湖南商務(wù)職業(yè)技術(shù)學(xué)院畢業(yè)設(shè)計(jì)

目錄

1背景與需求.......................................................1

1.1公司簡(jiǎn)介與項(xiàng)目背景..........................................1

1.2網(wǎng)絡(luò)設(shè)計(jì)需求與分析..........................................1

2網(wǎng)絡(luò)構(gòu)建.........................................................2

2.1公司網(wǎng)絡(luò)拓?fù)鋱D規(guī)劃..........................................2

2.2公司VLAN及地址規(guī)劃.........................................2

3技術(shù)造型.........................................................3

3.1VLAN技術(shù)...................................................3

3.2STP技術(shù)....................................................3

3.3DHCP技術(shù)...................................................4

3.4鏈路聚合技術(shù)................................................5

3.5防火墻技術(shù)..................................................5

4設(shè)備選型.........................................................5

4.1核心層設(shè)備選型..............................................6

4.2匯聚層設(shè)備選型..............................................8

4.3接入層設(shè)備選型..............................................9

4.4防火墻設(shè)備選型.............................................11

5配置命令........................................................12

5.1VLAN配置..................................................12

5.2DHCP配置..................................................14

5.3鏈路聚合...................................................15

5.4STP配置...................................................15

5.5防火墻.....................................................16

6網(wǎng)絡(luò)系統(tǒng)維護(hù)....................................................16

7設(shè)計(jì)小結(jié)........................................................17

參考文獻(xiàn)...........................................................18

湖南商務(wù)職業(yè)技術(shù)學(xué)院畢業(yè)設(shè)計(jì)

皓華公司網(wǎng)絡(luò)規(guī)劃與設(shè)計(jì)

1背景與需求

1.1公司簡(jiǎn)介與項(xiàng)目背景

皓華計(jì)算機(jī)科技有限公司經(jīng)營(yíng)范圍包括：計(jì)算機(jī)硬件、應(yīng)用軟件開(kāi)發(fā)；計(jì)

算機(jī)硬件、電子產(chǎn)品及配件、通用儀器儀表、計(jì)算機(jī)軟件銷(xiāo)售；辦公設(shè)備、通

信設(shè)備零售；多媒體設(shè)計(jì)服務(wù)；智能化技術(shù)服務(wù)；自動(dòng)化控制系統(tǒng)的研發(fā)、安

裝、銷(xiāo)售及服務(wù)；量子信息技術(shù)的研發(fā)；信息技術(shù)咨詢(xún)服務(wù)；網(wǎng)絡(luò)集成系統(tǒng)建

設(shè)、維護(hù)、運(yùn)營(yíng)、租賃；信息系統(tǒng)集成服務(wù)；物聯(lián)網(wǎng)技術(shù)服務(wù)；固定電信服務(wù)；

移動(dòng)電信服務(wù)；跨地區(qū)增值電信服務(wù)；弱電工程總承包；軟件開(kāi)發(fā)系統(tǒng)集成服

務(wù)等。員工共有200人左右。

作為一家計(jì)算機(jī)網(wǎng)絡(luò)科技公司，擁有合適的網(wǎng)絡(luò)是一種必然的趨勢(shì)。網(wǎng)絡(luò)

系統(tǒng)的建設(shè)目標(biāo)為搭建一個(gè)適合現(xiàn)階段的高效、穩(wěn)定的內(nèi)部網(wǎng)絡(luò)架構(gòu)，能滿(mǎn)足

未來(lái)至少幾年的需求，采用先進(jìn)的計(jì)算機(jī)、網(wǎng)絡(luò)設(shè)備和軟件，以及先進(jìn)的系統(tǒng)

集成技術(shù)，構(gòu)建一個(gè)高效的辦公網(wǎng)絡(luò)，從而促進(jìn)企業(yè)辦公簡(jiǎn)約化，提升部門(mén)的

辦公效率。

1.2網(wǎng)絡(luò)設(shè)計(jì)需求與分析

皓華公司面對(duì)的主要用戶(hù)是公司員工。

企業(yè)有四個(gè)部門(mén)需要用到網(wǎng)絡(luò)，分別是銷(xiāo)售部、技術(shù)部、財(cái)務(wù)部、管理部，

他們需要使用網(wǎng)絡(luò)的人數(shù)分別為80、40、20、20，銷(xiāo)售部與技術(shù)部后期會(huì)增長(zhǎng)

人數(shù)，完成千兆以太網(wǎng)主體，百兆以太網(wǎng)生活，實(shí)現(xiàn)內(nèi)部全網(wǎng)覆蓋，需要各部

門(mén)之間能夠相互通信、共享各類(lèi)資源并能訪(fǎng)問(wèn)外網(wǎng)，且管理部應(yīng)隨時(shí)能訪(fǎng)問(wèn)各

部門(mén)。

在在網(wǎng)絡(luò)通訊快速發(fā)展的當(dāng)代，網(wǎng)絡(luò)已然成為支撐企業(yè)各種業(yè)務(wù)中重要的

一環(huán)。構(gòu)建企業(yè)網(wǎng)絡(luò)最終是為了用戶(hù)的必要需求，用戶(hù)的必要需求則包含了可

靠性、安全性、可管理性、穩(wěn)定性等。信息安全方面，既考慮信息資源的充分

共享，更要注意信息的保護(hù)和隔離，因此系統(tǒng)應(yīng)分別針對(duì)不同的應(yīng)用和不同的

網(wǎng)絡(luò)通信環(huán)境，采取不同的措施，包括系統(tǒng)安全機(jī)制、數(shù)據(jù)存取的權(quán)限控制等。

可管理性方面，以未來(lái)發(fā)展思想站住腳，用戶(hù)發(fā)展的數(shù)量與質(zhì)量的必然提高，

再結(jié)合共享資源給特定用戶(hù)之類(lèi)的需求，企業(yè)內(nèi)部應(yīng)部署DHCP服務(wù)器，以確保

1

湖南商務(wù)職業(yè)技術(shù)學(xué)院畢業(yè)設(shè)計(jì)

