湖南商務(wù)職業(yè)技術(shù)學(xué)院畢業(yè)設(shè)計(jì)

目錄

1項(xiàng)目背景...........................................................1

1.1公司簡(jiǎn)介......................................................1

1.2項(xiàng)目簡(jiǎn)介......................................................1

2需求分析...........................................................1

2.1目的及要求....................................................1

2.2預(yù)期目標(biāo)......................................................2

3相關(guān)技術(shù)原理.......................................................2

3.1VLAN.........................................................2

3.2VRRP+MSTP....................................................2

3.3OSPF.........................................................2

3.4DHCP.........................................................3

3.5ACL..........................................................3

3.6NAT..........................................................3

3.7防火墻........................................................4

4網(wǎng)絡(luò)規(guī)劃與設(shè)計(jì).....................................................5

4.1網(wǎng)絡(luò)拓?fù)湓O(shè)計(jì)..................................................5

4.2IP地址與VLAN劃分.............................................5

4.3設(shè)備選型.........................................................6

4.3.1接入層設(shè)備..............................................6

4.3.2核心層設(shè)備..............................................7

4.3.3防火墻..................................................8

4.3.4路由器..............................................9

5.項(xiàng)目實(shí)施..........................................................10

5.1基礎(chǔ)配置.....................................................10

5.2VRRP+MSTP配置...............................................16

5.3鏈路聚合配置.................................................19

I

湖南商務(wù)職業(yè)技術(shù)學(xué)院畢業(yè)設(shè)計(jì)

5.4路由配置.....................................................20

5.5DHCP配置....................................................22

5.6控制訪(fǎng)問(wèn)技術(shù)ACL配置.........................................25

5.7防火墻安全策略配置...........................................26

5.8NAT策略配置.................................................27

5.9NATServer配置..............................................28

5.10端口限制配置................................................28

6.測(cè)試結(jié)果..........................................................28

6.1DHCP測(cè)試....................................................28

6.2訪(fǎng)問(wèn)外網(wǎng)測(cè)試.................................................29

6.3無(wú)線(xiàn)登錄測(cè)試.................................................29

6.4VRRP主備選舉測(cè)試.............................................31

6.5負(fù)載分擔(dān)測(cè)試.................................................31

6.6核心路由表查看，鄰居建立關(guān)系查看.............................31

6.7ACL測(cè)試......................................................33

6.8內(nèi)網(wǎng)訪(fǎng)問(wèn)服務(wù)器測(cè)試...........................................34

6.9外網(wǎng)NATServer測(cè)試..........................................35

6.10外網(wǎng)客戶(hù)端訪(fǎng)問(wèn)內(nèi)網(wǎng)FTP服務(wù)器測(cè)試............................36

7.總結(jié).............................................................36

參考資料............................................................37

II

湖南商務(wù)職業(yè)技術(shù)學(xué)院畢業(yè)設(shè)計(jì)

凱羽網(wǎng)絡(luò)技術(shù)有限公司網(wǎng)絡(luò)規(guī)劃與設(shè)計(jì)

1項(xiàng)目背景

1.1公司簡(jiǎn)介

凱羽網(wǎng)絡(luò)技術(shù)有限公司致力于網(wǎng)絡(luò)技術(shù)研發(fā)與創(chuàng)新，是一家高新技術(shù)企業(yè)。

公司自成立以來(lái)，始終秉承“以技術(shù)為驅(qū)動(dòng)，以創(chuàng)新為引領(lǐng)”的發(fā)展理念，以

提供高效、安全、穩(wěn)定的網(wǎng)絡(luò)技術(shù)解決方案為使命。公司擁有一支實(shí)力雄厚的

技術(shù)研發(fā)團(tuán)隊(duì)，擁有豐富的網(wǎng)絡(luò)技術(shù)研發(fā)背景和項(xiàng)目實(shí)踐經(jīng)驗(yàn)。團(tuán)隊(duì)成員均來(lái)

自知名高校和科研機(jī)構(gòu)，具備扎實(shí)的理論基礎(chǔ)和創(chuàng)新潛能，不斷推動(dòng)公司在網(wǎng)

絡(luò)技術(shù)領(lǐng)域取得創(chuàng)新突破。凱羽網(wǎng)絡(luò)技術(shù)有限公司注重對(duì)市場(chǎng)需求和技術(shù)趨勢(shì)

的分析研究，與行業(yè)發(fā)展同步，推出符合市場(chǎng)需求的新產(chǎn)品和技術(shù)。公司的產(chǎn)

品和服務(wù)廣泛應(yīng)用于金融、教育、醫(yī)療、交通等多個(gè)行業(yè)，贏得客戶(hù)廣泛好評(píng)。

未來(lái)，凱羽網(wǎng)絡(luò)技術(shù)有限公司將繼續(xù)堅(jiān)持創(chuàng)新驅(qū)動(dòng)，加強(qiáng)技術(shù)研發(fā)和人才培養(yǎng)，

不斷提升核心競(jìng)爭(zhēng)力和市場(chǎng)影響力，為我國(guó)網(wǎng)絡(luò)技術(shù)的發(fā)展和信息化建設(shè)貢獻(xiàn)

更大力量。

1.2項(xiàng)目簡(jiǎn)介

針對(duì)當(dāng)前企業(yè)網(wǎng)絡(luò)架構(gòu)存在的問(wèn)題，凱羽網(wǎng)絡(luò)技術(shù)有限公司提出了一項(xiàng)全

面的網(wǎng)絡(luò)設(shè)計(jì)整改項(xiàng)目，旨在優(yōu)化和升級(jí)企業(yè)網(wǎng)絡(luò)。通過(guò)深入分析現(xiàn)有網(wǎng)絡(luò)系

