基于Web－IOU的大型企業網的設計與開發

2015-12-05 08:11:24丁傳煒

長春大學學報 2015年8期

丁傳煒

(江蘇省揚州商務高等職業學校225127)

0 引言

現在網絡的發展速度越來越快，目前的網絡架構還不足以應付日后復雜的網絡情況，特別是大型企業，網絡規劃建設必須考慮到未來升級和發展的需要。本文基于一則大型企業的網絡現狀設計該公司的內部網絡，解決公司內部員工以及總公司與分公司，總公司與運營商之前的通信，并提出整體優化的后期實施方案，實現公司內網的優化及可控性，方便公司以后進行網絡升級。一般大型網絡在組建前，都需要進行可行性方案的設計，由于普通的虛擬軟件模擬不出具體的網絡feature，所以本文選用Cisco Web－IOU全真模擬軟件，模擬建構真實的網絡環境，為企業組網提供可行性的實施方案。

1 一則大型企業網絡現狀

XX公司是一家通信設備廠商生產、銷售的一體化公司，經過多年的努力與發展，已具有一定的規模，現有員工近1000人，一家分公司，主要負責設備的生產、銷售、售后維護等公司相關業務。總公司與運營商之間的出口跑的是BGP，出口為3個，分別電信，網通BGP，鐵通的是EIGRP。現狀實現網絡的整體設計與優化，使得公司內部網絡與分公司之間數據的通信沒有問題，并滿足內部員工的日常使用需求。所以在內部通信方面運用了比較復雜的網絡結構，包括多動態路由協議，目前根據現狀需要設計企業網絡設計拓樸結構圖，如圖1所示;并對網絡的二、三層網絡的設計與優化，最后是整體網絡后期的設計與優化。

圖1 整個企業網絡拓撲結構圖

2 WEB－IOU大型網絡的設計

2.1 二層網絡的設計與優化

底層網絡的vtp設計與實施:

VTPdomain為CISCO

Vtp password為123

Vtp version為v 2

Vtp模式為transparent(先C/S后transparent

Sw1/2/3/4(config)#vtp domain CCIE

Sw1/2/3/4(config)#vtp version 2

Sw1/2/3/4(config)#vtp mode transparent

Sw1/2/3/4(config)#vtp password cisco

底層網絡的STP設計與優化:使用820.1w

Sw1為所有奇數vlan的跟橋，偶數vlan的備份跟橋

Sw2為所有偶數vlan的跟橋，奇數vlan的備份跟橋

所有沒用到的接口需要劃入vlan 999后shutdown

Sw1/2/3/4(config)#spanning－tree mode rapid－pvst

Sw1/2(config)#spanning－tree vlan 1－4094 hello－time 1

Sw1(config)#spanning－tree vlan 1，17，29，45，67，89，333，999，priority 0

Sw1(config)#spanning－tree vlan 34，38，56，100，200，300，500，666，priority 4096

Sw2(config)#spanning－tree vlan 1，17，29，45，67，89，333，999priority 4096

Sw2(config)#spanning－tree vlan 34，38，56，100，200，300，500，666，priority 0

底層網絡的 etherchannel與trunk設計優化:交換機中間全部trunk使用802.1q封裝，捆綁sw1與sw 2之間的鏈路使得帶寬增大Etherchannel必須進行負載平衡，基于源和目的MAC地址。

Sw1/2/3/4(config)#int ran f0/19－24

Sw1/2/3/4(config－if)#sw tr en do

Sw1/2/3/4(config－if)#sw mo tr

Sw1/2/3/4(config－if)#sw nonegoticate

Sw1/2/3/4(config－if)#sw tr native vlan 999

Sw1/2/3/4(config)#vlan dot1q tag native

Sw1(config)#int ran f0/23－24

Sw1(config－if)#channel－group 12 mode desirable

Sw1(config)#int f0/24

Sw1(config－if)#pagp port－priority 255

Sw1(config)#port－channel load－balance src－dst－mac

Sw2(config)int ran f0/23－24

Sw2(config－if)#channel－group 21 mode auto

Sw2(config)#int f0/24

Sw2(config－if)#pagp port－priority 255

Sw2(config)#port－channel load－balance src－dst－mac

2.2 三層網絡的設計與優化

路由器的配置規劃設計:內部網絡為OSPF，EIGRP，RIP區域混合。路由協議的具體應用(IGP協議的運用):Rip協議的應用設計:R4，R5為RIP區域。

RIP version2

R4(config)#router rip

R4(config－router)#ver 2

R4(config－router)#no au

R4(config－router)#passive－interface default

R4(config－router)#no passive－interface f0/0

R4(config－router)#net yy.0.0.0

R5(config)#router rip

R5(config－router)#ver 2

R5(config－router)#no au

R5(config－router)#passive－interface default

R5(config－router)#no passive－interface f0/1

R5(config－router)#net yy.0.0.0

R5(config－router)#redistribute ospf yy metric 3

R5(config)#route－map con

R5(config－route－map)#match interface f0/1

R5(config)#router ospf yy

R5(config－router)#redistribute con su route－map con

Eigrp協議的應用設計:

