文｜鈔小林 郭嫽 謝曉鋒

為了培養(yǎng)學生網絡設計與部署的系統化思維，培養(yǎng)其網絡安全意識及良好職業(yè)道德，本文按照需求分析－邏輯結構設計－項目模擬組建的思路，給出中小型企業(yè)網絡設計與部署的典型方案，該案例多次作為網絡教學和大作業(yè)用例，效果良好。

一、中小企業(yè)網絡現狀、水平及存在的問題

我國90%的企業(yè)是中小企業(yè)，所以，及時更新中小企業(yè)網絡的硬件設備及網絡技術既是企業(yè)發(fā)展的需要，也是國家經濟發(fā)展的需要。該項目設計了某中小企業(yè)的網絡建設方案，闡述了中小企業(yè)網絡工程建設流程及系統部署，旨在為中小企業(yè)網絡設計與部署提供借鑒。

二、系統分析

（一） 項目描述

××公司為商業(yè)企業(yè)，員工500余人。公司建有兩棟樓，距離約150米，一棟為員工辦公及用餐所用，共四層，約300多個固定信息點，同時需要提供無線上網功能；另一棟倉儲樓共三層，主要為商品儲藏或周轉之用，約60多個固定信息點，也需要無線上網。為促進對外業(yè)務往來，公司欲擴建內部網絡，與Internet連接。

（二） 系統需求分析

1.信息點分布

辦公樓：一樓為餐廳，固定信息點很少，但需要提供公共Wi-Fi供就餐者上網之用；二、三樓為辦公區(qū)域，每層樓固定信息點約120個左右，四樓也為辦公區(qū)域，是信息中心所在；信息點約50多個，每層樓出入口安裝網絡攝像頭。

倉儲樓：每層樓約十多個倉儲間，每個倉儲間需要一個固定信息點，每層樓需一個無線路由器以提供Wi-Fi上網功能，倉儲間內部和樓層出入口還需多個網絡攝像頭。

2.功能需求

網絡訪問需求：同部門用戶需要交換信息，同時內網所有終端需要訪問互聯網。

Web服務：企業(yè)內部每個終端都有瀏覽Internet需求，同時將公司web站點對內外網發(fā)布。

OA系統服務：企業(yè)內部所有用戶有訪問OA系統進行業(yè)務處理的需求。

網絡監(jiān)控：倉儲間和樓層出入口需安裝攝像頭。

網絡管理與安全：可以通過網管PC遠程管理每臺設備。

3.性能需求

網絡的可靠性：由于資金限制，對網絡系統的可靠性暫無特別要求。

性能價格比：網絡設備選購要求有較高的性價比。

4.環(huán)境需求

地理分布：兩棟樓之間距離約150米，需用多模光纖連接，并埋入地下。其余建筑物內設備與信息點可用雙絞線連接。

用戶群的組織特點：部門內部溝通頻繁，需以部門為單位劃分VLAN，所有信息點均需訪問互聯網。

5.設計約束

要求充分利用原有網絡資源，新增設備投入不超過100萬元。

三、網絡方案設計與部署

（一） ××公司網絡邏輯結構設計

基于需求分析，用思科Packet Tracer7.2軟件構建網絡拓撲如圖1所示。左邊為倉儲樓，信息點數量進行如圖部署。POE網絡攝像頭這里僅以個別代表。拓撲右邊為辦公樓，一樓為餐廳，僅部署一臺無線路由器，二樓和三樓為辦公區(qū)，連接多個交換機擴充端口數量以滿足固定信息點需求，同時每層樓部署一臺無線路由器，四樓除有若干有線無線用戶外，還作為中心機房，企業(yè)核心交換機、邊界路由器、各種服務器和出口路由器均部署在該樓層，由邊界路由器連向外部路由器，該棟樓每層出入口攝像頭這里也僅以個別做代表。

圖1 ××公司網絡拓撲

（二） 網絡技術選擇與應用

該方案主要應用了以下技術：利用PPP協議將邊界路由器與Internet相連；邊界路由器與核心交換機間采用OSPF協議動態(tài)協商路由，還用默認路由將內網用戶訪問外網的流量發(fā)往外網；運用NAPT技術部署DMZ區(qū)web服務器，為安全起見僅開放80端口；利用ACL技術控制外網入方向流量及訪問服務器流量；局域網內部采用VLAN技術實現部門間的二層隔離。服務器采用Windows server2016企業(yè)版操作系統，并采用IIS+MSSQL服務部署企業(yè)門戶網等站點，OA僅向內網發(fā)布。

