力宇科技有限公司网络规划设计

湖南商务职业技术学院毕业设计

目录

1项目概述.........................................................1

1.1项目背景...................................................1

1.2目的与意义.................................................1

2项目需求分析.....................................................2

2.1项目需求分析...............................................2

2.2网络需求分析...............................................2

3网络规划设计.....................................................2

3.1网络拓扑结构...............................................2

3.2VLAN与IP规划..............................................3

3.2.1VLAN规划.............................................3

3.2.2IP规格...............................................4

4网络设备选型.....................................................5

4.1路由器选型.................................................5

4.2交换机选型..................................................6

4.2.1核心交换机...........................................6

4.2.2接入交换机...........................................8

4.2.3汇聚交换机..........................................10

4.3防火墙选型.................................................11

5网络部署实现优化.................................................12

5.1MSTP协议..................................................12

5.2VLAN部署..................................................13

5.3防火墙配置................................................14

6项目测试........................................................15

7设计小结........................................................17

参考资料..........................................................18

湖南商务职业技术学院毕业设计

力宇科技有限公司网络规划设计

1项目概述

1.1项目背景

湖南力宇科技有限公司成立于2013年8月1日。公司经营能源技术研究、

技术开发服务；新能源技术推广；合同能源管理；发电机及发电机组制造；机

电设备的维修及保养服务；机电设备租赁与售后服务；机电产品销售；机电设

备研发；新材料、新设备、节能及环保产品的安装。（依法须经批准的项目，

经相关部门批准后方可开展经营活动）

如今，随着科技的飞速发展，经济一体化、信息化、网络化已成为社会发

展的必然趋势，企业已有了WEB服务器、门户网站、电子邮件服务，并已建立

起了综合查询、企业生产、电子商务、EDI等信息系统，大量的重要数据和信

