eNSP简单企业网络设计报告

数维网络

已于 2025-03-26 15:57:43 修改

阅读量3.8k

点赞数 46

分类专栏： ensp毕业设计网络期末大作业文章标签：网络课程设计

于 2024-10-25 17:05:59 首次发布

本文链接：https://blog.csdn.net/m0_53035460/article/details/143238455

版权

ensp毕业设计同时被 2 个专栏收录

23 篇文章

订阅专栏

网络期末大作业

5 篇文章

订阅专栏

5.1 VLAN划分Eth-Trunk链路聚合

1用户需求

我们的公司目前正在进行企业网建设，旨在推进信息化建设并将公司打造成一个高水平、智能化、数字化的企业网络。我们希望这个网络能够为各个应用系统提供便利、快捷的信息通道，并具有良好的性能，支持大容量和实时性的各种应用。此外，我们还希望这个网络能够可靠地运行，故障率低并且维护要求较少。

为了实现这一目标，我们的网络系统采用高速光纤网络，构建了内网相互独立的网络系统。这个系统不仅提供安全的办公局域网，还可以访问Internet。通过实现部门内部的网络化以及各部门之间的共享，我们构建了网络信息共享，实现了资源共享。这种设施为各部门提高效率、透明度以及实现快速反应提供了可靠支持。

我们的网络系统主要依赖于光纤作为传输媒介，以IP和Internet技术为技术主体，以核心路由器为交换中心，下属部门信息网络系为分接点的多层结构。这个系统提供与各种网络技术相关的、功能齐全、技术先进、资源统一的网络应用系统，能够满足各种应用场景的需求。

我们的网络系统建设旨在实现以下功能：

（1）本公司大概500人，有五个部门，技术部200台PC划为vlan10，营销部120台PC划为vlan20，研发部100台PC划为vlan30，财务部10台PC划为vlan40，办公部70部PC划为vlan50.

（2）每个部门划分一个vlan，部门内部网络互通，不同部门网络也能通。

（3）每个部门划分一段ip地址，并用dhcp技术自动分配地址，运行ospf协议，方便路由的维护。

（4）核心层，汇聚层交换机做MSTP和VRRP技术，设备冗余，能够保一台设备坏了之后，瞬间切换到另外一台设备，不影响业务。

（5）保证公司内网的安全，增加防火墙设备，隔离公司内网和互联网。

（6）公司内部使用光纤连接，光网覆盖，速度快。

（7）NAT:应用于内网用户访问Internet时进行的地址转换将私网地址转为公网地址。

（8）防火墙做双机热备，当一台设备出现故障时，可以由另一台设备承担服务任务，从而在不需要人工干预的情况下，自动保证系统能持续提供服务。

2功能需求

（1）对于一个企业 LAN来说，三层体系结构是必要的。通过Eth-trunk链路聚集来提高核心层的带宽。汇聚层利用两台交换器对数据流进行汇合，并把数据流汇合到核心层。接入层开关承担着对设备的联接，提高端口的密度的任务。

（2）将企业内的各个部门分成 vlan，并将其分成不同的 vlan，并将其分成不同的 vlan，具体的设计要以具体的要求为依据。

（3）交换机之间做MSTP和VRRP实现链路可靠性，防火墙做双机热备，保障系统运行

（4）在本地网络中建立 DNS服务器、 http服务器、 fTP服务器，进行域名分析，并在外部网络中访问公司的官方网站。

（5）在核心层的上面，是一个核心路由器，它的任务是发送数据，并对数据进行配置，并进行端口映射。

3网络管理需求

一个企业的网络化系统，需要具备健全、安全、智能化的网络化管理功能。它的基本要求有：

（1）网络装置支持以端口为基础的 VLAN (Virtual Local Network, VLAN）分区，通过网管软件可以动态地对 VLAN进行配置。使得分割后的各个虚网可以互相分享需要的信息，也可以各自独立操作，增强各个虚网之间的信息安全。该方法容易实现网络的重新配置，并具有对广播风暴进行隔离的能力；

（2）它采用了一种以端口为基础的存取控制方式，可以有效地阻止一些重要的信息点被外界或内部所获取，从而实现了对信息流的控制，提高了网络的安全性；

（3）对已登陆的网络中的代理用户进行实时的监测，以有效的方式及时的阻止一些非法的接入；

（4）对网络故障及时报警，并实现隔离。

4网络设计与规划

4.1网络拓扑规划

网络拓扑整体设计为三层架构，将其分成了核心层、汇聚层、接入层三部分，之后再利用出口路由器与互联网进行连接，在此过程中，利用防火墙来进行网络的安全防护工作，防火墙可以做双机热备，以确保网络的正常运转。核心交换机做链路聚合保证交换机带宽。具体网络拓扑规划如下：

