網(wǎng)絡(luò)工程-廣州星光科技有限公司網(wǎng)絡(luò)規(guī)劃與設(shè)計

廣州星光科技有限公司網(wǎng)絡(luò)規(guī)劃與設(shè)計摘要：隨著互聯(lián)網(wǎng)的井噴式快速發(fā)展，網(wǎng)絡(luò)的更新?lián)Q代節(jié)奏越來越來，特別地華為開啟5G時代到來，實現(xiàn)真正意義上的萬物互聯(lián)。無論是各行各業(yè)還是百姓的生活均離不開網(wǎng)絡(luò)，因此企業(yè)在如今信息大爆發(fā)的互聯(lián)網(wǎng)時代下，構(gòu)建屬于自己的網(wǎng)絡(luò)加入到世界網(wǎng)絡(luò)上就顯得尤為重要。構(gòu)建方便、安全、快捷的網(wǎng)絡(luò)實現(xiàn)員工的自動化辦公，信息資源共享是迫在眉睫的。本畢業(yè)設(shè)計以科技公司的網(wǎng)絡(luò)作為網(wǎng)絡(luò)規(guī)劃為背景，對一些中小型企業(yè)對于網(wǎng)絡(luò)的需求進行綜合概括，再進行規(guī)劃與設(shè)計出合適可行的方案。利用自己所學(xué)的知識以及外面資源的幫助，利用網(wǎng)絡(luò)技術(shù)IPsecVPN技術(shù)、NAT地址轉(zhuǎn)換技術(shù)、VRRP路由的冗余備份等各種相關(guān)的技術(shù)來實現(xiàn)內(nèi)部與外部的網(wǎng)絡(luò)之間的相互通信。最后通過華為的模擬器eNSP進行網(wǎng)絡(luò)拓?fù)鋱D設(shè)計以及進行實驗測試，驗證本次畢業(yè)設(shè)計是可行的。關(guān)鍵字詞：互聯(lián)網(wǎng)，網(wǎng)絡(luò)技術(shù)，網(wǎng)絡(luò)規(guī)劃GuangzhouXingguangTechnologyCo.,Ltd.networkplanninganddesignAbstract:WiththerapiddevelopmentoftheInternet,therhythmofnetworkupgradesisbecomingmoreandmorefrequent.Inparticular,Huaweihasstartedthe5Geraandrealizedtherealinterconnectionofallthings.ItisinseparablefromtheInternetinallwalksoflifeandinthelivesofordinarypeople.Therefore,intheeraoftheinformationexplosionintoday'sInternet,itisevenmoreimportantforcompaniestobuildtheirownnetworksandjointheworldnetwork.Tobuildaconvenient,secure,andfastnetworktoautomateofficeworkforemployees,informationresourcesharingisimminent.Thisgraduationdesigntakesthenetworkoftechnologycompaniesasthenetworkplanningbackground,summarizesthenetworkrequirementsofsomesmallandmedium-sizedenterprises,andthenplansanddesignssuitableandfeasiblesolutions.Utilizetheknowledgeyouhavelearnedandthehelpofexternalresources,usenetworktechnologyIPsecVPNtechnology,NATaddresstranslationtechnology,VRRProutingredundantbackupandotherrelatedtechnologiestoachieveinternalandexternalnetworkcommunication.Finally,Huawei'ssimulatoreNSPwasusedtodesignthenetworktopologydiagramandconductexperimentalteststoverifythatthegraduationdesignisfeasible.Keywords:Internet,networktechnology,networkplanning目錄TOC\o"1-3"\h\u1緒論 11.1課題背景 11.2課題意義 11.3論文設(shè)計結(jié)構(gòu) 22需求分析 32.1網(wǎng)絡(luò)建設(shè)需求分析 32.2辦公網(wǎng)絡(luò)主干分析 33公司網(wǎng)絡(luò)邏輯設(shè)計 53.1網(wǎng)絡(luò)設(shè)計原則 53.2公司網(wǎng)絡(luò)整體拓?fù)湓O(shè)計 53.2.1公司網(wǎng)主干結(jié)構(gòu)設(shè)計 53.3.2公司內(nèi)部通信網(wǎng)絡(luò)結(jié)構(gòu)設(shè)計 63.3IP地址設(shè)計 73.2.1IP地址規(guī)劃 73.2.2網(wǎng)絡(luò)地址分配 73.2.3vlan的劃分 73.4設(shè)備選型 83.4.1核心層設(shè)備 83.4.2匯聚層設(shè)備 