息都储存在网络服务器上。在加快网络发展和建设的同时，必须要考虑到网络

的安全问题，规划和建设要与网络的安全同步。

总之，随着互联网的建设和发展，其结构的复杂性和可变性，以及其自身

的脆弱性，使其成为客观存在的问题。要跻身于国际一流企业之列，就必须强

化安全监管，建立安全防范体系，提升公司的安全管理能力。

1.2目的与意义

(1)资源共享，信息化工作，远程视频等是目前力宇科技信息化的一个重要

特征。

(2)由于资讯越来越多，各力宇科技越来越需要利用电脑来处理各类资讯。

同时，利用信息技术进行教育和教学，为教师提供了一种新的互动方式，具有

独特的优越性。

(3)随着越来越多的企业和组织参与到网上教学和软件的开发，为网上教学

提供了更多的可供选择的途径，同时，良好的竞争也使当前的网络教学环境更

加人性化。

(4)既节约了资源，又避免了浪费，又能让力宇科技各级工作人员更有效率

地获得所需要的资源，提升合作效能，因此可做为力宇科技资讯教育的基础平

台，能提升行政管理水平，提员工工作效率，能有效改善力宇科技的整体工作

1

湖南商务职业技术学院毕业设计

质量。

2项目需求分析

2.1项目需求分析

在知识经济的今天，资讯资源已成为教育与企业的一种重要战略资源，因

此，教育部门在教育、教育、科研、远程教育、因特网等各功能模块的设计，

包括工作、实训、图书馆、宿舍、生活区等。教育部门要达到资源共享的目标，

就必须设计出一套适合力宇科技的网络架构，并提供完备的网络技术。

2.2网络需求分析

（1）功能需求

1、力宇科技局域网具有远距离通讯的能力，可快速、便捷地进行远程连接，

确保通讯品质和信息资源的共享。

2、满足力宇科技日常工作需要和多媒体平台的支持，能够在互联网上共享

电脑软件、硬件和软件资源。

3、无纸工作是现代工作的基础，它应该包括电子邮件的收发、电子文件的

传送、电子文件的统一管理。

4、完善的信息交流功能，包括查询、电子新闻、电子公告等。

5、为了保证有关资料的安全，必须保证网络络系统的安全性和可靠性。

（2）性能需求

根据力宇科技目前的网络基础情况，按照合理规划、实用至上的原则，按

照经济、先进性、稳定性等原则，采用目前较为先进、主流、应用广泛的组网

方式，综合制定了如下组网方案：以千兆以太网交换技术为骨干，将千兆光纤

接入二级交换机，百千兆接入计算机，有效地实现与外部网络节点的连接、信

息交互通讯功能。

3网络规划设计

3.1网络拓扑结构

力宇科技网络拓扑结构图介绍如下：工作楼网络的建设主要用于各科室应

用，需要构建内部工作网络体系，为各种人员搭建一个满足工作管理信息化平

2

湖南商务职业技术学院毕业设计

台，提高资源利用率，提升工作效率。工作区域网络络拓扑如图1所示。

图1力宇科技网络拓扑

3.2VLAN与IP规划

3.2.1VLAN规划

VLAN的分类可以分为静态VLAN和动态VLAN,静态VLAN就是明确指定各端

口所属VLAN的一种划分方法。也称为基于端口的VLAN。动态VLAN是根据每个

端口所连的计算机，动态设置端口所属VLAN的划分方法。给它们划分好VLAN，

这样便于管理与安全。

(1)将工作楼1，工作楼2分别为VLAN101和VLAN102这样便于安全性,员

工宿舍将每层进行VLAN分层，这样加强网络管量，同时便于安全性。具体Vlan

分配如表1所示。

表1VLAN规划表

场地楼层Vlan号IP地址子网掩码

力宇科技楼1、1-5层Vlan101

工作楼楼2、1-5层Vlan102

力宇科技1层Vlan103

员工宿舍宿2层Vlan104

3

湖南商务职业技术学院毕业设计

舍3层Vlan105

14层Vlan106

5层Vlan107

1层Vlan108

2层Vlan109

宿

3层Vlan110

舍

4层Vlan111

2

5层Vlan112

中心管理机房五楼管理间Vlan113

(2)力宇科技行政楼包括，财务科,教务科,机房,员工楼。这些部门分别独立又

有联系，在基本的同VLAN之间计算能相互连网，但有时安性的前提下，又要

相互独立，因此必须按以下表2划分,加强同科室与别的科室的网络安全性，同

时减少网络风暴。具体Vlan分配如表2所示。

表2VLAN规划表

场地楼层Vlan号IP地址子网掩码

财务科Vlan114

力宇科技工作楼

