云鋒公司網(wǎng)絡(luò)規(guī)劃與設(shè)計(jì)

湖南商務(wù)職業(yè)技術(shù)學(xué)院畢業(yè)設(shè)計(jì)

目錄

1項(xiàng)目需求分析.......................................................1

1.1項(xiàng)目背景......................................................1

1.2性能需求......................................................1

1.3組網(wǎng)需求......................................................1

1.4服務(wù)器需求....................................................1

1.5應(yīng)用需求......................................................1

1.6連通性需求....................................................1

1.7可靠性需求....................................................2

2項(xiàng)目設(shè)計(jì)原則.......................................................2

2.1網(wǎng)絡(luò)設(shè)計(jì)要求..................................................2

2.2網(wǎng)絡(luò)設(shè)計(jì)原則..................................................2

3網(wǎng)絡(luò)技術(shù)選型.......................................................2

3.1IP地址及網(wǎng)絡(luò)拓?fù)湟?guī)劃.........................................2

3.2企業(yè)網(wǎng)絡(luò)規(guī)劃拓?fù)鋱D............................................3

4VLAN協(xié)議...........................................................3

4.1產(chǎn)生背景......................................................3

4.2工作原理......................................................4

4.3VLAN功能.....................................................4

5DHCP協(xié)議...........................................................4

5.1產(chǎn)生背景......................................................4

5.2IP地址分配地址策略...........................................4

6PPP協(xié)議............................................................4

6.1背景..........................................................4

6.2協(xié)議功能......................................................5

7OSPF協(xié)議...........................................................5

7.1背景..........................................................5

II

湖南商務(wù)職業(yè)技術(shù)學(xué)院畢業(yè)設(shè)計(jì)

7.2OSPF特點(diǎn).....................................................6

7.3OSPF防環(huán)機(jī)制.................................................6

8鏈路聚合...........................................................7

8.1背景..........................................................7

8.2技術(shù)優(yōu)點(diǎn)......................................................7

9堆疊...............................................................7

9.1背景..........................................................7

9.2技術(shù)優(yōu)點(diǎn)......................................................7

10訪問控制列表......................................................8

10.1背景.........................................................8

10.2工作原理.....................................................8

10.3ACL功能.....................................................8

11網(wǎng)絡(luò)地址轉(zhuǎn)換......................................................8

11.1背景.........................................................8

11.2工作原理.....................................................9

11.3NAT功能.....................................................9

12端口接入控制......................................................9

12.1背景.........................................................9

12.2接入方式....................................................10

13網(wǎng)絡(luò)設(shè)計(jì)選型.....................................................10

13.1設(shè)備選型原則................................................10

13.2核心層交換機(jī)選型............................................10

13.3匯聚層交換機(jī)選型............................................11

13.4接入層設(shè)備選型..............................................12

13.5服務(wù)器選型..................................................13

13.6邊界路由器選型..............................................15

14網(wǎng)絡(luò)設(shè)備配置.....................................................16

14.1服務(wù)器配置..................................................16

III

湖南商務(wù)職業(yè)技術(shù)學(xué)院畢業(yè)設(shè)計(jì)

14.2路由器與交換機(jī)的配置......................................17

14.2.1路由器配置............................................17

14.2.2核心層交換機(jī)配置......................................18

14.2.3匯聚層交換機(jī)配置......................................23

14.2.4接入層交換機(jī)配置......................................24

15測(cè)試驗(yàn)收.........................................................25

15.1內(nèi)網(wǎng)測(cè)試....................................................26

15.2外網(wǎng)測(cè)試....................................................26

15.3DHCP測(cè)試...................................................27

15.4堆疊測(cè)試....................................................28

15.4鏈路聚合測(cè)試................................................28

16設(shè)計(jì)小結(jié).........................................................29

參考資料............................................................30

IV

湖南商務(wù)職業(yè)技術(shù)學(xué)院畢業(yè)設(shè)計(jì)

云鋒公司網(wǎng)絡(luò)規(guī)劃與設(shè)計(jì)

1項(xiàng)目需求分析

1.1項(xiàng)目背景

云鋒公司是一個(gè)中小型企業(yè)，計(jì)劃從舊公司搬到新公司，現(xiàn)需要重新規(guī)劃

網(wǎng)絡(luò)設(shè)計(jì)，本公司現(xiàn)有236人，共5個(gè)部門，分別是市場(chǎng)部、財(cái)務(wù)部、技術(shù)部、

行政部，現(xiàn)使用B類公網(wǎng)IP地址和C類私網(wǎng)地址規(guī)劃部門IP地址。每個(gè)部門

人數(shù)差不多分別是50多個(gè)人數(shù)，最后一個(gè)IP地址用做每個(gè)部門的網(wǎng)關(guān)地址。

1.2性能需求

各廠家各自設(shè)備都有不同的特定，有的高穩(wěn)定，有的安全高，有的轉(zhuǎn)發(fā)速

率快等。因此，應(yīng)當(dāng)慎重考察與分析對(duì)網(wǎng)絡(luò)的根本需求，以便選擇相應(yīng)設(shè)備。

1.3組網(wǎng)需求

采用樹層結(jié)構(gòu)組建網(wǎng)絡(luò)，使用三層交換機(jī)做核心交換機(jī)，負(fù)責(zé)高速轉(zhuǎn)發(fā)通

信，提供可靠、快速的骨干傳輸結(jié)構(gòu)；使用三臺(tái)交換機(jī)做匯聚層交換機(jī)，負(fù)責(zé)

匯聚接入層的流量；使用二層交換機(jī)做接入層設(shè)備，負(fù)責(zé)接入設(shè)備。

1.4服務(wù)器需求

企業(yè)有內(nèi)部的網(wǎng)站服務(wù)器、DHCP服務(wù)器、防火墻等，能夠提供內(nèi)部的辦公

管理，能夠提供任務(wù)管理、通知、論壇、電子文檔審批，能夠自動(dòng)獲取IP地址

等服務(wù)。

1.5應(yīng)用需求

接入Internet，共享網(wǎng)絡(luò)資源；辦公自動(dòng)化。

1.6連通性需求

實(shí)現(xiàn)全網(wǎng)互通，能夠內(nèi)網(wǎng)訪問外網(wǎng)、外網(wǎng)不能有內(nèi)網(wǎng)路由。

1

湖南商務(wù)職業(yè)技術(shù)學(xué)院畢業(yè)設(shè)計(jì)

