米哈游網絡科技公司網絡規(guī)劃設計

湖南商務職業(yè)技術學院畢業(yè)設計

目錄

1項目背景........................................................1

2公司簡介和要求..................................................1

2.1公司簡介...................................................1

3網絡設計........................................................2

3.1網絡拓撲結構與規(guī)劃.........................................2

3.2VLAN與IP地址規(guī)劃與設計...................................4

4網絡技術選用....................................................5

4.1VRRP.......................................................5

4.2MSTP.......................................................5

4.3鏈路聚合技術（Link-aggregation）...........................6

4.4VLAN.......................................................6

4.5動態(tài)地址分配協(xié)議（DHCP）...................................6

4.6OSPF技術..................................................7

4.7NAT技術...................................................7

4.8IPsecVPN..................................................8

5網絡設備選型....................................................8

5.1核心交換機.................................................8

5.2接入層.....................................................9

5.3路由器....................................................11

5.4防火墻....................................................12

6網絡設備配置...................................................13

6.1交換機配置................................................13

6.1.1VRRP配置............................................13

6.1.2鏈路聚合配置........................................14

6.1.3MSTP配置............................................14

6.1.4DHCP配置............................................15

6.2路由器配置................................................17

I

湖南商務職業(yè)技術學院畢業(yè)設計

6.2.1IP路由配置..........................................17

6.3防火墻配置................................................20

7網絡測試.......................................................23

8設計小結.......................................................25

參考資料..........................................................26

II

湖南商務職業(yè)技術學院畢業(yè)設計

米哈游網絡科技公司網絡規(guī)劃設計

1項目背景

隨著社會的發(fā)展進步，經濟全球化進程不斷加快，互聯(lián)網技術和經濟社會

的發(fā)展相互促進，互聯(lián)網技術為人們的生產、生活、工作提供了前所未有的便

利。作為傳統(tǒng)行業(yè)的服務行業(yè)，我們經常可以看到顧客在實體店購物后，通過

互聯(lián)網預約商品或者網上下單，到貨后可以選擇就近快遞公司送達或者選擇就

近店鋪上門取貨。如今移動終端支付手段日益成熟，生活和工作方式都在發(fā)生

著巨大的變化。與此同時信息技術也伴隨著社會生活不斷創(chuàng)新發(fā)展著，我們生

活和工作也發(fā)生著巨大變化

隨著互聯(lián)網時代的來臨，我們的生活和工作方式都在發(fā)生著翻天覆地的變

化，也帶來了許多深刻而重大的變革。對于傳統(tǒng)行業(yè)而言，其發(fā)展已經面臨著

各種問題等待解決，諸如效率低、成本高、服務差等等。在互聯(lián)網技術迅猛發(fā)

展的時代背景下，如何將這些負面因素通過互聯(lián)網手段進行有效解決已經成為

企業(yè)轉型變革中必不可少的一一環(huán)。

互聯(lián)網經過了幾十年的發(fā)展，以前的互聯(lián)網都是低速和昂貴的,不過在我們

的時代，資費不斷的降低，而速度卻是成倍的增加。普通家庭也能夠負擔得起

網絡的資費。很多的企業(yè)都開始逐漸的去構建屬于自己的企業(yè)網絡，利用互聯(lián)

