湖南商務職業技術學院畢業設計

目錄

1.項目簡介...........................................................1

1.1項目背景......................................................1

1.2項目需求分析..................................................1

2.公司網絡設計.......................................................2

2.1公司成員分布..................................................2

2.2公司網絡拓撲..................................................2

2.3地址資源規劃..................................................2

3.網絡設備選用.......................................................3

3.1出口防火墻選用................................................3

3.2核心路由器選用................................................4

3.3匯聚交換機選用................................................4

3.4接入交換機選用................................................5

3.5設備清單......................................................6

4.網絡協議選用.......................................................6

4.1VLAN虛擬本地局域網部署.......................................6

4.2DHCPIP動態地址分配..........................................7

4.3MSTP多域生成樹部署...........................................7

4.4堆疊技術......................................................8

4.5VRRP虛擬網關冗余協議.........................................8

4.6OSPF路由協議.................................................8

4.7ACL匹配工具..................................................8

4.8NAT地址轉換..................................................9

4.9QOS數據流量控制管理..........................................9

4.10WI-FI接入部署...............................................9

5.網絡配置...........................................................9

5.1VLAN..........................................................9

II

湖南商務職業技術學院畢業設計

5.2DHCP.........................................................10

5.3MSTP.........................................................10

5.4VRRP.........................................................11

5.5堆疊技術.....................................................11

5.6OSPF.........................................................12

5.7ACL..........................................................12

5.8NAT..........................................................12

5.9QOS..........................................................13

5.10WI-FI.......................................................13

6.項目測試..........................................................14

7.設計小結..........................................................16

參考資料............................................................17

III

湖南商務職業技術學院畢業設計

湖南鴻輝公司網絡規劃與設計

1.項目簡介

1.1項目背景

湖南鴻輝公司近幾年來通過領先的核心技術和良好的口碑，成立了新的科

研組和分部，根據公司的應用發展需要，對公司的各個部門的需求做了一份調

研報告：

公司網絡需要實現文件，數據，安全，圖片等多資源的共享，并且公司出

差在外的員工可以及時訪問內網的資源，遠程辦公協助客戶解決出現的相關問

題，公司需要內外網隔離，確保公司核心技術不會被竊取，對于員工上網做身

份認證，人臉識別避免非企業員工連入企業網絡。

由于科研小組需要開發新的網絡設備和安全設備，分布急需要添加新的網

絡設備和安全設備以達總分機構網絡數據能夠互聯互通，并具有安全可靠性，

以便于總部能夠及時調取分部資料。

1.2項目需求分析

湖南鴻輝公司是一個具有五個部門，分別為技術部、銷售部、財務部、人

事部、市場部。由于考慮到安全性，公司的財務部不連通外網。具體的需求如

下：

安全性：公司出口設備使用防火墻連接外網，為避免公司資料外泄，我們

嚴格控制網絡漏洞，定期檢查網絡安全隱患和更新安全補丁。

冗余性：在企業網絡中，衡量一個網絡的好壞冗余也是不可或缺的，考慮

到設備故障和設備更新，我們需要保證在這個期間公司的網絡不能中斷，保證

業務的正常運行。

擴展性：考慮到公司的增容，為避免增容之后需要重新規劃網絡，一個好

的網絡其擴展性也是很有必要的。

可行性：隨著互聯網的發展，公司的網絡需要配置成熟的協議來保證網絡

的可行，出于對成本的考慮，我們需要盡可能的使用性價比合適的設備。在公

司內部網絡中有一臺服務器需要提供給外網訪問。

1

湖南商務職業技術學院畢業設計

2.公司網絡設計

2.1公司成員分布

公司成員分布如表1所示：

表1公司部門分部表

部門技術部人事部財務部市場部銷售部

人數10人2人6人20人20人

2.2公司網絡拓撲

湖南鴻輝公司有五個部門，分別對應五個虛擬局域網。通過接入交換機將

網絡接入，使用聚會交換機作為網關，在內網中還有一臺服務器需要提供給外

部訪問，服務器連接匯聚交換機，匯聚交換機上連核心路由器，核心路由器連

接出口防火墻，由防火墻連接外網。公司網絡拓撲如圖1所示：

圖1公司網絡拓撲圖

2.3地址資源規劃

地址資源需要合理規劃，地址在局域網不能重復，否則會導致路由產生環

路或者無法正常通信，公司使用C類私網地址作為內網地址，確保總部機構網

2

湖南商務職業技術學院畢業設計

絡和分布機構網絡中路由通過公網能夠正常學習，網絡相互之間能夠正常通信。

公司總部網絡地址規劃如表2所示：

表2IP地址分配表

分組地址資源子網地址資源范圍虛擬接入VLAN

技術部/2410.1-10.25410

銷售部/2420.1-20.25420

人事部/2430.1-30.25430

財務部/2440.1-40.25440

市場部/2450.1-50.25450

無線接入點/2470.1-70.25470

互聯區域

核心路由器1/30出口防火墻/30

核心路由器2/30出口防火墻/30

匯聚交換機/30核心路由器1/30

匯聚交換機/30核心路由器2/30

防火墻/30公網Intelnet/30

3.網絡設備選用

3.1出口防火墻選用

防火墻選擇IPS6000F系列，該防火墻主要應用于企業、IDC、校園網和運

營商等，更好地保障客戶應用和業務安全，實現對網絡基礎設施、服務器、客

戶端以及網絡帶寬性能的全面防護。如圖2所示：

圖2出口防火墻IPS6585F

防火墻IPS6585F參數如表3所示：

表3出口防火墻IPS6585F參數表

產品型號IPS6585F

業務口8*GECOMBO+4*GE(RJ45)+4*GE(SFP)+6*10GE(SFP+)

