湖南商務(wù)職業(yè)技術(shù)學(xué)院畢業(yè)設(shè)計(jì)

目錄

1項(xiàng)目概述....................................................................................................................1

1.1企業(yè)介紹..........................................................................................................1

1.2成員組成..........................................................................................................1

1.3項(xiàng)目需求..........................................................................................................1

2網(wǎng)絡(luò)設(shè)計(jì)....................................................................................................................2

2.1網(wǎng)絡(luò)拓?fù)湓O(shè)計(jì)..................................................................................................2

2.2IP及VLAN資源設(shè)計(jì)....................................................................................3

3設(shè)備選型....................................................................................................................3

3.1網(wǎng)絡(luò)設(shè)備選型..................................................................................................3

3.1.1核心層交換機(jī)選型...............................................................................3

3.1.2匯聚層交換機(jī)選型...............................................................................4

3.1.3接入交換機(jī)選型...................................................................................4

3.1.4防火墻...................................................................................................5

4技術(shù)選用....................................................................................................................6

4.1DHCP動(dòng)態(tài)主機(jī)配置技術(shù).............................................................................6

4.2VLAN虛擬局域網(wǎng)技術(shù)................................................................................6

4.3ACL包過(guò)濾防火墻技術(shù)................................................................................6

4.4NAT技術(shù)........................................................................................................6

5網(wǎng)絡(luò)配置實(shí)現(xiàn)............................................................................................................7

5.1核心交換機(jī)配置..............................................................................................7

5.1.1VLAN配置...........................................................................................7

5.1.2DHCP配置...........................................................................................8

5.1.3接口以及路由配置...............................................................................8

5.2匯聚交換機(jī)配置..............................................................................................9

5.2.1VLAN配置...........................................................................................9

5.2.2PortSecurity以及接口配置.................................................................9

湖南商務(wù)職業(yè)技術(shù)學(xué)院畢業(yè)設(shè)計(jì)

5.3接入交換機(jī)配置：....................................................................................10

5.4防火墻配置....................................................................................................11

5.4.1NAT配置............................................................................................11

5.4.2ACL配置............................................................................................11

6網(wǎng)絡(luò)測(cè)試..................................................................................................................11

7設(shè)計(jì)小結(jié)..................................................................................................................12

參考資料.........................................................................................................................13

湖南商務(wù)職業(yè)技術(shù)學(xué)院畢業(yè)設(shè)計(jì)

友鄰公司網(wǎng)絡(luò)規(guī)劃設(shè)計(jì)

1項(xiàng)目概述

1.1企業(yè)介紹

友鄰公司是一家為線下實(shí)體店提供互動(dòng)營(yíng)銷工具和應(yīng)用服務(wù)平臺(tái)的企業(yè)。

本公司擁有強(qiáng)大的技術(shù)開(kāi)發(fā)團(tuán)隊(duì)，能夠?yàn)槠髽I(yè)和商家提供APP應(yīng)用服務(wù)、微信

公眾號(hào)開(kāi)發(fā)、軟件開(kāi)發(fā)、網(wǎng)站設(shè)計(jì)制作、信息技術(shù)咨詢等服務(wù)、目前，該公司

已經(jīng)獨(dú)立開(kāi)發(fā)了三個(gè)平臺(tái)、通用獎(jiǎng)兌換平臺(tái)、便捷的服務(wù)平臺(tái)、互動(dòng)的營(yíng)銷平

臺(tái)，旨在吸引實(shí)體商店快速走紅和增加收入，以及與消費(fèi)者的橋梁從而提高了

商業(yè)品牌的快速增值。

1.2成員組成

友鄰公司成員組成如表1所示。

表1友鄰公司成員組成表

部門人數(shù)

行政部30人

項(xiàng)目部80人

財(cái)務(wù)部30人

人事部50人

研發(fā)部100人

1.3項(xiàng)目需求

隨著公司規(guī)模不斷擴(kuò)展，人數(shù)不斷增加，該項(xiàng)目需要滿足公司行政部、項(xiàng)

