天匯企業網絡的設計與實現

摘要：互聯網技術與通信技術的相互帶動作用，使得兩者皆呈現多樣化的快速發展趨勢，5G的時代序幕在已經逐漸開啟，由此引發的互聯網技術和設備變革必然是各界人士關注的重點，幾乎所有與計算機相關行業，都會迎來新的機遇。

基于這個時代新的挑戰，舊有的企業網絡設計框架面對5G時代人們對于網絡的需求提高，新挑戰必然會出現問題，無法適應在移動通訊網絡超過數千倍的增長使用需求，ipv6與ipv4更新，適應5G的新系統的適用，等等問題接踵而至，如何預先設計并搭建一個能夠面對新需求的企業網絡構架或改造舊有的網絡環境，就是一個即將面對的問題。

本文以設計能應對新環境新潮流為前提，滿足現有網絡設計需求為基礎這兩個中心點展開，包含對未來新時代的需求挑戰和機遇的分析，如5G和ipv6對于未來5年的影響展望，和現有網絡合理優化。研究方法采用理論和實際相結合，理論上可用到真實的企業網絡設計方案，文獻對現有網絡的分析，實際模擬則采用設備模擬器進行網絡構建，結合企業網絡現實出現的實施中和維護問題，以達到靠近真實環境。

關鍵詞：網絡優化 ipv6 5G 企業網

---

Design and implementation of Tianhui Enterprise Network

Summary: The interaction of Internet technology and communication technology has led to a diversified and rapid development trend for both, and the prologue of the 5G era has been gradually opened, the resulting revolution in internet technology and equipment is bound to be the focus of attention, almost all computer-related industries, will usher in new opportunities.

Based on the new challenges of this era, the old enterprise network design framework faces the increasing demand for the network in the 5G era, and the new challenges will inevitably appear, unable to adapt to the growth of the use of the mobile communication network more than thousands of times, iPV6 and IPV4 UPDATE, adapt to the new 5G system, and so on, how to pre-design and build a new enterprise network architecture to meet the new demand or transform the old network environment, is a problem that will be faced.

Based on the premise of responding to the new environment and the new trend and meeting the existing network design requirements, the two central points are developed, including an analysis of the demand challenges and opportunities of the new era in the future, such as the impact of 5G and IPV6 on the outlook for the next five years, and the existing network. The research method is based on the combination of theory and practice. In theory, the real enterprise network design scheme can be used. The existing network is analyzed in the literature, combined with the implementation and maintenance problems of the enterprise network reality, to achieve close to the real environment.

Keywords: etwork optimization ipv6 5G Enterprise Network

目 錄

第一章 緒論71.1研究背景71.2項目研究的意義和目的81.3 課題研究內容8第二章 未來網絡的分析92.1網絡的未來前景92.1.1現代的網絡環境分析92.1.2 5G的影響分析92.2 相關策略選擇112.2.1堆疊技術替代vrrp作為選擇112.2.2 企業內網絡路由協議ospf與的is-is選擇112.2.3 ipv6與ipv4連接問題12第三章 公司需求分析133.1 天匯公司業務現狀和網絡需求分析133.1.1 業務內容133.1.2 公司對網絡的設計需求大致目標143.1.3部門主機的硬件和功能需求142.1.3 ip地址的分析應用15第四章 具體設計164.1網絡拓撲設計164.2子網劃分164.2 vlan設計184.3 OSPF設計184.4 nat地址轉換設計184.5 dhcp設計194.6 ipv4和ipv6的過渡設計194.5 網絡安全實現204.5.1防火墻設計204.5.2安全策略設計204.9設備選型，和線路選擇214.9.1 設備分析選型214.9.2 網絡物理鏈路選擇21第五章 具體實施225.1關于Vlan實施225.2關于ospf實施255.3關于nat配置275.4關于dhcp實施285.5關于防火墻實施295.6關于策略實施30第六章 網絡測試327.1 DHCP測試327.2NAT地址轉換測試337.3 OSPF搭建連通性測試33參考文獻35致謝36

---

第一章 緒論

?

