《软星酒店网络规划与设计.docx》由会员分享,可在线阅读,更多相关《软星酒店网络规划与设计.docx(50页珍藏版)》请在三一办公上搜索。
1、软星酒店网络规划与设计摘要:本文以软星酒店(番禺店)的企业网络规划设计为背景,以实现酒店需求为目的,对软星酒店需求进行分析,确定并介绍设计中涉及到的主干技术,根据园区网的设计方法,结合酒店的实际需求,进行网络规划设计。对酒店部门结构,进行合理的VLAN、IP规划,还包括对网络设备选型、网络安全设计、路由设计等方面。利用ENSP软件,构建酒店的网络拓扑结构,通过连通性测试、功能性测试验证是否满足酒店网络的基本需求。最后,总结网络规划设计中遇到的问题和不足之处。本文中涉及到的技术不仅包括MSTP、VRRP.DHCP、DHCPRelayAeL访问控制、OSpF、NAT、LinkAggregation
2、ARP安全、PortSecurityIPSecVPN等。在满足酒店网络数据通信的前提下,对内网和外网的安全性进行设计。包括在内外网出口处部署防火墙,通过划分安全区域,设置防火墙安全策略控制内外网流量,对外网的常见攻击进行防范和安全加固等。关键词:信息化,酒店,企业网络,规划设计,安全性SoftStarHotelNetworkPlanningandDesignAbstract:ThisarticletakesthecorporatenetworkplanninganddesignoftheSoftStarHotel(PanyuBranch)asthebackground,andanalyzest
3、herequirementsoftheSoftStarHotelforthepurposeofrealizinghotelneeds.ltdeterminesandintroducesthebackbonetechnologyinvolvedinthedesign.Accordingtothedesignmethodofthecampusnetwork,Accordingtotheactualneedsofthehotel,carryoutnetworkplanninganddesign.MakereasonableVLANandIPplanningforthehoteldepartments
4、tructure,andalsoincludenetworkequipmentselection,networksecuritydesign,routingdesignandotheraspects.UtilizeENSPsoftwaretosimulatethehotelnetworktopologyandverifywhetheritmeetsthebasicrequirementsofthehotelnetworkthroughconnectivitytestsandfunctionaltests.Finally,theproblemsanddeficienciesencountered
5、innetworkplanninganddesignaresummarized.ThetechnologiesinvolvedinthisarticleincludenotonlyMSTP,VRRP,DHCP,DHCPRelay,ACLaccesscontrol,OSPF,NAT,LinkAggregation,ARPsecurity,PortSecurityJPSecVPN.0nthepremiseofsatisfyingthedatacommunicationofthehotelnetwork,thesecurityoftheinternalnetworkandtheexternalnet
6、workisdesigned.Thisincludesdeployingfirewallsat(heexitsoftheinternalandexternalnetworks,dividingsecurityzones,settingfirewallsecuritypoliciestocontrolinternalandexternalnetworktraffic,preventingcommonattacksontheexternalnetwork,andhardeningsecurity.Keywords:infbrmation,hotel,enterprisenetwork,planni
