马上注册,结交更多好友,享用更多功能,让你轻松玩转社区。
您需要 登录 才可以下载或查看,没有账号?立即注册
x
摘要
本文针对广东数维网络技能有限公司的网络体系进行了全面的操持和优化。研究内容包罗网络架构的合理规划、数据传输的高效性、体系的安全性以及网络管理的便捷性。通过采用先辈的网络技能,如VLAN和OSPF,实现了网络资源的动态分配和灵活扩展。同时,本文还提出了一套综合的网络安全策略,以抵抗日益复杂的网络威胁。
关键词:网络操持,VLAN,OSPF,网络安全,网络威胁。
Abstract
This paper presents a comprehensive design and optimization of the network system for Guangdong Shuzi Network Technology Co., Ltd. The research covers the rational planning of network architecture, the efficiency of data transmission, the security of the system, and the convenience of network management. By employing advanced network technologies such as VLAN and OSPF, dynamic allocation and flexible expansion of network resources are achieved. Additionally, this paper proposes a set of integrated network security strategies to counteract the increasingly complex network threats.
目录
1 弁言
1.1研究背景
1.2研究意义
1.3国表里应用现状
1.4研究目标
1.5论文结构
1.6本章小结
2 需求分析
2.1网络现状分析
2.1.1公司简介
2.1.2公司网络现状
2.2业务需求分析
(1) 客户组织环境
(2) 项目覆盖范围
(3) 项目工程界限
(4) 项目功能界限
(5) 网络扩展需求
(6) 网络可用性与可靠性需求
2.3应用需求分析
2.3.1应用类型
2.3.2应用访问分析
2.4拓扑结构分析
2.5本章小结
3 公司逻辑网络操持
3.1逻辑网络团体操持
3.2网络拓扑图
3.3 IP地址与VLAN划分
3.4关键技能
3.4.1 OSPF
3.4.2 MSTP
3.4.3链路聚合
3.4.4 VRRP
3.4.5 DHCP
3.4.6无线网技能
3.5本章小结
4 公司物理网络操持
4.1综合布线体系
4.1.1信息点统计
4.1.2修建群子体系
4.1.3干线子体系
4.1.4配线子体系
4.1.5工作区子体系
4.2设备选型
4.3本章小结
5 网络操持实现
5.1网络实现概述
5.2网络基础配置
5.2.1接入层互换机配置
5.2.2汇聚互换机配置
5.2.3焦点互换机配置
5.3 MSTP与VRRP配置
5.4 OSPF配置
5.5无线接入器配置
5.6防火墙配置
5.7 DHCP配置
5.8 ACL配置
5.9本章小结
6 网络测试
6.1 DHCP测试
6.2局域网连通测试
6.3 MSTP与VRRP测试
6.4 OSPF测试
6.5无线接入器与接入点测试
6.6本章小结
7 总结
参考文献
1 弁言
1.1研究背景
随着2020年4月新基建的提出和规范的确定,2020年8月《关于加快推进国有企业数字化转型工作的关照》,2021年3月《“十四五”规划和2035年远景目标纲要》,2022年8月《关于开展财务支持中小企业数字化转型试点工作的关照》中明确了各行业都在做数字化的转型。当企业对于提高生产率、提拔工作效率的逐步重视,老旧的企业网架构在承担企业新业务新应用上面对着巨大的挑衅。
本文以广东数维网络技能有限公司为背景,在网络设备尺度上,由于早期网络协议规范不完善且硬件尺度较低,在实际使用中存在设备效率低,企业互联网出口实际不足百兆,桌面PC接入网速率低的问题;其次,企业网建设初期时,对网络IP规划混乱、没有划分VLAN,导致存在网络管理维护繁琐低效,局域网内广播包泛滥的问题;末了,安全规划的缺失,对企业生产资料、机密数据、公司职工个人信息等带来了肯定的隐患。
随着企业业务规模扩增,网络负载居高不下,无法服务潜在的新业务。为满意企业进一步发展的必要,必要对网络架构重新操持,以满意公司员工办公及企业生产必要。
1.2研究意义
广东数维网络技能有限公司企业网首次建设时,出于性能价格比与现实原因,其时选择了普遍应用的内网焦点为1000M以太网,PC接入网为100M以太网,因特网出口为50M以太网,其时足以满意整个企业的网络使用。随着公司自身信息化建设、业务流日益丰富、上网终端更新迭代、终端数量爆发式递增,公司原有的网络链路已成瓶颈。另一方面,现网设备已连续运行时间高出8年,设备维保愈发困难。
此次针对广东数维网络技能有限公司的网络规划操持将充实思量当前基础网络、无线网络的使用环境和企业应用发展厘革,结合可靠性、安全性、先辈性、可扩展性来打造一个满意企业将来5-10年发展的计算机网络。
首先,通过更换使用符合新尺度、规范的互换机和路由器设备的方式,解决当前设备老化故障及效率低的问题;其次,通过调解网络团体结构,规划分配全局IP地址,确定VLAN划分的依据并规划VLAN,解决当前网络管理混乱的问题;然后,通过添加出口冗余和部署防火墙[1]的方式,解决当前网络环境安全性差的问题;末了,通过升级PC终端网卡硬件、增大链路带宽的方式解决当前环境PC接入速率低的问题。
此次操持将会解决企业现有的网络问题,本课题从增加企业网络各项容错冗余能力出发,使用尺度化协议的软硬件,通过科学合理的规划包管网络设备的扩展性和灵活性。
1.3国表里应用现状
美国当局于1993年发表“国家书息基础办法行动动议”并开始建设NII(信息高速公路)[2],随后引起天下各国广泛关注并相继制定各自的开发操持。现今美国的企业大多都拥有企业网络,为职工提供高速、稳固的上网服务,并通过计算机网络实现了生产办公主动化,且美国拥有1亿多个网站。
我国也在上世纪末连续出台相应政策,随着中国制造2025、工业4.0、工业互联网等新技能与新理念的鼓起,网络需求提拔为制造企业的关键一环,对于制造业而言,工业互联网时代将会对网络有着更深的依赖需求。
