系统简介
展通网络科技有限公司从创立之初,不断发展壮大,紧随世界发展潮流,快步跟上信息化建设与网络化建设,企业信息化建设是为企业员工提供了一个信息交流的网络平台,提高了办公效率,所以企业信息化已经成为了一家企业的硬实力的重要标志之一,是企业的重要财富和资源,企业想在快速发展的现代社会中准确把握市场发展趋势,必须构建一个可靠安全,高效快速的网络通信平台。本文以展通网络科技有限公司网络设计与建设为背景,对公司目前发展状况与需求进行全方位的分析,首先,公司网络稳定性是网络建设最重要的一环,为保证网络的稳定,在一些核心设备,如核心交换机、防火墙等做双机热备;在公司内网需要做到互通,但仅仅内网互通是不可以的,还需要与外网连接互通,目前主流内外网互通的方式都是采用NAT技术,可以解决公网IP不足的问题;当然,网络的建设不仅如此简单地只涉及这两种技术,还有其他网络技术,如DHCP,ACL,VPN等。最后在整体的网络拓扑规划中,一定要结合公司的实际业务和发展情况,合理设计公司组网模式,做到“实用,可靠,可拓展”。
本论文首先讲述展通公司网络设计该项目的背景以及意义,然后对项目需求、项目所需的技术及协议进行介绍、分析;接着就是着重介绍项目实施的规划,以及和作为重中之重的项目实施的可行性。
关键词:信息化,DHCP技术,Vlan技术,NAT技术
第一章 绪论
1.1公司业务介绍
展通网络科技有限公司是一家中小型企业,公司以保持为客户提供好的产品和技术支持、健全的售后服务;公司主要运营商品零售贸易(许可审批类商品除外);互联网商品销售(许可审批类商品除外);广播电视及信号设备的安装;广播电视传输设施安装工程服务;电子、通信与自动控制技术研究、开发;无线通信网络系统性能检测服务;通信设备零售;通信系统工程服务;信息电子技术服务;卫星通信技术的研究、开发;通信基站设施租赁;计算机网络系统工程;拥有好的产品和专业的销售和技术团队,属于广州建筑安装业黄页行业。
1.2公司规模介绍
展通网络科技有限公司成立于2014年10月8日,拥有员工大概450人,拥有两处办公地点,分别位于广东广州和深圳,前者位于广东省广州市天河区天河路和华冠路交汇处,E-park科技园创业基地二栋二层全层和三层全层,;后者位于深圳北山区千信高科技工业园二栋十六层全层;其中广州办公点为公司总部,员工大概300,深圳办公点为公司拓展深圳业务所规划的办公点,属于公司的分公司,员工大概150人。广州办公点占地两层共2000平方,深圳办公点约980平方。
1.3项目建设思想
一家优秀的企业不仅有良好的服务,还要有完善的管理制度,而良好的服务和完善的管理制度离不开完整的网络系统服务,配置完善的网络系统为公司运作提供了一个经济高效、安全舒适的服务平台,使公司的各项工作功能成功实施,并使之高效稳定的运行。所有的网络建设思想均已提高工作人员工作效率为目的,以现代化公司网络建设为标准,应充分利用现有资源,在实现一切目的和功用的基础上,争取较高的性价比,支持网络设计业界的主流规范,且满足将来的发展趋向,重视系统的实用性,方便管理和维护。网络系统的布局设计和建立也应该充分的思考未来的拓展和网络规模的扩充。
1.31网络系统设计原则
伴随着公司最近几年的高速发展,公司内部组织结构变得十分复杂,所以在该项目设计实施方案中,必须充分考虑公司管理需求,并且完整的系统设计原则是建设科技公司网络系统的基础和必要条件,在该项目网络系统设计中应充分考虑:先进性与实用性,标准化与开放性,可靠性与安全性,经济性与可拓展性等原则。
(1)先进性与实用性:
网络构架设计、网络设施选型要保障其实用性与先进性,支持业界的主流标准,且契合将来的发展需要,最重要贴合公司业务需求;注重系统的实用性,便于使用,方便管理和维护,不能只追求市面上最新的交换设备或者先进技术,应该考虑网络投资在一定时间范围内的价值,保护已有投资。
(2)标准化和开放性:
网络系统的设计和建设在先进性和应用性的基础上必需合乎国际化的规范和标准,一方面是能够兼容其他的网络系统,另一方面是给未来的网络扩建提高足够的开发接口。
(3)可靠性与安全性:
采用最新的各种容错技术和系统备份技术,如VRRP,链路聚合技术等,令网络系统有较高的可靠性于冗余性;采用访问控制列表,内部网络入口安装防火墙等安全保障措施,来保障系统的安全性。
(4)经济性和可拓展性:
在达到所有公司网络设计目标和实现所有功能的基础上,争取最高的性价比,设备选型要根据需求选择合适的设备与服务器;系统的规划设计和建设要充分的考虑未来的拓展和网络规模的扩充。
