嘉佳信息科技有限公司网络规划设计

第3章网络建设原则嘉佳信息科技有限公司网络规划设计摘要：嘉佳信息科技有限公司成立于2016年，经过三年的发展公司日益壮大，嘉佳信息科技有限公司从创建之初，积极响应国家号召，把信息安全作为公司发展的时代决策，公司主要分成五个部门，研发部，销售部，行业事业部以及管理处。近年来，因为公司发展势头迅猛，业务增长非常迅速，导致原本公司的场地和网络不足以支撑起内部人员的需求以及管理人员的要求，2019年嘉佳信息科技有限公司在广州南沙区新买下了一栋办公楼中的五个楼层作为主营业务办公楼，现在需要对其进行网络规划设计以满足内部员工迁移过来的业务正常进行，为后续继续扩大公司规模做准备。首要的是做链路冗余，VRRP技术，HRP协议配置，WLAN无线技术可以保证公司网络环境的连通性，为了防止内网的环路产生，需要划分VLAN规划内部网络，提高内网安全性和稳定性。内网互通后就是连接公网，为了保证内外网互通的安全性和连通性，多数企业都会做DHCP，OSPF，ACL控制，VPN保密传输等，除此之外，可以选择增加上网行为管理，防火墙以及无线设备来增强内网的安全性，实质上，一个完整的网络规划设计要考虑的东西很多，必要结合实际情况来对IP地址进行合理的规划，对内部安全进行保护。本论文主要意义就是对嘉佳信息科技公司网络规划项目的建设和实施，紧跟信息化的时代潮流中，使用安全，稳定的网络帮助自身的发展和进步。关键词：VRRP，网络设备，VLAN，DHCP。NetworkPlanningandDesignofJiaJiaInformationTechnologyCo.,LTDAbstract:JiajiaInformationTechnologyCo.,Ltd.wasestablishedin2016.Afterthreeyearsofdevelopment,JiajiaInformationTechnologyCo.,Ltd.hasbeengrowingdaybyday.Sinceitsinception,JiajiaInformationTechnologyCo.,Ltd.hasactivelyrespondedtothenationalcallandmadeinformationsecuritythedecisionoftheTimesforthecompany'sDevelopment,thecompanyismainlydividedintofivedepartments,R&DDepartment,SalesDepartment,IndustryDepartmentandManagementDepartment.Inrecentyears,duetotherapiddevelopmentofthecompanyandtherapidgrowthofitsbusiness,thecompany'soriginalsiteandnetworkisnotenoughtosupporttheneedsofinternalpersonnelandtherequirementsofmanagementpersonnel,in2019,JiajiaInformationTechnologyCo.,Ltd.boughtfivefloorsofanewofficebuildinginNanshaNewArea,Guangzhouasitsmainbusinessofficebuilding,itnowneedstobenetworkdesignedtomeettheinternalstaffofthebusinessmigrationtothenormal,inordertocontinuetoexpandthecompany'sscale.Thefirstistodolinkredundancy,VRRPtechnology,HRPprotocolconfiguration,WLANwirelesstechnologycanensuretheconnectivityofthecompanynetworkenvironment,inordertopreventthegenerationofinternalnetworkloop,theneedtodivideVlanplanninginternalnetwork,improveinternalnetworksecurityandstability.Inordertoensurethesecurityandconnectivityofinternalandexternalnetworks,mostenterpriseswilldoDHCP,OSPF,ACLcontrol,VPNsecrettransmission,etc..Inaddition,theycanchoosetoincreasethemanagementofnetworkbehavior,firewallandwirelessdevicestoenhancethesecurityofthenetwork,infact,acompletenetworkplanninganddesigntoconsideralotofthings,itisnecessarytocombinewiththeactualsituationtocarryoutreasonableplanningofIPaddress,toprotecttheinternalsecurity.ThemainsignificanceofthispaperistotheconstructionandimplementationofJiajiaInformationTechnologyCompany'snetworkplanningproject,keepupwiththetrendoftheinformationage,usesafeandstablenetworktohelpitsowndevelopmentandprogress.Keywords:VRRP,networkequipment,VLAN,DHCP.目录1绪论 绪论1.1项目的背景和意义1.1.1项目背景网络，计算机的技术和通信的技术两者结合在一起所产生的概念产物，现如今，网络已经是计算机应用系统里面不能替换的一部分。