喆霜电子商务公司的网络设计方案

.方案的背景与意义1.1方案的背景喆霜电子商务公司是一家经营了多年具有良好口碑的公司，但是随着网络的发展和信息时代的到来喆霜公司已经跟不上现代运营模式的脚步，所以公司决定进行一次大规模的信息化网络改造与升级。本文针对喆霜电子商务公司以往构建基础的网络规划不健全，存在广播攻击、内部网络数据传输不及时、网络安全性以及可靠性较低等问题，提出了新的网络建设思路，以满足公司信息化建设的需求。1.2方案的意义本方案针对公司业务拓展的需要，对公司各部门信息化的需求进行了充分调研，根据各部门的需要进行了公司网络规划的方案设计，方案设计的内容包括网络拓扑设计、设备选型、VLAN子网划分[2]等。同时，通过在公司网路中应用VLAN、MSTP、VRRP、单臂路由、IRF技术来增强了网络的可靠性与安全性，从而构建了一个安全、稳定、可靠的公司网络设计方案，对公司网络的信息安全与办公效率有显著的提升，为公司的迅速发展奠定了良好的基础。2.方案的相关技术原理2.1IRF技术IRF技术是将两台或以上设备的物理端口进行绑定，使它们成为一台能够进行统一管理的虚拟设备。IRF具有简化管理、高可靠性和强大的拓展能力，当IRF通过必要的配置建立成功后，用户用任意成员设备都能进入IRF系统；IRF由多台设备组成，主设备进行运行、管理和维护，备用设备负责备份的同时还能处理一些业务；当主设备出现故障系统会自动选举新的主设备来保证业务不会被中断[1][2][3]。图2.1IRF组网应用示意图2.2MSTP技术STP是消除数据链路层物理环路的协议，在一个局域网中运行STP技术的设备互相交互信息来发现网络中的环路并对环路中的一个端口进行堵塞。最终整个网络会成为一个无环路的树型网络结构，来解决重复接收报文的问题。但是STP不能进行快速迁移和只能在一颗生成树上进行转发报文，而MSTP就解决了这些问题；MSTP可以将多个VLAN整合到一起来节省开销，并且生成多个域，每个域都有多个生成树[4][5]。图2.2MSTP基本概念示意图2.3单臂路由技术单臂路由是指在路由器的物理端口上再建立一个虚拟的逻辑接口来实现被隔离的不同VLAN之间的相互连通。当公司的有两个门处于不同的办公室，为了安全和便于管理对两个部门的主机进行了VLAN的划分，部门之间处于不同的VLAN需要相互访问时，就可以使用单臂路由技术来实现。图2.3单臂路由技术3.1项目概述伴随着公司规模的扩大，业务的发展，以及业务数据量和公司访问量增长巨大。为了增强网络的稳定性与安全性，公司决定对网络进行一次升级和改造。同时，公司已经向各部门了解了相应的网络需求，并将所有的需求进行了汇总与梳理，希望网络规划与设计人员充分考虑公司的实际需要，构建了一个可用性强、可靠性高、安全性好的公司网络。3.2项目需求公司有4个不同业务部门使用网络，承载着4种业务，以往构建的网络将4个部门划分到一个网络中进行管理，而只要4个部门中有一个部门的主机遭受广播攻击，就会影响到其余几个部门业务的正常使用，公司需要从根据上解决该问题。另外公司的网络存在单点故障的问题，没有考虑冗余性[3]，一旦故障会影响整个网络用不了。公司希望尽可能的加强网络的可用性。3.3网络拓扑结构设计针对公司以往构建的网络可用性、稳定性、可靠性的问题，将网络设备虚拟化技术应用在接入层与汇聚层。各节点分支负载均衡，可以最大发挥设备的性能。为保障网络方案的可行性，项目实施前期采用模拟器的虚拟环境进行模拟，其网络拓扑图规划如图3.1所示。图3.1网络拓扑图3.4设备互联接口，VLAN和IP地址的规划根据项目需求，下面利用HCL模拟器，将上述要求在HCL中进行模拟实验，根据拓扑图及网络物理连接表完成设备的连线。为了使公司的网络可以正常使用，须按照规定步骤对设备进行准确配置。首先要进行设备接口的连接，详细的设备间接口规划如表3.1所示:表3.1设备互联接口规划表源设备名称设备接口目标设备名称设备接口SW1G1/0/1研发部G0/1SW1G1/0/2市场部G0/1SW1G1/0/23RT1G0/0RT1G0/1SW3G1/0/23RT1G0/2SW2G1/0/22SW2G1/0/21SW3G1/0/21SW2G1/0/24IRF1G1/0/24SW3G1/0/24IRF2G1/0/24IRF1XGE1/0/50IRF2XGE2/0/50IRF1XGE1/0/51IRF2XGE2/0/50IRF1G1/0/1售后部G0/1IRF2G1/0/1销售部G0/1公司内网使用192.168.22.0/24、192.168.23.0/24、192.168.24.0/24、192.168.25.0/24网段，每个区域部门按需分配网络地址数量。