企业内部网络的设计与实现

摘 要随着社会的发展科技的进步，传统的传递信息的方式已经不能满足现代企业的需求。层出不同的中小型企业需要更加效率并安全的传递方式，本文以湖南长沙某中小型企业为背景，根据企业的需求和当代网络主流技术，设计一个能同时容纳2000人的的上网办公的网络方案。整个网络拓扑设计用经典的三层网络结构，在接入层用VLAN技术限制无用数据包的传输，对不同的部门进行隔离。在汇聚层使用双核心，防止小型网络错误造成整个网络无法通信，提高安全性，同时使用VRRP和MSTP技术进行数据的分流，合理的运用双核心资源。在核心层使用OSPF，DHCP中继使得不同部门能正常通信。关键词：中小型企业； 内部网； 路由； 交换；AbstractWiththedevelopmentofscienceandtechnologyinthedevelopment ofsociety,thetraditionalwayoftransmittinginformationcannotmeettheneedsofmodernenterprises.Differentsmallandmedium-sizedenterprisesneedmoreefficientandsafetransmissionmethods.Thispapertakesasmallandmedium-sizedenterpriseinChangsha,HunanProvinceasthebackground,accordingtotheneedsoftheenterpriseandthemainstreamtechnologyofcontemporarynetwork .Designanetworkschemethatcanaccommodate2000peopleatthesametime. Inthewholenetworktopologydesign,theclassicalthree-layernetworkstructureisused.Intheaccesslayer,VLANtechnology isusedtorestrictthe transmissionofuselessdatapackets,anddifferentdepartmentsareisolated. In the convergent layer,thedual-coreisusedtopreventthecommunicationofthewholenetworkcausedbythesmallnetworkerror,andtoimprovethesecurity.Atthesametime,theVRRPandMSTPtechnologyareusedtosplitthedata,andthedual-coreresourcesareusedreasonably. TheuseofOSPFNDHCPrelayatthecorelayerenablesnormalcommunicationbetweendifferentdepartments.Keywords:intranet;routing;switching;第一张 绪论1.1 项目设计 1.1.1.项目设计名称企业内部网络的设计与实现1.1.2项目设计目的掌握中小型企业网络的构建、掌握网络设备与服务器的基本配置，熟悉网络故障的查找与更改，理解基本的计算机网络原理，复习理论知识，培养构建网络的实践经验和独立解决不同问题的能力。1.1.3项目设计内容根据企业内网的需求，规划设计一个能满足2000人上网的企业网络对企业不同部门（如开发部门、财务部门、销售部门、人事部门）进行VLAN划分实现广域网的接入和访问配置DNS、DHCP、HTTP、Web服务器1.1.4项目设计要求1.设计网络结构规划拓扑2.在接入层划分VLAN3.在汇聚层和接入层配置MSTP+VRRP4.在汇聚层和核心层配置OSPF5.配置DHCP服务器6.汇聚层和核心层配置DHCP中继7.搭建其他服务器8.路由器的搭建9.测试结果10.结论11.提交项目设计报告1.2 项目的背景和意义 近年来国内的中小型企业层出不穷，传统的信息交换方式如书信、见面的方式相对来说能传递的信息量少、消耗时间大、存在空间限制，严重影响了办公效率。从上个世纪90年代起，网络的高速发展使越来越多的企业使用网络传递信息。甚至来说，企业之间的竞争早已超越了单纯的产品、服务、市场品种等，所有的竞争都被打上了信息化的烙印。