III摘要隨著網(wǎng)絡(luò)技術(shù)的不斷更新和迭代，企業(yè)網(wǎng)絡(luò)規(guī)劃發(fā)展逐漸壯大，中小型企業(yè)網(wǎng)絡(luò)規(guī)劃與設(shè)計(jì)成為企業(yè)的主要發(fā)展方向。在企業(yè)信息化發(fā)展過程中，傳統(tǒng)的網(wǎng)絡(luò)規(guī)劃模式難以滿足企業(yè)發(fā)展需求，面對新舊時(shí)代的變化，企業(yè)如何能夠加快構(gòu)建適合于本公司發(fā)展且有特色的企業(yè)組網(wǎng)結(jié)構(gòu)，是當(dāng)前行業(yè)發(fā)展需要解決的問題。因此急需進(jìn)行中小型企業(yè)的網(wǎng)絡(luò)規(guī)劃與設(shè)計(jì)優(yōu)化，以提升智慧數(shù)字企業(yè)水平。本文以唐山市長城企劃有限公司為例，主要講解了通過企業(yè)網(wǎng)絡(luò)規(guī)劃需求，提出適用于中小型企業(yè)的網(wǎng)絡(luò)規(guī)劃方案，配置安全策略及防火墻來應(yīng)對網(wǎng)絡(luò)安全威脅，保障企業(yè)的網(wǎng)絡(luò)安全性。同時(shí)提出IpsecVPN技術(shù)的規(guī)劃設(shè)計(jì)，為了保證總公司與分公司能夠跨區(qū)域互聯(lián)互通。本文主要闡述了中小型企業(yè)網(wǎng)絡(luò)規(guī)劃方案，簡單介紹了中小型企業(yè)網(wǎng)絡(luò)規(guī)劃發(fā)展現(xiàn)狀及網(wǎng)絡(luò)規(guī)劃各方面需求，使用無線局域網(wǎng)(WirelessLocalAreaNetwork,WLAN)和防火墻(Firewall)等技術(shù)對企業(yè)局域網(wǎng)進(jìn)行優(yōu)化,對網(wǎng)絡(luò)規(guī)劃設(shè)計(jì)在中小型企業(yè)網(wǎng)絡(luò)建設(shè)過程中的應(yīng)用進(jìn)行論述。關(guān)鍵詞：企業(yè)網(wǎng)絡(luò)規(guī)劃；防火墻；IpsecVPN；無線局域網(wǎng)

ABSTRACTWiththecontinuousupdatinganditerationofnetworktechnology,thedevelopmentofenterprisenetworkplanninghasgraduallyexpanded,andthenetworkplanninganddesignofsmallandmedium-sizedenterpriseshasbecomethemaindevelopmentdirectionofenterprises.Intheprocessofenterpriseinformatizationdevelopment,thetraditionalnetworkplanningmodeisdifficulttomeettheneedsofenterprisedevelopment.Facingthechangesoftheoldandnewtimes,howtospeeduptheconstructionofenterprisenetworkingstructurethatissuitableforthedevelopmentofthecompanyandhascharacteristicsisaproblemthatneedstobesolvedinthecurrentindustrydevelopment.Therefore,itisurgenttooptimizethenetworkplanninganddesignofsmallandmedium-sizedenterprisesinordertoimprovethelevelofintelligentdigitalenterprises.TakingTangshanGreatWallPlanningCo.,Ltd.asanexample,thispapermainlyexplainstheneedsofenterprisenetworkplanning,putsforwardthenetworkplanningschemesuitableforsmallandmedium-sizedenterprises,andconfiguressecuritystrategiesandfirewallstodealwithnetworksecuritythreatsandensurethenetworksecurityofenterprises.Atthesametime,IpsecVPNtechnologyplanninganddesignisproposedinordertoensurecross-regionalinterconnectionbetweenheadofficeandbranch.Thisarticlemainlyelaboratesthesmallandmedium-sizedenterprisenetworkplanningscheme,brieflyintroducesthesmallandmedium-sizedenterprisenetworkplanningdevelopmentpresentsituationandthenetworkplanningeachaspectdemand,usestheWirelessLocalAreaNetwork(WLAN)andthefirewalltechnologytocarryontheoptimizationtotheenterpriselocalareanetwork,carriesontheelaborationtothenetworkplanningdesigninthesmallandmedium-sizedenterprisenetworkconstructionprocessapplication.Keywords：Enterprisenetworkplanning；Firewall；IpsecVPN；Wirelesslocalareanetwork目錄第1章緒論 11.1研究目的及意義 11.2國內(nèi)外現(xiàn)狀 n1.3設(shè)計(jì)基本內(nèi)容及方案 n第2章需求與設(shè)計(jì)分析 n2.1網(wǎng)絡(luò)規(guī)劃設(shè)計(jì)原則 n2.1.1高可靠性 n2.1.2安全性 n2.1.3可行性與實(shí)用性 n2.2需求分析 n2.2.1項(xiàng)目背景 n2.2.2網(wǎng)絡(luò)功能需求分析 n2.2.3性能需求分析 n2.2.4安全需求分析 n2.3設(shè)備選型分析分析 n第3章網(wǎng)絡(luò)規(guī)劃設(shè)計(jì) n3.1網(wǎng)絡(luò)拓?fù)湟?guī)劃 n3.2技術(shù)方案規(guī)劃 n3.2.1鏈路聚合 n3.2.2VRRP雙機(jī)熱備 n3.2.3IpsecVPN隧道 n3.2.4無線網(wǎng)絡(luò) n3.3IP地址規(guī)劃 n第4章配置實(shí)施及測試 n4.1公司總部 n4.1.1防火墻配置 n4.1.2核心層配置 n4.1.3匯聚層配置 n4.1.4接入層層配置 n4.1.5無線網(wǎng)絡(luò)配置 n4.2分公司 n4.2.1出口路由 n4.2.2核心交換機(jī) n4.2.3接入交換機(jī) n4.3電信運(yùn)營商 n4.5驗(yàn)證測試 n4.5.1總公司網(wǎng)絡(luò)測試 n4.5.2分公司網(wǎng)絡(luò)測試 n4.5.3IpsecVPN隧道 n4.5.3OSPF路由 n4.5.4VRRP與端口聚合 n4.5.5無線網(wǎng)絡(luò)測試 n4.5.6防火墻nat測試 n結(jié)論 n參考文獻(xiàn) n致謝 n附錄 n1第1章緒論1.1研究目的及意義發(fā)展至今，中小企業(yè)已經(jīng)成為國民經(jīng)濟(jì)重要組成部分，雖然單體規(guī)模小，但數(shù)量龐大，重要性不容忽視。