小型企業(yè)網(wǎng)組網(wǎng)方案—IP 地址規(guī)劃及路由配置學(xué)生姓名：X X 指導(dǎo)老師：吳佳英摘 要 本文要實(shí)現(xiàn)小型企業(yè)網(wǎng)組網(wǎng)的IP 地址規(guī)劃及路由配置。為了考慮到小型企業(yè)網(wǎng)絡(luò)的負(fù)載均衡和穩(wěn)定性能，在拓?fù)浣Y(jié)構(gòu)中

小型企業(yè)網(wǎng)組網(wǎng)方案

—IP 地址規(guī)劃及路由配置

學(xué)生姓名：X X 指導(dǎo)老師：吳佳英

摘 要 本文要實(shí)現(xiàn)小型企業(yè)網(wǎng)組網(wǎng)的IP 地址規(guī)劃及路由配置。為了考慮到小型企業(yè)網(wǎng)絡(luò)的負(fù)載均衡和穩(wěn)定性能，在拓?fù)浣Y(jié)構(gòu)中，本方案采用三層網(wǎng)絡(luò)結(jié)構(gòu)。其中，核心層采用兩臺設(shè)備，確保網(wǎng)絡(luò)的可靠性。路由協(xié)議則選擇安全性高、收斂速度快的OSPF 協(xié)議。其中用到的路由交換協(xié)議還有支持VLAN 間數(shù)據(jù)傳輸?shù)腣TP 協(xié)議。我們采用Cisco 交換機(jī)帶寬聚合技術(shù)將多條物理線路捆綁為一條邏輯鏈路，使其有更高帶寬。對于網(wǎng)絡(luò)中可能存在的安全威脅，針對不同的需求，方案中提出了VLAN 技術(shù)、訪問控制列表、防火墻技術(shù)以及VPN 等安全解決方案，并根據(jù)不同層的技術(shù)要求選定設(shè)備，以求構(gòu)建一個(gè)安全、高效、可靠的企業(yè)網(wǎng)絡(luò), 并在GNS3中模擬實(shí)現(xiàn)。

關(guān)鍵詞 網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)，三層網(wǎng)絡(luò)結(jié)構(gòu)，OSPF 協(xié)議，VLAN 技術(shù)，GNS3

1 引 言

在現(xiàn)在的社會背景下，一個(gè)企業(yè)要提升競爭力，就必須實(shí)現(xiàn)公司信息化，甚至可以說，沒有公司的信息化就沒有競爭力。公司信息化指將信息網(wǎng)絡(luò)技術(shù)、計(jì)算機(jī)、Internet 以及電子商務(wù)運(yùn)用到企業(yè)的市場調(diào)研、產(chǎn)品研發(fā)、技術(shù)改造、質(zhì)量控制、供應(yīng)鏈、資金周轉(zhuǎn)、成品物流等全過程，從而實(shí)現(xiàn)信息化。在這種時(shí)代背景下，公司也就要相應(yīng)地做出信息化的戰(zhàn)略選擇。采用先進(jìn)的網(wǎng)絡(luò)技術(shù)，對采用TCP/IP協(xié)議的殘聯(lián)網(wǎng)絡(luò)的IP 地址及域名進(jìn)行統(tǒng)一分配，以便于有效實(shí)現(xiàn)全國殘聯(lián)信息網(wǎng)絡(luò)的互連，提高殘聯(lián)系統(tǒng)內(nèi)信息交換的效率和穩(wěn)定性，同時(shí)指導(dǎo)各地在網(wǎng)絡(luò)設(shè)計(jì)、建設(shè)和運(yùn)行維護(hù)時(shí)，規(guī)范IP 地址的使用以及網(wǎng)絡(luò)、域名和節(jié)點(diǎn)的命名，同時(shí)加強(qiáng)對名稱和IP 地址使用的統(tǒng)一管理，為殘聯(lián)系統(tǒng)網(wǎng)絡(luò)內(nèi)業(yè)務(wù)的順利運(yùn)轉(zhuǎn)奠定基礎(chǔ)。對基于TCP/IP的網(wǎng)絡(luò)系統(tǒng)來說，IP 地址的意義是非常重大的。首

