湖南商務(wù)職業(yè)技術(shù)學(xué)院畢業(yè)設(shè)計(jì)

目錄

1概述...........................................................................................................................1

1.1背景介紹.........................................................................................................1

1.2需求分析.........................................................................................................1

1.2.1應(yīng)用需求..............................................................................................2

1.2.2性能需求..............................................................................................2

1.2.3網(wǎng)絡(luò)安全特性......................................................................................2

2總體規(guī)劃...................................................................................................................3

2.1項(xiàng)目拓?fù)?........................................................................................................3

2.2IP地址與VLAN規(guī)劃...................................................................................3

3網(wǎng)絡(luò)設(shè)備選型...........................................................................................................4

3.1接入層設(shè)備.....................................................................................................5

3.2核心交換機(jī).....................................................................................................5

3.3路由器.............................................................................................................6

3.4防火墻.............................................................................................................7

4網(wǎng)絡(luò)技術(shù)選型...........................................................................................................8

4.1虛擬局域網(wǎng)技術(shù)（VLAN）..........................................................................8

4.2路由選擇.........................................................................................................8

4.3鏈路聚合（Eth-Trunk）................................................................................9

4.4VRRP..............................................................................................................9

4.5IPsec..............................................................................................................10

5核心設(shè)備配置.........................................................................................................10

5.1IP地址以及VLAN配置.............................................................................10

5.2配置鏈路聚合................................................................................................11

5.3配置MSTP....................................................................................................11

5.4VRRP配置....................................................................................................11

5.5配置DHCP....................................................................................................11

I

湖南商務(wù)職業(yè)技術(shù)學(xué)院畢業(yè)設(shè)計(jì)

5.6配置SSH......................................................................................................12

5.7配置STP.......................................................................................................12

5.8配置IPsec.....................................................................................................13

6網(wǎng)絡(luò)測(cè)試.................................................................................................................14

6.1網(wǎng)絡(luò)連通性測(cè)試...........................................................................................14

6.2VLAN通信測(cè)試...........................................................................................14

6.3態(tài)IP地址獲取測(cè)試.....................................................................................14

6.4SSH測(cè)試......................................................................................................15

7設(shè)計(jì)小結(jié).................................................................................................................15

參考資料........................................................................................................................16

II

湖南商務(wù)職業(yè)技術(shù)學(xué)院畢業(yè)設(shè)計(jì)

璽樸公司網(wǎng)絡(luò)規(guī)劃與設(shè)計(jì)

1概述

1.1背景介紹

中小公司企業(yè)一般對(duì)于網(wǎng)絡(luò)結(jié)構(gòu)不太復(fù)雜，對(duì)于主機(jī)的數(shù)量要求不算太多，

投入的資金成本也比較劃算，服務(wù)器提供的服務(wù)環(huán)境相對(duì)較少。目前像華為、

銳捷、h3c等網(wǎng)絡(luò)設(shè)備廠家專門開發(fā)這種對(duì)于中小企業(yè)的產(chǎn)品，網(wǎng)絡(luò)技術(shù)的成

本就會(huì)逐漸降低。另外，由于互聯(lián)網(wǎng)技術(shù)的告訴發(fā)展，電子技術(shù)也隨著互聯(lián)網(wǎng)

的迅速發(fā)展，無(wú)論是企業(yè)還是公司、個(gè)人都在網(wǎng)絡(luò)上尋找能給自己創(chuàng)造價(jià)值的

信息和資源。尤其是企業(yè)如果想降低生產(chǎn)成本，每個(gè)企業(yè)都知道網(wǎng)絡(luò)信息技術(shù)

給公司提高了所有效益。因此也促進(jìn)了網(wǎng)絡(luò)普及與應(yīng)用，尤其中小企業(yè)網(wǎng)絡(luò)。

公司網(wǎng)絡(luò)技術(shù)方便信息的共享和傳播，同時(shí)也可以對(duì)公司的員工進(jìn)行加強(qiáng)

管理以及約束。除了機(jī)房工作人員需要進(jìn)出機(jī)房，其它的都是使用公司網(wǎng)絡(luò)局

域網(wǎng)和Internet網(wǎng)絡(luò)相互傳播消息;也可以用一些常用的聊天工具，速度快、

效率高。另外公司局域網(wǎng)保證了企業(yè)之間的對(duì)內(nèi)和對(duì)外的信息交流。并且局域

網(wǎng)傳輸速度快，資料的傳輸不用再人工傳送，通過(guò)局域網(wǎng)直接開共享就可以了。

另外WEB服務(wù)器可以使企業(yè)外部客戶更加的了解我們公司的企業(yè)發(fā)展。而且每

天通過(guò)網(wǎng)絡(luò)咨詢購(gòu)買產(chǎn)品的客戶很多。所以現(xiàn)在的社會(huì)網(wǎng)絡(luò)對(duì)于公司企業(yè)來(lái)說(shuō)，

