大型企业网络的组建

大型企业网络的组建摘要随着互联网时代与大数据的技术的飞速发展以及在社会生活中的广泛应用，使用网络进行信息传输已成为社会发展的必然趋势。因办公信息化、电子化、智能化的需求，各企业公司为提高办公效率、促进信息交流、实现资源共享、适应现代化办公的需求，所以需要组建大型可靠稳定、高效的企业局域网。计算机局域网是计算机互联网中的一个重要的网络架构，除了完成最基础的网络间的信息通讯外，也可以通过的互联网中的安全合法的共享资源，与其他的网络、计算机、手机、数据库或物联网、云计算相连，构成一个大型的、可无限扩展的海量网络，其用途主要在于网络通信和万物互联、资源共享。关键词：计算机网络局域网信息目录TOC\o"1-2"\h\z\u1绪论 绪论企业局域网建设所涉及的方面很多，它包括了大型企业的用户日程工作中需求分析、网络系统的网络架构的规划与调整、网络设备硬件的选型与配置、网络设备硬件的日后维护的成本、网络系统管理软件的应用、以及网络后期维护人员培训和建成后进行的日常维护与应急等诸多方面。1.1系统开发目标在网络的架构规划设计中，企业应遵循“统一规划、整体设计、分步实施”原则，从长远发展规划出发，结合企业当前的实际需要，做出科学合理的需求分析，然后进行网络体系的具体规划设计以及硬件选型和网络搭建，最终将网络建设成为一个高效、快捷、安全、方便的网络。1.2网络设备型号选择1.2.1路由器型号选择路由器型号选择H3C品牌MSR5600路由器。一个良好的局域网其性能再好，也只能在局部区域发挥性能，互联网正在以其无穷的力量，在人们无尽的思维中发挥其浩瀚的力量。如今的网络出口，高速、稳定不是唯一要求，安全、可靠才是网络组建的重点。网络出口的设计一方面考虑能适应各种广域网的接入能力，再考虑为内外网提供高性能数据转发能力。在出口连接处，首先建议选择两台高性能路由器，已提供可靠、高速、稳定等特性于一体，这样的网络架构能够最大程度的避免同一网络中多种型号设备、多个厂家设备的繁杂异构问题，极大降低了大型企业网络建设的初期建设的投资与长期人员日后的运维成本。网络设备基础性能需求，在基本的网络带宽资源、性能的要求和设备可靠性需求基础之上，更加关注网络中设备的硬件可靠性体验。网络设备安全性能需求，伴随互联网的快速发展，BYOD(Bringyourowndevices)日趋风行，网络安全边界被打破，客户对于网络设备的安全性提出了更高的要求。网络管理需求，客户需要更加简单、自动化的管理手段，简化网络设备和承载应用的配置、变更、管理与维护，并能对网络设备进行自动化部署和管理，以提高效率和降低管理成本。云支撑技术需求，网络设备要具备丰富的云网络和云计算的支撑技术以满足云网络应用和计算的需要，如有关虚拟化、开放式架构平台等技术。1.2.2核心交换机型号选择企业网络中核心层网络设备主要完成全网业务的数据高速交换与路由的快速转发。网络核心层设备主要的功能是实网络数据的快速数据交换转发，因此网络架构中采用2台H3C品牌的S5830高性能交换机。H3CS5830是H3C厂家最新发布的网络数据中心级交换机系列产品。采用业界最先进的硬件与软件设计，提供业内最高的接入端口的数量与资源，提供最好的交换端口报文缓存转发能力，而且设备内置了一个模块化双电源插槽设计双倍提升了设备的稳定性。设备完善的安全管理与控制策略，H3CS5830交换机支持多种的认证功能与方式，RADIUS认证，H3CS5830支持用户帐号、IP、VLAN、端口等用户标识元素的静态绑定，也提供了多种认证方式的动态绑定，可以同时实现多用户策略（VLAN、ACL）的数据的认证；支持H3C公司最新推出的的iMC系统管理平台对在线用户进行实时的管理与统计，可以及时的诊断、发现和瓦解网络非法行为，为用户提供良好的、安全的网络环境。完善的数据访问控制策略，H3CS5830系列交换机提供增强的访问控制逻辑，该设备支持很多资源的进出访问控制，并且支持基于逻辑虚拟的访问控制策略的下发，在简化和方便用户使用的配置过程的，避免了网络资源的浪费。1.2.3接入交换机型号选择该网络架构接入交换机的主要功能，完成网络中计算机与服务器的高性能的连接和可靠的接入，对网络设备性能的可靠性、网络设备的业务的支持性能和网络报文的转发与控制性能，都提出了更高更快的的需求。接入层主要是实现高速数据交换，采用2台H3C品牌的S5130高性能可靠的接入型园区网交换机。