企业传统的办公方式已经满足不了整个产业的运转。通常一个企业拥有不同的部门，部门间会细化分组，组里面又有若干台终端设备需要连入网络，随着企业的扩增，这些数字会不断增加。为了让员工能及时了解市场最新趋势、让管理了解员工动态、让经理了解整个公司运作状态，我们组建一个高效率、安全、高可靠性的企业网络，企业内部互联互通，以实现整个企业所需求的信息交换能力。1.3 本文的组织结构本文根据用户需要，结合中小型企业的特点，对接入层、汇聚层、核心层进行网络设计，确定企业所需求的设备，构造拓扑图，并用软件仿真模拟。论文的主要研究内容和结构安排如下：第一章，绪论部分，介绍了企业对网络的需求，网络设计的具体方向，以及本文的组织结构。第二章，以杨氏服装设计公司为例，分析企业的建筑分布以及网络需求和信息点的分布。第三章，关于中小型企业的分层式网络设计与设备的选用。第四章，关于中小型企业网络设计技术分析与服务器配置。第五章，实验软件模拟中小型企业网络。第六章，关于中小型企业网络的关键技术测试和分析。文章的最后部分为参考文献和致谢。第二章 企业网络概述 2.1企业简介以及网络系统建设目标杨氏服装企业为国内知名服装企业，主要部门有材料研究部门、服装设计部门、线上线下销售部门、人数部门。企业不仅出售服装，更致力于推广世界领先的服装材料，为其他服装公司提供解决方案。企业现在有员工近2000人，85%以上能操控计算机完成工作。企业实体雄厚，拥有业内素质较高的人才资源，作为国内的顶级企业，在国内的服装领域独树一帜，有着几十年的丰富经验。为了使员工工作更加高效率，企业现在需要组建一个适合自己的网络，并通过这个网络宣传自己的企业、展开线上的销售、与其他领域合作。 2.2 用户需求对于用户需求的收集主要完成地点为杨氏服装企业的调查，深度了解用户目前的需求以及未来的可拓展性。2.2.1 企业网应提供一些功能公司所有的pc与网络设备互联同事支持1000台设备访问网络部分部门隔离，访问有限制要求使用web服务建立公司自己的网站2.2.2 企业网络设计方案应该满足的要求 网络方案使用成熟或者现金的技术 方案合理分配资源，不会有网络堵塞的感觉 考虑网络的可扩展性，适用未来企业的发展2.2.3 对网络设备的要求 可管理性：所有的设备能用一个或者多个软件进行监控、管理和配置 高性能：能满足整个企业对数据的处理能力 高可靠性：不会因为部分故障导致网络瘫痪 2.3 杨氏服装企业部门结构根据调查，杨氏服装企业拥有研究设计楼1栋、办公楼1栋、生产厂房2栋、仓库1栋、宿舍楼4栋，设计信息点数为2800个。相对来说办公楼与员工宿舍楼信息点密集，方便企业的扩展，以研究设计楼600信息点、办公楼800信息点、宿舍楼800信息点、厂房400信息点、仓库200信息点。第三章 网络结构设计方案对于公司局域网的设计，采用模块化分层的设计思想，针对不同功能分成交换区和核心区。对于交换区与核心区根据目前流行的层次化设计思想，划分为接入层、汇聚层和核心层 接入层采用华为S1700-52R-2T2E-AC的二层交换机，拥有48个百兆下行借口2个千兆上行借口。安全方面支持端口隔离，支持端口风暴抑制等其他基本功能。支持VLAN、MSTP、端口汇聚、广播风暴抑制等功能。能够为每个用户提供专用的带宽，通过端口接入到内部局域网、互联网，接入层的主要设计原则是能够通过低成本、高端口密度的设备提供这些功能。汇聚层汇聚层采用华为S3700-28PT-EI的三层交换机，拥有24个百兆以太网端口4个千兆SFP，双电源，可插拔交流供电。S3700能基于五元组、IP优先级、IP协议类型、TCP源端口、VLAN等信息，实现复杂的分流功能。S3700还有良好的可扩展性和高可靠保护机制，支持智能堆叠，多台交换机通过堆叠电缆有效连接即可自动组建堆叠虚拟框架构。不仅支持传统的STP/RSTP/MSTP生成树协议还支持RRPP（Rapid Ring Protection Protocol,快速环网保护协议）来保证高可靠性的网络质量汇聚层的主要设计原则是作为接入层和核心层的过渡层，通过网关的建立构成内部的通信，VLAN的划分隔离2层的广播，减少对汇聚层三层交换机核心的消耗，通过VRRP+MSTP控制选路与防止环路，合理的分配汇聚层两台交换机的资源。核心层核心层采用华为的S5700-28P-LI-BAT，是一台S5700-LI系列智能低功耗交换机，有多样的安全控制，支持基于端口粒度的dot1x、MAC认证和混合认证；能保证核心数据不被外来威胁入侵。