湖南商務(wù)職業(yè)技術(shù)學(xué)院畢業(yè)設(shè)計(jì)

目錄

1項(xiàng)目概述...................................................................................................................1

1.1公司簡介.........................................................................................................1

1.2項(xiàng)目背景.........................................................................................................1

1.3項(xiàng)目需求.........................................................................................................1

2總體設(shè)計(jì)...................................................................................................................2

2.1設(shè)計(jì)目標(biāo).........................................................................................................2

2.2設(shè)計(jì)原則.........................................................................................................3

2.3網(wǎng)絡(luò)安全.........................................................................................................3

2.4關(guān)鍵技術(shù).........................................................................................................4

2.4.1VLAN劃分..........................................................................................4

2.4.2ACL技術(shù).............................................................................................4

2.4.3OSPF路由............................................................................................5

2.4.4NAT技術(shù).............................................................................................5

2.4.5MSTP技術(shù)...........................................................................................6

2.5網(wǎng)絡(luò)拓?fù)湓O(shè)計(jì).................................................................................................6

2.6IP地址規(guī)劃....................................................................................................7

3網(wǎng)絡(luò)設(shè)備選型...........................................................................................................8

3.1接入交換機(jī)選型.............................................................................................8

3.2匯聚交換機(jī)選型.............................................................................................9

3.3核心交換機(jī)選型...........................................................................................10

3.4路由器選型...................................................................................................10

3.5防火墻選型....................................................................................................11

3.6服務(wù)器選型...................................................................................................12

4網(wǎng)絡(luò)配置.................................................................................................................12

4.1匯聚交換機(jī)配置...........................................................................................12

4.2核心交換機(jī)配置...........................................................................................13

I

湖南商務(wù)職業(yè)技術(shù)學(xué)院畢業(yè)設(shè)計(jì)

4.3路由器配置...................................................................................................14

5網(wǎng)絡(luò)測試.................................................................................................................15

5.1內(nèi)網(wǎng)互通測試...............................................................................................15

5.2外網(wǎng)互通測試...............................................................................................16

5.3NAT測試......................................................................................................16

6設(shè)計(jì)小結(jié).................................................................................................................17

參考資料........................................................................................................................18

II

湖南商務(wù)職業(yè)技術(shù)學(xué)院畢業(yè)設(shè)計(jì)

湖南華晟公司網(wǎng)絡(luò)規(guī)劃與設(shè)計(jì)

1項(xiàng)目概述

1.1公司簡介

湖南華晟公司是一家專業(yè)從事電子信息技術(shù)領(lǐng)域的企業(yè)，致力于提供高品

質(zhì)的電子信息產(chǎn)品和解決方案。公司總部位于湖南省，業(yè)務(wù)遍布國內(nèi)外多個(gè)地

區(qū)。業(yè)務(wù)范圍涵蓋了多個(gè)領(lǐng)域，包括但不限于電子產(chǎn)品制造、智能硬件開發(fā)、

軟件開發(fā)和信息安全。秉承著客戶至上、創(chuàng)新發(fā)展的核心價(jià)值觀，公司不斷提

升產(chǎn)品質(zhì)量和服務(wù)水平，助力客戶實(shí)現(xiàn)商業(yè)成功。未來，湖南華晟公司將繼續(xù)

致力于電子信息技術(shù)領(lǐng)域的發(fā)展，不斷拓展業(yè)務(wù)范圍，提升核心競爭力，與客

戶共同成長、共創(chuàng)美好未來。

1.2項(xiàng)目背景

湖南華晟公司的員工有著不同的上網(wǎng)需求和習(xí)慣。隨著公司規(guī)模的不斷擴(kuò)

大，各部門之間的信息傳遞和資源共享出現(xiàn)了嚴(yán)重的滯后現(xiàn)象，這無疑給工作

帶來了很大的困擾。

為了提高工作效率和信息共享便捷性，公司急需建立一個(gè)高效的內(nèi)部網(wǎng)絡(luò)

系統(tǒng)，以促進(jìn)部門間的溝通與協(xié)作，確保信息及時(shí)準(zhǔn)確地傳遞。為了實(shí)現(xiàn)這一

目標(biāo)，公司需要優(yōu)化網(wǎng)絡(luò)架構(gòu)、提升網(wǎng)絡(luò)帶寬并引入先進(jìn)的信息技術(shù)設(shè)備。

這個(gè)新的內(nèi)部網(wǎng)絡(luò)系統(tǒng)將更好地滿足員工多樣化的上網(wǎng)需求，使他們能夠

更方便地訪問所需的信息和資源。通過信息共享和資源整合，公司將能夠進(jìn)一

步提升整體運(yùn)營效率和競爭力。

湖南華晟公司正在積極應(yīng)對這些問題，致力于打造一個(gè)高效、便捷的內(nèi)部

網(wǎng)絡(luò)系統(tǒng)，以推動(dòng)公司各部門之間的溝通與協(xié)作，確保信息的高效傳遞。通過

這一系統(tǒng)，公司將能夠優(yōu)化網(wǎng)絡(luò)架構(gòu)、提升網(wǎng)絡(luò)帶寬并引入先進(jìn)的信息技術(shù)設(shè)

備，以滿足員工多樣化的上網(wǎng)需求，并實(shí)現(xiàn)信息共享和資源整合。這將有助于

提升公司的整體運(yùn)營效率和競爭力，為公司的發(fā)展注入新的動(dòng)力。

1.3項(xiàng)目需求

湖南華晟公司網(wǎng)絡(luò)規(guī)劃和部署方案旨在完善其網(wǎng)絡(luò)結(jié)構(gòu)，以滿足不斷增長

1

湖南商務(wù)職業(yè)技術(shù)學(xué)院畢業(yè)設(shè)計(jì)

