米哈游網(wǎng)絡(luò)科技公司網(wǎng)絡(luò)規(guī)劃設(shè)計(jì)

湖南商務(wù)職業(yè)技術(shù)學(xué)院畢業(yè)設(shè)計(jì)

目錄

1項(xiàng)目背景........................................................1

2公司簡(jiǎn)介和要求..................................................1

2.1公司簡(jiǎn)介...................................................1

3網(wǎng)絡(luò)設(shè)計(jì)........................................................2

3.1網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)與規(guī)劃.........................................2

3.2VLAN與IP地址規(guī)劃與設(shè)計(jì)...................................4

4網(wǎng)絡(luò)技術(shù)選用....................................................5

4.1VRRP.......................................................5

4.2MSTP.......................................................5

4.3鏈路聚合技術(shù)（Link-aggregation）...........................6

4.4VLAN.......................................................6

4.5動(dòng)態(tài)地址分配協(xié)議（DHCP）...................................6

4.6OSPF技術(shù)..................................................7

4.7NAT技術(shù)...................................................7

4.8IPsecVPN..................................................8

5網(wǎng)絡(luò)設(shè)備選型....................................................8

5.1核心交換機(jī).................................................8

5.2接入層.....................................................9

5.3路由器....................................................11

5.4防火墻....................................................12

6網(wǎng)絡(luò)設(shè)備配置...................................................13

6.1交換機(jī)配置................................................13

6.1.1VRRP配置............................................13

6.1.2鏈路聚合配置........................................14

6.1.3MSTP配置............................................14

6.1.4DHCP配置............................................15

6.2路由器配置................................................17

I

湖南商務(wù)職業(yè)技術(shù)學(xué)院畢業(yè)設(shè)計(jì)

6.2.1IP路由配置..........................................17

6.3防火墻配置................................................20

7網(wǎng)絡(luò)測(cè)試.......................................................23

8設(shè)計(jì)小結(jié).......................................................25

參考資料..........................................................26

II

湖南商務(wù)職業(yè)技術(shù)學(xué)院畢業(yè)設(shè)計(jì)

米哈游網(wǎng)絡(luò)科技公司網(wǎng)絡(luò)規(guī)劃設(shè)計(jì)

1項(xiàng)目背景

隨著社會(huì)的發(fā)展進(jìn)步，經(jīng)濟(jì)全球化進(jìn)程不斷加快，互聯(lián)網(wǎng)技術(shù)和經(jīng)濟(jì)社會(huì)

的發(fā)展相互促進(jìn)，互聯(lián)網(wǎng)技術(shù)為人們的生產(chǎn)、生活、工作提供了前所未有的便

利。作為傳統(tǒng)行業(yè)的服務(wù)行業(yè)，我們經(jīng)?？梢钥吹筋櫩驮趯?shí)體店購(gòu)物后，通過

互聯(lián)網(wǎng)預(yù)約商品或者網(wǎng)上下單，到貨后可以選擇就近快遞公司送達(dá)或者選擇就

近店鋪上門取貨。如今移動(dòng)終端支付手段日益成熟，生活和工作方式都在發(fā)生

著巨大的變化。與此同時(shí)信息技術(shù)也伴隨著社會(huì)生活不斷創(chuàng)新發(fā)展著，我們生

活和工作也發(fā)生著巨大變化

隨著互聯(lián)網(wǎng)時(shí)代的來臨，我們的生活和工作方式都在發(fā)生著翻天覆地的變

化，也帶來了許多深刻而重大的變革。對(duì)于傳統(tǒng)行業(yè)而言，其發(fā)展已經(jīng)面臨著

各種問題等待解決，諸如效率低、成本高、服務(wù)差等等。在互聯(lián)網(wǎng)技術(shù)迅猛發(fā)

展的時(shí)代背景下，如何將這些負(fù)面因素通過互聯(lián)網(wǎng)手段進(jìn)行有效解決已經(jīng)成為

企業(yè)轉(zhuǎn)型變革中必不可少的一一環(huán)。

互聯(lián)網(wǎng)經(jīng)過了幾十年的發(fā)展，以前的互聯(lián)網(wǎng)都是低速和昂貴的,不過在我們

的時(shí)代，資費(fèi)不斷的降低，而速度卻是成倍的增加。普通家庭也能夠負(fù)擔(dān)得起

網(wǎng)絡(luò)的資費(fèi)。很多的企業(yè)都開始逐漸的去構(gòu)建屬于自己的企業(yè)網(wǎng)絡(luò)，利用互聯(lián)

網(wǎng)的優(yōu)勢(shì)來提升自己企業(yè)的競(jìng)爭(zhēng)力，同時(shí)也可以通過在互聯(lián)網(wǎng)之中尋找新的消

費(fèi)點(diǎn)來增強(qiáng)公司的創(chuàng)新能力,公司構(gòu)建一個(gè)自己的企業(yè)局域網(wǎng)和屬于自己的公

司網(wǎng)站都是一個(gè)企業(yè)發(fā)展必不可少的，利用網(wǎng)絡(luò)為基礎(chǔ)，在公司局域網(wǎng)之中開

闊更多新的業(yè)務(wù)。公司網(wǎng)絡(luò)是一個(gè)公司最為核心的模塊，只有網(wǎng)絡(luò)是穩(wěn)定和可

靠的才能保證公司的業(yè)務(wù)可以穩(wěn)定安全的運(yùn)行。網(wǎng)絡(luò)無論何時(shí)都是一個(gè)企業(yè)必

不可少的基石。

2公司簡(jiǎn)介和要求

2.1公司簡(jiǎn)介

米哈游科技網(wǎng)絡(luò)公司（簡(jiǎn)稱米哈游），位于上海，成立于2014年7月。公

司經(jīng)營(yíng)范圍包括從事網(wǎng)絡(luò)技術(shù)、計(jì)算機(jī)技術(shù)、通訊技術(shù)、電子技術(shù)領(lǐng)域的技術(shù)

開發(fā)。米哈游秉承著“技術(shù)宅拯救世界”的使命，始終致力于技術(shù)研發(fā)、探索

前沿科技，在卡通渲染、人工智能、云游戲技術(shù)等領(lǐng)域積累了領(lǐng)先的技術(shù)能力。

1

湖南商務(wù)職業(yè)技術(shù)學(xué)院畢業(yè)設(shè)計(jì)

米哈游潛心專研云游戲多年，先后打造“崩壞系列”、“原神”等諸多云游。

其中原神在2020年的春節(jié)上線的PV《神女劈觀》更是傳播這中國(guó)傳統(tǒng)文化

——京劇，響徹全世界。

米哈游從起始之初的十幾人發(fā)展至三百多名員工，歐美地區(qū)、日本、韓國(guó)

