天汇企业网络的设计与实现
摘要:互联网技术与通信技术的相互带动作用,使得两者皆呈现多样化的快速发展趋势,5G的时代序幕在已经逐渐开启,由此引发的互联网技术和设备变革必然是各界人士关注的重点,几乎所有与计算机相关行业,都会迎来新的机遇。
基于这个时代新的挑战,旧有的企业网络设计框架面对5G时代人们对于网络的需求提高,新挑战必然会出现问题,无法适应在移动通讯网络超过数千倍的增长使用需求,ipv6与ipv4更新,适应5G的新系统的适用,等等问题接踵而至,如何预先设计并搭建一个能够面对新需求的企业网络构架或改造旧有的网络环境,就是一个即将面对的问题。
本文以设计能应对新环境新潮流为前提,满足现有网络设计需求为基础这两个中心点展开,包含对未来新时代的需求挑战和机遇的分析,如5G和ipv6对于未来5年的影响展望,和现有网络合理优化。研究方法采用理论和实际相结合,理论上可用到真实的企业网络设计方案,文献对现有网络的分析,实际模拟则采用设备模拟器进行网络构建,结合企业网络现实出现的实施中和维护问题,以达到靠近真实环境。
关键词:网络优化 ipv6 5G 企业网
Design and implementation of Tianhui Enterprise Network
Summary: The interaction of Internet technology and communication technology has led to a diversified and rapid development trend for both, and the prologue of the 5G era has been gradually opened, the resulting revolution in internet technology and equipment is bound to be the focus of attention, almost all computer-related industries, will usher in new opportunities.
Based on the new challenges of this era, the old enterprise network design framework faces the increasing demand for the network in the 5G era, and the new challenges will inevitably appear, unable to adapt to the growth of the use of the mobile communication network more than thousands of times, iPV6 and IPV4 UPDATE, adapt to the new 5G system, and so on, how to pre-design and build a new enterprise network architecture to meet the new demand or transform the old network environment, is a problem that will be faced.
Based on the premise of responding to the new environment and the new trend and meeting the existing network design requirements, the two central points are developed, including an analysis of the demand challenges and opportunities of the new era in the future, such as the impact of 5G and IPV6 on the outlook for the next five years, and the existing network. The research method is based on the combination of theory and practice. In theory, the real enterprise network design scheme can be used. The existing network is analyzed in the literature, combined with the implementation and maintenance problems of the enterprise network reality, to achieve close to the real environment.
