子衿有限公司网络规划设计方案

最新推荐文章于 2025-05-28 15:31:53 发布

qq_1694456187

最新推荐文章于 2025-05-28 15:31:53 发布

阅读量827

点赞数 26

文章标签：网络

本文链接：https://blog.youkuaiyun.com/qq_1694456187/article/details/146307851

版权

系统简介

自从互联网发展而来，大部分企业都建设起自己的网络，在现代互联网时代引领下，子衿公司也紧随其后建设属于自己的网络。子衿企业采取VLAN划分的方式，从源头隔离广播域；通过动态主机分配IP地址，提高效率；且运用OSPF协议进行公司网络通信。使用NAT技术促使私有网络访问公网，实现内外网通信。新建的子公司通过MPLS VPN实现与总部的通信。
子衿公司因业务的需求，提高办公人员网络工作效率，建设公司内部网络可以使得员工干活积极，极大的提高了公司的管理和工作效率。本次论文分析了公司的背景，内网建设的需求，网络的设计路线，设备的选型、综合布线等方面内容，建设一个效率快、使用简单、稳定性强且可靠的新型公司网络。
关键词：网络设计，综合布线，防火墙安全

第1章绪论

1.1研究背景和意义
21世纪以来，计算机以我们不可预估的速度大面积普及，同时，各种高新技术产业不断发展，互联网开始在全世界推进，逐步完善各项技术。从开始的简单网络通信，到如今的智能化阶段，比如家庭清洁机器人和智能门锁。网络影响着我们的生活各方面，对于企业来说，企业网络的建设尤为重要，最开始的企业网络是由几台计算机组成，实现最基本的数据共享，发展到现在，企业网络可以实现全部的数据共享。传统企业在面对这样的一个智能化大数据时代，更要摸索自己的发展方向，综合企业内部实际情况，把握新时代的信息化、网络化的潮流，及时的做出调整，转型为现代化、信息化、网络化的新型企业。
现今大部分企业已经建立了自己的企业网络，子衿有限公司也认为需要紧随潮流，建设属于自己的企业内部网络。子衿有限公司是一家服装设计公司，该公司有七大部门，分别是：市场部，设计部，生产部，销售部，财务部，行政部，跟单部。公司的办公人员虽然只有60-70人，但最近公司与潮州市的一家企业洽谈成功，引入对方入股投资，未来规划要在潮州建立子公司，扩大公司的规模。现今公司的网络为家用型网络，非标准网络，管理难度系数特别大、网络的安全也特别没有保障，易被攻击。根据公司的实际情况，重新设计了一个先进性的、高速的、可扩展的计算机网络，而且为了后续工作的开展，这次的网络也把即将新建子公司一起建设，并且此次网络建设需保证核心业务的正常运行，降低业务中断的时间，确保数据的安全传输。
1.2 课题研究内容和方法
1.2.1研究内容
对本次课题的研究，主要着重于规划设计有线网络，并适当进行扩充，以便于未来无线网络的搭建，企业的网络覆盖范围有：公司的市场部，设计部，生产部，销售部，财务部，行政部，跟单部以及外市的子公司。根据调查进行实地考察，做好布局规划，考虑到各布线的合理方案，且由企业的实际需求，合理的设计出一个适用于未来发展的网络拓扑。在本次课题中，完成顺序如下：
1、先对公司原先的网络进行勘察，确定网络接入点的要求。在公司内部网络中，确保每台主机都能获得IP地址，子网掩码以及网关等。
2、根据企业实际需求完成子衿有限公司的网络设计与规划，网络设计的方案以及网络拓扑图，网络设备的选型，估算建成网络的费用，并且根据用户的需求合理划分VLAN，规划IP地址段。交付VLAN规划表与IP网段分配表。还有网络设备的配置文件的电子版。
3、预计网络搭建完成时间，以及网络的验收，以确保用户的满意。
1.2.2 研究方法
本次论文在撰写过程中的设计采用的方法有：
调查法：经过调查获得企业网络的需求，并对其原先的网络进行分析，以便更好的补充和完善该公司网络。
文献研究法：由一定的研究目的或课题，经过查找文献来获得资料，从而全方位、多层次的了解掌握所要研究问题的一种方法。通过搜集与网络规划建设相关的文献资料，在工程的建设中，构建一个可靠的，安全的，可扩展的网络，并将网络划分为三层网络结构进行设计。
1.3课题内容结构
此篇论文一共分为六个部分，具体的内容安排如下：
第1章：绪论。本章从现如今发展状况，简要说明网络的重要性，从而对企业的各项建设简要说明，为后面工作做铺垫。
第2章：网络需求分析。讨论了子衿企业网络的需求分析，提出了企业网络建设的原则以及需求。
第3章：网络规划与设计。利用调查到的需求，规划设计出相应的网络拓扑，划分相应的VLAN，以及分配合理的IP地址等。
第4章：网络综合布线。由规划的网络结构进行网络的综合布线。
第5章：网络实施。根据用户的需求，选择合适的技术方法，对网络架构进行配置。
第6章：网络测试。是对网络进行安全性的测试以及通信测试等等，以达到内部网络的资源共享、数据的安全传输目的。