103.4.3接入層設(shè)備 103.4.4服務(wù)器設(shè)備 114技術(shù)實施方案 134.1vlan技術(shù) 134.2ACL訪問控制列表技術(shù) 134.3IPSG技術(shù) 154.4防火墻技術(shù) 164.5NAT網(wǎng)絡(luò)地址轉(zhuǎn)換協(xié)議 174.6OSPF動態(tài)路由協(xié)議 184.7無線網(wǎng)絡(luò)的搭建 194.8DHCP服務(wù)器搭建 205網(wǎng)絡(luò)連通性測試 235.1不同vlan之間的通信 235.2驗證DHCP服務(wù) 235.3驗證Ftp、Http服務(wù)器 255.4驗證NAT地址 276結(jié)論 28參考文獻 29致謝 30 緒論課題背景在當(dāng)今時代，隨著5G時代的到來，企業(yè)對于網(wǎng)絡(luò)的需求依賴度不斷地提高，甚至到了離不開網(wǎng)絡(luò)地步，網(wǎng)民們無論在生活上還是工作上都離不開網(wǎng)絡(luò)，網(wǎng)購、支付包（微信）支付、外賣等等都與網(wǎng)絡(luò)息息相關(guān)，而在工作上，今年突遇新冠病毒的影響，網(wǎng)課、網(wǎng)上辦公更是需要網(wǎng)絡(luò)的支持；因此，網(wǎng)絡(luò)成為人們生活、學(xué)習(xí)和工作上必須的部分。而對于一個企業(yè)來說，部署自己的網(wǎng)絡(luò)環(huán)境更是必不可少的。一個企業(yè)擁有自己的網(wǎng)絡(luò)是必須的，而以IT技術(shù)、互聯(lián)網(wǎng)發(fā)展的公司更是如此了。因此很多企業(yè)現(xiàn)急需開始建設(shè)自己的網(wǎng)站以及在各種各樣的自媒體上來宣傳自己的品牌，來提高公司的知名度。辦公話自動化極大的提高了企業(yè)的辦事效率，企業(yè)的局域網(wǎng)也給員工帶來了很大的方便性。廣州星光科技有限公司現(xiàn)在要由番禺區(qū)搬遷到天河區(qū)，是一家以數(shù)據(jù)存儲、應(yīng)用安全、技術(shù)為核心業(yè)務(wù)的高新技術(shù)企業(yè)?，F(xiàn)星光科技有限公司有意向成為具備為國內(nèi)外企業(yè)提供云數(shù)據(jù)存儲、信息安全、軟件開發(fā)、安全技術(shù)服務(wù)等方案解決能力的快速發(fā)展型公司，因此需快速建設(shè)一套穩(wěn)定、快捷、安全的網(wǎng)絡(luò)環(huán)境，網(wǎng)絡(luò)需要實現(xiàn)網(wǎng)絡(luò)互通、信息共享、實時在線更新最新的資源、無紙化辦公、高寬帶覆蓋全公司網(wǎng)絡(luò)WiFi。因此公司現(xiàn)急需建設(shè)一套穩(wěn)定高速的網(wǎng)絡(luò)系統(tǒng)，適應(yīng)新的辦公地址，用以保證搬遷之后公司即可正常上班，使用公司網(wǎng)絡(luò)環(huán)境，不影響到公司業(yè)務(wù)的正常運行課題意義本次課題的意義是研究適應(yīng)當(dāng)前中小型企業(yè)對于網(wǎng)絡(luò)系統(tǒng)環(huán)境的需求，為中小型企業(yè)對于網(wǎng)絡(luò)的建設(shè)提供一個可靠低成本的網(wǎng)絡(luò)規(guī)劃與設(shè)計方案。對于本次課題的公司網(wǎng)絡(luò)建設(shè)，主要通過了解公司對于網(wǎng)絡(luò)的需求進行分析，選擇當(dāng)前市場上功能強大成本的網(wǎng)絡(luò)設(shè)備，利用自己所有的網(wǎng)絡(luò)知識和在實踐過程中學(xué)到的知識，對ACL技術(shù)、防火墻技術(shù)、無線技術(shù)等搭建好公司的網(wǎng)絡(luò)，目的是保證公司內(nèi)部網(wǎng)絡(luò)可以高效的進行數(shù)據(jù)傳輸與交換，與外網(wǎng)進行實時有效的信息交流，達到滿足一般中小型企業(yè)的對于網(wǎng)絡(luò)的需求，在保證公司絡(luò)的通信的質(zhì)量后，也需要為公司未來的可持續(xù)升級改造做一個方案設(shè)想。1.3論文設(shè)計結(jié)構(gòu)本次論文的設(shè)計第一章主要介紹課題的背景及課題意義；第二章對星光科技有限公司對于網(wǎng)絡(luò)需求進行分析；第三章在遵循網(wǎng)絡(luò)規(guī)劃的原則上對網(wǎng)絡(luò)進行規(guī)劃和設(shè)計，且公司對于使用的IP地址進行劃分以及選擇合適的網(wǎng)絡(luò)設(shè)備；第四章對于網(wǎng)絡(luò)建設(shè)所采用的技術(shù)進行介紹，采用安全先進的技術(shù)保證公司網(wǎng)路的建設(shè)；第五章通過搭建模擬實驗環(huán)境測試本次論文設(shè)計方案的網(wǎng)絡(luò)連通性；第六章對本次論文設(shè)計進行總結(jié)。需求分析2.1網(wǎng)絡(luò)建設(shè)需求分析公司主要建設(shè)一個功能強大的網(wǎng)絡(luò)系統(tǒng)，還需建立一臺DNS服務(wù)器，便于用域名訪問服務(wù)器，一臺FTP服務(wù)器，用于公司平常的資料簡單共享，上傳、下載需求。