Keywords: etwork optimization ipv6 5G Enterprise Network
目 录
第一章 绪论71.1研究背景71.2项目研究的意义和目的81.3 课题研究内容8第二章 未来网络的分析92.1网络的未来前景92.1.1现代的网络环境分析92.1.2 5G的影响分析92.2 相关策略选择112.2.1堆叠技术替代vrrp作为选择112.2.2 企业内网络路由协议ospf与的is-is选择112.2.3 ipv6与ipv4连接问题12第三章 公司需求分析133.1 天汇公司业务现状和网络需求分析133.1.1 业务内容133.1.2 公司对网络的设计需求大致目标143.1.3部门主机的硬件和功能需求142.1.3 ip地址的分析应用15第四章 具体设计164.1网络拓扑设计164.2子网划分164.2 vlan设计184.3 OSPF设计184.4 nat地址转换设计184.5 dhcp设计194.6 ipv4和ipv6的过渡设计194.5 网络安全实现204.5.1防火墙设计204.5.2安全策略设计204.9设备选型,和线路选择214.9.1 设备分析选型214.9.2 网络物理链路选择21第五章 具体实施225.1关于Vlan实施225.2关于ospf实施255.3关于nat配置275.4关于dhcp实施285.5关于防火墙实施295.6关于策略实施30第六章 网络测试327.1 DHCP测试327.2NAT地址转换测试337.3 OSPF搭建连通性测试33参考文献35致谢36
第一章 绪论
1.2项目研究的意义和目的
互联网企业网络设计理念和管理措施趋渐完善,但这大部分是为旧有的的网络设施服务,随着新的市场需求和新概念的出现,必须对网络设计,进行跟随时代的更新,滞后于当前社会的网络设计和扩展,不但会增加企业成本和压力,还可能无法满足企业业务需求。
对于企业而言,合理网络工程的设计与应用,将极大的促进工作效率,进而优化的企业结构,节约企业开发运营的成本。而且具有前瞻性的网络构筑将更好的帮助企业转向智能化2即使只是微小的改进只能提升1%的效率,在日积月累下也能为企业省下开销,产生数目可观的利益企业网络的设计完善为可以说是与市场并行,是与时俱进,自我优化的必然结果。在互联网行业,要做到把握先机,就必须先提升自己,做到比同行业其他人更快更好,才能提升自身企业的竞争力。完善网络设计理念推进网络设计的发展对适应现代社会,甚至推动社会发展有着深远的意义。
1.3 课题研究内容
课题研究内容分为两部分 一部分是基于分析5G和ipv6在未来的发展状况,来思考如何对现有的网络设计进行改造,包括增加网络设计,摒弃过时的网络策略等。另一部分则是对现有的网络设计进行规划,包含网络ip的划分(ipv4),网络二层交换机的配置,路由策略的搭配,安全防护策略配置。另外补充关于网络搭建实际问题需要注意的要点,以及设备选型。
第二章 未来网络的分析
2.1网络的未来前景
2.1.1现代的网络环境分析
网络发展带动人与物互联‘互联网+’逐步实现,在网络基础设备足够完善的情况下,就可以给产品带来巨大附加效益,带来多个产业的崛起发展。
对外,网络拉近了现代企业与社会群众之间的距离。对内,网络的合理设计构架维护,也是为开展以上业务进行基础建立。对内部企业网络的保护,也是对于企业,公司正常运转的保障,如阿里云的数据中心,就包含环境和设备监控系统,安全防范系统,消防安全系统等,此外还有多个冷备机房,线下冷备份,异地拷贝等这些多重可靠的网络设计和配套系统,共同维护着这个网络安全。对内的网络设计,也当学习其严谨性,在设计网络时候,实现网络稳定和安全,这两个最基本的诉求。
2.1.2 5G的影响分析
5G是未来网络行业一个重要的标志是,5G既第五代移动通信技术。相对于4G来说就是更高数据速率、非常低的网络延迟、大型设备与连接端的紧密结合。在此的基础上AR,VR和未来游戏行业拥有新的展望,应用于医疗,军事上的实时模拟,交通的全面自动驾驶等设想开始诞生。还有关于万物互联的设想。(接下表)
