緒論背景與意義隨著現代社會的發(fā)展和科技的進步，企業(yè)的工作運轉都逐漸依賴于互聯網和各種網絡設備來辦公。網絡在企業(yè)日常運轉中不可或缺，但是，傳統(tǒng)的網絡構造和設備已不能滿足公司日益增長的需求。搭建新型主流的局域網，我們企業(yè)就可以提高獲取公司內部信息和外部信息、分析和處理信息的能力，還可以加快公司的運轉效率，從而達到降低公司運營成本的一個效益。計算機或終端設備不斷地更新換代，給我們個人的日常生活和企業(yè)的日常工作運轉都帶來了很多便利之處，但有利也有弊，不斷更新下也隨之出現了問題。現如今的網絡越來越龐大和復雜，但是如何對一個局域網網絡進行合理的規(guī)劃是需要大家關注的一個問題。網絡的布局是跟社會的發(fā)展是同步的，搭建時使用新型的、主流的技術和框架，才能順應時代的發(fā)展，保證企業(yè)內部之間方便、快捷的通信以及企業(yè)外部與內部之間的資源共享。主要功能和技術措施本論文是研究壹號科技集團有限公司網絡規(guī)劃的建設與實現。公司網絡的搭建和配置采用以下技術：（1）使用路由器作為DHCP服務器來配置DHCP，使得網絡終端設備都能夠實時自動配置獲取的IP地址，不用進行手工的配置,方便快捷。（2）給各部門劃分VLAN（虛擬局域網），通過VLAN技術來合理的劃分各個部門，從而減少一些網絡設備的變動和管理開銷，防止廣播風暴。匯聚層與核心層交換機之間使用鏈路聚合等技術，把多個物理鏈路組建成一個邏輯鏈路，其中一條鏈路出現故障依然能夠傳輸數據，也提高了鏈路帶寬，實現冗余備份。（3）通過配置OSPF協(xié)議，使得公司內部網絡能夠互通，方便各部門的信息交流。（4）公司邊界新增一臺防火墻，采用NAT等技術，用于隔離外網，使得內網部分部門可以連到外網，也讓外網使用者可以連到公司的FTP服務器，使得外網用戶能夠共享公司的資源。通過訪問WEB服務器，外網使用者也能夠了解公司的文化以及各種新聞資訊，對公司來講達到了一個宣傳的目的，提升了公司的曝光度，對公司的品牌建設起到了不可或缺的作用。（5）通過對防火墻配置IPSecVPN，建立tunnel隧道，實現跨區(qū)域通信，采用加密算法，防止非法人員對信息的竊取和篡改，使得公司總部與分部之間的業(yè)務交流更加安全可靠。

相關技術介紹VLAN技術介紹VLAN的英語名稱全拼是VirtualLocalAreaNetwork，中文的完整名稱為虛擬局域網。美國由國際電子工業(yè)系統(tǒng)與控制自動化與電氣工程協(xié)會等組織(IEEE)聯合提出了一個，這是可以用于標準化的VLAN協(xié)議的實現方案來參照的。VLAN定義用于指對位于同一局域網系統(tǒng)覆蓋范圍內所有相鄰系統(tǒng)的局域網設備節(jié)點之間或區(qū)域邊界內網絡進行劃分的每一個網絡物理空間節(jié)點的網絡劃分，將各區(qū)域的網絡進行隔離開來，這樣有助于各區(qū)域網絡的管理，使得各部門的管理變得簡單便捷，也提升了網絡通信的效率。VLAN劃分還能夠起到防止廣播風暴干擾的信號產生，VLAN所劃分出去的每一個通信區(qū)域內均為一個廣播域，每一個相鄰廣播域上的廣播通信也互不干擾，而二層交換機沒有識別路由的功能，如果沒有VLAN對各區(qū)域的劃分，那么將會形成廣播風暴，加重了交換機以及各鏈路的負擔，使得數據的傳輸變得不安全，也使得公司的正常業(yè)務的執(zhí)行，并且影響設備的使用壽命。在傳統(tǒng)的網絡中，企業(yè)的各部門都處于同一個區(qū)域，這樣使得各部門之間的通信暢通無阻，可能會導致部門的隱私資料泄露。而交換機長期處于廣播狀態(tài)，增加了設備的開銷，長期不僅會導致網絡性能的降低，也對鏈路的帶寬造成了浪費。通過引入VLAN技術，能夠有效解決傳統(tǒng)以太網的不足，VLAN通過控制用戶或部門的通信活動，將用戶或部門做一個物理隔離，使得網絡的性能得到優(yōu)化和提升，方便了企業(yè)的工作交流，同時也使得網絡的管理也變得簡便。WLAN技術介紹WLAN網英文全譯中文稱為Wireless網絡或英語稱為Local或稱為AreaNetwork，中文的名稱含義即譯為計算機無線局域網，是利用計算機原理應用的各種基本無線局域網通信的系統(tǒng)技術方法而逐步將計算機各個主要計算機設備系統(tǒng)通過互聯系統(tǒng)建立聯系起來，構成與計算機系統(tǒng)可以提供遠距離和互相獨立聯機的通信交換環(huán)境網絡和資源共享并可以實現遠程無線和資源實時共享或交換服務的一種通信和網絡體系。