統(tǒng)，結(jié)合先進(jìn)的網(wǎng)絡(luò)技術(shù)和管理理念，該項(xiàng)目將對(duì)企業(yè)網(wǎng)絡(luò)進(jìn)行全面的優(yōu)化和

升級(jí)。整改內(nèi)容包括但不限于優(yōu)化網(wǎng)絡(luò)架構(gòu)設(shè)計(jì)、升級(jí)替換網(wǎng)絡(luò)設(shè)備、加強(qiáng)安

全防護(hù)措施，以及完善網(wǎng)絡(luò)管理與維護(hù)流程。通過(guò)整改，將打造一個(gè)穩(wěn)定可靠、

安全高效、易于擴(kuò)展的企業(yè)網(wǎng)絡(luò)系統(tǒng)，以滿(mǎn)足企業(yè)日益增長(zhǎng)的業(yè)務(wù)需求和技術(shù)

發(fā)展要求。

2需求分析

2.1目的及要求

提升企業(yè)網(wǎng)絡(luò)系統(tǒng)的穩(wěn)定性和可靠性，減少網(wǎng)絡(luò)故障和停機(jī)時(shí)間，確保企

業(yè)業(yè)務(wù)的連續(xù)性和高效運(yùn)行。加強(qiáng)企業(yè)網(wǎng)絡(luò)系統(tǒng)的安全防護(hù)能力，防范網(wǎng)絡(luò)攻

1

湖南商務(wù)職業(yè)技術(shù)學(xué)院畢業(yè)設(shè)計(jì)

擊和數(shù)據(jù)泄露等安全風(fēng)險(xiǎn)，保護(hù)企業(yè)信息安全和資產(chǎn)安全。優(yōu)化企業(yè)網(wǎng)絡(luò)系統(tǒng)

的性能和擴(kuò)展性，提高網(wǎng)絡(luò)帶寬和數(shù)據(jù)處理能力，為企業(yè)未來(lái)發(fā)展提供有力支

持。

2.2預(yù)期目標(biāo)

成功完成企業(yè)網(wǎng)絡(luò)系統(tǒng)的整改工作，實(shí)現(xiàn)網(wǎng)絡(luò)系統(tǒng)的全面優(yōu)化和升級(jí)。網(wǎng)

絡(luò)系統(tǒng)的穩(wěn)定性和可靠性得到顯著提升，網(wǎng)絡(luò)故障率大幅降低，業(yè)務(wù)連續(xù)性得

到有效保障。網(wǎng)絡(luò)安全防護(hù)能力得到加強(qiáng)，企業(yè)信息安全得到有力保障，降低

安全風(fēng)險(xiǎn)。網(wǎng)絡(luò)系統(tǒng)的性能和擴(kuò)展性得到提升，滿(mǎn)足企業(yè)未來(lái)業(yè)務(wù)增長(zhǎng)和技術(shù)

發(fā)展的需求。通過(guò)本次網(wǎng)絡(luò)設(shè)計(jì)整改項(xiàng)目，我們期望能夠進(jìn)一步提升凱羽網(wǎng)絡(luò)

技術(shù)有限公司在網(wǎng)絡(luò)技術(shù)領(lǐng)域的專(zhuān)業(yè)能力和服務(wù)水平，為客戶(hù)創(chuàng)造更大的價(jià)值。

3相關(guān)技術(shù)原理

3.1VLAN

虛擬局域網(wǎng)。VLAN一組與物理位置無(wú)關(guān)的局域網(wǎng)網(wǎng)段構(gòu)成的邏輯組。這些

網(wǎng)段具有某些相同的需求。每個(gè)VLAN的幀都有不同的標(biāo)識(shí)符，說(shuō)明發(fā)送這個(gè)

幀的終端是屬于哪個(gè)VLAN。主要作用隔離廣播域，用來(lái)防止二層的風(fēng)暴。

3.2VRRP+MSTP

MSTP和VRRP（VirtualRouterRedundancyProtocol）是兩種常用的冗余

技術(shù)，可以提高網(wǎng)絡(luò)的可靠性和穩(wěn)定性。MSTP通過(guò)鏈路聚合和冗余控制來(lái)保證

網(wǎng)絡(luò)通信的可靠性，而VRRP則通過(guò)虛擬路由器重新分配IP地址的方式來(lái)實(shí)現(xiàn)

設(shè)備的冗余和故障切換。

當(dāng)MSTP和VRRP組合使用時(shí)，可以發(fā)揮其各自的優(yōu)勢(shì)，進(jìn)一步提高網(wǎng)絡(luò)的

可靠性和穩(wěn)定性。具體好處如下：

增加冗余

提高帶寬利用率

簡(jiǎn)化網(wǎng)絡(luò)管理

3.3OSPF

OSPF：是在自治系統(tǒng)內(nèi)部的鏈路狀態(tài)型路由協(xié)議，運(yùn)行OSPF協(xié)議的設(shè)備之

2

湖南商務(wù)職業(yè)技術(shù)學(xué)院畢業(yè)設(shè)計(jì)

