【《S科技集团网络规划的设计与实现》14000字（论文）】

绪论背景与意义随着现代社会的发展和科技的进步，企业的工作运转都逐渐依赖于互联网和各种网络设备来办公。网络在企业日常运转中不可或缺，但是，传统的网络构造和设备已不能满足公司日益增长的需求。搭建新型主流的局域网，我们企业就可以提高获取公司内部信息和外部信息、分析和处理信息的能力，还可以加快公司的运转效率，从而达到降低公司运营成本的一个效益。计算机或终端设备不断地更新换代，给我们个人的日常生活和企业的日常工作运转都带来了很多便利之处，但有利也有弊，不断更新下也随之出现了问题。现如今的网络越来越庞大和复杂，但是如何对一个局域网网络进行合理的规划是需要大家关注的一个问题。网络的布局是跟社会的发展是同步的，搭建时使用新型的、主流的技术和框架，才能顺应时代的发展，保证企业内部之间方便、快捷的通信以及企业外部与内部之间的资源共享。主要功能和技术措施本论文是研究壹号科技集团有限公司网络规划的建设与实现。公司网络的搭建和配置采用以下技术：（1）使用路由器作为DHCP服务器来配置DHCP，使得网络终端设备都能够实时自动配置获取的IP地址，不用进行手工的配置,方便快捷。（2）给各部门划分VLAN（虚拟局域网），通过VLAN技术来合理的划分各个部门，从而减少一些网络设备的变动和管理开销，防止广播风暴。汇聚层与核心层交换机之间使用链路聚合等技术，把多个物理链路组建成一个逻辑链路，其中一条链路出现故障依然能够传输数据，也提高了链路带宽，实现冗余备份。（3）通过配置OSPF协议，使得公司内部网络能够互通，方便各部门的信息交流。（4）公司边界新增一台防火墙，采用NAT等技术，用于隔离外网，使得内网部分部门可以连到外网，也让外网使用者可以连到公司的FTP服务器，使得外网用户能够共享公司的资源。通过访问WEB服务器，外网使用者也能够了解公司的文化以及各种新闻资讯，对公司来讲达到了一个宣传的目的，提升了公司的曝光度，对公司的品牌建设起到了不可或缺的作用。（5）通过对防火墙配置IPSecVPN，建立tunnel隧道，实现跨区域通信，采用加密算法，防止非法人员对信息的窃取和篡改，使得公司总部与分部之间的业务交流更加安全可靠。

相关技术介绍VLAN技术介绍VLAN的英语名称全拼是VirtualLocalAreaNetwork，中文的完整名称为虚拟局域网。美国由国际电子工业系统与控制自动化与电气工程协会等组织(IEEE)联合提出了一个，这是可以用于标准化的VLAN协议的实现方案来参照的。VLAN定义用于指对位于同一局域网系统覆盖范围内所有相邻系统的局域网设备节点之间或区域边界内网络进行划分的每一个网络物理空间节点的网络划分，将各区域的网络进行隔离开来，这样有助于各区域网络的管理，使得各部门的管理变得简单便捷，也提升了网络通信的效率。VLAN划分还能够起到防止广播风暴干扰的信号产生，VLAN所划分出去的每一个通信区域内均为一个广播域，每一个相邻广播域上的广播通信也互不干扰，而二层交换机没有识别路由的功能，如果没有VLAN对各区域的划分，那么将会形成广播风暴，加重了交换机以及各链路的负担，使得数据的传输变得不安全，也使得公司的正常业务的执行，并且影响设备的使用寿命。在传统的网络中，企业的各部门都处于同一个区域，这样使得各部门之间的通信畅通无阻，可能会导致部门的隐私资料泄露。而交换机长期处于广播状态，增加了设备的开销，长期不仅会导致网络性能的降低，也对链路的带宽造成了浪费。通过引入VLAN技术，能够有效解决传统以太网的不足，VLAN通过控制用户或部门的通信活动，将用户或部门做一个物理隔离，使得网络的性能得到优化和提升，方便了企业的工作交流，同时也使得网络的管理也变得简便。WLAN技术介绍WLAN网英文全译中文称为Wireless网络或英语称为Local或称为AreaNetwork，中文的名称含义即译为计算机无线局域网，是利用计算机原理应用的各种基本无线局域网通信的系统技术方法而逐步将计算机各个主要计算机设备系统通过互联系统建立联系起来，构成与计算机系统可以提供远距离和互相独立联机的通信交换环境网络和资源共享并可以实现远程无线和资源实时共享或交换服务的一种通信和网络体系。