PAGE 基于eNSP软件的安徽省滁州市润达科技网络架构设计 摘要：面对日新月异增长的网络需求，许多大中型企业及他们工作的园区所使用的网络急需升级，老旧的普通路由器和交换机已经不能满足企业级的网络需求。同时，如何进行园区网络的规划也成为了一个重要的问题。如何在尽量控制成本的情况下，更好地实现企业的网络需求，成为了网络工程师在设计园区网络时重点关注的问题。 本设计为基于华为eNSP软件的网络设计，设计面向单位为安徽省滁州市润达科技。该公司拥有手机、电脑、打印机等设备数百台，设计中共使用了7台华为AR2220型号的企业级路由器和5台华为S3700型号的企业级交换机。根据公司的具体需求，设计实现了滁州总部的市场部、研发部、销售部之间的互相通信；滁州总部的研发部与南京分部的市场部、销售部之间的正常通信；滁州总部的核心网侧架设一台路由器作为数据中心存储公司的核心数据；滁州总部的研发部能够访问和调用核心数据，并通过另一台AAA认证服务器对所有访问进行记录和账号密码的验证，其他部门的设备均无法访问核心数据库。设计中涉及到的所有接入网络的设备，均使用DHCP协议进行IP地址的自动分配。 关键词： eNSP；链路状态协议；路由策略；DHCP协议 Design of Network Architecture of Runda Technology in Chuzhou Anhui Based on eNSP Software Abstract：In the face of ever-changing network demand, many large and medium-sized enterprises and the networks that they work in are urgently needed to upgrade. Old common routers and switches can no longer meet enterprise-level network needs. Besides, how to plan the campus network has become an important issue. How to better realize the network requirements that enterprises want to achieve under the condition of controlling costs as much as possible has become a key concern for network engineers when designing campus networks. This design is based on the network design of Huawei eNSP software, designed for the unit of Runda Technology in Chuzhou, Anhui Province. The company has hundreds of mobile phones, computers, printers and other devices. In the design, 7 Huawei AR2220 enterprise routers and 5 Huawei S3700 enterprise switches are used.According to the companys specific needs, This design realizes the communication between the marketing department, RD department and sales department of Chuzhou headquarters; the normal communication between the RD department of the Chuzhou headquarters and the marketing department and sales department of the Nanjing branch; A router is set up on the core