間只傳遞對(duì)端設(shè)備不具有的LSA，協(xié)議收斂時(shí)間短，基于帶寬的度量值能夠有

效避免網(wǎng)絡(luò)資源的浪費(fèi)，OSPF是封裝在IP協(xié)議報(bào)文之內(nèi)，工作于IP層之上，

ProtocolID為89，使用組播地址。

OSPF五個(gè)報(bào)文詳解：

（1）Hello包，組播，源地址是自己的接口地址。每10s發(fā)一

次hello（低速鏈路40），4倍hello時(shí)間沒(méi)收到就與鄰居斷開(kāi)連接。當(dāng)從鄰

居發(fā)來(lái)的數(shù)據(jù)報(bào)文中發(fā)現(xiàn)了自己的Router-id則認(rèn)為鄰居建立成功。進(jìn)入

（2）DBD，使用單播包發(fā)送給鄰居，是數(shù)據(jù)庫(kù)的摘要。

（3）LSR，對(duì)比鄰居發(fā)來(lái)的數(shù)據(jù)庫(kù)的摘要后使用此報(bào)文來(lái)向鄰居請(qǐng)求自己

沒(méi)有的具體信息。

（4）LSU，鄰居收到請(qǐng)求后給我發(fā)送這個(gè)鏈路狀態(tài)信息。

（5）LSACK，對(duì)鄰居發(fā)來(lái)的報(bào)文進(jìn)行確認(rèn)。

3.4DHCP

動(dòng)態(tài)主機(jī)配置協(xié)議DHCP（DynamicHostConfigurationProtocol）是一

種網(wǎng)絡(luò)管理協(xié)議，用于集中對(duì)用戶(hù)IP地址進(jìn)行動(dòng)態(tài)管理和配置。

DHCP于1993年10月成為標(biāo)準(zhǔn)協(xié)議，其前身是BOOTP協(xié)議。DHCP協(xié)議由RFC2131

定義，采用客戶(hù)端/服務(wù)器通信模式，由客戶(hù)端（DHCPClient）向服務(wù)器（DHCP

Server）提出配置申請(qǐng)，DHCPServer為網(wǎng)絡(luò)上的每個(gè)設(shè)備動(dòng)態(tài)分配IP地址、

子網(wǎng)掩碼、默認(rèn)網(wǎng)關(guān)地址，域名服務(wù)器（DNS）地址和其他相關(guān)配置參數(shù)，以便

可以與其他IP網(wǎng)絡(luò)通信。

3.5ACL

訪(fǎng)問(wèn)控制列表（ACL）是一種基于數(shù)據(jù)包過(guò)濾的訪(fǎng)問(wèn)控制技術(shù)，它根據(jù)設(shè)置

的條件過(guò)濾接口上的數(shù)據(jù)包，允許它們通過(guò)或丟棄。訪(fǎng)問(wèn)控制列表廣泛用于路

由器和第三層交換機(jī)。在訪(fǎng)問(wèn)控制列表的幫助下，可以有效地控制用戶(hù)對(duì)網(wǎng)絡(luò)

的訪(fǎng)問(wèn)，以最大限度地提高網(wǎng)絡(luò)安全性。

3.6NAT

是指網(wǎng)絡(luò)地址轉(zhuǎn)換，1994年提出的。NAT是一種用于在本地網(wǎng)絡(luò)中使用專(zhuān)

用地址，并在連接到Internet時(shí)切換到全局IP地址的技術(shù)。NAT實(shí)際上是為

了解決IPv4地址短缺的問(wèn)題而開(kāi)發(fā)的一種技術(shù)。通過(guò)將一個(gè)外部IP地址和端

口映射到更大的內(nèi)部IP地址集來(lái)轉(zhuǎn)換IP地址?；旧希琋AT使用流量表將

3

湖南商務(wù)職業(yè)技術(shù)學(xué)院畢業(yè)設(shè)計(jì)

流量從一個(gè)外部（主機(jī)）IP地址和端口號(hào)路由到與網(wǎng)絡(luò)上的終結(jié)點(diǎn)關(guān)聯(lián)的正確

內(nèi)部IP地址。

NAT分類(lèi)

圖3-6-1NAT的分類(lèi)

3.7防火墻

通過(guò)各類(lèi)軟硬件設(shè)備的有機(jī)結(jié)合進(jìn)行安全管理和篩選，幫助計(jì)算機(jī)網(wǎng)絡(luò)在

其內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)中建立相對(duì)隔離的保護(hù)屏障，保護(hù)用戶(hù)數(shù)據(jù)和信息安全

技術(shù)。

防火墻技術(shù)的作用主要在于及時(shí)檢測(cè)和處理計(jì)算機(jī)網(wǎng)絡(luò)運(yùn)行中可能存在的

安全風(fēng)險(xiǎn)、數(shù)據(jù)傳輸?shù)葐?wèn)題，包括隔離和保護(hù)，同時(shí)對(duì)計(jì)算機(jī)網(wǎng)絡(luò)安全實(shí)施過(guò)

程中的各種操作進(jìn)行記錄和檢測(cè)，確保計(jì)算機(jī)網(wǎng)絡(luò)運(yùn)行的安全，保障用戶(hù)數(shù)據(jù)

和信息的完整性，為用戶(hù)提供更好、更安全的計(jì)算機(jī)網(wǎng)絡(luò)體驗(yàn)。

4

湖南商務(wù)職業(yè)技術(shù)學(xué)院畢業(yè)設(shè)計(jì)

4網(wǎng)絡(luò)規(guī)劃與設(shè)計(jì)

4.1網(wǎng)絡(luò)拓?fù)湓O(shè)計(jì)

采用接入層、核心層、匯聚層三層網(wǎng)絡(luò)。業(yè)務(wù)穩(wěn)定運(yùn)行，故障恢復(fù)時(shí)間快。

符合實(shí)際并且便于擴(kuò)展。設(shè)備和鏈路都要有冗余備份，還要保護(hù)內(nèi)容的安全。

圖4-1-1網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)圖

4.2IP地址與VLAN劃分

樓棟vlanip地址

財(cái)務(wù)部10/24

市場(chǎng)部20192.168.200/24

人事部30/24

生產(chǎn)部40/24

5

湖南商務(wù)職業(yè)技術(shù)學(xué)院畢業(yè)設(shè)計(jì)

