简单企业网的设计与实现

　目录

　第一节选题背景 3

　1.1设计任务 3

　1.1.1设计题目 3

　1.2 任务 3

　1. 1.3 要求 3

　1.2基本思路及相关理论 3

　1.2. 1相关理论 3

　1.2.2相关思路 4

　第二节设计方案 5

　2.1拓扑图设计 5

　2. 1. 1主要设备 5

　1.2企业网拓扑图 5

　2.2子网划分 5

　1子网设定 5

　2.2.2子网划分 6

　第三节具体配置 7

　3.1核心路由器基本配置 7

　1. 1路由器定义 7

　3. 1.2配置路由接口 IP地址 7

　3. 1.3静态路由配置 8

　3.1.4单臂路由配置 8

　3.2交换机VLAN相关配置 9

　3.2.1交换机以及VLAN相关定义 9

　3.2.2交换机的具体配置步骤 10

　第四节调试与调试结果 11

　4. 1 VLAN 间通信 11

　4.2主机访问服务器 12

　第五节总结 14

　第一节选题背景

　1.1设计任务

　1.1.1设计题目

　简单企业网的设计与实现

　1. 1.2任务

　•为每台计算机分配一个私有IP地址，地址范围：

　192.168.0.0/24。为保证部门间的访问隔离，每个部门单独划分一个 子网，子网间通过路由器互连；

　•企业已从电信申请 4 个公网1P 地址

　210. 88. 55. 1T210. 88. 55. 14,为 了 能够使年有主机访问 Internet, 需要在路由器使用NAT技术；

　•内、外网用户均需要访问企业内部一台Web服务器。

　 1. 1.3要求

　•使用模拟仿真软件设计出企业网络拓扑图，体现各子网互连， 内、外网访问服务器的内容；

　•给出各部门子网的IP地址分配方案；

　•给出2种NAT转换方案，描述它们的具体工作过程，体会NAT

　的基本安全性；

　•给出完整的路由器配置文档，包括接口 IP地址配置、NAT及 Static NAT 配置；

　•最后测试企业网连接功能。

　 1.2基本思路及相关理论

　1.2.1相关理论

　1P地址的编址方式：IP地址是网络设备接口的属性，其编码由 两个部分组成，其中第一个字段是网络号，它标志主机（或路由器） 所连接到的网络。一个网络号在整个因特网范围内必须是唯一的。第 二个字段是主机号，它标志该主机（或路由器）。一个主机号在它前 面的网络号所指明的网络范围内必须是唯一的。由此可见，一个IP 地址在整个因特网范围内是唯一的。

　 单臂路由器配置：指在路由器的一个接口上通过配置子接口（或 “逻辑接口”，并不存在真正物理接口）的方式，实现原来相互隔离 的不同VLAN （虚拟局域网）之间的互联互通。能有效分割局域网， 实现各网络区域之间的访问控制。但现实中，往往需要配置某些VLAN 之间的互联互通：

　 虚拟局域网VLAN：

　VLAN所指的LAN特指使用路由器分割的网络 一一也就是广播域。通过划分出多个逻辑的LAN,不同LAN之间不 能进行通行，这就有效的解决了广播信息的经常发出而带来的网络带 宽和CPU运算能力的无谓消耗。所以VLAN的划分，可以很好地达到

　 把公司的每个部门子网分在不同的广播域。这样，广播报文被限制在 一个VLAN内，使得公司各部门不能直接通信。

　 NAPT配置：为了进一步提髙IP地址的利用率，是的同一个共有 IP地址在同一时刻可以与多个私有IP地址进行映射，我们可以使用 NAPT 技术。NAPT 是 Network Address and Port Translation 的简称， 其本根本原理就是将TCP报文或UDP报文中的端口号作为映射参数纳 入公有IP地址和私有IP地址之冋的映射关系中，从而使得同一个公 有IP地址在同一时刻与多个私有IP地址进行映射。

