最新资讯

1绪论

1.1 背景和意义

在信息化迅速发展的今天，我国中小企业数量与日俱增。中小企业内部系统的建立逐渐是提高中小企业内部能力的关键因素。企业网络的发展日益受到重视，现代企业口以通过网络技术实现供应商、客户、伙伴、员工之间的最佳信息交流。这与公司是否能够取得重要的竞争优势直着直接的联系。近几年，我国企业纷纷加速建设自己的信息化网络，而中小企业占了绝大部分。当前，国内企业特别是中小企业的网络化建设已经进入了白热化的阶段，因此，本文就中小公司组建局域网的需求、实际管理等问题展开研究，因此中小型企业网络需要一个成本低廉可靠易用的网络办公环境，并且可以降低网络的使用和维护成本、提高产品性能价格比。鉴于大部分中小企业园区网络都是集中办公的实际特点，对此我们根据中小企业的需求，对其进行高性价比的网络研究具有重要的现实意义的。

1.2 国内外发展现状

在欧美等发达国家，他们的公司都是很早建立局域网的，随着网络技术的发展，通信设备的技术越来越成熟，欧美等发达国家的公司，都已经具备了办公自动化的能力。

相比国内的企业发展现状，越来越多的企业都在加快自身企业网络的建设，大部分还是许多中小型企业，对于这些中小型企业网络化、信息化已成为企业发展的瓶颈主要在于:

1. 发展水平不高，高额的网络使用和维护成本，各部门信息交流不流畅。
2. 安全漏洞和系统风险大，系统复杂度高，核心数据分布于本地网络，对于自身系统安全性提出了较高要求
3. 由于企业的发展，信息的数量越来越多，对企业的网络管理建设的需求也越来越大。

1.3 本文主要工作

本文以中小型园区网络需要满足三百人日常办公为需求，网络需要一定的稳定性、安全性和可靠性。园区网络分为研发部、人力资源部、销售部和财务部等四个部门，每个部门都有无线办公需求，不同的部门还需要访问相应的服务器，获取一些办公资源。并且园区之间还有互访需求，由于园区间都是存在异地办公，还需要在园区之间建立vpn，保护园区的互访数据安全。一般的数通设备接入网络性能不是特别的理想，特别是安全的这一方面。安全性能也不是特别理想。为了方便管理，还采用了DHCP技术进行地址分配，通过建立不同的地址池，给各个VLAN分配不同的地址。消除对公司人员与规模慢慢的增加会有所考虑和担忧，伴着办公信息化、自动化相应的一些需要我们解决的地方，每一个部门间为提高工作的效率，双方之间进行资源共享和交流，适应现代化园区工作的环境，一个完善的中小型园区网络需要被组建。

1.4 论文组织结构

本论文的组织结构如下：

第一章 阐述课题研究的意义，本课题的研究状况、来源、主要工作以及创新点

第二章 方案设计实现的功能对功能详细需求分析，以及可行性分析

第三章 方案所使用的技术选型和总体设计

第四章 方案的详细设计实现

第五章 系统测试运行

第六章 交换机设备选型

第七章 总结全文，对今后的研究做出总结和展望。

2网络系统需求分析

2.1 网络设计分析

针对目前中小型企业园区的发展现状，一个中等规模企业公办地点可能不止一处，在本次研究项目中划分为连个园区分别为园区A和园区B，在本论文中我们以企业实际发展为出发点我们主要展示园区A的网络规划、网络搭建等。

2.1.1 网路层次需求分析

中小型企业需求管理，园区拥有人力资源部、研发部、销售部、财务部，员工约三百名左右，所以我们规划一个需要300个左右的节点的企业局域网。以园区A为例。在此种园区网络，我们已经不能再做核心交换机＋边缘层交换机了，我们把它分为三个层次：核心层、汇聚层和接入层。在线路连接上各部门建筑之间的连接均使用了光纤，楼层内采用了超五类非屏蔽的双绞线。在此基础上，核心层包括大型交换机,在此，汇聚层包含三层交换机，而接入层则包含二层交换设备和各种PC。

每一层的工作网络都是以星形的形式与各个汇聚心的汇流交换机相连，然后再通过汇聚交换机将其接入核心交换机。我们可以将干兆位路由交换机和每个局域网的交换机相结合，构成星型网，使千兆核心网络到每一层。百兆到桌面,以适应不同的应用需求。核心交换机和服务器组之间的连接采用了千兆位以太网。

通过系统性的配置，使得我们园区内用户能够对外网进行访问，园区A、B分别可以实现统一网络管理、统一安全策略、统一软件资源管理，并实现网络远程办公、管理、资源共享等功能，提高资源利用率。