隨著信息技術(shù)的不斷發(fā)展與國民經(jīng)濟(jì)水平的不斷提高，互聯(lián)網(wǎng)對于中小型企業(yè)的發(fā)展有著至關(guān)重要的作用。如何加強(qiáng)公司網(wǎng)絡(luò)整體規(guī)劃水平的提升，成為中小型企業(yè)在形成公司規(guī)模效應(yīng)、資源分配等方面的一個(gè)難題。通過合理的網(wǎng)絡(luò)規(guī)劃，企業(yè)可以提升運(yùn)營效率，提高網(wǎng)絡(luò)傳輸速度，減少因網(wǎng)絡(luò)問題導(dǎo)致的資源浪費(fèi)；可以保障信息安全與穩(wěn)定，通過配置一定的安全策略及防火墻，保護(hù)企業(yè)受到黑客攻擊、數(shù)據(jù)泄露等損害；可以優(yōu)化資源配置，增加公司網(wǎng)絡(luò)需求，為公司后續(xù)發(fā)展提供有利保障；還可以促進(jìn)業(yè)務(wù)擴(kuò)展與創(chuàng)新、降低通信成本、增強(qiáng)企業(yè)競爭力、提升員工協(xié)作效率以及促進(jìn)企業(yè)可持續(xù)發(fā)展。然而，由于中小型企業(yè)發(fā)展的零散性，無法保障整體網(wǎng)絡(luò)規(guī)劃緊跟時(shí)代發(fā)展。因此，要根據(jù)公司實(shí)際發(fā)展情況及自身需求作出相應(yīng)合理的網(wǎng)絡(luò)規(guī)劃配置。同時(shí)，考慮到企業(yè)數(shù)據(jù)服務(wù)的保密性以及各部門、各公司之間的連接性，在網(wǎng)絡(luò)規(guī)劃過程中添加防火墻安全策略配置以及IpsecVPN虛擬專用網(wǎng)來滿足企業(yè)需求，使企業(yè)形成完整的網(wǎng)絡(luò)規(guī)劃體系。因此，中小型企業(yè)應(yīng)重視網(wǎng)絡(luò)規(guī)劃工作，優(yōu)化網(wǎng)絡(luò)架構(gòu)模型，為企業(yè)的發(fā)展奠定堅(jiān)實(shí)的基礎(chǔ)。1.2國內(nèi)外現(xiàn)狀國內(nèi)現(xiàn)狀：隨著國內(nèi)經(jīng)濟(jì)的快速發(fā)展，中小型企業(yè)數(shù)量不斷增加，網(wǎng)絡(luò)規(guī)劃的需求也日益增長。其發(fā)展歷程可以追溯到上世紀(jì)90年代，當(dāng)時(shí)網(wǎng)絡(luò)技術(shù)剛剛起步，網(wǎng)絡(luò)基礎(chǔ)設(shè)施相對薄弱。隨著互聯(lián)網(wǎng)的普及和網(wǎng)絡(luò)技術(shù)的不斷進(jìn)步，中小型企業(yè)對網(wǎng)絡(luò)的需求逐漸增加，網(wǎng)絡(luò)規(guī)劃的重要性也逐漸被認(rèn)識(shí)。越來越多的中小型企業(yè)開始重視網(wǎng)絡(luò)基礎(chǔ)設(shè)施的建設(shè)，包括網(wǎng)絡(luò)設(shè)備、網(wǎng)絡(luò)安全、數(shù)據(jù)備份等方面。這些基礎(chǔ)設(shè)施的完善，為中小型企業(yè)提供了更好的網(wǎng)絡(luò)環(huán)境，提高了工作效率。在網(wǎng)絡(luò)規(guī)劃的標(biāo)準(zhǔn)化和規(guī)范化程度方面的意識(shí)也在不斷提高，包括網(wǎng)絡(luò)拓?fù)湓O(shè)計(jì)、網(wǎng)絡(luò)安全策略、數(shù)據(jù)備份策略等方面，使得網(wǎng)絡(luò)規(guī)劃更加科學(xué)、合理、安全。同時(shí)在網(wǎng)絡(luò)安全方面，中小型企業(yè)通常會(huì)根據(jù)自身的業(yè)務(wù)需求、網(wǎng)絡(luò)架構(gòu)以及預(yù)算等因素，對防火墻技術(shù)進(jìn)行選型，以及定義網(wǎng)絡(luò)邊界、設(shè)定訪問控制規(guī)則、制定應(yīng)急響應(yīng)計(jì)劃等安全策略的應(yīng)用。根據(jù)自身的網(wǎng)絡(luò)架構(gòu)和安全需求，合理部署防火墻設(shè)備，進(jìn)行相應(yīng)的設(shè)置訪問控制規(guī)則、配置NAT地址轉(zhuǎn)換、開啟日志記錄等配置。在國外的發(fā)展現(xiàn)狀中，中小型企業(yè)混合辦公時(shí)代的到來催生了新的需求，向云和多云轉(zhuǎn)變的步伐正在加快。采用運(yùn)有限的網(wǎng)絡(luò)和安全，跨多個(gè)云一致地?cái)U(kuò)展SD-WAN連接，簡化IT管理并提升應(yīng)用體驗(yàn)，跨云、SaaS和中間以營利提供商擴(kuò)展可視性、可控性和零信任訪問，幫助IT組織提供更出色、更安全的用戶體驗(yàn)。并且隨著企業(yè)網(wǎng)絡(luò)邊界之外發(fā)起或終止的流量越來越多，獲得網(wǎng)絡(luò)性能和安全性的端對端可行性以及保護(hù)用戶安全訪問云應(yīng)用成為國外企業(yè)網(wǎng)絡(luò)規(guī)劃發(fā)展的首要網(wǎng)絡(luò)挑戰(zhàn)。基于以云為中心的模式融合網(wǎng)絡(luò)和安全策略、技術(shù)、工具和運(yùn)維工作流程，組織就能使用一組通用工具開展工作，在提高效率和降低風(fēng)險(xiǎn)的同時(shí)，促進(jìn)始終如一的安全連接。利用安全訪問服務(wù)邊緣(SASE)提供融合的網(wǎng)絡(luò)和安全即服務(wù)功能，轉(zhuǎn)向融合的網(wǎng)絡(luò)與安全模式。1.3設(shè)計(jì)基本內(nèi)容及方案本次設(shè)計(jì)通過對企業(yè)實(shí)際網(wǎng)絡(luò)需求的分析，為企業(yè)進(jìn)行網(wǎng)絡(luò)規(guī)劃設(shè)計(jì)，以期得到適合于企業(yè)的高擴(kuò)展性、高可靠性、高安全性的網(wǎng)絡(luò)規(guī)劃，為中小型企業(yè)數(shù)字化進(jìn)步及綜合實(shí)力發(fā)展競爭提供有力支撐。主要包括網(wǎng)絡(luò)拓?fù)湓O(shè)計(jì)、公司需求的安全性及便捷性考慮，通過添加IpsecVPN通道實(shí)現(xiàn)總公司與分公司互聯(lián)互通，同時(shí)增加防火墻功能。在匯聚層采用MSTP+VRRP設(shè)置，做到在主機(jī)（主服務(wù)器）出現(xiàn)故障時(shí)能夠無縫地切換到備份主機(jī)（備份服務(wù)器）而不中斷服務(wù)。在主備服務(wù)器之間實(shí)現(xiàn)負(fù)載平衡，以更好地處理高負(fù)載和流量，以保障業(yè)務(wù)的持續(xù)運(yùn)行。同時(shí)添加了無線局域網(wǎng)，使得公司能夠?qū)崿F(xiàn)有線+無線全覆蓋。最終通過IpsecVPN實(shí)現(xiàn)總分公司互聯(lián)互通，測試設(shè)備連通情況。

