網(wǎng)絡(luò)工程-銳雯網(wǎng)絡(luò)科技有限公司網(wǎng)絡(luò)設(shè)計

銳雯網(wǎng)絡(luò)科技有限公司網(wǎng)絡(luò)設(shè)計摘要：伴隨著信息科技發(fā)展，上網(wǎng)變得一件必不可少的事情，當(dāng)然網(wǎng)絡(luò)安全對我們也是越來越重要。像我們的傳統(tǒng)網(wǎng)結(jié)構(gòu)是無法為我們的上網(wǎng)提供一個安全的網(wǎng)絡(luò)環(huán)境。銳雯網(wǎng)絡(luò)科技有限公司就是以網(wǎng)絡(luò)安全為基本的對網(wǎng)絡(luò)驚醒合理化的設(shè)計的，通過AAA認(rèn)證、QOS、BFD、MPLS以及NAT等技術(shù)設(shè)計出一時代化的網(wǎng)絡(luò)架構(gòu)，同時也必須具備高可靠性以及高安全性的特點。本論文是以網(wǎng)絡(luò)設(shè)計以及網(wǎng)絡(luò)需求的方向來對銳雯網(wǎng)絡(luò)科技有限公司進(jìn)行合理化設(shè)計，并且通過與傳統(tǒng)網(wǎng)絡(luò)不足比較從而進(jìn)行改進(jìn)。同時，也會根據(jù)數(shù)據(jù)通信技術(shù)以及企業(yè)園區(qū)網(wǎng)絡(luò)的功能特性，從網(wǎng)絡(luò)的可靠性、安全性、可擴(kuò)展性、先進(jìn)性等特性對網(wǎng)絡(luò)進(jìn)行設(shè)計、優(yōu)化，從而設(shè)計出一個合理的網(wǎng)絡(luò)建設(shè)方案。關(guān)鍵詞：網(wǎng)絡(luò)安全，網(wǎng)絡(luò)建設(shè)，企業(yè)網(wǎng)絡(luò)

ConstructionandoptimizationofenterprisenetwortAbstract：Withthedevelopmentofinformationtechnology,surfingtheInternethasbecomeanindispensablething,andofcoursenetworksecurityisbecomingmoreandmoreimportanttous.TraditionalnetworkstructureslikeoursareunabletoprovideasecurenetworkenvironmentforourInternetsurfing.Riwennetworktechnologyco.,ltd.istonetworksecurityasthebasicrationaldesignofthenetwork,throughAAAcertification,QOS,BFD,MPLSandNATandothertechnologiesdesignedaneraofnetworkarchitecture,butalsomusthavehighreliabilityandhighsecuritycharacteristics.Thispaperisthenetworkdesignandnetworkdemandtothedirectionofriwennetworktechnologyco.,ltd.torationalizethedesign,andthroughthetraditionalnetworkandtheshortageofcomparisontoimprove.Atthesametime,accordingtothedatacommunicationtechnologyandthefunctionalcharacteristicsoftheenterpriseparknetwork,fromthenetworkreliability,security,scalability,advancedcharacteristicsofthenetworkdesignandoptimization,soastodesignareasonablenetworkconstructionprogram.Keywords：networksecurity,Networkconstruction,Enterprisenetwork

目錄第1章緒論 91.1研究背景 91.2網(wǎng)絡(luò)發(fā)展的趨勢 91.2.1鏈路的冗余 91.2.2數(shù)據(jù)訪問控制與安全 101.2.3業(yè)務(wù)流量的優(yōu)化 101.3研究目的和意義 10第2章網(wǎng)絡(luò)需求分析 112.1無線的需求 112.2外部網(wǎng)絡(luò)訪問內(nèi)網(wǎng)的安全性 112.3鏈路的冗余和網(wǎng)絡(luò)可靠 122.4網(wǎng)絡(luò)性能需求 122.5網(wǎng)絡(luò)架構(gòu)具備擴(kuò)展性 12第3章網(wǎng)絡(luò)設(shè)計方案 133.1網(wǎng)絡(luò)設(shè)計原則 133.1.1先進(jìn)性 143.1.2可靠性 143.1.3安全性 143.1.4可擴(kuò)展性 143.1.5易于管理 143.2核心層設(shè)計 153.2.1OSPF的部署 153.2.2QOS的應(yīng)用 163.2.3堆疊技術(shù) 163.3匯聚層設(shè)計 163.3.1DHCP服務(wù)的部署 173.3.2VRRP網(wǎng)關(guān)備份 173.3.3鏈路聚合 183.4接入層設(shè)計 183.4.1SSH協(xié)議的部署 193.4.2MSTP的部署 193.5核心層以上的設(shè)計 193.5.1防火墻雙機(jī)熱備 203.5.2NAT的應(yīng)用 203.5.3MPLSVPN的應(yīng)用 213.6IP地址和VLAN的劃分 223.6.1VLAN的劃分 223.6.2IP地址規(guī)劃 233.7設(shè)備選型 243.7.1核心層設(shè)備選型 243.7.2匯聚層設(shè)備選型 253.7.3接入層設(shè)別選型 253.7.4無線設(shè)備選型 26第4章網(wǎng)絡(luò)設(shè)計方案部署 274.1.核心層的部署 274.1.1OSPF協(xié)議的部署 274.1.2堆疊技術(shù)的部署 274.2匯聚層的部署 284.2.1DHCP協(xié)議的部署 284.2.2VRRP的部署 284.2.3鏈路聚合的部署 294.3接入層的部署 294.3.1MSTP的部署 294.3.2SSH的部署 304.4網(wǎng)絡(luò)出口的部署 314.4.1NAT的部署 314.4.2雙機(jī)熱備的部署 31第5章方案的測試 325.1無線測試 325.2DHCP地址獲取情況 335.3聯(lián)通性 34結(jié)束語 37參考文獻(xiàn) 38致謝 39

