前言1.1研究背景廈門煙草工業(yè)有限公司作為一家現(xiàn)代化的煙草企業(yè)，面臨著日益增長(zhǎng)的信息化需求和競(jìng)爭(zhēng)激烈的市場(chǎng)環(huán)境。[2]在數(shù)字化時(shí)代，信息技術(shù)在企業(yè)管理、生產(chǎn)制造、營(yíng)銷銷售等方面發(fā)揮著日益重要的作用。因此，廈門煙草公司需要對(duì)其網(wǎng)絡(luò)系統(tǒng)進(jìn)行升級(jí)和優(yōu)化，以適應(yīng)日益復(fù)雜的業(yè)務(wù)需求和市場(chǎng)挑戰(zhàn)。在全球范圍內(nèi)，許多煙草公司已經(jīng)意識(shí)到數(shù)字化轉(zhuǎn)型的重要性，并投入大量資源進(jìn)行信息技術(shù)的升級(jí)和網(wǎng)絡(luò)部署。這些公司通過建立先進(jìn)的信息系統(tǒng)和網(wǎng)絡(luò)基礎(chǔ)設(shè)施，實(shí)現(xiàn)了生產(chǎn)制造的智能化、供應(yīng)鏈的優(yōu)化、銷售渠道的拓展等目標(biāo)，提高了企業(yè)的競(jìng)爭(zhēng)力和市場(chǎng)占有率。在這樣的背景下，[3]廈門煙草公司也面臨著類似的挑戰(zhàn)和機(jī)遇。通過對(duì)網(wǎng)絡(luò)部署的研究和實(shí)踐，廈門煙草工業(yè)有限公司希望能夠建立起一個(gè)先進(jìn)、穩(wěn)定、高效的網(wǎng)絡(luò)系統(tǒng)，以支持公司的業(yè)務(wù)發(fā)展和創(chuàng)新。這不僅可以提高員工的工作效率和滿意度，還可以增強(qiáng)公司的市場(chǎng)競(jìng)爭(zhēng)力，實(shí)現(xiàn)可持續(xù)發(fā)展。因此，對(duì)廈門煙草公司網(wǎng)絡(luò)部署的研究具有重要的實(shí)踐意義和理論價(jià)值。1.2國(guó)內(nèi)外研究現(xiàn)狀煙草公司網(wǎng)絡(luò)部署的研究現(xiàn)狀在國(guó)內(nèi)外都受到了廣泛關(guān)注。[4]在國(guó)內(nèi)，隨著信息技術(shù)的不斷發(fā)展和應(yīng)用，越來(lái)越多的煙草企業(yè)開始意識(shí)到網(wǎng)絡(luò)部署的重要性，并進(jìn)行了相關(guān)研究和實(shí)踐。這些研究涵蓋了網(wǎng)絡(luò)架構(gòu)設(shè)計(jì)、系統(tǒng)集成、安全保障、應(yīng)用開發(fā)等方面，為煙草企業(yè)的數(shù)字化轉(zhuǎn)型提供了重要的理論和實(shí)踐支持。在國(guó)外，一些煙草公司也積極探索網(wǎng)絡(luò)部署的最佳實(shí)踐，并取得了一些成果。這些公司借鑒了其他行業(yè)的先進(jìn)經(jīng)驗(yàn)，采用了先進(jìn)的網(wǎng)絡(luò)技術(shù)和管理方法，實(shí)現(xiàn)了生產(chǎn)制造、供應(yīng)鏈管理、銷售營(yíng)銷等方面的優(yōu)化和升級(jí)。此外，[5]一些學(xué)術(shù)研究機(jī)構(gòu)和專家學(xué)者也對(duì)煙草公司網(wǎng)絡(luò)部署進(jìn)行了深入研究。他們從信息技術(shù)、管理科學(xué)、經(jīng)濟(jì)學(xué)等多個(gè)學(xué)科領(lǐng)域出發(fā)，探討了網(wǎng)絡(luò)部署對(duì)煙草企業(yè)管理和運(yùn)營(yíng)的影響，提出了一些理論框架和實(shí)踐建議，為煙草公司的網(wǎng)絡(luò)部署提供了理論指導(dǎo)和思路啟發(fā)。綜上所述，[6]煙草公司網(wǎng)絡(luò)部署的研究現(xiàn)狀在國(guó)內(nèi)外都呈現(xiàn)出多樣化和積極的態(tài)勢(shì)。未來(lái)，隨著信息技術(shù)的不斷發(fā)展和煙草行業(yè)的深化轉(zhuǎn)型，相關(guān)研究和實(shí)踐將進(jìn)一步深化和拓展，為煙草企業(yè)的可持續(xù)發(fā)展提供更加有力的支持。1.3論文研究的主要內(nèi)容本論文用廈門煙草工業(yè)有限公司的公司網(wǎng)絡(luò)建設(shè)為背景，在立足于最大的實(shí)際的情況下，根據(jù)當(dāng)前的公司網(wǎng)絡(luò)的狀況和存在的一些問題，對(duì)公司網(wǎng)絡(luò)的組網(wǎng)和配置進(jìn)行研究與改進(jìn)，并且討論了當(dāng)今公司網(wǎng)絡(luò)存在的一些問題，通過規(guī)劃，提出解決公司網(wǎng)絡(luò)的速度與安全等問題，提升了公司網(wǎng)絡(luò)的組網(wǎng)水平，從而引導(dǎo)出對(duì)公司網(wǎng)絡(luò)更有意義的探究。1.4本章小節(jié)這個(gè)章節(jié)介紹了該論文的研究背景以及國(guó)內(nèi)外的研究現(xiàn)狀,介紹了公司網(wǎng)絡(luò)的發(fā)展趨勢(shì)與現(xiàn)狀。2相關(guān)技術(shù)知識(shí)2.1關(guān)鍵協(xié)議技術(shù)2.1.1VRRPVRRP是虛擬路由器冗余協(xié)議（VirtualRouterRedundancyProtocol）的縮寫。它是一種網(wǎng)絡(luò)協(xié)議，用于提高網(wǎng)絡(luò)設(shè)備（通常是路由器）的可靠性和冗余性。在網(wǎng)絡(luò)拓?fù)渲?，?dāng)一個(gè)路由器出現(xiàn)故障時(shí)，VRRP允許其他備用路由器接管故障路由器的工作，從而保持網(wǎng)絡(luò)的連通性。VRRP協(xié)議中有一個(gè)虛擬IP地址（VirtualIPAddress），故障轉(zhuǎn)移時(shí)，備用路由器可以接管該虛擬IP地址，使得網(wǎng)絡(luò)上的其他設(shè)備無(wú)需修改路由信息，仍然可以通過該虛擬IP地址進(jìn)行通信。[7]VRRP協(xié)議的工作原理包括了路由器之間的選舉機(jī)制和狀態(tài)同步。選舉機(jī)制決定了哪個(gè)路由器會(huì)成為活動(dòng)（Master）路由器，負(fù)責(zé)處理虛擬IP地址的轉(zhuǎn)發(fā)；其他備用（Backup）路由器則處于備用狀態(tài)，等待接管主路由器的工作。狀態(tài)同步確保備用路由器可以迅速接管主路由器的工作，從而實(shí)現(xiàn)快速故障恢復(fù)?？偟膩?lái)說，VRRP技術(shù)通過提供冗余路由器和快速故障切換功能，增強(qiáng)了網(wǎng)絡(luò)的可用性和穩(wěn)定性，常用于企業(yè)網(wǎng)絡(luò)和數(shù)據(jù)中心等對(duì)網(wǎng)絡(luò)連通性要求較高的場(chǎng)景。2.1.2STPSTP是SpanningTreeProtocol（生成樹協(xié)議）的縮寫。它是一種網(wǎng)絡(luò)協(xié)議，用于在局域網(wǎng)中防止網(wǎng)絡(luò)環(huán)路（Loop）的產(chǎn)生，確保數(shù)據(jù)在網(wǎng)絡(luò)中正常傳輸而不會(huì)陷入循環(huán)。在一個(gè)具有多個(gè)交換機(jī)的局域網(wǎng)中，如果不采取措施，可能會(huì)形成網(wǎng)絡(luò)環(huán)路。網(wǎng)絡(luò)環(huán)路會(huì)導(dǎo)致數(shù)據(jù)包在網(wǎng)絡(luò)中不斷循環(huán)，造成網(wǎng)絡(luò)擁堵甚至癱瘓。為了避免這種情況，STP協(xié)議通過自動(dòng)選擇某些端口進(jìn)行阻塞，從而構(gòu)建出一棵不包含環(huán)路的生成樹，允許數(shù)據(jù)在網(wǎng)絡(luò)中唯一的路徑上傳輸。STP協(xié)議的基本原理包括以下幾點(diǎn)：選舉根橋：所有交換機(jī)通過交換BPDU（BridgeProtocolDataUnit）消息來(lái)選舉出一臺(tái)根橋（RootBridge），它是生成樹的根節(jié)點(diǎn)。選舉根端口：每個(gè)交換機(jī)選出到根橋路徑最短的端口作為根端口（RootPort）。選舉指定端口：每個(gè)非根交換機(jī)選出到根橋路徑次短的端口作為指定端口（DesignatedPort），負(fù)責(zé)與其他交換機(jī)之間的通信。阻塞端口：剩余的端口被阻塞，不參與數(shù)據(jù)傳輸，以防止環(huán)路的產(chǎn)生。2.1.3NATNAT（NetworkAddressTranslation，網(wǎng)絡(luò)地址轉(zhuǎn)換）技術(shù)是一種在網(wǎng)絡(luò)中廣泛使用的技術(shù)，用于將私有網(wǎng)絡(luò)中的IP地址映射到公共網(wǎng)絡(luò)中的IP地址，以實(shí)現(xiàn)私有網(wǎng)絡(luò)和公共網(wǎng)絡(luò)之間的通信。NAT技術(shù)主要用于解決IPv4地址不足的問題，并提供了一種在局域網(wǎng)內(nèi)使用私有IP地址與外部互聯(lián)網(wǎng)進(jìn)行通信的方法。NAT技術(shù)的基本原理是將內(nèi)部網(wǎng)絡(luò)（局域網(wǎng)）中的私有IP地址映射0到外部網(wǎng)絡(luò)（公共網(wǎng)絡(luò)）中的公共IP地址，同時(shí)在網(wǎng)絡(luò)包的頭部信息中修改源IP地址和目標(biāo)IP地址，以確保數(shù)據(jù)包能夠正確地在內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)之間傳輸。