《广州星光科技有限公司网络规划与设计.docx》由会员分享,可在线阅读,更多相关《广州星光科技有限公司网络规划与设计.docx(34页珍藏版)》请在taowenge.com淘文阁网|工程机械CAD图纸|机械工程制图|CAD装配图下载|SolidWorks_CaTia_CAD_UG_PROE_设计图分享下载上搜索。
1、广州星光科技有限公司网络规划与设计摘要:随着互联网的井喷式快速发展,网络的更新换代节奏越来越来,特别地华为开启5G时代到来,实现真正意义上的万物互联。无论是各行各业还是百姓的生活均离不开网络,因此企业在如今信息大爆发的互联网时代下,构建属于自己的网络加入到世界网络上就显得尤为重要。构建方便、安全、快捷的网络实现员工的自动化办公,信息资源共享是迫在眉睫的。本毕业设计以科技公司的网络作为网络规划为背景,对一些中小型企业对于网络的需求进行综合概括,再进行规划与设计出合适可行的方案。利用自己所学的知识以及外面资源的帮助,利用网络技术IPsec VPN技术、NAT地址转换技术、VRRP路由的冗余备份等各
2、种相关的技术来实现内部与外部的网络之间的相互通信。最后通过华为的模拟器eNSP进行网络拓扑图设计以及进行实验测试,验证本次毕业设计是可行的。关键字词:互联网,网络技术,网络规划Guangzhou Xingguang Technology Co., Ltd. network planning and designAbstract: With the rapid development of the Internet, the rhythm of network upgrades is becoming more and more frequent. In particular, Huawei h
3、as started the 5G era and realized the real interconnection of all things. It is inseparable from the Internet in all walks of life and in the lives of ordinary people. Therefore, in the era of the information explosion in todays Internet, it is even more important for companies to build their own n
4、etworks and join the world network. To build a convenient, secure, and fast network to automate office work for employees, information resource sharing is imminent.This graduation design takes the network of technology companies as the network planning background, summarizes the network requirements
5、 of some small and medium-sized enterprises, and then plans and designs suitable and feasible solutions. Utilize the knowledge you have learned and the help of external resources, use network technology IPsec VPN technology, NAT address translation technology, VRRP routing redundant backup and other
6、 related technologies to achieve internal and external network communication. Finally, Huaweis simulator eNSP was used to design the network topology diagram and conduct experimental tests to verify that the graduation design is feasible.Keywords: Internet, network technology, network planning目 录1 绪
