交換機(jī)與路由器設(shè)計(jì)實(shí)驗(yàn)報(bào)告

．設(shè)計(jì)任務(wù)描述某校有本科生宿舍4座，每座3層，每層8間房，每間房4個(gè)學(xué)生，。要求對(duì)學(xué)生宿舍的網(wǎng)絡(luò)進(jìn)行設(shè)計(jì)規(guī)劃，設(shè)計(jì)時(shí)需滿足下列要求：在宿舍區(qū)提供一個(gè)學(xué)生服務(wù)器機(jī)房，供學(xué)生社團(tuán)放置各類服務(wù)器；在學(xué)生服務(wù)器機(jī)房，設(shè)置一個(gè)代理服務(wù)器供同學(xué)們使用學(xué)校分配了1段C類IP地址給該學(xué)生服務(wù)器機(jī)房，IP地址為/24。；擬保證每個(gè)學(xué)生有一個(gè)上網(wǎng)端口；學(xué)生機(jī)器采用私有IP地址，通過代理服務(wù)器上校外網(wǎng)。設(shè)計(jì)時(shí)盡量能夠減少廣播風(fēng)暴；請(qǐng)根據(jù)以上環(huán)境和設(shè)計(jì)要求設(shè)計(jì)該網(wǎng)絡(luò)，完成下列工作并撰寫相關(guān)文檔：選擇相應(yīng)的網(wǎng)絡(luò)設(shè)備（以Cisco品牌為藍(lán)本，寫出參數(shù)和數(shù)量）；寫出設(shè)計(jì)方案、畫出網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)、并闡述設(shè)計(jì)理由；利用Boson的模擬器，將上述網(wǎng)絡(luò)中的路由器及主要的交換機(jī)作模擬配置及測(cè)試。(注：不用模擬所有交換機(jī)，只需模擬一部分有代表性的即可)。2．設(shè)計(jì)分析2.1網(wǎng)絡(luò)IP地址計(jì)算分析計(jì)劃學(xué)生宿舍每層分為一個(gè)VLAN，根據(jù)設(shè)計(jì)任務(wù)，8*4=32，可知每層至少需要32個(gè)地址，由2^5=32，2^6>32，可得每個(gè)VLAN的子網(wǎng)掩碼為26位。共有4座宿舍，每座3層，則一共需要3*4=12個(gè)VLAN，2^4=16，一共需要4位二進(jìn)制來表示。綜上所述，宿舍區(qū)的匯總IP地址的掩碼為10位。服務(wù)器機(jī)房分配一個(gè)C類私網(wǎng)網(wǎng)段。提供的外網(wǎng)地址，一部分用于NAT轉(zhuǎn)換，滿足內(nèi)網(wǎng)用戶訪問外網(wǎng)的需求；一部分預(yù)留，作為對(duì)外網(wǎng)提供服務(wù)的服務(wù)器的外網(wǎng)地址。具體IP地址規(guī)劃如下表：學(xué)生宿舍IP地址規(guī)劃宿舍號(hào)層數(shù)VLAN號(hào)/VLAN名網(wǎng)絡(luò)號(hào)子網(wǎng)掩碼A1VLAN11/A14922VLAN12/A228923VLAN13/A39292B1VLAN21/B14922VLAN22/B228923VLAN23/B39292C1VLAN31/C14922VLAN32/C228923VLAN33/C39292學(xué)生宿舍IP地址規(guī)劃宿舍號(hào)層數(shù)VLAN號(hào)/VLAN名網(wǎng)絡(luò)號(hào)子網(wǎng)掩碼D1VLAN41/D14922VLAN42/D228923VLAN43/D39292服務(wù)器機(jī)房私網(wǎng)地址分配網(wǎng)絡(luò)號(hào)子網(wǎng)掩碼公網(wǎng)地址分配地址范圍用途/24——00/24用于代理服務(wù)器訪問外網(wǎng)01/24——54/24備用作為對(duì)外服務(wù)器的外網(wǎng)地址2.2網(wǎng)絡(luò)設(shè)備需求分析核心層交換機(jī)思科WS-C6509-NEB-A詳細(xì)參數(shù)查看：更多信息|產(chǎn)品圖片基本參數(shù)產(chǎn)品型號(hào)WS-C6509-NEB-A產(chǎn)品類型千兆以太網(wǎng)交換機(jī)傳輸方式存儲(chǔ)轉(zhuǎn)發(fā)方式背板帶寬720Gbps包轉(zhuǎn)發(fā)

