目錄TOC\o"1-2"\h\z\u摘要 摘要隨著企業(yè)全球化的加速，跨地域商務(wù)活動(dòng)日益頻繁，企業(yè)網(wǎng)絡(luò)安全和效率的需求愈加顯著。本研究旨在利用OSPF和IPSec技術(shù)，為恒豐公司設(shè)計(jì)并實(shí)現(xiàn)一套滿足其業(yè)務(wù)需求的數(shù)據(jù)網(wǎng)絡(luò)，以保障不同地區(qū)間業(yè)務(wù)的順暢進(jìn)行。首先，本文針對(duì)恒豐公司的業(yè)務(wù)需求進(jìn)行分析，設(shè)定了建設(shè)目標(biāo)，包括搭建基礎(chǔ)網(wǎng)絡(luò)設(shè)施，網(wǎng)絡(luò)分層規(guī)劃，無線設(shè)備的合理布局，VLAN的定制隔離，保證分公司與總公司的互聯(lián)互通以及采用IPSec保障公司間流量安全等。然后，實(shí)施了網(wǎng)絡(luò)架構(gòu)的設(shè)計(jì)與搭建，實(shí)現(xiàn)了以上的建設(shè)目標(biāo)。通過一系列的測(cè)試，驗(yàn)證了本文設(shè)計(jì)的網(wǎng)絡(luò)方案的執(zhí)行性和穩(wěn)定性。滿足了恒豐公司對(duì)業(yè)務(wù)網(wǎng)絡(luò)的需求，提高了數(shù)據(jù)傳輸?shù)陌踩院托?，有助于推?dòng)企業(yè)發(fā)展。關(guān)鍵詞：OSPF；IPSec；VLAN；

AbstractWiththeaccelerationofcorporateglobalization,cross-regionalbusinessactivitiesarebecomingincreasinglyfrequent.Thedemandfornetworksecurityandefficiencyinenterprisesismorepronounced.ThisstudyaimstodesignandimplementadatanetworksatisfyingthebusinessrequirementsofHengfengCorporationbyutilizingOSPFandIPSectechnologytoensuresmoothbusinessoperationsacrossdifferentregions.Firstly,thebusinessrequirementsofHengfengCorporationareanalyzedtosetconstructiongoals,includingtheestablishmentofbasicnetworkinfrastructure,networklayerplanning,reasonablelayoutofwirelessequipment,customisolationofVLAN,ensuringinterconnectionbetweenbranchandheadoffices,andadoptingIPSectoensureinter-companytrafficsafety.Then,thedesignandconstructionofthenetworkarchitecturewereimplemented,achievingtheaboveconstructiongoals.Throughaseriesoftests,theexecutabilityandstabilityofthenetworkschemedesignedinthispaperhavebeenverified.ThishasmettherequirementsofHengfengCorporationforbusinessnetworks,improvedthesecurityandefficiencyofdatatransmission,andcontributedtothedevelopmentofthecompany.Keywords：

OSPF;IPSec;VLAN;Interconnection;NetworkSecurity.緒論研究背景隨著企業(yè)全球化進(jìn)程的加速，跨地域的商務(wù)活動(dòng)越來越頻繁。恒豐公司作為一家擁有多地分支的商業(yè)企業(yè)，急需構(gòu)建一個(gè)高效、安全的業(yè)務(wù)網(wǎng)，以保障不同地區(qū)間的業(yè)務(wù)順暢進(jìn)行。特別是，公司在南寧新設(shè)的分公司需要與深圳總公司之間建立一個(gè)穩(wěn)定、可靠的網(wǎng)絡(luò)通信系統(tǒng)，確保數(shù)據(jù)的及時(shí)傳輸和商務(wù)操作的協(xié)同性。在此背景下，本研究以網(wǎng)絡(luò)架構(gòu)規(guī)劃和技術(shù)實(shí)施為重點(diǎn)，利用先進(jìn)的OSPF和IPSec技術(shù)，為恒豐公司設(shè)計(jì)并實(shí)現(xiàn)了一個(gè)滿足其業(yè)務(wù)需求的數(shù)據(jù)網(wǎng)絡(luò)。當(dāng)前，TCP/IP協(xié)議廣泛應(yīng)用于網(wǎng)絡(luò)通信，然而在其原初設(shè)計(jì)中并未深入考慮信息的安全傳輸問題。此協(xié)議未涉及數(shù)據(jù)的加密及認(rèn)證處理，采用的是未加密的明文形式進(jìn)行信息的傳遞，這給那些惡意的第三方者提供了竊聽或修改傳輸數(shù)據(jù)內(nèi)容的可能性，從而無法確保數(shù)據(jù)在傳輸過程中的安全和準(zhǔn)確。REF_Ref19290\r\h[1]這就引出了虛擬專用網(wǎng)絡(luò)（VPN，VirtualPrivateNetwork）這種解決方案，其主要用途是在公共網(wǎng)絡(luò)上保障數(shù)據(jù)的安全傳輸。簡(jiǎn)單來說，虛擬專用網(wǎng)絡(luò)是通過在公共網(wǎng)絡(luò)上創(chuàng)建特定的加密通道來實(shí)現(xiàn)安全傳輸?shù)募夹g(shù)。這種方法不僅確保了數(shù)據(jù)的安全性和保密性，而且顯著降低了在網(wǎng)絡(luò)上傳遞私人信息的成本。REF_Ref24221\r\h[2]基于IPSec標(biāo)準(zhǔn)的VPN技術(shù)，被稱為IPSecVPN，是一種應(yīng)用廣泛的遠(yuǎn)程訪問技術(shù)。這個(gè)技術(shù)允許用戶安全地連接到企業(yè)內(nèi)網(wǎng)并訪問其中的資源，保證了數(shù)據(jù)傳輸過程中的安全性。IPSec，全稱為InternetProtocolSecurity，是由因特網(wǎng)工程任務(wù)組（IETF）所定立的一套保護(hù)網(wǎng)絡(luò)信息安全傳輸?shù)臉?biāo)準(zhǔn)，能夠保證IP數(shù)據(jù)在整個(gè)通信過程中的安全傳輸。REF_Ref24263\r\h[3]研究現(xiàn)狀自上世紀(jì)九十年代開始，幀中繼標(biāo)志著VPN技術(shù)誕生以來，盡管僅僅經(jīng)歷了數(shù)十年的發(fā)展，但VPN因其優(yōu)越的安全性及擴(kuò)展性，以及靈活的可管理性等特點(diǎn)，已在各種應(yīng)用中得到廣泛使用。基于不同的應(yīng)用環(huán)境和網(wǎng)絡(luò)層次，我們通常會(huì)見到各種類型的VPN，VPN網(wǎng)絡(luò)專為合法的VPN用戶而設(shè)，所以被視作專用網(wǎng)絡(luò)。