network as the core data of the data center storage company; the RD department of the Chuzhou headquarters can access and call the core data, Logging and account password verification for all access via another AAA authentication server to realise. Devices in other departments cannot access the core database. All devices connected to the network involved in the design use the DHCP protocol to automatically assign IP addresses. Keywords：eNSP, Link state protocol, Routing strategy, DHCP protocol 目录 TOC \o 1-3 \h \z \u 第1章 绪论 1 1.1国内外网络规划及仿线 华为eNSP仿线章 相关技术及协议介绍 4 2.1 OSPF链路状态协议 4 2.1.1 OSPF协议的特性 4 2.1.2 OSPF协议的基本原理 5 2.2 DHCP动态主机配置协议 6 2.3 AAA认证 7 2.4 VLAN技术 8 第3章 企业网络需求分析和设备选取 10 3.1 网络设计的企业需求分析 10 3.1.1 可用性 10 3.1.2 可扩展性 11 3.1.3 网络性能 12 3.1.4 安全性和可管理性 12 3.2 路由器和交换机的设备选型 13 3.2.1路由器的设备介绍及选取 13 3.2.2交换机的设备介绍及选取 14 3.3 企业网络设计 15 3.3.1 网络设计的内容 15 3.3.2 网络设计的三层拓扑结构 16 第4章 系统仿线 4.1.2 链路状态协议部署 19 4.2 DHCP协议和AAA认证的配置 23 4.2.1 DHCP协议配置 23 4.2.2 AAA认证配置 24 4.3 配置各部门交换机 25 4.4 部署路由策略 27 第5章 总结 29 致谢 30 参考文献 31 附录 32 PAGE 32 共 32 页 第 页 第1章 绪论 随着互联网的发展与繁荣，大中型企业的园区网络规模也不断增大，企业网络规划也逐渐被人们所重视。本章主要对于网络规划环境现状、本次设计的内容以及使用的仿真软件进行简单的介绍。 1.1国内外网络规划及仿真环境现状 在信息化社会的今天，企业信息化成为了各大企业的一个重要资源。互联网企业的核心竞争力由传统的人力物力转为对信息化市场的洞察力，这就要求企业能够尽可能快的对于市场变化做出响应，反应在信息市场上则是对于企业网络的高标准、严要求。网络搭建的设备成本和人力成本越来越高，企业搭建网络时也越来越谨慎。面对高昂的网络搭建设备成本，在设计中使用相关网络仿真软件预先进行模拟设计变得极为重要。 在国外，网络发展较国内更早，早在2010年前后，美国的思科公司就已经成为企业级网络相关技术及设备的行业领军者。设备方面，思科公司推出的2900系列和3900系列路由器在全球拥有着极大的市场，销量排名前列。软件方面，与思科公司路由器和交换机配套的Cisco Packet Tracer仿真平台一家独大，成为全球运用最为广泛的仿线年斯诺登“棱镜门”事件后，尤其是2017年至今，网络安全问题在国内各行业中都引起了广泛的关注。在国家信息安全相关政策的影响下，网络实验设备国产化势在必行。 面对这样的需求，华为公司迅速推出了eNSP软件，与其生产的国产企业级路由器相配对。华为的eNSP软件提供了一个良好的解决方案，不仅能够模拟出企业的所有网络需求，还能够根据实际情况予以调整，力争以最小的成本实现最大的功能需要。同时，华为还仿照思科公司推出的CISCO认证，创立了国内第一个网络安全技术认证，即华为认证。华为公司推出的一系列硬件及其配套仿真软件以其图形化的界面和配置的简洁性，迅速在国际市场上取得了较高的认可度。 