均有米哈游公司設(shè)置的分公司。

米哈游公司分為董事會(huì)、技術(shù)部門、市場(chǎng)部門、客服部門、以及財(cái)務(wù)部門，

其中技術(shù)部門有設(shè)計(jì)組、美工組、測(cè)試組、安全組，市場(chǎng)部門有策劃組、宣傳

組、以及人事組，財(cái)務(wù)部門有財(cái)務(wù)組。

分公司則有市場(chǎng)部門中的宣傳組，及后勤部門。

米哈游公司網(wǎng)絡(luò)建設(shè)需要遵循的性能原則：

（1）可增值性

米哈游的網(wǎng)絡(luò)的建設(shè)、使用和維護(hù)需要投入大量的人力、物力，因此網(wǎng)絡(luò)

的增值性是網(wǎng)絡(luò)持續(xù)發(fā)展基礎(chǔ)。所以在建設(shè)時(shí)要充分考慮業(yè)務(wù)的擴(kuò)展能力，能

針對(duì)不同的用戶需求提供豐富的寬帶增值業(yè)務(wù)，使網(wǎng)絡(luò)具有自我造血機(jī)制，實(shí)

現(xiàn)以網(wǎng)養(yǎng)網(wǎng)。

（2）可擴(kuò)充性

考慮到米哈游用戶數(shù)量和業(yè)務(wù)種類發(fā)展的不確定性，要求對(duì)于核心交換機(jī)

與匯聚交換機(jī)具有強(qiáng)大的擴(kuò)展功能，米哈游的網(wǎng)絡(luò)要建設(shè)成完整統(tǒng)一、組網(wǎng)靈

活、易擴(kuò)充的彈性網(wǎng)絡(luò)平臺(tái)，能夠隨著需求變化，充分留有擴(kuò)充余地。

（3）安全可靠性

設(shè)計(jì)應(yīng)充分考慮整個(gè)網(wǎng)絡(luò)的穩(wěn)定性，支持網(wǎng)絡(luò)節(jié)點(diǎn)的備份和線路保護(hù)，提

供網(wǎng)絡(luò)安全防范措施。

3網(wǎng)絡(luò)設(shè)計(jì)

3.1網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)與規(guī)劃

米哈游公司網(wǎng)絡(luò)結(jié)構(gòu)拓?fù)淙缦拢?/p>

2

湖南商務(wù)職業(yè)技術(shù)學(xué)院畢業(yè)設(shè)計(jì)

圖1網(wǎng)絡(luò)拓?fù)鋱D

網(wǎng)絡(luò)結(jié)構(gòu)分析：

核心設(shè)備：交換方案采用了2臺(tái)1000Mbps傳輸速率的核心交換機(jī)S7703

高性能轉(zhuǎn)發(fā)設(shè)備，全分布式轉(zhuǎn)發(fā)體系結(jié)構(gòu)，提供高密度接口板，并全部支持線

速轉(zhuǎn)發(fā)。設(shè)備基于逐包轉(zhuǎn)發(fā)的機(jī)制，提高網(wǎng)絡(luò)安全性及可靠性高。

所有的核心交換機(jī)均配置了冗余電源、冗余引擎。

接入層設(shè)備：采用了具有百兆互聯(lián)擴(kuò)展能力的智能堆疊交換機(jī)

S5731-H48HB4XZ，根據(jù)用戶的信息點(diǎn)數(shù)按照布線間的設(shè)置情況，每布線間進(jìn)行

星型匯聚后，采用雙百兆鏈路捆綁上聯(lián)至樓層匯聚設(shè)備。建議每機(jī)房中通過兩

對(duì)百兆光纖捆綁連入?yún)R聚設(shè)備，提高帶寬，降低單纖故障帶來的影響。

網(wǎng)絡(luò)整體設(shè)計(jì)中，采用層次化、模塊化的網(wǎng)絡(luò)設(shè)計(jì)結(jié)構(gòu)，并嚴(yán)格定義各層

功能模型，不同層次關(guān)注不同的特性配置。

網(wǎng)絡(luò)結(jié)構(gòu)可以分成二層：接入層、核心層。

1)接入層：對(duì)于米哈游公司網(wǎng)絡(luò)的接入層設(shè)備，采用百兆二層接入的方式，

具有線速交換、智能堆疊技術(shù)以及高級(jí)QoS策略等功能。

3

湖南商務(wù)職業(yè)技術(shù)學(xué)院畢業(yè)設(shè)計(jì)

2)核心層：網(wǎng)絡(luò)的骨干，必須能夠提供高速數(shù)據(jù)交換和路由快速收斂，要

求具有較高的可靠性、穩(wěn)定性和易擴(kuò)展性等。對(duì)于米哈游公司核心層，必須提

供高性能、高可靠的網(wǎng)絡(luò)結(jié)構(gòu)，推薦采用高可靠的星型結(jié)構(gòu)。對(duì)于米哈游公司

核心層設(shè)備，應(yīng)該在提供大容量、高性能L2/L3/L4交換服務(wù)基礎(chǔ)上，能夠進(jìn)一

步融合、網(wǎng)絡(luò)安全、網(wǎng)絡(luò)業(yè)務(wù)分析等智能特性，可為網(wǎng)絡(luò)構(gòu)建融合業(yè)務(wù)的基礎(chǔ)

網(wǎng)絡(luò)平臺(tái)，進(jìn)而幫助用戶實(shí)現(xiàn)IT資源整合的需求。

運(yùn)用華為USG6712EAI下一代防火墻進(jìn)行用戶的行為管理，分割信任區(qū)域、

非信任區(qū)域、以及DMZ區(qū)域。抵御外部網(wǎng)絡(luò)的惡意的攻擊。

3.2VLAN與IP地址規(guī)劃與設(shè)計(jì)

VLAN的IP劃分如下表1、表2所示：

表1總部部門VLANIP地址規(guī)劃

部門VLANIP地址范圍網(wǎng)關(guān)VLAN命名

董事會(huì)VLAN101/2454dongshihui

技術(shù)部門VLAN102/2454jishubu

市場(chǎng)部門VLAN103/2454shichangbu

客服部門VLAN104/2454kefubu

財(cái)務(wù)部門VLAN105/2454caiwubu

表2分部部門VLANIP地址規(guī)劃

部門VLANIP地址范圍網(wǎng)關(guān)VLAN命名

市場(chǎng)部VLAN113/2454sc

客服部VLAN114/2454kf

財(cái)務(wù)部VLAN115/2454cw

表3防火墻與個(gè)設(shè)備的互聯(lián)