2.1.2 网路带宽需求分析

企业网络应具有更高的带宽，更强大的性能，能够满足员工日益增长的需求。因此我们采用主网络与Internet连接，每个子网又与主干通信网络连接。主干网络的连接方式是有线宽带网络，可以达到1000 Mbps。主干线是千兆光缆线路，其他的是超五类的双绞线。考虑到主干网的稳定性和传输距离，在传输过程中使用光纤，它不受到外部的电磁干扰，可以进远距离的传送，且具有很好的操作性和可管理能力,可以适应新技术的发展。同时，公司还提供了一个安全、可靠、可扩展、高效的网络应用环境以适应网络应用的需要。让公司可以轻松快速的进行网络资源的共享等，为公司搭建的服务器解决方案问题。

2.1.3 网络服务器需求分析

公司为了更加长远的发展，让广大客户能够了解自己的产品，公司需要建立自己的网站，需要网络管理员对自己的网站内容进行更新、维护等等，确保网站安全运行我们需要搭建WEB服务器来满足这一需求。

公司成立自己的网站后，员工想要在互联网上使用自己的域名，或者想要在互联网上登陆，就必须建立一个DNS服务器，完成自己的主机名和网络分析，并为本地电脑提供域名解析服务。

公司内部有很多文件需要和员工共享，互相发送比较繁琐，所以我们需要建立FTP服务器供员工使用，使员工能在公共文件上获取自己想要的资料，保证了公司内部文件使用的高效性。

1. WEB服务器:企业网内联网是指以网络服务器为核心的网络，为用户提供在线的信息浏览服务。在基王企业网的基础上，对企业的网站进行了规划与建设,使其能够更好地利用网络资源，分利用和发掘教育教学的潜能，使其在工作中的作用最大化。
2. FTP伺服器:考虑到雇员之间的档案或软体共用,档案传送伺服器虫储存各种免费软体，雇员可以随时下载和安装。在带宽拥塞时，也能隆低用户的下载所需的带宽。
3. DNS服务器:要求作为公司办公终端接入互联网并获得域名解析的方法。

2.2 网络设计要求

构建一个高效、实际、安全、共享、统一的局域网是企业局域网的最终目的。在短时间内，可以支持几百个用户，长期则可以支持数千个用户，实现了资源的大范围共享。该系统具有良好的网络结构和合理的线路配置。设施布局合理; 局域网的性能性、安全性能满足公司和单位的每日工作需要，方便分享，浏览等;具有较强的升级扩充能力，具有与其它单位局域网的连接,并能够按照特定的需要，实现网络信号的传送。根据下列七项需求来进行设计：

1. 实用性：网络建设要根据公司企业实际需求出发，为经营管理、生产建设服务。
2. 前瞻性：在今后数年内，要考虑到网络的功能和带宽需求。在引进先进技术的基础上,考處到公司的发展趋势,适度超前。
3. 经济性：价格要求适中，设备设施要求质量过硬，物美价廉。
4. 安全可靠性：确保网络运行稳定，确保关键部件的容错性能，为公用网络、通信链路、服务器的能够提供全面的安全管理。
5. 开放性：利用国际标准通信协议、标准设备设施、软件、维护系统的发展特性，加强与不同类型的异构网络的连接。
6. 可扩展性：对于公司发展要有自己的前瞻能力，建设可以利于系统扩展。
7. 保密性： 为确保网络信息的安全性和多种应用系统的安全性而设计一-安全的网络保密方案。
8. 适度先进性：提前规划局域网，不仅要满足用户现在的正常使用需求，还需要一定的技术。

2.3 网络结构设计

企业园区网对于网络有着重要的要求，着力于成为企业园区网的标杆。能够流畅保证办公人员在园区办公的的无线网络需求并且能让客户和员工流畅感受并且稳定安全的园区网络的世界中。还需要防止园区内网数据出现问题并且造成网络数据丢失这种情况的出现。

（1）网络接入层采用了划分VLAN技术，将人力资源部、研发部、销售部和财务部分别单独接入各VLAN中，减少广播报文以及不必要的资源浪费，然后采用双上联的方式接入汇聚层交换机，保证链路的冗余以及可靠性，采用MSTP技术与VRRP技术对不同的VLAN流量进行负载分担。

（2）网络汇聚层在汇聚交换机设置了每个VLAN的网关，保证VLAN间的通信畅通。访问外网的出口路由器并且采用地址转换技术，保证内网对外网的访问正常。汇聚层的路由器分别双上联至两个三层交换机，并且两两之间采用链路聚合方式。

（3）网络核心层部署了防火墙，将服务器划进DMZ区域，保证WEB服务器、DNS服务器和FTP服务器的数据安全。园区A的路由器与园区B的路由器之间搭建了IPSEC VPN技术，对访问时候的数据流量进行了加密，保证不同园区间访问数据安全。并且内网运行OSPF动态路由协议，且分区域进行配置，减少过多的LSA报文。

