星芒公司网络规划与设计

湖南商务职业技术学院毕业设计

目录

1项目简介......................................................................................................................1

1.1公司介绍............................................................................................................1

1.2项目规划............................................................................................................1

1.3项目需求............................................................................................................2

2项目总体规划..............................................................................................................2

2.1总体方案的概述................................................................................................2

2.2总体方案的设计原则........................................................................................3

2.3网络系统的结构设计........................................................................................3

2.4网络安全的设计................................................................................................4

3网络规划与设计..........................................................................................................4

3.1拓扑设计............................................................................................................4

3.2VLAN规划.........................................................................................................5

3.3IP地址划分.........................................................................................................5

4网络设备选型..............................................................................................................6

4.1路由器选型........................................................................................................6

4.2接入交换机选型................................................................................................6

4.3核心交换机选型................................................................................................7

5网络技术......................................................................................................................7

5.1交换技术............................................................................................................7

5.2路由技术............................................................................................................8

6项目部署......................................................................................................................9

6.1设备的命名........................................................................................................9

6.2二层设备配置....................................................................................................9

6.3链路聚合............................................................................................................9

6.4MSTP配置........................................................................................................10

6.5DHCP配置........................................................................................................11

I

湖南商务职业技术学院毕业设计

6.6ACL配置..........................................................................................................13

6.7OSPF部署.........................................................................................................13

6.8NAT配置..........................................................................................................14

7系统测试....................................................................................................................15

7.1系统的测试内容..............................................................................................15

7.2路由故障检测和排除......................................................................................15

7.3链路聚合工作状态..........................................................................................16

7.4MSTP工作状态................................................................................................17

7.5DHCP测试结果...............................................................................................17

7.6ACL验证结果..................................................................................................18

7.7内网访问外网测试结果..................................................................................19

8项目小结....................................................................................................................20

参考资料........................................................................................................................21