HX-SW1HX-SW2外網(wǎng)AR1分部AR2DMZAR3

防火墻

/24/24/30/24/24

表4服務(wù)器IP地址規(guī)劃

名稱IP地址子網(wǎng)掩碼網(wǎng)關(guān)IP

WEB服務(wù)器0054

FTP服務(wù)器0054

4

湖南商務(wù)職業(yè)技術(shù)學(xué)院畢業(yè)設(shè)計(jì)

4網(wǎng)絡(luò)技術(shù)選用

4.1VRRP

確保網(wǎng)絡(luò)可靠穩(wěn)定地運(yùn)行，解決網(wǎng)關(guān)交換機(jī)（路由器）設(shè)備單點(diǎn)失效，互

備設(shè)備之間動(dòng)態(tài)熱切換以及網(wǎng)絡(luò)系統(tǒng)共享同一缺省網(wǎng)關(guān)等問題，提出了VRRP的

解決方案。該技術(shù)的工作原理主要是將互備路由設(shè)備配置在一個(gè)VRRP協(xié)議組中，

并指定一個(gè)虛擬的IP地址作為網(wǎng)絡(luò)系統(tǒng)的缺省網(wǎng)關(guān)地址。同時(shí)根據(jù)優(yōu)先級(jí)方

案決定將優(yōu)先級(jí)最高的路由器設(shè)備定義為默認(rèn)主動(dòng)路由器，協(xié)議組中的其它路

由器則為備份路由器。此時(shí)，協(xié)議組將虛擬缺省網(wǎng)關(guān)IP地址指向主動(dòng)路由設(shè)備，

主動(dòng)路由設(shè)備即成為網(wǎng)絡(luò)系統(tǒng)中的缺省網(wǎng)關(guān)設(shè)備。VRRP協(xié)議技術(shù)使用主播、基

于UDP的呼叫信號(hào)包（HELLO包）來實(shí)現(xiàn)同一個(gè)組內(nèi)互備路由器之間的通信，即

協(xié)議組中的主、備路由器之間定期向?qū)Ψ桨l(fā)出HELLO包進(jìn)行端口檢查。當(dāng)主設(shè)

備出現(xiàn)故障時(shí)，在規(guī)定的一段時(shí)間內(nèi)不能發(fā)出HELLO包時(shí)，VRRP協(xié)議此時(shí)將備

用路由設(shè)備激活，使其成為網(wǎng)關(guān)設(shè)備，并將動(dòng)態(tài)的虛擬網(wǎng)關(guān)IP地址指向備用路

由設(shè)備，備用路由設(shè)備立即承擔(dān)起網(wǎng)絡(luò)系統(tǒng)中的數(shù)據(jù)轉(zhuǎn)發(fā)功能。當(dāng)主路由設(shè)備

故障恢復(fù)后，VRRP協(xié)議自動(dòng)將優(yōu)先級(jí)高的主路由設(shè)備激活，使之成為網(wǎng)絡(luò)系統(tǒng)

的網(wǎng)關(guān)。VRRP協(xié)議組中的主、備路由器之間的動(dòng)態(tài)熱切換都是自動(dòng)完成，而且

不用修改網(wǎng)關(guān)地址，網(wǎng)絡(luò)系統(tǒng)中的設(shè)備指向的缺省網(wǎng)關(guān)都是VRRP協(xié)議組中定義

的虛擬網(wǎng)關(guān)的IP地址，只不過不同情況下映射的路由器地址不同而已。采用了

VRRP路由協(xié)議技術(shù)后，真正做到了網(wǎng)關(guān)設(shè)備的自動(dòng)冗余備份，保證了網(wǎng)絡(luò)平臺(tái)

穩(wěn)定可靠的運(yùn)行，從而保障業(yè)務(wù)系統(tǒng)的正常開展。

VRRP技術(shù)在核心交換機(jī)進(jìn)行實(shí)現(xiàn),其中HX-SW1擔(dān)任董事會(huì)、技術(shù)部門以及

市場(chǎng)部門的主路由，HX-SW2為備份路由；HX-SW2擔(dān)任客服部門和財(cái)務(wù)部門的主

路由，HX-SW1為備份路由。

4.2MSTP

組網(wǎng)結(jié)構(gòu)的可靠性，主要是通過備份線路的設(shè)計(jì)，保證任何時(shí)刻、任何節(jié)

點(diǎn)之間都有可達(dá)的路徑。為了解決冗余鏈路引起的環(huán)路問題，IEEE通過了

IEEE802.1d協(xié)議，即生成樹協(xié)議。

MSTP多域生成樹技術(shù)，廣泛用于二層環(huán)境。多域生成樹一般用于非虛擬化

VSU的網(wǎng)絡(luò)環(huán)境中，彌補(bǔ)物理拓?fù)洚a(chǎn)生環(huán)路的解決措施，同時(shí)達(dá)到網(wǎng)絡(luò)流量的均

衡轉(zhuǎn)發(fā)，降低單臺(tái)設(shè)備工作負(fù)擔(dān)，多域生成樹其實(shí)就是基于實(shí)例下的多VLAN轉(zhuǎn)

5

湖南商務(wù)職業(yè)技術(shù)學(xué)院畢業(yè)設(shè)計(jì)

發(fā)和快速收斂的特性，能夠達(dá)到每VLAN每生成樹，通過與三層協(xié)議VRRP首選

多跳冗余協(xié)議工作，能提高網(wǎng)絡(luò)冗余和穩(wěn)定性，在其某臺(tái)設(shè)備故障后能及時(shí)切

換鏈路繼續(xù)轉(zhuǎn)發(fā)數(shù)據(jù)包，網(wǎng)關(guān)會(huì)自動(dòng)切換成正常工作的設(shè)備。

MSTP技術(shù)在核心交換機(jī)上進(jìn)行實(shí)現(xiàn)，為網(wǎng)絡(luò)實(shí)現(xiàn)負(fù)載均衡

4.3鏈路聚合技術(shù)（Link-aggregation）

鏈路聚合協(xié)議也稱之為端口聚合協(xié)議，該協(xié)議是將設(shè)備的物理接口邏輯組

合成一個(gè)虛擬接口，同時(shí)在此接口下相連的鏈路也被邏輯聚合成一條鏈路；達(dá)

