小帆网络科技有限公司网络设计与实现

　 小帆网络科技有线公司网络设计与实现

　摘要 : : 这几年，网络发生了巨大的变化。传统的企业网络架构已经跟不上现代信息的变化了，跟上时代的发展，走在企业的前头，对于很多企业来说升级现有网络是必不可少的办法。一个优秀的企业同时必须具备一个完善的网络，和可行的网络规划。同时对新建网络的向后兼容性的要求也越来越高，考虑未来一段时间的发展，经济投资最大化。企业的网络系统相对来说时比较复杂，它在为现代化发展、综合信息管理和办公自动化等一系列应用提供基本操作平台的同时也能够提供多种应用服务，使信息能高速、稳定、准确地传送给各个系统，完成业务的运行。运用相对应的网络技术实现需求，也要考虑数据在高速传输的同时也要对数据传输的安全性进行考虑。在企业网络方案设计的过程中，服务器、网络设备、网络技术的选择一定要充分考虑企业的需求、扩展性以及向后的兼容性。

　本文设计结合小帆网络科技有限公司的网络的实际需求，通过对网络组建方案的设计、基于安全的网络配置方案设计、设备选型方案设计、企业网络安全设计等方面的研究。本文结构主要包括需求分析、网络结构设计、IP 地址和 vlan 规划方案设计、设备选型、技术原理介绍和网络配置、网络安全设计等内容。

　关键词 ：

　局域网；网络技术；路由交换。

　目

　录

　第 1 章 绪论 .............................................................. 1 1.1

　研究背景 .......................................................... 1 1.2

　研究目的和意义 ..................................................... 1 1.3

　研究内容 .......................................................... 2 第 2 章 项目需求分析 ...................................................... 3 2.1 企业用户需求分析 ................................................... 3 2.2 接入点网络需求分析 ................................................. 4 2.3

　宽带性能需求分析 ................................................... 4 2.4

　企业网络可行性分析 ................................................. 5 2.4.1 网络可靠性分析 ................................................. 5 2.4.2 网络的安全需求分析 ............................................. 5 2.5 企业网络的扩展性分析 ............................................... 5 2.5.1 业务扩展 ...................................................... 5 2.5.2 设备扩展需求 ................................................... 6 2.6 服务质量需求分析 ................................................... 6 第 3 章 项目设计 .......................................................... 7 3.1 设计原则 ........................................................... 7 3.2 网络结构设计 ....................................................... 7 3.2.1 核心层 ....................................................... 8 3.2.2 汇聚层 ....................................................... 9 3.2.3 接入层 ....................................................... 9 3.3 出口带宽设计 ...................................................... 10 3.4IP 地址和 VLAN 的划分表规划 .......................................... 10 3.3 设备选型 ........................................................ 12 3.5.1 设备选型原则 .................................................. 12 3.5.2 核心交换机选型 ................................................ 13 3.5.3 汇聚交换机选型 ................................................ 14 3.5.4 接入交换机选型 ................................................ 15 3.5.5 防火墙选型.................................................... 15 第 4 章 网络方案的实施 ................................................... 17 4.1

　VLAN 技术的应用 .................................................... 17 4.2 DHCP 技术的应用 ..................................................... 18 4.3NAT 技术的应用 ..................................................... 19 4.4

　STP 协议的应用 .................................................... 20 4.5

　动态路由协议（OSPF）的应用 ........................................ 20 4.6

　服务质量保证 Q OS 应用 ............................................ 21 4.7

　VRRP 协议的应用 .................................................... 22

　 4.8

　IP SEC VPN 的应用 ................................................... 23 第 5 章 设备连通性测试 ................................................... 26 5.1

　VLAN 测试 ......................................................... 26 5.2

　DHCP 测试 ......................................................... 26 5.3

　NAT 测试 .......................................................... 27 5.4

　V RRP 测试 .......................................................... 28 5.5

　IPS EC VPN 测试 ..................................................... 30 第 6 章 结束语 ........................................................... 32 参考文献 ................................................. 错误! ! 未定义书签。

　致谢..................................................... 错误! ! 未定义书签。

　 1

　第 第 1 章 绪论

　1.1 研究背景

　在当今蓬勃发展的信息时代，互联网发展越来越成熟，世界经济的迅猛发展离不开互联网所起的作用。在市场经济下，全球化不可抵挡，竞争愈发激烈，中国在 21 世纪也进入多元化的市场，一步一步发展向全球化。对于小帆网络科技有限公司作为一个 IT 的朝阳企业来说，制定合适公司的发展战略，有利于公司的长远发展，但是现代公司发展这所有一切都收以信息化的网络平台作为基础，因此，我们需要一个良好的网络组网作为支撑，利用网络设计的原理及网络规划技术，让网络通畅作为支持基石。

