企業網絡規劃與模擬的案例分析摘要在當今網絡技術的快速發展下，世界范圍內的各個行業、企業的發展與互聯網技術的關系越來越緊密。世界企業之間的通訊交流也愈加密切。企業內部之間資源信息也需要保證其安全性。本文基于企業的網絡需求和分析，通過DHCP、HSRP、PAT、IPSecVPN、GRE、端口聚合、訪問接入點等網絡相關技術對企業的網絡進行設計與模擬，實現了企業內公司與公司之間的加密信息安全通訊、服務器群建設、同時實現了外網訪問控制，推動了企業公司網絡的建設與發展。關鍵詞：企業網絡規劃；局域網；VPN；NAT；目錄2493一、引言 126268二、企業網絡需求分析 116780（一）企業網絡定位 132519（二）企業網絡基本情況介紹 113025（三）企業網絡需求 23297三、企業網絡拓撲與IP規劃 212010（一）企業網絡Visio圖 218080（二）VLAN以及IP地址規劃 37231四、企業網絡模擬與測試 417038（一）網絡設備配置 486471.Access、Trunk配置 4303652.三層交換機配置 496773.DHCP配置 6162804.FTP配置 7109645.HTTP配置 7294986.DNS配置 881667.IPSecVPN配置 8234818.GRE配置 1010349（二）企業網絡測試 10124701.DHCP測試 10163532.HTTP與DNS測試 111873.FTP測試 12327154.IPSecVPN測試 13224505.GRE測試 1417128（三）企業訪問控制測試 1445951.外網PC機測試 14303312.外網PC機訪問企業官網測試 152267五、總結 1613063參考文獻 18一、引言如今的網絡需要具備良好的靈活性。隨著企業的規模達到了一定的程度，企業延伸出了許多的分支公司。為保證公司之間的信息交流，企業需要將公司與公司之間建立起聯系。總體上此類公司有一種網絡需求特點：運用Internet的接入性能，保證企業局域網內達成數據間的安全運輸、業務操作的無人化，達到企業公司之間辦公交流更為便利與簡單；企業可以利用出口路由器的IP地址以及服務器內的WWW服務器的域名，向網絡中的網民們展現企業的文化與形象、向世界呈現出企業的特色與研究成果等。利用IP電話方式能夠縮減企業眾多的長途話費，也可以通過運用IP網絡來實現視頻會議；實現Telnet等網絡服務；建造一個操作簡單，功能便利且全面的管理信息系統，使得總公司與分公司之間的工作業務和工作內容審批電子化，協調各方面進行達到目標。企業局域網需要達到一定程度的結構化布線、網絡的設計與規劃、企業資料共享、WWW服務器、DHCP服務器、FTP服務器、DNS服務器、信息交流安全、軟硬件配置、企業內部劃分子網等相關網絡技術的實施。二、企業網絡需求分析（一）企業網絡定位企業網是指覆蓋企業和企業與分公司之間的網絡，為企業的多種通信協議提供綜合傳送平臺的網絡。企業網也是企業內部進行通信的重要條件，確保企業內部，分公司與分公司之間、部門與部門之間的運轉和安全進行。主公司和分公司之間的通信與信息交流也需要通過加密或者構建虛擬局域網來進行，愈加保證的信息通信與交流的嚴密性與安全性。（二）企業網絡基本情況介紹在福建省泉州市智能手機oppo企業網中，分為主公司和分公司1與分公司2，主公司員工約300多人，使用網絡的信息點大概250多左右：包括有線和無線的PC機和Laptop機，服務器群，有HTTP服務器、DNS服務器、FTP服務器、DHCP服務器。分公司1與分公司2有員工約200人，使用信息點大概為150多左右。如表3-1企業公司信息點個數表。主公司、分公司1和分公司2均使用私網IP，在每個公司的出口路由器處，由ISP分配了一個公網IP地址。表2-1企業公司信息點個數表主公司分公司1分公司2人數/個300200200信息點/個250150150（三）企業網絡需求企業中主公司、分公司1和分公司2之間采用內網IP地址，主公司中，不同部門在不同的VLAN中，服務器群也單獨一個VLAN群，服務器群采用靜態IP配置，PC機和Laptop機均利用DHCP服務器進行獲取IP地址。分公司1與分公司2采用三層交換機配置DHCP中繼，使得有線的PC機和Laptop機以及無線的PC機和Laptop機能夠自動獲取IP地址。無論主公司還是分公司，為了數據的傳輸穩定，三層交換機間采用STP+HSRP的方式，防止單一的網關造成的故障問題；三層交換機也同樣采用端口匯聚的方式，允許交換機與交換機、路由器與交換機、主機與路由器之間通過兩個以上的并行端口同時傳輸數據，提高更高的帶寬和吞吐量，大大提升了整個網絡的能力與功能作用。出口路由器和三層交換機之間分別配置OSPF的方式，使得內網的各臺PC機Laptop機以及服務器都能夠ping通。在主公司、分公司1與分公司2的出口路由器處，都采用PAT方式，端口地址轉換方式訪問外網。并且外網設備無法訪問企業公司的內網。服務器中，FTP服務器只由主公司的技術部和行政部能夠訪問日志，分別分配的權限功能為RWDNL（Write、Read、Delete、Rename、List）、RW（Read、Write）。