网络工程-佛山传媒办公网络规划与设计

佛山传媒办公网络规划与设计摘要：本课题基于佛山传媒公司大楼的企业网络的规划与设计方案进行概括。企业网络通常是一种用户高密度的非运营网络，在有限的空间内聚集了大量的终端和用户。同时对于企业网络而言，注重的是网络的简单可靠、易部署、易维护。因此，企业网络的规划在设计上通常采用星型结构作为拓扑结构，且在逻辑上，可分为核心层、汇聚层、接入层，每一层都有其特点。因此，在本课题中，佛山传媒公司的网络拓扑将采用三层网络结构进行设计。通过分层设计，使得公司网络可模块化增长，提高公司网络的可扩展性；通过分层设计将公司网络分成各个单元，降低了网络的整体复杂性，使得公司网络运维人员在故障排除中更加容易；通过分层设计，使得公司网络单个设备的配置复杂性大大降低，更容易管理。在三层网络结构基础上，接入层通过MSTP+VRRP的技术搭配将公司各部门接入网络汇聚到汇聚层设备上，汇聚层设备作为各部门网络的网关，要合理地规划好MSTP实例将各部门流量引导到不同的汇聚网关设备上；在汇聚设备与核心设备之间通过手工链路聚合提高链路带宽，部署OSPF，通过修改OSPFcost值，人为地将流量引导到高带宽的聚合链路上；防火墙作为公司出口网关设备，部署双机热备技术，保障公司在访问互联网业务时不会出现单点故障。关键词：企业网络，网络三层结构、冗余备份

NetworkPlanningandDesignofFoshanMediaCompanyAbstract:ThisprojectisbasedontheplananddesignoftheenterprisenetworkofFoshanmediacompanybuilding.Enterprisenetworkisusuallyanonoperationalnetworkwithhighdensityofusers,whichgathersalargenumberofterminalsandusersinalimitedspace.Atthesametime,fortheenterprisenetwork,itfocusesonthesimpleandreliablenetwork,easydeployment,easymaintenance.Therefore,inthedesignofenterprisenetworkplanning,starstructureisusuallyusedasthetopologystructure,andlogically,itcanbedividedintocorelayer,convergencelayerandaccesslayer,eachlayerhasitsowncharacteristics.Therefore,inthisproject,thenetworktopologyofFoshanmediacompanywillbedesignedwiththree-layernetworkstructure.Throughlayereddesign,thecompany'snetworkcanbemodularizedandexpanded,andthecompany'snetworkcanbedividedintovariousunitsthroughlayereddesign,whichreducestheoverallcomplexityofthenetworkandmakesiteasierforthecompany'snetworkoperationandmaintenancepersonneltotroubleshoot.Throughlayereddesign,theconfigurationcomplexityofindividualequipmentofthecompany'snetworkisgreatlyreducedandeasiertomanage。Onthebasisofthethree-layernetworkstructure,theaccesslayerconvergestheaccessnetworkofalldepartmentsofthecompanytotheconvergencelayerequipmentthroughthetechnicalcombinationofMSTP+VRRP.Theconvergencelayerequipment,asthegatewayofeachdepartmentnetwork,shouldreasonablyplantheMSTPinstancetoguidetheflowofeachdepartmenttothedifferentconvergencegatewayequipment.Thelinkbandwidthbetweentheconvergenceequipmentandthecoreequipmentshouldbeimprovedthroughmanuallinkaggregation,deployOSPF,manuallyguidetraffictothehighbandwidthaggregationlinkbymodifyingOSPFcostvalue;astheexportgatewayequipmentofthecompany,deploydualmachinehotstandbytechnologytoensurethatthecompanywillnothaveasinglepointoffailurewhenaccessingInternetbusiness.Keywords:enterprisenetwork,three-tiernetworkstructure,redundantbackup目录TOC\h\z\t"标题1,1,父标题,2,子标题,3"第1章 绪论 11.1 项目背景 11.2 项目研究意义 11.3 本课题研究的内容 11.4 论文的组织结构 