到鏈路備份的同時(shí)也實(shí)現(xiàn)了鏈路帶寬的成倍增長(zhǎng)。鏈路聚合，同時(shí)也有二層和

三層聚合之分，但工作運(yùn)行環(huán)境理論是相似的，二層運(yùn)用在此網(wǎng)絡(luò)環(huán)境中的匯

聚設(shè)備本身就是大二層網(wǎng)絡(luò)環(huán)境，減少三層維護(hù)起來的麻煩，Link-aggregation

主要為線路提供冗余，與設(shè)備冗余不同，但和生成樹協(xié)議屬于同類型的協(xié)議，

但區(qū)別在于生成樹是切割物理拓?fù)渖蛇壿嬋哂噫溌罚琇ink-aggregation捆綁

物理拓?fù)涮峁┻壿嬫溌啡哂?，增加鏈路帶寬，提高網(wǎng)絡(luò)可靠性，即使其中一條

鏈路發(fā)生故障另一條或者多條依然會(huì)正常進(jìn)行轉(zhuǎn)發(fā)。

Link-aggregation用于核心交換機(jī)之間增加帶寬，提供鏈路冗余。

4.4VLAN

使用VLAN技術(shù)可以給組網(wǎng)方式更加的靈活簡(jiǎn)便，不拘泥與物理連接、設(shè)備

型號(hào)；這一項(xiàng)技術(shù)是所有設(shè)備均支持的。VLAN技術(shù)可以實(shí)現(xiàn)邏輯分割物理區(qū)域，

有效的控制廣播域的范圍，避免了大型廣播域所產(chǎn)生的重大事故；使用VLAN還

可以節(jié)約組網(wǎng)成本，同時(shí)還可以靈活劃分網(wǎng)絡(luò)結(jié)構(gòu)；且該技術(shù)的實(shí)現(xiàn)方法簡(jiǎn)單。

部署VLAN，可以縮小廣播報(bào)文的傳遞區(qū)域，減少設(shè)備資源和帶寬的浪費(fèi)，數(shù)據(jù)

幀到達(dá)交換機(jī)后會(huì)默認(rèn)生成一個(gè)Tag標(biāo)記，用以識(shí)別這是處于哪個(gè)VLAN下的

數(shù)據(jù)幀，然后交換機(jī)將根據(jù)不同的端口屬性對(duì)數(shù)據(jù)包給予不同的處理方式，使

用三種端口屬性規(guī)劃，如接入模式，中繼模式，混合模式。

VLAN用于交換機(jī)，無線控制器的廣播域隔離。

4.5動(dòng)態(tài)地址分配協(xié)議（DHCP）

動(dòng)態(tài)主機(jī)配置協(xié)議（DHCP）是用于為局域網(wǎng)之中的酥油網(wǎng)絡(luò)設(shè)備部署和IP

地址相關(guān)的配置信息的一個(gè)協(xié)議，它允許在二層網(wǎng)絡(luò)和三層網(wǎng)絡(luò)中存在，但其

收發(fā)的報(bào)文類型有所不同，在二層網(wǎng)絡(luò)下只需要通過廣播報(bào)文就可以通過

DHCPServer服務(wù)器獲取到OFFER包，從而獲取到IP地址，但是在三層網(wǎng)

6

湖南商務(wù)職業(yè)技術(shù)學(xué)院畢業(yè)設(shè)計(jì)

絡(luò)下，就是通過中繼代理以單播的形式查找路由進(jìn)行尋址轉(zhuǎn)發(fā)，直到在網(wǎng)絡(luò)中

找到DHCPServer服務(wù)器，利用DHCP服務(wù)器來幫助和減少管理員以及員工的

工作量。采用集中式的IP地址分配方式，來實(shí)現(xiàn)一個(gè)服務(wù)器管理局域網(wǎng)之中所

有的主機(jī)上網(wǎng)IP地址的需求，同時(shí)利用這種方式也可以使得IP地址在全公司

內(nèi)部都是唯一的、有效的。

DHCP技術(shù)在核心交換機(jī)上面進(jìn)行實(shí)現(xiàn)，同時(shí)HX-SW1設(shè)備作為主DHCP，

HX-SW2做備份DHCP，為網(wǎng)絡(luò)提供一定的冗余性，保障網(wǎng)絡(luò)的流通性。

4.6OSPF技術(shù)

OSPF(OpenShortestPathFirst)，開放式最短路徑優(yōu)先，由IETF定

義的一種基于狀態(tài)的內(nèi)部網(wǎng)關(guān)路由協(xié)議，具有無環(huán)路、收斂快、支持認(rèn)證、擴(kuò)

展性好等特點(diǎn)。OSPF是一種基于鏈路狀態(tài)的路由協(xié)議，OSPF支持區(qū)域的劃分，

區(qū)域內(nèi)部的路由器使用SPF最短路徑算法保證了區(qū)域內(nèi)部的無環(huán)路，OSPF還利

用區(qū)域間的連接規(guī)則保證了區(qū)域之間無路由環(huán)路。OSPF可以解決網(wǎng)絡(luò)擴(kuò)容帶來

的問題。當(dāng)網(wǎng)絡(luò)上路由器越來越多，路由信息流量急劇增長(zhǎng)的時(shí)候，OSPF可以

將每個(gè)自治系統(tǒng)劃分為多個(gè)區(qū)域，并限制每個(gè)區(qū)域的范圍。OSPF還提供認(rèn)證功

能，當(dāng)?shù)谌絾挝挥新酚善骰ヂ?lián)，就可以不用他們之間建立鄰居關(guān)系，從而防

止了非法的建立OSPF鄰居關(guān)系，進(jìn)行非法路由的發(fā)布，保證網(wǎng)路的安全。

OSPF的收斂過程由鏈路狀態(tài)公告，LSA泛洪開始，LSA中包含了路由器已知

的接口IP地址、掩碼、開銷和網(wǎng)絡(luò)類型等信息。收到LSA的路由器都可以根據(jù)

LSA供的信息建立自己的鏈路狀態(tài)數(shù)據(jù)庫(kù)LSDB(LinkStateDatabase)，

并在LSDB的基礎(chǔ)上使用SPF算法進(jìn)行運(yùn)算，建立起到達(dá)每個(gè)網(wǎng)絡(luò)的最短路徑樹。

最后，通過最短路徑樹得出到達(dá)目的網(wǎng)絡(luò)的最優(yōu)路由，并將其加入到IP路由表

中。

4.7NAT技術(shù)

NAT網(wǎng)絡(luò)地址轉(zhuǎn)換技術(shù)，其功能是將私網(wǎng)地址映射到公網(wǎng)上去，因?yàn)楣W(wǎng)是

一個(gè)大網(wǎng)絡(luò)，沒有私網(wǎng)路由指引無法到達(dá)目的地，同時(shí)私網(wǎng)地址在不同的局域

網(wǎng)中能被重復(fù)使用，因此就算公網(wǎng)有去私網(wǎng)的路由，也可能因?yàn)橛卸鄠€(gè)相同的

私網(wǎng)路由導(dǎo)致無法到達(dá)目的地，同時(shí)NAT還具備將私網(wǎng)的某些服務(wù)映射到公網(wǎng)，

確保其他用戶通過公網(wǎng)能夠訪問服務(wù)資源，NAT技術(shù)也可以用于私網(wǎng)中，通過地

址轉(zhuǎn)換對(duì)私網(wǎng)服務(wù)或數(shù)據(jù)進(jìn)行地址偽裝可以增加網(wǎng)絡(luò)環(huán)境的安全。

