強盛公司網(wǎng)絡(luò)規(guī)劃設(shè)計

湖南商務(wù)職業(yè)技術(shù)學(xué)院畢業(yè)設(shè)計

目錄

1項目概述....................................................................................................................1

1.1公司介紹..........................................................................................................1

1.2項目背景..........................................................................................................1

2需求分析....................................................................................................................1

3項目設(shè)計....................................................................................................................3

3.1公司IP地址規(guī)劃............................................................................................3

3.2VLAN資源規(guī)劃.............................................................................................3

3.3項目拓撲..........................................................................................................4

4設(shè)備選型....................................................................................................................4

4.1接入交換機......................................................................................................4

4.2核心交換機......................................................................................................5

4.3路由器..............................................................................................................6

4.4防火墻..............................................................................................................7

5網(wǎng)絡(luò)協(xié)議的選用........................................................................................................8

5.1虛擬局域網(wǎng)技術(shù)（VLAN）..........................................................................8

5.2動態(tài)主機配置協(xié)議(DHCP）..........................................................................8

5.3Link-aggregation（鏈路聚合）......................................................................8

5.4多業(yè)務(wù)傳送平臺技術(shù)（MSTP）...................................................................9

5.5開放式最短路徑優(yōu)先（OSPF）....................................................................9

5.6訪問控制列表（ACL）..................................................................................9

5.7網(wǎng)絡(luò)地址轉(zhuǎn)換（NAT）...............................................................................10

6網(wǎng)絡(luò)實施..................................................................................................................10

6.1交換機配置....................................................................................................10

6.1.1Vlan配置............................................................................................10

6.1.2接口模式配置.....................................................................................12

6.1.3DHCP配置.........................................................................................13

I

湖南商務(wù)職業(yè)技術(shù)學(xué)院畢業(yè)設(shè)計

6.1.4鏈路聚合.............................................................................................15

6.1.5MSTP配置..........................................................................................15

6.1.6ACL配置............................................................................................16

6.2路由器配置....................................................................................................16

6.2.1OSPF配置...........................................................................................16

6.2.2NAT配置............................................................................................17

7網(wǎng)絡(luò)測試..................................................................................................................17

7.1DHCP地址分配測試....................................................................................17

7.2鏈路聚合測試................................................................................................18

7.3NAT測試......................................................................................................18

7.4連通性測試....................................................................................................18

8設(shè)計小結(jié)..................................................................................................................18

參考資料.........................................................................................................................20

II

湖南商務(wù)職業(yè)技術(shù)學(xué)院畢業(yè)設(shè)計

強盛公司網(wǎng)絡(luò)規(guī)劃設(shè)計

1項目概述

1.1公司介紹

強盛集團有限公司于2015年5月10日在浙江杭州成立。專業(yè)從事建筑裝

飾設(shè)計、環(huán)境設(shè)計、施工指導(dǎo)等工作。自成立以來，公司積累了許多大型項目

的策劃、設(shè)計經(jīng)驗，有著強大的實力。該公司通過向顧客提供創(chuàng)新的、專業(yè)的、

可靠的設(shè)計方案而獲得了越來越多公司的青睞。經(jīng)過這些年的沉淀，強盛建筑

公司已從一家小型建筑公司變身為業(yè)內(nèi)的佼佼者。公司現(xiàn)有員工120多人，擁

有室內(nèi)設(shè)計、環(huán)境藝術(shù)、建筑學(xué)等專業(yè)的人才，通過使用互聯(lián)網(wǎng)實現(xiàn)為來自不

