企业网组网设计与仿真实现

企业网组网设计与仿真实现

摘要

如今，安全高效的网络化办公是现代公司运营的标配。企业实施网络化能够很好地提高办公效率，促使企业内部员工之间更好的沟通合作，同时能够满足移动办公的需求。但同时，面对纷繁复杂的互联网环境，对企业网络做好安全防护，保护公司机密信息是很有必要的。

本次设计主要针对大中型企业网络进行简单设计。以典型的企业网为设计基础，着重于网络安全，并加入WLAN、设备冗余解决方案。在安全与效率中寻找切实的设计方案，拓展出新的企业网络设计解决方案。

关键词：企业组网；网络安全；防火墙；WLAN

企业网组网设计与仿真实现

1 前言

1.1 选题背景

随着信息化进程的前进，许许多多的企业建立了自己的企业网络。特别是广大的大中型企业，由于组网规模适中、网络布局灵活、有限的资金成本及着眼未来的扩展等多种条件和要求下，慢慢形成了一些典型的企业组网方式。随着互联网的发展和企业的扩大，企业网的组网要求不再局限于数据传输、信息共享，而是要更加的注重企业网络的信息安全。本文正是以构建一个更可靠、更高速、更方便以及更安全的网络和业务管理为出发点，探讨并模拟出可行的解决方案。

1.2 选题的目的和意义

统一、可靠、安全的企业网络信息系统能在企业内实现资源的高度共享，提高工作效率和管理水平，提供数据传输、语音话务、视频会议等多种信息通信业务，且拥有完善的企业网管理应用系统。

建立完备的企业网络环境，是顺应时代发展的趋势，充分利用现代化技术来提高企业管理质量及实现办公的自动化，对企业在信息化时代的生存和发展具有不可或缺的意义。

1.3 可行性分析

面对现代市场竞争，纯粹的手工管理方式和手段已经不能够适应现代企业发展的需求。社会的进步、科技的发展要求企业必须更新落后的管理体制、管理方法和管理手段，建立现代企业应有的形象，建立适合本企业的自动化管理信息系统，促使管理水平的提高，经济和社会效益的增加。

实现企业现代化管理和办公自动化，能够为整个企业带来高效畅通的信息高速通道和企业公共服务环境，既能够为各部门提供先进的信息服务和生产环境，又能提高各部门的办公效率和综合管理水平，更能改变传统的管理思路和方式，提升管理人员和工作人员的素质，大大提高企业人员的工作效率。

1

企业网组网设计与仿真实现

从企业管理和业务发展的角度看，通过网络资源的公用来改善企业之间、企业和客户间的信息交流方式，使企业能够迅速掌握瞬息万变的市场信息；再者，随着办公自动化水平的提高，能够大大促进工作效率的同时减低企业管理成本的支出，提高企业的竞争力；最后，企业内部网络的建立，还能够方便各方面的沟通交流，集中管理，加强企业资源分配的最优化。

因此，建立一个统一、可靠和安全的网络信息系统是非常必要的。

1.4 基本思路

根据对选题的背景、目的、意义和可行性分析，总结有如下设计思路：选择适合的网络层次模型来规划企业网络框架；采用合理的策略，确保各业务的性能发挥，增强企业数据的保密性；设置网络设备的冗余备份，确保企业网络不间断运作；选择稳定高效的网络设备，充分发挥企业网络的优势，确保企业的正常运作；最后是选用合适的网管方式，控制维护整个网络。

1.5 仿真实验平台

本文为了更直观、更真实地表现论文的实际价值，将使用模拟仿真软件来实现网络的搭建。本文所涉及的网络构建、模拟、测试等软件平台如下：

操作系统平台：Microsoft Windows 7

网络仿真软件：Cisco Packet Tracer，GNS3，DynamipsGUI

2

企业网组网设计与仿真实现

2 网络设计需求分析

2.1 总体需求分析

企业网络的总体需求即是一个统一、可靠和安全的自动化办公硬件平台系统。这个企业网络系统必须满足如下几点：满足现代企业管理的统一，设计网络系统时增加对统一管理的要求；满足现代企业自动化办公对网络带宽的苛刻需求，提供高性能的网络处理能力；满足现代企业部门多，资源分配有限的现状，合理规划网络层次，实现最优的资源共享；满足现代企业的发展及科技进步的需要，提供拓展能力强、升级灵活的网络环境；满足现代企业对信息资源的共享与安全，提供完善的网络安全解决方案；满足现代企业对办公效率及成本控制的需求，增加一套高效的网络应用解决方案。

2.2 具体需求分析

2.2.1 基本架构的需求

针对大中型企业网设计，网络结构采用典型的三层网络结构，并使用VLAN技术来对网段进行划分管理；考虑到未来网络的发展，使用当今流行的千兆以太网技术，实现千兆核心、百兆接入；核心网络设备的冗余备份，实现公司内部的无间断运作；组建WLAN（无线局域网）区域，由于无线只用于较少的场合，这里选用无线AP+交换机（有线）的组合，实现简单、经济的无线网络解决方案。

2.2.2 网络出口和接入

租用电信固定IP，申请高速的宽带网络，能通过Internet向外公布和发布企业信息，并能实施VPN（虚拟专用网络）方案；使用PAT（端口地址转换）和端口映射，在满足内网连接Internet的同时能够让外网正确访问公共服务器。

3

企业网组网设计与仿真实现

2.2.3 网络安全的需求

采用访问控制措施对内网对外网、内网对DMZ（非军事区）、外网对DMZ的防火墙设置，阻止恶意流量的侵入；启用VPN解决方案，在最经济的条件下实现安全的异地信息共享，并能实现移动办公；因内网使用DHCP（动态主机配置协议）解决方案，启用DHCP过滤、动态ARP（地址解析协议）检测等手段对内网安全进行巩固；对非员工区域以及无线网络接入启用802.1x+radius服务器验证方案；公司内部计算机安装防病毒软件来实施全网的病毒安全防护。

2.2.4 硬件安全的需求

网络中心机房规格应符合相关管理标准，机房建设的好坏直接关系到机房内计算机系统是否能稳定可靠地运行；配置高质量电源，设置良好的接地系统，并且安装UPS（不间断电源）装置；做好网络监控与安全措施，防止非授权人员直接进入机房实施入侵。

2.2.5 服务器选择需求

由于网络产品的性能、质量和功能与其价钱成正比，因而在一些关键性服务器的选择上，如数据库服务器、Web/Mail服务器等负荷较重的业务上应该选择性能较强的产品，而一些工作负载较少的应用，如DHCP服务器、DNS服务器等，可选择配置较好的普通PC来承担。

2.2.6 网络的安全教育

建立一套完整的网络管理规定和网络使用方法，并要求网络管理员和网络使用人员必须严格遵守；加强对网络管理员和网络使用人员的培训；制定合适的网络安全策略，让网络用户在使用网络的过程中逐步把网络当成工作中的一个得力工具，从而自觉地维护网络的安全。

4

企业网组网设计与仿真实现

3 网络总体设计方案

3.1 网络结构设计

企业网络，在本设计中也可在本设计中也可以称为园区网，园区网是非常典型的综合型网络实例，园区网通常是指大学的校园网及企业的内部网（intrfaceernet）。园区网分为3个部分，分别是交换网络，路由网络和远程登陆网络，主要的中心部分是交换网络部分。

3.1.1 主干结构设计

本设计将网络结构分为三层：接入层、汇聚层和核心层。使用三层网络结构适合大中型企业的实际规模；二是这能提高网络对突发事故的自动容错能力，减少网络故障排错的难度和时间；三是采用此网络分层有利于企业将来更灵活地对企业网升级扩大。

3.1.2 楼层局域网设计

接入层采用支持802.1Q的10/100Mbps工作组以太网交换机，交换机的数据依据用户端口数、可靠性及网管要求配置网络接入交换机，使10/100Mbps流量接至桌面。

3.1.3 互联网接入设计

互联网接入由位于网络中心的DMZ交换机、WWW服务、E-mail服务、防火墙、路由器、Intrfaceernet光纤接入组成。向电信申请一个固定IP，提供外网服务器的访问服务。

3.1.4 VLAN设计

通过VLAN将相同业务的用户划分在一个逻辑子网内，各工作组交换机采用基于端口的VLAN划分策略，划分出多个不同的VLAN组，分隔广播域。同样在千兆/百兆以太网上联端口上设置802.1Q协议，设置通信干道(Truck)，将每个VLAN的数据流量添加

5

企业网组网设计与仿真实现

标记，转发到主干交换机上实现网络多层交换。

3.1.5 VPN设计

通过Intrfaceernet采用VPN数据加密技术，构成企业内部虚拟专用网，可以帮助远程用户、公司分支机构、商业伙伴及供应商同公司的内部网建立可信的安全连接，并保证数据的安全传输。

3.2 网络拓扑设计

本设计中用的到的设备采用Cisco公司的网络设备构建。全部网络设备使用同一厂商设备的主要原因是在于可以实现各种不同网络设备功能的兼容以及互相配合和补充。设计的网络拓扑设计图如图3.1所示。

内部服务器群外部服务器群DMZ分支机构SW33VPNGatewayNetMagSW4FW网管部门核心层SiSiCore1VPNCore2汇聚层SW1SW2SW3SW11SW12SW13SW21SW22SW31SW32家庭用户VLAN40VLAN50无线（会议室、访客厅）接入层图3.1 网络拓扑设计图

在图3.1的拓扑中，接入层选用较廉价的二层交换机，如Catalyst 2960等；汇聚层选用中性能三层交换机，如Catalyst 3560；核心层选用性能更加强大的三层核心交换机，如Catalyst 4500系列，甚至Catalyst 6500系列。防火墙则选用ASA 5500系列，网关路由器则选用3600系列路由器（由于仿真软件的设计问题，实验设计中未必