　 Static NAT配置：是指将内部网络的私有IP地址转换为公有 IP地址，IP地址对是一对一的，是一成不变的，某个私有IP地 址只转换为某个公有IP地址。借助于静态转换，可以实现外部网络 对内部网络中某些特定设备（如服务器）的访问。

　 1.2.2相关思路

　为每个区域创建一个VLAN,相同VLAN之间可以经过二层交换机 直接通信，而不同VLAN之间通信需要经过三层交换机或路由器。故 我们选择由二层交换机+核心路由的组合。为方便用户使用，免去配 置IP的步骤，可以为每一个VLAN按照冗余原则划分出一块地址池， 每个VLAN之间釆用DHCP下发IP地址。另外对于内部服务器和外部 服务器，为方便访问，则设置成静态IP。在访问外网时，为缓解公 网IP的紧缺，则在路由器上配置NAPT技术，实现主机访问外网。

　 第二节设计方案

　2.1拓扑图设计

　2.1.1主要设备

　设备名

　具体型号

　数量

　核心路由器

　华为AR1200

　1

　汇聚交换机

　华为S5700

　1

　华为S3700

　2

　线缆

　六类双绞线、光纤

　若干

　2. 1.2企业网拓扑图

　图2-1企业网精简拓扑图

　2.2子网划分 2.2.1子网设定

　本网络总共划分为6个VLANO其中办公室划分到VLAN10,教务 部划分到VLAN20,销售部划分到VLAN30,生产部划分到VLAN40, 研发部划分到VLAN50, WEB服务器单独划分到VLAN60。通过该划 分，阻止了各部门之间直接通过二层交换机访问，只有通过三层交换 机或路由器才能实现不同

　VLAN之间访问，有效的阻止了广播风暴的 产生，节约了宽带资源。该划分是基于端口划分VLAN,与主机相连 的端口全部设置成Access端口，交换机与交换机之间和路由器与交 换机之间设置成Trunk端口。

　 2.2.2子网划分

　这次使用的是1个C类私网地址：192. 168. 0. 0/240

　需要划分6个子网，分别是办公室、教务部、销售部、生产部、 研发部，WEB服务器，每个子网配置8台计算机，遵循冗余原则每 个子网划分了 30个IP地址。根据子网划分原则，在这次规划中划分 成了 8个子网。每个子网的IP地址是256/8=32个，因为主机号全 0和全1的IP地址有特殊用途，不能用作主机IP地址，所以每个 子网可用IP数是30个，子网掩码是255.255.255.224。

　 具体规划的IP地址如下表格所示：

　 部

　数

　VLAN

　IP网段

　网关

　主机可用IP范围

　门

　量

　ID

　办

　公

　室

　192. 168. 0. 0/27

　8

　192. 168. 0. 1

　192. 168. 0. C192. 168. 0. 30

　10

　教

　务

　部

　192. 168. 0. 32/27

　8

　192. 168. 0. 33

　192. 168. 0. 33 ”92. 168. 0. 62

　20

　销 售 部

　192. 168. 0. 64/27

　8

　192. 168. 0. 65

　192. 168. 0. 65 “192. 168. 0. 94

　30

　生

　产

　部

　192. 168. 0. 96/27

　8

　192. 168. 0. 97

　192. 168. 0. 97~192. 168. 0. 126

　40

　研

　发

　部

　192. 168. 0. 128/27

　8

　192. 168. 0. 129

　192. 168. 0. 129

　“192. 168. 0. 158

　50

　服

　务

　器

　192. 168. 0. 160/27

　2

　192. 168. 0. 161

　192. 168. 0. 161

　＇192. 168. 0. 190

　60

　第三节具体配置

　3.1核心路由器基本配置

　3.1.1路由器定义

　路由器(Router)又称网关设备(Gateway)是用于连接多个逻 辑上分开的网络，所谓逻辑网络是代表一个单独的网络或者一个子 网。当数据从一个子网传输到另一个子网时，可通过路由器的路由 功能来完成。因此，路由器具有判断网络地址和选择IP路径的功 能，它能在多网络互联环境中，建立灵活的连接，可用完全不同的数 据分组和介质访问方法连接各种子网，路由器只接受源站或其他路 由器的信息，属网络层的一种互联设备。