校工作室Vlan117

工作楼1-5层

电教科Vlan120

机房五楼、六楼Vlan128

员工楼1Vlan129

员工楼

员工楼2Vlan130

3.2.2IP规格

IP的初始分配十分重要的，为了防止IP冲突，对全校的IP分配的把握及安

排显得极为重要，因此在下面对全校进行IP分配，以按力宇科技为例，对全局

的IP分配进行统一设定，具体分配如表3所示。

表3VLAN分配表

场地楼层起始IP地址结束IP地址IP网段

力宇科技楼1、1-5层0

4

湖南商务职业技术学院毕业设计

工作楼楼2、1-5层0

1层00

2层00

3层00

宿舍1

4层00

5层00

员工1层00

2层00

3层00

宿舍2

4层00

5层00

中心

五楼管理间0

管理机房

4网络设备选型

4.1路由器选型

出口路由器采用华为的NetEngineAR6710-L26T2X4，NetEngineAR6710系

列路由器是华为公司研制的全新一代路由器，它基于ARM架构多核处理器和无

阻塞交换架构，主要应用于SD-WAN解决方案场景，满足了企业业务多元化和

云化趋势下对网络设备高性能的需求。出口路由器的规格如下图2和表4所示：

图2NetEngineAR6710-L26T2X4

表4出口路由器的规格

型号规格NetEngineAR6710-L26T2X4

处理器ARM644核

SD-WAN转发性能1.2G

5

湖南商务职业技术学院毕业设计

固定WAN接口：2*10GE光，2*GE电

固定端口固定LAN接口：24*GE电（所有LAN口可切换为

WAN口）

技术支持

基础功能DHCPserver/client/relay，NAT，子接口管理

IEEE802.1P，IEEE802.1Q，IEEE802.3，VLAN管

局域网

理，MAC管理，STP等

ipv4单播路由路由策略，静态路由，RIP，OSPF，IS-IS，BGP

静态路由，路由策略，RIPng，OSPFv3，IS-ISv6，

ipv6单播路由

BGP4+

Pv6ND，IPv6PMTU，IPv6FIB，IPv6ACL，ICMPv6，

ipv6基本功能

DNSv6，DHCPv6

隧道技术GRE隧道，NATSTUN，IPsec

VPNGREVPN，SD-WANEVPN

优先级映射，流量监管（CAR），流量整形，拥塞避

免，拥塞管理，MQC（流分类，流行为，流策略），

QoS

端口三级调度和三级整形（HierarchicalQoS），

智能应用控制（SAC）

安全ICMP防攻击，URPF，CPCAR，攻击源追踪

升级管理，设备管理，GTL，SNMP（v1/v2c/v3），

管理维护RMON，NTP，U盘/DHCP开局，邮件开局，

NetConf/YANG，CLI，TCPFPM，NQA

4.2交换机选型

4.2.1核心交换机

CloudEngineS6735-S系列交换机（以下简称“S6735-S”）是面向下一代

企业网络架构推出的高性能全万兆以太网交换机，可提供24口、48口全万

兆款型；具有丰富的业务特性，完善的安全管控，简易的运行维护，成熟的IPv6

特性，可广泛应用于企业园区核心和汇聚、数据中心接入等多种应用场景。核

心交换机的规格如下图3和表5所示：

6

湖南商务职业技术学院毕业设计

图3CloudEngineS6735-S24X6C

表4核心交换机规格

型号规格CloudEngineS6735-S24X6C

交换容量2.56T/25.6Tbps

包转发率1260Mpps

固定端口24个万兆SFP+，6个40/100GEQSFP28

业务特性

特性特性描述

遵循IEEE802.1d标准

支持MAC地址自动学习和老化

MAC特性

支持静态、动态、黑洞MAC表项

支持源MAC地址过滤

支持4K个VLAN

支持GuestVLAN、VoiceVLANs

支持GVRP协议

VLAN特性

支持MUXVLAN功能

支持基于MAC/协议/IP子网/策略/端口的VLAN

支持VLANMapping功能

支持RIP、OSPF、ISIS、BGP等IPv4动态路由协议

ip路由支持RIPng、OSPFv3、ISISv6、BGP4+等IPv6动态

路由协议

7

湖南商务职业技术学院毕业设计

