長城信息公司網(wǎng)絡(luò)規(guī)劃與設(shè)計方案

湖南商務(wù)職業(yè)技術(shù)學(xué)院畢業(yè)設(shè)計

目錄

1項目背景..........................................................1

2項目概述..........................................................1

3需求分析..........................................................2

3.1先進性......................................................2

3.2可靠性......................................................2

3.3安全性......................................................2

3.4可擴展性....................................................3

4總體設(shè)計..........................................................3

4.1設(shè)計標準....................................................3

4.2設(shè)計原則....................................................3

4.2.1開放性標準化原則......................................3

4.2.2先進性原則............................................3

4.2.3可靠性原則............................................4

4.2.4安全性原則............................................4

4.3設(shè)計思路....................................................4

4.4拓撲圖......................................................5

5設(shè)備選型及預(yù)算....................................................6

5.1核心層設(shè)備..................................................6

5.2匯聚層設(shè)備..................................................7

5.3接入層設(shè)備..................................................7

5.4路由器設(shè)備..................................................8

5.5服務(wù)器設(shè)備..................................................8

5.6防火墻設(shè)備..................................................9

5.7無線AP設(shè)備.................................................9

5.8無線AC設(shè)備................................................10

6具體實施.........................................................11

6.1IP地址與VLAN劃分.........................................11

I

湖南商務(wù)職業(yè)技術(shù)學(xué)院畢業(yè)設(shè)計

6.2MSTP.......................................................11

6.3VRRP.......................................................13

6.4OSPF.......................................................14

6.5鏈路聚合...................................................16

6.6NAT........................................................17

6.7安全策略...................................................18

6.7.1防火墻策略...........................................18

6.7.2入侵檢測和入侵防御...................................19

6.8無線局域網(wǎng).................................................19

7網(wǎng)絡(luò)性能調(diào)優(yōu).....................................................20

7.1VLAN優(yōu)化..................................................20

7.2MSTP優(yōu)化..................................................20

7.3OSPF優(yōu)化..................................................21

8網(wǎng)絡(luò)測試項目.....................................................22

9項目小結(jié).........................................................23

參考資料...........................................................25

II

湖南商務(wù)職業(yè)技術(shù)學(xué)院畢業(yè)設(shè)計

長城信息公司網(wǎng)絡(luò)規(guī)劃與設(shè)計方案

1項目背景

長城信息公司需要進行網(wǎng)絡(luò)規(guī)劃與設(shè)計，因為網(wǎng)絡(luò)作為企業(yè)基礎(chǔ)設(shè)施的重要

組成部分，可以提高企業(yè)效率和管理水平，同時也可以保障企業(yè)的信息安全和穩(wěn)

定性。網(wǎng)絡(luò)規(guī)劃與設(shè)計可以為企業(yè)提供一個合理的網(wǎng)絡(luò)架構(gòu)，包括網(wǎng)絡(luò)拓撲、網(wǎng)

絡(luò)設(shè)備、網(wǎng)絡(luò)協(xié)議、網(wǎng)絡(luò)安全等方面的設(shè)計，以滿足企業(yè)的業(yè)務(wù)需求，并確保網(wǎng)

絡(luò)的高可用性和可靠性，為企業(yè)發(fā)展提供有力支撐?，F(xiàn)在，網(wǎng)絡(luò)得到了很大的發(fā)

展，網(wǎng)絡(luò)促進了信息產(chǎn)業(yè)和國民經(jīng)濟的迅速增長。為了達到更高的效率，更好地

將生產(chǎn)規(guī)模進行擴張，利用信息技術(shù)來促進經(jīng)濟增長的東風(fēng)，無論是傳統(tǒng)的公司

還是互聯(lián)網(wǎng)公司，企業(yè)局域網(wǎng)已經(jīng)變成了每個公司的標配。局域網(wǎng)能夠讓企業(yè)內(nèi)

部的即時通信、資料共享、辦公自動化等功能得以實現(xiàn)，這對企業(yè)提高工作效率、

增長企業(yè)營收有著重要的作用。

在21世紀，公司進行數(shù)字轉(zhuǎn)型是公司發(fā)展的必由之路，公司的人力資源管

理，財務(wù)管理，運營管理，為了使公司的業(yè)務(wù)結(jié)構(gòu)變得更為便利和快速，公司的

人力資源管理，財務(wù)管理，以及公司的運營管理，都要求有資訊科技的支援。在

數(shù)字化轉(zhuǎn)型后，企業(yè)的管理方式將會發(fā)生翻天覆地的改變，完全實現(xiàn)了數(shù)字化管

理，從而使工作效率得到了極大的提升。而企業(yè)數(shù)字化轉(zhuǎn)型的前提條件是對各類

信息化技術(shù)的應(yīng)用，所以，企業(yè)的信息技術(shù)水平將會對企業(yè)的數(shù)字化轉(zhuǎn)型的程度

產(chǎn)生一定的影響。

隨著大數(shù)據(jù)的發(fā)展，數(shù)據(jù)已經(jīng)成為了全球最寶貴的財富，但如果沒有信息技

術(shù)的支撐，人類將無法應(yīng)對海量的數(shù)據(jù)。通過計算機技術(shù)和信息化技術(shù)，企業(yè)可

以對數(shù)據(jù)信息進行充分的利用，使信息的價值得到充分的體現(xiàn)。

2項目概述

長城信息公司是一家擁有600多名員工的IT企業(yè)，主要從事網(wǎng)絡(luò)安全與緊

急事件處理，其中60%為研究與開發(fā)團隊。具體的經(jīng)營范圍有：軟件開發(fā)、大數(shù)

據(jù)服務(wù)、信息系統(tǒng)集成服務(wù)、計算機系統(tǒng)服務(wù)、物聯(lián)網(wǎng)技術(shù)服務(wù)、信息技術(shù)咨詢