先它是網(wǎng)絡(luò)結(jié)構(gòu)體系的一部分，是實(shí)現(xiàn)網(wǎng)絡(luò)連接的基本因素。根據(jù)Internet 的規(guī)定，IP 地址分為三類：A 類地址，最高位是0，隨后的7位是網(wǎng)絡(luò)地址，最后24位是主機(jī)地址；B 類地址，最高兩位分別是1和0，隨后的14位是網(wǎng)絡(luò)地址，最后16位是主機(jī)地址；C 類地址，最高的三位是110，隨后的21位是網(wǎng)絡(luò)地址，最后8位是主機(jī)地址。

1.1本文主要內(nèi)容

本文就以小型企業(yè)為例，重點(diǎn)規(guī)是IP 地址規(guī)劃以及路由配置。第二節(jié)介紹了網(wǎng)絡(luò)拓?fù)?、IP 地址劃分技術(shù)、基本路由協(xié)議的原理。第三節(jié)具體介紹IP 地址規(guī)劃以及路由配置，包括接入層、匯聚層、核心層具體使用的技術(shù)和操配置實(shí)現(xiàn)以及規(guī)劃設(shè)計(jì)測試結(jié)果，第四節(jié)是結(jié)束語，對本次課程設(shè)計(jì)的總結(jié)。

1.2 實(shí)驗(yàn)平臺

GNS3是一款優(yōu)秀的具有圖形化界面可以運(yùn)行在多平臺（包括Windows, Linux, and MacOS 等）的網(wǎng)絡(luò)虛擬軟件。Cisco 網(wǎng)絡(luò)設(shè)備管理員或是想要通過CCNA,CCNP,CCIE 等Cisco 認(rèn)證考試的相關(guān)人士可以通過它來完成相關(guān)的實(shí)驗(yàn)?zāi)M操作。同時(shí)它也可以用于虛擬體驗(yàn)Cisco 網(wǎng)際操作系統(tǒng)IOS 或者是檢驗(yàn)將要在真實(shí)的路由器上部署實(shí)施的相關(guān)配置。

操作界面如圖1-1所示：

圖1-1 GNS3實(shí)驗(yàn)平臺界面

2 設(shè)計(jì)原理及要求

2.1 IP地址規(guī)劃

（1）IP 地址規(guī)劃的重要性：

IP 地址的合理規(guī)劃是網(wǎng)絡(luò)設(shè)計(jì)的重要環(huán)節(jié)，大型計(jì)算機(jī)網(wǎng)絡(luò)必須對IP 地址進(jìn)行統(tǒng)一規(guī)劃并得到有效實(shí)施。IP 地址規(guī)劃的好壞，影響到網(wǎng)絡(luò)路由協(xié)議算法的效率，影響到網(wǎng)絡(luò)的性能，影響到網(wǎng)絡(luò)的擴(kuò)展，影響到網(wǎng)絡(luò)的管理，也必將直接影響到網(wǎng)絡(luò)應(yīng)用的進(jìn)一步發(fā)展。

（2）IP 地址規(guī)劃總體要求

IP 地址空間的分配，要與網(wǎng)絡(luò)拓?fù)鋵哟谓Y(jié)構(gòu)相適應(yīng)，既要有效地利用地址空間，又要體現(xiàn)出網(wǎng)絡(luò)的可擴(kuò)展性、靈活性和層次性，同時(shí)能滿足路由協(xié)議的要求，以便于網(wǎng)絡(luò)中的路由聚類，減少路由器中路由表的長度，減少對路由器CPU 、內(nèi)存的消耗，提高路由算法的效率，加快路由變化的收斂速度，同時(shí)還有考慮到網(wǎng)絡(luò)地址的可管理性。