S5700支持多种路由协议，能高速运算出路由的最优路径，保证网络通信的高速与稳定。核心层的主要设计原则，是利用核心交换机的高速数据转发能力，用最小的时间将数据转换到其他区域（比如外网或者分公司）。作为企业网络的心脏核心层也是路由协议最优选路和运行稳定的保证，需要合理的配置路由协议，利用双核心来保证核心网络的稳定性和安全性，使企业数据正常运转对于非模块华分层的网络而言，模块化分层有以下几点优势：提供模块化的设计方案、易于理解、灵活性强、易于扩展、提高了网络的可预测性、降低了排除难度。当我面讲模块化分层应用在公司网络设计方案后，网络可以概括为以下拓扑。 第四章 技术分析在企业网实施VLAN技术 VLAN是一组由拥有共同需求且与物理位置无关的终端设备所组成的逻辑分组，气宗销售部、人力资源部和开发部门分别属于不同的VLAN。尽管交换机不能再VLAN之间转发二层广播，但VLAN可以位于交换机网络的任何位置。一般来说交换机的一个端口只能承载单个VLAN流量，如果希望一个端口承载多个VLAN流量就要在这个端口配置Trunk口。在企业网实施生成树技术 实现高可靠性是中小型企业网络的目标之一，单核心结构会因为小范围的差错导致整个网络瘫痪，这会严重影响企业的效应，所以中小型企业网络依赖多层交换网来提高稳定性。但是二层的网络双核心会引入环路导致广播包永远在设备中循环，占用交换机的计算资源，导致设备瘫痪。而生成树协议可以识别并防止二层环路。 在网络建立无环路径的过程中，STP使用了根桥、根端口、指定端口、非指定端口的概念，STP会强制一些端口进入备份状态，使其不会收取转发数据，使有环网络变成只有一条路径的无环网络。在这条无环网络的连通性出现了问题时，先前备份状态的端口会选择性打开，是网络重新连接。STP有他的缺点，如：收敛速度过慢、单一路径等，所以企业使用的生成树是MSTP（多生成树）。对不同的实例堵塞不同的端口合理的分配双汇聚交换机的资源，实现分流作用，降低单个交换机的压力。并有更快的收敛速度，提高了企业信息交换的速率。在这种模式下，不同的VLAN有自己独立的STP实例，通过不同实例对优先级的设置，拓扑上回堵塞不同的端口，不同的交换机会成为不同实例的根网桥。当拓扑发生变化时，只有部分网络造成波动，减少对整个公司网络的影响。在企业网实施虚拟路由冗余协议在网络中用户访问不同网段的的用户是需要借助自己的网关才能访问，一旦网关所在交换机出现故障将影响网络的正常运行，为了解决这个问题，运用两台交换机并虚拟网关实现冗余备份，使用的协议就是VRRP（Virtual Router Redundancy Portocol 虚拟路由冗余协议）使用VRRP的两台汇聚层交换机对与其他用户来说为一台逻辑交换机，正常时由主网关(master)转发，当主网关发生故障的时候，备份网关短时间内激活，继续转发用户的数据。这样就充分利用了两台交换机的紫园，实现了网关的冗余，提高稳定性在企业网实施OSPF网络拓扑通常会将单独的网络或者子网与VLAN互相关联。不过不同的VLAN中的网络在没有三层交换机或者路由器来转发VLAN间流量的情况下，是不能进行通信的，因此需要通过VLAN间路由使得不同VLAN相互通信因为VLAN能够隔离广播，所以不同的VLAN不能直接相互通信。只有通过三层路由设备，各个VLAN中的设备才能和其他网设备进行通信。路由分为直连路由、静态路由和动态路由三种。在一个中小型企业拥有2000用户的情况下，如果配置直连路由那工作量的复杂程度、路由条目的数量、查错、添加或者修改或删除都是很难得事情，除了少量的地方配置静态路由以为，大部分地方我们选择使用动态路由市面上动态路由大致分两种RIP和OSPF，因为RIP有以下局限性：以跳数评估的路由并非最优路径、最大跳数16跳、RIP更新计时器间隔30秒、失效计时180秒、清除计时240秒导致拓扑发生变化是收敛速度很慢导致信息不能正常交换、更新发送全部路由表到时浪费网络资源。因为以上几点考虑到企业网络的正常运转在企业网核心层上，选择使用OSPF动态路由协议。相对于RIP来说OSPF是基于宽带的度量值计算路径，比基于跳数的RIP更加合理。OSPF维护路由的关系是邻居关系，更新路由条目对带宽的消耗很少。OSPF更新效率高，网络收敛速度快。OSPF基本协议模型是建立邻居、发起路由、传播路由、计算路由。企业网内部服务器DNS服务器通常来说不同设备交换信息是通过IP地址、带有标记的数据包或广播包来交换信息。