啟元公司網(wǎng)絡(luò)規(guī)劃與設(shè)計方案

目錄

1企業(yè)簡介.................................................................................................................1

2項目需求分析.........................................................................................................1

2.1項目設(shè)計原則.................................................................................................2

2.2公司各部門人數(shù)統(tǒng)計.....................................................................................2

3網(wǎng)絡(luò)技術(shù)選型.........................................................................................................2

3.1公司網(wǎng)絡(luò)拓撲圖規(guī)劃.....................................................................................2

3.2部門VLAN規(guī)劃............................................................................................3

4網(wǎng)絡(luò)技術(shù)選型.........................................................................................................4

4.1鏈路聚合技術(shù).................................................................................................4

4.2VLAN技術(shù).........................................................................................................4

4.3DHCP技術(shù).........................................................................................................4

4.4NAT技術(shù)............................................................................................................5

4.5MSTP技術(shù).........................................................................................................6

4.6VRRP技術(shù).........................................................................................................7

4.7IRF技術(shù)..............................................................................................................7

4.8OSPF技術(shù)..........................................................................................................8

5網(wǎng)絡(luò)設(shè)備選型.........................................................................................................8

5.1核心交換機.....................................................................................................8

5.2接入層交換機.................................................................................................9

5.3核心路由器.....................................................................................................9

5.4防火墻...........................................................................................................10

6網(wǎng)絡(luò)設(shè)備配置.......................................................................................................11

6.1核心路由器...................................................................................................11

6.2核心交換機1................................................................................................11

6.3核心交換機2................................................................................................14

6.4接入層交換機1（虛擬化配置）................................................................17

I

6.5接入層交換機2（虛擬化配置）................................................................17

6.6接入層虛擬化交換機（生產(chǎn)部）...............................................................18

6.7接入層虛擬化交換機（銷售部）...............................................................19

6.8接入層虛擬化交換機（研發(fā)部）...............................................................19

6.9接入層虛擬化交換機（總樓）...................................................................20

6.10防火墻配置...................................................................................................21

7網(wǎng)絡(luò)性能調(diào)優(yōu).......................................................................................................21

7.1VLAN接口優(yōu)化...............................................................................................21

7.2MSTP優(yōu)化.......................................................................................................22

7.3OSPF優(yōu)化........................................................................................................22

8網(wǎng)絡(luò)測試...............................................................................................................22

9設(shè)計小結(jié)...............................................................................................................25

參考資料..........................................................26

II

湖南商務(wù)職業(yè)技術(shù)學(xué)院畢業(yè)設(shè)計

啟元公司網(wǎng)絡(luò)規(guī)劃與設(shè)計方案

1企業(yè)簡介

啟元藥業(yè)有限公司（以下簡稱啟元公司）集研發(fā)、生產(chǎn)、銷售為一體，具

備原料藥和各類中西藥制劑生產(chǎn)能力，原料藥紅霉素系列、鹽酸四環(huán)素系列、

阿維菌素系列、維生素系列憑借領(lǐng)先的技術(shù)、優(yōu)良的品質(zhì)、規(guī)?；纳a(chǎn)以及

強勁的發(fā)展勢頭，樹譽中外。主導(dǎo)產(chǎn)品紅霉素、鹽酸四環(huán)素系列原料藥規(guī)模占

據(jù)世界首位，銷售市場遍布世界各地。

公司秉承“誠信為本、效率至上”的企業(yè)理念，以“筑譽世界，康健華夏”

為宗旨，始終把人民群眾的用藥安全、有效作為企業(yè)的使命，憑借始終如一的

產(chǎn)品質(zhì)量，使企業(yè)得到市場的廣泛認同，連續(xù)多年獲得區(qū)、市級“守合同，重

信用"企業(yè)稱號。公司被評定為國家重點高新技術(shù)企業(yè)、科技興貿(mào)全國百家重點

出口企業(yè)，建有國家級企業(yè)技術(shù)中心，國家級博士后工作站。鹽酸四環(huán)素原料

藥通過了美國FDA認證、歐洲COS認證和歐盟的EUGMP認證。各劑型所有生

產(chǎn)車間均已通過國家GMP認證。

在新的歷史時期，啟元藥業(yè)以科學(xué)發(fā)展觀為指導(dǎo)，以先進的科研、技術(shù)、

管理，充分發(fā)揮寧夏區(qū)域優(yōu)勢，并以大市場為背景，高起點規(guī)劃，鼎力打造寧

夏醫(yī)藥面向中國、面向世界醫(yī)藥市場的強勢產(chǎn)品、優(yōu)勢企業(yè)。自2003年起公司

連續(xù)投資10多億元完成了紅霉素系列產(chǎn)品技改工程項目以及其它配套項目，使

啟元藥業(yè)的發(fā)酵規(guī)模名列全國前茅，躋身于中國制藥企業(yè)百強之一。在發(fā)展過

程中，公司堅持清潔生產(chǎn)，源頭治理，始終把環(huán)保工作作為“生命工程”來抓，

不斷采用先進的環(huán)保技術(shù)，幾年來，公司共投資2億多元人民幣，用于環(huán)保設(shè)

施的建設(shè)，環(huán)保項目走在所有項目的前面，實現(xiàn)了經(jīng)濟效益和環(huán)境效益雙贏。

2項目需求分析

啟元公司多年來憑借著高質(zhì)量的產(chǎn)品，良好的信譽優(yōu)質(zhì)的服務(wù)，取得用戶

的一致好評，積累了良好的口碑，讓企業(yè)迅速的發(fā)展壯大。目前的企業(yè)的網(wǎng)絡(luò)

環(huán)境已經(jīng)不能滿足自身發(fā)展的需求，加上網(wǎng)絡(luò)設(shè)備使用的年限問題，為了企業(yè)

以后的長遠發(fā)展，企業(yè)決定對整個網(wǎng)絡(luò)環(huán)境進行重新部署。

要求如下：

1、將所有的老設(shè)備都進行更換，并且保證新設(shè)備有六年以上使用壽命。

2、新的網(wǎng)絡(luò)環(huán)境需要滿足企業(yè)業(yè)務(wù)及日常使用。

1

湖南商務(wù)職業(yè)技術(shù)學(xué)院畢業(yè)設(shè)計

3、公司網(wǎng)絡(luò)在出現(xiàn)問題后能夠迅速的發(fā)現(xiàn)問題所在。

4、新的網(wǎng)絡(luò)環(huán)境能夠滿足未來幾年企業(yè)發(fā)展對網(wǎng)絡(luò)的需求。

5、企業(yè)的每個部門都能夠訪問服務(wù)器.