同地域的客戶服務(wù)。

1.2項目背景

隨著網(wǎng)絡(luò)技術(shù)的創(chuàng)新，推動了各行各業(yè)的發(fā)展，越來越多的企業(yè)通過構(gòu)建

自身的網(wǎng)絡(luò)，來支撐企業(yè)業(yè)務(wù)發(fā)展的需要，提升辦事效率。強盛公司為了進一

步增強競爭力，擴大在業(yè)界的影響力，同時招攬更多的優(yōu)秀的建筑學(xué)等專業(yè)人

才，決定在蘇州建立一個分公司。分公司中財務(wù)部有8人，行政部有7人，運

輸部有10人，技術(shù)部有10人，人事部有9人。

本方案根據(jù)強盛公司的需求，搭建了一個適合公司發(fā)展的網(wǎng)絡(luò)。在組網(wǎng)過

程中，充分考慮了安全性、穩(wěn)定性、實用性以及擴展性。從強盛公司的需求出

發(fā)，繪制網(wǎng)絡(luò)拓撲圖，對公司的網(wǎng)絡(luò)進行了設(shè)備選型；采用VLAN技術(shù)，為各部

門構(gòu)建虛擬工作組，隔離了廣播，并加強了網(wǎng)絡(luò)的安全性；采用MSTP實現(xiàn)了二

層網(wǎng)絡(luò)的冗余，并實現(xiàn)了數(shù)據(jù)的負載分擔(dān)，增強強盛公司網(wǎng)絡(luò)的可靠性；采用

VRRP技術(shù)實現(xiàn)了網(wǎng)關(guān)的冗余，為用戶訪問外部網(wǎng)絡(luò)增強了健壯性；采用NAT技

術(shù)實現(xiàn)了公司用戶能共享互聯(lián)網(wǎng)中的資源，并為公司構(gòu)建了一個交流的通道。

上述技術(shù)的結(jié)合為強盛公司搭建一個安全、可靠的網(wǎng)絡(luò)，促進了公司的發(fā)展。

2需求分析

根據(jù)客戶要求，在網(wǎng)絡(luò)設(shè)計要采用成熟的網(wǎng)絡(luò)技術(shù)，同時也要務(wù)必保證網(wǎng)

絡(luò)的性價比、可靠性、安全性、實用性等等。

1)網(wǎng)絡(luò)設(shè)備實用：交換機、路由器與服務(wù)器等設(shè)備在能滿足技術(shù)改革方面

1

湖南商務(wù)職業(yè)技術(shù)學(xué)院畢業(yè)設(shè)計

能不斷提升的同時，性能也能滿足需求，但是隨著科技的發(fā)展設(shè)備價格也會不

斷降低，所以沒必要選取價格過高、性能過高的設(shè)備，實現(xiàn)所有目前所需要求，

且留下部分擴展就可以了。所以，網(wǎng)絡(luò)規(guī)劃中應(yīng)該采用穩(wěn)定性好、可靠性高的

設(shè)備.而網(wǎng)絡(luò)協(xié)議選取方面，選用目前比較實用的技術(shù)就可以了。

2)網(wǎng)絡(luò)安全可靠：安全性主要是防病毒、防入侵、數(shù)據(jù)的機密性和可信賴

性等等。保障內(nèi)網(wǎng)數(shù)據(jù)安全是衡量網(wǎng)絡(luò)質(zhì)量的一大標準，網(wǎng)絡(luò)建成后所有的設(shè)

備、辦公數(shù)據(jù)均處于內(nèi)網(wǎng)網(wǎng)絡(luò)當(dāng)中，如若安防手段不到位，被攻破造成數(shù)據(jù)丟

失，將會使得公司產(chǎn)生巨大損失，因此網(wǎng)絡(luò)安全是必須保障的因素。為了網(wǎng)絡(luò)

系統(tǒng)的安全，在設(shè)計方案時，應(yīng)該在安全方面投入部分的資金，同時建議用戶

選用防火墻等安全設(shè)備。

3)網(wǎng)絡(luò)運行流暢穩(wěn)定：在網(wǎng)絡(luò)流暢傳輸?shù)那疤嵯?，需要保障網(wǎng)絡(luò)一直穩(wěn)定

運行，網(wǎng)絡(luò)流暢但不穩(wěn)定是一種很大的隱患，降低用戶的網(wǎng)絡(luò)需求體驗，因此

要保障網(wǎng)絡(luò)持續(xù)穩(wěn)定運行。

4)標準開放性原則：要建立一個可靠性強、網(wǎng)絡(luò)利用率高、靈活性大的網(wǎng)

絡(luò)，不僅要考慮設(shè)備之間可以能夠快速、安全、可靠地交互，而且還要考慮與

遠程分部的互聯(lián)以及解決員工出差需要連接到公司網(wǎng)絡(luò)的問題，以及與相關(guān)信

息系統(tǒng)網(wǎng)際互聯(lián)，實現(xiàn)共享資源。只有滿足這些條件才能算的上是實現(xiàn)和滿足

開放和標準化的原則。

5)可擴充和擴展化原則：隨著網(wǎng)絡(luò)技術(shù)的不斷進步，新的標準和功能又或

是設(shè)備都在不斷地更新，所以我們的網(wǎng)絡(luò)設(shè)備也要設(shè)備的不斷更新而去升級。

所以在設(shè)計網(wǎng)絡(luò)時，我們還要去考慮強盛公司未來幾年的網(wǎng)絡(luò)發(fā)展趨勢，去適

應(yīng)業(yè)務(wù)的不斷增長的需求。在設(shè)計強盛公司網(wǎng)絡(luò)拓撲、選取網(wǎng)絡(luò)協(xié)議和網(wǎng)絡(luò)管