當(dāng)前建設(shè)的企業(yè)級網(wǎng)絡(luò)系統(tǒng)大部分以光纖做為傳輸媒介進行支撐、以相應(yīng)的網(wǎng)絡(luò)技術(shù)為關(guān)鍵、以華為的核心級交換機為數(shù)據(jù)的流通中心、各部門信息中心的網(wǎng)絡(luò)部署為多節(jié)點的的分層結(jié)構(gòu)、滿足公司各部門進行工作職能相關(guān)的網(wǎng)絡(luò)功能需求、信息資源共享統(tǒng)一的網(wǎng)上應(yīng)用系統(tǒng)，再進一步發(fā)展成為獨立的多功能網(wǎng)絡(luò)應(yīng)用平臺。本次設(shè)計的目標(biāo)是建設(shè)公司的辦公信息網(wǎng)絡(luò)交換平臺，各部門信息集中化的網(wǎng)絡(luò)系統(tǒng)。設(shè)計一個網(wǎng)絡(luò)系統(tǒng)的需求有以下這幾個條件：安全、高效、方便的計算機網(wǎng)絡(luò)系統(tǒng)。內(nèi)部的網(wǎng)絡(luò)，以B/S或C/S的方式實現(xiàn)最新信息的收送。內(nèi)部的建立電子郵件系統(tǒng)（企業(yè)郵箱）、實現(xiàn)公司重要文件的傳遞。各種文件資源及實時信息的共享，實現(xiàn)人性化管理。2.2辦公網(wǎng)絡(luò)主干分析公司還需要建立一個高速、安全、穩(wěn)定的數(shù)據(jù)網(wǎng)絡(luò)控制中心。公司總有6個部門，分別管理層、銷售部、信息部、后勤運營部、財務(wù)部、人力資源部；另外還有2個辦公區(qū)，1個智能會議室，1個綜合會議室。公司自行建設(shè)服務(wù)器給外網(wǎng)提供訪問。另外各個部門計算機數(shù)量由所需決定，如人力資源部和財務(wù)部均有20臺，行政主管會相對較少。現(xiàn)在公司屬于網(wǎng)絡(luò)建設(shè)初期，公司網(wǎng)絡(luò)主要為以太網(wǎng)連接和無線WiFi覆蓋；公司網(wǎng)絡(luò)需求主要有以下幾點：表2-1辦公樓布局一層運營后勤部二層銷售部人力資源部三層綜合會議室智能會議室四層行政主管財務(wù)部五層專用機房（各種服務(wù)器）公司的主干網(wǎng)通過防火墻過濾規(guī)則后再與外界的互聯(lián)網(wǎng)進行對接，實現(xiàn)與外網(wǎng)的信息共享與交換，其余的各子網(wǎng)接入公司內(nèi)部的主干通信局域網(wǎng)。主干網(wǎng)接入互聯(lián)網(wǎng)是有線的綜合寬帶網(wǎng)，速率在100Mbps上下；主干為1000M的光纖線路，其它部署為超五類雙絞線。公司網(wǎng)絡(luò)邏輯設(shè)計網(wǎng)絡(luò)設(shè)計原則一個企業(yè)級網(wǎng)絡(luò)系統(tǒng)環(huán)境的設(shè)計需要符合原則，其中包括網(wǎng)絡(luò)設(shè)計要求、網(wǎng)絡(luò)拓?fù)涞脑O(shè)計、IP地址的規(guī)劃、需要的設(shè)備類型以及設(shè)計到的技術(shù)方案等。系統(tǒng)設(shè)計原則是建設(shè)企業(yè)智能化網(wǎng)絡(luò)系統(tǒng)的基礎(chǔ)和充分必要條件，在企業(yè)網(wǎng)絡(luò)系統(tǒng)設(shè)計中應(yīng)充分考慮：穩(wěn)定性與高效性，先進和安全性等原則。穩(wěn)定性與高效性：支持行業(yè)的主流標(biāo)準(zhǔn)，且符合未來的發(fā)展潮流。保證網(wǎng)絡(luò)系統(tǒng)的穩(wěn)定性，便于使用，方便管理和維護。先進性與安全性：采用目前網(wǎng)絡(luò)技術(shù)的最新各種容錯災(zāi)備技術(shù)和系統(tǒng)備份與恢復(fù)技術(shù)，用以保證公司網(wǎng)絡(luò)系統(tǒng)有較高的安全可靠性。采用vlan技術(shù)劃分IP、ACL訪問控制列表，防火墻技術(shù)等安全控制措施，以保證系統(tǒng)的安全，不被外界入侵導(dǎo)致網(wǎng)絡(luò)系統(tǒng)癱瘓。公司網(wǎng)絡(luò)整體拓?fù)湓O(shè)計3.2.1公司網(wǎng)主干結(jié)構(gòu)設(shè)計廣州星光科技有限公司的主干網(wǎng)絡(luò)主要以核心層、匯聚層、接入層的三層結(jié)構(gòu)進行規(guī)劃設(shè)計，其中在匯聚層旁掛無線設(shè)備，是WIFI網(wǎng)絡(luò)服務(wù)可以覆蓋全公司，保持員工在公司進行工作的網(wǎng)絡(luò)全面暢通、無礙。公司的整體拓?fù)浣Y(jié)構(gòu)如圖3-1所示：圖3-1主干網(wǎng)網(wǎng)絡(luò)拓?fù)鋱D3.3.2公司內(nèi)部通信網(wǎng)絡(luò)結(jié)構(gòu)設(shè)計公司內(nèi)部通信網(wǎng)絡(luò)主要為華為的二層交換機接入主機，以三層交換機代替路由器作為公司的核心層和匯聚層，使網(wǎng)絡(luò)數(shù)據(jù)的交換更高速，進行自動獲取路由表尋址到達目標(biāo)。公司內(nèi)部通信網(wǎng)絡(luò)拓?fù)淙鐖D3-2所示：圖3-2內(nèi)部通信網(wǎng)絡(luò)拓?fù)鋱D3.3IP地址設(shè)計3.2.1IP地址規(guī)劃（1）根據(jù)目前網(wǎng)絡(luò)系統(tǒng)的結(jié)構(gòu)和后續(xù)拓展，規(guī)劃IP地址應(yīng)遵循以下三個原則。