7、nganddesign,security第1章绪论11.1 课题研究的背景及意义11.1.1 研究背景11.1.2 研究意义11.2 国内外发展情况11.3 研究的主要内容和研究方法21.3.1 研究的主要内容21.3.2 研究方法21.4 论文组织结构安排3第2章网络需求分析12.1 建筑结构分析12.2 网络架构分析12.3 信息点分布情况22.4 应用需求分析22.5 网络安全需求32.6 本章小结3第3章逻辑网络设计43.1 酒店网络设计原则43.2 网络拓扑设计43.3 VLAN及IP地址规划53.4 网络安全设计73.5 设备选型73.5.1 接入层设备83.5.2 汇聚层设备83
8、.5.3 核心层设备93.5.4 防火墙设备93.6 本章小结10第4章网络实施方案114.1 STP生成树114.1.1 技术说明114.1.2 实施应用124.2 VRRP虚拟路由冗余协议134.2.1 技术说明134.2.2 实施应用134.3 路由协议144.3.1 技术说明144.3.2 实施应用144.4 ACL访问控制列表154.4.1 技术说明154.4.2 实施应用154.5 网络地址转换164.5.1 技术说明164.5.2 实施应用174.6 IPSecVPN174.6.1 技术说明174.6.2 实施应用184.7 防火墙技术184.7.1 技术说明184.7.2 实施
9、应用194.8 安全技术194.8.1 技术说明194.8.2 实施应用204.9 其他技术204.9.1 链路聚合204.9.2 DHCP动态主机配置协议214.9.3 Telnet214.10 本章小结22第5章网络测试235.1 DHCP测试235.2 链路聚合仿真结果235.3 端口安全仿真结果245.4 MSTP仿真结果245.5 VRRP仿真结果255.6 NAT仿真结果275.7 IPSecVPN测试285.8 本章小结29第6章结束语306.1 全文总结306.2 课题展望30参考文献32致谢33第1章绪论1.1 课题研究的背景及意义1.1.1 研究背景随着互联网技术的发展,人
10、们对上网的需求日益增大,企业的业务量不断飞速增长,企业的生产、办公规模也在不断壮大。纸质化办公、生产效率低下的问题逐渐暴露,为了提高企业的工作效率,适应企业生产发展的需要,建设企业网络已成为企业发展的必要。在这种发展形势下,企业迫切建设一个具备易扩展、可靠、安全的网络。开业于一九九五年的软星酒店是一家坐落于广州天河区的商务酒店,酒店创立之初,周围地带鲜少竞争对手,酒店盈利能力强。但随着城市大兴土木,经济高速发展,酒店周围出现越来越多的同行竞争对手,加上酒店年代久远,建筑装修老化,设备陈旧,且早期酒店规模有限。因此,公司决定选择在番禺区建立酒店分店。分店需要构建酒店的网络,同时总店和分店之间也需
11、要建立网络连接。11.2研究意义本课题针对软星酒店(番禺分店)进行网络规划设计,确定网络构建的需求,建立总店与分店之间的网络通信,满足总店和分店之间的网络通信需求,通过层次化设计构建网络架构,采用冗余设计提升网络环境的可靠性和稳定性,并针对酒店网络进行安全设计,提升数据通信的安全性。最终为软星酒店建立一个安全、稳定、可靠的网络环境,为酒店未来的发展奠定基础。12国内外发展情况目前,接入层、汇聚层、核心层三层网络结构设计在企业园区网络中越来越普遍,因其可靠性、模块化、扩展性满足了企业对网络建设的需求。其中,接入层能够为终端用户提供对园区网络访问的途径。帮助企业解决了大量终端设备接入及流量带宽交换
12、、接入控制的需求。汇聚层主要是对网络地址的聚集,将部门或工作组的访问连接到骨干区域,VLAN间的路由选择及安全策略。使得企业内部间可以数据通信的同时,可以通过安全策略实现流量的控制。又能以较少地接口接入骨干区域访问网络。核心层负责园区网中各个汇聚层设备之间数据的高速转发,因此这一层不应对数据包进行任何的处理,比如处理ACL和流量过滤。在三层结构下,企业将网络分成多个小单元,降低了网络的整体复杂性及故障的范围,升级任意层次的网络也不会对其他层次造成影响。单一设备的配置复杂性大幅降低,运维人员管理更为方便。除此之外,在网络安全性上,一般会部署出口防火墙,配置安全策略对公网访问内网进行一定的限制,并