企業中，主公司和分公司1之間建立IPSecvpn通訊，主公司與分公司2之間建立GRE模式進行通訊，分公司1與分公司2同樣的也建立GRE模式進行通訊。保證數據通訊的嚴密性與安全性。在外網中，為了讓網友們了解公司企業文化，PC機可以訪問主公司的出口IP地址，從而訪問到主公司內網的HTTP服務器，通過WebBrowser與外網DNS服務器解析，能夠訪問主公司綁定的地址網頁。三、企業網絡拓撲與IP規劃（一）企業網絡Visio圖圖4-1網絡Visio圖（二）VLAN以及IP地址規劃表3-2公司VLAN分配以及IP地址規劃主公司部門VLANIP網段默認網關銷售部10/2454行政部20/2454財務部30/2454采購部40/2454技術部50/2454服務器群100/2454分公司1售后服務部10/2454市場部20/2454分公司2生產部10/2454設計部20/2454主公司內：zhuRouter對外的接口地址為/30，與HEXIN-1連接的接口IP地址為/24，與HEXIN-2連接的接口IP地址為/24。HEXIN-1與zhuRouter連接的接口IP地址為/24，HEXIN-2與zhuRouter連接的接口IP地址為/24。服務器群中，DHCP服務器的IP地址為/24，FTP服務器的IP地址為/24，www服務器的IP地址為/24，DNS服務器的IP地址為/24。分公司1內：FenRouter1對外的接口地址為/30，與HEXIN-3連接的接口IP地址為/24，與HEXIN-4連接的接口IP地址為/24。HEXIN-3與FenRouter1連接的接口IP地址為/24，HEXIN-4與zhuRouter連接的接口IP地址為/24。分公司2內：FenRouter2對外的接口地址為/30，與HEXIN-5連接的接口IP地址為/24，與HEXIN-6連接的接口IP地址為/24。HEXIN-5與FenRouter2連接的接口IP地址為/24，HEXIN-6與zhuRouter連接的接口IP地址為/24。公網上：有Router1、Router0、Router2三個路由器模擬ISP過程。Router1的接口IP地址分別為/30、/30；Router0的接口IP地址分別為/30、/30、靠近測試外網PC機的接口IP地址為/24，靠近WWW/DNS服務器的接口IP地址為，靠近分公司2的接口IP地址/30。Router2的接口IP地址分別為/30、/30；四、企業網絡模擬與測試（一）網絡設備配置1.Access、Trunk配置這里以主公司的Z-JH0為例，如圖4-1。圖4-1主公司Z-JH0Z-JH0(config)#intrangef0/1,f0/2,f0/5Z-JH0(config-if-range)#switchportmodeaccessZ-JH0(config-if-range)#switchportaccessvlan10Z-JH0(config)#intrangef0/3-4Z-JH0(config-if-range)#switchportmodetrunk2.三層交換機配置這里以主公司的HEXIN-1與HEXIN-2為例，如圖4-2。其中包括配置端口匯聚、HRSP和STP、DHCP中繼、OSPF配置。圖4-2主公司HEXIN-1與HEXIN-2端口聚合配置：HEXIN-1(config)#intport-channel1HEXIN-1(config-if)#switchporttrunkencapsulationdot1qHEXIN-1(config-if)#intrangef0/3-f0/4HEXIN-1(config-if-range)#channel-group1modeonHSRP配置（以vlan10為例）：HEXIN-1(config)#vlan10HEXIN-1(config-vlan)#ipaddHEXIN-1(config-vlan)#intvlan10HEXIN-1(config-if)#ipaddHEXIN-1(config-if)#standby1ip54HEXIN-1(config-if)#standby1priority120HEXIN-1(config-if)#standby1preemptSTP配置（以vlan10為例）：HEXIN-1(config)#spanning-treevlan10rootprimaryDHCP配置（以vlan10為例）：HEXIN-1(config)#intvlan10HEXIN-1(config-if)#iphelper-addressOSPF配置：HEXIN-1(config)#iproutingHEXIN-1(config)#routerospf1HEXIN-1(config-router)#network55area0HEXIN-1(config-router)#network55area0HEXIN-1(config-router)#network55area0HEXIN-1(config-router)#network55area0HEXIN-1(config-router)#network55area0HEXIN-1(config-router)#network55area0HEXIN-1(config-router)#network55area03.DHCP配置這里為主公司的DHCP服務器，以VLAN10為例，如圖4-3主公司DHCP服務器配置。