(山东协和学院 计算机学院 山东 济南 250109)
摘要:一个科学高效且安全稳定的企业内部网络,能使公司的工作效率大大提高更加科学平稳的进行,同时也降低了企业的运营管理成本。企业网络的设计使用三层网络架构,利用VLAN技术、DHCP技术等相关网络技术,设计出能够满足负载均衡的核心层,在汇聚层实现网络隔离和网络分段,在接入层实现自动获取IP地址、部门资源共享的功能。本文主要基于企业网络的规划与设计展开分析,并基于华为eNSP模拟器搭建网络拓扑结构配置相关功能。
关键词:企业网络设计;三层架构;网络安全
1引言
随着市场经济的可持续发展企业信息量在持续增多企业就需要将计算机的主机和服务器作为其储存信息的基本工具信息流通越来越重要,这也使得企业的内部网络安全性成为焦点[1]。中小型企业快速发展,企业内部的网络或多或少的因为企业发展而出现问题,现在某企业因为扩张需要搭建新的网络系统,以满足更大规模的企业的工作需要,原来的网络系统的功能、安全性、可靠性和所需要的设备,都需要跟随公司规模扩大和目前工作业务需求去升级和完善,这对于公司的发展更加有利,因此企业网络的搭建、完善和优化是一个需要不断研究的问题。
2需求分析
在如今信息高速发展的时代,企业内部需要频繁访问网络获取信息网络堵塞时常发生,网络攻击愈加频繁容易带来网络安全的问题。人们对于无线网络应用的便捷性有了更高的关注但是却没有重视安全性,但是防护措施的失效,造成的损失将是巨大的[2],因此企业网络规划设计应该具有安全性、实用性和可靠性偏移,保证企业内部网络平稳运行。除此之外还需要满足一下需求:
(1)员工能够访问网络,部门间能够进行信息交换。
(2)内网的主机能够访问外网,但外网主机无法访问内网。
(3)增加无线节点,确保公司内各部门无线网络全覆盖。
(4)搭建FTP服务器为员工提供上传下载服务。搭建Web服务器提供网页服务。
(5)总公司主机能够与分公司主机进行信息交换,并保证信息传输的安全性。
3企业网络设计与实现
3.1网络地址设计
按照企业部门进行网络地址划分。会议室、会客厅使用频率较少划分到10中,并分配190.168.10网段。考勤系统设置在人事部中,划分为20,并分配192.168.20网段。市场销售部、技术部、业务部、财务部、和订单统计部,单独划分VLAN按照30、40以此类推最终到70,网段也按照此要求从192.168.30一直划分到192.168.70网段一一对应。最后单独划分管理100划分网段192.168.100,和业务101划分网段192.168.101
3.2三层网络架构设计
接入层设计:接入层直接与各种办公设备和各部门的主机连接,是企业员工直接接触的一层。在接入层划分出不同的部门,按照划分的要求,同一VLAN下的主机连接同一个交换机,由于财务部和订单统计部工作需求较小,因此这两部门的主机连接同一台交换机,在接入层共配置六台交换机,六台交换机与汇聚层连接。
汇聚层设计:接入层的六台交换机每两台交换机连接一台汇聚层的交换机,因此汇聚层共设计三台交换机,汇聚层可以说是接入层和核心层的中介连接两层设备满足企业网络需要。
核心层设计:在核心层设计两台核心交换机,一台主设备一台备用设备,当主设备出现问题备用设备可迅速接替主设备进行工作。同时核心层交换机与外网进行连接,在连接处添加两台出口防火墙与两台核心层交换机连接、添加两台出口路由器与两台防火墙链接,最终与一台外网路由器连接接入外网。核心交换机与分公司进行连接,利用GRE over IPSec隧道协议保证数据传输的安全性。核心层交换机还要与服务器和服务器连接,为企业员工提供上传下载内部服务器文件和网页服务。
3.3网络功能设计
VLAN技术:能够实现区域内的资源共享,它能够将大的局域网划分为不同的网段,按照公司部门划分出10到70,每个网段都是单独的个体。同一网段内能够进行数据传输和资源共享,进行链路聚合后不同网段的主机也能进行通讯,满足企业部门内员工的通信需求和部门间员工的通信需求。
