赞
踩
文章简介:本文用华为ensp对企业网络进行了网络规划和无线模拟等场景,文章附完整设备配置命令。附件为ensp项目,如有需要可下载后联系作者,提供售后服务,可以根据定制化需求做修改
作者简介:高级网络工程师,希望能认识更多的小伙伴一起交流,可私信或企鹅号:3121200538
咸鱼搜索:不会跑路的攻城狮 B站:不会跑路的攻城狮 欢迎大家咨询!
1.1企业背景
龙湖网络技术有限公司2022年创建于重庆,涵盖网络技术服务、网络技术咨询、计算机硬件安装、网络安全评估、网络培训服务等网络相关业务,并积极发展职业教育与高校建立深度的校企合作大力发展技术成就未来等创新领域,目前业务已遍布全国100余个高校。
随着客户的业务增长,客户的业务场点还在不断的增加,未来会对进行企业网络的新建。为了满足公司现在业务系统稳定运行和对未来新业务的发展需求,根据以上的问题和需求,我们做出以下的网络建设方案。
1.2龙湖网络技术有限公司整体网络的设计目标
对于龙湖网络技术有限公司整体生产网络,高可用性是进行网络设计的基本目标。高可用性是指一方面要保证导致网络不可用的设备故障时间极短,另一方面,还要保证网络能够满足各类数据传输的需求,不会因性能下降而导致不可接受的响应时间。
在达到高可用性的目标网络设计中要把先进的技术与现有的成熟技术结合起来,充分考虑到网络应用的现状和未来发展趋势。设计中将采用高可靠性的网络产品和完备的网络备份策略来满足可靠性的要求,如思科业界首创的 VSS 虚拟交换机技术;以及N7K设备中普遍使用的VPC虚拟化技术。对于不同层次的设备和线路进行不同级别的可靠性设计,双线接入,链路捆绑聚合。路由冗余性。使网络具有故障自愈的能力。可靠性设计不仅包括网络设备等物理设计的可靠性,同时包括路由等逻辑设计的可靠性。
网络结构设计除了要满足当前需求,随着用户应用规模的不断扩大,网络结构还应该可以方便地进行扩充容量以支持更多的用户和应用;随着网络技术的不断发展,网络必须能够平稳地过渡到新的技术和设备。为了保护用户的投资,在将来网络升级或再投资的情况下,能够随时通过增加网络设备或模块来对现有设备进行升级和扩充,并能把替换下来的设备应用到分支或边缘网络上。应充分考虑到未来网络升级的平稳衔接,保证网络通讯介质、网络设计核心的向后兼容性。
特殊的生产型业务性质决定了网络安全对于 企业整体网络有着极为重要的意义,在网络设计过程中采用一体化的自防御网络体系网络安全设计思想,从而充分保证网络核心骨干、汇聚、边缘接入多个部分网络访问的高安全性。
良好的组织和管理对网络的正常运转和高效使用有很大帮助,网络应该能够提供方便、灵活、有力的工具对网络进行集中式的有效管理和控制。另外,良好的监控机制尤其是自动化的监控机制,能够便于对网络进行实时监控并且能及时地提供清楚有效的报警相应。因此,方便的监控、良好的管理界面、完备的系统记录能使管理员在不改变系统运行的情况下对网络系统进行检测、修改及故障恢复等管理维护工作。
采用国际领先的网络产品和相关技术,支持业界 丰富的网络应用协议,支持现有业务和将来增加的新业务,充分利用现有的链路和硬件资源,并进行合理的优化调整,保证广域网带宽的有效利用,保证骨干网上各类业务可靠传输和服务质量,保证数据中心资源的均衡利用,满足企业整体网络未来业务快速发展的需求。
2.1网络拓扑:
2.2VLAN规划/IP规划
设备 | VLAN | IP地址 | 说明 |
HX1 | VLAN 10 | 10.10.10.253/24 | 业务 |
HX1 | VLAN 20 | 10.10.20.253/24 | 业务 |
HX1 | VLAN 30 | 10.10.30.253/24 | 业务 |
HX1 | VLAN 40 | 10.10.40.253/24 | 业务 |
HX1 | VLAN 50 | 10.10.50.253/24 | AP |
HX1 | VLAN 60 | 10.10.60.253/24 | STA |
HX1 | VLAN 11 | 10.1.1.1/30 | 连接R1 |
HX2 | VLAN 10 | 10.10.10.252/24 | 业务 |
HX2 | VLAN 20 | 10.10.20.252/24 | 业务 |
HX2 | VLAN 30 | 10.10.30.252/24 | 业务 |
HX2 | VLAN 40 | 10.10.40.252/24 | 业务 |
HX2 | VLAN 50 | 10.10.50.252/24 | AP |
