湖南商務(wù)職業(yè)技術(shù)學(xué)院畢業(yè)設(shè)計(jì)

目錄

1項(xiàng)目概述.........................................................1

1.1項(xiàng)目背景...................................................1

1.2目的與意義.................................................1

2項(xiàng)目需求分析.....................................................2

2.1項(xiàng)目需求分析...............................................2

2.2網(wǎng)絡(luò)需求分析...............................................2

3網(wǎng)絡(luò)規(guī)劃設(shè)計(jì).....................................................2

3.1網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)...............................................2

3.2VLAN與IP規(guī)劃..............................................3

3.2.1VLAN規(guī)劃.............................................3

3.2.2IP規(guī)格...............................................4

4網(wǎng)絡(luò)設(shè)備選型.....................................................5

4.1路由器選型.................................................5

4.2交換機(jī)選型..................................................6

4.2.1核心交換機(jī)...........................................6

4.2.2接入交換機(jī)...........................................8

4.2.3匯聚交換機(jī)..........................................10

4.3防火墻選型.................................................11

5網(wǎng)絡(luò)部署實(shí)現(xiàn)優(yōu)化.................................................12

5.1MSTP協(xié)議..................................................12

5.2VLAN部署..................................................13

5.3防火墻配置................................................14

6項(xiàng)目測(cè)試........................................................15

7設(shè)計(jì)小結(jié)........................................................17

參考資料..........................................................18

湖南商務(wù)職業(yè)技術(shù)學(xué)院畢業(yè)設(shè)計(jì)

力宇科技有限公司網(wǎng)絡(luò)規(guī)劃設(shè)計(jì)

1項(xiàng)目概述

1.1項(xiàng)目背景

湖南力宇科技有限公司成立于2013年8月1日。公司經(jīng)營(yíng)能源技術(shù)研究、

技術(shù)開(kāi)發(fā)服務(wù)；新能源技術(shù)推廣；合同能源管理；發(fā)電機(jī)及發(fā)電機(jī)組制造；機(jī)

電設(shè)備的維修及保養(yǎng)服務(wù)；機(jī)電設(shè)備租賃與售后服務(wù)；機(jī)電產(chǎn)品銷售；機(jī)電設(shè)

備研發(fā)；新材料、新設(shè)備、節(jié)能及環(huán)保產(chǎn)品的安裝。（依法須經(jīng)批準(zhǔn)的項(xiàng)目，

經(jīng)相關(guān)部門批準(zhǔn)后方可開(kāi)展經(jīng)營(yíng)活動(dòng)）

如今，隨著科技的飛速發(fā)展，經(jīng)濟(jì)一體化、信息化、網(wǎng)絡(luò)化已成為社會(huì)發(fā)

展的必然趨勢(shì)，企業(yè)已有了WEB服務(wù)器、門戶網(wǎng)站、電子郵件服務(wù)，并已建立

起了綜合查詢、企業(yè)生產(chǎn)、電子商務(wù)、EDI等信息系統(tǒng)，大量的重要數(shù)據(jù)和信

息都儲(chǔ)存在網(wǎng)絡(luò)服務(wù)器上。在加快網(wǎng)絡(luò)發(fā)展和建設(shè)的同時(shí)，必須要考慮到網(wǎng)絡(luò)

的安全問(wèn)題，規(guī)劃和建設(shè)要與網(wǎng)絡(luò)的安全同步。

總之，隨著互聯(lián)網(wǎng)的建設(shè)和發(fā)展，其結(jié)構(gòu)的復(fù)雜性和可變性，以及其自身

的脆弱性，使其成為客觀存在的問(wèn)題。要躋身于國(guó)際一流企業(yè)之列，就必須強(qiáng)

化安全監(jiān)管，建立安全防范體系，提升公司的安全管理能力。

1.2目的與意義

(1)資源共享，信息化工作，遠(yuǎn)程視頻等是目前力宇科技信息化的一個(gè)重要

特征。

(2)由于資訊越來(lái)越多，各力宇科技越來(lái)越需要利用電腦來(lái)處理各類資訊。

同時(shí)，利用信息技術(shù)進(jìn)行教育和教學(xué)，為教師提供了一種新的互動(dòng)方式，具有

獨(dú)特的優(yōu)越性。

(3)隨著越來(lái)越多的企業(yè)和組織參與到網(wǎng)上教學(xué)和軟件的開(kāi)發(fā)，為網(wǎng)上教學(xué)