网络规划，是建设一个网络的根本，是面向需求用户的网络应用需求进行分析，然后构思，设计出满足用户日常生产需求的计算机网络的过程，大数据时代的来临更加需要网络相关从业人员重视网络规划，2019年嘉佳信息科技有限公司在广州南沙区新买下了一栋办公楼作为主营业务办公楼，现在需要对其进行网络规划设计以满足内部员工迁移过来的业务正常进行，为后续继续扩大公司规模做准备。1.1.2项目的意义本次网络规划设计要求完成嘉佳信息科技有限公司办公楼各楼层部门办公的划分，实现内部员工可以随时随地的，自由自在的接入互联网，从而开展线上业务，以及同合作单位实现业务系统互访，跟下级单位进行业务通信，完成内部的各种工作业务，可以快速的访问上级下级，合作单位的网络资源。保证在办公楼中角落的无线信号强度高，质量好，业务板块迅速响应，建立起来的VPN业务隧道可以实现不同单位内网到内网互通，提供满意的工作业务速度，提升员工的工作效率，并且对内部网络进行上网行为管理，对内部网络进行公司上层管控。1.2项目的研究的基本内容与方法1.2.1项目的研究方法本论文在撰写过程中主要运用了以下的研究方法：基本文献查询研究，根据本论文提及的项目范围以及项目预期要达成的目标，以此为基准来查询相关网络规划设计的文献来获取规划信息，从而使得本论文所要表达的研究内容更好的展现出来。调查研究，在论文撰写过程中，往往会有一些突发情况使得原先的计划出现人力不可抗的偏移，此时就需要我们调查研究，通过调查研究来找到问题所在，并相对应的解决它，可以通过询问老师，同事，同学来达到预期需要的效果。以实验为研究，由于嘉佳信息科技有限公司需要的网络建设性较大，对业务板块的可持续性，高可用性，可靠性做了较高的要求，相对应的对于硬件设备的要求也相应的要调整高度可用性，对于不同场景需要的网络强度提出不同的需求。1.2.2研究的基本内容（1）需求分析：需要根据具体的需求为嘉佳信息科技办公楼设计网络拓扑图；（2）调查分析：明确公司业务的范畴和上级领导对内部网络需要达到的要求；（3）结合公司办公楼的实际场景，以此来设计办公内网；（4）根据内部员工特性、要求和安全需要，设计出对应的网络访问规则；（5）根据实施的具体现场情况，提供具体可行的解决方案。

2网络建设需求分析2.1网络建设需求本次网络系统建设完成后保证能够使用电脑，手机以及移动设备能够安全，便捷的接入公司网络，为了保证公司大楼的无线网络能够稳定高效的提供访问互联网服务，该设计网络必须具有很高的安全，稳定以及快速可管理的特性。需要包含以下几点：要实现公司的全面无线网络覆盖，便捷的使智能移动设备接入网络；需要实现网络安全接入：公司的无线网络是实现的空间覆盖，也就是整个大楼可以自动接入，为了保证公司信息的安全和核心技术的防盗防丢失，抵御外部不法黑客入侵盗取机密，恶意攻击，因此公司的无线网络需要具有相应的安全防范手段，以及上网用户审核的技术，以此来保证网络安全高效稳定的运行。整体的无线网络要遵循高可靠性的原则，预防广播风暴导致的网络链路瘫痪，因此可以采用相关的预防ARP广播风暴技术，以及提供相对应的预防设备链路冗余。整体网络需要具有可扩展性和扩充原则：考虑到公司未来的发展壮大，规模的变大以及员工的增加，届时原先设计的网络肯定不能继续提供技术支持，此时可以选择扩充当前网络模块，扩展当前网络规模，以此来支持更大规模的人员变动，也对网络没有太大的影响，保护公司现有的资源和财产。整体的网络设计需要加强安全等级进行公司财产保护，保护公司核心技术不会通过网络泄露，被黑客攻击而窃取公司核心机密，保护公司长期的安全稳定，架设防火墙，实行网关验证，使网络通畅要进行网络负载均衡，为公司人员扩展提供相关的技术支持，为公司的业务保证带来良好的发展前景。对公司员工上班时间进行网络访问限制，利用上网行为管理对公司大楼的员工进行上网行为限制，定位系统工作，以此来确保公司下面员工的工作完成程度以及个人绩效考核，保护公司的财产不受损失，为管理员工提供相对便捷的方式，做到生产透明化，工作一体化，管理人性化三个要求。2.2接入点概况公司大楼总共有五个楼层，公司划分为四个大部门：行业事业部，销售部，开发部和管理处。每个部门都划分一个子网网段：办公部在公司大楼5楼，有50个接入点；开发部在公司大楼4楼，有三个开发实验室，每个实验室有50个接入点；销售部在公司大楼2-3层，有八个销售团队，每个团队有20个接入点，1楼是行业事业部负责前台接待以及客户会见安排，总共有100个接入点。公司大楼共计460个网络接入点。2.3网络性能需求分析1、实用性：实用性首先肯定是要有实用的网络为目的这个原则，在建设过程里面，考虑多一点的是这个网络设计，要满足领导对公司业务的一个需求，然后着手进行构思，不能说设计出来的网络看着好看，其实是个纸老虎，设计了要保证公司业务正常进行，内部网络安全稳定快速，在访问其他合作伙伴公司的内部系统时候高效可行，确保内部网络各个角落无线信号稳定，满足员工需求。2、安全性：肯定要有保密机制，对领导，下级管理人员的权限分配以及对应的权限控制的一种机制，要防止非法入侵，内部人员泄密。3、可管理性：可管理，首先是嘉佳网络规划设计这个方案所设计的网络遵循的是由上至下，权限划分明确，这样管理的人方便快捷，定位到内部局域网故障的时间能缩短很多，让我本身这个网络有非常好的可维护性。编写网络设计方案时需要考虑下面几个方面：对上网行为进行管理管控，加强安全认证，确保安全策略和访问控制策略的实施。强调对设备的简单使用，加强用户的体验，同时需要对运维管理的操作简化，简单方便可用性高，对整个无线部署不影响公司形象，做出美化调整。对网络要管控到位，明确系统管理员检测，分权安全运维管理员进行管理维护。选用先进的网络管理平台，集中对全网设备的管理。4、可扩展性:在本网络设计的信息系统的内部构造、设备情况、网络运行的处理能力上面，我们有预留更新的，这样的网络布局不仅可以充分保护现有的网络资源，而且有很好的进化性。2.4网络建设目标嘉佳信息科技有限公司网络建设项目的总体目标：为适应本项目未来3年信息化发展和建设要求，防止组网老化速度快，因此，本项目建设通过各种先进的信息技术手段，建立一个具有高性能、高可靠性、高安全性、高扩展性基础设施平台，满足嘉佳公司网络的稳定，信号全面覆盖，流量单独保障，ap单独管理，用户单独管理。