在1997年，國際標準IEEE802.11開始正式的對外頒布應用及實施，為整個的無線局域網的接入及技術領域提供出了一套國際的統(tǒng)一無線接入的標準，于在2003年正式開始得到了一次真正的全面的無線應用和發(fā)展，經過了科研人員一直不斷的開發(fā)，并且多次的應用試驗和反復地改進技術，正式地對外發(fā)布和推出了另一種既兼容于原來的標準的IEEE802.llb標準，同時它本身也同時具有了可支持同時最大提供每秒54個Mbit/s的無線接入數據速率的無線新業(yè)務接入協(xié)議標準-IEEE802.11g。無線局域網其技術本質以及最大限度的其共同優(yōu)勢特點就是均是用戶可以完全通過無線局域網內的其他各種組網方式來互相連接，從而又將使計算機整個無線網絡架構中的網絡重新進行構建和所有用戶終端位置上進行的移動通信都可以更加方便輕松與靈活，而將不再只單純僅是僅依靠使用一條通信線路電纜就已經將幾乎所有的計算機終端全部與其它用戶網絡連接結合了起來。WLAN這是項無線應用系統(tǒng)它具有了非常的便利的和快速的無線的空中的數據的傳送的功能,它也是一個能夠很有效的利用射頻技術(RadioFrequency)的無線電技術，它用電磁波取代了舊式無線電的局域網絡，這樣就能使得這個無線的空中局域網絡變得更可能利用了一個簡單而易使用度的無線存取架構來能讓用戶能夠直接地透過訪問它，實現在空中直接地進行無線的通信連接及數據連接，以達到信息速達，非常便利的一種理想狀況。DHCP技術介紹DHCP的英文全詞被稱為DynamicHostConfigurationProtocol，中文名稱定義為是一種動態(tài)網絡中主機的地址配置管理協(xié)議，通常也是指被廣泛大量的應用于建立在一個較大型和復雜環(huán)境的動態(tài)局域網絡環(huán)境系統(tǒng)中，主要技術功能及其作用技術原理主要是指通過集中有效的動態(tài)配置和管理地址服務器存儲和自動分配服務器的有效IP地址，使在動態(tài)網絡環(huán)境系統(tǒng)過程中幾乎所有類型的網絡主機服務器均得以動態(tài)并安全方便的可靠地實時獲得有效IP地址、GateWay地址和DNS服務器地址信息等所有相關配置信息，并最終能夠幫助進一步有效提升地址服務器資源的使用率。DHCP服務器客戶端它是有以下的三種分配主機IP地址方式：（1）一種是主機它可以自動進行地址分配的方式(AutomaticAllocation)，也就是即就是可以通過一個DHCP客戶端服務器為主機自動的指定分配出每一個永久性的可用的主機IP地址，而這只要該DHCP的主機客戶端服務器在主機第一次注冊登陸時成功或成功從其它DHCP客戶端服務器主機端服務器自動連接租用地址主機連接到了這個租用IP地址服務器中后，其客戶端自身服務器就將完全的可以永久性的有效的繼續(xù)的使用著該地址。（2）一種時間動態(tài)地址的再分配與使用的方式(DynamicAllocation)，就是當每個的DHCP主機服務器就會自動給所有該主機服務器指定分配了至少一個并且只可能具有最后一個使用時間的限制的固定的IP地址，時間這個限制在到期了以后服務器或任何其它一個主機服務器又可以明確的表示它可以暫時放棄使用了該固定的地址的這個時候，該固定的地址也同時就表明仍然有可以繼續(xù)再分配被指定給所有其他的主機使用。

（3）手工地址自動分配的方式(ManualAllocation)顧名思義，就是客戶端服務器中的一個默認的IP地址信息應該會是一個完全可以由一個本地服務器網絡管理員去負責分配指定服務器地址信息的，而一個DHCP的客戶端服務器一般也都只是去負責自動將他所分配指定本地服務器地址的這個默認的IP地址信息自動告訴到客戶端主機。DHCP中繼DHCP數據包的中繼和代理DHCPRelay(DHCPR)又常稱做DHCP的數據中繼，我們在這里一般也比較經常被叫做是DHCP的數據的中繼與代理。也可以理解為就是指可以同時在用著DHCP服務器的客戶端服務器上或者和使用其他的客戶端或服務客戶端之間能夠進行數據轉發(fā)操作的一組DHCP數據包。