的業(yè)務(wù)需求并提升整體運(yùn)營效率。首先，針對公司規(guī)模擴(kuò)大和信息共享需求滯

后的問題，計(jì)劃重新設(shè)計(jì)網(wǎng)絡(luò)架構(gòu)，包括建立統(tǒng)一的內(nèi)部網(wǎng)絡(luò)系統(tǒng)，確保各部

門間信息傳遞暢通無阻。其次，將引入高性能路由器和交換機(jī)，優(yōu)化網(wǎng)絡(luò)帶寬

和數(shù)據(jù)傳輸速度，提升網(wǎng)絡(luò)穩(wěn)定性和速度。同時(shí)，加強(qiáng)網(wǎng)絡(luò)安全措施，設(shè)置防

火墻、入侵檢測系統(tǒng)等，保障數(shù)據(jù)安全和隱私。為了提高辦公效率，將推廣內(nèi)

部網(wǎng)絡(luò)應(yīng)用，如視頻會議、共享文檔平臺等，促進(jìn)溝通與協(xié)作。最終目標(biāo)是打

造一個(gè)安全、穩(wěn)定、快速的網(wǎng)絡(luò)環(huán)境，提升公司整體競爭力，推動(dòng)品牌推廣和

社會影響力的提升。這樣的網(wǎng)絡(luò)建設(shè)方案將為湖南華晟公司未來發(fā)展奠定堅(jiān)實(shí)

基礎(chǔ)，實(shí)現(xiàn)可持續(xù)發(fā)展和業(yè)務(wù)擴(kuò)展的可行性。

2總體設(shè)計(jì)

2.1設(shè)計(jì)目標(biāo)

制定并實(shí)施符合企業(yè)實(shí)際情況的信息化總體規(guī)劃，需要綜合考慮企業(yè)的經(jīng)

營和營銷競爭戰(zhàn)略。確保信息化戰(zhàn)略與企業(yè)的整體戰(zhàn)略目標(biāo)和長遠(yuǎn)發(fā)展相一致，

具有系統(tǒng)性、全面性，兼顧各方面的需要。因此，信息化總體規(guī)劃的設(shè)計(jì)必須

圍繞企業(yè)戰(zhàn)略展開，從長遠(yuǎn)規(guī)劃出發(fā)，涵蓋業(yè)務(wù)、流程、組織和策略等方面，

以提高網(wǎng)絡(luò)安全性、先進(jìn)性，增強(qiáng)開放性和擴(kuò)展性為目標(biāo)。

為確保網(wǎng)絡(luò)的安全性，系統(tǒng)應(yīng)根據(jù)不同的應(yīng)用和通信環(huán)境采取特定的安全

措施。這些措施包括系統(tǒng)安全機(jī)制和數(shù)據(jù)訪問權(quán)限控制，旨在防范非法入侵、

內(nèi)部攻擊，以及防止信息泄漏和篡改，從而確保網(wǎng)絡(luò)、系統(tǒng)和信息的安全，保

障業(yè)務(wù)的正常進(jìn)行。

在系統(tǒng)設(shè)計(jì)方面，需要綜合運(yùn)用先進(jìn)的概念、技術(shù)和方法。但同時(shí)，也需

要考慮到結(jié)構(gòu)、設(shè)備和工具的成熟度，以確保系統(tǒng)的生命周期長，能夠滿足用

戶不斷增長的需求，最大限度地保護(hù)用戶的投資。

采用的軟硬件平臺和管理系統(tǒng)應(yīng)當(dāng)符合國際標(biāo)準(zhǔn)化組織的開放系統(tǒng)互聯(lián)標(biāo)

準(zhǔn)，能夠集成第三方應(yīng)用，具備良好的可移植性和互操作性。此外，應(yīng)用軟件

與軟硬件平臺應(yīng)該能夠獨(dú)立操作。

在系統(tǒng)結(jié)構(gòu)、容量和技術(shù)方案的選擇上，應(yīng)具備升級換代的潛力。核心設(shè)

備采用模塊化結(jié)構(gòu)，以符合網(wǎng)絡(luò)發(fā)展趨勢并具備良好的擴(kuò)展性。在系統(tǒng)建設(shè)過

程中，應(yīng)當(dāng)保護(hù)現(xiàn)有軟硬件資源，逐步過渡，以有效保障用戶的投資。

對于網(wǎng)絡(luò)鏈路和設(shè)備，需要具備高效的數(shù)據(jù)轉(zhuǎn)發(fā)能力，以確保高質(zhì)量、無

阻塞的信息傳輸。交換系統(tǒng)應(yīng)當(dāng)具備高容量和多服務(wù)支持能力，以確保網(wǎng)絡(luò)服

2

湖南商務(wù)職業(yè)技術(shù)學(xué)院畢業(yè)設(shè)計(jì)

務(wù)質(zhì)量的穩(wěn)定性和可靠性。

2.2設(shè)計(jì)原則

為了確保企業(yè)網(wǎng)絡(luò)的可管理性、可靠性和高性能，我們將采用層次化結(jié)構(gòu)