與其他類型的專用網(wǎng)絡(luò)相比，利用VPN技術(shù)進(jìn)行遠(yuǎn)程訪問既安全又可靠，而且它的總成本低廉，組網(wǎng)靈活，擴(kuò)展容易以及維護(hù)便利——正因?yàn)檫@些優(yōu)勢(shì)，VPN得到了廣大的應(yīng)用迎接。REF_Ref27274\r\h[5]IPSec并不代表任何一種具體的通信協(xié)議，而是一個(gè)IETF制定的協(xié)議集，旨在確保IP層面的通信安全，依賴此協(xié)議集的通信可以實(shí)現(xiàn)端到端IP報(bào)文交互的真實(shí)、完整、機(jī)密和抗重放特性。REF_Ref27996\r\h[6]另一方面，IPSec的IKE部分負(fù)責(zé)協(xié)商、分發(fā)、管理密鑰，這也是IPSec保證安全通信的關(guān)鍵。IKE協(xié)議主要負(fù)責(zé)建立、維護(hù)和終止兩個(gè)通信方之間的安全關(guān)聯(lián)（SA），并包括密鑰生成和密鑰管理等功能。盡管IPSec協(xié)議提供了相對(duì)健全的安全保護(hù)，但其在數(shù)據(jù)封裝和處理過程上的時(shí)間長，處理效率相對(duì)較低。因此，優(yōu)化IPSec協(xié)議，提高其安全性能和效率，是目前網(wǎng)絡(luò)安全領(lǐng)域的研究重點(diǎn)。目前，企業(yè)業(yè)務(wù)網(wǎng)的建設(shè)常采用靜態(tài)路由配置，而這種方式在網(wǎng)絡(luò)擴(kuò)展和動(dòng)態(tài)性方面顯得較為僵化。動(dòng)態(tài)路由協(xié)議被設(shè)計(jì)用來有效地緩解靜態(tài)路由配置低效率、易出錯(cuò)的問題，因此在園區(qū)網(wǎng)絡(luò)和運(yùn)營商網(wǎng)絡(luò)架構(gòu)中，這種協(xié)議得到了廣泛的應(yīng)用。REF_Ref28381\r\h[7]開放式最短路徑優(yōu)先協(xié)議，也即OSPF（OpenShortestPathFirst），是一種廣泛使用的動(dòng)態(tài)鏈路狀態(tài)路由協(xié)議，特別適合中小規(guī)模的網(wǎng)絡(luò)。鏈路狀態(tài)涵蓋了路由器接口，鏈路以及OSPF進(jìn)程的狀態(tài)。一旦鏈路狀態(tài)發(fā)生變更，已啟動(dòng)OSPF的路由器將立刻通過組播方式向所有路由器發(fā)送通告，以此確保所有路由器的拓?fù)鋽?shù)據(jù)庫（LSDB）保持同步。REF_Ref1929\r\h[8]需求分析與建設(shè)目標(biāo)需求分析恒豐公司南寧分公司現(xiàn)劃分為四個(gè)區(qū)域，分別是辦公區(qū)域、服務(wù)器區(qū)域、招待區(qū)域和銷售區(qū)域。辦公區(qū)域和服務(wù)器區(qū)域?qū)儆诠緝?nèi)部流量，考慮劃分到一個(gè)VLAN，招待區(qū)域和銷售區(qū)域顧客流量居多，考慮到安全性，應(yīng)與公司內(nèi)部VLAN隔離。同時(shí)，這兩個(gè)區(qū)域都是無線設(shè)備，要考慮無線覆蓋和質(zhì)量問題，以提升公司顧客體驗(yàn)。另外，分公司需要集成與總公司進(jìn)行業(yè)務(wù)來往，大量業(yè)務(wù)數(shù)據(jù)需要依靠互聯(lián)網(wǎng)傳輸，因此，如何保證通訊的安全性，也是亟需考慮的問題。恒豐公司是一家專注于3C產(chǎn)品銷售的連鎖公司，業(yè)務(wù)包括計(jì)算機(jī)、通訊和消費(fèi)電子產(chǎn)品的銷售與服務(wù)。作為行業(yè)的領(lǐng)導(dǎo)者，恒豐公司以其專業(yè)的服務(wù)，質(zhì)量保證的產(chǎn)品以及創(chuàng)新的銷售策略贏得了廣大顧客的信任和贊譽(yù)。如今，恒豐公司計(jì)劃在南寧開展分公司。這是多年發(fā)展的自然結(jié)果，也是回應(yīng)南方市場(chǎng)需求的重要行動(dòng)?？偣咀湓谏钲?，作為中國的電子產(chǎn)品集散中心，恒豐公司利用了這個(gè)地理優(yōu)勢(shì)，獲取了持續(xù)豐富的產(chǎn)品線和優(yōu)質(zhì)的供應(yīng)鏈。對(duì)于這個(gè)新的開展計(jì)劃，恒豐公司提出了兩個(gè)關(guān)鍵的IT需求。首先，新的分公司與總公司之間的網(wǎng)絡(luò)互通是最基本的需求。分公司需要通過高速、穩(wěn)定的網(wǎng)絡(luò)連接訪問總公司的各類業(yè)務(wù)系統(tǒng)，包括ERP系統(tǒng)、CRM系統(tǒng)、產(chǎn)品庫存系統(tǒng)等。這不僅可以使分公司順利開展業(yè)務(wù)，也可以讓總公司實(shí)時(shí)了解分公司的銷售情況，作出快速的反應(yīng)其次，恒豐公司對(duì)網(wǎng)絡(luò)安全性有很高的要求，希望所有的網(wǎng)絡(luò)通信都能通過IPSec進(jìn)行加密，確保公司的數(shù)據(jù)和信息在互聯(lián)網(wǎng)上的傳輸是安全的，防止任何可能的數(shù)據(jù)泄露。這是對(duì)網(wǎng)絡(luò)設(shè)計(jì)的特別要求，也是對(duì)網(wǎng)絡(luò)設(shè)備和配置的一個(gè)挑戰(zhàn)。在滿足上述需求的同時(shí)，恒豐公司還希望考慮網(wǎng)絡(luò)系統(tǒng)的可擴(kuò)展性和易維護(hù)性。隨著公司業(yè)務(wù)的增長，網(wǎng)絡(luò)系統(tǒng)可能需要進(jìn)行擴(kuò)展，同時(shí)也需要可以方便地進(jìn)行維護(hù)和升級(jí)。為此，網(wǎng)絡(luò)設(shè)計(jì)必須考慮到這些因素，以滿足恒豐公司長期的業(yè)務(wù)需求。在恒豐公司的業(yè)務(wù)中，無疑客戶體驗(yàn)貫穿其中。銷售是公司的核心業(yè)務(wù)，而無線網(wǎng)絡(luò)無疑成為了驅(qū)動(dòng)和實(shí)現(xiàn)良好客戶體驗(yàn)的關(guān)鍵。無論是店內(nèi)的自助查詢系統(tǒng)，還是消費(fèi)者通過手機(jī)應(yīng)用檢查庫存情況，甚至是在排隊(duì)結(jié)賬過程中快速掃碼支付，都需要依賴穩(wěn)定、高速的無線網(wǎng)絡(luò)環(huán)境。為了實(shí)現(xiàn)這一目標(biāo)，恒豐公司在南寧分公司要搭建高可用的網(wǎng)絡(luò)環(huán)境，這具體涉及到幾個(gè)關(guān)鍵的技術(shù)因素：高速無線網(wǎng)絡(luò)：通過部署最新的無線技術(shù)，如Wi-Fi6或者更高版本，能夠?yàn)榭蛻艉蛦T工提供高速的網(wǎng)絡(luò)連接，從而確保流暢的在線體驗(yàn)。網(wǎng)絡(luò)覆蓋：確保無線網(wǎng)絡(luò)能覆蓋到分公司的每個(gè)角落，無論客戶在哪里，都能享受到穩(wěn)定的網(wǎng)絡(luò)服務(wù)。網(wǎng)絡(luò)冗余：通過設(shè)置多個(gè)獨(dú)立的網(wǎng)絡(luò)路徑，確保在一條網(wǎng)絡(luò)路徑出現(xiàn)問題的情況下，還有其他的網(wǎng)絡(luò)路徑可以繼續(xù)提供網(wǎng)絡(luò)服務(wù)。網(wǎng)絡(luò)安全：在提供高速和穩(wěn)定的網(wǎng)絡(luò)連接的同時(shí)，也不能忽視網(wǎng)絡(luò)的安全性。