13、用NAT地址转换技术实现内网访问公网的需求。在园区网络和园区网络的数据通信上,架设IPSeCVPN加密访问分支机构。这种网络设计方案类似于软件开发中的解耦思想,将整体划分为独立的层次,实施相应的功能,又构成整体的一部分。在许多企业网络设计中,基本都是以它为理论基础。L3研究的主要内容和研究方法1.3.1研究的主要内容本文对软星酒店进行需求分析,从三层网络结构入手,对酒店进行网络设计。研究的内容包括以下几点:1、规划酒店网络的IP及VLAN地址。2、汇聚层、核心层进行冗余设计。3、内网路由和出口路由设计。4、网络安全设计。包括内网安全、外网安全及系统安全,内网安全涉及到的包括BPDU保护、端口安
14、全、ACL技术,外网安全通过在出口处部署防火墙实施安全措施。在系统安全上,对办公主机实施安全加固措施。5、构建网络拓扑并调试。1.3.2研究方法1、文献研究法:通过万方、知网、维普等国内学术网站,查阅有关企业园区网络设计的期刊及学术论文。从而对论文的理论依据及系统阐述起到支撑的作用。2、阅读相关的计算机网络书籍,学习企业网络园区分层设计思想,了解每一层网络的具体作用。在华为官网搜集技术文档资料,查阅并学习所需的技术及配置案例。参考国内企业园区网络的方案架构、设计方法及实践方法,结合酒店网络的实际情况和业务需求,确定每一层具体的技术要求。3、通过华为ENSP仿真模拟器进行该网络的设计、搭建、测试
15、,确认该方案的可行性。L4论文组织结构安排本论文总共六章,以下为每章研究的内容结构安排:第1章绪论。阐述课题的研究背景、研究意义、研究的内容。第2章需求分析。根据软星酒店的组织管理结构,网络建设需求进行需求分析,包括网络架构分析、应用需求分析、网络安全需求分析,充分掌握软星酒店对于建设网络的需求。第3章逻辑网络设计。通过分析得到的需求,进行网络设计,根据酒店的部门结构划分VLAN和IP地址规划,进行设备选型。第4章实施方案。简要介绍设计中应用到的技术,包括VLAN、MSTP、VRRP、ACL、OSPFNAT、PortSecurityIPSecVPN及防火墙技术,并给出具体的实施方案。第5章验证
16、测试。通过华为仿真模拟器ENSP,对实验进行仿真构建测试,确保成功实现了酒店的需求。第6章总结。对研究课题时遇到的困难及存在的不足之处进行总结。第2章网络需求分析2.1建筑结构分析软星酒店为七层中小型建筑,由停车场、酒店大堂、厨房、餐厅、客房、内部办公楼层组成。每个楼层的具体部门如下:负一层为停车场及保安部,保安部负责酒店的消防安保、停车场调度、出入安检等工作。第一层为酒店大堂,分布有前厅部、市场营销部。其中前厅部负责接待宾客,为宾客办理入住手续,市场营销部负责酒店对外宣传以及协助行政人事部对员工进行工作考核的工作,两个部门都需要需要部署PC并接入到酒店局域网。第二层为宴会部,包括厨房和餐厅,
17、餐厅前台主要负责处理客户的用餐订单,厨房需要部署打印机,打印来自餐厅前台PC下达餐单,作为出餐凭据。第三至第六层为客房,每层有20间客房,其中第六层为高级客房。客房除提供上网外,还安装有网络机顶盒,提供网络电视服务,提供智能面板调节灯光及空调。共计4个网络接口,采用有线的方式连接网络。第七层为酒店内部办公楼层,分布有行政人事部、财务部、管家部。其中,管家部需要对酒店客房的状态(脏房、清洁房、预定房)动态监测,以便及时联系各楼层清洁员下达客房任务,因此也需要部署PC接入酒店局域网。2.2网络架构分析酒店网络需满足千兆到主干,百兆到桌面的带宽需求,保证酒店网络所需网络带宽。拓扑采用三层结构。各层主
18、要实现功能如下:接入层:要求百兆到桌面,端口密度满足终端设备全部接入。在网络中划分VLAN以隔离广播风暴,便于管理。配置MSTP实现负载均衡,并在网络边缘配置边缘端口和BPDU保护,防止BPDU报文恶意攻击。配置端口安全,限制端口MAC学习次数,从而限制外来接入设备。汇聚层:要求做冗余设计,采用VRRP和MSTP技术实现负载均衡的同时,为接入层终端设备提供冗余网关备份。通过链路聚合的手工方式,加大链路带宽。对ARP报文进行认证和限速,防止内网ARP欺骗和流量攻击。通过配置ACL对部门间的访问作限制。配置OSPF动态路由协议。核心层:主要是实现数据的高速转发,因此不会在核心层对数据做过多的处理影
