中国知网查重 高校在线论文查重入口

立即检测
  • 58 元/篇
    系统说明: 知网职称论文检测AMLC/SMLC是杂志社专用系统,针对投稿论文、评审论文、学校、单位职称论文的学术不端重复率检测系统。
  • 288 元/篇
    系统说明: 知网本科论文检测PMLC是最权威的大学生毕业论文检测系统,含“大学生论文联合对比库”,国内95%以上高校使用。检测结果和学校一致!
  • 498 元/篇
    系统说明: 此系统不支持验证!可用作研究生初稿检测,相比知网VIP5.3缺少“学术论文联合对比库”,检测结果有5%左右的误差!(论文中若参考往届研究生论文,重复率误差会较大)
  • 128 元/篇
    系统说明: 大分解论文检测系统,对于想检测学术不端文献检测系统,而又价格便宜的同学可以选择,限每篇2.9万字符,结果与大学生PMLC、硕博VIP定稿系统有出入!
  • 68 元/篇
    系统说明: 知网论文小分解检测系统,适合中国知网初稿查重,数据库和定稿查重不同。结果与本科PMLC,研究生VIP5.3有出入,限每篇1.4万字符!
  • 3 元/千字
    系统说明: 学术家论文重复率检测系统,支持学位论文、毕业论文、投稿论文、职称评审论文,提供全文对照,word标红报告,性价比超高!
论文方法介绍-企业网络规划与实施
时间:2021-03-29 11:19:20

  科技随着人类不断的发展而日新月异,信息化、网络化、高效化的脚步已经越来越近。对于一个公司来说,网络的信息化已经成为公司发展、参与市场竞争的首要条件。

  企业网络工程规划与设计包括网络需求分析,逻辑网络设计、网络安全等内容。良好的企业网络规划与设计有助于企业实现办公信息化和设备数字化,从而降低成本,提高办公效率,为企业创造更多的社会效益和经济效益,促进企业发展,提高企业的核心竞争力。

  本设计最终实现为除财务部以外的所有部门实现相互通信,通过DHCP服务,让部门自动获取IP地址。在局域网中搭建了链路聚合来增加带宽,并使通过的流量进行负载均衡。利用路由器运用NAT转换实现对外网的访问。满足企业实用性、安全性、可靠性和可扩展性的特点。

  近年来,随着信息化水平的不断提高,企业对计算机网络的需要程度越来越高,Internet成为人们生活、工作和学习中必不可少的一部分。Internet是现在网络应用的主流,Internet是一个有着丰富资源的网络,其中拥有的信息资源几乎覆盖所有的领域。世界上数以亿计的人们利用它进行通信和信息共享,通过收发电子邮件,或和其他人的计算机建立连接、参加各种讨论组并免费使用各种信息资源实现信息共享。

  随着信息技术的发展,电脑的普及使用率越来越高,在同一地点多台电脑同时工作的情况越来越多,如高校的开放计算实验室、网吧、办公室等地方,没联网的单机很难想象,为了方便维护、管理、共享信息资源等目的,常常需要把所有的单机联成网络,这种小规模局域网络的搭建十分实用。

  一些企业已经形成或正在形成网络,并通过网络加强企业内部管理、生产和管理,从而提高生产效率,同时也带动自身内部网络日益完善。因此企业网络与内部生产效率是相辅相成的。与企业原有的单机运行相比,局域网的建立更有利于员工的沟通和发展。管理层直接对员工进行管理,降低了生产中的差错率,使工作更加快捷方便。

  1.2目的和意义

  企业网络指的是具有一定规模的网络系统,企业网构造应该为企业提供高效而经济的信息传输和事务处理能力,以满足企业有序而高效的运作。同时它也是市场经济发展与激烈市场竞争的产物,尤其是中小型企业网,让客户对产品的需求朝着多样化、高品质、高性能、合理价格的方向发展,更是随着经济的发展层出不穷,为应付瞬息万变的市场需求,企业网络的建设必然向信息化发展。

  企业网络工程规划与实施主要包括网络需求分析、逻辑网络设计、物理网络设计、网络安全设计、网络测试、网络运行与维护、网络故障分析与处理、无线网络设计等若干内容。数字网络的目的是通过把所有计算机和计算机网络连接起来,帮助企业降低投资成本,提高生产效率,这样,人们可以不受时间、地点和计算机设备类型的限制,及时访问企业信息,良好的企业网络规划和设计有助于企业实现办公信息化和设备数字化,从而提高企业办公效率,降低成本,为企业创造更多效益,更有利于企业的进步和发展。

  本次毕业设计将以某中小型企业的局域网络建设和实施为背景,借助计算机网络原理以及网络规划技术,详细地设计该企业网络建设地实施方案及建设规划,来达到先进、安全、实用、可靠地目的,并对企业地组网需求进行分析,从实际角度论述逻辑网络设计、各种设备选择等等。

  2需求分析

  任何工程的建设都离不开对需求的分析,无论是软件开发还是网络系统建设,在开始工作前都需要对工作的目标有明确的认识。网络设计的成果需要得到客户的认可,换言之,无论设计师做得再好,如果客户不满意,那也是徒劳。所以需求分析是设计工作中不可或缺的重要组成部分

