网络工程-广东仁爱医疗科技有限公司网络规划与设计方案

广东仁爱医疗科技有限公司网络规划与设计方案摘要：近年来，互联网行业持续稳健发展，无论是生活上还是工作上，早已离不开网络。俨然，地球已成为了“地球村”。网络被广泛应用于各行各业，那么，中小型企业网络的建设和实施是企业正常运营的基础。本文针对广东仁爱医疗科技有限公司的网络需求，对网络进行了规划和设计。根据广东仁爱医疗科技有限公司的需求以及现阶段中小型企业网络规划主流技术的对比，在该公司的网络拓扑的搭建中，在局域网方面我们选择了网络互联技术。在该公司同一部门或者不同部门方面，我们选择了VLAN技术，因为这对公司控制流量、减少设备投资、简化网络管理、提高网络的安全性有着很大的帮助。而三层交换和单臂路由能实现各部门相互通信。VTP配置简化vlan的配置。使用ACL技术按该公司的要求，控制远程访问。生成树协议和链路聚合实现二层冗余、HSRP实现网关冗余。采用OSPF和默认路由协议实现全网通，通过EIGRP协议，有效扩展，使各个分部与总部相连。配置各类服务器，如WWW、DNS、FTP、E-mail服务等，满足该公司的信息发布和数据共享的需要。此外，该公司的网络可能会受到自身内部或者外部的攻击，因此，网络安全对于该公司的网络是必不可少的步骤。在边界路由器配置了基于区域的策略防火墙ZWF，控制不同区域间的访问，配置交换机和路由器的基本安全，如端口安全、访问加密、认证加密等，确保数据的可用性、完整性和保密性。关键词：广东仁爱医疗科技有限公司，网络互联技术，网络冗余，网络安全NetworkPlanningandDesignSchemeofGuangdongRenaiMedicalTechnologyCo.,LtdAbstract:Inrecentyears,theInternetindustryhascontinuedtodevelopsteadily,whetherinlifeorwork,ithaslongbeeninseparablefromthenetwork.Itseemsthattheearthhasbecomea"globalvillage".Networkiswidelyusedinallwalksoflife,sotheconstructionandimplementationofsmallandmedium-sizedenterprisenetworkisthebasisofnormaloperationofenterprises.AccordingtothenetworkdemandofGuangdongRenaiMedicalTechnologyCo.,Ltd.,thispaperplansanddesignsthenetwork.AccordingtotheneedsofGuangdongRenaiMedicalTechnologyCo.,Ltd.andthecomparisonofcurrentnetworkmainstreamtechnology,intheconstructionofnetworktopology,LANadoptsnetworkinterconnectiontechnology.VLANtechnologyisusedbetweendifferentdepartmentstohelpcontroltraffic,reduceequipmentinvestment,simplifynetworkmanagementandimprovenetworksecurity.Threelayerswitchingandsinglearmroutingrealizemutualcommunicationamongdepartments.VTPconfigurationsimplifiesVLANconfiguration.UseACLtechnologytocontrolremoteaccessaccordingtothecompany'srequirements.Spanningtreeprotocolandlinkaggregationrealizetwo-tierredundancy,andHSRPrealizesgatewayredundancy.OSPFanddefaultroutingprotocolareusedtorealizeallnetworkcommunication.EIGRPprotocolisusedtoeffectivelyexpandandconnecteachbranchwiththeheadquarters.Configurevariousservers,suchasWWW,DNS,FTP,e-mailservices,etc.,tomeetthecompany'sinformationpublishinganddatasharingneeds.Inaddition,thecompany'snetworkmaybesubjecttointernalorexternalattacks.Therefore,networksecurityisanessentialstepforthecompany'snetwork.Theborderrouterisequippedwithzonebasedpolicyfirewallzwftocontroltheaccessbetweendifferentzones,andconfigurethebasicsecurityofswitchandrouter,suchasportsecurity,accessencryption,authenticationencryption,etc.,toensuretheavailability,integrityandconfidentialityofdata.Keywords:GuangdongRenaiMedicalTechnologyCo.,Ltd，InternetTechnology,NetworkRedundancy,NetworkSecurity目录第1章绪论 第2章项目需求分析2.1背景分析广东仁爱医疗科技有限公司总部设有6个部门，分别为人力资源部、财务部、销售部、设计部、市场部、董事办公室。因为公司业务的需要，在广州扩建了一间子公司，仅设有销售部、设计部、市场部3个部门。公司部门具体情况及需求如下：表2-1部门信息点个数主要部门职责所需设备数董事办公室负责决策、组织办公15人力资源部负责招聘和辞退员工，管理员工出勤10财务部负责公司的账目20销售部负责产品销售方面80（总部）、50（子公司）设计部负责服装设计30（总部）、10（子公司）市场部负责产品推广和策划50（总部）、20（子公司）2.2功能需求分析1、全网实现不同业务二层隔离三层连通2、总公司中，各部门可以相互访问。3、总公司和子公司各部门可以相互访问。4、核心设备三层交换机和路由器只允许网络管理员远程安全访问。2.3安全需求分析基于策略的防火墙要求，对该公司的安全需求有以下条件：内网能ping通Internet