第1章緒論1.1研究背景隨著信息科技的發(fā)展、網(wǎng)絡(luò)技術(shù)的進(jìn)步。在當(dāng)下這個社會，互聯(lián)網(wǎng)傳輸數(shù)據(jù)的所引起的關(guān)注點就是信息安全和流量的優(yōu)化。我們作為一個企業(yè)接入互聯(lián)網(wǎng)，我們首先要有我們自己公司內(nèi)部的企業(yè)網(wǎng)，同時我們也要向著信息安全、流量優(yōu)化的方向建設(shè)我們的企業(yè)網(wǎng)。隨著近幾年網(wǎng)絡(luò)技術(shù)的快速發(fā)展，網(wǎng)絡(luò)的安全性也逐漸得到重視，我們企業(yè)的溝通交流也是以網(wǎng)絡(luò)傳遞為中心，所以我們建設(shè)企業(yè)網(wǎng)首先考慮的就是網(wǎng)絡(luò)安全性，通過認(rèn)證、加密保證數(shù)據(jù)在網(wǎng)絡(luò)傳輸過程中是以密文的形式交互，當(dāng)然我們也是無法保證我們數(shù)據(jù)在網(wǎng)絡(luò)中有沒有竊取，畢竟在互聯(lián)網(wǎng)的時代是沒有絕對的安全；企業(yè)網(wǎng)建設(shè)當(dāng)然不僅僅是信息安全，我們同時也會兼顧到我們內(nèi)部網(wǎng)絡(luò)流量的優(yōu)化，這樣可以保證重要的數(shù)據(jù)可以快速轉(zhuǎn)發(fā)使得我們公司內(nèi)部業(yè)務(wù)的得到保證。傳統(tǒng)的網(wǎng)絡(luò)架構(gòu)框架基本都是核心層-匯聚層-接入層，我們銳雯網(wǎng)絡(luò)科技有限公司的網(wǎng)絡(luò)架構(gòu)就是以這個框架進(jìn)行設(shè)計以及優(yōu)化所得出兩種模型：有限網(wǎng)絡(luò)核心層-匯聚層-接入層；無線網(wǎng)絡(luò)部 分核心層-接入層?；谶@兩種模型我們可以更好的控制我們流量走向。本論文將以銳雯網(wǎng)絡(luò)科技有限公司作為研究對象，從網(wǎng)絡(luò)設(shè)計的背景、業(yè)務(wù)的需求、企業(yè)網(wǎng)絡(luò)拓補等方面進(jìn)行具體分析，通過現(xiàn)有網(wǎng)絡(luò)技術(shù)，結(jié)合企業(yè)未來業(yè)務(wù)發(fā)展前景，對現(xiàn)有網(wǎng)絡(luò)提出設(shè)計方案。1.2網(wǎng)絡(luò)發(fā)展的趨勢 1.2.1鏈路的冗余 在傳統(tǒng)企業(yè)網(wǎng)建設(shè)中，企業(yè)的用戶流量通常都是高度集中、流量走向都是單一、高度集中，一旦出現(xiàn)單點故障，公司的業(yè)務(wù)流量就會得不到保障。面對這樣的不穩(wěn)定的網(wǎng)絡(luò)構(gòu)建，我們公司的企業(yè)網(wǎng)采取的措施是用MSTP技術(shù)實現(xiàn)鏈路冗余、鏈路負(fù)載。同時我們公司的網(wǎng)絡(luò)架構(gòu)是從核心到匯聚都采用雙設(shè)備，雖然這樣會加重建設(shè)成本，但是在一定程度上加強(qiáng)了網(wǎng)絡(luò)的擴(kuò)展性、可靠性。1.2.2數(shù)據(jù)訪問控制與安全傳統(tǒng)的企業(yè)網(wǎng)絡(luò)對于企業(yè)網(wǎng)安全這方面不夠重視，往往在企業(yè)網(wǎng)的出口僅僅只部署了一臺防火墻，而沒有使用相應(yīng)的安全技術(shù)、相應(yīng)的控制策略，這樣很容易受到外部網(wǎng)絡(luò)的攻擊，同時內(nèi)部主機(jī)之間的相互訪問也沒有做相應(yīng)的限制，安全性也不高。在我們公司網(wǎng)絡(luò)規(guī)劃中，我們采用的是我們通過MPLSVPN技術(shù)option-C2方案實現(xiàn)總部和分部之間的通信；同時在防火墻上部署相應(yīng)網(wǎng)安全策略，限制外網(wǎng)用戶直接訪問我們公司內(nèi)網(wǎng)；內(nèi)部之間我們通過ACL、PBR以及二層隔離技術(shù)實現(xiàn)對員工的上網(wǎng)行為進(jìn)行限制。通過相應(yīng)的安全協(xié)議，我們可以保證數(shù)據(jù)的安全訪問。1.2.3業(yè)務(wù)流量的優(yōu)化 傳統(tǒng)的企業(yè)網(wǎng)流量的走向都是單一的，沒有經(jīng)過專業(yè)的部署，雖然流量走到的最優(yōu)的路徑，但是出現(xiàn)數(shù)據(jù)高峰時，就會導(dǎo)致網(wǎng)絡(luò)擁塞，數(shù)據(jù)丟包的情況。我們在規(guī)劃網(wǎng)絡(luò)時也有根據(jù)這情況做了相應(yīng)應(yīng)對策略，我們采用QOS、MSTP等技術(shù)對數(shù)據(jù)流量進(jìn)行優(yōu)化，保證我們公司重要業(yè)務(wù)流量得到及時轉(zhuǎn)發(fā)。1.3研究目的和意義在互聯(lián)網(wǎng)時代中，隨著IP技術(shù)的不斷發(fā)展，信息安全和流量優(yōu)化在企業(yè)網(wǎng)顯得越發(fā)重要。傳統(tǒng)的企業(yè)網(wǎng)絡(luò)架構(gòu)結(jié)構(gòu)單一、功能單一、設(shè)計存在各種問題，無法滿足公司業(yè)務(wù)的需求。網(wǎng)絡(luò)設(shè)備跟不上技術(shù)的發(fā)展，導(dǎo)致硬件傳輸數(shù)據(jù)的速度過慢，用戶的體驗差。網(wǎng)絡(luò)規(guī)劃不合理，浪費IP地址，網(wǎng)絡(luò)架構(gòu)難以進(jìn)一步拓展。數(shù)據(jù)傳輸?shù)陌踩圆桓?，存在?yán)重的數(shù)據(jù)安全漏洞。網(wǎng)絡(luò)設(shè)備部署缺乏冗余性和可拓展性，業(yè)務(wù)流量走向比較單一。因此，本課題將深入研究新型企業(yè)網(wǎng)絡(luò)的需求特點和功能特性，通過分析現(xiàn)有傳統(tǒng)企業(yè)網(wǎng)絡(luò)架構(gòu)存在的問題與不足，

