阅读量:1
摘要
现代网络以“高带宽、广覆盖、大容量” 的特点可以为企业网络提供高速网络需求,为全面感知和高速传输提供无限可能,并将逐渐改变企业网络员工和管理的工作与OA、生活方式,体现互联网时代人人参与发展、人人参与创新的理念。
按照“整体规划、分期实施,试点先行、以点代面,科学布网、注重安全,企业网络应用、兼顾民用”原则,构建企业网络天赋敏捷企业网络,并且利用现代网络架构的方便、快捷、灵活、覆盖广等特点,推动企业敏捷企业网络办公的自动化、数字化信息化的融合,实现日益增强的移动办公、OA自动化的需求,满足多业务、多平台资源共享。
本文从企业网络的网络需求开始分析,根据基于国际大牌网络厂商华为的设计理念,选择为该企业网络适用的架构思想,提供完美的网络及防火墙安全解决方案。本课题实施部分由华为 ENSP模拟器来搭建网络拓扑结构,利用华为设备作为拓扑内设备的核心VRP,然后用模拟器工具进行路由器交换机防火墙的相关配置,并测试其结果最终符合企业网络内部网络的规划与设计需求。
关键词:网络;拓扑结构;路由;交换;防火墙;内部网络;无线技术
目 录
1. 引言................................................................................ 1
1.1 项目背景分析....................................................................................... 1
1.2 组建企业网络内部网的流程.............................................................. 3
1.3 组建企业网络内部网技术点.............................................................. 4
2. 需求分析........................................................................ 6
2.1 工程项目概况....................................................................................... 6
2.3.1 网络环境需求分析................................................................... 8
2.3.2 企业网络子网需求................................................................... 8
2.3.3 交换机路由器配置及VLAN划分......................................... 9
2.3.4 企业网安全性及防火墙需求分析........................................ 10
2.3.5 AP无线网络解决方案.............................................................. 11
2.3.6 管理需求分析......................................................................... 15
2.4.1 用户终端需求分析................................................................. 16
2.4.2 交换机的需求......................................................................... 20
3. 网络组网规则............................................................. 24
4. 网络方案设计............................................................. 26
4.1 网络拓扑结构介绍............................................................................ 26
4.2 企业网络建筑物理图........................................................................ 26
4.3 布线逻辑方案..................................................................................... 27
4.4 骨干核心层网络设计........................................................................ 28
4.4.1 骨干核心层及防火墙网络设计............................................ 28
4.4.2 核心层及IDS网络设计........................................................ 29
4.4.3 汇聚层网络设计..................................................................... 29
4.4.4 接入层网络设计..................................................................... 30
4.4.5 广域网互联设计..................................................................... 30
4.4.6 冗余设计.................................................................................. 31