的設(shè)計(jì)方法。這種結(jié)構(gòu)將網(wǎng)絡(luò)分為核心層、分布層和接入層三個(gè)層次，以滿足

網(wǎng)絡(luò)的可靠性、性能和擴(kuò)展性需求。

在這個(gè)設(shè)計(jì)中，核心層將提供高速的三層交換骨干，不直接連接終端設(shè)備。

其主要任務(wù)是保證VLAN之間的路由和IP地址或路由區(qū)域的匯聚。在核心層，

我們將盡量減少功能部署，以確保高速交換性能的穩(wěn)定。

接入層將提供網(wǎng)絡(luò)接入，并通過VLAN劃分來實(shí)現(xiàn)接入隔離。這一層具備

接入端口規(guī)劃容量的擴(kuò)展性，能夠根據(jù)實(shí)際需求進(jìn)行靈活規(guī)劃，以滿足不同部

門和用戶的接入需求。

此外，在網(wǎng)絡(luò)設(shè)計(jì)中，我們將遵循標(biāo)準(zhǔn)化原則，確保所有管理信令、接口

規(guī)范和協(xié)議都符合國際標(biāo)準(zhǔn)。這樣做不僅有助于網(wǎng)絡(luò)的擴(kuò)展和與其他網(wǎng)絡(luò)的互

聯(lián)互通，還能確保與其他網(wǎng)絡(luò)之間的平穩(wěn)連接，提升整體網(wǎng)絡(luò)的可靠性和穩(wěn)定

性。

2.3網(wǎng)絡(luò)安全

隨著計(jì)算機(jī)技術(shù)的飛速發(fā)展，企業(yè)的業(yè)務(wù)處理方式也從單機(jī)數(shù)學(xué)運(yùn)算逐漸

轉(zhuǎn)變?yōu)榛趦?nèi)部網(wǎng)、外部網(wǎng)和全球互聯(lián)網(wǎng)的系統(tǒng)。然而，隨之而來的是網(wǎng)絡(luò)安

全問題的日益突出。這些問題主要體現(xiàn)在物理安全、網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)安全、系統(tǒng)

安全、應(yīng)用系統(tǒng)安全和網(wǎng)絡(luò)管理安全等方面。

中小企業(yè)在面對網(wǎng)絡(luò)安全挑戰(zhàn)時(shí)常常感到無從下手。網(wǎng)絡(luò)病毒泛濫和安全

事件頻繁發(fā)生，給企業(yè)帶來了不小的困擾。根據(jù)網(wǎng)絡(luò)安全調(diào)查數(shù)據(jù)顯示，網(wǎng)絡(luò)

安全威脅主要來自三個(gè)方面：黑客的網(wǎng)絡(luò)惡意破壞、內(nèi)部人員的無意或惡意破

壞以及用戶身份盜取等問題。其中，內(nèi)部人員導(dǎo)致的網(wǎng)絡(luò)安全問題占據(jù)了主要

比例。

企業(yè)信息化過程中還普遍存在一系列安全隱患，例如部門間互訪安全無法

有效控制、重要數(shù)據(jù)可能遭受入侵者篡改、外部攻擊的威脅以及移動(dòng)辦公用戶

上網(wǎng)行為難以控制等。這些問題迫切需要解決，以確保企業(yè)網(wǎng)絡(luò)的安全性和穩(wěn)

定性。

為了應(yīng)對這些挑戰(zhàn)，必須采取相應(yīng)的安全措施。在物理安全方面，應(yīng)規(guī)劃

機(jī)房設(shè)置，建立屏蔽室等措施，以應(yīng)對可能的電磁輻射和線路干擾泄露重要信

3

湖南商務(wù)職業(yè)技術(shù)學(xué)院畢業(yè)設(shè)計(jì)

息的風(fēng)險(xiǎn)。其次，在入侵檢測系統(tǒng)方面，企業(yè)應(yīng)配備相應(yīng)的系統(tǒng)來檢測并應(yīng)對

網(wǎng)絡(luò)攻擊，確保網(wǎng)絡(luò)安全。此外，針對病毒的傳播速度快和危害性大的特點(diǎn)，

所有設(shè)備都應(yīng)配備防病毒軟件，以實(shí)現(xiàn)全網(wǎng)病毒的安全防護(hù)。為了確保企業(yè)網(wǎng)

絡(luò)的內(nèi)部安全，還需在網(wǎng)絡(luò)管理方面下功夫。建立完善的網(wǎng)絡(luò)管理系統(tǒng)，對各

個(gè)部門的訪問進(jìn)行有效控制，確保在未經(jīng)授權(quán)的情況下不能進(jìn)行相互訪問，從

而保障系統(tǒng)內(nèi)部的安全。同時(shí)，對于內(nèi)部網(wǎng)絡(luò)的VLAN設(shè)置也至關(guān)重要，通過

合理的VLAN劃分，可以有效控制用戶的訪問，增強(qiáng)網(wǎng)絡(luò)的安全性。

網(wǎng)絡(luò)安全問題是企業(yè)發(fā)展過程中不可避免的挑戰(zhàn)，但只要企業(yè)采取適當(dāng)?shù)?/p>

安全措施，加強(qiáng)安全意識教育，定期進(jìn)行安全演練和檢查，就能夠有效地保護(hù)

企業(yè)的網(wǎng)絡(luò)安全，確保業(yè)務(wù)的正常運(yùn)行。

2.4關(guān)鍵技術(shù)

