展通网络科技有限公司网络设计

系统简介

展通网络科技有限公司从创立之初，不断发展壮大，紧随世界发展潮流，快步跟上信息化建设与网络化建设，企业信息化建设是为企业员工提供了一个信息交流的网络平台，提高了办公效率，所以企业信息化已经成为了一家企业的硬实力的重要标志之一，是企业的重要财富和资源，企业想在快速发展的现代社会中准确把握市场发展趋势，必须构建一个可靠安全，高效快速的网络通信平台。本文以展通网络科技有限公司网络设计与建设为背景，对公司目前发展状况与需求进行全方位的分析，首先，公司网络稳定性是网络建设最重要的一环，为保证网络的稳定，在一些核心设备，如核心交换机、防火墙等做双机热备；在公司内网需要做到互通，但仅仅内网互通是不可以的，还需要与外网连接互通，目前主流内外网互通的方式都是采用NAT技术，可以解决公网IP不足的问题；当然，网络的建设不仅如此简单地只涉及这两种技术，还有其他网络技术，如DHCP,ACL,VPN等。最后在整体的网络拓扑规划中，一定要结合公司的实际业务和发展情况，合理设计公司组网模式，做到“实用，可靠，可拓展”。
本论文首先讲述展通公司网络设计该项目的背景以及意义，然后对项目需求、项目所需的技术及协议进行介绍、分析；接着就是着重介绍项目实施的规划，以及和作为重中之重的项目实施的可行性。
关键词：信息化，DHCP技术，Vlan技术，NAT技术

第一章 绪论

1.1公司业务介绍
展通网络科技有限公司是一家中小型企业，公司以保持为客户提供好的产品和技术支持、健全的售后服务；公司主要运营商品零售贸易（许可审批类商品除外）;互联网商品销售（许可审批类商品除外）;广播电视及信号设备的安装;广播电视传输设施安装工程服务;电子、通信与自动控制技术研究、开发;无线通信网络系统性能检测服务;通信设备零售;通信系统工程服务;信息电子技术服务;卫星通信技术的研究、开发;通信基站设施租赁;计算机网络系统工程；拥有好的产品和专业的销售和技术团队，属于广州建筑安装业黄页行业。
1.2公司规模介绍
展通网络科技有限公司成立于2014年10月8日，拥有员工大概450人，拥有两处办公地点，分别位于广东广州和深圳，前者位于广东省广州市天河区天河路和华冠路交汇处，E-park科技园创业基地二栋二层全层和三层全层，；后者位于深圳北山区千信高科技工业园二栋十六层全层；其中广州办公点为公司总部，员工大概300，深圳办公点为公司拓展深圳业务所规划的办公点，属于公司的分公司，员工大概150人。广州办公点占地两层共2000平方，深圳办公点约980平方。
1.3项目建设思想
一家优秀的企业不仅有良好的服务，还要有完善的管理制度，而良好的服务和完善的管理制度离不开完整的网络系统服务，配置完善的网络系统为公司运作提供了一个经济高效、安全舒适的服务平台，使公司的各项工作功能成功实施，并使之高效稳定的运行。所有的网络建设思想均已提高工作人员工作效率为目的，以现代化公司网络建设为标准，应充分利用现有资源，在实现一切目的和功用的基础上，争取较高的性价比，支持网络设计业界的主流规范，且满足将来的发展趋向，重视系统的实用性，方便管理和维护。网络系统的布局设计和建立也应该充分的思考未来的拓展和网络规模的扩充。
1.31网络系统设计原则
伴随着公司最近几年的高速发展，公司内部组织结构变得十分复杂，所以在该项目设计实施方案中，必须充分考虑公司管理需求，并且完整的系统设计原则是建设科技公司网络系统的基础和必要条件，在该项目网络系统设计中应充分考虑：先进性与实用性，标准化与开放性，可靠性与安全性，经济性与可拓展性等原则。
(1)先进性与实用性：
网络构架设计、网络设施选型要保障其实用性与先进性，支持业界的主流标准，且契合将来的发展需要，最重要贴合公司业务需求；注重系统的实用性，便于使用，方便管理和维护，不能只追求市面上最新的交换设备或者先进技术，应该考虑网络投资在一定时间范围内的价值，保护已有投资。
(2)标准化和开放性：
网络系统的设计和建设在先进性和应用性的基础上必需合乎国际化的规范和标准，一方面是能够兼容其他的网络系统，另一方面是给未来的网络扩建提高足够的开发接口。
(3)可靠性与安全性：
采用最新的各种容错技术和系统备份技术，如VRRP，链路聚合技术等，令网络系统有较高的可靠性于冗余性；采用访问控制列表，内部网络入口安装防火墙等安全保障措施，来保障系统的安全性。
(4)经济性和可拓展性：
在达到所有公司网络设计目标和实现所有功能的基础上，争取最高的性价比，设备选型要根据需求选择合适的设备与服务器；系统的规划设计和建设要充分的考虑未来的拓展和网络规模的扩充。
(5)保证服务质量优先：
展通网络公司是科技服务性企业，所有的设计规划均以提高质量和提高工作效率为目的，进一步提升公司的工作效率和资源利用率。
(6）可管理性和可维护性
在网络建设过程中，必须要设计一套标准化、程序化的故障排查流程。一旦某个节点产生故障，能够快速、精准地定位故障点，依据实际状况做出最实用的解决方案。同时，在网络结构设计过程中，要求防止某一节点的系统故障影响到整个网络的运转。
根据现代化科技公司的要求，网络系统设计应该充分利用资源、节约成本，以当前先进的网络工程技术为依托，采用先进网络技术，使公司网络在国内保持先进的水平。

