米哈游网络科技公司网络规划设计

湖南商务职业技术学院毕业设计

目录

1项目背景........................................................1

2公司简介和要求..................................................1

2.1公司简介...................................................1

3网络设计........................................................2

3.1网络拓扑结构与规划.........................................2

3.2VLAN与IP地址规划与设计...................................4

4网络技术选用....................................................5

4.1VRRP.......................................................5

4.2MSTP.......................................................5

4.3链路聚合技术（Link-aggregation）...........................6

4.4VLAN.......................................................6

4.5动态地址分配协议（DHCP）...................................6

4.6OSPF技术..................................................7

4.7NAT技术...................................................7

4.8IPsecVPN..................................................8

5网络设备选型....................................................8

5.1核心交换机.................................................8

5.2接入层.....................................................9

5.3路由器....................................................11

5.4防火墙....................................................12

6网络设备配置...................................................13

6.1交换机配置................................................13

6.1.1VRRP配置............................................13

6.1.2链路聚合配置........................................14

6.1.3MSTP配置............................................14

6.1.4DHCP配置............................................15

6.2路由器配置................................................17

I

湖南商务职业技术学院毕业设计

6.2.1IP路由配置..........................................17

6.3防火墙配置................................................20

7网络测试.......................................................23

8设计小结.......................................................25