支持RRPP环型拓扑和RRPP多实例

支持SmartLink树型拓朴和SmartLink多实例，提

供主备链路的毫秒级保护

支持智能以太保护SEP协议

环网保护支持ERPS以太环保护协议（G.8032）

支持BFDForOSPF/ISIS/VRRP/PIM协议

支持STP（IEEE802.1d），RSTP（IEEE802.1w）和

MSTP（IEEE802.1s）协议

支持BPDU保护、根保护和环回保护

支持LACP

支持E-Trunk

支持以太网OAM802.3ah和802.1ag

支持ITU-Y.1731

可靠性

支持DLDP

支持LLDP

支持BFDforBGP/IS-IS/OSPF/静态路由等

支持硬件BFD和OAM

4.2.2接入交换机

接入交换机采用华为的CloudEngineS5731-H24T4XC，CloudEngineS5731-H

系列交换机是华为公司推出的新一代智能千兆交换机，基于华为公司统一的

VRP（VersatileRoutingPlatform）软件平台，具备有线无线深度融合能力，

支持随板AC，最多可管理1KAP；具备业务随行能力，提供一致的用户体验；

具备VXLAN能力，支持网络虚拟化功能，满足园区网络一网多用的需求；同时，

该系列交换机内置安全探针，支持异常流量检测、加密。接入交换机的规格如

下图4和表6所示：

图4CloudEngineS5731-H24T4X

表6接入交换机规格

8

湖南商务职业技术学院毕业设计

型号规格CloudEngineS5731-H24T4XC

交换容量1.28/12.8Tbps

包转发率426Mpps

固定端口24个10/100/1000Base-T以太网端口，4个万兆

SFP+

业务特性

特性特性描述

遵循IEEE802.1d标准

支持MAC地址自动学习和老化

MAC地址表支持静态、动态、黑洞MAC表项

支持源MAC地址过滤

支持接口MAC地址学习个数限制

支持4K个VLAN

支持GuestVLAN、VoiceVLANs

VLAN特性支持GVRP协议支持MUXVLAN功能

支持基于MAC/协议/IP子网/策略/端口的VLAN

支持VLANMapping功能

支持RRPP环型拓扑和RRPP多实例

支持SmartLink树型拓朴和SmartLink多实例，

提供主备链路的毫秒级保护

支持智能以太保护SEP协议

环网保护技术

支持ERPS以太环保护协议（G.8032）

支持BFDForOSPF/ISIS/VRRP/PIM协议

支持STP，RSTP和MSTP协议

支持BPDU保护、根保护和环回保护

支持LACP

支持E-Trunk

支持以太网OAM802.3ah和802.1ag

可靠性

支持ITU-Y.1731

支持DLDP和LLDP

支持BFDforBGP/IS-IS/OSPF/静态路由等

9

湖南商务职业技术学院毕业设计

4.2.3汇聚交换机

汇聚层选用华为S5720-56C-EI-48S-AC交换机，该交换机具备多种设备级

别及链路级别的可靠保障，通过智能的叠加，提供了丰富的安全性，并对接入

终端进行了IP加密，同时还支持NAT,ACL等用户控制机制，保证了用户的安

全性。

图5华为S5720-56C-EI-48S-AC交换机

表7设备技术参数

交换机类

千兆以太网交换机

型

属性华为S5720-56C-EI-48S-AC

传输速率10/100/1000Mbps

端口数量48个

端口描述48个100/1000Base-XSFP，4个10GigSFP+

AC100-240V；50/60Hz

电源电压

DC-48-60V

电源功率68.8W

工作温度：0-45℃

环境标准

工作湿度：5%-95%

支持4K个VLAN；支持GuestVLAN、VoiceVLAN；支持基

VLAN于MAC/协议/IP子网/策略/端口的VLAN；支持1:1和N:1

VLAN交换功能；支持SuperVLAN

支持IGMPv1/v2/v3Snooping和快速离开机制；支持VLAN

组播管理内组播转发和组播；多VLAN复制；支持捆绑端口的组播负

载分担；支持可控组播；基于端口的组播流量统计

10

湖南商务职业技术学院毕业设计

4.3防火墙选型

防火墙采用华为的USG6525F，华为HiSecEngineUSG6500E系列(盒式)是面