　在网络发展快速的时代，如何保证网络数据安全传输，这是我们面临的一个问题。对于中国的企业网络早期建设，忽视了好多网络无法估测到的问题，这也导致了网络的安全性差。对于小帆网络科技有限公司的财务部门，网络故障很可能给公司造成很大的损失。当网络黑客利用网络漏洞，对数据进行篡改，改变数据的传输，影响公司的业务，给公司造成很大的损失。所以，在网络搭建过程中，对于网络设计上的安全问题，也是企业非常关注的。如不同部门划分 VLAN，隔离广播风暴；在总部于分布建立 VPN，方便公司总部员工与分布员工安全地对接工作等。

　本次实验以小帆网络科技有限公司为研究主体，结合企业实际运营状况，从企业网络的稳定性、可靠性、安全性等方面去设计，建立一个适合公司长久发展的企业网络。

　1.2 研究目的和意义

　小帆网络科技有限公司作为 IT 的朝阳企业，需要依靠网络技术提升办公效率，走在行业的前端。完善的企业网络，有利于公司各部门之间的数据传送与技

　 2

　术联系，提高整体的工作效率。

　 因此，本次实验对小帆网络科技有限公司的网络进行合理地规划，在越来越多的应用数据迁移到网络中，需要承载的流量越来越多。需要一个合理网络来承载越来越多的数据流量的传输。

　1.3 研究内容

　本次研究以小帆网络科技有限公司为研究对象，结合所学知识，使用华为的配置与协议，规划与设计出适合小贩网络科技有限公司的网络拓扑结构，提升公司在整个市场的竞争力。研究的内容主要有以下：

　1、在设计网络模型的选择考虑到公司的业务发展以及网络可靠稳定性，使用经典的层次化网络结构。

　2、为了保证网络的稳定运行，需要的网络结构进行冗余设计，降低网络瘫痪的风险，提高企业网络的稳定性。

　3、研究网络数据传输安全问题。配备合适的网络防火墙。在进行安全设计时，注意简化安全，提高公司网络的安全性。

　4、为公司网络配置 DHCP 服务器。如果利用人工手动配置，可能会造成冲突。

　5、对公司的部门进行 VLAN 划分，隔离广播风暴。

　6、公司总部和分部建立连接，实现内部资源共享，需要搭建虚拟专用网（VPN），保证了数据的安全传输。

　 3

　第 第 2 章 项目需求分析 为了满足现代企业信息化的发展，以及日益增长的网络通信需求，现代的企业网络建设要比传统的企业网络要有更高的要求才能保证公司业务的运行。从公司一下几个方面的需求分析来建设适合企业的网络方案。

　1 2.1 企业用户需求分析

　对局域网的需求 1. 公司内部的所有网络设备和计算机可以连接互联网，可以访问互联网的资源，财务部除外； 2. 人口基数大，同时访问互联网的人数多，要求能够支持 400 个以上的用户同时访问互联网； 3. 公司内部有总经办，技术售后部，研发部，财务部，销售部，人事部。在不同部门之间可以相互访问。划分 vlan 隔离广播风暴。

　4. 在庞大的人数面前，静态配置 IP 地址工作量不仅会很大，而且很容易出现错误，比如说 IP 冲突。为了解决这个问题采用动态分配 I 的方式分配 IP 给用户； 5. 为了能使整个的公司网络互相通信，还有公司未来的发展，为了适应不断扩展的网络需求，公司需要在三层交换机上部署 OSPF 协议，且所有三层交换机都属于骨干区域。； 对广域网的需求：

　1. 公司上网人数对，要求带宽足够大，能够承载公司的数据流量； 2. 公司总部要与分部建立密切的联系，而且数据非常重要，为防止在网络传输中被截获，总部与分部需要建立 vpn 隧道，保证公司数据传输的安全性。

　 4

　2 2.2 接入点网络需求分析

　 小帆网络科技有限公司是一家做 IT 基础设施，IT 基础架构，IT 运维服务和信息安全服务的信息科技企业。于 2014 年集资 3000 万在广州建立，总部设在广州，佛山还设有分公司。如图 2-1 所示是公司的部门架构，

