上河商務(wù)公司網(wǎng)絡(luò)規(guī)劃與設(shè)計方案

湖南商務(wù)職業(yè)技術(shù)學院畢業(yè)設(shè)計

目錄

1項目背景.........................................................1

2項目需求分析.....................................................1

3項目規(guī)劃.........................................................1

3.1公司成員....................................................1

3.2企業(yè)網(wǎng)絡(luò)拓撲圖規(guī)劃..........................................2

3.3地址資源規(guī)劃................................................2

3.4設(shè)備選用....................................................3

4網(wǎng)絡(luò)協(xié)議選用.....................................................5

4.1VLAN虛擬局域網(wǎng)技術(shù).........................................5

4.2DHCP動態(tài)地址規(guī)劃...........................................6

4.3Eth-Trunk鏈路聚合技術(shù)......................................7

4.4MSTP多生成樹協(xié)議...........................................8

4.5VRRP虛擬路由冗余協(xié)議.......................................8

4.6OSPF開放式最短路徑優(yōu)先.....................................9

4.7ACL訪問控制鏈表............................................9

5網(wǎng)絡(luò)配置.........................................................9

5.1VLAN配置...................................................9

5.2聚合雙鏈路配置部署.........................................10

5.3DHCP配置..................................................10

5.4MSTP配置..................................................11

5.5VRRP配置..................................................12

5.6OSPF路由協(xié)議配置..........................................12

5.7ACL配置...................................................13

6網(wǎng)絡(luò)性能調(diào)優(yōu)....................................................13

6.1VLAN優(yōu)化..................................................13

6.2DHCP優(yōu)化..................................................14

I

湖南商務(wù)職業(yè)技術(shù)學院畢業(yè)設(shè)計

6.3MSTP優(yōu)化..................................................15

6.4OSPF優(yōu)化..................................................16

7網(wǎng)絡(luò)項目測試....................................................17

8設(shè)計小結(jié)........................................................18

II

湖南商務(wù)職業(yè)技術(shù)學院畢業(yè)設(shè)計

上河商務(wù)公司網(wǎng)絡(luò)規(guī)劃與設(shè)計方案

1項目背景

上河商務(wù)公司成立于2015年7月，位于全球最大的小商品城義烏物流中心，

依托中國寶納斯集團和強大的小商品生產(chǎn)基地，擁有眾多自主品牌，并在臺灣、

韓國和德國也創(chuàng)建了業(yè)務(wù)。上河商務(wù)公司匯集行業(yè)精英，追求偉大事業(yè)。經(jīng)過

長時間的準備，形成了一支成熟的管理團隊，由開發(fā)、測試、營銷、人力資源、

安全等部門組成，團隊成員均為具有8年以上經(jīng)驗的高級管理人員，深受市場

合作伙伴的好評。精準高效的專業(yè)服務(wù)，嚴明的誠實正直紀律，合作共贏的精

神。上河商務(wù)公司匯集行業(yè)精英，追求偉大事業(yè)。經(jīng)過大量準備，形成了一支

成熟的管理團隊，由運營、銷售、營銷、培訓(xùn)、產(chǎn)品運輸?shù)炔块T組成，團隊成

員均為市場合作伙伴認可的具有8年以上經(jīng)驗的高級管理人員。以精準高效的

專業(yè)服務(wù)，嚴明的誠實正直紀律，合作共贏的精神。

2項目需求分析

上河商務(wù)公司的因為公司擴大的問題需要更換，為了營造良好的網(wǎng)絡(luò)環(huán)境，

公司決定部署高可靠高效率的網(wǎng)絡(luò)，同時在此基礎(chǔ)上必須保證公司網(wǎng)絡(luò)的安全

性，以下列出公司此次部署的需求：

公司目前分為辦公和業(yè)務(wù)，辦公流用于公司員工辦公，業(yè)務(wù)流用于承載業(yè)

