佛山传媒办公网络规划与设计

系统简介

本课题基于佛山传媒公司大楼的企业网络的规划与设计方案进行概括。企业网络通常是一种用户高密度的非运营网络，在有限的空间内聚集了大量的终端和用户。同时对于企业网络而言，注重的是网络的简单可靠、易部署、易维护。因此，企业网络的规划在设计上通常采用星型结构作为拓扑结构，且在逻辑上，可分为核心层、汇聚层、接入层，每一层都有其特点。
因此，在本课题中，佛山传媒公司的网络拓扑将采用三层网络结构进行设计。通过分层设计，使得公司网络可模块化增长，提高公司网络的可扩展性；通过分层设计将公司网络分成各个单元，降低了网络的整体复杂性，使得公司网络运维人员在故障排除中更加容易；通过分层设计，使得公司网络单个设备的配置复杂性大大降低，更容易管理。
在三层网络结构基础上，接入层通过MSTP+VRRP的技术搭配将公司各部门接入网络汇聚到汇聚层设备上，汇聚层设备作为各部门网络的网关，要合理地规划好MSTP实例将各部门流量引导到不同的汇聚网关设备上；在汇聚设备与核心设备之间通过手工链路聚合提高链路带宽，部署OSPF，通过修改OSPF cost值，人为地将流量引导到高带宽的聚合链路上；防火墙作为公司出口网关设备，部署双机热备技术，保障公司在访问互联网业务时不会出现单点故障。
关键词：企业网络，网络三层结构、冗余备份

第1章 绪论

1.1项目背景
佛山传媒有限公司，是一家集广告、销售、电商及物流、印刷、系列媒体经营业务及文化产业投资业务的文化传媒公司。其中在佛山南海区、顺德区、三水区、高明区设有分部。禅城区作为集团总部所在地，新建大厦作为总部的办公核心机构，其中总部拥有员工818名。
1.2项目研究意义
考虑到报社资金、报社计算机应用的现状、报社教职员的现有水平以及网络建设和应用系统开发的固有规律，针对上述实际情况，将会建设一个以办公自动化、计算机辅助 、现代计算机新大楼办公文化为核心，以现代网络技术为依托，技术先进、扩展性强、能覆盖全校主要楼宇的新大楼办公主干网络，将报社的各种PC机、工作站、终端设备和局域网连接起来，并与有关广域网相连，在网上宣传自己和获取Internet网上的教育资源。形成结构合理、内外沟通的新大楼办公计算机网络系统，在此基础上建立能满足科研和管理工作需要的软硬件环境，开发各类信息库和应用系统，为报社各类人员提供充分的网络信息服务。系统总体设计将本着总体规划、分布实施的原则，充分体现系统的技术先进性、高度的安全可靠性，同时具有良好的开放性、可扩展性。我公司始终本着为报社着想，合理使用建设资金，使系统经济可行，功能强大。
1.3本课题研究的内容
本课题以佛山传媒公司作为研究对象，结合公司对网络建设的需求和企业网络建设中所采用的主流协议技术进行分析，通过华为设备的技术与配置来规划和实现佛山传媒公司网络的建设，其中涉及到的路由交换技术和安全技术都是在企业网络建设中普遍采用的主流技术，如数据交换和安全技术中的VLAN、MSTP、VRRP、链路聚合、DHCP、OSPF、防火墙双机热备、IP-LINK链路检测、VGMP、NAT、防火墙的安全策略和NAT策略、ACL、IPSec VPN、L2TP VPN等，如何将上面的协议技术结合应用到佛山传媒公司网络的建设是本课题研究的内容。
1.4论文的组织结构
本论文共由5个章节组成，主要内容及结构安排如下：
1.绪论，主要介绍了公司的背景、项目研究意义和项目研究内容。
2.公司网络系统需求分析，结合佛山传媒公司对企业网络的建设需求，参考业界对企业园区网络建设的建议进行分析。
3.公司网络逻辑设计，根据公司网络的需求分析，对公司网络进行逻辑设计，包括公司网络拓扑规划、 设备选型、系统原则等方面进行规划。
4.具体实施方案，按公司需求分析进行设计，将VLAN、MSTP、VRRP、链路聚合、DHCP、OSPF、防火墙双机热备、IP-LINK链路检测、VGMP、NAT、防火墙安全策略、防火墙NAT策略、ACL、IPSec VPN、L2TP VPN等技术运用到公司网络设计中。
5.网络测试，对网络设计技术实施方案进行测试，保证公司网络稳定工作。

