網(wǎng)絡(luò)工程-廣州衍豐科技有限公司網(wǎng)絡(luò)規(guī)劃與設(shè)計(jì)

廣州大學(xué)松田學(xué)院2020屆畢業(yè)論文目錄目錄 1第一章緒論 11.1課題設(shè)計(jì)的背景、內(nèi)容、完成情況和意義 11.1.1課題設(shè)計(jì)的背景 11.1.2論文研究的內(nèi)容 21.1.3課題完成的情況 21.1.4論文研究的意義 21.2網(wǎng)絡(luò)規(guī)劃與設(shè)計(jì)方法在國內(nèi)外發(fā)展的現(xiàn)狀 31.3本章小結(jié) 4第二章系統(tǒng)整體架構(gòu)設(shè)計(jì) 52.1公司網(wǎng)絡(luò)現(xiàn)狀 52.2客戶需求分析 62.2.1接入需求 62.2.2安全性需求 62.2.3管理運(yùn)維需求 62.3網(wǎng)絡(luò)規(guī)劃與設(shè)計(jì)原則 72.3.1先進(jìn)性、成熟性 72.3.2高可靠性 72.3.3安全性 82.3.4高擴(kuò)展性、高開放性 82.3.5可管理性 92.3.6易用性 92.4網(wǎng)絡(luò)結(jié)構(gòu)設(shè)計(jì) 92.4.1網(wǎng)絡(luò)拓?fù)湓O(shè)計(jì) 102.4.2網(wǎng)絡(luò)層次化模型 102.4.3網(wǎng)絡(luò)整體結(jié)構(gòu)說明 122.4.4產(chǎn)品選型 132.5本章小結(jié) 15第三章網(wǎng)絡(luò)詳細(xì)設(shè)計(jì) 163.1.1網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)圖 163.1.2核心層設(shè)計(jì) 173.2網(wǎng)絡(luò)方案設(shè)計(jì)特點(diǎn) 173.3本章小結(jié) 17第四章網(wǎng)絡(luò)安全設(shè)計(jì) 184.1網(wǎng)絡(luò)系統(tǒng)安全 184.1.1網(wǎng)絡(luò)安全策略 184.1.2局域網(wǎng)的內(nèi)部安全機(jī)制 184.2方案中采用的安全措施 184.3防火墻產(chǎn)品選擇 184.4病毒防護(hù)系統(tǒng) 18第五章網(wǎng)絡(luò)設(shè)備詳細(xì)配置 185.1配置核心交換機(jī)S12708 185.1.1組建設(shè)備堆疊 185.1.2心跳檢測(cè)配置 205.1.3配置二三層轉(zhuǎn)發(fā)業(yè)務(wù) 215.1.4防攻擊措施配置 235.2配置匯聚交換機(jī)S7706 245.2.1組建設(shè)備堆疊 245.2.2配置二三層轉(zhuǎn)發(fā)業(yè)務(wù) 265.3配置接入交換機(jī)S5700-28P-LI-BAT 285.3.1組建設(shè)備堆疊 285.2.3配置二三層轉(zhuǎn)發(fā)業(yè)務(wù) 305.4配置出口防火墻USG6650 315.5結(jié)果驗(yàn)證 38第五章結(jié)論與展望 415.1全文總結(jié) 415.2課題展望 41參考文獻(xiàn) 44致謝 47附錄 48廣州大學(xué)松田學(xué)院2020屆畢業(yè)論文PAGEPAGE61第一章緒論1.1課題設(shè)計(jì)的背景、內(nèi)容和意義1.1.1課題設(shè)計(jì)的背景在當(dāng)今的信息化社會(huì)中，網(wǎng)絡(luò)已經(jīng)成為人們?nèi)粘Ｉ钪胁豢苫蛉钡慕M成部分。而隨著Internet的逐步普及，企業(yè)網(wǎng)絡(luò)的建設(shè)是企業(yè)向信息化發(fā)展的必然選擇。隨著企業(yè)信息化戰(zhàn)略的不斷推進(jìn)，公司的日常辦公業(yè)務(wù)已經(jīng)完全依賴于計(jì)算機(jī)網(wǎng)絡(luò)。同時(shí)，由于企業(yè)規(guī)模的不斷擴(kuò)大，原有的舊網(wǎng)絡(luò)架構(gòu)已經(jīng)不能滿足日益漸增的網(wǎng)絡(luò)需求。逐漸影響企業(yè)辦公效率，成為企業(yè)高速發(fā)展的瓶頸。而隨著市場(chǎng)需求的變化和競(jìng)爭(zhēng)加劇，大規(guī)模生產(chǎn)已不能滿足競(jìng)爭(zhēng)的需求，競(jìng)爭(zhēng)要求減少批量的同時(shí)又要保證高質(zhì)量和低成本，這就要求現(xiàn)代信息化技術(shù)以較快的響應(yīng)速度、較低的成本生產(chǎn)出高質(zhì)量的產(chǎn)品以滿足客戶的需求。如今市場(chǎng)的發(fā)展趨勢(shì)是：一方面消費(fèi)者需求個(gè)性化、多樣化，另一方面經(jīng)濟(jì)的全球化和各具優(yōu)勢(shì)的廠商造成競(jìng)爭(zhēng)日趨激烈。因此，企業(yè)信息化是現(xiàn)代企業(yè)走向成功的必經(jīng)之路。廣州衍豐科技有限公司網(wǎng)絡(luò)系統(tǒng)于2016年建設(shè)完成，隨著公司信息化建設(shè)的推進(jìn)，原有的舊網(wǎng)絡(luò)構(gòu)架已不能適應(yīng)公司業(yè)務(wù)發(fā)展的需求。公司迫切需要以信息化手段來改進(jìn)辦公和生產(chǎn)效率，提升資源利用率，而對(duì)新網(wǎng)絡(luò)進(jìn)行規(guī)劃和設(shè)計(jì)則是需要解決的首要問題。廣州衍豐科技有限公司網(wǎng)絡(luò)改造實(shí)施項(xiàng)目的建設(shè)目標(biāo)是：在統(tǒng)籌考慮廣州衍豐科技有限公司業(yè)務(wù)需求和發(fā)展的基礎(chǔ)上，兼顧遠(yuǎn)期發(fā)展目標(biāo)，構(gòu)建一個(gè)高效、穩(wěn)定、安全可靠的網(wǎng)絡(luò)。本次研究課題題目是廣州衍豐科技有限公司網(wǎng)絡(luò)規(guī)劃與設(shè)計(jì)。本課題的項(xiàng)目名稱廣州衍豐科技有限公司網(wǎng)絡(luò)改造實(shí)施項(xiàng)目方案。本課題所做工作就是對(duì)廣州衍豐科技有限公司計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)進(jìn)行實(shí)際需求分析，根據(jù)分析結(jié)果做出廣州衍豐科技有限公司計(jì)算機(jī)網(wǎng)絡(luò)建設(shè)方案。課題將從網(wǎng)絡(luò)規(guī)劃和設(shè)計(jì)的角度出發(fā)，使用層次化模型設(shè)計(jì)方法，我們可以將網(wǎng)絡(luò)分為接入層、匯聚層和核心層，每一層均實(shí)現(xiàn)具體的功能。在規(guī)劃與設(shè)計(jì)上既要考慮上述三個(gè)層次的邏輯和物理實(shí)現(xiàn)，又要考慮網(wǎng)絡(luò)本身的體系結(jié)構(gòu)是否合理。1.1.2論文研究的內(nèi)容本論文的研究方法是利用層次化模型設(shè)計(jì)思路，改造廣州衍豐科技有限公司現(xiàn)有網(wǎng)絡(luò)系統(tǒng)，規(guī)劃設(shè)計(jì)基于公司總部辦公的網(wǎng)絡(luò)運(yùn)行平臺(tái)。并且我們將對(duì)網(wǎng)絡(luò)中部分模塊的功能進(jìn)行分析，且對(duì)設(shè)備選型進(jìn)行探討。具體來講，本論文主要研究的內(nèi)容有以下幾點(diǎn)：（1）整體分析規(guī)劃。根據(jù)客戶的需求和目標(biāo)，以及客戶原有的局域網(wǎng)結(jié)構(gòu)、設(shè)備，進(jìn)行系統(tǒng)整體結(jié)構(gòu)的分析設(shè)計(jì)，提出廣州衍豐科技有限公司新網(wǎng)絡(luò)結(jié)構(gòu)模型；（2）網(wǎng)絡(luò)系統(tǒng)設(shè)計(jì)。計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)是整個(gè)系統(tǒng)結(jié)構(gòu)的主體和系統(tǒng)運(yùn)行的基礎(chǔ)。首要的任務(wù)就是對(duì)系統(tǒng)運(yùn)行的網(wǎng)絡(luò)進(jìn)行詳細(xì)設(shè)計(jì)，其中包括采用何種設(shè)計(jì)模型，比較分析，選擇最合適本項(xiàng)工程建設(shè)的模型，再分塊分析處理需要完成的具體功能和操作；（3）網(wǎng)絡(luò)安全設(shè)計(jì)。主要涉及防火墻設(shè)備選型、防火墻設(shè)備配置。1.1.3論文研究的意義在當(dāng)今信息時(shí)代，計(jì)算機(jī)網(wǎng)絡(luò)發(fā)展日新月異。目前，對(duì)于國內(nèi)的中小企業(yè)而言，計(jì)算機(jī)技術(shù)的應(yīng)用很大程度上還只是停留在物理終端應(yīng)用的水平上，應(yīng)用軟件也只是辦公軟件和簡(jiǎn)單的數(shù)據(jù)庫應(yīng)用。隨著企業(yè)信息化的逐步深入和企業(yè)自身發(fā)展的需求，在充分利用現(xiàn)有資源、不需要很大投資的基礎(chǔ)上，構(gòu)建適合自身情況、滿足實(shí)際需求的網(wǎng)絡(luò)系統(tǒng)是非常必要的，也是重要的。中國要把計(jì)算機(jī)網(wǎng)絡(luò)發(fā)展成第三生產(chǎn)力就是要實(shí)現(xiàn)企業(yè)信息化。而企業(yè)信息化生產(chǎn)管理是把計(jì)算機(jī)網(wǎng)絡(luò)變成給國家創(chuàng)造效益的生產(chǎn)工具。