以防止?jié)撛诘木W(wǎng)絡(luò)攻擊，保護(hù)消費(fèi)者和公司的數(shù)據(jù)安全自動(dòng)運(yùn)維：部署基于AI的自動(dòng)運(yùn)維系統(tǒng)，可以自動(dòng)檢測(cè)和解決網(wǎng)絡(luò)問題，減少網(wǎng)絡(luò)中斷的風(fēng)險(xiǎn)，提高網(wǎng)絡(luò)的可用性。分公司的這項(xiàng)工作并不容易，但考慮到無線網(wǎng)絡(luò)對(duì)于提升客戶體驗(yàn)的重要性，這個(gè)投資是非常值得的?？偟膩碚f，恒豐公司需要專業(yè)的團(tuán)隊(duì)和合適的設(shè)備來保證網(wǎng)絡(luò)的質(zhì)量，以達(dá)到其業(yè)務(wù)目標(biāo)和滿足客戶期待。綜上，恒豐公司具有對(duì)業(yè)務(wù)系統(tǒng)穩(wěn)定性、數(shù)據(jù)安全性以及系統(tǒng)擴(kuò)展性和易維護(hù)性的特殊需求，這對(duì)網(wǎng)絡(luò)設(shè)計(jì)提出了一定的挑戰(zhàn)。但只要進(jìn)行充分的規(guī)劃與設(shè)計(jì)，恒豐公司的這些需求都是可以被滿足的。建設(shè)目標(biāo)根據(jù)上述需求分析，業(yè)務(wù)網(wǎng)的建設(shè)目標(biāo)可以概括為：搭建基礎(chǔ)網(wǎng)絡(luò)設(shè)施，實(shí)現(xiàn)基本的互聯(lián)互通，滿足企業(yè)上網(wǎng)需求。網(wǎng)絡(luò)分層，合理規(guī)劃，實(shí)現(xiàn)網(wǎng)絡(luò)高可用性。合理規(guī)劃無線設(shè)備，滿足員工和顧客上網(wǎng)需求。VLAN隔離顧客流量，保障公司內(nèi)網(wǎng)流量安全。實(shí)現(xiàn)分公司與總公司的互聯(lián)互通。映射分公司服務(wù)器給總公司訪問，方便總部統(tǒng)計(jì)數(shù)據(jù)和追溯數(shù)據(jù)。通過IPSec保護(hù)公司間流量安全。相關(guān)協(xié)議概述IPSec這是一種網(wǎng)絡(luò)安全協(xié)議，用于保護(hù)IP網(wǎng)絡(luò)上的數(shù)據(jù)流。IPSec能確保數(shù)據(jù)在傳輸過程中的完整性、保密性和防護(hù)身份。受保護(hù)的數(shù)據(jù)能夠抵抗各種網(wǎng)絡(luò)攻擊，例如竊聽、篡改和重放攻擊。IPSec協(xié)議作為一種標(biāo)準(zhǔn)的網(wǎng)絡(luò)數(shù)據(jù)安全傳輸協(xié)議，主要由三部分構(gòu)成，包括AH協(xié)議頭、ESP的安全負(fù)載封裝以及IKMP的密鑰管理。REF_Ref2504\r\h[9]盡管ESP的獨(dú)立安全負(fù)載封裝能夠包含所有數(shù)據(jù)并有效地確保了傳輸數(shù)據(jù)的完整性，但這種方式的封裝時(shí)間較長，使得處理效率相對(duì)較低。REF_Ref2981\r\h[10]REF_Ref2984\r\h[11]REF_Ref2987\r\h[12]傳統(tǒng)的網(wǎng)絡(luò)數(shù)據(jù)安全傳輸方式容易受到黑客攻擊的影響，其檢測(cè)入侵的數(shù)據(jù)的時(shí)間過長，導(dǎo)致了網(wǎng)絡(luò)數(shù)據(jù)的傳輸存在安全問題。為了克服這個(gè)難點(diǎn)，可以利用IPSec協(xié)議來檢測(cè)黑客對(duì)數(shù)據(jù)的入侵。REF_Ref3320\r\h[13]在傳輸過程中，IPSec的AH和ESP部分提供了數(shù)據(jù)源認(rèn)證和數(shù)據(jù)完整性保護(hù)。具體來說，AH可以對(duì)IP數(shù)據(jù)包頭和數(shù)據(jù)進(jìn)行完整性檢查和認(rèn)證，從而保證了數(shù)據(jù)的來源和發(fā)送者的身份，防止數(shù)據(jù)在傳輸過程中被篡改。而ESP則提供了數(shù)據(jù)的封裝，保護(hù)了數(shù)據(jù)的內(nèi)容不被窺視。IPSec協(xié)議是網(wǎng)絡(luò)數(shù)據(jù)安全傳輸?shù)年P(guān)鍵技術(shù)，它可以抵御多種網(wǎng)絡(luò)攻擊，確保網(wǎng)絡(luò)中的數(shù)據(jù)傳輸?shù)陌踩Ｍㄟ^進(jìn)一步的技術(shù)優(yōu)化和改進(jìn)，IPSec協(xié)議能夠在未來的網(wǎng)絡(luò)安全領(lǐng)域發(fā)揮更大的作用，為保障網(wǎng)絡(luò)數(shù)據(jù)的安全性提供更強(qiáng)大的保障。OSPFOSPF，全稱為開放最短路徑優(yōu)先，是一種內(nèi)部網(wǎng)關(guān)協(xié)議，主要服務(wù)于在一個(gè)自治系統(tǒng)（例如一個(gè)企業(yè)的網(wǎng)絡(luò)環(huán)境中）進(jìn)行IP流量路由。這種協(xié)議通過其獨(dú)特的算法來尋找最優(yōu)路徑，保證數(shù)據(jù)流能以最有效率的方式進(jìn)行傳輸，同時(shí)，它也具備自適應(yīng)和恢復(fù)網(wǎng)絡(luò)拓?fù)渥儎?dòng)的能力。OSPF協(xié)議的運(yùn)行基于一個(gè)目標(biāo)，就是尋找網(wǎng)絡(luò)上數(shù)據(jù)傳輸?shù)淖疃搪窂健＿@是通過一個(gè)稱為Dijkstra算法REF_Ref3921\r\h[14]的計(jì)算過程實(shí)現(xiàn)的，該算法在網(wǎng)絡(luò)中所有可能的路徑之間進(jìn)行逐一比較，最終確定出一條路由效率最高的路徑。換句話說，OSPF協(xié)議在找到數(shù)據(jù)傳輸?shù)淖罴崖酚芍?，就?huì)沿著這個(gè)路徑發(fā)送數(shù)據(jù)，進(jìn)而確保網(wǎng)絡(luò)傳輸?shù)男屎退俣取SPF協(xié)議還有能力對(duì)網(wǎng)絡(luò)拓?fù)涞淖兓M(jìn)行自動(dòng)適應(yīng)和恢復(fù)。當(dāng)網(wǎng)絡(luò)環(huán)境發(fā)生變動(dòng)時(shí)，比如設(shè)備故障或新的連接添加時(shí)，OSPF能夠自動(dòng)適應(yīng)這些變化并更新其路由表，簡(jiǎn)而言之，這意味著OSPF的路由方案并非一成不變，而是隨著網(wǎng)絡(luò)環(huán)境的改變而進(jìn)行調(diào)整。REF_Ref3973\r\h[15]OSPF協(xié)議通過其獨(dú)特的算法和自適應(yīng)能力簡(jiǎn)化了網(wǎng)絡(luò)管理員的工作，提高了數(shù)據(jù)傳輸?shù)男?，是?dāng)今網(wǎng)絡(luò)環(huán)境中不可或缺的一部分。VLANVLAN，全稱虛擬局域網(wǎng)，是一種網(wǎng)絡(luò)技術(shù)，允許將一個(gè)物理網(wǎng)絡(luò)劃分為多個(gè)邏輯上的獨(dú)立網(wǎng)絡(luò)。這種分割可以通過路由器、交換機(jī)或防火墻實(shí)現(xiàn)，從而優(yōu)化網(wǎng)絡(luò)的性能和安全性。NATServer，即網(wǎng)絡(luò)地址轉(zhuǎn)換服務(wù)器，主要是將私有網(wǎng)絡(luò)中的IP地址轉(zhuǎn)換為公網(wǎng)上可用的IP地址。這個(gè)過程使得多個(gè)設(shè)備能夠共享一個(gè)或多個(gè)公共IP地址，以在公共網(wǎng)絡(luò)環(huán)境下維持私有地址的連通性。