上河商务公司网络规划与设计方案

湖南商务职业技术学院毕业设计

目录

1项目背景.........................................................1

2项目需求分析.....................................................1

3项目规划.........................................................1

3.1公司成员....................................................1

3.2企业网络拓扑图规划..........................................2

3.3地址资源规划................................................2

3.4设备选用....................................................3

4网络协议选用.....................................................5

4.1VLAN虚拟局域网技术.........................................5

4.2DHCP动态地址规划...........................................6

4.3Eth-Trunk链路聚合技术......................................7

4.4MSTP多生成树协议...........................................8

4.5VRRP虚拟路由冗余协议.......................................8

4.6OSPF开放式最短路径优先.....................................9

4.7ACL访问控制链表............................................9

5网络配置.........................................................9

5.1VLAN配置...................................................9

5.2聚合双链路配置部署.........................................10

5.3DHCP配置..................................................10

5.4MSTP配置..................................................11

5.5VRRP配置..................................................12

5.6OSPF路由协议配置..........................................12

5.7ACL配置...................................................13

6网络性能调优....................................................13

6.1VLAN优化..................................................13

6.2DHCP优化..................................................14

I

湖南商务职业技术学院毕业设计

6.3MSTP优化..................................................15

6.4OSPF优化..................................................16

7网络项目测试....................................................17

8设计小结........................................................18

II

湖南商务职业技术学院毕业设计

上河商务公司网络规划与设计方案

1项目背景

上河商务公司成立于2015年7月，位于全球最大的小商品城义乌物流中心，

依托中国宝纳斯集团和强大的小商品生产基地，拥有众多自主品牌，并在台湾、

