Hola a todos, soy el mayor Xiaohua, un bloguero en el campo de la informática. Después de años de estudio y práctica, he acumulado un rico conocimiento y experiencia en informática. Aquí me gustaría compartir mi experiencia de aprendizaje y mis habilidades contigo para ayudarte a convertirte en un mejor programador.
Como blogger informático, me he centrado en programación, algoritmos, desarrollo de software y otros campos, y he acumulado mucha experiencia en estas áreas. Creo que compartir es una situación en la que todos ganan. Al compartir, puedo ayudar a otros a mejorar su nivel técnico y al mismo tiempo tener la oportunidad de aprender y comunicarse.
En mis artículos, verá mi análisis y análisis de varios lenguajes de programación, herramientas de desarrollo y problemas comunes. Le proporcionaré soluciones prácticas y técnicas de optimización basadas en mi experiencia real en proyectos. Creo que estas experiencias no solo lo ayudarán a resolver los problemas que enfrenta actualmente, sino que también mejorarán su pensamiento en programación y sus habilidades para resolver problemas.
Además de compartir aspectos técnicos, también tocaré algunos temas sobre desarrollo profesional y métodos de aprendizaje. Como ex alumno, sé cómo superarme mejor y afrontar los desafíos en el campo de la informática. Compartiré algunos métodos de aprendizaje, habilidades para entrevistas y experiencias laborales, con la esperanza de tener un impacto positivo en su desarrollo profesional.
Mis artículos se publicarán en la comunidad CSDN, que es una comunidad de tecnología informática muy activa y profesional. Aquí podrás comunicarte, aprender y compartir con otras personas amantes de la tecnología. Si sigue mi blog, podrá obtener mis últimos artículos lo antes posible e interactuar conmigo y con otros lectores.
Si está interesado en el campo de la informática y espera mejorar sus habilidades de programación y su nivel técnico, siga mi blog de CSDN. ¡Creo que lo que comparto te ayudará e inspirará, permitiéndote lograr un mayor éxito en el campo de la informática!
¡Convirtámonos juntos en mejores programadores y exploremos juntos el maravilloso mundo de la informática! ¡Gracias por su atención y apoyo!
Todos los códigos fuente de proyectos informáticos compartidos incluyen documentos y pueden usarse para proyectos de graduación o diseños de cursos. ¡Bienvenido a dejar un mensaje para compartir preguntas e intercambiar experiencias!
Resumen
El rápido desarrollo de la economía nacional y el rápido desarrollo de la informatización marcan la llegada de la era de la información. Con el desarrollo de la ciencia y la tecnología y la ubicuidad de Internet, los usuarios tienen cada vez mayores necesidades y requisitos para la red. No solo se requiere que los usuarios puedan acceder a la red externa y compartir recursos de la red, sino que también deben garantizar la seguridad. de la red en función de la consecución de los mismos: Estabilidad y seguridad. Para algunas empresas o usuarios que son más sensibles a la red, tienen mayores requisitos para la red, así como para la estabilidad y seguridad de la red.
Esta vez, mi proyecto de graduación trata principalmente sobre planificación y diseño de redes. Tomando como fondo la red empresarial, planifico y diseño la red de una empresa mediana. La empresa tiene su sede en Nanjing y una sucursal en Changzhou. Necesita ser accesible para la sede y la sucursal. La red externa permite a los usuarios o hosts de la sucursal acceder a los recursos del servidor de la sede y garantiza la seguridad de los datos. La sede puede tener varios departamentos y es necesario evitar que algunos departamentos accedan a algunos departamentos importantes y limitar la conectividad entre algunos departamentos. El diseño de la topología de la red utiliza la capa de acceso clásica y la capa central. La capa de acceso conecta las terminales de usuario, las impresoras y los servidores; la puerta de enlace interna del usuario de la sede se configura en el conmutador de la capa central. Se implementan dos conmutadores centrales y se virtualizan en uno a través de tecnología de agrupación en clústeres El conmutador de capa está conectado al enrutador de salida y el enrutamiento OSPF dinámico se configura entre el enrutador y el enrutador para lograr la conectividad de red. El diseño de topología de la red de sucursales utiliza una estructura de dos capas (capa de acceso, capa central): la capa de acceso conecta los terminales de los usuarios y la capa central configura las puertas de enlace de los usuarios. Implemente una VPN entre la sede y las sucursales y configure la VPN IPsec para lograr el acceso mutuo entre la sede y las sucursales según la red pública de Internet.
La simulación del diseño de la red se simula a través del simulador ensp de Huawei, y se agregan algunos equipos de red, conmutadores de capa 2, conmutadores de capa 3, enrutadores, PC y servidores para la conexión de red. Logre conectividad de red a través de configuraciones relevantes y realice pruebas relacionadas con la red.
Palabras clave: red empresarial; planificación de red; VPN IPsec
ABSTRACTO
El rápido desarrollo de la economía nacional y la informatización marcan la llegada de la era de la información. Con el desarrollo de la ciencia y la tecnología y la existencia generalizada de la red, la demanda y los requisitos de los usuarios para la red son cada vez más altos, no solo para satisfacer los requisitos de los usuarios pueden estar en la red externa, para compartir recursos de la red, para lograrlos sobre la base de la necesidad de garantizar la estabilidad y seguridad de la red. Para algunas empresas o usuarios que son más sensibles a la red, los requisitos de la red son mayores y la estabilidad y seguridad de la red también son mayores.
