湖南商務(wù)職業(yè)技術(shù)學(xué)院畢業(yè)設(shè)計(jì)

目錄

1校園網(wǎng)需求分析和建設(shè)目標(biāo)....................................................................................1

1.1校園簡介.........................................................................................................1

1.2網(wǎng)絡(luò)構(gòu)建需求.................................................................................................1

1.3網(wǎng)絡(luò)安全需求.................................................................................................2

2網(wǎng)絡(luò)設(shè)計(jì)....................................................................................................................3

2.1核心層網(wǎng)絡(luò)拓?fù)湓O(shè)計(jì).....................................................................................3

2.2接入層網(wǎng)絡(luò)拓?fù)湓O(shè)計(jì).....................................................................................4

2.3相關(guān)網(wǎng)絡(luò)技術(shù).................................................................................................5

2.3.1VLAN劃分..........................................................................................5

2.3.2NAT技術(shù)..............................................................................................6

2.3.3ACL技術(shù)..............................................................................................7

2.3.4端口聚合...............................................................................................7

2.3.5MSTP技術(shù)...........................................................................................7

2.4網(wǎng)絡(luò)VLAN劃分及地址規(guī)劃........................................................................8

2.4.1VLAN劃分..........................................................................................8

2.4.2IP地址分配..........................................................................................8

2.4.3設(shè)備命名規(guī)則.......................................................................................8

2.4.4安全區(qū)域劃分.......................................................................................9

3設(shè)備選型....................................................................................................................9

3.1核心交換機(jī)選型.............................................................................................9

3.2接入交換機(jī)選型.............................................................................................9

3.3安全產(chǎn)品選型...............................................................................................10

3.4無線AP選型................................................................................................11

4網(wǎng)絡(luò)配置..................................................................................................................11

4.1設(shè)備名稱配置...............................................................................................11

4.2VLAN劃分...................................................................................................12

I

湖南商務(wù)職業(yè)技術(shù)學(xué)院畢業(yè)設(shè)計(jì)

4.3虛擬化堆疊配置...........................................................................................12

4.4IP地址配置...................................................................................................13

4.5路由配置.......................................................................................................13

4.6鏈路聚合配置...............................................................................................14

4.7環(huán)路檢測配置...............................................................................................14

4.8安全配置.......................................................................................................14

5網(wǎng)絡(luò)測試..................................................................................................................16

5.1鏈路聚合測試...............................................................................................16

5.2網(wǎng)絡(luò)互聯(lián)測試...............................................................................................17

5.3網(wǎng)絡(luò)安全環(huán)境檢測.......................................................................................17

6設(shè)計(jì)小結(jié)..................................................................................................................18

參考資料.........................................................................................................................19

II

湖南商務(wù)職業(yè)技術(shù)學(xué)院畢業(yè)設(shè)計(jì)

衡山縣實(shí)驗(yàn)中學(xué)網(wǎng)絡(luò)規(guī)劃與設(shè)計(jì)

1校園網(wǎng)需求分析和建設(shè)目標(biāo)

如今，隨著校園的持續(xù)發(fā)展壯大，日益增多的在校師生、新建的樓群以及

不斷增加的工作人員使得現(xiàn)有的網(wǎng)絡(luò)設(shè)施已難以滿足廣大用戶的網(wǎng)絡(luò)需求。因

此，校方做出了一個(gè)重大決策，計(jì)劃建設(shè)全新的校區(qū)，并將進(jìn)行全面的搬遷，

以期在新的環(huán)境中展開更高效的教學(xué)和辦公活動(dòng)。

1.1校園簡介

衡山縣實(shí)驗(yàn)中學(xué)坐落在湘江之濱，位于縣城北部，是衡山縣城唯一的初級(jí)

中學(xué)。學(xué)校始建于1893年，歷史悠久，文化底蘊(yùn)深厚。歷經(jīng)時(shí)代變遷，風(fēng)雨無

阻，不斷發(fā)展壯大。目前，學(xué)校擁有38個(gè)教學(xué)班，2510名學(xué)生，在職教工160

人，內(nèi)退教工26人。擁有一支年齡結(jié)構(gòu)和知識(shí)結(jié)構(gòu)相對(duì)穩(wěn)定的教師隊(duì)伍，其中

專職教師143人，具有專本科學(xué)歷的教師137人，學(xué)歷合格率高達(dá)97.6%。其

中，中學(xué)高級(jí)教師19人，中學(xué)一級(jí)教師78人。學(xué)校占地面積59畝，校舍面積

28562平方米（含正在新建的校舍）。學(xué)校圖書館藏書38700余冊(cè)。1995年，縣

政府行文將該校命名為“衡山縣開云初級(jí)實(shí)驗(yàn)中學(xué)”。今年10月，縣政府、縣

教育局再次行文將該校更名為“衡山縣實(shí)驗(yàn)中學(xué)”，隸屬衡山縣教育局管理。近

年來，學(xué)校秉承“忠誠、勤奮、博學(xué)、健康”的校訓(xùn)，堅(jiān)持“兩全”方針，德

育為首，內(nèi)抓管理，外樹形象。積極穩(wěn)妥地推行素質(zhì)教育，加大教研教改力度，

注重學(xué)生非智力因素的培養(yǎng)和個(gè)性特長的開發(fā)，狠抓教學(xué)常規(guī)，教育教學(xué)質(zhì)量

逐年攀升，校興校榮蒸蒸日上。

1.2網(wǎng)絡(luò)構(gòu)建需求

隨著校園規(guī)模的不斷擴(kuò)大，現(xiàn)有網(wǎng)絡(luò)設(shè)施已無法滿足日益增長的網(wǎng)絡(luò)需求。

為此，校方?jīng)Q定新建校區(qū)，并整體搬遷至新校區(qū)進(jìn)行教學(xué)和辦公。為了確保新

校區(qū)網(wǎng)絡(luò)建設(shè)的順利進(jìn)行，需要滿足以下幾個(gè)關(guān)鍵需求：

1.新校區(qū)共有15棟樓，包括2棟教學(xué)樓、1棟實(shí)訓(xùn)樓、1棟圖書館、1棟

行政辦公樓、2棟食堂以及10棟學(xué)生宿舍樓（男生5棟，女生5棟）。在如此

龐大的網(wǎng)絡(luò)需求下，必須確保網(wǎng)絡(luò)資源充足，保障關(guān)鍵業(yè)務(wù)的穩(wěn)定傳輸，同時(shí)