是生存和發(fā)展的根本。

公司網(wǎng)絡(luò)目前存在的問(wèn)題：

（1）員工對(duì)高質(zhì)量帶寬越來(lái)越高；

（2）公司的整個(gè)管理還不夠便捷；

（3）網(wǎng)絡(luò)系統(tǒng)整體的性能不足，安全性有待提高；

（4）VLAN資源不能合理的使用；

（5）沒有整體規(guī)劃好網(wǎng)絡(luò)部署。

1.2需求分析

目前公司有容納總?cè)藬?shù)約為166人。由于辦公需求大，對(duì)上網(wǎng)帶寬要求比

較高，而且對(duì)于公司的信息安全也應(yīng)該做好保障。為了公司更好管理，公司應(yīng)

該設(shè)有網(wǎng)絡(luò)管理監(jiān)控室，其中包括網(wǎng)絡(luò)視頻監(jiān)控防火墻系統(tǒng)以便保障公司實(shí)時(shí)

1

湖南商務(wù)職業(yè)技術(shù)學(xué)院畢業(yè)設(shè)計(jì)

安全性，web服務(wù)器用來(lái)給到員工進(jìn)行一些其他業(yè)務(wù)的需求，管理的網(wǎng)絡(luò)監(jiān)控

室用于維護(hù)公司網(wǎng)絡(luò)安全；地下停車場(chǎng)管理系統(tǒng)以便于員工提高更好的停車服

務(wù)。

1.2.1應(yīng)用需求

公司的需求主要是達(dá)到智能，安全，方便，高效率。對(duì)于員工上班方面應(yīng)

當(dāng)考慮穩(wěn)定的上班、便捷等問(wèn)題；網(wǎng)絡(luò)安全是特別考慮的問(wèn)題。

（1）為了給公司員工提供更方便的智能服務(wù)。應(yīng)該有獨(dú)立的WEB服務(wù)器，

DNS，集成多種服務(wù)到管理主頁(yè)，包括公司其他業(yè)務(wù)。

（2）可靠的網(wǎng)絡(luò)視頻監(jiān)控和防火墻系統(tǒng)，保障公司的基礎(chǔ)安全措施。

（3）隨著數(shù)據(jù)傳輸量需求的日益增高，提供超快速和穩(wěn)定的網(wǎng)絡(luò)連接，滿

足企業(yè)不斷增長(zhǎng)的需求。

（4）網(wǎng)絡(luò)安全；

（5）網(wǎng)絡(luò)管理監(jiān)控室便于維修與實(shí)時(shí)監(jiān)控。

1.2.2性能需求

對(duì)接入層需求而言可以基本滿足，外網(wǎng)帶寬不少于5M；內(nèi)網(wǎng)帶寬不少于

50M。網(wǎng)絡(luò)應(yīng)該滿足可靠性、低延時(shí)、有效的資源利用率、性價(jià)比高等特點(diǎn)。

網(wǎng)絡(luò)出口應(yīng)當(dāng)能夠提供企業(yè)基本的帶寬需求進(jìn)行對(duì)外訪問(wèn)Internet。

1.2.3網(wǎng)絡(luò)安全特性

網(wǎng)絡(luò)安全應(yīng)具有以下五個(gè)方面的特征:

(1)可靠性。提供正確服務(wù)的連續(xù)性。

(2)可用性。提供正確服務(wù)的能力，是可靠性與可維護(hù)性的綜合描述，系統(tǒng)