唯一性：所有可用的網(wǎng)絡(luò)設(shè)備IP地址是只有一個的，一個IP地址只能對應(yīng)一臺網(wǎng)絡(luò)設(shè)備。連續(xù)性;在同一個通信網(wǎng)絡(luò)區(qū)域的的設(shè)備，需劃分為同一網(wǎng)段的連續(xù)網(wǎng)絡(luò)地址，用于方便規(guī)劃以及提高交換機時路由尋找路徑的效率。高效性：應(yīng)采用可變長子網(wǎng)掩碼技術(shù)進行劃分IP地址網(wǎng)段，要求采用支持可變長子網(wǎng)掩碼技術(shù)的TCP/IP協(xié)議族。（2）業(yè)務(wù)地址的劃分可按照兩個原則來分配。通過公司的部門進行IP地址規(guī)劃，每個部門獨立分配一個的網(wǎng)段，配置不同的vlan；此方案目前適合公司業(yè)務(wù)種類較少的情況，主要管理方便。通過公司的業(yè)務(wù)流向進行IP地址劃分，一種業(yè)務(wù)分配一個網(wǎng)段，所有的目標(biāo)客戶同一業(yè)務(wù)的使用同一網(wǎng)段進行配置，此方案比較適合各業(yè)務(wù)之間的訪問控制。3.2.2網(wǎng)絡(luò)地址分配IP地址的劃分主要包含以下三個方面;網(wǎng)絡(luò)設(shè)備和互連鏈路的地址劃分部門IP地址劃分服務(wù)器IP地址劃分根據(jù)以上IP地址的劃分原則，公司的IP地址的設(shè)計如下：公司辦公樓：~553.2.3vlan的劃分表3-1辦公樓的vlan的劃分部門/子網(wǎng)vlanIp地址網(wǎng)關(guān)DNS財務(wù)部vlan10/24管理層vlan20/24銷售部vlan30/24人力資源部Vlan40/24前臺Vlan40/24會議室vlan50/24后勤運營部vlan60/243.4設(shè)備選型核心層網(wǎng)絡(luò)設(shè)備：三臺華為s5700-24TP核心交換機,一臺華為QuidwayAR28-11核心路由器。匯聚層網(wǎng)絡(luò)設(shè)備：分為3部分，分別為：后勤運營部門子網(wǎng)、管理層行政子網(wǎng)、信息技術(shù)子網(wǎng)，共需3臺華為QuidwayS3928F-EI三層交換機.接入層網(wǎng)絡(luò)設(shè)備：每個部門分化一個vlan，每個vlan由4臺華為QuidwayS2300二層交換機。3.4.1核心層設(shè)備圖3.-3核心層交換機表3-2核心層交換機參數(shù)設(shè)備名稱設(shè)備功能特性5570-24TP核心層交換機QOS：支持對端口接收和發(fā)送報文的速率進行限制支持報文重定向支持基于端口的流量監(jiān)管，支持雙速三色CAR功能每端口支持8個隊列支持WRR、DRR、SP、WRR+SP、DRR+SP、隊列調(diào)度算法支持報文的802.1p和DSCP優(yōu)先級重新標(biāo)配選擇華為S5700-24TP-SI(AC)，如上圖3-3、表3-2所示，該設(shè)備為千兆以太網(wǎng)交換機，應(yīng)用于三層功能全面，性能強大，適合做企業(yè)的核心交換機。圖3-4華為QuidwayAR28-11核心路由器表3-3核心路由器參數(shù)功能參數(shù)防火墻內(nèi)置防火墻糾錯Qos支持支持VPN支持支持網(wǎng)絡(luò)管理console、RMON、SNMP、TELNET、管理軟件其它參數(shù)處理器MPC8241200MHz產(chǎn)品內(nèi)存DRAM內(nèi)存；128MBFLASH內(nèi)存32MB糾錯電源電壓AC100-240V，50/60Hz,DC-48--60V產(chǎn)品尺寸442X315X44mm如上圖3-4和表3-3可知，華為QuidwayAR28-11核心路由器WAN/LAN是多業(yè)務(wù)路由器。是面向運營商網(wǎng)絡(luò)和企業(yè)用戶的網(wǎng)絡(luò)產(chǎn)品。3.4.2匯聚層設(shè)備圖3-7華為QuidwayS3928F-EI交換機表3-4QuidwayS3928F-EI交換機參數(shù)網(wǎng)絡(luò)參數(shù)網(wǎng)絡(luò)標(biāo)準(zhǔn)IEEE802.3,IEEE802.3u,IEEE802.3d,IEEE802.3ab,IEEE802.3x傳輸模式全/半雙工自適應(yīng)CLI支持命令接口（CLI）配置，支持telnet遠(yuǎn)程配置，支持通過console配置，支持SNMP，支持rmon1,2,3,9組MIB，支持華為Imanger?N2000DMS網(wǎng)管系統(tǒng)堆疊功能能堆疊端口參數(shù)接口數(shù)量26個接口類型24個百兆STP口，2個千兆STP口和2個10/100/1000M電口模塊化插槽數(shù)2個其它安全性用戶分級管理和口令保護支持IEEE802.1X認(rèn)證支持AAA、Radius、HWTACACS認(rèn)證支持MAC地址學(xué)習(xí)數(shù)目限制支持MAC地址與端口綁定如上圖3-7和表3-4可知，華為QuidwayS3928F-EI交換機系統(tǒng)采用IRE（智能彈性架構(gòu)）技術(shù)，將多臺分散的設(shè)備組成同一的交換矩陣，非常適合作為可拓展性、可靠性、安全性和易管理性的辦公網(wǎng)、業(yè)務(wù)網(wǎng)和駐地網(wǎng)的匯聚層交換機；提供基于WLAN的批量ACL下發(fā)，支持對報文的過濾、優(yōu)先級設(shè)置，保障高優(yōu)先級業(yè)務(wù)和用戶的安全需求。3.4.3接入層設(shè)備圖3-9華為QuidwayS2300接入交換機表3-5華為QuidwayS2300接入交換機參數(shù)網(wǎng)絡(luò)參數(shù)網(wǎng)絡(luò)標(biāo)準(zhǔn)IEEE802.3,IEEE802.3u,IEEE802.3d,IEEE802.3ab,IEEE802.3x網(wǎng)管功能支持命令接口（CLI）配置，支持telnet遠(yuǎn)程配置，支持自動配置功能，支持SNMP，支持V1/V2/V3，支持RMON，支持集群管理HGMPV2堆疊功能不能堆疊端口參數(shù)接口數(shù)量26個接口類型10/100

