目录
第1章关键技术
1.1二层网络
1.1.1MSTP
多实例生成树协议(MSTP,Multiple Spanning Tree Protocol)是一种网络协议,旨在提高大型以太网局域网的冗余路径利用率和网络稳定性。MSTP基于IEEE 802.1Q标准,通过允许网络管理员配置多个生成树实例,每个实例对应一个VLAN(Virtual Local Area Network),从而允许在单个网络中使用多个生成树[6]。这与标准生成树协议(STP)相比,可以更灵活地管理网络拓扑,降低网络中环路的数量,并在链路故障时快速收敛。
1.1.2链路聚合
链路聚合(Link Aggregation)是一种将多个物理链路组合成一个逻辑链路的技术。通过捆绑多个链路,链路聚合可以显著提高网络的带宽、冗余性和负载均衡能力,从而满足高流量、低延迟和高可用性的需求。主要原理如下:
(1)带宽叠加:通过将多个物理链路的带宽叠加,链路聚合可以显著提高逻辑链路的总带宽,从而支持更高的数据传输速率。
(2)负载均衡:链路聚合可以根据网络流量的实时变化,动态地分配不同链路上的流量,以实现负载均衡。有助于减少网络拥塞,提高数据传输的效率和稳定性。
(3)冗余备份:在链路聚合配置中,当某个物理链路出现故障时,其他链路可以接管其流量,确保网络的连续性和可用性。这种冗余备份机制有助于提高网络的可靠性。
1.1.3端口安全
MAC flooding攻击是一种针对局域网(LAN)交换机的网络攻击方式。在这种攻击中,攻击者向交换机发送大量的伪造的MAC地址学习请求,目的是使交换机的MAC地址表溢出,导致交换机无法正常处理网络流量,从而将所有流量广播到所有端口,就像一个集线器一样。这样,攻击者可以拦截到本应只发送到特定主机的数据包。
防御MAC flooding攻击的方法包括端口安全(Port Security)、动态MAC地址学习限制、MAC地址静态绑定等,端口安全技术提供了一种简单、直接、精确且易于管理的防御机制,与其它方法相比,它能够在不影响正常网络操作的情况下,有效地防御MAC flooding攻击。
1.1.4DHCP Snooping
DHCP欺骗攻击是针对网络中的DHCP服务器或客户端的攻击。在这种攻击中,攻击者伪造DHCP服务器,向客户端发送虚假的DHCP响应,从而诱使客户端使用攻击者指定的IP地址、子网掩码、默认网关或DNS服务器等网络配置信息。
DHCP欺骗攻击的防御方法包括:DHCP Snooping,DHCP Server IP地址固定,802.1X认证等。DHCP Snooping提供了一种专门、易于管理、对用户透明且广泛支持的防御机制,与其他方法相比,它能够在不影响正常网络操作的情况下,有效地防御DHCP欺骗攻击。
1.2三层网络
1.2.1NAT
网络地址转换(Network Address Translation, NAT)是一种在网络通信中实现地址转换的机制,主要用于IPv4环境下缓解全球公网IPv4地址资源紧张的问题。NAT技术的核心在于它允许多个私有网络内的主机共享一个或几个公网IP地址,通过在内部网络和外部网络之间进行IP地址和端口的转换,使得内部网络的设备可以访问公网,同时也可以让外部网络发起的请求正确到达内部指定的主机。
1.2.2OSPF
OSPF(Open Shortest Path First)是一种广泛应用的内部网关协议(IGP),它遵循分布式链路状态路由协议的设计原则,用于在自治系统内部(AS)计算并维护最优路径。OSPF的主要目标是通过高效的路径计算和更新机制,确保数据包在大型和复杂的网络环境中沿着最短路径转发。
相较于距离矢量路由协议(如RIP),OSPF采用链路状态通告(LSA)的方式传播网络拓扑信息,每个OSPF路由器都拥有一个完整的网络拓扑图,即链路状态数据库(LSDB)。路由器利用Dijkstra的最短路径优先(SPF)算法计算从自己出发到达网络中所有目的地的最短路径树,并据此生成路由表。
1.2.3VRRP
