《依据公司园区网络的企业网络架构设计》13000字

PAGE依据公司园区网络的企业网络架构设计摘要随着Internet的进步和不断发展，互联网逐渐走进大众的视野和人们的生活，成为不可缺失的纽带。突如其来的疫情，更是加速了全世界互联网领域的发展。在疫情肆虐的大环境下，人们呼吁和提倡在家办公，这就更加要求了企业的网络拓扑设计能够满足于当下的需求，需要企业提供一个高效办公、业务稳定、信息实时传递的网络环境。企业要摆脱网络技术以及设备落后的局面，对于企业的发展有着至关重要的意义。网络的安全性、可靠性、稳定性，将直接影响到企业的长期发展和竞争力。本文以Drew网络公司为原型，依据公司园区的网络设计与实施方案，给出了企业网络架构的设计思路。公司采用了典型的局域网技术——以太网技术进行组网。在接入层划分VLAN,隔离各个部门设备之间的广播域和冲突域。在汇聚层配置PVST快速生成树协议，防止链路出现环路，并改善了普通的生成树协议链路利用率过低的特点。配置HSRP和链路聚合技术，来提供网络的冗余性和可靠性，增加网络带宽，提高设备运行时的容错率。在核心层配置EIGRP路由协议，使全网设备可以互通。并通过配置地址转换技术，在内网设备访问外网时，隐藏内网设备的源IP地址，防止网络攻击。通过访问控制列表，限制其他用户对公司内部信息网站的访问，保障公司信息的安全。本文首先对当今网络现状进行分析，介绍本文所使用的网络技术。然后根据公司业务需求，设计逻辑的拓扑结构并配置拓扑，最后对设计的功能进行测试，意在组建一个兼具高可用性与高安全性的企业网络。关键词：网络规划增强内部网关路由协议热备份路由协议企业网络目录TOC\o"1-2"\h\u第一章绪论 11.1项目背景 11.2项目意义 11.3国内外研究现状 11.4关键技术介绍 21.4.1VLAN技术 21.4.2EIGRP内部增强网关路由协议 21.4.3HSRP热备份路由协议 21.4.4链路聚合技术 31.4.5STP生成树协议 31.4.6ACL访问控制列表 31.4.7NAT地址转换技术 3第二章需求分析 42.1系统概述 42.2系统功能需求 42.3系统性能需求 52.4可行性分析 62.4.1技术可行性 62.4.2运行可行性 72.5开发环境 7第三章总体设计 83.1系统总体设计 83.2功能模块设计 83.2.1网络拓扑逻辑设计 83.2.2接入层详细设计 93.3网络地址设计 9第四章详细设计及实现 124.1网络配置的设计与实现 124.1.1网络拓扑设计 124.1.2接入层交换机的配置 134.1.3汇聚层交换机的配置 134.1.4核心层交换机的配置 154.2服务器的设计与实现 164.2.1DHCP服务器的配置 164.2.2WEB服务器的配置 174.2.3DNS服务器的配置 17第五章系统测试 185.1测试任务及目的 185.2测试计划 185.3网络功能测试用例 185.3.1VTP测试用例 185.3.2VLAN测试用例 185.3.3生成树测试用例 185.3.4HSRP测试用例 195.3.5链路聚合测试用例 195.3.6EIGRP测试用例 195.3.7ACL测试用例 205.3.8NAT测试用例 205.4服务功能测试用例 205.4.1DHCP测试用例 205.4.2WEB测试用例 205.4.3DNS测试用例 215.5测试结论 21结论 22参考文献 24附录 25PAGE17第一章绪论1.1项目背景在当前社会，随着Internet的不断发展，互联网所涉及到的领域也更加广泛，网络正在为各行各业带来巨大的变革和深远的影响。依靠网络形式组织起来的经济形态，是现代社会的主要生产方式和交换方式。从本质上来讲，这一切都是以网络技术为基础，借助计算机网络技术和路由与交换原理等，将网络进行科学缜密的规划设计，使网络世界畅通无阻，并且安全可靠。通过互联网，企业可以实现内部的管理和外部的宣传，互联网使用的范围越来越广泛，企业的网络化管理已然成为时代发展的必然趋势。设计和搭建企业网络，需要以实际情况来出发，以企业的内部结构和需求所对应的网络技术为基础，以企业的业务流量特点为重点，精密地规划企业网络结构，准确地部署符合条件的设备和技术，构造一个既安全可靠，又先进快速，满足企业长期发展的网络环境。区别于传统的组网技术，不仅仅只考虑到网络的可用性，还要从多方面专业的角度出发，充分考虑网络的安全性、稳定性、冗余性，以及可扩展性等等。对比各种网络协议的优劣势，各种设备的功能特点，避免简陋且不科学的网络构造而产生的数据风暴，将网络波动给企业造成的损失降到最低。让企业在最短时间内实现资源共享和信息交互，让员工们在高效稳定的网络环境中办公，提高整个企业的工作效率与生产动力。1.2项目意义互联网成长短短几十年，正在逐渐壮大和成熟，为我们的生活、工作方式带来了巨大的变革。