查看完整版本: 交换课程实施方案

suyu2009 2008-4-22 13:12

交换课程实施方案

交换课程实施方案


第一章        网络需求分析…………………………………………………………………..
1.1网络拓扑结构………………………………………………………………...       
1.2部门需求分析…………………………………………………………………
1.3用户接入需求…………………………………………………………………
1.4无线网络需求…………………………………………………………………
第二章 网络技术实现…………………………………………………………………..
1.1 部门规划………………………………………………………………………
1.2网络结构的稳定性与可靠性……………………………………….
1.3 DHCP服务器的设计……………………………………………….
1.4合法身份验证……………………………………………………….
1.5端口安全……………………………………………………………
1.6 外出端口……………………………………………………




第一章 网络需求分析

1.1网络拓扑结构

   整个网络采用紧缩式双核心设计,在核心层放置两台三层交换机,互为备份,二层放置三台交换机,用于三栋大楼的用户接入.接入层与核心层采用采用双主干上行链路设计,以实现整个网络的高可用性.


1.2部门间需求

公司整体有十个独立部门:法律顾问部,人力资源部,市场营销部,信息工程部,电子商务部,项目经理部,财务部,行政部,研发部,总经办等十个部门。通过划分10个VLAN”来依次对应公司的10个部门,他们之间的需求有以下几条:
1)财务部网络只允许本部门与总经办能够访问。
2)总经办可以访问所有部门网络,但其它部门不能访问总经办网络。
3)其余部门可以相互访问


1.3用户接入需求

在用户接入时为简化内部员工电脑的IP地址配置管理,采用DHCP服务器为用户提供自动IP地址分配管理, 同时为防止外来人员非法接入网络,必须对所有终端用户接入进行合法身份验证,并且为了防止终端用户私自接入多台主机,占用公司资源,必须对终端用户的接入加以限制,原则上一条线路只能接入一个用户


1.4无线网络需求

     为实现在大楼内部的移动办公,公司部署了WLAN,为保障无线网的安全接入,必须对用户身份进行安全验证,并保障用户获得自己所在的部门的安全访问策略。
   

第二章 网络技术实现
1.1 部门规划
  公司共有10个部门,我们通过划分VLAN10 VALN 20…..VLAN 100 来对应各个部门
部门名称        所在VLAN分区        IP地址
法律顾问部        VLAN10        10.10.1.0/24
人力资源部        VLAN20        10.20.1.0/24
市场营销部        VLAN30        10.30.1.0/24
信息工程部        VLAN40        10.40.1.0/24
电子商务部        VLAN50        10.50.1.0/24
项目经理部        VLAN60        10.60.1.0/24
财务部        VLAN70        10.70.1.0/24
行政部        VLAN80        10.80.1.0/24
研发部        VLAN90        10.90.1.0/24
总经办        VLAN100        10.100.1.0/24

我们可以通过在网络中使用VTP,核心交换机为SERVER,接入层交换机为CLIENT来实现接入层交换机动态学习VLAN,以便实现对整个网络的统一管理,也为了今后的可扩展性.命令如下:
Vlan database
vtp mode server
vtp domain limin
vtp password 123

Vlan database
vtp mode client
vtp domain limin
vtp password 123

为了实现VLAN间的互访,在核心层与接入层之间的上行链路都采用TRUNK链路
在两台核心层间采用以太通道,即可实现带宽的扩展,也可实现网络的稳定性与高可用性
命令如下:
Intface 接口
Channel-group 1 mode on

Int port-channel 1
Switchport mode trunk
No shut

为了实现总经办可以访问所有部门网络,但其它部门不能访问总经办网络,我们可以采用自反控制列表,我们把总经办放在VLAN100里,其地址段为10.100.1.0/24.
命令如下:
ip access-list extended INSIDE
permited any any reflect li
ip access-list extended OUTSIDE
evaluate li
   int vlan 100
   ip access-group INSIDE in
   ip access-group OUTSIDE out

财务部网络只允许本部门与总经办能够访问,我们可以通过VACL来实现


1.2网络结构的稳定性与可靠性
整个网络采用双核心结构,我们可以通过给不同的VALN指定不用的根桥,来实现网络的负载均衡,把VLAN10—VLAN50 的根桥指定到一个核心层交换机SW1,VLAN60—VLAN100的根桥指定到另一个核心交换机SW2
命令如下:
Sw1
spanning-tree vlan 10 root primary
spanning-tree vlan 20 root primary
………….

Spanning-tree vlan60 root secondary
Spanning-tree vlan70 root secondary
…………

Sw2
Spanning-tree vlan60 root primary
Spanning-tree vlan70 root primary
……………

spanning-tree vlan 10 root secondary
spanning-tree vlan 20 root secondary
……………..