REF_Ref4231\r\h[16]對(duì)于VLAN而言，技術(shù)的設(shè)計(jì)允許網(wǎng)絡(luò)管理員創(chuàng)建多個(gè)邏輯網(wǎng)絡(luò)，盡管他們可能仍然在同一物理網(wǎng)絡(luò)內(nèi)部。這給網(wǎng)絡(luò)管理帶來了無盡的可能性，例如，分隔數(shù)據(jù)流，提高網(wǎng)絡(luò)性能，增強(qiáng)安全性等。設(shè)備可以根據(jù)功能，部門或項(xiàng)目需求進(jìn)行分組，即使他們?cè)谖锢砩戏植荚诰W(wǎng)絡(luò)中的不同位置，也可以在邏輯上互相連接。這種分組策略增強(qiáng)了網(wǎng)絡(luò)的靈活性，并對(duì)增強(qiáng)各個(gè)部分的安全性產(chǎn)生了積極影響。NATServer，它在網(wǎng)絡(luò)通信中起著至關(guān)重要的作用，它將私人網(wǎng)絡(luò)中的IP地址映射到可以在公共網(wǎng)絡(luò)環(huán)境下使用的IP地址。即使私人網(wǎng)絡(luò)中有數(shù)以百計(jì)的設(shè)備，也可以通過NATServer共享一個(gè)或幾個(gè)公網(wǎng)IP地址輕松訪問互聯(lián)網(wǎng)。此外，NATServer在保護(hù)內(nèi)部網(wǎng)絡(luò)免受公網(wǎng)上的潛在攻擊方面也發(fā)揮著重要的作用。因?yàn)樵诖蠖鄶?shù)情況下，外部網(wǎng)絡(luò)無法直接查看或訪問私有IP地址，從而增加了網(wǎng)絡(luò)安全性。DHCPDHCP，即動(dòng)態(tài)主機(jī)配置協(xié)議，是一種核心網(wǎng)絡(luò)管理協(xié)議。它允許網(wǎng)絡(luò)管理員集中管理和自動(dòng)分配網(wǎng)絡(luò)的IP地址。當(dāng)設(shè)備連入網(wǎng)絡(luò)時(shí)，DHCP服務(wù)器將自動(dòng)分配一個(gè)IP地址，以確保設(shè)備的通信流暢。DHCP協(xié)議的核心作用是通過自動(dòng)分發(fā)IP地址，簡(jiǎn)化了網(wǎng)絡(luò)管理過程，以滿足不斷增長的互聯(lián)設(shè)備需求。一臺(tái)設(shè)備在接入網(wǎng)絡(luò)時(shí)，DHCP服務(wù)器會(huì)自動(dòng)分配一個(gè)IP地址給它，這個(gè)IP地址是網(wǎng)絡(luò)中唯一的，它識(shí)別了該設(shè)備，使得數(shù)據(jù)能夠正確、有效地在該設(shè)備和網(wǎng)絡(luò)中的其他設(shè)備之間進(jìn)行傳輸。DHCP服務(wù)器不僅分配IP地址，還提供其他網(wǎng)絡(luò)配置信息，如子網(wǎng)掩碼、默認(rèn)網(wǎng)關(guān)、DNS服務(wù)器等，這對(duì)于設(shè)備正確地在網(wǎng)絡(luò)中運(yùn)行是至關(guān)重要的。此外，由于IP地址是動(dòng)態(tài)分配的，因此當(dāng)設(shè)備不再需要這些地址時(shí)，這些地址將返回到地址池中以供其他設(shè)備使用。REF_Ref4724\r\h[17]DHCP的自動(dòng)化和集中化特性極大地簡(jiǎn)化了網(wǎng)絡(luò)管理的工作量。網(wǎng)絡(luò)管理員不再需要手動(dòng)為每臺(tái)設(shè)備分配IP地址。這大大提高了網(wǎng)絡(luò)運(yùn)行的效率，并使網(wǎng)絡(luò)管理員可以將更多的注意力放在其他高級(jí)任務(wù)上。DHCP是現(xiàn)代網(wǎng)絡(luò)不可或缺的一部分，它通過自動(dòng)化和集中化管理IP地址分配，簡(jiǎn)化了網(wǎng)絡(luò)運(yùn)維工作，提高了網(wǎng)絡(luò)運(yùn)行效率，確保了設(shè)備的正常通信。AC+AP在無線局域網(wǎng)（WLAN）技術(shù)中，接入點(diǎn)（AP）和接入控制器（AC）是兩個(gè)至關(guān)重要的網(wǎng)絡(luò)設(shè)備。AP充當(dāng)?shù)氖菬o線設(shè)備與有線網(wǎng)絡(luò)之間的‘橋梁’，使數(shù)據(jù)在無線和有線網(wǎng)絡(luò)之間實(shí)現(xiàn)順暢的傳輸，而AC則負(fù)責(zé)對(duì)這些AP進(jìn)行集中式管理。AC+AP的組合模式不僅可以提升無線網(wǎng)絡(luò)服務(wù)的穩(wěn)定性和效率，更使得大規(guī)模網(wǎng)絡(luò)管理變得更加方便有效。接入點(diǎn)（AccessPoint，簡(jiǎn)稱AP）在無線網(wǎng)絡(luò)中的作用類似于傳統(tǒng)有線網(wǎng)絡(luò)中的交換機(jī)。它是無線設(shè)備（如筆記本電腦、手機(jī)等）與有線網(wǎng)絡(luò)（例如企業(yè)網(wǎng)絡(luò)）之間的連接點(diǎn)，為無線設(shè)備提供接入網(wǎng)絡(luò)的通路，使其可以與網(wǎng)絡(luò)中的其他設(shè)備進(jìn)行通信。REF_Ref4904\r\h[18]而接入控制器（AccessController，簡(jiǎn)稱AC）的功能則更為全面且復(fù)雜。在網(wǎng)絡(luò)規(guī)模逐漸擴(kuò)大，AP數(shù)量增多的情況下，通過AC進(jìn)行集中管理能大大簡(jiǎn)化網(wǎng)絡(luò)運(yùn)維工作。AC進(jìn)行接入點(diǎn)的統(tǒng)一配置、管理和監(jiān)控，可以實(shí)現(xiàn)無線網(wǎng)絡(luò)的自動(dòng)優(yōu)化和故障快速定位等功能，而且具有良好的可擴(kuò)展性，可以方便地添加或替換AP，滿足無線網(wǎng)絡(luò)連續(xù)性和覆蓋范圍的需求。AC+AP聯(lián)合的工作模式為無線局域網(wǎng)提供了一種有效而穩(wěn)定的服務(wù)模式。通過有效的管理和配置，它們不僅能夠提供高效、穩(wěn)定的無線網(wǎng)絡(luò)服務(wù)，同時(shí)也為大規(guī)模的網(wǎng)絡(luò)管理提供了方便。此外，該模式還意味著網(wǎng)絡(luò)的可擴(kuò)展性和靈活性被極大地提高，無論是面對(duì)無線設(shè)備的增多還是網(wǎng)絡(luò)范圍的擴(kuò)大，AC+AP模式都能夠應(yīng)對(duì)自如，保證無線網(wǎng)絡(luò)服務(wù)的正常運(yùn)行。網(wǎng)絡(luò)規(guī)劃與設(shè)計(jì)網(wǎng)絡(luò)架構(gòu)設(shè)計(jì)恒豐公司業(yè)務(wù)對(duì)網(wǎng)絡(luò)的高可用性和可靠性有著嚴(yán)格的要求?；诖?，我們?cè)O(shè)計(jì)了一個(gè)分層的網(wǎng)絡(luò)架構(gòu)，目前部分行業(yè)的組網(wǎng)應(yīng)用開始出現(xiàn)網(wǎng)絡(luò)扁平化趨勢(shì)，Hub-And-Spoke組網(wǎng)就是一種典型的扁平化組網(wǎng)方式。和傳統(tǒng)的“核心層+匯聚層+接入層”組網(wǎng)相比，Hub-And-Spoke組網(wǎng)省略了匯聚層，核心層設(shè)備（Hub設(shè)備）直接和多個(gè)接入層設(shè)備（Spoke設(shè)備）相連，如圖4.1所示。