图4-1 企业网络拓扑图

4.2网络总体设计

该系统的核心部件采用了三层结构。在核心层中，采用了两个三层开关，每个开关与一个路由器相连，通过链路聚集来实现两个开关的连接。在聚合层中，采用了两个开关，每个开关都连接到两个核心开关，以确保系统的可靠性。在访问层方面，我们暂且将5个交换机分配到每个 Vlan中，每个 Vlan负责一个虚拟 LAN的连接，每个 Vlan中有一个用于与企业的服务器群相连。

4.3ip地址和vlan划分

公司采用 Vlan法和子网分区法对各个环节进行了计划，每个环节都设置了24比特的子网断点，确保了环节的连续性。就算再来一些新员工，24个人，254个人地址，也不会缺人。另外，延续性也可以方便地做总结，用一些策略来控制。

表4-1 vlan，ip选型表

部门	vlan	ip地址
技术部	10	192.168.1.0/24
营销部	20	192.168.2.0/24
研发部	30	192.168.3.0/24
财务部	40	192.168.4.0/24
办公部	50	192.168.5.0/24
服务器	60	192.168.6.0/24

5网络配置

5.1 VLAN划分Eth-Trunk链路聚合

5.1.1 vlan划分

以JR-1为例配置底层vlan，配置与PC连接接口g0/0/2，g0/0/3，g0/0/4接口模式配置为access，配置接口缺省VLAN10，配置与接入交换机连接端口为trunk模式，允许所有vlan通过。

vlan 10
#
interface Ethernet0/0/1
 port link-type trunk
 port trunk allow-pass vlan 2 to 4094
#
interface Ethernet0/0/2
 port link-type access
 port default vlan 10
#
interface Ethernet0/0/3
 port link-type access
 port default vlan 10
#
interface Ethernet0/0/4
 port link-type access
 port default vlan 10

5.2 mstp规划与设计

以HX-1为例进入MST视图，配置MST域名为HUAWEI，配置MST域级别为1，建立两个实例instance1和instance2，分别将vlan10，20，30和vlan40，50，60划入两实例中，instance1的根交换机定为HX-1，instance2的根交换机定为HX-2。

HX-7:

stp region-configuration
 region-name HUAWEI
 revision-level 1
 instance 1 vlan 10 20 30
 instance 2 vlan 40 50 60
 active region-configuration
#
stp instance 1 root primary
stp instance 2 root secondary

图5-2 MSTP生成树状态图

5.3 vrrp与dhcp 规划与设计

两核心交换机上配置开启dhcp服务，配置地址池， HX-1配置vlan 10 20 30的地址,HX-2配置vlan40 50的地址池，分别设置网关。

创建虚接口vlanif10 20 30 40 50 60 给接口配置虚接口ip，创建备份组并为备份组指定虚拟ip地址，配置HX-1的vlan10 20 30 备份组的优先级为120，HX-2的vlan40 50 60备份组的优先级为120，因为vrrp默认优先级为100，配置为120是使HX-1的vlan10 20 30 VRRP备份组的优先级要高于HX-2的默认优先级使HX-1成为vlan10 20 30 VRRP组中主设备。同理，vlan 40 50 60VRRP组的主设备为HX-2。

HX-7:

dhcp enable
#
ip pool vlan10
 gateway-list 192.168.1.254
 network 192.168.1.0 mask 255.255.255.0
#
ip pool vlan20
 gateway-list 192.168.2.254
 network 192.168.2.0 mask 255.255.255.0
#
ip pool vlan30
 gateway-list 192.168.3.254
 network 192.168.3.0 mask 255.255.255.0
#
interface Vlanif10
 ip address 192.168.1.100 255.255.255.0
 vrrp vrid 1 virtual-ip 192.168.1.254
 vrrp vrid 1 priority 120
 dhcp select global
#
interface Vlanif20
 ip address 192.168.2.100 255.255.255.0
 vrrp vrid 2 virtual-ip 192.168.2.254
 vrrp vrid 2 priority 120
 dhcp select global
#
interface Vlanif30
 ip address 192.168.3.100 255.255.255.0
 vrrp vrid 3 virtual-ip 192.168.3.254
 vrrp vrid 3 priority 120
 dhcp select global
#
interface Vlanif40
 ip address 192.168.4.100 255.255.255.0
 vrrp vrid 4 virtual-ip 192.168.4.254
#
interface Vlanif50
 ip address 192.168.5.100 255.255.255.0
 vrrp vrid 5 virtual-ip 192.168.5.254
#
interface Vlanif60
 ip address 192.168.6.100 255.255.255.0
vrrp vrid 6 virtual-ip 192.168.6.254