7、论11.1 课题背景11.2 课题意义11.3论文设计结构22 需求分析32.1 网络建设需求分析32.2 办公网络主干分析33 公司网络逻辑设计53.1 网络设计原则53.2 公司网络整体拓扑设计53.2.1 公司网主干结构设计53.3.2 公司内部通信网络结构设计63.3 IP地址设计73.2.1 IP地址规划73.2.2 网络地址分配73.2.3 vlan的划分73.4 设备选型83.4.1 核心层设备83.4.2汇聚层设备103.4.3 接入层设备103.4.4 服务器设备114 技术实施方案134.1 vlan技术134.2 ACL访问控制列表技术134.3 IPSG技术154.4
8、防火墙技术164.5 NAT网络地址转换协议174.6 OSPF动态路由协议184.7 无线网络的搭建194.8 DHCP服务器搭建205 网络连通性测试235.1不同vlan之间的通信235.2验证DHCP服务235.3验证Ftp、Http服务器255.4 验证NAT地址276 结论28参考文献29致谢30301 绪论1.1 课题背景在当今时代,随着5G时代的到来,企业对于网络的需求依赖度不断地提高,甚至到了离不开网络地步,网民们无论在生活上还是工作上都离不开网络,网购、支付包(微信)支付、外卖等等都与网络息息相关,而在工作上,今年突遇新冠病毒的影响,网课、网上办公更是需要网络的支持;因此,
9、网络成为人们生活、学习和工作上必须的部分。而对于一个企业来说,部署自己的网络环境更是必不可少的。一个企业拥有自己的网络是必须的,而以IT技术、互联网发展的公司更是如此了。因此很多企业现急需开始建设自己的网站以及在各种各样的自媒体上来宣传自己的品牌,来提高公司的知名度。办公话自动化极大的提高了企业的办事效率,企业的局域网也给员工带来了很大的方便性。广州星光科技有限公司现在要由番禺区搬迁到天河区,是一家以数据存储、应用安全、技术为核心业务的高新技术企业。现星光科技有限公司有意向成为具备为国内外企业提供云数据存储、信息安全、软件开发、安全技术服务等方案解决能力的快速发展型公司,因此需快速建设一套稳定
10、、快捷、安全的网络环境,网络需要实现网络互通、信息共享、实时在线更新最新的资源、无纸化办公、高宽带覆盖全公司网络WiFi。因此公司现急需建设一套稳定高速的网络系统,适应新的办公地址,用以保证搬迁之后公司即可正常上班,使用公司网络环境,不影响到公司业务的正常运行1.2 课题意义本次课题的意义是研究适应当前中小型企业对于网络系统环境的需求,为中小型企业对于网络的建设提供一个可靠低成本的网络规划与设计方案。对于本次课题的公司网络建设,主要通过了解公司对于网络的需求进行分析,选择当前市场上功能强大成本的网络设备,利用自己所有的网络知识和在实践过程中学到的知识,对ACL技术、防火墙技术、无线技术等搭建好
11、公司的网络,目的是保证公司内部网络可以高效的进行数据传输与交换,与外网进行实时有效的信息交流,达到满足一般中小型企业的对于网络的需求,在保证公司络的通信的质量后,也需要为公司未来的可持续升级改造做一个方案设想。1.3论文设计结构本次论文的设计第一章主要介绍课题的背景及课题意义;第二章对星光科技有限公司对于网络需求进行分析;第三章在遵循网络规划的原则上对网络进行规划和设计,且公司对于使用的IP地址进行划分以及选择合适的网络设备;第四章对于网络建设所采用的技术进行介绍,采用安全先进的技术保证公司网路的建设;第五章通过搭建模拟实验环境测试本次论文设计方案的网络连通性;第六章对本次论文设计进行总结。2
12、 需求分析2.1 网络建设需求分析公司主要建设一个功能强大的网络系统,还需建立一台DNS服务器,便于用域名访问服务器,一台FTP服务器,用于公司平常的资料简单共享,上传、下载需求。 当前建设的企业级网络系统大部分以光纤做为传输媒介进行支撑、以相应的网络技术为关键、以华为的核心级交换机为数据的流通中心、各部门信息中心的网络部署为多节点的的分层结构、满足公司各部门进行工作职能相关的网络功能需求、信息资源共享统一的网上应用系统,再进一步发展成为独立的多功能网络应用平台。本次设计的目标是建设公司的办公信息网络交换平台,各部门信息集中化的网络系统。设计一个网络系统的需求有以下这几个条件:(1) 安全、高
13、效、方便的计算机网络系统。(2) 内部的网络,以B/S或C/S的方式实现最新信息的收送。(3) 内部的建立电子邮件系统(企业邮箱)、实现公司重要文件的传递。(4) 各种文件资源及实时信息的共享,实现人性化管理。2.2 办公网络主干分析公司还需要建立一个高速、安全、稳定的数据网络控制中心。公司总有6个部门,分别管理层、销售部、信息部、后勤运营部、财务部、人力资源部;另外还有2个办公区,1个智能会议室,1个综合会议室。公司自行建设服务器给外网提供访问。另外各个部门计算机数量由所需决定,如人力资源部和财务部均有20台,行政主管会相对较少。现在公司属于网络建设初期,公司网络主要为以太网连接和无线WiF
