企业网络搭建设计实例

孙成卫

摘要：当前网络传输技术的日益进步以及网络设备产品价格的不断下调扩大了企业对信息共享和数据传输的需求，现阶段各个企业都加大企业内部局域网搭建的工作力度，旨在实现现代信息技术对企业发展的促进作用，加快企业现代化发展的进程。关于加快企业信息化发展局域网建设的必然选择，企业局域网这一基础平台的搭建确保了企业现代信息管理、办公自动化和现代化发展等一系列数据处理与应用的有效实现。该文就中小型企业的实际应用需求，探讨了一个典型中小企业网络系统的相关设计，技术配置以及IP地址规划方面的问题。

关键词：中小型企业；局域网；设计

中图分类号：TP393 文献标识码：A 文章编号：1009-3044（2015）03-0055-02

1 企业局域网设计标准

实用性和经济性标准：企业网络系统的搭建应该深入贯彻注重实际应用的原则，努力实现网站建设的经济性和实用性标准。

先进性和成熟性标准：实现一个先进成熟的网络搭建设计，确保若干年后企业网络建设仍保持有先进水平的发展潜力，首先必须要考虑到国内外先进技术理念的分析运用，其次要重视网络系统结构、设备以及工具的更新完善，保证网络搭建设计的设施要求。

可靠性和稳定性标准：

在保证网络技术先进性和经济实用性的前提下，网络运行的稳定可靠性考虑同样不可忽略，通过网络系统管理、传输技术措施、网络设备性能、设备厂商技术支持及维修能力、网络系统结构等方面工作的加强，实现网络搭建最大的平均无故障时间。

安全性和保密性标准：网络规划设计中的安全性和保密性是所有设计工作的重中之重，在保证网络信息资源充分共享的前提下，更要关注信息资源的安全和保密，因此网络搭建设计必须落实好针对不同网络通信应用环境所采取的访问控制协议、系统安全机制、数据存取的权限控制等技术措施的完善工作。

可扩展性和易维护性标准：为了确保网络搭建设计的易维护性和可扩展性，减少人员聘用方面的支出，实现网络搭建的易用性，提高工作效率，要认真考虑使用最少的投资和最简单有效的技术手段完成网络的搭建与规划以适应日新月异的经济发展需要。

2 企业局域网技术的应用

企业网络搭建的经济实用性，先进成熟性，可靠稳定性，安全保密性和可扩展易维护性的实现与企业局域网技术的应用密切相关，网络技术的选取很大程度上决定了企业网络搭建的整体性能。

2.1快速以太网技术

快速以太网技术具有拓扑结构简单灵活，灵活性强，供选择传输介质多样，施工简单方便等优点，这一当前世界应用最广泛的组网技术毋庸置疑成为中小企业组网的第一选择。

2.2 VLAN技术

虚拟局域网（VLAN）技术用于解决交换机以太网的广播风暴，为了减少参与广播风暴的设备数量，达到限制网络广播的目的，可以通过采用把网络进行划分成多个VLAN的办法实现。LAN分段的技术方法可以有效避免广播风暴波及整个网络的情况出现。减少广播流量在VLAN技术手段中的使用主要在于防火墙机制的建立以避免交换网络中广播风暴波的出现。VLAN技术的使用中把用户或交换端口设置在某个特定的VLAN组，通过利用此VLAN组于一个交换网中跨接多个交换机的方式使某个VLAN中的广播保持传送在VLAN之内的状态，而且互相相邻的交换端口也仅能接收到特定VLAN发送出的广播。这种方法不仅实现了广播量的减少，还使用户获得了更多的带宽应用，一举两得。此外，虚拟网络环境的创建也有赖于VLAN技术的运用，企业通过网络虚拟环境的搭建可以有效组合起不同地点不同网络环境的不同用户，这种网络使用方式同样与使用本地LAN时一样灵活有效。在降低管理费用方面，对于一些因业务情况发展经常需要变更或移动工作站地理位置的公司而言，VLAN的使用可以有效降低因变更产生的管理费。

2.3 DHCP

DHCP是Dynamic Host Configuration Protocol的英文缩写，它的中文涵义也叫动态主机配置协议，它是一个利用UDP协议进行工作的局域网网络协议。使用DHCP可以实现默认网关IP地址，IP地址，DNS服务器IP地址，子网掩码及其他IP地址类型信息通过DHCP服务器成功提供DHCP客户端。因此，它毋庸置疑地成为当前提供网络主机IP地址分配的最为广泛应用的方式之一。

DHCP的应用环境一般为大型局域网络环境，它的主要作用与IP地址的集中分配管理密切相关，涉及网络环境中主机动态的Gateway地址、DNS服务器地址、IP地址等信息的获取，旨在实现地址使用率的提高，一般情况下DHCP网络协议主要发挥①为内部网络管理员或用户进行所有计算机的中央管理工作②为网络服务供应商或内部网络进行IP地址的自动分配这两个作用。

2.4 NAT

NAT作为 “Network Address Translation”的英文缩写，中文涵义是“网络地址转换”， NAT用于 IP数据包经过防火墙或路由器时对源IP地址或/和目的IP地址的重写，它的普遍使用环境是有多台主机但只通过一个公有IP地址访问因特网的私有网络环境。NAT作为一个IETF标准，它通过允许一个整体机构以一个公用IP地址形式出现在Internet上，实现了内部私有网络地址（IP地址）转变成合法网络IP地址的翻译。即NAT可以成功实现局域网内部网络中内部节点与外部网络通讯时公用地址对内部地址在网关处的替换。在计算机网络中 ，NAT可以实现只申请一个合法IP地址，就能把整个局域网中计算机接入Internet中，通过多台计算机的Internet共享连接，很好避开了公共IP地址紧缺的麻烦。