II

湖南商务职业技术学院毕业设计

星芒公司网络规划与设计

1项目简介

1.1公司介绍

星芒公司是一家综合性的企业，业务涵盖制造业、物流业、零售业及金融

服务等多个领域。公司内部结构完善，拥有多个核心部门，包括行政部、人力

资源部、财务部、生产部、市场部、供应链管理部门以及风险管理部门。各部

门人员配置合理，总数超过数千人，共同推动着公司的稳步发展。

行政部负责公司整体行政运营，确保公司内部流程的顺畅，拥有数十名经

验丰富的行政人员。人力资源部专注于人才的选拔、培养与激励，拥有百余名

专业人力资源专家。财务部则管理着公司的财务事务，确保资金流动的安全与

高效，拥有数十位资深财务专家。生产部是公司的重要生产力量，数百名技术

工人和工程师致力于产品的制造与创新。市场部负责产品的市场推广和品牌塑

造，拥有近二百名市场精英。供应链管理部门则确保原材料与产品的顺畅流通，

拥有数十名供应链管理专家。风险管理部门则负责监控和评估各类风险，保障

公司运营的稳健性。

随着公司业务的不断拓展和人员规模的不断扩大，星芒公司对网络系统的

需求也日益增加。为确保企业内部数据的高效传输和协同工作，保护企业数据

免受未经授权的访问和泄露，并支持重要数据信息的准确、高效传输，公司决

定寻找专业的网络规划和设计服务。在对比了多家网络规划和设计服务提供商

后，我方凭借对网络技术的深刻理解、丰富的项目经验以及对大型企业网络需

求的精准把握，成为了星芒公司的首选合作伙伴。我方承诺为星芒公司量身定

制一套高效、安全、可靠的网络系统，助力公司日常运营和决策的高效执行，

共同开创更加辉煌的未来。

1.2项目规划

星芒公司的网络规划包括以下几个方面：

（1）IP地址和设备命名的规划：合理的IP地址规划是保证网络通信稳定

的基础，设备标识有助于有效区分网络设备。

（2）规划二级网络设备：包括设备间通信建立和故障排除。

（3）规划三级网络设备：包括设备间通信建立、故障排除，以及与二层设

1

湖南商务职业技术学院毕业设计

备间的通信实现。

（4）规划大型企业网络：合理利用二、三层设备搭建公司网络结构。

1.3项目需求

深入的网络需求分析是精准把握和明确网络规划与设计中核心系统需求的

决定性步骤。它不仅刻画出系统的核心行为与特性，还为设计师提供了对网络

系统未来发展的明确视角。作为网络规划与设计的基石，这一需求分析过程为

构建高效、稳定、安全的网络系统提供了坚实的基础。

在项目需求阶段，我方首先进行网站目标的深入分析，包括短期与长期目

标的细致探究。这要求我方全面考量所采用的网络协议与系统架构是否与企业

内部网络环境高度契合，从而为企业打造量身定制、高效稳定的网络解决方案。

在全面理解企业需求的基础上，在为企业网络规模的确定和基础设备的合适选

择提供参考时，我方将对整个企业系统的数据量和流量进行科学估算。

网络计划的制定是一项技术性强且需要严谨细致处理的复杂过程。我方深

入研究网络整合的各个细节，确定需要遵循的信息程序，以确保网络平稳运行

和有效管理。这不仅需要专业的技术知识，还需要对商务需求有深刻的理解，

以构建既符合技术进步又实用的网络解决方案。

技术支持在业务系统中扮演着重要角色，优异的网络性能为业务系统不间

断运行提供了坚实的技术保障。这一优势不仅增强了系统的稳定性和可靠性，

还为企业业务的快速发展提供了有力的支持。

最后，为保证网络设备安全运行，我方将采取一系列缜密的安全措施，包

括实时监控、入侵检测、数据加密等，以充分保证网络设备的稳定性和安全性

的网络系统。通过这些措施，我方旨在构建一个既能满足业务需求又能确保网

络安全可靠的网络环境。

2项目总体规划

2.1总体方案的概述

为满足公司网络需求，我方规划将网络划分为园区网、核心骨干网、数据