虚拟路由冗余协议(VRRP)是一种网络协议,旨在提高路由器的可用性和冗余性。该协议通过允许多台路由器共享同一虚拟IP地址,共同提供网络路由服务,从而实现路由器的高可用性。在一个VRRP域中,有多台路由器参与组成一个虚拟路由器,其中一台被选举为虚拟路由器的主路由器(Master),其他路由器则作为备份路由器(Backup)。主路由器负责处理所有通过虚拟IP地址的数据包,而备份路由器则处于待命状态,随时准备接管主路由器的职责。
1.2.4IPsec VPN
IPsec VPN是一种基于IPsec协议族构建的虚拟专用网络协议,用于通过Internet连接两个或多个远程网络。它提供强大的安全性和隐私保护机制,通过加密技术确保数据传输的机密性、完整性和身份认证。IPsec VPN可以建立安全的隧道连接。相对于其他VPN技术,IPsec VPN具有更高的安全性,包括ESP加密算法、AH鉴别算法和IKE密钥管理等安全体系框架,并通过不同的工作模式和安全协议实现通信保护。可以实现安全的隧道连接和数据传输。
1.3WLAN无线
CAPWAP(Control And Provisioning of Wireless Access Points)协议,是一种专门针对无线局域网(WLAN)设计的标准化通信协议,旨在解决无线接入点(Access Point, AP)与无线控制器(Wireless LAN Controller, WLC)之间的控制、配置与数据传输问题。该协议允许集中式的无线网络架构中,WLC能够有效地管理和配置分布式的AP,同时确保用户数据在AP与WLC间安全、高效地传输。
CAPWAP协议的独特之处在于它创建了两种不同类型的数据通道:其中,控制通道用于AP与WLC之间的管理信息交换,如AP启动时发现WLC、接收配置信息、上报状态等。数据通道对用户数据进行封装和隧道传输,以确保数据在无线网络中的安全传输,同时支持多种无线接入技术的兼容性。
通过CAPWAP,网络管理员能够集中配置和监控众多AP,大大提高了无线网络的可扩展性和运维效率。
1.4远程管理与SSH协议
SSH(Secure Shell)是一种广泛应用于远程登录和文件传输的安全协议,设计初衷是为了在不安全的网络环境中提供可靠、加密的通信信道。SSH不仅保护了用户身份验证过程,还确保了会话数据的机密性和完整性。主要包括以下功能特性:
加密通讯:SSH采用公钥加密技术进行身份验证和会话加密。客户端与服务器之间通过非对称加密算法建立安全通道,然后使用对称加密算法对实际数据传输进行加密,确保数据在传输过程中无法被窃听或篡改。
安全认证:SSH提供了多种认证方式,包括密码认证和公钥认证。公钥认证通过一对非对称密钥实现,其中公钥存放在服务器上,私钥由用户保管,增强了身份验证的安全性。
1.5ENSP虚拟仿真
eNSP(Enterprise Network Simulation Platform)是由华为研发的网络仿真软件,专为网络技术教学、实验、预配置和故障排查设计。该平台基于图形化界面,提供直观的网络设备模拟和网络架构搭建功能,让用户能够在一个虚拟环境中模拟现实世界的网络场景。
eNSP 能在不影响实际网络运行的前提下,模拟配置和测试网络设备。可在软件中模拟构建复杂的网络拓扑结构,在实际网络部署前,可通过eNSP预先完成网络配置和验证,进行协议配置、路由设计、故障模拟等各种实验,以验证网络设计方案的可行性和有效性。降低因错误配置导致的网络故障风险,提高网络建设和改造项目的成功率。
第2章需求分析与网络设计
2.1企业网络需求分析
2.1.1业务需求
(1)跨部门协作与信息数据交换
在企业内部,各职能单元间存在着密切的业务互动需求,因此,首要任务在于确保各部门间能够实现高效的协同运作,并达成无缝隙的数据互通共享。在规划网络解决方案时,务必充分考虑构建一套既能保障高速、安全数据传输,又能有力支撑部门间即时信息交换的体系,从而加速内部决策流程的反应速度与效率。
(2)远程办公支持
在全球互联的时代背景下,远程办公已成为常态化的作业方式。网络构架设计必须兼顾员工远程接入企业内网资源的功能需求,确保远程工作模式的稳定性与安全性得到巩固,进而提升员工的工作灵活度和效率。