可靠性越高,可維護(hù)性越好則可用性越高。

(3)可維護(hù)性。網(wǎng)絡(luò)失效后會(huì)在規(guī)定的時(shí)間內(nèi)恢復(fù)到之前的功能。

(4)網(wǎng)絡(luò)控制訪問(wèn)可控性?？刂凭W(wǎng)絡(luò)中信息的流向以及用戶訪問(wèn)的行為方

式，是對(duì)所管轄的網(wǎng)絡(luò)、主機(jī)、和資源的訪問(wèn)行為進(jìn)行有效的控制和管理。

(5)數(shù)據(jù)的保密性。在網(wǎng)絡(luò)安全性中，企業(yè)網(wǎng)絡(luò)信息等加密不會(huì)被未授權(quán)的

用戶獲得。

(6)數(shù)據(jù)的完整性。在網(wǎng)絡(luò)安全性中，阻止非法用戶對(duì)交換數(shù)據(jù)的修改、插

入和刪除。

(7)用戶行為的可信性。用戶身份是真實(shí)的、可鑒別的，但用戶的行為不一

定可信。

2

湖南商務(wù)職業(yè)技術(shù)學(xué)院畢業(yè)設(shè)計(jì)

2總體規(guī)劃

2.1項(xiàng)目拓?fù)?/p>

公司的網(wǎng)絡(luò)結(jié)構(gòu)如下圖1所示：

防火墻R1

遠(yuǎn)程管理

SW3

公司管理網(wǎng)絡(luò)

SW1SW2

網(wǎng)絡(luò)管理

市場(chǎng)部研發(fā)部財(cái)務(wù)部人力部

圖1公司的網(wǎng)絡(luò)拓?fù)鋱D

2.2IP地址與VLAN規(guī)劃

公司VLAN規(guī)劃如表1所示。

表1VLAN地址規(guī)劃表

設(shè)備接口或VLAN二層或三層規(guī)劃VLAN名稱

SW1VLAN10192.168.10.1/24Shichang-FB

SW1VLAN20192.168.20.1/24Yanfa-FB

SW1VLAN30192.168.30.1/24Caiwu-FB

SW1VLAN40192.168.40.1/24Renli-FB

SW1VLAN100192.168.100.1/24Manager

3

湖南商務(wù)職業(yè)技術(shù)學(xué)院畢業(yè)設(shè)計(jì)

SW1Gi0/110.1.1.2/30-

SW1Lookback01.1.1.1/32-

SW2VLAN10192.168.10.2/24Shichang-FB

SW2VLAN20192.168.20.2/24Yanfa-FB

SW2VLAN30192.168.30.2/24Caiwu-FB

SW2VLAN40192.168.40.2/24Renli-FB

SW2VLAN100192.168.100.2/24Manager

SW2Gi0/110.1.1.6/30-

SW2Lookback01.1.1.2/32-

R1Gi0/020.1.1.2/30-

R1S2/016.16.16.1/24-

R1Lookback02.2.2.2/32-

SW3VLAN10Gi0/1-5Shichang-FB

SW3VLAN20Gi0/6-10Yanfa-FB

SW3VLAN30Gi0/11-15Caiwu-FB

SW3VLAN40Gi0/16-20Renli-FB

3網(wǎng)絡(luò)設(shè)備選型

在進(jìn)行設(shè)備選型之前，首先需要對(duì)公司的網(wǎng)絡(luò)需求進(jìn)行深入分析。這包括

對(duì)網(wǎng)絡(luò)帶寬、設(shè)備數(shù)量、接口類型、數(shù)據(jù)傳輸質(zhì)量等方面的要求。通過(guò)對(duì)現(xiàn)有

網(wǎng)絡(luò)架構(gòu)的評(píng)估，明確升級(jí)或替換設(shè)備的具體需求。網(wǎng)絡(luò)安全是企業(yè)網(wǎng)絡(luò)建設(shè)

的重中之重。在設(shè)備選型過(guò)程中，應(yīng)關(guān)注設(shè)備的安全性能，網(wǎng)絡(luò)安全是企業(yè)網(wǎng)

絡(luò)建設(shè)的重中之重。在設(shè)備選型過(guò)程中，應(yīng)關(guān)注設(shè)備的安全性能，如防火墻功

能、入侵檢測(cè)、數(shù)據(jù)加密等。確保所選設(shè)備能夠滿足企業(yè)網(wǎng)絡(luò)安全防護(hù)的需求。

為確保新設(shè)備能夠順利融入現(xiàn)有網(wǎng)絡(luò)架構(gòu),應(yīng)關(guān)注設(shè)備的兼容性。同時(shí)，考慮到

企業(yè)未來(lái)業(yè)務(wù)的發(fā)展，設(shè)備應(yīng)具備一定的擴(kuò)展性,以滿足未來(lái)網(wǎng)絡(luò)升級(jí)的需求。

