摘要
本文针对广东数维网络技术有限公司的网络系统进行了全面的设计和优化。研究内容包括网络架构的合理规划、数据传输的高效性、系统的安全性以及网络管理的便捷性。通过采用先进的网络技术,如VLAN和OSPF,实现了网络资源的动态分配和灵活扩展。同时,本文还提出了一套综合的网络安全策略,以抵御日益复杂的网络威胁。
关键词:网络设计,VLAN,OSPF,网络安全,网络威胁。
Abstract
This paper presents a comprehensive design and optimization of the network system for Guangdong Shuzi Network Technology Co., Ltd. The research covers the rational planning of network architecture, the efficiency of data transmission, the security of the system, and the convenience of network management. By employing advanced network technologies such as VLAN and OSPF, dynamic allocation and flexible expansion of network resources are achieved. Additionally, this paper proposes a set of integrated network security strategies to counteract the increasingly complex network threats.
目录
1 引言
1.1研究背景
随着2020年4月新基建的提出和规范的确定,2020年8月《关于加快推进国有企业数字化转型工作的通知》,2021年3月《“十四五”规划和2035年远景目标纲要》,2022年8月《关于开展财政支持中小企业数字化转型试点工作的通知》中明确了各行业都在做数字化的转型。当企业对于提高生产率、提升工作效率的逐步重视,老旧的企业网架构在承担企业新业务新应用上面临着巨大的挑战。
本文以广东数维网络技术有限公司为背景,在网络设备标准上,由于早期网络协议规范不完善且硬件标准较低,在实际使用中存在设备效率低,企业互联网出口实际不足百兆,桌面PC接入网速率低的问题;其次,企业网建设初期时,对网络IP规划混乱、没有划分VLAN,导致存在网络管理维护繁琐低效,局域网内广播包泛滥的问题;最后,安全规划的缺失,对企业生产资料、机密数据、公司职工个人信息等带来了一定的隐患。
随着企业业务规模扩增,网络负载居高不下,无法服务潜在的新业务。为满足企业进一步发展的需要,需要对网络架构重新设计,以满足公司员工办公及企业生产需要。
1.2研究意义
广东数维网络技术有限公司企业网首次建设时,出于性能价格比与现实原因,当时选择了普遍应用的内网核心为1000M以太网,PC接入网为100M以太网,因特网出口为50M以太网,当时足以满足整个企业的网络使用。随着公司自身信息化建设、业务流日益丰富、上网终端更新迭代、终端数量爆发式递增,公司原有的网络链路已成瓶颈。另一方面,现网设备已连续运行时间超过8年,设备维保愈发困难。
此次针对广东数维网络技术有限公司的网络规划设计将充分考虑当前基础网络、无线网络的使用情况和企业应用发展变化,结合可靠性、安全性、先进性、可扩展性来打造一个满足企业未来5-10年发展的计算机网络。
首先,通过更换使用符合新标准、规范的交换机和路由器设备的方式,解决当前设备老化故障及效率低的问题;其次,通过调整网络整体结构,规划分配全局IP地址,确定VLAN划分的依据并规划VLAN,解决当前网络管理混乱的问题;然后,通过添加出口冗余和部署防火墙[1]的方式,解决当前网络环境安全性差的问题;最后,通过升级PC终端网卡硬件、增大链路带宽的方式解决当前环境PC接入速率低的问题。
此次设计将会解决企业现有的网络问题,本课题从增加企业网络各项容错冗余能力出发,使用标准化协议的软硬件,通过科学合理的规划保证网络设备的扩展性和灵活性。
1.3国内外应用现状
美国政府于1993年发表“国家信息基础设施行动动议”并开始建设NII(信息高速公路)[2],随后引起世界各国广泛关注并相继制定各自的开发计划。现今美国的企业大多都拥有企业网络,为职工提供高速、稳定的上网服务,并通过计算机网络实现了生产办公自动化,且美国拥有1亿多个网站。
我国也在上世纪末陆续出台相应政策,随着中国制造2025、工业4.0、工业互联网等新技术与新理念的兴起,网络需求提升为制造企业的关键一环,对于制造业而言,工业互联网时代将会对网络有着更深的依赖需求。
广东珠江塑胶有限公司是一家集生产、销售、经营于一体的大型专业公司。公司产品质量及款式已达到国际同行先进水平。但是在公司发展初期购入的网络设备,性能已无法满足公司日益增长的销售网络带来的大量网络流量,网络问题最终反映的是公司发展前景问题。公司通过设计层次化网络结构,把不同部门的流量进行区分,对快速增长的部门按需增加对应的接入层设备,保证公司发展的同时也降低了成本。
德国Demag作为有着世界尖端技术、生产塑料工艺制造设备的专家,在网络信息化应用上,公司使用网络电子商务套件来规范业务流程和营业关系。但公司网络建设时,没有预留足够的网络流量增长空间导致业务系统投产后被诟病“反应慢”,“稳定性低”。公司通过更换网络设备,增加核心网链路带宽方式解决了当前业务系统的问题,并预留了增长空间。并且对企业网VLAN进行全局规划,有效提升了办公效率。
以上例子证明在国内外制造行业企业都已经进入了企业的网络信息化,公司生产运营依赖着网络的正常运行。因此当出现网络的不稳定,甚至中断,都会给企业带来严重的影响和巨量的损失[3],这是国内外企业要尽力避免的。
1.4研究目标
网络规划作为一种提高网络运行效率,改善网络使用情况的有效手段。通过根据企业的实际网络需求,搭建合理的网络拓扑结构,能够进一步加强企业生产办公效率[3]。本设计基于广东数维网络技术有限公司实际网络需要,旨在改善现有网络存在的若干问题,为企业职工提供工作生活上的便利的网络使用环境。同时针对设备陈旧,网络硬件标准过时等问题,通过重新设计规划网络结构,提高网络整体使用效率。
