【《企业网络拓扑设计与实现案例分析》6500字】

企业网络拓扑设计与实现案例分析目录TOC\o"1-3"\h\u14262企业网络拓扑设计与实现案例分析 1189591.1网络分层设计思想 1282311.2网络拓扑结构 2220221.3企业有线部分的解决方案 2120431.1.1综合布线系统设计 227881.1.2IP地址规划及VLAN的划分 3152431.1.3接入层设计 4128441.1.4汇聚层设计 4299471.1.5核心层设计 6141251.1.6出口设备配置 1252861.4企业无线部分的解决方案 1310861.4.1无线拓扑设计 132221.4.2wlan数据规划 14159851.4.3wlan配置 151.1网络分层设计思想在企业网络的设计过程中，我采用了自底向上的三层网络结构设计思想，分别为核心层，汇聚层和接入层。如图1.1所示图1.SEQ图\*ARABIC1网络分层设计模型分层设计可以让每一层都有自己独立的功能，可以将复杂的网络管理变得更简单。核心层是企业网络的骨干，主要负责企业各种网络设备之间的高速连接以及外网的通信。因此我们在核心层使用了两台网络设备，提高了核心层通信的可靠性。汇聚层在核心层和接入层之间，主要是将不同接入层的流量汇聚在一起，然后交给核心层进行转发，有利于减轻核心层设备的压力。接入层主要是给终端用户提供上网服务，该层网络设备的物理接口数量要多于其他两层。1.2网络拓扑结构按照三层网络架构设计思想，设计出的网络拓扑图如图1.2所示。图1.2企业网网络拓扑图1.3企业有线部分的解决方案1.1.1综合布线系统设计按照综合布线系统的国际ISO11801标准，企业网的综合布线系统可以由以下几部分子系统组成。(1)工作区子系统设计在办公区域布线时，主要减小所布设线缆对人的干扰，所以在布线的时候尽量紧贴墙壁或制作特定的线槽走线。在设置信息插座的时候，要适当的靠近各种工作设备，比如：打印机，传真机以及办公电脑等，然后根据企业电网的不同类型，选择不同的电源接口设备，严格按照ISO11801标准来执行。(2)水平子系统设计水平子系统在铺设管道方面，使用PVC凹槽的方式来施工，该类型管道本身阻燃等级较高，可以保证线缆不受外界高温的影响。水平线缆应该被铺设在地面或者房顶上，线缆两端分别设置在使用者的办公区域以及设备的主控室。所有铺设的金属管道线槽应该保持接地良好，每个交换机所使用的线缆要严格按照标准进行单独的布线，防止其他类型的线路对网络数据通信传输造成干扰。(3)垂直子系统设计垂直子系统在管理子系统和主机之间的线缆连接中，如果外围有电磁信号干扰，则会对其造成影响。为了避免这种情况的发生，我们采用竖井的方式进行设计，并加以弱点保护，保证用户的通信功能不会受到电磁信号的干扰。(4)管理子系统设计管理子系统要对各个部门的网络设备进行整合管理。对于各个子管理系统来说，通过分别设置一个小型信息机柜，来将管理子系统所要管理的每个交换机以及其他网络设备进行一个集中的管理。(5)设备间子系统设计各个部门使用的网络设备都需要在设备室进行数据收集，因此在设备间要配置相关的维修装备，比如：备用双绞线，备用交换机，网线连通测试仪，剪线钳等等。设备间的基本要求如下：1.透气通风，无尘土，有长时间的照明系统。2.有合适的消防系统1.对设备间的地面进行加固处理，保证地面的强度。4.具有一定的降温系统，防止设备过热。1.1.2IP地址规划及VLAN的划分在进行VLAN设计的时候，我把一个企业中的总经理部，市场部，财务部及无线用户分别划分到4个不同的VLAN中。为了节约公司公网的IP地址，在进行企业内网的IP地址规划时，尽量使用私网IP地址，且各个VLAN之间使用不同网段的私网IP地址。IP地址的规划与VLAN的划分如表1.1所示。表1.1IP地址及VLAN的划分部门IP地址前缀子网掩码VLANID总经理部VLAN1市场部VLAN10财务部VLAN20访客VLAN11企业无线用户VLAN22我将不同部门的人放在不同的VLAN内，主要是为了实现不同部门间的二层数据隔离，将广播域的范围缩到最小。1.1.3接入层设计在接入层交换机上，由于只是为了给某个部门提供接入上网服务，不需要做什么复杂的路由策略，只需要具备接入接口多和接口带宽适中就行。在这里，我选择华为S2720-52TP-EI作为接入交换机，该交换机具有32个下行百兆口，满足企业接入层设备的要求。在接入层交换机上，需要按照表1.1所示的VLAN规划，将属于不同部门的物理接口划分到相应的VLAN中去。