网络科技有限公司网络设计
网络科技有限公司网络设计
摘要:伴随着信息科技发展,上网变得一件必不可少的事情,当然网络安全对我们也是越来越重要。像我们的传统网结构是无法为我们的上网提供一个安全的网络环境。锐雯网络科技有限公司就是以网络安全为基本的对网络惊醒合理化的设计的,通过AAA认证、QOS、BFD、MPLS以及NAT等技术设计出一时代化的网络架构,同时也必须具备高可靠性以及高安全性的特点。
本论文是以网络设计以及网络需求的方向来对锐雯网络科技有限公司进行合理化设计,并且通过与传统网络不足比较从而进行改进。同时,也会根据数据通信技术以及企业园区网络的功能特性,从网络的可靠性、安全性、可扩展性、先进性等特性对网络进行设计、优化,从而设计出一个合理的网络建设方案。
关键词:网络安全,网络建设,企业网络
Construction and optimization of enterprise networt
Abstract:With the development of information technology, surfing the Internet has become an indispensable thing, and of course network security is becoming more and more important to us. Traditional network structures like ours are unable to provide a secure network environment for our Internet surfing. Riwen network technology co., ltd. is to network security as the basic rational design of the network, through AAA certification, QOS, BFD, MPLS and NAT and other technologies designed an era of network architecture, but also must have high reliability and high security characteristics.
This paper is the network design and network demand to the direction of riwen network technology co., ltd. to rationalize the design, and through the traditional network and the shortage of comparison to improve. At the same time, according to the data communication technology and the functional characteristics of the enterprise park network, from the network reliability, security, scalability, advanced characteristics of the network design and optimization, so as to design a reasonable network construction program.
Keywords:network security,Network construction,Enterprise network
目 录
第1章 绪论91.1研究背景91.2网络发展的趋势91.2.1链路的冗余91.2.2数据访问控制与安全101.2.3业务流量的优化101.3研究目的和意义10第2章 网络需求分析112.1无线的需求112.2外部网络访问内网的安全性112.3链路的冗余和网络可靠122.4网络性能需求122.5网络架构具备扩展性12第3章 网络设计方案133.1网络设计原则133.1.1先进性143.1.2可靠性143.1.3安全性143.1.4可扩展性143.1.5易于管理143.2核心层设计153.2.1 OSPF的部署153.2.2 QOS的应用163.2.3堆叠技术163.3汇聚层设计163.3.1 DHCP服务的部署173.3.2 VRRP网关备份173.3.3链路聚合183.4接入层设计183.4.1 SSH协议的部署193.4.2 MSTP的部署193.5核心层以上的设计193.5.1防火墙双机热备203.5.2NAT的应用203.5.3MPLS VPN的应用213.6IP地址和VLAN的划分223.6.1VLAN的划分223.6.2IP地址规划233.7设备选型243.7.1核心层设备选型243.7.2汇聚层设备选型253.7.3接入层设别选型253.7.4无线设备选型26第4章 网络设计方案部署274.1.核心层的部署274.1.1OSPF协议的部署274.1.2堆叠技术的部署274.2汇聚层的部署284.2.1DHCP协议的部署284.2.2VRRP的部署284.2.3链路聚合的部署294.3接入层的部署294.3.1MSTP的部署294.3.2 SSH的部署304.4网络出口的部署314.4.1NAT的部署314.4.2双机热备的部署31第5章 方案的测试325.1无线测试325.2DHCP地址获取情况335.3联通性34结束语37参考文献38致谢39