4.4.7 IP地址规划原则.................................................................... 32
结束语................................................................................. 39
致谢..................................................................................... 40
参考文献............................................................................. 41
附录..................................................................................... 42
1. 引言
1.1 项目背景分析
市场的全球化竞争逐步是一个大趋势。对于中小型企业网络来说,布置发展的策略时候,一定要首先想到市场的寰球相争的格局,因此将依照信息化的基础,以及保障网络的顺畅。
通过本次设计,培养员工和管理综合运用所学基础理论、基本知识、基本技能和专业知识,联系实际企业网络需求进行整个网络规划和设计的能力。培养员工和管理进行独立分析问题、解决问题的能力和初步进行科学研究的能力。使员工和管理对企业网络网建设工程有了一个比较深入的了解,知道了企业网络网络建设是一项重要的系统工程,可以深化有关理论知识,扩大知识面、调查研究等方面的综合训练。
企业网络内部的网络架构是一个充分拥有敏捷理念的架构思想,它可以为企业网络提供单独的局域网通信,也可以覆盖整个企业网络的范围,可跨越不同的局域网实现大型广域网的互联架构,
企业网络内部建设是针对企业的特别的业务需求而性价比较高的的信息传输和失误处理系统,能提供该企业网络高效运作的需求。企业网络内部网的建设目标是以信息技术为收短,把分部在不同地理位置的设备和终端设备通过网络组合在一起,形成资源共享的实时性,靠电子手段联系的统一指挥的经营实体,从而实现企业的业务稳定性和长期发展性。这样可以支撑企业网络信息系统的运作,共享各种资源,提高企业网络办公和企业网络生产效率,降低企业网络的总体运行费用。
企业网络共有办公区、行政区、销售区、技术区/其他区、分部-办公区、分部-财务区、分部-人力区、分部-后勤区、数据中心等均分为有线和无线和无线接入。企业网络有线和无线网络建设已经完成多年,在近两年的企业网络信息化管理和维护过程中,发现该企业网络员工和管理的笔记本式计算机和移动设备普及率首次超过了台式机,大量员工和管理在企业网络中区域使用笔记本式计算机进行日常的研究、工作、沟通和娱乐。
企业网络服务器管理中心新增三台Web和FTP服务器、E-mail服务器、DHCP服务器。采用三层网络模型,每栋大楼核心层与汇聚层的交换机放在顶层。工作区域有办公区、行政区、销售区、技术区/其他区、分部-办公区、分部-财务区、分部-人力区、分部-后勤区、数据中心等各数层。核心层采用具有三层交换功能的路由交换机,汇聚层也采用具有三层交换功 能的设备,接入层采用具有二层交换功能的LAN交换机。核心交换机与汇聚交换机之间,汇聚层与接入层设备采用千兆连接。
1.2 组建企业网络内部网的流程
企业网络内部网络的设计及实施管理人员必须在需求分析、系统规划、方案设计、方案实施、测试验收、管理维护等各个环节上,严格按照技术的规范和施工要求严格把关,确保质量。整个网络工程的建设一般包含了五个阶段:
- 构思阶段
主要工作包含:
- 对统一行业的企业网络网络进行分析,OA其他网络的优点,避免其他网络的缺点。
- 对企业网络内部网络系统的初步规划。
- 结合企业的预算,能够进行合理的网络设备选择,厂家的选择等。
- 现状及需求分析:企业网络有线和无线网络现状、企业网络的无线网络需求分析;
- 系统总体方案设计:IP地址管理和网段及子网划分、无线通信技术选择、WiFi标准选择;
- 比较设备并且选择适合企业网络的设备;
- 安全性设计:防止外部网络非法访问、限制广域网互连、限制非法访问等方面进行安全性设计。
- 网络互联技术
2) 方案设计阶段
发难设计阶段的主要工作包含:
- 完成组建网络需求报告的编写。
- 完成企业网络的网络建设的方案的编写,对计算机及网络及布线及安全等需提供进行详细的方案规划。
- 确定网络设备厂商,获悉准确的设备参考,实际情况的考察及价格的谈判等等。
- 提交设计方案及预算企业网络决策者进行审评、修正。
3)工程实施阶段
工程实施阶段的主要工作包含:
- 企业网络提供的预算资金落实到位,工程师部门到位。
- 与设备厂家签署设备定制合同,并提供交付日期。
- 与供应商一起完成设备订货,包括主机系统、网络设备、布线系统等系统硬件,网络配件、数据库、应用软件等等系统软件。
- 设备验收。
- 布线系统的施工。
- 主机系统与相关应用软件系统的安装。
- 系统及应用的分配。
- 人员及使用的培训。
- 系统的调节、测试和运行。
- 系统验收
4)测试验收
A、计算机的硬件设备及系统软件的测试验收;
B、网络的硬件设备及配套软件的测试验收;
C、计算机系统和网络系统的集成验收;
D、最终验收;
E、后期保养服务的合同约定;
5)管理维护
1.3 组建企业网络内部网技术点
在组建企业网络内部网络时,工作人员与供应商应达到良好交流,对施工中的布线和设备安装的运行情况惊醒实时监视,以便发现问题、解决问题。
在系统硬件和网络设计中,应为各种设备留有足够的扩充余地。
为了能更好的使用和延长服务器的使用寿命,定期的对服务器进行维护的时候一定要小心的处理好维护的工作,否则会影响很大。为了方便大家在维护中了解一些维护内容的同时又能避免出现错误。下面就收集了一些资料供大家参考。
1、储存设备的扩充余地
当资源不断扩展的时候,服务器就需要更多的内存和硬盘容量来储存这些资源。所以,内存和硬盘的扩充是很常见的。增加内存前需要认定与服务器原有的内存的兼容性,最好是同一品牌的规格的内存。如果是服务器专用的ECC内存,则必须选用相同的内存,普通的SDRAM内存与ECC内存在同一台服务器上很可能会引起统严重出错。在增加硬盘以前,需要认定服务器是否有空余的硬盘支架、硬盘接口和电源接口。