能獲取到不重復(fù)的IP地址?？煽啃耘c穩(wěn)定性方面，應(yīng)從系統(tǒng)結(jié)構(gòu)、技術(shù)措施、

設(shè)備性能、系統(tǒng)管理、廠商技術(shù)支持及維修能力等方面著手，確保系統(tǒng)運(yùn)行的

可靠性和穩(wěn)定性，達(dá)到最大的平均無(wú)故障時(shí)間。

2網(wǎng)絡(luò)構(gòu)建

2.1公司網(wǎng)絡(luò)拓?fù)鋱D規(guī)劃

圖1網(wǎng)絡(luò)拓?fù)鋱D

2.2公司VLAN及地址規(guī)劃

皓華公司網(wǎng)絡(luò)分為兩個(gè)區(qū)域，在防火墻右邊的是內(nèi)部網(wǎng)絡(luò)，也就是trust

區(qū)域，右邊則是外部網(wǎng)絡(luò)，也就是untrust區(qū)域。用戶(hù)太多，這里用一臺(tái)代指

一個(gè)部門(mén)，設(shè)備選型皆為H3C。

網(wǎng)絡(luò)地址資源設(shè)計(jì)是對(duì)網(wǎng)絡(luò)使用的資源進(jìn)行調(diào)度分配，根據(jù)網(wǎng)絡(luò)的實(shí)際需

2

湖南商務(wù)職業(yè)技術(shù)學(xué)院畢業(yè)設(shè)計(jì)

求對(duì)網(wǎng)絡(luò)的地址資源、局域網(wǎng)資源和服務(wù)器資源進(jìn)行劃分調(diào)度，對(duì)于資源的分

配則是采用實(shí)事求是的原則，有多少需求就給多少，避免鋪張浪費(fèi)。

一下網(wǎng)絡(luò)地址劃分是根據(jù)業(yè)務(wù)特性進(jìn)行分配，僅為網(wǎng)絡(luò)段分配，詳細(xì)分配

根據(jù)實(shí)際應(yīng)用，所有段地址最末尾客源地址為其網(wǎng)關(guān)地址。

表1IP地址表

部門(mén)VLAN端口IP地址范圍網(wǎng)關(guān)

銷(xiāo)售部10/2454

技術(shù)部20/2454

財(cái)務(wù)部30/2454

管理部40/2454

3技術(shù)造型

3.1VLAN技術(shù)

VLAN技術(shù)是關(guān)于虛擬局域網(wǎng)的技術(shù)，虛擬局域網(wǎng)是將一個(gè)共享網(wǎng)絡(luò)中區(qū)分

成多個(gè)小區(qū)域，每個(gè)區(qū)域稱(chēng)為一個(gè)VLAN，VLAN分段可以防止廣播風(fēng)暴波及整個(gè)

網(wǎng)絡(luò)。VLAN可以提供建立防火墻的機(jī)制，防止交換網(wǎng)絡(luò)的過(guò)量廣播。在相應(yīng)的

配置下同一個(gè)VLAN間能夠設(shè)置是否能互相通信，不同VLAN之間也行，如果不

同VLAN要進(jìn)行通信，則需要通過(guò)路由器或三層交換機(jī)等三層設(shè)備做相應(yīng)的配

置，一般情況下不同的廣播域做隔離，以此提高網(wǎng)絡(luò)的安全性。一個(gè)二層網(wǎng)絡(luò)

劃分為多個(gè)有差異的廣播域，一個(gè)廣播域?qū)?yīng)一個(gè)VLAN，不同的廣播域想要通

信，需要在不同的VLAN上進(jìn)行配置相應(yīng)的tag標(biāo)識(shí)。

3.2STP技術(shù)

STP中文名為生成樹(shù)協(xié)議，是用于在局域網(wǎng)中消除環(huán)路效果的協(xié)議。可應(yīng)

用于計(jì)算機(jī)網(wǎng)絡(luò)中樹(shù)形拓?fù)浣Y(jié)構(gòu)建立，主要作用是防止網(wǎng)橋網(wǎng)絡(luò)中的冗余鏈路

形成環(huán)路工作。但某些特定因素會(huì)導(dǎo)致STP失敗，要排除故障可能非常困難，

這取決于網(wǎng)絡(luò)設(shè)計(jì)。生成樹(shù)協(xié)議適合所有廠商的網(wǎng)絡(luò)設(shè)備。冗余鏈路問(wèn)題在于

會(huì)產(chǎn)生環(huán)路，環(huán)路容易泛洪、Mac地址震蕩。當(dāng)鏈路產(chǎn)生弊端時(shí)，生成樹(shù)能激

3

湖南商務(wù)職業(yè)技術(shù)學(xué)院畢業(yè)設(shè)計(jì)