14、i覆盖;公司网络需求主要有以下几点:表2-1 办公楼布局一层运营后勤部二层销售部人力资源部三层综合会议室智能会议室四层行政主管财务部五层专用机房(各种服务器)公司的主干网通过防火墙过滤规则后再与外界的互联网进行对接,实现与外网的信息共享与交换,其余的各子网接入公司内部的主干通信局域网。主干网接入互联网是有线的综合宽带网,速率在100Mbps上下;主干为1000M的光纤线路,其它部署为超五类双绞线。3 公司网络逻辑设计3.1 网络设计原则一个企业级网络系统环境的设计需要符合原则,其中包括网络设计要求、网络拓扑的设计、IP地址的规划、需要的设备类型以及设计到的技术方案等。系统设计原则是建设企业智能
15、化网络系统的基础和充分必要条件,在企业网络系统设计中应充分考虑:稳定性与高效性,先进和安全性等原则。稳定性与高效性:支持行业的主流标准,且符合未来的发展潮流。保证网络系统的稳定性,便于使用,方便管理和维护。先进性与安全性:采用目前网络技术的最新各种容错灾备技术和系统备份与恢复技术,用以保证公司网络系统有较高的安全可靠性。采用vlan技术划分IP、ACL访问控制列表,防火墙技术等安全控制措施,以保证系统的安全,不被外界入侵导致网络系统瘫痪。3.2 公司网络整体拓扑设计3.2.1 公司网主干结构设计广州星光科技有限公司的主干网络主要以核心层、汇聚层、接入层的三层结构进行规划设计,其中在汇聚层旁挂无
16、线设备,是WIFI网络服务可以覆盖全公司,保持员工在公司进行工作的网络全面畅通、无碍。公司的整体拓扑结构如图3-1所示:图 3-1主干网网络拓扑图3.3.2 公司内部通信网络结构设计公司内部通信网络主要为华为的二层交换机接入主机,以三层交换机代替路由器作为公司的核心层和汇聚层,使网络数据的交换更高速,进行自动获取路由表寻址到达目标。公司内部通信网络拓扑如图3-2所示:图3-2 内部通信网络拓扑图3.3 IP地址设计3.2.1 IP地址规划 (1) 根据目前网络系统的结构和后续拓展,规划IP地址应遵循以下三个原则。l 唯一性:所有可用的网络设备IP地址是只有一个的,一个IP地址只能对应一台网络设
17、备。l 连续性;在同一个通信网络区域的的设备,需划分为同一网段的连续网络地址,用于方便规划以及提高交换机时路由寻找路径的效率。l 高效性:应采用可变长子网掩码技术进行划分IP地址网段,要求采用支持可变长子网掩码技术的TCP/IP协议族。(2) 业务地址的划分可按照两个原则来分配。l 通过公司的部门进行IP地址规划,每个部门独立分配一个的网段,配置不同的vlan;此方案目前适合公司业务种类较少的情况,主要管理方便。l 通过公司的业务流向进行IP地址划分,一种业务分配一个网段,所有的目标客户同一业务的使用同一网段进行配置,此方案比较适合各业务之间的访问控制。3.2.2 网络地址分配 IP地址的划分
18、主要包含以下三个方面;(1) 网络设备和互连链路的地址划分(2) 部门IP地址划分(3) 服务器IP地址划分 根据以上IP地址的划分原则,公司的IP地址的设计如下: 公司办公楼:10.1.10.010.1.60.2553.2.3 vlan的划分表3-1办公楼的 vlan的划分部门/子网vlanIp 地址网关DNS财务部vlan 1010.1.10.0/2410.1.10.1202.102.102.1管理层vlan 2010.1.20.0/2410.1.20.1202.102.102.1销售部vlan 3010.1.30.0/2410.1.30.1202.102.102.1人力资源部Vlan40
19、10.0.40.0/2410.1.40.1202.102.102.1前台Vlan4010.1.40.0/2410.1.40.1202.102.102.1会议室vlan 5010.1.50.0/2410.1.50.1202.102.102.1后勤运营部vlan 6010.1.60.0/2410.1.60.1202.102.102.13.4 设备选型核心层网络设备:三台华为s5700-24TP核心交换机,一台华为Quidway AR28-11 核心路由器。汇聚层网络设备:分为3部分,分别为:后勤运营部门子网、管理层行政子网、信息技术子网,共需3台华为Quidway S3928F-EI三层交换机.接
