【《某集团的网络设计案例》3300字】

某集团的网络设计案例目录TOC\o"1-3"\h\u22353某集团的网络设计案例 119321.1网络架构设计 1304281.2网络编址设计 2305531.3核心层设备设计 3243931.4防火墙设计 3115712网络设备选择与实现 3113862.1网络设备选择 3176662.1.1二层设备选择 310222.1.2三层设备选择 426282.1.3出口设备选择 5222642.1.4防火墙设备 658162.1.5服务器的选择 7226722.2无线AP功能的实现 8306382.3DHCP功能的实现 9298472.4VRRP功能的实现 1057632.5NAT功能的实现 12124102.6IPSecVPN功能的实现 13网络架构设计该设计依据壹号科技集团有限公司的实际情况和需求搭建的一个合适的网络框架。网络总体架构设计如下图4-1所示。图4-1网络总体架构设计图如图所示，该网络架构采用典型的架构模式，通过将该三层架构模式再一次进行了细分，终端设备层和接入设备层是相互交叉连接，对接进入层和设备层进行数据汇总处理的是数据汇聚处理层，整个网络的核心骨干是核心层。（1）接入层接入层通常为终端设备或二层网络设备，接入层处于OSI五层模型中的物理层和数据链路层之间，终端设备通过接入层连接到网络，达到相互通信的目的。通过VLAN划分区域，使得各部门方便管理和维护，也为各部门通信提供了足够的带宽。（2）汇聚层这一层是处在接入层与核心层中间的，这一层对接入层设备做一个汇总，该层对接入层设备做一个汇总，方便了网络的管理，通过连接核心层设备，使得核心层设备的负担减少，为了减少成本去增加带宽，在汇聚层设备之间做一个Eth-trunk配置，做链路聚合不仅能够增加了带宽，也减少了企业开销。通过配置MSTP和VRRP实现负载均衡，达到链路和设备的冗余作用，提高网络通信的可靠性。（3）核心层核心层的主要功能就是使得骨干网络之间的数据传输更优更好，所以该层的带宽和可靠性要求较高。通过配置OSPF实现网络的互通，为了保证数据的传输效率，在该层不需要做过多的配置。网络编址设计根据公司各部门的需求，通过划分VLAN，将各部门分隔开来。分配不同网段的IP地址，即使公司规模扩大，也能够满足需求。VLAN的划分和IP地址分配表如下表4-1所示。表4-1VLAN的划分和IP地址分配表部门名称IP网段默认网关VLAN编号管理层192.168.10.0/24192.168.10.25410财务部192.168.20.0/24192.168.20.25420人事部192.168.30.0/24192.168.30.25430销售部192.168.40.0/24192.168.40.25440技术部192.168.50.0/24192.168.50.25450服务器192.168.88.0/24192.168.88.25488无线AP192.168.100.0/24192.168.100.254100分部业务1172.16.10.0/24172.16.10.110分部业务2172.16.20.0/24172.16.20.120核心层设备设计核心层设备通过配置MSTP和VRRP协议，实现链路和设备的冗余，每一台设备和每一条链路都能够充分利用，保证数据的传输实现负载均衡，通过配置把各部门分成两个实例，LSW10作为实例1的根交换机，LSW11作为实例2的跟交换机，当其中一个设备出现故障时，备用设备能够及时更换接替主设备的转发工作，提高了数据传输的稳定性和可持续性。防火墙设计公司内部不仅需要对外网进行访问，也要与公司分部保持联系，所以需要在公司边缘出口处布局一台防火墙，防火墙需要做NAT配置，局域网内的私有地址通过NAT协议转换成公有地址，实现终端用户的上网功能，同时，对外部网络访问公司的内网做一定的限制，保证公司内部网络的安全。公司总部与分部的通信需要建立VPN，根据公司需求，对设备配置IPSecVPN功能，IPSec通过加密的安全服务来保证数据包在网络上可以安全又严密的传输，这样可以较大程度的保护公司信息数据交流的安全。网络设备选择与实现网络设备选择二层设备选择根据公司各部门的需求，二层设备采用华为的S1724G-AC系列交换机，选择该型号交换机的原因是该交换机拥有24个千兆端口，足以满足各部门终端设备的接入，提供多人同步在线上网。36Mbps包转发率以及48Gbps的交换容量，无阻塞高速转发，为各部门高速稳定传输数据提供了保障。S1724G-AC系列交换机性价比较高，在满足需求的同时能够节省开支。该型号设备还拥有丰富的安全特性，拥有多种安全认证方式，如802.1x、NAC等，能够防止非法用户的入侵攻击，对于MAC地址的过滤和设备的端口，该设备均支持过滤的功能，使得公司网络的安全性能得到进一步提升。华为S1724G-AC型号交换机的外观如图5-1所示。图5-1华为S1724G-AC系列交换机外观S1724G-AC系列交换机的参数如图5-2所示。图5-2华为S1724G-AC系列交换机参数三层设备选择汇聚层设备主要将接入层设备的数据进行汇总，然后发送至核心层进行转发，需要较高的带宽和更快转发速度，在核心层需配置部分协议和使用路由功能，以便实现数据流量的负载均衡。