1.2項目研究的意義和目的

互聯網企業網絡設計理念和管理措施趨漸完善，但這大部分是為舊有的的網絡設施服務，隨著新的市場需求和新概念的出現，必須對網絡設計，進行跟隨時代的更新，滯后于當前社會的網絡設計和擴展，不但會增加企業成本和壓力，還可能無法滿足企業業務需求。

對于企業而言，合理網絡工程的設計與應用，將極大的促進工作效率，進而優化的企業結構，節約企業開發運營的成本。而且具有前瞻性的網絡構筑將更好的幫助企業轉向智能化2即使只是微小的改進只能提升1%的效率，在日積月累下也能為企業省下開銷，產生數目可觀的利益企業網絡的設計完善為可以說是與市場并行，是與時俱進，自我優化的必然結果。在互聯網行業，要做到把握先機，就必須先提升自己，做到比同行業其他人更快更好，才能提升自身企業的競爭力。完善網絡設計理念推進網絡設計的發展對適應現代社會，甚至推動社會發展有著深遠的意義。

1.3 課題研究內容

課題研究內容分為兩部分 一部分是基于分析5G和ipv6在未來的發展狀況，來思考如何對現有的網絡設計進行改造，包括增加網絡設計，摒棄過時的網絡策略等。另一部分則是對現有的網絡設計進行規劃，包含網絡ip的劃分（ipv4），網絡二層交換機的配置，路由策略的搭配，安全防護策略配置。另外補充關于網絡搭建實際問題需要注意的要點，以及設備選型。

---

第二章 未來網絡的分析

2.1網絡的未來前景

2.1.1現代的網絡環境分析

網絡發展帶動人與物互聯‘互聯網+’逐步實現，在網絡基礎設備足夠完善的情況下，就可以給產品帶來巨大附加效益，帶來多個產業的崛起發展。

對外，網絡拉近了現代企業與社會群眾之間的距離。對內，網絡的合理設計構架維護，也是為開展以上業務進行基礎建立。對內部企業網絡的保護，也是對于企業，公司正常運轉的保障，如阿里云的數據中心，就包含環境和設備監控系統，安全防范系統，消防安全系統等，此外還有多個冷備機房，線下冷備份，異地拷貝等這些多重可靠的網絡設計和配套系統，共同維護著這個網絡安全。對內的網絡設計，也當學習其嚴謹性，在設計網絡時候，實現網絡穩定和安全，這兩個最基本的訴求。

2.1.2 5G的影響分析

5G是未來網絡行業一個重要的標志是，5G既第五代移動通信技術。相對于4G來說就是更高數據速率、非常低的網絡延遲、大型設備與連接端的緊密結合。在此的基礎上AR,VR和未來游戲行業擁有新的展望，應用于醫療，軍事上的實時模擬，交通的全面自動駕駛等設想開始誕生。還有關于萬物互聯的設想。（接下表）

---

?

由表可得分析出5G的普及毫無疑問是人們踏向下一個新網絡時代的目標，是可以帶動產業升級變化的新技術，是應該重視的問題。那么5G廣泛應用實現的具體實現究竟有多遠，而根據資料和行業現狀的分析，至少在5年內，想要依靠5G改變未來網絡的格局是不現實的

現產業，5G的網絡是超額滿足當前社會個人對于網速的需求 出現大量帶寬剩余。基于5G的 VR，AR設備缺失市場，自動駕駛的研發系統性價比偏低，至于萬物互聯，則需要依靠5G成熟 才能實現。 5G未來發展必然會引發巨大改革，但這個改變所遇到的阻力也同樣大， 5G對于行業投入之高，行業沒有5G產物能有利益點。

對于網絡設計上的理念是更新換代級別的，基于5G來對現有網絡設計的改變 的是不必要的，只需要有所相關部分考即可如4G接入5G網絡-----從新的巨額流量接入，舊有設備高效利用---多臺設備的堆疊這兩點

---

2.2 相關策略選擇

2.2.1堆疊技術替代vrrp作為選擇

首先，了解下兩種策略

VRRP：虛擬路由冗余協議把兩臺以上的路由設備，虛擬成一臺合體的路由設備，新的虛擬路由設備的IP地址將承擔被組合路由的網關作用。而且這個虛擬合體路由的網關設備出現問題的時候，可以在其體制內產生新的網關來承接原來網關的工作，滿足網絡的穩定性。合成的虛擬設備對外體現為一臺虛擬路由器，實現鏈路冗余備份。

