摘要
近年来,互联网及其相关技术迅猛发展,使得企业迎来数字化办公方式的新局面。企业必须提高工作效率与管理水平,为了提高企业的市场竞争力。因此,企业需要建立一个高效的数字化办公平台。而作为数字办公的根基,企业网这一基础平台的建设就显得尤为重要,把企业网建设成高稳定性、高安全性、便于管理以及拓展性强的高效网络。本文以某小型企业网络建设项目为背景,研究国内外企业网络建设的特点和优缺点后,从企业目前实际情况和未来发展入手,结合目前网络建设的主流技术,设计提出完整的企业网络建设方案。以企业需求为导向,设计一个可实现企业日常通信功能的企业网。在总体架构上,采用三层网络架构,核心层采用双核心交换,企业内部有两条链路访问互联网,以减少因单点失效而引起的网络故障。在安全性上,企业网内部部署防火墙,企业总部和分部之间采用IPSec进行数据的加密,而且特殊部门还采用ACL技术进行访问的控制。企业网内部按照部门进行VLAN划分,并在数据链路层实现多VLAN的防环技术。本文涉及到的技术有:IPsecVPN技术、NAT地址转换技术、HSRP热备份路由协议、OSPF路由协议、VLAN虚拟局域网等。
关键词:企业网;网络规划;三层架构
1 绪论
1.1研究背景及意义
随着信息化建设的推进,企业通过建设自己的内部网络,搭建办公平台,大大提高了办公效率,并且减少了不必要的人力物力消耗。目前中小型企业网络建设的重点在于经济实用,需要一个合理适用的方案,既节约成本,也能提高企业运行效率。
1.2互联网的发展进程
20世纪60年代末,互联网的前生阿帕网(Advanced Research Projects Agency Network,ARPANET),又称ARPA网。现在看来该网络非常原始,但是它以及具备网络的基本形态和功能。20世纪60年代中期,各计算机公司都纷纷推出自己的网络体系,但各厂商的之间没有统一的网络体系标准,无法实现互联互通。直到1984年“开放系统互联参考模型”的颁布,才解决了这一问题。在这之后,各种网络技术层出不穷,大大推动了网络的深入化发展。这一阶段的计算机网络发展特点为:高速、智能、广泛的应用。
1.3计算机网络在我国的发展历程
我国计算机网络起步于20世纪80年代,虽然起步较晚,技术也落后,但经过几十年的艰苦发展,经历种种困难,但目前我国在信息技术方面已经赶上其他国家,在5G方向更是领先全球。我国于1980年开始互联网接入实验,直到1994年40月,中国国家计算机与网络设施(NCFC)工程通过美国Sprint公司接入互联网的64k国际专线开通,中国实现与国际互联网的全功能接入。1996年,越来越多的商业互联网公司成立,其中熟知的有:新浪、网易、腾讯、阿里巴巴、百度等。从这开始中国互联网迅猛发展,各互联网企业都探索到互联网商业价值,互联网经济也日渐繁荣。
1.4论文的组织安排本文由六章组成。
第一章绪论。主要阐述了课题的研究背景,国内外课题的发展情况,以及本篇论文的主体结构及每章要点。
第二章企业网络的设计概况。主要说明了网络设计的规范体系,阐述三层网络模型的优缺点,以及设计所用到的网络技术。
第三章企业网络的需求分析。主要介绍网络需求,针对需求合理设计,并介绍了相关部署的网络设备。
第四章企业网络的设计实现。主要介绍了企业网络的拓扑设计,VLAN以及IP地址的详细规划,并且按照网络层次结构分别介绍相关技术配置命令。
第五章针对各种企业网络设计方案进行测试。根据上一章对网络的整体设计,分别对网络设计的各功能模块进行测试。
第六章总结全篇,展望企业网络的发展前景。总结全文,认真归纳本文所提方案的不足,并期待在未来的研究中有所突破。
2 企业网络的设计概况
2.1企业网设计原则
世上没有百分百完美的组网方案,只有最适合用户的组网方案。想要组建一个安全稳定的企业网络,要从组网成本,设备选择,组网技术,网络安全等多个方面考虑。中小型企业在网络组建过程中,应该遵循以下原则:
2.1.1高可靠性与稳定性
根据企业自身的需求,选择能满足企业网络需求,并且还能适应当前信息技术快速发展的先进、成熟的网络产品和技术,以确保网络安全稳定运行和较长的使用寿命。可靠性是验证网络设计是否科学的最重要标准。例如,单位网络设计服务时间为:每周5天,每天24小时。如果120小时总共110小时,其可用性约为92%。使用网络冗余设计,为了网络中的减少节点宕机风险来确保整个稳定运行网络。我们希望无论发生严重的事故,我们都可以确保网络稳定,事故的影响最小化。
2.1.2良好的可扩展性
企业网络应考虑未来用户设计和升级网络技术的增加。该网络需要高度灵活的宽带接入功能,提供各种业务界面,并且可以通过智能控制,灵活的高动态服务提供适应的宽带要求。在Web设计中,我们使用模块化和网络拓扑级别设计方法来使网络架构更易于扩展。
2.1.3可管理性和可维护性
考虑到企业网络的实际运行方式和机房位置等因素,需要加强网络管理系统的全面监控及管理。同时提供稳妥的运行管理方案、故障解决方案、安全防护方案、性能管理方案和配置方案等。要尽可能地综合性考虑各项因素,使网络在投入使用后更加方便管理和维护。
2.1.4安全性