服務(wù)、網(wǎng)絡(luò)與信息安全軟件開發(fā)、智能控制系統(tǒng)集成、人工智能應(yīng)用軟件開發(fā)等。

公司下設(shè)營銷部，項目部，產(chǎn)品部，研發(fā)部，運營部，財務(wù)部，銷售部，企業(yè)管

理部，平均每一部75人。

長城信息公司坐落在一棟寫字樓里，有七、八、九三個樓層，每個樓層都有

1

湖南商務(wù)職業(yè)技術(shù)學(xué)院畢業(yè)設(shè)計

920平米的建筑，占地2700多平米。市場部、運營部、研發(fā)與開發(fā)辦公室設(shè)在

七層，項目部、產(chǎn)品辦公室設(shè)在八層，財務(wù)辦公室設(shè)在九層，銷售辦公室設(shè)在九

層。公司的計算機室設(shè)在八層。

長城信息作為一家IT企業(yè)，構(gòu)建企業(yè)自身的網(wǎng)絡(luò)是其最基礎(chǔ)的要求，可以

實現(xiàn)資源共享，信息傳遞，實現(xiàn)網(wǎng)絡(luò)的可靠性和安全性，加強對企業(yè)人員的管理，

確保企業(yè)的正常運轉(zhuǎn)，為企業(yè)帶來更大的效益。

3需求分析

長城信息公司是一家ISP公司，它對網(wǎng)絡(luò)有一個統(tǒng)一的IP平臺，有多種接

入方式，對網(wǎng)絡(luò)設(shè)計有一個可以提供多種服務(wù)，并且有很好的QoS保證，要求在

公司內(nèi)可任意進行數(shù)據(jù)共享，可以進行任務(wù)分配，可以進行數(shù)據(jù)管理，可以進行

文件管理，可以進行工作協(xié)同，可以進行即時通訊。并保證公司網(wǎng)絡(luò)的安全。下

面介紹該公司的具體需求：

3.1先進性

公司的網(wǎng)絡(luò)發(fā)展日新月異，網(wǎng)絡(luò)技術(shù)不斷發(fā)展，更高的帶寬，更先進的技術(shù)

層出不窮，該公司應(yīng)在未來幾年的運行中需滿足公司的應(yīng)用需求，在未來能保持

一定的先進性。

3.2可靠性

公司內(nèi)部需要具有很高的可靠性，達到24小時不間斷，穩(wěn)定運行。在公司

內(nèi)網(wǎng)的邏輯設(shè)計方面，要求在公司內(nèi)網(wǎng)中的主機能夠訪問外網(wǎng)，而外網(wǎng)則不能訪

問公司內(nèi)網(wǎng)，每個部門都是單獨的將VLAN進行劃分，并且還對某些業(yè)務(wù)進行了

一定的設(shè)置。傳統(tǒng)的企業(yè)信息化系統(tǒng)，是建立在沒有連接互聯(lián)網(wǎng)內(nèi)網(wǎng)的基礎(chǔ)上，

如果遇到類似于2020年的新冠疫情這樣的情況，那么企業(yè)的員工就會無法在家

里對企業(yè)業(yè)務(wù)系統(tǒng)進行訪問，也就不能實現(xiàn)遠程辦公。因此，為了避免出現(xiàn)這樣

的情況，應(yīng)該對傳統(tǒng)的局域網(wǎng)建設(shè)模式進行改變，以便在緊急情況下，讓員工可

以遠程辦公。

3.3安全性

如果公司網(wǎng)絡(luò)內(nèi)部出現(xiàn)故障，可以快速切換備份路徑，不會影響公司的業(yè)務(wù)。

通過部署MSTP協(xié)議防止環(huán)路，提供多個數(shù)據(jù)傳輸路徑和負載分配，降低網(wǎng)絡(luò)風(fēng)

暴，并提供冗余鏈路，提高網(wǎng)絡(luò)的容錯能力，結(jié)合VRRP技術(shù)，實現(xiàn)網(wǎng)關(guān)備份和

流量的負載均衡。使公司各個部門之間的數(shù)據(jù)能有效轉(zhuǎn)發(fā)，并且各部門之間互不

2

湖南商務(wù)職業(yè)技術(shù)學(xué)院畢業(yè)設(shè)計

影響。采用VLAN技術(shù)，將不同部門劃分到不同VLAN中，各部門的業(yè)務(wù)互不影響。

部署OSPF協(xié)議交互公司內(nèi)部網(wǎng)絡(luò)，加快辦公效率，提高公司網(wǎng)絡(luò)的性能和穩(wěn)定

性。采用NAT技術(shù)，控制公司內(nèi)外網(wǎng)之間的通信。

3.4可擴展性

隨著計算機網(wǎng)絡(luò)不斷發(fā)展，主干設(shè)備需具有向上擴展的能力，以便應(yīng)對將來

更高的需求。

4總體設(shè)計

4.1設(shè)計標準

本畢業(yè)設(shè)計以GB/T51375-2019網(wǎng)絡(luò)工程設(shè)計標準為標準進行設(shè)計。

4.2設(shè)計原則

本企業(yè)網(wǎng)建設(shè)是一項中小型網(wǎng)絡(luò)工程,企業(yè)網(wǎng)絡(luò)需要具有綜合業(yè)務(wù)信息管理

系統(tǒng),為員工提供一個在網(wǎng)絡(luò)環(huán)境下進行研發(fā)和日常工作的先進平臺。本次設(shè)計

以實用、夠用、好用、安全為指導(dǎo)思想；以開發(fā)標準先進性、可靠性、安全性為

設(shè)計原則進行設(shè)計。

4.2.1開放性標準化原則

互聯(lián)網(wǎng)行業(yè)的發(fā)展是瞬息萬變的，在企業(yè)發(fā)展壯大的過程中，其業(yè)務(wù)的增長

以及信息技術(shù)的應(yīng)用程度也會隨之提高。所以，在企業(yè)網(wǎng)的最初設(shè)計階段，就應(yīng)

該將其具有的可升級性和可擴展性都考慮進去，要想應(yīng)對企業(yè)網(wǎng)升級后迅速增加

的數(shù)據(jù)和流量，企業(yè)網(wǎng)絡(luò)必須具有出色的可擴展性，并且能夠隨著發(fā)展而持續(xù)進

行升級。在選擇設(shè)備時，優(yōu)先選擇與國際接軌的產(chǎn)品，以便在未來的開發(fā)和更新

過程中，可以持續(xù)使用這些設(shè)備和系統(tǒng)，以適應(yīng)未來的系統(tǒng)更新需求。

4.2.2先進性原則

隨著計算機網(wǎng)絡(luò)技術(shù)的快速發(fā)展，它也推動了許多事情的發(fā)展，尤其是網(wǎng)絡(luò)

