米哈游網(wǎng)絡(luò)科技公司網(wǎng)絡(luò)規(guī)劃設(shè)計

湖南商務(wù)職業(yè)技術(shù)學(xué)院畢業(yè)設(shè)計

目錄

1項目背景........................................................1

2公司簡介和要求..................................................1

2.1公司簡介...................................................1

3網(wǎng)絡(luò)設(shè)計........................................................2

3.1網(wǎng)絡(luò)拓撲結(jié)構(gòu)與規(guī)劃.........................................2

3.2VLAN與IP地址規(guī)劃與設(shè)計...................................4

4網(wǎng)絡(luò)技術(shù)選用....................................................5

4.1VRRP.......................................................5

4.2MSTP.......................................................5

4.3鏈路聚合技術(shù)（Link-aggregation）...........................6

4.4VLAN.......................................................6

4.5動態(tài)地址分配協(xié)議（DHCP）...................................6

4.6OSPF技術(shù)..................................................7

4.7NAT技術(shù)...................................................7

4.8IPsecVPN..................................................8

5網(wǎng)絡(luò)設(shè)備選型....................................................8

5.1核心交換機.................................................8

5.2接入層.....................................................9

5.3路由器....................................................11

5.4防火墻....................................................12

6網(wǎng)絡(luò)設(shè)備配置...................................................13

6.1交換機配置................................................13

6.1.1VRRP配置............................................13

6.1.2鏈路聚合配置........................................14

6.1.3MSTP配置............................................14

6.1.4DHCP配置............................................15

6.2路由器配置................................................17

I

湖南商務(wù)職業(yè)技術(shù)學(xué)院畢業(yè)設(shè)計

6.2.1IP路由配置..........................................17

6.3防火墻配置................................................20

7網(wǎng)絡(luò)測試.......................................................23

8設(shè)計小結(jié).......................................................25

參考資料..........................................................26

II

湖南商務(wù)職業(yè)技術(shù)學(xué)院畢業(yè)設(shè)計

米哈游網(wǎng)絡(luò)科技公司網(wǎng)絡(luò)規(guī)劃設(shè)計

1項目背景

隨著社會的發(fā)展進步，經(jīng)濟全球化進程不斷加快，互聯(lián)網(wǎng)技術(shù)和經(jīng)濟社會

的發(fā)展相互促進，互聯(lián)網(wǎng)技術(shù)為人們的生產(chǎn)、生活、工作提供了前所未有的便

利。作為傳統(tǒng)行業(yè)的服務(wù)行業(yè)，我們經(jīng)?？梢钥吹筋櫩驮趯嶓w店購物后，通過

互聯(lián)網(wǎng)預(yù)約商品或者網(wǎng)上下單，到貨后可以選擇就近快遞公司送達或者選擇就

近店鋪上門取貨。如今移動終端支付手段日益成熟，生活和工作方式都在發(fā)生

著巨大的變化。與此同時信息技術(shù)也伴隨著社會生活不斷創(chuàng)新發(fā)展著，我們生

活和工作也發(fā)生著巨大變化

隨著互聯(lián)網(wǎng)時代的來臨，我們的生活和工作方式都在發(fā)生著翻天覆地的變

化，也帶來了許多深刻而重大的變革。對于傳統(tǒng)行業(yè)而言，其發(fā)展已經(jīng)面臨著

各種問題等待解決，諸如效率低、成本高、服務(wù)差等等。在互聯(lián)網(wǎng)技術(shù)迅猛發(fā)

展的時代背景下，如何將這些負面因素通過互聯(lián)網(wǎng)手段進行有效解決已經(jīng)成為

企業(yè)轉(zhuǎn)型變革中必不可少的一一環(huán)。

互聯(lián)網(wǎng)經(jīng)過了幾十年的發(fā)展，以前的互聯(lián)網(wǎng)都是低速和昂貴的,不過在我們

的時代，資費不斷的降低，而速度卻是成倍的增加。普通家庭也能夠負擔(dān)得起

網(wǎng)絡(luò)的資費。很多的企業(yè)都開始逐漸的去構(gòu)建屬于自己的企業(yè)網(wǎng)絡(luò)，利用互聯(lián)

網(wǎng)的優(yōu)勢來提升自己企業(yè)的競爭力，同時也可以通過在互聯(lián)網(wǎng)之中尋找新的消

費點來增強公司的創(chuàng)新能力,公司構(gòu)建一個自己的企業(yè)局域網(wǎng)和屬于自己的公

司網(wǎng)站都是一個企業(yè)發(fā)展必不可少的，利用網(wǎng)絡(luò)為基礎(chǔ)，在公司局域網(wǎng)之中開

闊更多新的業(yè)務(wù)。公司網(wǎng)絡(luò)是一個公司最為核心的模塊，只有網(wǎng)絡(luò)是穩(wěn)定和可

靠的才能保證公司的業(yè)務(wù)可以穩(wěn)定安全的運行。網(wǎng)絡(luò)無論何時都是一個企業(yè)必

不可少的基石。

2公司簡介和要求

2.1公司簡介

米哈游科技網(wǎng)絡(luò)公司（簡稱米哈游），位于上海，成立于2014年7月。公

司經(jīng)營范圍包括從事網(wǎng)絡(luò)技術(shù)、計算機技術(shù)、通訊技術(shù)、電子技術(shù)領(lǐng)域的技術(shù)

