湖南商務職業(yè)技術學院畢業(yè)設計

目錄

1項目簡介......................................................................................................................1

1.1公司介紹............................................................................................................1

1.2項目規(guī)劃............................................................................................................1

1.3項目需求............................................................................................................2

2項目總體規(guī)劃..............................................................................................................2

2.1總體方案的概述................................................................................................2

2.2總體方案的設計原則........................................................................................3

2.3網(wǎng)絡系統(tǒng)的結(jié)構(gòu)設計........................................................................................3

2.4網(wǎng)絡安全的設計................................................................................................4

3網(wǎng)絡規(guī)劃與設計..........................................................................................................4

3.1拓撲設計............................................................................................................4

3.2VLAN規(guī)劃.........................................................................................................5

3.3IP地址劃分.........................................................................................................5

4網(wǎng)絡設備選型..............................................................................................................6

4.1路由器選型........................................................................................................6

4.2接入交換機選型................................................................................................6

4.3核心交換機選型................................................................................................7

5網(wǎng)絡技術......................................................................................................................7

5.1交換技術............................................................................................................7

5.2路由技術............................................................................................................8

6項目部署......................................................................................................................9

6.1設備的命名........................................................................................................9

6.2二層設備配置....................................................................................................9

6.3鏈路聚合............................................................................................................9

6.4MSTP配置........................................................................................................10

6.5DHCP配置........................................................................................................11

I

湖南商務職業(yè)技術學院畢業(yè)設計

6.6ACL配置..........................................................................................................13

6.7OSPF部署.........................................................................................................13

6.8NAT配置..........................................................................................................14

7系統(tǒng)測試....................................................................................................................15

7.1系統(tǒng)的測試內(nèi)容..............................................................................................15

7.2路由故障檢測和排除......................................................................................15

7.3鏈路聚合工作狀態(tài)..........................................................................................16

7.4MSTP工作狀態(tài)................................................................................................17

7.5DHCP測試結(jié)果...............................................................................................17

7.6ACL驗證結(jié)果..................................................................................................18

7.7內(nèi)網(wǎng)訪問外網(wǎng)測試結(jié)果..................................................................................19

8項目小結(jié)....................................................................................................................20

參考資料........................................................................................................................21

II

湖南商務職業(yè)技術學院畢業(yè)設計

星芒公司網(wǎng)絡規(guī)劃與設計

1項目簡介

1.1公司介紹

星芒公司是一家綜合性的企業(yè)，業(yè)務涵蓋制造業(yè)、物流業(yè)、零售業(yè)及金融

服務等多個領域。公司內(nèi)部結(jié)構(gòu)完善，擁有多個核心部門，包括行政部、人力

資源部、財務部、生產(chǎn)部、市場部、供應鏈管理部門以及風險管理部門。各部

門人員配置合理，總數(shù)超過數(shù)千人，共同推動著公司的穩(wěn)步發(fā)展。

行政部負責公司整體行政運營，確保公司內(nèi)部流程的順暢，擁有數(shù)十名經(jīng)

驗豐富的行政人員。人力資源部專注于人才的選拔、培養(yǎng)與激勵，擁有百余名

專業(yè)人力資源專家。財務部則管理著公司的財務事務，確保資金流動的安全與

高效，擁有數(shù)十位資深財務專家。生產(chǎn)部是公司的重要生產(chǎn)力量，數(shù)百名技術

工人和工程師致力于產(chǎn)品的制造與創(chuàng)新。市場部負責產(chǎn)品的市場推廣和品牌塑

造，擁有近二百名市場精英。供應鏈管理部門則確保原材料與產(chǎn)品的順暢流通，

擁有數(shù)十名供應鏈管理專家。風險管理部門則負責監(jiān)控和評估各類風險，保障

公司運營的穩(wěn)健性。

隨著公司業(yè)務的不斷拓展和人員規(guī)模的不斷擴大，星芒公司對網(wǎng)絡系統(tǒng)的

需求也日益增加。為確保企業(yè)內(nèi)部數(shù)據(jù)的高效傳輸和協(xié)同工作，保護企業(yè)數(shù)據(jù)

