长城信息公司网络规划与设计方案

湖南商务职业技术学院毕业设计

目录

1项目背景..........................................................1

2项目概述..........................................................1

3需求分析..........................................................2

3.1先进性......................................................2

3.2可靠性......................................................2

3.3安全性......................................................2

3.4可扩展性....................................................3

4总体设计..........................................................3

4.1设计标准....................................................3

4.2设计原则....................................................3

4.2.1开放性标准化原则......................................3

4.2.2先进性原则............................................3

4.2.3可靠性原则............................................4

4.2.4安全性原则............................................4

4.3设计思路....................................................4

4.4拓扑图......................................................5

5设备选型及预算....................................................6

5.1核心层设备..................................................6

5.2汇聚层设备..................................................7

5.3接入层设备..................................................7

5.4路由器设备..................................................8

5.5服务器设备..................................................8

5.6防火墙设备..................................................9

5.7无线AP设备.................................................9

5.8无线AC设备................................................10

6具体实施.........................................................11

6.1IP地址与VLAN划分.........................................11

I

湖南商务职业技术学院毕业设计

6.2MSTP.......................................................11

6.3VRRP.......................................................13

6.4OSPF.......................................................14

6.5链路聚合...................................................16

6.6NAT........................................................17

6.7安全策略...................................................18

6.7.1防火墙策略...........................................18

6.7.2入侵检测和入侵防御...................................19

6.8无线局域网.................................................19

7网络性能调优.....................................................20

7.1VLAN优化..................................................20

7.2MSTP优化..................................................20

7.3OSPF优化..................................................21

8网络测试项目.....................................................22

9项目小结.........................................................23

参考资料...........................................................25

II

湖南商务职业技术学院毕业设计

长城信息公司网络规划与设计方案

1项目背景

长城信息公司需要进行网络规划与设计，因为网络作为企业基础设施的重要

组成部分，可以提高企业效率和管理水平，同时也可以保障企业的信息安全和稳

定性。网络规划与设计可以为企业提供一个合理的网络架构，包括网络拓扑、网

络设备、网络协议、网络安全等方面的设计，以满足企业的业务需求，并确保网

络的高可用性和可靠性，为企业发展提供有力支撑。现在，网络得到了很大的发

展，网络促进了信息产业和国民经济的迅速增长。为了达到更高的效率，更好地

将生产规模进行扩张，利用信息技术来促进经济增长的东风，无论是传统的公司

还是互联网公司，企业局域网已经变成了每个公司的标配。局域网能够让企业内

部的即时通信、资料共享、办公自动化等功能得以实现，这对企业提高工作效率、

增长企业营收有着重要的作用。

在21世纪，公司进行数字转型是公司发展的必由之路，公司的人力资源管

理，财务管理，运营管理，为了使公司的业务结构变得更为便利和快速，公司的

人力资源管理，财务管理，以及公司的运营管理，都要求有资讯科技的支援。在

数字化转型后，企业的管理方式将会发生翻天覆地的改变，完全实现了数字化管

理，从而使工作效率得到了极大的提升。而企业数字化转型的前提条件是对各类

信息化技术的应用，所以，企业的信息技术水平将会对企业的数字化转型的程度

产生一定的影响。

随着大数据的发展，数据已经成为了全球最宝贵的财富，但如果没有信息技

术的支撑，人类将无法应对海量的数据。通过计算机技术和信息化技术，企业可

以对数据信息进行充分的利用，使信息的价值得到充分的体现。

2项目概述

长城信息公司是一家拥有600多名员工的IT企业，主要从事网络安全与紧

急事件处理，其中60%为研究与开发团队。具体的经营范围有：软件开发、大数

据服务、信息系统集成服务、计算机系统服务、物联网技术服务、信息技术咨询

服务、网络与信息安全软件开发、智能控制系统集成、人工智能应用软件开发等。

公司下设营销部，项目部，产品部，研发部，运营部，财务部，销售部，企业管

理部，平均每一部75人。

长城信息公司坐落在一栋写字楼里，有七、八、九三个楼层，每个楼层都有

1

湖南商务职业技术学院毕业设计

920平米的建筑，占地2700多平米。市场部、运营部、研发与开发办公室设在

七层，项目部、产品办公室设在八层，财务办公室设在九层，销售办公室设在九

层。公司的计算机室设在八层。

长城信息作为一家IT企业，构建企业自身的网络是其最基础的要求，可以

实现资源共享，信息传递，实现网络的可靠性和安全性，加强对企业人员的管理，

确保企业的正常运转，为企业带来更大的效益。

3需求分析

长城信息公司是一家ISP公司，它对网络有一个统一的IP平台，有多种接

入方式，对网络设计有一个可以提供多种服务，并且有很好的QoS保证，要求在

公司内可任意进行数据共享，可以进行任务分配，可以进行数据管理，可以进行

文件管理，可以进行工作协同，可以进行即时通讯。并保证公司网络的安全。下

面介绍该公司的具体需求：

3.1先进性

公司的网络发展日新月异，网络技术不断发展，更高的带宽，更先进的技术

层出不穷，该公司应在未来几年的运行中需满足公司的应用需求，在未来能保持