跟DMZ区域，但是DMZ区域不能访问Internet和内网。Internet不能ping通内网和DMZ区域，但是可以访问DMZ区域的HTTP服务。2.4本章小结本章内容从广东仁爱医疗有限公司的实际需求出发，对该公司的各个方面进行了深入了解，详细介绍了该公司对网络的需求。为之后的网络设计提供了必要的信息，对拓扑图的构建有了充分的准备。网络设计3.1组网设备的选择3.1.1交换机的选择一般来说，终端都是通过接入层接入网络，而获得网络资源的。接入层的目的是允许终端用户连接到网络，因此接入层交换机具有成本低和端口密度高的特性。在网络设备方面选用当前国际社会上首屈一指的网络互联厂商Cisco的产品，其产品与服务通过智能、安全及可靠的网络将信息设备连为一体，具有很好的可靠性和稳定性。CiscoCatalyst2960系列智能以太网交换机是一个全新的、固定配置的独立设备系列，提供桌面快速以太网和10/100/1000千兆以太网连接。其中CISCOWS-C2960-24TC-S基本参数如下：表3-1CISCOWS-C2960-24TC-S基本参数主要参数• 产品类型智能交换机• 应用层级二层• 传输速率10/100/1000Mbps• 产品内存DRAM内存：64MBFLASH内存：32MB• 交换方式存储-转发• 包转发率6.5Mpps• MAC地址表8K端口参数• 端口结构非模块化• 端口数量24个• 传输模式支持全双工功能特性• 网络标准IEEE802.1D，IEEE802.1p，IEEE802.1Q，IEEE802.1s，IEEE802.1w，IEEE802.1x，IEEE802.1AB(LLDP)，IEEE802.3ad，IEEE802.3ah，IEEE802.3x，IEEE802.3，IEEE802.3u，IEEE802.3ab纠错• VLAN支持• QOS支持• 网络管理SNMPv1，SNMPv2c，andSNMPv3Catalyst2960系列具有集成安全特性，包括网络准入控制(NAC)、高级服务质量(QoS)和永续性，可为网络边缘提供智能服务。具体而言，集成安全特性是一个全新的、固定配置的独立设备系列，提供桌面快速以太网和10/100/1000千兆以太网连接，适用于中小型企业、中小型市场和中小型分支机构的网络，有助于为其提供增强LAN服务。汇聚层是企业网络的信息汇聚点，是连接接入层和核心层的网络设备。其作用是为接入层提供数据汇聚、传输、管理、分发处理等功能，也可以提供接入层虚拟网之间的互连，并且掌控和限制接入层对核心层的访问，确保了核心层的安全性和稳定性。核心层的功能较多，但是在其中最为主要的功能是实现骨干网络之间的优化传输等。核心层为这整一个网络的核心，这就需要考虑该交换机在技术性和可扩展性等方面要具有适当的超前性，这样在企业未来发展壮大之后才具有足够的兼容性。