開發(fā)。米哈游秉承著“技術(shù)宅拯救世界”的使命，始終致力于技術(shù)研發(fā)、探索

前沿科技，在卡通渲染、人工智能、云游戲技術(shù)等領(lǐng)域積累了領(lǐng)先的技術(shù)能力。

1

湖南商務(wù)職業(yè)技術(shù)學(xué)院畢業(yè)設(shè)計

米哈游潛心專研云游戲多年，先后打造“崩壞系列”、“原神”等諸多云游。

其中原神在2020年的春節(jié)上線的PV《神女劈觀》更是傳播這中國傳統(tǒng)文化

——京劇，響徹全世界。

米哈游從起始之初的十幾人發(fā)展至三百多名員工，歐美地區(qū)、日本、韓國

均有米哈游公司設(shè)置的分公司。

米哈游公司分為董事會、技術(shù)部門、市場部門、客服部門、以及財務(wù)部門，

其中技術(shù)部門有設(shè)計組、美工組、測試組、安全組，市場部門有策劃組、宣傳

組、以及人事組，財務(wù)部門有財務(wù)組。

分公司則有市場部門中的宣傳組，及后勤部門。

米哈游公司網(wǎng)絡(luò)建設(shè)需要遵循的性能原則：

（1）可增值性

米哈游的網(wǎng)絡(luò)的建設(shè)、使用和維護需要投入大量的人力、物力，因此網(wǎng)絡(luò)

的增值性是網(wǎng)絡(luò)持續(xù)發(fā)展基礎(chǔ)。所以在建設(shè)時要充分考慮業(yè)務(wù)的擴展能力，能

針對不同的用戶需求提供豐富的寬帶增值業(yè)務(wù)，使網(wǎng)絡(luò)具有自我造血機制，實

現(xiàn)以網(wǎng)養(yǎng)網(wǎng)。

（2）可擴充性

考慮到米哈游用戶數(shù)量和業(yè)務(wù)種類發(fā)展的不確定性，要求對于核心交換機

與匯聚交換機具有強大的擴展功能，米哈游的網(wǎng)絡(luò)要建設(shè)成完整統(tǒng)一、組網(wǎng)靈

活、易擴充的彈性網(wǎng)絡(luò)平臺，能夠隨著需求變化，充分留有擴充余地。

（3）安全可靠性

設(shè)計應(yīng)充分考慮整個網(wǎng)絡(luò)的穩(wěn)定性，支持網(wǎng)絡(luò)節(jié)點的備份和線路保護，提

供網(wǎng)絡(luò)安全防范措施。

3網(wǎng)絡(luò)設(shè)計

3.1網(wǎng)絡(luò)拓撲結(jié)構(gòu)與規(guī)劃

米哈游公司網(wǎng)絡(luò)結(jié)構(gòu)拓撲如下：

2

湖南商務(wù)職業(yè)技術(shù)學(xué)院畢業(yè)設(shè)計

圖1網(wǎng)絡(luò)拓撲圖

網(wǎng)絡(luò)結(jié)構(gòu)分析：

核心設(shè)備：交換方案采用了2臺1000Mbps傳輸速率的核心交換機S7703

高性能轉(zhuǎn)發(fā)設(shè)備，全分布式轉(zhuǎn)發(fā)體系結(jié)構(gòu)，提供高密度接口板，并全部支持線

速轉(zhuǎn)發(fā)。設(shè)備基于逐包轉(zhuǎn)發(fā)的機制，提高網(wǎng)絡(luò)安全性及可靠性高。

所有的核心交換機均配置了冗余電源、冗余引擎。

接入層設(shè)備：采用了具有百兆互聯(lián)擴展能力的智能堆疊交換機

S5731-H48HB4XZ，根據(jù)用戶的信息點數(shù)按照布線間的設(shè)置情況，每布線間進行

星型匯聚后，采用雙百兆鏈路捆綁上聯(lián)至樓層匯聚設(shè)備。建議每機房中通過兩

對百兆光纖捆綁連入?yún)R聚設(shè)備，提高帶寬，降低單纖故障帶來的影響。

網(wǎng)絡(luò)整體設(shè)計中，采用層次化、模塊化的網(wǎng)絡(luò)設(shè)計結(jié)構(gòu)，并嚴格定義各層

功能模型，不同層次關(guān)注不同的特性配置。

網(wǎng)絡(luò)結(jié)構(gòu)可以分成二層：接入層、核心層。

1)接入層：對于米哈游公司網(wǎng)絡(luò)的接入層設(shè)備，采用百兆二層接入的方式，

具有線速交換、智能堆疊技術(shù)以及高級QoS策略等功能。

3

湖南商務(wù)職業(yè)技術(shù)學(xué)院畢業(yè)設(shè)計

2)核心層：網(wǎng)絡(luò)的骨干，必須能夠提供高速數(shù)據(jù)交換和路由快速收斂，要

求具有較高的可靠性、穩(wěn)定性和易擴展性等。對于米哈游公司核心層，必須提

供高性能、高可靠的網(wǎng)絡(luò)結(jié)構(gòu)，推薦采用高可靠的星型結(jié)構(gòu)。對于米哈游公司

核心層設(shè)備，應(yīng)該在提供大容量、高性能L2/L3/L4交換服務(wù)基礎(chǔ)上，能夠進一

步融合、網(wǎng)絡(luò)安全、網(wǎng)絡(luò)業(yè)務(wù)分析等智能特性，可為網(wǎng)絡(luò)構(gòu)建融合業(yè)務(wù)的基礎(chǔ)

網(wǎng)絡(luò)平臺，進而幫助用戶實現(xiàn)IT資源整合的需求。

運用華為USG6712EAI下一代防火墻進行用戶的行為管理，分割信任區(qū)域、

非信任區(qū)域、以及DMZ區(qū)域。抵御外部網(wǎng)絡(luò)的惡意的攻擊。

3.2VLAN與IP地址規(guī)劃與設(shè)計

VLAN的IP劃分如下表1、表2所示：

表1總部部門VLANIP地址規(guī)劃

部門VLANIP地址范圍網(wǎng)關(guān)VLAN命名

董事會VLAN101/2454dongshihui

技術(shù)部門VLAN102/2454jishubu

市場部門VLAN103/2454shichangbu

客服部門VLAN104/2454kefubu

財務(wù)部門VLAN105/2454caiwubu

表2分部部門VLANIP地址規(guī)劃

部門VLANIP地址范圍網(wǎng)關(guān)VLAN命名

市場部VLAN113/2454sc

客服部VLAN114/2454kf

財務(wù)部VLAN115/2454cw

表3防火墻與個設(shè)備的互聯(lián)