广东珠江塑胶有限公司是一家集生产、贩卖、谋划于一体的大型专业公司。公司产物质量及格局已到达国际同行先辈水平。但是在公司发展初期购入的网络设备,性能已无法满意公司日益增长的贩卖网络带来的大量网络流量,网络问题最终反映的是公司发展前景问题。公司通过操持层次化网络结构,把不同部门的流量进行区分,对快速增长的部门按需增加对应的接入层设备,包管公司发展的同时也降低了本钱。
德国Demag作为有着天下尖端技能、生产塑料工艺制造设备的专家,在网络信息化应用上,公司使用网络电子商务套件来规范业务流程和营业关系。但公司网络建设时,没有预留足够的网络流量增长空间导致业务体系投产后被诟病“反应慢”,“稳固性低”。公司通过更换网络设备,增加焦点网链路带宽方式解决了当前业务体系的问题,并预留了增长空间。并且对企业网VLAN进行全局规划,有效提拔了办公效率。
以上例子证明在国表里制造行业企业都已经进入了企业的网络信息化,公司生产运营依赖着网络的正常运行。因此当出现网络的不稳固,以致停止,都会给企业带来严峻的影响和巨量的损失[3],这是国表里企业要尽力避免的。
1.4研究目标
网络规划作为一种提高网络运行效率,改善网络使用环境的有效手段。通过根据企业的实际网络需求,搭建合理的网络拓扑结构,可以或许进一步加强企业生产办公效率[3]。本操持基于广东数维网络技能有限公司实际网络必要,旨在改善现有网络存在的多少问题,为企业职工提供工作生存上的便利的网络使用环境。同时针对设备陈旧,网络硬件尺度过时等问题,通过重新操持规划网络结构,提高网络团体使用效率。
论文的详细研究内容如下:内容重要在网络规划,使用了VLAN协议、MSTP协议、VRRP协议、DHCP协议、OSPF协媾和链路聚合技能。将基于不同部门划分不同VLAN,可以或许到达隔离不同VLAN之间的网络通信,此中解决了无VLAN环境下,广播域中广播报文泛滥的环境。MSTP协议用于汇聚层、AC控制器与焦点层互换机之中,可以或许到达消除环路和链路备份的作用。VRRP协议将设置在两台焦点层设备上,可以或许到达多台设备组合成一台假造设备,重要解决了网关设备的单点故障问题。DHCP的应用可以或许到达为各终端和无线接入点AP主动配置IP地址、子网掩码等信息,大幅度降低网络管理员工作量。OSPF协议将用于焦点层与防火墙之间,保障出口路由稳固畅通。链路聚合技能用在焦点互换机之间,提供高带宽和负载分担功能。末了预期网络可以到达99.99%的可用性。
2 需求分析
2.1网络现状分析
因本次项目是对企业原有网络进行升级改造,故在开始进行操持方案之前必要对公司现有的网络体系结构进行分析调研。
2.1.1公司简介
广东数维网络技能有限公司位于广东省某市某区镇工业园内,公司成立于2013年,占地面积37000余平方米,注册资源1000万元,总资产2亿元。公司重要从事塑胶产物的操持、制造、贩卖及生产过程中派生的相关附属品与产物的生产和贩卖,并提供以上产物对应的技能支持服务。公司目前拥有一栋综合写字楼,两栋生产厂房,一栋宿舍楼和一间食堂。详细公司平面图如图2.1所示:
图2.1 广东数维网络技能有限公司平面图
公司有500余名员工,分为访客部(10人)、董事会(7人)、财务部(15人)、市场部(80人)、人事部(15人)、采购部(10人)、研发部(30人)、生产部(300人)、后勤部(20)、网管中心(5人)十个部门。
2.1.2公司网络现状
- 原公司网络建于2013年,为接入层-焦点层的两层架构,焦点层使用单台锐捷某型互换机设备,接入层未做详细规划。
- 当互换机接口不足时则购入新的二层互换机,存在不同业务部门混用同一台互换机的环境,安全风险不可控。
- 无VLAN划分,全部网络通信均运行在VLAN1中,局域网内广播包高出20%,严峻影响正常的网络使用。
- 同时IP地址池未做详细规划、DHCP使用一个地址池,导致无法限制关键部门的网络,存在安全隐患。原公司网络拓扑如图2.2所示:
图2.2 原公司网络拓扑
2.2业务需求分析
网络公司业务需求是开展后续工作的第一步,不同的网络因为使用者的不同因此解决方案也不雷同。在经综合思量后,选择了座谈的方式对广东数维网络技能有限公司进行业务需求调研。
公司职工对于本公司业务流程与需求流程最为相识,因此他们可以或许提供更多与公司业务相匹配的各项需求,本次调研为了得到一手资料,用了10个工作日对公司各部门人员及决策领导层进行了座谈。整理出如下需求清单:
公司对项目高度重视,总司理指派网络部门共同我方沟通。项目主管成立了客户方项目组:包罗副总司理陈先生、网络部门项目联络人、最终用户代表。
覆盖范围包罗:一栋6层高的综合写字楼,两栋一层高的厂房,一栋6层高的宿舍楼。公司空地、食堂、运动场不包罗在内。
工程界限包罗:数据机房与楼道内互换机,路由器,防火墙,无线接入控制器,无线接入点,服务器的网络配置。机房机架,空调,电源,消防已部署完成,楼道内机架,电源已部署完成,本项目不涉及。项目实施出于现实原因,本次项目实施采用eNSP软件仿真实施,实施结果可供参考。
功能界限包罗:重新规划网络结构,实现网络连通,重点部门间隔离,指定区域无线网络覆盖,优化网络安全,提拔毗连速率。
公司现拥有各类型网络终端500余台,思量到将来3到5年的人员,加工设备增长需求,预计还需增加150台终端设备,即总数约650台终端的中型局域网规模。
在可靠性方面,公司可接受一年内小于1小时的网络停止,即要求99.99%的可靠率。
2.3应用需求分析
针对广东数维网络技能有限公司网络应用的需求,对企业网络用户办公生存的应用进行统计汇总,并计算出企业用户的网络带宽。并将不同应用进行分类,然后计算各类应用的总数据量,并加以分析。重要从应用的用户数,使用频率,及时性等方面思量。
2.3.1应用类型
单机应用包罗:Windows操作体系、Linux操作体系、MacOS操作体系、办公软件套件、词霸翻译软件、AutoCAD、Moldflow。
联机应用包罗:办公主动化体系、邮件应用、欣赏器、视频播放应用、聊天应用、电子商务应用、文件传输服务和打印机服务。
2.3.2应用访问分析
在网络操持方看来,操持人员必要更加相识用户是如何使用上面罗列的各类应用步调和网络服务。如不能结适用户使用习惯和应用特点[4],让用户在使用应用或服务时出现体验不佳的环境,将导致其对公司网络产生负面印象。观察得到的应用实际使用环境,现输出总结见表2.1。
表2.1 应用访问分析表
详细应用
| 应用分析
| 应用服务类型
| 访问用户数
| 访问频率
| 访问时间
| 访问高峰段
| 匀称变乱大小
| 办公主动化
| 400
| 经常
| 7 x 18
| 8:30-17:30
| 200KB
| 邮件应用
| 150
| 偶然
| 7 x 24
| 8:30-17:30
| 2MB