R2，R3，SW3，SW4 為 EIGRP 區域

SW3為第三個出口設備，與外部建立EIGRP進程號為100

R3(config)#router ei yy

R3(config－router)#no au

R3(config－router)#net yy.yy.38.00.0.0.255

R2(config)#router ei yy

R2(config－router)#no au

R2(config－router)#net yy.yy.29.00.0.0.255

Sw4(config)#router ei yy

Sw4(config－router)#no au

Sw4(config－router)#net yy.yy.9.90.0.0.0

Sw4(config－router)#net yy.yy.29.00.0.0.255

Sw4(config－router)#net yy.yy.89.00.0.0.255

Sw3(config)#router ei yy

Sw3(config－router)#no au

Sw3(config－router)#net yy.yy.8.80.0.0.0

Sw3(config－router)#net yy.yy.89.00.0.0.255

Sw3(config－router)#net yy.yy.38.00.0.0.255

Sw3(config－router)#redistribute eigrp 100

Sw3(config)#router ei 100

Sw3(config－router)#no au

Sw3(config－router#net 150.3.yy.00.0.0.255

路由協議的應用(BGP協議的運用):主出口設備走R1，次優備份路徑走R2，R1保證bgp的連接安全，R3、R5為bgp的反射器，設備的物理接口斷開不影響ibgp鄰居的建立外部BGP互聯的設計與優化。

R1(config)#router bgp yy

R1(config－router)#no syn

R1(config－router)#no au

R1(config－router)#bgp default local－pre 150

R1(config－router)#nei yy.yy.3.3 remote yy

R1(config－router)#nei yy.yy.3.3 up lo0

R1(config－router)#nei yy.yy.5.5 remote yy

R1(config－router)#nei yy.yy.5.5 up lo0

R1(config－router)#nei 150.1.yy.254 remote 254

R1(config－router)#nei 150.1.yy.254 ttl－sec 254

R1(config－router)#redistribute ospf yy ma in ex

R2(config)#router bgp yy

R2(config－router)#no syn

R2(config－router)#no au

R2(config－router)#nei yy.yy.3.3 remote yy

R2(config－router)#nei yy.yy.3.3 up lo0

R2(config－router)#nei yy.yy.5.5 remote yy

R2(config－router)#nei yy.yy.5.5 up lo0

R2(config－router)#nei 150.2.yy.254 remote 254

R2(config－router)#nei 150.2.yy.254 maximum－prefix 3 100 warnning－only

R2(config－router)#redistribute ospf yy ma in ex

R3(config)#router bgp yy

R3(config－router)#no syn

R3(config－router)#no au

R3(config－router)#cluster－id yy.yy.35.35

R3(config－router)#nei yy.yy.1.1 remote yy

R3(config－router)#nei yy.yy.1.1 up lo0

R3(config－router)#nei yy.yy.1.1 route－re

R3(config－router)#nei yy.yy.2.2 remote yy

R3(config－router)#nei yy.yy.2.2 up lo0

R3(config－router)#nei yy.yy.2.2 route－re

R3(config－router)#nei yy.yy.4.4 remote yy

R3(config－router)#nei yy.yy.4.4 up lo0

R3(config－router)#nei yy.yy.4.4 route－re

R4(config)#router bgp yy

R4(config－router)#no syn

R4(config－router)#no au

R4(config－router)#nei yy.yy.3.3 remote yy

R4(config－router)#nei yy.yy.3.3 up lo0

R4(config－router)#nei yy.yy.5.5 remote yy

R4(config－router)#nei yy.yy.5.5 up lo0

R5(config)#router bgp yy

R5(config－router)#no syn

R5(config－router)#no au

R5(config－router)#cluster－id yy.yy.35.35

R5(config－router)#nei yy.yy.1.1 remote yy

R5(config－router)#nei yy.yy.1.1 up lo0

R5(config－router)#nei yy.yy.1.1 route－re

R5(config－router)#nei yy.yy.2.2 remote yy

R5(config－router)#nei yy.yy.2.2 up lo0

R5(config－router)#nei yy.yy.2.2 route－re

R5(config－router)#nei yy.yy.4.4 remote yy

R5(config－router)#nei yy.yy.4.4 up lo0

R5(config－router)#nei yy.yy.4.4 route－re

R5(config)#int s0/0/0

R5(config－if)#ip os co 1

網絡環境的整體優化:針對所用到的路由協議之間交互的優化與設計。R4收到的ospf路由從R3來，EIGRP路由從R5來，R2，R3雙向重發布，路由不能混亂。

R4 router ospf 100 distance ospf external 125

R2/R3 router eigrp YY redistribute ospf YY metric 1000 100 255 1 1500

Router ospf YY redistribute eigrp YY subnets

distance ospf external 171 distance 110 35.35.5.50.0.0.0 10

ac 10 permit yy.yy.45.0

2.3 整體網絡后期的設計與優化

防火墻的設計與運用:假設在R1上開啟防火墻功能，在此出口設備上保證流量的流向和內部外部設備的交互，現在假如公司內部與外部的流量通過只允許，ICMP，http。具體實施方案如下，其中的class－map里抓得就是允許通過的流量。