務(wù)，辦公和業(yè)務(wù)之間互不干涉，管理層可以訪問所有業(yè)務(wù)部門，開發(fā)部和測試

部不能訪問管理部門。并且公司對于網(wǎng)絡(luò)的穩(wěn)定性要求較高，避免因網(wǎng)絡(luò)故障

或其他問題導(dǎo)致業(yè)務(wù)中斷或數(shù)據(jù)丟失，升級防火墻保證網(wǎng)絡(luò)的安全性，防止公

司的數(shù)據(jù)被攻擊和竊取，以及防止各種病毒損壞公司數(shù)據(jù)資產(chǎn)。

3項目規(guī)劃

3.1公司成員

表1公司成員表

部門開發(fā)部測試部市場部人事部安全部秘書部管理部

87648246

人數(shù)154人221人28人

人人人人

1

湖南商務(wù)職業(yè)技術(shù)學院畢業(yè)設(shè)計

3.2企業(yè)網(wǎng)絡(luò)拓撲圖規(guī)劃

上河商務(wù)公司網(wǎng)絡(luò)拓撲介紹如下：

網(wǎng)絡(luò)接入層主要是通過交換機切換給下屬各部門，接入層采用堆疊技術(shù)，

提高鏈路帶寬和穩(wěn)定性，在核心交換機1和核心交換機2采用鏈路聚合，使其

更加可靠和穩(wěn)定，介質(zhì)使用六種以上的非屏蔽電纜或萬千兆多模光纖，提高網(wǎng)