一個(gè)優(yōu)秀的計(jì)算機(jī)網(wǎng)絡(luò)設(shè)計(jì)方案，能給信息化的企業(yè)帶來一個(gè)高效的生產(chǎn)工具。既然計(jì)算機(jī)網(wǎng)絡(luò)成了生產(chǎn)工具，那么本課題完成的結(jié)果就直接關(guān)系到了廣州衍豐科技有限公司的生產(chǎn)成本和生產(chǎn)效率。本課題也是各個(gè)意圖實(shí)現(xiàn)信息化建設(shè)的企業(yè)關(guān)注的一個(gè)典型的例子。所以我在網(wǎng)絡(luò)規(guī)劃與設(shè)計(jì)中要強(qiáng)調(diào)的三個(gè)方面是高性價(jià)比、高可靠性和高擴(kuò)展性。本課題的研究成果將具有較好的開放型，可以推廣應(yīng)用于所有類似的中小型企業(yè)網(wǎng)絡(luò)系統(tǒng)。當(dāng)然不同的客戶需求會(huì)有不同的網(wǎng)絡(luò)規(guī)劃與設(shè)計(jì)結(jié)果。論文從網(wǎng)絡(luò)規(guī)劃與設(shè)計(jì)的方法論角度出發(fā)，通過廣州衍豐科技有限公司網(wǎng)絡(luò)改造建設(shè)這個(gè)案例研究可以推導(dǎo)出網(wǎng)絡(luò)規(guī)劃與設(shè)計(jì)的標(biāo)準(zhǔn)化模式。論文對(duì)于中小型計(jì)算機(jī)網(wǎng)絡(luò)規(guī)劃與設(shè)計(jì)的規(guī)范化有良好的促進(jìn)作用。1.2網(wǎng)絡(luò)規(guī)劃與設(shè)計(jì)方法在國內(nèi)外發(fā)展的現(xiàn)狀網(wǎng)絡(luò)規(guī)劃與設(shè)計(jì)是一門非常復(fù)雜和必不可少的網(wǎng)絡(luò)綜合性、系統(tǒng)性學(xué)科，也是當(dāng)今國際網(wǎng)絡(luò)界非常關(guān)注的一個(gè)問題。它包括規(guī)劃理論、排隊(duì)論、隨機(jī)模擬、圖論、馬爾可夫決策理論、神經(jīng)網(wǎng)絡(luò)算法、啟發(fā)式算法等多種學(xué)科，深入到網(wǎng)絡(luò)研究的各個(gè)領(lǐng)域，并與各種先進(jìn)的網(wǎng)絡(luò)技術(shù)密切相關(guān)，即使對(duì)計(jì)算機(jī)及網(wǎng)絡(luò)有一定應(yīng)用經(jīng)驗(yàn)的網(wǎng)絡(luò)管理員和工程技術(shù)人員，在規(guī)劃和設(shè)計(jì)時(shí)也不一定會(huì)面面俱到，毫無錯(cuò)漏。自20世紀(jì)以來，國外一些發(fā)達(dá)國家，在網(wǎng)絡(luò)設(shè)計(jì)與性能分析方面投入了大量的資金和人力，目的是在網(wǎng)絡(luò)建設(shè)開始前，就可以使用成套的工具有效地進(jìn)行規(guī)劃設(shè)計(jì)、模擬各種網(wǎng)絡(luò)環(huán)境，在網(wǎng)絡(luò)實(shí)施前就能獲得整個(gè)網(wǎng)絡(luò)的性能指標(biāo)，以便優(yōu)化網(wǎng)絡(luò)結(jié)構(gòu)，提高網(wǎng)絡(luò)性能，節(jié)省網(wǎng)絡(luò)的建設(shè)成本。另一方面，在網(wǎng)絡(luò)建成以后，通過網(wǎng)絡(luò)設(shè)計(jì)與性能分析工具，在獲取現(xiàn)有網(wǎng)絡(luò)運(yùn)行參數(shù)的基礎(chǔ)上，對(duì)現(xiàn)有的網(wǎng)絡(luò)進(jìn)行性能分析和優(yōu)化設(shè)計(jì)，從而改善網(wǎng)絡(luò)的性能。我國目前尚無網(wǎng)絡(luò)設(shè)計(jì)與性能分析方面的產(chǎn)品，在這方面可以說尚屬空白。因此，如果能自主研究與開發(fā)一套自動(dòng)的網(wǎng)絡(luò)規(guī)劃設(shè)計(jì)工具，對(duì)我國在網(wǎng)絡(luò)規(guī)劃設(shè)計(jì)方面來說具有現(xiàn)實(shí)意義。本課題使用到的網(wǎng)絡(luò)規(guī)劃與設(shè)計(jì)方法——層次化模型設(shè)計(jì)方法是一種設(shè)計(jì)整體拓?fù)浣Y(jié)構(gòu)的好方法。盡管并不存在精確的模型，但是，分析復(fù)雜的大型網(wǎng)絡(luò)時(shí)，模型是必不可少的。這些模型再結(jié)合通用的規(guī)劃與設(shè)計(jì)原則來設(shè)計(jì)互聯(lián)網(wǎng)絡(luò)，會(huì)使設(shè)計(jì)稍微簡(jiǎn)單一些。規(guī)劃與設(shè)計(jì)的原則在論文中會(huì)詳細(xì)介紹。1.3本章小結(jié)本章介紹了課題的背景，研究?jī)?nèi)容，完成狀況和研究的意義；并介紹了網(wǎng)絡(luò)規(guī)劃與設(shè)計(jì)方法在國內(nèi)外發(fā)展史。從而簡(jiǎn)述了論文的研究背景、內(nèi)容和意義，分析了網(wǎng)絡(luò)規(guī)劃與設(shè)計(jì)方法在國內(nèi)外發(fā)展的現(xiàn)狀，提出了將層次化模型應(yīng)用于網(wǎng)絡(luò)規(guī)劃與設(shè)計(jì)的重要意義?？梢灶A(yù)見將此模型的廣泛應(yīng)用對(duì)網(wǎng)絡(luò)規(guī)劃與設(shè)計(jì)水平的提高將發(fā)揮重要的作用。

第二章系統(tǒng)整體架構(gòu)設(shè)計(jì)2.1公司網(wǎng)絡(luò)現(xiàn)狀廣州衍豐科技有限公司網(wǎng)絡(luò)系統(tǒng)分為總部網(wǎng)絡(luò)和分支機(jī)構(gòu)網(wǎng)絡(luò)兩部分，本次的網(wǎng)絡(luò)系統(tǒng)改造實(shí)施工程目標(biāo)為公司總部網(wǎng)絡(luò)架構(gòu)。課題研究?jī)?nèi)容為廣州衍豐科技有限公司總部網(wǎng)絡(luò)主干架構(gòu)的規(guī)劃與設(shè)計(jì)。廣州衍豐科技有限公司總部網(wǎng)絡(luò)的原辦公區(qū)域己進(jìn)行了網(wǎng)絡(luò)布線及系統(tǒng)集成，現(xiàn)有的網(wǎng)絡(luò)主干拓?fù)浣Y(jié)構(gòu)如圖2.1所示：圖2.1現(xiàn)有總部網(wǎng)絡(luò)拓?fù)鋱D現(xiàn)有的網(wǎng)絡(luò)特點(diǎn)如下：（1）核心層使用了兩臺(tái)華為S5700系列交換機(jī)，采用千兆光纖鏈路與下游二層交換機(jī)連接。（2）接入層交換機(jī)為華為S3700系列交換機(jī)。（3）數(shù)據(jù)庫服務(wù)器為兩臺(tái)浪潮NF5280M5（機(jī)架式）。采用雙機(jī)和磁盤柜的方式，同時(shí)在磁盤柜做raid10，保證數(shù)據(jù)安全。運(yùn)行Oracle數(shù)據(jù)庫軟件，為整個(gè)廣州衍豐科技有限公司提供業(yè)務(wù)數(shù)據(jù)。（4）現(xiàn)有其他服務(wù)器2臺(tái)，分別作為“Web服務(wù)器”、“OA服務(wù)器”和“開發(fā)服務(wù)器”等使用。本次網(wǎng)絡(luò)系統(tǒng)改造實(shí)施項(xiàng)目建設(shè)完成后，將會(huì)盡可能保留一些可用的網(wǎng)絡(luò)設(shè)備，同時(shí)剔除一些老舊設(shè)備，對(duì)現(xiàn)有的老辦公的網(wǎng)絡(luò)設(shè)備進(jìn)行升級(jí)換代。為了達(dá)到預(yù)期目標(biāo)，將對(duì)接入?yún)R聚核心的交換機(jī)設(shè)備進(jìn)行更新?lián)Q代，保留一些可用設(shè)備。比如原有網(wǎng)絡(luò)的兩臺(tái)S5700系列交換機(jī)將用于改造后網(wǎng)絡(luò)的接入層設(shè)備。所以在此次網(wǎng)絡(luò)系統(tǒng)改造實(shí)施項(xiàng)目的規(guī)劃設(shè)計(jì)當(dāng)中，我們將充分考慮用戶方現(xiàn)有的資源狀況及新系統(tǒng)與老系統(tǒng)的接口問題，以達(dá)到有效保護(hù)用戶投資的目的。2.2客戶需求分析這個(gè)小節(jié)要做的就是羅列客戶需求，分析客戶需求。從客戶的需求中找到我們需要在這個(gè)項(xiàng)目中滿足的起碼要求。2.2.1接入需求1、滿足豐富的有線終端接入類型：PC、IPPhone、啞終端打印機(jī)等。2、需要保證語音、VIP等高優(yōu)先級(jí)的業(yè)務(wù)的質(zhì)量。3、豐富的接入端口數(shù)量。4、用戶流量大，帶寬高。在接入層部署堆疊，滿足各部門接口數(shù)量多的需求，同時(shí)鏈路雙上行至匯聚層交換機(jī)，提高了組網(wǎng)在節(jié)點(diǎn)和鏈路上的可靠性2.2.2安全性需求在接入?yún)R聚核心層需要充分考慮安全性，是否受到網(wǎng)絡(luò)攻擊。接入交換機(jī)部署邊緣端口，加快網(wǎng)絡(luò)收斂并防止端口狀態(tài)改變引起網(wǎng)絡(luò)震蕩。匯聚交換機(jī)部署ARP安全，防止泛洪攻擊和欺騙攻擊，部署DHCPSnooping，防止仿冒攻擊。在核心交換機(jī)上，設(shè)備控制面配置協(xié)議MD5加密，配置CPU防攻擊，配置ARP防攻擊，配置flood、分片等防攻擊手段，以滿足安全性需求。所有互聯(lián)端口配置URPF。還可以在出口防火墻配置安全策略，對(duì)流量進(jìn)行過濾，并開啟行為審計(jì)，保證網(wǎng)絡(luò)安全。2.2.3管理運(yùn)維需求要有靈活的以太組網(wǎng)，結(jié)構(gòu)層次清晰?？