《中小企业办公室网络的规划与实现》16000字（论文）

PAGE中小企业办公室网络的规划与实现摘要随着互联网的快速发展，人们已经越来越依赖网络，甚至达到了足不出户就可以办完所有想做的事情，在这信息化的时代，全球各行各业都是通过网络来处理业务，在网络上进行交易。因此企业更是要适应时代的发展，满足大众的需求，与时代接轨才可以进去市场并且长期的生存下去。企业要提高自身竞争力和办公效率，就要紧跟网络的发展，实现全网办公信息化，构建一套适合自身企业发展的网络架构。本文就中小企业办公室网络的建设进行了充分的研究，根据中小型企业对网络的需求和特点,搭建了一个办公室网络的拓扑，进行了一系列的设备配置来实现全网资源共享的目的，满足企业处理业务的基本需求。在此局域网中所有的用户都可以访问企业公共的资源，不仅方便了员工，还提高了他们的办事效率，可以为企业创造更多的效益。在本次企业的网络规划中，考虑到企业未来的发展和规模扩张，可以通过层次化模型的三层网络结构来很好的扩展规模。路由协议则选择相比较来说收敛速度快的、安全系数高的OSPF（OpenShortestPathFirst）动态路由协议。作为企业内部的网络，安全是必不可少的，尤其是在这网络飞速发展的时代，因此网络的安全也是很重要的一方面，为了保护企业数据的安全性，针对不同的需求，方案中提出了VLAN（VirtualLocalAreaNetwork）技术、访问控制列表以及VPN（VirtualPrivateNetwork）等安全解决方案。本文的目的是根据中小企业的网络现状和企业的需求，在扩展和稳定网络的同时，建立一个相对安全和满足必要的网络应用的企业办公室网络。关键词：企业办公室网络，OSPF路由协议，VPN，VLAN划分，网络安全 目录 TOC\o"1-2"\h\u1绪论 11.1中小企业办公室网络的课题背景 11.2中小企业办公室网络概述 11.3中小企业办公室网络的发展特点 22需求分析 32.1中小企业办公室网络建设需求 32.2中小企业办公室网络设计原则 32.3中小企业办公室网络的可行性分析 42.4中小企业办公室网络的功能性分析 43网络设备选型 63.1交换机选型 63.2路由器选型 73.3防火墙选型 73.4网络设备命名 84网络总体设计 94.1网络拓扑图设计 94.2网络层次化介绍 94.3核心层设计 104.4汇聚层设计 114.5接入层设计 114.6VPN设计 124.7服务器区设计 135路由设计 145.1路由协议选择 145.2路由协议配置与查看 145.3IP地址与VLAN划分 176网络技术实现与配置 206.1DHCP协议与配置 206.2TRUNK技术与配置 206.3STP技术与配置 216.4VLAN技术与配置 226.5HSRP技术与配置 226.6VPN技术与配置 236.7NAT技术与配置 246.8ACL技术与配置 247网络拓扑功能测试 267.1DHCP分配地址测试 267.2VLAN间互通测试 277.3STP生成树测试 287.4财务部与总经办单向访问测试 297.5NAT实现测试 307.6VPN连通性测试 307.7冗余备份测试 327.8服务器连通性测试 348总结 36参考文献 371绪论随着中小企业的迅速发展，对中小企业的要求也越来越高。更是因为网络的进步要与时代接轨，一个企业拥有好的网络架构就相当于多了一份市场竞争力，相比较于一些大型的企业网络来说，中小企业办公室的网络规模比较小，注重于实用性，方便企业人员管理；注重安全性，加强网络措施，不易被外部攻击导致网络断掉影响到企业的业务，也要保证数据方面的安全，不被轻易泄露，失去于同行的竞争力；注重拓展性，考虑企业将来的发展，就要做好充分的准备，为设备扩充等留有一定的空间，在物理和逻辑上都要做好措施。本次设计的课题就是在模拟平台上搭建一个中小型办公室网络，从需求分析开始，结合网络实际应用，规划网络拓扑结构，进行IP地址的分配，VLAN的划分，给设备进行配置，最终通过调试和排错来是实现企业办公室网络的基本功能。1.1中小企业办公室网络的课题背景随着网络建设越来越重要，在企业内部现信息化管理是必须的，通过利用网络平台可以节省很多人力资源，比如以前查资料需要到资料室手动翻阅，现在都有电子备份可以随时上传下载，不仅节省了时间，也提高了效率，更是增加了大家的阅读量，提高个人水平，自然在企业的发展方便也是多了一份力。还可以实施网络绩效考察，通过了解别人的水平来加大自己的压力，更加的努力提高自身水平来跟随大家的脚步，这样企业的发展自然而然会有所提高。企业的内部网络会与公网连通，可以访问公网资源，以便于企业更好的得到市场消息及时作出调整和规划，也可以通过网络发布的消息筛选最优客户，网络消息四通八达，及时掌握并主动出击便可给公司带来很大的利益。当然也可以推销自己，制作自己公司的网络，介绍公司概况，表明公司运营的项目与优势，自然也会有客户主动寻求合作的，双方都是主动的，这样项目进行的也会非常顺利愉快，达到双赢的目的。1.2中小企业办公室网络的课题意义随着国际互联网的发展，企业网络的建设也越来越成熟。企业内部网络的应用主要就是实现各部门的业务处理，内部数据共享，企业人员管理等一系列的基本需求。满足员工硬件软件的共享需求，比如打印机共享，员工通过连接企业内部网络可以直接访问打印机，在自己电脑上打印，然后再到打印室拿取资料即可，但多数人同时访问时，打印机自会根据时间顺序排序依次打印，不必大家都挤到打印室人工排队等待浪费时间和精力。