中小型办公网络架构

Posted on 2024-11-07 11:11 徐正柱- 阅读(10) 评论(0) 编辑收藏举报

https://blog.csdn.net/qq_20004095/article/details/141500870

前言

xx是一家新成立的IT企业，企业规模为100人，需为其提供固定接入企业办公地址为一栋5层大楼，客户服务部、财务部、开发部、生产部和经理办公室为5个基本部门。

一、网络拓扑图

二、选用网络设备
2.1 防火墙
型号：华为赛门铁克USG2110( USG2110)

数量：1台

价格：5000元

设备类型：企业级防火墙

网络吞吐：2000

网络端口：2*Combo GE WAN,10*10/100

用户数限：无用户数限制

入侵检测：Dos,DDoS

适用环境：工作温度:0℃-40℃;工作湿

电源：AC:90-264V(47/63 Hz) 12W

安全标准：FCC,CE

防火墙尺：280*190*35mm

控制端口：Console口

其他性能：采用固定接口形态

管理：Web和命令行

VPN支持：支持

处理器：多核处理器

2.2 核心层交换机：
型号：Catalyst 6509

数量：1台

价格：35000元

特点：通过硬件和软件的故障转移功能实现堆叠弹性；基于分布式转发和服务质量（QoS）的统一服务；自动配置简化管理。

基本参数

网络类型：以太网||快速以太网||ISDN||FDDI||ATM||Token Ring||Gigabit以太网

网络协议：802.3z，802.3u，ATM

端口总数：N/A

闪存： 16 MB

功能参数

引擎交换：3,2

速率： VLAN最大数：1000；底版：可扩充至256 Gbps；多层性能：可扩充至150 Mpps；

模块化插槽数： 9

可用模块： WS-X6408-GBIC=Catalyst 6000，8端口千兆位以太网模块(需要GBIC)；WS-X6302-MSM=Catalyst 6000，多层交换机模块；WS-X6248-RJ-45=Catalyst 6000，48端口10/100bTX (RJ-45)模块；WS-X6224-100FX-MT=Catalyst 6000，24端口100bFX (多模式，MT-RJ)；WS-X6248-TEL=Catalyst 6000，48端口Telco模块；MEM-C6K-FLC16M=Catalyst 6000 Supervisor PCMCIA 16MB闪存卡；MEM-C6K-FLC24M=Catalyst 6000 Sup PCMCIA闪存卡，24MB备用；

是否支持VLAN：是

是否支持QoS/CoS：是

网管功能：CiscoWorks 2000、RMON、Enhanced Switched Port Ananlyzer (ESPAN)、SNMP、Telnet、BOOTP和小型文件传输协议(TFTP)

软件功能：WS-C6X09-EMS-LIC=Catalyst 6x09 RMON代理许可；WS-C6X06-EMS-LIC=Catalyst 6x06 RMON代理许可；FRC-MSM-IPX=Catalyst 6000 IPX特性集许可；CON-SNT-PKG16：Catalyst 6000 SMARTnet维护

其他参数

电源：交流电源+WS-X6K-SUP1-2GE

尺寸：25.2x17.2x18.1 in.

2.3 二层交换机
型号：CISCO Catalyst 2948G

数量：5台

价格：27000元

特点：Catalyst 2948G提供了2个千兆铜缆/SFP（mini GBIC）组合端口用于灵活的千兆铜缆或光纤骨干连接。可根据用户对传送距离的不同要求灵活的选择1000BASE-LX、1000BASE-SX、1000BASE-T等多种接口类型，支持通过WEB进行配置。

基本参数

网络标准：IEEE802.3,10BaseT；IEEE802.3u, 100BaseTX；IEEE802.3z, IEEE802.3x；1000BaseX (GBIC)；1000BaseSX；1000BaseLX/LH；

交换方式：存储-转发

CISCO Catalyst 2948G外观参数：

重量（Kg）5.9

长度（mm）445

宽度（mm）381

高度（mm）67

CISCO Catalyst 2948G其它参数：

支持全双工：是

2.4 路由器
型号：Cisco 2611

数量：2个

价格：8500元

特点：SPI和NAT防火墙；还有VPN通道。用户可以按日期和时间或MAC地址自定义规则，还可以用关键词或IP地址来过滤网站。

基本参数

产品定位：固定和模块化路由器

网络类型： Ethernet||ATM||ISDN||T1/E1||Frame Relay||X.25||Async||IP/IPX

是否内置防火墙：是

功能参数

是否支持VPN：是

是否支持Qos：是

支持网络协议：IP etc

固定的广域网接口：一个异步辅助端口

固定的局域网接口：2个固定以太网口；

广域/局域网扩展模块槽数：1个模块插槽、1个 AIM 插槽、2个 WIC 插槽、IP s/w、Type of Power Supply Included : AC；

处理器型号/速度/数量：Motorola MPC860 40 MHz(50 MHz for Cisco 262x)

Flash内存： One SIMM slot supporting 4 to 16 MB；8 MB(缺省)；16MB(最大)； MB

DRAM内存：Two DIMM slots supporting 16 to 64 MB total；24 MB(缺省)； 64 MB(最大)；

Nos名称及版本号：Cisco IOS

随机网管配置软件：Cisco View, Cisco Works, Cisco Voice Manager, ConfigMaker,Enhanced Set-up

支持的网管协议：SNMP

其他参数

电源：72W max.AC input voltage 100 to 240 VACAC input current 1.5AFrequency 47 to 64 Hz

重量：8.85 lb. (4.02 kg) min. -- 10.25 lb. (4.66 kg) max.