Esta vez mi diseño de graduación es principalmente para la planificación y el diseño de redes, su experiencia en redes empresariales, para la planificación y el diseño de redes de empresas medianas, la empresa tiene su sede en Nanjing, en Changzhou tiene una sucursal, la necesidad de implementar una sede y una sucursal Office para poder acceder a la red, puede permitir que los usuarios dentro de la sucursal o host accedan a la sede de los recursos del servidor y garantizar la seguridad de los datos. La sede puede tener varios departamentos y a algunos se les debe negar el acceso a departamentos importantes y una conectividad limitada entre algunos departamentos. El diseño de la topología de la red utiliza la capa de acceso y la capa central clásicas. La capa de acceso conecta la PC terminal del usuario, la impresora y el servidor. La puerta de enlace de usuario interna de la sede está configurada en el conmutador de capa central. Se implementan y virtualizan dos conmutadores centrales en uno mediante la técnica de agrupación en clústeres. El conmutador de capa central está conectado con el enrutador de exportación y configurado con enrutamiento OSPF dinámico entre el enrutador para lograr la conectividad de red. El diseño de topología de la red de sucursales utiliza una estructura de dos capas (capa de acceso, capa central), la capa de acceso conecta el terminal del usuario y la capa central configura la puerta de enlace del usuario. La VPN se implementa entre la sede y la sucursal, y el acceso mutuo entre la sede y la sucursal se realiza configurando la VPN IPSec sobre la base de la red pública de Internet. El diseño de topología de la red de sucursales utiliza una estructura de dos capas (capa de acceso, capa central), la capa de acceso conecta el terminal del usuario y la capa central configura la puerta de enlace del usuario. La VPN se implementa entre la sede y la sucursal, y el acceso mutuo entre la sede y la sucursal se realiza configurando la VPN IPSec sobre la base de la red pública de Internet. El diseño de topología de la red de sucursales utiliza una estructura de dos capas (capa de acceso, capa central), la capa de acceso conecta el terminal del usuario y la capa central configura la puerta de enlace del usuario. La VPN se implementa entre la sede y la sucursal, y el acceso mutuo entre la sede y la sucursal se realiza configurando la VPN IPSec sobre la base de la red pública de Internet.
A través de la simulación del simulador ENSP de Huawei, se agregan algunos equipos de red para realizar la conexión de red con el conmutador de Capa 2, el conmutador de Capa 3, el enrutador, la PC y el servidor. A través de la configuración relevante para lograr la conectividad de la red y pruebas relacionadas con la red.
Palabras clave : Red Empresarial; Planificación de redes; VPN IPSec
1. Introducción
1.1 Antecedentes
Este tema utiliza la construcción de redes de medianas empresas como base para realizar la planificación, el diseño y la simulación de la red. La empresa tiene una oficina central y una sucursal. La oficina central tiene un departamento de recursos humanos, un departamento de marketing, un departamento de investigación científica, un departamento de información, un departamento administrativo, etc. La sucursal tiene un departamento administrativo, un departamento de investigación científica. y un departamento de marketing. Los diferentes departamentos se dividen en diferentes VLAN y se asignan diferentes segmentos de direcciones IP entre diferentes VLAN. Se requiere acceso mutuo entre la sede y las sucursales.
1.2 Tendencia de desarrollo
El rápido desarrollo de la economía de mercado y la popularización de las redes informáticas han hecho que Internet esté cada vez más estrechamente relacionada con la vida cotidiana de las personas. En nuestra vida diaria, las redes se pueden ver en todas partes, incluidas redes móviles, redes cableadas, redes inalámbricas, videovigilancia y ojos electrónicos, etc. No hay duda de que la popularidad de Internet ha aportado una gran comodidad a nuestras vidas y, al mismo tiempo, la seguridad de nuestra vida está prácticamente garantizada. Por ejemplo: la aparición de los ojos electrónicos no sólo garantiza la seguridad del tráfico, sino que también garantiza la seguridad de nuestras vidas. En segundo lugar, la popularidad de las redes inalámbricas también ha aportado muchas comodidades a nuestras vidas: nos permite acceder a Internet sin las restricciones de las redes cableadas. Las personas pueden disfrutar navegando por Internet en cualquier momento y en cualquier lugar con un iPad y un teléfono móvil. Se cree que en un futuro próximo, la popularidad y la escala de desarrollo de las redes informáticas serán cada vez mayores. Al mismo tiempo, el desarrollo de las redes inalámbricas es una tendencia inevitable. Las redes inalámbricas actuales todavía tienen algunas fallas, como la seguridad. de las redes inalámbricas, y la estabilidad de las señales de las redes inalámbricas siempre ha sido una preocupación para nosotros.
1.3 Significado
En la era de la información actual, Internet se puede ver en todas partes de nuestras vidas. El desarrollo de redes informáticas hace que el modelo de arquitectura de red tradicional no pueda satisfacer las necesidades de los usuarios empresariales existentes. La popularización de las redes informáticas también ha aportado muchas comodidades a nuestra vida diaria y a nuestro trabajo. No sólo mejora en gran medida nuestra eficiencia en el trabajo, sino que también enriquece nuestras actividades de entretenimiento y ocio. Al mismo tiempo, el rápido desarrollo de la red también ha impulsado el desarrollo de la economía social.
2. Análisis de las necesidades empresariales
2.1 Descripción general del proyecto
Este diseño está destinado principalmente a empresas medianas que cuentan con edificios de oficinas de dos pisos. La empresa tiene una sede y una sucursal. Hay principalmente departamento de personal, departamento de marketing, departamento de investigación científica, departamento de información, departamento administrativo, etc. La sucursal tiene un departamento administrativo, un departamento de investigación científica y un departamento de marketing. La sala de computadoras principal está implementada en el primer piso y hay una pequeña sala de computadoras en el segundo piso. El primer piso incluye principalmente el Departamento de Recursos Humanos, el Departamento de Marketing y el Departamento de Investigación Científica. Hay aproximadamente 4 personas en el departamento de recursos humanos, 40 personas en el departamento de marketing y en el departamento de investigación científica, y un total de 45 PC. El segundo piso alberga principalmente el Departamento de Información y el Departamento de Administración, con un total de 60 personas y 60 PC.
2.2 Análisis de la demanda de los usuarios
(1) La sede corporativa y las sucursales tienen varios departamentos, y cada departamento debe dividirse en una VLAN por separado. La ID de VLAN la puede planificar usted mismo.
(2) Los departamentos de la sede corporativa deben poder compartir recursos internos, y algunos recursos y datos entre departamentos pueden acceder entre sí.
(3) Implementar 2 equipos centrales
(4) Es necesario proteger los recursos de los servidores internos de la sede para minimizar ataques innecesarios.
