摘 要
当今行情下,网络已然成为了企业及个人不可或缺的重要技术,但企业的网络安全问题,尤其是内网安全问题,也越来越严峻,部署有数据中心的企业如何保障上网安全和巨大流量网络通信,成为了企业不得不解决的难题之一,安全隐患可能会制约企业开展业务,甚至能给企业带来严重损失,因此设计一套具备安全和可靠承载大流量网络通信的网络拓扑成为了当下的热门研究方向。
本设计将以ensp模拟平台为基础,运用多种路由协议和链路冗余协议,设计一套能满足数据中心级别流量通信的园区网,在满足通信的基础上还会设计多种安全协议以满足企业安全开展对外网络业务的需求。为满足上述需求,本设计将使用VRRP和MSTP协议,为关键业务提供链路冗余备份保障;使用BGP辅助OSPF协议,降低边缘设备的运行压力从而达到提高设备运行效率的能力;同时配置SSTP和IPSEC两种VPN协议,满足企业灵活开展对外业务的需求。
本设计还同时配置了IPV4和IPV6两种业务,主要路由协议和安全协议也同时基于两种IP协议配置,推进了园区网IPV6推广使用的同时,IPV4与IPV6还能互为备份,这能提高网络的安全性和可靠性。
关键词:园区网;安全;内网;路由协议;VRRP;MSTP;冗余;BGP;OSPF;SSTP;IPSEC;IPV6
目 录
3.2.1 接入层交换机配置(以部门1的LSW5和LSW6为例)
3.2.2 汇聚层交换机配置(以连接部门1和部门2的LSW1为例)
3.2.3 核心层路由器配置(以LSW1和AC1对应的AR1为例)
第1章 绪 论
1.1 课题背景
随着世界信息化浪潮的推进,网络已然成为了日常生活中不可或缺的一部分,但自从2013年世界十大互联网安全事件发生后,人们对网络的安全性提出了更高要求,尤其是一些提供关键服务的企业单位,为了加强企业内网的安全,为企业开展网络业务提供可靠的支撑,许多网络安全相关厂商都提供了多种安全设备及服务。
作为老牌安全产品厂商,Cisco思科较早推出了网络模拟平台Packet Tracer,在国产模拟平台推出之前,国内的计算机网络相关学者多采用Cisco Packet Tracer进行相关模拟研究,但自2013年斯诺登“棱镜门”事件发生后,国内计算机网络行业对国产模拟平台的呼声愈发强烈,在这片浪潮下,多个国内大牌安全厂商陆续推出了国产的网络模拟平台,如华为的ensp,以及华三的HCL。
ensp平台是华为旗下的一款网络拓扑模拟平台,内含多种常见的网络设备,其虚拟系统基于virtualbox运行,在ensp,用户不仅可以进行网络拓扑设计,还可以像配置真实设备那样配置虚拟设备,并支持使用wireshark抓包分析工具对虚拟接口进行抓包分析。由于ensp安装方式简单,界面简洁,支持的协议及功能较为齐全,因此被行业内人士广泛采用。
1.2 国内外研究现状
我国网络行业研究起步较国外晚,但进入21世纪后我国在网络领域突飞猛进,国内基于国产网络拓扑模拟平台的网络拓扑研究也不在少数。国外由于起步早,因此也有着丰厚的网络安全及网络拓扑研究成果,以下是国内外一些优秀研究成果:
1.2.1 国内成果
企业园区网楼宇多、广场多、楼宇间距大,传统的有线组网方式无法满足现有的企业园区网业务,而传统的无线组网方式管理麻烦,在大型园区网中毫无优势。无线瘦AP+AC管理方式的出现,将所有的管理操作都集中在具有无线管理功能的交换机AC上进行,在灵活开展业务的同时,又能对无线网络系统进行统一管理,极大方便了无线组网及业务开展,有望被广泛运用在大型企业园区网中。由田芮利及其团队提出的无线网络规划部署方案,采用AP+AC的部署模式,实现了对园区内无线AP的集中统一管理,极大地方便了园区网的规划部署工作。
2019年11月25日,负责欧洲、中东与中亚网络位址分发的互联网注册机构RIPE宣布其拥有的IPV4地址彻底用完。在网络发展迅速的现在,IPV4地址不足这个问题也越来越凸显,尽管国内外各大运营商都在使用NAT协议来缓解这个问题,但多重的地址转换会给网络带来较大负担,以至于出现诸如网络延迟增高等网络质量下降等问题。IPV6的部署将在现在彻底解决IPV4地址数量不足的问题,同时也能解决NAT4带来的网络质量下降问题。尽管推进IPV6部署的工作正有序开展,但部分地区的运营商依然抵触IPV6,因为这意味着要进行大量的配置调试工作,而这也是阻碍IPV6部署的重大难题。由周红军、肖华及其团队提出的新一代IPV6部署方案,在广播电视领域通过一套全新的技术将IPV6与传统IPV4相融合,并通过建设一套综合管理平台实现统一管理调度,以实现更有效率的IPV6协议推进工作。
1.2.2 国际成果
网络空间测绘在网络安全性研究中具有重要意义,传统的网络空间测绘工作主要基于IPV4,使用的方法为穷举法,IPV4地址数量较少,使用穷举法能够满足目前的需求,然而IPV6地址数量庞大,且IPV6存在IPV4所没有的特殊安全协议,使用穷举法不仅效率十分低下,还容易遗漏目标。为发现IPV6活跃主机,研究人员提出构建目标地址生成模型,生成高质量的候选目标检测地址集,为IPv6地址空间探索工作提供支持。由魏扬、王倩懿、余姚及其团队提出的基于扩散模型的IPV6活跃地址检测模型,相较于现有的生成模型,其命中率更高,运行效率更高,有望得到广泛推广运用。
1.3 我的设计
本设计基于华为设备及华为ensp模拟平台,设计一套能满足企业数据中心大流量通信及保障企业园区网安全的网络拓扑。设计过程中除了参考借鉴各种企业园区网设计,我还会部署IPV6业务、两种常用的VPN协议及无线网络,满足企业内网大流量数据通信的同时保障企业对外业务的顺利进行。
1.4 本章小结
本章简单介绍了课题背景及课题领域内国内国际研究成果,然后讲述本设计将会设计的成果。
第2章 拓扑设计及协议介绍
2.1 拓扑设计
内网拓扑采用三层架构设计,分为接入层、汇聚层和核心层,接入层采用二层交换机,汇聚层采用三层交换机,核心层采用高性能路由器。三层架构下,只有跨度较大的网络通信才会经过核心层路由器,且由汇聚层交换机来充当DHCP服务器,这么设计的好处就是能够减轻核心层设备的负担,让核心层设备的性能发挥在关键业务上。
数据中心的服务器之间通常会进行大流量的网络通信,因此要想执行这么大流量的通信业务,网络拓扑系统就需要有非常大的带宽,因为数据中心服务器发生网络中断有可能会造成非常严重的损失,所以连接数据中心的网络还需配置链路备份以避免任何原因造成的网络中断。
每个部门都有其对应的无线AP,由于要实现AC统一管理AP,因此AC和AP只能通过三层组网的方式进行管理配置。
出口网关采用防火墙,防火墙有旁挂、直连和透明三种部署方式,考虑到企业园区网对安全的要求较高,故本设计采用直连模式。
以下为本设计的拓扑图:
图2.1 设计拓扑图
2.2 用到的网络技术
2.2.1 vlan虚拟局域网协议
VLAN技术通过逻辑划分局域网,实现网络资源的灵活分配和管理。其工作原理主要基于交换机端口、MAC地址或协议进行逻辑划分。交换机在接收到数据包时,会根据VLAN标识将数据包发送到对应的VLAN。具体来说,VLAN技术的工作原理包括以下几个方面:
- 虚拟网络划分:管理员可以根据需要将物理网络中的设备划分为多个虚拟局域网,每个VLAN都有一个唯一的VLAN ID来标识它。
- VLAN封装:交换机会根据端口配置将接收到的数据帧封装到对应的VLAN中,每个数据帧都会添加一个VLAN标签,其中包含了源地址、目的地址和VLAN ID。
- VLAN隔离:交换机上的端口根据配置只接收属于特定VLAN的数据帧,这样不同VLAN上的设备之间就无法直接通信,实现了隔离。
- VLAN间通信:如果需要不同VLAN之间的通信,可以通过交换机上的路由功能实现。交换机会根据VLAN ID和路由表来转发数据帧。本设计中,每个部门都有其对应的vlan,并且同一个部门的有线和无线业务分属不同vlan,以达到缩小广播域、减小网络风暴影响的目的。
VLAN技术的优点如下:
- 提高网络性能:VLAN可以将广播域分割成多个较小的域,减少广播传输的范围,降低网络拥塞,从而提高网络性能。
- 增强网络安全性:VLAN能够将网络设备分割为不同的逻辑子网,通过限制不同VLAN之间的通信来提高网络的安全性。同时,VLAN还可以提供更好的隔离性,限制网络攻击影响到其他设备。
- 管理简化:VLAN技术使得网络管理更加灵活和高效。网络管理员可以根据需要进行分组和调整,随着网络规模和业务需求的变化进行动态调整。这大大简化了网络管理工作,提高了管理效率。
本设计中,每个部门都有其对应的vlan,无线有线业务分属不同vlan。
2.2.2 Eth-Trunk链路聚合协议
设备单个端口的带宽有限,且配备大带宽端口的设备通常价格不菲,因此为了提升设备链路的带宽,把多条物理链路绑定成一条逻辑链路,于是就有了链路聚合技术。链路聚合技术能将多条物理链路绑定成一条逻辑链路,这条逻辑链路跟物理链路几乎无异,可以正常配置各项网络协议,且由于逻辑链路中绑定了多条物理链路,当单条物理链路故障时也不会影响网络,因此链路聚合也能提高网络的故障抵抗能力。链路聚合工作原理如下:
- 带宽叠加:通过将多个物理链路的带宽叠加,链路聚合能够提供比单个物理链路更高的总带宽。例如,如果两条1Gbps的链路被聚合,那么逻辑端口的总带宽可以达到2Gbps。
- 负载均衡:交换机可以根据配置的端口负荷分担策略,将网络流量均匀地分配到不同的物理链路上,从而实现负载均衡。这有助于避免单一链路过载,提高整体网络性能。
- 链路冗余:当某个物理链路发生故障时,其他链路可以继续传输数据,确保网络的连续性和可用性。这种冗余机制提高了网络的可靠性。
- 动态备份:在链路聚合中,成员链路之间可以实现动态备份。当一条链路出现故障时,系统可以自动将流量切换到其他可用的链路上,而无需手动干预。
本设计中,除连接终端外的线路,几乎所有线路都使用了链路聚合技术,链路聚合较为灵活,既可绑定二层端口,也可绑定三层端口,因此本设计既有二层链路聚合也有三层链路聚合。
2.2.3 IPV6协议
IPV4地址一共有43亿多个,看起来很多,但不是什么地址都能在公网上使用。举个例子,127.0.0.0/8这个网段属于本地环回网段,我们生活中购买的家用网络设备,网段通常为192.168.X.0/24(X为任意数),这个网段属于私网网段,不会也不能出现在公网中。去掉有特殊意义及私网网段的IP地址,IPV4可用的地址数量一共25.68亿,看起来很多,然而IP地址分配不是根据当地用户人数来分配的,因此就会出现有些地方不够用而有些地方用不完的情形,我国一共得到了约3.8亿个IPV4地址,由于我国许多企业都需要固定公网地址来开展业务,因此我国绝大部分个人用户无法获取公网地址,只能使用运营商经过NAT转换映射出来的私网地址,IPV6的出现能实现“地球上每粒沙子都能拿到一个IP”,足以体现IPV6地址数量之多。虽然每个人都拿到了公网地址,但IPV6的安全性却远超IPV4,原因如下:
- IPV6内网地址数量非常多。对网络发起攻击前需要对目标局域网内其他设备进行网络扫描,IPV6大量的地址让扫描难度大幅提高,且IPV6设备可以通过无状态地址获取方式获得IP地址,通过这个方式获得的IP地址变化快,攻击方难以持续攻击。
- IPV6协议内置IPsec协议。与IPV4需要人工配置不同,IPV6在运行时双方会自动进行IPsec认证协商,IPsec是一种网络安全协议,其可以对数据包进行加密、认证、完整性校验等操作以确保通信安全。
- NDP邻居发现协议。在IPV4的通信中,ARP协议是一个非常重要的协议,它的作用在于通过IP地址请求目标的MAC地址,终端如需发起局域网内通信,需要通过ARP协议向目标设备请求到MAC地址,如需发起跨网通信,则需请求网关的MAC地址,但ARP协议存在严重的漏洞可以被攻击者利用以发起攻击,例如ARP欺骗。NDP协议与ARP协议相似,都是三层通信中不可或缺的重要协议,但NDP协议更加安全,其可以对数据进行加密认证以防止被攻击。
为提升网络质量,响应国家部署IPV6的政策,本设计配置了IPV6及其配套网络技术,在核心层将IPV4和IPV6的线路分开以提高网络的故障抵抗能力,在出口防火墙上同时配置IPV4和IPV6的VPN业务。
2.2.4 dhcp和dhcpv6动态主机配置协议
园区网肯定要能保证企业员工上网的配置,dhcp协议能够方便终端获取IP地址,用户连接网络后便可直接上网,方便快捷。与IPV4的dhcp相似,IPV6也有自己的dhcp协议dhcpv6,它们允许服务器向客户端动态分配IP地址、子网掩码、默认网关和DNS服务器等TCP/IP参数,从而简化网络管理,减少手动配置的工作量。尽管dhcpv6来源于dhcp,但dhcpv6跟dhcp是两个不同的协议,dhcpv6存在两种不同的工作模式,分别是有状态和无状态地址配置,前者工作模式与dhcp相似,也有发现、提供、请求和回复四个步骤,后者客户端通过服务器的路由通告数据包自己获得IP地址而非由服务器提供,此时dhcpv6服务器只提供dns服务器地址等其他参数。
本次设计除配置dhcp外还配置了dhcpv6有状态地址配置,由于S5700交换机不支持配置dhcpv6服务器,仅支持dhcpv6中继,因此dhcp服务器配置在汇聚层三层交换机,而dhcpv6服务器配置在核心层路由器,并由汇聚层交换机中继。
2.2.5 MSTP多生成树协议
网络发生环路是现实网络中常见的故障,分为二层和三层环路,其中以二层环路较为常见,特点是网络中短时间内出现大量的广播数据包从而造成广播风暴,三层环路由于各种路由协议自带的防环机制而较少遇见,特点是数据包在一个环路中不停被转发直至数据包中的TTL字段减至0被丢弃。根据环路的规模,其对网络系统造成的损害也各不相同,轻微的环路会造成网络延迟增高、带宽降低,严重的环路可能会造成网络大面积瘫痪,进而导致业务中断。综上所述,理想的网络拓扑应该是树形结构,但树形结构不方便配置网络冗余备份,因此为了配置冗余备份,网络中需要有环路,二层网络中为了让网络既有冗余备份又不会产生广播风暴,于是就有了生成树协议STP,这其中又以多生成树协议MSTP最为强大,它既有快速生成树协议RSTP的高性能和快速收敛能力,又能配置多个生成树实例以实现主备备份的目的。
