湖南鵬輝公司網(wǎng)絡(luò)規(guī)劃與設(shè)計

湖南商務(wù)職業(yè)技術(shù)學(xué)院畢業(yè)設(shè)計

目錄

1.項目簡介...........................................................1

1.1項目背景......................................................1

1.2公司簡介......................................................1

2.公司網(wǎng)絡(luò)設(shè)計.......................................................1

2.1公司網(wǎng)絡(luò)結(jié)構(gòu)..................................................2

2.2公司網(wǎng)絡(luò)拓?fù)?.................................................2

2.3地址資源規(guī)劃..................................................3

2.4設(shè)備選型......................................................3

3.相關(guān)網(wǎng)絡(luò)技術(shù).......................................................6

3.1OSPF路由協(xié)議.................................................6

3.2VLAN邏輯化本地網(wǎng)絡(luò)部署.......................................6

3.3DHCPIP動態(tài)地址分配..........................................7

3.4MSTP多域生成樹部署...........................................7

3.5堆疊技術(shù)......................................................7

3.6VRRP虛擬網(wǎng)關(guān)冗余協(xié)議.........................................8

3.7NAT地址轉(zhuǎn)換..................................................8

3.8ACL匹配工具..................................................8

4.網(wǎng)絡(luò)配置...........................................................9

4.1VLAN配置.....................................................9

4.2OSPF配置.....................................................9

4.3鏈路聚合配置.................................................10

4.4MSTP配置....................................................10

4.5VRRP配置....................................................10

4.6NAT配置.....................................................11

4.7SSH配置.....................................................11

4.8DHCP配置....................................................12

II

湖南商務(wù)職業(yè)技術(shù)學(xué)院畢業(yè)設(shè)計

5.網(wǎng)絡(luò)測試..........................................................12

6.設(shè)計小結(jié)..........................................................13

參考資料............................................................15

III

湖南商務(wù)職業(yè)技術(shù)學(xué)院畢業(yè)設(shè)計

湖南鵬輝公司網(wǎng)絡(luò)規(guī)劃與設(shè)計

1.項目簡介

1.1項目背景

為了使計算機(jī)之間的通信聯(lián)接可靠，建立了分層通信體系和相應(yīng)的網(wǎng)絡(luò)通

信協(xié)議，于是誕生了以資源共享為主要目的的計算機(jī)網(wǎng)絡(luò)。一個優(yōu)秀的網(wǎng)絡(luò)結(jié)

構(gòu)有助于增強(qiáng)網(wǎng)絡(luò)的性能、使網(wǎng)絡(luò)更易于管理和實現(xiàn)，同時具備一定的網(wǎng)絡(luò)吞

吐能力，具有可管理性、高穩(wěn)定性等特點。因此在風(fēng)絡(luò)規(guī)劃時應(yīng)遵循層次設(shè)計

的思想，以簡化網(wǎng)絡(luò)的構(gòu)建。通常網(wǎng)絡(luò)設(shè)計分為核心層、匯聚層和接入層，其

中，核心層提供網(wǎng)絡(luò)節(jié)點之間的最佳傳輸通道;匯聚層提供基于策略的連接控制:

接入層提供用戶接入網(wǎng)絡(luò)的通道。每一層都為網(wǎng)絡(luò)提供了特定而必要的功能，

通過各層功能的配合，從而構(gòu)建一個功能完善的IP網(wǎng)。

1.2公司簡介

湖南鵬輝公司成立于2011，湖南鵬輝公司前身名字叫做鵬輝網(wǎng)絡(luò)工作室，

前期主營電腦器材、網(wǎng)絡(luò)設(shè)備為主，并與電信合作參與電腦保姆卡市場推廣。

于2013年正式接手大型網(wǎng)站排名優(yōu)化業(yè)務(wù)，2013年12月，由工作室CEO王林

正式注冊飄”鵬輝網(wǎng)絡(luò)科技有限公司。湖南鵬輝公司遵從顧客至上，銳意進(jìn)取

的經(jīng)營理念，堅持客戶第—的原則為廣大客戶提供優(yōu)質(zhì)的服務(wù)。湖南鵬輝專注

于網(wǎng)絡(luò)行業(yè)運(yùn)營和營銷外包。以“網(wǎng)絡(luò)服務(wù)和網(wǎng)站建設(shè)”為核心產(chǎn)品，形成了針