網的優(yōu)勢來提升自己企業(yè)的競爭力，同時也可以通過在互聯(lián)網之中尋找新的消

費點來增強公司的創(chuàng)新能力,公司構建一個自己的企業(yè)局域網和屬于自己的公

司網站都是一個企業(yè)發(fā)展必不可少的，利用網絡為基礎，在公司局域網之中開

闊更多新的業(yè)務。公司網絡是一個公司最為核心的模塊，只有網絡是穩(wěn)定和可

靠的才能保證公司的業(yè)務可以穩(wěn)定安全的運行。網絡無論何時都是一個企業(yè)必

不可少的基石。

2公司簡介和要求

2.1公司簡介

米哈游科技網絡公司（簡稱米哈游），位于上海，成立于2014年7月。公

司經營范圍包括從事網絡技術、計算機技術、通訊技術、電子技術領域的技術

開發(fā)。米哈游秉承著“技術宅拯救世界”的使命，始終致力于技術研發(fā)、探索

前沿科技，在卡通渲染、人工智能、云游戲技術等領域積累了領先的技術能力。

1

湖南商務職業(yè)技術學院畢業(yè)設計

米哈游潛心專研云游戲多年，先后打造“崩壞系列”、“原神”等諸多云游。

其中原神在2020年的春節(jié)上線的PV《神女劈觀》更是傳播這中國傳統(tǒng)文化

——京劇，響徹全世界。

米哈游從起始之初的十幾人發(fā)展至三百多名員工，歐美地區(qū)、日本、韓國

均有米哈游公司設置的分公司。

米哈游公司分為董事會、技術部門、市場部門、客服部門、以及財務部門，

其中技術部門有設計組、美工組、測試組、安全組，市場部門有策劃組、宣傳

組、以及人事組，財務部門有財務組。

分公司則有市場部門中的宣傳組，及后勤部門。

米哈游公司網絡建設需要遵循的性能原則：

（1）可增值性

米哈游的網絡的建設、使用和維護需要投入大量的人力、物力，因此網絡

的增值性是網絡持續(xù)發(fā)展基礎。所以在建設時要充分考慮業(yè)務的擴展能力，能

針對不同的用戶需求提供豐富的寬帶增值業(yè)務，使網絡具有自我造血機制，實

現(xiàn)以網養(yǎng)網。

（2）可擴充性

考慮到米哈游用戶數(shù)量和業(yè)務種類發(fā)展的不確定性，要求對于核心交換機

與匯聚交換機具有強大的擴展功能，米哈游的網絡要建設成完整統(tǒng)一、組網靈

活、易擴充的彈性網絡平臺，能夠隨著需求變化，充分留有擴充余地。

（3）安全可靠性

設計應充分考慮整個網絡的穩(wěn)定性，支持網絡節(jié)點的備份和線路保護，提

供網絡安全防范措施。

3網絡設計

3.1網絡拓撲結構與規(guī)劃

米哈游公司網絡結構拓撲如下：

2

湖南商務職業(yè)技術學院畢業(yè)設計

圖1網絡拓撲圖

網絡結構分析：

核心設備：交換方案采用了2臺1000Mbps傳輸速率的核心交換機S7703

高性能轉發(fā)設備，全分布式轉發(fā)體系結構，提供高密度接口板，并全部支持線

速轉發(fā)。設備基于逐包轉發(fā)的機制，提高網絡安全性及可靠性高。

所有的核心交換機均配置了冗余電源、冗余引擎。

接入層設備：采用了具有百兆互聯(lián)擴展能力的智能堆疊交換機

S5731-H48HB4XZ，根據(jù)用戶的信息點數(shù)按照布線間的設置情況，每布線間進行

星型匯聚后，采用雙百兆鏈路捆綁上聯(lián)至樓層匯聚設備。建議每機房中通過兩

對百兆光纖捆綁連入?yún)R聚設備，提高帶寬，降低單纖故障帶來的影響。

網絡整體設計中，采用層次化、模塊化的網絡設計結構，并嚴格定義各層

功能模型，不同層次關注不同的特性配置。

網絡結構可以分成二層：接入層、核心層。

1)接入層：對于米哈游公司網絡的接入層設備，采用百兆二層接入的方式，

具有線速交換、智能堆疊技術以及高級QoS策略等功能。

3

湖南商務職業(yè)技術學院畢業(yè)設計

2)核心層：網絡的骨干，必須能夠提供高速數(shù)據(jù)交換和路由快速收斂，要

求具有較高的可靠性、穩(wěn)定性和易擴展性等。對于米哈游公司核心層，必須提

供高性能、高可靠的網絡結構，推薦采用高可靠的星型結構。對于米哈游公司

核心層設備，應該在提供大容量、高性能L2/L3/L4交換服務基礎上，能夠進一

步融合、網絡安全、網絡業(yè)務分析等智能特性，可為網絡構建融合業(yè)務的基礎

網絡平臺，進而幫助用戶實現(xiàn)IT資源整合的需求。

運用華為USG6712EAI下一代防火墻進行用戶的行為管理，分割信任區(qū)域、

非信任區(qū)域、以及DMZ區(qū)域。抵御外部網絡的惡意的攻擊。

3.2VLAN與IP地址規(guī)劃與設計

VLAN的IP劃分如下表1、表2所示：

表1總部部門VLANIP地址規(guī)劃

部門VLANIP地址范圍網關VLAN命名

董事會VLAN101/2454dongshihui

技術部門VLAN102/2454jishubu

市場部門VLAN103/2454shichangbu

客服部門VLAN104/2454kefubu

財務部門VLAN105/2454caiwubu

表2分部部門VLANIP地址規(guī)劃

部門VLANIP地址范圍網關VLAN命名

市場部VLAN113/2454sc

客服部VLAN114/2454kf

財務部VLAN115/2454cw

表3防火墻與個設備的互聯(lián)

