湖南商務(wù)職業(yè)技術(shù)學(xué)院畢業(yè)設(shè)計(jì)

目錄

1項(xiàng)目背景.........................................................1

1.1五星中學(xué)簡介...............................................1

1.2項(xiàng)目簡介...................................................1

2網(wǎng)絡(luò)需求分析.....................................................2

2.1目的及要求.................................................2

2.2預(yù)期目標(biāo)...................................................2

3相關(guān)技術(shù)原理.....................................................3

3.1VLAN技術(shù)原理..............................................3

3.2DHCP技術(shù)原理...............................................3

3.3鏈路聚合技術(shù)原理...........................................4

3.4NAT技術(shù)原理................................................5

3.5ACL技術(shù)原理...............................................5

3.6Telnet技術(shù)原理............................................6

3.7默認(rèn)路由技術(shù)原理............................................6

4網(wǎng)絡(luò)規(guī)劃與設(shè)計(jì)...................................................7

4.1網(wǎng)絡(luò)拓?fù)湓O(shè)計(jì)...............................................7

4.2IP地址規(guī)劃與設(shè)備互聯(lián)規(guī)劃..................................8

4.3設(shè)備選型...................................................9

4.3.1路由器的選型:.........................................9

4.3.2交換機(jī)的選型:........................................10

5項(xiàng)目實(shí)施........................................................12

5.1設(shè)備改名...................................................12

5.2設(shè)備管理安全性.............................................12

5.3VLAN配置.................................................13

5.4DHCP配置.................................................16

5.5鏈路聚合配置...............................................17

湖南商務(wù)職業(yè)技術(shù)學(xué)院畢業(yè)設(shè)計(jì)

5.6NAT配置..................................................18

5.7ACL配置..................................................19

5.8默認(rèn)路由配置...............................................21

5.9Telnet配置...............................................21

6結(jié)果測試.......................................................22

6.1DHCP的結(jié)果................................................22

6.2鏈路聚合的結(jié)果.............................................25

6.3ACL的結(jié)果................................................26

6.4網(wǎng)絡(luò)連通性.................................................27

7小結(jié)...........................................................28

湖南商務(wù)職業(yè)技術(shù)學(xué)院畢業(yè)設(shè)計(jì)

五星中學(xué)網(wǎng)絡(luò)規(guī)劃與設(shè)計(jì)

1項(xiàng)目背景

1.1五星中學(xué)簡介

近年來，隨著經(jīng)濟(jì)發(fā)展和國家科教興國等戰(zhàn)略的部署以及實(shí)施，校園網(wǎng)建

設(shè)水平逐漸成為一個(gè)衡量學(xué)校教育信息化、現(xiàn)代化、科技化的標(biāo)準(zhǔn)，也意味著

一個(gè)學(xué)校的學(xué)生能夠接收到何等程度的現(xiàn)代化教育，這對學(xué)校的長遠(yuǎn)發(fā)展意義

重大。目前，大多數(shù)學(xué)校都在教育部的要求下逐步建成了設(shè)施配套齊全的校園

網(wǎng)，幫助師生解決教育、科研、綜合管理以及信息服務(wù)等各種方面的問題。當(dāng)

然由于校園網(wǎng)技術(shù)發(fā)展的多樣和差異，社會普遍對校園網(wǎng)技術(shù)存在許多認(rèn)識偏

差。比如說，并不是購買了最頂尖的設(shè)備，產(chǎn)生了大額的費(fèi)用，就一定能實(shí)現(xiàn)

有效的校園管理自動化和信息化。如何能運(yùn)用好校園網(wǎng)，考驗(yàn)著學(xué)校內(nèi)部技術(shù)

人員的素質(zhì)培訓(xùn)水平以及學(xué)校教育資源的開發(fā)以及積累等多個(gè)領(lǐng)域的積淀。所

以，如果想要構(gòu)建一個(gè)性價(jià)比高，功能方便多樣，能夠提供科技先進(jìn)的信息教

學(xué)環(huán)境，就要求校方在構(gòu)建校園網(wǎng)時(shí)做到校園網(wǎng)是一個(gè)寬帶，具有交互功能和

專業(yè)性很強(qiáng)的局域網(wǎng)絡(luò)。并且基于一個(gè)學(xué)校內(nèi)有多個(gè)部門，也可以形成多個(gè)局

域網(wǎng)并通過有線無線的方式相互連接。

1.2項(xiàng)目簡介

五星中學(xué)網(wǎng)絡(luò)組織架構(gòu)為核心機(jī)房到各年級、學(xué)校部門的分部框架，兩者

之間網(wǎng)絡(luò)傳輸包括數(shù)據(jù)應(yīng)用、視頻/語音應(yīng)用和將來的校園云應(yīng)用。針對該五星

中學(xué)的系統(tǒng)業(yè)務(wù)特點(diǎn)和網(wǎng)絡(luò)架構(gòu)而設(shè)計(jì)，核心機(jī)房采用一臺華為核心交換機(jī)

S5700，保障總部網(wǎng)絡(luò)的高可靠性，接入層采用5臺華為S3700。為了確保鏈路

的穩(wěn)定性和可靠性，學(xué)校網(wǎng)絡(luò)主線路多次使用鏈路聚合，實(shí)行穩(wěn)定冗余的原則。

各個(gè)邊界路由器選用華為AR2220，通過以太網(wǎng)專線和核心機(jī)房高性能路由器

AR2220互連；針對五星中學(xué)網(wǎng)絡(luò)系統(tǒng)具體情況，比較了各種路由技術(shù)在先進(jìn)