理方式等方面應(yīng)該采用項目上先進的、成熟的技術(shù)。這樣在未來網(wǎng)絡(luò)需要擴展

的時候，我們就可以輕松的去擴展網(wǎng)絡(luò)，從而保護客戶利益。網(wǎng)絡(luò)建成后，又

因為應(yīng)用軟件和用戶的不斷增加，所以核心骨干網(wǎng)絡(luò)設(shè)備必須要改進。該設(shè)備

應(yīng)該要滿足不同的端口和模塊化設(shè)計，以及技術(shù)選擇的需求，以便于往后能實

現(xiàn)更加靈活的擴展需求。

6)網(wǎng)絡(luò)冗余備份：網(wǎng)絡(luò)在穩(wěn)定運行的前提避不開網(wǎng)絡(luò)的冗余保障，假設(shè)網(wǎng)

絡(luò)突然中斷，造成網(wǎng)絡(luò)不穩(wěn)定，而網(wǎng)絡(luò)卻未有備份，等待故障排除恢復(fù)，仍需

很長時間，造成非常不好的用戶體驗，為避免此問題發(fā)生，必須要建立網(wǎng)絡(luò)的

冗余備份，提高網(wǎng)絡(luò)的容錯能力。

7)網(wǎng)絡(luò)規(guī)劃管理：網(wǎng)絡(luò)建成難免會存在故障發(fā)生，一個好的管理規(guī)劃設(shè)計，

能夠為后期的網(wǎng)絡(luò)維護人員帶來很大的便捷，網(wǎng)絡(luò)設(shè)計層次分明，責(zé)任管理分

2

湖南商務(wù)職業(yè)技術(shù)學(xué)院畢業(yè)設(shè)計

配井井有條，這樣能夠大大提高網(wǎng)絡(luò)維護效率，在故障發(fā)生時，網(wǎng)絡(luò)維護人員

能夠迅速發(fā)現(xiàn)問題并解決網(wǎng)絡(luò)故障，最快速度恢復(fù)網(wǎng)絡(luò)運行。

綜合強盛公司需求，對網(wǎng)絡(luò)進行初步規(guī)劃：使用DHCP技術(shù)自動分配地址，

為保證設(shè)備之間數(shù)據(jù)傳輸?shù)逆溌穾捫枨髮R聚交換機進行鏈路聚合。使用

vlan技術(shù)將不同部門之間的流量區(qū)分，采用每個vlan網(wǎng)段的第一個可用IP地

址作為該VLAN中主機的網(wǎng)關(guān)地址，僅允許行政部訪問財務(wù)部，內(nèi)部使用ospf

進行路由交互。設(shè)備之間采用OSPF進行路由交互。

3項目設(shè)計

3.1公司IP地址規(guī)劃

強盛公司IP地址規(guī)劃如表1所示。

表1強盛公司IP地址分配表

部門地址網(wǎng)段

運輸部192.168.61.0/24

財務(wù)部192.168.62.0/24

技術(shù)部192.168.63.0/24

行政部192.168.64.0/24

人事部192.168.65.0/24

市場部192.168.66.0/24

設(shè)備管理地址192.168.100.0/24

3.2VLAN資源規(guī)劃

強盛公司在布置新的網(wǎng)絡(luò)時需要將各個部門劃為不同的VLAN這有利與公

司網(wǎng)絡(luò)的安全和日常維護。根據(jù)強盛公司的要求整個公司的網(wǎng)絡(luò)可劃分為6個

VLAN。強盛公司VLAN劃分如表2所示。

表2強盛公司VLAN劃分及網(wǎng)關(guān)地址分配表

部門VLAN網(wǎng)關(guān)地址

運輸部VLAN10192.168.61.254/24

財務(wù)部VLAN20192.168.62.254/24

技術(shù)部VLAN30192.168.63.254/24

行政部VLAN40192.168.64.254/24

人事部VLAN50192.168.65.254/24

3

湖南商務(wù)職業(yè)技術(shù)學(xué)院畢業(yè)設(shè)計

市場部VLAN60192.168.66.254/24

3.3項目拓撲

強盛公司網(wǎng)絡(luò)拓撲如圖1所示。

圖1強盛公司網(wǎng)絡(luò)拓撲圖

4設(shè)備選型

4.1接入交換機

華為CloudEngineS5735-L10T4X-A-V2是一款應(yīng)用層級為三層的電腦交換

機。s7703支持防范DoS攻擊、TCP的SYNFlood攻擊、UDPFlood攻擊、廣播風(fēng)