DHCP技术:使用技术可以解决采用固定地址分配方式带来的管理难、易出错的问题。随着企业规模扩大设备增多,手动配置IP地址工作量大还容易产生人工失误带来的地址冲突问题,排查问题工作量也巨大。利用技术自动为设备划分地址可以有效减少这类问题的发生,同时当网络发生变动时,可自动重新配置地址提高网络的可拓展性。
NAT技术:内网的主机需要访问外网,因此需要NAT功能进行内外网络地址的转换,满足企业内部主机访问外网的需求。进行地址转换后内网的地址转变为公网的地址,外网计算机只能看到公网的地址,这样对内网进行了保护使得内网的安全性得到了提升。
OSPF技术:协议配置在核心层,这是一种典型的链路状态协议,通过路由器之间先建立连接,然后路由器之间交换链路信息,最后生成路由表和链路库,能够避免环路问题提高网络的稳定性和可靠性。
MSTP+VRRP技术:在核心层配置和功能能够提高网络的冗余性,实现均衡负载。MSTP技术能够将多个交换机路由器设备及成为一个整体进行统一管理,实现数据的负载均衡。同时再利用VRRP技术将多台路由器虚拟成一个虚拟组别,在组内设置一个主设备和其他备份设备,当主设备发生故障备份设备接替主设备工作保证网络平稳运行。
GRE over IPSec隧道技术:该技术用于住公司与分公司之间的数据通信。利用该技术保证数据报能在两个网络层协议中传输,并对数据报封装加密,实现总公司与分公司之间数据的安全传输。
4系统测试
部门间通讯测试:使用ping命令,使用IP地址为192.168.20.253的主机去访问IP地址为192.168.10.253的主机。发送5个数据包接收5个数据包,丢包率为零,部门间通讯功能正常。
DHCP功能测试:使用ipconfig命令,以192.168.10网段的主机为例,进入配置界面输入ipconfig看到自动获取的IP地址192.168.10.252,DHCP功能正常。
NAT功能测试:使用192.168.10网段的主机去访问外网,在出口路由器的一个端口进行抓包检测,能够看到IP地址由内网的192.168.10.253变成了外网的33.33.33.1,发生了地址转换NAT功能正常。
总公司与分公司通讯测试:使用ping命令用IP地址为192.168.10.253的主机与分部IP地址为10.0.0.1的主机通信,发送5个数据包接收5个数据包丢包率为零,通信功能正常。同时对与分公司连接的路由器进行抓包检测,访问分公司时原地址192.168.10.253和目的地址10.0.0.1被封装加密为11.11.11.1和22.22.22.1说明IPsec隧道协议功能正常。
5结束语
本文为某企业网络规划与设计,以企业需求分析为准,使用三层网络架构设计出了网络拓扑图,并且设计网络地址对各个部门进行划分,根据企业需求分析设计相关的网络功能,最后在华为模拟器上进行网络拓扑结构的搭建和相关功能的代码配置,完成了该企业网络的搭建。
参考文献:
[1]蒋宏林.浅谈企业内部网络安全管理系统搭建[J].中国新通信,2020(04)
[2]龚瑞.无线局域网技术在企业中的应用以及安全研究[J].计算机产品与流通,2020(05).
[3]谢文娜.基于 IPv4/IPv6 双协议栈的企业园区网络设计与仿真[D].厦门。厦门大学,2019(03).
[4]黄治国、李颖 编著《网络综合布线与组网实战指南(第二版)》[M]中国铁道出版社.2020 年8月
[5]张文库、彭素荷、陈外平 主编《网络设备配置与管理项目教程》[M]电子工业出版社 2022年1月
作者简介:
姜帅,2000年7月出生,男,汉族,大学本科,现就读于山东协和学院,专业:网络工程。
王艺,女,山东协和学院,助教。