中心、分支机构及因特网边缘。核心骨干网连接园区网、数据中心及分支机构，

构建完整网络架构。园区网络为特定地理位置的用户提供便捷的网络访问。数

据中心是为了存储计算机数据系统及其相关设备而设计的场所，也被广泛地称

为服务器集群中心，集中管理和运用这些重要设备。分公司有路由器、交换机

2

湖南商务职业技术学院毕业设计

等网络设备，确保总部与分公司之间的通信。因特网边缘由多种网络设备组成，

实现公司与互联网连接。

公司包括行政、人力、财务、技术、营销、安全和运营等部门，为满足客

户的具体需求，我方已完成了覆盖办公室、生产区、研发部门、数据中心以及

互联网的网络架构设计，确保各业务单元间的高效协作以及整体网络的安全性。

2.2总体方案的设计原则

以下是提供的网络设计要点：

（1）高效性和可靠性:网络传输需要高效，以最小化延迟，同时确保高可

靠性，避免数据丢失。冗余设备和流量切换确保网络在工作日和关键时段稳定

运行。

（2）符合标准:为确保网络的高效运行和无缝连接，我方在选择网络设备

时，严格遵循国际标准。这一举措不仅保证了不同厂家设备之间的兼容性，还

极大地提高了网络的易操作性和开放性，为公司业务的顺畅运作提供了有力保

障。

（3）可扩展性和可升级性：网络设备应满足当前需求，并具备未来增长的

扩展能力。在设计时，既要考虑新技术与新技术的配合以及设备升级带来的简

化，又要有增加端口数量和带宽的能力等充分的富余。

（4）管理简易性:为了保证网络设备的管理简易性，我方要求所选设备具

备简洁直观的操作界面和强大的管理功能，从而降低人员培训成本，实现快速

故障排除。这样不仅能提高网络维护效率，还有助于保持网络系统的稳定运行。

（5）VLAN和二层交换:允许部门根据需求自由划分或调整VLAN，提高网络

灵活性。

（6）安全性和应急预案:实施可靠的安全方案和完备的应急预案，确保网

络安全并应对突发情况。

（7）实用性:网络建设应强调实用性，满足不同部门和人员的实际需求，

为多应用系统提供可靠支持。

2.3网络系统的结构设计

大型企业网络设计采用星形层级结构，提高管理效率和安全性。三层网络

结构由中心层、聚合层和接入层组成。中层作为骨干网络，使用两台S5700交

换机进行备份，保证网络的稳定性和可靠性。聚合层通过交换机将不同的工作

组分布在不同的网络段，隔离问题，优化服务质量。访问层允许员工、服务器

3

湖南商务职业技术学院毕业设计

和设备访问公司网络，并使用交换机进行备份。在每一层之间使用Eth-Trunk

技术，以提高带宽和信道利用率。数据中心和网络控制中心采用usg6300防火

墙保护，路由器采用AR3260。整体设计简单高效，满足大型企业网络的需求。

2.4网络安全的设计

关键系统保护要求明确需要特别关注和维护的核心系统，以确保公司网络

稳定运行和工作流程顺畅。这就要求我方准确地识别和保护关键系统，并采取

必要的安全措施来防止网络故障和潜在的业务损失。潜在风险与漏洞必须重点

关注数据传输和存储环节的安全漏洞，以最大程度地减少潜在风险。在提升安

全性的同时，应当避免过度依赖复杂技术，相反，传统的安全措施是负担得起

且可靠的。

3网络规划与设计

3.1拓扑设计

公司的网络拓扑图如下：

图1公司网络拓扑图

4

湖南商务职业技术学院毕业设计

3.2VLAN规划

星芒网络公司总部分为八大部门，分别为行政办公室、策划营销部、财务

部、生产技术部、人力资源部、后勤部、安检部和运营部门。在星芒网络公司

的网络设计中，VLAN被用于将不同的部门划分为逻辑上独立的网络段，以提高

网络的安全性、管理性和灵活性。以下是基于给定信息的VLAN规划：

具体分布如下表所示:

表1vlan规划表

VLAN号部门名称

VLAN10行政办公室

VLAN20计划营销部

VLAN30财务部

VLAN40生产技术部

VLAN50人力资源部

VLAN60后勤部

VLAN70安检部

VLAN80运营部

3.3IP地址划分

每个VLAN都分配了一个唯一的网段和网关地址，以下是基于给定信息的

IP地址划分：

表2各个部门vlan和网段

VLAN号网段网关地址部门名称

VLAN10192.168.10.0/24192.168.10.254行政办公室

VLAN20192.168.20.0/24192.168.20.254计划营销部

VLAN30192.168.30.0/24192.168.30.254财务部

VLAN40192.168.40.0/24192.168.40.254生产技术部

VLAN50192.168.50.0/24192.168.50.254人力资源部

VLAN60192.168.60.0/24192.168.60.254后勤部

VLAN70192.168.70.0/24192.168.70.254安全监察部

VLAN80192.168.80.0/24192.168.80.254运营部

5

湖南商务职业技术学院毕业设计

4网络设备选型

4.1路由器选型

华为路由器AR5710-H8T2TS1具体参数如表3所示：

表3路由器AR5710-H8T2TS1

HuaweiAR5710-H8T2TS1

接口GECombo、GELAN、MIC插槽、Console及USB2.0等接口

支持丰富的IP业务，包括IP路由、VPN（虚拟私人网络）以及IPv6等，能

IP业务

够满足不同企业客户的业务多元化和高性能需求

支持静态路由支持多种动态路由协议，如RIP，ospf，bgp等还支持策略路由

IP路由

功能

支持热插拔、冗余设计、故障恢复机制、高可靠性路由协议、安全机制、设备

可靠性

健康检测

支持内置Firewall、IPS、URL过滤、Anti-Virus等多重安全功能，以及安全策

安全

略设定和安全日志等

4.2接入交换机选型

接入层交换机华为S5735-L24T4S-A1如图表4所示：

表4接入交换机华为S5735-L24T4S-A1

华为S5735-L24T4S-A1

24个10/100/1000BASE-T以太网电接口、4个1000BASE-XSFP光接口、1个

固定端口

Console接口和1个PNP按钮

交换容量432Gbps/4.32Tbps

6

湖南商务职业技术学院毕业设计

包转发率87/166Mpps

支持访问控制列表、支持IEEE802.1x认证、支持MAC地址认证、

安全特性RADIUS/HWTACACS认证、SSH2.0、SSL等安全功能，还支持IPSourceGuard、

DHCPSnooping、DAI

支持静态路由、动态路由（如RIP，OSPF等）等IP路由功能，还支持支持基

IP路由

于MAC/协议/IP子网/策略/端口的VLAN划分

支持链路备份、冗余电源设计、设备冗余、多种安全控制策略以及完善的QoS

高可靠性

策略

4.3核心交换机选型

核心交换机CloudEngineS6730-S24X6Q如图表3所示：

表5核心交换机CloudEngineS6730-H28Y4C

CloudEngineS6730-H28Y4C

固定端口28个25GSFP28，4个100GEQSFP28

交换容量2.56Tbps/25.6Tbps

包转发率1650Mpps

支持多种参数的流量分类、支持流量监管、支持队列技术、支持流量整

Qos

形、支持拥塞控制。

支持内置安全探针、支持访问控制列表技术、支持IEEE802.1x认证、支

安全特性

持MAC地址认证、支持远程认证、授权和计费功能

5网络技术

5.1交换技术

交换技术是一种位于OSI七层模型的数据链路层，也就是第二层，通常被

称为二层技术。交换机能够将广播域有效地切割为双工模式下，端口可实现先

收后发或先发后收操作，并支持不同以太网速率。

在本项目中，主要用的交换技术包含：VLAN技术、链路聚合技术。

VLAN技术用来分隔不同的部门网络；链路聚合技术用来增强二层链路带宽

7

湖南商务职业技术学院毕业设计

的同时，实现负载均衡。

5.2路由技术

多个小片段，支持半双工OSPF，如其名所示，由骨干区域和非骨干区域构

成。在网络的首次拓扑收敛过程中，它采用全面的SPF（最短路径优先）计算。

当LSA1、LSA2、LSA3发生变化时，它利用增量的SPF（I-SPF）算法。LSA4、

LSA5、LSA7的变动由OSPF用PRC(子路由计算)算法处理。另外，OSPF为了防

止路由循环，进行区域内的防循环规则和区域间的逻辑设计。如果路由项目增

加，OSPF也支持多区域划分并限制控制区域，适合大中型网络。同时，OSPF支

持认证机制，保证路由和交换的安全。

OSPF的特点包括：

（1）支持广播、点对点（P2P）、非广播多点接入（NBMA）以及点对多点（P2MP）

网络类型，并对帧中继（FR）有特别的设计支持。

（2）主区(0区)和非主区明确区分，可在非主区创建存根、总存根、NSSA、

总NSSA等特殊区域，实现灵活的外部路由控制和交叉。-学习区域路由。

（3）使用基本接口费用计算公式(带宽/接口链路带宽)。这个公式正确地

反映了实际的路径费用，降低了路径循环的风险。

（4）不同的LSA传递不同的路由消息。虽然制造了更多的LSA，但路由规

模相对较小。明确区分路由类型并提供多种路由策略。优先级:区内>区间>类型

一外部>类型二外部。

（5）ospf的内部路由和外部路由的优先顺序是不同的。这样的设计使得

与其他路由协议的互操作性成为可能。

（6）OSPF是基于IP的路由协议，通过交换网络拓扑信息构建路由表，并

采用Full-SPF算法实现初期收敛。LSA1和LSA2更新时，OSPF触发I-SPF算法

进行快速本地路由计算；而LSA3/4/5/7变化时，则触发PRC算法确保复杂网络

环境下的高效收敛。

（7）支持虚拟链路（V-Link），为骨干网中断等异常情况提供应急连接方

案。支持按需链路，有效减少低速链路上的OSPF报文数量，提高网络效率。

（8）OSPF的可扩展性中等。IPv6支持需要额外的协议修改。常用的是

OSPFv3版本。

（9）OSPF对所有数据包使用单一的认证方法，这在一定程度上降低了认

证的灵活性。

8

湖南商务职业技术学院毕业设计

6项目部署

6.1设备的命名

以行政办公室的网络设备配置为例，将接入交换机的命名修改为JR-LSW5，

这个命名代表了接入层交换机编号为SW5。以下是执行此操作的相关命令：

<Huawei>

<Huawei>SY

EnterSYSTEMview,returnuserviewwith

CTRL+Z.

[Huawei]SY

[Huawei]SYNAMEJR-SW5将名字改为JR-SW5

[JR-SW5]