其次，用我们常常说的一句老话来表达的话，那就是：稳定压倒一切。对核心交换机来说，对稳定性的要求远远高过对性能的要求。若是一台核心交换机经常出故障，网络经常中断，服务器经常无法访问，那还会有谁使用该家厂商的产品。这就好比我们如果去菜市场买菜的话，这家店的菜回去吃完老是会拉肚子，几次之后这家店肯定也会相应的没生意做了，就是因为产品不好。综合了对比了各家厂商的能力和性价比之后，我们最终选择CiscoCatalyst3560E-24TD作为汇聚和核心交换机，其中CISCOWS-C3560E-12D-E基本参数如下：表3-2CISCOWS-C3560E-12D-E基本参数主要参数• 产品类型企业级交换机• 应用层级三层• 传输速率10/100/1000/10000Mbps• 交换方式存储-转发端口参数• 端口结构非模块化• 端口数量12个• 端口描述12个基于X2的万兆以太网端口• 传输模式支持全双工功能特性• 网络标准IEEE802.1s，IEEE802.1w，IEEE802.1x，IEEE802.3ad，IEEE802.3af，IEEE802.3x，IEEE802.1D，IEEE802.1p，IEEE802.1Q，IEEE802.3，IEEE802.3u，IEEE802.3ab，IEEE802.3z纠错• 堆叠功能可堆叠• VLAN支持• QOS支持具体而言，Cisco3560E系列交换机的主要特性和优势有以下几方面：①简易性，换言之就是易操作，好上手，不需要用户有足够多的理论基础就可以使用；②可用性和可扩展性，就是为企业未来的发展做好了足够的准备；③高性能IP路由。在简易性，也就是易用性方面CiscoCatalyst3560-E设计得很好，比如CiscoSmartports,思科靠着在网络方面沉浸多年的丰富的网络技术，快速而方便地配置先进的CiscoCatalyst智能功能。CiscoSmartports宏为每种连接类型都提供了一套经过验证、便于用户使用的模板，使用户能以最少的人力和技术投入，一致、准确地配置必要的安全策略、IP电话、可用性、QoS和可管理性特性。在可用性和可扩展性方面，CiscoCatalyst3560-E系列配备了一个强大的特性集，利用IP路由以及能够最大限度地提高第二层网络可用性的全套生成树协议增强特性，借此实现了网络可扩展性和更高可用性，这就是企业不必因为在未来一段时间内发展过快的话需要重新购买一批新的网络设备，为企业节省了一大笔资金。在标准生成树协议基础上增强的特性，如PVST+、UplinkFast和PortFast，以及Flex-link等创新特性，大幅度增加了了网络正常运行的时间。在高性能IP路由方面，思科快速转发硬件路由架构为CiscoCatalyst3560-E系列交换机提供了极高的IP路由性能。