第2章 需求分析

2.1用户需求分析
设计一个网络，首先要为用户分析目前面临的主要问题，确定用户对网络的真正需求，并在结合未来可能的发展要求的基础上选择、设计合适的网络结构和网络技术，提供用户满意的高质服务。
网络在佛山传媒日常办公环境中起着至关重要的作用，新大楼办公网的运作模式会带来大量动态的www应用数据传输，会有相当一部分应用的主服务器有高速接入网络的需求（目前为100/1000Mbps，今后可会更高）。这就要求网络有足够的主干带宽和扩展能力。
除上述考虑外，还要注意到由于逻辑上业务网和管理网必须分开，所以建成后新大楼办公网应能提供多个网段的划分和隔离，并能做到灵活改变配置，以适应办公环境的调整和变化，及实现移动办公的要求。按目前通常的考虑，建议数据信息点的接入以交换1000Mbps以太网端口接入为主，以供带宽需求较高用户或应用使用。整个方案设计的目的是建设一个集数据传输和备份、OA应用和Internet访问等于一体的高可靠、高性能的宽带多媒体新大楼办公网。
2.2功能需求分析
佛山传媒有限公司总部将按照标准的网络三层设计原则对企业网络拓扑结构进行设计。通过对总部的网络进行需求分析，其中总部共设有四大部门，分别是行政部、销售部、财政部和办公综合部，针对总部情况，有以下几点要求：
1.根据需要，对总部不同部门的IP地址段和VLAN进行划分，并列出详细的规划表。
2.为了进一步提高终端设备访问网络的稳定性，确保冗余性，所以接入层到汇聚层采用MSTP+VRRP的解决方案。
3.汇聚层作为接入层和核心层的中介，在企业网络中有着承上启下的作用，在这里汇聚层设备与核心层设备采用OSPF的解决方案，利用链路状态路由协议的特点，实现汇聚到核心层的冗余性。
4.防火墙作为公司网关出口设备，为了避免单点故障导致公司无法访问互联网，在这里采用双防火墙的主备双机热备解决方案。
5.为了避免运营商出现光纤故障、上联机房设备故障等问题导致公司无法访问互联网所造成的工作和经济上的影响，公司分别向中国电信和中国联通租用了ISP线路，实现互联网线路的主备冗余，但为了充分利用资源，公司会同时使用两条线路进行互联网的访问，如果其中一条线路发生故障，网关设备也可以通过IP-LINK检测自动平滑地切换到另外一条线路。
6.公司设有四个分部，分别是南海分部、顺德分部、三水分部和高明分部。公司要求实现总部与分部的互联互通，在这里将采用搭建IPSec VPN的方式进行解决。
7.公司总部对国际网站有访问的需求，但因为各种原因导致无法访问或访问缓慢，在这里总部购买了运营商的服务，与运营商香港服务器搭建L2TP VPN，通过域名访问方式访问国际网站。
2.3本章小结
通过对佛山传媒公司网络建设的需求分析可以得出，如何保证办公网络的高效性、可靠性和冗余性是非常需要重视的问题，因此针对需求如何更好地进行公司网络的规划和技术实施，是我们要研究的方向。