提高學(xué)生的上網(wǎng)體驗(yàn)。

2.校園內(nèi)行政辦公已基本實(shí)現(xiàn)電子化，采購了大量服務(wù)器用于數(shù)據(jù)存儲(chǔ)和

1

湖南商務(wù)職業(yè)技術(shù)學(xué)院畢業(yè)設(shè)計(jì)

校園業(yè)務(wù)應(yīng)用。這些數(shù)據(jù)極為珍貴，因此需要在網(wǎng)絡(luò)建設(shè)完成后，確保服務(wù)器

數(shù)據(jù)的安全性，防止非法訪問和未知的非法攻擊，同時(shí)限制校內(nèi)特定訪問，以

保障網(wǎng)絡(luò)數(shù)據(jù)的安全。

3.在校園網(wǎng)的使用過程中，可能會(huì)出現(xiàn)人為失誤或設(shè)備故障，導(dǎo)致網(wǎng)絡(luò)癱

瘓。所以需要在網(wǎng)絡(luò)故障發(fā)生時(shí)預(yù)留備用網(wǎng)絡(luò)，確保網(wǎng)絡(luò)的暢通和穩(wěn)定，降低

網(wǎng)絡(luò)故障率，提高工作效率。

4.新建校區(qū)的網(wǎng)絡(luò)屬于中小型局域網(wǎng)，核心設(shè)備數(shù)量有限，維護(hù)相對(duì)便利。

然而，由于校區(qū)面積較大，接入設(shè)備數(shù)量眾多且分布較遠(yuǎn)，設(shè)備的維護(hù)管理成

為一個(gè)大問題。因此，需要對(duì)網(wǎng)絡(luò)后期的維護(hù)管理進(jìn)行合理規(guī)劃和設(shè)計(jì)，確保

在非本地設(shè)備出現(xiàn)故障時(shí)，能夠遠(yuǎn)程快速管理和解決網(wǎng)絡(luò)故障，恢復(fù)網(wǎng)絡(luò)的使

用。

5.校園網(wǎng)絡(luò)流量業(yè)務(wù)可分為三大類，需要根據(jù)不同的網(wǎng)絡(luò)需求，對(duì)流量進(jìn)

行不同的路徑轉(zhuǎn)發(fā)和控制，精確匹配流量來源，實(shí)現(xiàn)精準(zhǔn)的流量訪問控制限制

和流量出口控制，確保各種流量業(yè)務(wù)互不沖突，互不干擾，實(shí)現(xiàn)業(yè)務(wù)的穩(wěn)定轉(zhuǎn)

發(fā)。

通過滿足以上需求，為新校區(qū)的網(wǎng)絡(luò)建設(shè)提供堅(jiān)實(shí)的基礎(chǔ)，為師生創(chuàng)造一

個(gè)高效、安全、穩(wěn)定的網(wǎng)絡(luò)環(huán)境。

1.3網(wǎng)絡(luò)安全需求

校園網(wǎng)網(wǎng)絡(luò)安全需求分析是一個(gè)多維度、綜合性的過程，需要從以下幾個(gè)

關(guān)鍵方面進(jìn)行全面考慮：

1.數(shù)據(jù)隱私保護(hù)：在校園網(wǎng)中，學(xué)生和教職員工傳輸?shù)膫€(gè)人信息、敏感數(shù)

據(jù)等必須得到嚴(yán)格保護(hù)，防止未經(jīng)授權(quán)的人員獲取或篡改。這需要采取有效的

加密技術(shù)，確保數(shù)據(jù)在傳輸和存儲(chǔ)過程中的安全性。

2.網(wǎng)絡(luò)訪問控制：為了確保校園網(wǎng)絡(luò)資源的安全，只有經(jīng)過授權(quán)的用戶才

能訪問。這需要建立一套完善的認(rèn)證和授權(quán)機(jī)制，如基于用戶名和密碼的身份

驗(yàn)證、MAC地址過濾、802.1X認(rèn)證等，以防止未授權(quán)的訪問。

3.惡意軟件防護(hù)：校園網(wǎng)絡(luò)需要部署有效的防病毒、防間諜軟件和防惡意

軟件措施，以防止病毒、木馬等惡意軟件的侵害。這需要定期更新防病毒軟件，

以及對(duì)新出現(xiàn)的惡意軟件進(jìn)行及時(shí)的識(shí)別和防御。

4.應(yīng)急響應(yīng)機(jī)制：建立健全的網(wǎng)絡(luò)安全事件響應(yīng)機(jī)制，對(duì)安全事件進(jìn)行及

時(shí)處理和處置，減少安全事件對(duì)校園網(wǎng)絡(luò)造成的損失。這需要制定詳細(xì)的應(yīng)急

預(yù)案，以及進(jìn)行定期的應(yīng)急演練。

2

湖南商務(wù)職業(yè)技術(shù)學(xué)院畢業(yè)設(shè)計(jì)

5.網(wǎng)絡(luò)安全意識(shí)教育：加強(qiáng)對(duì)學(xué)生、教職員工的網(wǎng)絡(luò)安全意識(shí)教育，提高

其對(duì)網(wǎng)絡(luò)安全風(fēng)險(xiǎn)的認(rèn)識(shí)和防范能力，避免因?yàn)槿藶橐蛩貙?dǎo)致的安全漏洞。這