(3)高速带宽要求
随着企业业务规模的持续扩大,对网络带宽的需求加大。在网络设计的过程中,务必周全考量对高带宽承载能力的需求,目的是确保所有部门在进行大数据交换、高清视频会议等占用大量带宽的业务操作时,能够保持流畅且不受阻滞。
2.1.2安全需求
(1)机密性和完整性保障
考虑到企业敏感信息的保护,公司总部与分部之间的通信网络方案应实施强大的加密技术,确保数据在传输和存储过程中的机密性和完整性。使用IPsec VPN技术和合适的加密算法,以防范潜在的数据泄露风险。
(2)访问控制与身份验证
确保网络安全的一项关键措施是有效的访问控制和身份验证机制。网络设计应包括强化的身份验证策略,限制对敏感数据的访问,并实施基于角色的权限管理,确保每位员工仅能访问其职责所需的资源。
(3)防火墙与入侵检测系统
防火墙是网络安全的前线防御,通过有效配置防火墙规则,限制不必要的网络访问,保障网络的安全性。同时,引入入侵检测系统,及时发现和阻止潜在的网络入侵行为。
2.1.3可扩展性和可维护性需求
(1)硬件和带宽的扩展性
考虑到企业可能的未来发展和业务扩张,网络设计应具备良好的硬件和带宽扩展性。采用模块化设计,能够灵活升级硬件设备,并轻松适应不断增长的网络流量。
(2)简化网络管理
为了提高网络的可维护性,网络设计应注重简化网络管理流程。采用可视化管理工具,实施远程监控和故障排除,降低维护成本,缩短故障恢复时间,保障网络的稳定运行。
2.2网络构建
2.2.1三层网络结构
考虑到企业网络规模和复杂性,为了降低网络的复杂性、提高网络的可管理性,并且更好地适应企业的业务需求,在网络设计中采用了三层网络结构。这种结构将整个网络划分为三个层次,包括接入层、汇聚层和核心层。
(1)接入层(Access Layer)
接入层是用户设备接入网络的入口,主要负责连接终端设备,提供接入服务。在企业网络中,接入层通常部署有交换机或接入点,用于连接用户终端设备,提供接入服务,并实施访问控制和安全策略。
(2)汇聚层(Distribution Layer)
汇聚层位于接入层和核心层之间,主要负责实现用户数据的聚合和转发,连接接入层和核心层,实现不同子网之间的数据交换。在企业网络中,汇聚层通常部署有路由器或三层交换机,用于实现数据的聚合和转发,提供网络间的路由功能,并实施网络策略和安全防护。
(3)核心层(Core Layer)
核心层是整个网络的基础和核心,主要负责实现数据的快速传输和转发,连接不同的汇聚层设备,构建网络的主干结构。在企业网络中,核心层通常部署有高性能的路由器或交换机,用于实现数据的快速传输和转发,提供网络的核心服务,并实施网络故障隔离和容错功能。
采用三层网络结构设计,可以更好地实现网络的分层管理和资源优化,提高网络的灵活性和可扩展性,同时也可以更好地满足企业的业务需求和安全要求。
2.2.2网络架构设计
(1)企业总部网络架构设计
核心层采用双核心架构,通过MSTP实现内部局域网(LAN)的无环路转发和链路冗余。核心交换机启用MSTP以划分多个生成树实例,确保不同VLAN间通信的负载均衡和故障切换。核心交换机之间使用链路聚合实现物理链路冗余。
企业总部部署两台高性能交换机,利用VRRP协议为主干网段提供默认网关冗余。一台设置为主设备,承担主要流量;其他交换机作为备份节点,随时准备在主节点故障时接替工作。
在出口防火墙上实施IPsec VPN实现企业总部与分部的通信,防火墙用于保护内网资源不受外部威胁,同时也为企业通信提供安全保障,包括验证、加密和完整性检查等功能,确保数据加密传输。
(2)分公司网络架构设计
分公司网络架构同样采用MSTP来避免局域网内部的环路问题,确保分公司内部网络的高效稳定运行。
参照企业总部网络架构模式,在分公司也设立VRRP组,提供本地网络的冗余网关服务。同时,配置出口防火墙作为IPsec VPN客户端,与总部的VPN服务器对接,形成点对点的VPN拓扑结构。
链路冗余与动态路由:分公司有多条链路连接到互联网及其他资源,使用OSPF等动态路由协议实现多路径通信的冗余和负载均衡。