本设计将会在具有关键业务的部门1及部门2间配置MSTP协议,以核心层路由器作为根桥,两台核心路由器互为两个实例的主备根桥,以实现两个部门的冗余备份配置。
2.2.6 VRRP虚拟路由冗余协议
与MSTP协议同时使用的还有VRRP(Virtual Router Redundancy Protocol,虚拟路由冗余协议),它通过把几台路由设备联合组成一台虚拟的路由设备,并通过一定的机制来保证当主机的下一跳设备出现故障时,可以及时将业务切换到其它设备,从而保持通讯的连续性和可靠性。VRRP的工作原理如下:
- 设备组成:系统中至少有配置了VRRP的2台设备,组成一个VRRP备份组,这个备份组形成一个虚拟路由器。
- 角色确定:VRRP协议根据优先级(Priority)来决定哪台配置了VRRP协议的设备成为Master路由器(Virtual Router Master)。优先级越高,则越有可能成为Master设备。
- 状态机:VRRP协议中定义了三种状态机:初始状态(Initialize)、活动状态(Master)、备份状态(Backup)。只有处于Master状态的设备才可以转发那些发送到虚拟IP地址的报文。
- 主备切换:Master设备通过发送免费ARP报文,将自己的虚拟MAC地址通知给与它连接的设备或者主机,从而承担报文转发任务。如果Master设备出现故障,VRRP备份组中的Backup设备将根据优先级重新选举新的Master。
虽然网络中存在多台物理设备及多条链路,但由于VRRP协议的存在,局域网中的其他设备认为仅有一台虚拟设备,这样当一条链路发生故障时,网络设备无需任何配置也能保证网络不中断。
本设计将会在两个关键业务部门的核心路由器上分别配置对应两个部门汇聚交换机的VRRP实例,再将两台汇聚交换机的网关设置为虚拟网关地址,此时两台路由器两个实例互为主备。
2.2.7 OSPF和OSPFV3开放最短路径优先协议
对于大型园区网而言,手动配置静态路由工作量极大,非常麻烦,因此选用合适的动态路由协议就显得十分有必要,RIP和RIPNG协议并不适合复杂的大型园区网,因此可以选用OSPF协议。OSPF十分强大,被广泛运用在复杂园区网中用于路由配置,其优点如下:
- 快速收敛及高效路由计算。OSPF协议使用Dijkstra算法生成区域的最短路径树,能够快速适应网络变化,相较于RIP和RIPNG协议需要数秒乃至数十秒计算收敛,OSPF最慢也仅需数秒即可收敛完成,运行效率十分高,且因为使用了Dijkstra算法生成最短路径树,OSPF区域内不会出现三层环路,但区域间配置不当依然有可能造成三层环路。
- 等价多路径路由策略。当存在多条等价路径都可以通往目标设备时,OSPF会让这些路径同时承担流量,自动实现负载分担,这提高了网络的带宽利用率和可靠性。
本设计将会在核心层路由器间配置OSPF协议,并在整个拓扑间配置OSPFV3协议,以实现高效的网络通信,核心层路由器配置OSPF的同时还会引入BGP的路由给防 火墙以减少配置工作量。
2.2.8 BGP外部网关协议
尽管OSPF和OSPFV3协议很强大,但也存在如下缺陷:
- 对设备性能要求较高。OSPF要求设备维护较多的链路信息,边缘设备,尤其是汇聚层设备,性能不如核心层设备那样强悍,在维护如此多的链路信息时容易力不从心,当网络规模很大时这个问题尤为突出,此时OSPF的优秀性能无法被充分发挥,甚至可能降低网络性能。
- 维护链路状态所需的数据包数量较多。OSPF为了维护链路,需要发送大量的Hello数据包和链路更新数据包,当网络繁忙时,这些数据包可能会占用大量带宽,造成网络拥堵。
- 路由表中可能会产生与业务无关的垃圾路由项。OSPF会将所有激活了OSPF的网段或接口的路由分析出来,通告给所有激活了OSPF的设备,然而对于边缘设备而言,其仅需要知道通向其他业务部门的路由项,而无需知道通向核心层设备的路由项,维护后者的路由项会严重浪费设备性能,当网络规模很大时甚至可能会造成业务中断。
为了解决这些问题,BGP协议诞生了,它在处理大型园区网时尤为优秀,其将网络划分为多个相互独立的自治区域,自治区域内可以使用IGP协议进行连接,而自治区域间使用EBGP传递路由,运行BGP的设备可以仅通告关键业务网段从而减少路由表中的垃圾路由项。BGP设备通过TCP协议与邻居建立连接,相较于使用UDP的RIP,以及不使用传输层协议的OSPF,BGP具有更先进的路由处理策略,以及更优秀的安全性,且由于使用TCP与邻居建立连接,BGP在维护路由方面也更加简单,无需发送大量的数据包进行邻居维持及网络更新。
本设计将会配置IPV4的BGP协议,边缘设备通告业务网段,实现对网络的配置优化。
2.2.9 NAT网络地址转换协议
前文说过IPV4地址已经枯竭,因此IPV4设备想上网只能依靠NAT协议,NAT协议分为NAT4、NAT64及NAT6,NAT4是基础的NAT,目前普通用户IPV4设备上公网的重要配置;NAT64用在内网配置了IPV6但运营商不支持IPV6的情形,作为IPV4和IPV6的过渡;NAT6较少使用,因为NAT协议的初衷是为了解决IP地址数量不足的问题,而IPV6短期内不会遇到这个问题。
目前NAT协议中常用的为NAPT,其借助传输层端口号标记数据流,以“IP: 端口号”为元组建立映射,由于端口区分TCP和UDP协议,因此一个公网地址通过这个方式转换后可以给超过12万个私网地址使用,这不仅能节省大量IP地址,还可以通过配置端口转发策略将业务服务器映射到公网上以方便用户访问,尽管事实上业务服务器的IP地址还是网关的IP地址,但逻辑上用户访问业务服务器如图访问拿到了公网IP的服务器一般轻松。
本设计将会在网络出口网关处配置NAT4,NAT工作模式为NAPT,以模拟真实的网络环境中园区网普通设备访问外网的配置。
2.2.10 VPN虚拟专用网络协议
想要让两个相隔甚远的分部之间互相通信,可以通过拉设专线的方式连接双方内网,但这种方法成本十分高昂,因此VPN协议诞生了,它允许VPN服务器与客户端(SSTP)或者两台VPN服务器间(IPSEC)在公网上建立一段虚拟隧道,将原始数据包封装在其中进行传输,传统的VPN采用明文传输,安全性低,现代常用的VPN都采用了加密手段保障数据安全。VPN协议被广泛运用在企业分部的内网间传输数据,也广泛运用于外地企业员工远程安全访问企业园区内网服务器,员工访问对端服务器如同在企业内访问企业内网服务器一样轻松便捷。
VPN的实际工作原理是在进入隧道的据包前面封装一个新的头部,这个头部的源和目的分别对应隧道两端的服务器,此时线路上的路由器只会根据这个新的头部进行数据包转发,当数据包到了隧道另一头后,将新封装的头部拆包,然后根据原始的头部进行转发。带加密功能的VPN工作原理同上,区别在于对原始数据包进行了加密处理,同时这种VPN还具备认证和对数据包的校验功能以确保安全。
本设计将会在出口防火墙处部署IPSEC和SSTP两种常用的VPN协议,其中IPSEC用于在企业总部和分部间部署加密隧道以连接双方内网,SSTP则用于方便在外出差的员工访问企业内网服务器。