在1997年，国际标准IEEE802.11开始正式的对外颁布应用及实施，为整个的无线局域网的接入及技术领域提供出了一套国际的统一无线接入的标准，于在2003年正式开始得到了一次真正的全面的无线应用和发展，经过了科研人员一直不断的开发，并且多次的应用试验和反复地改进技术，正式地对外发布和推出了另一种既兼容于原来的标准的IEEE802.llb标准，同时它本身也同时具有了可支持同时最大提供每秒54个Mbit/s的无线接入数据速率的无线新业务接入协议标准-IEEE802.11g。无线局域网其技术本质以及最大限度的其共同优势特点就是均是用户可以完全通过无线局域网内的其他各种组网方式来互相连接，从而又将使计算机整个无线网络架构中的网络重新进行构建和所有用户终端位置上进行的移动通信都可以更加方便轻松与灵活，而将不再只单纯仅是仅依靠使用一条通信线路电缆就已经将几乎所有的计算机终端全部与其它用户网络连接结合了起来。WLAN这是项无线应用系统它具有了非常的便利的和快速的无线的空中的数据的传送的功能,它也是一个能够很有效的利用射频技术(RadioFrequency)的无线电技术，它用电磁波取代了旧式无线电的局域网络，这样就能使得这个无线的空中局域网络变得更可能利用了一个简单而易使用度的无线存取架构来能让用户能够直接地透过访问它，实现在空中直接地进行无线的通信连接及数据连接，以达到信息速达，非常便利的一种理想状况。DHCP技术介绍DHCP的英文全词被称为DynamicHostConfigurationProtocol，中文名称定义为是一种动态网络中主机的地址配置管理协议，通常也是指被广泛大量的应用于建立在一个较大型和复杂环境的动态局域网络环境系统中，主要技术功能及其作用技术原理主要是指通过集中有效的动态配置和管理地址服务器存储和自动分配服务器的有效IP地址，使在动态网络环境系统过程中几乎所有类型的网络主机服务器均得以动态并安全方便的可靠地实时获得有效IP地址、GateWay地址和DNS服务器地址信息等所有相关配置信息，并最终能够帮助进一步有效提升地址服务器资源的使用率。DHCP服务器客户端它是有以下的三种分配主机IP地址方式：（1）一种是主机它可以自动进行地址分配的方式(AutomaticAllocation)，也就是即就是可以通过一个DHCP客户端服务器为主机自动的指定分配出每一个永久性的可用的主机IP地址，而这只要该DHCP的主机客户端服务器在主机第一次注册登陆时成功或成功从其它DHCP客户端服务器主机端服务器自动连接租用地址主机连接到了这个租用IP地址服务器中后，其客户端自身服务器就将完全的可以永久性的有效的继续的使用着该地址。（2）一种时间动态地址的再分配与使用的方式(DynamicAllocation)，就是当每个的DHCP主机服务器就会自动给所有该主机服务器指定分配了至少一个并且只可能具有最后一个使用时间的限制的固定的IP地址，时间这个限制在到期了以后服务器或任何其它一个主机服务器又可以明确的表示它可以暂时放弃使用了该固定的地址的这个时候，该固定的地址也同时就表明仍然有可以继续再分配被指定给所有其他的主机使用。

（3）手工地址自动分配的方式(ManualAllocation)顾名思义，就是客户端服务器中的一个默认的IP地址信息应该会是一个完全可以由一个本地服务器网络管理员去负责分配指定服务器地址信息的，而一个DHCP的客户端服务器一般也都只是去负责自动将他所分配指定本地服务器地址的这个默认的IP地址信息自动告诉到客户端主机。DHCP中继DHCP数据包的中继和代理DHCPRelay(DHCPR)又常称做DHCP的数据中继，我们在这里一般也比较经常被叫做是DHCP的数据的中继与代理。也可以理解为就是指可以同时在用着DHCP服务器的客户端服务器上或者和使用其他的客户端或服务客户端之间能够进行数据转发操作的一组DHCP数据包。