【企业网络拓扑设计与实现案例分析6500字】

1 1 21.3企业有线部分的解决方案 2 21.1.2IP地址规划及VLAN的划分 31.1.3接入层设计 4 4 51.1.6出口设备配置 1.4.2wlan数据规划 1.1网络分层设计思想在企业网络的设计过程中，我采用了自底向上的三层网络结构设计思想，分别为核心层，汇聚层和接入层。如图1.1所示核心层汇聚层图1.1网络分层设计模型分层设计可以让每一层都有自己独立的功能，可以将复杂的网络管理变得更简单。核心层是企业网络的骨干，主要负责企业各种网络设备之间的高速连接以及外网的通信。因此我们在核心层使用了两台网络设备，提高了核心层通信的可靠性。汇聚层在核心层和接入层之间，主要是将不同接入层的流量汇聚在一起，然后交给核心层进行转发，有利于减轻核心层设备的压力。接入层主要是给终端用户提供上网服务，该层网络设备的物理接口数量要多于其他两层。1.2网络拓扑结构按照三层网络架构设计思想，设计出的网络拓扑图如图1.2所示。墙无线接入点接入层交换机汇聚层交接入层交换机接入层交换机无线接入点1.3企业有线部分的解决方案1.1.1综合布线系统设计按照综合布线系统的国际ISO11801标准，企业网的综合布线系统可以由以下几部分子系统组成。(1)工作区子系统设计在办公区域布线时，主要减小所布设线缆对人的干扰，所以在布线的时候尽量紧贴墙壁或制作特定的线槽走线。在设置信息插座的时候，要适当的靠近各种工作设备，比如：打印机，传真机以及办公电脑等，然后根据企业电网的不同类型，选择不同的电源接口设备，严格按照ISO11801标准来执行。(2)水平子系统设计水平子系统在铺设管道方面，使用PVC凹槽的方式来施工，该类型管道本1.1.2IP地址规划及VLAN的划分在进行VLAN设计的时候，我把一个企业中的总经理部，市场部，财务部及无线用户分别划分到4个不同的VLAN中。为了节约公司公网的IP地址，在进行企业内网的IP地址规划时，尽量使用私网IP地址，且各个VLAN之间使用不同网段的私网IP地址。IP地址的规划与VLAN的划分如表1.1所示。部门IP地址前缀子网掩码总经理部市场部财务部企业无线用户我将不同部门的人放在不同的VLAN内，主要是为了实现不同部门间的二选择华为S2720-52TP-EI作为接入交换机，该交换机具有32个下行百兆口，满在接入层交换机上，需要按照表1.1所示的VLAN规划，将属于不同部门的该链路不用接收任何STP报文，所以在交换机上，将属于这种链路的端口设置味着不会进行生成树的拓扑计算，可以直接跳过STP端口选举及阻塞过程，直备中。我选择S5730-HI系列盒式敏捷交换机作为汇聚层设备，该设备具有最多48□千兆接入，4*10GE上行接口，有丰富的路由策略，完全可以满足企业对汇在汇聚层交换机上，为了防止二层交换环路，形成广播换机上运行MSTP协议，该协议可以实现不同VLAN间流量的分担，使不同分担需要将不同的VLAN映射到不同的实例里面，以方面交换机进行转发处理10和VLAN11的流量走同一条路径，VLAN1、VLAN20和VLAN22的流量走我们可以将实例10的根桥与实例20的根桥不同，这样不同的生成树实例，它所[SW3]stpinstance20roo上面的两行代码表示的意思是：交换机SW3为实例20的根桥，而在实例10在汇聚层与核心层的物理链路上，不需要划分VLAN,为了方便以后修改MSTP实例映射的时候，不需要改动这部分链路的配置，所以在这部分链路上，默认所有的VLAN都可以通过。在汇聚层交换机上执行以下命令：[SW3-Ethernet0/0/4]porttr选择CloudEngineS6730-S系列交换机作为核心层交换机，该交换机具有48(1)创建VLANIF接口的能力，我在核心层交换机上启用了VLANIF接口，该接口是一个逻辑的三层接□,就相当于路由器的一个三层物理接口。首先，在交换机上创建一个VLANID=1的VLAN,然后创建其相应的三层VLANIF接口，最后配上IP地址。[SW1-vlan1]intvlanif1(2)进行链路的手工捆绑[SW1-Eth-Trunk12]porttrunkal(3)使用VRRP提高网关冗余性在图1.3中，核心层SW1和SW2作为核心设备，它们上面有企业内网终端优先级数值大的为主设备，其余的为备设备。SW1在VRRP组20的优先级设为105,而SW2的VRRP组20的优先级不变，这样在VRRP组20中，SW1将作网的时候，将优先走SW2路径，当SW2故障以后，SW1将成为VRRP组20[SW1]interfaceVlanif20[SW2]interfaceVla如果核心交换机的上行链路发生故障，如图1.4中的SW1-SW6之间的直连链路，这种情况VRRP组将不会发生主备倒换，这样容易让走SW1-SW6路径的当上行链路发生故障时，与该上行接口相关联的VRRP组设备的优先级自动减30,然后重新参与主备设备选举，尽量避免由于上行链路故障造成通信的故障问(4)使用ospf协议实现内网的互通。为了实现内网用户三层路由信息的互通，在这里选择OSPF作为企业网的路域内唯一的Router-id。在OSPF进程中，将该设备的所有直连网段宣告进OSPF进程中。在区域Area0内部，所有具有三层地址的设备共同维护同一个链路状态[SW1]ospf10router-[SW1-ospf-10-area-]network0.0.0.