6

企业网组网设计与仿真实现

能选用到一模一样的网络设备，但由于设计和功能上的设计，在实验环境下并没有太大差别，只有在实际环境下，对性能的考验才有较明显的差异）。

3.3 VLAN与IP地址规划

VLAN（Virtual Local Area Network）的中文名为“虚拟局域网” 通过将企业网络划分为虚拟网络VLAN网段，可以强化网络管理和网络安全，控制不必要的数据广播。一个合适的园区网，就需要一个合理的交换机网络，本设计中应用VLAN划分不同区域。在本设计中，整个企业网中VLAN及IP编址方案如下表3.1所示。

表3.1 VLAN及IP编址方案

VLAN号 VLAN10 名称 部门单位1 Units1 部门单位2 Units2 部门单位3 Units3 部门单位4 Units4 网管部门 NetMag 部门单位5 Units5 部门单位6 Units6 会议室 Meeting-Room 访客厅 Guest 服务器群 Servers 外部服务器群 IP网段 192.168.10.0/24 默认网关 说明 允许访问服务器群网192.168.10.1 段、外网 禁止部门间互访 允许访问服务器群网192.168.11.1 段、外网 禁止部门间互访 允许访问服务器群网192.168.20.1 段、外网 禁止部门间互访 允许访问服务器群网192.168.21.1 段、外网 禁止部门间互访 192.168.22.1 允许（发起）访问公司各个VLAN、外网 VLAN11 192.168.11.0/24 VLAN20 192.168.20.0/24 VLAN21 192.168.21.0/24 VLAN22 192.168.22.0/24 VLAN30 192.168.30.0/24 允许访问服务器群网192.168.30.1 段、外网 禁止部门间互访 允许访问服务器群网192.168.31.1 段、外网 禁止部门间互访 允许访问服务器群网192.168.40.1 段、不允许访问外网 禁止部门间互访 192.168.50.1 只允许访问外网 VLAN31 192.168.31.0/24 VLAN40 192.168.40.0/24 VLAN50 192.168.50.0/24 VLAN60 ——

192.168.60.0/24 192.168.70.0/24 不允许主动发起连接，192.168.60.1 除email/FTP服务器相关协议外 192.168.70.1 不允许主动发起连接，7

企业网组网设计与仿真实现

PublicSer —— —— VPN接入 内部路由地址 192.168.80.0/24 192.168.0.X/30 —— —— 除email/FTP服务器相关协议外 仅允许访问内部服务器 —— VLAN1 管理VLAN 192.168.110.0/24 192.168.11.X 管理二层交换机 如表3.1所示，每个VLAN分配IP网段的网络位均为24位，每个网段都会保留前10个地址，用作网关、管理以及部门服务器等用途，主机位（二进制）为全0或全1的地址不分配，即每个分配到PC用的地址将有244个。

3.4 模块设计与仿真

结合网络拓扑设计，本企业网设计方案可以分为以下四大部分构成： ? 交换模块 ? 广域网接入模块 ? 远程接入模块 ? 安全加固模块。

交换模块由Cisco Packet Tracer进行模拟仿真，广域网接入摸快、远程接入模块和安全模块使用GNS3、DynamipsGUI进行模拟仿真（由于模拟实验与真实平台有一定差异，一些命令配置并不能完全在模拟环境下实现）。

8

企业网组网设计与仿真实现

4 网络详细设计方案

4.1 交换模块设计

交换模块由Cisco Packet Tracer 5.3和GNS3进行模拟仿真。具体仿真软件拓扑图如图4.1所示。

图4.1 交换模块仿真软件拓扑设计图

根据拓扑设计的要求，本次仿真设计所使用的设备有：Catalyst 2960二层交换机、

9

企业网组网设计与仿真实现

Catalyst 3560三层交换机、通用路由器（标识为防火墙）、Cisco 2811、通用服务器设备、瘦AP（无线接入点设备）、台式PC、便携PC。

4.1.1 基础配置

1、设置设备命名

设置设备名称，称为Hostname，也就是出现在网络设备CLI提示符中的名字。为方便识别，一般以地理位置或行政划分来为交换机命名。当需要远程登录（Telnet）到若干台设备以维护网络时，通过其名称提示符可以得知自己当前配置设备的位置以清楚当前位置。

这里以交换机SW1为例：

switch(config)#hostname SW1 SW1(config)# 2、设置设备密码

当用户想要进入特权用户模式时，需要提供此口令。此口令会的形式加密是MD5，所以当用户查看配置文件时，是无法看到明文形式的口令。

将交换机的加密口令设置为gdin_alex： SW1（config）#enable secret gdin_alex 3、远程登录密码

对于交换机的远程管理来说，一个已经运行着的交换网络为网络管理人员提供了很多的方便。出于安全考虑，在能够远程管理交换机之前网络管理人员必须设置远程登录设备的密码。

设置交换机远程登录用户身份验证，同时设置口令为gdin_alex： SW1（config）#line vty 0 15 SW1（config-line）#login

SW1（config-line）#pass gdin_alex 4、线路超时时间

为了防止管理员长时间离开，导致其他人趁机利用管理员权限，所以就需要设置终端线超时时间。在设置的时间5分钟内，如果没有检测到键盘输入，则IOS将断开交换机和用户之间的连接，重新登陆需要输入密码。

10

企业网组网设计与仿真实现

设置登录交换机的控制台终端线路超时时间为5分钟： SW1（config）#line vty 0 15 SW1（config-line）#exec-time 5

设置登录交换机的虚拟终端线的超时时间为15分钟： SW1（config-line）#line console 0 SW1（config-line）#exec-time 15 5、设置禁用IP地址解析特性

在交换机默认配置下，当管理员输入一条错误的交换机命令时，交换机会寻找网络上的DNS服务器并且将其广播给网络上的DNS服务器，寻找到DNS服务器就将其解析成对应的IP地址，寻找不到就退出ip domain-lookup，在此期间将会有一段时间不可以操作设备。在全局模式下输入命令no ip domain-lookup。可以禁用这个特性。

设置禁用IP地址解析特性:

SW1（config）#no ip domain-lookup 6、设置启用消息同步特性

在输入命令的时候会被交换机产生的消息打乱，导致管理员看不清输入的命令。可以在line con 0下使用命令logging synchronous，设置交换机在产生消息时在下一行CLI提示符后复制用户输入的字符。

设置启用消息同步特性: SW1(config)#line console 0

SW1(config-line)#loggging synchronous

4.1.2 内网连通

1、VTP和VLAN划分

在一个庞大的企业网内中使用VTP技术有利于vlan配置，将网管部所在的接入层交换机NetMag设置成为VTP服务器，其他交换机设置成为VTP客户机。交换机群将通过VTP学习获得在交换机NetMag中定义的所有VLAN的信息并且自己不可以创建，修改VLAN。

默认情况下在交换机发送VTP报文更新的时候会向交换机上所有的TRUNK端口去发送，因此这些更新会占用一部分带宽，所以启用VTP修剪是将一些没有必要的流量修剪

11

企业网组网设计与仿真实现

掉。VTP修剪（VTP Pruning）是VTP的一个功能，它能减少中继链路上不必要的信息量，在所有交换机上配置VTP修剪。

以SW1为例子设置交换机成为VTP客户机： SW1（config）#vtp mode client SW1#vtp pruning

设置交换机NetMag为VTP服务器，并进行VLAN的划分配置： NetMag（config）#vtp mode server NetMag（config）#vlan 10 NetMag(config-vlan)#name Units1 NetMag #vtp pruning 2、管理VLAN和IP设置

为了方便网络管理人员可以从远程登录到交换机上进行管理，所以给接入层和汇聚层交换机设置一个管理用IP地址。此IP地址并不用于路由功能，这种情况下，而是将交换机看成和PC机一样的主机。

给交换机在VLAN1设置管理IP地址。

按照表3.1，管理VLAN所在的子网是：192.168.100.0/24，将192.168.100.5/24设为接入层交换机SW11的管理IP地址。在全局模式下为接入层交换机SW11设置管理IP并激活主VLAN。

SW11（config）#intrfacerface vlan 1

SW11（config-if）#ip address 192.168.0.5 255.255.255.0 SW11（config-if）#no shutdown 3、接口双工

每个接口的双工类型有2种，一种是自动适应，另一种是手动配置；每个接口双工模式有2种，一种是半双工，另一种是全双工。根据需要可以设定某接口根据对端设备双工类型自适应本接口双工模式，也可以强制将接口双工模式设为半双工或全双工模式。

在了解对端设备类型的情况下，建议手动设置端口双工模式。需要解释的是半双工和全双工的区别，全双工（Full Duplex）是指在发送数据的同时也能够接收数据；半双工（Half Duplex）是指能发不能收，能收不能发。一般情况下都是设置全双工模式。

设置SW11的所有接口均工作在全双工模式下：

12

企业网组网设计与仿真实现

SW11（config）#intrface range FastEthernet0/1 – 24 SW11（config-if-range）#duplex full 4、接口速率

接入层交换机接口速度只有3种情况，第一种是10Mbps，第二种是100Mbps，第三种是AUTO，即自适应速度。默认情况下是AUTO，在知道对端设备速度的情况下，建议手动设置接口，一般设置为100Mbps。设置在接口模式下。

设置访问层交换机SW11的所有接口的速度均为100Mbps： SW11（config）# intrface range FastEthernet0/1-24 SW11（config-if-range）#speed 100 5、VLAN接口划分

接入层交换机SW11为终端用户提供接入服务。在此以SW11为例，配置接入层交换机的VLAN接口划分。

如图4.2中，接入层交换机SW11为VLAN40和VLAN50（会议室和访客厅接入）提供接入服务。

图4.2 交换机SW11接口VLAN

在接口配置模式下，将交换机SW11的接口Fastethernet 0/2划入VLAN40，将接口Fastethernet 0/3划入VLAN50内。

SW11(config)#intrface FastEthernet0/2 SW11(config-if)#switchport mode acc SW11(config-if)#switchport access vlan 40 SW11(config)#intrface FastEthernet0/3 SW11(config-if)#switchport mode access SW11(config-if)#switchport access vlan 50