满足嘉佳公司与下属公司日常办公以及对业务系统和信息资源的共享和访问。3网络建设方案3.1办公网络总体设计嘉佳信息科技有限公司使用网络三层架构进行网络架构搭建，即接入层、楼宇汇聚层和核心层，该网络架构简单，层次分明，某接入点出现故障不会对其他接入点造成影响。如图3-1，是公司大楼的整体拓扑图，为保障网络的安全稳定地运行，在嘉佳公司大楼无线网络出口处部署华为防火墙，并实现VRRP进行双机热备，并利用其自身的优越性能，承担起无线网络安全的功能。通过深信服上网行为管理设备，规范公司无线网络用户的上网行为，对于内网用户访问的非法网站、占用网络带宽极大的应用等给予制止，也防止外部网络的病毒、木马、攻击等入侵公司无线网络，公司内部网络通过OSPF进行互联互通。不同的部门划分了不同的VLAN进行网段隔离，使用DHCP来对内部主机和终端自动获取IP地址，采用无线控制器AC对内部人员无线AP进行管控，可以很好地对公司安全稳定长期发展作准备，也保护公司内部权益不受不法分子侵害，使得内部员工在日常工作中能够紧密配合，层层相连，对内部员工管控力度加大，有利于公司内部的员工提高自身的竞争力，自强不息。图3-1公司大楼总体网络拓扑3.1.1核心网络图3-2核心网络拓扑图如图3-2所示，核心网络由两台华为防火墙做VRRP主备备份，以此来提供网络灾备能力，其中一台出现故障，另一台会马上接管网络流量，对内网稳定运行提供了强有力的保障，同时采用三层结构，实现网络建设原则的“高内聚，低耦合”的网络建设理念，在建设高可用，可靠的网络结构的同时，对后续网络变动，扩展，和运维人员的管理提供相当高的便利条件。3.1.2部门网络图3-3部门网络拓扑图如图3-3，部门网络分为物理主机接入和无线终端接入，物理主机和无线终端分属不同的VLAN划分,这样是为了隔离开两种终端，保障两种用户安全性和独立性。3.1.3服务器/安全设备网络图3-4服务器/安全设备网络拓扑图如图3-4这里是图3-4吧，另外每段开始都要空2个字符，你空了三个，所有段落开始地方都认真检查下。，基于信息安全时代的潮流，等保二级中网络安全防护条例规定需要划分专门的服务器/安全设备区域，并添加合理合规的访问控制策略，对内网权限进行划分管理，以此保障内网相对应的边界防护安全，本项目建设方案为服务器/安全设备单独划分了一个网段，直接通过防火墙进行通信，保证内网隔离手段对安全设备进行保护。这里是图3-4吧，另外每段开始都要空2个字符，你空了三个，所有段落开始地方都认真检查下。3.2子网划分3.2.1主机子网划分子网网段是内网用户上网所获取的IP地址网段，鉴于嘉佳公司内部人员分布情况，考虑到实际的情况，所以本网络建设方案采用以楼层划分子网网段的形式来为公司内部的物理主机提供有线连接的连接端，划分一个网段到一个楼层，如表3-1所示，这样足够满足内部局域网每个楼层的员工接入需求。表3-1公司物理主机子网划分公司楼层VLAN子网划分上网网关公司一楼VLAN1410.1.14.1—10.1.14.25410.1.14.1公司二、三楼VLAN1310.1.13.1—10.1.13.25410.1.13.1公司三楼VLAN1210.1.12.1—10.1.12.25410.1.12.1公司四楼VLAN1110.1.11.1—10.1.11.25410.1.11.1服务器/安全设备VLAN110.1.88.1—10.1.88.25410.1.88.13.2.2无线终端子网划分无线网络在当今信息化社会上的作用是巨大的，为了满足嘉佳公司内部局域网的员工移动终端接入需求，如表3-2，本网络建设方案为用户按楼层划分了四个IP地址池来支持用户接入需求。表3-2无线终端子网划分公司楼层VLAN子网划分上网网关公司一楼Vlan2410.1.24.1—10.1.24.25410.1.24.1公司二、三楼Vlan2310.1.23.1—10.1.23.25410.1.23.1公司三楼Vlan2210.1.22.1—10.1.22.25410.1.22.1公司四楼Vlan2110.1.21.1—10.1.11.25410.1.21.13.3设备选型3.3.1核心层核心层网络设备：3台华为S5720-HI系列盒式敏捷企业级核心交换机。网络的控制功能在骨干层上实施，核心层一直被认为是所有流量的最终承受者和汇聚者，所以对核心层的设计以及网络设备的要求十分严格。如图3-5所示，是华为S5720-HI企业级核心交换机的外观，如表3-3，是S5720的设备硬件参数，包括设备型号和网口，包转发率和交换容量，足以满足嘉佳公司内部的网络增长需求。图3-5S5720核心交换机表3-3核心层的设备型号配置S5720-56C-HI-AC48个10/100/1000Base-T以太网端口，4个万兆SFP+提供2个接口子卡插槽（其中1个插槽是预留增值扩展插槽）支持1+1电源备份，AC、DC及AC/DC电源混插，默认配置1个600WAC电源包转发率：252Mpps交换容量：598Gbps/5.98Tbps3.3.2汇聚层汇聚层主要作用是用协议过滤,路由服务,认证管理等功能对公司进行网络管理布控。如图3-6，我们选择华为S3700-28TP-SI-AC交换机作为汇聚层交换机，设备硬件参数如表3-4所示。在承上启下的汇聚路程中，汇聚层是汇聚用户的日常数据，通过划分VLAN来跟网络进行隔离以此预防有一些网段的问题传染然后影响到核心层的设备,汇聚层还可以限定下面的接入层对核心层的访问,以此来保证核心层设备的低风险运行。汇聚层是连接接入层的网络节点和核心层中心；因此汇聚层应放在每层楼层的中心点。图3-6华为S3700-28TP-SI-AC汇聚层交换机表3-4华为S3700-28TP-SI-AC汇聚层交换机参数S3700-28TP-SI-AC24个10/100Base-TX以太网端口，4个千兆SFP，2个复用的10/100/1000Base-T以太网端口Combo分交流供电和直流供电两种机型包转发率：14.1Mpps交换容量：64Gbps汇聚层网络设备：需要5台华为S3700部门级三层交换机。