（3）IP 地址規(guī)劃將遵循以下總體要求來分配：

唯一性：一個(gè)IP 網(wǎng)絡(luò)中不能有兩個(gè)主機(jī)采用相同的IP 地址；

可管理性：地址分配應(yīng)簡單且易于管理，以降低網(wǎng)絡(luò)擴(kuò)展的復(fù)雜性，簡化路由表； 連續(xù)性：連續(xù)地址在層次結(jié)構(gòu)網(wǎng)絡(luò)中易于進(jìn)行路徑疊合，縮減路由表，提高路由計(jì)算的效率；IP 地址的分配必須采用VLSM 技術(shù)，保證IP 地址的利用率；采用CIDR 技術(shù)，可減小路由器路由表的大小，加快路由器路由的收斂速度，也可以減小網(wǎng)絡(luò)中廣播的路由信息的大小。

IP 地址分配盡量分配連續(xù)的IP 地址空間；相同的業(yè)務(wù)和功能盡量分配連續(xù)的IP 地址空間，有利于路由聚合以及安全控制；

可擴(kuò)展性：地址分配在每一層次上都要留有一定余量，以便在網(wǎng)絡(luò)擴(kuò)展時(shí)能保證地址疊合所需的連續(xù)性；IP 地址分配處理要考慮到連續(xù)外，又要能做到具有可擴(kuò)充性，并為將來的網(wǎng)絡(luò)擴(kuò)展預(yù)留一定的地址空間；充分利用無類別域間路由（CIDR ）技術(shù)和變長子網(wǎng)掩碼（VLSM ）技術(shù)，合理高效地利用IP 地址，同時(shí)，對所有各種主機(jī)、服務(wù)

器和網(wǎng)絡(luò)設(shè)備，必須分配足夠的地址，劃分獨(dú)立的網(wǎng)段，以便能夠?qū)崿F(xiàn)嚴(yán)格的安全策略控制。

靈活性：地址分配應(yīng)具有靈活性，以滿足多種路由策略的優(yōu)化，充分利用地址空間；

層次性：IP 地址的劃分采用層次化的方法，和層次化的網(wǎng)絡(luò)設(shè)計(jì)相應(yīng)，在地址劃分上我們也采用層次化的分配思想，從網(wǎng)絡(luò)中心機(jī)房開始規(guī)劃，再規(guī)劃北苑、南苑、家屬區(qū)，使地址具有層次性，能夠逐層向上匯聚。

實(shí)意性:在公有地址有保證的前提下，盡量使用公有地址，主要包括設(shè)備loopback 地址、設(shè)備間互連地址；

節(jié)約性:根據(jù)服務(wù)器、主機(jī)的數(shù)量及業(yè)務(wù)發(fā)展估計(jì)，IP 地址規(guī)劃盡可能使用較小的子網(wǎng)，既節(jié)約了IP 地址，同時(shí)可減少子網(wǎng)內(nèi)網(wǎng)絡(luò)風(fēng)暴，提高網(wǎng)絡(luò)性能。

2.2 路由原理

路由器提供了異構(gòu)網(wǎng)互聯(lián)的機(jī)制，實(shí)現(xiàn)將一個(gè)網(wǎng)絡(luò)的數(shù)據(jù)包發(fā)送到另一個(gè)網(wǎng)絡(luò)。而路由就是指導(dǎo)IP 數(shù)據(jù)包發(fā)送的路徑信息。路由協(xié)議就是在路由指導(dǎo)IP 數(shù)據(jù)包發(fā)送過程中事先約定好的規(guī)定和標(biāo)準(zhǔn)。