边界安全防护:分公司同样配置必要的安全设备,如防火墙,用于保护内网资源不受外部威胁,同时也为企业总部与分公司之间的通信提供安全保障,包括验证、加密和完整性检查等功能。
2.2.3网络设备选型
根据选型原则和选型标准,对不同厂家不同型号的设备进行全面综合比较,选择满足实际需求、技术先进、性能价格比高的设备至关重要[3]。目前,设计制造网络设备的厂商主要有思科、华为和锐捷等。
思科是全球知名的网络设备供应商之一,思科设备通常依赖于其闭环生态系统,例如思科的操作系统IOS,这可能会限制了企业在设备选型和网络架构设计上的灵活性和选择空间。
锐捷是中国领先的网络设备供应商之一,但也存在一些不适合企业需求的情况,相对于思科和华为等知名品牌,华三锐捷的技术支持和服务体系可能相对薄弱,可能无法提供及时有效的技术支持和保障
华为是全球领先的信息和通信技术解决方案供应商,其网络设备在全球范围内得到广泛应用,其设备具有稳定可靠的性能,提供了丰富的网络功能和特性,包括高级的路由、交换、安全和管理功能,能够满足企业不同层次和需求的网络要求。
华为设备构建了完善的生态系统,提供了丰富的技术支持、解决方案和服务,为企业网络的建设和运维提供了可靠的保障。
虽然思科和锐捷在某些情况下可能适合部分企业的需求,但针对综合考虑成本、技术支持、品牌影响力和生态系统等因素,选择华为设备作为网络设备选型可能更为合适。详细如表2.1所示。
| 设备名称 | 型号 | 数量 | 所在位置 |
| FW1 | USG6500 | 1 | 总公司出口 |
| FW2 | USG6500 | 1 | 分公司出口 |
| C-SW9~10 | S5700 | 2 | 总公司核心层 |
| D-SW7~8 | S5700 | 2 | 总公司汇聚层 |
| A-SW1~6 | S3700 | 6 | 总公司接入层 |
| BC-SW13~14 | S5700 | 2 | 分公司核心层 |
| BA-SW15~18 | S3700 | 4 | 分公司接入层 |
| SW19 | S3700 | 1 | DMZ服务器接入 |
| SW11~12 | S3700 | 2 | AC接入 |
| AC1 | AC6005 | 1 | 总公司核心层旁挂 |
| AC2 | AC6005 | 1 | 分公司核心层旁挂 |
| AP1~6 | AC4050 | 6 | 总公司接入层 |
| AP7~8 | AC4050 | 2 | 分公司接入层 |
2.2.4IP地址规划
根据企业各部门的业务需求和设备数量划分IP地址和VLAN,确保每个部门有足够的地址空间,并考虑是否需要为特定部门提供互联网访问。确保企业总部和分公司的网络架构既满足当前的业务需求,又能够适应未来的发展变化。以下是具体的IP地址和VLAN划分,如表2.2所示。
| 用途 | VLAN ID | IP地址范围 |
| 策划部 | 10 | 192.168.10.0/24 |
| 人事部 | 20 | 192.168.20.0/24 |
| 财务部 | 30 | 192.168.30.0/24 |
| 销售部 | 40 | 192.168.40.0/24 |
| 运维部 | 50 | 192.168.50.0/24 |
| 开发部 | 60 | 192.168.60.0/24 |
| C-SW9与FW1互连 | 70 | 192.168.70.0/30 |
| C-SW10与FW1互连 | 80 | 192.168.80.0/30 |
| 无线业务VLAN | 100 | 192.168.100.0/24 |
| 无线管理VLAN | 200 | 192.168.200.0/24 |
| DMZ区域 | - | 192.168.150.0/24 |
| 模拟外网 | - | 8.8.8.0/24 |
| FW1 IKE本地地址 | - | 1.1.1.0/30 |