(5)保证服务质量优先:
展通网络公司是科技服务性企业,所有的设计规划均以提高质量和提高工作效率为目的,进一步提升公司的工作效率和资源利用率。
(6)可管理性和可维护性
在网络建设过程中,必须要设计一套标准化、程序化的故障排查流程。一旦某个节点产生故障,能够快速、精准地定位故障点,依据实际状况做出最实用的解决方案。同时,在网络结构设计过程中,要求防止某一节点的系统故障影响到整个网络的运转。
根据现代化科技公司的要求,网络系统设计应该充分利用资源、节约成本,以当前先进的网络工程技术为依托,采用先进网络技术,使公司网络在国内保持先进的水平。
1.4项目建设目标
展通网络系统的建设目标是:以规范的网络系统为最低标准,通过先进的路由交换机技术,网络通讯技术,计算机存储技术,网络安全防护技术、正规网络机房设计技术和综合布线技术等为核心支撑技术,建立一套统一规划、高度集成的网络系统,为企业计算机网络系统中的机密数据提供传输、存储和备份等核心功能,且把办公流量、管理流量进行不同传输线路规划,实现通信网络的通讯、办公、管理的智能化、集成化,把公司计算机通信网络建成一个高起点、高标准、功能设施一流、且具备开放性和流畅性的网络平台。
第二章 网络需求分析
2.1公司工作网络功能需求分析
展通网络公司作为互联网科技公司,需要快速稳定的网络服务,对办公区域网络应实现以下的功能:
(1)布置无线和有线双接入方式,满足不同终端的上网需求;
(2)实现公司网络的服务器接入功能,能够运行各种网络系统,如流量控制系统,云服务器系统,上网行为管理等;
(3)提供稳定快速的带宽网络,使得客服能够迅速响应客户的保障与投诉,让公司服务质量不受带宽延时影响;
(4)搭建FTP服务器,实现工作网络的文件共享传输功能,保证公司文件快速共享服务质量;
(5)在公司主要入口和重要场所提供实时视频监控功能,维护公司环境的安全和防止危险情况进一步发生,并提供一键报警功能;
(6)提供无线网络服务,覆盖公司办公所有区域;
(7)公司广州总部和深圳分部采用VPN连接,使总部与分部网络能够互相访问,提高两处办公人员工作互通效率;
(8)网络设备开启SSH或者TELNET功能,允许网络管理员远程登录交换机管理或者应急响应。
2.2公司总部与分部网络安全需求分析
满足根本的安全要求是网络成功运转的必要条件,保护公司网络内的众多网络设备、服务器,维护网络通信系统的安全,是网络主要的安全需求:
(1)网络正常运行,网络系统需要一定的抗压能力,在遭到网络黑客攻击的情况下,能够保障网络系统继续运转;
(2)网络系统存储的内部机密资料不被窃取,对公司商业机密文件;核心技术文件等进行策略管理;
(3)访问管控,利用访问控制列表或者防火墙安全策略,对特定网段IP、端口号进行的安全访问控制,根据实际情况进行允许访问或者拒绝访问;
(4)加密通信,利用加密通道使公司总部和分部网络在公网进行安全互访时;
(5)备份和还原,遭到入侵攻击而导致数据信息丢失时,能够及时还原网络系统存储的机密数据和系统服务;
(6)设立网络安全监控中心,为信息系统和工作人员上网提供安全体系管理、监控、维护以及紧急情况的需求;
(7)总部与分部网络互连,采用加密协议IPSEC VPN建立连接,能够在公网建立两个私有网络互连通信;
2.3网络基础结构需求分析
2.3.1公司网络接入点分析
展通公司网络系统分为广州总部办公网络和深圳分部网络两部分,而且两个网络系统均要求使用有线网络和无线网络双接入部分。广州总部和深圳分部均设立总裁办、财务部、人事行政部、市场部、商务部、运营部以及技术部;广州总部拥有两层办公区域,二层办公部门有人事行政部、市场部和技术部,三层有总裁办、财务部、运营部、商务部;深圳分部所以办公部门均在同一楼层办公;总部与分部采用同一网络部署模式,均要求达到无线信号覆盖,包括会议室,茶水间,员工办公工位必须采用有线连接方式,有线接入点要求考虑公司未来的发展,备留多个接入点,以满足公司后期人员扩展。
表2-1公司网络接入点表
部门 广州总部接入点 深圳分部接入点
人事行政部 10 10
市场部 100 80
技术部 130 100
财务部 10 10
商务部 20 15
运营部 20 15
总裁办 5 3
2.3.2拓扑图结构分析
广州总部网络与深圳分部网络均规划为接入层,汇聚层,核心层三层结构设计模式,设计的网络属于园区网络,为树形拓扑构造。