为使公司网络可以正常使用，同时减少广播风暴等风险的发生，需要根据公司部门需求划分VLAN，以及对PC设备进行IP地址的分配。而VLAN划分如表3.2所示、网络设备IP地址规划表如表3.3所示。表3.2VLAN规划表设备名VLAN编号端口SW1VLAN24G1/0/1VLAN25G1/0/2IRF1VLAN22G1/0/1IRF2VLAN23G2/0/1划分好VLAN之后试验将对PC主机进行IP地址的划分，具体网络设备IP地址规划表如表3.3所示：表3.3网络设备IP规划表设备名接口名称IP地址研发部G0/1192.168.25.1/24市场部G0/1192.168.24.1/24销售部G0/1192.168.23.1/24售后部G0/1192.168.22.1/24RT1G0/0.24200.0.24.254/24G0/0.25200.0.25.254/24G0/1100.0.23.1/24G0/2100.0.22.1/24loopback03.3.3.3/32SW2G1/0/22100.0.22.2/24VLAN22192.168.22.254/24VLAN23192.168.23.253/24loopback01.1.1.1/32SW3G1/0/23100.0.23.2/24VLAN22192.168.22.253/24VLAN23192.168.23.254/24Loopback02.2.2.2/324.方案的具体实现4.1IRF配置为满足公司信息化发展的要求，同时能为公司未来发展奠定扎实的网络基础，本项目将对交换机IRF1与交换机IRF2进行IRF堆叠配置。以提升物理资源利用效率同时提高公司网络带宽质量。对于交换机IRF1、IRF2堆叠配置详如配置表4.1所示：表4.1IRF配置表设备的配置配置命令的作用IRF1配置[H3C]sysnameIRF修改设备名称[IRF1]intxge1/0/50进入端口[IRF1-Ten-GigabitEthernet1/0/50]shut关闭端口[IRF1]intxge1/0/51进入端口[IRF1-Ten-GigabitEthernet1/0/50]shut关闭端口[IRF1]irf-port1/1创建IRFgroup组[IRF1-irf-port1/1]portgroupinterfaceTen-GigabitEthernet1/0/50把接口加入到IRFgroup组[IRF1-irf-port1/1]portgroupinterfaceTen-GigabitEthernet1/0/51[IRF1]intxge1/0/50进入端口[IRF1-Ten-GigabitEthernet1/0/50]undoshut开启端口[IRF1]intxge1/0/51进入端口[IRF1-Ten-GigabitEthernet1/0/50]undoshut开启端口[IRF1-Ten-GigabitEthernet1/0/50]save保存配置[IRF1]irf-port-configurationactive激活IRFIRF2配置[H3C]sysnameIRF2修改设备名称[IRF2]intxge2/0/50进入端口[IRF2-Ten-GigabitEthernet2/0/50]shut关闭端口[IRF2]intxge2/0/51进入端口[IRF2-Ten-GigabitEthernet2/0/50]shut关闭端口[IRF2]irf-port2/2创建IRFgroup组[IRF2-irf-port2/2]portgroupinterfaceTen-GigabitEthernet2/0/50把接口加入到IRFgroup组[IRF2-irf-port2/2]portgroupinterfaceTen-GigabitEthernet2/0/51[IRF2]intxge2/0/50进入端口[IRF2-Ten-GigabitEthernet2/0/50]undoshut开启端口[IRF2]intxge2/0/51进入端口[IRF2-Ten-GigabitEthernet2/0/50]undoshut开启端口[IRF2-Ten-GigabitEthernet2/0/50]save保存配置[IRF2]irf-port-configurationactive激活IRF通过IRF堆叠，把网络中的两台设备的端口进行绑定使其成为一台虚拟的、具有高性能的虚拟设备，来保证业务不中断。