湖南商務(wù)職業(yè)技術(shù)學(xué)院畢業(yè)設(shè)計(jì)

目錄

1項(xiàng)目背景...................................................................................................................1

1.1項(xiàng)目簡介.........................................................................................................1

1.2項(xiàng)目需求分析.................................................................................................1

1.3項(xiàng)目設(shè)計(jì)原則.................................................................................................1

2網(wǎng)絡(luò)技術(shù)選型...........................................................................................................2

2.1VLAN技術(shù)......................................................................................................2

2.2鏈路聚合.........................................................................................................2

2.3MSTP技術(shù)......................................................................................................3

2.4VRRP技術(shù)......................................................................................................3

2.5OSPF技術(shù).......................................................................................................4

2.6防火墻安全技術(shù).............................................................................................4

3網(wǎng)絡(luò)規(guī)劃與設(shè)計(jì).......................................................................................................4

3.1網(wǎng)絡(luò)拓?fù)鋱D設(shè)計(jì).............................................................................................4

3.2IP地址部門VLAN規(guī)劃................................................................................5

4設(shè)備選型...................................................................................................................6

4.1核心交換機(jī)選型.............................................................................................6

4.2接入交換機(jī)選型.............................................................................................7

4.3防火墻選型.....................................................................................................9

4.4服務(wù)器選型...................................................................................................10

4.5設(shè)備互聯(lián)規(guī)劃...............................................................................................11

5項(xiàng)目實(shí)施.................................................................................................................13

5.1防火墻重要配置...........................................................................................13

5.2核心交換機(jī)重要配置...................................................................................14

5.3匯聚層配置...................................................................................................15

5.4接入層配置...................................................................................................16

5.5遠(yuǎn)程管理人員重要配置...............................................................................17

I

湖南商務(wù)職業(yè)技術(shù)學(xué)院畢業(yè)設(shè)計(jì)

6網(wǎng)絡(luò)測試.................................................................................................................18

6.1MSTP端口狀態(tài)切換測試............................................................................18

6.2Vrrp的主備切換測試....................................................................................22

6.3鏈路聚合結(jié)果測試.......................................................................................23

6.4Ospf鄰居建立結(jié)果測試...............................................................................24

6.5公網(wǎng)路由表以及骨干網(wǎng)的通訊測試...........................................................25

7園區(qū)主機(jī)DHCP-IP獲取.......................................................................................25

8園區(qū)通信情況測試.................................................................................................26

9設(shè)計(jì)小結(jié).................................................................................................................27

參考資料.....................................................................................................................28

II

湖南商務(wù)職業(yè)技術(shù)學(xué)院畢業(yè)設(shè)計(jì)

啟盛房地產(chǎn)公司網(wǎng)絡(luò)優(yōu)化設(shè)計(jì)

1項(xiàng)目背景

1.1項(xiàng)目簡介

啟盛房地產(chǎn)公司是山東中億集團(tuán)組建的中型房地產(chǎn)開發(fā)公司，成立于2002

年12月10日，注冊(cè)資本金5500萬元，主要經(jīng)營房地產(chǎn)開發(fā)、銷售、租賃等業(yè)

務(wù)，具有房地產(chǎn)開發(fā)企業(yè)二級(jí)資質(zhì)。公司現(xiàn)有員工63人，其中高級(jí)專業(yè)技術(shù)職

稱10人，中級(jí)職稱12人，95%以上的管理技術(shù)人員擁有大學(xué)以上學(xué)歷，法定代

表人為徐化峰先生。截至2008年4月，公司資產(chǎn)總額達(dá)3.29億元，凈資產(chǎn)達(dá)

1.23億元。經(jīng)過多年的發(fā)展與積累，公司秉承“誠信、敬業(yè)、合作、創(chuàng)新”的

企業(yè)精神，創(chuàng)造了良好的內(nèi)、外部發(fā)展環(huán)境，管理制度日臻完善，培養(yǎng)了一支

團(tuán)結(jié)務(wù)實(shí)、敬業(yè)實(shí)干、開拓創(chuàng)新的管理團(tuán)隊(duì)，“創(chuàng)一流品牌、建百年中億”的

理念成為推動(dòng)公司建設(shè)穩(wěn)步發(fā)展的品牌性力量。多次濟(jì)寧市中區(qū)和高新區(qū)授予

“創(chuàng)利稅優(yōu)秀企業(yè)”和“功勛企業(yè)”，并被山東省工商局授予“山東省文明誠

信民營企業(yè)”，被省市金融部門授予“AAA級(jí)信用企業(yè)”。

1.2項(xiàng)目需求分析

近年來，隨著啟盛房地產(chǎn)人數(shù)的增加，為了提升用戶體驗(yàn)。通過減少網(wǎng)頁

加載時(shí)間、提升頁面響應(yīng)速度等措施，改善網(wǎng)站的可訪問性和穩(wěn)定性，使用戶

能夠更快速地瀏覽和導(dǎo)航網(wǎng)頁。提高網(wǎng)站流量和轉(zhuǎn)化率，網(wǎng)絡(luò)優(yōu)化能提升網(wǎng)站

的搜索引擎排名，吸引更多潛在用戶的訪問，從而增加網(wǎng)站的流量和轉(zhuǎn)化率。

提高網(wǎng)絡(luò)性能和資源利用率。在通信領(lǐng)域，網(wǎng)絡(luò)優(yōu)化的目的是通過規(guī)劃和調(diào)度

有限的網(wǎng)絡(luò)資源，最小化網(wǎng)絡(luò)成本并最大化服務(wù)質(zhì)量。如帶寬、速度、可靠性

等。提高用戶滿意度。從用戶的角度出發(fā)，網(wǎng)絡(luò)優(yōu)化旨在提高網(wǎng)絡(luò)的獲得性、

穩(wěn)定性以及通信質(zhì)量，以提供滿意的服務(wù)。所以啟盛決定對(duì)于網(wǎng)絡(luò)進(jìn)行重新優(yōu)