NAT技術(shù)通常由NAT設(shè)備（如路由器或防火墻）來(lái)實(shí)現(xiàn)和管理。[8]常見的NAT類型包括以下幾種：靜態(tài)NAT（StaticNAT）：一種一對(duì)一的地址映射方式，將內(nèi)部網(wǎng)絡(luò)中的一個(gè)私有IP地址映射到一個(gè)公共IP地址上。靜態(tài)NAT的映射關(guān)系是靜態(tài)配置的，不會(huì)隨著網(wǎng)絡(luò)流量的變化而改變。.動(dòng)態(tài)NAT（DynamicNAT）：將內(nèi)部網(wǎng)絡(luò)中的私有IP地址動(dòng)態(tài)地映射到一組公共IP地址中的一個(gè)，根據(jù)NAT設(shè)備的配置，動(dòng)態(tài)選擇未被占用的公共IP地址進(jìn)行映射。NATOverload（PortAddressTranslation，PAT）：也稱為多路復(fù)用NAT（Many-to-OneNAT），是一種多對(duì)一的地址映射方式。PAT將多個(gè)內(nèi)部網(wǎng)絡(luò)中的私有IP地址映射到同一個(gè)公共IP地址上，并使用不同的端口號(hào)區(qū)分不同的內(nèi)部主機(jī)。2.1.4BFDBFD（BidirectionalForwardingDetection，雙向轉(zhuǎn)發(fā)檢測(cè)）技術(shù)是一種用于快速檢測(cè)網(wǎng)絡(luò)鏈路故障的協(xié)議。它可以在網(wǎng)絡(luò)設(shè)備之間發(fā)送周期性的探測(cè)消息，以快速檢測(cè)鏈路故障，并通知網(wǎng)絡(luò)設(shè)備進(jìn)行快速故障切換，以保證網(wǎng)絡(luò)的可靠性和穩(wěn)定性。[9]BFD技術(shù)的主要特點(diǎn)包括以下幾點(diǎn)：快速檢測(cè)：BFD可以在毫秒級(jí)別內(nèi)檢測(cè)到鏈路故障，相比傳統(tǒng)的路由協(xié)議（如OSPF、BGP等）的故障檢測(cè)速度更快，可以更快地觸發(fā)故障恢復(fù)動(dòng)作，減少網(wǎng)絡(luò)中斷時(shí)間。低資源消耗：BFD協(xié)議設(shè)計(jì)簡(jiǎn)潔，探測(cè)消息量較小，對(duì)網(wǎng)絡(luò)設(shè)備的資源消耗相對(duì)較低，可以在大規(guī)模網(wǎng)絡(luò)中廣泛應(yīng)用。靈活性：BFD可以與各種路由協(xié)議（如OSPF、BGP、IS-IS等）結(jié)合使用，也可以直接應(yīng)用在各種鏈路上，如點(diǎn)對(duì)點(diǎn)鏈路、以太網(wǎng)鏈路等，具有較強(qiáng)的適用性和靈活性。多種模式：BFD支持多種工作模式，包括單向模式和雙向模式。在單向模式下，只有一個(gè)方向的探測(cè)消息，適用于不對(duì)稱鏈路；而在雙向模式下，雙方都會(huì)發(fā)送和接收探測(cè)消息，適用于對(duì)稱鏈路。豐富的參數(shù)配置：BFD允許配置多種參數(shù)，如探測(cè)間隔、探測(cè)嘗試次數(shù)、探測(cè)超時(shí)時(shí)間等，以滿足不同網(wǎng)絡(luò)環(huán)境下的需求。2.1.5集群技術(shù)集群技術(shù)是一種將多臺(tái)計(jì)算機(jī)或服務(wù)器連接在一起，以共同完成某項(xiàng)任務(wù)或提供某種服務(wù)的技術(shù)。通過將多臺(tái)計(jì)算機(jī)組成一個(gè)集群，可以實(shí)現(xiàn)資源共享、負(fù)載均衡、容錯(cuò)和高可用性等目標(biāo)。集群技術(shù)在大規(guī)模計(jì)算、數(shù)據(jù)處理、網(wǎng)絡(luò)服務(wù)、云計(jì)算等領(lǐng)域得到了廣泛應(yīng)用。[11]常見的集群技術(shù)包括容器編排系統(tǒng)（如Kubernetes）、分布式存儲(chǔ)系統(tǒng)（如Hadoop、Ceph）、數(shù)據(jù)庫(kù)集群（如MySQLCluster、MongoDBReplicaSet）、Web服務(wù)器集群（如Nginx、Apache）等。這些集群技術(shù)在不同的應(yīng)用場(chǎng)景下提供了靈活而強(qiáng)大的解決方案，為構(gòu)建高性能、高可用性的分布式系統(tǒng)提供了基礎(chǔ)支持。2.1.6OSPFOSPF（OpenShortestPathFirst）是一種開放式的最短路徑優(yōu)先（SPF）路由協(xié)議，用于在自治系統(tǒng)內(nèi)部（InteriorGatewayProtocol，IGP）進(jìn)行路由選擇。它是一種鏈路狀態(tài)路由協(xié)議，通過交換鏈路狀態(tài)更新信息來(lái)構(gòu)建并維護(hù)網(wǎng)絡(luò)拓?fù)洌⒂?jì)算出最短路徑。根據(jù)路由器的功能和位置不同，可以實(shí)現(xiàn)靈活的網(wǎng)絡(luò)設(shè)計(jì)和部署?？煽啃院蛷椥裕篛SPF提供了許多機(jī)制來(lái)確保路由器之間的可靠通信，如鄰居關(guān)系建立和維護(hù)、路由器死亡檢測(cè)、快速收斂等，以提高網(wǎng)絡(luò)的穩(wěn)定性和可靠性。OSPF技術(shù)被廣泛應(yīng)用于企業(yè)網(wǎng)絡(luò)、互聯(lián)網(wǎng)服務(wù)提供商（ISP）、數(shù)據(jù)中心網(wǎng)絡(luò)等復(fù)雜網(wǎng)絡(luò)環(huán)境中，它提供了一種靈活而高效的方式來(lái)管理和維護(hù)大規(guī)模網(wǎng)絡(luò)的路由信息，實(shí)現(xiàn)網(wǎng)絡(luò)的高性能、高可用性和可擴(kuò)展性。2.1.7安全策略技術(shù)安全策略技術(shù)涵蓋了一系列用于保護(hù)計(jì)算機(jī)系統(tǒng)、網(wǎng)絡(luò)和數(shù)據(jù)安全的方法和措施。這些技術(shù)可以用來(lái)預(yù)防、檢測(cè)和應(yīng)對(duì)各種安全威脅和攻擊，確保信息系統(tǒng)的完整性、機(jī)密性和可用性。以下是一些常見的安全策略技術(shù)：訪問控制：訪問控制是指限制用戶或系統(tǒng)對(duì)資源的訪問，確保只有授權(quán)用戶可以訪問合法的資源。訪問控制技術(shù)包括身份驗(yàn)證（Authentication）、授權(quán)（Authorization）、審計(jì)（Audit）等。防火墻：防火墻是一種網(wǎng)絡(luò)安全設(shè)備，用于監(jiān)控和控制進(jìn)出網(wǎng)絡(luò)的流量。它可以根據(jù)預(yù)先設(shè)定的規(guī)則來(lái)過濾、允許或阻止特定類型的流量，保護(hù)網(wǎng)絡(luò)免受未經(jīng)授權(quán)的訪問和攻擊。入侵檢測(cè)和入侵防御系統(tǒng)（IDS/IPS）：入侵檢測(cè)系統(tǒng)（IDS）和入侵防御系統(tǒng)（IPS）用于檢測(cè)和阻止網(wǎng)絡(luò)中的惡意活動(dòng)和攻擊。IDS監(jiān)視網(wǎng)絡(luò)流量并識(shí)別異常行為，而IPS不僅可以檢測(cè)異常行為，還可以主動(dòng)阻止惡意流量。2.2本章小結(jié)本章節(jié)主要介紹了廈門煙草工業(yè)有限公司的公司網(wǎng)絡(luò)部署所用到的一些關(guān)鍵技術(shù)，并且介紹了這些技術(shù)的特點(diǎn)。VRRP技術(shù)、STP技術(shù)、BFD技術(shù)、OSPF技術(shù)、NAT技術(shù)、集群技術(shù)是當(dāng)前比較成熟的網(wǎng)絡(luò)技術(shù)。3公司網(wǎng)絡(luò)的整體規(guī)劃公司網(wǎng)絡(luò)的建設(shè)是比較復(fù)雜的項(xiàng)目，它與公司的規(guī)模和運(yùn)行模式等因素有關(guān)，，因此如何將公司網(wǎng)絡(luò)的整體規(guī)劃做好是一個(gè)值得分析的問題。[10]公司網(wǎng)絡(luò)的設(shè)計(jì)一個(gè)要切合該公司的實(shí)際情況來(lái)進(jìn)行一個(gè)分析，一層一層的進(jìn)行，不可過度盲目的設(shè)計(jì)，應(yīng)以該公司的需求為主，然后適度的進(jìn)行擴(kuò)展提升。3.1公司網(wǎng)絡(luò)設(shè)計(jì)的基本原則公司網(wǎng)絡(luò)設(shè)計(jì)的基本原則包括：1.可靠性與穩(wěn)定性：公司網(wǎng)絡(luò)設(shè)計(jì)應(yīng)確保網(wǎng)絡(luò)設(shè)備和服務(wù)的高可用性，以保證業(yè)務(wù)的持續(xù)運(yùn)行。采取冗余設(shè)計(jì)、備份策略和故障恢復(fù)機(jī)制，以應(yīng)對(duì)設(shè)備故障、鏈路中斷等突發(fā)情況。2.性能優(yōu)化：網(wǎng)絡(luò)設(shè)計(jì)應(yīng)考慮業(yè)務(wù)需求和預(yù)期負(fù)載，設(shè)計(jì)合適的帶寬、吞吐量和延遲，以滿足用戶對(duì)網(wǎng)絡(luò)性能的要求。