秦云公司网络规划与设计

湖南商务职业技术学院毕业设计

目录

1项目简述.........................................................1

1.1企业背景.....................................................1

1.2企业规模.....................................................2

1.3企业需求.....................................................2

2网络建设规划......................................................2

2.1架构设计.....................................................2

2.2拓扑设计.....................................................3

2.3资源规划.....................................................4

2.3.1IP地址.................................................4

2.3.2VLAN划分...............................................5

2.4优化管理.....................................................5

2.4.1接口描述...............................................6

2.4.2设备命名...............................................6

2.4.3安全区域划分...........................................6

3设备选型..........................................................6

3.1交换机型号...................................................6

3.1.1核心设备...............................................7

3.1.2汇聚设备...............................................8

3.1.3接入设备...............................................9

3.2路由器型号...................................................9

3.3防火墙型号..................................................11

4网络技术.........................................................12

4.1IPV4地址...................................................12

4.2VLAN........................................................12

4.3静态路由....................................................12

4.4链路聚合....................................................12

4.5设备虚拟化..................................................13

I

湖南商务职业技术学院毕业设计

4.6生成树......................................................13

4.7网关备份....................................................13

5网络实现.........................................................13

5.1网络组网....................................................13

5.2安全组网....................................................16

5.3网络优化....................................................16

5.4实测检验....................................................17

6验收测试.........................................................18

6.1核心设备IRF检测............................................18

6.2网络优化检测................................................18

6.3安全环境检测................................................19

7设计小结.........................................................20

参考资料...........................................................21

II

湖南商务职业技术学院毕业设计

秦云公司网络规划与设计

1项目简述

描述网络建设方案背景、规模、需求的章节，通过开篇描述有助于方案的

依次寻径完成。

1.1企业背景

秦云集团创立于2011年，团队起源于2006年，公司总部位于广东顺德，

在北京、上海、香港、捷克、法国、德国、英国、俄罗斯等地设有多家分支机

构，公司现拥有德尔玛、飞利浦水健康、秦云电商三大事业群，旗下拥有生活

家电品牌DEERMA德尔玛、WELLSKINS美容个护品牌薇新、小电鱼等自有品

牌，专注于为用户提供优质生活方式与“好设计、好品质、高性价比”的改善

型小家电产品；收购及运营世界500强飞利浦全球水健康业务，聚焦水健康领

域科技创新和全屋智能水处理解决方案，用有意义的创新来改善人们的生活；

运营华帝卫浴五金、大自然家居旗下大自然饰万家品牌，专注于为广大家庭提

供高性价比的健康品质卫浴产品。

近几年公司以出色的研产销实力，相继获得“国家级电子商务示范企业”、

“高新技术企业”、“广东省知识产权示范企业”、“广东省名牌产品”、

“广东省500强企业”、“广东省制造业100强”、“国家知识产权优势企业”