在設(shè)備選型過(guò)程中，應(yīng)對(duì)不同品牌、型號(hào)的設(shè)備進(jìn)行成本效益分析。綜合考慮

設(shè)備價(jià)格、性能、使用壽命等因素，選擇性價(jià)比最高的設(shè)備。設(shè)備選型完成后，

應(yīng)制定詳細(xì)的部署計(jì)劃，確保設(shè)備能夠順利安裝、調(diào)試并投入使用。

通過(guò)對(duì)以上各方面要求，得出本次網(wǎng)絡(luò)設(shè)備選型的結(jié)論，本方案選擇了HC

品牌的路由器、交換機(jī)等網(wǎng)絡(luò)設(shè)備。建議中應(yīng)包括設(shè)備選型的具體方案、部署

計(jì)劃、維護(hù)措施等，以確保企業(yè)網(wǎng)絡(luò)的穩(wěn)定運(yùn)行和持續(xù)發(fā)展。

表2設(shè)備選型

類型廠商數(shù)量型號(hào)

接入交換機(jī)華為5S3700

核心交換機(jī)華為2S5700

路由器華為2AR3260

4

湖南商務(wù)職業(yè)技術(shù)學(xué)院畢業(yè)設(shè)計(jì)

防火墻華為1USG6000V

3.1接入層設(shè)備

如圖2所示，S3700是華為公司推出的新一代綠色節(jié)能的三層以太網(wǎng)交換

機(jī)，對(duì)公司園區(qū)的匯聚、接入方式的多種應(yīng)用場(chǎng)景，提供簡(jiǎn)單上手的操作方式、

靈活的運(yùn)用VLAN和POE的功能、較好的路由功能和IPv6平滑升級(jí)能力，并通

過(guò)堆疊的融合方式、路由器的冗余效應(yīng)、快速環(huán)網(wǎng)保護(hù)等先進(jìn)的網(wǎng)絡(luò)技術(shù)有效

增強(qiáng)網(wǎng)絡(luò)強(qiáng)健性，能幫助公司搭建高效的Internet網(wǎng)絡(luò)技術(shù)。

圖2S3700接入層交換機(jī)

詳細(xì)參數(shù)如表3所示：

表3S3700參數(shù)

產(chǎn)品型號(hào)S3700-28TP-SI-AC

產(chǎn)品類型快速以太網(wǎng)

應(yīng)用層級(jí)三層

背板帶寬64Gbps

包轉(zhuǎn)發(fā)率9.6Mpps

傳輸方式存儲(chǔ)轉(zhuǎn)發(fā)方式

接口類型10/100BASE-TX

接口數(shù)目28口

堆疊支持可堆疊

VLAN支持支持VLAN功能

MAC地址表8K

網(wǎng)管功能支持網(wǎng)管功能

3.2核心交換機(jī)

S5700交換機(jī)，如圖3所示，千兆企業(yè)網(wǎng)交換機(jī)（簡(jiǎn)稱S5700），是華為公

司為滿足帶寬需求和業(yè)務(wù)拓展而推出的新一代綠色節(jié)能的全千兆高性能以太網(wǎng)

交換機(jī)。

5

湖南商務(wù)職業(yè)技術(shù)學(xué)院畢業(yè)設(shè)計(jì)

圖3S5700

詳細(xì)參數(shù)如表4所示：

表1S5700參數(shù)

產(chǎn)品類型千兆以太網(wǎng)交換機(jī)

應(yīng)用層級(jí)三層

傳輸速率10/100/1000Mbps

交換方式存儲(chǔ)-轉(zhuǎn)發(fā)

背板帶寬256Gbps

包轉(zhuǎn)發(fā)率132Mpps

MAC地址表32K

端口結(jié)構(gòu)非模塊化

端口數(shù)量48個(gè)

擴(kuò)展模塊2個(gè)擴(kuò)展插槽

支持4K個(gè)VLAN，支持基于MAC/協(xié)議/IP子

VLAN

網(wǎng)/策略/端口的VLAN

3.3路由器

如圖4所示，華為AR3260路由器采用嵌入式硬件加密、支持語(yǔ)音的數(shù)字信

號(hào)處理器(DSP)插槽，支持防火墻、處理呼叫信息、語(yǔ)音系統(tǒng)以及應(yīng)用服務(wù)程序，

覆蓋全球最廣泛的有線和無(wú)線模式。

圖4AR3260

AR3260詳細(xì)參數(shù)如表5所示：

6

湖南商務(wù)職業(yè)技術(shù)學(xué)院畢業(yè)設(shè)計(jì)

