系统简介

近年来，互联网行业持续稳健发展，无论是生活上还是工作上，早已离不开网络。俨然，地球已成为了“地球村”。网络被广泛应用于各行各业，那么，中小型企业网络的建设和实施是企业正常运营的基础。本文针对广东仁爱医疗科技有限公司的网络需求，对网络进行了规划和设计。
根据广东仁爱医疗科技有限公司的需求以及现阶段中小型企业网络规划主流技术的对比，在该公司的网络拓扑的搭建中，在局域网方面我们选择了网络互联技术。在该公司同一部门或者不同部门方面，我们选择了VLAN技术，因为这对公司控制流量、减少设备投资、简化网络管理、提高网络的安全性有着很大的帮助。而三层交换和单臂路由能实现各部门相互通信。VTP配置简化vlan的配置。使用 ACL技术按该公司的要求，控制远程访问。生成树协议和链路聚合实现二层冗余、HSRP实现网关冗余。采用OSPF和默认路由协议实现全网通，通过EIGRP协议，有效扩展，使各个分部与总部相连。配置各类服务器，如WWW、DNS、FTP、E-mail服务等，满足该公司的信息发布和数据共享的需要。此外，该公司的网络可能会受到自身内部或者外部的攻击，因此，网络安全对于该公司的网络是必不可少的步骤。在边界路由器配置了基于区域的策略防火墙ZWF，控制不同区域间的访问，配置交换机和路由器的基本安全，如端口安全、访问加密、认证加密等，确保数据的可用性、完整性和保密性。
关键词：广东仁爱医疗科技有限公司，网络互联技术，网络冗余，网络安全

第1章 绪 论

1.1仁爱医疗科技有限公司网络设计的目的和意义
近年来，随着全球范围内人们对Internet使用需求的增加，以Internet为代表的网络基础设施的建立和发展，使人们在日常生活中越来越离不开网络。如微信、手机、IPAD等都是要通过网络来实现它多方面的功能。这不仅促进了信息产业和知识经济的诞生和迅猛发展，更标志着人类已进入信息时代。企业网络的建设是企业向信息化、高效化、国际化发展的必然选择。企业网络的设计旨在内部资源的高速共享，降低企业的运营成本。在当今社会，一个企业的网络规划可以说是重中之重，这不仅仅体现在以上所述的两个方面，更重要的还有一个安全性。如果一个企业的网络安全性不达标，这就意味着他们的内部数据岌岌可危，客户对企业的信任度也就不高。所以，企业网络不仅仅是让企业可以更好地与外界进行沟通，外部可以更容易、更快速地了解企业，企业员工更高效率工作，还要让企业的内部数据有一定的保密性，以防用户资料的丢失及泄露。目前，各企业均在搭建或完善企业内部局域网。可用、可靠、可扩展的网络结构侧面体现企业稳定的发展。本文结合在校所修课程和仁爱医疗科技有限公司实际需求，举例分析、设计、配置、搭建一个安全稳定的企业网络。
1.2仁爱医疗科技有限公司网络的设计原则
1.2.1产品功能实现
广东仁爱医疗科技有限公司采用树型拓扑进行规划整个网络，因为树型拓扑相对来说有较强的可折叠性,非常适用于构建网络主干,而且还能够有效地保护布线投资，节省成本。在出口路由器采用了基于zone的策略，可以实现内部网络不受外部入侵；与内部路由器采用了OSPF及EIGRP两个动态路由协议，实现了不同网段的互通；核心交换机采用HSRP技术，实现高可用性；通过部署DNS、FTP、E-mail服务器，局域网可以实现文件管理、资源机共享、电子邮件和传真通信服务等功能。