  目前国有中小型企业网的设计还是处于发展阶段,常用的企业网设计基本可以满足一般用户的要求,但是现有的企业网分散且不一致,甚至有些部门或分支机构在单机上运行一些独立的应用,由于这些应用分散决策和各自实施的结果,缺乏整体性的设计,更没有统一的标准,因此在业务互相衔接的应用系统之间缺乏一致性,造成应用水平低的结果。

  公司现有员工近百人,85%以上具有大专以上学历,是一家中小型企业,现如今还停留在单机工作的模式,在公司早期这种模式还可以使用,然而随着公司规模的慢慢扩大,并且面对着激烈的市场竞争,公司对信息的收集、传输、加工、存储、查询、预测、决策及即时的交流、沟通等工作量越来越大,然而部门与部门、员工与员工之间无法进行即时有效的进行沟通,这将严重妨碍公司的生存和发展。社会环境的变化要求企业必须改变现有的落后管理体制、管理方法和手段,建立本企业的办公自动化管理信息系统(即公司局域网),以提高管理水平,增加经济和社会效益。

  因此,在公司内部搭建一个局域网已经刻不容缓,通过对公司的了解和与客户之间的交流,了解到建立的局域网需满足一下几点:

  (1)该网络系统能实现资源共享,包括软件共享,文件共享,打印机共享。在外工作的员工可以透过Internet安全访问企业资源,远程办公。在公司办公时,由于还停留在单机工作的模式,导致部门之间传递信息每次都需要纸质稿,而在搭建局域网,实现资源贡献后,部门之间传递信息就可以直接发送电子稿,更快捷,节省资源。

  (2)能高速接入Internet进行工作,收发邮件,浏览网页查找资料。以前,每次部门之间进行视频会议时,总会出现网络不稳定,网络延迟高的情况,因此,需要对网络进行改善,增加带宽,使视频会议时能够稳定,流畅。

  (3)网络管理:控制不同权限的员工使用Internet的方式和范围,限制普通员工利用公司网络机型业务无关的活动。有些员工在公司上班期间,会使用公司的网络下载一些无关紧要的东西,而这些东西可能会占用大量的带宽,导致其他人使用时会变得非常慢。

  (4)安全性:对不同部门之间的相互访问作限制,防止非法访问,保护商业寂寞。预防计算机病毒,尽可能把病毒感染的几率降到最低。使用防火墙,防止来自互联网上的入侵,保障企业资源的安全。公司内的各个部门肯定都是有自己的重要资料的,尤其是财务部,通过对部门之间的访问限制来对部门做一个保护。并且员工可能会使用U盘来进行文件的拷贝使用,有时候U盘会在不经意间就带上了计算机病毒,为了预防这种情况,要定期使用软件查杀。

  (5)可扩展性:考虑到企业的发展与以后规模的扩大,企业网络设计需预留扩展空间,以便今后的网络改造。当公司扩大,招收更多员工时,无需再增加管理设备,只要给员工配备个人PC并进行简单的配置就可以了。

  3网络技术

  3.1VLAN

  VLAN(VirtualLocalAreaNetwork)即虚拟局域网,LAN可以是由少数几台家用计算机构成的网络,也可以是数以百计的计算机构成的企业网络。VLAN所指的LAN特指使用路由器分割的网络——也就是广播域。

  在网络中,把一个广播帧所能到达的整个范围称为二层广播域,简称广播域。显然,一个交换网络其实就是一个广播域。假设,在一个有多台计算机和交换机的网络中,主机向目的主机发送一个广播帧,由于交换机对广播帧执行泛洪操作,并且多台主机同时拥有该广播帧目的MAC地址的表项,就会导致目的主机能够收到广播帧,同时,其他多台主机也会收到广播帧,这就会产生网络安全问题和垃圾流量问题。

  而VLAN的作用就是把同一物理局域网内的不同用户逻辑地划分成不同的广播域,在同一VLAN中的计算机能够进行通信,而不同VLAN之间则无法通信,这样有助于控制流量、简化网络管理、提高网络的安全性。并且实现了我们使用VLAN的两个目的:不同部门之间的隔离和通信控制;广播范围控制。

  在企业局域网中,如果没有对部门之间划分VLAN,当部门与部门之间传递信息时,文件可能会被发送给所有的部门,如果是机密文件就会造成泄露,而对部门划分VLAN后,所发送的文件就会只被目的部门所接受,从而防止文件的泄露,并且,部门在接受不需要的文件时,也会占用一定带宽的,划分VLAN后,也是防止资源的浪费。

  3.2OSPF协议

  OSPF是一种基于链路状态的路由协议,在设计上就保证了无路由环路。OSPF支持区域的划分,区域内部的路由器使用SPF最短路径算法保证了区域内部的无环路。OSPF还利用区域之间的连接规则确保了区域之间没有路由循环。

  OSPF可以解决网络扩展带来的问题,当网络上路由去越来越多,路由信息流量迅速增长的时候,OSPF可以将每个自治系统划分为多个区域,并限制每个区域的范围。通过邻居关系维护路由,避免定期更新造成带宽消耗。路由更新效率高,网络收敛快,使得OSPF特别适用于大中型网络。

