某公司网络架构规划(ensp)

某企业网络规划与设计摘要：一个科学高效且安全稳定的企业内部网络，能使公司的工作效率大大提高更加科学平稳的进行，同时也降低了企业的运营管理成本。

企业网络的设计使用三层网络架构，利用VLAN技术、DHCP技术等相关网络技术，设计出能够满足负载均衡的核心层，在汇聚层实现网络隔离和网络分段，在接入层实现自动获取IP地址、部门资源共享的功能。

本文主要基于企业网络的规划与设计展开分析，并基于华为eNSP模拟器搭建网络拓扑结构配置相关功能。

关键词：企业网络设计；三层架构；网络安全1引言随着市场经济的可持续发展企业信息量在持续增多企业就需要将计算机的主机和服务器作为其储存信息的基本工具信息流通越来越重要，这也使得企业的内部网络安全性成为焦点[1]。

中小型企业快速发展，企业内部的网络或多或少的因为企业发展而出现问题，现在某企业因为扩张需要搭建新的网络系统，以满足更大规模的企业的工作需要，原来的网络系统的功能、安全性、可靠性和所需要的设备，都需要跟随公司规模扩大和目前工作业务需求去升级和完善，这对于公司的发展更加有利，因此企业网络的搭建、完善和优化是一个需要不断研究的问题。

2需求分析在如今信息高速发展的时代，企业内部需要频繁访问网络获取信息网络堵塞时常发生，网络攻击愈加频繁容易带来网络安全的问题。

人们对于无线网络应用的便捷性有了更高的关注但是却没有重视安全性，但是防护措施的失效，造成的损失将是巨大的[2]，因此企业网络规划设计应该具有安全性、实用性和可靠性偏移，保证企业内部网络平稳运行。