3

湖南商務職業技術學院畢業設計

安全策略一體化策略管理，內置場景模板，支持策略優先級設置，支

持基于IP地址、應用、時間段等對象下發指定的安全策略。

應用識別與管控識別6000+應用，訪問控制精度到應用功能，例如：區分微

信的文字和語音。應用識別與入侵檢測、防病毒相結合，提

高檢測性能和準確率。

入侵防御準確檢測并防御針對操作系統、應用、服務器等各種漏洞的

攻擊，支持攻擊防護。

3.2核心路由器選用

核心路由器采用AR6710-L26T2X4路由器，華為面向云園區網絡推出的全新

一代核心路由器，滿足客戶快速構建一張兩層極簡架構的中大型園區網絡需求，

是構建云園區網絡匯聚/核心網絡的理想選擇，助力全球客戶數字化轉型。如圖

3所示：

圖3核心路由器AR6710-L26T2X4

核心路由器AR6710-L26T2X4參數如表4所示：

表4核心路由器AR6710-L26T2X4參數表

處理器ARM644核

SD-WAN轉發性能1200Mbps

固定WAN接口2*10GE光，2*GE電，1*10GE光，2*GE

固定LAN接口48*GE電

3.3匯聚交換機選用

S8700-4交換機提供多接口和匯聚流量的高速轉發，支持支持4K802.1QVL

AN，支持PortbasedVLAN，支持PrivateVLAN，支持GVRP，支持Super

VLAN，支持基本QINQ，支持LACP(802.3ad)，支持基于流的鏡像，支持多對一

端口鏡像及一對多端口鏡像支持RSPAN，支持聚合鏈路的鏡像，支持STP、

4

湖南商務職業技術學院畢業設計

RSTP、MSTP，支持DHCPServer，支持DHCPClient，支持DHCPSnooping，支持

DHCPRelay，支持IPv6DHCPSnooping，支持IPv6DHCPClient，支持IPv6DHCP

Relay，IPv6編址、ICMPv6、PathMTU，Discovery支持靜態路由，支持RIP，

RIPNG，支持OSPFv2,OSPFv3,IS-ISv4,IS-ISv6，支持BGP4，BGP4+，支持等

價路由。過濾非法的MAC地址，支持BFD檢測、支持REUP、支持RLDP、支持申

源1+1冗余各價、屯源?？?、凡扇模抉支持熱插拔功能。如圖4所示：

圖4匯聚交換機S8700-4

匯聚交換機S8700-4參數如表5所示：

表5匯聚交換機S8700-4參數表

包轉發率5760/38400Mpps

交換容量51.2/256Tbps

主控板槽位數2

業務板槽位數4

風扇槽位數1

系統電源6

3.4接入交換機選用

接入交換機采用S5720-12TP-LI-AC。S5720-LI系列精簡型千兆以太網交換

機支持多種三層路由協議，提供靈活的全千兆接入以及萬兆上行端口，具備更

高性能和更豐富的業務處理能力。

S5720-LI基于高性能硬件和華為公司統一的VRP（VersatileRouting

Platform）軟件平臺，智能iStack堆疊，靈活的以太組網，多樣的安全控制等

特點，廣泛應用于醫療、零售、礦業、互聯網等各行業。如圖5所示：

5

湖南商務職業技術學院畢業設計

圖5接入交換機S5720-12TP-LI-AC

接入交換機S5720-12TP-LI-AC參數如表6所示：

表6接入交換機S5720-12TP-LI-AC參數表

交換容量336Gbps/3.36Tbps

包轉發率27Mpps/102Mpps

固定端口8個10/100/1000Base-T以太網端口

MAC特性支持MAC地址自動學習和老化，支持靜態、動態、黑洞MAC表項

3.5設備清單

設備清單如表7所示：

表7設備清單表

接入交換機5臺

匯聚交換機2臺

核心路由器2臺

出口防火墻1臺

4.網絡協議選用

4.1VLAN虛擬本地局域網部署

通過VLAN技術可以讓本地的局域網產生隔離，隔離廣播域，減少廣播風暴

所影響的范圍。對于二層的交換機而言，無法隔離廣播域，使用虛擬局域網技

術無疑是最好的辦法。VLAN技術分為三個接口access、trunk、hybri。三個接

口分別對應三中模式。接入模式、中繼模式、混合模式。它們處理數據的方式

各不相同，因此應用場景也不相同。access接口主要應用在接入交換機連接PC