這樣可以減少中間層網(wǎng)絡(luò)設(shè)備數(shù)量，簡(jiǎn)化網(wǎng)絡(luò)管理和方便網(wǎng)絡(luò)維護(hù)。另外，此組網(wǎng)還具有高擴(kuò)展性的特點(diǎn)，在今后網(wǎng)絡(luò)規(guī)模擴(kuò)大時(shí)只需要把核心層下移作為匯聚層，同時(shí)增加新的核心層設(shè)備即可實(shí)現(xiàn)完整的三層體系結(jié)構(gòu)，原有的網(wǎng)絡(luò)配置可以最大限度得到保留，實(shí)現(xiàn)網(wǎng)絡(luò)平滑擴(kuò)容。網(wǎng)絡(luò)整體設(shè)計(jì)見圖4.2，網(wǎng)絡(luò)按Hub-And-Spoke架構(gòu)進(jìn)行分層，AC部署在核心層，用于控制不同AP，計(jì)劃部署兩臺(tái)AC，分別負(fù)責(zé)不同的流量區(qū)域。圖4.1Hub-And-Spoke扁平化組網(wǎng)示意圖圖4.2網(wǎng)絡(luò)整體規(guī)劃分公司網(wǎng)絡(luò)隔離設(shè)計(jì)如果將Hub設(shè)備與所有Spoke設(shè)備規(guī)劃在同一個(gè)OSPF區(qū)域內(nèi)，讓Hub設(shè)備與所有Spoke設(shè)備之間維持OSPF鄰居關(guān)系。此時(shí)，Hub需要維護(hù)大量的無意義鄰居表，并且鏈路上充斥著大量OSPF協(xié)議流量，尤其是當(dāng)顧客設(shè)備變多之后，會(huì)影響到公司內(nèi)部數(shù)據(jù)傳輸，因此，從核心層將顧客流量和公司流量分離，核心層的交換機(jī)只連接自己管理的流量的接入層交換機(jī)，從物理層面隔離兩者，一方面可以保障公司業(yè)務(wù)安全，另一方面可以提高核心層Hub設(shè)備的性能。設(shè)備劃分設(shè)計(jì)見圖4.3。圖4.3流量隔離設(shè)計(jì)分公司無線網(wǎng)絡(luò)設(shè)計(jì)考慮到公司業(yè)務(wù)以銷售為主，因此，如何提高顧客上網(wǎng)體驗(yàn)是非常重要的?，F(xiàn)階段，無線組網(wǎng)以AC+AP和Mesh組網(wǎng)為主，Mesh組網(wǎng)各節(jié)點(diǎn)之間共享帶寬，當(dāng)流量變大之后節(jié)點(diǎn)之間會(huì)互相傳播重復(fù)流量，鏈路利用率不高。因此，在實(shí)際部署密集區(qū)域時(shí)，考慮使用AC+AP設(shè)計(jì)。為提高信號(hào)覆蓋，銷售區(qū)部署3個(gè)AP，招待區(qū)部署2個(gè)AP，辦公室部署2個(gè)AP，同時(shí)，銷售區(qū)和招待區(qū)的AP啟用無線漫游和信道優(yōu)選，一方面可以提高顧客上網(wǎng)體驗(yàn)，另一方面可以降低AP間的相互干擾。4.4無線組網(wǎng)設(shè)計(jì)圖公司間的連接方案設(shè)計(jì)因?yàn)榉止九c總公司距離較遠(yuǎn)，且業(yè)務(wù)來往密集，大量業(yè)務(wù)數(shù)據(jù)需要通過互聯(lián)網(wǎng)傳播，為提高安全性，在兩個(gè)公司的出口路由器進(jìn)行IPSec部署，通過一系列加密，保障異地業(yè)務(wù)流量的安全性。圖4.5公司間流量加密示意圖

網(wǎng)絡(luò)部署測(cè)試架構(gòu)設(shè)計(jì)測(cè)試拓?fù)湓O(shè)計(jì)本設(shè)計(jì)采用華為eNSP進(jìn)行模擬測(cè)試，測(cè)試拓?fù)淙鐖D5.1所示。主要網(wǎng)元設(shè)備有路由器、交換機(jī)、無線AC、無線AP和終端設(shè)備等。圖5.1測(cè)試拓?fù)錅y(cè)試網(wǎng)絡(luò)地址規(guī)劃 網(wǎng)絡(luò)地址規(guī)劃如表5.1所示，其中網(wǎng)關(guān)設(shè)備均為路由器子接口，并且使用子接口中間VLAN標(biāo)簽。表5.1地址規(guī)劃名稱子網(wǎng)范圍網(wǎng)關(guān)VLAN10/2454/24VLAN100/2454/24分公司公網(wǎng)IP1/2454/24總公司公網(wǎng)IP2/2454/24測(cè)試網(wǎng)絡(luò)接口規(guī)劃網(wǎng)絡(luò)接口規(guī)劃如表5.2，表中概述了各網(wǎng)元設(shè)備的連接情況。表5.2設(shè)備接口連接設(shè)備接口連接的設(shè)備連接的接口分公司路由器G0/0/0互聯(lián)網(wǎng)路由器G0/0/1G0/0/1Hub_1G0/0/0G0/0/2Hub_2G0/0/0互聯(lián)網(wǎng)路由器G0/0/1分公司路由器G0/0/0G0/0/2總公司路由器G0/0/0總公司路由器G0/0/0互聯(lián)網(wǎng)路由器G0/0/2Hub_1G0/0/1分公司路由器G0/0/1G0/0/2AC_E1G0/0/0G0/0/3Spoke_1G0/0/1G0/0/4Spoke_2G0/0/1Hub_2G0/0/1分公司路由器G0/0/2G0/0/2AC_G1G0/0/0G0/0/3Spoke_3G0/0/1G0/0/4Spoke_4G0/0/1AC_E1G0/0/0Hub_1G0/0/2AC_G1G0/0/0Hub_2G0/0/2Spoke_1G0/0/1Hub_1G0/0/3G0/0/2AP_E1G0/0/0G0/0/3PC1G0/0/4PC2G0/0/5PC3G0/0/6AP_E2G0/0/0G0/0/7Spoke_2G0/0/2Spoke_2G0/0/1Hub_1G0/0/4G0/0/2Spoke_1G0/0/7G0/0/3Ser_1G0/0/4Ser_2Spoke_3G0/0/1Hub_2G0/0/4G0/0/2Spoke_4G0/0/2G0/0/3AP_G1G0/0/0G0/0/4AP_G2G0/0/0Spoke_4G0/0/1Hub_2G0/0/3G0/0/2Spoke_3G0/0/2G0/0/3AP_G3G0/0/0G0/0/4AP_G4G0/0/0G0/0/5AP_G5G0/0/0AP_G1G0/0/0Spoke_3G0/0/3AP_G2G0/0/0Spoke_3G0/0/4AP_G3G0/0/0Spoke_4G0/0/3AP_G4G0/0/0Spoke_4G0/0/4AP_G5G0/0/0Spoke_4G0/0/5AP_E1G0/0/0Spoke_1G0/0/2AP_E2G0/0/0Spoke_1G0/0/6測(cè)試VLAN規(guī)劃VLAN規(guī)劃如表5.3，表中主要是陳述VLAN10和VLAN100的網(wǎng)元設(shè)備。