下图中的状态结果说明IRF堆叠是成功的，一台交换机是主交换机，一台交换机是备交换机。图4.1IRF堆叠状态4.2MSTP、VRRP配置表4.2IRF2、SW2、SW3配置设备的配置配置命令的作用IR2配置[IRF2]stpregion-configuration进入mstp配置[IRF2-mst-region]region-nameXWZ配置域名[IRF2-mst-region]instance1vlan22实例1对应VLAN为22[IRF2-mst-region]instance2vlan23实例2对应VLAN为23[IRF2-mst-region]activeregion-configuration激活MSTPSW2配置[SW2]stpregion-configuration进入mstp配置[SW2]stpinstance1priority4096设置实例优先级[SW2]stpinstance1priority8192设置实例优先级[SW2]stpregion-configuration进入mstp配置[SW2-mst-region]region-nameXWZ配置域名[SW2-mst-region]instance1vlan22设置实例1对应VLAN为22[SW2-mst-region]instance2vlan23设置实例2对应VLAN为23[SW2-mst-region]activeregion-configuration激活MSTP[SW2]intvlan22进入VLAN端口[SW2-Vlan-interface22]ipaddress192.168.22.254255.255.255.0配置IP地址[SW2-Vlan-interface22]vrrpvrid1virtual-ip192.168.22.252配置虚拟网关[SW2-Vlan-interface22]vrrpvrid1priority150设置优先级[SW2]intvlan23进入VLAN端口[SW2-Vlan-interface23]ipaddress192.168.23.253255.255.255.0配置IP地址[SW2-Vlan-interface23]vrrpvrid2virtual-ip192.168.23.252配置虚拟网关SW3配置[SW3]stpregion-configuration进入mstp配置[SW3]stpinstance1priority8192设置实例优先级[SW3]stpinstance1priority4096设置实例优先级[SW3-mst-region]region-nameXWZ配置域名[SW3-mst-region]instance1vlan22设置实例1对应VLAN为22[SW3-mst-region]instance2vlan23设置实例2对应VLAN为23[SW3-mst-region]activeregion-configuration激活MSTP[SW3]intvlan22进入VLAN端口[SW3-Vlan-interface22]ipaddress192.168.22.253255.255.255.0配置IP地址[SW3-Vlan-interface22]vrrpvrid1virtual-ip192.168.22.252配置虚拟网关[SW3]intvlan23进入VLAN端口[SW3-Vlan-interface23]ipaddress192.168.23.254255.255.255.0配置IP地址[SW3-Vlan-interface23]vrrpvrid2virtual-ip192.168.23.252设置虚拟网关[SW3-Vlan-interface23]vrrpvrid2priority150设置优先级通过配置生成树，找到网络中存在的环路，然后堵塞其中一个端口，使得该网路不会发生广播风暴。图4.2IRF交换机STP状态图4.3SW2交换机STP状态图4.4SW3交换机STP状态使用VRRP技术使SW2、SW3两台设备变成一台虚拟路由器，他有自己的虚拟IP地址和虚拟MAC地址，和物理路由器没什么区别。在一组VRRP备份组中有Master设备和Backup设备，当Master设备出现故障时，Backup设备会成为新的Master设备来接替工作。