HX-SW1HX-SW2外網AR1分部AR2DMZAR3

防火墻

/24/24/30/24/24

表4服務器IP地址規(guī)劃

名稱IP地址子網掩碼網關IP

WEB服務器0054

FTP服務器0054

4

湖南商務職業(yè)技術學院畢業(yè)設計

4網絡技術選用

4.1VRRP

確保網絡可靠穩(wěn)定地運行，解決網關交換機（路由器）設備單點失效，互

備設備之間動態(tài)熱切換以及網絡系統(tǒng)共享同一缺省網關等問題，提出了VRRP的

解決方案。該技術的工作原理主要是將互備路由設備配置在一個VRRP協(xié)議組中，

并指定一個虛擬的IP地址作為網絡系統(tǒng)的缺省網關地址。同時根據(jù)優(yōu)先級方

案決定將優(yōu)先級最高的路由器設備定義為默認主動路由器，協(xié)議組中的其它路

由器則為備份路由器。此時，協(xié)議組將虛擬缺省網關IP地址指向主動路由設備，

主動路由設備即成為網絡系統(tǒng)中的缺省網關設備。VRRP協(xié)議技術使用主播、基

于UDP的呼叫信號包（HELLO包）來實現(xiàn)同一個組內互備路由器之間的通信，即

協(xié)議組中的主、備路由器之間定期向對方發(fā)出HELLO包進行端口檢查。當主設

備出現(xiàn)故障時，在規(guī)定的一段時間內不能發(fā)出HELLO包時，VRRP協(xié)議此時將備

用路由設備激活，使其成為網關設備，并將動態(tài)的虛擬網關IP地址指向備用路

由設備，備用路由設備立即承擔起網絡系統(tǒng)中的數(shù)據(jù)轉發(fā)功能。當主路由設備

故障恢復后，VRRP協(xié)議自動將優(yōu)先級高的主路由設備激活，使之成為網絡系統(tǒng)

的網關。VRRP協(xié)議組中的主、備路由器之間的動態(tài)熱切換都是自動完成，而且

不用修改網關地址，網絡系統(tǒng)中的設備指向的缺省網關都是VRRP協(xié)議組中定義

的虛擬網關的IP地址，只不過不同情況下映射的路由器地址不同而已。采用了

VRRP路由協(xié)議技術后，真正做到了網關設備的自動冗余備份，保證了網絡平臺

穩(wěn)定可靠的運行，從而保障業(yè)務系統(tǒng)的正常開展。

VRRP技術在核心交換機進行實現(xiàn),其中HX-SW1擔任董事會、技術部門以及

市場部門的主路由，HX-SW2為備份路由；HX-SW2擔任客服部門和財務部門的主

路由，HX-SW1為備份路由。

4.2MSTP

組網結構的可靠性，主要是通過備份線路的設計，保證任何時刻、任何節(jié)

點之間都有可達的路徑。為了解決冗余鏈路引起的環(huán)路問題，IEEE通過了

IEEE802.1d協(xié)議，即生成樹協(xié)議。

MSTP多域生成樹技術，廣泛用于二層環(huán)境。多域生成樹一般用于非虛擬化

VSU的網絡環(huán)境中，彌補物理拓撲產生環(huán)路的解決措施，同時達到網絡流量的均

衡轉發(fā)，降低單臺設備工作負擔，多域生成樹其實就是基于實例下的多VLAN轉

5

湖南商務職業(yè)技術學院畢業(yè)設計

發(fā)和快速收斂的特性，能夠達到每VLAN每生成樹，通過與三層協(xié)議VRRP首選

多跳冗余協(xié)議工作，能提高網絡冗余和穩(wěn)定性，在其某臺設備故障后能及時切

換鏈路繼續(xù)轉發(fā)數(shù)據(jù)包，網關會自動切換成正常工作的設備。

MSTP技術在核心交換機上進行實現(xiàn)，為網絡實現(xiàn)負載均衡

4.3鏈路聚合技術（Link-aggregation）

鏈路聚合協(xié)議也稱之為端口聚合協(xié)議，該協(xié)議是將設備的物理接口邏輯組

合成一個虛擬接口，同時在此接口下相連的鏈路也被邏輯聚合成一條鏈路；達

到鏈路備份的同時也實現(xiàn)了鏈路帶寬的成倍增長。鏈路聚合，同時也有二層和

三層聚合之分，但工作運行環(huán)境理論是相似的，二層運用在此網絡環(huán)境中的匯

聚設備本身就是大二層網絡環(huán)境，減少三層維護起來的麻煩，Link-aggregation

主要為線路提供冗余，與設備冗余不同，但和生成樹協(xié)議屬于同類型的協(xié)議，

但區(qū)別在于生成樹是切割物理拓撲生成邏輯冗余鏈路，Link-aggregation捆綁

物理拓撲提供邏輯鏈路冗余，增加鏈路帶寬，提高網絡可靠性，即使其中一條

鏈路發(fā)生故障另一條或者多條依然會正常進行轉發(fā)。

Link-aggregation用于核心交換機之間增加帶寬，提供鏈路冗余。

4.4VLAN

使用VLAN技術可以給組網方式更加的靈活簡便，不拘泥與物理連接、設備

型號；這一項技術是所有設備均支持的。VLAN技術可以實現(xiàn)邏輯分割物理區(qū)域，

有效的控制廣播域的范圍，避免了大型廣播域所產生的重大事故；使用VLAN還

可以節(jié)約組網成本，同時還可以靈活劃分網絡結構；且該技術的實現(xiàn)方法簡單。

部署VLAN，可以縮小廣播報文的傳遞區(qū)域，減少設備資源和帶寬的浪費，數(shù)據(jù)