第2章需求與設(shè)計(jì)分析2.1網(wǎng)絡(luò)規(guī)劃設(shè)計(jì)原則2.1.1高可靠性不同的網(wǎng)絡(luò)可靠性的設(shè)計(jì)目標(biāo)不同，網(wǎng)絡(luò)規(guī)劃的可靠性需要根據(jù)現(xiàn)實(shí)實(shí)際需求進(jìn)行設(shè)計(jì)，對于確保業(yè)務(wù)的連續(xù)性和數(shù)據(jù)的完整性至關(guān)重要。要使得整個(gè)系統(tǒng)高可靠，需要從冗余設(shè)計(jì)、設(shè)備冗余、鏈路備份等多個(gè)方面進(jìn)行設(shè)計(jì)。創(chuàng)建高可靠性網(wǎng)絡(luò)，一方面，貫穿網(wǎng)絡(luò)規(guī)劃、設(shè)計(jì)、部署實(shí)施、維護(hù)等各個(gè)階段，另一方面，需要產(chǎn)品提供從設(shè)備、鏈路、服務(wù)、應(yīng)用等各種級別的可靠性特性支持。對于企業(yè)而言，網(wǎng)絡(luò)層次越高可靠性要求也就越高。對于企業(yè)內(nèi)部鏈路的可靠性，一班可以使用Eth-trunk鏈路聚合技術(shù)來保證鏈路的可靠性，同時(shí)具有增加帶寬的作用。目前只有交換機(jī)支持Eth-Trunk，建議交換機(jī)堆疊組網(wǎng)時(shí)采用跨設(shè)備的Eth-Trunk來保證鏈路可靠性。而在設(shè)備的可靠性選擇上，中小型企業(yè)一般采用盒式設(shè)備，一方面可以依賴自身設(shè)備可靠性以外，還可以通過雙設(shè)備配置主備用機(jī)的模式，在匯聚交換機(jī)之間通過部署雙機(jī)熱備，確保在主用設(shè)備出現(xiàn)故障時(shí)可以無縫切換到備用設(shè)備，減少因設(shè)備故障導(dǎo)致的網(wǎng)絡(luò)中斷風(fēng)險(xiǎn)。2.1.2安全性網(wǎng)絡(luò)安全是企業(yè)網(wǎng)絡(luò)正常運(yùn)行的前提，它不單是單點(diǎn)的安全，更是整個(gè)企業(yè)信息網(wǎng)的安全，企業(yè)通常存儲(chǔ)著大量的數(shù)據(jù)信息、保密文件等，這些信息十分敏感。無論是遠(yuǎn)程還是混合工作、供應(yīng)鏈攻擊、云安全、勒索軟件攻擊，甚至是網(wǎng)絡(luò)安全技能差距，企業(yè)網(wǎng)絡(luò)安全面臨許多威脅。制定可靠的企業(yè)網(wǎng)絡(luò)安全計(jì)劃有助于防止數(shù)據(jù)泄露、保護(hù)敏感客戶數(shù)據(jù)并防止財(cái)務(wù)損失，需要提前一步來最小化他們的風(fēng)險(xiǎn)和脆弱性。所以確保敏感數(shù)據(jù)的機(jī)密性、完整性和可用性至關(guān)重要。2.1.3可擴(kuò)展性與實(shí)用性在設(shè)計(jì)中全面考慮系統(tǒng)的應(yīng)用、便捷、先進(jìn)等諸多因素，還應(yīng)具有開放性、可擴(kuò)展性及兼容性，全部系統(tǒng)的設(shè)計(jì)要求采用開放的技術(shù)和標(biāo)準(zhǔn)選擇主流的應(yīng)用設(shè)備和技術(shù)支撐，保障系統(tǒng)能夠適應(yīng)公司未來三至五年的業(yè)務(wù)發(fā)展需求，便于網(wǎng)絡(luò)的擴(kuò)展和企業(yè)的結(jié)構(gòu)的變更。之網(wǎng)絡(luò)平滑升級和擴(kuò)展，充分發(fā)揮網(wǎng)絡(luò)價(jià)值，減少重復(fù)投資，避免資源浪費(fèi)，做到企業(yè)網(wǎng)絡(luò)適應(yīng)不同業(yè)務(wù)部門部署和擴(kuò)展的需求，包括部署新業(yè)務(wù)以及網(wǎng)絡(luò)平滑擴(kuò)展等要求，能夠適應(yīng)計(jì)算機(jī)軟、硬件技術(shù)的迅速發(fā)展更新。企業(yè)網(wǎng)絡(luò)規(guī)劃部署的目的是為了滿足企業(yè)員工與自身發(fā)展實(shí)際應(yīng)用需求，將方便便捷、市場主流的計(jì)算機(jī)技術(shù)、移動(dòng)通信技術(shù)、網(wǎng)絡(luò)技術(shù)、無線技術(shù)、綜合布線等運(yùn)用在整體企業(yè)網(wǎng)絡(luò)規(guī)劃中，需要從實(shí)際情況方面出發(fā)，保證本次企業(yè)網(wǎng)絡(luò)規(guī)劃設(shè)計(jì)的實(shí)用性。2.2需求分析2.2.1項(xiàng)目背景唐山市長城企劃有限公司是一個(gè)有一定發(fā)展?jié)摿η页醪綌U(kuò)大規(guī)模的中小型企業(yè)，創(chuàng)建了新的分公司，但隨著網(wǎng)絡(luò)的發(fā)展，總體管理變得十分零散、不宜統(tǒng)一管理，在原本網(wǎng)絡(luò)規(guī)劃方面存在一些問題，如網(wǎng)絡(luò)結(jié)構(gòu)過于簡單、拓?fù)洳缓侠?、安全防范能力不足等，且未與分公司建立網(wǎng)絡(luò)連接。這些問題不僅影響了企業(yè)的業(yè)務(wù)發(fā)展，還可能帶來潛在的安全風(fēng)險(xiǎn)。公司因業(yè)務(wù)開展有總、分兩個(gè)公司，其中總公司分為人事部門、行政部門、財(cái)務(wù)部門、技術(shù)部門等八個(gè)部門，分公司僅設(shè)立銷售、財(cái)務(wù)和行政部門，正常辦公人員有70人以上?，F(xiàn)公司有意向進(jìn)行組網(wǎng)升級。2.2.2網(wǎng)絡(luò)功能需求分析中小型企業(yè)結(jié)構(gòu)主要可分為公司總部、分公司與數(shù)據(jù)中心區(qū)域，為了滿足集團(tuán)信息化的要求，為各類應(yīng)用系統(tǒng)提供方便、快捷的信息通路，應(yīng)當(dāng)進(jìn)行分區(qū)規(guī)劃。通過對企業(yè)網(wǎng)絡(luò)進(jìn)行重新組網(wǎng)升級，能夠支持大容量和實(shí)時(shí)性的各類應(yīng)用的同時(shí)，還能使公司網(wǎng)絡(luò)可靠運(yùn)行，具有較低的故障率和維護(hù)要求，以提升中小型企業(yè)的可靠性和網(wǎng)絡(luò)管理能力，降低公司運(yùn)行成本。因此通過中小型網(wǎng)絡(luò)規(guī)劃升級的企業(yè)具有良好的發(fā)展前景。該企業(yè)對網(wǎng)絡(luò)功能的需求如下：規(guī)劃設(shè)計(jì)建設(shè)企業(yè)局域網(wǎng)。通過企業(yè)內(nèi)部網(wǎng)絡(luò)劃分使得公司內(nèi)部各個(gè)部門能夠互相通訊和尋址，將公司內(nèi)部網(wǎng)絡(luò)整體化。網(wǎng)絡(luò)規(guī)劃設(shè)計(jì)要求不同部門之間相互隔開，總部網(wǎng)絡(luò)要求具有冗余架構(gòu)來進(jìn)行數(shù)據(jù)冗余備份。