堆疊：集群交換機系統，是將2臺交換機通過專用的集群電纜鏈接起來，對外呈現為一臺邏輯交換機。通過交換機集群，可以實現網絡高可靠性和網絡大數據量轉發，同時簡化網絡管理。

具體特性如下：高可靠性：兩臺成員交換機能夠互相連接備份，跨設備的鏈路冗余備份也是鏈路聚合的功能之一。網絡的未來擴展能力優秀：堆疊的設置使得多個端口管理，命令配置和管理都比各自單個管理更加靠譜：這也使得只需要對單個交換機進行操作，就能對整個連接的系統交換機進行整合管理

堆疊非常適合二層組網環境：堆疊的網絡特性是沒有產生環路的，多臺交換機在同一網絡的問題也不會出現。同時也滿足對于網絡高性能的要求,提升網絡效果，適用于為未來接入5G做網絡基礎。

2.2.2 企業內網絡路由協議ospf與的is-is選擇

OSPF是由IETF標準組織制定的一種基于鏈路狀態內部網關協議，當初研發出來是為代替RIP，具有不受跳速影響，合理規劃可以容納一千多臺路由器的運轉，具有可變長劃分子網，收斂速度更快，以劃分邊界來縮短路由表項目提高路由運行速度,支持在不同區域的網絡驗證，可支持組播

Is-is的協議也大多和ospf擁有類似的優勢，但它不用使用IP地址，遠程無法攻擊，單個路由只屬于一個區域，（ospf一個接口可以屬于不同區域），沒有區域概念但ospf有骨干區分，在IS-IS，不同等級級別的路由都采用一個算法，最短路徑樹SPT的生成由各自的路由產生，ospf則是一個區域一個spf算法，借用骨干路由轉發信息。

這兩個都是分層的鏈路狀態協議，ospf優勢在于對于流量區域的細分和調節，is-is則是其簡化性質使得，網絡可用性高和抗打擊能力強。結合優勢上，對于企業來說，一般都用OSPF，來進行對企業內部的管理

2.2.3 ipv6與ipv4連接問題

Ipv4與ipv6的共存未來的趨勢，nat技術使得延長ipv4的使用壽命，暫時解決了地址短缺的問題，但是ipv6的優越性時代性是比ipv4更適合應用在現代互聯網的發展

ipv4業務是目前廣泛使用的網絡協議，鑒與原有ipv4的規模，ipv4和ipv6兩種協議會一同在網絡中長期存在， ipv6的改造有多種模式，如雙棧模式，NAT64這兩種（隧道技術屬于ipv6和ip6在ipv4網絡下的鏈接）

網絡協議主體是采用ipv4，如何把散落在各區域網絡的ipv6相互聯系起來，隧道技術就應運而生。

要使用隧道技術下，路由器雙方都得是雙棧路由器，且都需要支持兩端識別雙協議。使用兩個或多個雙棧，是實現在ipv4網絡為主體，ipv6相互連通的實用方案

雙棧方式是在網絡設備上同時運行ipv4和ipv6兩種路由協議，同時對外部用戶提供ipv4和ipv6 網絡訪問服務。

NAT64轉換是把來自ipv6源地址的訪問進行雙向地址轉換，即把源、目ip地址同時轉換為ipv4 地址，來實現ipv4的服務地址對ipv6用戶提供服務。

---

第三章 公司需求分析

3.1 天匯公司業務現狀和網絡需求分析

3.1.1 業務內容

天匯安保公司是一家小型的安保企業，主要業務是為公民，法人，提供安保服務，按照簽署的方案采取隨身護衛等行為滿足客戶的安全需求，或為客戶單位提供出入口值守，驗證，檢查登記的服務業務