向中小企业和连锁机构推出的企业级AI防火墙，在提供NGFW能力的基础上，

联动其他安全设备，主动积极防御网络威胁，增强边界检测能力，有效防御高

级威胁，同时解决性能下降问题。产品提供模式匹配以及加解密业务处理加速

能力，使得防火墙处理内容安全检测、IPSec等业务的性能显著提升。支持联动

华为乾坤安全云服务，提供边界防护与响应、漏洞扫描、日志审计等服务，端

云联动，立体防御。广泛适用于教育、医疗、零售等行业。防火墙的规格如下

图6和表8所示：

图6HiSecEngineUSG6525F

表8防火墙的规格

型号规格HiSecEngineUSG6525F

固定端口2x10GE(SFP+)+8xGECombo+2xGEWAN

技术支持

集传统防火墙、VPN、入侵防御、防病毒、数据防泄

漏、带宽管理、Anti-DDoS、URL过滤、反垃圾邮件

一体化防护

等多种功能于一身，全局配置视图和一体化策略管

理

可识别6000+应用，访问控制精度到应用功能。应用

应用识别与管理识别与入侵检测、防病毒、内容过滤相结合，提高

检测性能和准确率

第一时间获取最新威胁信息，准确检测并防御针对

入侵防御与web防护漏洞的攻击。可防护各种针对web的攻击，包括SQL

注入攻击和跨站脚本攻击等

防病毒病毒库每日更新，可迅速检出超过500万种病毒

数据防泄漏对传输的文件和内容进行识别过滤，可准确识别常

11

湖南商务职业技术学院毕业设计

见文件的真实类型，如Word、Excel、PPT、PDF等，

并对内容进行过滤

支持基于VLANID、五元组、安全域、地区、应用、

URL分类和时间段等维度对流量进行管控，并同时

进行内容安全的一体化检测。预置常用防护场景模

安全策略管理

板，快速部署安全策略，降低学习成本。与FireMon，

Algosec公司合作提供安全策略管理解决方案，降低

运维成本，减少故障风险

支持多种用户认证方式，包括本地认证、RADIUS、

HWTACACS、AD、LDAP等。防火墙支持内置Portal

用户认证

及Portal重定向功能，与AgileController配合

可以实现多种认证

5网络部署实现优化

5.1MSTP协议

MSTP是多生成树协议。该技术的出现是为了弥补标准生成树和快速生成树

的缺点，标准生成树在收敛速度上存在缺陷，快速生成树在标准生成树基础上

进行改进，加快了收敛的速度，但是还是存在缺陷，无法对VLAN流量的转发路

径进行冗余，为了改变这些缺点MSTP就出现了，MSTP技术既能实现快速收敛也

可以对实例映射的流量进行备份转发。MSTP技术把一个交换网络划分成为多个

区域，每一个区域内都形成自己的生成树，各个区域之间彼此独立，但是各个

生成树还是进行连接的，这样就形成了多棵无环路的树，达到同时解决广播风

暴并且实现冗余备份的目的。该技术还可以实现VLAN间的负载分担，使不同的

VLAN流量按照不同的物理链路进行数据转发，通过实例的映射，把VLAN加入实

例当中，将VLAN与生成树进行了关联，通过实例还可以把多个VLAN捆绑进同

一个实例中，从而节省了链路的开销，减小了资源的占用率。实现了VLAN的负

载分担。MSTP协议弥补了标准生成树和快速生成树的缺点，当标准生成树和快

速生成树与多生成树同时运行时多生成树，是向下兼容，是兼容STP和RSTP的，

MSTP会改变自己的运行状态，从而达到无环的状态。MSTP在本次项目中所起到

的作用就是防环和备份，并且对各个部门的VLAN流量进行负载分担，合理的对

链路的带宽进行分配，减小链路带宽资源的占用率。

12

湖南商务职业技术学院毕业设计

5.2VLAN部署

VLAN虚拟局域网，VLAN技术的出现是为了处理广播域过大的问题，该技

术可以在逻辑层面上把交换机端口加入不同的局域网，达到路由器端口的效果，

从而进行广播域的隔离。该技术的实现是在交换机内部进行的，通过对数据帧

进行打标签，解标签操作，达到对数据帧的透明传输，减小广播帧的传输范围。

交换机内部有一张MAC地址表，交换机通过把端口和VLAN标签进行关联，记录

在MAC地址表项中，就如同IP路由表一样，对数据进行查表转发，实现数据的

精确转发，确保数据帧只能在相同的虚拟局域网中转发，不会出现跨局域网转