第2章网络需求分析

2.1企业背景
子衿有限公司是一家小有规模的服装设计公司，近年来企业的业务源源不断。该公司主要提供服装设计理念，也可根据需求者的要求进行服装设计，还有线上购物等业务。该公司位于汕头市龙湖区，公司名下有多个部门，由董事会亲自管理，且公司即将在潮州市打造新的公司，作为子衿公司的分公司。公司的规模结构如图2-1所示。
在这里插入图片描述

图2.1公司规模结构图
由于子衿公司原先使用的是家庭型网络，网络安全系数较低，线上业务常常因为服务器承载不了用户爆发式的访问量而崩掉，业务部人员也经常抱怨明明客户都有意向合作，突然间就断网了，导致业务丢失。基于以上种种情况，子衿公司决定对公司网络进行重新规划，新建成的网络需要提高稳定性、可靠性，扩展性以及安全性。
2.2企业网络规划需求
公司的业务很多都是需要网络来进行沟通的，对于网络的要求较高，特别是在线上购物这一块，对于公司的网络要求更高，所以新规划的网络必须要有足够的带宽到桌面，后期公司将会扩大经营规模，即规划的网络还需要有可扩展性。
公司的网络结构选择的是三层网络结构，分别是接入层，汇聚层，核心层，这三层中每一层在网络中发挥的作用也不一样。使用三层网络结构可以使得网络性能更佳。具体的三层网络结构如下图所示：

