某企业网络架构设计及应用

网络建设的目标与原则1.1网络建设的目标公司网络的设计目的是通过高性能网络设备连接不同应用程序或不同办公系统的信息资源，以形成企业内部的内部内部网络系统和通过路由设备访问WAN的外部系统。具体而言，此设计的目的应该是构建一种基于网络的现代化办公自动化计算机，并使用现代和尖端技术进行扩展，主要包括网络，各种企业公司PC工作站，终端连接管理，LAN和WAN。系统的总体设计遵循总体规划和分布式实施的原则，充分体现了系统的技术进步及其高度的安全性和可靠性。网络系统的设计思想是通过分层系统，整个网络主要由网络设备连接，每个子网主要由网络接口连接，以实现自身的功能和报告数据。设计技术解决方案：建立信息系统。技术解决方案的设计主要包括：应用信息系统资源的建设，包括内部信息资源的建设和外部信息资源的建设。随着城市网络宽带服务的发展，创建可发展和可管理网络的概念得到了扩展。在市场方面，供应的多样化导致用户认证被视为业务和可管理性的中心因素，这是运营商和制造商特别关注的问题。公司正在准备建立内部本地网络和Internet访问。需要一个外部网站来促进公司发展，需要一个内部网站来进行通知，内部交流和文件共享。本期项目的目标是建立如下系统：1.建立可以覆盖本地和外界的网络，以进行网络通信，共享信息和介绍公司。2.除特殊情况外，企业网络中的所有设备都必须能够相互通信。3.不同部门之间的用户数据相互隔离，但可以实现通信；4.主管部门可以访问其他部门，其他部门不能访问主管；5.改善网关设备的备份冗余，使主机可以访问外部网络；6.访问外部网络时，应将企业内部服务器转换为指定的公共网络地址；

1.2网络建设的原则1．先进性:先进的计算机网络和技术先进的网络管理，网络结构，开发工具设计，技术使用市场占有率高，标准化，最先进，安全稳定。确保网络的安全性，稳定性和容量。2．实用性:全面考虑了未来在推广和保护方面的投资，并制定了全面而统一的开发计划，以充分利用设备的优势，并使用户尽可能轻松地使用各种功能。3．开放性:系统应采用开放技术进行设计，以促进网络维护，扩展和升级以及外部信息的通信。4．发展性:网络规划必须满足用户对配置的保留，并根据技术发展的需要进行低成本的扩展和升级。5．可靠性:服务器应具有高度的抗故障能力，先进的备份技术，端口冗余和网络管理功能可促进未来的管理和维护。在网络设计的各个阶段进行一致的规划和分析，以确保系统的安全运行。6．安全性:提供各种安全措施，建立完善的安全管理系统，提防数据损坏，并提供可靠的疾病防护措施。7．使用性:界面具有完善的功能，友好的交互性和高度兼容性。8．抗干扰性:克服了当地电力环境，电磁环境，气候环境等的要求。9．经济性:包括投资保护，系统开放，设备独立性以及升级过程中对现有投资的保护。10．高传输性:主干网1000M，快速以太网100M到桌面。

关键技术2.1路由技术在交换网络中有三种路由技术，第一种方法，即三级路由器和二级交换机的组合。二级交换机严格限制并监视不同节点之间的数据交换。在OSI参考模型的数据链路层，即虚拟LAN路由器可以执行其功能，而第三层是通过路由实现的，并且存在一个用于数据传输的虚拟网络，用于建立公司LAN连接网络。第二种方法使用分布式路由技术。它的特点是使用多层开关，结合二层桥和三层路由。它的路由功能支持虚拟局域网，并允许同一虚拟网络中的大多数节点之间或不同虚拟网络之间的通信，从而减少了工作组和部门之间使用的路由器数量。但是，由于无法提供高端路由器的安全性，流量管理和WAN连接功能的子集，因此目前不可能完全摆脱具有多层交换功能的传统路由器。第三种路由技术使用一种全新的架构:路由服务器与终端交换机相结合[1]。