S5130S-HI系列接入园区交换机是H3C厂家自主研发的网络千兆接入交换机产品，是为要求具备高可用性且易于安装的网络环境而设计的可靠性交换机。高扩展性保护投资，H3CS5130S-HI系列交换机主机固化4端口万兆，在实现高密千兆接入同时，可以为用户提供高性价比的万兆上行的能力，保护用户投资。同时H3CS5130S-HI系列交换机支持IRF2智能弹性架构，可将9台设备堆叠起来，形成一个逻辑上的实体，使设备容量可以根据网络发展而平滑扩容，为用户网络配置提供极高的灵活性和扩展能力。完善的访问控制策略，H3CS5830系列交换机提供增强的访问控制策略，支持多资源的的统一管理，并且支持基于多个逻辑域的的访问控制下发，在用户配置和管理的同时，避免了网络资源的浪费。2大型网络组建需求分析2.1可行性分析中国信达集团有限公司在国内建立了自己的总部。为满足公司运行、管理运维的需求，需要建立一个可靠的公司企业网络。该公司的总部办公区设有市场营销部、财务管理部、人力资源部、信息技术部等4个部门，并在异地设立了一个分支机构，统一进行IP及业务资源的规划和分配。公司规模在2018年快速发展，业务数据量和公司访问量增长巨大。为了更好管理数据，提供服务，公司决定建立自己的小型数据中心及云计算服务平台，以达到快速、可靠交换数据，以及增强业务部署弹性的目的。综上所述三个方面，即从技术上、经济上、可操作性都是可行的,而且要求不高，所以本系统的开发是可行的。2.2系统总体设计与分析中国信达集团有限公司要把网络建设成为一个高性能、高可靠性、高安全性的网络，在满足中国信达集团有限公司业务网络要求的同时，尽可能的把网络设计成符合当今互联网发展的潮流，需要将网络具备的先进的可扩展性能、网络性能可升级的后续性能，以满足网络架构后期的扩展需求。3网络系统的技术设计3.1网络架构的整体设计公司的总部及分公司的网络架设（实际设备）网络拓扑结构如图1所示。其中两台S5800交换机编号为SW2、SW3，用于服务器高速接入；两台S5130编号为SW4、SW5，通过IRF协议进行虚拟化，作为总部的核心交换机；两台MSR5600路由器编号为RT2、RT3，作为总部的核心出口路由器。本网络系统按照如下架构进行设计：3.2不同业务部门网络设计公司有4个不同业务部门和分部，彼此间需要互联互通，同时也需要对某些业务进行互访限制。另外，各业务对网络可靠性要求较高，要求网络核心区域发生故障时的中断时间尽可能短。还有，网络部署时要考虑到网络的可管理性，并合理利用网络资源。设备VLAN编号VLAN名称端口说明SW1VLAN10MarketingE1/0/1至E1/0/4市场部VLAN20FinanceE1/0/5至E1/0/8财务部VLAN30HRE1/0/9至E1/0/12人力资源部VLAN40ITE1/0/13至E1/0/16信息技术部IRF、SW2、SW3VLAN10Marketing_Server市场部服务器区VLAN20Finance_Server财务部服务器区VLAN30HR_Server人力资源部服务器区VLAN40IT_Server信息技术部服务器区VLAN1000Server_Mgmt服务器管理区3.3IGP路由部署公司集团总部网络使用OSPF协议作为IGP以达到网络路由互通的性能。具体要求如下：3.3.1总部网络采用OSPF多进程，RT2、RT3为网络系统中的边界路由器。3.3.2总部网络的核心区域（RT2、RT3、SW2、SW3）启用OSPF协议进程10，区域0。3.3.3接入区域（SW1）启用OSPF进程20，区域0；3.3.4发布具体的网段和Loopback地址3.3.5对OSPF进行优化，以尽可能加快OSPF收敛速度。3.4链路可靠性的部署数据中心网络对链路可靠性要求较高。具体要求如下：3.4.1SW2与SW3的互连链路间需要链路聚合，使用动态LACP方式，聚合组编号为1；3.4.2SW2与SW3间的互连链路都使能相关协议，以防止由于单向链路故障引发设备不能正常收发数据的情况。3.5IPv4访问控制因公司互联网带宽有限，为了使每个用户都能访问服务资源，需要在接入交换机SW1上配置端口限速，限制所有用户的访问速率均为200kbps。3.6设备与网络管理部署因为公司网络规模比较大，需要管理的设备比较多，为了减轻网络管理的负担，现在需要对所有的路由器和交换机做管理协议，以便更好地管理网络设备。