对于人来说一串很长的数字并不方便记忆，因此我们采用DNS服务器（Domain Name Server）。简单来说这个服务器的左右就是将难以记忆的IP地址转换为方便记忆的域名。当不同主机通信时，在DNS服务器中查找域名对应的IP地址，然后获得网络资源。Web服务器作为中小型企业在当代除了直接的线下接触，企业与客户最多的交互方式就是通过网站。Web服务简单来说就是一个网站的服务器，上面可以承载大量的文字、图片、影像资等。除了客户与企业交流以外，公司内部不同的部门间也可以Web服务交流，是一个中小企业不可缺少的一部分。DHCP服务器 在一个2000人的中小型企业，大量的终端设备需要配置IP地址，如果手动配置，工作量复制繁琐，容易造成IP地址冲突，查错更加困难重重。为了避免以上情况，在公司部署DHCP服务器。 DHCP服务开启后，能自动给网络中的计算机分配地址，不会造成冲突。能动态回收地址，解决地址短缺的问题。 4、FTP服务器 在企业中，大量的文件需要交互或者共享，传统的纸质文档的交换大大降低了工作效率。FTP服务器是能够大量存储资源的服务器，用户可以通过自己单独的账号密码在服务器上上传或者下载文件，加快了办公效率。第五章 项目模拟本项目采用Cisco packet Tracer Student模拟器进行模拟，此模拟器为思科旗下的一款仿真模拟软件。可以提供数据包的走向以及网络的处理过程，判断网络的实际运行情况。实际设备为华为公司旗下的设备，但功能上能在模拟器上使用功能相似的思科设备，足以满足设计需要。接入层使用2950T-24TT的二层交换机，汇聚层和核心层都使用3560-24PS的三层交换机，路由器使用思科2811路由器。5.1 仿真拓扑图 企业网络模拟拓扑图 上图为实际拓扑图在模拟器上简化部分重复设备的拓扑图。实际拓扑中间部分设备配置和测试是重复的，如部分汇聚层和接入层交换机和部分终端设备。模拟简化之后，网络的核心技术得以保留如MSTP+VRRP，VLAN,OSPF。5.2网络的技术配置5.21接入层交换机的配置接入层交换级SWITCH0配置如下spanning-tree mode pvstinterface FastEthernet0/1 switchport mode trunkinterface FastEthernet0/2 switchport mode trunkinterface FastEthernet0/3 switchport access vlan 10 switchport mode accessinterface FastEthernet0/4 switchport access vlan 20 switchport mode access命令大意:启用PVST生成树（与MSTP功能大致相同，可以理解为不同公司相同作用的不同命名） 进入端口1端口2设置turnk口进入端口3设置access口并打上vlan10的标签进入端口4设置access口并打上vlan20的标签端口3与端口4是连接不同设备的端口，实际情况是很多与端口3和端口4的相同配置的其他端口，从这些端口出来的数据全部都会打上vlan10或vlan20的标签，access口是让一个vlan的数据通过，或者让有这些标签的数据通过，例如DHCP请求是带有vlan10标签的广播包。Trunk口是能让所有标签的数据通过，端口1和端口2设置为trunk口是为了让带有vlan10标签和vlan20标签的数据都能通过这个端口。随着汇聚层交换机增多或者下行设备增多，trunk口和access口的设置需要按需求设定。其他接入层交换机的配置命令基本相同。5.2.2汇聚层交换机配置除去重复功能的代码后ip dhcp pool vlan10 network 192.168.1.0 255.255.255.0 default-router 192.168.1.254 dns-server 192.168.13.2interface FastEthernet0/1 no switchport ip address 192.168.10.1 255.255.255.0 duplex auto speed auto router eigrp 1 network 192.168.0.0 0.0.255.255 no auto-summaryinterface FastEthernet0/6 switchport trunk encapsulation dot1q switchport mode trunk