目录
4.1 开放式最短路径优先(Open Shortest Path First,OSPF)
4.2 以太网链路聚合(Ethernet Link Aggregation,LAG)
4.3 生成树协议(Spanning Tree Protocol,STP)与根保护功能
4.5 虚拟路由冗余协议(Virtual Router Redundancy Protocol,VRRP)
4.6 动态主机配置协议(Dynamic Host Configuration Protocol,DHCP)
4.7 访问控制列表(Access Control List,ACL)
4.8 网络地址转换(Network Address Translation,NAT)
摘 要:随着通讯技术的不断发展,通讯企业网络也在不断地演进和发展。传统的通讯企业网络主要采用集中式的架构,核心路由器集中管理所有的流量,这种方式存在单点故障的风险,并且扩展性受限。随着技术的发展,通讯企业网络逐渐采用分布式架构,将流量分散到多个交换机上,提高了网络的可靠性和扩展性。由于数字化的不断发展,通讯企业网络也向着数字化、智能化的方向发展。网络设备和终端设备之间的通讯变得更加智能化,网络设备可以自动感知网络拓扑和设备状态,从而更好地进行流量调度和管理。通讯企业网络的安全性越来越重要。网络安全威胁不断增加,通讯企业网络需要采取更加严格的安全策略来保护网络安全。同时,网络安全技术也在不断地发展和演进,例如,网络入侵检测技术、安全认证技术、数据加密技术等。基于以上因素,本文将使用华为ENSP软件进行规划,并对网络层结构与关键协议进行分析,最后对整个通讯企业网进行连通性与可靠性测试并给出具体的解释与总结。
关键词:华为ENSP;通讯企业网络;路由器;交换机
Abstract: As communication technology continues to evolve, so does the communication enterprise network. Traditional communication enterprise networks mainly employ a centralized architecture, where the core router centrally manages all traffic, a model that has the risk of single point of failure and limited scalability. As technology has evolved, communication enterprise networks have gradually adopted distributed architectures, which distribute traffic to multiple switches, improving the reliability and scalability of the network. Due to the continuous development of digitalization, the communication enterprise network is also moving in the direction of digitization and intelligence. Communication between networked devices and terminal devices becomes more intelligent. The network devices can automatically perceive the network topology and the device state, enabling better scheduling and management of traffic. The security of communications enterprise networks is becoming increasingly important. Cybersecurity threats are on the rise. Communication enterprises need to adopt more stringent security policies to protect network security. At the same time, network security technology is also developing and evolving, such as network intrusion detection technology, security authentication technology, data encryption technology and so on. Based on the above factors, this paper will use Huawei ENSP software for planning, and the network layer structure and key protocol analysis, and finally the entire communication enterprise network connectivity and reliability test and give a specific explanation and summary.