20、入层网络设备:每个部门分化一个vlan,每个vlan由4台华为Quidway S2300二层交换机。3.4.1 核心层设备图 3.-3 核心层交换机表3-2 核心层交换机参数设备名称设备功能特性5570-24TP核心层交换机QOS:支持对端口接收和发送报文的速率进行限制支持报文重定向支持基于端口的流量监管,支持双速三色CAR功能每端口支持8个队列支持WRR、DRR、SP、WRR+SP、DRR+SP、队列调度算法支持报文的802.1p和DSCP优先级重新标配选择华为S5700-24TP-SI(AC),如上图3-3、表3-2所示,该设备为千兆以太网交换机,应用于三层功能全面,性能强大,适合做企业的
21、核心交换机。图3-4 华为Quidway AR28-11 核心路由器表3-3 核心路由器参数功能参数防火墙内置防火墙纠错Qos支持支持VPN支持支持网络管理console、RMON、SNMP、TELNET、管理软件其它参数处理器MPC8241 200MHz产品内存DRAM内存;128MBFLASH内存32MB纠错电源电压AC100-240V,50/60Hz,DC-48-60V产品尺寸442X315X44mm如上图3-4和表3-3可知,华为Quidway AR28-11 核心路由器WAN/LAN是多业务路由器。是面向运营商网络和企业用户的网络产品。3.4.2汇聚层设备图3-7 华为Quidway
22、 S3928F-EI交换机表3-4 Quidway S3928F-EI交换机参数网络参数网络标准IEEE802.3,IEEE802.3u, IEEE802.3d, IEEE802.3ab,IEEE802.3x传输模式全/半双工自适应CLI支持命令接口(CLI)配置,支持telnet远程配置,支持通过console配置,支持SNMP,支持rmon1,2,3,9组MIB,支持华为ImangerN2000 DMS网管系统堆叠功能能堆叠端口参数接口数量26个接口类型24个百兆STP口,2个千兆STP口和2个10/100/1000M电口模块化插槽数2个其它安全性用户分级管理和口令保护支持IEEE 802
23、.1X 认证支持AAA、Radius、HWTACACS认证支持MAC地址学习数目限制支持MAC地址与端口绑定如上图3-7和表3-4可知,华为Quidway S3928F-EI交换机系统采用IRE(智能弹性架构)技术,将多台分散的设备组成同一的交换矩阵,非常适合作为可拓展性、可靠性、安全性和易管理性的办公网、业务网和驻地网的汇聚层交换机;提供基于WLAN的批量ACL下发,支持对报文的过滤、优先级设置,保障高优先级业务和用户的安全需求。3.4.3 接入层设备图3-9 华为Quidway S2300接入交换机表3-5 华为Quidway S2300接入交换机参数网络参数网络标准IEEE802.3,I
24、EEE802.3u, IEEE802.3d, IEEE802.3ab,IEEE802.3x网管功能支持命令接口(CLI)配置,支持telnet远程配置,支持自动配置功能,支持SNMP,支持V1/V2/V3,支持RMON,支持集群管理HGMP V2堆叠功能不能堆叠端口参数接口数量26个接口类型10/100BASE-T,10/100/1000Base-T,100/1000Base-X/STP COMBO模块化插槽数2个其它是否支持全双工全、半双工网管支持可网管型电气规格电源电压额定电压范围:-48-60V dc最大电压范围:-36-72V dc额定功率15.5W外观参数重量2.4KG长度442mm
25、宽度220mm高度43.6mm如上图3-9和表3-5可知华为Quidway S2300接入交换机是新一代智能的接入交换机,面向IP城域网和企业网,可以实现以太网多业务承载以及各种以太接入场景;可以为用户有效地提高产品可运营、可管理、业务拓展能力,具备优异的防雷能力和安全特性,支持acl、QINQ等功能,满足WLAN灵活部署的需求。3.4.4 服务器设备服务器是公司的重要网络设备之一,提供公司内部许多服务的支撑,比如ftp服务等,因此需要根据公司的需求选择合适的服务器设备,如下图3-11所示:图3-11 IBM System x3650 M2表3-6 IBM System x3650 M2参数内
26、存内存类型ECC DDR3内存容量2GB*3最大内存128GB存储硬盘类型SAS/SATA光驱可选网络网络控制器集成的双千兆以太网其它参数PCI拓展槽4环境参数工作温度10-35工作湿度8%-85%工作高度2133m存储温度10-43存储湿度5%-9%存储高度2133m如表3-6可知,IBM System x3650 M2拥有多功能和可靠的技术,是属于节能智能型的服务器设备。X3650 M2拥有先进的虚拟化功能,还提供每个内核内存容量,支持功效、经济的实施虚拟化。4 技术实施方案4.1 vlan技术 Vlan称为虚拟局域网,虚拟局域网VLAN是一组在逻辑上的设备和用户,这些设备和用户并不会受到
