【企业网络规划与模拟的案例探析（论文）5400字】

企业网络规划与模拟的案例分析摘要在当今网络技术的快速发展下，世界范围内的各个行业、企业的发展与互联网技术的关系越来越紧密。世界企业之间的通讯交流也愈加密切。企业内部之间资源信息也需要保证其安全性。本文基于企业的网络需求和分析，通过DHCP、HSRP、PAT、IPSecVPN、GRE、端口聚合、访问接入点等网络相关技术对企业的网络进行设计与模拟，实现了企业内公司与公司之间的加密信息安全通讯、服务器群建设、同时实现了外网访问控制，推动了企业公司网络的建设与发展。关键词：企业网络规划；局域网；VPN；NAT；目录2493一、引言 126268二、企业网络需求分析 116780（一）企业网络定位 132519（二）企业网络基本情况介绍 113025（三）企业网络需求 23297三、企业网络拓扑与IP规划 212010（一）企业网络Visio图 218080（二）VLAN以及IP地址规划 37231四、企业网络模拟与测试 417038（一）网络设备配置 486471.Access、Trunk配置 4303652.三层交换机配置 496773.DHCP配置 6162804.FTP配置 7109645.HTTP配置 7294986.DNS配置 881667.IPSecVPN配置 8234818.GRE配置 1010349（二）企业网络测试 10124701.DHCP测试 10163532.HTTP与DNS测试 111873.FTP测试 12327154.IPSecVPN测试 13224505.GRE测试 1417128（三）企业访问控制测试 1445951.外网PC机测试 14303312.外网PC机访问企业官网测试 152267五、总结 1613063参考文献 18一、引言如今的网络需要具备良好的灵活性。随着企业的规模达到了一定的程度，企业延伸出了许多的分支公司。为保证公司之间的信息交流，企业需要将公司与公司之间建立起联系。总体上此类公司有一种网络需求特点：运用Internet的接入性能，保证企业局域网内达成数据间的安全运输、业务操作的无人化，达到企业公司之间办公交流更为便利与简单；企业可以利用出口路由器的IP地址以及服务器内的WWW服务器的域名，向网络中的网民们展现企业的文化与形象、向世界呈现出企业的特色与研究成果等。利用IP电话方式能够缩减企业众多的长途话费，也可以通过运用IP网络来实现视频会议；实现Telnet等网络服务；建造一个操作简单，功能便利且全面的管理信息系统，使得总公司与分公司之间的工作业务和工作内容审批电子化，协调各方面进行达到目标。企业局域网需要达到一定程度的结构化布线、网络的设计与规划、企业资料共享、WWW服务器、DHCP服务器、FTP服务器、DNS服务器、信息交流安全、软硬件配置、企业内部划分子网等相关网络技术的实施。二、企业网络需求分析（一）企业网络定位企业网是指覆盖企业和企业与分公司之间的网络，为企业的多种通信协议提供综合传送平台的网络。企业网也是企业内部进行通信的重要条件，确保企业内部，分公司与分公司之间、部门与部门之间的运转和安全进行。主公司和分公司之间的通信与信息交流也需要通过加密或者构建虚拟局域网来进行，愈加保证的信息通信与交流的严密性与安全性。（二）企业网络基本情况介绍在福建省泉州市智能手机oppo企业网中，分为主公司和分公司1与分公司2，主公司员工约300多人，使用网络的信息点大概250多左右：包括有线和无线的PC机和Laptop机，服务器群，有HTTP服务器、DNS服务器、FTP服务器、DHCP服务器。分公司1与分公司2有员工约200人，使用信息点大概为150多左右。如表3-1企业公司信息点个数表。主公司、分公司1和分公司2均使用私网IP，在每个公司的出口路由器处，由ISP分配了一个公网IP地址。表2-1企业公司信息点个数表主公司分公司1分公司2人数/个300200200信息点/个250150150（三）企业网络需求企业中主公司、分公司1和分公司2之间采用内网IP地址，主公司中，不同部门在不同的VLAN中，服务器群也单独一个VLAN群，服务器群采用静态IP配置，PC机和Laptop机均利用DHCP服务器进行获取IP地址。分公司1与分公司2采用三层交换机配置DHCP中继，使得有线的PC机和Laptop机以及无线的PC机和Laptop机能够自动获取IP地址。无论主公司还是分公司，为了数据的传输稳定，三层交换机间采用STP+HSRP的方式，防止单一的网关造成的故障问题；三层交换机也同样采用端口汇聚的方式，允许交换机与交换机、路由器与交换机、主机与路由器之间通过两个以上的并行端口同时传输数据，提高更高的带宽和吞吐量，大大提升了整个网络的能力与功能作用。出口路由器和三层交换机之间分别配置OSPF的方式，使得内网的各台PC机Laptop机以及服务器都能够ping通。在主公司、分公司1与分公司2的出口路由器处，都采用PAT方式，端口地址转换方式访问外网。并且外网设备无法访问企业公司的内网。服务器中，FTP服务器只由主公司的技术部和行政部能够访问日志，分别分配的权限功能为RWDNL（Write、Read、Delete、Rename、List）、RW（Read、Write）。