首页> 图书频道> 工学> 计算机科学

工单任务2　单出口企业网络

2025年09月21日

版权

工单任务2　单出口企业网络

一、工作准备

想一想

1.在配置单出口的拓扑图中应注意哪些问题？

2.在配置时应按照什么结构（配置顺序）来进行配置，为什么？

二、任务描述

任务场景

通过合理的三层网络架构，实现用户接入网络的安全、快捷。为了保障网络的稳定性和拓扑快速收敛，在内网运行OSPF路由协议。R1作为出口路由器，配置NAT功能，使内网用户能使用R1的F1/0的接口地址上网。为了实现资源的共享及信息的发布，将内网Server服务器的Web和FTP服务发布到互联网上，使用内网地址为192.168.40.2，公网地址为出口地址。为了信息安全，不允许VLAN 10的用户访问服务器的FTP服务，不允许VLAN 20的用户访问服务器的Web服务，其他访问不受限制。

配置AC无线控制器，采用瘦AP模式，SSID名称为ZHSY_wifi，密码为2008%com。无线用户所分配的地址为192.168.50.0/24网段，网关为192.168.50.1，DNS为172.16.1.1，如图5-9所示。

施工拓扑

施工拓扑图如图5-9所示。

pagenumber_ebook=195,pagenumber_book=188

图5-9　施工拓扑图

设备环境

实验所用设备都为神州数码设备，三层交换机（型号为CS6200）2台，二层交换机（型号为S4600）1台，无线AP（型号为7962AP） 1台，无线控制器1台（型号为DCWS-6002），路由器（型号为DCR-2655）2台，计算机3台，服务器1台。

三、任务实施

1.交换机配置

（1）在SW1上创建VLAN、Trunk。

pagenumber_ebook=196,pagenumber_book=189

（2）在SW2上创建VLAN、Trunk。

pagenumber_ebook=196,pagenumber_book=189

（3）在AC上创建VLAN、Trunk。

pagenumber_ebook=196,pagenumber_book=189

（4）在SW3上创建VLAN、Trunk。

pagenumber_ebook=196,pagenumber_book=189

pagenumber_ebook=197,pagenumber_book=190

2.配置各设备的接口地址

（1）SW1的配置。

pagenumber_ebook=197,pagenumber_book=190

（2）AC的配置。

pagenumber_ebook=197,pagenumber_book=190

（3） R1的配置。

pagenumber_ebook=197,pagenumber_book=190

（4） R2的配置。

pagenumber_ebook=197,pagenumber_book=190

pagenumber_ebook=198,pagenumber_book=191

3.配置各设备的路由协议

（1） SW1的配置。

pagenumber_ebook=198,pagenumber_book=191

（2）R1的配置。

pagenumber_ebook=198,pagenumber_book=191

（3）AC的配置。

pagenumber_ebook=198,pagenumber_book=191

4.配置NAT

pagenumber_ebook=198,pagenumber_book=191

5.配置无线

pagenumber_ebook=199,pagenumber_book=192

6.配置NAT映射，将内网服务映射到公网

pagenumber_ebook=199,pagenumber_book=192

7.配置ACL实现限制访问

pagenumber_ebook=199,pagenumber_book=192

pagenumber_ebook=200,pagenumber_book=193

8.验证测试

（1）查看SW1路由表。

pagenumber_ebook=200,pagenumber_book=193

（2）查看R1路由表。

pagenumber_ebook=200,pagenumber_book=193

pagenumber_ebook=201,pagenumber_book=194

查看SW1和R1的路由表，从输出的结果来看，路由表各路由条目齐全。其中在SW1上有一条默认路由是通过R1的OSPF发布学到的。

（3）验证无线配置。

pagenumber_ebook=201,pagenumber_book=194

使用无线设备连接Wi-Fi，用来获取IP地址。通过上面的输出结果显示，自动获取的地址为192.168.50.5，网关为192.168.50.1，DNS地址为172.16.1.1。