等行业殊荣。凭借强大的企业竞争力和巨大的未来发展潜力，公司在2018年中

成功获得中信产业基金5亿元A轮战略投资；2018年中全资收购世界500强飞

利浦旗下全球水健康业务；2023年与小米集团、顺为资本战略合作，合资成立

小米生态链企业——电鱼科技；2023年与大自然家居战略合作，合资成立大自

然卫浴企业——大自然饰万家；2020年2月再获3.3亿元A+轮投资，由启承

（京东）、弘章资本、欧派集团领投。

未来秦云集团将以“用产品改善生活细节，让人们提高生活品质”为使命，

以“用户至上、奋斗为本、人才唯先、创新精神、团队合作、至诚守信”为企

业核心价值观，通过进行多品牌、多类目、多渠道的国际化布局，打造面向全

球十亿家庭的优秀自有品牌与创新产品。

1

湖南商务职业技术学院毕业设计

1.2企业规模

集团企业规模庞大，为有效保障公司业务稳定进行发展，选取总部片区进

行网络更新重做模范实验点；总部片区为今年新建产区，产区包含工作人员15

00人，信息需求设备量有3000左右，产区部门共有五个部门分别为生产部、

业务部、财务部、信息部、管理部、后勤部。

1.3企业需求

有效保障网络更新发展的同时保障公司业务稳定进行，采用实验片区升级

改造的方式对集团网络依次进行更新；对于网络更新需求如下：

1.网络更新重做需满足当下产区所有的信息需求量，并预留满足容纳约产

区二分之一的网络需求资源，也就是网络信息接入资源预留。

2.网络重做要保障全网互联互通，内部网络能够对互联网访问成功，内部

网络不暴露在互联网内，服务器有特定需求需要使能互联网访问；在日常满足

网络需求情况下带宽仍有空闲，避免网络拥塞造成。

3.网络重做对于结构的设计要层次分明、安全可靠、冗余度要求高；在网

络出现故障时有备份线路并且能够最快速度检测故障排除恢复网络。

4．网络重做要具有高安全性，对于内部用户数据的保密、权限、病毒攻

击等安全防护，做好安全入侵的防御设计，如果遭受攻击能够做到及时止损，

防范数据丢失等等。

2网络建设规划

网络建设规划时对整体网络方案、网络拓扑、资源分配以及网络的优化管

理进行简要描述。

2.1架构设计

新实验产区左右模范实验点，重做的网络设计对于架构改造尤为重要；将

此次网络建设网络架构层次设计为分部接入总部的架构，分部使用双线路接入

至总部，内部网络采取分层形式，以树形三层结构作为其结构规划，有核心层、

汇聚层、接入层，每层功能作用独立。

网络内部权限等级划分，管理部拥有最高权限，其次是信息部，其余部门

为普通用户权限，管理部门能够对网络内任意资源进行拿取和访问，信息部门

不能对管理部门数据进行拿取，只可对信息部数据进行拿取。

2

湖南商务职业技术学院毕业设计

权限等级划分为三级：如下。

管理级：能对全网任意资源访问拿取数据，网络内不受管制，为最高权限

等级；

管理级：能对网络内重要数据进行拿取，仅不可拿取管理部数据信息，可

对全网进行维护管理。

用户级：正常网络接入访问，不可对信息部、管理部和服务器数据拿取，

不可维护网络管理，仅能正常网络接入。

2.2拓扑设计

新实验产区拓扑设计按照架构设计的规划，得出如下图1所示的网络结构

图。

图例

万兆多模光纤

万兆单模光纤

互联网出口1总部出口1千兆多模光纤

核心出口路由运营商线路

IRF线路

互联网出口2IRF检测线路

千兆以太网线

总部出口2区域分割线

安全防火墙

IRF-主安全防火墙

IRF-备

核心交换机核心交换机

IRF-主IRF-备

部门汇聚交换机

部门接入交换机

部门用户

图1网络结构图

秦云实验网络结构图按照结构设计所得，采用树形结构构图，核心部分由

路由器、防火墙及高性能交换机组成，是整个网络安全性、可靠性、冗余性最

高的区域，不论上连出口或下连汇聚均采用双线路模式保障冗余可靠性；汇聚

部分使用中性能交换机作为各部门的流量汇聚使用，不同的部门流量不会混淆