第3章 网络逻辑设计

3.1佛山传媒办公网络建设原则
随着现代计算机应用的高速发展，特别是诸如图形、语音、视频等多媒体信息和技术在管理信息系统、科研设计等领域的广泛应用，为网络平台的设计提出了更高的要求。为了更好地满足用户的需求，保证系统能正常稳定运行，在较长的时间内不落后，在本网络系统方案设计中，我们认为应当把握以下几个原则：
1、稳定性
只有运行稳定的网络才是可靠的网络，而网络的可靠运行取决于诸多因素，如网络的设计，产品的可靠，而选择一个具有运营此类网络规模经验的网络合作厂商则更为重要。要求有物理层、数据链路层和网络层的备份技术。
2、高带宽
为了支持数据、话音、视像多媒体的传输能力，在技术上要到达当前的国际先进水平。要采用最先进的网络技术，以适应大量数据和多媒体信息的传输，既要满足目前的业务需求，又要充分考虑未来的发展。为此应选用高带宽的先进技术。
3、先进性
网络硬件、软件平台的先进性，要注意选择性能价格比好的先进技术和硬件和软件组网，保证系统的基础环境十年不落后。
4、标准性和开放性
选择统一性的网络结构与软件硬件平台，有利于系统的建立与开发。制定信息管理的规范，在报社领导下，组织有关人员对管理信息系统进行系统分析，制定数据流图和数据结构，为信息系统的开发奠定基础。为了实现与各种网络互访的要求，要选择开放的网络体系结构，既要选择当前的主流产品，又要具有开放性，以利于今后的扩充。
5、可扩展性
系统要有可扩展性和可升级性，随着业务的增长和应用水平的提高，网络中的数据和信息流将按指数增长，需要网络有很好的可扩展性，并能随着技术的发展不断升级。易扩展不仅仅指设备端口的扩展，还指网络结构的易扩展性：即只有在网络结构设计合理的情况下，新的网络节点才能方便地加入已有网络；网络协议的易扩展：无论是选择第三层网络路由协议，还是规划第二层虚拟网的划分，都应注意其扩展能力。
6、容易控制管理
因为上网用户很多，如何管理好他们的通信，做到既保证一定的用户通信质量，又合理的利用网络资源，是建好一个网络所面临的首要问题。
7、经济性
充分利用原有的软件、硬件资源，减少投资浪费，做到高性能价格比。
8、安全性
网络系统应具有良好的安全性，保证数据的安全及网络使用的安全。由于佛山传媒网络连接园区内部所有用户，安全管理十分重要。应支持VLAN的划分，并能在VLAN之间进行第三层交换时进行有效的安全控制，以保证系统的安全性。
9、符合IP发展趋势的网络
在当前任何一个提供服务的网络中，对IP的支持服务是最普遍的，而IP技术本身又处在发展变化中，如IpV6，IP QoS，IP Over SONET等等新兴的技术不断出现，佛山传媒新大楼办公网络必须跟紧IP发展的步伐，也就是必须选择处于IP发展领导地位的网络厂商。
在后面的网络技术选型和系统方案中，以上设计原则和思想都将会被贯彻始终。
3.2佛山传媒办公网络拓扑设计
佛山传媒办公网络采用三层网络设计，整体的网络拓扑如下图所示：

图 31 佛山传媒公司整体网络拓扑规划

3.4公司网络规划建设
佛山传媒公司总部一共设置了四个部门，分别是行政部、销售部、财政部和办公综合部，其中办公综合部另外设置了IT部、综合部、服务器管理和监控管理；公司有四个分部、分别是南海分部、顺德分部、三水分部和高明分部。针对公司上述情况，为不同分部和总部不同部门进行IP网段和VLAN的规划。
公司总部各部门IP网段和vlan规划：

3.5本章小结
通过对公司办公网络的规划与设计，其中包括针对网络技术需求进行设备选型和办公网络拓扑设计，在对公司网络拓扑中的汇聚网络、骨干网络和双出口网关网络进行了较为详细的分析，并根据公司实际情况，对公司各部门进行了VLAN和IP地址网段的规划，为后续的网络实施方案做好充分的准备，确保该项目方案能够顺利地进行。