當有一個DHCP的請求服務客戶端請求與一個應答的服務器客戶端請求不在同一個子網絡協(xié)議上同時傳輸請求的數據時候，就意味著要求服務器必須至少要至少有多個的DHCP中繼代理協(xié)議來進行共同地轉發(fā)來自這個DHCP服務的響應請求信息和轉發(fā)這些應答的請求服務消息。DHCP作為中繼和代理之間的一種數據的轉發(fā)，與我們通常看到的路由轉發(fā)形式是比較有較大差別的，通常所說的路由數據轉發(fā)是相對來說數據是比較透明和傳輸穩(wěn)定的，設備廠商一般并不會輕易修改路由IP包內容。而DHCP中繼代理在它收到一個來自DHCP的信息后，會立刻重新編譯生成這一個DHCP的消息，然后再次轉發(fā)出去。VRRP技術介紹VRRP的完整名稱是VirtualRouterRedundancyProtocol，中文的完整名稱是虛擬路由冗余協(xié)議。它的技術原理就是把多個設備（比如路由器或者交換機）結合成一臺虛擬的設備，之后就分配一個虛擬IP地址給到這個設備，這樣用戶或終端設備只需設置終端設備的網關地址為這虛擬IP地址即可。VRRP是作為容錯協(xié)議，它是由多個備份和一個主的設備共同組成的一個虛擬組，主要看組內各設備配置的優(yōu)先級，哪個設備的優(yōu)先級越大就優(yōu)先成為主設備。當設備沒有異常的時候，作為主設備的需要轉發(fā)所有網絡業(yè)務流量，而如果主設備系統(tǒng)出現重大故障損壞的嚴重時候，備份的設備也就很需要被及時有效的接替起來成為一個主設備，承擔著相應保護的工作，這樣我們就更可以做到使整個網絡間通信網絡的運行連續(xù)性度和系統(tǒng)可靠性能夠得到保障，而且用戶終端是不需要對任何配置做修改的，不會影響到通訊，真正做到了用戶對設備異常毫無感知。VRRP協(xié)議的三種狀態(tài)我們一般從路由器剛安裝開始到啟動新路由器時，可以看見首先是看到該新路由器為Initialize狀態(tài)，這時路由器的優(yōu)先級最高是255，最低是0，然后開始發(fā)送VRRP的通告信息和廣播ARP信息來進行通告，再用與路由器的IP地址所對應的MAC地址當成路由虛擬MAC地址來用。這個路由協(xié)議里一般是要包含有這么一個路由定時器的,經過我們的配置調試好了后,定時器就會開始自動地根據這個路由我們給自己所設定的好的路由時間間隔來去自動接收發(fā)送給VRRP的通告消息，收到信息后設備就會依據自身的優(yōu)先級高低轉變到Master狀態(tài)，從而成為主設備，或者轉到Backup狀態(tài)，作為備用設備。具體的轉換過程如圖3-1所示。圖3-1VRRP三種狀態(tài)的轉換VRRP的選舉機制在設備配置VRRP協(xié)議后，VRRP通過配置的優(yōu)先級來對設備進行選舉，優(yōu)先級高的成為Master主設備，而且只能有一臺設備作為Master主設備，優(yōu)先級低的作為Backup備用設備。配置VRRP協(xié)議的設備都會對VRRP通告消息進行收發(fā)，VRRP通告報文結構主要包括版本號、類型，優(yōu)先級，認證類型，認證數據等。版本號一般為2，只有一種報文，所以類型為1，自身的優(yōu)先級取值的范圍是0至255，一般默認優(yōu)先級為100。VRRP報文具體的格式如圖3-2所示。圖3-2VRRP報文格式MSTP技術介紹MSTP（MultipleSpanningTreeProtocol），是由STP（生成樹協(xié)議）的不足發(fā)展升級而來的新的協(xié)議。傳統(tǒng)的STP協(xié)議和RSTP協(xié)議的共同弊端就是主要都是會存在部分VLAN路徑連接不通，無法自動實現流量的動態(tài)負載自動均衡以及次優(yōu)路徑，而使用MSTP(多生成樹協(xié)議)能夠有效解決傳統(tǒng)的STP和RSTP存在的各種不足。例如，不同的VLAN不用必須處于同一棵生成樹，減輕了設備鏈路的負擔，實現了負載均衡，各設備和鏈路都能夠充分利用，并且MSTP也跟STP和RSTP一樣，都擁有快速收斂的功能，使得數據的傳輸更加靈活、便捷。一臺設備中能夠配置多棵生成樹，把每一個VLAN劃入創(chuàng)建的實例中，可以通過人為配置選擇哪個設備為該實例的主根，然后處于該實例的VLAN的終端設備或部門傳輸數據時，會選擇主根設備這邊的鏈路作為數據的優(yōu)先傳輸路徑。