传统路由器具有两个任务：用于发送数据包和选择路由。基于路由服务器网络的设备有两种，每种类型的设备提供两种功能。终端交换机执行数据包传输，并且路由信息由更昂贵的路由服务器确定。路由器返回正确的地址，并且交换机将该信息存储为安全副本。重要的是要注意，路由服务器和交换机之间的通信协议尚未协调，也不兼容其他制造商的产品。在本设计中，要在核心层路由设备上进行树协议的生成，对控制列表进行访问等。2.2交换技术路由技术占网络的70%，而交换技术占30%。现代交换技术允许三层和多层交换。交换技术的引入，不仅提高了效率，改善了企业在网络上的数据交换，而且大大提高了服务质量。企业网络上的数据交换已满足不同类型的网络应用程序。交换机来容纳这些数据之后,原有的帧会记录,首先,MAC地址表对应的接口将MAC的表格,然后检查自己是否有数据的帧目标MAC地址[2],如果根据备注MAC表中对应的接口发送网页上所记录的图像数据，或在没有支持小型系统接口，从另外的接口发送出去。如图2.1所示。图2.1交换机传输数据帧过程2.3VLAN技术提到VLAN，就会联想到WLAN（WirelessLocalAreaNetworks）是指无线局域网，而VLAN（VirtualLocalAreaNetwork）则是虚拟局域网的简称，二者有着本质上的区别，VLAN是一种新兴的数据交换技术，它允许将本地网络设备从逻辑上划分为网段，从而实现虚拟工作组。这项新兴技术主要用于交换机和路由器，但主要应用仍然是交换机。VLAN是一个局域网，根据其用途，工作组，应用程序等在逻辑上与物理网络隔离，并且是一个与用户的物理位置无关的广播域。VLAN网络用户通过交换机进行通信。一个VLAN的成员看不到另一个VLAN的成员。。网络管理员需要管理大量交换机时，他们可以使用VLAN中继协议（VTP）简化管理，其中包括在单个交换机上定义所有VLAN。然后使用VTP协议将VLAN分发到管理区域中的所有交换机。这样可以大大减轻网络运营商的工作量和工作强度。VLAN技术在现实生活中扮演着非常重要和广泛的角色:例如，如果公司只有一个交换机，但是由于安全原因，数据不能在部门之间共享，因此需要使用VLAN技术，那么就有必要在公司的实际操作中划分不同的部门。简单地划分两个VLAN网络段就可以找到一个简单的解决方案。再例如，两个相邻公司之间的部门合作需要数据共享，将几台计算机连接到彼此的主机既不安全也不昂贵。因此，迫切需要建立一个VLAN。两家公司的交换机相互连接，并为两个部门分配了一个独立的网络部分。

相关协议及概念3.1OSI七层模型举个例子，社会公民根据法律规定的内容从事社会生产活动，行为规范受法律规范。同样，网络世界的通信遵循统一的协议标准，允许数据处理和传输。而OSI模型，就是网络世界通信的统一标准开放式系统互联通信参考模型（OpenSystemInterconnectionReferenceModel，缩写为OSI），简称为OSI模型，国际标准化组织(iso)提出的概念模型，旨在使不同计算机作为网络在全球范围内相互连接的标准框架[3]。互联网的实质是一系列网络协议，该协议称为OSI协议（一系列协议），根据功能不同，分工不同，分为七层。实际上，这个七层并不存在。七层没有概念，只是人为划分。区别的目的只是让我们了解用于哪一层。每层运行不同的协议。而什么是协议，协议是标准。具体如图3.1所示。图3.1OSI七层模型3.2TCP/IP协议如果计算机和网络设备要相互通信，则双方必须基于相同的方法。例如，如何检测通信目标。哪一方发起通信，使用哪种语言进行通信，如何结束通信以及其他规则都需要事先确定。不同硬件，操作系统之间的通信，所有这些都需要一个规则。