在一起，拥有单独的流量通道，便于后期做安全管控工作；接入部分使用性能

一般的交换机作为接入，为各部门用户提供信息接入使用。

3

湖南商务职业技术学院毕业设计

整体网络架构层次分明，流量通道独立，网络内使用设备虚拟化、链路聚

合等技术提高了整体网络的可靠冗余性，能增加带宽的同时提高冗余保障；流

量通道独立也极大程度的保障了用户数据的安全性需求，为后期安全管控做保

障。

2.3资源规划

网络建设中避免不了对资源规划的设计，是整体建设方案最为重要部分，

合理有效的利用网络资源可对日后网络维护管理起到极大作用；此次对IP地址、

VLAN、物理设备、优化等资源做设计简述。

2.3.1IP地址

IP地址根据网络结构、企业规模所得，将IP地址区分为五段，每一段使

用两个24位地址作为其业务使用，特殊的是生产部需求量最大有1000多业务

量，需要使用五个24位地址段做规划；出口互联使用运营商提供地址；内部网

络互联使用1个24位地址段即可，详细资源分配规划如下表1所示。

表1业务地址资源分配

所属部门IP地址段IP网关备注说明

生产部/24/24生产部业务-1

生产部/24/24生产部业务-2

生产部/24/24生产部业务-3

生产部/24/24生产部业务-4

生产部/24/24生产部业务-预留

管理部/24/24管理部业务-1

管理部/24/24管理部业务-预留

信息部/24/24信息部业务-1

信息部/24/24信息部业务-预留

财务部/24/24财务部业务-1

财务部/24/24信息部业务-预留

后勤部/24/24后勤部业务-1

后勤部/24/24信息部业务-预留

设备互联地址资源分配如下表2所示。

4

湖南商务职业技术学院毕业设计

表2互联地址资源分配

所属区域本端IP对端IP备注说明

互联网出口1/30/30用于互联网出口

互联网出口2/30/30用于互联网出口

总部出口1/30/30用于总部出口

总部出口2/30/30用于总部出口

内部设备互联/24/24用于内部网络互联

内部设备互联/24/24内部互联IP预留

2.3.2VLAN划分

VLAN是根据网络结构、企业规模、IP地址所得，将VLAN区分为五段，根

据IP段对其分配VLAN区间资源，根据地址段分配VLAN资源，详细资源分配规

划如下表3所示。

表3业务地址资源分配

所属部门VLAN区间段备注说明

生产部10-15生产部业务及预留

管理部20-21管理部业务及预留

信息部30-31信息部业务及预留

财务部40-41财务部业务及预留

后勤部50-51后勤部业务及预留

设备内部互联100-199内部网络互联

2.4优化管理

针对网络建设的改造，对于网络优化的处理是采用接口描述、设备命名以

及安全区域划分的三种方式作为网络管理优化的手段。

5

湖南商务职业技术学院毕业设计

2.4.1接口描述

网络在日常管理维护中需要通过接口信息的帮助能做到精确定位业务所在

以及相应设备位置，在每一个设备连接的接口上使用设备自带的接口描述功能，

有效的帮助后期管理维护。

接口描述的规则是：以TO_XX_XX_XX_XX,实例为到_核心层_核心交换机_三

号接口_千兆速率，在设备表示为TO_HX_HXSW_G0/3_1G；

代码表示：第一个XX为设备所处层次，第二个XX为设备所处部门或所在

位置作用，第三个XX表示对端接口编号，第四个XX表示对端接口速率。

2.4.2设备命名

设备命名在网络管理维护中是常见的优化手段，设备名称在网络中必须是

有且只有唯一，当网络出现故障时定位设备，根据设备名称可快速找到故障点

结合故障现象快速解决网络故障问题。

设备命名规则表示为XX-XX-XX-XX-XX，实例，核心层核心交换机S12800的

主设备的命名，HX-HXSW-S12800-IRF-1；

代码表示为：第一个XX表示设备所处层级，第二个XX表示为设备所处层

级作用，第三个XX代表设备型号，第四个XX表示设备功能，第五个XX表示设

备编号。