需要定期開展網(wǎng)絡(luò)安全教育和培訓(xùn)，以及建立一套完善的網(wǎng)絡(luò)安全教育體系。

綜上所述，校園網(wǎng)的網(wǎng)絡(luò)安全需求分析需要綜合考慮數(shù)據(jù)隱私保護(hù)、網(wǎng)絡(luò)

訪問控制、惡意軟件防護(hù)、應(yīng)急響應(yīng)機(jī)制以及網(wǎng)絡(luò)安全意識(shí)教育等方面，通過

技術(shù)手段和管理手段相結(jié)合，確保校園網(wǎng)絡(luò)的安全穩(wěn)定運(yùn)行。

2網(wǎng)絡(luò)設(shè)計(jì)

網(wǎng)絡(luò)規(guī)劃設(shè)計(jì)架構(gòu)、資源分配、建設(shè)規(guī)范以及權(quán)限管理等方面，構(gòu)成了整

體網(wǎng)絡(luò)建設(shè)的核心主題框架。后續(xù)工作嚴(yán)格按照既定的要求，全面完成網(wǎng)絡(luò)建

設(shè)的各項(xiàng)任務(wù)，以實(shí)現(xiàn)網(wǎng)絡(luò)的高效運(yùn)行和安全穩(wěn)定。

2.1核心層網(wǎng)絡(luò)拓?fù)湓O(shè)計(jì)

網(wǎng)絡(luò)采用樹形分層結(jié)構(gòu)，其優(yōu)化之處在于將網(wǎng)絡(luò)層次化，便于后期維護(hù)與

管理。這樣的設(shè)計(jì)能夠確保網(wǎng)絡(luò)能夠更好地為學(xué)校提供服務(wù)，保障提供便捷、

正常的使用體驗(yàn)。核心網(wǎng)絡(luò)結(jié)構(gòu)如圖1所示：

圖1核心網(wǎng)絡(luò)結(jié)構(gòu)圖

3

湖南商務(wù)職業(yè)技術(shù)學(xué)院畢業(yè)設(shè)計(jì)

核心層結(jié)構(gòu)解析：整個(gè)網(wǎng)絡(luò)體系被巧妙地劃分為三層，頂端矗立著至關(guān)重

要的核心層。這一層由一對(duì)經(jīng)過IRF虛擬化的高端核心交換機(jī)構(gòu)成，它們不僅

確保了網(wǎng)絡(luò)的高效運(yùn)行，還通過內(nèi)置的心跳檢測線強(qiáng)化了冗余可靠性，以防止

虛擬化狀態(tài)出現(xiàn)任何中斷。核心交換機(jī)上嵌入了專業(yè)的安全交換板卡，不僅負(fù)

責(zé)與運(yùn)營商網(wǎng)絡(luò)的無縫對(duì)接，還承擔(dān)著至關(guān)重要的安全防護(hù)任務(wù)。

核心交換機(jī)通過雙上行的萬兆鏈路與下一層的匯聚交換機(jī)緊密相連，這種

設(shè)計(jì)確保了核心到匯聚層之間的通信具備冗余備份，利用端口聚合技術(shù)進(jìn)一步

增強(qiáng)了鏈路的穩(wěn)定性。與此同時(shí)，核心匯聚層與一臺(tái)服務(wù)器匯聚以及三臺(tái)獨(dú)立

的區(qū)域匯聚節(jié)點(diǎn)通過雙上行千兆連接相接，端口聚合技術(shù)再次發(fā)揮了作用，它

提供了鏈路備份，提升了帶寬利用率，同時(shí)也保證了各匯聚點(diǎn)間的連接可靠性。

網(wǎng)絡(luò)布局被策略性地劃分為學(xué)生區(qū)、教學(xué)區(qū)和行政區(qū)三大塊。這三臺(tái)區(qū)域

匯聚交換機(jī)分別為這三個(gè)特定區(qū)域提供服務(wù)，負(fù)責(zé)整合各自下屬的接入交換機(jī)，

以此構(gòu)建出一個(gè)邏輯清晰、功能明確且高度冗余的網(wǎng)絡(luò)環(huán)境。。

2.2接入層網(wǎng)絡(luò)拓?fù)湓O(shè)計(jì)

在網(wǎng)絡(luò)接入的底層架構(gòu)設(shè)計(jì)中，面臨的是廣闊地域覆蓋、眾多設(shè)備部署以

及遠(yuǎn)程設(shè)備互聯(lián)的現(xiàn)實(shí)挑戰(zhàn)。因此，決定采取了一種靈活融合的策略，結(jié)合無

級(jí)聯(lián)和多級(jí)聯(lián)的連接技術(shù)，以構(gòu)建出能動(dòng)態(tài)適應(yīng)各種復(fù)雜現(xiàn)場環(huán)境的高效解決

方案。這樣的混合應(yīng)用方式，不僅確保了網(wǎng)絡(luò)的穩(wěn)定運(yùn)行，也提升了系統(tǒng)對(duì)不

同場景的適應(yīng)性，接入網(wǎng)絡(luò)結(jié)構(gòu)如圖2所示：

4

湖南商務(wù)職業(yè)技術(shù)學(xué)院畢業(yè)設(shè)計(jì)

圖2接入網(wǎng)絡(luò)結(jié)構(gòu)

接入層結(jié)構(gòu)解析：無極連方式和多級(jí)連方式的區(qū)別在于接入交換機(jī)是否充

當(dāng)小區(qū)域匯聚使用，接入底層存在有兩種混合接入方式共存，接入層與上層網(wǎng)

絡(luò)連接均采用單上行千兆傳輸，但與區(qū)域匯聚相連時(shí)采用雙上行千兆傳輸。

無級(jí)聯(lián)方式：底層用戶通過與接入交換機(jī)直連，所在的接入交換機(jī)直接與

區(qū)域匯聚直連中間未跨越任何的網(wǎng)絡(luò)設(shè)備，無級(jí)聯(lián)接入方式適用距離短、終端

少的環(huán)境。

多級(jí)連方式：底層用戶通過與接入交換機(jī)直連，接入交換機(jī)與匯聚交換機(jī)

