湖南商務(wù)職業(yè)技術(shù)學(xué)院畢業(yè)設(shè)計

目錄

1項目背景.........................................................1

1.1公司簡介....................................................1

1.2項目簡介....................................................1

2項目需求分析.....................................................2

2.1目的及網(wǎng)絡(luò)要求..............................................2

3網(wǎng)絡(luò)規(guī)劃設(shè)計.....................................................2

3.1網(wǎng)絡(luò)拓撲圖..................................................2

3.2IP地址規(guī)劃.................................................3

3.3VLAN規(guī)劃與設(shè)計.............................................4

4網(wǎng)絡(luò)技術(shù)選用.....................................................4

4.1VLAN技術(shù)...................................................4

4.2OSPF技術(shù)...................................................5

4.3DHCP技術(shù)...................................................5

4.4IPsecVPN技術(shù)..............................................6

5網(wǎng)絡(luò)設(shè)備選型.....................................................7

5.1路由器選型..................................................7

5.2核心交換機..................................................8

5.3接入交換機..................................................9

6網(wǎng)絡(luò)設(shè)備配置.....................................................9

6.1路由器SY-R1配置............................................9

6.2路由器XT-R2配置...........................................12

6.3Internet配置..............................................14

6.4交換機SY-HX配置...........................................14

6.5交換機XT-HX配置...........................................17

7網(wǎng)絡(luò)測試........................................................18

7.1DHCP測試..................................................18

I

湖南商務(wù)職業(yè)技術(shù)學(xué)院畢業(yè)設(shè)計

7.2OSPF測試..................................................19

7.3內(nèi)網(wǎng)訪問Internet測試......................................20

7.4總部訪問分部測試...........................................20

8設(shè)計小結(jié)........................................................21

參考資料...........................................................22

II

湖南商務(wù)職業(yè)技術(shù)學(xué)院畢業(yè)設(shè)計

湖南多潤科技有限公司網(wǎng)絡(luò)規(guī)劃設(shè)計

1項目背景

1.1公司簡介

湖南多潤科技有限公司成立于2020年11月，經(jīng)營范圍包括金屬表面處理

及熱處理加工；金屬表面處理、化學(xué)科技領(lǐng)域內(nèi)的技術(shù)開發(fā)、技術(shù)轉(zhuǎn)讓、技術(shù)

服務(wù)、技術(shù)咨詢;金屬表面處理產(chǎn)品（包括但不限于鐵制、鋁制、鋼制件等金屬

的拋丸、磷化、氧化、電泳、噴涂等）的加工;汽車和機械零配件、五金制品、

金屬材料的加工和銷售;金屬表面處理加工相關(guān)化學(xué)品（危險化學(xué)品及易制毒化

學(xué)品除外）的銷售。（依法須經(jīng)批準的項目，經(jīng)相關(guān)部門批準后方可開展經(jīng)營活

動；未經(jīng)批準不得從事P2P網(wǎng)貸、股權(quán)眾籌、互聯(lián)網(wǎng)保險、資產(chǎn)管理及跨界從

事金融、第三方支付、虛擬貨幣交易、ICO、非法外匯等互聯(lián)網(wǎng)金融業(yè)務(wù)）

湖南多潤科技有限公司總部有財務(wù)部、研發(fā)部、辦公部和銷售部，分公司

有財務(wù)與研發(fā)部和辦公與銷售部。

1.2項目簡介

在當今這個數(shù)字化時代，企業(yè)面臨著激烈的市場競爭和不斷變化的客戶需

求，在這樣的環(huán)境中，企業(yè)必須確保其內(nèi)部通信流暢，數(shù)據(jù)處理高效，并且能

夠快速響應(yīng)外部市場的變化。因此，建立一個穩(wěn)定、靈活且安全的網(wǎng)絡(luò)環(huán)境成

為了中小型企業(yè)發(fā)展的重要基石。

網(wǎng)絡(luò)不僅僅是連接電腦和打印機的線纜，它是企業(yè)信息流動的動脈，是支

撐企業(yè)日常運營和長遠戰(zhàn)略的關(guān)鍵基礎(chǔ)設(shè)施。一個合理設(shè)計的網(wǎng)絡(luò)能夠幫助企

業(yè)提高工作效率，降低運營成本，同時也是企業(yè)對外提供服務(wù)的平臺。公司現(xiàn)

有的網(wǎng)絡(luò)架構(gòu)已無法滿足高效、穩(wěn)定和安全的運營要求。公司要求構(gòu)建一個既

能滿足現(xiàn)有業(yè)務(wù)需求，又具備未來拓展?jié)摿Φ木W(wǎng)絡(luò)架構(gòu)，確保網(wǎng)絡(luò)的高性能、

可靠性和安全性。范圍包括網(wǎng)絡(luò)設(shè)備的選型和采購、網(wǎng)絡(luò)拓撲結(jié)構(gòu)的優(yōu)化、網(wǎng)