采用合適的設(shè)備和技術(shù)，確保網(wǎng)絡(luò)能夠高效地傳輸數(shù)據(jù)。3.安全性：[12]網(wǎng)絡(luò)設(shè)計(jì)必須考慮安全性，包括數(shù)據(jù)的保密性、完整性和可用性。采取訪問控制、身份驗(yàn)證、加密通信等措施，保護(hù)網(wǎng)絡(luò)不受未經(jīng)授權(quán)的訪問、攻擊和惡意軟件的威脅。4.可擴(kuò)展性：網(wǎng)絡(luò)設(shè)計(jì)應(yīng)具備良好的可擴(kuò)展性，能夠適應(yīng)公司業(yè)務(wù)的快速增長(zhǎng)和變化。采用模塊化設(shè)計(jì)、分層結(jié)構(gòu)和標(biāo)準(zhǔn)化協(xié)議，以便靈活地?cái)U(kuò)展和調(diào)整網(wǎng)絡(luò)規(guī)模和功能。5.簡(jiǎn)單性與可管理性：網(wǎng)絡(luò)設(shè)計(jì)應(yīng)盡量簡(jiǎn)化結(jié)構(gòu)和配置，降低網(wǎng)絡(luò)管理的復(fù)雜性。采用自動(dòng)化工具和集中管理平臺(tái)，提高網(wǎng)絡(luò)運(yùn)維的效率和可靠性。6.成本效益：網(wǎng)絡(luò)設(shè)計(jì)必須考慮成本效益，即在保證性能和安全的前提下，盡量降低網(wǎng)絡(luò)建設(shè)、運(yùn)營(yíng)和維護(hù)的成本。合理選擇設(shè)備、技術(shù)和服務(wù)提供商，平衡投資與收益。7.符合法律法規(guī)和標(biāo)準(zhǔn)：網(wǎng)絡(luò)設(shè)計(jì)必須符合國(guó)家法律法規(guī)和行業(yè)標(biāo)準(zhǔn)，保護(hù)用戶隱私和數(shù)據(jù)安全，避免違規(guī)行為和法律風(fēng)險(xiǎn)。3.2公司網(wǎng)絡(luò)的需求分析廈門煙草工業(yè)有限責(zé)任公司，坐落在廈門市海滄新陽(yáng)工業(yè)區(qū)新陽(yáng)路1號(hào)。公司占地面積超過1000畝，在崗員工1400多人，總資產(chǎn)127億元。包括兩個(gè)生產(chǎn)區(qū)、一個(gè)煙葉庫(kù)區(qū)，為了擁有一個(gè)高效、可靠的網(wǎng)絡(luò)系統(tǒng)，能夠支持公司規(guī)模龐大的生產(chǎn)和管理需求。我們需要一個(gè)網(wǎng)絡(luò)架構(gòu)，能夠確保生產(chǎn)區(qū)、煙葉庫(kù)區(qū)以及其他部門之間的無(wú)縫連接，并保證數(shù)據(jù)傳輸?shù)陌踩院头€(wěn)定性,公司目前分為市場(chǎng)部、銷售部、財(cái)務(wù)部、管理部、行政部以及各層領(lǐng)導(dǎo)的辦公區(qū)。我們希望網(wǎng)絡(luò)設(shè)備能夠支持大量同時(shí)在線的員工，以及與其他供應(yīng)商和合作伙伴以及分公司、省公司、國(guó)家局的聯(lián)絡(luò)和數(shù)據(jù)交換?？紤]到公司資產(chǎn)的規(guī)模和價(jià)值，我們迫切需要一個(gè)可靠的網(wǎng)絡(luò)架構(gòu)，能夠及時(shí)響應(yīng)需求，并在保證網(wǎng)絡(luò)高效運(yùn)行的同時(shí)，最大程度地降低風(fēng)險(xiǎn).因此根據(jù)公司的實(shí)際情況進(jìn)行的簡(jiǎn)要分析如下。公司可以和銀行進(jìn)行穩(wěn)定的通信公司可以和省公司與分公司進(jìn)行穩(wěn)定的通信公司可以和國(guó)家局進(jìn)行穩(wěn)定的通信公司內(nèi)部的市場(chǎng)部、銷售部、財(cái)務(wù)部、管理部、行政部以及各個(gè)辦公區(qū)可以穩(wěn)定通信。3.3公司網(wǎng)絡(luò)的具體規(guī)劃對(duì)于公司網(wǎng)絡(luò)的具體規(guī)劃我們采用分層設(shè)計(jì)的思想，，公司的網(wǎng)絡(luò)結(jié)構(gòu)根據(jù)核心層、匯聚層、接入層的架構(gòu)進(jìn)行設(shè)計(jì)。由于核心層是公司網(wǎng)絡(luò)的主干部分，[13]核心層的主要作用就是對(duì)數(shù)據(jù)進(jìn)行高效快速的轉(zhuǎn)換，并且為匯聚層設(shè)備以及接入層設(shè)備提供最佳的數(shù)據(jù)傳輸路徑。核心層網(wǎng)絡(luò)是整個(gè)公司的網(wǎng)絡(luò)的核心樞紐，如果核心層網(wǎng)絡(luò)出現(xiàn)問題，整個(gè)公司的網(wǎng)絡(luò)可能會(huì)出現(xiàn)全面癱瘓的情況，所以在這個(gè)設(shè)計(jì)方案中公司網(wǎng)絡(luò)必須配備兩臺(tái)核心交換機(jī)，來(lái)確保當(dāng)有一臺(tái)核心交換機(jī)出現(xiàn)問題發(fā)生故障的時(shí)候，仍然有一臺(tái)交換機(jī)保證公司網(wǎng)絡(luò)的正常通信。匯聚層在公司網(wǎng)絡(luò)中擔(dān)任中轉(zhuǎn)的角色，起到了承上啟下的作用，將核心層與接入層分隔開。在公司網(wǎng)絡(luò)中匯聚層交換機(jī)的主要作用是提供接入層的數(shù)據(jù)。匯聚交換機(jī)上聯(lián)時(shí),應(yīng)在核心交換機(jī)與匯聚交換機(jī)之間配置MSTP，實(shí)現(xiàn)流量負(fù)載均衡。廈門煙草工業(yè)有限公司通過配備了出口路由器，并配置了NAT和安全策略,實(shí)現(xiàn)內(nèi)網(wǎng)與外網(wǎng)之間的訪問，并且限制外網(wǎng)用戶的訪問。在這種情形下就要求這里的出口路由器必須要有很強(qiáng)的數(shù)據(jù)轉(zhuǎn)發(fā)能力。公司網(wǎng)絡(luò)的的安全問題是尤其要考慮的，因此在公司網(wǎng)絡(luò)的設(shè)計(jì)中也采用了對(duì)VLAN進(jìn)行劃分的方法，根據(jù)規(guī)劃VLAN來(lái)減少惡意訪問的ARP報(bào)文。3.4公司網(wǎng)絡(luò)實(shí)現(xiàn)的預(yù)期目標(biāo)在日益增長(zhǎng)的信息化需求和競(jìng)爭(zhēng)激烈的市場(chǎng)環(huán)境下，公司網(wǎng)絡(luò)進(jìn)行升級(jí)完善已經(jīng)成為一種趨勢(shì)。該公司網(wǎng)絡(luò)部署成功后主要是實(shí)現(xiàn)以下幾個(gè)目標(biāo)。公司內(nèi)部實(shí)現(xiàn)高效穩(wěn)定可靠的核心網(wǎng)絡(luò)。實(shí)現(xiàn)與省公司、分公司、國(guó)家局以及銀行之間的安全穩(wěn)定通信。實(shí)現(xiàn)公司與外網(wǎng)的穩(wěn)定通信，并且有效限制外網(wǎng)用戶訪問。實(shí)現(xiàn)公司內(nèi)部各個(gè)部門之間的穩(wěn)定通信該公司網(wǎng)絡(luò)的實(shí)現(xiàn)只是對(duì)網(wǎng)絡(luò)升級(jí)完善的一步,更加完善的公司網(wǎng)絡(luò)還要實(shí)現(xiàn)許多功能，，例如可以全天候的保障公司網(wǎng)絡(luò)的穩(wěn)定運(yùn)行，并且可以安全高效的抵擋外來(lái)的流量對(duì)公司的各種惡意攻擊，所以公司網(wǎng)絡(luò)的建設(shè)是一個(gè)長(zhǎng)遠(yuǎn)復(fù)雜的工程。本論文只是注重于搭建更可靠的的公司網(wǎng)絡(luò)以及實(shí)現(xiàn)辦法。3.5本章小節(jié)本章節(jié)介紹公司網(wǎng)絡(luò)部署實(shí)現(xiàn)過程中應(yīng)該遵循的基本原則，對(duì)廈門煙草企業(yè)有限公司進(jìn)行了系統(tǒng)性的需求分析，并且簡(jiǎn)單描述看該公司網(wǎng)絡(luò)的整體設(shè)計(jì)方案。廈門煙草工業(yè)有限公司屬于園區(qū)中型局域網(wǎng)，因此在方案中采用了核心層、匯聚層、接入層的三層結(jié)構(gòu)。而且在本章節(jié)的最后還說明了該方案的預(yù)期目標(biāo)。4設(shè)計(jì)方案與實(shí)現(xiàn)4.1網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)設(shè)計(jì)[14]網(wǎng)絡(luò)拓?fù)涫侵赣?jì)算機(jī)網(wǎng)絡(luò)中各個(gè)節(jié)點(diǎn)之間連接方式的物理或邏輯結(jié)構(gòu)。它描述了網(wǎng)絡(luò)中節(jié)點(diǎn)之間的布局和連接方式，以及數(shù)據(jù)在網(wǎng)絡(luò)中傳輸?shù)穆窂?。網(wǎng)絡(luò)拓?fù)渫ǔ７譃槲锢硗負(fù)浜瓦壿嬐負(fù)鋬煞N類型，常用的拓?fù)浣Y(jié)構(gòu)有星型拓?fù)洹⒖偩€型拓?fù)?、環(huán)形拓?fù)?、樹形拓?fù)?、網(wǎng)狀拓?fù)洹Ｃ總€(gè)拓?fù)涠加凶约旱膬?yōu)缺點(diǎn)，在實(shí)際中極少使用單一的拓?fù)浣Y(jié)構(gòu)去規(guī)劃項(xiàng)目，通常都是采用多個(gè)拓?fù)浣Y(jié)構(gòu)結(jié)合來(lái)規(guī)劃的，至于具體選擇什么樣網(wǎng)絡(luò)結(jié)構(gòu)，要考慮實(shí)際的需求、布局、成本、可靠性、可擴(kuò)展性。