在交换机与用户连接的链路属于接入链路，该链路不用接收任何STP报文，所以在交换机上，将属于这种链路的端口设置为边缘端口。该类型的边缘端口不接收处理配置网桥协议数据单元报文，也就意味着不会进行生成树的拓扑计算，可以直接跳过STP端口选举及阻塞过程，直接进入转发状态，且不经历时延，可以最大程度地节约网络设备CPU资源。[SW3-Ethernet0/0/1]stpedged-portenable1.1.4汇聚层设计汇聚层设备主要是将来自不同部门的流量进行汇聚，然后在转发到核心层设备中。我选择S5730-HI系列盒式敏捷交换机作为汇聚层设备，该设备具有最多48口千兆接入，4*10GE上行接口，有丰富的路由策略，完全可以满足企业对汇聚层设备的要求。在汇聚层交换机上，为了防止二层交换环路，形成广播风暴，我在汇聚层交换机上运行MSTP协议，该协议可以实现不同VLAN间流量的分担，使不同VLAN的流量可以走不同的路径，极大的提高了物理链路的使用效率，这种负载分担需要将不同的VLAN映射到不同的实例里面，以方面交换机进行转发处理操作。关键配置如下：[SW1]stpmodemstp[SW1]stpregion-configuration[SW1-mst-region]regionhou[SW1-mst-region]region1234[SW1-mst-region]instance10vlan1011[SW1-mst-region]instance20vlan12022[SW1-mst-region]activeregion其他交换机配置同理。选择交换机的STP模式为MSTP，在这里为了流量的负载分担，我们将VLAN10和VLAN11的流量走同一条路径，VLAN1、VLAN20和VLAN22的流量走另外一条路径。MSTP有选择根桥，根端口的机制，为了让不同VLAN的流量走不同的路径，我们可以将实例10的根桥与实例20的根桥不同，这样不同的生成树实例，它所阻塞的路径就各不相同。[SW3]stpinstance20rootprimary[SW3]stpinstance10rootsecondary上面的两行代码表示的意思是:交换机SW3为实例20的根桥，而在实例10中，SW3则为非根桥。非根桥表示该设备永远不可能成为根桥。在交换机SW4中的设置跟SW3刚好相反。在汇聚层与核心层的物理链路上，不需要划分VLAN，为了方便以后修改MSTP实例映射的时候，不需要改动这部分链路的配置，所以在这部分链路上，默认所有的VLAN都可以通过。在汇聚层交换机上执行以下命令：[SW3-Ethernet0/0/4]portlink-typetrunk [SW3-Ethernet0/0/4]porttrunkallow-passvlanall1.1.5核心层设计选择CloudEngineS6730-S系列交换机作为核心层交换机，该交换机具有48口万兆接入，6*40GE上行，满足企业网络的数据转发需求。（1）创建VLANIF接口核心层网络设备选择的是交换机，为了使核心层交换机有转发不同网段数据的能力，我在核心层交换机上启用了VLANIF接口，该接口是一个逻辑的三层接口，就相当于路由器的一个三层物理接口。首先，在交换机上创建一个VLANID=1的VLAN，然后创建其相应的三层VLANIF接口，最后配上IP地址。[SW1]vlan1[SW1-vlan1]intvlanif1[SW1-Vlanif1]ipaddress（2）进行链路的手工捆绑核心层交换机是内网用户互相通信的关键设备，它们运转状态的好坏，在一定程度上影响了内网用户通信的质量。在两个核心层设备之间启用链路捆绑协议，让它们之间的多根物理链路逻辑上绑在一起，形成一根逻辑链路组，在这根逻辑链路组中，所有的组成员链路都是一种相互备份的状态，实现了链路的冗余备份，避免了单根链路故障所引发的内网通信故障。采用手动链路捆绑模式，可以让逻辑链路组内成员全部处于转发状态，而自动协商捆绑模式形成的逻辑链路，组内成员有一部分是处于休眠状态，等转发链路故障以后，才会进入转发状态，这在一定程度上造成了链路带宽的浪费，所以在这里选择手动链路捆绑模式。