第1章 绪论
1.1研究背景
随着信息科技的发展、网络技术的进步。在当下这个社会,互联网传输数据的所引起的关注点就是信息安全和流量的优化。我们作为一个企业接入互联网,我们首先要有我们自己公司内部的企业网,同时我们也要向着信息安全、流量优化的方向建设我们的企业网。
随着近几年网络技术的快速发展,网络的安全性也逐渐得到重视,我们企业的沟通交流也是以网络传递为中心,所以我们建设企业网首先考虑的就是网络安全性,通过认证、加密保证数据在网络传输过程中是以密文的形式交互,当然我们也是无法保证我们数据在网络中有没有窃取,毕竟在互联网的时代是没有绝对的安全;企业网建设当然不仅仅是信息安全,我们同时也会兼顾到我们内部网络流量的优化,这样可以保证重要的数据可以快速转发使得我们公司内部业务的得到保证。传统的网络架构框架基本都是核心层-汇聚层-接入层,我们锐雯网络科技有限公司的网络架构就是以这个框架进行设计以及优化所得出两种模型:有限网络核心层-汇聚层-接入层;无线网络部分核心层-接入层。基于这两种模型我们可以更好的控制我们流量走向。本论文将以锐雯网络科技有限公司作为研究对象,从网络设计的背景、业务的需求、企业网络拓补等方面进行具体分析,通过现有网络技术,结合企业未来业务发展前景,对现有网络提出设计方案。
1.2网络发展的趋势
1.2.1链路的冗余
在传统企业网建设中,企业的用户流量通常都是高度集中、流量走向都是单一、高度集中,一旦出现单点故障,公司的业务流量就会得不到保障。面对这样的不稳定的网络构建,我们公司的企业网采取的措施是用MSTP技术实现链路冗余、链路负载。同时我们公司的网络架构是从核心到汇聚都采用双设备,虽然这样会加重建设成本,但是在一定程度上加强了网络的扩展性、可靠性。
1.2.2数据访问控制与安全
传统的企业网络对于企业网安全这方面不够重视,往往在企业网的出口仅仅只部署了一台防火墙,而没有使用相应的安全技术、相应的控制策略,这样很容易受到外部网络的攻击,同时内部主机之间的相互访问也没有做相应的限制,安全性也不高。在我们公司网络规划中,我们采用的是我们通过MPLS VPN技术option-C2方案实现总部和分部之间的通信;同时在防火墙上部署相应网安全策略,限制外网用户直接访问我们公司内网;内部之间我们通过ACL、PBR以及二层隔离技术实现对员工的上网行为进行限制。通过相应的安全协议,我们可以保证数据的安全访问。
1.2.3业务流量的优化
传统的企业网流量的走向都是单一的,没有经过专业的部署,虽然流量走到的最优的路径,但是出现数据高峰时,就会导致网络拥塞,数据丢包的情况。我们在规划网络时也有根据这情况做了相应应对策略,我们采用QOS、MSTP等技术对数据流量进行优化,保证我们公司重要业务流量得到及时转发。
1.3研究目的和意义
在互联网时代中,随着IP技术的不断发展,信息安全和流量优化在企业网显得越发重要。传统的企业网络架构结构单一、功能单一、设计存在各种问题,无法满足公司业务的需求。网络设备跟不上技术的发展,导致硬件传输数据的速度过慢,用户的体验差。网络规划不合理,浪费IP地址,网络架构难以进一步拓展。数据传输的安全性不高,存在严重的数据安全漏洞。网络设备部署缺乏冗余性和可拓展性,业务流量走向比较单一。因此,本课题将深入研究新型企业网络的需求特点和功能特性,通过分析现有传统企业网络架构存在的问题与不足,
第2章 网络需求分析
锐雯网络科技有限公司是一家从事软件开发的软件公司,因此对数据的安全要求很高,因此我们在总部和分部之前采用的MPLS VPN和IPSEC VPN等隧道技术。当我们的公司内部用户访问我们的内网服务器的时候他们的访问流量都会被我们的核心交换机强制下一跳流经我们企业网的上网行为审计。与传统的网络架构不同的是我们是采用上设备堆叠技术,不仅仅是加强我们的网络的性能,同时还是具有很强的可扩展性与可靠性。
为了满足公司内部用户的上网需求以及公司业务发展,我们建设一个企业网必须满足一下这些需求。
2.1无线的需求
锐雯网络科技有限公司的无线网络结构和有限网络结构是不相同的,我们的无线网络的结构是采用的是AC核心交换机无线接入交换机。我们的无线网络的覆盖率是很高的,因此用户在接入无线时,连接不同AP之间都是可以随意漫游的。而且还有很重要的一点是不通用户有不同的ssid-id,除了ssid-id为guest是开放外,其他的都是采用认证的方式接入我们公司网络。因为考虑到2.4G频段穿透能力强、射频范围大,但是在这一频段的干扰性多;而5G频段穿透能力弱、射频范围小,但是在这一频段的干扰性小,因此无线的频段5G和频段2.4G频段会同时开启,从而满足用户随时随意的接入无线。
2.2外部网络访问内网的安全性
锐雯网络科技有限公司因为公司的特殊性,对自己的企业网的安全性是非常的高,因此我们规划企业网的时候我们非常重视这一部分的功能特性。因为我们公司是一个软件公司,内部的数据不可能会发生被外部窃取现象,因此我们网络的出口就是一台防护墙,经过防火墙之后我们还部署了深信服的上网行为审计,就相当于每个用户做什么事情都是清清楚楚。次外我们的有线用户接入内网首先要经过深信服的portal认证,无线接入用户我们也是采用密码认证,并且我们的密码都是经过MD5算法加密,想要破解难度是非常大的。在内网也部署了相应防止内网攻击的网络技术:内网用户访问控制采用ACL策略限制用户权限、防止非法用户有线接入内网我们采用端口安全、防止用户破坏DHCP地址池以为DHCP地址池合理化使用我们采用的是DHCP SNOOPING技术提供安全。
2.3链路的冗余和网络可靠