HX-SW1HX-SW2外網(wǎng)AR1分部AR2DMZAR3

防火墻

/24/24/30/24/24

表4服務(wù)器IP地址規(guī)劃

名稱IP地址子網(wǎng)掩碼網(wǎng)關(guān)IP

WEB服務(wù)器0054

FTP服務(wù)器0054

4

湖南商務(wù)職業(yè)技術(shù)學(xué)院畢業(yè)設(shè)計

4網(wǎng)絡(luò)技術(shù)選用

4.1VRRP

確保網(wǎng)絡(luò)可靠穩(wěn)定地運行，解決網(wǎng)關(guān)交換機（路由器）設(shè)備單點失效，互

備設(shè)備之間動態(tài)熱切換以及網(wǎng)絡(luò)系統(tǒng)共享同一缺省網(wǎng)關(guān)等問題，提出了VRRP的

解決方案。該技術(shù)的工作原理主要是將互備路由設(shè)備配置在一個VRRP協(xié)議組中，

并指定一個虛擬的IP地址作為網(wǎng)絡(luò)系統(tǒng)的缺省網(wǎng)關(guān)地址。同時根據(jù)優(yōu)先級方

案決定將優(yōu)先級最高的路由器設(shè)備定義為默認主動路由器，協(xié)議組中的其它路

由器則為備份路由器。此時，協(xié)議組將虛擬缺省網(wǎng)關(guān)IP地址指向主動路由設(shè)備，

主動路由設(shè)備即成為網(wǎng)絡(luò)系統(tǒng)中的缺省網(wǎng)關(guān)設(shè)備。VRRP協(xié)議技術(shù)使用主播、基

于UDP的呼叫信號包（HELLO包）來實現(xiàn)同一個組內(nèi)互備路由器之間的通信，即

協(xié)議組中的主、備路由器之間定期向?qū)Ψ桨l(fā)出HELLO包進行端口檢查。當(dāng)主設(shè)

備出現(xiàn)故障時，在規(guī)定的一段時間內(nèi)不能發(fā)出HELLO包時，VRRP協(xié)議此時將備

用路由設(shè)備激活，使其成為網(wǎng)關(guān)設(shè)備，并將動態(tài)的虛擬網(wǎng)關(guān)IP地址指向備用路

由設(shè)備，備用路由設(shè)備立即承擔(dān)起網(wǎng)絡(luò)系統(tǒng)中的數(shù)據(jù)轉(zhuǎn)發(fā)功能。當(dāng)主路由設(shè)備

故障恢復(fù)后，VRRP協(xié)議自動將優(yōu)先級高的主路由設(shè)備激活，使之成為網(wǎng)絡(luò)系統(tǒng)

的網(wǎng)關(guān)。VRRP協(xié)議組中的主、備路由器之間的動態(tài)熱切換都是自動完成，而且

不用修改網(wǎng)關(guān)地址，網(wǎng)絡(luò)系統(tǒng)中的設(shè)備指向的缺省網(wǎng)關(guān)都是VRRP協(xié)議組中定義

的虛擬網(wǎng)關(guān)的IP地址，只不過不同情況下映射的路由器地址不同而已。采用了

VRRP路由協(xié)議技術(shù)后，真正做到了網(wǎng)關(guān)設(shè)備的自動冗余備份，保證了網(wǎng)絡(luò)平臺

穩(wěn)定可靠的運行，從而保障業(yè)務(wù)系統(tǒng)的正常開展。

VRRP技術(shù)在核心交換機進行實現(xiàn),其中HX-SW1擔(dān)任董事會、技術(shù)部門以及

市場部門的主路由，HX-SW2為備份路由；HX-SW2擔(dān)任客服部門和財務(wù)部門的主

路由，HX-SW1為備份路由。

4.2MSTP

組網(wǎng)結(jié)構(gòu)的可靠性，主要是通過備份線路的設(shè)計，保證任何時刻、任何節(jié)

點之間都有可達的路徑。為了解決冗余鏈路引起的環(huán)路問題，IEEE通過了

IEEE802.1d協(xié)議，即生成樹協(xié)議。

MSTP多域生成樹技術(shù)，廣泛用于二層環(huán)境。多域生成樹一般用于非虛擬化

VSU的網(wǎng)絡(luò)環(huán)境中，彌補物理拓撲產(chǎn)生環(huán)路的解決措施，同時達到網(wǎng)絡(luò)流量的均

衡轉(zhuǎn)發(fā)，降低單臺設(shè)備工作負擔(dān)，多域生成樹其實就是基于實例下的多VLAN轉(zhuǎn)