我们将此规则称为协议，TCP/IP协议中最重要的一点是分层。TCP/IP协议族按层次分别为应用层，传输层，网络层，数据链路层，物理层[4]。如图3.2所示。图3.2TCP/IP3.3IP编址IP协议是TCP/IP协议的引擎，它为上级协议提供无状态、无连接和不可靠的服务[5]。无状态意味着IP通信的两个部分不会同步发送数据状态信息，因此所有IP数据报的发送，发送和接收都是独立的，并且与上下文无关。该服务的主要缺点是它无法处理混乱且重复的IP数据报。面向连接的协议（例如TCP协议）可以处理混乱且重复的消息片段，并且它们传输到高级协议的内容绝对有序且正确。无状态服务的优势也很明显。简单高效。无需分配一些核心资源来维护通信状态并将状态信息传输到每个数据传输。无连接意味着IP通信的双方在很长一段时间内都不会维护另一方的任何信息。这样，每当上层协议发送数据时，它都必须明确指定另一方的IP地址。不可靠性意味着IP协议不能保证IP数据报准确到达接收方，而只能保证接收方承诺会尽力而为。在许多情况下，可能会导致发送IP数据包失败。例如，如果发送路由器发现IP数据包在网络上的存在时间过长，它将拒绝该文本并将ICMP错误消息发送给发送方。因此，使用IP服务的基础协议需要实现诸如数据验证和超时重传等机制，以确保可靠的传输。3.3.1IP报文网络设备通过IP地址进行唯一标识，IP地址根据数据包的起始和目的地IP地址确定数据的接收和发送对象，从而允许它们之间的通信。如图3.3所示。图3.3ip地址发送3.3.2IP地址组成IP地址分为网络位和主机位，长度为32位，以“十进制”表示;网络位应使用用于标识当前设备所在的网络段，主机位用于唯一标识该段中的一个网络设备。其中网络地址和分发地址不能分配给用户服务器。如图3.4所示。图3.4ip地址组成3.3.3IP地址分类在Internet网络的初始设计中，每个IP地址包含两个ID，网络ID和主机ID，以方便网络的寻址和层次[6]。同一物理网络上的所有主机使用相同的网络标识符，网络主机(包括网络工作站、服务器、路由器等)具有相应的网络标识符。IP地址根据网络ID的不同分为5种类型，A类地址、B类地址、C类地址、D类地址和E类地址。如图3.5所示。图3.5ip地址分类3.3.4子网掩码子网掩码不能单独存在;它必须与IP地址一起使用。子网掩码只有一个功能，即将IP地址分为两部分:网络地址和主机地址。子网掩码是一种32位地址，用于掩码IP地址的一部分，以区分网络标识和服务器标识，并指示该IP地址是在本地网络上还是在远程网络上。子网掩码——屏蔽一个IP地址的网络部分的“全1”比特模式[7]。对于A类地址来说，默认的子网掩码是；对于B类地址来说默认的子网掩码是；对于C类地址来说默认的子网掩码是。如图3.6所示。图3.6子网掩码

网络总体设计4.1网络设计需求公司网络架构有三层：接入层、汇聚层、核心层。不同的单位接入接入层，不同的VLAN内包含不同的单位，以此来保证不同单位之间的安全。汇聚层用于部署企业内部的流量控制策略、安全策略等，一般由具体三层功能、但性价比更高的三层机承担。核心层负责企业内部与企业外部公网之间的数据转发，该位置流量交互量大，传输速率高，一般来说，一个高性能的路由器与两个中央交换机一起部署，以确保负载平衡和热支持，即使其中一个中央交换机宕机，网络也不会停用。内部服务器具有一个IDS入侵检测系统，可以检测内部服务器的安全性。外部服务器具有WAF和IDS，用于检测外部网络用户对外部服务器的访问。边界防火墙主要用于内部和外部网络的流量控制，流量过滤以及NAT转换。离开网络时，有一个IPS入侵检测系统，可以实时检测任何异常攻击并在适当时将其阻止。