其他接入层交换机根据具体需要，类似上述配置进行操作。

13

企业网组网设计与仿真实现

6、干道（Trunk)链路

所谓的TRUNK是用来在不同的交换机之间进行连接，以保证在跨越多个交换机上建立的同一个VLAN的成员能够相互通讯。其中交换机之间互联用的接口就称为TRUNK接口。如果是不同台的交换机上相同id的vlan要相互通信，那么可以通过共享的trunk端口就可以实现。

如图4.3所示，接入层交换机SW11通过接口FastEthernet 0/24上连到汇聚层交换机SW1的接口FastEthernet 0/3。汇聚层交换机SW1通过接口FastEthernet 0/23上连到核心层交换机Core1的接口FastEthernet 0/1。同时，汇聚层交换机SW1通过接口FastEthernet 0/24上连到备份核心层交换机Core2的接口FastEthernet 0/1。

图4.2 部分干道链路示例

设置接入层交换机SW11的接口FastEthernet 0/24为干道接口: SW11（config）# intrface FastEthernet0/24 SW11（config-if）#switchport mode trunk

设置接入层交换机SW1的接口FastEthernet 0/23和0/24主干道接口: SW1（config）# intrface range FastEthernet0/23-24 SW1（config-if-range）#switchport trunk en do SW1（config-if-range）#switchport mode trunk

设置接入层交换机Core1和Core2的接口FastEthernet 0/1为干道接口: Core1（config）# intrface FastEthernet0/1 Core1（config-if）#switchport trunk en do Core1（config-if）#switchport mode trunk

14

企业网组网设计与仿真实现

Core2（config）# intrface FastEthernet0/1 Core2（config-if）#switchport trunk en do Core2（config-if）#switchport mode trunk

在此以SW11、SW11、Core1、Core2之间的三条干道链路为例。这三条上连链路为干道链路，在这三条上连链路上将运输多个VLAN的数据，Trunk干道使用标准协议dot1q。

图4.3所示为交换模块需要配置成干道链路的部分（加粗部分）。

图4.3 交换模块干道链路

7、VLAN网关

在核心层交换机上为每个VLAN配置VLAN虚接口地址，作为每个VLAN的网关。有网关地址，用户接入网络才能正常访问各种资源。

由于本次设计有核心冗余，多VLAN使用同一组HSRP，因此两个核心交换机的VLAN虚接口地址不能相同。详细地址分配将在下文进行介绍，这里只选择VLAN10和VLAN11的虚接口地址进行配置介绍。

VLAN10和VLAN11的虚接口地址如下：

在Core1交换机VLAN 虚接口物理IP地址：VLAN 10：192.168.10.2/24

VLAN 11：192.168.11.3/24

在Core2交换机VLAN 虚接口物理IP地址：VLAN 10：192.168.10.3/24

VLAN 11：192.168.11.3/24

Core1配置过程如下：

Core1(config)#intrfaceerface vlan 10

15

企业网组网设计与仿真实现

Core1(config-if)#ip address 192.168.10.2 255.255.255.0

Core1(config)#intrfaceerface vlan 11

Core1(config-if)#ip address 192.168.11.2 255.255.255.0 Core2配置过程如下：

Core2(config)#intrfaceerface vlan 10

Core2(config-if)#ip address 192.168.10.3 255.255.255.0

Core2(config)#intrfaceerface vlan 11

Core2(config-if)#ip address 192.168.11.3 255.255.255.0 其他VLAN虚接口配置过程相类似，不再赘述。 8、IP分配

动态主机设置协议（Dynamic Host Configuration Protocol， DHCP）是一个局域网的网络协议，使用UDP协议工作，主要有两个用途：给内部网络或网络服务供应商自动分配IP地址给用户；给内部网络管理员作为对所有计算机作中央管理的手段。

为了安全需要（具体原因在安全加固模块详细说明）和方便，员工的主机IP都是通过DHCP进行自动分配。但由于DHCP服务器与各主机并不在同一个网段内，DHCP客户端（主机PC）并不能发现其他网段的DHCP服务器，因此需用使用DHCP中继代理（DHCP Relay）来为不同网段的主机分配IP信息。

在Core1的每个VLAN虚接口上配置DHCP中继代理，这里以VLAN10为例： Core1(config)#interface vlan 10

Core1(config-if)#ip helper-address 192.168.60.11

192.168.60.11为DHCP服务器的地址，在VLAN60网段。在各VLAN虚接口配置好后，各个VLAN内的主机就能正常向DHCP服务器发送请求信息，并获取到IP信息。

9、接入层交换机的其它可选配置以及特性 （1）Uplinkfast

在STP收敛过程中，一些终端站点可能会不可达，这是基于站点所连接交换机端口的STP状态而定。这打乱网络连接，于是关键是减少STP的收敛时间和网络受影响的时间。当链路或交换机故障，或STP重新配置后，UplinkFast可以加速选择一个新的根端口。根端口立即进入转发状态，Uplinkfast通过减少最大更新速率来限制突发多播流量。

16

企业网组网设计与仿真实现

Uplinkfast对于网络边缘的布线间交换机非常有用。它不适用于骨干设备。UplinkFast在直连链路故障后提供快速的收敛能力，并通过上行链路组在冗余。

UplinkFast激活一个快速重新配置的条件： A. 在交换机上必须启动了UplinkFast功能；

B. 至少有一个处于Blocking的端口（即有冗余链路）； C. 链路失效必须发生在Root Port上。 对接入层交换机进行配置：

SW11（config）# spanning-tree uplinkfast

注意，因为交换机启动了UplinkFast后，由于提高了交换机上所有端口的路径开销，所以不适合作为根桥。所以Uplinkfast特性只能在接入层交换机上启用。

（2）Backbonefast

Backbonefast的作用与Uplinkfast类似，同样是用于加快生成树的收敛。不同的是，配置了Backbonefast可以检测到间接链路（不直接相连的链路）故障并立即将相应阻塞端口的最大寿命计时器计数马上到时，从而缩短了该端口开始转发数据包的时间。

如下配置所示，显示在接入层交换机SW11上启用Backbonefast特性。同样的步骤需要在网络中的所有交换机上进行配置。

SW11（config）# spanning-tree Backbonefast

4.1.3 核心冗余

1、HSRP冗余概述

此设计企业网核心由两个高性能三层交换机组成，它们组成一个“热等待组”，这个组形成一个虚拟网关。在任一时刻，一个组内只有一个交换机是活动的，并由它来转发数据包，如果活动交换机发生了故障，将选择一个等待交换机来替代活动交换机，但是在本网络内的主机看来，虚拟网关没有改变，所以主机仍然保持连接，没有受到故障的影响，这样就较好地解决了交换机切换的问题。

活动交换机称为Primary，等待交换机称为Standby，它们两者共同组成一个HSRP组。每个热等待组模仿一个虚拟设备工作，它有一个Well-known-MAC地址和一个IP地址。该IP地址、组内路由器的接口地址、主机在同一个子网内，但是不能一样。

17

企业网组网设计与仿真实现

当在一个局域网上有多个热等待组存在时，把主机分布到不同的热等待组，可以使负载得到分担。在此设计中将利用HSRP和PVST（Per-VLAN Spanning Tree）实现多VLAN负载均衡。如图4.4所示，搭建网络环境，并配置HSRP以及生成树来实现负载均衡。

F0/6F0/23SiF0/6F0/24SiCore1Core2SW1

图4.4 核心冗余网络拓扑

2、HSRP规划

（1）HSRP参数规划如表4.1所示

表4.1 HSRP参数规划表

HSRP参数 优先级 占先权 计时器 组号 对等体认证 加密方式 活动设备 150 是 默认 MD5 密码 备份设备 100（默认） 是 默认 gdin_alex 1，10，11，20，21，22，30，31，40，50，60 （2）各个VLAN在交换机的虚接口地址以及Primary/Standby关系如表4.2所示

表4.2 IP地址与主从关系

VLAN1 VLAN10 VLAN11 VLAN20 VLAN21 VLAN22 ? Core1 192.168.110.2/24 Core2 192.168.110.3/24 虚拟网关 192.168.110.1 192.168.10.1 192.168.11.1 192.168.20.1 192.168.21.1 192.168.22.1 ? 192.168.10.2/24 192.168.11.2/24 ? 192.168.20.2/24 192.168.21.2/24 ? ? ? 192.168.22.2/24 192.168.10.3/24 ? 192.168.11.3/24 192.168.20.3/24 ? 192.168.21.3/24 192.168.22.3/24 192.168.30.3/24 VLAN30 VLAN31 VLAN40 VLAN50 VLAN60 F0/6 192.168.30.2/24 ? 192.168.31.2/24 192.168.30.1 192.168.31.1 192.168.40.1 192.168.50.1 192.168.60.1 —— 192.168.31.3/24 192.168.40.3/24 192.168.40.2/24 ? 192.168.50.2/24 192.168.50.3/24 192.168.60.3/24 192.168.60.2/24 ? 192.168.0.1/30 192.168.0.5/30 注：表中圆点符号表示该设备为该VLAN在HSRP中的Primary。

18

企业网组网设计与仿真实现

3、配置以太通道

以太通道为交换机提供了端口捆绑的技术，允许两个交换机之间通过两个或多个端口并行连接，同时传输数据，以提供更高的带宽。因选用思科产品，所以将使用端口聚集协议（PAgP）来建立以太通道。

捆绑Core1的FastEthernet0/23和FastEthernet0/24接口加入Channel-group1并将port-channel1配置为Trunk模式。

Core1（config）# intrface range FastEthernet0/23 - 24 Core1（config-if-range）#channel-group 1 mode on Core1（config-if-range）#exi

Core1（config）#interface port-channel 1

Core1（config-if）#switchport trunk encapsulation dot1q Core1（config-if）#switchport mode trunk 在交换机Core2上进行相同配置。 4、配置HSRP