2第2章 需求分析 32.1 用户需求分析 32.2 功能需求分析 32.3 本章小结 4第3章 网络逻辑设计 53.1 佛山传媒办公网络建设原则 53.2 佛山传媒办公网络拓扑设计 63.3 设备选型 83.4 公司网络规划建设 93.5 本章小结 10第4章 网络实施方案 114.1 公司汇聚网络技术实施应用 114.1.1 VLAN 114.1.2 MSTP 114.1.3 VRRP 134.1.4 DHCP 144.2 公司骨干网络技术实施应用 154.3 公司双出口网关网络技术实施应用 174.3.1 防火墙双机热备 174.3.2 双出口网关与防火墙双机热备的实施 184.3.3 缺省路由配合IP-LINK链路检测 194.3.4 防火墙安全策略与NAT策略 204.4 公司总部与分部的主备IPSecVPN搭建 234.5 公司总部与香港服务器的L2TPVPN搭建 274.6 本章总结 29第5章 网络测试 305.1 公司汇聚网络测试 305.1.1 MSTP+VRRP的应用测试 305.1.2 DHCP的应用测试 315.2 公司双出口网关网络测试 325.2.1 公司内网访问互联网测试 325.2.2 防火墙双机热备的应用测试 325.2.3 缺省路由配合IP-LINK链路检测测试 335.3 总部与分部的主备IPSecVPN通信测试 345.4 总部通过L2TPVPN隧道访问国际网站测试 365.5 本章总结 38总结 39参考文献 40致谢 41绪论项目背景佛山传媒有限公司，是一家集广告、销售、电商及物流、印刷、系列媒体经营业务及文化产业投资业务的文化传媒公司。其中在佛山南海区、顺德区、三水区、高明区设有分部。禅城区作为集团总部所在地，新建大厦作为总部的办公核心机构，其中总部拥有员工818名。项目研究意义考虑到报社资金、报社计算机应用的现状、报社教职员的现有水平以及网络建设和应用系统开发的固有规律，针对上述实际情况，将会建设一个以办公自动化、计算机辅助、现代计算机新大楼办公文化为核心，以现代网络技术为依托，技术先进、扩展性强、能覆盖全校主要楼宇的新大楼办公主干网络，将报社的各种PC机、工作站、终端设备和局域网连接起来，并与有关广域网相连，在网上宣传自己和获取Internet网上的教育资源。形成结构合理、内外沟通的新大楼办公计算机网络系统，在此基础上建立能满足科研和管理工作需要的软硬件环境，开发各类信息库和应用系统，为报社各类人员提供充分的网络信息服务。系统总体设计将本着总体规划、分布实施的原则，充分体现系统的技术先进性、高度的安全可靠性，同时具有良好的开放性、可扩展性。我公司始终本着为报社着想，合理使用建设资金，使系统经济可行，功能强大。本课题研究的内容本课题以佛山传媒公司作为研究对象，结合公司对网络建设的需求和企业网络建设中所采用的主流协议技术进行分析，通过华为设备的技术与配置来规划和实现佛山传媒公司网络的建设，其中涉及到的路由交换技术和安全技术都是在企业网络建设中普遍采用的主流技术，如数据交换和安全技术中的VLAN、MSTP、VRRP、链路聚合、DHCP、OSPF、防火墙双机热备、IP-LINK链路检测、VGMP、NAT、防火墙的安全策略和NAT策略、ACL、IPSecVPN、L2TPVPN等，如何将上面的协议技术结合应用到佛山传媒公司网络的建设是本课题研究的内容。论文的组织结构本论文共由5个章节组成，主要内容及结构安排如下：绪论，主要介绍了公司的背景、项目研究意义和项目研究内容。公司网络系统需求分析，结合佛山传媒公司对企业网络的建设需求，参考业界对企业园区网络建设的建议进行分析。公司网络逻辑设计，根据公司网络的需求分析，对公司网络进行逻辑设计，包括公司网络拓扑规划、设备选型、系统原则等方面进行规划。具体实施方案，按公司需求分析进行设计，将VLAN、MSTP、VRRP、链路聚合、DHCP、OSPF、防火墙双机热备、IP-LINK链路检测、VGMP、NAT、防火墙安全策略、防火墙NAT策略、ACL、IPSecVPN、L2TPVPN等技术运用到公司网络设计中。网络测试，对网络设计技术实施方案进行测试，保证公司网络稳定工作。需求分析用户需求分析设计一个网络，首先要为用户分析目前面临的主要问题，确定用户对网络的真正需求，并在结合未来可能的发展要求的基础上选择、设计合适的网络结构和网络技术，提供用户满意的高质服务。网络在佛山传媒日常办公环境中起着至关重要的作用，新大楼办公网的运作模式会带来大量动态的www应用数据传输，会有相当一部分应用的主服务器有高速接入网络的需求（目前为100/1000Mbps，今后可会更高）。这就要求网络有足够的主干带宽和扩展能力。除上述考虑外，还要注意到由于逻辑上业务网和管理网必须分开，所以建成后新大楼办公网应能提供多个网段的划分和隔离，并能做到灵活改变配置，以适应办公环境的调整和变化，及实现移动办公的要求。按目前通常的考虑，建议数据信息点的接入以交换1000Mbps以太网端口接入为主，以供带宽需求较高用户或应用使用。整个方案设计的目的是建设一个集数据传输和备份、OA应用和Internet访问等于一体的高可靠、高性能的宽带多媒体新大楼办公网。功能需求分析佛山传媒有限公司总部将按照标准的网络三层设计原则对企业网络拓扑结构进行设计。通过对总部的网络进行需求分析，其中总部共设有四大部门，分别是行政部、销售部、财政部和办公综合部，针对总部情况，有以下几点要求：根据需要，对总部不同部门的IP地址段和VLAN进行划分，并列出详细的规划表。为了进一步提高终端设备访问网络的稳定性，确保冗余性，所以接入层到汇聚层采用MSTP+VRRP的解决方案。汇聚层作为接入层和核心层的中介，在企业网络中有着承上启下的作用，在这里汇聚层设备与核心层设备采用OSPF的解决方案，利用链路状态路由协议的特点，实现汇聚到核心层的冗余性。防火墙作为公司网关出口设备，为了避免单点故障导致公司无法访问互联网，在这里采用双防火墙的主备双机热备解决方案。