活冗余備份鏈路，保障網(wǎng)絡(luò)不會(huì)中斷，利用STP阻塞端口打消環(huán)路，并完成鏈

路備份。

在STP操作中，首先選舉根網(wǎng)橋；再在非跟橋上選舉一個(gè)根端口；STP在

每條物理鏈路上會(huì)選擇一個(gè)指定端口；最后剩下的做預(yù)備端口。STP中BPDU的

運(yùn)算很重要，BPDU又稱(chēng)橋協(xié)議數(shù)據(jù)單元，其中包含了橋ID、開(kāi)銷(xiāo)、端口ID、

等參數(shù)，選擇根網(wǎng)橋的依據(jù)是交換機(jī)的網(wǎng)橋優(yōu)先級(jí)，網(wǎng)橋優(yōu)先級(jí)是用來(lái)衡量網(wǎng)

橋在生成樹(shù)算法中優(yōu)先級(jí)的十進(jìn)制數(shù)，取值范圍是0～65535，默認(rèn)值是32768，

網(wǎng)橋ID=網(wǎng)橋優(yōu)先級(jí)+網(wǎng)橋MAC地址組成的，共有8個(gè)字節(jié)。因?yàn)榻粨Q機(jī)的網(wǎng)橋

優(yōu)先級(jí)都是默認(rèn)，所以在根網(wǎng)橋的選舉中一般比較的是網(wǎng)卡MAC地址的大小，

MAC地址小的為根網(wǎng)橋。

我們選用的是STP模式的其中一種，MSTP，因單生成樹(shù)有部分VLAN路徑

不通，無(wú)法實(shí)現(xiàn)負(fù)載分擔(dān)，會(huì)有二層次優(yōu)路徑，所以這里用MSTP多生成樹(shù)，MSTP

是由多個(gè)RSTP組合而成，每個(gè)RSTP被稱(chēng)作一個(gè)多生成樹(shù)實(shí)例，它們之間相互

獨(dú)立，每個(gè)生成樹(shù)實(shí)例的計(jì)算過(guò)程與快速生成的計(jì)算進(jìn)程相同，既能解決但生

成樹(shù)的弊端又能快速收斂。

3.3DHCP技術(shù)

DHCP就是動(dòng)態(tài)主機(jī)配置協(xié)議，一個(gè)動(dòng)態(tài)分配IP地址等相關(guān)參數(shù)的協(xié)議。

因網(wǎng)絡(luò)規(guī)模的不斷擴(kuò)大、程度的不斷復(fù)雜，計(jì)算機(jī)位置不得不進(jìn)行不停變化，

導(dǎo)致IP地址變化頻繁以及IP地址分配不足等問(wèn)題，這時(shí)就需要DHCP。DHCP一

般用于大型網(wǎng)絡(luò)，其主要作用主要作用是集中的管理、分配IP地址，使網(wǎng)絡(luò)環(huán)

境中的主機(jī)動(dòng)態(tài)的獲得IP地址、網(wǎng)關(guān)、域名等信息，并能夠提升地址的使用率，

且保證IP地址不會(huì)重復(fù)，如此便不需要專(zhuān)門(mén)指派人手去配置，省時(shí)又省力。

DHCP有三種分配方式：

1)自動(dòng)分配方式，DHCP服務(wù)器為主機(jī)指定一個(gè)永久性的IP地址，一旦DHCP

客戶(hù)端第一次成功從DHCP服務(wù)器端用到IP地址后，就可以永久性的使用該地

址。

2)動(dòng)態(tài)分配方式，DHCP服務(wù)器給主機(jī)指定一個(gè)具有時(shí)間限制的IP地址，

時(shí)間到期或主機(jī)表示放棄該地址時(shí)，這個(gè)地址才可以被其他主機(jī)使用。

3)手工分配方式，客戶(hù)端的IP地址是由網(wǎng)絡(luò)管理員指定的，DHCP服務(wù)器

只是將指定的IP地址告訴客戶(hù)端主機(jī)。

三種地址分配方式中，只有動(dòng)態(tài)分配可以重復(fù)使用客戶(hù)端不再需要的地址。

4

湖南商務(wù)職業(yè)技術(shù)學(xué)院畢業(yè)設(shè)計(jì)

3.4鏈路聚合技術(shù)

鏈路聚合就是把兩臺(tái)設(shè)備之間的物理端口匯聚在一起形成邏輯端口，以實(shí)

現(xiàn)出/入流量在各成員端口的負(fù)載分擔(dān)。鏈路聚合不止是聚合鏈路，還需做相應(yīng)

的配置把流量聚合起來(lái)，這樣流量就不容易堵塞。鏈路聚合為企業(yè)網(wǎng)絡(luò)提供了

高可靠性，鏈路聚合的其中一條物理鏈路不知何因斷開(kāi)后，會(huì)把流量變向到另

一個(gè)成員鏈路上，等故障鏈路恢復(fù)后再次擔(dān)任原流量鏈路。

鏈路聚合有兩種方式：手動(dòng)負(fù)載平衡和LACP。手動(dòng)負(fù)載平衡是指一切流動(dòng)

鏈路都會(huì)參加數(shù)據(jù)轉(zhuǎn)發(fā)，平均分擔(dān)流量傳輸任務(wù)，LACP方式中兩臺(tái)設(shè)備會(huì)彼此

發(fā)送報(bào)文確定活動(dòng)端口，如果一條鏈路故障，流量將自動(dòng)切換備份鏈路，實(shí)現(xiàn)

網(wǎng)絡(luò)不中斷。在一個(gè)聚合鏈路端口中成員物理端口虛擬端口的一切參數(shù)必須統(tǒng)

一。

3.5防火墻技術(shù)

是一個(gè)由計(jì)算機(jī)硬件和軟件組成的系統(tǒng)，部署于網(wǎng)絡(luò)邊界，是內(nèi)部網(wǎng)絡(luò)和

外部網(wǎng)絡(luò)之間的連接橋梁，同時(shí)對(duì)進(jìn)出網(wǎng)絡(luò)邊界的數(shù)據(jù)進(jìn)行保護(hù)，防止惡意入

