湖南鵬輝公司網(wǎng)絡(luò)規(guī)劃與設(shè)計(jì)

湖南商務(wù)職業(yè)技術(shù)學(xué)院畢業(yè)設(shè)計(jì)

目錄

1.項(xiàng)目簡介...........................................................1

1.1項(xiàng)目背景......................................................1

1.2公司簡介......................................................1

2.公司網(wǎng)絡(luò)設(shè)計(jì).......................................................1

2.1公司網(wǎng)絡(luò)結(jié)構(gòu)..................................................2

2.2公司網(wǎng)絡(luò)拓?fù)?.................................................2

2.3地址資源規(guī)劃..................................................3

2.4設(shè)備選型......................................................3

3.相關(guān)網(wǎng)絡(luò)技術(shù).......................................................6

3.1OSPF路由協(xié)議.................................................6

3.2VLAN邏輯化本地網(wǎng)絡(luò)部署.......................................6

3.3DHCPIP動(dòng)態(tài)地址分配..........................................7

3.4MSTP多域生成樹部署...........................................7

3.5堆疊技術(shù)......................................................7

3.6VRRP虛擬網(wǎng)關(guān)冗余協(xié)議.........................................8

3.7NAT地址轉(zhuǎn)換..................................................8

3.8ACL匹配工具..................................................8

4.網(wǎng)絡(luò)配置...........................................................9

4.1VLAN配置.....................................................9

4.2OSPF配置.....................................................9

4.3鏈路聚合配置.................................................10

4.4MSTP配置....................................................10

4.5VRRP配置....................................................10

4.6NAT配置.....................................................11

4.7SSH配置.....................................................11

4.8DHCP配置....................................................12

II

湖南商務(wù)職業(yè)技術(shù)學(xué)院畢業(yè)設(shè)計(jì)

5.網(wǎng)絡(luò)測試..........................................................12

6.設(shè)計(jì)小結(jié)..........................................................13

參考資料............................................................15

III

湖南商務(wù)職業(yè)技術(shù)學(xué)院畢業(yè)設(shè)計(jì)

湖南鵬輝公司網(wǎng)絡(luò)規(guī)劃與設(shè)計(jì)

1.項(xiàng)目簡介

1.1項(xiàng)目背景

為了使計(jì)算機(jī)之間的通信聯(lián)接可靠，建立了分層通信體系和相應(yīng)的網(wǎng)絡(luò)通

信協(xié)議，于是誕生了以資源共享為主要目的的計(jì)算機(jī)網(wǎng)絡(luò)。一個(gè)優(yōu)秀的網(wǎng)絡(luò)結(jié)

構(gòu)有助于增強(qiáng)網(wǎng)絡(luò)的性能、使網(wǎng)絡(luò)更易于管理和實(shí)現(xiàn)，同時(shí)具備一定的網(wǎng)絡(luò)吞

吐能力，具有可管理性、高穩(wěn)定性等特點(diǎn)。因此在風(fēng)絡(luò)規(guī)劃時(shí)應(yīng)遵循層次設(shè)計(jì)

的思想，以簡化網(wǎng)絡(luò)的構(gòu)建。通常網(wǎng)絡(luò)設(shè)計(jì)分為核心層、匯聚層和接入層，其

中，核心層提供網(wǎng)絡(luò)節(jié)點(diǎn)之間的最佳傳輸通道;匯聚層提供基于策略的連接控制:

接入層提供用戶接入網(wǎng)絡(luò)的通道。每一層都為網(wǎng)絡(luò)提供了特定而必要的功能，

通過各層功能的配合，從而構(gòu)建一個(gè)功能完善的IP網(wǎng)。

1.2公司簡介

湖南鵬輝公司成立于2011，湖南鵬輝公司前身名字叫做鵬輝網(wǎng)絡(luò)工作室，

前期主營電腦器材、網(wǎng)絡(luò)設(shè)備為主，并與電信合作參與電腦保姆卡市場推廣。

于2013年正式接手大型網(wǎng)站排名優(yōu)化業(yè)務(wù)，2013年12月，由工作室CEO王林

正式注冊飄”鵬輝網(wǎng)絡(luò)科技有限公司。湖南鵬輝公司遵從顧客至上，銳意進(jìn)取

的經(jīng)營理念，堅(jiān)持客戶第—的原則為廣大客戶提供優(yōu)質(zhì)的服務(wù)。湖南鵬輝專注

于網(wǎng)絡(luò)行業(yè)運(yùn)營和營銷外包。以“網(wǎng)絡(luò)服務(wù)和網(wǎng)站建設(shè)”為核心產(chǎn)品，形成了針