圖4-3主公司DHCP服務器配置在分公司1和分公司2的三層交換機上，同樣也采取DHCP中繼配置，下面圖4-4分公司2三層交換機DHCP配置。圖4-4分公司2三層交換機下面以VLAN10的為例配置DHCP地址池。HEXIN-5(config)#ipdhcppool10HEXIN-5(dhcp-config)#networkHEXIN-5(dhcp-config)#default-router54HEXIN-5(dhcp-config)#dns-serverHEXIN-5(dhcp-config)#exitHEXIN-5(config)#ipdhcpexcluded-address544.FTP配置這里為主公司的FTP服務器，如圖4-5主公司FTP服務器配置。圖4-5主公司FTP服務器配置FTP服務器只由主公司的技術部和行政部能夠訪問日志，分別分配的權限功能為RWDNL（Write、Read、Delete、Rename、List）、RW（Read、Write）。5.HTTP配置這里為主公司的HTTP服務器，如圖4-6主公司HTTP服務器配置。圖4-6主公司HTTP服務器配置公司的官網名字為XXXEnterprise，在后續的測試中可以體現。6.DNS配置這里為主公司的DNS服務器，如圖4-7主公司HTTP服務器配置。圖4-7主公司DNS服務器配置DNS服務器上面配置主公司內服務器群的HTTP服務器與相匹配；主公司內服務器群的FTP服務器與ftp：相匹配。7.IPSecVPN配置這里為主公司的zhuRouter路由器為例，如圖4-8主公司zhuRouter路由器。圖4-8主公司zhuRouter路由器主公司與分公司1之間采用的是IPSecVPN加密的方式進行通訊。具體配置如下：zhuRouter(config)#iproute//內網有一條通往ISP的默認路由zhuRouter(config)#cryptoisakmppolicy1//配置ISAKMP策略zhuRouter(config-isakmp)#encryption3deszhuRouter(config-isakmp)#hashshazhuRouter(config-isakmp)#authenticationpre-sharezhuRouter(config-isakmp)#group5zhuRouter(config-isakmp)#lifetime10000zhuRouter(config-isakmp)#exitzhuRouter(config)#cryptoisakmpkeyciscoaddresszhuRouter(config)#access-list100permitip5555//配置IPSec保護的感興趣數據流zhuRouter(config)#cryptoipsectransform-setmysetesp-aesesp-md4-hmac//定義傳輸集zhuRouter(config)#cryptoipsecsecurity-associationlifetimeseconds1800zhuRouter(config)#cryptomapmymap1ipsec-isakmp//配置加密映射zhuRouter(config-crypto-map)#setpeerzhuRouter(config-crypto-map)#settransform-setmysetzhuRouter(config-crypto-map)#matchaddress100zhuRouter(config-crypto-map)#intse1/1/0//把應用加密映射到外網口zhuRouter(config-if)#cryptomapmymapzhuRouter(config-if)#exitzhuRouter(config)#access-list101denyip5555//配置PAT連接到外網zhuRouter(config)#access-list101permitip55anyzhuRouter(config)#ipnatinsidesourcelist101interfaceserial1/1/0overloadzhuRouter(config)#intse1/1/0//分別匹配inside與outside接口zhuRouter(config-if)#ipnatoutsidezhuRouter(config-if)#intrangef0/1-f1/0zhuRouter(config-if)#ipnatinside8.GRE配置這里為主公司的zhuRouter路由器為例，如圖4-10主公司zhuRouter路由器。主公司與分公司2之間采用的是GRE方式進行通訊。