免受未經(jīng)授權的訪問和泄露，并支持重要數(shù)據(jù)信息的準確、高效傳輸，公司決

定尋找專業(yè)的網(wǎng)絡規(guī)劃和設計服務。在對比了多家網(wǎng)絡規(guī)劃和設計服務提供商

后，我方憑借對網(wǎng)絡技術的深刻理解、豐富的項目經(jīng)驗以及對大型企業(yè)網(wǎng)絡需

求的精準把握，成為了星芒公司的首選合作伙伴。我方承諾為星芒公司量身定

制一套高效、安全、可靠的網(wǎng)絡系統(tǒng)，助力公司日常運營和決策的高效執(zhí)行，

共同開創(chuàng)更加輝煌的未來。

1.2項目規(guī)劃

星芒公司的網(wǎng)絡規(guī)劃包括以下幾個方面：

（1）IP地址和設備命名的規(guī)劃：合理的IP地址規(guī)劃是保證網(wǎng)絡通信穩(wěn)定

的基礎，設備標識有助于有效區(qū)分網(wǎng)絡設備。

（2）規(guī)劃二級網(wǎng)絡設備：包括設備間通信建立和故障排除。

（3）規(guī)劃三級網(wǎng)絡設備：包括設備間通信建立、故障排除，以及與二層設

1

湖南商務職業(yè)技術學院畢業(yè)設計

備間的通信實現(xiàn)。

（4）規(guī)劃大型企業(yè)網(wǎng)絡：合理利用二、三層設備搭建公司網(wǎng)絡結(jié)構(gòu)。

1.3項目需求

深入的網(wǎng)絡需求分析是精準把握和明確網(wǎng)絡規(guī)劃與設計中核心系統(tǒng)需求的

決定性步驟。它不僅刻畫出系統(tǒng)的核心行為與特性，還為設計師提供了對網(wǎng)絡

系統(tǒng)未來發(fā)展的明確視角。作為網(wǎng)絡規(guī)劃與設計的基石，這一需求分析過程為

構(gòu)建高效、穩(wěn)定、安全的網(wǎng)絡系統(tǒng)提供了堅實的基礎。

在項目需求階段，我方首先進行網(wǎng)站目標的深入分析，包括短期與長期目

標的細致探究。這要求我方全面考量所采用的網(wǎng)絡協(xié)議與系統(tǒng)架構(gòu)是否與企業(yè)

內(nèi)部網(wǎng)絡環(huán)境高度契合，從而為企業(yè)打造量身定制、高效穩(wěn)定的網(wǎng)絡解決方案。

在全面理解企業(yè)需求的基礎上，在為企業(yè)網(wǎng)絡規(guī)模的確定和基礎設備的合適選

擇提供參考時，我方將對整個企業(yè)系統(tǒng)的數(shù)據(jù)量和流量進行科學估算。

網(wǎng)絡計劃的制定是一項技術性強且需要嚴謹細致處理的復雜過程。我方深

入研究網(wǎng)絡整合的各個細節(jié)，確定需要遵循的信息程序，以確保網(wǎng)絡平穩(wěn)運行

和有效管理。這不僅需要專業(yè)的技術知識，還需要對商務需求有深刻的理解，

以構(gòu)建既符合技術進步又實用的網(wǎng)絡解決方案。

技術支持在業(yè)務系統(tǒng)中扮演著重要角色，優(yōu)異的網(wǎng)絡性能為業(yè)務系統(tǒng)不間

斷運行提供了堅實的技術保障。這一優(yōu)勢不僅增強了系統(tǒng)的穩(wěn)定性和可靠性，

還為企業(yè)業(yè)務的快速發(fā)展提供了有力的支持。

最后，為保證網(wǎng)絡設備安全運行，我方將采取一系列縝密的安全措施，包

括實時監(jiān)控、入侵檢測、數(shù)據(jù)加密等，以充分保證網(wǎng)絡設備的穩(wěn)定性和安全性

的網(wǎng)絡系統(tǒng)。通過這些措施，我方旨在構(gòu)建一個既能滿足業(yè)務需求又能確保網(wǎng)

絡安全可靠的網(wǎng)絡環(huán)境。

2項目總體規(guī)劃

2.1總體方案的概述

為滿足公司網(wǎng)絡需求，我方規(guī)劃將網(wǎng)絡劃分為園區(qū)網(wǎng)、核心骨干網(wǎng)、數(shù)據(jù)

中心、分支機構(gòu)及因特網(wǎng)邊緣。核心骨干網(wǎng)連接園區(qū)網(wǎng)、數(shù)據(jù)中心及分支機構(gòu)，

構(gòu)建完整網(wǎng)絡架構(gòu)。園區(qū)網(wǎng)絡為特定地理位置的用戶提供便捷的網(wǎng)絡訪問。數(shù)

