文｜鈔小林 郭嫽 謝曉鋒

為了培養(yǎng)學(xué)生網(wǎng)絡(luò)設(shè)計與部署的系統(tǒng)化思維，培養(yǎng)其網(wǎng)絡(luò)安全意識及良好職業(yè)道德，本文按照需求分析－邏輯結(jié)構(gòu)設(shè)計－項目模擬組建的思路，給出中小型企業(yè)網(wǎng)絡(luò)設(shè)計與部署的典型方案，該案例多次作為網(wǎng)絡(luò)教學(xué)和大作業(yè)用例，效果良好。

一、中小企業(yè)網(wǎng)絡(luò)現(xiàn)狀、水平及存在的問題

我國90%的企業(yè)是中小企業(yè)，所以，及時更新中小企業(yè)網(wǎng)絡(luò)的硬件設(shè)備及網(wǎng)絡(luò)技術(shù)既是企業(yè)發(fā)展的需要，也是國家經(jīng)濟發(fā)展的需要。該項目設(shè)計了某中小企業(yè)的網(wǎng)絡(luò)建設(shè)方案，闡述了中小企業(yè)網(wǎng)絡(luò)工程建設(shè)流程及系統(tǒng)部署，旨在為中小企業(yè)網(wǎng)絡(luò)設(shè)計與部署提供借鑒。

二、系統(tǒng)分析

（一） 項目描述

××公司為商業(yè)企業(yè)，員工500余人。公司建有兩棟樓，距離約150米，一棟為員工辦公及用餐所用，共四層，約300多個固定信息點，同時需要提供無線上網(wǎng)功能；另一棟倉儲樓共三層，主要為商品儲藏或周轉(zhuǎn)之用，約60多個固定信息點，也需要無線上網(wǎng)。為促進對外業(yè)務(wù)往來，公司欲擴建內(nèi)部網(wǎng)絡(luò)，與Internet連接。

（二） 系統(tǒng)需求分析

1.信息點分布

辦公樓：一樓為餐廳，固定信息點很少，但需要提供公共Wi-Fi供就餐者上網(wǎng)之用；二、三樓為辦公區(qū)域，每層樓固定信息點約120個左右，四樓也為辦公區(qū)域，是信息中心所在；信息點約50多個，每層樓出入口安裝網(wǎng)絡(luò)攝像頭。

倉儲樓：每層樓約十多個倉儲間，每個倉儲間需要一個固定信息點，每層樓需一個無線路由器以提供Wi-Fi上網(wǎng)功能，倉儲間內(nèi)部和樓層出入口還需多個網(wǎng)絡(luò)攝像頭。

2.功能需求

網(wǎng)絡(luò)訪問需求：同部門用戶需要交換信息，同時內(nèi)網(wǎng)所有終端需要訪問互聯(lián)網(wǎng)。

Web服務(wù)：企業(yè)內(nèi)部每個終端都有瀏覽Internet需求，同時將公司web站點對內(nèi)外網(wǎng)發(fā)布。

OA系統(tǒng)服務(wù)：企業(yè)內(nèi)部所有用戶有訪問OA系統(tǒng)進行業(yè)務(wù)處理的需求。

網(wǎng)絡(luò)監(jiān)控：倉儲間和樓層出入口需安裝攝像頭。

網(wǎng)絡(luò)管理與安全：可以通過網(wǎng)管PC遠程管理每臺設(shè)備。

3.性能需求

網(wǎng)絡(luò)的可靠性：由于資金限制，對網(wǎng)絡(luò)系統(tǒng)的可靠性暫無特別要求。

性能價格比：網(wǎng)絡(luò)設(shè)備選購要求有較高的性價比。

4.環(huán)境需求

地理分布：兩棟樓之間距離約150米，需用多模光纖連接，并埋入地下。其余建筑物內(nèi)設(shè)備與信息點可用雙絞線連接。

用戶群的組織特點：部門內(nèi)部溝通頻繁，需以部門為單位劃分VLAN，所有信息點均需訪問互聯(lián)網(wǎng)。

5.設(shè)計約束

要求充分利用原有網(wǎng)絡(luò)資源，新增設(shè)備投入不超過100萬元。

三、網(wǎng)絡(luò)方案設(shè)計與部署

（一） ××公司網(wǎng)絡(luò)邏輯結(jié)構(gòu)設(shè)計

基于需求分析，用思科Packet Tracer7.2軟件構(gòu)建網(wǎng)絡(luò)拓撲如圖1所示。左邊為倉儲樓，信息點數(shù)量進行如圖部署。POE網(wǎng)絡(luò)攝像頭這里僅以個別代表。拓撲右邊為辦公樓，一樓為餐廳，僅部署一臺無線路由器，二樓和三樓為辦公區(qū)，連接多個交換機擴充端口數(shù)量以滿足固定信息點需求，同時每層樓部署一臺無線路由器，四樓除有若干有線無線用戶外，還作為中心機房，企業(yè)核心交換機、邊界路由器、各種服務(wù)器和出口路由器均部署在該樓層，由邊界路由器連向外部路由器，該棟樓每層出入口攝像頭這里也僅以個別做代表。