2.4.1VLAN劃分

VLAN是一種將局域網(wǎng)劃分成多個(gè)邏輯上的子網(wǎng)的技術(shù)，它可以提高網(wǎng)絡(luò)的

性能、安全性和管理效率。根據(jù)你提供的信息，以下是關(guān)于VLAN劃分模式和好

處的總結(jié)：

靈活性：使用VLAN可以讓網(wǎng)絡(luò)管理員更加靈活地管理網(wǎng)絡(luò)結(jié)構(gòu)，便于設(shè)備

的移動(dòng)和變更，節(jié)省時(shí)間和精力。

安全性：VLAN可以提高網(wǎng)絡(luò)的安全性，通過MAC地址劃分VLAN可以防止

IP地址的盜用，確保網(wǎng)絡(luò)通信的安全性和可靠性。

廣播控制：通過VLAN劃分可以減少廣播域，控制廣播風(fēng)暴，提高網(wǎng)絡(luò)性

能和資源利用率。

綜合以上優(yōu)點(diǎn)，VLAN技術(shù)在組織網(wǎng)絡(luò)中起著重要作用，提高了網(wǎng)絡(luò)管理的

效率和安全性，同時(shí)也增強(qiáng)了網(wǎng)絡(luò)的靈活性和性能表現(xiàn)。

2.4.2ACL技術(shù)

ACL技術(shù)是一種用于網(wǎng)絡(luò)設(shè)備上實(shí)現(xiàn)訪問控制和安全策略的功能。以下是

對ACL技術(shù)的總結(jié)：

列表項(xiàng)匹配：ACL內(nèi)部包含多個(gè)列表項(xiàng)，每個(gè)列表項(xiàng)定義了特定的條件和

動(dòng)作。在數(shù)據(jù)包通過設(shè)備時(shí)，ACL會按照列表項(xiàng)的順序逐一進(jìn)行匹配。一旦某

個(gè)數(shù)據(jù)包與列表項(xiàng)中的條件匹配，ACL會執(zhí)行該列表項(xiàng)規(guī)定的動(dòng)作，如放行或

拒絕數(shù)據(jù)包，并且不再繼續(xù)向下匹配其他列表項(xiàng)。

順序處理：ACL是按照順序處理列表項(xiàng)的，因此列表項(xiàng)的排列順序非常重

4

湖南商務(wù)職業(yè)技術(shù)學(xué)院畢業(yè)設(shè)計(jì)

要。通常情況下，應(yīng)該將最常匹配的條件放在前面，以提高匹配效率。如果數(shù)

據(jù)包沒有匹配任何列表項(xiàng)，最后通常會有一個(gè)默認(rèn)規(guī)則，可以指定是放行還是

丟棄這類未匹配的數(shù)據(jù)包。

訪問控制：ACL可以用于實(shí)現(xiàn)對數(shù)據(jù)流的訪問控制，例如限制特定IP地

址、端口或協(xié)議的訪問。通過配置ACL，管理員可以定義允許通過的流量和需

要被拒絕的流量，從而加強(qiáng)網(wǎng)絡(luò)安全性和控制權(quán)限。

靈活性：ACL提供了靈活的配置選項(xiàng)，可以根據(jù)需求定制不同的訪問控制

策略。管理員可以根據(jù)網(wǎng)絡(luò)需求和安全政策，精細(xì)地控制數(shù)據(jù)包的流向和訪問

權(quán)限。

ACL技術(shù)在網(wǎng)絡(luò)中扮演著重要的角色，通過配置訪問控制列表，可以有效

地管理網(wǎng)絡(luò)流量，加強(qiáng)網(wǎng)絡(luò)安全性，保護(hù)網(wǎng)絡(luò)資源不受未經(jīng)授權(quán)的訪問，同時(shí)

提高網(wǎng)絡(luò)性能和運(yùn)行效率。

2.4.3OSPF路由

OSPF是一種用于路由選擇的鏈路狀態(tài)路由協(xié)議，具有以下主要特點(diǎn)：

收斂速度快：OSPF利用鏈路狀態(tài)信息進(jìn)行路由計(jì)算，可以快速收斂到最

佳路徑，適用于大型復(fù)雜網(wǎng)絡(luò)環(huán)境。

無環(huán)路：OSPF使用Dijkstra算法計(jì)算最短路徑，確保網(wǎng)絡(luò)中不存在環(huán)路，

從而避免了數(shù)據(jù)包在網(wǎng)絡(luò)中無限循環(huán)的問題。

支持可變長子網(wǎng)掩碼：OSPF可以適應(yīng)不同子網(wǎng)掩碼的網(wǎng)絡(luò)環(huán)境，支持可

變長度子網(wǎng)掩碼（VLSM），提高了網(wǎng)絡(luò)的靈活性和利用率。

支持路由信息驗(yàn)證：OSPF支持通過認(rèn)證機(jī)制對路由信息進(jìn)行驗(yàn)證，確保

路由信息的可靠性和安全性。

2.4.4NAT技術(shù)

NAT技術(shù)是一種在網(wǎng)絡(luò)中用來將私有網(wǎng)絡(luò)地址轉(zhuǎn)換成公共網(wǎng)絡(luò)地址的技術(shù)。

以下是對NAT技術(shù)的總結(jié)：

地址轉(zhuǎn)換：NAT技術(shù)允許內(nèi)部私有網(wǎng)絡(luò)使用非注冊的IP地址（通常是私

有IP地址），并在網(wǎng)絡(luò)邊界處將這些IP地址轉(zhuǎn)換為公共IP地址，以便與外部

網(wǎng)絡(luò)進(jìn)行通信。這樣可以節(jié)省公共IP地址的使用，因?yàn)樗接蠭P地址空間（如

RFC1918中定義的地址范圍）是可以重用的，而公共IP地址則是有限的資源。

保護(hù)內(nèi)部網(wǎng)絡(luò)：NAT技術(shù)可以有效地隱藏內(nèi)部網(wǎng)絡(luò)結(jié)構(gòu)，因?yàn)橥獠烤W(wǎng)絡(luò)只

能看到被NAT轉(zhuǎn)換后的公共IP地址，而不知道內(nèi)部私有地址的具體細(xì)節(jié)。這種

隱匿性增強(qiáng)了網(wǎng)絡(luò)的安全性，因?yàn)樗鼫p少了對內(nèi)部網(wǎng)絡(luò)的直接攻擊風(fēng)險(xiǎn)。

