湖南商務(wù)職業(yè)技術(shù)學(xué)院畢業(yè)設(shè)計(jì)

目錄

1概述.......................................................................................................................1

1.1公司背景與現(xiàn)狀..........................................................................................1

1.2需求分析.....................................................................................................2

1.3技術(shù)需求細(xì)化.............................................................................................2

2網(wǎng)絡(luò)規(guī)劃與設(shè)計(jì)....................................................................................................3

2.1總體設(shè)計(jì)思路.............................................................................................3

2.2設(shè)計(jì)原則.....................................................................................................4

2.3網(wǎng)絡(luò)拓?fù)?....................................................................................................5

2.4網(wǎng)絡(luò)規(guī)劃.....................................................................................................5

2.4.1IP地址規(guī)劃說明...............................................................................6

2.4.2VLAN地址規(guī)劃說明........................................................................6

2.4.3詳細(xì)規(guī)劃...........................................................................................6

2.5關(guān)鍵技術(shù)設(shè)計(jì).............................................................................................8

2.5.1VRRP與MSTP冗余技術(shù)設(shè)計(jì)........................................................8

2.5.2策略路由雙出口設(shè)計(jì)........................................................................8

2.5.3防火墻設(shè)計(jì).......................................................................................9

2.5.4DHCP技術(shù)設(shè)計(jì)................................................................................9

2.5.5BFD技術(shù)設(shè)計(jì).................................................................................10

2.5.6VPN技術(shù)設(shè)計(jì)................................................................................10

3網(wǎng)絡(luò)設(shè)備選型.....................................................................................................10

4項(xiàng)目實(shí)施.............................................................................................................12

5測試.....................................................................................................................14

5.1DHCP服務(wù)器測試....................................................................................14

5.2端口映射測試...........................................................................................15

5.3冗余備份和負(fù)載均衡測試........................................................................15

I

湖南商務(wù)職業(yè)技術(shù)學(xué)院畢業(yè)設(shè)計(jì)

5.4外網(wǎng)通信測試...........................................................................................16

5.5VPN測試..................................................................................................17

6設(shè)計(jì)小結(jié).............................................................................................................18

參考資料....................................................................................................................19

II

湖南商務(wù)職業(yè)技術(shù)學(xué)院畢業(yè)設(shè)計(jì)

黑鋼公司網(wǎng)絡(luò)規(guī)劃與設(shè)計(jì)

1概述

1.1公司背景與現(xiàn)狀

在這個(gè)數(shù)字科技日新月異、信息流通一日千里的時(shí)代，網(wǎng)絡(luò)基礎(chǔ)設(shè)施已經(jīng)

成為了企業(yè)創(chuàng)新發(fā)展和增強(qiáng)市場競爭力的重中之重。處于互聯(lián)網(wǎng)以及相關(guān)服務(wù)

行業(yè)前列的黑鋼商業(yè)有限公司，涉足多元且動態(tài)的商業(yè)活動，其業(yè)務(wù)涵蓋移動

技術(shù)的開發(fā)、先進(jìn)的技術(shù)咨詢、提供一流的技術(shù)服務(wù)和技術(shù)成果轉(zhuǎn)讓，還包括

計(jì)算機(jī)硬件、電子產(chǎn)品及配件銷售等多個(gè)領(lǐng)域。公司借助強(qiáng)大的網(wǎng)絡(luò)平臺，為

用戶提供多方位、高質(zhì)量的服務(wù)和極佳的用戶體驗(yàn)。

徜徉于市場之大潮，黑鋼商業(yè)有限公司面對日益激烈的競爭環(huán)境和技術(shù)的

連續(xù)迭代，挑戰(zhàn)也日漸沉重。尤其是近幾年公司快速的發(fā)展勢頭帶來了前所未

有的業(yè)務(wù)量增長，現(xiàn)行的網(wǎng)絡(luò)基礎(chǔ)設(shè)施已經(jīng)顯得力不從心。網(wǎng)絡(luò)的延遲問題、

頻繁出現(xiàn)的服務(wù)中斷，以及日益突出的安全隱患，都威脅到公司的穩(wěn)定發(fā)展和

客戶的信賴。同時(shí)，隨著移動辦公和云服務(wù)的廣泛采用，對于一個(gè)高效、靈活、

并且安全的網(wǎng)絡(luò)系統(tǒng)的要求愈發(fā)迫切。

黑鋼公司總部有六個(gè)部門，其中管理大約15人，他們負(fù)責(zé)協(xié)調(diào)公司整體的

運(yùn)作和管理。財(cái)務(wù)部人數(shù)大約為10人，他們負(fù)責(zé)公司的財(cái)務(wù)管理和資金運(yùn)作。

后勤部人數(shù)大約為20人，他們負(fù)責(zé)公司設(shè)施管理、采購和員工福利。銷售部門

的人數(shù)大約為25人，他們負(fù)責(zé)銷售策略的制定和客戶關(guān)系的管理。研發(fā)部門的

人數(shù)大約為30人，他們致力于新產(chǎn)品的開發(fā)和技術(shù)創(chuàng)新。生產(chǎn)部門人數(shù)大約為

50人，他們負(fù)責(zé)生產(chǎn)制造流程和質(zhì)量控制。

黑鋼商業(yè)有限公司正處于一個(gè)關(guān)鍵的轉(zhuǎn)變時(shí)期：在保證日常業(yè)務(wù)運(yùn)營的同

時(shí)，必須具備前瞻性的戰(zhàn)略眼光，著手構(gòu)建能夠支撐持續(xù)增長與創(chuàng)新發(fā)展的網(wǎng)