[SW1]interfaceEth-Trunk12[SW1-Eth-Trunk12]portlink-typetrunk[SW1-Eth-Trunk12]porttrunkallow-passvlan2to4094[SW1]interfaceGigabitEthernet0/0/1[SW1-GigabitEthernet0/0/1]eth-trunk12[SW1]interfaceGigabitEthernet0/0/2[SW1-GigabitEthernet0/0/2]eth-trunk12（3）使用VRRP提高网关冗余性图1.3核心层设备拓扑在图1.3中，核心层SW1和SW2作为核心设备，它们上面有企业内网终端用户访问不同网段的网关，所以为了避免单网关故障造成的通信问题，在这里，我选择使用VRRP协议实现网关的冗余备份。虚拟网关地址54作为内网设备的默认网关，设备VRRP组的优先级默认为100。在同一个VRRP组中，优先级数值大的为主设备，其余的为备设备。SW1在VRRP组20的优先级设为105，而SW2的VRRP组20的优先级不变，这样在VRRP组20中，SW1将作为备设备，SW2将作为主设备，所有以54为默认网关的设备，在上网的时候，将优先走SW2路径，当SW2故障以后，SW1将成为VRRP组20的主设备，承担流量转发的责任，实现了路径的备份倒换。[SW1]interfaceVlanif20[SW1-Vlanif20]ipaddress52[SW1-Vlanif20]vrrpvrid20virtual-ip54[SW1-Vlanif20]vrrpvrid20priority105[SW2]interfaceVlanif20[SW2-Vlanif20ipaddress53[SW2-Vlanif20]vrrpvrid20virtual-ip54以上命令只是当设备发生故障以后，可以快速的进行主备设备的倒换。如果核心交换机的上行链路发生故障，如图1.4中的SW1-SW6之间的直连链路，这种情况VRRP组将不会发生主备倒换，这样容易让走SW1-SW6路径的流量丢失，造成流量黑洞。此时就需要将核心交换机的VRRP组与上行链路联动，当上行链路发生故障时，与该上行接口相关联的VRRP组设备的优先级自动减30，然后重新参与主备设备选举，尽量避免由于上行链路故障造成通信的故障问题。[SW1-Vlanif20]vrrpvrid20trackinterfaceGigabitEthernet0/0/6reduced30图1.4核心交换机上行链路发生故障（4）使用ospf协议实现内网的互通。为了实现内网用户三层路由信息的互通，在这里选择OSPF作为企业网的路由选择协议，把核心层设备以及其上层设备划分到骨干区域Area0中，并取一个域内唯一的Router-id。在OSPF进程中，将该设备的所有直连网段宣告进OSPF进程中。在区域Area0内部，所有具有三层地址的设备共同维护同一个链路状态信息库，具有相同的OSPF路由条目表。[SW1]ospf10router-id6[SW1-ospf-10]area0[SW1-ospf-10-area-]network55[SW1-ospf-10-area-]network55[SW1-ospf-10-area-]network55[SW1-ospf-10-area-]network55[SW1-ospf-10-area-]network55[SW2]ospf10router-id2[SW2-ospf-10]area0[SW2-ospf-10-area-]network55[SW2-ospf-10-area-]network55[SW2-ospf-10-area-]network55当SW3所连接的用户通过SW3→SW1→SW6访问网络时，如果回包路径为SW6→SW2→SW1→SW3，这就产生的次优路径，如图1.5所示。OSPF的cost是通过流量的入接口cost总和来计算的，所以可以通过修改回包流量的入接口cost来解决。在SW2的接口视图下，将ospf的接口cost数值改大，这样回包流量就会优先走接口cost总和小的路径。当SW4下用户访问网络时，为了避免次优路径，SW1的配置同理。[SW2]intvlanif10 [SW2-Vlanif10]ospfcost2图1.5次优路径图（5）配置DHCP服务企业的每个上网用户都需要分配一个内部唯一的私网IP地址，手工配置耗费人工资源，所以在这里使用DHCP自动分配IP地址。在SW6上分别创建三个个全局地址池VLAN1，VLAN10和VLAN20，这三个地址池分别给各自VLAN内的用户动态分配IP地址。在配置DHCP的过程中，将所分配地址的网关设为距离终端用户最近的默认网关地址，并将所分配地址的掩码与网关接口的掩码一致。