{设备管理}锐捷设备校园网规划设计与设备搭建项目文档目录一、需求分析41.用户需求分析42.通信流量分析4二、网络结构与分层51.组网规范52.网络拓扑图53.Vlan和ip地址划分6三、网络设备选型71.6台接入交换机72.2台汇聚层交换机73.路由器选型,3台/接口84.防火墙85.服务器86.无线AP8四、网络搭建91.有线网络解决方案91)网络基本配置92)核心层网络设计(路由器)103)汇聚层网络设计144)接入层网络设计252.无线网络解决方案271)有线网络连接272)无线连接配置283)管理ip配置284)无线安全283.数据中心解决方案(服务器搭建)291)DHCP服务器292)WEB服务器313)FTP服务器324)DNS服务器335)Radius服务器34五、网络安全设计371.骨干网安全371)二层冗余及负载均衡372)三层冗余及负载均衡373)路由冗余(OSPF)384)ACL访问控制列表392.接入网安全421)802.1x422)DHCPsnooping443)Spanning-treeportfast443.出口安全451)防火墙基础配置452)防火墙NAT配置453)防火墙ip映射配置454)防火墙IPSec配置455)防火墙Qos配置45六、项目验收46七、项目总结47一、需求分析1.用户需求分析需求分析某集团公司规模不断扩大,需要新建一个分支机构(计划有4个部门,人数分别为6、20、40、10),小组作为该分支机构的信息管理团队,要利用现有设备为该分支机构搭建局域网基础设施,以便员工进入后,能马上利用网络开展工作。
从内网安全考虑,使用VLAN技术将各部门划分到不同的VLAN中;为了提高公司的业务能力和增强企业知名度,将公司的WEB网站以及FTP、Mail服务发布到互联网上。
设备要求根据公司现有设备规模,业务需要及发展范围使用的计算机、网络设备主要以H3C和CISCO 产品为主,本次试验采用锐捷设备搭建a)服务器需选择中高端产品。
b)要求服务器带有磁盘列阵(RIAD5)。
c)路由器和交换机为CISCO中档产品。
d)防火墙为硬件+软件结构。
e)网络布线主干采用光纤,五类双绞线到桌面(100M)。
业务需求公司主页WEB访问,外部人员查询公司信息,在线联系用户需求web访问,邮件,看新闻等等应用需求邮件服务,web服务,数据库,文件互发,查询资料,联系客户计算机平台需求部门个人计算机使用WINDOS7系统服务器购买专用的服务设备,使用windows的server系统提供服务网络需求从ISP那里申请了一段公网IP进行互联网访问搭建局域网方便互相访问2.通信流量分析二、网络结构与分层1.组网规范快速以太网(FastEthernet)是一类新型的局域网,其名称中的“快速”是指数据速率可以达到100Mbps,是标准以太网的数据速率的十倍。
快速以太网可以满足日益增长的网络数据流量速度需求。
100Mbps快速以太网标准分为:100BASE-TX、100BASE-FX、100BASE-T4三个子类。
快速以太网技术可以有效的保障用户在布线基础实施上的投资,它支持3、4、5类双绞线以及光纤的连接,能有效的利用现有的设施。
2.网络拓扑图图2-2企业网拓扑图3.Vlan和ip地址划分图2-3vlan/ip地址规划三、网络设备选型1.6台接入交换机2.2台汇聚层交换机3.路由器选型,3台/接口4.防火墙5.服务器Windows20086.无线AP四、网络搭建1.有线网络解决方案1)网络基本配置a)命名hostnameRUIJIE(config)#hostnameR1RUIJIE(config)#hostnameR2RUIJIE(config)#hostnameR3Switch(config)#hostnameL3-1Switch(config)#hostnameL3-2Switch(config)#hostnameL2-1Switch(config)#hostnameL2-2AP(config)#hostnamedwxz-apb)远程登录telnetR1(config)#linevty04//进入VTY端口R1(config-line)#passwordruijie//设置telnet密码R1(config-line)#login//允许telnet登录R1(config)#enablesecret0ruijie//设置特权模式密码为ruijie 图4-1-1-b路由器telnet登陆c)Tftp图4-1-1-c打开tftp服务器,获取ip地址R1#copystartup-configtftpAddressofremotehost[]?172.16.32.2Destinationfilename[]?2)核心层网络设计(路由器)a)端口ipR1(config)#interfaceFastEthernet0/0//进入接口0/0R1(config-if)#ipaddress172.16.1.13255.255.255.252//配置ip地址R1(config)#interfaceFastEthernet0/1R1(config-if)#ipaddress172.16.1.5255.255.255.252R1(config)#interfaceFastEthernet0/2R1(config-if)#ipaddress172.16.1.1255.255.255.252图4-1-2-a路由器R1端口ip配置图4-1-2-a路由器R2端口ip配置图4-1-2-a路由器R3端口ip配置R1(config)#interfaceloopback1//进入环回接口R1(config-if-Loopback1)#ipaddress172.16.0.1255.255.255.255//配置管理ip地址R1(config)#interfaceloopback1R1(config-if-Loopback1)#ipaddress172.16.0.1255.255.255.255R1(config)#interfaceloopback1R1(config-if-Loopback1)#ipaddress172.16.0.1255.255.255.255图4-1-2-bR1配置管理ip图4-1-2-bR2配置管理ip图4-1-2-bR3配置管理ipR1(config)#routerospf1//启动ospf进程号1R1(config-router)#network172.16.0.10.0.0.0area0//公布网段R1(config-router)#network172.16.1.00.0.0.3area0R1(config-router)#network172.16.1.40.0.0.3area0R1(config-router)#network172.16.1.120.0.0.3area1图4-1-2-c路由器R1ospf配置图4-1-2-c路由器R2ospf配置图4-1-2-c路由器R3ospf配置3)汇聚层网络设计a)Vlan配置L3-1(config)#vlan10//创建vlan