由表可得分析出5G的普及毫无疑问是人们踏向下一个新网络时代的目标,是可以带动产业升级变化的新技术,是应该重视的问题。那么5G广泛应用实现的具体实现究竟有多远,而根据资料和行业现状的分析,至少在5年内,想要依靠5G改变未来网络的格局是不现实的
现产业,5G的网络是超额满足当前社会个人对于网速的需求 出现大量带宽剩余。基于5G的 VR,AR设备缺失市场,自动驾驶的研发系统性价比偏低,至于万物互联,则需要依靠5G成熟 才能实现。 5G未来发展必然会引发巨大改革,但这个改变所遇到的阻力也同样大, 5G对于行业投入之高,行业没有5G产物能有利益点。
对于网络设计上的理念是更新换代级别的,基于5G来对现有网络设计的改变 的是不必要的,只需要有所相关部分考即可如4G接入5G网络-----从新的巨额流量接入,旧有设备高效利用---多台设备的堆叠这两点
2.2 相关策略选择
2.2.1堆叠技术替代vrrp作为选择
首先,了解下两种策略
VRRP:虚拟路由冗余协议把两台以上的路由设备,虚拟成一台合体的路由设备,新的虚拟路由设备的IP地址将承担被组合路由的网关作用。而且这个虚拟合体路由的网关设备出现问题的时候,可以在其体制内产生新的网关来承接原来网关的工作,满足网络的稳定性。合成的虚拟设备对外体现为一台虚拟路由器,实现链路冗余备份。
堆叠:集群交换机系统,是将2台交换机通过专用的集群电缆链接起来,对外呈现为一台逻辑交换机。通过交换机集群,可以实现网络高可靠性和网络大数据量转发,同时简化网络管理。
具体特性如下:高可靠性:两台成员交换机能够互相连接备份,跨设备的链路冗余备份也是链路聚合的功能之一。网络的未来扩展能力优秀:堆叠的设置使得多个端口管理,命令配置和管理都比各自单个管理更加靠谱:这也使得只需要对单个交换机进行操作,就能对整个连接的系统交换机进行整合管理
堆叠非常适合二层组网环境:堆叠的网络特性是没有产生环路的,多台交换机在同一网络的问题也不会出现。同时也满足对于网络高性能的要求,提升网络效果,适用于为未来接入5G做网络基础。
2.2.2 企业内网络路由协议ospf与的is-is选择
OSPF是由IETF标准组织制定的一种基于链路状态内部网关协议,当初研发出来是为代替RIP,具有不受跳速影响,合理规划可以容纳一千多台路由器的运转,具有可变长划分子网,收敛速度更快,以划分边界来缩短路由表项目提高路由运行速度,支持在不同区域的网络验证,可支持组播
Is-is的协议也大多和ospf拥有类似的优势,但它不用使用IP地址,远程无法攻击,单个路由只属于一个区域,(ospf一个接口可以属于不同区域),没有区域概念但ospf有骨干区分,在IS-IS,不同等级级别的路由都采用一个算法,最短路径树SPT的生成由各自的路由产生,ospf则是一个区域一个spf算法,借用骨干路由转发信息。
这两个都是分层的链路状态协议,ospf优势在于对于流量区域的细分和调节,is-is则是其简化性质使得,网络可用性高和抗打击能力强。结合优势上,对于企业来说,一般都用OSPF,来进行对企业内部的管理
2.2.3 ipv6与ipv4连接问题
Ipv4与ipv6的共存未来的趋势,nat技术使得延长ipv4的使用寿命,暂时解决了地址短缺的问题,但是ipv6的优越性时代性是比ipv4更适合应用在现代互联网的发展
ipv4业务是目前广泛使用的网络协议,鉴与原有ipv4的规模,ipv4和ipv6两种协议会一同在网络中长期存在, ipv6的改造有多种模式,如双栈模式,NAT64这两种(隧道技术属于ipv6和ip6在ipv4网络下的链接)
网络协议主体是采用ipv4,如何把散落在各区域网络的ipv6相互联系起来,隧道技术就应运而生。
要使用隧道技术下,路由器双方都得是双栈路由器,且都需要支持两端识别双协议。使用两个或多个双栈,是实现在ipv4网络为主体,ipv6相互连通的实用方案
双栈方式是在网络设备上同时运行ipv4和ipv6两种路由协议,同时对外部用户提供ipv4和ipv6 网络访问服务。
NAT64转换是把来自ipv6源地址的访问进行双向地址转换,即把源、目ip地址同时转换为ipv4 地址,来实现ipv4的服务地址对ipv6用户提供服务。
第三章 公司需求分析
3.1 天汇公司业务现状和网络需求分析
3.1.1 业务内容
天汇安保公司是一家小型的安保企业,主要业务是为公民,法人,提供安保服务,按照签署的方案采取随身护卫等行为满足客户的安全需求,或为客户单位提供出入口值守,验证,检查登记的服务业务