除此之外还需要满足一下需求：（1）员工能够访问网络，部门间能够进行信息交换。

（2）内网的主机能够访问外网，但外网主机无法访问内网。

（3）增加无线节点，确保公司内各部门无线网络全覆盖。

（4）搭建FTP服务器为员工提供上传下载服务。

搭建Web服务器提供网页服务。

（5）总公司主机能够与分公司主机进行信息交换，并保证信息传输的安全性。

3企业网络设计与实现3.1网络地址设计按照企业部门进行网络地址划分。

某公司网络架构规划1. 引言网络架构是指企业或组织在建设和布置计算机网络时所采用的体系结构和原则。

一个良好的网络架构规划能够支持企业的业务需求并确保网络的稳定性和安全性。

本文将介绍某公司的网络架构规划方案。

2. 网络拓扑在某公司的网络架构规划中，我们采用了三层架构的网络拓扑。

该拓扑结构包括核心层、分布层和接入层。

2.1 核心层核心层是整个网络的中枢，负责承载网络的核心功能和数据交换。

在核心层，我们将使用高性能的交换机，以满足高带宽、低延迟的需求。

此外，我们还会设置冗余连接和热备份设备，以确保网络的高可用性。

2.2 分布层分布层位于核心层和接入层之间，主要负责将核心层的交换机连接到接入层的交换机。

分布层还承担着一些网络服务和安全功能，如路由功能、防火墙等。

为了提高网络的性能和可用性，我们也会采用冗余的分布层设备。

2.3 接入层接入层是网络的最外层，直接连接到终端设备。

在接入层，我们将设置多个交换机，以提供足够的接口和带宽给终端设备使用。

接入层交换机还会支持VLAN 划分和802.1X认证等功能，以加强网络的安全性和管理能力。

3. 网络安全网络安全是企业网络架构规划中的重要考虑因素。

某公司的网络架构规划中，我们将采取以下措施来确保网络的安全性：3.1 防火墙在分布层和接入层都会设置防火墙，以过滤和阻止不安全的访问和流量。

防火墙将根据企业的安全策略来配置，实现对网络的访问控制和安全防护。

3.2 VPN为了保护企业对外连接的安全性，我们会设置VPN（虚拟专用网络）来加密和隧道化网络传输。

VPN可以提供安全的远程访问和跨地域连接。

3.3 IDS/IPS我们还会部署入侵检测系统（IDS）和入侵防御系统（IPS），以及时发现和防御网络攻击。

这些系统将会定期更新和维护，以应对不断演进的威胁。

4. 网络设备和设备管理某公司的网络架构规划中也需要考虑网络设备的选择和设备管理的方案。

4.1 网络设备在某公司的网络架构中，我们将使用可靠性高、性能强的网络设备。

⽤ensp模拟组建企业⽹络步骤⼀：配置vlan1.选⽤5台pc机模拟服务器集群，在此基础上选⽤5台s3700交换机，启动。

2.⽤vlan对不同的pc进⾏划分，进⼊交换机机命令⾏，先关闭⽇志提⽰，再依次对每台交换机都创建vlan10、vlan20、vlan30、vlan403.为了⽅便操作⽤sysname 把每台交换机由左到右改设备名为sw1、sw2、sw3、sw4步骤⼆：把终端加⼊对应的vlan[sw1]in e0/0/1[sw1-Ethernet0/0/1]port link-type access //配置为接⼊链路[sw1-Ethernet0/0/1]port default vlan 10 //将1⼝加⼊vlan10[sw2]in e0/0/1[sw2-Ethernet0/0/1]port link-type access[sw2-Ethernet0/0/1]port default vlan 20 //将1⼝加⼊vlan20[sw3]in e0/0/1[sw3-Ethernet0/0/1]port link-type access[sw3-Ethernet0/0/1]port default vlan 30 //将1⼝加⼊vlan30[sw4]in e0/0/1[sw4-Ethernet0/0/1]port link-type access[sw4-Ethernet0/0/1]port default vlan 40 //将1⼝加⼊vlan40[sw4-Ethernet0/0/1]in e0/0/2[sw4-Ethernet0/0/2]port link-type access[sw4-Ethernet0/0/2]port default vlan 40 //将2⼝也加⼊vlan40（可⽤display vlan 进⾏查看是否将对应的端⼝都加⼊相应的vlan中，如果配置错误可⽤clear configuration 端⼝号，然后进⼊其端⼝⽤undo shudown重启端⼝）2.对所有的交换机的gbit0/0/1 0/0/2⼝配置中继链路[sw1-Ethernet0/0/1]in g0/0/1 //常规⼿段⼀个⼀个接⼝配置[sw1-GigabitEthernet0/0/1]port link-type trunk //配置中继链路[sw1-GigabitEthernet0/0/1]port trunk allow-pass vlan all //放⾏所有[sw1-GigabitEthernet0/0/1]in g0/0/2[sw1-GigabitEthernet0/0/2]port link-type trunk[sw1-GigabitEthernet0/0/2]port trunk allow-pass vlan all[sw2]port-group 1 //或者使⽤接⼝组，创建1号接⼝组[sw2-port-group-1]group-member GigabitEthernet 0/0/1GigabitEthernet 0/0/2 //加成员是g1⼝与g2⼝[sw2-port-group-1]port link-type trunk //也同样配置为中继链路[sw2-port-group-1]port trunk allow-pass vlan all //放⾏所有[sw3]port-group 1[sw3-port-group-1]group-member GigabitEthernet 