現(xiàn)公司需要，搭建公司數(shù)據(jù)中心進(jìn)行信息存儲(chǔ)，實(shí)現(xiàn)公司內(nèi)部資源公開共享。由于跨城市運(yùn)營商專線租用費(fèi)用過高，要求使用VPN技術(shù)使得公司總部與分公司之間能夠網(wǎng)絡(luò)連接。2.2.3性能需求分析由于該企業(yè)數(shù)據(jù)中心均采用傳統(tǒng)以太網(wǎng)有限技術(shù)，但如今發(fā)展需求擴(kuò)張，對各類業(yè)務(wù)的服務(wù)于需求不斷增加，傳統(tǒng)的有線網(wǎng)絡(luò)不足以支撐公司員工進(jìn)行信息化服務(wù)等功能的實(shí)現(xiàn)，需要具備足夠的帶寬共享和性能要求。因此要求企業(yè)網(wǎng)絡(luò)提供足夠的帶寬，豐富的接口形式，滿足用戶對應(yīng)用帶寬的基本要求，最大可能地降低網(wǎng)絡(luò)傳輸延遲。同時(shí)添加企業(yè)無線局域網(wǎng)，使用有線、無線網(wǎng)絡(luò)信號(hào)全覆蓋?？紤]到合理的帶寬分配和負(fù)載均衡，還要為公司未來發(fā)展預(yù)留出足夠的帶寬需求，滿足公司發(fā)展的可擴(kuò)展性和靈活性。2.2.4安全需求分析目前企業(yè)主要主要依賴于網(wǎng)絡(luò)進(jìn)行業(yè)務(wù)和數(shù)據(jù)管理，如果網(wǎng)絡(luò)系統(tǒng)遭到黑客、訪問不正規(guī)網(wǎng)站、或因設(shè)備老化而導(dǎo)致的惡意攻擊，很有可能導(dǎo)致企業(yè)信息泄露、財(cái)務(wù)損失以及技術(shù)損失。為了滿足企業(yè)網(wǎng)絡(luò)能夠安全可靠運(yùn)行，具有較低的故障率和維護(hù)的要求，為公司網(wǎng)絡(luò)提供網(wǎng)絡(luò)安全機(jī)制，同時(shí)在公司內(nèi)部和數(shù)據(jù)中心處添加了防火墻，滿足集團(tuán)信息安全的要求。2.3應(yīng)用設(shè)備選型分析該企業(yè)是70人左右的一個(gè)中小型企業(yè)，在企業(yè)網(wǎng)絡(luò)規(guī)劃需求的基礎(chǔ)上，根據(jù)自身財(cái)務(wù)狀況，合理規(guī)劃網(wǎng)絡(luò)建設(shè)的預(yù)算，并在預(yù)算范圍內(nèi)選擇性價(jià)比高的設(shè)備。同時(shí)考慮到設(shè)備購置與后期維護(hù)的成本，確保整個(gè)網(wǎng)絡(luò)建設(shè)的成本控制在可承受范圍內(nèi)。本次網(wǎng)絡(luò)規(guī)劃設(shè)備選型大致如下：核心層設(shè)備選擇：推薦使用AR-3260設(shè)備，作為整個(gè)總公司網(wǎng)絡(luò)的出口路由以及兩個(gè)辦公核心路由配置雙鏈路聚合。匯聚層設(shè)備選擇：推薦選擇S5700作為匯聚交換機(jī)的選擇。接入層設(shè)備選擇：推薦選擇S3700作為各部門接入層的選擇。防火墻及無線設(shè)備選擇：防火墻選擇SUG6000分別放在內(nèi)網(wǎng)和外網(wǎng)出口路由之間以及數(shù)據(jù)中心；無線選擇AC6605、AP6050，具有良好的性能以及便捷的設(shè)備管理。第3章網(wǎng)絡(luò)規(guī)劃設(shè)計(jì)3.1網(wǎng)絡(luò)拓?fù)湟?guī)劃網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)設(shè)計(jì)是企業(yè)網(wǎng)絡(luò)整體規(guī)劃的最關(guān)鍵環(huán)節(jié)，良好的網(wǎng)絡(luò)拓?fù)湔l能夠高效提升企業(yè)數(shù)據(jù)中心網(wǎng)絡(luò)性能，根據(jù)公司網(wǎng)絡(luò)建設(shè)使用要求，對總公司進(jìn)行核心層、匯聚層和接入層三層網(wǎng)絡(luò)架構(gòu)模型。在總公司核心層應(yīng)用了三臺(tái)交換機(jī)作為總公司的出口路由和核心交換機(jī)，同時(shí)在總部與分公司出口路由之間以及數(shù)據(jù)中心區(qū)域配置了防火墻，提高企業(yè)網(wǎng)絡(luò)的安全可靠性。由于網(wǎng)絡(luò)規(guī)模較大并且網(wǎng)絡(luò)需求中要求有虛擬路由冗余協(xié)議，因此在核心、匯聚等重要區(qū)域采用雙機(jī)冗余熱備，再分別通過雙鏈路進(jìn)行連接。最后通過出口路由器連接到運(yùn)營商網(wǎng)絡(luò)訪問互聯(lián)網(wǎng)。分公司企業(yè)員工人數(shù)較少，網(wǎng)絡(luò)規(guī)劃設(shè)計(jì)除了穩(wěn)定性、安全性考慮以外，還需要考慮它的成本問題，以免公司多余開支。主要由一臺(tái)核心交換機(jī)連接出口路由去訪問外網(wǎng)，內(nèi)部連接各部門交換機(jī)與終端設(shè)備。同時(shí)總分公司之間建立VPN隧道實(shí)現(xiàn)跨區(qū)域互聯(lián)互通。公司的整體網(wǎng)絡(luò)拓?fù)湟?guī)劃設(shè)計(jì)如下：3.2技術(shù)方案規(guī)劃在規(guī)劃好網(wǎng)絡(luò)拓?fù)浼軜?gòu)后，針對該網(wǎng)絡(luò)架構(gòu)選擇使用何種網(wǎng)絡(luò)通信協(xié)議對網(wǎng)絡(luò)的穩(wěn)定運(yùn)行有著決定性的作用。不同部門使用不同IP地址網(wǎng)段，劃分VLAN技術(shù)進(jìn)行邏輯隔離，減少網(wǎng)絡(luò)廣播域的范圍，再通過三層VLAN間路由技術(shù)實(shí)現(xiàn)不同網(wǎng)段相互通信?？偛繀R聚交換機(jī)使用VRRP技術(shù)配置雙機(jī)熱備，再通過Eth-Trunk端口鏈路聚合進(jìn)行連接，既擴(kuò)展網(wǎng)絡(luò)傳輸帶寬又起到冗余備份的作用。接入交換機(jī)使用雙鏈路聚合連接到主備匯聚交換機(jī)，在匯聚主備交換機(jī)與接入交換機(jī)之間使用MSTP生成樹技術(shù)，防止網(wǎng)絡(luò)產(chǎn)生環(huán)路，形成廣播風(fēng)暴，。核心路由器與匯聚交換機(jī)、防火墻、無線匯聚等網(wǎng)絡(luò)設(shè)備之間使用OSPF動(dòng)態(tài)路由，通過分區(qū)域技術(shù)，減少路由信息交換，增加網(wǎng)絡(luò)可靠性。無線網(wǎng)絡(luò)采用企業(yè)WLAN方式進(jìn)行部署，所有AP由AC無線控制器進(jìn)行集中管理，AC統(tǒng)一發(fā)布一個(gè)SSID（服務(wù)集標(biāo)識(shí)）無線信號(hào)，使得終端設(shè)備能夠在不同AP之間實(shí)現(xiàn)自動(dòng)連接和無縫漫游，確保網(wǎng)絡(luò)連接的連續(xù)性和穩(wěn)定性。無線客戶端使用DHCP自動(dòng)獲取IP地址，規(guī)劃設(shè)計(jì)在無線匯聚交換機(jī)上啟用DHCP服務(wù)，配置IP地址池給無線客戶端自動(dòng)或者IP?？