一定的先进性。

3.2可靠性

公司内部需要具有很高的可靠性，达到24小时不间断，稳定运行。在公司

内网的逻辑设计方面，要求在公司内网中的主机能够访问外网，而外网则不能访

问公司内网，每个部门都是单独的将VLAN进行划分，并且还对某些业务进行了

一定的设置。传统的企业信息化系统，是建立在没有连接互联网内网的基础上，

如果遇到类似于2020年的新冠疫情这样的情况，那么企业的员工就会无法在家

里对企业业务系统进行访问，也就不能实现远程办公。因此，为了避免出现这样

的情况，应该对传统的局域网建设模式进行改变，以便在紧急情况下，让员工可

以远程办公。

3.3安全性

如果公司网络内部出现故障，可以快速切换备份路径，不会影响公司的业务。

通过部署MSTP协议防止环路，提供多个数据传输路径和负载分配，降低网络风

暴，并提供冗余链路，提高网络的容错能力，结合VRRP技术，实现网关备份和

流量的负载均衡。使公司各个部门之间的数据能有效转发，并且各部门之间互不

2

湖南商务职业技术学院毕业设计

影响。采用VLAN技术，将不同部门划分到不同VLAN中，各部门的业务互不影响。

部署OSPF协议交互公司内部网络，加快办公效率，提高公司网络的性能和稳定

性。采用NAT技术，控制公司内外网之间的通信。

3.4可扩展性

随着计算机网络不断发展，主干设备需具有向上扩展的能力，以便应对将来

更高的需求。

4总体设计

4.1设计标准

本毕业设计以GB/T51375-2019网络工程设计标准为标准进行设计。

4.2设计原则

本企业网建设是一项中小型网络工程,企业网络需要具有综合业务信息管理

系统,为员工提供一个在网络环境下进行研发和日常工作的先进平台。本次设计

以实用、够用、好用、安全为指导思想；以开发标准先进性、可靠性、安全性为

设计原则进行设计。

4.2.1开放性标准化原则

互联网行业的发展是瞬息万变的，在企业发展壮大的过程中，其业务的增长

以及信息技术的应用程度也会随之提高。所以，在企业网的最初设计阶段，就应

该将其具有的可升级性和可扩展性都考虑进去，要想应对企业网升级后迅速增加

的数据和流量，企业网络必须具有出色的可扩展性，并且能够随着发展而持续进

行升级。在选择设备时，优先选择与国际接轨的产品，以便在未来的开发和更新

过程中，可以持续使用这些设备和系统，以适应未来的系统更新需求。

4.2.2先进性原则

随着计算机网络技术的快速发展，它也推动了许多事情的发展，尤其是网络

设备的升级和淘汰速度。如果企业在进行企业网的规划时，不把技术和装备的先

进程度放在心上，那么就会在未来的发展过程中，花费太多的钱去进行重新规划。

所以，在进行规划设计的时候，要运用最先进的技术和方法，在对设备进行选择

的时候，也要选择与未来发展相适应的先进设备，唯有这样，才可以确保企业网

络在今后几年内，都能够保持在高效率可用的水平上。

3

湖南商务职业技术学院毕业设计

4.2.3可靠性原则

无论是物理级网络还是逻辑级网络，都必须达到一定程度的可靠性。物理级

的例如电源、防火墙、服务器、线路等和逻辑级的负载均衡、安全策略、链路冗

余等都要有高性能、高可靠的标准，才能满足企业网内业务的需求。

4.2.4安全性原则

为了保证企业的信息安全，需要从信息的保护与隔离，系统的安全机制，安

全策略等方面进行研究。在实现信息资源的完全共享的过程中，也要重视对信息

的保护。所以，在对企业网进行规划设计的时候，要根据不同的网络通信环境和

不同的应用，来制定出相应的防护措施，具体内容有：用户访问数据的权限控制、

防火墙技术、系统安全机制等。

4.3设计思路

本次网络规划与设计是基于中小型企业网设计的，由于长城信息公司是一个

中大型IT公司，为了实现最高的性价比和为以后的扩展做准备，这里采用“核

心层-汇聚层-接入层”层次化网络设计模型,本企业网采用三层交换技术，充分

利用交换机的包处理能力，实现线速交换。从网络成本出发，不同层次设计特定

的网络互联设备可以避免在各层中花费过多不必要的资金；从后期维护出发，这

样的网络拓扑结构若发生故障时定位可分级，更便于维护；从性价比出发，层次

化网络功能清晰，设备在应用时能发挥出最大效率；从可拓展性出发，公司后期

拓展业务时，层次化结构更有利于扩展，当网络中的一个网元需要改变时对网络

的整体影响最小。

核心层的主要功能是实现流量的高速转发，以及骨干网络的优化传输。由于

核心层交换机是整个企业网最核心的部分，所以在进行网络设备选型时需选择性

能较高的设备，核心层设备也将占规划预算的主要部分。为了核心层的高速转发，

最好尽可能少地在核心层上配置控制功能，并且要实施冗余设计，避免出现单点

故障导致整个企业网瘫痪的情况。核心层是连接外网和内网的中间点，并且连接

