企业网络系统工程

一、工程概况

本工程为XXXXX企业网络系统工程，工程地点位于XX市XX县XX企业，本次施工是对XXX企业内办公大楼、生产厂房、服务器机房的网络建设，共计1个核心机房、3个汇聚机房、2个弱电间。

二、工程项目内容

本项目于2022年8月6日开工，计算机网络呈星型拓扑结构，综合布线采用千兆主干网络，自适应到桌面的企业网络方案，把企业的各个资源联系起来，另外，企业通过500M电信带宽线路把互联网系统接入企业网内。

三、项目分析以及需求分析

项目分析：

本次项目是对企业内部网络的建设，通过nat与公网互通，所以其ip地址都是私网ip。内部设备层次需要符合企业网的三层架构（核心层、汇聚层、接入层），核心层一般为路由器（这里由于经费问题由三层交换机代替路由器）、汇聚层一般为三层交换机、接入层为二层交换机。生产区和办公区都是独立的三层架构，通过核心层的OSPF协议进行路由获取来互通。在各自区中，将不同的部门划分到不同的VLAN，通过运行stp生成树协议防止广播风暴、mac地址的飘逸以及多帧复制。再通过VRRP将达到网关冗余的目的。

需求分析：

3.1、性能需求：网络采用技术成熟的星型以太网交换结构，骨干网络采用千兆互联，接入层使用千兆带宽到桌面的高性能网络；
3.2、应用需求：建立可满足多种应用的高质量信息网络，其应用包括日常办公、安全、生产及经营信息交流等业务，同时，还要满足为企业行政、计算机管理、监控、Internet上网等语音、数据、图像数据的接入和传输需求；不同的区域通过不同的交换机和网线进行传输和接入。
3.3、网络管理需求：可以远程管理设备，只要有一台设备能连入内网，就能通过远程登录控制所有设备。建成的网络要求可进行集中式、可视化图形管理，可自动发现网络拓扑，网络管理员可及时发现网络故障点并予以排除，并可及时隔离非法访问用户，以保证整个网络高效、安全、可靠的运转；
3.4、安全需求：要保证企业内部关键设备、关键数据、关键应用的安全，禁止未经授权的非法用户访问；要求网络能有效隔离各子网之间未经授权的相互访问；保证企业对Internet的安全、可靠访问。
3.5、冗余需求：要保证整个网络如果其中一台设备坏了，有备用设备进行工作，并且备用设备平常可用于其他设备工作，到达利益最大化。同时要保证线路冗余，其中一根网线断了可以通过另外一根网线进行工作。

四、项目设备配置流程

打开设备时，把所以接口都shutdown，需要用哪个接口再用哪个接口。

交换部分：

1、将能进行链路聚合的设备进行链路聚合（D-1与D-2之间、D-3与D-4之间、D-5与D-6之间、C1与C2之间）

2、创建VLAN，在每个设备上创建该创建的VLAN，不使用的VLAN不要创建，如：在接入层设备A-1上只创建车间1所需的VLAN10以及管理VLAN255，在接入层A-2上只创建车间2所需的VLAN110、120以及管理vlan255.

3、trunk干道，将汇聚层和接入层设备之间用trunk干道连接，并将对应vlan划分到trunk干道。

4、划分vlan，将用户所需接口划分到对应vlan，将接口类型设置为access并将vlan加入接口。

5、运行mstp多生成树协议，汇聚层和接入层的设备之间运行mstp多生成树协议，办公区的域就叫BG，生产区的域就叫SC,服务器区的域就叫WFQ,然后将对应的VLAN划入实例中，并且输入active region-configuration才能算mstp配置完成。然后修改对应的优先级将不同设备设置为不同实例的主。（注：1、华为设备运行的是802.1T协议，而华三设备运行的是自带的协议，所以需要将协议同一。这里是将华三设备的协议修改为802.1T。 2、由于核心层也是交换机，所以在核心层与汇聚层之间连接的接口都要关闭stp）

6、配置svi交换机虚拟接口，在接入层配置VLAN255的svi目的是为了方便远程管理，在汇聚层配置网关svi和VLAN255远程管理VLAN，并且配置网关svi时vlan尽量选择远离用户的vlan。

7、配置VRRP虚拟路由器冗余技术，目的是汇聚层的其中一个交换机down了之后有个备份交换机来进行工作达到冗余的效果。并且通过修改优先级来选择master，通过上行链路追踪来执行双上行都down时更换master（优先级修改为120，down一条上行优先级降低15）