1.7可靠性需求

設(shè)備的可靠性設(shè)計(jì)：規(guī)劃設(shè)計(jì)好網(wǎng)絡(luò)架構(gòu)、設(shè)備選型、協(xié)議選擇、業(yè)務(wù)規(guī)

劃等技術(shù)層面的問題，可提高網(wǎng)絡(luò)的可靠性。

鏈路的可靠性設(shè)計(jì)：企業(yè)網(wǎng)絡(luò)建設(shè)時(shí)，考慮網(wǎng)絡(luò)設(shè)備是否能夠提供有效的

鏈路自愈手段，以及快速重路由協(xié)議的支持?？紤]連接網(wǎng)絡(luò)設(shè)備的鏈路，是否

有備份線路。

業(yè)務(wù)的可靠性設(shè)計(jì)：當(dāng)設(shè)備發(fā)生故障時(shí)，對(duì)業(yè)務(wù)正常運(yùn)行的影響。

2項(xiàng)目設(shè)計(jì)原則

2.1網(wǎng)絡(luò)設(shè)計(jì)要求

（1）節(jié)省成本：在部署網(wǎng)絡(luò)系統(tǒng)時(shí)可以有效的提高效率，減少不必要的成

本。

（2）易于擴(kuò)展：設(shè)計(jì)后期可擴(kuò)展的網(wǎng)絡(luò)，是因?yàn)楹笃谠黾泳W(wǎng)絡(luò)設(shè)備時(shí)可以

靈活的增加，不增加額外成本。

（3）易于維護(hù)：在一個(gè)網(wǎng)絡(luò)系統(tǒng)成熟后，設(shè)備、線纜老化后則需要更換，

設(shè)計(jì)該網(wǎng)絡(luò)是為了后期方便維護(hù)。

2.2網(wǎng)絡(luò)設(shè)計(jì)原則

（1）統(tǒng)一性：統(tǒng)一規(guī)劃、統(tǒng)一標(biāo)準(zhǔn)。

（2）安全性：應(yīng)具有較高的安全性，防御內(nèi)部和外部的攻擊，

（3）可靠性：保證網(wǎng)絡(luò)的穩(wěn)定、可靠、安全，具有備份。容錯(cuò)等功能。

（4）經(jīng)濟(jì)性：網(wǎng)絡(luò)建設(shè)中，也需考慮企業(yè)的經(jīng)濟(jì)承受能力，盡最大可能節(jié)

約資源、

（5）實(shí)用性：網(wǎng)絡(luò)建設(shè)從應(yīng)用實(shí)際需求出發(fā)，充分利用現(xiàn)有資源。

3網(wǎng)絡(luò)技術(shù)選型

3.1IP地址及網(wǎng)絡(luò)拓?fù)湟?guī)劃

云鋒公司的VLAN或接口及IP地址規(guī)劃如表1所示：

表1VLAN及IP地址規(guī)劃

部門VLAN/接口子網(wǎng)范圍網(wǎng)關(guān)

市場(chǎng)部VLAN10/262

2

湖南商務(wù)職業(yè)技術(shù)學(xué)院畢業(yè)設(shè)計(jì)

財(cái)務(wù)部VLAN204/2626

技術(shù)部VLAN3028/2690

行政部VLAN4092/2654

PC1VLAN10/262

PC2VLAN205/2626

PC3VLAN3029/2690

PC4VLAN4093/2654

G0/2/30\

BJ_R2

RAGG3/30\

G0/0/30\

WW_R1

Loop0/32\

服務(wù)器13/30\

3.2企業(yè)網(wǎng)絡(luò)規(guī)劃拓?fù)鋱D

圖1企業(yè)網(wǎng)絡(luò)規(guī)劃拓?fù)鋱D

4VLAN協(xié)議

4.1產(chǎn)生背景

交換機(jī)隔離沖突域但是不會(huì)隔離廣播域，交換機(jī)各個(gè)端口在正常接收數(shù)據(jù)

時(shí)，由于交換機(jī)的大量廣播數(shù)據(jù)包會(huì)泛洪出去，這會(huì)占用大量的網(wǎng)絡(luò)資源，嚴(yán)

重時(shí)還會(huì)在交換機(jī)中形成二層的廣播風(fēng)暴，最嚴(yán)重時(shí)還會(huì)導(dǎo)致交換機(jī)的死機(jī)與

癱瘓，從而影響正常的網(wǎng)絡(luò)間通信。

3

湖南商務(wù)職業(yè)技術(shù)學(xué)院畢業(yè)設(shè)計(jì)

4.2工作原理

要使網(wǎng)絡(luò)設(shè)備能夠分辨不同VLAN的報(bào)文，需要在報(bào)文中添加標(biāo)識(shí)VLAN的

字段。由于普通交換機(jī)工作在OSI模型的數(shù)據(jù)鏈路層，只能對(duì)報(bào)文的數(shù)據(jù)鏈路

層封裝進(jìn)行識(shí)別。因此，如果添加識(shí)別字段，也需要添加到數(shù)據(jù)鏈路層封裝中。

4.3VLAN功能

廣播域被限制在一個(gè)VLAN內(nèi)，節(jié)省了帶寬，提高了網(wǎng)絡(luò)處理能力。增強(qiáng)局

域網(wǎng)的安全性，不同虛擬局域網(wǎng)之間是出于隔離狀態(tài)的；可以靈活的創(chuàng)建虛擬

工作組，用VLAN可以劃分不同的用戶到不同的工作組，同組用戶不必局限于某

一固定的物理范圍。

5DHCP協(xié)議

5.1產(chǎn)生背景

在大型網(wǎng)絡(luò)中，如果IP地址采取手工配置，會(huì)容易出現(xiàn)IP配置錯(cuò)誤，造

成主機(jī)和主機(jī)之間不能正常通信；而且工作量特別大，對(duì)身體容易造成疲勞；

沒有靈活性；不易于管理，容易造成地址沖突。DHCP就是為解決這些問題而發(fā)

