基于Web-IOU的大型企业网的设计与开发
2015-12-05 08:11丁传炜
长春大学学报 2015年8期
丁传炜
(江苏省扬州商务高等职业学校225127)
0 引言
现在网络的发展速度越来越快,目前的网络架构还不足以应付日后复杂的网络情况,特别是大型企业,网络规划建设必须考虑到未来升级和发展的需要。本文基于一则大型企业的网络现状设计该公司的内部网络,解决公司内部员工以及总公司与分公司,总公司与运营商之前的通信,并提出整体优化的后期实施方案,实现公司内网的优化及可控性,方便公司以后进行网络升级。一般大型网络在组建前,都需要进行可行性方案的设计,由于普通的虚拟软件模拟不出具体的网络feature,所以本文选用Cisco Web-IOU全真模拟软件,模拟建构真实的网络环境,为企业组网提供可行性的实施方案。
1 一则大型企业网络现状
XX公司是一家通信设备厂商生产、销售的一体化公司,经过多年的努力与发展,已具有一定的规模,现有员工近1000人,一家分公司,主要负责设备的生产、销售、售后维护等公司相关业务。总公司与运营商之间的出口跑的是BGP,出口为3个,分别电信,网通BGP,铁通的是EIGRP。现状实现网络的整体设计与优化,使得公司内部网络与分公司之间数据的通信没有问题,并满足内部员工的日常使用需求。所以在内部通信方面运用了比较复杂的网络结构,包括多动态路由协议,目前根据现状需要设计企业网络设计拓朴结构图,如图1所示;并对网络的二、三层网络的设计与优化,最后是整体网络后期的设计与优化。
图1 整个企业网络拓扑结构图
2 WEB-IOU大型网络的设计
2.1 二层网络的设计与优化
底层网络的vtp设计与实施:
VTPdomain为CISCO
Vtp password为123
Vtp version为v 2
Vtp模式为transparent(先C/S后transparent
Sw1/2/3/4(config)#vtp domain CCIE
Sw1/2/3/4(config)#vtp version 2
Sw1/2/3/4(config)#vtp mode transparent
Sw1/2/3/4(config)#vtp password cisco
底层网络的STP设计与优化:使用820.1w
Sw1为所有奇数vlan的跟桥,偶数vlan的备份跟桥
Sw2为所有偶数vlan的跟桥,奇数vlan的备份跟桥
所有没用到的接口需要划入vlan 999后shutdown
Sw1/2/3/4(config)#spanning-tree mode rapid-pvst
Sw1/2(config)#spanning-tree vlan 1-4094 hello-time 1
Sw1(config)#spanning-tree vlan 1,17,29,45,67,89,333,999,priority 0
Sw1(config)#spanning-tree vlan 34,38,56,100,200,300,500,666,priority 4096
Sw2(config)#spanning-tree vlan 1,17,29,45,67,89,333,999priority 4096
Sw2(config)#spanning-tree vlan 34,38,56,100,200,300,500,666,priority 0
底层网络的 etherchannel与trunk设计优化:交换机中间全部trunk使用802.1q封装,捆绑sw1与sw 2之间的链路使得带宽增大Etherchannel必须进行负载平衡,基于源和目的MAC地址。
Sw1/2/3/4(config)#int ran f0/19-24
Sw1/2/3/4(config-if)#sw tr en do
Sw1/2/3/4(config-if)#sw mo tr
Sw1/2/3/4(config-if)#sw nonegoticate
Sw1/2/3/4(config-if)#sw tr native vlan 999
Sw1/2/3/4(config)#vlan dot1q tag native
Sw1(config)#int ran f0/23-24
Sw1(config-if)#channel-group 12 mode desirable
Sw1(config)#int f0/24
Sw1(config-if)#pagp port-priority 255
Sw1(config)#port-channel load-balance src-dst-mac
Sw2(config)int ran f0/23-24
Sw2(config-if)#channel-group 21 mode auto
Sw2(config)#int f0/24
Sw2(config-if)#pagp port-priority 255
Sw2(config)#port-channel load-balance src-dst-mac
2.2 三层网络的设计与优化
路由器的配置规划设计:内部网络为OSPF,EIGRP,RIP区域混合。路由协议的具体应用(IGP协议的运用):Rip协议的应用设计:R4,R5为RIP区域。
RIP version2
R4(config)#router rip
R4(config-router)#ver 2
R4(config-router)#no au