1.2.2网络硬件的选择
企业网络通常分为接入层、汇聚层、核心层三层结构。通过分层的设计将网络分成互相分离的接入、汇聚、核心层，每一层提供不同的功能。接入层是用于各种终端通过信息点连入网络；汇聚层设计的目的是为核心网和接入层提供连接，也是二层上下联，并提供了基于统一策略的互联性并对数据包进行复杂的路由运算。核心层的网络尤为重要，因为它位于中心，一般连接着各个区域的网络设备，并且所有的流量都需要经过核心交换机出去，包括内网终端访问内网DNS\FTP\E-Mail服务器的流量，内网终端访问外网www.baidu\www.qq的流量。根据接入层、汇聚层、核心层每层的特点以及设备的重要性，可以选择相应的硬件设备。总结每层适用的设备，如下表：
分层设计 适用设备
接入层 终端用户（如PC、打印机、IP Phone等）
汇聚层 交换设备（如交换机、三层交换机、网桥、集线器等）
核心层 思科、华为等牌子的高端路由设备、防火墙等
不同设备有不同的厂商，价格自然有差别，可以根据企业的需要等综合条件选择。
1.2.3仁爱医疗科技有限公司网络组建的要求
我们时常能接触到internet网、星形网、树形网等名词，它们表示什么？网络从大的方面来讲有很多种类型，其中按网络的地理覆盖范围来讲可以将网络分为三种类型，包括有局域网、城域网、广域网。本篇论文知识构建一个医院的网络，地理覆盖范围大概在方圆几千米，因此属于局域网。首先从物理层来讲，它包含了许多不同类型的终端，比如微软的windows、苹果的MAC、还有像linux等系统。大部分企业会因为资金方面、产品选型方面、网络规划方面、安全方面（包括网络安全、终端安全等）、网络架构方面等方面的不够了解，都会选择架构自己对于公司的整个网络部署规划做成招标书，交予中标的第三方集成商进行实施及维护。并且这样做的话不仅可以节省企业对组网投入的精力、人力，更不必耗费太多的资金，同时可以在提高网络安全性的基础上兼顾未来企业发展壮大后网络的扩展性。所以在网络实施之前我们要做好对企业的需求分析、拓扑选型、设备挑选、网络规划等前期准备。只有完善好规划、实施好每一步的步骤，才能让这个网络满足企业对各方面的要求，并给以后企业的发展留有网络可拓展性。企业组建的自身网络一般有下几点要求：
VLAN二层广播域隔离
VLAN技术原理是将一个物理的LAN在逻辑上划分成多个广播域的通信技术。划分不同VLAN的目的是为了划分不同的广播域，不让所有的主机都在同一个广播域中，一旦发生广播风暴，影响的只是本广播域内的主机，而不会大范围的波及其它广播域内的主机。并且这样的话不仅可以节省带宽，而且还可以提高网络的处理能力。在一个公司中，一般是将一个部门里的用户划分在同一个VLAN中，当然有些特殊的，流量带宽需要比较大的也可以用单独的VLAN进行表示，也好在后面设备做流控的时候好调用。根据以上做的话，网络的构建和维护就会更快速更灵活。
三层信息共享
在一个企业中，有时候各部门之间的信息共享是有必要的。实现信息共享的话可以使企业对资源的配置更加合理，更大方面地节约企业的运营成本，创造更大的经济效益。这就需要实现VLAN间的通信。VLAN间的通信可以通过三层交换机的三层交换和路由器的单臂路由模式来实现。
用网安全
网络容易受到外部和内部有意或无意的入侵，这时企业的信息很容易被蓄意破坏、篡改、窃听、假冒、泄露。因此需要采取措施保证企业网络安全和稳定运行。如通过端口安全防范DMZ区的服务器遭受MAC泛洪攻击、通过防火墙或ACL技术对数据流量合理过滤、通过SSH加密访问设备、链路，区域MD5认证保证数据的可靠性等。
网络稳定可扩展
在前期的网络的规划，一般都会考虑到网络的冗余性。其中网络的冗余性包括核心设备的冗余、出口设备的冗余、线路的冗余、电源线的冗余等等。而且这个规划也必须写在本项目的实施方案中，在实施的过程中，严格的按照方案进行实施，绝不能在整个网络架构中出现由于网络架构、线路的实施不合理出现的单点故障（单点故障为某一个节点发生故障导致网络整体瘫痪）。通过科学的、高效的网络冗余设计，能够很好地提高网络的稳定性。网络的冗余设置就是将一些负担较重的某个关键设备，比如：核心交换机，一旦网络系统出现故障，备用设备就会去担任主设备的工作而工作，可以在一定程度上为系统提供服务，减少网络故障所带来的影响。