設(shè)備的升級和淘汰速度。如果企業(yè)在進行企業(yè)網(wǎng)的規(guī)劃時，不把技術(shù)和裝備的先

進程度放在心上，那么就會在未來的發(fā)展過程中，花費太多的錢去進行重新規(guī)劃。

所以，在進行規(guī)劃設(shè)計的時候，要運用最先進的技術(shù)和方法，在對設(shè)備進行選擇

的時候，也要選擇與未來發(fā)展相適應(yīng)的先進設(shè)備，唯有這樣，才可以確保企業(yè)網(wǎng)

絡(luò)在今后幾年內(nèi)，都能夠保持在高效率可用的水平上。

3

湖南商務(wù)職業(yè)技術(shù)學(xué)院畢業(yè)設(shè)計

4.2.3可靠性原則

無論是物理級網(wǎng)絡(luò)還是邏輯級網(wǎng)絡(luò)，都必須達到一定程度的可靠性。物理級

的例如電源、防火墻、服務(wù)器、線路等和邏輯級的負載均衡、安全策略、鏈路冗

余等都要有高性能、高可靠的標準，才能滿足企業(yè)網(wǎng)內(nèi)業(yè)務(wù)的需求。

4.2.4安全性原則

為了保證企業(yè)的信息安全，需要從信息的保護與隔離，系統(tǒng)的安全機制，安

全策略等方面進行研究。在實現(xiàn)信息資源的完全共享的過程中，也要重視對信息

的保護。所以，在對企業(yè)網(wǎng)進行規(guī)劃設(shè)計的時候，要根據(jù)不同的網(wǎng)絡(luò)通信環(huán)境和

不同的應(yīng)用，來制定出相應(yīng)的防護措施，具體內(nèi)容有：用戶訪問數(shù)據(jù)的權(quán)限控制、

防火墻技術(shù)、系統(tǒng)安全機制等。

4.3設(shè)計思路

本次網(wǎng)絡(luò)規(guī)劃與設(shè)計是基于中小型企業(yè)網(wǎng)設(shè)計的，由于長城信息公司是一個

中大型IT公司，為了實現(xiàn)最高的性價比和為以后的擴展做準備，這里采用“核

心層-匯聚層-接入層”層次化網(wǎng)絡(luò)設(shè)計模型,本企業(yè)網(wǎng)采用三層交換技術(shù)，充分

利用交換機的包處理能力，實現(xiàn)線速交換。從網(wǎng)絡(luò)成本出發(fā)，不同層次設(shè)計特定

的網(wǎng)絡(luò)互聯(lián)設(shè)備可以避免在各層中花費過多不必要的資金；從后期維護出發(fā)，這

樣的網(wǎng)絡(luò)拓撲結(jié)構(gòu)若發(fā)生故障時定位可分級，更便于維護；從性價比出發(fā)，層次

化網(wǎng)絡(luò)功能清晰，設(shè)備在應(yīng)用時能發(fā)揮出最大效率；從可拓展性出發(fā)，公司后期

拓展業(yè)務(wù)時，層次化結(jié)構(gòu)更有利于擴展，當網(wǎng)絡(luò)中的一個網(wǎng)元需要改變時對網(wǎng)絡(luò)

的整體影響最小。

核心層的主要功能是實現(xiàn)流量的高速轉(zhuǎn)發(fā)，以及骨干網(wǎng)絡(luò)的優(yōu)化傳輸。由于

核心層交換機是整個企業(yè)網(wǎng)最核心的部分，所以在進行網(wǎng)絡(luò)設(shè)備選型時需選擇性

能較高的設(shè)備，核心層設(shè)備也將占規(guī)劃預(yù)算的主要部分。為了核心層的高速轉(zhuǎn)發(fā)，

最好盡可能少地在核心層上配置控制功能，并且要實施冗余設(shè)計，避免出現(xiàn)單點

故障導(dǎo)致整個企業(yè)網(wǎng)癱瘓的情況。核心層是連接外網(wǎng)和內(nèi)網(wǎng)的中間點，并且連接

著各個匯聚設(shè)備，為了保證核心設(shè)備的穩(wěn)定性和足夠的鏈路帶寬，這里采用雙核

心設(shè)計，可以實現(xiàn)冗余備份和負載均衡，來實現(xiàn)高速轉(zhuǎn)發(fā)。

匯聚層作為連接核心層和接入層的通道，位于中間一個很重要的位置，要求

匯聚層的設(shè)備要具有良好的管理能力，并且設(shè)備的性能要足夠高，這樣才能實現(xiàn)

對資源訪問的控制、對通過核心層流量的控制等需求。同時為了保證核心層的高

速轉(zhuǎn)發(fā)不受干擾，應(yīng)向核心層屏蔽接入層的詳細信息，也要對接入層屏蔽網(wǎng)絡(luò)的

部分信息。在匯聚層，為了防止環(huán)路導(dǎo)致網(wǎng)絡(luò)廣播風(fēng)暴、多幀復(fù)制和MAC表不穩(wěn)

4

湖南商務(wù)職業(yè)技術(shù)學(xué)院畢業(yè)設(shè)計

定等隱患，這里配置MSTP；為了縮短網(wǎng)絡(luò)發(fā)生故障時的中斷時間，這里配置VRRP

進行網(wǎng)關(guān)冗余。

接入層主要是對各模塊的廣播流量進行隔離，避免相互之間產(chǎn)生影響，也是

為了安全起見。接入層讓各模塊終端用戶接入企業(yè)網(wǎng)，再通過VLAN技術(shù)進行劃

分，實現(xiàn)模塊之間的隔離。接入層對網(wǎng)絡(luò)設(shè)備性能要求不高，一般選用二層交換

機，來實現(xiàn)安全、管理和快速接入功能。在接入層以部門為單位對公司內(nèi)部網(wǎng)絡(luò)