對政府、企業(yè)、媒體等不行同業(yè)、不同規(guī)模、不同應(yīng)用的等系列產(chǎn)品和針對性

解決方案。

2.公司網(wǎng)絡(luò)設(shè)計

隨著公司業(yè)務(wù)的擴(kuò)展和發(fā)展，現(xiàn)有的網(wǎng)絡(luò)架構(gòu)可能已經(jīng)無法滿足公司的需

求。例如，公司員工數(shù)量不斷增加，電子郵件、在線文件存儲和視頻會議等網(wǎng)

絡(luò)應(yīng)用的需求也正在增加，原先的網(wǎng)絡(luò)架構(gòu)可能已經(jīng)無法支撐這些需求。因此，

網(wǎng)絡(luò)工程項目的設(shè)計需要充分考慮業(yè)務(wù)需求，確保網(wǎng)絡(luò)能夠滿足企業(yè)的需求。

隨著科技的不斷進(jìn)步，網(wǎng)絡(luò)技術(shù)也在不斷地更新和升級。網(wǎng)絡(luò)工程項目的設(shè)計

也需要緊跟技術(shù)發(fā)展的步伐，采用最新的技術(shù)和設(shè)備，以提高網(wǎng)絡(luò)的性能和效

率。網(wǎng)絡(luò)安全問題日益突出，黑客攻擊、病毒感染等安全威脅給企業(yè)帶來了巨

1

湖南商務(wù)職業(yè)技術(shù)學(xué)院畢業(yè)設(shè)計

大的損失。網(wǎng)絡(luò)工程項目的設(shè)計需要充分考慮網(wǎng)絡(luò)的安全性，采取有效的安全

措施，保護(hù)企業(yè)的信息安全。網(wǎng)絡(luò)工程項目的設(shè)計需要考慮用戶的使用，做到

便捷。

2.1公司網(wǎng)絡(luò)結(jié)構(gòu)

公司網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)公司采用星型拓?fù)浣Y(jié)構(gòu)，以核心交換機(jī)為中心，連接各

個子網(wǎng)和終端設(shè)備。每個部門的子網(wǎng)通過交換機(jī)連接到核心交換機(jī)，實現(xiàn)互聯(lián)

互通。IP地址規(guī)劃公司采用私有IP地址，使用CIDR地址劃分方法，將整個局

域網(wǎng)劃分為若干個子網(wǎng)，并為每個子網(wǎng)分配一個唯一的IP地址段。具體規(guī)劃如

下：人事部-/24；銷售部-/24；市場部

-/24；技術(shù)部-/24；財務(wù)部-/24；科研部

-/24，設(shè)備配置核心交換機(jī)，采用高性能交換機(jī)，支持VLAN、STP、

QoS等功能，保證網(wǎng)絡(luò)的可靠性和穩(wěn)定性。配置多個上行口，連接到核心路由器

和外網(wǎng)，實現(xiàn)Internet訪問。

2.2公司網(wǎng)絡(luò)拓?fù)?/p>

公司網(wǎng)絡(luò)分為防火墻，核心交換機(jī)，匯聚交換機(jī)和接入交換機(jī)，接入交換

機(jī)分別連接各個部門，具體網(wǎng)絡(luò)拓?fù)淙鐖D1所示。

圖1公司網(wǎng)絡(luò)拓?fù)鋱D

2

湖南商務(wù)職業(yè)技術(shù)學(xué)院畢業(yè)設(shè)計

2.3地址資源規(guī)劃

公司總部網(wǎng)絡(luò)地址資源規(guī)劃圖表如表1所示：

表1IP地址資源分配表

接入?yún)^(qū)域

分組地址資源子網(wǎng)地址資源范圍虛擬接入VLAN

人事部/241.1-1.25410

銷售部/242.1-2.25420

市場部/243.1-3.25430

技術(shù)部/244.1-4.25440

財務(wù)部/245.1-5.25450

科研部/246.1-6.25460

無線接入點/247.1-7.25470

無線用戶/248.1-8.25480

互聯(lián)區(qū)域

核心交換機(jī)1/30出口防火墻/30

核心交換機(jī)2/30出口防火墻/30

公網(wǎng)