为了避免运营商出现光纤故障、上联机房设备故障等问题导致公司无法访问互联网所造成的工作和经济上的影响，公司分别向中国电信和中国联通租用了ISP线路，实现互联网线路的主备冗余，但为了充分利用资源，公司会同时使用两条线路进行互联网的访问，如果其中一条线路发生故障，网关设备也可以通过IP-LINK检测自动平滑地切换到另外一条线路。公司设有四个分部，分别是南海分部、顺德分部、三水分部和高明分部。公司要求实现总部与分部的互联互通，在这里将采用搭建IPSecVPN的方式进行解决。公司总部对国际网站有访问的需求，但因为各种原因导致无法访问或访问缓慢，在这里总部购买了运营商的服务，与运营商香港服务器搭建L2TPVPN，通过域名访问方式访问国际网站。本章小结通过对佛山传媒公司网络建设的需求分析可以得出，如何保证办公网络的高效性、可靠性和冗余性是非常需要重视的问题，因此针对需求如何更好地进行公司网络的规划和技术实施，是我们要研究的方向。网络逻辑设计佛山传媒办公网络建设原则随着现代计算机应用的高速发展，特别是诸如图形、语音、视频等多媒体信息和技术在管理信息系统、科研设计等领域的广泛应用，为网络平台的设计提出了更高的要求。为了更好地满足用户的需求，保证系统能正常稳定运行，在较长的时间内不落后，在本网络系统方案设计中，我们认为应当把握以下几个原则：1、稳定性只有运行稳定的网络才是可靠的网络，而网络的可靠运行取决于诸多因素，如网络的设计，产品的可靠，而选择一个具有运营此类网络规模经验的网络合作厂商则更为重要。要求有物理层、数据链路层和网络层的备份技术。2、高带宽为了支持数据、话音、视像多媒体的传输能力，在技术上要到达当前的国际先进水平。要采用最先进的网络技术，以适应大量数据和多媒体信息的传输，既要满足目前的业务需求，又要充分考虑未来的发展。为此应选用高带宽的先进技术。3、先进性网络硬件、软件平台的先进性，要注意选择性能价格比好的先进技术和硬件和软件组网，保证系统的基础环境十年不落后。4、标准性和开放性选择统一性的网络结构与软件硬件平台，有利于系统的建立与开发。制定信息管理的规范，在报社领导下，组织有关人员对管理信息系统进行系统分析，制定数据流图和数据结构，为信息系统的开发奠定基础。为了实现与各种网络互访的要求，要选择开放的网络体系结构，既要选择当前的主流产品，又要具有开放性，以利于今后的扩充。5、可扩展性系统要有可扩展性和可升级性，随着业务的增长和应用水平的提高，网络中的数据和信息流将按指数增长，需要网络有很好的可扩展性，并能随着技术的发展不断升级。易扩展不仅仅指设备端口的扩展，还指网络结构的易扩展性：即只有在网络结构设计合理的情况下，新的网络节点才能方便地加入已有网络；网络协议的易扩展：无论是选择第三层网络路由协议，还是规划第二层虚拟网的划分，都应注意其扩展能力。6、容易控制管理因为上网用户很多，如何管理好他们的通信，做到既保证一定的用户通信质量，又合理的利用网络资源，是建好一个网络所面临的首要问题。7、经济性充分利用原有的软件、硬件资源，减少投资浪费，做到高性能价格比。8、安全性网络系统应具有良好的安全性，保证数据的安全及网络使用的安全。由于佛山传媒网络连接园区内部所有用户，安全管理十分重要。应支持VLAN的划分，并能在VLAN之间进行第三层交换时进行有效的安全控制，以保证系统的安全性。9、符合IP发展趋势的网络在当前任何一个提供服务的网络中，对IP的支持服务是最普遍的，而IP技术本身又处在发展变化中，如IpV6，IPQoS，IPOverSONET等等新兴的技术不断出现，佛山传媒新大楼办公网络必须跟紧IP发展的步伐，也就是必须选择处于IP发展领导地位的网络厂商。在后面的网络技术选型和系统方案中，以上设计原则和思想都将会被贯彻始终。佛山传媒办公网络拓扑设计佛山传媒办公网络采用三层网络设计，整体的网络拓扑如下图所示：图STYLEREF1\s3SEQ图\*ARABIC\s11佛山传媒公司整体网络拓扑规划双出口网关网络拓扑图如下所示，公司分别向联通和电信申请了一条互联网线路，但运营商并不会为公司给出两条链路让公司网络接入到互联网，所以在这里需要用到两台交换机分别对接联通和电信线路，并从交换机上引出两条链路下接到公司的两台出口网关防火墙设备上：图STYLEREF1\s3SEQ图\*ARABIC\s12佛山传媒公司双出口网关网络拓扑骨干网络拓扑图如下所示，骨干网络要保证高效性、冗余性和可靠性，是公司网络的枢纽中心，所以在防火墙到核心交换机、核心交换机到汇聚交换机之间使用手工链路聚合技术，提高链路带宽，并通过在骨干网络中部署OSPF确保公司骨干网络的全互联，由于部分链路并没有使用链路聚合，仅作为备份，所以需要通过修改OSPF的cost值人为地引导流量走向聚合链路：图STYLEREF1\s3SEQ图\*ARABIC\s13佛山传媒公司骨干网络拓扑图汇聚网络拓扑图如下所示，将公司各部门流量汇聚到汇聚设备上：图STYLEREF1\s3SEQ图\*ARABIC\s14佛山传媒公司汇聚网络拓扑图设备选型接入层设备选择使用华为5720S-52P-LI-AC，48个自适应10/100/1000M以太网端口和4个千兆SFP。该设备支持STP/RSTP/MSTP等主流的生成树协议，支持各种主流的VLAN特性，足够满足汇聚网络中接入设备所使用到MSTP和VLAN技术。图STYLEREF1\s3SEQ图\*ARABIC\s15华为5720S-52P-LI-AC汇聚层和核心层都选择使用华为S5735S-S32ST4X，8个自适应10/100/1000M以太网端口、24个千兆SPF和4个万兆SFP。该设备支持STP/RSTP/MSTP等主流的生成树协议，支持各种主流的VLAN特性，最重要的是可以支持OSPF协议等链路动态协议，公司需要通过部署OSPF实现骨干网络的全互联，满足骨干网络建设需求。图STYLEREF1\s3SEQ图\*ARABIC\s16华为S5735S-S32ST4X出口网关设备选择使用华为USG-6315E，2个万兆WAN口、2个万兆SFP口和8个GECombo口（千兆光电复用口）。