梢暬榭淳W(wǎng)絡(luò)故障，快速診斷、排查和定位。在所有設(shè)備上開啟LLDP功能，通過LLDP獲取設(shè)備信息。能夠快速獲取相連設(shè)備的拓?fù)錉顟B(tài)；顯示出客戶端、交換機(jī)、應(yīng)用服務(wù)器以及網(wǎng)絡(luò)服務(wù)器之間的路徑；檢測(cè)設(shè)備間的配置沖突、查詢網(wǎng)絡(luò)失敗的原因。例如：可在接入交換機(jī)上查看到各類終端類型，終端的IP地址等，從而簡(jiǎn)化網(wǎng)絡(luò)管理。2.3網(wǎng)絡(luò)規(guī)劃與設(shè)計(jì)原則隨著計(jì)算機(jī)技術(shù)、網(wǎng)絡(luò)通信技術(shù)和信息處理技術(shù)的高速發(fā)展和新概念、新技術(shù)、新工具的不斷推出，計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)的規(guī)劃與設(shè)計(jì)工作也變得越來越復(fù)雜。在進(jìn)行計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)規(guī)劃與設(shè)計(jì)時(shí)，必須緊跟時(shí)代的步伐，綜合考慮各方面因素(如網(wǎng)絡(luò)架構(gòu)的可靠穩(wěn)定，用戶原有的網(wǎng)絡(luò)建設(shè)情況及用戶對(duì)本次網(wǎng)絡(luò)建設(shè)的投資，目前計(jì)算機(jī)網(wǎng)絡(luò)技術(shù)的發(fā)展水平等)，遵循一定的規(guī)劃設(shè)計(jì)準(zhǔn)則來進(jìn)行網(wǎng)絡(luò)的規(guī)劃與設(shè)計(jì)。滿足用戶的需求是設(shè)計(jì)方案的基本前提，而成熟、先進(jìn)的計(jì)算機(jī)網(wǎng)絡(luò)技術(shù)和今后的技術(shù)發(fā)展趨勢(shì)是我們?cè)O(shè)計(jì)方案所遵循的方針，這兩者的完善結(jié)合是我們?cè)谠O(shè)計(jì)網(wǎng)絡(luò)方案時(shí)的思考。因此我們的目標(biāo)是：滿足用戶現(xiàn)有需求，考慮未來技術(shù)發(fā)展，減少用戶綜合擁有成本。為實(shí)現(xiàn)上述目標(biāo)，我們?cè)谶M(jìn)行廣州衍豐科技有限公司網(wǎng)絡(luò)系統(tǒng)的規(guī)劃與設(shè)計(jì)時(shí)，遵循客戶相關(guān)的一系列需求，結(jié)合廣州衍豐科技有限公司的實(shí)際情況，借鑒先進(jìn)地區(qū)的設(shè)計(jì)經(jīng)驗(yàn)等。我們將在方案規(guī)劃與設(shè)計(jì)當(dāng)中堅(jiān)持以下具體原則：2.3.1先進(jìn)性、成熟性網(wǎng)絡(luò)系統(tǒng)規(guī)劃與設(shè)計(jì)要充分保證網(wǎng)絡(luò)的先進(jìn)性和成熟性。建立網(wǎng)絡(luò)系統(tǒng)的目的是為了更好地解決用戶的實(shí)際問題，因此要認(rèn)真做好需求分析，網(wǎng)絡(luò)系統(tǒng)規(guī)劃要切合實(shí)際，既要保護(hù)現(xiàn)有軟、硬件的投資，又要充分考慮新投資的整體規(guī)劃和設(shè)計(jì)。網(wǎng)絡(luò)系統(tǒng)的先進(jìn)性是設(shè)計(jì)人員首先要考慮的。它能使系統(tǒng)達(dá)到更高的目標(biāo)，具有更強(qiáng)的功能和更好的使用性能，并能適應(yīng)近期及中遠(yuǎn)期業(yè)務(wù)的需求。同時(shí)，為了網(wǎng)絡(luò)建設(shè)的穩(wěn)定性，體現(xiàn)網(wǎng)絡(luò)架構(gòu)的成熟性，盡可能采用現(xiàn)今成熟的組網(wǎng)技術(shù)。成熟的組網(wǎng)技術(shù)一般具備下列條件：一、是有完整的標(biāo)準(zhǔn)；二、是有相關(guān)的產(chǎn)品；三、是產(chǎn)品已經(jīng)穩(wěn)定且價(jià)格也較合理。因此，網(wǎng)絡(luò)系統(tǒng)規(guī)劃與設(shè)計(jì)應(yīng)與廣州衍豐科技有限公司的具體情況緊密結(jié)合，依托現(xiàn)有的舊網(wǎng)絡(luò)，積極地采用先進(jìn)、成熟的技術(shù)和設(shè)備，使系統(tǒng)具有較強(qiáng)的功能，做到經(jīng)濟(jì)、高效，使整個(gè)系統(tǒng)的性能價(jià)格比最優(yōu)，技術(shù)上先進(jìn)可行。這里的技術(shù)實(shí)現(xiàn)我們采用華為成熟技術(shù)有CSS&istack堆疊技術(shù)等等。2.3.2高可靠性規(guī)劃與設(shè)計(jì)該網(wǎng)絡(luò)系統(tǒng)時(shí)應(yīng)充分考慮系統(tǒng)的可靠性和穩(wěn)定性，做到局部節(jié)點(diǎn)出現(xiàn)異常時(shí)，不影響整個(gè)系統(tǒng)的安全運(yùn)行并保證局部節(jié)點(diǎn)可迅速從備份方式中恢復(fù)；當(dāng)網(wǎng)絡(luò)中心出現(xiàn)故障時(shí)，能迅速從故障中恢復(fù)，系統(tǒng)不會(huì)發(fā)生崩潰。因此，對(duì)應(yīng)網(wǎng)絡(luò)設(shè)備的選取應(yīng)考慮到以下幾點(diǎn)：1、所選取的設(shè)備必須能長(zhǎng)時(shí)間不間斷連續(xù)工作；2、所選用的設(shè)備應(yīng)具有一定的自保護(hù)功能；3、所選用的主設(shè)備必須具備較高的容錯(cuò)和冗余能力，不能因?yàn)閱吸c(diǎn)錯(cuò)誤而導(dǎo)致整個(gè)設(shè)備乃至整個(gè)系統(tǒng)不能正常工作。為了增強(qiáng)網(wǎng)絡(luò)系統(tǒng)可靠性，出口防火墻，接入?yún)R聚核心層需要進(jìn)行充分考慮，防止端口、鏈路、單機(jī)級(jí)別故障。1、出口防火墻署方案考慮：采用VRRP雙機(jī)熱備份，兩臺(tái)防火墻之間實(shí)現(xiàn)負(fù)載分擔(dān)。2、接入層組網(wǎng)部署方案考慮：考慮拓?fù)涞姆€(wěn)定性采用樹形組網(wǎng)、傳統(tǒng)環(huán)形。3、匯聚層組網(wǎng)部署方案考慮：通過堆疊、主備路由等形成備份。4、核心層組網(wǎng)部署方案考慮：通過堆疊、雙機(jī)主備形成多條出口路由。2.3.3安全性安全性規(guī)劃設(shè)計(jì)是企業(yè)網(wǎng)絡(luò)規(guī)劃與設(shè)計(jì)中最重要的方面之一，尤其隨著越來越多的公司加入Internet和更多外部網(wǎng)連接到他們的互連網(wǎng)絡(luò)。大多數(shù)公司的一個(gè)整體目標(biāo)是安全性問題不應(yīng)干擾公司開展業(yè)務(wù)的能力。.利用網(wǎng)絡(luò)系統(tǒng)設(shè)備本身的功能，使整個(gè)系統(tǒng)具有一定安全防護(hù)性能，以抵御計(jì)算機(jī)病毒的侵害和外部非法訪問，以保護(hù)信息資源不被破壞、非法訪問和竊取。為了針對(duì)企業(yè)安全問題，公司在網(wǎng)絡(luò)出口通過部署防火墻來實(shí)現(xiàn)進(jìn)入或流出局域網(wǎng)數(shù)據(jù)的安全性。防火墻配置安全策略，對(duì)流量進(jìn)行過濾，并開啟行為審計(jì)，保證網(wǎng)絡(luò)安全。在出口，對(duì)病毒、垃圾郵件和網(wǎng)絡(luò)攻擊進(jìn)行過濾和防御，確保數(shù)據(jù)安全，避免信息被偷竊、修改和未授權(quán)的訪問?？刂苾?nèi)部用戶訪問外網(wǎng)的行為。接入交換機(jī)部署邊緣端口，加快網(wǎng)絡(luò)收斂并防止端口狀態(tài)改變引起網(wǎng)絡(luò)震蕩。匯聚交換機(jī)部署ARP安全，防止泛洪攻擊和欺騙攻擊，部署DHCPSnooping，防止仿冒攻擊。核心層在設(shè)備控制面，配置協(xié)議MD5加密，配置CPU防攻擊，配置ARP防攻擊，配置flood、分片等其他防攻擊。所有互聯(lián)端口配置URPF。2.3.4高擴(kuò)展性、高開放性保持現(xiàn)有投資利益，充分利用現(xiàn)有設(shè)備和系統(tǒng)；同其它品牌的設(shè)備（思科，華三）具有良好的兼容性，應(yīng)當(dāng)支持多種通訊協(xié)議和傳輸介質(zhì)，支持異種機(jī)型互聯(lián)。充分考慮到目前的業(yè)務(wù)需求和今后較長(zhǎng)時(shí)期內(nèi)業(yè)務(wù)發(fā)展的需要，留有充分的系統(tǒng)升級(jí)和擴(kuò)充的空間；具有高度的開放性，并考慮到與以后的投資中所提供設(shè)備在技術(shù)上的共容性。如考慮與分支機(jī)構(gòu)等網(wǎng)絡(luò)系統(tǒng)的互聯(lián)。2.3.5可管理性網(wǎng)絡(luò)規(guī)劃與設(shè)計(jì)的結(jié)果必須是可以操控和管理的。設(shè)計(jì)者可以用國際標(biāo)準(zhǔn)化組織（ISO）術(shù)語定義網(wǎng)絡(luò)管理功能，以幫助客戶：（1）性能管理。分析通信和應(yīng)用的行為，以優(yōu)化網(wǎng)絡(luò)，滿足服務(wù)級(jí)別協(xié)定和確定擴(kuò)展規(guī)劃。（2）故障管理。檢測(cè)、隔離和糾正問題；向最終用戶和管理員報(bào)告問題；跟蹤與問題相關(guān)的趨勢(shì)。（3）配置管理?？刂?、操作、辨別和收集來自被管理設(shè)備的數(shù)據(jù)。（4）安全管理。