進行VLAN劃分，Trunk鏈路不允許通過不必要的數(shù)據(jù)，可以提供網(wǎng)絡(luò)本地網(wǎng)段

的訪問，著重完成邏輯網(wǎng)絡(luò)分段、基于VLAN隔離廣播通信量。

在項目部、產(chǎn)品部等研發(fā)部門所在的樓層設(shè)置AP，方便開發(fā)人員接入無線

網(wǎng)絡(luò)，完成對產(chǎn)品的測試、上線等工作。防火墻設(shè)置untrust區(qū)，trust區(qū)和DMZ

區(qū)，trust區(qū)域連接內(nèi)網(wǎng)，外網(wǎng)屬于外來訪問區(qū)，即為untrust區(qū)，DMZ區(qū)連接

企業(yè)的服務(wù)器。對防火墻進行配置，使內(nèi)網(wǎng)服務(wù)器能通過防火墻訪問外網(wǎng)，再配

置防火墻安全策略。企業(yè)需要建立屬于自己的小型數(shù)據(jù)中心和各種網(wǎng)絡(luò)應(yīng)用服務(wù)，

但由于中小型企業(yè)預(yù)算有限，在硬件的采購上應(yīng)著重考慮性價比。本企業(yè)考慮建

設(shè)云計算服務(wù)平臺，將有限的硬件服務(wù)器虛擬成多臺服務(wù)器，在上面部署多種網(wǎng)

絡(luò)應(yīng)用服務(wù)，節(jié)省硬件服務(wù)器成本。

4.4拓撲圖

根據(jù)以上設(shè)計思路，規(guī)劃出最符合企業(yè)要求的拓撲圖，設(shè)計出的拓撲圖如圖

1所示。

圖1企業(yè)局域網(wǎng)拓撲圖

5

湖南商務(wù)職業(yè)技術(shù)學(xué)院畢業(yè)設(shè)計

針對長城信息公司的網(wǎng)絡(luò)規(guī)劃和設(shè)計方案，可以根據(jù)不同的鏈路和網(wǎng)絡(luò)設(shè)備

進行分類說明，具體如下：

鏈路分類：

(1)光纖鏈路：長城信息公司對于長距離傳輸和高速數(shù)據(jù)傳輸，采用光纖鏈

路是最好的選擇。該鏈路可承載高帶寬的數(shù)據(jù)傳輸，適合于數(shù)據(jù)中心和服務(wù)器之

間的通信。

(2)以太網(wǎng)鏈路：公司對于局域網(wǎng)內(nèi)的設(shè)備之間的通信，采用以太網(wǎng)鏈路是

比較常見的選擇。該鏈路速度較快，成本相對較低，適合于小范圍內(nèi)的設(shè)備之間

通信。

(3)無線鏈路：公司對于移動設(shè)備和無線接入點之間的通信，采用無線鏈路

是最好的選擇。該鏈路無需布線，適合于隨時隨地進行通信的場合。

網(wǎng)絡(luò)設(shè)備分類：

(1)交換機：交換機是連接不同設(shè)備的關(guān)鍵設(shè)備，它可以實現(xiàn)設(shè)備之間的通

信和數(shù)據(jù)的轉(zhuǎn)發(fā)。

(2)路由器：路由器是連接不同網(wǎng)絡(luò)之間的關(guān)鍵設(shè)備，它可以實現(xiàn)網(wǎng)絡(luò)之間

的通信和數(shù)據(jù)的轉(zhuǎn)發(fā)。

(3)防火墻：防火墻是網(wǎng)絡(luò)安全的重要設(shè)備，可以實現(xiàn)網(wǎng)絡(luò)的訪問控制和數(shù)

據(jù)的過濾。

5設(shè)備選型及預(yù)算

5.1核心層設(shè)備

核心層交換機選用新華三的三層交換機H3CS6520X-30QC-EI，其外觀如圖2

所示：

圖2H3CS6520X-30QC-EI外觀

H3CS6520X-30QC-EI的參數(shù)如表1所示。

6

湖南商務(wù)職業(yè)技術(shù)學(xué)院畢業(yè)設(shè)計

表1核心交換機參數(shù)

產(chǎn)品類型萬兆以太網(wǎng)交換機

應(yīng)用層級三層

傳輸速率10/100/1000/10000Mbps

交換方式存儲-轉(zhuǎn)發(fā)

5.2匯聚層設(shè)備

匯聚層交換機選用新華三的H3CS5500V2-34S-EI，其外觀如圖3所示。

圖3H3CS5500V2-34S-EI外觀

H3CS5500V2-34S-EI的參數(shù)如表2所示。

表2匯聚交換機參數(shù)

產(chǎn)品類型千兆以太網(wǎng)交換機產(chǎn)品

應(yīng)用層級三層

傳輸速率10/100/1000Mbps

交換方式存儲-轉(zhuǎn)發(fā)

5.3接入層設(shè)備

接入層交換機選用新華三的H3CS5110-28P-SI，其外觀如圖4所示。

圖4H3CS5110-28P-SI外觀

7

湖南商務(wù)職業(yè)技術(shù)學(xué)院畢業(yè)設(shè)計

H3CS5110-28P-SI的參數(shù)如表3所示。

表3接入交換機參數(shù)

產(chǎn)品類型千兆以太網(wǎng)交換機

應(yīng)用層級二層

傳輸速率10/100/1000Mbps

交換方式存儲-轉(zhuǎn)發(fā)

5.4路由器設(shè)備

出口路由選用新華三的H3CMSR56-60，其外觀如圖5所示。

圖5H3CS5110-28P-SI外觀

H3CMSR56-60的參數(shù)如表4所示。

表4路由器參數(shù)

路由器類型企業(yè)級路由器

端口結(jié)構(gòu)模塊化

2個USB2.0端口

1個CON

其它端口

1個AUX

1個CON(Mini-USBTypeAB)