0/0/1 GigabitEthernet 0/0/2[sw3-port-group-1]port link-type trunk[sw3-port-group-1]port trunk allow-pass vlan all[sw4]port-group 1[sw4-port-group-1]group-member GigabitEthernet 0/0/1 GigabitEthernet 0/0/2[sw4-port-group-1]port link-type trunk[sw4-port-group-1]port trunk allow-pass vlan all步骤三：添加两台s5700交换机，分别修改名称为sw5与sw61，[Huawei]sysname sw5 //分别修改主机名[sw5]undo info-center enable //关闭⽇志2，[sw5]vlan batch 10 20 30 40 //批量创建4个vlan[sw6]vlan batch 10 20 30 40步骤四：为两台s5700连接了s3700的接⼝配置中继链路，1，配置两台s5700的中继链路[sw5]port-group 1 //由于需要配置g1~g4⼝，这⾥使⽤接⼝组[sw5-port-group-1]group-member GigabitEthernet 0/0/1 to GigabitEthernet 0/0/4 //加g1~g4接⼝[sw5-port-group-1]port link-type trunk //配置为中继链路[sw5-port-group-1]port trunk allow-pass vlan all //放⾏所有[sw6]port-group 1 //另外⼀台也是相同配置[sw6-port-group-1]group-member GigabitEthernet 0/0/1 to GigabitEthernet 0/0/4[sw6-port-group-1]port link-type trunk[sw6-port-group-1]port trunk allow-pass vlan all2，将每台s5700的5⼝和6⼝捆绑成链路聚合，并配置中继链路[sw5]interface Eth-Trunk 1 //创建(进⼊)链路聚合接⼝[sw5-Eth-Trunk1]trunkport GigabitEthernet 0/0/5 0/0/6 //捆绑5⼝与6⼝[sw5-Eth-Trunk1]port link-type trunk //配置成中继链路[sw5-Eth-Trunk1]port trunk allow-pass vlan all //放⾏所有[sw6]interface Eth-Trunk 1 //sw6的配置⼀样[sw6-Eth-Trunk1]trunkport GigabitEthernet 0/0/5 0/0/6 [sw6-Eth-Trunk1]port link-type trunk[sw6-Eth-Trunk1]port trunk allow-pass vlan all步骤五：为s5700配置ip地址Sw5Vlan10 192.168.10.252Vlan20 192.168.20.252Vlan30 192.168.30.252Vlan40 192.168.40.252Sw6Vlan10 192.168.10.253Vlan20 192.168.20.253Vlan30 192.168.30.253Vlan40 192.168.40.2531，s5700的vlan配置不同ip[sw5]in vlan 10[sw5-Vlanif10]ip add 192.168.10.252 24[sw5-Vlanif10]in vlan 20[sw5-Vlanif20]ip add 192.168.20.252 24[sw5-Vlanif20]in vlan 30[sw5-Vlanif30]ip add 192.168.30.252 24[sw5-Vlanif30]in vlan 40[sw5-Vlanif40]ip add 192.168.40.252 24[sw6]in vlan 10[sw6-Vlanif10]ip add 192.168.10.253 24[sw6-Vlanif10]in vlan 20[sw6-Vlanif20]ip add 192.168.20.253 24[sw6-Vlanif20]in vlan 30[sw6-Vlanif30]ip add 192.168.30.253 24[sw6-Vlanif30]in vlan 40[sw6-Vlanif40]ip add 192.168.40.253 24依次为pc配置好ipPc1 192.168.10.1Pc2 192.168.20.1Pc3 192.168.30.1Pc4 192.168.40.1Pc5 192.168.40.2（然后检测同⽹段间是否可以互通，如果不通，检查：1， ip地址2，是否所有交换机创建所有vlan3， pc连接交换机接⼝的链路是否加⼊到对应vlan，交换机与交换机之间的链路是否为trunk）步骤六：配置vrrpSw5 vlan10、vlan20 主 vlan30、vlan40 备Sw6 vlan10、vlan20 备 vlan30、vlan40 主[sw5]in vlan 10 //进⼊vlan10接⼝[sw5-Vlanif10]vrrp vrid 10 virtual-ip 192.168.10.254 //开启vrrp并配置虚拟路由器ip是10.254[sw5-Vlanif10]vrrp vrid 10 priority 105 //修改优先级为105[sw5-Vlanif10]in vlan 20[sw5-Vlanif20]vrrp vrid 20 virtual-ip 192.168.20.254[sw5-Vlanif20]vrrp vrid 20 priority 105[sw5-Vlanif20]in