着各个汇聚设备，为了保证核心设备的稳定性和足够的链路带宽，这里采用双核

心设计，可以实现冗余备份和负载均衡，来实现高速转发。

汇聚层作为连接核心层和接入层的通道，位于中间一个很重要的位置，要求

汇聚层的设备要具有良好的管理能力，并且设备的性能要足够高，这样才能实现

对资源访问的控制、对通过核心层流量的控制等需求。同时为了保证核心层的高

速转发不受干扰，应向核心层屏蔽接入层的详细信息，也要对接入层屏蔽网络的

部分信息。在汇聚层，为了防止环路导致网络广播风暴、多帧复制和MAC表不稳

4

湖南商务职业技术学院毕业设计

定等隐患，这里配置MSTP；为了缩短网络发生故障时的中断时间，这里配置VRRP

进行网关冗余。

接入层主要是对各模块的广播流量进行隔离，避免相互之间产生影响，也是

为了安全起见。接入层让各模块终端用户接入企业网，再通过VLAN技术进行划

分，实现模块之间的隔离。接入层对网络设备性能要求不高，一般选用二层交换

机，来实现安全、管理和快速接入功能。在接入层以部门为单位对公司内部网络

进行VLAN划分，Trunk链路不允许通过不必要的数据，可以提供网络本地网段

的访问，着重完成逻辑网络分段、基于VLAN隔离广播通信量。

在项目部、产品部等研发部门所在的楼层设置AP，方便开发人员接入无线

网络，完成对产品的测试、上线等工作。防火墙设置untrust区，trust区和DMZ

区，trust区域连接内网，外网属于外来访问区，即为untrust区，DMZ区连接

企业的服务器。对防火墙进行配置，使内网服务器能通过防火墙访问外网，再配

置防火墙安全策略。企业需要建立属于自己的小型数据中心和各种网络应用服务，

但由于中小型企业预算有限，在硬件的采购上应着重考虑性价比。本企业考虑建

设云计算服务平台，将有限的硬件服务器虚拟成多台服务器，在上面部署多种网

络应用服务，节省硬件服务器成本。

4.4拓扑图

根据以上设计思路，规划出最符合企业要求的拓扑图，设计出的拓扑图如图

1所示。

图1企业局域网拓扑图

5

湖南商务职业技术学院毕业设计

针对长城信息公司的网络规划和设计方案，可以根据不同的链路和网络设备

进行分类说明，具体如下：

链路分类：

(1)光纤链路：长城信息公司对于长距离传输和高速数据传输，采用光纤链

路是最好的选择。该链路可承载高带宽的数据传输，适合于数据中心和服务器之

间的通信。

(2)以太网链路：公司对于局域网内的设备之间的通信，采用以太网链路是

比较常见的选择。该链路速度较快，成本相对较低，适合于小范围内的设备之间

通信。

(3)无线链路：公司对于移动设备和无线接入点之间的通信，采用无线链路

是最好的选择。该链路无需布线，适合于随时随地进行通信的场合。

网络设备分类：

(1)交换机：交换机是连接不同设备的关键设备，它可以实现设备之间的通

信和数据的转发。

(2)路由器：路由器是连接不同网络之间的关键设备，它可以实现网络之间

的通信和数据的转发。

(3)防火墙：防火墙是网络安全的重要设备，可以实现网络的访问控制和数

据的过滤。

5设备选型及预算

5.1核心层设备

核心层交换机选用新华三的三层交换机H3CS6520X-30QC-EI，其外观如图2

所示：

图2H3CS6520X-30QC-EI外观

H3CS6520X-30QC-EI的参数如表1所示。

6

湖南商务职业技术学院毕业设计

表1核心交换机参数

产品类型万兆以太网交换机

应用层级三层

传输速率10/100/1000/10000Mbps

交换方式存储-转发

5.2汇聚层设备

汇聚层交换机选用新华三的H3CS5500V2-34S-EI，其外观如图3所示。

图3H3CS5500V2-34S-EI外观

H3CS5500V2-34S-EI的参数如表2所示。

表2汇聚交换机参数

产品类型千兆以太网交换机产品

应用层级三层

传输速率10/100/1000Mbps

交换方式存储-转发

5.3接入层设备

接入层交换机选用新华三的H3CS5110-28P-SI，其外观如图4所示。

图4H3CS5110-28P-SI外观

7

湖南商务职业技术学院毕业设计

H3CS5110-28P-SI的参数如表3所示。

表3接入交换机参数

产品类型千兆以太网交换机

应用层级二层

传输速率10/100/1000Mbps

交换方式存储-转发

5.4路由器设备

出口路由选用新华三的H3CMSR56-60，其外观如图5所示。

图5H3CS5110-28P-SI外观

H3CMSR56-60的参数如表4所示。

表4路由器参数

路由器类型企业级路由器

端口结构模块化

2个USB2.0端口

1个CON

其它端口

1个AUX

1个CON(Mini-USBTypeAB)