展起來的。DHCP采用客戶端/服務(wù)器通信模式，由客戶端向服務(wù)器提出配置申請(qǐng)，

服務(wù)器返回為客戶端分配的IP地址等相應(yīng)的配置信息，以實(shí)現(xiàn)IP地址等信息

的動(dòng)態(tài)配置。

5.2IP地址分配地址策略

手工分配地址：沒有租期的概念，由管理員為少數(shù)特定客戶端（如WWW服

務(wù)器等）靜態(tài)綁定固定的IP地址。通過DHCP將配置的固定IP地址發(fā)給客戶端。

自動(dòng)分配地址：DHCP服務(wù)器為客戶端分配租期為無限長的IPv4地址。

動(dòng)態(tài)分配地址：DHCP服務(wù)器為客戶端分配具有一定有效期限的IPv4地址，

到達(dá)一定時(shí)間后會(huì)提醒客戶端重新續(xù)租IPv4地址。

6PPP協(xié)議

6.1背景

PPP協(xié)議基于SLIP,由于SLIP的許多缺陷，所以被PPP協(xié)議所替代。PPP協(xié)

4

湖南商務(wù)職業(yè)技術(shù)學(xué)院畢業(yè)設(shè)計(jì)

議提供在點(diǎn)到點(diǎn)鏈路上封裝和傳輸網(wǎng)絡(luò)層數(shù)據(jù)包的數(shù)據(jù)鏈路層協(xié)議,處于OSI

參考模型的第二層,主要被發(fā)計(jì)用來支持全雙工的同異步鏈路上進(jìn)行點(diǎn)到點(diǎn)之

間的傳輸。幀格式與HDLC相似，不同的是PPP是面向字節(jié)，HDLC是面向位的。

PPP屬于廣域網(wǎng)范疇，MAC是局域網(wǎng)范疇，按實(shí)際情況和環(huán)境就選用不同的協(xié)議，

PPP支持的網(wǎng)絡(luò)結(jié)構(gòu)只能是點(diǎn)對(duì)點(diǎn)，MAC支持多點(diǎn)對(duì)多點(diǎn)。這類廣域網(wǎng)協(xié)議，其

幀的結(jié)構(gòu)與以太網(wǎng)的完全不同，當(dāng)然，PPPOE除外，因?yàn)镻PPOE是基于以太網(wǎng)上

的，而其它的如PPP，F(xiàn)R，X.25等卻并不是。PPP協(xié)議是目前廣域網(wǎng)上應(yīng)用最

廣泛的協(xié)議之一，它的優(yōu)點(diǎn)在于簡單、具備用戶驗(yàn)證能力、可以解決IP分配等。

6.2協(xié)議功能

（1）在同一條物理鏈路上進(jìn)行點(diǎn)對(duì)點(diǎn)的數(shù)據(jù)傳輸，對(duì)數(shù)據(jù)鏈路層的幀不進(jìn)

行糾錯(cuò)，不需要序號(hào)，不需要流量控制。

（2）ppp協(xié)議封裝成幀，加入幀界定符。

（3）ppp協(xié)議的透明性采用字節(jié)填充法解決。

（4）在同一條物理鏈路上同時(shí)支持多種網(wǎng)絡(luò)層協(xié)議（如IP和IPX等）的

運(yùn)行。

（5）PPP必須能夠在多種類型的鏈路上運(yùn)行，例如串行或并行鏈路。

（6）接收方收到一個(gè)幀后進(jìn)行CRC檢驗(yàn)，若正確就收下這個(gè)幀，反之則丟

棄。

（7）自動(dòng)檢測(cè)鏈路是否處于正常工作狀態(tài)，支持地址自動(dòng)協(xié)商，能夠遠(yuǎn)程

分配IP地址。

（8）ppp協(xié)議支持PAP和CHAP兩種驗(yàn)證方式，pap明文傳輸用戶名和密碼，

CHAP卻不直接傳輸用戶密碼，傳輸?shù)氖怯肕D5算法將用戶密碼與一個(gè)隨機(jī)報(bào)文

ID一起計(jì)算的結(jié)果，因此它的安全性要比PAP高。

7OSPF協(xié)議

7.1背景

在沒有OSPF動(dòng)態(tài)路由協(xié)議的時(shí)候，小型網(wǎng)絡(luò)可以使用靜態(tài)路由以及RIP路

由協(xié)議，但是靜態(tài)路由配置和維護(hù)耗費(fèi)時(shí)間，又RIP存在環(huán)路問題，且RIP是

按跳數(shù)計(jì)算路由的，跳數(shù)最高跳數(shù)是15，而跳數(shù)16則為無窮大，意為路由不可

達(dá)，因此它不適合大型網(wǎng)絡(luò)，沒有很好的擴(kuò)展性，而OSPF路由協(xié)議解決了這些

問題，它是一種基于鏈路狀態(tài)的內(nèi)部網(wǎng)關(guān)協(xié)議，沒有環(huán)路，了解全網(wǎng)拓?fù)?，?/p>

5

湖南商務(wù)職業(yè)技術(shù)學(xué)院畢業(yè)設(shè)計(jì)

前，針對(duì)ipv4的是OSPFv2。

7.2OSPF特點(diǎn)

適應(yīng)范圍廣：支持各種規(guī)模的網(wǎng)絡(luò)，最多可支持幾百臺(tái)路由器。

快速收斂：在網(wǎng)絡(luò)的拓?fù)浣Y(jié)構(gòu)發(fā)生變化后立即發(fā)送更新報(bào)文，使這一變化

在自治系統(tǒng)中同步。

沒有環(huán)路：由于OSPF根據(jù)收集到的鏈路狀態(tài)用最短路徑樹算法計(jì)算路由，

從算法本身保證了不會(huì)生成自環(huán)路由。

區(qū)域劃分：允許自治系統(tǒng)的網(wǎng)絡(luò)被劃分成區(qū)域來管理。路由器鏈路狀態(tài)數(shù)