（三） 網絡安全規(guī)劃與部署

1.機房及物理線路要求

安全、防塵、低噪、節(jié)能環(huán)保等。

2.網絡安全域的劃分

倉儲樓按樓層劃分VLAN，方便以樓層為單位進行商品管理；辦公樓按部門劃分VLAN，實現部門間的二層隔離，增強了信息安全度。

3.安全策略

路由器、交換機遠程登錄及OSPF訪問權限僅限于經授權的用戶；每一臺設備必須設置進入用戶模式前的警示標語；所有設備的登錄密碼必須以加密方式保存；將廣播控制在最小范圍；科學合理的設計和配置訪問控制策略，使所有用戶僅獲取其必要的訪問權限，避免放大權限或越權操作；僅在必須使用時臨時開啟該服務；交換機MAC地址與端口對應關系盡可能綁定，在某端口出現新的或未注冊的MAC地址時禁用此端口。通過ACL嚴格控制外網用戶僅允許訪問DMZ區(qū)域的web服務器，同時服務器對內網用戶也僅開放80端口。

4.系統安全設計

服務器采用身份認證，設置口令安全策略，禁用guest賬號，給administrator改名，關閉不必要的端口，將磁盤文件系統設置為NTFS格式，并對相應資源設置最小訪問權限，并部署桌面系統安全防御及殺毒軟件，并做適當的系統監(jiān)控與審計；服務軟件及時升級并做好角色授權；啟用防火墻，針對具體的訪問設置出入站規(guī)則。

5.數據容災與恢復

對于重要的數據庫數據，制定備份與恢復制度，根據數據的重要程度采用適當的備份周期和備份方式。后期在資金允許情況下，可部署核心交換機和邊界路由器冗余，保障7*24上網，實現負載均衡。

6.建立安全管理體系

建立安全組織機構，具體負責安全制度的制定、檢查安全制度的落實情況，及時發(fā)現安全隱患并消除安全隱患。

（四） ××公司網絡詳細設計與模擬組建

1. 核心網絡設備選型

考慮到今后網絡升級及資金投入的限制，選擇性價比較高的中等產品。

邊界路由器選型主要參數：支持多種業(yè)務，可以考慮集成防火墻功能，傳輸速率、接口類型和數量、DARM和內存等需滿足用戶需求，如Cisco 2811-SEC/K9。

核心交換機選型主要參數：企業(yè)級三層交換機，背板帶寬、傳輸速率、端口數量、包轉發(fā)率等均需滿足客戶需求，如Cisco Catalyst 3560系列交換機。

2.地址設計

該企業(yè)網絡信息點達到300余個，如果所有信息點均配置靜態(tài)IP地址，工作量較大，且面臨用戶私自改動IP的風險，可能會給后期維護帶來不必要的麻煩。所以本方案地址分配采用靜態(tài)與動態(tài)相結合的方式。各網絡設備、服務器采用靜態(tài)IP地址，而各終端采用DHCP服務動態(tài)分配IP地址和DNS服務器。具體設計如下。

（1）核心層網絡設備地址分配方案

邊界路由器——接口s2/0：地址由ISP服務提供商提供，這里設為200.2.2.2/24。接口g6/0：連接核心交換機，IP地址為192.168.1.1/24。接口f0/0：連接核web服務器，IP地址為192.168.2.1/24。

OA服務器IP地址——172.16.0.1/24。

核心層交換機——接口f0/1（接網管電腦）轉三層接口并配IP：192.168.3.254/24；接口f0/2（接OA服務器）轉三層接口并配IP：172.16.0.254/24；各VLAN接口：作為終端網關，地址為各vlan相應網段的最后一個地址，即主機位254。

（2）匯聚層和接入層地址分配方案

倉儲樓——倉儲樓每層倉儲間貨物收發(fā)管理相互獨立，所以按樓層劃分VLAN，并規(guī)劃對應網段。如一樓：VLAN 11，網段192.168.11.0/24；二樓：VLAN 12，網段192.168.12.0/24；三樓：VLAN 13，網段192.168.13.0/24。所有終端利用匯聚層交換機提供的DHCP服務動態(tài)獲取IP，網關設置在核心層交換機，每層樓無線路由器的SSID分別設置為：SR-11、SR-12、SR-13，LAN接口地址可以統一設置為192.168.0.1。

辦公樓——辦公樓各部門工作人員存在跨樓層分布的情況，所以不能按樓層劃分VLAN，而是按部門劃分VLAN，按部門名稱命名，并規(guī)劃對應網段。如市場部：VLAN 21，名稱shichangbu，網段192.168.21.0/24；財務部：VLAN 22，名稱caiwubu，網段192.168.22.0/24；行政部：VLAN 23，名稱xingzhengbu，網段192.168.23.0/24；采購部：VLAN 24，名稱caigoubu，網段192.168.24.0/24；銷售部：VLAN 25，名稱xiaoshoubu，網段192.168.25.0/24；后勤部：VLAN 26，名稱houqinbu，網段192.168.26.0/24，各vlan終端利用DHCP服務動態(tài)獲取IP，網關設置在核心層交換機。