5

湖南商務(wù)職業(yè)技術(shù)學(xué)院畢業(yè)設(shè)計

發(fā)和快速收斂的特性，能夠達到每VLAN每生成樹，通過與三層協(xié)議VRRP首選

多跳冗余協(xié)議工作，能提高網(wǎng)絡(luò)冗余和穩(wěn)定性，在其某臺設(shè)備故障后能及時切

換鏈路繼續(xù)轉(zhuǎn)發(fā)數(shù)據(jù)包，網(wǎng)關(guān)會自動切換成正常工作的設(shè)備。

MSTP技術(shù)在核心交換機上進行實現(xiàn)，為網(wǎng)絡(luò)實現(xiàn)負載均衡

4.3鏈路聚合技術(shù)（Link-aggregation）

鏈路聚合協(xié)議也稱之為端口聚合協(xié)議，該協(xié)議是將設(shè)備的物理接口邏輯組

合成一個虛擬接口，同時在此接口下相連的鏈路也被邏輯聚合成一條鏈路；達

到鏈路備份的同時也實現(xiàn)了鏈路帶寬的成倍增長。鏈路聚合，同時也有二層和

三層聚合之分，但工作運行環(huán)境理論是相似的，二層運用在此網(wǎng)絡(luò)環(huán)境中的匯

聚設(shè)備本身就是大二層網(wǎng)絡(luò)環(huán)境，減少三層維護起來的麻煩，Link-aggregation

主要為線路提供冗余，與設(shè)備冗余不同，但和生成樹協(xié)議屬于同類型的協(xié)議，

但區(qū)別在于生成樹是切割物理拓撲生成邏輯冗余鏈路，Link-aggregation捆綁

物理拓撲提供邏輯鏈路冗余，增加鏈路帶寬，提高網(wǎng)絡(luò)可靠性，即使其中一條

鏈路發(fā)生故障另一條或者多條依然會正常進行轉(zhuǎn)發(fā)。

Link-aggregation用于核心交換機之間增加帶寬，提供鏈路冗余。

4.4VLAN

使用VLAN技術(shù)可以給組網(wǎng)方式更加的靈活簡便，不拘泥與物理連接、設(shè)備

型號；這一項技術(shù)是所有設(shè)備均支持的。VLAN技術(shù)可以實現(xiàn)邏輯分割物理區(qū)域，

有效的控制廣播域的范圍，避免了大型廣播域所產(chǎn)生的重大事故；使用VLAN還

可以節(jié)約組網(wǎng)成本，同時還可以靈活劃分網(wǎng)絡(luò)結(jié)構(gòu)；且該技術(shù)的實現(xiàn)方法簡單。

部署VLAN，可以縮小廣播報文的傳遞區(qū)域，減少設(shè)備資源和帶寬的浪費，數(shù)據(jù)

幀到達交換機后會默認生成一個Tag標(biāo)記，用以識別這是處于哪個VLAN下的

數(shù)據(jù)幀，然后交換機將根據(jù)不同的端口屬性對數(shù)據(jù)包給予不同的處理方式，使

用三種端口屬性規(guī)劃，如接入模式，中繼模式，混合模式。

VLAN用于交換機，無線控制器的廣播域隔離。

4.5動態(tài)地址分配協(xié)議（DHCP）

動態(tài)主機配置協(xié)議（DHCP）是用于為局域網(wǎng)之中的酥油網(wǎng)絡(luò)設(shè)備部署和IP

地址相關(guān)的配置信息的一個協(xié)議，它允許在二層網(wǎng)絡(luò)和三層網(wǎng)絡(luò)中存在，但其

收發(fā)的報文類型有所不同，在二層網(wǎng)絡(luò)下只需要通過廣播報文就可以通過

DHCPServer服務(wù)器獲取到OFFER包，從而獲取到IP地址，但是在三層網(wǎng)

6

湖南商務(wù)職業(yè)技術(shù)學(xué)院畢業(yè)設(shè)計

絡(luò)下，就是通過中繼代理以單播的形式查找路由進行尋址轉(zhuǎn)發(fā)，直到在網(wǎng)絡(luò)中

找到DHCPServer服務(wù)器，利用DHCP服務(wù)器來幫助和減少管理員以及員工的

工作量。采用集中式的IP地址分配方式，來實現(xiàn)一個服務(wù)器管理局域網(wǎng)之中所

有的主機上網(wǎng)IP地址的需求，同時利用這種方式也可以使得IP地址在全公司

內(nèi)部都是唯一的、有效的。

DHCP技術(shù)在核心交換機上面進行實現(xiàn)，同時HX-SW1設(shè)備作為主DHCP，

HX-SW2做備份DHCP，為網(wǎng)絡(luò)提供一定的冗余性，保障網(wǎng)絡(luò)的流通性。

4.6OSPF技術(shù)

OSPF(OpenShortestPathFirst)，開放式最短路徑優(yōu)先，由IETF定

義的一種基于狀態(tài)的內(nèi)部網(wǎng)關(guān)路由協(xié)議，具有無環(huán)路、收斂快、支持認證、擴

展性好等特點。OSPF是一種基于鏈路狀態(tài)的路由協(xié)議，OSPF支持區(qū)域的劃分，

區(qū)域內(nèi)部的路由器使用SPF最短路徑算法保證了區(qū)域內(nèi)部的無環(huán)路，OSPF還利

用區(qū)域間的連接規(guī)則保證了區(qū)域之間無路由環(huán)路。OSPF可以解決網(wǎng)絡(luò)擴容帶來

的問題。當(dāng)網(wǎng)絡(luò)上路由器越來越多，路由信息流量急劇增長的時候，OSPF可以

將每個自治系統(tǒng)劃分為多個區(qū)域，并限制每個區(qū)域的范圍。OSPF還提供認證功

能，當(dāng)?shù)谌絾挝挥新酚善骰ヂ?lián)，就可以不用他們之間建立鄰居關(guān)系，從而防

止了非法的建立OSPF鄰居關(guān)系，進行非法路由的發(fā)布，保證網(wǎng)路的安全。

OSPF的收斂過程由鏈路狀態(tài)公告，LSA泛洪開始，LSA中包含了路由器已知

的接口IP地址、掩碼、開銷和網(wǎng)絡(luò)類型等信息。收到LSA的路由器都可以根據(jù)

LSA供的信息建立自己的鏈路狀態(tài)數(shù)據(jù)庫LSDB(LinkStateDatabase)，

并在LSDB的基礎(chǔ)上使用SPF算法進行運算，建立起到達每個網(wǎng)絡(luò)的最短路徑樹。

最后，通過最短路徑樹得出到達目的網(wǎng)絡(luò)的最優(yōu)路由，并將其加入到IP路由表

中。

4.7NAT技術(shù)