防火墻/30/30

Intelnet

2.4設(shè)備選型

總部的設(shè)備包括：外網(wǎng)防火墻設(shè)備，核心交換機(jī)，匯聚交換機(jī)，接入交換

機(jī)，網(wǎng)閘，路由等設(shè)備，設(shè)備的數(shù)量，技術(shù)參數(shù)如表2至表6所示：

表2防火墻

設(shè)備名稱設(shè)備級別設(shè)備圖例

H3C-F1000-A-G2核心出口防火墻

設(shè)備數(shù)量設(shè)備接口

價格

45570元1臺8個光口，16個電口

3

湖南商務(wù)職業(yè)技術(shù)學(xué)院畢業(yè)設(shè)計

技術(shù)支持

SOP虛擬防火墻技術(shù)，支持CPU,內(nèi)存等硬件資源劃分的完全虛擬化，安

全區(qū)域劃分。多種攻擊安全防護(hù)，防止Land攻擊，portscaner，arp欺騙

攻擊，多鏈路負(fù)載攻擊，死亡之ping等有效防護(hù)，虛擬化技術(shù)劃分多個邏

輯防火墻，支持多種技術(shù)的性能管理，支持標(biāo)準(zhǔn)和擴(kuò)展的包過濾防火墻技術(shù)，

支持基于VLAN和Port的對象和安全策略，分析上次應(yīng)用使用具體流量，

對P2P鏈接如比特彗星等應(yīng)用軟件采用點到點流量的下載過濾，攔截木馬，

掃描特征庫對數(shù)據(jù)報文中的病毒進(jìn)行檢測，云特征庫定期自動升級，支持廣

域網(wǎng)IPsecVPN的建立和使用。

表3核心交換機(jī)

設(shè)備名稱設(shè)備級別設(shè)備圖例

H3C-S5820X-28S核心交換機(jī)

設(shè)備價格數(shù)量設(shè)備接口

24560元1臺8個光口，24個電口

技術(shù)支持

設(shè)備為數(shù)據(jù)做高速處理轉(zhuǎn)發(fā)，并提高數(shù)據(jù)可靠性，通過VSU技術(shù)冗余，有

獨立的IP路由表，ARP表，多種IPV4，IPV6的路由協(xié)議.支持預(yù)加載版本極大

縮短升級時間，支持作為Parent管理接入交換機(jī)和AP支持2層AS架構(gòu)，支持

直接對業(yè)務(wù)報文標(biāo)記以獲得丟包數(shù)量和丟包率的實時統(tǒng)計支持二三層網(wǎng)絡(luò)網(wǎng)絡(luò)

級和設(shè)備級丟包數(shù)量和丟包率統(tǒng)計，支持Telemetry技術(shù)，實時采集設(shè)備數(shù)據(jù)

并上送至華為園區(qū)網(wǎng)絡(luò)分析器，及時有效界定故障及定位故障原因，精準(zhǔn)保障

用戶體驗，支持iStack堆疊，將多臺支持堆疊特性的交換機(jī)邏輯上組合成以太

虛擬交換機(jī)支持成員間幾余備份，提搞了設(shè)備級可靠性。

表4匯聚交換機(jī)

設(shè)備名稱設(shè)備級別設(shè)備圖例

52P-EI-H124/48匯聚數(shù)據(jù)交換機(jī)

設(shè)備價格數(shù)量設(shè)備接口

10674元2臺4個光口，48個電口

4

湖南商務(wù)職業(yè)技術(shù)學(xué)院畢業(yè)設(shè)計

技術(shù)支持

設(shè)備提供多接口和匯聚流量的高速轉(zhuǎn)發(fā)，支持支持4K802.1QVLAN，支持

PortbasedVLAN，支持PrivateVLAN，支持GVRP，支持SuperVLAN，支持基

本QinQ，支持LACP(802.3ad)，支持基于流的鏡像，支持多對一端口鏡像及--

對多端口鏡像支持RSPAN，支持聚合鏈路的鏡像，支持STP、RSTP、MSTP，支

持DHCPServer，支持DHCPClient，支持DHCPSnooping，支持DHCPRelay，

持IPv6DHCPSnooping，支持IPv6DHCPClient，支持IPv6DHCPRelay，IPv6

編址、ICMPv6、PathMTU，Discovery支持靜態(tài)路由，支持RIP，RIPng，支持

OSPFv2,OSPFv3,IS-ISv4,IS-ISv6，支持BGP4，BGP4+，支持等價路由。過

濾非法的MAC地址，支持BFD柆測、支持REUP、支持RLDP、支持申源1+1冗

余各價、屯源模快、凡扇模抉支持熱插拔功能.