19、响转发效率。这一层主要是配置OSPF动态路由协议。内网路由方面选用OSPF动态路由协议,实现链路的动态检测和路由表的自动维护。出口路由通过防火墙严格控制内外网流量进出,防火墙上配置NAT技术实现网络地址转换,从而实现酒店内网访问外网的需求。同时在防火墙上配置IPSeCVPN,实现番禺分店加密访问总店的功能。2.3信息点分布情况软星酒店的信息网络覆盖包括办公网络和客房网络两部分,其中办公网络还包括行政人事部、财务部、市场营销部、前厅部、管家部、宴会部、保安部。以部门为单位划分基于端口的VLAN。具体接入点需求如下:表2-1接入点统计表部门楼层接入点(个)行政人事部720财务部720市场营销部11
20、5前厅部130管家部730宴会部220保安部-130客房3-6240总计4852.4应用需求分析根据软星酒店的业务和管理需要,目前在酒店网络中的主要应用包括:1、在对酒店内部提供服务方面,建立DHCP服务器,满足终端设备无需手动设置IP地址的上网需求,搭建FTP服务器,作为公用数据存储平台,提供部门之间资料的共享。2、在对外网提供服务方面,搭建WEB服务器,作为酒店对外宣传和提供业务咨询的方式,以及OA服务器,为酒店提供办公自动化服务。3、在业务应用需求方面,酒店客房使用智能门锁,前厅部在为客户办理入住手续时,需要对房卡进行读写操作,因此需搭建门锁服务器。为了对客房状态实时监控和响应客户服务,
21、软星酒店购买了杭州西软信息技术有限公司的酒店管理系统。2. 5网络安全需求1、出口安全酒店应对外部网络流量的访问作限制,仅开放需要向外提供服务的WEB应用服务,还应对常见的报文流量攻击做安全防范。2、内网安全酒店行业人员流动频繁,且拥有一定的终端设备和服务器,需要实施内网安全措施,以防范来自酒店内部网络的攻击。同时,也需要完善酒店管理制度,对酒店工作人员的办公行为做行为管理。2. 6本章小结本章对软星酒店网络建设进行了系统的需求分析,对每一层的功能和应用到的技术进行说明。最后从内、外网和系统安全层面,给出了酒店网络安全的措施。第3章逻辑网络设计2.1 酒店网络设计原则软星酒店网络设计时需遵循以
22、下基本原则:1、可扩展性设计酒店网络结构时,应考虑到未来企业发展带来的网络规模增大的问题。因此,酒店网络应具有扩展能力,也要避免对原有网络结构的破坏。2、可靠性酒店网络设计考虑网络的稳定可靠性,防止单点故障导致酒店网络瘫痪,应具备链路备份,网络故障自恢复的性能。3、易管理性网络建设需考虑后期网络维护管理的难度,合理的网络规划,如IP地址、VLAN的规划,网络架构的规划都能使网络的日常维护简单化。4、经济性网络建设应考虑酒店实际情况。设备的选型考虑容易升级换代,能最大限度保留原有设备且性价比较高的产品。5、安全性在考虑网络建设安全性的同时,安全性问题不应干扰酒店正常开展业务5。3. 2网络拓扑设
23、计在本文中,软星酒店网络拓扑设计大致如图37所示:如图3-1所示,本次设计采用三层网络结构,以酒店部门为单位划分VLAN及分配IP地址。各层的基本工作如下:接入层:负责接入酒店内部和客房的终端设备及内网服务器,端口密度要求大。配置MSTP协议配置实例,实现冗余链路的负载分担。行政人事部、财务部、市场营销部、前厅部、内网服务器群流量走汇聚1交换机,管家部、厨房餐厅部、保安部、客房流量走汇聚2交换机。并配置安全措施。汇聚层:配置VRRP实现接入层终端设备网关冗余,并调整主备优先级。通过track命令联动VRRP对链路进行状态检测。核心层:负责数据的高速转发。汇聚层、核心层都采用冗余设计,通过手工模
24、式建立端口聚合组,解决核心交换机之间的环路问题的同时,增加带宽。防火墙:负责出口网络安全,配置NAT技术实现酒店内网用户访问外网及公酒店WEB、OA服务器对外网提供网页服务。配置IPSeCVPN实现加密访问总部的需求。3.3VLAN及IP地址规划VLAN及IP地址规划如表3-1、表3-2所示:表3-1业务VLAN划分VLAN号IP网段默认网关说明VLAN1010.L10.0/2410.1.10.1行政人事部VLAN2010.1.20.0/2410.1.20.1财务部VLAN3010.1.30.0/2410.1.30.1市场营销部VLAN4010.1.40.0/2410.1.40.1前厅部VLA