對政府、企業(yè)、媒體等不行同業(yè)、不同規(guī)模、不同應(yīng)用的等系列產(chǎn)品和針對性

解決方案。

2.公司網(wǎng)絡(luò)設(shè)計(jì)

隨著公司業(yè)務(wù)的擴(kuò)展和發(fā)展，現(xiàn)有的網(wǎng)絡(luò)架構(gòu)可能已經(jīng)無法滿足公司的需

求。例如，公司員工數(shù)量不斷增加，電子郵件、在線文件存儲(chǔ)和視頻會(huì)議等網(wǎng)

絡(luò)應(yīng)用的需求也正在增加，原先的網(wǎng)絡(luò)架構(gòu)可能已經(jīng)無法支撐這些需求。因此，

網(wǎng)絡(luò)工程項(xiàng)目的設(shè)計(jì)需要充分考慮業(yè)務(wù)需求，確保網(wǎng)絡(luò)能夠滿足企業(yè)的需求。

隨著科技的不斷進(jìn)步，網(wǎng)絡(luò)技術(shù)也在不斷地更新和升級(jí)。網(wǎng)絡(luò)工程項(xiàng)目的設(shè)計(jì)

也需要緊跟技術(shù)發(fā)展的步伐，采用最新的技術(shù)和設(shè)備，以提高網(wǎng)絡(luò)的性能和效

率。網(wǎng)絡(luò)安全問題日益突出，黑客攻擊、病毒感染等安全威脅給企業(yè)帶來了巨

1

湖南商務(wù)職業(yè)技術(shù)學(xué)院畢業(yè)設(shè)計(jì)

大的損失。網(wǎng)絡(luò)工程項(xiàng)目的設(shè)計(jì)需要充分考慮網(wǎng)絡(luò)的安全性，采取有效的安全

措施，保護(hù)企業(yè)的信息安全。網(wǎng)絡(luò)工程項(xiàng)目的設(shè)計(jì)需要考慮用戶的使用，做到

便捷。

2.1公司網(wǎng)絡(luò)結(jié)構(gòu)

公司網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)公司采用星型拓?fù)浣Y(jié)構(gòu)，以核心交換機(jī)為中心，連接各

個(gè)子網(wǎng)和終端設(shè)備。每個(gè)部門的子網(wǎng)通過交換機(jī)連接到核心交換機(jī)，實(shí)現(xiàn)互聯(lián)

互通。IP地址規(guī)劃公司采用私有IP地址，使用CIDR地址劃分方法，將整個(gè)局

域網(wǎng)劃分為若干個(gè)子網(wǎng)，并為每個(gè)子網(wǎng)分配一個(gè)唯一的IP地址段。具體規(guī)劃如

下：人事部-/24；銷售部-/24；市場部

-/24；技術(shù)部-/24；財(cái)務(wù)部-/24；科研部

-/24，設(shè)備配置核心交換機(jī)，采用高性能交換機(jī)，支持VLAN、STP、

QoS等功能，保證網(wǎng)絡(luò)的可靠性和穩(wěn)定性。配置多個(gè)上行口，連接到核心路由器

和外網(wǎng)，實(shí)現(xiàn)Internet訪問。

2.2公司網(wǎng)絡(luò)拓?fù)?/p>

公司網(wǎng)絡(luò)分為防火墻，核心交換機(jī)，匯聚交換機(jī)和接入交換機(jī)，接入交換

機(jī)分別連接各個(gè)部門，具體網(wǎng)絡(luò)拓?fù)淙鐖D1所示。

圖1公司網(wǎng)絡(luò)拓?fù)鋱D

2

湖南商務(wù)職業(yè)技術(shù)學(xué)院畢業(yè)設(shè)計(jì)