韩国和德国也创建了业务。上河商务公司汇集行业精英，追求伟大事业。经过

长时间的准备，形成了一支成熟的管理团队，由开发、测试、营销、人力资源、

安全等部门组成，团队成员均为具有8年以上经验的高级管理人员，深受市场

合作伙伴的好评。精准高效的专业服务，严明的诚实正直纪律，合作共赢的精

神。上河商务公司汇集行业精英，追求伟大事业。经过大量准备，形成了一支

成熟的管理团队，由运营、销售、营销、培训、产品运输等部门组成，团队成

员均为市场合作伙伴认可的具有8年以上经验的高级管理人员。以精准高效的

专业服务，严明的诚实正直纪律，合作共赢的精神。

2项目需求分析

上河商务公司的因为公司扩大的问题需要更换，为了营造良好的网络环境，

公司决定部署高可靠高效率的网络，同时在此基础上必须保证公司网络的安全

性，以下列出公司此次部署的需求：

公司目前分为办公和业务，办公流用于公司员工办公，业务流用于承载业

务，办公和业务之间互不干涉，管理层可以访问所有业务部门，开发部和测试

部不能访问管理部门。并且公司对于网络的稳定性要求较高，避免因网络故障

或其他问题导致业务中断或数据丢失，升级防火墙保证网络的安全性，防止公

司的数据被攻击和窃取，以及防止各种病毒损坏公司数据资产。

3项目规划

3.1公司成员

表1公司成员表

部门开发部测试部市场部人事部安全部秘书部管理部

87648246

人数154人221人28人

人人人人

1

湖南商务职业技术学院毕业设计

3.2企业网络拓扑图规划

上河商务公司网络拓扑介绍如下：

网络接入层主要是通过交换机切换给下属各部门，接入层采用堆叠技术，

提高链路带宽和稳定性，在核心交换机1和核心交换机2采用链路聚合，使其

更加可靠和稳定，介质使用六种以上的非屏蔽电缆或万千兆多模光纤，提高网

络的整体带宽，接入防火墙管理公司内网上网，提高公司的安全性。

图1网络拓扑图

3.3地址资源规划

表2VLAN及IP地址规划

接入区域

分组地址资源子网地址资源范围虚拟接入VLAN

开发部/2410.1-10.25410

测试部/2420.1-20.25420

市场部/2430.1-30.25430

2

湖南商务职业技术学院毕业设计

人事部/2440.1-40.25440

安全部/2450.1-50.25450

秘书部/2460.1-60.25460

管理部/2470.1-70.25470

互联区域

核心交换机/30

1

核心交换机/30

2

R1/30出口防火墙

R2/30出口防火墙

服务器出口防火墙

防火墙

3.4设备选用

总部设备包括：外网防火墙设备、核心交换机、汇聚交换机、接入交换机、

路由交换机等设备。防火墙设备数量和技术参数如表3所示：

表3防火墙设备

设备名称设备级别设备图例

AntiDDoS1650核心出口防火墙

设备价格数量设备接口

258500元1台8个光口，4个电口

技术支持

华为HiSecEngineAntiDDoS12000提供最高性能的2T安全防护和可扩展

性，有效应对大流量DDoS攻击；可在数秒级甚至数毫秒内防御数百次复杂攻

击，有效阻断攻击，保护客户业务连续性。

防止协议滥用攻击：LAND；Fraggle；Smurf；Winnuke；PingofDeath；Tear

Drop；TCPErrorFlag等攻击。

·网络应用的安全特性：HTTPGetFlood；HTTP后洪水；HTTP慢头；

HTTP慢邮；HTTPS洪水；WordPress反射放大攻击；如LOICs等支持消息合

法性验证。

3

湖南商务职业技术学院毕业设计

·扫描监听保护功能：端口扫描；地址扫描；TRACERT控制报文攻击；

攻击IP时间戳选项；攻击IP路由记录选项等

·DNS应用防护功能：DNSQueryFlood；DNS响应泛洪；DNS缓存中毒攻

击；源速度限制支持。

SIP应用安全特性：SIPFloodPrevention/SIPFloodMethods包括：

RegisterFlood、DeregistrationFlood、AuthenticationFlood、Call

Flood、SupportSourceRateLimit。

UDP反射增强保护功能：NTP反射增强；DNA反射的放大；反射增强

SSDP；批量反射放大；反射增强TFTP；反射增强SNMP；反射增益NetBIOS；

反射增益QOTD；Quake网络协议反射增益；反射增强端口映射器；Microsoft

SQL解析服务反射增强、RIPv1反射增强、Steam协议反射增强。

过滤功能：IP包过滤；TCP数据包过滤器；UDP包过滤器；ICMP包过滤

器；DNS包过滤器；SIP包过滤器；HTTP数据包过滤器。