絡(luò)安全策略的制定和部署、以及網(wǎng)絡(luò)服務(wù)的配置。

1

湖南商務(wù)職業(yè)技術(shù)學(xué)院畢業(yè)設(shè)計

2項目需求分析

2.1目的及網(wǎng)絡(luò)要求

總部設(shè)在邵陽，在湘潭有個分部，現(xiàn)在因為業(yè)務(wù)擴大，公司現(xiàn)有的網(wǎng)絡(luò)架

構(gòu)已無法滿足，決定重新搭建一套網(wǎng)絡(luò)架構(gòu)。公司要求對網(wǎng)絡(luò)進行重新劃分，

利于統(tǒng)一管理，需要提升網(wǎng)絡(luò)性能并且增強安全性。

總部和分部局域網(wǎng)所有業(yè)務(wù)IP地址參考IP地址規(guī)劃表，局域網(wǎng)使用VLAN

技術(shù)進行業(yè)務(wù)二層隔離，不同業(yè)務(wù)部門劃分到不同的VLAN?？偛恐饕獦I(yè)務(wù)分別

有財務(wù)部PC1（vlan10）、研發(fā)部PC2（vlan20）、辦公部PC3（vlan30）、銷售

部PC4（vlan40）。分部主要業(yè)務(wù)分別有財務(wù)與研發(fā)部（VLAN50）、辦公與銷售

部（VLAN60），通過三層交換技術(shù)實現(xiàn)局域網(wǎng)內(nèi)部VLAN之間互訪，單核心組網(wǎng)。

分部核心交換機充當各自局域網(wǎng)內(nèi)部的DHCP服務(wù)器，為各個業(yè)務(wù)部門PC動態(tài)

分配IP地址等配置信息。分部通過在邊界路由器上運行OSPF路由協(xié)議實現(xiàn)內(nèi)

部和總部通信?？偛亢头植客ㄟ^廣域網(wǎng)互聯(lián)，全網(wǎng)運行OSPF路由協(xié)議，分部的

主機通過總部路由器訪問外網(wǎng)。采用IPSecVPN技術(shù)在IP傳輸上通過加密隧道，

在用公網(wǎng)傳送內(nèi)部專網(wǎng)的內(nèi)容的同時，保證內(nèi)部數(shù)據(jù)的安全性，從而實現(xiàn)企業(yè)

總部與分部之間的數(shù)據(jù)、話音、視頻業(yè)務(wù)互通。

構(gòu)建一個可擴展、高效能的企業(yè)網(wǎng)絡(luò)環(huán)境，提升企業(yè)的信息化水平和競爭

力，為企業(yè)可持續(xù)發(fā)展奠定堅實的基礎(chǔ)。目標應(yīng)當聚焦于性能優(yōu)化、安全性強

化、可靠性提升、擴展性增強、運營成本降低、用戶體驗優(yōu)化、確保符合行業(yè)

規(guī)范與法律法規(guī)的要求。如通過采用高性能的硬件和優(yōu)化的網(wǎng)絡(luò)設(shè)計，確保數(shù)

據(jù)傳輸速度快，響應(yīng)時間短，滿足企業(yè)日益增長的帶寬需求；確保網(wǎng)絡(luò)覆蓋廣

泛，連接質(zhì)量高，滿足員工的使用需求，提升工作效率。

3網(wǎng)絡(luò)規(guī)劃設(shè)計

3.1網(wǎng)絡(luò)拓撲圖

湖南多潤科技有限公司網(wǎng)絡(luò)拓撲圖介紹如下：該公司需要安全且可靠的網(wǎng)

絡(luò)，在局域網(wǎng)中使用VLAN技術(shù)進行網(wǎng)絡(luò)管理，各部門劃分了不同的VLAN，并

且利用VLANIF接口實現(xiàn)VLAN間的三層互通，運用了DHCP技術(shù)避免IP地址沖

突，方便客戶端的配置，使用OSPF協(xié)議保證了區(qū)域之間無路由環(huán)路，解決網(wǎng)絡(luò)

擴容帶來的問題，提高網(wǎng)絡(luò)的效率。采用IPSecVPN技術(shù)可以讓通信雙方在IP

2

湖南商務(wù)職業(yè)技術(shù)學(xué)院畢業(yè)設(shè)計

層通過加密、完整性校驗、數(shù)據(jù)源認證等方式，保證了IP數(shù)據(jù)報文在網(wǎng)絡(luò)上傳

輸?shù)臋C密性、完整性和防重放。

圖1網(wǎng)絡(luò)拓撲圖

3.2IP地址規(guī)劃

湖南多潤科技有限公司的IP地址規(guī)劃如表2所示：

表2路由器與交換機IP地址規(guī)劃

設(shè)備連接的設(shè)備接口IP地址子網(wǎng)掩碼

SY-R1Internet52

SY-R1SY-HX52

SY-HXSY-R152

XT-R2XT-HX52

XT-HXXT-R252

XT-R2Internet52

InternetSY-R152

InternetXT-R252

3

湖南商務(wù)職業(yè)技術(shù)學(xué)院畢業(yè)設(shè)計

3.3VLAN規(guī)劃與設(shè)計

湖南多潤科技有限公司的VLAN規(guī)劃如表1所示：

表1VLAN及IP地址規(guī)劃

部門VLAN子網(wǎng)號網(wǎng)關(guān)子網(wǎng)掩碼

財務(wù)部10

研發(fā)部20

辦公部30

銷售部40

財務(wù)與研發(fā)部50

辦公與銷售部60

4網(wǎng)絡(luò)技術(shù)選用

4.1VLAN技術(shù)