2、设备的卸载和更换
卸载和更换设备时的问题不大,需要注意的是有许多品牌服务器机箱的设计比较特殊,需要特殊的工具或机关才能打开,需要仔细看说明书,不要强行拆卸。另外,必须在完全断电、服务器接地良好的情况下进行,即使是支持热插拔的设备也是如此,以防止静电对设备造成损坏。
3、除尘
尘土是服务器最大的杀手,因此需要定期给服务器除尘。服务器的灰尘甚至是致命的。除尘方法与普通PC除尘方法相同的,尤其要注意的是电源的除尘。
2. 需求分析
2.1 工程项目概况
企业网络网的主要使用对象是员工和管理、行政人员、企业管理者,员工和管理通过网络进行OA,解决教务上的难题等。行政通过网络进行企业管理,丰富工作内容,强化工作效果。管理者通过网络,实现OA、办公、后勤、行政,协调各部门的工作。
- 网络覆盖企业网络网所有行政、后勤、管理、客房服务部门单位所在的全部楼宇及全部员工和管理所在场所,实现有条件的互通互联。
- 利用光纤传输链路进一步扩大企业网络网的传输效率,使企业员工和管理在任何时间、任何地点都能方便高效的使用网络。
- 在整个企业网络内实现资源共享、产品信息共享、实时新闻发布;
- 确保全网员工和管理能够在自身终端设备能够自动获取iPv4地址。
- 在此基础上建立高冗余网络环境,避免产生单一故障点而造成全网瘫痪的问题。
- 在此网路拓扑基础之上建立对IP路由提供快速收敛,最优路径转发的功能。
2.2 信息点分布
通过这个表格,我们可以清晰的分析整个企业网络的信息点还有各部门的距离计算预算。一下是对企业网络信息点的分析,如下表所示:
部门 | 信息点 | 信息点合计 | 距核心网络的距离 |
办公区 | 1000 | 5000 | 500m |
1000 | |||
3000 | |||
行政区 | 100 | 300 | 500m |
100 | |||
100 | |||
销售区 | 50 | 150 | 250m |
100 | |||
技术区 | 100 | 200 | 250m |
100 | |||
分部区 | 50 | 150 | 500m |
50 | |||
50 | |||
后勤区 | 3000 | 3000 | 500m |
企业数据中心 | 200 | 200 | 500m |
合计 | 9000 | 3000m |
表2.1 企业信息点分析表
企业网络信息化的发展,满足企业网络日益增长的通讯需求和网络的稳定运行,今天的企业网络内部网络建设比传统企业网络内部网络建设提出更高的要求,主要表现在如下几个方面:
2.3.1 网络环境需求分析
本次企业企业网络工程建设需要实现以下需求:
1.网络架构要求如企业接入网规划所示:对终端设备进行分组管理,统一认证,集中管理,做到基于用户的访问权限
2.设备要求:核心全万兆、接入层交换机万兆上联、千兆接入、支持POE、Stack
3.原则上本次采购设备需要满足未来5年内行业发展需求,硬件上支持企业SDN
运维要求:
4.支持网络自动部署,终端自动上线,用户权限自动下发,网络后台对用户接入及访问策略无需人工干预
5.当发生故障时,排障需做到统一接口,无需多方资源协调
6.IP地址表、MAC地址表、终端信息、工位信息点都交由控制器统一管理
2.3.2 企业网络子网需求
为了提高企业网络内部的IP地址的可用率,我们将采用VLSM子网划分的技术,将IP地址根据企业网络内部对应的部门进行合理的分配。从而节约了IP地址的开销率,以及更加方便工作能够有效的对网络进行管理
OA区、办公区、教务区、图书馆、体育馆、宿舍区。
序号 | 子网名称 | 包含的信息点 |
1 | 办公区 | 该区所有的计算机 |
2 | 行政区 | 该区所有的计算机 |
3 | 销售区 | 该区所有的计算机 |
4 | 技术区 | 该区所有的计算机 |
5 | 分部区 | 该区所有的计算机 |
6 | 分部其他区 | 该区所有的计算机 |
7 | 企业数据中心 | 该区所有的服务器 |
表2.2 企业网络子网的划分表
2.3.3 企业IP地址划分
序号 | 子网名称 | 网段IP | 网关IP | 备注 |
1 | 办公区 | 192.168.10.0/24 | 192.168.10.254 | Vlan 10 |
2 | 行政区 | 192.168.20.0/24 | 192.168.20.254 | Vlan 20 |
3 | 销售区 | 192.168.30.0/24 | 192.168.30.254 | Vlan 30 |
4 | 技术区 | 192.168.30.0/24 | 192.168.30.254 | Vlan 30 |
5 | 分部区 | 192.168.40.0/24 | 192.168.40.254 | Vlan 40 |
6 | 分部其他区 | 192.168.50.0/24 | 192.168.50.254 | Vlan 50 |
7 | 企业数据中心 | 192.168.60.0/24 | 192.168.60.254 | Vlan 60 |
表2.3 企业网络vlan的划分及IP的分配表
另外,IP地址分为公网地址和私网地址两类,公有地址由Inter NIC负责的。这些IP地址分配给注册并向Inter NIC提出申请的组织机构。通过它直接访问因特网。ISP分配给企业网络的全局IP地址地址段为:8.8.8.8.,私有地址(Private address)属于非注册地址,专门为组织机构内部使用。以下列出留用的内部私有地址
A类为: 10.0.0.0--10.255.255.255
B类为: 172.16.0.0--172.31.255.255
C类为: 192.168.0.0--192.168.255.255
2.3.4 安全性及防火墙需求分析
企业网络网受到安全隐患,不仅来自网外,企业网络网内部同样存在这样的问题,其表现在几个方面:
(1)物理安全
保证计算机系统及网络设备安全是整个网络安全的前提。主要的安全威胁有3类,一是自然灾害导致的物理设备的损害;二是电磁辐射影响设备的使用;三是操作不当导致数据丢失等。
(2)系统安全
网络结构是否合理,线路是否有冗余等问题,操作系统自身存在的漏洞,校小网应用系统漏洞也成为造成校小网不安全的因素之一。
(3)病毒入侵
近年来,计算机病毒一直是校小网安全主要威胁之一,主要通过两种途径:一是外网传播,二是内网自身的病毒。员工和管理通过U盘、不安全邮件使用等无意间传播了病毒,严重校小网的正常使用。