R1(config)#zone security A

R1(config)#zone security B

R1(config)#int s0/0/1

R1(config－if)#zone－member security A

R1(config)#int f0/0

R1(config－if)#zone－member security A

R1(config)#int f0/1

R1(config－if)#zone－member security B

R1(config)#class－map type inspect match－all A_B

R1(config－cmap)#match protocol icmp

R1(config－cmap)#match protocolhttp

R1(config)#policy－map type inspect pmap_A_B

R1(config－pmap)#class type inspect A_B

R1(config－pmap－c)#pass

R1(config－pmap)#class type inspect class－default

R1(config－pmap－c)#pass

R1(config)#zone－pair security A_B source A destination B

R1(config－sec－zone－pair)#serice－policy type inspect pmap_A_B

R1(config)#zone－pair security B_A source B destination A

R1(config－sec－zone－pair)#serice－policy type inspect pmap_A_B

QOS的設計與運用:流量的分類，流量的整形，流量的監管，流量的限速機制，隊列機制，丟棄機制的設計應用。現在假設如果從外部網絡收到攻擊，并且找出了攻擊的流量source地址為197.68.1.0，但是這個地址又不允許將它的訪問功能取消，現在設計一個基于QOS的處理方法。使得從197.68.1.0/24從BB1流量被攻擊的OSPF區域0，應限制為128K R1上的每個接口上，使用shape整形。

R1(config)#ac 1 permit 197.68.1.00.0.0.255

R1(config)#class－map bb1

R1(config－cmap)#match access－group 1

R1(config－cmap)#match input－interface f0/1

R1(config)#policy－map mqc

R1(config－pmap)#class bb1

R1(config－pmap－c)#shape average 12800

R1(config)#int f0/0

R1(config－if)#service－policy output mqc

R1(config#int s0/0/1

R1(config－if)#service－policy output mqc

熱備份的設計與應用:作為大型的網絡，提供2臺額外的設備進行冗余是很有必要的，一臺設備熱備，一臺冷備。具體設計實施方案如下:(這里是必須根據2層的STP生成樹來設計)定義用戶網關配置VLAN 500 為 YY.YY.100.254:該 IP YY.YY.100.1 應分配給主 HSRP 網關和 YY.YY.100.2 應分配給輔助 HSRP 網關?；顒咏M網關分配應符合跨越VLAN 500的樹的根活躍。主動網關優先級120和待機時保持默認。定義跟蹤對象組，這是一個網絡的可達性150.1.YY.0/24。兩個開關之間的身份驗證－MD5密碼cisco。主網關應該有恢復主要作用的能力，一旦被跟蹤的對象是可達的:

Sw1(config)#int vlan 500

Sw1(config－if)#ip add yy.yy.100.2 255.255.255.0

Sw1(config－if)#standby 1 ip yy.yy.100.254

Sw1(config－if)#standby 1 preemt

Sw1(config－if)#standby 1 authentication md5 key－string CCIE

Sw1(config－if)#standby 1 timers msce 200 1

Sw2(config)#int vlan 500

Sw2(config－if)#ip add yy.yy.100.1 255.255.255.0

Sw2(config－if)#standby 1 ip yy.yy.100.254

Sw2(config－if)#standby 1 preemt

Sw2(config－if)#standby 1 authentication md5 key－string CCIE

Sw2(config－if)#standby 1 timers msce 200 1

Sw1(config－if)#standby 1 track 1 decrement 25

Sw2(config－if)#standby 1 priority 120

Sw2(config)#track 1 ip route 150.1.yy.0 255.255.255.0 reachabily

4 結語

本文基于WEB－IOU設計了大型企業網絡的整個三層架構，分別設計了從接入到匯聚到核心的解決方案，從二層VLAN的同步到STP的使用對于二層網絡的精確控制，三層網絡的路由協議的選擇，路徑的優化，路由協議混雜的交錯優化，對于網絡內部流量的分類整形，隊列，丟棄，內網與外網的連接，安全，簡單的防火墻的設置，對內外部通過流量進行精確的匹配。由于物理設備還是有可能出現問題，于是在核心交換機上設置備份保證網絡的冗余性，后期為方便網絡管理者的日常管理。整個企業網絡的架構全部在WEBIOU中完成，并真實地模擬了企業的實際網絡環境，可以方便后期的升級及維護。

［1］楊浚.通過IOU－web構建虛擬網絡實驗平臺［J］.考試周刊，2014(77):111.

［2］陸利剛，黃靜.WebIOU軟件在計算機網絡實驗教學中的應用［J］.現代計算機:上下旬，2013(9):56－58.

［3］黃睿、周偉.基于web IOU和VMware的虛擬網絡實驗室研究［J］.電腦知識與技術，2013(36):8234－8236.

［4］王達.Cisco路由器配置與管理完全手冊［M］.2版，北京:中國水利水電出版社，2013.

［5］梁廣民、王隆杰.思科網絡實驗室路由、交換實驗指南［M］.北京:電子工業出版社，2013.