表5.3VLAN地址規(guī)劃VLAN名稱劃分設(shè)備VLAN10Hub_1AC_E1Spoke_1Spoke_2VLAN100Hub_2AC_G1Spoke_3Spoke_4測(cè)試網(wǎng)絡(luò)部署接口地址配置[NanNing-GigabitEthernet0/0/0]ipaddress1//其他物理接口配置同理，不一一陳述[AC_E1]intv10[AC_E1-Vlanif10]ipaddress51[AC_E1-Vlanif10]dhcpselectglobal//配置邏輯接口IP被開啟全局地址池功能DHCP配置//配置員工地址池[AC_E1]ippoolEmployee[AC_E1]gateway-list54[AC_E1]networkmask[AC_E1]dns-list54[AC_E1]option43sub-option2ip-address5152//配置顧客地址池[AC_G1]ippoolGuest[AC_G1]gateway-list54[AC_G1]networkmask[AC_G1]excluded-ip-address5053[AC_G1]dns-list54[AC_G1]option43sub-option2ip-address5152VLAN配置//Hub_1VLAN劃分[Hub_1]interfaceGigabitEthernet0/0/1[Hub_1]portlink-typetrunk[Hub_1]porttrunkallow-passvlan10[Hub_1]interfaceGigabitEthernet0/0/2[Hub_1]portlink-typetrunk[Hub_1]porttrunkallow-passvlan10[Hub_1]interfaceGigabitEthernet0/0/3[Hub_1]portlink-typetrunk[Hub_1]porttrunkallow-passvlan10[Hub_1]interfaceGigabitEthernet0/0/4[Hub_1]portlink-typetrunk[Hub_1]porttrunkallow-passvlan10//Spoke_1VLAN劃分[Spoke_1]interfaceGigabitEthernet0/0/1[Spoke_1]portlink-typetrunk[Spoke_1]porttrunkallow-passvlan10[Spoke_1]interfaceGigabitEthernet0/0/2[Spoke_1]portlink-typeaccess[Spoke_1]portdefaultvlan10[Spoke_1]interfaceGigabitEthernet0/0/3[Spoke_1]portlink-typeaccess[Spoke_1]portdefaultvlan10[Spoke_1]interfaceGigabitEthernet0/0/4[Spoke_1]portlink-typeaccess[Spoke_1]portdefaultvlan10[Spoke_1]interfaceGigabitEthernet0/0/5[Spoke_1]portlink-typetrunk[Spoke_1]porttrunkallow-passvlan10[Spoke_1]interfaceGigabitEthernet0/0/6[Spoke_1]portlink-typeaccess[Spoke_1]portdefaultvlan10[Spoke_1]interfaceGigabitEthernet0/0/7[Spoke_1]portlink-typeaccess[Spoke_1]portdefaultvlan10//其他和AC配置類似，不一一列出OSPF配置//路由器宣告OSPF路由[NanNing]ospf5[NanNing]default-route-advertise[NanNing]area[NanNing]network55[NanNing]network55[NanNing]network55[AC_E1-ospf-5]area[AC_E1-ospf-5]network55//兩臺(tái)AC宣告OSPF路由[AC_G1-ospf-5]area[AC_G1-ospf-5]network55IPSec配置//分別在NanNing和ShenZhen上配置接口的IP地址和到對(duì)端的靜態(tài)路由//在NanNing上配置接口的IP地址。<Huawei>system-view[Huawei]sysnameNanNing[NanNing]interfacegigabitethernet0/0/0[NanNing-GigabitEthernet0/0/0]ipaddress1[NanNing-GigabitEthernet0/0/0]quit//在NanNing上配置到對(duì)端的靜態(tài)路由，此處對(duì)端的下一跳地址為54。[NanNing]iproute-static54//在ShenZhen上配置接口的IP地址。<Huawei>system-view[Huawei]sysnameShenZhen[ShenZhen]interfacegigabitethernet0/0/0[ShenZhen-GigabitEthernet0/0/0]ipaddress2[ShenZhen-GigabitEthernet0/0/0]quit[ShenZhen-GigabitEthernet0/0/2]quit//在ShenZhen上配置到對(duì)端的靜態(tài)路由，此處假設(shè)到對(duì)端下一跳地址為。[ShenZhen]iproute-static54//分別在NanNing和ShenZhen上配置ACL，定義各自要保護(hù)的數(shù)據(jù)流//在NanNing上配置ACL，定義由子網(wǎng)數(shù)據(jù)流。[NanNing]aclnumber3333[NanNing-acl-adv-3333]rulepermitipsource55destination55[NanNing-acl-adv-3333]quit//在ShenZhen上配置ACL，定義由子網(wǎng)數(shù)據(jù)流。[ShenZhen]aclnumber3333[ShenZhen-acl-adv-3333]rulepermitipsource55destination55[ShenZhen-acl-adv-3333]quit//分別在NanNing和ShenZhen上創(chuàng)建IPSec安全提議//在NanNing上配置IPSec安全提議。[NanNing]ipsecproposaltran33[NanNing-ipsec-proposal-tran33]espauthentication-algorithmsha2-256[NanNing-ipsec-proposal-tran33]espencryption-algorithmaes-128[NanNing-ipsec-proposal-tran33]quit//在ShenZhen上配置IPSec安全提議。[ShenZhen]ipsecproposaltran33[ShenZhen-ipsec-proposal-tran33]espauthentication-algorithmsha2-256[ShenZhen-ipsec-proposal-tran33]espencryption-algorithmaes-128[ShenZhen-ipsec-proposal-tran33]quit//此時(shí)分別在NanNing和ShenZhen上執(zhí)行displayipsecproposal會(huì)顯示所配置的信息。//分別在NanNing和ShenZhen上配置IKE對(duì)等體//在NanNing上配置IKE安全提議。[NanNing]ikeproposal5[NanNing-ike-proposal-5]encryption-algorithmaes-128[NanNing-ike-proposal-5]authentication-algorithmsha2-256[NanNing-ike-proposal-5]dhgroup14[NanNing-ike-proposal-5]quit//在NanNing上配置IKE對(duì)等體，并根據(jù)默認(rèn)配置，配置預(yù)共享密鑰和對(duì)端ID。//這里開啟IKE對(duì)等體版本號(hào)為IKEv1。