擴展模塊6個HMIM插槽+1個DHMIM+2個VPM

5.5服務(wù)器設(shè)備

防火墻Trust區(qū)的服務(wù)器這里選用新華三的H3CR4900G3(銀牌

4114/32GB2*2.4TB)，其外觀如圖6所示。

8

湖南商務(wù)職業(yè)技術(shù)學(xué)院畢業(yè)設(shè)計

圖6H3CR4900G3(銀牌4114/32GB2*2.4TB)服務(wù)器外觀

H3CR4900G3(銀牌4114/32GB2*2.4TB)的參數(shù)如表5所示。

表5服務(wù)器參數(shù)

產(chǎn)品類型企業(yè)級

產(chǎn)品類別機架式

CPU類型Intel至強銀牌

CPU頻率2.2GHz

5.6防火墻設(shè)備

企業(yè)網(wǎng)內(nèi)的防火墻選用華為的USG6365E-AC，其外觀如圖7所示。

圖7USG6365E-AC外觀

USG6365E-AC參數(shù)如表6所示。

表6防火墻參數(shù)

2×10GE(SFP+)8×GE

網(wǎng)絡(luò)端口

Combo2xGEWAN

1×USB2.0

控制端口

1×USB3.0

5.7無線AP設(shè)備

企業(yè)網(wǎng)內(nèi)的無線AP選用新華三的H3CWA5320，其外觀如圖8所示。

9

湖南商務(wù)職業(yè)技術(shù)學(xué)院畢業(yè)設(shè)計

圖8H3CWA5320外觀圖

H3CWA5320的參數(shù)如表7所示。

表7無線AP參數(shù)

產(chǎn)品類型無線AP

網(wǎng)絡(luò)標準IEEE802.11b，IEEE802.11g，IEEE802.11n，IEEE802.11acwave2

頻率范圍雙頻(2.4GHz，5GHz)

5.8無線AC設(shè)備

企業(yè)網(wǎng)內(nèi)的無線AC選用新華三的H3CWX2510H，其外觀如圖9所示。

圖9H3CWX2510H外觀圖

H3CWX2510H的參數(shù)如表8所示。

表8無線AC參數(shù)

產(chǎn)品類型無線AC

管理AP數(shù)量16

用戶數(shù)1024

10

湖南商務(wù)職業(yè)技術(shù)學(xué)院畢業(yè)設(shè)計

6具體實施

6.1IP地址與VLAN劃分

公司內(nèi)以部門為單位，各個部門獨立劃分VLAN，為了今后增加信息點方便，

采用標準子網(wǎng)掩碼，不劃分子網(wǎng)。IP地址分配于VLAN劃分如表9所示。

表9VLAN劃分具體信息

VLAN號名稱IP地址默認網(wǎng)關(guān)備注

11Caiwu192.168.11.1192.168.11.254財務(wù)部

12xiaoshou192.168.12.1192.168.12.254銷售部

13Qiguang192.168.13.1192.168.13.254企管部

14Shichang192.168.14.1192.168.14.254市場部

15Yunying192.168.15.1192.168.15.254運營部

16Yantuo192.168.16.1192.168.16.254研拓部

17Xiangmu192.168.17.1192.168.17.254項目部

18chanpin192.168.18.1192.168.18.254產(chǎn)品部

6.2MSTP

多生成樹協(xié)議，是把IEEE802.1w的快速生成樹算法拓展而得到的，使用中

繼技術(shù)來建立多個生成樹。每個生成樹進程都具有獨立于其他進程的不同拓撲結(jié)

構(gòu)，從而提供了多個數(shù)據(jù)傳輸路徑和負載分配，從而提高了網(wǎng)絡(luò)的容錯能力。

MSTP協(xié)議通過將環(huán)路網(wǎng)絡(luò)修剪成一個沒有環(huán)的樹形網(wǎng)絡(luò)結(jié)構(gòu)，從而來避免

報文在形成環(huán)的網(wǎng)絡(luò)中的增生和無限循環(huán)，同時還為數(shù)據(jù)轉(zhuǎn)發(fā)提供了多個冗余路

徑，在數(shù)據(jù)轉(zhuǎn)發(fā)過程中實現(xiàn)VLAN數(shù)據(jù)的負載均衡。

在本項目的設(shè)計中，由于采用了樹形結(jié)構(gòu)加網(wǎng)狀結(jié)構(gòu)的拓撲結(jié)構(gòu)，網(wǎng)絡(luò)拓撲

核心層、匯聚層和接入層中均出現(xiàn)了環(huán)路，因此在本局域網(wǎng)中核心層、匯聚層和

接入層均配置了MSTP，將形成環(huán)路的網(wǎng)絡(luò)破環(huán)，以節(jié)省企業(yè)局域網(wǎng)中的通信開

銷和資源占用率。具體配置命令如下。

核心層(以HX1為例)的配置命令如圖10、圖11所示。

#HX1是實例2的備份根橋。#HX1是實例1的根橋。

圖10核心層MSTP配置命令1

#將vlan11、12、13、14加入MSTI1#將vlan15、16、17、18加入MSTI2

11

湖南商務(wù)職業(yè)技術(shù)學(xué)院畢業(yè)設(shè)計

圖11核心層MSTP配置命令2

匯聚層(以HJ1為例)的配置命令如圖12、圖13所示。

圖12匯聚層MSTP配置命令1

圖13匯聚層MSTP配置命令2

接入層(以財務(wù)部為例)的配置命令如圖14、圖15所示。

圖14接入層MSTP配置命令1

圖15接入層MSTP配置命令2

MSTP配置驗證結(jié)果(以HJ1為例)如圖16所示。在實例1中，因為HJ1是根

橋，HJ1的端口Eth0/0/2和Eth0/0/3則是指定端口。在實例2中，HJ1的端口

12

湖南商務(wù)職業(yè)技術(shù)學(xué)院畢業(yè)設(shè)計

Eth0/0/3成為指定端口，端口Eth0/0/2則為根端口。

圖16HJ1的MSTP配置驗證結(jié)果

6.3VRRP

VRRP是虛擬路由器冗余協(xié)議?？梢猿袚?dān)網(wǎng)關(guān)功能的路由器組將添加到備份

組中，以形成虛擬路由器。VRRP選擇機制確定要在哪個路由器上執(zhí)行轉(zhuǎn)發(fā)操作，

局域網(wǎng)上的主機必需要將虛擬路由器配置為缺省網(wǎng)關(guān)。

在VRRP路由器組中，如果當前主路由器發(fā)生故障，則必須將一個路由器指

定為主路由器，將另一臺路由器指定為備用路由器，以接管主路由器的工作。

在本企業(yè)局域網(wǎng)的匯聚層中配置VRRP協(xié)議，將匯聚層上多臺設(shè)備虛擬成一

臺網(wǎng)關(guān)設(shè)備，當公司內(nèi)網(wǎng)的網(wǎng)關(guān)設(shè)備因不可抗力不可用時，為了讓內(nèi)網(wǎng)的數(shù)據(jù)流