3网络系统概要设计

3.1 技术选型

3.1.1 动态主机配置协议（DHCP）

（DHCP）是多种种类其中一种，，DHCP协议可以被主机获取到，但是需要通过网络协议获取。此外TCP/IP配置信息不仅能从DHCP主机上取得，而且还能向DHCP服务器上取得。DHCP服务器可以很好的管理和维护IP地址池，甚至可以为DHCP需求者端任意的分配一个地址，除了地址池中不允许的地址之外，当这个地址没有使用的时候就会回收地址到地址池中，然后再等待下一次请求使用再重新分配。只有一个的DHCP需求者终端可以从特别的固定地址中分配给的。因为DHCP这个协议是先经过一定的算法，然后进行对IP地址的分配，因此可以避免分配很多IP地址时，导致地址冲突的可能，最终实现便于集中管理功能，可以优化网络环境，将网络冲突带来的影响降到最低。有计划的使用DHCP协议，可以更加提高网络的稳定可靠性，并且对于管理网络的难度幅度大大的降低了，TCP/IP可以自动的通过DHCP去配置，其他所有TCP/IP配置值可以通过DHCP选择项目去分配，可以从单一的地方去诠释TCP/IP的配置。需求者终端的使用者获取IP地址过程分为以下个过程，没有中继情况时DHCP需求者终端第一次进入网络时的数据报文相互交换过程如图3-1所示。

图3-1 需求者端与服务器报文交互过程图

发现阶段，在DHCP客户端搜索DHCP服务器的开发阶段。客户端发送DHCP Discover包作为广播，只有DHCP服务器响应。

提供阶段，IP地址由DHCP服务器提供。DHCP服务器接收到用DHCP Discover消息时，从IP地址池中选取一个还没有指定的IP，并将DHCP Offer包发送给客户机，其中包括租凭IP地址和其它配置信息。

选择阶段，也就是DHCP客户机在IP地址的选定阶段。当多个DHCP服务器将DHCP Offer数据包传送到这个客户机，客户会从这个数据包中随机选择二个DHCP数据包，通过广播方式通知DHCP服务器声明DHCP所选择的DHCP服务器所提供的地址，并且正式要求DHCP分配一个地址。其他DHCP服务器在收到DHCP Offer包之后会释放一个预先分配给客户机的P地址

确认阶段，就是IP地址被服务器所分配且确定的过程。当DHCP服务器收到DHCP需求者端发送的DHCP请求数据信息后，DHCP服务器会做出回应，发送DHCP确认报文，说明DHCP请求数据信息中请求的IP地址（选择50填充的信息）规划给需求者端使用。

DHCP在收到DHCP需求端请求后，会将ARP的免费数据传输给DHCP，并根据DHCP要求确定有没有用户使用该IP地址。当回应被接收到了，说明别的需求者在用这个地址，那么Decline这个数据信息就会从需求者发出，然后传到服务器，新的请求IP地址信息会传输到服务器上，同时，这个已经被使用了的地址会被服务器打上一个标注，标注为重复的地址。当服务器没有其他可以使用的地址规划时，其次挑选重复地址进行规划，尽量避免规划出去的地址重读。

DHCP 请求数据信息被DHCP服务器收到后，如果DHCP服务器因为一些原因（比如讨论出错或者由于传输请求数据信息太慢，让服务器已经把这这个地址规划给其他需求者端）没有规划DHCP 请求报文中选项50填充的IP地址，则传送DHCP NAK数据信息当作回复，让DHCP需求者端知道没有办法规划这个IP地址。

DHCP需求者端不是第一次接入网络的时候，可以先前使用的地址。以下是个例子，说明在DHCP需求方面再次使用以前使用的地址时没有中继方案，如图3-2所示。

图3-2 非首次获取地址示意图

DHCP请求数据信息被DHCP服务器接收后，根据包含在DHCP Request数据信息中的MAC地址，寻找对应的租用记录，若有就回答DHCP 确认数据信息，告诉DHCP需求者端可以继续采用这个IP地址。不然就没有任何回应，只能等待DHCP 找到报文然后由需求者端发出新的IP地址的请求。

3.1.2 虚拟局域网（VLAN）

虚拟局域网（VLAN）可以通过规划接口来规定，MAC地址分配从而将一个局域网内的主机被分成若干块，在同一区域内可以进行通信，而在不同的区域内无法进行通信，这就是它名字相当于一个虚拟局域网。与大众化的的局域网比较起来，VLAN技术对比灵敏、便捷，它拥有这几个优点： 网络一些设备需要进行迁移的时候，比较方便，增加或者减少的管理开销可以降低很多；可以控制一对多的发送活动；网络的一些安全性能可以有着很好的提高。而VLAN的划分标准分为几种。按IP地址划分，MAC地址划分和端口划分。

以太网是众多网络类型的一种，如果终端主机量比较多时会造成严重的冲突、一对多发送数据泛滥、明显的性能下降会导致一些问题。尽管可以通过交换机解决严重的问题实现LAN相互连接，但是还是不可以阻止一对多发送的数据信息和提升网络质量。

就在这个时期，划分VLAN的方法就出来了，这样的方法可以把单个的LAN分开成一些逻辑上的VLAN，而VLAN之间就不能直接相互交换数据，这样，发送一对多我数据信息就被限制在一个VLAN内。基本VLAN划分的示意图如果3-3所示。