絡(luò)基礎(chǔ)設(shè)施。企業(yè)網(wǎng)絡(luò)的升級改造不止是對技術(shù)的更新，它關(guān)于公司未來的持

續(xù)成功和行業(yè)領(lǐng)先地位的維護(hù)。網(wǎng)絡(luò)升級項(xiàng)目的核心在于搭建一個(gè)能夠?qū)ΜF(xiàn)狀

進(jìn)行整合、針對將來可執(zhí)行擴(kuò)展的、高度安全穩(wěn)定的內(nèi)部網(wǎng)絡(luò)架構(gòu)，這不僅是

為了提升整體的運(yùn)營效率，更是為了持續(xù)優(yōu)化客戶的服務(wù)體驗(yàn)，確保在數(shù)字經(jīng)

濟(jì)的強(qiáng)勁浪潮中，黑鋼商業(yè)有限公司能乘風(fēng)破浪，贏得更廣闊的發(fā)展空間。

1

湖南商務(wù)職業(yè)技術(shù)學(xué)院畢業(yè)設(shè)計(jì)

1.2需求分析

黑鋼商業(yè)有限公司的核心業(yè)務(wù)需求架構(gòu)在可靠性、靈活性和安全性這三個(gè)

基本柱石之上。為了持續(xù)提供無縫的用戶體驗(yàn)并保持市場競爭力，我們的網(wǎng)絡(luò)

基礎(chǔ)設(shè)施必須滿足以下幾點(diǎn)業(yè)務(wù)需求：

高可用性：確保網(wǎng)絡(luò)基礎(chǔ)設(shè)施的絕對可靠性是維護(hù)公司穩(wěn)定運(yùn)營的核心。

高可用性意味著網(wǎng)絡(luò)在處理在線交易及后臺操作時(shí)的無縫性，確保內(nèi)部溝通和

業(yè)務(wù)流程不受中斷。

快速擴(kuò)展性：面對公司業(yè)務(wù)的蓬勃發(fā)展，網(wǎng)絡(luò)必須具備快速擴(kuò)展的能力，

以有效應(yīng)對由業(yè)務(wù)增長帶來的用戶并發(fā)請求、數(shù)據(jù)流量和計(jì)算資源的增加。

高速數(shù)據(jù)傳輸：確保公司眾多業(yè)務(wù)單元之間能夠?qū)崟r(shí)、迅速地交換數(shù)據(jù)，

以保障客戶體驗(yàn)與業(yè)務(wù)執(zhí)行的高效率和流暢性。

強(qiáng)大的數(shù)據(jù)處理能力：進(jìn)入大數(shù)據(jù)時(shí)代，公司對于數(shù)據(jù)的搜集、存儲和分

析需求急劇攀升，這就要求我們的網(wǎng)絡(luò)基礎(chǔ)設(shè)施提供充足的支撐和處理能力。

靈活性和可適應(yīng)性：戰(zhàn)略靈活性是網(wǎng)絡(luò)設(shè)計(jì)的一大目標(biāo)。網(wǎng)絡(luò)應(yīng)具備在面

臨市場變動和工作模式轉(zhuǎn)變時(shí)（例如遠(yuǎn)程辦公和云技術(shù)的應(yīng)用）的高度靈活性

和適應(yīng)能力。

全面的安全性防護(hù)：維護(hù)公司的安全防線，是維護(hù)公司聲譽(yù)和客戶信任的

基石。全面的安全措施，包括防御網(wǎng)絡(luò)攻擊、預(yù)防數(shù)據(jù)泄露和確保交易安全等，

都是建立牢固的網(wǎng)絡(luò)安全防護(hù)體系所必需的。

整體而言，網(wǎng)絡(luò)基礎(chǔ)設(shè)施的設(shè)計(jì)和維護(hù)必須圍繞公司的業(yè)務(wù)需求進(jìn)行，以

保證不斷提升的服務(wù)質(zhì)量和穩(wěn)固的市場地位。通過不斷地優(yōu)化網(wǎng)絡(luò)設(shè)施，我們

將保障公司在各業(yè)務(wù)層面的無縫運(yùn)轉(zhuǎn)和長期成功。

1.3技術(shù)需求細(xì)化

綜合考慮了解決網(wǎng)絡(luò)擁塞、減少延遲、提高穩(wěn)定性和安全性的各項(xiàng)策略。

具體包括以下方面：

硬件升級與優(yōu)化：綜合分析目前網(wǎng)絡(luò)中存在的擁塞和延遲問題，明確路由

器、交換機(jī)、服務(wù)器等核心硬件設(shè)備的升級路徑，以提高網(wǎng)絡(luò)的處理能力和效

率。

網(wǎng)絡(luò)帶寬分析：深入分析各業(yè)務(wù)部門對帶寬的需求，預(yù)見未來發(fā)展趨勢，

并基于此開發(fā)出一個(gè)靈活可擴(kuò)展的帶寬增長方案。

延遲和穩(wěn)定性改進(jìn)：精準(zhǔn)定位造成網(wǎng)絡(luò)延遲的關(guān)鍵因素，設(shè)計(jì)出相應(yīng)的網(wǎng)