第2章網(wǎng)絡(luò)需求分析銳雯網(wǎng)絡(luò)科技有限公司是一家從事軟件開發(fā)的軟件公司，因此對數(shù)據(jù)的安全要求很高，因此我們在總部和分部之前采用的MPLSVPN和IPSECVPN等隧道技術(shù)。當(dāng)我們的公司內(nèi)部用戶訪問我們的內(nèi)網(wǎng)服務(wù)器的時候他們的訪問流量都會被我們的核心交換機(jī)強(qiáng)制下一跳流經(jīng)我們企業(yè)網(wǎng)的上網(wǎng)行為審計。與傳統(tǒng)的網(wǎng)絡(luò)架構(gòu)不同的是我們是采用上設(shè)備堆疊技術(shù)，不僅僅是加強(qiáng)我們的網(wǎng)絡(luò)的性能，同時還是具有很強(qiáng)的可擴(kuò)展性與可靠性。為了滿足公司內(nèi)部用戶的上網(wǎng)需求以及公司業(yè)務(wù)發(fā)展，我們建設(shè)一個企業(yè)網(wǎng)必須滿足一下這些需求。2.1無線的需求 銳雯網(wǎng)絡(luò)科技有限公司的無線網(wǎng)絡(luò)結(jié)構(gòu)和有限網(wǎng)絡(luò)結(jié)構(gòu)是不相同的，我們的無線網(wǎng)絡(luò)的結(jié)構(gòu)是采用的是AC核心交換機(jī)無線接入交換機(jī)。我們的無線網(wǎng)絡(luò)的覆蓋率是很高的，因此用戶在接入無線時，連接不同AP之間都是可以隨意漫游的。而且還有很重要的一點是不通用戶有不同的ssid-id，除了ssid-id為guest是開放外，其他的都是采用認(rèn)證的方式接入我們公司網(wǎng)絡(luò)。因為考慮到2.4G頻段穿透能力強(qiáng)、射頻范圍大，但是在這一頻段的干擾性多；而5G頻段穿透能力弱、射頻范圍小，但是在這一頻段的干擾性小，因此無線的頻段5G和頻段2.4G頻段會同時開啟，從而滿足用戶隨時隨意的接入無線。2.2外部網(wǎng)絡(luò)訪問內(nèi)網(wǎng)的安全性銳雯網(wǎng)絡(luò)科技有限公司因為公司的特殊性，對自己的企業(yè)網(wǎng)的安全性是非常的高，因此我們規(guī)劃企業(yè)網(wǎng)的時候我們非常重視這一部分的功能特性。因為我們公司是一個軟件公司，內(nèi)部的數(shù)據(jù)不可能會發(fā)生被外部竊取現(xiàn)象，因此我們網(wǎng)絡(luò)的出口就是一臺防護(hù)墻，經(jīng)過防火墻之后我們還部署了深信服的上網(wǎng)行為審計，就相當(dāng)于每個用戶做什么事情都是清清楚楚。次外我們的有線用戶接入內(nèi)網(wǎng)首先要經(jīng)過深信服的portal認(rèn)證，無線接入用戶我們也是采用密碼認(rèn)證，并且我們的密碼都是經(jīng)過MD5算法加密，想要破解難度是非常大的。在內(nèi)網(wǎng)也部署了相應(yīng)防止內(nèi)網(wǎng)攻擊的網(wǎng)絡(luò)技術(shù)：內(nèi)網(wǎng)用戶訪問控制采用ACL策略限制用戶權(quán)限、防止非法用戶有線接入內(nèi)網(wǎng)我們采用端口安全、防止用戶破壞DHCP地址池以為DHCP地址池合理化使用我們采用的是DHCPSNOOPING技術(shù)提供安全。2.3鏈路的冗余和網(wǎng)絡(luò)可靠銳雯網(wǎng)絡(luò)科技有限公司用戶數(shù)量多、業(yè)務(wù)量龐大，我們不允許我們的企業(yè)網(wǎng)出現(xiàn)故障，一旦公司網(wǎng)絡(luò)出現(xiàn)故障，就會影響公司用戶的體驗感和以及公司的業(yè)務(wù)情況。在規(guī)劃網(wǎng)絡(luò)時，我們的工程師首先考慮到點就是網(wǎng)絡(luò)的冗余性，公司網(wǎng)絡(luò)不允許出現(xiàn)中斷現(xiàn)象，對網(wǎng)絡(luò)可靠性的要求非常高。與傳統(tǒng)網(wǎng)絡(luò)相比，我們在硬件上我們采用的是雙鏈路雙設(shè)備的組網(wǎng)方式，運用堆疊技術(shù)我們把兩臺設(shè)備合并一臺，并且在設(shè)備的性能上不會減低；在網(wǎng)絡(luò)技術(shù)上我們采用的是MSTP+VRRP技術(shù)來提高鏈路的冗余，通過靈活的使用VRRP和MSTP技術(shù)使得我們的鏈路的利用率大大的提高。當(dāng)讓我們都知道故障不僅僅是在我們的內(nèi)部網(wǎng)絡(luò)會發(fā)生，運營商的網(wǎng)絡(luò)也是會發(fā)生故障的，因此我們連接外網(wǎng)采用雙鏈路并且互為主備同時通過BFD技術(shù)快速檢測線路問題，一旦出現(xiàn)故障鏈路切換達(dá)是毫秒級別的。2.4網(wǎng)絡(luò)性能需求銳雯網(wǎng)絡(luò)科技有限公司用戶數(shù)量大，流量基數(shù)高，并發(fā)量大，內(nèi)部員工對服務(wù)器訪問量大。針對這一現(xiàn)象，我們在規(guī)劃網(wǎng)絡(luò)時。從接入層到匯聚層應(yīng)該采用千兆線路，服務(wù)器接入層到服務(wù)器匯聚層采用的是線路，匯聚層到核心層采用的萬兆的線路，核心以上也是采用萬兆線路。這樣可以實現(xiàn)千兆到用戶，這樣設(shè)計可以是用戶內(nèi)部之間告訴訪問，在訪問外網(wǎng)是設(shè)置每個人的帶寬不超過10M，這樣規(guī)劃可以從一定層度上降低流量的峰值，保障內(nèi)部所以用戶上網(wǎng)。2.5網(wǎng)絡(luò)架構(gòu)具備擴(kuò)展性 隨著科技的快速發(fā)展，我們在購買我們網(wǎng)絡(luò)設(shè)備時，我們應(yīng)該想到現(xiàn)在購買的設(shè)備能不能滿足日后的需求，同時也要考慮到我們的設(shè)備和更新設(shè)備的兼容性，要知道公司在壯大的同時我們的網(wǎng)絡(luò)也是隨之變大。當(dāng)然我們不僅僅是考慮硬件上，同時也要考慮到架構(gòu)上以及網(wǎng)絡(luò)協(xié)議上。首先我們的網(wǎng)絡(luò)架構(gòu)時采用的時日字型的三層結(jié)構(gòu)，它可以根據(jù)網(wǎng)絡(luò)的需求改變企業(yè)網(wǎng)的大小。