VLAN是一種虛擬的邏輯網(wǎng)絡(luò),在物理網(wǎng)絡(luò)基礎(chǔ)上邏輯劃分為多個廣播域,從

而實現(xiàn)隔離和分割。每個VLAN都是一個獨立的廣播域,只有在同一VLAN中的設(shè)

備才能相互通信,不同VLAN之間的通信需要通過路由器進行。VLAN技術(shù)的出現(xiàn)

使得網(wǎng)絡(luò)管理變得更加靈活可以根據(jù)網(wǎng)絡(luò)需求對設(shè)備進行邏輯劃分,并進行有

效的網(wǎng)絡(luò)安全和訪問控制。

為了實現(xiàn)VLAN技術(shù),用戶需要在交換機中進行相關(guān)配置,使得VLAN交換

機能夠支持不同的VLANID,從而可以將不同的端口與特定的VLAN關(guān)聯(lián),也

可以在不同的交換機之間通過Trunk端口相互連接,從而實現(xiàn)VLAN的擴展

和跨交換機通信。在交換機上配置VLAN后,交換機的每個端口都可以屬于不同

的VLAN。當一個數(shù)據(jù)包從一個端口進入交換機時,交換機會查找數(shù)據(jù)包的源MAC

地址和目標MAC地址,如果源和目標MAC地址屬于同一個VLAN,交換機將數(shù)據(jù)

包轉(zhuǎn)發(fā)到同一VLAN的其他端口。如果源和目標MAC地址不在同一個VLAN中,

交換機將數(shù)據(jù)包轉(zhuǎn)發(fā)到連接不同VLAN的端口,然后由路由器或三層交換機進

行轉(zhuǎn)發(fā)。

4

湖南商務(wù)職業(yè)技術(shù)學(xué)院畢業(yè)設(shè)計

4.2OSPF技術(shù)

OSPF是一個內(nèi)部網(wǎng)關(guān)協(xié)議(InteriorGatewayProtocol,簡稱IGP),用于在

單一自治系統(tǒng)(autonomoussystem,AS)內(nèi)決策路由.是對鏈路狀態(tài)路由協(xié)議的

一種實現(xiàn),隸屬內(nèi)部網(wǎng)關(guān)協(xié)議(IGP),故運作于自治系統(tǒng)內(nèi)部.OSPF路由協(xié)議是一

種典型的鏈路狀態(tài)(Link-state)的路由協(xié)議,一般用于同一個路由域內(nèi)。OSPF

協(xié)議運行過程中，主要有5種類型的報文，并通過鄰居發(fā)現(xiàn)、建立鄰接關(guān)系、

路由計算等步驟完成路由轉(zhuǎn)發(fā)表的生產(chǎn)。

OSPF采用鏈路狀態(tài)路由選擇算法，為了使學(xué)生能夠快速掌握該算法，我用

四個詞來描述他的過程:(1)識別，每個OSPF路由器使用Hello協(xié)議識別鄰居

路由器并與鄰居路由器建立鄰接關(guān)系;(2)交換，具有鄰接關(guān)系的OSPF路由器通

過洪泛的方式交換LSA(鏈路狀態(tài)信息);(3)構(gòu)建，構(gòu)建鏈路狀態(tài)數(shù)據(jù)庫(LSDB)，

OSPF路由器收到LSA后，會基于此LSA構(gòu)建鏈路狀態(tài)數(shù)據(jù)庫，位于同一區(qū)域內(nèi)

的每個OSPF路由器會維持一個相同的LSDB;(4)計算，在LSDB的基礎(chǔ)上，每個

OSPF路由器以自己為根，利用最短路徑優(yōu)先(SPF)算法計算到每個目的網(wǎng)絡(luò)的

最短路徑，得到一顆SPF樹，然后使用通向每個網(wǎng)絡(luò)的最佳路由填充路由表。

4.3DHCP技術(shù)

DHCP是DynamicHostConfigurationProtocol（動態(tài)主機配置協(xié)議）的

簡稱。網(wǎng)絡(luò)中的DHCP服務(wù)器可以為客戶機自動配置IP地址、DNS、默認網(wǎng)關(guān)、

子網(wǎng)掩碼等IP地址參數(shù)，在大中型網(wǎng)絡(luò)中這項技術(shù)可以提高網(wǎng)絡(luò)管理效率，應(yīng)