| 欣赏器
| 400
| 经常
| 7 x 24
| -
| 200MB
| 视频播放应用
| 250
| 不常
| 7 x 24
| -
| 400MB
| 电子商务应用
| 200
| 偶然
| 7 x 24
| 8:30-17:30
| 500KB
| 聊天应用
| 500
| 经常
| 7 x 24
| -
| 100KB
| 文件传输服务
| 200
| 偶然
| 7 x 18
| 8:30-17:30
| 20MB
| 打印机服务
| 150
| 不常
| 7 x 18
| 8:30-17:30
| 200KB
|
2.4拓扑结构分析
根据公司不同修建物的使用方式和网络结构,为公司操持一款适合业务特点的拓扑结构。公司当前局域网存在星型拓扑和总线拓扑的混合拓扑结构,此中星型拓扑用于焦点层与接入层的毗连上,总线拓扑用在各接入互换机的下行链路上。虽然星型拓扑结构简朴、容易部署、便于管理,毗连点出现的故障方便及时检测与排除。但单星型拓扑中心节点为全网最重要的一环,中心节点的故障会扩散到全网导致网络瘫痪,因此双星型拓扑应运而生[5]。双星型结构的每个节点都通过两条单独的通信线路与两台中心节点毗连,单台中心节点的故障只会导致网络性能降落而不会导致网络团体瘫痪。单星型结构与双星型结构对比如图2.3所示:
图2.3 单星型结构与双星型结构对比图
2.5本章小结
本章重要论述了在进行详细的网络操持之前必要对公司业务等需求进行分析以及如何进行分析。本章从公司业务、应用、拓扑三个方面论述了需求,并给出分析结果。
3 公司逻辑网络操持
3.1逻辑网络团体操持
逻辑网络的操持目标必要满意需求分析中提出的公司需求,以操持出符合公司业务流特点的网络架构。本次操持的广东数维网络技能有限公司网络采用三层网络架构[6],包罗焦点层、汇聚层、接入层。
焦点层毗连全部的汇聚层互换机,防火墙和无线接入控制器,负责汇聚各部门之间的流量,并提供三层互换机的功能。焦点互换机承担了内部数据流量和对外数据流量,因此设备需提供高转发性能和高带宽。
汇聚层是各修建节点的焦点,负责汇聚接入层设备的流量。转发修建节点内用户业务的“横向流量”和提供到焦点层的“纵向流量”。
接入层负责直接接入终端设备,提供高密度接入接口供用户终端使用,除使用二层互换机功能外还可以满意简朴的业务安全必要,如QOS/ACL等[7]。
3.2网络拓扑图
根据逻辑网络团体操持以及公司需求分析的必要,现输出广东数维网络技能有限公司网络拓扑图如图3.1所示:
图3.1 广东数维网络技能有限公司网络拓扑图
3.3 IP地址与VLAN划分
思量到公司拥有多个部门,某些部门有网络隔离的需求,因此IP地址划分,将使用子网划分的方式来对每个部门进行规划,每一个部门使用单独的一个24位子网网段,包管连续性的同时还方便后续做汇总与一些路由策略[8]。且公司人员设备众多,为降低网络管理人员重复工作量,故使用DHCP主动配置的方式取代静态IP人工配置。详细划分见表3.1:
表3.1 广东数维网络技能有限公司的IP地址与VLAN划分表
部门或区域
| VLAN号
| IP网段
| 网关地址
| 管理
| 1
| 172.16.1.0/24
| 172.16.1.254
| 访客部
| 111
| 172.16.100.0/24
| 172.16.100.254
| 董事会
| 116
| 172.16.101.0/24
| 172.16.101.254
| 财务部
| 121
| 172.16.102.0/24
| 172.16.102.254
| 市场部
| 126
| 172.16.103.0/24
| 172.16.103.254
| 人事部
| 131
| 172.16.104.0/24
| 172.16.104.254
| 采购部
| 136
| 172.16.105.0/24
| 172.16.105.254
| 研发部
| 141
| 172.16.106.0/24
| 172.16.106.254
| 生产部
| 146
| 172.16.107.0/24
| 172.16.107.254
| 后勤部
| 151
| 172.16.108.0/24
| 172.16.108.254
| 网管中心
| 156
| 172.16.109.0/24
| 172.16.109.254
| 服务器区
| 161
| 172.16.110.0/24
| 172.16.110.254
|
3.4关键技能
3.4.1 OSPF
本次网络操持中,OSPF技能用在焦点层互换机与防火墙之间[9]。用OSPF最短路径优先算法可是实现动态更新路由条目,帮助网络管理员更好地管理整个网络。但OSPF若操持不妥,容易产生次优路径问题。如图3.2所示,案例1中CoreA与CoreB之间缺少Area1区域的链路,导致HuijuA与HuijuC之间的通信会经过HuijuA-CoreA-HuijuB-CoreB-HuijuC这样一条次优路径,而不是经过HuijuA-CoreA-CoreB-HuijuC这样一条最优路径。案例2中CoreA与CoreB之间缺少Area0区域的链路,导致当FW1与FW2之间的链路出现故障时,CoreA与CoreB无法在Area0区域通信。案例3中CoreA与CoreB之间在Area0和Area1中分别互相毗连,此种方式可以避免OSPF产生次优路径的问题。
图3.2 OSPF次优路径对比图
3.4.2 MSTP
在网络操持中,以太网为了进行链路备份,实现网络的高可靠性,通常会使用冗余链路。但是使用冗余链路又会带来在互换网络上产生环路的问题,继而引发广播风暴和MAC地址表震荡等不稳固故障现象。部署MSTP包罗包罗STP域名、STP实例名和对应绑定的VLAN号。每个实例维护独立的一颗天生树,绑定的VLAN按照自己的树进行转发,详细规划见表3.2。本次操持将在汇聚层互换机,无线换机之间使用MSTP协议防止环路[10]。焦点层互换机CoreA为VLAN 1、111、121、131、141、151、161的根桥,CoreB为VLAN 116、126、136、146、156的根桥。
表3.2 MSTP规划表
设备名
| MSTP域名
| STP实例名
| VLAN号
| CoreA
| xzw2022.com
| instance 1
| 1
| CoreA
| xzw2022.com
| instance 1
| 111
| CoreB
| xzw2022.com
| instance 2
| 116
| CoreA
| xzw2022.com
| instance 1
| 121
| CoreB
| xzw2022.com
| instance 2
| 126