提供了更多的可供選擇的途徑，同時(shí)，良好的競(jìng)爭(zhēng)也使當(dāng)前的網(wǎng)絡(luò)教學(xué)環(huán)境更

加人性化。

(4)既節(jié)約了資源，又避免了浪費(fèi)，又能讓力宇科技各級(jí)工作人員更有效率

地獲得所需要的資源，提升合作效能，因此可做為力宇科技資訊教育的基礎(chǔ)平

臺(tái)，能提升行政管理水平，提員工工作效率，能有效改善力宇科技的整體工作

1

湖南商務(wù)職業(yè)技術(shù)學(xué)院畢業(yè)設(shè)計(jì)

質(zhì)量。

2項(xiàng)目需求分析

2.1項(xiàng)目需求分析

在知識(shí)經(jīng)濟(jì)的今天，資訊資源已成為教育與企業(yè)的一種重要戰(zhàn)略資源，因

此，教育部門在教育、教育、科研、遠(yuǎn)程教育、因特網(wǎng)等各功能模塊的設(shè)計(jì)，

包括工作、實(shí)訓(xùn)、圖書館、宿舍、生活區(qū)等。教育部門要達(dá)到資源共享的目標(biāo)，

就必須設(shè)計(jì)出一套適合力宇科技的網(wǎng)絡(luò)架構(gòu)，并提供完備的網(wǎng)絡(luò)技術(shù)。

2.2網(wǎng)絡(luò)需求分析

（1）功能需求

1、力宇科技局域網(wǎng)具有遠(yuǎn)距離通訊的能力，可快速、便捷地進(jìn)行遠(yuǎn)程連接，

確保通訊品質(zhì)和信息資源的共享。

2、滿足力宇科技日常工作需要和多媒體平臺(tái)的支持，能夠在互聯(lián)網(wǎng)上共享

電腦軟件、硬件和軟件資源。

3、無(wú)紙工作是現(xiàn)代工作的基礎(chǔ)，它應(yīng)該包括電子郵件的收發(fā)、電子文件的

傳送、電子文件的統(tǒng)一管理。

4、完善的信息交流功能，包括查詢、電子新聞、電子公告等。

5、為了保證有關(guān)資料的安全，必須保證網(wǎng)絡(luò)絡(luò)系統(tǒng)的安全性和可靠性。

（2）性能需求

根據(jù)力宇科技目前的網(wǎng)絡(luò)基礎(chǔ)情況，按照合理規(guī)劃、實(shí)用至上的原則，按

照經(jīng)濟(jì)、先進(jìn)性、穩(wěn)定性等原則，采用目前較為先進(jìn)、主流、應(yīng)用廣泛的組網(wǎng)

方式，綜合制定了如下組網(wǎng)方案：以千兆以太網(wǎng)交換技術(shù)為骨干，將千兆光纖

接入二級(jí)交換機(jī)，百千兆接入計(jì)算機(jī)，有效地實(shí)現(xiàn)與外部網(wǎng)絡(luò)節(jié)點(diǎn)的連接、信

息交互通訊功能。

3網(wǎng)絡(luò)規(guī)劃設(shè)計(jì)

3.1網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)

力宇科技網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)圖介紹如下：工作樓網(wǎng)絡(luò)的建設(shè)主要用于各科室應(yīng)

用，需要構(gòu)建內(nèi)部工作網(wǎng)絡(luò)體系，為各種人員搭建一個(gè)滿足工作管理信息化平

2

湖南商務(wù)職業(yè)技術(shù)學(xué)院畢業(yè)設(shè)計(jì)

臺(tái)，提高資源利用率，提升工作效率。工作區(qū)域網(wǎng)絡(luò)絡(luò)拓?fù)淙鐖D1所示。

圖1力宇科技網(wǎng)絡(luò)拓?fù)?/p>

3.2VLAN與IP規(guī)劃

3.2.1VLAN規(guī)劃

VLAN的分類可以分為靜態(tài)VLAN和動(dòng)態(tài)VLAN,靜態(tài)VLAN就是明確指定各端

口所屬VLAN的一種劃分方法。也稱為基于端口的VLAN。動(dòng)態(tài)VLAN是根據(jù)每個(gè)

端口所連的計(jì)算機(jī)，動(dòng)態(tài)設(shè)置端口所屬VLAN的劃分方法。給它們劃分好VLAN，

這樣便于管理與安全。

(1)將工作樓1，工作樓2分別為VLAN101和VLAN102這樣便于安全性,員

工宿舍將每層進(jìn)行VLAN分層，這樣加強(qiáng)網(wǎng)絡(luò)管量，同時(shí)便于安全性。具體Vlan

分配如表1所示。

表1VLAN規(guī)劃表

場(chǎng)地樓層Vlan號(hào)IP地址子網(wǎng)掩碼

力宇科技樓1、1-5層Vlan101

工作樓樓2、1-5層Vlan102

力宇科技1層Vlan103

員工宿舍宿2層Vlan104

3

湖南商務(wù)職業(yè)技術(shù)學(xué)院畢業(yè)設(shè)計(jì)