機的場景。trunk接口主要應用于交換機與交換機相連的場景。Hybrid端口應

用比較靈活，當一臺交換機需要多個vlan解標通過時可使用hybrid端口。具

6

湖南商務職業技術學院畢業設計

體模式介紹如下：

接入模式下，交換機對數據幀只有兩種處理方式：進入該交換機端口時，

打上標簽/出去該交換機端口時接除標簽。

中繼模式下，交換機對數據幀有三種處理方式：未帶標簽進入則打上PVID

標簽/攜帶PVID標簽出去時解標通過/放行允許通過帶vlan標簽的數據。

混合模式下，交換機對數據幀有三種批處理方式：帶標簽進入則打上PVID

標簽/解除多個標簽通過/攜帶多個標簽通過。

如果數據幀在三種模式不解除標簽，不攜帶Tag標簽通過的時候，數據幀

就會被丟棄，而且標簽在交換機內一定會存在。

4.2DHCPIP動態地址分配

DHCP為IP地址動態分配協議，在現網環境中，通過靜態配置IP地址太過

于繁瑣。而且對于并非網絡專業的人，配置IP地址也并非易事。通過DHCP協

議就可以很好的解決上述問題。當網絡接入時，便可以直接上網，不需要進行

其他配置。對于用戶而言非常友好。

動態地址分配允許在二層網絡和三層網絡中存在，但其收發的報文類型有

所不同，在二層網絡環境下只需要用戶開啟DHCP動態獲取地址，電腦主機會發

送一個DHCPdiscover廣播報文，當服務器接收到該報文時，回應一個DHCP

offer報文，該報文中攜帶提供給PC機使用的IP地址。PC機收到該報文后回

應服務器DHCPrequest報文以請求使用該地址。服務器收到之后回應PC機

DHCPrepay報文確認。在三層環境下，由于三層設備有隔離廣播域的功能，導

致PC機發送的請求報文無法傳遞至服務器。服務器無法給PC機分配IP地址。

此時需要在PC機的網關設備上開啟DHCP代理功能，則可正常獲取到IP地址。

4.3MSTP多域生成樹部署

在二層環境中，由于二層設備均未有IP地址，導致易產生環路問題，通過

STP協議，可以阻塞掉一些沒必要打開的端口。當正常通信的端口出現故障時，

阻塞端口便正常開啟以保證業務的不中斷。但是這樣阻塞的端口在正常情況下，

無法轉發數據，便造成了資源浪費。而且STP協議的端口切換時間比較長，對

于一些重要業務中斷幾秒鐘損失巨大。因此使用MSTP可以很好的解決上述問題。

多生成樹其實就是基于各種VLAN，創建多個實例。讓不同業務的阻塞端口不一

樣，這樣便不會造成資源的浪費。而且MSTP的收斂速度相對于STP來說也是快

了很多的?？梢约皶r切換鏈路，以保證業務的不中斷。

7

湖南商務職業技術學院畢業設計

4.4堆疊技術

在內網環境中，二層網絡使用MSTP作為備份。而三層網絡中，是不能配置

相同的IP地址，不能將兩臺設備同時作為一個網段的網關設備。因此在對設備

性能要求較高時，可采取堆疊技術將兩臺設備邏輯成一臺設備。但堆疊技術只

能支持同一廠商的設備進行堆疊。堆疊成功之后，設備擁有兩臺設備的性能。

在客戶的預算不足，又需要高性能設備時也可采取堆疊設備。當一臺設備出現

故障時，業務仍不會中斷。

4.5VRRP虛擬網關冗余協議

上述的堆疊技術實現了對設備進行備份，當出現多個網段時，若上行鏈路

出現故障，則該網段將無法訪問互聯網。通過VRRP技術將網關配置為一個虛擬

的網關地址，在兩個核心集群中實現可互相切換，以實現對于網關的備份。使

上行鏈路保持不中斷。默認情況下，一個集群為一個網段的主網關設備為另一

個網段的備份網關設備。

4.6OSPF路由協議

在配置一個網絡時，數據包的轉發需要通過尋址轉發。通過路由表查找路

由來轉發數據包。路由可以來源于靜態路由以及動態路由協議學習。在復雜的

網絡環境下，通過手工來配置靜態路由往往會出現錯誤，而通過動態的方式學

習路由免去了繁雜的配置也避免了許多錯誤。因此動態路由在搭建一個網絡的

時候往往是不可或缺的。

4.7ACL匹配工具

ACL作為一個匹配數據包的工具，同時ACL也有基礎ACL與高級ACL的區別。

通常高級ACL是匹配數據包中的五元組（sourceIP、SourcePort、Destination

IP、DestinationPort、Protocols），而基礎的ACL只能匹配數據包中的源IP