表2AR3260

路由器類型企業(yè)級(jí)路由器

端口結(jié)構(gòu)模塊化

擴(kuò)展模塊

防火墻內(nèi)置防火墻

Qos支持支持

VPN支持支持

產(chǎn)品內(nèi)存2GB

升級(jí)管理、設(shè)備管理、Web網(wǎng)管、GTL、SNMP、

網(wǎng)絡(luò)管理

RMON、NTP、CWMP

3.4防火墻

如圖5所示，華為USG6000V(UniversalServiceGateway)網(wǎng)絡(luò)資源利用率

高，虛擬資源支持大量用戶使用以及共享。產(chǎn)品具備較好的網(wǎng)關(guān)業(yè)務(wù)能力，根

據(jù)對(duì)虛擬網(wǎng)關(guān)的業(yè)務(wù)需求，按需使用，靈活部署。

圖5MSG4000-F5防火墻

如表6所示USG6000V參數(shù)

表6USG6000V參數(shù)

產(chǎn)品形態(tài)1U

內(nèi)存4GB

CF卡2GB

固定接口8GE

應(yīng)用識(shí)別與病毒掃描結(jié)合，可檢出超過(guò)500

應(yīng)用安全多萬(wàn)種病毒。發(fā)現(xiàn)應(yīng)用中的文件類型和敏感

信息，防范收感信息難露。

基于特征檢測(cè)，支持超過(guò)3500湘洞特征的攻

擊檢測(cè)和防御，

入侵防御基于協(xié)議檢測(cè)，支持協(xié)議自識(shí)別，基于協(xié)議

異散檢測(cè)，

支持自定義IPS簽名。

基于云的URL分類過(guò)飽，支持8500萬(wàn)URL庫(kù)，

Web安全

80+分類。

7

湖南商務(wù)職業(yè)技術(shù)學(xué)院畢業(yè)設(shè)計(jì)

提供專業(yè)的安全URL分類，包括釣魚網(wǎng)站庫(kù)

分類和惡意URL庫(kù)分類。

基于Web的防攻擊支持，如跨站腳本攻擊、

SQL注入攻擊。

4網(wǎng)絡(luò)技術(shù)選型

4.1虛擬局域網(wǎng)技術(shù)（VLAN）

虛擬局域網(wǎng)(VLAN)是一種網(wǎng)絡(luò)技術(shù)，它允許將一個(gè)物理局域網(wǎng)(LAN)在

邏輯上劃分為多個(gè)廣播域。這些廣播域不是物理限制的，而是通過(guò)軟件定義的

網(wǎng)絡(luò)管理策略來(lái)實(shí)現(xiàn)的。VLAN的主要優(yōu)勢(shì)包括:

靈活性:VLAN可以跨越不同的物理網(wǎng)絡(luò)段，允許不同地理位置的網(wǎng)絡(luò)用戶

加入到同一個(gè)邏輯子網(wǎng)中。這意味著工作組可以基于功能而非物理位置來(lái)組織

安全性:VLAN內(nèi)的主機(jī)間可以直接通信，而不同VLAN之間的主機(jī)不能直

接通信，這有助于提高網(wǎng)絡(luò)的安全性。

流量控制:VLAN有助于控制流量，減少不必要的廣播風(fēng)暴，從而簡(jiǎn)化網(wǎng)

絡(luò)管理并提高網(wǎng)絡(luò)效率?？蓴U(kuò)展性:VLAN可以支持不同類型的網(wǎng)絡(luò)設(shè)備，如

10M以太網(wǎng)、100M以太網(wǎng)、令牌網(wǎng)、FDDI等,這提高了網(wǎng)絡(luò)的兼容性和可擴(kuò)展

性。

總之，VLAN是一種強(qiáng)大的網(wǎng)絡(luò)技術(shù)，它通過(guò)邏輯分割網(wǎng)絡(luò)來(lái)提高安全性、

靈活性和管理效率，同時(shí)保持了網(wǎng)絡(luò)的連通性和擴(kuò)展性。

4.2路由選擇

隨著互聯(lián)網(wǎng)的普及和現(xiàn)代化的企業(yè)運(yùn)營(yíng)需求，網(wǎng)絡(luò)已經(jīng)成為公司生產(chǎn)經(jīng)營(yíng)

的核心基礎(chǔ)設(shè)施。而路由器作為企業(yè)網(wǎng)絡(luò)中至關(guān)重要的一部分，起著連接內(nèi)外

網(wǎng)絡(luò)及其數(shù)據(jù)傳輸?shù)年P(guān)鍵作用。首先，企業(yè)需要根據(jù)其網(wǎng)絡(luò)規(guī)模和需求選擇合