2

湖南商務(wù)職業(yè)技術(shù)學(xué)院畢業(yè)設(shè)計(jì)

絡(luò)架構(gòu)改進(jìn)措施，以降低延遲并提升網(wǎng)絡(luò)的整體穩(wěn)定性。

可擴(kuò)展網(wǎng)絡(luò)架構(gòu)設(shè)計(jì)：提出能隨業(yè)務(wù)需求變化而動態(tài)調(diào)整的網(wǎng)絡(luò)架構(gòu)設(shè)計(jì)，

例如采用軟件定義網(wǎng)絡(luò)(SDN)、網(wǎng)絡(luò)功能虛擬化(NFV)等創(chuàng)新技術(shù)，以增強(qiáng)網(wǎng)絡(luò)

的可擴(kuò)展性。

數(shù)據(jù)中心升級規(guī)劃：考量現(xiàn)有數(shù)據(jù)中心的處理能力是否滿足日增的數(shù)據(jù)需

求，制定升級方案或建議構(gòu)建新的數(shù)據(jù)中心，以便更有效地支持大規(guī)模數(shù)據(jù)處

理。

網(wǎng)絡(luò)安全方案：制定全面的網(wǎng)絡(luò)安全方案，整合最前沿的安全技術(shù)和協(xié)議，

如采納下一代防火墻(NGFW)、入侵檢測和預(yù)防系統(tǒng)(IDPS)、網(wǎng)絡(luò)訪問控制(NAC)

等，以保障網(wǎng)絡(luò)安全性。

網(wǎng)絡(luò)管理和監(jiān)控工具：選取功能全面、操作便捷的網(wǎng)絡(luò)管理工具，實(shí)現(xiàn)網(wǎng)

絡(luò)設(shè)施的實(shí)時(shí)監(jiān)控、故障排查以及性能分析預(yù)警。

災(zāi)難恢復(fù)與備份策略：構(gòu)建完備的數(shù)據(jù)備份體系和災(zāi)難恢復(fù)方案，以保障

在任何意外情況下，關(guān)鍵業(yè)務(wù)數(shù)據(jù)的安全性和可恢復(fù)性。

綜上方案的每個(gè)環(huán)節(jié)，都旨在加強(qiáng)網(wǎng)絡(luò)基礎(chǔ)設(shè)施的核心競爭力，確保公司

業(yè)務(wù)在面對快速變化的市場和技術(shù)挑戰(zhàn)時(shí)，保持穩(wěn)健、安全、高效地運(yùn)轉(zhuǎn)。

2網(wǎng)絡(luò)規(guī)劃與設(shè)計(jì)

2.1總體設(shè)計(jì)思路

在構(gòu)建黑鋼商業(yè)有限公司的網(wǎng)絡(luò)基礎(chǔ)設(shè)施時(shí)，我們將采用層次化的設(shè)計(jì)藍(lán)

圖，以確保網(wǎng)絡(luò)架構(gòu)具備未來的適應(yīng)力、穩(wěn)健性和可擴(kuò)展性。我們的設(shè)計(jì)策略

將采用模塊化的方式來支持預(yù)期的業(yè)務(wù)增長和創(chuàng)新技術(shù)。網(wǎng)絡(luò)規(guī)劃將提前預(yù)留

足夠的帶寬和硬件資源。

核心網(wǎng)絡(luò)將以冗余配置為基礎(chǔ)，并引入熱備機(jī)制和快速故障轉(zhuǎn)移流程，以

確保業(yè)務(wù)可以全天候運(yùn)轉(zhuǎn)，并最大程度地避免單點(diǎn)故障的風(fēng)險(xiǎn)。網(wǎng)絡(luò)安全方面，

我們將實(shí)施一套全面的端到端安全框架，其中包括最新的防火墻技術(shù)、入侵防

御系統(tǒng)和強(qiáng)大的數(shù)據(jù)加密措施，以保護(hù)公司及客戶信息的安全與隱私，杜絕未

授權(quán)訪問。

為了滿足實(shí)時(shí)數(shù)據(jù)處理和高速傳輸?shù)男枨?，我們將?yōu)化網(wǎng)絡(luò)架構(gòu)，降低延

遲并提升吞吐量，確保關(guān)鍵業(yè)務(wù)應(yīng)用不受網(wǎng)絡(luò)延遲的負(fù)面影響，并且能夠高效

運(yùn)行。同時(shí)，我們還將實(shí)施主動和被動的網(wǎng)絡(luò)管理工具，實(shí)時(shí)識別和解決潛在

故障。通過實(shí)時(shí)監(jiān)測系統(tǒng)、詳盡的日志記錄和數(shù)據(jù)分析報(bào)告，我們將提供必要

3

湖南商務(wù)職業(yè)技術(shù)學(xué)院畢業(yè)設(shè)計(jì)

的信息，幫助管理團(tuán)隊(duì)進(jìn)行數(shù)據(jù)驅(qū)動的網(wǎng)絡(luò)運(yùn)營決策。

總之，我們的網(wǎng)絡(luò)設(shè)計(jì)旨在構(gòu)建一個(gè)穩(wěn)定、高效、安全且具備可擴(kuò)展性的

基礎(chǔ)設(shè)施，以支持黑鋼商業(yè)有限公司的業(yè)務(wù)增長和技術(shù)創(chuàng)新。我們將確保網(wǎng)絡(luò)