2.3地址資源規(guī)劃

公司總部網(wǎng)絡(luò)地址資源規(guī)劃圖表如表1所示：

表1IP地址資源分配表

接入?yún)^(qū)域

分組地址資源子網(wǎng)地址資源范圍虛擬接入VLAN

人事部/241.1-1.25410

銷售部/242.1-2.25420

市場部/243.1-3.25430

技術(shù)部/244.1-4.25440

財(cái)務(wù)部/245.1-5.25450

科研部/246.1-6.25460

無線接入點(diǎn)/247.1-7.25470

無線用戶/248.1-8.25480

互聯(lián)區(qū)域

核心交換機(jī)1/30出口防火墻/30

核心交換機(jī)2/30出口防火墻/30

公網(wǎng)

防火墻/30/30

Intelnet

2.4設(shè)備選型

總部的設(shè)備包括：外網(wǎng)防火墻設(shè)備，核心交換機(jī)，匯聚交換機(jī)，接入交換

機(jī)，網(wǎng)閘，路由等設(shè)備，設(shè)備的數(shù)量，技術(shù)參數(shù)如表2至表6所示：

表2防火墻

設(shè)備名稱設(shè)備級(jí)別設(shè)備圖例

H3C-F1000-A-G2核心出口防火墻

設(shè)備數(shù)量設(shè)備接口

價(jià)格

45570元1臺(tái)8個(gè)光口，16個(gè)電口

3

湖南商務(wù)職業(yè)技術(shù)學(xué)院畢業(yè)設(shè)計(jì)

技術(shù)支持

SOP虛擬防火墻技術(shù)，支持CPU,內(nèi)存等硬件資源劃分的完全虛擬化，安

全區(qū)域劃分。多種攻擊安全防護(hù)，防止Land攻擊，portscaner，arp欺騙

攻擊，多鏈路負(fù)載攻擊，死亡之ping等有效防護(hù)，虛擬化技術(shù)劃分多個(gè)邏

輯防火墻，支持多種技術(shù)的性能管理，支持標(biāo)準(zhǔn)和擴(kuò)展的包過濾防火墻技術(shù)，

支持基于VLAN和Port的對象和安全策略，分析上次應(yīng)用使用具體流量，

對P2P鏈接如比特彗星等應(yīng)用軟件采用點(diǎn)到點(diǎn)流量的下載過濾，攔截木馬，

掃描特征庫對數(shù)據(jù)報(bào)文中的病毒進(jìn)行檢測，云特征庫定期自動(dòng)升級(jí)，支持廣

域網(wǎng)IPsecVPN的建立和使用。

表3核心交換機(jī)

設(shè)備名稱設(shè)備級(jí)別設(shè)備圖例

H3C-S5820X-28S核心交換機(jī)

設(shè)備價(jià)格數(shù)量設(shè)備接口

24560元1臺(tái)8個(gè)光口，24個(gè)電口

技術(shù)支持

設(shè)備為數(shù)據(jù)做高速處理轉(zhuǎn)發(fā)，并提高數(shù)據(jù)可靠性，通過VSU技術(shù)冗余，有

獨(dú)立的IP路由表，ARP表，多種IPV4，IPV6的路由協(xié)議.支持預(yù)加載版本極大

縮短升級(jí)時(shí)間，支持作為Parent管理接入交換機(jī)和AP支持2層AS架構(gòu)，支持

直接對業(yè)務(wù)報(bào)文標(biāo)記以獲得丟包數(shù)量和丟包率的實(shí)時(shí)統(tǒng)計(jì)支持二三層網(wǎng)絡(luò)網(wǎng)絡(luò)

級(jí)和設(shè)備級(jí)丟包數(shù)量和丟包率統(tǒng)計(jì)，支持Telemetry技術(shù)，實(shí)時(shí)采集設(shè)備數(shù)據(jù)

并上送至華為園區(qū)網(wǎng)絡(luò)分析器，及時(shí)有效界定故障及定位故障原因，精準(zhǔn)保障

用戶體驗(yàn)，支持iStack堆疊，將多臺(tái)支持堆疊特性的交換機(jī)邏輯上組合成以太

虛擬交換機(jī)支持成員間幾余備份，提搞了設(shè)備級(jí)可靠性。

表4匯聚交換機(jī)