天匯安保公司除了最高管理董事處下設有，六個部門

財務部：負責核算財務收支支出，員工工資發放，確保資金周轉平衡，

行政部：管理其他部門相互協調，保證企業的技術，設計，生產，資金，經營，開發幾大模塊相互配合推進任務進程

綜合部：對食堂管理，企業辦公用具，清潔問題

市場部：對市場進行調查，搜尋市場中合適的客戶，負責公司的安保業務推銷，負責宣傳公司的企業文化和實力

人防部：公司內部的安保人員，維持公司的日常秩序，保護企業門口的安全，還有職編下負責外配到客戶下的安保人員

客服部：對客戶反應的接受部門，通過客戶用于了解旗下工作人員

（樓層a，第一層為財務部，第二層為董事處，第三四層為行政部）

（樓層b，第一層為綜合部，客服部，人防部，二層為市場部，第三層為市場部）

（公司宿舍樓區為c共三層，可容納120個員工，）

---

3.1.2 公司對網絡的設計需求大致目標

安保企業基本上很少使用書面形式開展工作, 所有企業內部數據如數據庫、操作記錄等都需要使用網絡來維護和保管,鑒于安保企業的特殊性，布局網絡時需要考慮，用戶資料安全保密，企業內外網絡安全、企業網絡的日常維護等各個方面。企業需要的網絡規劃應該涉及到網絡的先進性、可擴展性、高可靠性、穩定性、高寬帶、經濟性等，其中安全穩定是安保企業重要的需求

天匯安保公司的網絡需要根據部門需求，來分配不同的網絡配置

表3-1-2 天匯公司部門主機數量需求表

部門	主機數量
董事處	10
行政部	30
綜合部	5
客服部	5
人防部	5
市場部	40
財務部	5
員工宿舍	120
Vlan1-8	220

3.1.3部門主機的硬件和功能需求

董事部：需要整個網絡的最高權限，有穩定高速的帶寬支持遠程網絡會議和大文件傳輸

財務部：需要主機能夠滿足進行關于資產的購置，能計算且保存對于資本管理的賬面，

行政部：主要負責對公司內部進行行政管理，記錄，處理公司內部事務，保存客戶的資料信息

綜合部：需要對公司內部的物件進行統計計算，

客服部：要求網絡穩定，保證在外網與客戶交流不會被網絡事故中斷，影響到對客戶的服務

人防部：負責登記人員出入情況，門衛調查，管理公司內部監控視頻

市場部：需要能夠進行繪圖，美工，能夠流暢運行高級修圖工具的主機，對主機的顯卡等硬件有較高要求，網絡上要把設計成品，安全發送到董事處審批

員工宿舍：常規的用戶需求，每一個宿舍都要配置一個網絡地址，需要提供可用的網線、以供使用，但不需要提供電腦，且要求與公司網絡分隔。

2.1.3 ip地址的分析應用

IPv4地址資源耗盡，在2019年這些總共約43億的IPv4地址已徹底分配給全球，這代表著沒有更多IPv4地址可以分配給ISP或者其他大型網絡基礎設施提供商。

公司鑒于當前的環境，對于網絡有兩種可用協議，一種是ipv4一種是ipv6

即使存在一些局限，Ipv4是依然是當前成熟且廣泛應用的網絡協議，同時引用可ipv6進行補充，是適應現在企業網的選擇。

---

第四章 具體設計

4.1網絡拓撲設計

添加圖片注釋，不超過 140 字（可選）

圖4-1-1 網絡架構設計圖

說明：左側是包含董事處等7個部門的100臺主機，往上是配置S3700二層交換機，下方接入服務器，之后是匯聚層交換機，通往外網的數據經過R1轉發通過FW1到達外部路由器，R3是負責轉發員工宿舍的路由器。Serve1-3作為服務器加入網絡。

4.2子網劃分

根據各個部門的網絡需求，來劃分各個區域的網絡

需要220個子網ip，故使用網段為192.168.0.0的網段來作為公司內網網段

來滿足公司的網絡需求

A棟，共有45個ip

B棟，共有55個ip

C棟，共有120個ip

---

表4-2-1 IP地址規劃

部門/子網	Pc數	vlan	Ip 地址	網關	DNS
董事處	10	vlan 10	192.168.1.1----192.168.1.11/	192.168.1.254	1.1.1.1
行政部	30	vlan 30	192.168.3.1---192.168.3.31	192.168.2.254	1.1.1.1
客服部	5	vlan 20	192.168.2.1---192.168.2.5	192.168.3.254	2.2.2.2
市場部	40	vlan 40	192.168.4.1---192.168.4.41	192.168.4.254	2.2.2.2
人防部	5	vlan 50	192.168.5.1---192.168.5.5	192.168.5.254	2.2.2.2
財務部	5	vlan 60	192.168.6.1---192.168.6.5	192.168.6.254	1.1.1.1
綜合部	5	vlan 70	192.168.7.1---192.1687.5	192.168.7.254	2.2.2.2
員工宿舍1	60	vlan80	192.168.8.1---192.168.8.61	192.168.8.254	3.3.3.3
員工宿舍2	60	vlan90	192.168.9.1---192.168.9.91	192.168.9.254	3.3.3.3