HX2 | VLAN 60 | 10.10.60.252/24 | STA |
HX2 | VLAN 100 | 10.10.100.1/24 | 管理中心 |
HX2 | VLAN 11 | 10.2.2.1/24 | 连接R1 |
R1 | G0/0/0 | 10.1.1.2/24 | 连接HX1 |
R1 | G0/0/1 | 10.2.2.2/24 | 连接HX2 |
R1 | G0/0/2 | 101.1.1.1/24 | 连接Internet |
Internet | G0/0/0 | 101.1.1.2/24 | 连接R1 |
Internet | Lookback 0 | 8.8.8.8/32 | Internet |
STP的基本原理是,通过在交换机之间传递一种特殊的协议报文,网桥协议数据单元(Bridge Protocol Data Unit,简称BPDU),来确定网络的拓扑结构。BPDU有两种,配置BPDU(Configuration BPDU)和TCN BPDU。前者是用于计算无环的生成树的,后者则是用于在二层网络拓扑发生变化时产生用来缩短MAC表项的刷新时间的(由默认的300s缩短为15s)。
Spanning Tree Protocol(STP)是在IEEE 802.1D 文档中定义,该协议的原理是按照树的结构来构造网络拓扑,消除网络中的环路,避免由于环路的存在而造成广播风暴问题。
Spanning Tree Protocol(STP)的基本思想就是按照"树"的结构构造网络的拓扑结构,树的根是一个称为根桥的桥设备,根桥的确立是由交换机或网桥的BID(Bridge ID)确定的,BID最小的设备成为二层网络中的根桥。BID又是由网桥优先级和MAC地址构成,不同厂商的设备的网桥优先级的字节个数可能不同。由根桥开始,逐级形成一棵树,根桥定时发送配置BPDU,非根桥接收配置BPDU,刷新最佳BPDU并转发。这里的最佳BPDU指的是当前根桥所发送的BPDU。如果接收到了下级BPDU(新接入的设备会发送BPDU,但该设备的BID比当前根桥大),接收到该下级BPDU的设备将会向新接入的设备发送自己存储的最佳BPDU,以告知其当前网络中根桥;如果接收到的BPDU更优,将会重新计算生成树拓扑。当非根桥在离上一次接收到最佳BPDU最长寿命(Max Age,默认20s)后还没有接收到最佳BPDU的时候,该端口将进入监听状态,该设备将产生TCN BPDU,并从根端口转发出去,从指定端口接收到TCN BPDU的上级设备将发送确认,然后再向上级设备发送TCN BPDU,此过程持续到根桥为止,然后根桥在其后发送的配置BPDU中将携带标记表明拓扑已发生变化,网络中的所有设备接收到后将MAC表项的刷新时间从300s缩短为15s。整个收敛的时间为50s左右。
2.4 VRRP协议
VRRP是一种选择协议,它可以把一个虚拟路由器的责任动态分配到局域网上的 VRRP 路由器中的一台。控制虚拟路由器 IP 地址的 VRRP 路由器称为主路由器,它负责转发数据包到这些虚拟 IP 地址。一旦主路由器不可用,这种选择过程就提供了动态的故障转移机制,这就允许虚拟路由器的 IP 地址可以作为终端主机的默认第一跳路由器。是一种LAN接入设备备份协议。一个局域网络内的所有主机都设置缺省网关,这样主机发出的目的地址不在本网段的报文将被通过缺省网关发往三层交换机,从而实现了主机和外部网络的通信。
VRRP是一种路由容错协议,也可以叫做备份路由协议。一个局域网络内的所有主机都设置缺省路由,当网内主机发出的目的地址不在本网段时,报文将被通过缺省路由发往外部路由器,从而实现了主机与外部网络的通信。当缺省路由器down掉(即端口关闭)之后,内部主机将无法与外部通信,如果路由器设置了VRRP时,那么这时,虚拟路由将启用备份路由器,从而实现全网通信。
在VRRP协议中,有两组重要的概念:VRRP路由器和虚拟路由器,主控路由器和备份路由器。VRRP路由器是指运行VRRP的路由器,是物理实体;虚拟路由器是指VRRP协议创建的,是逻辑概念。一组VRRP路由器协同工作,共同构成一台虚拟路由器。该虚拟路由器对外表现为一个具有唯一固定的IP地址和MAC地址的逻辑路由器。处于同一个VRRP组中的路由器具有两种互斥的角色:主控路由器和备份路由器,一个VRRP组中有且只有一台处于主控角色的路由器,可以有一个或者多个处于备份角色的路由器VRRP协议从路由器组中选出一台作为主控路由器,负责ARP解析和转发IP数据包,组中的其他路由器作为备份的角色并处于待命状态,当由于某种原因主控路由器发生故障时,其中的一台备份路由器能在瞬间的时延后升级为主控路由器,由于此切换非常迅速而且不用改变IP地址和MAC地址,故对终端使用者系统是透明的。