  一个OSPF网络可以被划分成多个区域(Area),而Area0通常被定义为骨干区域。如果一个OSPF网络只包含一个区域,则这样的OSPF网络被称为单区域OSPF网络;如果一个OSPF网络包含了多个区域,则这样的OSPF网络被称为多区域OSPF网络,分为骨干区域和非骨干区域。并且所有非骨干区域必须与骨干区域直接相连,区域间路由需经由骨干区域中转。

  在中小型的局域网中,其实RIP协议相对来说使用的更加广泛,但是当网络发生故障时,RIP网络就有可能会出现环路,而OSPF就不会出现环路问题。并且,RIP是根据矢量路由协议,它的最大的跳数是15跳,而一旦数据包所需要传递的跳数大于15,他就会丢弃,而且选择的并不是最优路由进行传递,OSPF没有跳数限制,十分灵活。使用OSPF减少了整个网络上的通信量,减轻了路由器的负担。

  3.3链路聚合技术

  通过配置软件的设置,将两个或多个物理端口合并到一个逻辑路径中,以增加交换机和网络节点之间的带宽。将这些端口的带宽合并,为端口提供一个独占的高带宽,是独立端口的几倍。Trunk是一种封装技术。这是一个点对点的连接。链路的两端可以是交换机、交换机和路由器、主机和交换机或路由器。

  由于在企业网络中,核心层要负责数据的高速转发,极其容易引发链路阻塞。所以在核心层交换机部署链路聚合可以整体提升网络的数据吞吐量,解决链路堵塞的问题。链路聚合可以提高链路的带宽。理论上,通过链路聚合,聚合端口的带宽可以最大化为所有成员端口的总带宽。可以提高网络的可靠性。配置了链路聚合的端口,若其中一个端口出现故障,则该成员端口的流量就会切换到成员链路中去。保障了网络传输的可靠性。还可以实现流量的负载均衡。把流量平均分到所有成员链路中去。使得每个成员链路最低限度的降低产生流量阻塞链路的风险。原理上,PC机上也是可以实现链路聚合的,但是成本较高,所以现实中没有真正的实现。

  3.4NAT技术

  NAT(NetworkAddressTranslation网路地址转换)属于接入广域网技术,是一种将私有地址转化为合法IP地址的转换技术,NAT通常部署在一个组织的网络出口位置,通过将内部网络IP地址替换为出口的IP地址提供公网可达性和上层协议的连接能力,转化原理如图3.2所示。

  图3.2NAT转化原理

  对于有Internet访问需求而内部又使用私有地址的网络,必须在组织的出口部署NAT网关,在报文离开私网进入Internet时,源IP将替换为公网地址,通常是出口设备的接口地址。一个对外的访问请求在达到目标以后,由组织出口设备发起,因此被请求的服务端可将响应由Internet发回出口网关,出口网关再将目的地址替换为私网的源主机地址,发回内部。这样一次由私网主机向公网服务端的请求和响应就在通信两端都无感知的情况下完成了。并且由于现在IP地址资源非常的稀少,不可能为内部所有PC都分配一个公有地址,而企业又有访问Internet的需求,就需要借助NAT技术,这样,企业内部数量庞大的主机就不再需要都配置公有IP地址了。

  3.5ACL技术

  ACL(AccessControlList访问控制列表),是路由器和交换机接口的指令列表,用来控制端口进出的数据包ACL适用于所有的被路由协议,如IP、IPX等。为了过滤消息,网络设备需要配置一系列匹配条件来对消息进行分类,这些条件可以是源地址、目的地址、端口号等。配置ACL后,可以限制网络流量,允许设备访问,并指定要转发的特定端口数据包。

  例如,ACL就像一个消息过滤器,ACL规则就是过滤器的滤芯。安装什么样的滤芯(即根据报文特征配置相应的ACL规则),ACL就能过滤出什么样的消息了。当设备的端口接收到报文后,即根据作用到端口上的ACL规则对报文的字段进行分析,再识别出特定的报文之后,根据预定的策略允许或禁止该报文通过。通过ACL,可以保护资源、组织非法用户对资源的访问;限制特定用户对资源的访问权限。

  3.6DHCP技术

  DHCP(DynamicHostConfigurationProtocol,动态主机配置协议)是一个局域网协议,使用UDP协议工作,主要有两个目的:自动将IP地址分配给内部网络或网络服务提供商。并将IP地址分配给用户或内部网络管理员,作为对所有计算机进行集中管理的手段。

  通常被应用于大型的局域网络环境中,其主要功能是在网络环境下利用主机进行集中管理、IP地址分配、动态访问IP地址、网关地址、DNS服务器地址等信息,提高地址利用率。

  在局域网中,如果你的路由具有这个功能的话,那它就会把PC的MAC地址记住并分配一个IP地址。然后这个MAC地址的PC以后就用这个IP地址上网,目的就是可以防止外来PC上网,和避免重复使用IP地址造成的错误。

