記事の紹介: この記事では、Huawei ensp を使用して、エンタープライズネットワークのネットワーク計画とワイヤレスシミュレーションシナリオを実行し、完全なデバイス構成コマンドを添付します。添付ファイルは ensp プロジェクトです。必要に応じてダウンロードし、作成者に連絡してアフターサービスを提供してください。カスタマイズされた要件に従って変更できます。

著者について: 上級ネットワークエンジニア、もっと多くの友達に会ってコミュニケーションを取りたいと思っています。プライベートメッセージまたはペンギン番号: 3121200538

塩辛探索逃げられない包囲獅子 Bステーション逃げられない包囲獅子皆様のご相談大歓迎です！

1. プロジェクトの背景

1.1企業の背景

Longfor Network Technology Co., Ltd. は 2022 年に重慶で設立され、ネットワーク技術サービス、ネットワーク技術コンサルティング、コンピュータハードウェアの設置、ネットワークセキュリティ評価、ネットワークトレーニングサービスなどのネットワーク関連事業をカバーし、職業教育を積極的に開発し、大学との深層的な学業連携により、未来を実現するテクノロジーなどの革新的な分野を開発し、現在では全国100校以上の大学に事業が広がっています。

お客様のビジネスの成長に伴い、お客様の事業拠点は今後も増加し続けており、今後も企業ネットワークが新たに構築されることになります。当社では、上記の課題やニーズを踏まえ、現在の業務システムの安定稼働と将来の新規事業の展開ニーズに応えるため、以下のネットワーク構築計画を策定しました。

1.2 Longfor Network Technology Co., Ltd.のネットワーク全体の設計目標

(1) 高可用性

Longfor Network Technology Co., Ltd. の実稼働ネットワーク全体にとって、高可用性はネットワーク設計の基本目標です。高可用性とは、ネットワークが利用できなくなる原因となる機器の故障時間が極めて短いことを保証する必要がある一方で、ネットワークがさまざまなデータのニーズを満たせることを保証する必要があることを意味します。パフォーマンスの低下による許容できない応答時間なしで送信できます。

高可用性の目標を達成するためのネットワーク設計では、先進技術と既存の成熟した技術を組み合わせ、ネットワークアプリケーションの現状と将来の開発傾向を十分に考慮する必要があります。設計では、シスコの業界初の VSS 仮想スイッチテクノロジーや N7K 機器で一般的に使用されている VPC 仮想化テクノロジーなど、信頼性の要件を満たすために、高信頼性のネットワーク製品と完全なネットワークバックアップ戦略が使用されます。さまざまなレベルの機器や回線、二重回線アクセス、リンクのバンドルとアグリゲーションに応じたさまざまなレベルの信頼性設計。ルーティングの冗長性。ネットワークに障害を自己修復する機能を持たせます。信頼性設計には、ネットワーク機器などの物理設計の信頼性だけでなく、配線などの論理設計の信頼性も含まれます。

(2) スケーラビリティ

現在のニーズを満たすことに加えて、ネットワーク構造設計では、ユーザーアプリケーションの規模が拡大し続けるにつれて、より多くのユーザーとアプリケーションをサポートできるように容量を簡単に拡張できる必要があります。ネットワークテクノロジの継続的な開発に伴い、ネットワークは次のことを行うことができなければなりません。新しい技術や設備への安定した移行。ユーザーの投資を保護するために、ネットワークのアップグレードや将来の再投資の場合、いつでもネットワーク機器やモジュールを追加することで既存の機器をアップグレードおよび拡張でき、置き換えられた機器をブランチまたはエッジに適用できます。通信網。ネットワーク通信メディアとネットワーク設計コアの下位互換性を確保するには、将来のネットワークアップグレードのスムーズな統合を十分に考慮する必要があります。

(3) 高いセキュリティ

生産指向のビジネスの特殊な性質により、ネットワークセキュリティが企業のネットワーク全体にとって非常に重要であることが決定され、ネットワーク設計のプロセスでは、統合自己防衛ネットワークシステムのネットワークセキュリティ設計思想が採用されます。ネットワークコアバックボーン、アグリゲーション、エッジアクセスを完全に保証し、複数部分のネットワークアクセスに対する高いセキュリティを実現します。