执行excluded-ip-address命令,将核心层交换机已使用的IP地址在地址池中排除，避免该地址被分配后，造成同一个局域网内的IP地址冲突。设置DNS域名解析服务器的地址，当员工使用域名访问外部网站的时候，可以直接通过DNS服务器获取相应域名的IP地址，最后将分配后的IP地址设置租期为3天，当3天租期过后，自动收回该IP地址的使用权。[SW6]ippoolvlan10[SW6-ip-pool-vlan10]gateway-list54[SW6-ip-pool-vlan10]networkmask[SW6-ip-pool-vlan10]excluded-ip-address53[SW6-ip-pool-vlan10]dns-list[SW6-ip-pool-vlan10]leaseday3VLAN1和VLAN20的DHCP地址池配置同理。配置完DHCP地址池以后，就需要在本设备中距离用户最近的三层接口下使能DHCP服务，由于本设备的三层接口与用户不在同一个局域网内，所以在这里需要在接口下启用全局地址池的方式来分配IP地址。[SW6]intvlanif16[SW6-Vlanif16]dhcpselectglobal（6）配置DHCP中继SW6做为DHCP服务器的配置已经完成，但是如果想跨三层设备分配ip地址，这时候就需要在沿途的三层设备上配置DHCP中继功能。因为DHCP中继可以让客户端的DCHP发现报文跨越三层设备传递到DCHP服务器中。在接口下执行dhcprelayserve-ip命令，指定分配IP地址的地址[SW1]dhcpenable[SW1]intvlan10[SW1-Vlanif10]dhcpselectrelay[SW1-Vlanif10]dhcprelayserve-ipSW2配置同理。（7）网络管理接口为了让企业网络管理员更加方便的管理网络设备，在这里，我使用了具有数据加密功能的远程登录协议SSH。当网络设备发生故障时，在企业内部的网管不需要到设备所处地，只需要连接上企业内网，使用SSH登入发生故障的网络设备，就可以进行故障的处理。在被管理设备的AAA认证视图下，新建一个网络管理员用户tiger，将这个用户的优先级设置为最大，优先级最大表示该用户可以执行任何配置操作。[SW1]intvlanif88[SW1-Vlanif88]ipaddress8[SW1-aaa]local-usertigerprivilegelevel15passwordcipherhou[SW1-aaa]local-usertigerservice-typessh 在设备的管理视图下，启用AAA认证，并允许虚拟终端使用SSH协议登录设备。[SW1]user-interfacevty04[SW1-ui-vty0-4]authentication-mode-aaa[SW1-ui-vty0-4protocolinboundssh（8）基于时间的ACL在白天的上班时间，可以通过配置ACL命令，实现让内网部分主机禁止访问互联网的目的。在网络设备上设定好每天的上班时间段，然后配置ACL命令，拒绝/24和/24网段的用户在工作时间内访问互联网及内网服务器，并在SW6与防火墙之间的接口，出向调用ACL，这样极大的节约了企业网出口的带宽资源。[SW6]time-rangeworkday08:00to11:30working-day[SW6]time-rangeworkday13:30to18:00working-day[SW6-acl-basic-2001]ruledenysource55time-rangeworkday[SW6-acl-basic-2001]ruledenysource55time-rangeworkday[SW6]intg0/0/8[SW6-GigabitEthernet0/0/8]traffic-filteroutboundacl2001在远离/24网段用户的设备上调用ACL，可以避免该ACL策略影响网段用户内网间的通信。1.1.6出口设备配置（1）NAT技术具有私网IP地址的数据包，是不可以被公网设备进行转发的，所以就需要将内网用户的私网ip地址，转换为公网ip地址来进行因特网的网络访问服务。在防火墙上配置名为ip2的公网地址池，公网地址范围为00/24-10/24。转化模式为Pat模式。这种模式将私网IP地址转化为公网IP地址加端口号的形式，让一个公网地址可以对应多个私网IP地址，很好的节约了公网地址。