第3章網(wǎng)絡(luò)設(shè)計方案銳雯網(wǎng)絡(luò)科技有限公司的總拓?fù)淙缦聢D所示 圖-3-1網(wǎng)絡(luò)總拓?fù)?在這個網(wǎng)絡(luò)拓?fù)渲锌梢缘娇偛亢头植恐g是通過MPLSVPN相連，保證彼此之前的連通性?？偛亢头植康募軜?gòu)都是日字形組網(wǎng)架構(gòu)，并且是采用三層結(jié)構(gòu)，接入層、匯聚層、核心層之間結(jié)構(gòu)清晰。3.1網(wǎng)絡(luò)設(shè)計原則在企業(yè)網(wǎng)建設(shè)中，我們始終是以銳雯網(wǎng)絡(luò)科技有限公司的需求為核心，選擇最適合本公司的網(wǎng)絡(luò)技術(shù)實現(xiàn)，因此我們的企業(yè)網(wǎng)規(guī)劃遵循以下原則。3.1.1先進(jìn)性隨著科技的快速發(fā)展，為了跟上網(wǎng)絡(luò)的步伐，我們的企業(yè)網(wǎng)采用設(shè)備必須是與時俱進(jìn)的。匯聚到核心以及到出口都是采用雙設(shè)備負(fù)載，強(qiáng)大的功能特性不僅僅是新型網(wǎng)絡(luò)的建設(shè)風(fēng)格。3.1.2可靠性 企業(yè)網(wǎng)絡(luò)的可靠性決定了一個企業(yè)網(wǎng)的好壞，我們公司不僅僅是在硬件設(shè)備還是網(wǎng)絡(luò)技術(shù)上都是實現(xiàn)了我們企業(yè)網(wǎng)高可靠性。硬件上我們采用的是雙設(shè)備和雙鏈路冗余，保證我們網(wǎng)絡(luò)發(fā)生單點故障時不會使我們網(wǎng)絡(luò)癱瘓的后果；網(wǎng)絡(luò)技術(shù)上我們采用VRRP、MSTP等可靠的網(wǎng)絡(luò)協(xié)議。3.1.3安全性銳雯科技網(wǎng)絡(luò)有限公司作為一個軟件開發(fā)公司，我們對公司的數(shù)據(jù)安全性是非常高的，保證我們數(shù)據(jù)不會被竊取。我們在企業(yè)網(wǎng)規(guī)劃時，為了保證我們的數(shù)據(jù)安全，企業(yè)網(wǎng)內(nèi)部我們采用ACL、端口隔離、端口安全等安全技術(shù)限制公司內(nèi)部用戶對網(wǎng)絡(luò)的攻擊；外部我們采用的是MPLSVPN技術(shù)與分部數(shù)據(jù)進(jìn)行訪問，并且出口設(shè)置防火墻隔離內(nèi)外網(wǎng)。3.1.4可擴(kuò)展性我們在企業(yè)網(wǎng)規(guī)劃過程中，由于考慮到時代的發(fā)展過快 ，我們在采用網(wǎng)絡(luò)技術(shù)的時候，我們首先考慮的就是可擴(kuò)展性。擴(kuò)展性性保證我們公司業(yè)務(wù)變大而使我們企業(yè)改變適應(yīng)，以及企業(yè)網(wǎng)擴(kuò)建。3.1.5易于管理 我們企業(yè)網(wǎng)的優(yōu)勢不僅僅是在設(shè)備硬件和安全，最重要的還是我們企業(yè)網(wǎng)容易管理。我們公司采用的是傳統(tǒng)的日字型的三層結(jié)構(gòu)，在每臺設(shè)備上我們都采用了ssh遠(yuǎn)程，無論是遠(yuǎn)程管理還是網(wǎng)絡(luò)排錯都是很好的。3.2核心層設(shè)計傳統(tǒng)的網(wǎng)絡(luò)架構(gòu)就是三層結(jié)構(gòu)：核心層、匯聚層、接入層。核心層作為企業(yè)網(wǎng)中心樞紐，是企業(yè)網(wǎng)所以流量的必經(jīng)之地，因此他必須具有強(qiáng)大的轉(zhuǎn)發(fā)能力以及數(shù)據(jù)處理能力。銳雯網(wǎng)絡(luò)科技有限公司在核心層部署兩臺數(shù)據(jù)中心級別的交換機(jī)來作為核心層的數(shù)據(jù)高速轉(zhuǎn)發(fā)，同時這兩臺數(shù)據(jù)中心級別的交換機(jī)采用堆疊CSS技術(shù)邏輯上合并成一臺，這不僅僅是解決了端口不夠用的問題，加強(qiáng)網(wǎng)絡(luò)管理員的管理能力。當(dāng)一臺核心交換機(jī)故障了另外一臺核心交換機(jī)仍能正常運行，這樣很大的提高了核心層的可靠性。核心層設(shè)計如圖3-1所示。圖3-2核心層設(shè)計 在網(wǎng)絡(luò)規(guī)劃時我們考慮到內(nèi)部路由較多，日后擴(kuò)展能力強(qiáng)，我們采用了OSPF路由協(xié)議；核心層是去往各個子網(wǎng)段的必經(jīng)匯聚點，所我們在核心層做了PBR以及QOS技術(shù)限制用戶的行為。3.2.1OSPF的部署 OSPF開放式最短路徑優(yōu)先協(xié)議，這是一個動態(tài)的路由協(xié)議。一般的中大型企業(yè)網(wǎng)都會選擇OSPF作為內(nèi)網(wǎng)三層互聯(lián)的首選的動態(tài)路由協(xié)議，當(dāng)然銳雯網(wǎng)絡(luò)科技有限公司也是選擇OSPF作為內(nèi)網(wǎng)的三層互聯(lián)的動態(tài)路由協(xié)議。OSPF協(xié)議是一種鏈路狀態(tài)路由協(xié)議，它是基于SPF算法，以自己為根計算出自己到每個節(jié)點的最短路徑，這樣避免了三層的環(huán)路，同時他是支持變長子網(wǎng)、支持認(rèn)證、以及擴(kuò)展性強(qiáng)都優(yōu)點。在我企業(yè)網(wǎng)規(guī)劃中我們從匯聚層和核心層之間配置OSPF路由協(xié)議，整個OSPF區(qū)域只劃分一個Area0，并且端到端之間啟用p2p，加快網(wǎng)絡(luò)的收斂。3.2.2QOS的應(yīng)用 QOS服務(wù)質(zhì)量，就是在有限的資源內(nèi)，更好的提高網(wǎng)絡(luò)服務(wù)。因為我們核心層數(shù)據(jù)比較多，在做大格局流量時，QOS就發(fā)揮的及其重要的流量管理。QOS有區(qū)分服務(wù)模型，針對不同優(yōu)先級區(qū)分不同的服務(wù)；同時，QOS也有令牌桶原則，簡單來說就是限速，就是根據(jù)每個源地址設(shè)定不同的網(wǎng)速。銳雯網(wǎng)絡(luò)科技有限公司以為內(nèi)部用戶過多，不可能對用戶的上網(wǎng)帶寬進(jìn)行限制。傳統(tǒng)企業(yè)網(wǎng)也是對用戶設(shè)置上網(wǎng)帶寬限制。3.2.3堆疊技術(shù) 堆疊技術(shù)就是將兩臺或者兩臺以上交換機(jī)合并在一起工作，這樣可以提供更多的端口利用。