3.3.3接入层接入交换机是最常见的一种网络交换机的设备，尤其是在中小型企业当中和那些学校宿舍，部门等场所中。根据嘉佳公司的网络概览，本设计方案给公司选择华为S3700足以支持公司内部局域网的运行速度符合要求。设备概览如图3-7，基本设备硬件参数如表3-5，图3-7华为S3700-52P-PWR-EI接入层交换机表3-5接入层交换机配置型号S3700-52P-PWR-EI接入层交换机48个10/100Base-TX，2个100/1000Base-XSFP，2个1000Base-XSFP，支持PoE+双电源，可插拔，交流供电包转发率：17.7Mpps交换容量：64Gbps接入层网络设备：5台华为接入交换机。3.3.4防火墙防火墙是能根据本企业的安全策略控制（允许，拒绝，监测）出入网络的信息流，并且本身具有很强的防恶意代码入侵攻击能力。如图3-8，是华为USG6000防火墙，以嘉佳公司的网络分布原则，对公司大楼安置两个硬件防火墙，做一个VRRP备份，通过网线连接到外部的网络接口与内部服务器企业网络之间，这样就可以把进来的数据流量进行分析操作后，转发到位于防火墙内部的局域网网络中。这样防止外部入侵内部公司网络，造成公司财产，知识产权，核心技术的泄漏丢失。考虑到嘉佳公司大楼，在防火墙选购的时候还要再加一个IPS，以此来渗透到网络的每一台主机，对整个网络的主机实时保护，这样可以更好地保护公司内部网络的安全，监测公司内部人员的上网违规行为，使得公司能够更好地管理。图3-8华为6000E防火墙3.3.5SSLVPN考虑到嘉佳公司未来的发展，现有网络的各个核心部分随着业务量的提高，访问量和数据流量的快速增长，需要访问的业务量增多，外出办公的员工有时需要内网的环境来访问公司内部的服务器进行办公，也要在意外事故发生无法返回公司的时候远程办公，为此，增加一台深信服的SSLVPN设备，能解决远程用户访问公司数据最简单安全的一项解决技术来的，直接可以通过浏览器进行连接SSL协议，可以实现有网就能办公的需求，深信服SSLVPN还可以建立IPsecVPN隧道，以此来实现跟下级单位公司的数据隧道传输，保障业务互通的同时也保证了数据的安全性，嘉佳公司员工在内网就可以直接通过IPsecVPN隧道访问下级公司业务，在外网的话就通过接入SSL客户端来获取内网环境，访问内部服务和网络资源，简单方便，快捷又不失安全。如图3-9所示，深信服EasyConnect远程应用发布解决方案通过SSLVPN和企业内网部署的终端服务器，将企业应用程序界面用图形的方式呈现于智能终端之上。在部署过程中，无需对现网结构和应用程序做任何改变，轻松实现跨平台访问图3-9深信服SSLVPN工作原理

4项目实施技术配置4.1VLAN划分VLAN中文叫虚拟局域网，是将一个物理的网络在逻辑上划分成多个广播域的通信技术。同一个VLAN的主机终端可以互相通信，而不同VLAN间的主机终端不能直接通信，从而限制在一个VLAN内当作一个网络隔离手段。主要配置（LSW1为例）：vlanbatch10to1421to2468111to112//划分vlaninterfaceGigabitEthernet0/0/1portlink-typeaccess//配置接口为access口portdefaultvlan111//划分接口为vlan111interfaceGigabitEthernet0/0/3portlink-typetrunk//配置接口为trunk口undoporttrunkallow-passvlan1//不允许vlan1通过porttrunkallow-passvlan2to4094//接口允许vlan2-4094通过4.2网络DHCP配置由于公司内部接入终端数量过多，如果配置静态IP的话费时费力，网络建设方案采用DHCP配置，对内网终端达成自动获取IP的作用，自动分配IP地址，能够提高内网用户的网络体验度。很多非技术人员不懂网络，他们就不知道如何配置静态IP来进行上网，而在网络上设置DHCP使用户能自动获取IP地址来进行上网无疑是符合客户本身的需求，也能方便网络管理员进行配置，使得运维人员对内部网络进行维护工作的时候，能够快速的接入网络对内部网络进行维护。主要配置（以vlan11为例）：dhcpenable//开启dhcpippoolvlan11//地址池命名gateway-list10.1.11.1//网关配置network10.1.11.1mask255.255.255.0//地址池配置dns-list8.8.8.8114.114.114.114//dns配置接入交换机中：interfaceVlanif11ipaddress10.1.11.3255.255.255.0dhcpselectglobal//dhcp应用地址池4.3防火墙双机热备防火墙通常部署在企业内部网络的出口处，等保二级中有规定边界防护，一般来说防火墙就可以用于划分网络边界，以起到对内网的防护作用，内外网的业务都会通过防火墙来转发数据，如果防火墙出现故障，就会导致企业内部的网络业务瘫痪中断，因此，为了防止此类情况发生在嘉佳公司内部，制定网络规划方案的时候，我们在其关键网络位置部署两台华为USG6000防火墙来做网络层面的双机热备，以此项技术来提高内部网络的可靠性，当其中一台华为USG6000防火墙出现故障的时候，另外一台防火墙就会接管原本网络中的流量，并将其接到本身链路上进行数据转发，这样对内网的业务有一个很高的保障性，也可以提升内网的可靠性。两台防火墙上下面接的接口工作在三层网络里面，防火墙要连接我们的路由器，防火墙跟路由器之间本设计方案选择运行OSPF协议，嘉佳公司的网络规划设计方案选择使用HRP协议来配置实现两个防火墙双机热备功能，为了实现主用设备防火墙出现故障的时候，备用设备防火墙可以很快速、稳定的接替它的工作，我们要在主备防火墙配置相关的配置。为此HRP协议，实现防火墙两台机子中间的动态变化的相关状态和相关数据，以及那些核心的配置，命令的数据备份。在主备设备备份组网的情况下，这个配置的命令和相关的状态信息都是主用设备，然后再备份到备用设备里面的。