3.6.1为所有路由器设备开启SSH（Stelnet）服务端功能，对所有SSH用户采用password认证方式，用户名和密码为admin，密码为明文类型，用户角network-admin；3.6.2为所有三层交换机开启Telnet功能，对所有Telnet用户采用本地认证的方式。创建本地用户，设定用户名和密码为admin的用户有3级命令权限。4网络系统配置4.1不同业务部门网络VLAN的配置VLAN（虚拟局域网）是一组逻辑上的设备和用户，这些设备和用户并不受物理位置的限制，可以根据功能、部门及应用等因素将它们组织起来，VLAN是一种比较新的技术，工作在\t"/item/%E8%99%9A%E6%8B%9F%E5%B1%80%E5%9F%9F%E7%BD%91/_blank"OSI参考模型的第2层和第3层，与传统的\t"/item/%E8%99%9A%E6%8B%9F%E5%B1%80%E5%9F%9F%E7%BD%91/_blank"局域网技术相比较，VLAN技术更加灵活，它具有以下优点：网络设备的移动、添加和修改的管理开销减少；可以控制\t"/item/%E8%99%9A%E6%8B%9F%E5%B1%80%E5%9F%9F%E7%BD%91/_blank"广播活动；可提高\t"/item/%E8%99%9A%E6%8B%9F%E5%B1%80%E5%9F%9F%E7%BD%91/_blank"网络的安全性。4.1.1核心交换机SW1配置vlan1#vlan10nameMarketing#vlan20nameFinance#vlan30nameHR#vlan40nameIT4.1.2核心交换机SW2配置vlan1#vlan10nameMarketing_Server#vlan20nameFinance_Server#vlan30nameHR_Server#vlan40nameIT_Server#vlan1000nameServer_Mgmt4.1.3核心交换机SW3配置vlan1#vlan10nameMarketing_Server#vlan20nameFinance_Server#vlan30nameHR_Server#vlan40nameIT_Server#vlan1000nameServer_Mgmt4.2IGP路由部署此项目中的IGP路由部署使用OSPF技术，OSPF(OpenShortestPathFirst\t"/item/%E7%BB%84%E6%92%AD%E6%89%A9%E5%B1%95OSPF/_blank"开放式最短路径优先）是一个\t"/item/%E7%BB%84%E6%92%AD%E6%89%A9%E5%B1%95OSPF/_blank"内部网关协议(InteriorGatewayProtocol，简称IGP），用于在单一\t"/item/%E7%BB%84%E6%92%AD%E6%89%A9%E5%B1%95OSPF/_blank"自治系统（autonomoussystem,AS）内决策\t"/item/%E7%BB%84%E6%92%AD%E6%89%A9%E5%B1%95OSPF/_blank"路由。是对\t"/item/%E7%BB%84%E6%92%AD%E6%89%A9%E5%B1%95OSPF/_blank"链路状态路由协议的一种实现，隶属内部网关协议（IGP），故运作于自治系统内部。OSPF支持负载均衡和基于服务类型的选路，也支持多种路由形式，如特定主机路由和子网路由等。4.2.1路由器R2的OSPF配置ospf10router-idimport-routeospf20spf-schedule-interval110areanetworknetworknetwork6#ospf20router-iddefault-route-advertisealwaysimport-routeospf10spf-schedule-interval110areanetwork0配置说明：在R2路由器上配置两个OSPF进程，ospf10与ospf20，使用自己的环回接口作为router-id，并进行宣告需要进行路由计算的网段，并同时在ospf10与ospf20中引入彼此的OSPF路由表，以达到网络互通的效果，在OSPF的进程中配置spf-schedule命令，以使OSPF缩短计算间隔，达到快速收敛的作用。