为了整个网络的流量的负载均衡,我们可以采用HSRP多组,将VLAN10—VLAN5的的虚拟网关active角色为在SW1, 他对VLAN10—VLAN50里的主机的ARP请求做出回应,而VLAN60—VLAN100的active角色为SW2,他对这写VLAN里的主机做出回应.
命令如下:
Sw1

Int vlan 10
Standy 10 ip 10.10.1.254
Standy 10 priority 200
Standy 10 preempt
Standy 10 track 接口   ‘这里我们启动链路跟踪,防止核心交换机的上行链路的down,导致用户无法上网

Sw2
Int vlan 10
Int vlan 10
Standy 10 ip 10.10.1.254
Standy 10 preempt

VLAN20—VLAN50 与上同


Sw1

Int vlan 60
Standy 60 ip 10.60.1.254
  Standy 60 preempt

SW2
Int vlan 60
Standy 60 ip 10.60.1.254
Standy 60 priority 200
Standy 60 preempt
Standy 10 track 接口

VLAN70—VLAN100与上同



1.3 DHCP服务器的设计
我们可以采用三种方案来实现:
1.        把DHCP 放在某一个VLAN里,来实现其功能
配置如下:
把DHCP放在vlan 2 中
DHCP

Service dhcp
Ip dhcp pool vlan 10
Network 10.10.1.0 255.255.255.0
Defa        ult-router 10.10.1.254

Ip dhcp pool vlan 20
Network 10.20.1.0 255.255.255.0
Defa        ult-router 10.20.1.254
……………
Int 直连借口
Ip add 10.2.1.1 255.255.255.0
No shut

Int vlan 10
Ip add 10.10.1.2 255.255.255.0
Ip helper-add 10.2.1.1

Int vlan 20
Ip add 10.20.1.2 255.255.255.0
Ip helper-add 10.2.1.1

Router ospf 1
Network 0.0.0.0 0.0.0.0 area 0
………
   

          SW2
   
   Int 接口
   No shut
   Switchport mode access
   Switchport access vlan 2
   No shut
   
Router ospf 1
Network 0.0.0.0 0.0.0.0 area 0

   
   
2 把SW2 与DHCP所连接的链路为三层链路
  DHCP
  Int 直连接口
  Ip add 192.168.1.1 255.255.255.0
  No shut

Service dhcp
Ip dhcp pool vlan 10
Network 10.10.1.0 255.255.255.0
Defa        ult-router 10.10.1.254

Ip dhcp pool vlan 20
Network 10.20.1.0 255.255.255.0
Defa        ult-router 10.20.1.254
……………
  Router osfp 1
  Network 0.0.0.0 0.0.0.0 area 0


SW2
Int 直连接口
No shut
Ip add 192.168.1.2 255.255.255.0


Int vlan 10
Ip add 10.10.1.2 255.255.255.0
Ip helper-add 192.168.1.1

Int vlan 20
Ip add 10.20.1.2 255.255.255.0
Ip helper-add 192.168.1.1
No shut

Router ospf 1
Network 0.0.0.0 0.0.0.0 area 0


3 通过单臂路有来实现
DHCP

Service dhcp
Ip dhcp pool vlan 10
Network 10.10.1.0 255.255.255.0
Defa        ult-router 10.10.1.254

Ip dhcp pool vlan 20
Network 10.20.1.0 255.255.255.0
Defa        ult-router 10.20.1.254
……………

Int f0/0       在这我们做单臂路有,在所直连的核心交换机SW2的端口上要封装trunk
No shut

Int f0/0.10
Encapsulation dot1q 10
Ip add 10.10.1.1 255.255.255.0
No shut

Int f0/0.20
Encapsulation dot1q 20
Ip add 10.20.1.1 255.255.255.0
No shut

Router ospf 1
Network 0.0.0.0 0.0.0.0 area 0
………
   SW2
   
   Int 接口
   No shut
   Switchport mode trunk
   No shut
   
Router ospf 1
Network 0.0.0.0 0.0.0.0 area 0

1.4合法身份验证
  通过ACS服务器来实现,用户输入帐号,密码,ACS服务器将识别其所在的VLAN,并为其分配地址.

1.5端口安全
  在接入交换机的portfast端口 ,为了实现实现整个网络的STP的稳定性我采用BPDU GUARD 技术 ,防止用户无意插入交换机导致整个网络拓扑结构发生变化.
  对于普通的接入端口,我采用 ROOT GUARD 技术
        
1.6 外出端口
  对外出与INTERNET连接的路由器我们采用NPT技术

hmilyfe 2008-4-24 11:28

不错,多谢楼主分享,不过,还有没有了?
页: [1]
查看完整版本: 交换课程实施方案