用比較廣泛。DHCP基于UDP協(xié)議，采用C/S工作模式。服務(wù)器端接受客戶端的

請求報文的端口號為67，客戶端接收服務(wù)器應(yīng)答報文的端口號為68，網(wǎng)絡(luò)層協(xié)

議號字段為0x11?？梢杂弥鳈C、路由器或三層交換機充當DHCP服務(wù)器。其工

作過程如下。

（1）發(fā)現(xiàn)階段：DHCP客戶端以廣播的形式向網(wǎng)絡(luò)中發(fā)送DHCP_Discover

報文。

（2）提供階段：DHCP服務(wù)器收到客戶端發(fā)送的DHCP_Discover報文以后，

從IP地址池中找到一個未分配的IP地址分配給客戶端，并且向客戶端回應(yīng)

DHCP_Offer報文

（3）選擇階段：如果客戶端同時接收到多個服務(wù)器發(fā)送的IP地址及

DHCP_Offer報文?？蛻舳酥贿x擇接受最先收到的IP地址及DHCP_Offer報文，

然后以廣播方式給服務(wù)器發(fā)送DHCP_Request報文。

5

湖南商務(wù)職業(yè)技術(shù)學(xué)院畢業(yè)設(shè)計

（4）確認階段：當服務(wù)器收到客戶端的DHCP_Request報文后，會向客戶

端發(fā)送IP地址信息和DHCP_ACK確認報文。通知客戶端可以使用它所提供的IP

地址。

4.4IPsecVPN技術(shù)

虛擬專用網(wǎng)絡(luò)（VirtualPrivateNetwork，VPN）是指在運營商的公網(wǎng)資

源上建立加密通訊的專用網(wǎng)絡(luò)。從專線連接發(fā)展至穿越公共網(wǎng)絡(luò)，數(shù)據(jù)安全和

帶寬保障仍是主要的考慮因素。企業(yè)級的VPN解決方案主要分為：端對端

（Site-to-Site）和遠程接入（EasyVPN），其中端對端VPN主要依托的技術(shù)

包括幀中繼協(xié)議（FrameRelay）、多協(xié)議標簽交換虛擬專網(wǎng)技術(shù)

（Multi-ProtocolLabelSwitching，MPLS）、互聯(lián)網(wǎng)安全協(xié)議（Internet

ProtocolSecurity，IPSec）。

IPSec是一種開放標準的框架結(jié)構(gòu)，由一組關(guān)聯(lián)協(xié)議組成，為IP協(xié)議的分

組提供加密和認證服務(wù)，從數(shù)據(jù)包傳遞的角度分為數(shù)據(jù)層面和控制層面。

數(shù)據(jù)層面分為以下幾點：

1.加密算法：VPN采用非對稱密鑰進行密鑰交換和數(shù)字簽名，采用對稱密

鑰進行數(shù)據(jù)包加密，實現(xiàn)安全，速度快，加密后的密文緊湊，無連接服務(wù)，支

持數(shù)字簽名和不可否認性。

2.驗證：應(yīng)用散列函數(shù)進行完整性校驗，常用散列函數(shù)包括MD5（Message

DigestAlgorithmMD5）和SHA-1（SecureHashAlgorithm1），散列函數(shù)對

數(shù)據(jù)包產(chǎn)生固定大小散列值，單向且避免沖突。

3.封裝協(xié)議：認證頭（AuthenticationHeader，AH）提供無連接完整性與

防重放服務(wù)。封裝安全載荷（EncapulateSecurityPayload，ESP）除了具備

AH的功能外，還提供數(shù)據(jù)源認證、數(shù)據(jù)加密和有限的傳輸流機密性。

4.傳輸模式：隧道模式（TunnelMode）用于通訊站點和加密站點不是同一

臺設(shè)備，需要保護的是多臺站點的其中兩個站點。傳輸模式（TransportMode）

用于通訊站點和加密站點是同一臺設(shè)備，需要保護兩個獨立站點之間的通信。

控制層面：網(wǎng)絡(luò)密鑰交換協(xié)議（InternetKeyExchange，IKE）是由安全

關(guān)聯(lián)和秘鑰管理協(xié)議（ISAKMP）、密鑰交換模式（OAKLEY）與共享和秘鑰更新技

術(shù)（SKEME）組成的混合協(xié)議。安全關(guān)聯(lián)（SecurityAssociation，SA）是對等

體兩端協(xié)商的信息保護策略和密鑰，IKE負責(zé)建立與維護IKESAs和IPSecSAs，

對雙方進行認證、交換非對稱加密公鑰、管理密鑰資源與協(xié)商數(shù)據(jù)層面的策略

參數(shù)。

6

湖南商務(wù)職業(yè)技術(shù)學(xué)院畢業(yè)設(shè)計

5網(wǎng)絡(luò)設(shè)備選型

5.1路由器選型

根據(jù)公司網(wǎng)絡(luò)規(guī)劃設(shè)計來看，華為AR2220路由器是很好地選擇，它是一款

功能強大的網(wǎng)絡(luò)設(shè)備，可以為公司提供企業(yè)級的性能，采用多核CPU、無阻塞

交換架構(gòu)，融合路由、語音、安全等，獨立分布式交換網(wǎng)可滿足不同企業(yè)用戶

的的業(yè)務(wù)需求。具體參數(shù)如表3所示：

圖2華為路由器AR2220

表3設(shè)備技術(shù)參數(shù)