在此省略核心交换机Core1、Core2与防火墙FW1之间的接口IP配置步骤，以及相互之间的路由连通问题，将在广域网接入模块进行描述。

根据表4.2的要求信息，这里简单描述Core1和Core2在VLAN10和VLAN11虚接口上的HSRP配置。

（1）Core1配置

Core1(config)#interface vlan 10

Core1(config-if)#ip address 192.168.10.2 255.255.255.0 Core1(config-if)#standby 10 ip 192.168.10.1 Core1(config-if)#standby 10 priority 150 Core1(config-if)#standby 10 preempt

Core1(config-if)#standby 10 track FastEthernet 0/6 100 Core1(config-if)#standby 10 authentication md5 gdin_alex

Core1(config)#interface vlan 11

Core1(config-if)#ip address 192.168.11.2 255.255.255.0 Core1(config-if)#standby 11 ip 192.168.11.1

19

企业网组网设计与仿真实现

Core1(config-if)#standby 11 preempt

Core1(config-if)#standby 11 authentication md5 gdin_alex （2）Core2配置

Core2(config)#interface vlan 10

Core2(config-if)#ip address 192.168.10.3 255.255.255.0 Core2(config-if)#standby 10 ip 192.168.10.1 Core2(config-if)#standby 10 preempt

Core2(config-if)#standby 10 authentication md5 gdin_alex

Core2(config)#interface vlan 11

Core2(config-if)#ip address 192.168.11.3 255.255.255.0 Core2(config-if)#standby 11 ip 192.168.11.1 Core2(config-if)#standby 11 priority 150 Core2(config-if)#standby 11 preempt

Core2(config-if)#standby 11 track FastEthernet 0/6 100 Core2(config-if)#standby 11 authentication md5 gdin_alex 其他VLAN虚接口类似上述配置进行操作即刻。 5、配置STP实现VLAN负载均衡

思科交换机上是以PVST/PVST+技术来控制STP优先级。根据表4.2的要求信息，这里简单描述Core1和Core2在VLAN10和VLAN11上的PVST配置。

（1）Core1配置

Core1(config)# spanning-tree vlan 10 root primary Core1(config)# spanning-tree vlan 11 root secondary （2）Core2配置

Core2(config)# spanning-tree vlan 10 root secondary Core2(config)# spanning-tree vlan 11 root primary

配置完毕后，在核心交换机和相关链路运行正常情况下，VLAN10的流量将通过交换机Core1进行处理，VLAN11的流量既通过Core2进行处理。如果其中一台核心交换机或其中一条核心交换机相连的链路出现故障，VLAN流量将转移到备份设备上处理。其他VLAN的PVST配置参照上述配置进行操作即刻。

20

企业网组网设计与仿真实现

4.1.4 无线访问

无线局域网（WLAN，Wireless Local Area Network）可定义为，使用射频（RF，Radio Frequency）微波（Microwave）或红外线（Infrared），在一个有限地域范围内互连设备的通信系统。一个无线局域网可作为有线局域网的扩展来使用，也可以独立作为有线局域网的替代设施。因此，无线局域网提供了很强的组网灵活性。

要连接上WLAN网络，必须要在主机PC上设置好与WLAN网络相同的SSID，才能连接上无线信号。SSID（Service Set Identifier）也可以写为ESSID，用来区分不同的网络，最多可以有32个字符，无线网卡设置了不同的SSID就可以进入不同网络，SSID通常由AP广播出来，通过操作系统自带的扫描功能可以查看当前区域内的SSID。简单说，SSID就是一个局域网的名称，只有设置为名称相同SSID的值的电脑才能互相通信。

在本设计中，将把WLAN用作有线局域网的补充来实施，在大中型企业网中按需而设地进行无线区域的规划。如图4.5所示，本设计对会议室和访客厅进行无线区域的规划。因为在本设计中WLAN方案只作为有线局域网的补充，加上实际规划是以地理位置做除了区域区分，因此，在本设计中将采用单SSID方案，即一个AP会话一个SSID。但出于安全考虑将不广播SSID，此时用户就要手工设置SSID才能进入相应的网络。

图4.5 AP接入点规划

将会议室的AP设备的SSID设置为Meeting-Room，不设置密码，如图4.6（a）所示；访客厅的AP设备的SSID设置为Guest，设置密码为gdin_alex，如图4.6（b）所示；把他们的传输双工设置为全双工，如图4.6（c）所示。上述步骤均可在AP的GUI界面进行。

21

企业网组网设计与仿真实现

（a）会议室无线AP设置 （b）访客厅无线AP设置

（c）速率与双工设置 图4.6 无线AP设置

由于模拟环境的不支持，本设计中设置的AP只是简单的无线接入设备，只要设置要SSID和密码即刻使用。因此在本设计中将不对AP配置进行详细介绍，详细的访问控制设置将在安全加固模块进行介绍。

4.2 广域网接入模块设计

交换模块由GNS3进行模拟仿真。由于模拟仿真软件的限制，并不能很好地将Cisco Packet Tracer结合起来，因而下文将以分模块进行配置介绍。具体仿真软件拓扑图如图4.7所示。

图4.7 广域网接入模块仿真拓扑

22

企业网组网设计与仿真实现

按照图3.1的网络拓扑设计，仿真软件拓扑上设置有一台ASA，一台路由器，两台多层交换机，和一台二层交换机。本模块将对内网访问广域网、广域网访问公共服务器群，路由连通性等方面进行配置介绍。由于仿真软件的差异，设备的接口与前文描述的稍有不同，但已做到尽量相近。

4.2.1 路由连通

这一小节将对拓扑上的三层设备进行路由的配置，使他们能够正确地把数据传输到指定的位置。

1、IP地址规划

根据表3.1的规划，内部路由地址将使用192.168.0.X/30网段，根据拓扑需要，一共使用6个IP，4个网段，其中防火墙FW的e3为外部服务器群的网关口，因而使用192.168.70.0/24网段，具体会话如表4.3所示。

表4.3 内部路由IP地址规划

设备 Core1 Core2 FW 接口号 F1/6 F1/6 E1（inside1） E2（inside2） E0（outside） E3（dmz） Gateway F0/0 地址、掩码 192.168.0.1/30 192.168.0.5/30 192.168.0.2/30 192.168.0.6/30 192.168.0.9/30 192.168.70.1/24 192.168.0.10/30 网络号 192.168.0.0 192.168.0.4 192.168.0.0 192.168.0.4 192.168.0.8 192.168.70.0 192.168.0.8 注：网络号地址是用于动态路由协议配置使用

2、地址配置

（1）这里以Core1为例，简单介绍三层设备的接口配置 Core1(config)#interface fastEthernet 1/6 Core1(config-if)#no switchport

Core1(config-if)#ip address 192.168.0.1 255.255.255.252 （2）这里以FW为例，简单介绍防火墙的接口配置

由于cisco ASA产品与路由器交换机的系统有差异，配置命令稍有差异。

23

企业网组网设计与仿真实现

FW(config)# interface ethernet 0/1

FW(config-if)# ip address 192.168.0.2 255.255.255.252 FW(config-if)# nameif inside1 FW(config-if)# security-level 100 FW(config-if)# no shutdown

FW(config)# interface ethernet 0/2

FW(config-if)# ip address 192.168.0.6 255.255.255.252 FW(config-if)# nameif inside2 FW(config-if)# security-level 100 FW(config-if)# no shutdown

FW(config)# interface ethernet 0/0

FW(config-if)# ip address 192.168.0.9 255.255.255.252 FW(config-if)# nameif outside FW(config-if)# no shutdown

FW(config)# interface ethernet 0/3

FW(config-if)# ip address 192.168.70.1 255.255.255.0 FW(config-if)# nameif dmz FW(config-if)# security-level 50 FW(config-if)# no shutdown 3、动态路由协议配置

本小点将对三层端口进行地址配置和动态路由协议的配置。

由于考虑到产品扩展和网络规模的增加，这里不先用思科专用EIGRP协议，而是选用工业标准的OSPF协议。

（1）这里以Core1为例，简单介绍三层设备的OSPF配置（Core2相似） Core1(config)#router ospf 1

Core1(config-router)#network 192.168.0.0 0.0.0.3 area 0

在这里还要把各VLAN网段也通告出去。根据表4.2的地址网段进行配置。

24

企业网组网设计与仿真实现

Core1(config-router)#network 192.168.110.0 0.0.0.255 area 0 Core1(config-router)#network 192.168.10.0 0.0.0.255 area 0 Core1(config-router)#network 192.168.11.0 0.0.0.255 area 0 Core1(config-router)#network 192.168.20.0 0.0.0.255 area 0 Core1(config-router)#network 192.168.21.0 0.0.0.255 area 0 Core1(config-router)#network 192.168.30.0 0.0.0.255 area 0 Core1(config-router)#network 192.168.31.0 0.0.0.255 area 0 Core1(config-router)#network 192.168.40.0 0.0.0.255 area 0 Core1(config-router)#network 192.168.50.0 0.0.0.255 area 0 Core1(config-router)#network 192.168.60.0 0.0.0.255 area 0

（2）这里以FW为例，简单介绍防火墙的OSPF配置 FW(config)# router ospf 1

FW(config-router)# network 192.168.0.0 255.255.255.252 area 0 FW(config-router)# network 192.168.0.8 255.255.255.252 area 0 FW(config-router)# network 192.168.70.0 255.255.255.0 area 0

（3）对Gateway进行动态路由协议配置，并通告自己为默认网关 Gateway(config)#router ospf 1

Gateway (config-router)#network 192.168.0.8 0.0.0.3 area 0 Gateway (config-router)# default-information originate always 4、防火墙放行流量

由于防火墙ASA特有的机制，默认情况下，外网的流量是不允许流进内网的，这里必须进行ACL（访问控制列表）的配置，初步放行所有流量。

FW(config)# access-list outside permit ip any any FW(config)# access-group outside in interface outside

这样就可以初步把所有从outside口（既e0口）进来的流量都放行了。但这不安全的，因为放行的是所有的IP流量，所以必须要对流量进行细分，将在下小节进行细分，并在安全加固模块将对防火墙进行安全加固。