NAT網(wǎng)絡(luò)地址轉(zhuǎn)換技術(shù)，其功能是將私網(wǎng)地址映射到公網(wǎng)上去，因為公網(wǎng)是

一個大網(wǎng)絡(luò)，沒有私網(wǎng)路由指引無法到達目的地，同時私網(wǎng)地址在不同的局域

網(wǎng)中能被重復(fù)使用，因此就算公網(wǎng)有去私網(wǎng)的路由，也可能因為有多個相同的

私網(wǎng)路由導(dǎo)致無法到達目的地，同時NAT還具備將私網(wǎng)的某些服務(wù)映射到公網(wǎng)，

確保其他用戶通過公網(wǎng)能夠訪問服務(wù)資源，NAT技術(shù)也可以用于私網(wǎng)中，通過地

址轉(zhuǎn)換對私網(wǎng)服務(wù)或數(shù)據(jù)進行地址偽裝可以增加網(wǎng)絡(luò)環(huán)境的安全。

NAT技術(shù)在防火墻進行實現(xiàn)，采用easy-ip的方法進行網(wǎng)絡(luò)地址轉(zhuǎn)換。

7

湖南商務(wù)職業(yè)技術(shù)學(xué)院畢業(yè)設(shè)計

4.8IPsecVPN

IPsec（InternetProtocolSecurity）是一直種實現(xiàn)vpn的技術(shù)之一，

為IP網(wǎng)絡(luò)提供安全和加密。（由于IP報文本身沒有集成任何的安全特性，IP

數(shù)據(jù)包在公用的Internet網(wǎng)絡(luò)中可能面臨被[偽造]、[竊取]、[篡改]的風(fēng)險）

通信雙方通過IPsec建立一條IPsec隧道，IP數(shù)據(jù)包通過IPsec隧道進

行加密傳輸，有效保證了數(shù)據(jù)在不安全的網(wǎng)絡(luò)環(huán)境如Internet中傳輸?shù)陌踩浴?/p>

兩個異地局域網(wǎng)需要進行通訊，因為是局域網(wǎng)內(nèi)網(wǎng)IP地址不能通過

INTERNET公網(wǎng)進行安全通訊。只有通過IPSec包封裝技術(shù)，利用Internet公網(wǎng)

IP地址,封裝內(nèi)部私網(wǎng)的IP數(shù)據(jù)，實現(xiàn)異地網(wǎng)絡(luò)的互通:總部私網(wǎng)IP發(fā)信給分

部私網(wǎng)IP地址，總部局域網(wǎng)IP數(shù)據(jù)經(jīng)總部私網(wǎng)IP地址傳至出口處總部

IPSecVPN網(wǎng)關(guān)進行加密封裝，通過INTERNET公網(wǎng)傳送至分部IPSecVPN網(wǎng)

關(guān)進行解密拆封裝后，交給分部局域網(wǎng)私網(wǎng)IP地址。相反分部私網(wǎng)IP地址回

信給總部私網(wǎng)IP也是一樣過程，這樣就實現(xiàn)異地局域網(wǎng)對局域網(wǎng)的通訊。

IPsecVPN技術(shù)在總部的防火墻和分部的路由器上實現(xiàn)。

5網(wǎng)絡(luò)設(shè)備選型

5.1核心交換機

S7700系列是華為公司面向下一代企業(yè)網(wǎng)絡(luò)架構(gòu)而推出的新一代高端智能

路由交換機，廣泛應(yīng)用于園區(qū)網(wǎng)絡(luò)、數(shù)據(jù)中心核心/匯聚節(jié)點，可對無線、話音、

視頻和數(shù)據(jù)融合網(wǎng)絡(luò)進行先進的控制，幫助企業(yè)構(gòu)建交換路由一體化的端到端

融合網(wǎng)絡(luò)。

S7703交換機基于華為公司智能多層交換的技術(shù)理念，在提供穩(wěn)定、可靠、

安全的高性能L2~L4層交換服務(wù)基礎(chǔ)上，進一步提供MPLSVPN、業(yè)務(wù)流分析、

完善的HQoS策略、可控組播、資源負載均衡、一體化安全等智能業(yè)務(wù)優(yōu)化手段，

同時具備超強擴展性和可靠性。

圖2核心交換機S7703

8

湖南商務(wù)職業(yè)技術(shù)學(xué)院畢業(yè)設(shè)計

表5核心交換機S7703規(guī)格

功能核心交換機S7703

交換容量38.4/168Tbps

包轉(zhuǎn)發(fā)率7200/36000Mpps

槽位主控板槽位:2

交換網(wǎng)槽位:內(nèi)置

業(yè)務(wù)槽位:3

WLAN基本業(yè)務(wù)支持Mesh組網(wǎng)

支持隨板AC間N+N冷備

支持集群方式隨板AC熱備

支持WLAN終端定位

支持2.4G&5G負載均衡

支持5G優(yōu)先模式

WLANQoS支持用戶無線優(yōu)先級到有線優(yōu)先級的映射

支持用戶無線優(yōu)先級到CAPWAP隧道優(yōu)先級的映射

支持基于用戶的空口上下行流量限速

支持基于SSID的CAR功能

支持WLAN用戶CAR功能

VLAN支持4K個VLAN

支持Access、Trunk、Hybrid方式

支持LNP鏈路類型自協(xié)商

支持defaultVLAN支持VLAN交換

支持基于MAC的動態(tài)VLAN分配

IP路由支持RIP、OSPF、ISIS、BGP等IPv4動態(tài)路由協(xié)議

支持RIPng、OSPFv3、ISISv6、BGP4+等IPv6動態(tài)路由協(xié)議

可靠性支持LACP、支持跨設(shè)備E-Trunk

支持VRRP、BFDforVRRP

支持BFDforBGP/IS-IS/OSPF/靜態(tài)路由

用戶管理支持統(tǒng)一用戶管理

支持PPPoE、802.1X、MAC、Portal認證方式

支持基于流量和時長計費方式

配置與維護支持敏捷零配置部署

支持Console、Telnet、SSH等終端服務(wù)

支持SNMPv1/v2c/v3等網(wǎng)絡(luò)管理協(xié)議

支持通過FTP、TFTP方式上載、下載文件

支持用戶操作日志

5.2接入層

CloudEngineS5731-H48HB4XZ是華為公司推出的新一代光電混合以太網(wǎng)

交換機，基于華為公司統(tǒng)一的VRP（VersatileRoutingPlatform）軟件平臺，

具備有線無線深度融合能力，支持隨板AC，最多可管理1KAP；具備業(yè)務(wù)隨行能

9

湖南商務(wù)職業(yè)技術(shù)學(xué)院畢業(yè)設(shè)計

力，提供一致的用戶體驗；具備VXLAN能力，支持網(wǎng)絡(luò)虛擬化功能，滿足園區(qū)