舍3層Vlan105

14層Vlan106

5層Vlan107

1層Vlan108

2層Vlan109

宿

3層Vlan110

舍

4層Vlan111

2

5層Vlan112

中心管理機(jī)房五樓管理間Vlan113

(2)力宇科技行政樓包括，財(cái)務(wù)科,教務(wù)科,機(jī)房,員工樓。這些部門分別獨(dú)立又

有聯(lián)系，在基本的同VLAN之間計(jì)算能相互連網(wǎng)，但有時(shí)安性的前提下，又要

相互獨(dú)立，因此必須按以下表2劃分,加強(qiáng)同科室與別的科室的網(wǎng)絡(luò)安全性，同

時(shí)減少網(wǎng)絡(luò)風(fēng)暴。具體Vlan分配如表2所示。

表2VLAN規(guī)劃表

場(chǎng)地樓層Vlan號(hào)IP地址子網(wǎng)掩碼

財(cái)務(wù)科Vlan114

力宇科技工作樓

校工作室Vlan117

工作樓1-5層

電教科Vlan120

機(jī)房五樓、六樓Vlan128

員工樓1Vlan129

員工樓

員工樓2Vlan130

3.2.2IP規(guī)格

IP的初始分配十分重要的，為了防止IP沖突，對(duì)全校的IP分配的把握及安

排顯得極為重要，因此在下面對(duì)全校進(jìn)行IP分配，以按力宇科技為例，對(duì)全局

的IP分配進(jìn)行統(tǒng)一設(shè)定，具體分配如表3所示。

表3VLAN分配表

場(chǎng)地樓層起始IP地址結(jié)束IP地址IP網(wǎng)段

力宇科技樓1、1-5層0

4

湖南商務(wù)職業(yè)技術(shù)學(xué)院畢業(yè)設(shè)計(jì)

工作樓樓2、1-5層0

1層00

2層00

3層00

宿舍1

4層00

5層00

員工1層00

2層00

3層00

宿舍2

4層00

5層00

中心

五樓管理間0

管理機(jī)房

4網(wǎng)絡(luò)設(shè)備選型

4.1路由器選型

出口路由器采用華為的NetEngineAR6710-L26T2X4，NetEngineAR6710系

列路由器是華為公司研制的全新一代路由器，它基于ARM架構(gòu)多核處理器和無(wú)

阻塞交換架構(gòu)，主要應(yīng)用于SD-WAN解決方案場(chǎng)景，滿足了企業(yè)業(yè)務(wù)多元化和

云化趨勢(shì)下對(duì)網(wǎng)絡(luò)設(shè)備高性能的需求。出口路由器的規(guī)格如下圖2和表4所示：

圖2NetEngineAR6710-L26T2X4

表4出口路由器的規(guī)格

型號(hào)規(guī)格NetEngineAR6710-L26T2X4

處理器ARM644核

SD-WAN轉(zhuǎn)發(fā)性能1.2G

5

湖南商務(wù)職業(yè)技術(shù)學(xué)院畢業(yè)設(shè)計(jì)

固定WAN接口：2*10GE光，2*GE電

固定端口固定LAN接口：24*GE電（所有LAN口可切換為

WAN口）

技術(shù)支持

基礎(chǔ)功能DHCPserver/client/relay，NAT，子接口管理

IEEE802.1P，IEEE802.1Q，IEEE802.3，VLAN管

局域網(wǎng)

理，MAC管理，STP等

ipv4單播路由路由策略，靜態(tài)路由，RIP，OSPF，IS-IS，BGP

靜態(tài)路由，路由策略，RIPng，OSPFv3，IS-ISv6，

ipv6單播路由

BGP4+

Pv6ND，IPv6PMTU，IPv6FIB，IPv6ACL，ICMPv6，

ipv6基本功能

DNSv6，DHCPv6

隧道技術(shù)GRE隧道，NATSTUN，IPsec

VPNGREVPN，SD-WANEVPN

優(yōu)先級(jí)映射，流量監(jiān)管（CAR），流量整形，擁塞避

免，擁塞管理，MQC（流分類，流行為，流策略），

QoS

端口三級(jí)調(diào)度和三級(jí)整形（HierarchicalQoS），

智能應(yīng)用控制（SAC）

安全I(xiàn)CMP防攻擊，URPF，CPCAR，攻擊源追蹤

升級(jí)管理，設(shè)備管理，GTL，SNMP（v1/v2c/v3），

管理維護(hù)RMON，NTP，U盤/DHCP開(kāi)局，郵件開(kāi)局，

NetConf/YANG，CLI，TCPFPM，NQA

4.2交換機(jī)選型

4.2.1核心交換機(jī)