6、網(wǎng)絡(luò)環(huán)境需要一定的可靠性。

7、網(wǎng)絡(luò)部署要與現(xiàn)有網(wǎng)絡(luò)兼容。

2.1項目設(shè)計原則

安全：在網(wǎng)絡(luò)設(shè)計中，應(yīng)充分注意系統(tǒng)的安全性，采用不少于兩種安全

防范技術(shù)和措施，保障系統(tǒng)的安全，包括數(shù)據(jù)安全、設(shè)備安全、各種應(yīng)用系統(tǒng)

的安全。

高可用性：網(wǎng)絡(luò)結(jié)構(gòu)設(shè)計上要充分考慮到系統(tǒng)運行的可用性，要考慮各種

設(shè)備配置對穩(wěn)定性的影響、盡量減少單點故障，保證系統(tǒng)24小時不間斷運行。

可擴展性：網(wǎng)絡(luò)結(jié)構(gòu)要易于擴展，可以在資源不足的情況向方便的進行資

源的擴充，可隨著使用人員的增加而能方便地進行擴展。

易維護：網(wǎng)絡(luò)結(jié)構(gòu)設(shè)計要易于維護，各種設(shè)備使用統(tǒng)一的網(wǎng)關(guān)協(xié)議SNMP，

設(shè)備命名和網(wǎng)絡(luò)實施和有統(tǒng)一的規(guī)范以便于后期的維護。

2.2公司各部門人數(shù)統(tǒng)計

公司包括生產(chǎn)部、研發(fā)部、銷售部等部門，各部門人數(shù)如表1所示：

表1公司各部門及員工宿舍人數(shù)統(tǒng)計

部門人數(shù)

生產(chǎn)部900

研發(fā)部245

辦公部78

銷售部200

3網(wǎng)絡(luò)技術(shù)選型

3.1公司網(wǎng)絡(luò)拓撲圖規(guī)劃

公司的網(wǎng)絡(luò)主要由接入層交換機、核心層交換機、核心路由器等組成。接

入層各端口根據(jù)具體需要，分別接入生產(chǎn)部、研發(fā)部、辦公部、銷售部對應(yīng)的VLAN。

網(wǎng)絡(luò)拓撲如圖1所示：

2

湖南商務(wù)職業(yè)技術(shù)學(xué)院畢業(yè)設(shè)計

圖1網(wǎng)絡(luò)拓撲圖

3.2部門VLAN規(guī)劃

設(shè)備按照部門進行VLAN劃分和網(wǎng)段規(guī)劃，如表2所示：

表2部門VLAN劃分及網(wǎng)段規(guī)劃表

部門IP地址范圍VLAN端口網(wǎng)關(guān)

至

總樓Vlan4054

54

至

生產(chǎn)部1Vlan3054

54

至

銷售部1Vlan2054

54

至

研發(fā)部1Vlan1054

54

至

生產(chǎn)部2Vlan3054

54

銷售部2Vlan20192，168.110.254

至

3

湖南商務(wù)職業(yè)技術(shù)學(xué)院畢業(yè)設(shè)計

54

4網(wǎng)絡(luò)技術(shù)選型

4.1鏈路聚合技術(shù)

隨著企業(yè)的不斷發(fā)展，企業(yè)的網(wǎng)絡(luò)訪問量不斷的增大，導(dǎo)致對企業(yè)網(wǎng)絡(luò)的

可靠性與速率的需求不斷的增加，所以在企業(yè)網(wǎng)絡(luò)中，網(wǎng)絡(luò)的可靠性與速率在

設(shè)計中是十分重要的一環(huán)，而增加企業(yè)網(wǎng)絡(luò)的可靠性就需要從交換機開始。提

高交換機設(shè)備的轉(zhuǎn)發(fā)速率可以在兩個設(shè)備間多增加幾條鏈路或者采用高速率端

口，采用多條鏈路會對IP地址造成浪費，采用高速率端口會增大網(wǎng)絡(luò)搭建的成

本，而鏈路聚合技術(shù)就解決了這些問題。鏈路聚合是邏輯上將兩條或者多條鏈

路捆綁為一條鏈路，這樣就達到了增加設(shè)備鏈路的效果且不會浪費IP地址。鏈

路聚合也會讓網(wǎng)絡(luò)變得更加的可靠，當配置了鏈路聚合的兩個設(shè)備間有一條或

多條鏈路發(fā)生故障時，網(wǎng)絡(luò)流量依然可以進行轉(zhuǎn)發(fā)而不至于因為一條鏈路發(fā)生

故障導(dǎo)致整個網(wǎng)絡(luò)癱瘓。

在本項目中，在兩臺匯聚交換機之間進行鏈路聚合配置，接入層交換機之

間也進行鏈路聚合，提升帶寬，增加網(wǎng)絡(luò)可靠性。應(yīng)用在兩臺核心交換機直接

相連的接口，用于提升該條鏈路帶寬，因為兩臺核心交換機處于核心處，工作

量大，所需要交換的數(shù)據(jù)多且數(shù)據(jù)包大小較大。

4.2VLAN技術(shù)