天汇安保公司除了最高管理董事处下设有,六个部门
财务部:负责核算财务收支支出,员工工资发放,确保资金周转平衡,
行政部:管理其他部门相互协调,保证企业的技术,设计,生产,资金,经营,开发几大模块相互配合推进任务进程
综合部:对食堂管理,企业办公用具,清洁问题
市场部:对市场进行调查,搜寻市场中合适的客户,负责公司的安保业务推销,负责宣传公司的企业文化和实力
人防部:公司内部的安保人员,维持公司的日常秩序,保护企业门口的安全,还有职编下负责外配到客户下的安保人员
客服部:对客户反应的接受部门,通过客户用于了解旗下工作人员
(楼层a,第一层为财务部,第二层为董事处,第三四层为行政部)
(楼层b,第一层为综合部,客服部,人防部,二层为市场部,第三层为市场部)
(公司宿舍楼区为c共三层,可容纳120个员工,)
3.1.2 公司对网络的设计需求大致目标
安保企业基本上很少使用书面形式开展工作, 所有企业内部数据如数据库、操作记录等都需要使用网络来维护和保管,鉴于安保企业的特殊性,布局网络时需要考虑,用户资料安全保密,企业内外网络安全、企业网络的日常维护等各个方面。企业需要的网络规划应该涉及到网络的先进性、可扩展性、高可靠性、稳定性、高宽带、经济性等,其中安全稳定是安保企业重要的需求
天汇安保公司的网络需要根据部门需求,来分配不同的网络配置
表3-1-2 天汇公司部门主机数量需求表
| 部门 | 主机数量 |
|---|---|
| 董事处 | 10 |
| 行政部 | 30 |
| 综合部 | 5 |
| 客服部 | 5 |
| 人防部 | 5 |
| 市场部 | 40 |
| 财务部 | 5 |
| 员工宿舍 | 120 |
| Vlan1-8 | 220 |
3.1.3部门主机的硬件和功能需求
董事部:需要整个网络的最高权限,有稳定高速的带宽支持远程网络会议和大文件传输
财务部:需要主机能够满足进行关于资产的购置,能计算且保存对于资本管理的账面,
行政部:主要负责对公司内部进行行政管理,记录,处理公司内部事务,保存客户的资料信息
综合部:需要对公司内部的物件进行统计计算,
客服部:要求网络稳定,保证在外网与客户交流不会被网络事故中断,影响到对客户的服务
人防部:负责登记人员出入情况,门卫调查,管理公司内部监控视频
市场部:需要能够进行绘图,美工,能够流畅运行高级修图工具的主机,对主机的显卡等硬件有较高要求,网络上要把设计成品,安全发送到董事处审批
员工宿舍:常规的用户需求,每一个宿舍都要配置一个网络地址,需要提供可用的网线、以供使用,但不需要提供电脑,且要求与公司网络分隔。
2.1.3 ip地址的分析应用
IPv4地址资源耗尽,在2019年这些总共约43亿的IPv4地址已彻底分配给全球,这代表着没有更多IPv4地址可以分配给ISP或者其他大型网络基础设施提供商。
公司鉴于当前的环境,对于网络有两种可用协议,一种是ipv4一种是ipv6
即使存在一些局限,Ipv4是依然是当前成熟且广泛应用的网络协议,同时引用可ipv6进行补充,是适应现在企业网的选择。
第四章 具体设计
4.1网络拓扑设计
添加图片注释,不超过 140 字(可选)
图4-1-1 网络架构设计图
说明:左侧是包含董事处等7个部门的100台主机,往上是配置S3700二层交换机,下方接入服务器,之后是汇聚层交换机,通往外网的数据经过R1转发通过FW1到达外部路由器,R3是负责转发员工宿舍的路由器。Serve1-3作为服务器加入网络。
4.2子网划分
根据各个部门的网络需求,来划分各个区域的网络
需要220个子网ip,故使用网段为192.168.0.0的网段来作为公司内网网段
来满足公司的网络需求
A栋,共有45个ip
B栋,共有55个ip
C栋,共有120个ip
表4-2-1 IP地址规划
| 部门/子网 | Pc数 | vlan | Ip 地址 | 网关 | DNS |
|---|---|---|---|---|---|
| 董事处 | 10 | vlan 10 | 192.168.1.1----192.168.1.11/ | 192.168.1.254 | 1.1.1.1 |
| 行政部 | 30 | vlan 30 | 192.168.3.1---192.168.3.31 | 192.168.2.254 | 1.1.1.1 |
| 客服部 | 5 | vlan 20 | 192.168.2.1---192.168.2.5 | 192.168.3.254 | 2.2.2.2 |