偛吭谄髽I(yè)內(nèi)部與數(shù)據(jù)中心安裝防火墻并配置網(wǎng)絡(luò)安全策略，保障網(wǎng)絡(luò)信息安全，設(shè)置內(nèi)網(wǎng)可以訪問外網(wǎng)，禁止互聯(lián)網(wǎng)IP訪問公司內(nèi)網(wǎng)，只允許分公司的私有IP地址可以通過外部訪問公司內(nèi)網(wǎng)辦公。出口路由器上配置ACL與NAT，讓內(nèi)網(wǎng)私有IP地址可以通過出口路由器做NAT轉(zhuǎn)換成公網(wǎng)IP訪問互聯(lián)網(wǎng)?？偛颗c分公司之間使用IPSecVPN技術(shù)進(jìn)行互聯(lián)互通，該技術(shù)可以讓企業(yè)通過公共網(wǎng)絡(luò)將總部與跨區(qū)域分部相連，實(shí)現(xiàn)企業(yè)整體局域網(wǎng)內(nèi)部相互通信。本次研究擬選用的主要技術(shù)協(xié)議如下：3.2.1鏈路聚合端口綁定技術(shù)又稱鏈路聚合（LinkAggregation）是將一組物理接口捆綁在一起作為一個(gè)邏輯接口來增加帶寬的一種方法，又稱為多接口負(fù)載均衡組或鏈路聚合組。通過在兩臺(tái)設(shè)備之間建立鏈路聚合組，可以提供更高的通訊帶寬和更高的可靠性。鏈路聚合不僅僅為設(shè)備通信提供了冗余保護(hù)，而且不需要對硬件進(jìn)行升級。沒有鏈路聚合的網(wǎng)絡(luò)中，通常每個(gè)設(shè)備都只有一個(gè)物理鏈路連接到網(wǎng)絡(luò)。這意味著每個(gè)設(shè)備的帶寬和可靠性都受限于單個(gè)鏈路的容量和穩(wěn)定性。當(dāng)單個(gè)物理鏈路一旦出現(xiàn)故障時(shí)，整個(gè)設(shè)備的網(wǎng)絡(luò)連接將中斷，可能導(dǎo)致服務(wù)中斷或數(shù)據(jù)丟失。同時(shí)隨著網(wǎng)絡(luò)規(guī)模的擴(kuò)大和用戶需求的增長，單個(gè)物理鏈路的帶寬和可靠性可能無法滿足要求。圖3.1鏈路聚合模式圖鏈路聚合的方式可分為靜態(tài)聚合（手動(dòng)將端口加入聚合組，交換機(jī)之間沒有協(xié)議報(bào)文的交互）和動(dòng)態(tài)聚合（交換機(jī)之間通過LACP協(xié)議的交互將端口聚合，形成一個(gè)邏輯端口）兩種模式。采用鏈路聚合技術(shù)可以在不進(jìn)行硬件升級的條件下，通過將多個(gè)物理接口捆綁為一個(gè)邏輯接口，達(dá)到增加鏈路帶寬的目的。在實(shí)現(xiàn)增大帶寬目的的同時(shí)，鏈路聚合采用備份鏈路的機(jī)制，可以有效的提高設(shè)備之間鏈路的可靠性。3.2.2VRRP雙機(jī)熱備VRRP（VirtualRouterRedundancyProtocol）是一種提供基于IP地址的路由器冗余網(wǎng)絡(luò)協(xié)議，它允許多臺(tái)路由器共享一個(gè)虛擬IP地址，其中一臺(tái)被指定為主（Master）路由器，其他的則是備用（Backup）路由器。VRRP的主要目的是在主路由器發(fā)生故障時(shí)，快速地將工作負(fù)載轉(zhuǎn)移到備用路由器，以保證網(wǎng)絡(luò)的連通性和可用性。這里擬用到的是VRRP+MSTP生成樹相結(jié)合的協(xié)議，MSTP（MultipleSpanningTreeProtocol）是一種網(wǎng)絡(luò)協(xié)議，用于管理以太網(wǎng)交換網(wǎng)絡(luò)中的環(huán)路，允許網(wǎng)絡(luò)管理員將交換網(wǎng)絡(luò)分割成多個(gè)實(shí)例（Instance），每個(gè)實(shí)例都有自己獨(dú)立的生成樹（SpanningTree），用于處理該實(shí)例中的數(shù)據(jù)流量。通過支持多個(gè)實(shí)例，從而提供了更大的靈活性和可管理性。MSTP和VRRP都是為了增加網(wǎng)絡(luò)的冗余性而設(shè)計(jì)的。當(dāng)它們組合使用時(shí)，可以進(jìn)一步提高企業(yè)網(wǎng)絡(luò)的冗余水平，減少因網(wǎng)絡(luò)單點(diǎn)故障而導(dǎo)致的服務(wù)中斷。結(jié)合使用VRRP和MSTP協(xié)議可以充分發(fā)揮它們各自的優(yōu)勢。當(dāng)網(wǎng)絡(luò)中的某個(gè)鏈路或節(jié)點(diǎn)出現(xiàn)故障時(shí)，MSTP可以迅速調(diào)整網(wǎng)絡(luò)拓?fù)?，防止?shù)據(jù)包出現(xiàn)循環(huán)，并保證網(wǎng)絡(luò)的穩(wěn)定性。同時(shí)，VRRP可以在主路由器失效時(shí)快速將工作負(fù)載切換到備用路由器，減少網(wǎng)絡(luò)中斷時(shí)間，提高了網(wǎng)絡(luò)的可靠性和可用性。其次也優(yōu)化網(wǎng)絡(luò)流量的分配，實(shí)現(xiàn)負(fù)載均衡，避免單點(diǎn)故障。圖3.2MSTP+VRRP模式圖3.2.3IpsecVPN隧道IPSec（IPsecurity）是IETF制定的三層隧道加密協(xié)議。在網(wǎng)絡(luò)安全領(lǐng)域，IPSec是一種重要的安全協(xié)議，用于保護(hù)IP通信的機(jī)密性、完整性和認(rèn)證性，它的目的是為IP提供高安全性特性。它為Internet上傳輸?shù)臄?shù)據(jù)提供了高質(zhì)量的、可互操作的、基于密碼學(xué)的安全保證。因?yàn)槠浒踩蕴攸c(diǎn)，IPSec被廣泛應(yīng)用。IPSec是一個(gè)框架性架構(gòu)，具體由網(wǎng)絡(luò)認(rèn)證協(xié)議AH（AuthenticationHeader，認(rèn)證頭）、ESP（EncapsulatingSecurityPayload，封裝載荷）和密鑰管理協(xié)議IKE（InternetKeyExchange，因特網(wǎng)密鑰交換）以及用戶網(wǎng)絡(luò)認(rèn)證及加密的一些算法等所構(gòu)成。1.AH協(xié)議（AuthenticationHeader）：密鑰交換協(xié)議可以同時(shí)提供數(shù)據(jù)完整性確認(rèn)、數(shù)據(jù)來源確認(rèn)、防重放等安全特性；在實(shí)際應(yīng)用中，AH協(xié)議常用MD5和SHA1這兩種摘要算法（單向Hash函數(shù)）來實(shí)現(xiàn)其特性。2.ESP協(xié)議（EncapsulatedSecurityPayload）是一種廣受歡迎的網(wǎng)絡(luò)安全協(xié)議，因其能夠同時(shí)確保數(shù)據(jù)完整性、加密以及防止重放攻擊而受到廣泛應(yīng)用。為了滿足數(shù)據(jù)加密的需求，ESP協(xié)議通常采納多種加密算法，如DES、3DES以及AES等。這些加密算法不僅增強(qiáng)了數(shù)據(jù)的保密性，還確保了即便在數(shù)據(jù)傳輸過程中被截獲，攻擊者也難以解讀其中的內(nèi)容3.IKE（InternetKeyExchange）協(xié)議是用于在IPsec安全通信中進(jìn)行密鑰管理和對等體身份驗(yàn)證的關(guān)鍵協(xié)議。它的主要作用是協(xié)商和建立安全關(guān)聯(lián)，以確保通信的雙方能夠安全地交換信息。