387Mpps外形尺寸846×437×460mm重量24.9Kg硬件參數(shù)最大DRAM內(nèi)存256MB接口類型DS0到OC-48,100BASE-FX接口數(shù)目9口傳輸速率10/100/1000Mbps網(wǎng)絡(luò)與軟件支持網(wǎng)絡(luò)標(biāo)準(zhǔn)IEEE802.3,IEEE802.3u,IEEE802.1s,IEEE802.1w,IEEE802.3ad網(wǎng)管功能CiscoWorks2000,RMON,增強(qiáng)交換端口分析器(ESPAN),SNMP,Telnet,BOOTP,TFTPMAC地址表128K其它參數(shù)最大功率DC,6000;AC,4000W數(shù)據(jù)來源：太平洋電腦網(wǎng)產(chǎn)品報(bào)價(jià)()匯聚層交換機(jī)思科WS-C3750G-24T-S詳細(xì)參數(shù)查看：更多信息|產(chǎn)品圖片基本參數(shù)產(chǎn)品型號(hào)WS-C3750G-24T-S產(chǎn)品類型企業(yè)級(jí),三層,可網(wǎng)管型交換機(jī),千兆交換機(jī)傳輸方式存儲(chǔ)轉(zhuǎn)發(fā)方式背板帶寬32Gbps包轉(zhuǎn)發(fā)率35.7Mpps外形尺寸326×445×44mm重量4.55Kg硬件參數(shù)接口類型10/100BASE-TX端口,10/100/1000BASE-T端口,10/100/1000Base-T接口數(shù)目24口傳輸速率10M/100M/1000Mbps模塊化插槽數(shù)0堆疊可堆疊網(wǎng)絡(luò)與軟件支持網(wǎng)絡(luò)標(biāo)準(zhǔn)IEEE802.3,802.3u,802.3z,802.3abVLAN支持支持VLAN功能,支持VLAN網(wǎng)管功能支持網(wǎng)管功能,支持SNMP管理是否支持全雙工支持全雙工,支持全雙工MAC地址表12K其它參數(shù)電源電壓200V-240V最大功率135W數(shù)據(jù)來源：太平洋電腦網(wǎng)產(chǎn)品報(bào)價(jià)()接入層交換機(jī)：思科WS-C2960-48TT-L詳細(xì)參數(shù)查看：更多信息|產(chǎn)品圖片基本參數(shù)產(chǎn)品型號(hào)WS-C2960-48TT-L產(chǎn)品類型桌面級(jí),企業(yè)級(jí),二層,可網(wǎng)管型交換機(jī),快速以太網(wǎng)型傳輸方式存儲(chǔ)轉(zhuǎn)發(fā)方式背板帶寬16Gbps包轉(zhuǎn)發(fā)率10.1Mpps外形尺寸236x445x44mm重量3.6Kg硬件參數(shù)最大DRAM內(nèi)存64M接口類型10/100Base-T端口,10/100/1000BASE-T端口接口數(shù)目48傳輸速率10M/100M/1000Mbps模塊化插槽數(shù)2管理端口1堆疊不可堆疊網(wǎng)絡(luò)與軟件支持網(wǎng)絡(luò)標(biāo)準(zhǔn)IEEE802.3,IEEE802.3u,IEEE802.1x,IEEE802.1Q,IEEE802.1p,IEEE802.1D,IEEE802.1s.IEEE802.1w,IEEE802.3ad,IEEE802.3z,IEEE802.3VLAN支持支持VLAN功能端口聚合支持端口聚合功能網(wǎng)管功能支持網(wǎng)管功能是否支持全雙工支持全雙工MAC地址表8K其它參數(shù)電源電壓100VAC-240VAC,50Hz/60Hz,1.3-0.8A最大功率45W數(shù)據(jù)來源：太平洋電腦網(wǎng)產(chǎn)品報(bào)價(jià)()防火墻路由器思科ASA5510-DC-K8詳細(xì)參數(shù)查看：更多信息|產(chǎn)品圖片基本參數(shù)產(chǎn)品型號(hào)ASA5510-DC-K8產(chǎn)品類型企業(yè)級(jí)防火墻最大吞吐量300Mbps安全過濾帶寬170Mbps外形尺寸362×200.4×44.5mm重量9.07Kg硬件參數(shù)固定接口3+1個(gè)管理快速以太網(wǎng)端口,可升級(jí)到5個(gè)快速以太網(wǎng)端口網(wǎng)絡(luò)與軟件網(wǎng)絡(luò)管理思科安全管理器(CS-Manager),Web用戶數(shù)限制無用戶數(shù)限制并發(fā)連接數(shù)130000并發(fā)連接數(shù)VPN支持VPN功能認(rèn)證標(biāo)準(zhǔn)UL1950,CSAC22.2No.950,EN60950IEC60950,AS/NZS3260,TS001功能特點(diǎn)控制端口:console,2個(gè)RJ-45