| 市场部 | 40 | vlan 40 | 192.168.4.1---192.168.4.41 | 192.168.4.254 | 2.2.2.2 |
| 人防部 | 5 | vlan 50 | 192.168.5.1---192.168.5.5 | 192.168.5.254 | 2.2.2.2 |
| 财务部 | 5 | vlan 60 | 192.168.6.1---192.168.6.5 | 192.168.6.254 | 1.1.1.1 |
| 综合部 | 5 | vlan 70 | 192.168.7.1---192.1687.5 | 192.168.7.254 | 2.2.2.2 |
| 员工宿舍1 | 60 | vlan80 | 192.168.8.1---192.168.8.61 | 192.168.8.254 | 3.3.3.3 |
| 员工宿舍2 | 60 | vlan90 | 192.168.9.1---192.168.9.91 | 192.168.9.254 | 3.3.3.3 |
4.2 vlan设计
一般情况下,公司的网络结构都是由核心层、汇聚层的多层组合模式。千兆以太网作为网络主干网。由二层接入交换机和汇聚层交换机来组成相对简易的网络架构组成靠谱高速的网络,网络系统的核心需要使用足够大型的网络设备来保证流量不拥塞。
交换机系统即使使用堆叠无环结构,但本质上交换机在网络上需要注意的问题依然需要进行处理,使用vlan划分,能够更有效地减少网络的无效广播,更快的对网络传播速度进行优化
在网络需求上,员工宿舍和企业网络需要进行网络的连通,在配置上,也要把其所属的vlan分割开来,避免员工宿舍的网络对企业内网进行渗透攻击。
VLAN子网划分, 把所属一个部门的用户划分到一个VLAN子网当中, 限制其他流量, 这是提高网络效率和避免网络冲突的优化方案。
4.3 OSPF设计
在交换机设置完成下,相隔一个路由器下的主机是无法相互ping通的,这就导致行政处的a栋,无法对b栋的pc进行数据之间的互通,为了保证通信,可以选择ospf进行联络通信,
由于静态,动态路由协议的局限以及相对于企业更适合,无环路、收敛速度快,能计算最优路由的ospf是较优的选择
4.4 nat地址转换设计
当前企业的下位地址依然保持ip4协议,在ip地址紧张,申请多个公网地址来使用显然不够现实,而为了与外网的路由器互联,实现公司对外网的访问需求,就需要配置NAT地址转换,
4.5 dhcp设计
公司网络的扩充,主机的添加,删减,都会使得原有的ip被浪费或需要管理员手动配置新的ip,有外来电脑需要接入时,将会显得非常不方便,这时就需要配置dhcp来使得外接pc可以介入网络,而不用更改配置
DHCP使服务器能够动态地为网络中的其他服务器提供IP地址,通过使用DHCP,就可以不给英特网中设置和维护静态IP地址。使用DHCP可以简化配置客户机的IP的工作,特别是当IP参数改变时,如网络的大规模变化而引起的IP地址和子网掩码的更改。
4.6 ipv4和ipv6的过渡设计
该设计上采用双债模式,在企业需要进行ipv4和ipv6链接上的情况下,在接入ipv4 network和ipv6network的路由器上配置(支持ipv6路由器),配置命令为
ipv6
interface GigabitEthernet 0/0/0
ip addrrss 10.1.1.1 24
ipv6 enable
ipv6 address 2001::0001::FFFF 64
4.5 网络安全实现
4.5.1防火墙设计
安全防火墙在设计时, 应遵循一些被人普遍认同的原则, 贯彻下面三个理念有助于合理规划命令配置
统一性原则:网络是一个整体的部分,不能各自各的进行管理防护。从网络需要对比较重要的部门如董事部,行政部进行更优先的保护,保证核心的网络安全能有有效实施
简易:网络安全的内部设计太过于复杂或者过于难以进行维护改进,会不利于日常和日后管理,降低网络安全运行的效率,过多占用资源
高效:网络安全高效的非常重要的, 防火墙的设计能够高效持续运行,才是正常企业所需要的
4.5.2安全策略设计
路由器访问控制列表设定-Telnet,ABC栋的路由器在ospf环境下能相互ping通,但C栋所属的配置的是员工宿舍,与AB栋公司的网络连接需要进行限制,由此需要在ospf的基础上,设置访问控制列表,阻止来自c栋的数据包可以未经允许,直接访问AB栋的路由器,进而获取到公司的核心信息,防备员工盗取公司客户信息,但依然要允许a栋的pc能够管理到c栋员工宿舍的,保持a栋对c栋pc的日常维护