的可靠性、安全性和性能，并通過數(shù)據(jù)驅(qū)動的運(yùn)營決策來優(yōu)化網(wǎng)絡(luò)管理和維護(hù)。

2.2設(shè)計(jì)原則

在網(wǎng)絡(luò)基礎(chǔ)設(shè)施的構(gòu)建中，我們將采用以下設(shè)計(jì)原則來確保網(wǎng)絡(luò)的適應(yīng)力、

穩(wěn)健性和可擴(kuò)展性：

分層設(shè)計(jì):采用層次分明的網(wǎng)絡(luò)結(jié)構(gòu)，通常包括接入層、匯聚層和核心層。

這種模式有助于簡化設(shè)計(jì)、方便故障隔離、顯著降低系統(tǒng)復(fù)雜性，并使得網(wǎng)絡(luò)

維護(hù)和擴(kuò)展更加高效。

模塊化:將網(wǎng)絡(luò)劃分為多個(gè)功能獨(dú)立的模塊，并采用模塊化的設(shè)計(jì)策略。

每個(gè)模塊可以獨(dú)立部署和管理，提供更好的靈活性。當(dāng)需要更改或升級時(shí)，可

以只針對特定模塊進(jìn)行操作，從而減少對整個(gè)網(wǎng)絡(luò)的影響。

可擴(kuò)展性:設(shè)計(jì)要確保網(wǎng)絡(luò)容易擴(kuò)展，無論是增加用戶、服務(wù)還是應(yīng)用程

序?？蓴U(kuò)展性保證了網(wǎng)絡(luò)能夠隨著業(yè)務(wù)增長或技術(shù)變革而增長，而無需進(jìn)行徹

底的架構(gòu)重組

冗余:為了提高網(wǎng)絡(luò)的可靠性和可用性，設(shè)計(jì)中應(yīng)包含必要的冗余措施。

關(guān)鍵連接應(yīng)有備份路徑，關(guān)鍵設(shè)備如交換機(jī)和路由器應(yīng)具備熱備功能。冗余有

助于確保在某個(gè)部分發(fā)生故障時(shí)，網(wǎng)絡(luò)服務(wù)仍能持續(xù)。

安全性:網(wǎng)絡(luò)設(shè)計(jì)需要內(nèi)建安全機(jī)制，包括防火墻、入侵檢測和預(yù)防系統(tǒng)、

安全接入控制列表等。全面的安全設(shè)計(jì)應(yīng)從網(wǎng)絡(luò)的各個(gè)層級考慮，實(shí)現(xiàn)多層防

御策略，確保數(shù)據(jù)的完整性、保密性和可用性。

性能優(yōu)化：在網(wǎng)絡(luò)設(shè)計(jì)中，我們將注重性能優(yōu)化，以確保網(wǎng)絡(luò)具有良好的

響應(yīng)速度和吞吐量。通過采用優(yōu)化的網(wǎng)絡(luò)架構(gòu)、合適的設(shè)備配置和技術(shù)升級，

我們將降低網(wǎng)絡(luò)延遲，提升數(shù)據(jù)傳輸效率，確保關(guān)鍵業(yè)務(wù)應(yīng)用能夠高效運(yùn)行。

彈性和靈活性：在網(wǎng)絡(luò)設(shè)計(jì)中考慮彈性和靈活性，使網(wǎng)絡(luò)能夠適應(yīng)未來業(yè)

務(wù)擴(kuò)張和技術(shù)變革。采用靈活的技術(shù)架構(gòu)和可調(diào)整的配置，使網(wǎng)絡(luò)能夠快速響

應(yīng)變化和需求波動，實(shí)現(xiàn)資源的動態(tài)分配和利用。

持續(xù)優(yōu)化與改進(jìn)：網(wǎng)絡(luò)設(shè)計(jì)是一個(gè)持續(xù)優(yōu)化和改進(jìn)的過程。我們將定期審

查網(wǎng)絡(luò)性能和安全情況，收集反饋并進(jìn)行改進(jìn)。通過不斷優(yōu)化網(wǎng)絡(luò)架構(gòu)、更新

安全措施和升級設(shè)備，我們將確保網(wǎng)絡(luò)始終保持在最佳狀態(tài)，以滿足不斷變化

的業(yè)務(wù)需求和技術(shù)挑戰(zhàn)。

4

湖南商務(wù)職業(yè)技術(shù)學(xué)院畢業(yè)設(shè)計(jì)

通過以上綜合設(shè)計(jì)原則，我們將構(gòu)建一套具備層次結(jié)構(gòu)、模塊化、可擴(kuò)展

性、冗余和安全性的網(wǎng)絡(luò)基礎(chǔ)設(shè)施，以應(yīng)對黑鋼商業(yè)有限公司的需求，并為未

來的業(yè)務(wù)拓展和創(chuàng)新奠定堅(jiān)實(shí)基礎(chǔ)。

2.3網(wǎng)絡(luò)拓?fù)?/p>

公司的拓?fù)鋱D設(shè)計(jì)如圖所示

圖1企業(yè)網(wǎng)絡(luò)拓?fù)鋱D

2.4網(wǎng)絡(luò)規(guī)劃

為了有效管理和規(guī)劃黑鋼商業(yè)有限公司的網(wǎng)絡(luò)資源，以下為IP地址和

5

湖南商務(wù)職業(yè)技術(shù)學(xué)院畢業(yè)設(shè)計(jì)