根据企业的实际情况，对于三层设备，我们选择了华为的S5735S-L12P4S-A类型三层交换机，该交换机拥有12个千兆的以太网端口，还有4个千兆SFP，端口的数量和带宽已足够满足公司目前的通信需求，预留的接口方便公司以后规模的扩大所用。为了能够快速检测设备链路的故障，该设备配备了功能齐全的以太OAM（IEEE802.3ah/802.1ag）。设备包转发率为33Mbps，交换容量为336Gbps，能够满足公司目前的需求。S5735S-L12P4S-A系列交换机如图5-3所示。图5-3S5735S-L12P4S-A系列交换机外观S5735S-L12P4S-A系列交换机的参数如图5-4所示。图5-4S5735S-L12P4S-A系列交换机参数出口设备选择根据公司要求，为了保证网络数据的可靠且高速传输，出口设备采用的是华为的AR2204-27GE-S系列的路由器，该系列路由器主要是面向中型企业总部或大中企业分支等所设定的设备。该路由器转发性能2Mpps，可带机量为300台PC，采用多核CPU和无阻塞交换架构，具有灵活的业务拓展性，带宽最大可达10Gbps，能够满足公司总部和分部的需求。AR2204-27GE-S系列路由器如图5-5所示。图5-5AR2204-27GE-S系列路由器图示AR2204-27GE-S系列路由器参数如图5-6所示。图5-6AR2204-27GE-S系列路由器参数防火墙设备为了进一步保证企业内部的网络安全，根据公司的需求，在总部网关布局一台华为的USG6305E-AC系列的防火墙，该防火墙拥有较完善的安全功能，由于防火墙的内部布局了转发、加密、模式匹配等协处理引擎，对于包转发的效率得到了明显的提高，也可以显著的提升多项业务的性能，如IPSec业务、AV业务性能。该防火墙还拥有IPS、反病毒和URL过滤等功能，保障了数据内容的安全，避免公司各部门用户和内部服务器受到外部病毒和不法分子的侵害。USG6305E-AC系列防火墙如图5-7所示。图5-7USG6305E-AC系列防火墙图示USG6305E-AC系列防火墙参数如图5-8所示。图5-8USG6305E-AC系列防火墙参数服务器的选择对于服务器的选择，根据公司需求，采用华为FusionServerRH1288系列服务器，该类型服务器的特点为支持24条DDR4内存，内存容量可达3TB，可以解决大容量内存应用存放的需要。支持板载2*10GE，支持2个板载OCP2.0网卡，配置简洁，解决了大多数应用场景的网络需求。FusionServerRH1288系列服务器如图5-9所示。图5-9FusionServerRH1288系列服务器FusionServerRH1288系列服务器参数如图5-10所示。图5-10FusionServerRH1288系列服务器参数无线AP功能的实现配置无线AP时，只需要对AC控制器进行配置即可，信号收发设备AP不需要做过多的配置，配置完成后，公司员工可以连接WIFI进行上网。无线AP的配置过程分为两步，第一步为AP上线，第二步为AP下发，AC控制器配置的步骤和过程如下。AP上线：（1）在AC上指定capwap的元接口。（2）在AC上创建AP组。（3）将AP添加到AP组中。AC给AP下发配置：（1）做安全模板配置。（2）做SSID模板配置。（3）做VAP模板配置，调用（安全+SSID），设置vlan，设置转发模式。（4）把VAP模板应用到AP组射频接口。相关的配置如图5-11和5-12所示。图5-11AC相关配置图5-12AC的相关配置DHCP功能的实现在拓扑中，公司总部使用路由器作为DHCP服务器，与核心层的路由器相连，根据各部门VLAN的划分，给各部门分配不同的地址池，在其他设备做中继配置，使终端设备能给个自动获取到IP地址，使得网络变得简单，并且易于管理。相关配置如图5-13所示。5-13DHCP配置图示在PC上设置DHCP模式，让下面的PC可以自动获得IP地址、网关等，配置如下图5-14所示：5-14PC设置DHCP模式图示VRRP功能的实现根据公司总部的拓扑设计，对LSW06和LSW07做VRRP的配置，保证数据传输的稳定性，根据公司需求，通过配置优先级，组号为各VLAN的ID，实现LSW06交换机作为VLAN10、VLAN12、VLAN20的主交换机Master，LSW07交换机作为VLAN30、VLAN40、VLAN50的主交换机Master。同样，LSW06作为VLAN30、VLAN40、VLAN50的BACKUP备用交换机，LSW07作为VLAN10、VLAN12、VLAN20的BACKUP备用交换机。相关配置如图5-14所示。图5-14VRRP配置图示使用displayvrrp在LSW06上检查一下配置结果，查看结果如图5-15所示。图5-15VRRP配置结果图示使用displayvrrpbrief命令在LSW07上检查VRRP的运行状态，如图5-16所示。图5-16VRRP运行状态图示NAT功能的实现由于工作需要，公司的内部网络需要进行对外网访问，需要在公司防火墙配置NAT，内网的私有地