[摘要]職業(yè)院校網(wǎng)絡(luò)專(zhuān)業(yè)的學(xué)生在學(xué)完所有專(zhuān)業(yè)課程后，當(dāng)讓他們?cè)O(shè)計(jì)一個(gè)實(shí)際的組網(wǎng)方案時(shí)，大部分學(xué)生仍感到很茫然，不是他們所學(xué)知識(shí)不夠，而是他們沒(méi)有整體網(wǎng)絡(luò)的設(shè)計(jì)思想。本文就是從一個(gè)具體企業(yè)網(wǎng)絡(luò)組建方案入手，簡(jiǎn)單闡述網(wǎng)絡(luò)設(shè)計(jì)方案的步驟及思想。
　　[關(guān)鍵詞]組網(wǎng)方案，企業(yè)網(wǎng)，設(shè)計(jì)思想
　　1.引言
　　計(jì)算機(jī)網(wǎng)絡(luò)專(zhuān)業(yè)是職業(yè)院校開(kāi)設(shè)最多的一個(gè)專(zhuān)業(yè)，各學(xué)校關(guān)于網(wǎng)絡(luò)專(zhuān)業(yè)的課程設(shè)置也比較完善。學(xué)生在校期間所學(xué)的相關(guān)專(zhuān)業(yè)知識(shí)是非常全面的，但大部分學(xué)生由于缺乏整體網(wǎng)絡(luò)的設(shè)計(jì)思想，因此當(dāng)他們需要設(shè)計(jì)一個(gè)組網(wǎng)方案時(shí)，仍感覺(jué)在學(xué)校學(xué)的知識(shí)用不上。
　　實(shí)際上分層網(wǎng)絡(luò)設(shè)計(jì)模型是現(xiàn)代網(wǎng)絡(luò)方案設(shè)計(jì)較常用的模型。該模型將網(wǎng)絡(luò)分成三層：接入層、分布層、核心層。接入層的主要目的是提供一種將設(shè)備連接到網(wǎng)絡(luò)并控制允許網(wǎng)絡(luò)上的哪些設(shè)備進(jìn)行通信的方法。分布層先匯聚接入層交換機(jī)發(fā)送的數(shù)據(jù)，再將其傳輸?shù)胶诵膶�，最后發(fā)送到最終目的地。核心層的功能主要是實(shí)現(xiàn)骨干網(wǎng)絡(luò)之間的優(yōu)化傳輸
　　2.方案設(shè)計(jì)
　　1）需求分析
　　總公司與分公司接入Internet，采用NAT方式上網(wǎng)，同時(shí)通過(guò)VPN隧道，實(shí)現(xiàn)分公司訪問(wèn)總公司。
　　不同辦公司之間數(shù)據(jù)不共享
　　保障網(wǎng)絡(luò)基本的安全性，時(shí)時(shí)監(jiān)控網(wǎng)絡(luò)中的安全事件
　　分公司周一到周五9：00至于17：00上網(wǎng)，周六周日全天上網(wǎng)，用戶(hù)采用無(wú)線上網(wǎng)，自動(dòng)獲得IP地址
　　總公司網(wǎng)段10.0.0.0/16,分公司10.1.0.0/16。
　　2）網(wǎng)絡(luò)拓?fù)淙缦?br /> 　　
　　3）數(shù)據(jù)規(guī)劃
　　設(shè)備 設(shè)備名稱(chēng) 設(shè)備接口 IP地址
　　路由器
　　 VPN1 Fa0/0 10.0.0.5/30
　　  Fa0/1 10.0.0.9/30
　　  Fa0/2 10.0.0.2/30
　　 R2 S2/0 20.0.0.1/30
　　  Loopback0 2.2.2.2/32
　　  Fa0/0 30.0.0.1/29
　　 R3 S3/0 20.0.0.5/30
　　  S2/0 20.0.0.2/30
　　  Loopback0 3.3.3.3/32
　　 R4 Fa0/0 20.0.0.9/30
　　  S3/0 20.0.0.6/30
　　  Loopback0 4.4.4.4/32
　　防火墻 FW1 GE1 10.0.0.1/30
　　  GE2 10.0.0.14/30
　　  GE3 30.0.0.2/29
　　 FW2 GE1 10.1.10.1/30
　　  GE2 10.1.0.2/30
　　  GE3 20.0.0.10/30
　　三層交換機(jī) SW1 Fa0/24 10.0.0.3/29
　　  VLAN10 10.1.10.2/24
　　  VLAN20 10.1.20.2/24
　　  VLAN30 10.1.30.2/24
　　 SW2 Fa0/24 10.0.0.4/29
　　  VLAN10 10.0.10.3/24
　　  VLAN20 10.0.20.3/24
　　  VLAN30 10.0.30.3/24
　　VPN網(wǎng)關(guān) VPN-1 Eth0 10.0.0.13/30
　　  Eth1 40.0.0.1/30
　　 VPN-2 Eth0 10.1.0.1/30
　　  Eth1 40.0.0.2/30
　　入侵檢測(cè) IDS 管理地址 10.0.30.254/24（管理接入SW1的FA0/22,屬于VLAN30，監(jiān)視口接入SW1的FA0/23.