為達(dá)到路由快速收斂、尋址以及方便網(wǎng)絡(luò)管理員管理的目的，我們采用動(dòng)態(tài)路由協(xié)議，目前較好的動(dòng)態(tài)路由協(xié)議是OSPF 協(xié)議和EIGRP 協(xié)議，OSPF 以協(xié)議標(biāo)準(zhǔn)化強(qiáng)，支持廠家多，受到廣泛應(yīng)用，而EIGRP 協(xié)議由Cisco 公司發(fā)明，只有Cisco 公司自己的產(chǎn)品支持，屬于私有性質(zhì)，其他廠商設(shè)備是不支持的。考慮網(wǎng)絡(luò)的擴(kuò)展性、數(shù)據(jù)資源的保護(hù)等原因，我們選擇OSPF 路由協(xié)議。

OSPF 路由協(xié)議是一種典型的鏈路狀態(tài)（Link-state ）的路由協(xié)議，一般用于同一個(gè)路由域內(nèi)。在這里，路由域是指一個(gè)自治系統(tǒng)（Autonomous System），即AS ，它是指一組通過統(tǒng)一的路由政策或路由協(xié)議互相交換路由信息的網(wǎng)絡(luò)。在這個(gè)AS 中，所有的OSPF 路由器都維護(hù)一個(gè)相同的描述這個(gè)AS 結(jié)構(gòu)的數(shù)據(jù)庫，該數(shù)據(jù)庫中存放的是路由域中相應(yīng)鏈路的狀態(tài)信息，OSPF 路由器正是通過這個(gè)數(shù)據(jù)庫計(jì)算出其OSPF 路由表的。作為一種鏈路狀態(tài)的路由協(xié)議，OSPF 將鏈路狀態(tài)廣播數(shù)據(jù)LSA （Link State Advertisement）傳送給在某一區(qū)域內(nèi)的所有路由器，這一點(diǎn)與距離矢量路由協(xié)議不同。運(yùn)行距離矢量路由協(xié)議的路由器是將部分或全部的路由表傳遞給與其相鄰的路由器。

OSPF 協(xié)議采用鏈路狀態(tài)協(xié)議算法，每個(gè)路由器維護(hù)一個(gè)相同的鏈路狀態(tài)數(shù)據(jù)庫，保存整個(gè)AS 的拓?fù)浣Y(jié)構(gòu)（AS 不劃分情況下）。一旦每個(gè)路由器有了完整的鏈路狀態(tài)數(shù)據(jù)庫，該路由器就可以自己為根，構(gòu)造最短路徑樹，然后再根據(jù)最短路徑構(gòu)造路由表。對于大型的網(wǎng)絡(luò)，為了進(jìn)一步減少路由協(xié)議通信流量，利于管理和計(jì)算。OSPF 將整個(gè)AS 劃分為若干個(gè)區(qū)域，區(qū)域內(nèi)的路由器維護(hù)一個(gè)相同的鏈路狀態(tài)數(shù)據(jù)庫，保存該區(qū)域的拓?fù)浣Y(jié)構(gòu)。OSPF 路由器相互間交換信息，但交換的信息不是路由，而是鏈路狀態(tài)。OSPF 定義了5 種分組：Hello 分組用于建立和維護(hù)連接；數(shù)據(jù)庫描述分組初始化路由器的網(wǎng)絡(luò)拓?fù)鋽?shù)據(jù)庫；當(dāng)發(fā)現(xiàn)數(shù)據(jù)庫中的某部分信息已經(jīng)過時(shí)后，路由器發(fā)送鏈路狀態(tài)請求分組，請求鄰站提供更新信息；路由器使用鏈路狀態(tài)更新分組來主動(dòng)擴(kuò)散自己的鏈路狀態(tài)數(shù)據(jù)庫或?qū)︽溌窢顟B(tài)請求分組進(jìn)行響應(yīng)；由于OSPF 直接運(yùn)行在IP 層，協(xié)議本身要提供確認(rèn)機(jī)制，鏈路狀態(tài)應(yīng)答分組是對鏈路狀態(tài)更新分組進(jìn)行確認(rèn)。

