小型公司网络规划

图3.1-1

3.2 设备选型

设备名称型号数量

2层交换机 S3700 5

3层交换机 S5700 2

路由器 AR220 3

路由器 Router 2

3.3 VLAN与IP地址规划

3.3.1 VLAN划分

1、根据端口划分VlAN

2、根据MAC地址划分VLAN

3、根据网络层划分VLAN。

4、根据IP组播划分VLAN。

5、基于规则的VLAN也称为基于策略的VLAN。这是最灵活的VLAN划分方法，具有自动配置的能力，整个网络可以非常方便地通过路由器进行扩展网络规模。

3.3.2 IP划分

IP地址规划在网络设计中的作用举足轻重。直接影响整个网络运营的效率IP地址设计的总原则是简单、易管理、以扩展。

IP地址是TCP/IP协议中的网络层逻辑地址，它被用来唯一地标识网络中的一个节点IP地址空间的分配，要与网络层次结构相适应，既要有效利用地址空间，又要体现出网络的可扩展性和灵活性，同时能满足路由协议的要求，提高路由算法的效率，加快路由变化的收敛速度。具体公司划分如下：

部门 Vlan 网段

市场部 30 192.168.1.0\24

客服部 20 192.168.2.0\24

技术部 10 192.168.3.0\24

财务部 100 192.168.5.0\24

领导部领导层无 3.0.0.0\24

股东层 4.0.0.0\24

公网无 5.0.0.0\24

第四章设备配置

4.1 协议配置

4.1.1 划分VLAN

VLAN（ Virtual Local Area Network，虚拟局域网）技术主要为了解决交换机在进行局域网互连时无法限制广播的问題。可以把一任VLAN划分成多个逻辑VLAN，每个VLAN是个广播域，VLAN内的主机间通信和在一个VLAN内一样，而VLAN间则不能直接互通，这样，广播报文被限制在一个VLAN内。

使用VLAN技术的优势通过划分VLAN子网，能划小了广播域，避免了广播风暴的产生。提高交换网络的交换效率，保证网络稳定，提高网络安全性，根据新宝瑞公司内部网络机构的需求，采用VLAN技术来划分企业网络，一个VLAN可以将公司部门、项目组或者服务器组将不同地理位置的工作站划分为一个逻辑网段。在不改动网络物理连接的情况下可以任意地将工作站在子网之间移动，VLAN提供了网段和机构的弹性组合机制，VLAN技术很好的解决了网络管理的问题，能实现网络监督与管理的自动化，从而更有效的进行网络监控。

4.1.2 链路聚合

Trunk是一种封装技术，它是一条点到点的链路，链路的两端可以都是交换机，也可以是交换机和路由器，还可以是主机和交换机或路由器。基于端口汇聚Trunk)功能，允许交换机与交换机、交换机与路由器、主机与交换机或路由器之间通过两个或多个端口并行连接同时传输以提供更高带宽、更大吞吐量，大幅度提供整个网络能力。是带宽扩展和链路备份的一个重要途径。TRUNK把多个物理端口捆绑在一起当作一个逻辑端口使用，可以把多组端口的宽带叠加起来使用，TRUNK技术可以实现TRUNK内部多条链路互为备份的功能，即当一条链路出现故障时，不影响其他链路的工作，同时多链路之间还能实现流量均衡。

具体配置如下：

[SW4]

int Eth-trunk

interface GigabitEthernet0/0/6

eth-trunk 1

[SW5]

interface GigabitEthernet0/0/7

eth-trunk 1

4.1.3 单臂路由

单臂路由是指在路由器的一个接口上通过配置子接口(或"逻辑接口"，并不存在真正物理接口)的方式，实现原来相互隔离的不同VLAN(虚拟局域网)之间的互联互通。

具体配置如下：

[R1]

interface Ethernet0/0/1.1

dot1q termination vid 50

ip address 4.0.0.254 255.255.255.0

arp broadcast enable

interface Ethernet0/0/1.2

dot1q termination vid 40

ip address 3.0.0.254 255.255.255.0

arp broadcast enable

4.1.4 RIP（路由信息协议）

RIP是一种基于距离矢量的路由协议，以路由跳数作为计数单位的路由协议。适合用于比较小型的网络环境。

运行RIP后，首先发送路由更新请求（请求路由表，）收到请求的路由器发送自己的路由进行响应。

具体配置如下：

Rip

version 2

network 27.0.0.0

network 28.0.0.0

network 29.0.0.0

4.1.5 ACL（访问控制列表）

访问控制列表(Access Control List ACL)是路由器和交换机接口的指令列表，用来控制端口进出的数据包。ACL适用于所有的被路由协议，如IP、IPX、AppleTalk等。

信息点间通信和内外网络的通信都是企业网络中必不可少的业务需求，为了保证内网的安全性，需要通过安全策略来保障非授权用户只能访问特定的网络资源，从而达到对访问进行控制的目的。简而言之，ACL可以过滤网络中的流量，是控制访问的一种网络技术手段。

配置ACL后，可以限制网络流量，允许特定设备访问，指定转发特定端口数据包等。如可以配置ACL，禁止局域网内的设备访问外部公共网络，或者只能使用FTP服务。ACL既可以在路由器上配置，也可以在具有ACL功能的业务软件上进行配置。

ACL是物联网中保障系统安全性的重要技术，在设备硬件层安全基础上，通过对在软件层面对设备间通信进行访问控制，使用可编程方法指定访问规则，防止非法设备破坏系统安全，非法获取系统数据。

4.1.6 NAT（网络地址转换）

网络地址端口转换NAPT（Network Address Port Translation）是人们比较熟悉的一种转换方式。NAPT普遍应用于接入设备中，它可以将中小型的网络隐藏在一个合法的IP地址后面。NAPT与动态地址NAT不同，它将内部连接映射到外部网络中的一个单独的IP地址上，同时在该地址上加上一个由NAT设备选定的TCP端口号。

NAPT是一种较流行的NAT的变体通过转换TCP或UDP协议端口号以及地址来提供并发性。除了一对源和目的IP地址以外，这个表还包括一对源和目的协议端口号，以及NAT盒使用的一个协议端口号。

NAPT的主要优势在于，能够使用一个全球有效IP地址获得通用性。主要缺点在于其通信仅限于TCP或UDP。只要所有通信都采用TCP或UDP，NAPT就允许一台内部计算机访问多台外部计算机，并允许多台内部主机访问同一台外部计算机，相互之间不会发生冲突。

具体配置如下：

[AR4]

nat address-group 1 5.0.0.3 5.0.0.7

acl number 2000

rule 5 permit source 3.0.0.1 0

ip route-static 0.0.0.0 0.0.0.0 5.0.0.2

interface GigabitEthernet0/0/1

ip address 5.0.0.1 255.255.255.0

nat outbound 2000 address-group 1

4.1.7 MSTP（多实例生成树）

MSTP是基于SDH技术的多业务传送平台，进行统一，控制和管理。MSTP（Multiple Spanning Tree Protocol，多生成树协议），将环路网络修剪成为一个无环的树型网络，避免报文在环路网络中的增生和无限循环，同时还提供了数据转发的多个冗余路径，在数据转发过程中实现VLAN 数据的负载均衡。MSTP 兼容STP 和RSTP，并且可以弥补STP 和RSTP 的缺陷。它既可以快速收敛，也能使不同VLAN 的流量沿各自的路径分发，从而为冗余链路提供了更好的负载分担机制。

首页上一页 1 2 3 下一页尾页 2/3/3

小型公司网络规划(二)