性、可靠性、實(shí)用性和開放性等方面的優(yōu)劣，校園局域網(wǎng)內(nèi)部選用ACL或者

DHCP協(xié)議作為基礎(chǔ)實(shí)現(xiàn)校內(nèi)外限制性互通，各年級、部門之間高效的進(jìn)行路

由信息的承載和傳遞。

1

湖南商務(wù)職業(yè)技術(shù)學(xué)院畢業(yè)設(shè)計(jì)

2網(wǎng)絡(luò)需求分析

2.1目的及要求

中學(xué)網(wǎng)絡(luò)需求：

1、中學(xué)網(wǎng)絡(luò)中所有業(yè)務(wù)IP地址參考IP地址規(guī)劃表。

2、局域網(wǎng)使用VLAN技術(shù)進(jìn)行業(yè)務(wù)二層隔離，不同業(yè)務(wù)部門劃分到不同

的VLAN；其中總部主要業(yè)務(wù)分別有初一（vlan10）、初二（vlan20）、初三（vlan30）、

教務(wù)管理（vlan40）和服務(wù)器區(qū)（vlan50）。

3、為保障網(wǎng)絡(luò)的高可靠性，核心機(jī)房采用多鏈路設(shè)計(jì)架構(gòu)，核心交換機(jī)與

接入交換機(jī)通過多鏈路連接，提供網(wǎng)絡(luò)冗余并且實(shí)現(xiàn)流量的負(fù)載均衡，高效傳

遞路由信息，具體地址配置請參照IP地址分配表；

4、核心機(jī)房內(nèi)核心交換機(jī)WXZX-HX1做DHCPServer，為各分部用戶動

態(tài)分配IP地址，合理高效的利用Ip地址，提高了校園網(wǎng)絡(luò)的便捷性、高效性。

5、核心機(jī)房邊界路由器接入互聯(lián)網(wǎng)，同時(shí)將內(nèi)部對外服務(wù)器通過Nat技術(shù)

映射到公網(wǎng)實(shí)現(xiàn)公網(wǎng)外部訪問，打通了網(wǎng)絡(luò)環(huán)境，實(shí)現(xiàn)私網(wǎng)與公網(wǎng)的互通。

6、學(xué)校內(nèi)部有流量訪問控制需求：

(1)校內(nèi)服務(wù)器只允許教務(wù)管理部門訪問，不允許其他部門訪問；

(2)初一、初二、初三只允許校內(nèi)網(wǎng)絡(luò)互訪，外網(wǎng)均不允許訪問；

(3)外網(wǎng)服務(wù)器、教務(wù)管理訪允許訪問外網(wǎng)，外網(wǎng)不允許訪問校內(nèi)服務(wù)器；

2.2預(yù)期目標(biāo)

項(xiàng)目的目標(biāo)是：“制定設(shè)計(jì)規(guī)范、功能齊全、性能良好、可靠性好、容錯性

高、可擴(kuò)展性好，擁有更可靠穩(wěn)定且高帶寬的網(wǎng)絡(luò)，在骨干網(wǎng)絡(luò)上應(yīng)該有足夠

的帶寬，應(yīng)當(dāng)保留一定的冗余作為突然數(shù)據(jù)的傳輸使用，降低傳輸延遲。效率

高、速度快，以低成本的方式提高公司員工的工作效率和執(zhí)行效率”。建設(shè)校園

核心網(wǎng)絡(luò)和服務(wù)器，以實(shí)現(xiàn)生產(chǎn)運(yùn)營系統(tǒng)的運(yùn)行。

第一，要進(jìn)行對象研究和需求調(diào)查，明確學(xué)校的性質(zhì)、任務(wù)和改革發(fā)展的

主系統(tǒng)建設(shè)的需求和條件，對學(xué)校的信息化環(huán)境進(jìn)行準(zhǔn)確的描述;

第二，在應(yīng)用需求分析的基礎(chǔ)上，確定學(xué)校服務(wù)類型，進(jìn)而確定系統(tǒng)建設(shè)

的目標(biāo)，包括網(wǎng)絡(luò)設(shè)施、站點(diǎn)設(shè)置、開發(fā)應(yīng)用和管理等的目標(biāo);

第三，確定網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)和功能，根據(jù)應(yīng)用需求建設(shè)目標(biāo)和學(xué)校的主要建

筑分布特點(diǎn)，進(jìn)行系統(tǒng)分析和設(shè)計(jì);

第四，確定技術(shù)設(shè)計(jì)的原則要求，如在技術(shù)選型、布線設(shè)計(jì)、設(shè)備選擇、

2

湖南商務(wù)職業(yè)技術(shù)學(xué)院畢業(yè)設(shè)計(jì)

軟件配置等方面的標(biāo)準(zhǔn)和要求;

第五，規(guī)劃校園網(wǎng)建設(shè)的實(shí)施步驟。

校園網(wǎng)總體設(shè)計(jì)方案的科學(xué)性，應(yīng)該體現(xiàn)在能否滿足以下基本要求方面：

(1)整體規(guī)劃安排;

(2)先進(jìn)性、開放性和標(biāo)準(zhǔn)化相結(jié)合;

(3)結(jié)構(gòu)合理，便于維護(hù);

(4)高效實(shí)用;

(5)支持寬帶多媒體業(yè)務(wù);

(6)能夠?qū)崿F(xiàn)快速信息交流、協(xié)同工作和形象展示。

3相關(guān)技術(shù)原理

3.1VLAN技術(shù)原理

VLAN（VirtualLocalAreaNetwork）即虛擬局域網(wǎng)，是將一個(gè)物理的LAN

在邏輯上劃分成多個(gè)廣播域的通信技術(shù)。每個(gè)VLAN是一個(gè)廣播域，VLAN內(nèi)