據(jù)庫的減小降低了內(nèi)存的消耗和CPU的負(fù)擔(dān)；區(qū)域間傳送路由信息的減少降低

了網(wǎng)絡(luò)帶寬的占用；網(wǎng)絡(luò)規(guī)模擴(kuò)大，隨之網(wǎng)絡(luò)發(fā)生故障的可能性也增加，如果

區(qū)域內(nèi)某處發(fā)生故障，整個(gè)區(qū)域內(nèi)的路由器都要重新計(jì)算路由，這將大大增加

路由器的負(fù)擔(dān)，降低網(wǎng)絡(luò)運(yùn)行的穩(wěn)定性。

等價(jià)路由：支持到同一目的地址的多條等價(jià)路由，可以對(duì)等價(jià)路由進(jìn)行負(fù)

載分擔(dān)。

路由分級(jí)：使用4類不同的路由，按優(yōu)先順序來說分別是：區(qū)域內(nèi)路由、

區(qū)域間路由、第一類外部路由、第二類外部路由。

支持驗(yàn)證：支持基于接口的報(bào)文驗(yàn)證，以保證報(bào)文交互和路由計(jì)算的安全

性。

組播發(fā)送：OSPF采用組播形式收發(fā)報(bào)文，這樣可以減少對(duì)其它不運(yùn)行OSPF

路由器的影響。

7.3OSPF防環(huán)機(jī)制

OSPF劃分了骨干區(qū)域和非骨干區(qū)域，區(qū)域內(nèi)根據(jù)采用SPF算法防環(huán)；區(qū)域

間傳遞LSA信息不是鏈路狀態(tài)信息，而是純粹的路由，此時(shí)是基于D-V算法，

不再是鏈路狀態(tài)算法，這時(shí)就會(huì)產(chǎn)生路由自環(huán)的問題，為了解決這問題，規(guī)定

非骨干路由器需直接連接骨干區(qū)域，非骨干區(qū)域的路由信息必須經(jīng)過骨干區(qū)域0，

再由骨干區(qū)域轉(zhuǎn)發(fā)給其它區(qū)域。骨干區(qū)域的任務(wù)就是匯總每一個(gè)區(qū)域的網(wǎng)絡(luò)拓

撲到其他的區(qū)域。

6

湖南商務(wù)職業(yè)技術(shù)學(xué)院畢業(yè)設(shè)計(jì)

8鏈路聚合

8.1背景

網(wǎng)絡(luò)規(guī)模擴(kuò)大，用戶對(duì)網(wǎng)絡(luò)需要也隨之增大，設(shè)備間的鏈路性能達(dá)不到合

格，隨之會(huì)造成網(wǎng)絡(luò)設(shè)備之間轉(zhuǎn)發(fā)的延遲率變高，則網(wǎng)絡(luò)會(huì)擁塞，為提高帶寬，

如果按照以往升級(jí)網(wǎng)絡(luò)設(shè)備，需要支付高額的費(fèi)用，而且不夠靈活，所以由此

產(chǎn)生了鏈路聚合。

8.2技術(shù)優(yōu)點(diǎn)

（1）高可靠性：如果有一處鏈路斷掉之后，像以往，會(huì)直接斷網(wǎng)，而現(xiàn)在

幾條鏈路做聚合成一條，其中一處斷掉，另一處可保持正常運(yùn)行。

（2）負(fù)載均衡：流量不必一直從一條鏈路通過，可把流量分部在不同鏈路

上，實(shí)現(xiàn)負(fù)載均衡，減少了鏈路的壓力。

（3）增加帶寬：帶寬不高時(shí)，該怎么做？以往只能直接換掉線纜，這在我

看來，十分的不劃算，如果可以的話，增加一條千兆線纜，把多條鏈路聚合在

一起的話，可同樣實(shí)現(xiàn)帶寬的增加。

9堆疊

9.1背景

為了提高交換機(jī)性能，而使用堆疊將多臺(tái)設(shè)備合并在一起，又增加了端口、

帶寬，相當(dāng)于傳統(tǒng)網(wǎng)絡(luò)，可組建更大的二層環(huán)境，堆疊內(nèi)的設(shè)備沒有環(huán)路，易

于管理和維護(hù)，網(wǎng)絡(luò)設(shè)計(jì)簡單。

9.2技術(shù)優(yōu)點(diǎn)

（1）擴(kuò)展能力強(qiáng)大：可不更換昂貴的設(shè)備的前提下來增加設(shè)備的性能。

（2）可靠性高：一臺(tái)設(shè)備掛掉以后，其它設(shè)備可正常運(yùn)行，提高了設(shè)備的

可靠性。

（3）網(wǎng)絡(luò)簡化管理：堆成一臺(tái)后，可方便管理，不用在多臺(tái)設(shè)備上做許多

配置。

7

湖南商務(wù)職業(yè)技術(shù)學(xué)院畢業(yè)設(shè)計(jì)

10訪問控制列表

10.1背景

網(wǎng)絡(luò)威脅無處不在，為保障企業(yè)業(yè)務(wù)的數(shù)據(jù)安全，需要增強(qiáng)網(wǎng)絡(luò)安全性，

網(wǎng)絡(luò)設(shè)備需具備控制網(wǎng)絡(luò)用戶的訪問能力。ACL包過濾就是被廣泛應(yīng)用的一種網(wǎng)

絡(luò)安全技術(shù)。它使用ACL來識(shí)別數(shù)據(jù)，并決定是否轉(zhuǎn)發(fā)還是丟棄數(shù)據(jù)包，ACL的