攻击特征库特性：RUDY、slowhttptest、slowloris、LOIC、AnonCannon、

RefRef、ApacheKill、ApacheBench，

路由器设备的数量和技术参数如表4所示：

表4路由器设备

设备名称设备级别设备图例

NE40E_X8路由器

设备价格数量设备接口

14400元2台16个光口，6个电口

技术支持

NE4OE具有强大的路由特性，支持非常大的路由表。

提供RIP、OSPF、BGP4、IS-IS、BGP4、组播路由等高级路由协议，支持

加密/密文认证，具有快速收敛特性，确保复杂路由环境下的安全稳定。

NE4OE具有强大的业务承载能力，可根据网络需求同时部署L2VPN、L3VPN

和MVPN，支持TE（TrafficEngineering）MPLS，支持灵活的QinQ。

支持DHCP/IPoE，还可以提供IPSec、GRE等功能，适应传统接入需求和

新兴业务需求，满足多业务融合的连接需求。

NE4OE具有强大的可扩展组播能力，支持广泛的IPv4/IPv6组播协议，包

括PIM-SM/DW/ssM、MLDv1/v2、IGMPv3、CAC组播（调用）

AdmissionControl、IGMPSnooping等特性可以灵活承载IPTV等视频业

4

湖南商务职业技术学院毕业设计

务，满足知名规模的组播业务需求。

交换机数量及其技术参数如表5所示：

表5交换机设备

设备名称设备级别设备图例

S1730S-H24T4S-A接入交换机

设备价格数量设备接口

2839元6台4个光口，24个电口

技术支持

全新节能设计，引领低碳通信

CloudEngineS1730S支持无连接时端口自动休眠。采用无风扇静音设计

的款型在降低整机功耗的同时，让您免除噪音的烦扰。

无阻塞高速转发

CloudEngineS1730S无管理系列提供高达8K，Web管理及全管理系列提

供高达16K的MAC地址，为企业用户后续扩容提供了条件，极大方便了用户

的扩展和应用。

CloudEngineS1730S系列支持流量控制功能，当本端设备发生拥塞，将

向对端设备发送消息。通知对端设备暂时停止发送报文，避免拥塞。

PoE供电能力

4网络协议选用

4.1VLAN虚拟局域网技术

由一个或多个集线器组成的广播域可以称为平面网络。相互连接的终端接

收来自网络的所有广播帧。随着连接端点数量的增加，广播的数量也会增加，

网络条件变得更加复杂。

这种情况下，需要VLAN技术对整个平面网络进行逻辑分段。一个VLAN对

应一个广播域，不同VLAN的广播域彼此隔离，因此您可以控制广播域内的广播

流量规模。

5

湖南商务职业技术学院毕业设计

图2VLAN

通过设置，交换机可以很方便地修改物理端口的属性，从而在不改变对应

的物理线路的情况下，将物理端口加入到VLAN中。VLAN之间的通信需要路由，

不同VLAN内的端点之间的通信没有路由器或三层交换机是无法实现的，所以安

全性是有保障的。不同的供应商可能定义不同的VLAN接口类型。对于华为设备，

常见的VLAN接口类型有Access、Trunk、Hybrid三种。VLAN有4个应用场景

1、基于接口划分VLAN2、基于MAC划分VLAN3、基于IP子网划分VLAN4、跨

设备三层互访这次选择的是基于接口划分VLAN，即分别应用于接入交换机1和

接入交换机2，保证了公司业务的独立性和安全性。

4.2DHCP动态地址规划

在IP网络中，每个连接到互联网的设备都必须分配一个唯一的IP地址。

DHCP允许网络管理员从中央节点监控和分配IP地址。当计算机移动到网络上

的不同位置时，它会自动获得一个新的IP地址。IP地址的自动DHCP分配不仅

减少了设备配置和部署时间，而且还降低了错误配置的可能性。另外，DHCP服

务器可以管理多个网段的配置信息，当一个网段的配置发生变化时，管理员只

需要在DHCP服务器上更新相应的配置即可，实现集中管理。

6

湖南商务职业技术学院毕业设计

图3DHCP的4个阶段

DHCP的应用场景：在大型企业网络中，大量主机或设备需要获取IP地址等

网络参数。手动配置时，工作量大，管理难度大，且用户擅自更改网络参数时，

会导致IP地址冲突等问题。使用动态主机配置协议（DHCP）分配IP地址等网

络参数，可以减轻管理员的工作量，避免用户手动配置网络参数造成的地址冲

突。DHCP服务应用于核心交换机1和核心交换机2。

4.3Eth-Trunk链路聚合技术

链路聚合可以改善设备前的链路冗余备份，保证节点网络的高度可靠使用。

手动模式：创建链路聚合和添加成员接口需要手动配置，无需LACP链路聚合控