的主機(jī)間可以直接通信，而VLAN間則不能直接互通。這樣，廣播報(bào)文就被限

制在一個(gè)VLAN內(nèi)。VLAN的常見使用場景包括：VLAN間用戶的二層隔離，

VLAN間用戶的三層互訪。

圖1vlan交互圖

3.2DHCP技術(shù)原理

動態(tài)主機(jī)配置協(xié)議DHCP（DynamicHostConfigurationProtocol）是一種網(wǎng)

絡(luò)管理協(xié)議，用于集中對用戶IP地址進(jìn)行動態(tài)管理和配置。DHCP于1993年

10月成為標(biāo)準(zhǔn)協(xié)議，其前身是BOOTP協(xié)議。DHCP協(xié)議由RFC2131定義，

3

湖南商務(wù)職業(yè)技術(shù)學(xué)院畢業(yè)設(shè)計(jì)

采用客戶端/服務(wù)器通信模式，由客戶端（DHCPClient）向服務(wù)器（DHCPServer）

提出配置申請，DHCPServer為網(wǎng)絡(luò)上的每個(gè)設(shè)備動態(tài)分配IP地址、子網(wǎng)掩碼、

默認(rèn)網(wǎng)關(guān)地址，域名服務(wù)器（DNS）地址和其他相關(guān)配置參數(shù)，以便可以與其

他IP網(wǎng)絡(luò)通信。

圖2DHCP報(bào)文交互圖

3.3鏈路聚合技術(shù)原理

鏈路聚合（LinkAggregation）亦稱主干技術(shù)（Trunking）或捆綁技術(shù)

（Bonding），是將—組物理接口捆綁在一起作為一個(gè)邏輯接口來增加帶寬的一

種方法。隨著網(wǎng)絡(luò)規(guī)模不斷擴(kuò)大，用戶對骨干鏈路的帶寬及可靠性要求越來越

高。在傳統(tǒng)技術(shù)中，常更換高速率接口板卡或高速率設(shè)備來增加帶寬，但這種

方案成本高，且不夠靈活。采用鏈路聚合技術(shù)可以在不進(jìn)行硬件升級的條件下，

將多個(gè)物理接口捆綁為一個(gè)邏輯接口，實(shí)現(xiàn)增加鏈路帶寬的目的。鏈路聚合技

術(shù)不僅有效的提高鏈路可靠性和增加鏈路帶寬，還實(shí)現(xiàn)流量在不同物理鏈路上

的負(fù)載分擔(dān)。

4

湖南商務(wù)職業(yè)技術(shù)學(xué)院畢業(yè)設(shè)計(jì)

圖3鏈路聚合建立過程圖

3.4NAT技術(shù)原理

網(wǎng)絡(luò)地址轉(zhuǎn)換(NAT,NetworkAddressTranslation)屬接入廣域網(wǎng)(WAN)技術(shù)，

是一種將私有（保留）地址轉(zhuǎn)化為合法IP地址的轉(zhuǎn)換技術(shù)，它被廣泛應(yīng)用于各

種類型Internet接入方式和各種類型的網(wǎng)絡(luò)中。原因很簡單，NAT不僅完美地

解決了IP地址不足的問題，而且還能夠有效地避免來自網(wǎng)絡(luò)外部的攻擊，隱藏

并保護(hù)網(wǎng)絡(luò)內(nèi)部的計(jì)算機(jī)。

圖4NAT工作原理圖

3.5ACL技術(shù)原理

訪問控制列表ACL（AccessControlList）是由一條或多條規(guī)則組成的集合。

所謂規(guī)則，是指描述報(bào)文匹配條件的判斷語句，這些條件可以是報(bào)文的源地址、

目的地址、端口號等。ACL本質(zhì)上是一種過濾器，規(guī)則是過濾器的濾芯。設(shè)備

基于這些規(guī)則進(jìn)行報(bào)文匹配，可以過濾出特定的報(bào)文，并根據(jù)應(yīng)用ACL的業(yè)務(wù)

模塊的處理策略來允許或阻止該報(bào)文通過。

5

湖南商務(wù)職業(yè)技術(shù)學(xué)院畢業(yè)設(shè)計(jì)

圖5ACL原理圖

3.6Telnet技術(shù)原理

Telnet協(xié)議可以在任何主機(jī)或者任何終端之間。無論客戶終端是什么類型，

操作系統(tǒng)也會將NVT格式轉(zhuǎn)換成服務(wù)器終端所支持的類型。那么，可以屏蔽

具體的客戶端和終端類型，簡單地認(rèn)為telnet雙方都連接在NVT上。telnet連

接的兩端，通過"WILL、WONT、DO、DONT"請求來進(jìn)行選項(xiàng)協(xié)商，從而確

定telnet服務(wù)費(fèi)具體內(nèi)容。這些選項(xiàng)包括回顯、改變命令字符集、行方式等。

圖6Telnet原理圖

3.7默認(rèn)路由技術(shù)原理

默認(rèn)路由是一種特殊的靜態(tài)路由，是當(dāng)路由表中與數(shù)據(jù)包的目的地址之間

沒有匹配表項(xiàng)時(shí)路由器做出的選擇。如果沒有默認(rèn)路由，那么目的地址在路由

表中沒有匹配表項(xiàng)的數(shù)據(jù)包將被丟棄。

默認(rèn)路由在有些時(shí)候會非常有效，當(dāng)存在末梢網(wǎng)絡(luò)（StubNetwork）時(shí)，

默認(rèn)路由會大大簡化路由器的配置，減輕管理員的工作負(fù)擔(dān)，提高網(wǎng)絡(luò)性能。

那么，什么是末梢網(wǎng)絡(luò)呢?末梢網(wǎng)絡(luò)是這樣一種網(wǎng)絡(luò)∶只有一個(gè)唯一的路徑

能夠到達(dá)其他網(wǎng)絡(luò)。如下圖所示的路由器B右側(cè)的網(wǎng)絡(luò)就是一個(gè)末

梢網(wǎng)絡(luò)。這個(gè)網(wǎng)絡(luò)中的主機(jī)要訪問其他網(wǎng)絡(luò)必須通過路由器B和路由器A，沒

有第二條路徑，這樣就可以在路由器B上配置一條默認(rèn)路由。只要是網(wǎng)絡(luò)