匹配條件是源地址、源端口號(hào)、目的地址、目的端口號(hào)、協(xié)議等信息，另外還

可以結(jié)合其它技術(shù)，比如Nat、QOS等。

10.2工作原理

（1）包過濾基于ACL，包過濾需要應(yīng)用在接口上，具有方向性，出、入方

向可配置獨(dú)立的包過濾。若在接口上應(yīng)用了基于ACL的包過濾策略，那么數(shù)據(jù)

包經(jīng)過接口，會(huì)受到ACL規(guī)則影響。

（2）通配符掩碼與子網(wǎng)掩碼是由區(qū)別的，通配符掩碼的子網(wǎng)可以不連續(xù)，

因?yàn)檫@樣更精確，都是由0和1組成的32位比特?cái)?shù)，通過通配符掩碼與IP地

址來操作標(biāo)識(shí)網(wǎng)絡(luò)。

（3）一個(gè)ACL可以包括多條規(guī)則，每個(gè)規(guī)則定義了匹配條件以及相應(yīng)動(dòng)作，

動(dòng)作有允許和拒絕，ACL匹配條件可以是通信五元素，以及IP優(yōu)先級(jí)、分片報(bào)

文位、MAC動(dòng)作、VLAN信息等。

（4）ACL匹配規(guī)則順序分為配置順序和自動(dòng)排序兩種，分別是配置的先后

和深度優(yōu)先。

10.3ACL功能

（1）限制網(wǎng)絡(luò)流量，提高網(wǎng)絡(luò)性能。

（2）提供對(duì)通信流量的控制手段。

（3）提供網(wǎng)絡(luò)安全的基本安全手段。

11網(wǎng)絡(luò)地址轉(zhuǎn)換

11.1背景

當(dāng)前Internet主要基于IPv4協(xié)議，用戶訪問網(wǎng)絡(luò)的前提是有IP地址，由

于IPv4地址32位，理論上支持40億地址空間，但隨著網(wǎng)絡(luò)用戶不斷擴(kuò)大，很

8

湖南商務(wù)職業(yè)技術(shù)學(xué)院畢業(yè)設(shè)計(jì)

多國家在IPv4地址上已經(jīng)陷入了地址稀缺的窘境。為了解決該問題，IETF提

出了網(wǎng)絡(luò)地址轉(zhuǎn)換(nat)，IP地址分位公有和私有地址，私有地址可自由分配，

公有地址有IANA分配，nat技術(shù)主要用于公網(wǎng)和私網(wǎng)的轉(zhuǎn)換，使私網(wǎng)用戶共享

少量公網(wǎng)地址訪問Internet。

11.2工作原理

NAT設(shè)備把內(nèi)網(wǎng)地址和端口號(hào)轉(zhuǎn)換成合法的公網(wǎng)地址和端口號(hào)，映射nat會(huì)

話表，使用公網(wǎng)IP與公網(wǎng)主機(jī)進(jìn)行通信

NAT分類

（1）BasicNat：基本網(wǎng)絡(luò)地址轉(zhuǎn)換，是最簡單的地址轉(zhuǎn)換方式，只轉(zhuǎn)換

數(shù)據(jù)包的ip層參數(shù)

（2）NAPT：網(wǎng)絡(luò)地址端口轉(zhuǎn)換，轉(zhuǎn)換數(shù)據(jù)包的IP和端口參數(shù)。標(biāo)準(zhǔn)的需

要建立公網(wǎng)地址池。

（3）NATServer：前兩種都是私網(wǎng)主動(dòng)訪問公網(wǎng)，因而隱藏了內(nèi)網(wǎng)結(jié)構(gòu)，

實(shí)際上私網(wǎng)是需要對(duì)外網(wǎng)提供服務(wù)的，比如WEB服務(wù)等等。為了滿足公網(wǎng)對(duì)私

網(wǎng)的訪問，所以需要引入Natserver特性，將私網(wǎng)地址/端口靜態(tài)映射成公網(wǎng)地

址/端口，以供公網(wǎng)客戶訪問。

（4）EasyIP：基于接口的地址轉(zhuǎn)換，在地址轉(zhuǎn)換時(shí)，該工作原理對(duì)于NAPT

基本相同，都是對(duì)數(shù)據(jù)包的IP地址、協(xié)議類型、傳輸層端口號(hào)同時(shí)進(jìn)行轉(zhuǎn)換，

但EasyIP直接用公網(wǎng)接口的IP地址作為轉(zhuǎn)換后的源地址。

11.3NAT功能

（1）有效緩解ipv4地址的緊缺。

（2）基本nat和NApt隱藏了內(nèi)網(wǎng)用戶的主機(jī)地址，提高了安全性。

12端口接入控制

12.1背景

隨著以太網(wǎng)的日益普及，以太網(wǎng)安全成為日益迫切的需求，在還沒有安全

技術(shù)應(yīng)用的前提下，用戶只要能連接交換機(jī)物理端口，就可以訪問網(wǎng)絡(luò)中的所

有資源。局域網(wǎng)安全沒有得到保障，所以就有了端口接入控制認(rèn)證協(xié)議，解決

了局域網(wǎng)網(wǎng)絡(luò)的安全問題，端口接入控制協(xié)議包括802.1X認(rèn)證、MAC地址認(rèn)證、

端口安全認(rèn)證，端口接入控制技術(shù)在后來被廣泛應(yīng)用，主要目的是為了驗(yàn)證接

9

湖南商務(wù)職業(yè)技術(shù)學(xué)院畢業(yè)設(shè)計(jì)