化。

1.3項(xiàng)目設(shè)計(jì)原則

該網(wǎng)絡(luò)預(yù)計(jì)實(shí)現(xiàn)如下目標(biāo)：

(1)滿足公司信息化的要求，有著良好的性能，能夠支持大容量和實(shí)時(shí)性的

各類應(yīng)用，并為各類應(yīng)用系統(tǒng)提供方便、快捷的信息通路；

1

湖南商務(wù)職業(yè)技術(shù)學(xué)院畢業(yè)設(shè)計(jì)

(2)為公司管理人員和各個(gè)部門員工，提供便捷的辦公條件，實(shí)現(xiàn)內(nèi)部的數(shù)

據(jù)共享、可靠的數(shù)據(jù)傳輸，加強(qiáng)各個(gè)部門之間的信息交流，從而使公司員工的

工作效率得到大大的提高。

(3)能夠可靠的運(yùn)行，故障率和維護(hù)要求較低；

(4)可以提供安全機(jī)制，滿足保護(hù)公司信息安全的要求；

(5)具有較高的性價(jià)比。未來升級(jí)擴(kuò)展容易，保護(hù)投資。

2網(wǎng)絡(luò)技術(shù)選型

2.1VLAN技術(shù)

VLAN是在一個(gè)物理網(wǎng)絡(luò)上劃分出來的邏輯網(wǎng)絡(luò)。這個(gè)網(wǎng)絡(luò)對(duì)應(yīng)于ISO模型

的第二層網(wǎng)絡(luò)。VLAN的劃分不受網(wǎng)絡(luò)端口的實(shí)際物理位置的限制。第二層的單

播、廣播和多播幀在一個(gè)VLAN內(nèi)轉(zhuǎn)發(fā)、擴(kuò)散，而不會(huì)直接進(jìn)入其他的VLAN之

中。此設(shè)計(jì)中因?yàn)榻K端設(shè)備過多，容易引發(fā)廣播風(fēng)暴導(dǎo)致設(shè)備宕機(jī)，降低交換

機(jī)性能。所以此處使用VLAN技術(shù)對(duì)接入層進(jìn)行分割廣播域，降低廣播風(fēng)暴發(fā)生

概率，同時(shí)能夠達(dá)到客戶需求，阻擋某些部門之間的聯(lián)系。

在本項(xiàng)目中，將VLAN應(yīng)用在所有二層交換機(jī)下行接口上，為的就是隔離廣

播域，防止太多不必要數(shù)據(jù)幀產(chǎn)生并在廣播域內(nèi)傳遞，降低交換機(jī)性能，導(dǎo)致

設(shè)備宕機(jī)。

2.2鏈路聚合

隨著企業(yè)的不斷發(fā)展，企業(yè)的網(wǎng)絡(luò)訪問量不斷的增大，導(dǎo)致對(duì)企業(yè)網(wǎng)絡(luò)的

可靠性與速率的需求不斷的增加，所以在企業(yè)網(wǎng)絡(luò)中，網(wǎng)絡(luò)的可靠性與速率在

設(shè)計(jì)中是十分重要的一環(huán)，而增加企業(yè)網(wǎng)絡(luò)的可靠性就需要從交換機(jī)開始。在

網(wǎng)絡(luò)中，大量的需要聯(lián)網(wǎng)的設(shè)備需要連入交換機(jī)，這意味著交換機(jī)的端口占有

率會(huì)比其他設(shè)備的端口占用率高得多。交換機(jī)又分為三層，分別是核心層交換

機(jī)，匯聚層交換機(jī)和接入層交換機(jī)，其中匯聚交換機(jī)之間的鏈路需要承擔(dān)的流

量更大，所以匯聚交換機(jī)端口之間的鏈路需要更高的速率來保證流量的快速轉(zhuǎn)

發(fā)。提高交換機(jī)設(shè)備的轉(zhuǎn)發(fā)速率可以在兩個(gè)設(shè)備間多增加幾條鏈路或者采用高

速率端口，采用多條鏈路會(huì)對(duì)IP地址造成浪費(fèi)，采用高速率端口會(huì)增大網(wǎng)絡(luò)

搭建的成本，而鏈路聚合技術(shù)就解決了這些問題。鏈路聚合是邏輯上將兩條或

者多條鏈路捆綁為一條鏈路，這樣就達(dá)到了增加設(shè)備鏈路的效果且不會(huì)浪費(fèi)

IP地址。鏈路聚合也會(huì)讓網(wǎng)絡(luò)變得更加的可靠，當(dāng)配置了鏈路聚合的兩個(gè)設(shè)備

2

湖南商務(wù)職業(yè)技術(shù)學(xué)院畢業(yè)設(shè)計(jì)

間有一條或多條鏈路發(fā)生故障時(shí)，網(wǎng)絡(luò)流量依然可以進(jìn)行轉(zhuǎn)發(fā)而不至于因?yàn)橐?/p>

條鏈路發(fā)生故障導(dǎo)致整個(gè)網(wǎng)絡(luò)癱瘓。

在本項(xiàng)目中，在兩臺(tái)匯聚交換機(jī)之間進(jìn)行鏈路聚合配置，接入層交換機(jī)之

間也進(jìn)行鏈路聚合，提升帶寬，增加網(wǎng)絡(luò)可靠性。應(yīng)用在兩臺(tái)核心交換機(jī)直接

相連的接口，用于提升該條鏈路帶寬，因?yàn)閮膳_(tái)核心交換機(jī)處于核心處，工作

量大，所需要交換的數(shù)據(jù)多且數(shù)據(jù)包大小較大。

2.3MSTP技術(shù)