幀到達交換機后會默認生成一個Tag標記，用以識別這是處于哪個VLAN下的

數(shù)據(jù)幀，然后交換機將根據(jù)不同的端口屬性對數(shù)據(jù)包給予不同的處理方式，使

用三種端口屬性規(guī)劃，如接入模式，中繼模式，混合模式。

VLAN用于交換機，無線控制器的廣播域隔離。

4.5動態(tài)地址分配協(xié)議（DHCP）

動態(tài)主機配置協(xié)議（DHCP）是用于為局域網之中的酥油網絡設備部署和IP

地址相關的配置信息的一個協(xié)議，它允許在二層網絡和三層網絡中存在，但其

收發(fā)的報文類型有所不同，在二層網絡下只需要通過廣播報文就可以通過

DHCPServer服務器獲取到OFFER包，從而獲取到IP地址，但是在三層網

6

湖南商務職業(yè)技術學院畢業(yè)設計

絡下，就是通過中繼代理以單播的形式查找路由進行尋址轉發(fā)，直到在網絡中

找到DHCPServer服務器，利用DHCP服務器來幫助和減少管理員以及員工的

工作量。采用集中式的IP地址分配方式，來實現(xiàn)一個服務器管理局域網之中所

有的主機上網IP地址的需求，同時利用這種方式也可以使得IP地址在全公司

內部都是唯一的、有效的。

DHCP技術在核心交換機上面進行實現(xiàn)，同時HX-SW1設備作為主DHCP，

HX-SW2做備份DHCP，為網絡提供一定的冗余性，保障網絡的流通性。

4.6OSPF技術

OSPF(OpenShortestPathFirst)，開放式最短路徑優(yōu)先，由IETF定

義的一種基于狀態(tài)的內部網關路由協(xié)議，具有無環(huán)路、收斂快、支持認證、擴

展性好等特點。OSPF是一種基于鏈路狀態(tài)的路由協(xié)議，OSPF支持區(qū)域的劃分，

區(qū)域內部的路由器使用SPF最短路徑算法保證了區(qū)域內部的無環(huán)路，OSPF還利

用區(qū)域間的連接規(guī)則保證了區(qū)域之間無路由環(huán)路。OSPF可以解決網絡擴容帶來

的問題。當網絡上路由器越來越多，路由信息流量急劇增長的時候，OSPF可以

將每個自治系統(tǒng)劃分為多個區(qū)域，并限制每個區(qū)域的范圍。OSPF還提供認證功

能，當?shù)谌絾挝挥新酚善骰ヂ?lián)，就可以不用他們之間建立鄰居關系，從而防

止了非法的建立OSPF鄰居關系，進行非法路由的發(fā)布，保證網路的安全。

OSPF的收斂過程由鏈路狀態(tài)公告，LSA泛洪開始，LSA中包含了路由器已知

的接口IP地址、掩碼、開銷和網絡類型等信息。收到LSA的路由器都可以根據(jù)