侵、惡意代碼的傳播等，保障內(nèi)部網(wǎng)絡(luò)數(shù)據(jù)的安全。阻遏火勢(shì)繼續(xù)蔓延至別的

區(qū)域中用來(lái)隔離的墻，它只會(huì)阻擋兩個(gè)網(wǎng)絡(luò)之間的火或者說(shuō)是病毒，正常的通

信報(bào)文則不會(huì)阻攔，主要作用為安全防護(hù)。防火墻技術(shù)是建立在網(wǎng)絡(luò)技術(shù)和信

息安全技術(shù)基礎(chǔ)上的應(yīng)用性安全技術(shù)，幾乎所有的企業(yè)內(nèi)部網(wǎng)絡(luò)與外部網(wǎng)絡(luò)相

連接的邊界設(shè)都會(huì)放置防火墻，防火墻能夠起到安全過(guò)濾和安全隔離外網(wǎng)攻擊、

入侵等有害的網(wǎng)絡(luò)安全信息和行為。

網(wǎng)絡(luò)的安全性一直是一個(gè)重要問(wèn)題，從最早期的隔離功能到現(xiàn)在的應(yīng)用程

序控制，范圍越來(lái)越廣，性能越來(lái)越高，為了更好的處理網(wǎng)絡(luò)業(yè)務(wù)的增長(zhǎng)而產(chǎn)

生的流量，防火墻效果的提高已成為了必然。為了防止外來(lái)用戶(hù)盜取企業(yè)機(jī)密，

防火墻這一設(shè)施必不可少。

4設(shè)備選型

網(wǎng)絡(luò)設(shè)備的選型的第一步應(yīng)是品牌的選擇，品牌商至少應(yīng)擁有龐大的生產(chǎn)

線(xiàn)以及強(qiáng)大的技術(shù)認(rèn)證團(tuán)隊(duì)的支持，且在市場(chǎng)上的口碑相比于同行業(yè)的其他廠

商要優(yōu)。若同時(shí)滿(mǎn)足這些條件，表明該品牌產(chǎn)品的成熟度相當(dāng)高，自然會(huì)被廣

大用戶(hù)采用，品牌商的質(zhì)量以及售后服務(wù)應(yīng)能得到很好的支持。根據(jù)公司自身

5

湖南商務(wù)職業(yè)技術(shù)學(xué)院畢業(yè)設(shè)計(jì)

的需求，經(jīng)過(guò)多家品牌商的比較，決定選用H3C相關(guān)產(chǎn)品設(shè)備。

公司的網(wǎng)絡(luò)設(shè)備選型如表2所示：

表2網(wǎng)絡(luò)設(shè)備選型表

設(shè)備設(shè)備型號(hào)數(shù)量

核心層交換機(jī)S6520-26C-EI1

匯聚層交換機(jī)S5570S-28S-EI2

接入層交換機(jī)S5120V2-52P-SI4

防火墻F100-S-G31

4.1核心層設(shè)備選型

核心層設(shè)備采用S6520-26C-EI交換機(jī)如下圖所示：

圖2S6520-26C-EI交換機(jī)

擴(kuò)展性：IRF2技術(shù)允許實(shí)現(xiàn)多臺(tái)設(shè)備的擴(kuò)展；具有即插即用、單一IP管

理的特點(diǎn)，同步升級(jí)的優(yōu)點(diǎn)，同時(shí)大大降低系統(tǒng)擴(kuò)展的成本。

可靠性：通過(guò)路由熱備份技術(shù)，在整個(gè)IRF組內(nèi)實(shí)現(xiàn)了控制平面和數(shù)據(jù)平

面所有信息的冗余備份和無(wú)間斷的三層轉(zhuǎn)發(fā)，極大的增強(qiáng)了可靠性和高性能，

同時(shí)消除了單點(diǎn)故障，避免了業(yè)務(wù)中斷。

可用性：通過(guò)標(biāo)準(zhǔn)的萬(wàn)兆以太網(wǎng)接口實(shí)現(xiàn)智能彈性架構(gòu)，可以根據(jù)需求分

配業(yè)務(wù)帶寬和系統(tǒng)連接帶寬，合理分配本地流量與上行流量；不僅可以實(shí)現(xiàn)機(jī)

架內(nèi)、跨機(jī)架，甚至跨區(qū)域的遠(yuǎn)距離智能彈性架構(gòu)。

S6520-EI系列交換機(jī)采用模塊化雙電源及風(fēng)扇框設(shè)計(jì)，模塊化配件均支持

熱插拔；采用模塊化軟件平臺(tái)，可根據(jù)需求靈活的增加及刪減相關(guān)的軟件功能

模塊。通過(guò)精細(xì)的物理結(jié)構(gòu)及軟件流程優(yōu)化，大幅度降低了端到端的包處理時(shí)

延。

S6520-EI系列交換機(jī)支持支持ISSU、OAM，充分滿(mǎn)足了網(wǎng)絡(luò)對(duì)設(shè)備高性能、

易管理及綠色節(jié)能的需要。

H3CS6520-EI系列交換機(jī)有著豐富的管理接口，例如Console、帶外網(wǎng)口、

USB口，支持SNMPv1/V2/v3，支持iMC智能管理中心。支持CLI命令行，TELNET

6

湖南商務(wù)職業(yè)技術(shù)學(xué)院畢業(yè)設(shè)計(jì)