| CoreA
| xzw2022.com
| instance 1
| 131
| CoreB
| xzw2022.com
| instance 2
| 136
| CoreA
| xzw2022.com
| instance 1
| 141
| CoreB
| xzw2022.com
| instance 2
| 146
| CoreA
| xzw2022.com
| instance 1
| 151
| CoreB
| xzw2022.com
| instance 2
| 156
| CoreA
| xzw2022.com
| instance 1
| 161
|
如图3.3所示,汇聚层互换机A为例,该互换机下有VLAN111,VLAN116和VLAN121三个业务VLAN的流量。如果部署的是STP或者RSTP,则全部VLAN的流量要么全从左边链路转发给焦点互换机A转达,要么全从右边的链路转发给焦点互换机B转达。导致浪费了别的一条链路带宽,在网络流量较大的环境下可能会导致一条链路壅闭而别的一条链路没有任何流量经过。而MSTP可以实现以多个VLAN为一个实例,不同的实例拥有不同的转发路径。假设汇聚层互换机A底下拥有20个VLAN,则有10个VLAN会走左边链路,10个VLAN走右边链路。这样可以充实使用全部链路的带宽,降低拥塞几率。
图3.3 MSTP分析
3.4.3链路聚合
本操持中,链路聚合Eth-Trunk部署在两台焦点互换机之间,这条链路作用是为后续部署VRRP做准备。VRRP流量将都通过焦点互换机之间这条链路,也称为心跳线。链路聚合不但可以提高带宽,还可以增加冗余性。如图3.4所示,案例1中部署完成后,当CoreA与CoreB之间的一条链路故障后仍可以通过另一条链路转发。不会出现案例2中全部VRRP的流量都必要经过汇聚层互换机来转发。该链路还可以转发汇聚层上来的全部VLAN流量。
图3.4 链路聚合分析
3.4.4 VRRP
增加出口网关是提高体系可靠性的常见方法,此时在多个出口之间进行选择就成为必要解决的问题。在使用VRRP来将两个物理网关构成为一个假造网关之前,只能通过人工操作方式在每台终端上更改网关,工作量巨大。使用VRRP之后,终端设备只必要配置VRRP给出的假造网关地址,故障切换对用户是透明的。不过必要注意的是保持VRRP与MSTP的主备同一,比如VLAN111、121、131的根桥在A设备上,对应的VRRP网关,也应该以A为主,B为备用。而VLAN116,、126、136的根桥在设备B上,对应的VRRP网关,以B为主,B为备用[11]。
如图3.5所示,案例1中VLAN111的VRRP主网关在CoreA上,而VLAN111的MSTP根桥在CoreB上。由于MSTP的特性,HuijuA会将VLAN111的流量从DP接口转发到CoreB,再由CoreB将流量转发给网关。导致了次优路径,既提高了转发耽误,又增大了设备负担。而案例2中将VRRP的主网关与MSTP根桥设置在同一台设备上,既可以让两台焦点设备各自处理惩罚不同VLAN流量进行负载分担,又使访问网关的流量不会因为MSTP的壅闭端口而导致流量通过次优路径。
图3.5 VRRP分析
所以部署前必要提前规划,包罗VRRP的Master\Backup脚色(优先级)操持、网关地址与接口地址操持、抢占耽误操持、故障切换操持,详细规划见表3.3。
表3.3 VRRP规划表
设备名
接标语
| CoreA
| CoreB
| MSTP根桥
| vlanif1
| Master
| Backup
| CoreA
| vlanif 111
| Master
| Backup
| CoreA
| vlanif 116
| Backup
| Master
| CoreB
| vlanif 121
| Master
| Backup
| CoreA
| vlanif 126
| Backup
| Master
| CoreB
| vlanif 131
| Master
| Backup
| CoreA
| vlanif 136
| Backup
| Master
| CoreB
| vlanif 141
| Master
| Backup
| CoreA
| vlanif 146
| Backup
| Master
| CoreB
| vlanif 151
| Master
| Backup
| CoreA
| vlanif 156
| Backup
| Master
| CoreB
| vlanif 161
| Master
| Backup
| CoreA
|
3.4.5 DHCP
根据需求分析,本次操持网络终端数将会到达500台以上,网络配置变的越来越复杂,再加上许多终端位置不固定(如智能手机或无线网络),引发了IP地址厘革频仍以及管理难度增大。为了实现动态分配IP地址给主机使用,必要用到动态主机配置协议DHCP。本网络使用一台DHCP服务器为各主机终端、移动终端和无线接入点提供主动分配地址。
3.4.6无线网技能
随着无线技能的发展与移动智能设备的普及,WLAN(无线局域网) 已经成为企业网络建设的关键部门,本次操持采用逐渐成为主流且具有更强性能的802.11ax(Wi-Fi 6)。通常在企业级无线局域网中,通过AC(无线接入控制器)来对AP(无线接入点)实行长途会合管理。包罗用户的认证方式、AP的工作模式、数据流模式等[12],AC负责将不同AP的数据流进行汇总并接入到互联网中。常见的AC组网方式如图3.6有两种:直连式、旁挂式。
直连式组网中AP、AC与上层网络串联在一起,全部数据通过AC转发后到达上层网络。即AC同时处理惩罚管理流量与业务流量,对设备性能要求高。AC与AP创建的capwap隧道只传输管理流量用于实现对AP的管理与控制。
旁挂式组网中AC置于AP上行网络的直连设备上,AP与AC无直连物理链路。AP 的业务流量不经过AC,减轻了设备压力。AC的管理流量封装在capwap隧道中用于对AP的管理与控制。
图3.5 AC组网方式
3.5本章小结
本章重要描述了公司网络的逻辑操持过程,在进行逻辑网络操持时,要结合需求分析操持出一个详细的网络,并给出了升级后的逻辑网络拓扑图、地址表等信息。
4 公司物理网络操持
4.1综合布线体系
综合布线是物理网络操持中的重要一环,遵照同一尺度的布线根据不同需求实现不同的效果。本操持的目标是在满意所需技能指标上,优化布线结构,使整个体系更合理更高效[13]。本次操持主体广东数维网络技能有限公司成立初期建设过综合布线体系,但建设规范尺度较低,故仍需对公司综合布线体系进行观察并操持方案。根据国标GB 50311-2016第3.1.2章[14]所规定的,综合布线体系的基本结构应包罗修建群子体系、干线子体系和配线子体系。