VLAN是在一個物理網(wǎng)絡(luò)上劃分出來的邏輯網(wǎng)絡(luò)。這個網(wǎng)絡(luò)對應(yīng)于ISO模型

的第二層網(wǎng)絡(luò)。VLAN的劃分不受網(wǎng)絡(luò)端口的實際物理位置的限制。第二層的單

播、廣播和多播幀在一個VLAN內(nèi)轉(zhuǎn)發(fā)、擴散，而不會直接進入其他的VLAN之

中。此設(shè)計中因為終端設(shè)備過多，容易引發(fā)廣播風(fēng)暴導(dǎo)致設(shè)備宕機，降低交換

機性能。所以此處使用VLAN技術(shù)對接入層進行分割廣播域，降低廣播風(fēng)暴發(fā)生

概率，同時能夠達到客戶需求，阻擋某些部門之間的聯(lián)系。

在本項目中，將VLAN應(yīng)用在所有二層交換機下行接口上，為的就是隔離廣

播域，防止太多不必要數(shù)據(jù)幀產(chǎn)生并在廣播域內(nèi)傳遞，降低交換機性能，導(dǎo)致

設(shè)備宕機。

4.3DHCP技術(shù)

現(xiàn)在IP地址變化頻繁變化以及IP地址不足的情況，手動配置容易出現(xiàn)失

4

湖南商務(wù)職業(yè)技術(shù)學(xué)院畢業(yè)設(shè)計

誤導(dǎo)致IP地址沖突且操作繁瑣。DHCP協(xié)議采用C/S模式架構(gòu)，客戶端向服務(wù)器

獲取IP地址可以降低出錯率。是應(yīng)用層協(xié)議，為網(wǎng)絡(luò)設(shè)備以及主機提供TCP/IP

服務(wù)。即插即用性，統(tǒng)一管理，使用效率高，更方便管理，可跨網(wǎng)段實現(xiàn)報文

的交互，交互需要用到DHCP中繼，一般為三層交換機或者路由器。DHCP分為自

動分配，手動分配和動態(tài)分配。自動分配一般用于打印機等固定網(wǎng)絡(luò)設(shè)備，DHCP

會分配固定的IP地址給它，IP地址一般會與設(shè)備MAC地址綁定一起。手動分配

是由管理員指定某一個IP地址給所需網(wǎng)絡(luò)設(shè)備，被手動分配的IP地址不會被

拿來進行動態(tài)分配。動態(tài)分配則是由服務(wù)器進行分配IP地址，有租期限制，租

期到期服務(wù)器便會收回IP地址。此設(shè)計中網(wǎng)絡(luò)設(shè)備較多，手動配置IP地址明

顯操作繁瑣，且容易出現(xiàn)地址沖突，相較于DHCP服務(wù)器去分配更加方便快捷，

對于IP地址的利用效率也更加優(yōu)越，更加易于管理。每一臺聯(lián)網(wǎng)設(shè)備都需要唯

一的IP地址，在DHCP技術(shù)還沒有出現(xiàn)時，每一臺設(shè)備都需要網(wǎng)絡(luò)管理員手動

配置IP地址。當網(wǎng)絡(luò)中的設(shè)備需要移動時，比如用戶和計算機需要更換部門，

又或者服務(wù)器，打印機等聯(lián)網(wǎng)設(shè)備需要移動，采用手動配置靜態(tài)IP地址就需要

網(wǎng)絡(luò)管理員重新手動配置IP地址，這樣既麻煩又費時。DHCP技術(shù)就解決了這一

問題。當客戶端需要連接網(wǎng)絡(luò)時，發(fā)送DHCPDISCOVER消息，當服務(wù)器收到了來

自客戶端的DHCPDISCOVER消息，會保留一個可用的IP地址，即DHCPOFFER，客

戶端收到DHCPOFFER消息，會發(fā)送一條DHCPREQUEST消息來告訴服務(wù)器這個IP

地址客戶端將會租用，服務(wù)器收到DHCPREQUEST消息后會確定這個IP地址沒有

被使用，并以單播DHCPACK回復(fù)。然后客戶端就可以使用這個IP地址進行連

接網(wǎng)絡(luò)。DHCP技術(shù)使得服務(wù)器能夠動態(tài)的為網(wǎng)絡(luò)中的其他設(shè)備提供IP地址，

簡化了移動設(shè)備IP地址的分配。采用DHCP技術(shù)還可以避免手工配置IP地址時

遇到IP地址沖突的情況，確保了整個網(wǎng)絡(luò)的一致性。

在本項目中，將DHCP技術(shù)主要用于兩臺核心交換機的下行接口上。

4.4NAT技術(shù)

每一臺需要聯(lián)網(wǎng)的設(shè)備都需要有一個唯一的IP地址，隨著信息時代的發(fā)展，

大家對網(wǎng)絡(luò)的需求越來越大，越來越多的設(shè)備需要加入到網(wǎng)絡(luò)中，需要連接網(wǎng)

絡(luò)的設(shè)備是爆炸式的增長的，這導(dǎo)致IPV4地址越來越匱乏。隨著這一問題越來

越嚴重，IETF組織實施了幾種解決方案，其中包括了定義私有IPV4地址和公

有IPV4地址以及私有轉(zhuǎn)公網(wǎng)技術(shù)（NAT技術(shù)），這對于長期而言并不能從根源

上解決IPV4地址匱乏的問題，以后能在長期解決這一問題的只有IPV6技術(shù)的

不斷更新迭代。就目前而言，每個家庭或者個人都有著很多需要接入網(wǎng)絡(luò)的設(shè)

5

湖南商務(wù)職業(yè)技術(shù)學(xué)院畢業(yè)設(shè)計

備，很明顯，個人和家庭不可能為每一臺設(shè)備去申請一個公有地址，只能通過

代理商獲得一個臨時的公有IPV4地址，這時候我們想要自己或者家庭里面每一

臺設(shè)備都進行聯(lián)網(wǎng)就離不開私有地址和NAT技術(shù)。NAT它通過允許在內(nèi)部使用

私有IPV4地址進行通信，在需要用到公有地址的時候提供轉(zhuǎn)化。對于內(nèi)部的設(shè)