5

湖南商務(wù)職業(yè)技術(shù)學(xué)院畢業(yè)設(shè)計(jì)

靈活性：NAT技術(shù)使得網(wǎng)絡(luò)管理員可以更靈活地管理內(nèi)部網(wǎng)絡(luò)，而無需考

慮公共IP地址的稀缺性。內(nèi)部網(wǎng)絡(luò)可以使用任意私有IP地址，而NAT設(shè)備負(fù)

責(zé)將其映射到公共IP地址上，從而簡化了網(wǎng)絡(luò)配置和管理。

網(wǎng)絡(luò)擴(kuò)展：NAT技術(shù)還可以幫助組織在不改變內(nèi)部網(wǎng)絡(luò)結(jié)構(gòu)的情況下擴(kuò)展

其網(wǎng)絡(luò)規(guī)模。通過將多個(gè)內(nèi)部主機(jī)映射到少量公共IP地址上，NAT技術(shù)可以為

更多的設(shè)備提供互聯(lián)網(wǎng)訪問，從而支持網(wǎng)絡(luò)的擴(kuò)展和增長。

綜上所述，NAT技術(shù)是一種重要的網(wǎng)絡(luò)技術(shù)，它通過地址轉(zhuǎn)換和保護(hù)內(nèi)部

網(wǎng)絡(luò)等功能，為組織提供了更高效、安全和靈活的網(wǎng)絡(luò)連接方式。

2.4.5MSTP技術(shù)

MSTP（MultipleSpanningTreeProtocol，多重生成樹協(xié)議）是對傳統(tǒng)

STP的改進(jìn)，它能夠同時(shí)支持多個(gè)生成樹實(shí)例，從而允許網(wǎng)絡(luò)管理員在一個(gè)網(wǎng)

絡(luò)中創(chuàng)建多個(gè)獨(dú)立的生成樹拓?fù)洹?/p>

與STP類似，MSTP也能夠防止廣播風(fēng)暴的發(fā)生。通過構(gòu)建多個(gè)生成樹實(shí)例，

MSTP能夠根據(jù)不同的VLAN分別計(jì)算生成樹，從而避免在整個(gè)網(wǎng)絡(luò)中產(chǎn)生廣播

風(fēng)暴。

包含三種端口狀態(tài)如下所示。

根端口（RootPort）：每個(gè)非根橋交換機(jī)上都會有且只有一個(gè)根端口，根

據(jù)路徑開銷最小的原則選舉。根端口是指向生成樹的根橋的端口。

指定端口（DesignatedPort）：在每個(gè)網(wǎng)絡(luò)段上選出的端口，用于轉(zhuǎn)發(fā)數(shù)

據(jù)幀。選舉的原則是根據(jù)到達(dá)根橋的路徑開銷和橋ID來確定。每個(gè)交換機(jī)的每

個(gè)網(wǎng)絡(luò)段只能有一個(gè)指定端口。

堵塞端口（BlockedPort）：在生成樹中未被選為根端口或指定端口的端

口，不轉(zhuǎn)發(fā)數(shù)據(jù)幀。在MSTP中，由于可能存在多個(gè)生成樹實(shí)例，因此會有多個(gè)

生成樹的端口狀態(tài)，每個(gè)實(shí)例中可能都有不同的根端口、指定端口和堵塞端口。

MSTP的一個(gè)主要優(yōu)勢是其靈活性和可擴(kuò)展性。它允許管理員根據(jù)網(wǎng)絡(luò)的需

求和拓?fù)浣Y(jié)構(gòu)來配置多個(gè)生成樹實(shí)例，以滿足不同VLAN或不同部分網(wǎng)絡(luò)的需

求。

2.5網(wǎng)絡(luò)拓?fù)湓O(shè)計(jì)

湖南華晟公司決定構(gòu)建的網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)采用了樹狀分層結(jié)構(gòu)，這種結(jié)構(gòu)充

分考慮了公司的需求以及公司能力，設(shè)計(jì)出了符合企業(yè)網(wǎng)絡(luò)規(guī)模的網(wǎng)絡(luò)拓?fù)鋱D。

該網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)由各種不同功能的網(wǎng)絡(luò)設(shè)備組成，包括路由器、交換機(jī)、防火

6

湖南商務(wù)職業(yè)技術(shù)學(xué)院畢業(yè)設(shè)計(jì)

墻等，這些設(shè)備共同協(xié)作，確保了通訊數(shù)據(jù)的穩(wěn)定和安全。

在內(nèi)部網(wǎng)絡(luò)中，采用共享或交換式以太網(wǎng)，并選擇合適的網(wǎng)絡(luò)運(yùn)營商接入

Internet。同時(shí)，為了確保通訊數(shù)據(jù)的安全和保密，采用了一系列的安全措施，

包括但不限于加密技術(shù)、訪問控制列表等。該網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)的運(yùn)行需要高度的

安全性和可靠性，并且具有較低的故障率。這種網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)的實(shí)施應(yīng)該易于

理解和維護(hù)，能夠簡化日常的網(wǎng)絡(luò)管理。

企業(yè)網(wǎng)絡(luò)的拓?fù)鋱D如圖1所示：

出口路由器

防火墻

ACG

服務(wù)器交換機(jī)

核心交換機(jī)

匯聚交換機(jī)

網(wǎng)絡(luò)平臺服務(wù)器

接入交換機(jī)