及FTP配置，Web網(wǎng)管，OAM，使設(shè)備管理更方便，且支持SSL、SSH2.0等加密

方式，使得管理更加安全。

S6520-26C-EI交換機(jī)的參數(shù)，如表3所示：

表3S6520-26C-EI參數(shù)

產(chǎn)品類(lèi)型千兆以太網(wǎng)交換機(jī)

傳輸速率1000/10000Mbps

交換方式存儲(chǔ)-轉(zhuǎn)發(fā)

支持靜態(tài)MAC地址，支持黑洞MAC地址，支持設(shè)置端口MAC

MAC地址表

地址學(xué)習(xí)最大個(gè)數(shù)

支持基于端口的VLAN

支持DefaultVLAN

VLAN支持QINQ靈活QINQ

支持VLANMAPPING

支持PVST+支持RPVST+

支持10GE端口聚合

鏈路聚合支持40GE端口聚合

支持靜態(tài)聚合、動(dòng)態(tài)聚合

DHCPClient

DHCPSnooping

DHCPDHCPRelay

DHCPServer

DHCPSnoopingoption82/DHCPRelayoption82

支持STP/RSTP/MSTP協(xié)議

支持STPRootGuard

二層環(huán)網(wǎng)協(xié)議

支持BPDUGuard

支持ERPS以太環(huán)保護(hù)協(xié)議

支持IPv4、IPv6靜態(tài)路由，RIP等三層動(dòng)態(tài)路由協(xié)議

支持策略路由器;

路由協(xié)議支持RIPv1/2、RIPng

支持等價(jià)路由、VRRP、OSPFv1/v2、OSPFv3、BGP、ISIS等增

強(qiáng)三層路由協(xié)議

支持ND（NeighborDiscovery）

支持PMTU

IPV6特性

支持ICMPv6、Telnetv6、SFTPv6、SNMPv6、BFDv6、VRRP

v3

7

湖南商務(wù)職業(yè)技術(shù)學(xué)院畢業(yè)設(shè)計(jì)

支持IPv6Portal

支持IPv6tunnel

4.2匯聚層設(shè)備選型

匯聚層采用S5570S-28S-EI交換機(jī)如下圖所示：

圖3S5570S-28S-EI交換機(jī)

交換機(jī)實(shí)現(xiàn)基于硬件的IPv4/IPv6雙棧道平臺(tái)，支持多種隧道技術(shù)，IPv4

和IPv6三層路由協(xié)議、組播技術(shù)以及策略路由機(jī)制。

交換機(jī)支持EAD功能，配合后臺(tái)系統(tǒng)可以將終端防病毒、補(bǔ)丁修復(fù)等終端

安全措施與網(wǎng)絡(luò)接入控制、訪(fǎng)問(wèn)權(quán)限控制等網(wǎng)絡(luò)安全措施整合為一個(gè)安全體系，

通過(guò)對(duì)網(wǎng)絡(luò)接入終端的檢查、隔離、修復(fù)、管理和監(jiān)控，使整個(gè)網(wǎng)絡(luò)變被動(dòng)防

御為主動(dòng)防御、變單點(diǎn)防御為全面防御、變分散管理為集中策略管理。

交換機(jī)支持集中式MAC地址認(rèn)證、802.1x認(rèn)證、PORTAL認(rèn)證，支持用戶(hù)帳

號(hào)、IP、MAC、VLAN、端口等用戶(hù)標(biāo)識(shí)的動(dòng)態(tài)或靜態(tài)綁定，同時(shí)實(shí)現(xiàn)用戶(hù)策略（VLAN、

QoS、ACL）的動(dòng)態(tài)下發(fā)；支持配合H3C公司的iMC系統(tǒng)對(duì)在線(xiàn)用戶(hù)進(jìn)行實(shí)時(shí)的

管理，以診斷和瓦解網(wǎng)絡(luò)非法行為。

交換機(jī)支持豐富的管理接口，例如Console口、帶外網(wǎng)管口，可支持Open

View等通用網(wǎng)管平臺(tái)以及iMC智能管理中心，支持SNMPv1/v2/v3。支持CLI命

令行\(zhòng)Web\TELNET，使設(shè)備管理更方便，且支持SSH2.0等加密方式，使得管理

變得更加安全。

S5570S-28S-EI交換機(jī)的參數(shù)，如表4所示：

表4S5570S-28S-EI參數(shù)

產(chǎn)品類(lèi)型千兆以太網(wǎng)交換機(jī)

包轉(zhuǎn)發(fā)率108Mpps/297Mpps

24個(gè)10/100/1000Base-T自適應(yīng)以太網(wǎng)端口，4個(gè)萬(wàn)兆

業(yè)務(wù)端口描述

SFP+口

支持GE端口聚合

端口聚合支持10GE端口聚合

支持靜態(tài)聚合

8

湖南商務(wù)職業(yè)技術(shù)學(xué)院畢業(yè)設(shè)計(jì)

支持動(dòng)態(tài)聚合

支持跨設(shè)備聚合

支持32KMAC地址

MAC地址表支持黑洞MAC地址

支持設(shè)置端口MAC地址學(xué)習(xí)最大個(gè)數(shù)