当有一个DHCP的请求服务客户端请求与一个应答的服务器客户端请求不在同一个子网络协议上同时传输请求的数据时候，就意味着要求服务器必须至少要至少有多个的DHCP中继代理协议来进行共同地转发来自这个DHCP服务的响应请求信息和转发这些应答的请求服务消息。DHCP作为中继和代理之间的一种数据的转发，与我们通常看到的路由转发形式是比较有较大差别的，通常所说的路由数据转发是相对来说数据是比较透明和传输稳定的，设备厂商一般并不会轻易修改路由IP包内容。而DHCP中继代理在它收到一个来自DHCP的信息后，会立刻重新编译生成这一个DHCP的消息，然后再次转发出去。VRRP技术介绍VRRP的完整名称是VirtualRouterRedundancyProtocol，中文的完整名称是虚拟路由冗余协议。它的技术原理就是把多个设备（比如路由器或者交换机）结合成一台虚拟的设备，之后就分配一个虚拟IP地址给到这个设备，这样用户或终端设备只需设置终端设备的网关地址为这虚拟IP地址即可。VRRP是作为容错协议，它是由多个备份和一个主的设备共同组成的一个虚拟组，主要看组内各设备配置的优先级，哪个设备的优先级越大就优先成为主设备。当设备没有异常的时候，作为主设备的需要转发所有网络业务流量，而如果主设备系统出现重大故障损坏的严重时候，备份的设备也就很需要被及时有效的接替起来成为一个主设备，承担着相应保护的工作，这样我们就更可以做到使整个网络间通信网络的运行连续性度和系统可靠性能够得到保障，而且用户终端是不需要对任何配置做修改的，不会影响到通讯，真正做到了用户对设备异常毫无感知。VRRP协议的三种状态我们一般从路由器刚安装开始到启动新路由器时，可以看见首先是看到该新路由器为Initialize状态，这时路由器的优先级最高是255，最低是0，然后开始发送VRRP的通告信息和广播ARP信息来进行通告，再用与路由器的IP地址所对应的MAC地址当成路由虚拟MAC地址来用。这个路由协议里一般是要包含有这么一个路由定时器的,经过我们的配置调试好了后,定时器就会开始自动地根据这个路由我们给自己所设定的好的路由时间间隔来去自动接收发送给VRRP的通告消息，收到信息后设备就会依据自身的优先级高低转变到Master状态，从而成为主设备，或者转到Backup状态，作为备用设备。具体的转换过程如图3-1所示。图3-1VRRP三种状态的转换VRRP的选举机制在设备配置VRRP协议后，VRRP通过配置的优先级来对设备进行选举，优先级高的成为Master主设备，而且只能有一台设备作为Master主设备，优先级低的作为Backup备用设备。配置VRRP协议的设备都会对VRRP通告消息进行收发，VRRP通告报文结构主要包括版本号、类型，优先级，认证类型，认证数据等。版本号一般为2，只有一种报文，所以类型为1，自身的优先级取值的范围是0至255，一般默认优先级为100。VRRP报文具体的格式如图3-2所示。图3-2VRRP报文格式MSTP技术介绍MSTP（MultipleSpanningTreeProtocol），是由STP（生成树协议）的不足发展升级而来的新的协议。传统的STP协议和RSTP协议的共同弊端就是主要都是会存在部分VLAN路径连接不通，无法自动实现流量的动态负载自动均衡以及次优路径，而使用MSTP(多生成树协议)能够有效解决传统的STP和RSTP存在的各种不足。例如，不同的VLAN不用必须处于同一棵生成树，减轻了设备链路的负担，实现了负载均衡，各设备和链路都能够充分利用，并且MSTP也跟STP和RSTP一样，都拥有快速收敛的功能，使得数据的传输更加灵活、便捷。一台设备中能够配置多棵生成树，把每一个VLAN划入创建的实例中，可以通过人为配置选择哪个设备为该实例的主根，然后处于该实例的VLAN的终端设备或部门传输数据时，会选择主根设备这边的链路作为数据的优先传输路径。这样我们也就大大的避免掉了设备链路间的带宽闲置的浪费，从而又达到实现了可以按各种不同类型的设备拓扑实现基于VLAN协议进行的网络数据转发业务的真正目的，使整个设备链路之间的网络使用带宽效率又得到一个了一个大大的地提高，这种网络数据转发传输中的负载的分担即是指在区域网内的各网络实例之间产生的网络流量分担。配置MSTP的拓扑如图3-3所示。