  3.7端口安全

  最常用的对端口安全的理解就是可根据MAC地址来做对网络流量的控制和管理,比如MAC地址与具体的端口绑定,限制具体端口通过的MAC地址的数量,或者在具体的端口不允许某些MAC地址的帧流量通过。而接口上安全MAC地址数达到限制后,如果收到源MAC地址不存在的报文,端口安全则认为有非法用户攻击,就会根据配置的动作对接口做保护处理,从而提高了安全性。

  4网络设计方案

  4.1网络分层设计

  网络层次设计模型将一个较大规模的网络系统分为几个相互独立、相互关联的小层次。分层模型的每一层都有特定的用途,核心层主要用于高速处理数据流,提供节点之间的高速数据转发,优化传输链路和实现安全通信;汇聚层主要提供基于策略的网络连接,负责路由聚合,收敛数据流量,将网络服务连接到接入层;接入层为用户提供网络访问功能,并负责将网络流量反馈到汇聚层,进行用户认证和访问控制,并提供相关网络服务。网络分层模型层次结构如图4.1所示。

  图4.1网络分层模型基本结构

  层次化网络设计有如下优点:

  (1)可扩展性:因为网络可模块化增长而没有问题。

  (2)简单性:通过将网络分成多个小单元,降低了网络的整体复杂程度,使故障排除变得更容易,并且能隔离广播风暴的传播和防止路由循环等其他潜在的问题。

  (3)设计的灵活性:使网络易于升级到最新的技术,升级任意层次的网络不会对其它层次造成任何影响,不用改变整个环境。

  (4)可管理性:层次结构大大降低了单个设备配置的复杂性,使管理变得更容易。

  4.1.1核心层

  核心层是网络的高速交换骨干,是整个网络性能的保证,对整个网络的连接起到重要的作用。核心层交换机的主要目的就是通过高速转发通信,提供快速可靠的骨干传输结构,因此核心层应该具有以下几个特点:可靠性、高效性、冗余性、容错性、可管理性、适应性、低延迟性等。因为核心层是网络的枢纽中心,是非常重要的。所以核心层交换机应该是具有更高带宽、更高可靠性、更高性能和吞吐量的千兆位甚至更易于管理的交换机。

  4.1.2汇聚层

  汇聚层在接入层和核心层的中间,就像一个“中介”一样,就是在工作站接入核心层前要先做汇聚,来减轻核心层设备的负载。汇聚层具有许多功能,如实施策略、安全、工作组接入、虚拟局域网(VLAN)之间的路由、源地址或目的地址过滤等。在汇聚层中,应该选用支持三层交换机和VLAN的交换机,以达到网络隔离和分段的目的。然而在实际应用中,汇聚层很多时候都是被省略了,一来可以降低成本,而拉力能减轻维护负担,对网络状况的监控也能更加容易。

  4.1.3接入层

  接入层提供对本地网段的访问,主要解决相邻用户之间的互相访问的需求,在大中型网络中,接入层还应负责一些用户管理功能和用户信息的采集。在接入层中,减少同一网段的工作站数量,可以为工作组提供高速带宽。接入层可以选择不支持VLAN和三层交换技术的普通交换机。接入层的目的是允许终端用户连接入网络,因此接入层交换机具有成本低、端口密度高的特性。一般建议使用高性价比的设备。

  4.2网络设备的选型

  4.2.1交换机的选型

  接入层选用华为的S3700系列交换机,S3700是华为公司推出的二层以太网交换机。它有2个1000Mcombo接口(10/100/1000BASE-T和100/1000BASE-X),22个10/100BASE-T以太网接口,一个Console接口,一个管理接口和一个USB接口。为企业用户园区汇聚、接入等多种应用场景,提供简单方便的安装维护手段、灵活的VLAN部署和POE供电能力、丰富的路由功能和IPv6平滑升级能力,通过集成叠加、虚拟路由器冗余、快速环网保护等技术有效增强网络健壮性,能更好的帮助用户构建理想的网络,S3700交换机如图4.2所示。

  图4.2S3700交换机

  汇聚层/核心层选用S5700系列交换机,S5700是一款是华为公司为满足大带宽接入和以太网多业务汇聚而推出的新一代绿色节能的全千兆高性能以太网交换机,它具备了大容量、高可靠性、高密度的千兆端口,可提供万兆上行链路,充分满足客户对高密度千兆和万兆上行链路设备的需求。它有24个10/100/1000BASE-T以太网接口,一个Console接口,一个管理接口和一个USB接口,S5700交换机如图4.3所示。

  图4.3S5700交换机

  4.2.2路由器的选型

  路由器主要作用是连接内部和外部的网络,而好的路由器它内部还配置了其他比较实用的功能,像专业防火墙功能、VPN这些。性能强劲的路由器还内置了强悍的处理器和大容量内存。

  在这里我选用的是AR2240,它采用多核CPU、无阻塞交换架构,融合路由、交换、语音、安全等多种业务,可应用于中型企业总部、大中型企业分支,具有灵活的扩展能力。它甚至可以选择多种主控板,主控均支持可插拔维护,主控的主要区别在转发性能和流量管理功能上。它有3个GE接口(2个Combo接口)、2个USB接口、1个Mini-USB控制台接口和1个串行辅助/控制台接口。路由器如图4.4所示。