该设备支持IPSecVPN、L2TPVPN等主流VPN技术，支持双机热备技术和IP-link检测技术，满足公司双出口网关网络建设需求：图STYLEREF1\s3SEQ图\*ARABIC\s17华为USG-6315E公司网络规划建设佛山传媒公司总部一共设置了四个部门，分别是行政部、销售部、财政部和办公综合部，其中办公综合部另外设置了IT部、综合部、服务器管理和监控管理；公司有四个分部、分别是南海分部、顺德分部、三水分部和高明分部。针对公司上述情况，为不同分部和总部不同部门进行IP网段和VLAN的规划。公司总部各部门IP网段和vlan规划：表STYLEREF1\s3SEQ表\*ARABIC\s11公司总部各部门IP网段和vlan规划部门VLAN网段网关可分配地址数行政部10/2454251销售部20/2454251财政部30/2454251IT部40/2454251服务器网络50/2454251监控网络60/2454251综合部72/22541020公司各分部IP网段和vlan规划：表STYLEREF1\s3SEQ表\*ARABIC\s12公司各分部IP网段和vlan规划分部VLAN网段网关可分配地址数南海80/22541022顺德88/22541022三水96/22541022高明104/22541022本章小结通过对公司办公网络的规划与设计，其中包括针对网络技术需求进行设备选型和办公网络拓扑设计，在对公司网络拓扑中的汇聚网络、骨干网络和双出口网关网络进行了较为详细的分析，并根据公司实际情况，对公司各部门进行了VLAN和IP地址网段的规划，为后续的网络实施方案做好充分的准备，确保该项目方案能够顺利地进行。网络实施方案公司汇聚网络技术实施应用VLAN在我们规划一个网络时，应该始终关注网络中的广播域的大小，采用适当的技术将一个大的广播域切割成若干个小的单元，在这里，我们采用VLAN（VirtualLocalAreaNetwork，虚拟局域网技术）技术，结合佛山传媒公司对于网络建设的需求，我们对公司各部门和各部门下属分支设置了不同的VLAN。在这里采用VLAN可以隔绝广播，减少公司网络的广播流量，提高公司网络的稳定性，在部署VLAN时也使得在规划办公网络时更加灵活，提高了公司网络的可管理性，极大地方便了网络管理和维护。佛山传媒公司各部门和各部门下属分支规划了不同的VLAN和IP网段，在接入交换机采用基于端口划分VLAN的方式进行配置，比如接入交换机的G0/0/11划分给了行政部（VLAN10），G0/0/12划分给了销售部（VLAN20）、G0/0/13划分给了财政部（VLAN30）、G0/0/14划分给了IT部（VLAN40）、G0/0/15划分给了综合部（VLAN72），然后通过下联傻瓜交换机将各VLAN接入到汇聚网络中的接入交换机上。MSTP在佛山传媒公司网络中，我们会部署冗余的设备和冗余的链路，从而使公司业务流量在故障发生时通过冗余的设备及冗余的链路进行转发。我们在汇聚网络中采用生成树协议，来实现设备和链路的冗余，其中：生成树协议能消除二层环路，通过部署生成树协议，当交换网络存在环路时，交换机之间会通过交互BPDU报文进行一系列的计算，将生成树会将网络中的一个接口或多个接口进行阻塞，形成一个无环的交换网络。生成树协议能够备份链路，当活动路径发生故障时，激活备份链路，及时恢复网络连通性。目前华为支持三种生成树协议，分别是：STP、RSTP和MSTP。在这里我们选择MSTP作为实施公司汇聚网络的技术，而不选择STP和RSTP，因为：STP和RSTP会导致公司汇聚网络无法实现流量分担，因为生成树协议的特性，在经过计算后会阻塞一个接口或多个接口，从而导致被阻塞的链路无法转发流量，造成链路的浪费。STP和RSTP会导致公司汇聚网络产生次优二层路径。所以，选择MSTP作为公司汇聚网络实施的技术，将彻底解决以上存在的不足。MSTP，也称为多实例生成树协议，MSTP兼容STP和RSTP，既可以快速收敛，又提供了数据转发的各个冗余路径，在数据转发过程中实现VLAN数据的负载均衡。一个MST域内可以生成多颗生成树，每颗生成树都称为一个MSTI（实例），每个MSTI都是使用单独的RSTP算法，计算单独的生成树。在公司汇聚网络中，一共设置了两个实例，分别是instance10和instance20。其中instance10映射VLAN10、VLAN20、VLAN30、VLAN40，instance20映射VLAN72；汇聚交换机LSW7作为instance10的主根桥，instance20的备根桥，汇聚交换机LSW8作为instance20的主根桥，instance10的备根桥。通过以上的规划，使得行政部、销售部、财政部和IT部的流量都由交换机LSW7来承担，综合部的流量由LSW8来承担，实现流量的负载分担，一旦发生链路故障或者设备故障，MSTP也能通过端口角色的快速切换和P/A机制快速收敛网络，实现网络的冗余性。在这里以LSW7交换机中作为配置举例，用图片展示：图STYLEREF1\s4SEQ图\*ARABIC\s11LSW7交换机MSTP配置示例VRRP在佛山传媒公司网络中，汇聚交换机作为各接入部门的网关设备，因为采用MSTP的原因，如果其中汇聚设备LSW7发生了故障，那么将会触发MSTP的收敛计算，MSTP会将发往故障设备LSW7的流量切换到备的汇聚交换机LSW8，但是如果LSW8并没有行政部、销售部、财政部和IT部的网关，那么将会造成单网关故障，使得行政部、销售部、财政部和IT部的流量都无法发往internet，所以，为了解决上述的问题，我们在这里采用VRRP（虚拟路由冗余协议）技术。LSW7和LSW8作为各接入部门的网关设备，其中LSW7是行政部、销售部、财政部和IT部的主设备，LSW8是综合部的主设备，所以我们在LSW7和LSW8分别以各部门VLAN号作为VRRP的进程号，配合MSTP，设置不同MSTP实例下不同汇聚交换机的不同VRRP进程的优先级。