BASE-T,10/100/1000Base-T,100/1000

Base-X/STPCOMBO模塊化插槽數(shù)2個其它是否支持全雙工全、半雙工網(wǎng)管支持可網(wǎng)管型電氣規(guī)格電源電壓額定電壓范圍：-48--60Vdc

最大電壓范圍：-36--72Vdc額定功率<15.5W外觀參數(shù)重量<2.4KG長度442mm寬度220mm高度43.6mm如上圖3-9和表3-5可知華為QuidwayS2300接入交換機是新一代智能的接入交換機，面向IP城域網(wǎng)和企業(yè)網(wǎng)，可以實現(xiàn)以太網(wǎng)多業(yè)務(wù)承載以及各種以太接入場景；可以為用戶有效地提高產(chǎn)品可運營、可管理、業(yè)務(wù)拓展能力，具備優(yōu)異的防雷能力和安全特性，支持acl、QINQ等功能，滿足WLAN靈活部署的需求。3.4.4服務(wù)器設(shè)備服務(wù)器是公司的重要網(wǎng)絡(luò)設(shè)備之一，提供公司內(nèi)部許多服務(wù)的支撐，比如ftp服務(wù)等，因此需要根據(jù)公司的需求選擇合適的服務(wù)器設(shè)備，如下圖3-11所示：圖3-11IBMSystemx3650M2表3-6IBMSystemx3650M2參數(shù)內(nèi)存內(nèi)存類型ECCDDR3內(nèi)存容量2GB*3最大內(nèi)存128GB存儲硬盤類型SAS/SATA光驅(qū)可選網(wǎng)絡(luò)網(wǎng)絡(luò)控制器集成的雙千兆以太網(wǎng)其它參數(shù)PCI拓展槽4環(huán)境參數(shù)工作溫度10-35℃工作濕度8%-85%工作高度2133m存儲溫度10-43℃存儲濕度5%-9%存儲高度2133m如表3-6可知，IBMSystemx3650M2擁有多功能和可靠的技術(shù)，是屬于節(jié)能智能型的服務(wù)器設(shè)備。X3650M2擁有先進的虛擬化功能，還提供每個內(nèi)核內(nèi)存容量，支持功效、經(jīng)濟的實施虛擬化。技術(shù)實施方案4.1vlan技術(shù)Vlan稱為虛擬局域網(wǎng)，虛擬局域網(wǎng)VLAN是一組在邏輯上的設(shè)備和用戶，這些設(shè)備和用戶并不會受到物理網(wǎng)段的限制。可以依據(jù)公司的每個部門業(yè)務(wù)工作性質(zhì)和網(wǎng)絡(luò)需求，公司的辦公通信網(wǎng)絡(luò)按照部門業(yè)務(wù)進行vlan的劃分，每個部門劃分為不同的vlan網(wǎng)段，同在一個VLAN網(wǎng)段的網(wǎng)絡(luò)，部署端口隔離技術(shù)。端口隔離技術(shù)，具備以下優(yōu)點：（1）規(guī)避廣播風(fēng)暴的發(fā)生。Vlan技術(shù)能夠提供建立防火墻的機制，禁止公司的網(wǎng)絡(luò)發(fā)生過量廣播數(shù)據(jù)。采用VLAN技術(shù)可以縮減廣播流量，釋放冗余的帶寬給用戶使用，降低廣播流量的產(chǎn)生。（2）保障公司網(wǎng)絡(luò)安全。在公司的匯聚層接入層交換網(wǎng)絡(luò)，劃分為不同的VLAN網(wǎng)段之間是不可以直接進行數(shù)據(jù)通信的，要通過在三層交換網(wǎng)絡(luò)進行驗證之后才能相互訪問進行通信，用來提高公司網(wǎng)絡(luò)安全，降低發(fā)生意外事件導(dǎo)致泄露隱秘信息和數(shù)據(jù)的可能，保障公司的隱私，為公司通信網(wǎng)絡(luò)建設(shè)安全的上網(wǎng)環(huán)境。（3）采用VLAN技術(shù)還可以減少公司建設(shè)網(wǎng)絡(luò)系統(tǒng)的成本，增加員工工作的效率，讓網(wǎng)絡(luò)系統(tǒng)方便進行管理，增強網(wǎng)絡(luò)的靈活性等優(yōu)勢。在同一個部門不相同的物理網(wǎng)段結(jié)點能夠被劃分為同一邏輯子網(wǎng)。對于網(wǎng)絡(luò)數(shù)據(jù)和信息資源中心，例如技術(shù)部門、財務(wù)部門等重要部門應(yīng)要使用基于傳統(tǒng)的MAC地址來進行WLAN劃分技術(shù)，降低發(fā)生IP地址沖突或被盜用等其它的安全問題。4.2ACL訪問控制列表技術(shù)ACL訪問控制列表技術(shù)是保證公司通信網(wǎng)絡(luò)信息安全的主要策略，它的主要目的是保障網(wǎng)絡(luò)資源不被外界和內(nèi)部員工的非法使用和訪問，它是保證公司網(wǎng)絡(luò)安全最重要的核心策略之一。讓公司員工在工作的不同進行工作上的的事情；提高公司整體的工作效率。