中小型企业网络配置、基于企业网络方案的设计与实施

中小型企业网络配置、基于企业网络方案的设计与实施 某企业总公司在广州,分公司设在深圳。总部有六个部门如下：管理、财务、后勤、销售、研发、生产。分公司主要负责开拓新市场。 项目要求： （1）为保证内网运行性能,每一个部门单独一个VLAN,进行合理规划IP地址； （2）为各设备做基础配置，完成路由配置，实现内外网的基本连通； （3）为了保证网络的可用性和可靠性，对核心层设备配置冗余技术，起到热备及负载均衡作用。 （4）配置出口策略路由，使得不同内网流量分别通过联通、电信两条ISP线路访问Internet,从而起到负载均衡的作用； （5）由于公网IP地址有限，尽可能节约IP地址的损耗。 （6）总公司有多个部门，要求财务部不允许其他部门访问，其他部门都可以互相访问，各部门都允许访问互联网。 （7）总公司拥有自己的WEB，内外网均可访问； （8）实现公司总部与分公司通信。 （9）保证内网安全，监视内网资源与访问走向，限制内网用户的网络资源访问权限，并采用防火墙设备来保证外网到内网间的安全。

有同学想要课程设计代码，下面分享下代码和论文，创作不易，尊重下我的劳动成果，谢谢！

基于企业网络方案的设计与实施代码和课程设计

4.1 VRRP与MSTP冗余技术设计 MSTP (多生成树) 每个VLAN或者几个VLAN拥有一颗生成树，基于实例的生成树。instance 1、instance 2 每个实例拥有一颗生成树。MSTP可以实现多VLAN 的负载分担，可以实现多厂商对接。

VRRP虚拟路由冗余协议(Virtual Router Redundancy Protocol)是由IETF提出的解决局域网中配置静态网关出现单点失效现象的路由协议。

这里在核心交换机上使用vrrp和mstp技术来实现冗余备份功能，提升企业网络可靠性。

4.2 策略路由双出口设计 策略路由，是一种比基于目标网络进行路由更加灵活的数据包路由转发机制。路由器将通过路由图决定如何对需要路由的数据包进行处理，路由图决定了一个数据包的下一跳转发路由器。应用策略路由，必须要指定策略路由使用的路由图，并且要创建路由图。一个路由图由很多条策略组成，每个策略都定义了1个或多个的匹配规则和对应操作。一个接口应用策略路由后，将对该接口接收到的所有包进行检查，不符合路由图任何策略的数据包将按照通常的路由转发进行处理，符合路由图中某个策略的数据包就按照该策略中定义的操作进行处理。这里在防火墙上使用策略路由，使管理部，财务部，后勤部经过电信IPS访问外网。使销售部，研发部，生产部。经过联通IPS访问外网。如果有一条线路出现故障，也能够快速检测访问另一条正常的线路。

4.3 防火墙设计

防火墙是在内部网和外部网之间建起一道屏障，并决定哪些内部资源可以被外界访问，哪些外部服务可以被内部人员访问的设备。内部网和外部网之间传输的所有信息都要经过防火墙的检查，只有授权的数据才能通过。 根据防火墙的工作原理所有的防火墙从体系结构上都可以分为数据获取、应用处理和数据传输三大部分。通常情况下，数据获取和数据传输是由软、硬件两部分共同实现的，其中，硬件部分一般是防火墙设备的网络接口设备；数据获取的软件部分是负责将硬件获取的网络通讯信息从网络接口设备的缓冲区传送到操作系统缓冲区进行处理的软件代码，数据传输的软件部分则是执行与数据获取。不同的防火墙可能具有不同的应用功能，这些功能可能是包过滤、状态检测、内容过滤、加密、NAT、IDS、VPN、各种代理服务等等。这里在防火墙中使用了NAT技术和VPN技术，将防火墙划分出4个区域，分别是trust，dmz，cctc和ccuc四个区域。使用NAT技术将内网IP地址转换为防火墙的端口IP地址，外网访问内部服务器时，使用端口映射技术来访问内部服务器。