企业中，主公司和分公司1之间建立IPSecvpn通讯，主公司与分公司2之间建立GRE模式进行通讯，分公司1与分公司2同样的也建立GRE模式进行通讯。保证数据通讯的严密性与安全性。在外网中，为了让网友们了解公司企业文化，PC机可以访问主公司的出口IP地址，从而访问到主公司内网的HTTP服务器，通过WebBrowser与外网DNS服务器解析，能够访问主公司绑定的地址网页。三、企业网络拓扑与IP规划（一）企业网络Visio图图4-1网络Visio图（二）VLAN以及IP地址规划表3-2公司VLAN分配以及IP地址规划主公司部门VLANIP网段默认网关销售部10/2454行政部20/2454财务部30/2454采购部40/2454技术部50/2454服务器群100/2454分公司1售后服务部10/2454市场部20/2454分公司2生产部10/2454设计部20/2454主公司内：zhuRouter对外的接口地址为/30，与HEXIN-1连接的接口IP地址为/24，与HEXIN-2连接的接口IP地址为/24。HEXIN-1与zhuRouter连接的接口IP地址为/24，HEXIN-2与zhuRouter连接的接口IP地址为/24。服务器群中，DHCP服务器的IP地址为/24，FTP服务器的IP地址为/24，www服务器的IP地址为/24，DNS服务器的IP地址为/24。分公司1内：FenRouter1对外的接口地址为/30，与HEXIN-3连接的接口IP地址为/24，与HEXIN-4连接的接口IP地址为/24。HEXIN-3与FenRouter1连接的接口IP地址为/24，HEXIN-4与zhuRouter连接的接口IP地址为/24。分公司2内：FenRouter2对外的接口地址为/30，与HEXIN-5连接的接口IP地址为/24，与HEXIN-6连接的接口IP地址为/24。HEXIN-5与FenRouter2连接的接口IP地址为/24，HEXIN-6与zhuRouter连接的接口IP地址为/24。公网上：有Router1、Router0、Router2三个路由器模拟ISP过程。Router1的接口IP地址分别为/30、/30；Router0的接口IP地址分别为/30、/30、靠近测试外网PC机的接口IP地址为/24，靠近WWW/DNS服务器的接口IP地址为，靠近分公司2的接口IP地址/30。Router2的接口IP地址分别为/30、/30；四、企业网络模拟与测试（一）网络设备配置1.Access、Trunk配置这里以主公司的Z-JH0为例，如图4-1。图4-1主公司Z-JH0Z-JH0(config)#intrangef0/1,f0/2,f0/5Z-JH0(config-if-range)#switchportmodeaccessZ-JH0(config-if-range)#switchportaccessvlan10Z-JH0(config)#intrangef0/3-4Z-JH0(config-if-range)#switchportmodetrunk2.三层交换机配置这里以主公司的HEXIN-1与HEXIN-2为例，如图4-2。其中包括配置端口汇聚、HRSP和STP、DHCP中继、OSPF配置。图4-2主公司HEXIN-1与HEXIN-2端口聚合配置：HEXIN-1(config)#intport-channel1HEXIN-1(config-if)#switchporttrunkencapsulationdot1qHEXIN-1(config-if)#intrangef0/3-f0/4HEXIN-1(config-if-range)#channel-group1modeonHSRP配置（以vlan10为例）：HEXIN-1(config)#vlan10HEXIN-1(config-vlan)#ipaddHEXIN-1(config-vlan)#intvlan10HEXIN-1(config-if)#ipaddHEXIN-1(config-if)#standby1ip54HEXIN-1(config-if)#standby1priority120HEXIN-1(config-if)#standby1preemptSTP配置（以vlan10为例）：HEXIN-1(config)#spanning-treevlan10rootprimaryDHCP配置（以vlan10为例）：HEXIN-1(config)#intvlan10HEXIN-1(config-if)#iphelper-addressOSPF配置：HEXIN-1(config)#iproutingHEXIN-1(config)#routerospf1HEXIN-1(config-router)#network55area0HEXIN-1(config-router)#network55area0HEXIN-1(config-router)#network55area0HEXIN-1(config-router)#network55area0HEXIN-1(config-router)#network55area0HEXIN-1(config-router)#network55area0HEXIN-1(config-router)#network55area03.DHCP配置这里为主公司的DHCP服务器，以VLAN10为例，如图4-3主公司DHCP服务器配置。