缺省情況下，對(duì)等體IKEv1和IKEv2版本同時(shí)啟用，如果同時(shí)開啟IKEv1協(xié)議和IKEv2協(xié)議，設(shè)備發(fā)起協(xié)商時(shí)會(huì)使用IKEv2協(xié)議，響應(yīng)協(xié)商時(shí)則同時(shí)支持IKEv1協(xié)議和IKEv2協(xié)議。使用命令undoversion2，只開啟IKEv1版本建立IKE對(duì)等體；使用命令undoversion1，只開啟IKEv2版本建立IKE對(duì)等體。[NanNing]ikepeerspub[NanNing-ike-peer-spub]undoversion2[NanNing-ike-peer-spub]ike-proposal5[NanNing-ike-peer-spub]pre-shared-keyciphershenzhennanningyijiaqin[NanNing-ike-peer-spub]remote-address2[NanNing-ike-peer-spub]quit//在ShenZhen上配置IKE安全提議。[ShenZhen]ikeproposal5[ShenZhen-ike-proposal-5]encryption-algorithmaes-128[ShenZhen-ike-proposal-5]authentication-algorithmsha2-256[ShenZhen-ike-proposal-5]dhgroup14[ShenZhen-ike-proposal-5]quit//在ShenZhen上配置IKE對(duì)等體，并根據(jù)默認(rèn)配置，配置預(yù)共享密鑰和對(duì)端ID。[ShenZhen]ikepeerspua[ShenZhen-ike-peer-spua]undoversion2[ShenZhen-ike-peer-spua]ike-proposal5[ShenZhen-ike-peer-spua]pre-shared-keyciphershenzhennanningyijiaqin[ShenZhen-ike-peer-spua]remote-address1[ShenZhen-ike-peer-spua]quit//分別在NanNing和ShenZhen上創(chuàng)建安全策略//在NanNing上配置IKE動(dòng)態(tài)協(xié)商方式安全策略。[NanNing]ipsecpolicynanning10isakmp[NanNing-ipsec-policy-isakmp-nanning-10]ike-peerspub[NanNing-ipsec-policy-isakmp-nanning-10]proposaltran33[NanNing-ipsec-policy-isakmp-nanning-10]securityacl3333[NanNing-ipsec-policy-isakmp-nanning-10]quit//在ShenZhen上配置IKE動(dòng)態(tài)協(xié)商方式安全策略。[ShenZhen]ipsecpolicyshenzhen10isakmp[ShenZhen-ipsec-policy-isakmp-shenzhen-10]ike-peerspua[ShenZhen-ipsec-policy-isakmp-shenzhen-10]proposaltran33[ShenZhen-ipsec-policy-isakmp-shenzhen-10]securityacl3333[ShenZhen-ipsec-policy-isakmp-shenzhen-10]quit//分別在NanNing和ShenZhen的接口上應(yīng)用各自的安全策略組，使接口具有IPSec的保護(hù)功能//在NanNing的接口上引用安全策略組。[NanNing]interfacegigabitethernet0/0/0[NanNing-GigabitEthernet0/0/0]ipsecpolicynanning[NanNing-GigabitEthernet0/0/0]quit//在ShenZhen的接口上引用安全策略組。[ShenZhen]interfacegigabitethernet0/0/0[ShenZhen-GigabitEthernet0/0/0]ipsecpolicyshenzhen[ShenZhen-GigabitEthernet0/0/0]quitAP上線配置//以AC_E1為示例，AC_G1配置類似，不再列出//配置AC_E1作為DHCP服務(wù)器，為STA分配IP地址//配置基于接口地址池的DHCP服務(wù)器，VLANIF101為STA提供IP地址。[AC_E1]ippoolEmployee[AC_E1]gateway-list54[AC_E1]networkmask[AC_E1]dns-list54[AC_E1]option43sub-option2ip-address5152//配置AC_E1的系統(tǒng)參數(shù)//配置AC_E1的國家碼。[AC_E1]wlan[AC_E1-wlan-view]country-codecn//配置WLAN業(yè)務(wù)參數(shù)//創(chuàng)建名為“employee”的安全模板，并配置安全策略。舉例中以配置WPA-WPA2+PSK+AES的安全策略為例，密碼為“a1234567”，實(shí)際配置中請(qǐng)根據(jù)實(shí)際情況，配置符合實(shí)際要求的安全策略。[AC_E1-wlan-view]security-profilenameemployee[AC_E1-wlan-sec-prof-employee]securitywpa-wpa2pskpass-phraseemployeeaes[AC_E1-wlan-sec-prof-employee]quit//創(chuàng)建名為“employee”的SSID模板，并配置SSID名稱為“employee”。[AC_E1-wlan-view]ssid-profilenameemployee[AC_E1-wlan-ssid-prof-employee]ssidemployee[AC_E1-wlan-ssid-prof-employee]quit//創(chuàng)建名為“employee”的VAC_E1模板，配置業(yè)務(wù)VLAN，并且引用安全模板和SSID模板。[AC_E1-wlan-view]vAC_E1-profilenameemployee[AC_E1-wlan-vAC_E1-prof-employee]service-vlanvlan-id101[AC_E1-wlan-vAC_E1-prof-employee]security-profileemployee[AC_E1-wlan-vAC_E1-prof-employee]ssid-profileemployee[AC_E1-wlan-vAC_E1-prof-employee]quit//配置VAC_E1和AC_E1射頻參數(shù)射頻的信道和功率自動(dòng)調(diào)優(yōu)功能默認(rèn)開啟，如果不關(guān)閉此功能則會(huì)導(dǎo)致手動(dòng)配置不生效。舉例中AC_E1射頻的信道和功率僅為示例，實(shí)際配置中請(qǐng)根據(jù)AC_E1的國家碼和網(wǎng)規(guī)結(jié)果進(jìn)行配置。//關(guān)閉AC_E1射頻的信道和功率自動(dòng)調(diào)優(yōu)功能，并配置AC_E1射頻的信道和功率。