IKE協(xié)議定義了兩個(gè)主要階段的交換過程，分別是IKEv1和IKEv2，來交換加密的密鑰信息，確保只有授權(quán)的對等體能夠訪問和使用這些密鑰，協(xié)商加密IPsec通信的密鑰和參數(shù)，從而提供安全的通信環(huán)境。VPN則是在實(shí)現(xiàn)這種安全特性的方式下產(chǎn)生的解決方案。IPsec的工作模式分為兩種：1.傳輸模式：傳輸模式只實(shí)現(xiàn)端到端的保護(hù)功能，不建立VPN隧道。2.隧道模式：隧道模式中，不僅要負(fù)責(zé)端到端的保護(hù)，還要建立VPN隧道。通過建立VPN（虛擬私人網(wǎng)絡(luò)）隧道，可以顯著提高IPSec協(xié)議和網(wǎng)絡(luò)整體規(guī)劃的效果。將加密后的數(shù)據(jù)封裝在一個(gè)新的IP數(shù)據(jù)包中，并通過公共網(wǎng)絡(luò)傳輸。這允許遠(yuǎn)程用戶訪問公司內(nèi)部網(wǎng)絡(luò)資源，而不會(huì)被公共網(wǎng)絡(luò)上的其他用戶攔截或篡改數(shù)據(jù)。在公共網(wǎng)絡(luò)上建立加密通道，通過這種技術(shù)可以使遠(yuǎn)程用戶訪問公司內(nèi)部網(wǎng)絡(luò)資源時(shí)，實(shí)現(xiàn)安全的連接和數(shù)據(jù)傳輸。3.2.4無線網(wǎng)絡(luò)無線網(wǎng)絡(luò)根據(jù)它的應(yīng)用范圍可以分為個(gè)域網(wǎng)（PAN）、無線局域網(wǎng)（WLAN）、城域網(wǎng)（MAN）以及廣域網(wǎng)（WAN）。其中中小型企業(yè)最為適用的是無線局域網(wǎng)。無線局域網(wǎng)（WLAN）是一種利用無線技術(shù)實(shí)現(xiàn)設(shè)備間互聯(lián)的網(wǎng)絡(luò)系統(tǒng)，它和有線局域網(wǎng)最大的區(qū)別就是“無線”。它打破了傳統(tǒng)有線網(wǎng)絡(luò)的束縛，為設(shè)備提供了更大的活動(dòng)自由度。通過無線信號(hào)傳輸數(shù)據(jù)，避免了傳統(tǒng)有線網(wǎng)絡(luò)的限制，因此其特點(diǎn)體現(xiàn)在其靈活性、便捷性和可擴(kuò)展性上。由于無需復(fù)雜的布線工作，WLAN的安裝和維護(hù)成本大大降低，同時(shí)也方便了設(shè)備的移動(dòng)和調(diào)整。圖3.3中小型企業(yè)無線網(wǎng)絡(luò)規(guī)劃圖對于中小企業(yè)而言，采用無線局域網(wǎng)規(guī)劃，企業(yè)員工不再受限于固定的辦公區(qū)域，可以隨時(shí)隨地接入網(wǎng)絡(luò)，從而提高了工作效率和靈活性。其次，無線網(wǎng)絡(luò)減少了物理連接的需求，使得辦公環(huán)境更為整潔，同時(shí)也降低了因線纜問題導(dǎo)致的故障風(fēng)險(xiǎn)。此外，隨著企業(yè)未來規(guī)模的擴(kuò)大或辦公地點(diǎn)的變化，無線網(wǎng)絡(luò)能夠迅速適應(yīng)這些變化，無需進(jìn)行大規(guī)模的重新布線工作，節(jié)省了時(shí)間和成本。3.3IP地址規(guī)劃企業(yè)內(nèi)網(wǎng)規(guī)劃使用IPv4的B類私有IP地址，總部整體使用/16網(wǎng)段IP，分公司使用/16網(wǎng)段IP，再按照不同部門來劃分子網(wǎng)網(wǎng)段。IP地址規(guī)劃需要對服務(wù)器與辦公業(yè)務(wù)使用IP、路由接口IP、匯聚主備VRRP協(xié)議使用的虛擬IP等進(jìn)行詳細(xì)規(guī)劃設(shè)計(jì)。業(yè)務(wù)IP地址規(guī)劃按照不同部門使用不同網(wǎng)段，有線網(wǎng)絡(luò)連接每個(gè)網(wǎng)段劃分成/24位的子網(wǎng)，無線網(wǎng)絡(luò)連接劃分成/23位，使用最后一個(gè)IP作為業(yè)務(wù)網(wǎng)關(guān)。表1.1業(yè)務(wù)IP地址劃分區(qū)域名稱VLANIP公司總部服務(wù)器/24部門1101/24部門2102/24部門3103/24部門4104/24部門5105/24部門6106/24部門7107/24部門8108/24無線AP109/24無線終端101/24公司分部部門1部門2部門3101102103/24/24/24接口IP地址規(guī)劃路由接口IP統(tǒng)一規(guī)劃使用/30位的子網(wǎng)掩碼，公司內(nèi)部使用私有IP，電信運(yùn)營商使用公網(wǎng)IP地址。區(qū)域名稱接口IP名稱接口IP深圳總公司R1eth-trunk1/30R2eth-trunk1/30R1GE2/0/1/30FW1GE1/0/2/30R1GE2/0/2/30FW2GE1/0/20/30R1GE0/0/23/30匯聚1GE0/0/14/30R1GE2/0/07/30匯聚3GE0/0/18/30R1GE2/0/31/30無線匯聚GE0/0/12/30R2GE2/0/15/30FW1GE1/0/36/30R2GE2/0/29/30FW2GE1/0/30/30R2GE0/0/23/30匯聚2GE0/0/14/30R2GE2/0/07/30匯聚4GE0/0/18/30R2GE2/0/31/30無線匯聚GE0/0/22/30FW2GE1/0/15/30R3GE0/0/16/30東莞分公司R11GE0/0/1/30核心S10GE0/0/1/30IpsecVPN隧道R3tun0/0/11/29R11tun0/0/12/29R21tun0/0/13/29互聯(lián)網(wǎng)公網(wǎng)電信R1GE0/0/0/30R3GE0/0/0/30電信R1GE0/0//30電信R2GE0/0//30電信R2GE0/0/0/30電信R3GE0/0/0/30電信R2GE0/0/3/30R11GE0/0/04/30電信R3GE0/0/07/30R21GE0/0/08/30VRRP虛擬IP地址規(guī)劃VLAN號(hào)ActiveStandbyActive主設(shè)備IPStandby備設(shè)備IP虛擬IP地址設(shè)備名稱設(shè)備名稱VLAN101匯聚1匯聚2525354VLAN102525354VLAN103525354VLAN104525354VLAN105匯聚3匯聚4525354VLAN106525354VLAN107525354VLAN108525354第4章配置實(shí)施及測試4.1公司總部配置4.1.1防火墻配置防火墻FW1用于總公司數(shù)據(jù)中心服務(wù)器的安全防護(hù)，只允許內(nèi)網(wǎng)私有IP可以訪問，禁止其它訪問服務(wù)器。防火墻FW2用于辦公內(nèi)網(wǎng)到互聯(lián)網(wǎng)之間的安全隔離，配置安全策略允許內(nèi)網(wǎng)訪問外網(wǎng)，禁止外部互聯(lián)網(wǎng)訪問局域網(wǎng)，外部只允許分公司的IP地址經(jīng)過防火墻訪問總公司網(wǎng)絡(luò)。配置方法原理與FW1大致相同，按照規(guī)劃進(jìn)行配置IP地址，劃分安全域，配置路由，安全訪問策略。