表5無線接入點

設(shè)備名稱設(shè)備級別設(shè)備圖例

H3CA61-1500接入無線AP

設(shè)備價格數(shù)量設(shè)備接口

1250以太網(wǎng)口2個，usb口

5臺

元1個，console口1個

技術(shù)支持

固定端口1個復(fù)位開關(guān)，無線速率1個10/100/1000Base-T以太網(wǎng)端口建

議帶機(jī)量12V/1.5ADC供電，SSID數(shù)量3000Mbps(2.4G:2*2MIMO,5G:

2*2MIMO)工作頻段802.11ax/ac/n/a：5.15-5.35GHz，5.725GHz-5.850GHz（中

國）802.11ax/b/g/n：2.4GHz-2.483GHz（中國）指示燈內(nèi)置LED：系統(tǒng)狀態(tài)

指示燈，天線內(nèi)置4根高增益全向天線，頻寬支持160MHz頻寬，POE供電支

持802.3af/802.3at兼容供電，環(huán)境工作溫度：0°C~40°C功耗工作濕度：5%～

95%，非凝露，外形尺寸≤10W，重量Ф220mm*37mm撥碼開關(guān)0.60kg機(jī)身，

認(rèn)證多用戶模式，廣覆蓋模式。

表6接入交換機(jī)

5

湖南商務(wù)職業(yè)技術(shù)學(xué)院畢業(yè)設(shè)計

設(shè)備名稱設(shè)備級別設(shè)備圖例

S5720-56C-EI-AC接入交換機(jī)

設(shè)備價數(shù)量設(shè)備接口

格

4450元2臺內(nèi)網(wǎng)接口8個，外網(wǎng)接口

8個

技術(shù)支持

豐富業(yè)務(wù)特性：支持4KVLAN、GuestVLAN、VoiceVLAN、MUXVLAN功能，

MAC自動學(xué)習(xí)及老化，靜態(tài)/動態(tài)/黑洞MAC表項，源MAC地址過濾等，穩(wěn)定網(wǎng)絡(luò)

環(huán)境，三層路由協(xié)議，具備成熟的IPv6特性，支持IPV4/Pv6雙協(xié)議棧，支持IPv6

Ping、6to4，支持靜態(tài)路由，支持RIng,OSPF,ECMP.ISIS、BGP.VRRP等協(xié)議。

智能堆疊技術(shù)，將多臺交換機(jī)組合從邏輯上虛擬為一臺，實現(xiàn)多設(shè)備之間冗余

備份，鏈路聚合，提高設(shè)備可靠性，擴(kuò)展端口數(shù)、帶亮和處理能力，并對所有

成員設(shè)備統(tǒng)一管理。高級隊列調(diào)度高品質(zhì)QoS能力，完善的隊列調(diào)度算法，擁

塞控制算法，創(chuàng)新的優(yōu)先級調(diào)度算法和多級隊列調(diào)度機(jī)制，實現(xiàn)對數(shù)據(jù)流的精

確調(diào)度。

3.相關(guān)網(wǎng)絡(luò)技術(shù)

3.1OSPF路由協(xié)議

在配置一個網(wǎng)絡(luò)時，數(shù)據(jù)包的轉(zhuǎn)發(fā)需要通過尋址轉(zhuǎn)發(fā)。通過路由表查找路

由來轉(zhuǎn)發(fā)數(shù)據(jù)包。路由可以來源于靜態(tài)路由以及動態(tài)路由協(xié)議學(xué)習(xí)。在復(fù)雜的

網(wǎng)絡(luò)環(huán)境下，通過手工來配置靜態(tài)路由往往會出現(xiàn)錯誤，而通過動態(tài)的方式學(xué)

習(xí)路由免去了繁雜的配置也避免了許多錯誤。因此動態(tài)路由在搭建一個網(wǎng)絡(luò)的

時候往往是不可或缺的。

區(qū)別于距離矢量路由協(xié)議，OSPF每個路由器都掌握所在區(qū)域上所有路由器

的鏈路狀態(tài)信息，了解整個網(wǎng)絡(luò)的拓?fù)淝闆r，因此可以獨立的計算出到達(dá)任意

目的地的路由。本方案動態(tài)路由采用OSPF協(xié)議。

3.2VLAN邏輯化本地網(wǎng)絡(luò)部署

VLAN是建立在物理網(wǎng)絡(luò)基礎(chǔ)上的一種邏輯子網(wǎng)。通過虛擬技術(shù)，把局域網(wǎng)