暴攻擊、大流量攻擊,支持BootROM升級和遠程在線升級,支持基于Layer2協(xié)議

頭、802.1p優(yōu)先級等的組合流分類。華為s7703交換機如圖2所示。

圖2華為CloudEngineS5735-L10T4X-A-V2交換機

表2CloudEngineS5735-L10T4X-A-V2產(chǎn)品規(guī)格

4

湖南商務(wù)職業(yè)技術(shù)學(xué)院畢業(yè)設(shè)計

屬性CloudEngineS5735-L10T4X-A-V2

交換容量520Gbps/5.2Tbps

10個10/100/1000BASE-T以太網(wǎng)

固定端口端口,4個萬兆SFP+

應(yīng)用層級三層

遵循IEEE802.1d標準、支持MAC

地址自動學(xué)習(xí)和老化、支持靜態(tài)、動態(tài)、

MAC特性黑洞MAC表項、支持源MAC地址過濾

支持4K個VLAN、支持VoiceVLAN

支持MUXVLAN功能、支持基于MAC/協(xié)議

VLAN特性/IP子網(wǎng)/策略/端口的VLAN

端口數(shù)量24個

交換方式存儲-轉(zhuǎn)發(fā)

包轉(zhuǎn)發(fā)率87Mpps/105Mpps

互通性VBST基于VLAN生成樹協(xié)議、LNP

鏈路類型協(xié)商協(xié)議、VCMPVLAN集中

管理協(xié)議

4.2核心交換機

核心交換機S7706交換機支持1KCPU通道隊列保護，命令行分級保護，未

授權(quán)用戶無法侵入，支持SNMPv1/v2/v3等網(wǎng)絡(luò)管理協(xié)議，支持WRED、尾丟棄等

擁塞避免機制，支持ACL、CAR、Remark、Schedule等動作，支持PQ、WRR、

DRR、PQ+WRR、PQ+DRR等隊列調(diào)度方式。華為S7706交換機如圖3所示。

圖3華為S7706交換機

表3華為S7706交換機產(chǎn)品規(guī)格

5

湖南商務(wù)職業(yè)技術(shù)學(xué)院畢業(yè)設(shè)計

屬性S7706

產(chǎn)品類型企業(yè)級交換機

應(yīng)用層級三層

傳輸速率10/100/1000Mbps

交換方式存儲-轉(zhuǎn)發(fā)

包轉(zhuǎn)發(fā)率3240Mpps/26400Mpps

擴展模塊6個業(yè)務(wù)槽位

傳輸模式全雙工/半雙工自適應(yīng)

4.3路由器

AR28-31路由器具有更靈活的配置方式和更高的處理能力，既適合于在中

小型企業(yè)網(wǎng)中擔(dān)當(dāng)核心路由器，也可在一些大的分支機構(gòu)擔(dān)當(dāng)接入路由器。華

為AR28-31企業(yè)路由器如下圖所示。

圖4AR28-31

表4華為AR28-31企業(yè)路由器產(chǎn)品規(guī)格

規(guī)格名稱AR28-31

處理器MPC8245300MHz

轉(zhuǎn)發(fā)性能90-100KPPS

NVRAM128KB

固定接口1個配置口

1個AUX口

2個以太網(wǎng)口（AR28-31）

SDRAM缺?。?28MB最大：256MB

產(chǎn)品認證CE，F(xiàn)CCClassA

其它端口1個備份口(AUX)