(4) 管理性と監視性

適切な組織と管理は、ネットワークの通常の運用と効率的な使用に非常に役立ちます。ネットワークは、ネットワークを集中的かつ効果的に管理および制御するための便利で柔軟かつ強力なツールを提供できる必要があります。さらに、優れた監視メカニズム、特に自動監視メカニズムは、ネットワークのリアルタイム監視を容易にし、明確で効果的なアラーム応答をタイムリーに提供できます。したがって、便利な監視、優れた管理インターフェイス、および完全なシステム記録により、管理者はシステムの動作を変更することなく、ネットワークシステムの検出、変更、障害回復などの管理および保守タスクを実行できます。

(5) 高性能とアプリケーションの最適化

国際的な最先端のネットワーク製品と関連テクノロジーを採用し、業界の豊富なネットワークアプリケーションプロトコルをサポートし、既存のサービスと将来追加される新しいサービスをサポートし、既存のリンクとハードウェアリソースを最大限に活用し、WAN 帯域幅を確保するために合理的な最適化調整を行います。このネットワークを利用することで、バックボーンネットワーク上のさまざまなビジネスの信頼性の高い伝送とサービス品質が保証され、データセンターリソースのバランスのとれた利用が保証され、将来の企業ネットワーク全体の急速なビジネス展開のニーズに応えます。

2. ネットワーク設計スキームと関連技術

2.1ネットワークトポロジ:

2.2 VLAN計画/IP計画

装置	VLAN	IPアドレス	説明する
HX1	VLAN 10	10.10.10.253/24	仕事
HX1	VLAN 20	10.10.20.253/24	仕事
HX1	VLAN 30	10.10.30.253/24	仕事
HX1	VLAN 40	10.10.40.253/24	仕事
HX1	VLAN 50	10.10.50.253/24	AP
HX1	VLAN 60	10.10.60.253/24	STA
HX1	VLAN 11	10.1.1.1/30	R1に接続
HX2	VLAN 10	10.10.10.252/24	仕事
HX2	VLAN 20	10.10.20.252/24	仕事
HX2	VLAN 30	10.10.30.252/24	仕事
HX2	VLAN 40	10.10.40.252/24	仕事
HX2	VLAN 50	10.10.50.252/24	AP
HX2	VLAN 60	10.10.60.252/24	STA
HX2	VLAN 100	10.10.100.1/24	コントロールセンター
HX2	VLAN 11	10.2.2.1/24	R1に接続
R1	G0/0/0	10.1.1.2/24	HX1に接続
R1	G0/0/1	10.2.2.2/24	HX2を接続する
R1	G0/0/2	101.1.1.1/24	インターネットに接続する
インターネット	G0/0/0	101.1.1.2/24	R1に接続
インターネット	ルックバック0	8.8.8.8/32	インターネット

2.3 スパニングツリープロトコル

STPの基本原理は、特別なプロトコルメッセージであるブリッジプロトコルデータユニット(略してBPDU ) をスイッチ間で送信することによってネットワークのトポロジを決定することです。BPDU には、コンフィギュレーションBPDU ( Configuration BPDU ) とTCN BPDUの 2 種類があります。前者はループフリーのスパニングツリーを計算するために使用され、後者はレイヤ 2 ネットワークのトポロジが変更されたときにMACエントリのリフレッシュ時間を短縮するために使用されます（デフォルトの300 秒から15 秒に）。

スパニングツリープロトコル( STP ) はIEEE 802.1D文書で定義されており、このプロトコルの原理は、ツリー構造に従ってネットワークトポロジを構築し、ネットワーク内のループを排除し、スパニングツリーの存在によって引き起こされるブロードキャストストームを回避することです。ループ。