NAT技術(shù)在防火墻進(jìn)行實(shí)現(xiàn)，采用easy-ip的方法進(jìn)行網(wǎng)絡(luò)地址轉(zhuǎn)換。

7

湖南商務(wù)職業(yè)技術(shù)學(xué)院畢業(yè)設(shè)計(jì)

4.8IPsecVPN

IPsec（InternetProtocolSecurity）是一直種實(shí)現(xiàn)vpn的技術(shù)之一，

為IP網(wǎng)絡(luò)提供安全和加密。（由于IP報(bào)文本身沒有集成任何的安全特性，IP

數(shù)據(jù)包在公用的Internet網(wǎng)絡(luò)中可能面臨被[偽造]、[竊取]、[篡改]的風(fēng)險(xiǎn)）

通信雙方通過IPsec建立一條IPsec隧道，IP數(shù)據(jù)包通過IPsec隧道進(jìn)

行加密傳輸，有效保證了數(shù)據(jù)在不安全的網(wǎng)絡(luò)環(huán)境如Internet中傳輸?shù)陌踩浴?/p>

兩個(gè)異地局域網(wǎng)需要進(jìn)行通訊，因?yàn)槭蔷钟蚓W(wǎng)內(nèi)網(wǎng)IP地址不能通過

INTERNET公網(wǎng)進(jìn)行安全通訊。只有通過IPSec包封裝技術(shù)，利用Internet公網(wǎng)

IP地址,封裝內(nèi)部私網(wǎng)的IP數(shù)據(jù)，實(shí)現(xiàn)異地網(wǎng)絡(luò)的互通:總部私網(wǎng)IP發(fā)信給分

部私網(wǎng)IP地址，總部局域網(wǎng)IP數(shù)據(jù)經(jīng)總部私網(wǎng)IP地址傳至出口處總部

IPSecVPN網(wǎng)關(guān)進(jìn)行加密封裝，通過INTERNET公網(wǎng)傳送至分部IPSecVPN網(wǎng)

關(guān)進(jìn)行解密拆封裝后，交給分部局域網(wǎng)私網(wǎng)IP地址。相反分部私網(wǎng)IP地址回

信給總部私網(wǎng)IP也是一樣過程，這樣就實(shí)現(xiàn)異地局域網(wǎng)對(duì)局域網(wǎng)的通訊。

IPsecVPN技術(shù)在總部的防火墻和分部的路由器上實(shí)現(xiàn)。

5網(wǎng)絡(luò)設(shè)備選型

5.1核心交換機(jī)

S7700系列是華為公司面向下一代企業(yè)網(wǎng)絡(luò)架構(gòu)而推出的新一代高端智能

路由交換機(jī)，廣泛應(yīng)用于園區(qū)網(wǎng)絡(luò)、數(shù)據(jù)中心核心/匯聚節(jié)點(diǎn)，可對(duì)無線、話音、

視頻和數(shù)據(jù)融合網(wǎng)絡(luò)進(jìn)行先進(jìn)的控制，幫助企業(yè)構(gòu)建交換路由一體化的端到端

融合網(wǎng)絡(luò)。

S7703交換機(jī)基于華為公司智能多層交換的技術(shù)理念，在提供穩(wěn)定、可靠、

安全的高性能L2~L4層交換服務(wù)基礎(chǔ)上，進(jìn)一步提供MPLSVPN、業(yè)務(wù)流分析、

完善的HQoS策略、可控組播、資源負(fù)載均衡、一體化安全等智能業(yè)務(wù)優(yōu)化手段，

同時(shí)具備超強(qiáng)擴(kuò)展性和可靠性。

圖2核心交換機(jī)S7703

8

湖南商務(wù)職業(yè)技術(shù)學(xué)院畢業(yè)設(shè)計(jì)

表5核心交換機(jī)S7703規(guī)格

功能核心交換機(jī)S7703

交換容量38.4/168Tbps

包轉(zhuǎn)發(fā)率7200/36000Mpps

槽位主控板槽位:2

交換網(wǎng)槽位:內(nèi)置

業(yè)務(wù)槽位:3

WLAN基本業(yè)務(wù)支持Mesh組網(wǎng)

支持隨板AC間N+N冷備

支持集群方式隨板AC熱備

支持WLAN終端定位

支持2.4G&5G負(fù)載均衡

支持5G優(yōu)先模式

WLANQoS支持用戶無線優(yōu)先級(jí)到有線優(yōu)先級(jí)的映射

支持用戶無線優(yōu)先級(jí)到CAPWAP隧道優(yōu)先級(jí)的映射

支持基于用戶的空口上下行流量限速

支持基于SSID的CAR功能

支持WLAN用戶CAR功能

VLAN支持4K個(gè)VLAN

支持Access、Trunk、Hybrid方式

支持LNP鏈路類型自協(xié)商

支持defaultVLAN支持VLAN交換

支持基于MAC的動(dòng)態(tài)VLAN分配

IP路由支持RIP、OSPF、ISIS、BGP等IPv4動(dòng)態(tài)路由協(xié)議

支持RIPng、OSPFv3、ISISv6、BGP4+等IPv6動(dòng)態(tài)路由協(xié)議

可靠性支持LACP、支持跨設(shè)備E-Trunk

支持VRRP、BFDforVRRP

支持BFDforBGP/IS-IS/OSPF/靜態(tài)路由

用戶管理支持統(tǒng)一用戶管理

支持PPPoE、802.1X、MAC、Portal認(rèn)證方式

支持基于流量和時(shí)長(zhǎng)計(jì)費(fèi)方式

配置與維護(hù)支持敏捷零配置部署

支持Console、Telnet、SSH等終端服務(wù)

支持SNMPv1/v2c/v3等網(wǎng)絡(luò)管理協(xié)議

支持通過FTP、TFTP方式上載、下載文件

支持用戶操作日志

5.2接入層

CloudEngineS5731-H48HB4XZ是華為公司推出的新一代光電混合以太網(wǎng)