MSTP–多生成樹協(xié)議：一個(gè)交換機(jī)可以跑多個(gè)生成樹，為了區(qū)分，每個(gè)生

成樹叫做一個(gè)MSTI(多生成樹實(shí)例），每個(gè)MSTI都使用單獨(dú)的RSTP算法，計(jì)算

單獨(dú)的生成樹。若干個(gè)VLAN可以映射到同一課生成樹，但每個(gè)VLAN只能在一

棵生成樹里。每個(gè)MSTI(MSTInstance)都有一個(gè)標(biāo)識(shí)(MSTID)，MSTID是

一個(gè)兩字節(jié)的整數(shù)。VRP平臺(tái)支持16個(gè)MSTInstance，MSTID取值范圍是0~15，

默認(rèn)所有VLAN映射到MSTInstance0。

MSTP兼容STP和RSTP，既可以快速收斂，又提供了數(shù)據(jù)轉(zhuǎn)發(fā)的各個(gè)冗余路

徑，在數(shù)據(jù)轉(zhuǎn)發(fā)過程中實(shí)現(xiàn)VLAN數(shù)據(jù)的負(fù)載均衡。

2.4VRRP技術(shù)

多生成樹協(xié)議MSTP（MultipleSpanningTreeProtocol）將環(huán)路網(wǎng)絡(luò)修

剪成為一個(gè)無環(huán)的樹型網(wǎng)絡(luò)，避免報(bào)文在環(huán)路網(wǎng)絡(luò)中的無限循環(huán)，同時(shí)還提供

了數(shù)據(jù)轉(zhuǎn)發(fā)的多個(gè)冗余路徑，在數(shù)據(jù)轉(zhuǎn)發(fā)過程中實(shí)現(xiàn)VLAN數(shù)據(jù)的負(fù)載均衡。

環(huán)路會(huì)產(chǎn)生廣播風(fēng)暴，最終導(dǎo)致整個(gè)網(wǎng)絡(luò)資源被耗盡，網(wǎng)絡(luò)癱瘓不可用。

環(huán)路還會(huì)引起MAC地址表震蕩導(dǎo)致MAC地址表項(xiàng)被破壞。STP/RSTP可阻塞二層

網(wǎng)絡(luò)中的冗余鏈路，將網(wǎng)絡(luò)修剪成樹狀，解決交換網(wǎng)絡(luò)中的環(huán)路問題。但STP

和RSTP存在同一個(gè)缺陷：由于局域網(wǎng)內(nèi)所有的VLAN共享一棵生成樹，因此無

法在VLAN間實(shí)現(xiàn)數(shù)據(jù)流量的負(fù)載均衡，被阻塞的鏈路將不承載任何流量，造成

帶寬浪費(fèi)，還有可能造成部分VLAN的報(bào)文無法轉(zhuǎn)發(fā)。為了彌補(bǔ)STP和RSTP的

缺陷，IEEE于2002年發(fā)布的802.1s標(biāo)準(zhǔn)定義了MSTP。MSTP兼容STP和RSTP，

既可以快速收斂，又提供了數(shù)據(jù)轉(zhuǎn)發(fā)的多個(gè)冗余路徑，在數(shù)據(jù)轉(zhuǎn)發(fā)過程中實(shí)現(xiàn)

VLAN數(shù)據(jù)的負(fù)載均衡。

3

湖南商務(wù)職業(yè)技術(shù)學(xué)院畢業(yè)設(shè)計(jì)

2.5OSPF技術(shù)

OSPF適合在大范圍的網(wǎng)絡(luò)：OSPF協(xié)議當(dāng)中對(duì)于路由的跳數(shù)，它是沒有限制

的，所以O(shè)SPF協(xié)議能用在許多場合，同時(shí)也支持更加廣泛的網(wǎng)絡(luò)規(guī)模。只要是

在組播的網(wǎng)絡(luò)中，OSPF協(xié)議能夠支持?jǐn)?shù)十臺(tái)路由器一起運(yùn)作。組播觸發(fā)式更新：

OSPF協(xié)議在收斂完成后，會(huì)以觸發(fā)方式發(fā)送拓?fù)渥兓男畔⒔o其他路由器，這

樣就可以減少網(wǎng)絡(luò)寬帶的利用率；同時(shí)，可以減小干擾，特別是在使用組播網(wǎng)

絡(luò)結(jié)構(gòu)，對(duì)外發(fā)出信息時(shí)，它對(duì)其他設(shè)備不構(gòu)成影響。收斂速度快：如果網(wǎng)絡(luò)

結(jié)構(gòu)出現(xiàn)改變，OSPF協(xié)議的系統(tǒng)會(huì)以最快的速度發(fā)出新的報(bào)文，從而使新的拓

撲情況很快擴(kuò)散到整個(gè)網(wǎng)絡(luò)；而且，OSPF采用周期較短的HELLO報(bào)文來維護(hù)鄰

居狀態(tài)。以開銷作為度量值：OSPF協(xié)議在設(shè)計(jì)時(shí)，就考慮到了鏈路帶寬對(duì)路由

度量值的影響。OSPF協(xié)議是以開銷值作為標(biāo)準(zhǔn)，而鏈路開銷和鏈路帶寬，正好

形成了反比的關(guān)系，帶寬越是高，開銷就會(huì)越小，這樣一來，OSPF選路主要基

于帶寬因素。OSPF協(xié)議的設(shè)計(jì)是為了避免路由環(huán)路：在使用最短路徑的算法下，

收到路由中的鏈路狀態(tài)，然后生成路徑，這樣不會(huì)產(chǎn)生環(huán)路。此設(shè)計(jì)中在核心

層路由器與兩個(gè)核心交換機(jī)上進(jìn)行ospf配置，相比于靜態(tài)配置，使用ospf要

更加簡便快捷。

在本項(xiàng)目中，將OSPF技術(shù)運(yùn)用在核心交換機(jī)與路由器上的所有接口，確保

它們的路由表非常齊全，不會(huì)出現(xiàn)鏈路不同的情況，提升網(wǎng)絡(luò)可靠性。

2.6防火墻安全技術(shù)