网络安全问题在近些年逐渐重要,越来越多的企业遭到黑客、木马、勒索病毒等攻击,窃取企业保密文件,给企业带来经济损失。因此,在设计之初就应该采用安全可靠的网络拓扑结构,选择可靠性高、故障率低的网络铲平,。并且根据具体情况合理划分虚拟局域网(VLAN),通过子网划分使得各部门之间隔离开来。同时还应该考虑到外部入侵、渗透,建立必要的网络安全体系和数据备份系统。
2.1.5可购买性
可购买性的目标就是在预算范围内,使企业网络获得获得最大化的性能。
2.2经典三层模型介绍
三层网络结构模型包括:核心层、汇聚层和接入层。三层模型将复杂的网络体系分成三个层次,每层提供相应功能,使整个网络变得结构化、简单化,同时也能减少后期运维的工作量。
添加图片注释,不超过 140 字(可选)
图2-1 三层网络模型
三层网络模型如上图2-1所示,在三层结构上还简化出了二层网络模型,二层网络模型只有核心层和接入层,没有汇聚层。对于网络规模小,联网距离比较短的环境。忽略汇聚层,核心层设备可以直接连接接入层,这样一来可以省去部分汇聚层的费用,还可以减轻维护负担。但网络性能跟网络的健壮性就不如三层网络模型,而且二层网络模型中核心层设备负担较大,如遇到流量高峰容易导致设备导致宕机,从而使整个企业网络瘫痪。一般大中型网络都按照标准的三层结构设计建造,其资源控制能力,可靠性,性能都是二层网络模型不可比拟的。
(1)核心层
核心层是整个网络的主干,在整个网络中有着极其重要的作用。它承载着绝大部分的内网数据流量,正是这一重要地位使得核心层的必须有以下特点:高可靠性,冗余性,高速转发,低时延等。并且核心层设备必须采用双机冗余热备份,负载均衡功能,用来提高网络性能与网络可靠性。同时核心层设备也将占据网络预算的主要部分。
(2)汇聚层
汇聚层位于核心层和接入层之间,汇聚层需要处理来自接入层的大量数据流量,并提供到核心层的上行链路,对数据包进行过滤、流量均衡、IP地址转换等。因此汇聚层交换机与接入层交换机相比,要有更高的性能,更多种类的接口和更高的交换速率。
(3)接入层
接入层面向最底层的链接,例如用户的接入,服务器的接入等。接入层还应当负责一些用户管理功能如:地址认证、用户认证等,以及用户信息收集工作如:用户的IP地址、MAC地址、访问日志等。接入层交换机拥有低成本和高端口密度的特点。
2.3关键技术
本次网络设计涉及到的相关技术有:动态路由协议OSPF、链路聚合、端口安全等,下面进行介绍。
2.3.1动态路由OSPF
OSPF(Open Shortest Path First),最短路径优先协议。由IETF开发,是一种开放的路由协议,所有人都可以使用,不受任何厂商的限制。它一般用于同一自治系统(Autonomous System)中。当应用到大规模的网络中,通常将网络划分成多个OSPF区域。OSPF协议主要有点有:路由状态快速收敛、支持可变长子网掩码、支持更多的网络节点等。
2.3.2链路聚合
链路聚合是将多个物理链接的链路,逻辑上虚拟成一条链路。正常状态下,流量分组通过这多个物理链路,当其中一个物理链路损坏时,流量依旧可以通过其余物理链路。它可以实现链路的负载均衡和提高链路的冗余性。其特点主要有:提高链路带宽、提高网络可靠性、实现流量的负载均衡。
2.3.3端口安全
端口安全(Port Security),主要依靠MAC地址来识别控制访问用户。使用端口安全特性可以防止未经允许的设备访问网络,并增强安全性。另外,端口安全特性也可用于防止MAC地址泛洪造成MAC地址表填满。其共有三种违规模式:保护、限制、关闭。
3 需求分析
3.1总体需求
目前该公司有两个办公区域,一个总部跟一个分部。在物理位置上,两个办公点不在同一园区,但需要两点之间可以相互通信。总部网络搭建较早缺乏长远的网络规划,同时对网络需求也不够明确,造成目前公司网络问题日益增多。现公司欲希望设计出一个设计规范、功能完备、性能优良、安全可靠、有良好的扩展性与可用性的网络。总体需求如下:
(1)公司内160台办公电脑均能访问Internet。
(2)核心层关键设备应当具备灵活的配置模块,并且实现冗余设计,满足核心层24*7连续运行的可靠要求。
(3)不同部门间用户也可以相互传输数据,分部人员可以正常访问总部服务器以及内部人员的相互通信。
(4)核心层-汇聚层-接入层之间实现万兆通信,桌面接入实现千兆通信。
(5)确保服务器安全策略,做好服务器备份,保证数据安全和稳定。
3.2企业所需设备介绍
3.2.1接入层设备选型
接入层是将终端用户连接到网络,面向用户连接。接入层交换机一般选用二层交换机,其特点是价格便宜和端口密度高。在设备选型时,可以选用国际知名互联网厂商CISCO的2960系列交换机。
添加图片注释,不超过 140 字(可选)
图3-1 Catalyst2960交换机
3.2.2汇聚层设备选型