25、N5010.1.50.0/2410.1.50.1管家部VLAN6010.1.60.0/2410.1.60.1宴会部VLAN7010.1.70.0/2410.1.70.1保安部VLAN80172.16.0.0/22172.16.0.1客房/高级客房VLAN10010.1.100.0/2410.1.100.1中心机房表3-2管理VLAN划分VLAN号设备名IP地址VLAN200jieru01S2710192.168.255.101jieru_02_S2710192.168.255.102jieru03S2710192.168.255.103huiju01s3700192.168.255.104hu
26、iju_02_s3700192.168.255.105总部VLAN及IP地址规划如表3-3所示:表3-3总部VLAN及IP地址规划VLAN号IP网段默认网关说明VLAN1010.2.1.0/2410.2.1.1总部PClVLAN2010.2.2.0/2410.2.2.1总部PC2酒店服务器IP地址如表3-4所示:表3-4酒店服务器IP地址设备类型设备名称IP地址网关地址服务器FTP服务器10.1.100.10110.1.100.1酒店管理服务器10.1.100.80门锁服务器10.1.100.102DHCP服务器10.1.100.100OA服务器192.168.3.100192.168.3.1
27、WEB服务器192.168.3.1013.4网络安全设计1、出口安全设计为了在一定程度上提高软星酒店网络的安全性,在酒店网络出口处部署防火墙。考虑到Internet用户可能对酒店网络发起恶意攻击,因此需要结合防火墙安全策略控制内外网间的访问流量;将OA服务器和WEB服务器划分到DMZ区域,并对外开放WEB服务;开启DDOS防御功能,防御外网对内网进行的流量报文攻击。2、内网安全设计接入层:除了为边缘端口开启BPDU保护功能外,还需要在酒店各各部门终端设备连接接入层交换机的端口上开启端口安全功能,限制端口MAC学习次数,从而限制外来设备接入并访问酒店内网。汇聚层:通过对其他部门使用ACL访问控制
28、列表技术,严格限制除行政人事部外,其他部门访问财务部。还需对常见的ARP攻击进行防范,包括ARP报文欺骗攻击,以及对ARP报文进行限速,防止内网攻击者利用终端设备发送大量的ARP报文,导致设备CPU负载过高而无法处理其他业务。酒店是一个人员流动性大的服务业,为了阻止非法用户通过网线接入交换机后访问酒店内网,需要在接入层交换机开启端口安全功能,实现用户和交换机接口的绑定,同时还可以控制接口的用户接入数。3、系统安全大多数情况下,被攻击者访问未知链接或程序引起安全问题。因此,酒店网管人员应及时关闭系统自带的来宾账号,更新系统补丁,关闭不常用的敏感端口,安装软件防火墙如火绒,从而抵御攻击并对主机网络
29、环境进行实时监控。3. 5设备选型根据软星酒店网络建设的实际情况,选出如表3-5所示设备:表3-5设备选型清单设备型号核心交换机S6720-30C-EI-24S-AC汇聚交换机S3700-28TP-EI-24S-AC接入交换机S2710-52P-SI-AC防火墙USG63503.5.1接入层设备图3-2S2710-52P-SI-AC接入层设备选用S2710-52P-SI-AC,具体参数如表3-6所示:表3-6S2710-52P-SI-AC性能参数主要参数应用层级二层传输速率101001000Mbps背板带宽32Gbps包传发率17.7Mpps功能特性VLAN支持IEEE802.1Q,整机支持4
30、K个VLAN网络管理支持堆叠,支持Telnet/SSH远程配置,支持SMMPV1/V2/V3等安全管理支持防止DOS、ARP防攻击、ICMP防攻击功能等3.5.2汇聚层设备图3-3S37OO-28TP-EI-AC汇聚层设备选用S3700-28TP-EI-AC,具体参数如表3-7所示:表3-7S3700-28TP-EI-AC性能参数主要参数应用层级三层传输速率101001000Mbps背板带宽64Gbps包转发率14.IMpps功能特性VLAN支持4K个VLAN网络管理支持堆叠,支持TeInet/SSH远程配置,支持eSight网管系统、支持WEB管理特性安全管理支持防止DOS、ARP防攻击、I