Keywords: Huawei ENSP;communication enterprise network;router;switch
第1章 绪论
1.1 研究背景及意义
网络建设对小型通讯企业的重要性越来越受到关注。通过使用网络技术建设,小型通讯企业可以降低成本,提高效率,并扩大市场范围。但是,小型通讯企业在构建和管理网络方面面临着很多挑战。他们可能没有足够的技术专业知识和资源来构建和维护网络,而且网络安全问题也是一个重要的考虑因素。因此,对于小型通讯企业网络的研究变得越来越重要,以帮助这些企业更好地利用网络技术来提高其业务效率和竞争力。eNSP是华为开发的模拟软件,很适合中小型通讯企业网络的模拟搭建,这个设计是基于eNSP对中小型通讯企业的安全网络进行设计和实现,以及针对规划过程中可能出现的各种情况给出应对和解决方案。
1.2 国内外发展现状
通讯企业网络是企业内部通讯和数据传输的重要基础设施,目前在国内已经有不少相关研究首先,在通讯企业网络的架构方面,研究人员对三层架构、四层架构等不同的网络架构进行了研究。例如,在三层架构之间的流量分配问题,以及如何在网络中实现负载均衡等问题都得到了深入的研究。其次,在通讯企业网络的性能优化方面,研究人员探索了不同的性能优化策略,例如基于网络流量分析的优化、基于缓存技术的优化、基于多路径路由的优化等等。这些优化策略可以提高网络的吞吐量、降低网络延迟、提高网络的可靠性等指标。此外,通讯企业网络的安全性也是一个重要的研究领域。研究人员针对不同的安全威胁,例如DDoS攻击、恶意软件等,提出了不同的防御策略,例如基于流量过滤的防御、基于虚拟专网的防御等等。同时,还有研究针对企业内部网络安全问题,例如内部员工的安全行为、内部网络漏洞管理等方面展开研究。
通讯企业网络的研究不仅仅局限于国内,国外的研究也在不断推动着通讯企业网络的发展。在通讯企业网络中,虚拟化技术可以将网络资源虚拟化为多个独立的虚拟网络,以提高网络的可扩展性和可管理性。国外的研究人员在网络虚拟化技术方面做出了很多的贡献,例如在SDN(软件定义网络)和NFV(网络功能虚拟化)方面的研究[1]。通讯企业网络中,网络安全和隐私保护一直是重要的研究领域。国外的研究人员在这方面也做出了很多贡献,例如探索如何应对网络攻击、如何加强网络隐私保护等问题。
总之,国内外的研究者从不同角度展开通讯企业网络建设的研究,在随着互联网的发展,国内对网络基础建设的重心转移,以及对各种网络协议与网络设备不断地更新与迭代,都为通讯企业的网络建设提供了重要的支撑。通讯企业网络研究正不断深入发展,不仅仅是在技术领域的研究,还包括在实际应用场景下的验证和优化,为企业提供更加高效、安全、智能的通讯网络服务。
1.2 通讯网项目需求分析
在此毕业设计课题中,以中国移动通信集团广西有限公司(昭平分公司)网络拓扑进行设计,中国移动通信集团广西有限公司内大体可以划分为如下6个部门,即管理区,人力管理区,运行维护区,客户服务区,计划财务区和网络建设区。
(1)通讯企业的局域网需要采用三层架构。核心层采用三层交换机为核心交换机承担核心交换的任务。汇聚层利用两台交换机让流量进行汇聚并发送至核心层。接入层交换机则承担着连接设备和增强端口容量的工作。
(2)通讯企业中不同办工区域要划分VLAN,不同接入层交换机上划入不同VLAN,以及通过访问控制列表ACL协议使各部门之间不能互相访问数据。
(3)企业网内部设置DHCP服务器,以便接入区设备可以自动获取对应VLAN下的IP地址。
(4)在内网服务器上配置DNS(域名系统),并且配置HTTP服务器与FTP服务器。
(5)在汇聚层交换机上部署VRRP,保证在发生特殊情况时IP数据包的转发不会发送严重错误。
(6)在出口区中,核心路由器承担大量数据包转发及NAT协议配置等功能,使内网私有IP地址能够与外网交换数据且能避免网络外攻击、隐藏和保护内网设备等。
第2章 网络设备与性能指标
2.1 华为设备
在通讯企业网中,路由器和交换机是企业网络中最基础和重要的设备,它们起着决定性作用。路由器负责网络的连接和数据包的转发,交换机负责局域网内部的数据包转发,它们的性能、可靠性和安全性直接影响企业网络的质量和稳定性。