第4章 网络实施方案

4.1公司汇聚网络技术实施应用
4.1.1VLAN
在我们规划一个网络时，应该始终关注网络中的广播域的大小，采用适当的技术将一个大的广播域切割成若干个小的单元，在这里，我们采用VLAN（Virtual Local Area Network，虚拟局域网技术）技术，结合佛山传媒公司对于网络建设的需求，我们对公司各部门和各部门下属分支设置了不同的VLAN。在这里采用VLAN可以隔绝广播，减少公司网络的广播流量，提高公司网络的稳定性，在部署VLAN时也使得在规划办公网络时更加灵活，提高了公司网络的可管理性，极大地方便了网络管理和维护。
佛山传媒公司各部门和各部门下属分支规划了不同的VLAN和IP网段，在接入交换机采用基于端口划分VLAN的方式进行配置，比如接入交换机的G0/0/11划分给了行政部（VLAN 10），G0/0/12划分给了销售部（VLAN 20）、G0/0/13划分给了财政部（VLAN 30）、G0/0/14划分给了IT部（VLAN 40）、G0/0/15划分给了综合部（VLAN 72），然后通过下联傻瓜交换机将各VLAN接入到汇聚网络中的接入交换机上。
4.1.2MSTP
在佛山传媒公司网络中，我们会部署冗余的设备和冗余的链路，从而使公司业务流量在故障发生时通过冗余的设备及冗余的链路进行转发。我们在汇聚网络中采用生成树协议，来实现设备和链路的冗余，其中：
1.生成树协议能消除二层环路，通过部署生成树协议，当交换网络存在环路时，交换机之间会通过交互BPDU报文进行一系列的计算，将生成树会将网络中的一个接口或多个接口进行阻塞，形成一个无环的交换网络。
2.生成树协议能够备份链路，当活动路径发生故障时，激活备份链路，及时恢复网络连通性。
目前华为支持三种生成树协议，分别是：STP、RSTP和MSTP。在这里我们选择MSTP作为实施公司汇聚网络的技术，而不选择STP和RSTP，因为：
1.STP和RSTP会导致公司汇聚网络无法实现流量分担，因为生成树协议的特性，在经过计算后会阻塞一个接口或多个接口，从而导致被阻塞的链路无法转发流量，造成链路的浪费。
2.STP和RSTP会导致公司汇聚网络产生次优二层路径。
所以，选择MSTP作为公司汇聚网络实施的技术，将彻底解决以上存在的不足。MSTP，也称为多实例生成树协议，MSTP兼容STP和RSTP，既可以快速收敛，又提供了数据转发的各个冗余路径，在数据转发过程中实现VLAN数据的负载均衡。一个MST域内可以生成多颗生成树，每颗生成树都称为一个MSTI（实例），每个MSTI都是使用单独的RSTP算法，计算单独的生成树。
在公司汇聚网络中，一共设置了两个实例，分别是instance 10 和instance 20。其中instance 10 映射VLAN10、VLAN20、VLAN30、VLAN40，instance 20映射VLAN72；汇聚交换机LSW7作为instance 10 的主根桥，instance 20的备根桥，汇聚交换机LSW8作为instance 20的主根桥，instance 10的备根桥。通过以上的规划，使得行政部、销售部、财政部和IT部的流量都由交换机LSW7来承担，综合部的流量由LSW8来承担，实现流量的负载分担，一旦发生链路故障或者设备故障，MSTP也能通过端口角色的快速切换和P/A机制快速收敛网络，实现网络的冗余性。
在这里以LSW7交换机中作为配置举例，用图片展示：

