XX公司网络系统互连与设计
摘要:目前网络发展迅速,企业数量的增长与企业所需员工的增多,使得企业对网络需求要求更高。这时候为了让企业数字化转型逐渐深入,应对逐渐兴起的新兴产业和业务。因此需要构建一个综合的企业网络,该企业有一个总部与一个分部。总部共有四个部门,分别为:销售、研发、市场、财务。分部共有两个部门,分别为:销售、运营。总部内部使用OSPF,分部内部使用RIP。总部使用三层设计:接入层,汇聚层,核心层。总部接入层根据需求划分VLAN, 接入层与汇聚层之间采用MSTP+VRRP,出于安全考虑VRRP需要验证,汇聚层与核心层互联并使用动态路由协议OSPF来宣告路由,实现总部内部全网通信。总部与分部之间采用IPSec VPN进行连接,为了实现动态协商的建立和维护SA,需要运用IKE动态协商方式,这是由IKE 协议完成密钥的自动协商。公司的Web服务器和Ftp服务器需要发布到互联网上,所以公司申请到一段公网IP,为210.10.100.0/24网段。本文所设计的企业网络可以保障设备的稳定性以及网络的安全性和可靠性。
关键词:企业网络;OSPF;VLAN;MSTP;VRRP;安全性。
Interconnection and Design of Network Systems
Absrtact: At present, the rapid development of the network, the growth of the number of enterprises and the increase of employees required by enterprises, make enterprises have a higher demand for the network. At this time, in order to deepen the digital transformation of enterprises, we should deal with emerging industries and businesses. Therefore, it is necessary to build an integrated enterprise network, which has a headquarters and a branch. Headquarters has four departments: sales, R&D, marketing and finance. There are two divisions: sales and operation. OSPF is used internally at headquarters and RIP is used internally at divisions. Headquarters uses three layers of design: access layer, convergence layer and core layer. Headquarters access layer divides VLAN according to requirements. MSTP+VRRP is used between access layer and aggregation layer. For security reasons, VRRP needs to be verified. The aggregation layer and core layer are interconnected and the dynamic routing protocol OSPF is used to announce the routing, so as to realize intranet communication within headquarters. IPSec VPN is used to connect headquarters and divisions. In order to establish and maintain SA for dynamic negotiation, IKE dynamic negotiation is needed. This is the key automatic negotiation by IKE protocol. The company's Web server and Ftp server need to be published on the Internet, so the company applied to a public network IP, 210.10.100.0/24 segment. The enterprise network designed in this paper can guarantee the stability of the equipment and the security and reliability of the network.
Key words: enterprise network, OSPF, VLAN, MSTP, VRRP, security.
目录