在本論文中根據(jù)用戶需求以及布局，可以規(guī)劃出總公司網(wǎng)絡(luò)的整體網(wǎng)絡(luò)結(jié)構(gòu)，廈門煙草工業(yè)有限公司采用混合型網(wǎng)絡(luò)架構(gòu)。其拓?fù)浣Y(jié)構(gòu)如圖4-1所示圖4-1總公司網(wǎng)絡(luò)拓?fù)湔麄€(gè)總公司的網(wǎng)絡(luò)采用華為S12700E系列交換機(jī)作為整個(gè)公司網(wǎng)絡(luò)的核心交換機(jī)，用來(lái)實(shí)現(xiàn)公司整個(gè)網(wǎng)絡(luò)的冗余備份,并且通過出口路由器、匯聚交換機(jī)和匯聚層交換機(jī)共同組成了公司的核心網(wǎng)絡(luò)。整個(gè)網(wǎng)絡(luò)的整體水平與核心網(wǎng)絡(luò)緊密聯(lián)系。核心交換機(jī)S12700E-7和S12700E-8使用千兆光纖通過出口路由器分別連接到公司進(jìn)行周轉(zhuǎn)資金的銀行、國(guó)家局、省公司、分公司.因?yàn)檫@些的流量負(fù)載不會(huì)過大所以通過出口路由器接入核心交換機(jī)，這些就構(gòu)成了公司的核心網(wǎng)絡(luò)。公司網(wǎng)絡(luò)的匯聚層采用S5731-H系列的交換機(jī)作為匯聚交換機(jī)。公司網(wǎng)絡(luò)的接入層采用S5735-L系列的交換機(jī)作為接入層交換機(jī),這些交換機(jī)用來(lái)連接公司內(nèi)部各個(gè)部門，公司網(wǎng)絡(luò)的出口路由器通過在路由器上配置路由、OSPF功能，來(lái)實(shí)現(xiàn)網(wǎng)絡(luò)的安全與可靠。4.2公司網(wǎng)絡(luò)的分層設(shè)計(jì)4.2.1公司網(wǎng)絡(luò)核心層設(shè)計(jì)在圖4-1中，LSW1和LSW2組成的核心交換機(jī)是作為整個(gè)公司的主干網(wǎng)絡(luò)，它在公司網(wǎng)絡(luò)的主要作用就說快速處理分析公司內(nèi)信息并且與各個(gè)地方完成數(shù)據(jù)的交換，整個(gè)公司的網(wǎng)絡(luò)全部依賴于核心交換機(jī)組成的主干網(wǎng)絡(luò)，，因此如果核心交換機(jī)組成的主干網(wǎng)絡(luò)出現(xiàn)問題，整個(gè)公司的網(wǎng)絡(luò)將會(huì)崩壞無(wú)法使用。所以為了保證公司核心網(wǎng)絡(luò)的安全可靠性，較好的實(shí)現(xiàn)核心網(wǎng)絡(luò)所需要的處理業(yè)務(wù)的能力，在具體設(shè)計(jì)公司核心層網(wǎng)絡(luò)應(yīng)采用以下的方案：核心網(wǎng)絡(luò)的設(shè)備都應(yīng)該使用高性能的設(shè)備，并且這些設(shè)備可以每日進(jìn)行高效不間斷的運(yùn)行工作，以此來(lái)保證核心網(wǎng)絡(luò)的高效可靠。為了使核心層的網(wǎng)絡(luò)更加的穩(wěn)定，在設(shè)計(jì)核心網(wǎng)絡(luò)時(shí)LSW1和LSW2之間要采用e-trunk鏈路，來(lái)實(shí)現(xiàn)鏈路故障時(shí)可以備份。此外核心層網(wǎng)絡(luò)于匯聚層網(wǎng)絡(luò)層之間形成的環(huán)路配置MSTP，實(shí)現(xiàn)流量的負(fù)載分擔(dān)。核心層連接的出口路由器,為了提高出口路由的可靠性，在它們之間采用OSPF技術(shù)。核心交換機(jī)使用框式集群，從設(shè)備級(jí)提高網(wǎng)絡(luò)的可靠性。4.2.2公司網(wǎng)絡(luò)匯聚層設(shè)計(jì)在公司網(wǎng)絡(luò)中匯聚層位于核心層和接入層之間，它的主要工作是將接入層的數(shù)據(jù)進(jìn)行匯總?cè)缓筮M(jìn)行轉(zhuǎn)發(fā)，所以匯聚層網(wǎng)絡(luò)影響著整個(gè)公司網(wǎng)絡(luò)的數(shù)據(jù)的轉(zhuǎn)發(fā)交換能力，由于廈門煙草工業(yè)有限公司的部門較多，以至于接入點(diǎn)比較多所以就要求所使用的交換機(jī)必須具備高可靠性、高擴(kuò)展性、高容量，根據(jù)實(shí)際我們選擇了S5731-H系列的交換機(jī)。4.2.3公司網(wǎng)絡(luò)接入層設(shè)計(jì)[15]接入層的功能就是將所有用戶的數(shù)據(jù)接入并且整合封裝轉(zhuǎn)發(fā)，在匯聚層進(jìn)行更大范圍的轉(zhuǎn)發(fā)，為了防止匯聚層數(shù)據(jù)轉(zhuǎn)發(fā)的范圍較大，對(duì)用戶的流量進(jìn)行VLAN劃分,來(lái)達(dá)到數(shù)據(jù)流量之間的隔離。根據(jù)廈門煙草工業(yè)有限公司的實(shí)際情況設(shè)計(jì)，有五個(gè)部門以及一個(gè)辦公區(qū)，因此每個(gè)部門需配備一個(gè)服務(wù)器來(lái)連接接入層，根據(jù)公司規(guī)模以及實(shí)際情況接入層配備兩臺(tái)交換機(jī)。根據(jù)實(shí)際這些交換機(jī)要有一定的備用接口，并且交換機(jī)要具有高可靠性、支持MAC認(rèn)證、支持AAA認(rèn)證等。根據(jù)公司的實(shí)際情況接入交換機(jī)可以選擇S5735-L系列的交換機(jī)。它基本滿足所需要的特性。4.3網(wǎng)絡(luò)設(shè)備選型對(duì)于網(wǎng)絡(luò)部署的設(shè)備選擇，需要考慮多個(gè)因素，包括性能、功能、可擴(kuò)展性、可管理性、可靠性和成本等。因?yàn)橐獫M足煙草公司復(fù)雜的網(wǎng)絡(luò)架構(gòu)，需要高性能、大容量、可靠性高的設(shè)備，綜合以上因素，我們選擇了RouterNE16EX路由器、S12700E和S5731-H交換機(jī)。這些設(shè)備綜合考慮了性能、可靠性、擴(kuò)展性以及成本效益，為廈門煙草有限公司的網(wǎng)絡(luò)性能提升奠定了基礎(chǔ)。設(shè)備選擇如下面表4-1表4-1設(shè)備選型表設(shè)備名稱型號(hào)/版本特點(diǎn)核心路由器RouterNE16EX超大容量，超高性能,豐富的接口選項(xiàng)核心交換機(jī)S12700E智能堆疊技術(shù)匯聚交換機(jī)S5731-H高性能,高密度端口，高可靠性智能管理。接入交換機(jī)S5735-L具有多個(gè)備用接口，高可靠性4.4IP地址規(guī)劃和VLAN規(guī)劃在一個(gè)大型公司里面會(huì)有許多的部分和分公司，這會(huì)讓公司的網(wǎng)絡(luò)管理人員工作任務(wù)很重。因此合理的IP和VLAN規(guī)劃，不僅可以提高公司網(wǎng)絡(luò)的整體性能并且可以減少公司網(wǎng)絡(luò)管理人員的工作量。在規(guī)劃公司的IP和VLAN的時(shí)候，要和公司網(wǎng)絡(luò)的拓?fù)渚o密聯(lián)系。廈門煙草工業(yè)有限公司的公司網(wǎng)絡(luò)結(jié)構(gòu)主要是與銀行、分公司、省公司、國(guó)家局以及公司里的各個(gè)部門。根據(jù)公司網(wǎng)絡(luò)的具體需求提出一下規(guī)劃方案。4.4.1IP地址規(guī)劃(1)公司網(wǎng)絡(luò)核心層IP地址規(guī)劃核心交換機(jī)S12700E的IP地址規(guī)劃如表格4-2所示，S12700E分別通過虛擬接口VLANIF1200、VALNIF1201、VALNIF1202、VALNIF1203、VALNIF1005作為分公司、省公司、銀行以及國(guó)家局流量的網(wǎng)關(guān)。表4-2核心交換機(jī)S12700E的IP地址規(guī)劃表接口地址Vlanif1200/29Vlanif1201/29Vlanif12027/29Vlanif12035/29Vlanif1005/30總公司核心路由器IP地址規(guī)劃核心路由器Router-01和Router-02的IP地址規(guī)劃如表格4-3、4-4所示，Router-01通過g0/0/2與核心交換機(jī)連接，通過g0/0/0與內(nèi)網(wǎng)相連，通過g0/0/1與分公司相連，通過g2/0/0與國(guó)家局相連，，通過s1/0/0與省公司相連。通過g0/0/3與Router-02相連，Router-02通過g0/0/2與總公司核心交換機(jī)連接。