【中小型企业网络工程设计6900字（论文）】

IV中小型企业网络工程设计与实现目录TOC\o"1-3"\h\u20451企业网络拓扑设计 1315761.1网络分层设计思想 1196491.2网络拓扑结构 165362企业有线部分的解决方案 2260792.1综合布线系统设计 2183752.2IP地址规划及VLAN的划分 3287882.3接入层设计 3250112.4汇聚层设计 422562.5核心层设计 4114852.6出口设备配置 758213企业无线部分的解决方案 8124073.1无线拓扑设计 843343.2wlan数据规划 829553.3wlan配置 1063644企业网络功能测试 11178874.1链路捆绑效果测试 1168164.2网络连通性测试 11145734.2无线AP测试 13144744.5VRRP效果验证 14229316总结 1718567参考文献 18

摘要本文主要规划中小型企业网络拓扑，根据现阶段华为公司的网络设备进行选材，使用华为公司出品的ENSP模拟器进行线上模拟实验，致力于规划结构合理的企业网络拓扑。在接入层交换机上使用了VLAN划分技术，将相同部门的工作人员划分到同一个VLAN中，缩小了二层广播域所能影响的范围。在汇聚层和核心层交换机上，启用了MSTP协议，该协议在破除二层环路的基础上，通过将不同VLAN流量映射在不同的生成树实例中，而不同生成树实例之间转发流量相互独立，从而实现了不同VLAN间流量的负载均衡。在核心交换机上部署了VRRP协议，该协议可以让多台设备承担同一个网关的角色，在一台网关设备为主网关设备的情况下，其他备份网关设备不参与流量的转发，只有当主网关设备发生故障以后，备份网关设备才会承担起主网关设备的角色。在核心层交换机之间启用了链路捆绑技术，该技术将多条物理链路捆绑为一条逻辑上的链路，大大提高了核心层网络带宽的吞吐量。在所有具有三层IP地址的网络设备上，运行了OSPF动态路由选择协议，通过OSPF协议报文来交互彼此学习到的路由信息，从而实现了企业网内部的路由互通。关键词：网络拓扑结构；VRRP；链路捆绑技术；路由选择协议1企业网络拓扑设计1.1网络分层设计思想在企业网络的设计过程中，我采用了自底向上的三层网络结构设计思想，分别为核心层，汇聚层和接入层。如图1.1所示图1.SEQ图\*ARABIC1网络分层设计模型1.2网络拓扑结构按照三层网络架构设计思想，设计出的网络拓扑图如图1.2所示。图1.2企业网网络拓扑图2企业有线部分的解决方案2.1综合布线系统设计按照综合布线系统的国际ISO11801标准，企业网的综合布线系统可以由以下几部分子系统组成。(1)工作区子系统设计在办公区域布线时，主要减小所布设线缆对人的干扰，所以在布线的时候尽量紧贴墙壁或制作特定的线槽走线。在设置信息插座的时候，要适当的靠近各种工作设备，比如：打印机，传真机以及办公电脑等，然后根据企业电网的不同类型，选择不同的电源接口设备，严格按照ISO11801标准来执行。(2)水平子系统设计水平子系统在铺设管道方面，使用PVC凹槽的方式来施工，该类型管道本身阻燃等级较高，可以保证线缆不受外界高温的影响。水平线缆应该被铺设在地面或者房顶上，线缆两端分别设置在使用者的办公区域以及设备的主控室。所有铺设的金属管道线槽应该保持接地良好，每个交换机所使用的线缆要严格按照标准进行单独的布线，防止其他类型的线路对网络数据通信传输造成干扰。(3)垂直子系统设计垂直子系统在管理子系统和主机之间的线缆连接中，如果外围有电磁信号干扰，则会对其造成影响。为了避免这种情况的发生，我们采用竖井的方式进行设计，并加以弱点保护，保证用户的通信功能不会受到电磁信号的干扰。(4)管理子系统设计管理子系统要对各个部门的网络设备进行整合管理。对于各个子管理系统来说，通过分别设置一个小型信息机柜，来将管理子系统所要管理的每个交换机以及其他网络设备进行一个集中的管理。(5)设备间子系统设计各个部门使用的网络设备都需要在设备室进行数据收集，因此在设备间要配置相关的维修装备，比如：备用双绞线，备用交换机，网线连通测试仪，剪线钳等等。设备间的基本要求如下：1.透气通风，无尘土，有长时间的照明系统。2.有合适的消防系统3.对设备间的地面进行加固处理，保证地面的强度。4.具有一定的降温系统，防止设备过热。2.2IP地址规划及VLAN的划分在进行VLAN设计的时候，我把一个企业中的总经理部，市场部，财务部及无线用户分别划分到4个不同的VLAN中。