第2章 项目需求分析

2.1背景分析
广东仁爱医疗科技有限公司总部设有6个部门，分别为人力资源部、财务部、销售部、设计部、市场部、董事办公室。因为公司业务的需要，在广州扩建了一间子公司，仅设有销售部、设计部、市场部3个部门。公司部门具体情况及需求如下：
表2-1 部门信息点个数
主要部门 职责 所需设备数
董事办公室 负责决策、组织办公 15
人力资源部 负责招聘和辞退员工，管理员工出勤 10
财务部 负责公司的账目 20
销售部 负责产品销售方面 80（总部）、50（子公司）
设计部 负责服装设计 30（总部）、10（子公司）
市场部 负责产品推广和策划 50（总部）、20（子公司）
2.2功能需求分析
1、全网实现不同业务二层隔离三层连通
2、总公司中，各部门可以相互访问。
3、总公司和子公司各部门可以相互访问。
4、核心设备三层交换机和路由器只允许网络管理员远程安全访问。
2.3安全需求分析
基于策略的防火墙要求，对该公司的安全需求有以下条件：内网能ping通Internet 跟DMZ区域，但是DMZ区域不能访问Internet和内网。Internet不能ping通内网和DMZ区域，但是可以访问DMZ区域的HTTP服务。

2.4 本章小结
本章内容从广东仁爱医疗有限公司的实际需求出发，对该公司的各个方面进行了深入了解，详细介绍了该公司对网络的需求。为之后的网络设计提供了必要的信息，对拓扑图的构建有了充分的准备。

第3章网络设计

3.1组网设备的选择
3.1.1交换机的选择
一般来说，终端都是通过接入层接入网络，而获得网络资源的。接入层的目的是允许终端用户连接到网络，因此接入层交换机具有成本低和端口密度高的特性。在网络设备方面选用当前国际社会上首屈一指的网络互联厂商 Cisco 的产品，其产品与服务通过智能、安全及可靠的网络将信息设备连为一体 ，具有很好的可靠性和稳定性。Cisco Catalyst 2960 系列智能以太网交换机是一个全新的、固定配置的独立设备系列，提供桌面快速以太网和 10/100/1000 千兆以太网连接。其中CISCO WS-C2960-24TC-S基本参数如下：

Catalyst 2960系列具有集成安全特性，包括网络准入控制(NAC)、高级服务质量(QoS)和永续性，可为网络边缘提供智能服务。
具体而言，集成安全特性是一个全新的、固定配置的独立设备系列，提供桌面快速以太网和10/100/1000千兆以太网连接，适用于中小型企业、中小型市场和中小型分支机构的网络，有助于为其提供增强LAN服务。汇聚层是企业网络的信息汇聚点，是连接接入层和核心层的网络设备。其作用是为接入层提供数据汇聚、传输、管理、分发处理等功能，也可以提供接入层虚拟网之间的互连，并且掌控和限制接入层对核心层的访问，确保了核心层的安全性和稳定性。核心层的功能较多，但是在其中最为主要的功能是实现骨干网络之间的优化传输等。核心层为这整一个网络的核心，这就需要考虑该交换机在技术性和可扩展性等方面要具有适当的超前性，这样在企业未来发展壮大之后才具有足够的兼容性。其次，用我们常常说的一句老话来表达的话，那就是：稳定压倒一切。对核心交换机来说，对稳定性的要求远远高过对性能的要求。若是一台核心交换机经常出故障，网络经常中断， 服务器经常无法访问，那还会有谁使用该家厂商的产品。这就好比我们如果去菜市场买菜的话，这家店的菜回去吃完老是会拉肚子，几次之后这家店肯定也会相应的没生意做了，就是因为产品不好。综合了对比了各家厂商的能力和性价比之后，我们最终选择 CiscoCatalyst 3560E-24TD 作为汇聚和核心交换机，其中CISCO WS-C3560E-12D-E基本参数如下：

具体而言，Cisco 3560E 系列交换机的主要特性和优势有以下几方面：①简易性，换言之就是易操作，好上手，不需要用户有足够多的理论基础就可以使用；②可用性和可扩展性，就是为企业未来的发展做好了足够的准备；③高性能 IP 路由。在简易性，也就是易用性方面Cisco Catalyst 3560-E 设计得很好，比如 Cisco Smartports, 思科靠着在网络方面沉浸多年的丰富的网络技术，快速而方便地配置先进的Cisco Catalyst智能功能。Cisco Smartports 宏为每种连接类型都提供了一套经过验证、便于用户使用的模板，使用户能以最少的人力和技术投入，一致、准确地配置必要的安全策略、 IP 电话、可用性、 QoS和可管理性特性。在可用性和可扩展性方面，Cisco Catalyst 3560-E 系列配备了一个强大的特性集，利用 IP 路由以及能够最大限度地提高第二层网络可用性的全套生成树协议增强特性， 借此实现了网络可扩展性和更高可用性，这就是企业不必因为在未来一段时间内发展过快的话需要重新购买一批新的网络设备，为企业节省了一大笔资金。在标准生成树协议基础上增强的特性， 如 PVST+ 、Uplink Fast 和 Port Fast，以及 Flex-link 等创新特性，大幅度增加了了网络正常运行的时间。在高性能 IP 路由方面，思科快速转发硬件路由架构为 Cisco Catalyst 3560-E 系列交换机提供了极高的 IP 路由性能。