網(wǎng)絡(luò)一網(wǎng)多用的需求；支持創(chuàng)新光電協(xié)同技術(shù)，光口電口合一，可作為中心交

換機為遠端模塊（RU）提供超300米超遠距60WPoE++供電；此外，該系列

交換機內(nèi)置安全探針，支持異常流量檢測、加密流量的威脅分析，以及全網(wǎng)威

脅誘捕等功能，是大中型高端品質(zhì)園區(qū)網(wǎng)分支、小型園區(qū)網(wǎng)核心以及數(shù)據(jù)中心

接入層的最佳選擇。

圖3接入層交換機S5731-H48HB4XZ

表6接入層交換機S5731-H48HB4XZ規(guī)格

功能S5731-H48HB4XZ

包轉(zhuǎn)發(fā)率516Mpps

交換容量1.28/12.8Tbps

VLAN特性支持4K個VLAN

支持基于MAC/協(xié)議/IP子網(wǎng)/策略/端口的

VLAN

支持VLANMapping功能

IP路由靜態(tài)路由、RIPV1/2、RIPng、OSPF、

OSPFv3、IS-IS、IS-ISv6、BGP、BGP4+、

ECMP、路由策略

IPv6特性支持Ipv6Ping、Ipv6Tracert、Ipv6Telnet

支持基于源Ipv6地址、目的Ipv6地址、四

層端口、協(xié)議類型等ACL

支持子接口配置IPv6地址，支持VRRP6、

DHCPv6、L3VPN等

安全特性用戶分級管理和口令保護

支持防止DOS、ARP攻擊功能、ICMP防攻擊

支持IP、MAC、端口、VLAN的組合綁定

支持IEEE802.1X認證，支持AAA認證

支持NAC功能支持SSHV2.0

支持HTTPS

可靠性支持LACP

支持E-Trunk

支持BFDforBGP/IS-IS/OSPF/靜態(tài)路由等

5.3路由器

NetEngine40E-X3A路由器是華為公司推出的高端網(wǎng)絡(luò)產(chǎn)品，主要應(yīng)用在IP

10

湖南商務(wù)職業(yè)技術(shù)學(xué)院畢業(yè)設(shè)計

骨干網(wǎng)、IP城域網(wǎng)以及其他各種大型IP網(wǎng)絡(luò)的邊緣位置。

40E-X3A路由器采用可編程的NP轉(zhuǎn)發(fā)機制，基于CLOS分布式多級交換架

構(gòu)，采用分布式的硬件轉(zhuǎn)發(fā)和無阻塞交換技術(shù)，具有良好的線速轉(zhuǎn)發(fā)性能，優(yōu)

異的擴展能力，完善的QoS機制和強大的業(yè)務(wù)處理能力。NE40E基于業(yè)界領(lǐng)先

的2T平臺，每個槽位提供2T路由線卡，兼容現(xiàn)網(wǎng)線卡，最大限度保護客戶的

投資。

圖4路由器NE40E-X3A

表7路由器NE40E-X3A規(guī)格

功能NE40E-X3A

交換容量120.03Tbps

轉(zhuǎn)發(fā)性能11700Mpps

接口類型100GE

50GE

40GE

25GE

10GELAN/WAN

IPv4支持靜態(tài)路由、RIP、OSPF、IS-IS、BGP-4等路由協(xié)議，所有端

口在路由振蕩等復(fù)雜路由環(huán)境下線速轉(zhuǎn)發(fā)

二層特性支持IEEE802.1q、IEEE802.1p、IEEE802.3ad和IEEE802.1ab

支持STP、RSTP、MSTP和VLAN

支持EVC和VXLAN

QoS完善的HQoS機制，每線路板可提供先進調(diào)度和擁塞避免技術(shù)

提供精確的流量監(jiān)管和流量整形功能

提供定義復(fù)雜規(guī)則的功能，支持流細粒度鑒別，以及支持MPLS

HQoS，全面保證MPLSVPN、VLL和PWE3的QoS調(diào)度

11

湖南商務(wù)職業(yè)技術(shù)學(xué)院畢業(yè)設(shè)計

安全支持ACL報文過濾、支持DHCPSnooping、支持防ARP攻擊、防DOS

攻擊、支持MAC地址限制、MAC與IP綁定、支持SSH、SSHv2

可靠性提供IP/LDP/VPN/TE/VLL快速重路由，支持IP/TE自動重路由技

術(shù)IGP／BGP/組播路由快速收斂、虛擬路由冗余協(xié)議（VRRP）、

快速環(huán)網(wǎng)保護協(xié)議（RRPP）、IPTRUNK鏈路分擔(dān)備份技術(shù)