[SW1-ospf-10-area-]network0.0.0.[SW2-ospf-10]area0SW6→SW2→SW1→SW3,这就[SW2]intvlanif10[SW2-Vlanif10]ospfcost2图1.5次优路径图企业的每个上网用户都需要分配一个内部唯一的私网IP地址，手工配置耗费人工资源，所以在这里使用DHCP自动分配IP地址。在SW6上分别创建三个个全局地址池VLAN1,VLAN10和VLAN20,这三个地址池分别给各自VLAN内的用户动态分配IP地址。在配置DHCP的过程中，将所分配地址的网关设为排除，避免该地址被分配后，造成同一个局域网内的IP地址冲突。设置DNS域服务器获取相应域名的IP地址，最后将分配后的IP地址设置租期为3天，当3配置完DHCP地址池以后，就需要在本设备中距离用户最近的三层接口下使能DHCP服务，由于本设备的三层接口与用户不在同一个局域网内，所以在(6)配置DHCP中继SW6做为DHCP服务器的配置已经完成，但是如果想跨三层设备分配ip地址，这时候就需要在沿途的三层设备上配置DHCP中继功能。因为DHCP中继可以让客户端的DCHP发现报文跨越三层设备传递到DCHP服务器中。在接口(7)网络管理接口据加密功能的远程登录协议SSH。当网络需要到设备所处地，只需要连接上企业内网，使用SSH登入发生故障的网络设[SW1-aaa]local-usertigerprivileg在设备的管理视图下，启用AAA认证，并允许虚拟终端使用SSH协议(8)基于时间的ACL在白天的上班时间，可以通过配置ACL命令，实现让内网部分主机禁止访服务器，并在SW6与防火墙之间的接口，出向调用ACL,这样极大的节约了企[SW6-acl-basic-2001]ruled[SW6-acl-basic-2001]rule[SW6-GigabitEthernet0/0/8]traffic具有私网IP地址的数据包，是不可以被公将内网用户的私网ip地址，转换为公网ip地址来进行因特网的网络访问服务。在防火墙上配置名为ip2的公网地址池，公网地址范围为化为公网IP地址加端口号的形式，让一个公网地址可以对应多个私网IP地址，[FW1-address-group-ip2]sectio在防火墙上配置私网IP地址到公网IP地址的地址转换策略，当用户数据由内网访问外网时，数据包的源地址将由原来的私网IP地址变为公网IP地址，当用户数据由外网回包给内网时，回包数据包的源地址将由原来的公网IP变为私为了让在外办公的人员可以访问内部的FTP服务器，这里使用NATserver技术，该技术将内网服务器的私网IP地址映射为外部公网IP地址。在外办公人通过在边界设备上配置一条指向运营商设备的默认路由[FW1-ospf-10]network1.4企业无线部分的解决方案选择瘦AP的组网方式，对企业进行无线方面的设计。瘦AP可以做SSID,信道，认证，信号强度等进行全局设计。虽然设置无线控制器(AC)比设置无线路由器要复杂一些，但是瘦AP的组网方式可通过AC产品对AP进行集中管理，极大方便了企业网管人员对AP的配置与维护。在WLAN的组网设计中，我选择二层旁挂式组网方式，典型的组网拓扑图如图1.6所示。旁挂式组网可以仅处理AP的管理业务，AP的数据业务经过配置，让数据流量不经过AC直接转发到上行网络。企业的无线上网用户分为两类：外来访客和企业员工，所以在WLAN数据规划的时候，分别规划不同的私网地址段给这两类用户，方便以后针对不用的用户群体，做不一样的安全策略。Wlan数据规划表如表1.2所示。配置项数据AC作为DHCP服务器为AP分配IP地址，同时作为AP的网关。Employee:-172.16Guess:-172.16名称：Guess引用模板：VAP模板，域管理模板名称：employee引用模板：VAP模板，域管理模板名称：Guess国家码：CN名称：employee国家码：CN名称：Guess国家码：CN名称：employee国家码：CN安全模板名称：Guess安全策略：开放系统名称：employee安全策略：密码：Huawei@123名称：Guess业务VLAN:VLAN111引用模板：SSID模板，安全模板名称：employee业务VLAN:VLAN111引用模板：SSID模板，安1.4.3wlan配置在AC上需要创建一个VLANIF接口并在接口下启用DHCP接□地址池模式，用于给AP分配IP地址，在无线拓扑设计中，将AC旁挂在SW1上，而无线用户的IP地址则由SW1负责分配。在SW1上启用vlanif111接口，并启用DHCP服务，用于给连接AP在配置AC的过程中，AC的源地址主要用户管理AP,而AP的地址主要是用于跟AC建立CAPWAP数据通信，所以在进行二层旁挂组网时，AC和AP要对外来访客和办公人员分别配置两个不同的AP组，一个为Guess,一个为Employee,并设置AP的认证模式为MAC认证，防止非法AP接入网络。在Guess组中，不需要设置上网密码，直接用终端设备选择相应的WLAN名称即可实现上网功能。在Employee组中，通过设置上网密码和安全策略，来实现对办公人[AC1-wlan-ssid-prof-employee]ssidem[AC1-wlan-sec-prof-e