发数据帧的现象。根据端口进行虚拟局域网的划分可以跨楼层，主机所处的物

理位置不在同一个地方也不会影响虚拟局域网的划分。这样就可以大大增加

VLAN技术所使用的灵活性，在此次项目实现中就需要用到VLAN技术对公司的各

个部门进行划分，把各个部门划分到不同的局域网当中，保证各个部门数据的

安全性，不会因为哪一个部门出现问题从而影响到别的部门。

<Huawei>undoterminalmonitor；关闭终端显示提示信息功能

<Huawei>sys

<Huawei>undoinfo-centerenable；命令产生的日志信息不记录

[Huawei]sysnameLSW1；设置设备主机名为LSW1

//创建vlan

[LSW1]vlanbatch102030405060100101

；每个vlan的编号为102030405060100101

[LSW1]stpenable；开启AP有线口的stp功能

[LSW1]stpregion-configuration；进入mst域视图

[LSW1-mst-region]region-namehuawei；配置交换设备mst域名huawei

[LSW1-mst-region]revision-level5；配置交换设备mst域的mstp修

订级别为5

[LSW1-mst-region]instance1vlan102030100；指定vlan映射

到102030100

[LSW1-mst-region]instance2vlan405060；指定vlan映射到40

5060

[LSW1-mst-region]activeregion-configuration；激活mst域配置

[LSW1-mst-region]quit；退出

13

湖南商务职业技术学院毕业设计

[LSW1]inte0/0/1；进入接口e0/0/1

[LSW1-Ethernet0/0/1]portlink-typetrunk；配置接口链路为trunk

[LSW1-Ethernet0/0/1]porttrunkallow-passvlanall；配置trunk

接口加入vlan

[LSW1-Ethernet0/0/1]inte0/0/2；进入接口e0/0/2

[LSW1-Ethernet0/0/2]portlink-typetrunk；配置接口链路为trunk

[LSW1-Ethernet0/0/2]porttrunkallow-passvlanall

；配置trunk接口加入vlan

[LSW1-Ethernet0/0/2]inte0/0/3；进入接口e0/0/3

[LSW1-Ethernet0/0/3]portlink-typeaccess；配置接口链路为access

[LSW1-Ethernet0/0/3]portdefaultvlan10；配置接口的缺省vlan并

加入vlan10

[LSW1-Ethernet0/0/3]inte0/0/4；进入接口e0/0/4

[LSW1-Ethernet0/0/4]portlink-typeaccess；配置接口链路为access

[LSW1-Ethernet0/0/4]portdefaultvlan10；配置接口的缺省vlan并加

入vlan10

5.3防火墙配置

intg0/0/1

ipadd24

intg0/0/2

ipadd24

#进入接口,配置ip地址

ospf1

are0

network55

network55

#创建ospf进程1,在区域0中宣告网段

14

湖南商务职业技术学院毕业设计

6项目测试

（1）内网主机互通测试，各部门主机互相访问

图7内网主机互通测试

（2）内网主机访问外网测试

图8pc1内网主机访问外网测试

（3）无线网络主机（笔记本电脑模拟器手机模拟器）访问内网主机测试：

15

湖南商务职业技术学院毕业设计

图9无线网络主机访问内网测试

（4）无线网主机（笔记本电脑模拟器手机模拟器）访问外网测试：

图10无线网主机访问外网测试

（5）互联网主机无法ping通企业内网主机

16

湖南商务职业技术学院毕业设计

图10互联网主机

7设计小结

本次毕业设计在调研力宇科技公司网络建设的现状和问题后，根据实际，

提出了网络建设的总体规划、网络技术，并给出了相应的改进措施，从某种意

义上解决了原来的一些问题。网路规划与建