4.2.2路由器R3的OSPF配置ospf10router-idimport-routeospf20spf-schedule-interval110areanetworknetwork2network6#ospf20router-iddefault-route-advertisealwaysimport-routeospf10spf-schedule-interval110areanetwork4配置说明：在R3路由器上配置两个OSPF进程，ospf10与ospf20，使用自己的环回接口作为router-id，并进行宣告需要进行路由计算的网段，并同时在ospf10与ospf20中引入彼此的OSPF路由表，以达到网络互通的效果，在OSPF的进程中配置spf-schedule命令，以使OSPF缩短计算间隔，达到快速收敛的作用。4.2.3交换机SW2的OSPF配置ospf10router-id02spf-schedule-interval110areanetworknetwork02network55network55network55network55network55配置说明：在SW2交换机上配置OSPF10进程，使用自己的环回接口作为router-id，并进行宣告需要进行路由计算的网段，以达到网络互通的效果，在OSPF的进程中配置spf-schedule命令，以使OSPF缩短计算间隔，达到快速收敛的作用。4.2.4交换机SW3的OSPF配置ospf10router-id03spf-schedule-interval110areanetwork2network03network55network55network55network55network55配置说明：在SW3交换机上配置OSPF10进程，使用自己的环回接口作为router-id，并进行宣告需要进行路由计算的网段，以达到网络互通的效果，在OSPF的进程中配置spf-schedule命令，以使OSPF缩短计算间隔，达到快速收敛的作用。4.3链路可靠性的部署链路聚合（英语：LinkAggregation）是一个\t"/item/%E9%93%BE%E8%B7%AF%E8%81%9A%E5%90%88/_blank"计算机网络术语，指将多个物理端口汇聚在一起，形成一个逻辑端口，以实现出/入流量\t"/item/%E9%93%BE%E8%B7%AF%E8%81%9A%E5%90%88/_blank"吞吐量在各成员端口的负荷分担，交换机根据用户配置的端口负荷分担策略决定\t"/item/%E9%93%BE%E8%B7%AF%E8%81%9A%E5%90%88/_blank"网络封包从哪个成员端口发送到对端的交换机。当交换机检测到其中一个成员端口的链路发生故障时，就停止在此端口上发送封包，并根据负荷分担策略在剩下的链路中重新计算报文的发送端口，故障端口恢复后再次担任收发端口。链路聚合在增加链路带宽、实现链路传输弹性和工程冗余等方面是一项很重要的技术。4.3.1交换机SW2的配置interfaceBridge-Aggregation1portlink-typetrunkporttrunkpermitvlan102030401000link-aggregationmodedynamicinterfacerangeEthernet1/0/3-1/0/4portlink-aggregationgroup1配置说明：在SW2交换机上配置链路聚合组1，配置链路聚合组1的端口链路类型为Trunk模式，并配置端口Trunk模式下允许通过的流量为VLAN102030401000的流量，并同时把Ethernet1/0/3与1/0/4的接口属于链路聚合组1。4.3.2交换机SW3的配置interfaceBridge-Aggregation1portlink-typetrunkporttrunkpermitvlan102030401000link-aggregationmodedynamicinterfacerangeEthernet1/0/3-1/0/4portlink-aggregationgroup1配置说明：在SW3交换机上配置链路聚合组1，配置链路聚合组1的端口链路类型为Trunk模式，并配置端口Trunk模式下允许通过的流量为VLAN102030401000的流量，并同时把Ethernet1/0/3与1/0/4的接口属于链路聚合组1。