R4(config-router)#passive-interface default
R4(config-router)#no passive-interface f0/0
R4(config-router)#net yy.0.0.0
R5(config)#router rip
R5(config-router)#ver 2
R5(config-router)#no au
R5(config-router)#passive-interface default
R5(config-router)#no passive-interface f0/1
R5(config-router)#net yy.0.0.0
R5(config-router)#redistribute ospf yy metric 3
R5(config)#route-map con
R5(config-route-map)#match interface f0/1
R5(config)#router ospf yy
R5(config-router)#redistribute con su route-map con
Eigrp协议的应用设计:
R2,R3,SW3,SW4 为 EIGRP 区域
SW3为第三个出口设备,与外部建立EIGRP进程号为100
R3(config)#router ei yy
R3(config-router)#no au
R3(config-router)#net yy.yy.38.00.0.0.255
R2(config)#router ei yy
R2(config-router)#no au
R2(config-router)#net yy.yy.29.00.0.0.255
Sw4(config)#router ei yy
Sw4(config-router)#no au
Sw4(config-router)#net yy.yy.9.90.0.0.0
Sw4(config-router)#net yy.yy.29.00.0.0.255
Sw4(config-router)#net yy.yy.89.00.0.0.255
Sw3(config)#router ei yy
Sw3(config-router)#no au
Sw3(config-router)#net yy.yy.8.80.0.0.0
Sw3(config-router)#net yy.yy.89.00.0.0.255
Sw3(config-router)#net yy.yy.38.00.0.0.255
Sw3(config-router)#redistribute eigrp 100
Sw3(config)#router ei 100
Sw3(config-router)#no au
Sw3(config-router#net 150.3.yy.00.0.0.255
路由协议的应用(BGP协议的运用):主出口设备走R1,次优备份路径走R2,R1保证bgp的连接安全,R3、R5为bgp的反射器,设备的物理接口断开不影响ibgp邻居的建立外部BGP互联的设计与优化。
R1(config)#router bgp yy
R1(config-router)#no syn
R1(config-router)#no au
R1(config-router)#bgp default local-pre 150
R1(config-router)#nei yy.yy.3.3 remote yy
R1(config-router)#nei yy.yy.3.3 up lo0
R1(config-router)#nei yy.yy.5.5 remote yy
R1(config-router)#nei yy.yy.5.5 up lo0
R1(config-router)#nei 150.1.yy.254 remote 254
R1(config-router)#nei 150.1.yy.254 ttl-sec 254
R1(config-router)#redistribute ospf yy ma in ex
R2(config)#router bgp yy
R2(config-router)#no syn
R2(config-router)#no au
R2(config-router)#nei yy.yy.3.3 remote yy
R2(config-router)#nei yy.yy.3.3 up lo0
R2(config-router)#nei yy.yy.5.5 remote yy
R2(config-router)#nei yy.yy.5.5 up lo0
R2(config-router)#nei 150.2.yy.254 remote 254
R2(config-router)#nei 150.2.yy.254 maximum-prefix 3 100 warnning-only
R2(config-router)#redistribute ospf yy ma in ex
R3(config)#router bgp yy
R3(config-router)#no syn
R3(config-router)#no au
R3(config-router)#cluster-id yy.yy.35.35
R3(config-router)#nei yy.yy.1.1 remote yy