路由器類型企業(yè)級路由器

產(chǎn)品型號華為AR2220

傳輸速率10/100/1000Mbps

整機交換容量32Gbps

端口結(jié)構(gòu)模塊化

產(chǎn)品內(nèi)存2GB

電源AC100-240V（50/60Hz）

溫度：0-40℃

工作環(huán)境

濕度：5%-90%(非冷凝)

支持基于IPPrecedence、802.1P、DSCP、MPLSEXP

流量分類，支持流量整形以及WRED擁塞避免機制，支

Qos支持

持等價負載分擔（ECMP）和非等價負載分擔（UCMP），

支持上網(wǎng)行為管理

VPN支持IPSecVPN，GREVPN，DSVPN，L2TPVPN

電源功率150W

防火墻性能1.9Gbps

擴展模塊4個SIC插槽+2個WSIC插槽+1個DSP插槽

3個GE（1個Combo）、2個USB2.0端口、1個Mini-USB

其它端口

控制臺端口、1個串行輔助/控制臺端口

產(chǎn)品認證UL60950-1，CAN/CSA60950-1，AS3260，EN60950-1

產(chǎn)品尺寸442×420×44.5mm

產(chǎn)品重量4.95kg（不含電源及插卡）

7

湖南商務(wù)職業(yè)技術(shù)學(xué)院畢業(yè)設(shè)計

5.2核心交換機

核心層的交換機選用的是華為S5700-28C-HI交換機，它是滿足大帶寬接入

和以太網(wǎng)多業(yè)務(wù)匯聚而推出的新一代綠色節(jié)能的全千兆高性能以太網(wǎng)交換機，

具備大容量、高密度千兆端口，可提供萬兆上行，充分滿足企業(yè)對設(shè)備的需求。

S5700支持基于流的雙速三色限速功能，每端口支持8個優(yōu)先級隊列，支持WRR、

DRR、SP、WRR+SP、DRR+SP多種隊列調(diào)度算法，有效地保證話音、視頻和數(shù)據(jù)

業(yè)務(wù)質(zhì)量。提供多種安全保護功能。具體參數(shù)如表4所示：

圖3華為交換機S5700

表4設(shè)備技術(shù)參數(shù)

交換機類型企業(yè)級交換機

屬性華為S5700-28C-HI

傳輸速率10/100/1000/10000Mbps

應(yīng)用層級三層

背板帶寬256Gbps

包轉(zhuǎn)發(fā)率96Mpps

MAC地址表32K

傳輸模式全雙工/半雙工自適應(yīng)

溫度：0-50℃

工作環(huán)境

濕度：5%-95%(無凝露)

溫度：-5-55℃

存儲環(huán)境

濕度：10%-90%(無凝露)

端口數(shù)量24個

端口描述24個10/100/1000Base-X端口

1個擴展插槽，選配插卡1：2×10GESFP+，選配插卡

拓展模塊

2：4×10GESFP+，選配插卡3：4×1000BASE-X

堆疊功能可堆疊

電源功率＜76W

電源電壓AC100-240V

產(chǎn)品尺寸442×220×43.6mm

8

湖南商務(wù)職業(yè)技術(shù)學(xué)院畢業(yè)設(shè)計

5.3接入交換機

接入層的交換機選用了華為S3700-26C-HI交換機，該交換機針對企業(yè)用戶

園區(qū)匯聚、接入等多種應(yīng)用場景，提供簡單便利的安裝維護手段、靈活的VLAN

部署和豐富的路由功能，并且有融合堆疊、虛擬路由器冗余、快速環(huán)網(wǎng)保護等

先進技術(shù)，助力企業(yè)搭建面向未來的IT網(wǎng)絡(luò)。具體參數(shù)如表5所示：

圖4華為交換機S3700

表5設(shè)備技術(shù)參數(shù)

交換機類型企業(yè)級交換機

屬性華為S3700-26C-HI

傳輸速率10M/100M/1000Mbps

應(yīng)用層級三層

背板帶寬64Gbps

包轉(zhuǎn)發(fā)率9.3Mpps

MAC地址表32K

傳輸模式存儲轉(zhuǎn)發(fā)方式

溫度：0-50℃

工作環(huán)境

濕度：5%-95%(無凝露)

溫度：-5-55℃

存儲環(huán)境

濕度：10%-90%(無凝露)