VLAN的規(guī)劃說明。

2.4.1IP地址規(guī)劃說明

IP地址規(guī)劃說明：

（1）使用私有地址空間：所有IP地址的分配將嚴(yán)格采用私有IP地址范圍

內(nèi)的資源，確保公網(wǎng)地址的節(jié)省和內(nèi)部網(wǎng)絡(luò)的安全隔離。

（2）資源節(jié)約與擴(kuò)展性考慮：在規(guī)劃IP地址架構(gòu)時(shí)，我們將仔細(xì)審視不

浪費(fèi)IP資源的前提下，設(shè)計(jì)出可持續(xù)增長的體系結(jié)構(gòu)，保障IP地址規(guī)劃的可

擴(kuò)展性，以適應(yīng)公司未來發(fā)展帶來的需求增長。

（3）IP地址的詳細(xì)記錄和管理：制定和執(zhí)行嚴(yán)格的IP地址記錄體系，全

面記錄分配、保留和空閑IP地址的詳細(xì)信息，便于管理和追蹤IP地址使用情

況，提升地址分配的效率和精確性。

（4）按部門劃分IP段：基于部門的網(wǎng)絡(luò)需求和預(yù)計(jì)的增長情況，為每個(gè)

部門預(yù)留獨(dú)立的IP地址塊，以保障各部門網(wǎng)絡(luò)需求的滿足，同時(shí)也為將來的擴(kuò)

展留有充足空間。

2.4.2VLAN地址規(guī)劃說明

VLAN規(guī)劃說明：

（1）分割廣播域以提高效率和安全性：合理劃分VLAN不僅限制了廣播

域的大小來避免廣播風(fēng)暴，而且通過分段保證網(wǎng)絡(luò)的安全性，提高數(shù)據(jù)傳輸?shù)?/p>

效率。

（2）按部門單位劃分VLAN：VLAN的設(shè)置將按公司內(nèi)部結(jié)構(gòu)劃分，每個(gè)

部門將配置一個(gè)或多個(gè)VLAN，保證了部門內(nèi)部的數(shù)據(jù)通信隔離，同時(shí)設(shè)立必

要的安全控制點(diǎn)以實(shí)現(xiàn)跨部門間的網(wǎng)絡(luò)通信。

通過上述的規(guī)劃，我們有信心在確保網(wǎng)絡(luò)的靈活性、擴(kuò)展性和安全性的同

時(shí)，搭建出一個(gè)高效的網(wǎng)絡(luò)環(huán)境，滿足黑鋼商業(yè)有限公司現(xiàn)有與未來的業(yè)務(wù)需

求。

2.4.3詳細(xì)規(guī)劃

VLAN規(guī)劃如表1所示：

表1VLAN地址規(guī)劃

部門VLAN子網(wǎng)范圍網(wǎng)關(guān)

管理部10192.168.10.0/24192.168.10.254

財(cái)務(wù)部20192.168.20.0/24192.168.20.254

后勤部30192.168.30.0/24192.168.30.254

6

湖南商務(wù)職業(yè)技術(shù)學(xué)院畢業(yè)設(shè)計(jì)

銷售部40192.168.40.0/24192.168.40.254

研發(fā)部50192.168.50.0/24192.168.50.254

生產(chǎn)部60192.168.60.0/24192.168.60.254

分公司70192.168.70.0/24192.168.70.254

IP地址規(guī)劃如表2所示：

表2IP地址規(guī)劃

設(shè)備接口IP地址子網(wǎng)掩碼

VLAN10192.168.10.1255.255.255.0

VLAN20192.168.20.1255.255.255.0

VLAN30192.168.30.1255.255.255.0

VLAN40192.168.40.1255.255.255.0

核心交換機(jī)（core1）

VLAN50192.168.50.1255.255.255.0

VLAN60192.168.60.1255.255.255.0

G0/0/4172.16.1.1255.255.255.0

G0/0/5192.168.100.254255.255.255.0

VLAN10192.168.10.28255.255.255.0

VLAN20192.168.20.28255.255.255.0

VLAN30192.168.30.28255.255.255.0

核心交換機(jī)（core2）VLAN40192.168.40.28255.255.255.0

VLAN50192.168.50.28255.255.255.0

VLAN60192.168.60.28255.255.255.0

G0/0/4172.16.2.1255.255.255.0

VLAN1192.168.200.254255.255.255.0

核心交換機(jī)（core3）

G0/0/1172.16.3.1255.255.255.0

G0/0/1202.100.28.1255.255.255.0

G0/0/2202.101.28.1255.255.255.0

FW1

G0/0/3172.16.4.1255.255.255.0

G0/0/5172.16.3.2255.255.255.0

G0/0/1202.102.28.1255.255.255.0

FW2G0/0/2202.103.28.1255.255.255.0

G0/0/8192.168.70.254255.255.255.0

G0/0/0202.100.28.2255.255.255.0

R1

G0/0/1202.102.28.2255.255.255.0

G0/0/0202.101.28.2255.255.255.0

R2

G0/0/1202.103.28.2255.255.255.0

R5G0/0/0102.168.100.1255.255.255.0

G0/0/0172.16.2.1255.255.255.0

R8G0/0/1172.16.2.1255.255.255.0

G0/0/2172.16.2.1255.255.255.0

7

湖南商務(wù)職業(yè)技術(shù)學(xué)院畢業(yè)設(shè)計(jì)