---

4.2 vlan設計

一般情況下,公司的網絡結構都是由核心層、匯聚層的多層組合模式。千兆以太網作為網絡主干網。由二層接入交換機和匯聚層交換機來組成相對簡易的網絡架構組成靠譜高速的網絡，網絡系統的核心需要使用足夠大型的網絡設備來保證流量不擁塞。

交換機系統即使使用堆疊無環結構，但本質上交換機在網絡上需要注意的問題依然需要進行處理，使用vlan劃分，能夠更有效地減少網絡的無效廣播，更快的對網絡傳播速度進行優化

在網絡需求上，員工宿舍和企業網絡需要進行網絡的連通，在配置上，也要把其所屬的vlan分割開來，避免員工宿舍的網絡對企業內網進行滲透攻擊。

VLAN子網劃分, 把所屬一個部門的用戶劃分到一個VLAN子網當中, 限制其他流量, 這是提高網絡效率和避免網絡沖突的優化方案。

4.3 OSPF設計

在交換機設置完成下，相隔一個路由器下的主機是無法相互ping通的，這就導致行政處的a棟，無法對b棟的pc進行數據之間的互通，為了保證通信，可以選擇ospf進行聯絡通信，

由于靜態，動態路由協議的局限以及相對于企業更適合，無環路、收斂速度快，能計算最優路由的ospf是較優的選擇

4.4 nat地址轉換設計

當前企業的下位地址依然保持ip4協議，在ip地址緊張，申請多個公網地址來使用顯然不夠現實，而為了與外網的路由器互聯，實現公司對外網的訪問需求，就需要配置NAT地址轉換，

4.5 dhcp設計

公司網絡的擴充，主機的添加，刪減，都會使得原有的ip被浪費或需要管理員手動配置新的ip，有外來電腦需要接入時，將會顯得非常不方便，這時就需要配置dhcp來使得外接pc可以介入網絡，而不用更改配置

DHCP使服務器能夠動態地為網絡中的其他服務器提供IP地址，通過使用DHCP，就可以不給英特網中設置和維護靜態IP地址。使用DHCP可以簡化配置客戶機的IP的工作，特別是當IP參數改變時，如網絡的大規模變化而引起的IP地址和子網掩碼的更改。

4.6 ipv4和ipv6的過渡設計

該設計上采用雙債模式，在企業需要進行ipv4和ipv6鏈接上的情況下，在接入ipv4 network和ipv6network的路由器上配置（支持ipv6路由器），配置命令為

ipv6

interface GigabitEthernet 0/0/0

ip addrrss 10.1.1.1 24

ipv6 enable

ipv6 address 2001：:0001：：FFFF 64

---

4.5 網絡安全實現

4.5.1防火墻設計

安全防火墻在設計時, 應遵循一些被人普遍認同的原則, 貫徹下面三個理念有助于合理規劃命令配置

統一性原則:網絡是一個整體的部分，不能各自各的進行管理防護。從網絡需要對比較重要的部門如董事部，行政部進行更優先的保護，保證核心的網絡安全能有有效實施

簡易:網絡安全的內部設計太過于復雜或者過于難以進行維護改進，會不利于日常和日后管理，降低網絡安全運行的效率，過多占用資源

高效:網絡安全高效的非常重要的, 防火墻的設計能夠高效持續運行，才是正常企業所需要的

4.5.2安全策略設計

路由器訪問控制列表設定-Telnet，ABC棟的路由器在ospf環境下能相互ping通，但C棟所屬的配置的是員工宿舍，與AB棟公司的網絡連接需要進行限制，由此需要在ospf的基礎上，設置訪問控制列表，阻止來自c棟的數據包可以未經允許，直接訪問AB棟的路由器，進而獲取到公司的核心信息，防備員工盜取公司客戶信息，但依然要允許a棟的pc能夠管理到c棟員工宿舍的，保持a棟對c棟pc的日常維護