量能夠順暢流通，VRRP會立馬選出一個新的設(shè)備，讓它成為網(wǎng)關(guān)設(shè)備，如此一

來網(wǎng)絡(luò)中的通信就得到了保障。具體配置命令如下。

匯聚層(以HJ1為例)的配置命令如圖17所示。

#設(shè)置搶占模式#設(shè)置vrid1的優(yōu)先級為110#配置vrid1的虛擬網(wǎng)關(guān)為

192.168.11.254

圖17匯聚層VRRP配置命令

13

湖南商務(wù)職業(yè)技術(shù)學(xué)院畢業(yè)設(shè)計

VRRP配置驗證結(jié)果(以HJ1為例)如圖18、19所示。HJ1交換機是vlan11

和vlan12的master，是vlan13和vlan14的backup。

圖18匯聚層VRRP配置驗證結(jié)果1

圖19匯聚層VRRP配置驗證結(jié)果2

6.4OSPF

OSPF是一個內(nèi)部網(wǎng)關(guān)協(xié)議(InteriorGatewayProtocol，簡稱IGP)，用于

14

湖南商務(wù)職業(yè)技術(shù)學(xué)院畢業(yè)設(shè)計

在單一自治系統(tǒng)內(nèi)決策路由。是對鏈路狀態(tài)路由協(xié)議的一種實現(xiàn)，隸屬內(nèi)部網(wǎng)關(guān)

協(xié)議(IGP)，故運作于自治系統(tǒng)內(nèi)部。

OSPF通過傳播路由器之間的鏈路狀態(tài)來提供路由信息在整個網(wǎng)絡(luò)范圍內(nèi)的

可達性，并最終提供路由信息的動態(tài)檢測，傳播，同步和計算。

本企業(yè)網(wǎng)在出口路由與核心交換機、防火墻之間，核心交換機與各匯聚交換

機之間使用OSPF，為流量選擇最短路徑，使網(wǎng)絡(luò)迅速收斂，能有效避免網(wǎng)絡(luò)中

資源的浪費。具體配置命令如下。

核心層(以HX1為例)的配置命令如圖20所示。

#在area0.0.0.5中宣告屬于area0.0.0.5的接口#創(chuàng)建area0.0.0.5#在

area0.0.0.0中宣告屬于area0.0.0.0的接口#創(chuàng)建area0.0.0.0#創(chuàng)建ospf1

的router-id1.1.1.1

圖20核心層OSPF配置命令

匯聚層(以HJ1為例)的配置命令如圖21所示。

圖21匯聚層OSPF配置命令

出口路由的配置命令如圖22所示。

圖22出口路由OSPF配置命令

OSPF配置驗證結(jié)果(以HJ1為例)如圖23所示。

15

湖南商務(wù)職業(yè)技術(shù)學(xué)院畢業(yè)設(shè)計

圖23HJ1的OSPF配置驗證結(jié)果

6.5鏈路聚合

鏈路聚合是指將多個物理端口捆綁在一起成為一個邏輯端口，以實現(xiàn)輸入輸

出流量在各成員端口中的負荷分擔(dān)。聚合鏈路也可以實現(xiàn)容錯和冗余，主要參加

聚合的每條鏈路都是不同的物理路徑即可。當一條鏈路斷開時，流經(jīng)的流量則會

重新自動分配到剩下的正常鏈路上，如此多個鏈路互為備份的鏈路聚合也能提高

企業(yè)網(wǎng)絡(luò)的可靠性；當多個鏈路捆綁在一起成為一個新的邏輯鏈路時，這個新的

邏輯鏈路的帶寬則是這幾個連褲帶寬的總和，因此鏈路聚合能夠增加網(wǎng)絡(luò)的帶寬。

本企業(yè)網(wǎng)中核心交換機之間通過兩條鏈路連接，將兩條鏈路進行鏈路聚合，

且選用LACP模式，以供系統(tǒng)根據(jù)自身配置自動形成聚合鏈路并啟動聚合鏈路收

發(fā)數(shù)據(jù)，實現(xiàn)了冗余備份、增加了網(wǎng)絡(luò)帶寬。具體配置命令如下。

核心層(以HX1為例)的配置命令如圖24、圖25所示。

#配置活動接口上限閾值為2#配置lacp模式。

圖24核心層鏈路聚合配置命令1

16

湖南商務(wù)職業(yè)技術(shù)學(xué)院畢業(yè)設(shè)計

#配置接口優(yōu)先級確定活動鏈路

圖25核心層鏈路聚合配置命令2

核心層(以HX1為例)的配置驗證結(jié)果如圖26所示。核心層的HX1交換機上

的g0/0/5接口和g0/0/6接口加入了eth-trunk1，兩條鏈路具有負載分擔(dān)的能

力。

圖26核心層鏈路聚合配置驗證結(jié)果

6.6NAT

在本企業(yè)網(wǎng)中，對于內(nèi)網(wǎng)終端用戶若要與外網(wǎng)主機進行通信，就需要有一個

公有IP地址，因此需要應(yīng)用到NAT技術(shù)。網(wǎng)絡(luò)地址轉(zhuǎn)換（NetworkAddress

Translation，NAT）屬接入廣域網(wǎng)（WAN）技術(shù)，是一種將私有（保留）地址轉(zhuǎn)

