丁傳煒

(江蘇省揚(yáng)州商務(wù)高等職業(yè)學(xué)校225127)

0 引言

現(xiàn)在網(wǎng)絡(luò)的發(fā)展速度越來越快，目前的網(wǎng)絡(luò)架構(gòu)還不足以應(yīng)付日后復(fù)雜的網(wǎng)絡(luò)情況，特別是大型企業(yè)，網(wǎng)絡(luò)規(guī)劃建設(shè)必須考慮到未來升級和發(fā)展的需要。本文基于一則大型企業(yè)的網(wǎng)絡(luò)現(xiàn)狀設(shè)計該公司的內(nèi)部網(wǎng)絡(luò)，解決公司內(nèi)部員工以及總公司與分公司，總公司與運(yùn)營商之前的通信，并提出整體優(yōu)化的后期實(shí)施方案，實(shí)現(xiàn)公司內(nèi)網(wǎng)的優(yōu)化及可控性，方便公司以后進(jìn)行網(wǎng)絡(luò)升級。一般大型網(wǎng)絡(luò)在組建前，都需要進(jìn)行可行性方案的設(shè)計，由于普通的虛擬軟件模擬不出具體的網(wǎng)絡(luò)feature，所以本文選用Cisco Web－IOU全真模擬軟件，模擬建構(gòu)真實(shí)的網(wǎng)絡(luò)環(huán)境，為企業(yè)組網(wǎng)提供可行性的實(shí)施方案。

1 一則大型企業(yè)網(wǎng)絡(luò)現(xiàn)狀

XX公司是一家通信設(shè)備廠商生產(chǎn)、銷售的一體化公司，經(jīng)過多年的努力與發(fā)展，已具有一定的規(guī)模，現(xiàn)有員工近1000人，一家分公司，主要負(fù)責(zé)設(shè)備的生產(chǎn)、銷售、售后維護(hù)等公司相關(guān)業(yè)務(wù)?？偣九c運(yùn)營商之間的出口跑的是BGP，出口為3個，分別電信，網(wǎng)通BGP，鐵通的是EIGRP?，F(xiàn)狀實(shí)現(xiàn)網(wǎng)絡(luò)的整體設(shè)計與優(yōu)化，使得公司內(nèi)部網(wǎng)絡(luò)與分公司之間數(shù)據(jù)的通信沒有問題，并滿足內(nèi)部員工的日常使用需求。所以在內(nèi)部通信方面運(yùn)用了比較復(fù)雜的網(wǎng)絡(luò)結(jié)構(gòu)，包括多動態(tài)路由協(xié)議，目前根據(jù)現(xiàn)狀需要設(shè)計企業(yè)網(wǎng)絡(luò)設(shè)計拓樸結(jié)構(gòu)圖，如圖1所示;并對網(wǎng)絡(luò)的二、三層網(wǎng)絡(luò)的設(shè)計與優(yōu)化，最后是整體網(wǎng)絡(luò)后期的設(shè)計與優(yōu)化。

圖1 整個企業(yè)網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)圖

2 WEB－IOU大型網(wǎng)絡(luò)的設(shè)計

2.1 二層網(wǎng)絡(luò)的設(shè)計與優(yōu)化

底層網(wǎng)絡(luò)的vtp設(shè)計與實(shí)施:

VTPdomain為CISCO

Vtp password為123

Vtp version為v 2

Vtp模式為transparent(先C/S后transparent

Sw1/2/3/4(config)#vtp domain CCIE

Sw1/2/3/4(config)#vtp version 2

Sw1/2/3/4(config)#vtp mode transparent

Sw1/2/3/4(config)#vtp password cisco

底層網(wǎng)絡(luò)的STP設(shè)計與優(yōu)化:使用820.1w

Sw1為所有奇數(shù)vlan的跟橋，偶數(shù)vlan的備份跟橋

Sw2為所有偶數(shù)vlan的跟橋，奇數(shù)vlan的備份跟橋

所有沒用到的接口需要劃入vlan 999后shutdown

Sw1/2/3/4(config)#spanning－tree mode rapid－pvst

Sw1/2(config)#spanning－tree vlan 1－4094 hello－time 1

Sw1(config)#spanning－tree vlan 1，17，29，45，67，89，333，999，priority 0

Sw1(config)#spanning－tree vlan 34，38，56，100，200，300，500，666，priority 4096

Sw2(config)#spanning－tree vlan 1，17，29，45，67，89，333，999priority 4096

Sw2(config)#spanning－tree vlan 34，38，56，100，200，300，500，666，priority 0

底層網(wǎng)絡(luò)的 etherchannel與trunk設(shè)計優(yōu)化:交換機(jī)中間全部trunk使用802.1q封裝，捆綁sw1與sw 2之間的鏈路使得帶寬增大Etherchannel必須進(jìn)行負(fù)載平衡，基于源和目的MAC地址。