三层网络结构得好处就是能将网络流量进行分层管理,每层结构接入不同服务类型得终端,如接入层接入工作人员的电脑和笔记本等,汇聚层接入无线网络接收器AP,而核心层网络接入无线网络控制器控制整个无线网络流量,而且防火墙则旁挂公司服务器,实现安全访问。
采用三层组网结构的目的不仅为了流量分层管理,而且为了方便故障排错,一旦出现网络问题,可以快速定位网络故障出现在哪层,达到快速修复故障的目的,从而不影响公司业务流程。
总体系统结构简约图如下:
图2-1三层组网结构图
第三章 网络设计
3.1展通公司网络整体设计
展通网络公司有两处办公点,广州总部与深圳分部,两处办公区域采用相同的组网架构,采用相同的组网架构的原因,一是因为两地人员组织架构一样,业务也相同,二是考虑到深圳分部业绩上涨迅猛,未来很快就能和广州总部持平甚至超越,所以采用相同组网架构,是最为符合展通公司的需求与发展。
在网络整体设计中,采用三层结构组网,汇聚层汇聚接入层流量,同时汇聚层也接入AP流量,核心层连接AP无线控制器和安全防火墙,承担很大的交换流量,因此在两台核心交换机不是VRRP负载分担和链路聚合,保障核心层流量走向,而防火墙作为整个网络的出口网关,而且也连接公司内网服务器,划分内外网端口安全级别且配置安全策略,保护内网安全。由于需要与深圳分部进行互通通信,也在广州和深圳两个网络出口防火墙部署IPSec VPN服务,实现两个私网在公网上进行通信。
在公司总体网络拓扑图中,深圳分部详细组网架构简略展示,主要展示广州总部组网拓扑。
图3-1总体网络拓扑图
3.2 IP地址规划及子网划分
3.2.1广州总部子网
广州每个部门划分一个vlan,分配不通vlan号,使得不同部门工作在不同的局域网当中,不同部门的流量就不会转发到其他部门中,简化网络流量,避免不必要的广播流量,从而减少工作过程中因网络产生的不必要的麻烦。而且每个部门规划不同网段,掩码为24位,每个网段可用IP数量足够每个部门现有员工,且满足部门未来几年的人员增加。
表3-1广州总部子网vlan划分表
部门 Vlan IP 网段 网关
总裁办 Vlan 10 10.1.1.0/24 10.1.1.1
财务部 Vlan 20 10.1.2.0/24 10.1.2.1
人事行政部 Vlan 30 10.1.3.0/24 10.1.3.1
市场部 Vlan 40 10.1.4.0/24 10.1.4.1
技术部 Vlan 50 10.1.5.0/24 10.1.5.1
运营部 Vlan 60 10.1.6.0/24 10.1.6.1
3.2.2深圳分部子网
深圳分部同样为每个部门划分一个vlan,共6个vlan,而且vlan号与广州总部的vlan号均不相同,方便网络管理者在对两地网络进行运维时方便识别。每个部门也是各自一个网段,掩码也是24位,确保现员工的可用且满足未来需求。
3.2.3 无线网络
无论是广州还是深圳,每个楼层不同使用不同网段作为无线网络分配的IP,掩码24位,可用IP共759,满足公司日常活跃无线终端数量,且为未来需求增长预留一部分可用IP,保证无线网络的可用性和可发展性。
而在无线网络的具体设计上,采用双频接入技术,即AP同是支持2.4G和5G射频,因为在无线网络中,AP会遭受到周围环境的影响,如蓝牙信号、微波炉微波等,采用单频接入,如2.4G射频,就会遭到这些外围环境的影响导致信号低下,所以采用双频接入技术,2.4G信号优势是传输距离远而且穿墙能力强,而5G信号的优势是信号干扰少,信号强且适合高密度接入工作场所,两种信号各有优缺点,所以双频接入可以将两种信号优缺互补,满足员工在任意场所连接无线网络,如在密度较高的办公区域可以连5G信号,在封闭的空间可以连接2.4G信号。
3.3网络安全设计
将防火墙部署在展通网络系统的网络边界,也就是其企业网络外网出口,达到保护企业网络的内网免受来自另外一个网络的入侵行为,防火墙的实质行为与交换机和路由器的作用不同,防火墙的实质作用在于控制,通过对于接口的安全区域分配和安全策略的允许或拒绝行为达到对内网和外网报文交互的控制。而且利用ACL感兴趣流,可以对特定IP网段、端口号、服务类型甚至时间段等都可以进行精确控制。而且防火墙可以旁挂众多内网服务器,任何网段访问内网服务器需要匹配防火墙安全策略才可以访问。
防火墙安全区域配置如下表;
表3-4安全区域分配表
区域所属 安全区域 安全级别
外网区域 Untrust 5
用户网络区域 Trust 80
内部服务器区域 DMZ 50