研發(fā)部50/24

SW1-Core170/24

SW2-Core180/24

管理樓棟100/24

AP管理網(wǎng)段200/24

終端業(yè)務(wù)網(wǎng)段1000/24

AC管理網(wǎng)段2000/24

核心出口網(wǎng)段172/24

表4-2地址與VLAN劃分

4.3設(shè)備選型

4.3.1接入層設(shè)備

CloudEngineS5736-S系列新一代標(biāo)準(zhǔn)型全千兆以太網(wǎng)交換機(jī)，提供24端口

PoE/非PoE，48端口PoE/非PoE，上行4個(gè)10GE端口，同時(shí)提供一個(gè)擴(kuò)展卡槽。

圖4-3-1華為S5736-S48U4XC

詳細(xì)參數(shù)如表4-3-2所示

表4-3-2華為S5736-S48U4XC詳細(xì)參數(shù)

產(chǎn)品型號(hào)華為S5736-S48U4XC

包轉(zhuǎn)發(fā)率462Mpps

交換容量1.28T/12.8Tbps

固定端口48個(gè)千兆電口，4個(gè)萬(wàn)兆SFP+，POE++

1個(gè)擴(kuò)展插槽，支持2*25GE或8*10GE光、2*40GE光、

擴(kuò)展插槽

4*40GE光子卡

VLAN特性支持4K個(gè)VLAN、支持GuestVLAN、VoiceVLAN、支

6

湖南商務(wù)職業(yè)技術(shù)學(xué)院畢業(yè)設(shè)計(jì)

持GVRP協(xié)議、支持MUXVLAN功能、支持基于MAC/協(xié)

議/IP子網(wǎng)/策略/端口的VLAN、支持1:1和N:1VLAN

Mapping功能

遵循IEEE802.1d標(biāo)準(zhǔn)、支持MAC地址自動(dòng)學(xué)習(xí)和老

MAC特性化、支持靜態(tài)、動(dòng)態(tài)、黑洞MAC表項(xiàng)、支持源MAC地

址過(guò)濾

靜態(tài)路由、RIPv1/2、RIPng、OSPF、OSPFv3、ECMP、

IP路由

ISIS、ISISv6、BGP、BGP4+

VBST基于VLAN生成樹(shù)協(xié)議（和PVST/PVST+/RPVST互

互通性通）LNP鏈路類(lèi)型協(xié)商協(xié)議（和DTP相似功能）

VCMPVLAN集中管理協(xié)議（和VTP相似功能）

4.3.2核心層設(shè)備

CloudEngineS6750-H系列交換機(jī)是華為推出的新一代盒式100GE核心和匯

聚層交換機(jī)，具備高性能、高可靠、云管理和智能運(yùn)維能力；采用華為領(lǐng)先的

軟硬件平臺(tái)，專(zhuān)為安全性，物聯(lián)網(wǎng)和云而構(gòu)建。

圖4-3-3華為S6750-H36C

詳細(xì)參數(shù)如表4-3-4所示

表4-3-4華為S6750-H36C詳細(xì)參數(shù)

產(chǎn)品型號(hào)華為S6750-H36C

傳輸速率5400Mpps

交換方式存儲(chǔ)-轉(zhuǎn)發(fā)

背板帶寬758Gbps/7.58Tbps

包轉(zhuǎn)發(fā)率264/462Mpps

支持MAC地址自動(dòng)學(xué)習(xí)和老化、支持靜態(tài)、動(dòng)態(tài)、黑

MAC特性洞MAC表項(xiàng)、支持源MAC地址過(guò)濾、支持基于端口和

VLAN的MAC地址學(xué)習(xí)限制

32個(gè)40/100GEQSFP28光口，4個(gè)40/100GEQSFP28

固定端口

光口

7

湖南商務(wù)職業(yè)技術(shù)學(xué)院畢業(yè)設(shè)計(jì)

支持VXLAN分布式網(wǎng)關(guān)，集中式網(wǎng)關(guān)、支持BGP-EVPN

VLAN、支持通過(guò)Netconf配置VXLAN、支持VXLAN二層交

換，VXLAN路由交換

交換容量8Tpbs/80Tbps

4.3.3防火墻

HiSecEngineUSG6000F-E系列防火墻是華為面向中小型企業(yè)和多分支機(jī)構(gòu)

推出的高性能防火墻，適用于各類(lèi)場(chǎng)景和網(wǎng)絡(luò)安全建設(shè)需求。通過(guò)全新軟硬件

平臺(tái)來(lái)實(shí)現(xiàn)功能全面、高性能、低時(shí)延的智能防火墻，有效達(dá)成安全時(shí)效。

圖4-3-5USG6000F-E03

詳細(xì)參數(shù)如表4-3-6所示

表4-3-6USG6000F-E03詳細(xì)參數(shù)

產(chǎn)品型號(hào)USG6000F-E03

固定端口16*GERJ45+12*GESFP+4*10GESFP+

選配2.5英寸形態(tài)硬盤(pán)，支持SATA

存儲(chǔ)

240GB/480GB/960GB/1000GB/1920GB

集傳統(tǒng)防火墻、VPN、入侵防御、防病毒、數(shù)據(jù)防泄

一體化防護(hù)漏、帶寬管理、AntiDDoS、URL過(guò)濾、反垃圾郵件等

多種功能于一身，全局配置視圖和一體化策略管理。

APT防御與本地沙箱、云沙箱聯(lián)動(dòng)，對(duì)惡意文件進(jìn)行檢測(cè)和阻

斷。

在識(shí)別業(yè)務(wù)應(yīng)用的基礎(chǔ)上，可管理每用戶(hù)/IP使用的

帶寬管理帶寬,確保關(guān)鍵業(yè)務(wù)和關(guān)鍵用戶(hù)的網(wǎng)絡(luò)體驗(yàn)。管控方

式包括：限制最大帶寬或保障最小帶寬、應(yīng)用的策略

路由、修改應(yīng)用轉(zhuǎn)發(fā)優(yōu)先級(jí)等。

識(shí)別6000+應(yīng)用，訪(fǎng)問(wèn)控制精度到應(yīng)用功能，例如：

應(yīng)用識(shí)別與管控區(qū)分微信的文字和語(yǔ)音。應(yīng)用識(shí)別與入侵檢測(cè)、防病

8

湖南商務(wù)職業(yè)技術(shù)學(xué)院畢業(yè)設(shè)計(jì)