访问控制列表能对网络流量监控,网络性能优化。安全策略也能对经过这一端口的目标进行控制,无论是流入还是流入,数据包都会被检测直到安全才能通过。
例如在访问控制列表中,设置数据来源或数据目的地址,对其进行拒绝通过,转发或者接入目的等操作,来实现对数据流的管控
4.9设备选型,和线路选择
4.9.1 设备分析选型
交换机选择华为s3700交换机,由于该企业网络规模属于中小型,不适合采用过高性能要求的交换机,容易造成资源浪费。S3700系列企业交换机是华为公司的的三层以太交换机。选择该交换机是因为它适应于针对企业用户园区汇聚还有ipv4向IPv6过渡的能力,并且可支持堆叠、虚拟路由器冗余、快速环网保护等技术。这两个关键特性能有效增强网络健壮性,利于搭建面向未来的企业网络。
路由器选择华为AR120,系列企业路由器是华为公司推出的面向中小型办公室或中小型企业分支的多合一路由器,提供包括有线和无线的Internet接入、专线接入、融合通信及安全等功能,广泛部署于中小型园区网出口、中小型企业总部或分支等场景。其可配置acl安全策略等其他安全措施,保证企业内部网络的安全性,需控制用户对网络的访问,只有通过认证的用户,才允许访问管理员授权的网络资源。
防火墙使用US5500 ,该系列产品采用全新的万兆多核硬件平台,面对企业海量业务处理零延迟,打造更高速的网络;融合先进的入侵防御和反病毒技术,支持丰富的路由协议,可节省用户投资,降低组网成本。支持IPv4和IPv6双协议栈工作方式,提供完整的IPv6特性和IPv4网络向IPv6网络平滑迁移的解决方案。能有效阻止Internet上的黑客入侵、DDoS攻击,阻止内网用户访问非法网站,限制带宽,为内部网络提供一个安全可靠的网络环境。
4.9.2 网络物理链路选择
光缆鉴于其对数据的高效传输,光缆线路是现在网络线路比较普遍的选择, 但由于光缆网络线路可能会被环境等因素影响,需要选建设管道,把公司的光缆集中,避免出现光缆的传输被环境影响, 使得通信网络的运转出问题。
需要设置管道对网络链路核心层使用光纤网络汇聚层使用光纤和双绞线相结合的接入方式。董事处,行政处使用光纤和双绞线相结合的接入方式。普通部门选择双绞线的接入方式。
第五章 具体实施
5.1关于Vlan实施
该公司同一栋下同一交换机里,包含了不同部门的多个主机,处在同一个冲突域里面,使得某用户pc容易收到大量不需要的报文,所有的主机共享传输渠道,主机之间可以互相ping通,无法控制信息的安全,降低了网络的传输安全和效率
由此需要在交换机下,根据各部门来划分vlan,同一vlan可以进行数据交互,vlan内部的间主机无法相互ping通
举例拓扑图为楼层A,,拓扑中每部门只取1台pc,实际需要把每一台pc的端口都添加到所属的vlan下,
既在access口配置划分
添加图片注释,不超过 140 字(可选)
图4-2-1 vlan划分局部拓扑
配置命令如下
Interface e0/0/1
Port link-type access
Port default vlan 10
--------------------------------
Interface e0/0/2
Port link-type access
Port default vlan 20
Interface e0/0/3
---------------------------------
Port link-type access
Port default vlan 30
Interface e0/0/4
------------------------------------
Port link-type access
Port default vlan 4l
Trunk口配置
公司要求行政处的pc能够对市场部,客服部等其他部门的主机进行访问,但其他部门之间不可以相互ping通,行政部与其他部门的通信,是公司日常的行政管理的需求,方便企业的技术,设计,生产,资金,经营,几大模块的相互配合,
当前配置上,不同交换机上并没有相对应的vlan信息,各个部门无法识别其他pc的数据包,也无法跨交换机发送vlan报文,这些vlan只在本地有意义,无法实现vlan跨区域通信。
现要实现行政部的主机与其它部门主机通信,可以在核心层交换机上配置vlanif接口IP地址和子网掩码,同时交换机和核心层交换机设置trunk链路,并设置trunk允许通过对应vlan。