重點(diǎn)配置如下：配置接口IP地址并劃分內(nèi)部與外部區(qū)域interfaceGigabitEthernet1/0/1ipaddress552//配置與R3接口ip出口互聯(lián)service-manageallpermit//開放web管理權(quán)限quitinterfaceGigabitEthernet1/0/2ipaddress052//配置與R1接口ipturst區(qū)域service-manageallpermit//開放web管理權(quán)限quitinterfaceGigabitEthernet1/0/3ipaddress052//配置與R2接口iptrust區(qū)域service-manageallpermit//開放web管理權(quán)限quitfirewallzonetrust//配置防火墻區(qū)域trust將接口1/0/2和1/0/3加入trustaddinterfaceGigabitEthernet1/0/2addinterfaceGigabitEthernet1/0/3quitfirewallzoneuntrust//配置防火墻區(qū)域untrust將接口1/0/1加入untrustaddinterfaceGigabitEthernet1/0/1配置默認(rèn)路由與OSPF動(dòng)態(tài)路由iproute-static6//配置靜態(tài)路由，使防火墻與公網(wǎng)互聯(lián)ospf1area0networknetwork8network4quitquit配置防火墻安全防護(hù)策略//訪問控制列表security-policy//配置安全策略rulename1//創(chuàng)建名為1的安全規(guī)則source-zonetrust//設(shè)置安全規(guī)則的源安全地址為trustdestination-zoneuntrust//設(shè)置安全規(guī)則的目的安全地址為untrustactionpermit//設(shè)置安全規(guī)則的動(dòng)作為允許rulename2source-zoneuntrust//設(shè)置安全規(guī)則的源安全地址為untrustdestination-zonetrust//設(shè)置安全規(guī)則的目的安全地址為trustsource-addressmask//設(shè)置安全規(guī)則源網(wǎng)段source-addressmask//兩個(gè)分公司網(wǎng)段untrustactionpermitrulename3source-zonelocal//原區(qū)域——防火墻從local到遠(yuǎn)端的流量放行actionpermitrulename4destination-zonelocal//目的區(qū)域——防火墻從遠(yuǎn)端返回到loca的流量放行actionpermit4.1.2核心層配置核心層主要由路由器R1、R2作為辦公核心路由器，通過雙鏈路端口聚合與R2連接，與外網(wǎng)防火墻、數(shù)據(jù)中心防火墻、辦公匯聚交換機(jī)之間運(yùn)行三層OSPF動(dòng)態(tài)路由協(xié)議。這里以R1為例，主要配置如下：配置端口聚合、接口IP地址。interfaceeth-trunk1//在R1上創(chuàng)建Eth-Trunk1undoportswitch//將接口轉(zhuǎn)換為三層接口ipaddress52//添加網(wǎng)關(guān)地址quitinterfaceGigabitEthernet0/0/0//將接口加入Eth-trunk1接口eth-trunk1quitinterfaceGigabitEthernet0/0/1eth-trunk1quit//添加接口ip：interfaceGigabitEthernet2/0/1ipaddress52interfaceGigabitEthernet2/0/3ipaddress152配置默認(rèn)路由，OSPF動(dòng)態(tài)路由。iproute-static6ospf1area0network//宣告網(wǎng)段networknetworknetwork2network6network04.1.3匯聚層配置匯聚層主要由匯聚交換機(jī)1與2（VLAN101-104）和匯聚交換機(jī)3與4（VLAN105-109）作為部門1-4、5-8的網(wǎng)關(guān)，彼此之間做雙機(jī)熱備，與交換機(jī)之間運(yùn)行二層結(jié)構(gòu)，與核心路由之間運(yùn)行三層OSPF路由。這里以匯聚交換機(jī)1為例，主要配置如下：創(chuàng)建業(yè)務(wù)VLAN，配置接口IP、VRRP等。（VLAN101-104配置大致相同，僅用VLAN101配置為例）vlanbatch101to104//創(chuàng)建VLANinterfaceVlanif101ipaddress52//配置接口ipvrrpvrid101virtual-ip54//創(chuàng)建VRRP備份組并為備份組指定虛擬IP地址vrrpvrid101priority150//設(shè)置優(yōu)先級150quit創(chuàng)建路由接口VLAN，將與核心路由連接的接口加入到VLAN中。vlan201//創(chuàng)建路由接口VLANquitinterfaceVlanif201ipaddress452quitinterfaceGigabitEthernet0/0/1//與R1相連，使其加入到201VLAN中portlink-typeaccess//配置access模式portdefaultvlan201//指定默認(rèn)VLAN201quit配置二層端口聚合，級聯(lián)口Trunk模式等。interfaceEth-Trunk1//在匯聚交換機(jī)1上創(chuàng)建Eth-Trunk1portlink-typetrunkundoporttrunkallow-passvlan1//刪除缺省狀態(tài)下Trunk類型接口加入的VLAN1porttrunkallow-passvlan101to104//配置Trunk類型接口加入的VLAN101-104quitinterfaceGigabitEthernet0/0/2//把接口加入eth-trunk1中eth-trunk1quitinterfaceGigabitEthernet0/0/3eth-trunk1quitport-group1//創(chuàng)建組1（多端口一起配置）group-memberGigabitEthernet0/0/4toGigabitEthernet0/0/24//添加4-24端口進(jìn)入組1portlink-typetrunk//將端口號(hào)加入鏈路端口trunkundoporttrunkallow-passvlan1//刪除缺省狀態(tài)下Trunk類型接口加入的VLAN1porttrunkallow-passvlan101to104//配置Trunk類型接口加入的VLAN101-104quit創(chuàng)建MSTP生成樹，作為根橋（根交換機(jī)）stpregion-configuration//進(jìn)入mstp視圖instance1vlan101to104//劃分1中101-104組activeregion-configuration//激活配置quitstpinstance1rootprimary//配置交換模塊為MSTI1的根交換機(jī)配置默認(rèn)路由，發(fā)布OSPF路由iproute-static6ospf1area0network2network55network55network55network55quitquit4.1.4接入層配置接入層主要包括各部門的接入交換機(jī)上聯(lián)匯聚連接配置成Trunk模式，與匯聚主備之間使用MSTP生成樹協(xié)議，下聯(lián)終端設(shè)備，配置成access模式，端口加入到相應(yīng)VLAN。