主要配置：hrpadjustospf-costenable//配置自动调整Cost值功能hrptrackinterfaceGigabitEthernet0/0/0//配置业务口hrptrackinterfaceGigabitEthernet1/0/1hrptrackinterfaceGigabitEthernet1/0/2hrpinterfaceGigabitEthernet1/0/0remote1.1.1.2//配置心跳口为GigabitEthernet1/0/0hrpenable//启用双机备份功能4.4VRRP为了使内部网络趋于更稳定的状态，嘉佳公司网络建设方案设置了VRRP协议和HRP协议联动来解决备份问题，VRRP是一种网络里面的容错协议，工作原理就是保证嘉佳公司内部局域网主机的默认网关出现故障的时候，网络上会由备份的网络设备自动来接替那台出现了故障的主网络设备以此来完成数据转发功能，从而保证局域网内部的连续性和可靠性。VRRP备份组里面的很多个目标可以根据我们特指定的VRRP备份组的优先级，根据这个来确定它们的VRRP备份组的状态。那个优先级最高的VRRP备份组状态为主备份组（Master），其余VRRP备份组状态为备备份组（Backup）。主要配置：interfaceVlanif11ipaddress10.1.11.1255.255.255.0vrrpvrid1virtual-ip10.1.11.1//网关备份，加入备份组14.5NAT地址转换NAT，也就是网络技术里面所说的地址转换，这个技术可以解决现如今公共网络里面IP地址不足的问题，内网的用户通过地址转换变成公网的IP进行公网的网络通信，不仅如此，因为访问公网的IP是经过转换的IP，而不是内部主机IP，这样能很好的对IP地址进行伪装，从而达到对内部主机的保护和隐藏的作用，避免外部人员发起的攻击等。静态NAT，是指在进行IP地址的转换时，我们嘉佳公司内部局域网的网络物理主机的IP地址和公网的IP地址是一对一静态绑定的，静态的地址转换中的公网IP地址只会给到局域网里面唯一而且是已经固定了的内部局域网网络物理的主机，让它转换地址使用。静态NAPT指的是一个局域网，它的内部网络的主机IP地址和端口号对应的是公网的IP地址和端口号，这些是一对一绑定的，静态NAPT中的那一个唯一的公网的IP地址可以给许多个内部局域网的IP地址使用。这样可以很好的解决公网IP地址不足的现状。静态NAT/NAPT还支持将指定的私网范围的主机的IP地址转换为特定的公网IP。当嘉佳公司内部的物理主机来访问外部的网络的时候，如果这一台物理主机的IP地址所在，是在本设计方案所特指的内部主机IP地址范围内的话，那么它的IP地址就会被转换为我们设计的内部网络所对应的公网的IP地址；我们主要采用此种技术对公网进行访问。主要配置：nat-policy//进入NAT策略视图rulenameout//规则命名source-zonetrust//源区域destination-zoneuntrust//目的区域source-address10.1.0.0mask255.255.0.0//转换的源地址范围actionsource-nateasy-ip//直接借用FW的公网IP地址来访问外网4.6SSL协议随着互联网技术的不断发展，传统的主机已经不能满足当下办公人员对网络接入的安全、高效、便捷的接入方式了，而嘉佳公司作为一家销售为主的公司，在网络远程接入，以此来访问内网达到自身办公资料传递，信息交互的目的的话，传统的IPSecVPN已经不能满足现在的网络需求了。而现在一种新的技术SSLVPN，作为一种新型组网技术来对远程办公这一功能进行了新的定义和提供解决方案，因此，现在SSLVPN技术在实际的远程接入案例中的应用十分广泛，其特点如下：1、作为一种新型技术，SSLVPN工作在应用层和传输层之间，并不会影响原有的网络结构，就是本身嘉佳公司现有的组网拓扑也不会有所改动，只不过基于网络建设方案中部署了华为防火墙，需要在防火墙中放通443端口使其正常工作。2、SSLVPN是基于B/S架构，所以根本无需安装什么客户端之类的软件来引导启动此类服务，公司外出员工远程仅需使用普通的浏览器；例如：谷歌，火狐，360之类的浏览器都可以实现远程接入内部网络访问。3、最为重要的是SSLVPN的访问以及控制的话，都是基于应用层的，可以大大提升企业内部网络被远程接入时的安全性和安全级别，在等保二级中有规定企业需要加密的传输方式，SSLVPN是一个不错的选择。

5项目实施为满足用户构建一个高速、稳定、安全、可靠、易于管理的无线接入网络需求，项目实施过程中需要注意的事项是实施人员所须知的，以提高客户的体验和体现我们工程师的专业性。5.1实施前的准备机房的网络设备实施工程师安装要在机房内装修工作全部完成后。实施工程师要对机房进行检查，确保机房的设计、温度与环境那些要满足本次网络建设实施的机房的环境要求。那些建设初期的部件和电线那些，要符合本次设计的要求，机房其他的各项设施建设要建设完成，达到嘉佳公司本次网络规划设计的物理环境的要求。设备安装前工程师要对电线、网线、光纤线进行疏理，更要准备好电线、网线、光纤线这些嘉佳公司局域网需要用到的线缆需要的安装工具。5.2室内设备安装要求（1）设备的安装位置及走线方式应严格按照相关的标准、规范中的有关说明进行。（2）对于本设计方案提供的所有设备，其安装流程应该做到标准，正确，标签贴的位置要明确，外观不能损坏，清洁工作要做好。（3）设备上面的电源线及信号传输线要分开铺设，粘贴上不容易去除的标识物，排序要整齐，看起来舒服，作用也不会小，固定好长度这样可以帮助后面的工程布线，不能把所以用量使用，为后面工程预留一部分。（4）网线，电线要安全可靠，不能扭成一团、也不要拿重物下面导致网线压扁和电线保护层断裂的现象。（5）当设备之间的电源线和信号线铺设完成后，要对所有的本设计方案部署的设备进行线路连接测试，设备稳定性测试，测试过程如下：①单设备测试——对某个设备进行安全性，连通性进行测试。②全网络测试——把所有设备连接完成，接电进行运行性能测试，测试所有的设备的接口是否有传输阻碍。③可行性测试——测试本网络设计方案所上线的设备，其上所部署的软件的机动性和传输速率是不是符合预期的要求。（6）与本设计有关的设备、其内、外接口都要符合嘉佳公司建设初期的性能要求。