訪問控制列表能對網絡流量監控，網絡性能優化。安全策略也能對經過這一端口的目標進行控制，無論是流入還是流入，數據包都會被檢測直到安全才能通過。

例如在訪問控制列表中，設置數據來源或數據目的地址，對其進行拒絕通過，轉發或者接入目的等操作，來實現對數據流的管控

4.9設備選型，和線路選擇

4.9.1 設備分析選型

交換機選擇華為s3700交換機，由于該企業網絡規模屬于中小型，不適合采用過高性能要求的交換機，容易造成資源浪費。S3700系列企業交換機是華為公司的的三層以太交換機。選擇該交換機是因為它適應于針對企業用戶園區匯聚還有ipv4向IPv6過渡的能力，并且可支持堆疊、虛擬路由器冗余、快速環網保護等技術。這兩個關鍵特性能有效增強網絡健壯性，利于搭建面向未來的企業網絡。

路由器選擇華為AR120，系列企業路由器是華為公司推出的面向中小型辦公室或中小型企業分支的多合一路由器，提供包括有線和無線的Internet接入、專線接入、融合通信及安全等功能，廣泛部署于中小型園區網出口、中小型企業總部或分支等場景。其可配置acl安全策略等其他安全措施，保證企業內部網絡的安全性，需控制用戶對網絡的訪問，只有通過認證的用戶，才允許訪問管理員授權的網絡資源。

防火墻使用US5500 ，該系列產品采用全新的萬兆多核硬件平臺，面對企業海量業務處理零延遲，打造更高速的網絡；融合先進的入侵防御和反病毒技術，支持豐富的路由協議，可節省用戶投資，降低組網成本。支持IPv4和IPv6雙協議棧工作方式，提供完整的IPv6特性和IPv4網絡向IPv6網絡平滑遷移的解決方案。能有效阻止Internet上的黑客入侵、DDoS攻擊，阻止內網用戶訪問非法網站，限制帶寬，為內部網絡提供一個安全可靠的網絡環境。

4.9.2 網絡物理鏈路選擇

光纜鑒于其對數據的高效傳輸，光纜線路是現在網絡線路比較普遍的選擇, 但由于光纜網絡線路可能會被環境等因素影響，需要選建設管道，把公司的光纜集中，避免出現光纜的傳輸被環境影響, 使得通信網絡的運轉出問題。

需要設置管道對網絡鏈路核心層使用光纖網絡匯聚層使用光纖和雙絞線相結合的接入方式。董事處，行政處使用光纖和雙絞線相結合的接入方式。普通部門選擇雙絞線的接入方式。

第五章 具體實施

5.1關于Vlan實施

該公司同一棟下同一交換機里，包含了不同部門的多個主機，處在同一個沖突域里面，使得某用戶pc容易收到大量不需要的報文，所有的主機共享傳輸渠道，主機之間可以互相ping通，無法控制信息的安全，降低了網絡的傳輸安全和效率

由此需要在交換機下，根據各部門來劃分vlan，同一vlan可以進行數據交互，vlan內部的間主機無法相互ping通

舉例拓撲圖為樓層A,，拓撲中每部門只取1臺pc，實際需要把每一臺pc的端口都添加到所屬的vlan下，

既在access口配置劃分

添加圖片注釋，不超過 140 字（可選）

圖4-2-1 vlan劃分局部拓撲

配置命令如下

Interface e0/0/1

Port link-type access

Port default vlan 10

--------------------------------

Interface e0/0/2

Port link-type access

Port default vlan 20

Interface e0/0/3

---------------------------------

Port link-type access

Port default vlan 30

Interface e0/0/4

------------------------------------

Port link-type access

Port default vlan 4l

Trunk口配置

公司要求行政處的pc能夠對市場部，客服部等其他部門的主機進行訪問，但其他部門之間不可以相互ping通，行政部與其他部門的通信，是公司日常的行政管理的需求，方便企業的技術，設計，生產，資金，經營，幾大模塊的相互配合，

當前配置上，不同交換機上并沒有相對應的vlan信息，各個部門無法識別其他pc的數據包，也無法跨交換機發送vlan報文，這些vlan只在本地有意義，無法實現vlan跨區域通信。

現要實現行政部的主機與其它部門主機通信，可以在核心層交換機上配置vlanif接口IP地址和子網掩碼,同時交換機和核心層交換機設置trunk鏈路，并設置trunk允許通過對應vlan。

