湖南智恒公司网络规划与设计

湖南商务职业技术学院毕业设计

目录

1.项目简介..........................................................1

1.1公司简介......................................................1

1.2项目背景......................................................1

1.3项目需求......................................................1

2.网络设计..........................................................2

2.1网络拓扑规划..................................................2

2.2部门IP地址和VLAN规划........................................3

3.设备选型..........................................................3

3.1接入设备......................................................4

3.2汇聚设备......................................................5

3.3路由器........................................................5

3.4防火墙设备....................................................6

4.技术选用..........................................................6

4.1VLAN技术.....................................................6

4.2NAT技术......................................................7

4.3DHCP技术.....................................................7

4.4OSPF技术.....................................................8

4.5VRRP技术.....................................................8

4.6BFD技术......................................................9

4.7MSTP技术.....................................................9

4.8ACL技术......................................................9

4.9Eth-Trunk技术...............................................10

5.配置实现.........................................................10

5.1VLAN配置....................................................10

5.2NAT配置.....................................................10

5.3DHCP配置....................................................11

II

湖南商务职业技术学院毕业设计

5.4OSPF配置....................................................11

5.5VRRP配置....................................................11

5.6BFD配置.....................................................12

5.7MSTP配置....................................................12

5.8ACL配置.....................................................12

5.9Eth-Trunk配置...............................................13

6.网络测试.........................................................13

7.设计小结.........................................................15

参考资料............................................................16

III

湖南商务职业技术学院毕业设计

湖南智恒公司网络规划与设计

1.项目简介

1.1公司简介

湖南智恒网络有限公司是一家专注于互联网技术开发与服务的高新技术企

业，成立于2012年，总部位于湖南省长沙市，公司主要业务包括互联网应用开

发、移动应用开发、大数据分析及处理、云计算、物联网、智能硬件等领域。

公司以技术创新为核心，拥有一支高素质的技术研发团队，并与多家国内外知

名企业建立了合作关系。公司秉持“创新、卓越、责任、共赢”的企业精神，

致力于为客户提供高质量的互联网技术解决方案和服务。

1.2项目背景

随着企业业务的发展，对于网络的需求也在不断增加，需要重新进行网络

规划项目来满足业务需求，提高工作效率。网络设备的老化会导致网络性能下

降，影响企业或机构的正常工作，需要进行网络规划项目来更新设备，加上新

的网络技术不断涌现，还需要更新网络技术，提高网络性能。另外国内外信息

化建设步伐在加快，网络化成为当今社会的焦点。互联网正在改变着人们的生

活方式，网络给人们的生活带来便利。为适应当前社会的需要，组建新的企业

网是实现信息化的必然选择。把企业的通信资源，以及企业信息资源等融合在

一起的网络，通过网络，企业员工可以方便访问这些资源,通过网络更新和优化，

可以降低公司的IT成本，减少维护和管理网络的人员和物力资源，提高IT资

源的利用效率,改善用户的网络体验，提高用户的满意度和忠诚度，从而增加公

司的竞争力和市场份额。

1.3项目需求

智恒公司网络建设需要考虑以下方面：

（1）安全性：需要保障整体网络的安全，组织恶意软件和病毒流入，配置

好防火墙设备使内网访问公网时得到保障，外部设备想访问内网时防火墙可以

快速报警识别身份，提醒服务器做出判断，合格则通过。在链路传输数据发生

变化防火墙可以根据规则丢弃数据。

（2）可靠性：硬件方面使用负载能力强的汇聚设备，防止数据丢失。软件

1

湖南商务职业技术学院毕业设计

方面配置acl部署在汇聚层，减少网络复杂度。包括精确度、错误率、稳定性、

无故障时间、数据备份等几个方面。通过在网络设计中增加冗余设备、冗余线

路、冗余模块等方式，来避免设备或线路失效对网络产生影响。

（3）拓扑结构必须满足所有用户的通信需求，适应建筑物楼宇间的通信环境，

能够便于计算机网络建设的施工，可以选取到合适的计算机网络链路的介质，

尽量与大多数厂商的网络产品和设备兼容，具有网络局部扩展和升级的能力，

最后制定详细的规划、设计方案。

2.网络设计

2.1网络拓扑规划

公司网络采用千兆光纤，核心路由器连接防火墙设备，阻止恶意流量进入

内网造成网络故障。三台汇聚交换机分别互联各个部门的接入设备，汇聚层可

以采用负载分担及冗余备份等技术，来防止线路出现故障、部门用户不能正常

访问互联网，每个部门用户访问互联网时得到保障,具体的网络拓扑如图1所示。

图1公司网络拓扑图

2

湖南商务职业技术学院毕业设计

2.2部门IP地址和VLAN规划

IP地址规划根据实际需要对IP地址进行分配和规划，避免出现IP地址浪

费的情况，确保每个部门设备都能拥有一个唯一的IP地址，公司使用

192.168.xx.xx/24的C类网段，确保总部机构网络路由通过公网能够正常学习，

网络相互之间能够正常通信，IP地址分配表如表1所示。部门之间通过划分

VLAN进行隔离和统一管理，VLAN资源规划表如表2所示。

表1.IP地址分配表

部门所属网段网关

技术部/2454

财务部/2454

销售部/2454

人事部/2454

市场部/2454

生产部/2454

表2.VLAN资源规划表

VLANVLAN名称所属部门

11jishu技术部

12ciawu财务部

13xiaoshou销售部

14renshi人事部

15shichang市场部

16shengchan生产部

3.设备选型