为了节约公司公网的IP地址，在进行企业内网的IP地址规划时，尽量使用私网IP地址，且各个VLAN之间使用不同网段的私网IP地址。IP地址的规划与VLAN的划分如表3.1所示。表2.1IP地址及VLAN的划分部门IP地址前缀子网掩码VLANID总经理部VLAN1市场部VLAN10财务部VLAN20访客VLAN11企业无线用户VLAN22我将不同部门的人放在不同的VLAN内，主要是为了实现不同部门间的二层数据隔离，将广播域的范围缩到最小。2.3接入层设计在接入层交换机上，由于只是为了给某个部门提供接入上网服务，不需要做什么复杂的路由策略，只需要具备接入接口多和接口带宽适中就行。在这里，我选择华为S2720-52TP-EI作为接入交换机，该交换机具有32个下行百兆口，满足企业接入层设备的要求。在接入层交换机上，需要按照表3.1所示的VLAN规划，将属于不同部门的物理接口划分到相应的VLAN中去。在交换机与用户连接的链路属于接入链路，该链路不用接收任何STP报文，所以在交换机上，将属于这种链路的端口设置为边缘端口。该类型的边缘端口不接收处理配置网桥协议数据单元报文，也就意味着不会进行生成树的拓扑计算，可以直接跳过STP端口选举及阻塞过程，直接进入转发状态，且不经历时延，可以最大程度地节约网络设备CPU资源。2.4汇聚层设计汇聚层设备主要是将来自不同部门的流量进行汇聚，然后在转发到核心层设备中。我选择S5730-HI系列盒式敏捷交换机作为汇聚层设备，该设备具有最多48口千兆接入，4*10GE上行接口，有丰富的路由策略，完全可以满足企业对汇聚层设备的要求。在汇聚层交换机上，为了防止二层交换环路，形成广播风暴，我在汇聚层交换机上运行MSTP协议，该协议可以实现不同VLAN间流量的分担，使不同VLAN的流量可以走不同的路径，极大的提高了物理链路的使用效率，这种负载分担需要将不同的VLAN映射到不同的实例里面，以方面交换机进行转发处理操作。选择交换机的STP模式为MSTP，在这里为了流量的负载分担，我们将VLAN10和VLAN11的流量走同一条路径，VLAN1、VLAN20和VLAN22的流量走另外一条路径。MSTP有选择根桥，根端口的机制，为了让不同VLAN的流量走不同的路径，我们可以将实例10的根桥与实例20的根桥不同，这样不同的生成树实例，它所阻塞的路径就各不相同。在汇聚层与核心层的物理链路上，不需要划分VLAN，为了方便以后修改MSTP实例映射的时候，不需要改动这部分链路的配置，所以在这部分链路上，默认所有的VLAN都可以通过。在汇聚层交换机上执行以下命令：2.5核心层设计选择CloudEngineS6730-S系列交换机作为核心层交换机，该交换机具有48口万兆接入，6*40GE上行，满足企业网络的数据转发需求。（1）创建VLANIF接口核心层网络设备选择的是交换机，为了使核心层交换机有转发不同网段数据的能力，我在核心层交换机上启用了VLANIF接口，该接口是一个逻辑的三层接口，就相当于路由器的一个三层物理接口。首先，在交换机上创建一个VLANID=1的VLAN，然后创建其相应的三层VLANIF接口，最后配上IP地址。（2）进行链路的手工捆绑核心层交换机是内网用户互相通信的关键设备，它们运转状态的好坏，在一定程度上影响了内网用户通信的质量。在两个核心层设备之间启用链路捆绑协议，让它们之间的多根物理链路逻辑上绑在一起，形成一根逻辑链路组，在这根逻辑链路组中，所有的组成员链路都是一种相互备份的状态，实现了链路的冗余备份，避免了单根链路故障所引发的内网通信故障。采用手动链路捆绑模式，可以让逻辑链路组内成员全部处于转发状态，而自动协商捆绑模式形成的逻辑链路，组内成员有一部分是处于休眠状态，等转发链路故障以后，才会进入转发状态，这在一定程度上造成了链路带宽的浪费，所以在这里选择手动链路捆绑模式。（3）使用VRRP提高网关冗余性图2.1核心层设备拓扑在图2.1中，核心层SW1和SW2作为核心设备，它们上面有企业内网终端用户访问不同网段的网关，所以为了避免单网关故障造成的通信问题，在这里，我选择使用VRRP协议实现网关的冗余备份。虚拟网关地址54作为内网设备的默认网关，设备VRRP组的优先级默认为100。在同一个VRRP组中，优先级数值大的为主设备，其余的为备设备。