(5) Teniendo en cuenta los fondos de la empresa, la sede de la empresa solicitó al operador de red ISP una dirección en el segmento de red 200.200.200.0/29. Sólo hay 6 direcciones de red pública. Si desea que los usuarios internos accedan a la red externa, debe utilizar la traducción de direcciones de red. Según la traducción del puerto, se convierte en la dirección de interfaz de salida del dispositivo de salida de la empresa.
(6) La empresa tiene sus propias sucursales y la sede y las sucursales deben visitarse entre sí. Para ahorrar costes y garantizar una transmisión segura de los datos de la red, es necesario establecer una VPN IPsec entre la sede y las sucursales.
(7) La oficina central se divide en departamento de personal, departamento de marketing, departamento de investigación científica, departamento de información y departamento de administración. Divida diferentes departamentos en diferentes VLAN para lograr la intercomunicación entre redes. El departamento de administración de sucursales, el departamento de investigación científica y el departamento de marketing logran la interoperabilidad entre redes.
2.3 Análisis de la demanda del servidor
(1) Servidor WEB: casi todas las empresas tienen su propio sitio web, que puede promocionar su empresa en el mundo exterior y aumentar en gran medida la visibilidad y la atención de la empresa. El servidor WEB puede ser accedido y navegado por usuarios internos de la sede corporativa, usuarios internos de sucursales y usuarios de la red externa. Si necesita lograr acceso de usuario a la red externa, debe realizar una traducción de direcciones estáticas en el servidor WEB.
(2) Servidor FTP: el servidor de transferencia de archivos FTP puede guardar información principal y videos de los usuarios internos de la empresa, así como algunos software y herramientas de uso común. El servidor FTP requiere suficiente espacio en disco o almacenamiento para poder guardar y compartir datos de usuario internos. Puede establecer permisos para algunos archivos importantes y materiales relacionados. Para acceder a servidores FTP, puede establecer nombres de usuario y contraseñas, y también puede configurar permisos de lectura y escritura para archivos o materiales compartidos para garantizar la seguridad.
(3) Servidor DHCP: hay muchos usuarios en la sede y no todos los empleados conocen la configuración de direcciones IP y las configuraciones relacionadas. Para reducir la carga de trabajo de los administradores y usuarios de la red, generalmente las empresas asignan direcciones IP dinámicamente a través de DHCP. asignar direcciones IP a los usuarios. El servidor DHCP se puede configurar en dispositivos de red como conmutadores y enrutadores de capa 3, o se puede usar un servidor dedicado para configurar el servidor DHCP. La implementación de un servidor DHCP evita conflictos de direcciones IP de configuración del usuario y reduce la carga de trabajo de los administradores de red.
(4) Servidor DNS: el servidor de nombres de dominio DNS facilita el acceso de los usuarios a algunos sitios web mediante la configuración de la asignación correspondiente entre nombres de dominio y direcciones IP. La memoria del usuario promedio para las direcciones IP no es muy fuerte y es difícil recordarlas cuando hay muchas direcciones IP. Hoy en día, hay muchos sitios web y es muy problemático recordar esas direcciones IP. El servidor de nombres de dominio DNS configura la asignación correspondiente entre el nombre de dominio y la dirección IP, ingresa el nombre de dominio correspondiente en el navegador y, después de encontrar la dirección IP correspondiente, el acceso es transparente para el usuario.
2.4 Análisis de las necesidades de seguridad de la red
(1) Prevenir la suplantación de direcciones IP externas
(2) Controlar que las direcciones IP ilegales de la red interna ingresen a la red externa. La empresa planea usar IP internamente y conectarse a la red externa a través del protocolo de traducción de direcciones para evitar que los usuarios de la red externa se entrometan en la empresa.
(3) Control de acceso a los hosts de recursos de la intranet
(4) Prevenir la suplantación de redirección ICMP externa
(5) Prevenir el engaño del enrutamiento de recursos externos
(6) Control del tráfico de la red interna.
2.5 Análisis de requisitos de equipos de red.
El rápido desarrollo de la red ha provocado un aumento en el número de fabricantes de equipos de red, sin embargo, existe una brecha entre los fabricantes de equipos en términos de rendimiento y precio de los equipos. Los precios de los equipos de red de Cisco son relativamente altos y los equipos de red de h3c y Huawei son mucho más baratos que los de Cisco. Sin embargo, los equipos Cisco tienen grandes ventajas en términos de estabilidad y rendimiento. Las necesidades de equipos de red de la empresa deben intentar considerar los siguientes aspectos:
(1) Rendimiento: el equipo de red debe tener un alto rendimiento de reenvío, de modo que los paquetes de datos puedan reenviarse rápidamente en la red y evitar el tráfico excesivo de paquetes de datos y la congestión del tráfico.
(2) Seguridad: la seguridad de la red es crucial en el diseño de la red actual. En términos de seguridad del dispositivo, el dispositivo en sí debe admitir algunos protocolos de seguridad básicos para proteger la seguridad de la red, o mediante la compra de equipos de seguridad especiales.
(3) Administración: todos los dispositivos de red deben admitir administración configurable y admitir algunos telnet, SSH, SNMP y otros protocolos relacionados comunes para permitir a los administradores de red administrar y configurar dispositivos de red de forma remota.
(4) Confiabilidad: los usuarios deben lograr redundancia de enlace y respaldo de puerta de enlace de usuario. La selección de conmutadores en la capa de agregación debe admitir los protocolos de redundancia de respaldo de puerta de enlace de árbol de expansión STP, HSRP y VRRP correspondientes para garantizar la confiabilidad de la red de usuario.
2.6 Análisis de la demanda de puntos de información
Según la cantidad de personas en diferentes departamentos y la cantidad de PC, se pueden contar los puntos de información de la empresa. Al contar puntos de información, cuente no solo en función del número de PC.