　 总经办 售后技术部 研发部 人事部 财务部 销售部 图 2-1 部门架构

　根据公司的办公需求，用户需要通过有线访问互联网。为了提供给每个用户能够稳定的上网的环境，公司的网络必须具备一定的稳定性，安全性，可管理性。

　2.3

　宽带性能需求分析

　在科技信息发展迅速的今天，基于网络的应用越来越多。完善的企业网络结构需要能够承载多业务的数据流量。不仅仅是实现简单的 web 访问数据业务和不同部门的访问，还需要承载企业相关应用系统的数据。对网络带宽和时延要求都非常高的 IP 电话以及视频会议等等多媒体数据业务。所以，当今企业网络的核心层，必须要具有万兆级带宽 v 幻术和处理性能极高的网络设备，才能够建设一个高效，稳点的企业网络。能够适应和解决网络规模扩大，数据业务量增长的需要。

　 5

　2.4

　企业网络可行性分析

　2.4.1 网络可靠性分析 完善的企业网络必须具备完整可靠性的设计，预防网络故障出现时导致企业网络的正常运行，实现企业网络的实时通信。再宽带性能分析中有提到现在的企业的各种应用数据业务需要在计算机网络上传输。再设计网络可靠性时主要应该从 3 个方面来去设计。

　1. 设备的可靠性设计，是否可以对配置文件进行备份。

　2. 业务的可靠性，在网络收敛的时间内，业务影响的大小。

　3. 网络链路的可靠性，对核心层，汇聚层采用双链路，出现故障时，能够根据网络协议自动切换。

　2.4.2 网络的安全需求分析 企业网络应该具备一个完善的网络安全解决方案，当出现网络安全问题时，能够及时解决安全问题，抵御病毒或者黑客的攻击。小帆网络科技有限公司承载着众多业务的运行，这些数据在公司扮演着一个不可代替的东西，只有这些数据有了一个安全的保障公司才会朝越来越好的方向发展。在传统的网络体系结构中，对网络安全的主要措施是部署防火墙。在现代的网络建设，需要更多安全设备和安全策略相互 IDS、一些杀毒软件、以及在网络设备上配置的 ACL 来抵御黑客的攻击和病毒入侵。按防御方面，采取主动防御和被动防御相结合，减少或者抑制网络安全问题的发生。

　5 2.5 企业网络的扩展性分析

　2.5.1 业务扩展 小帆科技网络有限公司目前总部设在广州，还有一个分布在佛山。根据公司

　 6

　对未来的规划，计划在 5 年内在其他省成立分布。公司规模随着业务不断的增多，规模将会扩大，总部网络建设要能够满足业务的扩展需求。

　2.5.2 设备扩展需求 在选型网络设备的时候，要考虑公司总部规模扩增，选的网络设备要符合国际主流标准，还有就是这些网络设备能够适应当前公司网络需求以及在相对的时间内相新技术升级，能保护现有的投资。

　6 2.6 服务质量需求分析

　为了网络的稳定性，需要提供完善的端到端 Qos 服务保障。公司规模大，数据业务扩增，只提高网络带宽并不能有效的保障数据的高效、快速传输，所以在构建企业网络我们必须要考虑网络要应能识别流量，对流量进行控制，比如会议视频，音频等媒体流。在数据传输时，能够先保证重要和紧急的数据业务传输，降低重要和紧急数据业务的传输时间，实现对公司业务的合理调度。为公司网络提供一个“高品质”的网络通道服务。

　 7

　 第 第 3 章 项目设计 1 3.1 设计原则

　一个完善的网络组网需要先规划好整个网络，分布实施，注重实用的原则，还要遵循先进性，安全性、可靠性、可扩展性、经济性原则。

　先进性和实用性：网络组网的建设应以实用和先进为原则。采用成熟通用的技术的和方法。

　标准性：应选取国家或组织的技术标准和规范，便于网络的互连和操作。

　稳定和安全性：网络的高效，可靠的传输，需要具备一定的容错机制，以避免由于某个模块的故障造成整个网络的瘫痪。对于信息安全重要性，需要对信息进行隔离和保护，在相应的软硬件系统使用相应的安全技术。

　经济性：有良好的性能价格比设备，能够再一定时间内随着技术发展还可以使用。

　可扩展性：公司规模会随着业务的扩大而扩大，届时网络规模也应随着扩大，对网络性能的要求变高，可以基于现有的网络平台对网络规模惊醒扩充，避免对原有的投资早成浪费。

　3.2 2 网络结构设计

　对于企业的网络结构，采用三层网络拓扑结构设计，分别为核心层，汇聚层，接入层。采用这样的设计可以减轻网络主机 CPU 负载；增加网络可用宽带；充分发挥每个设备的特性。对于整个网络整体去考虑，选用混合型拓扑去部署，它优点有以下几个：组网灵活方便，可靠性好、扩展性好，满足多种用途，符合企业网络组网的需求。总体结构如图 3-1 所示