将连接不同区域的接口划分安全区域只是将内网,外网和服务器子网的安全级别区别开来,搭配安全策略使用才能达到真正的安全控制,安全策略可以根据流量的源安全区域、目的安全区域、源目IP地址和服务(源目端口号、协议类型)等匹配条件进行设置动作为通过或者拒绝,如果流量匹配所有条件则配置此安全策略,执行相应的动作,这样防火墙就能对流量进行管理者设置的行为进行控制,达到管理者想要的安全访问效果,保护企业日常业务工作上网。
防火墙规则表如下;
表3-5 防火墙规则表
源IP 源端口 目的IP 目的端口 动作
10.1.0.0/16 ANY 100.2.3.1/32 22 允许
10.1.6.0/24 ANY 100.3.3.2/32 80 允许
10.1.6.0/224 ANY 100.3.4.0/24 2212 允许
3.4网络设备选型
世界上知名网络设备的厂商有很多,外国的有思科,Intel,国内有华为、华三,鉴于网络设备安全性与先进性的考虑,展通网络科技有限公司的网络设备将全系采用华为厂商的设备,全系采用华为设备,还有一个重要原因,那就是可以消除不同厂商设备兼容性的问题,为后续网络运维提供方便。
在设备选择的过程中,不仅仅要考虑当前问题,还要考虑未来的问题,交换机和服务器毕竟是硬件设备,集成了很多高科技技术,在未来设备运行过程中可能会发生未知的问题情况,而这仅仅凭借一家网络科技公司的运维人员可能无法解决,这就需要华为原厂工作人员协助解决,而且据市场调查了解到,华为厂商售后服务质量较高,在遇到无法解决的问题时,华为可提供上门服务维修及免费返厂维修,这就能最高效率解决设备问题,恢复公司业务。
3.4.1核心层网络设备选型
图3-2 CE6800交换机图
针对展通网络公司的需求,在核心设备选择中,选择华为CE6800系列交换机作为核心交换机,而且是两台互连互为冗余,防止因某台交换机宕机而导致网络中断,网络公司最重要就是保证网络的畅通性,而选择CE6800则是为了在降低总体成本的同时,拥有更好的性能。CE6800系列可以构建弹性、虚拟云时代数据中心40GE/100GE全联接网络,满足展通公司需要在核心层部署虚拟云服务器的对巨大带宽需求,且核心交换机要配置VRRP和链路聚合技术,需要足够多的端口,CE6800系列48个光口足够满足当前需要,也预留一部分端口,展通公司会时不时根据业务需求在核心层对服务器进行接入,CE6800的选择是基于未来网络扩展和现有网络需求的考虑选择的。
3.4.2汇聚层网络设备选型
选择两台华为S5700交换机对公司整个内网数据进行汇聚,S5700交换机拥有较多千兆接入端口,适合下接数量较多的接入交换机,并且上联核心CE6800交换机。由于需要在汇聚部署DHCP服务且要配置静态路由,所以汇聚层交换机必须为三层交换机,S5700系列为华为销售最高的S系列园区交换机,性价比极高。让S5700作为汇聚交换机,就可以将各个部门的网关部署在汇聚层,且配置静态路由,令各个部门能在汇聚层就可以进行三层网络通信,并不需要通过核心交换机,避免产生次优路径,节省核心带宽资源。
3.4.3接入层网络设备选型
接入层交换机直接连接用户,只处理本地区域的数据交换,所以在带宽方面并不需要像汇聚和核心那么大的流量承载力,在接入层设备选择中,S3700是最符合公司组网需求,拥有24个千兆电口,具有高性价比的交换设备,端口数量充足,端口带宽也符合公司业务需求,S3700下联公司众多接入设备,上联汇聚交换机S5700。
3.4.4防火墙设备选型
任何一个网络设计都离不开网络安全,没有安全的网络是不完整的,防火墙设备选择华为新一代USG6000v防火墙,部署在公司内部网络与外部网络之间,划分安全区域,配置特定通信策略,保护公司内部网络不必入侵,保护公司内部机密文件等等。华为NGFW在传承传统安全功能的基础上,全面提供应用识别和应用层威胁防护的能力,能够帮助客户轻松拥有高级威胁防御能力,保护企业关键业务数据不受泄露,实现了安全和性能得完美结合,为企业网络提高全面防护。
华为AC6605是华为面向中型企业园区、企业分支和校园区的一款无线接入控制器,可同时管理1024个AP,对于展通公司办公环境,如此多的AP的管理数量完全足够,同时也支持未来AP数量升级,同时集成了千兆以太网POE交换机功能实现有线无线一体化接入方式,组网方式灵活,支持直连式,旁挂式等AP放置方式,根据展通网络公司的组网架构,采用旁挂式,只进行管控,数据交换利用交换机进行。支持AP在内网,WLAN AC在公网的NAT穿越部署。