地址。ACL常常會于其他協議聯動，以實現對數據包的過濾以及改變其轉發路徑。

與NAT聯動時還可以匹配允許進行NAT轉換的地址。但ACL在網絡中不能單獨

使用，因為它不具有任何執行的動作，因此只有聯合其他協議才能正常工作。

4.8NAT地址轉換

在正常情況下，我們內網中所使用的地址均為私網IP地址，因為在現如今

8

湖南商務職業技術學院畢業設計

的網絡中IPV6還未普及，而IPV4地址又是有限的，所以在Internet中IPV4

地址的租用是非常昂貴的，如果要給公司每一個設備都分配一個公網地址，是

需要一筆很高的費用的。所以一般情況下，一個公司同使用一個或兩個公網IP

地址。在需要訪問外網是，將私網地址轉換為公網地址，這里就需要應用到NAT

技術。同時NAT技術也可以隔離外網。一般情況下外網是無法主動訪問內網的，

所以又起到了安全的作用。當內網存在服務器時，如果需要提供給外網服務，

那靜態NAT技術也可以將服務器映射到外網。

4.9QOS數據流量控制管理

對于一個網絡而言，網絡的流量管控也是必不可少的，合理的帶寬分配可

以讓網絡的運行更加流暢。設置流量的優先級以及網絡擁塞時，對流量的處理

方法。對于實時性比較強的流量（如視頻通話等）我們可以采取優先轉發，通

常QoS提供以下三種服務模型：Best-Effortservice（盡力而為服務模型），

Integratedservice（綜合服務模型，簡稱Int-Serv），Differentiatedservice

（區分服務模型，簡稱Diff-Serv）。

4.10WI-FI接入部署

網絡中部署無線WI-FI可以減少設備使用有線介質的數量，同時也能為手

機終端和無線終端提供網絡接入，無線通過接入點釋放無線信號全部由無線控

制器進行管理，包括配置下發，流量轉發，無線信道功率管理等，無線用戶通

過AC獲取地址資源，接入網絡需輸入WPA-2PSK密鑰，聯入公網需要通過WEB

認證。

5.網絡配置

5.1VLAN

#Vlan配置以vlan10為例：

VLAN10

#創建VLAN10

Namecaiwu

#將VLAN命名為財務

interfaceGigabitEthernet0/0/1

#進入接入下行接口

9

湖南商務職業技術學院畢業設計

portlink-typeaccess

#將連接PC機的接口配置為access

portdefaultvlan10

#將接口加入到VLAN10

interfaceGigabitEthernet0/0/4

#進入上行接口

portlink-typetrunk

#將上行接口配置為TRUNK口

porttrunkallow-passvlan1020

#將上行接口放行相應VLAN

5.2DHCP

dhcpenable

#開啟DHCP服務

ippoolcaiwu

#創建一個名字為財務的地址池

networkmask24

#通告財務部地址資源池范圍

gateway-list54

#通告財務部地址網關

Dns-server

#通告業務地址解析

5.3MSTP

#MSTP配置以核心交換機1為例：

stpmodemstp

#將STP的模式改為MSTP

stpregion-configuration

#進入STP域配置

instance1vlan1020

#將vlan10和vlan20映射到實例1

instance2vlan3040

#將vlan30和vlan40映射到實例2

10

湖南商務職業技術學院畢業設計

instance2vlan3040

#將STP域配置激活

stpinstance1rootprimary

#將該設備配置為實例1的根橋

stpinstance2rootsecondary

#將該設備配置為實例2的備份根橋

5.4VRRP

#VRRP配置以vlan10為例：

interfaceVlanif10

#進入vlan10虛擬接口

ipaddress5224

#配置接口物理地址

vrrpvrid10virtual-ip54

#配置虛擬網關地址

vrrpvrid10priority120

#配置成員優先級為120

vrrpvrid10authentication-modesimple123456