扩展模块6个HMIM插槽+1个DHMIM+2个VPM

5.5服务器设备

防火墙Trust区的服务器这里选用新华三的H3CR4900G3(银牌

4114/32GB2*2.4TB)，其外观如图6所示。

8

湖南商务职业技术学院毕业设计

图6H3CR4900G3(银牌4114/32GB2*2.4TB)服务器外观

H3CR4900G3(银牌4114/32GB2*2.4TB)的参数如表5所示。

表5服务器参数

产品类型企业级

产品类别机架式

CPU类型Intel至强银牌

CPU频率2.2GHz

5.6防火墙设备

企业网内的防火墙选用华为的USG6365E-AC，其外观如图7所示。

图7USG6365E-AC外观

USG6365E-AC参数如表6所示。

表6防火墙参数

2×10GE(SFP+)8×GE

网络端口

Combo2xGEWAN

1×USB2.0

控制端口

1×USB3.0

5.7无线AP设备

企业网内的无线AP选用新华三的H3CWA5320，其外观如图8所示。

9

湖南商务职业技术学院毕业设计

图8H3CWA5320外观图

H3CWA5320的参数如表7所示。

表7无线AP参数

产品类型无线AP

网络标准IEEE802.11b，IEEE802.11g，IEEE802.11n，IEEE802.11acwave2

频率范围双频(2.4GHz，5GHz)