工作溫度:0-40℃;工作濕度:5-95%不凝結(jié);存儲(chǔ)溫度:-25-70℃;存儲(chǔ)濕度5-95%不凝結(jié)

高性能防火墻,IPS,以及IPSec和SSLVPN和IPSecVPN(150個(gè)設(shè)備對(duì))軟件,支持防垃圾郵件,URL阻攔和過濾,以及防網(wǎng)絡(luò)釣魚其它參數(shù)電源電壓DC數(shù)據(jù)來源：太平洋電腦網(wǎng)產(chǎn)品報(bào)價(jià)()設(shè)備需求統(tǒng)計(jì)型號(hào)數(shù)量思科WS-C6509-NEB-A2思科WS-C3750G-24T-S4思科WS-C2960-48TT-L12思科ASA5510-DC-K812.3網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)設(shè)計(jì)與分析上圖是一個(gè)拓?fù)涫疽鈭D，用在說明設(shè)計(jì)意圖，沒有畫出所有設(shè)備。這次設(shè)計(jì)沒把成本作為一個(gè)考慮因素，為了熟悉多種技術(shù)，盡可能嘗試設(shè)計(jì)成具有高可靠性的網(wǎng)絡(luò)。拓?fù)湓O(shè)計(jì)采用經(jīng)典的三層結(jié)構(gòu)：核心層，匯聚層，接入層。學(xué)生電腦連接到每個(gè)樓層的接入交換機(jī)，各接入交換機(jī)再連接到宿舍區(qū)的匯聚層交換機(jī)。每個(gè)區(qū)域的匯聚層交換機(jī)最終接入核心層。核心層交換機(jī)通過帶防火墻的路由器連接到因特網(wǎng)。服務(wù)器機(jī)房放置有代理服務(wù)器，學(xué)生用戶無法直接訪問外網(wǎng)，必須統(tǒng)一使用代理服務(wù)器訪問外網(wǎng)。服務(wù)器機(jī)房的服務(wù)器大體分為兩種，一種是僅面向內(nèi)網(wǎng)提供服務(wù)的機(jī)器，這類機(jī)器通過一個(gè)交換機(jī)接入到核心層交換機(jī)上；另一種是面向外網(wǎng)提供服務(wù)的機(jī)器，通過交換機(jī)連接到防火墻的DMZ口。為了使核心交換設(shè)備將性能主要用于數(shù)據(jù)交換，在設(shè)計(jì)中盡可能減少核心設(shè)備實(shí)習(xí)除路由交換外的功能。VTP，VLAN等配置下移到匯聚層路由器。使用雙匯聚的結(jié)構(gòu)，運(yùn)行VRRP，使得匯聚層的兩臺(tái)設(shè)備互為主備。學(xué)生宿舍區(qū)采用VLAN技術(shù)，對(duì)原有的大廣播域進(jìn)行合理劃分，每層劃為一個(gè)VLAN，減少廣播沖突，方便鎖定故障域。采用VTP技術(shù)，方便對(duì)眾多VLAN統(tǒng)一管理，減少配置出錯(cuò)的機(jī)會(huì)。相鄰接入層交換機(jī)進(jìn)行連接，當(dāng)某臺(tái)接入層交換機(jī)到匯聚層交換機(jī)的連線故障時(shí)，可以通過其他接入交換機(jī)跟匯聚層交換機(jī)通信。此時(shí)要開啟STP服務(wù)，實(shí)現(xiàn)冗余的同時(shí)避免出現(xiàn)環(huán)路。

3.利用GNS3模擬器進(jìn)行設(shè)計(jì)實(shí)施及測(cè)試3.1設(shè)計(jì)要點(diǎn)分析模擬實(shí)驗(yàn)中可以實(shí)現(xiàn)的技術(shù)要點(diǎn)有以下幾點(diǎn)：VLAN（包括VTP，STP）NAT技術(shù)OSPF路由技術(shù)VRRP技術(shù)下圖為模擬實(shí)驗(yàn)的拓?fù)鋱D：Core是核心層交換機(jī)。Dorm是學(xué)生宿舍區(qū)的匯聚層交換機(jī)。A1B1模擬接入層交換機(jī)。Firewall是網(wǎng)絡(luò)邊界，Internet模擬因特網(wǎng)。Proxy是機(jī)房的代理服務(wù)器。