財(cái)務(wù)部人力部開發(fā)部技術(shù)部銷售部

圖1企業(yè)網(wǎng)絡(luò)拓?fù)鋱D

2.6IP地址規(guī)劃

為了減少網(wǎng)絡(luò)管理員的工作量，便于監(jiān)控網(wǎng)絡(luò)管理，這里制定了幾個(gè)表格，

詳見表1、表2、表3所示。

表1內(nèi)網(wǎng)地址規(guī)劃表

部門vlan管理地址掩碼業(yè)務(wù)地址掩碼

7

湖南商務(wù)職業(yè)技術(shù)學(xué)院畢業(yè)設(shè)計(jì)

Caiwubu105424~25324

Renlibu205424~25324

Kaifabu305424~25324

Jishubu405424~25324

Xiaoshoubu505424~25324

服務(wù)器地址段605424~25324

表2核心上行地址及端口規(guī)劃

本端端口本端地址掩碼對端端口對端地址掩碼

HXG1/0/2430ACGG1/0/130

ACGG1/0/230FHQG1/0/130

FHQG1/0/230MSR1G0/130

MSRG1/0/230外網(wǎng)

表3總部各業(yè)務(wù)網(wǎng)段劃分表

VLAN編號VLAN名稱說明

VLAN10Caiwubu財(cái)務(wù)部

VLAN20Renlibu人事部

VLAN30Kaifabu開發(fā)部

VLAN40Jishubu技術(shù)部

VLAN50Xiaoshoubu銷售部

3網(wǎng)絡(luò)設(shè)備選型

3.1接入交換機(jī)選型

據(jù)本方案設(shè)計(jì)，采用的接入交換機(jī)的詳細(xì)參數(shù)如表4所示：

表4H3CS5008PV5-EI-HPWR

產(chǎn)品名稱H3CS5008PV5-EI-HPWR

產(chǎn)品類型POE交換機(jī)，千兆以太網(wǎng)交換機(jī)

應(yīng)用層級二層

傳輸速率10/100/1000Mbps

交換方式存儲-轉(zhuǎn)發(fā)

背板帶寬336Gbps

包轉(zhuǎn)發(fā)率72Mpps

支持Console/AUXModem/Telnet/SSH2.0命令行配置，支持FTP、

網(wǎng)絡(luò)管理TFTP、Xmodem、SFTP文件上下載管理，支持SNMPV1/V2c/V3，支持

NTP時(shí)鐘，支持系統(tǒng)工作日志，支持集群管理

8

湖南商務(wù)職業(yè)技術(shù)學(xué)院畢業(yè)設(shè)計(jì)

支持用戶分級管理和口令保護(hù)

支持SSHv2，為用戶登錄提供安全加密通道

支持SSL，保障數(shù)據(jù)傳輸安全

支持可控IP地址的FTP登錄和口令機(jī)制

支持防止ARP、未知組播報(bào)文、廣播報(bào)文、未知單播報(bào)文、TTL=1報(bào)

文、協(xié)議報(bào)文等攻擊功能

安全管理支持防Dos攻擊，支持MAC地址限制，支持IP＋MAC+PORT+VLAN綁定

功能，支持IEEE802.1x

支持SAVI源地址有效性驗(yàn)證

支持Radius、支持HWTACACS

支持安全網(wǎng)管SNMPv3

支持廣播報(bào)文抑制

支持CPU防攻擊。

支持Diff-ServQoS

支持WRR/HQ-WRR等隊(duì)列調(diào)度機(jī)制

QOS

支持802.1p、DSCP優(yōu)先級映射

支持對端口雙向速率限制

3.2匯聚交換機(jī)選型

據(jù)本方案設(shè)計(jì)，采用的匯聚交換機(jī)的詳細(xì)參數(shù)如表5所示：

表5H3CS5130S-28P-EI

產(chǎn)品名稱H3CS5130S-28P-EI

產(chǎn)品類型千兆以太網(wǎng)交換機(jī)，網(wǎng)管交換機(jī)

應(yīng)用層級二層

傳輸速率10/100/1000Mbps

交換方式存儲-轉(zhuǎn)發(fā)

背板帶寬336Gbps/3.36Tbps糾錯(cuò)

包轉(zhuǎn)發(fā)率51Mpps/126Mpps

支持基于端口速率百分比的風(fēng)暴抑制

組播管理支持基于PPS的風(fēng)暴抑制

支持基于bps的風(fēng)暴抑制

支持用戶分級管理和口令保護(hù)

支持AAA認(rèn)證

支持Radius認(rèn)證

安全管理支持HWTACACS

支持SSH2.0

支持端口隔離

支持802.1X

9

湖南商務(wù)職業(yè)技術(shù)學(xué)院畢業(yè)設(shè)計(jì)

支持端口安全

支持MAC地址認(rèn)證

支持IPSourceGuard

支持HTTPs

支持PKI(PublicKeyInfrastructure，公鑰基礎(chǔ)設(shè)施)

支持EAD

支持802.1p/DSCP優(yōu)先級標(biāo)記

支持包過濾功能

支持SP/WRR/SP+WRR隊(duì)列調(diào)度

QOS

支持基于端口的限速

支持基于流的重定向

支持時(shí)間段

3.3核心交換機(jī)選型

據(jù)本方案設(shè)計(jì)，采用的核心交換機(jī)的詳細(xì)參數(shù)如表6所示：

表6S5720-32P-SI-AC-Front

產(chǎn)品名稱華為S5720-32P-SI-AC-Front

產(chǎn)品類型千兆以太網(wǎng),企業(yè)級

應(yīng)用層級三層

背板帶寬598Gpbs

包轉(zhuǎn)發(fā)率168Mpps

傳輸方式存儲轉(zhuǎn)發(fā)