网络建设所用到的设备，均采用华为技术有限公司所发行的设备。设备汇

总如表3所示。

3

湖南商务职业技术学院毕业设计

表3.设备选型汇总表

设备名称设备级别数量参考价格/台

USG6305E-AC核心出口防火墙2台10999元

AR6140-16G4XG核心路由器3台10230元

S5731-H48P4XC汇聚交换机3台13999元

S300-48T4S接入交换机7台7079元

3.1接入设备

S300-48T4S

该交换机具备丰富的端口款型满足多样化的网络接入需求，并专为中小型企

业办公空间进行设计，为各种应用场景和部署方案提供极致的灵活性。

有48个以太网端口，4个千兆光口；不仅支持传统的STP/RSTP/MSTP生成

树协议，还支持华为自主创新的SEP智能以太保护技术和业界最新的以太环网标

准ERPS。SEP是一种专用于以太链路层的环网协议，适用于半环、整环、级联环

等各种组网，其协议简单可靠、维护方便，并提供50ms的快速业务倒换。ERPS

是ITU-T发布的G.8032标准，该标准基于传统的以太网MAC和网桥功能，实现

以太环网的毫秒级快速保护倒换。

支持SmartLink功能，通过多条链路接入到多台汇聚交换机上，实现了上行

链路的备份，极大地提升了接入侧设备的可靠性。

支持Telemetry技术，实时采集设备数据并上送至华为iMasterNCE园区网

络分析组件CampusInsight，CampusInsight通过智能故障识别算法对网络数据

进行分析，精准展现网络实时状态，并能及时有效地定界故障以及定位故障发生

原因，发现影响用户体验的网络问题，精准保障用户体验。

4

湖南商务职业技术学院毕业设计

3.2汇聚设备

S5731-H48P4XC

设备为数据做高速处理转发，并提高数据可靠性，有4个光口，48个电口。支

持管理1KAP，支持AP接入控制、AP域管理和AP配置模板管理支持射频管理、

统一静态配置和集中动态管理，支持WLAN基本业务、QoS、安全和用户管理支持

CAPWAP、Tag/终端定位、频谱分析，支持直接对业务报文标记以获得丢包数量和

丢包率的实时统计，支持二三层网络网络级和设备级丢包数量和丢包率统计。支

持作为Parent管理接入交换机和AP，支持2层AS架构，支持与第三方厂商混

合组网管理，支持VxLAN二层网关、三层网关，支持集中式网关，分布式网关，

支持BGP-EVPN，支持通过Netconf进行配置。支持统一用户管理功能，屏蔽了

接入层设备能力和接入方式的差异，支持802.1X/MAC/Portal等多种认证方式，

支持对用户进行分组/分域/分时的管理，用户、业务可视可控。

3.3路由器

AR6140-16G4XG

企业路由器可以按需部署在企业总部或分支，提供企业网络出口能力。设备接

口类型丰富支持：4*GE+4*10GE光口，12*GE电口，一个RJ45console串口，一

个USB口；集高性能、高可靠、5G上行、易运维、业务融合、安全、

SD-WANReady、SD-WAN、路由、交换、安全等丰富业务特性功能于一体，单槽位

总线带宽最大可达10Gbps，业务转发无瓶颈。支持MPLS专线和Internet等多

种物理链路，由iMasterNCE提供统一的可视化管理。该路由器是华为面向企业

5

湖南商务职业技术学院毕业设计

总部和企业分支推出的框式系列产品，提供业界覆盖范围最广泛的业务插槽类

型，它基于ARM架构多核处理器和无阻塞交换架构，提供领先业界平均水平2

倍的性能，高性能多核处理器支持高速WAN连接，强大的路由计算能力，增强

L4~L7业务处理效率。满足不同规模企业客户的业务多元化和高性能需求。

3.4防火墙设备

USG6305E-AC

该防火墙集传统防火墙、VPN、入侵防御、防病毒、数据防泄漏、带宽管理、

Anti-DDoS、URL过滤、反垃圾邮件等多种功能于一身，全局配置视图和一体化

策略管理。该设备接口类型为：2×10GE(SFP+)+8×GECombo+2×GEWAN；内置转

发、加密、模式匹配三大协处理引擎，有效将小包转发性能，IPS、AV业务性能

以及IPSec业务性能提升2倍。核心器件智能变频调压，有效降低功耗；端口

可根据工作状态自动调整能耗，省电30%；标准前后通道设计，减少热损耗，低

碳环保，绿色节能。在识别业务应用的基础上，可管理每用户/IP使用的带宽,

确保关键业务和关键用户的网络体验。第一时间获取最新威胁信息，准确检测

并防御针对漏洞的攻击。可防护各种针对web的攻击，包括SQL注入攻击和跨

站脚本攻击等。在提供NGFW能力的基础上，联动其他安全设备，主动积极防御