支持基于端口的VLAN

支持基于MAC的VLAN

支持基于協(xié)議的VLAN

支持基于IP子網(wǎng)的VLAN

VLAN支持QinQ，靈活QinQ

支持VLANMapping

支持VoiceVLAN

支持MVRP

支持STP/RSTP/MSTP、PVST

支持SmartLink

二層環(huán)網(wǎng)協(xié)議支持RRPP

支持ERPS以太環(huán)保護(hù)協(xié)議（G.8032）

支持DHCPClient

支持DHCPSnooping

DHCP

支持DHCPRelay

支持DHCPServer

支持DHCPSnoopingoption82/DHCPRelayoption82

靜態(tài)路由

RIPv1/v2，RIPng

OSPFv1/v2，OSPFv3

IP路由

BGP4，BGP4+forIPv6

IS-IS

VRRP/VRRPv3

支持ND

支持PMTU

IPv6

支持IPv6-Ping，IPv6-Tracert，IPv6-Telnet，IPv6-TFTP

支持手動(dòng)配置Tunnel

4.3接入層設(shè)備選型

接入層采用S5120V2-52P-SI交換機(jī)如下圖所示：

圖4S5120V2-52P-SI交換機(jī)

提供千兆端口接入，千兆上行接口。支持802.1X，MAC認(rèn)證，端口安全，

9

湖南商務(wù)職業(yè)技術(shù)學(xué)院畢業(yè)設(shè)計(jì)

支持LACP協(xié)議，支持4K個(gè)VLAN，支持最大16KMAC地址及黑洞MAC等特性，

支持基于端口的二三層優(yōu)先級(jí)映射，支持基于端口的鏡像、重定向、端口隔離，

支持訪(fǎng)問(wèn)控制列表、端口限速，以及支持豐富以太網(wǎng)IPv6功能。

支持豐富的三層路由特性，支持靜態(tài)路由、RIP、RIPng、OSPFV1/V2/V3等

路由特性。

交換機(jī)支持基于MAC地址劃分VLAN，結(jié)合特有的基于全局和VLAN下發(fā)ACL

策略，在簡(jiǎn)化用戶(hù)配置的同時(shí)，也大幅節(jié)約了硬件資源。

交換機(jī)支持SNMPv1/v2/v3，可支持iMC智能管理中心。支持CLI命令行，

Web網(wǎng)管，TELNET，使設(shè)備管理更方便，并且支持SSH2.0等加密方式，使得管

理更加安全。

S5120V2-52P-SI交換機(jī)的參數(shù)，如表5所示：

表5S5120V2-52P-SI參數(shù)

產(chǎn)品類(lèi)型千兆以太網(wǎng)交換機(jī)產(chǎn)品

應(yīng)用層級(jí)二層

傳輸速率10/100/1000Mbps

交換方式存儲(chǔ)-轉(zhuǎn)發(fā)

背板帶寬336Gbps/3.36Tbps

包轉(zhuǎn)發(fā)率87Mpps/144Mpps

MAC地址表支持黑洞MAC地址，支持設(shè)置端口MAC地址學(xué)習(xí)最大個(gè)數(shù)。

端口數(shù)量52個(gè)

二層環(huán)網(wǎng)協(xié)議：支持STP/RSTP/MSTP協(xié)議，支持STPRoot

Protection，支持RRPP

網(wǎng)絡(luò)協(xié)議

路由協(xié)議：支持IPv4/IPv6靜態(tài)路由，支持RIP/RIPng，

OSPFV1/V2/V3。

堆疊功能可堆疊，IRF2.

支持基于端口的VLAN，支持QinQ，支持VoiceVLAN，支持協(xié)

VLAN議VLAN，支持MACVLAN。

支持命令行接口配置，支持Telnet遠(yuǎn)程配置，支持通過(guò)

Console口配置，支持SNMP，支持RMON告警、事件、歷史記

網(wǎng)絡(luò)管理

錄，支持iMC網(wǎng)管系統(tǒng)，支持WEB網(wǎng)管，支持系統(tǒng)日志，支

持分級(jí)告警，支持IRF，支持NTP。

10

湖南商務(wù)職業(yè)技術(shù)學(xué)院畢業(yè)設(shè)計(jì)

支持GE端口聚合，支持10GE端口聚合，支持靜態(tài)聚合，支

鏈路聚合

持動(dòng)態(tài)聚合，支持跨設(shè)備聚合。

支持DHCPClient，支持DHCPSnooping，支持DHCPRelay，

DHCP

支持DHCPServer，支持DHCPOption82。

安全特性：支持用戶(hù)分級(jí)管理和口令保護(hù)，支持SSH2.0，支

安全管理持端口隔離，支持802.1X，支持端口安全，支持MAC地址認(rèn)

證，支持IPSourceGuard，支持HTTPs，支持EAD。

4.4防火墻設(shè)備選型

防火墻使用的是H3CSecPathF1000-S-EI如下圖所示：

圖5H3CF100-S-G3防火墻

防火墻采用了先進(jìn)的最新64位多核高性能處理器和高速存儲(chǔ)器。

持H3CSCF虛擬化技術(shù)，可將多臺(tái)設(shè)備虛擬化為一臺(tái)邏輯設(shè)備，對(duì)外呈現(xiàn)

為一個(gè)網(wǎng)絡(luò)節(jié)點(diǎn)，資源統(tǒng)一管理，完成業(yè)務(wù)備份同時(shí)提高系統(tǒng)整體性能。

支持豐富攻擊防范功能。包括：Land、Smurf、Fraggle、PingofDeath、

IPSpoofing、TearDrop、ARP欺騙、IP分片報(bào)文、ARP主動(dòng)反向查詢(xún)、TCP報(bào)

文標(biāo)志不合法、超大ICMP報(bào)文、端口掃描等攻擊防范，地址掃描，還包括針對(duì)