R3(config-router)#nei yy.yy.1.1 up lo0
R3(config-router)#nei yy.yy.1.1 route-re
R3(config-router)#nei yy.yy.2.2 remote yy
R3(config-router)#nei yy.yy.2.2 up lo0
R3(config-router)#nei yy.yy.2.2 route-re
R3(config-router)#nei yy.yy.4.4 remote yy
R3(config-router)#nei yy.yy.4.4 up lo0
R3(config-router)#nei yy.yy.4.4 route-re
R4(config)#router bgp yy
R4(config-router)#no syn
R4(config-router)#no au
R4(config-router)#nei yy.yy.3.3 remote yy
R4(config-router)#nei yy.yy.3.3 up lo0
R4(config-router)#nei yy.yy.5.5 remote yy
R4(config-router)#nei yy.yy.5.5 up lo0
R5(config)#router bgp yy
R5(config-router)#no syn
R5(config-router)#no au
R5(config-router)#cluster-id yy.yy.35.35
R5(config-router)#nei yy.yy.1.1 remote yy
R5(config-router)#nei yy.yy.1.1 up lo0
R5(config-router)#nei yy.yy.1.1 route-re
R5(config-router)#nei yy.yy.2.2 remote yy
R5(config-router)#nei yy.yy.2.2 up lo0
R5(config-router)#nei yy.yy.2.2 route-re
R5(config-router)#nei yy.yy.4.4 remote yy
R5(config-router)#nei yy.yy.4.4 up lo0
R5(config-router)#nei yy.yy.4.4 route-re
R5(config)#int s0/0/0
R5(config-if)#ip os co 1
网络环境的整体优化:针对所用到的路由协议之间交互的优化与设计。R4收到的ospf路由从R3来,EIGRP路由从R5来,R2,R3双向重发布,路由不能混乱。
R4 router ospf 100 distance ospf external 125
R2/R3 router eigrp YY redistribute ospf YY metric 1000 100 255 1 1500
Router ospf YY redistribute eigrp YY subnets
distance ospf external 171 distance 110 35.35.5.50.0.0.0 10
ac 10 permit yy.yy.45.0
2.3 整体网络后期的设计与优化
防火墙的设计与运用:假设在R1上开启防火墙功能,在此出口设备上保证流量的流向和内部外部设备的交互,现在假如公司内部与外部的流量通过只允许,ICMP,http。具体实施方案如下,其中的class-map里抓得就是允许通过的流量。
R1(config)#zone security A
R1(config)#zone security B
R1(config)#int s0/0/1
R1(config-if)#zone-member security A
R1(config)#int f0/0
R1(config-if)#zone-member security A
R1(config)#int f0/1
R1(config-if)#zone-member security B
R1(config)#class-map type inspect match-all A_B
R1(config-cmap)#match protocol icmp
R1(config-cmap)#match protocolhttp
R1(config)#policy-map type inspect pmap_A_B
R1(config-pmap)#class type inspect A_B
R1(config-pmap-c)#pass
R1(config-pmap)#class type inspect class-default
R1(config-pmap-c)#pass
R1(config)#zone-pair security A_B source A destination B
R1(config-sec-zone-pair)#serice-policy type inspect pmap_A_B
R1(config)#zone-pair security B_A source B destination A
R1(config-sec-zone-pair)#serice-policy type inspect pmap_A_B