输出路由器由提供公共网络的两个不同的运营商提供。防火墙，IP路由器和边界路由器都可以用于负载共享和热支持。即使发生故障，公司网络的正常运行也不会受到影响。DMZ(DemilitarizedZone)非军事化区，也就是隔离区，DMZ区域是一个外部服务区，其中包含公共服务器，如外部服务器、外部邮箱等[8]。理论上，用户希望从外部网络访问的所有服务都可以放在DMZ区域。内部网络可用于单向访问非军事区，外部网络可用于单向访问非军事区。DMZ可以理解为一个特殊的网络区域，不同于外部或内部网络，即使DMZ区域被黑客入侵，黑客也无法访问该区域。在使用DMZ规划网络时，可以清楚地定义不同网络之间的访问关系，并确定六种访问控制策略:1.内部网络可以访问外部网络:在这种策略中，输出路由器必须执行源地址的NAT转换。2.DMZ可通过内部网访问:方便内部网用户使用和管理DMZ中的服务器。3.外部网络不能访问内部网络:内部网络包含企业内部数据，不允许外部网络用户访问这些数据。4.外部网络可以访问DMZ:DMZ服务器本身旨在提供外部服务，因此外部网络必须能够访问DMZ。同时，通过外部网络访问DMZ需要输出路由器将外部地址转换为服务器的物理地址。5.DMZ对内部网的访问是有限的:在违反此策略的情况下，入侵者可以攻击内部网的重要数据。6.DMZ不能访问外部网络:此策略有例外，例如当DMZ将消息服务器放入外部网络时。在实际的网络环境中，攻击者在获取办公区的权限后，会利用域信任关系来扩大攻击面。办公区按照系统可分为OA系统、邮件系统、财务系统、文件共享系统、企业版杀毒系统、内部应用监控系统、运维管理系统等。按照网段可分为域管理网段、内部服务器系统网段、各部门分区网段等。4.2网络设计规划4.2.1设计流程完成和验证传输层中不同主机之间的连接配置，特别是二层交换机和三层交换机的vlan划分和trunk端口配置；完成和验证网络层中不同主机之间的连接配置，特别是三层交换机开通路由功能，vlan的网关地址配置，端口地址配置；路由器ospf动态路由配置；特殊区域配置：设置area1位stub特殊区域；防坏处理，并查看生成树：开启生成树，设置主根，次根；DHCP配置：为3个vlan配置地址池；NAT配置：设置内网和外网；FTP服务器配置：FTP添加端口，配置端口ip，开启ftp服务；ACL控制列表配置：配置ACL控制列表，使3个部门中只有技术部可以访问ftp。4.2.2vlan划分图4.1VLAN划分4.2.3端口划分图4.2端口划分4.3网络拓补网络拓补规划图如图4.3所示：图4.3网络拓补图以下为各部分较为清晰详细的地址等分配信息：图4.4核心层图4.5特殊区域图4.6接入层4.4网络搭建脚本4.4.1二层交换机vlan划分以SW2-1（工程部）为例：图4.7工程部vlan将工程部划分为vlan10，其他部门同理。4.4.2三层交换机端口链路聚合实现的三层交换机之间的冗余备份，用trunk线将其中二层交换机与三层交换机之间连起来。以SW3-1为例：图4.8三层交换机连接4.4.3三层交换机Vlan间通信配置三层交换机仅通过激活三层交换机的路由功能(iprouting)，然后通过trunk链路将两层交换机连接到三层交换机，从而实现不同vlan之间的通信。以SW3-1为例：图4.9VLAN间通信4.4.4路由器配置网络层通信是通过动态ospf路由实现的，三级交换机和路由器之间的通信端口也具有IP地址，允许传输层和网络层之间的通信。以R1为例：图4.10路由配置4.4.5特殊区域配置动态路由协议OSPF应使用并配置为一个完整的终端区域，因此area1被定义为一个完整的终端区域。