制协议的参与。当您需要在两个直接连接的设备之间提供较大的链路带宽并且

设备不支持LACP时，可以使用手动模式。

图4链路聚合

LACP模式：创建链路聚合和添加成员接口都是通过手工配置完成的。但是，

与手动模式下的链路聚合不同，此模式下活动接口的选择是由LACP协议数据包

负责的。也就是说，当一组接口加入链路聚合接口时，这些成员接口中哪些是

活动接口，哪些是非活动接口，必须由LACP协议报文协商确定。LACP模式可

以同时实现负载分担和冗余备份功能。在一个链路聚合组中，M条链路处于活动

状态，负责转发数据和负载分担，N条链路空闲，作为备份链路，不转发任何数

据。当M条链路中有一条发生故障时，系统从N条备份链路中选择优先级最高

的链路替代故障链路，链路状态变为活跃并开始转发数据。

链路汇聚技术有六种应用场景：1.交换机链路聚合互联（交换机间直接连

接）2、链路汇聚交换机间互连（交换机交叉传输设备）3、交换机与传输设备

通过链路汇聚互连4、交换机与服务器通过链路汇聚互连5、交换机和集群系统

通过链路聚合互连6、和设备之间的链路聚合通过E-trunk。

此次选用的就是通过E-Trunk实现跨设备的链路聚合，使两台核心交换机

7

湖南商务职业技术学院毕业设计

之间实现链路聚合组的备份，提高网络可靠性。

4.4MSTP多生成树协议

MSTP是一种公共生成树协议，广泛用于实际生产环境。传统的生成树只运

行一个实例，而且收敛速度慢，RSTP在传统STP的基础上通过改进达到了加速

网络拓扑收敛的目的，但仍然存在缺陷，因为STP和RSTP跨局域网，所有VLAN

共享一个生成树实例，网络环境的稳态备份链路无法转发数据流量，导致带宽

浪费，无法实现基于VLAN的负载均衡。

MSTP的使用场景：

但是传统的生成树协议拓扑收敛最快也要两个forwarding时间，并且所有

valn共享一颗生成树，无法实现不同VLAN在多链路上的负载分担。因此我们可

以采用MSTP技术。多生成树协议，MSTP将生成树划分为多个实例，多个vlan

可以映射到不同的实例中，实现vlan间流量的负载分担，保证冗余性的同时拓

扑的收敛时间也有较大提升，MSTP应用于核心交换机上。

4.5VRRP虚拟路由冗余协议

虚拟路由冗余协议解决了局域网内VRRP的问题，为网关设备提供冗余备份。

VRRP将一组可充当网关的设备添加到备份组以形成虚拟路由器，LAN上的主机

将此虚拟路由器设置为默认网关。VRRP根据优先级从备份组中选择一个网关设

备作为主设备，该网关设备负责将主机流量转发到LAN，并将外部通信和其他网

关设备作为备份。当主设备发生故障时，VRRP会重新选择新的主设备，以确保

流量转发不会中断。

VRRP使用场景：

在企业中，同一网络中的设备相互访问，是不通过网关设备的，但是当我

们访问其他网络时，这需要一个网关路由器，如果这个路由器出现故障，将导

致整个企业无法访问外部网络因此，企业需要提高网关设备的可靠性，VRRP是

现在最常用的网络冗余技术。VRRP作为一种通用的虚拟路由冗余协议，工作在

应用层，协议号112，该协议广泛应用于各种生产环境，其工作原理是隐藏多个

实际服务网元地址，而不是使用一个反向代理虚拟地址，所有终端都指向反向

代理地址，这样即使一个或多个网元发生故障，反向代理地址仍然有效，网元

之间通过特定的组播地址进行通信。VRRP应用于核心交换机上。

8

湖南商务职业技术学院毕业设计

4.6OSPF开放式最短路径优先

OSPF要求每个运行OSPF的路由器都知道有关整个网络连接状态的信息，以

便计算到目的地的最佳路由。OSPF的融合过程从链路状态通告泛洪（LSA）开

始，其中包含路由器已知的接口IP地址、掩码、成本和网络类型等信息。接收

LSA的路由器可以根据LSA提供的信息创建自己的链路状态数据库（LSDB）链

路，并使用SPF算法基于LSDB进行计算，以确定每个网络的最短路径树。在

网络中启用OSPF协议，它会自动计算更正路由当拓扑发生变化时，方便了网络

的管理。OSPF是可在层次结构中执行的链路状态路径。层次结构中最高和最大

的实体是自治系统。OSPF调用分层区域中的路由器以链路状态宣布。OSPF适用

于R1、R2、核心1交换机和核心2交换机路由器。

4.7ACL访问控制链表

本质上，访问控制列表是一组对组进行分类的标准，这在您需要控制网络

流量时非常有用。ACL最常见且最容易理解的用途之一是过滤掉恶意分组以强制

实施安全策略。例如，ACL可用于做出非常具体的数据流控制决策，仅允许某些

主机访问Internet上的Web资源。通过成功组合多个访问控制列表，网络管