中的主機(jī)要訪問其他網(wǎng)絡(luò)，這樣的數(shù)據(jù)包發(fā)送到路由器B后，路由

器B就會按照默認(rèn)路由來轉(zhuǎn)發(fā)（轉(zhuǎn)發(fā)到路由器A的S0接口），而不管該數(shù)據(jù)

包的目的地址到底是哪個(gè)網(wǎng)絡(luò)。

另外，適當(dāng)?shù)厥褂媚J(rèn)路由還可以減小路由表的大小。網(wǎng)絡(luò)管理員有時(shí)會

這樣配置路由表，即在路由表中只添加少數(shù)的靜態(tài)路由，同時(shí)添加一條默認(rèn)路

6

湖南商務(wù)職業(yè)技術(shù)學(xué)院畢業(yè)設(shè)計(jì)

由。這樣當(dāng)收到的數(shù)據(jù)包的目的網(wǎng)絡(luò)沒有包含在路由表中時(shí)，就按照默認(rèn)路由

來轉(zhuǎn)發(fā)（當(dāng)然默認(rèn)路由有可能不是最好的路由）。

圖7默認(rèn)路由原理圖

4網(wǎng)絡(luò)規(guī)劃與設(shè)計(jì)

4.1網(wǎng)絡(luò)拓?fù)湓O(shè)計(jì)

多鏈路結(jié)構(gòu)設(shè)計(jì)，主要采用兩層架構(gòu)，實(shí)現(xiàn)二層設(shè)備和三層設(shè)備的穩(wěn)定冗

余功能，利用三層的功能，劃分為核心層、接入層。各層之間功能相互獨(dú)立、

清晰。在方案設(shè)計(jì)中遵循可靠性原則、安全性原則、兼容性原則、實(shí)用性原則、

可擴(kuò)展性原則、經(jīng)濟(jì)性原則。

7

湖南商務(wù)職業(yè)技術(shù)學(xué)院畢業(yè)設(shè)計(jì)

圖8網(wǎng)絡(luò)架構(gòu)圖

4.2IP地址規(guī)劃與設(shè)備互聯(lián)規(guī)劃

要求所有業(yè)務(wù)網(wǎng)段使用/24位子網(wǎng)段；

地址規(guī)劃要求：相鄰業(yè)務(wù)規(guī)劃必須具有連續(xù)性；內(nèi)網(wǎng)不同業(yè)務(wù)地址段具有

唯一性；全網(wǎng)地址規(guī)劃需要保證可擴(kuò)展性（預(yù)留一定的地址段）；

本網(wǎng)采用先地區(qū)后業(yè)務(wù)劃分方法進(jìn)行IP地址分配。

表1IP地址規(guī)劃

設(shè)備接口IP地址描述

各部用戶DHCPDHCP自動獲取IP

Vlan10/24初一部地址

Vlan20/24初二部地址

Vlan30/24初三部地址

WXZX-HX1Vlan40/24教務(wù)管理部地址

Vlan5054/24服務(wù)器區(qū)地址

Vlan100100.1.1.表1IP地址連接總部邊界路由器

規(guī)劃1/24AR1的G0/0/7

G0/0/0/24連接WXZX-HX1的

G0/0/7

AR1G0/0/1/30連接外網(wǎng)AR2的

G0/0/1

校內(nèi)服務(wù)器/24連接接入

服務(wù)器HXZX-FWQ的e0/0/3

外網(wǎng)服務(wù)器/24連接接入

HXZX-FWQ的e0/0/4

8

湖南商務(wù)職業(yè)技術(shù)學(xué)院畢業(yè)設(shè)計(jì)

4.3設(shè)備選型

4.3.1路由器的選型:

表2路由器的選型

產(chǎn)品型號華為AR2220-S產(chǎn)品圖片

產(chǎn)品類型企業(yè)級路由器

3個(gè)GE（1個(gè)Combo）

2個(gè)USB2.0端口

1個(gè)Mini-USB控制臺端

可用模塊口

1個(gè)串行輔助/控制臺端

口

擴(kuò)展:4個(gè)SIC插槽+2個(gè)

WSIC插槽+1個(gè)DSP插

槽

業(yè)務(wù)板槽7個(gè)

傳輸速率10/100/1000Mbps

包轉(zhuǎn)發(fā)率1Mpps

需求數(shù)量2臺

內(nèi)置防火墻；Qos支持；VPN支持

網(wǎng)絡(luò)安全:ACL、防火墻、802.1x認(rèn)證、MAC地址認(rèn)證、Web

認(rèn)證、AAA認(rèn)證、RADIUS認(rèn)證、HWTACACS認(rèn)證、廣播

風(fēng)暴抑制、ARP安全、ICMP反攻擊、URPF、IPSourceGuard、

轉(zhuǎn)發(fā)性能DHCPSnooping、CPCAR、黑名單、攻擊源追蹤

網(wǎng)絡(luò)管理:升級管理、設(shè)備管理、Web網(wǎng)管、GTL、SNMP、

RMON、RMON2、NTP、CWMP、Auto-Config、U盤開局、

NetConf

9

湖南商務(wù)職業(yè)技術(shù)學(xué)院畢業(yè)設(shè)計(jì)

4.3.2交換機(jī)的選型:

表3交換機(jī)的選型

產(chǎn)品型號華為S5700-28C-EI產(chǎn)品圖片

產(chǎn)品類型千兆以太網(wǎng)交換機(jī)