6

湖南商務(wù)職業(yè)技術(shù)學(xué)院畢業(yè)設(shè)計

（LAN）劃分成好幾個不同的VLAN，而且使得網(wǎng)絡(luò)接入不再局限于物理地址上的

約束。VLAN內(nèi)部可以相互溝通，不過VLAN之間不能直接溝通，必須經(jīng)過特殊設(shè)

置的路由器才可以。

這樣做的實際意義主要有兩個。一個是通過分割，在較大的LAN中創(chuàng)建不

同的VLAN，可以抵御廣播風(fēng)暴的影響，同時可以多設(shè)置防火墻來大大提高網(wǎng)絡(luò)

的安全性。另外一個是有助于提高工作效率和接入速度。

簡單說來vlan就是為了讓一個原本過于龐大的局域網(wǎng)，劃分成若干個小局

域網(wǎng)，因此各自子網(wǎng)內(nèi)部的廣播風(fēng)暴以及其他無用流量信息限制在本子網(wǎng)內(nèi)，

降低網(wǎng)絡(luò)風(fēng)暴引起的網(wǎng)絡(luò)故障。

3.3DHCPIP動態(tài)地址分配

在IP網(wǎng)絡(luò)中，每個連接Internet的設(shè)備都需要分配唯一的IP地址。DHCP

使網(wǎng)絡(luò)管理員能從中心結(jié)點監(jiān)控和分配IP地址。當(dāng)某臺計算機(jī)移到網(wǎng)絡(luò)中的其

它位置時，能自動收到新的IP地址。DHCP實現(xiàn)的自動化分配IP地址不僅降低

了配置和部署設(shè)備的時間，同時也降低了發(fā)生配置錯誤的可能性。另外DHCP服

務(wù)器可以管理多個網(wǎng)段的配置信息，當(dāng)某個網(wǎng)段的配置發(fā)生變化時，管理員只

需要更新DHCP服務(wù)器上的相關(guān)配置即可，實現(xiàn)了集中化管理。

DHCP協(xié)議采用UDP作為傳輸協(xié)議，DHCP客戶端發(fā)送請求消息到DHCP服務(wù)

器的68號端口，DHCP服務(wù)器回應(yīng)應(yīng)答消息給DHCP客戶端的67號端口。只有跟

DHCP客戶端在同一個網(wǎng)段的DHCP服務(wù)器才能收到DHCP客戶端廣播的DHCP

DISCOVER報文。當(dāng)DHCP客戶端與DHCP服務(wù)器不在同一個網(wǎng)段時，必須部署

DHCP中繼來轉(zhuǎn)發(fā)DHCP客戶端和DHCP服務(wù)器之間的DHCP報文。在DHCP客戶端

看來，DHCP中繼就像DHCP服務(wù)器；在DHCP服務(wù)器看來，DHCP中繼就像DHCP

客戶端。

3.4MSTP多域生成樹部署

多生成樹協(xié)議MSTP（MultipleSpanningTreeProtocol）是IEEE802.1s中

定義的生成樹協(xié)議，通過生成多個生成樹，來解決以太網(wǎng)環(huán)路問題。MSTP的功

能:在以太網(wǎng)中部署MSTP協(xié)議后可實現(xiàn)如下功能：形成多棵無環(huán)路的樹，解決

廣播風(fēng)暴并實現(xiàn)冗余備份。多棵生成樹在VLAN間實現(xiàn)負(fù)載均衡，不同VLAN的

流量按照不同的路徑轉(zhuǎn)發(fā)。

3.5堆疊技術(shù)

