程鸣洋 广州大学松田学院 511300

1 VLAN技术

随着网络中的计算机的数量越来越多，传统的以太网络开始面临各种的网络冲突，广播泛滥以及安全性无法保障等各种问题。

VLAN(Virtual Local Area Network)即虚拟局域网，时间一个物理的局域网在逻辑上划分成多个广播域的技术，通过在交换机上配置VLAN，可以实现在同一个VLAN内的用户可以进行网络的二层访问，而不同VLAN的用户则会被二层隔离这样既能够隔离广播域，又能够提升网络的安全性。

1.1 DHCP技术

在大型企业网络中，会有大量的计算机或设备需要获取IP地址等网络参数，如果手工配置，工作量大且不好管理，如果有用户扇子修改网络参数，还有可能造成IP地址冲突等问题。使用动态主机配置协议DHCP（Dynamic Host Configuration Protocol）来分配IP地址等网络参数，可减少管理员的工作量，避免用户在手动配置IP地址时造成网络总IP地址的冲突。

1.2 RIP技术

路由信息协议RIP（Routing Information Protocol）的简称，它是一种基于距离矢量（Distance-Vector）算法的协议，使用跳数作为度量来衡量到达目的网络的距离。RIP主要应用于规模较小的网络中。并且RIP协议可以动态的获取到其他网段的IP地址，配置简单。

1.3 IPsec VPN技术

企业对网络安全性的需求日益提升，而传统的TCP/IP协议缺乏有效的安全认证和保密机制。IPSec（Internet Protocol Security）作为一种开放标准的安全框架结构，可以用来保证IP数据报文在网络上传输的机密性、完整性和防重放。并且采用VPN虚拟局域网来进行跨区域的实行公司内部网络。

1.4 RSTP技术

STP协议虽然能够解决环路问题，但是收敛速度慢，影响了用户通信质量。如果STP网络的拓扑结构频繁变化，网络也会频繁失去连通性，从而导致用户通信频繁中断。IEEE于2001年发布的802.1w标准定义了快速生成树协议RSTP（Rapid Spanning-Tree Protocol），RSTP在STP基础上进行了改进，实现了网络拓扑快速收敛。

本次网络构建是在ensp上面进行的所以采用一台路由器来模拟模拟公网的环境，ip地址为200.200.200.0/24.具体的在网络搭建总使用的IP地址如下：

VLAN 10 20 30 40的IP地址分别是192.168.1.0/24，192.168.2.0/24，192.168.3.0/24，10.0.0.0/24.VLAN 10 20 30分别为三个楼层的用户来提供用于pc接入网络的IP地址。VLAN 40这个网段是总公司的主要交换网络接入到防火墙的网段。在这里使用了10.0.0.0/24这整个网段是为了在之后的网络扩建加入新的设备，以及维护的便捷来提供了足够的有效IP地址。同时这样的划分也提高了网络的可扩展性。极大的减小了之后对于本网络维护人员的工作量。

在LSW1上，我们为了使三个VLAN之间可以正常的通信，所以在交换机上配置了三个VLAN的虚拟接口作为网关，使交换网络可以实现不同的网段三层通信的顺畅。网关地址分别为VLAN 10 192.168.1.254/24， VLAN 20 192.168.2.254/24 VLAN 30 192.168.3.254/24，并且为了使内部网络可以正常的接入到防火墙我们划分了VLAN 40并将与防火墙相连的端口划分到这个VLAN里面，具体的地址为10.0.0.1/24.

防火墙FW1中通过10.0.0.2/24与LSW1相连实现内网对公网的访问。另一个接口200.200.1.2/24为公网地址。防火墙直接连接入公网。并且为了使内网的服务器可以正常的为外网用户提供服务。三台服务器的网段为192.168.4.0/24，在防火墙GE0/0/2接口上配置网关192.168.4.254/24.为三台服务器192.168.4.1/24，192.168.4.2/24，192.168.4.3/24提供路由转发的功能。

并且在本次实验中我们采用了一台路由器来模拟公网的网络环境我们使用的网段是200.200.1.0/24，100.100.2.0/24。在AR5中我们使用200.200..1.1/24与总部的防火墙相连，采用200.200.2.1/24这个IP与分部的防火墙相连。

在FW2中我们使用192.168.20.254/24来作为分部的网关。并且通过200.200.2.2/24与路由器相连，以实现分部的内网用户与外网的通信。

1.5 ACL技术

企业网络中的设备进行通信时，需要保障数据传输的安全可靠和网络的性能稳定。

访问控制列表ACL（Access Control List）可以定义一系列不同的规则，设备根据这些规则对数据包进行分类，并针对不同类型的报文进行不同的处理，从而可以现对网络访问行为的控制、限制网络流量、提高网络性能、防止网络攻击等等。

2 验证IPsecVPN协商

当分部的主机访问总部的服务器的收数据包都是通过ESP加密的。这样我们就可以得知IPsec的配置生效了。并且在WEB中我们所配置VPN的时候使用防火墙的内部的检查系统可以得知IPsecVPN协商成功。证明我们的配置是正确的，总部和分部的IPsec 已经成功的协商进行匹配。这样就保证了网络通信的安

2.1 验证服务器访问控制

在本次架构中，服务器承担着为公司内部提供有效安全的服务，为外网客户提供稳定高效的FTP服务以及WEB服务，所以服务器的安全就显得尤为重要。在内网我们通过ACL来队服务器的访问进行控制，对于公网我们通过防火墙的服务器映射来实现公网的用户访问服务器，有效的保证了服务器的信息安全。使服务器可以提供有效稳定的服务。

2.2 关于网络架构的总结

内蒙古了拍科技网络有限公司的网络构建充分的考虑到了网络的安全性，稳定性，健壮性等特点。通过VLAN，IPsecVPN，RIP，DHCP等等网络技术的运用实现乐公司的内网的访问控制，与外部的访问通畅，与分公司的加密访问，服务器群在公网的映射等等。都充分的体现出了每项技术的特点，并使其结合在一起使用，为用户提供了安全，效率，可靠的网络服务。

同时本网络拓扑清晰，结构明了，便于维护。但是也要求维护工程师对于本网络总所用到的RIP，DHCP，NAT，IPsec VPN有一定的掌握程度，虽说拓扑结构不复杂但是当出现故障的时候维护工程是应当以最快的速度找到故障点并加以抢修。这就是本次的网络架构的全部内容。