336Gbps/3.36T

交換容

量

包轉(zhuǎn)發(fā)102Mpps

率

端口極24個(gè)10/100/1000Base-T

限端口

需求數(shù)量1臺

網(wǎng)絡(luò)標(biāo)準(zhǔn):IEEE802.3，IEEE802.3u，IEEE802.3ab，IEEE802.3z，

IEEE802.3x，IEEE802.1Q，IEEE802.1d，IEEE802.1X

VLAN:支持4K個(gè)VLAN,支持GuestVLAN、VoiceVLAN,支持基于

MAC/協(xié)議/IP子網(wǎng)/策略/端口的VLAN,支持1:1和N:1VLAN交換功

轉(zhuǎn)發(fā)性能能

組播管理:支持IGMPv1/v2/v3Snooping和快速離開機(jī)制,支持

VLAN內(nèi)組轉(zhuǎn)發(fā)和組播,多VLAN復(fù)制,支持捆綁端口的組播負(fù)載分

擔(dān),支持可控組播,基于端口的組播流量統(tǒng)計(jì),IGMPv1/v2/v3、

PIM-SM、PIM-DM、PIM-SSM

網(wǎng)絡(luò)管理:支持堆疊

支持MFF;支持虛擬電纜檢測（VirtualCableTest）

支持端口鏡像和RSPAN（遠(yuǎn)程端口鏡像）

支持Telnet遠(yuǎn)程配置、維護(hù)

支持SNMPv1/v2/v3;支持RMON

支持網(wǎng)管系統(tǒng)、支持WEB網(wǎng)管特性

支持集群管理HGMP;支持系統(tǒng)日志、分級告警

支持GVRP協(xié)議;支持MUXVLAN功能

10

湖南商務(wù)職業(yè)技術(shù)學(xué)院畢業(yè)設(shè)計(jì)

表4華為交換機(jī)

產(chǎn)品型號華為S3700-28TP-EI

產(chǎn)品圖片

產(chǎn)品類型企業(yè)級交換機(jī)

交換容量10/100Mbps

包轉(zhuǎn)發(fā)率9.6Mpps

24個(gè)10/100Base-TX端口，

2個(gè)1000Base-XSFP端口，

端口極限2個(gè)千兆Combo口

（10/100/1000Base-T或

100/1000Base-X）

需求數(shù)量5臺1

VLAN:支持4K個(gè)VLAN

支持GuestVLAN、VoiceVLAN、SuperVLAN;支持基于MAC/協(xié)議/IP

子網(wǎng)的VLAN;支持QinQ功能;支持靈活QinQ功能;

支持1:1VLAN交換功能

支持N:1VLAN交換功能

QOS:支持對端口接收和發(fā)送報(bào)文的速率進(jìn)行限制;支持報(bào)文重定

向;

轉(zhuǎn)發(fā)性能支持基于端口的流量監(jiān)管，支持雙速三色CAR功能

每端口支持8個(gè)優(yōu)先級隊(duì)列

支持WRR、DRR、SP、WRRSP、DRR+SP等隊(duì)列調(diào)度算法

支持報(bào)文的802.1p和DSCP優(yōu)先級重新標(biāo)記

支持L2（Layer2）-L4（Layer4）包過濾功能，提供基于源MAC地

址、目的MAC地址、源IP地

址、目的IP地址、端口、協(xié)議、VLAN的非法幀過濾功能

支持基于隊(duì)列限速和端口Shapping功能

11

湖南商務(wù)職業(yè)技術(shù)學(xué)院畢業(yè)設(shè)計(jì)

5項(xiàng)目實(shí)施

5.1設(shè)備改名

表5設(shè)備的改名

[Huawei]sysnameWXZX-HX1修改中心機(jī)房核心設(shè)備名稱為

WXZX-HX1

[Huawei]sysnameBJ-AR1修改邊界設(shè)備名稱為BJ-AR1

[Huawei]sysnameHXZX-FWQ修改服務(wù)器接入設(shè)備名稱

HXZX-FWQ

5.2設(shè)備管理安全性

為了提高設(shè)備管理的安全性，需要配置登錄權(quán)限。配置核心交換機(jī)、邊界

路由等設(shè)備的CONSOLE登錄口令為y123456

表6配置設(shè)備的登錄權(quán)限

WXZX-HX1

[WXZX-HX1]user-interfaceconsole0進(jìn)入Console用戶界面視圖

[WXZX-HX1-ui-console0]password模式即為密碼認(rèn)證

authentication-modepassword

[WXZX-HX1-ui-console0]set配置密文密碼

authenticationpasswordciphery123456

[WXZX-HX1-ui-console0]quit返回系統(tǒng)視圖

HXZX-FWQ

[HXZX-FWQ]user-interfaceconsole0進(jìn)入Console用戶界面視圖

[HXZX-FWQ-ui-console0]password模式即為密碼認(rèn)證

authentication-modepassword

[HXZX-FWQ-ui-console0]set配置密文密碼

authenticationpasswordciphery123456

[HXZX-FWQ-ui-console0]quit返回系統(tǒng)視圖

BJ-AR1

[BJ-AR1]user-interfaceconsole0進(jìn)入Console用戶界面視圖

12

湖南商務(wù)職業(yè)技術(shù)學(xué)院畢業(yè)設(shè)計(jì)