互联网正在与传统行业相互融合，从而创造新的产业链。各个企业都在开展公司未来的网络建设，旨在促成公司的数字化信息建设。在技术高速发展的今天，人们不单单追求网络的“快”“可用”，更加在乎网络的“稳定”“安全”。将企业建设成一个数字化、智能化的“互联网+”模式，集高速高效、安全稳定的网络环境，和管理便捷、易于维护的网络系统为一体，设计出一个卓越的网络实施方案，满足企业信息化的需求，保障企业内部信息的保密性与完整性。为了能够支持企业的各大业务流量，采用性能较高的设备和链路，将故障率维持在一个可以控制的最低水平，从基础设施上来提高企业网络的稳定运行。保证给出一个兼顾高性能和高性价比的实施方案，建设一个操作管理便捷，业务流量安全平稳的办公环境。1.3国内外研究现状互联网发明于上个世纪的美国，初期更多地被使用在美国军方和科研机构，自从将其用于开展商业用途以来，发展迅速遍历世界各个地区。随着时间的推移，互联网已经逐渐融入到社会生活中的各个领域内，无论是在生活方式方面，还是在工作生产方面，无疑都为我们带来了前所未有的便捷。我国政府部门自八十年代将互联网引入国内后，便开始发展网络建设，经历了初期的探索和基础网络设施的建设阶段，到网络逐渐面向大众普及，再到如今网络世界繁荣发展的局面，我国的网络技术水平蓬勃发展，但无论从基础设施的建设，还是网络协议的掌握，距离美国等发达国家还有不小的差距。欧美国家在发展初期便重视起企业局域网的建设，随着网络水平发展的愈发成熟，技术细节不断优化，企业内部的局域网架构，已经具备大带宽、低延时等特性。多数企业拥有内部独立的网站，并且具有非常好的安全防护体系，极具网络安全的意识。相比而言，国内的大多企业，均与其存在明显的差距，网络建设亟待加强。差距主要体现在多个方面：网络设备不够先进，或者拥有先进的设备却无法使其发挥其应有的性能；网络地址规划的不够科学，杂乱且不连续，容易影响设备的维护难易程度和排障速度的时效性；网络容错率较低，没有充分考虑到核心设备故障后带来的后果，没有其他的备份设备进行额外支持；安全性能有待提高，企业内部的核心数据需要较高的保密性，这需要多种安全技术的加持才能得以实现。解决好这些问题，才能给中国企业的网络带来最大限度的优化。1.4关键技术介绍1.4.1VLAN技术VLAN是指在普通局域网的架构上，形成跨越地理位置和不同网段的逻辑子网。交换机设备有且仅有一个广播域，分割其广播域从而形成多个逻辑上的广播域，每个VLAN对应一个逻辑广播域。它可以无视地理环境的限制，所处不同位置的计算机均可以被归类到同一VLAN内，进而形成网络上的组织结构。VLAN服务于OSI模型的二、三层，划分VLAN后，能够将每个VLAN的广播风暴控制在其内部，广播风暴不会转发到其它的VLAN中去，既缩小的网络风暴影响的范围，又方便了网络设备之间的管理。与此同时，也阻止了所处在不同VLAN的设备之间的互通，需要通过开启设备的三层功能来实现。1.4.2EIGRP内部增强网关路由协议EIGRP是一种同时兼具链路状态和距离矢量行为特点的专有路由协议，采用的计算方式为弥散修正算法，来进行决策过程中的所有路由计算，从而实现网络的建立，并确保没有路由环路。EIGRP选取带宽、延时、负载、最大的传输单元和可靠性五项数据点来进行运算，综合考量每条链路上的代价，选择最优的路径加载到路由表中。EIGRP与其他路由协议最大的区别，即支持不等价的负载均衡。当到达相同的网络地址有多条路径时，可以通过配置不等价的负载均衡，使数据包通过多条代价不同的链路进行转发。1.4.3HSRP热备份路由协议HSRP协议是思科研发的专有技术，即只能在思科设备上使用。通过将多台三层设备组建成一个“活跃备份组”，虚拟出一个虚拟的IP地址和虚拟的MAC地址，形成一个虚拟的网关设备。这个组内有且只有一个设备是活跃状态的，其它均为备份状态，并由该设备进行流量的转发。HSRP使组内的设备互相监听对方的运行状态，当活跃的设备流量中断或发生故障时，主动将流量切换到备用的设备上，并改变状态成为活跃设备。HSRP减少了设备故障造成的中断时间，因为主机的网关始终没有发生改变，完美解决了设备切换的问题。1.4.4链路聚合技术端口聚合技术是将两台物理设备之间，通过光纤或其他传输介质进行互联的多条连线，在逻辑上绑定为一条链路，带宽为绑定链路的带宽之和。逻辑链路通过网络五元组：源网络地址、目的网络地址、源局域网地址、目的局域网地址、端口号，来实现流量负载均衡的转发方式。同时端口组内，被绑定的各个端口之间互为备份，即只要在某一时间段内有一条链路正常运行，其余任意的链路中断，都不会对流量的转发造成影响。1.4.5STP生成树协议生成树协议通过阻塞设备上指定的端口，来实现网络流量的冗余，同时还消除了二层数据帧的环路，阻止了报文不断地转发，从根本上抑制了网络风暴的产生。