絡(luò)的整體帶寬，接入防火墻管理公司內(nèi)網(wǎng)上網(wǎng)，提高公司的安全性。

圖1網(wǎng)絡(luò)拓撲圖

3.3地址資源規(guī)劃

表2VLAN及IP地址規(guī)劃

接入?yún)^(qū)域

分組地址資源子網(wǎng)地址資源范圍虛擬接入VLAN

開發(fā)部/2410.1-10.25410

測試部/2420.1-20.25420

市場部/2430.1-30.25430

2

湖南商務(wù)職業(yè)技術(shù)學院畢業(yè)設(shè)計

人事部/2440.1-40.25440

安全部/2450.1-50.25450

秘書部/2460.1-60.25460

管理部/2470.1-70.25470

互聯(lián)區(qū)域

核心交換機/30

1

核心交換機/30

2

R1/30出口防火墻

R2/30出口防火墻

服務(wù)器出口防火墻

防火墻

3.4設(shè)備選用

總部設(shè)備包括：外網(wǎng)防火墻設(shè)備、核心交換機、匯聚交換機、接入交換機、

路由交換機等設(shè)備。防火墻設(shè)備數(shù)量和技術(shù)參數(shù)如表3所示：

表3防火墻設(shè)備

設(shè)備名稱設(shè)備級別設(shè)備圖例

AntiDDoS1650核心出口防火墻

設(shè)備價格數(shù)量設(shè)備接口

258500元1臺8個光口，4個電口

技術(shù)支持

華為HiSecEngineAntiDDoS12000提供最高性能的2T安全防護和可擴展

性，有效應(yīng)對大流量DDoS攻擊；可在數(shù)秒級甚至數(shù)毫秒內(nèi)防御數(shù)百次復(fù)雜攻

擊，有效阻斷攻擊，保護客戶業(yè)務(wù)連續(xù)性。

防止協(xié)議濫用攻擊：LAND；Fraggle；Smurf；Winnuke；PingofDeath；Tear

Drop；TCPErrorFlag等攻擊。

·網(wǎng)絡(luò)應(yīng)用的安全特性：HTTPGetFlood；HTTP后洪水；HTTP慢頭；

HTTP慢郵；HTTPS洪水；WordPress反射放大攻擊；如LOICs等支持消息合

法性驗證。

3

湖南商務(wù)職業(yè)技術(shù)學院畢業(yè)設(shè)計

·掃描監(jiān)聽保護功能：端口掃描；地址掃描；TRACERT控制報文攻擊；

攻擊IP時間戳選項；攻擊IP路由記錄選項等

·DNS應(yīng)用防護功能：DNSQueryFlood；DNS響應(yīng)泛洪；DNS緩存中毒攻

擊；源速度限制支持。

SIP應(yīng)用安全特性：SIPFloodPrevention/SIPFloodMethods包括：

RegisterFlood、DeregistrationFlood、AuthenticationFlood、Call

Flood、SupportSourceRateLimit。

UDP反射增強保護功能：NTP反射增強；DNA反射的放大；反射增強

SSDP；批量反射放大；反射增強TFTP；反射增強SNMP；反射增益NetBIOS；

反射增益QOTD；Quake網(wǎng)絡(luò)協(xié)議反射增益；反射增強端口映射器；Microsoft

SQL解析服務(wù)反射增強、RIPv1反射增強、Steam協(xié)議反射增強。

過濾功能：IP包過濾；TCP數(shù)據(jù)包過濾器；UDP包過濾器；ICMP包過濾

器；DNS包過濾器；SIP包過濾器；HTTP數(shù)據(jù)包過濾器。

攻擊特征庫特性：RUDY、slowhttptest、slowloris、LOIC、AnonCannon、

RefRef、ApacheKill、ApacheBench，

路由器設(shè)備的數(shù)量和技術(shù)參數(shù)如表4所示：

表4路由器設(shè)備

設(shè)備名稱設(shè)備級別設(shè)備圖例

NE40E_X8路由器

設(shè)備價格數(shù)量設(shè)備接口

14400元2臺16個光口，6個電口

技術(shù)支持

NE4OE具有強大的路由特性，支持非常大的路由表。

提供RIP、OSPF、BGP4、IS-IS、BGP4、組播路由等高級路由協(xié)議，支持

加密/密文認證，具有快速收斂特性，確保復(fù)雜路由環(huán)境下的安全穩(wěn)定。

NE4OE具有強大的業(yè)務(wù)承載能力，可根據(jù)網(wǎng)絡(luò)需求同時部署L2VPN、L3VPN

和MVPN，支持TE（TrafficEngineering）MPLS，支持靈活的QinQ。

支持DHCP/IPoE，還可以提供IPSec、GRE等功能，適應(yīng)傳統(tǒng)接入需求和

新興業(yè)務(wù)需求，滿足多業(yè)務(wù)融合的連接需求。

NE4OE具有強大的可擴展組播能力，支持廣泛的IPv4/IPv6組播協(xié)議，包

括PIM-SM/DW/ssM、MLDv1/v2、IGMPv3、CAC組播（調(diào)用）

AdmissionControl、IGMPSnooping等特性可以靈活承載IPTV等視頻業(yè)

4

湖南商務(wù)職業(yè)技術(shù)學院畢業(yè)設(shè)計

務(wù)，滿足知名規(guī)模的組播業(yè)務(wù)需求。

交換機數(shù)量及其技術(shù)參數(shù)如表5所示：

表5交換機設(shè)備

設(shè)備名稱設(shè)備級別設(shè)備圖例

S1730S-H24T4S-A接入交換機

設(shè)備價格數(shù)量設(shè)備接口

2839元6臺4個光口，24個電口

技術(shù)支持

全新節(jié)能設(shè)計，引領(lǐng)低碳通信

CloudEngineS1730S支持無連接時端口自動休眠。采用無風扇靜音設(shè)計

的款型在降低整機功耗的同時，讓您免除噪音的煩擾。

無阻塞高速轉(zhuǎn)發(fā)

CloudEngineS1730S無管理系列提供高達8K，Web管理及全管理系列提

供高達16K的MAC地址，為企業(yè)用戶后續(xù)擴容提供了條件，極大方便了用戶

的擴展和應(yīng)用。

CloudEngineS1730S系列支持流量控制功能，當本端設(shè)備發(fā)生擁塞，將

向?qū)Χ嗽O(shè)備發(fā)送消息。通知對端設(shè)備暫時停止發(fā)送報文，避免擁塞。

PoE供電能力

4網(wǎng)絡(luò)協(xié)議選用

4.1VLAN虛擬局域網(wǎng)技術(shù)