7

湖南商務(wù)職業(yè)技術(shù)學(xué)院畢業(yè)設(shè)計

堆疊系統(tǒng)多臺成員交換機(jī)之間形成冗余備份，如下圖所示，SwitchA和

SwitchB組成堆疊系統(tǒng)，SwitchA和SwitchB相互備份，SwitchA故障時，SwitchB

可以接替SwitchA保證系統(tǒng)的正常運(yùn)行。另外，堆疊系統(tǒng)支持跨設(shè)備的鏈路聚

合功能，也可以實現(xiàn)鏈路的冗余備份。

3.6VRRP虛擬網(wǎng)關(guān)冗余協(xié)議

VRRP（VirtualRouterRedundancyProtocol，虛擬路由器冗余協(xié)議）將可

以承擔(dān)網(wǎng)關(guān)功能的路由器加入到備份組中，形成一臺虛擬路由器，由VRRP的選

舉機(jī)制決定哪臺路由器承擔(dān)轉(zhuǎn)發(fā)任務(wù)，局域網(wǎng)內(nèi)的主機(jī)只需將虛擬路由器配置

為缺省網(wǎng)關(guān)。

VRRP是一種容錯協(xié)議，在提高可靠性的同時，簡化了主機(jī)的配置。在具有

多播或廣播能力的局域網(wǎng)（如以太網(wǎng)）中，借助VRRP能在某臺設(shè)備出現(xiàn)故障時

仍然提供高可靠的缺省鏈路，有效避免單一鏈路發(fā)生故障后網(wǎng)絡(luò)中斷的問題，

而無需修改動態(tài)路由協(xié)議、路由發(fā)現(xiàn)協(xié)議等配置信息。VRRP協(xié)議的實現(xiàn)有

VRRPv2和VRRPv3兩個版本，VRRPv2于IPv4，VRRPv3基于IPv6。

VRRP路由器：所有運(yùn)行VRRP協(xié)議的路由器就叫做VRRP路由器。

VRRP備份組：多臺路由器被分到一個組中，在這個組中選舉出一臺主路由

器，其他作為備份路由器。平常時候都是主路由器一個工作，備份路由器空閑，

當(dāng)主路由器故障后，從多臺備份路由器中選舉出一臺替代故障的主路由器工作。

這一組中的路由器構(gòu)成了一個備份組。

3.7NAT地址轉(zhuǎn)換

在正常情況下，我們內(nèi)網(wǎng)中所使用的地址均為私網(wǎng)IP地址，因為在現(xiàn)如今

的網(wǎng)絡(luò)中IPV6還未普及，而IPV4地址又是有限的，所以在Internet中IPV4

地址的租用是非常昂貴的，如果要給公司每一個設(shè)備都分配一個公網(wǎng)地址，是

需要一筆很高的費用的。所以一般情況下，一個公司同使用一個或兩個公網(wǎng)IP

地址。在需要訪問外網(wǎng)是，將私網(wǎng)地址轉(zhuǎn)換為公網(wǎng)地址，這里就需要應(yīng)用到NAT

技術(shù)。同時NAT技術(shù)也可以隔離外網(wǎng)。一般情況下外網(wǎng)是無法主動訪問內(nèi)網(wǎng)的，

所以又起到了安全的作用。當(dāng)內(nèi)網(wǎng)存在服務(wù)器時，如果需要提供給外網(wǎng)服務(wù)，

那靜態(tài)NAT技術(shù)也可以將服務(wù)器映射到外網(wǎng)。

3.8ACL匹配工具

ACL可以通過對網(wǎng)絡(luò)中報文流的精確識別，與其他技術(shù)結(jié)合，達(dá)到控制網(wǎng)絡(luò)

8

湖南商務(wù)職業(yè)技術(shù)學(xué)院畢業(yè)設(shè)計

訪問行為、防止網(wǎng)絡(luò)攻擊和提高網(wǎng)絡(luò)帶寬利用率的目的，從而切實保障網(wǎng)絡(luò)環(huán)