图3-3MSTP图示通过配置，PC10属于VLAN10，PC11属于VLAN20，在交换机LSW11和LSW12配置两个实例，把VLAN10划入instance1，VLAN20划入instance2，LSW11作为实例1的主根，LSW12作为实例2的主根，这样就可以实现VLAN10的流量走向为PC10->LSW10->LSW11->AR11，VLAN20的流量走向为PC11->LSW10->LSW12->AR11。当LSW11出现故障时，MSTP会发出通告消息，然后设备会及时切换PC10流量所走的路径，PC10的流量走向变为PC10->LSW10->LSW12->AR11，这样就能够避免设备故障时而网络瘫痪的问题，有效解决了传统的STP或RSTP存在的局限性，同样的道理，当LSW12出现故障时，PC11的流量走向将会转为PC11->LSW10->LSW11->AR11，这样就使得流量的传输有一条或多条冗余链路，减轻了链路带宽的负担，只需要配置两棵生成树就可以减少设备系统的开销，设备LSW11和LSW12都能够得到充分的利用，避免了设备的闲置浪费，让设备可以用的更长久，这样企业就减少了一些不那么必要的支出。目前，一般的企业在搭建局域网时，都会选择使用MSTP协议，这是由于MSTP协议配置灵活，功能也很齐全，满足企业日常的工作需求。在配置过程中，可以选择配置一个或多个实例，这些实例并不会对系统的资源有过多的占用，不会对设备和网络造成过多的负担。NAT技术介绍NAT英语全拼是NetworkAddressTranslation，中文的完整名称为网络地址转换，该技术使用于企业内网于外网的通信交流。由于现有的IPV4地址资源紧缺，造成企业申请IP网段地址比较困难，不得不使用一种新型的技术来解决这种资源紧缺的困境，网络地址转换技术NAT换刚好可以解决IPV4地址不足的问题。该技术通常配置在企业网的边界网关中，通过该协议，企业内网的私有IP地址能够转换成公有的IP地址，使得内网主机能够对外网进行访问，实现内网主机的上网功能，也方便了企业的日常工作需求。NAT技术不占用稀缺的IPV4地址，并且配置方便，有效解决了IPV4地址数量有限的问题。当然，NAT技术也存在许多的不足，例如，配置NAT会占用设备的内存，需要设备时刻对NAT地址表进行维护，在数据传输的过程中，需要先将内网私有地址转换成公网地址，才能进行通信，这样也使得通信效率的下降。BasicNAT和NAPTNAT技术转换有多种转换类型，其中常用的类型为BasicNAT和NAPT。（1）BasicNATBasicNAT为基本NAT，也叫做静态NAT，对设备配置静态NAT后，这个设备就会根据我们的配置来选择与公网地址所对应的某一个内网IP地址，这样看来，公网地址的静态转换配置和静态内网地址的转换配置都是一定要先有所对应转换配置的，静态NAT地址的静态转换配置则会相对来的相对较简单。配置完成后，会生成一个地址池表，设备对这个地址池表进行维护，当终端用户需要与外网交流时，NAT会对照地址池表，然后选择相对应的公网IP进行转换，实现内网与外网通信的目的。BasicNAT示例表如下表3-1所示。表3-1BasicNAT示例表内网IP外网IP530053015302如表中53的内网地址对应外网地址为00，即当该地址用户对外网访问时，配置NAT的设备验证是否存在该路由条目，若存在，则转换为对应的公网地址，实现对外网的访问。（2）NAPTNAPT又称为网络地址端口的转换,英文的全称叫做NetworkAddress和PortTranslation。该地址转换方式不仅对私网地址进行转换，还对相应的端口号进行转换，与静态NAT不同，NAPT可以允许多台设备的IP共享一个公网IP地址，这样不仅方便了网络的管理，也节省了地址资源的开销。当然，NAPT相对于静态NAT，配置相对繁杂，网络管理员需要具备较高的技能知识。配置NAPT后，设备生成一个NAPT表，该表含有IP地址以及对应的端口号。NAPT示例表如下表3-2所示。