首先,在access配置的基础上开始搭建(既划分vlan,添加端口),然后在三层交换机上 开始设置vlanif,实现跨区域通信功能
模拟拓扑图如下
添加图片注释,不超过 140 字(可选)
图4-2-2 trunk配置拓扑图
交换机命令如下
添加vlan,并且设置access口和trunk口
Vlan batch 20 30 40
Int e0/0/1
Port link-type access
Port default vlan 30
Inter g0/0/1
Port link-type trunk
Port trunk allow-pass vlan 20 30 40
Int g0/0/2
Port link-type trunk
其他交换机类似
核心层交换机Lsw3 和lsw4要允许vlan 20 vlan30 能够通过,必须配置对应的vlan口让交换机能够识别不同vlan的数据包,并且设置vlan1添加ip作为连接,使得核心交换机能互相交换信息
5.2关于ospf实施
拓扑图如下
(交换机在设置完成后已达成任务,故交换机在拓扑图中已省略)
添加图片注释,不超过 140 字(可选)
图4-3-1 ospf简化拓扑图
在pc,和路由上先配置上基础的端口配置
之后在路由内开启ospf 1-area 0,添加连接端口所属的网段,
R1
添加图片注释,不超过 140 字(可选)
图4-3-2 R1配置截图
添加图片注释,不超过 140 字(可选)
图4-3-3 R1配置截图
在R2配置通告ospf的相邻网段
R2
添加图片注释,不超过 140 字(可选)
图4-3-4 R2配置截图
添加图片注释,不超过 140 字(可选)
图4-3-5 R2配置截图
在R2配置通告ospf的相邻网段
R3
添加图片注释,不超过 140 字(可选)
图4-3-5 R3配置截图
添加图片注释,不超过 140 字(可选)
图4-3-5 R3配置截图
在R3配置通告ospf的相邻网段
5.3关于nat配置
NAT的功能既在内网的主机访问外网时,把多个内网ip转换为一个可用的公网ip,实现地址转换, 满足公司部门对外访问需求,
另外,可配置nat server技术实现,服务器可以供外网使用
添加图片注释,不超过 140 字(可选)
图4-4-1 nat地址转换简化拓扑图
由此模拟董事处pc,到外网的静态nat转换,
r1上设置如下
添加到下一跳的默认路由,使用202.168.10.5作为被转化的公网ip
Int g0/0/1
Ip add 202.168.10.1 255.255.255.0
添加图片注释,不超过 140 字(可选)
图4-4-2
Ip route-static 0.0.0.0 0.0.0.0 202.168.10.2
r2也只需要添加端口即可
5.4关于dhcp实施
公司设置使用 DHCP服务器上的IP地址数据库包含如下项目: 在缓冲池中指定给客户机的有效IP地址,以及手工指定的保留地址。 外接ip所获得的租约时间即指定IP地址可以使用的时间。
拓扑图(三层交换机配置access和trunk即可,略去三层交换机)
使用基于全局地址池配置的dhcp
添加图片注释,不超过 140 字(可选)
图4-5-1 dhcp拓扑图
R1
关于左交换机下的地址池分配
添加图片注释,不超过 140 字(可选)
图4-5-2 lsw1配置图
关于右边交换机下的地址池分配
添加图片注释,不超过 140 字(可选)
图4-5-3 lsw2配置图
该设置,保留了192.168.8.1-192.168.8.61 和192.168.9.1-192.168.9.61得已经配置的静态ip不会被分配,获取的有效期为1天
5.5关于防火墙实施
防火墙拓扑图如下(只取核心部分)
添加图片注释,不超过 140 字(可选)
图4-5-1-1 防火墙配置图
基本区域设置,
[SRG]acl 3000
[SRG-acl-adv-3000]rule deny ip source 192.168.0.0 0
允许192.168.0.0. 的ip报文通过
[SRG]firewall interzone trust untrust
[SRG-interzone-trust-untrust]packet-filter 3000 outbound
进行应用
设置ftp服务通过防火墙
[SRG]policy interzone trust untrust outbound
[SRG-policy-interzone-trust-untrust-outbound-1]policy source192.168.1.0.0