[BJ-AR1-ui-console0]password模式即為密碼認(rèn)證

authentication-modepassword

[BJ-AR1-ui-console0]setauthentication配置密文密碼

passwordciphery123456

[BJ-AR1-ui-console0]quit返回系統(tǒng)視圖

5.3VLAN配置

表7WXZX-HX1-VLAN的配置

WXZX-HX1

[WXZX-HX1]vlan10創(chuàng)建初一部VLAN10

[WXZX-HX1]vlan20創(chuàng)建初二部VLAN20

[WXZX-HX1]vlan30創(chuàng)建初三部VLAN30

[WXZX-HX1]vlan40創(chuàng)建教務(wù)管理部VLAN40

[WXZX-HX1]vlan50創(chuàng)建服務(wù)器VLAN50

[WXZX-HX1]vlan100創(chuàng)建上行接口VLAN100

劃分接口

[WXZX-HX1]interfaceEth-Trunk1進(jìn)入接口

[WXZX-HX1-Eth-Trunk1]portlink-typetrunk接口模式配置成trunk

[WXZX-HX1-Eth-Trunk1]porttrunkallow-passvlan將接口劃分到VLAN10，20，

102030405030，40，50

[WXZX-HX1]interfaceGigabitEthernet0/0/1進(jìn)入接口

[WXZX-HX1-GigabitEthernet0/0/1]portlink-type接口模式配置成trunk

trunk

[WXZX-HX1-GigabitEthernet0/0/1]porttrunk將接口劃分到VLAN10，20，

allow-passvlan102030405030，40，50

[WXZX-HX1]interfaceGigabitEthernet0/0/2進(jìn)入接口

[WXZX-HX1-GigabitEthernet0/0/2]portlink-type接口模式配置成trunk

trunk

[WXZX-HX1-GigabitEthernet0/0/2]porttrunk將接口劃分到VLAN10，20，

allow-passvlan102030405030，40，50

[WXZX-HX1]interfaceEth-Trunk2進(jìn)入接口

[WXZX-HX1-Eth-Trunk2]portlink-typetrunk接口模式配置成trunk

13

湖南商務(wù)職業(yè)技術(shù)學(xué)院畢業(yè)設(shè)計(jì)

[WXZX-HX1-Eth-Trunk2]porttrunkallow-passvlan將接口劃分到VLAN10，20，

102030405030，40，50

[WXZX-HX1]interfaceGigabitEthernet0/0/3進(jìn)入接口

[WXZX-HX1-GigabitEthernet0/0/3]portlink-type接口模式配置成trunk

trunk

[WXZX-HX1-GigabitEthernet0/0/3]porttrunk將接口劃分到VLAN10，20，

allow-passvlan102030405030，40，50

[WXZX-HX1]interfaceGigabitEthernet0/0/4進(jìn)入接口

[WXZX-HX1-GigabitEthernet0/0/4]portlink-type接口模式配置成trunk

trunk

[WXZX-HX1-GigabitEthernet0/0/4]porttrunk將接口劃分到VLAN10，20，

allow-passvlan102030405030，40，50

[WXZX-HX1]interfaceEth-Trunk3進(jìn)入接口

[WXZX-HX1-Eth-Trunk3]portlink-typetrunk接口模式配置成trunk

[WXZX-HX1-Eth-Trunk3]porttrunkallow-passvlan將接口劃分到VLAN10，20，

102030405030，40，50

[WXZX-HX1]interfaceGigabitEthernet0/0/5進(jìn)入接口

[WXZX-HX1-GigabitEthernet0/0/5]portlink-type接口模式配置成trunk

trunk

[WXZX-HX1-GigabitEthernet0/0/5]porttrunk將接口劃分到VLAN10，20，

allow-passvlan102030405030，40，50

[WXZX-HX1]interfaceGigabitEthernet0/0/6進(jìn)入接口

[WXZX-HX1-GigabitEthernet0/0/6]portlink-type接口模式配置成trunk

trunk

[WXZX-HX1-GigabitEthernet0/0/6]porttrunk將接口劃分到VLAN10，20，

allow-passvlan102030405030，40，50

[WXZX-HX1]interfaceGigabitEthernet0/0/7進(jìn)入接口

[WXZX-HX1-GigabitEthernet0/0/7]portlink-type接口模式配置成Acess

access

[WXZX-HX1-GigabitEthernet0/0/7]portdefaultvlan將接口劃分到VLAN100

100

配置聚合組

14

湖南商務(wù)職業(yè)技術(shù)學(xué)院畢業(yè)設(shè)計(jì)

[WXZX-HX1]interfaceGigabitEthernet0/0/1進(jìn)入接口

[WXZX-HX1-GigabitEthernet0/0/1]eth-trunk1加入聚合口eth-trunk1

[WXZX-HX1]interfaceGigabitEthernet0/0/2進(jìn)入接口

[WXZX-HX1-GigabitEthernet0/0/2]eth-trunk1加入聚合口eth-trunk1

[WXZX-HX1]interfaceGigabitEthernet0/0/3進(jìn)入接口

[WXZX-HX1-GigabitEthernet0/0/3]eth-trunk2加入聚合口eth-trunk2

[WXZX-HX1]interfaceGigabitEthernet0/0/4進(jìn)入接口

[WXZX-HX1-GigabitEthernet0/0/4]eth-trunk2加入聚合口eth-trunk2

[WXZX-HX1]interfaceGigabitEthernet0/0/5進(jìn)入接口

[WXZX-HX1-GigabitEthernet0/0/5]eth-trunk3加入聚合口eth-trunk3

[WXZX-HX1]interfaceGigabitEthernet0/0/6進(jìn)入接口

[WXZX-HX1-GigabitEthernet0/0/6]eth-trunk3加入聚合口eth-trunk3

配置VLANIF

[WXZX-HX1-Vlanif10]ipaddress配置IP地址

[WXZX-HX1]intvlan20進(jìn)入VLAN20

[WXZX-HX1-Vlanif20]ipaddress配置IP地址

[WXZX-HX1]intvlan30進(jìn)入VLAN30

[WXZX-HX1-Vlanif30]ipaddress配置IP地址

[WXZX-HX1]intvlan40進(jìn)入VLAN40

[WXZX-HX1-Vlanif40]ipaddress配置IP地址

[WXZX-HX1]intvlan50進(jìn)入VLAN50

[WXZX-HX1-Vlanif50]ipaddress54配置IP地址

[WXZX-HX1]intvlan100進(jìn)入VLAN100

[WXZX-HX1-Vlanif100]ipaddress配置IP地址

15

湖南商務(wù)職業(yè)技術(shù)學(xué)院畢業(yè)設(shè)計(jì)