CloudEngineS6735-S系列交換機(jī)（以下簡(jiǎn)稱“S6735-S”）是面向下一代

企業(yè)網(wǎng)絡(luò)架構(gòu)推出的高性能全萬(wàn)兆以太網(wǎng)交換機(jī)，可提供24口、48口全萬(wàn)

兆款型；具有豐富的業(yè)務(wù)特性，完善的安全管控，簡(jiǎn)易的運(yùn)行維護(hù)，成熟的IPv6

特性，可廣泛應(yīng)用于企業(yè)園區(qū)核心和匯聚、數(shù)據(jù)中心接入等多種應(yīng)用場(chǎng)景。核

心交換機(jī)的規(guī)格如下圖3和表5所示：

6

湖南商務(wù)職業(yè)技術(shù)學(xué)院畢業(yè)設(shè)計(jì)

圖3CloudEngineS6735-S24X6C

表4核心交換機(jī)規(guī)格

型號(hào)規(guī)格CloudEngineS6735-S24X6C

交換容量2.56T/25.6Tbps

包轉(zhuǎn)發(fā)率1260Mpps

固定端口24個(gè)萬(wàn)兆SFP+，6個(gè)40/100GEQSFP28

業(yè)務(wù)特性

特性特性描述

遵循IEEE802.1d標(biāo)準(zhǔn)

支持MAC地址自動(dòng)學(xué)習(xí)和老化

MAC特性

支持靜態(tài)、動(dòng)態(tài)、黑洞MAC表項(xiàng)

支持源MAC地址過(guò)濾

支持4K個(gè)VLAN

支持GuestVLAN、VoiceVLANs

支持GVRP協(xié)議

VLAN特性

支持MUXVLAN功能

支持基于MAC/協(xié)議/IP子網(wǎng)/策略/端口的VLAN

支持VLANMapping功能

支持RIP、OSPF、ISIS、BGP等IPv4動(dòng)態(tài)路由協(xié)議

ip路由支持RIPng、OSPFv3、ISISv6、BGP4+等IPv6動(dòng)態(tài)

路由協(xié)議

7

湖南商務(wù)職業(yè)技術(shù)學(xué)院畢業(yè)設(shè)計(jì)

支持RRPP環(huán)型拓?fù)浜蚏RPP多實(shí)例

支持SmartLink樹型拓樸和SmartLink多實(shí)例，提

供主備鏈路的毫秒級(jí)保護(hù)

支持智能以太保護(hù)SEP協(xié)議

環(huán)網(wǎng)保護(hù)支持ERPS以太環(huán)保護(hù)協(xié)議（G.8032）

支持BFDForOSPF/ISIS/VRRP/PIM協(xié)議

支持STP（IEEE802.1d），RSTP（IEEE802.1w）和

MSTP（IEEE802.1s）協(xié)議

支持BPDU保護(hù)、根保護(hù)和環(huán)回保護(hù)

支持LACP

支持E-Trunk

支持以太網(wǎng)OAM802.3ah和802.1ag

支持ITU-Y.1731

可靠性

支持DLDP

支持LLDP

支持BFDforBGP/IS-IS/OSPF/靜態(tài)路由等

支持硬件BFD和OAM

4.2.2接入交換機(jī)

接入交換機(jī)采用華為的CloudEngineS5731-H24T4XC，CloudEngineS5731-H

系列交換機(jī)是華為公司推出的新一代智能千兆交換機(jī)，基于華為公司統(tǒng)一的

VRP（VersatileRoutingPlatform）軟件平臺(tái)，具備有線無(wú)線深度融合能力，

支持隨板AC，最多可管理1KAP；具備業(yè)務(wù)隨行能力，提供一致的用戶體驗(yàn)；

具備VXLAN能力，支持網(wǎng)絡(luò)虛擬化功能，滿足園區(qū)網(wǎng)絡(luò)一網(wǎng)多用的需求；同時(shí)，

該系列交換機(jī)內(nèi)置安全探針，支持異常流量檢測(cè)、加密。接入交換機(jī)的規(guī)格如

下圖4和表6所示：

圖4CloudEngineS5731-H24T4X

表6接入交換機(jī)規(guī)格

8

湖南商務(wù)職業(yè)技術(shù)學(xué)院畢業(yè)設(shè)計(jì)