表3-2NAPT示例表内网IP：端口外网IP：端口53：556600：920053：8001：920153：446502：9202如表中内网地址为53，端口号5566，对应外网地址00，端口号9200。NAPT同时映射了IP和端口，并且能够隐藏内部的IP，节省了设备的开销。IPSec技术介绍IPSec（InternetProtocolSecurity），即互联网协议安全，广泛应用于企业跨区域之间的通信交流、数据传输等。IPSec是一种开放标准的协议框架结构，能够为设备与设备之间、局域网之间的交流通信提供安全通道，为各区域之间的数据传输提供强有力的保护，也就是说，通过配置IPSec能够为互联网交流提供安全保障。IPSec协议框架主要由AH（AuthenticationHeader）协议、ESP（EncapsulatingSecurityPayload）协议、IKE（InternetKeyExchange）协议、ISAKMP（InternetSecurityAssociationandKeyManagementProtocol）协议以及各种各样的认证、加密算法等组成。IPSec的封装模式IPSec有两种封装方式不一样的封装模式，一个是隧道模式，一个是传输模式，具体为AH报文或ESP报文协议所在数据包的位置是不一致的，通过不同的封装模式，实现不同的身份认证（ESP的数据校验完不完整，其中不包括IP头）和加密，IPSec协议的封装模式如图3-4所示。图3-4IPSec协议封装模式如图所示，AH协议是可以提供认证功能的，还可以保证数据的完整性，当设备配置AH协议后，于主机设备布局一个密钥，该密钥可以避免数据遭受篡改，对数据起到一个保护作用，不足的是AH协议不能起到防止监听的作用。AH协议没有对传输的数据进行变形和转换，对于非法用户而言，这些数据都是清晰直观的，他们获取到这些数据时，能够轻松的识别。而ESP协议刚好能够补充这个不足，所以在封装中多加入一个报文头ESP，这样就能够进一步提高数据的严密性，使得整个数据的传输过程能够更加的安全。需求分析公司成立已久，然而还沿用着比较陈旧的设备与网络布局，业务发展离不开技术的支持，同时办公效率提高也对硬件设施有所要求，重新规划和建设一个新型主流的局域网是非常必要的，不单是提高公司的网络带宽和网络安全性，更是提升公司员工在使用网络过程中的体验，需对各设备进行更新和配置，使之能够实现冗余备份的功能。功能需求分析（1）公司的网络架构采用的是典型的园区三层网络架构模式，最开始下面一层是接入层，往上是汇聚层和核心层，这样的三层架构对公司各部门合理划分，分为总部层和分部两部分,对汇聚层内部和核心层设备之间分别了MSTP+VRRP协议，实现了所有设备数据和链路上的冗余和备份，提升网络的安全性和实用性。（2）公司总部分为5个部门，分别为管理层，财务部门，人事部门，销售部门，技术部门，均处于接入层。通过对交换机配置VLAN，各VLAN分配不同的网段，实现对各部门的隔离区分且能够相互通信，各部门也能够通过边界防火墙访问Internet。（3）汇聚层连接的以及和多核心层连接的也能够直接通过配置每一个MSTP端口以实现链路数据的动态冗余管理与自动备份，防止了环路问题的产生，MSTP端口也增加和配置完善了端口状态间的数据快速自动切换功能的机制，能够实现自动切换实现网络各拓扑结点之间数据的状态之间快速转换，MSTP配置需要将多个的VLAN划分一个或多个实例中，使得各链路能够充分利用，从而达到链路负载均衡的目的。（4）在公司总部布局WEB服务器和FTP服务器，在服务器上做了一些需要的配置，使得公司的用户能够共享和上传公司内部的文件，对于公司外部，仅提供WEB和E-mail服务，外网通过访问WEB服务器实现对公司官方网站的访问。（5）对公司总部的财务部进行访问限制的配置，除了管理层外，其他部门均不可以访问。（6）在公司边界布局防火墙，实现公司内部和外部之间的隔离，保证公司的网络和业务安全。对防火墙配置相关的路由策略，实现内网对公网的访问，而外网不能对内网进行访问。（7）通过配置VPN协议，使得总部与分布之间能够正常通信，保证数据传输的安全性，配置NAT协议，实现内网地址转换成公网地址进行上网。