目部、財(cái)務(wù)部、人事部、研發(fā)部等五個(gè)部門能相互通信，為公司內(nèi)部員工提供

方便、快捷的信息溝通渠道；具有良好的性能，能支持大容量和實(shí)時(shí)性的各類

應(yīng)用；還要注重網(wǎng)絡(luò)的安全性，選擇選擇設(shè)備時(shí)還應(yīng)注重其成本，公司規(guī)模較

大所以交換機(jī)需要可以通過(guò)堆疊方式進(jìn)行靈活的升級(jí)擴(kuò)容；對(duì)外網(wǎng)進(jìn)行規(guī)劃時(shí)，

要做到結(jié)構(gòu)清晰，安全可靠性高，做好足夠的冗余；對(duì)IP地址和VLAN進(jìn)行劃

分，實(shí)現(xiàn)各部門的互訪以及限制需求。在設(shè)計(jì)中應(yīng)滿足以下原則：（1）實(shí)用性：

有合理的拓?fù)浣Y(jié)構(gòu)，線路負(fù)載相對(duì)均衡，具有較好的連通性。（2）前瞻性：可

長(zhǎng)時(shí)間為企業(yè)提供網(wǎng)絡(luò)服務(wù)，選擇采用先進(jìn)、成熟的千兆帶寬光纜傳輸系統(tǒng)。

（3）安全性：對(duì)設(shè)備進(jìn)行周期性維護(hù)和增設(shè)防火墻。一個(gè)合理科學(xué)的設(shè)備選型

1

湖南商務(wù)職業(yè)技術(shù)學(xué)院畢業(yè)設(shè)計(jì)

方案，需要兼顧和平衡多種相關(guān)因素，選擇網(wǎng)絡(luò)互聯(lián)設(shè)備時(shí)要綜合考慮以下因

素：局域網(wǎng)技術(shù)支持范圍；設(shè)備產(chǎn)品系列化和市場(chǎng)占有率；支持的連接介質(zhì)類

型；端口的類型、數(shù)量等；設(shè)備費(fèi)用。

2網(wǎng)絡(luò)設(shè)計(jì)

友鄰公司網(wǎng)絡(luò)設(shè)計(jì)使用三層結(jié)構(gòu)設(shè)計(jì)，分別為核心層、匯聚層、接入層。

網(wǎng)絡(luò)由服務(wù)器、交換機(jī)、防火墻等若干設(shè)備組成。核心層交換機(jī)是公司的骨干，

它的功能是在大型局域網(wǎng)中加快數(shù)據(jù)交換，路由功能也為此服務(wù)。匯聚層交換

機(jī)相當(dāng)于公司中間管理層的網(wǎng)絡(luò)架構(gòu)，負(fù)責(zé)管理來(lái)自接入層交換機(jī)的數(shù)據(jù)，并

向核心層交換機(jī)報(bào)告數(shù)據(jù)。接入層的主要功能是最終用戶連接到網(wǎng)絡(luò)，解決公

司各部門之間的互通要求，部署VLAN、ACL等技術(shù)，本設(shè)計(jì)要求所有部門能相

互通信訪問(wèn)外網(wǎng)。

2.1網(wǎng)絡(luò)拓?fù)湓O(shè)計(jì)

友鄰公司網(wǎng)絡(luò)拓?fù)鋱D如下圖1所示。

圖1友鄰公司網(wǎng)絡(luò)拓?fù)鋱D

2

湖南商務(wù)職業(yè)技術(shù)學(xué)院畢業(yè)設(shè)計(jì)

2.2IP及VLAN資源設(shè)計(jì)

根據(jù)該公司部門分布以及上網(wǎng)設(shè)備數(shù)量的需求，IP地址分配及VLAN規(guī)劃如

下表2所示。

表2IP地址規(guī)劃表

部門網(wǎng)段VLAN地址分配方式

行政部192.168.10.0/24VLAN10自動(dòng)分配

項(xiàng)目部192.168.20.0/24VLAN20自動(dòng)分配

財(cái)務(wù)部192.168.30.0/24VLAN30自動(dòng)分配

人事部192.168.40.0/24VLAN40自動(dòng)分配

研發(fā)部192.168.50.0/24VLAN50自動(dòng)分配

3設(shè)備選型

3.1網(wǎng)絡(luò)設(shè)備選型

3.1.1核心層交換機(jī)選型

S7706智能路由交換機(jī)，在提供穩(wěn)定、可靠、安全的高性能L2/L3層交換服

務(wù)基礎(chǔ)上，進(jìn)一步提供MPLSVPN、業(yè)務(wù)保留分析、綜合Qos策略、可控組播、

資源負(fù)載均衡、綜合安全等智能業(yè)務(wù)優(yōu)化手段，同時(shí)具備超強(qiáng)擴(kuò)展性和可靠性。

S7706交換機(jī)設(shè)備如下圖3所示。

圖3S7706交換機(jī)