华为AP7050同时支持2.4GHz和5GHz双频接入,使无线网络带宽轻松突破千兆,千兆带宽完全足够展通网络科技公司的日常业务开展,能够让员工畅享优质无线业务。AP7050特点就是实现对移动终端定向精确覆盖,降低干扰,提升信号质量,这点对于展通公司办公区域无线组网有利,因为办公区域无线接入终端数量较多,如能降低干扰并且提升信号,无疑对于流畅办公具有重要帮助。
第四章 实施方案
4.1 vlan技术应用
vlan被称为“虚拟局域网”,vlan技术允许网络管理者将一个物理的局域网逻辑划分成不同广播域的通信技术,每个vlan都包含一组有着相同需求的计算机工作站,与物理上形成的局域网有着相同的属性,相同vlan内的主机可以通信,但是一个vlan内部的广播和单播流量不会转发到其他vlan中,从而控制流量,减少设备投资,简化网络管理,提高网络安全性。终端设备与接入层设备之间使用access口,交换机之间使用trunk口。
命令配置:(以总裁办vlan10配置为例)
接入层交换机配置:
vlan batch 30 //添加vlan30
interface Ethernet0/0/2 //进入与总裁办终端相连的端口
port link-type access //选择端口类型为access
port default vlan 30 //划分端口默认vlan为30
int e0/0/1 //进入与汇聚层交换机相连的端口
port link-type trunk //与交换机相连端口设为trunk
port trunk allow-pass vlan 30 //透传vlan30
汇聚层交换机配置:
vlan batch 10 20 //添加底下部门存在的vlan
int g0/0/2 //进入与接入层交换机相连端口
port link-type trunk //设置端口类型为trunk口
port trunk allow-pass vlan 10 20 30 40 //透传接入层存在的vlan
int Vlanif 30 //进入虚拟端口
ip address 10.0.4.1 255.255.255.0 //配置vlan30的网关,使用三层 路由进行vlan间通信
4.2 搭建DHCP服务器
动态主机配置协议DHCP,是一种用于集中对用户IP地址进行动态管理和配置的技术,由于展通网络科技有限公司的组网规模较大且复杂程度高,而且公司内部办公终端数据增加且位置不固定,如果手动配置,这样会引起IP地址频繁变化和IP地址不足的问题,DHCP可以实现IP地址及其他网络参数自动分配的功能,方便管理者统一管理IP,在展通组网架构中,根据交换机性能,决定在汇聚层部署DHCP服务器,而且采用全局地址池下发IP地址,每个部门分配一个DCHP地址池,每个地址池可用IP数量199个,54个IP地址作为备用保留,为未来各部门扩展人员作出准备。
命令配置(以技术部门DHCP分配为例)
dhcp enable //开启交换机DHCP功能
ip pool jsb //创建全局地址池,以部门 拼音首字母命名
gateway-list 10.1.5.1 //选择网关10.1.5.1
network 10.1.5.0 mask 255.255.255.0 //配置地址池下发网段
excluded-ip-address 10.1.5.200 10.1.5.254 //限制某些地址下发,留作备用
lease day 0 hour 12 minute 0 //地址租期为12小时,满足工 作时间
dns-list 114.114.114.114 8.8.8.8 //选择两个DNS解析服务器
interface Vlanif50 //进入技术VLAN虚拟接口
ip address 10.1.5.1 255.255.255.0 //配置地址池IP10.1.5.1
dhcp select global //使能全局地址池的DHCP功能
4.3 NAT协议技术应用
随着Internet的发展和网络应用的增多,IPv4地址枯竭已成为制约网络发展的瓶颈。NAT技术的出现暂时缓解了这一问题,NAT主要用于实现内部网络访问外部网络的功能。当内网的主机要访问外网时,通过NAT技术可以将其私网地址转换为公网地址,可以实现多个私网用户共用一个公网地址来访问外部网络,这样既可保证网络互通,又节省了公网地址。
