湖南商務職業技術學院畢業設計

目錄

1.項目背景..........................................................1

2.方案相關技術......................................................1

2.1MSTP..........................................................1

2.2BGP...........................................................1

2.3鏈路聚合......................................................2

2.4IPsec.........................................................2

2.5VSU...........................................................2

2.6VRRP技術.....................................................2

2.7NAT...........................................................3

2.8DHCP..........................................................3

2.9靜態路由......................................................3

2.10ACL..........................................................4

3.方案規劃及設計....................................................4

3.1項目需求......................................................4

3.2項目拓撲......................................................4

3.3IP地址及VLAN規劃............................................5

3.4設備選型......................................................7

4.方案的具體實施....................................................8

4.1VSU堆疊配置..................................................8

4.2IP地址及VLAN配置............................................9

4.3配置鏈路聚合..................................................9

4.4配置MSTP....................................................10

4.5VRRP配置....................................................10

4.6DHCP配置....................................................10

4.7BGP配置.....................................................11

4.8靜態路由配置.................................................11

II

湖南商務職業技術學院畢業設計

4.9NAT配置.....................................................12

4.10IPsec配置..................................................12

5.方案測試.........................................................13

5.1VSU測試.....................................................13

5.2查看S1和S2生成樹狀態.......................................13

5.3查看DHCP地址獲取情況........................................14

5.4查看IPsec協商情況...........................................15

5.5測試網絡的連通性.............................................16

6.設計小結.........................................................16

參考資料...........................................................17

III

湖南商務職業技術學院畢業設計

湖南時亦公司網絡規劃與設計

1.項目背景

隨著信息技術的飛快發展，信息化成為的時代的主流。在時代的引領下，

網絡工程技術具有很強的發展潛力，它為極大的提高了人們的工作水平和工作

效率。在現代化網絡技術建設進程不斷推進的過程中，充分的體現出它的優

勢。一個良好的公司能夠使用網絡技術與工作緊密結合，就能更好的發展和進

步。

湖南時亦公司成立于2007年，是一家專注于軟件開發、信息集成、智能運

維與網絡運營的高科技企業。現應公司網絡不滿足公司業務需求，特對公司網

絡進行整改調整。其中，對公司總部網絡進行設備、技術更新，實現網絡在宕

機時的平滑切換；新建分部網絡，實現總部與分部的正常通信。同時，部署網

絡安全方案，改進之前網絡管理困難的問題，實現總部與分部數據傳輸加密等

網絡安全問題；構建高效且安全的網絡出口，實現各項業務的高效進行。

2.方案相關技術

2.1MSTP