图4.5SW2VRRP状态图4.6SW3VRRP状态4.3单臂路由配置表4.3RT1、SW1配置设备的配置配置命令的作用SW1配置[H3C]sysnameSW1修改设备名称[SW1]vlan24to25创建VLAN[SW1]intg1/0/1进入端口[SW1-GigabitEthernet1/0/1]portaccessvlan25将VLAN25加入端口[SW1-GigabitEthernet1/0/1]quit退出[SW1]intg1/0/2进入端口[SW1-GigabitEthernet1/0/2]portaccessvlan24将VLAN24加入端口[SW1-GigabitEthernet1/0/23]portlink-typetrunk配置端口为trunk[SW1-GigabitEthernet1/0/23]undoporttrunkpermitvlan1不允许VLAN1通过[SW1-GigabitEthernet1/0/23]porttrunkpermitvlan24to25允许vlan24，vlan25通过RT1配置[RT1]intg0/0.24创建进入子端口[RT1-GigabitEthernet0/0.24]vlan-typedot1qvid24对子接口进行封装[RT1-GigabitEthernet0/0.24]ipaddress200.0.24.254255.255.255.0配置IP地址[RT1]intg0/0.25创建进入子端口[RT1-GigabitEthernet0/0.25]vlan-typedot1qvid25对子接口进行封装研发部和市场部之间设置了不同的VLAN来保证网络信息的安全，但是部门之间不能互相访问，所以在路由器的一个物理接口上创建两个虚拟的逻辑接口，每一个逻辑接口对应一个VLAN来实现研发部与市场部之间通信。图4.7RT1单臂路由状态1图4.8RT1单臂路由状态24.4OSPF配置表4.4RT1、SW2、SW3配置设备的配置配置命令的作用RT1配置[RT1]ospf1创建进程1[RT1-ospf-1]area0进入区域0[RT1-ospf-1-area-0.0.0.0]network200.0.25.00.0.0.255通告直连[RT1-ospf-1-area-0.0.0.0]network100.0.23.00.0.0.255通告直连[RT1-ospf-1-area-0.0.0.0]network200.0.24.00.0.0.255通告直连[RT1-ospf-1-area-0.0.0.0]network200.0.25.00.0.0.255通告直连[RT1-ospf-1-area-0.0.0.0]network3.3.3.30.0.0.0通告直连SW2配置[SW2]ospf1创建OSPF[SW2-ospf-1]area0进入区域0[SW2-ospf-1-area-0.0.0.0]network1.1.1.10.0.0.0通告直连[SW2-ospf-1-area-0.0.0.0]network100.0.22.00.0.0.255[SW2-ospf-1-area-0.0.0.0]network192.168.22.00.0.0.255SW3配置[SW3]ospf1创建OSPF[SW3-ospf-1]area0进入区域0[SW3-ospf-1-area-0.0.0.0]network2.2.2.20.0.0.0通告直连[SW3-ospf-1-area-0.0.0.0]network100.0.23.00.0.0.255[SW3-ospf-1-area-0.0.0.0]network192.168.23.00.0.0.255通过配置OSPF实现内网的路由学习，达到网络拓扑快速收敛，无环路的效果。图4.9RT1路由器OSPF路由表图4.10SW2交换机OSPF路由表图4.11SW3交换机OSPF路由表4.5方案测试根据上述要求合理规划公司的网络系统，使得全公司在拥有可正常使用网络的同时也有较高的可靠性和必不可缺的安全性。为证明本项目可以成功实施，以下是该项目通过华三仿真平台完成的实验成果截图。市场部、销售部、售后部都可以ping通研发部，市场部与研发部的ping通图如图4.12所示；售后部与研发部的ping通图如图4.13所示；销售部与研发部的ping通图如图4.14所示。图4.12市场部主机与研发部主机的连通性测式图图4.13售后部主机与研发部主机的连通性测式图图4.14销售部主机与研发部主机的连通性测式图通过一系列的测试，可以感知全网已经达到互联互通的状态。其中市场部、销售部、售后部都可以正常连接到研发部门。公司整体网络规划健壮性较高，对于突发的网络