锐雯网络科技有限公司用户数量多、业务量庞大,我们不允许我们的企业网出现故障,一旦公司网络出现故障,就会影响公司用户的体验感和以及公司的业务情况。在规划网络时,我们的工程师首先考虑到点就是网络的冗余性,公司网络不允许出现中断现象,对网络可靠性的要求非常高。与传统网络相比,我们在硬件上我们采用的是双链路双设备的组网方式,运用堆叠技术我们把两台设备合并一台,并且在设备的性能上不会减低;在网络技术上我们采用的是MSTP+VRRP技术来提高链路的冗余,通过灵活的使用VRRP和MSTP技术使得我们的链路的利用率大大的提高。当让我们都知道故障不仅仅是在我们的内部网络会发生,运营商的网络也是会发生故障的,因此我们连接外网采用双链路并且互为主备同时通过BFD技术快速检测线路问题,一旦出现故障链路切换达是毫秒级别的。
2.4网络性能需求
锐雯网络科技有限公司用户数量大,流量基数高,并发量大,内部员工对服务器访问量大。针对这一现象,我们在规划网络时。从接入层到汇聚层应该采用千兆线路,服务器接入层到服务器汇聚层采用的是线路,汇聚层到核心层采用的万兆的线路,核心以上也是采用万兆线路。这样可以实现千兆到用户,这样设计可以是用户内部之间告诉访问,在访问外网是设置每个人的带宽不超过10M,这样规划可以从一定层度上降低流量的峰值,保障内部所以用户上网。
2.5网络架构具备扩展性
随着科技的快速发展,我们在购买我们网络设备时,我们应该想到现在购买的设备能不能满足日后的需求,同时也要考虑到我们的设备和更新设备的兼容性,要知道公司在壮大的同时我们的网络也是随之变大。当然我们不仅仅是考虑硬件上,同时也要考虑到架构上以及网络协议上。首先我们的网络架构时采用的时日字型的三层结构,它可以根据网络的需求改变企业网的大小。
第3章 网络设计方案
锐雯网络科技有限公司的总拓扑如下图所示
添加图片注释,不超过 140 字(可选)
图-3-1 网络总拓扑
在这个网络拓扑中可以到总部和分部之间是通过MPLS VPN相连,保证彼此之前的连通性。总部和分部的架构都是日字形组网架构,并且是采用三层结构,接入层、汇聚层、核心层之间结构清晰。
3.1网络设计原则
在企业网建设中,我们始终是以锐雯网络科技有限公司的需求为核心,选择最适合本公司的网络技术实现,因此我们的企业网规划遵循以下原则。
3.1.1先进性
随着科技的快速发展,为了跟上网络的步伐,我们的企业网采用设备必须是与时俱进的。汇聚到核心以及到出口都是采用双设备负载,强大的功能特性不仅仅是新型网络的建设风格。
3.1.2可靠性
企业网络的可靠性决定了一个企业网的好坏,我们公司不仅仅是在硬件设备还是网络技术上都是实现了我们企业网高可靠性。硬件上我们采用的是双设备和双链路冗余,保证我们网络发生单点故障时不会使我们网络瘫痪的后果;网络技术上我们采用VRRP、MSTP等可靠的网络协议。
3.1.3安全性
锐雯科技网络有限公司作为一个软件开发公司,我们对公司的数据安全性是非常高的,保证我们数据不会被窃取。我们在企业网规划时,为了保证我们的数据安全,企业网内部我们采用ACL、端口隔离、端口安全等安全技术限制公司内部用户对网络的攻击;外部我们采用的是MPLS VPN技术与分部数据进行访问,并且出口设置防火墙隔离内外网。
3.1.4可扩展性
我们在企业网规划过程中,由于考虑到时代的发展过快,我们在采用网络技术的时候,我们首先考虑的就是可扩展性。扩展性性保证我们公司业务变大而使我们企业改变适应,以及企业网扩建。
3.1.5易于管理
我们企业网的优势不仅仅是在设备硬件和安全,最重要的还是我们企业网容易管理。我们公司采用的是传统的日字型的三层结构,在每台设备上我们都采用了ssh远程,无论是远程管理还是网络排错都是很好的。
3.2核心层设计
传统的网络架构就是三层结构:核心层、汇聚层、接入层。核心层作为企业网中心枢纽,是企业网所以流量的必经之地,因此他必须具有强大的转发能力以及数据处理能力。锐雯网络科技有限公司在核心层部署两台数据中心级别的交换机来作为核心层的数据高速转发,同时这两台数据中心级别的交换机采用堆叠CSS技术逻辑上合并成一台,这不仅仅是解决了端口不够用的问题,加强网络管理员的管理能力。当一台核心交换机故障了另外一台核心交换机仍能正常运行 ,这样很大的提高了核心层的可靠性。核心层设计如图3-1所示。
添加图片注释,不超过 140 字(可选)
图3-2 核心层设计
在网络规划时我们考虑到内部路由较多,日后扩展能力强,我们采用了OSPF路由协议;核心层是去往各个子网段的必经汇聚点,所我们在核心层做了PBR以及QOS技术限制用户的行为。
3.2.1 OSPF的部署
OSPF开放式最短路径优先协议,这是一个动态的路由协议。一般的中大型企业网都会选择OSPF作为内网三层互联的首选的动态路由协议,当然锐雯网络科技有限公司也是选择OSPF作为内网的三层互联的动态路由协议。OSPF协议是一种链路状态路由协议,它是基于SPF算法,以自己为根计算出自己到每个节点的最短路径,这样避免了三层的环路,同时他是支持变长子网、支持认证、以及扩展性强都优点。在我企业网规划中我们从汇聚层和核心层之间配置OSPF路由协议,整个OSPF区域只划分一个Area0,并且端到端之间启用p2p,加快网络的收敛。
3.2.2 QOS的应用
QOS服务质量,就是在有限的资源内,更好的提高网络服务。因为我们核心层数据比较多,在做大格局流量时,QOS就发挥的及其重要的流量管理。QOS有区分服务模型,针对不同优先级区分不同的服务;同时,QOS也有令牌桶原则,简单来说就是限速,就是根据每个源地址设定不同的网速。锐雯网络科技有限公司以为内部用户过多,不可能对用户的上网带宽进行限制。传统企业网也是对用户设置上网带宽限制。