　 3.1.2配置路由接口 IP地址

　各主机需要访问外部服务器和内部服务器，需要将路由接口 IP 设定为固定IP地址。具体的IP地址设置如下表(3-1-2)：

　 单臂路由器&核心路由器［R0］配置表

　Ethernet 0/0/0

　222. 88. 55. 11/32

　GEthernet 0/0/0

　192. 168. 0. 253/27

　具体配置路由接口 IP地址步骤：

　 <huawei>system //进入系统视图

　[huawei]sysname RO //修改路由名字为RO

　[RO] int EthernetO/O/O //进入接 口视图

　[RO-Ethernet0/0/0]ip address 210.88.55.11 255. 255.255.252 //配置接口 IP

　[RO-EthernetO/O/O]undo shutdown //使接 口生效

　[RO-EthernetO/O/O]quit //退出接 口模式

　[RO]

　[RO]int GigabitEthernet 0/0/0

　[RO-GigabilEthernetO/O/O]ip address 192.168. 0.253

　255. 255. 255.0

　[RO-EthernetO/O/O]undo shutdown

　[RO-EthernetO/0/0]qu i t

　[RO]

　[RO] return //返回用户视图

　<R0>save //保存配置

　3. 1.3静态路由配置

　静态路由是指由用户或网络管理员手工配置的路由信息。当网 络的拓扑结构或链路的状态发生变化时，网络管理员需要手工去修 改路由表中相关的靜态路由信息。静态路由信息在缺省情况下是私有 的，不会传递给其他的路由器。静态路由一般适用于比较简单的网络 环境，在这样的环境中，网络管理员易于清楚地了解网络的拓扑结 构，便于设置正确的路由信息。

　 具体静态路由配置步骤:

　<Sl>sys //进入系统视图

　[Sl-GigabitEthernetO/O/O]ip address 192.168. 10. 1

　255. 255. 255. 0

　[Sl-Gigabi tEthernet0/0/0] ip nat inside //入方向

　[Sl-Gigabi tEthernetO/O/O]qui t

　[SI]interface e0/0/0

　[Sl-EthernetO/O/O]ip address 210. 88. 55. 1 255.255.255.0

　[Sl-EthernetO/O/O]ip nat outside //岀方向

　[Sl-EthernetO/O/O]quit

　[Sl]quit

　<Sl>save 〃保存配置

　3. 1.4单臂路由配置

　部署了 VLAN的交换机可以实现在同一广播域内不同主机之间的 通信，但是要想实现不同VLAN间主机通信，就要引入路由技术，可 以通过二层交换机配合路由器来实现路由转发。

　 具体单臂路由配置步骤：

　 <Huawei>sys

　[Huawei] sysnaine

　[Huawei]sysnamc SI

　[Sl]int g0/0/0 //进入G00/0/0 端

　[Sl-GigabilEthernetO/O/O]int gO/O/O. 1

　//创建子接口

　[Sl-GigabitEthcrnetO/0/0. 1]dotlq termination vid 10 //

　釆用dotlq封装VID为10

　[Sl-GigabitEthernet0/0/0. l]ip address

　192. 168.0.0

　255. 255. 255. 252 //配置子接口 IP 地址

　[Sl-Gigabi tEthernet0/0/0. l]quit

　//退出子接口视

　[SI]