1.4项目建设目标
展通网络系统的建设目标是：以规范的网络系统为最低标准，通过先进的路由交换机技术，网络通讯技术，计算机存储技术，网络安全防护技术、正规网络机房设计技术和综合布线技术等为核心支撑技术，建立一套统一规划、高度集成的网络系统，为企业计算机网络系统中的机密数据提供传输、存储和备份等核心功能，且把办公流量、管理流量进行不同传输线路规划，实现通信网络的通讯、办公、管理的智能化、集成化，把公司计算机通信网络建成一个高起点、高标准、功能设施一流、且具备开放性和流畅性的网络平台。

第二章 网络需求分析

2.1公司工作网络功能需求分析
展通网络公司作为互联网科技公司，需要快速稳定的网络服务，对办公区域网络应实现以下的功能：
（1）布置无线和有线双接入方式，满足不同终端的上网需求；
（2）实现公司网络的服务器接入功能，能够运行各种网络系统，如流量控制系统，云服务器系统，上网行为管理等；
（3）提供稳定快速的带宽网络，使得客服能够迅速响应客户的保障与投诉，让公司服务质量不受带宽延时影响；
（4）搭建FTP服务器，实现工作网络的文件共享传输功能，保证公司文件快速共享服务质量；
（5）在公司主要入口和重要场所提供实时视频监控功能，维护公司环境的安全和防止危险情况进一步发生，并提供一键报警功能；
（6）提供无线网络服务，覆盖公司办公所有区域；
（7）公司广州总部和深圳分部采用VPN连接，使总部与分部网络能够互相访问，提高两处办公人员工作互通效率；
（8）网络设备开启SSH或者TELNET功能，允许网络管理员远程登录交换机管理或者应急响应。

2.2公司总部与分部网络安全需求分析
满足根本的安全要求是网络成功运转的必要条件，保护公司网络内的众多网络设备、服务器，维护网络通信系统的安全，是网络主要的安全需求：
（1）网络正常运行，网络系统需要一定的抗压能力，在遭到网络黑客攻击的情况下，能够保障网络系统继续运转；
（2）网络系统存储的内部机密资料不被窃取，对公司商业机密文件；核心技术文件等进行策略管理；
（3）访问管控，利用访问控制列表或者防火墙安全策略，对特定网段IP、端口号进行的安全访问控制，根据实际情况进行允许访问或者拒绝访问；
（4）加密通信，利用加密通道使公司总部和分部网络在公网进行安全互访时；
（5）备份和还原，遭到入侵攻击而导致数据信息丢失时，能够及时还原网络系统存储的机密数据和系统服务；
（6）设立网络安全监控中心，为信息系统和工作人员上网提供安全体系管理、监控、维护以及紧急情况的需求；
（7）总部与分部网络互连，采用加密协议IPSEC VPN建立连接，能够在公网建立两个私有网络互连通信；