[AC_E1]interfacewlan-radio0/0/0[AC_E1-Wlan-Radio0/0/0]vAC_E1-profileemployeewlan2[AC_E1-Wlan-Radio0/0/0]calibrateauto-channel-selectdisable[AC_E1-Wlan-Radio0/0/0]calibrateauto-txpower-selectdisable[AC_E1-Wlan-Radio0/0/0]channel20mhz6Warning:Thisactionmaycauseserviceinterruption.Continue?[Y/N]y[AC_E1-Wlan-Radio0/0/0]eirp127[AC_E1-Wlan-Radio0/0/0]quit[AC_E1]interfacewlan-radio0/0/1[AC_E1-Wlan-Radio0/0/1]vAC_E1-profileemployeewlan2[AC_E1-Wlan-Radio0/0/1]calibrateauto-channel-selectdisable[AC_E1-Wlan-Radio0/0/1]calibrateauto-txpower-selectdisable[AC_E1-Wlan-Radio0/0/1]channel20mhz149Warning:Thisactionmaycauseserviceinterruption.Continue?[Y/N]y[AC_E1-Wlan-Radio0/0/1]eirp127[AC_E1-Wlan-Radio0/0/1]quitNATServer配置為方便總公司訪問分公司的服務(wù)器，將分公司服務(wù)器通過NAT映射出去，綁定8888端口。//定義NATServer，將內(nèi)網(wǎng)的518888端口映射到公網(wǎng)的8888端口上，綁定TCP協(xié)議[nanning]natserverprotocoltcpglobal18888inside518888

測(cè)試與驗(yàn)證AP上線驗(yàn)證通過eNSP視圖層，見圖6.1可以確認(rèn)，此時(shí)AP已經(jīng)發(fā)出信號(hào)。通過AC的display命令查看兩臺(tái)AC的所有AP和VAP工作情況，AC_G1的AP工作情況見圖6.2。AC_E1的AP工作情況見圖6.3。圖6.1eNSP視圖層AP信號(hào)圖6.2AC_G1AP工作情況圖6.3AC_E1AP工作情況OSPF驗(yàn)證查看OSPF宣告情況，見圖6.4，可以看到已經(jīng)正確宣告路由并且注入了默認(rèn)路由，接著，查看路由器的OSPF的三張表，以驗(yàn)證OSPF的工作情況，見圖6.5和6.6。又因?yàn)槁酚善髋c所有網(wǎng)段都是直連關(guān)系，因此不能體現(xiàn)出OSPF路由表的意義，故選擇AC_G1上查看OSPF路由器，見圖6.7。圖6.4路由器OSPF路由宣告情況圖6.5路由器OSPF鄰居表圖6.6路由器OSPFLSDB圖6.7AC_G1OSPF路由表DHCP驗(yàn)證和VLAN隔離測(cè)試在辦公室PC上打開DHCP功能，然后通過IPCONFIG命令查看IP詳情，接著，通過PING命令測(cè)試PC與網(wǎng)關(guān)54的連通性和51的隔離性。見圖6.8到6.10，其中，因?yàn)?4和54屬于路由器的IP地址，它們是左右手關(guān)系，它們通訊本質(zhì)上不需要經(jīng)過端口，因此端口的隔離規(guī)則對(duì)它們之間無效，但是51因?yàn)椴皇锹酚善鲀?nèi)部IP，因此端口的過濾規(guī)則對(duì)其有效，以此驗(yàn)證了VLAN內(nèi)通訊的有效性和VLAN間通訊的隔離性。圖6.8PC打開DHCP配置圖6.9PCIP詳情圖6.10VLAN聯(lián)通性和隔離性測(cè)試無線設(shè)備測(cè)試新建一臺(tái)STA，連接上AC_G1的WIFI，檢查是否獲取到了IP地址，然后，AP通過Ping命令查看其與網(wǎng)關(guān).254的聯(lián)通性，接著Ping外網(wǎng)IP以測(cè)試上網(wǎng)功能。STA連接網(wǎng)絡(luò)情況和IP地址獲取見圖6.11，AP與外網(wǎng)連通性見圖6.12和圖6.13。圖6.11無線設(shè)備連通WIFI并且獲取到了IP6.12AP與網(wǎng)關(guān)聯(lián)通性6.13AP與外網(wǎng)連通性NATServer測(cè)試//在總公司路由器上配置NQA測(cè)試，以模擬外網(wǎng)TCP訪問內(nèi)網(wǎng)服務(wù)器51的8888端口。[ShenZhen-nqa-admin-test]nqatest-instanceadmintest[ShenZhen-nqa-admin-test]test-typetcp[ShenZhen-nqa-admin-test]destination-addressipv41[ShenZhen-nqa-admin-test]destination-port8888[ShenZhen-nqa-admin-test]startnow通過抓包軟件可以看到，已經(jīng)成功映射,間圖6.14。圖6.14內(nèi)網(wǎng)服務(wù)器成功映射IPSec驗(yàn)證首先查看IPSec是否正常工作，如圖6.15，可以看到本地IP和遠(yuǎn)端IP都已經(jīng)正確配置。配置成功后，此時(shí)公司它間的數(shù)據(jù)傳輸將被加密，執(zhí)行命令displayipsecstatistics可以查看數(shù)據(jù)包的統(tǒng)計(jì)信息，見圖6.16。圖6.15IPSecsa信息圖6.16兩司加密信息統(tǒng)計(jì)測(cè)試總結(jié)在6.2中完成了互聯(lián)互通測(cè)試，驗(yàn)證了企業(yè)上網(wǎng)功能正常實(shí)現(xiàn)，完成了建設(shè)目標(biāo)1。一方面公司整體拓?fù)浠贖ubandspoke二層設(shè)計(jì)，省略了匯聚層，在設(shè)備增多后可以把核心層下降為匯聚層，再加入新設(shè)備作為核心層。另一方面，在6.3和6.4的測(cè)試中通過劃分VLAN從二層保護(hù)了顧客和員工流量的安全性，另外驗(yàn)證了公司內(nèi)部流量和顧客流量的隔離性，Hub設(shè)備只需維護(hù)局部OSPF流量，負(fù)擔(dān)減輕，AP成功訪問外網(wǎng)IP，基于上訴驗(yàn)證完成了建設(shè)目標(biāo)2、3、4和5。通過6.5的NAT測(cè)試和6.6的IPSec驗(yàn)證，確認(rèn)建設(shè)目標(biāo)6和7完成。

總結(jié)與展望全文總結(jié)綜上所述，本文基于恒豐公司搭建分公司網(wǎng)絡(luò)為背景，描述了恒豐公司業(yè)務(wù)網(wǎng)絡(luò)的規(guī)劃、部署和測(cè)試過程。通過一系列測(cè)試驗(yàn)證了建設(shè)目標(biāo)的完成性，現(xiàn)在對(duì)全文所做工作進(jìn)行總結(jié)。搭建了基于有線和無線的網(wǎng)絡(luò)設(shè)施，使用OSPF協(xié)議維護(hù)路由，滿足了基本新公司上網(wǎng)需求?；贖ub_Spoke分層，不但減少了設(shè)備需要維護(hù)的協(xié)議流量，而且保留了后期升級(jí)空間，通過合理規(guī)劃VLAN，保證了網(wǎng)絡(luò)的高可用性。通過配置不同的SSID和安全模板，區(qū)分了不同的服務(wù)對(duì)象，保證了員工和顧客流量的安全性，另外通過合理規(guī)劃AP，特別是銷售區(qū)的AP數(shù)量，保證了用戶的上網(wǎng)體驗(yàn)。通過為顧客和員工劃分不同的VLAN，并且兩個(gè)Hu