化為合法IP地址的轉(zhuǎn)換技術(shù)，它被廣泛應(yīng)用于各種類型Internet接入方式和各

種類型的網(wǎng)絡(luò)中。本企業(yè)網(wǎng)將NAT技術(shù)配置在防火墻上，使內(nèi)網(wǎng)在需要訪問公網(wǎng)

時能轉(zhuǎn)換能進行內(nèi)、外網(wǎng)地址轉(zhuǎn)換，NAT配置命令如圖27所示。

#配置出接口方式#定義源地址#配置目標區(qū)域為untrust#配置源區(qū)域為

trust

17

湖南商務(wù)職業(yè)技術(shù)學(xué)院畢業(yè)設(shè)計

圖27防火墻NAT配置命令

6.7安全策略

企業(yè)內(nèi)網(wǎng)的正常運作非常重要，為了讓企業(yè)的機密信息不被訪問，為員工提

供一個順暢的網(wǎng)絡(luò)環(huán)境，企業(yè)網(wǎng)需要明確自己的安全需求，建立屬于企業(yè)之間的

安全機制，保障企業(yè)網(wǎng)的安全，方便企業(yè)管理。

6.7.1防火墻策略

防火墻是企業(yè)內(nèi)網(wǎng)與外網(wǎng)之間的保護屏障，保護企業(yè)內(nèi)的設(shè)備和數(shù)據(jù)網(wǎng)不會

遭到非法用戶的侵入。在防火墻上劃分dmz、trust和untrust區(qū)，配置策略設(shè)

置規(guī)則，使內(nèi)網(wǎng)用戶即可以通過防火墻訪問外網(wǎng)又能訪問公司的服務(wù)器，外網(wǎng)用

戶無法與公司內(nèi)網(wǎng)終端進行通信，但能訪問公司的web服務(wù)器。防火墻的策略配

置命令如圖28所示。

#創(chuàng)建規(guī)則名為rule1的防火墻安全規(guī)則#配置動作為允許#配置目標區(qū)域

為dmz#配置源區(qū)域為untrust

圖28防火墻策略配置命令

18

湖南商務(wù)職業(yè)技術(shù)學(xué)院畢業(yè)設(shè)計

6.7.2入侵檢測和入侵防御

入侵檢測系統(tǒng)是一種檢測系統(tǒng)，主要是監(jiān)聽網(wǎng)絡(luò)設(shè)備的信息傳輸行為，能夠

及時中斷和隔離有害的網(wǎng)絡(luò)傳輸。在本企業(yè)網(wǎng)中，將入侵檢測系統(tǒng)旁掛在防火墻

上，主要進行日常監(jiān)聽，提高報告和事后監(jiān)督。入侵防御系統(tǒng)是對防病毒軟件和

防火墻的補充，主要對流經(jīng)的每個報文進行深度檢測，一旦發(fā)現(xiàn)網(wǎng)絡(luò)攻擊則立即

采取抵御措施。在本企業(yè)網(wǎng)中，將入侵防御系統(tǒng)部署在防火墻之后，即外網(wǎng)與企

業(yè)網(wǎng)的連接處和服務(wù)器集群之前，以抵御外部攻擊。

6.8無線局域網(wǎng)

在本企業(yè)網(wǎng)中，在研發(fā)部門所在的樓層設(shè)置無線局域網(wǎng)絡(luò)，來彌補有線局域

網(wǎng)的不足，以達到網(wǎng)絡(luò)延申的目的，讓研發(fā)人員可以接入無線網(wǎng)絡(luò)，用于開發(fā)、

測試等日常工作。在本次設(shè)計中提供無線AC來集中管理多個AP，無線AC的配

置命令如圖29、30所示。

#配置管理vlan#配置業(yè)務(wù)vlan

圖29無線AC配置命令1

19

湖南商務(wù)職業(yè)技術(shù)學(xué)院畢業(yè)設(shè)計

圖30無線AC配置命令2

7網(wǎng)絡(luò)性能調(diào)優(yōu)

在長城信息公司的網(wǎng)絡(luò)規(guī)劃與設(shè)計中，網(wǎng)絡(luò)性能調(diào)優(yōu)是非常重要的一項工作。

這包括了VLAN優(yōu)化、MSTP優(yōu)化以及OSPF優(yōu)化等方面。這些優(yōu)化措施可以有

效地提升網(wǎng)絡(luò)的性能和穩(wěn)定性，保證長城信息公司的正常運轉(zhuǎn)和發(fā)展。

7.1VLAN優(yōu)化

在實際應(yīng)用中，可能需要對VLAN進行優(yōu)化，以滿足不同業(yè)務(wù)的需求。其中，

修剪trunk端口的VLAN是一種常見的VLAN優(yōu)化方式，可以有效提高網(wǎng)絡(luò)的性能

和可管理性。

具體來說，在長城信息公司中從需要跨越多個交換機的VLAN配置trunk端

口中刪除不需要跨越多個交換機的VLAN。然后通過配置VLAN優(yōu)先級，優(yōu)先處理

重要的數(shù)據(jù)流，從而提高網(wǎng)絡(luò)的效率。再通過優(yōu)化VLAN間的路由，減少路由器

的負載和延遲，從而提高網(wǎng)絡(luò)的性能和效率。最后，測試網(wǎng)絡(luò)的性能和可管理性，

確保網(wǎng)絡(luò)正常運行。

7.2MSTP優(yōu)化

MSTP是一種多重生成樹協(xié)議，能夠支持在一個網(wǎng)絡(luò)中實現(xiàn)多個生成樹，提

高網(wǎng)絡(luò)的可靠性和可用性。然而，在實際應(yīng)用中，MSTP的性能和可管理性可能

需要進行優(yōu)化。

在長城信息公司的網(wǎng)絡(luò)規(guī)劃和設(shè)計中，采用設(shè)置邊緣端口和根防護等來優(yōu)化

MSTP。首先，將接入終端的端口設(shè)置為邊緣端口，使其不參與生成樹的計算，從

而減少生成樹的計算量，提高網(wǎng)絡(luò)性能。其次，使用根防護來避免生成樹出現(xiàn)環(huán)