毒、內(nèi)容過(guò)濾相結(jié)合，提高檢測(cè)性能和準(zhǔn)確率。

第一時(shí)間獲取最新威脅信息，準(zhǔn)確檢測(cè)并防御針對(duì)漏

入侵防御與Web防護(hù)洞的攻擊?？煞雷o(hù)各種針對(duì)web的攻擊，包括SQL注

入攻擊和跨站腳本攻擊等。

4.3.4路由器

華為NetEngineAR5700系列企業(yè)路由器可以按需部署在中小型企業(yè)總部或分支，

提供企業(yè)網(wǎng)絡(luò)出口能力。該系列包括NetEngineAR5710-H8T2TS1，適配不同規(guī)

模的企業(yè)業(yè)務(wù)組網(wǎng)需求。

圖4-3-7AR5710-H8T2TS1

詳細(xì)參數(shù)如表4-3-8所示

表4-3-8AR5710-H8T2TS1詳細(xì)參數(shù)

產(chǎn)品型號(hào)AR5710-H8T2TS1

固定WAN接口：2*GECombo

固定端口

固定LAN接口：8*GE電（可切換為WAN口）

熱插拔支持

轉(zhuǎn)發(fā)性能1Gbps

內(nèi)存4GB

高性能多核處理器支持告訴WAN連接，強(qiáng)大的路由計(jì)算

多核處理器

能力，增強(qiáng)業(yè)務(wù)處理效率。

無(wú)阻塞交換架構(gòu)，提供領(lǐng)先于業(yè)界平均水平的性能，為

高性能

關(guān)鍵業(yè)務(wù)提供低時(shí)延體驗(yàn)

提供企業(yè)業(yè)務(wù)的鏈路備份，提高業(yè)務(wù)接入的可靠性，毫

高可靠

9

湖南商務(wù)職業(yè)技術(shù)學(xué)院畢業(yè)設(shè)計(jì)

秒級(jí)的故障檢測(cè)和判斷機(jī)制，縮短業(yè)務(wù)中斷時(shí)間

支持SD-WAN管理，SNMP網(wǎng)管等多種管理方法，簡(jiǎn)化網(wǎng)絡(luò)

易運(yùn)維

部署，降低OPEX

5.項(xiàng)目實(shí)施

5.1基礎(chǔ)配置

交換機(jī)VLAN的創(chuàng)建、接口的劃分、IP地址的配置

Core-SW1

[Huawei]syCore-SW1#修改名字

[Core-SW1]vlanb7080100200172#創(chuàng)建vlan7080100200172

Info:Thisoperationmaytakeafewseconds.Pleasewaitfora

moment...done.

[Core-SW1]intvlan70#進(jìn)入

vlan70

[Core-SW1-Vlanif70]ipadd24#配置IP地址

[Core-SW1-Vlanif70]intvlan80#進(jìn)入vlan

80

[Core-SW1-Vlanif80]ipadd24#配置IP地址

[Core-SW1-Vlanif80]intvlan100#進(jìn)入vlan

100

[Core-SW1-Vlanif100]ipadd5424#配置IP地址

[Core-SW1-Vlanif100]intvlan200#進(jìn)入vlan

200

[Core-SW1-Vlanif200]ipadd24#配置IP地址

[Core-SW1-Vlanif200]intvlan172#進(jìn)入vlan

172

[Core-SW1-Vlanif172]ipadd24#配置IP地址

[Core-SW1-Vlanif172]quit

[Core-SW1]intg0/0/23#進(jìn)入g0/0/23端口

[Core-SW1-GigabitEthernet0/0/23]portlink-typeaccess#端口模式改

10

湖南商務(wù)職業(yè)技術(shù)學(xué)院畢業(yè)設(shè)計(jì)

成access

[Core-SW1-GigabitEthernet0/0/23]portdefaultvlan70#將端口劃分

到vlan70

[Core-SW1-GigabitEthernet0/0/23]intg0/0/24#進(jìn)入端口

[Core-SW1-GigabitEthernet0/0/24]portlink-typeaccess#端口模式改

成access

[Core-SW1-GigabitEthernet0/0/24]portdefaultvlan80#將端口劃分

到vlan80

[Core-SW1-GigabitEthernet0/0/24]intg0/0/2#進(jìn)入端口

[Core-SW1-GigabitEthernet0/0/2]portlink-typeacces#端口模式改為

access

[Core-SW1-GigabitEthernet0/0/2]portdefaultvlan100#將端口劃分

到vlan100

[Core-SW1-GigabitEthernet0/0/2]intg0/0/1#進(jìn)入端口

[Core-SW1-GigabitEthernet0/0/1]portlink-typeaccess#端口模式改

為access

[Core-SW1-GigabitEthernet0/0/1]portdefaultvlan200#將端口劃分

到vlan200

[Core-SW1-GigabitEthernet0/0/1]intg0/0/3#進(jìn)入端口

[Core-SW1-GigabitEthernet0/0/3]portlink-typeaccess#端口模式改為

access

[Core-SW1-GigabitEthernet0/0/3]portdefaultvlan172#將端口劃分到

vlan172

[Core-SW1-GigabitEthernet0/0/3]quit

SW1

[Huawei]sySW1#修改設(shè)備名

[SW1]vlanb10203040507010002000#創(chuàng)建vlan102030405070

10002000

[SW1]intvlan10#進(jìn)入vlan10

[SW1-Vlanif10]ipadd24#配置IP地址

[SW1-Vlanif10]intvlan20#進(jìn)入vlan20

[SW1-Vlanif20]ipadd24#配置IP地址

[SW1-Vlanif20]intvlan30#進(jìn)入vlan30

11

湖南商務(wù)職業(yè)技術(shù)學(xué)院畢業(yè)設(shè)計(jì)