由一個或多個集線器組成的廣播域可以稱為平面網(wǎng)絡(luò)。相互連接的終端接

收來自網(wǎng)絡(luò)的所有廣播幀。隨著連接端點數(shù)量的增加，廣播的數(shù)量也會增加，

網(wǎng)絡(luò)條件變得更加復(fù)雜。

這種情況下，需要VLAN技術(shù)對整個平面網(wǎng)絡(luò)進行邏輯分段。一個VLAN對

應(yīng)一個廣播域，不同VLAN的廣播域彼此隔離，因此您可以控制廣播域內(nèi)的廣播

流量規(guī)模。

5

湖南商務(wù)職業(yè)技術(shù)學院畢業(yè)設(shè)計

圖2VLAN

通過設(shè)置，交換機可以很方便地修改物理端口的屬性，從而在不改變對應(yīng)

的物理線路的情況下，將物理端口加入到VLAN中。VLAN之間的通信需要路由，

不同VLAN內(nèi)的端點之間的通信沒有路由器或三層交換機是無法實現(xiàn)的，所以安

全性是有保障的。不同的供應(yīng)商可能定義不同的VLAN接口類型。對于華為設(shè)備，

常見的VLAN接口類型有Access、Trunk、Hybrid三種。VLAN有4個應(yīng)用場景

1、基于接口劃分VLAN2、基于MAC劃分VLAN3、基于IP子網(wǎng)劃分VLAN4、跨

設(shè)備三層互訪這次選擇的是基于接口劃分VLAN，即分別應(yīng)用于接入交換機1和

接入交換機2，保證了公司業(yè)務(wù)的獨立性和安全性。

4.2DHCP動態(tài)地址規(guī)劃

在IP網(wǎng)絡(luò)中，每個連接到互聯(lián)網(wǎng)的設(shè)備都必須分配一個唯一的IP地址。

DHCP允許網(wǎng)絡(luò)管理員從中央節(jié)點監(jiān)控和分配IP地址。當計算機移動到網(wǎng)絡(luò)上

的不同位置時，它會自動獲得一個新的IP地址。IP地址的自動DHCP分配不僅

減少了設(shè)備配置和部署時間，而且還降低了錯誤配置的可能性。另外，DHCP服

務(wù)器可以管理多個網(wǎng)段的配置信息，當一個網(wǎng)段的配置發(fā)生變化時，管理員只

需要在DHCP服務(wù)器上更新相應(yīng)的配置即可，實現(xiàn)集中管理。

6

湖南商務(wù)職業(yè)技術(shù)學院畢業(yè)設(shè)計

圖3DHCP的4個階段

DHCP的應(yīng)用場景：在大型企業(yè)網(wǎng)絡(luò)中，大量主機或設(shè)備需要獲取IP地址等

網(wǎng)絡(luò)參數(shù)。手動配置時，工作量大，管理難度大，且用戶擅自更改網(wǎng)絡(luò)參數(shù)時，

會導(dǎo)致IP地址沖突等問題。使用動態(tài)主機配置協(xié)議（DHCP）分配IP地址等網(wǎng)

絡(luò)參數(shù)，可以減輕管理員的工作量，避免用戶手動配置網(wǎng)絡(luò)參數(shù)造成的地址沖

突。DHCP服務(wù)應(yīng)用于核心交換機1和核心交換機2。

4.3Eth-Trunk鏈路聚合技術(shù)

鏈路聚合可以改善設(shè)備前的鏈路冗余備份，保證節(jié)點網(wǎng)絡(luò)的高度可靠使用。

手動模式：創(chuàng)建鏈路聚合和添加成員接口需要手動配置，無需LACP鏈路聚合控

制協(xié)議的參與。當您需要在兩個直接連接的設(shè)備之間提供較大的鏈路帶寬并且

設(shè)備不支持LACP時，可以使用手動模式。

圖4鏈路聚合

LACP模式：創(chuàng)建鏈路聚合和添加成員接口都是通過手工配置完成的。但是，

與手動模式下的鏈路聚合不同，此模式下活動接口的選擇是由LACP協(xié)議數(shù)據(jù)包

負責的。也就是說，當一組接口加入鏈路聚合接口時，這些成員接口中哪些是

活動接口，哪些是非活動接口，必須由LACP協(xié)議報文協(xié)商確定。LACP模式可

以同時實現(xiàn)負載分擔和冗余備份功能。在一個鏈路聚合組中，M條鏈路處于活動

狀態(tài)，負責轉(zhuǎn)發(fā)數(shù)據(jù)和負載分擔，N條鏈路空閑，作為備份鏈路，不轉(zhuǎn)發(fā)任何數(shù)