型號(hào)規(guī)格CloudEngineS5731-H24T4XC

交換容量1.28/12.8Tbps

包轉(zhuǎn)發(fā)率426Mpps

固定端口24個(gè)10/100/1000Base-T以太網(wǎng)端口，4個(gè)萬(wàn)兆

SFP+

業(yè)務(wù)特性

特性特性描述

遵循IEEE802.1d標(biāo)準(zhǔn)

支持MAC地址自動(dòng)學(xué)習(xí)和老化

MAC地址表支持靜態(tài)、動(dòng)態(tài)、黑洞MAC表項(xiàng)

支持源MAC地址過(guò)濾

支持接口MAC地址學(xué)習(xí)個(gè)數(shù)限制

支持4K個(gè)VLAN

支持GuestVLAN、VoiceVLANs

VLAN特性支持GVRP協(xié)議支持MUXVLAN功能

支持基于MAC/協(xié)議/IP子網(wǎng)/策略/端口的VLAN

支持VLANMapping功能

支持RRPP環(huán)型拓?fù)浜蚏RPP多實(shí)例

支持SmartLink樹型拓樸和SmartLink多實(shí)例，

提供主備鏈路的毫秒級(jí)保護(hù)

支持智能以太保護(hù)SEP協(xié)議

環(huán)網(wǎng)保護(hù)技術(shù)

支持ERPS以太環(huán)保護(hù)協(xié)議（G.8032）

支持BFDForOSPF/ISIS/VRRP/PIM協(xié)議

支持STP，RSTP和MSTP協(xié)議

支持BPDU保護(hù)、根保護(hù)和環(huán)回保護(hù)

支持LACP

支持E-Trunk

支持以太網(wǎng)OAM802.3ah和802.1ag

可靠性

支持ITU-Y.1731

支持DLDP和LLDP

支持BFDforBGP/IS-IS/OSPF/靜態(tài)路由等

9

湖南商務(wù)職業(yè)技術(shù)學(xué)院畢業(yè)設(shè)計(jì)

4.2.3匯聚交換機(jī)

匯聚層選用華為S5720-56C-EI-48S-AC交換機(jī)，該交換機(jī)具備多種設(shè)備級(jí)

別及鏈路級(jí)別的可靠保障，通過(guò)智能的疊加，提供了豐富的安全性，并對(duì)接入

終端進(jìn)行了IP加密，同時(shí)還支持NAT,ACL等用戶控制機(jī)制，保證了用戶的安

全性。

圖5華為S5720-56C-EI-48S-AC交換機(jī)

表7設(shè)備技術(shù)參數(shù)

交換機(jī)類

千兆以太網(wǎng)交換機(jī)

型

屬性華為S5720-56C-EI-48S-AC

傳輸速率10/100/1000Mbps

端口數(shù)量48個(gè)

端口描述48個(gè)100/1000Base-XSFP，4個(gè)10GigSFP+

AC100-240V；50/60Hz

電源電壓

DC-48-60V

電源功率68.8W

工作溫度：0-45℃

環(huán)境標(biāo)準(zhǔn)

工作濕度：5%-95%

支持4K個(gè)VLAN；支持GuestVLAN、VoiceVLAN；支持基

VLAN于MAC/協(xié)議/IP子網(wǎng)/策略/端口的VLAN；支持1:1和N:1

VLAN交換功能；支持SuperVLAN

支持IGMPv1/v2/v3Snooping和快速離開(kāi)機(jī)制；支持VLAN

組播管理內(nèi)組播轉(zhuǎn)發(fā)和組播；多VLAN復(fù)制；支持捆綁端口的組播負(fù)

載分擔(dān)；支持可控組播；基于端口的組播流量統(tǒng)計(jì)

10

湖南商務(wù)職業(yè)技術(shù)學(xué)院畢業(yè)設(shè)計(jì)

4.3防火墻選型

防火墻采用華為的USG6525F，華為HiSecEngineUSG6500E系列(盒式)是面

向中小企業(yè)和連鎖機(jī)構(gòu)推出的企業(yè)級(jí)AI防火墻，在提供NGFW能力的基礎(chǔ)上，

聯(lián)動(dòng)其他安全設(shè)備，主動(dòng)積極防御網(wǎng)絡(luò)威脅，增強(qiáng)邊界檢測(cè)能力，有效防御高

級(jí)威脅，同時(shí)解決性能下降問(wèn)題。產(chǎn)品提供模式匹配以及加解密業(yè)務(wù)處理加速

能力，使得防火墻處理內(nèi)容安全檢測(cè)、IPSec等業(yè)務(wù)的性能顯著提升。支持聯(lián)動(dòng)