2.3网络基础结构需求分析

2.3.2拓扑图结构分析
广州总部网络与深圳分部网络均规划为接入层，汇聚层，核心层三层结构设计模式，设计的网络属于园区网络，为树形拓扑构造。
三层网络结构得好处就是能将网络流量进行分层管理，每层结构接入不同服务类型得终端，如接入层接入工作人员的电脑和笔记本等，汇聚层接入无线网络接收器AP，而核心层网络接入无线网络控制器控制整个无线网络流量，而且防火墙则旁挂公司服务器，实现安全访问。
采用三层组网结构的目的不仅为了流量分层管理，而且为了方便故障排错，一旦出现网络问题，可以快速定位网络故障出现在哪层，达到快速修复故障的目的，从而不影响公司业务流程。
总体系统结构简约图如下：

图2-1三层组网结构图

第三章 网络设计

3.1展通公司网络整体设计
展通网络公司有两处办公点，广州总部与深圳分部，两处办公区域采用相同的组网架构，采用相同的组网架构的原因，一是因为两地人员组织架构一样，业务也相同，二是考虑到深圳分部业绩上涨迅猛，未来很快就能和广州总部持平甚至超越，所以采用相同组网架构，是最为符合展通公司的需求与发展。
在网络整体设计中，采用三层结构组网，汇聚层汇聚接入层流量，同时汇聚层也接入AP流量，核心层连接AP无线控制器和安全防火墙，承担很大的交换流量，因此在两台核心交换机不是VRRP负载分担和链路聚合，保障核心层流量走向，而防火墙作为整个网络的出口网关，而且也连接公司内网服务器，划分内外网端口安全级别且配置安全策略，保护内网安全。由于需要与深圳分部进行互通通信，也在广州和深圳两个网络出口防火墙部署IPSec VPN服务，实现两个私网在公网上进行通信。
在公司总体网络拓扑图中，深圳分部详细组网架构简略展示，主要展示广州总部组网拓扑。

图3-1总体网络拓扑图

第四章 实施方案

4.1 vlan技术应用
vlan被称为“虚拟局域网”，vlan技术允许网络管理者将一个物理的局域网逻辑划分成不同广播域的通信技术，每个vlan都包含一组有着相同需求的计算机工作站，与物理上形成的局域网有着相同的属性，相同vlan内的主机可以通信，但是一个vlan内部的广播和单播流量不会转发到其他vlan中，从而控制流量，减少设备投资，简化网络管理，提高网络安全性。终端设备与接入层设备之间使用access口，交换机之间使用trunk口。

命令配置：（以总裁办vlan10配置为例）
接入层交换机配置：
vlan batch 30 //添加vlan30
interface Ethernet0/0/2 //进入与总裁办终端相连的端口
port link-type access //选择端口类型为access
port default vlan 30 //划分端口默认vlan为30
int e0/0/1 //进入与汇聚层交换机相连的端口
port link-type trunk //与交换机相连端口设为trunk
port trunk allow-pass vlan 30 //透传vlan30

汇聚层交换机配置：
vlan batch 10 20 //添加底下部门存在的vlan
int g0/0/2 //进入与接入层交换机相连端口
port link-type trunk //设置端口类型为trunk口
port trunk allow-pass vlan 10 20 30 40 //透传接入层存在的vlan
int Vlanif 30 //进入虚拟端口
ip address 10.0.4.1 255.255.255.0 //配置vlan30的网关，使用三层 路由进行vlan间通信

4.2 搭建DHCP服务器
动态主机配置协议DHCP，是一种用于集中对用户IP地址进行动态管理和配置的技术，由于展通网络科技有限公司的组网规模较大且复杂程度高，而且公司内部办公终端数据增加且位置不固定，如果手动配置，这样会引起IP地址频繁变化和IP地址不足的问题，DHCP可以实现IP地址及其他网络参数自动分配的功能，方便管理者统一管理IP，在展通组网架构中，根据交换机性能，决定在汇聚层部署DHCP服务器，而且采用全局地址池下发IP地址，每个部门分配一个DCHP地址池，每个地址池可用IP数量199个，54个IP地址作为备用保留，为未来各部门扩展人员作出准备。