接口數(shù)目26口

22個10/100Base-TX，2個千兆Combo口

接口類型（10/100/1000Base-T或100/1000Base-X），上行接口

卡可選2端口千兆光口卡

產(chǎn)品重量<3.3Kg

電源功率<50W

電源電壓AC：100-240VAC，50/60HzDC:-48--60VDC

產(chǎn)品尺寸442×220×43.6mm

6網(wǎng)絡(luò)設(shè)備配置

6.1路由器SY-R1配置

<Huawei>sys

9

湖南商務(wù)職業(yè)技術(shù)學(xué)院畢業(yè)設(shè)計

#進入系統(tǒng)視圖

[Huawei]sysnameSY-R1

#更改設(shè)備名字

[SY-R1]

#更改成功

[SY-R1]ints4/0/0

#進入接口

[SY-R1-Serial4/0/0]ipaddress52

#給接口配置IP

[SY-R1-Serial4/0/0]intg0/0/0

[SY-R1-GigabitEthernet0/0/0]ipaddress52

[SY-R1-GigabitEthernet0/0/0]quit

#退出

[SY-R1]

[SY-R1]ospf1

#創(chuàng)建一個OSPF進程，并指定一個進程ID

[SY-R1-ospf-1]area0

#將接口劃分到區(qū)域0中

[SY-R1-ospf-1-area-]network

[SY-R1-ospf-1-area-]network

#ospf在宣告時，需要使用反掩碼，來匹配宣告的地址范圍

[SY-R1-ospf-1-area-]quit

[SY-R1-ospf-1]

[SY-R1-ospf-1]quit

[SY-R1]iproute-static0

#配置默認路由

[SY-R1]acl3000

#創(chuàng)建規(guī)則

[SY-R1-acl-adv-3000]rule10permitipsource

destination

#配置感興趣流

[SY-R1-acl-adv-3000]rule100denyip

#拒絕其他IP

10

湖南商務(wù)職業(yè)技術(shù)學(xué)院畢業(yè)設(shè)計

[SY-R1-acl-adv-3000]quit

[SY-R1]ipsecproposaladmin

#admin為提議名稱，用于綁定IPSec安全策略

[SY-R1-ipsec-proposal-admin]encapsulation-modetunnel

#配置工作模式為隧道

[SY-R1-ipsec-proposal-admin]transformesp

#配置協(xié)議為esp

[SY-R1-ipsec-proposal-admin]espauthentication-algorithmsha1

#配置認證算法為sha1

[SY-R1-ipsec-proposal-admin]espencryption-algorithm3des

#配置加密算法為3des

[SY-R1-ipsec-proposal-admin]quit

[SY-R1]ikeproposal1

#創(chuàng)建IKE提議，編號為1

[SY-R1-ike-proposal-1]authentication-methodpre-share

#認證方式為預(yù)共享密鑰

[SY-R1-ike-proposal-1]authentication-algorithmmd5

#認證算法為md5

[SY-R1-ike-proposal-1]dhgroup2

#配置dh組長度為2（1024bit）

[SY-R1-ike-proposal-1]saduration86400

#配置密鑰生存時間為86400秒

[SY-R1-ike-proposal-1]quit

[SY-R1]ikepeeradminv2

#創(chuàng)建IKE對等體，版本為v2，名稱為admin

[SY-R1-ike-peer-admin]pre-shared-keycipheradmin

#配置加密的預(yù)共享密鑰為admin

[SY-R1-ike-peer-admin]remote-address

#配置vpn對端地址為

[SY-R1-ike-peer-admin]ipsecpolicyIPSecVPN1isakmp

#IPSec安全策略，名稱為ISecVPN，編號為1，采用ike自動協(xié)商

[SY-R1-ipsec-policy-isakmp-IPSecVPN-1]ike-peeradmin

#關(guān)聯(lián)IKE對等體

11

湖南商務(wù)職業(yè)技術(shù)學(xué)院畢業(yè)設(shè)計

[SY-R1-ipsec-policy-isakmp-IPSecVPN-1]proposaladmin

#關(guān)聯(lián)IPSec提議

[SY-R1-ipsec-policy-isakmp-IPSecVPN-1]securityacl3000

#配置IPSec感興趣流

[SY-R1-ipsec-policy-isakmp-IPSecVPN-1]quit

[SY-R1]ints4/0/0

#進入接口s4/0/0

[SY-R1-Serial4/0/0]ipsecpolicyIPSecVPN

#接口應(yīng)用IPSec安全策略

[SY-R1-Serial4/0/0]quit

[SY-R1]aaa

#進入aaa配置模式

[SY-R1-aaa]local-userSY-R1passwordcipher123456

創(chuàng)建認證端賬戶SY-R1，密碼為加密密碼

Info:Addanewuser.