而分公司需要与总部保持高度集成,因此在IP地址规划上要考虑到与总部IP地址空间的协调一致,避免冲突,同时也要满足两地间数据通信的需求,如通过IPsec VPN进行安全连接时的路由可达性。以下是具体的IP地址和VLAN划分,如表2.3所示。
| 用途 | VLAN ID | IP地址范围 |
| 市场部 | 10 | 172.16.10.0/24 |
| 项目管理部 | 20 | 172.16.20.0/24 |
| 财务部 | 30 | 172.16.30.0/24 |
| 项目采购部 | 40 | 172.16.40.0/24 |
| BC-SW13与FW2互连 | 50 | 172.16.50.0/30 |
| BC-SW14与FW2互连 | 60 | 172.16.60.0/30 |
| 无线业务VLAN | 100 | 172.16.100.0/24 |
| 无线管理VLAN | 200 | 172.16.200.0/24 |
| FW2 IKE本地地址 | - | 2.2.2.0 /30 |
2.2.5网络拓扑
网络拓扑搭建完后,将对各种协议和策略进行测试和评估,通过对结果的分析,可以为企业网络建设提供有效的参考和建议。具体的实验拓扑结构如图所示。
第3章高可用企业网络方案实现
3.1二层网络实现
3.1.1MSTP策略
企业在骨干网的建设方面使用双核心,接入层到汇聚层,汇聚层到核心层之间都是采用双链路连接,为了解决双链路带来的冗余链路问题并实现负载分担,在设计该企业网络时采用MSTP策略。
接入层六台S3700的A-SW交换机依次用双链路与汇聚层交换机相连,汇聚层的台D-SW交换机使用S5700与核心层两台S7700的C-SW交换机使用双链路相连。现以核心层的C-SW9交换机为例。如图所示。
3.1.2链路聚合策略
企业中常采用双核心的网络设计方案,核心交换机之间数据流量大,为了适应企业对于高带宽的网络需求,因此设计在两台核心交换机上做链路聚合,从而提高核心交换之间的链路带宽[。
将企业网中的核心交换机通过两条物理链路相连,两条链路之间使用LACP模式进行链路聚合,其中C-SW9的LACP优先级手动设置为100,因此C-SW9成为主动端,同时C-SW10的LACP优先级保持不变,作为备份。这里以核心层C-SW9交换机为例。如图所示。
这样,可以将多个物理端口汇聚在一起,形成一个逻辑端口,可以显著提高网络的带宽容量。聚合后带宽可以达到各个成员端口带宽的总和,从而满足高带宽应用的需求,同时,通过LACP动态备份的方式,增强了链路的可靠性。当某个成员端口发生故障时,流量可以自动切换到其他可用的成员链路上,保证了网络的持续稳定运行。
3.1.3端口安全策略
端口安全是通过配置交换机的端口,限制每个端口可以学习的MAC地址数量。一旦达到限制,交换机将不再学习新的MAC地址,从而防止MAC地址表被填满。在企业网络端口安全技术一般设计在各接入层交换机上,具体配置如图所示。
这样配置端口安全策略后,可以限制端口学习的MAC地址数量,当达到限定数量(3个)后,不再学习新的MAC地址。这可以防止攻击者通过发送大量的伪造MAC地址数据包进行MAC地址泛洪攻击,从而保护网络的稳定性。
3.1.4DHCP Snooping策略
DHCP Snooping是一种交换机功能,用于防止DHCP欺骗攻击。它通过在交换机上验证DHCP响应的真实性来工作,确保只有来自受信任DHCP服务器的响应才会被网络中的设备接受。具体配置如图所示。
3.2三层网络实现
3.2.1NAT策略
在企业的出口防火墙上配置NAT,可以上内网用户顺利访问外网资源,这里在FW1配置NAT策略,采用Esay IP的方式,如图所示。
3.2.2OSPF策略
在企业总部的核心层的两台交换机和出口防火墙上配置OSPF协议,C-SW9与C-SW10与FW1相连的链路为area 0 由于大量的路由条目在area 0 会增加设备的负担,影响网络的稳定性,因此将各部门的网段都宣告在area 1内,并将该区域设置为stub区域。如图所示。
3.2.3VRRP策略