[SW1-Vlanif30]ipadd24#配置IP地址

[SW1-Vlanif30]intvlan40#進(jìn)入vlan40

[SW1-Vlanif40]ipadd24#配置IP地址

[SW1-Vlanif40]intvlan50#進(jìn)入vlan50

[SW1-Vlanif50]ipadd24#配置IP地址

[SW1-Vlanif50]intvlan1000#進(jìn)入vlan1000

[SW1-Vlanif1000]ipadd24#配置IP地址

[SW1-Vlanif1000]intvlan2000#進(jìn)入vlan2000

[SW1-Vlanif2000]ipadd24#配置IP地址

[SW1-Vlanif2000]intvlan70#進(jìn)入vlan70

[SW1-Vlanif70]ipadd24#配置IP地址

[SW1-Vlanif70]quit

[SW1]intg0/0/1#進(jìn)入端口

[SW1-GigabitEthernet0/0/1]poetlink-typetrunk#端口模式改為trunk

[SW1-GigabitEthernet0/0/1]porttrunkallow-passvlan1010002000

#將端口劃分到vlan1010002000

[SW1-GigabitEthernet0/0/1]intg0/0/2#進(jìn)入端口

[SW1-GigabitEthernet0/0/2]poetlink-typetrunk#端口模式改為trunk

[SW1-GigabitEthernet0/0/2]porttrunkallow-passvlan20301000

2000#將端口劃分到vlan203010002000

[SW1-GigabitEthernet0/0/2]intg0/0/3#進(jìn)入端口

[SW1-GigabitEthernet0/0/3]poetlink-typetrunk#端口模式改為trunk

[SW1-GigabitEthernet0/0/3]porttrunkallow-passvlan40501000

2000#將端口劃分到vlan405010002000

[SW1-GigabitEthernet0/0/3]intg0/0/23#進(jìn)入端口

[SW1-GigabitEthernet0/0/23]portlink-typeaccess#端口模式改為

access

[SW1-GigabitEthernet0/0/23]portdefaultvlan70#將端口劃分到

vlan70

[SW1-GigabitEthernet0/0/23]quit

SW2

[Huawei]sySW2#修改設(shè)備名

[SW2]vlanb10203040508010002000#創(chuàng)建vlan102030405080

12

湖南商務(wù)職業(yè)技術(shù)學(xué)院畢業(yè)設(shè)計(jì)

10002000

[SW2]intvlan10#進(jìn)入vlan10

[SW2-Vlanif10]ipadd24#配置IP地址

[SW2-Vlanif10]intvlan20#進(jìn)入vlan20

[SW2-Vlanif20]ipadd24#配置IP地址

[SW2-Vlanif20]intvlan30#進(jìn)入vlan30

[SW2-Vlanif30]ipadd24#配置IP地址

[SW2-Vlanif30]intvlan40#進(jìn)入vlan40

[SW2-Vlanif40]ipadd24#配置IP地址

[SW2-Vlanif40]intvlan50#進(jìn)入vlan50

[SW2-Vlanif50]ipadd24#配置IP地址

[SW2-Vlanif50]intvlan80#進(jìn)入vlan80

[SW2-Vlanif80]ipadd24#配置IP地址

[SW2-Vlanif80]intvlan1000#進(jìn)入vlan1000

[SW2-Vlanif1000]ipadd24#配置IP地址

[SW2-Vlanif1000]intvlan2000#進(jìn)入vlan2000

[SW2-Vlanif2000]ipadd24#配置IP地址

[SW2-Vlanif2000]quit

[SW2]intg0/0/1#進(jìn)入端口

[SW2-GigabitEthernet0/0/1]portlink-typetrunk#端口模式改為trunk

[SW2-GigabitEthernet0/0/1]porttrunkallow-passvlan1010002000

#將端口劃分到vlan1010002000

[SW2-GigabitEthernet0/0/1]intg0/0/2#進(jìn)入端口

[SW2-GigabitEthernet0/0/2]portlink-typetrunk#端口模式改為

trunk

[SW2-GigabitEthernet0/0/2]porttrunkallow-passvlan20301000

2000#將端口劃分到vlan203010002000

[SW2-GigabitEthernet0/0/2]intg0/0/3#進(jìn)入端口

[SW2-GigabitEthernet0/0/3]portlink-typetrunk#端口模式改為

trunk

[SW2-GigabitEthernet0/0/3]porttrunkallow-passvlan40501000

2000#將端口劃分到vlan405010002000

[SW2-GigabitEthernet0/0/3]intg0/0/24#進(jìn)入端口

13

湖南商務(wù)職業(yè)技術(shù)學(xué)院畢業(yè)設(shè)計(jì)