4.1.1信息点统计
通过对公司实地走访观察,并对修建物内网进行勘探,统计出公司信息点需求如下。首先公司必要进行综合布线体系分析的修建物有一栋六层高综合写字楼,两栋一层高厂房,一栋六层高宿舍楼。此中综合写字楼包罗访客堂,董事会,财务部,市场部,人事部,采购部,大约必要400个信息点。厂房分为两栋,包罗生产部和研发部,每栋有大约100个信息点。宿舍楼包罗后勤部,共有大约150个信息点。共计800个信息点。
4.1.2修建群子体系
根据公司环境,修建群子体系在各修建物之间采用埋线方式,布置了多模光纤,光纤到每栋修建物的设备间内。此种方式不但可以使用原有建设配套还可以降低施工难度。根据公司平面图以及实地考察得到的环境,输出修建群子体系布线图如图4.1所示:
图4.1 修建群子体系布线图
4.1.3干线子体系
根据公司环境,干线子体系在每栋修建物内的设备间至各层楼的电信间之间负责毗连。在操持时,首先要确定设备间与电信间之间的间隔,以确定线缆长度。根据公司需求环境,本次干线布线采用光缆,铺设在弱电井内,毗连修建物配线设备BD与楼层配线设备FD。详细见图4.2:
图4.2 干线子体系布线图
光缆长度通过公式计算为:
4.1.4配线子体系
根据逻辑网络操持得出配线子体系采用星型拓扑结构,因此每个信息插座TO将独立毗连到楼层电信间的配线架上。按照合理性经济性原则,结合公司实际,本次配线子体系使用超五类非屏蔽双绞线、信息插座模块和跳线架进行操持与实施。详细见图4.3:
图4.3 配线子体系布线图
4.1.5工作区子体系
工作区子体系由信息插座TO毗连到终端设备TE的通信线缆所构成,毗连介质使用T568B尺度的4对双绞线铜缆,信息模块对应使用超五类或者六类。
图4.4 工作区子体系布线图
4.2设备选型
本次网络升级项目必要新购入多少网络设备,包罗接入层互换机、汇聚层互换机、焦点层互换机、无线接入控制器、无线接入点和防火墙。以下为各网络设备选型环境。
接入层互换机选用华为S5735-S48P4X,此款互换机是华为公司推出的接入层产物,拥有48个下行千兆电接口,支持POE+功能,可以直接为AP提供电力,节省布线本钱。还拥有4个上行万兆光接口,可以将接入层流量通过万兆接口转发到汇聚层,同时满意对接入层网络的功能需求。
图4.5 S5735-S48P4X表面
汇聚层互换机选用华为S6720-30C-EI-24S-AC,此款互换机是华为公司推出的汇聚层产物,拥有24个下行10GE SFP+光接口和2个40GE QSFP+光接口,此中QSFP+光接口支持拆分为4个10GE接口。支持灵敏地实现丰富业务特性,满意公司对汇聚层网络的需求。
图4.6 S6720-30C-EI-24S-AC表面
焦点层互换机选择华为S6720-30L-HI-24S,此款互换机是华为公司推出的万兆企业网产物,拥有100GE的QSFP28上行接口供焦点层互联,以及24个下行10GE SFP+光接口和4个40GE QSFP+光接口。提供的全线速万兆接入接口,满意公司网高密度焦点接入的要求。
图4.7 S6720-30L-HI-24S表面
无线接入控制器选择华为AC6605-26-PWR,此款控制器是华为推出的提供大容量高性能无线数据控制业务的产物。支持POE供电与802.11ax协议。共同华为无线接入点,可组建园区网络和企业办公网络。
图4.8 AC6605-26-PWR表面
无线接入点选择华为AirEngine 5762-16W,是华为发布的支持802.11ax尺度的室内面板AP。单台AP可同时覆盖2-3个房间,解决多房间、多隔断场景部署AP数量多的问题,有效降低整网建设本钱和功耗。
图4.9 AirEngine 5762-16W表面
防火墙选择华为USG6150,是华为面向中小企业等推出的企业级下一代防火墙,具有防病毒,入侵检测,上网行为管理等多种安全功能。有效满意公司对网络安全高效、全面、绿色的要求。
图4.10 USG6150表面
4.3本章小结
本章详细介绍了公司物理网络操持环境,即网络操持中的物理结构阶段,包罗综合布线体系以及网络设备选型,方便开展后续工作。
5 网络操持实现
5.1网络实现概述
在前期逻辑网络操持和物理网络操持的基础上,分步骤实施网络配置。正确的配置次序可以或许使网络实现事半功倍。应按网络层次从低到高配置,首先配置二层网络再配置三层网络末了配置高级协议。此种配置方式可以或许使得网络管理人员更好地把握网络状态,并且容易进行错误排除。
5.2网络基础配置
网络基本配置包罗各网络设备的IP地址配置,VLAN配置和互换机接口配置。IP地址与VLAN虽然是网络中最基础的存在,但也是整个网络前期最重要的规划配置。如果规划不妥,后期的修改将会产生巨大的任务量,如扩展、修改等环境。
5.2.1接入层互换机配置
访客堂接入互换机配置:因VLAN配置较为重复,因此本次仅给出配置思绪和重点配置。接入层互换机配置对应vlan并设置毗连终端电脑的接口为Access和STP的边缘端口,防止终端设备启动时进行STP计算拖慢DHCP获取时间。毗连汇聚互换机的接口为Trunk,毗连无线接入点的接口为Hybrid。
interface GigabitEthernet0/0/2
port hybrid tagged vlan 111
stp edged-port enable
下联AP的接口,设置为Hybrid,并允许VLAN1与111通过,默认VLAN1允许通过,而且不打标签,VLAN1为AP的管理流量,AP得到地址后必要通过该IP地址与AC进行通信协商隧道的,而VLAN111则是AP的业务流量,是PC访问外网或者内部流量转发的,所以必须放行2个VLAN。
port-group 1
group-member GigabitEthernet0/0/2 to GigabitEthernet0/0/24
#创建一个端口组,把互换机毗连终端设备的接口参加该组,方便后续同一配置。
port link-type access
port default vlan 121
stp edged-port enable
traffic-policy caiwu outbound
把端口组1内的接口设置为Access,默认VLAN为121,开启STP边缘端口,在出方向应用财务部流策略。
5.2.2汇聚互换机配置
汇聚层必要包含下联接入层全部的VLAN,因为下联的接入层互换机都毗连到汇聚层上,故必要多个VLAN,来总结全部的VLAN流量。
HuijuA配置:
vlan batch 111 116 121
description connection to CoreA g0/0/3