LSA供的信息建立自己的鏈路狀態(tài)數(shù)據(jù)庫LSDB(LinkStateDatabase)，

并在LSDB的基礎上使用SPF算法進行運算，建立起到達每個網絡的最短路徑樹。

最后，通過最短路徑樹得出到達目的網絡的最優(yōu)路由，并將其加入到IP路由表

中。

4.7NAT技術

NAT網絡地址轉換技術，其功能是將私網地址映射到公網上去，因為公網是

一個大網絡，沒有私網路由指引無法到達目的地，同時私網地址在不同的局域

網中能被重復使用，因此就算公網有去私網的路由，也可能因為有多個相同的

私網路由導致無法到達目的地，同時NAT還具備將私網的某些服務映射到公網，

確保其他用戶通過公網能夠訪問服務資源，NAT技術也可以用于私網中，通過地

址轉換對私網服務或數(shù)據(jù)進行地址偽裝可以增加網絡環(huán)境的安全。

NAT技術在防火墻進行實現(xiàn)，采用easy-ip的方法進行網絡地址轉換。

7

湖南商務職業(yè)技術學院畢業(yè)設計

4.8IPsecVPN

IPsec（InternetProtocolSecurity）是一直種實現(xiàn)vpn的技術之一，

為IP網絡提供安全和加密。（由于IP報文本身沒有集成任何的安全特性，IP

數(shù)據(jù)包在公用的Internet網絡中可能面臨被[偽造]、[竊取]、[篡改]的風險）

通信雙方通過IPsec建立一條IPsec隧道，IP數(shù)據(jù)包通過IPsec隧道進

行加密傳輸，有效保證了數(shù)據(jù)在不安全的網絡環(huán)境如Internet中傳輸?shù)陌踩浴?/p>

兩個異地局域網需要進行通訊，因為是局域網內網IP地址不能通過

INTERNET公網進行安全通訊。只有通過IPSec包封裝技術，利用Internet公網

IP地址,封裝內部私網的IP數(shù)據(jù)，實現(xiàn)異地網絡的互通:總部私網IP發(fā)信給分

部私網IP地址，總部局域網IP數(shù)據(jù)經總部私網IP地址傳至出口處總部

IPSecVPN網關進行加密封裝，通過INTERNET公網傳送至分部IPSecVPN網

關進行解密拆封裝后，交給分部局域網私網IP地址。相反分部私網IP地址回

信給總部私網IP也是一樣過程，這樣就實現(xiàn)異地局域網對局域網的通訊。

IPsecVPN技術在總部的防火墻和分部的路由器上實現(xiàn)。

5網絡設備選型

5.1核心交換機

S7700系列是華為公司面向下一代企業(yè)網絡架構而推出的新一代高端智能

路由交換機，廣泛應用于園區(qū)網絡、數(shù)據(jù)中心核心/匯聚節(jié)點，可對無線、話音、

視頻和數(shù)據(jù)融合網絡進行先進的控制，幫助企業(yè)構建交換路由一體化的端到端

融合網絡。

S7703交換機基于華為公司智能多層交換的技術理念，在提供穩(wěn)定、可靠、

安全的高性能L2~L4層交換服務基礎上，進一步提供MPLSVPN、業(yè)務流分析、

完善的HQoS策略、可控組播、資源負載均衡、一體化安全等智能業(yè)務優(yōu)化手段，

同時具備超強擴展性和可靠性。

圖2核心交換機S7703

8

湖南商務職業(yè)技術學院畢業(yè)設計

表5核心交換機S7703規(guī)格

功能核心交換機S7703

交換容量38.4/168Tbps

包轉發(fā)率7200/36000Mpps

槽位主控板槽位:2

交換網槽位:內置

業(yè)務槽位:3

WLAN基本業(yè)務支持Mesh組網

支持隨板AC間N+N冷備

支持集群方式隨板AC熱備

支持WLAN終端定位

支持2.4G&5G負載均衡

支持5G優(yōu)先模式

WLANQoS支持用戶無線優(yōu)先級到有線優(yōu)先級的映射

支持用戶無線優(yōu)先級到CAPWAP隧道優(yōu)先級的映射

支持基于用戶的空口上下行流量限速

支持基于SSID的CAR功能

支持WLAN用戶CAR功能

VLAN支持4K個VLAN

支持Access、Trunk、Hybrid方式

支持LNP鏈路類型自協(xié)商

支持defaultVLAN支持VLAN交換

支持基于MAC的動態(tài)VLAN分配

IP路由支持RIP、OSPF、ISIS、BGP等IPv4動態(tài)路由協(xié)議

支持RIPng、OSPFv3、ISISv6、BGP4+等IPv6動態(tài)路由協(xié)議

可靠性支持LACP、支持跨設備E-Trunk

支持VRRP、BFDforVRRP

支持BFDforBGP/IS-IS/OSPF/靜態(tài)路由

用戶管理支持統(tǒng)一用戶管理

支持PPPoE、802.1X、MAC、Portal認證方式

支持基于流量和時長計費方式

配置與維護支持敏捷零配置部署

支持Console、Telnet、SSH等終端服務

支持SNMPv1/v2c/v3等網絡管理協(xié)議

支持通過FTP、TFTP方式上載、下載文件

支持用戶操作日志

5.2接入層

CloudEngineS5731-H48HB4XZ是華為公司推出的新一代光電混合以太網

交換機，基于華為公司統(tǒng)一的VRP（VersatileRoutingPlatform）軟件平臺，

具備有線無線深度融合能力，支持隨板AC，最多可管理1KAP；具備業(yè)務隨行能

9

湖南商務職業(yè)技術學院畢業(yè)設計

力，提供一致的用戶體驗；具備VXLAN能力，支持網絡虛擬化功能，滿足園區(qū)

網絡一網多用的需求；支持創(chuàng)新光電協(xié)同技術，光口電口合一，可作為中心交

換機為遠端模塊（RU）提供超300米超遠距60WPoE++供電；此外，該系列

交換機內置安全探針，支持異常流量檢測、加密流量的威脅分析，以及全網威

脅誘捕等功能，是大中型高端品質園區(qū)網分支、小型園區(qū)網核心以及數(shù)據(jù)中心

接入層的最佳選擇。

圖3接入層交換機S5731-H48HB4XZ

表6接入層交換機S5731-H48HB4XZ規(guī)格

功能S5731-H48HB4XZ

包轉發(fā)率516Mpps

交換容量1.28/12.8Tbps

VLAN特性支持4K個VLAN

支持基于MAC/協(xié)議/IP子網/策略/端口的

VLAN

支持VLANMapping功能

IP路由靜態(tài)路由、RIPV1/2、RIPng、OSPF、

OSPFv3、IS-IS、IS-ISv6、BGP、BGP4+、

ECMP、路由策略

IPv6特性支持Ipv6Ping、Ipv6Tracert、Ipv6Telnet

支持基于源Ipv6地址、目的Ipv6地址、四

層端口、協(xié)議類型等ACL

支持子接口配置IPv6地址，支持VRRP6、

DHCPv6、L3VPN等

安全特性用戶分級管理和口令保護

支持防止DOS、ARP攻擊功能、ICMP防攻擊

支持IP、MAC、端口、VLAN的組合綁定

支持IEEE802.1X認證，支持AAA認證

支持NAC功能支持SSHV2.0

支持HTTPS

可靠性支持LACP

支持E-Trunk

支持BFDforBGP/IS-IS/OSPF/靜態(tài)路由等

5.3路由器

NetEngine40E-X3A路由器是華為公司推出的高端網絡產品，主要應用在IP

10

湖南商務職業(yè)技術學院畢業(yè)設計

骨干網、IP城域網以及其他各種大型IP網絡的邊緣位置。

40E-X3A路由器采用可編程的NP轉發(fā)機制，基于CLOS分布式多級交換架

構，采用分布式的硬件轉發(fā)和無阻塞交換技術，具有良好的線速轉發(fā)性能，優(yōu)