性能需求分析设备的特性和它有的功能分析主要是对公司网络的安全性、设备稳定性做系统的分析。对网络进行合理的布局，选择合适的设备以保证网络的安全性和可靠性，提升各部门的工作效率，具体的分析如下。网络安全需求分析对公司的网络进行一个防护的布局，需要考虑到企业的网络安全的需求。公司的网络需要保证稳定流畅，这就需要考虑设备接口的带宽和稳定性了，对于设备的选择也需要从多方面考虑，比如设备的性能和安全性，这些都是保证网络安全运行的前提。若公司网络遭受了非法网络攻击，公司的安全设备能够及时识别并做出相应的防御措施。网络管理员需要对这些设备做相关配置，比如防火墙的路由策略的配置等，管理员需要有一定的知识和技能，才能做好这些配置。网络安全要求主要表现：（1）通常网络在遭受外部人员的非法攻击时，防御系统能够做出及时地应对，保证我们的网络能够正常的使用，并让用户在使用网络过程中不会察觉到有过异常。（2）服务器存储着公司的各项文件资料，防御系统需要保证服务器的各项资料不被偷盗。（3）公司的防御设备需要具备入侵的检测及防御的措施。（4）设备能够提供灵活快速的网络通信服务。设备性能需求分析对于不同的公司企业，选择合适的网络设备，能够最大化的节省成本，而且能够满足公司的日常工作交流需要。本论文是针对壹号科技集团有限公司的网络进行的研究，公司规模为中小型且在快速发展中，接入层设备端口需100Mb/s即可，对于汇聚层和核心层的设备，设备接口的速率需达到1000Mb/s，汇聚层采用三层交换机，设备拥有较高速的千兆光纤接口，而且具备路由功能，能够实现路由转发。公司分部规模较小，使用的设备稍廉价但实用。网络设计网络架构设计该设计依据壹号科技集团有限公司的实际情况和需求搭建的一个合适的网络框架。网络总体架构设计如下图4-1所示。图4-1网络总体架构设计图如图所示，该网络架构采用典型的架构模式，通过将该三层架构模式再一次进行了细分，终端设备层和接入设备层是相互交叉连接，对接进入层和设备层进行数据汇总处理的是数据汇聚处理层，整个网络的核心骨干是核心层。（1）接入层接入层通常为终端设备或二层网络设备，接入层处于OSI五层模型中的物理层和数据链路层之间，终端设备通过接入层连接到网络，达到相互通信的目的。通过VLAN划分区域，使得各部门方便管理和维护，也为各部门通信提供了足够的带宽。（2）汇聚层这一层是处在接入层与核心层中间的，这一层对接入层设备做一个汇总，该层对接入层设备做一个汇总，方便了网络的管理，通过连接核心层设备，使得核心层设备的负担减少，为了减少成本去增加带宽，在汇聚层设备之间做一个Eth-trunk配置，做链路聚合不仅能够增加了带宽，也减少了企业开销。通过配置MSTP和VRRP实现负载均衡，达到链路和设备的冗余作用，提高网络通信的可靠性。（3）核心层核心层的主要功能就是使得骨干网络之间的数据传输更优更好，所以该层的带宽和可靠性要求较高。通过配置OSPF实现网络的互通，为了保证数据的传输效率，在该层不需要做过多的配置。网络编址设计根据公司各部门的需求，通过划分VLAN，将各部门分隔开来。分配不同网段的IP地址，即使公司规模扩大，也能够满足需求。VLAN的划分和IP地址分配表如下表4-1所示。表4-1VLAN的划分和IP地址分配表部门名称IP网段默认网关VLAN编号管理层/245410财务部/245420人事部/245430销售部/245440技术部/245450服务器/245488无线AP/2454100分部业务1/2410分部业务2/2420核心层设备设计核心层设备通过配置MSTP和VRRP协议，实现链路和设备的冗余，每一台设备和每一条链路都能够充分利用，保证数据的传输实现负载均衡，通过配置把各部门分成两个实例，LSW10作为实例1的根交换机，LSW11作为实例2的跟交换机，当其中一个设备出现故障时，备用设备能够及时更换接替主设备的转发工作，提高了数据传输的稳定性和可持续性。防火墙设计公司内部不仅需要对外网进行访问，也要与公司分部保持联系，所以需要在公司边缘出口处布局一台防火墙，防火墙需要做NAT配置，局域网内的私有地址通过NAT协议转换成公有地址，实现终端用户的上网功能，同时，对外部网络访问公司的内网做一定的限制，保证公司内部网络的安全。