　 8

　 图 3-1 网络设计架构图 3.2.1 核心层 核心层在整个网络高速传输数据起着很重要的作用。在设计核心层一般要采用冗余组件。核心层应该要具备可靠性，冗余性，高效性，可管理性等这些特征。在对核心网络设备选型的时候要选性能优的交换机，采用双机部署模式降低网络节点故障造成的风险。

　避免网络出现网络故障，在两个三层交换机中部署 vrrp 协议，实现故障快速切换。设置主备路由到达出口防火墙，防止单点故障。在核心配置 DHCP 服务，为终端用动态分配 ip 地址。

　配置地址转换，将内部网络的私有 IP 地址转换成公用 IP 地址，访问公网。为实现公司总部与分部的相互通讯和通讯数据安全，部署 ipsec vpn 专线。连接公司的内外网服务器，不同的端口设置不同的安全区域，在防火墙上设置不同的acl 策略和域内，域间安全策略，实现内外网的服务器赋予公司不同部门的不同访问权限和不同部门能上外网的要求。

　核心层网络架构如图 3-2 所示

　 9

　 图 3-2 核心层网络架构 3.2.2 汇聚层 汇聚层是网络接入层与核心层的中介，起着从承上启下的作用。在汇聚层根据不同部门划分 vlan，隔离广播风暴。

　汇聚层架构如图 3-3 所示

　图 3-3 汇聚层网络架构 3.2.3 接入层 接入层是给终端用户提供接入，访问互联网。接入层架构如图 3-4 所示。

　图 3-4 接入层网络架构

　 10

　3 3.3 出口带宽设计

　在企业的需求分析中，有庞大的用户上网，还用重要的应用流量也需要在网络中传输。为了保证 IP 电话和视频会议等多媒体数据流能够高速稳定的传输。在出口采用电信运营商网络，采用千兆带宽接入。电信运营商申请千兆网络 IP 为 200.1.1.1/29。

　3.4P IP 地址和 n vlan 的划分表规划

　Vlan 划分如表 3-1 所示 表 3-1 汇聚层的 vlan 划分 部门 vlan Vlan 号 Vlan 名称 总经办 Vlan 10 ZJB 售后技术部 Vlan20 SHJS 研发部 Vlan30 YFB 人事部 Vlan40 RSB 财务部 Vlan50 CWB 销售部 Vlan60 XSB 管理 vlan Vlan1 GLVLAN

　总经办划分为 vlan10，售后技术不划分为 vlan20，研发部划分 vlan30，人事部划分 vlan40，财务部划分 valn50，销售部划分为 vlan60. 各部门网段规划如表 3-2 所示 表 3-2 部门网段规划 IP 网段 默认网关 部门 vlan 10.1.0.0/22 10.1.3.254 总经办 10.1.4.0/22 10.1.7.254 售后技术部 10.1.8.0/22 10.1.11.254 研发部

　 11

　10.1.12.0/22 10.1.15.254 人事部 10.1.16.0/22 10.1.19.254 财务部 10.1.20.0/22 10.1.23.254 销售部 10.0.0.0/24 10.0.0.254 管理 vlan 总 经 办 可 用 IP 为 10.1.0.1-10.1.3.253 ， 售 后 技 术 部 可 用 IP 为10.1.4.1-10.1.7.253，研发部可用 IP 为 10.1.8.1-10.1.11.253，人事部可用 IP 为10.1.12.1-10.1.15.253，财务部可用 IP 为 10.1.16.1-10.1.19.253，销售部可用10.1.20.1-10.1.23.253. 设备 IP 分配如表 3-3 所示 表 3-3 IP 地址分配表 设备 端口号 IP FW8 G0/0/0 192.168.133.200/24

　G1/0/0 200.1.1.1/29

　G1/0/1 192.168.70.1/24

　G1/0/2 192.168.80.1/24 LSW2 Vlanif10 10.1.0.1/22

　Vlanif20 10.1.4.1/22

　Vlanif30 10.1.8.1/22

　Vlanif40 10.1.12.1/22

　Vlanif50 10.1.16.1/22

　Vlanif60 10.1.20.1/22

　Vlanif70 192.168.70.2/24

　Vlanif90 192.168.90.254/24 LSW3 Vlanif10 10.1.0.100/22

　Vlanif20 10.1.4.100/22

　Vlanif30 10.1.8.100/22

　Vlanif40 10.1.12.100/22

　 12

　 Vlanif50 10.1.16.100/22

　Vlanif60 10.1.20.100/22

　Vlanif80 192.168.80.2/24 FW7 G0/0/0 192.168.133.100/24

　G1/0/0 100.1.1.1/30 服务器 E0/0/0 192.168.90.1/24 服务器的 IP 为 192.168.90.1，个接口 IP 分部如表。

