內蒙古樂派網絡科技有限公司網絡搭建

程鳴洋 廣州大學松田學院 511300

1 VLAN技術

隨著網絡中的計算機的數量越來越多，傳統的以太網絡開始面臨各種的網絡沖突，廣播泛濫以及安全性無法保障等各種問題。

VLAN(Virtual Local Area Network)即虛擬局域網，時間一個物理的局域網在邏輯上劃分成多個廣播域的技術，通過在交換機上配置VLAN，可以實現在同一個VLAN內的用戶可以進行網絡的二層訪問，而不同VLAN的用戶則會被二層隔離這樣既能夠隔離廣播域，又能夠提升網絡的安全性。

1.1 DHCP技術

在大型企業網絡中，會有大量的計算機或設備需要獲取IP地址等網絡參數，如果手工配置，工作量大且不好管理，如果有用戶扇子修改網絡參數，還有可能造成IP地址沖突等問題。使用動態主機配置協議DHCP（Dynamic Host Configuration Protocol）來分配IP地址等網絡參數，可減少管理員的工作量，避免用戶在手動配置IP地址時造成網絡總IP地址的沖突。

1.2 RIP技術

路由信息協議RIP（Routing Information Protocol）的簡稱，它是一種基于距離矢量（Distance-Vector）算法的協議，使用跳數作為度量來衡量到達目的網絡的距離。RIP主要應用于規模較小的網絡中。并且RIP協議可以動態的獲取到其他網段的IP地址，配置簡單。

1.3 IPsec VPN技術

企業對網絡安全性的需求日益提升，而傳統的TCP/IP協議缺乏有效的安全認證和保密機制。IPSec（Internet Protocol Security）作為一種開放標準的安全框架結構，可以用來保證IP數據報文在網絡上傳輸的機密性、完整性和防重放。并且采用VPN虛擬局域網來進行跨區域的實行公司內部網絡。

1.4 RSTP技術

STP協議雖然能夠解決環路問題，但是收斂速度慢，影響了用戶通信質量。如果STP網絡的拓撲結構頻繁變化，網絡也會頻繁失去連通性，從而導致用戶通信頻繁中斷。IEEE于2001年發布的802.1w標準定義了快速生成樹協議RSTP（Rapid Spanning-Tree Protocol），RSTP在STP基礎上進行了改進，實現了網絡拓撲快速收斂。

本次網絡構建是在ensp上面進行的所以采用一臺路由器來模擬模擬公網的環境，ip地址為200.200.200.0/24.具體的在網絡搭建總使用的IP地址如下：

VLAN 10 20 30 40的IP地址分別是192.168.1.0/24，192.168.2.0/24，192.168.3.0/24，10.0.0.0/24.VLAN 10 20 30分別為三個樓層的用戶來提供用于pc接入網絡的IP地址。VLAN 40這個網段是總公司的主要交換網絡接入到防火墻的網段。在這里使用了10.0.0.0/24這整個網段是為了在之后的網絡擴建加入新的設備，以及維護的便捷來提供了足夠的有效IP地址。同時這樣的劃分也提高了網絡的可擴展性。極大的減小了之后對于本網絡維護人員的工作量。

在LSW1上，我們為了使三個VLAN之間可以正常的通信，所以在交換機上配置了三個VLAN的虛擬接口作為網關，使交換網絡可以實現不同的網段三層通信的順暢。網關地址分別為VLAN 10 192.168.1.254/24， VLAN 20 192.168.2.254/24 VLAN 30 192.168.3.254/24，并且為了使內部網絡可以正常的接入到防火墻我們劃分了VLAN 40并將與防火墻相連的端口劃分到這個VLAN里面，具體的地址為10.0.0.1/24.

防火墻FW1中通過10.0.0.2/24與LSW1相連實現內網對公網的訪問。另一個接口200.200.1.2/24為公網地址。防火墻直接連接入公網。并且為了使內網的服務器可以正常的為外網用戶提供服務。三臺服務器的網段為192.168.4.0/24，在防火墻GE0/0/2接口上配置網關192.168.4.254/24.為三臺服務器192.168.4.1/24，192.168.4.2/24，192.168.4.3/24提供路由轉發的功能。

并且在本次實驗中我們采用了一臺路由器來模擬公網的網絡環境我們使用的網段是200.200.1.0/24，100.100.2.0/24。在AR5中我們使用200.200..1.1/24與總部的防火墻相連，采用200.200.2.1/24這個IP與分部的防火墻相連。

在FW2中我們使用192.168.20.254/24來作為分部的網關。并且通過200.200.2.2/24與路由器相連，以實現分部的內網用戶與外網的通信。

1.5 ACL技術

企業網絡中的設備進行通信時，需要保障數據傳輸的安全可靠和網絡的性能穩定。

訪問控制列表ACL（Access Control List）可以定義一系列不同的規則，設備根據這些規則對數據包進行分類，并針對不同類型的報文進行不同的處理，從而可以現對網絡訪問行為的控制、限制網絡流量、提高網絡性能、防止網絡攻擊等等。

2 驗證IPsecVPN協商

當分部的主機訪問總部的服務器的收數據包都是通過ESP加密的。這樣我們就可以得知IPsec的配置生效了。并且在WEB中我們所配置VPN的時候使用防火墻的內部的檢查系統可以得知IPsecVPN協商成功。證明我們的配置是正確的，總部和分部的IPsec 已經成功的協商進行匹配。這樣就保證了網絡通信的安

2.1 驗證服務器訪問控制

在本次架構中，服務器承擔著為公司內部提供有效安全的服務，為外網客戶提供穩定高效的FTP服務以及WEB服務，所以服務器的安全就顯得尤為重要。在內網我們通過ACL來隊服務器的訪問進行控制，對于公網我們通過防火墻的服務器映射來實現公網的用戶訪問服務器，有效的保證了服務器的信息安全。使服務器可以提供有效穩定的服務。

2.2 關于網絡架構的總結

內蒙古了拍科技網絡有限公司的網絡構建充分的考慮到了網絡的安全性，穩定性，健壯性等特點。通過VLAN，IPsecVPN，RIP，DHCP等等網絡技術的運用實現樂公司的內網的訪問控制，與外部的訪問通暢，與分公司的加密訪問，服務器群在公網的映射等等。都充分的體現出了每項技術的特點，并使其結合在一起使用，為用戶提供了安全，效率，可靠的網絡服務。

同時本網絡拓撲清晰，結構明了，便于維護。但是也要求維護工程師對于本網絡總所用到的RIP，DHCP，NAT，IPsec VPN有一定的掌握程度，雖說拓撲結構不復雜但是當出現故障的時候維護工程是應當以最快的速度找到故障點并加以搶修。這就是本次的網絡架構的全部內容。