【《中型企业计算机网络规划与设计-以利S商贸有限公司为例》16000字】

中型企业计算机网络规划与设计—以利S商贸有限公司为例摘要随着信息科技的发展,各个行业及领域的信息化建设日益成熟和深入,越来越多的企业正在完成对已的信息化转型工作,这也造成了企业对内部信息系统的高度依赖。而在此其中,网络系统的稳定运行及服务质量水平愈发引得高度关注。本论文针对利来商贸有限公司总部的老旧网络进行重新设计规划，并且创建一条总部与分部之间的私密连接网络，保障公司总部与分部之间信息交换的安全性，结合现有的计算机网络技术及相关各种运行协议设计出一套能实现有效的信息交换和共享，且充分考虑今后发展壮大而产生的分公司的接入扩展性，以及保障企业内部网络的安全性。本论文阐述了该办公网络系统的设计和实现方法，包括网络系统的设计原则、网络路由技术选择等。论文使用eNSP模拟器模拟网络系统中交换机、路由器、防火墙等设备的拓扑结构以及配置，配置中将采用VLAN、DHCP、ipsecvpn等相关技术,设计出一个简洁、稳定、安全、效果好的网络系统。关键词：VLAN；DHCP；ipsecvpn；目录摘要 [11]在公司的各个楼宇设备之间安装了一个汇聚交换机,此交换机也可以是工作组交换机的汇聚节点,主要是为公司各个地区间的横向流量提供保障,并且保证了本地区间与公司核心层之间的链路通信。由于汇聚层将大量工作组连接在整个网络中,并通过模块化设计扩展至上联核心级设备,所以需要具备较高的转发性能和传输速度,用以支持与各个部门间的高密度流量传送。根据本设计中利来商贸有限公司对网络的整体需求我们选用了华为S5720-28X-PWR-SI-AC交换机。接入层交换机使用超六类屏蔽双绞线连接华为S5720-28X-PWR-SI-AC交换机。该交换机有24个10/100/1000Base-T端口，用来与接入层交换机的互联，有4个复用SFP千兆端口(Combo)4个万兆SFP+端口，使用其中的2个万兆SFP+上行端口通过OSX010000SFP+光模块连接尾纤和光纤连接至法兰分线箱中实现光缆与光缆之间的熔接和汇聚，连接至核心层交换机互联。在办公楼A、办公楼B、运输楼以及综合楼4栋建筑的汇聚层使用MSTP+VRRP技术防止汇聚层交换机的损坏导致的断网。同时汇聚层交换机包含有各栋楼的DHCP地址池，进行IP地址的自动分配。并且每栋楼的无线网关也设置在汇聚层交换机中。4.2.4接入层设计接入层主要是为了工作人员能够直接使用的网络,因此需要对整个网络实施逻辑隔离,也负责整个网络的安全与稳定性。在实际的生产环境中大部分的部门职责不同且基本占据了一层楼，不同部门占据同一层楼的情况下人数也比较少。所以我们根据这一特点给每每层配置一台交换机作为接入层设备，在每个交换机上划分各自的VLAN，为减少路由器的路由条目，提高整个网络的数据转发性能。考虑到政府网络的用户量较小,并且人员使用的IP地址有较低流动性，因此采取分发固定IP地址的方式显然符合网络安全的需求,借助简单的IP分配技术,这样就解决了IP地址分发的问题。终端PC通过超五类非屏蔽双绞线连接至华为S3700-28TP-SI-AC二层交换机，以满足100MB到桌面的带宽要求，使用超五类非屏蔽双绞线连接至汇聚层，实现上行口的千兆级互联。在交换机依据网络IP及VLAN规划设置完成相应VLAN的划分，下行接口依据楼栋的不同以及需求的不同进行划分；在办公楼A、办公楼B、运输楼、综合楼，餐厅的接入层中有单独的交换机用于无线AP的连接。5网络系统具体实现本次设计使用eNSP模拟器来模拟实现整个网络的搭建以及测试。ENSP(EnterpriseNetworkSimulationPlatform)是一个由华为开发的、可扩充的、图形化操作的网络模拟工具平台,主要针对公司的路由器、交换机系统进行软件模拟,全面展示真实设备实景,并提供了大型的网络应用仿真功能,使广大用户都有机会在不是实际使用的情形下能够仿真演练,掌握网络应用技能。打开EnterpriseNetworkSimulationPlatform的拓扑界面，可以看到EnterpriseNetworkSimulationPlatform模拟器的界面非常清晰，设备的类型也比较丰富，极大限度的还原了现实的配置场景，我们可拉出里面的设备，根据需求划分区域模块，然后进行添加设备。本次设计的实现因为规模过于庞大，因为硬件原因无法全部还原，所以重复类型的场景就不进行搭建，而是选出不懂场景来进行拓扑的搭建。