公司总部与分部的通信需要建立VPN，根据公司需求，对设备配置IPSecVPN功能，IPSec通过加密的安全服务来保证数据包在网络上可以安全又严密的传输，这样可以较大程度的保护公司信息数据交流的安全。网络设备选择与实现网络设备选择二层设备选择根据公司各部门的需求，二层设备采用华为的S1724G-AC系列交换机，选择该型号交换机的原因是该交换机拥有24个千兆端口，足以满足各部门终端设备的接入，提供多人同步在线上网。36Mbps包转发率以及48Gbps的交换容量，无阻塞高速转发，为各部门高速稳定传输数据提供了保障。S1724G-AC系列交换机性价比较高，在满足需求的同时能够节省开支。该型号设备还拥有丰富的安全特性，拥有多种安全认证方式，如802.1x、NAC等，能够防止非法用户的入侵攻击，对于MAC地址的过滤和设备的端口，该设备均支持过滤的功能，使得公司网络的安全性能得到进一步提升。华为S1724G-AC型号交换机的外观如图5-1所示。图5-1华为S1724G-AC系列交换机外观S1724G-AC系列交换机的参数如图5-2所示。图5-2华为S1724G-AC系列交换机参数三层设备选择汇聚层设备主要将接入层设备的数据进行汇总，然后发送至核心层进行转发，需要较高的带宽和更快转发速度，在核心层需配置部分协议和使用路由功能，以便实现数据流量的负载均衡。根据企业的实际情况，对于三层设备，我们选择了华为的S5735S-L12P4S-A类型三层交换机，该交换机拥有12个千兆的以太网端口，还有4个千兆SFP，端口的数量和带宽已足够满足公司目前的通信需求，预留的接口方便公司以后规模的扩大所用。为了能够快速检测设备链路的故障，该设备配备了功能齐全的以太OAM（IEEE802.3ah/802.1ag）。设备包转发率为33Mbps，交换容量为336Gbps，能够满足公司目前的需求。S5735S-L12P4S-A系列交换机如图5-3所示。图5-3S5735S-L12P4S-A系列交换机外观S5735S-L12P4S-A系列交换机的参数如图5-4所示。图5-4S5735S-L12P4S-A系列交换机参数出口设备选择根据公司要求，为了保证网络数据的可靠且高速传输，出口设备采用的是华为的AR2204-27GE-S系列的路由器，该系列路由器主要是面向中型企业总部或大中企业分支等所设定的设备。该路由器转发性能2Mpps，可带机量为300台PC，采用多核CPU和无阻塞交换架构，具有灵活的业务拓展性，带宽最大可达10Gbps，能够满足公司总部和分部的需求。AR2204-27GE-S系列路由器如图5-5所示。图5-5AR2204-27GE-S系列路由器图示AR2204-27GE-S系列路由器参数如图5-6所示。图5-6AR2204-27GE-S系列路由器参数防火墙设备为了进一步保证企业内部的网络安全，根据公司的需求，在总部网关布局一台华为的USG6305E-AC系列的防火墙，该防火墙拥有较完善的安全功能，由于防火墙的内部布局了转发、加密、模式匹配等协处理引擎，对于包转发的效率得到了明显的提高，也可以显著的提升多项业务的性能，如IPSec业务、AV业务性能。该防火墙还拥有IPS、反病毒和URL过滤等功能，保障了数据内容的安全，避免公司各部门用户和内部服务器受到外部病毒和不法分子的侵害。USG6305E-AC系列防火墙如图5-7所示。图5-7USG6305E-AC系列防火墙图示USG6305E-AC系列防火墙参数如图5-8所示。图5-8USG6305E-AC系列防火墙参数服务器的选择对于服务器的选择，根据公司需求，采用华为FusionServerRH1288系列服务器，该类型服务器的特点为支持24条DDR4内存，内存容量可达3TB，可以解决大容量内存应用存放的需要。支持板载2*10GE，支持2个板载OCP2.0网卡，配置简洁，解决了大多数应用场景的网络需求。FusionServerRH1288系列服务器如图5-9所示。