vlan 30[sw5-Vlanif30]vrrp vrid 30 virtual-ip 192.168.30.254[sw5-Vlanif30]in vlan 40[sw5-Vlanif40]vrrp vrid 40 virtual-ip 192.168.40.254[sw6]in vlan 10[sw6-Vlanif10]vrrp vrid 10 virtual-ip 192.168.10.254[sw6-Vlanif10]in vlan 20[sw6-Vlanif20]vrrp vrid 20 virtual-ip 192.168.20.254[sw6-Vlanif20]in vlan 30[sw6-Vlanif30]vrrp vrid 30 virtual-ip 192.168.30.254[sw6-Vlanif30]vrrp vrid 30 priority 105 //sw6要成为vlan30的主，所以要修改优先级[sw6-Vlanif30]in vlan 40[sw6-Vlanif40]vrrp vrid 40 virtual-ip 192.168.40.254[sw6-Vlanif40]vrrp vrid 40 priority 105 //sw6要成为vlan40的主，所以要修改优先级<sw5>display vrrp brief //vrrp配置好之后检查每台三层交换机应该是两主两备的状态将所有pc的⽹关按照所在vlan配置好对应的虚拟路由器的ip，并测试全⽹互通效果步骤七：添加两台ar2220路由器1，[Huawei]sysname r1 //改名[r1]in g0/0/0 //进⼊0接⼝[r1-GigabitEthernet0/0/0]ip add 192.168.50.1 24 //配置ip[sw5]vlan 50 //创建vlan50[sw5-vlan50]in vlan 50 //进⼊vlan50[sw5-Vlanif50]ip add 192.168.50.2 24 //配置ip[sw5-Vlanif50]in g0/0/7 //进⼊7⼝[sw5-GigabitEthernet0/0/7]port link-type access[sw5-GigabitEthernet0/0/7]port default vlan 50 //加⼊vlan50[r1]in g0/0/1 //进⼊1接⼝[r1-GigabitEthernet0/0/1]ip add 192.168.60.1 24 //配置ip[sw6]vlan 60 //创建vlan60[sw6-vlan60]in vlan 60 //进⼊vlan60[sw6-Vlanif60]ip add 192.168.60.2 24 //配置ip[sw6-Vlanif60]in g0/0/7 //进⼊7⼝[sw6-GigabitEthernet0/0/7]port link-type access[sw6-GigabitEthernet0/0/7]port default vlan 60 //加⼊vlan60其他ip按上图配置，此处省略步骤⼋：在所有路由器以及s5700配置动态路由1，[sw5]ospf //开启动态路由协议ospf[sw5-ospf-1]area 0 //进⼊区域0[sw5-ospf-1-area-0.0.0.0]network 192.168.10.0 0.0.0.255 //宣告直连⽹段[sw5-ospf-1-area-0.0.0.0]network 192.168.20.0 0.0.0.255 [sw5-ospf-1-area-0.0.0.0]network 192.168.30.0 0.0.0.255 [sw5-ospf-1-area-0.0.0.0]network 192.168.40.0 0.0.0.255 [sw5-ospf-1-area-0.0.0.0]network 192.168.50.0 0.0.0.255 [sw5-ospf-1-area-0.0.0.0]network 192.168.70.0 0.0.0.255 [sw6]ospf[sw6-ospf-1]area 0[sw6-ospf-1-area-0.0.0.0]network 192.168.10.0 0.0.0.255 [sw6-ospf-1-area-0.0.0.0]network 192.168.20.0 0.0.0.255 [sw6-ospf-1-area-0.0.0.0]network 192.168.30.0 0.0.0.255 [sw6-ospf-1-area-0.0.0.0]network 192.168.40.0 0.0.0.255 [sw6-ospf-1-area-0.0.0.0]network 192.168.60.0 0.0.0.255 [sw6-ospf-1-area-0.0.0.0]network 192.168.80.0 0.0.0.255[r1]ospf //然后在两台路由器上也配置ospf[r1-ospf-1]area 0[r1-ospf-1-area-0.0.0.0]network 192.168.50.0 0.0.0.255[r1-ospf-1-area-0.0.0.0]network 192.168.60.0 0.0.0.255[r2]ospf[r2-ospf-1]area 0[r2-ospf-1-area-0.0.0.0]network 192.168.70.0 0.0.0.255[r2-ospf-1-area-0.0.0.0]network 192.168.80.0 0.0.0.255然后测试全⽹互通的效果dis ip routing-table | include /24 //检查路由表步骤九：最上端添加s3700⼀台充当外部⽹络设备，并配置三个外⽹ip1，[Huawei]in vlan 1[Huawei-Vlanif1]ip add 100.0.0.10 8两台路由器的g0/0/2⼝也按图配置ip，配置步骤此处省略。