公司網(wǎng)絡(luò)訪問控制列表定義為：公司各部門之間的網(wǎng)絡(luò)不能夠相互訪問，在路由器的出口處進行檢驗，禁止公司的財務(wù)和后勤部門訪問外網(wǎng)互聯(lián)網(wǎng)。[Switch]acl3001[Switch-acl-adv-3001]ruledenyipsource55destination55//禁止后勤部訪問財務(wù)[Switch]time-rangerest-time0:00to23:59every-day[Switch-acl-basic-2001]ruledenysource55time-rangerest-time//禁止財務(wù)和后勤部門訪問外網(wǎng)使用ACL限制除了后勤和保安部門不能訪問服務(wù)器之外的所有部門只能在在工作日8：00~21：00時間段可以訪問ftp服務(wù)器，不能使用QQ、優(yōu)酷視頻網(wǎng)站。//配置時間段：time-rangeftp-access08:00to21:00working-daytime-rangeftp-accessfrom00:002019/5/1to23:592025/5/1time-rangeYouKu08:00to18:00working-daytime-rangeQQ08:00to18:00working-dayaclnumber2001//ftp服務(wù)器的限制rule10permitsource55time-rangeftp-accessrule20denysource55rule25denysource55aclnumber2002//限制員工在工作時間不能訪問QQ、優(yōu)酷rule5denysource55time-rangeQQrule10denysource55time-rangeYouKuSNMP中應(yīng)用ACL過濾非法網(wǎng)管[Switch]snmp-agentmib-viewincludedisoview01system//配置MIB視圖isoview01能夠訪問system子樹。[Switch]snmp-agentmib-viewincludedisoview02interfaces//配置MIB視圖isoview02能夠訪問interfaces子樹。配置團體名，系統(tǒng)管理員在添加新的交換機時，使用團體名進行驗證，同時應(yīng)用設(shè)置訪問控制，使訪問控制策略生效。[Switch]snmp-agentcommunityreadadminnms01mib-viewisoview01acl2001//配置adminnms01對system子樹具有只讀權(quán)限。[Switch]snmp-agentcommunitywriteadminnms02mib-viewisoview02acl2001//配置adminnms02對interface子樹具有讀寫權(quán)限。配置告警主機，并使能交換機主動發(fā)送Trap消息的功能。[Switch]snmp-agenttrapenableWarning:AllswitchesofSNMPtrap/notificationwillbeopen.Continue?[Y/N]:y//打開交換機上所有的Trap開關(guān)。缺省情況下僅打開了部分告警開關(guān)，可通過displaysnmp-agenttrapall命令查看。[Switch]snmp-agenttarget-hosttrapaddressudp-domainparamssecuritynameadminnms01v14.3IPSG技術(shù)IP源防護是一種基于IP/MAC的端口流量過濾技術(shù)，它能夠防止在同一局域網(wǎng)內(nèi)的IP地址被欺騙攻擊。IPSG能夠確保第2層網(wǎng)絡(luò)中終端設(shè)備的IP地址不會被劫持，而且還能確保非授權(quán)設(shè)備不能通過自己指定IP地址的方式來訪問網(wǎng)絡(luò)或攻擊網(wǎng)絡(luò)導(dǎo)致網(wǎng)絡(luò)崩潰及癱瘓?？梢韵拗乒镜碾娔X或員工的電腦禁止私自改動ip地址，防止發(fā)生IP地址沖突，造成一系列的網(wǎng)絡(luò)癱瘓，同時限制非法主機訪問內(nèi)網(wǎng)，造成公司文件數(shù)據(jù)庫的外泄、技術(shù)的核心內(nèi)容被盜，造成不可估計的損失。配置IPSG防止靜態(tài)主機私自更改IP地址aclnumber3001//配置ACLrulepermitipsource0//允許上網(wǎng)的主機ruledenyipsource55trafficclassifierc1/if-matchacl3001//配置基于ACL的流分類trafficbehaviorb1/permit//配置流行為trafficpolicyp1/classifierc1behaviorb1//配置流策略user-bindstaticip-addressmac-address0002-0002-0002interfacegigabitethernet0/0/1//創(chuàng)建Host_1的靜態(tài)綁定表項配置IPSG限制非法主機訪問內(nèi)網(wǎng)[Switch]user-bindstaticip-addressmac-address0001-0001-0001interfacegigabitethernet0/0/1//創(chuàng)建Host_1的靜態(tài)綁定表項[Switch]dhcpenable//使能DHCP功能[Switch]dhcpsnoopingenable//使能全局DHCPSnooping功能[Switch]interfacegigabitethernet0/0/4[Switch-GigabitEthernet0/0/4]dhcpsnoopingtrusted//配置信任接口4.4防火墻技術(shù)防火墻指的是一個由軟件和硬件設(shè)備組合而成、在內(nèi)部網(wǎng)和外部網(wǎng)之間、專用網(wǎng)與公共網(wǎng)之間的界面上構(gòu)造的保護屏障。