之間跨越了一臺(tái)或多臺(tái)接入交換機(jī)，實(shí)現(xiàn)串線連接，形成多級(jí)聯(lián)，適用于場景

較大且距離匯聚交換機(jī)較遠(yuǎn)的場景。

2.3相關(guān)網(wǎng)絡(luò)技術(shù)

2.3.1VLAN劃分

VLAN（VirtualLocalAreaNetwork）是一種將局域網(wǎng)劃分成多個(gè)邏輯上

的子網(wǎng)的技術(shù)，它可以提高網(wǎng)絡(luò)的性能、安全性和管理效率。根據(jù)你提供的信

息，以下是關(guān)于VLAN劃分模式和好處的總結(jié)：

VLAN劃分模式：

按接口劃分：通過在交換機(jī)端口上設(shè)置PVID（PortVLANID）標(biāo)簽，將接

5

湖南商務(wù)職業(yè)技術(shù)學(xué)院畢業(yè)設(shè)計(jì)

口劃分到不同的VLAN中。

按子網(wǎng)劃分：根據(jù)子網(wǎng)和VLANID的映射表將設(shè)備劃分到不同的VLAN

中。

按網(wǎng)絡(luò)協(xié)議劃分：根據(jù)不同的網(wǎng)絡(luò)協(xié)議將設(shè)備進(jìn)行VLAN劃分。

按MAC地址劃分：根據(jù)主機(jī)的MAC地址與VLANID的映射表將設(shè)備劃分

到相應(yīng)的VLAN中。

VLAN的好處：

靈活性：使用VLAN可以讓網(wǎng)絡(luò)管理員更加靈活地管理網(wǎng)絡(luò)結(jié)構(gòu)，便于設(shè)

備的移動(dòng)和變更，節(jié)省時(shí)間和精力。

安全性：VLAN可以提高網(wǎng)絡(luò)的安全性，通過MAC地址劃分VLAN可以防

止IP地址的盜用，確保網(wǎng)絡(luò)通信的安全性和可靠性。

廣播控制：通過VLAN劃分可以減少廣播域，控制廣播風(fēng)暴，提高網(wǎng)絡(luò)性

能和資源利用率。

綜合以上優(yōu)點(diǎn)，VLAN技術(shù)在組織網(wǎng)絡(luò)中起著重要作用，提高了網(wǎng)絡(luò)管理的

效率和安全性，同時(shí)也增強(qiáng)了網(wǎng)絡(luò)的靈活性和性能表現(xiàn)。。

2.3.2NAT技術(shù)

NAT（NetworkAddressTranslation，網(wǎng)絡(luò)地址轉(zhuǎn)換）技術(shù)是一種在網(wǎng)絡(luò)

中用來將私有網(wǎng)絡(luò)地址轉(zhuǎn)換成公共網(wǎng)絡(luò)地址的技術(shù)。以下是對(duì)NAT技術(shù)的總結(jié)：

地址轉(zhuǎn)換：NAT技術(shù)允許內(nèi)部私有網(wǎng)絡(luò)使用非注冊(cè)的IP地址（通常是私

有IP地址），并在網(wǎng)絡(luò)邊界處將這些IP地址轉(zhuǎn)換為公共IP地址，以便與外部

網(wǎng)絡(luò)進(jìn)行通信。這樣可以節(jié)省公共IP地址的使用，因?yàn)樗接蠭P地址空間（如

RFC1918中定義的地址范圍）是可以重用的，而公共IP地址則是有限的資源。

保護(hù)內(nèi)部網(wǎng)絡(luò)：NAT技術(shù)可以有效地隱藏內(nèi)部網(wǎng)絡(luò)結(jié)構(gòu)，因?yàn)橥獠烤W(wǎng)絡(luò)只

能看到被NAT轉(zhuǎn)換后的公共IP地址，而不知道內(nèi)部私有地址的具體細(xì)節(jié)。這種

隱匿性增強(qiáng)了網(wǎng)絡(luò)的安全性，因?yàn)樗鼫p少了對(duì)內(nèi)部網(wǎng)絡(luò)的直接攻擊風(fēng)險(xiǎn)。

靈活性：NAT技術(shù)使得網(wǎng)絡(luò)管理員可以更靈活地管理內(nèi)部網(wǎng)絡(luò)，而無需考

慮公共IP地址的稀缺性。內(nèi)部網(wǎng)絡(luò)可以使用任意私有IP地址，而NAT設(shè)備負(fù)

責(zé)將其映射到公共IP地址上，從而簡化了網(wǎng)絡(luò)配置和管理。

網(wǎng)絡(luò)擴(kuò)展：NAT技術(shù)還可以幫助組織在不改變內(nèi)部網(wǎng)絡(luò)結(jié)構(gòu)的情況下擴(kuò)展

其網(wǎng)絡(luò)規(guī)模。通過將多個(gè)內(nèi)部主機(jī)映射到少量公共IP地址上，NAT技術(shù)可以為

更多的設(shè)備提供互聯(lián)網(wǎng)訪問，從而支持網(wǎng)絡(luò)的擴(kuò)展和增長。

綜上所述，NAT技術(shù)是一種重要的網(wǎng)絡(luò)技術(shù)，它通過地址轉(zhuǎn)換和保護(hù)內(nèi)部

6

湖南商務(wù)職業(yè)技術(shù)學(xué)院畢業(yè)設(shè)計(jì)

網(wǎng)絡(luò)等功能，為組織提供了更高效、安全和靈活的網(wǎng)絡(luò)連接方式。

2.3.3ACL技術(shù)