#描述该接口毗连的是焦点互换机A的G03接口,在重要接口进行描述,可以明确接口的信息,为日后运维提供良好的环境。
port link-type trunk
port trunk allow-pass vlan 111 116 121
把接口设置为Trunk,放行vlan111、116、121。
5.2.3焦点互换机配置
焦点互换机基础配置VLAN,链路类型大抵与接入层、汇聚层一致,故仅放出链路聚合相关配置:
interface Eth-Trunk1
#创建链路聚合组1
trunkport GigabitEthernet0/0/1
trunkport GigabitEthernet0/0/2
#添加eth-trunk成员链路
port link-type trunk
port trunk allow-pass vlan 111 116 121 126 131 136 141 146 151 156
port trunk allow-pass vlan 161 166
#设置链路类型,放行对应VLAN
load-balance src-dst-ip
配置负载均衡模式为源目IP,因为焦点层的流量基本是三层,基于源目IP分担会更有效率。
5.3 MSTP与VRRP配置
MSTP配置:
根据图3.1所示,MSTP必要在汇聚层互换机、焦点互换机与无线接入控制器之间配置,为共同VRRP,故将两个实例的根桥设置在焦点层。
焦点互换机A配置:
stp region-configuration
#配置MSTP域。
region-name xzw2022.com
#配置域名,参加该域成员域名须一致。
instance 1 vlan 1 111 121 131 141 151 161
instance 2 vlan 116 126 136 146 156 166
#根据规划表为不同实例划分不同VLAN。
stp instance 1 root primary
#实例1设为根桥
stp instance 2 root secondary
#实例2设为备份根桥
active region-configuration
#激活域配置
焦点互换机B配置:
重复配置将省略。
stp instance 1 root secondary
#实例1设为备份根桥
stp instance 2 root primary
#实例2设为根桥
汇聚互换机与无线接入控制器配置:
重复配置将省略。
instance 1 vlan 1 111 121 131 141 151 161
instance 2 vlan 116 126 136 146 156 166
根据规划表为不同实例划分不同VLAN。虽然汇聚层互换机和无线接入控制器并没有这么多VLAN的流量,但仍需定义一致的实例,因为MSTP域会检查hash值,只有配置一致hash值才会一致,才气参加同一个MSTP域。
VRRP配置:
由于VRRP必要在焦点互换机的每个Vlanif接口上重复配置,本次仅以一台设备的2个接口配置为例子。
焦点互换机A配置
interface Vlanif111
#进入接口
ip address 172.16.100.252 255.255.255.0
#配置地址
vrrp vrid 111 virtual-ip 172.16.100.254
#配置假造网关地址
vrrp vrid 111 priority 105
#设置优先级为Master。
vrrp vrid 111 preempt-mode timer delay 10
#设置抢夺延时为10秒,防止Master恢复后路由表还未创建时立即抢夺脚色导致网络震荡。
vrrp vrid 111 track interface GigabitEthernet0/0/7
#设置追踪接口,当接口失效时主动降低10点优先级,因此当Master失效后优先级降为95,另一台设备将以100的优先级成为新Master。
interface Vlanif116
ip address 172.16.101.253 255.255.255.0
vrrp vrid 116 virtual-ip 172.16.101.254
优先级为Backup脚色的配置仅需设置vlanif接口地址和假造网关地址。例如CoreA的vlanif111为Master,则CoreB的vlanif111为Backup,CoreB的vlanif116为Master,则CoreA的vlanif116为Backup,以此类推。
5.4 OSPF配置
OSPF将在两台防火墙与两台焦点互换机之间运行,根据逻辑网络操持划分成为2个区域[15],详细配置见下:
CoreA的配置:
ospf 1 router-id 1.1.1.1
#设置router-id,便于确认临接关系创建环境。
area 0.0.0.0
network 172.16.99.1 0.0.0.0
network 172.16.99.9 0.0.0.0
#区域0中宣告毗连两台防火墙的接口地址。
area 0.0.0.1
abr-summary 172.16.0.0 255.255.0.0
#进行路由汇总,压缩路由表条目。
network 172.16.100.0 0.0.0.255
network 172.16.101.0 0.0.0.255
network 172.16.102.0 0.0.0.255
network 172.16.103.0 0.0.0.255
network 172.16.104.0 0.0.0.255
network 172.16.105.0 0.0.0.255
network 172.16.106.0 0.0.0.255
network 172.16.107.0 0.0.0.255
network 172.16.108.0 0.0.0.255
network 172.16.109.0 0.0.0.255
network 172.16.110.0 0.0.0.255
#区域1中宣告公司全部的网段地址。
FW1的配置:
ospf 1 router-id 3.3.3.3
default-route-advertise always
#告示缺省路由
import-route direct
#引入直连路由
import-route static
#引入静态路由
area 0.0.0.0
network 172.16.99.2 0.0.0.0
network 172.16.99.6 0.0.0.0
network 172.16.99.17 0.0.0.0
区域0中宣告毗连防火墙与互换机的接口地址。
5.5无线接入器配置
interface Vlanif1