防火墻是一種保護計算機網(wǎng)絡(luò)安全的技術(shù)性措施，它通過在網(wǎng)絡(luò)邊界上建立相應(yīng)的網(wǎng)絡(luò)通信監(jiān)控系統(tǒng)來隔離內(nèi)部和外部網(wǎng)絡(luò)，以阻擋來自外部的網(wǎng)絡(luò)入侵。防火墻技術(shù)是建立在現(xiàn)代通信網(wǎng)絡(luò)技術(shù)和信息安全技術(shù)基礎(chǔ)上的應(yīng)用性安全技術(shù)公司在進行網(wǎng)絡(luò)規(guī)劃時需要添加防火墻設(shè)備來保證內(nèi)部網(wǎng)絡(luò)的安全。這里，將外網(wǎng)劃分為untrust安全區(qū)域，安全等級為5；服務(wù)器群劃分到dmz區(qū)域，安全等級為50；辦公局域網(wǎng)劃分到trust區(qū)域，安全等級為150。不同區(qū)域間數(shù)據(jù)流通需要配置相關(guān)的安全策略。為了防止黑客利用公司的IP進行地址惡意攻擊服務(wù)器，因此需配置安全策略，僅允許服務(wù)器向辦公樓發(fā)送服務(wù)數(shù)據(jù)，禁止外網(wǎng)的主機設(shè)備向服務(wù)器集群發(fā)送協(xié)議服務(wù)。配置安全策略的命令如下：policyinterzonetrustdmzoutboundpolicy1policysource55policydestination55policyserviceservice-setdnspolicyserviceservice-sethttppolicyserviceservice-setftpactionpermit//允許內(nèi)網(wǎng)的所有主機能夠享受到dmz區(qū)域內(nèi)網(wǎng)段提供的http服、dns服務(wù)和ftp服務(wù)通過上述命令，僅允許服務(wù)器集群向小區(qū)局域網(wǎng)發(fā)送dns服務(wù)、http服務(wù)和訪問ftp服務(wù)器。能夠保證公司局域網(wǎng)絡(luò)的性能優(yōu)化，同時避免服務(wù)器集群被攻擊。4.5NAT網(wǎng)絡(luò)地址轉(zhuǎn)換協(xié)議由于公司網(wǎng)絡(luò)系統(tǒng)終端較多，不可能為每個都分配ip地址，所以，在公司網(wǎng)絡(luò)設(shè)計的時候網(wǎng)絡(luò)系統(tǒng)可以使用NAT網(wǎng)絡(luò)地址轉(zhuǎn)換技術(shù)把公司的私有IP地址轉(zhuǎn)化為合法的公有IP地址，再接入到外界網(wǎng)絡(luò)，以保證公司網(wǎng)絡(luò)能夠正常的訪問互聯(lián)網(wǎng)。由于公司網(wǎng)絡(luò)系統(tǒng)比較復(fù)雜，我們采用動態(tài)網(wǎng)絡(luò)地址轉(zhuǎn)換技術(shù)。內(nèi)部地址為公司各部門的網(wǎng)絡(luò)地址，具體如下：表4-1公司網(wǎng)絡(luò)地址轉(zhuǎn)換地址：Ip內(nèi)部地址：-/24/24公用地址池：-外部地址配置nat地址池:Nataddress-group1Modefull-conelocalSection1配置nat策略:Nat-policyinterzonetrustuntrustoutboundPolicy1Policysource55Actionsource-natAddress-group14.6OSPF動態(tài)路由協(xié)議公司網(wǎng)絡(luò)使用OSPF動態(tài)路由協(xié)議，可以保障公司的路由表信息進行實時更新。由于公司網(wǎng)絡(luò)的接入點較多，網(wǎng)絡(luò)結(jié)構(gòu)比較復(fù)雜，如果采用靜態(tài)路由技術(shù)進行配置，系統(tǒng)管理員配置的工作量會大大增加同時也會不方便進行管理，并且OSPF收斂的速度快，可以控制自身的開銷值少。所以公司網(wǎng)絡(luò)采用ospf動態(tài)路由協(xié)議，具體的的配置實現(xiàn)過程如下所示：在公司所有的的匯聚層交換機和防火墻上分別配置ospf協(xié)議，保證公司局域網(wǎng)內(nèi)網(wǎng)絡(luò)的連通信。在交換機配置：ospf1area0//區(qū)域默認(rèn)為0network55//添加交換機直連網(wǎng)段network55通過上述命令，交換機會自動進行路由，并把直連路由自動分布出去，大大減少了人工成本時間。4.7無線網(wǎng)絡(luò)的搭建無線局域網(wǎng)WLAN已經(jīng)成為當(dāng)前企業(yè)IP網(wǎng)絡(luò)建設(shè)不可或缺的一部分。關(guān)于公司員工正常的工作，無線局域網(wǎng)當(dāng)前來說主要設(shè)計到的領(lǐng)域一般歸結(jié)為以下三個方面：數(shù)據(jù)處理，語音通訊，實時定位。