設(shè)備名稱設(shè)備級(jí)別設(shè)備圖例

52P-EI-H124/48匯聚數(shù)據(jù)交換機(jī)

設(shè)備價(jià)格數(shù)量設(shè)備接口

10674元2臺(tái)4個(gè)光口，48個(gè)電口

4

湖南商務(wù)職業(yè)技術(shù)學(xué)院畢業(yè)設(shè)計(jì)

技術(shù)支持

設(shè)備提供多接口和匯聚流量的高速轉(zhuǎn)發(fā)，支持支持4K802.1QVLAN，支持

PortbasedVLAN，支持PrivateVLAN，支持GVRP，支持SuperVLAN，支持基

本QinQ，支持LACP(802.3ad)，支持基于流的鏡像，支持多對一端口鏡像及--

對多端口鏡像支持RSPAN，支持聚合鏈路的鏡像，支持STP、RSTP、MSTP，支

持DHCPServer，支持DHCPClient，支持DHCPSnooping，支持DHCPRelay，

持IPv6DHCPSnooping，支持IPv6DHCPClient，支持IPv6DHCPRelay，IPv6

編址、ICMPv6、PathMTU，Discovery支持靜態(tài)路由，支持RIP，RIPng，支持

OSPFv2,OSPFv3,IS-ISv4,IS-ISv6，支持BGP4，BGP4+，支持等價(jià)路由。過

濾非法的MAC地址，支持BFD柆測、支持REUP、支持RLDP、支持申源1+1冗

余各價(jià)、屯源?？?、凡扇模抉支持熱插拔功能.

表5無線接入點(diǎn)

設(shè)備名稱設(shè)備級(jí)別設(shè)備圖例

H3CA61-1500接入無線AP

設(shè)備價(jià)格數(shù)量設(shè)備接口

1250以太網(wǎng)口2個(gè)，usb口

5臺(tái)

元1個(gè)，console口1個(gè)

技術(shù)支持

固定端口1個(gè)復(fù)位開關(guān)，無線速率1個(gè)10/100/1000Base-T以太網(wǎng)端口建

議帶機(jī)量12V/1.5ADC供電，SSID數(shù)量3000Mbps(2.4G:2*2MIMO,5G:

2*2MIMO)工作頻段802.11ax/ac/n/a：5.15-5.35GHz，5.725GHz-5.850GHz（中

國）802.11ax/b/g/n：2.4GHz-2.483GHz（中國）指示燈內(nèi)置LED：系統(tǒng)狀態(tài)

指示燈，天線內(nèi)置4根高增益全向天線，頻寬支持160MHz頻寬，POE供電支

持802.3af/802.3at兼容供電，環(huán)境工作溫度：0°C~40°C功耗工作濕度：5%～

95%，非凝露，外形尺寸≤10W，重量Ф220mm*37mm撥碼開關(guān)0.60kg機(jī)身，

認(rèn)證多用戶模式，廣覆蓋模式。

表6接入交換機(jī)

5

湖南商務(wù)職業(yè)技術(shù)學(xué)院畢業(yè)設(shè)計(jì)

設(shè)備名稱設(shè)備級(jí)別設(shè)備圖例

S5720-56C-EI-AC接入交換機(jī)

設(shè)備價(jià)數(shù)量設(shè)備接口

格

4450元2臺(tái)內(nèi)網(wǎng)接口8個(gè)，外網(wǎng)接口

8個(gè)

技術(shù)支持

豐富業(yè)務(wù)特性：支持4KVLAN、GuestVLAN、VoiceVLAN、MUXVLAN功能，

MAC自動(dòng)學(xué)習(xí)及老化，靜態(tài)/動(dòng)態(tài)/黑洞MAC表項(xiàng)，源MAC地址過濾等，穩(wěn)定網(wǎng)絡(luò)