QOS的设计与运用:流量的分类,流量的整形,流量的监管,流量的限速机制,队列机制,丢弃机制的设计应用。现在假设如果从外部网络收到攻击,并且找出了攻击的流量source地址为197.68.1.0,但是这个地址又不允许将它的访问功能取消,现在设计一个基于QOS的处理方法。使得从197.68.1.0/24从BB1流量被攻击的OSPF区域0,应限制为128K R1上的每个接口上,使用shape整形。
R1(config)#ac 1 permit 197.68.1.00.0.0.255
R1(config)#class-map bb1
R1(config-cmap)#match access-group 1
R1(config-cmap)#match input-interface f0/1
R1(config)#policy-map mqc
R1(config-pmap)#class bb1
R1(config-pmap-c)#shape average 12800
R1(config)#int f0/0
R1(config-if)#service-policy output mqc
R1(config#int s0/0/1
R1(config-if)#service-policy output mqc
热备份的设计与应用:作为大型的网络,提供2台额外的设备进行冗余是很有必要的,一台设备热备,一台冷备。具体设计实施方案如下:(这里是必须根据2层的STP生成树来设计)定义用户网关配置VLAN 500 为 YY.YY.100.254:该 IP YY.YY.100.1 应分配给主 HSRP 网关和 YY.YY.100.2 应分配给辅助 HSRP 网关。活动组网关分配应符合跨越VLAN 500的树的根活跃。主动网关优先级120和待机时保持默认。定义跟踪对象组,这是一个网络的可达性150.1.YY.0/24。两个开关之间的身份验证-MD5密码cisco。主网关应该有恢复主要作用的能力,一旦被跟踪的对象是可达的:
Sw1(config)#int vlan 500
Sw1(config-if)#ip add yy.yy.100.2 255.255.255.0
Sw1(config-if)#standby 1 ip yy.yy.100.254
Sw1(config-if)#standby 1 preemt
Sw1(config-if)#standby 1 authentication md5 key-string CCIE
Sw1(config-if)#standby 1 timers msce 200 1
Sw2(config)#int vlan 500
Sw2(config-if)#ip add yy.yy.100.1 255.255.255.0
Sw2(config-if)#standby 1 ip yy.yy.100.254
Sw2(config-if)#standby 1 preemt
Sw2(config-if)#standby 1 authentication md5 key-string CCIE
Sw2(config-if)#standby 1 timers msce 200 1
Sw1(config-if)#standby 1 track 1 decrement 25
Sw2(config-if)#standby 1 priority 120
Sw2(config)#track 1 ip route 150.1.yy.0 255.255.255.0 reachabily
4 结语
本文基于WEB-IOU设计了大型企业网络的整个三层架构,分别设计了从接入到汇聚到核心的解决方案,从二层VLAN的同步到STP的使用对于二层网络的精确控制,三层网络的路由协议的选择,路径的优化,路由协议混杂的交错优化,对于网络内部流量的分类整形,队列,丢弃,内网与外网的连接,安全,简单的防火墙的设置,对内外部通过流量进行精确的匹配。由于物理设备还是有可能出现问题,于是在核心交换机上设置备份保证网络的冗余性,后期为方便网络管理者的日常管理。整个企业网络的架构全部在WEBIOU中完成,并真实地模拟了企业的实际网络环境,可以方便后期的升级及维护。
[1]杨浚.通过IOU-web构建虚拟网络实验平台[J].考试周刊,2014(77):111.
[2]陆利刚,黄静.WebIOU软件在计算机网络实验教学中的应用[J].现代计算机:上下旬,2013(9):56-58.
[3]黄睿、周伟.基于web IOU和VMware的虚拟网络实验室研究[J].电脑知识与技术,2013(36):8234-8236.
[4]王达.Cisco路由器配置与管理完全手册[M].2版,北京:中国水利水电出版社,2013.
[5]梁广民、王隆杰.思科网络实验室路由、交换实验指南[M].北京:电子工业出版社,2013.
猜你喜欢
海洋信息技术与应用(2022年1期)2022-06-05
铁道通信信号(2020年9期)2020-02-06
网络安全和信息化(2020年1期)2020-01-15
太原学院学报(自然科学版)(2019年3期)2019-09-23
太原科技大学学报(2019年3期)2019-08-05
科技与创新(2018年1期)2018-12-23
铁道通信信号(2018年10期)2018-12-06
太空探索(2016年10期)2016-07-10
移动通信(2015年18期)2015-08-24
太阳能(2015年7期)2015-04-12