適的路由器。對(duì)于大型企業(yè)，可能需要選擇高性能的路由器，如思科、華為的

產(chǎn)品。而對(duì)于小型企業(yè)，可以選擇一些性價(jià)比較高的路由器。

層次化設(shè)計(jì):在部署路由器時(shí)，采用層次化設(shè)計(jì)是最佳實(shí)踐。核心層、匯聚

層和接入層是常見的三層設(shè)計(jì)。核心層負(fù)責(zé)高速數(shù)據(jù)傳輸，匯聚層負(fù)責(zé)將接入

層的數(shù)據(jù)匯總，而接入層則直接與終端設(shè)備相連。

企業(yè)應(yīng)選擇合適的路由協(xié)議，如OSPF、BGP和EIGRP等，并對(duì)其進(jìn)行優(yōu)化。

例如，通過(guò)調(diào)整路由協(xié)議參數(shù)，降低網(wǎng)絡(luò)擁堵，提高路由效率。

8

湖南商務(wù)職業(yè)技術(shù)學(xué)院畢業(yè)設(shè)計(jì)

路由策略:通過(guò)配置路由策略，企業(yè)可以控制數(shù)據(jù)包的傳輸路徑。例如，可

以使用策略路由根據(jù)數(shù)據(jù)包的目的地、源地址或其他因素來(lái)選擇最佳路徑。

流量工程:流量工程是另一種路由優(yōu)化技術(shù)，它通過(guò)調(diào)整數(shù)據(jù)包的優(yōu)先級(jí)和

帶寬分配，實(shí)現(xiàn)網(wǎng)絡(luò)流量的有效管理。

4.3鏈路聚合（Eth-Trunk）

以太網(wǎng)鏈路聚合Eth-Trunk簡(jiǎn)稱鏈路聚合，它通過(guò)將多條以太網(wǎng)物理鏈路

捆綁在-起成為一條邏輯鏈路，從而實(shí)現(xiàn)增加鏈路帶寬的目的。同時(shí)，這些捆綁

在一起的鏈路通過(guò)相互間的動(dòng)態(tài)備份，可以有效地提高鏈路的可靠性。

隨著網(wǎng)絡(luò)規(guī)模不斷擴(kuò)大，用戶對(duì)骨干鏈路的帶寬和可靠性提出越來(lái)越高的

要求。

在傳統(tǒng)技術(shù)中，常用更換高速率的接口板或更換支持高速率接口板的設(shè)備

的方式來(lái)增加帶寬，但這種方案需要付出高額的費(fèi)用，而且不夠靈活。采用鏈

路聚合技術(shù)可以在不進(jìn)行硬件升級(jí)的條件下，通過(guò)將多個(gè)物理接口捆綁為一個(gè)

邏輯接口，達(dá)到增加鏈路帶寬的目的。在實(shí)現(xiàn)增大帶寬目的的同時(shí)，鏈路聚合

采用備份鏈路的機(jī)制，可以有效的提高設(shè)備之間鏈路的可靠性。

增加帶寬：鏈路聚合接口的最大帶寬可以達(dá)到各成員接口帶寬之和。

提高可靠性：當(dāng)某條活動(dòng)鏈路出現(xiàn)故障時(shí)，流量可以切換到其他可用的成

員鏈路上，從而提高鏈路聚合接口的可靠性。

負(fù)載分擔(dān)：在一個(gè)鏈路聚合組內(nèi)，可以實(shí)現(xiàn)在各成員活動(dòng)鏈路上的負(fù)載分

擔(dān)。

4.4VRRP

虛擬路由冗余協(xié)議(VirtualRouterRedundancyProtocol，簡(jiǎn)稱VRRPQ)

是一種路由容錯(cuò)協(xié)議，由IETFQ提出并已于1998年推出正式的RFC2338協(xié)議標(biāo)

準(zhǔn)。VRRP廣泛應(yīng)用于邊緣網(wǎng)絡(luò)，其設(shè)計(jì)目標(biāo)包括支持IP數(shù)據(jù)流量失敗轉(zhuǎn)移時(shí)

不會(huì)引起混亂、允許主機(jī)使用單路由器，以及在第一跳路由器失效時(shí)仍能維護(hù)