SW1在VRRP组20的优先级设为105，而SW2的VRRP组20的优先级不变，这样在VRRP组20中，SW1将作为备设备，SW2将作为主设备，所有以54为默认网关的设备，在上网的时候，将优先走SW2路径，当SW2故障以后，SW1将成为VRRP组20的主设备，承担流量转发的责任，实现了路径的备份倒换。（4）使用ospf协议实现内网的互通。为了实现内网用户三层路由信息的互通，在这里选择OSPF作为企业网的路由选择协议，把核心层设备以及其上层设备划分到骨干区域Area0中，并取一个域内唯一的Router-id。在OSPF进程中，将该设备的所有直连网段宣告进OSPF进程中。在区域Area0内部，所有具有三层地址的设备共同维护同一个链路状态信息库，具有相同的OSPF路由条目表。当SW3所连接的用户通过SW3→SW1→SW6访问网络时，如果回包路径为SW6→SW2→SW1→SW3，这就产生的次优路径，如图2.2所示。OSPF的cost是通过流量的入接口cost总和来计算的，所以可以通过修改回包流量的入接口cost来解决。在SW2的接口视图下，将ospf的接口cost数值改大，这样回包流量就会优先走接口cost总和小的路径。当SW4下用户访问网络时，为了避免次优路径，SW1的配置同理。图2.2次优路径图（5）配置DHCP服务企业的每个上网用户都需要分配一个内部唯一的私网IP地址，手工配置耗费人工资源，所以在这里使用DHCP自动分配IP地址。在SW6上分别创建三个个全局地址池VLAN1，VLAN10和VLAN20，这三个地址池分别给各自VLAN内的用户动态分配IP地址。在配置DHCP的过程中，将所分配地址的网关设为距离终端用户最近的默认网关地址，并将所分配地址的掩码与网关接口的掩码一致。执行excluded-ip-address命令,将核心层交换机已使用的IP地址在地址池中排除，避免该地址被分配后，造成同一个局域网内的IP地址冲突。设置DNS域名解析服务器的地址，当员工使用域名访问外部网站的时候，可以直接通过DNS服务器获取相应域名的IP地址，最后将分配后的IP地址设置租期为3天，当3天租期过后，自动收回该IP地址的使用权。配置完DHCP地址池以后，就需要在本设备中距离用户最近的三层接口下使能DHCP服务，由于本设备的三层接口与用户不在同一个局域网内，所以在这里需要在接口下启用全局地址池的方式来分配IP地址。2.6出口设备配置（1）NAT技术具有私网IP地址的数据包，是不可以被公网设备进行转发的，所以就需要将内网用户的私网ip地址，转换为公网ip地址来进行因特网的网络访问服务。在防火墙上配置名为ip2的公网地址池，公网地址范围为00/24-10/24。转化模式为Pat模式。这种模式将私网IP地址转化为公网IP地址加端口号的形式，让一个公网地址可以对应多个私网IP地址，很好的节约了公网地址。在防火墙上配置私网IP地址到公网IP地址的地址转换策略，当用户数据由内网访问外网时，数据包的源地址将由原来的私网IP地址变为公网IP地址，当用户数据由外网回包给内网时，回包数据包的源地址将由原来的公网IP变为私网IP地址。为了让在外办公的人员可以访问内部的FTP服务器，这里使用NATserver技术，该技术将内网服务器的私网IP地址映射为外部公网IP地址。在外办公人员只需要记住服务器的公网IP地址，就可以通过互联网访问内部FTP服务器。(2)静态默认路由配置企业网的边界设备是内网用户访问外网用户的出口，它需要让内网设备获取外网的路由。如果用动态路由选择协议，这样会让外网路由全部进入内网设备的路由表中，给内网设备增加了运行的压力。通过在边界设备上配置一条指向运营商设备的默认路由，然后在边界设备的动态路由选择协议视图上引入该静态默认路由的方式，实现一条指向外网的静态默认路由下放，这样所有的内网设备的路由表中仅有一条默认路由，极大的减轻了内网设备的运行压力。3企业无线部分的解决方案3.1无线拓扑设计选择瘦AP的组网方式，对企业进行无线方面的设计。瘦AP可以做SSID，信道，认证，信号强度等进行全局设计。虽然设置无线控制器（AC）比设置无线路由器要复杂一些，但是瘦AP的组网方式可通过AC产品对AP进行集中管理，极大方便了企业网管人员对AP的配置与维护。在WLAN的组网设计中，我选择二层旁挂式组网方式，典型的组网拓扑图如图3.1所示。图3.1典型二层旁挂式组网拓扑图旁挂式组网可以仅处理AP的管理业务，AP的数据业务经过配置，让数据流量不经过AC直接转发到上行网络。