图3-3 VLAN划分图

不同VLAN的数据信息要让设备能够分清楚，需要在数据帧结构终中添加阐述VLAN内容的部分。如图3-4所示。

图3-4 VLAN数据帧结构图

Untagged帧，也就是不带标签的，需求者主机、服务器、Hub只能发送或者接受，Tagged帧和Untagged帧都可以被交换机、路由器和AC进行接受和发送。语音终端、AP等设备可以同一时间收发一个带标签的帧和一个没有标签的帧，之所以效率被很好的提高，Tagged帧全被都是被数据设备内部处理。

VLAN有三种类型的端口，access、trunk和hybrid，它们对接收到的数据帧进行添加和剥除各有所不同，access端口处理流程如图3-5所示。

图3-5 access端口处理流程图

trunk端口处理流程如图3-6所示。

图3-6 trunk端口处理流程图

hybrid端口处理流程如图3-7所示。

图3-7 hybrid端口处理流程图

VLAN之间的互相通信，同一VLAN内用户互访过程拥有三个环节。

（1）用户主机的报文转发

想要通信的终端主机在发起的时候，会将自己的IP和去往的终端的IP进行对比，如果它们两个在一样的网段，会获取目的主机的MAC地址，并把它当作去往的MAC地址，装进数据信息里面；当它们两个处于不同网段时，发起者主机会把数据信息传送到给网关，拿到网关的MAC地址，然后把它作为去往的MAC地址装入数据信息中。

（2）设备内部的以太网交换

二层交换还是三层交换可以通过设备看获取的数据信息中的去往的MAC地址+VID和三层发送的标识来进行辨别：

1）如果MAC和三层传送的ID时符合MAC+VID的，那么三层交换就会自动识别IP地址，然后在第三层进行转发，如果没有，就会将数据传给CPU，然后再通过CPU来完成三层转发。

2）假设想要去网的MAC地址与VID和自己的MAC表一样，但是三层的转发标识没有一样，就进行第二层层面的交换，会直白的把数据信息依照MAC表的出方向发出去。

3）假设要去往的MAC地址跟VID没有和自己有一样的的MAC表，就会进行二层的交换，该数据信息就会被所有允许VID通过的接口发送出去，用来得去往的主机的MAC地址。

1. 设备两两进行通信时，VLAN标注的增加和剥掉，设备里面的以太网交换都是带标签的，为了跟各种各样的设备成功的进行通信，设备会看着端口的配置增加或删除标签。

3.1.3 虚拟路由器冗余协议（VRRP）

虚拟路由器冗余协议（VRRP）是被用于在网络中使用，如果PC定义的网关不起作用，则该网络将不能正常工作，仅可在同一VLAN中存取。没有部署VRRP的时候只能通过人工修改来判断网关能否进行切换但是这个工作量非常大，所以就用了VRRP技术协商形成出一个IP地址亦或是直接用接口形成出来一个地址。这样部署完VRRP技术协商之后就可以通过定义VRRP形成的那个IP地址形成网关，这样当网络无法使用的时候，能自动切换到备用，从而达到了网络的连通性。但所有的数据包留给主机，那么主机发生故障的时候，备份将会用于处理数据包。因此，在没有发生错误的时候，主机一台设备会处理全部数据包，当主设备出现了故障那么备用就会派上用场来处理数据报文。所以当没有故障时主设备一台设备处理所有的数据包，备用设备就完全帮不上忙，就会导致网络延迟高并且卡顿。所以规划两台设备平均分配VLAN网关就可以实现负载分担，从而提高网络流畅性。VRRP备份过程如图3-8所示。

图3-8 VRRP备份示意图

VRRP的基本概念如下：

1. VRRP路由器：就是一个三层设备，开启此协议，存在于一个路由设备或者多个虚拟的路由设备，比如说A路由器和B路由器。
2. 虚拟路由器：一种路由设备，它是一个主要的网关，加上一些备用的路由设备，组成一个群，在一个公共网络中，他是一个预设开关，比如RouterA和RouterB构成一个虚拟的路由器。
3. 主路由器：就是主要对流量进行转发的路由设备，如RouterA。
4. 备路由器：一些在主设备良好的情况，不需要进行对流量进行转发的设备，如果主用设备出现故障时，它们将比较自己谁最优，来选则新的主要设备，如RouterB。
5. VRID：用处时用来标记虚拟路由设备。
6. 虚拟IP地址(Virtual IP Address)：就是不是真实存在的IP地址，一个或多个IP地址都可以被用户用同一个虚拟路由器配置。

3.1.4 多生成树协议（MSTP）

多生成树协议（MSTP）可以是将环形的回路通过一些计算，让他变成一个逻辑上没有环路的树，这样数据信息在传输的时候就不会相互的来回传送，并且还有多个路径可以冗余，让数据更加有保障，在数据信息进行传输的时候可以有很多条路径进行选择。然后MSTP可以把二层交换网络分成几个域，每个部分拥有许多个生成树，它们相互独立。能够很快的完成拓扑无环路的计算，多跳冗余路径可以通过它来提供，也可以通过数据转发过实现VLAN数据的负载均衡。可以解决广播风暴并实现多条路径备份，不一样的VALN的流量可以通过不同的路径进行转发。MSTP网络层次结构如图3-9所示。