給公司搭建一套無線局域網(wǎng)系統(tǒng)，實現(xiàn)公司區(qū)域全面網(wǎng)絡(luò)覆蓋，實現(xiàn)公司的每樓層，每區(qū)域都能連接到網(wǎng)絡(luò)。主體的骨干網(wǎng)絡(luò)拓?fù)淙缦拢簣D4-1無線網(wǎng)拓?fù)鋱D配置命令如下：配置Trunk命令：vlanbatch100101102103]interfaceGigabitEthernet0/0/1port?link-type?trunkport?trunk?pvidvlan?100?port?trunk?allow-pass?vlan?100101102配置虛擬端口IP：DhcpenableInterfacevlanif100Ipaddress24Dhcpselectinterface配置ACwlan基礎(chǔ)配置wlan?ac-global?ac?id?1?carrier?id?other?wlan?ac-global?country-code?CN?[AC]wlanWlanacsourceinterfacevlanif100Ap-auth-modeno-auth配置ACWLAN業(yè)務(wù)參數(shù)#創(chuàng)建wlan-ess接口interfacewlan-ess0/porthybridpvidvlan101#創(chuàng)建wmm模板security-wmm-profilenamewmm#創(chuàng)建安全模板security-profilenamesecrity#創(chuàng)建流量模板traffic-profilenametraffilc4.8DHCP服務(wù)器搭建DHCP是一個局域網(wǎng)的網(wǎng)絡(luò)協(xié)議，只要功能時可以給在局域網(wǎng)內(nèi)部的主機進行自動分配動態(tài)ip地址，方便管理員對局域網(wǎng)內(nèi)部的主機進行劃分與管理，公司網(wǎng)絡(luò)系統(tǒng)的接入點多，如果每臺主機都進行手動分配靜態(tài)ip地址，那么公司的管理員工作量會增加很多，同時在管理和維護公司的網(wǎng)絡(luò)系統(tǒng)時也會增很多難度系數(shù)，為了節(jié)約網(wǎng)絡(luò)建設(shè)成本，因此搭建DHCP服務(wù)器給主機進行自動分配IP是必要的，利用華為三層交換機在核心層搭建DHCP服務(wù)器。同時可以有效防止用戶將不符合規(guī)范的的DHCP服務(wù)器接入到網(wǎng)絡(luò)中，例如用戶自帶的無線路由器等，致使正常的用戶獲取到不正確的IP地址，從而上不了網(wǎng)或者導(dǎo)致正常用戶獲取到IP地址出現(xiàn)有沖突的情況，部需開始DHCPSnooping功能。給公司的主要部門搭建DHCP服務(wù)器，基于全局地址池如下：表4-2IP地址池vlanIp地址池網(wǎng)關(guān)DNSvlan20-540vlan30-540vlan40-540vlan50-540vlan60-540其中行政主管部門vlan20的配置如下圖4-2所示：圖4-2行政主管的DHCP服務(wù)拓?fù)鋱D主要命令如下：配置vlanif:interfaceVlanif20ipaddressdhcpselectglobal配置全局地址池：ippoolvlan20gateway-listnetworkmaskexcluded-ip-address27//地址~127不參與自動分配leaseday999hour0minute0//租期999天dns-list配置DHCPsnooping仿冒者攻擊dhcpsnoopingenableipv4開啟DHCPsnooping服務(wù)interfaceGigabitEthernet0/0/1portlink-typetrunkporttrunkallow-passvlan10dhcpsnoopingtrusted在公司的匯聚層交換機上搭建DHCP服務(wù)，配置上述命令，以后添加的計算機可以自動分配動態(tài)IP地址。

網(wǎng)絡(luò)連通性測試5.1不同vlan之間的通信選擇技術(shù)部（vlan20）的一臺主機PC3，查看主機的IP地址，另一臺為營銷部（vlan30）的一臺主機PC1。進行不同部門之間的網(wǎng)絡(luò)聯(lián)通測試是否可以通信，如下圖所示：圖5-1PC3pingPC1如上圖5-1所示，公司的內(nèi)部通信網(wǎng)絡(luò)不同的部門之間是可以互通的5.2驗證DHCP服務(wù)選擇公司內(nèi)部的一臺主機設(shè)置為自動獲取IP地址，用ipconfig查看是否會自動獲取IP地址，再用另一臺主機測試ping。圖5-2PC2設(shè)置圖5-3PC2IP地址圖5-4如圖5-2，圖5-3的結(jié)果可知公司內(nèi)部主機是可以自動獲取到IP地址，并可以與其它主機通信。5.3驗證Ftp、Http服務(wù)器在服務(wù)器設(shè)置ftp、http服務(wù)，并用營銷部的一臺主機進行獲取ftp、http文件：圖5-5ftp網(wǎng)址圖5-6ftp開啟圖5-7http開啟如上圖5-5，圖5-6，圖5-7所示，發(fā)現(xiàn)ftp服務(wù)，http服務(wù)是已經(jīng)開始。圖5-8獲取ftp文件圖5-9獲取http文件如上圖5-8，圖5-9可知，主機是可以發(fā)現(xiàn)能夠ftp、http服務(wù)并獲取成功，部門的主機可以在線訪問ftp、http服務(wù)器。5.4驗證NAT地址用行政主管的一臺主機PC1連接外網(wǎng),測試結(jié)果