数据库资料共享，大家也可随时访问服务器进行上传和下载，通过关键字等直接搜索来获取，方便快捷。1.3中小企业办公室网络的发展特点中小企业不能与大型企业相比，有扎实的根基与经济实力，在市场形势的不断变化下，首当其冲受到影响的就是中小企业，因此中小企业想要在市场上站稳脚跟就要有足够的优势，不易被社会所淘汰。除了企业的经营项目，经营手段等，在网络方面的建设也是有一定的作用的。对于中小企业网络方面的发展特点来说，涉及的范围广，麻雀虽小五脏俱全，企业该有的网络需求不能少，因此技术方面就要采用已经成熟的，可以直接利用的；发展速度快，小企业只要在经营良好的情况下，发展非常迅速，因此就要做好相应的扩展措施与割接方案，在企业后期的网络实施中要与前期相融合。企业要实现信息化网络办公，通过提高企业生产质量和员工的工作效率来快速发展。企业实现信息化是满足企业高速运转的需求，这种使用信息技术的分布式网络化企业，不仅是跨国大公司的未来，而且也是大量中小企业的发展方向[1]。

2需求分析2.1中小企业办公室网络建设需求假设某个中小型企业要构建一个办公室网络，企业一共有五个部门，分别是财务部、总经理办公室、行政部、人事部、市场部和技术部，公司一共有三栋楼：A楼：一层为财务部，二层为总经理办公室。B楼：一层为行政部，二层为人事部。C楼：一层为市场部，二层和三层都是技术部。（1）为了方便企业管理，采用DHCP协议自动分配IP地址。（2）为了网络安全，根据部门进行VLAN划分。（3）通过NAT技术使内网主机可以访问外网。（4）建立VPN，使出差人员也可以访问内网资源。（5）通过ACL使得财务部和总经理办公室与其他部门网络隔离。（6）网络要有冗余设计，当某个节点故障时可以切换到备线路。（7）企业内部资源共享，包括文件和硬件的共享。2.2中小企业办公室网络设计原则企业办公室局域网的最终目标是建设一个网络性能实用优良、数据传输高速、安全可靠，有扩展性的局域网网络，前期可满足中小企业用户需求，提供用户全网的资源共享，包括软件、硬件和信息的共享，并可以访问公网查阅资料，发送邮件等等基本需求。考虑到企业刚发展有预算的限制，选用性价比高的设备来节约成本，采用三层网络结构，便于企业的扩展和管理。（1）实用性：网络建设从企业应用实际需求出发，给予领导实用性的建议，满足客户需求，便于企业经营管理。另外，结合目前企业发展，充分考虑如何利用现有资源尽量发挥设备的最大效益。（2）先进性：在对企业局域网进行规划时就应该考虑企业在未来的发展，不仅要满足当前的需求，还有为将来做打算，对企业未来的带宽要求和网络功能留有一定的空间，采用目前已经成熟的技术并加入适当的超前技术。（3）可靠性要保证网络可以正常运行，配置冗余措施，并且在有线路或端口故障发生时，可以及时切换线路以保证企业业务不中断。一个稳定可靠的网络结构应该及时发现故障发生点并立即隔离不被扩散，使得这个故障对整个网络的影响减到最小。（4）扩展性对于企业未来的发展扩充要留有余地，后期实施时应与前期有良好的融合性，方便实施。（5）保密性对于企业内部的资源信息不被他人窃取，应实施加密措施，配置用户认证等防止他人登录，并在网络边界加入防火墙再与公网连接，过滤外部不正当的攻击，提高企业数据的保密性。（6）成本性选用高性能、低成本的设备，若有前期剩余设备应最大化利用，发挥他们最大的功能。（7）灵活性当用户位置变化时，应方便调整，应具有较高的适应变化的能力。在布线方面也应该有一定的扩展性。2.3中小企业办公室网络的可行性分析通过对中小企业办公室网络的调查和分析，对其进行可行性分析。技术上可行：目前可有大量的项目可供参考，选用大众的、成熟的技术方案，在大多数企业上都得到了验证，VLAN技术，HSRP（HotStandbyRouterProtocol）热备份技术，NAT（NetworkAddressTranslation）技术等都是被企业大量应用的，技术上都是比较成熟的，因此在技术上是可行的。经济上可行：虽然是刚发展的企业，比较看重经济成本，但是这项投入是必不可少的，没有网络的规划与设计，企业是无法长远发展的。我们会根据客户需求，选用设备时多家比对，尽量选用低成本高性能的设备，操作简单便于以后维护。因此经济上也是可行的。管理上可行：在设计时会把设备集中到固定的几个机房，由专业的网咯管理人员管理，通过远程可以随时查看设备配置，检查其是否正常工作，并通过网络报警等随时了解网络信息，这些都有专业的网管人员护理，因此管理上是可行的。综上所述，本次中小企业办公室网络的规划设计在技术上、经济上、管理上都是可行。2.4中小企业办公室网络的功能性分析通过中小企业办公室网络的建设需求，对其进行功能性分析。连通性：企业要实现信息化管理，就要保证所访问的资源都可以到达，要保证网络的功能协议是正常工作的。安全性：对于中小企业办公室网络来说，安全是必不可少的，包括软件和硬件方便的安全。采用VLAN划分网络来隔离广播域，减少网络风暴，当有病毒攻击时也可隔离，使其不会传播到其他区域造成巨大的损失。采用访问控制列表来阻止其他部门对财务部和总经办的访问来保证数据的安全性。采用ipsec协议来实现远程接入的一种VPN技术，通过加密通道保证连接的安全。速度性：为保证数据快速转发的效率，采用OSPF最短路径优先的路由协议，它的收敛速度相比较来说是快的，也是大多是企业采用的，这也是一种天然无环的路由协议，也可避免成环问题，造成网络崩溃。