堆疊通過堆疊線連接在一起，配置完后的堆疊設(shè)備可以在隨機(jī)一臺交換機(jī)上配置，其他交換機(jī)也會生效；堆疊技術(shù)在一臺設(shè)備故障其他設(shè)備不會收到影響的高可靠性。核心層作為銳雯網(wǎng)絡(luò)科技有限公司的中心樞紐，在不降低設(shè)備成本的同時選擇最好的技術(shù)實現(xiàn)公司內(nèi)部網(wǎng)絡(luò)的穩(wěn)定性，多臺設(shè)備可以同時管理，從而大大降低了網(wǎng)絡(luò)管理員對網(wǎng)絡(luò)的管理，所以堆疊技術(shù)就是哦我們首選的。3.3匯聚層設(shè)計 匯聚層作為每個VLAN的從出口的存在，因此匯聚是所有接入層流量的匯聚點，同時所有VLAN不是接在同意個匯聚交換機(jī)，所以匯聚也是要運行動態(tài)路由協(xié)議，不然不同網(wǎng)段之間的通信就會存在問題。雖然匯聚層的數(shù)據(jù)量沒有核心層的量那么多，但是也不會太低。因此選擇設(shè)備時我們不是一定買最貴的，但是性能不能差，更是方便以后網(wǎng)絡(luò)拓展。 規(guī)劃網(wǎng)絡(luò)時，我們銳雯網(wǎng)絡(luò)科技有限公司的工程師考慮到多鏈路復(fù)用以及備份采用兩臺匯聚層交換機(jī)進(jìn)行鏈路冗余備份，通過VRRP協(xié)議以及MSTP協(xié)議靈活的規(guī)劃接入層到匯聚層的流量。匯聚層作為接入層的出口點，我們也把DHCP服務(wù)器設(shè)置在匯聚層交換機(jī)，而且設(shè)置的規(guī)律也很有意思。為了保證兩臺匯聚層交換機(jī)的互通性強(qiáng)，在兩臺匯聚層交換機(jī)上我們還部署了LACP協(xié)議，使得接入層到匯聚層的冗余性更強(qiáng)。3.3.1DHCP服務(wù)的部署 DHCP協(xié)議也叫動態(tài)主機(jī)配置協(xié)議，他主要是服務(wù)器控制一段IP地址的范圍而主機(jī)可以通過自動向服務(wù)器動態(tài)的獲取IP地址、子網(wǎng)掩碼、DNS、網(wǎng)關(guān)等信息，像這種協(xié)議，一般的企業(yè)網(wǎng)都會部署。因為一般的普通用戶對網(wǎng)絡(luò)知識的認(rèn)知比較低，像這個自動化配置網(wǎng)絡(luò)就很好的解決了銳雯網(wǎng)絡(luò)科技有限公司的這種人員較多，配置量大的情況。對網(wǎng)絡(luò)管理員來說，內(nèi)網(wǎng)用戶較多，手動配置IP地址信息的話，很有可能配置會出現(xiàn)錯誤而引起的地址沖突上不了網(wǎng)，并且配置量也是多的可怕的。為了減輕網(wǎng)絡(luò)管理員的負(fù)擔(dān)，加強(qiáng)網(wǎng)絡(luò)管理員對內(nèi)網(wǎng)的管理，DHCP協(xié)議就成了我們內(nèi)網(wǎng)的必選協(xié)議之一。3.3.2VRRP網(wǎng)關(guān)備份 VRRP是虛擬路由冗余協(xié)議，它是一個網(wǎng)關(guān)備份組協(xié)議。他就是通過兩臺設(shè)備設(shè)置不同的IP地址，通過選舉指定一臺為主設(shè)備，并且主設(shè)備負(fù)責(zé)轉(zhuǎn)發(fā)流量；另一臺作為從設(shè)備，不轉(zhuǎn)發(fā)數(shù)據(jù)作為網(wǎng)關(guān)的備份。當(dāng)主設(shè)備出故障時，從設(shè)備會直接代替主設(shè)備轉(zhuǎn)發(fā)流量。銳雯網(wǎng)絡(luò)科技有限公司內(nèi)部網(wǎng)絡(luò)有多個VLAN，并且匯聚層開始走三層，所有的網(wǎng)關(guān)都在匯聚層，因此我們工程師采用的是匯聚層上做VRRP網(wǎng)關(guān)備份。最重要的還是VRRP可以設(shè)置多個備份組，根據(jù)不同的網(wǎng)段設(shè)置不同的網(wǎng)關(guān)，實現(xiàn)負(fù)載的效果。并且還可以通過VRRP和MSTP協(xié)議對流量進(jìn)行雙控制，可以很好對接入層到匯聚層的流量走向進(jìn)行控制。3.3.3鏈路聚合鏈路聚合技術(shù)在傳統(tǒng)網(wǎng)絡(luò)里面是非常常見的技術(shù)，通過在設(shè)備上創(chuàng)建一個邏輯的接口，然后把要聚合的幾個物理接口綁定在這個邏輯上。顯然當(dāng)一條鏈路帶寬不夠大了，又不想換設(shè)備時，這種技術(shù)是有很強(qiáng)的擴(kuò)展能力的。鏈路聚合有兩種模式：手工模式和LACP模式，手工模式就是鏈路聚合的所有端口都是活躍口，都是可以轉(zhuǎn)發(fā)數(shù)據(jù)的；LACP模式是可以選擇最大活躍鏈路數(shù)，根據(jù)設(shè)備的情況選擇鏈路備份，活躍鏈路可以轉(zhuǎn)發(fā)數(shù)據(jù)而備份鏈路是不可以轉(zhuǎn)發(fā)數(shù)據(jù)，活躍鏈路是通過比較優(yōu)先級以及mac地址等信息確定，當(dāng)然的兩臺設(shè)備做鏈路聚合也是區(qū)分主備關(guān)系的，主設(shè)備決定活躍鏈路已經(jīng)最大活躍鏈路。無論是哪種模式，鏈聚合的聚合鏈路數(shù)不能超過8條。銳雯網(wǎng)絡(luò)科技有限公司考慮到內(nèi)網(wǎng)的可靠性，決定匯聚之間采用的是鏈路聚合連接。3.4接入層設(shè)計接入層作為所有有線主機(jī)的接入點，設(shè)備的數(shù)量多這是無法避免的，因此在管理的層面來說，這對網(wǎng)絡(luò)管理員也是一種負(fù)擔(dān)，當(dāng)然我們?yōu)榱朔奖愎芾?，我們可以在每臺接入層交換機(jī)上配置ssh服務(wù)，這樣即使是網(wǎng)絡(luò)出現(xiàn)特殊情況也可以方便排錯。除了管理這些設(shè)備的問題外，去配置這些設(shè)備也是一個比較麻煩的問題。除了管理層面以外，我們還是要考慮一些安全的相關(guān)問題。因為接入層做的不好也可能收到內(nèi)網(wǎng)的攻擊，畢竟林子大了什么鳥有，我們做技術(shù)的什么都應(yīng)該是防患于未然。我們在接入層做相應(yīng)的安全策略，我們要開啟DHCPSnooping保護(hù)我們的DHCP地址池；我們在端口下開啟端口安全，防止外來用戶接入我們網(wǎng)絡(luò)。