據(jù)。當M條鏈路中有一條發(fā)生故障時，系統(tǒng)從N條備份鏈路中選擇優(yōu)先級最高

的鏈路替代故障鏈路，鏈路狀態(tài)變?yōu)榛钴S并開始轉(zhuǎn)發(fā)數(shù)據(jù)。

鏈路匯聚技術(shù)有六種應(yīng)用場景：1.交換機鏈路聚合互聯(lián)（交換機間直接連

接）2、鏈路匯聚交換機間互連（交換機交叉?zhèn)鬏斣O(shè)備）3、交換機與傳輸設(shè)備

通過鏈路匯聚互連4、交換機與服務(wù)器通過鏈路匯聚互連5、交換機和集群系統(tǒng)

通過鏈路聚合互連6、和設(shè)備之間的鏈路聚合通過E-trunk。

此次選用的就是通過E-Trunk實現(xiàn)跨設(shè)備的鏈路聚合，使兩臺核心交換機

7

湖南商務(wù)職業(yè)技術(shù)學院畢業(yè)設(shè)計

之間實現(xiàn)鏈路聚合組的備份，提高網(wǎng)絡(luò)可靠性。

4.4MSTP多生成樹協(xié)議

MSTP是一種公共生成樹協(xié)議，廣泛用于實際生產(chǎn)環(huán)境。傳統(tǒng)的生成樹只運

行一個實例，而且收斂速度慢，RSTP在傳統(tǒng)STP的基礎(chǔ)上通過改進達到了加速

網(wǎng)絡(luò)拓撲收斂的目的，但仍然存在缺陷，因為STP和RSTP跨局域網(wǎng)，所有VLAN

共享一個生成樹實例，網(wǎng)絡(luò)環(huán)境的穩(wěn)態(tài)備份鏈路無法轉(zhuǎn)發(fā)數(shù)據(jù)流量，導(dǎo)致帶寬

浪費，無法實現(xiàn)基于VLAN的負載均衡。

MSTP的使用場景：

但是傳統(tǒng)的生成樹協(xié)議拓撲收斂最快也要兩個forwarding時間，并且所有

valn共享一顆生成樹，無法實現(xiàn)不同VLAN在多鏈路上的負載分擔。因此我們可

以采用MSTP技術(shù)。多生成樹協(xié)議，MSTP將生成樹劃分為多個實例，多個vlan

可以映射到不同的實例中，實現(xiàn)vlan間流量的負載分擔，保證冗余性的同時拓

撲的收斂時間也有較大提升，MSTP應(yīng)用于核心交換機上。

4.5VRRP虛擬路由冗余協(xié)議

虛擬路由冗余協(xié)議解決了局域網(wǎng)內(nèi)VRRP的問題，為網(wǎng)關(guān)設(shè)備提供冗余備份。

VRRP將一組可充當網(wǎng)關(guān)的設(shè)備添加到備份組以形成虛擬路由器，LAN上的主機

將此虛擬路由器設(shè)置為默認網(wǎng)關(guān)。VRRP根據(jù)優(yōu)先級從備份組中選擇一個網(wǎng)關(guān)設(shè)

備作為主設(shè)備，該網(wǎng)關(guān)設(shè)備負責將主機流量轉(zhuǎn)發(fā)到LAN，并將外部通信和其他網(wǎng)

關(guān)設(shè)備作為備份。當主設(shè)備發(fā)生故障時，VRRP會重新選擇新的主設(shè)備，以確保

流量轉(zhuǎn)發(fā)不會中斷。

VRRP使用場景：

在企業(yè)中，同一網(wǎng)絡(luò)中的設(shè)備相互訪問，是不通過網(wǎng)關(guān)設(shè)備的，但是當我

們訪問其他網(wǎng)絡(luò)時，這需要一個網(wǎng)關(guān)路由器，如果這個路由器出現(xiàn)故障，將導(dǎo)