3网络设备选型3.1交换机选型交换机是用于设备之间转发数据的网络设备，通过交换数据包来达到转发的目的。目前有三层交换机和二层交换机，三层交换机有路由功能，我们在核心层和汇聚层采用三层交换机，在接入层使用二层交换机。3.1.1三层交换机选型首先先选择核心交换机，由于网络核心是网络负载最高的地方，因此设备性能一定要高，而且传输速率也要达到相应要求。CISCOWS-C3850-24T-S型号的参数，如表3-1所示：表3-1CISCOWS-C3850-24T-S参数主要参数端口参数功能特性产品类型千兆以太网端口结构非模块化堆叠功能支持应用层级三层端口数量24个VLAN支持传输速率10/100/1000Mbps传输模式全双工/半双工自适应电源电压AC220V交换方式存储-转发CiscoCatalyst3850系列交换机是新一代的企业级的千兆位聚集层交换机。这个是三层交换机，核心层和汇聚层交换机都可以使用这一型号的交换机，支持堆叠和VLAN划分，采用双路冗余模块化电源，以及三个模块化风扇用于提供冗余，传输速率支持1000Mbpps。3.1.2二层交换机选型对于二层交换机来说，只要端口数量足够，可以保证接入的用户数量，有足够高的传输速率，可以快速转发流量就可以了。WS-C3560X-24T-L的参数如表3-2所示：表3-2CISCOWS-C3560-24T-L参数主要参数硬件参数其他参数产品类型千兆以太网端口结构非模块化堆叠功能支持应用层级二层端口数量24个最大功率350W传输速率10/100/1000MbpsFlash内存128MB电源电压AC220V包转发率65.5mppsDRAM内存256MB重量7KG思科WS-C3560X-24T-L能够有效提升网络克隆类型数据包的传输速度，可以连接多个有线设备，可以关闭流控，其他端口可以通过协商开启流控，优化了无盘系统等，保障网络视频的流畅。同时再次提升安全把控，让数据传输更安全；增强了信号能力，让网速更畅快。3.2路由器选型路由器是用来将企业局域网与广域网相连，实现不同网络之间通信的，有数据处理能力，还有容错管理和流量控制等功能。CISCO2911/K9这一型号的路由器参数如表3-3所示：表3-3CISCO2911/K9基本参数基本参数参数内容路由器类型多业务路由器网络协议IPv4，IPv6，静态路由，IGMPv3，PIMSM，DVMRP，IPSec传输速率10/100/1000Mbps端口结构模块化广域网接口1个局域网接口3个防火墙内置防火墙QOS支持支持VPN支持支持Cisco2911/k9是Cisco2800系列集成多业务路由器的产品，内置了防火墙，为企业安全又提供了一道安全屏障，支持QOS和VPN。3.3防火墙选型防火墙是用来隔离内网和外网的，因此是放在企业网络的边界的，保护企业网络，防止病毒的入侵。全面检测网络外界的威胁、病毒等内容，且需要分析相应的数据，通过网络外界的屏蔽系统来保护企业网络信息和相关的数据[2]。如图3-6所示，是防火墙CISCOASA5505-K8的参数。表3-4CISCOASA5505-K8参数主要参数基本参数并发连接数25000控制端口Console，RJ-45安全过滤带宽51-100MB管理思科安全管理器，webVPN支持支持电源100-240VAC，50/60Hz网络吞吐量150Mpps安全标准UL60950，CSAC22.2No.60950，EN60950，IEC6095AS/NZS60950用户数限制10这一型号的防火墙能够主动防止网络被攻击，还可以控制网络行为和应用流量，并提供灵活的VPN连接。有25000个并发连接数，安全过滤带宽可达百兆，网络吞吐量最大可达150Mpps，电源使用双路以达到冗余。3.4网络设备命名在网络管理中，对网络设备的命名是非常有必要的，对设备进行正确的命名可以快速识别此设备的用途与作用，对于机房工作人员来说可以减少一定的工作量，加快工作效率，当设备产生故障时，也可通过标签结合设备配置来快速排查，随着企业的发展，设备肯定越来越多，这时候就会显示标签的重要性了。为方便日后的网络管理，采用统一的命名方式：【设备层次-设备类型-设备型号-设备位置-编号】表3-5设备命名表项目实例设备层次HX-核心层HJ-汇聚层JR-接入层设备类型SW-交换机RT-路由器FW-防火墙SRV-虚拟服务器设备型号C3580-思科三层交换机C3560-思科二层交换机2911-思科路由器C22-思科服务器ASA5505-思科防火墙设备位置楼号+层数如：A楼一层表示为A1如表3-7所示是设备类别的命名规范，字段之间用连接符（-）来连接，比如一台位于核心层的C3850型号的交换机在C楼三层，用设备命名规则来命名就是：HX-SW-C3850-C3-1

4网络总体设计4.1网络拓扑图设计如下图4-1所示，是中小企业办公室网络的网络总拓扑图，将整个网络分为五个部分，分别是核心层、汇聚层、分布层、服务器区和vpn区。图4-1网络总拓扑图采用三层网络架构来搭建企业架构，在核心层使用两台具有三层交换功能的高性能交换机作为核心交换机，实现冗余设计，同时还能实现负载均衡，这样可以保证现有的设备资源得到充分的利用，也不用担心由于单独的一台设备负载太大而导致网络出现性能方面的问题。在核心交换机上使用了DHCP（DynamicHostConfigurationProtocol）协议，为每个VLAN建立了DHCP地址池，给终端分配IP地址，方便管理。为了避免产生环路和网络风暴，配置了STP（SpanningTreeProtocol）生成树协议，提高网络的可靠性。为方便外出员工访问公司内部资源，采用IPSEC（InternetProtocolSecurity）协议来实现远程接入的一种VPN技术，在公网上为两个私有网络提供安全通信通道，通过加密通道保证连接的安全。