图3-9 MSTP网络层次示意图

MSTP在快速生成树的基本原理上新增了2种类型的接口。MSTP定义的端口状态和RSTP协议中定义基本相同，如表3-1所示。

表3-1 端口状态表

MST域是一个区域，就是多生成树所在的域，由网络中的多台设备，还有与它们互相连接的一些网段组成。同一个部分的域设备应该由下面这些特点：

（1）都启动了MSTP。

（2）具有相同的域名。

（3）都是相同的实例映射到生成树。

（4）具有相同的MSTP版本的配置。

3.1.5 OSPF路由协议

这个协议是开放的，基于SPF算法的，路径最短优先的一个协议，它是一种链路状态协议，可以通过各个开启此协议的网络设备，各种绘制自己所连接的小地图，最后形成一个无环的大地图，去往各个目的地。链路用于描述一种基于界面的连接状态的网络设备的界面。基于LSDB的构建是在路由器间通知网络界面的状态，并计算出最小路径，去往任意目的地的路由被运行此协议的路由器采用计算出，这个算法就是最短路径优先算法。不同的层次这个概念还被引入了进来，一个主要的部分为规划进了网络之中，其余的部分就以这个主要的部分进行接入，这些独立的部分也被赋予“区域”这个概念，主要的这个部分也被称作为“主干区域”。每个独立的网络都是一个独立的区域来表示，每个部分的路由器只保存本部分的链路状态。OSPF报文头部格式。OSPF共有8种状态机，分别是：Down、Attempt、Init、2-way、Exstart、Exchange、Loading、Full，如图3-10所示。

1. Down：还没有开始建立关系时的状态，双方交互的初始状态，意味着双方都没有发送包含hello的数据信息。
2. Attempt：这个状态只会发生在非广播的多路访问中，Hello消息，指示的是在失效时间间隔内对端的邻居，在超时之前仍未作出响应。这个时候路由器还是会每到一定周期发送Hello数据信息的时间间隙向对方发送Hello数据信息。
3. Init：接受到了来自对方的hello数据信息后会变为这个状态。
4. 2-way：从对端接受到了含有自己的RID的hello数据信息，就会变为这状态；如果不想进行下一步的操作，那么现在的状态就会一直被保持着，不然就会到下一个阶段的状态。
5. Exstart：开始商量谁是主谁是备，并确认一下DD数据信息的序列号。
6. Exchange：当互相商量出结果，谁成为主，谁是从，就开始进行DD的数据信息交换。
7. Loading：当DD数据信息在设备之间交换完毕，就成了这个状态。
8. Full：LSR重传列表显示为空，此时状态表示为Full。
9. 

图3-10 OSPF报文格式图

OSPF协议具有以下特点：

1. OSPF可以在AS系统内，将它划成为一个区域或者多个区域；
2. 发布路由可以通过链路状态通告的形式；
3. OSPF通过区域内各运行了OSPF协议的设备之间互相交互OSPF数据信息来实现路由信息的统一；
4. 它的报文是被封装在IP数据信息中，可以采用一对一、或者一个组的形式发送。

在运行OSPF协议的网络里，如果需要交换路由信息，但是它要满足两台设备之间建立了邻接关系这个条件，邻居状态和邻接状态这是两种不同的状态，它们的概念也有所区别。当OSPF协议配置完成后，在OSPF装置接收到Hello的数据后，将会对该参数进行检验，当两个用户的信息完全一致时，就会产生邻居关系，可以说两端设备都是对方的邻居。当成为这个关系之后，再次进行DD数据信息的互相交换，并且成功交互，那么就可以成为邻接关系。

OSPF所支持的进程可以比较多，一台网络设备上会运行多个进程，它们各自不会影响各自，相互独立。各种进程之间的路由信息互相交换等价于不同路由协议之间的路由互相交换。

3.1.6 防火墙

基于用户和应用的流量的分转发管理在安全策略上有着非常好的体现，而且还能对流量的里面的具体信息进行安全检查评测和处理。一般的防火墙根据五个地方（发起的地址、去往的地址、发起端口、去往端口、协议类型）的数据包过滤原则来控制流量在安全区域间的转发。如果希望只有市场部的主机（192.168.1.0/24网段）能够浏览Internet网页，则需要在Trust和Untrust区域间配置源地址为192.168.1.0/24目的地址为any、协议为HTTP（或目的端口为80）、动作为允许的包过滤规则，如图3-11所示。

图3-11 传统的防火墙包过滤图

下一代防火墙的安全策略可以更好的适应新时代网络的特点，满足新时代网络的需求。

制定安全策略1可以有效的禁止市场部的需求者使用IM和游戏应用，制定安全策略2允许市场部的用户浏览Internet网页并且对浏览的内容进行检测，防止病毒和黑客的入侵。研发部员工默认被安全策略会禁止访问Internet，如图3-12所示，