图 41 LSW7交换机MSTP配置示例
4.1.3VRRP
在佛山传媒公司网络中，汇聚交换机作为各接入部门的网关设备，因为采用MSTP的原因，如果其中汇聚设备LSW7发生了故障，那么将会触发MSTP的收敛计算，MSTP会将发往故障设备LSW7的流量切换到备的汇聚交换机LSW8，但是如果LSW8并没有行政部、销售部、财政部和IT部的网关，那么将会造成单网关故障，使得行政部、销售部、财政部和IT部的流量都无法发往internet，所以，为了解决上述的问题，我们在这里采用VRRP（虚拟路由冗余协议）技术。
LSW7和LSW8作为各接入部门的网关设备，其中LSW7是行政部、销售部、财政部和IT部的主设备，LSW8是综合部的主设备，所以我们在LSW7和LSW8分别以各部门VLAN号作为VRRP的进程号，配合MSTP，设置不同MSTP实例下不同汇聚交换机的不同VRRP进程的优先级。下面将以交换机LSW7的instance 10作为举例：
1.在instance 10中，LSW7作为行政部的主交换机，于是在LSW7的vlanif 10接口下根据行政部的VLAN号10设置了进程号为10的VRRP，VRRP优先级设置为120，虚拟的网关地址为规划的192.168.10.254，vlanif10的接口地址设置为192.168.10.252，然后在LSW8的vlanif10接口下，配置接口地址为192.168.10.253，设置进程号为10的VRRP，VRRP优先级为默认的100，虚拟的网关地址为规划的192.168.10.254，销售部、财政部和IT部均按照以上操作执行。
2.综合部将LSW7作为备交换机，所以在LSW7的instance 10 中，在LSW7的vlanif 72接口下根据综合部的VLAN号72设置了进程号为72的VRRP，VRRP优先级为默认的100，虚拟的网关地址为规划的192.168.75.254，vlanif72的接口地址设置为192.168.75.252，然后在LSW8的vlanif10接口下，配置接口地址为192.168.75.253，设置进程号为70的VRRP，VRRP优先级为默认的120，虚拟的网关地址为规划的192.168.10.254。
在设置完VRRP后，如果当主交换机发生了故障，那么VRRP将备交换机切换为主交换机，实现故障交换机的流量能通过备交换机转发出去，但此时如果汇聚交换机LSW7和LSW8的上行链路Down掉了，那么VRRP并不会进行切换，那么发往Internet的流量将会丢失，另外如果是下行链路Down掉了，VRRP也并不会进行切换，此时会触发MSTP端口角色的切换和计算，将流量从切换角色后的端口进行转发，造成次优路径，为了解决以上的问题，在这里我们配置VRRP的链路联动功能，用来监测上行链路或者下行链路的情况，一旦出现了链路故障，那么VRRP将会发现并减少VRRP的优先级，完成主备交换机的切换。
在这里以LSW7交换机中instance 10 实例里的行政部VLAN10作为配置举例，用图片展示：

图 42 VRRP10的配置示例
4.1.4DHCP
佛山传媒公司共有员工818名，假设为每名员工配上办公电脑，如果通过手工配置IP的方式来为每台办公电脑配置静态地址的话，那么这将是很大的工作量，而且将会使得IP地址资源不能得到充分利用，造成浪费。所以，在这里我们采用DHCP的方式为公司各部门的办公设备分配地公司骨干网路技术实施应用。
结合公司汇聚网络的情况，汇聚交换机LSW7和LSW8作为各部门的网关设备，且通过MSTP+VRRP的技术搭配实现了汇聚交换机设备和链路的冗余性，我们决定在两台汇聚交换机都设置各部门的DHCP地址池，但这样做会存在问题，比如当主交换机LSW7发生了故障，VRRP进程会将备交换机LSW8切换为主交换机，那么行政部的流量都会通往LSW8，如果此时行政部有还未获取到地址的终端设备接入到网络，那么LSW8的行政部地址池会为该终端设备分配一个地址，由于LSW7和LSW8的DHCP是冷备DHCP，LSW8并不知道LSW7分配出去了什么地址，所以可能会出现IP地址冲突的问题。
为了避免以上的问题，我们在LSW7和LSW8设置好各部门的地址池后，也要设置好禁止分配的地址，以综合部为例，LSW8作为综合部的主交换机，在LSW8上设置名称为vlan72的地址池，分配的地址范围是192.168.72.0/22，禁止分配的地址为192.168.72.1到192.168.74.255，LSW7作为综合部的备交换机，在LSW7上设置名称为vlan72的地址池，分配的地址范围是192.168.72.0/22，禁止分配的地址为192.168.75.0到192.168.75.253。
在这里以交换机LSW7和LSW8上的vlan72地址池作为配置举例，用图片展示：