5.8无线AC设备

企业网内的无线AC选用新华三的H3CWX2510H，其外观如图9所示。

图9H3CWX2510H外观图

H3CWX2510H的参数如表8所示。

表8无线AC参数

产品类型无线AC

管理AP数量16

用户数1024

10

湖南商务职业技术学院毕业设计

6具体实施

6.1IP地址与VLAN划分

公司内以部门为单位，各个部门独立划分VLAN，为了今后增加信息点方便，

采用标准子网掩码，不划分子网。IP地址分配于VLAN划分如表9所示。

表9VLAN划分具体信息

VLAN号名称IP地址默认网关备注

11Caiwu192.168.11.1192.168.11.254财务部

12xiaoshou192.168.12.1192.168.12.254销售部

13Qiguang192.168.13.1192.168.13.254企管部

14Shichang192.168.14.1192.168.14.254市场部

15Yunying192.168.15.1192.168.15.254运营部

16Yantuo192.168.16.1192.168.16.254研拓部

17Xiangmu192.168.17.1192.168.17.254项目部

18chanpin192.168.18.1192.168.18.254产品部

6.2MSTP

多生成树协议，是把IEEE802.1w的快速生成树算法拓展而得到的，使用中

继技术来建立多个生成树。每个生成树进程都具有独立于其他进程的不同拓扑结

构，从而提供了多个数据传输路径和负载分配，从而提高了网络的容错能力。

MSTP协议通过将环路网络修剪成一个没有环的树形网络结构，从而来避免

报文在形成环的网络中的增生和无限循环，同时还为数据转发提供了多个冗余路

径，在数据转发过程中实现VLAN数据的负载均衡。

在本项目的设计中，由于采用了树形结构加网状结构的拓扑结构，网络拓扑

核心层、汇聚层和接入层中均出现了环路，因此在本局域网中核心层、汇聚层和

接入层均配置了MSTP，将形成环路的网络破环，以节省企业局域网中的通信开

销和资源占用率。具体配置命令如下。

核心层(以HX1为例)的配置命令如图10、图11所示。

#HX1是实例2的备份根桥。#HX1是实例1的根桥。

图10核心层MSTP配置命令1

#将vlan11、12、13、14加入MSTI1#将vlan15、16、17、18加入MSTI2

11

湖南商务职业技术学院毕业设计

图11核心层MSTP配置命令2

汇聚层(以HJ1为例)的配置命令如图12、图13所示。

图12汇聚层MSTP配置命令1

图13汇聚层MSTP配置命令2

接入层(以财务部为例)的配置命令如图14、图15所示。

图14接入层MSTP配置命令1

图15接入层MSTP配置命令2

MSTP配置验证结果(以HJ1为例)如图16所示。在实例1中，因为HJ1是根

桥，HJ1的端口Eth0/0/2和Eth0/0/3则是指定端口。在实例2中，HJ1的端口

12

湖南商务职业技术学院毕业设计

Eth0/0/3成为指定端口，端口Eth0/0/2则为根端口。

图16HJ1的MSTP配置验证结果

6.3VRRP

VRRP是虚拟路由器冗余协议。可以承担网关功能的路由器组将添加到备份

组中，以形成虚拟路由器。VRRP选择机制确定要在哪个路由器上执行转发操作，

局域网上的主机必需要将虚拟路由器配置为缺省网关。

在VRRP路由器组中，如果当前主路由器发生故障，则必须将一个路由器指

定为主路由器，将另一台路由器指定为备用路由器，以接管主路由器的工作。

在本企业局域网的汇聚层中配置VRRP协议，将汇聚层上多台设备虚拟成一

台网关设备，当公司内网的网关设备因不可抗力不可用时，为了让内网的数据流

量能够顺畅流通，VRRP会立马选出一个新的设备，让它成为网关设备，如此一

来网络中的通信就得到了保障。具体配置命令如下。

汇聚层(以HJ1为例)的配置命令如图17所示。

#设置抢占模式#设置vrid1的优先级为110#配置vrid1的虚拟网关为

192.168.11.254

图17汇聚层VRRP配置命令

13

湖南商务职业技术学院毕业设计

VRRP配置验证结果(以HJ1为例)如图18、19所示。HJ1交换机是vlan11

和vlan12的master，是vlan13和vlan14的backup。

图18汇聚层VRRP配置验证结果1

图19汇聚层VRRP配置验证结果2

6.4OSPF

OSPF是一个内部网关协议(InteriorGatewayProtocol，简称IGP)，用于

14

湖南商务职业技术学院毕业设计

在单一自治系统内决策路由。是对链路状态路由协议的一种实现，隶属内部网关

协议(IGP)，故运作于自治系统内部。

OSPF通过传播路由器之间的链路状态来提供路由信息在整个网络范围内的