支持PWredundancy、E-Trunk、E-APS、E-STP

支持硬件BFD鏈路3.3ms快速檢測、MPLS/EthernetOAM、

Y.1731、路由協(xié)議／端口/VLANDamping等保護機制

路由處理模塊、交換網(wǎng)、電源等關(guān)鍵部件冗余備份，整機沒有單

點故障

5.4防火墻

華為USG6712E系列AI防火墻，在提供NGFW能力的基礎(chǔ)上，聯(lián)動其他安全

設(shè)備，主動防御網(wǎng)絡(luò)威脅，增強邊界檢測能力，有效防御高級威脅，同時解決

性能下降問題。NP引擎提供快速轉(zhuǎn)發(fā)能力，防火墻性能顯著提升。

圖5防火墻USG6712E示意圖

表8防火墻USG6712E規(guī)格

功能USG6712E

路由特性全面支持IPV4/IPV6下的多種路由協(xié)議，如RIP、OSPF、BGP、IS-IS、

RIPng、OSPFv3、BGP4+、IPv6IS-IS等。

一體化防護集傳統(tǒng)防火墻、VPN、入侵防御、防病毒、數(shù)據(jù)防泄漏、帶寬管理、

Anti-DDoS、URL過濾、反垃圾郵件等多種功能于一身，全局配置視圖和一

體化策略管理。

應(yīng)用識別與管可識別6000+應(yīng)用，訪問控制精度到應(yīng)用功能。應(yīng)用識別與入侵檢測、防

控病毒、內(nèi)容過濾相結(jié)合，提高檢測性能和準(zhǔn)確率。

入侵防御與第一時間獲取最新威脅信息，準(zhǔn)確檢測并防御針對漏洞的攻擊?？煞雷o各

Web防護種針對web的攻擊，包括SQL注入攻擊和跨站腳本攻擊等。

數(shù)據(jù)防泄漏對傳輸?shù)奈募蛢?nèi)容進行識別過濾，可準(zhǔn)確識別常見文件的真實類型，如

Word、Excel、PPT、PDF等，并對內(nèi)容進行過濾。

12

湖南商務(wù)職業(yè)技術(shù)學(xué)院畢業(yè)設(shè)計

Anti-DDoS支持DDoS攻擊防護，防范SYNflood、UDPflood等10+種常見DDoS攻擊。

6網(wǎng)絡(luò)設(shè)備配置

6.1交換機配置

6.1.1VRRP配置

vlanbatch101102103104105

#創(chuàng)建vlan101、vlan102、vlan103、vlan104、vlan105

[SW1]interfaceGigabitEthernet0/0/1

#進入上行接口

[SW1]portlink-typetrunk

#配置上行接口為trunk類型

[SW1]porttrunkallow-passvlan101102103

#放行vlan101-103通過

[SW1]interfaceGigabitEthernet0/0/3

#進入上行接口

[SW1]portlink-typetrunk

#配置上行接口為trunk類型

[SW1]porttrunkallow-passvlan104105

#放行vlan104-105通過

[SW1]interfacevlan101

#進入vlan101接口

[SW1]ipaddress24

#配置vlan101接口IP地址

[SW1]vrrpvrid1virtual-ip54

#創(chuàng)建VRRP備份組1和虛擬IP地址

[SW1]vrrpvrid1priority101

#配置VRRP備份組1的優(yōu)先級為101

[SW1]vrrpvrid1trackinterfaceGigabitEthernet0/0/1reduced2

#配置監(jiān)視接口

[SW2]interfaceGigabitEthernet0/0/1

#進入上行接口

[SW2]portlink-typetrunk

13

湖南商務(wù)職業(yè)技術(shù)學(xué)院畢業(yè)設(shè)計

#配置上行接口為trunk類型

[SW2]porttrunkallow-passvlan101102103

#放行vlan101-103通過

[SW2]interfaceGigabitEthernet0/0/2

#進入上行接口

[SW2]portlink-typetrunk

#配置上行接口為trunk類型

[SW2]porttrunkallow-passvlan104105

#放行vlan104-105通過

[SW2]interfacevlan101

#進入vlan101接口

[SW2]ipaddress24

#配置vlan101接口IP地址

[SW2]vrrpvrid1virtual-ip53

#創(chuàng)建VRRP備份組1和虛擬IP地址

6.1.2鏈路聚合配置

interfaceEth-Trunk1

#創(chuàng)建聚合接口1，并進入

portlink-typetrunk

#配置聚合口配置為trunk類型

porttrunkallow-passvlanall

#放行所有vlan

modelacp-static

#配置聚合模式為LACP模式

trunkportg0/0/23

trunkportg0/0/24

#將相應(yīng)的物理接口加入到聚合口

6.1.3MSTP配置

stpmodemstp

#開啟stp，并設(shè)置為mstp模式

stpregion-configuration

#進入域設(shè)置

14

湖南商務(wù)職業(yè)技術(shù)學(xué)院畢業(yè)設(shè)計

instance1vlan101102103

instance2vlan104105

#配置實例映射

activeregion-configuration

#激活域配置

q

[SW1]stpinstance1rootprimary

[SW1]stpinstance2rootsecondary

#配置SW1為實例1為主根，實例2為備份根

[SW2]stpinstance1rootsecondary

[SW2]stpinstance2rootprimary

#配置SW2為實例2為主根，實例1為備份根

6.1.4DHCP配置

[SW1]dhcpenable

#開啟DHCP

[SW1]ippooldongshihui

#創(chuàng)建地址池

[SW1]gateway-list

#指定地址池網(wǎng)關(guān)

[SW1]networkmask24

#指定地址池的網(wǎng)段

[SW1]excluded-ip-address5054

#排除地址

[SW1]interfacevlan101

#進入vlan101虛接口

[SW1]dhcpselectglobal

#使DHCP生效

[SW2]dhcpenable

#開啟DHCP

[SW2]ippooldongshihui

#創(chuàng)建地址池

[SW2]gateway-list

15

湖南商務(wù)職業(yè)技術(shù)學(xué)院畢業(yè)設(shè)計

#指定地址池網(wǎng)關(guān)

[SW2]networkmask24

#指定地址池的網(wǎng)段

[SW2]excluded-ip-address5054

#排除地址

[SW2]interfacevlan101

#進入vlan101虛接口

[SW2]dhcpselectglobal

#使DHCP生效

[AR2]vlanbatch113114115

#創(chuàng)建vlan113-115

[AR2]interfaceGigabitEthernet0/0/0

#進入g0/0/0接口

[AR2]ipaddress24

#配置IP地址

[AR2]interfaceGigabitEthernet/0/1.1

#進入g0/0/1.1子接口

[AR2]ipaddress5424

#配置IP地址

[AR2]dot1qtermintionvid113

#配置子接口dot1q封裝vlan

[AR2]arpbroadcastenable

#使能ARP廣播功能

[AR2]interfaceGigabitEthernet0/0/1.2

#進入g0/0/1.2子接口

[AR2]ipaddress5424

#配置IP地址

[AR2]dot1qtermintionvid114

#配置子接口dot1q封裝vlan

[AR2]arpbroadcastenable

#使能ARP廣播功能

[AR2]interfaceGigabitEthernet0/0/1.3

#進入g0/0/1.3子接口

16

湖南商務(wù)職業(yè)技術(shù)學(xué)院畢業(yè)設(shè)計

[AR2]dot1qterminationvid115

#配置子接口dot1q封裝vlan

[AR2]ipaddress54

#配置IP地址

[AR2]arpbroadcastenable

#使能ARP廣播功能

[AR2]ippoolsc

#建立地址池

[AR2]gateway-list54

#指定地址池網(wǎng)關(guān)