图5-3 VRRP配置图

5.4 OSPF配置

创建ospf 1进程，设置区域号area 0.0.0.0，发布ospf中通告的网段让其它ospf邻居接收到，可以检测到邻居ospf信息

HX-7:

ospf 1
 area 0.0.0.0
 network 192.168.1.0 0.0.0.255
 network 192.168.2.0 0.0.0.255
 network 192.168.3.0 0.0.0.255
 network 192.168.4.0 0.0.0.255
 network 192.168.5.0 0.0.0.255
 network 192.168.6.0 0.0.0.255
 network 10.1.10.0 0.0.0.255

图5-4 ospf邻居表图

5.5 防火墙基本配置

给接口配置IP地址，配置g1/0/0 加入trust区域，1/0/1加入untrust 1/0/2加入dmz区域，创建ospf进程1区域0通告1/0/0和1/0/1IP网段

FW1:

interface GigabitEthernet1/0/0
ip address 10.1.10.1 255.255.255.0
#
interface GigabitEthernet1/0/1
ip address 10.1.13.1 255.255.255.0
#
interface GigabitEthernet1/0/2
ip address 10.1.11.1 255.255.255.0
#
firewall zone trust
 set priority 85
 add interface GigabitEthernet1/0/0
#
firewall zone untrust
 set priority 5
 add interface GigabitEthernet1/0/1
#
firewall zone dmz
 set priority 50
 add interface GigabitEthernet1/0/2
#
ospf 1
 area 0.0.0.0
 network 10.1.10.0 0.0.0.255
 network 10.1.13.0 0.0.0.255

图5-5 防火墙区域表图

5.6 双机热备配置

给FW1,FW2开启HRP使能命令，形成主备状态，配置HRP接口及地址，指定remote采用UDP封装HRP报文，开启快速备份功能，设置心跳线为1/0/0 1/0/1接口

FW1:

hrp enable
 hrp interface GigabitEthernet1/0/2 remote 10.1.11.2
 hrp mirror session enable
 hrp track interface GigabitEthernet1/0/0
 hrp track interface GigabitEthernet1/0/1

FW2

hrp enable
 hrp interface GigabitEthernet1/0/2 remote 10.1.11.1
 hrp mirror session enable
 hrp track interface GigabitEthernet1/0/0
 hrp track interface GigabitEthernet1/0/1

5.7 路由配置

以R1为例，设置路由器接口路由，开启ospf进程1设置区域0通告路由，添加静态路由配置下一跳实现内网与外网路由通信。

R1:

int g0/0/0
ip add 10.1.15.1 24
#
int g0/0/1
ip add 10.1.13.2 24
#
int g0/0/2
ip add 100.1.1.1 24
#
ospf
area 0
net 10.1.15.0 0.0.0.255
net 10.1.13.0 0.0.0.255
ip route-static 0.0.0.0 0.0.0.0 100.1.1.3

5.8 NAT配置

在R1和R2配置acl策略，允许所有路由通过，将acl与地址池关联起来，局域网内所有IP从AR1和AR2到外网时都做IP地址转换，转换为公网地址。

R1:

acl 2000
rule permit
#
int g0/0/2
nat outbound 2000
#
acl 2001
rule permit
#
int g0/0/1
nat outbound 2001

图5-6 nat配置信息图

5.9 ACL配置

在HJ-5和HJ-6以及JR-4配置ACL，并做简单流策略，实现各部门间的访问控制，只有办公部能够访问其他部门，其他部门之间不能直接互访。配置以HJ-5为例

acl number 3000
 rule 5 deny ip destination 192.168.2.0 0.0.0.255
 rule 10 deny ip destination 192.168.3.0 0.0.0.255
 rule 15 deny ip destination 192.168.4.0 0.0.0.255
#
acl number 3001
 rule 5 deny ip destination 192.168.1.0 0.0.0.255
 rule 10 deny ip destination 192.168.3.0 0.0.0.255
 rule 15 deny ip destination 192.168.4.0 0.0.0.255
#
interface GigabitEthernet0/0/1
 port link-type trunk
 traffic-filter inbound acl 3000
#
interface GigabitEthernet0/0/2
 port link-type trunk
 traffic-filter inbound acl 3001