3.2.3堆叠技术
堆叠技术就是将两台或者两台以上交换机合并在一起工作,这样可以提供更多的端口利用。堆叠通过堆叠线连接在一起,配置完后的堆叠设备可以在随机一台交换机上配置,其他交换机也会生效;堆叠技术在一台设备故障其他设备不会收到影响的高可靠性。核心层作为锐雯网络科技有限公司的中心枢纽,在不降低设备成本的同时选择最好的技术实现公司内部网络的稳定性,多台设备可以同时管理,从而大大降低了网络管理员对网络的管理,所以堆叠技术就是哦我们首选的。
3.3汇聚层设计
汇聚层作为每个VLAN的从出口的存在,因此汇聚是所有接入层流量的汇聚点,同时所有VLAN不是接在同意个汇聚交换机,所以汇聚也是要运行动态路由协议,不然不同网段之间的通信就会存在问题。虽然汇聚层的数据量没有核心层的量那么多,但是也不会太低。因此选择设备时我们不是一定买最贵的,但是性能不能差,更是方便以后网络拓展。
规划网络时,我们锐雯网络科技有限公司的工程师考虑到多链路复用以及备份采用两台汇聚层交换机进行链路冗余备份,通过VRRP协议以及MSTP协议灵活的规划接入层到汇聚层的流量。汇聚层作为接入层的出口点,我们也把DHCP服务器设置在汇聚层交换机,而且设置的规律也很有意思。为了保证两台汇聚层交换机的互通性强,在两台汇聚层交换机上我们还部署了LACP协议,使得接入层到汇聚层的冗余性更强。
3.3.1 DHCP服务的部署
DHCP协议也叫动态主机配置协议,他主要是服务器控制一段IP地址的范围而主机可以通过自动向服务器动态的获取IP地址、子网掩码、DNS、网关等信息,像这种协议,一般的企业网都会部署。因为一般的普通用户对网络知识的认知比较低,像这个自动化配置网络就很好的解决了锐雯网络科技有限公司的这种人员较多,配置量大的情况。对网络管理员来说,内网用户较多,手动配置IP地址信息的话,很有可能配置会出现错误而引起的地址冲突上不了网,并且配置量也是多的可怕的。为了减轻网络管理员的负担,加强网络管理员对内网的管理, DHCP协议就成了我们内网的必选协议之一。
3.3.2 VRRP网关备份
VRRP是虚拟路由冗余协议,它是一个网关备份组协议。他就是通过两台设备设置不同的IP地址,通过选举指定一台为主设备,并且主设备负责转发流量;另一台作为从设备,不转发数据作为网关的备份。当主设备出故障时,从设备会直接代替主设备转发流量。锐雯网络科技有限公司内部网络有多个VLAN,并且汇聚层开始走三层,所有的网关都在汇聚层,因此我们工程师采用的是汇聚层上做VRRP网关备份。最重要的还是VRRP可以设置多个备份组,根据不同的网段设置不同的网关,实现负载的效果。并且还可以通过VRRP和MSTP协议对流量进行双控制,可以很好对接入层到汇聚层的流量走向进行控制。
3.3.3链路聚合
链路聚合技术在传统网络里面是非常常见的技术,通过在设备上创建一个逻辑的接口,然后把要聚合的几个物理接口绑定在这个逻辑上。显然当一条链路带宽不够大了,又不想换设备时,这种技术是有很强的扩展能力的。链路聚合有两种模式:手工模式和LACP模式,手工模式就是链路聚合的所有端口都是活跃口,都是可以转发数据的;LACP模式是可以选择最大活跃链路数,根据设备的情况选择链路备份,活跃链路可以转发数据而备份链路是不可以转发数据,活跃链路是通过比较优先级以及mac地址等信息确定,当然的两台设备做链路聚合也是区分主备关系的,主设备决定活跃链路已经最大活跃链路。无论是哪种模式,链聚合的聚合链路数不能超过8条。锐雯网络科技有限公司考虑到内网的可靠性,决定汇聚之间采用的是链路聚合连接。
3.4接入层设计
接入层作为所有有线主机的接入点,设备的数量多这是无法避免的,因此在管理的层面来说,这对网络管理员也是一种负担,当然我们为了方便管理,我们可以在每台接入层交换机上配置ssh服务,这样即使是网络出现特殊情况也可以方便排错。除了管理这些设备的问题外,去配置这些设备也是一个比较麻烦的问题。除了管理层面以外,我们还是要考虑一些安全的相关问题。因为接入层做的不好也可能收到内网的攻击,毕竟林子大了什么鸟有,我们做技术的什么都应该是防患于未然。我们在接入层做相应的安全策略,我们要开启DHCP Snooping保护我们的DHCP地址池;我们在端口下开启端口安全,防止外来用户接入我们网络。接入层可以通过MSTP协议对流量进行管控,为用户的流量接入网络畅通无忧。
3.4.1 SSH协议的部署
中大型企业网的网络设备都不少,当然锐雯网络科技有线公司的网络设备量也是很大的,为了网络管理员在查看配置时不会带着console线一层一层楼的爬。当然这个SSH远程控制协议也是被很多公司的网络管理员所应用,因为这个日常用的比较广泛。SSH远程控制协议的运用场景很多,在遇到解决不了的问题时通过400远程支持可以。而且SSH远程控制协议与普通的telnet不同,它的密钥是经过加密的。在接入层我们每台设备都会配置SSH远程控制协议,使得我们的网络管理更简洁方便。
3.4.2 MSTP的部署
MSTP多实例生成树,他就是通过把VLAN划分到相应的实例,并且每个实例都是独立计算生成树的,就是通过他的原理我们可以控制不同VLAN的流量的走向。因为在汇聚层部署了vrrp网关备份协议,MSTP配合vrrp对流量可以做一个双重控制。此外MSTP相对比普通STP收敛更快,所以在连接主机端设置边缘端口;与快速生成树相比MSTP支持多实例,因此MSTP在我们公司的网络起来很重要的作用。
3.5核心层以上的设计