ip address 172.16.1.251 255.255.255.0
#配置管理地址,该地址供AP与AC通信创建CAPWAP隧道用。
ip route-static 0.0.0.0 0.0.0.0 172.16.1.254
#创建默认路由,使的其他VLAN也可访问AC
capwap source interface vlanif1
#指定CAPWAP源接口
security-profile name Dongshi
#创建董事会的安全模板。
security wpa2 psk pass-phrase 12345678 aes
#设置wifi暗码及加密类型。
ssid-profile name Dongshi
#设置董事会的ssid模板
ssid Dongshi
#设置ssid
vap-profile name Dongshi
#创建董事会的vap模板。
service-vlan vlan-id 116
#关联对应的vlan。使通过该信号得到ip地址为董事会的网段。
ssid-profile Dongshi
#关联ssid模板
security-profile Dongshi
#关联安全模板
#雷同的创建其他各部门的SSID模板,安全模板,VAP模板并关联起来。
regulatory-domain-profile name A
#创建域管理模板A,B,C,D。
ap-group name A
#创建AP组A,负责管理汇聚层A设备底下的AP,其余汇聚层设备同理。
regulatory-domain-profile A
#关联管理模板
vap-profile Dongshi wlan 1 radio all
vap-profile Fangke wlan 2 radio all
将vap模板调入ap组。
5.6防火墙配置
防火墙的配置分为双机热备[16]、区域设置、安全策略三部门。
首先是HRP双机热备的配置。
hrp enable
#开启双击热备功能
hrp interface GigabitEthernet1/0/6 remote 172.16.99.18
#配置心跳接口
hrp mirror session enable
#启用会话备份功能
hrp auto-sync config static-route
#启动静态路由备份功能
hrp load balance device
#启用设备负载均衡
hrp track interface GigabitEthernet1/0/0
hrp track interface GigabitEthernet1/0/1
hrp track interface GigabitEthernet1/0/2
#配置监控链路
然后是区域的配置。
firewall zone trust
set priority 85
add interface GigabitEthernet0/0/0
add interface GigabitEthernet1/0/0
add interface GigabitEthernet1/0/1
#将毗连焦点互换机的接口参加Trust区域。
firewall zone untrust
set priority 5
add interface GigabitEthernet1/0/2
#将毗连ISP的接口参加Untrust区域。
firewall zone dmz
set priority 50
add interface GigabitEthernet1/0/3
add interface GigabitEthernet1/0/6
#将HRP接口与毗连外网web的接口参加DMZ区域。
末了是安全策略的配置。对于安全性比较严格的环境,流量都要通过安全策略来控制,首先辈入接口关闭管理功能undo service-manage enable,内网接口放行ping、http、https、ssh,外网接口只放行https,dmz接口放行http和https。
rule name Lo-Any
#创建local区到any的安全规则
action permit
#放行规则中的流量
rule name Tr-UntDmz
#创建trust区到untrust区、dmz区的安全规则
action permit
#放行规则中的流量
rule name Unt-Tr
#创建untrust区到trust区的安全规则
rule name Dmz-TrUnt
#创建dmz区到trust区、untrust区的安全规则
source-zone dmz
#设置源区域为dmz区
destination-zone trust
destination-zone untrust
#设置目标区域为trust区、untrust区
action permit
#放行规则中的流量
rule name TrDmz-Lo
#创建trust区、dmz区到local区的安全规则
rule name Unt-Tr
rule name Unt-Lo
rule name Unt-Dmz
#创建untrust区到trust区的安全规则
#创建untrust区到local区的安全规则
#创建untrust区到dmz区的安全规则
service http
service https
action permit
放行http、https的流量
5.7 DHCP配置
dhcp enable
#启动全局dhcp功能。
ip pool vlan1
#根据vlan创建ip地址池
gateway-list 172.16.1.254
network 172.16.1.0 mask 255.255.255.0
#设置待分配的地址段与掩码信息
excluded-ip-address 172.16.1.1 172.16.1.100
excluded-ip-address 172.16.1.249 172.16.1.253
#排除无需主动分配的地址
lease day 10 hour 0 minute 0
#设置地址租期为10天。
interface GigabitEthernet0/0/0
ip address 172.16.110.111 255.255.255.0
#设置dhcp服务器地址,供中继使用。
dhcp select global
#选择为全局dhcp端口。
ip route-static 0.0.0.0 0.0.0.0 172.16.110.254
创建默认路由,使其他的VLAN也可访问DHCP服务器。
5.8 ACL配置
鉴于财务部安全需求较高,故使用ACL技能对其网络进行限制,仅保留董事会、服务器区对财务部的网络通信。
acl number 3121
