[摘要]職業院校網絡專業的學生在學完所有專業課程后，當讓他們設計一個實際的組網方案時，大部分學生仍感到很茫然，不是他們所學知識不夠，而是他們沒有整體網絡的設計思想。本文就是從一個具體企業網絡組建方案入手，簡單闡述網絡設計方案的步驟及思想。
　　[關鍵詞]組網方案，企業網，設計思想
　　1.引言
　　計算機網絡專業是職業院校開設最多的一個專業，各學校關于網絡專業的課程設置也比較完善。學生在校期間所學的相關專業知識是非常全面的，但大部分學生由于缺乏整體網絡的設計思想，因此當他們需要設計一個組網方案時，仍感覺在學校學的知識用不上。
　　實際上分層網絡設計模型是現代網絡方案設計較常用的模型。該模型將網絡分成三層：接入層、分布層、核心層。接入層的主要目的是提供一種將設備連接到網絡并控制允許網絡上的哪些設備進行通信的方法。分布層先匯聚接入層交換機發送的數據，再將其傳輸到核心層，最后發送到最終目的地。核心層的功能主要是實現骨干網絡之間的優化傳輸
　　2.方案設計
　　1）需求分析
　　總公司與分公司接入Internet，采用NAT方式上網，同時通過VPN隧道，實現分公司訪問總公司。
　　不同辦公司之間數據不共享
　　保障網絡基本的安全性，時時監控網絡中的安全事件
　　分公司周一到周五9：00至于17：00上網，周六周日全天上網，用戶采用無線上網，自動獲得IP地址
　　總公司網段10.0.0.0/16,分公司10.1.0.0/16。
　　2）網絡拓撲如下
　　
　　3）數據規劃
　　設備 設備名稱 設備接口 IP地址
　　路由器
　　 VPN1 Fa0/0 10.0.0.5/30
　　  Fa0/1 10.0.0.9/30
　　  Fa0/2 10.0.0.2/30
　　 R2 S2/0 20.0.0.1/30
　　  Loopback0 2.2.2.2/32
　　  Fa0/0 30.0.0.1/29
　　 R3 S3/0 20.0.0.5/30
　　  S2/0 20.0.0.2/30
　　  Loopback0 3.3.3.3/32
　　 R4 Fa0/0 20.0.0.9/30
　　  S3/0 20.0.0.6/30
　　  Loopback0 4.4.4.4/32
　　防火墻 FW1 GE1 10.0.0.1/30
　　  GE2 10.0.0.14/30
　　  GE3 30.0.0.2/29
　　 FW2 GE1 10.1.10.1/30
　　  GE2 10.1.0.2/30
　　  GE3 20.0.0.10/30
　　三層交換機 SW1 Fa0/24 10.0.0.3/29
　　  VLAN10 10.1.10.2/24
　　  VLAN20 10.1.20.2/24
　　  VLAN30 10.1.30.2/24
　　 SW2 Fa0/24 10.0.0.4/29
　　  VLAN10 10.0.10.3/24
　　  VLAN20 10.0.20.3/24
　　  VLAN30 10.0.30.3/24
　　VPN網關 VPN-1 Eth0 10.0.0.13/30
　　  Eth1 40.0.0.1/30
　　 VPN-2 Eth0 10.1.0.1/30
　　  Eth1 40.0.0.2/30
　　入侵檢測 IDS 管理地址 10.0.30.254/24（管理接入SW1的FA0/22,屬于VLAN30，監視口接入SW1的FA0/23.
　　無線網絡 MXR 子網 設備管理IP地址10.1.10.2，MX-2為無線用戶為無線用戶分配IP地址范圍(10.1.10.10-10.1.10.100)網關為10.1.10.1.