命令配置（以技术部门DHCP分配为例）

dhcp enable //开启交换机DHCP功能

ip pool jsb //创建全局地址池，以部门 拼音首字母命名
gateway-list 10.1.5.1 //选择网关10.1.5.1
network 10.1.5.0 mask 255.255.255.0 //配置地址池下发网段
excluded-ip-address 10.1.5.200 10.1.5.254 //限制某些地址下发，留作备用
lease day 0 hour 12 minute 0 //地址租期为12小时，满足工 作时间
dns-list 114.114.114.114 8.8.8.8 //选择两个DNS解析服务器

interface Vlanif50 //进入技术VLAN虚拟接口
ip address 10.1.5.1 255.255.255.0 //配置地址池IP10.1.5.1
dhcp select global //使能全局地址池的DHCP功能

4.3 NAT协议技术应用
随着Internet的发展和网络应用的增多，IPv4地址枯竭已成为制约网络发展的瓶颈。NAT技术的出现暂时缓解了这一问题，NAT主要用于实现内部网络访问外部网络的功能。当内网的主机要访问外网时，通过NAT技术可以将其私网地址转换为公网地址，可以实现多个私网用户共用一个公网地址来访问外部网络，这样既可保证网络互通，又节省了公网地址。
由于展通有限公司网络系统终端较多，不可能为每个都分配公网ip地址用以上网，所以，在网络设计的时候网络系统采用网络地址转换技术（NAT）将公司的私有ip地址转化为合法的ip地址，来接入互联网，以保证公司网络能够正常的访问互联网。展通网络科技有限公司向ISP申请了5个公网IP，结合公司实际情况，采用动态网络地址转换技术，NAT技术有多种，基于公司网络结构和实际成本，将采用NAPT技术，多个私网地址对应一个公网地址，将NAT配置在网络出口防火墙。

4.7 搭载FTP服务器
FTP服务器是一台存储文件的服务器，能够提供用户进行上传或下载文件的操作，能够传输各种类型、各种结构、各种格式的文件，提供对本地计算机和远程计算机的目录操作功能。在展通公司网络中搭建FTP服务器，能够使各个部位的资源消息迅速共享，方便各个部门信息交流，从中获取大量的需求信息，从而提高公司员工的工作效率，使公司业务快速传达、实施、落实。根据组网架构，配置FTP服务器（100.2.3.1/24）接入核心层交换机；同时，为了保证各个交换机重要配置文件之间进行共享，还未来能够上传交换机版本更新文件到交换机，方便网络管理员对交换机配置文件更换和对交换机版本升级，对公司内网交换机开启FTP服务功能。
服务器FTP设置：

图4-1 FTP服务器图

第五章 设备连通性测试

5.1 VLAN间通信测试
每个部门划分了不同的vlan，正常来说每个部门的终端是不能互相访问的，在汇聚层vlanif接口配置IP作为不同部门的网关，并在汇聚层和核心层配置静态路由进行不同VLAN网段通信，用总裁办终端（10.1.1.0/24）ping人事部终端（10.1.3.0/24）进行测试vlan间通信，成功ping通，这样就能在二层网络减少广播，节约带宽资源，并且不同部门能进行三层通信。

图5-1 vlan测试图
5.2验证DHCP自动获取IP
公司工作人员众多，上网终端更多，配置DHCP使得工作终端达到开机即刻联网的效果，提升工作效率，验证处于技术部的终端能否获取10.1.5.0/24网段中的地址，PC选择自动获取IP地址；技术部终端成功获取到地址池下发的IP地址，且其他网络参数与地址池分配一致，DHCP服务器部署成功。

图5-2 DHCP测试图
5.3验证NAT地址转换
NAPT地址转换，是IP地址和端口同时转换，这样就能达到多个私网IP共用一个公网IP上网，节约公司网络费用，利用总裁办终端ping外网地址31.1.1.3，私网IP10.1.1.199成功转换成公网IP，配置成功，NAT协议生效。

图5-3 NAT测试图
5.4链路聚合验证
配置了Eth-trunk链路聚合，选择三条链路加入Eth-trunk接口，最大活动链路2条，剩余一条作为备用，并且开启抢占模式，当活动链路故障时，备用链路可用抢占成为活链路，保证充足交换带宽。从图中看出当前活动链路为2条，一条未活动链路，ETH-trunk 10 处于up状态

图5-4 链路聚合测试图
模拟处于active状态的链路down了，备用链路抢占成为活动链路，将GE1/0/0 shutdown进行模拟；

图5-5链路聚合测试图
运的，在四年的大学时光里，各位老师能不吝啬于对我们的指导和教诲，此特别鸣谢。