MSTP（MultIPleSpanningTreeprotocol，多生成樹協議）把一個交換網

絡劃分成多個域，每個域內形成多棵生成樹，生成樹之間彼此獨立。每棵生成

樹叫做一個多生成樹實例mstp（MultIPleSpanningTreeInstance），每個域

叫做一個MST域（MSTRegion:MultIPleSpanningTreeRegion）。

計算過程:確定根橋，確定端口角色，確定根端口，確定指定端口和候補端

口。

2.2BGP

BGP是一種不同自治系統的路由設備之間進行通信的外部網關協議，其主

要功能是在不同自治系統之間交換網絡可達信息，并通過協議自身機制來消除

路由環路。BGP使用TCP協議來作為傳輸協議，通過TCP的可靠傳輸機制保證

BGP的傳輸可靠性。BGPSpeaker之間的建立模式有兩種:IBGP和EBGP。IBGP是

指在相同的AS內建立的BGP連接，EBGP是指在不同AS內建立的BGP連接。二

者的作用簡而言之就是:EBGP是完成不同AS之間的路由信息交換，IBGP就是完

1

湖南商務職業技術學院畢業設計

成同AS內的信息交換。

2.3鏈路聚合

鏈路聚合（LinkAggregation），是指將多個物理端口捆綁在一起，成為一

個邏輯端口，以實現出/入流量在各成員端口中的負荷分擔，交換機根據用戶

配置的端口負荷分擔策略決定報文從哪一個成員端口發送到對端的交換機。當

交換機檢測到其中一個成員端口的鏈路發生故障時，就停止在此端口上發送報

文，并根據負荷分擔策略在剩下鏈路中重新計算報文發送的端口，故障端口恢

復后再次重新計算報文發送端口。鏈路聚合在增加鏈路帶寬、實現鏈路傳輸彈

性和冗余等方面是一項很重要的技術。

2.4IPsec

IPsec是一種IETF設計的端到端的確保IP層通信的安全機制。IPsec協議

可以為IP網絡通信提供透明的安全服務，保護TCP/IP通信免遭竊聽和篡改，

保證數據的完整性，有效的抵御網絡攻擊。

IPsec使用AH協議（IP協議號51）和ESP（IP協議號50）對IP報文進行

保護。AH協議可以同時提供數據完整性確認、數據來源確認等安全特性，其通

常使用HMAC-MD5和HMAC-SHA1實現該特性；ESP協議通常使用DES、3DSE、AES

等加密算法實現數據加密，使用HMAC-MD5或者HMAC-SHA1來實現數據完整性。

2.5VSU

VSU是一種將多臺設備虛擬成一臺設備來管理和使用的技術，能夠顯著的

減低管理復雜程度，減低拓撲邏輯復雜度，和MSTP+VRRP網絡相比，VSU通常

和周邊設備使用菊花口進行連接，能夠有效的利用冗余鏈路的同時提升系統的

轉發能力。

2.6VRRP技術

VRRP是一種容錯協議，它通過把幾臺路由器設備聯合起來，組成一臺虛擬

的路由器設備，并通過一定的機制來保證當主機的下一條設備出現故障時，可

以及時的將業務切換到其他設備，從而保證通信的連續性和可靠性。

特點:IP地址備份，VRRP的主要功能。可以在網絡中提供多個虛擬路由算

計的負載均衡及在單一網絡中支持多重邏輯IP子網絡。最優路徑指示。VRRP

組內多個路由器的路由中保證Master收斂到現成可用最優的路由器。最小化不

必要的服務中斷。在主路由正常工作期間，不觸發其他低優先級路由，選擇主

2

湖南商務職業技術學院畢業設計

路由服務。廣泛的安全性。它可以在多種不同的交互環境中采用不同的安全策

略，只需要極少的配置和開銷就可以進行嚴格的驗證。在可擴展網絡有效的工

作。

2.7NAT

NAT:網絡地址轉換。正常數據轉發時，IP頭部的源和目的地址及端口號是

不會被更改的，而使用了NAT技術后，它將更改報文頭部內容，實現隱藏內外

部真實地址、多臺主機共享少量IP訪問外部網絡、解決IP地址空間重疊、服

務器負載均衡等功能。

PAT:端口地址轉換，又叫網絡地址轉換或NAT的端口復用（用IP地址+端

口號來對應和區別各個數據流進行網絡地址轉換，以到達內部主機通過一個或

少量合法IP地址來訪問外部網絡）

2.8DHCP

DHCP:動態地址配置協議，通常被應用在大型局域網環境中，主要作用就是

集中管理，分配IP地址，使網絡環境的主機動態獲取地址、網關地址，DNS服

務器地址等信息，并能夠提升地址的使用率。

中繼代理:DHCP中繼，就是在DHCP服務器和客戶端之間轉發DHCP數據

包。當DHCP客戶端與服務器不處于同一網段時，就必須要有DHCP中繼來轉發

DHCP請求和應答信息。

DHCP工作原理:1.DHCP客戶端以廣播的形式發送DHCP發現報文，2.DHCP

服務器收到客戶端的發現報文后，向客戶端發送officer報文，3.客戶端收到

officer后，再以廣播的方式發送一個request報文，4.DHCP服務器收到客戶

端的request報文后，先判斷是否與自己處于同一網段，不同則清除分配記

錄，相同則向客戶端發送ACK報文。5.當客戶端收到ACK報文后，檢查分配的

地址是否能夠使用，如果可以，則根據租期自動啟動延續過程；否則，向服務

器發送Decline報文，通知服務器禁用這個地址，并重新分配。

2.9靜態路由

靜態路由是指用戶或者管理員手工配置中的路由信息。當網絡的拓撲結構

或鏈路狀態方式改變時，網絡管理員需要手工配置路由。靜態路由信息在缺省

的情況下，不會傳遞給其他路由器。

優點:靜態路由的網絡安全保密性搞。動態路由需要頻繁的交換各自的路由

表，而對路由表的分析可以揭示網絡的拓撲結構和地址信息。并且靜態路由不

3

湖南商務職業技術學院畢業設計

占用網絡帶寬，從而能夠提升網絡的利用率。

缺點:大型和復雜的網絡環境通常不適合使用靜態路由。一方面，網絡管理

員很難全面的了解網絡的拓撲結構，另一方面，當拓撲發生改變時，靜態路由

需要大范圍的調整。

2.10ACL

ACL的全稱為訪問控制列表，俗稱防火墻，又叫包過濾。ACL通過定義一些

規則，對網絡接口上的數據報文進行控制，根據匹配條件，決定允許（permit）

或拒絕（deny）通過。

常用的ACL包括標準訪問控制列表和擴展訪問控制列表。

標準訪問控制列表:編號為1~99，1300~1999，可以阻止來自某一網絡的所

有特性流量，或允許所有流量。

擴展訪問控制列表:編號為100~199，2000~2699，可以提供更廣泛的控制

范圍，例如拒絕或者允許某個協議的流量。

3.方案規劃及設計

3.1項目需求

時亦公司員工共計75人，其中總部40人，分部35人。總部和分部的各部

門的網絡互通，網絡建設如下:

（1）網絡資源充足，時亦公司員工75人，每位用戶均可以調用網絡資源，

實現網絡互通。

（2）網絡運行流暢:在保證每位員工能夠互聯網絡后，增強網絡體驗感，保

證網絡的正常運行。

（3）網絡冗余備份:網絡在穩定運行的前提下，離不開冗余備份。假設發生

網絡故障，在等待故障排除恢復時，給用戶造成不好體驗，網絡冗余備份是必須

考慮的因素。

（4）網絡安全防護:在解決網絡傳輸問題后，迎面而來的是網絡安全問題，

保證數據的安全是衡量網絡質量的一大標準，因此，必須要保證網絡數據的安全。

（5）網絡規劃管理:一個好的管理規劃設計，能夠使后期的維護帶來很大便

捷，在發生故障時，能夠讓維護人員快速發現并解決網絡故障。

3.2項目拓撲

湖南時亦公司網絡拓撲如圖1所示:

4

湖南商務職業技術學院畢業設計

圖1公司網絡拓撲圖

3.3IP地址及VLAN規劃

公司IP地址規劃如表1所示:

表1IP地址及VLAN規劃

設備接口或VLAN二層或三層規劃VLAN名稱

S1VLAN10192.168.10.1/24Yanfa-FB

VLAN20192.168.20.1/24Caiwu-FB

VLAN30192.168.30.1/24Renshi-FB

VLAN40192.168.40.1/24Xiaoshou-FB

VLAN100192.168.100.1/24Manager

Gi0/120.1.1.2/30

Lookback01.1.1.1/32

S2VLAN10192.168.10.2/24Yanfa-FB

VLAN20192.168.20.2/24Caiwu-FB

VLAN30192.168.30.2/24Renshi-FB

VLAN40192.168.40.2/24Xiaoshou-FB

VLAN100192.168.100.2/24Manager

Gi0/120.1.1.6/30

Lookback01.1.1.2/32

S3VLAN10Gi0/1-5Yanfa-FB

5

湖南商務職業技術學院畢業設計

VLAN20Gi0/6-10Caiwu-FB

VLAN30Gi0/11-15Renshi-FB

VLAN40Gi0/16-20Xiaoshou-FB

VLAN00manager

S4VLAN10Gi0/1-5Yanfa-FB

VLAN20Gi0/6-10Caiwu-FB

VLAN30Gi0/11-15Renshi-FB

VLAN40Gi0/16-20Xiaoshou-FB

VLAN100manager

VSUGi1/0/110.1.1.1/30

Gi2/0/110.1.1.5/30

VLAN10172.16.10.1/24Yanfa-ZB

VLAN20172.16.20.1/24Caiwu-ZB

VLAN30172.16.30.1/24Renshi-ZB

VLAN40172.16.40.1/24Xiaoshou-ZB

VLAN100172.16.100.1/24manager

Lookback02.2.2.2/32

S5VLAN10Gi0/1-5Yanfa-ZB

VLAN20Gi0/6-10Caiwu-ZB

VLAN30Gi0/11-15Renshi-ZB

VLAN40Gi0/16-20Xiaoshou-ZB

VLAN100manager

R1Gi0/010.1.1.2/30

Gi0/110.1.1.6/30

S2/011.1.1.1/30

Lookback03.3.3.3/32

R2S2/011.1.1.2/30

S3/012.1.1.2/30

Lookback4.4.4.4/32

R3S3/012.1.1.1/30

Gi0/020.1.1.1/30

Gi0/120.1.1.5/30

Lookback05.5.5.5/30

6

湖南商務職業技術學院畢業設計

3.4設備選型

對于時亦公司的網絡建設，合理的設備選型，影響著整個公司的網絡速度與

設備的使用壽命，網絡設備選型應當符合實際的需求，要遵循高性價比，高利用

率等原則。同時需要考慮設備的兼容性，而選擇同一廠商的設備，能夠在最大程

度保證兼容性。因此，本法案同一選用銳捷的路由器，交換機等設備。設備選型

如表2所示。

表2設備選型

設備廠商設備型號設備名稱設備數量

RuijieRG-RSR20-X-28路由器3

RuijieRG-S5760C核心交換機2

RuijieRG-S5310接入交換機11

設備具體參數如表3所示。

表3設備參數

產品名稱RG-RSR20-X-28

內存容量1G

包轉發率3Mpps

最大功耗150W

特性支持靜態路由、RIPv1/v2、OSPFv2、BGP、IS-IS、策略路

由、路由策略等；支持L2TP、IPSec、GRE、GREoverIPsec

VPN；支持RADIUS和TACACS+用戶登錄認證

7

湖南商務職業技術學院畢業設計