スパニングツリープロトコル( STP )の基本的な考え方は、ネットワークのトポロジを「ツリー」構造に従って構築することです。ツリーのルートはルートブリッジと呼ばれるブリッジデバイスです。ルートブリッジの確立は決定されます。スイッチまたはブリッジのBID (ブリッジ ID)によって決定されます。 )、BIDが最も小さいデバイスがレイヤ 2 ネットワークのルートブリッジになります。BID はブリッジ優先度とMACアドレスで構成されており、メーカーごとにブリッジ優先度のバイト数が異なる場合があります。ルートブリッジから開始して、段階的にツリーが形成され、ルートブリッジは定期的に設定BPDUを送信し、非ルートブリッジは設定BPDUを受信し、最適なBPDUを更新して転送します。ここでの最良のBPDU は、現在のルートブリッジによって送信されたBPDUを指します。下位レベルのBPDUを受信した場合（新しく接続されたデバイスがBPDU を送信しますが、デバイスのBIDが現在のルートブリッジより大きい場合）、下位レベルのBPDUを受信したデバイスは、自身が保存している最適なBPDUを送信します。新しく接続されたデバイスに送信し、現在のネットワークのルートブリッジに通知します。BPDUの方が優れており、スパニングツリートポロジが再計算されます。非ルートブリッジが最適な BPDU 最大経過時間 (最大経過時間、デフォルトでは 20 秒) を受信した後に最適な BPDU を受信していない場合、ポートはモニタリング状態になり、デバイスはTCN BPDUを生成し、ルートポートから転送します。指定されたポートからTCN BPDU を受信した上位デバイスは確認応答を送信し、TCN BPDU を上位デバイスに送信します。このプロセスはルートブリッジまで続き、その後、ルートブリッジが送信します。これは、に短縮すること15 秒300 秒エントリをMACトポロジ。全体の収束時間は約50 秒です。

2.4 VRRP プロトコル

VRRP は、仮想ルーターの責任をLAN 上のVRRPルーターの1 つに動的に割り当てることができる選択プロトコルです。仮想ルーターのIPアドレスを制御するVRRPルーターはマスタールーターと呼ばれ、これらの仮想IPアドレスにパケットを転送する役割を果たします。この選択プロセスは、プライマリルーターが使用できなくなった場合に動的フェイルオーバーメカニズムを提供し、仮想ルーターのIPアドレスがエンドホストのデフォルトのファーストホップルーターとして機能できるようにします。LANアクセスデバイスのバックアッププロトコルです。ローカルエリアネットワーク内のすべてのホストにはデフォルトゲートウェイが設定されており、宛先アドレスがローカルセグメントにないホストから送信されたパケットはデフォルトゲートウェイを経由してレイヤ 3 スイッチに送信され、レイヤ 3 スイッチ間の通信が実現されます。ホストと外部ネットワーク。

VRRPはフォールトトレラントなルーティングプロトコルであり、バックアップルーティングプロトコルとも呼ばれます。ローカルエリアネットワーク内のすべてのホストにはデフォルトルートが設定されており、ネットワーク内のホストが送信する宛先アドレスがローカルネットワークセグメントにない場合、メッセージはデフォルトルートを経由して外部ルータに送信され、通信が実現されます。ホストと外部ネットワークの間。デフォルトルータがダウンしている(つまりポートが閉じている)場合、内部ホストは外部と通信できなくなりますが、ルータにVRRPが設定されている場合、このとき仮想ルータによりバックアップルータが有効になります。ネットワーク全体の通信を実現します。

VRRPプロトコルには、 VRRPルーターと仮想ルーター、マスタールーターとバックアップルーターという 2 つの重要な概念があります。VRRPルーターは、物理エンティティであるVRRP を実行しているルーターを指します。仮想ルーターは、 VRRPプロトコルによって作成された論理概念を指します。VRRPルーターのグループが連携して仮想ルーターを形成します。仮想ルータは、外部からは固有の固定IPアドレスとMACアドレスを持つ論理ルータとして見えます。同じVRRPグループ内のルーターには、マスタールーターとバックアップルーターという 2 つの相互に排他的な役割があります。VRRPグループ内のマスターの役割には 1 つのルーターのみが存在し、バックアップの役割には 1 つ以上のルーターが存在できます。VRRPプロトコルは、ルータグループから 1 つのルータをマスタールータとして選択し、ARP分析とIPデータパケットの転送を担当します。グループ内の他のルータはバックアップとして機能し、スタンバイ状態になります。何らかの理由でマスタールータに障害が発生した場合、そのうちの 1 つがマスタールータとして機能します。バックアップルータは、一瞬の遅延の後にマスタールータにアップグレードできます。切り替えは非常に高速であり、 IPアドレスとMACアドレスを変更する必要がないため、エンドユーザーシステムに対して透過的です。