为有效缓解现在IP地址资源枯竭的现象，使用NAT技术，借助动态转换，来实现内部网络对外部资源的访问。配置了FTP、EMAIL、WEB服务器，可以满足企业内部的基本业务要求。4.2网络层次化介绍由接入层、汇聚层和核心层组成的传统三层网络架构，将网络进行了层次划分，结构清晰，一定程度上降低了网络设计的难度，经过多年的实践和应用，架构非常成熟且实现较为简单[3]。核心层是网络的高速交换主干，对整个网络的连通性起到至关重要的作用[4]。我们采用双核心交换机来做热备份达到冗余的效果，还可以做负载均衡来进行流量分流，改善网络的性能。对于核心层的设备性能也要求特别高，选用可以承载整个网络流量的高性能设备。汇聚层是用来连接接入层和核心层的，它会将接入层的流量进行汇聚再转发给核心层，减少核心层的流量负载。在核心层通常进行vlan划分，隔离网段，若某一处网络故障可以阻断流量不进入核心层进行破坏。对于启用资金有限的企业来说，汇聚层可以暂时省略，核心层直接与接入层相连，可以节约一大笔资金。但是考虑到企业未来的扩展以及网络安全性能方面的稳定，最好还是加入汇聚层。汇聚层的设备也是使用支持三层交换的交换机比较好，可以再汇聚层做一些安全方面的策略。接入层是连接网络的，直接将终端计算机接入网络，并且提供足够的带宽进行访问。4.3核心层设计如下图4-2所示，是核心层设计图，核心层作为整个网络的中心，对网络中的连通性有非常大的作用，要实现对数据的高速转发，因此需要核心设备的性能及功能非常强大。图4-2核心层设计图采用具有三层路由功能的高性能交换机作为核心交换机，使用两台三层交换机互联，实现冗余连接，此外还实现了负载均衡，vlan10、vlan20、vlan30、vlan40走交换机HX-SW-1，vlan50、vlan60、vlan100走交换机HX-SW-2，来达到流量分流。其次为了企业网络的安全，设立了防火墙来隔离内网，阻止外网恶意访问公司内部资源，从而保证数据的安全性。在防火墙上配置了nat，可以把私有地址转化为公网地址，达到节约ip地址的效果。在图4-2中，可以看到，R1作为核心路由器，端口E0/0与交换机HX-SW-1的端口G1/1想连，端口E0/1与交换机HX-SW-2的G1/1相连，端口E0/2与防火墙的端口E0/0相连。防火墙的端口E0/1与internet的端口E0/0相连。交换机HX-SW-1和HX-SW-2作为两台核心交换机通过端口G1/0和G1/3实现互联，左边的交换机HX-SW-1的端口G0/0与汇聚层交换机HJ-SW-1的端口E0/3相连，端口G0/1与汇聚层交换机HJ-SW-2的端口E0/2相连，端口G0/2与汇聚层交换机HJ-SW-3的端口E1/0相连。右边的交换机HX-SW-2的端口G0/0与汇聚层交换机HJ-SW-1的端口E0/2相连，端口G0/1与汇聚层交换机HJ-SW-2的端口E0/3相连，端口G0/2与汇聚层交换机HJ-SW-3的端口E0/3相连。4.4汇聚层设计如下图4-3所示，是汇聚层设计图。汇聚层是企业数据信息的汇聚点，是连接了核心层和接入层的网络设备，为接入层提供数据的汇聚和管理，在汇聚层划分vlan，与网络隔离，可以防止某些vlan内的问题蔓延到核心层。在汇聚层的设备也要达到带宽和传输性能的要求，因此也采用三层交换机。图4-3汇聚层设计图在本网络中，在汇聚层有三台三层交换机，交换机HJ-SW-1的端口E0/1与接入层交换机JR-SW-A-1的端口E0/0相连，端口E0/0与接入层交换机JR-SW-A-2的端口E0/0相连。交换机HJ-SW-2的端口E0/0与接入层交换机JR-SW-B-1的端口E0/0相连，端口E0/1与接入层交换机JR-SW-B-2的端口E0/0相连。交换机HJ-SW-3的端口E0/0与接入层交换机JR-SW-C-1的端口E0/0相连，端口E0/1与接入层交换机JR-SW-C-2的端口有E0/0相连，端口E0/2与接入层交换机JR-SW-C-3的端口与E0/0相连，端口E1/1与服务器群的交换机SRV-SW-1的端口E0/0相连。4.5接入层设计如下图4-4所示，是接入层设计图。接入层，通常是网络中直接面向用户连接或访问网络的部分。图4-4接入层设计图接入层目的是允许终端用户连接到网络，因此接入层交换机可以选择有低成本高密度特性的二层交换机，有足够的转发速率满足企业需求就可以了根据企业要求、部门分布情况，一共使用8台二层交换机，布置在各个楼层。终端可以直接连接到接入层交换机，由DHCP服务器分配地址，便可直接访问网络。4.6VPN设计如下图4-5所示，是VPN设计图。VPN技术就是一种远程技术，让外地出差的办公人员可以通过连接VPN服务器进入公司内网来获取自己想要的信息，vpn是通过公网来建立的，要保证访问的安全性，要进行数据加密等措施。图4-5vpn设计图采用IPSEC协议来实现VPN技术，在公网上为两个私有网络提供安全通信通道，通过加密通道保证连接的安全。在两个对等体路由器R2和防火墙firewall上配置了通道。路由器R2的E0/0端口与internet的E0/1端口相连，internet的端口E0/0与防火墙的E0/1接口相连，通过公网，在路由器和防火墙之间建立VPN。4.7服务器区设计如下图4-6所示，是服务器区设计图。服务器是企业共享资源，员工可以访问这些服务器快速获得有效资料，提高办公效率。图4-6服务器区设计图在服务器区设立了FTP服务器、WEB服务器、Email服务器，通过接入层交换机SRV-SW-1连接到汇聚层交换机上，用户可以直接访问这些服务器，通过vpn连接的用户也可以访问内部服务器。服务器区的交换机SRV-SW-1的端口E0/1、E0/2、E0/3分别于这三个服务器的端口E0/0相连。