项目概述：为xx通信公司设计网络架构方案，该公司规模为200人。

用户需求:该公司共有人事行政部（10人），财务部（10人），销售部（60人），市场部（60），技术支持部（60人）5个部门，另有一总经理及一副总经理。

用户公司需要连接内部网络，各部门员工的终端能够实现连通。

所有公司员工都能访问远程分支机构（远程分支机构的网络不在此项目内）。

公司财务部门的数据很重要（只有总经理与副总经理及财务部人员可以访问）希望有一定的安全措施。

网络设备要求高速、运行稳定。

项目设计目标:建成一个高效，安全满足客户需求的网络的网络，并使其具有良好的硬件扩展和软件扩展性。

网络拓补结构：部门地址空间所属VLAN总经理副总经理192.168.11.162/27 VLAN50名称：financial 192.168.11.163/27销售部192.168.10.0/25 VLAN10名称：sales市场部192.168.10.128/25 VLAN20名称：marketing技术支持部192.168.11.0/25VLAN30名称：technic人事行政部192.168.11.128/25VLAN40名称：HR财务部192.168.11.160/25 VLAN50名称：financial路由器接口地址空间用途路由器对外接口地址192.168.20.1/30 Fa0/1路由器内部接口地址192.168.10.1/25192.168.10.129/25192.168.11.1/25192.168.11.129/27192.168.11.161/27Fa0/0.1 VLAN 10网关Fa0/0.2 VLAN 20网关Fa0/0.3 VLAN 30网关Fa0/0.4 VLAN 40网关Fa0/0.5 VLAN 50网关接口规划设备名称接口用途接口类型R1 Fastethernet 0/0 连接Sw1 Trunk接口Fastethernet 0/1 连接远程分支机构路由接口Sw1 Fastethernet 0/1 连接R1 Trunk接口Fastethernet 0/2 连接Sw2 Trunk接口Fastethernet 0/3 连接Sw3 Trunk接口Fastethernet 0/4 连接Sw4 Trunk接口Fastethernet 0/5 连接Sw5 Trunk接口Fastethernet 0/6 连接总经理PC Access接口，Vlan50 Fastethernet 0/7 连接副总经理PC Access接口，Vlan50 Fastethernet 0/8～15 连接用户PC Access接口，Vlan10 Fastethernet 0/16～24 连接用户PC Access接口，Vlan20设备名称接口用途接口类型SW2 Fastethernet 0/1 连接SW1 Trunk接口Fastethernet 0/2～14 连接用户PC Access接口，Vlan10 Fastethernet 0/15～24 连接用户PC Access接口，Vlan20SW3 Fastethernet 0/1 连接SW1 Trunk接口Fastethernet 0/2～14 连接用户PC Access接口，Vlan10 Fastethernet 0/15～24 连接用户PC Access接口，Vlan20SW4 Fastethernet 0/1 连接SW1 Trunk接口Fastethernet 0/2～14 连接用户PC Access接口，Vlan30 Fastethernet 0/15～24 连接用户PC Access接口，Vlan40SW5 Fastethernet 0/1 连接SW1 Trunk接口Fastethernet 0/2～14 连接用户PC Access接口，Vlan30 Fastethernet 0/15～24 连接用户PC Access接口，Vlan50测试与验收：序号测试项目测试方法测试结果1相同VLAN的主机之间是否能通信2不同VLAN之间的主机是否能通信3主机能否ping通自己的网关4主机是否能与远程分支机构的主机通信。

实验一使用eNSP搭建基础网络一、实验目的：1、掌握eNSP模拟器的基本设置方法2、掌握使用eNSP搭建简单的端到端网络的方法3、掌握在eNSP中使用Wireshark捕获IP报文的方法二、实验环境：配置网卡的计算机。