表4-3核心路由器Router-01IP地址規(guī)劃表接口地址Serial1/0/0/29GigabitEthernet0/0/0/29GigabitEthernet0/0/161/28GigabitEthernet0/0/2/29GigabitEthernet0/0/3/29GigabitEthernet2/0/0/29表4-4核心路由器Router-02IP地址規(guī)劃表接口地址GigabitEthernet0/0/2/29GigabitEthernet0/0/3/29（3）公司匯聚層設(shè)備IP地址規(guī)劃匯聚交換機(jī)S5731-H-01和S5731-H-02的IP地址規(guī)劃如表格4-5和4-6所示，S5731-H-01和S5731-H-02通過虛擬接口VLANIF100、VLANIF101、VLANIF102、VLANIF103、VLANIF1001、VLANIF1202分別作為與服務(wù)器和總公司核心層流量的網(wǎng)關(guān)表4-5匯聚交換機(jī)S5731-H-01IP地址規(guī)劃表接口地址Vlanif100/27Vlanif1103/27Vlanif107/27Vlanif10329/27Vlanif10093/27Vlanif12028/29表4-6匯聚交換機(jī)S5731-H-02IP地址規(guī)劃表接口地址Vlanif100/27Vlanif1104/27Vlanif108/27Vlanif10330/27Vlanif10094/27Vlanif12026/29表4-6（4）表4-7分公司、省公司、銀行、以及國(guó)家局的IP地址規(guī)劃表地點(diǎn)地址分公司/28省公司/29銀行/29國(guó)家局/29（5）表4-8公司各部門IP地址規(guī)劃表地點(diǎn)地址市場(chǎng)部/24銷售部/24財(cái)務(wù)部/24管理部/24行政部/24辦公區(qū)/244.4.2VLAN規(guī)劃(1)表4-9分公司、省公司、銀行、以及國(guó)家局VLAN規(guī)劃表地點(diǎn)IP網(wǎng)段網(wǎng)關(guān)所屬VLAN分公司/28/28VLAN1000省公司/2/29VLAN1001銀行/29/29VLAN1002國(guó)家局/2/29VLAN1003（2）表4-10公司各個(gè)部門VLAN規(guī)劃表地點(diǎn)地址網(wǎng)關(guān)所屬VLAN市場(chǎng)部/24/24VLAN100銷售部/24/24VLAN101財(cái)務(wù)部/24/24VLAN102管理部/24/24VLAN103行政部/24/24VLAN104辦公區(qū)/24/24VLAN1054.5關(guān)鍵部署與實(shí)現(xiàn)4.5.1部署集群將兩臺(tái)S12700E-8交換機(jī)組建為集群系統(tǒng)作為核心交換機(jī),配置集群多主檢測(cè)功能<HUAWEI>system-view[HUAWEI]sysnameS12700E-8[S12700E-8]interfacegigabitethernet1/1/0/45[S12700E-8-GigabitEthernet1/1/0/45]descriptionTOGE2/1/0/45[S12700E-8-GigabitEthernet1/1/0/45]maddetectmodedirect[S12700E-8-GigabitEthernet1/1/0/45]quit[S12700E-8]interfacegigabitethernet2/1/0/45[S12700E-8-GigabitEthernet2/1/0/45]descriptionTOGE1/1/0/45[S12700E-8-GigabitEthernet2/1/0/45]maddetectmodedirect[S12700E-8-GigabitEthernet2/1/0/45]quit4.5.2配置VLAN在接入交換機(jī)S5735-L-01上配置VLAN，并將接口加入VLAN，實(shí)現(xiàn)二層互通。#創(chuàng)建下行服務(wù)器使用的VLAN100～103和1001。<HUAWEI>system-view[HUAWEI]sysnameS5735-L-01[S5735-L-01]vlanbatch100to1031001//將下行接口加入服務(wù)器使用的VLAN。[S5735-L-01]interfaceGigabitEthernet0/0/5[S5735-L-01-GigabitEthernet0/0/5]portlink-typeaccess[S5735-L-01-GigabitEthernet0/0/5]portdefaultvlan100[S5735-L-01-GigabitEthernet0/0/5]quit[S5735-L-01]interfaceGigabitEthernet0/0/6[S5735-L-01-GigabitEthernet0/0/6]portlink-typeaccess[S5735-L-01-GigabitEthernet0/0/6]portdefaultvlan101[S5735-L-01-GigabitEthernet0/0/6]quit[S5735-L-01]interfaceGigabitEthernet0/0/7[S5735-L-01-GigabitEthernet0/0/7]portlink-typeaccess[S5735-L-01-GigabitEthernet0/0/7]portdefaultvlan102[S5735-L-01-GigabitEthernet0/0/7]quit[S5735-L-01]interfaceGigabitEthernet0/0/8[S5735-L-01-GigabitEthernet0/0/8]portlink-typeaccess[S5735-L-01-GigabitEthernet0/0/8]portdefaultvlan103[S5735-L-01-GigabitEthernet0/0/8]quit[S5735-L-01]interfaceGigabitEthernet0/0/9[S5735-L-01-GigabitEthernet0/0/9]portlink-typeaccess[S5735-L-01-GigabitEthernet0/0/9]portdefaultvlan1001[S5735-L-01-GigabitEthernet0/0/9]quit//配置上行接口透?jìng)鞣?wù)器使用的VLAN[S5735-L-01]interfaceGigabitEthernet0/0/1[S5735-L-01-GigabitEthernet0/0/1]portlink-typetrunk[S5735-L-01-GigabitEthernet0/0/1]porttrunkallow-passvlan100to1031001[S5735-L-01-GigabitEthernet0/0/1]quit[S5735-L-01]interfaceGigabitEthernet0/0/2[S5735-L-01-GigabitEthernet0/0/2]portlink-typetrunk[S5735-L-01-GigabitEthernet0/0/2]porttrunkallow-passvlan100to1031001[S5735-L-01-GigabitEthernet0/0/2]quit在接入交換機(jī)S5735-L-02上配置VLAN，并將接口加入VLAN，實(shí)現(xiàn)二層互通。//創(chuàng)建下行服務(wù)器使用的VLAN100～103和1001。<HUAWEI>system-view[HUAWEI]sysnameS5735-L-02[S5735-L-02]vlanbatch100to1031001//將下行接口加入服務(wù)器使用的VLAN。[S5735-L-02]interfaceGigabitEthernet0/0/5[S5735-L-02-GigabitEthernet0/0/5]portlink-typeaccess[S5735-L-02-GigabitEthernet0/0/5]portdefaultvlan100[S5735-L-02-GigabitEthernet0/0/5]quit[S5735-L-02]interfaceGigabitEthernet0/0/6[S5735-L-02-GigabitEthernet0/0/6]portlink-typeaccess[S5735-L-02-GigabitEthernet0/0/6]portdefaultvlan101[S5735-L-02-GigabitEthernet0/0/6]quit[S5735-L-02]interfaceGigabitEthernet0/0/7[S5735-L-02-GigabitEthernet0/0/7]portlink-typeaccess[S5735-L-02-GigabitEthernet0/0/7]portdefaultvlan102[S5735-L-02-GigabitEthernet0/0/7]quit[S5735-L-02]interfaceGigabitEthernet0/0/8[S5735-L-02-GigabitEthernet0/0/8]portlink-typeaccess[S5735-L-02-GigabitEthernet0/0/8]portdefaultvlan103[S5735-L-02-GigabitEthernet0/0/8]quit[S5735-L-02]interfaceGigabitEthernet0/0/9[S5735-L-02-GigabitEthernet0/0/9]portlink-typeaccess[S5735-L-02-GigabitEthernet0/0/9]portdefaultvlan1001[S5735-L-02-GigabitEthernet0/0/9]quit//配置上行接口透?jìng)鞣?wù)器使用的VLAN[S5735-L-02]interfaceGigabitEthernet0/0/1[S5735-L-02-GigabitEthernet0/0/1]portlink-typetrunk[S5735-L-02-GigabitEthernet0/0/1]porttrunkallow-passvlan100to1031001[S5735-L-02-GigabitEthernet0/0/1]quit[S5735-L-02]interfaceGigabitEthernet0/0/2[S5735-L-02-GigabitEthernet0/0/2]portlink-typetrunk[S5735-L-02-GigabitEthernet0/0/2]porttrunkallow-passvlan100to1031001[S5735-L-02-GigabitEthernet0/0/2]quit在匯聚交換機(jī)S5731-H-01上配置VLAN，并將接口加入VLAN。