在这里插入图片描述

图2.2 三层网络结构图
为了避免广播风暴的问题，可以采取划分VLAN的方式。目前公司的人员有60-70人，而且还处于持续增长的情况，谨防出现未来接口出现不足情况，公司决定采购交换能力比较强的设备。公司为了便于网络管理员未来工作时的便捷，决定对各个接入点采取DHCP（动态地址分配）的方式。
2.2.1企业安全需求分析
企业网络成功运行的必要条件是必须满足基本的安全需求，它涵盖了整个公司系统的所有业务，因此，保护设备的正常运作，维护主要业务系统的安全，是整个企业网络的重中之重。
而且在外网出口处需要设置防火墙，隔离内外网，并配置IDS/IPS入侵检测机制。总而言之，防火墙是一幢大楼的门锁，那么IDS/IPS就是这幢大楼里的监视系统。要是小偷爬窗进入大楼，或内部人员有不良行为行为，只有实时监视系统才能发现情况并发出警告。所以，在服务器和核心交换机之间我们要架设防火墙，使得公司网络更加安全。
对于公司内网来说，访问互联网，需要做好NAT策略，毕竟公有IP地址有限，公司局域网使用的是私有IP地址，但访问外网我们需要做一个NAT策略，才得以顺利访问外部网络。做NAT策略，既可以节省公网IP地址的使用，也能够更好的保护我们公司内部用户的安全。当外网用户访问我们的内部网络的资源时，并不能直接访问到我们公司的内部资源，只能通过防火墙进行转发，达到了保护内网的目的。
2.2.2企业可靠性需求分析
对于公司网络来说，整个系统都在不停歇的运作，一旦网络出现故障势必会导致公司业务损失。所以新建成的网络系统一定要有可靠性。比如：当发生单点故障时，网络要能够迅速切换到备用链路，并立刻收敛。综合考虑，决定对网络设备使用双机热备。
2.2.3 企业管理需求分析
在上班期间，为防止一些不自觉的员工利用网络进行无关工作的事情，例如吃鸡，刷抖音等等。造成带宽浪费，使网络延迟更甚者是导致其他正常工作的员工上不了网，进而导致工作任务不能顺利完成。所以该网络会使用上网行为管理软件对公司的网络进行管理。让某些不自觉的员工可以收敛，更好的为公司服务。
2.2.4 企业功能需求分析
当子衿公司的网络搭建完毕后可以实现以下需求：
a)在局域网中，终端都能够自动获取到IP地址、网关以及子网掩码等。
b)公司的其他部门不能访问财务部，其他部门之间都可以实现互相访问。
c)因特网用户不能直接访问公司内部主机，但内网可以访问外网。
d)外网用户可以访问公司内部的HTTP服务器。
e)子公司与总部能够互相访问。
f)子衿公司网络的核心层可以进行冗余备份，当一台核心设备出现故障，另一台设备会立马顶上。
2.3网络规划原则
为保证子衿公司网络符合企业网络建设原则，此次网络规划中要严格遵循以下原则：
（1）先进性：当我们在建设网络的时候，需要有前瞻的眼光，要尽可能的采取成熟先进的技术及网络设备，并且在相当长的时间内保持先进。
（2）可靠性：在企业的网络中，大部分时候系统都需要高速的运转，所以在网络的建设中，不仅要求硬件设备的可靠，网络的关键部位还需要可靠的备份，以保证网络系统有故障自愈功能。
（3）安全性：为确保企业传输数据的安全，在企业的网络中，我们使用ACL策略（访问控制列表）以及防火墙等技术，保证用户的上网信息安全。
（4）可扩展性：公司处于目前处于发展阶段，网络设计不仅要满足当前的需求，还要考虑未来几年网络发展，在网络的规划设计中，要充分考虑设备的升级和扩展，以保证用户可以随时随地的增加设备、网络功能等。
（5）高性能：随着公司的业务增加，局域网用户的增多，对于服装公司来说，需要处理的大量的图像，所以在建设网络中，需要充分考虑未来业务量的增加，确保网络未来一段时期保持网络高效便捷。
（6）易管理和可维护性：在整个企业网络的搭建中，需要有较好的可管理性，而且系统要有集中检测、故障分析等功能。网络所选的网络设备应支持多种协议，以便网络管理人员能够通过网络管理平台对整个网络进行管理及维护。所以在企业网络的规划设计中，从大局出发，充分考虑整个系统的可维护性，以防系统出现意外情况能够及时的修复，最大程度减少公司的损失。
2.4本章小结
本章详细介绍了子衿企业的背景，对子衿企业建设内部网络的安全性需求、可靠性需求安全功能都做了进一步的描述，建设内网时要遵守网络原则，为后面几章网络设计确立了基础。

第3章网络规划与设计

3.1网络拓扑图
子衿公司的拓扑图如图3-1所示，我们可以看到，公司的网络结构采取星型结构，这种结构有助于简化网络，均衡设备负载。而且核心层采取双机热备方式，大大提高了核心层的稳定性。在出口位置接入防火墙，对公司的流量数据进行过滤以及外网访问内部的流量进行甄别。
在这里插入图片描述