路由器和交换机需要具有高速的数据传输能力,支持多种协议和功能,如QoS、VLAN、VPN等,以满足不同的业务需求,这就需要采用先进的芯片和硬件技术,导致设备成本相对较高。
企业网络的规模和复杂性越大,所需要的路由器和交换机数量和种类也越多,这也会增加企业的设备成本。为了保障网络的安全性和可靠性,路由器和交换机需要支持各种安全功能和协议,如ACL、SSL、IPSec等,这也会增加设备成本。
因此,路由器、交换机等设备的成本固然重要,但也是企业网络建设中必不可少的投资。通讯企业也需要根据自身需求和预算选择合适的设备,并充分考虑网络建设中的长期投资收益。
华为拥有网络通讯设备界最完整、最全面的产品线,能够为企业提供各种解决方案,杜绝了不同装置之间的兼容问题,不仅设备的利用率得到提高,还可以节约调试时间,有效提高网络规模的可靠性与安全性[2]。
2.1.1 核心路由器
路由器是连接两个或多个网络,连接不同的网关,是一种特殊的智能网络设备,可以读取每个数据包中的地址并确定传输模式。路由器可以了解局域网的以太网和Internet的TCP/IP等协议。当需要传输一些重要数据时,路由器会自动选择合适的传输方式发送数据,并将其存储在内存中,以备将来调用。路由器具备多种网络数据包目的地址解析能力,可将IP与MAC地址进行互相转化。此外,路由器还可根据所选路由算法,按照最佳路径将每个数据包输送到指定地点。另外,路由器还能通过控制端口向用户提供所需服务信息。因此,路由器能够将非TCP/IP网络与因特网相连接。
就企业通讯网络而言,使用场景比较繁杂且终端众多,需求不仅仅是进入外网,数据的内部传输十分频繁,对硬件和软件都有较高性能需求,因此企业级路由器产品无论是在CPU还是网卡芯片上,均采用企业架构,当前情况下费用相对较多,不过稳定性跟性能很不错,这也恰恰是商家们所孜孜以求的。
所以路由器的选择在通讯企业网络的建设中尤为重要,我们采用了AR2220路由器作为核心层与出口区的路由器设备。在实际通讯企业网的建设中可以采用NetEngine 5000E路由器作为核心设备。
华为NetEngine 5000E X16采用了多核处理器和高速交换矩阵技术,支持高达1600Mpps的转发性能,可以满足大规模的数据传输需求,可以通过多机框集群技术,使得接口容量可以增加至80Tbps,并且采用了多重故障保护机制,包括热备份电源、热插拔模块、硬件和软件冗余等,可以保障路由器运行的可靠性和稳定性。华为NetEngine 5000E X16支持多种接口类型和交换模式,包括千兆、万兆、光纤等,可以适应不同的接入和汇聚场景。能够支持多重安全保护机制,包括数据加密、用户身份认证、防御攻击等,可以保障网络的安全性和隐私。
图2-1 NetEngine 5000E X16 路由器
表2-1 NetEngine 5000E系列路由器部分参数
| 参数 | NE5000E-X16A单机 | NE5000E-20单机 | NE5000E集群 |
| 交换容量 | 40.96Tbps | 102.4Tbps | 819.2Tbps |
| 转发能力 | 10816Mpps | 18120Mpps | 144960Mpps |
| 主控槽位数 | 2 | 2 | 4 |
| 交换网板槽位数 | 4 | 7 | 32 |
| 网板槽位数 | 16 | 20 | 160 |
综上所述,华为NetEngine5000E X16路由器具有高性能、高可靠性、高灵活性、高安全性和简单易用等优势,所以特别适用于通讯企业和运营商级网络的接入和汇聚。
2.1.2 交换机
传统企业局域网中所有计算机都在同一网段和同一广播域内。网段中需要传输数据的节点必须先监听全网,若此时还有另一个节点在传输数据,则监听节点会一直等下去直至传输节点完成传输任务。所有节点发送广播信息都将在网络中各个端口上进行广播。网络中设备数量不断增加时,广播占用时间增加,导致传输信息出现延时现象,使得网络设备与网络断开连接甚至导致全网阻塞,瘫痪而产生广播风暴。当网络计算机位于同一网段中,计算机间能够相互接入,网络安全便很难得到保障,计算机病毒也能无阻碍的在网上恣意蔓延而不能被孤立。
因此,在企业通信网络中,需要三层交换机作为汇聚层的核心设备,控制和限制接入层对核心层的访问[3][4],以保证核心层的安全性和稳定性。在ENSP拓扑图中汇聚层、服务器区与接入层交换机设备均采用S5700系列交换机。
华为S5700系列交换机是特别适用于企业级和中小型数据中心网络的交换机产品,采用了高性能芯片和多种优化技术,可以提供高速、低延迟、高可靠的网络传输性能,满足企业级和数据中心网络的需求。可以支持多种交换模式和接口类型,包括千兆、万兆、光纤等,可以满足不同网络接入需求,同时,它还支持智能堆叠、智能缓存等技术,提高网络可靠性和灵活性。能够支持多种安全保护机制,包括网络隔离、访问控制、用户身份认证等,可以保障网络安全性和稳定性[5]。