產品名稱RG-S5760C

交換容量880Gbps

包轉發率600Mpps

端口數量24口

特性支持RADIUS和TACACS+；支持生成樹協議，路由協議，

DHCP；支持虛擬化技術VSU，BFD檢測

產品名稱RG-S5310

交換容量672Gbps

包轉發率156Mpps

端口數量24口

特性支持RADIUS和TACACS+；支持生成樹協議，路由協議，

DHCP；支持虛擬化技術VSU，BFD檢測

4.方案的具體實施

4.1VSU堆疊配置

在S6和S7上配置VSU和BFD檢測，其中S6為主，S7為備；規劃S6和S7

間的Gi0/24作為雙主機檢測鏈路；主設備:domainid1，switchid1，

priority150；備設備:domainid1，switchid2，priority120。S6的配

置如下表，S7的配置與此類似，便不在贅述。

S6-S7堆疊配置:

S6(config)#switchvirtualdomain1創建交換機虛擬域1

S6(config-vs-domain)#switch1配置交換機id為1

S6(config-vs-domain)#switch1priority配置交換機1的優先級為

150150，VSU建立成功后成為管

理主機

S6(config)#vsl-port進入vsl管理配置

8

湖南商務職業技術學院畢業設計

S6(config-vsl-ap-1)#port-memberint將ten0/27接口加入vsl管理

ten0/27組

S6(config-vsl-ap-1)#port-memberint將ten0/28接口加入vsl管理

ten0/28組

S6#switchconvertmodevirtual轉換為VSU模式

S6#reload重新啟動設備，轉為VSU模式

4.2IP地址及VLAN配置

在整個網絡建設的設備中都需要配置IP地址或者VLAN，由于內容過于繁多

雷同，此處以S1的VLAN10為列子，其余的，概不累述。如下表:

S1IP地址配置:

S1(config)#vlan10創建VLAN10

S1(config-vlan)#nameYanfa-FBVLAN10的名字為Yanfa-FB

S1(config)#interfacevlan10進入VLAN虛擬接口配置

S1(config-if)#ipaddress192.168.10.1配置IP地址，掩碼為24位

255.255.255.0

4.3配置鏈路聚合

在S1和S2上配置鏈路聚合，聚合端口為1，此處以S1的配置為例如下表:

鏈路聚合配置:

S1(config)#interfacerangegi0/23-24同時進入0/23、24接口管

理

S1(config-if-range)#port-group1mode設置ag1口，模式為active

active

S1(config)#interfaceaggregateport1進入ag1接口管理

S1(config-if-aggregateport)#switchport將ag1接口配置為trunk模

modetrunk式

4.4配置MSTP

在分部S1，S2，S3，S4配置mstp防止二層環路，S1為主根優先級為4096，

S2為從根優先級為8192。這里以S1為例，如下表:

MSTP配置:

S1(config)#spanning-treeenable開啟生成樹

9

湖南商務職業技術學院畢業設計

S1(config)#spanning-treemodemstp配置生成樹模式為MSTP

S1(config)#spanning-treemstconfiguration進入mst管理

S1(config-mst)#instance1vlan10,20,30,40配置實例1

S1(config)#spanning-treemst1priority配置優先級為4096

4096

4.5VRRP配置

VRRP參數如表4所示:

表4VRRP參數表

VLANVridVRRP虛擬IP

VLAN1010192.168.10.254

VLAN2020192.168.20.254

VLAN3030192.168.30.254

VLAN4040192.168.40.254

S1的VRRP組優先級為150，S2的VRRP組優先級為120，此處以S1的VLAN10

為例，如下表:

VLAN配置:

S1(config)#interfacevlan10進入VLAN10接口

S1(config-if)#vrrp10ip192.168.10.254配置虛擬地址

S1(config-if)#vrrp10priority150配置優先級為150

4.6DHCP配置

在S1上配置DHCP，是各用戶能夠獲取到IP地址，從而能夠正常互聯網絡。

這里以vlan10網段為例，如下表:

DHCP配置:

S1(config)#servicedhcp啟用DHCP

S1(config)#ipdhcppoolvlan10創建名為VLAN10的地址池

S1(dhcp-config)#networking分配地址網段為192.168.10.0

192.168.10.0255.255.255.0

S1(dhcp-config)#dns-server分配給客戶端的DNS地址

8.8.8.8

S1(dhcp-config)#default-router分配給客戶端的網關地址

192.168.10.254

10

湖南商務職業技術學院畢業設計

4.7BGP配置

在R1，R2，R3上進行bgp配置，as為100.使用lookback建立peer。這里

以R1和R2的鄰居建立為例，R3和R2的建立類似，這里不再累述。R1和R2BGP

建立如下表:

BGP配置:

R1(config)#iproute4.4.4.4255.255.255.255配置靜態路由，使R1和

11.1.1.2R2的lookback0地址可

達

R1(config)#routerbgp100啟用BGP進程，AS為100

R1(config-router)#neighbor4.4.4.4remote-as指定BGP鄰居地址和鄰

100居AS

R1(config-router)#neighbor4.4.4.4update-配置BGP的更新源地址

sourcelookback0

R1(config-router)#network10.1.1.0mask將10.1.1.0網段通告到

255.255.255.0BGP進程

R2(config)#IProute3.3.3.3255.255.255.255配置靜態路由，使R2和

11.1.1.1R1的lookback0地址可

達

R2(config)#routerbgp100啟用BGP進程，AS為100

R2(config-router)#neighbor3.3.3.3remote-as指定BGP鄰居地址和鄰

100居AS

R1(config-router)#neighbor3.3.3.3update-配置BGP的更新源地址

sourcelookback0

4.8靜態路由配置

在S1和S2上配置靜態路由，使其內網能夠訪問外網。

靜態路由配置:

S1(config)#iproute0.0.0.00.0.0.0配置靜默路由

20.1.1.1

S2(config)#iproute0.0.0.00.0.0.0配置靜默路由

20.1.1.5

4.9NAT配置

11

湖南商務職業技術學院畢業設計

在R1上進行NAT配置，使總部的網絡能夠進行內外網的地址轉換。

NAT配置:

R1(config)#ipaccess-listextended100創建擴展ACL100

R1(config-ext-nacl)#denyip172.16.0.0拒絕172網段流量訪問192

0.0.255.255192.168.0.00.0.255.255網段流量

R1(config-ext-nacl)#permitipanyany允許其他流量通過

R1(config)#ipnatpoolnat_pool11.1.1.1創建地址轉換池

11.1.1.2netmask255.255.255.252

R1(config)#ipnatoutsidesourcelist100內網的其他流量通過NAT訪

poolnat_pool問外網

R1(config-GigabitEthernet0/0)#ipnat配置NAT的內網口

inside

R1(config-GigabitEthernet0/1)#ipnat配置NAT的內網口

inside

R1(config-Serial2/0)#ipnatoutside配置NAT的外網口

4.10IPsec配置

為了保證網絡安全，使用IPsec對總部與分部的數據進行加密ACL（編號為

110），R1與R3的配置如下。

IPSEC配置:

R1(config)#ipaccess-listextended110創建ACL110

R1(config-ext-nacl)#permitip172.16.0.0允許該網段通過

0.0.255.255192.168.0.00.0.255.255

R1(config-ext-nacl)#denyipanyany拒絕其他網絡

R1(config)#crytoisakmpkeepalive5配置IPsec探測功能

periodic

R1(config)#cryptoisakmppolicy1創建新的isamkp策略

R1(config-isakmp)#authenticationpre-指定預共享秘密

share

R1(config-isakmp)#encryption3des指定3des進行加密

R1(config)#cryptoisakmpkey0ruijie指定鄰居，預共享密鑰為

address12.1.1.1ruijie

12

湖南商務職業技術學院畢業設計

R1(config)#cryptoipsectransform-set指定IPsec使用esp封裝des

mysetesp-desesp-md5-hmac加密，MD5檢驗

R1(config)#cryptomapmymap5IPsec-創建mymap的加密圖

isakmp

R1(config-crypto-map)#setpeer12.1.1.1指定鄰居地址

R1(config-crypto-map)#settransform-set指定加密轉換集“myset”

myset

R1(config-crypto-map)#matchaddress110指定感興趣流ACL110

5.方案測試

5.1VSU測試

使用showswitchvirual命令查看VSU的建立情況，此時已成功建立。如

圖2所示。

圖2VSU測試圖

5.2查看S1和S2生成樹狀態

使用showspanning-treesummary命令查看，MSTP成功配置,如圖3所示。