图3-1子衿公司网络拓扑图
公司的核心层的主要功能是数据包的交换，一般核心层采取至少两台性能强、便于扩展的交换机。核心层对于整个网络结构都起着至关重要的作用，在配置核心层交换机时，要做冗余，避免一台交换机出现故障，整个网络陷入瘫痪状态。同时我们的核心层交换机还扮演着路由的角色，网关的设置在核心层交换机，由于在核心层采取两台交换机，我们不可能配置两个网关IP，所以对于网关我们在交换机采用VRRP协议（虚拟路由冗余协议），它的作用是将几个真实的IP地址虚拟成一个IP地址。就算出现问题，我们也无需手动更改网关，节省资源。
同时，我们在核心层采取了ACL（访问控制列表）协议，ACL是用来控制端口数据包的进出。为保护公司的财务部内部数据的安全，不能随意被其他部门连接，我们在核心层的端口设置了ACL，限制公司其他部门访问财务部。
为避免有些员工在上班期间浑水摸鱼，假借工作名义玩游戏、购物或者看视频等不良行为，严重占用了公司网络有限的带宽，影响其他正常办公的人员。公司在防火墙出口前设置了上网行为管理。对一些网页进行过滤、网络应用控制、用户流量管理、用户分析等进行约束，便于公司对于员工的管理。
由于公网IP地址有限，不可能实现人人一个公有IP地址访问外网，在防火墙处我们设置了Easy Ip，即内部地址映射为网关出接口的IP地址，不需要多个公网IP地址。这样子大大节省了公网IP地址的浪费，也保护了我们内部计算机的安全，降低了被黑客攻击的概率。
为扩大规模，公司与潮州一家企业洽谈成功，分部也在如火如荼的建设中，所以在本次网络设计中，我们也把分部的网络设计一同进行。为了总部与分公司进行数据共享，采取专门的渠道，即MPLS VPN（多协议标记转换通道），可以跨区域进行安全、可靠的数据传输，为用户提供了高品质的服务。
公司采取划分VLAN，使得不同VLAN之间的设备在数据链路层不能直接通信，大大提高了网络的稳定性，也降低了广播风暴的发生率。对公司来说，不同部门宜使用不同的网段。这样也便于网络管理员统计与管理。由于子衿公司这几年发展可观，办公人员越来越多，在进行IP配置时，吸取了以前人工配置IP地址经常造成地址冲突，为了避免新建网络出现这种现象，本次网络设计采取DHCP协议（动态主机配置协议），凡是联网的终端都能自动获取IP地址，降低了网络管理员的工作量。
当然，我们的网络设计最终是要实现内外部网络的通信，因为划分了VLAN，所以不同VLAN间不能互相访问，因此在此次网络设计中，我们配置了OSPF（开放最短路径优先）协议，实现网络的通信。
3.2 IP地址及VLAN的划分
3.2.1地址分配原则
在企业网络的建设中，合理的规划和利用IP地址是重中之重，不仅要考虑网络的扩展性，还要兼顾子网的划分是否合理。对此，我们在子衿公司网络的IP分配采取VLSM（可变长子网掩码）划分网段，为每一段IP地址进行恰当的分配。在划分IP地址时我们要遵循以下原则：
唯一性：在同一个网段内，不能出现相同的IP地址。
连续性：在分配IP地址时，要以连续的方式分配，方便路由表聚合，减少路由表长度，提高算法效率。
可扩展性：在地址分配时要留有余量，以便未来网络扩展时能确保地址的连续性。
灵活性：划分IP地址时，要有灵活性，合理利用不多的地址空间。
层次性：为便于管理，在不同的级别分配不同的地址段，形成便于扩充，易于管理的层次性结构。
3.2.2 IP地址分配及VLAN划分
现在为子衿公司的各部门划分VLAN，具体VLAN与IP地址分配对应见表3-1：