Tabla-1 Estadísticas de puntos de información
| piso |
departamento |
Punto de información |
| 1F |
Departamento de Personal |
4 |
| 1F |
Departamento de Marketing |
20 |
| 1F |
Departamento de Investigación |
20 |
| 2F |
Departamento de Información |
35 |
| 2F |
Departamento de Administración |
25 |
3. Diseño esquemático de la red.
3.1 Principios de diseño de redes
3.1.1、 Avance
La tecnología de la información actual se está desarrollando muy rápidamente y el ciclo de actualización de la red es cada vez más corto. Al mismo tiempo, el rápido desarrollo y las actualizaciones continuas de la tecnología de la información también han provocado que diferentes fabricantes de redes se actualicen constantemente. Por lo tanto, al comprar equipos, debemos prestar total atención a la naturaleza avanzada del producto, no solo para satisfacer las necesidades inmediatas, sino también para seguir el ritmo de los tiempos y tener en cuenta el desarrollo de los tiempos. Al elegir hardware, debemos predecir la dirección futura del desarrollo, y al elegir software, debemos prestar atención a su apertura, facilidad de uso y ventajas de integración de software. Al mismo tiempo, el diseño de la red también debe considerar los requisitos del desarrollo de la comunicación.
3.1.2 Fiabilidad
Para algunas empresas importantes, la confiabilidad de las operaciones de la red juega un papel muy importante. Las empresas no permiten turbulencias a gran escala en la red, que no sólo afectarán las operaciones de la empresa, sino que también tendrán un cierto impacto en la imagen corporativa. Por lo tanto, al diseñar una empresa, debemos considerar la confiabilidad del diseño de la red. El sistema puede funcionar de manera relativamente estable y confiable durante mucho tiempo, y la seguridad del sistema está garantizada para evitar el acceso ilegal por parte de usuarios ilegales. El sistema no permite fallas, o incluso si hay una falla en el dispositivo, se requieren las soluciones de respaldo correspondientes. Si no representa una amenaza importante para la red y los datos en Internet, debe haber equipo para realizar copias de seguridad de los datos en consecuencia.
3.1.3 Practicidad
El diseño del sistema debe satisfacer las necesidades de los usuarios existentes, permitirles utilizar la red y satisfacer la experiencia de los usuarios dentro de la empresa. El diseño de la red no necesita ser demasiado complicado. Debe basarse en la situación real y debe cumplir con algunos requisitos básicos de los usuarios, como usuario Capaz de acceder a la red externa y realizar el intercambio de recursos entre los usuarios internos.
3.1.4 Seguridad
Al diseñar esta empresa, debemos centrarnos en la seguridad de la red del sistema. La seguridad debe considerarse tanto física como en el diseño de la red. Al instalar equipos de red o en el lugar donde está instalado el equipo de red, debemos asegurarnos de que todas las personas que ingresan a la sala de computadoras sean legales y que no todos puedan ingresar a la sala de computadoras. Al diseñar la red, podemos establecer contraseñas en los dispositivos de la red e implementar firewalls en el área del servidor. Para garantizar la seguridad de la red, debemos evitar ataques ilegales y operaciones ilegales por parte del personal.
4. Diseño detallado de la red
4.1 Arquitectura de red
4.1.1 Planificación de la arquitectura de la red de la sede
La red de la sede tiene los requisitos correspondientes en términos de estabilidad y seguridad. La capa de acceso a la capa de agregación evita fallas en un solo punto de la línea. Al mismo tiempo, se requiere que el equipo de la puerta de enlace del usuario esté activo y de respaldo. Permita que los usuarios internos en la sede accedan a la red externa y habilite el acceso mutuo entre la sede y las sucursales. Las ideas de diseño y planificación de la red de la sede son las siguientes:
1. Capa central (capa de agregación)
La capa central es la capa más importante en toda la estructura de la red. Todo el tráfico interno de los usuarios debe reenviarse a través de los conmutadores de la capa central. Es la parte central de la arquitectura de red de tres capas y una capa indispensable. En este diseño de red empresarial de la sede, considerando la cuestión de los fondos, se implementaron dos conmutadores centrales de tres capas en la capa central para reenviar el tráfico de los usuarios internos en la sede y servir como puertas de enlace de usuarios internos, permitiendo la comunicación entre usuarios en diferentes redes internas. segmentos Conectividad. Se utilizan protocolos de enrutamiento dinámico entre la capa central y los enrutadores de salida, y la conectividad y escalabilidad de la red se garantizan a través de protocolos dinámicos OSPF. Los conmutadores de área de servidor también están conectados a los conmutadores centrales.
2. Capa de acceso
La capa de acceso generalmente conecta terminales de usuario, como PC, impresoras, puntos de acceso inalámbrico y servidores. El tipo de puerto predeterminado del conmutador de capa de acceso es acceso. Si es necesario dividir varias VLAN internamente, el puerto conectado al terminal de usuario debe dividirse en una VLAN correspondiente y la interfaz de interconexión con el conmutador debe configurarse como TRUNK .
La sede corporativa tiene múltiples departamentos y necesita planificar y crear múltiples VLAN. Los puertos conectados a los conmutadores y terminales de la capa de acceso en diferentes departamentos deben asignarse a las VLAN correspondientes. Los puertos en los conmutadores de la capa central del enlace ascendente deben configurarse como TRUNK y configurarse con las VLAN correspondientes para pasar. El protocolo STP está habilitado en el conmutador de acceso de la sede corporativa y, debido a que el conmutador de capa de acceso tiene doble conexión, evita bucles.
3. Sistema de servicio
La sede corporativa implementa sistemas de oficina y sistemas comerciales, y el servidor utiliza un conmutador de capa 3 como acceso al servidor para lograr un alto reenvío de datos y un gran ancho de banda de interfaz. El sistema de oficina implementa algunos servidores FTP, DHCP y WEB de uso común; el sistema empresarial implementa múltiples servidores y implementa tecnología de clúster para garantizar la estabilidad del sistema empresarial.
4.1.2 Planificación de la arquitectura de la red de sucursales
La arquitectura de red de la sucursal es relativamente simple en comparación con la sede central. La sucursal utiliza un conmutador central como puerta de enlace del usuario. Para la salida, se implementa un enrutador y varios conmutadores de capa 2 se implementan en la capa de acceso. La estabilidad y seguridad de la red no son tan exhaustivas como las de la sede, porque las sucursales son más pequeñas y consideran más cuidadosamente las cuestiones de financiación. Sin embargo, los usuarios pueden acceder a redes externas y recursos de la sede.