備需要將流量發(fā)送到外部網(wǎng)絡(luò)與外部網(wǎng)絡(luò)進行通信時，都會通過NAT設(shè)備，將

內(nèi)部使用的私有IPV4地址轉(zhuǎn)化為申請到的公有IPV4地址。

企業(yè)網(wǎng)采用私有IP，Internet采用公有IP，私有IP的路由不允許通告到

Internet，企業(yè)網(wǎng)接入Internet需要向運營商申請公有IP。IPv4公有IP比較

稀缺，申請也需要較高的費用，普通企業(yè)只能申請少量的IPv4公有IP。所以向

運營商申請一小段或1個公有IP，在邊界設(shè)備上做網(wǎng)絡(luò)地址轉(zhuǎn)換，將私有IP轉(zhuǎn)

換成公有IP，然后再訪問Internet。NAT技術(shù)把數(shù)據(jù)包中的IP地址轉(zhuǎn)換為另一

個IP地址，也就是可以將企業(yè)網(wǎng)中的私有地址在需要通過網(wǎng)關(guān)訪問外網(wǎng)時轉(zhuǎn)換

成企業(yè)申請到的公網(wǎng)地址，這樣能有效緩解共有IP地址不足的情況，使用外網(wǎng)

IP對外提供服務(wù)，即Internet訪問企業(yè)的公網(wǎng)IP，然后在邊界設(shè)備上，將這

些公網(wǎng)IP轉(zhuǎn)換到內(nèi)部服務(wù)器上去。此設(shè)計中因為公司內(nèi)網(wǎng)絡(luò)設(shè)備多所以需要的

IPV4地址較多，但是申請大量公網(wǎng)IP地址成本較大且有可能造成不必要的浪費，

所以運用NAT技術(shù)將私有地址轉(zhuǎn)換成公網(wǎng)地址接入以太網(wǎng)能夠節(jié)省大量費用也

能緩解IPV4地址不足的情況。

在本項目中，將NAT用于防火墻的兩個接口上，因為防火墻需要識別數(shù)據(jù)

并且設(shè)計于網(wǎng)絡(luò)邊界上，能夠更方便對于地址的轉(zhuǎn)換。

4.5MSTP技術(shù)

處于數(shù)據(jù)鏈路層的網(wǎng)絡(luò)環(huán)境中只要部署了鏈路冗余就會產(chǎn)生鏈路環(huán)路的情

況，而目前最好能夠解決鏈路環(huán)路的問題是生成樹，當然也可以用Tag或者三

層隔離，生成樹在二層設(shè)備加入后就會開始發(fā)送BPDU報文，里面攜帶的橋優(yōu)先

級和橋ID_Mac能夠選定根橋，根橋確定后流量轉(zhuǎn)發(fā)將由根橋優(yōu)先處理，這就出

現(xiàn)因配置不當導(dǎo)致流量從上行交換機轉(zhuǎn)發(fā)到下行處理的問題，當然經(jīng)驗豐富的

工程師實際情況中不會出現(xiàn)這些問題，早期的生成樹因收斂速度慢，最快30s

的原因目前已經(jīng)被淘汰，取而代之的是經(jīng)過改良的RSTP即快速生成樹，雖然收

斂得到改善但它還是不太適用當下的網(wǎng)絡(luò)環(huán)境，即單域生成樹，不能實現(xiàn)鏈路

冗余和負載轉(zhuǎn)發(fā)，因此多域生成樹是目前能夠快速收斂和冗余負載轉(zhuǎn)發(fā)的生成

樹。

6

湖南商務(wù)職業(yè)技術(shù)學(xué)院畢業(yè)設(shè)計

基于實例計算出多顆生成樹，實例間實現(xiàn)負載分擔(dān)，通過MSTP把一個交換

網(wǎng)絡(luò)劃分成多個域，每個域內(nèi)形成多棵生成樹，生成樹之間彼此獨立。每棵生

成樹叫做一個多生成樹實例MSTI，MSTP網(wǎng)絡(luò)中包含1個或多個MST域（MST

Region），每個MSTRegion中包含一個或多個MSTI。組成MSTI的是運行

STP/RSTP/MSTP的交換設(shè)備，MSTI是所有運行STP/RSTP/MSTP的交換設(shè)備經(jīng)

MSTP協(xié)議計算后形成的樹狀網(wǎng)絡(luò)。此設(shè)計中在接入層交換機與核心交換機上進

行MSTP配置，進行防環(huán)與負載均衡。

在本項目中，將MSTP技術(shù)應(yīng)用于核心交換機與所有二層交換機直接的連接

口，防止產(chǎn)生環(huán)路導(dǎo)致廣播風(fēng)暴，使設(shè)備宕機。

4.6VRRP技術(shù)

前面提到冗余技術(shù)中的網(wǎng)關(guān)冗余，網(wǎng)關(guān)冗余算是網(wǎng)絡(luò)中比較熟悉的容錯協(xié)

議，它允許在“局域網(wǎng)”內(nèi)的多個設(shè)備上使用同一個IP地址并且不會報錯和沖

突檢測的協(xié)議，網(wǎng)關(guān)冗余能夠?qū)⒕W(wǎng)關(guān)虛擬出多個從而當一臺網(wǎng)關(guān)出現(xiàn)問題的時

候快速切換到另一臺繼續(xù)工作，其中包含了優(yōu)先級所以它的缺點是在網(wǎng)絡(luò)中必

須選出主網(wǎng)關(guān)和備網(wǎng)關(guān)且兩臺在同一個網(wǎng)關(guān)下同時工作，另外還需要搭配Track

檢測才能夠檢測上行鏈路進行切換，當不配置的時候是無法切換的，因此在網(wǎng)

絡(luò)部署環(huán)境中需注意，其次使用虛擬網(wǎng)關(guān)最好能夠搭配多域生成樹組網(wǎng)，實現(xiàn)

在網(wǎng)關(guān)冗余的情況下對鏈路進行負載轉(zhuǎn)發(fā)，充分利用好VRRP。

VRRP技術(shù)通過在冗余網(wǎng)關(guān)間共享虛擬MAC和IP地址，保證數(shù)據(jù)轉(zhuǎn)發(fā)時并不

是轉(zhuǎn)給某一個具體網(wǎng)關(guān)的IP，而是把數(shù)據(jù)轉(zhuǎn)發(fā)給虛擬網(wǎng)關(guān)的IP，因此，不論哪