企业网的出口是实现内网与外网通信的必经之道,因为锐雯网络科技有限公司的网络出口比较多,所以合理规划网络出口是非常必要的。所以我们的设计是采用核心以上连双防火墙,防火墙上是连出口路由器。防火墙采用的是双机热备,防止特殊情况的发生;路由器是作为MPLS VPN的CE设备,同时也是设置NAT地址转换的设备。我们的总共出口线路有三条,其中一条作为总部与分部互通的MPLS VPN线路,而另外的两条则是作为出口互联网线路。而且我们我们的设计原则是私网明细路由走MPLS线路,公网路由直接默认。出口设计图如下:
添加图片注释,不超过 140 字(可选)
图3-3出口设计
3.5.1防火墙双机热备
防火墙双机热备在很多的企业网都是很常见的,这样的设计很好的保证了设备和链路的冗余性。两台设备通过运行HRP协议选出主从设备,然后主设备负责转发流量,备份设备作为主设备链路备份。同时还有一个好处就是配置完成双机热备之后,在主设备上配了配置信息会同步到备份设备上,当主设备有问题可以直接根据故障前转发。锐雯网络科技有限公司是因为考虑到这样的好处,所以采用了双机热备的设计方案。
3.5.2NAT的应用
NAT的产生的原因是因为IPv4地址不够用,所以在所有的企业网基本都会采用NAT地址转换技术。NAT技术的工作原理是通过私网IP地址转换成工IP地址,从而实现访问互联网。因为我们的公网地址就两个,所有我们采用的出接口地址转换技术,也就是说我们内内部网络的所有主机访问互联网的时候我们在公网上路由的源地址是我们的出口地址。我们可以通过设计ACL感兴趣流,允许内部网络哪些地址可以访问互联网。不仅如此,因为我们在公网上路由的源地址是出口IP地址,没有包含我们的私网地址,从一定层度上也保护了我们的内部网络。
3.5.3MPLS VPN的应用
MPLS网络是通过在数据帧与IP包头之间插入一个MPLS包头,从而实现报文通过标签转发。因为考虑到总部和分部通信的可靠性、安全性,锐雯网络科技有限公司是租用一条MPLS线路以及采用的是MPLS VPN技术的OPTION-C1方案。该方案是公网保存私网路由,总部和分部之间可以通过MPLS VPN传输VPNV4路由,也就是私网路由。其设计图如下:
添加图片注释,不超过 140 字(可选)
图3-4MPLS网络
MPLS主要是实现过程是PE1和PE2建立EBGP邻居,然后开启VPNV4功能,建立起VPNV4邻居,传递私网路由,除了这两台设备存在私网路由,其他设备不保存任何私网路由。
3.6IP地址和VLAN的划分
3.6.1VLAN的划分
总部规划VLAN规划
表3-1 总部有线VLAN规划
| 有线VLAN划分 | VLAN ID | 网段 | 楼层 | 备注 |
|---|---|---|---|---|
| 20 | 10.1.20.0/24 | 20F | 研发部 | |
| 30 | 10.1.30.0/20 | 20F | 技术部 | |
| 40 | 10.1.40.0/24 | 20F | 服务器区 | |
| 50 | 10.1.50.0/24 | 20F | 服务器区 | |
| 60 | 10.1.60.0/24 | 19F | 行政部 | |
| 70 | 10.1.70.0/24 | 19F | 财务部 |
表3-2 总部无线VLAN规划
| 无线VLAN划分 | VLAN ID | 网段 | 楼层 | 备注 |
|---|---|---|---|---|
| 1900 | 10.1.190.0/24 | 19F | 19楼AP地址 | |
| 1901 | 10.1.191.0/24 | 19F | 19楼无线内部用户 | |
| 1902 | 10.1.192.0/24 | 19F | 19楼无线会议专用 | |
| 1903 | 10.1.193.0/24 | 19F | 19楼访客 | |
| 2000 | 10.1.200.0/24 | 20F | 20楼AP地址 | |
| 2001 | 10.1.201.0/24 | 20F | 20楼无线内部用户 | |
| 2002 | 10.1.202.0/24 | 20F | 20楼无线会议专用 | |
| 2003 | 10.1.203.0/24 | 20F | 20楼访客 | |
| 2004 | 10.1.204.0/24 | 20F | BOSS专用无线 |
分部VLAN规划
表3-3 分部有线VLAN规划
| 有线VLAN划分 | VLAN ID | 网段 | 备注 |
|---|---|---|---|
| 80 | 172.16.80.0/24 | 研发技术 | |
| 90 | 172.16.90.0/24 | 行政财务 |
表3-4 分部有线VLAN规划
| 无线VLAN划分 | VLAN ID | 网段 | 备注 |
|---|---|---|---|
| 2100 | 172.16.210.0/24 | 分部AP地址 | |
| 2101 | 172.16.211.0/24 | 内部用户无线 | |
| 2102 | 172.16.212.0/24 | 无线会议专用 | |
| 2103 | 172.16.213.0/24 | 访客 |
3.6.2IP地址规划
总部IP地址规划
表3-5 总部有线IP地址规划
| 有线IP划分 | VID | 掩码 | 可用主机数 | 网关 | 楼层 |
|---|---|---|---|---|---|
| 20 | 24 | 253 | 10.1.20.1 | 20F | |
| 30 | 24 | 253 | 10.1.30.1 | 20F | |
| 40 | 24 | 253 | 10.1.40.1 | 20F | |