- capa central
La capa central es la capa más importante en toda la estructura de la red. Todo el tráfico interno de los usuarios debe reenviarse a través de los conmutadores de la capa central. Es la parte central de la arquitectura de red de tres capas y una capa indispensable. En este diseño de red de sucursales, considerando la cuestión de los fondos, se implementó un conmutador central de tres capas en la capa central. El conmutador central se conecta al conmutador de capa de acceso, se vincula ascendente con el enrutador de salida e implementa la configuración de la puerta de enlace del usuario mediante la configuración de direcciones IP a través de la interfaz VLAN. La interoperabilidad con el enrutador aún se logra configurando el enrutamiento dinámico OSPF.
- capa de acceso
La capa de acceso generalmente conecta terminales de usuario, como PC, impresoras, puntos de acceso inalámbrico y servidores. El tipo de puerto predeterminado del conmutador de capa de acceso es acceso. Si es necesario dividir varias VLAN internamente, el puerto conectado al terminal de usuario debe dividirse en una VLAN correspondiente y la interfaz de interconexión con el conmutador debe configurarse como TRUNK .
La sucursal tiene tres departamentos y es necesario planificar y crear varias VLAN. Los puertos conectados a los conmutadores y terminales de la capa de acceso en diferentes departamentos deben asignarse a las VLAN correspondientes. Los puertos en los conmutadores de la capa de agregación de enlace ascendente deben configurarse como TRUNK y configurarse con las VLAN correspondientes.
4.2 Topología de red
4.2.1 Descripción de la red
La empresa tiene su sede en Nanjing y una sucursal en Changzhou, y necesita permitir que la sede y la sucursal accedan a la red externa, permitir que los usuarios o hosts de la sucursal accedan a los recursos del servidor de la sede y garantizar la seguridad de los datos. La sede puede constar de varios departamentos y es necesario evitar que algunos departamentos accedan a algunos departamentos importantes y limitar la conectividad entre algunos departamentos. El diseño de la topología de la red utiliza una arquitectura clásica de tres capas (capa de acceso, capa de agregación, capa central). La capa de acceso conecta las terminales de usuario, las impresoras y los servidores; la capa de agregación conecta los conmutadores de la capa de acceso y los conmutadores centrales. La puerta de enlace interna del usuario de la sede está configurada en En los conmutadores de la capa de agregación, el procesamiento del tráfico de datos por parte del núcleo se reduce; los conmutadores de la capa central conectan enrutadores de salida, conmutadores de agregación y firewalls del área del servidor, y configuran el enrutamiento estático y el enrutamiento OSPF dinámico para lograr conectividad de red . El diseño de topología de la red de sucursales utiliza una estructura de dos capas (capa de acceso, capa central): la capa de acceso conecta los terminales de los usuarios y la capa central configura las puertas de enlace de los usuarios. Implemente una VPN entre la sede y las sucursales y configure la VPN IPsec para lograr el acceso mutuo entre la sede y las sucursales según la red pública de Internet.
La simulación del diseño de la red se simula a través del simulador huawei ensp, y se agregan algunos dispositivos de red, conmutadores de capa 2, conmutadores de capa 3, enrutadores, PC y servidores para la conexión de red. Logre conectividad de red a través de configuraciones relevantes y realice pruebas relacionadas con la red.
Figura-2 Diagrama de topología de red
4.3 Planificación de direcciones IP y división de VLAN
4.3.1 , división VLAN
Tabla 2 División de VLAN
| VLAN |
Descripción de VLAN |
Observación |
| VLAN101 |
Departamento de Personal |
Sede |
| VLAN102 |
Departamento de Marketing |
Sede |
| VLAN103 |
Departamento de Investigación |
Sede |
| VLAN104 |
Departamento de Información |