//創(chuàng)建服務(wù)器使用的VLAN100～103和1001、匯聚交換機(jī)與核心交換機(jī)使用的VLAN1202<HUAWEI>system-view[HUAWEI]sysnameS5731-H-01[S5731-H-01]vlanbatch100to10310011202//將下行與接入交換機(jī)相連的接口加入VLAN100～103和1001[S5731-H-01]interfaceGigabitEthernet0/0/3[S5731-H-01-GigabitEthernet0/0/3]portlink-typetrunk[S5731-H-01-GigabitEthernet0/0/3]porttrunkallow-passvlan100to1031001[S5731-H-01-GigabitEthernet0/0/3]quit[S5731-H-01]interfaceGigabitEthernet0/0/4[S5731-H-01-GigabitEthernet0/0/4]portlink-typetrunk[S5731-H-01-GigabitEthernet0/0/4]porttrunkallow-passvlan100to1031001[S5731-H-01-GigabitEthernet0/0/4]quit//將與匯聚交換機(jī)S5731-H-02相連的接口加入VLAN100～103和1001。[S5731-H-01]interfaceGigabitEthernet0/0/13[S5731-H-01-GigabitEthernet0/0/13]portlink-typetrunk[S5731-H-01-GigabitEthernet0/0/13]porttrunkallow-passvlan100to1031001[S5731-H-01-GigabitEthernet0/0/13]quit//創(chuàng)建匯聚交換機(jī)上行與核心交換機(jī)通信的Eth-Trunk1，并將GE0/0/1和GE0/0/2加入Eth-Trunk1。[S5731-H-01]interfaceEth-Trunk1[S5731-H-01-Eth-Trunk1]portlink-typeaccess[S5731-H-01-Eth-Trunk1]trunkportxgigabitethernet0/0/1[S5731-H-01-Eth-Trunk1]trunkportxgigabitethernet0/0/2#將Eth-Trunk1加入VLAN1202。[S5731-H-01-Eth-Trunk1]portlink-typeaccess[S5731-H-01-Eth-Trunk1]portdefaultvlan1202[S5731-H-01-Eth-Trunk1]quit在匯聚交換機(jī)S5731-H-02上配置VLAN，并將接口加入VLAN。//創(chuàng)建服務(wù)器使用的VLAN100～103和1001、匯聚交換機(jī)與核心交換機(jī)使用的VLAN1203。<HUAWEI>system-view[HUAWEI]sysnameS5731-H-02[S5731-H-02]vlanbatch100to10310011203//將下行與接入交換機(jī)相連的接口加入VLAN100～103和1001[S5731-H-02]interfaceGigabitEthernet0/0/3[S5731-H-02-GigabitEthernet0/0/3]portlink-typetrunk[S5731-H-02-GigabitEthernet0/0/3]porttrunkallow-passvlan100to1031001[S5731-H-02-GigabitEthernet0/0/3]quit[S5731-H-02]interfaceGigabitEthernet0/0/4[S5731-H-02-GigabitEthernet0/0/4]portlink-typetrunk[S5731-H-02-GigabitEthernet0/0/4]porttrunkallow-passvlan100to1031001[S5731-H-02-GigabitEthernet0/0/4]quit//將與匯聚交換機(jī)S5731-H-01相連的接口加入VLAN100～103和1001。[S5731-H-02]interfaceGigabitEthernet0/0/13[S5731-H-02-GigabitEthernet0/0/13]portlink-typetrunk[S5731-H-02-GigabitEthernet0/0/13]porttrunkallow-passvlan100to1031001[S5731-H-02-GigabitEthernet0/0/13]quit//創(chuàng)建匯聚交換機(jī)上行與核心交換機(jī)通信的Eth-Trunk2，并將GE0/0/1和GE0/0/2加入Eth-Trunk2。[S5731-H-02]interfaceEth-Trunk2[S5731-H-02-Eth-Trunk2]portlink-typeaccess[S5731-H-02-Eth-Trunk2]trunkportxgigabitethernet0/0/1[S5731-H-02-Eth-Trunk2]trunkportxgigabitethernet0/0/2//將Eth-Trunk2加入VLAN1203。[S5731-H-02-Eth-Trunk2]portlink-typeaccess[S5731-H-02-Eth-Trunk2]portdefaultvlan1203[S5731-H-02-Eth-Trunk2]quit在核心交換機(jī)S12700E-8上配置VLAN，并將接口加入VLAN。//創(chuàng)建VLAN。[S12700E-8]vlanbatch1004to10051200to1203//將下行接口加入對(duì)應(yīng)VLAN[S12700E-8]interfaceEth-Trunk1[S12700E-8-Eth-Trunk1]trunkportgigabitethernet1/1/0/46[S12700E-8-Eth-Trunk1]trunkportgigabitethernet2/1/0/46[S12700E-8-Eth-Trunk1]portlink-typeaccess[S12700E-8-Eth-Trunk1]portdefaultvlan1202[S12700E-8-Eth-Trunk1]quit[S12700E-8]interfaceEth-Trunk2[S12700E-8-Eth-Trunk2]trunkportgigabitethernet1/1/0/47[S12700E-8-Eth-Trunk2]trunkportgigabitethernet2/1/0/47[S12700E-8-Eth-Trunk2]portlink-typeaccess[S12700E-8-Eth-Trunk2]portdefaultvlan1203[S12700E-8-Eth-Trunk2]quit//將上行接口加入對(duì)應(yīng)VLAN。[S12700E-8]interfacegigabitethernet1/1/0/1[S12700E-8-GigabitEthernet1/1/0/1]descriptionYinHang[S12700E-8-GigabitEthernet1/1/0/1]portlink-typeaccess[S12700E-8-GigabitEthernet1/1/0/1]portdefaultvlan1005[S12700E-8-GigabitEthernet1/1/0/1]quit[S12700E-8]interfacegigabitethernet2/1/0/1[S12700E-8-GigabitEthernet2/1/0/1]descriptionYinHang-bei[S12700E-8-GigabitEthernet2/1/0/1]portlink-typeaccess[S12700E-8-GigabitEthernet2/1/0/1]portdefaultvlan1004[S12700E-8-GigabitEthernet2/1/0/1]quit[S12700E-8]interfacegigabitethernet1/1/0/44[S12700E-8-GigabitEthernet1/1/0/44]descriptionTO-Router-01GE0/0/2[S12700E-8-GigabitEthernet1/1/0/44]portlink-typeaccess[S12700E-8-GigabitEthernet1/1/0/44]portdefaultvlan1201[S12700E-8-GigabitEthernet1/1/0/44]quit[S12700E-8]interfacegigabitethernet2/1/0/44[S12700E-8-GigabitEthernet2/1/0/44]descriptionTO-Router-02GE0/0/2[S12700E-8-GigabitEthernet2/1/0/44]portlink-typeaccess[S12700E-8-GigabitEthernet2/1/0/44]portdefaultvlan1200[S12700E-8-GigabitEthernet2/1/0/44]quit4.5.3配置STP配置接入交換機(jī)S5735-L-01的STP功能。