2.3 本章小结
本章介绍了拓扑设计,详细解释了设计所用到的协议技术,对一些关键技术进行了详细解释,为接下来配置工作做好准备。
第3章 详细配置过程
3.1 网段及端口配置
3.1.1 物理端口VLAN配置
表3.1.1 物理端口VLAN配置
| 设备名称 | 所属层级 | 端口 | 端口所属组或 聚合组 | 端口放行的 VLAN ID |
| LSW1 | 汇聚层 | GE0/0/21 to GE0/0/22 | eth-trunk 1 | 12 |
| GE0/0/23 to GE0/0/24 | eth-trunk 2 | ALL | ||
| GE0/0/1 to GE0/0/4 | eth-trunk 3 | |||
| GE0/0/5 to GE0/0/8 | eth-trunk 4 |
表3.1.1续1
| LSW2 | 汇聚层 | GE0/0/21 to GE0/0/22 | eth-trunk 1 | 22 |
| GE0/0/23 to GE0/0/24 | eth-trunk 2 | ALL | ||
| GE0/0/1 to GE0/0/4 | eth-trunk 3 | |||
| GE0/0/5 to GE0/0/8 | eth-trunk 4 | |||
| LSW3 | 汇聚层 | GE0/0/21 to GE0/0/22 | eth-trunk 1 | 32 |
| GE0/0/23 to GE0/0/24 | eth-trunk 2 | ALL | ||
| GE0/0/1 to GE0/0/4 | eth-trunk 3 | |||
| GE0/0/5 to GE0/0/8 | eth-trunk 4 |
表3.1.1续2
| LSW4 | 汇聚层 | GE0/0/21 to GE0/0/22 | eth-trunk 1 | 42 |
| GE0/0/23 to GE0/0/24 | eth-trunk 2 | ALL | ||
| GE0/0/1 to GE0/0/4 | eth-trunk 3 | |||
| GE0/0/5 to GE0/0/8 | eth-trunk 4 | |||
| LSW5 | 接入层 | GE0/0/1 to GE0/0/22 | port-group 1 | ALL |
| GE0/0/23 to GE0/0/24 | eth-trunk 1 | |||
| LSW6 | 接入层 | GE0/0/1 to GE0/0/22 | port-group 1 | ALL PVID 10 |
| GE0/0/23 to GE0/0/24 | eth-trunk 1 | ALL |
表3.1.1续3
| LSW7 | 接入层 | GE0/0/1 to GE0/0/22 | port-group 1 | ALL |
| GE0/0/23 to GE0/0/24 | eth-trunk 1 | |||
| LSW8 | 接入层 | GE0/0/1 to GE0/0/22 | port-group 1 | ALL PVID 20 |
| GE0/0/23 to GE0/0/24 | eth-trunk 1 | ALL | ||
| LSW9 | 接入层 | GE0/0/1 to GE0/0/22 | port-group 1 | ALL |
| GE0/0/23 to GE0/0/24 | eth-trunk 1 | |||
| LSW10 | 接入层 | GE0/0/1 to GE0/0/22 | port-group 1 | ALL PVID 30 |
| GE0/0/23 to GE0/0/24 | eth-trunk 1 | ALL |
表3.1.1续4
| LSW11 | 接入层 | GE0/0/1 to GE0/0/22 | port-group 1 | ALL |
| GE0/0/23 to GE0/0/24 | eth-trunk 1 | |||
| LSW12 | 接入层 | GE0/0/1 to GE0/0/22 | port-group 1 | ALL PVID 40 |
| GE0/0/23 to GE0/0/24 | eth-trunk 1 | ALL | ||
| AR1 | 核心层 | GE8/0/0 to GE8/0/3 | eth-trunk 1 | ALL |
| GE10/0/0 to GE10/0/4 | eth-trunk 2 | |||
| GE10/0/5 to GE10/0/9 | eth-trunk 3 | |||
| GE10/0/10 to GE10/0/14 | eth-trunk 4 | |||
| GE8/0/4 to GE8/0/7 | eth-trunk 5 |
表3.1.1续5
| AC1 | 核心层 | GE0/0/1 to GE0/0/2 | eth-trunk 1 | 100 |
| GE0/0/24 (WEB管理端口) | 200 | |||
| AR3 | 核心层 | GE8/0/0 to GE8/0/3 | eth-trunk 1 | ALL |
| GE10/0/0 to GE10/0/4 | eth-trunk 2 | |||
| GE10/0/5 to GE10/0/9 | eth-trunk 3 | |||
| GE10/0/10 to GE10/0/14 | eth-trunk 4 |
注:AR2配置与AR1相似,AR4与AR3相似,故表1中只展示AR1与AR3的配置。
3.1.2 端口IP配置
表3.1.2端口IP配置
| 设备名称 | 端口 | IPV4/IPV6地址 |
| LSW1 | V10 | 10.0.10.1/24 |
| V11 | 10.0.11.1/24 | |
| V12 | 10.0.12.1/24 2012::1/96 | |
| L0 | 10.10.10.10/24 | |
| V101 | 192.168.101.254/24 2001:101::254/96 | |
| LSW2 | V20 | 10.0.20.1/24 |
| V21 | 10.0.21.1/24 | |
| V22 | 10.0.22.1/24 2022::1/96 | |
| L0 | 20.20.20.20/24 | |
| V102 | 192.168.102.254/24 2001:102::254/96 |
表3.1.2续1
| LSW3 | V30 | 10.0.30.1/24 |
| V31 | 10.0.31.1/24 | |
| V32 | 10.0.32.1/24 2032::1/96 | |
| L0 | 30.30.30.30/24 | |
| V103 | 192.168.103.254/24 2001:103::254/96 | |
| LSW4 | V40 | 10.0.40.1/24 |
| V41 | 10.0.41.1/24 | |
| V42 | 10.0.42.1/24 2042::1/96 | |