三、设计思想
中小企业的网络通常由单个节点构成，网络工作站数量较少且接入比较集中，但为以后网络的升级，因此核心网络设备选择1000M的以太交换机。所有的网络工作站和应用服务器通过五类双绞线接入到交换机中构成一个集中接入的星型网络结构。当工作站到中心交换设备的距离超过100m时，可以在工作站和中心交换机之间设置一台交换机，以级联的方式与中心交换机连接，工作站接入到级联的交换机中。

在网络设备方面选用防火墙为华为赛门铁克USG2110( USG2110)。网络中心核心交换机选用Catalyst 6509 ，完全满足中小型企业内办公和其他应用的需要。在CISCO Catalyst 2948G下方可根据实际情况级联智能型或基本型交换机，如可接入LS—3024来满足不同的中小型企业网用户的不同需要。另外，如果考虑到企业内部存在不方便布线地点或移动性很强的用户接入问题，可在在某些特定的区域设计了无线信号覆盖，通过TL-WA200无线接入点和TP-LINK系列无线网卡，以11M的带宽高速连上企业网。

3.1 Internet接入
对Internet资源的访问，最终都是通过资源所具有的惟一的公有IP地址实现的。对于一个内部网络，每一台工作站和应用服务器的IP地址均为内部专有地址，以这样的IP地址是不能访问Internet资源的。要实现一个内部网络对Internet的访问，必须在内部网络和Internet之间设置一个具有网络地址转换功能（NAT）的设备，对于从内部网络向外发出的IP数据包，NAT设备可以将数据包中所包含的源IP地址和源TCP/IP端口号等信息转换为可以在Internet上使用的公有IP地址和可能改变的TCP/UDP端口号；而当Internet主机响应的数据包流入内部网络时，NAT将数据包中包含的目的IP地址和目的TCP/UDP号等信息转换为专有IP地址和最初的TCP/UDP端口号，从而对外部屏蔽了内部网络的IP地址。

3.2 有效利用VPN技术
目前，防火墙产品通常都集成了VPN功能，这也为远程用户和企业的分支机构访问企业内部网络资源提供了一个非常好的途径。在VPN方式下，VPN客户端（远程用户或分支机构）和设置在内部网络边界的VPN服务器（防火墙或专用的VPN服务器）使用隧道协议，利用Internet或公用网络建立一条“隧道”作为传输通道，同时VPN连接采用身份认证和数据加密等技术避免数据在传输过程中受到侦听和篡改，从而保证了数据的完整性、机密性和合法性。这种方式对中小企业的Intranet尤其适用，实现起来也比较方便。VPN服务器可以由内部网络的防火墙来担当。

对于客户端，如果为远程用户，可以利用系统中内嵌的虚拟专用网络(VPN)功能，也可以安装专业的VPN客户端软件；如果为分支机构的小型办公网络，可以在分支机构网络的边缘处设置一个具有VPN功能的性能相对较低的防火墙，这样可以实现在两个网络之间利用Internet或公用网络进行安全通信。

3.3 IP地址划分
IP地址的划分既要方便管理又要易于拓展:

网管和服务器

172.16.0.0—172.16.9.254

经理部

172.16.10.0—172.16.19.254

财务部

172.16.20.0—172.16.29.254

客户服务部

172.16.30.0—172.16.39.254

开发部

172.16.40.0—172.16.49.254

生产部

172.16.50.0—172.16.59.254

***每个网段采用最后一个IP为默认网关

IP地址的合理分配是保证网络顺利运行和网络资源有效利用的关键。对于xx科技企业网络IP地址的分配，我们将尽可能地利用地址空间，充分考虑到地址空间的合理使用，保证实现最佳的网络内地址分配及业务流量的均匀分布。