華為乾坤安全云服務(wù)，提供邊界防護(hù)與響應(yīng)、漏洞掃描、日志審計(jì)等服務(wù)，端

云聯(lián)動(dòng)，立體防御。廣泛適用于教育、醫(yī)療、零售等行業(yè)。防火墻的規(guī)格如下

圖6和表8所示：

圖6HiSecEngineUSG6525F

表8防火墻的規(guī)格

型號(hào)規(guī)格HiSecEngineUSG6525F

固定端口2x10GE(SFP+)+8xGECombo+2xGEWAN

技術(shù)支持

集傳統(tǒng)防火墻、VPN、入侵防御、防病毒、數(shù)據(jù)防泄

漏、帶寬管理、Anti-DDoS、URL過(guò)濾、反垃圾郵件

一體化防護(hù)

等多種功能于一身，全局配置視圖和一體化策略管

理

可識(shí)別6000+應(yīng)用，訪問(wèn)控制精度到應(yīng)用功能。應(yīng)用

應(yīng)用識(shí)別與管理識(shí)別與入侵檢測(cè)、防病毒、內(nèi)容過(guò)濾相結(jié)合，提高

檢測(cè)性能和準(zhǔn)確率

第一時(shí)間獲取最新威脅信息，準(zhǔn)確檢測(cè)并防御針對(duì)

入侵防御與web防護(hù)漏洞的攻擊?？煞雷o(hù)各種針對(duì)web的攻擊，包括SQL

注入攻擊和跨站腳本攻擊等

防病毒病毒庫(kù)每日更新，可迅速檢出超過(guò)500萬(wàn)種病毒

數(shù)據(jù)防泄漏對(duì)傳輸?shù)奈募蛢?nèi)容進(jìn)行識(shí)別過(guò)濾，可準(zhǔn)確識(shí)別常

11

湖南商務(wù)職業(yè)技術(shù)學(xué)院畢業(yè)設(shè)計(jì)

見(jiàn)文件的真實(shí)類型，如Word、Excel、PPT、PDF等，

并對(duì)內(nèi)容進(jìn)行過(guò)濾

支持基于VLANID、五元組、安全域、地區(qū)、應(yīng)用、

URL分類和時(shí)間段等維度對(duì)流量進(jìn)行管控，并同時(shí)

進(jìn)行內(nèi)容安全的一體化檢測(cè)。預(yù)置常用防護(hù)場(chǎng)景模

安全策略管理

板，快速部署安全策略，降低學(xué)習(xí)成本。與FireMon，

Algosec公司合作提供安全策略管理解決方案，降低

運(yùn)維成本，減少故障風(fēng)險(xiǎn)

支持多種用戶認(rèn)證方式，包括本地認(rèn)證、RADIUS、

HWTACACS、AD、LDAP等。防火墻支持內(nèi)置Portal

用戶認(rèn)證

及Portal重定向功能，與AgileController配合

可以實(shí)現(xiàn)多種認(rèn)證

5網(wǎng)絡(luò)部署實(shí)現(xiàn)優(yōu)化

5.1MSTP協(xié)議

MSTP是多生成樹協(xié)議。該技術(shù)的出現(xiàn)是為了彌補(bǔ)標(biāo)準(zhǔn)生成樹和快速生成樹

的缺點(diǎn)，標(biāo)準(zhǔn)生成樹在收斂速度上存在缺陷，快速生成樹在標(biāo)準(zhǔn)生成樹基礎(chǔ)上

進(jìn)行改進(jìn)，加快了收斂的速度，但是還是存在缺陷，無(wú)法對(duì)VLAN流量的轉(zhuǎn)發(fā)路

徑進(jìn)行冗余，為了改變這些缺點(diǎn)MSTP就出現(xiàn)了，MSTP技術(shù)既能實(shí)現(xiàn)快速收斂也

可以對(duì)實(shí)例映射的流量進(jìn)行備份轉(zhuǎn)發(fā)。MSTP技術(shù)把一個(gè)交換網(wǎng)絡(luò)劃分成為多個(gè)

區(qū)域，每一個(gè)區(qū)域內(nèi)都形成自己的生成樹，各個(gè)區(qū)域之間彼此獨(dú)立，但是各個(gè)