交換機(jī)設(shè)備參數(shù)如下表3所示。

表3s7706交換機(jī)參數(shù)信息表

產(chǎn)品名稱S7706

傳輸速率10/100/1000Mbps

包轉(zhuǎn)發(fā)率3240/26400Mpps

背板帶寬19.84Tbps/86.4Tbps

3

湖南商務(wù)職業(yè)技術(shù)學(xué)院畢業(yè)設(shè)計(jì)

支持Access、Trunk、Hybrid方式

支持defaultVLAN

VlAN

支持VLAN交換

支持基于MAC的動(dòng)態(tài)VLAN

外形尺寸（寬×深×高）（單位：mm）442×476×442

3.1.2匯聚層交換機(jī)選型

CloudEngineS6730S-S系列交換機(jī)是華為公司自行開(kāi)發(fā)的新一代萬(wàn)兆箱交

換機(jī)，它提供了全套高速10千兆位接入接口和40GE上行鏈路接口，以應(yīng)對(duì)校

園和數(shù)據(jù)中心網(wǎng)絡(luò)的可擴(kuò)展性、可靠性、可管理性和安全挑戰(zhàn)，并提供了豐富

的業(yè)務(wù)功能、全面的安全控制策略、支持豐富的QoS功能。

S6730S-S24X6Q-A交換機(jī)如下圖4所示。

圖4S6730S-S24X6Q-A交換機(jī)

S6730S-S24X6Q-A交換機(jī)設(shè)備參數(shù)如下表4所示。

表4S6730S-S24X6Q-A交換機(jī)參數(shù)信息表

產(chǎn)品名稱S6730S-S24X6Q-A

交換容量2.4T/24T

包轉(zhuǎn)發(fā)率720Mpps/792Mpps

固定端口24個(gè)10GESFP+端口，6個(gè)40GEQSFP端口

支持基于華為在線升級(jí)平臺(tái)（HOUP）進(jìn)行智能升級(jí)

智能升級(jí)

支持預(yù)加載版本極大縮短升級(jí)時(shí)間

iPCA質(zhì)量感知支持直接對(duì)業(yè)務(wù)報(bào)文標(biāo)記以獲得丟包數(shù)量和丟包率的實(shí)時(shí)統(tǒng)計(jì)

支持iStack堆疊，將多臺(tái)支持堆疊特性的交換機(jī)邏輯上組合成

iStack堆疊

以太虛擬交換機(jī)，支持成員間溶于備份，提高了設(shè)備級(jí)可靠性

3.1.3接入交換機(jī)選型

華為S5735S-L48P4S-A1交換機(jī)無(wú)阻塞高速轉(zhuǎn)發(fā)，滿足更多擴(kuò)容應(yīng)用，千兆

速率高速穩(wěn)定，全千兆端口支持千兆組網(wǎng)，不丟包不卡頓，全金屬外殼、抗震、

4

湖南商務(wù)職業(yè)技術(shù)學(xué)院畢業(yè)設(shè)計(jì)

不易變形，風(fēng)冷散熱，智能調(diào)速。全面兼容，一機(jī)滿足多需求。

S5735S-L48P4S-A1交換機(jī)設(shè)備如下圖6所示。

圖6S5735S-L48P4S-A1交換機(jī)

S5735S-L48P4S-A1交換機(jī)設(shè)備參數(shù)如下表6所示。

表6S5735S-L48P4S-A1參數(shù)信息表

產(chǎn)品型號(hào)S5735S-L48P4S-A1

交換容量432Gbps/4.32Tbps

包轉(zhuǎn)發(fā)率87/166Mpps

固定端口48個(gè)10/100/1000BASE-T以太網(wǎng)端口

3.1.4防火墻

華為HiSecEngineUSG6300E系列AI防火墻集傳統(tǒng)防火墻、VPN、入侵防御

等多種功能于一身，全面配置試圖和一體化策略管理?？勺R(shí)別常見(jiàn)應(yīng)用，訪問(wèn)