论文的具体研究内容如下:内容主要在网络规划,使用了VLAN协议、MSTP协议、VRRP协议、DHCP协议、OSPF协议和链路聚合技术。将基于不同部门划分不同VLAN,能够达到隔离不同VLAN之间的网络通信,其中解决了无VLAN环境下,广播域中广播报文泛滥的情况。MSTP协议用于汇聚层、AC控制器与核心层交换机之中,能够达到消除环路和链路备份的作用。VRRP协议将设置在两台核心层设备上,能够达到多台设备组合成一台虚拟设备,主要解决了网关设备的单点故障问题。DHCP的应用能够达到为各终端和无线接入点AP自动配置IP地址、子网掩码等信息,大幅度降低网络管理员工作量。OSPF协议将用于核心层与防火墙之间,保障出口路由稳定畅通。链路聚合技术用在核心交换机之间,提供高带宽和负载分担功能。最后预期网络可以达到99.99%的可用性。
2 需求分析
2.1网络现状分析
因本次项目是对企业原有网络进行升级改造,故在开始进行设计方案之前需要对公司现有的网络体系结构进行分析调研。
2.1.1公司简介
广东数维网络技术有限公司位于广东省某市某区镇工业园内,公司成立于2013年,占地面积37000余平方米,注册资本1000万元,总资产2亿元。公司主要从事塑胶产品的设计、制造、销售及生产过程中派生的相关附属品与产品的生产和销售,并提供以上产品对应的技术支持服务。公司目前拥有一栋综合写字楼,两栋生产厂房,一栋宿舍楼和一间食堂。具体公司平面图如图2.1所示:
图2.1 广东数维网络技术有限公司平面图
公司有500余名员工,分为访客部(10人)、董事会(7人)、财务部(15人)、市场部(80人)、人事部(15人)、采购部(10人)、研发部(30人)、生产部(300人)、后勤部(20)、网管中心(5人)十个部门。
2.1.2公司网络现状
- 原公司网络建于2013年,为接入层-核心层的两层架构,核心层使用单台锐捷某型交换机设备,接入层未做详细规划。
- 当交换机接口不足时则购入新的二层交换机,存在不同业务部门混用同一台交换机的情况,安全风险不可控。
- 无VLAN划分,所有网络通信均运行在VLAN1中,局域网内广播包超过20%,严重影响正常的网络使用。
- 同时IP地址池未做详细规划、DHCP使用一个地址池,导致无法限制关键部门的网络,存在安全隐患。原公司网络拓扑如图2.2所示:
图2.2 原公司网络拓扑
2.2业务需求分析
收集公司业务需求是开展后续工作的第一步,不同的网络因为使用者的不同因此解决方案也不相同。在经综合考虑后,选择了座谈的方式对广东数维网络技术有限公司进行业务需求调研。
公司职工对于本公司业务流程与需求流程最为了解,因此他们能够提供更多与公司业务相匹配的各项需求,本次调研为了获得一手资料,用了10个工作日对公司各部门人员及决策领导层进行了座谈。整理出如下需求清单:
公司对项目高度重视,总经理指派网络部门配合我方沟通。项目主管成立了客户方项目组:包括副总经理陈先生、网络部门项目联络人、最终用户代表。
覆盖范围包括:一栋6层高的综合写字楼,两栋一层高的厂房,一栋6层高的宿舍楼。公司空地、食堂、运动场不包括在内。
工程边界包括:数据机房与楼道内交换机,路由器,防火墙,无线接入控制器,无线接入点,服务器的网络配置。机房机架,空调,电源,消防已部署完成,楼道内机架,电源已部署完成,本项目不涉及。项目实施出于现实原因,本次项目实施采用eNSP软件仿真实施,实施结果可供参考。
功能边界包括:重新规划网络结构,实现网络连通,重点部门间隔离,指定区域无线网络覆盖,优化网络安全,提升连接速率。
公司现拥有各类型网络终端500余台,考虑到未来3到5年的人员,加工设备增长需求,预计还需增加150台终端设备,即总数约650台终端的中型局域网规模。
在可靠性方面,公司可接受一年内小于1小时的网络中断,即要求99.99%的可靠率。
2.3应用需求分析
针对广东数维网络技术有限公司网络应用的需求,对企业网络用户办公生活的应用进行统计汇总,并计算出企业用户的网络带宽。并将不同应用进行分类,然后计算各类应用的总数据量,并加以分析。主要从应用的用户数,使用频率,实时性等方面考虑。
2.3.1应用类型
- 单机应用类型。
单机应用包括:Windows操作系统、Linux操作系统、MacOS操作系统、办公软件套件、词霸翻译软件、AutoCAD、Moldflow。
- 联机应用类型。
联机应用包括:办公自动化系统、邮件应用、浏览器、视频播放应用、聊天应用、电子商务应用、文件传输服务和打印机服务。
2.3.2应用访问分析
在网络设计方看来,设计人员需要更加了解用户是如何使用上面列举的各类应用程序和网络服务。如不能结合用户使用习惯和应用特点[4],让用户在使用应用或服务时出现体验不佳的情况,将导致其对公司网络产生负面印象。调查得到的应用实际使用情况,现输出总结见表2.1。
表2.1 应用访问分析表
具体应用 | 应用分析 | ||||
应用服务类型 | 访问用户数 | 访问频率 | 访问时间 | 访问高峰段 | 平均事务大小 |
办公自动化 | 400 | 经常 | 7 x 18 | 8:30-17:30 | 200KB |
邮件应用 | 150 | 有时 | 7 x 24 | 8:30-17:30 | 2MB |
浏览器 | 400 | 经常 | 7 x 24 | - | 200MB |
视频播放应用 | 250 | 不常 | 7 x 24 | - | 400MB |
电子商务应用 | 200 | 有时 | 7 x 24 | 8:30-17:30 | 500KB |
聊天应用 | 500 | 经常 | 7 x 24 | - | 100KB |
文件传输服务 | 200 | 有时 | 7 x 18 | 8:30-17:30 | 20MB |
打印机服务 | 150 | 不常 | 7 x 18 | 8:30-17:30 | 200KB |
2.4拓扑结构分析
根据公司不同建筑物的使用方式和网络布局,为公司设计一款适合业务特点的拓扑结构。公司当前局域网存在星型拓扑和总线拓扑的混合拓扑结构,其中星型拓扑用于核心层与接入层的连接上,总线拓扑用在各接入交换机的下行链路上。虽然星型拓扑结构简单、容易部署、便于管理,连接点出现的故障方便及时检测与排除。但单星型拓扑中心节点为全网最重要的一环,中心节点的故障会扩散到全网导致网络瘫痪,因此双星型拓扑应运而生[5]。双星型结构的每个节点都通过两条单独的通信线路与两台中心节点连接,单台中心节点的故障只会导致网络性能下降而不会导致网络整体瘫痪。单星型结构与双星型结构对比如图2.3所示:
图2.3 单星型结构与双星型结构对比图
2.5本章小结
本章主要阐述了在进行具体的网络设计之前需要对公司业务等需求进行分析以及如何进行分析。本章从公司业务、应用、拓扑三个方面阐述了需求,并给出分析结果。
3 公司逻辑网络设计
3.1逻辑网络整体设计
逻辑网络的设计目标需要满足需求分析中提出的公司需求,以设计出符合公司业务流特点的网络架构。本次设计的广东数维网络技术有限公司网络采用三层网络架构[6],包括核心层、汇聚层、接入层。
核心层连接所有的汇聚层交换机,防火墙和无线接入控制器,负责汇聚各部门之间的流量,并提供三层交换机的功能。核心交换机承担了内部数据流量和对外数据流量,因此设备需提供高转发性能和高带宽。
汇聚层是各建筑节点的核心,负责汇聚接入层设备的流量。转发建筑节点内用户业务的“横向流量”和提供到核心层的“纵向流量”。
接入层负责直接接入终端设备,提供高密度接入接口供用户终端使用,除使用二层交换机功能外还可以满足简单的业务安全需要,如QOS/ACL等[7]。
3.2网络拓扑图
根据逻辑网络整体设计以及公司需求分析的需要,现输出广东数维网络技术有限公司网络拓扑图如图3.1所示:
图3.1 广东数维网络技术有限公司网络拓扑图
3.3 IP地址与VLAN划分
考虑到公司拥有多个部门,某些部门有网络隔离的需求,因此IP地址划分,将使用子网划分的方式来对每个部门进行规划,每一个部门使用单独的一个24位子网网段,保证连续性的同时还方便后续做汇总与一些路由策略[8]。且公司人员设备众多,为降低网络管理人员重复工作量,故使用DHCP自动配置的方式代替静态IP人工配置。具体划分见表3.1:
表3.1 广东数维网络技术有限公司的IP地址与VLAN划分表
部门或区域 | VLAN号 | IP网段 | 网关地址 |
管理 | 1 | 172.16.1.0/24 | 172.16.1.254 |
访客部 | 111 | 172.16.100.0/24 | 172.16.100.254 |
董事会 | 116 | 172.16.101.0/24 | 172.16.101.254 |
财务部 | 121 | 172.16.102.0/24 | 172.16.102.254 |
市场部 | 126 | 172.16.103.0/24 | 172.16.103.254 |
人事部 | 131 | 172.16.104.0/24 | 172.16.104.254 |
采购部 | 136 | 172.16.105.0/24 | 172.16.105.254 |
研发部 | 141 | 172.16.106.0/24 | 172.16.106.254 |
生产部 | 146 | 172.16.107.0/24 | 172.16.107.254 |
后勤部 | 151 | 172.16.108.0/24 | 172.16.108.254 |
网管中心 | 156 | 172.16.109.0/24 | 172.16.109.254 |
服务器区 | 161 | 172.16.110.0/24 | 172.16.110.254 |
3.4关键技术
3.4.1 OSPF
本次网络设计中,OSPF技术用在核心层交换机与防火墙之间[9]。用OSPF最短路径优先算法可是实现动态更新路由条目,帮助网络管理员更好地管理整个网络。但OSPF若设计不当,容易产生次优路径问题。如图3.2所示,案例1中CoreA与CoreB之间缺少Area1区域的链路,导致HuijuA与HuijuC之间的通信会经过HuijuA-CoreA-HuijuB-CoreB-HuijuC这样一条次优路径,而不是经过HuijuA-CoreA-CoreB-HuijuC这样一条最优路径。案例2中CoreA与CoreB之间缺少Area0区域的链路,导致当FW1与FW2之间的链路出现故障时,CoreA与CoreB无法在Area0区域通信。案例3中CoreA与CoreB之间在Area0和Area1中分别互相连接,此种方式可以避免OSPF产生次优路径的问题。
图3.2 OSPF次优路径对比图
3.4.2 MSTP
在网络设计中,以太网为了进行链路备份,实现网络的高可靠性,通常会使用冗余链路。但是使用冗余链路又会带来在交换网络上产生环路的问题,继而引发广播风暴和MAC地址表震荡等不稳定故障现象。部署MSTP包括包括STP域名、STP实例名和对应绑定的VLAN号。每个实例维护独立的一颗生成树,绑定的VLAN按照自己的树进行转发,具体规划见表3.2。本次设计将在汇聚层交换机,无线换机之间使用MSTP协议防止环路[10]。核心层交换机CoreA为VLAN 1、111、121、131、141、151、161的根桥,CoreB为VLAN 116、126、136、146、156的根桥。
表3.2 MSTP规划表
设备名 | MSTP域名 | STP实例名 | VLAN号 |
CoreA | xzw2022.com | instance 1 | 1 |
CoreA | xzw2022.com | instance 1 | 111 |
CoreB | xzw2022.com | instance 2 | 116 |
CoreA | xzw2022.com | instance 1 | 121 |
CoreB | xzw2022.com | instance 2 | 126 |
CoreA | xzw2022.com | instance 1 | 131 |
CoreB | xzw2022.com | instance 2 | 136 |
CoreA | xzw2022.com | instance 1 | 141 |
CoreB | xzw2022.com | instance 2 | 146 |
CoreA | xzw2022.com | instance 1 | 151 |
CoreB | xzw2022.com | instance 2 | 156 |
CoreA | xzw2022.com | instance 1 | 161 |