由于展通有限公司网络系统终端较多,不可能为每个都分配公网ip地址用以上网,所以,在网络设计的时候网络系统采用网络地址转换技术(NAT)将公司的私有ip地址转化为合法的ip地址,来接入互联网,以保证公司网络能够正常的访问互联网。展通网络科技有限公司向ISP申请了5个公网IP,结合公司实际情况,采用动态网络地址转换技术,NAT技术有多种,基于公司网络结构和实际成本,将采用NAPT技术,多个私网地址对应一个公网地址,将NAT配置在网络出口防火墙。
表4-1 NAT地址表(以广州总部为例)
地址类型 IP网段
内部地址 10.1.0.0/16
192.168.0.0/16
172.1.0.0/16
公用地址池 13.1.1.5/24-13.1.1.10/24
命令配置
#配置安全策略,允许私网指定网段与Internet进行报文交互
security-policy
rule name policy1
source-zone trust
destination-zone untrust
source-address 10.1.0.0 mask 255.255.0.0
source-address 172.1.0.0 mask 255.255.0.0
source-address 192.168.0.0 mask 255.255.0.0
action permit
#//配置NAT地址池,配置时开启允许端口地址转换,实现公网地址复用
nat address-group napt 0
mode pat
section 0 13.1.1.5 13.1.1.10
#配置源NAT策略,实现私网指定网段访问Internet时自动进行源地址转换
nat-policy
rule name napt
source-zone trust
destination-zone untrust
source-address 10.1.0.0 mask 255.255.0.0
source-address 172.1.0.0 mask 255.255.0.0
source-address 172.1.1.0 mask 255.255.255.0
action source-nat address-group napt
4.4 链路聚合技术
以太网链路聚合Eth-Trunk简称链路聚合,可以将多条以太网物理链路绑定在一起成一条逻辑链路,可以在不增加设备的情况下,从而实现增加链路带宽的目的,为企业节省设备成本。同时,这些捆绑在一起的链路通过相互间的动态备份,可以有效地提高链路的可靠性。因为展通网络系统核心层承担高速交换数据任务,而且两台核心设备需要互连冗余,所以在核心交换机互连使连接多条网线,配置链路聚合使得多条线路冗余转发交换,根据展通网络实际转发状况,采用静态LACP模式且开启抢占,该模式为M+N,也就是M条活动链路,加上N条备用链路,当活动链路出现故障时,备用链路就会抢占上升为活动链路,继续进行数据转发,避免出现业务中断情况。
配置命令:
lacp priority 10 //修改优先级,成为主动端
int Eth-Trunk 10 //添加Eth-trunk 10进入该聚合口
mode lacp-static //修改模式为LACP
trunkport GE 1/0/0 to 1/0/2 //将端口添加进Eth-trunk组
lacp max active-linknumber 2 //设置最大活动链路为2
lacp preempt enable //开启抢占功能
lacp preempt delay 10 //抢占延时10S
4.5 IPSec VPN技术应用
IPSec是IETF组织制定的一组开放的网络安全协议。IPSec协议的特定就是它不是一个单独的协议,而是一系列为IP网络提供安全性的协议和服务的一个集合,而IPSec VPN是采用IPSec协议实现远程接入的VPN技术,主要能够在公网上为两个私网提供安全通信通道,IPSec VPN使用加密通道保证连接的安全,在两个公共网关间提供加密数据封包服务,展通公司有广州和深圳两个办公点,而且两者之间需要网络互连,经常进行文件共享和业务交接工作,这就要对文件进行加密保护传输,IPSec VPN完美符合需求,于是就在两处出口防火墙部署IPSec VPN,保证总部与分部能够安全互连。
配置命令(以广州防火墙配置为例)
#配置高级ACL 3000,允许10.1.1.0/24网段访问10.1.100.0/24网段
acl 3000
rule 5 permit ip source 10.1.1.0 0.0.0.255 destination 10.1.100.0 0.0.0.255