华为S5700系列交换机采用简单易用的Web界面和命令行界面,可以方便地进行配置和管理。此外,它还支持自动发现、自动部署等功能,降低了运维成本,而且也支持灵活的硬件和软件配置,可以根据不同网络规模和应用场景进行扩展和升级,主要参数如表:
图2-2 S5700-28P-LI-AC交换机
综上所述,华为S5700系列交换机具有高性能、灵活可靠、高安全性、简单易用、可扩展性等优势,所以适用于企业级和中小型数据中心网络的接入和汇聚。
2.1.3 服务器
服务器可以提供高速、不受影响的数据保存,实现企业内部的数据和资源的共享和管理。通过搭建服务器,企业可以实现对数据的集中控制、存储,可以避免数据丢失和泄露等问题。还可以提供各种安全服务,例如防火墙、入侵检测和防御、安全审计等,保护企业网络和数据安全。服务器也可以提供身份认证、访问控制等安全措施,保障企业网络的安全性[6]。服务器可以利用虚拟化技术,将CPU、内存、硬盘等物理资源划分为多个虚拟资源,为多个应用和用户提供资源共享。通过服务器资源共享,企业可以提高系统可靠性和灵活性。
因此,服务器在企业网络中是至关重要的基础设施之一,企业需要根据需求和预算,决定适合自己的服务器,并充分利用服务器提供的各种服务和功能,以提高企业的工作效率和管理水平。
华为2480高性能服务器是一款2U机架式服务器,采用昆鹏920处理器,最高256核,主频计算能力2.6GHz。2U机架式服务器具有高密度计算、出色的存储性能和快速的网络速度。它特别适用于企业园区中的服务器集群。
图2-3 华为2480高性能服务器
综合来看,华为2480高性能服务器具有高性能、高可靠性、灵活可扩展性、高能效节能和安全可信等优势,可以适用于大规模计算和企业级应用场景。
2.2 性能指标
2.2.1 可行性
在设计上,使用ENSP软件与简化的设备可以得到较完善的网络规划拓扑;在设备上,使用华为在售的先进设备,可以一键式采购设备,以及在华为官网上均有详细的设备介绍与说明,便于及时更新设备与检修;在功能上,接入区有六个不同的办工区域,且各个部门之间不能互相通讯,对于部门的隐私性有合理的保护,各部门也可以通过内网(服务器)之间交换数据,可以做到既传递信息时不泄露各部门的隐私数据。
2.2.2 安全性
在设备上,华为交换机设备提供了多种安全功能,如访问控制、端口安全、攻击防范等,能够提高组网的安全性。在汇聚层均部署了BPDU保护与根保护功能,不仅确保网络的拓扑结构稳定,还可以提高网络的安全性。在核心层与出口区主要配置了OSPF协议,在链路发生故障或者更变时,整个组网可以快速反应并做出对应的措施。
2.2.3 经济性
相对于其他品牌的交换机设备,华为交换机设备具有更低的价格,可以为企业节约部署成本。华为交换机设备采用了先进的芯片技术和高效的转发算法,能够实现高速、稳定的数据传输,能够满足各种网络应用的需求。
并且华为交换机设备具有高可靠性,支持热备插拔、智能防抖、链路备份等多种技术,可以有效降低网络故障率,提高网络的可用性,在网络出现故障时,可以进行及时的纠错,减少成本上的损失。
eNSP软件下的虚拟环境设计如图3-1所示:
图3-1拓扑图
3.1 接入区
在通讯企业网络中,接入区指的是接入用户设备(如PC、手机、平板等)的区域。接入区中通常会配置交换机和接入点设备,可以实现用户设备对企业网络的接入,让用户可以使用企业内部的资源和服务,并且接入区中的交换机可以对用户设备进行隔离,防止用户设备之间互相干扰或攻击,保证网络的安全性。
3.1.1 IP地址规划与VLAN划分
在通讯企业办公网中P地址规划的目的是为了在内部网络中分配唯一的IP地址,以确保设备之间可以相互通信[7]。按照部门、位置、功能等来分配IP地址,以便更好地管理和维护网络。
在企业网络中,内网IP地址应配置为私有IP地址段,如RFC1918中定义的10.0.0.0/8、172.16.0.0/12或192.168.0.0/16。这些地址段没有经过Internet路由器路由,因此不会与Internet上的公网IP地址冲突。在此毕业设计中为了简化拓扑图统一使用192.168.xx.xx/24网段进行配置。
而且在规划IP地址时应该考虑未来的地址扩展,如果企业计划扩大规模,需要足够的IP地址,以便在将来增加设备时不必重新规划IP地址,并且在分配IP地址时,应该确保没有重复的IP地址,确保没有重复的IP地址。
企业网络内网VLAN的规划是为了更好地管理和控制内部网络流量,并提高网络安全性。可以根据企业的部门或功能来划分VLAN,例如,可以将财务部门的设备划分到一个VLAN,将销售部门的设备划分到另一个VLAN,以便更好地管理和控制网络流量。或者可以将内网设备按照安全级别划分到不同的VLAN,例如,将服务器和敏感数据放在一个VLAN中,并使用访问控制列表(ACL)或网络隔离技术来保护它们。也要应该要考虑不同VLAN之间需要进行通信的设备以及未来VLAN的扩展,以确保在需要增加新设备或应用程序时,不必重新规划VLAN。