网络威胁，增强边界检测能力，有效防御高级威胁，同时解决性能降低问题。

产品提供模式匹配以及加解密业务处理加速能力，使得防火墙处理内容安全检

测、IPSec等业务的性能显著提升。

4.技术选用

4.1VLAN技术

VlAN虚拟局域网是一种将局域网分割成多个逻辑上独立的子网的技术。它

通过在交换机上创建虚拟的网络分区，使得同一物理网络中的不同主机可以分

别属于不同的逻辑网络，从而实现网络资源的分离和隔离。VLAN逻辑网络部署

6

湖南商务职业技术学院毕业设计

协议是一种用于对VLAN网络进行配置和管理的协议，主要包括VLAN的创建、

删除、修改以及VLAN的成员关系的定义和管理等功能。VLAN逻辑网络部署协议

主要作用有：

（1）管理VLAN的创建和删除：通过VLAN逻辑网络部署协议，管理员可以

在交换机上创建或删除VLAN，从而实现网络资源的分离和隔离。

（2）定义和管理VLAN的成员关系：VLAN逻辑网络部署协议还可以定义和

管理VLAN的成员关系，即将哪些端口划分到哪个VLAN中，从而实现对不同主

机的网络资源的分配和管理。

（3）配置VLAN间的通信：VLAN逻辑网络部署协议还可以配置不同VLAN之

间的通信，从而实现网络资源的共享和互通。

（4）提高网络性能和安全性：通过VLAN逻辑网络部署协议对VLAN进行管

理，可以提高网络性能和安全性，有效地隔离不同主机的网络资源，避免网络

拥堵和数据泄露等问题的发生。

4.2NAT技术

NAT技术，是一种将私有IP地址转换为公共IP地址的技术，用于连接

Internet和企业内部网络。NAT工作在网络层（OSI模型中的第三层），通过在

网络包的IP头部中修改源IP地址和目的IP地址，实现内部网络主机通过公共

IP地址访问Internet。NAT通常由路由器或防火墙等设备实现，它将内部网络

的IP地址转换为Internet上可用的IP地址，并在网络包的IP头部中加入转

换后的IP地址信息，从而使得内部网络的主机能够与Internet上的主机进行

通信。由于公共IP地址资源是有限的，而内部网络的主机通常是使用私有IP

地址，因此通过NAT将私有IP地址转换为公共IP地址，可以节省公共IP地址

资源，提高地址的利用率。通过NAT，内部网络的主机可以与Internet上的主

机进行通信，从而实现了内部网络与Internet的互通。内部网络的主机可以使

用公共IP地址进行访问Internet，而Internet上的主机无法直接访问内部网

络的主机，这样可以有效地保护内部网络的安全性。网络管理员可以将内部网

络的主机隐藏在公共IP地址后面，从而简化了网络管理的工作，降低了网络管

理的难度和复杂度。

4.3DHCP技术

DHCP动态地址分配是一种用于在TCP/IP网络中自动分配IP地址的协议。

DHCP可以自动分配IP地址、子网掩码、默认网关、DNS服务器等网络参数，使

7

湖南商务职业技术学院毕业设计

得网络管理员可以更加有效地管理IP地址资源，降低了网络管理的难度和成本。

DHCP使用客户端/服务器模型，其中DHCP服务器用于分配IP地址，而DHCP客

户端用于请求并接收IP地址。DHCP服务器通常由网络管理员在网络中的一台或

多台服务器上搭建，而DHCP客户端则运行在网络中的每台主机上。通过DHCP，

网络管理员可以更加有效地管理IP地址资源，包括IP地址的分配和回收等操

作，从而提高了网络管理的效率。网络管理员可以控制哪些主机可以访问网络，

从而提高了网络的安全性。还可以支持移动设备的IP地址更换，如笔记本电脑、

手机等，使得这些设备可以在不同的网络中使用，并能够自动获取正确的IP地

址和网络参数。

4.4OSPF技术

OSPF开放最短路径优先是一种基于链路状态的路由协议，用于在TCP/IP网

络中进行路由选择，是一种开放的协议，可以在各种厂商的路由器上实现。OSPF

通过交换链路状态信息，建立网络拓扑图，计算出最短路径，从而实现路由选

择。OSPF采用了Dijkstra算法来计算最短路径，同时支持多种度量标准，如带

宽、延迟、可靠性等。OSPF还支持分层设计，将网络分成不同的区域，减少了

路由信息的传播范围，提高了网络的可伸缩性和可靠性。OSPF是一种快速收敛

的协议，当网络拓扑发生变化时，OSPF可以快速适应，重新计算出最短路径，

从而保证了网络的稳定性和可靠性。OSPF协议具有以下优点：快速收敛、支持

多种度量标准、可伸缩性好、可靠性高、安全性高等。在现代网络中，OSPF已

经成为了一种广泛使用的路由协议，被广泛应用于企业网络、ISP网络、数据中

心等领域。

4.5VRRP技术

