企业网组网设计与仿真实现(2)

企业网组网设计与仿真实现

3 网络总体设计方案

3.1 网络结构设计

企业网络，在本设计中也可在本设计中也可以称为园区网，园区网是非常典型的综合型网络实例，园区网通常是指大学的校园网及企业的内部网（intrfaceernet）。园区网分为3个部分，分别是交换网络，路由网络和远程登陆网络，主要的中心部分是交换网络部分。

3.1.1 主干结构设计

本设计将网络结构分为三层：接入层、汇聚层和核心层。使用三层网络结构适合大中型企业的实际规模；二是这能提高网络对突发事故的自动容错能力，减少网络故障排错的难度和时间；三是采用此网络分层有利于企业将来更灵活地对企业网升级扩大。

3.1.2 楼层局域网设计

接入层采用支持802.1Q的10/100Mbps工作组以太网交换机，交换机的数据依据用户端口数、可靠性及网管要求配置网络接入交换机，使10/100Mbps流量接至桌面。

3.1.3 互联网接入设计

互联网接入由位于网络中心的DMZ交换机、WWW服务、E-mail服务、防火墙、路由器、Intrfaceernet光纤接入组成。向电信申请一个固定IP，提供外网服务器的访问服务。

3.1.4 VLAN设计

通过VLAN将相同业务的用户划分在一个逻辑子网内，各工作组交换机采用基于端口的VLAN划分策略，划分出多个不同的VLAN组，分隔广播域。同样在千兆/百兆以太网上联端口上设置802.1Q协议，设置通信干道(Truck)，将每个VLAN的数据流量添加

5

企业网组网设计与仿真实现

标记，转发到主干交换机上实现网络多层交换。

3.1.5 VPN设计

通过Intrfaceernet采用VPN数据加密技术，构成企业内部虚拟专用网，可以帮助远程用户、公司分支机构、商业伙伴及供应商同公司的内部网建立可信的安全连接，并保证数据的安全传输。

3.2 网络拓扑设计

本设计中用的到的设备采用Cisco公司的网络设备构建。全部网络设备使用同一厂商设备的主要原因是在于可以实现各种不同网络设备功能的兼容以及互相配合和补充。设计的网络拓扑设计图如图3.1所示。

内部服务器群外部服务器群DMZ分支机构SW33VPNGatewayNetMagSW4FW网管部门核心层SiSiCore1VPNCore2汇聚层SW1SW2SW3SW11SW12SW13SW21SW22SW31SW32家庭用户VLAN40VLAN50无线（会议室、访客厅）接入层图3.1 网络拓扑设计图

在图3.1的拓扑中，接入层选用较廉价的二层交换机，如Catalyst 2960等；汇聚层选用中性能三层交换机，如Catalyst 3560；核心层选用性能更加强大的三层核心交换机，如Catalyst 4500系列，甚至Catalyst 6500系列。防火墙则选用ASA 5500系列，网关路由器则选用3600系列路由器（由于仿真软件的设计问题，实验设计中未必

6

企业网组网设计与仿真实现

能选用到一模一样的网络设备，但由于设计和功能上的设计，在实验环境下并没有太大差别，只有在实际环境下，对性能的考验才有较明显的差异）。

3.3 VLAN与IP地址规划

VLAN（Virtual Local Area Network）的中文名为“虚拟局域网” 通过将企业网络划分为虚拟网络VLAN网段，可以强化网络管理和网络安全，控制不必要的数据广播。一个合适的园区网，就需要一个合理的交换机网络，本设计中应用VLAN划分不同区域。在本设计中，整个企业网中VLAN及IP编址方案如下表3.1所示。

表3.1 VLAN及IP编址方案

VLAN号 VLAN10 名称 部门单位1 Units1 部门单位2 Units2 部门单位3 Units3 部门单位4 Units4 网管部门 NetMag 部门单位5 Units5 部门单位6 Units6 会议室 Meeting-Room 访客厅 Guest 服务器群 Servers 外部服务器群 IP网段 192.168.10.0/24 默认网关 说明 允许访问服务器群网192.168.10.1 段、外网 禁止部门间互访 允许访问服务器群网192.168.11.1 段、外网 禁止部门间互访 允许访问服务器群网192.168.20.1 段、外网 禁止部门间互访 允许访问服务器群网192.168.21.1 段、外网 禁止部门间互访 192.168.22.1 允许（发起）访问公司各个VLAN、外网 VLAN11 192.168.11.0/24 VLAN20 192.168.20.0/24 VLAN21 192.168.21.0/24 VLAN22 192.168.22.0/24 VLAN30 192.168.30.0/24 允许访问服务器群网192.168.30.1 段、外网 禁止部门间互访 允许访问服务器群网192.168.31.1 段、外网 禁止部门间互访 允许访问服务器群网192.168.40.1 段、不允许访问外网 禁止部门间互访 192.168.50.1 只允许访问外网 VLAN31 192.168.31.0/24 VLAN40 192.168.40.0/24 VLAN50 192.168.50.0/24 VLAN60 ——

192.168.60.0/24 192.168.70.0/24 不允许主动发起连接，192.168.60.1 除email/FTP服务器相关协议外 192.168.70.1 不允许主动发起连接，7

企业网组网设计与仿真实现

PublicSer —— —— VPN接入 内部路由地址 192.168.80.0/24 192.168.0.X/30 —— —— 除email/FTP服务器相关协议外 仅允许访问内部服务器 —— VLAN1 管理VLAN 192.168.110.0/24 192.168.11.X 管理二层交换机 如表3.1所示，每个VLAN分配IP网段的网络位均为24位，每个网段都会保留前10个地址，用作网关、管理以及部门服务器等用途，主机位（二进制）为全0或全1的地址不分配，即每个分配到PC用的地址将有244个。

3.4 模块设计与仿真

结合网络拓扑设计，本企业网设计方案可以分为以下四大部分构成： ? 交换模块 ? 广域网接入模块 ? 远程接入模块 ? 安全加固模块。

交换模块由Cisco Packet Tracer进行模拟仿真，广域网接入摸快、远程接入模块和安全模块使用GNS3、DynamipsGUI进行模拟仿真（由于模拟实验与真实平台有一定差异，一些命令配置并不能完全在模拟环境下实现）。

8

企业网组网设计与仿真实现

4 网络详细设计方案

4.1 交换模块设计

交换模块由Cisco Packet Tracer 5.3和GNS3进行模拟仿真。具体仿真软件拓扑图如图4.1所示。

图4.1 交换模块仿真软件拓扑设计图

根据拓扑设计的要求，本次仿真设计所使用的设备有：Catalyst 2960二层交换机、

9