3.1.2其它设备的选择一个网络的架构不仅仅只有交换机，还有很多必不可少的元素，如线缆、终端设备、路由器等。本课题只是模拟一个中小型企业网络。实际还要考虑很多综合因素。本课题用CiscoPacketTracer软件模拟，因此线缆、终端设备、路由器不一一讨论型号和具体功能。3.2网络拓扑结构图设计根据仁爱公司的规模和发展规划，网络拓扑采取星型网状和树型拓扑结构混合。这样有利于企业的扩展。为了避免单点故障，造成企业业务损失，也采用了设备冗余的设计。接入层机使用了CISCO2960系列的交换机，汇聚层和核心层使用了CISCO3560系列交换机，路由器一致采用CISCO2811企业路由器等，网络拓扑图设计如下：图3-3广东仁爱科技医疗有限公司网络拓扑图

3.3ip地址的规划3.3.1vlan的划分根据各个部门的不同需求以及公司的发展需要，现对各个部门进行vlan划分，具体划分内容见表3-4。表3-4vlan的划分部门名称VLAN网络地址董事办公室Vlan99/24人力资源部Vlan10/24财务部Vlan20/24销售部Vlan30/24（总部）/24（子公司）设计部Vlan40/24（总部）/24（子公司）市场部Vlan50/24（总部）/24（子公司）3.3.2设备ip的具体划分根据公司日常工作需求以及设备的相关功能，现对公司的ip进行划分，具体内容见表3-5。表3-5IP的划分企业总部设备接口ip地址默认网关Zhuhai-R1F0/0/24F0/1/24S0/0/0/24S0/0/1/24Zhuhai-R2-firewallF0/0/24S0/0/0/24S0/0/1/24ISPS0/0/0/24S1G0/1/24vlan1052/24vlan2052/24vlan3052/24vlan4052/24vlan5052/24vlan9952/24S2G0/2/24F0/10/24vlan1053/24vlan2053/24vlan3053/24vlan4053/24vlan5053/24vlan9953/24DNS服务器00/24FTP服务器10/24E-mail服务器20/24管理员PC0/24所有PCdhcpdhcp子公司Guangzhou-R3F0/0.3054/24F0/0.4054/24F0/0.5054/24S0/0/0/24所有PCdhcpdhcp第4章网络实施4.1实验配置分析图4.2具体实验配置实施4.2.1基本配置根据企业要求，为了方便管理设备，所有的路由器和交换机都进行了基本配置，配置命令及注释如下：

4.2.2交换配置1、创建一个vlan，并把需要关联的接口关联到相应的vlan之中，交换机之间采用trunk技术，实现跨交换机的相同vlan间通信。采用vtp技术，减轻VLAN配置的工作量,因此只需在vtpserver上创建VLAN即可。其中，企业总部的S1为vtpserver，其它交换机为vtpclient，子公司的S3为vtpserver，其它交换机为vtpclient，所有的vtp域名为zhss，密码配置为shishang。为了增强网络的稳定性和可靠性，总部三层交换机之前配置了etherchannel捆绑技术。具体实施步骤如下：

2、二层不同vlan间是不能够通信的，企业的协作需要各部门之间合作完成，因此需要实现vlan间的通信，实现vlan间的通信可以通过三层交换或单臂路由，这里总部采用三层交换，子公司采用单臂路由。具体实施命令如下：

3、STP协议。为了减少网络故障的恢复时间，避免单点故障，解决环路问题。交换机配置PVST+协议。其中，S1为vlan99、vlan10、vlan20的根桥，为vlan30、vlan40、vlan50的次根桥；S2为vlan30、vlan40、vlan50的根桥，为vlan99、vlan10、vlan20的次根桥。如S1的配置如下：4、HSRP协议。企业中某子网的终端设备需要借助网关才能与其它子网的终端设备通信，因此网关在网络中扮演很重要的角色，企业部署网关冗余是必不可少的。本中小型网络在核心交换机S1和S2上为每个VLAN创建HSRP组，组号为VLANID，虚拟IP为每个VLAN所在网段的最后一个地址。值得一提的是，要确保每个VLAN对应的HSRP组的活动路由器和相应VLAN根桥位于同一台设备，否则会导致次优路径。因此，S1为VLAN99、VALN10和VLAN20的活动路由器，而S2为VLAN30、VALN40和VLAN50的活动路由器。其中，活动路由器的优先级为150，备份路由器的优先级为100，具体实施命令如下：5、DHCP协议。由于网络设备中主机过多，如果人为手动分配IP地址很容易造成IP地址冲突，影响正常上网。动态分配IP地址给网络的终端设备既可以减少管理员的工作，又可以提高工作的灵活性。在企业中DHCP的配置是必不可少的。其中，总部的Zhuhai-R2和子公司的Guangzhou-R3充当DHCP服务器，分别给相应的每个部门动态分配ip，地址池命名为VLAN+ID。另外，有些部门在总部和子公司都有设立，而主机又在同一个子网，为了避免获取ip冲突，决定总部使用1-100的ip，子公司使用101-251的ip。还有，总部是跨网段获取ip地址，因此需要在离客户端最近的S1和S2配置dhcp中继。具体实施命令如下：