5.3施工注意事项5.3.1环境要求等保二级中对企业内部物理部分的机房有非常明确的要求：机房所在地要选择在防地震破坏、防台风破坏和防暴雨破坏的相对能力的自建建筑或租赁建筑里面。机房所在地不应该在这些建筑物的顶楼或者地下室里面，嘉佳公司场地不在此类范围内。机房的出入口要配置门禁，比如：电子门禁，指纹门禁，或者红外线、瞳孔扫描门禁，以此来鉴别到本次进入的内部人员还是外部人员。要设置机房的防窃报警，也可以搭建一个视频监控，然后把它分配给网络管理员单人管理。机房要有火灾检测，然后自动灭火的系统，可以自动的对火灾进行检测，并自动告警吸引管理人员、也可以操控灭火装置自动进行灭火。应对机房划分区域进行管理，区域和区域之间设置隔离防火措施。要自动调节机房里面的温湿度，让机房里面温湿度的变化在本设计方案需求的各类设备正常运行的范围里。要对嘉佳公司的关键电点设备实施电的隔离。5.3.2机房实施要求等保二级中对设备的安装位置及走线方式有明确的要求。要把本设计方案的网络设备或安全设备固定在机柜里面，固定好之后要对这些设备加上难以去除的名称、身份标识。要把电线，网线，光纤这些线缆铺设到防静电地板下面的，或者可以排好线之后在机柜上方布线。要把放设备的机柜、安全设备、网络设备这些，通过接地线接地处理。网线、电线、光纤这些不要扭成一团、也不要放在重物上压扁导致电线，网线，光纤线的保护层断裂以及报废。机房作业的话要防止静电，可以采用消除器消除静电。要备用电力供应，万一嘉佳公司所在的大楼停电了，也要线满足设备暂时的正常运行，以此来保证内部数据的完整性，也可以保障内部的业务正常进行，可以设置冗余线路，也可以配备UPS后备电源来对内部安全设备，网络设备，终端等供电。5.3.3现场从属人员注意事项（1）实施期间不要影响周边居民的生活休息，要遵守实施的安全管理规定。（2）搬运部件时，实施工程师要站在坚实的地面上，并采取正确的姿势。（3）在设备的安装、调试和开通期间，客户现场人员需要提供必要的配合，保证实施设备的顺利的完成。（4）佩戴防电手套，不要假设某个部件不带电，在操作之前必须检查。（5）将机箱外壳接地，安装部件时，戴上防静电腕套(如果没有防静电腕套，在接触部件之前先触摸接地的机箱外壳放电)，防止静电电击随坏部件。（6）实施网络安装AP时，安装工具与部件不要随意放置在行走通道上。（7）在网络设备，安全设备安装的过程前中后，设备的外包装，机房里面都不要有杂物在，保持干净整洁。

6总结本篇关于嘉佳信息科技有限公司的网络规划设计方案是对于中小型的企业内部网络的办公需求进行内网规划设计。在前期，先根据公司上层领导的指示，对网络架构进行搭建梳理，需要综合考虑公司领导，员工，以及其他合作公司，上下级单位等实验设计对象的具体需求，具体就是针对嘉佳公司办公楼的楼层限制，部门划分，各部门职责分类，网络承载性能要求，本次网络设计的用户承载限制，以及未来的网络扩展性，延伸性能，以满足当今信息化潮流的时代更替的条件。首先，确定下来公司内部网络的接入点数量，以及每一层接入点的分布，以此来确定每一个楼层的有线网和无线网的建设需求，之后就是根据公司对网络性能的要求初步规划网络拓扑图，对基本的网络架构进行搭建，规划。架构基本确定之后就对子网进行划分，依据部门来划分子网，每一层的主机都会通过网线接入到接入层交换机，再到汇聚层交换机，再到核心交换机，然后通过防火墙的限制访问到外网。因为嘉佳公司的网络安全性能要求较高，需要对内部网络的安全进行重视以防泄露公司机密，开启DHCP服务为全局局域网的设备分配IP地址，无线组网遵循方便，快速，连通性高的特点进行组建。在局域网安全连通性方面，采用两台防火墙做HRP协议双机热备功能，防止内网崩溃，启用VRRP备份组对交换机防火墙进行管理，防火墙可以对内外网进行一个很好的分割作用，在防火墙上我们做安全策略对内部安全区域访问进行控制和限制，在等级保护第二级当中规定了局域网访问控制管理。划分了安全设备，服务器专用的网络区域进行安全区域划分，在防火墙上做NAT地址转换来保证内外网数据转发正常。关于内部人员远程办公环境的加密保护，本方案设计采用深信服的SSLVPN设备进行数据加密操作，可以实现远程接入公司局域网访问本公司内网服务器设备，以及通过设备本身的IPsecVPN隧道进行上下级单位信息系统的互访操作，符合信息保护等级第二级对于数据加密传输的要求。对于无线组网，在各楼层架设相应的AP接入，在核心交换机旁挂AC进行管理，配置相应的射频接入，满足内部员工的连接需求。在对本网络规划设计搭建起来的局域网进行测试后，发现各项的网络传输性能均是满足规划初期的设计理念，在设计过程中，充分考虑了未来几年间信息化潮流下的网络新的需求变化，规划的时候设计了本网络的扩展性和延伸性能，能够在内部数据交互和流量上下行不断增长的过程中维持良好的传输速率。参考文献[1]何利.网络规划与设计实用教程.北京:人民邮电出版社，2018.[2]王相林.网络工程设计与应用.北京：清华大学出版社，2011.11（2018.8重印）[3]杨文虎，李婷.网络互联技术与实训.北京：人民邮电出版社，2011.[4]刘乃安，李晓辉，张联峰等.无线局域网（WLAN）-原理，技术与应用[M].西安：西安电子科技大学出版社，2014.4.[5]高泽华，高峰，林海涛等.室内分布系统规划与设计——GSM/TD-SCDMA/TD-LTE/WLAN[M].北京：人民邮电出版社，2013.1.[6]徐慧洋，白杰，卢宏旺.华为防火墙技术漫谈.北京：人民邮电出版社，2015.5（2018.1重印）[7]易建勋，计算机网络设计[M].北京：人民邮电出版社，2017.[8]JamesF.KuroseandKeithW.Ross,ComputerNetworking,ATop-DownApproach[M],FourthEdition,PearsonEducation,Inc.2009.[9]AndrewS.Tanenbaum,ComputerNetwork[M],FourthEdition,PearsonEducationInc.2008.[10]P.Calhoun，Ed.ControlAndProvisioningofWirelessAccessPoints(CAPWAP)ProtocolSpecification[S].2009.03.