虚拟路由冗余协议是一种用于提高网络可靠性的协议，它通过将多个路由

器组合成一个虚拟路由器，实现路由器冗余和负载均衡。VRRP协议的工作原理

是：将多台路由器组合成一个虚拟路由器组，其中一台路由器被选为虚拟路由

器（Master），其他路由器则为备份路由器（Backup）。虚拟路由器会持续地向

局域网内的其他设备广播自己的虚拟IP地址，当Master路由器失效时，备份

路由器会立即接管虚拟IP地址，从而确保网络的可靠性和连续性。通过将多台

路由器组合成一个虚拟路由器，实现了路由器冗余，当Master路由器失效时，

备份路由器可以快速接管虚拟IP地址，保证了网络的可靠性和连续性。支持多

个路由器共同承担网络流量的负载，从而可以实现负载均衡，提高了网络的性

8

湖南商务职业技术学院毕业设计

能和可伸缩性。可以根据网络的具体需要进行配置，包括Master和Backup的

数量、优先级、权重等，从而可以满足不同网络的需求。

4.6BFD技术

BFD网络协议用于快速检测网络中的链路状态变化，以便更快地通知路由器

进行路由转发的调整。BFD协议是一种轻量级的协议，它通过在网络中发送一些

小的探测包，来检测两个节点之间的链路是否正常，从而实现快速检测链路的

状态变化。BFD协议的工作原理是：在网络中的两个节点之间建立一个BFD会话，

然后通过发送一些小的探测包来检测两个节点之间的链路是否正常。BFD在发送

Echo包后会等待一段时间，如果在规定的时间内没有收到对端节点的回应，则

认为链路异常，立即通知路由器进行路由转发的调整。BFD协议支持多种链路类

型和多种探测方式，如单向探测、双向探测、IP探测等，可以根据不同的网络

环境进行灵活配置。

4.7MSTP技术

多域生成树协议是一种用于构建网络拓扑结构的协议，它可以在一个交换

机上支持多个VLAN，同时允许每个VLAN拥有独立的生成树，从而提高了网络的

可靠性和性能。MSTP协议的工作原理是：将网络中的交换机划分为多个区域，

每个区域内可以有多个VLAN，每个VLAN可以有独立的生成树。在每个区域内，

通过选举一个交换机作为根交换机，并通过计算生成树路径的代价，建立生成

树，从而实现了多个VLAN之间的隔离和独立。当网络中出现链路故障时，MSTP

协议可以快速重新计算生成树，并调整网络拓扑结构，从而保证网络的可靠性

和连续性。可以根据不同的网络环境进行灵活配置，包括生成树优先级、端口

优先级、端口类型等，从而满足不同网络的需求。还可以与其他的交换协议兼

容，如STP、RSTP等，从而保证了网络的可扩展性和兼容性。

4.8ACL技术

ACL是一种网络安全技术，它用于限制网络中的数据流向，可以控制网络的

访问权限，保护网络安全。ACL协议可以根据一定的规则，对网络中的数据报文

进行匹配和过滤，从而实现对数据流向的控制和管理。ACL协议的工作原理是：

在网络设备上配置ACL规则，然后在数据报文经过设备时，对数据报文进行匹

配和过滤。ACL规则可以根据不同的条件进行匹配，如源IP地址、目的IP地址、

端口号、协议类型等，对符合规则的数据报文进行相应的处理。可以将数据报

9

湖南商务职业技术学院毕业设计

文允许通过、丢弃、拒绝等操作，从而限制网络中的数据流向，保护网络安全。ACL

协议灵活性强可以根据不同的网络环境进行灵活配置，包括匹配条件、匹配规则、

操作方式等，可以与其他的网络安全技术兼容，如VPN、防火墙等，从而满足不

同网络的需求。

4.9Eth-Trunk技术

链路聚合可以实现两种方式：静态链路聚合和动态链路聚合。静态链路聚

合是在网络管理员配置的时候预先定义的，而动态链路聚合则是在链路故障时

自动发生的。可以应用在多种网络拓扑中，尤其是在需要高可靠性和高带宽的

环境下，如数据中心网络和企业网络等。使用链路聚合技术可以提高网络性能，

减少链路故障对网络的影响，并且可以简化网络管理。将多个物理链路捆绑在

一起，形成一个更高容量、更高可靠性的逻辑链路。在链路聚合中，多个物理

链路被视为单个逻辑链路，从而提高了带宽利用率和网络可靠性。链路聚合可

以将多个物理链路视为单个逻辑链路，从而简化了网络管理。

5.配置实现

5.1VLAN配置

配置vlan11为例：

vlan11#创建vlan11

descriptionjishu#将vlan命名为jishu

interfaceGigabitEthernet0/0/1#进入下行接口

portlink-typeaccess#将连接pc的接口设置为access

portdefaultvlan11#将接口加入到vlan11

interfaceGigabitEthernet0/0/21#进入上行接口