华为ensp模拟软件。

交换机与路由器。

三、实验内容熟悉华为eNSP模拟器的基本使用，使用模拟器自带的抓包软件捕获网络中的报文，以便更好地理解IP网络的工作原理。

四、实验步骤1. 启动eNSPeNSP模拟器的启动与初始化界面。

通过模拟器的使用将能够快速学习与掌握TCP/IP的原理知识，熟悉网络中的各种操作。

开启eNSP后，将看到如下界面。

左侧面板中的图标代表eNSP 所支持的各种产品及设备。

中间面板则包含多种网络场景的样例。

单击窗口左上角的“新建”图标，创建一个新的实验场景。

可以在弹出的空白界面上搭建网络拓扑图，练习组网，分析网络行为。

2. 建立拓扑选中“在显示的终端设备中，”图标，添加PC:在左侧面板顶部，”图标。

单击“(1)把图标拖动到空白界面上，使用相同步骤，拖动三个PC图标到空白界面上,并双击设备名称改名为PC1,PC2,PC3。

”图标。

在显示的交换机中，选中S3700在左侧面板顶部，）（2添加交换机：单击“图标，把图标拖动到空白界面上，3.建立物理连接图标，单击设备选择端口完在左侧面板顶部，单击“”图标。

在显示的连接中，选中表示以太网端口。

成连接。

设备端口连接关系如下。

其中e PC1 e0/0/1-------LSW1 e0/0/1PC1e0/0/1-------LSW1 e0/0/2PC1 e0/0/1-------LSW1 e0/0/3可以观察到，在已建立的网络中，连线的两端显示的是两个红点，表示该连线连接的两个端口都。

Down处于状态（没有开启）进入终端系统配置界面 4.设备，在弹出的属性菜单中选择“设置”选项，查看该设备系统PC3)、PC2、右击一台终端(PC1配置信息。

单击窗口左上角的“新建”图标，创建一个新的实验场景。

您可以在弹出的空白界面上搭建网络拓扑图，练习组网，分析网络行为。

在本示例中，您需要使用两台终端系统建立一个简单的端到端网络。

建立简单拓扑介绍：在左侧面板顶部，单击“终端”图标。

在显示的终端设备中，选中“PC”图标，把图标拖动到空白界面上。

使用相同步骤，再拖动一个PC图标到空白界面上，建立一个端到端网络拓扑。

PC设备模拟的是终端主机，可以再现真实的操作场景。

然后我们选择链路把他们连接起来：在左侧面板顶部，单击“设备连线”图标。

在显示的媒介中，选择“Copper (Ethernet)”图标。

单击图标后，光标代表一个连接器。

单击客户端设备，会显示该模拟设备包含的所有端口。

单击“Ethernet 0/0/1”选项，连接此端口。

单击另外一台设备并选择“Ethernet 0/0/1”端口作为该连接的终点，此时，两台设备间的连接完成。

可以观察到，在已建立的端到端网络中，连线的两端显示的是两个红点，表示该连线连接的两个端口都处于Down状态然后我们配置设备：右击一台终端设备，在弹出的属性菜单中选择“设置”选项，查看该设备的系统配置信息。

弹出的设置属性窗口包含“基础配置”、“命令行”、“组播”与“UDP发包工具”四个标签页，分别用于不同需求的配置。

选择“基础配置”标签页，在“主机名”文本框中输入主机名称。

在“IPv4配置”区域，单击“静态”选项按钮。

在“IP地址”文本框中输入IP地址。

建议按照下图所示配置IP地址及子网掩码。

配置完成后，单击窗口右下角的“应用”按钮。

再单击“CLIENT1”窗口右上角的关闭该窗口。

使用相同步骤配置CLIENT2。

建议将CLIENT2的IP地址配置为192.168.1.2，子网掩码配置为255.255.255.0。

完成基础配置后，两台终端系统可以成功建立端到端通信。

接下来我们启动设备：可以使用以下两种方法启动设备：●右击一台设备，在弹出的菜单中，选择“启动”选项，启动该设备。