相對于其它協(xié)議，OSPF 有許多優(yōu)點(diǎn)。OSPF 支持各種不同鑒別機(jī)制（如簡單口令驗(yàn)證，MD5 加密驗(yàn)證等），并且允許各個(gè)系統(tǒng)或區(qū)域采用互不相同的鑒別機(jī)制；提供負(fù)載均衡功能，如果計(jì)算出到某個(gè)目的站有若干條費(fèi)用相同的路由，OSPF 路由器會把通信流量均勻地分配給這幾條路由，沿這幾條路由把該分組發(fā)送出去；在一個(gè)自治系統(tǒng)內(nèi)可劃分出若干個(gè)區(qū)域，每個(gè)區(qū)域根據(jù)自己的拓?fù)浣Y(jié)構(gòu)計(jì)算最短路徑，這減少了OSPF 路由實(shí)現(xiàn)的工作量；OSPF 屬動(dòng)態(tài)的自適應(yīng)協(xié)議，對于網(wǎng)絡(luò)的拓?fù)浣Y(jié)構(gòu)變化可以迅速地做出反應(yīng)，進(jìn)行相應(yīng)調(diào)整，提供短的收斂期，使路由表盡快穩(wěn)定化，并且與其它路由協(xié)議相比，OSPF 在對網(wǎng)絡(luò)拓?fù)渥兓奶幚磉^程中僅需要最少的通信流量；OSPF 提供點(diǎn)到多點(diǎn)接口，支持CIDR （無類型域間路由）地址。

因?yàn)槭切⌒推髽I(yè), 考慮后續(xù)的發(fā)展, 公司現(xiàn)有網(wǎng)絡(luò)規(guī)劃為area0，內(nèi)部網(wǎng)絡(luò)設(shè)備都規(guī)劃為area0。后期若有分支機(jī)構(gòu)各區(qū)域接入路由器根據(jù)區(qū)域不同使用動(dòng)態(tài)協(xié)議，或者使用靜態(tài)路由與動(dòng)態(tài)路由結(jié)合的方式。

3設(shè)計(jì)步驟

3.1 企業(yè)內(nèi)IP 規(guī)劃及路由配置

根據(jù)同組同學(xué)的《小型企業(yè)網(wǎng)組網(wǎng)方案-拓?fù)湟?guī)劃及設(shè)備選型》，規(guī)劃設(shè)備端口IP 地址，如圖3-1所示：

圖3-1 設(shè)備端口IP 分配

VLAN 的劃分：不同部門放在一個(gè)VLAN 下。我將該小型企業(yè)分為六個(gè)部門，分別是：市場部，人事部，工程部，研發(fā)部，財(cái)務(wù)部，駐外辦事處。每個(gè)部門相應(yīng)的LIAN 是40，80，100，120，160，與其相應(yīng)的IP 段是192.16.4.0 /24，192.16.8.0 /24，192.16.10.0/24，192.16.12.0/24，192.16.16.0/24，92.16.222.0/24 詳細(xì)劃分見表3-1：

表3-1 Vlan劃分表

路由協(xié)議規(guī)劃：在匯聚層、核心層、出口路由以及駐外辦事處配置OSPF(Open Shortest Path First開放式最短路徑優(yōu)先）的內(nèi)部網(wǎng)關(guān)協(xié)議(Interior Gateway Protocol，簡稱IGP ），通過出口路由與辦事處之間配置Tunnel 口來解決OSPF 鄰居的問題（Tunnel 的具體配置詳見《小型企業(yè)網(wǎng)組網(wǎng)方案—VPN 的搭建與配置》）。

3.2 配置步驟

（1）接入層交換機(jī)(以L2Switch_1為例, 其他詳細(xì)配置見附錄) ：

創(chuàng)建Vlan ：在vlan database里面創(chuàng)建所需的Vlan ： L2Switch_1#vlan database L2Switch_1(vlan)#vlan 120 VLAN 120 added: Name: VLAN0120 L2Switch_1(vlan)#vlan 160 VLAN 160 added: Name: VLAN0160 L2Switch_1(vlan)#exit

APPL Y completed.

Exiting....