[SY-R1-aaa]local-userSY-R1service-typeppp

#此賬戶只允許被ppp協(xié)議使用

[SY-R1-aaa]ints4/0/1

#進入接口

[SY-R1-Serial4/0/1]link-protocolppp

#串口接口使用ppp協(xié)議

[SY-R1-Serial4/0/1]pppauthentication-modechap

#啟用ppp協(xié)議中的chap協(xié)議認證

6.2路由器XT-R2配置

<Huawei>sys

[Huawei]sysnameXT-R2

[XT-R2]

[XT-R2]ints4/0/0

[XT-R2-Serial4/0/0]ipaddress52

[XT-R2-Serial4/0/0]intg0/0/0

[XT-R2-GigabitEthernet0/0/0]ipaddress52

[XT-R2-GigabitEthernet0/0/0]quit

12

湖南商務(wù)職業(yè)技術(shù)學(xué)院畢業(yè)設(shè)計

[XT-R2]

[XT-R2]ospf1

[XT-R2-ospf-1]area0

[XT-R2-ospf-1-area-]network

[XT-R2-ospf-1-area-]network

[XT-R2-ospf-1-area-]quit

[XT-R2-ospf-1]

[XT-R2-ospf-1]quit

[XT-R2]iproute-static0

[XT-R2]acl3000

[XT-R2-acl-adv-3000]rule10permitipsource

destination

[XT-R2-acl-adv-3000]rule100denyip

[XT-R2-acl-adv-3000]quit

[XT-R2]ipsecproposaladmin

[XT-R2-ipsec-proposal-admin]encapsulation-modetunnel

[XT-R2-ipsec-proposal-admin]transformesp

[XT-R2-ipsec-proposal-admin]espauthentication-algorithmsha1

[XT-R2-ipsec-proposal-admin]espencryption-algorithm3des

[XT-R2-ipsec-proposal-admin]quit

[XT-R2]ikeproposal1

[XT-R2-ike-proposal-1]authentication-methodpre-share

[XT-R2-ike-proposal-1]authentication-algorithmmd5

[XT-R2-ike-proposal-1]dhgroup2

[XT-R2-ike-proposal-1]saduration86400

[XT-R2-ike-proposal-1]quit

[XT-R2]ikepeeradminv2

[XT-R2-ike-peer-admin]pre-shared-keycipheradmin

[XT-R2-ike-peer-admin]remote-address

[XT-R2-ike-peer-admin]ipsecpolicyIPSecVPN1isakmp

[XT-R2-ipsec-policy-isakmp-IPSecVPN-1]ike-peeradmin

[XT-R2-ipsec-policy-isakmp-IPSecVPN-1]proposaladmin

[XT-R2-ipsec-policy-isakmp-IPSecVPN-1]securityacl3000

13

湖南商務(wù)職業(yè)技術(shù)學(xué)院畢業(yè)設(shè)計

[XT-R2-ipsec-policy-isakmp-IPSecVPN-1]quit

[XT-R2]ints4/0/1

[XT-R2-Serial4/0/1]ipsecpolicyIPSecVPN

[XT-R2-Serial4/0/1]quit

[XT-R2]aaa

[XT-R2-aaa]ints4/0/0

[XT-R2-Serial4/0/0]link-protocolppp

[XT-R2-Serial4/0/0]pppchapuserSY-R1

[XT-R2-Serial4/0/0]pppchappasswordcipher123456

6.3Internet配置

<Huawei>sys

[Huawei]sysnameInternet

[Internet]