下面将以交换机LSW7的instance10作为举例：在instance10中，LSW7作为行政部的主交换机，于是在LSW7的vlanif10接口下根据行政部的VLAN号10设置了进程号为10的VRRP，VRRP优先级设置为120，虚拟的网关地址为规划的54，vlanif10的接口地址设置为52，然后在LSW8的vlanif10接口下，配置接口地址为53，设置进程号为10的VRRP，VRRP优先级为默认的100，虚拟的网关地址为规划的54，销售部、财政部和IT部均按照以上操作执行。综合部将LSW7作为备交换机，所以在LSW7的instance10中，在LSW7的vlanif72接口下根据综合部的VLAN号72设置了进程号为72的VRRP，VRRP优先级为默认的100，虚拟的网关地址为规划的54，vlanif72的接口地址设置为52，然后在LSW8的vlanif10接口下，配置接口地址为53，设置进程号为70的VRRP，VRRP优先级为默认的120，虚拟的网关地址为规划的54。在设置完VRRP后，如果当主交换机发生了故障，那么VRRP将备交换机切换为主交换机，实现故障交换机的流量能通过备交换机转发出去，但此时如果汇聚交换机LSW7和LSW8的上行链路Down掉了，那么VRRP并不会进行切换，那么发往Internet的流量将会丢失，另外如果是下行链路Down掉了，VRRP也并不会进行切换，此时会触发MSTP端口角色的切换和计算，将流量从切换角色后的端口进行转发，造成次优路径，为了解决以上的问题，在这里我们配置VRRP的链路联动功能，用来监测上行链路或者下行链路的情况，一旦出现了链路故障，那么VRRP将会发现并减少VRRP的优先级，完成主备交换机的切换。在这里以LSW7交换机中instance10实例里的行政部VLAN10作为配置举例，用图片展示：图STYLEREF1\s4SEQ图\*ARABIC\s12VRRP10的配置示例DHCP佛山传媒公司共有员工818名，假设为每名员工配上办公电脑，如果通过手工配置IP的方式来为每台办公电脑配置静态地址的话，那么这将是很大的工作量，而且将会使得IP地址资源不能得到充分利用，造成浪费。所以，在这里我们采用DHCP的方式为公司各部门的办公设备分配地公司骨干网路技术实施应用。结合公司汇聚网络的情况，汇聚交换机LSW7和LSW8作为各部门的网关设备，且通过MSTP+VRRP的技术搭配实现了汇聚交换机设备和链路的冗余性，我们决定在两台汇聚交换机都设置各部门的DHCP地址池，但这样做会存在问题，比如当主交换机LSW7发生了故障，VRRP进程会将备交换机LSW8切换为主交换机，那么行政部的流量都会通往LSW8，如果此时行政部有还未获取到地址的终端设备接入到网络，那么LSW8的行政部地址池会为该终端设备分配一个地址，由于LSW7和LSW8的DHCP是冷备DHCP，LSW8并不知道LSW7分配出去了什么地址，所以可能会出现IP地址冲突的问题。为了避免以上的问题，我们在LSW7和LSW8设置好各部门的地址池后，也要设置好禁止分配的地址，以综合部为例，LSW8作为综合部的主交换机，在LSW8上设置名称为vlan72的地址池，分配的地址范围是/22，禁止分配的地址为到55，LSW7作为综合部的备交换机，在LSW7上设置名称为vlan72的地址池，分配的地址范围是/22，禁止分配的地址为到53。在这里以交换机LSW7和LSW8上的vlan72地址池作为配置举例，用图片展示：图STYLEREF1\s4SEQ图\*ARABIC\s13主交换机LSW8上的vlan10地址池配置图STYLEREF1\s4SEQ图\*ARABIC\s14备交换机LSW7上的vlan10地址池配置公司骨干网络技术实施应用佛山传媒公司的骨干网络对于整个公司的网络而言起着至关重要的作用，骨干网络要保证高效性、冗余性和可靠性，是公司网络的枢纽中心。在公司的骨干网络中，由2台出口网关防火墙设备FW1、FW2和2台核心交换机LSW9、LSW10还有2台汇聚交换机LSW7、LSW8组成。由于骨干网络承载着公司各部门的业务路由，路由数目相对较多，如果在这里采用静态路由的方式来写骨干网络的路由，那么将会导致骨干网络的配置变得繁重，也难以适应以后公司对骨干网络的升级，而且一旦骨干网络的某台设备发生故障，静态路由也并不能感知到网络发生了故障，造成流量的丢失。为了更好的解决上述的问题，在这里我们采用了链路动态协议OSPF技术来进行实施。OSPF（开放式最短路径优先）作为链路动态协议中的一种技术，通过链路状态数据库的链路状态信息（LSA），计算出OSPF的路由表，实现公司骨干网络的全互联。得益于链路状态路由协议的特点，即使设备或者链路发生了故障，OSPF也能重新收敛网络，将流量切换到其他的链路上，避免了流量的丢失，保证了骨干网络的高效性、可靠性和冗余性。由于骨干网络通过路由进行转发，所以要关闭交换机的生成树功能，避免出现端口被阻塞无法建立OSPF邻居状态的情况发生。在这里以核心交换机LSW9作为基本的OSPF配置举例，以图片展示：图STYLEREF1\s4SEQ图\*ARABIC\s15基本的OSPF配置举例在公司的骨干网络配置OSPF时，我们将设备接口改为P2P的OSPF网络类型来建立各设备的OSPF邻居关系，而不采用Broadcast的OSPF网络类型进行建立，因为在Broadcast网络类型下，OSPF将会选举DR/BDR，而在P2P网络类型下并不会选举DR/BDR，很明显的看出P2P网络类型的收敛速度要优于Broadcast网络类型。要注意的是，骨干网络所有设备都要将OSPF网络类型修改为P2P，如果存在部分设备接口是P2P网络类型，部分设备接口是Broadcast接口类型的情况，虽然能建立关系，但不会交换LSA，导致无法计算OSPF路由。在这里以核心交换机LSW9作为OSPF网络类型修改配置举例，以图片展示：图STYLEREF1\s4SEQ图\*ARABIC\s16OSPF网络类型修改配置举例交换机LSW7和LSW8作为汇聚网络中的汇聚交换机，为了使骨干网络拥有各部门的路由，汇聚交换机将各部门的路由发布到OSPF中。