監(jiān)控和測(cè)試安全性和保護(hù)策略，維護(hù)并分發(fā)口令和其他認(rèn)證和授權(quán)信息，管理加密密鑰，審計(jì)與安全性策略相關(guān)的事項(xiàng)。2.3.6易用性易用性是與可管理性相關(guān)但又不完全相同的一個(gè)目標(biāo)。易用性是指網(wǎng)絡(luò)用戶訪問網(wǎng)絡(luò)及服務(wù)的容易程度?？晒芾硇缘闹攸c(diǎn)是使網(wǎng)絡(luò)管理員的工作更容易，易用性的重點(diǎn)則是使網(wǎng)絡(luò)用戶的工作更輕松。2.4網(wǎng)絡(luò)結(jié)構(gòu)設(shè)計(jì)除了前文提到的網(wǎng)絡(luò)規(guī)劃與設(shè)計(jì)原則之外，保護(hù)現(xiàn)有投資是最重要的因素了。保護(hù)現(xiàn)有投資的有效途徑就是在將來網(wǎng)絡(luò)技術(shù)升級(jí)時(shí)還能使用現(xiàn)有的網(wǎng)絡(luò)技術(shù)和產(chǎn)品。如同計(jì)算機(jī)的發(fā)展速度一樣，網(wǎng)絡(luò)技術(shù)的發(fā)展也是非常迅速的。如果在現(xiàn)有技術(shù)不能合理保證在將來網(wǎng)絡(luò)升級(jí)后還能夠使用，那么將會(huì)帶來極大的資金浪費(fèi)。從目前的趨勢(shì)來看，我們建議廣州衍豐科技有限公司在主干網(wǎng)絡(luò)線路上采用萬兆以太網(wǎng)技術(shù)，網(wǎng)絡(luò)設(shè)備上先使用千兆以太網(wǎng)的設(shè)備，以便將來升級(jí)。以太網(wǎng)、快速以太網(wǎng)和千兆以太網(wǎng)三者性能狀況由低到高，但是價(jià)格也是由低到高的。鑒于廣州衍豐科技有限公司的實(shí)際資金狀況，在建設(shè)企業(yè)網(wǎng)時(shí)要充分考慮到企業(yè)的經(jīng)濟(jì)實(shí)力，選擇“好用，夠用，適用”的網(wǎng)絡(luò)技術(shù)是關(guān)鍵。綜合所有因素，選用10G光纖線路，暫用1000M的設(shè)備，讓干線先用起萬兆以太網(wǎng)，是既能滿足廣州衍豐科技有限公司現(xiàn)在的需求，又沒有給項(xiàng)目實(shí)施資金帶來壓力，而且能夠滿足將來的擴(kuò)展需要。這一點(diǎn)是非常切合實(shí)際的。下面我們將對(duì)各個(gè)設(shè)計(jì)的細(xì)節(jié)進(jìn)行描述。圖2.4改造后網(wǎng)絡(luò)架構(gòu)線路圖2.4.1網(wǎng)絡(luò)拓?fù)湓O(shè)計(jì)整個(gè)網(wǎng)絡(luò)建設(shè)方案最關(guān)鍵的部分就是網(wǎng)絡(luò)拓?fù)涞脑O(shè)計(jì)。廣州衍豐科技有限公司的網(wǎng)絡(luò)拓?fù)浯笾律戏譃槿齻€(gè)層次，核心層、匯聚層和接入層。公司網(wǎng)絡(luò)出口方案采用防火墻出口的方式。用戶接入則由公司部門組織架構(gòu)劃分為4個(gè)辦公區(qū)域。以下是廣州衍豐科技有限公司的網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)：圖2.4.1公司新網(wǎng)絡(luò)架構(gòu)拓?fù)鋱D2.4.2網(wǎng)絡(luò)層次化模型所謂“層次化”模型，就是將復(fù)雜的網(wǎng)絡(luò)設(shè)計(jì)分成三個(gè)層次，每個(gè)層次著重于某些特定的功能，這樣就能夠使一個(gè)復(fù)雜的大問題變成許多簡(jiǎn)單的小問題。層次化模型既能夠應(yīng)用于局域網(wǎng)的規(guī)劃設(shè)計(jì)，也能夠應(yīng)用于廣域網(wǎng)的規(guī)劃設(shè)計(jì)。為了更加清楚地理解分層規(guī)劃設(shè)計(jì)的重要性，最好能夠理解OSI（開放系統(tǒng)互聯(lián)）參考模型。OSI模型能夠簡(jiǎn)化計(jì)算機(jī)之間通信的要求，同樣，使用層次化模型設(shè)計(jì)網(wǎng)絡(luò)也能夠簡(jiǎn)化聯(lián)網(wǎng)的要求。每一層都為網(wǎng)絡(luò)提供了必不可少的功能。在實(shí)際設(shè)計(jì)中，三個(gè)層中的某兩個(gè)層可以合并為一個(gè)層，比如核心層和匯聚層，但是為了使性能最優(yōu)，最好采用三層結(jié)構(gòu)。如圖2.4.2所示，層次化模型法規(guī)設(shè)計(jì)的網(wǎng)絡(luò)有三個(gè)層：核心層corm（用于提供子區(qū)間之間的最佳數(shù)據(jù)傳輸）、分布層Distribution（提供基于策略的連接）、接入層Access（將終端用戶接入網(wǎng)絡(luò)）。為了使廣州衍豐科技有限公司的網(wǎng)絡(luò)系統(tǒng)便于管理，我們?cè)趯?duì)網(wǎng)絡(luò)設(shè)計(jì)時(shí)考慮了層次化（模塊化）設(shè)計(jì)，即從邏輯上分為核心層、匯聚層、接入層。圖2.4.2即為此模型。圖2.4.2層次化結(jié)構(gòu)模型（1）核心層核心層是網(wǎng)絡(luò)的高速交換主干，對(duì)整個(gè)網(wǎng)絡(luò)的連通起到至關(guān)重要的作用。核心層應(yīng)該具有如下幾個(gè)特性：高可靠性、提供冗余、提供容錯(cuò)、能夠迅速適應(yīng)網(wǎng)絡(luò)變化、低延時(shí)、可管理性良好、網(wǎng)絡(luò)直徑限定和網(wǎng)絡(luò)直徑一致。當(dāng)網(wǎng)絡(luò)中使用路由器時(shí)，從網(wǎng)絡(luò)中的一個(gè)終端到另一個(gè)終端經(jīng)過的路由器的數(shù)目稱為網(wǎng)絡(luò)的“直徑”。在一個(gè)層次化網(wǎng)絡(luò)中，應(yīng)該具有一致的網(wǎng)絡(luò)直徑。也就是說，通過網(wǎng)絡(luò)主干從任意一個(gè)終端到另一個(gè)終端經(jīng)過的路由器的數(shù)目是一樣的，從網(wǎng)絡(luò)上任一終端到主干上的服務(wù)器的距離也應(yīng)該是一樣的。限定網(wǎng)絡(luò)的直徑，能夠提供可預(yù)見的性能，排除故障也容易一些。分布層路由器和相連接的局域網(wǎng)可以在不增加網(wǎng)絡(luò)直徑的前提下加入網(wǎng)絡(luò)，因?yàn)樗鼈儾挥绊懺械恼军c(diǎn)的通信。（2）匯聚層分布層是網(wǎng)絡(luò)接入層和核心層的“中介”。分布層具有實(shí)施策略、安全、工作組接入、虛擬局域網(wǎng)（VLAN)之間的路由、源地址或目的地址過濾等多種功能。在通常的分布層設(shè)計(jì)中，應(yīng)該采用支持三層交換和虛擬局域網(wǎng)的交換機(jī)，以達(dá)到網(wǎng)絡(luò)隔離和分段的目的。（3）接入層接入層向本地網(wǎng)段提供用戶接入。在接入層中，減少同一以太網(wǎng)段上的用戶計(jì)算機(jī)的數(shù)量能夠向工作組提供高速帶寬。（4）使用層次化模型的優(yōu)點(diǎn)在層次化結(jié)構(gòu)中，網(wǎng)絡(luò)被分層組織在一起，每一層都各自完成具體的功能和操作。層次化模型具有可縮放性、易于實(shí)現(xiàn)、易于排除故障、可預(yù)測(cè)性、協(xié)議支持、易于管理等特點(diǎn)。2.4.3網(wǎng)絡(luò)整體結(jié)構(gòu)說明廣州衍豐科技有限公司網(wǎng)絡(luò)系統(tǒng)的整個(gè)網(wǎng)絡(luò)架構(gòu)采用擴(kuò)展樹型結(jié)構(gòu)，在建成的網(wǎng)絡(luò)基礎(chǔ)上，將形成一個(gè)以系統(tǒng)數(shù)據(jù)庫服務(wù)器為中心的計(jì)算機(jī)群體，公司員工通過網(wǎng)絡(luò)共享資源和交流信息，使公司部門與部門之間的聯(lián)系更加緊密。提高生產(chǎn)效率和辦公效率，并將在未來的互聯(lián)網(wǎng)大潮中占得先機(jī)。整個(gè)系統(tǒng)針對(duì)樹型網(wǎng)絡(luò)結(jié)構(gòu)的特點(diǎn)，在系統(tǒng)可靠性方面做了很多考慮，保證系統(tǒng)的主要設(shè)備不會(huì)因?yàn)楫a(chǎn)生故障而導(dǎo)致整個(gè)網(wǎng)絡(luò)癱瘓。網(wǎng)絡(luò)安全性是衡量一個(gè)網(wǎng)絡(luò)規(guī)劃與設(shè)計(jì)是否成功的重要指標(biāo)，同時(shí)也是目前各種網(wǎng)絡(luò)必須面對(duì)的嚴(yán)重問題。企業(yè)網(wǎng)的網(wǎng)絡(luò)安全問題可分為外部安全和內(nèi)部安全兩方面。外部安全指防止網(wǎng)絡(luò)外部的非法入侵，保護(hù)網(wǎng)絡(luò)的安全，對(duì)于廣州衍豐科技有限公司總部與外界的連接主要有Internet。在此方案中，我們?cè)O(shè)計(jì)了防火墻系統(tǒng)，對(duì)出入連接進(jìn)行檢查和控制，保證網(wǎng)絡(luò)內(nèi)部信息和資源的安全。內(nèi)部安全指網(wǎng)絡(luò)內(nèi)部的安全控制，對(duì)于一個(gè)大型的綜合網(wǎng)絡(luò)：部門與部門之間，各種應(yīng)用之間，主干網(wǎng)與子網(wǎng)之間都存在著訪問控制問題，如果不加控制，網(wǎng)絡(luò)將出現(xiàn)無任何交通規(guī)則的局面，其后果可想而知。網(wǎng)絡(luò)的內(nèi)部安全控制主要通過劃分子網(wǎng)(VLAN)和第三層交換實(shí)現(xiàn)，根據(jù)需要將不同部門、不同應(yīng)用劃分成不同的子網(wǎng)。