異的擴展能力，完善的QoS機制和強大的業(yè)務處理能力。NE40E基于業(yè)界領先

的2T平臺，每個槽位提供2T路由線卡，兼容現(xiàn)網線卡，最大限度保護客戶的

投資。

圖4路由器NE40E-X3A

表7路由器NE40E-X3A規(guī)格

功能NE40E-X3A

交換容量120.03Tbps

轉發(fā)性能11700Mpps

接口類型100GE

50GE

40GE

25GE

10GELAN/WAN

IPv4支持靜態(tài)路由、RIP、OSPF、IS-IS、BGP-4等路由協(xié)議，所有端

口在路由振蕩等復雜路由環(huán)境下線速轉發(fā)

二層特性支持IEEE802.1q、IEEE802.1p、IEEE802.3ad和IEEE802.1ab

支持STP、RSTP、MSTP和VLAN

支持EVC和VXLAN

QoS完善的HQoS機制，每線路板可提供先進調度和擁塞避免技術

提供精確的流量監(jiān)管和流量整形功能

提供定義復雜規(guī)則的功能，支持流細粒度鑒別，以及支持MPLS

HQoS，全面保證MPLSVPN、VLL和PWE3的QoS調度

11

湖南商務職業(yè)技術學院畢業(yè)設計

安全支持ACL報文過濾、支持DHCPSnooping、支持防ARP攻擊、防DOS

攻擊、支持MAC地址限制、MAC與IP綁定、支持SSH、SSHv2

可靠性提供IP/LDP/VPN/TE/VLL快速重路由，支持IP/TE自動重路由技

術IGP／BGP/組播路由快速收斂、虛擬路由冗余協(xié)議（VRRP）、

快速環(huán)網保護協(xié)議（RRPP）、IPTRUNK鏈路分擔備份技術

支持PWredundancy、E-Trunk、E-APS、E-STP

支持硬件BFD鏈路3.3ms快速檢測、MPLS/EthernetOAM、

Y.1731、路由協(xié)議／端口/VLANDamping等保護機制

路由處理模塊、交換網、電源等關鍵部件冗余備份，整機沒有單

點故障

5.4防火墻

華為USG6712E系列AI防火墻，在提供NGFW能力的基礎上，聯(lián)動其他安全

設備，主動防御網絡威脅，增強邊界檢測能力，有效防御高級威脅，同時解決

性能下降問題。NP引擎提供快速轉發(fā)能力，防火墻性能顯著提升。

圖5防火墻USG6712E示意圖

表8防火墻USG6712E規(guī)格

功能USG6712E

路由特性全面支持IPV4/IPV6下的多種路由協(xié)議，如RIP、OSPF、BGP、IS-IS、

RIPng、OSPFv3、BGP4+、IPv6IS-IS等。

一體化防護集傳統(tǒng)防火墻、VPN、入侵防御、防病毒、數(shù)據(jù)防泄漏、帶寬管理、

Anti-DDoS、URL過濾、反垃圾郵件等多種功能于一身，全局配置視圖和一

體化策略管理。

應用識別與管可識別6000+應用，訪問控制精度到應用功能。應用識別與入侵檢測、防

控病毒、內容過濾相結合，提高檢測性能和準確率。

入侵防御與第一時間獲取最新威脅信息，準確檢測并防御針對漏洞的攻擊?？煞雷o各

Web防護種針對web的攻擊，包括SQL注入攻擊和跨站腳本攻擊等。

數(shù)據(jù)防泄漏對傳輸?shù)奈募蛢热葸M行識別過濾，可準確識別常見文件的真實類型，如

Word、Excel、PPT、PDF等，并對內容進行過濾。

12

湖南商務職業(yè)技術學院畢業(yè)設計

Anti-DDoS支持DDoS攻擊防護，防范SYNflood、UDPflood等10+種常見DDoS攻擊。

6網絡設備配置

6.1交換機配置

6.1.1VRRP配置

vlanbatch101102103104105

#創(chuàng)建vlan101、vlan102、vlan103、vlan104、vlan105

[SW1]interfaceGigabitEthernet0/0/1

#進入上行接口

[SW1]portlink-typetrunk

#配置上行接口為trunk類型

[SW1]porttrunkallow-passvlan101102103

#放行vlan101-103通過

[SW1]interfaceGigabitEthernet0/0/3

#進入上行接口

[SW1]portlink-typetrunk

#配置上行接口為trunk類型

[SW1]porttrunkallow-passvlan104105

#放行vlan104-105通過

[SW1]interfacevlan101

#進入vlan101接口

[SW1]ipaddress24

#配置vlan101接口IP地址

[SW1]vrrpvrid1virtual-ip54

#創(chuàng)建VRRP備份組1和虛擬IP地址

[SW1]vrrpvrid1priority101

#配置VRRP備份組1的優(yōu)先級為101

[SW1]vrrpvrid1trackinterfaceGigabitEthernet0/0/1reduced2

#配置監(jiān)視接口

[SW2]interfaceGigabitEthernet0/0/1

#進入上行接口

[SW2]portlink-typetrunk

13

湖南商務職業(yè)技術學院畢業(yè)設計

#配置上行接口為trunk類型

[SW2]porttrunkallow-passvlan101102103

#放行vlan101-103通過

[SW2]interfaceGigabitEthernet0/0/2

#進入上行接口

[SW2]portlink-typetrunk

#配置上行接口為trunk類型

[SW2]porttrunkallow-passvlan104105

#放行vlan104-105通過

[SW2]interfacevlan101

#進入vlan101接口