致整個企業(yè)無法訪問外部網(wǎng)絡(luò)因此，企業(yè)需要提高網(wǎng)關(guān)設(shè)備的可靠性，VRRP是

現(xiàn)在最常用的網(wǎng)絡(luò)冗余技術(shù)。VRRP作為一種通用的虛擬路由冗余協(xié)議，工作在

應(yīng)用層，協(xié)議號112，該協(xié)議廣泛應(yīng)用于各種生產(chǎn)環(huán)境，其工作原理是隱藏多個

實際服務(wù)網(wǎng)元地址，而不是使用一個反向代理虛擬地址，所有終端都指向反向

代理地址，這樣即使一個或多個網(wǎng)元發(fā)生故障，反向代理地址仍然有效，網(wǎng)元

之間通過特定的組播地址進行通信。VRRP應(yīng)用于核心交換機上。

8

湖南商務(wù)職業(yè)技術(shù)學院畢業(yè)設(shè)計

4.6OSPF開放式最短路徑優(yōu)先

OSPF要求每個運行OSPF的路由器都知道有關(guān)整個網(wǎng)絡(luò)連接狀態(tài)的信息，以

便計算到目的地的最佳路由。OSPF的融合過程從鏈路狀態(tài)通告泛洪（LSA）開

始，其中包含路由器已知的接口IP地址、掩碼、成本和網(wǎng)絡(luò)類型等信息。接收

LSA的路由器可以根據(jù)LSA提供的信息創(chuàng)建自己的鏈路狀態(tài)數(shù)據(jù)庫（LSDB）鏈

路，并使用SPF算法基于LSDB進行計算，以確定每個網(wǎng)絡(luò)的最短路徑樹。在

網(wǎng)絡(luò)中啟用OSPF協(xié)議，它會自動計算更正路由當拓撲發(fā)生變化時，方便了網(wǎng)絡(luò)

的管理。OSPF是可在層次結(jié)構(gòu)中執(zhí)行的鏈路狀態(tài)路徑。層次結(jié)構(gòu)中最高和最大

的實體是自治系統(tǒng)。OSPF調(diào)用分層區(qū)域中的路由器以鏈路狀態(tài)宣布。OSPF適用

于R1、R2、核心1交換機和核心2交換機路由器。

4.7ACL訪問控制鏈表

本質(zhì)上，訪問控制列表是一組對組進行分類的標準，這在您需要控制網(wǎng)絡(luò)

流量時非常有用。ACL最常見且最容易理解的用途之一是過濾掉惡意分組以強制

實施安全策略。例如，ACL可用于做出非常具體的數(shù)據(jù)流控制決策，僅允許某些

主機訪問Internet上的Web資源。通過成功組合多個訪問控制列表，網(wǎng)絡(luò)管

理員可以實施幾乎任何可以想象的安全策略。

ACL使用的四種場景1、機房交換機不允許SSH訪問非管理網(wǎng)絡(luò)2、主機無

法ping通HTTP服務(wù)器，但可以訪問3、應(yīng)用自反ACL，類似于防火墻4、基于

時間的ACL應(yīng)用。

5網(wǎng)絡(luò)配置

網(wǎng)絡(luò)配置主要包括VLAN配置、聚合雙鏈路配置部署、DHCP配置、MSTP配

置、VRRP、OSPF配置、ACL配置。

5.1VLAN配置

VLAN10

#創(chuàng)建VLAN10

interfaceEthernet0/0/1

#進入接入下行接口

portlink-typeaccess

#將連接PC機的接口配置為access

9

湖南商務(wù)職業(yè)技術(shù)學院畢業(yè)設(shè)計

portdefaultvlan10

#將接口加入到VLAN10

interfaceGigabitEthernet0/0/1

#進入上行接口

portlink-typetrunk

#將上行接口配置為TRUNK口

porttrunkallow-passvlan10

#將上行接口放行相應(yīng)VLAN

5.2聚合雙鏈路配置部署

interfaceeth-trunk1

#創(chuàng)建鏈路聚合的端口1（0-63）

modemanualload-balance

#手動模式控制的負載均衡

trunkportg0/0/3

#將接口加入到負載模式

trunkportg0/0/4

#將接口加入到負載模式

displayeth-trunk1

#查看聚合口

inteth-trunk1

#進入聚合口

portlink-typetrunk

#設(shè)置為trunk鏈路

porttrunkallow-passvlanall

#設(shè)置為允許所有vlan通過

5.3DHCP配置

dhcpenable

#啟用DHCP服務(wù)