這樣我們也就大大的避免掉了設備鏈路間的帶寬閑置的浪費，從而又達到實現了可以按各種不同類型的設備拓撲實現基于VLAN協(xié)議進行的網絡數據轉發(fā)業(yè)務的真正目的，使整個設備鏈路之間的網絡使用帶寬效率又得到一個了一個大大的地提高，這種網絡數據轉發(fā)傳輸中的負載的分擔即是指在區(qū)域網內的各網絡實例之間產生的網絡流量分擔。配置MSTP的拓撲如圖3-3所示。圖3-3MSTP圖示通過配置，PC10屬于VLAN10，PC11屬于VLAN20，在交換機LSW11和LSW12配置兩個實例，把VLAN10劃入instance1，VLAN20劃入instance2，LSW11作為實例1的主根，LSW12作為實例2的主根，這樣就可以實現VLAN10的流量走向為PC10->LSW10->LSW11->AR11，VLAN20的流量走向為PC11->LSW10->LSW12->AR11。當LSW11出現故障時，MSTP會發(fā)出通告消息，然后設備會及時切換PC10流量所走的路徑，PC10的流量走向變?yōu)镻C10->LSW10->LSW12->AR11，這樣就能夠避免設備故障時而網絡癱瘓的問題，有效解決了傳統(tǒng)的STP或RSTP存在的局限性，同樣的道理，當LSW12出現故障時，PC11的流量走向將會轉為PC11->LSW10->LSW11->AR11，這樣就使得流量的傳輸有一條或多條冗余鏈路，減輕了鏈路帶寬的負擔，只需要配置兩棵生成樹就可以減少設備系統(tǒng)的開銷，設備LSW11和LSW12都能夠得到充分的利用，避免了設備的閑置浪費，讓設備可以用的更長久，這樣企業(yè)就減少了一些不那么必要的支出。目前，一般的企業(yè)在搭建局域網時，都會選擇使用MSTP協(xié)議，這是由于MSTP協(xié)議配置靈活，功能也很齊全，滿足企業(yè)日常的工作需求。在配置過程中，可以選擇配置一個或多個實例，這些實例并不會對系統(tǒng)的資源有過多的占用，不會對設備和網絡造成過多的負擔。NAT技術介紹NAT英語全拼是NetworkAddressTranslation，中文的完整名稱為網絡地址轉換，該技術使用于企業(yè)內網于外網的通信交流。由于現有的IPV4地址資源緊缺，造成企業(yè)申請IP網段地址比較困難，不得不使用一種新型的技術來解決這種資源緊缺的困境，網絡地址轉換技術NAT換剛好可以解決IPV4地址不足的問題。該技術通常配置在企業(yè)網的邊界網關中，通過該協(xié)議，企業(yè)內網的私有IP地址能夠轉換成公有的IP地址，使得內網主機能夠對外網進行訪問，實現內網主機的上網功能，也方便了企業(yè)的日常工作需求。NAT技術不占用稀缺的IPV4地址，并且配置方便，有效解決了IPV4地址數量有限的問題。當然，NAT技術也存在許多的不足，例如，配置NAT會占用設備的內存，需要設備時刻對NAT地址表進行維護，在數據傳輸的過程中，需要先將內網私有地址轉換成公網地址，才能進行通信，這樣也使得通信效率的下降。BasicNAT和NAPTNAT技術轉換有多種轉換類型，其中常用的類型為BasicNAT和NAPT。（1）BasicNATBasicNAT為基本NAT，也叫做靜態(tài)NAT，對設備配置靜態(tài)NAT后，這個設備就會根據我們的配置來選擇與公網地址所對應的某一個內網IP地址，這樣看來，公網地址的靜態(tài)轉換配置和靜態(tài)內網地址的轉換配置都是一定要先有所對應轉換配置的，靜態(tài)NAT地址的靜態(tài)轉換配置則會相對來的相對較簡單。配置完成后，會生成一個地址池表，設備對這個地址池表進行維護，當終端用戶需要與外網交流時，NAT會對照地址池表，然后選擇相對應的公網IP進行轉換，實現內網與外網通信的目的。BasicNAT示例表如下表3-1所示。表3-1BasicNAT示例表內網IP外網IP530053015302如表中53的內網地址對應外網地址為00，即當該地址用戶對外網訪問時，配置NAT的設備驗證是否存在該路由條目，若存在，則轉換為對應的公網地址，實現對外網的訪問。（2）NAPTNAPT又稱為網絡地址端口的轉換,英文的全稱叫做NetworkAddress和PortTranslation。該地址轉換方式不僅對私網地址進行轉換，還對相應的端口號進行轉換，與靜態(tài)NAT不同，NAPT可以允許多臺設備的IP共享一個公網IP地址，這樣不僅方便了網絡的管理，也節(jié)省了地址資源的開銷。