5路由设计5.1路由协议选择OSPF协议是开放式最短路径优先协议。作为基于链路状态的路由协议，OSPF协议框架中的路由器能够向管理域中其他路由器发送链路状态广播信息，其中包含接口、量度等各种信息[5]。网络中的路由器通过发送HEELO报文来发现邻居，并且定期维护，然后将已知的邻居列表和开销值通过链路更新报文与其他路由器交互，学习到整个系统内的网络拓扑结构，还可以通过边界路由器引入其他系统的路由器信息，从而得到整个internet的路由信息。每隔30s或者链路状态发生变化时，会重新生成LSA，路由器通过泛洪机制将新的LSA通告出去，以便实现路由的实时更新[6]。Ospf的特征：（1）收敛速度快。相对于RIP（RoutingInformationProtocol）协议来说，ospf是链路状态协议，通过链路通告可以获知整个区域拓扑，从而加快收敛速度。（2）能够适应大型网络。对于企业网络、园区网络都可以采用这种路由协议。（3）支持区域划分，通过区域划分，可以进行分级管理。（4）采用触发更新，只有在拓扑发生变化时，会使用组播地址发送LSU（LinkStateUpdate）报文，此报文包含了LSA（Link-StateAdvertisement）更新信息。（5）无路由环路。基于spf的算法，在ospf区域中，通过互相发送LSA报文，每个路由器都可以知道整个区域内的拓扑和链路状态。（6）支持等价路由。可以通过改变路由开销值从而实现负载均衡。（7）支持认证。有明文和密文两种认证方法，有链路认证、区域认证、虚链路认证三种认证范围。5.2路由协议配置与查看在核心交换机HX-SW-1上查看的ospf配置：//配置动态路由//配置动态路由ospf进程号是110//配置HX-SW-1的路由ID为//配置SVI虚接口为被动接口network55area0//通告网段/24，区域为0network55area0//通告网段192.168.0/24，区域为0公司整个网络运行的是OSPF动态路由协议，并且都处于区域0当中。企业员工终端电脑上经常收到路由器发送的OSPF数据报文，但是该报文不仅对终端毫无用处，还占用了一定的链路带宽资源，并有可能引起安全风险，比如非法接入路由器做路由欺骗。因此通告配置被动接口来实现阻隔OSPF报文，优化公司网络。在路由器R1上查看的ospf配置：routerospf110//配置动态路由ospf进程号为110router-id4//配置R1的路由ID为4network55area0//配置通告网络network4area0//配置通告单个主机4network55area0//配置桶盖网络network55area0//配置通告网路环回口是逻辑接口。永远不会down，使用环回口作为router-id可以使ospf进程更加稳定，减少网络震荡的可能。如图所示为R1路由器上的ospf路由：图5-1ospf路由查看可以看到网段的路由都有两条路径，下一跳地址为是交换机HX-SW-1的地址，下一跳地址为是交换机HX-SW-2的地址，接口分别为R1的E0/0,E0/0。如图5-2所示，是路由器R1上的OSPF邻居：图5-2ospf邻居查看通过命令showipospfneighbor可以查看邻居，路由器R1有三个ospf路由邻居，它们的router-id分别是,3,，address表示下一跳地址，interface表示连接下一跳自身的接口，此外显示这三个邻居的状态都为BDR。如图5-3所示，为路由器R1上的OSPF链路数据库：图5-3ospf链路数据库查看通过命令showipospfdatabase可以显示ospf的链路数据库。如图5-3所示，可以看到此设备的路由ID为4，进程ID为110，区域是0，每个路由器都会产生LSA类型1，RouterLSA，这种LSA只在本区域内传播，描述了路由器所有的链路和接口，状态和开销，NetworkLSA是LSA类型2，在多路访问网络中，DR都会产生这种LSA，它只在产生这条LSA的区域泛洪描述了所有和它相连的路由器，包括DR本身。如图5-4所示，可以查看接口下的据图OSPF信息：图5-4R1接口下ospf具体信息如图5-4，显示R1路由器E0/0接口下的ospf路由信息，输出的第一行为此端口的状态和二层链路协议为up，表示为正常工作。第二行显示此接口上配置的IP地址为，掩码是24位的，接口所在的区域为ospf区域0。路由器的进程ID为110，路由ID为4，ospf网络类型是BROADCST，使用OSPF组播功能，在此网络类型下，将选择指定路由器和备用指定路由器，要让某个接口上的路由器成为邻居，所有路由器的网络类型都应该匹配。Cost开销是一个OSPF的度量，在上图中，开销为10。传输延迟是指通过链路进行链路状态通告泛洪之前OSPF所等待的时间，传输延迟为1秒是个默认值。此接口的状态是DR，优先级为1。显示出了此接口连接的网络的DR的ID是4，接口地址为4，BDR的ID是，接口地址为。另外还有还可以知道发送hello数据包的时间间隔为10秒，死亡时间为40秒，等待时间为40秒等等。5.3IP地址与VLAN划分企业局域网普遍采用TCP/IP协议，因此在中小企业网络的规划中是非常重要的。一个好的IP地址规划方案不但可以减少网络的负载，还可以为以后网络的扩充打下良好的基础。