路，提高MSTP的可靠性和可用性。

20

湖南商務(wù)職業(yè)技術(shù)學(xué)院畢業(yè)設(shè)計

邊緣端口不會連接其他交換機。長城信息公司在MSTP中，將這些端口設(shè)置

為邊緣端口，可以避免在生成樹計算中考慮這些端口的狀態(tài)，從而減少生成樹的

計算量。同時，這也可以提高網(wǎng)絡(luò)的安全性，防止攻擊者通過這些端口進入網(wǎng)絡(luò)。

根防護是一種MSTP的特性，可以防止生成樹出現(xiàn)環(huán)路，提高網(wǎng)絡(luò)的可靠性

和可用性。具體來說，長城信息公司設(shè)置根防護來監(jiān)控網(wǎng)絡(luò)中的BPDU消息，并

在檢測到生成樹出現(xiàn)環(huán)路的情況下，將相應(yīng)的端口設(shè)置為非根端口，從而避免環(huán)

路的出現(xiàn)。

在長城信息公司中每個交換機都有多個端口連接到其他交換機或終端設(shè)備

上，如果沒有合理的配置，可能會產(chǎn)生環(huán)路，導(dǎo)致廣播風(fēng)暴和網(wǎng)絡(luò)擁塞。使用MSTP

協(xié)議可以有效地解決這個問題，它可以將網(wǎng)絡(luò)中的交換機劃分成多個區(qū)域，每個

區(qū)域只保留一條主干鏈路，避免環(huán)路的產(chǎn)生。同時，MSTP協(xié)議還可以在網(wǎng)絡(luò)中

自動切換備用鏈路，提高網(wǎng)絡(luò)的可靠性和容錯能力。通過MSTP協(xié)議的優(yōu)化，企

業(yè)的網(wǎng)絡(luò)可以更加穩(wěn)定、可靠和高效。

7.3OSPF優(yōu)化

OSPF是一種用于互聯(lián)網(wǎng)協(xié)議網(wǎng)絡(luò)的路由協(xié)議，它可以根據(jù)網(wǎng)絡(luò)拓撲和鏈路

狀態(tài)計算最短路徑，實現(xiàn)網(wǎng)絡(luò)的路由選擇。在實際應(yīng)用中，可能需要對OSPF進

行優(yōu)化，以提高其性能和可管理性。

調(diào)整Hello和Dead間隔時間是一種常見的OSPF優(yōu)化措施。Hello和Dead

間隔時間直接影響鄰居關(guān)系的建立和維護，如果設(shè)置的過小會導(dǎo)致鏈路抖動和網(wǎng)

絡(luò)擁塞。因此，在長城信息公司的核心層交換機中將調(diào)整合適的間隔時間可以降

低鏈路抖動和網(wǎng)絡(luò)擁塞，提高公司網(wǎng)絡(luò)的性能和穩(wěn)定性。

配置路由匯聚也是一種常見的OSPF優(yōu)化措施。在網(wǎng)絡(luò)中設(shè)置匯聚路由器，

將長城信息公司網(wǎng)絡(luò)中各個區(qū)域的路由匯聚到一起，減少冗余路由信息，提高網(wǎng)

絡(luò)的可擴展性和穩(wěn)定性。通過設(shè)置匯聚路由器，可以降低路由器的數(shù)量，減少路

由信息的冗余，從而提高公司網(wǎng)絡(luò)的性能和穩(wěn)定性。

還可以通過優(yōu)化長城信息公司網(wǎng)絡(luò)拓撲結(jié)構(gòu)和配置路由優(yōu)先級來提高網(wǎng)絡(luò)

的性能和效率。盡量減少公司網(wǎng)絡(luò)的復(fù)雜度和層級，避免產(chǎn)生過多的路由器和鏈

路。通過配置路由器優(yōu)先級，讓處理能力更強的路由器優(yōu)先去處理路由信息。

長城信息公司是一家正在快速發(fā)展的IT公司，規(guī)模正在不斷擴大，為了不

浪費企業(yè)先前的投資，又要滿足企業(yè)后續(xù)發(fā)展的需要，本項目在設(shè)計時就預(yù)先考

慮到這個問題，所以無論是在網(wǎng)絡(luò)拓撲設(shè)計還是網(wǎng)絡(luò)設(shè)備的選型上，都以業(yè)務(wù)擴

展為重，網(wǎng)絡(luò)拓撲設(shè)計選用層次化結(jié)構(gòu)更有利于擴展，當網(wǎng)絡(luò)中的一個網(wǎng)元需要

改變時對網(wǎng)絡(luò)的整體影響最??；網(wǎng)絡(luò)設(shè)備選型上例如本企業(yè)網(wǎng)選用的核心交換機

21

湖南商務(wù)職業(yè)技術(shù)學(xué)院畢業(yè)設(shè)計

的插槽數(shù)量達26個，且支持萬兆SFP+光接口板卡、40GEQSFP+光接口板卡、

5G/2.5G/1GBase-T接口板卡、防火墻板卡等擴展模塊，可擴展性較強，且傳輸

速率10/100/1000/10000Mbps，滿足核心層目前及業(yè)務(wù)擴展后的流量高速轉(zhuǎn)發(fā)；

讓日后增加新子網(wǎng)、接入新終端、改變接入模式等改變不會對網(wǎng)絡(luò)拓撲造成很大

的影響和改變，先前投資的網(wǎng)絡(luò)設(shè)備能夠繼續(xù)使用，減少了擴展建設(shè)成本。

傳統(tǒng)的企業(yè)信息化系統(tǒng)大部分建設(shè)在沒有連接互聯(lián)網(wǎng)內(nèi)網(wǎng)中，在這種情況下，

遇到疫情等特殊情況要企業(yè)要實現(xiàn)遠程辦公就有了難度，由于本企業(yè)大部分業(yè)務(wù)

是跟政府對接，保密性要求較高，故采用私有云+公有云混合部署，將對安全性

和保密性要求較高的業(yè)務(wù)系統(tǒng)部署在企業(yè)內(nèi)網(wǎng)，將非敏感業(yè)務(wù)系統(tǒng)部署在互聯(lián)網(wǎng)

第三方公有云平臺上，當對安全性要求