設(shè)置Trunk 口：設(shè)置F0/0為Trunk 口作為上聯(lián)口：

interface FastEthernet0/0

switchport mode trunk

端口設(shè)置Vlan ：其他端口劃分為對應(yīng)的Vlan ：

interface FastEthernet0/1

switchport access vlan 160

interface FastEthernet0/2

switchport access vlan 160

interface FastEthernet0/3

switchport access vlan 160

interface FastEthernet0/4

switchport access vlan 160

interface FastEthernet0/5

switchport access vlan 160

interface FastEthernet0/6

switchport access vlan 160

interface FastEthernet0/7

switchport access vlan 160

interface FastEthernet0/8

switchport access vlan 120

interface FastEthernet0/9

switchport access vlan 120

interface FastEthernet0/10

switchport access vlan 120

interface FastEthernet0/11

switchport access vlan 120

interface FastEthernet0/12

switchport access vlan 120

interface FastEthernet0/13

switchport access vlan 120

interface FastEthernet0/14

switchport access vlan 120

interface FastEthernet0/15

switchport access vlan 120

（2）匯聚層交換機(jī)配置（以L3Switch_1為例, 其他詳細(xì)配置見附錄) ：

創(chuàng)建Vlan ：在vlan database里面創(chuàng)建所需的Vlan ，和接入層相同，不再贅述。 配置接口IP ：

interface FastEthernet0/1

no switchport

ip address 172.16.55.1 255.255.255.0

interface FastEthernet0/2

no switchport

ip address 172.16.57.1 255.255.255.0

配置VLAN 的SVI ：對各個(gè)VLAN 配置地址，這個(gè)地址也就是PC 機(jī)上所應(yīng)派發(fā)的網(wǎng)關(guān)地址。

interface Vlan120

ip address 172.16.12.1 255.255.255.0

interface Vlan160

ip address 172.16.16.1 255.255.255.0

配置Trunk 端口：與下層交換機(jī)相連的端口要開啟Trunk ，保證VLAN 之間的通信。 interface FastEthernet0/3

switchport mode trunk

interface FastEthernet0/4

switchport mode trunk

配置DHCP ：為不同VLAN 的用戶派發(fā)不同的地址，并指定DNS 服務(wù)器的地址，使用戶不用手動(dòng)配置IP 地址。

ip dhcp pool DHCP_120

network 172.16.12.0 255.255.255.0

default-router 172.16.12.1

dns-server 172.16.200.11

ip dhcp pool DHCP_160

network 172.16.16.0 255.255.255.0

default-router 172.16.16.1

dns-server 172.16.200.11

配置OSPF ：在與核心交換機(jī)連接的端口配置IP ，通過OSPF 協(xié)議學(xué)習(xí)內(nèi)部路由，同時(shí)也起到鏈路冗余的作用。

router ospf 100

log-adjacency-changes

network 172.16.12.0 0.0.0.255 area 0

network 172.16.16.0 0.0.0.255 area 0

network 172.16.55.0 0.0.0.255 area 0

network 172.16.57.0 0.0.0.255 area 0

配置Loopback 口：

interface Loopback0

ip address 1.1.1.1 255.255.255.0

配置靜態(tài)路由：由于內(nèi)網(wǎng)學(xué)習(xí)不倒外網(wǎng)的路由，所以應(yīng)該配置靜態(tài)路由到接入外網(wǎng)的路由器上。下一跳地址配置到接入路由上的最大好處就是即使有一條鏈路斷了，通過路由查詢，依然可以到達(dá)路由器上。

ip route 0.0.0.0 0.0.0.0 172.16.61.2

（3）核心交換機(jī)配置（以Core_A為例，其他詳細(xì)配置見附錄）

配置接口IP ：

interface FastEthernet0/0

no switchport

ip address 172.16.59.1 255.255.255.0

interface FastEthernet0/1

no switchport

ip address 172.16.55.2 255.255.255.0

interface FastEthernet0/2

no switchport