以R2和SW3-1为例：图4.11特殊区域配置4.4.6防环处理三层交换器和两层交换器的“生成树”协议被激活，允许反环处理，以避免网络风暴。通过设置根开关的优先级，使sw3-1为主根，sw3-2为次根。图4.12防坏处理4.4.7DHCP地址池配置DHCP服务允许动态获取IP地址，并在三级交换机上创建不需要中继的DHCP服务，从而允许三个部门动态获取IP地址。在R1上建立了一个没有中继的DHCP服务，允许主网络H中的PC实现IP地址的动态获取。以SW3-1为例：图4.13DHCP地址池4.4.8NET配置将公司主网与Area1区域连接的端口配置NAT设置，将与主网连接的端口设置为内网，与分公司相连的网络配置为外网。图4.14NET配置4.4.9FTP配置要将ftp的服务器进行冗余保护，所以将FTP分别连接到SW3-1和SW3-2的fastEthernet0/23端口，给SW3-1和SW3-2的fastEthernet0/23端口配置IP地址，给FTP服务器的fastEthernet0和fastEthernet1接口配置IP地址。以SW3-1为例：图4.15FTP配置4.4.10ACL控制列表配置配置访问检查表是用于控制进出端口的数据包的路由器和交换机接口的指令列表。lca适用于所有路由协议。在配置了acl之后，可以限制网络上的流量，允许访问特定的设备，指定在端口上传输特定的数据包等等。访问检查表的配置满足了只有技术部门才能访问FTP服务的要求。且cisco模拟器中的控制列表默认拒绝访问，只需配置一条允许技术部访问的列表即可。图4.16ACL控制列表配置4.5连通性验证（ping）4.5.1vlan间通信vlan间通信（不同部门的通信），以工程部PC1为例：图4.17VLAN间通信验证4.5.2链路聚合验证（showetherchannelsummary）图4.18链路聚合验证4.5.3生成树验证（showspanning-tree）图4.19生成树验证4.5.4访问控制列表验证（showipaccess-list）图4.20访问控制列表验证4.5.5FTP服务验证（HYPERLINKftp42）图4.21FTP服务验证4.5.6完全末梢区域（totalstub）验证（showiproute）图4.22完全末梢区域验证DHCP动态获取IP地址验证图4.23DHCP动态获取IP地址验证

结束语5.1本文设计回顾本设计通过Cisco模拟器搭建出企业网络架构总体的拓补图，在不同的结构内使用不同的协议来解决问题和实现不同的功能，比如：使用VLAN划分出不同的部门，简单的划分不同网络段，解决不同部门间的信息安全问题和通信问题。使用Eth－trunk来对链路进行链接，解决了冗余问题，并且Eth－trunk还可以实现备份的功能，当网络链路中的链路发生故障时，可以进行快速备份，不会因为链路中断而导致故障[9]。路由器之间的通信，通过动态ospf路由来实现。我们使用OSPF和BGP协议，因为OSPF可以在一个自治系统内分成不同的区域从而划分不同的功能来更好地实现网络的划分。采用生成树技术来实现进行实例的划分，解决冗余所带来的可能出现网络环路的问题，并让各个部门通过不同的链路去访问公司通过创建DHCP地址池，解决计算机数量与地理位置的变化会引起IP的地址频繁变化和IP地址不足的问题。在路由器内配置地址池，让主机可以在地址池内选择地址使用，减少ip地址的浪费情况。通过ACL来对不同的网段进行过滤，将需要的网段进行处理，可以在一定程度上实现访问网络、限制网络流量，并且不占用过多的带宽，从而实现网络设备的最大利用率。5.2存在的问题本文的网络架构设计还存在一些需要改进的问题，在之后的时间会逐渐修改，设计需要进一步完善的内容如下：使用Eth－trunk链