因办公楼A、办公楼B，运输楼和综合楼的职能和属性类似，所以这部分以综合楼为例进行搭建，代表生产区。餐厅和3栋宿舍楼同属生活区，所以以3号宿舍楼搭建拓扑代表生活区。具体如图5-2所示，图5-2：ENSP模拟拓扑图5.1网络技术实现我们使用EnterpriseNetworkSimulationPlatform模拟器搭建好拓扑图后，双击需要配置的设备图标，就会弹出和现实相同的终端配置界面，然后就可以根据需求对设备进行相应的配置。5.2VLAN技术的配置与实现本次设计是根据部门来进行VLAN的划分，首先创建好VLAN，并在相应的VLAN里配置划分好IP地址和子网掩码，然后设备之间的连接来将端口划分给相应的VLAN。一般情况下VLAN中配置的IP地址为客户端的网关，但大部分接入层交换机的VLAN是不配置IP地址的，只是启到一个传递的作用。在综合楼汇聚层交换机（ZHHJ）创建和划分好VLAN。并给VLAN做好备注相应的备注，方便后期的辨认和区分。具体配置如下图所示：图5-3：创建VLAN图5-4：划分端口到VLAN图5-5：配置VLAN的IP和备注5.3无线技术实现无线网络的覆盖了办公楼A、办公楼B、运输楼、综合楼以及餐厅和地下停车场，所以本次说明中以综合楼的无线搭建为例：综合楼的共需要22个无线AP方可实现整栋楼的无线网络覆盖，所有无线AP的网络接入到1楼设备间的接入交换机中。接入交换机在接入同一机柜内的综合楼汇聚层交换机（ZHHJ），综合楼的无线AP和STA的网关都配置在综合楼汇聚层交换机（ZHHJ）中。然后无线AP和STA的地址池设置在和核心交换机互联的AC1中，在综合楼汇聚层交换机（ZHHJ）配置中继指向AC。具体配置如下图：图5-6：汇聚层交换机做无线地址池中继图5-7：AC做无线地址池图5-8：AC做无线配置5.4DHCP技术的配置与实现本设计中采用DHCP来分配地址，方便统一管理。其中办公楼A、办公楼B、运输楼以及综合楼是公司比较重要的地方，各种工作人员的终端也会存有一些个人工作的重要文件，所以这几个区域的IP地址采用静态的DHCP来分配地址，方便溯源。每当有新员工入职或者老员工转岗时，会向网络安全运维部门提出申请，网络安全运维部门审核通过之后会给分配相应的IP并且与其工作的电脑绑定MAC地址。而餐厅以及宿舍楼则采用动态DHCP分配地址具体配置如图5-9所示图5-9：静态地址池并绑定MAC地址5.5vrrp的配置与实现在聚集层与核心层之间通过设置VRRP来实现双机热备,一共二台核心交换机,与二台核心层交换机互联,而聚集层交换机与AC每台上联二条光缆,并分别连通在二台核心层交换机中。不过因为这会导致环路的产生,所以还引入了MSTP作为防环协议,并使用了MSTP进行负荷分摊,同时使用了MSTP多实例生成树协议,把同一楼栋里的VLAN100、VLAN137、VLAN143、VLAN147分隔为INSTANCE1,把VLAN138、VLAN144、VLAN148、VLAN200分隔为INSTANCE2,并通过配置优先级实现了HX1为实例一的主根,而HX2为实例二的主根。当网络正常时，负载分担则体现在有线网络的数据流通过INSTANCE1经过HX1进行转发，无线网络的数据流通过INSTANCE2经过HX2进行转发，减少核心层单台交换机的压力；在单台核心层交换机故障时，能及时相应，并把所有的网关、地址池等协议转移到另一台正常工作的核心层交换机中。具体配置如下图：图5-10：HX交换机配置VRRP图5-11：ZHHJ、HX和AC交换机配置MSTP5.6防火墙技术的配置与实现在总部防火墙上把1口和3口更改为交换模式，创建VLAN并且配置IP地址，然后将VLAN147和VLAN1划分给1口，将VLAN148和VLAN1划分给3口。VLAN1用于信息的传输，VLAN147和VLAN148用于通道的搭建。同时将在内网划分为梅毒trust试验区,在外网划分为untrust区,而服务器群则定义为DMZ区。具体配置如下图：图5-12防火墙VLAN及区域配置为了实现在2条运营商宽带突然有一条故障的情况下会自动切换出口路线，将在总部防火墙上配置IP-Link来检测2条宽带的通信情况，并且保证总部和分部之间的互联通常，再设置2条检测线路的IP-Link。