4.2.3路由配置1、路由技术OSPF路由器协议是目前应用最广泛的链路状态路由协议。通过区域划分可以实现了路由的分层管理。EIGRP协议是距离矢量路由协议，实现和配置都比较简单。根据公司规模和需求，公司总部采用OSPF协议，area0区域下发一条默认路由。为了减少区域内的链路状态数据库的大小，减低对路由器内存的要求，对area1进行路由汇总、并设置为完全stub区域。子公司规模小就采用EIGRP协议，接口汇总。简单配置命令如下：总部OSPF协议：

2、路由重分布因为企业总部与子公司之间的信息需要共享。企业网络运行了多种协议，因此需要采取路由重分布技术才可以使全部网络互联。这时需要在边界路由器Zhuhai-R1实施，命令如下：

4.2.4网络安全1、交换机端口安全接入层交换机容易受到MAC泛洪攻击，可以通过启用端口安全防止。DMZ区的交换区主要是服务器，配置静态端口安全。内网的交换区为员工工作的地方，位置不固定，因此配置动态端口映射。实施命令如下：

2、STP防护STP协议是没有什么措施对交换机的身份进行认证。在稳定的网络中如果接入非法的交换机会给网络中的STP树带来灾难性的破坏。可以采用BPDUGuard和RootGuard技术保护STP。BPDUGuard功能是防止那些已经配置边缘端口的交换机接入交换机导致环路的产生，边缘端口一开启，就立即进入转发状态，配置BPDUGuard的接口一旦收到BPDU包，就立即关闭接口。RootGuard功能是防止用户擅自在网络中接入交换机并成为新的根桥，从而破坏破坏原来生成树。实施命令如下：

3、MD5认证为了保证收到的数据包是可靠的和确保信息传输的完整性，路由器之间采取了MD5加密认证，其中运行EIGRP协议的采用加密链路认证，运行OSPF协议的area0采用加密区域认证。具体实施命令如下：

4、核心设备只允许管理员远程安全访问。配置命令如下：

5、基于区域策略的防火墙（ZFW）ZFW的防火墙策略是在数据从一个区域发到另外一个区域时才生效，在同一个区域内的数据是不会应用任何策略的。所以可以将需要使用策略的接口划入不同的区域，控制访问。这样可以达到保护内部网络不受外部入侵。根据要求，对边界路由器Zhuhai-R2-firewall做以下配置：

#创建私有网络到Internet网络的匹配条件名为private-to-internet

#创建从私有网络到Internet区域之间的区域策略

6.wifi为了方便工作人员或者客户使用网络，可以在公司的每个部门布置无线网络wifi，本项目以市场部为例子，直接在接入层交换机添加了AP，设置ssid为Market，password为123456789，认证为WPA2-PSK,认证方式：AES。第5章系统测试5.1HTTP服务测试使用PC1测试HTTP服务是否正常5.2DNS服务测试使用PC1终端测试DNS服务是否正常5.3FTP服务测试使用PC1终端测试FTP服务是否正常5.4E-mail测试使用PC1测试E-mail服务是否正常5.5核心设备只允许管理员安全访问使用网络管理员PC及PC4测试安全访问是否生效5.6基于区域策略的防火墙使用PC2、DNS、PC0测试基于zone的策略是否生效第6章总结本设计的题目是中小型网络的设计及实施，主要目的是对网络专业所学的知识的总结，将理论知识应用到实操。在组建中小型网络的过程中，要做好网络的详细规划与设计等。其中涉及到网络设备的选型、网络布线、网络拓扑结构的规划、部门的划分、资源的共享、网络稳定及安全等工作。本项目主要使用packettracer模拟器来模拟，因此设备的选型和部分功能都受到了一定的限制。本项目也存在几个缺陷，第一，HSRP配置不支持端口追踪优先级值更改，只能采用默认值，默认值是减少10。第二，在Zhuhai-R2-firewall路由器上，企业服务区很少会移动，想要使用了静态NAT，保护服务区访问外网，但ping不通。可能原因：ISP与Zhuhai-R2-firewall路由器之间使用不了带送出接口的静态路由器。ISP路由器的接口默认关闭了ARP代理功能（开不了），则去往目的数据包的ARP解析会出问题，而导致数据帧封