一個路由器成為主路由，都不會影響數(shù)據(jù)通信。通過組播協(xié)議對數(shù)據(jù)端口進行

監(jiān)控，一旦檢測數(shù)據(jù)轉(zhuǎn)發(fā)的端口壞掉，主路由器會停發(fā)HELLO包，備路由器提

升為主路由，實現(xiàn)數(shù)據(jù)的穩(wěn)定高效轉(zhuǎn)發(fā)。通過在冗余網(wǎng)關(guān)間共享虛擬MAC和IP

地址，保證數(shù)據(jù)轉(zhuǎn)發(fā)時并不是轉(zhuǎn)給某一個具體網(wǎng)關(guān)的IP，而是把數(shù)據(jù)轉(zhuǎn)發(fā)給虛

擬網(wǎng)關(guān)的IP，因此，不論哪一個路由器成為主路由，都不會影響數(shù)據(jù)通信。通

過組播協(xié)議對數(shù)據(jù)端口進行監(jiān)控，一旦檢測數(shù)據(jù)轉(zhuǎn)發(fā)的端口壞掉，主路由器會

停發(fā)HELLO包，備路由器提升為主路由，實現(xiàn)數(shù)據(jù)的穩(wěn)定高效轉(zhuǎn)發(fā)。此設(shè)計中

通過將VRRP與MSTP技術(shù)進行鏈路捆綁，來提升網(wǎng)絡(luò)可靠性。

在本項目中，將VRRP技術(shù)應(yīng)用在兩臺核心交換機的下行接口上，形成主備

備份，來維持虛擬網(wǎng)關(guān)，提高網(wǎng)絡(luò)的可靠性。

4.7IRF技術(shù)

7

湖南商務(wù)職業(yè)技術(shù)學(xué)院畢業(yè)設(shè)計

彈性擴展：可以按照用戶需求實現(xiàn)彈性擴展，保證用戶投資。成員設(shè)備之

間物理端口支持聚合功能，IRF系統(tǒng)和上、下層設(shè)備之間的物理連接也支持聚合

功能，這樣通過多鏈路備份提高了鏈路的可靠性；IRF系統(tǒng)由多臺成員設(shè)備組成，

一旦Master設(shè)備故障，系統(tǒng)會迅速自動選舉新的Master，以保證通過系統(tǒng)的業(yè)

務(wù)不中斷，從而實現(xiàn)了設(shè)備級的1：N備份；IRF系統(tǒng)會有實時的協(xié)議熱備份功

能負責(zé)將協(xié)議的配置信息備份到其他所有成員設(shè)備，從而實現(xiàn)1：N的協(xié)議可靠

性。簡化管理：IRF架構(gòu)形成之后，可以連接到任何一臺設(shè)備的任何一個端口就

以登錄統(tǒng)一的邏輯設(shè)備，通過對單臺設(shè)備的配置達到管理整個智能彈性系統(tǒng)以

及系統(tǒng)內(nèi)所有成員設(shè)備的效果，而不用物理連接到每臺成員設(shè)備上分別對它們

進行配置和管理。因此，IRF技術(shù)能夠輕易的將設(shè)備的交換能力、用戶端口的密

度擴大數(shù)倍，從而大幅度提高了設(shè)備的性能。

在本項目中，在接入層交換機實行軟堆疊來提高設(shè)備性能，也方便后續(xù)管

理員對于接入層網(wǎng)絡(luò)設(shè)備的管理，主要是運用在研發(fā)部兩臺交換機之間的連接

接口，銷售部兩臺交換機之間的連接口以及生產(chǎn)部兩臺交換機之間的連接口。

4.8OSPF技術(shù)

OSPF適合在大范圍的網(wǎng)絡(luò)：OSPF協(xié)議當中對于路由的跳數(shù)，它是沒有限制

的，所以O(shè)SPF協(xié)議能用在許多場合，同時也支持更加廣泛的網(wǎng)絡(luò)規(guī)模。只要是

在組播的網(wǎng)絡(luò)中，OSPF協(xié)議能夠支持數(shù)十臺路由器一起運作。OSPF協(xié)議的設(shè)計

是為了避免路由環(huán)路：在使用最短路徑的算法下，收到路由中的鏈路狀態(tài)，然

后生成路徑，這樣不會產(chǎn)生環(huán)路。此設(shè)計中在核心層路由器與兩個核心交換機

上進行OSPF配置，相比于靜態(tài)配置，使用OSPF要更加簡便快捷。OSPF（開放

最優(yōu)路徑優(yōu)先）是一種動態(tài)路由協(xié)議，相比于RIP有著巨大優(yōu)勢，RIP存在著

收斂慢，不能到達遠端路由以及不能選擇最優(yōu)路徑進行轉(zhuǎn)發(fā)等缺點，而OSPF技

術(shù)正好解決了RIP技術(shù)的這些缺點。OSPF有著收斂快，不限定跳數(shù)，將鏈路寬

帶作為選擇路徑的參考值的特點。目前中小型的網(wǎng)絡(luò)環(huán)境中OSPF已經(jīng)成為主流

的動態(tài)路由配置協(xié)議。

在本項目中，將OSPF技術(shù)運用在核心交換機與路由器上的所有接口，確保

它們的路由表非常齊全，不會出現(xiàn)鏈路不同的情況，提升網(wǎng)絡(luò)可靠性。

5網(wǎng)絡(luò)設(shè)備選型

5.1核心交換機

8

湖南商務(wù)職業(yè)技術(shù)學(xué)院畢業(yè)設(shè)計

核心交換機如圖2所示：

圖2核心交換機RG-S5760C-24SFP/8GT8XS-X

交換機參數(shù)

轉(zhuǎn)發(fā)性能：426Mpps/600Mpps

接口數(shù)量：24個SFP光口（含8個COMBO口），8個10G光口用于上聯(lián)

整機交換容量：1.36Tbps/13.6Tbps

管理口：1個MGMT端口、1個Console端口、1個USB端口，符合

USB2.0的標準

擴展槽：預(yù)留2個擴展插槽（RG-S5760C-48GT4XS-HP-X、

RG-S5760C-48SFP4XS-X預(yù)留1個拓展插槽），可用于擴展業(yè)務(wù)板卡和管理板

卡

5.2接入層交換機

接入層交換機如圖3所示：

圖3接入交換機RG-S5310-48GT4XS-E

交換機參數(shù)