参考资料..........................................................26

II

湖南商务职业技术学院毕业设计

米哈游网络科技公司网络规划设计

1项目背景

随着社会的发展进步，经济全球化进程不断加快，互联网技术和经济社会

的发展相互促进，互联网技术为人们的生产、生活、工作提供了前所未有的便

利。作为传统行业的服务行业，我们经常可以看到顾客在实体店购物后，通过

互联网预约商品或者网上下单，到货后可以选择就近快递公司送达或者选择就

近店铺上门取货。如今移动终端支付手段日益成熟，生活和工作方式都在发生

着巨大的变化。与此同时信息技术也伴随着社会生活不断创新发展着，我们生

活和工作也发生着巨大变化

随着互联网时代的来临，我们的生活和工作方式都在发生着翻天覆地的变

化，也带来了许多深刻而重大的变革。对于传统行业而言，其发展已经面临着

各种问题等待解决，诸如效率低、成本高、服务差等等。在互联网技术迅猛发

展的时代背景下，如何将这些负面因素通过互联网手段进行有效解决已经成为

企业转型变革中必不可少的一一环。

互联网经过了几十年的发展，以前的互联网都是低速和昂贵的,不过在我们

的时代，资费不断的降低，而速度却是成倍的增加。普通家庭也能够负担得起

网络的资费。很多的企业都开始逐渐的去构建属于自己的企业网络，利用互联

网的优势来提升自己企业的竞争力，同时也可以通过在互联网之中寻找新的消

费点来增强公司的创新能力,公司构建一个自己的企业局域网和属于自己的公

司网站都是一个企业发展必不可少的，利用网络为基础，在公司局域网之中开

阔更多新的业务。公司网络是一个公司最为核心的模块，只有网络是稳定和可

靠的才能保证公司的业务可以稳定安全的运行。网络无论何时都是一个企业必

不可少的基石。

2公司简介和要求

2.1公司简介

米哈游科技网络公司（简称米哈游），位于上海，成立于2014年7月。公

司经营范围包括从事网络技术、计算机技术、通讯技术、电子技术领域的技术

开发。米哈游秉承着“技术宅拯救世界”的使命，始终致力于技术研发、探索

前沿科技，在卡通渲染、人工智能、云游戏技术等领域积累了领先的技术能力。

1

湖南商务职业技术学院毕业设计

米哈游潜心专研云游戏多年，先后打造“崩坏系列”、“原神”等诸多云游。

其中原神在2020年的春节上线的PV《神女劈观》更是传播这中国传统文化

——京剧，响彻全世界。

米哈游从起始之初的十几人发展至三百多名员工，欧美地区、日本、韩国

均有米哈游公司设置的分公司。

米哈游公司分为董事会、技术部门、市场部门、客服部门、以及财务部门，

其中技术部门有设计组、美工组、测试组、安全组，市场部门有策划组、宣传

组、以及人事组，财务部门有财务组。

分公司则有市场部门中的宣传组，及后勤部门。

米哈游公司网络建设需要遵循的性能原则：

（1）可增值性

米哈游的网络的建设、使用和维护需要投入大量的人力、物力，因此网络

的增值性是网络持续发展基础。所以在建设时要充分考虑业务的扩展能力，能

针对不同的用户需求提供丰富的宽带增值业务，使网络具有自我造血机制，实

现以网养网。

（2）可扩充性

考虑到米哈游用户数量和业务种类发展的不确定性，要求对于核心交换机

与汇聚交换机具有强大的扩展功能，米哈游的网络要建设成完整统一、组网灵

活、易扩充的弹性网络平台，能够随着需求变化，充分留有扩充余地。

（3）安全可靠性

设计应充分考虑整个网络的稳定性，支持网络节点的备份和线路保护，提

供网络安全防范措施。

3网络设计

3.1网络拓扑结构与规划

米哈游公司网络结构拓扑如下：

2

湖南商务职业技术学院毕业设计

图1网络拓扑图

网络结构分析：

核心设备：交换方案采用了2台1000Mbps传输速率的核心交换机S7703

高性能转发设备，全分布式转发体系结构，提供高密度接口板，并全部支持线

速转发。设备基于逐包转发的机制，提高网络安全性及可靠性高。

所有的核心交换机均配置了冗余电源、冗余引擎。

接入层设备：采用了具有百兆互联扩展能力的智能堆叠交换机

S5731-H48HB4XZ，根据用户的信息点数按照布线间的设置情况，每布线间进行

星型汇聚后，采用双百兆链路捆绑上联至楼层汇聚设备。建议每机房中通过两

对百兆光纤捆绑连入汇聚设备，提高带宽，降低单纤故障带来的影响。

网络整体设计中，采用层次化、模块化的网络设计结构，并严格定义各层

功能模型，不同层次关注不同的特性配置。

网络结构可以分成二层：接入层、核心层。