同时还兼具链路的备份功能，当线路发生故障时，通过将阻塞端口激活，恢复网络的连通性。目前，已经将普通的生成树改良为PVST，即每个VLAN形成一个独立的树，并被广泛使用。彻底解决了链路有效利用率低的问题，将不同VLAN的根桥放置于不同的汇聚层设备上，实现流量的分担，提高了链路的利用率。1.4.6ACL访问控制列表访问控制列表，通过将配置管控数据包行为的指定，并使其作用在设备的端口上。通过指令合集构成的列表，来限制经过这台设备的流量行为。访问控制列表是一种数据报文过滤技术，通过匹配数据报文中的第三、四层信息，即源网络地址、目的网络地址、具体协议名称等信息，规定好需要执行的动作，以此进行数据流量的控制和过滤，对资源的访问进行限制。1.4.7NAT地址转换技术地址转换技术，诞生在IPv4公有地址池枯竭的背景下，因无法再为Internet用户提供新的网络地址，而研发出的技术。NAT技术被广泛的应用于各种接入Internet的网络设备中，它可以将内网的私有地址转换为外网的公有地址，基于端口的复用还可实现一对多的地址转换。不仅为网络地址日益贫瘠的状况，提供了有效的解决办法。还将公司内网的网络地址进行了隐藏，避免受到外网攻击，保护了内网主机的安全。

第二章需求分析2.1系统概述Drew网络公司设有一名总裁，负责监督公司。一名副总裁，负责协调下属部门之间的关系。四个下属部门，每个部门都设有一名主管。根据公司的各个部门职能的实际情况，主要划分为四个模块：管理部门、技术服务部门、财务部门、人事部门。管理部门：管理员工工作的部门，负责管理公司日常的各个方面，以及法律事务等。技术服务部门：负责企业及客户的网络连通和信息安全，以及对办公系统的硬件和软件维护，是企业的核心力量。财政部门：负责公司的固有资产管理，并确保账目流水清晰无误，并对公司所有运营的项目起到实时监控作用。人事部门：负责公司的人力资源调动，它管控与工作人员有关的程序和纪律，例如征聘、组织培训、统计出勤率、维持工作纪律等。公司内部组织架构图，如图2-1所示。公司职员组织架构公司职员组织架构总裁总裁副总裁副总裁技术服务部财务部人事部管理部技术服务部财务部人事部管理部图2.1公司组织内部结构图2.2系统功能需求人事部同事和技术部工程师的计算机需要传输和处理大量语音、邮件、图片、视频等信息。随着员工和客户更多地投入使用手机和无线设备，企业需要提供一个稳定的无线办公环境，以满足有线和无线互联网互相融合的需求。对于企业的重要领域，需要一个网络架构，使其既包括网络连接的冗余机制，又包括网络系统的更大可靠性。网络需要设计出一个良好的安全防护策略，以防止来自外部的恶意攻击和内部网络问题对企业业务造成损害。针对企业提出的带宽需求，通过分析网络的架构，基于公司采用的热备份双核心的网络结构，为了保证带宽能够匹配设备的速率，将千兆以太网技术作为第一选择，才可满足公司带宽的需求。运营商网络通过千兆以太网交换机连接到公司骨干网，交换机下联端口通过百兆光纤连接到桌面的计算机，保证企业员工桌面的带宽足够员工的日常办公。同时为有线和无线网络提供全方位的支持。确保企业拥有高效、迅速、优越性能的网络环境，改善员工的生产力。公司拥有自己的万维网服务器和域名解析服务器，内部网络用户可以通过登录相应的域名，来访问公司内部的资源网站；为了使配置IP地址更加容易，减少手动配置容易出错的风险，公司所有部门的计算机均使用DHCP服务器自动获取IP地址，并且服务器地址池中的IP地址数量要满足今后的可持续发展，必须能够支撑公司的长期发展。网络设备需要使用冗余备份的HSRP等技术，即为网络系统构建备份系统，以降低链路的故障率。必须在核心交换机上制定访问控制列表和地址转换等策略，以确保内部信息的安全，并限制移动端用户访问内部信息网站。在网络的设计和实施阶段，选定的设备和采取技术的工序，必须符合国家的相关标准，提供一个稳定运行的网络办公环境。2.3系统性能需求公司设备在运行时，系统的性能要保持在较高的水平，要以确保业务平稳运行的方式，设计生产网络。考虑到设备之间连接的可靠性，为确保设备的质量和长时间稳定运行，建议购买更稳定的设备以提高其使用可靠性。网络协议以TCP/IP协议为基础，交换机和路由器等设备，则使用已经建立且享有很高声誉的CISCO厂商设备，并购买CISCO的售后技术服务进行维保。网络宽带使用运营商的专用固定IP业务（千兆光纤）来满足当前和将来数据传输的速率需求，合理分配带宽并确保有效地进行信息交换。另一方面，通过HSRP技术设定计算机的三层网关，将双核心的路由器投入运行，在活跃设备出现故障的情况下，立即将其替换为备份设备，以此保障设备的运行。这对系统性能的提升是必不可少的，可以大大地提高整体可靠性。借助端口汇聚的技术，既可以确保汇聚层设备的链路冗余，又可以将多个链路的带宽合而为一，增加逻辑带宽，从而提供了一种有效的链路备份机制。