致谢时间真快啊，四年的学习生活马上就要结束了，四年当中我在学校每一个日夜都还历历在目，回想起来，在学校的学习情况还是不错的，这还是多得益于老师的谆谆教诲，能有今天的成就我们都离不开我的师兄，师姐和同学们的帮助，生活中想到父母的支持总会鞭策我的脚步，不断向前迈进。或许在大学四年里，有的人功成名就，有的人无所事事，有的人在努力的过好自己的生活，但毫无疑问的是我们都在这里成长了四年，无论是班级，宿舍，还是师生，都算是一个个小家庭，合在一起我们就是一个大家庭，没有人的成功是偶然的，也没有人的失败是必然的。大学可能更注重的是心境的培养，对知识的锤炼，以及最重要的是开发一个人对新知识，认知的渴望，我们不应该放弃对世界的好奇，这样才能得到更丰富的生活经历。学校教给我的最大的知识就是，让我明白了出来社会后，对自身的定位，要加快对自身专业技能的锤炼，以一个健康,积极，向上的心态，在生活的逆流中激流勇进。在此特别感谢学校的老师，辅导员在四年来对我的帮助和栽培，我会努力做一个社会精英，不辜负我的老师，父母，我爱的人和爱我的人。谢谢大家。

HYPERLINK电脑快捷知识大全编辑本段一、常见用法F1显示当前程序或者windows的帮助内容。F2当你选中一个文件的话，这意味着“重命名”F3当你在桌面上的时候是打开“查找：所有文件”对话框F10或ALT激活当前程序的菜单栏windows键或CTRL+ESC打开开始菜单CTRL+ALT+DELETE在win9x中打开关闭程序对话框DELETE删除被选择的选择项目，如果是文件，将被放入回收站SHIFT+DELETE删除被选择的选择项目，如果是文件，将被直接删除而不是放入回收站CTRL+N新建一个新的文件CTRL+O打开“打开文件”对话框CTRL+P打开“打印”对话框CTRL+S保存当前操作的文件CTRL+X剪切被选择的项目到剪贴板CTRL+INSERT或CTRL+C复制被选择的项目到剪贴板SHIFT+INSERT或CTRL+V粘贴剪贴板中的内容到当前位置ALT+BACKSPACE或CTRL+Z撤销上一步的操作ALT+SHIFT+BACKSPACE重做上一步被撤销的操作Windows键+L锁屏键Windows键+M最小化所有被打开的窗口。Windows键+SHIFT+M重新将恢复上一项操作前窗口的大小和位置Windows键+E打开资源管理器Windows键+F打开“查找：所有文件”对话框Windows键+R打开“运行”对话框Windows键+BREAK打开“系统属性”对话框Windows键+CTRL+F打开“查找：计算机”对话框SHIFT+F10或鼠标右击打开当前活动项目的快捷菜单SHIFT在放入CD的时候按下不放，可以跳过自动播放CD。在打开word的时候按下不放，可以跳过自启动的宏ALT+F4关闭当前应用程序ALT+SPACEBAR打开程序最左上角的菜单ALT+TAB切换当前程序ALT+ESC切换当前程序ALT+ENTER将windows下运行的MSDOS窗口在窗口和全屏幕状态间切换PRINTSCREEN将当前屏幕以图象方式拷贝到剪贴板ALT+PRINTSCREEN将当前活动程序窗口以图象方式拷贝到剪贴板CTRL+F4关闭当前应用程序中的当前文本（如word中）CTRL+F6切换到当前应用程序中的下一个文本（加shift可以跳到前一个窗口）在IE中：ALT+RIGHTARROW显示前一页（前进键）ALT+LEFTARROW显示后一页（后退键）CTRL+TAB在页面上的各框架中切换（加shift反向）F5刷新CTRL+F5强行刷新目的快捷键激活程序中的菜单栏F10执行菜单上相应的命令ALT+菜单上带下划线的字母关闭多文档界面程序中的当前窗口CTRL+F4关闭当前窗口或退出程序ALT+F4复制CTRL+C剪切CTRL+X删除DELETE显示所选对话框项目的帮助F1显示当前窗口的系统菜单ALT+空格键显示所选项目的快捷菜单SHIFT+F10显示“开始”菜单CTRL+ESC显示多文档界面程序的系统菜单ALT+连字号(-)粘贴CTRL+V切换到上次使用的窗口或者按住ALT然后重复按TAB，切换到另一个窗口ALT+TAB撤消CTRL+Z编辑本段二、使用“Windows资源管理器”的快捷键目的快捷键如果当前选择展开了,要折叠或者选择父文件夹左箭头折叠所选的文件夹NUMLOCK+负号(-)如果当前选择折叠了，要展开或者选择第一个子文件夹右箭头展开当前选择下的所有文件夹NUMLOCK+*展开所选的文件夹NUMLOCK+加号(+)在左右窗格间切换F6编辑本段三、使用WINDOWS键可以使用Microsoft自然键盘或含有Windows徽标键的其他任何兼容键盘的以下快捷键。