| 50 | 24 | 253 | 10.1.50.1 | 20F | |
| 60 | 24 | 253 | 10.1.60.1 | 19F | |
| 70 | 24 | 253 | 10.1.70.1 | 19F |
表3-6 总部无线IP地址规划
| 无线IP划分 | VID | 网络号 | 掩码 | 可用主机数 | 网关 | 楼层 |
|---|---|---|---|---|---|---|
| 1900 | 10.1.190.0 | 24 | 253 | 10.1.190.1 | 19F | |
| 1901 | 10.1.191.0 | 24 | 253 | 10.1.191.1 | 19F | |
| …… | …… | …… | …… | …… | …… | |
| 2000 | 10.1.200.0 | 24 | 253 | 10.1.200.1 | 20F | |
| 2000 | 10.1.200.0 | 24 | 253 | 10.1.200.1 | 20F |
分部IP地址划分
表3-7 分部有线IP地址规划
| 有线IP划分 | VID | 网络号 | 掩码 | 可用主机数 | 网关 |
|---|---|---|---|---|---|
| 80 | 172.16.80.0 | 24 | 253 | 172.16.80.1 | |
| 90 | 172.16.90.0 | 24 | 253 | 172.16.90.1 |
表5-5 分部无线IP地址规划
| 无线IP划分 | VID | 网络号 | 掩码 | 可用主机数 | 网关 |
|---|---|---|---|---|---|
| 2100 | 172.16.210.0 | 24 | 253 | 172.16.210.1 | |
| 2101 | 172.16.211.0 | 24 | 253 | 172.16.211.1 | |
| 2102 | 172.16.212.0 | 24 | 253 | 172.16.212.1 | |
| 2103 | 172.16.213.0 | 24 | 253 | 172.16.213.1 |
3.7设备选型
在设备选型这方面,锐雯网络科技有线公司的预算是很高的,毕竟是在设备选择上是不能马虎的,这就直接影响着我们公司网络的性能。在选择厂家这方面我们选择的是国产华为的设备。我们网络的规划的工程师基本都是持有华为认证的,所以在功能实现这方面我们的企业网实现还是挺强大的。我们公司内网基本都是采用交换机,核心层到外网出口之间采用两台防火墙以及一台深信服行为管理
3.7.1核心层设备选型
核心层作为企业网的中心枢纽,同时也是承载这企业的有线网络和无线网络,所以我们采用的华为的S12708交换机,最大可支持8块板卡,性能强悍,并且支持48*10GE、16*40GE、8*100GE,保障我们核心层数据高速转发;
CSS2交换网硬件集群技术,两台同时运行可靠性更强。S12708如图所示
添加图片注释,不超过 140 字(可选)
图-3-5 核心层设备
3.7.2汇聚层设备选型
汇聚层交换机是接入数据的汇聚点,我们在选取设备时首先就要考虑设备的性能,已经设备的扩展能力这方面。虽然汇聚层目前没有做堆叠,华为S6700系列交换机支持堆叠功能,普通端口可以通过命令行配置为堆叠端口,使端口应用更加灵活。从功能特性上是符合公司网络络的发展的。S6720-54C-EI-48S-Front如图所示
添加图片注释,不超过 140 字(可选)
图-3-6 汇聚层设备
3.7.3接入层设别选型
接入层设备选型,经过锐雯网络科技有限公司的工程考虑,采用的是华为的5720系列的交换机。由于接入层交换机主机的数量比较多,我们采用的是S5720-56C-HI-AC-Front,显然这款交换机端口是是很多的,这样从一点层度是减少了设备的数量,是很适合中大型网络的而接入层使用。S5720-56C-HI-AC-Front如图所示
添加图片注释,不超过 140 字(可选)
图-3-7 接入层设备
3.7.4无线设备选型
无线设备选型到时候主要是考虑AC和AP,同时要经过网络工程师在现场踩点才会选择出正确的设备。无线AC采用的是华为的AC6005-8型号,而无线接入交换机是采用支持POE供电的华为S5720-28X-PWR-SI-AC型号,AP采用的是华为AP6000系列的AP6050DNAP。
第4章 网络设计方案部署
4.1.核心层的部署
4.1.1OSPF协议的部署
OSPF协议的部署主要步骤是先开启OSPF进程,然后进入相关的区域,我们网络都是在area0里,然后宣告相关的网段。考虑到安全性的问题我们采用区域内认证的方式建立邻居,如果认证不通过就无法建立邻居,也无法交互路由。让网络快速收敛,交换机之间的的OSPF网络类型采用p2p网络类型,这个需要在接口上配置。在网络出口的路由器下发一条默认路由,使得内部主机可以通过该默认路由访问外网。配置如下:
ospf 1
area 0.0.0.0
network 10.1.22.1 0.0.0.0
authentication-mode md5 1 cipher riwen
ospf network-type p2p
default-route-advertise
4.1.2堆叠技术的部署
堆叠实施的主要步骤是进入堆叠管理视图,配置堆叠的优先级选择主从设备,配置堆叠域编号防止与其他堆叠系统冲突,因为修改堆叠成员ID时指定了inherit-config参数,所以备设备重启后会继承member 1的堆叠配置。然后创建堆叠端口,进入堆叠端口吧业务口40GE0/0/1加入到堆叠端口1/1。然后保存配置,连接堆叠线,重启之后堆叠就起来了。配置如下:
Stack
stack slot 0 priority 200
stack member 1 domain 10
stack member 1 renumber 2 inherit-config
interface stack-port 0/1
port interface 40GE0/0/1 enable
4.2汇聚层的部署
4.2.1DHCP协议的部署
我们所有的DHCP协议都是部署在汇聚层交换机,并且DHCP采用的是全局地址池部署方式,主要步骤是先创建地址池,然后配置网关、网段以及DNS的网络信息。然后在系统视图下把DHCP服务开启,服务开启后进入到相关的接口,然后DHCP选择全局模式就可以了。配置如下:
ip pool vlan2103
gateway-list 172.16.213.1
network 172.16.213.0 mask 255.255.255.0
dns-list 8.8.8.8 114.114.114.114
DHCP enable
interface Vlanif2103
dhcp select globe
4.2.2VRRP的部署
VRRP协议部署在汇聚层,主要步骤是进入vlanif口配置vrrp组,根据vrrp组配置虚拟IP地址,然后这个虚拟IP地址作为网关。配置优先级,通过优先级选择优先级高的作为Master设备,优先级地的作为Backup设备。配置抢占延迟时间,配置的目的是为了在网络环境不稳定时,在网络恢复正常之后等待一定时间,避免由于双方频繁抢占导致用户设备学习到错误的Master设备地址而导致流量中断问题。配置如下:
interface Vlanif40
vrrp vrid 40 virtual-ip 10.1.40.1
vrrp vrid 40 priority 100
vrrp vrid 40 preempt-mode timer delay 60
4.2.3链路聚合的部署
链路聚合的部署的步骤:首先进入Eth-Trunk接口视图下,把工作模式配置成LACP模式;然后把最大活跃链路配置成2条,总共三条链路,还有一条链路作为备份链路;并开启抢占功能,而且抢占延迟设置成30s。最后把添加成员接口就可以了。
interface Eth-Trunk1
mode lacp-static
max active-linknumber 2
Lacp preempt enable
trunkport g0/0/24
4.3接入层的部署
4.3.1MSTP的部署
MSTP协议主要是部署在接入层到汇聚层,其主要步骤:进入MST域视图,配置交换设备的MST域的域名,配置VLAN划分到相应的实例,然后激活MST域配置。再通过网络的需求设置具体的交换机为实例的主根就可以了。配置如下:
stp region-configuration
region-name vlan60
instance 4 vlan 40
active region-configuration
stp instance 4 root primary
4.3.2 SSH的部署
SSh远程协议的部署步骤:首先进入aaa视图配置用户名和密码,配置用户的服务类型为ssh,然后用户的登陆时的级别。其次在全局界面开启ssh服务,配置ssh用户的服务方式为stelnet,开启shh客户端首次认证。配置虚拟通道最大支持5个telnet会话,认证模式是aaa,配置只支持ssh协议。配置如下:
aaa
local-user riwen password irreversible-cipher admin@123
local-user riwen service-type ssh
local-user riwen privilege level 15
stelnet server enable
ssh user riwen service-type stelnet
ssh client first-time enable
user-interface vty 0 4
authentication-mode aaa
protocol inbound ssh
4.4网络出口的部署
4.4.1NAT的部署
NAT协议的部署在出口路由器,主要步骤:首先创建ACL感兴趣流,因为设置的是出接口地址转换,所以不用配置地址组,直接在接口上设置NAT,并指定ACL就可以。配置如下:
acl number 2000
rule 5 permit source 10.1.0.0 0.0.255.255
interface GigabitEthernet3/0/0
nat outbound 2000
4.4.2双机热备的部署
双机热备部署在防火墙上,主要步骤:首先配置心跳口,配置会话快速备份功能,配置VGMP组监控上行业务接口,启动根据主备状态调整OSPF的cost值功能,备设备传出的路由开销默认增加65500,然后开启HRP功能。配置命令如下:
hrp interface GigabitEthernet1/0/2 remote 10.1.11.2
hrp mirror session enable
hrp track interface GigabitEthernet0/0/0
hrp adjust ospf-cost enable
hrp enable
第5章 方案的测试
5.1无线测试