1.2本次设计研究内容 本次设计为基于eNSP软件的安徽省滁州市润达科技网络设计，本人在阅读了大量企业网设计与规划方面的资料与文献后，独自进行本次润达科技的网络设计，并将结果通过仿真软件拓扑图的方式展现给润达科技，该企业最终决定是否参考本次仿真进行真正的网络设计。本次仿真设计共分为需求分析、拓扑搭建、设备配置、功能测试四个阶段。在需求分析阶段，主要是与企业相关网络管理人员进行沟通，了解企业的全部网络需求以及额外需要实现的相关功能。在拓扑搭建和设备配置阶段，主要是针对企业需求进行相关拓扑图的构建以及在构建完成后对所有路由器和交换机进行相应的配置。而功能测试阶段则是对于拓扑图网络连通性的详细测试，以此来证明是否实现了企业的相关需求。 1.3 研究意义 网络设计人员通常有能力创建出一个符合要求的企业网络，但当问题出现的时候，他们却不能采用构建网络时的思维来解决这些问题。每一次对网络的升级、打补丁以及修改都会进一步增加网络的复杂性。这些问题可能导致网络难以被人理解，也不易于故障排除。随着时间的推移，可能导致网络不如预期的那样运行良好，随着网络规模的不断增长而不能很好的扩展，并且不能达到客户的需求。 使用仿真软件构建网络，能够模拟网络在真实搭建后可能遇到的许多问题，如：网络在遇到自然灾害时的应变能力；网络在需要扩建时的可扩展性等。在网络设计时，预先使用仿真软件进行模拟搭建，能够很好地避免许多企业级网络在投入使用时可能产生的故障。 1.4 华为eNSP仿真软件介绍 与思科公司推出的针对其企业级路由器、交换机的仿真软件Packet Tracer类似，华为近年来推出的eNSP仿真软件，能够较为完整地还原真实华为企业级路由器的配置、连接等，同时支持大型企业网络的模拟化。eNSP基本界面如图1.1所示。 图1.1 eNSP基本界面 在eNSP的仿真软件的支持下，辅以OSPF链路状态协议、DHCP协议、VLAN技术等，使用尽量少的路由器、交换机等构建出符合企业需要的网络拓扑图，并将所有设备配置完成、进行相关需求的检验，即完成了网络的架构，典型拓扑图如图1.2所示。 图1.2 搭建好的拓扑图例 第2章 相关技术及协议介绍 网络的构建离不开网络协议与相关技术。没有网络协议的支撑，设备之间就无法实现正常通信。本章介绍了OSPF链路状态协议等几种当前主流的网络协议和技术。 2.1 OSPF链路状态协议 路由器作为网络层设备，其基本作用就是隔离广播域且成为不同广播域各自局域网的网关，如果把企业中的每一个部门都作为一个独立的局域网，那么只有通过各自局域网网关的路由器才能实现不同部门之间的通信。路由器和路由器之间会运行路由协议来学习彼此的网络，从而达到网络的互通。常见的路由协议有很多种，可以从如下几个方面对其进行分类，最常用的一种分类方式是按照其使用的算法分为两种协议，分别是矢量型和链路状态型。需要注意的是，矢量型路由协议由于其不与当前网络链路状态有关，而是基于固定的矢量算法，故并不是较为稳定的算法类型，因而常常采用链路状态型路由协议，如OSPF。而基于矢量算法的RIP协议则很少被使用。究其原因，主要是矢量算法消耗大量的计算资源，导致RIP协议最大转发跳数只能达到十五跳，具有极大的局限性。第二种分类方法则是基于路由范围分为内部和外部两种网络协议，内部网关协议统称为IGP，而EGP则是所有外部网关协议的总称。顾名思义，内部网关协议IGP就是指只作用于单个自治区域的路由协议，第一种分类方式中提到的RIP协议和OSPF路由协议都是一种内部网关路由协议。最后一种分类方法是按照路由的产生方式不同分为直连、静态、动态三种路由。在eNSP仿真软件中设置的相连的两台路由器能够在路由表中发现彼此的直连路由，而由使用者通过命令行配置的路由则属于静态路由，动态路由则是指路由器运行了诸如RIP、OSPF、BGP等路由协议后，自主学习到的路由。 2.1.1 OSPF协议的特性 OSPF协议作为当前主流的网络协议之一，具有以下几点重要特性： （1）OSPF协议作为现在使用最为频繁同时也较为好用的链路状态路由协议，相比于RIP协议需要管理者自主开启诸如“毒性反转”、“水平分割”、“触发更新”等措施来避免路由环路的产生，OSPF协议本身具备的无环路路由使其具有很大的使用价值。我们常常能在中小型企业甚至于大型企业的网络设计中看到OSPF协议的广泛使用，就是因为它具有的无环路特性。 （2）OSPF协议另一个使用优势则在于其使用的网络范围较大，可以解决企业网络扩容的难题。随着企业网络需求的增加，企业网络上配置的路由器数量也越来越多，相应地就会带来网络流量的增长甚至于产生网络拥塞等情况，OSPF协议划分区域的特性较好地解决了这个问题。在一个自治系统中运行OSPF时，管理者可以自主选择将当前自治系统划分为多个子区域，并规定每个子区域的范围。OSPF协议同时还能兼容诸如MPLS协议等其他协议共同运行，进一步扩大了其覆盖的网络范围。 （3）OSPF还能提供认证功能，企业内网之间通信的安全性也得到了保证。基于以上特性，在本次设计中，选用了OSPF链路状态协议作为企业内网之间互通的网络协议。 2.1.2 OSPF协议的基本原理 OSPF是一种运行在IP协议之上，使用89号IP协议号的链路状态路由协议。当OSPF协议在网络中完整建立后，每一台运行此协议的路由器都会对于整张网络拓扑具有完整的感知，反映在路由表中则是拥有不直连的其余路由器的优先级较高的路由条目，也是因为OSPF这种运行方式，使得每台路由器在转发包时都能够迅速地计算出前往目标路由器的最短路径。OSPF协议收敛的第一步也是最重要的一步就是LSA泛洪。LSA泛洪即为路由器之间互相发送LSA报文，LSA中包括了发送端路由器接口的IP地址、子网掩码、网络类型、开销等信息。而接收端的路由器收到LSA的相关信息之后就能够将其中自己尚未获取的部分信息添加到链路状态数据库（LSDB）中，并加以计算，得出相关的路由最短路径。最后将由最短路径得出的去往目的网络的最优路由添加至IP路由表中。 OSPF拥有五种报文，分别为Hello、DD、LSR、LSU和LSACK。两台路由器只有建立了邻接关系，才能互相传递数据。换言之，OSPF的五种报文帮助两台互不相干的路由器发现彼此在网络上的位置、建立正常的数据交换关系以及帮助彼此发现更多的相关路由器。具体流程如下： （1）配置了OSPF协议的路由器会定时且自动向外发送Hello报文，以“打招呼”的方式在网络中发现自己的邻居。网络中的其他路由器在收到该台路由器发送的Hello报文后，会读取并检查报文中的相关参数，如果参数一致，两台路由器之间就会建立邻居关系。 （2）建立邻居后，两台路由器通过发送DD报文来确立二者中哪一台是主路由器，同时在确立主从关系的过程中交换彼此的LSDB摘要信息。 （3）通过发送DD报文，两台路由器中LSDB信息较少的一台路由器（假设为A）向对方（假设为B）发送LSR报文，请求路由器B将它的LSDB中自己没有的信息发送给自己。 （4）路由器B向路由器A发送LSU报文，报文中包含了路由器A的LSDB中没有的信息，路由器A收到此报文，将自己的LSDB数据库更新 （5）路由器A向路由器B发送LSACK报文，说明自己收到了B发来的LSU报文。自此，两台路由器建立了完整的邻接关系。 OSPF协议为了解决网络中链路状态信息以及路由信息交换次数多的问题，推出了DR和BDR机制。简而言之，如果把OSPF协议中所有路由器看作一个班级，路由器之间的链路状态同步看作学生的作业传送，则DR和BDR两台路由器就是班级里的班长和副班长。班级同学之间的通信就简化为，同学之间不互相通信，而将所有作业交给班长和副班长，由他们进行下发。因此，非DR或BDR的路由器就不需要彼此间进行复杂的邻接关系建立，而通过和班长、副班长之间建立邻接关系同步LSDB链路状态数据库，就能使该台路由器了解完整的网络状态。 2.2 DHCP动态主机配置协议 在企业网络的设计中，要为每一台可能连入网络的电脑、打印机、手机等终端设备配置独立不重复的IP地址以及其他参数，使这些终端能够正常的接入网络。在设计小型网络时，其终端设备数目较少，由管理员手动配置IP地址即可解决。而在大型网络中，接入网络的设备动辄成百上千台，若是采用管理员手动给每一台设备配置IP地址，不仅对于网络的管理者来说是一项复杂的工作，同时也很容易因人为操作失误将不同的终端设备配置相同的IP地址，影响设备的正常接入。 DHCP协议可以自动为所有接入网络的设备分配IP地址，很好地解决了这个问题。同时，DHCP协议还方便了网络管理者更好地获取当前网络的相关信息，管理者可以通过DHCP协议查询和验证所有设备的网络参数，而不需要手动依次检查每台设备。DHCP协议在分配IP地址时不会将同一个IP地址分配给两台不同的设备，从而保证了每台设备都能够正常的接入网络。 