(4)非授权的访问
指没有经过同意非法使用网络资源和计算机资源,如假冒、ARP攻击、外网用户进入网络系统进行非法操作等
(5)不良信息的传播
Internet信息开发,传播速度快,在利益的驱使下大量不良信息通过网络传播到校小网内,对员工和管理造成危害。
(6)用户对网络资源的滥用
部分用户利用免费的网络资源,给自己提供大量的下载服务,占用大量的带宽。
2.4 设备要求
根据企业网络的网络功能需求和实际的布线系统情况,企业网络敏捷企业网络网络本次采用三层化架构(核心>汇聚>接入),简化网络层级,提升运维管理效率,核心到接入所有设备间通过万兆光纤互联提供高传输带宽,设计满足5年内技术不落后,各层级结构清晰便于网络管理及未来的升级扩容。对网络网络设备的选择,最终的网络设备应该选择拥有足够实力和市场份额的厂商的主流产品,同时设备厂商必须要有良好的市场形象与售后技术支持的。
2.4.1 用户终端需求分析
经过企业网络内各企业网络所提交的需求表的反馈,确认企业网络共需客户端计算机的PC数量是300套;根据业务的需求分析,从硬件划分为三种配置:
1)普通企业网络PC:
2)企业网络高级处理PC:
3)企业网络其他PC:
2.4.2 交换机和路由器等网络设备需求
企业网络网络设备需求如下:
序号 | 设备名称 | 品牌 | 规格 | 单位及 | 性能及指标 | 产地 | |
型号 | 数量 | ||||||
1 | Switch交换机 | HuaWei | S3700 | 6套 | 采用前兆口快速转发支持所有的常见的二层协议 | 中国 | |
2 | Switch三层交换机 | HuaWei | S5700 | 6套 | 核心三层交换机,支持千兆口转发,支持二层三层协议 | 中国 | |
3 | 路由器 | HuaWei | Router | 1套 | 核心路由器,支持OSPF、BGP等动态路由协议 | 中国 | |
4 | 服务器 | HP |
| 1套 | windowns server 2008 | 美国 | |
5 | 防火墙 | huawei | SSG | 2套 | 提供无线技术的支持,策略D、安全加密等 | 中国 |
3. 网络组网规则
敏捷企业通常是一种用户高密度的非运营网络,在有限的空间内聚集了大量的终端和用户。同时对于敏捷企业而言,注重的是网络的简单可靠、易部署、易维护。因此在敏捷企业中,拓扑结构通常以星型结构为主,较少使用环网结构(环网结构较多的运用在运营商的城域网络和骨干网络中,可以节约光纤资源)。
基于星型结构的敏捷企业设计,通常遵循如下原则:
- 层次化
将企业网络网络络划分为核心层、接入层。每层功能清晰,架构稳定,易于扩展和维护。
- 模块化
将企业网络企业络中的每个部门或者每个功能区划分为一个模块,模块内部的调整涉及范围小,易于进行问题定位。
- 冗余性
关键设备采用双节点冗余设计;关键链路采用链路聚合方式冗余备份或者负载分担;关键设备的电源、主控板等关键部件冗余备份。提高了整个网络的可靠性。
- 安全隔离
企业网络企业络应具备有效的安全控制。按业务、按权限进行分区逻辑隔离,对特别重要的业务采取物理隔离。
- 可管理性和可维护性
网络应当具有良好的可管理性。为了便于维护,应尽可能选取集成度高、模块可通用的产品
4. 网络方案设计
4.1 网络拓扑结构介绍
在此次系统设计中,我们采用分层设计方法,将网络的逻辑结构化整为零,分层讨论设计与实现的细节问题。将网络拓扑结构划分为3个层次,即核心层、汇聚层和接入层。
4.2 企业网络建筑物理图
企业网络共有9层物理楼层,企业前台区位于大楼1层,企业行政区位于大楼2层,企业客房1区位于大楼3层,企业网络客房2区位于大楼4层,企业网络餐饮区位于大楼5层,企业网络娱乐区位于大楼6层,企业网络数据中心区位于大楼9层。
4.3 网络拓扑图
图4.3 网络拓扑图
图4.3示,是企业网络网络拓扑图,连接到ISP为外网接入的,红色部分是防火墙,由防火墙进入到的主交换机的,然后由主交换机分配到各个分交换机,再由各个分交换机分配到分配到各个部门的电脑的,通过这个图,可以清晰的了解到整个企业网络的网络分布。企业网络在服务器区新增三台Web和FTP服务器、E-mail服务器、DHCP服务器。
4.4 骨干核心层网络设计
4.4.1 骨干核心层网络设计
网络核心层的主要工作是交换数据包,核心层的设计应该注意以下两点:
从逻辑上组合成多台核心层设备;核心层设备使用冗余技术,从管理角度逻辑上组合成一套设备管理。并在核心层和汇聚层之间采用链路的冗余,用来更好保护传输数据的稳定性。
在核心层中,我们采用了华为的USG防火墙进行相关保护,ASA防火墙拥有以下的性能特征:
华为 USG系列下一代防火墙帮助影院网络在安全效能和生产率之间取得平衡。该解决方案将业内部署最为广泛的状态检测防火墙和全方位的下一代网络安全服务合为一体,包括:
1.精准的可视性和可控性
2.强大的Web安全,无论是在现场还是在云端
3.业界领先的入侵防御系统 (IPS),用以抵御已知威胁
4.全方位的威胁和高级恶意软件防护
全球部署最为广泛的 USG 防火墙及高度安全的华为 AnyConnect远程访问华为推出业界首款关注威胁防御的下一代防火墙:采用 FirePOWER Services 的华为 ASA,在华为 USG 5500-X 系列和 UGS 5585-X 自适应安全设备中有提供。借助此解决方案,您将拥有成熟的华为 ASA 防火墙保护功能,它将业内一流的 Sourcefire 威胁和高级恶意软件防护功能融合于一台设备中。
它可以在整个攻击期间提供卓越的可视性和高度有效的威胁防御功能,为当前影院网络保驾护航。它提供全面的可视性、降低成本和复杂度,并实时防御恶意软件和新兴威胁。
4.4.2 核心层网络设计
企业网络网络中心机房为了高速转发数据流量,采用华为S5750核心三层交换机,以去实现整个网络的核心路由。
核心路由区域是该企业网络网的网络核心,由于要承载其他网络区域所有汇聚区域的数据访问功能,设备的高可靠性、网络交互的高性能保障、维护的便利性都是要参考的目标。
- 从设备的高可靠性来看,需要设备自身具有冗余性,无论是引擎、电源、风扇都是冗余架构,同时线卡可以支持热插拔。另外,要考虑到操作系统的高可靠性,ISSU、GR等技术都是在大型网络中常用的技术。