環(huán)境，三層路由協(xié)議，具備成熟的IPv6特性，支持IPV4/Pv6雙協(xié)議棧，支持IPv6

Ping、6to4，支持靜態(tài)路由，支持RIng,OSPF,ECMP.ISIS、BGP.VRRP等協(xié)議。

智能堆疊技術(shù)，將多臺(tái)交換機(jī)組合從邏輯上虛擬為一臺(tái)，實(shí)現(xiàn)多設(shè)備之間冗余

備份，鏈路聚合，提高設(shè)備可靠性，擴(kuò)展端口數(shù)、帶亮和處理能力，并對所有

成員設(shè)備統(tǒng)一管理。高級(jí)隊(duì)列調(diào)度高品質(zhì)QoS能力，完善的隊(duì)列調(diào)度算法，擁

塞控制算法，創(chuàng)新的優(yōu)先級(jí)調(diào)度算法和多級(jí)隊(duì)列調(diào)度機(jī)制，實(shí)現(xiàn)對數(shù)據(jù)流的精

確調(diào)度。

3.相關(guān)網(wǎng)絡(luò)技術(shù)

3.1OSPF路由協(xié)議

在配置一個(gè)網(wǎng)絡(luò)時(shí)，數(shù)據(jù)包的轉(zhuǎn)發(fā)需要通過尋址轉(zhuǎn)發(fā)。通過路由表查找路

由來轉(zhuǎn)發(fā)數(shù)據(jù)包。路由可以來源于靜態(tài)路由以及動(dòng)態(tài)路由協(xié)議學(xué)習(xí)。在復(fù)雜的

網(wǎng)絡(luò)環(huán)境下，通過手工來配置靜態(tài)路由往往會(huì)出現(xiàn)錯(cuò)誤，而通過動(dòng)態(tài)的方式學(xué)

習(xí)路由免去了繁雜的配置也避免了許多錯(cuò)誤。因此動(dòng)態(tài)路由在搭建一個(gè)網(wǎng)絡(luò)的

時(shí)候往往是不可或缺的。

區(qū)別于距離矢量路由協(xié)議，OSPF每個(gè)路由器都掌握所在區(qū)域上所有路由器

的鏈路狀態(tài)信息，了解整個(gè)網(wǎng)絡(luò)的拓?fù)淝闆r，因此可以獨(dú)立的計(jì)算出到達(dá)任意

目的地的路由。本方案動(dòng)態(tài)路由采用OSPF協(xié)議。

3.2VLAN邏輯化本地網(wǎng)絡(luò)部署

VLAN是建立在物理網(wǎng)絡(luò)基礎(chǔ)上的一種邏輯子網(wǎng)。通過虛擬技術(shù)，把局域網(wǎng)

6

湖南商務(wù)職業(yè)技術(shù)學(xué)院畢業(yè)設(shè)計(jì)

（LAN）劃分成好幾個(gè)不同的VLAN，而且使得網(wǎng)絡(luò)接入不再局限于物理地址上的

約束。VLAN內(nèi)部可以相互溝通，不過VLAN之間不能直接溝通，必須經(jīng)過特殊設(shè)

置的路由器才可以。

這樣做的實(shí)際意義主要有兩個(gè)。一個(gè)是通過分割，在較大的LAN中創(chuàng)建不

同的VLAN，可以抵御廣播風(fēng)暴的影響，同時(shí)可以多設(shè)置防火墻來大大提高網(wǎng)絡(luò)

的安全性。另外一個(gè)是有助于提高工作效率和接入速度。

簡單說來vlan就是為了讓一個(gè)原本過于龐大的局域網(wǎng)，劃分成若干個(gè)小局

域網(wǎng)，因此各自子網(wǎng)內(nèi)部的廣播風(fēng)暴以及其他無用流量信息限制在本子網(wǎng)內(nèi)，

降低網(wǎng)絡(luò)風(fēng)暴引起的網(wǎng)絡(luò)故障。

3.3DHCPIP動(dòng)態(tài)地址分配

在IP網(wǎng)絡(luò)中，每個(gè)連接Internet的設(shè)備都需要分配唯一的IP地址。DHCP

使網(wǎng)絡(luò)管理員能從中心結(jié)點(diǎn)監(jiān)控和分配IP地址。當(dāng)某臺(tái)計(jì)算機(jī)移到網(wǎng)絡(luò)中的其