网络的安全性能也相当重要。业务网络需要完善网络安全的解决方案，以便网络问题不会损害公司的利益，或对业务造成不可逆的影响。欧盟委员会就此发布了有关电信网络和服务安全的绿皮书。因此，在设计网络接受度时，必须将DHCP，DNS和WEB等服务器与互联网分开来，以避免造成信息的泄漏。当外部网络设备与内部网络设备进行通信时，内部网络设备的安全性可能会受到影响，同时透过网络间的传播，同一网络内的许多其他系统也会遭受影响。主要是通过配置NAT策略（将本地局域网的地址转换为互联网的公用地址）防止非法用户读取网络地址信息，来确保防范网络攻击；并实施访问控制策略，过滤移动端用户通过无线设备，访问内部管理站点的请求，从而确保内部信息的机密性，并进一步提高企业网络以及数据的安全。2.4可行性分析2.4.1技术可行性部署公司网络使用的技术要满足公司需求的可行性，根据Drew网络公司的业务需求分析，拟选用技术包括：VLAN、EIGRP、HSRP和端口聚合等，具体原因如下：（1）鉴于公司提出的网络连通性要求，公司采用内部独立的DHCP服务器，通过DHCP服务将网络地址分配给每个员工，以便机房管理员集中管理和规划地址。然后使用VLAN技术将各个部门的设备隔离开来，每个部门的设备都位于其自己专属的网段上。（2）选用EIGRP协议进行开发的可行性：EIGRP协议在选择路径的计算中要对网络的带宽速率､网络传播时延､信道的占用率、信道的可靠度和传输单元大小等因素作全面的评估考虑,所以EIGRP路径条目的计算更为准确,更能反映网络的实际情况。同时与传统的路由协议相较而言，EIGRP协议还支持数据包在多条不同代价的路径中传输,对数据包进行负载平衡。占用较少的带宽资源。配置EIGRP协议的设备之间，会周期性地互相发送侦测报文,以此来确认其它设备是否存活，保证网络的有效性。设备之间的路由邻居成功建立后，路由条目只有在更新时才会被发送。更新报文总是采取可靠的方式发送,将信息传递给需要的设备，如果设备没有收到更新报文，则会重新传输,直至确认。EIGRP协议还可以对发送的报文进行数量控制，减少对网络带宽的过度使用，从而防止流量激增对设备处理器和内存使用率造成的影响。快速收敛。EIGRP协议的路由计算方法为DUAI算法，通过代入多种度量值进行计算，形成一个无路由环路的逻辑拓扑。使网络在保障不会产生路由黑洞的前提下，进行最可靠的快速收敛。并且在路由邻接关系成功建立之后，只有当路由条目发生变更时，拥有此条路由信息的设备，才会使用DUAL算法对路由条目进行重新计算。（3）选用HSRP协议的可行性：两台设备之间通过HSRP协议构建一个虚拟网关组，来实现网关的冗余备份。HSRP协议的功能强大在于，当其中任意一台设备宕机后，或当设备的上联接口断开后，流量会在转瞬之间切换到其余设备上，用户在感知上察觉不到流量路径的变更，对公司业务毫无影响。HSRP协议可以虚拟多个网段的网关组，配合VLAN技术的使用，可以帮助公司众多部门的计算机实现网关冗余，从根本上解决了网络可靠性的问题。（4）选用端口聚合协议的可行性：将网络设备上的任意个物理端口，模拟捆绑在一个管道下。该管道是逻辑上的端口组，可以将被绑定的各个物理端口的带宽结合，带宽的累加值作为管道的带宽。绑定多个端口后，通过配置特定的负载均衡方式，来指定转发数据流的设备端口，合理分配业务流量。网络设备的选择也要具备可行性：网络的稳当性至关重要，网络设备的品牌要首选Cisco厂商，其产品稳定，产品线众多，功能特性丰富，芯片处理能力强劲。并且Cisco的技术服务支持能力，全球范围内数一数二；维保换件的时效，最快可在当日送达，为公司网络设备的正常运行提供了可靠的保障。意在资金一定的情况下，选择性能最高的设备为公司组建网络。技术人员相应水平的可行性包括：需要员工深刻理解网络基本概念，例如OSI七层模型、TCP/IP协议、VLAN、WLAN协议、以及各种路由协议、NAT转换技术等。要求熟悉Cisco产品，会对公司采购的交换机和路由器进行配置，不熟悉的设备能够独立查资料学习配置；熟悉Cisco设备的一些专用技术，例如EIGRP、PVST、HSRP等技术。能够负责公司网络设备的连接和网络系统的运维，负责规划和完善网络的结构和逻辑拓扑，并做好相应的资料记录和整理工作。掌握网络设备的实际运行情况，以便发现故障时，进行迅速地定位；掌握与运营商网络的对接情况，定期关注公司网络的质量；实时管控公司员工电脑的流量，防止员工上班期间偷干私活。2.4.2运行可行性本项目的企业网络设计方案，解决了传统园区网建设的绝大部分问题，具有良好的运行可行性，具体包括：（1）网络架构规划的较为整洁，链路搭建十分科学，并且有利于公司的未来扩张和维护管理。网络进行科学化的分层次管理，统一管理各个部门的计算机，网络的逻辑拓扑图思路清晰，简明易懂。为网络系统的运维和管理，带来了很多便捷之处。