交換機(jī)，基于華為公司統(tǒng)一的VRP（VersatileRoutingPlatform）軟件平臺(tái)，

具備有線無線深度融合能力，支持隨板AC，最多可管理1KAP；具備業(yè)務(wù)隨行能

9

湖南商務(wù)職業(yè)技術(shù)學(xué)院畢業(yè)設(shè)計(jì)

力，提供一致的用戶體驗(yàn)；具備VXLAN能力，支持網(wǎng)絡(luò)虛擬化功能，滿足園區(qū)

網(wǎng)絡(luò)一網(wǎng)多用的需求；支持創(chuàng)新光電協(xié)同技術(shù)，光口電口合一，可作為中心交

換機(jī)為遠(yuǎn)端模塊（RU）提供超300米超遠(yuǎn)距60WPoE++供電；此外，該系列

交換機(jī)內(nèi)置安全探針，支持異常流量檢測(cè)、加密流量的威脅分析，以及全網(wǎng)威

脅誘捕等功能，是大中型高端品質(zhì)園區(qū)網(wǎng)分支、小型園區(qū)網(wǎng)核心以及數(shù)據(jù)中心

接入層的最佳選擇。

圖3接入層交換機(jī)S5731-H48HB4XZ

表6接入層交換機(jī)S5731-H48HB4XZ規(guī)格

功能S5731-H48HB4XZ

包轉(zhuǎn)發(fā)率516Mpps

交換容量1.28/12.8Tbps

VLAN特性支持4K個(gè)VLAN

支持基于MAC/協(xié)議/IP子網(wǎng)/策略/端口的

VLAN

支持VLANMapping功能

IP路由靜態(tài)路由、RIPV1/2、RIPng、OSPF、

OSPFv3、IS-IS、IS-ISv6、BGP、BGP4+、

ECMP、路由策略

IPv6特性支持Ipv6Ping、Ipv6Tracert、Ipv6Telnet

支持基于源Ipv6地址、目的Ipv6地址、四

層端口、協(xié)議類型等ACL

支持子接口配置IPv6地址，支持VRRP6、

DHCPv6、L3VPN等

安全特性用戶分級(jí)管理和口令保護(hù)

支持防止DOS、ARP攻擊功能、ICMP防攻擊

支持IP、MAC、端口、VLAN的組合綁定

支持IEEE802.1X認(rèn)證，支持AAA認(rèn)證

支持NAC功能支持SSHV2.0

支持HTTPS

可靠性支持LACP

支持E-Trunk

支持BFDforBGP/IS-IS/OSPF/靜態(tài)路由等

5.3路由器

NetEngine40E-X3A路由器是華為公司推出的高端網(wǎng)絡(luò)產(chǎn)品，主要應(yīng)用在IP

10

湖南商務(wù)職業(yè)技術(shù)學(xué)院畢業(yè)設(shè)計(jì)

骨干網(wǎng)、IP城域網(wǎng)以及其他各種大型IP網(wǎng)絡(luò)的邊緣位置。

40E-X3A路由器采用可編程的NP轉(zhuǎn)發(fā)機(jī)制，基于CLOS分布式多級(jí)交換架

構(gòu)，采用分布式的硬件轉(zhuǎn)發(fā)和無阻塞交換技術(shù)，具有良好的線速轉(zhuǎn)發(fā)性能，優(yōu)

異的擴(kuò)展能力，完善的QoS機(jī)制和強(qiáng)大的業(yè)務(wù)處理能力。NE40E基于業(yè)界領(lǐng)先

的2T平臺(tái)，每個(gè)槽位提供2T路由線卡，兼容現(xiàn)網(wǎng)線卡，最大限度保護(hù)客戶的

投資。

圖4路由器NE40E-X3A

表7路由器NE40E-X3A規(guī)格

功能NE40E-X3A

交換容量120.03Tbps

轉(zhuǎn)發(fā)性能11700Mpps

接口類型100GE

50GE

40GE

25GE

10GELAN/WAN

IPv4支持靜態(tài)路由、RIP、OSPF、IS-IS、BGP-4等路由協(xié)議，所有端

口在路由振蕩等復(fù)雜路由環(huán)境下線速轉(zhuǎn)發(fā)

二層特性支持IEEE802.1q、IEEE802.1p、IEEE802.3ad和IEEE802.1ab

支持STP、RSTP、MSTP和VLAN

支持EVC和VXLAN

QoS完善的HQoS機(jī)制，每線路板可提供先進(jìn)調(diào)度和擁塞避免技術(shù)

提供精確的流量監(jiān)管和流量整形功能

提供定義復(fù)雜規(guī)則的功能，支持流細(xì)粒度鑒別，以及支持MPLS

HQoS，全面保證MPLSVPN、VLL和PWE3的QoS調(diào)度

11

湖南商務(wù)職業(yè)技術(shù)學(xué)院畢業(yè)設(shè)計(jì)

安全支持ACL報(bào)文過濾、支持DHCPSnooping、支持防ARP攻擊、防DOS

攻擊、支持MAC地址限制、MAC與IP綁定、支持SSH、SSHv2

可靠性提供IP/LDP/VPN/TE/VLL快速重路由，支持IP/TE自動(dòng)重路由技

術(shù)IGP／BGP/組播路由快速收斂、虛擬路由冗余協(xié)議（VRRP）、

快速環(huán)網(wǎng)保護(hù)協(xié)議（RRPP）、IPTRUNK鏈路分擔(dān)備份技術(shù)

支持PWredundancy、E-Trunk、E-APS、E-STP

支持硬件BFD鏈路3.3ms快速檢測(cè)、MPLS/EthernetOAM、

Y.1731、路由協(xié)議／端口/VLANDamping等保護(hù)機(jī)制

路由處理模塊、交換網(wǎng)、電源等關(guān)鍵部件冗余備份，整機(jī)沒有單

點(diǎn)故障

5.4防火墻

華為USG6712E系列AI防火墻，在提供NGFW能力的基礎(chǔ)上，聯(lián)動(dòng)其他安全

設(shè)備，主動(dòng)防御網(wǎng)絡(luò)威脅，增強(qiáng)邊界檢測(cè)能力，有效防御高級(jí)威脅，同時(shí)解決

性能下降問題。NP引擎提供快速轉(zhuǎn)發(fā)能力，防火墻性能顯著提升。

圖5防火墻USG6712E示意圖

表8防火墻USG6712E規(guī)格

功能USG6712E

路由特性全面支持IPV4/IPV6下的多種路由協(xié)議，如RIP、OSPF、BGP、IS-IS、

RIPng、OSPFv3、BGP4+、IPv6IS-IS等。

一體化防護(hù)集傳統(tǒng)防火墻、VPN、入侵防御、防病毒、數(shù)據(jù)防泄漏、帶寬管理、

Anti-DDoS、URL過濾、反垃圾郵件等多種功能于一身，全局配置視圖和一

體化策略管理。

應(yīng)用識(shí)別與管可識(shí)別6000+應(yīng)用，訪問控制精度到應(yīng)用功能。應(yīng)用識(shí)別與入侵檢測(cè)、防