首先，在access配置的基礎上開始搭建（既劃分vlan，添加端口），然后在三層交換機上 開始設置vlanif，實現跨區域通信功能

模擬拓撲圖如下

添加圖片注釋，不超過 140 字（可選）

圖4-2-2 trunk配置拓撲圖

交換機命令如下

添加vlan，并且設置access口和trunk口

Vlan batch 20 30 40

Int e0/0/1

Port link-type access

Port default vlan 30

Inter g0/0/1

Port link-type trunk

Port trunk allow-pass vlan 20 30 40

Int g0/0/2

Port link-type trunk

其他交換機類似

核心層交換機Lsw3 和lsw4要允許vlan 20 vlan30 能夠通過，必須配置對應的vlan口讓交換機能夠識別不同vlan的數據包，并且設置vlan1添加ip作為連接，使得核心交換機能互相交換信息

5.2關于ospf實施

拓撲圖如下

（交換機在設置完成后已達成任務，故交換機在拓撲圖中已省略）

添加圖片注釋，不超過 140 字（可選）

圖4-3-1 ospf簡化拓撲圖

在pc，和路由上先配置上基礎的端口配置

之后在路由內開啟ospf 1-area 0，添加連接端口所屬的網段，

R1

添加圖片注釋，不超過 140 字（可選）

圖4-3-2 R1配置截圖

添加圖片注釋，不超過 140 字（可選）

圖4-3-3 R1配置截圖

在R2配置通告ospf的相鄰網段

R2

添加圖片注釋，不超過 140 字（可選）

圖4-3-4 R2配置截圖

添加圖片注釋，不超過 140 字（可選）

圖4-3-5 R2配置截圖

在R2配置通告ospf的相鄰網段

R3

添加圖片注釋，不超過 140 字（可選）

圖4-3-5 R3配置截圖

添加圖片注釋，不超過 140 字（可選）

圖4-3-5 R3配置截圖

在R3配置通告ospf的相鄰網段

5.3關于nat配置

NAT的功能既在內網的主機訪問外網時，把多個內網ip轉換為一個可用的公網ip，實現地址轉換， 滿足公司部門對外訪問需求，

另外，可配置nat server技術實現，服務器可以供外網使用

添加圖片注釋，不超過 140 字（可選）

圖4-4-1 nat地址轉換簡化拓撲圖

由此模擬董事處pc，到外網的靜態nat轉換，

r1上設置如下

添加到下一跳的默認路由，使用202.168.10.5作為被轉化的公網ip

Int g0/0/1

Ip add 202.168.10.1 255.255.255.0

添加圖片注釋，不超過 140 字（可選）

圖4-4-2

Ip route-static 0.0.0.0 0.0.0.0 202.168.10.2

r2也只需要添加端口即可

5.4關于dhcp實施

公司設置使用 DHCP服務器上的IP地址數據庫包含如下項目： 在緩沖池中指定給客戶機的有效IP地址，以及手工指定的保留地址。 外接ip所獲得的租約時間即指定IP地址可以使用的時間。

拓撲圖（三層交換機配置access和trunk即可，略去三層交換機）

使用基于全局地址池配置的dhcp

添加圖片注釋，不超過 140 字（可選）

圖4-5-1 dhcp拓撲圖

R1

關于左交換機下的地址池分配

添加圖片注釋，不超過 140 字（可選）

圖4-5-2 lsw1配置圖

關于右邊交換機下的地址池分配

添加圖片注釋，不超過 140 字（可選）

圖4-5-3 lsw2配置圖

該設置，保留了192.168.8.1-192.168.8.61 和192.168.9.1-192.168.9.61得已經配置的靜態ip不會被分配，獲取的有效期為1天