當然，NAPT相對于靜態(tài)NAT，配置相對繁雜，網絡管理員需要具備較高的技能知識。配置NAPT后，設備生成一個NAPT表，該表含有IP地址以及對應的端口號。NAPT示例表如下表3-2所示。表3-2NAPT示例表內網IP：端口外網IP：端口53：556600：920053：8001：920153：446502：9202如表中內網地址為53，端口號5566，對應外網地址00，端口號9200。NAPT同時映射了IP和端口，并且能夠隱藏內部的IP，節(jié)省了設備的開銷。IPSec技術介紹IPSec（InternetProtocolSecurity），即互聯網協(xié)議安全，廣泛應用于企業(yè)跨區(qū)域之間的通信交流、數據傳輸等。IPSec是一種開放標準的協(xié)議框架結構，能夠為設備與設備之間、局域網之間的交流通信提供安全通道，為各區(qū)域之間的數據傳輸提供強有力的保護，也就是說，通過配置IPSec能夠為互聯網交流提供安全保障。IPSec協(xié)議框架主要由AH（AuthenticationHeader）協(xié)議、ESP（EncapsulatingSecurityPayload）協(xié)議、IKE（InternetKeyExchange）協(xié)議、ISAKMP（InternetSecurityAssociationandKeyManagementProtocol）協(xié)議以及各種各樣的認證、加密算法等組成。IPSec的封裝模式IPSec有兩種封裝方式不一樣的封裝模式，一個是隧道模式，一個是傳輸模式，具體為AH報文或ESP報文協(xié)議所在數據包的位置是不一致的，通過不同的封裝模式，實現不同的身份認證（ESP的數據校驗完不完整，其中不包括IP頭）和加密，IPSec協(xié)議的封裝模式如圖3-4所示。圖3-4IPSec協(xié)議封裝模式如圖所示，AH協(xié)議是可以提供認證功能的，還可以保證數據的完整性，當設備配置AH協(xié)議后，于主機設備布局一個密鑰，該密鑰可以避免數據遭受篡改，對數據起到一個保護作用，不足的是AH協(xié)議不能起到防止監(jiān)聽的作用。AH協(xié)議沒有對傳輸的數據進行變形和轉換，對于非法用戶而言，這些數據都是清晰直觀的，他們獲取到這些數據時，能夠輕松的識別。而ESP協(xié)議剛好能夠補充這個不足，所以在封裝中多加入一個報文頭ESP，這樣就能夠進一步提高數據的嚴密性，使得整個數據的傳輸過程能夠更加的安全。需求分析公司成立已久，然而還沿用著比較陳舊的設備與網絡布局，業(yè)務發(fā)展離不開技術的支持，同時辦公效率提高也對硬件設施有所要求，重新規(guī)劃和建設一個新型主流的局域網是非常必要的，不單是提高公司的網絡帶寬和網絡安全性，更是提升公司員工在使用網絡過程中的體驗，需對各設備進行更新和配置，使之能夠實現冗余備份的功能。功能需求分析（1）公司的網絡架構采用的是典型的園區(qū)三層網絡架構模式，最開始下面一層是接入層，往上是匯聚層和核心層，這樣的三層架構對公司各部門合理劃分，分為總部層和分部兩部分,對匯聚層內部和核心層設備之間分別了MSTP+VRRP協(xié)議，實現了所有設備數據和鏈路上的冗余和備份，提升網絡的安全性和實用性。（2）公司總部分為5個部門，分別為管理層，財務部門，人事部門，銷售部門，技術部門，均處于接入層。通過對交換機配置VLAN，各VLAN分配不同的網段，實現對各部門的隔離區(qū)分且能夠相互通信，各部門也能夠通過邊界防火墻訪問Internet。（3）匯聚層連接的以及和多核心層連接的也能夠直接通過配置每一個MSTP端口以實現鏈路數據的動態(tài)冗余管理與自動備份，防止了環(huán)路問題的產生，MSTP端口也增加和配置完善了端口狀態(tài)間的數據快速自動切換功能的機制，能夠實現自動切換實現網絡各拓撲結點之間數據的狀態(tài)之間快速轉換，MSTP配置需要將多個的VLAN劃分一個或多個實例中，使得各鏈路能夠充分利用，從而達到鏈路負載均衡的目的。（4）在公司總部布局WEB服務器和FTP服務器，在服務器上做了一些需要的配置，使得公司的用戶能夠共享和上傳公司內部的文件，對于公司外部，僅提供WEB和E-mail服務，外網通過訪問WEB服務器實現對公司官方網站的訪問。（5）對公司總部的財務部進行訪問限制的配置，除了管理層外，其他部門均不可以訪問。