此外，還要考慮病毒防御、網(wǎng)絡(luò)管理等問題。方案中所選主要設(shè)備，均為模塊化結(jié)構(gòu)，將來如需擴(kuò)充，只要購買相應(yīng)模塊即可。網(wǎng)絡(luò)結(jié)構(gòu)的靈活性和主干帶寬的一定盈余度，也對(duì)系統(tǒng)將來的擴(kuò)容提供了方便。2.5本章小結(jié)本章使用了前文提到的網(wǎng)絡(luò)規(guī)劃與設(shè)計(jì)方法結(jié)合實(shí)際客戶需求和現(xiàn)有網(wǎng)絡(luò)狀況，對(duì)廣州衍豐科技有限公司的網(wǎng)絡(luò)系統(tǒng)進(jìn)行了規(guī)劃與設(shè)計(jì)。廣州衍豐科技有限公司的總體規(guī)劃設(shè)計(jì)思想是層次化模型的網(wǎng)絡(luò)設(shè)計(jì)構(gòu)想，使用了網(wǎng)絡(luò)規(guī)劃與設(shè)計(jì)方法學(xué)中描述的標(biāo)準(zhǔn)規(guī)劃與設(shè)計(jì)原則完成了網(wǎng)絡(luò)整體結(jié)構(gòu)的設(shè)計(jì)，完全滿足了客戶原始的技術(shù)需求。現(xiàn)在這個(gè)規(guī)劃設(shè)計(jì)方案已經(jīng)得到專家的一致認(rèn)可，作為網(wǎng)絡(luò)工程項(xiàng)目招標(biāo)的標(biāo)準(zhǔn)參照方案。

第三章網(wǎng)絡(luò)詳細(xì)設(shè)計(jì)在整個(gè)網(wǎng)絡(luò)系統(tǒng)結(jié)構(gòu)設(shè)計(jì)中，我們采用了冗余3層分級(jí)設(shè)計(jì)模型，網(wǎng)絡(luò)結(jié)構(gòu)被分層組織在一起，每一層都各自完成具體的功能和操作。下面我們就對(duì)核心層、匯聚層、接入層的網(wǎng)絡(luò)設(shè)備配置方案設(shè)計(jì)進(jìn)行詳細(xì)闡述。3.1網(wǎng)絡(luò)結(jié)構(gòu)組網(wǎng)圖還是采用華為公司的交換設(shè)備，將原核心層、接入層的交換機(jī)設(shè)備升級(jí)：核心層由S5700交換機(jī)更換為S12700系列交換機(jī)；接入層由S3700交換機(jī)更新為S5700系列交換機(jī)增加（核心層原有2臺(tái)，新增2臺(tái)）。同時(shí)匯聚層增加兩臺(tái)S7700。防火墻設(shè)備保持不變。圖3.1網(wǎng)絡(luò)結(jié)構(gòu)組網(wǎng)圖3.1.1核心層設(shè)計(jì)1、在核心層組建設(shè)備堆疊，配置CSS集群。堆疊CSS&iStack，是指將多臺(tái)支持堆疊特性的交換機(jī)設(shè)備組合在一起，從邏輯上組合成一臺(tái)交換設(shè)備。通過堆疊技術(shù)，有利于簡(jiǎn)化組網(wǎng)，便于管理。iStack，全稱IntelligentStack，智能堆疊，適用于S2700、S3700、S5700和S6700中低端交換機(jī)。而高端交換機(jī)中的堆疊叫做CSS，全稱ClusterSwitchSystem，適用于S7700、S9700等高端交換機(jī)。此類技術(shù)原理是將多臺(tái)物理交換機(jī)在邏輯上合并成一臺(tái)交換機(jī)，所以也叫做交換機(jī)虛擬化。在華為交換機(jī)中，iStack最多支持9臺(tái)交換機(jī)合并，而在CSS中只支持2臺(tái)交換機(jī)合并。2、配置Eth-trunk鏈路聚合。以太網(wǎng)鏈路聚合Eth-Trunk簡(jiǎn)稱鏈路聚合，它通過將多條以太網(wǎng)物理鏈路捆綁在一起成為一條邏輯鏈路，從而實(shí)現(xiàn)增加鏈路帶寬的目的。同時(shí)，這些捆綁在一起的鏈路通過相互間的動(dòng)態(tài)備份，可以有效地提高鏈路的可靠性。當(dāng)使用堆疊后，再結(jié)合跨設(shè)備鏈路聚合技術(shù)，不僅可以實(shí)現(xiàn)設(shè)備及鏈路的高可靠性備份，而且可以避免二層環(huán)路。相對(duì)傳統(tǒng)的STP破環(huán)保護(hù)，邏輯拓?fù)涓忧逦㈡溌防酶痈咝А?、開啟LLDP功能。通過LLDP獲取的設(shè)備二層信息能夠快速獲取相連設(shè)備的拓?fù)錉顟B(tài)；顯示出客戶端、交換機(jī)、路由器、應(yīng)用服務(wù)器以及網(wǎng)絡(luò)服務(wù)器之間的路徑；檢測(cè)設(shè)備間的配置沖突、查詢網(wǎng)絡(luò)失敗的原因。例如可在接入交換機(jī)上查看到各類終端類型（如IP話機(jī)），終端的IP地址等，從而簡(jiǎn)化網(wǎng)絡(luò)管理。4、 配置防攻擊手段。1）在核心交換機(jī)上，設(shè)備控制面配置配置配置ARP防攻擊，CPU防攻擊等其他防攻擊，以滿足安全性需求。2）在用戶側(cè)配置URPF。使設(shè)備可以防范用戶側(cè)的源地址欺騙攻擊。URPF（UnicastReversePathForwarding）是單播逆向路徑轉(zhuǎn)發(fā)的簡(jiǎn)稱，其主要功能是防止基于源IP地址欺騙的網(wǎng)絡(luò)攻擊行為。3.1.2匯聚層設(shè)計(jì)1、匯聚層采用堆疊提高網(wǎng)元級(jí)可靠性，鏈路聚合提高鏈路級(jí)可靠性，2、匯聚層交換機(jī)上應(yīng)用部署差分服務(wù)模型的QoS，根據(jù)用戶源IP打上對(duì)應(yīng)的內(nèi)部?jī)?yōu)先級(jí)，將多媒體、實(shí)時(shí)數(shù)據(jù)、辦公數(shù)據(jù)報(bào)文分別映射優(yōu)先級(jí)，以提供差分服務(wù)。3、開啟LLDP功能，3.1.3接入層設(shè)計(jì)1、部署堆疊，滿足各辦公區(qū)接口數(shù)量多的需求，同時(shí)鏈路雙上行至匯聚層交換機(jī)，提高了組網(wǎng)在節(jié)點(diǎn)和鏈路上的可靠性。接入交換機(jī)部署邊緣端口，加快網(wǎng)絡(luò)收斂并防止端口狀態(tài)改變引起網(wǎng)絡(luò)震蕩。2、開啟LLDP功能。3.2產(chǎn)品選型根據(jù)“廣州衍豐科技有限公司網(wǎng)絡(luò)系統(tǒng)改造實(shí)施招標(biāo)技術(shù)文件”的具體技術(shù)要求，綜合比較廠家實(shí)力和產(chǎn)品的性能價(jià)格比，我們選擇了華為技術(shù)有限公司、浪潮集團(tuán)有限公司等公司作為這次投標(biāo)的合作伙伴，并提出以下的解決方案。相關(guān)產(chǎn)品選型如下:（1）核心層交換機(jī)華為S12708交換機(jī)2臺(tái)圖2.4.4-1S12708交換機(jī)（2）匯聚層交換機(jī)華為S7706交換機(jī)2臺(tái)圖2.4.4-2S7706交換機(jī)（3）接入層交換機(jī)華為S5700-28P-LI-BAT交換機(jī)2臺(tái)圖2.4.4-3S5700-28P-LI-BAT交換機(jī)3.3本章小結(jié)本章使用層次化模型的網(wǎng)絡(luò)設(shè)計(jì)構(gòu)想，利用層次化思想中描述的分層設(shè)計(jì)，對(duì)廣州衍豐科技有限公司網(wǎng)絡(luò)結(jié)構(gòu)進(jìn)行模塊化設(shè)計(jì)。按照核心層，匯聚層，接入層的三層分層次，結(jié)合鏈路聚合、堆疊等技術(shù)對(duì)廣州衍豐科技有限公司網(wǎng)絡(luò)結(jié)構(gòu)進(jìn)行了詳細(xì)設(shè)計(jì)。

第四章網(wǎng)絡(luò)安全設(shè)計(jì)4.1網(wǎng)絡(luò)拓?fù)浒踩?jì)算機(jī)網(wǎng)絡(luò)的發(fā)展使計(jì)算機(jī)應(yīng)用更加廣泛與深入，同時(shí)也使計(jì)算機(jī)的安全問題日益突出和復(fù)雜。一方面，計(jì)算機(jī)網(wǎng)絡(luò)分布范圍廣，具有開放式體系結(jié)構(gòu)，提供了資源的共享性，提高了系統(tǒng)的可靠性，通過分散工作負(fù)荷提高了工作效率，而且具有可擴(kuò)充性。這些特點(diǎn)使計(jì)算機(jī)網(wǎng)絡(luò)深入到科研、文化、經(jīng)濟(jì)、國防等各個(gè)領(lǐng)域。另一方面，也正是這些特點(diǎn)增加了網(wǎng)絡(luò)安全的脆弱性和復(fù)雜性。因此，如何對(duì)網(wǎng)絡(luò)上的各種非法行為進(jìn)行主動(dòng)防御和有效抑制，是當(dāng)今計(jì)算機(jī)網(wǎng)絡(luò)安全方面函待解決的重要問題。在以下的方案中我們會(huì)在防火墻安全方面來闡述如何建立一個(gè)相對(duì)安全的網(wǎng)絡(luò)。網(wǎng)絡(luò)發(fā)展到今天，原先獨(dú)立分散的網(wǎng)絡(luò)正逐步聯(lián)成一片，并向全球互聯(lián)網(wǎng)過渡。這種網(wǎng)絡(luò)必須具有國際同意的標(biāo)準(zhǔn)和訪問方法，容易互連、互通與互操作。但是，它的開放性必須以具有可靠的信息安全為保證。也就是說，信息安全是開放網(wǎng)絡(luò)的基礎(chǔ)支柱。作為全球使用范圍最大的信息網(wǎng)，Internet自身協(xié)議的開放性極大地方地方便了各種計(jì)算機(jī)入網(wǎng)，拓寬了共享資源。但是，出于在早期網(wǎng)絡(luò)協(xié)議設(shè)計(jì)上對(duì)安全問題的忽視，以及在使用和管理上的無政府狀態(tài)，逐漸使Internet自身安全受到嚴(yán)重威脅，與它有關(guān)的安全事故屢有發(fā)生。