2.4.3安全区域划分

为了更好的保障网络安全，对网络内部资源进行安全区域划分，将区域设

计为四个区，用户区、管理区、数据区、互联区；在出口网络中所有的网关信

息都由安全防火墙转发给出口路由器，为了更安全的传输数据和做好预防工作，

将不同的数据来源区分不同区域；用户区是针对于普通用户，纳管生产部、后

勤部、管理部；管理区纳管信息部；数据区纳管财务部以及内部服务器数据；

互联区纳管出口由外志内流量。

3设备选型

在网络建设当中必不可少的是对设备的选型，有效的选择合理的性能用于

网络建设中能够起到节省成本的作用，根据设备的功能性应用于结构中的不同

层次；本次设备选型涉及网络、安全、路由三个型号。

3.1交换机型号

6

湖南商务职业技术学院毕业设计

针对于此次网络建设，交换机共有三层，核心、汇聚、接入三种设备，对

应三种不同性能设备，依次对核心、汇聚、接入设备进行选型。

3.1.1核心设备

本次核心设备采用的是新华三高性能三层路由交换机，H3C-S12500型号设

备，该设备功能强大，在常见的中大型网络中，主要应用于数据中心核心层次，

设备拥有大量的业务接口，支持DIY自主设计，根据业务需求量大小选择适配

的板卡型号，该设备支持多种业务办法，有无线、安全、反病毒、路由、交换

机等多种业务板；设备型号如图2所示。

图2H3C-S12500系列交换机

设备参数规格：如下表4所示。

表4H3C-S12500系列交换机参数指标

硬件架构正交CLOS架构

冗余设计主控、交换网板、电源、风扇（前后及左右风道）

支持802.1Q；支持DLDP；支持LLDP；静态MAC配置；支持MAC地

址学习数目限制；支持端口镜像和流镜像功能；支持端口聚合、端

以太网特性口隔离、端口镜像；支持

802.1d(STP)/802.1w(RSTP)/802.1s(MSTP)；支持IEEE802.3ad

（动态链路聚合）、静态端口聚合和跨板链路聚合

支持静态路由、RIP、OSPF、IS-IS、BGP4等；支持等价路由；支持

策略路由；支持路由策略；支持IPv4和IPv6双协议栈；支持IPv6

静态路由、RIPng、OSPFv3、IS-ISv6、BGP4+；支持VRRPv3；支持

路由特性

Pingv6、Telnetv6、FTPv6、TFTPv6、DNSv6、ICMPv6；支持IPv4

向IPv6的过渡技术，包括：IPv6手工隧道、6to4隧道、ISATAP隧

道、GRE隧道、IPv4兼容自动配置隧道

7

湖南商务职业技术学院毕业设计

支持PIM-DM、PIM-SM、PIM-SSM、MSDP、MBGP、Any-RP等路由协

议；支持IGMPV1/V2/V3、IGMPV1/V2/V3Snooping；支持PIM6-

组播

DM、PIM6-SM、PIM6-SSM；支持MLDV1/V2、MLDV1/V2Snooping；

支持组播策略和组播QoS；

支持标准和扩展ACL；支持Ingress/EgressACL；支持VLANACL；

支持全局ACL；支持Diff-ServQoS；支持SP，WRR，SP+WRR等队

ACL/QoS列调度机制；支持流量整形；支持拥塞避免；支持优先级标记

Mark/Remark；支持802.1p、TOS、DSCP、EXP优先级映射；支持H-

QoS；

设备市场行情价：60W-300W。

3.1.2汇聚设备

本次汇聚设备采用的是新华三中等性能三层路由交换机，H3C-S6500型号

设备，该设备功能中等，在常见的中小型网络中，主要应用于局域网汇聚层次，

设备拥有多数的业务接口，设备型号如图3所示。

图3H3C-S6500系列交换机

设备参数规格：如下表5所示。

表5H3C-S6500系列交换机参数指标

交换容量2.56Tbps/25.6Tbps

包转发率720Mpps/1260Mpps；1260Mpps；1080Mpps/1620Mpps；1620Mpps