5.5關于防火墻實施

防火墻拓撲圖如下（只取核心部分）

添加圖片注釋，不超過 140 字（可選）

圖4-5-1-1 防火墻配置圖

基本區域設置，

[SRG]acl 3000

[SRG-acl-adv-3000]rule deny ip source 192.168.0.0 0

允許192.168.0.0. 的ip報文通過

[SRG]firewall interzone trust untrust

[SRG-interzone-trust-untrust]packet-filter 3000 outbound

進行應用

設置ftp服務通過防火墻

[SRG]policy interzone trust untrust outbound

[SRG-policy-interzone-trust-untrust-outbound-1]policy source192.168.1.0.0

[SRG-policy-interzone-trust-untrust-outbound-1]policy source 192.168.1.1 0

[SRG-policy-interzone-trust-untrust-outbound-1]policy destination 202.168.20.1 0

5.6關于策略實施

擴展訪問控制列表具有靈活性和可擴充性，即可以對同一地址允許使用某些協議通信流量通過，而拒絕使用其他協議的流量通過。

添加圖片注釋，不超過 140 字（可選）

圖4-5-2-1 拓撲圖

進行aaa認證，

R2，3設置為用戶級別

添加圖片注釋，不超過 140 字（可選）

圖4-5-2-2 策略配置圖

R1在aaa視圖設置為管理員權限

添加圖片注釋，不超過 140 字（可選）

圖4-5-2-3策略配置圖

設置完成，r1的路由器即使擁有密碼，也無法進入r3，

保證了a棟路由器的安全

添加圖片注釋，不超過 140 字（可選）

圖4-5-3-4 策略配置圖

只用aaa認證并不安全且傳輸手段是明文不安全，為此可以加裝alc配置

添加圖片注釋，不超過 140 字（可選）

圖4-5-3-5策略配置圖

允許a棟r1來源的數據包的通過b2，隔斷其他路由的數據包

添加圖片注釋，不超過 140 字（可選）

圖4-5-3-6策略配置圖

進行調用，完成配置

第六章 網絡測試

7.1 DHCP測試

連通性測試如下

添加圖片注釋，不超過 140 字（可選）

圖7-1-1 dhcp測試圖

添加圖片注釋，不超過 140 字（可選）

圖7-1-2 dhcp測試圖

兩臺新加入的pc，已經能夠從服務器獲取地址

添加圖片注釋，不超過 140 字（可選）

圖7-1-3 dhcp測試圖

而且相互通信沒有問題，由此新加入的pc可以達成使用需求。

7.2NAT地址轉換測試

連通性測試如下

添加圖片注釋，不超過 140 字（可選）

圖7-2-1 nat轉換測試圖

添加圖片注釋，不超過 140 字（可選）

圖7-2-2 轉換測試圖

7.3 OSPF搭建連通性測試

連通性測試

圖片上傳失敗

圖7-3-1 ospf網絡連接測試圖

由此，依照拓撲圖，把其他部門進行nat地址轉換，實現與外網的通信

---

參考文獻

[1]屈正耿 呂鵬.中小型企業安全方案的設計[J].

太赫茲科學與電子信息學報， 2019（3）.6-7.

[2]謝金利.網絡工程設計的需求分析[J].

信息與電腦 2017，(8) 16-18.

[3]支成保.某市財務大廳網絡工程[D].

南京郵電大學. 2014.1-5.

[4]劉建南.淺談影院網絡綜合布線工程[J].

現代電影技術影院建設，2019(1).2-3.

[5]劉申菊 田丹.企業網網絡設計方案的研究[R].

沈陽工學院，2018（6）.166-167.

[6]王瑾.計算機網絡可靠性優化設計問題的分析[J].

互聯網+應用，2019(05)99-100.

[7]劉小飛.基于知識管理的企業網絡管理系統模型[D].

湖南大學.2007.5-8 .

[8] 馮政軍 朱琴.

基于OSPF（開放式最短路徑優先）路由協議的企業網絡設計[J].

江海職業技術學院，2018（6）11-13.

[9] Gregorio Martinez Perez.

Networking Communicationand Data Knowledge Engineering[M].

University of Murcia .44-45.

[10]John Wiley & Son

THE COMPETITIVEINTERNET SERVICEPROVIDER[M] .

Technical University Darmstadt, Germany .114-116.

---

致謝

大學最后的時光依然如此充實，能夠在接觸社會的同時繼續對自己學業知識進行實踐是非常有意義的。在此感謝YESLAB林老師等提供關于華為設備相關的技術文檔支持。特別感謝論文指導馬老師對于論文問題處的指出，也使我認識到自己個人技術水平的局限，以及感謝各位同班同學對我的學習上生活上幫助。

在之后的人生道路上，不管是工作還是學習，都會跟隨時代的步伐，不斷進步，再次感謝遇到所有遇到過的幫助我的人們，未來雖然各位各自發展，但我依然會記住這美好的大學生活，人生有夢各自精彩。