控制精度到應(yīng)用功能。應(yīng)用識(shí)別與入侵檢測(cè)、防病毒、內(nèi)容過(guò)濾相結(jié)合，提高

檢測(cè)性能和準(zhǔn)確率。

設(shè)備如下圖7所示。

圖7華為HiSecEngineUSG6300E系列AI防火墻

華為HiSecEngineUSG6300E系列AI防火墻設(shè)備參數(shù)如下表7所示。

表7華為HiSecEngineUSG6300E系列AI防火墻參數(shù)信息表

產(chǎn)品名稱華為HiSecEngineUSG6300E系列AI防火墻

外置存儲(chǔ)選配，支持M.2卡，64G/240G

路由特性480GSSD

全面支持IPV4/IPV6下的多種路由協(xié)議，如

運(yùn)行模式

RIP、OSPF、BGP等

5

湖南商務(wù)職業(yè)技術(shù)學(xué)院畢業(yè)設(shè)計(jì)

基于病毒特征進(jìn)行檢測(cè)

病毒防護(hù)

支持病毒庫(kù)手動(dòng)和自動(dòng)升級(jí)

4技術(shù)選用

4.1DHCP動(dòng)態(tài)主機(jī)配置技術(shù)

動(dòng)態(tài)主機(jī)配置協(xié)議DHCP可以是服務(wù)器能夠動(dòng)態(tài)地為網(wǎng)絡(luò)中的其他終端或

服務(wù)器分配IP地址、子網(wǎng)掩碼、網(wǎng)關(guān)和DNS，DHCP的配置是安全可信的，在設(shè)

計(jì)中加入DHCP服務(wù)有效地避免了企業(yè)網(wǎng)絡(luò)管理員在終端上手工輸入數(shù)值的情

況下引起的配置失誤，由于在DHCP服務(wù)中自動(dòng)分配的IP地址是不會(huì)重復(fù)的，

因此還可以避免用戶終端配置地址沖突。動(dòng)態(tài)獲取的IP地址使用完后會(huì)自動(dòng)地

釋放，提高了IP地址的利用率。

4.2VLAN虛擬局域網(wǎng)技術(shù)

VLAN具有與一般物理網(wǎng)絡(luò)基本相同的特性。如果需要加入其他網(wǎng)絡(luò)，則沒(méi)

有物理位置限制。也就是說(shuō)，從不同部門的終端訪問(wèn)相同的VLAN時(shí)，無(wú)論實(shí)際

連接到哪個(gè)交換機(jī)，部門間的通信都相當(dāng)于獨(dú)立的交換機(jī)。只有VLAN成員才能

接收在同一VLAN上發(fā)送的廣播，而不是在其他VLAN上發(fā)送，這樣在網(wǎng)絡(luò)中就

可以達(dá)到控制廣播風(fēng)暴的目的。

4.3ACL包過(guò)濾防火墻技術(shù)

因?yàn)榫S護(hù)企業(yè)網(wǎng)絡(luò)信息安全十分重要，企業(yè)網(wǎng)在實(shí)施網(wǎng)絡(luò)安全控制的相關(guān)

措施中，訪問(wèn)控制對(duì)于防范和保護(hù)網(wǎng)絡(luò)安全具有重要意義，配置訪問(wèn)控制列表

(ACL)的主要目的是為了避免局域網(wǎng)中的資源被隨意的使用和訪問(wèn)。設(shè)計(jì)中可將

訪問(wèn)控制列表應(yīng)用在匯聚層的三層交換機(jī)上，由訪問(wèn)控制列表配置的特定命令，

如源地址、目的地址、端口號(hào)等，決定信息轉(zhuǎn)發(fā)和接收過(guò)程中數(shù)據(jù)包是被丟棄

還是轉(zhuǎn)發(fā)。訪問(wèn)控制列表結(jié)合實(shí)際需求在網(wǎng)絡(luò)設(shè)備配置時(shí)不僅可進(jìn)行訪問(wèn)控制，