支持IRF2智能弹性架构支持分布式设备管理，分布式链路聚合，

分布式弹性路由；支持通过标准以太网接口进行堆叠；支持本地堆

横向虚拟化

叠和远程堆叠；支持基于LACP、BFD、ARP的MAD堆叠分裂检测机

制

支持10GE端口聚合；支持40GE端口聚合；支持静态聚合、动态聚

链路聚合

合；JumboFrame支持

支持静态MAC地址；支持黑洞MAC地址；支持设置端口MAC地址学

习最大个数；SDN/Openflow；支持OpenFlow1.3标准；支持多控

MAC地址表

制器（EQUAL模式、主备模式）；支持多表流水线；支持Group

table；支持Meter

支持基于端口的VLAN（4094个）；支持DefaultVLAN；支持

VLANQINQ；支持灵活QINQ；支持VLANMAPPING；支持PVST+支持

RPVST+；支持基于IP、MAC的VLAN划分

设备市场行情价：10W-50W。

8

湖南商务职业技术学院毕业设计

3.1.3接入设备

本次核接入备采用的是新华三普通性能的二层交换机，H3C-S1000型号设

备，该设备功能一般，在常见的中小型网络中，主要应用于局域网接入层次，

设备拥有较多的千兆速率接口，设备型号如图4所示。

图4H3C-S1000系列交换机

设备参数规格：如下表6所示。

表6H3C-S1000系列交换机参数指标

属性S1248

固定端口48个10/100/1000Mbps自适应以太网端口

连接器类型：RJ-45

支持10/100/1000Mbit/s传输速率

以太网端口属性

支持半双工、全双工、自协商工作模式

支持MDI/MDIX自适应

MAC16K

缓存12Mbits

包转发率71.4Mpps

交换容量96Gbps

输入电压100V～240VAC，50/60Hz

功耗<20W

设备市场行情价：1W-20W。

3.2路由器型号

本次核心设备采用的是新华三高性能三层路由设备，H3C-SR8800型号设备，

该设备功能强大，在常见的中大型网络中，主要应用于数据中心边缘接入作用，

设备拥有较多的路由功能，设备的路由过滤、路由计算能力在业内属于排前名

次；SR8800设备型号如图5所示。

图5H3C-SR8800系列路由器

9

湖南商务职业技术学院毕业设计

设备参数规格：如下表7所示。

表7H3C-SR8800系列路由器参数指标

支持FE、GE、10GE（LAN/WAN）、40Ge、100Ge、155MPOS、622M

POS、2.5GPOS、10GPOS、CPOS接口、155MATM、622MATM、E1/T1

接口类型

等接口；支持100Ge/40Ge端口切换；支持155MPOS/622MPOS/Ge端

口切换；支持ATM/POS端口切换；支持155MATM/622MATM端口切换

支持IPv4和IPv6双协议栈；支持静态路由、RIP、RIPng、OSPF、

OSPFv3、IS-IS、IS-ISv6、BGP、BGP4+；支持VRRP、VRRPv3；支持

IPv6邻居发现，PMTU发现，TCP6，pingIPv6，tracerouteIPv6，

socketIPv6，静态IPv6DNS，指定IPv6DNS服务器，TFTPIPv6

单播路由client；支持IPv4向IPv6的过渡技术；支持ICMPv6MIB、UDP6

MIB、TCP6MIB、IPv6MIB等；支持等价路由ECMP，非等价路由

UCMP；支持IPV4路由表2500万条；支持策略路由；支持路由策略；

支持GRE等隧道功能；支持静态路由FRR、OSPFFRR、ISISFRR、

BGPFRR

支持PIM-DM、PIM-SM、PIM-SSM、MSDP、MBGP、Anycast-RP等路由协

议；支持IGMPV1/V2/V3、IGMPSnoopingV1/2/3；支持PIM6-DM、

组播

PIM6-SM、PIM6-SSM；支持MLD(MulticastListenerDiscovery)