熱插拔支持

產(chǎn)品認證CE，F(xiàn)CCClassA

6

湖南商務(wù)職業(yè)技術(shù)學(xué)院畢業(yè)設(shè)計

包轉(zhuǎn)發(fā)率90-100Kpps

擴展模塊3

4.4防火墻

華為HiSecEngineUSG6525EAI防火墻是面向中小企業(yè)和連鎖機構(gòu)推出的企

業(yè)級AI防火墻。在提供NGFW能力的基礎(chǔ)上，聯(lián)動其他安全設(shè)備，主動積極防

御網(wǎng)絡(luò)威脅，增強邊界檢測能力，有效防御高級威脅，同時解決性能下降問題。

產(chǎn)品提供模式匹配以及加解密業(yè)務(wù)處理加速能力，使得防火墻處理內(nèi)容安全檢

測、IPSec等業(yè)務(wù)的性能顯著提升。智能高級威脅檢測，聯(lián)動云端，威脅檢測準

確率大于99%，真是防火墻中的小鋼炮！華為HiSecEngineUSG6525EAI防火墻如

圖5所示。

圖5HiSecEngineUSG6525EAI防火墻

表5華為HiSecEngineUSG6525EAI防火墻產(chǎn)品規(guī)格

屬性USG6525EAI

路由器類型企業(yè)級路由器

產(chǎn)品形態(tài)1U

儲存2x10GE(SFP+)+8xGECombo+

2xGEWAN

一體化防護集傳統(tǒng)防火墻、Vpv等功能、全

局配置視圖和一體化策略管理于一

機

端口結(jié)構(gòu)模塊化

廣域網(wǎng)接口24個

其它端口SIC插槽：4

串行輔助/控制臺端口RJ45Console串口

USB接口USB接口

產(chǎn)品內(nèi)存8GB

其它特點整機交換容量：20Gbps-80Gbps

7

湖南商務(wù)職業(yè)技術(shù)學(xué)院畢業(yè)設(shè)計

其它性能支持管理的AP數(shù)：12

5網(wǎng)絡(luò)協(xié)議的選用

5.1虛擬局域網(wǎng)技術(shù)（VLAN）

通過劃分vlan使強盛公司的各個部門隔離，減小廣播風(fēng)暴，可以隨時的添

加或刪減用戶設(shè)備，便于對設(shè)備的管理；減小了了arp欺騙帶來的風(fēng)險，提高

了網(wǎng)絡(luò)安全性能。vlan還有這樣一個優(yōu)點就是在于這些設(shè)備和用戶并不受物理

位置的影響，可以根據(jù)網(wǎng)絡(luò)規(guī)劃時公司的需求將它們組織起來，在同一個vlan

中的設(shè)備就像在同一個網(wǎng)段一樣，因此又稱為虛擬局域網(wǎng)。應(yīng)用在兩臺接入交

換機和核心交換機上。將g0/0/1到g0/0/3接口都配置為access模式，并劃分

到相應(yīng)的vlan。

5.2動態(tài)主機配置協(xié)議(DHCP）

DHCP動態(tài)主機配置協(xié)議，應(yīng)用層協(xié)議。通過給強盛公司的服務(wù)器配置dhcp

協(xié)議可以為公司的每臺主機動態(tài)分配ip地址，避免了手動配置的費時、費力和

與其它主機的沖突。同時也更加靈活，一個主機如果不用該ip地址了就可以釋

放給其它需要的主機，減少了由于ip地址緊缺帶來的沖突。隨著移動互聯(lián)網(wǎng)的

不斷發(fā)展，計算機的位置也經(jīng)常變化，相應(yīng)的IP地址也必須經(jīng)常更新，從而導(dǎo)

致網(wǎng)絡(luò)配置越來越復(fù)雜。DHCP技術(shù)由客戶端向服務(wù)器提出配置申請，服務(wù)器返

回為客戶端分配的IP地址等相應(yīng)的配置信息，以實現(xiàn)IP地址等信息的動態(tài)配

置。應(yīng)用在路由器上，通過創(chuàng)建地址池來設(shè)置地址池地址范圍、排除地址、設(shè)

置網(wǎng)關(guān)和設(shè)置dns服務(wù)器地址。

5.3Link-aggregation（鏈路聚合）

鏈路聚合是一種增加鏈路帶寬的方式，它通過將多個物理接口聚合成一個

邏輯接口，在強盛公司的2臺核心交換機之間通過鏈路聚合可以在不升級物理

鏈路的情況下，增加鏈路帶寬，同時聚合之后只需要在聚合接口進行配置就可

以了。應(yīng)用在兩臺核心交換上，先在兩臺交換機上創(chuàng)建聚合口1，將接口類型設(shè)

置為中繼模式，允許相應(yīng)的vlan通過，再將兩臺交換機g0/0/4和g0/0/5接口

分別加入到聚合口。

8

湖南商務(wù)職業(yè)技術(shù)學(xué)院畢業(yè)設(shè)計

5.4多業(yè)務(wù)傳送平臺技術(shù)（MSTP）

由于強盛公司之前所使用傳統(tǒng)的RSTP不給力，不論是從網(wǎng)絡(luò)鏈路資源的利

用率還是由于不合理的擁塞堵塞、收斂速度等一系列問題，所導(dǎo)致的用戶體驗

感不高，所以采取MSTP。MSTP通過將不同的設(shè)備，劃分到不同的MSTP域，MSTP

域中不同的流量劃分到不同實列當(dāng)中，數(shù)據(jù)充分分配到每一條鏈路，不同的實

例通過算法，堵塞不同的位置，充分利用鏈路帶寬，提高了資源利用率，而且

相比于前兩種版本，MSTP有更加完善的防環(huán)機制，計算和收斂更加優(yōu)秀，進一

步降低了網(wǎng)路故障恢復(fù)時間，進一步提高了可靠性。

5.5開放式最短路徑優(yōu)先（OSPF）

開放最短路徑與優(yōu)先ospf—內(nèi)部網(wǎng)關(guān)協(xié)議又稱IGP協(xié)議，目前網(wǎng)絡(luò)環(huán)境中