還可以起到對(duì)網(wǎng)絡(luò)流量和流向起到約束作用，在一定程度上提高了企業(yè)的網(wǎng)絡(luò)

設(shè)備和服務(wù)器的安全性。

4.4NAT技術(shù)

該技術(shù)的主要功能是將私有的網(wǎng)絡(luò)地址轉(zhuǎn)換為公網(wǎng)IP的地址；NAT技術(shù)不

僅可以解決IP地址不足的問(wèn)題，而且還能夠有效地避免來(lái)自網(wǎng)絡(luò)外部的攻擊，

6

湖南商務(wù)職業(yè)技術(shù)學(xué)院畢業(yè)設(shè)計(jì)

可以起到隱藏并保護(hù)內(nèi)網(wǎng)計(jì)算機(jī)的作用，在企業(yè)網(wǎng)設(shè)計(jì)中網(wǎng)絡(luò)安全這一方面，

NAT技術(shù)十分重要。NAT可分為靜態(tài)NAT，非復(fù)用動(dòng)態(tài)NAT，復(fù)用動(dòng)態(tài)NAT(PAT)。

不同類型應(yīng)用于不同的場(chǎng)景。設(shè)計(jì)中采用靜態(tài)地址轉(zhuǎn)換，實(shí)現(xiàn)私有網(wǎng)絡(luò)訪問(wèn)公

網(wǎng)，靜態(tài)NAT中先定義內(nèi)部和外部端口，后定義靜態(tài)映射關(guān)系。地址轉(zhuǎn)換過(guò)程

中是一一對(duì)應(yīng)的關(guān)系且是固定的對(duì)應(yīng)關(guān)系，靜態(tài)轉(zhuǎn)換表是用手工的方式創(chuàng)建。

5網(wǎng)絡(luò)配置實(shí)現(xiàn)

5.1核心交換機(jī)配置

5.1.1VLAN配置

vl100

#創(chuàng)建管理VLAN100

Vl10to50

#創(chuàng)建各部門VLAN

intvl100

ipadd192.168.100.25424

#進(jìn)入管理VLAN100，并設(shè)置IP地址192.168.100.254/24

intvl10

IPadd192.168.10.25424

#進(jìn)入行政部VLAN10并配置IP地址192.168.10.254/24

intvl20

IPadd192.168.20.25424

#進(jìn)入項(xiàng)目部VLAN20并配置IP地址192.168.20.254/24

intvl30

IPadd192.168.30.25424

#進(jìn)入財(cái)務(wù)部VLAN30并配置IP地址192.168.30.254/24

intvl40

IPadd192.168.40.25424

#進(jìn)入人事部VLAN40并配置IP地址為192.168.40.254/24

intvl50

IPadd192.168.50.25424

#進(jìn)入研發(fā)部VLAN50并配置IP地址為192.168.50.254/24

7

湖南商務(wù)職業(yè)技術(shù)學(xué)院畢業(yè)設(shè)計(jì)

5.1.2DHCP配置

dhcpen

#開(kāi)啟DHCP功能

dhcseip-povlan10

net192.168.10.024

gateway-li192.168.10.254

#創(chuàng)建行政部的DHCP池,宣告網(wǎng)段192.168.10.0/24并設(shè)置網(wǎng)關(guān)

dhcserveip-povlan20

net192.168.20.024

gateway-li192.168.20.254

#創(chuàng)建項(xiàng)目部的DHCP池,宣告網(wǎng)段192.168.20.0/24并設(shè)置網(wǎng)關(guān)

dhcpserveip-povlan30

net192.168.30.024

gateway-li192.168.30.254

#創(chuàng)建財(cái)務(wù)部的DHCP池,宣告網(wǎng)段192.168.30.0/24并設(shè)置網(wǎng)關(guān)

dhcserveip-povlan40

net192.168.40.024

gateway-li192.168.40.254

#創(chuàng)建人事部的DHCP池,宣告網(wǎng)段192.168.40.0/24并設(shè)置網(wǎng)關(guān)

dhcserveip-povlan50

net192.168.50.024

gateway-li192.168.50.254

#創(chuàng)建研發(fā)部的DHCP池,宣告網(wǎng)段192.168.50.0/24并設(shè)置網(wǎng)關(guān)