汇聚层交换机一般选用三层交换机。三层交换机负担着快速转发,网络接入控制,内网间路由。需要具备高可靠性与高性能。市场上三层交换机型号众多,主流大厂商产品有着性能强、模块化、智能化等特点。当然功能越强大,售价也随着水涨船高。我们选择时需要明确两点,一是根据需求购买,不能一味贪图高性能而选最贵的;选择能满足当下企业需求,并且还要为以后技术发展留一点余地。二是选择模块化三层交换机,模块化交换机拥有强大的灵活性和可扩充性;用户可以根据自生不同的需求,使用不同速率、不同接口类型的模块。综合需求和性价比,最终选择CiscoCatalyst3560E-24TD作为汇聚和核心交换机,其主要优势有:易用性、可靠性、可扩展性、高性能路由等。
3.2.3核心层设备选型
核心层路由器又称“骨干路由器”,在企业网中是连接内网与公网的关键所在,其核心功能是“路由选择”。路由器选用CISCO4321路由器。
4 企业网络的设计与实现
4.1企业网络拓扑设计
该公司的网络设计方案拓扑图,如图4-1所示:
添加图片注释,不超过 140 字(可选)
图4-1 公司网络拓扑设计
该设计符合传统的三层网络结构,在最大限度的满足企业所需的前提下,降低了企业网络搭建所需的开销,以获取最佳性价比。在此次设计中,着重考虑了冗余设计与安全性。在汇聚层采用双核心冗余设计,在核心层路由器上也是采用双电源冗余,大大提高了整体网络的可靠性。并且加入防火墙模块,使安全性大大增强。
4.2IP地址规划
公司内部采用私有C类网络地址,即192.X.X.X。采用规范化的私有地址。因此企业网VLAN划分及IP地址规划表,如下表所示。
表4-1 VLAN划分表
| VLAN编号 | VLAN名称 | 网络号 | 子网掩码 |
|---|---|---|---|
| VLAN 10 | sale | 192.168.10.0 | 255.255.255.0 |
| VLAN 20 | network | 192.168.20.0 | 255.255.255.0 |
| VLAN 30 | ministry | 192.168.30.0 | 255.255.255.0 |
| VLAN 40 | finacne | 192.168.40.0 | 255.255.255.0 |
| VLAN 50 | service | 192.168.50.0 | 255.255.255.0 |
表4-2 IP地址分配表
| 设备接口 | IP地址 | VLAN | |
|---|---|---|---|
| ISP3S0/2/0 | 201.68.10.2/24 | ||
| S0/1/1 | 201.68.20.1/24 | ||
| ISP4S0/1/0 | 201.68.20.2/24 | ||
| S0/2/0 | 201.68.30.1/24 | ||
| R1S0/1/0 | 201.68.10.1/24 | ||
| S0/0/0 | 192.168.100.1/24 | ||
| R2S0/1/0 | 201.68.30.2/24 | ||
| G0/0/0 | 192.168.130.1/24 | ||
| G0/0/1 | 192.168.140.1/24 | ||
| FWG1/1 | 192.168.100.2/24 | ||
| G1/2 | 192.168.110.1/24 | ||
| G1/3 | 192.168.120.1/24 | ||
| MS1G0/1 | 192.168.110.2/24 | ||
| VLAN 10 | 192.168.10.1/24 | VLAN | |
| VLAN 20 | 192.168.20.1/24 | VLAN | |
| VLAN 30 | 192.168.30.1/24 | VLAN | |
| MS2G0/1 | 192.168.120.2/24 | ||
| VLAN 40 | 192.168.40.1/24 | VLAN | |
| VLAN 50 | 192.168.50.1/24 | VLAN | |
| MS3F0/24 | 192.168.130.2/24 | ||
| MS4F0/24 | 192.168.140.2/24 |
4.3接入层交换机配置
在接入层交换机上需要配置的技术有:端口划分VLAN、配置VLAN中继、端口安全、配置SSH安全登陆等。
4.3.1配置SSH安全登陆
在接入层交换机上配置SSH
S1(config)#ipdomain-namecisco.com//配置网络IP域名S1(config)#ipsshversion2//启用SSH第2版
S1(config)#cryptokeygeneratersa//启用SSH服务器并生成RSA密钥对Howmanybitsinthemodulus[512]:512//模数长度为512
S1(config)#usernameadminsecretcisco//创建本地身份验证用户名和密码对S1(config)#linevty015//配置VTY线路
S1(config-line)#transportinputssh//启用VTY线路上的SSH协议S1(config-line)#loginlocal//使用本地用户名数据库进行SSH连接的
4.3.2端口划分VLAN并配置VLAN中继