使用最多的動態(tài)路由協(xié)議。相比于靜態(tài)路由，在路由條目過多的情況下，動態(tài)

路由具有絕對的優(yōu)勢，它減去了，繁瑣重復(fù)的路由配置，而在有需要添加或刪

改的時候，動態(tài)路由不在需要在手動的在不同的設(shè)備之間重復(fù)配置路由，只需

要在動態(tài)路由里面宣告即可。OSPF支持區(qū)域的劃分，區(qū)域是從邏輯上將路由器

劃分為不同的組，每個組用區(qū)域號（AreaID）來標識。一個網(wǎng)段（鏈路）只能

屬于一個區(qū)域，或者說每個運行OSPF的接口必須指明屬于哪一個區(qū)域。區(qū)域0

為骨干區(qū)域，骨干區(qū)域負責(zé)在非骨干區(qū)域之間發(fā)布區(qū)域間的路由信息。在一個

OSPF區(qū)域中有且只有一個骨干區(qū)域。而相比于rip，ospf以鏈路帶寬計算路由

開銷進行路由計算，這樣有效避免了次優(yōu)路徑的問題，同時也解決的rip路由

只能傳遞十六跳而導(dǎo)致的網(wǎng)絡(luò)半徑過短的問題，也有完善的防環(huán)機制避免環(huán)路，

但依舊存在環(huán)路的方法，所以網(wǎng)絡(luò)技術(shù)還得記進一步發(fā)展，但據(jù)目前來說還是

很不錯的。應(yīng)用在路由器上，設(shè)置區(qū)域0并宣告網(wǎng)段。

5.6訪問控制列表（ACL）

應(yīng)用在拓撲的路由器中。訪問控制列表是應(yīng)用在接口的指令列表，用來告

訴接口哪些數(shù)據(jù)包可以收、哪些數(shù)據(jù)包不收需要拒絕。至于數(shù)據(jù)包是被接收還

是拒絕，就需要查看所配置的規(guī)則，而Acl分為基本Acl和擴展Acl，基本acl

只能基于源地址進行數(shù)據(jù)包的匹配，而擴展acl就十分強大了，它不僅擁有基

本Acl的能力，還對其進行了加強，可以同時匹配源、目地址經(jīng)行匹配，還可

以通過網(wǎng)絡(luò)協(xié)議號，針對源、目主機所交互的某個協(xié)議進行匹配進行過濾或方

通。創(chuàng)建acl，允許可以通過的財務(wù)部、行政部，禁止其它部門通過，再進入接

9

湖南商務(wù)職業(yè)技術(shù)學(xué)院畢業(yè)設(shè)計

口g0/0/0,將acl運用到接口出方向。

5.7網(wǎng)絡(luò)地址轉(zhuǎn)換（NAT）

應(yīng)用在該網(wǎng)絡(luò)拓撲的路由器中。NAT（NetworkAddressTranslation）網(wǎng)絡(luò)

地址轉(zhuǎn)換技術(shù)。顧名思義NAT就進行網(wǎng)絡(luò)地址轉(zhuǎn)換的，大家都知道每臺網(wǎng)絡(luò)設(shè)