[AR2]networkmask

#指定地址池網(wǎng)段

[AR2]interfaceGigabitEthernet0/0/1.1

#進入子接口

[AR2]dhcpselectglobal

##使DHCP生效

[AR2]interfaceGigabitEthernet0/0/1.2

#進入子接口

[AR2]dhcpselectglobal

#使DHCP生效

[AR2]interfaceGigabitEthernet0/0/1.3

#進入子接口

[AR2]dhcpselectglobal

#使DHCP生效

6.2路由器配置

6.2.1IP路由配置

[SW1]interfaacevlan101

#進入接口

[SW1]ipaddress24

#配置IP地址

[SW1]interfacevlan102

17

湖南商務(wù)職業(yè)技術(shù)學(xué)院畢業(yè)設(shè)計

[SW1]ipaddress24

[SW1]interfacevlan103

[SW1]ipaddress24

[SW1]interfacevlan104

[SW1]ipaddress24

[SW1]interfacevlan105

[SW1]ipaddress24

[SW1]interfacevlan90

[SW1]ipaddress24

[SW1]ospfrouter-id

#配置ospf進程，并配置router-id為

[SW1]area10

#進入?yún)^(qū)域10

[SW1]network

#ospf宣告，采用32位精準(zhǔn)宣告

[SW1]network

[SW1]network

[SW1]network

[SW1]network

[SW1]network

[SW2]interfacevlan101

#進入vlan101虛接口

[SW2]ipaddress24

#配置IP地址

[SW2]intvlan102

[SW2]ipaddress24

[SW2]interfacevlan103

[SW2]ipaddress24

[SW2]interfacevlan104

[SW2]ipaddress24

[SW2]interfacevlan105

[SW2]ipaddress24

[SW2]interfacevlan80

18

湖南商務(wù)職業(yè)技術(shù)學(xué)院畢業(yè)設(shè)計

[SW2]ipaddress24

[SW2]ospfrouter-id

#配置ospf進程，并配置router-id為

[SW2]area10

#進入?yún)^(qū)域10

[SW2]network

#ospf宣告，采用32位精準(zhǔn)宣告

[SW2]network

[SW2]network

[SW2]network

[SW2]network

[SW2]network

[AR2]intg0/0/0

[AR2]ipaddress24

[AR2]ospfrouter-id

#配置ospf進程，并配置router-id為

[AR2]area10

#進入?yún)^(qū)域10

[AR2]network54

#ospf宣告，采用32位精準(zhǔn)宣告

[AR2]network54

[AR2]network54

[AR3]ospfrouter-id

#配置ospf進程，并配置router-id為

[AR3]area10

#進入?yún)^(qū)域10

[AR3]network

#ospf宣告，采用32位精準(zhǔn)宣告

[AR3]network54

[AR3]network54

6.3防火墻配置

[FW1]interfaceGigabitEthernet1/0/1

19

湖南商務(wù)職業(yè)技術(shù)學(xué)院畢業(yè)設(shè)計

#進入接口g1/0/1

[FW1]ipaddress

#配置IP地址

[FW1]service-manageallpermit

#允許所有服務(wù)流量通過

[FW1]ipsecpolicyp11isakmptemplatep2

[FW1]interfaceGigabitEthernet1/0/2

[FW1]ipaddress

[FW1]service-manageallpermit

[FW1]interfaceGigabitEthernet1/0/4

[FW1]ipaddress52

[FW1]service-manageallpermit

[FW1]firewallzonetrust

#進入信任域

[FW1]addinterfaceGigabitEthernet1/0/1

#將g1/0/1加入信任域

[FW1]addinterfaceGigabitEthernet1/0/2

[FW1]firewallzoneuntrust

#進入非信任域

[FW1]addinterfaceGigabitEthernet1/0/4

#將g1/0/4加入非信任域

[FW1]firewallzonedmz

#進入DMZ區(qū)域

[FW1]addinterfaceGigabitEthernet1/0/0

#將g1/0/0加入DMZ區(qū)域

[FW1]ospfrouter-id

#配置ospf進程，并配置router-id為

[FW1]area10

#進入?yún)^(qū)域10

[FW1]network

#ospf宣告，采用32位精準(zhǔn)宣告

[FW1]network

[FW1]network

20

湖南商務(wù)職業(yè)技術(shù)學(xué)院畢業(yè)設(shè)計

[FW1]network

[FW1]iproute-static

#配置一條缺省路由，下一跳指向外網(wǎng)

[FW1]nat-policy

#配置nat安全策略

[FW1]rulenameeasy-ip

#創(chuàng)建訪問規(guī)則

[FW1]source-zonetrust

#配置源區(qū)域為trust區(qū)域

[FW1]source-addressmask

#配置安全策略的源地址

[FW1]serviceicmp

#配置服務(wù)為icmp

[FW1]actionsource-nateasy-ip

#配置執(zhí)行動作為允許通過

[FW1]security-policy

#配置安全策略

[FW1]rulenamelocal_any

#配置規(guī)則名字

[FW1]source-zonelocal

#配置安全策略源安全區(qū)域

[FW1]actionpermit

#配置執(zhí)行服務(wù)為允許

[FW1]rulenametrust_untrust

#配置規(guī)則名字

[FW1]source-zonetrust

#配置安全策略源安全區(qū)域

[FW1]destination-zoneuntrust

#配置安全策略目的安全區(qū)域

[FW1]actionpermit

#配置執(zhí)行服務(wù)為允許

[FW1]rulenametrust_dmz

#配置規(guī)則名字

21

湖南商務(wù)職業(yè)技術(shù)學(xué)院畢業(yè)設(shè)計

[FW1]source-zonetrust

#配置安全策略源安全區(qū)域

[FW1]destination-zonedmz

#配置安全策略目的安全區(qū)域

[FW1]actionpermit

#配置執(zhí)行服務(wù)為允許

[FW1]rulenameuntrust_dmz

#配置規(guī)則名字

[FW1]source-zoneuntrust

#配置