4.4 DHCP技术设计

DHCP（Dynamic Host Configuration Protocol，动态主机配置协议）通常被应用在大型的局域网络环境中，主要作用是集中的管理、分配IP地址，使网络环境中的主机动态的获得IP地址、Gateway地址、DNS服务器地址等信息，并能够提升地址的使用率。 DHCP协议采用客户端/服务器模式。客户机登录服务器时可以自动获得DHCP服务器分配的IP地址和子网掩码，这也是现在接入网技术中供应商给用户(账号)提供IP地址的手段。 4.5 BFD技术设计 针对IP网络在设计上无法在少于1S的时间内从故障中恢复,BFD技术提供了一种简单的检测链路或系统转发传输流能力的方法,保证了小于50ms的故障检测,大大提高故障检测与恢复速度。为了简化网络管理和提高网络的扩展性,提出了分层VPLS的组网方式。利用BFD技术对分层VPLS系统进行链路故障的检测,指导主备PW的切换,大大减少了链路检测时间,减少报文丢失。 4.6 VPN技术设计 虚拟专用网络是在公用网络上建立起一条经过加密了的虚拟的专用网络。在传统的企业网络配置中，要进行远程访问，是租用DDN（数字数据网）专线或帧中继，这样的通讯方案必然导致高昂的网络通讯和维护费用，并且不安全。 根据不同的划分标准，VPN可以按几个标准进行分类划分： VPN的隧道协议主要有三种，PPTP、L2TP和IPSec，其中PPTP和L2TP协议工作在OSI模型的第二层，又称为二层隧道协议；IPSec是第三层隧道协议。这里使用的是IPSecVPN。

4.7 IP地址配置信息

防火墙与路由器配置信息 vlan信息配置 核心交换机配置 财务部无法访问其他部门，其他部门也无法访问财务部。其他部门可以相互访问。这里使用PC1模拟管理部，PC2模拟财务部。可以发现PC1无法访问PC2，但可以访问其他部门。PC2无法访问所有部门。

在核心交换机上配置DHCP服务器，可以给内网设备分配IP地址

端口映射访问内部web服务器，这里使用了分配了一个公网IP地址202.100.28.3，来映射内部web服务器192.168.200.2，可以通过外网ping202.100.28.3来抓包分析出端口映射的原理。

内网访问外网采用easy-ip，内网地址转换成了防火墙的端口IP地址

使用vrrp和mstp技术实现冗余备份和负载均衡，使用bfd技术实现链路的快速检测，vlan10-vlan30的主交换机为core1，vlan40-vlan60的主交换机为core2

正常情况下pc1访问pc2走core1交换机，当core1的vlan10端口断开时则走core2备份vlan10，当一直ping通时，断开vlan10，利用bfd链路的快速检测，使得不会掉很多包

内部用户可以访问ftp服务器，这里由于使用的是eNSP模拟器，需要使用单独的Client才能访问，需要填写服务器的IP地址，文件传输模式改为PORT，登录就可以在服务器文件列表中显示文件

使用防火墙技术控制内外网的访问，使得vlan10-vlan30访问电信，vlan40-60访问联通，将网络划分为三个区域，trust，dmz，和untrust。由于做了双出口，这里自定义了两个区域ctcc和cucc。一个优先级为15，一个优先级为10

这里使用PC1测试外网，可以访问电信IPS，但是无法访问联通IPS。PC2测试外网，可以访问联通IPS，但无法访问电信IPS。如果其中一条链路中断时，会自动检测走正常的线路，这里模拟电信IPS出现故障，PC1自动走联通IPS。

利用vpn技术访问分公司，这里使用的是IPSecvpn,分别在电信IPS和联通IPS都设立了vpn，也是根据策略路由来实现分流访问

当一条外网线路中断时，依然可以利用vpn访问分公司

通过抓包分析，当使用vpn访问时，外网无法抓取数据包，这对于安全性有了大幅的提升。

总结 本篇设计的最大特点就是使用多种技术来实现网络的通信，总公司运用交换技术控制VLAN间访问、保证信息安全，通过配置不同的VLAN等方式来隔离广播和信息流。配合VRRP、MSTP技术和BFD技术，在整个系统内消除单点故障，提供高可用性的应用服务系统。公司使用路由协议DHCP可以使用户更加方便的获取IP地址，方便管理员的管理。同时使用防火墙，提高网络通信的安全性能。