如图3.3所示,汇聚层交换机A为例,该交换机下有VLAN111,VLAN116和VLAN121三个业务VLAN的流量。如果部署的是STP或者RSTP,则所有VLAN的流量要么全从左边链路转发给核心交换机A传递,要么全从右边的链路转发给核心交换机B传递。导致浪费了另外一条链路带宽,在网络流量较大的情况下可能会导致一条链路阻塞而另外一条链路没有任何流量经过。而MSTP可以实现以多个VLAN为一个实例,不同的实例拥有不同的转发路径。假设汇聚层交换机A底下拥有20个VLAN,则有10个VLAN会走左边链路,10个VLAN走右边链路。这样可以充分利用所有链路的带宽,降低拥塞几率。
图3.3 MSTP分析
3.4.3链路聚合
本设计中,链路聚合Eth-Trunk部署在两台核心交换机之间,这条链路作用是为后续部署VRRP做准备。VRRP流量将都通过核心交换机之间这条链路,也称为心跳线。链路聚合不仅可以提高带宽,还可以增加冗余性。如图3.4所示,案例1中部署完成后,当CoreA与CoreB之间的一条链路故障后仍可以通过另一条链路转发。不会出现案例2中所有VRRP的流量都需要经过汇聚层交换机来转发。该链路还可以转发汇聚层上来的所有VLAN流量。
图3.4 链路聚合分析
3.4.4 VRRP
增加出口网关是提高系统可靠性的常见方法,此时在多个出口之间进行选择就成为需要解决的问题。在使用VRRP来将两个物理网关组成为一个虚拟网关之前,只能通过人工操作方式在每台终端上更改网关,工作量巨大。使用VRRP之后,终端设备只需要配置VRRP给出的虚拟网关地址,故障切换对用户是透明的。不过需要注意的是保持VRRP与MSTP的主备统一,比如VLAN111、121、131的根桥在A设备上,对应的VRRP网关,也应该以A为主,B为备用。而VLAN116,、126、136的根桥在设备B上,对应的VRRP网关,以B为主,B为备用[11]。
如图3.5所示,案例1中VLAN111的VRRP主网关在CoreA上,而VLAN111的MSTP根桥在CoreB上。由于MSTP的特性,HuijuA会将VLAN111的流量从DP接口转发到CoreB,再由CoreB将流量转发给网关。导致了次优路径,既提高了转发延迟,又增大了设备负担。而案例2中将VRRP的主网关与MSTP根桥设置在同一台设备上,既可以让两台核心设备各自处理不同VLAN流量进行负载分担,又使访问网关的流量不会因为MSTP的阻塞端口而导致流量通过次优路径。
图3.5 VRRP分析
所以部署前需要提前规划,包括VRRP的Master\Backup角色(优先级)设计、网关地址与接口地址设计、抢占延迟设计、故障切换设计,具体规划见表3.3。
表3.3 VRRP规划表
设备名 接口号 | CoreA | CoreB | MSTP根桥 |
vlanif1 | Master | Backup | CoreA |
vlanif 111 | Master | Backup | CoreA |
vlanif 116 | Backup | Master | CoreB |
vlanif 121 | Master | Backup | CoreA |
vlanif 126 | Backup | Master | CoreB |
vlanif 131 | Master | Backup | CoreA |
vlanif 136 | Backup | Master | CoreB |
vlanif 141 | Master | Backup | CoreA |
vlanif 146 | Backup | Master | CoreB |
vlanif 151 | Master | Backup | CoreA |
vlanif 156 | Backup | Master | CoreB |
vlanif 161 | Master | Backup | CoreA |
3.4.5 DHCP
根据需求分析,本次设计网络终端数将会达到500台以上,网络配置变的越来越复杂,再加上许多终端位置不固定(如智能手机或无线网络),引发了IP地址变化频繁以及管理难度增大。为了实现动态分配IP地址给主机使用,需要用到动态主机配置协议DHCP。本网络使用一台DHCP服务器为各主机终端、移动终端和无线接入点提供自动分配地址。
3.4.6无线网技术
随着无线技术的发展与移动智能设备的普及,WLAN(无线局域网) 已经成为企业网络建设的关键部分,本次设计采用逐渐成为主流且具有更强性能的802.11ax(Wi-Fi 6)。通常在企业级无线局域网中,通过AC(无线接入控制器)来对AP(无线接入点)实行远程集中管理。包括用户的认证方式、AP的工作模式、数据流模式等[12],AC负责将不同AP的数据流进行汇总并接入到互联网中。常见的AC组网方式如图3.6有两种:直连式、旁挂式。
直连式组网中AP、AC与上层网络串联在一起,所有数据通过AC转发后到达上层网络。即AC同时处理管理流量与业务流量,对设备性能要求高。AC与AP建立的capwap隧道只传输管理流量用于实现对AP的管理与控制。
旁挂式组网中AC置于AP上行网络的直连设备上,AP与AC无直连物理链路。AP 的业务流量不经过AC,减轻了设备压力。AC的管理流量封装在capwap隧道中用于对AP的管理与控制。
图3.5 AC组网方式
3.5本章小结
本章主要描述了公司网络的逻辑设计过程,在进行逻辑网络设计时,要结合需求分析设计出一个具体的网络,并给出了升级后的逻辑网络拓扑图、地址表等信息。
4 公司物理网络设计
4.1综合布线系统
综合布线是物理网络设计中的重要一环,遵循统一标准的布线根据不同需求实现不同的效果。本设计的目标是在满足所需技术指标上,优化布线结构,使整个系统更合理更高效[13]。本次设计主体广东数维网络技术有限公司成立初期建设过综合布线系统,但建设规范标准较低,故仍需对公司综合布线系统进行调查并设计方案。根据国标GB 50311-2016第3.1.2章[14]所规定的,综合布线系统的基本结构应包括建筑群子系统、干线子系统和配线子系统。
4.1.1信息点统计
通过对公司实地走访调查,并对建筑物内网进行勘探,统计出公司信息点需求如下。首先公司需要进行综合布线系统分析的建筑物有一栋六层高综合写字楼,两栋一层高厂房,一栋六层高宿舍楼。其中综合写字楼包括访客厅,董事会,财务部,市场部,人事部,采购部,大约需要400个信息点。厂房分为两栋,包括生产部和研发部,每栋有大约100个信息点。宿舍楼包括后勤部,共有大约150个信息点。共计800个信息点。
4.1.2建筑群子系统
根据公司情况,建筑群子系统在各建筑物之间采用埋线方式,布置了多模光纤,光纤到每栋建筑物的设备间内。此种方式不仅可以利用原有建设配套还可以降低施工难度。根据公司平面图以及实地考察得到的情况,输出建筑群子系统布线图如图4.1所示:
图4.1 建筑群子系统布线图
4.1.3干线子系统
根据公司情况,干线子系统在每栋建筑物内的设备间至各层楼的电信间之间负责连接。在设计时,首先要确定设备间与电信间之间的距离,以确定线缆长度。根据公司需求情况,本次干线布线采用光缆,铺设在弱电井内,连接建筑物配线设备BD与楼层配线设备FD。具体见图4.2:
图4.2 干线子系统布线图
光缆长度通过公式计算为:
4.1.4配线子系统
根据逻辑网络设计得出配线子系统采用星型拓扑结构,因此每个信息插座TO将独立连接到楼层电信间的配线架上。按照合理性经济性原则,结合公司实际,本次配线子系统使用超五类非屏蔽双绞线、信息插座模块和跳线架进行设计与实施。具体见图4.3:
图4.3 配线子系统布线图
4.1.5工作区子系统
工作区子系统由信息插座TO连接到终端设备TE的通信线缆所组成,连接介质使用T568B标准的4对双绞线铜缆,信息模块对应使用超五类或者六类。
图4.4 工作区子系统布线图
4.2设备选型
本次网络升级项目需要新购入若干网络设备,包括接入层交换机、汇聚层交换机、核心层交换机、无线接入控制器、无线接入点和防火墙。以下为各网络设备选型情况。
接入层交换机选用华为S5735-S48P4X,此款交换机是华为公司推出的接入层产品,拥有48个下行千兆电接口,支持POE+功能,可以直接为AP提供电力,节省布线成本。还拥有4个上行万兆光接口,可以将接入层流量通过万兆接口转发到汇聚层,同时满足对接入层网络的功能需求。
图4.5 S5735-S48P4X外观
汇聚层交换机选用华为S6720-30C-EI-24S-AC,此款交换机是华为公司推出的汇聚层产品,拥有24个下行10GE SFP+光接口和2个40GE QSFP+光接口,其中QSFP+光接口支持拆分为4个10GE接口。支持敏捷地实现丰富业务特性,满足公司对汇聚层网络的需求。
图4.6 S6720-30C-EI-24S-AC外观
核心层交换机选择华为S6720-30L-HI-24S,此款交换机是华为公司推出的万兆企业网产品,拥有100GE的QSFP28上行接口供核心层互联,以及24个下行10GE SFP+光接口和4个40GE QSFP+光接口。提供的全线速万兆接入接口,满足公司网高密度核心接入的要求。
图4.7 S6720-30L-HI-24S外观
无线接入控制器选择华为AC6605-26-PWR,此款控制器是华为推出的提供大容量高性能无线数据控制业务的产品。支持POE供电与802.11ax协议。配合华为无线接入点,可组建园区网络和企业办公网络。
图4.8 AC6605-26-PWR外观
无线接入点选择华为AirEngine 5762-16W,是华为发布的支持802.11ax标准的室内面板AP。单台AP可同时覆盖2-3个房间,解决多房间、多隔断场景部署AP数量多的问题,有效降低整网建设成本和功耗。
图4.9 AirEngine 5762-16W外观
防火墙选择华为USG6150,是华为面向中小企业等推出的企业级下一代防火墙,具有防病毒,入侵检测,上网行为管理等多种安全功能。有效满足公司对网络安全高效、全面、绿色的要求。
图4.10 USG6150外观
4.3本章小结
本章详细介绍了公司物理网络设计情况,即网络设计中的物理结构阶段,包括综合布线系统以及网络设备选型,方便开展后续工作。
5 网络设计实现
5.1网络实现概述
在前期逻辑网络设计和物理网络设计的基础上,分步骤实施网络配置。正确的配置顺序能够使网络实现事半功倍。应按网络层次从低到高配置,首先配置二层网络再配置三层网络最后配置高级协议。此种配置方式能够使得网络管理人员更好地掌握网络状态,并且容易进行错误排除。
5.2网络基础配置
网络基本配置包括各网络设备的IP地址配置,VLAN配置和交换机接口配置。IP地址与VLAN虽然是网络中最基础的存在,但也是整个网络前期最重要的规划配置。如果规划不当,后期的修改将会产生巨大的任务量,如扩展、修改等情况。
5.2.1接入层交换机配置
访客厅接入交换机配置:因VLAN配置较为重复,因此本次仅给出配置思路和重点配置。接入层交换机配置对应vlan并设置连接终端电脑的接口为Access和STP的边缘端口,防止终端设备启动时进行STP计算拖慢DHCP获取时间。连接汇聚交换机的接口为Trunk,连接无线接入点的接口为Hybrid。
interface GigabitEthernet0/0/2
port hybrid tagged vlan 111
stp edged-port enable
下联AP的接口,设置为Hybrid,并允许VLAN1与111通过,默认VLAN1允许通过,而且不打标签,VLAN1为AP的管理流量,AP获得地址后需要通过该IP地址与AC进行通信协商隧道的,而VLAN111则是AP的业务流量,是PC访问外网或者内部流量转发的,所以必须放行2个VLAN。
port-group 1
group-member GigabitEthernet0/0/2 to GigabitEthernet0/0/24
#创建一个端口组,把交换机连接终端设备的接口加入该组,方便后续统一配置。
port link-type access
port default vlan 121
stp edged-port enable
traffic-policy caiwu outbound
把端口组1内的接口设置为Access,默认VLAN为121,开启STP边缘端口,在出方向应用财务部流策略。
5.2.2汇聚交换机配置
汇聚层需要包含下联接入层所有的VLAN,因为下联的接入层交换机都连接到汇聚层上,故需要多个VLAN,来总结所有的VLAN流量。
HuijuA配置:
vlan batch 111 116 121
description connection to CoreA g0/0/3
#描述该接口连接的是核心交换机A的G03接口,在重要接口进行描述,可以明确接口的信息,为日后运维提供良好的环境。
port link-type trunk
port trunk allow-pass vlan 111 116 121
把接口设置为Trunk,放行vlan111、116、121。
5.2.3核心交换机配置
核心交换机基础配置VLAN,链路类型大致与接入层、汇聚层一致,故仅放出链路聚合相关配置:
interface Eth-Trunk1
#创建链路聚合组1
trunkport GigabitEthernet0/0/1
trunkport GigabitEthernet0/0/2
#添加eth-trunk成员链路
port link-type trunk
port trunk allow-pass vlan 111 116 121 126 131 136 141 146 151 156
port trunk allow-pass vlan 161 166
#设置链路类型,放行对应VLAN
load-balance src-dst-ip
配置负载均衡模式为源目IP,因为核心层的流量基本是三层,基于源目IP分担会更有效率。
5.3 MSTP与VRRP配置
MSTP配置:
根据图3.1所示,MSTP需要在汇聚层交换机、核心交换机与无线接入控制器之间配置,为配合VRRP,故将两个实例的根桥设置在核心层。
核心交换机A配置:
stp region-configuration
#配置MSTP域。
region-name xzw2022.com
#配置域名,加入该域成员域名须一致。
instance 1 vlan 1 111 121 131 141 151 161
instance 2 vlan 116 126 136 146 156 166
#根据规划表为不同实例划分不同VLAN。
stp instance 1 root primary
#实例1设为根桥
stp instance 2 root secondary
#实例2设为备份根桥
active region-configuration
#激活域配置
核心交换机B配置:
重复配置将省略。
stp instance 1 root secondary
#实例1设为备份根桥
stp instance 2 root primary
#实例2设为根桥
汇聚交换机与无线接入控制器配置:
重复配置将省略。
instance 1 vlan 1 111 121 131 141 151 161
instance 2 vlan 116 126 136 146 156 166
根据规划表为不同实例划分不同VLAN。虽然汇聚层交换机和无线接入控制器并没有这么多VLAN的流量,但仍需定义一致的实例,因为MSTP域会检查hash值,只有配置一致hash值才会一致,才能加入同一个MSTP域。
VRRP配置:
由于VRRP需要在核心交换机的每个Vlanif接口上重复配置,本次仅以一台设备的2个接口配置为例子。
核心交换机A配置
interface Vlanif111
#进入接口
ip address 172.16.100.252 255.255.255.0
#配置地址
vrrp vrid 111 virtual-ip 172.16.100.254
#配置虚拟网关地址
vrrp vrid 111 priority 105
#设置优先级为Master。
vrrp vrid 111 preempt-mode timer delay 10
#设置抢夺延时为10秒,防止Master恢复后路由表还未建立时立即抢夺角色导致网络震荡。
vrrp vrid 111 track interface GigabitEthernet0/0/7
#设置追踪接口,当接口失效时自动降低10点优先级,因此当Master失效后优先级降为95,另一台设备将以100的优先级成为新Master。
interface Vlanif116
ip address 172.16.101.253 255.255.255.0
vrrp vrid 116 virtual-ip 172.16.101.254
优先级为Backup角色的配置仅需设置vlanif接口地址和虚拟网关地址。例如CoreA的vlanif111为Master,则CoreB的vlanif111为Backup,CoreB的vlanif116为Master,则CoreA的vlanif116为Backup,以此类推。
5.4 OSPF配置
OSPF将在两台防火墙与两台核心交换机之间运行,根据逻辑网络设计划分成为2个区域[15],具体配置见下:
CoreA的配置:
ospf 1 router-id 1.1.1.1
#设置router-id,便于确认临接关系建立情况。
area 0.0.0.0
network 172.16.99.1 0.0.0.0
network 172.16.99.9 0.0.0.0
#区域0中宣告连接两台防火墙的接口地址。
area 0.0.0.1
abr-summary 172.16.0.0 255.255.0.0
#进行路由汇总,压缩路由表条目。
network 172.16.100.0 0.0.0.255
network 172.16.101.0 0.0.0.255
network 172.16.102.0 0.0.0.255
network 172.16.103.0 0.0.0.255
network 172.16.104.0 0.0.0.255
network 172.16.105.0 0.0.0.255
network 172.16.106.0 0.0.0.255
network 172.16.107.0 0.0.0.255
network 172.16.108.0 0.0.0.255
network 172.16.109.0 0.0.0.255
network 172.16.110.0 0.0.0.255
#区域1中宣告公司所有的网段地址。
FW1的配置:
ospf 1 router-id 3.3.3.3
default-route-advertise always
#通告缺省路由
import-route direct
#引入直连路由
import-route static
#引入静态路由
area 0.0.0.0
network 172.16.99.2 0.0.0.0
network 172.16.99.6 0.0.0.0
network 172.16.99.17 0.0.0.0
区域0中宣告连接防火墙与交换机的接口地址。
5.5无线接入器配置
interface Vlanif1
ip address 172.16.1.251 255.255.255.0
#配置管理地址,该地址供AP与AC通信建立CAPWAP隧道用。
ip route-static 0.0.0.0 0.0.0.0 172.16.1.254