連通性。

在VRRP協(xié)議中，有兩組重要的概念:VRRP路由器和虛擬路由器，主控路

由器&和備份路出器。VRRP路由器是指運(yùn)行VRRP的路由器，是物理實(shí)體;虛擬

路由器是指VRRP協(xié)議創(chuàng)建的，是邏輯概念。-組VRRP路由器協(xié)同工作，共同構(gòu)

成一臺(tái)虛擬路由器。該虛擬路由器對(duì)外表現(xiàn)為一個(gè)具有唯一固定IP地址Q和

MAC地址9的邏輯路由器。

9

湖南商務(wù)職業(yè)技術(shù)學(xué)院畢業(yè)設(shè)計(jì)

VRRP的主要功能包括IP地址備份、最優(yōu)路徑指示9、最小化不必要的服務(wù)

中斷、廣泛的安全性和在可擴(kuò)展網(wǎng)絡(luò)中的有效工作。它可以提供多個(gè)虛擬路由

器選舉的負(fù)載均衡以及在單一網(wǎng)絡(luò)中支持多重邏輯IP子網(wǎng)絡(luò)。在主路由正常工

作期間，不會(huì)觸發(fā)其他低優(yōu)先級(jí)別路由器選擇主路由的服務(wù)，從而保證網(wǎng)絡(luò)的

連續(xù)性和可靠性。

4.5IPsec

IPsec(IPSecurity)是由互聯(lián)網(wǎng)工程任務(wù)組(IETF)制定的一個(gè)安全協(xié)議套

件，旨在確?；ヂ?lián)網(wǎng)上傳輸?shù)臄?shù)據(jù)的安全性和保密性。它通過(guò)在IP層對(duì)IP數(shù)

據(jù)包進(jìn)行加密和身份驗(yàn)證來(lái)提供安全服務(wù)，包括但不限于數(shù)據(jù)包的完整性、隱

私性和真實(shí)性。IPsec支持兩種主要的工作模式:隧道模式和傳輸模式。在隧道

模式中，整個(gè)IP數(shù)據(jù)包被封裝在新的IP數(shù)據(jù)包中，并使用AH或ESP頭進(jìn)行加

密;而在傳輸模式中，只有傳輸層數(shù)據(jù)被用來(lái)計(jì)算AH或ESP頭，并放置在原IP

包頭后面。

此外，IPsec還包括Internet密鑰交換協(xié)議(IKE)，它用于生成和交換密

鑰材料，以及建立安全連接。IKE是IPsec體系結(jié)構(gòu)中的一個(gè)重要組成部分，

它使用部分Oakley和部分SKEME算法，并與ISAKMP(InternetSecurity

AssociationandKeyManagementProtocol)協(xié)同工作，以提供密鑰生成材料

和其他安全聯(lián)系。IPsec在IP模塊內(nèi)部執(zhí)行，剛好在應(yīng)用層之下，因此Internet

應(yīng)用程序可以直接利用IPsec而無(wú)需進(jìn)行特殊配置。如果正確使用，IPsec是

保證網(wǎng)絡(luò)通信安全的有效工具。它不僅保護(hù)兩個(gè)主機(jī)之間、兩個(gè)安全網(wǎng)關(guān)之間

或主機(jī)和安全網(wǎng)關(guān)之間的通信，還允許數(shù)據(jù)在公共網(wǎng)絡(luò)上安全傳輸。

5核心設(shè)備配置

5.1IP地址以及VLAN配置

創(chuàng)建VLAN并命名。

命令說(shuō)明

Vlan10#給Vlan命名

NameCaiwu-FB#命名為Caiwu

配置VLAN虛擬接口的IP地址。

命令說(shuō)明

Interfacevlan10#進(jìn)入VLan10

ipaddress192.168.10.1255.255.255.0#配置IP地址

10

湖南商務(wù)職業(yè)技術(shù)學(xué)院畢業(yè)設(shè)計(jì)