S1(config)#vlan10//配置VLAN10S1(config-vlan)#exit
S1(config)#intrangef0/1–2//进入f0/1-2接口
S1(config-if-range)#switchportmodeaccess//将接口模式改为接入(access)模式
S1(config-if-range)#switchportaccessvlan10//划分端口为VLAN10
S1(config-if-range)#exit
S1(config)#intrangef0/23–24//进入f0/23-24接口
S1(config-if-range)#switchportmodetrunk//将接口模式改为中继(TRUNK)模式
S1(config-if-range)#switchporttrunkallowedvlan10,20,30,40,50//设置允许通过的VLAN编号S1(config-if-range)#exit
MS1(config)#vlan10
MS1(config-vlan)#vlan20
MS1(config-vlan)#vlan30
MS1(config-vlan)#vlan40
MS1(config-vlan)#vlan50//配置VLAN10,20,30,40,50MS1(config-vlan)#exit
MS1(config)#intrangef0/1–5//进入f0/1-5接口
MS1(config-if-range)#switchporttrunkencapsulationdot1q//在二层端口配置802.1q协议MS1(config-if-range)#switchportmodetrunk//将接口设为中继(TRUNK)模式
MS1(config-if-range)#switchporttrunkallowedvlan10,20,30,40,50//设置允许通过的VLAN号MS1(config-if-range)#exit
4.3.3配置交换机端口安全
S1(config)#intrangef0/1–2//进入f0/1-2接口
S1(config-if-range)#switchportmodeaccess//将端口设置为接入(access)模式
S1(config-if-range)#switchportport-securitymaximum1//允许端口对大接入MAC地址为一
S1(config-if-range)#switchportport-securityviolationrestrict//设置违规模式为限制(restrict)S1(config-if-range)#exit
4.4汇聚层交换机设计配置
需要在汇聚层交换机上配置的技术有:STP生成树协议、DHCP服务、链路聚合与第一挑冗余协议等,以及VLAN的划分、VLAN的中继、IP地址的设置等。
4.4.1STP实施与配置
MS1(config)#spanning-treevlan10rootprimaryMS1(config)#spanning-treevlan20rootprimary
MS1(config)#spanning-treevlan30rootprimaryMS1(config)#spanning-treevlan40rootsecondaryMS1(config)#spanning-treevlan50rootsecondaryMS1(config)#spanning-treeportfastdefault
MS1(config)#spanning-treeportfastbpduguarddefaultMS2(config)#spanning-treevlan10rootsecondary
MS2(config)#spanning-treevlan20rootsecondaryMS2(config)#spanning-treevlan30rootsecondary
MS2(config)#spanning-treevlan40rootprimaryMS2(config)#spanning-treevlan50rootprimary
MS2(config)#spanning-treeportfastdefault
MS2(config)#spanning-treeportfastbpduguarddefaultMS2(config)#exit
将三层交换机MS1配置为VLAN10,20,30的主根网桥和VLAN40,50的次根网桥。再将三层交换机MS2配置为VLAN40,50的主根网桥和VLAN10,20,30的次根网桥。并且在两个交换机上都配置PortFast与BPDU防护,快速端口(PortFast)是将该端口不再使用STP算法,在原本状态下端口接上PC机会有50秒的状态变化过程,之后PC机才能发送用户数据,启用快速端口之后就可以不用再等待这50秒。BPDU保护仅用在portfast模式,主要用来加强STP域边界。
4.4.2DHCP服务配置
ipdhcpexcluded-address172.16.10.1172.16.10.2//排除IPV4地址