IP地址规划应该考虑以下几点：唯一性——在一个网络中是不能够有两台主机用同一个IP地址的。连续性——可以在同一网络中使用连续的IP地址，这样可以汇总路由，减少路由表的数据，路由表可以加快处理。可扩充性——在同一网络中划分地址时应该有冗余，这样在企业扩展时，可以增加主机数量。安全性——企业按照部门划分网段，不用的部门使用不同的网段。如表5-1所示，为网络中的VLAN划分情况：表5-1vlan划分VLANIP地址子网掩码备注Vlan10PC1Vlan20PC2Vlan30PC3Vlan40PC4/PC5Vlan50PC6VLAN60PC7/PC8Vlan100服务器群企业网络中一共划分了七个vlan，分别是财务部vlan10，总经办vlan20，人事部vlan30，行政部vlan40，市场部vlan50，技术部vlan60,还有服务器区是vlan100。他们的IP地址段分别是、、、、、、，子网掩码都是。这些都是网段，具体的终端地址由DHCP自动分配。如表5-2所示，是路由器、交换机等各个设备端口的IP地址划分情况：表5-2IP地址划分路由器端口IP地址子网掩码R1Lo0455E0/04E0/4E0/4R2E0/0E0/154InternetLo00055E0/0E0/1FirewallLo055E0/0E0/1HX-SW-1Lo055E1/HX-SW-2Lo0355E1/R1的环回IP地址为4，E0/0端口的IP地址为4，E0/1端口的IP地址为4，E0/2端口的IP地址为4,。路由器R2的E0/0端口的IP地址为，E0/1端口的IP地址为54,。ISP的环回地址为00，E0/0端口的IP地址，E0/1端口的IP地址为.firewall的环回地址为，E0/0端口的地址为，E0/1端口的地址，交换机HX-SW-1的环回地址为，E1/1端口的地址，交换机HX-SW-2的环回地址3，E1/1端口的地址。如表5-3所示，是服务器IP地址的划分情况：表5-3服务器IP地址划分服务器端口IP地址子网掩码FTPE0/0WEBE0/0EmailE0/0由于服务器是不需要移动的，所以为了方便访问，配置成了静态的IP地址，服务器群的网段是，FTP服务器E0/0端口的IP地址为，WEB服务器E0/0端口的IP地址为，Email服务器的E0/0端口的IP地址为。

6网络技术实现与配置6.1DHCP协议与配置DHCP通常被应用在大型局域网环境中，主要作用是集中的管理、分配IP地址，使网络环境中的主机动态的获取IP地址、Gateway地址、DNS服务器地址等信息，并能够提升地址的还用率。DHCP可有效减少网络管理员手动设置IP地址的负担，避免手动设置重复IP地址引发的冲突，满足了主机位置变化的需求，可很好地解决主机数量超出可分配IP地址数量的问题[7]。ipdhcppool10//配置DHCP地址池名称为10network//配置地址池的子网号子网掩码为default-router54//配置IP地址网关为54dns-server//配置DNS地址为!ipdhcppool20//配置DHCP地址池名称为20network//配置地址池的子网号子网掩码为default-router54//配置IP地址网关为192.168。20.254dns-server//配置DNS地址为!ipdhcppool30//配置DHCP地址池名称为30network//配置地址池的子网号子网掩码为default-router54//配置IP地址网关为54dns-server//配置DNS地址为6.2TRUNK技术与配置TRUNK是一种从一点到另一点链路的封装技术。链路的两端可以是交换机，也可以是路由器。TRUNK是增加交换机和网络设备之间带宽的一种经济方法。其基本功能就是将多个物理端口成一个逻辑通道，使其工作时像个完整的通道。将多个物理链路绑在一起，不仅可以提升其带宽，其数据可以通过多个被绑定的物理链路传输，具有链路冗余作用[8]。TRUNK可以实时平衡各个交换机端口和服务器接口的数据流量。如果某个端口出现故障，它将自动从TRUNK组中取消该故障端口，然后从每个TRUNK端口中删除该端口，重新部署每个TRUNK端口的流量。在核心交换HX-SW-1上配置端口：//配置链路聚合port-channel//配置链路聚合port-channel1//配置TRUNK封装为dot1q//配置接口模式为TRUNK//在接口G0/0下//配置端口中级链路封装协议为802.11q//配置端口为TRUNK模式在汇聚层HJ-SW-1上配置端口：//在接口E//在接口E0/0下//配置端口中级链路封装协议为802.11q//配置端口为TRUNK模式在接入层交换机JR-SW-A-1上配置端口：interfaceEthernet0/0//在接口E0/0下switchporttrunkencapsulationdot1q//配置端口中级链路封装协议为802.11qswitchportmodetrunk//配置端口为TRUNK模式duplexauto6.3STP技术与配置在交换网络中，当交换机接收到目的地址未知的数据帧时，交换机的操作就是广播该数据帧。这样，如果有物理交换网络，就会出现双向广播链路，甚至广播风暴，导致交换机瘫痪。STP协议就是判断网络中是否存在环路的地方，并通过阻断冗余链路来实现无环网络。STP协议通过STA算法，在逻辑上阻塞一些端口，来生成一个逻辑上的树形结构，STA会在冗余链路中选择一个参考点，将选择要到达的单条路径，同时阻断其他冗余路径，一旦已选路径失效，将启用其他路径[9]。