路由部分：

1、运行OSPF协议将各自网段宣告在各自的区域中。
2、路由选路策略，在C-1和C-2中修改接口的开销值，到达生产区访问外网以及服务器区走C-1、办公区访问外网以及服务器区走C-2。
3、特殊区域的配置和区域认证，将area1和area2设置为total stub区域（注：特殊区域的配置在本区域中所有的设备都要进行配置。）。在area0中进行区域认证（防火墙在area0中所以也要进行区域认证）
4、沉默热备接口，如果不沉默热备接口那么两台设备之间可能会建立多个邻居多次发送hallo包占用资源，所有为了让两台设备之间只建立一个邻居我们需要沉默热备接口。
5、加快收敛，将两点的MA网络修改为P2P网络类型这样就不需要DR/BDR选举到达加快收敛的目的。然后就是修改hello时间，将hello时间修改为1s。

五、拓扑设计

企业网络拓扑设计如图所示。
整体网络架构如上图所示，分为办公网、生产网和服务器中心三部分。
办公楼在楼层弱电间部署接入交换机，多台接入交换机通过千兆光口与上层楼宇汇聚交换机连接。每栋楼在汇聚机房部署两台汇聚交换机，用于汇聚本楼层内的所有接入交换机链路，并为保证网络稳定性。
2台核心交换机也可选择是否堆叠为一台设备，已增加网络健硕性。核心交换机连接服务器区域汇聚交换机设备，并作为各个服务器的网关设备，将企业内部网络与服务器连接起来。
核心交换机通过千兆电口链路上联安全网关，安全网关采用下一代防火墙高性能防火墙，防火墙采用非X86架构，双主控，双电源，集成开启防火墙、入侵防御、AV防病毒功能。安全网关通过万兆链路连接运营商出口以及集团专线。

六、光缆路由设计

企业网络采用单星型网络结构，主干采用光纤连接
主干路由设计详见表1

七、VLAN的规划

7.1、概述
虚拟局域网（VLAN）是从传统的局域网（LAN）概念上引申出来的，两者在功能和操作上基本相同，不同的是VLAN依据协议、MAC地址或端口在逻辑上将网络划分为若干部分。
VLAN的作用是使得同一VLAN中的成员之间能够通信，而不同VLAN用户之间相互隔离，如果需要通信，必须通过路由设备。VLAN使网络管理简单化，可以减少工作站移动和变化所需的费用，方便地进行逻辑分组，添加、删除和修改用户信息以及通过网络流量测试工具进行计费等工作。此外VLAN可以将广播风暴遏制在本 VLAN的范围之内，使其他VLAN用户不受影响，大大节约了网络带宽，提高了带宽利用率。

7.2、端口VLAN划分

八、IP地址划分

8.1、地址分配原则
TCP／IP网络中的每一个主机都必须获得一个IP地址用来确定在网络中的位置。在本网络系统中，IP地址分配是一项十分重要的工作，它关系到今后网络是否方便扩展和管理。为保证工程建设的完整性和延续性，并考虑今后网络的扩展规模，IP地址的规划应当统筹考虑，为各设备规划出合理的IP地址。
8.2、本次IP划分是基于10.0.0.0/16这个网段进行划分，不同vlan划分一个10.0.0.0/24的网段，如：VLAN80属于10.0.80.0/24这个网段。

九、设备选择

十、项目流程

本次项目的流程：
1、先拿着清单表与甲方对接，确认设备以及网线、光纤等齐全。
2、将设备安装至设备架中，然后根据拓扑进行网线和光纤的连接。
3、确认连接无误后，用console线连接设备进行配置。先在各个区域配置交换部分（链路聚合、vlan的创建和划分、stp生成树、svi、vrrp 甲方需求无DHCP）。
4、确认各自能ping通网关然后再进行路由部分的配置，路由协议选择OSPF协议。
5、路由配置完成后进行测试，在生产区的接入层中接入终端设备进行ssh远程登录设备，确认每个设备都能通过ssh远程登录。
6、在生产区与办公区的接入层连接终端，确认两台终端能互相访问。最后测试生产区与办公区接入层的设备能够访问服务器区。
7、测试完成后与甲方对接交付项目。

十一、问题总结

本人在这次项目中承担组长一职，我负责人员的安排、以及核心层路由部分的搭建。这次项目中遇到了一些问题，首先是在连接设备的时候，检查设备连线不仔细导致配置的时候出了一些问题花了一些时间进行配置的排错，最后才发现是连线错误。其次就是对于人员安排刚开始的时候安排的不太好，大家都是自己做自己的，我认识到这个问题后才进行任务的分配，浪费的刚开始的时间。最后就是配置上，自己的知识还有所欠缺，在配置的时候还是需要借助文档、笔记等进行配置。但是通过这次的项目，我收获的很多，对于交换部分的stp生成树协议、svi、vrrp以及路由部分的OSFP理解更加深刻了，已经初步有了网络的整体架构。虽然这个项目过程比较辛苦，天天晚上十一二点才回去，但是当整个网络搭建好了之后还是觉得特别的高兴。