ACL（AccessControlList，訪問控制列表）技術(shù)是一種用于網(wǎng)絡(luò)設(shè)備上

實(shí)現(xiàn)訪問控制和安全策略的功能。

ACL技術(shù)在網(wǎng)絡(luò)中扮演著重要的角色，通過配置訪問控制列表，可以有效

地管理網(wǎng)絡(luò)流量，加強(qiáng)網(wǎng)絡(luò)安全性，保護(hù)網(wǎng)絡(luò)資源不受未經(jīng)授權(quán)的訪問，同時(shí)

提高網(wǎng)絡(luò)性能和運(yùn)行效率。

2.3.4端口聚合

端口聚合技術(shù)（PortAggregation）是一種網(wǎng)絡(luò)鏈路聚合技術(shù)，用于將多

個(gè)物理鏈路捆綁成一個(gè)邏輯鏈路，以提供更高的帶寬、更好的負(fù)載均衡和冗余

備份。在核心交換機(jī)上應(yīng)用端口聚合技術(shù)可以有效解決數(shù)據(jù)堵塞、延遲和負(fù)載

能力過載的問題。

端口聚合技術(shù)在網(wǎng)絡(luò)中起到了提高帶寬、實(shí)現(xiàn)負(fù)載均衡、增強(qiáng)網(wǎng)絡(luò)可靠性

和防止網(wǎng)絡(luò)環(huán)路等重要作用，是解決大量數(shù)據(jù)流通造成網(wǎng)絡(luò)壓力和環(huán)路問題的

有效技術(shù)手段。

2.3.5MSTP技術(shù)

MSTP（MultipleSpanningTreeProtocol，多重生成樹協(xié)議）是對(duì)傳統(tǒng)

STP的改進(jìn)，它能夠同時(shí)支持多個(gè)生成樹實(shí)例，從而允許網(wǎng)絡(luò)管理員在一個(gè)網(wǎng)

絡(luò)中創(chuàng)建多個(gè)獨(dú)立的生成樹拓?fù)洹?/p>

避免廣播風(fēng)暴：與STP類似，MSTP也能夠防止廣播風(fēng)暴的發(fā)生。通過構(gòu)

建多個(gè)生成樹實(shí)例，MSTP能夠根據(jù)不同的VLAN分別計(jì)算生成樹，從而避免在

整個(gè)網(wǎng)絡(luò)中產(chǎn)生廣播風(fēng)暴。

端口狀態(tài)：

根端口（RootPort）：每個(gè)非根橋交換機(jī)上都會(huì)有且只有一個(gè)根端口，根

據(jù)路徑開銷最小的原則選舉。根端口是指向生成樹的根橋的端口。

指定端口（DesignatedPort）：在每個(gè)網(wǎng)絡(luò)段上選出的端口，用于轉(zhuǎn)發(fā)數(shù)

據(jù)幀。選舉的原則是根據(jù)到達(dá)根橋的路徑開銷和橋ID來確定。每個(gè)交換機(jī)的每

個(gè)網(wǎng)絡(luò)段只能有一個(gè)指定端口。

堵塞端口（BlockedPort）：在生成樹中未被選為根端口或指定端口的端

口，不轉(zhuǎn)發(fā)數(shù)據(jù)幀。在MSTP中，由于可能存在多個(gè)生成樹實(shí)例，因此會(huì)有多個(gè)

生成樹的端口狀態(tài)，每個(gè)實(shí)例中可能都有不同的根端口、指定端口和堵塞端口。

7

湖南商務(wù)職業(yè)技術(shù)學(xué)院畢業(yè)設(shè)計(jì)

靈活性和可擴(kuò)展性：MSTP的一個(gè)主要優(yōu)勢是其靈活性和可擴(kuò)展性。它允

許管理員根據(jù)網(wǎng)絡(luò)的需求和拓?fù)浣Y(jié)構(gòu)來配置多個(gè)生成樹實(shí)例，以滿足不同VLAN

或不同部分網(wǎng)絡(luò)的需求。

2.4網(wǎng)絡(luò)VLAN劃分及地址規(guī)劃

2.4.1VLAN劃分

根據(jù)學(xué)校需求，網(wǎng)絡(luò)建設(shè)過程中分為四個(gè)區(qū)塊來進(jìn)行資源分配，局域網(wǎng)資

源計(jì)劃適用VLAN100-VLAN2000之間化四個(gè)區(qū)間，如下表1所示：

表1VLAN劃分

序號(hào)分配區(qū)間VLAN信息

1服務(wù)器資源VLAN100-VLAN119

2設(shè)備管理VLAN200-VLAN219

3網(wǎng)絡(luò)互聯(lián)VLAN300-VLAN319

4業(yè)務(wù)資源VLAN1000-VLAN1399

2.4.2IP地址分配

根據(jù)學(xué)校需求，IP地址分配、地址資源規(guī)劃，如下表2、表3所示：

表2IP地址分配表

序號(hào)業(yè)務(wù)名稱地址信息

1學(xué)生區(qū)域/24-/24

2教學(xué)區(qū)域/24-/24

3行政辦公/24-/24

表3地址資源規(guī)劃表

序號(hào)業(yè)務(wù)名稱地址信息

1業(yè)務(wù)分配/16

2設(shè)備管理/24-/24

3互聯(lián)應(yīng)用/24

4服務(wù)器資源/22

5業(yè)務(wù)預(yù)留/16

2.4.3設(shè)備命名規(guī)則

設(shè)備命名規(guī)則如下：根據(jù)當(dāng)前所處位置的首字母作為設(shè)備名稱標(biāo)簽，如果

當(dāng)前位置存在多臺(tái)設(shè)備，則可以使用后加編號(hào)進(jìn)行區(qū)域設(shè)備區(qū)分。最后，使用

JR、HJ、HX作為設(shè)備所屬層次的標(biāo)識(shí)。

例如，當(dāng)前教學(xué)樓2棟三樓有兩臺(tái)接入設(shè)備，則可以描述為：

HSSY-JXL-2D-SL-01-JR和HSSY-JXL-2D-SL-02-JR。

8

湖南商務(wù)職業(yè)技術(shù)學(xué)院畢業(yè)設(shè)計(jì)

