企业网络规划与优化
1.实验背景
在一个仓储企业网络拓朴结构如图1-所示,该企业占地500亩。有五层办公楼1栋,大型仓库10栋。每栋仓库内、外部配置视频监控16台,共计安装视频监控160台,Switch A、服务器、防火墙、管理机、Router A等设备部署在企业办公楼一层的数据机房中,SwitchB部署在办公楼一层配线间作为一层的接入设备,Switch C和SwitchD分别部署在仓库1和仓库2,各仓库的交换机与SwitchA相连。
办公楼的其他楼层的交换机以及其他仓库的交换机的网络接入方式与图1-1中Switch B、Switch C、Switch D接入方式相同,不再单独在图1-1上标示。
图1-1
该企业办公网络采用172.16.1.0/24地址段,部门终端数量如表1-1所示。
| 部门 |
终端数量 |
IP 地址范围 |
子网掩码 |
| 行政部 |
28 |
172.16.1.1~172.16.1.30 |
(1) |
| 市场部 |
42 |
(2) |
255.255.255.192 |
| 财务部 |
20 |
(3) |
255.255.255.224 |
| 业务部 |
120 |
172.16.1.129~172.16.1.254 |
(4) |
表1-1
(1) 255.255.255.224
(2) 172.16.1.65~172.16.1.126
(3) 172.16.1.33~62
(4) 255.255.255.128
2.部门终端数量的IP地址范围计算:
2.1行政部(28台终端):
2.1.1子网规模:
2的5次方=32。
因此子网掩码中第4字节的数=256-32=224。
子网掩码为255.255.255.224。
2.2市场部(42台终端):
2.2.1子网规模:
2的6次方=64。
行政部已经使用了172.16.1.1~172.16.1.30这个子网段,所以市场部需要从172.16.1.64开始连续取64个地址。
市场部的 IP 地址范围为172.16.1.65~172.16.1.126,排除网络地址和广播地址后的范围。
2.3.1财务部(20台终端):
2.3.2子网规模:
2的5次方=32。
由于已经使用了172.16.1.1172.16.1.30和172.16.1.65172.16.1.126,所以财务部需要从172.16.1.32开始连续取32个地址。
财务部的 IP 地址范围为172.16.1.33~172.16.1.62,排除网络地址和广播地址后的范围。
2.4.1业务部(120台终端):
2.4.2子网规模:
2的7次方=128。
因此子网掩码中第4字节的数为256-128=128。
子网掩码为255.255.255.128。
2.5子网规模选择的解释:
我们选择子网规模是基于部门的终端数量和未来的扩展需求。
例如,行政部的子网规模为32,因为有28个终端,这个规模足够满足当前需求,同时还留有一些可用地址供未来扩展使用。这样可以有效管理IP地址,避免浪费和不必要的地址碎片化。
2.6.IP地址范围的选择:
在为市场部和财务部分配IP地址范围时,我们考虑了已经使用的地址段,以避免冲突。
例如,在分配市场部的IP地址范围时,我们考虑到行政部已经使用了172.16.1.1172.16.1.30这个子网段,所以我们选择了从172.16.1.64开始的地址范围,以确保不与行政部冲突。同时,我们还避免了与业务部(172.16.1.129172.16.1.254)的地址范围重叠,确保了网络的正常运行。
3. 拓扑分析
3.1仓库到办公楼的布线系统属于什么子系统?应采用什么传输价质?该线缆与交换机连接需要用到哪些部件?
建筑群子系统或园区子系统,采用单模光纤,光模块或SFP。
3.2回答解释
问题实际上考察综合布线的基本概念,根据拓扑图可知仓库和办公楼分别属于不同的建筑物.因此连接仓库到办公楼的布线系统属于建筑群子系统。
对于建筑群子系统而言通常采用的传输介质是光纤.尽管背景没有详细地说出各个建筑物之间的距离,但是从背景的说法可以知道是一个大型的园区对应的大型的仓库,可以认为距离相对比较远.因此建议使用单模光纤。
光纤与交换机相连通常使用的是光模块.理论上讲光电转换器也是能满足要求的.但是从网络的设计来看.建议选择光模块或者sfp。
4. 情景分析
若接入的IPC采用1080P的图像传输质量传输数据,Switch C、Switch A选用百兆交换机是否满足带宽要求,请说明理由。
Swtich C能满足,Swtich A不能满足,1080P的图像传输数据量在6Mb/s左右,所以,Switch C承载的数据量是96Mb/s,100Mb/s能满足要求,而160台产生的流量远超过100Mb/s,所以Switch A是作为核心,不能满足要求。这里属于一个基本的计算题,难点在于108P的图像传输所需要的传输速度,1080P的分辨率是1920*1080,使用的带宽为3-9Mbps,主流带宽为6Mbps。由于Swtich C所在的位置需要接入16路IPC,按照6Mbps每路计算16*6Mbps=96Mbps。如果选用100兆交换机,勉强能满足要求。
Swtich A处在核心位置,下面的仓库一共接入160路IPC,总带宽远超100Mbps,因此不能满足要求
5. 情景假设
5.1在位置A增加一台交换机Switch E做接入层到核心层的链路冗余,如图2所示,请以Switch C为例简述接入层与核心层的配置变化。
图2
5.1.2 SwitchA、SwitchE组成双核心,交换机之间采用链路聚合,同时采用STP或MSTP避免环路
5.1.2.1 回答解释
在位置 A增加1台交换机作为接入层到核心层的链路冗余,从而实现了双核心交换机,下面的接入层设备需要使用双链路分别连接到核心层的Switch A和Switch E。因此对于核心层的配置需要将两台核心层交换机连接起来,可以考虑使用链路聚合提供更高的链路带宽。接入层交换机需要配置2个通讯链路,分别连接到switch A和switch E。由于存在有几余的链路,还需要配置生成树协议以避免出现环路。
5.2简要说明在Router A与Router B之间建立IPSec VPN隧道的配置要点。
5.2.2配置接口的IP地址和到对端的静态路由,保证两端路由可达。
配置ACL,以定义需要IPSec保护的数据流。
配置IPSec安全提议,定义IPSec的保护方法
配置IKE对等体,定义对等体间IKE协商时的属性。
配置安全策略,并引用ACL、IPSec安全提议和IKE对等体,确定对何种数据流采取何种保护方法。
在接口上应用安全策略组,使接口具有IPSec的保护功能。
5.2.2.1 回答解释
IPSEC VPN的配置,首先需要保障网络是联通的,因此需要配置好各个接口的IP地址和对应的路由。
第二步需要配置ACL,利用ACL控制进入IPSEC VPN隧道的流量。
第三步配置IPsec安全提议。
第四步 配置lke对等体。
第五步配置安全策略,将之前定义的ACL,IPsec安全提议和Ike对等体关联起来。
第六步在接口上应用安全策略。
不管有多远的路要走,只要一步一步向前,你就会到达目的地。