2.5關(guān)鍵技術(shù)設(shè)計(jì)

2.5.1VRRP與MSTP冗余技術(shù)設(shè)計(jì)

MSTP(MultipleSpanningTreeProtocol)是一種用于構(gòu)建冗余網(wǎng)絡(luò)的協(xié)議，

它基于實(shí)例生成樹的方式，為每個(gè)VLAN或一組VLAN創(chuàng)建獨(dú)立的生成樹。

每個(gè)實(shí)例都有自己的生成樹，例如，instance1、instance2等。MSTP可以實(shí)現(xiàn)

負(fù)載均衡和不同廠商設(shè)備的互操作性，提高企業(yè)網(wǎng)絡(luò)的可靠性和冗余備份功能。

而VRRP(VirtualRouterRedundancyProtocol)是一種用于解決局域網(wǎng)中靜

態(tài)網(wǎng)關(guān)單點(diǎn)故障的路由協(xié)議，它通過在網(wǎng)絡(luò)中創(chuàng)建一個(gè)虛擬路由器來提供冗余

備份。VRRP允許多個(gè)路由器共享一個(gè)虛擬IP地址，其中一個(gè)路由器作為主

路由器，而其他路由器則處于備份狀態(tài)。當(dāng)主路由器發(fā)生故障時(shí)，備份路由器

會接管虛擬IP地址，確保網(wǎng)絡(luò)的連通性和數(shù)據(jù)的安全性。

這里在設(shè)計(jì)冗余網(wǎng)絡(luò)時(shí)，將VRRP和MSTP技術(shù)結(jié)合使用，通過在核心

交換機(jī)上同時(shí)配置VRRP和MSTP，實(shí)現(xiàn)冗余備份功能，提高企業(yè)網(wǎng)絡(luò)的可

靠性。通過這種配置，即使主路由器或某個(gè)生成樹出現(xiàn)故障，備份路由器和其

他生成樹仍然可以正常工作，確保網(wǎng)絡(luò)的連通性和穩(wěn)定性。核心交換機(jī)上使用

VRRP和MSTP技術(shù)來實(shí)現(xiàn)冗余備份功能，提升企業(yè)網(wǎng)絡(luò)可靠性。

2.5.2策略路由雙出口設(shè)計(jì)

策略路由是一種比基于目標(biāo)網(wǎng)絡(luò)進(jìn)行路由更加靈活的數(shù)據(jù)包轉(zhuǎn)發(fā)機(jī)制。通

過策略路由，路由器根據(jù)預(yù)先設(shè)定的路由圖確定數(shù)據(jù)包的下一跳轉(zhuǎn)發(fā)路徑，以

實(shí)現(xiàn)對數(shù)據(jù)包的特定處理。在應(yīng)用策略路由時(shí)，需要指定所使用的路由圖，并

創(chuàng)建具體的路由策略。一個(gè)路由圖由多條策略組成，每個(gè)策略定義了匹配規(guī)則

和操作。當(dāng)接口應(yīng)用策略路由后，該接口接收到的所有數(shù)據(jù)包都會被檢查，不

符合任何策略的數(shù)據(jù)包將按照普通的路由轉(zhuǎn)發(fā)進(jìn)行處理，而符合某個(gè)策略的數(shù)

據(jù)包則會被按照該策略的定義進(jìn)行處理。

在防火墻上使用策略路由的場景中，管理部、財(cái)務(wù)部、后勤部通過電信IPS

訪問外網(wǎng)，銷售部、研發(fā)部、生產(chǎn)部則通過聯(lián)通IPS訪問外網(wǎng)。這樣的配置可

以實(shí)現(xiàn)流量的按需分流，提高網(wǎng)絡(luò)資源的利用效率。此外，即使一條線路出現(xiàn)

故障，使用策略路由也能夠快速檢測并將流量切換至另一條正常的線路，保障

網(wǎng)絡(luò)的連通性和穩(wěn)定性。通過合理配置策略路由，可以更好地管理企業(yè)網(wǎng)絡(luò)流

量，提高網(wǎng)絡(luò)的健壯性和可靠性。

8

湖南商務(wù)職業(yè)技術(shù)學(xué)院畢業(yè)設(shè)計(jì)

2.5.3防火墻設(shè)計(jì)

防火墻是一種位于內(nèi)部網(wǎng)和外部網(wǎng)之間的設(shè)備，用于建立一道屏障，并決

定哪些內(nèi)部資源可以被外界訪問，以及哪些外部服務(wù)可以被內(nèi)部人員訪問。它

通過檢查經(jīng)過其的所有信息來控制數(shù)據(jù)的流動，只有經(jīng)過授權(quán)的數(shù)據(jù)才能通過。

根據(jù)防火墻的工作原理，它可以分為數(shù)據(jù)獲取、應(yīng)用處理和數(shù)據(jù)傳輸三個(gè)

部分。通常情況下，防火墻的數(shù)據(jù)獲取和數(shù)據(jù)傳輸部分會由軟件和硬件共同實(shí)

現(xiàn)。硬件部分通常是網(wǎng)絡(luò)接口設(shè)備，負(fù)責(zé)實(shí)際獲取和傳輸網(wǎng)絡(luò)通訊信息。而軟

件部分負(fù)責(zé)將硬件獲取的信息從網(wǎng)絡(luò)接口設(shè)備的緩沖區(qū)傳送到操作系統(tǒng)緩沖區(qū)