DHCP协议在运行中共生成以下六种报文，分别为DHCP OFFER、DHCP REQUEST、DHCP ACK、DHCP NAK、DHCP DISCOVER和DHCP RELEASE。DHCP协议具体的交互过程如下： （1）发现阶段：设备作为DHCP客户端，在首次接入网络时会自动向网络内广播发送DHCP DISCOVER报文，以此来寻找网络中的DHCP服务器。 （2）提供阶段：在网络中作为DHCP服务器的所有设备收到客户端发送的DISCOVER报文后，都会从自己的DHCP地址池选择一个空闲的IP地址，将相关信息加入DHCP OFFER报文中发送给目标DHCP客户端。 （3）请求阶段：DHCP客户端在收到来自网络中诸多DHCP服务器发送的DHCP OFFER报文后，通常情况会接受它第一个收到的DHCP OFFER信息（假设来自DHCP服务器A），并向整个网络中广播发送一个带有服务器A标识的DHCP REQUEST报文。 服务器A收到该DHCP REQUEST报文后会进入下一阶段，其他未被采用的服务器则将自己在提供阶段选择的空闲IP地址重新放回地址池中。 （4）确认阶段：在服务器A进入确认阶段后，会向DHCP客户端发送一个DHCP ACK报文以用来确认本次地址租借。然而，由于种种原因（如同时有两台设备请求IP地址，已将IP地址分配给其中另一台设备），地址租借可能会失败，此时服务器A则不会发送DHCP ACK报文，转而发送DHCP NAK报文给客户端，即代表着本次地址租借失败了，需要客户端从发现阶段重新开始IP地址的申请。 （5）租借阶段：如果把DHCP协议的网络地址租借比作租房，作为房东的DHCP服务器在确认阶段结束后，会规定本次租借的租期，默认为1天。而作为租客的DHCP客户端则会在租期到达50%时以单播的形式向房东DHCP服务器发送DHCP REQUEST报文请求续租，此时若DHCP服务器收到了该报文，则会回复DHCP ACK报文给租客，表示同意本次IP地址的续租。租客收到该DHCP ACK报文后会将自己的租借时间清零，重新开始计算租借时间。反之，如果作为房东的DHCP服务器没有收到租客发来的REQUEST报文，则租客会在租期到达87.5%的时候以广播的形式重新发送DHCP REQUEST报文给房东，请求续租。此时DHCP服务器若收到了此条REQUEST报文，同样会回复DHCP ACK报文同意续租，租客将租借时间清零。如果直到租期结束，DHCP客户端都没有收到来自DHCP服务器的回复报文，则客户端会认为该DHCP服务器已经不存在了，此时客户端会立即停止使用之前租借的IP地址，并向网络中广播发送DHCP RELEASE报文，然后回到DHCP的发现阶段重新申请一个IP地址。 2.3 AAA认证 AAA认证是企业网络管理中极为重要的一个技术，“AAA”为认证（Authentication）、授权（Authorization）、计费（Accounting）三个词的首字母。AAA认证本质上并不是一种协议，但它的认证、授权、计费功能可以通过其他协议来实现，如RADIUS协议或HWTACACS协议等。 AAA认证常常应用于企业网络设备的管理以及网咖的网络管理系统，一般部署在企业的核心路由器上，它能够提供的主要服务如下： （1）控制访问该台路由器并查看相应资源的用户数量，给每个用户设定独立的账户密码。 （2）对每个访问用户设定不同的权限级别，并实时监控每个访问用户使用资源的情况。 （3）将路由器上的资源以权限等级进行划分，权限等级较低的用户将无法访问高等级的资源。 AAA服务器是指远端部署了RADIUS协议的服务器，AAA认证能够提供的功能主要都由该台服务器来实现。AAA服务器负责指定相应的授权方案，将相应的方案发送给企业的核心路由器，在员工想要访问该台核心路由器时，会收到来自RADIUS服务器的认证要求，只有输入了经过授权的账号密码，才能访问核心路由器。同时，根据策略制定的不同，RADIUS服务器还可能具有监控员工访问记录、对员工本次访问的计费等功能。 在认证方面，AAA支持不认证、本地认证、远端认证三种认证方式。不认证即对于所有访问用户都不进行身份的合法性认证，这种方式是极其危险的，很容易使企业的核心数据遭受偷窃，甚至会影响企业核心路由器的正常运作，因而一般不采用。