  图4.4AR2240路由器

  4.3网络安全设计

  企业网信息系统是企业网的数字神经中枢,合理的使用不仅能提高企业现代化信息化改革、提高工作效率、改善工作模式及流程,同时通过企业之间的信息共享及沟通的方便及顺畅,将会极大的提高整体行业的工作效率和工作业绩。在企业用户通过网络来提高自身竞争力的同时,信息安全问题也随之而来。如企业敏感信息的泄露、黑客的侵扰、内部网络资源的非法访问和使用以及计算机病毒等,都将对企业的信息安全构成严重的威胁。

  安全性是网络设计中需要考虑的重要的因素之一,设计中充分考虑了网络的安全性,主要体现在以下几个方面:

  (1)通过VLAN的划分,限制了不同VLAN之间的相互访问,来保证了不同网络之间不会发生未经授权的非法访问。

  (2)在核心节点可提供基于地址的Access-list,对控制用户对于关键资源的访问。通过在汇聚和核心交换机上设置VLAN路由和访问过滤,保证了在VLAN之间只有被允许的访问才能发生,并禁止未经授权的访问。

  (3)在内网与外网之间,设置防火墙实现内网与外网的隔离和访问控制,是保护内网安全的最主要、同时也是最有效、最经济的措施之一。防火墙设置在不同网络或网络安全域之间信息的唯一出入口。

  (4)对交换机的端口进行端口安全的设置,设置能够通过端口的最大数量的MAC地址,来提高网络安全。

  (5)可以对所有的重要事件进行Log,便于网络管理员进行查找故障。

  4.4拓扑结构图

  根据企业的情况,考虑到企业的需求问题,规划了这个网络拓扑图,该设计符合中小型局域网模型架构,使用了网络分层的三层架构模型,将汇聚层和核心层的功能配置到一层中去,满足高性能、管理简单、系统安全、互联网接入的特点。通过DHCP服务自动分配IP地址。经过NAT的转换实现访问外网的目的。搭建一个OSPF区域实现最短路径的选择。在核心交换机之间搭建了链路聚合来增加带宽。添加了一些ACL规则提高了安全性。网络拓扑图如图4.5所示。

  图4.5网络拓扑设计

  4.5VLAN划分

  IP地址规划的结果直接影响到网络与运行的质量,IP地址规划的原则:唯一性、连续性、扩展性。因为采用了DHCP服务,各个部门的PC能够自动获取IP地址,所以就不用手动为PC设置IP地址。

  基于端口的VLAN是最实用的VLAN,配置起来非常直观和简单,但是灵活性不是很好,不过,在中小型企业内也足够使用了。为了使以后的网络管理变得容易,减少网络管理员的工作量,对VLAN做出了划分。VLAN划分和IP规划如表4.1所示。

  表4.1VLAN规划和IP地址划分

  部门 VLANID IP地址范围 网关

  经理室 VLAN10 192.168.10.1~192.168.10.254 192.168.10.1

  财务部 VLAN20 192.168.20.1~192.168.20.254 192.168.20.1

  技术部 VLAN30 192.168.30.1~192.168.30.254 192.168.30.1

  市场部 VLAN40 192.168.40.1~192.168.40.254 192.168.40.1

  信息部 VLAN50 192.168.50.1~192.168.50.254 192.168.50.1

  业务部 VLAN60 192.168.60.1~192.168.60.254 192.168.60.1

  工程部 VLAN70 192.168.70.1~192.168.70.254 192.168.70.1

  5安装与配置

  5.1端口配置

  接入层的交换机要起到非常重要的作用,它要连接部门与核心交换机。在交换机上进行对VLAN的划分,让各个部门都用自己各自的VLAN,将相应的部门入口设置成Access类型端口,这个类型的端口只能属于一个VLAN,并将各个部门划入各自部门的VLAN当中去,而与核心交换机的接口则为Trunk类型端口,这个类型允许多个VLAN通过,并设置能够通过的VLAN,可以设置你想让其通过的VLAN,也可以允许全部通过。

  这里举例了对LSW3交换机的配置,连接部门PC的端口设置成Access类型端口,并将已经划分好的VLAN配置到端口,这样,就使得这个端口只能通过规定好的VLAN的PC,同时,对连接到核心交换的的端口设置为Trunk类型接口,并设置同意所有VLAN通过,配置如图5.1所示。

  图5.1LSW3配置

  交换机与交换机之间相连的端口需要配置成Trunk类型端口,才能使得交换机之间进行通信,并对能够通过的VLAN进行设置,才能让部门的PC路由进入到核心的交换机,才能让在不同交换机里的不同VLAN进行通信。

  这里举例LSW1交换机的配置,对连接到接入层交换机的所有接口,都配置为Trunk类型端口,并设置所有VLAN通过,其实也可以只设置每个端口仅可以通过的VLAN,不过,在接入层交换机已经对连接PC的端口进行过配置,因此,这边可以设置所有都通过也没问题。配置如图5.2所示。

  图5.2LSW1配置

  5.2VLAN划分

  VLAN的划分是非常重要的,每个部门都有自己的VLAN,在接入层对每个部门进行VLAN的划分,并在端口处进行配置,只允许自己部门的PC通过,也是为了防止出现垃圾流量的问题和对各部门的一个保护措施。而如果想要对其他部门进行访问,则需要通过核心交换机的同意。在交换机中对VLAN进行配置,使连接相应交换机的部门的VLAN能够通过。