接入層可以通過MSTP協(xié)議對流量進(jìn)行管控，為用戶的流量接入網(wǎng)絡(luò)暢通無憂。3.4.1SSH協(xié)議的部署中大型企業(yè)網(wǎng)的網(wǎng)絡(luò)設(shè)備都不少，當(dāng)然銳雯網(wǎng)絡(luò)科技有線公司的網(wǎng)絡(luò)設(shè)備量也是很大的，為了網(wǎng)絡(luò)管理員在查看配置時不會帶著console線一層一層樓的爬。當(dāng)然這個SSH遠(yuǎn)程控制協(xié)議也是被很多公司的網(wǎng)絡(luò)管理員所應(yīng)用，因為這個日常用的比較廣泛。SSH遠(yuǎn)程控制協(xié)議的運用場景很多，在遇到解決不了的問題時通過400遠(yuǎn)程支持可以。而且SSH遠(yuǎn)程控制協(xié)議與普通的telnet不同，它的密鑰是經(jīng)過加密的。在接入層我們每臺設(shè)備都會配置SSH遠(yuǎn)程控制協(xié)議，使得我們的網(wǎng)絡(luò)管理更簡潔方便。3.4.2MSTP的部署MSTP多實例生成樹，他就是通過把VLAN劃分到相應(yīng)的實例，并且每個實例都是獨立計算生成樹的，就是通過他的原理我們可以控制不同VLAN的流量的走向。因為在匯聚層部署了vrrp網(wǎng)關(guān)備份協(xié)議，MSTP配合vrrp對流量可以做一個雙重控制。此外MSTP相對比普通STP收斂更快，所以在連接主機(jī)端設(shè)置邊緣端口；與快速生成樹相比MSTP支持多實例，因此MSTP在我們公司的網(wǎng)絡(luò)起來很重要的作用。3.5核心層以上的設(shè)計 企業(yè)網(wǎng)的出口是實現(xiàn)內(nèi)網(wǎng)與外網(wǎng)通信的必經(jīng)之道，因為銳雯網(wǎng)絡(luò)科技有限公司的網(wǎng)絡(luò)出口比較多，所以合理規(guī)劃網(wǎng)絡(luò)出口是非常必要的。所以我們的設(shè)計是采用核心以上連雙防火墻，防火墻上是連出口路由器。防火墻采用的是雙機(jī)熱備，防止特殊情況的發(fā)生；路由器是作為MPLSVPN的CE設(shè)備，同時也是設(shè)置NAT地址轉(zhuǎn)換的設(shè)備。我們的總共出口線路有三條，其中一條作為總部與分部互通的MPLSVPN線路，而另外的兩條則是作為出口互聯(lián)網(wǎng)線路。而且我們我們的設(shè)計原則是私網(wǎng)明細(xì)路由走M(jìn)PLS線路，公網(wǎng)路由直接默認(rèn)。出口設(shè)計圖如下： 圖3-3出口設(shè)計3.5.1防火墻雙機(jī)熱備 防火墻雙機(jī)熱備在很多的企業(yè)網(wǎng)都是很常見的，這樣的設(shè)計很好的保證了設(shè)備和鏈路的冗余性。兩臺設(shè)備通過運行HRP協(xié)議選出主從設(shè)備，然后主設(shè)備負(fù)責(zé)轉(zhuǎn)發(fā)流量，備份設(shè)備作為主設(shè)備鏈路備份。同時還有一個好處就是配置完成雙機(jī)熱備之后，在主設(shè)備上配了配置信息會同步到備份設(shè)備上，當(dāng)主設(shè)備有問題可以直接根據(jù)故障前轉(zhuǎn)發(fā)。銳雯網(wǎng)絡(luò)科技有限公司是因為考慮到這樣的好處，所以采用了雙機(jī)熱備的設(shè)計方案。3.5.2NAT的應(yīng)用 NAT的產(chǎn)生的原因是因為IPv4地址不夠用，所以在所有的企業(yè)網(wǎng)基本都會采用NAT地址轉(zhuǎn)換技術(shù)。NAT技術(shù)的工作原理是通過私網(wǎng)IP地址轉(zhuǎn)換成工IP地址，從而實現(xiàn)訪問互聯(lián)網(wǎng)。因為我們的公網(wǎng)地址就兩個，所有我們采用的出接口地址轉(zhuǎn)換技術(shù)，也就是說我們內(nèi)內(nèi)部網(wǎng)絡(luò)的所有主機(jī)訪問互聯(lián)網(wǎng)的時候我們在公網(wǎng)上路由的源地址是我們的出口地址。我們可以通過設(shè)計ACL感興趣流，允許內(nèi)部網(wǎng)絡(luò)哪些地址可以訪問互聯(lián)網(wǎng)。不僅如此，因為我們在公網(wǎng)上路由的源地址是出口IP地址，沒有包含我們的私網(wǎng)地址，從一定層度上也保護(hù)了我們的內(nèi)部網(wǎng)絡(luò)。3.5.3MPLSVPN的應(yīng)用 MPLS網(wǎng)絡(luò)是通過在數(shù)據(jù)幀與IP包頭之間插入一個MPLS包頭，從而實現(xiàn)報文通過標(biāo)簽轉(zhuǎn)發(fā)。因為考慮到總部和分部通信的可靠性、安全性，銳雯網(wǎng)絡(luò)科技有限公司是租用一條MPLS線路以及采用的是MPLSVPN技術(shù)的OPTION-C1方案。該方案是公網(wǎng)保存私網(wǎng)路由，總部和分部之間可以通過MPLSVPN傳輸VPNV4路由，也就是私網(wǎng)路由。其設(shè)計圖如下：圖3-4MPLS網(wǎng)絡(luò)MPLS主要是實現(xiàn)過程是PE1和PE2建立EBGP鄰居，然后開啟VPNV4功能，建立起VPNV4鄰居，傳遞私網(wǎng)路由，除了這兩臺設(shè)備存在私網(wǎng)路由，其他設(shè)備不保存任何私網(wǎng)路由。3.6IP地址和VLAN的劃分3.6.1VLAN的劃分總部規(guī)劃VLAN規(guī)劃表3-1總部有線VLAN規(guī)劃有線VLAN劃分VLANID網(wǎng)段樓層備注20/2420F研發(fā)部30/2020F技術(shù)部40/2420F服務(wù)器區(qū)50/2420F服務(wù)器區(qū)60/2419F行政部70/2419F財務(wù)部表3-2總部無線VLAN規(guī)劃無線VLAN劃分VLANID網(wǎng)段樓層備注1900/2419F19樓AP地址190/2419F19樓無線內(nèi)部用戶190/2419F19樓無線會議專用1903/2419F19樓訪客2000/2420F20樓AP地址200/2420F20樓無線內(nèi)部用戶200/2420F20樓無線會議專用2003/2420F20樓訪客2004/2420FBOSS專用無線分部VLAN規(guī)劃表3-3分部有線VLAN規(guī)劃有線VLAN劃分VLANID網(wǎng)段備注80/24研發(fā)技術(shù)90/24行政財務(wù)表3