Sw1/2/3/4(config)#int ran f0/19－24

Sw1/2/3/4(config－if)#sw tr en do

Sw1/2/3/4(config－if)#sw mo tr

Sw1/2/3/4(config－if)#sw nonegoticate

Sw1/2/3/4(config－if)#sw tr native vlan 999

Sw1/2/3/4(config)#vlan dot1q tag native

Sw1(config)#int ran f0/23－24

Sw1(config－if)#channel－group 12 mode desirable

Sw1(config)#int f0/24

Sw1(config－if)#pagp port－priority 255

Sw1(config)#port－channel load－balance src－dst－mac

Sw2(config)int ran f0/23－24

Sw2(config－if)#channel－group 21 mode auto

Sw2(config)#int f0/24

Sw2(config－if)#pagp port－priority 255

Sw2(config)#port－channel load－balance src－dst－mac

2.2 三層網(wǎng)絡(luò)的設(shè)計與優(yōu)化

路由器的配置規(guī)劃設(shè)計:內(nèi)部網(wǎng)絡(luò)為OSPF，EIGRP，RIP區(qū)域混合。路由協(xié)議的具體應(yīng)用(IGP協(xié)議的運(yùn)用):Rip協(xié)議的應(yīng)用設(shè)計:R4，R5為RIP區(qū)域。

RIP version2

R4(config)#router rip

R4(config－router)#ver 2

R4(config－router)#no au

R4(config－router)#passive－interface default

R4(config－router)#no passive－interface f0/0

R4(config－router)#net yy.0.0.0

R5(config)#router rip

R5(config－router)#ver 2

R5(config－router)#no au

R5(config－router)#passive－interface default

R5(config－router)#no passive－interface f0/1

R5(config－router)#net yy.0.0.0

R5(config－router)#redistribute ospf yy metric 3

R5(config)#route－map con

R5(config－route－map)#match interface f0/1

R5(config)#router ospf yy

R5(config－router)#redistribute con su route－map con

Eigrp協(xié)議的應(yīng)用設(shè)計:

R2，R3，SW3，SW4 為 EIGRP 區(qū)域

SW3為第三個出口設(shè)備，與外部建立EIGRP進(jìn)程號為100

R3(config)#router ei yy

R3(config－router)#no au

R3(config－router)#net yy.yy.38.00.0.0.255

R2(config)#router ei yy

R2(config－router)#no au

R2(config－router)#net yy.yy.29.00.0.0.255

Sw4(config)#router ei yy

Sw4(config－router)#no au

Sw4(config－router)#net yy.yy.9.90.0.0.0

Sw4(config－router)#net yy.yy.29.00.0.0.255

Sw4(config－router)#net yy.yy.89.00.0.0.255

Sw3(config)#router ei yy

Sw3(config－router)#no au

Sw3(config－router)#net yy.yy.8.80.0.0.0

Sw3(config－router)#net yy.yy.89.00.0.0.255

Sw3(config－router)#net yy.yy.38.00.0.0.255

Sw3(config－router)#redistribute eigrp 100

Sw3(config)#router ei 100

Sw3(config－router)#no au

Sw3(config－router#net 150.3.yy.00.0.0.255

路由協(xié)議的應(yīng)用(BGP協(xié)議的運(yùn)用):主出口設(shè)備走R1，次優(yōu)備份路徑走R2，R1保證bgp的連接安全，R3、R5為bgp的反射器，設(shè)備的物理接口斷開不影響ibgp鄰居的建立外部BGP互聯(lián)的設(shè)計與優(yōu)化。