| L0 | 40.40.40.40/24 | |
| V104 | 192.168.104.254/24 2001:104::254/96 |
表3.1.1续2
| AR1 | V101 | 192.168.101.1/24 2001:101::1/96 VRRP VRID 10: 192.168.101.10/24 |
| V102 | 192.168.102.2/24 VRRP VRID 20: 192.168.102.10/24 | |
| V104 | 192.168.104.3/24 | |
| eth-trunk 0 | 192.168.201.2/24 2001:1001::2/96 | |
| eth-trunk 6 | 2001:1::1/96 | |
| eth-trunk 7 | 2001:4::2/96 | |
| L0 | 1.1.1.1/24 1001:1::1/96 | |
| GE0/0/1 | 192.168.100.1/24 |
表3.1.2续3
| AR2 | V101 | 192.168.101.2/24 VRRP VRID 10: 192.168.101.10/24 |
| V102 | 192.168.102.1/24 2001:102::1/96 VRRP VRID 20: 192.168.102.10/24 | |
| V103 | 192.168.103.3/24 | |
| eth-trunk 0 | 192.168.202.2/24 2001:1002::2/96 | |
| eth-trunk 6 | 2001:2::1/96 | |
| eth-trunk 7 | 2001:1::2/96 | |
| L0 | 2.2.2.2/24 1001:2::1/96 |
表3.1.2续4
| AR3 | V102 | 192.168.102.3/24 |
| V103 | 192.168.103.1/24 2001:103::1/96 | |
| V104 | 192.168.104.2/24 | |
| eth-trunk 0 | 192.168.203.2/24 2001:1003::2/96 | |
| eth-trunk 6 | 2001:3::1/96 | |
| eth-trunk 7 | 2001:2::2/96 | |
| L0 | 3.3.3.3/24 1001:3::1/96 | |
| AC1 | V100 | 192.168.100.254/24 |
| V200 | 192.168.0.4/24 |
表3.1.2续5
| AR4 | V101 | 192.168.101.3/24 |
| V103 | 192.168.103.2/24 | |
| V104 | 192.168.104.1/24 2001:104::1/96 | |
| eth-trunk 0 | 192.168.203.2/24 2001:1003::2/96 | |
| eth-trunk 6 | 2001:4::1/96 | |
| eth-trunk 7 | 2001:3::2/96 | |
| L0 | 4.4.4.4/24 1001:4::1/96 |
表3.1.2续6
| FW1 | GE0/0/0 (WEB管理端口) | 192.168.2.6/24 |
| GE1/0/0 | 114.1.1.2/24 2410:2::2/96 | |
| GE1/0/1 | 192.168.201.1/24 2001:1001::1/96 | |
| GE1/0/2 | 192.168.202.1/24 2001:1002::1/96 | |
| GE1/0/3 | 192.168.203.1/24 2001:1003::1/96 | |
| GE1/0/4 | 192.168.204.1/24 2001:1004::1/96 | |
| GE1/0/5 | 10.0.51.1/24 2051::1/96 | |
| L0 | 100.1.1.1/24 |
注1:表中的V为交换机VLAN的逻辑网关VLANIF,L为设备环回端口LoopBack,GE为千兆以太网端口。
注2:拓扑中代表企业分部的防火墙及代表运营商设备的路由器配置不作论述。
3.2 设备详细配置
由于拓扑设备较多,因此本节将挑出几个重点设备为例进行详细论述,其余设备简略论述,运营商路由器不作论述。以下的配置命令为设备能识别并执行的简化命令,重点设备的完整配置放在附录。
3.2.1 接入层交换机配置(以部门1的LSW5和LSW6为例)
- 激活全局dhcp和dhcp snooping:
dhcp en //激活全局dhcp。
dhcp snooping en //激活dhcp snooping。激活后交换机会建立MAC-IP绑定 表,如果数据帧中的MAC-IP对应错误,交换机会丢弃该帧。
- 创建VLAN(仅LSW6配置):
v b 10 11 //创建VLAN10、11。
- 负责有线业务的接入层交换机LSW5需要配置一个连接LSW1的端口聚合组:
int e1 //创建聚合组1。
tr g 0/0/23 0/0/24 //将物理端口划入聚合组。
dhcp snooping tr //将端口配置为dhcp snooping的信任端口,此时交换机 只会转发这个端口收到的dhcp offer数据包。
po li tr //将端口模式改为trunk(仅LSW6配置)。
po tr all v all //放行所有VLAN(仅LSW6配置)。
- 创建端口组以批量统一配置端口:
po 1 //创建端口组1。
gr g0/0/1 to g0/0/22 //将物理端口划入端口组。
dhcp snooping en //在端口上激活dhcp snooping,在网络通信过程中交换 机会分析数据帧中的MAC和IP并将其学习进MAC-IP绑定表中。
po li tr //将端口模式改为trunk(仅LSW6配置)。
po tr pvid v 10 //将端口所属的VLAN改为VLAN10(仅LSW6配置)。
po tr all v all //放行所有VLAN(仅LSW6配置)。
注:第④点中配置的端口所属VLAN和端口放行VLAN并不一样,trunk模式下,如果数据帧携带的VLAN标签与PVID相同,端口在转发数据帧前会先剥离数据帧中的VLAN标签然后再进行转发。
3.2.2 汇聚层交换机配置(以连接部门1和部门2的LSW1为例)
- 创建VLAN并激活全局IPV6和dhcp:
v b 10 to 12 101 //创建VLAN10、11、12、102。
IPV6 //激活全局IPV6。
dhcp en //激活全局dhcp。
- 在接口中配置IP地址(以配置环回端口为例):
int l0 //进入接口。
ip a 10.10.10.10 24 //配置IP地址和网络位长度。
对于V10、V11、V12,除配置IP地址外还需配置dhcp服务器:
dhcp sel int //配置dhcp工作模式为端口,此时dhcp服务器将会认定自身IP 及网段为客户端网关和地址池,并以此开展业务。