5.1.3接口以及路由配置

核心交換機(jī)根據(jù)需求對(duì)接口和路由進(jìn)行配置

intrangeg0/0/11tg0/0/14

portlinkbridge

intrangeg0/0/15tg0/0/16

portlinktrunk

porttrunkpervlanall

#設(shè)置交換機(jī)端口g0/0/15-g0/0/16為trunk，并允許所有vlan通過(guò)

intGig0/0/17

8

湖南商務(wù)職業(yè)技術(shù)學(xué)院畢業(yè)設(shè)計(jì)

portlink-moroute

ipadd10.0.0.130

#配置接口g0/0/17為路由接口,設(shè)置IP地址為10.0.0.1/30

iproute-st0.0.0.0010.0.0.2

#設(shè)置默認(rèn)路由，下一跳為10.0.0.2

5.2匯聚交換機(jī)配置

5.2.1VLAN配置

匯聚交換機(jī)根據(jù)需求創(chuàng)建對(duì)應(yīng)VLAN

vlan100

#創(chuàng)建管理VLAN100

vlan10to50

#創(chuàng)建各部門VLAN

intvlan100

ipadd192.168.100.25324

#進(jìn)入管理VLAN100接口，并設(shè)置IP地址192.168.100.253/24

5.2.2PortSecurity以及接口配置

intrang0/0/1tog0/0/2

portlinkbridge

portaccessvlan20

port-secintdisable

port-secmax24

#設(shè)置接口g0/0/1tog0/0/2為vlan20，設(shè)置端口最大接入mac地址為24

且安全動(dòng)作為關(guān)閉端口

intrangeg0/0/3tog0/0/4

portlinkbridge

portaccvl30

port-secintdisable

port-secmax24

#設(shè)置接口g0/0/3tog0/0/4為vlan30，設(shè)置端口最大接入mac地址為24

且安全動(dòng)作為關(guān)閉端口

intrangeg0/0/5tog0/0/6

9

湖南商務(wù)職業(yè)技術(shù)學(xué)院畢業(yè)設(shè)計(jì)

portlink-mobridge

portaccessvlan40

port-secintdisable

port-secmax24

#設(shè)置g0/0/5tog0/0/6為vlan40，設(shè)置端口最大接入mac地址為24且安

全動(dòng)作為關(guān)閉端口

intrangeg0/0/7tog0/0/8

portlink-mobridge

portaccessvlan50

port-secintdisable

port-secmax24

#設(shè)置g0/0/7tog0/0/8為vlan50，設(shè)置端口最大接入mac地址為24且安

全動(dòng)作為關(guān)閉端口

intrang0/0/9

portlinktrunk

porttrunkpermitvlanall

#進(jìn)入交換機(jī)端口g0/0/9,設(shè)置接口為trunk，并允許所有vlan通過(guò)

5.3接入交換機(jī)配置：

以一臺(tái)交換機(jī)為例：

vlbatch10

deXZ

#對(duì)各部門進(jìn)行命名和vlan劃分

Inte0/0/1

portlink-typeaccess

portdefaultvlan10

#進(jìn)入接口e0/0/1，接口類型為acess,允許vlan10通過(guò)

intg0/0/1

portlink-typetrunk

porttrunkallow-passvlan10

#進(jìn)入交換機(jī)g0/0/1,接口類型為trunk，允許vlan10通過(guò)

10

湖南商務(wù)職業(yè)技術(shù)學(xué)院畢業(yè)設(shè)計(jì)

5.4防火墻配置

5.4.1NAT配置

intG0/0/1

natoutbound

iproute-st192.168.0.01610.0.0.1

#進(jìn)入接口G0/0/1，設(shè)置NAT出口轉(zhuǎn)換，并配置回城路由

5.4.2ACL配置

aclbasic2000

rule0permit

#創(chuàng)建ACL2000，規(guī)則是全放通

zone-pairsecsourceAnydestinationAny

packet-filter2000

#將acl2000運(yùn)用于任意域到任意域的規(guī)則

6網(wǎng)絡(luò)測(cè)試

各部門內(nèi)部測(cè)