各個(gè)接入交換機(jī)配置方法原理一樣，按照規(guī)劃加入到不同VLAN。這里以部門1為例，具體配置如下：vlanbatch101to104//創(chuàng)建VLANstpregion-configurationinstance1vlan104to104activeregion-configurationquitport-group1//創(chuàng)建組1group-memberEthernet0/0/1toEthernet0/0/22portlink-typeaccessportdefaultvlan101//運(yùn)行通過101VLANquitport-group2//創(chuàng)建組2group-memberGigabitEthernet0/0/1toGigabitEthernet0/0/2portlink-typetrunkporttrunkallow-passvlan101to104//運(yùn)行通過所有VLANquit4.1.5無線網(wǎng)絡(luò)配置無線網(wǎng)絡(luò)配置主要分為無線交換機(jī)配置、無線AC配置、無線POE接入配置。1.無線匯聚交換機(jī)作為無線業(yè)務(wù)的網(wǎng)關(guān)，與上層運(yùn)行三層OSPF路由，與AC、POE之間采用二層Trunk連接，同時(shí)作為DHCP服務(wù)器為無線業(yè)務(wù)分配IP地址。創(chuàng)建業(yè)務(wù)VLAN，配置接口IP、接口DHCP地址池vlanbatch109to110dhcpenableinterfaceVlanif109ipaddress54dhcpselectinterface//開啟接口采用接口地址池的DHCPServer功能dhcpserverexcluded-ip-address5053//配置IP地址池中不參與自動(dòng)分配的IP地址范圍quitinterfaceVlanif110ipaddress54dhcpselectinterfacequitvlan201vlan202quitinterfaceVlanif201ipaddress252quitinterfaceVlanif202ipaddress252quitinterfaceGigabitEthernet0/0/1portlink-typeaccessportdefaultvlan201quitinterfaceGigabitEthernet0/0/2portlink-typeaccessportdefaultvlan202quit默認(rèn)路由，OSPF動(dòng)態(tài)路由配置iproute-static6ospf1area0network55network55network0network0quitquit與接入級聯(lián)Trunk配置port-group1group-memberGigabitEthernet0/0/3toGigabitEthernet0/0/24portlink-typetrunkporttrunkallow-passvlan109to110quit2.無線AC控制器主要用途是AP的控制、管理、無線信號(hào)下發(fā)等，無線AC采用旁掛方式，與匯聚之間使用二層Trunk互聯(lián)。1)創(chuàng)建業(yè)務(wù)VLAN，配置級聯(lián)端口、管理IP地址vlan109vlan110quitinterfaceGigabitEthernet0/0/1portlink-typetrunkporttrunkallow-passvlanallquitinterfaceVlanif109ipaddress50quit創(chuàng)建默認(rèn)路由，AP上線的源VLAN接口iproute-static54capwapsourceinterfaceVlanif109//指定與ap建立管理隧道的源接口//配置無線業(yè)務(wù)，無線SSID：wuxian，密碼：12345678Wlan//進(jìn)入vlan視圖regulatory-domain-profilenamedefault//創(chuàng)建域管理模板，并進(jìn)入模板視圖country-codeCNquitapauth-modeno-auth//配置AP認(rèn)證模式為不認(rèn)證（將AP上電后，當(dāng)執(zhí)行命令displayapall查看到AP的“State”字段為“nor”時(shí)，表示AP正常上線）//配置ar的wlan業(yè)務(wù)（提供無線網(wǎng)絡(luò)）：security-profilename001//創(chuàng)建名為001的安全模板securitywpa-wpa2pskpass-phrase12345678aes//配置無線密碼quitssid-profilename001//創(chuàng)建名為001的ssid模板ssidwuxian//指定ssid為wuxianquitvap-profilename001//創(chuàng)建001的vap模板forward-modedirect-forward//指定數(shù)據(jù)轉(zhuǎn)發(fā)方式為直接轉(zhuǎn)發(fā)service-vlanvlan-id110//指定vap對應(yīng)的vlansecurity-profile001//引用安全模板ssid-profile001//引用ssid模板quitap-groupnamedefaultvap-profile001wlan1radioall//在名為“default”的AP組中引用“001”所有射頻3.POE接入交換機(jī)用于無線AP網(wǎng)絡(luò)接入、供電等作用，所有接口配置成Trunk模式，連接AP的PVIDVLAN為無線AP管理VLANvlanbatch109to110port-group1group-memberEthernet0/0/1toEthernet0/0/22portlink-typetrunkporttrunkallow-passvlanallporttrunkpvidvlan109quitport-group2group-memberGigabitEthernet0/0/1toGigabitEthernet0/0/2portlink-typetrunkporttrunkallow-passvlanallquit4.2公司分部配置4.2.1出口路由配置路由器配置需求與原理與總部一樣，配置ipsecvpn時(shí)作為分支主動(dòng)連接到總公司路由器。配置內(nèi)外IP地址、ipsecvpn隧道。interfaceGigabitEthernet0/0/0ipaddress452quitinterfaceGigabitEthernet0/0/1ipaddress52quit到互聯(lián)網(wǎng)默認(rèn)路由，內(nèi)網(wǎng)OSPF路由配置iproute-static03ospf1area0networknetwork0quitquit內(nèi)網(wǎng)到外網(wǎng)的NAT配置，排除總部與分公司之間的IP不做NATaclnumber3001