圖1 ××公司網(wǎng)絡(luò)拓撲

（二） 網(wǎng)絡(luò)技術(shù)選擇與應(yīng)用

該方案主要應(yīng)用了以下技術(shù)：利用PPP協(xié)議將邊界路由器與Internet相連；邊界路由器與核心交換機間采用OSPF協(xié)議動態(tài)協(xié)商路由，還用默認路由將內(nèi)網(wǎng)用戶訪問外網(wǎng)的流量發(fā)往外網(wǎng)；運用NAPT技術(shù)部署DMZ區(qū)web服務(wù)器，為安全起見僅開放80端口；利用ACL技術(shù)控制外網(wǎng)入方向流量及訪問服務(wù)器流量；局域網(wǎng)內(nèi)部采用VLAN技術(shù)實現(xiàn)部門間的二層隔離。服務(wù)器采用Windows server2016企業(yè)版操作系統(tǒng)，并采用IIS+MSSQL服務(wù)部署企業(yè)門戶網(wǎng)等站點，OA僅向內(nèi)網(wǎng)發(fā)布。

（三） 網(wǎng)絡(luò)安全規(guī)劃與部署

1.機房及物理線路要求

安全、防塵、低噪、節(jié)能環(huán)保等。

2.網(wǎng)絡(luò)安全域的劃分

倉儲樓按樓層劃分VLAN，方便以樓層為單位進行商品管理；辦公樓按部門劃分VLAN，實現(xiàn)部門間的二層隔離，增強了信息安全度。

3.安全策略

路由器、交換機遠程登錄及OSPF訪問權(quán)限僅限于經(jīng)授權(quán)的用戶；每一臺設(shè)備必須設(shè)置進入用戶模式前的警示標語；所有設(shè)備的登錄密碼必須以加密方式保存；將廣播控制在最小范圍；科學(xué)合理的設(shè)計和配置訪問控制策略，使所有用戶僅獲取其必要的訪問權(quán)限，避免放大權(quán)限或越權(quán)操作；僅在必須使用時臨時開啟該服務(wù)；交換機MAC地址與端口對應(yīng)關(guān)系盡可能綁定，在某端口出現(xiàn)新的或未注冊的MAC地址時禁用此端口。通過ACL嚴格控制外網(wǎng)用戶僅允許訪問DMZ區(qū)域的web服務(wù)器，同時服務(wù)器對內(nèi)網(wǎng)用戶也僅開放80端口。

4.系統(tǒng)安全設(shè)計

服務(wù)器采用身份認證，設(shè)置口令安全策略，禁用guest賬號，給administrator改名，關(guān)閉不必要的端口，將磁盤文件系統(tǒng)設(shè)置為NTFS格式，并對相應(yīng)資源設(shè)置最小訪問權(quán)限，并部署桌面系統(tǒng)安全防御及殺毒軟件，并做適當?shù)南到y(tǒng)監(jiān)控與審計；服務(wù)軟件及時升級并做好角色授權(quán)；啟用防火墻，針對具體的訪問設(shè)置出入站規(guī)則。

5.數(shù)據(jù)容災(zāi)與恢復(fù)

對于重要的數(shù)據(jù)庫數(shù)據(jù)，制定備份與恢復(fù)制度，根據(jù)數(shù)據(jù)的重要程度采用適當?shù)膫浞葜芷诤蛡浞莘绞?。后期在資金允許情況下，可部署核心交換機和邊界路由器冗余，保障7*24上網(wǎng)，實現(xiàn)負載均衡。

6.建立安全管理體系

建立安全組織機構(gòu)，具體負責安全制度的制定、檢查安全制度的落實情況，及時發(fā)現(xiàn)安全隱患并消除安全隱患。

（四） ××公司網(wǎng)絡(luò)詳細設(shè)計與模擬組建

1. 核心網(wǎng)絡(luò)設(shè)備選型

考慮到今后網(wǎng)絡(luò)升級及資金投入的限制，選擇性價比較高的中等產(chǎn)品。

邊界路由器選型主要參數(shù)：支持多種業(yè)務(wù)，可以考慮集成防火墻功能，傳輸速率、接口類型和數(shù)量、DARM和內(nèi)存等需滿足用戶需求，如Cisco 2811-SEC/K9。