防火墻安全技術(shù)是一種重要的網(wǎng)絡(luò)安全防護(hù)措施，它通過監(jiān)測、限制和過

濾跨越網(wǎng)絡(luò)的數(shù)據(jù)流，有效隔離內(nèi)部網(wǎng)絡(luò)和外部不安全網(wǎng)絡(luò)。防火墻能夠阻止

未經(jīng)授權(quán)的訪問，只允許符合安全策略的數(shù)據(jù)包通過，從而保護(hù)用戶資料與信

息的安全性。它采用包過濾、狀態(tài)檢測等安全控制手段，對(duì)進(jìn)出網(wǎng)絡(luò)的數(shù)據(jù)進(jìn)

行嚴(yán)格把關(guān)。同時(shí)，防火墻還可以記錄網(wǎng)絡(luò)通信事件，提供警報(bào)和響應(yīng)機(jī)制，

及時(shí)發(fā)現(xiàn)并應(yīng)對(duì)潛在的安全威脅。防火墻安全技術(shù)是保障網(wǎng)絡(luò)安全不可或缺的

重要組成部分。

3網(wǎng)絡(luò)規(guī)劃與設(shè)計(jì)

3.1網(wǎng)絡(luò)拓?fù)鋱D設(shè)計(jì)

4

湖南商務(wù)職業(yè)技術(shù)學(xué)院畢業(yè)設(shè)計(jì)

公司的網(wǎng)絡(luò)主要由接入層交換機(jī)、核心層交換機(jī)、核心路由器等組成。接

入層各端口根據(jù)具體需要，分別接入發(fā)展部、招商部、合作部、投資部對(duì)應(yīng)的

VLAN。網(wǎng)絡(luò)拓?fù)淙鐖D1所示：

圖1網(wǎng)絡(luò)拓?fù)鋱D

3.2IP地址部門VLAN規(guī)劃

設(shè)備按照部門進(jìn)行VLAN劃分和網(wǎng)段規(guī)劃，如表1所示：

表1部門VLAN劃分及網(wǎng)段規(guī)劃表

部門IP地址范圍VLAN端口網(wǎng)關(guān)

內(nèi)網(wǎng)總網(wǎng)段-54

至1

園區(qū)發(fā)展部Vlan1054

54

至1

產(chǎn)業(yè)招商部Vlan2054

54

至1

產(chǎn)業(yè)合作部Vlan3054

54

5

湖南商務(wù)職業(yè)技術(shù)學(xué)院畢業(yè)設(shè)計(jì)

至1

產(chǎn)業(yè)投資部Vlan4054

54

4設(shè)備選型

4.1核心交換機(jī)選型

華為S5735S是一款功能強(qiáng)大且適應(yīng)性廣泛的千兆以太網(wǎng)交換機(jī)，專為滿足

現(xiàn)代網(wǎng)絡(luò)需求而設(shè)計(jì)。這款交換機(jī)采用了非模塊化端口結(jié)構(gòu)，端口數(shù)量達(dá)到48

個(gè)，提供靈活且高效的網(wǎng)絡(luò)連接選項(xiàng)。它的傳輸速率高達(dá)10/100/1000Mbps，

背板帶寬達(dá)到432Gbps/4.32Tbps，確保數(shù)據(jù)在網(wǎng)絡(luò)中的高速穩(wěn)定傳輸。

華為S5735S不僅支持豐富的VLAN功能，包括4K個(gè)VLAN以及多種VLAN特

性，還具備強(qiáng)大的組播管理功能，為多媒體內(nèi)容的傳輸提供了有力保障。其一

體化的設(shè)計(jì)使得多個(gè)模塊得以集成，支持工業(yè)級(jí)工作溫度范圍，并具備專業(yè)的

室外防雷、IP55等級(jí)防護(hù)和防鹽霧能力，使其能夠適應(yīng)各種惡劣的室外環(huán)境。

詳細(xì)參數(shù)如下表所示：

參數(shù)類別參數(shù)值

產(chǎn)品類型千兆以太網(wǎng)交換機(jī)

應(yīng)用層級(jí)三層

傳輸速率10/100/1000Mbps

背板帶寬432Gbps/4.32Tbps

包轉(zhuǎn)發(fā)率144/166Mpps

端口結(jié)構(gòu)非模塊化

6

湖南商務(wù)職業(yè)技術(shù)學(xué)院畢業(yè)設(shè)計(jì)

端口數(shù)量48個(gè)

端口描述48個(gè)10/100/1000BASE-T以太網(wǎng)端口

VLAN功能支持4K個(gè)VLAN，支持GuestVLAN、VoiceVLAN等

組播管理支持PIMDM等

堆疊功能支持可堆疊

電源電壓額定電壓范圍（根據(jù)實(shí)際銷售信息為準(zhǔn)）

電源功率根據(jù)具體配置而定

工作溫度-40°C至+70°C

防雷能力內(nèi)置防雷

相對(duì)濕度5%～95%（無凝露）

散熱方式風(fēng)冷散熱，風(fēng)扇智能調(diào)速

全國聯(lián)保，享受三包服務(wù)（具體保修政策以當(dāng)?shù)貙?shí)際銷售信息為

保修政策

準(zhǔn)）

4.2接入交換機(jī)選型

華為S5720S-LI系列交換機(jī)是華為公司自主研發(fā)的一款綠色節(jié)能的以太網(wǎng)

交換機(jī)。它基于新一代高性能硬件和華為公司統(tǒng)一的VRP（VersatileRouting

Platform）軟件平臺(tái)，為用戶提供了一種全面、高效的網(wǎng)絡(luò)接入解決方案。

該系列交換機(jī)設(shè)計(jì)靈活，不僅提供全千兆接入，還支持萬兆上行端口，充

分滿足了用戶對(duì)于高速率接入的需求。此外，S5720S-LI系列交換機(jī)還具備智

能iStack堆疊、靈活的以太組網(wǎng)以及多樣的安全控制等特點(diǎn)，使得網(wǎng)絡(luò)管理更

為便捷，同時(shí)保證了網(wǎng)絡(luò)的安全穩(wěn)定。

值得一提的是，華為S5720S-LI系列交換機(jī)還針對(duì)特定的應(yīng)用場景和客戶

需求，定制開發(fā)了一些特色款型，以滿足不同客戶的多樣化需求。無論是企業(yè)