（6）在公司邊界布局防火墻，實現公司內部和外部之間的隔離，保證公司的網絡和業(yè)務安全。對防火墻配置相關的路由策略，實現內網對公網的訪問，而外網不能對內網進行訪問。（7）通過配置VPN協(xié)議，使得總部與分布之間能夠正常通信，保證數據傳輸的安全性，配置NAT協(xié)議，實現內網地址轉換成公網地址進行上網。性能需求分析設備的特性和它有的功能分析主要是對公司網絡的安全性、設備穩(wěn)定性做系統(tǒng)的分析。對網絡進行合理的布局，選擇合適的設備以保證網絡的安全性和可靠性，提升各部門的工作效率，具體的分析如下。網絡安全需求分析對公司的網絡進行一個防護的布局，需要考慮到企業(yè)的網絡安全的需求。公司的網絡需要保證穩(wěn)定流暢，這就需要考慮設備接口的帶寬和穩(wěn)定性了，對于設備的選擇也需要從多方面考慮，比如設備的性能和安全性，這些都是保證網絡安全運行的前提。若公司網絡遭受了非法網絡攻擊，公司的安全設備能夠及時識別并做出相應的防御措施。網絡管理員需要對這些設備做相關配置，比如防火墻的路由策略的配置等，管理員需要有一定的知識和技能，才能做好這些配置。網絡安全要求主要表現：（1）通常網絡在遭受外部人員的非法攻擊時，防御系統(tǒng)能夠做出及時地應對，保證我們的網絡能夠正常的使用，并讓用戶在使用網絡過程中不會察覺到有過異常。（2）服務器存儲著公司的各項文件資料，防御系統(tǒng)需要保證服務器的各項資料不被偷盜。（3）公司的防御設備需要具備入侵的檢測及防御的措施。（4）設備能夠提供靈活快速的網絡通信服務。設備性能需求分析對于不同的公司企業(yè)，選擇合適的網絡設備，能夠最大化的節(jié)省成本，而且能夠滿足公司的日常工作交流需要。本論文是針對壹號科技集團有限公司的網絡進行的研究，公司規(guī)模為中小型且在快速發(fā)展中，接入層設備端口需100Mb/s即可，對于匯聚層和核心層的設備，設備接口的速率需達到1000Mb/s，匯聚層采用三層交換機，設備擁有較高速的千兆光纖接口，而且具備路由功能，能夠實現路由轉發(fā)。公司分部規(guī)模較小，使用的設備稍廉價但實用。網絡設計網絡架構設計該設計依據壹號科技集團有限公司的實際情況和需求搭建的一個合適的網絡框架。網絡總體架構設計如下圖4-1所示。圖4-1網絡總體架構設計圖如圖所示，該網絡架構采用典型的架構模式，通過將該三層架構模式再一次進行了細分，終端設備層和接入設備層是相互交叉連接，對接進入層和設備層進行數據匯總處理的是數據匯聚處理層，整個網絡的核心骨干是核心層。（1）接入層接入層通常為終端設備或二層網絡設備，接入層處于OSI五層模型中的物理層和數據鏈路層之間，終端設備通過接入層連接到網絡，達到相互通信的目的。通過VLAN劃分區(qū)域，使得各部門方便管理和維護，也為各部門通信提供了足夠的帶寬。（2）匯聚層這一層是處在接入層與核心層中間的，這一層對接入層設備做一個匯總，該層對接入層設備做一個匯總，方便了網絡的管理，通過連接核心層設備，使得核心層設備的負擔減少，為了減少成本去增加帶寬，在匯聚層設備之間做一個Eth-trunk配置，做鏈路聚合不僅能夠增加了帶寬，也減少了企業(yè)開銷。通過配置MSTP和VRRP實現負載均衡，達到鏈路和設備的冗余作用，提高網絡通信的可靠性。（3）核心層核心層的主要功能就是使得骨干網絡之間的數據傳輸更優(yōu)更好，所以該層的帶寬和可靠性要求較高。通過配置OSPF實現網絡的互通，為了保證數據的傳輸效率，在該層不需要做過多的配置。網絡編址設計根據公司各部門的需求，通過劃分VLAN，將各部門分隔開來。分配不同網段的IP地址，即使公司規(guī)模擴大，也能夠滿足需求。VLAN的劃分和IP地址分配表如下表4-1所示。表4-1VLAN的劃分和IP地址分配表部門名稱IP網段默認網關VLAN編號管理層/245410財務部/245420人事部/245430銷售部/245440技術部/245450服務器/245488無線AP/2454100分部業(yè)務1/2410分部業(yè)務2/2420核心層設備設計核心層設備通過配置MSTP和VRRP協(xié)議，實現鏈路和設備的冗余，每一臺設備和每一條鏈路都能夠充分利用，保證數據的傳輸實現負載均衡，通過配置把各部門分成兩個實例，LSW10作為實例1的根交換機，LSW11作為實例2的跟交換機，當其中一個設備出現故障時，備用設備能夠及時更換接替主設備的轉發(fā)工作，提高了數據傳輸的穩(wěn)定性和可持續(xù)性。