图3-12 下一代防火墙的安全策略图

当下一代防火墙有流量通过时，刚开始.NGFW接收到的数据流将被检验，这些数据包含：发起者的安全区域、发起者地址和区域、目的地、区域、服务、应用和时间段。接着防火墙将流量的特性与安全策略的条件进行比较，看看是不是一样的。如果比较的结果都是一样的，那么这个安全策略就是匹配上的。但是只要有一个不相同，就判断下一条安全策略，看是否匹配。就这样按照这个规则进行匹配下去，如果都不匹配，那么防火墙就会实行它默认的措施，进行禁止操作。接着对于进入的数据流量进行匹配，如果它与之前配置的安全策略吻合，NGFW将会根据这个安全策略的内容去做一些相应的行为。如果里面的内容为“禁止”，那么防火墙就会阻止这些要出去的流量。当动作为“允许”时候，安全配置文件被防火墙进行辨认，看看这个策略是不是引用了。如果引用了，则继续进行第四步的流程；如果没有，则同意这些流量通过。到最后一步的时候，也是允许的情况然后又用了安全配置文件，那么就会通过防火墙来对内容安全进行全面的检查测试。处理流程如图3-13所示。

新一代防火墙安全性政策的处理过程。相对于传统安全策略，新一代防火墙具有以下特点：

1. 通过“用户”对各个部门的雇员进行区分，使得网络管理更加弹性化、可视化。
2. 不同的应用，比如HTTP，可以被高效的区别，并且在不同的载体上，更好地管理网络。
3. 通过安全策略，可以对内容进行检测、阻止病毒、黑客等的侵入，从而对内部的网络进行更好的防护。

              图3-13 下一代防火墙安全策略的处理流程图 

3.1.7 WLAN基本概念

一个局域网，通过无线的方式组成，比较通俗就是指通过无线电波、激光、红外线等，来代替传统一些线缆。本篇本章是介绍的是基于802.11标准的无线局域网技术，也就是说这个无线局域网，它是利用了频率比较高的信号。

之前IEEEE定义了一个802.11标准，在这个定下标准以后又不断通过新的补充和增强，到达了802.11的标准系列，例如802.11、802.11a、802.11b、802.11e、802.11g、802.11i、802.11n（Wi-Fi 4）、802.11ac（Wi-Fi 5）、802.11ax（Wi-Fi 6）等。

当前最广泛的采用有线或光缆的有限LAN，但是花费的成本比较高，方向的固定，灵活性差是它的一个特点。随着人们对网络的需求越来越高，一般的有线网已经无法满足，无线局域网技术就此诞生。通过这个技术，需求者终端可以轻松的接入到无线网络，在无线网络能够覆盖的范围里面，终端可以不受位置的限制，完全摆脱了有线网络的束缚。

工作站STA（Station）：一边是一个终端装置，但是需要802.11协议。比如带网卡的笔记本，支持WLAN的手持式终端等等，如图3-14所示。

                          图3-14  AC管理AP示意图

接入点AP（Access Point）：STA可以通过它来进行一个无线网络的接入，当存在有线和无线时，它起着一个连接的作用。

1. 瘦接入点FIT AP（FIT Access Point）：只能够提供一些无线的基本服务，它的其他功能实现都需要在AC上面实现，与一般的胖AP有着较大的区别。
2. 无线接入点控制与规范CAPWAP：有着封装、传输控制信息的作用，一般在AC和AP之间。
3. 射频信号：它是电磁波的一种，传输可以达到一定的距离，这里所说的是位于2.4G频段和5G频段的电磁波。
4. 虚拟接入点VAP：是需求者在一个AP上，可以建立不同的VAP，给各种样的需求者提供服务。
5. 服务集标识符SSID：无线网络的标识，区分多个同时存在的无线网络，比如笔记本无线打开时，可以看到各种名字的无线网，就是SSID。

3.2设备的选型

3.2.1接入层交换机设备

S3700系列的交换机可以在接入层使用, 华为公司推出的S3700系列企业交换机是一种既环保又节约能源的三层交换机。它的硬件比较高性能，还拥有华为的VRP软件平台，根据企业需求者的园区汇聚层、接入层等比较多的使用环境，提供的手段非常的容易安装和部署，VLAN的部署也可以非常的灵活，还具备以太网供电的能力，路由的功能也比较丰富，还能与IPV4协议平滑连接。网络健壮性也能够很好的被增强，可以进行堆叠，一些虚拟的路由冗余技术，快速环网的保护。给园区提供了很好的帮助，以及面向IT的未来。售价1680非常具有性价比，是项目首选。根据此园区实际网络使用数量，我们使用六台此交换设备，其中在园区A接入层配置四台，园区B接入层配置两台。