6.2二层设备配置

（1）在每个交换机上搭建VLAN，配置命令如下：

VLANbatch1020304050607080

（2）修改端口类型以允许相应VLAN通过，配置命令如下：

interfaceEthernet0/0/1进入接口模式

portlink-typetrunk配置接口的链路类型为Trunk

允许VLAN20的数据通过Trunk类型的

porttrunkallow-passVLAN20

接口

quit退出当前配置模式

intGigabitEthernet0/0/3进入接口模式

表示接口类型为Access口，只能允许一个

portlink-typeaccess

VLAN通行

portdefaultVLAN20将该端口默认配置为VLAN20

（3）在核心交换机上创建VLANIF接口,配置命令如下：

interfaceVLANIF10进入VLAN接口10的配置模式

ipaddress192.168.10.25424设置IP地址和子网掩码

6.3链路聚合

使用链路聚合技术增加链路带宽、实现链路传输弹性和工程冗余等方面，

9

湖南商务职业技术学院毕业设计

有助于提高网络的传输速度、可靠性和稳定性。

LSW1的配置命令如下：

interfaceEth-Trunk1进入以太网链路聚合接口1

portlink-typetrunk设置接口的链路类型为Trunk

允许该Trunk接口传输VLAN10、20、30

porttrunkallow-passvlan10203040

和40的数据

modelacp-static配置Eth-Trunk的工作模式为静态LACP

interfaceGigabitEthernet0/0/21进入接口模式

eth-trunk1编号为1的以太网链路聚合接口

interfaceGigabitEthernet0/0/22进入接口模式

eth-trunk1编号为1的以太网链路聚合接口

LSW2的配置命令如下：

interfaceEth-Trunk1进入以太网链路聚合接口1

portlink-typetrunk设置接口的链路类型为Trunk

允许该Trunk接口传输VLAN10、20、30

porttrunkallow-passvlan10203040

和40的数据

modelacp-static配置Eth-Trunk的工作模式为静态LACP

interfaceGigabitEthernet0/0/21进入接口模式

eth-trunk1编号为1的以太网链路聚合接口

interfaceGigabitEthernet0/0/22进入接口模式

eth-trunk1编号为1的以太网链路聚合接口

6.4MSTP配置

使用MSTP技术在交换机上的作用主要是预防环路、更灵活地管理VLAN通

信、提高网络可靠性和实现负载均衡等。这些功能使得MSTP成为现代网络架构

中不可或缺的一部分。

LSW1配置命令如下：

stpregion-configuration配置MSTP的MST域

region-namemstp配置MSTP的MST区域的名称

revision-level1MST区域的修订级别被设置为1

instance1vlan1020将VLAN10和20映射到MSTP的实例1

instance2vlan3040将VLAN30和40映射到MSTP的实例2

activeregion-configuration进入MST区域的配置模式

stpinstance1rootprimary指定交换机为MSTP中实例1的根桥

stpinstance2rootsecondary将当前设备配置为生成树实例2的备份根桥

LSW2配置命令如下：

stpregion-configuration配置MSTP的MST域

region-namemstp配置MSTP的MST区域的名称

10

湖南商务职业技术学院毕业设计

revision-level1MST区域的修订级别被设置为1

instance1vlan1020将VLAN10和20映射到MSTP的实例1

instance2vlan3040将VLAN30和40映射到MSTP的实例2

activeregion-configuration进入MST区域的配置模式

stpinstance1rootsecondary指定交换机为MSTP中实例1的根桥