（2）网络的规划可靠且合理，不浪费企业的建设投资。设备采取动态备份的冗余机制，从根本上排除了单一的网络设备故障，而导致网络中断的可能性，保证了企业的生产和业务有效进行。并且没有造成网络的冗余过盛、合理的利用了公司资源，避免出现盲目投资的现象。（3）网络信息传输安全。网络安全是企业网络的重要需求之一，传统网络中的安全策略较少，根本无法应对网络攻击者的恶意破坏。并且使用公司网络的用户较多，其中还包含一些无线用户，需要通过生成树等二层技术的特性，对用户设备的接入起到限制作用，同时在网络层制定安全策略，来提升网络的隐蔽性。（4）网络满足公司业务的长期发展。随着公司的不断发展，公司业务的日益增长，企业规模也逐渐壮大，在网络层面上不断地涌现出了新兴的需求。例如：移动端的不断增加，需要公司支持全覆盖的WLAN等技术，来提供移动办公的能力等。企业网络建设要有效地满足这些增值业务的需求，解决企业网络重复建设，浪费投资的状况。（5）技术人员的工作能力和经验水平要处于较高水准。运维人员对故障解决的有效程度，定位问题的精准程度，可以最大程度上减少网络运维的压力，以及网络业务中断后无法及时恢复等状况的发生。工程师可以通过观察设备的指示灯和命令行界面弹出的异常日志，来实时监控网络环境的健康程度。2.5开发环境为了更好的实现系统功能，本系统采用了CiscoPacketTracer模拟器。该模拟器是由Cisco公司专门研发，为初次接触网络技术的人员准备，可以使用模拟器进行网络拓扑的设计、规划、搭建、配置等，可以模拟数据包的传输，以及业务流量的转发。PacketTracer模拟器使用图形化界面，观看清晰，操作便捷，功能却又十分强劲。操作者可以直接在模拟器上搭建公司的拓扑，通过发送数据包，模拟公司网络的运行情况。

第三章总体设计3.1系统总体设计公司网络的设计思路清晰，架构划分明确，分别由用户接入层、边缘汇聚层和核心交换层构造而成。各个部门的用户将计算机等终端设备连接至接入层的设备，接入层的设备再通过冗余链路，连接至汇聚层的设备，最后通过核心层设备将各个骨干网络相连接，经过公司的出口设备通向运营商的Internet。接入层的设备，为了将公司的终端设备按照各个部门的真实情况进行划分，应配置VLAN相关的技术，为每个部门创建一个独立的广播域，将其冲突域封锁在自身内部。由于公司购有大量的计算机、服务器、打印机等终端设备，手动调配网络地址的方式已然不能成为首选方式，需采用高效的DHCP技术，从服务器的网络地址池中自动分配网络地址。公司还在休息区建立了良好的无线上网环境，用户可通过登录WIFI接入网络，实现网上冲浪等操作。汇聚层的设备，使用生成树等二层技术，避免流量环路的产生。使用端口汇聚技术，从逻辑上加大设备之间的网络带宽。使用网关热备份的机制，避免由于公司的主设备故障造成的业务中断等问题，并可以使设备之间灵活的切换。核心层的设备，使用EIGRP专有的路由协议，配置在公司网络的中枢设备中，实现公司全部设备间的互通。由于公司的网站服务器存放着所有员工的信息，为了防止游客通过WIFI连入造成信息泄密，在R3路由器上配置ACL列表，限制无线网络用户对网站服务器的登入和访问。在出口设备配置NAT技术，隐藏公司内部私有的IP地址，并做到对外部公有的IP地址映射，严格保护信息的安全。3.2功能模块设计3.2.1网络拓扑逻辑设计本公司为一栋4层楼的办公写字楼，一层楼为休息区，二层楼为财务部和技术服务部的办公场所，三层楼为人事部和管理部办公场所，四层楼为中央机房。各个楼层之间的设备，按拓扑图实施连接，最终接入至运营商的网络入口。网络拓扑图如图3.1所示。IInternet出口路由器核心层核心层二楼核心层四楼汇聚层二楼核心层四楼汇聚层三楼汇聚层一楼汇聚层接入层服务器设备接入接入层人事部、管理部接入层服务器设备接入接入层人事部、管理部接入层财务部、技术部接入层无线用户设备接入图3-1网络拓扑图3.2.2接入层详细设计公司各个部门有着不同的职责，各自的计算机等终端设备，通过接入层的设备连接至中枢核心网络，具体情况如图3-2所示。接入层接入层休息区人事部管理部财务部休息区人事部管理部财务部技术部中心机房中心服务器网络技术支持无中心服务器网络技术支持无线WIFI用户维护工作纪律人员调度固定资产管理图3-2接入层详细设计3.3网络地址设计本段用于描述公司各个部门的网段规划。公司的每个部门都需要根据具体人数来规划IP地址的数量，并保留一定量的地址数，为公司未来的扩招预留足够大的空间。每个部门对应一个唯一的网络地址段和VLAN号，该字段要始终保证唯一性，部门之间不可重复使用。（1）VLAN及IP地址划分将公司各个部门进行相应的网络地址规划，具体包括VLAN号、网络地址、网关等信息，具体如表3-1所示。