進(jìn)行處理。

不同的防火墻可能具有不同的應(yīng)用功能，這些功能可能是包過濾、狀態(tài)檢

測、內(nèi)容過濾、加密、NAT、IDS、VPN、各種代理服務(wù)等等。這里在防火墻中

使用了NAT技術(shù)和VPN技術(shù)。NAT技術(shù)用于將內(nèi)網(wǎng)IP地址轉(zhuǎn)換為防火墻的端

口IP地址，而外部網(wǎng)絡(luò)訪問內(nèi)部服務(wù)器時(shí)，使用端口映射技術(shù)來實(shí)現(xiàn)對內(nèi)部服

務(wù)器的訪問。

這樣的配置可以幫助保護(hù)網(wǎng)絡(luò)安全，同時(shí)提供網(wǎng)絡(luò)訪問控制和數(shù)據(jù)傳輸?shù)?/p>

安全性。通過防火墻的限制和轉(zhuǎn)換，可以控制和審查進(jìn)出網(wǎng)絡(luò)的流量，增加網(wǎng)

絡(luò)的可靠性和隱私保護(hù)。

2.5.4DHCP技術(shù)設(shè)計(jì)

DHCP（DynamicHostConfigurationProtocol，動態(tài)主機(jī)配置協(xié)議）通常在

大型局域網(wǎng)環(huán)境中使用，其主要功能是集中管理和分配IP地址，使網(wǎng)絡(luò)中的主

機(jī)能夠動態(tài)獲取IP地址、網(wǎng)關(guān)地址、DNS服務(wù)器地址等信息，并提高地址的

利用率。

DHCP協(xié)議采用客戶端/服務(wù)器模式。當(dāng)客戶端設(shè)備連接到網(wǎng)絡(luò)時(shí)，它可以

通過與DHCP服務(wù)器通信自動獲取分配的IP地址和子網(wǎng)掩碼。這種方式被廣泛

應(yīng)用于現(xiàn)代接入網(wǎng)技術(shù)中，供應(yīng)商可以通過DHCP協(xié)議向用戶提供IP地址和其

他網(wǎng)絡(luò)配置信息。

通過使用DHCP，網(wǎng)絡(luò)管理員可以更簡便地管理和分配IP地址，而無需手

動為每個(gè)設(shè)備配置靜態(tài)IP。DHCP還提供了地址池和租約機(jī)制，可以確保地址

的有效使用和動態(tài)分配。同時(shí)，DHCP服務(wù)器可以向客戶端提供其他網(wǎng)絡(luò)配置

參數(shù)，如網(wǎng)關(guān)和DNS服務(wù)器地址，使客戶端可以正確地進(jìn)行網(wǎng)絡(luò)通信。

總而言之，DHCP的應(yīng)用簡化了IP地址的管理和分配過程，在大型網(wǎng)絡(luò)環(huán)

境中提供了靈活的IP地址配置和管理方式，并有效地提高了地址的利用率。

9

湖南商務(wù)職業(yè)技術(shù)學(xué)院畢業(yè)設(shè)計(jì)

2.5.5BFD技術(shù)設(shè)計(jì)

在IP網(wǎng)絡(luò)設(shè)計(jì)中，通常無法在少于1秒的時(shí)間內(nèi)從故障中恢復(fù)。為了解決

這一問題，BFD（BidirectionalForwardingDetection）技術(shù)提供了一種簡單的方

法，可以有效檢測鏈路或系統(tǒng)轉(zhuǎn)發(fā)傳輸流的能力，確保在小于50毫秒的時(shí)間內(nèi)

檢測故障，從而顯著提高了故障檢測和恢復(fù)的速度。

為了簡化網(wǎng)絡(luò)管理并提高網(wǎng)絡(luò)的擴(kuò)展性，提出了分層VPLS（VirtualPrivate

LANService）的組網(wǎng)方式。通過采用BFD技術(shù)對分層VPLS系統(tǒng)進(jìn)行鏈路故

障的檢測，可以指導(dǎo)主備偽線（PW）的切換，從而大大縮短了鏈路檢測的時(shí)間，

減少了報(bào)文丟失的可能性。

這種結(jié)合BFD技術(shù)和分層VPLS的設(shè)計(jì)方案不僅可以提高網(wǎng)絡(luò)的可靠性和

故障恢復(fù)速度，還可以簡化網(wǎng)絡(luò)管理和促進(jìn)網(wǎng)絡(luò)的擴(kuò)展。通過快速而有效地檢

測故障并實(shí)現(xiàn)快速切換，網(wǎng)絡(luò)可以更好地應(yīng)對各種故障情況，確保網(wǎng)絡(luò)傳輸服

務(wù)的連續(xù)性和穩(wěn)定性。

2.5.6VPN技術(shù)設(shè)計(jì)

虛擬專用網(wǎng)絡(luò)（VPN）是在公共網(wǎng)絡(luò)上建立加密的虛擬專用網(wǎng)絡(luò)。在傳統(tǒng)

企業(yè)網(wǎng)絡(luò)配置中，為了進(jìn)行遠(yuǎn)程訪問，通常需要租用DDN（數(shù)字?jǐn)?shù)據(jù)網(wǎng)）專線