　3.3 设备选型

　3.5.1 设备选型原则 遵循原则：

　1.高可靠性和高可用性：要求有物理层、数据链路层和网络层的要考虑多种容错技术 2.高带宽和支持先进技术：为了能够保证数据、视像多媒体的传输能力，在技术上支持当前的国际先进技术，符合国际标准，采用最先进的网络技术。

　3.易扩展的网络设备：网络设备要有可扩展性和可升级性，随着业务的流量的不断增长和和应用数据不断增多，要求网路设备必须要有很好的可扩展性，并能随着技术的发展不断升级。在网络设计下要考虑新的网络节点能够方便加入加入当前的网络。

　4.安全性：网络身背应具有良好的安全性，在网络中传输着公司重要的数据业务，安全管理十分重要。

　5.容易控制管理：所有的网络设备支持网络管理，用网管软件进行监控，管理和维护。

　 13

　3.5.2 核心交换机选型 核心机正面如图 3-5 所示

　图 3-5 S9306 设备正面图 小帆网络科技有限公司选择华为S9306作为内网的核心交换机主要是从节约公司建设网络成本，和选用性能高的设备为原则。成本相对较低，性能高。

　下面介绍华为 S9306 交换机的主要参数 ：

　（1）产品类型：核心交换机 （2）应用层级：三层 （3）端口结构：模块化构成 （4）硬件参数：控制端口 4 个 10GE+6*48 个 GE （5）功能特性：DHCP Sever、DHCP Snooping、支持 ACL 报文过滤、AAA认证、防 ARP 攻击 （9）网络管理：

　支持 Console、Telnet、SSH 远程方式； 支持通过文件备份，支持通过 ftp 方式更新配置和下载配置，支持配置管理交换机； 支持用户操作日志 （10）传输速率：1000Mbps/10Gbps

　 14

　3.5.3 汇聚交换机选型 S9303 正面如图 3-6 所示

　图 3-6 S9303 设备正面图 公司选择共 3 台华为 S9303 作为汇聚交换机，分别上联到两台核心交换机S9306。

　华为 S9303 主要参数 ：

　（1）产品类型：汇聚交换机 （2）应用层级：二层/三层 （3）端口结构：模块化构成 （4）传输速率：10/100/1000Mbps （5）交换方式：存储-转发 （6）功能特性：

　支持 Access、Trunk、Hybrid 方式； 支持 default VLAN； 支持 Qos； （7）网络管理：

　支持 Console、Telnet、SSH 管理设备； 支持通过 FTP、TFTP 方式上传、下载文件；

　 15

　3.5.4 接入交换机选型 S5700 正面如图 3-7 所示

　图 3-7 S5700 正面图 网络接入层设备，上联连接时汇聚交换机，下联提供用户终端设备接入。考虑公司部门较多，选择 6 台华为 S5700 接入层交换机。

　华为 S5700 主要参数 ：

　（1）产品类型：接入层交换机 （2）应用层级：二层 （3）端口结构：非模块化，一体式 （4）端口数量：48 个 （5）功能特性 :支持 Telnet 远程配置、维护 3.5.5 防火墙选型 型 USG6000 如图 3-8 所示

　图 3-8 USG6000 设备正面图 对于外网接入安全以及公司需求，需要支持 VPN，NAT 等功能。华为防火墙 USG6000 能够满足网络设计需求作为出口防火墙。

　 16

　华为 USG6000 防火墙主要参数：

　（1）

　接口性能和类型：4GB Combo+4GE RJ45 （2）

　支持 vpn 功能类型：IPsec VPN, MPLS VPN （3）

　检测流量攻击：Dos 攻击 （4）

　功能特性：支持 IPV4，IPV6，OSPF，ACL，支持透明、路由、混合等模式部署，支持主主、主备模式备份

　 17

　第 第 4 章 网络方案的实施 4.1

　n vlan 技术的应用

　虚拟局域网（Virtual Local Area network）允许一组不同物理位置的网络用户（网络节点）共享一个独立的广播域。不同一 VLAN 的节点之间的通信，数据需要经过三层交换，才能互访。VLAN 可以对广播风暴进行隔离；简化网络管理；简化网络结构；提高网络的数据安全。对 vlan 基于端口、MAC 地址、协议划分vlan。各交换机之间的连接需要配置为 trunk 端口；VLAN 的技术特点主要体现在广播控制、灵活性和安全性。

　Vlan 的设计原则主要包括：

　（1）vlan 的划分和设计以计算机所在的部门或计算机所承担的功能为依据。

　（2）Vlan 的设计与 IP 地址规划相结合。

　（3）一个 vlan 内的主机数量不宜过多。

　小帆网络科技有限公司采用的是基于端口的 vlan，它是将交换机的端口强制性的分配给不同的 vlan，优点是划分简单，性能好，大部门交换机都支持，交换机分担小，易于建立和监控。