[SW2]ipaddress24

#配置vlan101接口IP地址

[SW2]vrrpvrid1virtual-ip53

#創(chuàng)建VRRP備份組1和虛擬IP地址

6.1.2鏈路聚合配置

interfaceEth-Trunk1

#創(chuàng)建聚合接口1，并進入

portlink-typetrunk

#配置聚合口配置為trunk類型

porttrunkallow-passvlanall

#放行所有vlan

modelacp-static

#配置聚合模式為LACP模式

trunkportg0/0/23

trunkportg0/0/24

#將相應的物理接口加入到聚合口

6.1.3MSTP配置

stpmodemstp

#開啟stp，并設置為mstp模式

stpregion-configuration

#進入域設置

14

湖南商務職業(yè)技術學院畢業(yè)設計

instance1vlan101102103

instance2vlan104105

#配置實例映射

activeregion-configuration

#激活域配置

q

[SW1]stpinstance1rootprimary

[SW1]stpinstance2rootsecondary

#配置SW1為實例1為主根，實例2為備份根

[SW2]stpinstance1rootsecondary

[SW2]stpinstance2rootprimary

#配置SW2為實例2為主根，實例1為備份根

6.1.4DHCP配置

[SW1]dhcpenable

#開啟DHCP

[SW1]ippooldongshihui

#創(chuàng)建地址池

[SW1]gateway-list

#指定地址池網關

[SW1]networkmask24

#指定地址池的網段

[SW1]excluded-ip-address5054

#排除地址

[SW1]interfacevlan101

#進入vlan101虛接口

[SW1]dhcpselectglobal

#使DHCP生效

[SW2]dhcpenable

#開啟DHCP

[SW2]ippooldongshihui

#創(chuàng)建地址池

[SW2]gateway-list

15

湖南商務職業(yè)技術學院畢業(yè)設計

#指定地址池網關

[SW2]networkmask24

#指定地址池的網段

[SW2]excluded-ip-address5054

#排除地址

[SW2]interfacevlan101

#進入vlan101虛接口

[SW2]dhcpselectglobal

#使DHCP生效

[AR2]vlanbatch113114115

#創(chuàng)建vlan113-115

[AR2]interfaceGigabitEthernet0/0/0

#進入g0/0/0接口

[AR2]ipaddress24

#配置IP地址

[AR2]interfaceGigabitEthernet/0/1.1

#進入g0/0/1.1子接口

[AR2]ipaddress5424

#配置IP地址

[AR2]dot1qtermintionvid113

#配置子接口dot1q封裝vlan

[AR2]arpbroadcastenable

#使能ARP廣播功能

[AR2]interfaceGigabitEthernet0/0/1.2

#進入g0/0/1.2子接口

[AR2]ipaddress5424

#配置IP地址

[AR2]dot1qtermintionvid114

#配置子接口dot1q封裝vlan

[AR2]arpbroadcastenable

#使能ARP廣播功能

[AR2]interfaceGigabitEthernet0/0/1.3

#進入g0/0/1.3子接口

16

湖南商務職業(yè)技術學院畢業(yè)設計

[AR2]dot1qterminationvid115

#配置子接口dot1q封裝vlan

[AR2]ipaddress54

#配置IP地址

[AR2]arpbroadcastenable

#使能ARP廣播功能

[AR2]ippoolsc

#建立地址池

[AR2]gateway-list54

#指定地址池網關

[AR2]networkmask

#指定地址池網段

[AR2]interfaceGigabitEthernet0/0/1.1

#進入子接口

[AR2]dhcpselectglobal

##使DHCP生效

[AR2]interfaceGigabitEthernet0/0/1.2

#進入子接口

[AR2]dhcpselectglobal

#使DHCP生效

[AR2]interfaceGigabitEthernet0/0/1.3

#進入子接口

[AR2]dhcpselectglobal

#使DHCP生效

6.2路由器配置

6.2.1IP路由配置

[SW1]interfaacevlan101

#進入接口

[SW1]ipaddress24

#配置IP地址

[SW1]interfacevlan102

17

湖南商務職業(yè)技術學院畢業(yè)設計

[SW1]ipaddress24

[SW1]interfacevlan103

[SW1]ipaddress24

[SW1]interfacevlan104

[SW1]ipaddress24

[SW1]interfacevlan105

[SW1]ipaddress24

[SW1]interfacevlan90

[SW1]ipaddress24

[SW1]ospfrouter-id

#配置ospf進程，并配置router-id為

[SW1]area10

#進入?yún)^(qū)域10

[SW1]network