園區(qū)網(wǎng)絡(luò)接入，還是數(shù)據(jù)中心網(wǎng)絡(luò)構(gòu)建，華為S5720S-LI系列交換機(jī)都能提供

卓越的性能和穩(wěn)定的運(yùn)行。

總的來說，華為S5720S-LI系列交換機(jī)以其高性能、易管理、易擴(kuò)展和低

7

湖南商務(wù)職業(yè)技術(shù)學(xué)院畢業(yè)設(shè)計(jì)

成本的特點(diǎn)，為用戶提供了一個(gè)綠色、高效的千兆到桌面的解決方案，是接入

交換機(jī)領(lǐng)域的優(yōu)秀選擇。詳細(xì)參數(shù)如下表所示：

參數(shù)類別參數(shù)值

產(chǎn)品類型千兆以太網(wǎng)交換機(jī)

應(yīng)用層級(jí)三層

傳輸速率10/100/1000Mbps

背板帶寬336Gbps/3.36Tbps

包轉(zhuǎn)發(fā)率51Mpps/126Mpps（不同型號(hào)可能有所不同）

MAC地址表8K

VLAN功能支持GuestVLAN、VoiceVLAN等多種VLAN功能

隊(duì)列調(diào)度算

支持WRR、DRR、SP、WRR+SP、DRR+SP等多種隊(duì)列調(diào)度算法

法

端口類型與多種接口類型和數(shù)量可選，如8個(gè)10/100/1000Base-T以太網(wǎng)端

數(shù)量口，4個(gè)千兆SFP等

堆疊支持支持可堆疊設(shè)計(jì)

支持對(duì)端口入方向、出方向進(jìn)行速率限制；支持報(bào)文重定向等多

QoS支持

種QoS功能

管理與維護(hù)提供豐富的管理與維護(hù)功能，如SNMP、RMON、Web網(wǎng)管等

電源與功耗根據(jù)具體型號(hào)和配置而定

工作環(huán)境適用于不同的工作環(huán)境和溫度范圍

8

湖南商務(wù)職業(yè)技術(shù)學(xué)院畢業(yè)設(shè)計(jì)

安全性提供多種安全特性，如訪問控制列表（ACL）、MAC地址綁定等

4.3防火墻選型

華為UGG6106E系列AI防火墻是專為小型企業(yè)、行業(yè)分支、連鎖商業(yè)機(jī)構(gòu)

設(shè)計(jì)開發(fā)的防火墻設(shè)備。除了傳統(tǒng)防火墻管理模式，還支持云管模式。云管模

式為大量分支機(jī)構(gòu)安全接入網(wǎng)絡(luò)提供了即插即用、業(yè)務(wù)配置自動(dòng)化、運(yùn)維自動(dòng)

化可視化和網(wǎng)絡(luò)大數(shù)據(jù)分析等優(yōu)勢。產(chǎn)品提供模式匹配以及加解密業(yè)務(wù)處理加

速能力，使得防火墻處理內(nèi)容安全檢測、IPSec等業(yè)務(wù)的性能顯著提升。

USG6100E系列AI防火墻內(nèi)置轉(zhuǎn)發(fā)、加密、模式匹配三大協(xié)處理引擎，有

效將小包轉(zhuǎn)發(fā)性能，IPS、AV業(yè)務(wù)性能以及IPSec業(yè)務(wù)性能提升2倍。內(nèi)置AI

算法專用加速硬件，具備8TOPS16位浮點(diǎn)數(shù)算力，有效支撐高級(jí)威脅防御模型

加速。詳細(xì)參數(shù)如下表所示：

參數(shù)類

參數(shù)值

別

產(chǎn)品型USG6106E

號(hào)

產(chǎn)品形

1U（機(jī)架式）

態(tài)

網(wǎng)絡(luò)端6個(gè)10GE(SFP+)+6個(gè)GE(SFP)+16個(gè)GE；WAN：2×GE；控制

口端口1個(gè)USB2.0+1個(gè)USB3.0

一體化集傳統(tǒng)防火墻、VPN、數(shù)據(jù)防泄露、寬帶管理等多種功能于一身，全

防護(hù)局配置視圖和一體化策略管理

數(shù)據(jù)防

對(duì)傳輸?shù)奈募蛢?nèi)容進(jìn)行識(shí)別過濾，可準(zhǔn)確識(shí)別常文字的真實(shí)類型

泄露

9

湖南商務(wù)職業(yè)技術(shù)學(xué)院畢業(yè)設(shè)計(jì)

SSL加

可以對(duì)HTTPS訪問網(wǎng)站的內(nèi)容URL進(jìn)行過濾和審計(jì)，可以對(duì)加密的

密流量

郵件（IMAPs、SMTPS、POP3S)內(nèi)容進(jìn)行過濾和審計(jì)

過濾

防病毒病毒庫每日更新，可迅速檢出超過500萬種病毒

VPN支持

電源AC100-240V40w

4.4服務(wù)器選型

華為FusionServerPro2488HV5機(jī)架服務(wù)器是華為公司針對(duì)IDC（Internet

DataCenter）、云計(jì)算、企業(yè)市場以及電信業(yè)務(wù)應(yīng)用等需求推出的具有廣泛用

途的2U4路機(jī)架服務(wù)器。該服務(wù)器適用于數(shù)據(jù)庫、云計(jì)算、虛擬化、內(nèi)存計(jì)算

等各種應(yīng)用需求。詳細(xì)參數(shù)如下表所示：

參數(shù)類別參數(shù)值

產(chǎn)品類型機(jī)架式

產(chǎn)品結(jié)構(gòu)2U

CPU系列Intel至強(qiáng)