25

企业网组网设计与仿真实现

4.2.2 广域网访问

广域网接入模块的功能是由广域网接入路由器Internet 路由器来完成的。采用的是Cisco的3640路由器（3600系列的路由器就可以了，只是由于现在在市场中3640比较通用）。它通过自己的串行接口serial 0/0使用DDN（128K）技术接入Internet，DDN是利用数字信道传输数据信号的数据传输网

数字数据网是一种利用光纤、数字微波或卫星等数字传输通道和数字交叉复用设备组成的数字数据传输网，它可以为用户提供各种速率的高质量数字专用电路和其他新业务，以满足用户多媒体通信和组建中高速计算机通信网的需要。主要由六个部分组成：光纤或数字微波通信系统；智能节点或集线器设备；网络管理系统； 数据电路终端设备；用户环路；用户端计算机或终端设备。它的主要作用是向用户提供永久性和半永久性连接的数字数据传输信道，既可用于计算机之间的通信，也可用于传送数字化传真，数字话音，数字图像信号或其它数字化信号。永久性连接的数字数据传输信道是指用户间建立固定连接，传输速率不变的独占带宽电路。半永久性连接的数字数据传输信道对用户来说是非交换性的。但用户可提出申请，由网络管理人员对其提出的传输速率、传输数据的目的地和传输路由进行修改。网络经营者向广大用户提供了灵活方便的数字电路出租业务，供各行业构成自己的专用网。

DDN提供半固定连接的专用电路，是面向所有专线用户或专网用户的基础电信网，可为专线用户提供高速、点到点的数字传输。DDN本身是一种数据传输网，支持任何通信协议，使用何种协议由用户决定（如X.25或帧中继）。所谓半固定是指根据用户需要临时建立的一种固定连接。对用户来说，专线申请之后，连接就已完成，且连接信道的数据传输速率、路由及所用的网络协议等随时可根据需要申请改变。其作用主要是在Internet和企业网内网间路由数据包。本小节主要集中在网关Gateway的配置上，图4.8所示。

图4.8 广域网接入路由器

1、DDN专线与内部路由配置

通过租用电信DDN专线，并获得两个连续的固定公网IP地址，假设为

26

企业网组网设计与仿真实现

59.42.177.230、59.42.177.231，一个用于公共服务器的地址转换，一个用于内网用户上网。

对路由器Gateway的s0/0进行IP地址、子网掩码配置，实现通过DDN专线访问Internet。

Gateway(config-if)#ip address 59.42.177.231 255.255.255.240 Gateway(config-if)#encapsulation hdlc Gateway(config-if)#no shutdown Gateway(config-if)#exit

Gateway(config)#ip route 0.0.0.0 0.0.0.0 serial 0/0 2、公共服务器地址转换

使用59.42.177.230作为公共服务器的全局公网地址，将使用端口映射（Port Mapping）功能，针对外网访问59.42.177.230的不同端口，转而转换成对不同的公共服务器的访问。

根据表3.1的地址规划所知，公共服务器的内网网段为192.168.70.0/24，我们将对这个网段不同服务器地址与端口转换成59.42.177.230的不同端口供外网访问。公共服务器与全局地址/端口对应关系如表4.4所示。

表4.4 公共服务器地址转换对应

公共服务器 PublicEmail 192.168.70.2:110（TCP） 192.168.70.3:20（TCP） FTP 192.168.70.3:21（TCP） TFTP WEB 192.168.70.3:69（UDP） 192.168.70.4:80（TCP） 59.42.177.230:21(TCP) 59.42.177.230:69(UDP) 59.42.177.230:80(TCP) 59.42.177.230:110(TCP) 59.42.177.230:20(TCP) 内网IP/端口/协议 192.168.70.2:25（TCP） 全局IP/端口 59.42.177.230:25(TCP) 以下为对路由器Gateway进行配置：

Gateway(config)#ip nat inside source static tcp 192.168.70.2 25 59.42.177.230 25

Gateway(config)#ip nat inside source static tcp 192.168.70.2 110 59.42.177.230 110

27

企业网组网设计与仿真实现

Gateway(config)#ip nat inside source static tcp 192.168.70.3 20 59.42.177.230 20

Gateway(config)#ip nat inside source static tcp 192.168.70.3 21 59.42.177.230 21

Gateway(config)#ip nat inside source static udp 192.168.70.3 69 59.42.177.230 69

Gateway(config)#ip nat inside source static tcp 192.168.70.4 80 59.42.177.230 80

Gateway(config)#interface serial 0/0 Gateway(config-if)#ip nat outside

Gateway(config)#interface FastEthernet 0/0 Gateway(config-if)#ip nat inside 3、内网复用地址转换

使用网关出口地址来为内网用户进行地址转换，既59.42.177.231。根据表3.1的信息，要对部门员工的内网地址进行转换，但要把内网服务器、公共服务器、内网路由地址、管理VLAN地址作例外，它们并不可以进行地址转换进去公网网络。可用ACL来决定哪些内网地址能够转换出去。

以下为对路由器Gateway进行配置：

Gateway(config)#ip access-list extend inside2outside

Gateway(config-ext-nacl)#permit ip 192.168.10.0 0.0.0.255 any Gateway(config-ext-nacl)#permit ip 192.168.11.0 0.0.0.255 any Gateway(config-ext-nacl)#permit ip 192.168.20.0 0.0.0.255 any Gateway(config-ext-nacl)#permit ip 192.168.21.0 0.0.0.255 any Gateway(config-ext-nacl)#permit ip 192.168.22.0 0.0.0.255 any Gateway(config-ext-nacl)#permit ip 192.168.30.0 0.0.0.255 any Gateway(config-ext-nacl)#permit ip 192.168.31.0 0.0.0.255 any Gateway(config-ext-nacl)#permit ip 192.168.50.0 0.0.0.255 any Gateway(config-ext-nacl)#exit

Gateway(config)#ip nat inside source list inside2outside interface serial 0/0 overload

28

企业网组网设计与仿真实现

4.2.3 防火墙配置

ASA算法是ASA/PIX防火墙安全验证算法的核心。ASA算法采用了一种基于状态和面向TCP连接的安全设计体系。ASA基于源和目的地地址创建一个会话流，同时在一个连接完成之前将其TCP序列号、TCP端口号和附带的TCP识别标记随机地加入会话序列。该功能主要用来监视从目的地址返回的数据包，并保证其合法性。同时，ASA算法还可以实现基于策略的安全体系，例如每一个内部系统和相关应用在未经过明确的安全配置的情况下只允许单一方向的连接(由内部到外部)。

外网仅能访问DMZ相关服务

内网能够正常访问DMZ和外网，但要限制

图4.9 防火墙任务

因为上述防火墙的安全机制，在上一小节中提到的，对防火墙的E0口（outside）进行流量放行是初步的放行，仅在测试时候这样做。为了安全考虑，要对E0口的ACL进行细分流量，达到外网能且仅能访问DMZ区域的指定服务器和服务，而且内网访问外网能正确进行，并控制好内网用户访问DMZ区域。

1、限制外网访问

由于网关路由器Gateway针对公共服务器群作了端口映射，一般来说，外网只能访问到经过转换的地址，但为了最大地控制网络安全，最小化安全隐患，这里必须要对防火墙FW上E0的ACL进行细分流量。

首先取消掉原先的ACL条目：

FW(config)# no access-group outside in interface outside

29

企业网组网设计与仿真实现

FW(config)# no access-list outside permit ip any any

以下进行对E0口进入方向的流量进行严格控制，只有经过网关路由器Gateway转换，并在DMZ区域存在的地址方能进入。

FW(config)# access-list outside permit tcp any 192.168.70.2 255.255.255.255 eq 110

FW(config)# access-list outside permit tcp any 192.168.70.2 255.255.255.255 eq 110

FW(config)# access-list outside permit tcp any 192.168.70.3 255.255.255.255 eq 20

FW(config)# access-list outside permit tcp any 192.168.70.3 255.255.255.255 eq 21

FW(config)# access-list outside permit tcp any 192.168.70.4 255.255.255.255 eq 80

FW(config)# access-list outside permit udp any 192.168.70.3 255.255.255.255 eq 69

FW(config)# access-group outside in interface outside

到目前这里位置，防火墙将只放行ACL条目所定义的条目，这样并不能使网络正常运行，因为要继续对防火墙进行配置。

2、内网出站流量控制

Cisco防火墙除了ASA算法用来限制流量进出之外，还有就是Inspection技术的应用。Inspection有2个作用，一个是对一些具有多端口号的协议进行跟踪，能自动放回一些返回的流量，第二个是安全监控，对于DNS以及HTTP等这些单端口的协议，可以对协议里的一些协议字段进行匹配来实现安全防护。

Inspection技术是里用MPF（模块化策略架构）来进行配置。MPF由ACL匹配单条流量项目、Class-map把相同功能的ACL或相关业务归类起来、Policy-map进行流量策略的定义，并把Policy-map应用在接口方向或全局上。

ASA上全局上有默认Policy-map缺省定义，里面的定义条目非常有用，我们只需要在默认Policy-map上增减自己需要的流量策略即可。默认全局Policy-map缺省对以下协议进行Inspect（视乎ASA的IOS版本不同，默认定义会可能有所不同）：

inspect dns migrated_dns_map_1

30

企业网组网设计与仿真实现

inspect ftp inspect h323 h225 inspect h323 ras inspect netbios inspect rsh inspect rtsp inspect skinny inspect esmtp inspect sqlnet inspect sunrpc inspect tftp inspect sip inspect xdmcp

根据实际需要，我们只需增加或修改我们所需要的协议参数即刻。以下为增加对HTTP和ICMP协议的Inspect。

FW(config)# policy-map global_policy FW(config-pmap)# class inspection_default FW(config-pmap-c)# inspect icmp FW(config-pmap-c)# inspect http