//使能STP功能，配置模式為RSTP模式。[S5735-L-01]stpenable[S5735-L-01]stpmoderstp//將下行連接服務(wù)器的接口去使能STP功能。[S5735-L-01]interfaceGigabitEthernet0/0/5[S5735-L-01-GigabitEthernet0/0/5]stpdisable[S5735-L-01-GigabitEthernet0/0/5]quit[S5735-L-01]interfaceGigabitEthernet0/0/6[S5735-L-01-GigabitEthernet0/0/6]stpdisable[S5735-L-01-GigabitEthernet0/0/6]quit[S5735-L-01]interfaceGigabitEthernet0/0/7[S5735-L-01-GigabitEthernet0/0/7]stpdisable[S5735-L-01-GigabitEthernet0/0/7]quit[S5735-L-01]interfaceGigabitEthernet0/0/8[S5735-L-01-GigabitEthernet0/0/8]stpdisable[S5735-L-01-GigabitEthernet0/0/8]quit[S5735-L-01]interfaceGigabitEthernet0/0/9[S5735-L-01-GigabitEthernet0/0/9]stpdisable[S5735-L-01-GigabitEthernet0/0/9]quit配置接入交換機(jī)S5735-L-02的STP功能。//使能STP功能，配置模式為RSTP模式。[S5735-L-02]stpenable[S5735-L-02]stpmoderstp//將下行連接服務(wù)器的接口去使能STP功能[S5735-L-02]interfaceGigabitEthernet0/0/5[S5735-L-02-GigabitEthernet0/0/5]stpdisable[S5735-L-02-GigabitEthernet0/0/5]quit[S5735-L-02]interfaceGigabitEthernet0/0/6[S5735-L-02-GigabitEthernet0/0/6]stpdisable[S5735-L-02-GigabitEthernet0/0/6]quit[S5735-L-02]interfaceGigabitEthernet0/0/7[S5735-L-02-GigabitEthernet0/0/7]stpdisable[S5735-L-02-GigabitEthernet0/0/7]quit[S5735-L-02]interfaceGigabitEthernet0/0/8[S5735-L-02-GigabitEthernet0/0/8]stpdisable[S5735-L-02-GigabitEthernet0/0/8]quit[S5735-L-02]interfaceGigabitEthernet0/0/9[S5735-L-02-GigabitEthernet0/0/9]stpdisable[S5735-L-02-GigabitEthernet0/0/9]quit配置匯聚交換機(jī)S5731-H-01的STP功能。//使能STP功能，配置模式為RSTP模式，并配置為根橋。[S5731-H-01]stpenable[S5731-H-01]stpmoderstp[S5731-H-01]stpinstance0rootprimary//將Eth-Trunk1接口去使能STP功能，不需要參與生成樹計(jì)算。[S5731-H-01]stpenable[S5731-H-01]stpmoderstp[S5731-H-01]stpinstance0rootprimary配置匯聚交換機(jī)S5731-H-02的STP功能。//使能STP功能，配置模式為RSTP模式，并配置為備份根橋。[S5731-H-02]stpenable[S5731-H-02]stpmoderstp[S5731-H-02]stpinstance0rootsecondary//將Eth-Trunk2接口去使能STP功能，不需要參與生成樹計(jì)算。[S5731-H-02]interfaceEth-Trunk2[S5731-H-02-Eth-Trunk2]stpdisable[S5731-H-02-Eth-Trunk2]quit4.5.4配置VRRP//在匯聚交換機(jī)S5731-H-01上配置VRRP功能，進(jìn)行網(wǎng)關(guān)備份[S5731-H-01]interfacevlanif100[S5731-H-01-Vlanif100]vrrpvrid100virtual-ip0[S5731-H-01-Vlanif100]vrrpvrid100priority120[S5731-H-01-Vlanif100]vrrpvrid100trackinterfaceGigabitEthernet0/0/1reduced30[S5731-H-01-Vlanif100]vrrpvrid100trackinterfaceGigabitEthernet0/0/2reduced30[S5731-H-01-Vlanif100]quit[S5731-H-01]interfacevlanif101[S5731-H-01-Vlanif101]vrrpvrid101virtual-ip0[S5731-H-01-Vlanif101]vrrpvrid101priority120[S5731-H-01-Vlanif101]vrrpvrid101trackinterfaceGigabitEthernet0/0/1reduced30[S5731-H-01-Vlanif101]vrrpvrid101trackinterfaceGigabitEthernet0/0/2reduced30[S5731-H-01-Vlanif101]quit[S5731-H-01]interfacevlanif102[S5731-H-01-Vlanif102]vrrpvrid102virtual-ip9[S5731-H-01-Vlanif102]vrrpvrid102priority120[S5731-H-01-Vlanif102]vrrpvrid102trackinterfaceGigabitEthernet0/0/1reduced30[S5731-H-01-Vlanif102]vrrpvrid102trackinterfaceGigabitEthernet0/0/2reduced30[S5731-H-01-Vlanif102]quit[S5731-H-01]interfacevlanif103[S5731-H-01-Vlanif103]vrrpvrid103virtual-ip31[S5731-H-01-Vlanif103]vrrpvrid103priority120[S5731-H-01-Vlanif103]vrrpvrid103trackinterfaceGigabitEthernet0/0/1reduced30[S5731-H-01-Vlanif103]vrrpvrid103trackinterfaceGigabitEthernet0/0/2reduced30[S5731-H-01-Vlanif103]quit[S5731-H-01]interfacevlanif1001[S5731-H-01-Vlanif1001]vrrpvrid161virtual-ip95[S5731-H-01-Vlanif1001]vrrpvrid161priority120[S5731-H-01-Vlanif1001]vrrpvrid161trackinterfaceGigabitEthernet0/0/1reduced30[S5731-H-01-Vlanif1001]vrrpvrid161trackinterfaceGigabitEthernet0/0/2reduced30[S5731-H-01-Vlanif1001]quit//在匯聚交換機(jī)S5731-H-02上配置VRRP功能[S5731-H-02]interfacevlanif100[S5731-H-02-Vlanif100]vrrpvrid100virtual-ip0[S5731-H-02-Vlanif100]quit[S5731-H-02]interfacevlanif101[S5731-H-02-Vlanif101]vrrpvrid101virtual-ip0[S5731-H-02-Vlanif101]quit[S5731-H-02]interfacevlanif102[S5731-H-02-Vlanif102]vrrpvrid102virtual-ip9[S5731-H-02-Vlanif102]quit[S5731-H-02]interfacevlanif103[S5731-H-02-Vlanif103]vrrpvrid103virtual-ip31[S5731-H-02-Vlanif103]quit[S5731-H-02]interfacevlanif1001[S5731-H-02-Vlanif1001]vrrpvrid161virtual-ip95[S5731-H-02-Vlanif1001]quit4.5.5配置路由//在匯聚交換機(jī)S5731-H-01上配置實(shí)現(xiàn)OSPF功能[S5731-H-01]routerid[S5731-H-01]ospf1router-id[S5731-H-01-ospf-1]import-routedirect[S5731-H-01-ospf-1]import-routestatic[S5731-H-01-ospf-1]area[S5731-H-01-ospf-1-area-]network[S5731-H-01-ospf-1-area-]network6[S5731-H-01-ospf-1-area-]quit[S5731-H-01-ospf-1]quit//在匯聚交換機(jī)S5731-H-02上配置實(shí)現(xiàn)OSPF功能[S5731-H-02]routerid[S5731-H-02]ospf1router-id[S5731-H-02-ospf-1]import-routedirect[S5731-H-02-ospf-1]import-routestatic[S5731-H-02-ospf-1]area[S5731-H-02-ospf-1-area-]network[S5731-H-02-ospf-1-area-]network4[S5731-H-02-ospf-1-area-]quit[S5731-H-02-ospf-1]quit在核心交換機(jī)S12700E-8上配置實(shí)現(xiàn)OSPF功能。