固定端口：48個10/100/1000M自適應(yīng)電口，4個1G/10GSFP+光口

交換容量：672Gbps/6.72Tbps

包轉(zhuǎn)發(fā)率：196Mpps/252Mpps

支持二層鏈路聚合支持STP、RSTP、MSTP，MSTP實例數(shù)量65個，出現(xiàn)

鏈路故障后，各個設(shè)備能夠進行生成樹的重新計算。

5.3核心路由器

核心路由器如圖4所示：

9

湖南商務(wù)職業(yè)技術(shù)學(xué)院畢業(yè)設(shè)計

圖4核心路由器RG-N8018-R

路由器參數(shù)

交換容量：409.6Tbps

轉(zhuǎn)發(fā)性能：92753Mpps

主控數(shù)量：2

網(wǎng)板槽位：4

線卡插槽：16

業(yè)務(wù)板插槽：最大64

5.4防火墻

防火墻如圖5所示。

圖5防火墻RG-WALL1600-Z3200

防火墻參數(shù)

固化千兆電口8個GE電口

固化千兆光口1個GE光口

固化萬兆光口1個10GE光口

管理口1個數(shù)據(jù)復(fù)用口（Ge0/0)

Console接口1個

USB接口2個USB2.0接口

10

湖南商務(wù)職業(yè)技術(shù)學(xué)院畢業(yè)設(shè)計

硬盤標配無，可擴展1TB硬盤

電源單電源

6網(wǎng)絡(luò)設(shè)備配置

6.1核心路由器

en#進入系統(tǒng)視圖

conft#進入特權(quán)模式

hostnameR1#修改設(shè)備名

intg0/1#進入指定接口

ipadd#配置IP地址及子網(wǎng)掩碼

noshut#激活接口

intg0/2#進入指定接口

ipadd#配置IP地址及子網(wǎng)掩碼

noshut#激活接口

intlook0#創(chuàng)建lookpback0

ipadd55#配置IP地址及子網(wǎng)掩碼

ex#返回上一模式

ipospf1#配置ospf

router-id#創(chuàng)建路由id

netarea0#發(fā)布lookpback0

net55area0#發(fā)布上連網(wǎng)段

net55area0#發(fā)布下連網(wǎng)段

net55area0#發(fā)布下連網(wǎng)段

ex#返回上一模式

ints0/0#進入指定接口

ipadd#配置IP地址及子網(wǎng)掩碼

noshut#激活接口

6.2核心交換機1

En#進入系統(tǒng)視圖

conft#進入特權(quán)模式

hostnameHJ1#修改設(shè)備名

11

湖南商務(wù)職業(yè)技術(shù)學(xué)院畢業(yè)設(shè)計

iprouting#開啟路由功能

vlan10#創(chuàng)建vlan

vlan20#創(chuàng)建vlan

vlan30#創(chuàng)建vlan

vlan40#創(chuàng)建vlan

ex#返回上一模式

intg0/1#進入指定接口

nosw#不是交換機接口

ipadd#配置IP地址及子網(wǎng)掩碼

noshut#激活接口

exit#返回上一模式

intaggregatePort1#創(chuàng)建聚合接口

switchportmodetrunk#修改接口模式為trunk

switchporttrunkall#放通所有vlan

exi#返回上一模式

intrgi0/6-7#進行批量接口配置

port-group1modeactive#接口組模式改為動態(tài)模式

intg0/2#進入指定接口

swmotr#修改接口模式為trunk

swtrvlall#放通所有vlan

Intg0/3#進入指定接口

swmotr#修改接口模式為trunk

swtrvlall#放通所有vlan

intg0/4#進入指定接口

swmotr#修改接口模式為trunk

swtrvlall#放通所有vlan

intg0/5#進入指定接口

swmotr#修改接口模式為trunk

swtrvlall#放通所有vlan

ex#返回上一模式

spanmstcon#域生成樹模式

rev1#校訂1

nameaaa#域命名

12

湖南商務(wù)職業(yè)技術(shù)學(xué)院畢業(yè)設(shè)計

instance1vlan10,20#加入vlan進入實例

inst2vlan3040#加入vlan進入實例

spanning-trmst1prio8192#對該交換機在指定域內(nèi)的優(yōu)先級進行配置

spanning-trmst2prio4096#對該交換機在指定域內(nèi)的優(yōu)先級進行配置

spanning-tr#生成樹

intvlan10#進入指定vlan

vrrp10ip54#配置網(wǎng)關(guān)冗余IP

vrrp10prio120#配置vrrp優(yōu)先級

intvlan20#進入指定vlan

vrrp20ip54#配置網(wǎng)關(guān)冗余IP

vrrp20prio120#配置vrrp優(yōu)先級

Intvlan30#進入指定vlan

vrrp30ip54#配置網(wǎng)關(guān)冗余IP

vrrp30prio150#配置vrrp優(yōu)先級

intvlan40#進入指定vlan

vrrp40ip54#配置網(wǎng)關(guān)冗余IP

vrrp40prio150#配置vrrp優(yōu)先級

ex#返回上一模式

intlo0#創(chuàng)建lookpback0

ipadd55#配置IP地址及子網(wǎng)掩碼

ex#返回上一模式

routerospf1#配置ospf

router-id#創(chuàng)建路由id

netarea0#發(fā)布lookpback0

net0.0.0..255area0#發(fā)布上連網(wǎng)段

net55area0#發(fā)布下連網(wǎng)段

net55area0#發(fā)布下連網(wǎng)段

net55area0#發(fā)布下連網(wǎng)段

net55area0#發(fā)布下連網(wǎng)段

ex#返回上一模式

ipdhcppoolvlan10#創(chuàng)建并命名IP地址池

net#加入可分配地址網(wǎng)段及掩碼

de54#配置網(wǎng)關(guān)地址

13

湖南商務(wù)職業(yè)技術(shù)學(xué)院畢業(yè)設(shè)計

dns14#添加dns地址