5.4DHCP配置

DHCP（DynamicHostConfigurationProtocol）動態(tài)主機(jī)配置協(xié)議，它由

BOOTP（Bootstrap的Protocol）開發(fā)，是IETF為實(shí)現(xiàn)IP的自動配置而設(shè)計(jì)的協(xié)

議?？勺詣訛榭蛻舳朔峙銲P地址、子網(wǎng)掩碼、默認(rèn)網(wǎng)關(guān)、DNS、IP地址服務(wù)器

等TCP/IP參數(shù)。DHCP協(xié)議的信息被封裝在UDP。

表8WXZX-HX1-DHCP的配置

[WXZX-HX1]ippoolcy創(chuàng)建名為cy的地址池

[WXZX-HX1-ip-pool-cy]gateway-list54配置DHCP網(wǎng)關(guān)

[WXZX-HX1-ip-pool-cy]配置動態(tài)IP地址范圍

networkmask

[WXZX-HX1-ip-pool-cy]指定DNS服務(wù)器

dns-list14

[WXZX-HX1]ippoolcr創(chuàng)建名為cr的地址池

[WXZX-HX1-ip-pool-cr]gateway-list54配置DHCP網(wǎng)關(guān)

[WXZX-HX1-ip-pool-cr]配置動態(tài)IP地址范圍

networkmask

[WXZX-HX1-ip-pool-cr]指定DNS服務(wù)器

dns-list14

[WXZX-HX1]ippoolcs創(chuàng)建名為cs的地址池

[WXZX-HX1-ip-pool-cs]gateway-list54配置DHCP網(wǎng)關(guān)

[WXZX-HX1-ip-pool-cs]配置動態(tài)IP地址范圍

networkmask

[WXZX-HX1-ip-pool-cs]指定DNS服務(wù)器

dns-list14

[WXZX-HX1]ippooljwgl創(chuàng)建名為jwgl的地址池

[WXZX-HX1-ip-pool-jwgl]gateway-list54配置DHCP網(wǎng)關(guān)

[WXZX-HX1-ip-pool-jwgl]配置動態(tài)IP地址范圍

networkmask

[WXZX-HX1-ip-pool-jwgl]指定DNS服務(wù)器

dns-list14

16

湖南商務(wù)職業(yè)技術(shù)學(xué)院畢業(yè)設(shè)計(jì)

[WXZX-HX1-Vlanif10]dhcpselectglobal接口設(shè)置全局DHCP

[WXZX-HX1-Vlanif20]dhcpselectglobal接口設(shè)置全局DHCP

[WXZX-HX1-Vlanif30]dhcpselectglobal接口設(shè)置全局DHCP

[WXZX-HX1-Vlanif40]dhcpselectglobal接口設(shè)置全局DHCP

5.5鏈路聚合配置

通信負(fù)載分布在多個(gè)鏈路上,所以鏈路聚合有時(shí)稱為負(fù)載平衡。但是負(fù)載平

衡作為一種數(shù)據(jù)中心技術(shù),利用該技術(shù)可以將來自客戶機(jī)的請求分布到兩個(gè)或

更多的服務(wù)器上。聚合有時(shí)被稱為反復(fù)用或IMUX。如果多路復(fù)用是將多個(gè)

低速信道合成為一個(gè)單個(gè)的高速鏈路的聚合,那么反復(fù)用就是在多個(gè)鏈路上的

數(shù)據(jù)“分散”。它允許以某種增量尺度配置分?jǐn)?shù)帶寬,以滿足帶寬要求。鏈路聚合

也稱為中繼。

表9WXZX-HX1鏈路聚合配置

創(chuàng)建聚合組

[WXZX-HX1]intEth-Trunk1

Eth-Trunk1

[WXZX-HX1-Eth-Trunk1]portlink-typetrunk修改接口模式為trunk

[WXZX-HX1-Eth-Trunk1]porttrunkallow-passvlan1020

設(shè)置放行的vlan

304050

[WXZX-HX1]intg0/0/1

[WXZX-HX1-GigabitEthernet0/0/1]eth-trunk1

[WXZX-HX1]intg0/0/2對應(yīng)接口加入

聚合組

[WXZX-HX1-GigabitEthernet0/0/2]eth-trunk1

創(chuàng)建聚合組

[WXZX-HX1]intEth-Trunk2

Eth-Trunk1

[WXZX-HX1-Eth-Trunk2]portlink-typetrunk修改接口模式為trunk

17

湖南商務(wù)職業(yè)技術(shù)學(xué)院畢業(yè)設(shè)計(jì)