//為防止STP阻塞端口，去使能STP功能。[S12700E-8]stpdisable//配置OSPF功能。[S12700E-8]routerid[S12700E-8]ospf1router-id[S12700E-8-ospf-1]import-routedirect[S12700E-8-ospf-1]import-routestatic[S12700E-8-ospf-1]area[S12700E-8-ospf-1-area-]network[S12700E-8-ospf-1-area-]network[S12700E-8-ospf-1-area-]network[S12700E-8-ospf-1-area-]network[S12700E-8-ospf-1-area-]network[S12700E-8-ospf-1-area-]network[S12700E-8-ospf-1-area-]network6[S12700E-8-ospf-1-area-]network4[S12700E-8-ospf-1-area-]quit[S12700E-8-ospf-1]quit在Router-01上配置實(shí)現(xiàn)OSPF功能。[Router-01]routerid[Router-01]ospf1router-id[Router-01-ospf-1]import-routedirect[Router-01-ospf-1]import-routestatic[Router-01-ospf-1]area[Router-01-ospf-1-area-]network[Router-01-ospf-1-area-]network605[Router-01-ospf-1-area-]network[Router-01-ospf-1-area-]network[Router-01-ospf-1-area-]quit[Router-01-ospf-1]quit[Router-01]interfacegigabitethernet0/0/1[Router-01-GigabitEthernet0/0/1]ospfcost5[Router-01-GigabitEthernet0/0/1]quit[Router-01]interfacegigabitethernet0/0/2[Router-01-GigabitEthernet0/0/2]ospfcost5[Router-01-GigabitEthernet0/0/2]quit[Router-01]interfacegigabitethernet0/0/3[Router-01-GigabitEthernet0/0/3]ospfcost10[Router-01-GigabitEthernet0/0/3]quit//在Router-01上配置靜態(tài)路由[Router-01]iproute-static//外網(wǎng)[Router-01]iproute-static//國(guó)家局[Router-01]iproute-static//省公司//在Router-01上配置路由策略。[Router-01]route-policytestpermitnode1[Router-01-route-policy]if-matchinterfaceGigabitEthernet0/0/0[Router-01-route-policy]applycost-typetype-2[Router-01-route-policy]quit[Router-01]ospf1[Router-01-ospf-1]default-route-advertiseroute-policytest//發(fā)布缺省路由[Router-01-ospf-1]quit//在Router-02上配置實(shí)現(xiàn)OSPF功能[Router-02]routerid[Router-02]ospf1router-id[Router-02-ospf-1]import-routedirect[Router-02-ospf-1]import-routestatic[Router-02-ospf-1]area[Router-02-ospf-1-area-]network[Router-02-ospf-1-area-]network[Router-02-ospf-1-area-]network[Router-02-ospf-1-area-]quit4.5.6配置BFD//在匯聚交換機(jī)S5731-H-01上配置實(shí)現(xiàn)OSPF與BFD聯(lián)動(dòng)功能。[S5731-H-01]bfd[S5731-H-01-bfd]quit[S5731-H-01]ospf1[S5731-H-01-ospf-1]bfdall-interfacesenable[S5731-H-01-ospf-1]quit//在匯聚交換機(jī)S5731-H-02上配置實(shí)現(xiàn)OSPF與BFD聯(lián)動(dòng)功能。[S5731-H-02]bfd[S5731-H-02-bfd]quit[S5731-H-02]ospf1[S5731-H-02-ospf-1]bfdall-interfacesenable[S5731-H-02-ospf-1]quit//在核心交換機(jī)S12700E-8上配置實(shí)現(xiàn)OSPF與BFD聯(lián)動(dòng)功能[S12700E-8]bfd[S12700E-8-bfd]quit[S12700E-8]ospf1[S12700E-8-ospf-1]bfdall-interfacesenable[S12700E-8-ospf-1]quit//在Router-01上配置實(shí)現(xiàn)OSPF聯(lián)動(dòng)BFD功能。[Router-01]bfd[Router-01-bfd]quit[Router-01]ospf1[Router-01-ospf-1]bfdall-interfacesenable[Router-01-ospf-1]quit//在Router-02上配置OSPF聯(lián)動(dòng)BFD功能。[Router-02]bfd[Router-02-bfd]quit[Router-02]ospf1[Router-02-ospf-1]bfdall-interfacesenable[Router-02-ospf-1]quit4.5.7配置NAT在Router-01上配置內(nèi)網(wǎng)到外網(wǎng)的NAT轉(zhuǎn)換，使內(nèi)網(wǎng)用戶可以訪問外網(wǎng)。//配置實(shí)現(xiàn)內(nèi)網(wǎng)到Internet的NAT轉(zhuǎn)換。[Router-01]aclnumber2000[Router-01-acl-basic-2000]descriptionith[Router-01-acl-basic-2000]rule5permitsource55[Router-01-acl-basic-2000]quit[Router-01]interfacegigabitethernet0/0/0[Router-01-GigabitEthernet0/0/0]natoutbound2000[Router-01-GigabitEthernet0/0/0]quit//配置實(shí)現(xiàn)內(nèi)網(wǎng)到省公司的NAT轉(zhuǎn)換[Router-01]aclnumber2002[Router-01-acl-basic-2002]descriptionnattoshenggongsi[Router-01-acl-basic-2002]rule1denysource55[Router-01-acl-basic-2002]rule6permitsource55[Router-01-acl-basic-2002]quit[Router-01]interfaceserial1/0/0[Router-01-Serial1/0/1]natoutbound2002[Router-01-Serial1/0/1]quit//配置實(shí)現(xiàn)內(nèi)網(wǎng)到分公司的NAT轉(zhuǎn)換。[Router-01]aclnumber3000[Router-01-acl-adv-3000]rule1permitipsource55destination0[Router-01-acl-adv-3000