它位置時(shí)，能自動(dòng)收到新的IP地址。DHCP實(shí)現(xiàn)的自動(dòng)化分配IP地址不僅降低

了配置和部署設(shè)備的時(shí)間，同時(shí)也降低了發(fā)生配置錯(cuò)誤的可能性。另外DHCP服

務(wù)器可以管理多個(gè)網(wǎng)段的配置信息，當(dāng)某個(gè)網(wǎng)段的配置發(fā)生變化時(shí)，管理員只

需要更新DHCP服務(wù)器上的相關(guān)配置即可，實(shí)現(xiàn)了集中化管理。

DHCP協(xié)議采用UDP作為傳輸協(xié)議，DHCP客戶端發(fā)送請求消息到DHCP服務(wù)

器的68號(hào)端口，DHCP服務(wù)器回應(yīng)應(yīng)答消息給DHCP客戶端的67號(hào)端口。只有跟

DHCP客戶端在同一個(gè)網(wǎng)段的DHCP服務(wù)器才能收到DHCP客戶端廣播的DHCP

DISCOVER報(bào)文。當(dāng)DHCP客戶端與DHCP服務(wù)器不在同一個(gè)網(wǎng)段時(shí)，必須部署

DHCP中繼來轉(zhuǎn)發(fā)DHCP客戶端和DHCP服務(wù)器之間的DHCP報(bào)文。在DHCP客戶端

看來，DHCP中繼就像DHCP服務(wù)器；在DHCP服務(wù)器看來，DHCP中繼就像DHCP

客戶端。

3.4MSTP多域生成樹部署

多生成樹協(xié)議MSTP（MultipleSpanningTreeProtocol）是IEEE802.1s中

定義的生成樹協(xié)議，通過生成多個(gè)生成樹，來解決以太網(wǎng)環(huán)路問題。MSTP的功

能:在以太網(wǎng)中部署MSTP協(xié)議后可實(shí)現(xiàn)如下功能：形成多棵無環(huán)路的樹，解決

廣播風(fēng)暴并實(shí)現(xiàn)冗余備份。多棵生成樹在VLAN間實(shí)現(xiàn)負(fù)載均衡，不同VLAN的

流量按照不同的路徑轉(zhuǎn)發(fā)。

3.5堆疊技術(shù)

7

湖南商務(wù)職業(yè)技術(shù)學(xué)院畢業(yè)設(shè)計(jì)

堆疊系統(tǒng)多臺(tái)成員交換機(jī)之間形成冗余備份，如下圖所示，SwitchA和

SwitchB組成堆疊系統(tǒng)，SwitchA和SwitchB相互備份，SwitchA故障時(shí)，SwitchB

可以接替SwitchA保證系統(tǒng)的正常運(yùn)行。另外，堆疊系統(tǒng)支持跨設(shè)備的鏈路聚

合功能，也可以實(shí)現(xiàn)鏈路的冗余備份。

3.6VRRP虛擬網(wǎng)關(guān)冗余協(xié)議

VRRP（VirtualRouterRedundancyProtocol，虛擬路由器冗余協(xié)議）將可

以承擔(dān)網(wǎng)關(guān)功能的路由器加入到備份組中，形成一臺(tái)虛擬路由器，由VRRP的選

舉機(jī)制決定哪臺(tái)路由器承擔(dān)轉(zhuǎn)發(fā)任務(wù)，局域網(wǎng)內(nèi)的主機(jī)只需將虛擬路由器配置

為缺省網(wǎng)關(guān)。

VRRP是一種容錯(cuò)協(xié)議，在提高可靠性的同時(shí)，簡化了主機(jī)的配置。在具有

多播或廣播能力的局域網(wǎng)（如以太網(wǎng)）中，借助VRRP能在某臺(tái)設(shè)備出現(xiàn)故障時(shí)

仍然提供高可靠的缺省鏈路，有效避免單一鏈路發(fā)生故障后網(wǎng)絡(luò)中斷的問題，

而無需修改動(dòng)態(tài)路由協(xié)議、路由發(fā)現(xiàn)協(xié)議等配置信息。VRRP協(xié)議的實(shí)現(xiàn)有