據(jù)中心是為了存儲計算機數(shù)據(jù)系統(tǒng)及其相關設備而設計的場所，也被廣泛地稱

為服務器集群中心，集中管理和運用這些重要設備。分公司有路由器、交換機

2

湖南商務職業(yè)技術學院畢業(yè)設計

等網(wǎng)絡設備，確?？偛颗c分公司之間的通信。因特網(wǎng)邊緣由多種網(wǎng)絡設備組成，

實現(xiàn)公司與互聯(lián)網(wǎng)連接。

公司包括行政、人力、財務、技術、營銷、安全和運營等部門，為滿足客

戶的具體需求，我方已完成了覆蓋辦公室、生產(chǎn)區(qū)、研發(fā)部門、數(shù)據(jù)中心以及

互聯(lián)網(wǎng)的網(wǎng)絡架構(gòu)設計，確保各業(yè)務單元間的高效協(xié)作以及整體網(wǎng)絡的安全性。

2.2總體方案的設計原則

以下是提供的網(wǎng)絡設計要點：

（1）高效性和可靠性:網(wǎng)絡傳輸需要高效，以最小化延遲，同時確保高可

靠性，避免數(shù)據(jù)丟失。冗余設備和流量切換確保網(wǎng)絡在工作日和關鍵時段穩(wěn)定

運行。

（2）符合標準:為確保網(wǎng)絡的高效運行和無縫連接，我方在選擇網(wǎng)絡設備

時，嚴格遵循國際標準。這一舉措不僅保證了不同廠家設備之間的兼容性，還

極大地提高了網(wǎng)絡的易操作性和開放性，為公司業(yè)務的順暢運作提供了有力保

障。

（3）可擴展性和可升級性：網(wǎng)絡設備應滿足當前需求，并具備未來增長的

擴展能力。在設計時，既要考慮新技術與新技術的配合以及設備升級帶來的簡

化，又要有增加端口數(shù)量和帶寬的能力等充分的富余。

（4）管理簡易性:為了保證網(wǎng)絡設備的管理簡易性，我方要求所選設備具

備簡潔直觀的操作界面和強大的管理功能，從而降低人員培訓成本，實現(xiàn)快速

故障排除。這樣不僅能提高網(wǎng)絡維護效率，還有助于保持網(wǎng)絡系統(tǒng)的穩(wěn)定運行。

（5）VLAN和二層交換:允許部門根據(jù)需求自由劃分或調(diào)整VLAN，提高網(wǎng)絡

靈活性。

（6）安全性和應急預案:實施可靠的安全方案和完備的應急預案，確保網(wǎng)

絡安全并應對突發(fā)情況。

（7）實用性:網(wǎng)絡建設應強調(diào)實用性，滿足不同部門和人員的實際需求，

為多應用系統(tǒng)提供可靠支持。

2.3網(wǎng)絡系統(tǒng)的結(jié)構(gòu)設計

大型企業(yè)網(wǎng)絡設計采用星形層級結(jié)構(gòu)，提高管理效率和安全性。三層網(wǎng)絡

結(jié)構(gòu)由中心層、聚合層和接入層組成。中層作為骨干網(wǎng)絡，使用兩臺S5700交

換機進行備份，保證網(wǎng)絡的穩(wěn)定性和可靠性。聚合層通過交換機將不同的工作

組分布在不同的網(wǎng)絡段，隔離問題，優(yōu)化服務質(zhì)量。訪問層允許員工、服務器

3

湖南商務職業(yè)技術學院畢業(yè)設計

和設備訪問公司網(wǎng)絡，并使用交換機進行備份。在每一層之間使用Eth-Trunk

技術，以提高帶寬和信道利用率。數(shù)據(jù)中心和網(wǎng)絡控制中心采用usg6300防火

墻保護，路由器采用AR3260。整體設計簡單高效，滿足大型企業(yè)網(wǎng)絡的需求。

2.4網(wǎng)絡安全的設計

關鍵系統(tǒng)保護要求明確需要特別關注和維護的核心系統(tǒng)，以確保公司網(wǎng)絡

穩(wěn)定運行和工作流程順暢。這就要求我方準確地識別和保護關鍵系統(tǒng)，并采取

必要的安全措施來防止網(wǎng)絡故障和潛在的業(yè)務損失。潛在風險與漏洞必須重點

關注數(shù)據(jù)傳輸和存儲環(huán)節(jié)的安全漏洞，以最大程度地減少潛在風險。在提升安

全性的同時，應當避免過度依賴復雜技術，相反，傳統(tǒng)的安全措施是負擔得起

且可靠的。

3網(wǎng)絡規(guī)劃與設計

3.1拓撲設計

公司的網(wǎng)絡拓撲圖如下：

圖1公司網(wǎng)絡拓撲圖

4

湖南商務職業(yè)技術學院畢業(yè)設計

3.2VLAN規(guī)劃

星芒網(wǎng)絡公司總部分為八大部門，分別為行政辦公室、策劃營銷部、財務

部、生產(chǎn)技術部、人力資源部、后勤部、安檢部和運營部門。在星芒網(wǎng)絡公司

的網(wǎng)絡設計中，VLAN被用于將不同的部門劃分為邏輯上獨立的網(wǎng)絡段，以提高

網(wǎng)絡的安全性、管理性和靈活性。以下是基于給定信息的VLAN規(guī)劃：

具體分布如下表所示:

表1vlan規(guī)劃表

VLAN號部門名稱

VLAN10行政辦公室

VLAN20計劃營銷部

VLAN30財務部

VLAN40生產(chǎn)技術部

VLAN50人力資源部

VLAN60后勤部

VLAN70安檢部

VLAN80運營部

3.3IP地址劃分

每個VLAN都分配了一個唯一的網(wǎng)段和網(wǎng)關地址，以下是基于給定信息的

IP地址劃分：

表2各個部門vlan和網(wǎng)段

VLAN號網(wǎng)段網(wǎng)關地址部門名稱

VLAN10192.168.10.0/24192.168.10.254行政辦公室

VLAN20192.168.20.0/24192.168.20.254計劃營銷部

VLAN30192.168.30.0/24192.168.30.254財務部

VLAN40192.168.40.0/24192.168.40.254生產(chǎn)技術部

VLAN50192.168.50.0/24192.168.50.254人力資源部

VLAN60192.168.60.0/24192.168.60.254后勤部

VLAN70192.168.70.0/24192.168.70.254安全監(jiān)察部

VLAN80192.168.80.0/24192.168.80.254運營部

5

湖南商務職業(yè)技術學院畢業(yè)設計

4網(wǎng)絡設備選型

4.1路由器選型

華為路由器AR5710-H8T2TS1具體參數(shù)如表3所示：

表3路由器AR5710-H8T2TS1

HuaweiAR5710-H8T2TS1

接口GECombo、GELAN、MIC插槽、Console及USB2.0等接口

支持豐富的IP業(yè)務，包括IP路由、VPN（虛擬私人網(wǎng)絡）以及IPv6等，能

IP業(yè)務

夠滿足不同企業(yè)客戶的業(yè)務多元化和高性能需求

支持靜態(tài)路由支持多種動態(tài)路由協(xié)議，如RIP，ospf，bgp等還支持策略路由

IP路由

功能

支持熱插拔、冗余設計、故障恢復機制、高可靠性路由協(xié)議、安全機制、設備

可靠性

健康檢測

支持內(nèi)置Firewall、IPS、URL過濾、Anti-Virus等多重安全功能，以及安全策

安全

略設定和安全日志等

4.2接入交換機選型

接入層交換機華為S5735-L24T4S-A1如圖表4所示：

表4接入交換機華為S5735-L24T4S-A1

華為S5735-L24T4S-A1

24個10/100/1000BASE-T以太網(wǎng)電接口、4個1000BASE-XSFP光接口、1個

固定端口

Console接口和1個PNP按鈕

交換容量432Gbps/4.32Tbps

6

湖南商務職業(yè)技術學院畢業(yè)設計

包轉(zhuǎn)發(fā)率87/166Mpps

支持訪問控制列表、支持IEEE802.1x認證、支持MAC地址認證、

安全特性RADIUS/HWTACACS認證、SSH2.0、SSL等安全功能，還支持IPSourceGuard、

DHCPSnooping、DAI

支持靜態(tài)路由、動態(tài)路由（如RIP，OSPF等）等IP路由功能，還支持支持基

IP路由

于MAC/協(xié)議/IP子網(wǎng)/策略/端口的VLAN劃分

支持鏈路備份、冗余電源設計、設備冗余、多種安全控制策略以及完善的QoS

高可靠性

策略

4.3核心交換機選型

核心交換機CloudEngineS6730-S24X6Q如圖表3所示：

表5核心交換機CloudEngineS6730-H28Y4C

CloudEngineS6730-H28Y4C

固定端口28個25GSFP28，4個100GEQSFP28

交換容量2.56Tbps/25.6Tbps

包轉(zhuǎn)發(fā)率1650Mpps

支持多種參數(shù)的流量分類、支持流量監(jiān)管、支持隊列技術、支持流量整

Qos

形、支持擁塞控制。

支持內(nèi)置安全探針、支持訪問控制列表技術、支持IEEE802.1x認證、支

安全特性

持MAC地址認證、支持遠程認證、授權和計費功能

5網(wǎng)絡技術

5.1交換技術

交換技術是一種位于OSI七層模型的數(shù)據(jù)鏈路層，也就是第二層，通常被

稱為二層技術。交換機能夠?qū)V播域有效地切割為雙工模式下，端口可實現(xiàn)先

收后發(fā)或先發(fā)后收操作，并支持不同以太網(wǎng)速率。

在本項目中，主要用的交換技術包含：VLAN技術、鏈路聚合技術。

VLAN技術用來分隔不同的部門網(wǎng)絡；鏈路聚合技術用來增強二層鏈路帶寬

7

湖南商務職業(yè)技術學院畢業(yè)設計

的同時，實現(xiàn)負載均衡。

5.2路由技術

多個小片段，支持半雙工OSPF，如其名所示，由骨干區(qū)域和非骨干區(qū)域構(gòu)

成。在網(wǎng)絡的首次拓撲收斂過程中，它采用全面的SPF（最短路徑優(yōu)先）計算。

當LSA1、LSA2、LSA3發(fā)生變化時，它利用增量的SPF（I-SPF）算法。LSA4、

LSA5、LSA7的變動由OSPF用PRC(子路由計算)算法處理。另外，OSPF為了防

止路由循環(huán)，進行區(qū)域內(nèi)的防循環(huán)規(guī)則和區(qū)域間的邏輯設計。如果路由項目增

加，OSPF也支持多區(qū)域劃分并限制控制區(qū)域，適合大中型網(wǎng)絡。同時，OSPF支

持認證機制，保證路由和交換的安全。

OSPF的特點包括：

（1）支持廣播、點對點（P2P）、非廣播多點接入（NBMA）以及點對多點（P2MP）

網(wǎng)絡類型，并對幀中繼（FR）有特別的設計支持。

（2）主區(qū)(0區(qū))和非主區(qū)明確區(qū)分，可在非主區(qū)創(chuàng)建存根、總存根、NSSA、

總NSSA等特殊區(qū)域，實現(xiàn)靈活的外部路由控制和交叉。-學習區(qū)域路由。

（3）使用基本接口費用計算公式(帶寬/接口鏈路帶寬)。這個公式正確地

反映了實際的路徑費用，降低了路徑循環(huán)的風險。

（4）不同的LSA傳遞不同的路由消息。雖然制造了更多的LSA，但路由規(guī)