spanning-treemodepvst//配置生成树模式spanning-treeextendsystem-idspanning-treevlan10,20,30,40priority0//配置STP生成树优先级的数字越小等级越高6.4VLAN技术与配置虚拟局域网VLAN，是一种实现虚拟网络工作组的网络交换技术，该技术是通过网络设备上将网络划分成不同的网段。划分成不同的VLAN后，相互之间的通信需要配置相应的路由转发才可以；同一VLAN中的用户通信不需要路由的支持，可直接通过交换机完成通信，在此情形下，VLAN内部的广播和单播流量不会被转发到其他的不同VLAN网络组中，可避免网络风暴的扩散。这可在一定程度上节省网络带宽，提高网络性能，同时又能够达到降低购买设备的成本，简化网络，提高网络的安全性[10]。在HX-SW-1交换机上的配置：6.5HSRP技术与配置路由热备份技术的基本原理是由多台路由器组成一个备份路由器组,将备份组内的所有路由器抽象成一台虚拟路由器,其地址为配置的虚拟地址,地址为指定的虚拟地址[11]。在这个组内，实际上只有一台路由器的状态是active的在工作，其他路由器处于standby状态，只有这台活跃状态的路由器down掉后，其他处于备份状态的路由器会重新选取一台路由器成为活跃状态来接替上一台路由器的工作，这个时间段很短，用户几乎不会感受到它们状态的切换，这样就可以保证网络的不中断，不会给公司带来很大的影响。在本次项目中，我们把核心的两台交换机配置HSRP，但是如果只有一台设备工作的话，流量太大，会导致网络性能的下降，因此我们可以做负载，路由可以分成两部分，分别在两台路由器上处于活跃状态，另外的处于备份状态，也就是vlan10、vlan20、vlan30、vlan40在第一台交换机上处于活跃状态，vlan50、vlan60、vlan100处于备份状态，第二台交换机配置则相反，在这样设计不仅提高网络的运作能力，而且将设备利用最大化。interfaceVlan10//在虚接口VLAN10下ipaddress52//配置IP地址ipaccess-group111outstandby10ip54//分配端口所属HSRP组号为10配置虚拟网关standby10priority101//设置端口组内优先级为101standby10preempt//配置HSRP的抢占权，优先级高的为活跃路由6.6VPN技术与配置VPN技术就是一种远程技术，让外地出差的办公人员可以通过连接VPN服务器进入公司内网来获取自己想要的信息，vpn是通过公网来建立的，要保证访问的安全性，要进行数据加密等措施。Vpn技术有不同的类型，隧道技术、密钥管理技术、加密技术、身份认证识别技术等多种多样的，在如今网络的时代，每种技术都有不同的应用场景，都起到了重大的作用。IPSECvpn是指采用ipsec协议来实现远程接入的一种VPN技术，是由IETF定义的安全标准框架，在公网上为两个私有网络提供安全通信通道,通过加密通道保证连接的安全——在两个公共网关间提供私密数据封包服务。在IPSECVPN技术背景下，建立了多种类型的子系统：第一是ESP协议系统，该系统在各行业领域中得到了非常广泛的应用，具有极大的优势和保密功能；第二是终端到终端系统，该系统辅助处理了数据信息在传输过程中容易发生关键性错误这一情况，显著增强了系统在日常运转中的稳定程度与安全程度[12]。R2路由器上的配置：cryptoisakmpkeyccieaddress//配置密钥cryptoipsectransform-setipsec123esp-3desesp-md5-hmacmodetunnel//使用安全协议ESP，用3DES来加密，用MD5-hmac来确保数据的完整性，使用隧道模式来封装cryptomapipsec45610ipsec-isakmp//建立加密映射setpeer//IPSECSA对端是settransform-setipsec123//参数转换名称是IPSEC123matchaddress101//定义要穿越的流量R2路由器的接口的配置：interfaceEthernet0/0//在接口E0/0下ipaddressipnatoutsideipvirtual-reassemblyincryptomapipsec456//加密映射到该接口上interfaceEthernet0/1//在接口E0/1下ipaddress54ipnatinsideipvirtual-reassemblyincryptomapipsec456//加密映射到该接口上6.7NAT技术与配置NAT即网络地址转换协议。它的实质是网络层将一个数据包的IP地址映射成为其他IP地址的过程。在现有的IPv4网络结构中，网络地址转换技术实现了双向访问，就是在公网上可以访问到私网地址，在私网上也可在地址映射后访问公网。利用NAT技术，可以实现私有IP地址到公有IP地址的一对一或多对一的映射，有效解决全球IPV4地址即将枯竭的问题[13]。Firewall上的NAT配置：ipnatinsidesourcelist100interfaceEthernet0/1overload//配置NAT内部地址的映射iproute//配置一条静态路由access-list100denyip5555access-list100permitipanyanyaccess-list101permitip5555//为内部网络定义一个IP访问控制列表interfaceEthernet0/1//在E0/0接口下descriptionnameifoutsideipaddressipnatoutside//定义该接口连接外部网络ipvirtual-reassemblyincryptomapipsec4566.8ACL技术与配置ACL（AccessControlLists）访问控制列表技术，又称为软件防火墙技术，是一种路由器的配置脚本，也是包过滤技术典型代表[14]。