1)接入层：对于米哈游公司网络的接入层设备，采用百兆二层接入的方式，

具有线速交换、智能堆叠技术以及高级QoS策略等功能。

3

湖南商务职业技术学院毕业设计

2)核心层：网络的骨干，必须能够提供高速数据交换和路由快速收敛，要

求具有较高的可靠性、稳定性和易扩展性等。对于米哈游公司核心层，必须提

供高性能、高可靠的网络结构，推荐采用高可靠的星型结构。对于米哈游公司

核心层设备，应该在提供大容量、高性能L2/L3/L4交换服务基础上，能够进一

步融合、网络安全、网络业务分析等智能特性，可为网络构建融合业务的基础

网络平台，进而帮助用户实现IT资源整合的需求。

运用华为USG6712EAI下一代防火墙进行用户的行为管理，分割信任区域、

非信任区域、以及DMZ区域。抵御外部网络的恶意的攻击。

3.2VLAN与IP地址规划与设计

VLAN的IP划分如下表1、表2所示：

表1总部部门VLANIP地址规划

部门VLANIP地址范围网关VLAN命名

董事会VLAN101/2454dongshihui

技术部门VLAN102/2454jishubu

市场部门VLAN103/2454shichangbu

客服部门VLAN104/2454kefubu

财务部门VLAN105/2454caiwubu

表2分部部门VLANIP地址规划

部门VLANIP地址范围网关VLAN命名

市场部VLAN113/2454sc

客服部VLAN114/2454kf

财务部VLAN115/2454cw

表3防火墙与个设备的互联

HX-SW1HX-SW2外网AR1分部AR2DMZAR3

防火墙

/24/24/30/24/24

表4服务器IP地址规划

名称IP地址子网掩码网关IP

WEB服务器0054

FTP服务器0054

4

湖南商务职业技术学院毕业设计

4网络技术选用

4.1VRRP

确保网络可靠稳定地运行，解决网关交换机（路由器）设备单点失效，互

备设备之间动态热切换以及网络系统共享同一缺省网关等问题，提出了VRRP的

解决方案。该技术的工作原理主要是将互备路由设备配置在一个VRRP协议组中，

并指定一个虚拟的IP地址作为网络系统的缺省网关地址。同时根据优先级方

案决定将优先级最高的路由器设备定义为默认主动路由器，协议组中的其它路

由器则为备份路由器。此时，协议组将虚拟缺省网关IP地址指向主动路由设备，

主动路由设备即成为网络系统中的缺省网关设备。VRRP协议技术使用主播、基

于UDP的呼叫信号包（HELLO包）来实现同一个组内互备路由器之间的通信，即

协议组中的主、备路由器之间定期向对方发出HELLO包进行端口检查。当主设

备出现故障时，在规定的一段时间内不能发出HELLO包时，VRRP协议此时将备

用路由设备激活，使其成为网关设备，并将动态的虚拟网关IP地址指向备用路

由设备，备用路由设备立即承担起网络系统中的数据转发功能。当主路由设备

故障恢复后，VRRP协议自动将优先级高的主路由设备激活，使之成为网络系统

的网关。VRRP协议组中的主、备路由器之间的动态热切换都是自动完成，而且

不用修改网关地址，网络系统中的设备指向的缺省网关都是VRRP协议组中定义

的虚拟网关的IP地址，只不过不同情况下映射的路由器地址不同而已。采用了

VRRP路由协议技术后，真正做到了网关设备的自动冗余备份，保证了网络平台

稳定可靠的运行，从而保障业务系统的正常开展。

VRRP技术在核心交换机进行实现,其中HX-SW1担任董事会、技术部门以及

市场部门的主路由，HX-SW2为备份路由；HX-SW2担任客服部门和财务部门的主

路由，HX-SW1为备份路由。

4.2MSTP

组网结构的可靠性，主要是通过备份线路的设计，保证任何时刻、任何节

点之间都有可达的路径。为了解决冗余链路引起的环路问题，IEEE通过了

IEEE802.1d协议，即生成树协议。

MSTP多域生成树技术，广泛用于二层环境。多域生成树一般用于非虚拟化

VSU的网络环境中，弥补物理拓扑产生环路的解决措施，同时达到网络流量的均

衡转发，降低单台设备工作负担，多域生成树其实就是基于实例下的多VLAN转

5

湖南商务职业技术学院毕业设计

发和快速收敛的特性，能够达到每VLAN每生成树，通过与三层协议VRRP首选

多跳冗余协议工作，能提高网络冗余和稳定性，在其某台设备故障后能及时切

换链路继续转发数据包，网关会自动切换成正常工作的设备。

MSTP技术在核心交换机上进行实现，为网络实现负载均衡

4.3链路聚合技术（Link-aggregation）

链路聚合协议也称之为端口聚合协议，该协议是将设备的物理接口逻辑组

合成一个虚拟接口，同时在此接口下相连的链路也被逻辑聚合成一条链路；达

到链路备份的同时也实现了链路带宽的成倍增长。链路聚合，同时也有二层和

三层聚合之分，但工作运行环境理论是相似的，二层运用在此网络环境中的汇

聚设备本身就是大二层网络环境，减少三层维护起来的麻烦，Link-aggregation

主要为线路提供冗余，与设备冗余不同，但和生成树协议属于同类型的协议，

但区别在于生成树是切割物理拓扑生成逻辑冗余链路，Link-aggregation捆绑

物理拓扑提供逻辑链路冗余，增加链路带宽，提高网络可靠性，即使其中一条

链路发生故障另一条或者多条依然会正常进行转发。

Link-aggregation用于核心交换机之间增加带宽，提供链路冗余。

4.4VLAN

使用VLAN技术可以给组网方式更加的灵活简便，不拘泥与物理连接、设备

型号；这一项技术是所有设备均支持的。VLAN技术可以实现逻辑分割物理区域，

有效的控制广播域的范围，避免了大型广播域所产生的重大事故；使用VLAN还

可以节约组网成本，同时还可以灵活划分网络结构；且该技术的实现方法简单。

部署VLAN，可以缩小广播报文的传递区域，减少设备资源和带宽的浪费，数据

帧到达交换机后会默认生成一个Tag标记，用以识别这是处于哪个VLAN下的

数据帧，然后交换机将根据不同的端口属性对数据包给予不同的处理方式，使

用三种端口属性规划，如接入模式，中继模式，混合模式。

VLAN用于交换机，无线控制器的广播域隔离。

4.5动态地址分配协议（DHCP）

动态主机配置协议（DHCP）是用于为局域网之中的酥油网络设备部署和IP

地址相关的配置信息的一个协议，它允许在二层网络和三层网络中存在，但其

收发的报文类型有所不同，在二层网络下只需要通过广播报文就可以通过

DHCPServer服务器获取到OFFER包，从而获取到IP地址，但是在三层网

6

湖南商务职业技术学院毕业设计

络下，就是通过中继代理以单播的形式查找路由进行寻址转发，直到在网络中

找到DHCPServer服务器，利用DHCP服务器来帮助和减少管理员以及员工的

工作量。采用集中式的IP地址分配方式，来实现一个服务器管理局域网之中所

有的主机上网IP地址的需求，同时利用这种方式也可以使得IP地址在全公司

内部都是唯一的、有效的。

DHCP技术在核心交换机上面进行实现，同时HX-SW1设备作为主DHCP，

HX-SW2做备份DHCP，为网络提供一定的冗余性，保障网络的流通性。

4.6OSPF技术

OSPF(OpenShortestPathFirst)，开放式最短路径优先，由IETF定

义的一种基于状态的内部网关路由协议，具有无环路、收敛快、支持认证、扩

展性好等特点。OSPF是一种基于链路状态的路由协议，OSPF支持区域的划分，

区域内部的路由器使用SPF最短路径算法保证了区域内部的无环路，OSPF还利

用区域间的连接规则保证了区域之间无路由环路。OSPF可以解决网络扩容带来

的问题。当网络上路由器越来越多，路由信息流量急剧增长的时候，OSPF可以

将每个自治系统划分为多个区域，并限制每个区域的范围。OSPF还提供认证功

能，当第三方单位有路由器互联，就可以不用他们之间建立邻居关系，从而防

止了非法的建立OSPF邻居关系，进行非法路由的发布，保证网路的安全。

OSPF的收敛过程由链路状态公告，LSA泛洪开始，LSA中包含了路由器已知

的接口IP地址、掩码、开销和网络类型等信息。收到LSA的路由器都可以根据

LSA供的信息建立自己的链路状态数据库LSDB(LinkStateDatabase)，

并在LSDB的基础上使用SPF算法进行运算，建立起到达每个网络的最短路径树。

最后，通过最短路径树得出到达目的网络的最优路由，并将其加入到IP路由表

中。

4.7NAT技术

NAT网络地址转换技术，其功能是将私网地址映射到公网上去，因为公网是

一个大网络，没有私网路由指引无法到达目的地，同时私网地址在不同的局域

网中能被重复使用，因此就算公网有去私网的路由，也可能因为有多个相同的

私网路由导致无法到达目的地，同时NAT还具备将私网的某些服务映射到公网，

确保其他用户通过公网能够访问服务资源，NAT技术也可以用于私网中，通过地

址转换对私网服务或数据进行地址伪装可以增加网络环境的安全。

NAT技术在防火墙进行实现，采用easy-ip的方法进行网络地址转换。