-4分部有線VLAN規(guī)劃無線VLAN劃分VLANID網(wǎng)段備注2100/24分部AP地址2101/24內(nèi)部用戶無線2102/24無線會議專用2103/24訪客3.6.2IP地址規(guī)劃總部IP地址規(guī)劃表3-5總部有線IP地址規(guī)劃有線IP劃分VID掩碼可用主機(jī)數(shù)網(wǎng)關(guān)樓層202425320F302425320F402425320F502425320F602425319F702425319F表3-6總部無線IP地址規(guī)劃無線IP劃分VID網(wǎng)絡(luò)號掩碼可用主機(jī)數(shù)網(wǎng)關(guān)樓層19002425319F1902425319F………………20002425320F20002425320F分部IP地址劃分表3-7分部有線IP地址規(guī)劃有線IP劃分VID網(wǎng)絡(luò)號掩碼可用主機(jī)數(shù)網(wǎng)關(guān)80242539024253表5-5分部無線IP地址規(guī)劃無線IP劃分VID網(wǎng)絡(luò)號掩碼可用主機(jī)數(shù)網(wǎng)關(guān)2100242532101242532102242532103242533.7設(shè)備選型在設(shè)備選型這方面，銳雯網(wǎng)絡(luò)科技有線公司的預(yù)算是很高的，畢竟是在設(shè)備選擇上是不能馬虎的，這就直接影響著我們公司網(wǎng)絡(luò)的性能。在選擇廠家這方面我們選擇的是國產(chǎn)華為的設(shè)備。我們網(wǎng)絡(luò)的規(guī)劃的工程師基本都是持有華為認(rèn)證的，所以在功能實現(xiàn)這方面我們的企業(yè)網(wǎng)實現(xiàn)還是挺強(qiáng)大的。我們公司內(nèi)網(wǎng)基本都是采用交換機(jī)，核心層到外網(wǎng)出口之間采用兩臺防火墻以及一臺深信服行為管理3.7.1核心層設(shè)備選型核心層作為企業(yè)網(wǎng)的中心樞紐，同時也是承載這企業(yè)的有線網(wǎng)絡(luò)和無線網(wǎng)絡(luò)，所以我們采用的華為的S12708交換機(jī)，最大可支持8塊板卡，性能強(qiáng)悍，并且支持48*10GE、16*40GE、8*100GE，保障我們核心層數(shù)據(jù)高速轉(zhuǎn)發(fā)；CSS2交換網(wǎng)硬件集群技術(shù)，兩臺同時運行可靠性更強(qiáng)。S12708如圖所示圖-3-5核心層設(shè)備3.7.2匯聚層設(shè)備選型匯聚層交換機(jī)是接入數(shù)據(jù)的匯聚點，我們在選取設(shè)備時首先就要考慮設(shè)備的性能，已經(jīng)設(shè)備的擴(kuò)展能力這方面。雖然匯聚層目前沒有做堆疊，華為S6700系列交換機(jī)支持堆疊功能，普通端口可以通過命令行配置為堆疊端口，使端口應(yīng)用更加靈活。從功能特性上是符合公司網(wǎng)絡(luò)絡(luò)的發(fā)展的。S6720-54C-EI-48S-Front如圖所示圖-3-6匯聚層設(shè)備3.7.3接入層設(shè)別選型接入層設(shè)備選型，經(jīng)過銳雯網(wǎng)絡(luò)科技有限公司的工程考慮，采用的是華為的5720系列的交換機(jī)。由于接入層交換機(jī)主機(jī)的數(shù)量比較多，我們采用的是S5720-56C-HI-AC-Front，顯然這款交換機(jī)端口是是很多的，這樣從一點層度是減少了設(shè)備的數(shù)量，是很適合中大型網(wǎng)絡(luò)的而接入層使用。S5720-56C-HI-AC-Front如圖所示圖-3-7接入層設(shè)備3.7.4無線設(shè)備選型無線設(shè)備選型到時候主要是考慮AC和AP，同時要經(jīng)過網(wǎng)絡(luò)工程師在現(xiàn)場踩點才會選擇出正確的設(shè)備。無線AC采用的是華為的AC6005-8型號，而無線接入交換機(jī)是采用支持POE供電的華為S5720-28X-PWR-SI-AC型號，AP采用的是華為AP6000系列的AP6050DNAP。

第4章網(wǎng)絡(luò)設(shè)計方案部署4.1.核心層的部署4.1.1OSPF協(xié)議的部署OSPF協(xié)議的部署主要步驟是先開啟OSPF進(jìn)程，然后進(jìn)入相關(guān)的區(qū)域，我們網(wǎng)絡(luò)都是在area0里，然后宣告相關(guān)的網(wǎng)段?？紤]到安全性的問題我們采用區(qū)域內(nèi)認(rèn)證的方式建立鄰居，如果認(rèn)證不通過就無法建立鄰居，也無法交互路由。讓網(wǎng)絡(luò)快速收斂，交換機(jī)之間的的OSPF網(wǎng)絡(luò)類型采用 p2p網(wǎng)絡(luò)類型，這個需要在接口上配置。在網(wǎng)絡(luò)出口的路由器下發(fā)一條默認(rèn)路由，使得內(nèi)部主機(jī)可以通過該默認(rèn)路由訪問外網(wǎng)。配置如下：ospf1areanetworkauthentication-modemd51cipherriwenospfnetwork-typep2pdefault-route-advertise4.1.2堆疊技術(shù)的部署堆疊實施的主要步驟是進(jìn)入堆疊管理視圖，配置堆疊的優(yōu)先級選擇主從設(shè)備，配置堆疊域編號防止與其他堆疊系統(tǒng)沖突，因為修改堆疊成員ID時指定了inherit-config參數(shù)，所以備設(shè)備重啟后會繼承member1的堆疊配置。然后創(chuàng)建堆疊端口，進(jìn)入堆疊端口吧業(yè)務(wù)口40GE0/0/1加入到堆疊端口1/1。然后保存配置，連接堆疊線，重啟之后堆疊就起來了。配置如下：Stackstackslot0priority200stackmember1domain10stackmember1renumber2inherit-configinterfacestack-port0/1portinterface40GE0/0/1enable4.2匯聚層的部署4.2.1DHCP協(xié)議的部署我們所有的DHCP協(xié)議都是部署在匯聚層交換機(jī)，并且DHCP采用的是全局地址池部署方式，主要步驟是先創(chuàng)建地址池，然后配置網(wǎng)關(guān)、網(wǎng)段以及DNS的網(wǎng)絡(luò)信息。