V1/V2、MLDSnoopingV1；支持组播策略和组播QoS

支持LDP、RSVP-TE等MPLS标签分发协议；支持P/PE功能，符合

RFC2547bis协议；支持三种跨域MPLSVPN方式

（Option1/Option2/Option3）；支持分层PE（HoPE）；支持多角色

主机；支持二层、三层VPN，跨域L2、L3VPN实现；支持MPLSTE

MPLSVPN

FRR和LDPFRR，切换时间小于50ms；支持6PE、6vPE；支持分布式

组播VPN；支持ACL识别流量功能，将流量导入到不同的VPN；支持

MPLSVPN网络故障定位功能，支持MPLSPING/TRACEROUTE；支持L2

VPN接入L3VPN；支持QinQ方式VPLS接入

支持PPPoE、PPPoEoVLAN、PPPoEoQ接入认证；支持PPPoE、

PPPoEoA、PPPoA接入方式；支持二层Portal、三层Portal、QinQ

Portal接入认证；支持IPoE、IPoEoVLAN、IPoEoQ接入认证；支持

子网专线、接口专线、L2VPN专线等专线接入认证；支持L2TP技

术；支持二层无感知接入、三层无感知接入；支持标准RADIUS/

TACACS+协议配合完成远程用户认证、授权、计费等管理功能；支持

BRAS业务

Radius、TACACS、Diameter、COPS等协议；支持iTA（智能靶向计

费），按目的地址区分不同的业务类型，实现用户不同类型业务计

费、带宽控制和QoS等；支持有线无线统一认证解决方案，通过大容

量BRAS满足海量用户终端接入需求，满足无线终端的移动性需求；

支持BRASIRF功能在满足冗余热备的基础上可以简化运维工作；支

持VSRP方式热备

设备市场行情价：50W-120W。

10

湖南商务职业技术学院毕业设计

3.3防火墙型号

本次核心设备采用的是新华三高性能安全防火墙设备，H3C-F-5000型号设

备，该设备功能强大，在常见的中大型网络中，主要应用于数据中心边届接入

防控，设备拥有很多强大的安全功能，在边界防控过程中通过安全功能控制由

外入内的业务访问流量，做到精确防控的功能实现；H3C-F-5000设备型号如图

6所示。

图6H3C-F-5000系列安全防火墙

设备参数规格：如下表8所示。

表8H3C-F-5000系列安全防火墙参数指标

虚拟防火墙；安全区域划分；可以防御Land、Smurf、Fraggle、Ping

ofDeath、TearDrop、IPSpoofing、IP分片报文、ARP欺骗、ARP

主动反向查询、TCP报文标志位不合法超大ICMP报文、地址扫描、端

口扫描、SYNFlood、UPDFlood、ICMPFlood、DNSFlood等多种恶

防火墙

意攻击；基础和扩展的访问控制列表；基于时间段的访问控制列表；

基于用户、用用的访问控制列表；动态包过滤；ASPF应用层报文过

滤；静态和动态黑名单功能；MAC和IP绑定功能；基于MAC的访问控

制列表；支持802.1qVLAN透传

支持链路及服务器负载均衡功能，支持基于应用、ISP等元素的智能

负载均衡选路，支持ICMP、UDP、TCP等协议的健康监测，支持基于地址端

口、HTTP协议、SSL协议的持续性探测，实现带宽繁忙、故障保护。

基于病毒特征进行检测；支持病毒库手动和自动升级；报文流处理模

式；支持HTTP、FTP、SMTP、POP3协议；支持的病毒类型：

病毒防护

Backdoor、Email-Worm、IM-Worm、P2P-Worm、Trojan、AdWare、

Virus等；支持病毒日志和报表；

支持对黑客攻击、蠕虫/病毒、木马、恶意代码、间谍软件/广告软

件、DoS/DDoS常等攻击的防御；支持缓冲区溢出、SQL注入、

深度入侵防御IDS/IPS逃逸等攻击的防御；支持攻击特征库的分类（根据攻击类

型、目标机系统进行分类）、分级（分高、中、低、提示四级）；支

持攻击特征库的手动和自动升级（TFTP和HTTP）；支持对BT等

P2P/IM识别和控制

设备市场行情价：20W-100W。

11

湖南商务职业技术学院毕业设计

4网络技术

常用的网络技术用于到本次网络建设中，最为常用的就是IPV4技术、VLAN、

静态路由、链路聚合、设备虚拟化、生成树等。

4.1IPV4地址

IPV4技术是局域网中最常用的技术，它的作用是在网络内唯一标识一个节

点、一个网段、一个终端；在当前的网络规模下，需要使用大量的IPv4地址，

不同的IP地址能够对不同的终端进行标记；在局域网网络中一定不能出现相同

的IP地址，当网络内同时出现相同的IP地址时，双方终端将无法进行网络通

信，在网络内IP网络号不能用于标识终端，在国际标准中有多钟IP地址无法

用于终端标识，属于国际共有化。

4.2VLAN