#创建默认路由,使的其他VLAN也可访问AC
capwap source interface vlanif1
#指定CAPWAP源接口
security-profile name Dongshi
#创建董事会的安全模板。
security wpa2 psk pass-phrase 12345678 aes
#设置wifi密码及加密类型。
ssid-profile name Dongshi
#设置董事会的ssid模板
ssid Dongshi
#设置ssid
vap-profile name Dongshi
#创建董事会的vap模板。
service-vlan vlan-id 116
#关联对应的vlan。使通过该信号获得ip地址为董事会的网段。
ssid-profile Dongshi
#关联ssid模板
security-profile Dongshi
#关联安全模板
#类似的建立其他各部门的SSID模板,安全模板,VAP模板并关联起来。
regulatory-domain-profile name A
#创建域管理模板A,B,C,D。
ap-group name A
#创建AP组A,负责管理汇聚层A设备底下的AP,其余汇聚层设备同理。
regulatory-domain-profile A
#关联管理模板
vap-profile Dongshi wlan 1 radio all
vap-profile Fangke wlan 2 radio all
将vap模板调入ap组。
5.6防火墙配置
防火墙的配置分为双机热备[16]、区域设置、安全策略三部分。
首先是HRP双机热备的配置。
hrp enable
#开启双击热备功能
hrp interface GigabitEthernet1/0/6 remote 172.16.99.18
#配置心跳接口
hrp mirror session enable
#启用会话备份功能
hrp auto-sync config static-route
#启动静态路由备份功能
hrp load balance device
#启用设备负载均衡
hrp track interface GigabitEthernet1/0/0
hrp track interface GigabitEthernet1/0/1
hrp track interface GigabitEthernet1/0/2
#配置监控链路
然后是区域的配置。
firewall zone trust
set priority 85
add interface GigabitEthernet0/0/0
add interface GigabitEthernet1/0/0
add interface GigabitEthernet1/0/1
#将连接核心交换机的接口加入Trust区域。
firewall zone untrust
set priority 5
add interface GigabitEthernet1/0/2
#将连接ISP的接口加入Untrust区域。
firewall zone dmz
set priority 50
add interface GigabitEthernet1/0/3
add interface GigabitEthernet1/0/6
#将HRP接口与连接外网web的接口加入DMZ区域。
最后是安全策略的配置。对于安全性比较严格的环境,流量都要通过安全策略来控制,首先进入接口关闭管理功能undo service-manage enable,内网接口放行ping、http、https、ssh,外网接口只放行https,dmz接口放行http和https。
rule name Lo-Any
#创建local区到any的安全规则
action permit
#放行规则中的流量
rule name Tr-UntDmz
#创建trust区到untrust区、dmz区的安全规则
action permit
#放行规则中的流量
rule name Unt-Tr
#创建untrust区到trust区的安全规则
rule name Dmz-TrUnt
#创建dmz区到trust区、untrust区的安全规则
source-zone dmz
#设置源区域为dmz区
destination-zone trust
destination-zone untrust
#设置目标区域为trust区、untrust区
action permit
#放行规则中的流量
rule name TrDmz-Lo
#创建trust区、dmz区到local区的安全规则
rule name Unt-Tr
rule name Unt-Lo
rule name Unt-Dmz
#创建untrust区到trust区的安全规则
#创建untrust区到local区的安全规则
#创建untrust区到dmz区的安全规则
service http
service https
action permit
放行http、https的流量
5.7 DHCP配置
dhcp enable
#启动全局dhcp功能。
ip pool vlan1
#根据vlan建立ip地址池
gateway-list 172.16.1.254
network 172.16.1.0 mask 255.255.255.0
#设置待分配的地址段与掩码信息
excluded-ip-address 172.16.1.1 172.16.1.100
excluded-ip-address 172.16.1.249 172.16.1.253
#排除无需自动分配的地址
lease day 10 hour 0 minute 0
#设置地址租期为10天。
interface GigabitEthernet0/0/0
ip address 172.16.110.111 255.255.255.0
#设置dhcp服务器地址,供中继使用。
dhcp select global
#选择为全局dhcp端口。
ip route-static 0.0.0.0 0.0.0.0 172.16.110.254
创建默认路由,使其他的VLAN也可访问DHCP服务器。
5.8 ACL配置
鉴于财务部安全需求较高,故使用ACL技术对其网络进行限制,仅保留董事会、服务器区对财务部的网络通信。
acl number 3121
#创建ACL编号3121,限制财务部的网络访问。