[FW]nataddress-groupip2[FW1-address-group-ip2]modepat[FW1-address-group-ip2]section10010在防火墙上配置私网IP地址到公网IP地址的地址转换策略，当用户数据由内网访问外网时，数据包的源地址将由原来的私网IP地址变为公网IP地址，当用户数据由外网回包给内网时，回包数据包的源地址将由原来的公网IP变为私网IP地址。[FW]nat-policy[FW1-policy-nat]rulenametrust2untrust[FW1-policy-nat]source-zonetrust[FW1-policy-nat]destination-zoneuntrust[FW1-policy-nat]source-address24[FW1-policy-nat]source-address24[FW1-policy-nat]source-address24[FW1-policy-nat]source-address24[FW1-policy-nat]source-address24[FW1-policy-nat]actionnataddress-groupip2为了让在外办公的人员可以访问内部的FTP服务器，这里使用NATserver技术，该技术将内网服务器的私网IP地址映射为外部公网IP地址。在外办公人员只需要记住服务器的公网IP地址，就可以通过互联网访问内部FTP服务器。[FW1]natservera0global00inside(2)静态默认路由配置企业网的边界设备是内网用户访问外网用户的出口，它需要让内网设备获取外网的路由。如果用动态路由选择协议，这样会让外网路由全部进入内网设备的路由表中，给内网设备增加了运行的压力。通过在边界设备上配置一条指向运营商设备的默认路由，然后在边界设备的动态路由选择协议视图上引入该静态默认路由的方式，实现一条指向外网的静态默认路由下放，这样所有的内网设备的路由表中仅有一条默认路由，极大的减轻了内网设备的运行压力。[FW]iproute-staticGigabitEthernet1/0/0[FW1-ospf-10]network1.4企业无线部分的解决方案1.4.1无线拓扑设计选择瘦AP的组网方式，对企业进行无线方面的设计。瘦AP可以做SSID，信道，认证，信号强度等进行全局设计。虽然设置无线控制器（AC）比设置无线路由器要复杂一些，但是瘦AP的组网方式可通过AC产品对AP进行集中管理，极大方便了企业网管人员对AP的配置与维护。在WLAN的组网设计中，我选择二层旁挂式组网方式，典型的组网拓扑图如图1.6所示。图1.6典型二层旁挂式组网拓扑图旁挂式组网可以仅处理AP的管理业务，AP的数据业务经过配置，让数据流量不经过AC直接转发到上行网络。1.4.2wlan数据规划企业的无线上网用户分为两类：外来访客和企业员工，所以在WLAN数据规划的时候，分别规划不同的私网地址段给这两类用户，方便以后针对不用的用户群体，做不一样的安全策略。Wlan数据规划表如表1.2所示。表1.2Wlan数据规划表AC数据规划表配置项数据DHCP服务器AC作为DHCP服务器为AP分配IP地址，同时作为AP的网关。SW1作为DHCP服务器为用户分配IP地址，同时作为用户的网关AP的IP地址池-53移动用户的IP地址池Employee：-53Guess：-53AC的源接口IP地址54/24AP组名称：Guess引用模板：VAP模板，域管理模板名称：employee引用模板：VAP模板，域管理模板域管理模板名称：Guess国家码：CN名称：employee国家码：CNSSID模板名称：Guess国家码：CN名称：employee国家码：CN安全模板名称：Guess安全策略：开放系统名称：employee安全策略：WPA-WPA2+PSK+AES密码：Huawei@123VAP模板名称：Guess转发模式：直接转发业务VLAN：VLAN111引用模板：SSID模板，安全模板名称：employee转发模式：直接转发业务VLAN：VLAN111引用模板：SSID模板，安全模板1.4.3wlan配置在AC上需要创建一个VLANIF接口并在接口下启用DHCP接口地址池模式，用于给AP分配IP地址，[AC1]interfacevlanif11[AC1-Vlanif11]ipaddress5424[AC]dhcpenable[AC1-Vlanif11]dhcpselectinterface在无线拓扑设计中，将AC旁挂在SW1上，而无线用户的IP地址则由SW1负责分配。在SW1上启用