　　無(wú)線網(wǎng)絡(luò) MXR 子網(wǎng) 設(shè)備管理IP地址10.1.10.2，MX-2為無(wú)線用戶(hù)為無(wú)線用戶(hù)分配IP地址范圍(10.1.10.10-10.1.10.100)網(wǎng)關(guān)為10.1.10.1.
　　4）設(shè)備功能實(shí)現(xiàn)
　　總公司局域網(wǎng)實(shí)施
　　防火墻FW-1：安全功能配置VPN使得總公司與分公司互通，實(shí)現(xiàn)數(shù)據(jù)的安全性和完整性。NAT配置NAT，實(shí)現(xiàn)內(nèi)部網(wǎng)絡(luò)訪問(wèn)互聯(lián)網(wǎng)，和實(shí)現(xiàn)將內(nèi)網(wǎng)的WEB、FTP等資源發(fā)布的互聯(lián)上。
　　路由器R1：SW1與R1線路為主用線路，承載正常數(shù)據(jù)流，SW2與R2為備用線路，正常情況下不承載數(shù)據(jù)流。通過(guò)靈活配置VLAN10，VLAN20，VLAN30網(wǎng)段的回程路由，實(shí)現(xiàn)當(dāng)SW1與R1鏈路down時(shí)，可以自動(dòng)切換至R1與SW2線路
　　三層交換機(jī)SW-1：優(yōu)化功能SW1為主用交換機(jī)，正常情況下SW1上承載VLAN10,VLAN20,VLAN30的數(shù)據(jù)轉(zhuǎn)發(fā)。只有當(dāng)SW1至R1互聯(lián)線路down時(shí)，SW2由備用轉(zhuǎn)為主用交換機(jī)。劃分VLAN,配置VRRP，使得所有的VRRP組為master狀態(tài)。（VRRP的組號(hào)即為該VLAN的ID，如VLAN10的VRRP組ID為10），配置trunk線路Fa0/1與SW3Fa0/23以trunk方式互聯(lián)。配置鏈路聚合，增加線路帶寬及冗余性。配置端口鏡像，將FA0/24所有數(shù)據(jù)流鏡像到FA0/23口，配置MSTP生成樹(shù)協(xié)議。
　　三層交換機(jī)SW-2：SW-2為備用交換機(jī)，正常情況下SW1上承載VLAN10,VLAN20,VLAN30的數(shù)據(jù)轉(zhuǎn)發(fā)。只有當(dāng)SW1至R1互聯(lián)線路down時(shí)，SW2由備用轉(zhuǎn)為主用交換機(jī)。劃分VLAN,配置VRRP，使得所有的VRRP組backup狀態(tài)。（VRRP的組號(hào)即為該VLAN的ID，如VLAN10的VRRP組ID為10），配置trunk線路Fa0/1與SW3Fa0/24以trunk方式互聯(lián)。配置鏈路聚合，配置MSTP生成樹(shù)協(xié)議。
　　接入層交換機(jī)SW-3：
　　劃分VLAN，配置相關(guān)端口，啟用端口安全功能，只允許特定主機(jī)接入。
　　配置MSTP生成樹(shù)協(xié)議。
　　入侵檢測(cè)系統(tǒng)IDS：
　　安全功能：派生策略，需要監(jiān)控TCP攻擊、UDP攻擊、DOS攻擊、IP攻擊。
　　管理功能：管理接口地址為192.168.9.254/24，網(wǎng)關(guān)192.168.9.1，管理服務(wù)器地
　　址為192.168.9.10/24
　　Internet互聯(lián)網(wǎng)實(shí)施