对于V10,还需配置dhcp信息传递以将AC的IP地址传递给AP:
dhcp ser op 43 sub 3 asc 192.168.100.254
对于V12,还需配置IPV6及dhcpv6中继:
ipv6 en //在端口处激活IPV6。
ipv6 a 2012::1 96
dhcpv6 re des 2001:101::1 //配置dhcpv6服务器的IPV6地址。
un ipv6 nd ra halt //撤销设备不发送IPV6 RA通告,这条命令很关键,设 备需要RA通告来学习一系列的IPV6网络参数,如果设备不发送RA通告,则 客户端可能会出现拿到了IP地址却不知道网关的情况。
ipv6 nd autoconfig managed-address-flag //配置IPv6地址的自动获取方式, 为1则使用dhcpv6获取,为0则使用无状态地址获取模式获取,这里设置为自 动设置。
ipv6 nd autoconfig other-flag //配置其他标志位为自动设置。
- 创建聚合组并将端口划入聚合组中(以配置e1为例):
int e1
tr g 0/0/21 0/0/22
po li ac
po def v 12
- 创建OSPFV3进程并在V12和V101端口激活OSPFV3:
ospfv3 1 //创建OSPFV3进程。
rou 10.10.10.10 //配置route-id
int v12
ospfv3 1 a 1 //将接口划入OSPFV3进程的区域1。
int v101
ospfv3 1 a 0
- 创建BGP进程并配置邻居和网段通告:
bgp 10 //创建BGP进程并指定区域号。
rou 10.10.10.10 //指定route-id。
peer 192.168.101.10 as 60000 //指定邻居及其所在的区域号。
net 10.0.10.0 24 //通告业务网段。
net 10.0.11.0 24
net 10.0.12.0 24
- 配置MSTP区域:
stp re //进入MSTP区域。
reg hw1 //区域名称。
rev 1 //修订级别。
ins 1 v 101 //MSTP实例1。
ins 2 v 102 //MSTP实例。
ac re //激活区域配置。
- 配置QOS:
acl 3001
rule 1 per ip sou 10.0.0.0 0.255.255.255 des 10.0.0.0 0.255.255.255 //配置ACL匹配流量。
tra class bumen1
if acl 3001 //创建流量类匹配ACL 3001的流量。
tra be neiwang
re dscp cs3 //将数据包中的DSCP位设置为CS3,即将数据包的优先级提高以加速转发。
car cir 10000 //确保至少100Mb的流量。
tra pol neiwang
class bumen1 be neiwang 创建策略匹配流量类后执行指定行为。
int e3
traffic-policy neiwang out //在接口处激活发包策略。
- 配置缺省路由以方便内网用户访问外网:
ip route-static 0.0.0.0 0.0.0.0 192.168.101.1 //IPV4的缺省路由。
ipv6 route-static :: 0 2001:101::1 //IPV6的缺省路由。
3.2.3 核心层路由器配置(以LSW1和AC1对应的AR1为例)
核心层路由器的创建VLAN、配置IP地址、二层聚合组、OSPFV3进程,以及配置QOS与汇聚层交换机类似,此处不再赘述,下文将详细讲述其在配置过程中与配置LSW1的不同之处。
- 配置三层聚合组(以配置e0为例):
int e0
un portswitch //将聚合组从交换模式切换为路由模式,默认为交换模式
tr g 4/0/0 to 4/0/3 //交换模式下只能将二层接口划入聚合组,路由模 式下只能将三层接口划入聚合组。
ipv6 en
ip a 192.168.201.2 24
ipv6 a 2001:1001::2/96
ospfv3 1 a 0
traffic-policy neiwang in
traffic-policy neiwang out
- 配置OSPF(OSPFV2):
ospf 1 rou 1.1.1.1 //创建OSPFV2进程并指定route-id
import bgp //引入BGP的路由给防火墙或其他启动了OSPFV2进程的设备使用
a 0 //进入区域0
net 1.1.1.1 0.0.0.0 //通告环回接口以在BGP协议中使用
net 192.168.100.0 0.0.0.255 //通告邻接网段
net 192.168.101.0 0.0.0.255
net 192.168.102.0 0.0.0.255
net 192.168.104.0 0.0.0.255
net 192.168.201.0 0.0.0.255
- 配置BGP:
bgp 60000
rou 1.1.1.1
peer 2.2.2.2 as-number 60000 //指定IBGP邻居。
peer 2.2.2.2 connect-interface LoopBack0 //指定邻居与自己哪个端口 建立IBGP连接,通常选用环回端口因为环回端口稳定不容易故障。
peer 3.3.3.3 as-number 60000
peer 3.3.3.3 connect-interface LoopBack0
peer 4.4.4.4 as-number 60000
peer 4.4.4.4 connect-interface LoopBack0
peer 192.168.101.254 as-number 10 //指定EBGP邻居时通常选用物理端 口,且无需指定与哪个端口建立连接。
- 配置VRRP(仅AR1和AR2配置):
int vl101
vrrp vrid 10 virtual-ip 192.168.101.10 //配置VRRP虚拟路由器10的虚拟IP。
vrrp vrid 10 priority 120 //配置VRRP虚拟路由器10的VRRP优先级。
vrrp vrid 10 preempt-mode timer delay 20 //配置VRRP虚拟路由器10的主备 抢占时间。
int vl102
vrrp vrid 20 virtual-ip 192.168.102.10
AR2上的配置与AR1互为镜像,即在VL102接口上配置优先级为120和主备 抢占时间为20s。
- 配置MSTP区域(仅AR1和AR2配置):
AR1配置MSTP区域与LSW1相同,区别在于需要在系统视图([AR1])下指 定AR1为实例的根桥:
stp instance 1 root primary //指定AR1为实例1的主根桥。
stp instance 2 root secondary //指定AR1为实例2的备根桥。