目的快捷键在任务栏上的按钮间循环WINDOWS+TAB显示“查找：所有文件”WINDOWS+F显示“查找：计算机”CTRL+WINDOWS+F显示“帮助”WINDOWS+F1显示“运行”命令WINDOWS+R显示“开始”菜单WINDOWS显示“系统属性”对话框WINDOWS+BREAK显示“Windows资源管理器”WINDOWS+E最小化或还原所有窗口WINDOWS+D撤消最小化所有窗口SHIFT+WINDOWS+M编辑本段四、“我的电脑”和“资源管理器”的快捷键目的快捷键关闭所选文件夹及其所有父文件夹按住SHIFT键再单击“关闭按钮（仅适用于“我的电脑”）向后移动到上一个视图ALT+左箭头向前移动到上一个视图ALT+右箭头查看上一级文件夹BACKSPACE编辑本段五、使用对话框中的快捷键目的快捷键取消当前任务ESC如果当前控件是个按钮，要单击该按钮或者如果当前控件是个复选框，要选择或清除该复选框或者如果当前控件是个选项按钮，要单击该选项空格键单击相应的命令ALT+带下划线的字母单击所选按钮ENTER在选项上向后移动SHIFT+TAB在选项卡上向后移动CTRL+SHIFT+TAB在选项上向前移动TAB在选项卡上向前移动CTRL+TAB如果在“另存为”或“打开”对话框中选择了某文件夹，要打开上一级文件夹BACKSPACE在“另存为”或“打开”对话框中打开“保存到”或“查阅”F4刷新“另存为”或“打开”对话框F5编辑本段六、桌面、我的电脑和“资源管理器”快捷键选择项目时，可以使用以下快捷键。目的快捷键插入光盘时不用“自动播放”功能按住SHIFT插入CD-ROM复制文件按住CTRL拖动文件创建快捷方式按住CTRL+SHIFT拖动文件立即删除某项目而不将其放入SHIFT+DELETE“回收站”显示“查找：所有文件”F3显示项目的快捷菜单APPLICATION键刷新窗口的内容F5重命名项目F2选择所有项目CTRL+A查看项目的属性ALT+ENTER或ALT+双击可将APPLICATION键用于Microsoft自然键盘或含有APPLICATION键的其他兼容键编辑本段七、Microsoft放大程序的快捷键这里运用Windows徽标键和其他键的组合。快捷键目的Windows徽标+PRINTSCREEN将屏幕复制到剪贴板（包括鼠标光标）Windows徽标+SCROLLLOCK将屏幕复制到剪贴板（不包括鼠标光标）Windows徽标+PAGEUP切换反色。Windows徽标+PAGEDOWN切换跟随鼠标光标Windows徽标+向上箭头增加放大率Windows徽标+向下箭头减小放大率编辑本段八、使用辅助选项快捷键目的快捷键切换筛选键开关右SHIFT八秒切换高对比度开关左ALT+左SHIFT+PRINTSCREEN切换鼠标键开关左ALT+左SHIFT+NUMLOCK切换粘滞键开关SHIFT键五次切换切换键开关NUMLOCK五秒QQ快捷键，玩QQ更方便Alt+S快速回复Alt+C关闭当前窗口Alt+H打开聊天记录Alt+T更改消息模式Ait+J打开聊天纪录Ctrl+A全选当前对话框里的内容Ctrl+FQQ里直接显示字体设置工具条Ctrl+J输入框里回车(跟回车一个效果)Ctrl+M输入框里回车(跟回车一个效果)Ctrl+L对输入框里当前行的文字左对齐Ctrl+R对输入框里当前行的文字右对齐Ctrl+E对输入框里当前行的文字居中Ctrl+V在qq对话框里实行粘贴Ctrl+Z清空/恢复输入框里的文字Ctrl+回车快速回复这个可能是聊QQ时最常用到的了Ctrl+Alt+Z快速提取消息Ctrl+Alt+A捕捉屏幕最常用的快捷键F5刷新DELETE删除TAB改变焦点CTRL+C复制CTRL+X剪切CTRL+V粘贴CTRL+A全选CTRL+Z撤销CTRL+S保存ALT+F4关闭CTRL+Y恢复ALT+TAB切换CTRL+F5强制刷新CTRL+W关闭CTRL+F查找SHIFT+DELETE永久删除CTRL+ALT+DEL任务管理SHIFT+TAB-反向切换CTRL+空格--中英文输入切换CTRL+Shift输入法切换CTRL+ESC--开始菜单CTRL+ALT+ZQQ快速提取消息CTRL+ALT+AQQ截图工具CTRL+ENTERQQ发消息Alt+1保存当前表单Alt+2保存为通用表单Alt+A展开收藏夹列表资源管理器END显示当前窗口的底端HOME显示当前窗口的顶端NUMLOCK+数字键盘的减号(-)折叠所选的文件夹NUMLOCK+数字键盘的加号(+)显示所选文件夹的内容NUMLOCK+数字键盘的星号(*)显示所选文件夹的所有子文件夹向左键当前所选项处于展开状态时折叠该项，或选定其父文件夹向右键当前所选项处于折叠状态时展开该项，或选定第一个子文件夹自然键盘【窗口】显示或隐藏“开始”菜单【窗口】+F1帮助【窗口】+D显示桌面【窗口】+R打开“运行”【窗口】+E打开“我的电脑”【窗口】+F搜索文件或文件夹【窗口】+U打开“工具管理器”【窗口】+BREAK显示“系统属性”【窗口】+TAB在打开的项目之间切换辅助功能按右边的SHIFT键八秒钟切换筛选键的开和关按SHIFT五次切换粘滞键的开和关按NUMLOCK五秒钟切换切换键的开和关左边的ALT+左边的SHIFT+NUMLOCK切换鼠标键的开和