rule 5 permit ip source 172.16.101.0 0.0.0.255 destination 172.16.102.0 0.0.0.255
#创建规则5,允许财务部与董事会之间的网段互相通信
rule 6 permit ip source 172.16.110.0 0.0.0.255 destination 172.16.102.0 0.0.0.255
#创建规则6,允许财务部与服务器区之间的网段互相通信
rule 10 deny ip destination 172.16.102.0 0.0.0.255
#创建规则10,拒绝其余部门与财务部的网络通信
traffic classifier caiwu operator and
if-match acl 3121
#建立流分类命名为caiwu,关联财务部的ACL
traffic behavior caiwu
#建立流行为命名为财务,默认策略为放行
traffic policy caiwu
classifier caiwu behavior caiwu
#建立流策略命名为caiwu,关联caiwu的流分类与流行为
另外因公司需要访客厅的成员能访问公网和DMZ区域的服务器,故需要通过ACL技术对访客厅用户进行限制。
acl number 3111
#创建ACL编号3111,限制访客的网络访问。
rule 4 permit ip source 172.16.110.111 0 destination 172.16.100.0 0.0.0.255
#创建规则4,允许访客厅与DHCP服务器的网络通信
rule 5 deny ip source 172.16.0.0 0.0.255.255 destination 172.16.100.0 0.0.0.255
#创建规则5,拒接访客厅与内网各部门的网络通信
traffic classifier fangke operator and
if-match acl 3111
#建立流分类命名为fangke,关联访客厅的ACL
traffic behavior fangke
#建立流行为命名为fangke,默认策略为放行
traffic policy fangke
classifier fangke behavior fangke
建立流策略命名为fangke,关联fangke对应的流分类与流行为。
5.9本章小结
本章详细讲述了网络的实施过程,并说明了每个步骤的原因和配置要求。实现逻辑网络设计中要求,方便后续开展网络测试工作。
6 网络测试
6.1 DHCP测试
根据规划,广东数维网络技术有限公司的用户终端均采用DHCP协议自动获取IP地址。董事会PC终端开启后,自动获取本部门对应网段的IP地址,DHCP验证如图6.1所示:
图6.1通过DHCP协议获取IP地址
6.2局域网连通测试
本次仿真实现了公司局域网中,要求访客厅只能访问外网和DMZ区,财务部仅能与董事会和服务器区通信,其余区域均可互通。具体见图6.2,图6.3,图6.4与图6.5。
图6.2 访客厅访问内网
图6.3 访客厅访问DMZ区
图6.4 访客厅访问公网服务器
图6.5 董事会访问内网
图6.7 董事会访问内网服务器
6.3 MSTP与VRRP测试
MSTP与VRRP都是在遵照高可用性设计下的产物,因此不仅需要测试各自协议是否配置正确,还要测试在某条链路断开后网络是否高可用。
如图6.8所示,核心层MSTP中均不存在阻塞端口,所有端口都可进行数据转发,保证核心层的高吞吐量。而阻塞端口在汇聚层交换机,如6.9所示,这样可以使正常情况下仅阻塞一条次优路径即可避免环路产生。
图6.8 核心层MSTP验证
图6.9 汇聚层MSTP验证
VRRP验证如图6.10所示,每个虚拟网关都拥有一个Master端和Backup端。经过图6.11与图6.12的测试,证明了MSTP与VRRP可以保证在单条链路故障的情况下,保证网络中断时间尽可能少。
图6.10 VRRP验证
图6.11 外网高可用性测试
图6.12 网关高可用性测试
6.4 OSPF测试
本次实施的公司内网通过OSPF协议同步给防火墙,使得防火墙做完NAT以后可以实现局域网与广域网网互通。
图6.13 OSPF邻接关系
图6.14 OSPF路由表
6.5无线接入器与接入点测试
根据公司要求,为指定区域配置AC与AP,实现无线网络覆盖。无线终端连上部门AP后,自动获取该部门网段的地址。
图6.15 AP自动获取IP
图6.16 AC通过CAPWAP下发配置
图6.17 无线终端收到SSID
图6.18 无线终端访问内网
6.6本章小结
本章详细讲述了公司网络的验证和测试过程,体现了本次设计的网络具有良好的运行情况并实现了预期目标的高可靠性。
7 总结
本文从广东数维网络技术有限公司的背景出发,对公司网络需求分析、网络逻辑设计、网络物理设计和网络实施测试几个方面讨论了公司的网络规划与实施过程,并且最终实现了公司网络的良好运行。
在需求分析当中,对于公司业务需求和网络应用需求,网络性能需求进行了分析,并指出了公司网络存在的若干问题,包括设备老化、IP管理混乱。网络协议可靠性差的问题,为后续逻辑网络规划的开展做好基础。
在逻辑网络设计中,针对公司IP管理混乱、VLAN划分单一的问题,通过详细规划IP地址段以及分配VLAN给不同部门解决。针对网络协议可靠性差的问题,提出使用多种协议相结合的方式,既能负载均衡提高链路利用率,又能实现高可靠的网络连接。针对公司缺失无线局网的现象,设计中还规划了通过AC三层旁挂核心层的方式,与DHCP协议配合实现无线覆盖的需求。
在物理网络设计中,对公司本次升级项目进行了综合布线分析。并针对网络设备老化,维保困难的现象,根据企业未来三到五年的需求进行相关设备选型。
在网络实施测试环节,提出了实施步骤的建议,并对实施重点命令进行设计解释。对于测试环节,通过分层次,分协议的方式。对网络连通性,网络可靠性和协议运行状态进行测试,结果表示网络具有良好可靠的运行状态。
本次升级方案中还有许多未考虑到的或者未能实现的技术与理念。包括没有对OSPF协议应用BFD技术加速收敛,没有对网络设计进行更加细致的功能模块划分。这些都是作者需要更加进一步学习的地方。
公司不是一成不变的,公司的业务与网络需求也同样一直在变化。这需要更多成熟可靠的技术帮助,也需要更多网络创新技术和产品应用来实现一个功能更加完善,安全性与可靠性齐高的网络。