模相對較小。明確區(qū)分路由類型并提供多種路由策略。優(yōu)先級:區(qū)內(nèi)>區(qū)間>類型

一外部>類型二外部。

（5）ospf的內(nèi)部路由和外部路由的優(yōu)先順序是不同的。這樣的設計使得

與其他路由協(xié)議的互操作性成為可能。

（6）OSPF是基于IP的路由協(xié)議，通過交換網(wǎng)絡拓撲信息構(gòu)建路由表，并

采用Full-SPF算法實現(xiàn)初期收斂。LSA1和LSA2更新時，OSPF觸發(fā)I-SPF算法

進行快速本地路由計算；而LSA3/4/5/7變化時，則觸發(fā)PRC算法確保復雜網(wǎng)絡

環(huán)境下的高效收斂。

（7）支持虛擬鏈路（V-Link），為骨干網(wǎng)中斷等異常情況提供應急連接方

案。支持按需鏈路，有效減少低速鏈路上的OSPF報文數(shù)量，提高網(wǎng)絡效率。

（8）OSPF的可擴展性中等。IPv6支持需要額外的協(xié)議修改。常用的是

OSPFv3版本。

（9）OSPF對所有數(shù)據(jù)包使用單一的認證方法，這在一定程度上降低了認

證的靈活性。

8

湖南商務職業(yè)技術學院畢業(yè)設計

6項目部署

6.1設備的命名

以行政辦公室的網(wǎng)絡設備配置為例，將接入交換機的命名修改為JR-LSW5，

這個命名代表了接入層交換機編號為SW5。以下是執(zhí)行此操作的相關命令：

<Huawei>

<Huawei>SY

EnterSYSTEMview,returnuserviewwith

CTRL+Z.

[Huawei]SY

[Huawei]SYNAMEJR-SW5將名字改為JR-SW5

[JR-SW5]

6.2二層設備配置

（1）在每個交換機上搭建VLAN，配置命令如下：

VLANbatch1020304050607080

（2）修改端口類型以允許相應VLAN通過，配置命令如下：

interfaceEthernet0/0/1進入接口模式

portlink-typetrunk配置接口的鏈路類型為Trunk

允許VLAN20的數(shù)據(jù)通過Trunk類型的

porttrunkallow-passVLAN20

接口

quit退出當前配置模式

intGigabitEthernet0/0/3進入接口模式

表示接口類型為Access口，只能允許一個

portlink-typeaccess

VLAN通行

portdefaultVLAN20將該端口默認配置為VLAN20

（3）在核心交換機上創(chuàng)建VLANIF接口,配置命令如下：

interfaceVLANIF10進入VLAN接口10的配置模式

ipaddress192.168.10.25424設置IP地址和子網(wǎng)掩碼

6.3鏈路聚合

使用鏈路聚合技術增加鏈路帶寬、實現(xiàn)鏈路傳輸彈性和工程冗余等方面，

9

湖南商務職業(yè)技術學院畢業(yè)設計

有助于提高網(wǎng)絡的傳輸速度、可靠性和穩(wěn)定性。

LSW1的配置命令如下：

interfaceEth-Trunk1進入以太網(wǎng)鏈路聚合接口1

portlink-typetrunk設置接口的鏈路類型為Trunk

允許該Trunk接口傳輸VLAN10、20、30

porttrunkallow-passvlan10203040

和40的數(shù)據(jù)

modelacp-static配置Eth-Trunk的工作模式為靜態(tài)LACP

interfaceGigabitEthernet0/0/21進入接口模式

eth-trunk1編號為1的以太網(wǎng)鏈路聚合接口

interfaceGigabitEthernet0/0/22進入接口模式

eth-trunk1編號為1的以太網(wǎng)鏈路聚合接口

LSW2的配置命令如下：

interfaceEth-Trunk1進入以太網(wǎng)鏈路聚合接口1

portlink-typetrunk設置接口的鏈路類型為Trunk

允許該Trunk接口傳輸VLAN10、20、30

porttrunkallow-passvlan10203040

和40的數(shù)據(jù)

modelacp-static配置Eth-Trunk的工作模式為靜態(tài)LACP

interfaceGigabitEthernet0/0/21進入接口模式

eth-trunk1編號為1的以太網(wǎng)鏈路聚合接口

interfaceGigabitEthernet0/0/22進入接口模式

eth-trunk1編號為1的以太網(wǎng)鏈路聚合接口

6.4MSTP配置

使用MSTP技術在交換機上的作用主要是預防環(huán)路、更靈活地管理VLAN通

信、提高網(wǎng)絡可靠性和實現(xiàn)負載均衡等。這些功能使得MSTP成為現(xiàn)代網(wǎng)絡架構(gòu)