以上配置之后既可以初步内网对外网访问进行限制。更多的安全防护将在安全加固模块进行介绍和配置。

4.3 远程接入模块设计

远程接入包括一系列技术，主要分为两类：有线传输接入和无线传输接入。有线传输接入包括拨号接入、ISDN接入、ADSL接入和Cable Modem接入、软件接入、VPN接入、SDH接入；无线传输接入包括802.11b 、WiFi和Blue Tooth等。远程接入技术允许家庭用户、移动用户和远程办公用户访问一个公司网络或在ISP情况下的因特网上的资源。远程接入方法应该允许远程用户就像直接连接到网络上一样并使用相同的协议访问某个网络。

31

企业网组网设计与仿真实现

本模块主要针对的是便于移动办公和分支机构接入总部的VPN接入方案。VPN的英文全称是“Virtual Private Network”，翻译过来就是“虚拟专用网络”。顾名思义，虚拟专用网络可以把它理解成是虚拟出来的企业内部专线。虚拟专用网被定义为通过一个公用网络（通常是因特网）建立一个临时的、安全的连接，是一条穿过混乱的公用网络的安全、稳定的隧道。使用这条隧道可以对数据进行几倍加密达到安全使用互联网的目的。虚拟专用网是对企业内部网的扩展。虚拟专用网可以帮助远程用户、公司分支机构、商业伙伴及供应商同公司的内部网建立可信的安全连接，并保证数据的安全传输。虚拟专用网可用于不断增长的移动用户的全球因特网接入，以实现安全连接；可用于实现企业网站之间安全通信的虚拟专用线路，用于经济有效地连接到商业伙伴和用户的安全外联网虚拟专用网。

家庭办公分支机构总部VPN移动办公

图4.10 VPN概览

在本节要实现的是分支结构对总部的VPN连接，以及临时移动办公对总部的VPN接入。将使用端对端IPsec VPN来实现分支结构的VPN接入业务，建立一条安全的隧道，在总部和分支之间传输业务信息；而对于临时移动办公，将选择使用RemoteVPN来建立VPN，访问内网资源。

4.3.1 分支机构VPN配置

IPsec VPN是网络层的VPN技术，它独立于应用程序，以自己的封包封装原始IP信息，因此可隐藏所有应用协议的信息。一旦IPSEC建立加密隧道后，就可以实现各种

32

企业网组网设计与仿真实现

类型的连接，如Web、电子邮件、文件传输、VoIP等，每个传输直接对应到VPN网关之后的相关服务器上。IPSEC是与应用无关的技术，因此IPSec VPN的客户端支持所有IP层协议，对应用层协议完全透明，这是IPSEC VPN的最大优点之所在。

1、Site-to-site IPsec VPN设计

假设分支公司是电信ADSL接入互联网，其公网IP并不是固定的，因而每次重新获得IP的时候，VPN隧道都要重新建立，并且只能由分支公司主动发起VPN连接。分支公司内网IP为192.168.200.0/24，其利用VPN只能访问内部服务器群，并不能跟其他部门单位进行传输。分支公司用网关路由器作为VPN网关，总部既用ASA作为VPN网关。但因为存在NAT地址转换设备（Gateway网关），必须要使用NAT-T（NAT穿越技术）来确保总部端能建立VPN并工作正常。Gateway将用59.42.177.230作为分支机构发起VPN连接的目的地址。图4.11表示这次设计的简化示意图。

Core1分支机构内网192.168.200.0内部服务器群192.168.60.0SW4FWCore2Gateway

图4.11 端到端VPN设计拓扑

2、VPN配置

首先以正常情况下的IPsec VPN配置，先忽略Gateway网关的NAT转换。 （1）在防火墙FW下配置IPsec VPN。命令如下：

FW(config)# access-list l2l per ip 192.168.60.0 255.255.255.0 192.168.200.0 255.255.255.0

FW(config)# crypto ipsec transform-set l2l esp-3des esp-md5-hmac FW(config)# crypto dynamic-map dyl2l 10 set transform-set l2l FW(config)# crypto dynamic-map dyl2l 10 set reverse-route FW(config)# crypto map vpn 10 ipsec-isakmp dynamic dyl2l FW(config)# crypto map vpn interface outside

FW(config)# crypto isakmp policy 10

33

企业网组网设计与仿真实现

FW(config-isakmp-policy)# authentication pre-share FW(config-isakmp-policy)# ncryption 3des FW(config-isakmp-policy)# hash md5 FW(config-isakmp-policy)# group 2

FW(config-isakmp-policy)#crypto isakmp enable outside

FW(config)# tunnel-group DefaultL2LGroup ipsec-attributes FW(config-tunnel-ipsec)# pre-shared-key gdin_alex （2）在分支机构网关路由配置IPsec VPN。命令如下：

Router(config)#access-list 101 permit icmp 192.168.200.0 0.0.0.255 192.168.60.0 0.0.0.255

Router(config)#crypto isakmp policy 10 Router(config-isakmp)#encr 3des Router(config-isakmp)#hash md5

Router(config-isakmp)#authentication pre-share Router(config-isakmp)#group 2

Router(config)#crypto isakmp key alex_gdin address 59.42.177.230 Router(config)#crypto ipsec transform-set l2l esp-3des esp-md5-hmac

Router(config)#crypto map l2l 10 ipsec-isakmp Router(config-crypto-map)#set peer 59.42.177.230 Router(config-crypto-map)#set transform-set l2l Router(config-crypto-map)#match address 101

Router(config)#interface FastEthernet0/0 Router(config-if)#crypto map l2l

到此基础IPsec VPN配置完毕，下一步就是把NAT设备考虑进去，对IPsec VPN配置和NAT配置进行调整。

34

企业网组网设计与仿真实现

3、NAT-T配置

正常的IPsec VPN 是不能穿越PAT的，CISCO的IPsec VPN为了穿越PAT提供了很多扩展的功能.例如: NAT-T，ipsec over udp，ipsec over tcp，应用层网关。此次我们将使用工业标准的NAT-T技术。在CISCO防火墙上默认开启了NAT-T功能，因此不需要我们再手动配置。我们只需要增加对防火墙E0口（outside）的静态端口映射即可。

IPsec VPN使用的是UDP 500和4500端口，必须把这两个端口映射出公网，才能让外网连接上防火墙来建立VPN。

Gateway(config)#ip nat inside source static udp 192.168.0.9 500 interface s0/0 500

Gateway(config)#ip nat inside source static udp 192.168.0.9 4500 interface s0/0 4500

现在就完成了IPsec VPN的配置。

4.3.2 移动办公VPN配置

为了向远距离工作者或工作在外的员工所提供的远程访问类型的VPN，我们使用RemoteVPN解决方案。RemoteVPN是EZVPN的一种，它使用客户端软件连接服务端来实现VPN连接的，其使用向客户端推送策略的方式大大减轻了客户端的配置，方便了管理。远程工作者在自己的电脑上安装一个“Cisco VPN Client”的软件，稍微设置一下参数，即可连接上配置好相关参数的服务端，建立一条安全加密的虚拟隧道。

图4.12 Cisco VPN Client

本小节针对远程工作者与总部的连接，使用RemoteVPN来实现加密的数据传输。如

35

企业网组网设计与仿真实现

图4.13所示，远程工作者通过RemoteVPN获取一个内网的IP地址，通过这个地址访问公司内部资源，提供了VPN网络的高拓展性。

Core1内部服务器群192.168.60.0SW4FWCore2RemoteVPNGateway移动办公

图4.13 RemoteVPN设计拓扑

1、防火墙设置

RemoteVPN跟Site-to-siteVPN同属IPsec VPN，，但配置上还是有区别的。在RemoteVPN上必须定义好远程用户接入后能够访问的地址，称为分离隧道。没有分离定义分离隧道的话，客户端即使建立起了VPN，也无法访问内网，因为服务端不知道返回的流量需要加密，因而返回流量无法到达客户端。RemoteVPN还会为接入的用户分配一个内网的IP地址，通过这个地址访问公司内部资源。如表3.1所示，用于分配RemoteVPN远程用户的地址为192.168.80.0/24网段。

以下对防火墙进行RemoteVPN配置： FW(config)# isakmp policy 1

FW(config-isakmp-policy)# authentication pre-share FW(config-isakmp-policy)# encryption 3des FW(config-isakmp-policy)# hash md5 FW(config-isakmp-policy)# group 2 FW(config-isakmp-policy)# lifetime 43200 FW(config-isakmp-policy)# exit FW(config)# isakmp enable outside

以上步骤可以忽略，因为在site-to-site VPN里，已经配置过相似的参数，Crypto isakmp policy是可以共用在两个VPN上的。

以下是定义地址池。既定义哪些地址用于分配给远程接入用户使用。

FW(config)# ip local pool vpnpool 192.168.80.11-192.168.80.254 mask 255.255.255.0

36

企业网组网设计与仿真实现

以下定义分离隧道。建立一个ACL定义访问地址，然后在相关策略上套用。

FW(config)# access-list split standard permit 192.168.60.0 255.255.255.0 FW(config)# group-policy vpnclient internal FW(config)# group-policy vpnclient attributes

FW(config-group-policy)# split-tunnel-policy tunnelspecified FW(config-group-policy)# split-tunnel-network-list value split 以下配置剩余必要命令：

FW(config)# crypto ipsec transform-set remote esp-3des esp-sha-hmac FW(config)# crypto dynamic-map dyremote 10 set transform-set remote FW(config)# crypto map l2l 20 ipsec-isakmp dynamic dyremote FW(config)# crypto map l2l interface outside

FW(config)# tunnel-group vpnclient type ipsec-ra FW(config)# tunnel-group vpnclient general-attributes FW(config-tunnel-general)# authentication-server-group LOCAL FW(config-tunnel-general)# default-group-policy vpnclient FW(config-tunnel-general)# address-pool vpnpool FW(config-tunnel-general)# exit