　Vlan 配置：

　vlan batch 10 20 30 40 50 60 70 90

　//创建 vlan vlan 1

　description GLVLAN

　 //对 vlan 进行命名 vlan 10 description ZJB interface Vlanif10

　 //进入 vlan 逻辑接口 ip address 10.1.0.1 255.255.252.0

　//配置 IP 地址 interface Ethernet0/0/2

　/进入连接的端口 port link-type trunk

　//设置端口类型为 trunk

　 18

　port trunk allow-pass vlan 2 to 4094

　 //端口所允许通过 vlan 值 interface Ethernet0/0/3

　/进入连接的端口 port link-type trunk

　//设置端口类型为 trunk port trunk allow-pass vlan 2 to 4094

　 //端口所允许通过 vlan 值 interface Ethernet0/0/1

　/进入连接的端口 port link-type access

　//设置端口类型为 access port default vlan 10

　//该端口属于 vlan10

　p 4.2dhcp 技术的应用

　DHCP 是动态主机配置协议。是基于 C/S 模式的，提供一种动态的 IP 地址和配置参数的机制。

　对于小帆科技网络公司的接入点比较多，手工静态分布 IP 地址工作量较大，可能会造成 IP 冲突的情况，导致用户不能上网，给公司的网络维护以及对网络的管理造成极大的麻烦。为了方便管理和节约公司管理的成本，此网络在核心层搭建 DHCP 服务器，为用户动态分布 IP 地址。

　DHCP 配置（以核心的 LSW2 为例）：

　DHCP enable

　//开启 DHCP 服务 ip pool cwb

　 //建立财务部的 IP 地址池 network 10.1.16.0 mask 255.255.252.0

　// 配置网络网段和子网掩码 gateway-list 10.1.19.254

　//配置网关

　 excluded-ip-address 10.1.16.1 10.1.17.1 //将此地址从分配地址池中排除 lease day 30

　//设置 ip 地址有效租期 30 天 interface Vlanif50

　 //进入逻辑接口 dhcp select global

　//采用全局地址池分配

　 19

　4.3T NAT 技术的应用

　NAT 时网络地址转协议，它是一个 IETF 标准。将私有地址转换为公有地址。公网 IP 是一个合法身份象征的标志，只有通过合法的 IP 地址，我们才可以连入互联网。

　在现代企业内部网络网建设中，为了节省资源、成本、IP 地址资源枯竭，从这几方面考虑会使用私有 IP 地址来实现数据的转发以及网络资源的共享。

　NAT 主要有静态地址转换，动态地址转换以及端口复用，静态地址转换的核心一对一地进行映射。动态地址转换是私有 IP 地址与公有 IP 地址一个动态的映射过程。端口复用时多个私有 IP 地址转换为一个公有 IP 地址。。

　小帆网络科技网络拓扑设计应用的 NAT 技术为端口复用技术，根据拓扑的实际情况，因为防火墙 FW1 为出口网关设备，连接公司内部局域网和外部网络两个网络，由于防火墙的 G1/0/0 接口配置的是公网 IP 地址，所以要在防火墙上部署 NAT 技术，访问互联网。

　新建地址转换策略如图 4-1 所示

　图 4-1 NAT 转换策略 在新建一条去分部 IP 不转换的策略，如图 4-2 所示

　 20

　 图 4-2 NAT 不转换策略 4.4

　P STP 协议的应用

　STP 是生成树协议，是一种防止链路层出现环路的协议，通过计算无环路的网络结构，阻塞特定端口，实现网络无环路。小帆网络科技有限公司网络使用生成树协议(STP)可应用于环路网络，如果出现环路，公司的网络将出现很大的故障，在核心层交换机选举的主根桥和备份根桥，是提高网络可靠性的必然选择。

　LSW1 整个网络的主根桥，LSW2 为整个网络的备份根网桥。

　stp enable

　//开启生成树 stp mode stp

　//改为 stp LSW2 作为主根交换机，LSW3 作为备份根交换机 stp priority 0

　 //优先级改为 0 stp priority 4096

　 //优先级改为 4096 4.5

　动态路由协议（O O SPF ）的应用

　OSPF 中文是开放最短路径优先的路由协议，是一种链路状态（Link-state）

　 21

　的路由协议。工作在网络层，IP 协议号为 89，以组播地址发送协议包，它的工作流程包括寻找邻居，建立邻接关系，链路状态信息传递，路由计算等。在广播组网中，需要选举 DR，BDR，在广播网络中，使用组播地址 224.0.0.5 发送报文。