3.3设备选型
根据我们的网络设计，在采购设备时，要考虑设备的先进性，以及设备需要有可靠性、稳定性等，还要考虑设备的兼容问题。根据需求，采购同一家厂商的产品，便于网络的安装与维修。
3.3.1防火墙
防火墙就像哨兵一样，监视着进出流量的安全，还可以对一些易于攻击的端口进行关闭，保护内部网络的安全。因此，在该网络设计中采购的防火墙要拥有性能高、传输数据快的特点。根据需求选购的防火墙型号是华为USG6530，如下图所示。
在这里插入图片描述

图3-2 华为防火墙USG6530
华为防火墙USG6530是华为公司的下一代防火墙，符合网络设计的需求，具体参数见图3-3。
在这里插入图片描述

图3-3 防火墙USG6530参数
3.3.2路由器
路由器的功能是连接不同的网络，使它们进行通信。子衿公司使用的路由器型号是华为AR2220，该路由器是企业级路由器，面向中型企业或中小型企业的多业务路由器，产品外观如图3-4所示。

3.4本章小结
本章主要介绍子衿企业网络的规划与设计，介绍了子衿企业运用三层网络结构搭建拓扑，并为该网络结构选择了相适应的设备，还描述了子衿企业的VLAN划分以及根据不同的部门划分不同的IP地址段。

第4章网络综合布线设计

前面已经完成了对子衿公司的逻辑网络设计，接下来是要对子衿公司进行综合布线的设计。综合布线设计的好与坏会直接影响到子衿公司网络系统的运行，一个好的布线系统不仅能降低网络的故障率还可以为公司老板降低投资的成本。在综合布线的设计中也应把所有的网络设备的性能最大化以满足子衿公司的业务需求。
子衿公司分两层布局，分为七大部门。一楼主要是市场部、设计部、生产部、销售部、跟单部，二楼主要是行政区域：董事长办公室，总经理办公室；财务部、会议室。公司的办公人员有60-70人属于小型网络布线，任务相对比较容易。在综合布线的工程中要考虑公司发展的可能，所以布线的过程中要各个布线系统要做好拓展的思想。

4.1 综合布线系统设计目标
子衿公司的综合布线系统应具有以下特点：
（1）兼容性：所选用的布线设备兼容性要好，比如说接入设备的插头、插座标准能兼容不同厂家。
（2）扩展性：布线时采用模块化设计，以适应今后公司业务发展的时容易扩充，容纳更多的终端设备。
（3）经济性：在布线能达到设计要求上，要使得总体投入成本要尽量的低。
（4）可靠性：布线时要严格遵循技术标准，使得子衿公司网络系统能够高速稳定的运行。
（5）高性能：实现网络系统的主干网速达到千兆，百兆到桌面；并且提供多媒体流量的传输。
4.2综合布线设计图
(1)子衿公司一楼平面如图4-1所示。每个部门大概是30个节点。
在这里插入图片描述

图4-1一楼平面图
(2)子衿公司二楼平面图如图4-2所示。
在这里插入图片描述

图4-2二楼平面图
4.3综合布线系统详细设计
4.3.1工作区子系统
因为子衿公司每个部门房间格局大同小异，是所以设计工作区子系统时就以一楼设计部为例。按照子衿公司设计部的规模是10多人，因此采用四口的信息插座为信息点的接入，所选用的信息插座采用超6类模块才足以实现百兆到桌面，工作区子系统的设计图如图4-3所示。
在这里插入图片描述

图4-3 工作区子系统布线图
4.3.2水平布线子系统
设计水平布线子系统时，以一楼为例。将市场部、设计部、生产部、销售部以及跟单部的信息插座接出的线缆，采用PVC管槽沿着公司过道上方线缆桥架的方式组成子衿公司的水平布线系统，水平布线示意图如图4-4所示，红色代表线槽。