#
ipsec proposal tran1 //配置IPSec安全提议tran1
encapsulation-mode tunnel //设置IPSec报文封装模式为隧道模式
transform esp //设置IPSec安全协议为ESP
esp authentication-algorithm sha2-256 //设置ESP认证算法为sha2-256
esp encryption-algorithm aes-256 //设置ESP加密算法为aes-256
#
ipsec policy map1 10 manual //配置名称为map1,序号为10的IPSec策略
security acl 3000 //应用高级访问列表ACL3000
proposal tran1 //绑定IPSec安全提议tran1
tunnel remote 13.1.1.1 //隧道对端地址
tunnel local 211.1.1.1 //隧道本段地址
sa spi inbound esp 12345678 //设置SA的安全参数SPI值,与对端出 方向相同
sa spi outbound esp 87654321 //设置SA的安全参数SPI值,与对端入 方向相同
sa string-key inbound esp abcdefg //设置SA入认证密钥,与对端出方向相 同
sa string-key outbound esp gfedcba //设置SA出认证密钥,与对端入方向相 同
#
interface GigabitEthernet 1/0/1
ipsec policy map1 //应用IPSec策略组map1,是IPSec策略生效
4.6 无线网络搭建
随着无线互联网优势的逐渐显现,无线应用被广泛深入,办公区域实施无线网络全方位覆盖也是办公网络化之一,无线网络搭建要求支持2.4G和5G双频无线信号,数据信息要安全保密,无线终端长期连接无线网络能够到底稳定快速的上网效果,要对每个无线终端的流量进行管控、能够有效防御黑客攻击、网络病毒等。需支持无缝漫游功能,顾客只需登陆成功一次即可在整个无线网络范围内漫游上网。
配置命令:
创建名为“wlan-ssid”的SSID模板,并配置SSID名称为“ZT-WLAN”
ssid-profile name wlan-ssid
ssid ZT-WLAN
创建名为“wlan-vap”的VAP模板,配置业务数据转发模式、业务VLAN,并且引用安全模板和SSID模板。
vap-profile name wlan-vap
forward-mode tunnel
service-vlan vlan-id 101
security-profile wlan-security
ssid-profile wlan-ssid
配置AP组引用VAP模板,AP上射频0和射频1都使用VAP模板“wlan-vap”的配置。
ap-group name ap-group1
vap-profile wlan-vap wlan 1 radio 0
vap-profile wlan-vap wlan 1 radio 1
4.7 搭载FTP服务器
FTP服务器是一台存储文件的服务器,能够提供用户进行上传或下载文件的操作,能够传输各种类型、各种结构、各种格式的文件,提供对本地计算机和远程计算机的目录操作功能。在展通公司网络中搭建FTP服务器,能够使各个部位的资源消息迅速共享,方便各个部门信息交流,从中获取大量的需求信息,从而提高公司员工的工作效率,使公司业务快速传达、实施、落实。根据组网架构,配置FTP服务器(100.2.3.1/24)接入核心层交换机;同时,为了保证各个交换机重要配置文件之间进行共享,还未来能够上传交换机版本更新文件到交换机,方便网络管理员对交换机配置文件更换和对交换机版本升级,对公司内网交换机开启FTP服务功能。
服务器FTP设置:
图4-1 FTP服务器图
交换机开启FTP服务器配置
ftp server enable //开启FTP服务器功能
aaa //进入AAA认证
local-user ftpuser1 password cipher phx123 //添加新用户和密码
local-user ftpuser1 service-type ftp //用户服务类型为FTP
local-user ftpuser1 ftp-directory flash: //FTP默认目录flash:
local-user ftpuser1 privilege level 3 //用户权限