表3-1VLAN及IP地址规划部门名称VLAN名称IP地址范围网关备注财务部VLAN10/2454二楼技术服务部VLAN20/2454二楼人事部VLAN30/2454三楼管理部VLAN40/2454三楼休息区VLAN1/2454一楼中心机房VLAN1/2454四楼（2）设备管理地址划分公司网络内的终端设备都通过光纤等介质，直接或间接地连接到接入层的设备。三层设备的每一个端口，在其连接的逻辑子网当中，都起到网关的作用，为底层流量指明出方向。为了方便管理和易于记忆，在配置网关的IP地址时要富有规律，三层设备端口IP地址的主机号，均置位为“1”；当同一网段内有且仅有两个设备相互连接时，这两台设备端口IP地址的主机号，分别置位为“1”和“2”。对公司的二层交换机、三层交换机、路由器等设备的端口进行了IP地址规划，具体如表3-2所示。表3-2设备管理地址规划设备名称端口名称IP地址/掩码长度SW0G0/1/30F0/1/30F0/2/30G0/2/30R2F0/0/28F0/1/28F1/0/30R3G0/1.30/24G0/1.40/24G0/2/30G0/0/28R4F0/0/30F0/1/24ISPG0/1/28G0/0/30SW3-1F0/1/28F0/6/24—VLAN10SW3-2F0/1/28—VLAN20SW2-1F0/10-11VLAN10SW2-2F0/10-11VLAN20SW2-3F0/3VLAN30F0/4VLAN40SW2-4F0/3VLAN30F0/4VLAN40

第四章详细设计及实现4.1网络配置的设计与实现4.1.1网络拓扑设计按照公司的需求设计园区的网络拓扑，实现公司内网对Internet的访问，具体规划如下：（1）接入层在SW1上创建Vlan10，在SW2上创建Vlan20，并且将财务部划分进Vlan10，将技术服务部划分进Vlan20。在SW4、SW5上分别创建Vlan30和Vlan40,将人事部划分到Vlan30，将管理部划分到Vlan40。（2）汇聚层在MSW0和MSW1上配置生成树协议，防止环路；配置链路聚合协议和HSRP热备份路由协议，增加带宽，提高链路的冗余性。在R3上配置单臂路由，为Vlan30、Vlan40提供网关。并在所有汇聚层设备上，使用EIGRP路由协议，使楼层之间的设备互通。（3）核心层设备启用EIGRP路由协议，形成全网设备的互联。出口路由器配置NAT技术，保障Vlan10财务部的设备信息安全。在R3上配置ACL访问控制列表，保障内部网站服务器的网络安全。公司网络的整体拓扑设计，如图4-1所示。图4-1网络拓扑设计4.1.2接入层交换机的配置（1）配置VTP和VLAN将交换机SW3-1的VTP模式设置为服务端，实现对VLAN的统一添加和删除等管理，设置VTP的域名为123，密码也为123。并将交换机SW3-2、SW1和SW2配置为VTP的客户端，域名和密码与服务端相同，均为123，保证VLAN配置的统一性。Sw3-1(config)#vtpmodeserverSw3-1(config)#vtpdomain123Sw3-1(config)#vtppassword123Sw3-2(config)#vtpmodeclientSw3-2(config)#vtpdomain123Sw3-2(config)#vtppassword123创建相应的VLAN，并将各个交换机之间互联的链路设置为TRUNK主干道模式，即可以允许多个VLAN的访问。Sw3-1(config)#vlan10Sw3-1(config-vlan)#vlan20Sw3-1(config)#intrangef0/2-5Sw3-1(config-if-range)#switchporttrunkencapsulationdot1qSw3-1(config-if-range)#switchportmodetrunk将交换机与计算机互联的链路设置为ACCESS访问模式，再将计算机划分至各自部门所对应的VLAN内，交换机SW2-1和SW2-2同理。Sw2-1(config)#intrangef0/10-11Sw2-1(config-if-range)#switchportmodeaccessSw2-1(config-if-range)#switchportaccessvlan104.1.3汇聚层交换机的配置（1）配置生成树协议通过调节生成树的优先级，将交换机Sw3-1设置为VLAN10的根桥，VLAN20的次根桥。Sw3-2的配置与之相反，将VLAN20设置为根桥，VLAN10设置为次根桥。通过堵塞交换机端口，使每个VLAN的流量形成一个树状的路线，在交换机之间的默认路线只有1条，防止环路的发生。Sw3-1(config)#spanning-treevlan10priority0Sw3-1(config)#spanning-treevlan20priority4096（2）配置HSRP热备份协议通过配置HSRP协议，指定一个虚拟的IP网关，形成活跃路由器和备份路由器。