核心交換機選型主要參數(shù)：企業(yè)級三層交換機，背板帶寬、傳輸速率、端口數(shù)量、包轉(zhuǎn)發(fā)率等均需滿足客戶需求，如Cisco Catalyst 3560系列交換機。

2.地址設(shè)計

該企業(yè)網(wǎng)絡(luò)信息點達到300余個，如果所有信息點均配置靜態(tài)IP地址，工作量較大，且面臨用戶私自改動IP的風(fēng)險，可能會給后期維護帶來不必要的麻煩。所以本方案地址分配采用靜態(tài)與動態(tài)相結(jié)合的方式。各網(wǎng)絡(luò)設(shè)備、服務(wù)器采用靜態(tài)IP地址，而各終端采用DHCP服務(wù)動態(tài)分配IP地址和DNS服務(wù)器。具體設(shè)計如下。

（1）核心層網(wǎng)絡(luò)設(shè)備地址分配方案

邊界路由器——接口s2/0：地址由ISP服務(wù)提供商提供，這里設(shè)為200.2.2.2/24。接口g6/0：連接核心交換機，IP地址為192.168.1.1/24。接口f0/0：連接核web服務(wù)器，IP地址為192.168.2.1/24。

OA服務(wù)器IP地址——172.16.0.1/24。

核心層交換機——接口f0/1（接網(wǎng)管電腦）轉(zhuǎn)三層接口并配IP：192.168.3.254/24；接口f0/2（接OA服務(wù)器）轉(zhuǎn)三層接口并配IP：172.16.0.254/24；各VLAN接口：作為終端網(wǎng)關(guān)，地址為各vlan相應(yīng)網(wǎng)段的最后一個地址，即主機位254。

（2）匯聚層和接入層地址分配方案

倉儲樓——倉儲樓每層倉儲間貨物收發(fā)管理相互獨立，所以按樓層劃分VLAN，并規(guī)劃對應(yīng)網(wǎng)段。如一樓：VLAN 11，網(wǎng)段192.168.11.0/24；二樓：VLAN 12，網(wǎng)段192.168.12.0/24；三樓：VLAN 13，網(wǎng)段192.168.13.0/24。所有終端利用匯聚層交換機提供的DHCP服務(wù)動態(tài)獲取IP，網(wǎng)關(guān)設(shè)置在核心層交換機，每層樓無線路由器的SSID分別設(shè)置為：SR-11、SR-12、SR-13，LAN接口地址可以統(tǒng)一設(shè)置為192.168.0.1。

辦公樓——辦公樓各部門工作人員存在跨樓層分布的情況，所以不能按樓層劃分VLAN，而是按部門劃分VLAN，按部門名稱命名，并規(guī)劃對應(yīng)網(wǎng)段。如市場部：VLAN 21，名稱shichangbu，網(wǎng)段192.168.21.0/24；財務(wù)部：VLAN 22，名稱caiwubu，網(wǎng)段192.168.22.0/24；行政部：VLAN 23，名稱xingzhengbu，網(wǎng)段192.168.23.0/24；采購部：VLAN 24，名稱caigoubu，網(wǎng)段192.168.24.0/24；銷售部：VLAN 25，名稱xiaoshoubu，網(wǎng)段192.168.25.0/24；后勤部：VLAN 26，名稱houqinbu，網(wǎng)段192.168.26.0/24，各vlan終端利用DHCP服務(wù)動態(tài)獲取IP，網(wǎng)關(guān)設(shè)置在核心層交換機。

管理IP——為方便管理PC遠程管理各設(shè)備，每臺設(shè)備需要配置相應(yīng)管理IP，最好在所屬vlan的網(wǎng)段內(nèi)。管理IP要確保管理PC可遠程路由。

3. 網(wǎng)絡(luò)設(shè)備配置與測試

根據(jù)以上IP地址設(shè)計，對圖3.1所示模擬圖中各設(shè)備進行配置。配置思路如下（配置命令略）。

（1）ISP路由器配置

基礎(chǔ)配置。PPP協(xié)議及CHAP驗證配置（server端）。路由配置：將目標網(wǎng)絡(luò)為NAT全局地址的流量下一跳指向企業(yè)邊界路由器與ISP路由器接口地址。

（2）企業(yè)邊界路由器配置

基礎(chǔ)配置——設(shè)備名稱、接口IP及遠程登錄密碼等配置，保證管理員能成功遠程登錄路由器。

PPP協(xié)議及CHAP驗證配置（client端）。

路由配置——默認路由配置：下一跳指向ISP路由器與企業(yè)路由器連接的接口地址（或為邊界路由器出接口）；OSPF路由配置，保證邊界路由器與內(nèi)網(wǎng)相應(yīng)網(wǎng)段互通。