图5-9FusionServerRH1288系列服务器FusionServerRH1288系列服务器参数如图5-10所示。图5-10FusionServerRH1288系列服务器参数无线AP功能的实现配置无线AP时，只需要对AC控制器进行配置即可，信号收发设备AP不需要做过多的配置，配置完成后，公司员工可以连接WIFI进行上网。无线AP的配置过程分为两步，第一步为AP上线，第二步为AP下发，AC控制器配置的步骤和过程如下。AP上线：（1）在AC上指定capwap的元接口。（2）在AC上创建AP组。（3）将AP添加到AP组中。AC给AP下发配置：（1）做安全模板配置。（2）做SSID模板配置。（3）做VAP模板配置，调用（安全+SSID），设置vlan，设置转发模式。（4）把VAP模板应用到AP组射频接口。相关的配置如图5-11和5-12所示。图5-11AC相关配置图5-12AC的相关配置DHCP功能的实现在拓扑中，公司总部使用路由器作为DHCP服务器，与核心层的路由器相连，根据各部门VLAN的划分，给各部门分配不同的地址池，在其他设备做中继配置，使终端设备能给个自动获取到IP地址，使得网络变得简单，并且易于管理。相关配置如图5-13所示。5-13DHCP配置图示在PC上设置DHCP模式，让下面的PC可以自动获得IP地址、网关等，配置如下图5-14所示：5-14PC设置DHCP模式图示VRRP功能的实现根据公司总部的拓扑设计，对LSW06和LSW07做VRRP的配置，保证数据传输的稳定性，根据公司需求，通过配置优先级，组号为各VLAN的ID，实现LSW06交换机作为VLAN10、VLAN12、VLAN20的主交换机Master，LSW07交换机作为VLAN30、VLAN40、VLAN50的主交换机Master。同样，LSW06作为VLAN30、VLAN40、VLAN50的BACKUP备用交换机，LSW07作为VLAN10、VLAN12、VLAN20的BACKUP备用交换机。相关配置如图5-14所示。图5-14VRRP配置图示使用displayvrrp在LSW06上检查一下配置结果，查看结果如图5-15所示。图5-15VRRP配置结果图示使用displayvrrpbrief命令在LSW07上检查VRRP的运行状态，如图5-16所示。图5-16VRRP运行状态图示NAT功能的实现由于工作需要，公司的内部网络需要进行对外网访问，需要在公司防火墙配置NAT，内网的私有地址经过防火墙时，防火墙通过对照NAT的地址池表，然后选择相对应的公网地址进行转换，从而达到与外部用户交流的目的。相关的配置如图5-15所示。图5-15NAT配置图示IPSecVPN功能的实现公司总部与分部需要建立一条安全通道，用于实现两地的安全通信，考虑到公司的网络安全需求，这里我们使用IPSecVPN，IPSec提供了各种认证加密算法，通过对数据进行加密，保障公司总部与分部的通讯安全。相关的配置如图5-16所示。图5-16IPSecVPN的配置图示网络功能与性能测试无线AP功能测试使用笔记本电脑或手机连接到AP，设备能够通过连接上AP，并自动获取IP地址，连接界面和结果如图6-1和6-2所示。图6-1设备连接测试图示图6-2设备连接后自动获取IP图示DHCP功能测试随机使用一台主机选择自动获取IP地址，结果如图6-3所示。图6-3DHCP测试结果图示管理层的网段为/24，网关为54，DNS为，说明DHCP功能已经实现。NAT功能测试随机使用公司内部的PC进行ping外部客户的网络地址，NAT地址池为——0，然后在防火墙查看相关信息，结果如图6-4和图6-5所示。图6-4ping外网测试结果图6-5NAT地址转换结果图示WEB功能测试通过配置，外网能够访问DMZ区域的WEB服务器，WEB服务器的配置和访问结果如图6-6和图6-7所示。图6-6WEB服务器的配置图6-7WEB服务器访问结果图示VPN功能测试随机使用总部的设备去ping公司分布的PC，结果如图6-8所示。图6-8VPN功能测试图示两地主机能够ping通，说明相关的配置已经完整，总部与分部能够正常互访交流。通过以上的