31、CMP防攻击功能等3.5.3核心层设备图3-4S6720-30C-EI-24S-AC核心层设备选用S6720-30C-EI-24S-AC,具体参数如表3-8所示:表3-8S6720-30C-EI-24S-AC性能参数主要参数应用层级三层传输速率101001000Mbps背板带宽2.56Tbps包转发率720Mpps功能特性VLAN支持IEEE802.1Q,整机支持4K个VLAN网络管理支持iStack智能堆叠,支持网管系统、支持WEB网管特性安全管理支持防止DOS、ARP防攻击、ICMP防攻击功能等支持HnPS,支持CPiJ保护功能3.5.4防火墙设备o二Ur图3-5USG6350网络安全设备
32、选用华为USG6350,具体参数如表3-9所示:表3-9USG6350性能参数主要参数设备类型下一代防火墙固定接口4GE+2Combo接口扩展可扩展千兆电口/千兆光口/万兆光口,支持BYPASS插卡最大功率170W功能特性入侵防御支持IPS,第一时间获取最新威胁信息,准确检测并防御针对漏洞的攻击策略安全策略、NAT策略、基于应用识别的带宽管理策略和黑白名单VPN支持IPSeCVPN3.6本章小结本章根据网络设计原则对酒店网络拓扑进行设计,并对VLAN、IP进行划分。根据网络设备进行选型,为后面具体实施奠定基础。第4章网络实施方案4.1STP生成树4.1.1 技术说明由于软星酒店对网络的可靠性提
33、出一定要求,因此网络会通过部署冗余设备进而为网络提供冗余链路。当酒店网络的业务流量所在链路发生故障时,原先冗余链路上备阻塞的二层端口经过生成树计算后重新开放,通过冗余的冗余链路对数据进行转发。我们采用生成树协议来实现二层链路的可靠性。应用生成树协议的具体作用如下:1、交换机之间通过互相发送和接收BPDU报文的形式,根据生成树算法对一个或以上的端口进行阻塞,得到一个逻辑上无环路的网络拓扑结构,从而达到消除二层环路的作用。2、生成树协议起到备份链路的作用。当活动的链路发生故障时,生成树将原先阻塞的端口开放,激活原先被阻塞的备份链路,从而起到恢复网络连接的作用。关于STP生成树协议,常见的有STP、
34、RSTPMSTPo其中,我们选用MSTP技术实现二层链路破环及链路备份的目的。理由如下:1、STP和RSTP通过生成树算法后会针对所有VLAN阻塞一个或以上的接口,从而导致所有VLAN只能往同一条链路转发数据帧,单条链路负载较大,无法实现链路负载分担,造成链路带宽浪费。2、STP和RSTP只支持一棵生成树,当网络拓扑结构比较大时,网络收敛的时间过长,拓扑改变波及的范围也大。基于以上原因,我们决定采用MSTP技术。MSTP支持为每一个VLAN生成并维护不同的生成树。从而达到网络流量负载分担的目的,并且具有较快的收敛速度。关于STP优化方面,我们做以下操作:1、软星酒店部门终端设备处在网络边缘,终
35、端设备的端口设置edgeport。edgeport不会参与STP计算,也不会接收及处理配置BPDU报文。2、开启BPDU保护,避免edgeport接收到非法BPDU报文后被激活为非边缘端口,生成树重新计算造成网络震荡。当edgePort收到BPDU报文时,该端口会自动关闭,由酒店网管人员手动恢复。3、由于本文中汇聚层交换机是二、三层网络的分界点,下行二层网络中己经开启了MSTP功能。为了避免STP收敛影响到上行三层链路,本设计中汇聚、核心层交换机之间的互联接口需要全部去使能STP功能。4.1.2实施应用在接入1、2、3,汇聚1、汇聚2上配置MSTP,如图4-1所示:图47 MSTP配置位置汇聚
36、1作为接入1、接入3的根桥,接入2的备份桥,汇聚2作为接入2的根桥,接入1、2的备份桥。通过MSTP堵塞对应的二层端口,实现链路冗余。将接入交换机下联与终端设备连接的端口配置为edge port,并开启BPDU保护。由于边缘端口 频繁配置,下面仅以其中一个端口配置为例,具体配置如图4-2、4-3所示:接入1、2、3:stp bpdu-protectionstp region-configuration region-name aarevision-level 1instance 1 vlan 10203040100 revision-levelinstance 2 vlan 50607080