對(duì)網(wǎng)絡(luò)安全的威脅主要表現(xiàn)在；非授權(quán)訪問；冒充合法用戶；破壞數(shù)據(jù)完整性；干擾系統(tǒng)正常運(yùn)行；利用網(wǎng)絡(luò)傳播病毒；線路竊聽等。綜上所述，造成開放網(wǎng)絡(luò)脆弱性的根本原因是信息傳播的廣域性和自身網(wǎng)絡(luò)協(xié)議的開放性。因此，要建立一個(gè)開放網(wǎng)絡(luò)就必須增強(qiáng)安全意識(shí)，在網(wǎng)絡(luò)的設(shè)計(jì)結(jié)構(gòu)上增強(qiáng)安全功能，提高防范能力。4.2方案中采用的安全措施4.2.1防火墻設(shè)計(jì)1、出口防火墻承擔(dān)外網(wǎng)出口業(yè)務(wù)，隔離內(nèi)外網(wǎng)區(qū)域，實(shí)現(xiàn)內(nèi)外網(wǎng)業(yè)務(wù)路由和NAT功能。2、防火墻開啟智能選路功能，根據(jù)出口鏈路帶寬動(dòng)態(tài)地選擇出接口，實(shí)現(xiàn)鏈路資源的合理利用和用戶體驗(yàn)的提升。3、在出口防火墻的上行配置NAT，實(shí)現(xiàn)私網(wǎng)地址和公網(wǎng)地址之間的轉(zhuǎn)換，使得內(nèi)網(wǎng)用戶可以訪問外網(wǎng)。4、在出口防火墻上配置NATServer，保證外網(wǎng)用戶能夠訪問HTTP服務(wù)器。5、防火墻啟用智能DNS功能，確保不同運(yùn)營(yíng)商的用戶訪問請(qǐng)求獲得最適合的解析地址。6、防火墻配置安全策略，對(duì)流量進(jìn)行過濾，并開啟行為審計(jì)，保證網(wǎng)絡(luò)安全。7、在核心交換機(jī)部署集群（CSS2），保證設(shè)備級(jí)可靠性。8、匯聚交換機(jī)與核心交換機(jī)之間、核心交換機(jī)與出口防火墻之間均采用Eth-Trunk互聯(lián)，提高鏈路可靠性。9、防火墻部署雙機(jī)熱備、兩臺(tái)防火墻之間實(shí)現(xiàn)負(fù)載分擔(dān)。4.3防火墻產(chǎn)品選擇（1）防火墻華為下一代防火墻USG66502臺(tái)圖4.3防火墻USG66504.4本章小結(jié)本章對(duì)網(wǎng)絡(luò)拓?fù)溥M(jìn)行安全設(shè)計(jì)。采用華為防火墻設(shè)備，通過防火墻出口的方式，在防火墻做相關(guān)配置。在安全上配置安全策略，對(duì)流量進(jìn)行過濾，并開啟行為審計(jì)，來保證網(wǎng)絡(luò)安全。可靠性上，在核心交換機(jī)部署集群（CSS2），保證設(shè)備級(jí)可靠性。然后在核心交換機(jī)與出口防火墻之間均采用Eth-trunk互聯(lián)，提高鏈路可靠性。防火墻部署雙機(jī)熱備、兩臺(tái)防火墻之間實(shí)現(xiàn)負(fù)載分衡。

第五章網(wǎng)絡(luò)設(shè)備詳細(xì)配置5.1配置核心交換機(jī)S127085.1.1組建設(shè)備堆疊步驟1安裝硬件為S12700_1和S12700_2分別安裝集群卡并連接集群卡的線纜。步驟2配置核心交換機(jī)集群#配置集群連接方式、集群ID和集群優(yōu)先級(jí)。配置S12700_1的集群連接方式為集群卡集群，集群ID為1，集群優(yōu)先級(jí)為100。<HUAWEI>system-view[HUAWEI]sysnameS12700_1[S12700_1]setcssmodecss-card[S12700_1]setcssid1Warning:ModifyingtheCSSchassisIDwillcauseinterfaceconfigurationloss.Continue?[Y/N]:yInfo:Thisoperationmaytakeafewseconds.PleasewaitInfo:CSSconfigurationhasbeenchanged,andthenewconfigurationwilltakeeffectafterarebootandCSShasbeenenabled.[S12700_1]setcsspriority100//OnS12700_1,settheCSSIDandCSSpriorityto1and100,respectively.配置S12700_2的集群連接方式為集群卡集群，集群ID為2，集群優(yōu)先級(jí)為10。<HUAWEI>system-view[HUAWEI]sysnameS12700_2[S12700_2]setcssmodecss-card[S12700_2]setcssid2Warning:ModifyingtheCSSchassisIDwillcauseinterfaceconfigurationloss.Continue?[Y/N]:yInfo:Thisoperationmaytakeafewseconds.PleasewaitInfo:CSSconfigurationhasbeenchanged,andthenewconfigurationwilltakeeffectafterarebootandCSShasbeenenabled.[S12700_2]setcsspriority10//OnS12700_2,settheCSSIDandCSSpriorityto2and10,respectively.#檢查集群配置信息。配置完成后，建議執(zhí)行displaycssstatussaved命令查看以上配置信息是否與預(yù)期的一致。查看S12700_1上的集群配置信息。[S12700_1]displaycssstatussavedCurrentIdSavedIdCSSEnableCSSModePriorityMasterForce11OffCSScard100Off查看S12700_2上的集群配置信息。[S12700_2]displaycssstatussavedCurrentIdSavedIdCSSEnableCSSModePriorityMasterForce12OffCSScard10Off步驟3啟用CSS集群功能。使能S12700_1的集群功能并重新啟動(dòng)S12700_1。[S12700_1]cssenable//EnabletheCSSfunctiononS12708_1andrestartBRAS02.Warning:TheCSSconfigurationwilltakeeffectonlyafterthesystemisrebooted.ThenextCSSmodeisCSScard.Rebootnow?[Y/N]:y使能S12700_2的集群功能并重新啟動(dòng)S12700_2。[S12700_2]cssenable//EnabletheCSSfunctiononS12708_2andrestartBRAS01.Warning:TheCSSconfigurationwilltakeeffectonlyafterthesystemisrebooted.ThenextCSSmodeisCSScard.Rebootnow?[Y/N]:y#重啟核心交換機(jī)，查看集群狀態(tài)，確認(rèn)集群系統(tǒng)主交換機(jī)的CSSMASTER燈綠色常亮。步驟4檢查集群組建是否成功#查看指示燈狀態(tài)。S12700_1主控板上CSSMASTER燈常亮，表示該主控板為集群系統(tǒng)主用主控板，S12700_1為主交換機(jī)。S12700_2主控板上CSSMASTER燈常滅，表示S12700_2為備交換機(jī)。#通過任意主控板上的Console口本地登錄集群，使用命令行查看集群組建是否成功。<S12700_1>displaycssstatusCSSEnableswitchOnChassisIdCSSEnableCSSStatusCSSModePriorityMasterForce1OnMasterCSScard100Off2OnStandbyCSScard10Off結(jié)束5.1.2心跳檢測(cè)配置#集群配置接口采用直連方式多主檢測(cè)功能。配置接口GE1/1/1/7采用直連方式多主檢測(cè)功能。<S12700_1>system-view[S12700_1]interfacegigabitethernet1/1/1/7[S12700_1-GigabitEthernet1/1/1/7]maddetectmodedirectWarning:Thiscommandwillblocktheport,andnootherconfigurationrunningonthisportisrecommended.Continue?[Y/N]:y[S12700_1-GigabitEthernet1/1/1/7]quit配置接口GE2/1/1/7采用直連方式多主檢測(cè)功能。<S12700_2>system-view[S12700_2]interfacegigabitethernet2/1/1/7[S12700_2-GigabitEthernet2/1/1/7]maddetectmodedirectWarning:Thiscommandwillblocktheport,andnootherconfigurationrunningonthisportisrecommended.Continue?[Y/N]:y[S12700_2-GigabitEthernet2/1/1/7]quit#查看集群系統(tǒng)多主檢測(cè)詳細(xì)配置信息。[S12700_1]displaymadverboseCurrentMADdomain:0CurrentMADstatus:DetectMaddirectdetectinterfacesconfigured:GigabitEthernet1/1/1/7GigabitEthernet2/1/1/7Madrelaydetectinterfacesconfigured:Excludedports(configurable):Excludedports(cannotbeconfigured):XGigabitEthernet1/6/0/0XGigabitEthernet2/6/0/0結(jié)束5.1.3配置二三層轉(zhuǎn)發(fā)業(yè)務(wù)步驟1配置CSS與FW之間的Eth-Trunk。