24個(gè)10/100/1000Base-T以太網(wǎng)端口,4個(gè)100/1000SFP,4個(gè)千兆

接口類型

SFP,2個(gè)QSFP+

接口數(shù)目32

支持廣泛的VLAN功能，包括4K個(gè)VLAN、GuestVLAN、VoiceVLAN、

VLAN支持GVRP協(xié)議、MUXVLAN、多種基于不同條件的VLAN劃分和映射功能，

以及協(xié)議透明VLAN，滿足網(wǎng)絡(luò)靈活劃分和管理的需求

雙工傳輸支持全雙工

IEEE802.3,IEEE802.3u,IEEE802.3ab,IEEE802.3z,IEEE

網(wǎng)絡(luò)標(biāo)準(zhǔn)

802.3x,IEEE802.1Q,IEEE802.1d,IEEE802.1X

3.4路由器選型

據(jù)本方案的設(shè)計(jì)，采用的出口路由器具體參數(shù)如表7所示：

表7H3CMSR56-60

產(chǎn)品名稱H3CMSR56-60

10

湖南商務(wù)職業(yè)技術(shù)學(xué)院畢業(yè)設(shè)計(jì)

路由器類型企業(yè)級路由器

端口結(jié)構(gòu)模塊化

其它端口2個(gè)USB2.0端口

1個(gè)CON

1個(gè)AUX

1個(gè)CON（Mini-USBTypeAB）

擴(kuò)展模塊6個(gè)HMIM插槽+1個(gè)DHMIM+2個(gè)VPM

防火墻內(nèi)置防火墻

PPPoEClient&Server，PORTAL，802.1x

Local認(rèn)證，RBAC、Radius，Tacacs

ASPF，ACL，F(xiàn)ILTER、連接數(shù)限制

網(wǎng)絡(luò)安全I(xiàn)KE，IPSec

L2TP，NAT/NAPT，PKI，RSA，SSHv1.5/2.0，URPF，GRE

支持ARP防攻擊

支持EAD端點(diǎn)準(zhǔn)入防御功能

QOS支持

VPN支持

3.5防火墻選型

據(jù)本方案設(shè)計(jì)，采用的防火墻的詳細(xì)參數(shù)如表8所示：

表8H3CSecPathF100-C-G

產(chǎn)品名稱H3CSecPathF100-C-G

設(shè)備類型企業(yè)級防火墻

網(wǎng)絡(luò)端口1個(gè)配置口（CON），5個(gè)GE端口

控制端口1個(gè)MIM插槽，可通過該插槽擴(kuò)展網(wǎng)絡(luò)接口

L2TPVPN

GREVPN

VPN支持

IPSec/IKE

SSLVPN

入侵檢測支持對黑客攻擊、蠕蟲/病毒、木馬、惡意代碼、間諜軟件/廣告軟件、

11

湖南商務(wù)職業(yè)技術(shù)學(xué)院畢業(yè)設(shè)計(jì)

DoS/DDoS常等攻擊的防御

支持緩沖區(qū)溢出、SQL注入、IDS/IPS逃逸等攻擊的防御

支持對BT等P2P/IM識別和控制

支持攻擊特征庫的分類（根據(jù)攻擊類型、目標(biāo)機(jī)系統(tǒng)進(jìn)行分類）、分

級（分高、中、低、提示四級）

命令行接口

支持標(biāo)準(zhǔn)網(wǎng)管SNMPv3，并且兼容SNMPv2c、SNMPv1

支持NTP時(shí)間同步

管理

支持Web方式進(jìn)行遠(yuǎn)程配置管理

支持SNMP、TR069網(wǎng)管協(xié)議

支持H3CSecCenter安全管理中心進(jìn)行設(shè)備管理

3.6服務(wù)器選型

據(jù)本方案設(shè)計(jì)，采用的服務(wù)器的詳細(xì)參數(shù)如表9所示：

表9H3CUniServerR6900G5G

產(chǎn)品名稱H3CUniServerR6900G5

產(chǎn)品型號UniServerR6900G5

產(chǎn)品類型企業(yè)級

產(chǎn)品類別機(jī)架式

擴(kuò)展槽多達(dá)18個(gè)PCIe3.0全高可用插槽和1個(gè)OCP3.0x16網(wǎng)卡專用插槽

48根DDR4內(nèi)存，最高速率3200MT/s，支持RDIMM或LRDIMM

內(nèi)存

支持24根英特爾傲騰持久內(nèi)存PMem200系列

1×1Gbps專用管理網(wǎng)口

OCP3.0x16開放接口

擴(kuò)展4×1GE電口

存儲2×10GE電口/光口

2×25GE光口

可選基于標(biāo)準(zhǔn)PCIe插槽的網(wǎng)絡(luò)適配器，支持1/10/25/40/100GE網(wǎng)

卡，IB卡

4網(wǎng)絡(luò)配置

4.1匯聚交換機(jī)配置

在網(wǎng)絡(luò)構(gòu)建中，匯聚層交換機(jī)的主要任務(wù)是匯總和轉(zhuǎn)發(fā)來自接入層交換機(jī)

的數(shù)據(jù)流量。在這一層，數(shù)據(jù)流量會根據(jù)不同區(qū)域進(jìn)行VLAN的劃分，以便隔離

12

湖南商務(wù)職業(yè)技術(shù)學(xué)院畢業(yè)設(shè)計(jì)