（4）验证NAT配置。

使用PC1 ping R2的回环口，并查看NAT转换。

pagenumber_ebook=201,pagenumber_book=194

使用PC2 ping R2的回环口，并查看NAT转换。

pagenumber_ebook=201,pagenumber_book=194

从转换条目来看，PC1和PC2的主机都可以通过100.100.100.1这个地址上网。

四、任务评价

pagenumber_ebook=202,pagenumber_book=195

五、相关知识

1.企业网的定位

（1）企业网是指覆盖企业和企业与分公司之间的网络，为企业的多种通信协议提供综合传送平台的网络。企业网应以多业务光传输网络为基础，实现语音、数据、图像、多媒体等的接入。

（2）企业网是企业内各部门的桥接区，主要完成接入网中的子公司和工作人员与企业骨干业务网络之间全方位的互通。因此电子商务公司企业网的定位应是为企业网应用提供多业务传送的综合解决方案。

2.企业网络需求分析

为适应企业信息化的发展，满足日益增长的通信需求和网络的稳定运行，今天的企业网络建设比传统企业网络建设有更高的要求，本文将通过对如下几个方面的需求分析来规划出一套最适用于目标网络的拓扑结构。

（1）稳定可靠需求。现代大型企业的网络应具有更全面的可靠性设计，以实现网络通信的实时畅通，保障企业生产运营的正常进行。随着企业各种业务应用逐渐转移到计算机网络上来，网络通信的无中断运行已经成为保证企业正常生产运营的关键。现代大型企业网络在可靠性设计方面主要应从以下3个方面考虑。

①设备的可靠性设计：不仅要考察网络设备是否实现了关键部件的冗余备份，还要从网络设备整体设计架构、处理引擎种类等多方面去考察。

②业务的可靠性设计：网络设备在故障倒换过程中，是否对业务的正常运行有影响。

③链路的可靠性设计：以太网的链路安全来自多路径选择，所以在企业网络建设时，要考虑网络设备是否能够提供有效的链路自愈手段，以及快速重路由协议的支持。

（2）服务质量需求。现代大型企业网络需要提供完善的端到端QoS保障，以满足企业网多业务承载的需求。大型企业网络承载的业务不断增多，单纯的提高带宽并不能够有效地保障数据交换的畅通无阻，所以今天的大型企业网络建设必须要考虑到网络应能够智能识别应用事件的紧急和重要程度，如视频、音频、数据流（MIS、ERP、OA、备份数据），同时能够调度网络中的资源，保证重要和紧急业务的带宽、时延、优先级和无阻塞的传送，实现对业务的合理调度才是一个大型企业网络提供“高品质”服务的保障。

（3）网络安全需求。现代大型企业网络应提供更完善的网络安全解决方案，以阻击病毒和黑客的攻击，减少企业的经济损失。传统企业网络的安全措施主要是通过部署防火墙、IDS、杀毒软件，以及配合交换机或路由器的ACL来实现对病毒和黑客攻击的防御，但实践证明这些被动的防御措施并不能有效地解决企业网络的安全问题。在企业网络已经成为公司生产运营的重要组成部分的今天，现代企业网络必须要有一整套从用户接入控制、病毒报文识别到主动抑制的一系列安全控制手段，这样才能有效地保证企业网络的稳定运行。

（4）应用服务需求。现代大型企业网络应具备更智能的网络管理解决方案，以适应网络规模日益扩大，维护工作更加复杂的需要。当前的网络已经发展成“以应用为中心”的信息基础平台，网络管理能力的要求已经上升到了业务层次，传统的网络设备的智能已经不能有效支持网络管理需求的发展。例如，网络调试期间最消耗人力与物力的线缆故障定位工作，网络运行期间对不同用户灵活的服务策略部署、访问权限控制及网络日志审计和病毒控制能力等方面的管理工作，由于受网络设备功能本身的限制，都还属于费时、费力的任务。所以现代的大型企业网络迫切需要网络设备具备支撑“以应用为中心”的智能网络运营维护的能力，并能够有一套智能化的管理软件，将网络管理人员从繁重的工作中解脱出来。