具体配置如下：图5-13防火墙IP-Link配置配置好IP-Link后需要将其应用到路由上，具体配置如下：图5-14防火墙路由配置而一般情况下为了不让所有的数据包都从同一个运营商出口走，造成数据堵塞，所以在防火墙上设置只能选路策略，让综合楼的数据从电信出口，宿舍楼的数据从移动方向出口。具体配置如下：图5-15防火墙策略路由配置当内网用户想访问外网时，因为是局域网的IP地址，无法在公网上使用，所以采用了NAT装换，当内网的数据包到达防火墙时就会将其转换为公司申请的公网IP，然后传输到网络上，然后公网的数据传回来时会在防火墙处进行解析，解析完成后将IP转换为公司内部的局域网IP，然后放行至局域网内。而在访问分公司的时候防火墙会解析其目的地址，发现为分公司的地址后将不做IP地址转换，直接进行转发，=。具体配置如下：图5-16防火墙NAT配置公司总部与分部之间的互相通信则采用IPSec策略，将分部与总部之间的通信形成点对点，这样数据将不会出现在公网上。并且使用IP-Link来检测2条通道的通信情况，方便实现自动切换目的。因前文已做说明，此处不再次展示。具体配置如下：图5-17防火墙IPSec配置5.7Telnet远程管理的配置与实现因工作需要，需远程配置防火墙，所以开通telnet和SSH服务，方便远程管理。telnet密码为abc1234!。图5-18配置telnet5.6服务器的配置与实现公司内部有属于自己的服务器集群，各种工作文件等可以上传到服务器里，但因为如此，所以服务器需要做一些限制：工作区域的IP地址可以访问服务器，但是其他区域的地址就不能访问，比如餐厅、宿舍和无线网络，都不能访问服务器。只需要在核心层交换机配置一条ACL限制允许工作区域的IP访问服务器，最后一条禁止所有IP访问服务器即可。演示如下图：图5-19此时的IP地址为综合楼IP图5-20、图5-21访问ftp和http图5-22此时的IP地址为宿舍楼IP图5-23访问ftp和http均失败6网络系统整体测试6.1IP地址的获取综合楼的PC开启DHCP后会获得固定的IP，宿舍楼的PC开启DHCP后会随机获得已划分网段的IP，结果如下图所示：图6-1：综合楼PC获取IP地址图6-2：宿舍PC获取地址6.2网络的联通性测试局域网内部能否互相访问，总部的综合楼工作人员能否访问分部。内网人员能否访问到外网且综合楼从电信出口，宿舍楼从移动出口。图6-3：综合楼PC分别ping宿舍楼、AC和分部IP地址图6-4：综合楼PCtracert外网IP地址图6-4：宿舍楼PCtracert外网IP地址6.3测试模拟故障综合楼的pc访问分部用户时经过的是HX1交换机，并且是经过加密的。无线终端的IP地址获取也是通过HX1交换机的，如下图所示：图6-5：综合楼PCtracet分部IP地址图6-6：无线tracetAC管理地址当我们把核心层交换机HX1的下联端口断掉时，此时在测试综合楼PCping分部用户的路径时发现其已自动切换到HX2交换机，同时AP会断开然后从HX2这条路线获取地址。具体如下图所示图6-7：综合楼PCping分部IP地址图6-8：无线tracetAC管理地址当运营商电信的线路出现故障时，此时综合楼的PC端访问外网时路由将会自动切换到移动出口，如下图：图6-9：综合楼数据从移动出口处转发

7结束语文章到此就完了,并针对本次设计工作作了如下总结;本篇主要是围绕着一家中型企业的网络建设项目进行论题探讨的。由本文开始先从企业网络建设的层次模型出发,进而对企业网络系统展开了需求分解。在符合要求的前提条件下,首先给出了分层的企业网络系统设计方案,最后再对企业整体的方案设计加以了总结。并在项目的进行流程中提出了一部分的配置内容,最后再针对企业网络系统的常规测试步骤,展开了试验分析。在试验结论上,能符合企业当初设定网络系统实施方案时的预计条件,也可以适应目前公司对网络系统建设发展的实际要求,还可以让企业网络管理员在日后进行的网络系统维护上大大缓解了工作压力。方案具备了科学、务实、合理的优点。最理想的企业网络方案设计,既能使当前网络系统设计符合目前工作需要,又具有很好的可扩展性,在未来实施企业网络系统升级工程时,即使花上最少代价也可以改建为更先进更完备的企业网络系统。所以,本论文目的就是设计一种最理想的企业网络系统方案设计,使其满足这样的工作需求。互联网的蓬勃发展是很快的,但不是最好的,只是更好适应当前需求的,所以现实应用推动了互联网的蓬勃发展,反过去又推动了应用的蓬勃发展,这也就是我们所追求的理想。

参考文献