portlink-typetrunk#将接口设置为trunk口

porttrunkallow-passvlan111213#上行接口放行相应vlan

141516

5.2NAT配置

iproute-static#网关路由器上配置访问外网的默认路

由

10

湖南商务职业技术学院毕业设计

interfaceGigabitEthernet0/0/0#进入公网接口

natstaticglobal#网关路由器R1上配置NAT地址转换

inside

nataddress-group10#设置NAT地址池，设置起始和结束地

0址

natoutbound2000#接口上esayip让内网访问外网

5.3DHCP配置

配置汇聚交换机1的DHCP服务为例：

dhcpenable#开启DHCP服务

ippooljishu#创建一个名为jishu的地址池

networkmask24#通告技术部地址资源范围

gateway-list54#通告技术部地址网关

dns-server#通告dns业务地址解析

5.4OSPF配置

配置汇聚交换机1的OSPF为例：

ospf1#创建ospf进程号为1

area0#配置区域号为0

network55#宣告技术部业务网段

network55#宣告财务部业务网段

network55#宣告销售部业务网段

network55#宣告人事部业务网段

network55#宣告市场部业务网段

network55#宣告生产部业务网段

5.5VRRP配置

配置备份组11为例：

interfaceVlanif11#进入vlan11虚拟接口

vrrpvrid11virtual-ip#创建VRRP备份组11并为备份组11

54指定虚拟IP地址为54

11

湖南商务职业技术学院毕业设计

vrrpvrid11priority200#配置备份组优先级为200

vrrpvrid11authentication-mode#配置VRRP验证密钥为hnzh1234@

simplehnzh1234@

5.6BFD配置

创建静态标识符vrrp11为例：

bfd#在系统模式下启用BFD

bfdvrrp11bindpeer-ip#创建静态标识符自协商BFD会话目的

source-ipautoIP为源IP为，会

话名为vrrp11

interfaceVlanif11#进入vlan11虚拟接口

vrrpvrid11trackbfd-session#启用VRRP通过联动BFD会话状态来

session-namevrrp12reduced150实现主备切换的功能当监视bfd会话

down的时候降低150优先级

5.7MSTP配置

配置汇聚交换机1的mstp为例：

stpmodemstp#stp模式改为mstp

stpregion-configuration#进入stp域配置

instance1vlan111213#将vlan11、vlan12、vlan13映射到实

例1

instance2vlan141516#将vlan14、vlan15、vlan16映射到实

例2

activeregion-configuration#激活域配置

stpinstance1rootprimary#配置实例1为设备根桥

stpinstance2rootsecondary#配置实例2为设备备份根桥

5.8ACL配置

acl2000#创建一个alc匹配列表2000

rulepermitsource#匹配网段的数据包

55

rulepermitsource#匹配网段的数据包

12

湖南商务职业技术学院毕业设计

55

rulepermitsource#匹配网段的数据包

55

rulepermitsource#匹配网段的数据包

55

rulepermitsource#匹配网段的数据包

55

rulepermitsource#匹配网段的数据包

55

traffic-filterinboundacl2000#在接口in方向应用ACL

5.9Eth-Trunk配置

配置聚合组0为例：

interfaceEth-Trunk0#创建链路聚合组0

modemanualload-balance#配置链路聚合模式为手工模式

load-blancesrc-mac#配置负载分担方式为源目标mac到目

的mac

interfaceGigabitEthernet0/0/21#进入配置接口

eth-trunk0#将接口放入链路聚合组中

interfaceGigabitEthernet0/0/22#进入配置接口

eth-trunk0#将