每个物理地点划分连续的IP地址，这样核心交换机可以使用路由汇聚减少核心路由表的条目。

IP地址空间的分配与合理使用与网络拓扑结构、网络组织及路由策略有非常密切的关系，将对网络的可用性、可靠性与有效性产生显著影响。

IP地址的分配需要有足够的灵活性，能够满足各种用户的需要；

IP地址的分配采用VLSM技术，保证IP地址的利用效率；

采用CIDR技术，这样可以减小路由表的大小，加快路由器路由的收敛速度，也可以减小网络中广播的路由信息的大小；

总之，要充分合理利用已申请的地址空间，提高地址的利用效率。

3.4 网络管理
大型企业的网络通常都通过功能完善的专业网管系统对网络进行管理，这个投资对于中小企业来说可能是无法承担的。事实上，由于中小企业的网络结构比较简单，一般不需要对网络的流量、网络设备的状态和端口设置等信息进行实时的控制和检查。网络管理员可能对网络的连通性、IP地址的设置情况和需要时能对设备进行设置更为关心一些，而这些工作利用系统包含的Ping、Ipconfig/Winipcfg、Telnet等实用工具就可以完成。

四、配置
4.1 配置6509
Console> (enable) set system name bg-sw-01 /设备名称

Bg-sw-01> (enable) set password

Enter old password:

Enter new password: test　　　　　　 /设备口令

Retype new password: test

Bg-sw-01> (enable) set enablepass

Enter old password:

Enter new password: test　　　　　　 /设备口令

Retype new password: test

Bg-sw-01> (enable) set banner motd % Welcome to the c6509 in the office %　　/提示文本

Bg-sw-01> (enable) set interface sc0 171.16.0.1 255.255.255.0 　/设置管理接口 #sh int

Bg-sw-01> (enable) set ip route default 171.16.0.234 　　　/设置默认网关 #sh ip route

Bg-sw-01> (enable) set vtp mode server　　　　　　　　　 /设置VTP模式 #sh vtp domain

Bg-sw-01> (enable) set vtp domain Hongfa_Net 　　　　　　　　　/设置VTP域名

Bg-sw-01> (enable) set vlan 31 name Jinglibu　　　　　　　 /创建VLAN #sh vlan

Bg-sw-01> (enable) set vlan 32 name Caiwubu

Bg-sw-01> (enable) set vlan 33 name Kehufuwubu

Bg-sw-01> (enable) set vlan 34 name Kaifabu

Bg-sw-01> (enable) set vlan 35 name Shengchanbu

Bg-sw-01> (enable) set port channel 1/1-2 on 　　　　　　　　　/设置Channel #sh port channel

Bg-sw-01> (enable) set trunk 1/1 on dot1q 1-1005

Bg-sw-01> (enable) set trunk 2/2 on dot1q 1-1005 /设置trunk口 #sh trunk #

Bg-sw-01> (enable) set trunk 2/3 on dot1q 1-1005

Bg-sw-01> (enable) set trunk 2/4 on dot1q 1-1005

Bg-sw-01> (enable) set trunk 2/5 on dot1q 1-1005

Bg-sw-01> (enable) set trunk 2/6 on dot1q 1-1005

Bg-sw-01> (enable) set trunk 2/7 on dot1q 1-1005

Bg-sw-01> (enable) set spantree root 1-40 dia 4 /设为spantree的根　#sh spantree

Bg-sw-01> (enable) set spantree portfast 1/1-2 enable /设spantree端口快速启用　

Bg-sw-01> (enable) set spantree portfast 2/1-8 enable 　　　　　　

Bg-sw-01> (enable) set spantree uplinkfast　enable /设spantree端口快速切换　　　　　　

Bg-sw-01> (enable) set spantree backbonefast enable /设spantree端口快速定位根　　　　　　

4.2 配置路由
Console> (enable) session 15　　　　　　　　　　　　/进入路由子卡

Router(config)# hostname c6509-msfc /设备名

c6509-msfc (config)# enable password test　　　　　　　　 /设口令

c6509-msfc (config)# enable secret test

C6509-msfc(config)# banner motd % Welcome to the c6509-msfc in the Office %　/设提示文本

c6509-msfc (config)# line vty 0 4 / 进入VTY模式

c6509-msfc (config-line)#login　　　　　　　　　　　　　　/ 登入提示

c6509-msfc (config-line)#password test　　　　　　　　　 / 设用户级口令

c6509-msfc (config-line)# end

C6509-msfc#configure terminal / 进入全局模式

Enter configuration commands, one per line. End with CNTL/Z.

C6509-msfc(config)# interface vlan 1　　　　　　　　　　/进入虚子接口

C6509-msfc(config-if)# ip address 171.16.0.2 255.255.255.0 /加ip地址

C6509-msfc(config-if)# no shutdown　　　　　　　　　　　　　　　　/开启端口

C6509-msfc(config-if)# standby 1 ip 171.16.0.234　　　　　　　　/建HSRP组并设虚IP地址

C6509-msfc(config-if)# standby 1 priority 110　　　　　　　　　　 /设优先级

C6509-msfc(config-if)# standby 1 preempt　　　　　　　　　　　　　/设切换许可

C6509-msfc(config-if)# interface vlan 31

C6509-msfc(config-if)# ip address 171.16.10.1 255.255.255.192