CPU型號(hào)XeonGold5218

CPU主頻2.3GHz

10

湖南商務(wù)職業(yè)技術(shù)學(xué)院畢業(yè)設(shè)計(jì)

標(biāo)配CPU數(shù)

2個(gè)

目

最大CPU數(shù)

4個(gè)

目

內(nèi)存類型DDR4ECC

最大內(nèi)存容

支持高達(dá)48條DDR4ECC內(nèi)存

量

存儲(chǔ)類型支持最大25個(gè)2.5”的本地存儲(chǔ)資源

硬盤接口類

可配置NVMeSSD

型

RAID支持可選

網(wǎng)絡(luò)控制器根據(jù)配置而定

電源類型冗余電源

電源數(shù)量根據(jù)配置而定

散熱系統(tǒng)高效散熱設(shè)計(jì)

系統(tǒng)管理提供基于HTML5/VNCKVM的遠(yuǎn)程管理界面

系統(tǒng)支持SUSELinuxEnterpriseServer、RedHatEnterprise等

安全特性提供多種安全特性，確保數(shù)據(jù)安全

可選配件華為FusionDirector管理軟件等

全國聯(lián)保，享受三包服務(wù)（具體保修政策以當(dāng)?shù)貙?shí)際銷售信息

保修政策

為準(zhǔn)）

4.5設(shè)備互聯(lián)規(guī)劃

表2互聯(lián)規(guī)劃表

11

湖南商務(wù)職業(yè)技術(shù)學(xué)院畢業(yè)設(shè)計(jì)

設(shè)備接口IP地址描述

54防火墻連接服務(wù)

GE1/0/5

/24器地址

防火墻連接內(nèi)網(wǎng)

GE1/0/1/30

交換機(jī)地址

GE1/0/2/24

FW1

防火墻連接內(nèi)網(wǎng)

GE1/0/0/30

交換機(jī)地址

防火墻連接外網(wǎng)

GE1/0/6/24

路由器地址

Loopback0/32

核心1園區(qū)發(fā)展

53業(yè)務(wù)地址，VRRP

Vlan10

/24虛擬地址為254

結(jié)尾

核心1產(chǎn)業(yè)招商

53部業(yè)務(wù)地址，

Vlan20

/24VRRP虛擬地址為

254結(jié)尾

核心1產(chǎn)業(yè)合作

53部業(yè)務(wù)地址，

Vlan30

/24VRRP虛擬地址

254結(jié)尾

HX1

核心1產(chǎn)業(yè)投資

53部業(yè)務(wù)地址，

Vlan40

/24VRRP虛擬地址為

254結(jié)尾

53

Vlan99鏈路地址

/24

5

Vlan100鏈路地址

3

5

Vlan101鏈路地址

3/24

HX2Vlan8/30鏈路地址

12

湖南商務(wù)職業(yè)技術(shù)學(xué)院畢業(yè)設(shè)計(jì)

核心2園區(qū)發(fā)展

52業(yè)務(wù)地址，VRRP

Vlan10

/24虛擬地址為254

結(jié)尾

核心2產(chǎn)業(yè)招商

52部業(yè)務(wù)地址，

Vlan20

/24VRRP虛擬地址為

254結(jié)尾

核心2產(chǎn)業(yè)合作

52部業(yè)務(wù)地址，

Vlan30

/24VRRP虛擬地址為

254結(jié)尾

核心2產(chǎn)業(yè)投資

52部業(yè)務(wù)地址，

Vlan40

/24VRRP虛擬地址為

254結(jié)尾

52

Vlan99鏈路地址

/24

5

Vlan100鏈路地址

2/24

5

Vlan101鏈路地址

2/24

GE0/0/0/24連接防火墻地址

Intternet路由

GE0/0/1鏈接外網(wǎng)區(qū)域地

器54/24

址

5項(xiàng)目實(shí)施

5.1防火墻重要配置

配置設(shè)備接口的IP地址和回環(huán)接口的IP地址，配置靜態(tài)路由，生成外

網(wǎng)路由信息，使到達(dá)對(duì)端外網(wǎng)路由互通，配置OSPF路由協(xié)議用于在防火墻與

路由器之間轉(zhuǎn)發(fā)路由，并配置一條強(qiáng)制下發(fā)默認(rèn)路由使內(nèi)網(wǎng)訪問外網(wǎng)時(shí)使用這

一條默認(rèn)路由。配置安全策略，解決VLAN30與外網(wǎng)通信。配置NAT地址轉(zhuǎn)換

和NAT策略，園區(qū)用戶訪問外網(wǎng)將內(nèi)網(wǎng)地址轉(zhuǎn)換為公網(wǎng)地址。提高園區(qū)的安全

13

湖南商務(wù)職業(yè)技術(shù)學(xué)院畢業(yè)設(shè)計(jì)