ippoolKaifa1

#創(chuàng)建一個全局地址池

network00

10

湖南商務(wù)職業(yè)技術(shù)學院畢業(yè)設(shè)計

#命令配置全局地址池Kaifa1可動態(tài)分配的網(wǎng)段范圍為00，

默認使用24為掩碼。

leaseday2

#配置DHCP全局地址池下的地址租期為2天

gateway-list54

#配置dhcp網(wǎng)關(guān)地址

excluded-ip-address5053

#禁止分配這個范圍的地址

dns-list

#配置DNS服務(wù)地址

inte0/0/0

#進入接口

dhcpselectglobal

開啟DHCP功能采用全局地址池為客戶端分配地址

5.4MSTP配置

Stpenable

#開啟stp

stpmodemstp

#將STP的模式改為MSTP

stpregion-configuration

#進入STP域配置

instance1vlan1020

#將vlan10和vlan20映射到實例1

instance2vlan3040

#將vlan30和vlan40映射到實例2

activeregion-configuration

#保存mstp配置

stpinstance1rootprimary

#將該設(shè)備配置為實例1的根橋

stpinstance2rootsecondary

#配置備份根橋

11

湖南商務(wù)職業(yè)技術(shù)學院畢業(yè)設(shè)計

5.5VRRP配置

核心交換機1：

interfaceVlanif10

#進入vlan10虛擬接口

ipaddress5224

#配置接口物理地址

vrrpvrid10virtual-ip54

#配置虛擬網(wǎng)關(guān)地址

vrrpvrid10priority120

#配置成員優(yōu)先級為120

vrrpvrid10authentication-modesimple123456

#配置VRRP驗證密鑰為123456

核心交換機2：

interfaceVlanif20

#進入vlan20虛擬接口

ipaddress5324

#配置接口物理地址

vrrpvrid10virtual-ip54

#配置虛擬網(wǎng)關(guān)地址

vrrpvrid10authentication-modesimple123456

#配置VRRP驗證密鑰為123456

5.6OSPF路由協(xié)議配置

ospf1

#創(chuàng)建OSPF進程號為1

area0

#配置區(qū)域號為區(qū)域0

network55

#宣告業(yè)務(wù)網(wǎng)段

network

#宣告上行網(wǎng)段

default-route-advertise

12

湖南商務(wù)職業(yè)技術(shù)學院畢業(yè)設(shè)計

#在出口設(shè)備上下發(fā)默認路由

area1

#進入?yún)^(qū)域1

Stub

#將區(qū)域1改為stub區(qū)域

silent-interfaceg0/0/0

#將該接口配置為靜默接口

5.7ACL配置

aclnumber2001

#創(chuàng)建一個ACL2001

rulepermitsource55

#定義一個節(jié)點匹配來自/24網(wǎng)段的數(shù)據(jù)包

acl3000

#創(chuàng)建一個高級的ACL

rule0denyipsource55destination192.168.10

55

#配置節(jié)點拒絕開發(fā)部訪問管理部

6網(wǎng)絡(luò)性能調(diào)優(yōu)