2.4.4安全區(qū)域劃分

在網(wǎng)絡(luò)安全建設(shè)中，根據(jù)校內(nèi)不同業(yè)務(wù)的需求，將不同區(qū)域加入至不同的

安全區(qū)域中。網(wǎng)絡(luò)中存在四種類型：學(xué)生、教育、辦公和設(shè)備管理。為了保護(hù)

數(shù)據(jù)安全，設(shè)置了四種對(duì)應(yīng)的安全區(qū)域，并通過安全區(qū)域接口將學(xué)生的流量傳

送至安全區(qū)域內(nèi)，同時(shí)采用安全策略對(duì)數(shù)據(jù)進(jìn)行保護(hù)。

3設(shè)備選型

3.1核心交換機(jī)選型

核心交換機(jī)S6800如表4所示：

表4核心交換機(jī)S6800

S6800

轉(zhuǎn)發(fā)模式支持store-forward模式和cut-through模式

支持IRF2橫向虛擬化，支持本地和遠(yuǎn)程堆疊；支持IRF3.1縱向虛擬

化；支持分布式設(shè)備管理，分布式鏈路聚合，分布式彈性路由；支持

設(shè)備虛擬化跨設(shè)備鏈路聚合DRNI；支持IRF2橫向虛擬化，支持本地和遠(yuǎn)程堆疊；

支持分布式設(shè)備管理，分布式鏈路聚合，分布式彈性路由；支持跨設(shè)

備鏈路聚合DRNI

支持TRILL；支持VxLAN二層和三層網(wǎng)關(guān)；支持BGP-EVPN；支持EVPN

網(wǎng)絡(luò)虛擬化分布式網(wǎng)關(guān)；支持QinQinVxLAN；支持GRETunnel；支持VxLAN二

層和三層網(wǎng)關(guān)；支持BGP-EVPN；支持QinQinVxLAN；支持GRETunnel

支持VCFController；數(shù)據(jù)中心特性；支持VxLANMapping；支持服

務(wù)鏈Servicechain；支持RoCE無損網(wǎng)絡(luò)支持FCoE；支持DCBX、PFC、

SDN控制器ETS、ECN、QCN；支持EVB、SPB；支持EVPN分布式網(wǎng)關(guān)；支持VxLAN

Mapping；支持服務(wù)鏈Servicechain；支持RoCE無損網(wǎng)絡(luò)；支持FCoE；

支持DCBX、PFC、ETS、ECN、QCN

可編程支持OpenFlow；支持Ansible自動(dòng)化配置

3.2接入交換機(jī)選型

接入交換機(jī)H3C-5130如表5所示：

9

湖南商務(wù)職業(yè)技術(shù)學(xué)院畢業(yè)設(shè)計(jì)

表5接入交換機(jī)H3C-5130

H3C-5130

支持用戶分級(jí)管理和口令保護(hù)；支持802.1X認(rèn)證/集中式MAC地址認(rèn)

證；支持Triple認(rèn)證；支持GuestVLAN；支持RADIUS認(rèn)證；支持SSH

安全特性2.0；支持端口隔離；支持端口安全；支持MAC地址學(xué)習(xí)數(shù)目限制；支

持IP源地址保護(hù)；支持ARP入侵檢測功能；支持IP+MAC+端口多元組

綁定；支持EAD

支持XModem/FTP/TFTP加載升級(jí)；支持命令行接口（CLI），Telnet，

Console口進(jìn)行配置；支持SNMPv1/v2/v3，WEB網(wǎng)管；支持RMON告警、

事件、歷史記錄；支持iMC智能管理中心；支持系統(tǒng)日志，分級(jí)告警，

管理與維護(hù)調(diào)試信息輸出；支持HGMPv2；支持NTP；支持Ping、Tracert；支持

VCT電纜檢測功能；支持DLDP單向鏈路檢測協(xié)議；支持

Loopback-detection端口環(huán)回檢測；支持電源、風(fēng)扇、溫度告警；支

持BFD

支持VSU（虛擬化技術(shù)，將多臺(tái)設(shè)備虛擬成1臺(tái)）、支持GRfor

高可靠性RIP/OSPF/BGP等路由協(xié)議、支持BFD檢測、支持REUP、支持RLDP、

支持電源1+1冗余備份、電源模塊、風(fēng)扇模塊支持熱插拔功能

3.3安全產(chǎn)品選型

安全產(chǎn)品SecBladeNetStream如表6所示：

表6路由器SecBladeNetStream

SecBladeNetStream

可應(yīng)用于S7500E交換機(jī)；S9500E交換機(jī)；S12500交換機(jī)；CR16000路由器

功能規(guī)格支持XModem/FTP/TFTP加載升級(jí)；支持命令行接口支持接口配置

10

湖南商務(wù)職業(yè)技術(shù)學(xué)院畢業(yè)設(shè)計(jì)

NetStream；支持接口配置采樣方式（按規(guī)則采樣或隨機(jī)采樣）；支持

接口配置報(bào)文過濾；支持IP流聚合統(tǒng)計(jì)（協(xié)議-端口聚合）；支持設(shè)置

NetStream流緩存區(qū)大??；支持設(shè)置統(tǒng)計(jì)報(bào)文輸出地址；支持設(shè)置輸

出版本號(hào)；支持設(shè)置輸出速率；支持設(shè)置V9模板包刷新率；支持設(shè)置

V9模板時(shí)間刷新率

支持設(shè)置統(tǒng)計(jì)表項(xiàng)Active老化時(shí)間；支持設(shè)置統(tǒng)計(jì)表項(xiàng)Inactive老

統(tǒng)計(jì)信息老化

化時(shí)間；支持強(qiáng)制老化

統(tǒng)計(jì)信息輸出格V5；V8；V9

式

統(tǒng)計(jì)信息顯示顯示流緩沖區(qū)統(tǒng)計(jì)信息；顯示流上報(bào)統(tǒng)計(jì)信息；顯示V9模板統(tǒng)計(jì)信息