设备 | VLAN ID | 优先级 | 状态 | 虚拟IP |
HX1 | VLAN 10 | 120 | Master | 10.10.10.254/24 |
HX1 | VLAN 20 | 120 | Master | 10.10.20.254/24 |
HX1 | VLAN 30 | 100 | Backup | 10.10.30.254/24 |
HX1 | VLAN 40 | 100 | Backup | 10.10.40.254/24 |
HX1 | VLAN 50 | 120 | Master | 10.10.50.254/24 |
HX1 | VLAN 60 | 120 | Master | 10.10.60.254/24 |
HX2 | VLAN 10 | 100 | Backup | 10.10.10.254/24 |
HX2 | VLAN 20 | 100 | Backup | 10.10.20.254/24 |
HX2 | VLAN 30 | 120 | Master | 10.10.30.254/24 |
HX2 | VLAN 40 | 120 | Master | 10.10.40.254/24 |
HX2 | VLAN 50 | 100 | Backup | 10.10.50.254/24 |
HX2 | VLAN 60 | 100 | Backup | 10.10.60.254/24 |
2.5路由协议(OSPF)
开放式最短路径优先(Open Shortest Path First,OSPF)是广泛使用的一种动态路由协议,它属于链路状态路由协议,具有路由变化收敛速度快、无路由环路、支持变长子网掩码(VLSM)和汇总、层次区域划分等优点。在网络中使用OSPF协议后,大部分路由将由OSPF协议自行计算和生成,无须网络管理员人工配置,当网络拓扑发生变化时,协议可以自动计算、更正路由,极大地方便了网络管理。但如果使用时不结合具体网络应用环境,不做好细致的规划,OSPF协议的使用效果会大打折扣,甚至引发故障。
OSPF协议是一种链路状态协议。每个路由器负责发现、维护与邻居的关系,并将已知的邻居列表和链路费用LSU(Link State Update)报文描述,通过可靠的泛洪与自治系统AS(Autonomous System)内的其他路由器周期性交互,学习到整个自治系统的网络拓扑结构;并通过自治系统边界的路由器注入其他AS的路由信息,从而得到整个Internet的路由信息。每隔一个特定时间或当链路状态发生变化时,重新生成LSA,路由器通过泛洪机制将新LSA通告出去,以便实现路由的实时更新。
telnet协议是TCP/IP协议族中的一员,是Internet远程登录服务的标准协议和主要方式。它为用户提供了在本地计算机上完成远程主机工作的能力。在终端使用者的电脑上使用telnet程序,用它连接到服务器。终端使用者可以在telnet程序中输入命令,这些命令会在服务器上运行,就像直接在服务器的控制台上输入一样。可以在本地就能控制服务器。要开始一个telnet会话,必须输入用户名和密码来登录服务器。Telnet是Internet远程登录服务的标准协议和主要方式,最初由ARPANET开发,现在主要用于Internet会话,它的基本功能是允许用户登录进入远程主机系统。Telnet可以让我们坐在自己的计算机前通过Internet网络登录到另一台远程计算机上,这台计算机可以是在隔壁的房间里,也可以是在地球的另一端。当登录上远程计算机后,本地计算机就等同于远程计算机的一个终端,我们可以用自己的计算机直接操纵远程计算机,享受远程计算机本地终端同样的操作权限。Telnet的主要用途就是使用远程计算机上所拥有的本地计算机没有的信息资源,如果远程的主要目的是在本地计算机与远程计算机之间传递文件,那么相比而言使用FTP会更加快捷有效。交互过程当我们使用Telnet登录进入远程计算机系统时,事实上启动了两个程序:一个是Telnet客户程序,运行在本地主机上;另一个是Telnet服务器程序,它运行在要登录的远程计算机上。本地主机上的Telnet客户程序主要完成以下功能:建立与远程服务器的TCP联接。从键盘上接收本地输入的字符。将输入的字符串变成标准格式并传送给远程服务器。从远程服务器接收输出的信息。将该信息显示在本地主机屏幕上。远程主机的“服务”程序通常被昵称为“精灵”,它平时不声不响地守候在远程主机上,一接到本地主机的请求,就会立马活跃起来,并完成以下功能:通知本地主机,远程主机已经准备好了。等候本地主机输入命令。对本地主机的命令作出反应(如显示目录内容,或执行某个程序等)。把执行命令的结果送回本地计算机显示。重新等候本地主机的命令。