4.3.3管理布线子系统
子衿公司的管理布线子系统由一楼和二楼的配线间组成，而每一层的配线间都包括双绞线配线架、光纤跳线架、光缆等的等组成。管理子系统的作用是调度管理每层的信息通道，子衿公司的管理子系统布线如图4-5所示。

4.3.4垂直布线子系统
垂直布线子系统的作用是将子衿公司一二楼的配线间的线缆整合到设备间中。垂直通道是用线缆竖井的方式这样可以和水平布线采用的线缆桥架方式相匹配，竖井里面用的光纤，子衿公司垂直布线子系统的方式如图4-6。

4.3.5设备间子系统
设备间子系统俗称中心机房，主要是为子衿公司的网络系统提供转接功能以及安装大型通信设备，也是网络管理的核心。子衿公司的设备间子系统设置在公司一楼的楼梯间中，布线方式如图4-7所示。

4.4设备清单
依据4.4综合布线系统的设计主要的设备清单如下：
表4-1设备清单
序号设备名称品牌单位单价/元数量
1 信息插座（4口）西蒙个 189 20
2 配线架山泽个 199 6
3 6类双绞线绿联米 7.90 /
4 光纤星遥博米 70 /
5 PVC管槽雄塑米 2 /
6 42U机柜 SDWS 个 1980 1
7 RJ45 山泽 100/盒 60 320
4.5本章小结
本章根据子衿公司的楼层进行综合布线。分析了子衿公司建设时综合布线的目标以及布线的设计图，对公司布线的水平子系统、垂直子系统、管理布线子系统还有设备间子系统和设备清单都进行了详细的概述。

第5章网络实施

本章主要讲述子衿企业网络的配置，出于网络能够进行正常通信以及网络安全的考虑，在各部门划分不同的VLAN，主机自动获取IP地址，交换机配置访问控制列表协议且在防火墙设置安全策略。
5.1 VLAN技术
VLAN（虚拟局域网）技术工作于数据链路层，划分不同的VLAN有助于隔离广播域，同一个VLAN号的节点能够直接通信，但对于不同的VLAN号，需要经过三层才可以互相通信。在子衿企业中，根据不同的部分划分不同的VLAN，以接入层交换机SW1为例划分的VLAN信息如图5-1所示。
在这里插入图片描述

图5-1VLAN划分
具体配置：

sysname sw1//命名
vlan batch 110 120 130//划分VLAN
1.将接入层交换机SW1的接口接入VLAN，其他接入层交换机均以此参考。

interface Ethernet0/0/1 //进入接口
port link-type access //设置链路类型为access
port default vlan 110 //将接口加入vlan110

interface Ethernet0/0/2
port link-type access
port default vlan 130

interface Ethernet0/0/3 //进入与汇聚层交换机的接口
port link-type trunk //设置链路类型为trunk
port trunk allow-pass vlan 110 120 130//将接口加入vlan110、120、130

interface Ethernet0/0/4
port link-type access
port default vlan 120
2.汇聚层交换机的VLAN配置以SW4为例，其他交换机以此参考。
具体配置：

interface Vlanif110//配置vlanif110三层接口
ip address 192.168.1.30 255.255.255.224//设置IP地址，作为终端的网关
5.2 DHCP搭建
在子衿公司设计中，为便于以后网络管理员的工作，对于终端采取动态地址分配IP。使用DHCP技术可以避免人工配置导致的地址冲突，也可以节省网络工作人员的工作量，提高效率。在本次规划中，以核心层交换机SW6为例展开配置，具体操作如下。
具体配置：

dhcp enable//开启DHCP服务

ip pool vlan110//创建并命名地址池
gateway-list 192.168.1.30//设置网关地址
network 192.168.1.0 mask 255.255.255.224//配置地址池段
dns-list 10.0.1.3//设置dns地址
lease day 8 hour 0 minute 0//配置IP地址租期
在汇聚层SW4中开启DHCP中继。