SYNFlood、ICMPFlood、UPDFlood、DNSFlood等常見(jiàn)DDoS攻擊的檢測(cè)防御。

支持安全區(qū)域管理?？苫诮涌凇LAN劃分安全區(qū)域。

支持應(yīng)用層狀態(tài)包過(guò)濾（ASPF）功能。通過(guò)檢查應(yīng)用層協(xié)議信息（如FTP、

HTTP、SMTP、RTSP及其它基于TCP/UDP協(xié)議的應(yīng)用層協(xié)議），并監(jiān)控基于連接

的應(yīng)用層協(xié)議狀態(tài)，動(dòng)態(tài)的決定數(shù)據(jù)包是被允許通過(guò)防火墻或者是被丟棄。

支持靜態(tài)和動(dòng)態(tài)黑名單。支持NAT和NAT多實(shí)例。支持VPN功能，并實(shí)現(xiàn)

與智能終端對(duì)接。支持豐富的路由協(xié)議。支持靜態(tài)路由、策略路由，及RIP、

OSPF等動(dòng)態(tài)路由協(xié)議。支持安全日志、流量監(jiān)控統(tǒng)計(jì)、管理。

支持IPv6狀態(tài)防火墻，真正意義上實(shí)現(xiàn)IPv6條件下的防火墻功能，同時(shí)

完成IPv6的攻擊防范。支持IPv4/IPv6雙協(xié)議棧道，并支持IPv6數(shù)據(jù)報(bào)文轉(zhuǎn)

發(fā)、靜態(tài)路由、動(dòng)態(tài)路由及組播路由等功能。支持IPv6各種過(guò)渡技術(shù)，包括

NAT-PT、IPv6OverIPv4GRE隧道、手工隧道、6to4隧道、IPv4兼容IPv6自

動(dòng)隧道、ISATAP隧道、NAT444、DS-Lite等。支持IPv6ACL、Radius等安全技

術(shù)。

11

湖南商務(wù)職業(yè)技術(shù)學(xué)院畢業(yè)設(shè)計(jì)

一體化集成SSLVPN特性，滿(mǎn)足移動(dòng)辦公、員工出差的安全訪(fǎng)問(wèn)需求，不

僅可結(jié)合USB-Key、短信進(jìn)行移動(dòng)用戶(hù)的身份認(rèn)證，還可與企業(yè)原有認(rèn)證系統(tǒng)

相結(jié)合、實(shí)現(xiàn)一體化的認(rèn)證接入。支持Web攻擊識(shí)別和防護(hù)，如跨站腳本攻擊、

SQL注入攻擊等。未知威脅防御，借助態(tài)勢(shì)感知平臺(tái)，確保一旦單點(diǎn)受到攻擊，

全網(wǎng)實(shí)施策略升級(jí)及綜合預(yù)警、響應(yīng)。

支持智能安全策略：實(shí)現(xiàn)策略冗余檢測(cè)、策略匹配優(yōu)化建議、動(dòng)態(tài)檢測(cè)內(nèi)

網(wǎng)業(yè)務(wù)動(dòng)態(tài)生成安全策略并推薦。

H3CF100-S-G3防火墻的參數(shù)如表6所示：

表6H3CF100-S-G3防火墻參數(shù)

設(shè)備類(lèi)型中小企業(yè)級(jí)防火墻

網(wǎng)絡(luò)端口8GE+2GE(Bypass)+2Combo

電源AC100-240V，50/60Hz

產(chǎn)品尺寸440*230*44mm

產(chǎn)品重量1kg

工作溫度：0-45℃

適用環(huán)境

存儲(chǔ)溫度：-40-70℃

支持基于命令行的配置管理

支持Web方式進(jìn)行遠(yuǎn)程配置管理

管理支持H3CSSM安全管理中心進(jìn)行設(shè)備管理

支持標(biāo)準(zhǔn)網(wǎng)管SNMPv3，并且兼容SNMPv1和v2

智能安全策略

存儲(chǔ)介質(zhì)：2.5英寸500GB/1TBSATA硬盤(pán)，2.5英寸480GBSSD

硬盤(pán)

運(yùn)行模式：路由模式，透明模式，混雜模式

其他性能病毒防護(hù)：基于病毒特征進(jìn)行檢測(cè)；支持病毒庫(kù)手動(dòng)和自動(dòng)

升級(jí)；報(bào)文流處理模式；支持HTTP、FTP、SMTP、POP3協(xié)議；

支持的病毒類(lèi)型：Backdoor、Email-Worm、P2P-Worm、Trojan、

AdWare、Virus等；支持病毒日志和報(bào)表

5配置命令

5.1VLAN配置

基礎(chǔ)配置

user-interfaceconsole0//進(jìn)入控制接口

authentication-modepassword//設(shè)置密碼模式

12

湖南商務(wù)職業(yè)技術(shù)學(xué)院畢業(yè)設(shè)計(jì)

Setauthenticationpasswordcipherzhengwentai123//設(shè)置密碼

接入層配置

sysnamejieru//更改交換機(jī)名稱(chēng)為jieru

vlanbatch10203040//創(chuàng)建VLAN10、VLAN20、VLAN30、VLAN40

InterfaceGigabitEthernet0/0/3//進(jìn)入接口

portlink-typeaccess//將接口設(shè)置為access口

portdefaultvlan10//將接口設(shè)置為允許VLAN10通過(guò)

interfaceGigabitEthernet0/0/4//進(jìn)入接口

portlink-typeaccess//將接口設(shè)置為access口

portdefaultvlan20//將接口設(shè)置為允許VLAN20通過(guò)

interfaceGigabitEthernet0/0/5//進(jìn)入接口

portlink-typeaccess//將接口設(shè)置為access口

portdefaultvlan30//將接口設(shè)置為允許VLAN30通過(guò)

interfaceGigabitEthernet0/0/6//進(jìn)入接口

portlink-typeaccess//將接口設(shè)置為access口

portdefaultvlan40//將接口設(shè)置為允許VLAN40通過(guò)

interfaceGigabitEthernet0/0/1//進(jìn)入接口

portlink-typetrunk//將接口設(shè)置為trunk口

porttrunkallow-passvlan10203040//設(shè)置為允許VLAN10、VLAN20、

VLAN30、VLAN40通過(guò)

interfaceGigabitEthernet0/0/2//進(jìn)入接口

portlink-typetrunk//將接口設(shè)置為trunk口

porttrunkallow-passvlan10203040//置為允許VLAN10、VLAN20、

VLAN30、VLAN40通過(guò)