在此毕业设计中,具体的VLAN规划与IP规划如下表:
表3-1 IP与VLAN划分表
| 序号 | 区域 | IP地址 | VLAN |
| 1 | 管理区 | 192.168.10.0 | VLAN10 |
| 2 | 人力管理区 | 192.168.20.0 | VLAN20 |
| 3 | 运行维护区 | 192.168.30.0 | VLAN30 |
| 4 | 客户服务区 | 192.168.40.0 | VLAN40 |
| 5 | 计划财务区 | 192.168.50.0 | VLAN50 |
| 6 | 网络建设区 | 192.168.60.0 | VLAN60 |
| 7 | DHCP服务器区 | 192.168.100.0 | VLAN100 |
3.2 汇聚层
在企业网络中,汇聚层是一个非常重要的网络架构层级,汇聚层交换机通常会连接多个接入层交换机,将其上报的数据流量聚合到一起,然后发送到核心层交换机。这样可以实现不同接入层交换机之间的数据交换。企业网络中通常还会使用VLAN将不同的部门、用户和服务隔离开来。汇聚层交换机可以对不同的VLAN进行隔离和转发,从而提供信息的高稳定性与安全性。汇聚层交换机还要提供高可靠性,通常会实现冗余技术,如热备份、链路聚合、STP(生成树协议)等,来提供网络的高可靠性和冗余性。这样可以避免网络单点故障带来的影响。在此毕业设计中,在汇聚层上分别启用了链路聚合技术、生成树协议与虚拟路由器冗余协议为了保证网络的可靠性与安全性。
3.3 核心区与出口区
在企业网络中,核心区与出口层是整个网络架构中最重要的层级。
企业网络中通常会有大量的数据流量需要处理,这些数据流量需要平均分配到不同的服务器上。核心层交换机可以实现负载均衡,将数据流量平均分配到不同的服务器上,从而实现企业网络的高效管理和优化。核心层路由器是整个企业网络中最快的路由器,其作用是为企业网络提供高速的数据传输。它可以连接多个汇聚层交换机,实现网络的高速聚合,从而为企业网络提供高速数据传输的能力。
在企业网络核心层,通常会部署路由协议,以实现网络的路由功能。常见的路由协议有OSPF、BGP、EIGRP等。这些协议能够在网络中动态地更新路由信息,使得数据包能够快速、准确地传输到目的地。而且这些协议还可以实现负载均衡、故障转移等功能,提高了网络的可靠性和稳定性[8]。核心层路由器还可以实现ACL (access control list)等网络安全技术,保护企业网络免受网络攻击和安全漏洞的侵害,同时还能限制某些特定IP地址或VLAN的互相访问,可以保证通讯企业之间各部门之间的隐私性。此外,核心层路由器还可以提供加密技术,保护企业网络的数据安全。
出口区域是连接企业内部网络和外部Internet的网络设备的集合。它是企业网络与Internet之间的网关。可以监控和控制企业网络中的数据流量,防止网络拥塞和过载,保证网络资源的均衡分配。出口设备还可以对企业网络进行全面监控和管理,包括网络流量、设备状态、用户访问等,从而及时发现和解决网络故障和安全问题。在出口区,通常需要部署NAT协议,可以将内部网络使用的私有IP地址转换成公网IP地址进行通信,可以实现内网与外网的通信,保障企业的业务正常进行,并对内网进行保护[9]。
3.4 内网服务器区与DHCP服务器区
内网服务器在企业网络中提供各种网络服务,这些服务对于企业内的员工、部门和业务流程是必不可少的。企业数据可能分散在不同部门或不同员工的电脑上,容易造成数据丢失或泄露。内网服务器对数据进行集中管理,保证数据的安全性和可靠性。
DHCP服务器可以分配IP地址给不同网段的设备,可以根据需要分配IP地址,而不是手动分配固定的IP地址,这样可以避免浪费IP地址。DHCP服务器可以统一管理网络上所有设备的IP地址和配置信息,从而简化网络管理,并且可以确保网络上所有设备的配置信息是一致的,从而避免配置错误导致的网络故障。
DNS服务器、HTTP服务器和FTP服务器是企业网络中的三种不同类型的服务器,DNS服务器可以帮助客户端设备将域名解析为IP地址,以便客户端设备连接到HTTP服务器或FTP服务器。HTTP服务器是提供Web服务的服务器,它可以向客户端设备提供Web页面、Web应用程序和其他Web资源。当客户端设备需要访问Web页面或其他Web资源时,它会向DNS服务器发起请求,获取HTTP服务器的IP地址,然后连接到HTTP服务器。FTP服务器是提供文件传输服务的服务器,它可以向客户端设备提供文件下载、上传和共享等服务。当客户端设备需要连接到FTP服务器时,它会向DNS服务器发起请求,获取FTP服务器的IP地址,然后连接到FTP服务器[10]。
4章 关键协议与技术分析
4.1 开放式最短路径优先(Open Shortest Path First,OSPF)
OSPF(开放式最短路径优先)是一个内部网关协议,用于在企业网络内部路由器之间交换路由信息,以实现更有效的数据传输,该算法具有区域分层、无路由环路、路由变化收敛快等优点[11]。