interface Vlanif110
ip address 192.168.1.30 255.255.255.224
dhcp select relay//设置dhcp中继
dhcp relay server-ip 192.168.1.234//设置dhcp服务器地址
5.3 OSPF协议配置
由于不同的部门是不同的VLAN，要进行部门间的通信需配置路由协议才能实现。对此，本次设计选择OSPF协议，能够及时更新路由表。以核心层交换机SW6为例，向其他设备宣告自身网段，达到通信目的。
主要配置

ospf 1 router-id 1.1.1.1
area 0.0.0.0//设置区域号为0
network 192.168.1.234 0.0.0.0 //宣告核心交换机自身网络
network 192.168.1.242 0.0.0.0//宣告核心交换机自身网络
network 192.168.1.249 0.0.0.0//宣告核心交换机自身网络
network 192.168.1.226 0.0.0.0//宣告核心交换机自身网络
network 10.0.1.1 0.0.0.0//宣告与核心交换机相连的服务器网段
network 10.0.2.1 0.0.0.0
5.4搭建服务器
5.4.1 Web搭建
设置web服务器的IP地址及子网掩码等。
在这里插入图片描述

图5-2Web搭建信息
开启80端口并设置Web访问的目录，如图5-3所示。
在这里插入图片描述

图5-3启动web服务器

5.5 NAT技术
由于公有IP地址比较稀缺，对于公司来说，要将私网地址转化为公网地址才可以进行上网。但不可能每个人都有一个公网地址，对此在防火墙上配置NAT（网络地址转换）技术，具体设置如下所示。

nat-policy interzone trust untrust outbound//配置nat
policy 0
action source-nat//指定源路由
policy source 192.168.1.0 mask 27//添加需转化私网
policy source 192.168.1.32 mask 27
policy source 192.168.1.64 mask 27
policy source 192.168.1.96 mask 27
policy source 192.168.1.128 mask 27
policy source 192.168.1.160 mask 27
policy source 192.168.1.192 mask 27
easy-ip GigabitEthernet0/0/2
5.6 ACL技术
财务部对于公司来说是一个机密程度较高的部门，因此公司规定其他部门不能访问财务部。在核心层上设置ACL，具体配置如下。

acl number 3000 //创建访问控制表
rule 5 deny ip destination 192.168.1.192 0.0.0.31

interface GigabitEthernet0/0/1
port link-type access
port default vlan 46
traffic-filter inbound acl 3000 //应用于接口
5.7防火墙安全策略
防火墙是整个网络流量进出的监视着，为此先划分安全区域、安全中等区域以及不安全区域。在本次子衿公司网络规划中将外网划分为不安全区域，安全等级为5；服务器群和内部局域网划分到安全区域，安全等级为85。不同区域内要想顺利进行通信必须配置安全策略。
主要配置：

firewall zone trust//将内部局域网划分到安全区
 set priority 85
add interface GigabitEthernet0/0/1
#
firewall zone untrust//将外网划分到非安全区
 set priority 5
 add interface GigabitEthernet0/0/2 
#
policy interzone trust untrust outbound
 policy 0
  action permit//允许trust访问untrust
#
policy interzone trust dmz outbound
 policy 1
  action permit//允许trust访问dmz的服务器
  policy service service-set dns
  policy service service-set http
  policy service service-set ftp

5.8 VPN（虚拟专用网）技术
VPN即虚拟专用网，在公网上架设一条专用网络。[13]由于公司业务的需求在其他地方开设了分公司，分公司要访问总公司内部的数据，公司出于安全考虑决定在总公司和分公司之间利用VPN技术架设一条专用通道。有了这条专用通道分公司可以安全的访问总公司内网资源，公司的VPN网络拓扑如图5-8所示。
在这里插入图片描述