　//进入G00/0/0端

　[S1-G igabi tEt herne10/0/0]i n t g0/0/0. 2

　//创建子接口

　[Sl-GigabitEthcrnetO/0/0. 2]dotlq termination vid 20 //

　釆用dotlq封装VID为20

　[Sl-Gigabi tEthernet0/0/0. 2]ip address

　192. 168.0. 32

　255. 255. 255. 252

　[Sl-GigabitEthernet0/0/0. 2]quit

　//退出子接口视

　[Sl][Sl]int g0/0/0

　G00/0/0 端口

　//进入

　[Sl-Gigabi tEthcrnet0/0/0]int g0/0/0. 3

　//创建子接口

　[Sl-GigabitEthernetO/O/O.3]dotlq termination vid 30

　192. 168.0.64

　//退出子接口视

　//进入G00/0/0端

　[Sl-GigabitEthernet0/0/0]int g0/0/0. 4

　//创建子接口

　[Sl-GigabitEthernetO/O/O. 4]dotlq termination vid 40 //

　釆用dotlq封装VID为40

　[Sl-Gigabi tEthcrnetO/O/O. 4]ip address

　192. 168.0.96

　255. 255. 255. 252

　[Sl-Gigabi tEthernetO/O/O.4]quit

　//退出子接口视

　[SI]

　[SI] int g0/0/0

　〃进入G00/0/0端

　[Sl-GigabitEthernet0/0/0]int g0/0/0. 5

　//创建子接口

　[Sl-GigabitEthernetO/O/O. 5]dotlq termination vid 50 //

　釆用dotlq封装VID为50

　[Sl-GigabitEthernetO/O/O. 5]ip address 192.168.0.128

　255. 255. 255.252 〃配置子接口 IP 地址

　[Sl-GigabilEthernetO/O/O. 3]ip address 255. 255. 255. 252 [Sl-GigabitEthcrnetO/O/O. 3]quit

　[SI]

　//退岀子接口视

　[Sl-GigabitEthernet0/0/0. 5]quit 图

　[SI]

　[SI] int g0/0/0 〃进入 G00/0/0 端

　□

　[Sl-Gigabi tEthernet0/0/0] int g0/0/0. 6 〃创建子接口 [Sl-GigabitEthernetO/O/O. 6]dotlq termination vid 60 //

　釆用dotlq封装VID为60

　[S1-GigabitEthernet0/0/0. 6]ip address 192. 168. 0. 160 255.255.255.252 〃配置子接口 IP 地址

　[Sl-GigabitEthernet0/0/0. 6]quit //退出子接口视

　图

　[Sl]quit

　<Sl>save

　3.2交换机VLAN相关配置

　3.2.1交换机以及VLAN相关定义

　虚拟网技术(VLAN, Virtual Local Area Network)的诞生主要 源于广播。随着网络内计算机数量的增多，广播包的数量也会急剧增 加，当广播包的数量占到通讯总量的30%时，网络的传输效率将会明 显下降。所以，当局域网内的计算机达到一定数量后(通常限制在 150^200台以内)，通常釆用划分VLAN的方式将网络分隔开来，将一 个大的广播域划分为若干个小的广播域，以减小广播可能造成的损 害。

　 在交换机上釆用逻辑分隔的方式，将一个大的局域网划分为若干 个小的虚拟子网（如图2所示），即VLAX,从而使每一个子网都成为 一个单独的广播域，子网之间进行通信必须通过三层设备。当VLAN 在交换机上划分后，不同VLAN间的设备就如同是被物理地分割。

　 基于端口的VLAN是最常使用的划分VLAN的方式，几乎被所有的 交换机所支持。所谓基于端口的VLAN,是指由网络管理员使用网管 软件或直接设置交换机，将某些端口直接地、强制性地分配给某个 VLANo

　3.2.2交换机的具体配置步骤

　交换机S1的VLAN配置，S2与S1配置类似，具体配置如下：

　 〈Huawei>

　//进入用户视图

　<Huawei>sys

　//进入系统视图

　[Huawei]sysname SI

　〃修改交换机名字为S1

　[Sl]vlan batch 10 to 30

　〃批量创建VLAN 10到30

　[S1]