中不可或缺的一部分。

LSW1配置命令如下：

stpregion-configuration配置MSTP的MST域

region-namemstp配置MSTP的MST區(qū)域的名稱

revision-level1MST區(qū)域的修訂級別被設置為1

instance1vlan1020將VLAN10和20映射到MSTP的實例1

instance2vlan3040將VLAN30和40映射到MSTP的實例2

activeregion-configuration進入MST區(qū)域的配置模式

stpinstance1rootprimary指定交換機為MSTP中實例1的根橋

stpinstance2rootsecondary將當前設備配置為生成樹實例2的備份根橋

LSW2配置命令如下：

stpregion-configuration配置MSTP的MST域

region-namemstp配置MSTP的MST區(qū)域的名稱

10

湖南商務職業(yè)技術學院畢業(yè)設計

revision-level1MST區(qū)域的修訂級別被設置為1

instance1vlan1020將VLAN10和20映射到MSTP的實例1

instance2vlan3040將VLAN30和40映射到MSTP的實例2

activeregion-configuration進入MST區(qū)域的配置模式

stpinstance1rootsecondary指定交換機為MSTP中實例1的根橋

stpinstance2rootprimary將當前設備配置為生成樹實例2的備份根橋

其他交換機配置類似。

6.5DHCP配置

我方計劃在主交換機上啟用DHCP服務，來實現(xiàn)全局IP地址的自動化管理。

手動為部門的每個終端分配固定IP地址不僅效率低下，而且難以管理。因此，

我方?jīng)Q定采用DHCP地址自動分配的方案。當設備連接到網(wǎng)絡時，三層核心交換

機會自動為其分配合適的IP地址。另外，對于不需要頻繁獲取IP地址的設備，

比如打印機等笨終端，我方會配置靜態(tài)IP地址或者設置保留的DHCP地址，保

證它們一致地接收到相同的IP地址，簡化管理，改善網(wǎng)絡穩(wěn)定性和效率。

Lsw1配置命令如下：

ippoolvlan10為VLAN10創(chuàng)建一個IP地址池

gateway-list192.168.10.1為DHCP配置出口網(wǎng)關地址

network192.168.10.0mask255.255.255.0指定一個IP網(wǎng)絡和子網(wǎng)掩碼

dns-list192.168.10.100指定DNS服務器的IP

ippoolvlan20為VLAN20創(chuàng)建一個IP地址池

gateway-list192.168.20.1為DHCP配置出口網(wǎng)關地址

network192.168.20.0mask255.255.255.0指定一個IP網(wǎng)絡和子網(wǎng)掩碼

dns-list192.168.10.100指定DNS服務器的IP

ippoolvlan30為VLAN30創(chuàng)建一個IP地址池

gateway-list192.168.30.1為DHCP配置出口網(wǎng)關地址

network192.168.30.0mask255.255.255.0指定一個IP網(wǎng)絡和子網(wǎng)掩碼

dns-list192.168.10.100指定DNS服務器的IP

ippoolvlan40為VLAN40創(chuàng)建一個IP地址池

gateway-list192.168.40.1為DHCP配置出口網(wǎng)關地址

network192.168.40.0mask255.255.255.0指定一個IP網(wǎng)絡和子網(wǎng)掩碼

dns-list192.168.10.100指定DNS服務器的IP

dhcpenable開啟DHCP功能開關

interfaceVlanif10VLAN10的虛擬接口

dhcpselectglobal開啟接口采用全局地址池的DHCPServer功能

interfaceVlanif20VLAN20的虛擬接口

dhcpselectglobal開啟接口采用全局地址池的DHCPServer功能

interfaceVlanif30VLAN30的虛擬接口

11

湖南商務職業(yè)技術學院畢業(yè)設計

dhcpselectglobal開啟接口采用全局地址池的DHCPServer功能

interfaceVlanif40VLAN40的虛擬接口

dhcpselectglobal開啟接口采用全局地址池的DHCPServer功能

Lsw2配置命令如下：

ippoolvlan10為VLAN10創(chuàng)建一個IP地址池

gateway-list192.168.10.1為DHCP配置出口網(wǎng)關地址

network192.168.10.0mask255.255.255.0指定一個IP網(wǎng)絡和子網(wǎng)掩碼

dns-list192.168.10.100指定DNS服務器的IP

ippoolvlan20為VLAN20創(chuàng)建一個IP地址池

gateway-list192.168.20.1為DHCP配置出口網(wǎng)關地址

network192.168.20.0mask255.255.255.0指定一個IP網(wǎng)絡和子網(wǎng)掩碼