37、active region-configuration汇聚1:stp instance 1 root primarystp instance 2 root secondary #stp region-configuration region-name aa1instance 1 vlan 10203040100 instance 2 vlan 50607080 active reaion-confiauration汇聚2:stp instance 1 root secondarystp instance 2 root primary #stp region-configuration regi
38、on-name aarevision-level 1instance 1 vlan 10203040100instance 2 vlan 50607080active reeioo-configuratioo图4-2MSTP配置1interfaceEthernet001stpedged-portenable图4-3MSTP配置24.2VRRP虚拟路由冗余协议4.2.1技术说明即使二层链路采用了MSTP技术,但是如果终端的网关设备出故障,必然导致酒店部门和客房中以该网关设备地址为默认网关的终端无法跨网络访问。因此,必须对网关设备也作冗余设计。VRRP虚拟路由冗余协议能够确保当主机的网关设备或通往
39、网关设备的链路发生故障时,备份网关设备能够感知到并自动代替出现故障的主网关设备完成报文转发任务。VRRP协议能够实现多个出口网关备份2。我们配置VRRP协议时,需要注意以下两点:1、当VRRP和MSTP共同存在时,MSTP划分VLAN的实例设置与实例的优先级,即MSTP中VLAN的主根和VRRP的master网关设备需要保持一致性,否则可能导致VLAN下的终端设备访问网关时,数据包发往网关走的时次优路径。即数据包先发往备份网关设备,再经过备份网关设备发往master网关设备,增加了数据包响应延迟,甚至可能造成丢包的现象。2、通常情况下,VRRP协议作用的对象是主备网关设备本身,但是,假如接入层
40、交换机去往master网关设备的链路上,其中一个端口或链路的故障,VRRP不会主动降低优先级将网关切换到backup设备,此时终端设备的路由还是流向master。如果master与backup之间存在互联时,数据包依旧能转发到网关master,但是必须经过backup设备,造成与序号1相同的后果。如果两者不存在互联,则终端设备无法与外界网络通信。因此,我们需要实现链路状态检测机制,当检测到链路状态发生故障时,VRRP也能够自动切换主备状态。这里我们采用track命令跟踪VRRP的链路状态。4.2.2实施应用配置三层VLANlF接口IP信息,VRRP虚拟路由冗余协议,实现网关冗余,提高网络的可靠
41、性,并设置VRRP组的优先级,不同部门组的主备网关设备不同,并通过track命令实现链路状态检测。以VLAN10为例,配置如图4-4所示:vrrpvrid1()trackinterfaceGigabitEthernetO/O/lreduced30dheprelayserver-ip10.1.100.100图4-4VRRP配置4.3路由协议4.3.1技术说明骨干网络采用OSPF动态路由协议。OSPF作为一种链路状态协议,区别于距离矢量RIP,具有路由收敛快,资源开销小的特点。酒店网络拓扑中汇聚层和核心层之间存在多条冗余链路来加固网络。如果手工部署静态路由,静态路由没有链路主动探测及撤销的机制,需
42、要部署BFD来联动触发静态路由的撤销和替换。非但配置繁杂,且没有可维护性。因此,采用OSPF动态路由协议,OSPF可以动态感知网络拓扑变化并及时收敛,实现路由自治需求。并通过调整接口CoST开销值实现三层链路冗余和负载分担。在出口防火墙配置默认路由,并将默认路由引入到OSPF中。此时,内网的OSPF协议能够学习到去往外网的路由。4.3.2实施应用在酒店分部网络中,核心层与汇聚层、出口防火墙互联,并将彼此互联的链路路由以OSPF的形式通告出去。出口防火墙配置默认路由,并将默认路由重分发到OSPF中。出口防火墙相关配置如图4-5所示:iproute-static0.0.0.00.0.0.0202.