企业总部各部门的VLAN网关都设置在C-SW9和C-SW10这两台核心交换机上,而分公司的各部门网关都设置在BC-SW13和BC-SW14这两台核心交换机上,为了提高企业网络的可靠性和可用性,设计两台核心交换机上使用VRRP策略,为各部门的每个VLAN都定义VRRP备份组,并为每个VRRP备份组对应一个虚拟的网关地址。核心交换机中VLAN接口的IP地址和物理上的IP对应关系如所示。,这里以公司总部C-SW9核心交换机为例,具体如表3.1所示。
| VLAN ID | VRRP备份组ID | 虚拟IP | C-SW9上的物理IP | C-SW10上的物理IP |
| 10 | 10 | 192.168.10.254 | 192.168.10.252 | 192.168.10.253 |
| 20 | 20 | 192.168.20.254 | 192.168.20.252 | 192.168.20.253 |
| 30 | 30 | 192.168.30.254 | 192.168.30.252 | 192.168.30.253 |
| 40 | 40 | 192.168.40.254 | 192.168.40.252 | 192.168.40.253 |
| 50 | 50 | 192.168.50.254 | 192.168.50.252 | 192.168.50.253 |
| 60 | 60 | 192.168.60.254 | 192.168.60.252 | 192.168.60.253 |
具体配置如图所示。(这里仅以企业总部核心交换机上的VLAN10为例,其余VLAN、分公司核心交换机VRRP配置类似)
通过创建实例并设置相对应的虚拟IP,接着为该实例设置优先级,最后通过对上联接口的状态跟踪,相应减少优先级来达到企业网络终端设备的下一跳路由设备链路出现故障时,能迅速切换到另一台备用设备上,实现了企业网络的通信高可靠性和高可用性。
3.2.4IPsec VPN通信
配置IPsec VPN大致可以分为以下几个阶段
(1)创建IKE提议,包括加密算法、认证方式等。如图所示。
(2)创建IKE对等体,指定远程VPN网关IP和预共享密钥。如图所示。
(3)创建IPsec提议,引用IPsec策略。定义感兴趣流量,即需要通过VPN隧道传输的流量。如图所示。
(4)定义IPsec策略,包括加密算法、认证算法、安全协议等。并在需要建立VPN的接口上应用IPsec策略。如图所示。
3.3WLAN无线局域网实现
(1)AP上线
在企业内部AC上配置AP接入组,设置AP的名称并加入AP组,设置CAPWAP源接口,这里以AC1的配置为例,如图所示。
(2)配置WLAN参数
WLAN的业务参数包括,SSID、设置密码和加密协议,数据的转发模式,这里以AC1为例,如图 所示。
3.4SSH远程登录
在企业网络网络运维中,通过SSH,管理员可以远程登录到公司的网络设备,进行配置、监控和维护。以核心层交换机C-SW9为例,具体配置如图所示。
第4章系统测试
4.1测试目的
基于MSTP和VRRP的企业网络设计与实现的测试目的,旨在全面验证其在提高网络可用性、可靠性、稳定性和服务质量等方面的性能,以及在实际运行环境中的适应性和可扩展性[15]。主要从以下三个方面进行测试。
(1)基本功能测试
主要使用Ping命令测试企业总部与外网的连通性,企业与总部的连通性,这可以检验NAT功能,使用移动设备终端SAT连接WIFI后测试WLAN无线功能,在获取到IP地址等网络参数后,使用Ping命令与外网进行连通性测试,验证是否通过WLAN正常通信,通过查看OSPF邻居,验证OSPF是否正常运行,通过SSH远程登录C-SW9验证远程登录功能。
(2)高可用性测试
评估网络流量在MSTP配置下是否能有效隔离物理环路,防止广播风暴,并确保所有链路按预期参与负载分担,同时,在链路故障时能够迅速重新计算路径,保证网络整体连通不中断。
冗余切换:通过模拟主设备故障,检验VRRP在实际场景中的冗余切换效果,包括备用设备能否及时准确地接管主设备功能,保持IP子网的不间断通信,以及切换过程中的丢包情况和收敛时间。