L3-1(config-vlan)#vlan20L3-1(config-vlan)#vlan30L3-1(config-vlan)#vlan40L3-1(config-vlan)#vlan50L3-1(config-vlan)#vlan60L3-1(config-vlan)#vlan100图4-1-3-aL3-1创建vlan图4-1-3-aL3-2创建vlanb)端口ip/VlanipL3-1(config)#interfaceGigabitEthernet0/25//进入接口L3-1(config-if)#noswitchport//关闭交换功能L3-1(config-if)#ipaddress172.16.1.14255.255.255.252//配置ip地址图4-1-3-bL3-1gi0/25配置ip图4-1-3-bL3-2gi0/25配置ipL3-1(config)#interfacevlan10//进入vlan10L3-1(config-if)#ipaddress172.16.15.252255.255.252.0//配置ip地址L3-1(config)#interfacevlan20L3-1(config-if)#ipaddress172.16.19.252255.255.252.0L3-1(config)#interfacevlan30L3-1(config-if)#ipaddress172.16.23.252255.255.252.0L3-1(config)#interfacevlan40L3-1(config-if)#ipaddress172.16.27.252255.255.252.0L3-1(config)#interfacevlan50L3-1(config-if)#ipaddress172.16.31.252255.255.252.0L3-1(config)#interfacevlan60L3-1(config-if)#ipaddress172.16.35.252255.255.252.0L3-1(config)#interfacevlan100L3-1(config-if)#ipaddress172.16.0.201255.255.255.128图4-1-3-bL3-1各vlan配置ip图4-1-3-bL3-2各vlan配置ipL3-1(config)#interfaceloopback1//进入环回接口L3-1(config-if-Loopback1)#ipaddress172.16.0.5255.255.255.255//配置管理ip地址图4-1-3-cL3-2配置管理ip图4-1-3-cL3-2配置管理ipd)DHCP中继L3-1(config)#servicedhcp//启动dhcp服务L3-1(config)#iphelper-address172.16.32.2//指定dhcp中继转发的目标ip地址图4-1-3-dL3-1DHCP中继配置图4-1-3-dL3-2DHCP中继配置L3-1(config)#spanning-tree//启动生成树L3-1(config)#spanning-treemodemstp//设置生成树模式为多生成树mstpL3-1(config)#spanning-treemstconfiguration//进入生成树配置模式L3-1(config-mst)#instance1vlan10,20,60,100//把vlan10,20,60,100添加到组1L3-1(config-mst)#instance2vlan30,20,50L3-1(config)#spanning-treemst1priority4096//设置组2优先级为4096,作为主L3-1(config)#spanning-treeL3-1(config)#spanning-treemodemstpL3-1(config)#spanning-treemstconfigurationL3-1(config-mst)#instance1vlan10,20,60,100L3-1(config-mst)#instance2vlan30,20,50图4-1-3-eL3-1mstp配置图4-1-3-eL3-2mstp配置图4-1-3-eL2-1mstp配置图4-1-3-eL2-2mstp配置f)二层链路聚合L3-1(config)#interfaceAggregatePort1//创建组1L3-1(config-if)#switchportmodetrunk//设置组的模式为trunkL3-1(config-if)#interfaceFastEthernet0/23//进入三层交换机间互连接口L3-1(config-if)#port-group1//把接口添加到组中L3-1(config-if)#interfaceFastEthernet0/24L3-1(config-if)#port-group1图4-1-3-fL3-1配置链路聚合图4-1-3-fL3-2配置链路聚合g)Vrrp配置L3-1(config)#interfacevlan10//进入vlan10L3-1(config-vlan)#vrrp1ip172.16.15.254//配置vrrp组1虚拟ipL3-1(config-vlan)#vrrp1priority101//配置vrrp优先级L3-1(config-vlan)#vrrp1preempt//配置抢占L3-1(config-vlan)#vrrp1trackGigabitEthernet0/25//设置跟踪的上行口L3-1(config)#interfacevlan20L3-1(config-vlan)#vrrp1ip172.16.19.254L3-1(config-vlan)#vrrp1priority101L3-1(config-vlan)#vrrp1preemptL3-1(config-vlan)#vrrp1trackGigabitEthernet0/25L3-1(config)#interfacevlan30L3-1(config-vlan)#vrrp1ip172.16.23.254L3-1(config-vlan)#vrrp1preemptL3-1(config-vlan)#vrrp1trackGigabitEthernet0/25L3-1(config)#interfacevlan40L3-1(config-vlan)#vrrp1ip172.16.27.254L3-1(config-vlan)#vrrp1preemptL3-1(config-vlan)#vrrp1trackGigabitEthernet0/25L3-1(config)#interfacevlan50L3-1(config-vlan)#vrrp1ip172.16.31.254L3-1(config-vlan)#vrrp1preemptL3-1(config-vlan)#vrrp1trackGigabitEthernet0/25 