汇聚交换机下联的交换机并不需要建立OSPF邻居，但仍然会收到OSPF的hello报文，这很明显是不必要的，而且也存在一定的危险，如果公司内网存在部分恶意客户端通过伪造OSPFhello报文试图建立OSPF邻居关系，导致OSPF网络多次收敛，这将会使骨干网络变得不稳定，造成严重的业务影响，所以，在汇聚交换机LSW7和LSW8中，对部分接口设置为silent-interface（OSPF静默接口）。在这里以汇聚交换机LSW7作为配置举例，以图片展示：图STYLEREF1\s4SEQ图\*ARABIC\s17OSPF配置静默接口配置举例公司双出口网关网络技术实施应用防火墙双机热备一般而言，我们都会使用防火墙作为企业园区网络的出口网关设备，通过防火墙访问外网。当防火墙设备出现了故障，那么访问外网的业务都会全部中断，如果此时就仅仅只有一台防火墙作为企业网络的出口网关设备，无论该防火墙性能有多么的强劲，只要出现故障就会出现网络出口网络的单点故障，造成公司网络的业务中断，所以，在这里我们为了保证网络的可靠性和设备的冗余性，部署两台防火墙作为公司网络的出口网络设备。由于防火墙是基于连接状态的，它会对于一条流量的首包进行完整的检测，并建立会话来记录报文的状态信息（包括：报文源IP、源端口、目的IP、目的端口、协议）。而这条流量的后续报文只有匹配会话才能通过防火墙且完成报文转发，如果后续报恩不匹配会话则被防火墙丢弃。当防火墙FW1出现故障，业务流量都会被引导到FW2，但由于FW2并没有FW1的会话，导致业务报文无法找到会话而被FW2丢弃，导致公司业务中断。所以，我们采用防火墙的主备备份方式的双机热备来解决上述的问题，通过双机热备技术，防火墙之间的会话都是相互备份的，当一台防火墙发生了故障，后续的业务流量也能通过备防火墙进行转发，避免公司网络业务的中断。双出口网关与防火墙双机热备的实施为了避免运营商出现光纤故障、上联机房设备故障等问题导致公司无法访问互联网所造成的工作和经济上的影响，佛山传媒公司分别向中国联通和中国电信租用了两条线路，且都各自申请了3个公网IP地址（联通：-3，电信：-3）。由于运营商并不会给出两条链路让公司网络接入到互联网，所以在公司双出口网关网络中，我们使用两台傻瓜交换机分别对接电信和联通的运营商设备，然后从傻瓜交换机上引出两条物理链路分别下接到两台防火墙的上行接口上，然后开始对公司双出口网关网络进行实施：在防火墙上建立心跳线的安全区域，在这里将心跳线安全区域的安全等级设为75，并且放入防火墙的上行接口，配置图如下：图STYLEREF1\s4SEQ图\*ARABIC\s18建立心跳线的安全区域在防火墙上配置VRRP组，其中FW1作为主防火墙，配置为Active：图STYLEREF1\s4SEQ图\*ARABIC\s19防火墙上配置VRRP组在FW1防火墙上配置心跳接口,并启用双机热备，以FW1为例：图STYLEREF1\s4SEQ图\*ARABIC\s110防火墙上配置心跳接口,并启用双机热备在FW2防火墙上按照以上步骤进行配置。缺省路由配合IP-LINK链路检测我们通过在公司的两台防火墙上写两条通往不同运营商的缺省路由来访问互联网。如果某个运营商的线路发生了故障，缺省路由并不会知道运营商线路发生了故障，防火墙仍然会把部分业务流量送往故障的运营商线路，导致部分业务流量丢失，为了避免出现这样的问题，我们通过将缺省路由绑定IP-LINK技术来检测运营商线路是否出现了故障，一旦检测到线路故障，那么被绑定的缺省路由将会失效，业务流量也会被切换到另外一条缺省路由上，保证公司网络业务的可靠性。在这里以防火墙FW1作为配置举例，用图片来展示：使能IP-LINK功能，且配置IP-LINK组，使用ICMP检测运营商线路：图STYLEREF1\s4SEQ图\*ARABIC\s111使能IP-LINK功能，且配置IP-LINK组将缺省路由绑定IP-LINK组图STYLEREF1\s4SEQ图\*ARABIC\s112将缺省路由绑定IP-LINK组防火墙安全策略与NAT策略安全策略在防火墙转发报文的过程中扮演着重要角色，只有规则允许通过，报文才能在安全区域之间流动，否则报文将被丢弃。在佛山传媒公司网络的防火墙设备上，我们需要配置安全策略来匹配公司的业务流量，实现公司网络的内外网的互访，另外，公司与各分部通过搭建IPSecVPN来实现公司整体业务的互联互通，在防火墙上要针对公司需求配置IPSecVPN的安全策略。在这里以防火墙FW1进行配置举例，由于开启了双机热备，所以主防火墙FW1的配置会备份到备防火墙FW2上：配置各部门访问互联网的安全策略，其中针对电信和联通运营商设置了两个安全区域，根据这两个安全区域设置了两个安全区域，分别是trust-to-isp1-staff和trust-to-isp2-staff，用图片进行举例：图STYLEREF1\s4SEQ图\*ARABIC\s113部分访问互联网的安全策略配置允许总部到分部建立IPSecVPN隧道的安全策略，南海分部使用公网IP：来建立VPN隧道，总部则使用公网IP：来建立VPN隧道，用图片进行举例（在这里只展示总部到南海分部的配置）：图STYLEREF1\s4SEQ图\*ARABIC\s114配置允许总部到分部建立IPSecVPN隧道的安全策略配置允许总部各部门通过IPSecVPN隧道访问分部的安全策略，总部允许公司行政部、销售部、财政部、IT部和综合部访问南海分部的综合部，南海分部综合部的网段为/22，用图片进行举例：图STYLEREF1\s4SEQ图\*ARABIC\s115配置允许总部各部门通过IPSecVPN隧道访问分部的安全策略配置允许分部通过IPSecVPN隧道访问总部业务的安全策略，用图片进行举例：图STYLEREF1\s4SEQ图\*ARABIC\s116配置允许分部通过IPSecVPN隧道访问总部业务的安全策略佛山传媒公司一共有818名员工，但向运营商申请的公网地址就只有6个，为了保证公司各部门的内网用户都能访问互联网，需要在防火墙上配置NAT功能，将内网IP地址转换为公网IP地址，另外，公司通过与香港服务器建立L2TPVPN隧道来访问国际业务网站，需要在LAC（防火墙作为LAC）上配置Easy-IP方式的NAT技术，这里的配置在4.5公司总部与香港服务器的L2TPVPN搭建章节中展示。