装置	VLAN ID	優先順位	州	仮想IP
HX1	VLAN 10	120	マスター	10.10.10.254/24
HX1	VLAN 20	120	マスター	10.10.20.254/24
HX1	VLAN 30	100	バックアップ	10.10.30.254/24
HX1	VLAN 40	100	バックアップ	10.10.40.254/24
HX1	VLAN 50	120	マスター	10.10.50.254/24
HX1	VLAN 60	120	マスター	10.10.60.254/24
HX2	VLAN 10	100	バックアップ	10.10.10.254/24
HX2	VLAN 20	100	バックアップ	10.10.20.254/24
HX2	VLAN 30	120	マスター	10.10.30.254/24
HX2	VLAN 40	120	マスター	10.10.40.254/24
HX2	VLAN 50	100	バックアップ	10.10.50.254/24
HX2	VLAN 60	100	バックアップ	10.10.60.254/24

2.5 ルーティングプロトコル（OSPF）

Open Shortest Path First ( Open Shortest Path First 、OSPF ) は、広く使用されている動的ルーティングプロトコルです。リンクステートルーティングプロトコルに属します。ルーティング変更の収束速度が速く、ルーティングループがなく、可変長のサブネットマスクをサポートしています ( VLSM ) や要約、階層領域分割などの利点があります。OSPF プロトコルがネットワークで使用されると、ほとんどのルートは、ネットワーク管理者による手動構成を行わずに、 OSPFプロトコル自体によって計算および生成されます。ネットワークトポロジが変更された場合、プロトコルはルートを自動的に計算および修正できるため、ネットワークが大幅に容易になります。管理。ただし、特定のネットワークアプリケーション環境と組み合わせて使用せず、慎重な計画が行われていない場合、OSPFプロトコルを使用する効果が大幅に低下し、障害が発生することもあります。

OSPF协议是一种链路状态协议。每个路由器负责发现、维护与邻居的关系，并将已知的邻居列表和链路费用LSU(Link State Update)报文描述，通过可靠的泛洪与自治系统AS(Autonomous System)内的其他路由器周期性交互，学习到整个自治系统的网络拓扑结构;并通过自治系统边界的路由器注入其他AS的路由信息，从而得到整个Internet的路由信息。每隔一个特定时间或当链路状态发生变化时，重新生成LSA，路由器通过泛洪机制将新LSA通告出去，以便实现路由的实时更新。

2.6 运维与管理 

telnet协议是TCP/IP协议族中的一员，是Internet远程登录服务的标准协议和主要方式。它为用户提供了在本地计算机上完成远程主机工作的能力。在终端使用者的电脑上使用telnet程序，用它连接到服务器。终端使用者可以在telnet程序中输入命令，这些命令会在服务器上运行，就像直接在服务器的控制台上输入一样。可以在本地就能控制服务器。要开始一个telnet会话，必须输入用户名和密码来登录服务器。Telnet是Internet远程登录服务的标准协议和主要方式，最初由ARPANET开发，现在主要用于Internet会话，它的基本功能是允许用户登录进入远程主机系统。Telnet可以让我们坐在自己的计算机前通过Internet网络登录到另一台远程计算机上，这台计算机可以是在隔壁的房间里，也可以是在地球的另一端。当登录上远程计算机后，本地计算机就等同于远程计算机的一个终端，我们可以用自己的计算机直接操纵远程计算机，享受远程计算机本地终端同样的操作权限。Telnet的主要用途就是使用远程计算机上所拥有的本地计算机没有的信息资源，如果远程的主要目的是在本地计算机与远程计算机之间传递文件，那么相比而言使用FTP会更加快捷有效。交互过程当我们使用Telnet登录进入远程计算机系统时，事实上启动了两个程序：一个是Telnet客户程序，运行在本地主机上；另一个是Telnet服务器程序，它运行在要登录的远程计算机上。本地主机上的Telnet客户程序主要完成以下功能：建立与远程服务器的TCP联接。从键盘上接收本地输入的字符。将输入的字符串变成标准格式并传送给远程服务器。从远程服务器接收输出的信息。将该信息显示在本地主机屏幕上。远程主机的“服务”程序通常被昵称为“精灵”，它平时不声不响地守候在远程主机上，一接到本地主机的请求，就会立马活跃起来，并完成以下功能：通知本地主机，远程主机已经准备好了。等候本地主机输入命令。对本地主机的命令作出反应（如显示目录内容，或执行某个程序等）。把执行命令的结果送回本地计算机显示。重新等候本地主机的命令。