ipdhcpexcluded-address172.16.20.1172.16.20.2//排除地址应包括分配给路由器、服务器、打印机和其他已经或者将手动配置的设备的地址
//此处排除了分配给VLAN的地址和HSRP的虚拟IP地址ipdhcpexcluded-address172.16.10.254
ipdhcpexcluded-address172.16.20.254
ipdhcppoolVLAN-10//配置DHCPv4地址池,创建一个包含指定名称的池network172.16.10.0255.255.255.0//定义地址池
default-router172.16.10.254
ipdhcppoolVLNA-20//创建地址池,名称为VLAN-20network172.16.20.0255.255.255.0
default-router172.16.20.254//定义默认网关
4.4.3配置链路聚合
S1(config)#intrangeg0/1-2S1(config-if-range)#shutdownS1(config-if-range)#duplexautpS1(config-if-range)#speed100
S1(config-if-range)#channel-group1modeactiveS1(config-if-range)#noshutdown
S1(config-if-range)#exitS2(config)#intrangeg0/1-2S2(config-if-range)#shutdownS2(config-if-range)#duplexautoS2(config-if-range)#speed100
S2(config-if-range)#channel-group1modeactiveS2(config-if-range)#noshutdown
S2(config-if-range)#exit
该配置是使用LACP配置EtherChannel,先将端口禁用,并且手动为其配置双工和速度,设置接口通道为1,最后重启接口。该链路聚合属于接入层的二层链路聚合。
MS1(config)#intrangef0/23-24MS1(config-if-range)#noswitchportMS1(config-if-range)#noipaddress
MS1(config-if-range)#channel-group1modeonMS1(config-if-range)#speedauto
MS1(config-if-range)#duplexautoMS1(config-if-range)#noshutdownMS1(config-if-range)#exitMS2(config)#intrangef0/23-24MS2(config-if-range)#noswitchportMS2(config-if-range)#noipaddress
MS2(config-if-range)#channel-group1modeon
MS2(config-if-range)#speedautoMS2(config-if-range)#duplexautoMS2(config-if-range)#noshutMS2(config-if-range)#noshutdownMS2(config-if-range)#exit
该命令是在三层交换机上配置三层链路聚合,其与二层链路聚合最大的区别在于IP地址,三层交换机具有路由功能,因此其接口既有路由器接口的性质也有交换机接口的性质。路由器接口可以设置IP地址,但接入层交换机没有其功能。
4.4.4配置HSRP第一条冗余
MS1(config)#intvlan10
MS1(config-if)#ipaddress192.168.10.2255.255.255.0
MS1(config-if)#standbyversion2
MS1(config-if)#standby1ip192.168.10.1
MS1(config-if)#standby1priority150
MS1(config-if)#standby1preempt
MS1(config-if)#noshutdown
MS1(config-if)#exit
MS2(config)#intvlan10
MS2(config-if)#ipaddress192.168.10.3255.255.255.0
MS2(config-if)#standby1ip192.168.10.1MS2(config-if)#noshutdown
MS2(config-if)#exit
在MS1上启动HSRPv2而不是默认的HSRPv1,配置HSRP虚拟地址192.168.10.1,设置优先级为150,默认优先级为100(范围0到255)。MS2没有设置HSRP优先级,则HSRP会使用默认优先级100。这样MS1优先级高它就成为活动三层交换机,MS2成为备用三层交换机。以此类推,可以将MS1设置为VLAN10,20,30的活动网关和VLAN40,50备用网关。将MS2设为VLAN10,20,30的备用网关和VLAN40,50的活动网关。