VLAN局域网技术，他的作用时能够在网络中起到虚拟隔离用户，减小网络

广播范围的作用，网络中的应用是将所有的用户根据相同的性质进行逻辑隔

离，有效的区分业务类型，VLAN的隔离方式是通过标签识别。

VLAN的区分方式有四种，可以根据终端的MAC地址，交换机的端口，终端

使用的协议，终端的子网等进行区分隔离。

4.3静态路由

静态路由技术是数据包进行三层转发时所需要的人工管控的路由技术，静

态路由的特点是需由人为配置，不能自动适应网络环境改变，因此常常需要人

工手动维护；静态路由有三种路由形式，明细路由、默认路由和黑洞路由，明

细路由时网络管理员常用的路由，默认路由常用于边界或者终端网关，黑洞路

由主要用于防止路由环路发生。

4.4链路聚合

链路聚合技术的原理是将设备的多个接口逻辑虚拟化为一个接口，一个对

应一条物理链路，因此可以将多条物理链路进行虚拟化为一条逻辑的虚拟链路，

形成链路备份；链路聚合在形成链路备份的状态下也能增加逻辑链路的带宽，

带宽叠加的方式是物理链路带宽之和，此项技术用于核心于汇聚互联最为适用。

12

湖南商务职业技术学院毕业设计

4.5设备虚拟化

设备虚拟化的原理是通过虚拟化线路连接的设备，将两台或多台物理设备

逻辑虚拟化为一台逻辑设备，作用是增加了设备的数据处理能力，增加了设备

的业务接入能力，同时形成设备级备份；设备虚拟化的前提是进行虚拟化的设

备需要所有信息保持一致，设备版本、设备型号、设备接口、设备板卡等等重

要信息需完全一致即可。

4.6生成树

生成树协议是一种局域网放环技术，在常规的局域网组网中由于人为的失

误造成网络出现物理环路，导致网络瘫痪，而生成树的作用就是通过自身的计

算，有效的根据计算结果将产生环路的接口进行逻辑的阻塞从未解决环路的出

现，当网络出现变动时生成树也能自动适应网络的改变进而激活阻塞的接口，

实现网络备份。

4.7网关备份

网关备份技术应用于核心的核心交换机，作用时能够对提高网络的可靠性，

当用户网关出现单线故障时，备份网关能够顶替而上，减少网络故障发生时间；

网关备份的的工作原理时将两个物理网关虚拟化为一个逻辑网关，逻辑网关承

载于物理网关上，当一个物理网关失效，逻辑网关仍可正常使用，物理网关的

关系时一主一备。

5网络实现

根据技术应用章节的组网技术，通过配置命令完成网络的建设组网，抽取

组网中的部分命令进行参考。

5.1网络组网

VLAN配置实现：

system-view#进入配置视图

vlan100#创建管理VLAN

interfacegigabitethernet1/0/48#进入上行接口

portlink-typetrunk#配置接口为中继模式

porttrunkpermitvlan100#放通vlan100通行

13

湖南商务职业技术学院毕业设计

interfacevlan100#配置VLAN100虚拟接口

ipaddress5424#配置VLAN100接口管理地址

IP路由配置实现：

Iprouter-static54

#配置设备网关路由

IRF配置实现：

system-view#进入配置视图

irfmember1renumber2#将设备序号修改

interfaceten-gigabitethernet1/0/51#进入IRF物理接口

shutdown#关闭IRF物理接口

irf-port1/2#进入IRF虚拟接口

portgroupinterfaceten-gigabitethernet1/0/51

#添加IRF物理接口

interfaceten-gigabitethernet1/0/51#进入IRF物理接口

undoshutdown#启用IRF物理接口

save#保存设备配置

irf-port-configurationactive#启用IRF配置

interfacebridge-aggregation2#创建接口聚合组

link-aggregationmodedynamic#调试聚合组为动态

madenable#开启MAD检测

interfacegigabitethernet1/0/1#进入MAD物理检测接口

portlink-aggregationgroup2#将MAD物理检测接口加入聚合组

interfacegigabitethernet2/0/1#进入MAD物理检测接口

portlink-aggregationgroup2#将MAD物理检测接口加入聚合组

System-view#进入系统视图

InterfaceE-trunk10#创建虚拟聚合口10l

Lacpmodeactive#配置接口聚合类型为A型

Portlink-typetrunk#使接口类型为二层中继模式

Porttrunkallowvlan10#使接口放通VLAN10通过

InterfaceGigabitEthernet1/0/4#进入物理接口4号口