stpinstance2rootprimary将当前设备配置为生成树实例2的备份根桥

其他交换机配置类似。

6.5DHCP配置

我方计划在主交换机上启用DHCP服务，来实现全局IP地址的自动化管理。

手动为部门的每个终端分配固定IP地址不仅效率低下，而且难以管理。因此，

我方决定采用DHCP地址自动分配的方案。当设备连接到网络时，三层核心交换

机会自动为其分配合适的IP地址。另外，对于不需要频繁获取IP地址的设备，

比如打印机等笨终端，我方会配置静态IP地址或者设置保留的DHCP地址，保

证它们一致地接收到相同的IP地址，简化管理，改善网络稳定性和效率。

Lsw1配置命令如下：

ippoolvlan10为VLAN10创建一个IP地址池

gateway-list192.168.10.1为DHCP配置出口网关地址

network192.168.10.0mask255.255.255.0指定一个IP网络和子网掩码

dns-list192.168.10.100指定DNS服务器的IP

ippoolvlan20为VLAN20创建一个IP地址池

gateway-list192.168.20.1为DHCP配置出口网关地址

network192.168.20.0mask255.255.255.0指定一个IP网络和子网掩码

dns-list192.168.10.100指定DNS服务器的IP

ippoolvlan30为VLAN30创建一个IP地址池

gateway-list192.168.30.1为DHCP配置出口网关地址

network192.168.30.0mask255.255.255.0指定一个IP网络和子网掩码

dns-list192.168.10.100指定DNS服务器的IP

ippoolvlan40为VLAN40创建一个IP地址池

gateway-list192.168.40.1为DHCP配置出口网关地址

network192.168.40.0mask255.255.255.0指定一个IP网络和子网掩码

dns-list192.168.10.100指定DNS服务器的IP

dhcpenable开启DHCP功能开关

interfaceVlanif10VLAN10的虚拟接口

dhcpselectglobal开启接口采用全局地址池的DHCPServer功能

interfaceVlanif20VLAN20的虚拟接口

dhcpselectglobal开启接口采用全局地址池的DHCPServer功能

interfaceVlanif30VLAN30的虚拟接口

11

湖南商务职业技术学院毕业设计

dhcpselectglobal开启接口采用全局地址池的DHCPServer功能

interfaceVlanif40VLAN40的虚拟接口

dhcpselectglobal开启接口采用全局地址池的DHCPServer功能

Lsw2配置命令如下：

ippoolvlan10为VLAN10创建一个IP地址池

gateway-list192.168.10.1为DHCP配置出口网关地址

network192.168.10.0mask255.255.255.0指定一个IP网络和子网掩码

dns-list192.168.10.100指定DNS服务器的IP

ippoolvlan20为VLAN20创建一个IP地址池

gateway-list192.168.20.1为DHCP配置出口网关地址

network192.168.20.0mask255.255.255.0指定一个IP网络和子网掩码

dns-list192.168.10.100指定DNS服务器的IP

ippoolvlan30为VLAN30创建一个IP地址池

gateway-list192.168.30.1为DHCP配置出口网关地址

network192.168.30.0mask255.255.255.0指定一个IP网络和子网掩码

dns-list192.168.10.100指定DNS服务器的IP

ippoolvlan40为VLAN40创建一个IP地址池

gateway-list192.168.40.1为DHCP配置出口网关地址

network192.168.40.0mask255.255.255.0指定一个IP网络和子网掩码

dns-list192.168.10.100指定DNS服务器的IP

dhcpenable开启DHCP功能开关