dns-list192.168.10.100指定DNS服務器的IP

ippoolvlan30為VLAN30創(chuàng)建一個IP地址池

gateway-list192.168.30.1為DHCP配置出口網(wǎng)關地址

network192.168.30.0mask255.255.255.0指定一個IP網(wǎng)絡和子網(wǎng)掩碼

dns-list192.168.10.100指定DNS服務器的IP

ippoolvlan40為VLAN40創(chuàng)建一個IP地址池

gateway-list192.168.40.1為DHCP配置出口網(wǎng)關地址

network192.168.40.0mask255.255.255.0指定一個IP網(wǎng)絡和子網(wǎng)掩碼

dns-list192.168.10.100指定DNS服務器的IP

dhcpenable開啟DHCP功能開關

interfaceVlanif10VLAN10的虛擬接口

dhcpselectglobal開啟接口采用全局地址池的DHCPServer功能

interfaceVlanif20VLAN20的虛擬接口

dhcpselectglobal開啟接口采用全局地址池的DHCPServer功能

interfaceVlanif30VLAN30的虛擬接口

dhcpselectglobal開啟接口采用全局地址池的DHCPServer功能

interfaceVlanif40VLAN40的虛擬接口

dhcpselectglobal開啟接口采用全局地址池的DHCPServer功能

同時，在各終端選擇DHCP自動獲取選項。

為保證部門打印機等無法自動獲取IP地址或不適合頻繁更新IP地址的笨

終端設備穩(wěn)定運行，我方將對其進行靜態(tài)DHCP綁定。此配置允許我方將固定的

IP地址永久分配給特定的MAC地址。特別地，我方將使用命令“static-bind

IP-addressAmac-addressB”，其中“A”是靜態(tài)分配的IP地址，“B”是啞終

端設備的MAC地址。通過這一步，我方可以保證這些設備在網(wǎng)絡上的穩(wěn)定運行，

并避免不必要的IP地址更改。

通過以上的DHCP靜態(tài)綁定配置，我方確保了這些啞終端設備每次連接到網(wǎng)

絡時都能獲得相同的IP地址，從而避免了因IP地址變動而引發(fā)的問題。這意

12

湖南商務職業(yè)技術學院畢業(yè)設計

味著我方可以手動指定一個固定的IP地址給這些設備，并將這個IP地址與設

備的MAC地址進行綁定。

另外，我方還完成了二層網(wǎng)絡設備的VLAN劃分和IP地址分配，這些配置

使得二層設備可以在所屬VLAN內(nèi)無縫交互，也可以與其他網(wǎng)絡層的設備互連。

這意味著無論設備何時連接到網(wǎng)絡，都會收到固定的IP地址，從而保證了網(wǎng)絡

連接的穩(wěn)定性。通過智能DHCP配置和VLAN分離，為網(wǎng)絡上的設備提供穩(wěn)定、

高效的IP地址管理解決方案，保證網(wǎng)絡的平穩(wěn)運行。

6.6ACL配置

使用ACL技術在交換機上扮演著至關重要的角色，它不僅可以優(yōu)化網(wǎng)絡流

量、提高網(wǎng)絡性能，還可以提供網(wǎng)絡安全訪問的基本手段，保護網(wǎng)絡資源免受

未經(jīng)授權的訪問和惡意攻擊。

Lsw5：

aclnumber3000定義一個編號為3000的ACL

rule5denyipsource192.168.10.00.0.0.255阻止從192.168.10.0/24到

destination192.168.30.00.0.0.255192.168.30.0/24的流量

rule10denyipsource192.168.20.00.0.0.255阻止從192.168.20.0/24到

destination192.168.30.00.0.0.255192.168.30.0/24的流量

rule15denyipsource192.168.40.00.0.0.255阻止從192.168.40.0/24到

destination192.168.30.00.0.0.255192.168.30.0/24的流量。

traffic-filteroutboundacl3000出口流量用ACL3000過濾

6.7OSPF部署

為了保證公司網(wǎng)絡中各級設備之間的通信不間斷，我方計劃在核心交換機

和上層設備中部署OSPF（開放最短路徑優(yōu)先）。特別是在規(guī)劃的大型企業(yè)網(wǎng)絡

中，必須在核心層交換機LSW16和LSW17上配置并啟用OSPF。同時，上層設備

中的交換機LSW13、LSW14、LSW15以及路由器AR1、AR2、AR3、AR4也配置OSPF。

這確保網(wǎng)絡上的設備能夠根據(jù)公司的業(yè)務需求有效地路由和共享數(shù)據(jù)。

在配置過程中，我方需要將各設備之間相連的接口以及相應的網(wǎng)段宣告進

OSPF中，以確保這些接口和網(wǎng)段能夠被OSPF協(xié)議所識別和管理。此外，核心

層與匯聚層之間的直接鏈路也需要被宣告進OSPF中，以建立起這兩層之間的通

信連接。

接下來，我方需要根據(jù)網(wǎng)絡的實際需求，合理劃分OSPF的區(qū)域。不同的區(qū)