E-trunk10

Portlink-typetrunk#使接口类型为二层中继模式

Porttrunkallowvlan10#使接口放通VLAN10通过

14

湖南商务职业技术学院毕业设计

InterfaceGigabitEthernet1/0/5#进入物理接口5号口

E-trunk10

Portlink-typetrunk#使接口类型为二层中继模式

Porttrunkallowvlan10#使接口放通VLAN10通过

VRRP配置：

System-view#进入系统视图

Vlan100#创建备份主网关vlan100业务

NameZYWWG#给VLAN命名为主业务网关，使用首字母命名

Vlan200#创建备份备网关vlan200业务

NameBYWWG#给VLAN命名为备业务网关，使用首字母命名

InterfaceGigabitEthernet1/0/1#进入物理接口1号口

Portlink-typeaccess#使接口类型为二层接入模式

Portaccessvlan100#将物理接口加入业务VLAN

InterfaceGigabitEthernet1/0/2#进入物理接口1号口

Portlink-typeaccess#使接口类型为二层接入模式

Portaccessvlan200#将物理接口加入业务VLAN

Interfacevlan100#创建三层虚拟接口VLAN100

Ipaddress53#配置主业务网关地址

vrrpvrid1virtual-ip54#配置VRRP主虚拟网关地址

vrrpvrid1priority120#配置VRRP主虚拟网关优先级

Interfacevlan100#创建三层虚拟接口VLAN200

Ipaddress52#配置主业务网关地址

vrrpvrid2virtual-ip54#配置VRRP主虚拟网关地址

vrrpvrid2priority110#配置VRRP主虚拟网关优先级

InterfaceGigabitEthernet1/0/3#进入物理接口3

Ipaddress53#配置主业务网关地址

vrrpvrid3virtual-ip54#配置VRRP主虚拟网关地址

vrrpvrid3priority120#配置VRRP主虚拟网关优先级

InterfaceGigabitEthernet1/0/4#进入物理接口4

Ipaddress52#配置主业务网关地址

vrrpvrid4virtual-ip54#配置VRRP主虚拟网关地址

vrrpvrid4priority110#配置VRRP主虚拟网关优先级

15

湖南商务职业技术学院毕业设计

5.2安全组网

网络安全实现：

system-view#进入系统视图

security-zonenametrust#创建安全域

importinterfacegigabitethernet1/0/1#将物理接口加入安全域

security-zonenamedmz#创建安全域

importinterfacegigabitethernet1/0/2#将物理接口加入安全域

security-zonenameuntrust#创建安全域

importinterfacegigabitethernet1/0/3#将物理接口加入安全域

acladvanced3500#创建ACL

rulepermitip#配置ACL匹配动作

zone-pairsecuritysourcetrustdestinationuntrust

#创建安全策略

packet-filter3500#配置匹配规则

zone-pairsecuritysourcetrustdestinationdmz

#创建安全策略

packet-filter3500#配置匹配规则

5.3网络优化

NTP配置实现：

system-view#进入系统配置视图

Ntpserverenable#开启时钟服务器功能

ntp-serviceunicast-server

#指定NTP服务器地址

邻居配置实现如下：

system-view#进入系统配置视图

LLDPenable#开启邻居发现协议

用户管理配置实现如下：

system-view#进入系统配置视图

Localuseradmin#创建本地账户admin

Passwrodsimpleplanadmin123#设置账户密码

16

湖南商务职业技术学院毕业设计

Server-typesshtelnetterminal#指定账户服务类型

Level-3#指定账户管理权限

5.4实测检验

网络改造完成后，需要对现有网络进行网络连通性测试，测试的方法是使

用局域网内的终端1去测试本地网络的网关地址、使用终端1去测试异地网关、

使用终端1去测试出口设备、使用终端1去测试不同网段的主机。

测试结果如下图7、8、9、10所示。