備需要上網(wǎng)都是需要網(wǎng)絡(luò)地址的，而現(xiàn)在全球70多億人需要上網(wǎng)，而現(xiàn)在主流

的ipv4地址有不足以滿足人們上網(wǎng)的需求，所沒有找到解決地址不夠用的問題

之前，人們NAT發(fā)明了緩解的辦法，注意NAT只是起到了緩解作用，真正能解

決ipv4地址不夠用的辦法時ipv6，而現(xiàn)在雖然主流還是ipv4，但是ipv6地址

的使用已經(jīng)開始慢慢出現(xiàn)在我們的視野當(dāng)中了，而在不久的將來ipv4地址也必

將ipv6地址所代替，這時時代的發(fā)展。

NAT技術(shù)提出了私網(wǎng)與公網(wǎng)，這也是他的技術(shù)實現(xiàn)方法。當(dāng)在分配到內(nèi)部私

網(wǎng)地址需要訪問外網(wǎng)是就需要用NAT。我們在出口設(shè)備上配置NAT，然后配置一

條指向外網(wǎng)的路由，并使所有的內(nèi)部設(shè)備學(xué)習(xí)到這條路由，當(dāng)人們想要訪問外

網(wǎng)時，內(nèi)部數(shù)據(jù)包就會被發(fā)送到配用NAT的出口設(shè)備，出口設(shè)備通過ACL對其

進行匹配，看是否允許轉(zhuǎn)換，允許則修改數(shù)據(jù)包源ip，并將其記錄到NAT轉(zhuǎn)換

表中，進行數(shù)據(jù)的接收回復(fù)，這樣就是實現(xiàn)的內(nèi)網(wǎng)與外網(wǎng)的互通。

6網(wǎng)絡(luò)實施

6.1交換機配置

6.1.1Vlan配置

Vlan10

#創(chuàng)建運輸部vlan

DescriptionTransportDepartment

#備注vlan10為運輸部

Vlan20

#創(chuàng)建技術(shù)部vlan

DescriptionFinanceDepartment

#備注vlan20為財務(wù)部

Vlan30

#創(chuàng)建運輸部vlan

10

湖南商務(wù)職業(yè)技術(shù)學(xué)院畢業(yè)設(shè)計

DescriptionTechnologydepartment

#備注vlan30為技術(shù)部

Vlan40

#創(chuàng)建運輸部vlan

DescriptionAdministrationDepartment

#備注vlan40為行政部

Vlan50

#創(chuàng)建運輸部vlan

DescriptionPersonnelDepartment

#備注vlan50為人事部

Vlan60

#創(chuàng)建運輸部vlan

DescriptionMarketingdepartment

#備注vlan60為市場部

Intvlan10

#創(chuàng)建并進入Vlan接口10

Ipadd192.168.61.254/24

#為接口配置Ip地址

Intvlan20

#創(chuàng)建并進入Vlan接口20

Ipadd192.168.62.254/24

#為接口配置Ip地址

Intvlan30

#創(chuàng)建并進入Vlan接口30

Ipadd192.168.63.254/24

#為接口配置Ip地址

Intvlan40

#創(chuàng)建并進入Vlan接口40

Ipadd192.168.64.254/24

#為接口配置Ip地址

Intvlan50

#創(chuàng)建并進入Vlan接口50

Ipadd192.168.65.254/24

11

湖南商務(wù)職業(yè)技術(shù)學(xué)院畢業(yè)設(shè)計

#為接口配置Ip地址

Intvlan60

#創(chuàng)建并進入Vlan接口60

Ipadd192.168.66.254/24

#為接口配置Ip地址

IntLookback1

#創(chuàng)建并進入環(huán)回接口100

Ipadd192.168.100.1/24

#為接口配置Ip地址接口配置

6.1.2接口模式配置

Intrangeg0/0/1-g0/0/3

#進入接口g0/0/1至g0/0/3

Portlink-typeaccess

#將各部門的計算機所使用的端口類型轉(zhuǎn)化為access模式

Intg0/0/1

#進入接口g0/0/1

Portdefaultvlan10

#將端口劃分至相應(yīng)的vlan

Intg0/0/2

#進入接口g0/0/2

Portdefaultvlan20

#將端口劃分至相應(yīng)的vlan

Intg0/0/3

#進入接口g0/0/3

Portdefaultvlan30

#將端口劃分至相應(yīng)的vlan

Intg0/0/1

#進入接口g0/0/1

Portdefaultvlan40

#將端口劃分至相應(yīng)的vlan

Intg0/0/2

#進入接口g0/0/2

12

湖南商務(wù)職業(yè)技術(shù)學(xué)院畢業(yè)設(shè)計

Portdefaultvlan50

#將端口劃分至相應(yīng)的vlan

Intg0/0/3

#進入接口g0/0/3

Portdefaultvlan60

#將端口劃分至相應(yīng)的vlan

InterfacerangeGigabitEthernet0/0/1toGigabitEthernet0/0/4

#進入接口g0/0/1至g0/0/4

Portlink-typetrunk

#將接口配置成中繼模式

porttrunkallow-passvlan102030405060

#允許vlan102030405060通過

InterfacerangeGigabitEthernet0/0/4toGigabitEthernet0/0/5

#進入接口g0/0/4至g0/0/5

Portlink-typetrunk

#將接口配置成中繼模式

6.1.3DHCP配置

Dhcpenable

#開啟Dhcp服務(wù)