匯聚層配置

sysnamehuijuA//修改設(shè)備名huijuA

vlanbatch10203040//創(chuàng)建VLAN10、VLAN20、VLAN30、VLAN40

interfaceGigabitEthernet0/0/1//進(jìn)入接口

portlink-typetrunk//配置為trunk接口

interfaceGigabitEthernet0/0/4//進(jìn)入接口

portlink-typetrunk//配置為trunk接口

porttrunkallow-passvlan10203040//設(shè)置為允許VLAN10、VLAN20、

VLAN30、VLAN40通過(guò)

13

湖南商務(wù)職業(yè)技術(shù)學(xué)院畢業(yè)設(shè)計(jì)

sysnamehuijuB//修改設(shè)備名為huijuB

vlanbatch10203040//創(chuàng)建VLAN10、VLAN20、VLAN30、VLAN40

interfaceGigabitEthernet0/0/1//進(jìn)入接口

portlink-typetrunk//配置為trunk接口

interfaceGigabitEthernet0/0/4//進(jìn)入接口

portlink-typetrunk//配置為trunk接口

porttrunkallow-passvlan10203040//設(shè)置為允許VLAN10、VLAN20、

VLAN30、VLAN40通過(guò)

核心層交換機(jī)配置

sysnamehexin//修改設(shè)備名為hexin

vlanbatch10203040//創(chuàng)建VLAN10、VLAN20、VLAN30、VLAN40

5.2DHCP配置

dhcpenable//開(kāi)啟DHCP

ippoolpooll//創(chuàng)建地址池pooll

gateway-list54//設(shè)置地址池網(wǎng)關(guān)為54

networkmask//設(shè)置地址為

掩碼24位

dns-list//設(shè)置DNS為

ippoolpoo12//創(chuàng)建地址池pool2

gateway-list54//設(shè)置地址池網(wǎng)關(guān)為54

networkmask//設(shè)置地址為

掩碼24位

dns-list//設(shè)置DNS為

ippoolpool3//創(chuàng)建地址池pool3

gateway-list54//設(shè)置地址池網(wǎng)關(guān)為54

networkmask//設(shè)置地址為

掩碼24位

dns-list//設(shè)置DNS為

ippoolpool4//創(chuàng)建地址池pool4

gateway-list54//設(shè)置地址池網(wǎng)關(guān)為54

networkmask//設(shè)置地址為

掩碼24位

14

湖南商務(wù)職業(yè)技術(shù)學(xué)院畢業(yè)設(shè)計(jì)

dns-list//設(shè)置DNS為

進(jìn)入路由器與內(nèi)網(wǎng)相連的接口

dhepselectglobal//開(kāi)啟全局DHCP

5.3鏈路聚合

interfaceEth-Trunk1//創(chuàng)建并進(jìn)入Eth-Trunk1

portlink-typetrunk//設(shè)置為trunk模式

porttrunkallow-passvlan10203040//允許VLAN10、VLAN20、VLAN30、

VLAN40通過(guò)

modelacp-static//設(shè)置為靜態(tài)LACP模式

maxactive-linknumber2//設(shè)置聚合鏈路最大活動(dòng)端口為2

eth-trunk1//進(jìn)入接口將此接口加入到eth-trunk1

5.4STP配置

在匯聚層的一臺(tái)交換機(jī)上

stpenable//開(kāi)啟STP

stpmodemstp//配置STP模式為MSTP

stpregion-configuration//進(jìn)入STP配置模式

region-namehj1//設(shè)置STP名字為hj1

instance1vlan1020//創(chuàng)建實(shí)例1并將VLAN10、VLAN20映射到實(shí)例1

里面

instance2vlan3040//創(chuàng)建實(shí)例2并將VLAN30、VLAN40映射到實(shí)例2

里面

activeregion-configuration//啟用STP配置使配置生效

stpinstance1rootprimary//設(shè)置生成樹(shù)實(shí)例1為主根

stpinstance2rootsecondary//設(shè)置生成樹(shù)實(shí)例2為備根

在匯聚層的另一臺(tái)交換機(jī)上

stpenable//開(kāi)啟STP

stpmodemstp//配置STP模式為MSTP

stpregion-configuration//進(jìn)入STP配置模式

region-namehj1//設(shè)置STP名字為hj1

instance1vlan1020//創(chuàng)建實(shí)例1并將VLAN10、VLAN20映射到實(shí)例1

里面

15

湖南商務(wù)職業(yè)技術(shù)學(xué)院畢業(yè)設(shè)計(jì)

instance2vlan3040//創(chuàng)建實(shí)例2并將VLAN30、VLAN40映射到實(shí)例2

里面

activeregion-configuration//啟用STP配置使配置生效

stpinstance1rootsecondary//設(shè)置生成樹(shù)實(shí)例1為備根

stpinstance2rootprimary//設(shè)置生成樹(shù)實(shí)例2為主根

接入層