性。

配置如下所示：

ospf1

default-route-advertisealways//強(qiáng)制下發(fā)默認(rèn)路由

import-routestatic//導(dǎo)入靜態(tài)路由

area

network//配置網(wǎng)絡(luò)

network//配置網(wǎng)絡(luò)

network//配置網(wǎng)絡(luò)

network55//配置網(wǎng)絡(luò)1

#

iproute-static//配置靜態(tài)路由，指

向，用于外網(wǎng)通信。#

security-policy//防火墻安全策略，保證防火墻安全

rulenamedeny_vlan30//規(guī)則名稱：拒絕VLAN30

destination-zoneuntrust//目標(biāo)區(qū)域：不受信任區(qū)域

source-addressmask//源地址：

子網(wǎng)掩碼：

actiondeny//動(dòng)作：拒絕

nat-policy

rulenamenat//規(guī)則名稱：NAT

source-zonedmz//源區(qū)域：DMZ

source-zonetrust//源區(qū)域：受信任區(qū)域

destination-zoneuntrust//目標(biāo)區(qū)域：不受信任區(qū)域

actionsource-nateasy-ip//動(dòng)作：源地址轉(zhuǎn)換為Easy-IP

5.2核心交換機(jī)重要配置

為園區(qū)內(nèi)部網(wǎng)絡(luò)配置OSPF（開放最短路徑優(yōu)先）路由協(xié)議，實(shí)現(xiàn)路由信息

的交換和內(nèi)外網(wǎng)通信。首先創(chuàng)建OSPF進(jìn)程和區(qū)域，然后在指定的網(wǎng)段上啟用

OSPF，生成包含內(nèi)部和外部網(wǎng)絡(luò)信息的路由表。接著創(chuàng)建和劃分VLAN，配置端

口類型并將端口正確地加入相應(yīng)的VLAN中。配置MSTP（多實(shí)例生成樹協(xié)議），

將HX交換機(jī)設(shè)置為VLAN10、20、30、70、100的主根，VLAN40、50、60、99、

101的備份根，并通過MSTP協(xié)議選舉出阻塞端口，形成樹狀結(jié)構(gòu)，防止環(huán)路

14

湖南商務(wù)職業(yè)技術(shù)學(xué)院畢業(yè)設(shè)計(jì)

網(wǎng)絡(luò)中報(bào)文的無限增生和循環(huán)。進(jìn)一步配置VRRP（虛擬路由冗余協(xié)議），將核

心交換機(jī)1和核心交換機(jī)2組成虛擬路由器，通過配置PC的網(wǎng)關(guān)地址作為

缺省網(wǎng)關(guān)，實(shí)現(xiàn)對(duì)缺省網(wǎng)關(guān)的備份。在鏈路聚合方面，將核心交換機(jī)1和核

心交換機(jī)2之間的兩條線路聚合成Eth-Trunk1，以增加鏈路帶寬。這些配置

能夠確保網(wǎng)絡(luò)的可靠通信，提高網(wǎng)絡(luò)的容錯(cuò)性和性能。

stpregion-configuration//配置MSTP保證二層鏈路的

高可靠性以及高穩(wěn)定性

region-namehuawei//區(qū)域名稱huawei

instance1vlan10203070100//設(shè)置實(shí)例1的VLAN

instance2vlan40506099101//設(shè)置實(shí)例2的VLAN

activeregion-configuration//開啟#

ippoolvlan10

gateway-list54//網(wǎng)關(guān)地址

networkmask//地址范圍

dns-list//設(shè)置DNS服務(wù)器

#

interfaceVlanif10

ipaddress53

vrrpvrid10virtual-ip54//VRID（虛擬路由ID）為10，

虛擬IP地址為54

vrrpvrid10priority120//vrrp優(yōu)先級(jí)為120

dhcpselectglobal//dhcp地址形式為全局地址池

#

routerospf1//啟用OSPF協(xié)議，進(jìn)程ID為1

area//設(shè)置OSPF區(qū)域?yàn)?/p>

network//宣告/29子網(wǎng)在OSPF區(qū)域0中

network55//宣告/16子網(wǎng)在OSPF

區(qū)域0中

5.3匯聚層配置

匯聚交換機(jī)1上僅僅配置了端口模式，下行鏈路劃分VLAN，上行鏈路允許

VLAN通過，直接連接用戶計(jì)算機(jī)或AP并使各種網(wǎng)絡(luò)資源接入網(wǎng)絡(luò)，配置MSTP

域并在與PC機(jī)相連的接口上配置邊緣接口使之不參與STP計(jì)算快速進(jìn)入轉(zhuǎn)

15

湖南商務(wù)職業(yè)技術(shù)學(xué)院畢業(yè)設(shè)計(jì)

發(fā)狀態(tài)。

vlanbatch1020304050607099to101//批量創(chuàng)建VLAN，包括

VLAN10、20、30、

40、50、60、70、99到101

#

stpregion-configuration//配置STP區(qū)域

region-namehuawei//設(shè)置區(qū)域名稱為huawei

instance1vlan10203070100//將VLAN10、20、30、70、100劃

入實(shí)例1

instance2vlan40506099101//將VLAN40、50、60、99、101劃

入實(shí)例2

activeregion-configuration//激活區(qū)域配置

#

interfaceGigabitEthernet0/0/1//配置GigabitEthernet0/0/1接口

portlink-typetrunk//設(shè)置端口鏈路類型為trunk

porttrunkallow-passvlan2to4094//允許通過的VLAN為2到4094

#

interfaceGigabitEthernet0/0/2//以下同上

portlink-typetrunk

porttrunkallow-passvlan2to4094

5.4接入層配置

sysnamecw//設(shè)置設(shè)備名稱為cw

vlanbatch81020304050607099to101//創(chuàng)建多個(gè)VLAN

stpregion-configurationregion-namehuaweiinstance1vlan10

203070100instance2vlan40506099101activeregion-configuration

//配置STP區(qū)域

interfaceVlanif99//選擇VLAN接口99

ipaddress//配置IP地址

interfaceEthernet0/0/1//選擇以太網(wǎng)接口0/0/1

portlink-typeaccess//設(shè)置接口為接入模式

portdefaultvlan10//設(shè)置默認(rèn)VLAN為10

interfaceEthernet0/0/2//選擇以太網(wǎng)接口0/0/2

16

湖南商務(wù)職業(yè)技術(shù)學(xué)院畢業(yè)設(shè)計(jì)