[SRG-policy-interzone-trust-untrust-outbound-1]policy source 192.168.1.1 0
[SRG-policy-interzone-trust-untrust-outbound-1]policy destination 202.168.20.1 0
5.6关于策略实施
扩展访问控制列表具有灵活性和可扩充性,即可以对同一地址允许使用某些协议通信流量通过,而拒绝使用其他协议的流量通过。
添加图片注释,不超过 140 字(可选)
图4-5-2-1 拓扑图
进行aaa认证,
R2,3设置为用户级别
添加图片注释,不超过 140 字(可选)
图4-5-2-2 策略配置图
R1在aaa视图设置为管理员权限
添加图片注释,不超过 140 字(可选)
图4-5-2-3策略配置图
设置完成,r1的路由器即使拥有密码,也无法进入r3,
保证了a栋路由器的安全
添加图片注释,不超过 140 字(可选)
图4-5-3-4 策略配置图
只用aaa认证并不安全且传输手段是明文不安全,为此可以加装alc配置
添加图片注释,不超过 140 字(可选)
图4-5-3-5策略配置图
允许a栋r1来源的数据包的通过b2,隔断其他路由的数据包
添加图片注释,不超过 140 字(可选)
图4-5-3-6策略配置图
进行调用,完成配置
第六章 网络测试
7.1 DHCP测试
连通性测试如下
添加图片注释,不超过 140 字(可选)
图7-1-1 dhcp测试图
添加图片注释,不超过 140 字(可选)
图7-1-2 dhcp测试图
两台新加入的pc,已经能够从服务器获取地址
添加图片注释,不超过 140 字(可选)
图7-1-3 dhcp测试图
而且相互通信没有问题,由此新加入的pc可以达成使用需求。
7.2NAT地址转换测试
连通性测试如下
添加图片注释,不超过 140 字(可选)
图7-2-1 nat转换测试图
添加图片注释,不超过 140 字(可选)
图7-2-2 转换测试图
7.3 OSPF搭建连通性测试
连通性测试
图片上传失败
图7-3-1 ospf网络连接测试图
由此,依照拓扑图,把其他部门进行nat地址转换,实现与外网的通信
参考文献
[1]屈正耿 吕鹏.中小型企业安全方案的设计[J].
太赫兹科学与电子信息学报, 2019(3).6-7.
[2]谢金利.网络工程设计的需求分析[J].
信息与电脑 2017,(8) 16-18.
[3]支成保.某市财务大厅网络工程[D].
南京邮电大学. 2014.1-5.
[4]刘建南.浅谈影院网络综合布线工程[J].
现代电影技术影院建设,2019(1).2-3.
[5]刘申菊 田丹.企业网网络设计方案的研究[R].
沈阳工学院,2018(6).166-167.
[6]王瑾.计算机网络可靠性优化设计问题的分析[J].
互联网+应用,2019(05)99-100.
[7]刘小飞.基于知识管理的企业网络管理系统模型[D].
湖南大学.2007.5-8 .
[8] 冯政军 朱琴.
基于OSPF(开放式最短路径优先)路由协议的企业网络设计[J].
江海职业技术学院,2018(6)11-13.
[9] Gregorio Martinez Perez.
Networking Communicationand Data Knowledge Engineering[M].
University of Murcia .44-45.
[10]John Wiley & Son
THE COMPETITIVEINTERNET SERVICEPROVIDER[M] .
Technical University Darmstadt, Germany .114-116.
致谢
大学最后的时光依然如此充实,能够在接触社会的同时继续对自己学业知识进行实践是非常有意义的。在此感谢YESLAB林老师等提供关于华为设备相关的技术文档支持。特别感谢论文指导马老师对于论文问题处的指出,也使我认识到自己个人技术水平的局限,以及感谢各位同班同学对我的学习上生活上帮助。
在之后的人生道路上,不管是工作还是学习,都会跟随时代的步伐,不断进步,再次感谢遇到所有遇到过的帮助我的人们,未来虽然各位各自发展,但我依然会记住这美好的大学生活,人生有梦各自精彩。
)
-java+ selenium->自动化测试-元素定位大法之By css上)
 线性代数)
--加载配置文件)
)
)
——诊断、DCM)