境的安全性和網(wǎng)絡(luò)服務(wù)質(zhì)量的可靠性。在本章節(jié)中，將介紹ACL的基本原理和

基本作用，ACL的不同種類及特點，ACL的基本組成和匹配順序，通配符的使用

方法和ACL的相關(guān)配置。技術(shù)背景：需要一個工具，實現(xiàn)流量過濾隨著網(wǎng)絡(luò)的

飛速發(fā)展，網(wǎng)絡(luò)安全和網(wǎng)絡(luò)服務(wù)質(zhì)量QoS（QualityofService）問題日益突出。

ACL是由一系列permit或deny語句組成的、有序規(guī)則的列表。ACL是一個匹配

工具，能夠?qū)笪倪M(jìn)行匹配和區(qū)分。ACL應(yīng)用匹配IP流量在Traffic-filter

中被調(diào)用。

4.網(wǎng)絡(luò)配置

4.1VLAN配置

以此為例：

#宣告業(yè)務(wù)網(wǎng)段

[SW1]vlan10

[SW1-vlan10]portg1/0/1

[SW1-vlan10]vlan20

[SW1-vlan20]portg1/0/6

[SW1]vlan30

[SW1-vlan30]portg1/0/10

[SW1-vlan30]vlan40

[SW1-vlan20]portg1/0/15

#創(chuàng)建vlan并將對應(yīng)的接口加入到對應(yīng)的vlan

4.2OSPF配置

以此為例：

[S1]ospfrouter-id

#配置ospfroute-id

[R1-ospf-1]area0

#區(qū)域0

[R1-ospf-1-area-]network55

[R1-ospf-1-area-]network55

[R1-ospf-1-area-]network55

9

湖南商務(wù)職業(yè)技術(shù)學(xué)院畢業(yè)設(shè)計

[R1-ospf-1-area-]network55

4.3鏈路聚合配置

以此為例：

[SW1]interfaceBridge-Aggregation1

[SW1]interfaceg1/0/21

[SW1-GigabitEthernet1/0/2]portlink-aggregationgroup1

[SW1]interfaceg1/0/22

[SW1-GigabitEthernet1/0/2]portlink-aggregationgroup1

#創(chuàng)建聚合端口組，并將需要聚合的端口加入到聚合端口組。

4.4MSTP配置

以此為例：

[SW1]stpregion-configuration

#進(jìn)入域配置

[SW1-mst-region]region-nameh3c1

#配置域名

[SW1-mst-region]revision-level1

#配置修訂級別

[SW1-mst-region]instance1vlan1020

#將vlan10vlan20映射到實例1

[SW1-mst-region]instance2vlan3040

#將vlan30vlan40映射到實例2

[SW1-mst-region]activeregion-configuration

#激活域配置

[SW1]stpinstance1rootprimary

#將SW1設(shè)置為實例1的主根

[SW1]stpinstance2rootsecondary

#將SW1設(shè)置為實例2的主根

4.5VRRP配置

以此為例：

[SW1-Vlan-interface10]vrrpvrid10virtual-ip54

10

湖南商務(wù)職業(yè)技術(shù)學(xué)院畢業(yè)設(shè)計

#配置vrrp組的虛擬ip

[SW1-Vlan-interface10]vrrpvrid10priority120

#將vrrp組10的優(yōu)先級改為120

4.6NAT配置

以此為例：

[R1]aclbasic2000

[R1-acl-ipv4-basic-2000]rulepermitsource55

[R1-acl-ipv4-basic-2000]rulepermitsource55

配置基礎(chǔ)ACL匹配業(yè)務(wù)網(wǎng)段

[R1]interfaceg0/0

[R1-GigabitEthernet0/0]natoutbound2000

#在公網(wǎng)接口上將配置NAT所以公網(wǎng)接口的地址

[R1-GigabitEthernet0/0]natserverprotocoltcpglobalcurrent-interface

2021inside02021

#配置natserver將服務(wù)器的地址映射出去，讓外網(wǎng)可以訪問服務(wù)器。

4.7SSH配置

以此為例：

[R1]user-interfacevty04

#進(jìn)入控制臺配置

[R1-line-vty0-4]authentication-modescheme

#選擇驗證方式為用戶名加密碼

[R1-line-vty0-4]user-rolelevel-15

#設(shè)置用戶級別

[R1-line-vty0-4]protocolinboundssh

#設(shè)置服務(wù)

[R1]local-userwangdayeclassmanage

#創(chuàng)建用戶

[R1-luser-manage-wangdaye]passwordsimple123456

#配置用戶密碼

[R1-luser-manage-wangdaye]service-typessh

#配置服務(wù)類型

11

湖南商務(wù)職業(yè)技術(shù)學(xué)院畢業(yè)設(shè)計

[R1-luser-manage-wangdaye]authorization-attributeuser-rolelevel-15

#配置用戶級別

4.8DHCP配置

以此為例：

[R1]dhcpserverip-pool1

#創(chuàng)建地址池

[R1-dhcp-pool-1]networkmask

#配置地址池使用的網(wǎng)段

[R1-dhcp-pool-1]gateway-list54

#指定網(wǎng)關(guān)地址

[R1-dhcp-pool-1]dns-list817

#指定DNS地址

5.網(wǎng)絡(luò)測試

通過技術(shù)部pc去ping安全部、人事部、財務(wù)部、市場部和科研部的終端

以測試部門連通性，如圖2、圖3、圖4、圖5、圖6所示，驗證方案可用。