防火墻設計公司內部不僅需要對外網進行訪問，也要與公司分部保持聯系，所以需要在公司邊緣出口處布局一臺防火墻，防火墻需要做NAT配置，局域網內的私有地址通過NAT協(xié)議轉換成公有地址，實現終端用戶的上網功能，同時，對外部網絡訪問公司的內網做一定的限制，保證公司內部網絡的安全。公司總部與分部的通信需要建立VPN，根據公司需求，對設備配置IPSecVPN功能，IPSec通過加密的安全服務來保證數據包在網絡上可以安全又嚴密的傳輸，這樣可以較大程度的保護公司信息數據交流的安全。網絡設備選擇與實現網絡設備選擇二層設備選擇根據公司各部門的需求，二層設備采用華為的S1724G-AC系列交換機，選擇該型號交換機的原因是該交換機擁有24個千兆端口，足以滿足各部門終端設備的接入，提供多人同步在線上網。36Mbps包轉發(fā)率以及48Gbps的交換容量，無阻塞高速轉發(fā)，為各部門高速穩(wěn)定傳輸數據提供了保障。S1724G-AC系列交換機性價比較高，在滿足需求的同時能夠節(jié)省開支。該型號設備還擁有豐富的安全特性，擁有多種安全認證方式，如802.1x、NAC等，能夠防止非法用戶的入侵攻擊，對于MAC地址的過濾和設備的端口，該設備均支持過濾的功能，使得公司網絡的安全性能得到進一步提升。華為S1724G-AC型號交換機的外觀如圖5-1所示。圖5-1華為S1724G-AC系列交換機外觀S1724G-AC系列交換機的參數如圖5-2所示。圖5-2華為S1724G-AC系列交換機參數三層設備選擇匯聚層設備主要將接入層設備的數據進行匯總，然后發(fā)送至核心層進行轉發(fā)，需要較高的帶寬和更快轉發(fā)速度，在核心層需配置部分協(xié)議和使用路由功能，以便實現數據流量的負載均衡。根據企業(yè)的實際情況，對于三層設備，我們選擇了華為的S5735S-L12P4S-A類型三層交換機，該交換機擁有12個千兆的以太網端口，還有4個千兆SFP，端口的數量和帶寬已足夠滿足公司目前的通信需求，預留的接口方便公司以后規(guī)模的擴大所用。為了能夠快速檢測設備鏈路的故障，該設備配備了功能齊全的以太OAM（IEEE802.3ah/802.1ag）。設備包轉發(fā)率為33Mbps，交換容量為336Gbps，能夠滿足公司目前的需求。S5735S-L12P4S-A系列交換機如圖5-3所示。圖5-3S5735S-L12P4S-A系列交換機外觀S5735S-L12P4S-A系列交換機的參數如圖5-4所示。圖5-4S5735S-L12P4S-A系列交換機參數出口設備選擇根據公司要求，為了保證網絡數據的可靠且高速傳輸，出口設備采用的是華為的AR2204-27GE-S系列的路由器，該系列路由器主要是面向中型企業(yè)總部或大中企業(yè)分支等所設定的設備。該路由器轉發(fā)性能2Mpps，可帶機量為300臺PC，采用多核CPU和無阻塞交換架構，具有靈活的業(yè)務拓展性，帶寬最大可達10Gbps，能夠滿足公司總部和分部的需求。AR2204-27GE-S系列路由器如圖5-5所示。圖5-5AR2204-27GE-S系列路由器圖示AR2204-27GE-S系列路由器參數如圖5-6所示。圖5-6AR2204-27GE-S系列路由器參數防火墻設備為了進一步保證企業(yè)內部的網絡安全，根據公司的需求，在總部網關布局一臺華為的USG6305E-AC系列的防火墻，該防火墻擁有較完善的安全功能，由于防火墻的內部布局了轉發(fā)、加密、模式匹配等協(xié)處理引擎，對于包轉發(fā)的效率得到了明顯的提高，也可以顯著的提升多項業(yè)務的性能，如IPSec業(yè)務、AV業(yè)務性能。該防火墻還擁有IPS、反病毒和URL過濾等功能，保障了數據內容的安全，避免公司各部門用戶和內部服務器受到外部病毒和不法分子的侵害。USG6305E-AC系列防火墻如圖5-7所示。圖5-7USG6305E-AC系列防火墻圖示USG6305E-AC系列防火墻參數如圖5-8所示。圖5-8USG6305E-AC系列防火墻參數服務器的選擇對于服務器的選擇，根據公司需求，采用華為FusionServerRH1288系列服務器，該類型服務器的特點為支持24條DDR4內存，內存容量可達3TB，可以解決大容量內存應用存放的需要。