在CSS上創(chuàng)建Eth-Trunk10、Eth-Trunk20，分別用于連接FW1、FW2，并加入Eth-Trunk成員接口。<S12700_1>system-view[S12700_1]sysnameCSS[CSS]interfaceeth-trunk10//創(chuàng)建Eth-Trunk10接口，和FW1對(duì)接[CSS-Eth-Trunk10]quit[CSS]interfacegigabitethernet1/1/0/0[CSS-GigabitEthernet1/1/0/0]eth-trunk10[CSS-GigabitEthernet1/1/0/0]quit[CSS]interfacegigabitethernet2/1/0/0[CSS-GigabitEthernet2/1/0/0]eth-trunk10[CSS-GigabitEthernet2/1/0/0]quit[CSS]interfaceeth-trunk20//創(chuàng)建Eth-Trunk20接口，和FW2對(duì)接[CSS-Eth-Trunk20]quit[CSS]interfacegigabitethernet1/1/0/1[CSS-GigabitEthernet1/1/0/1]eth-trunk20[CSS-GigabitEthernet1/1/0/1]quit[CSS]interfacegigabitethernet2/1/0/1[CSS-GigabitEthernet2/1/0/1]eth-trunk20[CSS-GigabitEthernet2/1/0/1]quit步驟2配置連接匯聚交換機(jī)的Eth-Trunk。#在交換S12700設(shè)備上創(chuàng)建VLAN，并將相應(yīng)端口加入VLAN[S12700]vlanbatch1002004094#在S12700上創(chuàng)建Eth-Trunk1，配置Eth-Trunk1加入所有業(yè)務(wù)VLAN，并將相關(guān)物理成員端口加入Eth-Trunk1。[S12700]interfaceEth-Trunk1[S12700-Eth-Trunk1]descriptionTo_AGG7700[S12700-Eth-Trunk1]portlink-typetrunk[S12700-Eth-Trunk1]undoporttrunkallow-passvlan1[S12700-Eth-Trunk1]porttrunkallow-passvlan1002004094[S12700-Eth-Trunk1]quit[S12700]interface40GE1/2/0/0[S12700-40GE1/1/0/0]eth-trunk1[S12700-40GE1/1/0/0]quit[S12700]interface40GE2/2/0/0[S12700-40GE2/1/0/0]eth-trunk1[S12700-40GE2/1/0/0]quit#在S12700上創(chuàng)建管理接口VLANIF4094和業(yè)務(wù)接口，并配置地址。[S12700]interfaceVlanif4094[S12700-Vlanif4094]ipaddress[S12700-Vlanif4094]quit[S12700]interfaceVlanif100[S12700-Vlanif100]ipaddress[S12700-Vlanif100]quit[S12700]interfaceVlanif200[S12700-Vlanif200]ipaddress[S12700-Vlanif200]quit步驟3配置OSPF#在S12700上創(chuàng)建OSPF路由，用于上行對(duì)接。[S12700]ospf100[S12700-ospf-100]area0[S12700-ospf-100-area-]authentication-modemd51cipherhuawei@123[S12700-ospf-100-area-]network55[S12700-ospf-100-area-]network55[S12700-ospf-100-area-]network55[S12700-ospf-100-area-]return#配置缺省路由，下一跳為FWVRRP虛擬IP。[CSS]iproute-static[CSS]iproute-static步驟4配置DHCP。[CSS]dhcpenable[CSS]interfacevlanif40[CSS-Vlanif40]dhcpselectinterface[CSS-Vlanif40]quit步驟5在S12700上使能LLDP。<S12700>system-view[S12700]lldpenable結(jié)束5.1.4防攻擊措施配置#在上行口開啟ARP報(bào)文的合法性檢查。[S12700]interfaceeth-trunk1[S12700-Eth-Trunk1]arpvalidatesource-macdestination-mac[S12700-Eth-Trunk1]quit#在S12700堆疊上部署其他相關(guān)的ARP安全措施。[S12700]arpanti-attackentry-checkfixed-macenable[S12700]arpanti-attackgateway-duplicateenable[S12700]arp-missspeed-limitsource-ipmaximum20#在S12700堆疊上部署CPU防攻擊功能。[S12700]cpu-defendpolicytest[S12700-cpu-defend-policy-test]auto-defendenable[S12700-cpu-defend-policy-test]auto-defendthreshold128[S12700-cpu-defend-policy-test]auto-defendalarmenable[S12700-cpu-defend-policy-test]auto-defendalarmthreshold128[S12700-cpu-defend-policy-test]undoauto-defendtrace-typesource-portvlan[S12700-cpu-defend-policy-test]auto-defendactiondeny[S12700-cpu-defend-policy-test]auto-port-defendwhitelist1interface//上行口[S12700-cpu-defend-policy-test]auto-defendwhitelist1interface//上行口[S12700-cpu-defend-policy-test]quit[S12700]cpu-defend-policytestglobal[S12700]cpu-defend-policytest#在S12700上使能攻擊防范功能。[S12700]anti-attackenable#使能接口板的URPF功能<S12700>system-view[S12700]urpfslot2Warning:ChangingtheglobalURPFstatusmayinterruptsomeservicesforseveralsecondsandFIBentriessupportedmaybereduced.Continue?[Y/N]:y配置接口的URPF檢查模式[Switch]interfacegigabitethernet2/0/1[Switch-GigabitEthernet2/0/1]urpfstrictallow-default-route[Switch-GigabitEthernet2/0/1]quit結(jié)束5.2配置匯聚交換機(jī)S77065.2.1組建設(shè)備堆疊步驟1安裝硬件為S7700_1和S7700_2分別安裝集群卡ES02VSTSA并連接該種集群卡上的所有集群端口的集群線纜。步驟2配置集群連接方式、集群ID及集群優(yōu)先級(jí)配置S7700_1的集群連接方式為集群卡集群，集群ID為1，集群優(yōu)先級(jí)為100。<HUAWEI>system-view[HUAWEI]sysnameS7700_1[S7700_1]setcssmodecss-card[S7700_1]setcssid1[S7700_1]setcsspriority100配置S7700_2的集群連接方式為集群卡集群，集群ID為2，集群優(yōu)先級(jí)為10。<HUAWEI>system-view[HUAWEI]sysnameS7700_2[S7700_2]setcssmodecss-card[S7700_2]setcssid2[S7700_2]setcsspriority10#檢查集群配置信息。配置完成后，建議執(zhí)行displaycssstatussaved命令查看以上配置信息是否與預(yù)期的一致。查看S7700_1上的集群配置信息。[S7700_1]displaycssstatussavedCurrentIdSavedIdCSSEnableCSSModePriorityMasterForce11OffCSScard100Off查看S7700_2上的集群配置信息。[S7700_2]displaycssstatussavedCurrentIdSavedIdCSSEnableCSSModePriorityMasterForce12OffCSScard10Off步驟3使能集群功能使能S7700_1的集群功能并重新啟動(dòng)S7700_1。[S7700_1]cssenableWarning:TheCSSconfigurationwilltakeeffectonlyafterthesystemisrebooted.ThenextCSSmodeisCSScard.Rebootnow?[Y/N]:y使能S7700_2的集群功能并重新啟動(dòng)S7700_2。