[WXZX-HX1-Eth-Trunk2]porttrunkallow-passvlan1020

設(shè)置放行的vlan

304050

[WXZX-HX1]intg0/0/3

[WXZX-HX1-GigabitEthernet0/0/3]eth-trunk2

對應(yīng)接口加入

聚合組

[WXZX-HX1]intg0/0/4

[WXZX-HX1-GigabitEthernet0/0/4]eth-trunk2

創(chuàng)建聚合組

[WXZX-HX1]intEth-Trunk3

Eth-Trunk1

[WXZX-HX1-Eth-Trunk3]portlink-typetrunk修改接口模式為trunk

[WXZX-HX1-Eth-Trunk3]porttrunkallow-passvlan1020

設(shè)置放行的vlan

304050

[WXZX-HX1]intg0/0/5

[WXZX-HX1-GigabitEthernet0/0/5]eth-trunk2

對應(yīng)接口加入

聚合組

[WXZX-HX1]intg0/0/6

[WXZX-HX1-GigabitEthernet0/0/6]eth-trunk2

5.6NAT配置

NAT(NetworkAddressTranslation,網(wǎng)絡(luò)地址轉(zhuǎn)換)，由于IPV4地址正在枯竭，

未解決IPV4地址空間不足的情況，引入了私有地址的使用，但由于私有地址不能

訪問Internet。所以引入IETF標(biāo)準(zhǔn)，允許一個(gè)整體機(jī)構(gòu)以一個(gè)公用IP地址出現(xiàn)

Internet上。它是一種把內(nèi)部私有網(wǎng)絡(luò)地址轉(zhuǎn)換成合法網(wǎng)絡(luò)IP地址的技術(shù)。因此我們可

以認(rèn)為，NAT在一定程度上，能夠有效的解決公網(wǎng)地址不足的問題。

18

湖南商務(wù)職業(yè)技術(shù)學(xué)院畢業(yè)設(shè)計(jì)

表10NAT配置表

[BJ-AR1]acl2000

學(xué)校允許40，50

[BJ-AR1-acl-basic-2000]rule5permitsource55的

網(wǎng)段可以訪問外

[BJ-AR1-acl-basic-2000]rule20permitsource55網(wǎng)

[BJ-AR1]intg0/0/1

在外網(wǎng)接口設(shè)置

[BJ-AR1]ipaddress52

NAT

[BJ-AR1-GigabitEthernet0/0/1]natoutbound2000

[BJ-AR1-GigabitEthernet0/0/1]natserverprotocoltcpglobal將內(nèi)網(wǎng)服務(wù)器發(fā)

wwwinsidewww布到Internet

5.7ACL配置

訪問控制值列表（ACL）,通過ACL可以實(shí)現(xiàn)對網(wǎng)絡(luò)中報(bào)文流的精確識別

和控制，達(dá)到控制網(wǎng)絡(luò)訪問行為、防止網(wǎng)絡(luò)攻擊和提高網(wǎng)絡(luò)帶寬利用率的目的，

從而切實(shí)保障網(wǎng)絡(luò)環(huán)境的安全性和網(wǎng)絡(luò)服務(wù)質(zhì)量的可靠性。應(yīng)用于路由器接口

的指令列表，用于指定哪些數(shù)據(jù)包可以接收轉(zhuǎn)發(fā)，哪些數(shù)據(jù)包需要拒絕。

表11ACL配置表

[BJ-AR1]acl2000

學(xué)校允許40，50的網(wǎng)

[BJ-AR1-acl-basic-2000]rule5permitsource段可以訪問外網(wǎng)

55

[BJ-AR1-acl-basic-2000]rule20permitsource

55

[BJ-AR1]intg0/0/1

在外網(wǎng)接口設(shè)置NAT

[BJ-AR1-GigabitEthernet0/0/1]natoutbound2000

[SH-BJ-AR1-GigabitEthernet4/0/0]natoutbound2000

[HXZX-FWQ]acl2001

19

湖南商務(wù)職業(yè)技術(shù)學(xué)院畢業(yè)設(shè)計(jì)

[HXZX-FWQ-acl-basic-2001]rule5permitsource

55僅允許教務(wù)管理部訪

[HXZX-FWQ]inte0/0/3問校內(nèi)服務(wù)器

[HXZX-FWQ-Ethernet0/0/3]traffic-filteroutboundacl2001

[Huawei]acl2002

[Huawei-acl-basic-2002]rule5permitsource

55LSW2

[Huawei-acl-basic-2002]rule10permitsource

55校內(nèi)網(wǎng)絡(luò)允許互訪

[Huawei-acl-basic-2002]rule15permitsource

55

[Huawei-acl-basic-2002]rule20permitsource

55

[Huawei-acl-basic-2002]rule25permitsource

55

[Huawei]inte0/0/3

[Huawei-Ethernet0/0/3]traffic-filteroutboundacl2002

[Huawei]acl2003

[Huawei-acl-basic-2003]rule5permitsource

55

[Huawei-acl-basic-2003]rule10permitsource

55LSW3

[Huawei-acl-basic-2003]rule15permitsource

55校內(nèi)網(wǎng)絡(luò)允許互訪

[Huawei-acl-basic-2003]rule20permitsource

55

[Huawei-acl-basic-2003]rule25permitsource

55

[Huawei]inte0/0/3

20

湖南商務(wù)職業(yè)技術(shù)學(xué)院畢業(yè)設(shè)計(jì)

[Huawei-Ethernet0/0/3]traffic-filteroutboundacl2003

5.8默認(rèn)路由配置

默認(rèn)路由（Defaultroute），是對IP數(shù)據(jù)包中的目的地址找不到存在的其

他路由時(shí)，路由器所選擇的路由。目的地不在路由器的路由表里的所有數(shù)據(jù)包

都會使用默認(rèn)路由。這條路由一般會連去另一個(gè)路由器，而這個(gè)路由器也同樣

處理數(shù)據(jù)包:如果知道應(yīng)該怎么路由這個(gè)數(shù)據(jù)包，則數(shù)據(jù)包會被轉(zhuǎn)發(fā)到已知的

路由；否則，數(shù)據(jù)包會被轉(zhuǎn)發(fā)到默認(rèn)路由，從而到達(dá)另一個(gè)路由器。每次轉(zhuǎn)發(fā)，

路由都增加了一跳的距離。