　[SI]int EthernetO/0/l

　//进入接口视图

　[Sl-Ethernet0/0/l]port 1 ink-type access //定义接口 类型为

　access

　[S1 -Ethernet0/0/1 ]port default vlan 10 //接 口所属 VLAN

　为10

　//退出接口模式

　[S1-E th erne tO/O/l]quit

　[Si]

　[SI]int Ethernet0/0/2

　//进入接口视图

　[S1-E th erne 10/0/2]por t 1 ink-type access

　〃定义接口类型为

　access

　[S1-E th erne 10/0/2]por t default vlan 10

　〃接口所属VLAN

　为10

　[S1-EthernetO/0/2]quit

　//退出接口模式

　[SI]

　[Si]int Ethernet0/0/3

　//进入接口视图

　[Sl-Ethernet0/0/3]port link-type access

　//定义接口类型为

　access

　[S1-Ethernet0/0/3]port default vlan 20

　为20

　[Sl-Ethernet0/0/3]quit

　〃接口所属VLAN

　//退出接口模式

　[Si]

　[SI]int EthernetO/O/4

　//进入接口视图

　[S1-Ethernet0/0/4]port 1 ink-type access

　//定义接口类型为

　access

　[Sl-Ethernet0/0/4]port default vlan 20

　〃接口所属VLAN

　为20

　[Sl-Ethernet0/0/4]quit

　//退出接口模式

　[Si]

　//进入接口视图

　[SI]int Elhernet0/0/5

　//定义接口类型为

　[Sl-Ethernet0/0/5]port link-type access access

　[Sl-Ethernet0/0/5]port default vlan 30 //接 口所属 VLAN

　为30

　[Sl-Ethernei0/0/5]quit //退出接 口模式

　[SI]return

　<Sl>save //保存配置

　第四节调试与调试结果

　4. 1 VLAN间通信

　根据配置初衷,

　同一 VLAN中可以直接通过二层交换机进行通信,

　测试结果如下（图4-1）：

　 图4T同一个VLAN即同一个都门可以通信

　在单臂路由器没有工作时，不同的VLAN之间是无法进行通信的,

　测试结果如下（图4-2）：

　 图4-2未通过单臂路由不同VLAN即不同部门之间不能通信

　4.2主机访问服务器

　这里其实访问两部主机类似，所以就以内部服务器为例，内部服

　务器固定IP地址为192. 168.0. 153,该服务器默认页面为 newifi.html,配置界面如下（图4一2T）：

　 ＇祉

　席口号

　HtTSeruer

　rE.＇Trt

　no赫—句es

　0 潔囹 2 ]iW1911L03O.pnc

　E615 W.mg

　主机可正常访问内部服务器，具体情况如下（图4-2-2）：

　 £办公生PC1

　图4-2-2内部服务器测试

　第五节总结

　之前学习的网络知识一直停留于理论知识，没有机会用于实践。

　 在这次实训中充分的调动起来了以前学过的知识，因为之前考取了华 为认证的原因，所以对华为设备相对熟悉一点，在本次实验中釆用的 华为的ENSP模拟器。配置中对与华为设备有认知不足的地方，比如 说VLAN配置时，路由接口默认为二层接口，所以划分IP地址池时总 是出错，查询到原来是必须先执行vlan interface命令才能进入三 层接口，从而进行配置。还是很多细节之处是自己之前学习理论知识 时所没有顾及的。

　 通过这次实验学会了系统性的去考虑一个网络结构的可施行性， 从构想到设计再到调试，包括如何按照冗余原则去考虑网络的长期可 用性，以及如何降低网络搭建和后期维护。使得对于路由配置命令和 搭建技巧更加熟悉。因此熟悉的过程就是成长的过程，只有不断尝试 历练，才能不断提升自己。