在网络中使用OSPF协议时,大部分路由由OSPF协议计算生成,无需网络管理员手动配置。当网络拓扑结构发生变化时,OSPF可以自动计算和修正路由,极大地方便了网络管理[13]。在规划OSPF区域时,应该考虑内部网络的拓扑结构,以便更好地管理和控制路由信息,并且应该尽可能地最小化OSPF区域的数量和大小,以便更好地管理和控制路由信息,并减少网络复杂性。
图4-1 AR3邻接关系信息图
由图4-1,我们将AR3与AR1 、AR2建立的OSPF的邻接关系(Full状态),使得当核心层与出口区路由器与交换机发生信息变化时可以快速做出反应。
在企业网络中,通过修改OSPF代价可以控制路由器的最佳路径。OSPF代价(COST)是一种度量,用于确定从源到目的地路径的开销。这个COST可以包括带宽、延迟、可靠性等。当路由器收到多个相同路径的路由更新时,它会自动决定最优路径,即COST最小。通过修改OSPF代价,可以影响路由器选择最佳路径的方式。例如,如果希望路由器选择特定的路径,可以通过增加其他路径的代价来提高该路径的优先级。另外,如果某些链路比其他链路更快,可以通过减少其代价来优先选择这些链路。在实际操作中,可以通过修改接口带宽、延迟等参数来调整OSPF代价。这样可以在不更改网络拓扑的情况下,对路由器的路径选择进行微调,以提高网络性能和效率。
4.2 以太网链路聚合(Ethernet Link Aggregation,LAG)
随着骨干链路带宽和可靠性要求的不断提高,传统技术的采用也在继续更换高速率板或支持高速率板的设备以增加带宽是昂贵且多余的。以太网链路聚合技术在企业网络建设中是非常重要的,它可以提高网络的可靠性、可扩展性[12]。
以太网链路聚合技术是一种将多个物理以太网链路捆绑在一起,形成一个更高带宽和更可靠的逻辑链路的技术。可以通过将多个物理链路聚合成一个逻辑链路,可以提高带宽和可靠性,从而提高网络性能和可用性。在链路故障时,链路聚合技术可以实现快速切换,避免网络中断。也可以实现负载均衡,将网络流量分散到多个物理链路上,从而减少单个链路的负载,提高网络吞吐量。
在企业网络中,数据传输速度和网络可靠性是非常重要的指标。通过使用链路聚合技术,可以将多个物理链路捆绑在一起,形成一个更高带宽和更可靠的逻辑链路,从而提高数据传输速度和网络可靠性。在企业网络中,数据安全性和保密性是非常重要的,尤其是在企业内部数据传输中。使用链路聚合技术可以实现链路级别的数据传输安全性,从而提高数据传输的安全性和保密性。
图4-2 SW7链路聚合信息图
如图4-2,SW7和SW8通过GE0/0/10与GE0/0/11连接,在逻辑上开启链路聚合,可以增加链路带宽,并且保证链路可靠性。
4.3 生成树协议(Spanning Tree Protocol,STP)与根保护功能
在通讯企业网络中,生成树协议的作用是防止网络中的环路,并确保网络中的数据包只能沿着一条路径进行传输。STP通过识别网络拓扑结构中的不同VLAN(虚拟局域网)来实现多重生成树,从而避免在不同VLAN之间产生冲突。STP可以提高网络的可靠性和性能,并支持网络的扩展和容错能力。
在STP协议中,根桥是整个网络中权威的桥,所有的决策都是由根桥来做出的。而根保护是一种机制,可以在指定的端口上保护其他交换机不会成为根桥。开启根保护可以防止其他交换机因为误操作或者恶意攻击而成为根桥,避免整个网络的拓扑结构发生变化。具体来说,当一台交换机开启了根保护后,如果其他交换机上的STP BPDU包(用于交换机之间协商选举根桥的信息)来到了开启了根保护的端口,则该端口会将收到的BPDU包直接丢弃,并且不会把自己的端口加入到BPDU包所在的网络段上。这样,即使其他交换机的优先级高于根桥,也无法通过发送BPDU包的方式将根桥转移。
在企业网络中开启根保护可以防止意外的STP拓扑更改,从而提高网络的可靠性和稳定性。根保护是指将一个交换机端口设置为不能成为STP根桥的端口,也就是优先级较高,无法被其他交换机的更高优先级端口所替代。这样可以避免发生STP中的“疯狂转发”现象,保证交换机的拓扑结构始终保持在正确的状态。
开启根保护后,如果有交换机端口的优先级被更改,那么这个端口将会被禁用,从而避免了不正确的拓扑更改。这可以帮助管理员快速发现网络中的问题,并采取相应的措施进行修复,保证网络的正常运行[13]。
4.4 BPDU(Bridge Protocol Data Unit)保护
BPDU保护是一种用于保护网络免受恶意或误配置的危害的机制。在企业网络上,BPDU保护可防止未经授权的设备或配置不当的交换机发送BPDU,这可能会干扰或损坏网络拓扑。BPDU是在交换机之间发送的协议数据单元,用于协调网络拓扑。通过BPDU保护机制,可以防止非授权设备(如HUB)或不当配置的交换机发送BPDU,从而干扰或破坏网络拓扑结构。当一个交换机检测到从一个边缘端口接收到BPDU时,它将关闭该端口,以避免其它交换机的BPDU影响网络拓扑结构。