excluded-ip-address192.168.61.254

#排除192.168.61.254這個IP地址

excluded-ip-address192.168.62.254

#排除192.168.62.254這個IP地址

excluded-ip-address192.168.63.254

#排除192.168.63.254這個IP地址

excluded-ip-address192.168.64.254

#排除192.168.64.254這個IP地址

excluded-ip-address192.168.65.254

#排除192.168.65.254這個IP地址

excluded-ip-address192.168.66.254

#排除已使用的192.168.66.254地址

ippoolvlan10

13

湖南商務(wù)職業(yè)技術(shù)學(xué)院畢業(yè)設(shè)計

#創(chuàng)建dhcp地址池Vlan10

Network192.168.61.0mask255.255.255.0

#設(shè)置地址池地址為192.168.61.0/24

Gateway-list192.168.61.254

#設(shè)置網(wǎng)關(guān)為192.168.61.254

Dns-list114.114.114.114

#設(shè)置dns地址為114.114.114.114

ippoolvlan20

#創(chuàng)建dhcp地址池Vlan_20

Network192.168.62.0mask255.255.255.0

#設(shè)置地址池地址為192.168.62.0/24

Gateway-list192.168.62.254

#設(shè)置網(wǎng)關(guān)為192.168.62.254

Dns-list114.114.114.114

#設(shè)置dns地址為114.114.114.114

Dhcpserverip-poolVlan_30

#創(chuàng)建dhcp地址池Vlan_30

Network192.168.63.0mask255.255.255.0

#設(shè)置地址池地址為192.168.63.0/24

Gateway-list192.168.63.254

#設(shè)置網(wǎng)關(guān)為192.168.63.254

Dns-list114.114.114.114

#設(shè)置dns地址為114.114.114.114

Dhcpserverip-poolVlan_40

#創(chuàng)建dhcp地址池Vlan_40

Network192.168.64.0mask255.255.255.0

#設(shè)置地址池地址為192.168.64.0/24

Gateway-list192.168.64.254

#設(shè)置網(wǎng)關(guān)為192.168.34.254

Dns-list114.114.114.114

#設(shè)置dns地址為114.114.114.114

Dhcpserverip-poolVlan_50

#創(chuàng)建dhcp地址池Vlan_50

14

湖南商務(wù)職業(yè)技術(shù)學(xué)院畢業(yè)設(shè)計

Network192.168.65.0mask255.255.255.0

#設(shè)置地址池地址為192.168.65.0/24

Gateway-list192.168.65.254

#設(shè)置網(wǎng)關(guān)為192.168.65.254

Dns-list114.114.114.114

#設(shè)置dns地址為114.114.114.114

Dhcpserverip-poolVlan_60

#創(chuàng)建dhcp地址池Vlan_60

Network192.168.66.0mask255.255.255.0

#設(shè)置地址池地址為192.168.66.0/24

Gateway-list192.168.66.254

#設(shè)置網(wǎng)關(guān)為192.168.66.254

Dns-list114.114.114.114

#設(shè)置dns地址為114.114.114.114

6.1.4鏈路聚合

intEth-Trunk1

#創(chuàng)建聚合口1

portlink-typetrunk

#將接口類型改為中繼模式

Porttrunkpermitvlan102030405060

#接口允許vlan102030405060通過

modelacp-static

#配置鏈路聚合模式為lacp

trunkportGigabitEthernet0/0/4to0/0/5

#將接口加入到聚合口1

6.1.5MSTP配置

Stpglobalenable

#全局開啟STP

Stpmodemstp

#修改stp模式為mstp模式

Stpregion-configuration

#進入stp域

15

湖南商務(wù)職業(yè)技術(shù)學(xué)院畢業(yè)設(shè)計

Region-nameht

#配置域名為ht

Instance1vlan102030

#實列1綁定vlan102030

Instance2vlan405060

#實列2綁定vlan405060

Activeregion-configuration

#激活mstp域配置

Stpinstance0to1rootprimary

#配置實列0和實列1為主根

Stpinstance2rootsecondary

#配置實列2為副根

6.1.6ACL配置

Aclnumber2000

#創(chuàng)建基本acl2000

Rule5permitsource192.168.62.00.0.0.255

#允許源地址為192.168.62.00.0.0.255（財務(wù)部）網(wǎng)段的地址通過

Rule10permitsource192.168.64.00.0.0.255

#允許源地址為192.168.64.00.0.0.255（行政部）網(wǎng)段的地址通過

Rule15denysourceany

#禁止所有網(wǎng)段通過

Intrangeg0/0/0

#進入接口

Packet-filter2000outbound

#將acl2000運用于接口出方向

6.2路由器配置

6.2.1OSPF配置

Ospf1#配置ospf

Area0#進入ospf1區(qū)域0

network192.168.61.00.0.0.255

network192.168.62.00.0.0.255

16

湖南商務(wù)職業(yè)技術(shù)學(xué)院畢業(yè)設(shè)計

network192.168.63.00.0.0.255

network192.168.64.00.0.0.255

network192.168.65.00.0.0.255

network192.168.66.00.0.0.255

6.2.2NAT配置

nataddress-group116.16.16.116.16.16.5

#設(shè)置起始和結(jié)束地址

Acl2000

#創(chuàng)建Acl

rulepermitsource192.168.0.00.0.0.255

#設(shè)置匹配規(guī)則

Intg0/0/1