支持板載2*10GE，支持2個板載OCP2.0網卡，配置簡潔，解決了大多數應用場景的網絡需求。FusionServerRH1288系列服務器如圖5-9所示。圖5-9FusionServerRH1288系列服務器FusionServerRH1288系列服務器參數如圖5-10所示。圖5-10FusionServerRH1288系列服務器參數無線AP功能的實現配置無線AP時，只需要對AC控制器進行配置即可，信號收發(fā)設備AP不需要做過多的配置，配置完成后，公司員工可以連接WIFI進行上網。無線AP的配置過程分為兩步，第一步為AP上線，第二步為AP下發(fā)，AC控制器配置的步驟和過程如下。AP上線：（1）在AC上指定capwap的元接口。（2）在AC上創(chuàng)建AP組。（3）將AP添加到AP組中。AC給AP下發(fā)配置：（1）做安全模板配置。（2）做SSID模板配置。（3）做VAP模板配置，調用（安全+SSID），設置vlan，設置轉發(fā)模式。（4）把VAP模板應用到AP組射頻接口。相關的配置如圖5-11和5-12所示。圖5-11AC相關配置圖5-12AC的相關配置DHCP功能的實現在拓撲中，公司總部使用路由器作為DHCP服務器，與核心層的路由器相連，根據各部門VLAN的劃分，給各部門分配不同的地址池，在其他設備做中繼配置，使終端設備能給個自動獲取到IP地址，使得網絡變得簡單，并且易于管理。相關配置如圖5-13所示。5-13DHCP配置圖示在PC上設置DHCP模式，讓下面的PC可以自動獲得IP地址、網關等，配置如下圖5-14所示：5-14PC設置DHCP模式圖示VRRP功能的實現根據公司總部的拓撲設計，對LSW06和LSW07做VRRP的配置，保證數據傳輸的穩(wěn)定性，根據公司需求，通過配置優(yōu)先級，組號為各VLAN的ID，實現LSW06交換機作為VLAN10、VLAN12、VLAN20的主交換機Master，LSW07交換機作為VLAN30、VLAN40、VLAN50的主交換機Master。同樣，LSW06作為VLAN30、VLAN40、VLAN50的BACKUP備用交換機，LSW07作為VLAN10、VLAN12、VLAN20的BACKUP備用交換機。相關配置如圖5-14所示。圖5-14VRRP配置圖示使用displayvrrp在LSW06上檢查一下配置結果，查看結果如圖5-15所示。圖5-15VRRP配置結果圖示使用displayvrrpbrief命令在LSW07上檢查VRRP的運行狀態(tài)，如圖5-16所示。圖5-16VRRP運行狀態(tài)圖示NAT功能的實現由于工作需要，公司的內部網絡需要進行對外網訪問，需要在公司防火墻配置NAT，內網的私有地址經過防火墻時，防火墻通過對照NAT的地址池表，然后選擇相對應的公網地址進行轉換，從而達到與外部用戶交流的目的。相關的配置如圖5-15所示。圖5-15NAT配置圖示IPSecVPN功能的實現公司總部與分部需要建立一條安全通道，用于實現兩地的安全通信，考慮到公司的網絡安全需求，這里我們使用IPSecVPN，IPSec提供了各種認證加密算法，通過對數據進行加密，保障公司總部與分部的通訊安全。相關的配置如圖5-16所示。圖5-16IPSecVPN的配置圖示網絡功能與性能測試無線AP功能測試使用筆記本電腦或手機連接到AP，設備能夠通過連接上AP，并自動獲取IP地址，連接界面和結果如圖6-1和6-2所示。圖6-1設備連接測試圖示圖6-2設備連接后自動獲取IP圖示DHCP功能測試隨機使用一臺主機選擇自動獲取IP地址，結果如圖6-3所示。圖6-3DHCP測試結果圖示管理層的網段為/24，網關為54，DNS為，說明DHCP功能已經實現。NAT功能測試隨機使用公司內部的PC進行ping外部客戶的網絡地址，NAT地址池為——0，然后在防火墻查看相關信息，結果如圖6-4和圖6-5所示。圖6-4ping外網測試結果圖6-5NAT地址轉換結果圖示WEB功能測試通過配置，外網能夠訪問DMZ區(qū)域的WEB服務器，WEB服務器的配置和訪問結果如圖6-6和圖6-7所示。圖6-6WEB服務器的配置圖6-7WEB服務器訪問結果圖示VPN功能測試隨機使用總部的設備去ping公司分布的PC，結果如圖6-8所示。圖6-8VPN功能測試圖示兩地主機能夠ping通，說明相關的配置已經完整，總部與分部能夠正常互訪交流。通過以上的