图5-8 VPN示意图
主要配置如下：
在总公司的路由器上配置：

bgp 200//配置边界网关协议
 peer 3.3.3.3 as-number 200 
 peer 3.3.3.3 connect-interface LoopBack0
 #
 ipv4-family unicast
  undo synchronization
  peer 3.3.3.3 enable
 # 
 ipv4-family vpnv4 
  policy vpn-target
  peer 3.3.3.3 enable
 #
 ipv4-family vpn-instance VPN1 
  peer 20.1.23.2 as-number 100 
#
ip vpn-instance VPN1//声明实例VPN1
 ipv4-family
  route-distinguisher 1:1//指定RD属性为1:1
  vpn-target 1:2 export-extcommunity//指定export属性
  vpn-target 2:1 import-extcommunity//指定import属性
#
mpls lsr-id 1.1.1.1
mpls
#
mpls ldp
#
interface GigabitEthernet0/0/0
 ip binding vpn-instance VPN1//在接口绑定VPN
 ip address 20.1.23.3 255.255.255.0
#
interface GigabitEthernet0/0/1//在接口使用mpls ldp
 ip address 20.1.34.3 255.255.255.0 
 mpls
 mpls ldp

在分公司的路由器配置与总公司的类似。
5.9本章小结
本章主要介绍了建设子衿公司网络的实施，通过划分不同VLAN，配置DHCP技术、OSPF动态路由协议，搭建FTP等服务器群以及运用NAT技术使内网顺利访问外网，配置ACL访问控制列表，在防火墙划分安全区域提高整个网络安全稳定性。

第6章网络测试

6.1 DHCP测试
以市场部主机为例如图6-1所示，自动获取IP地址。
在这里插入图片描述

图6-1市场部主机设置DHCP
由命令ipconfig获取IP地址，由图6-2可见自动获取IP地址成功。
在这里插入图片描述

图6-2市场部获取IP地址
6.2 VLAN间测试
使市场部与行政部进行连接，查看不同VLAN号的主机连通性，行政部主机号为192.168.1.157如图6-3所示；测试结果如图6-4所示。
在这里插入图片描述

图6-3行政部IP地址
在这里插入图片描述

图6-4 ping行政部测试结果
6.3 ACL策略测试
定义的ACL策略是财务部不能被其他部分访问，现用市场部主机访问财务部主机测试ACL策略，财务部主机的IP地址如图6-5所示。
在这里插入图片描述

图6-5其他部门不能ping通财务部
6.4 服务器群测试
6.4.1 测试Web服务器
用公司内网的客户端去访问公司的Web服务器，测试结果如图6-6所示，测试成功。

图6-6访问Web服务器
在这里插入图片描述

6.7本章小结
本章是对子衿公司网络设计中的网络设备做的连通测试，实验结果显示，子衿公司网络设计方案可实现，保证了公司内部网络的正常工作。

第7章总结

本次子衿企业的网络规划与设计中，主要分成五大部分，第一部分是对公司的背景、公司建设网络的需求进行简单概述，第二部分是建设子衿企业的具体的需求，包括安全性需求，管理需求，规划需求以及建设公司内网的规则进行详细描述，第三部分是讲述的是在网络的建设主干网采用三层结构，运用这个网络结构的便利以及网络实现带来的稳定性。第四部分主要讲述了在内部网络建设中使用到的技术，如VLAN技术、OSPF协议、DHCP服务等，完善整个网络。最后一部分是网络实现需要综合布线，通过对子衿公司的实地考究来分析水平布线子系统、垂直布线子系统以及工作区子系统等的布线情况。
本次公司内部网络的设计，将大学这几年的所学运用其中。当然此次设计还存在着一些不足，比如服务器的性能不是特别好，很容易被一些不法分子攻击网页，后期会对网页进行全面的升级，以便保护公司的财产。不过，新网络的建成会为公司带来更多的收益和发展。