3.1.2其它设备的选择
一个网络的架构不仅仅只有交换机，还有很多必不可少的元素，如线缆、终端设备、路由器等。本课题只是模拟一个中小型企业网络。实际还要考虑很多综合因素。本课题用Cisco Packet Tracer软件模拟，因此线缆、终端设备、路由器不一一讨论型号和具体功能。
3.2网络拓扑结构图设计
根据仁爱公司的规模和发展规划，网络拓扑采取星型网状和树型拓扑结构混合。这样有利于企业的扩展。为了避免单点故障，造成企业业务损失，也采用了设备冗余的设计。接入层机使用了CISCO 2960系列的交换机，汇聚层和核心层使用了CISCO 3560系列交换机，路由器一致采用CISCO 2811企业路由器等，网络拓扑图设计如下：
图3-3 广东仁爱科技医疗有限公司网络拓扑图

第4章 网络实施

4.1实验配置分析图

4.2具体实验配置实施
4.2.1基本配置
根据企业要求，为了方便管理设备，所有的路由器和交换机都进行了基本配置，配置命令及注释如下：

4.2.2交换配置
1、创建一个vlan，并把需要关联的接口关联到相应的vlan之中，交换机之间采用trunk技术，实现跨交换机的相同vlan间通信。采用vtp技术，减轻VLAN配置的工作量,因此只需在vtp server上创建VLAN即可。其中，企业总部的S1为vtp server，其它交换机为vtp client，子公司的S3为vtp server，其它交换机为vtp client，所有的vtp域名为zhss，密码配置为shishang。为了增强网络的稳定性和可靠性，总部三层交换机之前配置了etherchannel捆绑技术。具体实施步骤如下：

2、二层不同vlan间是不能够通信的，企业的协作需要各部门之间合作完成，因此需要实现vlan间的通信，实现vlan间的通信可以通过三层交换或单臂路由，这里总部采用三层交换，子公司采用单臂路由。具体实施命令如下：

3、STP协议。为了减少网络故障的恢复时间，避免单点故障，解决环路问题。交换机配置PVST+协议。其中，S1为vlan99、vlan10、vlan20的根桥，为vlan30、vlan40、vlan50的次根桥；S2为vlan30、vlan40、vlan50的根桥，为vlan99、vlan10、vlan20的次根桥。如S1的配置如下：

4、HSRP协议。企业中某子网的终端设备需要借助网关才能与其它子网的终端设备通信，因此网关在网络中扮演很重要的角色，企业部署网关冗余是必不可少的。本中小型网络在核心交换机S1和S2上为每个VLAN创建HSRP组，组号为VLAN ID，虚拟IP为每个VLAN所在网段的最后一个地址。值得一提的是，要确保每个VLAN对应的HSRP组的活动路由器和相应VLAN根桥位于同一台设备，否则会导致次优路径。因此，S1为VLAN99、VALN10和VLAN20的活动路由器，而S2为VLAN30、VALN40和VLAN50的活动路由器。其中，活动路由器的优先级为150，备份路由器的优先级为100，具体实施命令如下：

5、DHCP协议。由于网络设备中主机过多，如果人为手动分配 IP 地址很容易造成 IP 地址冲突，影响正常上网。动态分配IP地址给网络的终端设备既可以减少管理员的工作，又可以提高工作的灵活性。在企业中DHCP的配置是必不可少的。其中，总部的Zhuhai-R2和子公司的Guangzhou-R3充当DHCP服务器，分别给相应的每个部门动态分配ip，地址池命名为VLAN+ID。另外，有些部门在总部和子公司都有设立，而主机又在同一个子网，为了避免获取ip冲突，决定总部使用1-100的ip，子公司使用101-251的ip。还有，总部是跨网段获取ip地址，因此需要在离客户端最近的S1和S2配置dhcp中继。具体实施命令如下：