3.设备选型

1）总体思路

①根据客户的网络业务需求来选择相关的支撑技术。

②需要熟悉项目中各节点的吞吐量，如比较关键的出口设备和汇聚设备。

③根据合理性、实用性、可管理性和节约费用等原则进行设备选择。

2）交换设备选择

（1）核心交换机。部署在网络中心，主要负责办公网全网的高性能线速转发，实现服务器区、楼层接入区之间的互联。

选择三层交换机时的基本原则如下。

①分布式优于集中式。

②关注延时与延时抖动指标。

③性能稳定。

④安全可靠。

⑤功能齐全。

（2）接入层交换机。接入层作为用户终端接入的唯一接口，在为用户终端提供高速、方便的网络接入服务的同时，需要对用户终端进行访问行为规范控制，拒绝非法用户使用网络，保证合法用户合理使用网络资源，并有效防止和控制病毒传播和网络攻击。

由于考虑到要连接无线AP，根据实际情况还需要选购带有POE功能的交换机。

3）无线设备选择

（1）无线AP。选型依据如下。

①无线局域网中采用的各种网络设备必须符合中国移动相关设备技术规范。

②所支持的无线局域网技术标准、有效距离，以及其他辅助功能。

③AP设备的选型应根据电气性能、机械性能、天线种类并结合经济性因素考虑。

企业网络中由于办公场所的分散性和楼体结构的特殊性应该采用信号强、穿墙能力好的无线AP，由于接入交换机采用的是千兆以太网接口，因此无线接入设备必须具备千兆以太网接口，便于和接入交换机相连。

（2）无线AC。企业网中无线AC需要满足大型企业园区WLAN接入、无线城域网覆盖、热点覆盖等无线场景的典型应用。

有线无线一体化交换机在支持对传统802.11a/b/g AP管理的同时，还可以基于802.11n协议的AP配合组网，从而提供相当于传统802.11a/b/g协议数倍的无线接入速率，能够覆盖更大的范围，使无线多媒体应用成为现实。

4）路由器选择

（1）宽带路由器。应该根据企业网络的专线接入方式模式，选择相适应的产品和型号；CPU处理能力强劲，闪存和内存较大；选择的路由器产品必须具备完善的安全性能。

（2）防火墙选择。防火墙的主要性能指标包括：①支持的最大LAN接口数；②协议、加密、认证支持；③访问控制；④防御功能；⑤提供实时入侵防范；⑥管理功能；⑦记录和报表功能。

4.IP地址规划与设备命名

（1）设计原则。

①IP地址资源应全网统一进行管理、分配。

②IP地址分配应简单易于管理，体现网络层次。

③IP地址分配应具有一定的可扩展性。

④IP地址分配应具有连续性。

⑤IP地址分配应具有灵活性。

（2）IP地址分配方案举例。

①采用192.168.0.0/21网段。

②按照部门进行VLAN规划。

③VLAN命名规则是以部门名称每个字的头一个拼音字母组成，如营业厅的拼音是yingyeting，每个字的头一个拼音字母是YYT，这也是该部门所属VLAN的名称。

④网络设备的管理地址使用192.168.0.0/25网络。

⑤服务器区采用192.168.0.128/25网段。

⑥每个VLAN的网关为本网段最后一个IP地址，如表5-2所示。

表5-2　VLAN和IP地址规划表

pagenumber_ebook=205,pagenumber_book=198

5.网络设备及接口命名规则

所有网络设备的主机名格式为A-B型。

A：设备类型编码标志位。

例如：

R：路由器

CoreSW：核心交换机

ConSW：接入交换机

AP：无线接入点

AC：无线控制器

B：部门名称

RSB：人事部

六、课后练习

为××公司完成办公网网络设备选型及IP地址规划，具体环境如下。

（1）公司环境介绍。某公司规模比较大，第一栋大楼内有技术部、销售部、工程部、财务部，上网机约200台，第二栋大楼内同样有技术部、销售部、工程部、财务部，上网机约150台，如表5-3所示。

表5-3　公司环境

pagenumber_ebook=206,pagenumber_book=199

（2）网络功能需求。根据公司现有规模、业务需要及发展范围建立的网络有以下功能。

①组建公司自己的网站，可向外部发布消息，宣传公司产品，推广业务。

②要求公司各部门之间在数据访问时要相互独立，有自己部门的局域网，并且可以访问互联网（财务部不允许介入外网）。

③为了提高办公效率，实现信息共享。公司建立内网OA系统（办公自动化系统），管理员工档案，发布业务计划，公布会议议程等。

请你作为公司的网络设计者，从公司的实际情况出发，对现有情况进行分析，选择合适的网络设备选型及IP地址规划。