Sede |
| VLAN105 |
Departamento de Administración |
Sede |
| VLAN101 |
Departamento de Administración |
rama |
| VLAN102 |
Departamento de Investigación |
rama |
| VLAN103 |
Departamento de Marketing |
rama |
4.3.2 , planificación de direcciones IP
Tabla 3 Planificación de direcciones IP
| VLAN |
Descripción de VLAN |
dirección IP |
máscara de subred |
puerta |
Observación |
| VLAN101 |
Departamento de Personal |
192.168.101.0 |
255.255.255.0 |
192.168.101.254 |
Sede |
| VLAN102 |
Departamento de Marketing |
192.168.102.0 |
255.255.255.0 |
192.168.102.254 |
Sede |
| VLAN103 |
Departamento de Investigación |
192.168.103.0 |
255.255.255.0 |
192.168.103.254 |
Sede |
| VLAN104 |
Departamento de Información |
192.168.104.0 |
255.255.255.0 |
192.168.104.254 |
Sede |
| VLAN105 |
Departamento de Administración |
192.168.105.0 |
255.255.255.0 |
192.168.105.254 |
Sede |
| VLAN101 |
Departamento de Administración |
172.16.10.0 |
255.255.255.0 |
172.16.10.254 |
rama |
| VLAN102 |
Departamento de Investigación |
172.16.20.0 |
255.255.255.0 |
172.16.20.254 |
rama |
| VLAN103 |
Departamento de Marketing |
172.16.30.0 |
255.255.255.0 |
172.16.30.254 |
rama |
| equipo |
interfaz |
dirección IP |
| Conmutador central 1 de la sede |
Vlanif 101 |
192.168.101.252 |
| Vlanif 102 |
192.168.102.252 |
|
| Vlanif 103 |
192.168.103.252 |
|
| Vlanif 104 |
192.168.104.252 |
|
| Vlanif 105 |
192.168.105.252 |
|
| Vlanif 200 |
10.0.0.1 |
|
| Conmutador central 2 de la sede |
Vlanif 101 |
192.168.101.253 |
| Vlanif 102 |
192.168.102.253 |
|
| Vlanif 103 |
192.168.103.253 |
|
| Vlanif 104 |
192.168.104.253 |
|
| Vlanif 105 |
192.168.105.253 |
|
| Vlanif 200 |
10.0.0.5 |
|
| Enrutador de salida de la sede |
Eth0/0/0 |
10.0.0.2 |
| Eth0/0/1 |
10.0.0.6 |
|
| Gi0/0/0 |
10.10.10.1 |
|
| S 0/0/0 |
200.200.200.1 |
|
| 总部防火墙 |
Gi0/0/0 |
10.10.10.2 |
| Gi0/0/1 |
192.168.100.254 |
|
| 分部核心交换机1 |
Vlanif 101 |
172.16.10.254 |
| Vlanif 102 |
172.16.20.254 |
|
| Vlanif 103 |
172.16.30.254 |
|
| Vlanif 200 |
10.0.0.1 |
|
| 分部出口路由器 |
Eth0/0/0 |
10.0.0.2 |
| S 0/0/0 |
100.100.100.1 |
|
| ISP路由器 |
S 0/0/0 |
200.200.200.6 |
| S 0/0/1 |
100.100.100.6 |
4.4、网络实施
4.4.1、接入层实施
接入层交换机上主要配置相应的用户VLAN,连接终端的设备和用户的接口划分为access接口,与交换机互联的接口配置为trunk。已人事部接入层交换机为例。
4.4.2、核心层实施
核心层交换机上主要配置相应的用户VLAN,与交换机互联的接口配置为trunk。
核心层交换机之间配置端口聚合,配置用户网关,通过VRRP和MSTP协议实现用户网关主备和链路冗余。
核心层交换机与路由器之间运行OSPF动态路由协议,在核心层交换机开启ospf协议,宣告用户网段和路由器互联的接口地址
内部用户网段通过自动获取IP地址的方式获取IP地址,DHCP servr服务器配置在核心交换机上,动态为用户分配IP地址,避免用户手动配置IP地址出现地址冲突。
4.4.3、出口路由器实施
出口路由器上需要配置相应的静态路由和默认路由,配置相应的接口地址和NAT网络地址转换
总部和分公司间需要部署VPN,实现总部与分公司资源公司,同时还需要保证数据的安全性。
4.5、设备选型
表4 设备清单
| 品牌 |
设备型号 |
设备类型 |
数量 |
备注 |
| Huawei |
S3700-26C-HI |
接入层交换机 |
6 |
总部 |
| Huawei |
S5700-28C-HI |
核心层交换机 |
2 |
总部 |
| Huawei |
AR1220-S |
出口路由器 |
1 |
总部 |
| Huawei |
USG5500 |
防火墙 |
1 |
总部 |
| Huawei |
S3700-26C-HI |
接入层交换机 |
3 |
分公司 |
| Huawei |
S5700-28C-HI |
汇聚层交换机 |
1 |
分公司 |
| Huawei |
AR1220-S |
出口路由器 |
1 |
分公司 |
5、网络的实现
5.1、网络仿真配置
5.1.1、接入交换机配置
在接入层为了隔离广播域,防止广播风暴,将不同部门划分到不同的VLAN。在接入层交换机上创建了VLAN,然后基于端口的划分将用户加入到对应的VLAN中。接入层交换机与上联交换机互联端口配置为中继端口,允许所有的VLAN通过。
[Huawei]vlan 100 //创建相应的VLAN
[Huawei]interface eth0/0/1 //进入接口将接口配置为中继端口
[Huawei-Ethernet0/0/1] port link-type trunk
[Huawei-Ethernet0/0/1] port trunk allow-pass vlan 2 to 4094
[Huawei]interface Ethernet0/0/3 //将接口划分到VLAN101
[Huawei-Ethernet0/0/3]port link-type access
[Huawei-Ethernet0/0/3] port default vlan 101
5.1.2、核心交换机配置
核心层交换机上创建相应的VLAN,与交换机互联的端口配置为中继,用户网关配置在核心交换机上。与路由器互联的接口配置IP地址,与路由器之间配置OSPF动态路由实现互通。
[Core-SW-1]vlan 100 //创建相应的VLAN
在接入交换机命令行的全局配置模式下创建用户vlan106
[Core-SW-1]vlan 101
在接入交换机命令行的全局配置模式下创建用户vlan101
[Core-SW-1]vlan 102
在接入交换机命令行的全局配置模式下创建用户vlan102
[Core-SW-1]vlan 103
在接入交换机命令行的全局配置模式下创建用户vlan103
[Core-SW-1]vlan 104
在接入交换机命令行的全局配置模式下创建用户vlan104
[Core-SW-1]vlan 105
在接入交换机命令行的全局配置模式下创建用户vlan105
[Core-SW-1]interface Ethernet0/0/1
[Core-SW-1-Ethernet0/0/1] port link-type trunk
[Core-SW-1-Ethernet0/0/1] port trunk allow-pass vlan 2 to 4094
[Core-SW-1-Ethernet0/0/1]#