理员可以实施几乎任何可以想象的安全策略。

ACL使用的四种场景1、机房交换机不允许SSH访问非管理网络2、主机无

法ping通HTTP服务器，但可以访问3、应用自反ACL，类似于防火墙4、基于

时间的ACL应用。

5网络配置

网络配置主要包括VLAN配置、聚合双链路配置部署、DHCP配置、MSTP配

置、VRRP、OSPF配置、ACL配置。

5.1VLAN配置

VLAN10

#创建VLAN10

interfaceEthernet0/0/1

#进入接入下行接口

portlink-typeaccess

#将连接PC机的接口配置为access

9

湖南商务职业技术学院毕业设计

portdefaultvlan10

#将接口加入到VLAN10

interfaceGigabitEthernet0/0/1

#进入上行接口

portlink-typetrunk

#将上行接口配置为TRUNK口

porttrunkallow-passvlan10

#将上行接口放行相应VLAN

5.2聚合双链路配置部署

interfaceeth-trunk1

#创建链路聚合的端口1（0-63）

modemanualload-balance

#手动模式控制的负载均衡

trunkportg0/0/3

#将接口加入到负载模式

trunkportg0/0/4

#将接口加入到负载模式

displayeth-trunk1

#查看聚合口

inteth-trunk1

#进入聚合口

portlink-typetrunk

#设置为trunk链路

porttrunkallow-passvlanall

#设置为允许所有vlan通过

5.3DHCP配置

dhcpenable

#启用DHCP服务

ippoolKaifa1

#创建一个全局地址池

network00

10

湖南商务职业技术学院毕业设计

#命令配置全局地址池Kaifa1可动态分配的网段范围为00，

默认使用24为掩码。

leaseday2

#配置DHCP全局地址池下的地址租期为2天

gateway-list54

#配置dhcp网关地址

excluded-ip-address5053

#禁止分配这个范围的地址

dns-list

#配置DNS服务地址

inte0/0/0

#进入接口

dhcpselectglobal

开启DHCP功能采用全局地址池为客户端分配地址

5.4MSTP配置

Stpenable

#开启stp

stpmodemstp

#将STP的模式改为MSTP

stpregion-configuration

#进入STP域配置

instance1vlan1020

#将vlan10和vlan20映射到实例1

instance2vlan3040

#将vlan30和vlan40映射到实例2

activeregion-configuration

#保存mstp配置

stpinstance1rootprimary

#将该设备配置为实例1的根桥

stpinstance2rootsecondary

#配置备份根桥

11

湖南商务职业技术学院毕业设计

5.5VRRP配置

核心交换机1：

interfaceVlanif10

#进入vlan10虚拟接口

ipaddress5224

#配置接口物理地址

vrrpvrid10virtual-ip54

#配置虚拟网关地址

vrrpvrid10priority120

#配置成员优先级为120

vrrpvrid10authentication-modesimple123456

#配置VRRP验证密钥为123456

核心交换机2：

interfaceVlanif20

#进入vlan20虚拟接口

ipaddress5324

#配置接口物理地址

vrrpvrid10virtual-ip54

#配置虚拟网关地址

vrrpvrid10authentication-modesimple123456

#配置VRRP验证密钥为123456

5.6OSPF路由协议配置

ospf1

#创建OSPF进程号为1

area0

#配置区域号为区域0

network55

#宣告业务网段

network

#宣告上行网段

default-route-advertise

12

湖南商务职业技术学院毕业设计

#在出口设备上下发默认路由

area1

#进入区域1

Stub

#将区域1改为stub区域

silent-interfaceg0/0/0

#将该接口配置为静默接口

5.7ACL配置

aclnumber2001

#创建一个ACL2001

rulepermitsource55