图4-3主公司DHCP服务器配置在分公司1和分公司2的三层交换机上，同样也采取DHCP中继配置，下面图4-4分公司2三层交换机DHCP配置。图4-4分公司2三层交换机下面以VLAN10的为例配置DHCP地址池。HEXIN-5(config)#ipdhcppool10HEXIN-5(dhcp-config)#networkHEXIN-5(dhcp-config)#default-router54HEXIN-5(dhcp-config)#dns-serverHEXIN-5(dhcp-config)#exitHEXIN-5(config)#ipdhcpexcluded-address544.FTP配置这里为主公司的FTP服务器，如图4-5主公司FTP服务器配置。图4-5主公司FTP服务器配置FTP服务器只由主公司的技术部和行政部能够访问日志，分别分配的权限功能为RWDNL（Write、Read、Delete、Rename、List）、RW（Read、Write）。5.HTTP配置这里为主公司的HTTP服务器，如图4-6主公司HTTP服务器配置。图4-6主公司HTTP服务器配置公司的官网名字为XXXEnterprise，在后续的测试中可以体现。6.DNS配置这里为主公司的DNS服务器，如图4-7主公司HTTP服务器配置。图4-7主公司DNS服务器配置DNS服务器上面配置主公司内服务器群的HTTP服务器与相匹配；主公司内服务器群的FTP服务器与ftp：相匹配。7.IPSecVPN配置这里为主公司的zhuRouter路由器为例，如图4-8主公司zhuRouter路由器。图4-8主公司zhuRouter路由器主公司与分公司1之间采用的是IPSecVPN加密的方式进行通讯。具体配置如下：zhuRouter(config)#iproute//内网有一条通往ISP的默认路由zhuRouter(config)#cryptoisakmppolicy1//配置ISAKMP策略zhuRouter(config-isakmp)#encryption3deszhuRouter(config-isakmp)#hashshazhuRouter(config-isakmp)#authenticationpre-sharezhuRouter(config-isakmp)#group5zhuRouter(config-isakmp)#lifetime10000zhuRouter(config-isakmp)#exitzhuRouter(config)#cryptoisakmpkeyciscoaddresszhuRouter(config)#access-list100permitip5555//配置IPSec保护的感兴趣数据流zhuRouter(config)#cryptoipsectransform-setmysetesp-aesesp-md4-hmac//定义传输集zhuRouter(config)#cryptoipsecsecurity-associationlifetimeseconds1800zhuRouter(config)#cryptomapmymap1ipsec-isakmp//配置加密映射zhuRouter(config-crypto-map)#setpeerzhuRouter(config-crypto-map)#settransform-setmysetzhuRouter(config-crypto-map)#matchaddress100zhuRouter(config-crypto-map)#intse1/1/0//把应用加密映射到外网口zhuRouter(config-if)#cryptomapmymapzhuRouter(config-if)#exitzhuRouter(config)#access-list101denyip5555//配置PAT连接到外网zhuRouter(config)#access-list101permitip55anyzhuRouter(config)#ipnatinsidesourcelist101interfaceserial1/1/0overloadzhuRouter(config)#intse1/1/0//分别匹配inside与outside接口zhuRouter(config-if)#ipnatoutsidezhuRouter(config-if)#intrangef0/1-f1/0zhuRouter(config-if)#ipnatinside8.GRE配置这里为主公司的zhuRouter路由器为例，如图4-10主公司zhuRouter路由器。主公司与分公司2之间采用的是GRE方式进行通讯。