生成樹還是進(jìn)行連接的，這樣就形成了多棵無(wú)環(huán)路的樹，達(dá)到同時(shí)解決廣播風(fēng)

暴并且實(shí)現(xiàn)冗余備份的目的。該技術(shù)還可以實(shí)現(xiàn)VLAN間的負(fù)載分擔(dān)，使不同的

VLAN流量按照不同的物理鏈路進(jìn)行數(shù)據(jù)轉(zhuǎn)發(fā)，通過(guò)實(shí)例的映射，把VLAN加入實(shí)

例當(dāng)中，將VLAN與生成樹進(jìn)行了關(guān)聯(lián)，通過(guò)實(shí)例還可以把多個(gè)VLAN捆綁進(jìn)同

一個(gè)實(shí)例中，從而節(jié)省了鏈路的開(kāi)銷，減小了資源的占用率。實(shí)現(xiàn)了VLAN的負(fù)

載分擔(dān)。MSTP協(xié)議彌補(bǔ)了標(biāo)準(zhǔn)生成樹和快速生成樹的缺點(diǎn)，當(dāng)標(biāo)準(zhǔn)生成樹和快

速生成樹與多生成樹同時(shí)運(yùn)行時(shí)多生成樹，是向下兼容，是兼容STP和RSTP的，

MSTP會(huì)改變自己的運(yùn)行狀態(tài)，從而達(dá)到無(wú)環(huán)的狀態(tài)。MSTP在本次項(xiàng)目中所起到

的作用就是防環(huán)和備份，并且對(duì)各個(gè)部門的VLAN流量進(jìn)行負(fù)載分擔(dān)，合理的對(duì)

鏈路的帶寬進(jìn)行分配，減小鏈路帶寬資源的占用率。

12

湖南商務(wù)職業(yè)技術(shù)學(xué)院畢業(yè)設(shè)計(jì)

5.2VLAN部署

VLAN虛擬局域網(wǎng)，VLAN技術(shù)的出現(xiàn)是為了處理廣播域過(guò)大的問(wèn)題，該技

術(shù)可以在邏輯層面上把交換機(jī)端口加入不同的局域網(wǎng)，達(dá)到路由器端口的效果，

從而進(jìn)行廣播域的隔離。該技術(shù)的實(shí)現(xiàn)是在交換機(jī)內(nèi)部進(jìn)行的，通過(guò)對(duì)數(shù)據(jù)幀

進(jìn)行打標(biāo)簽，解標(biāo)簽操作，達(dá)到對(duì)數(shù)據(jù)幀的透明傳輸，減小廣播幀的傳輸范圍。

交換機(jī)內(nèi)部有一張MAC地址表，交換機(jī)通過(guò)把端口和VLAN標(biāo)簽進(jìn)行關(guān)聯(lián)，記錄

在MAC地址表項(xiàng)中，就如同IP路由表一樣，對(duì)數(shù)據(jù)進(jìn)行查表轉(zhuǎn)發(fā)，實(shí)現(xiàn)數(shù)據(jù)的

精確轉(zhuǎn)發(fā)，確保數(shù)據(jù)幀只能在相同的虛擬局域網(wǎng)中轉(zhuǎn)發(fā)，不會(huì)出現(xiàn)跨局域網(wǎng)轉(zhuǎn)