  举例对LSW3进行配置,将已经划分好的VLAN配置到端口,将端口配置为Access类型端口,使得只有这个VLAN的PC可以通过端口进入核心交换机。配置如图5.3所示。

  图5.3LSW3的VLAN划分

  对核心交换机进行VLAN的地址赋予,也就是进行网关的设置,让PC能够知道一定要通过这个网关,这样,当A部门的PC想要对B部门的PC做访问时,才能通过核心交换机的认证。而部门之间进行通信时,则每次都需要经过这台交换机。配置如图5.4所示。

  图5.4LSW1的网关配置

  5.3路由器的端口配置

  路由器是一个非常重要的设备,他能取决于你能否对外网进行访问,在一个公司的局域网内,对内部网络的两个端口配置IP地址,让两台核心交换机与路由器进行连接,对连接R2这个外网路由器的端口配置IP地址,与R2路由器连接,使得各部门能够顺利访问外网。配置如图5.5所示

  图5.5R1的端口配置

  5.4链路聚合配置

  链路聚合主要是解决交换机与交换机之间,如果突然出现流量很大的情况的时候会出现带宽不足的问题,此时,就需要在两台核心交换机之间手动建立Eth-trunk链路,用来提高链路的带宽,还能实现流量的负载均衡,提高了网络的可靠性,同时也增加了链路的冗余备份。

  因此,对核心交换机LSW1创建一个Eth-trunk链路,然后将与LSW2交换机连接的两个端口加入到Eth-trunk链路中。并且需要对链路端口配置成Trunk类型端口,让他能够通过所有的VLAN,LSW1交换机配置如图5.6所示。

  图5.6LSW1链路聚合配置

  同样,在另一台核心交换机LSW2上也进行对链路聚合的配置,来提高链路的带宽,实现流量的负载均衡和提高了网络的可靠性,同时也增加了链路的冗余备份。在核心交换机LSW2创建一个Eth-trunk链路,然后将与LSW1交换机连接的两个端口加入到Eth-trunk链路中。并且需要对链路端口配置成Trunk类型端口,让他能够通过所有的VLAN,这样,两台核心交换机之间的Eth-trunk链路才算是搭建成功,才能够让两台交换机之间的链路发挥作用,LSW2交换机配置如图5.7所示。

  图5.7LSW2链路聚合配置

  5.5OSPF配置

  OSPF路由协议,现如今在局域网中也是运用的非常多的,它主要是将局域网划分为多个小区域,若有路由经过这些小区域中时,OSPF协议就会计算出通过这个区域到达目的路由的最短路径。避免了对资源的浪费。

  R1路由器作为整个区域0的中心设备,负责连通周围的三个设备,将R1路由器的内部两个端口的IP网段192.168.100.0和192.168.101.0配置到Area0当中,主要是为了与核心交换机进行连接,而202.112.1.0这个IP网段是为了与外网路由器R2进行连接,如图5.8所示。

  图5.8R1的OSPF配置

  对核心交换机LSW1进行OSPF的配置,首先将路由器端口的IP网段192.168.100.0配置到区域0当中,使得LSW1交换机能够与路由器连接,然后将所需要的部门的IP网段配置到区域0中,使得部门与路由器在同一区域,配置如图5.9所示。

  图5.9LSW1的OSPF配置

  对核心交换机LSW2进行OSPF的配置首先将路由器端口的IP网段192.168.101.0配置到区域0当中,使得LSW2交换机能够与路由器连接,然后将所需要的部门的IP网段配置到区域0中,使得部门与路由器在同一区域,配置如图5.10所示

  图5.10LSW2的OSPF配置

  对R2路由器进行OSPF的配置,R2路由器作为一个外网路由器,将他端口的IP网段202.112.1.0也加入到区域0中,连接到R1路由器上,使四台设备都在同一个区域中,让它们能快速的计算出区域内的最短路径,配置如图5.11所示。

  图5.11R2的OSPF配置

  这样,四台设备就都是在区域Area0中。形成了一个骨干区域,并且这个区域是设置在局域网的出口位置,所有部门的IP网段也都配置到区域0中,当有部门的路由经过这个区域的时候,想要访问外网时,OSPF协议就会计算出最短路径,来避免造成资源的浪费。

  5.6DHCP配置

  在核心交换机开启DHCP服务,让各个部门自己获取IP地址,进行动态分配,这样,就不用自己去手动设置IP地址,还能够避免出现重复的IP地址,实现集成化管理的功能。而且,即使后期公司扩大,需要增加设备,也不用烦恼IP地址的设定,只需把设备划分入规定的VLAN当中,DHCP服务就会根据VLAN来分配IP地址。

  在交换机LSW1上开启DHCP服务,创建VLAN10到VLAN70一共7个地址池,并在每个地址池中配置网关地址和所需要的IP网段,DNS地址可以不进行配置,如有需要,也可以加上,配置如图5.12所示。

  图5.12DHCP的配置

  将配置好的地址池分配到相对应的VLAN中,并开启全局配置IP,否则所配置好的DHCP服务是没有效果的,让指定VLAN中的PC能够获取到相应的IP地址,配置如图5.13所示。