PC1、PC2是分處兩個(gè)不同VLAN的學(xué)生機(jī)器。核心層兩臺(tái)設(shè)備運(yùn)行OSPF路由，主要負(fù)責(zé)高速交換數(shù)據(jù)。匯聚層設(shè)備，作為VTPServer，同時(shí)配置VRRP，提供網(wǎng)關(guān)冗余。Firewall上做NAT轉(zhuǎn)換，同時(shí)使用ACL限制學(xué)生機(jī)器之間訪問外網(wǎng)。但Proxy可以訪問外網(wǎng)。如此就能實(shí)現(xiàn)學(xué)生機(jī)器無法直接訪問外網(wǎng)，必須配置好代理服務(wù)器才能訪問外網(wǎng)。3.2各網(wǎng)絡(luò)設(shè)備參數(shù)設(shè)置及分析（詳細(xì)配置在“命令記錄”文件夾）VLAN配置：每個(gè)VLAN的網(wǎng)關(guān)設(shè)置在匯聚交換機(jī)上。VLAN采用VTP，匯聚交換機(jī)為VTPServer，接入交換機(jī)為VTPClient。開啟STP，把VLAN的根平均分布在兩個(gè)匯聚層交換機(jī)上。以下是模擬實(shí)驗(yàn)中與VLAN有關(guān)的配置：Dorm1#vlandatabaseDorm1(vlan)#vtpserverDorm1(vlan)#vtpdomaindormDorm1(vlan)#vtppassword3108006451Dorm1(vlan)#vtppruningDorm1(vlan)#vlan11nameA1Dorm1(vlan)#vlan21nameB1Dorm1(vlan)#exitDorm1#conftDorm1(config)#intf0/3Dorm1(config-if)#switchportmodetrunkDorm1(config-if)#intf0/15Dorm1(config-if)#switchportmodetrunkDorm1(config)#interfacevlan11Dorm1(config-if)#ipadd692Dorm1(config-if)#noshutDorm1(config-if)#intvlan21Dorm1(config-if)#ipadd692Dorm1(config-if)#noshutDorm1(config-if)#iproutingDorm1(config)#spanning-treevlan11rootpriDorm1(config)#spanning-treevlan11rootprimaryA1B1#vlandatabaseA1B1(vlan)#vtpclientA1B1(vlan)#vtpdomaindormA1B1(vlan)#vtppassword3108006451A1B1(vlan)#vtppruningA1B1(vlan)#exitA1B1#conftA1B1(config)#intrangef0/1-2A1B1(config-if-range)#switchportmodetrunkA1B1(config-if-range)#endA1B1(config-if)#intrangef0/3-15A1B1(config-if-range)#switchportmodeaccessA1B1(config)#intf0/3A1B1(config-if)#switchportaccessvlan11A1B1(config-if-range)#intf0/4A1B1(config-if)#switchportaccessvlan21OSPF配置：關(guān)于OSPF的配置，需要說明的是在兩臺(tái)核心交換機(jī)上，要使用default-informationoriginatealways命令，向其他運(yùn)行OSPF的設(shè)備注入一條默認(rèn)路由，指向核心交換機(jī)。這樣可以使兩臺(tái)核心分擔(dān)負(fù)載，同時(shí)也互為冗余。在firewall上，通過iproute命令配置的靜態(tài)路由，優(yōu)先級(jí)高于OSPF發(fā)布的靜態(tài)路由，會(huì)進(jìn)行覆蓋。