3.2wlan数据规划企业的无线上网用户分为两类：外来访客和企业员工，所以在WLAN数据规划的时候，分别规划不同的私网地址段给这两类用户，方便以后针对不用的用户群体，做不一样的安全策略。Wlan数据规划表如表2.2所示。表3.1Wlan数据规划表AC数据规划表配置项数据DHCP服务器AC作为DHCP服务器为AP分配IP地址，同时作为AP的网关。SW1作为DHCP服务器为用户分配IP地址，同时作为用户的网关AP的IP地址池-53移动用户的IP地址池Employee：-53Guess：-53AC的源接口IP地址54/24AP组名称：Guess引用模板：VAP模板，域管理模板名称：employee引用模板：VAP模板，域管理模板域管理模板名称：Guess国家码：CN名称：employee国家码：CNSSID模板名称：Guess国家码：CN名称：employee国家码：CN安全模板名称：Guess安全策略：开放系统名称：employee安全策略：WPA-WPA2+PSK+AES密码：Huawei@123VAP模板名称：Guess转发模式：直接转发业务VLAN：VLAN111引用模板：SSID模板，安全模板名称：employee转发模式：直接转发业务VLAN：VLAN111引用模板：SSID模板，安全模板3.3wlan配置在AC上需要创建一个VLANIF接口并在接口下启用DHCP接口地址池模式，用于给AP分配IP地址，在无线拓扑设计中，将AC旁挂在SW1上，而无线用户的IP地址则由SW1负责分配。在SW1上启用vlanif111接口，并启用DHCP服务，用于给连接AP的无线用户分配IP地址。在配置AC的过程中，AC的源地址主要用户管理AP，而AP的地址主要是用于跟AC建立CAPWAP数据通信，所以在进行二层旁挂组网时，AC和AP要处于同一个广播域中。对外来访客和办公人员分别配置两个不同的AP组，一个为Guess，一个为Employee，并设置AP的认证模式为MAC认证，防止非法AP接入网络。在Guess组中，不需要设置上网密码，直接用终端设备选择相应的WLAN名称即可实现上网功能。在Employee组中，通过设置上网密码和安全策略，来实现对办公人员数据通信的加密传输处理，保障数据的私密性。Wlan中的业务VLAN主要负责数据传输，选择直接数据传输转发方式，让无线用户的数据流量直接在AP上完成802.3和802.11报文转换，然后通过上层汇聚交换机直接转发，无需经过AC，极大的简化的网络的架构。在Employee的VAP模板中，将业务VLAN设置为汇聚交换机上用于给无线用户分配地址的VLAN，将转发方式设置为直接转发方式。4企业网络功能测试4.1链路捆绑效果测试在核心层交换机的系统视图下，执行displayeth-trunk12命令，查看链路聚合组中的成员链路的状态。手工链路捆绑效果测试如图4.1所示。图4.1手工链路捆绑测试图由上图可以得出在名称为eth-trunk12链路聚合组中，核心层交换机SW1的GigabitEthernet0/0/1接口和GigabitEthernet0/0/2接口处于同一个链路聚合组中，且status字段为up，表明这两个接口都处于活跃转发状态。4.2网络连通性测试在进行网络连通性测试之间，需要先行测试网络终端设备是否可以通过DHCP服务自动获取IP地址。在终端用户的基础配置中，选择DHCP选项，如图4.2所示。图4.2用户基础配置界面然后点开图4.2界面中的命令行菜单，输入ipconfig，查看用户获取IP地址为51/24，结果如图4.3所示。图4.3DHCP获取结果使用PC1验证与内网ip地址为50/24的连通性，结果如图4.4所示。图4.4内网相同网段主机连通性测试使用该主机验证内网IP地址为50/24的连通性，结果如图4.5所示。图4.5内网不同网段连通性测试结果然后使用该主机验证外网IP地址为/24的连通性，结果如图4.6所示。图4.6外网连通性测试结果4.2无线AP测试使用无线终端连接名称为Guess的wlan，如图4.7所示。图4.7接入wlan进入无线终端的命令行界面，使用ipconfig命令查看自动获取的ip地址，并ping内网DNS服务器地址，测试图如图4.8所示。图4.8无线用户测试图4.5VRRP效果验证在核心层交换机SW1上，查看VRRP组10的状态。如图4.9所示，SW1为VRRP组10的主设备，负责转发默认网关为54/24的用户流量。图4.9SW1的VRRP组10状态图在核心层交换机SW2上，查看VRRP