27、物理网段的限制。可以依据公司的每个部门业务工作性质和网络需求,公司的办公通信网络按照部门业务进行vlan的划分,每个部门划分为不同的vlan网段,同在一个VLAN网段的网络,部署端口隔离技术。端口隔离技术,具备以下优点:(1)规避广播风暴的发生。Vlan技术能够提供建立防火墙的机制,禁止公司的网络发生过量广播数据。采用VLAN技术可以缩减广播流量,释放冗余的带宽给用户使用,降低广播流量的产生。(2)保障公司网络安全。在公司的汇聚层接入层交换网络,划分为不同的VLAN网段之间是不可以直接进行数据通信的,要通过在三层交换网络进行验证之后才能相互访问进行通信,用来提高公司网络安全,降低发生意外事件导
28、致泄露隐秘信息和数据的可能,保障公司的隐私,为公司通信网络建设安全的上网环境。(3)采用VLAN技术还可以减少公司建设网络系统的成本,增加员工工作的效率,让网络系统方便进行管理,增强网络的灵活性等优势。在同一个部门不相同的物理网段结点能够被划分为同一逻辑子网。对于网络数据和信息资源中心,例如技术部门、财务部门等重要部门应要使用基于传统的MAC地址来进行WLAN划分技术,降低发生IP地址冲突或被盗用等其它的安全问题。4.2 ACL访问控制列表技术ACL访问控制列表技术是保证公司通信网络信息安全的主要策略,它的主要目的是保障网络资源不被外界和内部员工的非法使用和访问,它是保证公司网络安全最重要的核
29、心策略之一。让公司员工在工作的不同进行工作上的的事情;提高公司整体的工作效率。公司网络访问控制列表定义为: 公司各部门之间的网络不能够相互访问,在路由器的出口处进行检验,禁止公司的财务和后勤部门访问外网互联网。Switch acl 3001Switch-acl-adv-3001 rule deny ip source 10.1.10.0 0.0.0.255 destination 10.1.20.0 0.0.0.255 /禁止后勤部访问财务Switch time-range rest-time 0:00 to 23:59 every-daySwitch-acl-basic-2001 rule
30、deny source 10.1.10.0 0.0.0.255 time-range rest-time /禁止财务和后勤部门访问外网 使用ACL限制除了后勤和保安部门不能访问服务器之外的所有部门只能在在工作日8:0021:00时间段可以访问ftp服务器,不能使用QQ 、优酷视频网站。/配置时间段:time-range ftp-access 08:00 to 21:00 working-daytime-range ftp-access from 00:00 2019/5/1 to 23:59 2025/5/1time-range YouKu 08:00 to 18:00 working-day
31、time-range QQ 08:00 to 18:00 working-dayacl number 2001 /ftp服务器的限制 rule 10 permit source 10.1.0.0 0.0.0.255 time-range ftp-access rule 20 deny source 10.1.10.0 0.0.0.255 rule 25 deny source 10.1.20.0 0.0.0.255acl number 2002 /限制员工在工作时间不能访问QQ、优酷 rule 5 deny source 10.1.0.0 0.0.0.255 time-range QQ rul
32、e 10 deny source 10.1.0.0 0.0.0.255 time-range YouKu SNMP中应用ACL过滤非法网管Switch snmp-agent mib-view included isoview01 system /配置MIB视图isoview01能够访问system子树。Switch snmp-agent mib-view included isoview02 interfaces /配置MIB视图isoview02能够访问interfaces子树。 配置团体名,系统管理员在添加新的交换机时,使用团体名进行验证,同时应用设置访问控制,使访问控制策略生效。Swit
33、ch snmp-agent community read adminnms01 mib-view isoview01 acl 2001 /配置adminnms01对system子树具有只读权限。Switch snmp-agent community write adminnms02 mib-view isoview02 acl 2001 /配置adminnms02对interface子树具有读写权限。配置告警主机,并使能交换机主动发送Trap消息的功能。Switch snmp-agent trap enableWarning: All switches of SNMP trap/notific