#定义一个节点匹配来自/24网段的数据包

acl3000

#创建一个高级的ACL

rule0denyipsource55destination192.168.10

55

#配置节点拒绝开发部访问管理部

6网络性能调优

6.1VLAN优化

VLAN修剪：在所有交换机上做VLAN修剪，缩小广播域，Trunk链路只允许

本交换机的VLAN通过，配置命令如下

接入交换机1

intg0/0/3

#进入g0/0/3接口

porttrunkallow-passvlan10

只允许vlan10通过

intg0/0/4

#进入g0/0/4接口

porttrunkallow-passvlan20

#只允许vlan20通过

13

湖南商务职业技术学院毕业设计

接入交换机2

intg0/0/3

#进入g0/0/3接口

porttrunkallow-passvlan10

#只允许vlan10通过

intg0/0/4

#进入g0/0/4接口

porttrunkallow-passvlan20

#只允许vlan20通过

说明：

广播报文默认可以放送到Trunk链路，为了进一步减小Trunk链路上广播

报文的发送范围，进一步缩小广播域，建议在Trunk链路上配置VLAN的过滤

（修剪）。

6.2DHCP优化

现存问题只有一台路由器在提供DHCP，没有做主备，提高网络的可靠性

解决方案：在另外两台核心交换机上配置DHCP，实现DHCP的主备

核心交换机1

dhcpenable

#启用DHCP服务

ippoolKaifa1

#创建一个全局地址池

network

#命令配置全局地址池Kaifa2可动态分配的网段范围为，默

认使用24为掩码。

leaseday2

#配置DHCP全局地址池下的地址租期为2天

gateway-list00

#配置dhcp网关地址

excluded-ip-address5053

#禁止分配这个范围的地址

dns-list

#配置DNS服务地址

14

湖南商务职业技术学院毕业设计

inte0/0/0

#进入接口

dhcpselectglobal

开启DHCP功能采用全局地址池为客户端分配地址

核心交换机2

dhcpenable

#启用DHCP服务

ippoolKaifa1

#创建一个全局地址池

network

#命令配置全局地址池Kaifa2可动态分配的网段范围为，默

认使用24为掩码。

leaseday2

#配置DHCP全局地址池下的地址租期为2天

gateway-list54

#配置dhcp客户端的出口网关地址

excluded-ip-address5053

#禁止分配这个范围的地址

dns-list

#配置DNS服务地址

inte0/0/0

#进入接口

dhcpselectglobal

开启DHCP功能采用全局地址池为客户端分配地址

6.3MSTP优化

边缘端口的作用是为了加速转发过程，所以当边缘端口收到BPDU后则会认

为此端口已经不再是连接PC的端口进而改变自己的边缘特性变成普通交换机

端口进行生成树选举来防止环路产生

1.边缘端口配置

接入交换机1

intg0/0/3

stpedged-portenable

15

湖南商务职业技术学院毕业设计

intg0/0/4

stpedged-portenable

接入交换机2

intg0/0/3

stpedged-portenable

intg0/0/4

stpedged-portenable

配置保护功能，实现对设备或链路的保护

2.配置保护功能

#在根桥核心交换机1的端口g0/0/5和g0/0/1上启动根保护。

interfaceg0/0/5

stproot-protection

interfaceg0/0/1

stproot-protection

6.4OSPF优化

配置OSPF的接口类型为P2P，这样OSPF在邻居建立的时候所发送的5种报

文都是以组播的形式发送，可以使不在同一个网段内的路由器建立OSPF邻居

路由器R1：

intg0/0/1

#进入接口

ospfnetworkp2p

#修改接口OSPF类型

intg0/0/2

#进入接口

ospfnetworkp2p

#修改接口OSPF类型

核心交换机1

intg0/0/2

#进入接口

ospfnetworkp2p

#修改接口OSPF类型

核心交换机2

16

湖南商务职业技术学院毕业设计

intg0/0/2

#进入接口

ospfnetworkp2p

#修改接口OSPF类型

7网络项目测试

1.开发部ping测试部