- 从网络交互的性能保障来看,有多个方面需要考虑:
- 从业务流程来看,绝大部分都是需要通过核心来进行数据交付的,而这些信息点都是千兆接入,前置应用区与数据服务区之间的交付也会非常大,所以单机框可提供2Tbps以上的交换容量,500Mpps以上的转发能力,满足现有以及未来网络扩展时性能的需求;
- 从目前网络设计要求来看,核心交换至少要提供7个万兆独立接口来提供数据交换接口,因此单机框至少能提供7个独立万兆接口来提供线性转发的能力;
通过IDS的部署,是的核心层和公网之间架构了入侵检测的提前防御功能,ISD设备的工作流程图如下:
4.4.3 汇聚层网络设计
根据网络结构,在OA区和宿舍区增加交换机,承担新建教师公寓、新公租房、实训楼的汇聚作用。该交换机支持设备登陆管理的AAA安全认证(IPv4/IPv6)适用管理。拥有SEP千兆光纤,上行至两台核心交换机,保证链路畅通和安全。Protocol Based VLAN等VN技术,对接入层的的WLAN汇聚大量的WLAN划分。
此区域为承上启下区域,万兆上联核心区域,千兆下联各大楼以及楼层的接入层设备,由于楼层之间的交互都是需要通过此区域来交互,所以楼层汇聚区的可靠性和性能是设计关键。
汇聚层设备要满足可扩展万兆上行接口以及下行千兆全线速接口。
4.4.4 接入层网络设计
接入层是与企业网络计算机等设备直接相连的设备,其中OA区和办公区是核心,在接入的网络中占了大量的比重,要24小时保证在校员工和管理的实时网络通信,特点是网络使用时间集中,网络流量大、终端接入设备多等。
鉴于以上特点,校小网采用802.1X认证方式,配合Protocol Based VLAN,达到对校小网可控可管理的方式。
4.4.5 冗余设计
冗余设计是网络设计的重要部分,是保证网络整体可靠性能的重要手段,冗余设计可以贯穿整个层次化结构,每个冗余设计都有针对性,可以选择其中一部分或几部分应用到网络中以针对重要的应用。万一网络中某条路径失效时,冗余链路可以提供另一条物理路径。
根据企业网络网络需求分析,汇聚层拥有两台汇聚交换机作为终端的网关,那么在网络建设方案中需要考虑到网关备份的重要性。因此我们采用VRRP网关热备冗余技术实现网关的备份。
冗余设计的目标是:
(2)模块冗余
(4)路由冗余
(5)服务器冗余
IP地址,使用DHCP服务器,动态获取IP的。
4.5 整体方案特点
整体方案已经解决了该企业网络的四大痛点问题,即带宽管理问题,安全保护问题、网络计费问题,以后的可扩展性问题。
5 企业网络具体实现
5.1 划分VLAN
虚拟网技术VLAN把传统的广播域按需要分割成各个独立的子广播域,将广播限制在虚拟工作组中,由于广播域的缩小,网络中广播包消耗带宽所占的比例大大降低,网络的性能得到显著的提高。当前办公楼局域网办公网络中共计划分了7个VLAN虚拟局域网区域。
LSW配置:
<Huawei>system-view
[Huawei]vlan 10
[Huawei]vlan 20
[Huawei]vlan 30
[Huawei]vlan 40
如
LSW1配置:
[Huawei]# interface e0/0/1
[Huawei-Ethernet0/0/1]port link-type access
[Huawei-Ethernet0/0/1]peer default vlan 10
LSW2配置:
[Huawei]# interface e0/0/1
[Huawei-Ethernet0/0/1]port link-type access
[Huawei-Ethernet0/0/1]peer default vlan 20
LSW3配置:
[Huawei]# interface e0/0/1
Huawei-Ethernet0/0/1]port link-type access
[Huawei-Ethernet0/0/1]peer default vlan 30
LSW4配置:
[Huawei]# interface e0/0/1
[Huawei-Ethernet0/0/1]port link-type access
[Huawei-Ethernet0/0/1]peer default vlan 40
[Huawei-Ethernet0/0/1]peer default vlan 50
查看VLAN分配表(示例)
5.2 配置trunk
TRUN是网络领域的一个名词,在网络的分层结构和宽带的合理分配方面,TRUNK被解释为“干道技术”,用于实现在一条链路上识别多个VLAN标记,这样一条链路就可以传输多个VALN的数据。
LSW配置:
[Huawei]# interface e0/0/2
[Huawei-Ethernet0/0/2]port link-type trunk
[Huawei-Ethernet0/0/2]peer trunk allow-pass vlan 2 to 4094
[Huawei]# interface G0/0/1
[Huawei-Gthernet0/0/1]port link-type trunk
[Huawei-Gthernet0/0/1]peer trunk allow-pass vlan 2 to 4094
Trunk技术现象(示例)
5.3 配置RSTP
为了保证整个办公楼局域网办公网络中的PC和服务器连续不间断正常运行,在汇聚层网络中设计有冗余链路,所以我们使用RSTP(快速生成树协议)技术来解决交换机环路问题,并使用PVST技术实现负载均衡。
LSW配置:
[Huawei]# stp mode rstp
CSW1配置:
[Huawei]# stp root primary
CSW2配置:
[Huawei]# stp root seconrty
RSTP生成树现象(示例)
5.4 配置SVI
在这一步将要实现不同VLAN之间ping通,在一个办公楼局域网办公网内部不同部门之间一定是需要日常的办公业务互访。那么实现VLAN间通信将借助三层交换机的SVI接口来实现。
MSW1配置:
[Huawei]interface vlan 10
[Huawei-Vlanif10]undo shutdown
[Huawei-Vlanif10]ip address 172.16.1.252 255.255.255.0