在配置NAT功能的时候，还要考虑到IPSecVPN的问题，在这里的配置在4.4公司总部与分部的IPSecVPN搭建章节中介绍。在这里以防火墙FW1上各部门内网用户转换为公网IP的配置进行举例，用图片展示：配置NAT地址池，采用PAT方式将内网地址转换为公网地址：图STYLEREF1\s4SEQ图\*ARABIC\s117配置NAT地址池，采用PAT方式配置NAT策略，调用NAT地址池：图STYLEREF1\s4SEQ图\*ARABIC\s118配置NAT策略公司总部与分部的主备IPSecVPN搭建佛山传媒公司一共有四个分部，分别是南海分部、顺德分部、三水分部和高明分部，为了使总部与各分部之间构建一个互联互通的业务网络，且要保证业务数据的安全性，所以在这里采用IPSecVPN技术来搭建一个总部与各分部之间的业务资源VPN网络。另外，为了更好地配合防火墙的双机热备技术，我们会在防火墙上搭建主备模式的IPSecVPN。IPSec（IPSecurity）不是一个单独的协议，也可以说是一个框架，包括AH（认证头）协议和ESP（封装有效载荷）协议、IKE（密钥管理协议）等协议，以及用于用户身份认证和数据加密的一系列算法。IPSec协议族可在网络层通过数据源认证、数据加密、数据完整性和抗重放功能来保证双方Internet上传输数据的安全性。在这里以总部防火墙FW1和南海分部防火墙FW5进行配置举例（南海分部防火墙要进行镜像配置），由于开启了双机热备，所以主防火墙FW1的配置会备份到备防火墙FW2上：在防火墙上配置ACL，定义需要保护的数据流量：图STYLEREF1\s4SEQ图\*ARABIC\s119总部FW1防火墙的ACL配置图STYLEREF1\s4SEQ图\*ARABIC\s120南海分部FW5防火墙的ACL配置在防火墙上创建IPSec安全提议fscm，这里仅展示总部防火墙配置，南海分部防火墙配置只要保持一致即可：图STYLEREF1\s4SEQ图\*ARABIC\s121总部FW1防火墙的IPSec安全提议配置在防火墙上创建IKE安全提议10，这里仅展示总部防火墙配置，南海分部防火墙配置只要保持一致即可：图STYLEREF1\s4SEQ图\*ARABIC\s122总部FW1防火墙的IKE安全提议配置在防火墙上创建IKE对等体，引用之前创建的ike安全提议10。由于总部防火墙采用策略模板方式创建IPSec策略，所以并不需要指定远端分部的公网地址，而南海分部以ISAKMP方式创建IPSec策略，另外需要指定总部的公网地址，而不是或者，因为总部建立的是主备IPSecVPN，如果指定的不是，那么当总部主防火墙发生故障时，南海分部会与总部断开IPSec隧道。ike安全提议采用预共享密钥，所以总部和分部都要配置相同的密钥：图STYLEREF1\s4SEQ图\*ARABIC\s123总部FW1防火墙创建ike对等体图STYLEREF1\s4SEQ图\*ARABIC\s124南海分部FW5防火墙创建ike对等体在防火墙上创建IPSec策略，引用之前创建的ACL、ike对等体和IPSec提议。其中总部以策略模板方式创建IPSec策略，南海分部以ISAKMP方式创建IPSec策略。总部创建完策略模板fscm后，还需要在创建一个IPSec策略hsb来引用策略模板：图STYLEREF1\s4SEQ图\*ARABIC\s125总部FW1防火墙创建IPSec安全策略图STYLEREF1\s4SEQ图\*ARABIC\s126南海分部FW5创建IPSec安全策略在防火墙上配置NO-NAT的NAT策略，由于IPSec安全策略引用的ACL优先级并不优于NAT策略，如果没有设置针对VPN流量NO-NAT的NAT策略，那么VPN流量都会被访问互联网的NAT策略匹配，导致VPN业务无法通信，另外NAT策略是按顺序来匹配的，所以VPN的NO-NAT策略一定要在访问互联网的NAT策略前面，否则VPN流量仍会匹配上互联网的NAT策略，导致VPN业务无法通信。图STYLEREF1\s4SEQ图\*ARABIC\s127总部FW1防火墙上NO-NAT策略图STYLEREF1\s4SEQ图\*ARABIC\s128南海分部FW5防火墙上NO-NAT策略在防火墙出口上引用IPSec策略hsb。在这里仅展示南海分部FW5防火墙配置，总部同样也在外网接口上引用IPSec策略hsb，用图片展示：图STYLEREF1\s4SEQ图\*ARABIC\s129南海分部FW5防火墙在外网接口引用IPSec策略公司总部与香港服务器的L2TPVPN搭建由于某些特殊的原因，较多的国际网站在国内是无法访问的，比如谷歌、推特、YouTube等等，部分可以访问的网站也因访问速度过于缓慢导致体验极差。佛山传媒公司在文化传媒业界具有很高的知名度，而且旗下有众多知名报纸杂志报刊，其中新闻类杂志报刊对国际时事的变化非常重视，要求能随时得到最新的情报，但是公司租用的联通和电信线路在访问国际网站时都非常的缓慢，而且大部分都是无法访问的，为了解决这个问题，公司向联通运营商购买了加速服务，接入到由联通搭建的加速网络，实现畅通无阻高速访问国际网站的需求。经过与联通工作人员的讨论后，决定在公司出口网关设备通过使用LAC自拨号模式（LAC-Auto-Initiated）与联通运营商设备（LNS）建立L2TPVPN隧道，然后在公司防火墙上写访问国际网站的静态路由指向Virtual-Template1接口。