AR2的主备根桥配置与AR1相反,即为1的备根桥和2的主根桥。
3.2.4 AC1配置
ensp平台为AC和USG6000V提供了使用WEB界面配置设备的方式,相较于使用命令行配置,WEB配置更加方便快捷,因此各大厂商都在设计命令行配置的同时设计了WEB界面配置,甚至部分厂商只提供WEB界面配置。本设计将会使用WEB界面配置AC和防火墙。
注:本小节及配置防火墙的小节中出现的“->”符号表示在WEB界面中鼠标点击的位置顺序。
- 准备工作:
http server en
v b 100 200
int v200
ip a 192.168.0.4 24
int g0/0/24
po li ac
po def v 200
要想从宿主机访问ensp平台的设备,可通过ensp中的cloud配置网卡映射,将宿主机网卡映射进ensp拓扑:
图3.2.4.1 cloud上的端口映射配置
ensp虽然易于上手,但已很久未有新版本,因此对于IPV6的支持较为不足,cloud映射物理网卡时无法映射IPV6地址就是例子。
配置完成后cloud上就会出现一个GE端口,将这个端口与AC的GE0/0/24相连便可通过浏览器访问AC的WEB界面,若出现如下界面,在高级选项中便可继续访问:
图3.2.4.2 访问WEB界面时报错不是私密连接
图3.2.4.3 WEB登录界面
初始登录账号为admin,密码为[email protected],首次登录需修改密码,密码有强度要求,必须同时包含字母、数字及特殊字符。
图3.2.4.4 AC的WEB配置界面
- 配置AP上线:
在WEB界面中选择配置->AC配置->基本配置,在界面中选择AC的源地址和AP的认证方式,然后点击应用,当AP通过dhcp获取到管理IP后,通过从dhcp服务器获取到的AC源地址向AC发送CAPWAP数据包以在AC上线:
图3.2.4.5 配置AC源地址和认证方式()
图3.2.4.6 AP成功上线
- 配置AP组和组业务SSID:
AP上线后,为方便管理,通常会以部门为单位创建AP组,在WEB界面中选择配置->快速配置->AP,在AP组列表中选择新建便可创建AP组,然后将AP加入AP组中:
图3.4.2.7 将AP加入AP组
在AP组界面的SSID配置中选择新建便可创建SSID:
图3.2.4.8 AP组创建SSID
图3.2.4.9 拓扑中出现无线射频圈,STA中出现SSID
3.2.5 出口防火墙配置
- 准备工作:
防火墙配置WEB管理界面所需的准备工作与AC相似,都需要在cloud上配置网卡映射,不同之处在于防火墙自带一个专门用于管理的特殊端口GE0/0/0,在防火墙的初始配置中这个端口已经配置了一个初始的管理IP,因此仅需在防火墙的命令行界面中进入接口,启动所有服务便可通过浏览器访问防火墙的WEB管理界面:
ser all per //激活所有服务。
需要注意,防火墙必须在宿主机联网后才能使用,否则将无法启动!首次登录防火墙的账号为admin,密码为Admin@123,与AC相同,首次登录也需要修改密码,防火墙也对密码有强度要求。
图3.2.5.1 防火墙的WEB配置界面
- 配置接口IP地址:
在网络->接口中可以看到所有接口,也可以新建本地环回接口和链路聚合,点击接口便可给接口配置IP,需要注意物理接口需要配置所属区域后才会执行收发包业务,IPV6需要先激活全局IPV6:
图3.2.5.2 配置完成的接口
- 配置OSPFV2和OSPFV3:
在网络->路由->OSPF中分别新建OSPFV2和OSPFV3进程,全部默认配置即可:
图3.2.5.3 新建的OSPF进程
在新建的OSPF进程中点击高级,先新建区域,OSPFV2需添加网段和反掩码,OSPFV3需要将接口加入OSPF区域:
图3.2.5.4 配置完成的OSPFV2进程
图3.2.5.5 配置完成的OSPFV3进程
- 配置NAT4策略:
在策略->NAT策略中创建NAT策略,除了内网业务IP上外网需要转换成防火墙出接口IP外,还需注意VPN业务不需要转换IP:
图3.2.5.6 内网业务IP上外网的策略
图3.2.5.7 给VPN使用的不转换地址
- 配置IPSEC:
在网络->IP Sec中创建IPSEC策略,须注意IPSEC配置时对端要镜像配置:
图3.2.5.8 IPV4业务的IPSEC策略
图3.2.5.9 IPV6业务的IPSEC策略
- 配置SSTP(SSL VPN):
出于ensp自身的BUG等一系列非配置问题,部署在ensp平台的USG6000V防火墙无法在WEB界面创建SSTP虚拟网关,也无法在WEB界面配置WEB代理、文件共享、端口转发等SSTP业务,但当防火墙部署在EVENG平台时不受影响。因此需要在命令行创建SSTP虚拟网关:
v-gate sslvpn int g 1/0/0 port 4430 pri //指定物理接口和传输层端口号创建SSTP虚拟网关。
配置完成后便可在SSL VPN策略中看见创建完成的SSTP策略,此时便可使用WEB界面配置SSTP业务。
图3.2.5.10 配置SSTP的网络扩展
配置完成后,需要创建SSTP用户以允许员工访问:
图3.2.5.11 配置SSTP的用户
- 配置安全策略:
防火墙需要配置安全策略才会允许数据包通行,默认配置下防火墙禁止所有数据包通行:
图3.2.5.12 配置完成的安全策略
- 配置QOS策略
防火墙配置QOS需要先配置带宽通道然后在QOS策略中引用带宽通道:
图3.2.5.13 配置带宽通道,下方的高级中还配置了重标记DSCP为ef
图3.2.5.14 配置QOS带宽策略
至此拓扑设计中的设备全部配置完毕。
3.3 本章小结
本章开头先规划了端口的VLAN及IP地址配置,然后分层进行设备配置,从每层中挑选一个代表性的设备详细解释,并对配置过程中用到的命令进行了注释说明。因为AC和防火墙使用WEB界面配置,所以还需进行映射宿主机网卡等准备工作以允许宿主机使用浏览器访问并配置设备。
第4章 实验测试
4.1 IPV4业务
图4.1.1 无线AP成功上线并发出射频
图4.1.2 部门1有线电脑访问已经连接WLAN的笔记本
图4.1.3 部门2笔记本访问部门1笔记本(延迟高是ensp的问题,通了就行)
图4.1.4 部门4笔记本访问部门1笔记本
图4.1.5 部门1客户端访问DMZ区域服务器
图4.1.6 部门2客户端访问部门1服务器
图4.1.7 外网客户端访问DMZ区域服务器(8080为服务器映射到外网的端口号)
图4.1.8 防火墙IPSEC隧道建立成功(IPV4和IPV6)
图4.1.9 部门1通过IPSEC隧道访问分部
图4.1.10 宿主机连接拓扑中的SSTP服务器
图4.1.11 宿主机使用内网IP访问DMZ区域服务器
注:ensp的USG6000V有个BUG,运行一段时间后业务可能会中断,可以换设备重新配置。
4.2 IPV6业务
由于ensp平台限制,ensp平台中的服务器、客户端及无线业务均不支持IPV6协议,cloud建立网卡映射时也无法映射IPV6业务,因此IPV6业务的测试通过测试网络通断以判断基于IPV6的网络业务能否顺利执行。