AP通过DHCP获取到地址,并且通过option43选项,AP才能能正常上线,无线控制器AC才能控制到AP,给AP下发配置信息,无线AP的上线情况,正常上线的AP的state状态为nor,如果没有正常上线的话AP的state状态为ide。测试结果:图5-1 ap上线状态。
添加图片注释,不超过 140 字(可选)
图5-1 ap上线状态
通过无线控制器AC下发给AP的无线射频,根据不同的员工身份可以连接不同的无线SSID,无线用户可以根据自己的终端无线网卡,可以选择自己支持的频段射频,可以连5G、2.4G频段的射频。测试结果:图5-2无线设备射频。测试结果:图5-2无线设备射频。
添加图片注释,不超过 140 字(可选)
图5-2无线设备射频
5.2DHCP地址获取情况
有线主机通过动态自动获取向汇聚层DHCP服务获取IP地址、DNS等网络信息。DHCP服务器会根据不同不同的VLAN分配不同的网络参数。无线主机通过动态自动获取向汇聚层DHCP服务获取IP地址、DNS等网络信息。DHCP服务器会根据不同不同的VLAN分配不同的网络参数。测试结果:图5-3有线获取信息、图5-4无线获取信息。测试结果:图5-3有线地址信息获取、图5-4无线地址信息获取。
添加图片注释,不超过 140 字(可选)
图5-3有线地址信息获取
添加图片注释,不超过 140 字(可选)
图5-4无线地址信息获取
5.3联通性
连通性测试分为总部到分部,分部到总部测试,以及总部和分部都能访问外网。因为总部和分部之间通过MPLS VPN互通,所以总部和分部之间都有彼此的明细路由,因此两者之间互访数据包就直接走MPLS VPN线路,也就是从出口路由器的0口出去。而访问外网是通过默认路由,通过出接口路由器运行OSPF协议使用default-route-advertise命令,使得内网的运行OSPF协议的交换机都能学习到一条默认路由指向出接口的路由器,所以内网用户访问外网用户数据到直连的网关,网关设备根据路由表信息会传递给出口路由器,最后流量会从出口路由器的3口和4口出去。
总部和分部网络的互通性的测试,主要是各自内网的主机主动相互访问,因为各自之间内部都有防火墙。测试结果:图5-5分部主动访问总部、图5-5总部主动访问分部。测试结果:图5-5分部主动访问总部、图5-6总部主动访问分部。
添加图片注释,不超过 140 字(可选)
图5-5分部主动访问总部
添加图片注释,不超过 140 字(可选)
图5-6总部主动访问分部
总部和分部测试能访问外网,测试的方式是各自内部的主机都能主动访问外网的服务。测试结果:图5-7分部访问外网、图5-7总部访问外网。
添加图片注释,不超过 140 字(可选)
图5-7分部访问外网
添加图片注释,不超过 140 字(可选)
图5-7总部访问外网
结束语
锐雯网络科技有限公司因其公司业务的特殊性,在购买网络安全产品时, 对于网络安全性和可靠性要求是比较高的,同时对于公司用户体验这方面也是比较重视。针对以上需求的考虑和要求,我们的网络方案对于安全性、可靠性和流量优化这方面要求比较高。基于以上网络需求的考虑,并结合锐雯网络科技有限公司总部与分部的实际情况,通过使用ACL、IPSEC、VRRP和MPLS等网络协议来部署该网络方案。在结合现实情况和当今网络新型架构的基础上,采用金字塔互联型的网络架构并选用华为网络设备来完成该方案的物理部署,充分满足了我司业务对网络高可靠性、高安全性的要求。在物理设备和网络方案完成的时候,我们通过相关配置,并做了相应的测试,从而确保该网络方案顺利完成。本次网络方案从网络需求、网络设计、网络部署和测试这四步进行一一分析,虽然过程有些挫折,但经过自己不懈的努力,还是顺利完成,设计出了一个符合公司实际需求的网络方案。
参考文献
[1]王达.《华为路由器学习指南》[M].人民邮电出版社,2014-09.56-77.
[2]王达.《华为交换机学习指南》[M].人民邮电出版社,2014-09.33-67.
[3]华为技术有限公司.《华为路由器实验指南》[M].人民邮电出版社,2014-09.66-87.
[4]华为技术有限公司.《华为交换机实验指南》[M].人民邮电出版社,2014-09.50-65.
[5]华为技术有限公司.《HCNP网络技术实验指南》[M].人民邮电出版社,2014-05.66-87.
[6]徐慧洋、白杰、卢宏旺.《华为防火墙技术漫谈》[M].人民邮电出版社,2014-05.
[7]李盼星,杨文良,潘翔,王静.《HCNA-WLAN学习指南》[M].人民邮电出版社,2014-05.145-156.
[8]LawrenceBerkeley.《TCP/IP volume 1: protocol》[M].Mechanical industry press.2000-04.300-325.
[9]Laura Chappell,Gerald Combs.《Wireshark Network Analysis》[M].Chappell University,2012-06.255-269.
[10] LawrenceBerkeley.《TCP/IP Illustrated, Volume 2 (paperback): The Implementation 》.Mechanical industry press,2002-04.
[11]郑艳涛. VRRP协议应用和改进研究[D].浙江大学,2007.
原文地址:https://blog.csdn.net/zz10986708/article/details/145193032
免责声明:本站文章内容转载自网络资源,如本站内容侵犯了原著者的合法权益,可联系本站删除。更多内容请关注自学内容网(zxcms.com)!