为公用网络地址,从而对外隐藏内部管理的IP地址。使整个专用网只需要一个全球IP地址就可以与因特网联通。
- 在IP地址空间中,A、B、C三类地址中各有一部分地址,它们被称为私有地址(私网IP地址),其余的被称为公有地址(公网IP地址)
- A:10.0.0.0-10.255.255.255——相当于一个完整的A类网段
- B:172.16.0.0-172.31.255.255——相当于拿出了16条B类的网段
- C:192.168.0.0-192.168.255.255——相当于拿出了256条C类的网段
- 一般习惯将使用私网IP地址通信的网络称为私网(私网IP地址具有可复用性,但是必须保证私网内部的唯一性),使用公网IP地址通信的网络称为公网
- 静态NAT:通过配置在私网边界路由器上建立维护一张静态地址映射表。静态地址映射表反应的是公有IP地址和私有IP地址之间一一对应的关系
- 动态NAT:动态NAT是指将内部网络的私有IP地址转换为公用IP地址时,IP地址对是不确定的、随机的,所有被授权访问Internet的私有IP地址可随机转换为任何指定的合法IP地址。即只要指定哪些内部地址可以进行转换,以及用哪些合法地址作为外部地址时,就可以进行动态转换。
- NAT两大作用:
- 解决IPV4地址紧缺
- 隐藏网络内部结构起到安全的作用
- NAT配置
Router>en
Router#config t
Router(config)#int fa0/0
Router(config-if)#ip add 200.1.1.1 255.255.255.0
Router(config-if)#no shut
Router(config-if)#exit
Router(config)#int fa0/1
Router(config-if)#ip add 192.168.1.1 255.255.255.0
Router(config-if)#no shut
Router(config-if)#exit
Router(config)#int fa0/0
Router(config-if)#ip nat outside
//配置NAT外部接口
Router(config-if)#int fa0/1
Router(config-if)#ip nat inside
//配置NAT内部接口
Router(config-if)#exit
Router(config)#ip nat pool lin 200.1.1.3 200.1.1.4 netmask 255.255.255.0
//配置动态NAT地址池
Router(config)#access-list 1 permit 192.168.1.0 0.0.0.255
//定义一个标准的ACL,以允许哪些内部地址可以进行动态地址转换
Router(config)#ip nat inside source list 1 pool lin
//将ACL指定的内部局部地址与指定的NAT地址池进行关联,完成动态的NAT配置
Router(config)#end