然后在系統(tǒng)視圖下把DHCP服務(wù)開啟，服務(wù)開啟后進(jìn)入到相關(guān)的接口，然后DHCP選擇全局模式就可以了。配置如下：ippoolvlan2103gateway-listnetworkmaskdns-list14DHCPenableinterfaceVlanif2103dhcpselectglobe4.2.2VRRP的部署VRRP協(xié)議部署在匯聚層，主要步驟是進(jìn)入vlanif口配置vrrp組，根據(jù)vrrp組配置虛擬IP地址，然后這個虛擬IP地址作為網(wǎng)關(guān)。配置優(yōu)先級，通過優(yōu)先級選擇優(yōu)先級高的作為Master設(shè)備，優(yōu)先級地的作為Backup設(shè)備。配置搶占延遲時間，配置的目的是為了在網(wǎng)絡(luò)環(huán)境不穩(wěn)定時，在網(wǎng)絡(luò)恢復(fù)正常之后等待一定時間，避免由于雙方頻繁搶占導(dǎo)致用戶設(shè)備學(xué)習(xí)到錯誤的Master設(shè)備地址而導(dǎo)致流量中斷問題。配置如下：interfaceVlanif40vrrpvrid40virtual-ipvrrpvrid40priority100vrrpvrid40preempt-modetimerdelay604.2.3鏈路聚合的部署鏈路聚合的部署的步驟：首先進(jìn)入Eth-Trunk接口視圖下，把工作模式配置成LACP模式；然后把最大活躍鏈路配置成2條，總共三條鏈路，還有一條鏈路作為備份鏈路；并開啟搶占功能，而且搶占延遲設(shè)置成30s。最后把添加成員接口就可以了。interfaceEth-Trunk1modelacp-staticmaxactive-linknumber2Lacppreemptenabletrunkportg0/0/244.3接入層的部署4.3.1MSTP的部署MSTP協(xié)議主要是部署在接入層到匯聚層，其主要步驟：進(jìn)入MST域視圖，配置交換設(shè)備的MST域的域名，配置VLAN劃分到相應(yīng)的實例，然后激活MST域配置。再通過網(wǎng)絡(luò)的需求設(shè)置具體的交換機(jī)為實例的主根就可以了。配置如下：stpregion-configurationregion-namevlan60instance4vlan40activeregion-configurationstpinstance4rootprimary4.3.2SSH的部署SSh遠(yuǎn)程協(xié)議的部署步驟：首先進(jìn)入aaa視圖配置用戶名和密碼，配置用戶的服務(wù)類型為ssh，然后用戶的登陸時的級別。其次在全局界面開啟ssh服務(wù)，配置ssh用戶的服務(wù)方式為stelnet，開啟shh客戶端首次認(rèn)證。配置虛擬通道最大支持5個telnet會話，認(rèn)證模式是aaa，配置只支持ssh協(xié)議。配置如下：aaalocal-userriwenpasswordirreversible-cipheradmin@123local-userriwenservice-typesshlocal-userriwenprivilegelevel15stelnetserverenablesshuserriwenservice-typestelnetsshclientfirst-timeenableuser-interfacevty04authentication-modeaaaprotocolinboundssh4.4網(wǎng)絡(luò)出口的部署4.4.1NAT的部署NAT協(xié)議的部署在出口路由器，主要步驟：首先創(chuàng)建 ACL感興趣流，因為設(shè)置的是出接口地址轉(zhuǎn)換，所以不用配置地址組，直接在接口上設(shè)置NAT，并指定ACL就可以。配置如下：aclnumber2000rule5permitsource55interfaceGigabitEthernet3/0/0natoutbound20004.4.2雙機(jī)熱備的部署雙機(jī)熱備部署在防火墻上，主要步驟：首先配置心跳口，配置會話快速備份功能，配置VGMP組監(jiān)控上行業(yè)務(wù)接口，啟動根據(jù)主備狀態(tài)調(diào)整OSPF的cost值功能，備設(shè)備傳出的路由開銷默認(rèn)增加65500，然后開啟HRP功能。配置命令如下：hrpinterfaceGigabitEthernet1/0/2remotehrpmirrorsessionenablehrptrackinterfaceGigabitEthernet0/0/0hrpadjustospf-costenablehrpenable

第5章方案的測試5.1無線測試AP通過DHCP獲取到地址，并且通過option43選項，AP才能能正常上線，無線控制器AC才能控制到AP，給AP下發(fā)配置信息，無線AP的上線情況，正常上線的AP的state狀態(tài)為nor，如果沒有正常上線的話AP的state狀態(tài)為ide。測試結(jié)果：圖5-1ap上線狀態(tài)。圖5-1ap上線狀態(tài)通過無線控制器AC下發(fā)給AP的無線射頻，根據(jù)不同的員工身份可以連接不同的無線SSID,無線用戶可以根據(jù)自己的終端無線網(wǎng)卡，可以選擇自己支持的頻段射頻，可以連5G、2.4G頻段的射頻。測試結(jié)果：圖5-2無線設(shè)備射頻。測試結(jié)果：圖5-2無線設(shè)備射頻。圖5-2無線設(shè)備射頻5.2DHCP地址獲取情況有線主機(jī)通過動態(tài)自動獲取向匯聚層DHCP服務(wù)獲取IP地址、DNS等網(wǎng)絡(luò)信息。DHCP服務(wù)器會根據(jù)不同不同的VLAN分配不同的網(wǎng)絡(luò)參數(shù)。無線主機(jī)通過動態(tài)自動獲取向匯聚層DHCP服務(wù)獲取IP地址、DNS等網(wǎng)絡(luò)信息。DHCP服務(wù)器會根據(jù)不同不同的VLAN分配不同的網(wǎng)絡(luò)參數(shù)。測試結(jié)果：圖5-3有線獲取信息、圖5-4無線獲取信息。測試結(jié)果：圖5-3有線地址信息獲取、圖5-4無線地址信息獲取。圖5-3有線地址信息獲取圖5-4無線地址信息獲取5.3聯(lián)通性連通性測試分為總部到分部，分部到總部測試，以及總部和分部都能