R1(config)#router bgp yy

R1(config－router)#no syn

R1(config－router)#no au

R1(config－router)#bgp default local－pre 150

R1(config－router)#nei yy.yy.3.3 remote yy

R1(config－router)#nei yy.yy.3.3 up lo0

R1(config－router)#nei yy.yy.5.5 remote yy

R1(config－router)#nei yy.yy.5.5 up lo0

R1(config－router)#nei 150.1.yy.254 remote 254

R1(config－router)#nei 150.1.yy.254 ttl－sec 254

R1(config－router)#redistribute ospf yy ma in ex

R2(config)#router bgp yy

R2(config－router)#no syn

R2(config－router)#no au

R2(config－router)#nei yy.yy.3.3 remote yy

R2(config－router)#nei yy.yy.3.3 up lo0

R2(config－router)#nei yy.yy.5.5 remote yy

R2(config－router)#nei yy.yy.5.5 up lo0

R2(config－router)#nei 150.2.yy.254 remote 254

R2(config－router)#nei 150.2.yy.254 maximum－prefix 3 100 warnning－only

R2(config－router)#redistribute ospf yy ma in ex

R3(config)#router bgp yy

R3(config－router)#no syn

R3(config－router)#no au

R3(config－router)#cluster－id yy.yy.35.35

R3(config－router)#nei yy.yy.1.1 remote yy

R3(config－router)#nei yy.yy.1.1 up lo0

R3(config－router)#nei yy.yy.1.1 route－re

R3(config－router)#nei yy.yy.2.2 remote yy

R3(config－router)#nei yy.yy.2.2 up lo0

R3(config－router)#nei yy.yy.2.2 route－re

R3(config－router)#nei yy.yy.4.4 remote yy

R3(config－router)#nei yy.yy.4.4 up lo0

R3(config－router)#nei yy.yy.4.4 route－re

R4(config)#router bgp yy

R4(config－router)#no syn

R4(config－router)#no au

R4(config－router)#nei yy.yy.3.3 remote yy

R4(config－router)#nei yy.yy.3.3 up lo0

R4(config－router)#nei yy.yy.5.5 remote yy

R4(config－router)#nei yy.yy.5.5 up lo0

R5(config)#router bgp yy

R5(config－router)#no syn

R5(config－router)#no au

R5(config－router)#cluster－id yy.yy.35.35

R5(config－router)#nei yy.yy.1.1 remote yy

R5(config－router)#nei yy.yy.1.1 up lo0

R5(config－router)#nei yy.yy.1.1 route－re

R5(config－router)#nei yy.yy.2.2 remote yy

R5(config－router)#nei yy.yy.2.2 up lo0

R5(config－router)#nei yy.yy.2.2 route－re

R5(config－router)#nei yy.yy.4.4 remote yy

R5(config－router)#nei yy.yy.4.4 up lo0

R5(config－router)#nei yy.yy.4.4 route－re

R5(config)#int s0/0/0

R5(config－if)#ip os co 1

網(wǎng)絡(luò)環(huán)境的整體優(yōu)化:針對所用到的路由協(xié)議之間交互的優(yōu)化與設(shè)計。R4收到的ospf路由從R3來，EIGRP路由從R5來，R2，R3雙向重發(fā)布，路由不能混亂。

R4 router ospf 100 distance ospf external 125

R2/R3 router eigrp YY redistribute ospf YY metric 1000 100 255 1 1500

Router ospf YY redistribute eigrp YY subnets

distance ospf external 171 distance 110 35.35.5.50.0.0.0 10

ac 10 permit yy.yy.45.0

2.3 整體網(wǎng)絡(luò)后期的設(shè)計與優(yōu)化

防火墻的設(shè)計與運(yùn)用:假設(shè)在R1上開啟防火墻功能，在此出口設(shè)備上保證流量的流向和內(nèi)部外部設(shè)備的交互，現(xiàn)在假如公司內(nèi)部與外部的流量通過只允許，ICMP，http。具體實(shí)施方案如下，其中的class－map里抓得就是允許通過的流量。

R1(config)#zone security A

R1(config)#zone security B

R1(config)#int s0/0/1

R1(config－if)#zone－member security A

R1(config)#int f0/0

R1(config－if)#zone－member security A

R1(config)#int f0/1

R1(config－if)#zone－member security B

R1(config)#class－map type inspect match－all A_B

R1(config－cmap)#match protocol icmp

R1(config－cmap)#match protocolhttp

R1(config)#policy－map type inspect pmap_A_B

R1(config－pmap)#class type inspect A_B

R1(config－pmap－c)#pass

R1(config－pmap)#class type inspect class－default

R1(config－pmap－c)#pass

R1(config)#zone－pair security A_B source A destination B

R1(config－sec－zone－pair)#serice－policy type inspect pmap_A_B

R1(config)#zone－pair security B_A source B destination A

R1(config－sec－zone－pair)#serice－policy type inspect pmap_A_B

QOS的設(shè)計與運(yùn)用:流量的分類，流量的整形，流量的監(jiān)管，流量的限速機(jī)制，隊列機(jī)制，丟棄機(jī)制的設(shè)計應(yīng)用?，F(xiàn)在假設(shè)如果從外部網(wǎng)絡(luò)收到攻擊，并且找出了攻擊的流量source地址為197.68.1.0，但是這個地址又不允許將它的訪問功能取消，現(xiàn)在設(shè)計一個基于QOS的處理方法。使得從197.68.1.0/24從BB1流量被攻擊的OSPF區(qū)域0，應(yīng)限制為128K R1上的每個接口上，使用shape整形。