使Sw3-1为VLAN10的活跃路由器（优先级高的为主），为VLAN20的备份路由器，指定VLAN10的虚拟IP地址为，VLAN20的虚拟IP地址为，开启抢占机制和端口追踪，定期检查端口的活跃状态，交换机Sw3-2与Sw3-1的配置相反。Sw3-1(config)#intvlan10Sw3-1(config-if)#ipaddSw3-1(config-if)#standby1ipSw3-1(config-if)#standby1priority110Sw3-1(config-if)#standby1preemptSw3-1(config-if)#standby1trackf0/1Sw3-1(config-if)#intvlan20Sw3-1(config-if)#ipaddSw3-1(config-if)#standby2ipSw3-1(config-if)#standby2preemptSw3-1(config-if)#standby2trackf0/1（3）链路聚合协议将连接交换机SW1和SW2的f0/2和f0/3端口,通过配置PAGP协议将以太网链路进行捆绑，端口模式设置为Desirable来主动发起协商，进入绑定后的新端口，将链路设置为TRUNK模式，可以增加链路的带宽，交换机SW3-2的配置同理。Sw3-1(config)#intrangef0/2-3Sw3-1(config-if-range)#channel-protocolpagpSw3-1(config-if-range)#channel-group1modedesirableSw3-1(config)#intport-channel1Sw3-1(config-if)#switchporttrunkencapsulationdot1qSw3-1(config-if)#switchportmodetrunk（4）配置单臂路由在路由器R3上配置单臂路由，通过在路由器的接口下配置逻辑子接口的形式，实现不同VLAN之间的相互通信。首先开启路由器的母接口，再进入子接口，用dot1Q协议封装子接口，最后配上端口的IP地址。R3(config)#intg0/1R3(config-if)#noshutdownR3(config-if)#intg0/1.30R3(config-subif)#encapsulationdot1Q30R3(config-subif)#ipaddR3(config-subif)#intg0/1.40R3(config-subif)#encapsulationdot1Q40R3(config-subif)#ipadd4.1.4核心层交换机的配置（1）配置EIGRP路由协议在核心交换层设备上配置EIGRP路由协议，以Sw0为例，配置进程号为100的EIGRP路由协议，关闭自动汇总，宣告直连的网段，其他使用EIGRP协议的路由器配置同理。Sw0(config)#routereigrp100Sw0(config-router)#networkSw0(config-router)#networkSw0(config-router)#networkSw0(config-router)#networkSw0(config-router)#noauto-summary（2）配置ACL访问控制列表在R3路由器上配置编号为100的扩展ACL访问控制列表，阻止无线用户对公司内部WEB网站的访问行为，允许其通过WIFI访问外网的资源，限制作用在路由器入方向上的g0/0端口。R3(config)#access-list101denytcp5hosteqwwwR3(config)#access-list101permitipanyanyR3(config)#intg0/0R3(config-if)#ipaccess-group101in（3）配置NAT地址转换在出口路由器ISP上配置编号为1的标准ACL访问控制列表，创建一个可用于被转换的内部地址列表，网段为财务部的IP地址网段。再创建一个转换后被使用的外部地址池，地址池名为NAT，地址范围为-10，子网掩码为40，把内部地址列表和外部地址池的作用域进行匹配，作用在g0/0、g0/1端口上，使财务部的计算机访问外网时，将其IP地址进行隐藏。ISP(config)#access-list1permit55ISP(config)#ipnatpoolNAT0netmask40ISP(config)#ipnatinsidesourcelist1poolNAToverloadISP(config)#intg0/1ISP(config-if)#ipnatinsideISP(config-if)#intg0/1ISP(config-if)#ipnatoutside4.2服务器的设计与实现4.2.1DHCP服务器的配置根据公司内的IP地址规划情况，在DHCP服务器上创建相应的DHCP地址池，包括网段、子网掩码、DNS地址、以及网关等信息。