可达性，并最终提供路由信息的动态检测，传播，同步和计算。

本企业网在出口路由与核心交换机、防火墙之间，核心交换机与各汇聚交换

机之间使用OSPF，为流量选择最短路径，使网络迅速收敛，能有效避免网络中

资源的浪费。具体配置命令如下。

核心层(以HX1为例)的配置命令如图20所示。

#在area0.0.0.5中宣告属于area0.0.0.5的接口#创建area0.0.0.5#在

area0.0.0.0中宣告属于area0.0.0.0的接口#创建area0.0.0.0#创建ospf1

的router-id1.1.1.1

图20核心层OSPF配置命令

汇聚层(以HJ1为例)的配置命令如图21所示。

图21汇聚层OSPF配置命令

出口路由的配置命令如图22所示。

图22出口路由OSPF配置命令

OSPF配置验证结果(以HJ1为例)如图23所示。

15

湖南商务职业技术学院毕业设计

图23HJ1的OSPF配置验证结果

6.5链路聚合

链路聚合是指将多个物理端口捆绑在一起成为一个逻辑端口，以实现输入输

出流量在各成员端口中的负荷分担。聚合链路也可以实现容错和冗余，主要参加

聚合的每条链路都是不同的物理路径即可。当一条链路断开时，流经的流量则会

重新自动分配到剩下的正常链路上，如此多个链路互为备份的链路聚合也能提高

企业网络的可靠性；当多个链路捆绑在一起成为一个新的逻辑链路时，这个新的

逻辑链路的带宽则是这几个连裤带宽的总和，因此链路聚合能够增加网络的带宽。

本企业网中核心交换机之间通过两条链路连接，将两条链路进行链路聚合，

且选用LACP模式，以供系统根据自身配置自动形成聚合链路并启动聚合链路收

发数据，实现了冗余备份、增加了网络带宽。具体配置命令如下。

核心层(以HX1为例)的配置命令如图24、图25所示。

#配置活动接口上限阈值为2#配置lacp模式。

图24核心层链路聚合配置命令1

16

湖南商务职业技术学院毕业设计

#配置接口优先级确定活动链路

图25核心层链路聚合配置命令2

核心层(以HX1为例)的配置验证结果如图26所示。核心层的HX1交换机上

的g0/0/5接口和g0/0/6接口加入了eth-trunk1，两条链路具有负载分担的能

力。

图26核心层链路聚合配置验证结果

6.6NAT

在本企业网中，对于内网终端用户若要与外网主机进行通信，就需要有一个

公有IP地址，因此需要应用到NAT技术。网络地址转换（NetworkAddress

Translation，NAT）属接入广域网（WAN）技术，是一种将私有（保留）地址转

化为合法IP地址的转换技术，它被广泛应用于各种类型Internet接入方式和各

种类型的网络中。本企业网将NAT技术配置在防火墙上，使内网在需要访问公网

时能转换能进行内、外网地址转换，NAT配置命令如图27所示。

#配置出接口方式#定义源地址#配置目标区域为untrust#配置源区域为

trust

17

湖南商务职业技术学院毕业设计

图27防火墙NAT配置命令

6.7安全策略

企业内网的正常运作非常重要，为了让企业的机密信息不被访问，为员工提

供一个顺畅的网络环境，企业网需要明确自己的安全需求，建立属于企业之间的

安全机制，保障企业网的安全，方便企业管理。

6.7.1防火墙策略

防火墙是企业内网与外网之间的保护屏障，保护企业内的设备和数据网不会

遭到非法用户的侵入。在防火墙上划分dmz、trust和untrust区，配置策略设

置规则，使内网用户即可以通过防火墙访问外网又能访问公司的服务器，外网用

户无法与公司内网终端进行通信，但能访问公司的web服务器。防火墙的策略配

置命令如图28所示。

#创建规则名为rule1的防火墙安全规则#配置动作为允许#配置目标区域

为dmz#配置源区域为untrust

图28防火墙策略配置命令

18

湖南商务职业技术学院毕业设计

6.7.2入侵检测和入侵防御

入侵检测系统是一种检测系统，主要是监听网络设备的信息传输行为，能够

及时中断和隔离有害的网络传输。在本企业网中，将入侵检测系统旁挂在防火墙

上，主要进行日常监听，提高报告和事后监督。入侵防御系统是对防病毒软件和

防火墙的补充，主要对流经的每个报文进行深度检测，一旦发现网络攻击则立即

采取抵御措施。在本企业网中，将入侵防御系统部署在防火墙之后，即外网与企

业网的连接处和服务器集群之前，以抵御外部攻击。

6.8无线局域网

在本企业网中，在研发部门所在的楼层设置无线局域网络，来弥补有线局域

网的不足，以达到网络延申的目的，让研发人员可以接入无线网络，用于开发、

测试等日常工作。在本次设计中提供无线AC来集中管理多个AP，无线AC的配

置命令如图29、30所示。

#配置管理vlan#配置业务vlan

图29无线AC配置命令1

19

湖南商务职业技术学院毕业设计

图30无线AC配置命令2

7网络性能调优