入用戶身份的合法性（認(rèn)證），及對(duì)以及在認(rèn)證的基礎(chǔ)上對(duì)用戶的網(wǎng)絡(luò)接入行

為進(jìn)行認(rèn)證授權(quán)和計(jì)費(fèi)。

12.2接入方式

802.1X協(xié)議是一種基于端口的網(wǎng)絡(luò)接入控制協(xié)議。“基于端口的網(wǎng)絡(luò)接入

控制”是指在局域網(wǎng)接入設(shè)備的端口這一級(jí)對(duì)所接入的用戶設(shè)備進(jìn)行認(rèn)證和控

制。連接在端口上的用戶設(shè)備如果能通過認(rèn)證，就可以訪問網(wǎng)絡(luò)中的資源;如果

不能通過認(rèn)證，則無法訪問網(wǎng)絡(luò)中的資源。端口接入有兩種方式，一種是當(dāng)采

用基于MAC方式時(shí)，該端口下的所有接入用戶均需要單獨(dú)認(rèn)證，當(dāng)某個(gè)用戶下

線時(shí)，也只有該用戶無法使用網(wǎng)絡(luò)；另一種是當(dāng)采用基于端口方式時(shí)，只要該

端口下的第一個(gè)用戶認(rèn)證成功后，其它接入該端口下的用戶無須認(rèn)證就可使用

網(wǎng)絡(luò)資源，但是當(dāng)?shù)谝粋€(gè)用戶下線后，其它用戶也會(huì)被拒絕使用網(wǎng)絡(luò)。

13網(wǎng)絡(luò)設(shè)計(jì)選型

13.1設(shè)備選型原則

接入層交換機(jī)是直接接入用戶終端，因此接入層交換機(jī)具有低成本和高端

口密度特性，匯聚層交換層是多臺(tái)接入層交換機(jī)的匯聚點(diǎn)，它必須能夠處理來

自接入層設(shè)備的所有通信量，并提供到核心層的上行鏈路，因此匯聚層交換機(jī)

與接入層交換機(jī)比較，需要更高的性能，更少的接口和更高的交換速率。

13.2核心層交換機(jī)選型

隨著用戶端帶寬不斷提高，服務(wù)器萬兆網(wǎng)卡的應(yīng)用越來越廣泛，核心層的

主要目的在于通過高速轉(zhuǎn)發(fā)通信，提供優(yōu)化，可靠的骨干傳輸結(jié)構(gòu)，因此核心

交換機(jī)需要提供更高的轉(zhuǎn)發(fā)性能和萬兆端口擴(kuò)展能力。產(chǎn)品具有靈活的端口擴(kuò)

展能力，24個(gè)100/1000Base-T以太網(wǎng)端口，4個(gè)1/10GSFP端口，1個(gè)業(yè)務(wù)插

槽。還具有強(qiáng)大的緩存能力，靈活的風(fēng)道方向選擇，完善的安全控制策略，多

重可靠性保護(hù)，中功率PoE，出色的管理性和開放業(yè)務(wù)架構(gòu)。使用非常穩(wěn)定，性

能也是非常強(qiáng)勁。

10

湖南商務(wù)職業(yè)技術(shù)學(xué)院畢業(yè)設(shè)計(jì)

圖2S5800核心交換機(jī)

表2S5800產(chǎn)品參數(shù)

型號(hào)規(guī)格S5800-32C-PWR

產(chǎn)品尺寸

440×427×43.6

(長×寬×高，單位：mm)

24個(gè)10/100/1000Base-T以太網(wǎng)端

端口速率

口，4個(gè)1/10GSFP+端口

包轉(zhuǎn)發(fā)率156Mpps

產(chǎn)品重量≤8kg

管理端口一個(gè)Console口

網(wǎng)管類型網(wǎng)管

端口供電功能POE供電

Vlan、Qos、鏈路聚合、組播管理、

功能特性

網(wǎng)絡(luò)管理、安全管理

工作溫度：0-45℃

環(huán)境標(biāo)準(zhǔn)

工作濕度：10%-90%（非凝露）

13.3匯聚層交換機(jī)選型

匯聚交換機(jī)上有核心交換機(jī)，下有接入交換機(jī)，處于中間位置，它必須能

夠處理來自接入層的流量，并匯聚提供到核心層交換機(jī)的上層鏈路，因此在性

能應(yīng)比上不足比下有余。匯聚層交換機(jī)應(yīng)該具有三層交換技術(shù)和VLAN技術(shù)、

MSTP技術(shù)等。

11

湖南商務(wù)職業(yè)技術(shù)學(xué)院畢業(yè)設(shè)計(jì)

圖3S5560匯聚交換機(jī)

表3S5560產(chǎn)品參數(shù)

型號(hào)規(guī)格S5560X-30F-EI

產(chǎn)品尺寸

440×360×43.6

(長×寬×高，單位：mm)

24個(gè)10/100/1000Base-T自適應(yīng)以太網(wǎng)端口

端口速率

（其中8個(gè)是combo口），4個(gè)萬兆SFP+口

包轉(zhuǎn)發(fā)率222Mpps/396Mpps

產(chǎn)品重量≤6.7kg

管理網(wǎng)口1

1個(gè)RJ-45Console口，1個(gè)MicroUSB

管理串口

Console口

支持端口聚合、OSPF、安全特性、二層環(huán)網(wǎng)

功能特性

協(xié)議等

工作溫度：-5℃～45℃

環(huán)境標(biāo)準(zhǔn)

工作濕度：15%-95%（非凝露）

13.4接入層設(shè)備選型

通常將網(wǎng)絡(luò)中直接面向用戶連接或訪問網(wǎng)絡(luò)的部分稱為接入層，接入交換

機(jī)一般用于直接連接電腦，接入層目的是允許終端用戶連接到網(wǎng)絡(luò)，因此接入

層交換機(jī)具有低成本和高端口密度特性。

12

湖南商務(wù)職業(yè)技術(shù)學(xué)院畢業(yè)設(shè)計(jì)

圖4S3110接入交換機(jī)

表4S3110產(chǎn)品參數(shù)

型號(hào)規(guī)格S3110-52TP-SI

48個(gè)10/100Base-TX以太網(wǎng)端口、2個(gè)

端口速率10/100/1000Base-T以太網(wǎng)端口、2個(gè)

100/1000Base-XSFP端口

產(chǎn)品尺寸440×173×44mm

交換容量64Gbps

傳輸速率10/100Mbps

包轉(zhuǎn)發(fā)率13.2Mpps

管理端口一個(gè)Console口

功能特性Vlan、組播管理、網(wǎng)絡(luò)管理、安全管理

工作溫度：0-40℃

工作濕度：5%-95%（非凝結(jié)）

環(huán)境標(biāo)準(zhǔn)