發(fā)數(shù)據(jù)幀的現(xiàn)象。根據(jù)端口進(jìn)行虛擬局域網(wǎng)的劃分可以跨樓層，主機(jī)所處的物

理位置不在同一個(gè)地方也不會(huì)影響虛擬局域網(wǎng)的劃分。這樣就可以大大增加

VLAN技術(shù)所使用的靈活性，在此次項(xiàng)目實(shí)現(xiàn)中就需要用到VLAN技術(shù)對(duì)公司的各

個(gè)部門進(jìn)行劃分，把各個(gè)部門劃分到不同的局域網(wǎng)當(dāng)中，保證各個(gè)部門數(shù)據(jù)的

安全性，不會(huì)因?yàn)槟囊粋€(gè)部門出現(xiàn)問(wèn)題從而影響到別的部門。

<Huawei>undoterminalmonitor；關(guān)閉終端顯示提示信息功能

<Huawei>sys

<Huawei>undoinfo-centerenable；命令產(chǎn)生的日志信息不記錄

[Huawei]sysnameLSW1；設(shè)置設(shè)備主機(jī)名為L(zhǎng)SW1

//創(chuàng)建vlan

[LSW1]vlanbatch102030405060100101

；每個(gè)vlan的編號(hào)為102030405060100101

[LSW1]stpenable；開(kāi)啟AP有線口的stp功能

[LSW1]stpregion-configuration；進(jìn)入mst域視圖

[LSW1-mst-region]region-namehuawei；配置交換設(shè)備mst域名huawei

[LSW1-mst-region]revision-level5；配置交換設(shè)備mst域的mstp修

訂級(jí)別為5

[LSW1-mst-region]instance1vlan102030100；指定vlan映射

到102030100

[LSW1-mst-region]instance2vlan405060；指定vlan映射到40

5060

[LSW1-mst-region]activeregion-configuration；激活mst域配置

[LSW1-mst-region]quit；退出

13

湖南商務(wù)職業(yè)技術(shù)學(xué)院畢業(yè)設(shè)計(jì)

[LSW1]inte0/0/1；進(jìn)入接口e0/0/1

[LSW1-Ethernet0/0/1]portlink-typetrunk；配置接口鏈路為trunk

[LSW1-Ethernet0/0/1]porttrunkallow-passvlanall；配置trunk

接口加入vlan

[LSW1-Ethernet0/0/1]inte0/0/2；進(jìn)入接口e0/0/2

[LSW1-Ethernet0/0/2]portlink-typetrunk；配置接口鏈路為trunk

[LSW1-Ethernet0/0/2]porttrunkallow-passvlanall

；配置trunk接口加入vlan

[LSW1-Ethernet0/0/2]inte0/0/3；進(jìn)入接口e0/0/3

[LSW1-Ethernet0/0/3]portlink-typeaccess；配置接口鏈路為access

[LSW1-Ethernet0/0/3]portdefaultvlan10；配置接口的缺省vlan并

加入vlan10

[LSW1-Ethernet0/0/3]inte0/0/4；進(jìn)入接口e0/0/4

[LSW1-Ethernet0/0/4]portlink-typeaccess；配置接口鏈路為access

[LSW1-Ethernet0/0/4]portdefaultvlan10；配置接口的缺省vlan并加

入vlan10

5.3防火墻配置

intg0/0/1

ipadd24

intg0/0/2

ipadd24

#進(jìn)入接口,配置ip地址

ospf1

are0

network55

network55

#創(chuàng)建ospf進(jìn)程1,在區(qū)域0中宣告網(wǎng)段

14

湖南商務(wù)職業(yè)技術(shù)學(xué)院畢業(yè)設(shè)計(jì)

6項(xiàng)目測(cè)試

（1）內(nèi)網(wǎng)主機(jī)互通測(cè)試，各部門主機(jī)互相訪問(wèn)

圖7內(nèi)網(wǎng)主機(jī)互通測(cè)試

（2）內(nèi)網(wǎng)主機(jī)訪問(wèn)外網(wǎng)測(cè)試

圖8pc1內(nèi)網(wǎng)主機(jī)訪問(wèn)外網(wǎng)測(cè)試

（3）無(wú)線網(wǎng)絡(luò)主機(jī)（筆記本電腦模擬器手機(jī)模擬器）訪問(wèn)內(nèi)網(wǎng)主機(jī)測(cè)試：

15

湖南商務(wù)職業(yè)技術(shù)學(xué)院畢業(yè)設(shè)計(jì)

圖9無(wú)線網(wǎng)絡(luò)主機(jī)訪問(wèn)內(nèi)網(wǎng)測(cè)試

（4）無(wú)線網(wǎng)主機(jī)（筆記本電腦模擬器手機(jī)模擬器）訪問(wèn)外網(wǎng)測(cè)試：

圖10無(wú)線網(wǎng)主機(jī)訪問(wèn)外網(wǎng)測(cè)試

（5）互聯(lián)網(wǎng)主機(jī)無(wú)法ping通企業(yè)內(nèi)網(wǎng)主機(jī)

16

湖南商務(wù)職業(yè)技術(shù)學(xué)院畢業(yè)設(shè)計(jì)

圖10互聯(lián)網(wǎng)主機(jī)

7設(shè)計(jì)小結(jié)

本次畢業(yè)設(shè)計(jì)在調(diào)研力宇科技公司網(wǎng)絡(luò)建設(shè)的現(xiàn)狀和問(wèn)題后，根據(jù)實(shí)際，

提出了網(wǎng)絡(luò)建設(shè)的總體規(guī)劃、網(wǎng)絡(luò)技術(shù)，并給出了相應(yīng)的改進(jìn)措施，從某種意

義上解決了原來(lái)的一些問(wèn)題。網(wǎng)路規(guī)劃與建