34、ation will be open. Continue? Y/N:y /打开交换机上所有的Trap开关。缺省情况下仅打开了部分告警开关,可通过display snmp-agent trap all命令查看。Switch snmp-agent target-host trap address udp-domain 10.1.1.1 params securityname adminnms01 v14.3 IPSG技术 IP 源防护是一种基于 IP/MAC 的端口流量过滤技术,它能够防止在同一局域网内的 IP 地址被欺骗攻击。IPSG 能够确保第 2 层网络中终端设备的 IP 地址不会被劫持,而
35、且还能确保非授权设备不能通过自己指定 IP 地址的方式来访问网络或攻击网络导致网络崩溃及瘫痪。可以限制公司的电脑或员工的电脑禁止私自改动ip地址,防止发生IP地址冲突,造成一系列的网络瘫痪,同时限制非法主机访问内网,造成公司文件数据库的外泄、技术的核心内容被盗,造成不可估计的损失。 配置 IPSG 防止静态主机私自更改 IP 地址 acl number 3001 /配置ACLrule permit ip source 10.1.30.2 0 /允许上网的主机rule deny ip source 10.1.0.0 0.0.0.255traffic classifier c1 /if-match
36、 acl 3001 /配置基于ACL的流分类traffic behavior b1 /permit /配置流行为traffic policy p1/classifier c1 behavior b1 /配置流策略user-bind static ip-address 10.1.30.2 mac-address 0002-0002-0002 interface gigabitethernet 0/0/1 /创建Host_1的静态绑定表项 配置 IPSG 限制非法主机访问内网Switch user-bind static ip-address 10.0.0.1 mac-address 0001-0
37、001-0001 interface gigabitethernet 0/0/1 /创建Host_1的静态绑定表项Switch dhcp enable /使能DHCP功能Switch dhcp snooping enable /使能全局DHCP Snooping功能Switch interface gigabitethernet 0/0/4Switch-GigabitEthernet0/0/4 dhcp snooping trusted /配置信任接口4.4 防火墙技术 防火墙指的是一个由软件和硬件设备组合而成、在内部网和外部网之间、专用网与公共网之间的界面上构造的保护屏障。防火墙是一种保护计
38、算机网络安全的技术性措施,它通过在网络边界上建立相应的网络通信监控系统来隔离内部和外部网络,以阻挡来自外部的网络入侵。防火墙技术是建立在现代通信网络技术和信息安全技术基础上的应用性安全技术公司在进行网络规划时需要添加防火墙设备来保证内部网络的安全。这里,将外网划分为untrust安全区域,安全等级为5;服务器群划分到dmz区域,安全等级为50;办公局域网划分到trust区域,安全等级为150。 不同区域间数据流通需要配置相关的安全策略。为了防止黑客利用公司的IP进行地址恶意攻击服务器,因此需配置安全策略,仅允许服务器向办公楼发送服务数据,禁止外网的主机设备向服务器集群发送协议服务。配置安全策略
39、的命令如下:policy interzone trust dmz outboundpolicy 1policy source 10.1.0.0 0.0.0.255policy destination 10.1.100.0 0.0.0.255policy service service-set dnspolicy service service-set httppolicy service service-set ftpaction permit /允许内网的所有主机能够享受到dmz区域内10.1.100.0网段提供的http服、dns服务和ftp服务 通过上述命令,仅允许服务器集群向小区局域网