访问控制列表的工作体系是通过查看经过自己的数据包的报文头部的信息来决定是否允许数据包的通过。通过在诸如路由器和三层网络物理设备上实施访问控制列表的网络安全软件加固策略，可以实现流经路由器和三层交换机的数据包进行过滤，从而达到网络安全控制的目的，单访问控制列表对路由器本身产生的数据包不起作用[15]。Extendedaccess-list11110denyicmp5555echo20denyicmp5555echo30denyicmp5555echo40denyicmp5555echo50denyicmp5555echo60permitipanyany通过配置ACL命令来阻止访问vlan10和vlan20的PC，通过反掩码绝对匹配一个源地址和目的地址来拒绝ping命令。但是ACL会拒绝掉通过的所有数据流量，为了防止有需要的流量被拒绝掉，加一条允许所有流量通过的命令。

7网络拓扑功能测试测试目的：本设计是针对中小企业办公室网络的规划与实现，对实现的功能进行了配置，通过测试来查看功能是否可以实现，是否有存在的问题。对DHCP分配地址、VLAN间互通、STP生成树、财务部与总经办单向访问、NAT实现、VPN连通性、冗余备份、服务器连通性这些方面做了测试。7.1DHCP分配地址测试如图7-1所示，为PC地址自动获取图：图7-1PC0地址自动获取首先随意打开一个终端PC0上输入ipdhcp命令打开它的dhcp功能，然后输入showip命令可以看到自动获取到的ip地址是，网关为54。如图7-2所示，为交换机HX-SW-1的地址分配情况：图7-2地址分配的情况然后在核心交换机HX-SW-1上输入命令showipdhcpbinding可以看到目前设备情况下地址的分配情况，如图7-2可以看到刚刚我们获取到的地址地址已被分配。7.2VLAN间互通测试举例测试vlan30与vlan40之间互通：图7-3PC4对PC3ping测试首先先获取PC3和PC4的地址，可以看到它们获取的地址分别是和，然后PC4对PC3进行ping操作，如图7-3所示可以看到顺利ping通了，说明vlan40中的PC对vlan30中的PC是通的。图7-4PC3对PC4ping测试PC3对PC4进行ping操作，如图7-4所示，可以看到也是通的，说明vlan30与vlan40之间是互通的。7.3STP生成树测试如图7-5所示，可以查看生成树状态：图7-5查看生成树的信息在交换机上HJ-SW-1输入命令showspanning-tree，可以看到端口E0/3为根端口，状态为转发状态，E0/2位替换端口，状态为阻塞状态。说明VLAN10选择了E0/3端口。E0/3连接的是核心交换机HX-SW-1，当我们把这个交换机断电后再查看VLAN10的生成树状态。图7-6查看端口状态可以看到端口E0/2从阻塞状态变为转发状态，替换端口也变为根端口。说明在交换机HX-SW-1断电的情况下，会自动选择替换端口来转发数据。7.4财务部与总经办单向访问测试举例测试PC0和PC2能ping通PC3，但是PC3ping不通PC0和PC2：首先PC0和PC2对PC3进行ping通测试，如图7-7、7-8所示：图7-7PC0对PC3的ping通测试图7-8PC2对PC3的ping通测试可以看到是ping通的，说明财务部和总经办是可以访问PC3的。然后PC3对PC0和PC2进行ping通测试，如图7-9所示：图7-9PC3对PC0和PC2的ping通我们可以看到图中信息是不通的（type=3，表示目标不可到达），说明财务部与总经办单向访问时成功的。7.5NAT实现测试首先在PC3上对公网00进行ping通测试。如图7-10：图7-10PC3对公网的ping通显示成功ping通，说明NAT配置成功。如图7-11所示，可以查看地址转换情况：图7-11地址转换查看PC3成功ping通后，有了流量经过，在firewall设备上可以查看地址转换信息，输入命令showipnattranslations，可以看到PC3的ip地址成功转换为公网地址00。7.6VPN连通性测试如图7-12，查看对等体之间构建的IPSECSA：图7-12对等体之间构建的IPSECSA在R2路由器上输入命令showcryptoipsecsa如图7-12可以查看加密隧道在和之间建立，用于网络和之间的流量。如图7-13所示，为对等体之间internet连接：图7-13对等体之间internet连接在路由器R2上输入命令showcryptoisakmpsa可以看到对等体之间构建的internet安全连接和密钥管理协议，状态应始终为QM_IDLE。如果状态是MM_KEY_EXCH，则表示配置的预共享密钥不正确，或对等体的IP地址不相同。如图7-14，为PC9对PC3的ping通情况：图7-14PC9对PC3的ping通在VPN内的测试机PC9上进行对内网PC3的ping通，可以看到ping通了，说明VPN配置成功。7.7冗余备份测试如图7-15、7-16所示，在交换机HX-SW-1和HX-SW-2的状态查看：图7-15查看HX-SW-1状态图7-16查看HX-SW-2状态在两台核心交换