43、8.0.图4-5防火墙OSPF配置虽然汇聚层到核心层采用了OSPF实现了路由冗余设计,但我们希望通过调整接口OSPF开销值,实现路由选路功能。对于汇聚交换机huiju_01_s6720,调整汇聚和核心层之间链路VLAN4的开销,使之成为备份链路。对于汇聚交huiju_02_s6720,调整汇聚和核心层之间链路VLAN5的开销,使之成为备份链路。具体配置如图4-6所示:汇聚2汇聚2ipaddreas192168.33.1255.255.255.0图4-6接口OSPF开销配置4.4ACL访问控制列表1.1 .1技术说明访问控制列表根据报文的五元组信息进行匹配,对经过网络设备的报文进行过滤处理,决定
44、报文是否放行。ACL常与路由策略、QOS、Firewall等技术配合使用。4.4 .2实施应用按照酒店管理要求,除了酒店其他部门外,只有行政人事部允许主动访问财务部。在汇聚层交换机采用设定ACL规则匹配流量,并把规则应用在接口上。具体配置如图4-7所示:云汇聚1厂口汇聚1rulel,?bSenypsource10.1.30.00.0.0.255destination10.1.20.00.0.0.255rule10denyipsource10.1.40.00.0.0.255destination10.1.20.00.0.0.255rule15denyipsource10.1.50.00.0.0.
45、255destination10.1.20.0.0.255rule20denyipsource10.1.60.00.0.0.255destination10.1.20.00.0.0.255云汇聚2F汇聚2rule30denyipsource17216.0.00.0.255.255destination10.1.20.00.0.0.25d图4-7ACL配置4.5网络地址转换4.5.1技术说明由于IPv4地址短缺,在IPv4过渡到IPv6这段时期,急需解决公网地址紧张的问题。因此,需要通过NAT技术实现IPv4地址的重复使用。NAT技术实现了多台终端设备同时使用一个公网IP地址上网的目的。NAT技
46、术主要分为静态NAT,动态NAT以及NAPT三种,静态NAT是公网地址和私网地址是1:1的映射关系,一个公网地址只能同时给一个私网地址分配使用。动态NAT则不再是一对一绑定,属于一个动态的映射过程。NAPT是实现IP地址和端口同时转换的NAT技术,属于多对多关系。因此,NAPT能使同时映射多个终端设备的IP地址,实现上网。本次软星酒店网络使用的是NAPT中的EaSyIP技术及NATSerVer技术,EasyIP技术是NAPT的一种,EasyIP直接以出口网关防火墙连接公网的接口IP地址作为转换后的公有IP地址。NATSerVer用于让酒店的网站服务器、OA服务器向外网提供网页服务。酒店内部全部采用私网地址,无法与外部网络直接通信。在出口防火墙配置NAT地址转换技术。酒店部署的是千兆电信宽带,由于酒店只中请了一个固定的公网地址,因此这里选用EaSyIP的NAT方式更为合适。配置如图4-8所示:
