常德财经机电职业技术学院网络规划设计

湖南商务职业技术学院毕业设计

目录

1项目概述∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙1

1.1选题背景∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙1

1.2目标和任务∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙1

2项目需求分析∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙2

2.1背景介绍∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙2

2.2需求分析∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙3

2.2.1现状分析∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙3

2.2.2应用需求∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙3

2.2.3性能需求∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙3

2.2.4可扩展性需求∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙4

2.2.5信息点统计∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙4

3网络规划设计∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙5

3.1设计原则∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙5

3.2设计思路∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙6

3.3网络拓扑图∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙6

3.3网络规划∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙7

3.3.1IP地址和VLAN规划原则∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙7

3.3.2详细规划∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙7

4网络技术选型∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙9

4.1VLAN技术∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙9

4.2VST技术∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙9

4.3NAT技术∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙10

4.4OSPF技术∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙10

5网络设备选型∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙10

5.1接入层设备∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙10

5.2核心层设备∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙11

5.3防火墙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙12

I

湖南商务职业技术学院毕业设计

5.4无线AP及AC∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙13

6网络设备配置∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙15

6.1核心层配置∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙15

6.2汇聚层配置∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙17

6.3接入层配置∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙18

6.4基础配置∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙20

6.4.1基础服务配置∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙20

6.4.2关闭不需要的服务∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙21

6.4.3vlan及二层接口配置∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙21

6.4.4三层接口默认路由配置∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙21

6.4.5链路捆绑配置∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙21

6.4.6认证配置∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙22

7网络测试∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙22

7.1接入层功能测试∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙22

7.2核心层功能测试∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙24

8设计小结∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙25

参考资料∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙26

II

湖南商务职业技术学院毕业设计

常德财经机电职业技术学院网络规划设计

1项目概述

1.1选题背景

随着因特网的发展和普及，高校的教学工作和管理工作向着计算机化、网

络化、自动化不断发展。各种应用系统的快速增长、各种数据的电子化、互联

网的移动化，让计算机网络技术在教学管理、知识学习、后勤管理和各种科研

活动中显示出其优势，同时在校园网承载多样的应用系统：资料下载、自主学

习空间、视频共享、课题研究、电子图书馆、移动书库、校园一卡通；计算、

存储、网络、软件趋于一体化。

校园网络的改革和建设是需要使用更成熟的网络技术和解决方案，更加先

进的网络设备。建设成一个可以同时运行各种应用系统的高速计算机网络系统，

将各院、学工办、图书馆通过网络连接起来，与Internet相连。现代化校园网

必须具备资源共享、利于教学、安全可靠三大特点。学生可以快捷地查阅网上

资源实现自主学习，通过自主学习锻炼自己的学习能力和处理问题的能力；学

校的管理人员也可以方便快捷地对教务、行政事务、学生信息、财务等进行统

一管理。达到信息采集，实现信息与共享资源。因此，校园网的改革建设必须

有明确的改革方案：能够充分解决目前校园网存在的问题，扩充各种应用系统，

如网络教学系统、电子图书馆系统、校园一卡通、内网论坛等，使其为各专业

的学习和科研服务。

1.2目标和任务

网络普及，大数据产生，使网络建设更加严峻。目前校园网的运行存在低

速、不稳定、不便捷等问题。主要表现在：

（1）各学院、工作使用终端有自己的传输线路，传输速率不相等，速率低、

安全性与可靠性差，这些问题都不利于同一的管理，随着终端的增多，此问题

会更加明显。

（2）大部分系统难以实现客户端/服务器这种模式。在系统远程互访时，

就需要较大的带宽。

（3）伴随多媒体教学、电子图书馆、视频监控等相关业务的开展，校园网

的业务范围在地不断扩大，对学校的网络性能就有新的需求。

1

湖南商务职业技术学院毕业设计

校园网存在着的这些缺陷，在实际情况中并不能在短时间内对学校的网络

系统进行更换，所以对于网络的改造升级就需要科学化地分析，制定出能够同

时满足发展和能够容纳现有的系统的妥善的解决方案，要求如下：

（1）不能对现有网络进行完全的更新，各学院的网络系统应该平滑的过

渡到校园网中

（2）需要方便快捷的连网，要有足够的扩展性。

（3）拥有足够的带宽，为应用系统提供高速的带宽。

（4）需要对校园网进行集中化的管理。

（5）能够对校内外的师生提供安全可靠的邮件、BBS、WEB等服务。

2项目需求分析

2.1背景介绍

从2007年第一代iPhone发布开始，互联网已经开始向移动化发展，经过

十几年的发展，现在已经进入移动互联网时代。移动不仅仅是方便了用户，更

是增加了大量的数据，很多PC能做的事情，慢慢的手机、PAD都能完成，移动

互联网的一个趋势就是物联网，那么，这么多终端的数据是需要有更高性能的

基础设施来存储转发的，很多学校的网络架构和设备性能已远远不能达到使用

者的需求了。因此，优化网络架构和升级网络设备是我们目前急需解决的一个

问题。

近些年随着智能手机的普及，各种APP的快速增长、各种数据的电子化、

互联网的移动化，让网络技术在教学管理、知识学习、后勤管理和科研活动中

显示出其明显优势。在现今大数据、云计算下，校园网络改革是必须的。

校园网目前存在的问题：

（1）师生之间不能通过高效快速的校园网络方便的进行学习沟通；

（2）存在信息孤岛问题，实时的资源共享无法实现；

（3）网络系统整体性能不足；

（4）WLAN资源不能合理利用；

（5）集中展示与个性化服务；

2

湖南商务职业技术学院毕业设计

2.2需求分析

2.2.1现状分析

目前学校有在读中职生有6000余人，大专生有1603人，教职工有387人。

专职教师320人，教授5人，高级讲师93人，硕士学位教师98人，“双师型”

教师95人。校园占地1600余亩，建筑面积有171万平方米。包括的教学楼有1

教、2教、3教、4教、实训楼、北教、文科楼、科技楼、轻工楼、机电楼、农

机研究院等。宿舍楼包括草莓园、西区、中区、北区四个大区宿舍近40座公寓。

其他主要包括图书馆、行政楼、校医院。目前校园网并没有完全覆盖所有区域，

存在一些网络孤岛，不利于数据的统一管理和资源共享。比如在学生宿舍没有

校园网的参与，学校就不能针对学生实施一些上网控制，比如可以在休息时间

完全开放网络，学生们可以娱乐放松，在上课时间就限制网络的访问针对某些

娱乐休闲的和学习无关的网站进行屏蔽，以提高学习效率。同时这种孤岛现象

也很大程度上增加了学生的学习成本。比如学生要想查找某个资料只能去百度

查找，漫无目的，浪费了时间还不一定能找到有用的资源，如果校园网能对学

生宿舍普及，学生就可以去校园网上查找对应资源，方便快捷。

2.2.2应用需求

校园网的需求可以分为，教学、办公、管理这三方面。对于例如教学、科

研方面应当考虑稳定、高效、安全等问题；办公、管理等网络带宽是要特别考

虑的问题。校园网在应用服务这方面需要满足的需求是：

（1）学校官网。应有独立的WEB服务器，集成多种服务到官方主页，包括

新闻、校报、招生和毕业信息等[4]。

（2）文件传输服务。考虑到学习资料的共享，应提供文件传输服务

（ftp）。在服务器上存放常用学习软件和资料。

（3）多媒体和远程教学：校园网能够对图像，语音等多媒体拥有实时的通

信能力；在骨干网络上有足够的带宽，在满足师生基本需要的同事，应当保留

一定的冗余作为突然数据的传输使用，降低传输延迟。

（4）校园各种管理系统。

（5）网络安全；

2.2.3性能需求

对接入层用户而言可以满足师生基本的上网需求，外网带宽不少于4M；内

3

湖南商务职业技术学院毕业设计

网带宽不少于50M。网络应该满足可靠性、低延时、有效的资源利用率、性价比

高等特点。

核心交换需求，能够实现数据的高速转发，并且在可靠性上需要有冗余的

设备。网络出口应当能够提供师生基本的带宽需求进行对外访问Internet。对

于网络主干，通信介质全部使用光纤；网络末端可采用超5类双绞线。

2.2.4可扩展性需求

（1）为网络设备的处理性能预留30%

（2）所有线缆均采用光纤并采用地下走线方式

（3）核心虚拟化增加校园网的拓展性。

2.2.5信息点统计

（1）整体校园网的有线信息点统计，如表1所示：

表1有线信息点

建筑物名称楼层数房间数信息点（单位个）设备使用（单位台）

北教133*1060

北教244590

北教333*1030

1教660120接入交换机：7

2教760120

4教6120240

教学楼总计：660（700）

实训楼64590

科技楼1060120

文科楼6+960+90300

机电楼63060接入交换机：17

轻工楼63060

农机研究院32040

实践楼总计：670（700）

大活31836

行政楼52040

图书馆64080接入交换机：5

校医院33060

其他楼总计：216（250）

草莓园8*68*6*353360

西区4*74*7*351960

中区3*63*6*371332接入交换机：270

北区11*611*6*303960

宿舍楼总计：10602（10600）

4

湖南商务职业技术学院毕业设计

（2）无线信息点统计，如表2所示：

表2无线信息点

建筑物名称楼层数AP

北教136

北教248

北教336

1教612

2教714

4教612

教学楼

实训楼612

科技楼1020

文科楼6+930

机电楼612

轻工楼612

农机研究院36

实践楼

大活36

行政楼510

图书馆612

校医院36

其他楼

3网络规划设计

3.1设计原则

（1）安全：

在网络设计中，应充分注意系统的安全性，采用不少于两种安全防范技术

和措施，保障系统的安全，包括数据安全、设备安全、各种应用系统的安全。

（2）高可用性：

网络结构设计上要充分考虑到系统运行的可用性，要考虑各种设备配置对

稳定性的影响、尽量减少单点故障，保证系统24小时不间断运行。

（3）可扩展性：

网络结构要易于扩展，可以在资源不足的情况向方便的进行资源的扩充，

可随着使用人员的增加而能方便地进行扩展。

（4）易维护：

5

湖南商务职业技术学院毕业设计

网络结构设计要易于维护，各种设备使用统一的网关协议SNMP，设备命名

和网络实施和有统一的规范以便于后期的维护。

3.2设计思路

大体结构采用分层方式进行设计。首先是网络接入层的基本信息搜集；网

络设计前期准备，包括命名规则、VLAN规划及IP地址规划；然后是核心区域设

计，核心区域关注的是安全和高性能，在这里要合理的进行设备选型和策略控

制以及要选择好的网络结构来支撑核心网；最后是安全和园区网出口设计，安

全设计以保证整网安全为目的，出口涉及到网络费用问题，以够用为目的。

3.3网络拓扑图

常德财经机电职业技术学院网络拓扑图大体结构采用分层方式进行设计。

各层设备选用如锐捷公司产品。网络接入层的基本信息搜集，网络设计前期准

备。然后是核心区域设计，核心区域设计需要安全和高性能，在这里要合理的

进行设备选型和策略控制以及要选择好的网络结构来支撑核心网，安全设计以

保证整网安全，出口设计到网络费用问题，以实用为主。常德财经机电职业技

术学院网络拓扑图设计如图1所示。

图1常德财经机电职业技术学院网络拓扑图

6

湖南商务职业技术学院毕业设计

3.3网络规划

3.3.1IP地址和VLAN规划原则

IP地址规划说明：

（1）所有IP地址使用私网网段；

（2）本着节省和可扩展原则去合理规划；

（3）管理IP地址要做好记录；

（4）本次设计是以楼宇为单位划分的IP地址，实际过程应该是以部门和

相应人数为单位合理划分，这里涉及到机密问题以楼宇为单位和理划分，VLAN

规划说明：

（1）合理规划VLAN可以尽量避免广播风暴和一些安全问题；

（2）本次设计是以楼宇为单位划分的VLAN，实际过程应该是以部门和相应

人数为单位合理划分，这里涉及到机密问题以楼宇为单位；

3.3.2详细规划

（1）有线详细规划，如表3所示

表3有线详细规划

建筑物名称信息点（单位个）VLAN划分IP地址（D：动态/S：静态）

北教160VLAN101D:/24

北教290VLAN102D:/24

北教330VLAN103D:/24

1教120VLAN104D:/24

2教120VLAN105D:/24

4教240VLAN106D:/24

教学楼总计：660（700）

实训楼90VLAN201S:/24

科技楼120VLAN202S:/24

文科楼300VLAN203S:/23

机电楼60VLAN204S:/24

轻工楼60VLAN205S:/24

农机研究院40VLAN206S:/24

实践楼总计：670（700）

大活36VLAN301D:/24

行政楼40VLAN302D:/24

图书馆80VLAN303D:/24

校医院60VLAN304D:/24

其他楼总计：216（250）

7

湖南商务职业技术学院毕业设计

草莓园3360VLAN401D:/20

西区1960VLAN402D:/21

中区1332VLAN403D:/21

北区3960VLAN404D:/20

宿舍楼总计：10602（10600）

设备互联地址S：

接入SVI101-核心SVI101-/30

接入SVI102-核心SVI102-/30

接入SVI103-核心SVI103-0/30

接入SVI104-核心SVI1043-4/30

接入SVI105-核心SVI1057-8/30

接入SVI106-核心SVI1061-2/30

教学楼

接入SVI201-核心SVI201-/30

接入SVI202-核心SVI202-/30

接入SVI203-核心SVI203-0/30

接入SVI204-核心SVI2043-4/30

接入SVI205-核心SVI2057-8/30

接入SVI206-核心SVI2061-2/30

实践楼

接入SVI301-核心SVI301-/30

接入SVI302-核心SVI302-/30

接入SVI303-核心SVI303-0/30

接入SVI304-核心SVI3043-4/30

其他楼

接入SVI401-核心SVI401-/30

接入SVI402-核心SVI402-/30

接入SVI403-核心SVI403-0/30

接入SVI404-核心SVI4043-4/30

宿舍楼

楼宇接入

服务器交换-核心（G0/40）-/30

服务器交换-核心（G0/40）-/30

服务器群

网关中心—核心SVI1000/24

网管中心

核心G1/0/47-路由器G0/0-/30

核心G1/0/47-路由器G0/0-/30

Internet

VPN用户/24

8

湖南商务职业技术学院毕业设计

远程用户

无线详细规划，如表3-2所示

表4无线详细规划

建筑物名称楼层数AP

北教136-6/24

北教248-14/24

北教3365-20/24

1教6121-32/24

2教7143-46/24

4教6127-58/24

教学楼

实训楼6129-70/24

科技楼10201-91/24

文科楼6+9302-121/24

机电楼61222-131/24

轻工楼61232-143/24

农机研究院3644-149/24

实践楼

大活3650-156/24

行政楼51057-166/24

图书馆61267-178/24

校医院3679-184/24

其他楼

4网络技术选型

4.1VLAN技术

接入层技术包括VLAN、端口安全、802.1X。VLAN（VirtualLocalAreaNetwo

rk）虚拟局域网，主要功能是隔离广播域，实现了学校不同学院不同部门之间

访问的控制同时增加了安全性。端口安全主要是针对终端而言的一种安全技术，

只有合法的终端才能使用网络系统，可以防止ARP攻击和内网黑客破坏网络。

4.2VST技术

核心层的虚拟化技术VST能够把多台交换机虚拟成为一台交换机来使用

[3]。相比对以往的MSTP+VRRP技术的结合，虚拟化技术拥有更大的的优势，体

现出来的优势包括：

（1）高可靠性：由于是两台或者多台设备虚拟为一台，所以当某一个设备

9

湖南商务职业技术学院毕业设计

出故障的时候不会影响到数据的正常转发。

（2）带宽成倍增加并充分应用：可以利于链路捆绑技术让多个链路成为一

条链路增加了带宽。

（3）简化网络拓扑：核心交换机从多台虚拟位一台，网络复杂度降低。

（4）简化管理：在虚拟的主设备上可以管理其他的备设备，这样大大减少

了管理复杂度。

4.3NAT技术

NAT使用动态NAT功能，在内部本地地址转换的时候，在地址池中选择一个

空闲的，没有正在被使用的地址，来进行转换，一般选择的是在地址池定义中

排在前面的地址，当数据传输或者访问完成时就会放回地址池中，以供内部本

地的其他主机使用，但是，如果这个地址正在被使用的时候，是不能被另外的

主机拿来进行地址转换的

4.4OSPF技术

OSPF是一种动态的路由协议，他是为了让网络中实现路由的自动学习和通

信。也就是说不配置ospf的话会导致路由器没办法学习到其他的网段信息，网

络的传输只能传输给对应的直连路由，其他的设备无法通信。

5网络设备选型

5.1接入层设备

接入层设备采用RG-S2652G-I，该设备采用灵活的千兆电口+光口（非复用）

的形式，可最灵活满足双千兆电/光口上联或多个千兆服务器的连接，方便用户

根据网络架构灵活选择连接形式。

支持设备间的混合堆叠，通过堆叠不仅能统一管理和使用设备，降低管理

成本，同时可灵活地组合和扩展端口，平滑扩容，保障了网络的高度灵活和可

扩展，网络管理更加简单。

多端口同步监控，通过一个端口即可同时监控多个端口的数据流，还可只

监控输入帧或只监控输出帧或双向帧，大大提高维护效率。

网络时间管理协议/简单网络时间管理协议（NTP/SNTP）保证交换机时间的

准确性，并与网络中时间服务器的时间统一化，方便日志信息和流量信息的分

析、故障诊断。

10

湖南商务职业技术学院毕业设计

Syslog方便各种日志信息的统一收集、维护、分析、故障定位、备份，便

于管理员进行网络维护和管理。支持使用Web浏览器配置交换机，无需了解复

杂的命令行和终端模拟程序，允许简单、快速的配置交换机，从而降低部署成

本。RG-S2652G-I如图2所示。

图2RG-S2652G-I

设备RG-S2652G-I具体参数如表5所示。

表5RG-S2652G-I参数

RG-S2652G-I

48个10/100M自适应电口，固化2个10/100/1000M电口和2个SFP千兆

接口

光口

交换容量64Gbps

包转发率17.7Mpps

IP路由支持缺省路由，支持主机及直连网段的静态路由

支持IP、MAC、端口三元素绑定

支持IPv6、MAC、端口三元素绑定

过滤非法的MAC地址

支持基于端口和MAC的802.1x

支持Web认证，和802.1X、ARPCheck、ACL可同时开启

支持ARPCheck

支持DAI

安全特性支持ARP报文限速

支持IPSourceGuard

支持静态端口聚合和动态端口聚合（LACP）

支持广播风暴抑制

管理员分级管理和口令保护

设备登陆管理的AAA安全认证（IPv4/IPv6）

支持SSH

支持BPDUGuard

5.2核心层设备

RG-S7505交换机提供二到七层的智能的业务流分类、完善的服务质量

（QoS）保证和组播应用管理特性。在提供高性能、多智能的同时，其内在的安

全防御机制和用户接入管理能力，更可有效防止和控制病毒传播和网络攻击，

控制非法用户接入网络，保证合法用户合理地使用网络资源，并可以根据网络

实际使用环境，实施灵活多样的安全控制策略，充分保障了网络安全、网络合

11

湖南商务职业技术学院毕业设计

理化使用和运营。RG-S7505如图3所示。

图3RG-S7505

RG-S7505具体参数如表6所示。

表6RG-S7505具体参数

RG-S7505

模块插槽5个（2个用于管理引擎模块）

交换容量15.36Tbps/40.74Tbps

包转发率2880Mpps/14400Mpps

IPv4特性支持静态路由、RIP、OSPF，支持VRRP，支持等价路由，支持策略路由

主控板支持1+1冗余备份，电源支持N+M冗余备份、风扇支持1+1冗余备

可靠性份，各组件支持热插拔，支持热补丁功能，可在线进行补丁升级，支持

ISSU，支持GRforOSPF，支持BFDforVRRP/OSPF/静态路由等

支持NFPP（基础安全保护策略），支持CPP（CPU保护），支持DAI，端口安

全，IPSourceGuard，支持802.1x，支持Portal认证、支持RADIUS和

安全特性TACACS+用户登录认证，支持uRPF，支持登录认证、口令安全，支持支持未

知组播不送CPU、支持未知单播抑制，支持SSHv2，为用户登录提供安全加

密通道

支持Console/AUXModem/Telnet/SSH2.0命令行配置，支持FTP、TFTP、

管理性Xmodem文件上下载管理，支持SNMPV1/V2c/V3，支持RMON，支持NTP时

钟，支持故障后报警和自恢复，支持系统工作日志，支持sFlow

5.3防火墙

防火墙选用RG-WALL1600-Z5100，该设备采用基于DPDK的高性能网络转发

业务平台，提供主动资产发现、智能策略管家、一键故障分析功能来简化产品

上线及运维；具有丰富的安全功能，能够支持入侵防御、端口扫描、流量学习、

应用控制、DoS/DDoS防护等功能：支持云平台统一管理、数据同步云端分析与

报告、远程监控与运维。

RG-WALL1600-Z5100具备性能扩展能力，可通过购买性能授权进行扩展。

RG-WALL1600-Z5100适用于部署在用户的互联网出口、区域边界、数据中心

边界、分支机构上联等场景。RG-WALL1600-Z5100如图4所示。

12

湖南商务职业技术学院毕业设计

图4RG-WALL1600-Z5100

RG-WALL1600-Z5100设备如表7所示。

表7RG-WALL1600-Z5100具体参数

RG-WALL1600-Z5100

支持配置接口为LAN/WAN属性，其中WAN口支持PPPOE、DHCP、静态ip三

物理接口

种模式。支持配置接口为路由、透明和旁路部署模式

路由支持IPV4,IPV6，策略路由，运营商地址库路由，应用路由等选路策略

支持NAT策略，提供NAT地址转换，支持NAT策略的批量导入功能，提供

NAT转换常见的NATALG服务，提供服务器端口映射功能，提供NAT地址池状态显

示

对设置的地址网段进行端口扫描，可扫描全部端口或者自定义端口，对扫

端口扫描

描出来的结果进行生成策略提示

DOS/DDOS

支持安全防护功能，支持各种DDOS防护策略

防护

ARP防护支持安全防护功能，支持ARP欺骗、ARPFLOOD等

本机防护支持安全防护功能，可设置针对本机的安全防护策略

5.4无线AP及AC

AP设备选用RG-WS7204-A，可针对无线网络实施强大的集中式可视化的管

理和控制，显著简化原本实施困难、部署复杂的无线网络。通过与锐捷网络有

线无线统一集中管理平台RG-SNC以及无线接入点的配合，灵活地控制无线接入

点的配置，优化射频覆盖效果和性能，同时还可实现集群化管理，将网络中的

设备部署工作量降低。

RG-WS7204-A产品具有多合一的互联网网关功能。拥有高性能NAT、智能选

路、智能流控、上网行为管理、内容审计、可视化IPSECVPN、SSLVPN、防火墙

等多个功能。凭借着丰富的功能，RG-WS7204-A能够有效的优化用户网络，规范

上网行为，全方位的加速关键业务开展，提高业务系统使用体验。RG-WS7204-A

如图5所示。

图5RG-WS7204-A

RG-WS7204-A参数如表8所示。

13

湖南商务职业技术学院毕业设计

表8RG-WS7204-A具体参数

RG-WS7204-A

8个支持10/100/1000Base-T自适应以太网接口

固化业务口1个1GSFP接口

1个10GSPF+接口

1个Console接口

固化管理口

2个USB接口

标配：

1个1TB硬盘插槽

模块插槽

最大支持：

1个1TB硬盘插槽

支持基于AP的带宽限速

支持基于WLAN的带宽限速

无线QoS

支持基于用户的静态限速和智能限速

支持公平调度

支持双AC间快速切换

支持AC热备份

可靠性支持多AC集群

支持边缘智能感知技术(RIPT)

支持硬AC支持云管理

支持多SSID、支持隐藏SSID

支持802.11i标准PSK认证

802.11安全

支持WPA、WPA2、WPA3标准

和加密

WEP(WEP/WEP128)

支持防ARP欺骗

支持SNTPClient

支持FTPServer、FTPClient、FTPv6Server、FTPv6Client

支持TFTPServer、TFTPClient、TFTPv6Client

网络管理支持SNMPV1/V2C/V3

支持CLI，支持SYSLOG，支持RMON，支持远程探针

支持NTP，NTPv6Server、NTPv6Client

支持AP与AC支持通过NTP进行时间同步

无线AP选用RG-EW1200设备，如图6所示。

图6RG-EW1200

14

湖南商务职业技术学院毕业设计

RG-EW1200参数如表9所示。

表9RG-EW1200具体参数

RG-EW1200

2.4GHz2*2最高速率300Mbps；5GHz2*2最高速率867Mbps

天线外置4根5dBi不可拆卸全向天线

支持802.11a/b/g/n/ac/acWave2，支持MU-MIMO技术

支持频段：独立2.4GHz和5GHz模块，支持双频合一

无线参数

支持波束成形技术

无线信道：

2.4GHzChannel：1,2,3,4,5,6,7,8,9,10,11,12,13

5GHzChannel：36,40,44,48,52,56,60,64,149,153,157,161,165）

1个10/100M自适应WAN口（AutoMDI/MDIX）

3个10/100M自适应LAN口（AutoMDI/MDIX）

接口1颗系统指示灯，1颗WiFi指示灯，4颗网口指示灯（指示灯可关闭）

1个设备配对/恢复出厂设置按键

1个电源输入接口

认证CCC认证，SRRC认证；

工作温度：-10-45℃；

存储温度：-40-70℃；

工作环境

工作湿度：5%-95%RH（不凝结）；

存储湿度：5%-95%RH（不凝结）

6网络设备配置

6.1核心层配置

HostnameCDCJJDXY（常德财经机电

学院）-HX（核心）-1（数量）#交换机命名

CS-SW1(config)#enableuser

maipuprivilege15password0

maipucshbxy@##创建用户名密码

enablepasswordmaipucshbxy##创建enable密码

servicetimestampsdebug

datetimemseclocaltime#配置调试（debug）信息的时间戳类型

show-timezone为：月、日、时、分、秒、毫秒

servicetimestampslogdatetime#配置日志信息的时间戳类型为：月、

mseclocaltimeshow-timezone日、时、分、秒、毫秒

servicepassword-encryption#开启对密码加密的服务功能；

servicelogin-secure#开启系统登录安全服务功能；

snmp-serverstart#1、开启SNMP服务，默认关闭；

snmp-servercommunityxxxxview#2、配置snmp只读权限，指定字符串

defaultro<access-listnumber>xxxx及服务器访问控制列表，列表名称

15

湖南商务职业技术学院毕业设计

snmp-serverip-sourceX.X.X.X只可为数字；

snmp-serverhostX.X.X.Xtraps#3、指定源地址访问SNMP服务器；

communityxversion2#4、指定SNMP服务器地址以及团体字

snmp-serverhostX.X.X.Xtraps名称为cmbc-fz和snmp的版本为snmp

communityxxxxversion2v2。

snmp-serverviewdefault1.2#5、配置节点视图名为default，且可

include以访问节点下的所有对象

snmp-serverviewdefault（默认配置）

1.0.8802include

snmp-serverviewdefault1.1.2

include

snmp-serverviewdefault1.3.111

include

snmp-serverviewdefault

include

ipsshserver

linevty04

loginlocal#开启SSH

exit

cpu-packetuser-define1match

dst-mac3333.0000.0000

0000.00ff.ffff

cpu-packetuser-define1action

drop

cpu-packetuser-define2match

ether-typeipv6

cpu-packetuser-define2action

drop#丢弃掉终端发送的IPv6报文

Vlan201-210

name管理

exit

VLAN1024-1083

name业务配置管理vlan和业务vlan

exit

interfaceVLAN201

ipaddress5424

exit#创建管理vlan网关地址

link-aggregation1modelacp

interfacete1/1,2/1

link-aggregation1active#配置下联接口（此处以一栋楼为例）

exit

link-aggregation1#配置上联接口（此处以一栋楼为例）

switchportmodetrunk

16

湖南商务职业技术学院毕业设计

switchporttrunkallowedvlan

all

switchporttrunkpvidvlan1

exit

6.2汇聚层配置

HostnameCDCJJDXY（常德财经机电学

#交换机命名

院）-HJ（汇聚）-1（楼栋）

usermaipuprivilege15password0

#创建用户名密码

maipucshbxy@#

enablepasswordmaipucshbxy##创建enable密码

servicetimestampsdebugdatetime#配置调试（debug）信息的时间

mseclocaltimeshow-timezone戳类型为：月、日、时、分、秒、

毫秒

servicetimestampslogdatetime#配置日志信息的时间戳类型为：

mseclocaltimeshow-timezone月、日、时、分、秒、毫秒

servicepassword-encryption#开启对密码加密的服务功能；

servicelogin-secure#开启系统登录安全服务功能；

snmp-serverstart

snmp-servercommunityxxxxview

defaultro<access-listnumber>

snmp-serverip-sourceX.X.X.X#1、开启SNMP服务，默认关闭；

snmp-serverhostX.X.X.Xtraps#2、配置snmp只读权限，指定字

communityxversion2符串xxxx及服务器访问控制列

snmp-serverhostX.X.X.Xtraps表，列表名称只可为数字；

communityxxxxversion2#3、指定源地址访问SNMP服务器；

snmp-serverviewdefault1.2#4、指定SNMP服务器地址以及团

include体字名称为cmbc-fz和snmp的

snmp-serverviewdefault1.0.8802版本为snmpv2。

include#5、配置节点视图名为default，

snmp-serverviewdefault1.1.2且可以访问节点下的所

include有对象（默认配置）

snmp-serverviewdefault1.3.111

include

snmp-serverviewdefault

include

ipsshserver

linevty04

#开启SSH

loginlocal

exit

cpu-packetuser-define1match

#丢弃掉终端发送的IPv6报文

dst-mac3333.0000.0000

17

湖南商务职业技术学院毕业设计

0000.00ff.ffff

cpu-packetuser-define1action

drop

cpu-packetuser-define2match

ether-typeipv6

cpu-packetuser-define2action

drop

Vlan201（201-210）

name管理

exit#创建管理和业务VLAN

VLAN1024-1029

name业务

exitt

link-aggregation10modelacp

interfacete1/1,2/1

link-aggregation10active

exit

#配置上联接口

link-aggregation10

switchportmodetrunk

switchporttrunkallowedvlanall

switchporttrunkpvidvlan1

exit

link-aggregation1modelacp

interfaceg0/1,0/2#配置下联接口

link-aggregation1active#1、创建静态汇聚组为