在Internet中，很多服务都采取这样一种客户/服务器结构。对使用者来讲，通常只要了解客户端的程序就可以了。

2.7 NAT 技术（网络地址转换）

在计算机网络中，网络地址转换（Network Address Translation，缩写为NAT），也叫做网络掩蔽或者IP掩蔽（IP masquerading），是一种在IP数据包通过路由器或防火墙时重写来源IP地址或目的IP地址的技术。这种技术被普遍使用在有多台主机但只通过一个公有IP地址访问因特网的私有网络中。它是一个方便且得到了广泛应用的技术。当然，NAT也让主机之间的通信变得复杂，导致了通信效率的降低。

NAT英文全称是“NetworkAddressTranslation”，中文意思是“网络地址转换”，它是一个IETF(InternetEngineeringTaskForce,Internet工程任务组)标准，允许一个整体机构以一个公用IP（InternetProtocol）地址出现Internet上。顾名思义，它是一种把内部私有网络地址（IP地址）翻译成合法网络IP地址的技术。

无NAT网络，假设每个接入子网都需要一组/24的IP，而且还能对外连接，对外的路由至少要保留或申请1000个对外IP。但NAT网络，通过NAT转换，接入子网可以使用私用IP，对外连接时由路由绑定私用IP与对外IP的关系，修改传输的IP包上的地址，从而只需要255个对外IP就能满足内部接入子网的对外连接需求

1990年代中期，NAT是作为一种解决IPv4地址短缺以避免保留IP地址困难的方案而流行起来的。网络地址转换在很多国家广泛使用。所以NAT就成了家庭和小型办公室网络连接上的路由器的一个标准特征，因为对他们来说，申请独立的IP地址的代价要高于所带来的效益。

在一个典型的配置中，一个本地网络使用一个专有网络的指定子网（比如192.168.x.x或10.x.x.x）和连在这个网络上的一个路由器。这个路由器占有这个网络地址空间的一个专有地址（比如192.168.0.1），同时它还通过一个或多个因特网服务提供商提供的公有的IP地址（叫做“过载”NAT）连接到因特网上。当信息由本地网络向因特网传递时，源地址从专有地址转换为公用地址。由路由器跟踪每个连接上的基本数据，主要是目的地址和端口。当有回复返回路由器时，它通过输出阶段记录的连接跟踪数据来决定该转发给内部网的哪个主机；如果有多个公用地址可用，当数据包返回时，TCP或UDP客户机的端口号可以用来分解数据包。对于因特网上的通信，路由器本身充源和目的。

流行在网络上的一种看法认为，IPv6的广泛采用将使得NAT不再需要，因为NAT只是一个处理IPv4的地址空间不足的方法。

2.8 无线技术

いわゆる無線ネットワークとは、各種通信機器の相互接続を配線なしで実現できるネットワークのことを指します。ワイヤレスネットワーキングテクノロジは、ユーザーが長距離ワイヤレス接続を確立できるようにするグローバル音声およびデータネットワークから、短距離ワイヤレス接続に最適化された赤外線および無線周波数テクノロジまで多岐にわたります。さまざまなネットワークカバレージに応じて、ワイヤレスネットワークは、ワイヤレスワイドエリアネットワーク(WWAN :ワイヤレスワイドエリアネットワーク) 、ワイヤレスローカルエリアネットワーク(WLAN :ワイヤレスローカルエリアネットワーク) 、ワイヤレスメトロポリタンエリアネットワーク(WMAN :ワイヤレスメトロポリタンエリアネットワーク)に分けることができます。および無線パーソナルネットワーク LAN (WPAN :無線パーソナルエリアネットワーク) 。