BPDU保护是一种机制,用于保护网络中的交换机免受恶意攻击,同时确保网络拓扑稳定。在企业网络中,当攻击者连接一个未经授权的交换机或路由器时,它可能会生成BPDU数据包,并试图修改或破坏网络拓扑结构,这可能导致网络故障和数据泄漏。BPDU保护可以防止这种攻击。当启用BPDU保护时,交换机会在边缘端口(即连接到终端设备的端口)接收到BPDU数据包时立即关闭该端口,以防止未经授权的交换机或路由器连接到网络上。这有助于确保网络的拓扑结构稳定,并提高网络的安全性[14]。
4.5 虚拟路由冗余协议(Virtual Router Redundancy Protocol,VRRP)
通讯企业网络中的核心设备(如路由器、交换机等)通常都是关键设备,一旦这些设备发生故障或者维护,将会使得整个组网中丢失数据或者信号中断等问题。为了保证通讯企业网络的高可用性和可靠性,需要采用冗余设备或冗余路径的方式来提供备用功能。VRRP(虚拟路由冗余协议)是一种用于提高网络可靠性的协议,它可以将多个路由器组成一个虚拟路由器,通过选举出一个master路由器来接收和转发网络流量,当master路由器出现故障时,备份路由器可以接管工作,保证网络的连通性[14]。
在VRRP中,每个路由器都被分配了一个优先级。具有较高优先级的路由器被选为主路由器。当主路由器出现故障或离线时,备份路由器将接管新的主路由器。如果多个备份路由器具有相同的优先级,则会选择IP地址最高的为主路由器。因此,设置VRRP优先级可以影响路由器的选择过程,从而控制路由器成为主路由器的机会。设置适当的VRRP优先级可以防止主路由器故障导致的网络中断和数据丢失。
在通讯企业网中,汇聚层交换机通常会采用冗余部署的方式来提供备用功能。在这种情况下,可以使用VRRP协议将多个汇聚层交换机组成一个虚拟路由器组,其中一个交换机作为主交换机,负责处理来自网络的数据流量,其他交换机则作为备份交换机,保持同步的状态,并在主交换机失效时接管其工作。这样可以保证在任何时候都有一台汇聚层交换机可以提供服务,避免因为单点故障而导致的网络中断和数据丢失的问题。
4.6 动态主机配置协议(Dynamic Host Configuration Protocol,DHCP)
企业网络中通常有一段预留的IP地址池,DHCP服务器可以管理这些IP地址,确保它们在需要的时候能够被正确地分配给客户端设备。
DHCP是一种自动分配IP地址的技术,它可以帮助网络管理员避免手动分配IP地址所带来的繁琐和错误。通过使用DHCP,企业网络管理工作可以得到极大地简化。此外,DHCP服务器还能够管理已经分配的IP地址以及相关信息,例如服务器地址、网关地址和子网掩码等。这些信息可以在客户端设备连接网络时自动提供给客户端设备,从而大大减轻了网络管理员的工作负担。
DHCP服务器还可以监视客户端设备的网络连接情况,当接入区的设备离线或者不再需要IP地址时,DHCP服务器可以回收这些IP地址并将它们重新分发给其它需要的设备,从而充分利用IP地址资源。
4.7 访问控制列表(Access Control List,ACL)
ACL是一种在企业网络中常用的访问控制列表,用于限制特定设备或用户对网络资源的访问权限。使用ACL可以控制特定IP地址、端口或协议的访问权限,在组网设计中,我们将不同部门都使用ACL分隔开,使得各部门之间不能互相访问,防止网络中所有设备都可以随意访问企业资源,包括敏感数据和应用程序等,容易受到攻击和入侵,导致数据泄露和网络瘫痪等问题。
图4-3 SW1的ACL状态图
以SW1为例,图4-3中为SW1中的访问控制列表,SW1进行流量控制,不允许其他部门进行访问(放行192.168.10.0网段,阻止192.168.20.0——192.168.60.0网段访问)。
4.8 网络地址转换(Network Address Translation,NAT)
NAT是一种在企业网络中广泛使用的网络地址转换协议,它将内部网络(局域网)的私有IP地址转换成公共IP地址,从而使得内部网络中的设备可以访问互联网,同时也可以保护内部网络不受来自互联网的攻击[15]。NAPT是实现私有IP和NAT的公共IP之间的动态转换。
Easy IP是一种特殊方式的NAPT,是华为公司推出的一种IP地址管理工具,它能够自动管理IP地址、子网掩码、网关等信息,方便企业网络管理员对IP地址资源的有效管理,Easy-ip在配置时候不需要创建公网地址池,而是直接通过将私网地址映射为出口区网关的IP地址。
图4-4 Easy IP配置图
根据图4-4所示,AR3已经成功地将NAT协议绑定到G0/0/2和G4/0/0接口上,并且Address-group/IP/Interface表明接口和ACL已经成功关联。此外,type表项还表明Easy IP已经配置成功。
第5章 虚拟环境部署测试与结果
5.1 DHCP服务器