具體配置如下：zhuRouter(config)#inttunnel1//建立tunnel隧道zhuRouter(config-if)#ipaddzhuRouter(config-if)#tunnelsourcese1/1/0zhuRouter(config-if)#tunneldestinationzhuRouter(config-if)#iproute//建立通往分公司2的網段zhuRouter(config)#access-list102denyip5555//拒絕掉IPSecVPN通往分公司1（/24）的流量zhuRouter(config)#access-list102denyip5555zhuRouter(config)#access-list102permitip55anyzhuRouter(config)#ipnatinsidesourcelist102interfaceserial1/1/0overload//配置PAT（二）企業網絡測試本企業的網絡拓撲圖如圖4-9所示。圖4-9企業拓撲圖1.DHCP測試配置PAT連接到外網。主公司、分公司1和分公司2的PC機都是采用DHCP自動獲取IIP地址，但主公司是利用服務器進行自動獲取IP地址，而分公司1與分公司2是采用三層交換自動獲取IP地址。主公司PC機獲取結果如圖4-10主公司Z-PC0Configuration，分公司1與分公司2分別如圖4-11分公司1F1-PC0Configuration、圖4-12分公司2F2-PC0Configuration。圖4-10主公司Z-PC0Configuration圖4-11分公司1F1-PC0Configuration圖4-12分公司2F2-PC0Configuration2.HTTP與DNS測試在上一小節中，我們知道與HTTP服務器IP地址相綁定的，這一條綁定信息記錄在DNS服務器（）中，接下來我們以主公司的Z-PC0PC機進行測試。在Z-PC0中WebBrowser中輸入，如圖4-13Z-PC0HTTP與DNS測試-1。圖4-13Z-PC0HTTP與DNS測試-1在Z-PC0中WebBrowser中輸入，如圖4-14Z-PC0HTTP與DNS測試-2。圖4-14Z-PC0HTTP與DNS測試-23.FTP測試在上一小節中，我們知道FTP只由主公司的技術部和行政部能夠訪問日志，分別分配的權限功能為RWDNL（Write、Read、Delete、Rename、List）、RW（Read、Write）。行政部登錄名xingzheng，登錄密碼xingzheng1；技術部登錄名jishu，登錄密碼jishu1；具體測試結果如圖4-15行政部FTP測試，圖4-16技術部FTP測試。圖4-15行政部FTP測試圖4-16技術部FTP測試4.IPSecVPN測試在上一小節中，我們知道在主公司與分公司1之間，我們是以IPSecVPN的方式進行通訊交流的，我們通過主公司與分公司1之間的PC機進行互ping，查看在數據包在公網運輸的過程中是否帶有ESP封裝的報文，如有ESP封裝的報文，則代表已經將數據進行加密傳輸。主公司采用Z-PC0（）ping分公司1F1-PC0（），測試結果如圖4-17IPSecVPN測試。圖4-17IPSecVPN測試在測試中，在公網傳輸的報文中，可以查看到包中帶有ESPHeader的頭部包，證明在主公司與分公司1之間已經建立起IPSec隧道模式。5.GRE測試在上一小節中，我們知道在主公司與分公司2之間，分公司1與分公司2之間，我們都是以GRE的方式進行通訊交流的，我們通過主公司與分公司2之間的PC機進行互ping，查看在數據包在公網運輸的過程中是否帶有GRE封裝的報文，如有GRE封裝的報文，則代表已經將數據進行隧道傳輸。主公司采用Z-PC0（）ping分公司2F2-PC0（），測試結果如圖4-18GRE測試。圖4-18GRE測試（三）企業訪問控制測試1.外網PC機測試在上一小節中，在外網中存在一臺pc機，企業內無論是主公司還是分公司1和分公司2，都可以訪問外網中的PC機（IP地址：），但是外網的PC機無法訪問企業內任何設備。只是由于在各個公司的出口路由器上配置的PAT的結果。下面以主公司內的Z-PC0（）與外網PC機（）進行互ping，查看測試結果如圖4-19Z-PC0ping外網PC機測試，圖4-20外網PC機pingZ-PC0測試。圖4-19Z-PC0ping外網PC機測試圖4-20外網PC機pingZ-PC0測試2.外網PC機訪問企業官網測試在上一小節中。由于在網絡需求分析的時候提到，為了讓網友們了解公司企業文化，外網PC機可以訪問主公司的公網IP地址，從而訪問到主公司內網的HTTP服務器（），通過WebBrowser與外網DNS服務器解析，也能夠訪問主公司綁定的地址網頁。在主公司出口路由器上配置如下命令：zhuRouter(config)#ipnatinsidesourcestatictcp8080。下面進行測試，外網PC機訪問主公司路由器公網IP地址（）與，如圖4-21外網PC機訪問企業官網-1，圖4-22外網PC機訪問企業官網-2。圖4-21外網PC機訪問企業官網-1測試圖4-22外網PC機訪問企業官網-2測試五、總結本次畢業設計的內容為企業網設計和實現，雖然在之前有過類似的課程設計的經驗，但是在這次畢業設計中是比以往多提出了更多需