portlink-typeaccess//設(shè)置接口為接入模式

portdefaultvlan10//設(shè)置默認(rèn)VLAN為10

interfaceEthernet0/0/3//選擇以太網(wǎng)接口0/0/3

portlink-typetrunk//設(shè)置接口為干道模式

porttrunkpvidvlan100//設(shè)置PVID為100

porttrunkallow-passvlan2to4094//允許所有VLAN通過干道

interfaceEthernet0/0/4//選擇以太網(wǎng)接口0/0/4

portlink-typeaccess//設(shè)置接口為接入模式

portdefaultvlan10//設(shè)置默認(rèn)VLAN為10

interfaceEthernet0/0/5//選擇以太網(wǎng)接口0/0/5

portlink-typeaccess//設(shè)置接口為接入模式

portdefaultvlan10//設(shè)置默認(rèn)VLAN為10

interfaceEthernet0/0/6//選擇以太網(wǎng)接口0/0/6

portlink-typeaccess//設(shè)置接口為接入模式

portdefaultvlan10//設(shè)置默認(rèn)VLAN為10

interfaceGigabitEthernet0/0/1//選擇千兆以太網(wǎng)接口0/0/1

portlink-typetrunk//設(shè)置接口為干道模式

porttrunkallow-passvlan2to4094//允許所有VLAN通過干道

interfaceGigabitEthernet0/0/2//選擇千兆以太網(wǎng)接口0/0/2

portlink-typetrunk//設(shè)置接口為干道模式

porttrunkallow-passvlan2to4094//允許所有VLAN通過干道

5.5遠(yuǎn)程管理人員重要配置

該路由器配置Telnet實(shí)現(xiàn)遠(yuǎn)程控制防火墻，滿足技術(shù)人員需要，配置靜態(tài)

路由，使有到達(dá)防火墻的路由，配置3A認(rèn)證保護(hù)路由器安全。如下圖5.5所示：

aaa

authentication-schemedefault//配置默認(rèn)認(rèn)證方案

authorization-schemedefault//配置默認(rèn)授權(quán)方案

accounting-schemedefault//配置默認(rèn)記賬方案

domaindefault//配置默認(rèn)域

domaindefault_admin//配置默認(rèn)管理員域

local-useradminpasswordcipherhuawei@123//設(shè)置本地用戶admin

17

湖南商務(wù)職業(yè)技術(shù)學(xué)院畢業(yè)設(shè)計(jì)

密碼

local-useradminservice-typehttp//設(shè)置本地用戶admin服務(wù)類型

為HTTP

interfaceGigabitEthernet0/0/0//配置接口GigabitEthernet0/0/0

ipaddress//設(shè)置接口IP地址和子網(wǎng)掩

碼

iproute-static54//配置靜態(tài)路由，將

所有流量發(fā)往54

user-interfacecon0//配置控制臺(tái)用戶界面

authentication-modepassword//設(shè)置控制臺(tái)認(rèn)證模式為密碼

user-interfacevty04//配置虛擬終端用戶界面范圍為0到4

user-interfacevty1620//配置虛擬終端用戶界面范圍為16到20

6網(wǎng)絡(luò)測試

首先進(jìn)行MSTP故障后是否正確切換測試，然后對(duì)VRRP單路由器故

障后是否保正通信是否正常測試，對(duì)鏈路聚合結(jié)果測試，以及OSPF是否正常建

立鄰居測試。

6.1MSTP端口狀態(tài)切換測試

在核心交換機(jī)1上執(zhí)行displaystpbrief命令可查看端口狀態(tài)，如圖1

所示

圖1核心交換機(jī)1MSTP端口狀態(tài)查看

通過上面信息可知道，在實(shí)例1和實(shí)例2中，由于核心交換機(jī)1是根橋，

18

湖南商務(wù)職業(yè)技術(shù)學(xué)院畢業(yè)設(shè)計(jì)

在實(shí)例1其GigabitEthernet0/0/1、2和Eth-Trunk2端口成為指定端口；在實(shí)

例2中，核心交換機(jī)1是非根橋，其GigabitEthernet0/0/1、2端口為指定端

口，Eth-Trunk2端口為根端口。符合生成樹拓?fù)湟蟆?/p>

在核心交換機(jī)2上執(zhí)行displaystpbrief命令可查看端口狀態(tài)，如圖2

所示。

19

湖南商務(wù)職業(yè)技術(shù)學(xué)院畢業(yè)設(shè)計(jì)

圖2核心交換機(jī)2MSTP端口狀態(tài)查看

通過上面信息可知道，在實(shí)例1中，由于核心交換機(jī)2是根橋，在實(shí)例1其

GigabitEthernet0/0/1、2端口成為指定端口、Eth-Trunk1成為根端口；在實(shí)例2中，

核心交換機(jī)1是非根橋，其GigabitEthernet0/0/1、2端口與Eth-Trunk1為指定端口。

符合生成樹拓?fù)湟蟆?/p>

在匯聚交換機(jī)1上執(zhí)行displaystpbrief命令可查看端口狀態(tài)，如圖3所示。

圖3匯聚交換機(jī)1STP端口狀態(tài)查看

通過上面信息可知道，在MSTP中，由于核心交換機(jī)1是根橋，其

GigabitEthernet0/0/1端口為根端口，GigabitEthernet0/0/2端口成為阻塞端口，而

其他與PC機(jī)相連所以為指定端口；符合實(shí)例1MSTP生成樹拓?fù)湟蟆?/p>

測試1。以實(shí)例1為例，關(guān)閉匯聚交換機(jī)1的G0/0/1口，查看接口角色，G0/0/2

口由阻塞口變?yōu)楦?，測試結(jié)果如圖4所示。

20

湖南商務(wù)職業(yè)技術(shù)學(xué)院畢業(yè)設(shè)計(jì)

圖4匯聚交換機(jī)1端口故障root切換查看

在匯聚交換機(jī)2上執(zhí)行displaystpbrief命令可查看端口狀態(tài)，如下圖5所示。

圖5匯聚交換機(jī)2STP端口狀態(tài)查看

通過上面信息可知道，在MSTP中，由于核心交換機(jī)1是根橋，其

GigabitEthernet0/