interfaceVlanif10VLAN10的虚拟接口

dhcpselectglobal开启接口采用全局地址池的DHCPServer功能

interfaceVlanif20VLAN20的虚拟接口

dhcpselectglobal开启接口采用全局地址池的DHCPServer功能

interfaceVlanif30VLAN30的虚拟接口

dhcpselectglobal开启接口采用全局地址池的DHCPServer功能

interfaceVlanif40VLAN40的虚拟接口

dhcpselectglobal开启接口采用全局地址池的DHCPServer功能

同时，在各终端选择DHCP自动获取选项。

为保证部门打印机等无法自动获取IP地址或不适合频繁更新IP地址的笨

终端设备稳定运行，我方将对其进行静态DHCP绑定。此配置允许我方将固定的

IP地址永久分配给特定的MAC地址。特别地，我方将使用命令“static-bind

IP-addressAmac-addressB”，其中“A”是静态分配的IP地址，“B”是哑终

端设备的MAC地址。通过这一步，我方可以保证这些设备在网络上的稳定运行，

并避免不必要的IP地址更改。

通过以上的DHCP静态绑定配置，我方确保了这些哑终端设备每次连接到网

络时都能获得相同的IP地址，从而避免了因IP地址变动而引发的问题。这意

12

湖南商务职业技术学院毕业设计

味着我方可以手动指定一个固定的IP地址给这些设备，并将这个IP地址与设

备的MAC地址进行绑定。

另外，我方还完成了二层网络设备的VLAN划分和IP地址分配，这些配置

使得二层设备可以在所属VLAN内无缝交互，也可以与其他网络层的设备互连。

这意味着无论设备何时连接到网络，都会收到固定的IP地址，从而保证了网络

连接的稳定性。通过智能DHCP配置和VLAN分离，为网络上的设备提供稳定、

高效的IP地址管理解决方案，保证网络的平稳运行。

6.6ACL配置

使用ACL技术在交换机上扮演着至关重要的角色，它不仅可以优化网络流

量、提高网络性能，还可以提供网络安全访问的基本手段，保护网络资源免受

未经授权的访问和恶意攻击。

Lsw5：

aclnumber3000定义一个编号为3000的ACL

rule5denyipsource192.168.10.00.0.0.255阻止从192.168.10.0/24到

destination192.168.30.00.0.0.255192.168.30.0/24的流量

rule10denyipsource192.168.20.00.0.0.255阻止从192.168.20.0/24到

destination192.168.30.00.0.0.255192.168.30.0/24的流量

rule15denyipsource192.168.40.00.0.0.255阻止从192.168.40.0/24到

destination192.168.30.00.0.0.255192.168.30.0/24的流量。

traffic-filteroutboundacl3000出口流量用ACL3000过滤

6.7OSPF部署

为了保证公司网络中各级设备之间的通信不间断，我方计划在核心交换机

和上层设备中部署OSPF（开放最短路径优先）。特别是在规划的大型企业网络

中，必须在核心层交换机LSW16和LSW17上配置并启用OSPF。同时，上层设备

中的交换机LSW13、LSW14、LSW15以及路由器AR1、AR2、AR3、AR4也配置OSPF。

这确保网络上的设备能够根据公司的业务需求有效地路由和共享数据。

在配置过程中，我方需要将各设备之间相连的接口以及相应的网段宣告进

OSPF中，以确保这些接口和网段能够被OSPF协议所识别和管理。此外，核心

层与汇聚层之间的直接链路也需要被宣告进OSPF中，以建立起这两层之间的通

信连接。

接下来，我方需要根据网络的实际需求，合理划分OSPF的区域。不同的区

13

湖南商务职业技术学院毕业设计

域将发挥不同的作用，例如，某些区域可能用于管理内部网络的路由，而另一

些区域则可能用于与其他网络进行通信。

完成区域的划分后，我方需要开启相应的OSPF协议，并在每个区域中创建

相应的OSPF进程。然后，将需要宣告进OSPF中的接口路由以及网段信息添加