4.4IPv4访问控制因为公司总的外网带宽有限，为保证业务及用户的网络可用性，使用QoS协议对所有的IPv4地址进行流量控制，QoS（QualityofService，服务质量）指一个网络能够利用各种基础技术，为指定的网络通信提供更好的服务能力，是网络的一种安全机制，是用来解决网络延迟和阻塞等问题的一种技术。QoS的保证对于容量有限的网络来说是十分重要的，特别是对于流多媒体应用，例如VoIP和IPTV等，因为这些应用常常需要固定的传输率，对延时也比较敏感。4.4.1交换机SW1的配置InterfacerangeEthernet1/0/1-1/0/48qoslrinboundcir20000cbs375000配置说明：在SW1交换机上对配置对Ethernet1/0/1-1/0/48接口入方向报文应用的QoSCAR模板进行流量监管，限制该接口上接收数据的承诺速率为10000kbit/s，承诺突发尺寸为10240字节，以达到限制用户速度的作用。4.5设备与网络管理部署根据项目需求，需要在所有的路由器上启用SSH协议用来管理所有的路由器，SSH为

SecureShell

的缩写，由IETF的网络小组（NetworkWorkingGroup）所制定；SSH为建立在应用层基础上的安全协议。SSH是目前较可靠，专为远程登录会话和其他网络服务提供安全性的协议。利用SSH协议可以有效防止远程管理过程中的信息泄露问题。SSH最初是UNIX系统上的一个程序，后来又迅速扩展到其他操作平台，SSH在正确使用时可弥补网络中的漏洞。4.5.1路由器R2与R3的配置local-useradminclassmanagePasswordsimpleadminservice-typesshauthorization-attributeuser-rolenetwork-operatorauthorization-attributeuser-rolenetwork-admin配置说明：在R2与R3路由器上配置本地用户admin，并配置密码为admin，用于服务SSH的类型，配置admin用户为网络管理员模式。4.5.2交换机SW3与SW4的配置local-useradminpasswordsimpleadminauthorization-attributelevel3service-typetelnet配置说明：在R2与R3路由器上配置本地用户admin，并配置密码为admin，用于服务SSH的类型，配置admin用户为网络管理员模式。5系统测试和结论5.1测试的目的和原则网络设备测试的目的是最大程度的检查出网络架构中存在的的漏洞与错误，尽可能的提高网络架构系统的的高性能与高可靠性，测试整个网络架构系统中是否满足用户需求的功能和业务的要求。测试发现问题之后要经过系统的网络调试找出错误原因和位置，然后进行网络改正。经过数次网络业务与性能的测试，网络系统可以完成需求用户所提出的需求的功能。各网络系统信息模块已经完善，网络系统管理员已经可以基本完成日后网络运行的基本条件。5.2测试网络效果5.2.1不同业务部门网络VLAN的配置SW1创建VLAN效果SW2创建VLAN效果SW3创建VLAN效果经测试创建VLAN效果成功。5.2.2IGP路由部署R2路由器上的OSPF接口运行状态R3路由器上的OSPF接口运行状态SW2交换机上的OSPF接口运行状态SW3交换机上的OSPF接口运行状态经测试各路由器与交换机之间IGP路由效果成功。5.2.3链路可靠性的部署SW2交换机上的链路聚合状态SW3交换机上的链路聚合状态链路聚合效果成功。5.2.4IPv4访问控制5.2.5设备与网络管理部署R2路由器创建用户状态R3路由器创建用户状态SW2交换机创建用户状态SW3交换机创建用户状态经测试创建用户效果成功。5.3测试结论运用网络技术知识。在指导老师的大力支持和帮助下，完成该企业网络系统的建设。本人有很大的激励。当然，本次网络系统建设过程中也出现了许多问题，技术掌握不足。造成系统开发出现真空地带等等。但不管如何，我始终相信，不会因为第一段的工作完成而停止，相信后阶段的设计将很快完成现阶段的不足。

参考文献[1]吕