#ospf宣告，采用32位精準宣告

[SW1]network

[SW1]network

[SW1]network

[SW1]network

[SW1]network

[SW2]interfacevlan101

#進入vlan101虛接口

[SW2]ipaddress24

#配置IP地址

[SW2]intvlan102

[SW2]ipaddress24

[SW2]interfacevlan103

[SW2]ipaddress24

[SW2]interfacevlan104

[SW2]ipaddress24

[SW2]interfacevlan105

[SW2]ipaddress24

[SW2]interfacevlan80

18

湖南商務職業(yè)技術學院畢業(yè)設計

[SW2]ipaddress24

[SW2]ospfrouter-id

#配置ospf進程，并配置router-id為

[SW2]area10

#進入?yún)^(qū)域10

[SW2]network

#ospf宣告，采用32位精準宣告

[SW2]network

[SW2]network

[SW2]network

[SW2]network

[SW2]network

[AR2]intg0/0/0

[AR2]ipaddress24

[AR2]ospfrouter-id

#配置ospf進程，并配置router-id為

[AR2]area10

#進入?yún)^(qū)域10

[AR2]network54

#ospf宣告，采用32位精準宣告

[AR2]network54

[AR2]network54

[AR3]ospfrouter-id

#配置ospf進程，并配置router-id為

[AR3]area10

#進入?yún)^(qū)域10

[AR3]network

#ospf宣告，采用32位精準宣告

[AR3]network54

[AR3]network54

6.3防火墻配置

[FW1]interfaceGigabitEthernet1/0/1

19

湖南商務職業(yè)技術學院畢業(yè)設計

#進入接口g1/0/1

[FW1]ipaddress

#配置IP地址

[FW1]service-manageallpermit

#允許所有服務流量通過

[FW1]ipsecpolicyp11isakmptemplatep2

[FW1]interfaceGigabitEthernet1/0/2

[FW1]ipaddress

[FW1]service-manageallpermit

[FW1]interfaceGigabitEthernet1/0/4

[FW1]ipaddress52

[FW1]service-manageallpermit

[FW1]firewallzonetrust

#進入信任域

[FW1]addinterfaceGigabitEthernet1/0/1

#將g1/0/1加入信任域

[FW1]addinterfaceGigabitEthernet1/0/2

[FW1]firewallzoneuntrust

#進入非信任域

[FW1]addinterfaceGigabitEthernet1/0/4

#將g1/0/4加入非信任域

[FW1]firewallzonedmz

#進入DMZ區(qū)域

[FW1]addinterfaceGigabitEthernet1/0/0

#將g1/0/0加入DMZ區(qū)域

[FW1]ospfrouter-id

#配置ospf進程，并配置router-id為

[FW1]area10

#進入?yún)^(qū)域10

[FW1]network

#ospf宣告，采用32位精準宣告

[FW1]network

[FW1]network

20

湖南商務職業(yè)技術學院畢業(yè)設計

[FW1]network

[FW1]iproute-static

#配置一條缺省路由，下一跳指向外網

[FW1]nat-policy

#配置nat安全策略

[FW1]rulenameeasy-ip

#創(chuàng)建訪問規(guī)則

[FW1]source-zonetrust

#配置源區(qū)域為trust區(qū)域

[FW1]source-addressmask

#配置安全策略的源地址

[FW1]serviceicmp

#配置服務為icmp

[FW1]actionsource-nateasy-ip

#配置執(zhí)行動作為允許通過

[FW1]security-policy

#配置安全策略

[FW1]rulenamelocal_any

#配置規(guī)則名字

[FW1]source-zonelocal

#配置安全策略源安全區(qū)域

[FW1]actionpermit

#配置執(zhí)行服務為允許

[FW1]rulenametrust_untrust

#配置規(guī)則名字

[FW1]source-zonetrust

#配置安全策略源安全區(qū)域

[FW1]destination-zoneuntrust

#配置安全策略目的安全區(qū)域

[FW1]actionpermit

#配置執(zhí)行服務為允許

[FW1]rulenametrust_dmz

#配置規(guī)則名字

21

湖南商務職業(yè)技術學院畢業(yè)設計

[FW1]source-zonetrust

#配置安全策略源安全區(qū)域

[FW1]destination-zonedmz

#配置安全策略目的安全區(qū)域

[FW1]actionpermit

#配置執(zhí)行服務為允許

[FW1]rulenameuntrust_dmz

#配置規(guī)則名字

[FW1]source-zoneuntrust

#配置