到相应的OSPF进程中。这样，各设备就能够根据OSPF协议学习到的路由信息

进行通信，实现公司内三层网络的顺畅通信。

示例配置：

OSPF1router-id1.1.1.1设置OSPF路由ID

area0.0.0.0设置骨干区域

network192.168.10.00.0.0.255指定网络段

network192.168.20.00.0.0.255指定网络段

network192.168.30.00.0.0.255指定网络段

network192.168.40.00.0.0.255指定网络段

network192.168.50.00.0.0.255指定网络段

network192.168.60.00.0.0.255指定网络段

network192.168.70.00.0.0.255指定网络段

network192.168.80.00.0.0.255指定网络段

在LSW16交换机上进行示例配置，如果需要对OSPF需要进行安全认证的话

可以区域内开启认证：

authentication-modemd5XXXcIPherXXX设置链路层的认证方式和密码加密方式

通过以上的配置步骤，我方可以确保公司网络中的各层级设备能够高效、

稳定地进行通信，为公司的日常运营提供坚实的网络基础。

6.8NAT配置

网络地址转换（NAT）技术是一种广泛应用于企业网络中的广域网技术，它

允许内部网络的私有IP地址设备访问外部公共网络。NAT主要解决了IP地址

短缺的问题，使得内部网络中的多台设备可以共享一个或少数几个公共IP地址

来访问外部网络。

在大型公司网络中，由于内部终端设备众多，通常需要实现大量私网IP地

址到公网IP地址的映射。因此我方决定使用网络地址端口转换（NAPT）技术。

NAPT技术不仅可以将私有IP地址转换为公有IP地址，还可以通过匹配不同的

端口号来区分不同的内部设备。因此，多个内部设备可以使用同一公网IP地址

的不同端口来实现外部访问。该技术有效解决了公网IP资源缺乏的问题，提高

了网络资源的利用率。将其在出口路由器上配置，以AR1为例：

14

湖南商务职业技术学院毕业设计

acl2000访问控制列表

rule5permitsource192.168.10.00.0.0.255允许源IP地址范围内的数据包通过

rule10permitsource192.168.20.00.0.0.255允许源IP地址范围内的数据包通过

rule15permitsource192.168.30.00.0.0.255允许源IP地址范围内的数据包通过

rule20permitsource192.168.40.00.0.0.255允许源IP地址范围内的数据包通过

rule25permitsource192.168.50.00.0.0.255允许源IP地址范围内的数据包通过

rule30permitsource192.168.60.00.0.0.255允许源IP地址范围内的数据包通过

rule35permitsource192.168.70.00.0.0.255允许源IP地址范围内的数据包通过

rule40permitsource192.168.80.00.0.0.255允许源IP地址范围内的数据包通过

quit退出当前配置模式

NATaddress-group1200.10.10.1200.10.10.200定义了一个NAT地址组

interfaceGigabitEthernet0/0/2进入接口模式

NAT出站规则2000使用地址组1进行地

NAToutbound2000address-group1

址转换。

7系统测试

7.1系统的测试内容

在进行网络规划测试时，我方通常可以将测试划分为以下几个方面：

（1）网络系统测试：涵盖对网络设备和系统功能的测试，以确保其正常运

行并达到预期的性能水平。

（2）电脑系统测试：对硬件系统的稳定性和性能进行评估。

（3）应用程序服务测试：综合评估和测试网络服务、安全系统、网络管理

系统、防病毒系统以及数据库系统的性能和稳定性。

（4）全面布线系统测试：对布线系统进行全面检测，以确保其整体性能满

足既定标准。

7.2路由故障检测和排除

TRACERT常被用于路由问题的诊断，有效地帮助解决网络路径上的错误。

15

湖南商务职业技术学院毕业设计

图2路径故障检测图

7.3链路聚合工作状态

图3LSW1链路聚合的工作状态图