控病毒、內(nèi)容過濾相結(jié)合，提高檢測(cè)性能和準(zhǔn)確率。

入侵防御與第一時(shí)間獲取最新威脅信息，準(zhǔn)確檢測(cè)并防御針對(duì)漏洞的攻擊?？煞雷o(hù)各

Web防護(hù)種針對(duì)web的攻擊，包括SQL注入攻擊和跨站腳本攻擊等。

數(shù)據(jù)防泄漏對(duì)傳輸?shù)奈募蛢?nèi)容進(jìn)行識(shí)別過濾，可準(zhǔn)確識(shí)別常見文件的真實(shí)類型，如

Word、Excel、PPT、PDF等，并對(duì)內(nèi)容進(jìn)行過濾。

12

湖南商務(wù)職業(yè)技術(shù)學(xué)院畢業(yè)設(shè)計(jì)

Anti-DDoS支持DDoS攻擊防護(hù)，防范SYNflood、UDPflood等10+種常見DDoS攻擊。

6網(wǎng)絡(luò)設(shè)備配置

6.1交換機(jī)配置

6.1.1VRRP配置

vlanbatch101102103104105

#創(chuàng)建vlan101、vlan102、vlan103、vlan104、vlan105

[SW1]interfaceGigabitEthernet0/0/1

#進(jìn)入上行接口

[SW1]portlink-typetrunk

#配置上行接口為trunk類型

[SW1]porttrunkallow-passvlan101102103

#放行vlan101-103通過

[SW1]interfaceGigabitEthernet0/0/3

#進(jìn)入上行接口

[SW1]portlink-typetrunk

#配置上行接口為trunk類型

[SW1]porttrunkallow-passvlan104105

#放行vlan104-105通過

[SW1]interfacevlan101

#進(jìn)入vlan101接口

[SW1]ipaddress24

#配置vlan101接口IP地址

[SW1]vrrpvrid1virtual-ip54

#創(chuàng)建VRRP備份組1和虛擬IP地址

[SW1]vrrpvrid1priority101

#配置VRRP備份組1的優(yōu)先級(jí)為101

[SW1]vrrpvrid1trackinterfaceGigabitEthernet0/0/1reduced2

#配置監(jiān)視接口

[SW2]interfaceGigabitEthernet0/0/1

#進(jìn)入上行接口

[SW2]portlink-typetrunk

13

湖南商務(wù)職業(yè)技術(shù)學(xué)院畢業(yè)設(shè)計(jì)

#配置上行接口為trunk類型

[SW2]porttrunkallow-passvlan101102103

#放行vlan101-103通過

[SW2]interfaceGigabitEthernet0/0/2

#進(jìn)入上行接口

[SW2]portlink-typetrunk

#配置上行接口為trunk類型

[SW2]porttrunkallow-passvlan104105

#放行vlan104-105通過

[SW2]interfacevlan101

#進(jìn)入vlan101接口

[SW2]ipaddress24

#配置vlan101接口IP地址

[SW2]vrrpvrid1virtual-ip53

#創(chuàng)建VRRP備份組1和虛擬IP地址

6.1.2鏈路聚合配置

interfaceEth-Trunk1

#創(chuàng)建聚合接口1，并進(jìn)入

portlink-typetrunk

#配置聚合口配置為trunk類型

porttrunkallow-passvlanall

#放行所有vlan

modelacp-static

#配置聚合模式為L(zhǎng)ACP模式

trunkportg0/0/23

trunkportg0/0/24

#將相應(yīng)的物理接口加入到聚合口

6.1.3MSTP配置

stpmodemstp

#開啟stp，并設(shè)置為mstp模式

stpregion-configuration

#進(jìn)入域設(shè)置

14

湖南商務(wù)職業(yè)技術(shù)學(xué)院畢業(yè)設(shè)計(jì)

instance1vlan101102103

instance2vlan104105

#配置實(shí)例映射

activeregion-configuration

#激活域配置

q

[SW1]stpinstance1rootprimary

[SW1]stpinstance2rootsecondary

#配置SW1為實(shí)例1為主根，實(shí)例2為備份根

[SW2]stpinstance1rootsecondary

[SW2]stpinstance2rootprimary

#配置SW2為實(shí)例2為主根，實(shí)例1為備份根

6.1.4DHCP配置

[SW1]dhcpenable

#開啟DHCP

[SW1]ippooldongshihui

#創(chuàng)建地址池

[SW1]gateway-list

#指定地址池網(wǎng)關(guān)

[SW1]networkmask24

#指定地址池的網(wǎng)段

[SW1]excluded-ip-address5054

#排除地址

[SW1]interfacevlan101

#進(jìn)入vlan101虛接口

[SW1]dhcpselectglobal

#使DHCP生效

[SW2]dhcpenable

#開啟DHCP

[SW2]ippooldongshihui

#創(chuàng)建地址池

[SW2]gateway-list

15

湖南商務(wù)職業(yè)技術(shù)學(xué)院畢業(yè)設(shè)計(jì)

#指定地址池網(wǎng)關(guān)

[SW2]networkmask24

#指定地址池的網(wǎng)段

[SW2]excluded-ip-address5054

#排除地址

[SW2]interfacevlan101

#進(jìn)入vlan101虛接口

[SW2]dhcpselectglobal

#使DHCP生效

[AR2]vlanbatch113114115

#創(chuàng)建vlan113-115

[AR2]interfaceGigabitEthernet0/0/0

#進(jìn)入g0/0/0接口

[AR2]ipaddress24

#配置IP地址

[AR2]interfaceGigabitEthernet/0/1.1

#進(jìn)入g0/0/1.1子接口

[AR2]ipaddress5424

#配置IP地址

[AR2]dot1qtermintionvid113

#配置子接口dot1q封裝vlan

[AR2]arpbroadcastenable

#使能ARP廣播功能

[AR2]interfaceGigabitEthernet0/0/1.2

#進(jìn)入g0/0/1.2子接口

[AR2]ipaddress5424

#配置IP地址

[AR2]dot1qtermintionvid114

#配置子接口dot1q封裝vlan

[AR2]arpbroadcastenable

#使能ARP廣播功能

[AR2]interfaceGigabitEthernet0/0/1.3

#進(jìn)入g0/0/1.3子接口

16

湖南商務(wù)職業(yè)技術(shù)學(xué)院畢業(yè)設(shè)計(jì)