[Core-SW-1-Ethernet0/0/1]interface Ethernet0/0/2
[Core-SW-1-Ethernet0/0/2] port link-type trunk
[Core-SW-1-Ethernet0/0/2] port trunk allow-pass vlan 2 to 4094
[Core-SW-1-Ethernet0/0/2]#
[Core-SW-1-Ethernet0/0/2]interface Ethernet0/0/3
[Core-SW-1-Ethernet0/0/3] port link-type trunk
[Core-SW-1-Ethernet0/0/3] port trunk allow-pass vlan 2 to 4094
[Core-SW-1-Ethernet0/0/3]#
[Core-SW-1-Ethernet0/0/3]interface Ethernet0/0/4
[Core-SW-1-Ethernet0/0/4] port link-type trunk
[Core-SW-1-Ethernet0/0/4] port trunk allow-pass vlan 2 to 4094
[Core-SW-1-Ethernet0/0/4]#
[Core-SW-1-Ethernet0/0/4]interface Ethernet0/0/5
[Core-SW-1-Ethernet0/0/5] port link-type trunk
[Core-SW-1-Ethernet0/0/5] port trunk allow-pass vlan 2 to 4094
[Core-SW-1-Ethernet0/0/5]#
[Core-SW-1-Ethernet0/0/5]interface Ethernet0/0/6
[Core-SW-1-Ethernet0/0/6] port link-type trunk
[Core-SW-1-Ethernet0/0/6] port trunk allow-pass vlan 2 to 4094
[Core-SW-1-Ethernet0/0/6]#
将接口Ethernet0/0/1 -6配置为中继端口
[Core-SW-1]interface Eth-Trunk0
[Core-SW-1-Eth-Trunk0] port link-type trunk
[Core-SW-1-Eth-Trunk0] port trunk allow-pass vlan 2 to 4094
[Core-SW-1-Eth-Trunk0]interface GigabitEthernet0/0/23
[Core-SW-1-GigabitEthernet0/0/23] eth-trunk 0
[Core-SW-1-GigabitEthernet0/0/23]interface GigabitEthernet0/0/24
[Core-SW-1-GigabitEthernet0/0/24] eth-trunk 0
配置端口聚合,增加链路带宽
[Core-SW-1]mstp mode mstp
[Core-SW-1]stp region-configuration
[Core-SW-1-mst-region] region-name Core-SW-1
[Core-SW-1-mst-region] instance 1 vlan 100 to 105
[Core-SW-1-mst-region] active region-configuration
配置stp生成树协议模式为多生成树协议
[Core-SW-1]interface Vlanif101
[Core-SW-1-Vlanif101] ip address 192.168.101.252 255.255.255.0
[Core-SW-1-Vlanif101] vrrp vrid 101 virtual-ip 192.168.101.254
[Core-SW-1-Vlanif101] vrrp vrid 101 priority 120
[Core-SW-1-Vlanif101]interface Vlanif102
[Core-SW-1-Vlanif102] ip address 192.168.102.252 255.255.255.0
[Core-SW-1-Vlanif102] vrrp vrid 102 virtual-ip 192.168.102.254
[Core-SW-1-Vlanif102] vrrp vrid 102 priority 120
[Core-SW-1-Vlanif102]interface Vlanif103
[Core-SW-1-Vlanif103] ip address 192.168.103.252 255.255.255.0
[Core-SW-1-Vlanif103] vrrp vrid 103 virtual-ip 192.168.103.254
[Core-SW-1-Vlanif103] vrrp vrid 103 priority 120
[Core-SW-1-Vlanif103]interface Vlanif104
[Core-SW-1-Vlanif104] ip address 192.168.104.252 255.255.255.0
[Core-SW-1-Vlanif104] vrrp vrid 104 virtual-ip 192.168.104.254
[Core-SW-1-Vlanif104] vrrp vrid 104 priority 120
[Core-SW-1-Vlanif104]interface Vlanif105
[Core-SW-1-Vlanif105] ip address 192.168.105.252 255.255.255.0
[Core-SW-1-Vlanif105] vrrp vrid 105 virtual-ip 192.168.105.254
[Core-SW-1-Vlanif105] vrrp vrid 105 priority 120
[Core-SW-1-Vlanif105]interface Vlanif100
[Core-SW-1-Vlanif106] ip address 192.168.100.252 255.255.255.0
[Core-SW-1-Vlanif106] vrrp vrid 100 virtual-ip 192.168.100.254
[Core-SW-1-Vlanif106] vrrp vrid 100 priority 120
配置VRRP协议,实现网关冗余备份
开启OSPF动态路由协议,进程100
[Core-SW-1]ospf 100
[Core-SW-1-ospf-100] silent-interface Vlanif101
[Core-SW-1-ospf-100] silent-interface Vlanif102
[Core-SW-1-ospf-100] silent-interface Vlanif103
[Core-SW-1-ospf-100] silent-interface Vlanif104
[Core-SW-1-ospf-100] silent-interface Vlanif105
[Core-SW-1-ospf-100] silent-interface Vlanif100
[Core-SW-1-ospf-100] area 0.0.0.0
[Core-SW-1-ospf-100-area-0.0.0.0] network 192.168.101.0 0.0.0.255
宣告用户vlan接口地址网络
[Core-SW-1-ospf-100-area-0.0.0.0] network 192.168.102.0 0.0.0.255
宣告用户vlan接口地址网络
[Core-SW-1-ospf-100-area-0.0.0.0] network 192.168.103.0 0.0.0.255
宣告用户vlan接口地址网络
[Core-SW-1-ospf-100-area-0.0.0.0] network 192.168.104.0 0.0.0.255
宣告用户vlan接口地址网络
[Core-SW-1-ospf-100-area-0.0.0.0] network 192.168.105.0 0.0.0.255
宣告用户vlan接口地址网络
[Core-SW-1-ospf-100-area-0.0.0.0] network 192.168.100.0 0.0.0.255
宣告用户vlan接口地址网络
[Core-SW-1-ospf-100-area-0.0.0.0] network 10.0.0.0 0.0.0.3
宣告互联接口地址
[Core-SW-1]ip pool vlan101
[Core-SW-1-ip-pool-vlan101] gateway-list 192.168.101.254
[Core-SW-1-ip-pool-vlan101] network 192.168.101.0 mask 255.255.255.0
[Core-SW-1-ip-pool-vlan101] dns-list 192.168.100.3