R1(config)#ac 1 permit 197.68.1.00.0.0.255

R1(config)#class－map bb1

R1(config－cmap)#match access－group 1

R1(config－cmap)#match input－interface f0/1

R1(config)#policy－map mqc

R1(config－pmap)#class bb1

R1(config－pmap－c)#shape average 12800

R1(config)#int f0/0

R1(config－if)#service－policy output mqc

R1(config#int s0/0/1

R1(config－if)#service－policy output mqc

熱備份的設(shè)計與應(yīng)用:作為大型的網(wǎng)絡(luò)，提供2臺額外的設(shè)備進(jìn)行冗余是很有必要的，一臺設(shè)備熱備，一臺冷備。具體設(shè)計實(shí)施方案如下:(這里是必須根據(jù)2層的STP生成樹來設(shè)計)定義用戶網(wǎng)關(guān)配置VLAN 500 為 YY.YY.100.254:該 IP YY.YY.100.1 應(yīng)分配給主 HSRP 網(wǎng)關(guān)和 YY.YY.100.2 應(yīng)分配給輔助 HSRP 網(wǎng)關(guān)?；顒咏M網(wǎng)關(guān)分配應(yīng)符合跨越VLAN 500的樹的根活躍。主動網(wǎng)關(guān)優(yōu)先級120和待機(jī)時保持默認(rèn)。定義跟蹤對象組，這是一個網(wǎng)絡(luò)的可達(dá)性150.1.YY.0/24。兩個開關(guān)之間的身份驗證－MD5密碼cisco。主網(wǎng)關(guān)應(yīng)該有恢復(fù)主要作用的能力，一旦被跟蹤的對象是可達(dá)的:

Sw1(config)#int vlan 500

Sw1(config－if)#ip add yy.yy.100.2 255.255.255.0

Sw1(config－if)#standby 1 ip yy.yy.100.254

Sw1(config－if)#standby 1 preemt

Sw1(config－if)#standby 1 authentication md5 key－string CCIE

Sw1(config－if)#standby 1 timers msce 200 1

Sw2(config)#int vlan 500

Sw2(config－if)#ip add yy.yy.100.1 255.255.255.0

Sw2(config－if)#standby 1 ip yy.yy.100.254

Sw2(config－if)#standby 1 preemt

Sw2(config－if)#standby 1 authentication md5 key－string CCIE

Sw2(config－if)#standby 1 timers msce 200 1

Sw1(config－if)#standby 1 track 1 decrement 25

Sw2(config－if)#standby 1 priority 120

Sw2(config)#track 1 ip route 150.1.yy.0 255.255.255.0 reachabily

4 結(jié)語

本文基于WEB－IOU設(shè)計了大型企業(yè)網(wǎng)絡(luò)的整個三層架構(gòu)，分別設(shè)計了從接入到匯聚到核心的解決方案，從二層VLAN的同步到STP的使用對于二層網(wǎng)絡(luò)的精確控制，三層網(wǎng)絡(luò)的路由協(xié)議的選擇，路徑的優(yōu)化，路由協(xié)議混雜的交錯優(yōu)化，對于網(wǎng)絡(luò)內(nèi)部流量的分類整形，隊列，丟棄，內(nèi)網(wǎng)與外網(wǎng)的連接，安全，簡單的防火墻的設(shè)置，對內(nèi)外部通過流量進(jìn)行精確的匹配。由于物理設(shè)備還是有可能出現(xiàn)問題，于是在核心交換機(jī)上設(shè)置備份保證網(wǎng)絡(luò)的冗余性，后期為方便網(wǎng)絡(luò)管理者的日常管理。整個企業(yè)網(wǎng)絡(luò)的架構(gòu)全部在WEBIOU中完成，并真實(shí)地模擬了企業(yè)的實(shí)際網(wǎng)絡(luò)環(huán)境，可以方便后期的升級及維護(hù)。

［1］楊浚.通過IOU－web構(gòu)建虛擬網(wǎng)絡(luò)實(shí)驗平臺［J］.考試周刊，2014(77):111.

［2］陸利剛，黃靜.WebIOU軟件在計算機(jī)網(wǎng)絡(luò)實(shí)驗教學(xué)中的應(yīng)用［J］.現(xiàn)代計算機(jī):上下旬，2013(9):56－58.

［3］黃睿、周偉.基于web IOU和VMware的虛擬網(wǎng)絡(luò)實(shí)驗室研究［J］.電腦知識與技術(shù)，2013(36):8234－8236.

［4］王達(dá).Cisco路由器配置與管理完全手冊［M］.2版，北京:中國水利水電出版社，2013.

［5］梁廣民、王隆杰.思科網(wǎng)絡(luò)實(shí)驗室路由、交換實(shí)驗指南［M］.北京:電子工業(yè)出版社，2013.