noshutdown#開啟接口

quit#退出接口模式

writememory#保持配置

5.2配置鏈路聚合

這些命令將創(chuàng)建一個(gè)鏈路聚合組，將接口g0/23和g0/24加入到這個(gè)組中，

并將改組配置為active的模式。然后進(jìn)入聚合端口1的配置模式設(shè)置為trunk

模式。

命令說(shuō)明

interfacerangegi0/23-2#同時(shí)進(jìn)入接口g0/23和g0/24的管理

port-group1modeactive#設(shè)置端口組1，模式為active

interfaceaggregateport1#進(jìn)入聚合端口1的接口管理

switchportmodetrunk#將聚合端口1配置為trunk模式

5.3配置MSTP

下面是在SW1上配置MSTP（多生成樹協(xié)議）。配置的命令將開啟生成樹功

能，設(shè)置生成樹為MSTP的模式以及主根的優(yōu)先級(jí)。

命令說(shuō)明

spanning-treeenable#開啟生成樹功能

spanning-treemodemstp#配置生成樹為MSTP模式

Spanning-treemstconfiguration#進(jìn)入MST模式

Instance1vlan10,20#配置實(shí)例1，關(guān)聯(lián)VLAN10，20

#設(shè)置MST的優(yōu)先級(jí)為4096，將SW1設(shè)置為

Spanning-treemst1priority4096

主根

5.4VRRP配置

命令說(shuō)明

interfacevlan10#進(jìn)入VLAN10接口配置模式

vrrp10ip192.168.10.254#配置VRRP組10的虛擬IP地址

Vrrp10priority150#配置VRRP10的優(yōu)先級(jí)為150

5.5配置DHCP

在SW1上配置DHCP服務(wù)分配IP地址給到vlan10網(wǎng)段的命令如下：

命令說(shuō)明

11

湖南商務(wù)職業(yè)技術(shù)學(xué)院畢業(yè)設(shè)計(jì)

servicedhcp#啟用DHCP服務(wù)

ipdhcppoolvlan10#創(chuàng)建名字為vlan10的DHCP地址池

network192.168.10.0255.255.255.0#指定DHCP地址池分配的IP地址網(wǎng)段

dns-server6.6.6.6#設(shè)置DNS服務(wù)器地址

default-router192.168.10.254#設(shè)置默認(rèn)網(wǎng)關(guān)

5.6配置SSH

如下表所示，先配置IP地址（與Lookback網(wǎng)卡地址一致），然后啟用stelnet

服務(wù)功能，進(jìn)行虛擬終端配置，再進(jìn)入aaa認(rèn)證配置，生成本地密鑰，最后用

xshell鏈接配對(duì)。

命令說(shuō)明

intg0/0#進(jìn)入接口

ipaddress192.168.10.1255.255.255.0#配置IP地址

stelnetserverenable#開啟stelnet服務(wù)

user-interfacevty04#配置虛擬終端

authentication-modeaaa

protocolinboundssh

quit

aaa

local-userHuaweipasswordcipherHuawei

privilegelevel15

local-userhuaweiservice-typessh

quit

sshHuaweiauthentication-typepassword

rsalocal-key-paircreate

5.7配置STP

先將端口劃分至相應(yīng)的VLAN，然后開啟STP服務(wù)，最后配置STP的優(yōu)先級(jí)。

命令說(shuō)明

port-groupgroup-memberg0/1tog0/5port-groupgroup-memberg0/1tog0/5

portlink-typetrunkportlink-typetrunk

portlink-typetrunkportlink-typetrunk

porttrunkallow-passvlan10porttrunkallow-passvlan10

stpenablestpenable

stpmodestpstpmodestp

stppriority0stppriority0

12

湖南商務(wù)職業(yè)技術(shù)學(xué)院畢業(yè)設(shè)計(jì)

5.8配置IPsec

再R1上配置IPsec的命令如下表：

命令說(shuō)明

interfaceg0/1interfaceg0/1#進(jìn)入接口

ipaddress20.1.1.2255.255.255.0#配置IP地址

quit#退出接口配置模式

interfaceg0/0#進(jìn)入接口

ipaddress16.16.16.16255.255.255.0#配置IP地址

quit#退出接口配置模式

iproute-static0.0.0.00.0.0.0

#配置默認(rèn)路由

16.16.16.1

acl3000#進(jìn)入acl模式

rule10permitipsource192.168.10.0

0.0.0.255destination192.168.20.0#允許IP經(jīng)過(guò)

0.0.0.255

rule100denyip#拒絕IP經(jīng)過(guò)

Quit#退出acl模式

#test為提議名稱，用于綁定ipsec安全策

ipsecproposaltest

略

encapsulation-modetunnel#配置工作模式為隧道

transformesp#配置協(xié)議為esp

espauthentication-algorithmshal#配置認(rèn)證算法為shal

espencryption-algorithmades#配置加密算法為3des

ikeproposal1#創(chuàng)建IKE提議

authentication-methodpre-share#認(rèn)證方authentication-methodpre-share#認(rèn)證方

式為預(yù)共享密鑰式為預(yù)共享密鑰

authentication-algorithmmd5#認(rèn)證算法

authentication-algorithmmd5

為md5

dhgroup2dh