为了测试各部门之间的连通性,首先要先在接入层设备上配置IP地址与网关,由于组网中添加了DHCP服务器,可以直接利用DHCP服务使得设备自动获取对应VLAN的设备信息。
图5-1 PC1获取DHCP配置
图5-2 PC1基本配置
首先如图5-1,在PC1上使用DHCP自动获取IP地址,在图5-2中可以看出PC1的IP地址为192.168.10.253[16],掩码为24位,网段的网关地址为192.168.10.254,
5.2 部门设备连通性测试
为了使得组网能正常通信与使用,设备之间的连通性是必要的,我们以PC1为例,对每个VLAN内的主机、汇聚层交换机、核心层路由器、内网服务器集群设备进行Ping测试。
各部门连通性如下图:
图5-3 PC1与PC2连通性测试图
图5-4 PC1与DHCP服务器连通性测试图
图5-5 PC1与DNS服务器连通性测试图
图5-6 PC1与HTTP、FTP服务器连通性测试图
图5-7 PC1与外网连通性测试图
图5-8 外网与PC1连通性测试图
显然,PC1能够PING通企业网内对于网段的设备和企业网外设备的IP地址。由于ACL技术,使得管理区的PC1和人力管理区的PC2不能互相通信,保证了部门间的数据安全。外网服务器也不能获取内网的信息,即不能通过外网访问内网,保证了组网间的安全与可靠性,因此我们可以得出结论:NAT服务、OSPF、ACL和VLAN的配置是正确的,网络连通性正常。
表5-1 连通性测试信息
| 设备信息 | 理论结果 | 测试结果 | |
| PCI | PC2网关 | 失败 | 失败 |
| PC1 | DHCP服务器 | 成功 | 成功 |
| PC1 | DNS服务器 | 成功 | 成功 |
| PC1 | HTTP、FTP服务器 | 成功 | 成功 |
| PC1 | 外网 | 成功 | 成功 |
| 外网 | PC1 | 失败 | 失败 |
5.3 服务器
5.3.1 客户端
图5-9为客户端的配置:
图5-9 客户端的配置信息图
5.3.2 DNS服务器
服务器的DNS配置信息如图5-10所示。
图5-10 DNS服务器的配置信息图
5.3.3 HTTP服务器和FTP服务器
FTP服务器和HTTP服务器与配置信息如图5-11所示
图5-11 HTTP、FTP服务器的配置信息图
图5-12 客户端与HTTP服务器功能测试图(IP地址)
图5-13 客户端与HTTP服务器功能测试图(域名)
通过图5-12和图5-13,客户端对HTTP服务器通过两次不同数据访问方法,使用IP地址与域名均可以成功地获取网页的内容,说明DNS服务正常运行,可以成功解析域名信息,并且HTTP服务也正常运行。
图5-14 客户端与FTP服务器功能测试图(域名)
由图5-14在服务器端配置FTP文件目录并启动FTP服务后,客户端可以成功获取FTP服务器提供的资源目录,并可以下载资源,所以FTP服务运行正常[17]。
5.4 DHCP地址下发测试
企业内部除数据中心服务器外,其余网络终端均为DHCP自动下发地址,具体过程如下图所示:
5.5 网络连通性测试
在获取到IP地址后,根据设计要求,要进一步测试其网络连通性,具体过程如下图所示:
5.6 OSPF测试
内网运行OSPF实现全网互通,要确保核心网络具备各路路由,以保证网络连通信,以下是交换机路由表查看:
5.7 NAT测试
网络边界部署nat地址转换,使内网IP不泄露,保证了内网数据安全
总 结
华为eNSP是一款功能强大的网络仿真软件,可以快速构建、模拟和测试企业网络,对于网络规划和设计非常有帮助,使用ENSP可以在图形化界面上直观地展示企业网络拓扑结构和设备配置,使我们更容易理解和管理整个网络。
在使用eNSP绘制企业组网时,需要考虑实际网络中存在的各种复杂性,例如网络拓扑结构、网络协议、设备配置等,保证网络的可靠性和高效性。在使用eNSP绘制企业组网时,需要注意安全性和保密性,例如配置防火墙、ACL、VPN等技术,保障企业网络的安全性。
在构建企业网络时,规划企业网络时应考虑未来的需求,而不仅仅是当前的需求。我们需要预测通讯企业未来的业务需求,以便能够在网络规划和设计阶段考虑这些需求。选择合适的网络设备是企业网络建设中的一个重要因素。我们也需要考虑到企业的具体需求,选择合适的路由器、交换机、防火墙等设备。我们需要在网络规划和设计中考虑到各种因素,如企业的地理位置、网络的规模、用户数量等,以确定最合适的网络拓扑结构。
企业网络建设是一项复杂的任务,需要考虑到各种因素和因素之间的相互关系。我们需要在网络规划和设计中考虑到各种需求和因素,以保障企业网络的可靠性、高效性和安全性。此外,还需要密切关注网络的管理和培训问题,以确保企业网络能够有效地运行和管理。
标签:基于,ensp,网络,交换机,毕业设计,IP地址,服务器,企业,路由器 From: https://blog.csdn.net/m0_53035460/article/details/141895892