#配置VRRP驗證密鑰為123456

5.5堆疊技術

#以匯聚交換機1為例

Interfacestack-port0/1

#創建邏輯堆疊口1

portinterfacegigabitethernet0/0/27enable

#將物理端口加入到堆疊口中

stackslot0priority200

#配置堆疊優先級為200

5.6OSPF

#OSPF配置以網段為例

ospf1

#創建OSPF進程號為1

11

湖南商務職業技術學院畢業設計

area0

#配置區域號為區域0

network55

#宣告業務網段

network

#宣告上行網段

default-route-advertise

#在出口設備上下發默認路由

iproute-static0

#在出口設備上配置默認路由指向外網

area1

#進入區域1

Stub

#將區域1改為stub區域

silent-interfaceg0/0/1

#將該接口配置為靜默接口

5.7ACL

aclnumber2000

#創建一個ACL2000

rulepermitsource55

#定義一個節點匹配來自/24網段的數據包

5.8NAT

interfaceGigabitEthernet0/0/20

#進入公網接口

natoutbound2000

#在接口上使用easyip讓內網可以訪問外網

acl3000

#創建一個高級的ACL

rule0denyipsource55destination1

55

#配置節點拒絕分部訪問總部技術部

12

湖南商務職業技術學院畢業設計

5.9QOS

interfaceGigabitEthernet0/0/1

#進入接口

qoslrinboundcir10000cbs1250000

#對端口進行限速

5.10WI-FI

vlan70

#創建vlan

dhcpenable

#開啟dhcp服務

ippoolvlan_70

networkmask24

#創建地址池

Interfacevlan70

Ipaddress5424

Dhcpselectgloable

#配置ip地址，網關為vlan70并開啟DHCP

InterfaceG0/0/1

Portlink-typetrunk

Porttrunkallow-passvlanall

Porttrunkpvidvlan10

#將連接AP的接口配置為trunk口，放行所有vlan

Wlanacsourceinterfacevlanif70

Ap-auth-modeno-auth

#在wlan視圖下，設置接入認證模式為不認證

wmm-profilenamewmm

quit

Radio-profilenameradio_1

Wmm-profilenamewmm

Radio-type80211bgn

#在wlan視圖下，創建wmm模版，創建radio模版，并在radio模版中調用

13

湖南商務職業技術學院畢業設計

wmm模版

Ap0radio0

Radio-profilenameradio_1

#在wlan視圖下，將連接的ap的radio綁定模版

Traffic-profilenametraffic

quit

Security-profilenamesecurity

#在wlan視圖下，創建traffic和security模版

Service-setnameservice

Ssidhuang

Service-vlan20

Wlan-ess0

Traffic-profilenametraffic

Security-profilenamesecurity

#在wlan視圖下，創建service，并且在service中定義無線名稱和所屬

vlan等信息，并且綁定traffic和

security模版。

Ap0radio0

Service-setnameservice

#在wlan視圖下，將ap的radio綁定service。

Commitall

#在wlan視圖下，將創建的規則下發

6.項目測試

通過技術部的PC去ping銷售部、人事部、財務部和市場部，以連測試網

絡的連通性，結果如圖6、圖7、圖8、圖9所示，都是連通的，說明方案是可

行的。