如图4-2所示，分别为各个部门创建了相应的地址池。以财务部为例，IP地址分配的网段为，子网掩码为，地址池内首个IP地址设置为/24，末位IP地址设置为54/24，网关地址设置为/24，DNS服务器地址设置为，具体设置如图4-2所示。图4-2DHCP服务器配置信息4.2.2WEB服务器的配置在公司的网站服务器上配置WEB服务，以服务器的IP地址作为网站的IP地址，并设置网站的内容。如图4-3为例，本项目不过多要求网站的规模，仅简单设置登陆后的个性化信息即可。图4-3WEB服务器配置信息4.2.3DNS服务器的配置在DNS服务器上配置域名解析服务，为公司提供网站域名的解析功能。服务器保存着主机的域名和其IP地址的对应关系，可以通过输入域名，来访问对应的网站。如图4-4所示，在“Name”栏中键入域名，设置域名为。在“Address”栏中输入网站所相应的IP地址。通过建立正向查找和方向查找指针，来实现域名的解析。图4-3DNS服务器配置信息

第五章系统测试5.1测试任务及目的系统测试的主要任务是探究系统环境运行的稳定性，相关技术配置的准确性，是否达到了项目的预期计划，以及是否需要进一步提升项目质量。系统测试的主要目的是在模拟环境下，成功搭建出公司真实的网络环境，并实时观察整个网络的运行情况。可以在项目施工前，就排除网络存在的各个隐患。5.2测试计划我们通过运行相应的命令，对系统进行测试、调试。可以通过显示出的结果，判断技术的运行是否成功。常用的测试命令有：showiproute、showspanning-tree、showipstandby等等。5.3网络功能测试用例5.3.1VTP测试用例在三层交换机上通过showvtpstatus命令查看VTP配置，结果如表5-1所示，SW3-1成功设置为VTP的服务端，SW3-2及其他交换机成功设置为VTP的客户端。表5-1VTP配置测试表设备名称状态域名密码测试结果SW3-1Server123123成功SW3-2Client123123成功SW1Client123123成功SW2Client123123成功5.3.2VLAN测试用例在交换机上通过showvlan命令查看vlan的划分，如表5-2所示，成功创建VLAN10、20、30、40，在其他交换机上测试方式同理。表5-2VLAN配置测试表设备名称VLAN测试结果SW3-1、SW3-2、SW1、SW2VLAN10、20成功SW4、SW5VLAN30、40成功5.3.3生成树测试用例在三层交换机SW1中通过showspanning-tree命令查看生成树配置，如表5-3所示，VLAN10的RID（根桥ID）为10，BID（非根桥ID）为10（优先级加上VLAN号），cost值为19，PID(PortID)为128.5等，VLAN20同理。表5-3生成树配置测试表设备名称VLAN根桥状态测试结果SW3-1VLAN10主根成功VLAN2O次根成功SW3-2VLAN1O次根成功VLAN2O主根成功5.3.4HSRP测试用例在三层交换机中通过showstandbybri命令查看HSRP协议配置结果，如表5-4，6.13所示，VLAN10在HSRP组1当中，当前是活跃路由器，备份路由器为。VLAN20在HSRP组2当中，当前是活跃路由器，备份路由器为。表5-4HSRP配置测试表设备名称VLAN活跃状态测试结果SW3-1VLAN10活跃路由器成功VLAN2O备份路由器成功SW3-2VLAN1O备份路由器成功VLAN2O活跃路由器成功5.3.5链路聚合测试用例在三层交换机中通过showethsummary命令查看链路聚合配置，如表5-5所示，交换机的F0/2和F0/3已经成功绑定为Po1端口，协议为PAGP，模式为被动。表5-5链路聚合配置测试表设备名称VLAN模式测试结果SW3-1F0/2、F0/3Desirable成功SW3-2F0/2、F0/3Desirable成功5.3.6EIGRP测试用例在核心设备Sw0通过showiproute命令查看路由表信息，如表5-6所示，成功收到其他设备的路由信息，其他路由器同理。表5-6EIGRP配置测试表设备名称关键的路由条目路由协议测试结果SW0/24EIGRP成功/24EIGRP成功/24EIGRP成功/24EIGRP成功/24EIGRP成功5.3.7ACL测试用例在无线设备上通过WWW访问公司内部信息网站，如表5-7所示，访问外网时，访问成功；访问内网网站时，访问超时，访问控制列表配置成功。表5-7ACL配置测试表设备名称访问网站测试结果无线设备PC4成功失败5.3.8NAT测试用例使用财