2.5 ACL

ACL作为企业内外网络通信的第一道防护关卡，它可以通过网络流量的过滤和访问的控制来对网络设备和服务器的保护产生作用，从而有效确保企业内网的安全。它的英文全称为Access Control Lists，中文涵义是访问控制列表，位于路由器上，本质上是应用于路由器接口的指令列表。ACL指令列表可以通过类似于源地址、端口号、目的地址等特定指示条件来确定告诉路由器哪些数据包应该是被接收还是被拒绝的，如此通过一些安全策略保障非授权用户仅能对特定网络资源进行访问，从而实现对访问的控制。

3 企业网络拓扑结构图设计

企业网络拓扑结构作为整个网络系统创建的基础，网络系统的可靠性，费用支出，技术性能以及运行效率与网络拓扑结构息息相关。因此，企业网络拓扑结构图的设计应该紧密地与介质访问控制，传输介质，网络设备选型及地理环境分布等因素结合起来认真考虑分析。

3.1企业网络拓扑结构设计的原则

中小企业在设计网络拓扑结构的时候，应重点从以下几个方面考虑：经济性、灵活性、扩展性、可靠性、易于管理和维护。拓扑结构的选择很大程度上决定了网络安装和维护的费用。

3.2企业网络的主干网络设计

应根据企业需求分析的地理距离、信息量、数据负载的轻重而确定主干网络技术的选择。

主干网在一般情况下主要用于服务器群和建筑群的连接，作为网络的主通道，主干网具备容纳网络上40%-60%信息流量的能力。光纤通常作为主干网用于连接建筑群的传输介质，ATM、FDDI及千兆以太网是主干网技术的典型代表。结合到中小企业网络拓扑结构的设计原则和中小企业的实际需求，一般千兆以太网的主干网技术使用对于中小企业而言较为理想。

3.3企业网络分布层/接入层设计

企业的外围网采用怎样的扩充互联方法决定了企业网络中分布层的存在与否。一般情况下分布层的增加会提高成本，网络信息流的特点事关企业网络分布层的需要与否以及堆叠或级连分布层方式的采用。级连主要用于全网信息流较平均的环境中，因分布层交换机大都具有组播和初级QoS（服务质量）管理能力，级连适合用于突发重负载（如VOD视频点播）的处理，而堆叠则因具备充足的宽带保证，通常用于本地信息流密集、全局信息负载相对较轻的情况。

3.4企业网络拓扑结构设计图

在准确把握主干网拓扑结构和网络协议的前提下，做好企业网络拓扑结构设计中的分组交换结点位置、结点间传输介质、设备、结点间实现的协议、数据流量和传输速率以及结点数目的确定工作。同时应该认真结合网络管理的实际需要，为达成全网的动态检测和监视，对结点进行符合国际标准要求的网管模块的加载。

4 IP地址规划

由于当前小型企业一般只有一个公用的IP地址，为了达成对外网的访问，可以通过NAT地址转换的使用实现全局地址对内部地址的转换。

网络设备的具体配置

网络核心交换机CORE1配置

CORE1是核心交换机，设置高级密码密码为shiyanmima，

密码一般都需要进行加密处理的步骤，当CORE1核心交换机对VLAN10客户进行DHCP的提供服务时，默认的网关是192.168.1.1。应该为CORE1核心交换机建立一个shiyan的DHCP地址池运用于网段是192.168.10.0/24的 VLAN10网络，VLAN10网络的DNS服务器为192.168.8.10，默认网关是192.168.10.1。

通过把所有VLAN的Root设置为CORE1核心交换机，命令 spanning-tree vlan 1-10 root primary。在保留其他接口默认模式的前提下，使用802.1Q封装，实现端口Fa0/1到Fa0/6转换为trunk端口的设置。在路由器的连接中，采用把FastEthernet0/24接口定义成三层路由接口的方式。在Ether channel 1组中添加GigabitEthernet0/2与GigabitEthernet0/1端口，为使对方接收到LACPDU报文，可以通过使用LACP（Link Aggregation Control Protocol，链路汇聚控制协议）active主动模式实现GigabitEthernet0/2与GigabitEthernet0/1端口主动往对方端口的发送。所有主机的对外访问转发到路由器可以经由静态路由的设置实现。通过访问控制列表的定义，达成只有属于VLAN1主机的IP地址可以经过该访问列表。

配置网络路由器

路由器全局通过AAA服务的启用，进行默认登录组的设置，通过RADIUS，远程用户拨号认证系统的采用，实现端口FastEthernet0/0 IP地址的配置，并使FastEthernet0/0端口设置成NAT转换地址的内部端口。企业为端口Serial0/0/0配置的IP地址是通过企业向ISP申请而来的公用IP地址，所对应的接口配置为与外部网络连接的NAT外部端口，路由器所配置完成的一个 shiyan NAT池，子网掩码为/29，高地址也为66.66.66.66，低地址66.66.66.66，在NAT内部的访问列表为列表10，所映射的对应地址池名称为shiyan ，同时将地址复用利用其中。路由器两条静态路由的配置中，一条是所有未知数据包都经由路由s0/0/0端口发出的，一条则是通往内部网络的。第一条中所有到192.168.0.0的数据包都将往172.16.1.2发送，第二条则用于从s0/0/0端口转发出所有未知数据包。要想实现只允许192.168.1.0网段的用户对其远程登录，则可以通过“只有192.168.1.0/24 网段的用户可以访问”的ACL定义和telnet的控制访问设置实现。

配置网络接入层交换机MGR

access模式作为以太网端口FastEthernet0/1——FastEthernet0/20的配置方式，它在主机的接入中使用，同时，进行Portfast的配置，在这个命令下，使用的条件必须满足端口接的是host。