存儲(chǔ)溫度：-40-70℃

存儲(chǔ)濕度：5%-95%（非凝結(jié)））

13.5服務(wù)器選型

服務(wù)器具有高速的CPU運(yùn)算能力、長時(shí)間的可靠運(yùn)行、強(qiáng)大的I/O外部數(shù)

據(jù)吞吐能力以及更好的擴(kuò)展性。根據(jù)服務(wù)器所提供的服務(wù)，一般來說服務(wù)器都

具備承擔(dān)響應(yīng)服務(wù)請(qǐng)求、承擔(dān)服務(wù)、保障服務(wù)的能力。

13

湖南商務(wù)職業(yè)技術(shù)學(xué)院畢業(yè)設(shè)計(jì)

圖5R4900服務(wù)器

表5R4900產(chǎn)品參數(shù)

型號(hào)規(guī)格H3CR4900G3

產(chǎn)品類型機(jī)架式

CPU類型Intel至強(qiáng)可擴(kuò)展處理器

Cpu數(shù)量最大2顆

處理器

核心最大28核

主板擴(kuò)展插槽9個(gè)標(biāo)準(zhǔn)插槽，1個(gè)陣列卡專用插槽，1個(gè)網(wǎng)卡專用插槽

內(nèi)存類型DDR4

最高支持前部12LFF，內(nèi)部擴(kuò)展4LFF，后部擴(kuò)展4LFF加

4SFF[7]；最高支持前部25SFF，內(nèi)部擴(kuò)展8SFF，后部擴(kuò)展

存儲(chǔ)

3LFF加4SFF[8]，支持SAS/SATAHDD/SSD硬盤；支持前置/

內(nèi)置NVMe硬盤

10/100Mbps板載1個(gè)1Gbps管理網(wǎng)口；可選通過mLOM擴(kuò)展4×

網(wǎng)絡(luò)控制器1GE電口或2×10GE電口/光口、基于標(biāo)準(zhǔn)PCIe插槽的網(wǎng)絡(luò)適

配器

13.2Mpps5×USB3.0接口(1個(gè)前置，2個(gè)內(nèi)置，2個(gè)后置)，

接口1×VGA接口(后置)，1×串口；選配：1×VGA接口(前置)，

1×USB2.0接口，2×MicroSD

系統(tǒng)管理HDM無代理管理工具(帶獨(dú)立管理端口)和H3CFIST管理軟件

可選白金級(jí)別550W/800W/850W/1200W/1600W1+1冗余

電源和散熱電源，可選鈦金級(jí)別1+1冗余電源；可選800W負(fù)48V/336V

直流電源模塊，支持1+1冗余；支持熱插拔冗余風(fēng)扇

14

湖南商務(wù)職業(yè)技術(shù)學(xué)院畢業(yè)設(shè)計(jì)

87.5×445.5×748mm(不含安全面板)87.5×445.5×

產(chǎn)品尺寸

769mm(含安全面板)

環(huán)境標(biāo)準(zhǔn)5℃～50℃）

13.6邊界路由器選型

邊界設(shè)備是一個(gè)在不同類型網(wǎng)絡(luò)間傳送數(shù)據(jù)的物理設(shè)備。邊界設(shè)備不負(fù)責(zé)

收集網(wǎng)絡(luò)路由信息，它只是使用在網(wǎng)絡(luò)層獲得的路由信息。邊界路由器就是一

種邊界設(shè)備。

圖6邊界路由器

表6MER3220產(chǎn)品參數(shù)

型號(hào)規(guī)格H3CMSR3220

適用帶寬500Mbps

CON1

WAN以太口2GE

LAN以太口4GE(可全部切換為WAN)

產(chǎn)品尺寸440×225×44mm

交換容量64Gbps

傳輸速率10/100Mbps

包轉(zhuǎn)發(fā)率13.2Mpps

管理端口一個(gè)Console口

VLAN，端口鏡像、PPP、支持IPSec

功能特性

和L2TPVPN等

環(huán)境溫度0～45℃

環(huán)境標(biāo)準(zhǔn)

環(huán)境相對(duì)濕度5～95%（不結(jié)露）

15

湖南商務(wù)職業(yè)技術(shù)學(xué)院畢業(yè)設(shè)計(jì)

14網(wǎng)絡(luò)設(shè)備配置

14.1服務(wù)器配置

[H3C]sysnserver//命名

[server-GigabitEthernet0/0]ipadd330//設(shè)置IPv4地

址

[server]ospf

[server-ospf-1]a0

[server-ospf-1-area-]net3宣告地址

[server]dhcpenable//開啟dhcp

[server]dhcpserverip-poolpool-1//創(chuàng)建地址池1

[server-dhcp-pool-pool-1]network26//確定分配網(wǎng)段

[server-dhcp-pool-pool-1]gateway-list2//網(wǎng)關(guān)

[server-dhcp-pool-pool-1]dns-list//dns

[server-dhcp-pool-pool-1]expiredday0hour23minute59second

59

[server-dhcp-pool-pool-1]qu

[server]dhcpserverip-poolpool-2//創(chuàng)建地址池2

[server-dhcp-pool-pool-2]192.168.network426

[server-dhcp-pool-pool-2]dns

[server-dhcp-pool-pool-2]gateway-list26

[server-dhcp-pool-pool-2]dhcpserverip-poolpool-3

[server-dhcp-pool-pool-3]gateway-list90//網(wǎng)關(guān)

[server-dhcp-pool-pool-3]dns-list//dns

[server-dhcp-pool-pool-3]network2826

[server-dhcp-pool-pool-3]dhcpserverip-poolpool-4//創(chuàng)建地址池

4

[server-dhcp-pool-pool-4]gateway-list54

[server-dhcp-pool-pool-4]network9226

[server-dhcp-pool-pool-4]dns-list

[server]dhcpserverforbidden-ip02

[server]dhcpserverforbidden-ip2426

16

湖南商務(wù)職業(yè)技術(shù)學(xué)院畢業(yè)設(shè)計(jì)