廣播域和限制用戶訪問。具體的網(wǎng)段地址和VLAN信息需要根據(jù)事先規(guī)劃好的

VLAN劃分表來進(jìn)行配置。

除了VLAN信息，匯聚層以上的所有交換機(jī)都需要配置其他路由協(xié)議策略。

以一臺接入層交換機(jī)為例。如下表10匯聚交換機(jī)配置所示：

表10匯聚交換機(jī)配置

system-view進(jìn)入系統(tǒng)視圖，切換到全局配置模式

vlan10進(jìn)入VLAN10的配置模式

將接口E1/0/1到E1/0/4加入到VLAN10

portgroupintethernetE1/0/1toE1/0/4

中

vlan20進(jìn)入VLAN20的配置模式

將接口E1/0/5到E1/0/8加入到VLAN20

portgroupintethernetE1/0/5toE1/0/8

中

vlan30進(jìn)入VLAN30的配置模式

將接口E1/0/9到E1/0/12加入到

portgroupintethernetE1/0/9toE1/0/12

VLAN30中

vlan40進(jìn)入VLAN40的配置模式

將接口E1/0/13到E1/0/16加入到

portgroupintethernetE1/0/13toE1/0/16

VLAN40中

vlan50進(jìn)入VLAN50的配置模式

將接口E1/0/17到E1/0/20加入到

portgroupintethernetE1/0/17toE1/0/20

VLAN50中

vlan60進(jìn)入VLAN60的配置模式

將接口E1/0/21到E1/0/22加入到

portgroupintethernetE1/0/21toE1/0/22

VLAN60中

intE1/0/24進(jìn)入接口E1/0/24的配置模式

portlink-typetrunk配置接口E1/0/24為trunk模式

允許VLAN10到VLAN60的數(shù)據(jù)通過接口

porttrunkallow-passvlan102030405060

E1/0/24

porttrunkallow-passvlan30允許VLAN30的數(shù)據(jù)通過接口E1/0/24

4.2核心交換機(jī)配置

核心層交換機(jī)主要是數(shù)據(jù)傳輸?shù)娜哂嗪蛡浞荨?/p>

詳細(xì)配置如下表11、表12所示：

表11MSTP配置

stpregion進(jìn)入多實(shí)例生成樹區(qū)域配置模式

region-configuration-sponsor配置當(dāng)前設(shè)備為生成樹區(qū)域配置發(fā)起者。

revision-level0設(shè)置生成樹區(qū)域的修訂級別為0

instance1vlan10,20,30為實(shí)例1配置包含VLAN10、20和30

instance2vlan40,50,60為實(shí)例2配置包含VLAN40、50和60

13

湖南商務(wù)職業(yè)技術(shù)學(xué)院畢業(yè)設(shè)計(jì)

activeregion激活當(dāng)前生成樹區(qū)域配置

quit退出生成樹區(qū)域配置模式

stpglobalenable啟用生成樹協(xié)議全局功能

表12雙向轉(zhuǎn)發(fā)檢測

核心交換機(jī)1：

進(jìn)入Bridge-aggregation接口視圖，配置聚合接口編號

intbri1

為1

link-aggregationmode

配置聚合組1的鏈路聚合模式為動(dòng)態(tài)

dynamic

intG1/0/1進(jìn)入G1/0/1的視圖

portlink-aggregationgroup

將接口G1/0/1加入到聚合組1中

1

intG1/0/2進(jìn)入G1/0/2的視圖

portlink-aggregationgroup

將接口1/0/2加入到聚合組1中

1

核心交換機(jī)2：

進(jìn)入Bridge-Aggregation接口視圖，配置聚合接口編號

intbri1

為1

link-aggregationmode

設(shè)置聚合組1的鏈路聚合模式為動(dòng)態(tài)

dynamic

intG1/0/1進(jìn)入G1/0/1的接口視圖

portlink-aggregationgroup

將接口G1/0/1加入到聚合組1中

1

intG1/0/2進(jìn)入G1/0/2的接口視圖

portlink-aggregationgroup

將接口G1/0/2加入到聚合組1中

1

4.3路由器配置

路由器上外網(wǎng)與內(nèi)網(wǎng)之間的通道和關(guān)卡，在這里要做ACL、NAT、DHCP等網(wǎng)

絡(luò)配置。如下表13、表14、表15所示：

表13ACL配置

system-view進(jìn)入系統(tǒng)視圖

time-rangetest8:00to18:00創(chuàng)建一個(gè)時(shí)間范圍名為"test"，限定在工作日的8:00至

working-day18:00之間

aclnumber2000創(chuàng)建一個(gè)ACL編號為2000的訪問控制列表。

rule0denysource定義訪問控制列表2000中的第一條規(guī)則，拒絕源IP為

55到55范圍內(nèi)的所有數(shù)據(jù)流

表14VLAN及IP地址規(guī)劃

單臂路由

intG1/0/0.1進(jìn)入G1/0/0.1的接口視圖

14

湖南商務(wù)職業(yè)技術(shù)學(xué)院畢業(yè)設(shè)計(jì)

ipadd54配置接口IP地址為54，子網(wǎng)掩碼為

vlan-translatedefaultvlan10將VLAN10映射到默認(rèn)VLANTranslator

intG1/0/0.2進(jìn)入G1/0/0.2的接口視圖

ipaddress54配置接口IP地址為54，子網(wǎng)掩碼為

vlan-translatedefaultvlan20將VLAN20映射到默認(rèn)VLANTranslator

intG1/0/0.3進(jìn)入G1/0/0.3的接口視圖

ipaddress54配置接口IP地址為54，子網(wǎng)掩碼為

vlan-translatedefaultvlan30將VLAN30映射到默認(rèn)VLANTranslator

intG1/0/0.4進(jìn)入G1/0/0.4的接口視圖

ipaddress54配置接口IP地址為54，子網(wǎng)掩碼為