[Huawei]interface vlan 20
[Huawei-Vlanif20]undo shutdown
[Huawei-Vlanif20]ip address 172.16.2.252 255.255.255.0
[Huawei]interface vlan 30
[Huawei-Vlanif30]undo shutdown
[Huawei-Vlanif30]ip address 172.16.3.252 255.255.255.0
[Huawei]interface vlan 40
[Huawei-Vlanif10]undo shutdown
[Huawei-Vlanif10]ip address 172.16.1.252 255.255.255.0
MSW2配置:
[Huawei]interface vlan 10
[Huawei-Vlanif10]undo shutdown
[Huawei-Vlanif10]ip address 172.16.1.253 255.255.255.0
[Huawei]interface vlan 20
[Huawei-Vlanif20]undo shutdown
[Huawei-Vlanif20]ip address 172.16.2.253 255.255.255.0
[Huawei]interface vlan 30
[Huawei-Vlanif30]undo shutdown
[Huawei-Vlanif30]ip address 172.16.3.253 255.255.255.0
[Huawei]interface vlan 40
[Huawei-Vlanif10]undo shutdown
[Huawei-Vlanif10]ip address 172.16.1.253 255.255.255.0
5.5 配置VRRP可靠性协议
高可用性的实现更多指的是保证网络不间断的运行,无或尽量减少发生故障到故障恢复切换的时间。那么当前办公楼局域网办公网络中,通过两台三层交换机已经做到设备的备份冗余,但是需要再通过协议实现发生故障时自动切换,通过HSRP协议可以做到。
MSW1配置:
[Huawei]interface Vlanif10
[Huawei-Vlanif10]vrrp vrid 1 virtual-ip 172.16.1.254
[Huawei-Vlanif10]vrrp vrid 1 priority 120
[Huawei-Vlanif10]vrrp vrid 1 preempt-mode timer delay 20
[Huawei]interface Vlanif20
[Huawei-Vlanif20]vrrp vrid 2 virtual-ip 172.16.2.254
[Huawei-Vlanif20]vrrp vrid 2 priority 120
[Huawei-Vlanif20]vrrp vrid 2 preempt-mode timer delay 20
[Huawei]interface Vlanif30
[Huawei-Vlanif30]vrrp vrid 3 virtual-ip 172.16.3.254
[Huawei-Vlanif30]vrrp vrid 3 priority 120
[Huawei-Vlanif30]vrrp vrid 3 preempt-mode timer delay 20
[Huawei]interface Vlanif40
[Huawei-Vlanif10]vrrp vrid 1 virtual-ip 172.16.4.254
[Huawei-Vlanif10]vrrp vrid 1 priority 120
[Huawei-Vlanif10]vrrp vrid 1 preempt-mode timer delay 20
MSW2配置:
[Huawei]interface Vlanif10
[Huawei-Vlanif10]vrrp vrid 1 virtual-ip 172.16.1.254
[Huawei-Vlanif10]vrrp vrid 1 preempt-mode timer delay 20
[Huawei]interface Vlanif20
[Huawei-Vlanif20]vrrp vrid 2 virtual-ip 172.16.2.254
[Huawei-Vlanif20]vrrp vrid 2 preempt-mode timer delay 20
[Huawei]interface Vlanif30
[Huawei-Vlanif30]vrrp vrid 3 virtual-ip 172.16.3.254
[Huawei-Vlanif30]vrrp vrid 3 preempt-mode timer delay 20
[Huawei]interface Vlanif40
[Huawei-Vlanif10]vrrp vrid 1 virtual-ip 172.16.4.254
[Huawei-Vlanif10]vrrp vrid 1 preempt-mode timer delay 20
VRRP热备现象(示例)
5.6 配置DHCP协议
在办公楼局域网办公网络中,由于终端客户的复杂性,我们需要对网络中使用的IP地址进行固定的合理分配,那么使用DHCP自动分配地址协议,可以实现当前办公楼局域网办公网络-1、办公楼局域网办公网络-2、办公楼局域网办公网络-3、办公楼局域网办公网络-4、办公楼局域网办公办公区、办公楼局域网办公后勤区能够合理的分配到对应IP地址。
MSW1/MSW2配置:
[huawei]ip pool vlan10
[huawei]gateway-list 172.16.1.254
[huawei]network 172.16.1.0 mask 255.255.255.0
[huawei]lease day 3 hour 0 minute 0
[huawei]dns-list 8.8.8.8
[huawei]ip pool vlan20
[huawei]gateway-list 172.16.2.254
[huawei]network 172.16.2.0 mask 255.255.255.0