　　4）設備功能實現
　　總公司局域網實施
　　防火墻FW-1：安全功能配置VPN使得總公司與分公司互通，實現數據的安全性和完整性。NAT配置NAT，實現內部網絡訪問互聯網，和實現將內網的WEB、FTP等資源發布的互聯上。
　　路由器R1：SW1與R1線路為主用線路，承載正常數據流，SW2與R2為備用線路，正常情況下不承載數據流。通過靈活配置VLAN10，VLAN20，VLAN30網段的回程路由，實現當SW1與R1鏈路down時，可以自動切換至R1與SW2線路
　　三層交換機SW-1：優化功能SW1為主用交換機，正常情況下SW1上承載VLAN10,VLAN20,VLAN30的數據轉發。只有當SW1至R1互聯線路down時，SW2由備用轉為主用交換機。劃分VLAN,配置VRRP，使得所有的VRRP組為master狀態。（VRRP的組號即為該VLAN的ID，如VLAN10的VRRP組ID為10），配置trunk線路Fa0/1與SW3Fa0/23以trunk方式互聯。配置鏈路聚合，增加線路帶寬及冗余性。配置端口鏡像，將FA0/24所有數據流鏡像到FA0/23口，配置MSTP生成樹協議。
　　三層交換機SW-2：SW-2為備用交換機，正常情況下SW1上承載VLAN10,VLAN20,VLAN30的數據轉發。只有當SW1至R1互聯線路down時，SW2由備用轉為主用交換機。劃分VLAN,配置VRRP，使得所有的VRRP組backup狀態。（VRRP的組號即為該VLAN的ID，如VLAN10的VRRP組ID為10），配置trunk線路Fa0/1與SW3Fa0/24以trunk方式互聯。配置鏈路聚合，配置MSTP生成樹協議。
　　接入層交換機SW-3：
　　劃分VLAN，配置相關端口，啟用端口安全功能，只允許特定主機接入。
　　配置MSTP生成樹協議。
　　入侵檢測系統IDS：
　　安全功能：派生策略，需要監控TCP攻擊、UDP攻擊、DOS攻擊、IP攻擊。
　　管理功能：管理接口地址為192.168.9.254/24，網關192.168.9.1，管理服務器地
　　址為192.168.9.10/24
　　Internet互聯網實施
　　R2、R3、R4三臺路由器模擬internet，三臺路由器組成OSPF多區域，互聯線路采用PPP線路chap認證，OSPF采用MD5認證。
　　分公司局域網實施
　　防火墻FW-2：安全功能放行總公司、分公司互相訪問進出VPN數據流通過。
　　FW-2地址轉換配置NAT，實現內部網絡10.1.10.0/24，訪問互聯網，其使用合法的公網地址為50.0.0.2/30，上網時間為周一到周五9：00至于17：00上網，周六周日全天上網
　　FW-2配置靜態路由實現分公司上網數據流與分公司訪問總公司數據流的分流。
　　路由器R5：配置簡單的路由，使網絡連通。配置DHCP為分公司動態分配地址。
　　入侵檢測系統：安全功能：派生策略，需要監控TCP攻擊、UDP攻擊、DOS攻擊、IP攻擊。管理功能：管理接口地址為192.168.60.9/24，網關192.168.60.1，管理服務器地址為192.168.60.10/24
　　路由器R4：配置OSPF路由協議，配置基于接口驗證功能，采用MD5方式。FA0/0所在網段采用路由重發布方式，注入OSPF中，R4鏈路安全配置PPP實現CHAP認證.
　　4）功能驗證
　　根據以上網絡方案進行實施，最后需通過實施驗證看是否達到預期的效果。做以下簡單的驗證查看效果：
　　① MSW-1、MSW-2配置的VRRP組主備選舉正常，當MSW-1上行端口DOWN時，可以正常切換
　　② 各VLAN用戶可以ping通防火墻內網口IP192.168.50.2，斷開SW1上行線路斷開，或者SW1掉電，都可以正常ping通
　　③ R2、R3、R4OSPF鄰居建立正常
　　④ 在R4上可以正常ping通12.0.0.2，R2上可以正常ping通45.0.0.4
　　⑤ 查看R4路由表，通過OSPF只學習一條缺省路由
　　⑥ 在R5上查看DHCP綁定
　　3.總結
　　本文通過一個具體的企業網的設計方案，體現了網絡設計的思想和步驟，學生們在學校學了大量的關于進行設備配置的技術知識。對于網絡方案的設計通過本文希望可以給大家以啟示。
　　參考文獻：
　　[1]李武，網絡組建管理與維護，東南大學出版社
　　[2]張敏波，中小型企業網絡組建實訓教程,