负载均衡:分析MSTP在多生成树实例间的流量分配情况,验证其是否能够有效地平衡各链路负载,提高带宽利用率,提升整个网络的吞吐量和响应速度。
(2)安全性性测试
端口安全测试,在PC上连续多次更改MAC地址后进行通信,在达到3个MAC地址的限制后,该端口不在学习新的MAC地址,因此无法进行正常通信,IPsec VPN通信,在企业总部部门终端向分公司部门终端发起Ping测试,通过抓包,查看通信报文格式是否为ESP加密报文,验证是否通过IPsec VPN通信。DHCP Snooping测试,通过模拟接入未授权的DHCP服务器,查看部门终端是否只会从已授权DHCP服务器获取IP地址,验证DCHP Snooping功能。
4.2测试用例
在考虑多种真实网络环境下的应用场景,包括但不限于正常运行场景、故障恢复场景、网络扩展场景、负载均衡场景等,编写该企业网路方案的测试用例,如表4.1所示。
| 用例编号 | 用例标题 | 预期结果 | 实际结果 |
| 1 | 企业总部与外网通信 | 企业总部与外网正常通信 | 与预期结果一致 |
| 2 | 出口NAT功能 | 内网设备使用公网地址与外部网络进行连接 | 与预期结果一致 |
| 3 | 企业总部与分公司通信 | 企业总部与分公司正常通信 | 与预期结果一致 |
| 4 | WLAN无线功能 | STA等内网终端能够使用WIFI与外网进行通信 | 与预期结果一致 |
| 5 | OSPF功能测试 | FW1上OSPF有两个邻居 | 与预期结果一致 |
| 6 | SSH远程登录 | 本地网络通过SSH远程登录 C-SW9 | 与预期结果一致 |
| 7 | 链路聚合测试 | C-SW9和C-SW10聚合成一个交换机 | 与预期结果一致 |
| 8 | MSTP | 隔离广播域,防止物理环路,链路负载分担 | 与预期结果一直 |
| 9 | VRRP | 实现冗余网关,在主设备故障后,备用设备及时接管,通信不间断 | 与预期结果一致 |
| 10 | 端口安全测试 | 在MAC地址的数量达到3个后不再学习新MAC | 与预期结果一致 |
| 11 | DHCP Snooping测试 | 企业内网终端只会从以授权的DHCP服务器获取地址 | 与预期结果一致 |
| 12 | IPsec VPN通信 | 企业总部和分公司通过IPSec VPN通信 | 与预期结果一致 |
通过从基本功能测试,高可用测试,安全性测试三个方面对企业网络结构进行全面测试,测试结果显示,每个测试用例都达到了预期结果,证明该高可用企业网络方案是切实可行的。
4.3 性能测试
4.3.1 连通性测试
与外网的连通性测试,这里仅以企业总部为例,分公司外网连通性的测试步骤类似
在模拟内网用户终端设备的PC1上,在基础设置选项卡中的IPV4配置中,选择DHCP模式,并选择自动获取DNS服务器地址,如图所示
在PC1上,使用ipconfig命令查看其通过DHCP自动获取的IP地址、DNS服务器地址等网络参数如图所示
在核心交换机C-SW9上关闭与汇聚交换机C-SW7和C-SW8相连的下联端口G0/0/1和G0/0/6端口。以模拟其中一台DHCP服务器宕机,然后在PC1上用ipconfig release 命令释放之前获取到的IP地址,再用ipconfig /renew命令重新获取IP地址等参数,结果如图所示
在作为模拟企业内网上网用户终端的PC1上,Ping外网地址8.8.8.8显示能Ping通,如图所示
在模拟内网用户终端设备的PC1上,在基础设置选项卡中的IPV4配置中,选择DHCP模式,并选择自动获取DNS服务器地址,如图所示
在PC1上,使用ipconfig命令查看其通过DHCP自动获取的IP地址、DNS服务器地址等网络参数如图所示
使用Ping命令对企业总部内网终端设备PC1与分公司PC7进行连通性进行测试,测试结果如图所示
4.3.2 高可用性测试
链路聚合
通过命令dis int Eth-Trunk可查看链路聚合运行状态即可测试是否成功运行,这里以企业总部核心层交换机C-SW9为例,具体结果如图所示