[SW2-GigabitEthernet0/0/24]portlink-typeaccess#端口模式改為

access

[SW2-GigabitEthernet0/0/24]portdefaultvlan80#將端口劃分到

vlan80

[SW2-GigabitEthernet0/0/24]quit

SW3

[huawei]sySW3#修改設(shè)備名

[SW3]vlanb1010002000#創(chuàng)建vlan1010002000

[SW3]inte0/0/1#進(jìn)入端口

[SW3-Ethernet0/0/1]portlink-typeaccess#端口模式為access

[SW3-Ethernet0/0/1]portdefaultvlan10#將端口劃分到vlan10

[SW3-Ethernet0/0/1]inte0/0/2#進(jìn)入端口

[SW3-Ethernet0/0/2]portlink-typetrunk#端口模式為trunk

[SW3-Ethernet0/0/2]porttrunkallow-passvlan20001000#將端口

劃分到vlan20001000

[SW3-Ethernet0/0/2]potpvvlan2000#pvid為vlan2000

[SW3-Ethernet0/0/2]inte0/0/3#進(jìn)入端口

[SW3-Ethernet0/0/3]portlink-typetrunk#端口模式為trunk

[SW3-Ethernet0/0/3]porttrunkallow-passvlan1010002000#將端

口劃分到vlan1010002000

[SW3-Ethernet0/0/3]inte0/0/4#進(jìn)入端口

[SW3-Ethernet0/0/4]portlink-typetrunk#端口模式為trunk

[SW3-Ethernet0/0/4]porttrunkallow-passvlan1010002000#將端

口劃分到vlan1010002000

[SW3-Ethernet0/0/4]quit

SW4

[Huawei]sySW4#修改設(shè)備名

[SW4]vlanb203010002000#創(chuàng)建vlan203010002000

[SW4]inte0/0/1#進(jìn)入端口

[SW4-Ethernet0/0/1]portlink-typeaccess#端口模式為access

[SW4-Ethernet0/0/1]portdefaultvlan20#將端口劃分到vlan20

[SW4-Ethernet0/0/1]inte0/0/2#進(jìn)入端口

[SW4-Ethernet0/0/2]portlink-typeaccess#端口模式為access

14

湖南商務(wù)職業(yè)技術(shù)學(xué)院畢業(yè)設(shè)計(jì)

[SW4-Ethernet0/0/2]portdefaultvlan30##將端口劃分到vlan30

[SW4-Ethernet0/0/2]inte0/0/3#進(jìn)入端口

[SW4-Ethernet0/0/3]portlink-typetrunk#端口模式為trunk

[SW4-Ethernet0/0/3]porttrunkallow-passvlan10002000#將端口劃

分到vlan10002000

[SW4-Ethernet0/0/3]potpvvlan2000#端口pvid為vlan2000

[SW4-Ethernet0/0/3]inte0/0/4#進(jìn)入端口

[SW4-Ethernet0/0/4]portlink-typetrunk#端口模式為trunk

[SW4-Ethernet0/0/4]potrallvlan203010002000#將端口劃分到

vlan203010002000

[SW4-Ethernet0/0/4]inte0/0/5#進(jìn)入端口

[SW4-Ethernet0/0/5]portlink-typetrunk#端口模式為trunk

[SW4-Ethernet0/0/5]potrallvlan203010002000#將端口劃分到

vlan203010002000

[SW4-Ethernet0/0/5]quit

SW5

[Huawei]sySW5#修改設(shè)備名稱(chēng)

[SW5]vlanb405010002000#創(chuàng)建vlan405010002000

[SW5]inte0/0/1#進(jìn)入端口

[SW5-Ethernet0/0/1]portlink-typeaccess#端口模式為access

[SW5-Ethernet0/0/1]portdefaultvlan40#將端口劃分到vlan40

[SW5-Ethernet0/0/1]inte0/0/2#進(jìn)入端口

[SW5-Ethernet0/0/2]portlink-typeaccess#端口模式為access

[SW5-Ethernet0/0/2]portdefaultvlan50#將端口劃分到50

[SW5-Ethernet0/0/2]inte0/0/3#進(jìn)入端口

[SW5-Ethernet0/0/3]portlink-typetrunk#端口模式為trunk

[SW5-Ethernet0/0/3]porttrunkallow-passvlan10002000#將端口劃

分到val0002000

[SW5-Ethernet0/0/3]potpvvlan2000#端口pvid為vlan2000

[SW5-Ethernet0/0/3]inte0/0/4#進(jìn)入端口

[SW5-Ethernet0/0/4]portlink-typetrunk#端口模式為trunk

[SW5-Ethernet0/0/4]porttrunkallow-passvlan405010002000#

將端口劃分到vlan405010002000

15

湖南商務(wù)職業(yè)技術(shù)學(xué)院畢業(yè)設(shè)計(jì)

[SW5-Ethernet0/0/4]inte0/0/5#進(jìn)入端口

[SW5-Ethernet0/0/5]portlink-typetrunk#端口模式為trunk

[SW5-Ethernet0/0/5]porttrunkallow-passvlan405010002000#

將端口劃分到vlan405010002000

[SW5-Ethernet0/0/5]quit

防火墻安全區(qū)域劃分，接口區(qū)域和IP配置

[USG6000V1]syFW1

[FW1]firezonetrust#在防火墻配置受信區(qū)

[FW1-zone-trust]addintg1/0/0

[FW1-zone-trust]firezoneuntrust#在防火墻配置非受信區(qū)

[FW1-zone-untrust]addintg1/0/2

[FW1-zone-untrust]firezonedmz#在防火墻配置非軍事化區(qū)域

[FW1-zone-dmz]addintg1/0/1

[FW1-zone-dmz]quit

[FW1]intg1/0/1

[FW1-GigabitEthernet1/0/1]ipadd5424#配置IP地址

[FW1-GigabitEthernet1/0/1]intg1/0/2

[FW1-GigabitEthernet1/0/2]ipadd824

[FW1-GigabitEthernet1/0/2]intg1/0/0

[FW1-GigabitEthernet1/0/0]ipadd24

[FW1-GigabitEthernet1/0/0]q

運(yùn)營(yíng)商路由器接口IP配置

[Huawei]syISP

[ISP]intg0/0/0

[ISP-GigabitEthernet0/0/0]ipadd24

[ISP-GigabitEthernet0/0/0]intg0/0/1

[ISP-GigabitEthernet0/0/1]ipadd24

[ISP-GigabitEthernet0/0/1]q

5.2VRRP+MSTP配置

配置VRRP虛擬組，SW1作為VLAN10、20、1000、2000的主網(wǎng)關(guān)，作為VLAN30、

40、50的備網(wǎng)關(guān)；SW2作為VLAN30、40、50的主網(wǎng)關(guān)，作為VLAN10、20、1000、

2000的備網(wǎng)關(guān)。MSTP同VRRP一樣，SW1作為VLAN10、20、1000、2000的主

16

湖南商務(wù)職業(yè)技術(shù)學(xué)院畢業(yè)設(shè)計(jì)