4.8 VRRP负载分担
虚拟路由冗余协议VRRP,通过将几台路由设备组成一台虚拟的路由设备,将虚拟路由设备的IP地址作为用户的默认网关实现与外部网络通信。当网关设备发生故障时,VRRP机制能够选举新的网关设备承担数据流量,从而保障网络的可靠通信。展通有限公司近几年业务飞速发展,所以公司组网架构必须保证可靠性,网络中断会导致公司利益损失,所以在承担巨大交换数据的核心层配置VRRP负载分担模式,即实现网关的冗余备份,也可以为不同部门指定不同备份组作为网关,减轻主用设备的流量压力,实现负载分担。
配置命令:
CE1:
#
interface Vlanif888 //进入虚拟VLAN接口
ip address 192.168.88.1 255.255.255.0 //配置真实IP地址
vrrp vrid 1 virtual-ip 192.168.88.100 //VRRP备份组1虚拟IP
vrrp vrid 1 priority 120 //VRRP备份组1优先级120,作为 主动端
vrrp vrid 1 preempt timer delay 10 //VRRP备份组1 抢占延迟10S
vrrp vrid 2 virtual-ip 192.168.88.101 //增加VRRP备份组2,实现负载分担
CE2:
#
interface Vlanif888 //进入虚拟VLAN接口
ip address 192.168.88.2 255.255.255.0 //配置真实IP地址
vrrp vrid 2 virtual-ip 192.168.88.101 //VRRP备份组2虚拟IP
vrrp vrid 2 priority 120 //VRRP备份组2优先级120,作为 主动端
vrrp vrid 2 preempt timer delay 10 //VRRP备份组2 抢占延迟10S
vrrp vrid 1 virtual-ip 192.168.88.101 //增加VRRP备份组1,实现负载分担
第五章 设备连通性测试
5.1 VLAN间通信测试
每个部门划分了不同的vlan,正常来说每个部门的终端是不能互相访问的,在汇聚层vlanif接口配置IP作为不同部门的网关,并在汇聚层和核心层配置静态路由进行不同VLAN网段通信,用总裁办终端(10.1.1.0/24)ping人事部终端(10.1.3.0/24)进行测试vlan间通信,成功ping通,这样就能在二层网络减少广播,节约带宽资源,并且不同部门能进行三层通信。
图5-1 vlan测试图
5.2验证DHCP自动获取IP
公司工作人员众多,上网终端更多,配置DHCP使得工作终端达到开机即刻联网的效果,提升工作效率,验证处于技术部的终端能否获取10.1.5.0/24网段中的地址,PC选择自动获取IP地址;技术部终端成功获取到地址池下发的IP地址,且其他网络参数与地址池分配一致,DHCP服务器部署成功。
图5-2 DHCP测试图
5.3验证NAT地址转换
NAPT地址转换,是IP地址和端口同时转换,这样就能达到多个私网IP共用一个公网IP上网,节约公司网络费用,利用总裁办终端ping外网地址31.1.1.3,私网IP10.1.1.199成功转换成公网IP,配置成功,NAT协议生效。
图5-3 NAT测试图
5.4链路聚合验证
配置了Eth-trunk链路聚合,选择三条链路加入Eth-trunk接口,最大活动链路2条,剩余一条作为备用,并且开启抢占模式,当活动链路故障时,备用链路可用抢占成为活链路,保证充足交换带宽。从图中看出当前活动链路为2条,一条未活动链路,ETH-trunk 10 处于up状态
图5-4 链路聚合测试图
模拟处于active状态的链路down了,备用链路抢占成为活动链路,将GE1/0/0 shutdown进行模拟;
图5-5链路聚合测试图
备用链路成功抢占,说明链路聚合协议生效,以太网链路聚合部署成功。
5.5 IPSec VPN验证
在广州总部和深圳分部各自出口防火墙部署IPSec VPN,使得私有网络能够在公用网络上进行通信,测试IPSec VPN,用广州总裁办终端(10.1.1.0/24)Ping深圳总裁办终端(10.1.100.0/24),成功平通,IPSec VPN部署成功。
图5-6 IPSec VPN测试图
扫一扫
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