或幀中繼，這種通訊方式會帶來高額的網(wǎng)絡(luò)通訊和維護(hù)費(fèi)用，并存在安全性方

面的隱患。

根據(jù)不同的劃分標(biāo)準(zhǔn)，VPN可以按照多個(gè)標(biāo)準(zhǔn)進(jìn)行分類。在VPN中，隧

道協(xié)議是一個(gè)關(guān)鍵的組成部分，主要有三種類型：PPTP、L2TP和IPSec。其

中.PPTP和L2TP協(xié)議工作在OSI模型的第二層，又稱為二層隧道協(xié)議；IPSec

是第三層隧道協(xié)議。這里使用的是IPSecVPN。

通過使用IPSecVPN，用戶可以在公共網(wǎng)絡(luò)上建立加密的通道，實(shí)現(xiàn)安全的

遠(yuǎn)程訪問和數(shù)據(jù)傳輸。IPSec協(xié)議提供了高度的安全性和隱私保護(hù)，通過對數(shù)據(jù)

進(jìn)行加密和認(rèn)證，確保數(shù)據(jù)在傳輸過程中得到保護(hù)。這種VPN技術(shù)能夠幫助企

業(yè)降低成本、提高網(wǎng)絡(luò)安全性，并實(shí)現(xiàn)高效的遠(yuǎn)程訪問和通訊。

3網(wǎng)絡(luò)設(shè)備選型

表3交換機(jī)選型

產(chǎn)品型號CloudEngineS16700產(chǎn)品圖片

產(chǎn)品類型交換機(jī)

10

湖南商務(wù)職業(yè)技術(shù)學(xué)院畢業(yè)設(shè)計(jì)

VBST基于VLAN生成樹

協(xié)議（和

PVST/PVST+/RPVST互

通）

端口能力

LNP鏈路類型協(xié)商協(xié)議

（和DTP相似功能）

VCMPVLAN集中管理協(xié)

議（和VTP相似功能）

業(yè)務(wù)板槽10

需求數(shù)量2

支持LACP

支持VRRP、BFDforVRRP

支持BFDfor

性能BGP/IS-IS/OSPF/靜態(tài)路由

支持Eth-OAM802.3ah和

802.1ag

支持Smartlink

表4路由器選型

產(chǎn)品型號華為AR611E-S產(chǎn)品圖片

產(chǎn)品類型路由器

400G、100G、50GE、25GE、

10GE、GE、V.35、X.21、

端口能力

V.24、C37.94、CoDir64K、

FXS/FXO、E&M.RS232

業(yè)務(wù)板槽8

需求數(shù)量2

支持端口鏡像

(SPAN/RSPAN)和流鏡像功

能

性能

支持RFC2544，支持自動發(fā)

包檢測吞吐量、時(shí)延抖動和

丟包檢測鏈路等

11

湖南商務(wù)職業(yè)技術(shù)學(xué)院畢業(yè)設(shè)計(jì)

4項(xiàng)目實(shí)施

圖2DHCP配置

圖3VLAN配置

圖4冗余備份配置

12

湖南商務(wù)職業(yè)技術(shù)學(xué)院畢業(yè)設(shè)計(jì)

圖5OSPF配置

圖6BFD配置

圖7VPN配置

13

湖南商務(wù)職業(yè)技術(shù)學(xué)院畢業(yè)設(shè)計(jì)

圖8NAT配置

5測試

5.1DHCP服務(wù)器測試

在核心交換機(jī)上配置DHCP服務(wù)器，可以為內(nèi)網(wǎng)設(shè)備提供方便快捷的IP

地址分配服務(wù)，簡化網(wǎng)絡(luò)管理流程，提高網(wǎng)絡(luò)效率和安全性。

圖

圖9DHCP測試

14

湖南商務(wù)職業(yè)技術(shù)學(xué)院畢業(yè)設(shè)計(jì)

5.2端口映射測試

端口映射訪問內(nèi)部web服務(wù)器，這里使用了分配了一個(gè)公網(wǎng)IP地址

202.100.28.3，來映射內(nèi)部web服務(wù)器192.168.200.2，可以通過外網(wǎng)

ping202.100.28.3來抓包分析出端口映射的原理。

圖10端口映射抓包

內(nèi)網(wǎng)訪問外網(wǎng)采用easy-ip，內(nèi)網(wǎng)地址轉(zhuǎn)換成了防火墻的端口IP地址。

圖11PAT技術(shù)抓包

5.3冗余備份和負(fù)載均衡測試

使用vrrp和mstp技術(shù)實(shí)現(xiàn)冗余備份和負(fù)載均衡，使用bfd技術(shù)實(shí)現(xiàn)鏈路的

快速檢測，vlan10-vlan30的主交換機(jī)為核心交換機(jī)core1，vlan40-vlan60的主交

換機(jī)為核心交換機(jī)core2。

圖12core1查看vrrp信息1

15

湖南商務(wù)職業(yè)技術(shù)學(xué)院畢業(yè)設(shè)計(jì)

圖13core1查看vrrp信息2

正常情況下pc1訪問pc2走core1交換機(jī)，當(dāng)core1的vlan10端口斷開時(shí)則

走core2備份vlan10，當(dāng)一直ping通時(shí)，斷開vlan10，利用bfd鏈路的快速檢

測，使得不會掉很多包。

圖14冗余備份測試

5.4