4.5核心路由器配置
核心层路由器是整个网络的重中之重,在路由器上需要配置的技术有:IP地址分配、OSPF路由配置、NAT配置、IPSecVPN配置等。
4.5.1NAT配置与实施
企业总部网络和生活区均支持通过中国电信宽带接入Internet网络,因此在这两个区域网络的边界路由器R-1和R-2上必须配置NAT网络地址转换服务。
具体配置命令如下:
interfacerangGigabitEthernet0/0/0-1ipnatinside//配置内部接口interfaceSerial0/1/0
ipnatoutside//配置外部接口
ipnatinsidesourcelist10interfaceSerial0/1/0overload//绑定ACL与地址池,overload关键字,允许多个内部本地地址使用一个内部全局地址
access-list10permitany//配置ACL,用于标识(允许)哪些将要进行转换的地址
4.5.2动态路由OSPF配置
R1(config)#routerospf1//启动OSPF进程
R1(config-router)#router-id1.1.1.1//配置路由器ID
R1(config-router)#network210.68.10.00.0.0.255area0//通告直连网络
R1(config-router)#network210.68.10.0255.255.255.0area0//通告直连网络
MS1(config)#routerospf1
MS1(config-router)#router-id2.2.2.2
MS1(config-router)#network192.168.10.00.0.0.255area0
MS1(config-router)#network192.168.20.00.0.0.255area0
MS1(config-router)#network192.168.30.00.0.0.255area0
MS2(config)#routerospf1
MS2(config-router)#router-id3.3.3.3
MS2(config-router)#network192.168.10.00.0.0.255area0
MS2(config-router)#network192.168.20.00.0.0.255area0
MS2(config-router)#network192.168.30.00.0.0.255area0
4.5.3IPSecVPN的实施
R1(config)#cryptopolicy10R1(config-isakmp)#encryptionaes
R1(config-iskmp)#authenticationpre-shareR1(config-iskmp)#hashsha
R1(config-iskmp)#grounp5
R1(config-iskmp)#cryptoisakmpkeyciscoaddress61.0.0.4R1(config)#cryptoipsectransform-setTRANesp-aesesp-sha-hmac
R1(config)#ipaccess-listextendedVPN
R1(config-ext-nacl)#permitip172.16.1.00.0.0.255172.16.4.00.0.0.255R1(config)#cryptomapMAP10ipsec-isakmp/
R1(config-crypto-map)#setpeer61.0.0.4R1(config-crypto-map)#settransform-setTRANR1(config-crypto-map)#matchaddressVPNR1(config-crypto-map)#reverse-routestaticR1(config)#ints1/0
R1(config-if)#cryptomapMAPR4(config)#cryptoisakmppolicy10R4(config-isakmp)#encryptionaes
R4(config-isakmp)#authenticationpre-shareR4(config-isakmp)#hashsha
R4(config-isakmp)#group5R4(config-isakmp)#exit
R4(config)#cryptoisakmpkeyciscoaddress202.96.134.1R4(config)#cryptoipsectransform-setTRANesp-aesesp-sha-hmac
R4(config)#ipaccess-listextendedVPN
R4(config-ext-nac|)#permitip172.16.4.00.0.0.255172.16.1.00.0.0.255.