[Internet]ints4/0/0

[Internet-Serial4/0/0]ipaddress52

[Internet-Serial4/0/0]ints4/0/1

[Internet-Serial4/0/1]ipaddress52

[Internet-Serial4/0/1]quit

[Internet]ospf1

[Internet-ospf-1]area0

[Internet-ospf-1-area-]network

[Internet-ospf-1-area-]network

6.4交換機SY-HX配置

<Huawei>sys

#進入系統(tǒng)視圖

[Huawei]sysnameSY-HX

#更改設(shè)備名字

[SY-HX]vlan10

#創(chuàng)建VLAN10

[SY-HX-vlan10]descriptioncaiwubu

#創(chuàng)建VLAN10的名字

14

湖南商務(wù)職業(yè)技術(shù)學(xué)院畢業(yè)設(shè)計

[SY-HX-vlan10]vlan20

[SY-HX-vlan20]descriptionyanfabu

[SY-HX-vlan20]vlan30

[SY-HX-vlan30]descriptionbangongbu

[SY-HX-vlan30]vlan40

[SY-HX-vlan40]descriptionxiaoshoubu

[SY-HX-vlan40]vlan100

[SY-HX-vlan100]descriptionSY-SW1

[SY-HX-vlan100]quit

[SY-HX]port-groupgroup-memberg0/0/1tog0/0/5

#進入一組接口

[SY-HX-port-group]portlink-typeaccess

#接口模式配置為access

[SY-HX-port-group]portdefaultvlan10

#接口分配給VLAN10

[SY-HX-port-group]quit

[SY-HX]port-groupgroup-memberg0/0/6tog0/0/10

[SY-HX-port-group]portlink-typeaccess

[SY-HX-port-group]portdefaultvlan20

[SY-HX-port-group]quit

[SY-HX]port-groupgroup-memberg0/0/11tog0/0/15

[SY-HX-port-group]portlink-typeaccess

[SY-HX-port-group]portdefaultvlan30

[SY-HX-port-group]quit

[SY-HX]port-groupgroup-memberg0/0/16tog0/0/20

[SY-HX-port-group]portlink-typeaccess

[SY-HX-port-group]portdefaultvlan40

[SY-HX-port-group]quit

[SY-HX]intg0/0/24

[SY-HX-GigabitEthernet0/0/24]portlink-typeaccess

[SY-HX-GigabitEthernet0/0/24]portdefaultvlan100

[SY-HX-GigabitEthernet0/0/24]quit

[SY-HX]intvlanif10

15

湖南商務(wù)職業(yè)技術(shù)學(xué)院畢業(yè)設(shè)計

#進入VLAN10

[SY-HX-Vlanif10]ipaddress

#為VLAN10配置IP

[SY-HX-Vlanif10]intvlanif20

[SY-HX-Vlanif20]ipaddress

[SY-HX-Vlanif20]intvlanif30

[SY-HX-Vlanif30]ipaddress

[SY-HX-Vlanif30]intvlanif40

[SY-HX-Vlanif40]ipaddress

[SY-HX-Vlanif40]intvlanif100

[SY-HX-Vlanif100]ipaddress52

[SY-HX-Vlanif100]quit

[SY-HX]dhcpenable

#開啟DHCP功能

[SY-HX]ippoolvlan10

#創(chuàng)建VLAN10地址池

[SY-HX-ip-pool-vlan10]networkmask24

#宣告下發(fā)網(wǎng)絡(luò)段

[SY-HX-ip-pool-vlan10]gateway-list

#該網(wǎng)段網(wǎng)關(guān)IP地址

[SY-HX-ip-pool-vlan10]dns-list

#該網(wǎng)絡(luò)的DNS服務(wù)器地址

[SY-HX-ip-pool-vlan10]quit

[SY-HX]ippoolvlan20

[SY-HX-ip-pool-vlan20]networkmask24

[SY-HX-ip-pool-vlan20]gateway-list

[SY-HX-ip-pool-vlan20]dns-list

[SY-HX-ip-pool-vlan20]quit

[SY-HX]ippoolvlan30

[SY-HX-ip-pool-vlan30]networkmask24

[SY-HX-ip-pool-vlan30]gateway-list

[SY-HX-ip-pool-vlan30]dns-list

[SY-HX-ip-pool-vlan30]quit

16

湖南商務(wù)職業(yè)技術(shù)學(xué)院畢業(yè)設(shè)計

[SY-HX]ippoolvlan40

[SY-HX-ip-pool-vlan40]networkmask24

[SY-HX-ip-pool-vlan40]gateway-list

[SY-HX-ip-pool-vlan40]dns-list

6.5交換機XT-HX配置

<Huawei>sys

[Huawei]sysnameXT-HX

[XT-HX]vlan50

[XT-HX-vlan50]descriptioncaiwuyuyanfa

[XT-HX-vlan50]vlan60

[XT-HX-vlan60]descriptionbangongyuxiaoshou

[XT-HX-vlan60]vlan200

[XT-HX-vlan200]descriptionXT-SW2

[XT-HX-vlan200]quit

[XT-HX]port-groupgroup-memberg0/0/1tog0/0/10

[XT-HX-port-group]portlink-typeaccess

[XT-HX-port-group]portdefaultvlan50

[XT-HX-port-group]quit

[XT-HX]port-groupgroup-memberg0/0/11tog0/0/20

[XT-HX-port-group]portlink-typeaccess

[XT-HX-port-group]portdefaultvlan60

[XT-HX-port-group]quit

[XT-HX]intg0/0/24

[XT-HX-GigabitEthernet0/0/24]portlink-typeaccess

[XT-HX-GigabitEthernet0/0/24]portdefaultvlan200

[XT-HX-GigabitEthernet0/0/24]quit

[XT-HX]intvlanif50

[XT-HX-Vlanif50]ipaddress

[XT-HX-Vlanif50]intvlanif60

[XT-HX-Vlanif60]ipaddress

[XT-HX-Vlanif60]intvlanif200

[XT-HX-Vlanif200]ipaddress52

17

湖南商務(wù)職業(yè)技術(shù)學(xué)院畢業(yè)設(shè)計

7網(wǎng)絡(luò)測試

7.1DHCP測試

查看財務(wù)部是否通過DHCP獲取/24這個網(wǎng)段的地址。

圖5財務(wù)部地址表

查看研發(fā)部是否通過DHCP獲取/24這個網(wǎng)段的地址。

圖6研發(fā)部地址表

查看辦公部是否通過DHCP獲取/24這個網(wǎng)段的地址。

圖7辦公部地址表

查看銷售部是否通過D