4.2.3路由配置
1、路由技术
OSPF路由器协议是目前应用最广泛的链路状态路由协议。通过区域划分可以实现了路由的分层管理。EIGRP协议是距离矢量路由协议，实现和配置都比较简单。根据公司规模和需求，公司总部采用OSPF协议，area 0区域下发一条默认路由。为了减少区域内的链路状态数据库的大小，减低对路由器内存的要求，对area 1进行路由汇总、并设置为完全stub区域。子公司规模小就采用EIGRP协议，接口汇总。简单配置命令如下：
总部OSPF协议：

2、路由重分布
因为企业总部与子公司之间的信息需要共享。企业网络运行了多种协议，因此需要采取路由重分布技术才可以使全部网络互联。这时需要在边界路由器Zhuhai-R1实施，命令如下：

4.2.4网络安全
1、交换机端口安全
接入层交换机容易受到MAC泛洪攻击，可以通过启用端口安全防止。DMZ区的交换区主要是服务器，配置静态端口安全。内网的交换区为员工工作的地方，位置不固定，因此配置动态端口映射。实施命令如下：

2、STP防护
STP协议是没有什么措施对交换机的身份进行认证。在稳定的网络中如果接入非法的交换机会给网络中的STP树带来灾难性的破坏。可以采用BPDU Guard 和Root Guard技术保护STP。BPDU Guard功能是防止那些已经配置边缘端口的交换机接入交换机导致环路的产生，边缘端口一开启，就立即进入转发状态，配置BPDU Guard的接口一旦收到BPDU包，就立即关闭接口。Root Guard功能是防止用户擅自在网络中接入交换机并成为新的根桥，从而破坏破坏原来生成树。实施命令如下：

3、MD5认证
为了保证收到的数据包是可靠的和确保信息传输的完整性，路由器之间采取了MD5加密认证，其中运行EIGRP协议的采用加密链路认证，运行OSPF协议的area 0采用加密区域认证。具体实施命令如下：

4、核心设备只允许管理员远程安全访问。配置命令如下：

5、基于区域策略的防火墙（ZFW）
ZFW的防火墙策略是在数据从一个区域发到另外一个区域时才生效，在同一个区域内的数据是不会应用任何策略的。所以可以将需要使用策略的接口划入不同的区域，控制访问。这样可以达到保护内部网络不受外部入侵。根据要求，对边界路由器Zhuhai-R2-firewall做以下配置：

#创建私有网络到Internet网络的匹配条件名为private-to-internet

#创建从私有网络到Internet区域之间的区域策略

6.wifi
为了方便工作人员或者客户使用网络，可以在公司的每个部门布置无线网络wifi，本项目以市场部为例子，直接在接入层交换机添加了AP，设置ssid为Market，password为123456789，认证为WPA2-PSK,认证方式：AES。

第5章 系统测试

5.1 HTTP服务测试

使用PC1测试HTTP服务是否正常

5.2 DNS服务测试

使用PC1终端测试DNS服务是否正常
5.3 FTP服务测试

使用PC1终端测试FTP服务是否正常

5.4 E-mail测试

使用PC1测试E-mail服务是否正常

5.5核心设备只允许管理员安全访问

使用网络管理员PC及PC4测试安全访问是否生效

5.6基于区域策略的防火墙

使用PC2、DNS、PC0测试基于zone的策略是否生效

第6章 总 结

本设计的题目是中小型网络的设计及实施，主要目的是对网络专业所学的知识的总结，将理论知识应用到实操。在组建中小型网络的过程中，要做好网络的详细规划与设计等。其中涉及到网络设备的选型、网络布线、网络拓扑结构的规划、部门的划分、资源的共享、网络稳定及安全等工作。本项目主要使用packet tracer模拟器来模拟，因此设备的选型和部分功能都受到了一定的限制。本项目也存在几个缺陷，第一，HSRP配置不支持端口追踪优先级值更改，只能采用默认值，默认值是减少10。第二，在Zhuhai-R2-firewall路由器上，企业服务区很少会移动，想要使用了静态NAT，保护服务区访问外网，但ping不通。可能原因：ISP与Zhuhai-R2-firewall路由器之间使用不了带送出接口的静态路由器。ISP路由器的接口默认关闭了ARP代理功能（开不了），则去往目的数据包的ARP解析会出问题，而导致数据帧封装失败，从而内外网ping不通。第三，Zhuhai-R2-firewall路由器上不能同时应用NAT和防火墙策略。本项目主要应用了防火墙策略,限制了内网、外网、dmz区之间的访问，没有应用NAT。第四，不支持配置EIGRP stub区域。但本文涉及的要求和服务都能实现。