ACL配置——用擴展ACL開放Web服務(wù)器80端口，使內(nèi)外網(wǎng)用戶能通過HTTP協(xié)議訪問公司門戶網(wǎng)站，同時配置標準ACL使內(nèi)網(wǎng)用戶均能夠訪問OA服務(wù)器。

NAT配置——用靜態(tài)NAT將web服務(wù)器的內(nèi)部私有地址192.168.2.2轉(zhuǎn)換成公有地址200.2.2.3（也可利用NAPT將192.168.2.2的80端口映射為200.2.2.3的端口），用PAT使內(nèi)網(wǎng)用戶上網(wǎng)時私有地址轉(zhuǎn)換為公有地址200.2.2.4。

（3）核心交換機配置

基礎(chǔ)配置——設(shè)備名稱及遠程登錄密碼等配置，保證管理員能成功遠程登錄路由器。也包括接口IP（包括SVI地址和物理端口直接啟用為三層端口的情況）和接口trunk配置等。

默認路由配置——下一跳指向企業(yè)邊界路由器與核心交換連接的接口地址。

ACL配置——OA服務(wù)器通過web服務(wù)為內(nèi)網(wǎng)用戶提供服務(wù)，為安全起見，只開放80端口，其他訪問一律拒絕。

OSPF動態(tài)路由配置——保證OA服務(wù)器與內(nèi)網(wǎng)相應(yīng)網(wǎng)段互通。

（4）倉儲樓匯聚交換機配置

基礎(chǔ)配置——交換機名稱、遠程登錄密碼、特權(quán)登錄密碼、管理IP和網(wǎng)關(guān)、VLAN劃分、把相應(yīng)的接口加入對應(yīng)的VLAN。

配置DHCP服務(wù)——配置vlan11、vlan12和vlan13分別對應(yīng)地址池192.168.11.0、192.168.12.0、192.168.13.0及網(wǎng)關(guān)、DNS服務(wù)器等相關(guān)信息。

（5）辦公樓匯聚交換機配置

辦公樓交換機的配置與倉儲樓交換機的配置類似，包括：交換機名稱、遠程登錄密碼、特權(quán)登錄密碼、管理IP和網(wǎng)關(guān)、VLAN劃分、把相應(yīng)的端口加入對應(yīng)的VLAN、啟用DHCP服務(wù)為辦公樓各網(wǎng)段配置地址池和網(wǎng)關(guān)等。具體配置可參照倉儲樓交換機的配置，這里不再贅述。

（6）接入層交換機配置

需要配置設(shè)備名稱、遠程登錄認證密碼、管理IP等初始配置。此外，接入層交換機可根據(jù)所在樓層添加相應(yīng)VLAN，對與匯聚交換機相連的接口應(yīng)配置trunk模式。

（7）無線路由器配置

將每個無線路由器的SSID改為相應(yīng)的名稱，對每臺無線路由器的Internet接口設(shè)置所在VLAN的相應(yīng)地址。如倉儲樓一樓的無線路由器SSID可改為WR-11，Internet接口地址可改為192.168.11.250/24。

（8）有線終端和無線終端配置

所有終端IP地址應(yīng)設(shè)置為DHCP自動獲取方式，對于無線終端一定要將SSID改成所需連接的對應(yīng)的無線路由器的SSID。

四、結(jié)束語

該項目綜合運用了多項局域網(wǎng)技術(shù)和互聯(lián)網(wǎng)接入技術(shù)，體現(xiàn)了系統(tǒng)的網(wǎng)絡(luò)工程設(shè)計思想，在進行此項大作業(yè)過程中，鍛煉了學(xué)生對網(wǎng)絡(luò)技術(shù)的綜合應(yīng)用能力，培養(yǎng)了學(xué)生系統(tǒng)化的網(wǎng)絡(luò)設(shè)計思維，強化了學(xué)生的網(wǎng)絡(luò)安全意識，強化了職業(yè)道德和敬業(yè)精神的培養(yǎng)，是課程思政建設(shè)的好案例，也為中小企業(yè)的網(wǎng)絡(luò)設(shè)計與部署提供了借鑒。同規(guī)模、不同需求的中小企業(yè)可以此為基礎(chǔ)進行相應(yīng)的擴建與改進，設(shè)計出符合不同企業(yè)需求的網(wǎng)絡(luò)，如企業(yè)對網(wǎng)絡(luò)可靠性要求升級，要求7*24小時上網(wǎng)，可將方案改造成VRRP+MSTP的部署方式，在備份網(wǎng)關(guān)的同時，消除交換機間的邏輯環(huán)路，提高數(shù)據(jù)轉(zhuǎn)發(fā)效率，還可實現(xiàn)負載均衡。