图 43 主交换机LSW8上的vlan10地址池配置

图 44 备交换机LSW7上的vlan10地址池配置
4.2公司骨干网络技术实施应用
佛山传媒公司的骨干网络对于整个公司的网络而言起着至关重要的作用，骨干网络要保证高效性、冗余性和可靠性，是公司网络的枢纽中心。在公司的骨干网络中，由2台出口网关防火墙设备FW1、FW2和2台核心交换机LSW9、LSW10还有2台汇聚交换机LSW7、LSW8组成。由于骨干网络承载着公司各部门的业务路由，路由数目相对较多，如果在这里采用静态路由的方式来写骨干网络的路由，那么将会导致骨干网络的配置变得繁重，也难以适应以后公司对骨干网络的升级，而且一旦骨干网络的某台设备发生故障，静态路由也并不能感知到网络发生了故障，造成流量的丢失。为了更好的解决上述的问题，在这里我们采用了链路动态协议OSPF技术来进行实施。
OSPF（开放式最短路径优先）作为链路动态协议中的一种技术，通过链路状态数据库的链路状态信息（LSA），计算出OSPF的路由表，实现公司骨干网络的全互联。得益于链路状态路由协议的特点，即使设备或者链路发生了故障，OSPF也能重新收敛网络，将流量切换到其他的链路上，避免了流量的丢失，保证了骨干网络的高效性、可靠性和冗余性。
由于骨干网络通过路由进行转发，所以要关闭交换机的生成树功能，避免出现端口被阻塞无法建立OSPF邻居状态的情况发生。在这里以核心交换机LSW9作为基本的OSPF配置举例，以图片展示：

图 45 基本的OSPF配置举例

4.6本章总结
在佛山传媒公司网络设计中，我们采用了三层网络结构对公司网络拓扑进行设计，将VLAN、MSTP、VRRP、链路聚合、DHCP、OSPF、防火墙双机热备、IP-LINK链路检测、VGMP、NAT、防火墙安全策略、防火墙NAT策略、ACL、IPSec VPN、L2TP VPN等技术集成在公司网络设计中，保证公司网络的稳定运行，为公司各部门工作人员提供了高效可靠的工作网络。

第5章 网络测试

5.1公司汇聚网络测试
5.1.1MSTP+VRRP的应用测试
在接入交换机LSW1查看MSTP实例10和实例20的端口状态，其中在实例10中，G0/0/2的端口被阻塞，在实例20中，G0/0/1的端口被阻塞，符合设计要求。

图 51 各实例下的端口状态
在汇聚交换机LSW7查看VRRP各进程状态信息，LSW7作为行政部、销售部、财政部、IT部的主交换机，在VLAN10、20、30和40都是Master状态，而LSW7作为综合部的备交换机，在VLAN72是Backup状态，符合设计要求。

图 52 VRRP状态
在接入交换机LSW1关闭G0/0/1端口，模拟链路故障，以此来测试VRRP主备交换机切换。关闭G0/0/1端口后，汇聚交换机LSW7检测到链路故障，出现了大量的日志，日志显示将VRRP10、20、30、40的进程切换到Backup状态

图 53 日志提示
在LSW7查看交换机VRRP状态，可以看到LSW7对行政部、销售部、财政部、IT部都已经切换到Backup状态。

图 54 检测到链路故障后VRRP状态切换
5.1.2DHCP的应用测试
在这里以行政部的客户端作为举例，测试是否能从DHCP服务器获取到地址。
将行政部的客户端设置为通过DHCP获取地址

图 55 设置通过DHCP获取地址
查看客户端是否从DHCP服务器获取到地址

图 56 成功获取到IP地址

总结

在本次的网络设计方案中，我们采用了三层网络架构来设计佛山传媒公司的网络拓扑，在高效性、冗余性、可靠性和可拓展性做了深入的考虑，使得佛山传媒公司能够更好地满足现有的需求和适应未来网络技术的发展。
在对客户提出的网络需求分析中，我们结合目前主流的企业网络设计方案，在汇聚网络中使用VLAN、MSTP、VRRP和DHCP等技术，在骨干网络中使用OSPF技术，在双出口网关网络中使用双机热备、IP-LINK检测、ACL、NAT、IPSec VPN、L2TP VPN等技术，通过对上述的技术来解决公司对于办公网络的需求，在实施中也着重介绍了如何通过配置来优化公司的网络，提高公司网络的稳定性，要保证公司网络业务长期稳定的运行。
在对公司办公网络的测试中，得出该项目实施方案的是可以满足公司对办公网络的所有需求，证明该办公网络系统是可以正常运行的，做到了高效性、冗余性和可靠性，也标志着项目实施的完成，接下来则是保障办公网络正常运行的运维工作。