[huawei]lease day 3 hour 0 minute 0
[huawei]dns-list 8.8.8.8
[huawei]ip pool vlan30
[huawei]gateway-list 172.16.3.254
[huawei]network 172.16.3.0 mask 255.255.255.0
[huawei]lease day 3 hour 0 minute 0
[huawei]dns-list 8.8.8.8
[huawei]ip pool vlan40
[huawei]gateway-list 172.16.4.254
[huawei]network 172.16.4.0 mask 255.255.255.0
[huawei]lease day 3 hour 0 minute 0
[huawei]dns-list 8.8.8.8
DHCP协议地址分配情况(示例)
5.7 配置OSPF
根据当前办公楼局域网办公网络区域的分配,不同的部门处于不同的大楼,那么跨设备的不同网段的通信,我们需要依靠路由器中的路由协议来解决通信问题。结合整个网络的优缺点分析,最实用使用动态路由协议OSPF,OSPF路由协议为公有的协议,它的特点很明显能够实现路由快速收敛,能够支持认证、路由汇总、被动接口等技术,在办公楼局域网办公网络中能够到达良好的体现。
MSW配置:
[Huawei]ospf 100
[Huawei-ospf-100]area 0.0.0.0
[Huawei-ospf-100]network 172.16.1.0 0.0.0.255
[Huawei-ospf-100]network 172.16.2.0 0.0.0.255
[Huawei-ospf-100]network 172.16.3.0 0.0.0.255
[Huawei-ospf-100]network 172.16.4.0 0.0.0.255
[Huawei-ospf-100]network 10.1.1.0 0.0.0.255
MSW配置:
[Huawei]ospf 100
[Huawei-ospf-100]area 0.0.0.0
[Huawei-ospf-100]network 172.16.1.0 0.0.0.255
[Huawei-ospf-100]network 172.16.2.0 0.0.0.255
[Huawei-ospf-100]network 172.16.3.0 0.0.0.255
[Huawei-ospf-100]network 172.16.4.0 0.0.0.255
[Huawei-ospf-100]network 13.1.1.0 0.0.0.255
5.8 配置OSPF自动下发默认路由特性
在办公楼局域网办公网络中,在核心层出口边界设备R3上下发默认路由,让内部拥有去往外部的默认路由,通过该默认路由实现整个办公楼局域网办公网络内部的所有终端访问互联网。
MSW配置:
[Huawei]ospf 100
[Huawei-ospf-100]area 0.0.0.0
[Huawei-ospf-100]default-route-advertise
5.9 配置出口防火墙设备
在该办公楼局域网办公网络中,提供了一个防火墙,供办公楼局域网办公员工在访问互联网是能够提供有效的安全保证,同时也保证了整个办公楼局域网办公网抵挡外部恶意流量攻击的能力,具体的防火墙配置策略如下。
[Huawei]firewall packet-filter default permit interzone local trust direction inbound
[Huawei]firewall packet-filter default permit interzone local trust direction outbound
[Huawei]firewall packet-filter default permit interzone local untrust direction inbound
[Huawei]firewall packet-filter default permit interzone local untrust direction outbound
[Huawei]firewall packet-filter default permit interzone local dmz direction inbound
[Huawei] firewall packet-filter default permit interzone local dmz direction outbound
[Huawei]firewall packet-filter default permit interzone trust untrust direction inbound
[Huawei]firewall packet-filter default permit interzone trust untrust direction outbound
[Huawei]firewall packet-filter default permit interzone trust dmz direction inbound
[Huawei]firewall packet-filter default permit interzone trust dmz direction outbound
[Huawei]firewall packet-filter default permit interzone dmz untrust direction inbound [Huawei]firewall packet-filter default permit interzone dmz untrust direction outbound
5.10 配置NAT
网络地址转换NAT(Network Address Translation)是将IP数据报文头中的IP地址转换为另一个IP地址的过程。
在办公楼局域网办公网络中,想要各部门和服务器要访问Internet,都需要通过NAT技术将内网IP地址转换成公网IP地址才能实现,在核心层出口连接到ISP运营商的设备上将运行该协议,实现办公楼局域网办公内网可以访问Internet.