一.绪论 1
二.需求分析 2
1.项目概述 2
2.可靠性分析 2
3.安全性分析 2
4.流量优化分析 3
5.可管理性分析 3
6.IP业务分析 3
三.网络技术现状分析与技术概述 4
1.以太网交换技术分析 4
2.IP业务分析 4
3.IP单播路由分析 4
4.VPN技术分析 5
5.安全配置分析 6
6.QoS分析 6
四.总体规划设计 7
1.网络拓扑规划 7
2.设计规划方案 9
五.详细设计 10
1.接口IP地址设计 10
2.局域网方案设计 10
3.广域网接入方案设计 11
4.网络设备和服务器的选型 12
5.网络系统安全方案设计 12
6.网络管理方案设计 13
7.QoS方案设计 13
六.测试、验收与评估 14
1.总部局域网连通性测试 14
2.IPsec VPN测试 14
3.二层功能测试 14
4.三层功能测试 14
5.测试单臂路由 15
七.总结 16
参考文献 17
附录一 接口IP地址设计 18
附录二 系统实施 20
附录三 测试过程及结果 38
一.绪论
该领域的当前发展状况:目前网络发展迅速,企业数量的增长与企业所需员工的增多,使得企业对网络需求要求更高。这时候为了让企业数字化转型逐渐深入,应对逐渐兴起的新兴产业和业务。园区网络已经成为同水、电等公共服务一样的各个行业的基础性资源。因此需要为企业客户打造融合、简单、开放、安全的园区网络,覆盖企业办公、教育、商业、医疗、政府、高密场馆、无线城市等行业,以确保客户业务需求能得到快速响应,使得企业能够顺利实现数字化转型。
所选用户需要构建一个综合的企业网络,该企业有一个总部与一个分部。总部共有四个部门,分别为:销售、研发、市场、财务。分部共有两个部门,分别为:销售、运营。企业需要足够的带宽性能,以满足员工日益增长的通信需求,以及企业网络的扩大和更新。总部员工人数较多,分为办公区与和数据中心,分部只负责销售与运营,规模小。但需要其销售部门与总部的销售、研发、市场三个部门可以进行安全互连,不能与财务部门通信。企业希望能够保证网络的可靠性,实现网络的实施畅通,保证企业的生产运营的正常进行,降低因网络故障产生的生产暂缓等情况。并且能够便于后期维护、管理,能够阻拦非法用户对网络的管理,只允许研发部门登陆管理网络设备。需要实施安全策略来保证网络的安全性。企业希望能够在网络规划时针对不同的流量进行差分服务,比如针对不用的业务或用户来优化流量。公司的Web服务器和Ftp服务器需要发布到互联网上,公司申请到一段公网IP,为210.10.100.0/24网段。
要求能在设计规划网络时,能满足以上需求,保障设备的稳定性、网络的连通性、吞吐量、安全性与可管控性,并能站在性价比的角度上选购设备,实现上述需求。
二.需求分析
1.项目概述
该企业公网IP网段为210.10.100.0/24,总部共有四个部门,分部有两个部门。总部与分部之间需要进行安全连接,并且只有分部的销售部能与总部的销售、研发、市场部门相互通信。网络设备需要实现减少系统的软、硬件故障。为了保障企业网络日常使用的信息安全和网络服务质量的可靠性,需要控制员工访问网络的行为、提高企业网络带宽使用率。还要防止被不法分子攻击企业网络。
2.可靠性分析
企业的总部部分员工较多,用网需求较大,因此设备性能需要满足企业所需。设备以及链路需要冗余备份。提高MTBF或降低MTTR这两者都能是企业网络可靠性的到提高。在日常使用当中,避免不了各种网络故障的发生,因此不得不采用能够使网络故障快速恢复的技术。
所以需要保证用户接入、出口网关冗余,能够在单台设备故障时,系统功能不受影响。企业希望能够在确保链路备份存在的同时还能够消除环路对网络的影响,当一条链路出现问题时,数据流量能够快速切换到备份链路上进行传输,合理的利用网络资源。MSTP可以让二层网络中备份链路暂时切断,将网络拓扑修剪为树状,这样便能消除网络中的环路问题,由此必须在企业网络中部署MSTP协议。汇聚层交换机上配置VRRP,不同部门分别以不用的默认网关接入互联网,这样便可以提高网络可靠性和数据流量的负载分担。
3.安全性分析
企业希望分部和总部之间的互访得到一定的安全保障,并且能过够阻拦外网用户等没有访问权限的用户配置网络设备。因此需要在总部与分布之间部署IPSec VPN,IPSec保证数据包在网络上传输时的私有性、真实性、数据完整性和抗重放是通过在IP层上加密与数据来源认证等方式来实现的。
需要对员工访问网络进行控制,在下班之后需要关闭用户对网络的访问。需要配置、规划安全防范策略
参考文献
[1]华为技术有限公司.HCNP路由交换实验指南(修订版)[M].人民邮电出版社.2017
[2]华为技术有限公司. 路由器配置指南 AR产品文档[DB/OL].[2018-03-23].http://support.huawei.com/hedex/hdx.do?docid=EDOC1000163383&lang=zh
[3]华为技术有限公司. S1720&S2700&S5700&S6720 V200R011C00 产品文档[DB/OL].[2018-01-02].http://support.huawei.com/hedex/hdx.do?docid=EDOC1000161578&lang=zh