3.4無線AP選型

無線APH3CA61-1500如表7所示：

表7無線APH3CA61-1500

H3CA61-1500

固定端口以太網(wǎng)口2個(gè)，usb口1個(gè)，console口1個(gè)

固定端口1個(gè)復(fù)位開關(guān)，無線速率1個(gè)10/100/1000Base-T以太網(wǎng)端

口建議帶機(jī)量12V/1.5ADC供電，SSID數(shù)量3000Mbps(2.4G:

2*2MIMO,5G:2*2MIMO)工作頻段802.11ax/ac/n/a：5.15-5.35GHz，

5.725GHz-5.850GHz（中國）802.11ax/b/g/n：2.4GHz-2.483GHz（中

相關(guān)參數(shù)國）指示燈內(nèi)置LED：系統(tǒng)狀態(tài)指示燈，天線內(nèi)置4根高增益全向天

線，頻寬支持160MHz頻寬，POE供電支持802.3af/802.3at兼容供電，

環(huán)境工作溫度：0°C~40°C功耗工作濕度：5%～95%，非凝露，外形

尺寸≤10W，重量Ф220mm*37mm撥碼開關(guān)0.60kg機(jī)身，認(rèn)證多用

戶模式，廣覆蓋模式。

4網(wǎng)絡(luò)配置

4.1設(shè)備名稱配置

用具有描述性的名稱可以使網(wǎng)絡(luò)管理員更容易地識(shí)別和管理設(shè)備。通過統(tǒng)

11

湖南商務(wù)職業(yè)技術(shù)學(xué)院畢業(yè)設(shè)計(jì)

一的命名規(guī)范，可以減少人為錯(cuò)誤和混淆。當(dāng)多個(gè)設(shè)備擁有類似的名稱時(shí)，容

易造成誤解和操作失誤。良好的命名規(guī)范可以幫助減少這種情況的發(fā)生。下面

以核心交換機(jī)1的配置為例，如下表8所示：

表8設(shè)備名稱配置

H3C>system-view//進(jìn)入系統(tǒng)視圖

H3C#sysnameHSSY-HX-01//將本臺(tái)交換機(jī)命名為HSSY-HX-01

HSSY-HX-01#//交換機(jī)命名成功

4.2VLAN劃分

依照網(wǎng)絡(luò)規(guī)劃，VLAN劃分配置如下表9所示：

表9VLAN劃分配置

Vlan10//創(chuàng)建業(yè)務(wù)VLAN

Vlan100//創(chuàng)建業(yè)務(wù)VLAN

InterfaceGigabitEthernet1/0/1//進(jìn)入物理接口1

Portlink-typeaccess//配置物理接口傳輸模式

Portaccessvlan10//將物理接口加入業(yè)務(wù)vlan10

InterfaceGigabitEthernet1/0/2//進(jìn)入物理接口2

Portlink-typeaccess//配置物理接口傳輸模式

Portaccessvlan100//將物理接口加入業(yè)務(wù)vlan100

Vlan10//創(chuàng)建業(yè)務(wù)VLAN

Vlan100//創(chuàng)建業(yè)務(wù)VLAN

InterfaceGigabitEthernet1/0/1//進(jìn)入物理接口1

Portlink-typeaccess//配置物理接口傳輸模式

Portaccessvlan10//將物理接口加入業(yè)務(wù)vlan10

InterfaceGigabitEthernet1/0/2//進(jìn)入物理接口2

Portlink-typeaccess//配置物理接口傳輸模式

Portaccessvlan100//將物理接口加入業(yè)務(wù)vlan100

4.3虛擬化堆疊配置

依照網(wǎng)絡(luò)規(guī)劃，在交換機(jī)上進(jìn)行虛擬化堆疊配置，配置命令如下表10所示：

表10虛擬化堆疊配置

irfmember1//配置IRF設(shè)備編號(hào)

irf-port2//創(chuàng)建IRF端口

portgroupinterfaceten-gigabitethernet//將接口加入IRF端口

3/0/1

Quit//返回視圖

chassisconvertmodeirf//切換IRF模式

system-view//進(jìn)入系統(tǒng)視圖

12

湖南商務(wù)職業(yè)技術(shù)學(xué)院畢業(yè)設(shè)計(jì)

irfmember2//配置設(shè)備編號(hào)

irf-port1//創(chuàng)建IRF端口

portgroupinterfaceten-gigabitethernet//將接口加入IRF端口

3/0/1

Quit//返回視圖

Save//保存配置

chassisconvertmodeirf//切換IRF工作模式

irflink-delay0//配置IRF鏈路時(shí)延

vlan3//創(chuàng)建VLAN用于IRF線路檢測

portgigabitethernet1/4/0/1//添加檢測接口

gigabitethernet2/4/0/1

Quit//返回視圖

interfacevlan-interface3//進(jìn)入虛擬接口

madbfdenable//開啟檢測BFD功能

madipaddress24member1//配置地址檢測設(shè)備1

madipaddress24member2//配置地址檢測設(shè)備2

interfacegigabitethernet1/4/0/1//進(jìn)入物理接口

undostpenable//關(guān)閉接口生成樹

4.4IP地址配置

依照網(wǎng)絡(luò)規(guī)劃，在交換機(jī)上進(jìn)行IP地址配置，命令如下表11所示：

表11IP地址配置

system-view//進(jìn)入系統(tǒng)視圖

vlan30//創(chuàng)建業(yè)務(wù)VLAN

interfaceGigabitEthernet1/0/1//進(jìn)入物理接口1

portlink-moderouter//配置物理接口工作模式為路由模式

ipaddress//為物理接口1添加IP地址

interfaceGigabitEthernet1/0/2//進(jìn)入物理接口2

portlink-moderouter//配置物理接口工作模式為路由模式

ipaddress//為物理接口2添加IP地址

interfacevlan-inteface30//進(jìn)入虛擬接口30

ipaddress//配置虛擬接口VLAN30添加IP地址

4.5路由配置

依照網(wǎng)絡(luò)規(guī)劃，在交換機(jī)上進(jìn)行路由配置，命令如下表13所示：

表13鏈路聚合配置

system-view//進(jìn)入系統(tǒng)視圖

iprouter-static24//配置靜態(tài)明細(xì)路由

iprouter-static24//配置靜態(tài)默認(rèn)路由

13

湖南商務(wù)職業(yè)技術(shù)學(xué)院畢業(yè)設(shè)計(jì)