根橋，作為VLAN30、40、50的備用根橋。SW2作為VLAN30、40、50的主根橋，

作為VLAN10、20、1000、2000的備用根橋。

SW1

[SW1]intvlan10#進(jìn)入vlan10

[SW1-Vlanif10]vrrpvrid10virtual-ip54#加入到組10

中為其配置虛擬IP

[SW1-Vlanif10]vrrpvrid10priority120#優(yōu)先級(jí)改為120

[SW1-Vlanif10]intvlan20

[SW1-Vlanif20]vrrpvrid20virtual-ip54#配置虛擬IP

地址

[SW1-Vlanif20]vrrpvrrp20priority110#將優(yōu)先級(jí)設(shè)為110

[SW1-Vlanif20]intvlan1000

[SW1-Vlanif1000]vrrpvrid100virtual-ip54#配置虛

擬IP地址

[SW1-Vlanif1000]vrrpvrid100priority110#將優(yōu)先級(jí)設(shè)為110

[SW1-Vlanif1000]intvlan2000

[SW1-Vlanif2000]vrrpvrid200virtual-ip54

[SW1-Vlanif2000]vrrpvrid200priority110#將優(yōu)先級(jí)設(shè)為110

[SW1-Vlanif2000]intvlan30

[SW1-Vlanif30]vrrpvrid30virtual-ip54#配置虛擬

IP地址

[SW1-Vlanif30]intvlan40

[SW1-Vlanif40]vrrpvrid40virtual-ip54#配置虛擬

IP地址

[SW1-Vlanif40]intvlan50

[SW1-Vlanif50]vrrpvrid50virtual-ip54#配置虛擬

IP地址

[SW1-Vlanif50]q

[SW1]stpregion-configuration#進(jìn)入MST域視圖

[SW1-mst-region]region-namehuawei#配置MST域名稱(chēng)

[SW1-mst-region]instance1vlan102010002000#配置MST實(shí)列和

vlan映射關(guān)系

[SW1-mst-region]instance2vlan304050

17

湖南商務(wù)職業(yè)技術(shù)學(xué)院畢業(yè)設(shè)計(jì)

[SW1-mst-region]activeregion-configuration#激活MST域配置

[SW1-mst-region]q

[SW1]stpinstance1rootprimary#配置實(shí)例1的優(yōu)先級(jí)，使SW2成為

實(shí)例1的次根橋

[SW1]stpinstance2rootsecondary#配置實(shí)例2的優(yōu)先級(jí)。使sw1為

實(shí)例2的次根橋

SW2

[SW2]intvlan10#進(jìn)入vlan19

[SW2-Vlanif10]vrrpvrid10virtual-ip54#配置組10的

虛擬IP

[SW2-Vlanif10]intvlan20

[SW2-Vlanif20]vrrpvrid20virtual-ip54#配置組20虛

擬IP地址

[SW2-Vlanif20]intvlan1000

[SW2-Vlanif1000]vrrpvrid100virtual-ip54#配置組

100虛擬IP地址

[SW2-Vlanif1000]intvlan2000

[SW2-Vlanif2000]vrrpvrid200virtual-ip54#配置組

200虛擬IP地址

[SW2-Vlanif2000]intvlan30

[SW2-Vlanif30]vrrpvrid30virtual-ip54#配置組30

虛擬IP地址

[SW2-Vlanif30]vrrpvrid30priority110#把優(yōu)先級(jí)設(shè)置為110

[SW2-Vlanif30]intvlan40

[SW2-Vlanif40]vrrpvrid40virtual-ip54#配置組40虛

擬IP地址

[SW2-Vlanif40]vrrpvrid40priority110#把優(yōu)先級(jí)設(shè)置為110

[SW2-Vlanif40]intvlan50

[SW2-Vlanif50]vrrpvrid50virtual-ip54#配置組50

虛擬IP地址

[SW2-Vlanif50]vrrpvrid50priority110#把優(yōu)先級(jí)設(shè)置為110

[SW2-Vlanif50]q

[SW2]stpregion-configuration

18

湖南商務(wù)職業(yè)技術(shù)學(xué)院畢業(yè)設(shè)計(jì)

[SW2-mst-region]region-namehuawei#配置MST域名稱(chēng)

[SW2-mst-region]instance1vlan102010002000//配置MST實(shí)列

和vlan映射關(guān)系

[SW2-mst-region]instance2vlan304050//配置MST實(shí)列和vlan映

射關(guān)系

[SW2-mst-region]activeregion-configuration#激活MST域

[SW2-mst-region]q

[SW2]stpinstance1rootsecondary#將實(shí)例1設(shè)為次根橋

[SW2]stpinstance2rootprimary#將實(shí)例2設(shè)為根橋

SW3

[SW3]stpregion-configuration#進(jìn)入MST域

[SW3-mst-region]region-namehuawei#配置MST域名稱(chēng)

[SW3-mst-region]instance1vlan102010002000//配置MST實(shí)列

和vlan映射關(guān)系

[SW3-mst-region]instance2vlan304050//配置MST實(shí)列和vlan映

射關(guān)系

[SW3-mst-region]activeregion-configuration#激活MST域

SW4

[SW4]stpregion-configuration#進(jìn)入MST域

[SW4-mst-region]region-namehuawei#配置MST域名稱(chēng)

[SW4-mst-region]instance1vlan102010002000//配置MST實(shí)列和

vlan映射關(guān)系

[SW4-mst-region]instance2vlan304050//配置MST實(shí)列和vlan映

射關(guān)系

[SW4-mst-region]activeregion-configuration#激活MST域

SW5

[SW5]stpregion-configuration