Mstp和vrrp
在企业总部内网终端设备PC1上,使用tracert命令即可查看vlan10 20 30 40与核心交换机通信时是否在各自的主用根桥上,可测试MSTP是否成功运行,正常情况下VLAN10与VLAN60都是通过各自MSTP配置下的主用根桥。如图所示:
可人为致使网关设备或者网关设备上行链路出现故障,查看备用链路能否及时切换,以使得网络通信依然正常。这里使其中一台网关设备C-SW9宕机,使用tracert查看PC1是否能正常访问外网,如图所示:
也可以在终端设备PC1上使用Ping命令后面添加-t参数Ping 8.8.8.8 -t,可以,看到Backup设备很快就成为Master,继续为VLAN10提供网络服务,在切换过程中只有一个丢包,实现了网络的高可用性
4.3.3 安全性测试
端口安全策略测试
IPSec vpn抓包
在PC1使用Ping命令对分公司的PC7设备进行连通性测试,并在企业总部的FW1防火墙出口端口G1/0/2上进行抓包,结果如图所示
可以看到抓到的是ESP报文,而不是ICMP报文,并且也看不到公司内网的源IP地址和目的IP地址,只有防火墙出口的公网地址,ESP也对传输的数据进行了加密,看不到真正的用户数据了。
DHCP Snooping策略测试
在接入层A-SW1上先不配置DHCP Snooping策略,然后在DHCP-Fake设备上配置好IP地址池并启用。接着在PC1上使用ipconfig /release与ipconfig /renew命令,将之前正常获取到的IP地址进行释放并重新获取,如图所示,PC1从非授权的DHCP-Fake上获取了IP地址等网络参数
在A-SW1上配置DHCP Snooping策略,将与DHCP-Fake相连的E0/0/6端口配置为非信任,上联接口E0/0/3和E0/0/4接口配置为信任状态。PC1上使用ipconfig /release与ipconfig /renew命令再次将获取到的IP地址进行释放并重新获取,结果如图所示,可以看到,PC1从授权的DHCP上获取了IP地址等网络参数
第5章结论
本文设计与实现基于MSTP和VRRP的高可用企业网络,在讨论当前的企业网络需求和主流的技术应用基础上,研究如何进行高可用的企业网络的建设,主要内容如下:
(1)分析企业网络的需求。提出了企业网络的建设原则,在考虑到企业的需求和当今企业网络主流技术的基础上决定采用三层网络体系结构和选用华为产品解决方案来设计与实现高可用的企业网络,并给出了企业网络的设计方案。
(2)设计基于MSTP+VRRP的高可用企业网络架构。MSTP可以解决网络二层的环路问题,并在构建生成树时引入实例的概念,为每个VLAN提供独立的路径。而VRRP则可以保证每个VLAN的网关都具有冗余备份,防止单点故障的发生。通过对核心层、汇聚层和接入层的设计,有效地实现了网络冗余和故障隔离,保证了网络系统在面对设备故障或链路断开时的快速恢复能力。SSH远程登录,WLAN无线技术,满足企业的办公网络需求。
(3)设计网络安全策略。在设计时采用了防火墙、数据加密和端口安全,DHCP Snooping等技术来保护网络系统的安全性和可靠性。通过配置和实现IPsec VPN通信,端口安全策略,DHCP Snooping策略,可以保护网络系统免受未经授权的访问、恶意攻击和数据泄露的威胁。有效地实现了安全策略的目标和要求,提高了网络系统的安全性和可靠性。
综上所述,本文主要对企业网络设计中需要实现的网络可靠性、远程办公、网络安全、链路以及MSTP和VRRP这些技术要点进行测试验证,通过验证内网设备上MSTP与VRRP配置、企业总部和分公司的IPsec VPN通信、内网用户通过NAT转换访问公网以及防范MAC Flooding攻击的端口安全策略,防范DHCP欺骗攻击的DHCP Snooping策略等安全策略的应用,提出了一套完整的网络架构和安全策略方案。这些方案可以有效提高企业网络系统的稳定性、可靠性和安全性,保护企业的网络资源和用户数据不受威胁和攻击。证明了本设计的企业网络是切实可行的。