以下是模擬實(shí)驗(yàn)中與OSPF有關(guān)的配置：Core1(config)#iproutef0/1Core1(config)#routeros100Core1(config)#router-idCore1(config-router)#neta0Core1(config-router)#neta0Core1(config-router)#net2a0Core1(config-router)#net6a0Core1(config-router)#net55a0Core1(config-router)#default-informationoriginatealwaysDorm1(config)#routeros100Dorm1(config-router)#router-idDorm1(config-router)#net2a0Dorm1(config-router)#net0a0Dorm1(config-router)#net427a1Dorm1(config-router)#net427a1動(dòng)態(tài)NAT配置： 需要說明的是，配置NAT的過程中，只允許服務(wù)器機(jī)房的私網(wǎng)地址（/24）進(jìn)行NAT轉(zhuǎn)換，NAT地址池的范圍就是學(xué)校分配給服務(wù)器機(jī)房的地址（具體分配見IP地址規(guī)劃部分），在firewall上做個(gè)ACL，只允許服務(wù)器機(jī)房私網(wǎng)地址通過。通過上述做法，可以使得只有服務(wù)器機(jī)房的設(shè)備才能通過NAT訪問外網(wǎng)，其他內(nèi)網(wǎng)機(jī)器（比如學(xué)生機(jī)器）必須通過代理服務(wù)器才能訪問外網(wǎng)。以下是模擬實(shí)驗(yàn)中與NAT有關(guān)的配置：Firewall(config)#access-list50permit55Firewall(config)#ipnatpoolNATPOOL00netmaskFirewall(config)#ipnatinsidesourcelist50poolNATPOOLFirewall(config)#intf1/0Firewall(config-if)#ipnatinsideFirewall(config-if)#intf2/0Firewall(config-if)#ipnatinsideFirewall(config-if)#intf0/0Firewall(config-if)#ipnatoutside以下ACL，使得只有服務(wù)器機(jī)房私網(wǎng)IP和服務(wù)器公網(wǎng)IP的數(shù)據(jù)才能通過firewall。Firewall(config)#access-list10deny55Firewall(config)#access-list10permitanyFirewall(config)#intf0/0Firewall(config-if)#ipaccessFirewall(config-if)#ipaccess-group10out配置靜態(tài)路由，讓Firewall知道以NAT地址池為目的地址的數(shù)據(jù)如何轉(zhuǎn)發(fā)。同時(shí)，在Internet上也要配置一條路由，指向NAT地址池。Firewall(config)#iproutef1/0Firewall(config)#iproutef2/010Internet(config)#iproutef0/0VRRP配置：兩臺(tái)匯聚層交換機(jī)Dorm1和Dorm2互為主備，當(dāng)其中一臺(tái)down時(shí)另外一臺(tái)能接手它的工作。用track命令追蹤到服務(wù)器機(jī)房的路由可達(dá)性，當(dāng)在某臺(tái)設(shè)備上該路由不可達(dá)時(shí)，會(huì)降低其在VRRP組中的優(yōu)先，從而轉(zhuǎn)為后備，另外一個(gè)設(shè)備轉(zhuǎn)為主設(shè)備。Dorm1(config)#track1iproute/24reachabilityDorm1(config)#intvlan11Dorm1(config-if)#vrrp11ip5Dorm1(config-if)#vrrp11preemptDorm1(config-if)#vrrp11priority100Dorm1(config-if)#vrrp11track1decrement50Dorm1(config)#intvlan21Dorm1(config-if)#vrrp21ip5Dorm1(config-if)#vrrp21preemptDorm1(config-if