13

湖南商務職業(yè)技術學院畢業(yè)設計

域?qū)l(fā)揮不同的作用，例如，某些區(qū)域可能用于管理內(nèi)部網(wǎng)絡的路由，而另一

些區(qū)域則可能用于與其他網(wǎng)絡進行通信。

完成區(qū)域的劃分后，我方需要開啟相應的OSPF協(xié)議，并在每個區(qū)域中創(chuàng)建

相應的OSPF進程。然后，將需要宣告進OSPF中的接口路由以及網(wǎng)段信息添加

到相應的OSPF進程中。這樣，各設備就能夠根據(jù)OSPF協(xié)議學習到的路由信息

進行通信，實現(xiàn)公司內(nèi)三層網(wǎng)絡的順暢通信。

示例配置：

OSPF1router-id1.1.1.1設置OSPF路由ID

area0.0.0.0設置骨干區(qū)域

network192.168.10.00.0.0.255指定網(wǎng)絡段

network192.168.20.00.0.0.255指定網(wǎng)絡段

network192.168.30.00.0.0.255指定網(wǎng)絡段

network192.168.40.00.0.0.255指定網(wǎng)絡段

network192.168.50.00.0.0.255指定網(wǎng)絡段

network192.168.60.00.0.0.255指定網(wǎng)絡段

network192.168.70.00.0.0.255指定網(wǎng)絡段

network192.168.80.00.0.0.255指定網(wǎng)絡段

在LSW16交換機上進行示例配置，如果需要對OSPF需要進行安全認證的話

可以區(qū)域內(nèi)開啟認證：

authentication-modemd5XXXcIPherXXX設置鏈路層的認證方式和密碼加密方式

通過以上的配置步驟，我方可以確保公司網(wǎng)絡中的各層級設備能夠高效、

穩(wěn)定地進行通信，為公司的日常運營提供堅實的網(wǎng)絡基礎。

6.8NAT配置

網(wǎng)絡地址轉(zhuǎn)換（NAT）技術是一種廣泛應用于企業(yè)網(wǎng)絡中的廣域網(wǎng)技術，它

允許內(nèi)部網(wǎng)絡的私有IP地址設備訪問外部公共網(wǎng)絡。NAT主要解決了IP地址

短缺的問題，使得內(nèi)部網(wǎng)絡中的多臺設備可以共享一個或少數(shù)幾個公共IP地址

來訪問外部網(wǎng)絡。

在大型公司網(wǎng)絡中，由于內(nèi)部終端設備眾多，通常需要實現(xiàn)大量私網(wǎng)IP地

址到公網(wǎng)IP地址的映射。因此我方?jīng)Q定使用網(wǎng)絡地址端口轉(zhuǎn)換（NAPT）技術。

NAPT技術不僅可以將私有IP地址轉(zhuǎn)換為公有IP地址，還可以通過匹配不同的

端口號來區(qū)分不同的內(nèi)部設備。因此，多個內(nèi)部設備可以使用同一公網(wǎng)IP地址

的不同端口來實現(xiàn)外部訪問。該技術有效解決了公網(wǎng)IP資源缺乏的問題，提高

了網(wǎng)絡資源的利用率。將其在出口路由器上配置，以AR1為例：

14

湖南商務職業(yè)技術學院畢業(yè)設計

acl2000訪問控制列表

rule5permitsource192.168.10.00.0.0.255允許源IP地址范圍內(nèi)的數(shù)據(jù)包通過

rule10permitsource192.168.20.00.0.0.255允許源IP地址范圍內(nèi)的數(shù)據(jù)包通過

rule15permitsource192.168.30.00.0.0.255允許源IP地址范圍內(nèi)的數(shù)據(jù)包通過

rule20permitsource192.168.40.00.0.0.255允許源IP地址范圍內(nèi)的數(shù)據(jù)包通過

rule25permitsource192.168.50.00.0.0.255允許源IP地址范圍內(nèi)的數(shù)據(jù)包通過

rule30permitsource192.168.60.00.0.0.255允許源IP地址范圍內(nèi)的數(shù)據(jù)包通過

rule35permitsource192.168.70.00.0.0.255允許源IP地址范圍內(nèi)的數(shù)據(jù)包通過

rule40permitsource192.168.80.00.0.0.255允許源IP地址范圍內(nèi)的數(shù)據(jù)包通過

quit退出當前配置模式

NATaddress-group1200.10.10.1200.10.10.200定義了一個NAT地址組

interfaceGigabitEthernet0/0/2進入接口模式

NAT出站規(guī)則2000使用地址組1進行地

NAToutbound2000address-group1

址轉(zhuǎn)換。

7系統(tǒng)測試

7.1系統(tǒng)的測試內(nèi)容

在進行網(wǎng)絡規(guī)劃測試時，我方通?？梢詫y試劃分為以下幾個方面：

（1）網(wǎng)絡系統(tǒng)測試：涵蓋對網(wǎng)絡設備和系統(tǒng)功能的測試，以確保其正常運

行并達到預期的性能水平。

（2）電腦系統(tǒng)測試：對硬件系統(tǒng)的穩(wěn)定性和性能進行評估。

（3）應用程序服務測試：綜合評估和測試網(wǎng)絡服務、安全系統(tǒng)、網(wǎng)絡管理

系統(tǒng)、防病毒系統(tǒng)以及數(shù)據(jù)庫系統(tǒng)的性能和穩(wěn)定性。

（4）全面布線系統(tǒng)測試：對布線系統(tǒng)進行全面檢測，以確保其整體性能滿

足既定標準。

7.2路由故障檢測和排除

TRACERT常被用于路由問題的診斷，有效地幫助解決網(wǎng)絡路徑上的錯誤。

15

湖南商務職業(yè)技術學院畢業(yè)設計

圖2路徑故障檢測圖

7.3鏈路聚合工作狀態(tài)

圖3LSW1鏈路聚合的工作狀態(tài)圖