40、发送dns服务、http服务和访问ftp服务器。能够保证公司局域网络的性能优化,同时避免服务器集群被攻击。4.5 NAT网络地址转换协议 由于公司网络系统终端较多,不可能为每个都分配ip地址,所以,在公司网络设计的时候网络系统可以使用NAT网络地址转换技术把公司的私有IP地址转化为合法的公有IP地址,再接入到外界网络,以保证公司网络能够正常的访问互联网。由于公司网络系统比较复杂,我们采用动态网络地址转换技术。内部地址为公司各部门的网络地址,具体如下:表4-1公司网络地址转换地址:Ip内部地址:10.1.10.0-10.1.100.0/24192.168.10.0 /24公用地址池:210.10
41、2.102.1-210.102.102.8外部地址202.1.1.2配置nat地址池:Nat address-group 1Mode full-cone localSection 1 202.102.102.1 202.102.102.8配置nat策略:Nat-policy interzone trust untrust outbound Policy 1Policy source 10.1.0.0 0.0.0.255Action source-nat Address-group 14.6 OSPF动态路由协议公司网络使用OSPF动态路由协议,可以保障公司的路由表信息进行实时更新。由于公司网络
42、的接入点较多,网络结构比较复杂,如果采用静态路由技术进行配置,系统管理员配置的工作量会大大增加同时也会不方便进行管理,并且OSPF收敛的速度快,可以控制自身的开销值少。所以公司网络采用ospf动态路由协议,具体的的配置实现过程如下所示: 在公司所有的的汇聚层交换机和防火墙上分别配置ospf协议,保证公司局域网内网络的连通信。在交换机配置:ospf 1area 0 /区域默认为0network 10.1.20.0 0.0.0.255 /添加交换机直连网段network 10.1.30.0 0.0.0.255通过上述命令,交换机会自动进行路由,并把直连路由自动分布出去,大大减少了人工成本时间。4.
43、7 无线网络的搭建 无线局域网WLAN已经成为当前企业IP网络建设不可或缺的一部分。关于公司员工正常的工作,无线局域网当前来说主要设计到的领域一般归结为以下三个方面:数据处理,语音通讯,实时定位。给公司搭建一套无线局域网系统,实现公司区域全面网络覆盖,实现公司的每楼层,每区域都能连接到网络。主体的骨干网络拓扑如下:图4-1 无线网拓扑图 配置命令如下:1. 配置Trunk命令:vlanbatch100101102103interfaceGigabitEthernet0/0/1portlink-typetrunk porttrunkpvidvlan100porttrunkallow-passvl
44、an100 101 102 2. 配置虚拟端口IP:Dhcp enableInterface vlanif 100Ip address 10.1.100.1 24Dhcp select interface3. 配置AC wlan基础配置wlanac-globalacid1carrieridotherwlanac-globalcountry-codeCNACwlanWlan ac source interface vlanif 100Ap-auth-mode no-auth1. 配置AC WLAN 业务参数2. #创建wlan-ess接口 interface wlan-ess 0/port hy
45、brid pvid vlan 1013. #创建wmm模板 security-wmm-profile name wmm4. #创建安全模板 security-profile name secrity5. #创建流量模板 traffic-profile name traffilc4.8 DHCP服务器搭建 DHCP是一个局域网的网络协议,只要功能时可以给在局域网内部的主机进行自动分配动态ip地址,方便管理员对局域网内部的主机进行划分与管理,公司网络系统的接入点多,如果每台主机都进行手动分配静态ip地址,那么公司的管理员工作量会增加很多,同时在管理和维护公司的网络系统时也会增很多难度系数,为了节约
46、网络建设成本,因此搭建DHCP服务器给主机进行自动分配IP是必要的,利用华为三层交换机在核心层搭建DHCP服务器。同时可以有效防止用户将不符合规范的的DHCP服务器接入到网络中,例如用户自带的无线路由器等,致使正常的用户获取到不正确的IP地址,从而上不了网或者导致正常用户获取到IP地址出现有冲突的情况,部需开始DHCP Snooping功能。给公司的主要部门搭建DHCP服务器,基于全局地址池如下:表4-2 IP地址池vlanIp 地址池网关DNSvlan2010.1.20.2-10.1.20.25410.1.20.1192.168.10.10vlan3010.1.30.2-10.1.20.35410.1.30.1192.168.1