  图5.13全局IP配置

  5.7ACL配置

  在核心交换机LSW1上配置ACL并添加规则,通过制定规则使不符合规则的报文无法通过,能够起到一定的安全性。

  创建一条编号为3000的ACL,然后规定192.168.20.0这个IP网段的PC无法与其他IP网段的PC进行相互通信,这一步主要决定了192.168.20.0到192.168.60.0这些网段的部门都不能与财务部相互访问,主要是为了保护财务部的安全,配置如图5.14所示。

  图5.14LSW1的ACL规则设置

  对LSW2交换机上也进行ACL的配置和指定规则,创建一条编号为3000的ACL,然后规定192.168.20.0这个IP网段的PC无法与其他IP网段的PC进行相互通信,规则其实和LSW1交换机上的是一样的,而为了防止其中一台发生意外,出现宕机的情况时,让另一台可以继续执行ACL中的规则,因此在两台核心交换机都配置了ACL规则,从而来提高局域网安全性。配置如图5.15所示

  图5.15LSW2的ACL配置规则

  在R1路由器上配置ACL,添加规则,是为了让内部的PC都能够通过路由器对外网进行访问,同时,也是保护内网安全的有效方法,如果想要让某几台PC无法访问外网,也可以设置某些IP地址无法对外网进行访问,来限制员工的操作访问,配置过程如图5.16所示。

  图5.16R1的ACL配置规则

  有时候,会发现配置好的ACL规则并没有起作用,那是因为还没把这个规则作用在它需要作用的端口上,需要在端口上开启作用ACL规则,如图5.17所示。

  图5.17ACL作用在端口

  Telnet是一种不安全的协议类型,用户在使用telnet登录网络设备或服务器时所使用的用户名和口令在网络中是以明文传输的,很容易被网络上的非法协议分析设备截获,其次,telnet可以登陆到大多数网络设备和UNIX服务器,并可以使用相关命令完全操纵它们,这是极其危险的,因此必须加以屏蔽。配置如图5.18所示。

  图5.18对外屏蔽远程登陆协议

  5.8NAT配置

  在R1上进行NAT配置,当内部PC想要访问外网时,需要将私有的IP地址与公网的IP地址进行转换,否则是无法访问外网的。由于现今IPV4的资源已经非常稀少了,所以不可能为所有的PC都配置公网IP,因此内部计算机想要访问外网,就必须通过路由器内的NAT进行一个私有IP转换成公有IP,才能对外网进行访问,在R1上建立一个地址池,放入公司申请的公网IP地址,需要访问外网时,便取用一个空闲的公网IP进行转换,顺利对外网进行访问。配置如图5.19所示。

  图5.19R1的NAT配置

  5.9端口安全

  在交换机的端口设置端口安全,限制安全MAC地址的最大通过数量为4,并且设置了一旦超出数量时,端口的处理动作,如图5.20所示。

  图5.20端口安全

  6网络测试

  6.1DHCP测试

  首先可以通过命令“displayippool”来查看自己所配置的地址池是否准确,可以看到你所命名的IP地址池的名字、网关和子网掩码,防止配置错误导致分配不到IP地址,如图6.1所示

  图6.1IP地址池

  进行DHCP测试,首先将PC机获取IP的方式设置为DHCP模式,在PC的命令行输入命令“ipconfig”来检测是否获取IP地址,因为在核心交换机进行了DHCP服务的配置,使得PC能够自动的获取到IP地址,并且IP地址会与PC进行一个绑定,通过命令还可以显示子网掩码与网关,如果配置了DNS地址,也可以在这显示出来可以看出。通过DHCP服务,可以看到PC1(经理室)能够正常的获取到IP地址,也显示了这个VLAN所配置的网关地址,PC1(经理室)的IP地址获取如图6.2所示。

  图6.2PC获取IP地址

  6.2OSPF测试

  OSPF在整个局域网中是非常重要的,不能出错,通过命令“displayospfrouting”来设备的OSPF路由表,查看设备是否在OSPF所配置的区域中,以及设备周围的IP网段是否记录上,并且可以查看路由的下跳地址来计算出最短路径,R1路由器的OSPF路由表如图6.3所示。

  图6.3R1的OSPF路由表

  同样,可以使用命令查看R2上的OSPF的路由表,可以看到都是在area0区域中,而且周围的IP网段记录在路由表上,并且能够看到下跳地址,如图6.4所示。

  图6.4R2的OSPF路由表

  在LSW1上查看OSPF的路由表,可以看到,所有IP网段都是在Area0区域中,周围的所需要的IP网段也都记录在路由表上,下跳地址也都有显示,如图6.5所示。

  图6.5LSW1的OSPF路由表

  在LSW2上查看OSPF的路由表,可以看到,所有IP网段都是在Area0区域中,周围的所需要的IP网段也都记录在路由表上,下跳地址也都有显示,如图6.6所示。

  图6.6LSW2的OSPF路由表

  当PC1(经理室)所在VLAN10想要对外网进行访问时,就需要经过这个OSPF区域,PC1的网关是192.168.10.0,从LSW1或者LSW2两台交换机都可以进入OSPF区域中,经过R1路由器,最后从R2路由器出去,然后访问外网。可以看到,交换机和路由器的路由表当中都有这个网关,在R1路由器中的下跳地址为192.168.100.1和192.168.101.1两个地址,在R2路由器中的下跳地址为202.112.1.2。而且可以看到192.168.10.0这个网段是在Stub这个末梢区域,这样就会增加一条默认路由,来提高路由器的性能。