[AR2]dot1qterminationvid115

#配置子接口dot1q封裝vlan

[AR2]ipaddress54

#配置IP地址

[AR2]arpbroadcastenable

#使能ARP廣播功能

[AR2]ippoolsc

#建立地址池

[AR2]gateway-list54

#指定地址池網(wǎng)關(guān)

[AR2]networkmask

#指定地址池網(wǎng)段

[AR2]interfaceGigabitEthernet0/0/1.1

#進(jìn)入子接口

[AR2]dhcpselectglobal

##使DHCP生效

[AR2]interfaceGigabitEthernet0/0/1.2

#進(jìn)入子接口

[AR2]dhcpselectglobal

#使DHCP生效

[AR2]interfaceGigabitEthernet0/0/1.3

#進(jìn)入子接口

[AR2]dhcpselectglobal

#使DHCP生效

6.2路由器配置

6.2.1IP路由配置

[SW1]interfaacevlan101

#進(jìn)入接口

[SW1]ipaddress24

#配置IP地址

[SW1]interfacevlan102

17

湖南商務(wù)職業(yè)技術(shù)學(xué)院畢業(yè)設(shè)計(jì)

[SW1]ipaddress24

[SW1]interfacevlan103

[SW1]ipaddress24

[SW1]interfacevlan104

[SW1]ipaddress24

[SW1]interfacevlan105

[SW1]ipaddress24

[SW1]interfacevlan90

[SW1]ipaddress24

[SW1]ospfrouter-id

#配置ospf進(jìn)程，并配置router-id為

[SW1]area10

#進(jìn)入?yún)^(qū)域10

[SW1]network

#ospf宣告，采用32位精準(zhǔn)宣告

[SW1]network

[SW1]network

[SW1]network

[SW1]network

[SW1]network

[SW2]interfacevlan101

#進(jìn)入vlan101虛接口

[SW2]ipaddress24

#配置IP地址

[SW2]intvlan102

[SW2]ipaddress24

[SW2]interfacevlan103

[SW2]ipaddress24

[SW2]interfacevlan104

[SW2]ipaddress24

[SW2]interfacevlan105

[SW2]ipaddress24

[SW2]interfacevlan80

18

湖南商務(wù)職業(yè)技術(shù)學(xué)院畢業(yè)設(shè)計(jì)

[SW2]ipaddress24

[SW2]ospfrouter-id

#配置ospf進(jìn)程，并配置router-id為

[SW2]area10

#進(jìn)入?yún)^(qū)域10

[SW2]network

#ospf宣告，采用32位精準(zhǔn)宣告

[SW2]network

[SW2]network

[SW2]network

[SW2]network

[SW2]network

[AR2]intg0/0/0

[AR2]ipaddress24

[AR2]ospfrouter-id

#配置ospf進(jìn)程，并配置router-id為

[AR2]area10

#進(jìn)入?yún)^(qū)域10

[AR2]network54

#ospf宣告，采用32位精準(zhǔn)宣告

[AR2]network54

[AR2]network54

[AR3]ospfrouter-id

#配置ospf進(jìn)程，并配置router-id為

[AR3]area10

#進(jìn)入?yún)^(qū)域10

[AR3]network

#ospf宣告，采用32位精準(zhǔn)宣告

[AR3]network54

[AR3]network54

6.3防火墻配置

[FW1]interfaceGigabitEthernet1/0/1

19

湖南商務(wù)職業(yè)技術(shù)學(xué)院畢業(yè)設(shè)計(jì)

#進(jìn)入接口g1/0/1

[FW1]ipaddress

#配置IP地址

[FW1]service-manageallpermit

#允許所有服務(wù)流量通過

[FW1]ipsecpolicyp11isakmptemplatep2

[FW1]interfaceGigabitEthernet1/0/2

[FW1]ipaddress

[FW1]service-manageallpermit

[FW1]interfaceGigabitEthernet1/0/4

[FW1]ipaddress52

[FW1]service-manageallpermit

[FW1]firewallzonetrust

#進(jìn)入信任域

[FW1]addinterfaceGigabitEthernet1/0/1

#將g1/0/1加入信任域

[FW1]addinterfaceGigabitEthernet1/0/2

[FW1]firewallzoneuntrust

#進(jìn)入非信任域

[FW1]addinterfaceGigabitEthernet1/0/4

#將g1/0/4加入非信任域

[FW1]firewallzonedmz

#進(jìn)入DMZ區(qū)域

[FW1]addinterfaceGigabitEthernet1/0/0

#將g1/0/0加入DMZ區(qū)域

[FW1]ospfrouter-id

#配置ospf進(jìn)程，并配置router-id為

[FW1]area10

#進(jìn)入?yún)^(qū)域10

[FW1]network

#ospf宣告，采用32位精準(zhǔn)宣告

[FW1]network

[FW1]network

20

湖南商務(wù)職業(yè)技術(shù)學(xué)院畢業(yè)設(shè)計(jì)

[FW1]network

[FW1]iproute-static

#配置一條缺省路由，下一跳指向外網(wǎng)

[FW1]nat-policy

#配置nat安全策略

[FW1]rulenameeasy-ip

#創(chuàng)建訪問規(guī)則

[FW1]source-zonetrust

#配置源區(qū)域?yàn)閠rust區(qū)域

[FW1]source-addressmask

#配置安全策略的源地址

[FW1]serviceicmp

#配置服務(wù)為icmp

[FW1]actionsource-nateasy-ip

#配置執(zhí)行動(dòng)作為允許通過

[FW1]security-policy

#配置安全策略

[FW1]rulenamelocal_any

#配置規(guī)則名字

[FW1]source-zonelocal

#配置安全策略源安全區(qū)域

[FW1]actionpermit

#配置執(zhí)行服務(wù)為允許

[FW1]rulenametrust_untrust

#配置規(guī)則名字

[FW1]source-zonetrust

#配置安全策略源安全區(qū)域

[FW1]destination-zoneuntrust

#配置安全策略目的安全區(qū)域

[FW1]actionpermit

#配置執(zhí)行服務(wù)為允許

[FW1]rulenametrust_dmz

#配置規(guī)則名字

21

湖南商務(wù)職業(yè)技術(shù)學(xué)院畢業(yè)設(shè)計(jì)

[FW1]source-zonetrust

#配置安全策略源安全區(qū)域

[FW1]destination-zonedmz

#配置安全策略目的安全區(qū)域

[FW1]actionpermit

#配置執(zhí)行服務(wù)為允許

[FW1]rulenameuntrust_dmz

#配置規(guī)則名字

[FW1]source-zoneuntrust

#配置