管理IP——為方便管理PC遠程管理各設備，每臺設備需要配置相應管理IP，最好在所屬vlan的網段內。管理IP要確保管理PC可遠程路由。

3. 網絡設備配置與測試

根據以上IP地址設計，對圖3.1所示模擬圖中各設備進行配置。配置思路如下（配置命令略）。

（1）ISP路由器配置

基礎配置。PPP協議及CHAP驗證配置（server端）。路由配置：將目標網絡為NAT全局地址的流量下一跳指向企業(yè)邊界路由器與ISP路由器接口地址。

（2）企業(yè)邊界路由器配置

基礎配置——設備名稱、接口IP及遠程登錄密碼等配置，保證管理員能成功遠程登錄路由器。

PPP協議及CHAP驗證配置（client端）。

路由配置——默認路由配置：下一跳指向ISP路由器與企業(yè)路由器連接的接口地址（或為邊界路由器出接口）；OSPF路由配置，保證邊界路由器與內網相應網段互通。

ACL配置——用擴展ACL開放Web服務器80端口，使內外網用戶能通過HTTP協議訪問公司門戶網站，同時配置標準ACL使內網用戶均能夠訪問OA服務器。

NAT配置——用靜態(tài)NAT將web服務器的內部私有地址192.168.2.2轉換成公有地址200.2.2.3（也可利用NAPT將192.168.2.2的80端口映射為200.2.2.3的端口），用PAT使內網用戶上網時私有地址轉換為公有地址200.2.2.4。

（3）核心交換機配置

基礎配置——設備名稱及遠程登錄密碼等配置，保證管理員能成功遠程登錄路由器。也包括接口IP（包括SVI地址和物理端口直接啟用為三層端口的情況）和接口trunk配置等。

默認路由配置——下一跳指向企業(yè)邊界路由器與核心交換連接的接口地址。

ACL配置——OA服務器通過web服務為內網用戶提供服務，為安全起見，只開放80端口，其他訪問一律拒絕。

OSPF動態(tài)路由配置——保證OA服務器與內網相應網段互通。

（4）倉儲樓匯聚交換機配置

基礎配置——交換機名稱、遠程登錄密碼、特權登錄密碼、管理IP和網關、VLAN劃分、把相應的接口加入對應的VLAN。

配置DHCP服務——配置vlan11、vlan12和vlan13分別對應地址池192.168.11.0、192.168.12.0、192.168.13.0及網關、DNS服務器等相關信息。

（5）辦公樓匯聚交換機配置

辦公樓交換機的配置與倉儲樓交換機的配置類似，包括：交換機名稱、遠程登錄密碼、特權登錄密碼、管理IP和網關、VLAN劃分、把相應的端口加入對應的VLAN、啟用DHCP服務為辦公樓各網段配置地址池和網關等。具體配置可參照倉儲樓交換機的配置，這里不再贅述。

（6）接入層交換機配置

需要配置設備名稱、遠程登錄認證密碼、管理IP等初始配置。此外，接入層交換機可根據所在樓層添加相應VLAN，對與匯聚交換機相連的接口應配置trunk模式。

（7）無線路由器配置

將每個無線路由器的SSID改為相應的名稱，對每臺無線路由器的Internet接口設置所在VLAN的相應地址。如倉儲樓一樓的無線路由器SSID可改為WR-11，Internet接口地址可改為192.168.11.250/24。

（8）有線終端和無線終端配置

所有終端IP地址應設置為DHCP自動獲取方式，對于無線終端一定要將SSID改成所需連接的對應的無線路由器的SSID。

四、結束語

該項目綜合運用了多項局域網技術和互聯網接入技術，體現了系統的網絡工程設計思想，在進行此項大作業(yè)過程中，鍛煉了學生對網絡技術的綜合應用能力，培養(yǎng)了學生系統化的網絡設計思維，強化了學生的網絡安全意識，強化了職業(yè)道德和敬業(yè)精神的培養(yǎng)，是課程思政建設的好案例，也為中小企業(yè)的網絡設計與部署提供了借鑒。同規(guī)模、不同需求的中小企業(yè)可以此為基礎進行相應的擴建與改進，設計出符合不同企業(yè)需求的網絡，如企業(yè)對網絡可靠性要求升級，要求7*24小時上網，可將方案改造成VRRP+MSTP的部署方式，在備份網關的同時，消除交換機間的邏輯環(huán)路，提高數據轉發(fā)效率，還可實現負載均衡。