　以下总结 OSPF 优点：

　1、OSPF 由于其算法，不会自己产生环的路由协议 2、OSPF 收敛速度快：网络结构变动时，能够在最短的时间内将路由完成同步。

　3、在 OSPF 中提出区域划分的概念，将自治系统划分为不同区域后，通过不同区域对路由信息的摘要，减轻设备的负载。也使得路由信息不会随网络规模的扩大而急剧膨胀。

　LSW2 的配置如下：

　ospf 1 area 0.0.0.0

　//ospf 的进程为 1，router id 为 0.0.0.0 network 10.1.0.0 0.0.3.255

　 //宣告直连网段 network 10.1.4.0 0.0.3.255 network 10.1.8.0 0.0.3.255 network 10.1.12.0 0.0.3.255 network 10.1.16.0 0.0.3.255 network 10.1.20.0 0.0.3.255 network 192.168.70.0 0.0.0.255 network 192.168.90.0 0.0.0.255

　4.6

　服务质量保证

　Q Qs os 应用

　QOS 是服务质量，当网络数据在传输中可以用 QOS 协议来解决网路延迟和网络阻塞问题。我们设计的网络具有端到端的 QOS，包括局域网的 QOS 和广域网的 QOS。

　 22

　采用 qos 设计其目标是：

　1、避免网络拥塞 2、减少丢包率 3、防止数据包抖动，即调控网络两端的流量速率趋于平缓、相等的速率进行传输，不会出现数据包与数据包之间传输时间的不一致 4、为特定用户或服务提供专用带宽 5、支撑网络上的实施业务 4.7

　p vrrp 协议的应用

　VRRP 是虚拟路由冗余协议，通过两台或者多台三层网络设备组成一台虚拟的三层网络设备，将虚拟路由设备的 IP 地址作为用户的默认网关实现与外部网络通信。当网关设备发生故障时，VRRP 机制能够选举新的网关设备承担数据流量，从而保障网络的可靠通信。

　业务的不断扩大，网络中断会导致公司利益损失，保证网络的稳定性，在核心层配置 VRRP 负载分担模式，即实现网关的冗余备份。

　LSW3 的配置如下：

　interface Vlanif10

　 //进入相 vlan 接口 ip address ip address 10.1.0.100 255.255.252.0

　//设置本地接口 ip 地址 vrrp vrid 1 virtual-ip 10.1.3.254

　 //创建虚拟路由 id 和虚拟网关地址 vrrp vrid 1 priority 120

　//指定该这杯在 vrid 为 1 的优先级为 120 vrrp vrid 1 track interface GigabitEthernet 0/0/2 reduced 30//当 0/0/2 端口发生故障时，优先级降低 30，由于华为默认为 100，降级了，备机就会转换为主状态。

　对端设备配置如下，优先级采用默认的值 LSW2 的配置如下：

　interface Vlanif10 ip address 10.1.0.1 255.255.252.0 vrrp vrid 1 virtual-ip 10.1.3.254

　 23

　vrrp vrid 1 track interface GigabitEthernet0/0/1

　 4.8

　IP sec

　n vpn 的应用

　IPSec VPN即指采用IPSec协议来实现远程接入的一种VPN技术，是由IETF定义的安全标准框架，IPSec VPN 由于安全机制，对数据进行加密保护，广泛应用于公司总部和分支机构之间的组网互联。在总部份分支建立虚拟的隧道，将总部和分部连接起来，形成一个大的局域网。

　IPSec VPN 是运行在网络层的协议，IPSec 是新一代的 VPN 技术中可以通过 Internet 建立起稳定的、安全的虚拟专用线路，比 GRE 和 L2TP 更加安全，因为他们之间可以加密数据，能够保证公司总部和分布之间的数据进行安全的传输。使用 ESP 加密和 AH 进行验证，当数据被不法分子截获了也是无法获取到里面的数据，当数据被篡改时，通过算法可以及时发现，从而更好的保证诗句安全。利用 IKE 协议通过协商的方式在公司总部和分布之间建立动态的 IPSec SA，方便未来分部数量的增加，可以大量减少以后分部密钥配置的修改。在未来的一段时间内，小帆科技有限公司的规模的扩建，届时就不需要在创建 IPSec 安全联盟所涉及到的参数，这样节省公司人工的支出成本。