3.2.2汇聚层交换机设备

S5700则是被汇聚层所采用，华为产品的交换机，可以支持千兆网络，端口的数量可以达到24个之多。不仅支持4k个VLAN还支持端口镜像与RSPAN而且包转发率已经达108Mpps。不仅组网比较灵活，可以支持二层协议，比如MSTP等。还有各种比较先进和智能化的以太保护技术，智能链路功能，轻松高效便捷的组网。可以做iStack堆叠，可以把很多太交换机进行逻辑的捆绑，相当于一台交换机。提高网络中的可靠性，管理的方式和配置也会比较轻松容易。关于安全的控制的样式也多种多样，可以提供各种认证的支持，还有关于一些策略种类的实现。一些攻击防御也可以轻松的抵御，比如dos类，用户类防攻击等。售价5592，在这个价段拥有极高的性价比是我们项目的不二之选。根据园区规模，我们使用六台此交换设备，其中园区A中汇聚层配置四台，服务器集群中配置一台，园区B汇聚层中配置一台。

3.2.3防火墙交换机设备

USG6000则被采用了在此园区中，它是华为的新一代防火墙，专门为一些小型企业、园区设计、各种行业的分支等等量身定做的，适用于各种小型网络应用场景。下行可以提供高速的千兆接口与WIFI的接口；还可以接入WIFI进来，及3G/4G LTE备份链路，为紧急情况下上网提供便利。

通过了实验室的各种认证，IPS、IPSEC、SSL VPN等等，CC EALE+认证也可以，还能还被NSS实验室非常的推荐，评价也非常的高。还有具备很多的能力，比如VPN、上网的管理和控制等等。防护能力也有9大专业之多，可以满足各种要求的防护级别，避免各种的非法攻击，支持一些白名单、黑名单的设置，可以操控一些流量去往目的地走那一条路径。进行带宽的一个管理，进行区分的保证流量转发，可以让需求者的体验更加的好。售价36000元，是这个价位中性能最好价格比最高的防火墙，公司采用一台配置在核心层保护园区内网络数据安全。

3.3总体拓扑图设计

3.3.1接入层

既然是中小型园区的设计，那么需要满足日常办公，带宽管理、移动终端的需求，园区内安全的保障，服务器的稳定以及与其他园区的专线互访安全。因此拓扑按不通的结构层次进行规划，比如最底层为接入层，如图3-15所示。

图3-15 接入层规划图

3.3.2汇聚层

汇聚层以及重要的区域为核心层来设计，终端接入不同的VLAN，分配给不同的部门，并且满足不同部门的互访需求，二层的交换机则会在接入层部署，终端的一些设备与它进行连接，比如说电脑，AP等。为了保证网络的冗余性能和可靠性，通过双上联的方式接入汇聚层的交换机。汇聚成由四个三层交换机组成，他们分别双上联接入，两两中间采用链路聚合的方式，保证网络的健壮性和带宽的稳定性，其中将最上层两个汇聚交换机部署终端的网关，采用VRRP+MSTP的技术，不仅可以实现流量的负载均衡，更可以增加终端上网的稳定性。其中AC与三层交换机互联，为终端的AP提供管理功能，如图3-16所示。

图3-16 汇聚层规划图

3.3.3核心层

核心层部署了防火墙与路由器，防火墙与服务器集群、园区内网以及出口路由器相连，并为他们分配了不同的区域，在防火墙上应用一些安全策略，保护园区内网数据信息安全。在出口上部署路由器与外网运营商相连，部署NAT，可以有效解决了内网地址上网问题。与另一个园区采用VPN的方式进行通讯，也就是采用加密的IPSEC VPN,对它们之间的互访信息有着很好的加密效果。核心层如图3-17所示。

图3-17 核心层规划图

园区A内网拓扑结构如图3-18所示

。

图3-18 园区A组网图

外网以及园区B拓扑结构如图3-19所示。

图3-19 园区B组网图

4网络系统设计实现

4.1 接入层设计

园区接入层划分了四个VLAN，分别给人力资源部、研发部、销售部和财务部四个部门使用，每个部门分别接入一个AP（无线访问接入点），由核心层AC进行统一管理。接入交换机只进行二层VLAN划分配置，如图4-1所示。

图4-1 接入层规划图

SW2交换机配置。与主机连接的端口设置为access口,而与上行交换机的端口配置为trunk,同时允许相应的管理VLAN使用。而AP上与交换机连接的端口也必须设置为trunk口，并且将pvid设置为100，也就是AC上配置的管理VLAN，如图4-2所示。

图4-2  端口验证图

4.2 汇聚层设计

   汇聚层两两部署了链路聚合，并且采用了MSTP和VRRP技术，避免了单点故障，使网络拓扑有很好的可靠性和冗余性，可以实现流量的负载均衡，更可以增加终端上网的稳定性如图4-3所示。

图4-3  汇聚层规划图

在规划MSTP技术时，需要注意在同一个域中，需要有相同的域名，相同的实例映射，相同的修订等级，最后需要使用active region-configuration 命令让配置生效。然后在交换机上将不同的实例映射分别配置为主根桥和备根桥，让VLAN流量进行负载分担，配置VRRP的时候，默认优先级是100。通过增加或者减少优先级的方法可以让交换机成为MASTER或Backup。接着通过VRRP与下行接口联动，当下行链路荡掉之后，会优先级减30，立马进行切换，保证流量的顺畅，不掉线。注意的是需要将VRRP的主备与MSTP的主备根桥需要一一对应，如图4-4所示。