创建总部人事部用户地址池,地址池名称为vlan101,用户网段为192.168.101.0,子网掩码24为,用户网关为192.168.101.254
[Core-SW-1-ip-pool-vlan101]ip pool vlan102
[Core-SW-1-ip-pool-vlan102] gateway-list 192.168.102.254
[Core-SW-1-ip-pool-vlan102] network 192.168.102.0 mask 255.255.255.0
[Core-SW-1-ip-pool-vlan102] dns-list 192.168.100.3
创建总部市场部用户地址池,地址池名称为vlan102,用户网段为192.168.102.0,子网掩码24为,用户网关为192.168.102.254,dns服务器地址为192.168.100.3
[Core-SW-1-ip-pool-vlan102]ip pool vlan103
[Core-SW-1-ip-pool-vlan103] gateway-list 192.168.103.254
[Core-SW-1-ip-pool-vlan103] network 192.168.103.0 mask 255.255.255.0
[Core-SW-1-ip-pool-vlan103] dns-list 192.168.100.3
创建总部科研部用户地址池,地址池名称为vlan103,用户网段为192.168.103.0,子网掩码24为,用户网关为192.168.103.254 dns服务器地址为192.168.100.3
[Core-SW-1-ip-pool-vlan103]ip pool vlan104
[Core-SW-1-ip-pool-vlan104] gateway-list 192.168.104.254
[Core-SW-1-ip-pool-vlan104] network 192.168.104.0 mask 255.255.255.0
[Core-SW-1-ip-pool-vlan104] dns-list 192.168.100.3
创建总部信息技术部用户地址池,地址池名称为vlan104,用户网段为192.168.104.0,子网掩码24为,用户网关为192.168.104.254 dns服务器地址为192.168.100.3
[Core-SW-1-ip-pool-vlan104]ip pool vlan105
[Core-SW-1-ip-pool-vlan105] gateway-list 192.168.105.254
[Core-SW-1-ip-pool-vlan105] network 192.168.105.0 mask 255.255.255.0
[Core-SW-1-ip-pool-vlan105] dns-list 192.168.100.3
创建总部行政部用户地址池,地址池名称为vlan105,用户网段为192.168.105.0,子网掩码24为,用户网关为192.168.105.254 dns服务器地址为192.168.100.3
5.1.3、出口路由器配置
配置路由器接口IP地址,并将接口接入相应的区域
[R1]interface Ethernet0/0/0
[R1-GigabitEthernet0/0/0] ip address 10.0.0.2 255.255.255.252
[R1-GigabitEthernet0/0/0]interface Ethernet0/0/1
[R1-GigabitEthernet0/0/1] ip address 10.0.0.6 255.255.255.252
[R1-GigabitEthernet0/0/1] ospf cost 100
[R1-GigabitEthernet0/0/1]interface se0/0/0
[R1-GigabitEthernet0/0/2] ip address 200.200.200.1 255.255.255.248
路由配置
开启动态OSPF路由,进程为100.配置静态默认路由
[R1]ospf 100
[R1-ospf-100] default-route-advertise always
[R1-ospf-100] area 0.0.0.0
[R1-ospf-100-area-0.0.0.0] network 10.0.0.0 0.0.0.3
[R1-ospf-100-area-0.0.0.0] network 10.0.0.4 0.0.0.3
[R1 ip route-static 0.0.0.0 0.0.0.0 200.200.200.6
NAT配置
配置地址转换,将内部私有地址转换为路由器出接口公网地址
[R1]acl number 2000
[R1-acl-basic-2000]rule 5 permit source 192.168.0.0 0.0.255.255
[R1-Serial0/0/0]nat outbound 2000
IPsec VPN配置
[R1]acl number 3000 //定义感兴趣流
[R1-acl-adv-3000] rule permit ip source 200.200.200.1 0 destination 100.100.100.1 0
[R1-acl-adv-3000]ipsec proposal vpn //配置默认的安全提议
[R1-ipsec-proposal-vpn] esp authentication-algorithm sha1
[R1-ipsec-proposal-vpn] esp encryption-algorithm aes-192
[R1-ipsec-proposal-vpn]ike proposal 10
[R1-ike-proposal-10]ike peer R3 v1 //配置到分公司的IKE peer
[R1-ike-peer-R3] pre-shared-key cipher Huawei //配置预共享密钥huawei
[R1-ike-peer-R3] ike-proposal 10
[R1-ike-peer-R3] remote-address 100.100.100.1
[R1-ike-peer-R3]ipsec policy map1 10 isakmp //配置IPsec策略
[R1-ipsec-policy-isakmp-map1-10] security acl 3000
[R1-ipsec-policy-isakmp-map1-10] ike-peer R3
[R1-ipsec-policy-isakmp-map1-10] proposal vpn
[R1-ipsec-policy-isakmp-map1-10]interface se0/0/0
[R1-Serial0/0/0] ipsec policy map1 //将安全策略调用在se0/0/0接口下
6、网络测试
6.1、测试分公司与总部之间的访问
总部与分公司间个别部门需要通过VPN访问,总部与分公司之间通信是VPN隧道来安全传输数据的。通过在分公司pc机上测试与总部服务器间连通性,在路由器上通过命令查看IKE二个阶段是否正常建立。
图-3总部FTP服务器地址信息
图-4分公司行政PC IP地址信息
图-5分公司行政部门与服务器连通性测试
图-6在路由器上查看VPN建立情况
6.2、测试总部与外网连通性
在总部人事部拿一台PC测试总部到外网的连通性,通过ping外网的公网地址为200.200.200.6。如果通的话,网络连通性就没有问题。
图-7 总部人事部PC IP地址信息
图-8总部人事部测试与外网的连通性
图-9 查看NAT配置信息
6.3、测试总部与服务器连通性
在总部科研部拿一台PC测试总部到服务器的连通性,通过ping服务器地址192.168.100.1。如果通的话,网络连通性就没有问题。
图-10 FTP服务器IP地址信息
图-11 总部FTP服务器配置
图-12 总部科研部PC地址信息
图-13测试总部内部部门与服务器的连通性
6.4、测试分公司与外网连通性
图-14 分公司行政部PC地址信息
图-15 测试分公司PC访问外网的连通性
6.5、测试telnet远程设备管理
测试用户远程管理网络设备,通过telent远程管理设备,因为PC不支持telnet客户端,所以在路由器上进行telnet测试。
图-16 测试网络设备telnet远程管理
6.6、查看VRRP状态信息
两台核心交换机之间通过VRRP协议实现网关备份,通过display vrrp brief命令可以查重vrrp主备状态信息。
图-17核心层主交换机VRRP状态信息
图-18核心层备交换机VRRP状态信
6.7、查看OSPF邻居建立和路由信息
核心交换机和路由器之间通过动态ospf路由实现全网互通,通display ospf peer brief命令查看ospf邻居状态信息;并通过display ip routing-table查看路由表。
图-19核心层交换机上查看OPSF邻居
图-20路由器上查看OSPF邻居
图-21核心层交换机上查看路由表
图-22出口路由器上查看路由表