[server]dhcpserverforbidden-ip8890

[server]dhcpserverforbidden-ip5254

[server]#qu

[server]ftpserverenable//開啟ftp

[server]local-userftp

[server-luser-manage-ftp]passwordsimpleftp//密碼

[server-luser-manage-ftp]service-typeftp//服務(wù)

[server-luser-manage-ftp]authorization-attributework-directory

flash:/ftp

[server-luser-manage-ftp]authorization-attributeusenetwork-ad

//管理員

[server]sshserverenable//開啟ssh

[server]local-userpass

[server]local-userssh

[server-luser-manage-ssh]service-typessh//服務(wù)

[server-luser-manage-ssh]authorization-attributeuser-role

network-admin

[server-luser-manage-ssh]passwordsimplessh123

14.2路由器與交換機(jī)的配置

14.2.1路由器配置

[H3C]sysnameBJ_R2//命名

[BJ_R2]intRoute-Aggregation3//創(chuàng)建聚合口

[BJ_R2-Route-Aggregation3]qu

[BJ_R2]intg0/0//進(jìn)入接口

[BJ_R2-GigabitEthernet0/0]portlink-aggregationgroup3//加入

聚合3

[BJ_R2-GigabitEthernet0/0]intg0/1

[BJ_R2-GigabitEthernet0/1]polg3

[BJ_R2-GigabitEthernet0/1]qu

[BJ_R2]intro3//進(jìn)入三層聚合口

[BJ_R2-Route-Aggregation3]ipadd26

17

湖南商務(wù)職業(yè)技術(shù)學(xué)院畢業(yè)設(shè)計(jì)

[BJ_R2-Serial1/0]intg0/2//進(jìn)入接口

[BJ_R2-GigabitEthernet0/2]ipadd30

aclbasic2000//進(jìn)入基本acl

[BJ_R2-acl-ipv4-basic-2000]rule0permitsource

55

[BJ_R2-acl-ipv4-basic-2000]rudenysourceany

[BJ_R2-acl-ipv4-basic-2000]qu

[BJ_R2]nataddress-group1//創(chuàng)建nat池

[BJ_R2-address-group-1]ad

[BJ_R2-address-group-1]address0

[BJ_R2-address-group-1]qu

[BJ_R2]intg0/2

[BJ_R2-GigabitEthernet0/2]natoutbound2000address-group1//應(yīng)

用此nat

[BJ_R2]ospf//進(jìn)入ospf

[BJ_R2-ospf-1]a0//進(jìn)入?yún)^(qū)域

[BJ_R2-ospf-1-area-]net

[BJ_R2-ospf-1-area-]qu

[BJ_R2]iproute-static0

[H3C]#

[H3C]sysnameWW_R1

[WW_R1]intlo0

[WW_R1-LoopBack0]ipadd24

[WW_R1]interfaceGigabitEthernet0/0

[WW_R1-GigabitEthernet0/0]ipaddress52

[WW_R1-GigabitEthernet0/0]iproute-static30

14.2.2核心層交換機(jī)配置

[H3C]sysnameCore-S1

[Core-S1]#

[Core-S1]vlan1

[Core-S1-vlan1]#

18

湖南商務(wù)職業(yè)技術(shù)學(xué)院畢業(yè)設(shè)計(jì)

[Core-S1-vlan1]vlan10to40//創(chuàng)建vlan

[Core-S1]irfmember1priority5

[Core-S1]intTen-GigabitEthernet1/0/49

[Core-S1-Ten-GigabitEthernet1/0/49]sh

[Core-S1-Ten-GigabitEthernet1/0/49]qu

[Core-S1]save

<Core-S1>reboot

[Core-S1]intrangeTen-GigabitEthernet1/0/49to

Ten-GigabitEthernet1/0/50

[Core-S1-if-range]sh

[Core-S1-if-range]qu

[Core-S1]irf-port1/1

[Core-S1-irf-port1/1]portgroupinterfaceTen-GigabitEthernet

1/0/49

[Core-S1-irf-port1/1]portgroupinterfaceTen-GigabitEthernet

1/0/50

[Core-S1-irf-port1/1]qu

[Core-S1]intrangeTen-GigabitEthernet1/0/49to

Ten-GigabitEthernet1/0/50

[Core-S1-if-range]unsh

[Core-S1-if-range]qu

[Core-S1]irf-port-configurationactive

[Core-S1]intbr1//創(chuàng)建二層聚合

[Core-S1-Bridge-Aggregation1]qu

[Core-S1]intrangeg1/0/2

[Core-S1-if-range]intg1/0/2

[Core-S1-GigabitEthernet1/0/2]portlink-aggregationg1

[Core-S1-GigabitEthernet1/0/2]intg2/0/2

[Core-S1-GigabitEthernet2/0/2]portlink-aggregationg1

[Core-S1-GigabitEthernet2/0/2]qu

[Core-S1]intbr1

[Core-S1-Bridge-Aggregation1]polt

19

湖南商務(wù)職業(yè)技術(shù)學(xué)院畢業(yè)設(shè)計(jì)

[Core-S1-Bridge-Aggregation1]potpervlan10203040

[Core-S1-Bridge-Aggregation1]qu

[Core-S1]intbr2

[Core-S1-Bridge-Aggregation2]qu

[Core-S1]intg1/0/1

[Core-S1-GigabitEthernet1/0/1]polg2//加入聚合

[Core-S1-GigabitEthernet1/0/1]intg2/0/1

[Core-S1-GigabitEthernet2/0/1]polg2

[Core-S1]intbr2

[Core-S1-Bridge-Aggregation2]polt

ConfiguringGigabitEthernet1/0/1done.

ConfiguringGigabitEthernet2/0/1done.

[Core-S1-Bridge-Aggregation2]

[Core-S1-Bridge-Aggregation2]

[Core-S1-Bridge-Aggregation2]potpervlan10203040

ConfiguringGiga