R4(config)#cryptomapMAP10ipsec-isakmpR4(config-crypto-map)#setpeer202.96.134.1R4(config-crypto-map)#settransform-setTRANR4(config-crypto-map)#reverse-routestaticR4(config-crypto-map)#matchaddressVPNR4(config)#ints1/0
R4(config-if)#cryptomapMAP
5 企业网络测试与结果
5.1测试目的
企业网的规划已基本搭建完成,下面对本文所实现的网络功能进行检测。通过检测结果与系统需求相比较,发现所组建的网络与客户需求不符之处,从而给出更加完善的方案。
5.2路由协议测试
根据规划设计,在网络边界路由器上R1与R2上均配置了静态路由。showiproutestatic命令输出显示路由表静态路由。
添加图片注释,不超过 140 字(可选)
图5-1 R1中的静态路由
第一条路由为IPSecVPN静态路由。
添加图片注释,不超过 140 字(可选)
第二条路由为到达192.168.30.0对方网络的静态路由。第三条路由为默认静态路由。
图5-2 R2中的静态路由
根据规划设计,在公司内网中,我们采用了OSPF动态路由协议,使用showipospfneighbor和showiproute分别查看是否与邻居路由器建立连接关系,动态路由学习情况。
添加图片注释,不超过 140 字(可选)
图5-3 MS1中的OSPF邻居表
添加图片注释,不超过 140 字(可选)
图5-4 R1上的路由表
5.3VLAN之间的通信
showvlanbrief列出所有vlan的信息。如图5-5所示,总部区域MS-1上的vlan信息。VLAN:vlan号,存在10,20,30,40,vlan1,1002-1005为默认存在的;Name:vlan名称,显示由VLAN名称标识的某个VLAN的相关信息;Status:vlan状态,active为活动状态;
添加图片注释,不超过 140 字(可选)
图5-5 MS1上的VLAN信息
总部区域测试A座大楼到B座大楼之间的VLAN连通性,B座终端主机PC13测试与A座大楼终端主机PC10的连通性,如图5-6所示,ping172.16.10.3主机,共发送icmp数据包4个,返回接收到3个数据包,丢失1个数据包,证明两座大楼之间的vlan能够互联互通。
添加图片注释,不超过 140 字(可选)
图5-6 总部内网之间的连通性测试
总结
在这次企业网络的规划与设计中运用了所学知识,设计了一个有线网络,在有线网络中采用三层网络架构进行全网设计,在网络设计中运用的技术涵盖了网络二层技术、网络三层技术、网络安全技术等。设计该网络时,也加深了我对网络的一个印象,让我意识到在如今这个信息化的时代下,信息化建设的一个重要性。虽然平时也学到了一些东西,但感觉我自己都只学到了一些很表面的,没有去深究,去挖掘网络的真正意义,在如今这个信息化飞速发展的时代,其实网络演绎这一个很重要的角色,我越来越觉得网络的重要性。在做这个设计期间我弥补了很多的知识以及学到了很多跟网络有关的知识,掌握的知识越多熟练度就越强。这次设计不但是对自己所学的课本知识的一个检验,也是对自己讲理论知识应用到实践的一个很好的机会。在设计过程也存在对于理论理解的错误,造成重新对关键知识的学习。所以真正的运用所学的专业知识,在将来的实践中才是对自己最好的检验。
参考文献
-
李美玥,赵滨,郭春雷.网络工程设计与实践[M].长春:吉林大学出版社,2019.[2]付卫红,李阳.网络工程技术[M].北京:北京邮电大学出版社,2018
-
黄天全,覃伟良.网络技术[M].天津科学技术出版社,2019
-
杨朝均,李再明.企业网络搭建[M].成都:电子科技大学出版社,2017
-
冯昊.交换机/路由器的配置与管理[M].北京:清华大学出版社,2020
-
李建林.局域网交换机和路由器的配置与管理[M].北京:电子工业出版社,2019
[7]王丹,张丽伟.局域网搭建[M].北京:现代出版社,2018
[8]郭颖.基于PacketTracer的IPSecVPN虚拟仿真实验设计[J].电子技术与软件工程,2019(08):1-2.
[9]刘传岐,石建飞,张福军.基于OSPF协议的自组织网络路由协议研究[J].信息记录材料,2020,21(5):147-150.
[10]余智豪,何志敏,马莉.网络互联技术教程[M].北京:清华大学出版社,2019
[11]ThuyVinhTran,AhnHeejune.Challengesofandsolutiontothecontrolloadofstatefulfirewallinsoftwaredefinednetworks[J].ComputerStandards&Interfaces,2017,54(4).
[12]TheDesignandApplicationofWirelessNetworkBasedonDigitalCampus[J].ShiYangHu,ShengChengZhang,DeZeQin.AdvancedMaterialsResearch.2015(1078)
8.
扫一扫
1万+
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