在长城信息公司的网络规划与设计中，网络性能调优是非常重要的一项工作。

这包括了VLAN优化、MSTP优化以及OSPF优化等方面。这些优化措施可以有

效地提升网络的性能和稳定性，保证长城信息公司的正常运转和发展。

7.1VLAN优化

在实际应用中，可能需要对VLAN进行优化，以满足不同业务的需求。其中，

修剪trunk端口的VLAN是一种常见的VLAN优化方式，可以有效提高网络的性能

和可管理性。

具体来说，在长城信息公司中从需要跨越多个交换机的VLAN配置trunk端

口中删除不需要跨越多个交换机的VLAN。然后通过配置VLAN优先级，优先处理

重要的数据流，从而提高网络的效率。再通过优化VLAN间的路由，减少路由器

的负载和延迟，从而提高网络的性能和效率。最后，测试网络的性能和可管理性，

确保网络正常运行。

7.2MSTP优化

MSTP是一种多重生成树协议，能够支持在一个网络中实现多个生成树，提

高网络的可靠性和可用性。然而，在实际应用中，MSTP的性能和可管理性可能

需要进行优化。

在长城信息公司的网络规划和设计中，采用设置边缘端口和根防护等来优化

MSTP。首先，将接入终端的端口设置为边缘端口，使其不参与生成树的计算，从

而减少生成树的计算量，提高网络性能。其次，使用根防护来避免生成树出现环

路，提高MSTP的可靠性和可用性。

20

湖南商务职业技术学院毕业设计

边缘端口不会连接其他交换机。长城信息公司在MSTP中，将这些端口设置

为边缘端口，可以避免在生成树计算中考虑这些端口的状态，从而减少生成树的

计算量。同时，这也可以提高网络的安全性，防止攻击者通过这些端口进入网络。

根防护是一种MSTP的特性，可以防止生成树出现环路，提高网络的可靠性

和可用性。具体来说，长城信息公司设置根防护来监控网络中的BPDU消息，并

在检测到生成树出现环路的情况下，将相应的端口设置为非根端口，从而避免环

路的出现。

在长城信息公司中每个交换机都有多个端口连接到其他交换机或终端设备

上，如果没有合理的配置，可能会产生环路，导致广播风暴和网络拥塞。使用MSTP

协议可以有效地解决这个问题，它可以将网络中的交换机划分成多个区域，每个

区域只保留一条主干链路，避免环路的产生。同时，MSTP协议还可以在网络中

自动切换备用链路，提高网络的可靠性和容错能力。通过MSTP协议的优化，企

业的网络可以更加稳定、可靠和高效。

7.3OSPF优化

OSPF是一种用于互联网协议网络的路由协议，它可以根据网络拓扑和链路

状态计算最短路径，实现网络的路由选择。在实际应用中，可能需要对OSPF进

行优化，以提高其性能和可管理性。

调整Hello和Dead间隔时间是一种常见的OSPF优化措施。Hello和Dead

间隔时间直接影响邻居关系的建立和维护，如果设置的过小会导致链路抖动和网

络拥塞。因此，在长城信息公司的核心层交换机中将调整合适的间隔时间可以降

低链路抖动和网络拥塞，提高公司网络的性能和稳定性。

配置路由汇聚也是一种常见的OSPF优化措施。在网络中设置汇聚路由器，

将长城信息公司网络中各个区域的路由汇聚到一起，减少冗余路由信息，提高网

络的可扩展性和稳定性。通过设置汇聚路由器，可以降低路由器的数量，减少路

由信息的冗余，从而提高公司网络的性能和稳定性。

还可以通过优化长城信息公司网络拓扑结构和配置路由优先级来提高网络

的性能和效率。尽量减少公司网络的复杂度和层级，避免产生过多的路由器和链

路。通过配置路由器优先级，让处理能力更强的路由器优先去处理路由信息。

长城信息公司是一家正在快速发展的IT公司，规模正在不断扩大，为了不

浪费企业先前的投资，又要满足企业后续发展的需要，本项目在设计时就预先考

虑到这个问题，所以无论是在网络拓扑设计还是网络设备的选型上，都以业务扩

展为重，网络拓扑设计选用层次化结构更有利于扩展，当网络中的一个网元需要

改变时对网络的整体影响最小；网络设备选型上例如本企业网选用的核心交换机

21

湖南商务职业技术学院毕业设计

的插槽数量达26个，且支持万兆SFP+光接口板卡、40GEQSFP+光接口板卡、

5G/2.5G/1GBase-T接口板卡、防火墙板卡等扩展模块，可扩展性较强，且传输

速率10/100/1000/10000Mbps，满足核心层目前及业务扩展后的流量高速转发；

让日后增加新子网、接入新终端、改变接入模式等改变不会对网络拓扑造成很大

的影响和改变，先前投资的网络设备能够继续使用，减少了扩展建设成本。

传统的企业信息化系统大部分建设在没有连接互联网内网中，在这种情况下，

遇到疫情等特殊情况要企业要实现远程办公就有了难度，由于本企业大部分业务

是跟政府对接，保密性要求较高，故采用私有云+公有云混合部署，将对安全性

和保密性要求较高的业务系统部署在企业内网，将非敏感业务系统部署在互联网

第三方公有云平台上，当对安全性要求