在防火墙使用LAC自拨号模式（LAC-Auto-Initiated）模式L2TP，与联通LNS设备建立L2TP隧道，创建L2TP会话，在这里公司内网终端设备并不需要通过拨号来建立L2TP隧道，接下来将以FW1防火墙作为LAC的配置举例（不需要配置AAA认证），而联通LNS设备配置（需要配置AAA认证）不做介绍。全局使能L2TP，并创建一个L2TP组，配置用于向联通LNS设备发起L2TP拨号的账号和密码（由联通提供），其中要指定隧道对端设备地址（联通LNS）图STYLEREF1\s4SEQ图\*ARABIC\s130在FW1防火墙上创建L2TP组配置Virtual-Template1接口，配置虚拟的PPP用户的账号和密码，这里要与L2TP组的账号和密码一致。指定采用由联通LNS为Virtual-Template1接口分配IP地址，配置LAC向LNS发起拨号功能且引用上面创建的L2TP组。图STYLEREF1\s4SEQ图\*ARABIC\s131在FW1防火墙上配置Virtual-Template1接口因为联通LNS设备只认他分配的地址，所以需要在防火墙上配置Easy-IP方式的NAT策略图STYLEREF1\s4SEQ图\*ARABIC\s132在FW1防火墙上配置Easy-IP方式的NAT策略在防火墙上指向Virtual-Template1接口的静态路由图STYLEREF1\s4SEQ图\*ARABIC\s133指向Virtual-Template1接口的静态路由本章总结在佛山传媒公司网络设计中，我们采用了三层网络结构对公司网络拓扑进行设计，将VLAN、MSTP、VRRP、链路聚合、DHCP、OSPF、防火墙双机热备、IP-LINK链路检测、VGMP、NAT、防火墙安全策略、防火墙NAT策略、ACL、IPSecVPN、L2TPVPN等技术集成在公司网络设计中，保证公司网络的稳定运行，为公司各部门工作人员提供了高效可靠的工作网络。网络测试公司汇聚网络测试MSTP+VRRP的应用测试在接入交换机LSW1查看MSTP实例10和实例20的端口状态，其中在实例10中，G0/0/2的端口被阻塞，在实例20中，G0/0/1的端口被阻塞，符合设计要求。图STYLEREF1\s5SEQ图\*ARABIC\s11各实例下的端口状态在汇聚交换机LSW7查看VRRP各进程状态信息，LSW7作为行政部、销售部、财政部、IT部的主交换机，在VLAN10、20、30和40都是Master状态，而LSW7作为综合部的备交换机，在VLAN72是Backup状态，符合设计要求。图STYLEREF1\s5SEQ图\*ARABIC\s12VRRP状态在接入交换机LSW1关闭G0/0/1端口，模拟链路故障，以此来测试VRRP主备交换机切换。关闭G0/0/1端口后，汇聚交换机LSW7检测到链路故障，出现了大量的日志，日志显示将VRRP10、20、30、40的进程切换到Backup状态图STYLEREF1\s5SEQ图\*ARABIC\s13日志提示在LSW7查看交换机VRRP状态，可以看到LSW7对行政部、销售部、财政部、IT部都已经切换到Backup状态。图STYLEREF1\s5SEQ图\*ARABIC\s14检测到链路故障后VRRP状态切换DHCP的应用测试在这里以行政部的客户端作为举例，测试是否能从DHCP服务器获取到地址。将行政部的客户端设置为通过DHCP获取地址图STYLEREF1\s5SEQ图\*ARABIC\s15设置通过DHCP获取地址查看客户端是否从DHCP服务器获取到地址图STYLEREF1\s5SEQ图\*ARABIC\s16成功获取到IP地址公司双出口网关网络测试公司内网访问互联网测试防火墙在OSPF进程中引入了访问互联网的缺省路由，从汇聚交换机LSW7的路由可以看到已经学习到了这条路由，图STYLEREF1\s5SEQ图\*ARABIC\s17汇聚交换机LSW7学习到防火墙下发的缺省路由在行政部的客户端进行访问外网的ping测试，成功图STYLEREF1\s5SEQ图\*ARABIC\s18访问外网的ping测试防火墙双机热备的应用测试防火墙FW1在公司的双出口网关网络中作为主防火墙，而FW2则作为备防火墙，通过displayhrpstate命令查看FW1的HRP状态，在图片中显示，FW1目前为active（主）状态，而邻居防火墙FW2处于standby（备）状态。图STYLEREF1\s5SEQ图\*ARABIC\s19查看防火墙hrp状态在防火墙FW1上模拟设备故障，将FW1关闭后，备防火墙FW2出现了HRP状态切换日志，在这里我们可以看出备防火墙FW2从standby状态切换到master状态。缺省路由配合IP-LINK链路检测测试公司租用了联通和电信的线路，在防火墙上写了两条缺省路由分别指向了联通和电信的设备，并且绑定IP-LINK链路检测技术来检测运营商线路是否正常工作。在这里模拟当联通线路发生了故障，当IP-LINK检测到线路故障，会将自己绑定的缺省路由去掉，公司访问互联网的流量切换到电信线路。在主防火墙FW1上我们可以看到由两条绑定了IP-LINK组的缺省路由图STYLEREF1\s5SEQ图\*ARABIC\s110防火墙存在两条缺省路由当联通线路发生了故障后，IP-LINK组1会发现无法到达联通线路测试地址，会产生删除去往联通线路的缺省路由的日志，在日志我们可以看到ChangType=Delete。图STYLEREF1\s5SEQ图\*ARABIC\s111IP-LINK删除日志查看防火墙路由表，只剩下去往电信线路的缺省路由。图STYLEREF1\s5SEQ图\*ARABIC\s112防火墙只剩下通往电信的默认路由总部与分部的主备IPSecVPN通信测试佛山传媒公司总部采用了策略模板方式来搭建IPSecVPN，只有分部主动发起连接才会建立总部与分部的IPSecVPN隧道，在这里我们使用南海分部的内网客户端去访问总部行政部的客户端，采用ping的方式去ping总部行政部客户端，通过测试，成功ping通。图STYLEREF1\s5SEQ图\*ARABIC\s113南海分部客户