ex#返回上一模式

ipdhcppoolvlan20#創(chuàng)建并命名IP地址池

net#加入可分配地址網(wǎng)段及掩碼

de54#配置網(wǎng)關(guān)地址

dns14#添加dns地址

ex#返回上一模式

ipdhcppoolvlan30#創(chuàng)建并命名IP地址池

net#加入可分配地址網(wǎng)段及掩碼

de54#配置網(wǎng)關(guān)地址

dns14#添加dns地址

ex#返回上一模式

ipdhcppoolvlan40#創(chuàng)建并命名IP地址池

net#加入可分配地址網(wǎng)段及掩碼

de54#配置網(wǎng)關(guān)地址

dns14#添加dns地址

6.3核心交換機2

En#進入系統(tǒng)視圖

conft#進入特權(quán)模式

hostnameHJ2#修改設(shè)備名

iprouting#開啟路由功能

vlan10#創(chuàng)建vlan

vlan20#創(chuàng)建vlan

vlan30#創(chuàng)建vlan

vlan40#創(chuàng)建vlan

ex#返回上一模式

intg0/1#進入指定接口

nosw#不是交換機接口

ipadd#配置IP地址及子網(wǎng)掩碼

noshut#激活接口

exit#返回上一模式

intaggregatePort1#創(chuàng)建聚合接口

14

湖南商務(wù)職業(yè)技術(shù)學(xué)院畢業(yè)設(shè)計

switchportmodetrunk#修改接口模式為trun

switchporttrunkvlanall#放通所有vlan

exi#返回上一模式

intrgi0/6-7#進行批量接口配置

port-group1modeactive#接口組模式改為動態(tài)模式

intg0/2#進入指定接口

swmotr#修改接口模式為trunk

swtrvlall#修改接口模式為access

intg0/3#進入指定接口

swmotr#修改接口模式為trunk

swtrvlall#修改接口模式為access

intg0/4#進入指定接口

swmotr#修改接口模式為trunk

swtrvlall#修改接口模式為access

intg0/5#進入指定接口

swmotr#修改接口模式為trunk

swtrvlall#修改接口模式為access

ex#返回上一模式

spanmstcon#域生成樹模式

rev1#校訂1

nameaaa#域命名

instance1vlan10,20#加入vlan進入實例

inst2vlan3040#加入vlan進入實例

spanning-trmst1prio4096#對該交換機在指定域內(nèi)的優(yōu)先級進行配置

spanning-trmst2prio8192#對該交換機在指定域內(nèi)的優(yōu)先級進行配置

spanning-tr#生成樹

intvlan10#進入指定vlan

vrrp10ip54#配置網(wǎng)關(guān)冗余IP

vrrp10prio150#配置vrrp優(yōu)先級

intvlan20#進入指定vlan

vrrp20ip54#配置網(wǎng)關(guān)冗余IP

vrrp20prio150#配置vrrp優(yōu)先級

intvlan30#進入指定vlan

15

湖南商務(wù)職業(yè)技術(shù)學(xué)院畢業(yè)設(shè)計

vrrp30ip54#配置網(wǎng)關(guān)冗余IP

vrrp30prio120#配置vrrp優(yōu)先級

intvlan40#進入指定vlan

vrrp40ip54#配置網(wǎng)關(guān)冗余IP

vrrp40prio120#配置vrrp優(yōu)先級

ex#返回上一模式

intlo0#創(chuàng)建lookpback0

ipadd55#配置IP地址及子網(wǎng)掩碼

ex#返回上一模式

routerospf1#配置ospf

router-id#創(chuàng)建路由id

netarea0#發(fā)布lookpback0

net0.0.0..255area0#發(fā)布上連網(wǎng)段

net55area0#發(fā)布下連網(wǎng)段

net55area0#發(fā)布下連網(wǎng)段

net55area0#發(fā)布下連網(wǎng)段

net55area0#發(fā)布下連網(wǎng)段

ex#返回上一模式

ipdhcppoolvlan10#創(chuàng)建并命名IP地址池

net#加入可分配地址網(wǎng)段及掩碼

de54#配置網(wǎng)關(guān)地址

dns14#添加dns地址

ex#返回上一模式

ipdhcppoolvlan20#創(chuàng)建并命名IP地址池

net#加入可分配地址網(wǎng)段及掩碼

de54#配置網(wǎng)關(guān)地址

dns14#添加dns地址

ex#返回上一模式

ipdhcppoolvlan30#創(chuàng)建并命名IP地址池

net#加入可分配地址網(wǎng)段及掩碼

de54#配置網(wǎng)關(guān)地址

dns14#添加dns地址

ex#返回上一模式

16

湖南商務(wù)職業(yè)技術(shù)學(xué)院畢業(yè)設(shè)計

ipdhcppoolvlan40#創(chuàng)建并命名IP地址池

net#加入可分配地址網(wǎng)段及掩碼

de54#配置網(wǎng)關(guān)地址

dns14#添加dns地址

6.4接入層交換機1（虛擬化配置）

En#進入系統(tǒng)視圖

conft#進入特權(quán)模式

swvirdo1#創(chuàng)建虛擬區(qū)域

sw1prio200#修改區(qū)域優(yōu)先級

exi#返回上一模式

vsl-aggregateport1#建立虛擬化接口

port-memberinterfaceTen2/25#將物理接口添加進入虛擬化接口

port-memberinterfaceTen7/25#將物理接口添加進入虛擬化接口

exit#返回上一模式

switchconvertmodevirtual#端口模式轉(zhuǎn)變?yōu)樘摂M化

#Areyousuretoconvertswitchtovirtualmode[yes/no]：yes#保

存配置

#Doyouwanttorecovery“config.text”from“virtual_switch.text”