  6.3链路聚合测试

  查看两台核心交换机之间的链路聚合情况,通过命令“displayeth-trunk1verbose”来查看,首先查看链路的Status来判断是否在工作状态,为UP即为正常工作状态。通过Flowstatistic下的信息看到两个端口各自所转发的流量以及在Eth-trunk链路所转发的总流量。结果如图6.7所示。

  图6.7LSW1的链路聚合的信息

  同样,可以通过命令查看链路聚合另一端交换机的信息,查看链路的Status来判断是否在工作状态,为UP即为正常工作状态。通过Flowstatistic下的信息看到两个端口各自所转发的流量以及在Eth-trunk链路所转发的总流量。结果如图6.8所示。

  图6.8LSW2的链路聚合的信息

  6.4ACL和NAT检测

  对R1路由器进行ACL的配置检测,通过命令“displayacl2000”来查看结果,可以看到在路由器上的配置结果,它允许这些网段进行对外网的访问,配置结果如图6.9所示。

  图6.9R1路由器ACL的配置结果

  在交换机上配置ACL并设定规则,来确保部门的安全,规定192.168.20.0到192.168.70.0这些IP网段之间无法进行通信,进而提高了安全性,使得只有192.168.10.0可以对192.168.20.0这个网段进行访问,通过命令“displayacl3000”来查看结果,这里可以查看到所配置的规定,如图6.10所示。

  图6.10交换机ACL规则

  对R1路由器进行了NAT的配置,通过命令“displaynataddress-group”来查看,

  可以查看到所配置的公网的IP地址池没有问题,如果内部PC想要访问外网,就会从这个地址池中选择一个空闲的公网IP与私网IP进行转换,来达到访问外网的目的,地址池如图6.11所示。

  图6.11R1路由器的NAT配置结果

  6.5测试

  首先进行PC3(人事部)与PC4(市场部)是否能通信的测试,对PC3(人事部)与PC4(市场部)处在不同交换机的不同VLAN中是否可以进行通信,通过PC3(人事部)与PC4(市场部)两个部门PC之间的通信情况可以看出,不同交换机不同VLAN之间能够正常互相通信,如图6.12所示。

  图6.12PC3与PC4的通信结果

  一个公司的财务涉及到公司的方方面面,肯定是非常重要的,因此,通过ACL配置的规则,是要让除了经理室以外的部门不能与PC2(财务部)进行通信,通过PC4(市场部)对PC2(财务部)的访问,可以看出,市场部无法对财务部进行访问,如图6.13所示。

  图6.13市场部与财务部的通信

  而经理室可能会需要不定期的对财务部进行查看,因此ACL的规则中没有对PC1(经理室)所在的192.168.10.0网段做出规则,通过PC1(经理室)与PC2(财务部)之间的通信,可以看出,经理室是可以对财务部进行访问的,如图6.14所示。

  图6.14经理室与财务部的通信

  查看PC1(经理室)和PC3(人事部)之间能不能通信,通过ACL配置的规则对经理室是能够对所有部门都可以互相访问,没有任何限制行为,可以看到,PC1(经理室)对PC3(人事部)的访问是没有问题的,如图6.15所示。

  图6.15PC1与PC3的通信

  最后查看各个部门PC能否访问外网,PC想访问外网,需要经过VLAN网关,OSPF区域以及路由器的NAT的转换,通过PC1(经理室)访问外网的过程显示,PC1(经理室)是能够与外网R2路由器连通的,过程如图6.16所示。

  图6.16PC1访问外网

  6.5总结

  在目前高度信息化的时代,中小型企业逐步信息化已经成为一个不可避免的趋势,然而由于企业经营者的意识或者各种因素的限制,目前国内建设有自己的企业网络的中小型企业仍在少数。

  对于企业园区网络模块,其核心内容是实现多层交换网络。在设计该模块时,该方案深入了解了多层网络的特点,在华为企业网络模型的基础上减少了不必要的设备,并在满足当前中小企业网络需求和未来五年企业网络扩展需求的前提下,提高其扩展性和灵活性,同时也节约设备成本。

  在实现设计方案的配置中,虽然涉及到的内容很多,但也仅仅只是做了一些必要的配置,配置了各个部门的不同VLAN并实现了各个部门不同VLAN之间的通信,通过DHCP服务,使各部门PC能够自动获取IP地址,并且预留了相当多的私有IP,防止后期企业扩大增加设备时地址不够用的问题。通过OSPF来实现最短路径,ACL与NAT也能够正常进行运作。通过ACL规则的设置。使得除经理室意外的各个部门无法对财务不进行访问,提高了安全性。通过NAT使私有IP与共有IP进行转换来达到使PC能够对外网进行访问。满足了企业的需求。