VRRPv2和VRRPv3兩個(gè)版本，VRRPv2于IPv4，VRRPv3基于IPv6。

VRRP路由器：所有運(yùn)行VRRP協(xié)議的路由器就叫做VRRP路由器。

VRRP備份組：多臺(tái)路由器被分到一個(gè)組中，在這個(gè)組中選舉出一臺(tái)主路由

器，其他作為備份路由器。平常時(shí)候都是主路由器一個(gè)工作，備份路由器空閑，

當(dāng)主路由器故障后，從多臺(tái)備份路由器中選舉出一臺(tái)替代故障的主路由器工作。

這一組中的路由器構(gòu)成了一個(gè)備份組。

3.7NAT地址轉(zhuǎn)換

在正常情況下，我們內(nèi)網(wǎng)中所使用的地址均為私網(wǎng)IP地址，因?yàn)樵诂F(xiàn)如今

的網(wǎng)絡(luò)中IPV6還未普及，而IPV4地址又是有限的，所以在Internet中IPV4

地址的租用是非常昂貴的，如果要給公司每一個(gè)設(shè)備都分配一個(gè)公網(wǎng)地址，是

需要一筆很高的費(fèi)用的。所以一般情況下，一個(gè)公司同使用一個(gè)或兩個(gè)公網(wǎng)IP

地址。在需要訪問外網(wǎng)是，將私網(wǎng)地址轉(zhuǎn)換為公網(wǎng)地址，這里就需要應(yīng)用到NAT

技術(shù)。同時(shí)NAT技術(shù)也可以隔離外網(wǎng)。一般情況下外網(wǎng)是無法主動(dòng)訪問內(nèi)網(wǎng)的，

所以又起到了安全的作用。當(dāng)內(nèi)網(wǎng)存在服務(wù)器時(shí)，如果需要提供給外網(wǎng)服務(wù)，

那靜態(tài)NAT技術(shù)也可以將服務(wù)器映射到外網(wǎng)。

3.8ACL匹配工具

ACL可以通過對網(wǎng)絡(luò)中報(bào)文流的精確識(shí)別，與其他技術(shù)結(jié)合，達(dá)到控制網(wǎng)絡(luò)

8

湖南商務(wù)職業(yè)技術(shù)學(xué)院畢業(yè)設(shè)計(jì)

訪問行為、防止網(wǎng)絡(luò)攻擊和提高網(wǎng)絡(luò)帶寬利用率的目的，從而切實(shí)保障網(wǎng)絡(luò)環(huán)

境的安全性和網(wǎng)絡(luò)服務(wù)質(zhì)量的可靠性。在本章節(jié)中，將介紹ACL的基本原理和

基本作用，ACL的不同種類及特點(diǎn)，ACL的基本組成和匹配順序，通配符的使用

方法和ACL的相關(guān)配置。技術(shù)背景：需要一個(gè)工具，實(shí)現(xiàn)流量過濾隨著網(wǎng)絡(luò)的

飛速發(fā)展，網(wǎng)絡(luò)安全和網(wǎng)絡(luò)服務(wù)質(zhì)量QoS（QualityofService）問題日益突出。

ACL是由一系列permit或deny語句組成的、有序規(guī)則的列表。ACL是一個(gè)匹配

工具，能夠?qū)?bào)文進(jìn)行匹配和區(qū)分。ACL應(yīng)用匹配IP流量在Traffic-filter

中被調(diào)用。

4.網(wǎng)絡(luò)配置

4.1VLAN配置

以此為例：

#宣告業(yè)務(wù)網(wǎng)段

[SW1]vlan10

[SW1-vlan10]portg1/0/1

[SW1-vlan10]vlan20

[SW1-vlan20]portg1/0/6

[SW1]vlan30

[SW1-vlan30]portg1/0/10

[SW1-vlan30]vlan40

[SW1-vlan20]portg1/0/15

#創(chuàng)建vlan并將對應(yīng)的接口加入到對應(yīng)的vlan

4.2OSPF配置

以此為例：

[S1]ospfrouter-id

#配置ospfroute-id

[R1-ospf-1]area0

#區(qū)域0

[R1-ospf-1-area-]network55

[R1-ospf-1-area-]network55

[R1-ospf-1-area-]network55

9

湖南商務(wù)職業(yè)技術(shù)學(xué)院畢業(yè)設(shè)計(jì)