#创建ACL编号3121,限制财务部的网络访问。
rule 5 permit ip source 172.16.101.0 0.0.0.255 destination 172.16.102.0 0.0.0.255
#创建规则5,允许财务部与董事会之间的网段互相通信
rule 6 permit ip source 172.16.110.0 0.0.0.255 destination 172.16.102.0 0.0.0.255
#创建规则6,允许财务部与服务器区之间的网段互相通信
rule 10 deny ip destination 172.16.102.0 0.0.0.255
#创建规则10,拒绝其余部门与财务部的网络通信
traffic classifier caiwu operator and
if-match acl 3121
#创建流分类定名为caiwu,关联财务部的ACL
traffic behavior caiwu
#创建流行为定名为财务,默认策略为放行
traffic policy caiwu
classifier caiwu behavior caiwu
#创建流策略定名为caiwu,关联caiwu的流分类与流行为
别的因公司必要访客堂的成员能访问公网和DMZ区域的服务器,故必要通过ACL技能对访客堂用户进行限制。
acl number 3111
#创建ACL编号3111,限制访客的网络访问。
rule 4 permit ip source 172.16.110.111 0 destination 172.16.100.0 0.0.0.255
#创建规则4,允许访客堂与DHCP服务器的网络通信
rule 5 deny ip source 172.16.0.0 0.0.255.255 destination 172.16.100.0 0.0.0.255
#创建规则5,拒接访客堂与内网各部门的网络通信
traffic classifier fangke operator and
if-match acl 3111
#创建流分类定名为fangke,关联访客堂的ACL
traffic behavior fangke
#创建流行为定名为fangke,默认策略为放行
traffic policy fangke
classifier fangke behavior fangke
创建流策略定名为fangke,关联fangke对应的流分类与流行为。
5.9本章小结
本章详细讲述了网络的实施过程,并说明了每个步骤的原因和配置要求。实现逻辑网络操持中要求,方便后续开展网络测试工作。
6 网络测试
6.1 DHCP测试
根据规划,广东数维网络技能有限公司的用户终端均采用DHCP协议主动获取IP地址。董事会PC终端开启后,主动获取本部门对应网段的IP地址,DHCP验证如图6.1所示:
图6.1通过DHCP协议获取IP地址
6.2局域网连通测试
本次仿真实现了公司局域网中,要求访客堂只能访问外网和DMZ区,财务部仅能与董事会和服务器区通信,其余区域均可互通。详细见图6.2,图6.3,图6.4与图6.5。
图6.2 访客堂访问内网
图6.3 访客堂访问DMZ区
图6.4 访客堂访问公网服务器
图6.5 董事会访问内网
图6.7 董事会访问内网服务器
6.3 MSTP与VRRP测试
MSTP与VRRP都是在遵照高可用性操持下的产物,因此不但必要测试各自协议是否配置正确,还要测试在某条链路断开后网络是否高可用。
如图6.8所示,焦点层MSTP中均不存在壅闭端口,全部端口都可进行数据转发,包管焦点层的高吞吐量。而壅闭端口在汇聚层互换机,如6.9所示,这样可以使正常环境下仅壅闭一条次优路径即可避免环路产生。
图6.8 焦点层MSTP验证
图6.9 汇聚层MSTP验证
VRRP验证如图6.10所示,每个假造网关都拥有一个Master端和Backup端。经过图6.11与图6.12的测试,证明了MSTP与VRRP可以包管在单条链路故障的环境下,包管网络停止时间尽可能少。
图6.10 VRRP验证
图6.11 外网高可用性测试
图6.12 网关高可用性测试
6.4 OSPF测试
本次实施的公司内网通过OSPF协议同步给防火墙,使得防火墙做完NAT以后可以实现局域网与广域网网互通。
图6.13 OSPF邻接关系
图6.14 OSPF路由表
6.5无线接入器与接入点测试
根据公司要求,为指定区域配置AC与AP,实现无线网络覆盖。无线终端连上部门AP后,主动获取该部门网段的地址。
图6.15 AP主动获取IP
图6.16 AC通过CAPWAP下发配置
图6.17 无线终端收到SSID
图6.18 无线终端访问内网
6.6本章小结
本章详细讲述了公司网络的验证和测试过程,体现了本次操持的网络具有良好的运行环境并实现了预期目标的高可靠性。
7 总结
本文从广东数维网络技能有限公司的背景出发,对公司网络需求分析、网络逻辑操持、网络物理操持和网络实施测试几个方面讨论了公司的网络规划与实施过程,并且最终实现了公司网络的良好运行。
在需求分析当中,对于公司业务需求和网络应用需求,网络性能需求进行了分析,并指出了公司网络存在的多少问题,包罗设备老化、IP管理混乱。网络协议可靠性差的问题,为后续逻辑网络规划的开展做好基础。
在逻辑网络操持中,针对公司IP管理混乱、VLAN划分单一的问题,通过详细规划IP地址段以及分配VLAN给不同部门解决。针对网络协议可靠性差的问题,提出使用多种协议相结合的方式,既能负载均衡提高链路使用率,又能实现高可靠的网络毗连。针对公司缺失无线局网的现象,操持中还规划了通过AC三层旁挂焦点层的方式,与DHCP协议共同实现无线覆盖的需求。
在物理网络操持中,对公司本次升级项目进行了综合布线分析。并针对网络设备老化,维保困难的现象,根据企业将来三到五年的需求进行相关设备选型。
在网络实施测试环节,提出了实施步骤的建议,并对实施重点命令进行操持表明。对于测试环节,通太过层次,分协议的方式。对网络连通性,网络可靠性和协议运行状态进行测试,结果表示网络具有良好可靠的运行状态。
本次升级方案中另有许多未思量到的或者未能实现的技能与理念。包罗没有对OSPF协议应用BFD技能加快收敛,没有对网络操持进行更加细致的功能模块划分。这些都是作者必要更加进一步学习的地方。
公司不是一成不变的,公司的业务与网络需求也同样不停在厘革。这必要更多成熟可靠的技能帮助,也必要更多网络创新技能和产物应用来实现一个功能更加完善,安全性与可靠性齐高的网络。
免责声明:如果侵犯了您的权益,请联系站长,我们会及时删除侵权内容,谢谢合作!更多信息从访问主页:qidao123.com:ToB企服之家,中国第一个企服评测及商务社交产业平台。 | 