图4-4 MSTP配置图

将交换机进行两两的链路聚合，一个采用三链路聚合，一个采用双链路聚合，做链路聚合，链路聚合验证如图4-5所示。

图4-5  链路聚合验证图

4.3 核心层设计

 核心层部署了防火墙与路由器，防火墙与服务器集群、园区内网以及出口路由器相连，如图4-6所示。

图4-6  核心层规划图

核心层采用防火墙对服务器的安全性防护，以及对外网的信息安全保护，防火墙与路由器相连，并且在防火墙上部署安全策略。为了实现不同的流量互访需求，路由器与ISP运营商相连，园区A既能与外网访问，又可以与异地的园区B进行访问，且访问流量进行加密处理，如图4-7所示。

图4-7 防火墙安全策略配置图

    内网可以全网通，采用OSPF动态路由进行相连，并且分了骨干区域0和区域1，这样可以减少骨干区域的LSA数量，并且发布默认路由，使得任何去往外网的路由下一跳都往出口路由器。内网接入外网时抓包可以看见出口路由器进行了地址变换，变换成出接口的地址，如图4-8所示。

图4-8 NAT地址转换验证图

4.4 WLAN设计

 此拓扑采用的AC+AP组网方式，通过在接入层部署AP，AC部署在上一层，也就是核心层，AP放在接入层，通过capwap协议进行控制，在AC上配置两个地址池，分别为VLAN100和VLAN99,其中VLAN99作为服务VLAN，为STA提供IP地址，VLAN100上配置的IP地址作为管理使用，用来管理接入层的AP，如图4-9所示。

图4-9 WLAN部署图

详细参数如表4-1所示。

表4-1 地址池参数表

进入WLAN视图中，创建AP组，然后将所需要管理AP统一加入一个组，并给各个AP进行命名。可以看到AP上线图4-10所示。

图4-10 AP上线验证图

分别创建安全模板，设置WLAN的密码，创建SSID模板，设置SSID的名字，在创建VAP模板，将各个模板加入进去，设置转发模式为直接转发。最后进入group组，将VAP模板应用在radio 1 和 radio 0 上。最后在移动终端上连入无线，可以看到获取了IP地址。如图4-11所示。

图4-11 STA1获取IP地址示意图

5网络系统测试私信作者获取完整内容

5.1园区访问外网测试私信作者获取完整内容

5.1.1园区A私信作者获取完整内容

以PC1为例说明，成功访问外网。在出口路由器上R1查看NAT会话记录，

图5-1 PC1访问外网示意图

5.1.2园区B私信作者获取完整内容

图5-2  PC5访问外网示意图

5.2园区内网访问测试

以园区B 终端PC5访问园区A的终端PC1为例说明，并在ISP路由器G0/0/0口抓包，数据已加密，可以正常访问，如图5-3所示。

图5-3 PC5访问PC1示意图

5.2安全联盟建立情况：

5.2.1 R1安全联盟建立

R1配置IPSEC VPN信息如图5-4所示

图5-4 R1安全联盟配置图

5.2.2 R2安全联盟建立

R2配置IPSEC VPN信息如图5-5所示。

私信作者获取完整内容

私信作者获取完整内容

私信作者获取完整内容

6总结与展望

6.1 总结

6.2 对本文工作的进一步展望

致   谢

参考文献

[1]  蒲宝卿,高庆芳,撒志敏.基于ENSP的《路由交换技术》课程改革与实践[J].信息技术与信息化,2020(03):127-129. 

[2]  黄军记, 戴青云, 姜文超. 基于CAPWAP的集中式WLAN实现[J]. 移动通信, 2011, 35(8):5.

[3]  易光华, 傅光轩. IPSEC VPN的研究与实现[J].贵州大学学报:自然科学版, 2005, 022(004):423-426.

[4]  徐原. OSPF路由协议[J]. 网管员世界, 2006(5):147-149.

[5]  樊滨温, 崔志强. DHCP协议客户端的实现[J].计算机应用与软件，2007(11):144-146.

[6]  刘风华, 丁贺龙, 张永平. 关于NAT技术的研究与应用[J]. 计算机工程与设计, 2006, 27(10):4.

[7]  杨梅, 杨平利, 宫殿庆. ACL技术研究及应用[J]. 计算机技术与发展, 2011, 21(006):145-149.

[8]  曹雪峰, 孟伟, 陈日升. 基于eNSP的WLAN实验设计与实现[J]. 实验室研究与探索, 2017(7).

[9]  张璐璐, 麻晓敏, 吴丽杰,等. 基于ENSP的STP实验设计与实现[J].  2021(2020-2):42-47.

[10]  惠玥, 张媛, 唐海涛. IP静态路由实验的研究[J]. 实验室研究与探索, 2010(11):61-64.

私信作者获取完整内容

私信作者获取完整内容