FW配置:
[Huawei]acl number 2000
[Huawei-acl-adv-2000]rule 5 permit source 172.16.1.0 0.0.0.255
[Huawei-acl-adv-2000]rule 5 permit source 172.16.2.0 0.0.0.255
[Huawei-acl-adv-2000]rule 5 permit source 172.16.3.0 0.0.0.255
[Huawei-acl-adv-2000]rule 5 permit source 172.16.4.0 0.0.0.255
[Huawei-acl-adv-2000]rule 5 permit source 172.16.5.0 0.0.0.255
[Huawei-acl-adv-2000]rule 5 permit source 172.16.6.0 0.0.0.255
[Huawei-acl-adv-2000]rule 5 permit source 172.16.100.0 0.0.0.255
[Huawei-acl-adv-2000]rule 5 permit source 172.16.200.0 0.0.0.255
[Huawei]interface GigabitEthernet0/0/2
[Huawei-G0/0/3]nat outbound 2000
5.11 配置企业网双出口可靠性方案
当前办公楼局域网办公网络需要实现双出口方案在网关拥有连接多家ISP,提供访问外网的冗余备份作用,要有自动切换功能。利用浮动路由技术实现,浮动路由将利用路由的管理距离AD实现,当主默认路由发生故障时,将自动启用备份默认路由。
FW配置:
[Huawei]ip route-static 0.0.0.0 0.0.0.0 12.1.1.2
[Huawei]ip route-static 0.0.0.0 0.0.0.0 x.x.x.x preference 61
企业网办公网络测试及验收
6.1测试与验收网络效果参数
首先在测试之前,我们需要确保,当前PC获取正确的IP地址,当前采用DHCP方式。
通过命令:ipconfig 来查看当前PC的IP地址如。
查看所有OSPF邻居信息
查看路由表中路由信息
查看MSTP生成树信息
检查防火墙通过流量匹配信息
如PC1访问8.8.8.8,流量被记录
测试阶段
在该阶段对网络的功能进行测试,对企业网所有的区域进行测试连通。
测试各区之间互访情况
测试各区访问校园局域网数据中心
测试企业网各区访问公网
测试企业总部和企业分部互通
结束语
企业网络内部网络是一项设计面广的、技术复杂的、周期比较长的系统工程,主要分为需求分析、系统规划、方案设计、方案实施、测试验收、管理维护等五个环节。
在企业企业网络内部网的规划设计与优化的过程,我结合所学之知识和专业技能,较为顺利地实施了整个过程的,当员工和管理也在工作中发现存在的诸多不足之处和需改善之处,也暴露了自己的知识和能力缺乏不足,也鞭策员工和管理不断加强OA和进修的,以期在残酷的市场竞争中能生存下去。
致谢
感谢企业企业网络毕设和论文所有老师和领导,他们渊博的知识、严谨的学风、诲人不倦的品格一直感染和激励着我不断上进,利用工作之余的点滴时间,在大学四年里完成了进修,我相信所学必将使我受益终生的。
在本论文的写作中,我也参照了大量优秀的著作和文章,他们的科研成果及写作思路给我很大启发的,在此向这些学者们表示由衷的感谢和崇高的敬意。感谢我的老师、家人、同学、朋友对我的大力支持的,他们的关爱、无私奉献和支持使我能够继续去追求自己的人生理想和目标的。感谢所有关心、帮助和支持我的人。
本论文几经修改,但由于才疏学浅,本论文也存在疏漏诸多不足之处,还请各位老师批评指正的。
参考文献
[1] 张跃廷,顾彦玲.ASP.NETDDF从入门到精通.清华大学出版社,2008
[2] 章立民.JSP开发范例精讲的精析(基于C#).科学出版社,2009
[3] 谢希仁.《计算机网络》.电子工业出版社,2003
[4] 董宇峰.《计算机网络技术的基础》.清华大学出版社,2010
[5] 李利军,韩小琴,金素梅.《中小企业网络内部网络管理员实战指南》.科学出版社,2008
[6] 冯昊、黄治虎、伍技祥.交换机/路由器配置和管理.清华大学出版社,2005
[7] 雷建军.计算机网络实用技术.北京:中国水利水电出版社,2003
[8] 罗贤春.我国中小小型数字企业网络信息化建设对策研究(EB/OL)
[9] 王达等.金牌网管师(M). 北京市:水利水电出版社.2009.120-150
[10] 网络互联技术与网络设备 甘刚 孙继军 主编
[11] 陈哲,杨成立,龚涛 网管成长攻略.中国水利水电出版社.2007年3月
[12] (美)Ross Harmes ,Dustin Diaz ,谢廷晟译.TCP/IP协议.人民邮电出版社.2009年1月
[13] 单东林,张晓菲,魏然.路由器配置策略.人民邮电出版社.2012年7月