在Internet中,很多服务都采取这样一种客户/服务器结构。对使用者来讲,通常只要了解客户端的程序就可以了。
2.7 NAT技术(网络地址转换)
在计算机网络中,网络地址转换(Network Address Translation,缩写为NAT),也叫做网络掩蔽或者IP掩蔽(IP masquerading),是一种在IP数据包通过路由器或防火墙时重写来源IP地址或目的IP地址的技术。这种技术被普遍使用在有多台主机但只通过一个公有IP地址访问因特网的私有网络中。它是一个方便且得到了广泛应用的技术。当然,NAT也让主机之间的通信变得复杂,导致了通信效率的降低。
NAT英文全称是“NetworkAddressTranslation”,中文意思是“网络地址转换”,它是一个IETF(InternetEngineeringTaskForce,Internet工程任务组)标准,允许一个整体机构以一个公用IP(InternetProtocol)地址出现Internet上。顾名思义,它是一种把内部私有网络地址(IP地址)翻译成合法网络IP地址的技术。
无NAT网络,假设每个接入子网都需要一组/24的IP,而且还能对外连接,对外的路由至少要保留或申请1000个对外IP。但NAT网络,通过NAT转换,接入子网可以使用私用IP,对外连接时由路由绑定私用IP与对外IP的关系,修改传输的IP包上的地址,从而只需要255个对外IP就能满足内部接入子网的对外连接需求
1990年代中期,NAT是作为一种解决IPv4地址短缺以避免保留IP地址困难的方案而流行起来的。网络地址转换在很多国家广泛使用。所以NAT就成了家庭和小型办公室网络连接上的路由器的一个标准特征,因为对他们来说,申请独立的IP地址的代价要高于所带来的效益。
在一个典型的配置中,一个本地网络使用一个专有网络的指定子网(比如192.168.x.x或10.x.x.x)和连在这个网络上的一个路由器。这个路由器占有这个网络地址空间的一个专有地址(比如192.168.0.1),同时它还通过一个或多个因特网服务提供商提供的公有的IP地址(叫做“过载”NAT)连接到因特网上。当信息由本地网络向因特网传递时,源地址从专有地址转换为公用地址。由路由器跟踪每个连接上的基本数据,主要是目的地址和端口。当有回复返回路由器时,它通过输出阶段记录的连接跟踪数据来决定该转发给内部网的哪个主机;如果有多个公用地址可用,当数据包返回时,TCP或UDP客户机的端口号可以用来分解数据包。对于因特网上的通信,路由器本身充源和目的。
流行在网络上的一种看法认为,IPv6的广泛采用将使得NAT不再需要,因为NAT只是一个处理IPv4的地址空间不足的方法。
2.8 无线技术
所谓无线网络,是指无需布线就能实现各种通信设备互联的网络。无线网络技术涵盖的范围很广,既包括允许用户建立远距离无线连接的全球语音和数据网络,也包括为近距离无线连接进行优化的红外线及射频技术。根据网络覆盖范围的不同,可以将无线网络划分为无线广域网(WWAN:Wireless Wide Area Network)、无线局域网(WLAN:Wireless Local Area Network)、无线城域网(WMAN:Wireless Metropolitan Area Network)和无线个人局域网(WPAN:Wireless Personal Area Network)。
VLAN ID | 用途 | IP | SSID | Security |
VLAN 50 | 管理AP | 10.10.50.0/24 | Wifi | 12345678 |
VLAN 50 | 用户VLAN | 10.10.60.0/24 | Wifi | 12345678 |
2.生成树协议配置
5.配置Telnet远程登录及登录认证,并实现对Telnet的控制(只允许管理路由器登录)
6.NAT的配置
Copyright © 2003-2013 www.wpsshop.cn 版权所有,并保留所有权利。