iprouter-static24preference70//配置靜態(tài)默認(rèn)備份路由

表12路由配置

4.6鏈路聚合配置

依照網(wǎng)絡(luò)規(guī)劃，在交換機(jī)上進(jìn)行鏈路聚合配置，命令如下表13所示：

system-view//進(jìn)入系統(tǒng)視圖

interfacebridge-aggregation1//創(chuàng)建聚合接口

link-aggregationmodedynamic//將接口聚合模式更改

lacpedge-port//設(shè)置聚合邊緣接口

quit//返回視圖

interfacegigabitethernet1/0/1//進(jìn)入物理接口

portlink-aggregationgroup1//將接口加入物理聚合組1

quit//返回視圖

interfacegigabitethernet1/0/2//進(jìn)入物理接口

portlink-aggregationgroup1//將接口加入物理聚合組1

quit//返回視圖

4.7環(huán)路檢測配置

依照網(wǎng)絡(luò)規(guī)劃，在交換機(jī)上進(jìn)行環(huán)路檢測配置，命令如下表14所示：

表14鏈路聚合配置

system-view//進(jìn)入系統(tǒng)視圖

loopback-detectionglobalenablevlan100//全局開啟環(huán)路檢測，并添

加檢測VLAN，可以單個(gè)檢測

或多個(gè)

interfaceg1/0/1//進(jìn)入物理接口g1/0/1

loopback-detectionenablevlan100//在接口下開啟環(huán)路檢測，

并添加檢測VLAN

4.8安全配置

依照網(wǎng)絡(luò)規(guī)劃，在交換機(jī)上進(jìn)行安全配置，命令如下表15所示：

表15安全配置

system-view

security-zonenametrust//向安全域Trust中添加接口

importinterfacegigabitethernet1/0/1GigabitEthernet1/0/1。

quit

security-zonenamedmz

//向安全域DMZ中添加接口

importinterfacegigabitethernet1/0/2

GigabitEthernet1/0/2。

quit

14

湖南商務(wù)職業(yè)技術(shù)學(xué)院畢業(yè)設(shè)計(jì)

security-zonenameuntrust

//向安全域Untrust中添加接口

importinterfacegigabitethernet1/0/3

GigabitEthernet1/0/3。

quit

acladvanced3500

//配置ACL3500，定義規(guī)則：允

rulepermitip

許IP流量。

quit

zone-pairsecuritysourcetrustdestination創(chuàng)建源安全域Trust到目的安全

untrust域Untrust的安全域間實(shí)例，并在

packet-filter3500該安全域間實(shí)例上應(yīng)用包過濾，可

quit以拒絕Untrust域用戶對(duì)Trust

的訪問，但Trust域用戶訪問

Untrust域以及返回的報(bào)文可以

通過。

zone-pairsecuritysourcetrustdestinationdmz//創(chuàng)建源安全域Trust到目的安

packet-filter3500全域DMZ的安全域間實(shí)例，并在該

quit安全域間實(shí)例上應(yīng)用包過濾，可以

拒絕DMZ域用戶對(duì)Trust的訪問，

但Trust域用戶訪問DMZ域以及返

回的報(bào)文可以通過。

zone-pairsecuritysourcetrustdestinationdmz//創(chuàng)建源安全域Trust到目的安

packet-filter3500全域DMZ的安全域間實(shí)例，并在該

quit安全域間實(shí)例上應(yīng)用包過濾，可以

拒絕DMZ域用戶對(duì)Trust的訪問，

但Trust域用戶訪問DMZ域以及返

回的報(bào)文可以通過。

object-groupipaddresspresident配置對(duì)象；創(chuàng)建名為president

networksubnet24的IP地址對(duì)象組，并定義其子網(wǎng)

quit地址為/24。

object-groupipaddressfinance//創(chuàng)建名為finance的IP地址對(duì)

networksubnet24象組，并定義其子網(wǎng)地址為

quit/24。

object-groupipaddressmarket//創(chuàng)建名為market的IP地址對(duì)

networksubnet24象組，并定義其子網(wǎng)地址為

quit/24。

object-groupipaddressdatabase//創(chuàng)建名為database的IP地址

networksubnet24對(duì)象組，并定義其子網(wǎng)地址為

quit/24。

object-groupserviceweb

//創(chuàng)建名為web的服務(wù)對(duì)象組，

service6destinationeq80

并定義其支持的服務(wù)為HTTP。

quit

object-policyippresident-database配置對(duì)象策略及規(guī)則；制訂允許總

rulepasssource-ippresidentdestination-ip裁辦在任意時(shí)間通過HTTP協(xié)議訪

15

湖南商務(wù)職業(yè)技術(shù)學(xué)院畢業(yè)設(shè)計(jì)

databaseserviceweb問財(cái)務(wù)數(shù)據(jù)庫服務(wù)器的對(duì)象策略

quit及規(guī)則。

object-policyipfinance-database

//制訂只允許財(cái)務(wù)部在工作時(shí)間

rulepasssource-ipfinancedestination-ip

通過HTTP協(xié)議訪問財(cái)務(wù)數(shù)據(jù)庫服

databaseservicewebtime-rangework

務(wù)器的對(duì)象策略及規(guī)則。

quit

object-policyipmarket-database

//制訂禁止市