　首先我们建立的是点对点的 IPSec VPN。配置本段的 IP 和对端的 IP 地址如图 4-3 所示

　 24

　图 4-3 本段接口地址和对端接口地址 然后配置共享密钥和加密的数据流，如图 4-4 所示

　图 4-4 配置共享密钥和加密数据流 配置 ike 参数，如图 4-5 所示

　图 4-5 配置 ike 参数 配置 IPSec 参数，如图 4-6 所示

　 25

　 图 4-6 配置 IPSec 参数 开启对等体检测，如图 4-7 所示

　图 4-7 配置对等体检测

　 26

　 第 第 5 章 设备连通性测试 5.1

　N VLAN 测试

　测试总经办和研发部的通信。先从 DHCP 获取总经办的 IP 地址是10.1.3.243/22，研发部的 IP 是 10.1.11.253/22，在总经办的 PCping 研发部的 PC，总经办可以 ping 通研发部，说明内网是可以互通。如图 5-1 所示

　图 5-1 总经办可以访问研发部

　5.2

　P DHCP 测试

　PC 获取 IP 地址的方式改为 DHCP，如图 5-2 所示

　 27

　 图 5-2 获取地址方式为 DHCP 总经办的电脑可以自动获取 IP 地址，如图 5-3 所示：

　图 5-3 自动获取的 IP 地址

　5.3

　T NAT 测试

　在总经办用 DHCP 协议自动获取 IP 地址为 10.1.3.253 的 PC，访问公网地址114.114.114.114，PC 可以访问公网地址，如图 5-4 所示

　 28

　 图 5-4 总经办可以访问互联网 我们在路由器的端口抓包，从数据包中，源地址是 200.1.1.1，目的地址是114.114.114.114，这是完成地址转换的结果。如果地址没转换，源地址是10.1.3.253，目的地址是 114.114.114.114。如图 5-5 所示

　图 5-5 地址经过 NAT 转换

　5.4

　V Vp rrp 测试

　查看交换机主状态，lsw3 的 vlan10 为 master，主状态，虚拟 ip 地址为10.1.3.254，主状态的 ip 地址为 10.1.0.100，即为本端的 ip 地址，优先级为 120，通过监控接口 0/0/2 状态，如果关闭了，把优先级降 30。如图 5-6 所示

　 29

　 图 5-6 端口正常优先级 LSW3 的 G0/0/2 关闭后，如图 5-7 所示

　图 5-7 关闭 G0/0/2 优先级

　 查看lsw2的备状态，虚拟ip地址为10.1.3.254，主状态的ip地址为10.1.0.1，本端的优先级为变为 120，主状态的优先级为 120，如图 5-8 所示

　 30

　图 5-8 LSW2 的优先级 5.5

　IPSec

　N VPN 测试

　总经办的 IP 地址是 10.1.3.253 ，如图 5-9 所示

　图 5-9 总经办的 IP 分部的 IP 为 192.168.10.1/24，如图所示 5-10 所示

　图 5-10 分部的 IP 在总部的 PC 10.1.3.253 访问分部的 PC 192.168.10.1,总部是可以成功访问分

　 31

　部的 PC 的，如同 5-11 所示

　图 5-11 成功访问分部 PC 在分部的防火墙上进行抓包，从数据中可以查看，改数据包通过 ESP 协议加密传输，无法查看数据包的内容，如图 5-12 所示

　图 5-12 数据经过加密

　 32

　 第 第 6 章 结束语 经过在实习中的总结和学习，完成了网络规划论文《小帆网络科技有限公司的网络规划于实现》的设计，在开始构思论文的时候，不知道如何去选题，不知道如何下手，后来自己查看相关的资料和文献以及老师的指导和同学的帮助之后，完成了论文的设计。

　在本次小帆网络科技有限公司的网络规划于实现项目中，我基本遵循了企业网络规划的要求，设计基本满足于企业办公需求的方案。为公司建立了完整的网络系统，提供给员工一个高效的办公网络，从另一个角度来看，提高公司在行业的竞争力。规划与设计完善的企业网络，本毕业论文主要从公司的规模，网络功能需求，逻辑网络设计，网络技术，网络设备选型等方面进行分析和研究。但是在本次小帆网络科技有限公司的网络规划与实现过程中，仍然存在着很多不足之处，由于我之前接触到的网络技术经验不够。在我实习的过程中，项目中有深信服的安全设备，但是在小帆网络科技有限公司的网络规划与实现中，由于涉及到不同厂家品牌的设备以及 ensp 模拟器的限制，采用了华为的设备做实验。

　综上，通过本次小帆网络科技有限公司的网络规划与实现，在企业的组网设计方面有了更深层次的了解，当然能够使用在学校里和工作中所学习到的知识并在自己的毕业论文项目中去实现它，验证它，对于自己提高有很大的帮助，同时也让我对自己的工作生涯和前进的方向有了前所未有的冲劲，相信自己在以后的工作中会拥有更强大的竞争力，实现自己的理想目标。