　　R2、R3、R4三臺(tái)路由器模擬internet，三臺(tái)路由器組成OSPF多區(qū)域，互聯(lián)線路采用PPP線路chap認(rèn)證，OSPF采用MD5認(rèn)證。
　　分公司局域網(wǎng)實(shí)施
　　防火墻FW-2：安全功能放行總公司、分公司互相訪問(wèn)進(jìn)出VPN數(shù)據(jù)流通過(guò)。
　　FW-2地址轉(zhuǎn)換配置NAT，實(shí)現(xiàn)內(nèi)部網(wǎng)絡(luò)10.1.10.0/24，訪問(wèn)互聯(lián)網(wǎng)，其使用合法的公網(wǎng)地址為50.0.0.2/30，上網(wǎng)時(shí)間為周一到周五9：00至于17：00上網(wǎng)，周六周日全天上網(wǎng)
　　FW-2配置靜態(tài)路由實(shí)現(xiàn)分公司上網(wǎng)數(shù)據(jù)流與分公司訪問(wèn)總公司數(shù)據(jù)流的分流。
　　路由器R5：配置簡(jiǎn)單的路由，使網(wǎng)絡(luò)連通。配置DHCP為分公司動(dòng)態(tài)分配地址。
　　入侵檢測(cè)系統(tǒng)：安全功能：派生策略，需要監(jiān)控TCP攻擊、UDP攻擊、DOS攻擊、IP攻擊。管理功能：管理接口地址為192.168.60.9/24，網(wǎng)關(guān)192.168.60.1，管理服務(wù)器地址為192.168.60.10/24
　　路由器R4：配置OSPF路由協(xié)議，配置基于接口驗(yàn)證功能，采用MD5方式。FA0/0所在網(wǎng)段采用路由重發(fā)布方式，注入OSPF中，R4鏈路安全配置PPP實(shí)現(xiàn)CHAP認(rèn)證.
　　4）功能驗(yàn)證
　　根據(jù)以上網(wǎng)絡(luò)方案進(jìn)行實(shí)施，最后需通過(guò)實(shí)施驗(yàn)證看是否達(dá)到預(yù)期的效果。做以下簡(jiǎn)單的驗(yàn)證查看效果：
　�、� MSW-1、MSW-2配置的VRRP組主備選舉正常，當(dāng)MSW-1上行端口DOWN時(shí)，可以正常切換
　�、� 各VLAN用戶(hù)可以ping通防火墻內(nèi)網(wǎng)口IP192.168.50.2，斷開(kāi)SW1上行線路斷開(kāi)，或者SW1掉電，都可以正常ping通
　�、� R2、R3、R4OSPF鄰居建立正常
　�、� 在R4上可以正常ping通12.0.0.2，R2上可以正常ping通45.0.0.4
　�、� 查看R4路由表，通過(guò)OSPF只學(xué)習(xí)一條缺省路由
　�、� 在R5上查看DHCP綁定
　　3.總結(jié)
　　本文通過(guò)一個(gè)具體的企業(yè)網(wǎng)的設(shè)計(jì)方案，體現(xiàn)了網(wǎng)絡(luò)設(shè)計(jì)的思想和步驟，學(xué)生們?cè)趯W(xué)校學(xué)了大量的關(guān)于進(jìn)行設(shè)備配置的技術(shù)知識(shí)。對(duì)于網(wǎng)絡(luò)方案的設(shè)計(jì)通過(guò)本文希望可以給大家以啟示。
　　參考文獻(xiàn)：
　　[1]李武，網(wǎng)絡(luò)組建管理與維護(hù)，東南大學(xué)出版社
　　[2]張敏波，中小型企業(yè)網(wǎng)絡(luò)組建實(shí)訓(xùn)教程,