L3-1(config)#interfacevlan60L3-1(config-vlan)#vrrp1ip172.16.35.254L3-1(config-vlan)#vrrp1priority101L3-1(config-vlan)#vrrp1preemptL3-1(config-vlan)#vrrp1trackGigabitEthernet0/25 L3-1(config)#interfacevlan100L3-1(config-vlan)#vrrp1ip172.16.0.254L3-1(config-vlan)#vrrp1priority101L3-1(config-vlan)#vrrp1trackGigabitEthernet0/25 图4-1-3-gL3-1配置vrrp图4-1-3-gL3-2配置vrrph)Ospf配置L3-1(config)#routerospf1//启动ospf进程号1L3-1(config-router)#network172.16.0.40.0.0.0area1//公布网段L3-1(config-router)#network172.16.0.1280.0.0.127area1L3-1(config-router)#network172.16.1.120.0.0.3area1L3-1(config-router)#network172.16.12.00.0.3.255area1L3-1(config-router)#network172.16.16.00.0.3.255area1L3-1(config-router)#network172.16.20.00.0.3.255area1L3-1(config-router)#network172.16.24.00.0.3.255area1L3-1(config-router)#network172.16.28.00.0.3.255area1L3-1(config-router)#network172.16.32.00.0.3.255area1图4-1-3-hL3-1配置ospf图4-1-3-hL3-1配置ospf4)接入层网络设计a)Vlan配置L2-1(config)#vlan10//创建vlanL2-1(config-vlan)#vlan20L2-1(config-vlan)#vlan30L2-1(config-vlan)#vlan40L2-1(config-vlan)#vlan50L2-1(config-vlan)#vlan60L2-1(config-vlan)#vlan100 图4-1-4-aL2-1创建vlan图4-1-4-aL2-2创建vlanb)管理ip配置L2-1(config)#interfacevlan100L2-1(config-vlan)#ipaddress172.16.0.204255.255.255.128 图4-1-4-bL2-1配置管理ip图4-1-4-bL2-2配置管理ip2.无线网络解决方案1)有线网络连接dwxz-ap(config)#interfaceGigabitEternet0/1//进入物理接口gi0/1dwxz-ap(config-if-GigabitEternet0/1)#encapsulationdot1Q50//封装vlan50dwxz-ap(config-if-GigabitEternet0/1)#interfacedot11radio1/0//进入无线设备虚拟接口1/0dwxz-ap(config-if-Dot11radio0/1)#encaosulationdot1Q50//封装vlan50dwxz-ap(config-if-Dot11radio0/1)#mac-modefat//设置ap模式为胖APdwxz-ap(config-if-Dot11radio0/1)#chanel11//设置信道为11dwxz-ap(config-if-Dot11radio0/1)#wlan-id1//设置wlan-id是1dwxz-ap(config-if-Dot11radio0/1)#iprouter0.0.0.00.0.0.0172.16.31.254//配置默认路由图4-2-1无线网络的有线网络连接2)无线连接配置dwxz-ap(config)#dot11wlan1//创建wlan,协议为802.11dwxz-ap(dot11-wlan-config)#vlan50//关联vlan50dwxz-ap(dot11-wlan-config)#broadcast-ssid//广播ssiddwxz-ap(dot11-wlan-config)#ssiddwxz.5//ssid命名图4-2-2无线网络的无线连接配置3)管理ip配置dwxz-ap(config)#interfaceBVI50//进入BVI配置管理ipdwxz-ap(config-if-BVI50)#ipaddress172.16.31.250255.255.252.0 图4-2-3无线网络的BVI配置管ip4)无线安全图4-2-4无线网络的无线安全配置3.数据中心解决方案(服务器搭建)1)DHCP服务器图4-3-1DHCP地址池图4-3-1DHCP作用域图4-3-1DHCP地址租用2)WEB服务器图4-3-2添加网站图4-3-2web浏览图4-3-3ftp登陆图4-3-3ftp上传下载图4-4-4正向查找区域图4-4-4反向查找区域图4-4-4条件转发器5)Radius服务器图4-4-5Radius客户端配置图4-4-5配置连接请求策略图4-4-5创建用户和组图4-4-5添加验证用户组图4-4-5认证成功五、网络安全设计1.骨干网安全1)二层冗余及负载均衡MSTP(Multi-ServiceTransferPlatform)(基于SDH的多业务传送平台)是指基于SDH平台同时实现TDM、ATM、以太网等业务的接入、处理和传送,提供统一网管的多业务节点。