而本地认证和远端认证的区别则在于验证的地点不同：本地认证要求企业核心路由器记录所有认证用户，在员工访问时，根据记录的用户进行认证；远端认证则将所有认证用户的账号密码信息保存在AAA服务器上，在员工访问核心路由器时，由AAA服务器来对员工访问的合法性进行检验。不难看出，本地认证因在核心路由器认证，故具有速度快的优点。而远端认证则因为它将相关用户信息保存在AAA服务器上，所以能够减轻核心路由器的运行负担。如果在使用AAA认证时同时配置了远端认证和本地认证，则优先以先配置的认证方法进行认证，若认证时服务器无响应，再进行另一种认证。 在授权方面，AAA同样支持不授权、本次授权和远端授权三种方式，三种授权方式的特性和三种认证方式是相同的，故不再赘述。 计费策略则与以上两种不同，仅支持不计费和远端计费两种方式。不计费即对任何访问都不收取费用，同时也不产生相应的日志；远端计费则是通过RADIUS服务器对访问者进行计费，产生相应的计费日志。 2.4 VLAN技术 在网络规划中，路由器以其隔离广播域的特性将企业的总网分割成一个个子网，但随着企业网规模的不断增大以及企业级路由器性能的不断增强，仅通过寥寥数台路由器分割整个公司的网络，不能满足企业对于网络细致划分的需要。与此同时，不同广播域之间的冲突也随着设备数量的增多而频发，甚至威胁到企业网络的正常运行。 VLAN技术在路由器隔离广播域的基础上，能够将单个广播域进行进一步的划分，使其在逻辑上被划分为多个广播域。VLAN技术解决了企业网络设计中广播域无法继续划分的问题，使得企业中在同一台路由器下的不同部门之间能够隔离通信，进一步提升了企业网络的安全性和可管理性。 VLAN技术不仅能够实现单个广播域的进一步划分，同时还能对于划分的子区域之间的通信进行不同的设计，如：将企业在同一个广播域下的A、B、C、D四个部门划分为四个独立的VLAN，能够实现A与B、C、D均可通信，但B只能与A通信，无法与C、D通信等功能。 基于VLAN隔离二层通信的特性，VLAN技术的相关配置主要是在交换机上完成的安卓系统VPN的APP，因此工作在数据链路层。VLAN链路共分为两种： （1）Access链路：交换机上直接与主机相连的一端链路即为Access链路，也称为接入链路。一般将每个接入链路划分为一个VLAN区域。交换机在Access链路上的端口被称为Access端口 （2）Trunk链路：交换机与交换机之间相连的链路被称为Trunk链路，或者叫主干链路。主干链路不属于任何一个VLAN区域，仅用作VLAN区域之间的通信。交换机在Trunk链路上的端口就是Trunk端口。 想要实现上文所述的A、B、C、D四个部门之间通信与否的功能，主要在于对Access端口的设定与三层交换的开启。假设A、B、C、D四个部门分别为VLAN10、VLAN20、VLAN30和VLAN40。在开启所有交换机的三层交换功能后，将与A部门相连的Access端口设置为VLAN20、VLAN30和VLAN40来的数据均可以通过，同时B、C、D部门对应的Access端口均允许来自VLAN10的数据通过，即实现了A部门与B、C、D部门之间的通信。同样的，设置C、D部门相应的Access端口不接收来自VLAN20的数据，则B部门与C、D部门之间就实现了通信的隔离。 第3章 企业网络需求分析和设备选取 在企业网络的设计中，首要任务是细致分析目标企业的网络需求，有针对性的进行网络设计。本章从企业需求分析、网络设计的设备选型、企业网络

　　3、成为VIP后，您将拥有八大权益，权益包括：VIP文档下载权益、阅读免打扰、文档格式转换、高级专利检索、专属身份标志、高级客服、多端互通、版权登记。

　　4、VIP文档为合作方或网友上传，每下载1次， 网站将根据用户上传文档的质量评分、类型等，对文档贡献者给予高额补贴、流量扶持。如果你也想贡献VIP文档。上传文档

　　吉林动画学院双阳校区校园建设 之“Magic Cube”国际影视特效学院教学楼设计.doc

　　原创力文档创建于2008年，本站为文档C2C交易模式，即用户上传的文档直接分享给其他用户（可下载、阅读），本站只是中间服务平台，本站所有文档下载所得的收益归上传人所有。原创力文档是网络服务平台方，若您的权利被侵害，请发链接和相关诉求至 电线) ，上传者