[R1-ospf-1-area-]network55

4.3鏈路聚合配置

以此為例：

[SW1]interfaceBridge-Aggregation1

[SW1]interfaceg1/0/21

[SW1-GigabitEthernet1/0/2]portlink-aggregationgroup1

[SW1]interfaceg1/0/22

[SW1-GigabitEthernet1/0/2]portlink-aggregationgroup1

#創(chuàng)建聚合端口組，并將需要聚合的端口加入到聚合端口組。

4.4MSTP配置

以此為例：

[SW1]stpregion-configuration

#進(jìn)入域配置

[SW1-mst-region]region-nameh3c1

#配置域名

[SW1-mst-region]revision-level1

#配置修訂級(jí)別

[SW1-mst-region]instance1vlan1020

#將vlan10vlan20映射到實(shí)例1

[SW1-mst-region]instance2vlan3040

#將vlan30vlan40映射到實(shí)例2

[SW1-mst-region]activeregion-configuration

#激活域配置

[SW1]stpinstance1rootprimary

#將SW1設(shè)置為實(shí)例1的主根

[SW1]stpinstance2rootsecondary

#將SW1設(shè)置為實(shí)例2的主根

4.5VRRP配置

以此為例：

[SW1-Vlan-interface10]vrrpvrid10virtual-ip54

10

湖南商務(wù)職業(yè)技術(shù)學(xué)院畢業(yè)設(shè)計(jì)

#配置vrrp組的虛擬ip

[SW1-Vlan-interface10]vrrpvrid10priority120

#將vrrp組10的優(yōu)先級(jí)改為120

4.6NAT配置

以此為例：

[R1]aclbasic2000

[R1-acl-ipv4-basic-2000]rulepermitsource55

[R1-acl-ipv4-basic-2000]rulepermitsource55

配置基礎(chǔ)ACL匹配業(yè)務(wù)網(wǎng)段

[R1]interfaceg0/0

[R1-GigabitEthernet0/0]natoutbound2000

#在公網(wǎng)接口上將配置NAT所以公網(wǎng)接口的地址

[R1-GigabitEthernet0/0]natserverprotocoltcpglobalcurrent-interface

2021inside02021

#配置natserver將服務(wù)器的地址映射出去，讓外網(wǎng)可以訪問服務(wù)器。

4.7SSH配置

以此為例：

[R1]user-interfacevty04

#進(jìn)入控制臺(tái)配置

[R1-line-vty0-4]authentication-modescheme

#選擇驗(yàn)證方式為用戶名加密碼

[R1-line-vty0-4]user-rolelevel-15

#設(shè)置用戶級(jí)別

[R1-line-vty0-4]protocolinboundssh

#設(shè)置服務(wù)

[R1]local-userwangdayeclassmanage

#創(chuàng)建用戶

[R1-luser-manage-wangdaye]passwordsimple123456

#配置用戶密碼

[R1-luser-manage-wangdaye]service-typessh

#配置服務(wù)類型

11

湖南商務(wù)職業(yè)技術(shù)學(xué)院畢業(yè)設(shè)計(jì)

[R1-luser-manage-wangdaye]authorization-attributeuser-rolelevel-15

#配置用戶級(jí)別

4.8DHCP配置

以此為例：

[R1]dhcpserverip-pool1

#創(chuàng)建地址池

[R1-dhcp-pool-1]networkmask

#配置地址池使用的網(wǎng)段

[R1-dhcp-pool-1]gateway-list54

#指定網(wǎng)關(guān)地址

[R1-dhcp-pool-1]dns-list817

#指定DNS地址

5.網(wǎng)絡(luò)測試

通過技術(shù)部pc去ping安全部、人事部、財(cái)務(wù)部、市場部和科研部的終端

以測試部門連通性，如圖2、圖3、圖4、圖5、圖6所示，驗(yàn)證方案可用。