6.1VLAN優(yōu)化

VLAN修剪：在所有交換機上做VLAN修剪，縮小廣播域，Trunk鏈路只允許

本交換機的VLAN通過，配置命令如下

接入交換機1

intg0/0/3

#進入g0/0/3接口

porttrunkallow-passvlan10

只允許vlan10通過

intg0/0/4

#進入g0/0/4接口

porttrunkallow-passvlan20

#只允許vlan20通過

13

湖南商務(wù)職業(yè)技術(shù)學院畢業(yè)設(shè)計

接入交換機2

intg0/0/3

#進入g0/0/3接口

porttrunkallow-passvlan10

#只允許vlan10通過

intg0/0/4

#進入g0/0/4接口

porttrunkallow-passvlan20

#只允許vlan20通過

說明：

廣播報文默認可以放送到Trunk鏈路，為了進一步減小Trunk鏈路上廣播

報文的發(fā)送范圍，進一步縮小廣播域，建議在Trunk鏈路上配置VLAN的過濾

（修剪）。

6.2DHCP優(yōu)化

現(xiàn)存問題只有一臺路由器在提供DHCP，沒有做主備，提高網(wǎng)絡(luò)的可靠性

解決方案：在另外兩臺核心交換機上配置DHCP，實現(xiàn)DHCP的主備

核心交換機1

dhcpenable

#啟用DHCP服務(wù)

ippoolKaifa1

#創(chuàng)建一個全局地址池

network

#命令配置全局地址池Kaifa2可動態(tài)分配的網(wǎng)段范圍為，默

認使用24為掩碼。

leaseday2

#配置DHCP全局地址池下的地址租期為2天

gateway-list00

#配置dhcp網(wǎng)關(guān)地址

excluded-ip-address5053

#禁止分配這個范圍的地址

dns-list

#配置DNS服務(wù)地址

14

湖南商務(wù)職業(yè)技術(shù)學院畢業(yè)設(shè)計

inte0/0/0

#進入接口

dhcpselectglobal

開啟DHCP功能采用全局地址池為客戶端分配地址

核心交換機2

dhcpenable

#啟用DHCP服務(wù)

ippoolKaifa1

#創(chuàng)建一個全局地址池

network

#命令配置全局地址池Kaifa2可動態(tài)分配的網(wǎng)段范圍為，默

認使用24為掩碼。

leaseday2

#配置DHCP全局地址池下的地址租期為2天

gateway-list54

#配置dhcp客戶端的出口網(wǎng)關(guān)地址

excluded-ip-address5053

#禁止分配這個范圍的地址

dns-list

#配置DNS服務(wù)地址

inte0/0/0

#進入接口

dhcpselectglobal

開啟DHCP功能采用全局地址池為客戶端分配地址

6.3MSTP優(yōu)化

邊緣端口的作用是為了加速轉(zhuǎn)發(fā)過程，所以當邊緣端口收到BPDU后則會認

為此端口已經(jīng)不再是連接PC的端口進而改變自己的邊緣特性變成普通交換機

端口進行生成樹選舉來防止環(huán)路產(chǎn)生

1.邊緣端口配置

接入交換機1

intg0/0/3

stpedged-portenable

15

湖南商務(wù)職業(yè)技術(shù)學院畢業(yè)設(shè)計

intg0/0/4

stpedged-portenable

接入交換機2

intg0/0/3

stpedged-portenable

intg0/0/4

stpedged-portenable

配置保護功能，實現(xiàn)對設(shè)備或鏈路的保護

2.配置保護功能

#在根橋核心交換機1的端口g0/0/5和g0/0/1上啟動根保護。

interfaceg0/0/5

stproot-protection

interfaceg0/0/1

stproot-protection

6.4OSPF優(yōu)化

配置OSPF的接口類型為P2P，這樣OSPF在鄰居建立的時候所發(fā)送的5種報

文都是以組播的形式發(fā)送，可以使不在同一個網(wǎng)段內(nèi)的路由器建立OSPF鄰居

路由器R1：

intg0/0/1

#進入接口

ospfnetworkp2p

#修改接口OSPF類型

intg0/0/2

#進入接口

ospfnetworkp2p

#修改接口OSPF類型

核心交換機1

intg0/0/2

#進入接口

ospfnetworkp2p

#修改接口OSPF類型

核心交換機2

16

湖南商務(wù)職業(yè)技術(shù)學院畢業(yè)設(shè)計

intg0/0/2

#進入接口

ospfnetworkp2p

#修改接口OSPF類型

7網(wǎng)絡(luò)項目測試

1.開發(fā)部ping測試部