[S7700_2]cssenableWarning:TheCSSconfigurationwilltakeeffectonlyafterthesystemisrebooted.ThenextCSSmodeisCSScard.Rebootnow?[Y/N]:y步驟4檢查集群組建是否成功#查看指示燈狀態(tài)。S7700_1集群卡上MASTER燈常亮，表示該集群卡所在的主控板為集群系統(tǒng)主用主控板，S7700_1為主交換機(jī)。S7700_2集群卡上MASTER燈常滅，表示S7700_2為備交換機(jī)。#通過任意主控板上的Console口本地登錄集群，使用命令行查看集群組建是否成功。<S7700_1>displaydeviceChassis1(MasterSwitch)S7706'sDevicestatus:SlotSubTypeOnlinePowerRegisterStatusRole---------------------------------------7-ES0D00SRUA00PresentPowerOnRegisteredNormalMaster1ES02VSTSAPresentPowerOnRegisteredNormalNA8-ES0D00SRUA00PresentPowerOnRegisteredNormalSlave1ES02VSTSAPresentPowerOnRegisteredNormalNAPWR1--PresentPowerOnRegisteredNormalNAPWR2--Present-Unregistered-NACMU2-EH1D200CMU00PresentPowerOnRegisteredNormalMasterFAN1--PresentPowerOnRegisteredAbnormalNAFAN2--Present-Unregistered-NAChassis2(StandbySwitch)S7706'sDevicestatus:SlotSubTypeOnlinePowerRegisterStatusRole---------------------------------------7-ES0D00SRUA00PresentPowerOnRegisteredNormalMaster1ES02VSTSAPresentPowerOnRegisteredNormalNA8-ES0D00SRUA00PresentPowerOnRegisteredNormalSlave1ES02VSTSAPresentPowerOnRegisteredNormalNAPWR1--PresentPowerOnRegisteredNormalNAPWR2--PresentPowerOnRegisteredNormalNACMU1-EH1D200CMU00PresentPowerOnRegisteredNormalMasterFAN1--PresentPowerOnRegisteredNormalNAFAN2--PresentPowerOnRegisteredNormalNA以上顯示信息中，能夠查看到兩臺(tái)成員交換機(jī)的單板狀態(tài)，表示集群建立完成。結(jié)束5.2.2配置二三層轉(zhuǎn)發(fā)業(yè)務(wù) 步驟1配置Eth-Trunk在交換S7700設(shè)備上創(chuàng)建VLAN，并將相應(yīng)端口加入VLAN。[S7700]vlanbatch1002004094在S7700上創(chuàng)建Eth-Trunk0、Eth-Trunk1、Eth-Trunk2，配置Eth-Trunk加入所有業(yè)務(wù)VLAN，并將相關(guān)物理成員端口加入Eth-Trunk。[S7700]interfaceEth-Trunk0[S7700-Eth-Trunk0]descriptionTo_GateWay12700[S7700-Eth-Trunk0]portlink-typetrunk[S7700-Eth-Trunk0]undoporttrunkallow-passvlan1[S7700-Eth-Trunk0]porttrunkallow-passvlan1002004094[S7700-Eth-Trunk0]quit[S7700]interface40GE1/2/0/0[S7700-40GE1/2/0/0]eth-trunk0[S7700-40GE1/2/0/0]quit[S7700]interface40GE2/2/0/0[S7700-40GE2/2/0/0]eth-trunk0[S7700-40GE2/2/0/0]quit[S7700]interfaceEth-Trunk1[S7700-Eth-Trunk1]descriptionTo_S5700[S7700-Eth-Trunk1]portlink-typetrunk[S7700-Eth-Trunk1]undoporttrunkallow-passvlan1[S7700-Eth-Trunk1]porttrunkallow-passvlan1002004094[S7700-Eth-Trunk1]quit[S7700]interfaceXGigabitEthernet1/1/0/0[S7700-XGigabitEthernet1/1/0/0]eth-trunk1[S7700-XGigabitEthernet1/1/0/0]quit[S7700]interfaceXGigabitEthernet2/1/0/0[S7700-XGigabitEthernet2/1/0/0]eth-trunk1[S7700-XGigabitEthernet2/1/0/0]quit[S7700]interfaceEth-Trunk2[S7700-Eth-Trunk2]descriptionTo_S5700[S7700-Eth-Trunk2]portlink-typetrunk[S7700-Eth-Trunk2]undoporttrunkallow-passvlan1[S7700-Eth-Trunk2]porttrunkallow-passvlan1002004094[S7700-Eth-Trunk2]quit[S7700]interfaceXGigabitEthernet1/1/0/1[S7700-XGigabitEthernet1/1/0/1]eth-trunk2[S7700-XGigabitEthernet1/1/0/1]quit[S7700]interfaceXGigabitEthernet2/1/0/1[S7700-XGigabitEthernet2/1/0/1]eth-trunk2[S7700-XGigabitEthernet2/1/0/1]quit在S7700上創(chuàng)建管理接口VLANIF4094，配置管理地址和上行默認(rèn)路由。[S7700]interfaceVlanif4094[S7700-Vlanif4094]ipaddress54[S7700-Vlanif4094]quit[S7700]iproute-static步驟2在S7700上使能LLDP。[S7700]lldpenable步驟3配置QoS策略。在S7700上配置QoS策略，實(shí)現(xiàn)對(duì)不同用戶的優(yōu)先級(jí)區(qū)別對(duì)待。[S7700]acl3000[S7700-acl-adv-3000]rule5permitipsource00[S7700-acl-adv-3000]rule10permitipsource55[S7700-acl-adv-3000]quit[S7700]trafficclassifierc1[S7700-classifier-c1]if-matchacl3000[S7700-classifier-c1]quit[S7700]trafficbehaviorb1[S7700-behavior-b1]remark8021p5[S7700-behavior-b1]quit[S7700]trafficpolicyp1[S7700-trafficpolicy-p1]classifierc1behaviorb1[S7700-trafficpolicy-p1]quit此處對(duì)匹配ACL3000的用戶流量remark8021P為5，進(jìn)入隊(duì)列5。其他流量進(jìn)入隊(duì)列0。由于默認(rèn)是PQ調(diào)度，當(dāng)上行口發(fā)生擁塞時(shí)，優(yōu)先保障隊(duì)列5的流量。同時(shí)，流量帶802.1P優(yōu)先級(jí)進(jìn)入上行核心設(shè)備，由核心設(shè)備進(jìn)行區(qū)分服務(wù)處理。步驟4配置S7700堆疊的下行口應(yīng)用該策略[S7700]interfaceeth-trunk1[S7700-Eth-Trunk1]traffic-policyp1inbound[S7700-Eth-Trunk1]quit[S7700]interfaceeth-trunk2[S7700-Eth-Trunk2]traffic-policyp1inbound[S7700-Eth-Trunk2]quit結(jié)束5.3配置接入交換機(jī)S5700-28P-LI-BAT5.3.1組建設(shè)備堆疊步驟1配置邏輯堆疊端口并加入物理成員端口配置S5700_1_1的業(yè)務(wù)口XGigabitEthernet0/0/1、XGigabitEthernet0/0/2為物理成員端口，并加入到相應(yīng)的邏輯堆疊端口。<HUAWEI>system-view[HUAWEI]sysnameS5700_1_1[S5700_1_1]interfacestack-port0/1[S5700_1_1-stack-port0/1]portinterfaceXGigabitethernet0/0/1enableWarning:Enablingstackfunctionmaycauseconfigurationlossontheinterface.Continue?[Y/N]:yInfo:Thisoperationmaytakeafewseconds.Pleasewa