FW(config)# tunnel-group vpnclient ipsec-attributes FW(config-tunnel-ipsec)# pre-shared-key alex_gdin 2、客户端软件设置

打开Cisco VPN Client软件之后，点击软件快捷栏的“New”图标即可定义需要的参数。具体参数填写入图4.14所示。

图4.14 Cisco VPN Client参数设置

“Group Authentication”上的用户名和密码即为1、款中配置加粗部分。参数填

37

企业网组网设计与仿真实现

写完毕，按“Save”保存。然后在主界面双击你创建好的条目，如无配置错误，你即可连接上远端的服务端。

3、NAT-T配置

因为在Site-to-site VPN配置中，在Gateway网关路由器上已经把IPsec VPN所使用的到端口映射了出去，所以这里只需在Gateway网关路由器把用于控制NAT地址转换的ACL上增加一条条目，用于免除VPN连接的转换。

Gateway(config)#ip access-list extend inside2outside

Gateway(config-ext-nacl)#4 deny ip 192.168.60.0 0.0.0.255 192.168.80.0 0.0.0.255

4.4 安全加固模块设计

完整的企业网络必须要有可靠的网络安全保护措施来抵御来自网内、网外的安全威胁，例如黑客入侵、病毒木马、DOS攻击、人为破坏等。我们有许多防御措施选择，如安装防病毒软件、进行访问控制、数据加密传输等。各种网络安全并不是各自独立的，而是作为一个整理来保护一个网络，要做到1+1>2的效果，必须要以实际网络环境需要为基础，选择全面的网络保护措施，不让其中一处短板破坏了整个网络的防御结构。

Cisco提出的网络安全的核心原则成为CIA三元组——机密性（confidentiality）、完整性（integrity）、可用性（availability），是目前最简单、适用范围最广的安全模型。这三大核心原则可以适用于小到如用户访问，大至如互联网上的数据安全。

本节本着CIA三元组原则，对企业网进行安全的加固，从最基础的访问控制、防止欺骗等，到一些高级的安全技术特征，是本设计的企业网的网络数据安全达到最优化。在本节所提及的一些安全技术特征部分为思科专有，或在其他厂商有相似技术但命名不同，而且因为软件问题，一些安全技术并不能被仿真软件所支持，但文章所列配置命令是真实能在实际环境中运行的。

4.4.1 访问控制

根据表3.1的信息，各VLAN都有不同的权限限制，并且从实际公司运作上考虑，这里将增添几项访问权限，全部访问控制具体为：

（1）内网访问控制：

38

企业网组网设计与仿真实现

普通部门单位之间不能相互访问 全部部门能访问服务器群和外网

网管部门能访问整个公司的VLAN（单向发起连接） 服务器不会主动向网络发起连接（除email/FTP）外 访客厅VLAN只能访问外网服务器群和外网 （2）外网访问控制：

通过VPN接入，只能访问内部服务器群 外网用户只能访问外部服务器的相关服务 1、对服务器群的访问限制

全部部门能访问服务器群（包括内网服务器群、外网服务器群）和外网网络。 在部门单位（包括会议室、不包括网管部）VLAN虚接口上配置ACL，使部门能访问服务器群，但首先注意要放行DHCP请求流量，这里以VLAN10为例。

Core1(config)#ip access-list extended cvlan10 Core1(config-ext-nacl)#permit udp any any eq bootps Core1(config-ext-nacl)#permit udp any any eq bootpc

Core1(config-ext-nacl)#permit ip 192.168.10.0 0.0.0.255 192.168.60.0 0.0.0.255

Core1(config-ext-nacl)#permit ip 192.168.10.0 0.0.0.255 192.168.70.0 0.0.0.255

为了对服务器的保护，还应该限制到到达服务器的具体协议端口做限制，不过这里可以从服务器主机下手，关闭不需要的服务，至开启服务相关的端口。

2、部门间的访问限制

不同IP网段的主机、不同VLAN内的主机本来是不能相互访问的，但由于网关网络开启路由功能后，导致IP网段之间、VLAN之间能够相互访问，这需要在核心交换机的VLAN上配置ACL。

在部门单位（包括会议室、不包括网管部）VLAN虚接口上配置ACL，达到相互之间不能访问，这里以VLAN10为例，继续上一款的配置。

Core1(config-ext-nacl)#deny ip 192.168.10.0 0.0.0.255 192.168.0.0 0.0.255.255

Core1(config-ext-nacl)#permit ip 192.168.10.0 0.0.0.255 any

39

企业网组网设计与仿真实现

然后把ACL应用在VLAN虚接口 Core1(config)#int vlan 10

Core1(config-if)#ip access-group cvlan10 in

这样，1、款和2、款所创建的ACL就能实现普通部门能访问服务器群和外网，但不能访问其他部门。

3、网管部的访问限制

网管部门负责对整个企业网络的管理和维护，哪个部门哪台PC是谁使用，通过网管软件都能掌握得一清二楚，并且对于普通的软件故障，能够通过远程控制来实现维修，这样就需要网管部能访问整个企业网络。但由于其他部门之间不能互相访问，即使允许网管部VLAN访问其他部门，也会因为其他部门的流量不能返回而导致连接失败，这里我们就要使用CBAC的技术，实现网管部门单向发起连接后能让流量正常返回。

基于上下文的访问控制协议（CBAC）通过检查通过IOS防火墙的流量来发现＆管理TCP和UDP的会话状态信息。这些状态信息被用来在IOS防火墙访问列表创建临时通道。通过在流量向上配置IP Inspect列表，允许为受允许会话放回流量和附加数据连接，打开这些通路。

以下在Core1核心交换机上配置CBAC。

Core1(config)#ip inspect name NetMag tcp timeout 30 Core1(config)#ip inspect name NetMag udp timeout 5 Core1(config)#ip inspect name NetMag icmp timeout 10 Core1(config)#ip inspect name NetMag telnet timeout 60

为了减轻交换机负担，只有网管部门的流量从普通部门VLAN出去的时候，才建立相关状态表，所以把IP Inspect应用在普通部门VLAN虚接口的出站方向。

以下以应用在VLAN10为例（其他普通部门VLAN同样应用即可）： Core1(config)#int vlan 10

Core1(config-if)# ip inspect NetMag out

4.4.2 防止地址欺骗

地址欺骗是指行动产生的IP数据包伪造的源IP地址，以便冒充其他系统或保护发件人的身分，这是一种黑客的攻击形式，黑客使用一台计算机上网，而借用另外一台机

40

企业网组网设计与仿真实现

器的IP地址，从而冒充另外一台机器与服务器打交道。地址欺骗的可以发生在外网对内网的攻击，也可以是内部PC被恶意操控进行从内部发起的欺骗攻击。为了防止地址欺骗，进而发生对网络的其他恶意行为，本设计将从两个方向进行防御：在网关配置防地址欺骗的措施，在内网控制好员工PC不被使用虚假IP。

1、边界路由加固

在Gateway网关路由的s0/0口放置ACL规定哪些IP地址和协议可以通过边界路由器，而哪些被阻止，由此确保流量安全进出网络。

（1）首先过滤Bogons网段：

Bogons网段不会出现在Internet上. 包括下列地址： ? RFC 1918定义的私有地址 ? Loopback 口地址(127.0.0.0/8) ? IANA 保留的地址 ? 多播地址 (224.0.0.0/4) ? 学术研究用地址 (240.0.0.0/4) ? DHCP 本地私有地址 (169.254.0.0/16)

Gateway(config-ext-nacl)#deny ip 10.0.0.0 0.255.255.255 any Gateway(config-ext-nacl)#deny ip 172.16.0.0 0.15.255.255 any Gateway(config-ext-nacl)#deny ip 192.168.0.0 0.0.0.255 any Gateway(config-ext-nacl)# deny ip 224.0.0.0 15.255.255.255 any Gateway(config-ext-nacl)# deny ip 240.0.0.0 15.255.255.255 any Gateway(config-ext-nacl)# deny ip 0.0.0.0 0.255.255.255 any Gateway(config-ext-nacl)# deny ip 169.254.0.0 0.0.255.255 any Gateway(config-ext-nacl)# deny ip 192.0.2.0 0.0.0.255 any Gateway(config-ext-nacl)# deny ip 127.0.0.0 0.255.255.255 any

由于具体地址较多，这里不一一具体列明。关于更多Bogons的介绍和相关网段，参考附录A。

（2）然后针对TCP、UDP和ICMP进行配置：

Gateway(config)#ip access-list extended internet_in Gateway(config-ext-nacl)#permit tcp any any established Gateway(config-ext-nacl)#permit udp any eq domain any gt 1024

41

企业网组网设计与仿真实现

Gateway(config-ext-nacl)#deny icmp any any timestamp-request Gateway(config-ext-nacl)#deny icmp any any mask-request Gateway(config-ext-nacl)#deny icmp any any information-request Gateway(config-ext-nacl)#permit icmp any any 2、内网防止地址欺骗

在4.1.2条第8款提到过，使用DHCP来自动分配IP地址信息，可以为一些地址安全措施作前提。在这小节将利用DHCP的基础，防止恶意人员私自修改PC地址实现攻击。这里将在接入层交换机上使用三种技术来防止地址欺骗和基于地址欺骗的恶意行为，分别是DHCP Snooping、Dynamic ARP Inspection和IP Source Guard。

DHCP监听（DHCP Snooping）是一种DHCP安全特性。Cisco交换机支持在每个VLAN基础上启用DHCP监听特性。通过这种特性，交换机通过DHCP信息，能够拦截第二层VLAN域内的所有DHCP报文，并生成一个DHCP绑定表，里面包含DHCP的相关信息。Dynamic ARP Inspection(DAI)在交换机上提供IP地址和MAC地址的绑定， 并动态建立绑定关系。IP Source Guard 就是将端口、mac地址、IP地址、vlan、DHCP租期、包类型绑定在一起。

这三种技术都是基于DHCP绑定表来进行防止地址欺骗的。由于具体配置较负责，而且仿真软件都不能支持交换机上的高级技术，这里就不在列明具体配置。附录B上有这三种技术的具体说明。

4.4.3 边界路由器加固

边界路由器既网络边界的边缘或末点的路由器，提供了对外界网络的基本的安全保护。虽然有防火墙的加固，但边界路由器作为外网和内网阻隔的第一道屏障，也是恶意流量首先要面对的阻隔，也必须要设置一些基本的安全加固措施，才能确保恶意流量不会进入企业网内部。

1、网关路由器的访问限制

作为内网、外网间屏障的路由器，保护自身安全的重要性也是不言而喻的。为了阻止黑客入侵路由器，必须对路由器的访问位置加以限制。

应只允许来自服务器群的IP地址访问并配置路由器。这时，可以使用access-class命令进行VTY访问控制，仅允许网管部门地址进行登陆。如下面命令所示：

42

企业网组网设计与仿真实现

Gateway(config)#access-list 10 permit 192.168.22.0 0.0.0.255 Gateway(config)#line vty 0 4

Gateway(config-line)#access-class 10 in Gateway(config-line)#exit 2、对外屏蔽SNMP

SNMP即简单网关协议，利用这个协议，远程主机可以监视、控制网络上的其它网络设备。它有两种服务类型：SNMP和SNMPTRAP。

设置对外屏蔽简单网管协议SNMP。命令如下：

Gateway(config)# ip access-list extended internet_in Gateway(config-ext-nacl)# deny udp any any eq snmp Gateway(config-ext-nacl)# deny udp any any eq snmptrap 3、对外屏蔽远程登录协议telnet

首先，telnet可以登录到大多数网络设备和UNIX服务器，并可以使用相关命令完全操纵它们。其次，telnet是一种不安全的协议类型。用户在使用telnet登录网络设备或服务器时所使用的用户名和口令在网络中是以明文传输的，很容易被网络上的非法协议分析设备截获，这是极其危险的。

设置对外屏蔽远程登录协议telnet。命令如下：

Gateway(config)# ip access-list extended internet_in Gateway(config-ext-nacl)# deny tcp any any eq telnet 4、对外屏蔽其它不安全的协议或服务

这样的协议主要有SUN OS的文件共享协议端口2049，远程执行（rsh）、远程登录（rlogin）和远程命令（rcmd）端口512、513、514，远程过程调用（SUNRPC）端口111。可以将针对以上协议综合进行设计，如下面命令所示。

在全局模式下做ACL策略对外屏蔽其它不安全的协议或服务。命令如下 Gateway(config)# ip access-list extended internet_in Gateway(config-ext-nacl)# deny tcp any any range 512 514 Gateway(config-ext-nacl)# deny udp any any eq 111 Gateway(config-ext-nacl)# deny tcp any any eq 2049 5、针对DoS攻击的设计

DoS攻击（Denial of Service Attack，拒绝服务攻击）是一种非常常见而且极具

43

企业网组网设计与仿真实现

破坏力的攻击手段，它可以导致服务器、网络设备的正常服务进程停止，严重时会导致服务器操作系统崩溃。下面命令显示了如何设计针对常见DoS攻击的ACL。

在全局模式下配置ACL针对DoS攻击的设计。命令如下 Gateway(config)# ip access-list extended internet_in Gateway(config-ext-nacl)# deny icmp any any eq echo Gateway(config-if)#interface fastEthernet 0/0 Gateway(config-if)#no ip derected-broadcast

在配置完以上命令之后，因为ACL中默认最后有一条deny所有IP流量的条目，所以必须手动加入一条permit所有IP流量，并把ACL加入网关出口接口上。

Gateway(config)# ip access-list extended internet_in Gateway(config-ext-nacl)# permit ip any any

4.4.4 防火墙安全加固

Cisco ASA防火墙的性能和功能都非常强大，可以在防火墙上定义更多、更深入的安全防御措施，来让内网出站、外网入站的流量得到受控。在ASA防火墙的具体配置中有多个独有特性，这些特性中有些功能非常明显，而有些却略显隐蔽；有些特性是默认启动的，而有些则需要手动进行配置。

1、设置TCP Intercept

TCP Intercept（TCP截获）特性能够为隐藏在防火墙后的主机设备提供保护，抵御成为“SYN泛洪”的特定类型网络攻击。使用SYN泛洪，攻击者通过好像发自不存在或不可达主机的连接请求，有效的使受害系统负荷过重，从而达到拒绝向目标主机提供服务的目的。这个功能特性虽然是默认启用的，但是仍需要一些手动设置。这里以http和FTP为例：

FW(config)# class-map http

FW(config-cmap)# match port tcp eq www FW(config-cmap)# class-map ftp

FW(config-cmap)# match port tcp eq ftp FW(config-cmap)# policy-map global_policy FW(config-pmap)# class http

44

企业网组网设计与仿真实现

FW(config-pmap-c)# set connection embryonic-conn-max 100 per-client-max 5 FW(config-pmap-c)# class ftp

FW(config-pmap-c)# set connection embryonic-conn-max 100 per-client-max 5 这样设置后，http和FTP的TCP半开连接（TCP embryonic）同时只能有最高100个。

2、速度限制

我们可以细分地针对一些下载软件、协议进行限制，但由于配置比较繁琐，在本设计中将不进行细分限制下载软件和协议，代替的是用速度限制来实现限制下载。将每个部门限制4M的下载速度，访客厅和会议室限制最大2M。这里以VLAN10为例，代表对普通部门的限制：

Gateway(config)# access-list 400k extended permit ip any 192.168.10.0 255.255.255.0

Gateway(config)# access-list 200k extended permit ip any 192.168.40.0 255.255.255.0

Gateway(config)# access-list 200k extended permit ip any 192.168.50.0 255.255.255.0

FW(config)# class-map 200k

FW(config-cmap)# match access-list 200k FW(config)# class-map 400k

FW(config-cmap)# match access-list 400k FW(config)#policy-map xiansu FW(config-pmap)# class 200k

FW(config-pmap-c)# police input 2096000 1048 FW(config-pmap-c)# police output 2096000 1048 FW(config-pmap)# class 400k

FW(config-pmap-c)# police input 4192000 1048 FW(config-pmap-c)# police output 4192000 1048 FW(config)# service-policy xiansu interface inside1 FW(config)# service-policy xiansu interface inside2

45

企业网组网设计与仿真实现

5 系统测试

当企业网组网完成后，还应该对企业网的整体运行情况做一下细致的测试和评估，其实在配置的时候在配置每个不同的模块后都应该对刚才的配置进行过一次测试与校验。在这里讲的是全面的测试包括从最底层的IP连通性到、各协议之间的屏蔽与连通性，再整个企业网完成的时候还要再一次系统的测试。

5.1 测试模块

对于毕业设计来说，这次系统测试则是对设计的成功与否的检验。由于本设计是分模块进行的，而且由于单个仿真软件的技术局限，所以每个大模块也分了好几个小模块进行设计，而且是利用多个仿真软件进行实验的。在本章，将对本设计中能够在仿真软件中仿真测试的部分进行总结，分解开每一个实验进行测试。

根据本设计的思路以及设计模块，结合实模拟软件的实际，本章主要挑选以下几项分解实验进行测试：

（1）企业内网全网连通，以及访问控制 （2）核心层的冗余备份与负载均衡 （3）VPN接入实验，路由器之间的VPN连接 （4）Remote VPN接入，实现移动办公安全接入

在本章进行测试的实验保存文件，将在附录在附件一中，附件中还将有此次使用的仿真模拟软件的安装程序，以上测试项目分别对应附件中TestEx_1、TestEx_2、TestEx_3。

5.2 模块测试验证

5.2.1 企业网连通与访问限制

1、准备与说明

此分解模块使用Cisc Packet Tracer仿真模拟软件进行仿真测试，将对整个企业网络的连通性进行测试。需要说明的是，由于软件的问题，有些部分不能完全模拟成功，

46

企业网组网设计与仿真实现

将会在下文进行说明。

图5.1所示为此次分解实验的拓扑，为本设计的企业网总体拓扑。需要说明的是，由于软件的不支持已经对实验的精简，这里忽略了核心层的冗余备份，因而此拓扑只保留了一个核心交换机Core1；防火墙FW由路由器代替，在这里仅仅作为路由设备。

图5.1 企业网总体连通性测试拓扑

此拓扑由两大部分组成，以Gateway（虚线圈所示）作为分界点。Gateway左端部分为企业网内网部分，右端模拟外网环境。此实验根据第4章4.1.1条的介绍进行，将实现全网连通，包括PC主机自动获取IP信息、部门间的访问限制、部门对内部服务器和外部服务器的访问、外网对外部服务器的访问。需要说明的是，由于软件的不支持，这里将不实现网管部门（NetMag）对其他部门的单向访问支持。

2、测试与验证

图5.2显示为Units1部门PC自动从内部DHCP服务器获取相关IP信息。

图5.2 部门PC自动获取IP信息

47

企业网组网设计与仿真实现

图5.3（a）显示为Units1部门PC对本部门的其他PC进行ping测试，并且能够ping通；而图5.3（b）显示为Units1部门PC对其他部门（Units2）的PC进行ping测试，但并不能ping通，返回目标主机不可达信息。

（a）Units1部门的PC能够ping通本部门其他PC

（b）Units1部门的PC不能能够ping通其他部门的PC

图5.3 部门PC进行ping测试

48

企业网组网设计与仿真实现

图5.4（a）显示内部PC能够通过DNS服务器解析域名之后正常访问外部WEB服务器；图5.4（b）显示外部PC直接在浏览器打上WEB服务器地址和端口后能够正常访问WEB页面。

（a）内部PC能正常访问WEB服务器

（b）外部PC能正常访问WEB服务器

图5.4 PC访问WEB服务器

图5.5显示部门PC能够通过eMail服务器对部门其他PC进行发送emai邮件，并能够正常接收回复邮件。

图5.5 正常使用邮件服务器

49

本文来源：https://www.bwwdw.com/article/qlqw.html