[yes/no]：no#進行重啟，完成虛擬化

6.5接入層交換機2（虛擬化配置）

En#進入系統(tǒng)視圖

conft#進入特權(quán)模式

swvirdo1#創(chuàng)建虛擬區(qū)域

sw1prio200#修改區(qū)域優(yōu)先級

exi#返回上一模式

vsl-aggregateport1#建立虛擬化接口

port-memberinterfaceTen2/25#將物理接口添加進入虛擬化接口

port-memberinterfaceTen7/25#將物理接口添加進入虛擬化接口

exit#返回上一模式

switchconvertmodevirtual#端口模式轉(zhuǎn)變?yōu)樘摂M化

#Areyousuretoconvertswitchtovirtualmode[yes/no]：yes#

17

湖南商務(wù)職業(yè)技術(shù)學(xué)院畢業(yè)設(shè)計

保存配置

#Doyouwanttorecovery“config.text”from

“virtual_switch.text”[yes/no]：no#進行重啟，完成虛擬化

6.6接入層虛擬化交換機（生產(chǎn)部）

En#進入系統(tǒng)視圖

conft#進入特權(quán)模式

vlan10#創(chuàng)建vlan

ex#返回上一模式

interg1/2/12#進入指定接口

noswitchport#不是交換機接口

exit#返回上一模式

interg2/2/12#進入指定接口

noswitchport#不是交換機接口

exit#返回上一模式

switchvirtualdomain1#進入虛擬域

dual-activedetectionbfd#開啟bfd配置

dual-activepairinterfaceg1/2/12interfaceg2/2/12#指定bfd端

口

dual-activeexcludeinterfaceg1/2/11#通過物理端口管理虛擬端口

dual-activeexcludeinterfaceg2/2/11#通過物理端口管理虛擬端口

ex#返回上一模式

Intg1/1/1#進入指定接口

swmotr#修改接口模式為trunk

swtrall#放通所有vlan

intrange1/1/2-48#進行批量接口配置

swmoacc#修改接口模式為access

swaccvlan10#添加歸屬vlan

6.7接入層虛擬化交換機（銷售部）

En#進入系統(tǒng)視圖

conft#進入特權(quán)模式

vlan20#創(chuàng)建vlan

18

湖南商務(wù)職業(yè)技術(shù)學(xué)院畢業(yè)設(shè)計

ex#返回上一模式

interg1/2/12#進入指定接口

noswitchport#不是交換機接口

exit#返回上一模式

interg2/2/12#進入指定接口

noswitchport#不是交換機接口

exit#返回上一模式

switchvirtualdomain1#進入虛擬域

dual-activedetectionbfd#開啟bfd配置

dual-activepairinterfaceg1/2/12interfaceg2/2/12#指定bfd端

口

dual-activeexcludeinterfaceg1/2/11#通過物理端口管理虛擬端口

dual-activeexcludeinterfaceg2/2/11#通過物理端口管理虛擬端口

ex#返回上一模式

Intg1/1/1#進入指定接口

swmotr#修改接口模式為trunk

swtrall#放通所有vlan

intrange1/1/2-48#進行批量接口配置

swmoacc#修改接口模式為access

swaccvlan20#添加歸屬vlan

6.8接入層虛擬化交換機（研發(fā)部）

En#進入系統(tǒng)視圖

conft#進入特權(quán)模式

vlan30#創(chuàng)建vlan

ex#返回上一模式

interg1/2/12#進入指定接口

noswitchport#不是交換機接口

exit#返回上一模式

interg2/2/12#進入指定接口

noswitchport#不是交換機接口

exit#返回上一模式

switchvirtualdomain1#進入虛擬域

19

湖南商務(wù)職業(yè)技術(shù)學(xué)院畢業(yè)設(shè)計

dual-activedetectionbfd#開啟bfd配置

dual-activepairinterfaceg1/2/12interfaceg2/2/12#指定bfd端

口

dual-activeexcludeinterfaceg1/2/11#通過物理端口管理虛擬端口

dual-activeexcludeinterfaceg2/2/11#通過物理端口管理虛擬端口

ex#返回上一模式

Intg1/1/1#進入指定接口

swmotr#修改接口模式為trunk

swtrall#放通所有vlan

intrange1/1/2-48#進行批量接口配置

swmoacc#修改接口模式為access

swaccvlan30#添加歸屬vlan

6.9接入層虛擬化交換機（總樓）

En#進入系統(tǒng)視圖

en#進入系統(tǒng)視圖

conft#進入特權(quán)模式

vlan40#創(chuàng)建vlan

ex#返回上一模式

interg1/2/12#進入指定接口

noswitchport#不是交換機接口

exit#返回上一模式

interg2/2/12#進入指定接口

noswitchport#不是交換機接口

exit#返回上一模式

switchvirtualdomain1#進入虛擬域

dual-activedetectionbfd#開啟bfd配置

dual-activepairinterfaceg1/2/12interfaceg2/2/12#指定bfd端

口

dual-activeexcludeinterfaceg1/2/11#通過物理端口管理虛擬端口

dual-activeexcludeinterfaceg2/2/11#通過物理端口管理虛擬端口

ex#返回上一模式

Intg1/1/1#進入指定接口

20

湖南商務(wù)職業(yè)技術(shù)學(xué)院畢業(yè)設(shè)計

swmotr#修改接口模式為trunk

swtrall#放通所有vlan

intrange1/1/2-48#進行批量接口配置

swmoacc#修改接口模式為access

swaccvlan40#添加歸屬vlan

6.10防火墻配置

En#進入系統(tǒng)視圖

conft#進入特權(quán)模式

route#配置靜態(tài)路由

access-list101permitip55any#配置acl,放通

指定網(wǎng)段IP地址

ipnatpoolanetmask48

#配置nat池子及子網(wǎng)掩碼

ipnatinsidesourcelist101poolaoverload#將acl與nat池子綁定

intg0/1#進入指定接口

ipadd#配置IP地址及子網(wǎng)掩碼

noshut#激活接口

ipnatinside#nat入口

intg0/2#進入指定接口

ipadd48#配置IP地址及子網(wǎng)掩碼

ipnatoutside#nat出口

noshut#激活接口

7網(wǎng)絡(luò)性能調(diào)優(yōu)

7.1VLAN接口優(yōu)化

由于網(wǎng)絡(luò)配置問題，放通所有v