图4.2.1 部门1电脑通过DHCPV6获取到IP地址和网关
图4.2.2 部门1电脑访问内网其他部门电脑
图4.2.3 部门1电脑访问DMZ区域电脑及通过IPSEC隧道访问分部
4.3 本章小结
本章对配置好的设计进行了网络测试。IPV4有内外网通断测试、访问内网服务器测试、访问DMZ服务器测试、访问IPSEC对端设备测试、SSTP客户端内网地址访问服务器测试;IPV6由于ensp平台制作的测试内容较少,故仅有内外网通断测试。
第5章 总结与展望
5.1 拓扑在现实中的可优化项分析
基于ensp的大型安全数据中心网设计通过大量使用链路聚合技术以实现高额带宽,但受限于ensp平台本身,ensp平台中的设备可用端口不如现实中那样丰富,模拟出的设备性能也受限于宿主机本身,因而我需要在现实中找寻同款或相似设备以分析如何对拓扑加以改进。
首先是接入交换机,目前常用的接入交换机都带有光纤接口作为上行接口,光纤相较于传统网线,其在远距离、高速率传输数据具有无可比拟的优势。以华为S5755-H系列交换机为例,其100GE光口能够实现极高的数据传输速率,足以满足大量接入层用户的上网需求。随着园区网内无线用户的增多,传统的AP已不能满足用户的接入需求,而传统的POE协议难以支持大型AP的运行,S5755-H支持90W POE++高功率POE协议,代表其能够为性能优异的大型AP提供供电,也因此能够满足大量无线用户的接入上网需求。
其次是汇聚/核心设备,为保障高额数据流量通行,汇聚/核心设备通常是全光设备,且提供多种接入用户认证方式保障网络安全,以S12700E系列为例,其不仅支持大量用户连接,还可以作为AC管理AP,即便园区网仅使用二层架构,其作为核心设备也能满足园区的内网业务。
防火墙方面,大型园区网具有业务量大、受攻击威胁高、攻击手段复杂多样等特点,因此大型园区网需要性能强大的防火墙以全面保护内网安全,新一代的防火墙通常具有防护功能一体化、智能化的能力,能够防御绝大部分来自外网的攻击,并能通过入侵防御系统对攻击进行防御。
大型园区网除了使用上述设备外,还可以使用专门的入侵防御系统以应对更复杂的攻击手段,专门的抗DDOS设备应对DDOS攻击,也可以使用堡垒机对上网行为进行审计管控。总之,大型园区网的解决方案有很多种,可以灵活搭配使用找到适合的方案。
5.2 总结
随着网络技术的不断发展,人们对网络的需求也从以前单纯地追求高速和可靠转变为高速、可靠和安全三位一体,对企业而言,安全可靠的园区网能够为各项业务保驾护航,实现稳定的收益。
本文先后从背景、国内国际研究与需求方面设计出总体方案,又通过需求完成了拓扑的配置。本设计通过虚拟平台模拟,并通过测试拓扑业务通断,确认了设计能够实现任务书及开题报告中所给定的设计目标。尽管虚拟平台能够选用的设备十分有限,但通过对行业内相关厂家设备的调研,以及对各项协议技术相关资料的查阅,本设计也提出了关于移植到现实的改进措施,因此本设计在现实中具有一定的指导意义及可行性。
经过无数次相关资料的查阅及拓扑测试,我终于完成了大型安全数据中心网的设计,尽管在配置过程中我遇到了大量难题,但在导师的指导下,绝大部分问题迎刃而解,这个设计也让我深刻认识到组建大型园区网的困难及挑战,在这些困难和挑战面前,ensp平台能给我提供的帮助也只是杯水车薪,也因此本设计还存在许多可以优化的项目,例如:
- 设备集中管理平台:园区网内存在大量网络设备,单独配置费时费力,许多厂商提出了设备集中管理技术,通过集中管理技术,运维人员仅需登录集中管理平台就可以看到园区内所有设备的状态及各种网络状态信息,还可以批量乃至智能化配置设备。
- 更精细化的QOS策略:更精细化的QOS策略能够更加精准地提高网络质量,我只配置了简单的数据包优先级提高和带宽保证策略,这样的QOS策略在处理复杂流量时较为吃力。
相信自己在未来,可以不断完善本设计的不足之处,设计出更加完善的成品,使设计变得更加可靠。
参考文献
[1] 徐双,李爱超.高校数据中心网络拓扑结构分析与研究[J].信息记录材料,2023,24(02):164-166.
[2] 田芮利.无线技术在企业园区网中的应用[J].计算机与网络,2012,38(Z1):148-153.
[3] 尤歌.A公司园区网IPv6升级改造项目风险管理研究[D].北京邮电大学,2023.
[4] 周红军,肖华.基于IPv6的广电下一代互联网交换中心建设探讨[J].广播电视网络,2021,28(11):87-88+91.
[5]田辉.“IPv6+”开启下一代互联网创新之门[J].通信世界,2022,(04):12-14.
[6] Yang W ,Wang Q ,Yao Y .IPv6 active address detection model based on diffusion model[J].Computer Networks,2025
[7] 齐小刚.计算机网络中的路由与性能优化[D].西安电子科技大学,2005.
[8] 时晨,赵洪钢,余瑞丰,等.基于eNSP的高可靠性企业园区网设计与仿真[J].实验室研究与探索,2020,39(02):112-117.
[9] 温贺平.基于eNSP的安全园区网实验设计与构建[J].实验室研究与探索,2018,37(04):126-129+169.
[10] 高润芳,陈传革,胡章荣.企业园区网模块化设计[J].科技视界,2014,(12):274-275.
[11] Chen H ,Sun L .Enterprise Network Design and Deployment Practice based on eNSP[J].Scientific Journal of Intelligent Systems Research,2024,6(11):9-19.
[12] Chen J ,Zheng X ,Zhang L , et al.MSTP Protocol Simulation Experiment Based on ENSP[J].Journal of Physics: Conference Series,2020,1486(7):
[13] Juan C ,Xueqiang Z ,Lei Z , et al.WLAN Simulation Experiment Based on ENSP[J].Journal of Physics: Conference Series,2019.
[14] 张沛,刘吾腾.基于eNSP的ACL配置仿真实验设计[J].集成电路应用,2024,41(07):20-21.
[15] 张振锋,吴南,王赞森.基于eNSP仿真平台的中小型企业组网实验与设计[J].网络安全技术与应用,2023,(12):11-14.
转载自CSDN-专业IT技术社区
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
原文链接:https://blog.csdn.net/qq_74243951/article/details/149579941