具体配置如下：zhuRouter(config)#inttunnel1//建立tunnel隧道zhuRouter(config-if)#ipaddzhuRouter(config-if)#tunnelsourcese1/1/0zhuRouter(config-if)#tunneldestinationzhuRouter(config-if)#iproute//建立通往分公司2的网段zhuRouter(config)#access-list102denyip5555//拒绝掉IPSecVPN通往分公司1（/24）的流量zhuRouter(config)#access-list102denyip5555zhuRouter(config)#access-list102permitip55anyzhuRouter(config)#ipnatinsidesourcelist102interfaceserial1/1/0overload//配置PAT（二）企业网络测试本企业的网络拓扑图如图4-9所示。图4-9企业拓扑图1.DHCP测试配置PAT连接到外网。主公司、分公司1和分公司2的PC机都是采用DHCP自动获取IIP地址，但主公司是利用服务器进行自动获取IP地址，而分公司1与分公司2是采用三层交换自动获取IP地址。主公司PC机获取结果如图4-10主公司Z-PC0Configuration，分公司1与分公司2分别如图4-11分公司1F1-PC0Configuration、图4-12分公司2F2-PC0Configuration。图4-10主公司Z-PC0Configuration图4-11分公司1F1-PC0Configuration图4-12分公司2F2-PC0Configuration2.HTTP与DNS测试在上一小节中，我们知道与HTTP服务器IP地址相绑定的，这一条绑定信息记录在DNS服务器（）中，接下来我们以主公司的Z-PC0PC机进行测试。在Z-PC0中WebBrowser中输入，如图4-13Z-PC0HTTP与DNS测试-1。图4-13Z-PC0HTTP与DNS测试-1在Z-PC0中WebBrowser中输入，如图4-14Z-PC0HTTP与DNS测试-2。图4-14Z-PC0HTTP与DNS测试-23.FTP测试在上一小节中，我们知道FTP只由主公司的技术部和行政部能够访问日志，分别分配的权限功能为RWDNL（Write、Read、Delete、Rename、List）、RW（Read、Write）。行政部登录名xingzheng，登录密码xingzheng1；技术部登录名jishu，登录密码jishu1；具体测试结果如图4-15行政部FTP测试，图4-16技术部FTP测试。图4-15行政部FTP测试图4-16技术部FTP测试4.IPSecVPN测试在上一小节中，我们知道在主公司与分公司1之间，我们是以IPSecVPN的方式进行通讯交流的，我们通过主公司与分公司1之间的PC机进行互ping，查看在数据包在公网运输的过程中是否带有ESP封装的报文，如有ESP封装的报文，则代表已经将数据进行加密传输。主公司采用Z-PC0（）ping分公司1F1-PC0（），测试结果如图4-17IPSecVPN测试。图4-17IPSecVPN测试在测试中，在公网传输的报文中，可以查看到包中带有ESPHeader的头部包，证明在主公司与分公司1之间已经建立起IPSec隧道模式。5.GRE测试在上一小节中，我们知道在主公司与分公司2之间，分公司1与分公司2之间，我们都是以GRE的方式进行通讯交流的，我们通过主公司与分公司2之间的PC机进行互ping，查看在数据包在公网运输的过程中是否带有GRE封装的报文，如有GRE封装的报文，则代表已经将数据进行隧道传输。主公司采用Z-PC0（）ping分公司2F2-PC0（），测试结果如图4-18GRE测试。图4-18GRE测试（三）企业访问控制测试1.外网PC机测试在上一小节中，在外网中存在一台pc机，企业内无论是主公司还是分公司1和分公司2，都可以访问外网中的PC机（IP地址：），但是外网的PC机无法访问企业内任何设备。只是由于在各个公司的出口路由器上配置的PAT的结果。下面以主公司内的Z-PC0（）与外网PC机（）进行互ping，查看测试结果如图4-19Z-PC0ping外网PC机测试，图4-20外网PC机pingZ-PC0测试。图4-19Z-PC0ping外网PC机测试图4-20外网PC机pingZ-PC0测试2.外网PC机访问企业官网测试在上一小节中。由于在网络需求分析的时候提到，为了让网友们了解公司企业文化，外网PC机可以访问主公司的公网IP地址，从而访问到主公司内网的HTTP服务器（），通过WebBrowser与外网DNS服务器解析，也能够访问主公司绑定的地址网页。在主公司出口路由器上配置如下命令：zhuRouter(config)#ipnatinsidesourcestatictcp8080。下面进行测试，外网PC机访问主公司路由器公网IP地址（）与，如图4-21外网PC机访问企业官网-1，图4-22外网PC机访问企业官网-2。图4-21外网PC机访问企业官网-1测试图4-22外网PC机访问企业官网-2测试五、总结本次毕业设计的内容为企业网设计和实现，虽然在之前有过类似的课程设计的经验，但是在这次毕业设计中是比以往多提出了更多需