7

湖南商务职业技术学院毕业设计

4.8IPsecVPN

IPsec（InternetProtocolSecurity）是一直种实现vpn的技术之一，

为IP网络提供安全和加密。（由于IP报文本身没有集成任何的安全特性，IP

数据包在公用的Internet网络中可能面临被[伪造]、[窃取]、[篡改]的风险）

通信双方通过IPsec建立一条IPsec隧道，IP数据包通过IPsec隧道进

行加密传输，有效保证了数据在不安全的网络环境如Internet中传输的安全性。

两个异地局域网需要进行通讯，因为是局域网内网IP地址不能通过

INTERNET公网进行安全通讯。只有通过IPSec包封装技术，利用Internet公网

IP地址,封装内部私网的IP数据，实现异地网络的互通:总部私网IP发信给分

部私网IP地址，总部局域网IP数据经总部私网IP地址传至出口处总部

IPSecVPN网关进行加密封装，通过INTERNET公网传送至分部IPSecVPN网

关进行解密拆封装后，交给分部局域网私网IP地址。相反分部私网IP地址回

信给总部私网IP也是一样过程，这样就实现异地局域网对局域网的通讯。

IPsecVPN技术在总部的防火墙和分部的路由器上实现。

5网络设备选型

5.1核心交换机

S7700系列是华为公司面向下一代企业网络架构而推出的新一代高端智能

路由交换机，广泛应用于园区网络、数据中心核心/汇聚节点，可对无线、话音、

视频和数据融合网络进行先进的控制，帮助企业构建交换路由一体化的端到端

融合网络。

S7703交换机基于华为公司智能多层交换的技术理念，在提供稳定、可靠、

安全的高性能L2~L4层交换服务基础上，进一步提供MPLSVPN、业务流分析、

完善的HQoS策略、可控组播、资源负载均衡、一体化安全等智能业务优化手段，

同时具备超强扩展性和可靠性。

图2核心交换机S7703

8

湖南商务职业技术学院毕业设计

表5核心交换机S7703规格

功能核心交换机S7703

交换容量38.4/168Tbps

包转发率7200/36000Mpps

槽位主控板槽位:2

交换网槽位:内置

业务槽位:3

WLAN基本业务支持Mesh组网

支持随板AC间N+N冷备

支持集群方式随板AC热备

支持WLAN终端定位

支持2.4G&5G负载均衡

支持5G优先模式

WLANQoS支持用户无线优先级到有线优先级的映射

支持用户无线优先级到CAPWAP隧道优先级的映射

支持基于用户的空口上下行流量限速

支持基于SSID的CAR功能

支持WLAN用户CAR功能

VLAN支持4K个VLAN

支持Access、Trunk、Hybrid方式

支持LNP链路类型自协商

支持defaultVLAN支持VLAN交换

支持基于MAC的动态VLAN分配

IP路由支持RIP、OSPF、ISIS、BGP等IPv4动态路由协议

支持RIPng、OSPFv3、ISISv6、BGP4+等IPv6动态路由协议

可靠性支持LACP、支持跨设备E-Trunk

支持VRRP、BFDforVRRP

支持BFDforBGP/IS-IS/OSPF/静态路由

用户管理支持统一用户管理

支持PPPoE、802.1X、MAC、Portal认证方式

支持基于流量和时长计费方式

配置与维护支持敏捷零配置部署

支持Console、Telnet、SSH等终端服务

支持SNMPv1/v2c/v3等网络管理协议

支持通过FTP、TFTP方式上载、下载文件

支持用户操作日志

5.2接入层

CloudEngineS5731-H48HB4XZ是华为公司推出的新一代光电混合以太网

交换机，基于华为公司统一的VRP（VersatileRoutingPlatform）软件平台，

具备有线无线深度融合能力，支持随板AC，最多可管理1KAP；具备业务随行能

9

湖南商务职业技术学院毕业设计

力，提供一致的用户体验；具备VXLAN能力，支持网络虚拟化功能，满足园区

网络一网多用的需求；支持创新光电协同技术，光口电口合一，可作为中心交

换机为远端模块（RU）提供超300米超远距60WPoE++供电；此外，该系列

交换机内置安全探针，支持异常流量检测、加密流量的威胁分析，以及全网威

胁诱捕等功能，是大中型高端品质园区网分支、小型园区网核心以及数据中心

接入层的最佳选择。

图3接入层交换机S5731-H48HB4XZ

表6接入层交换机S5731-H48HB4XZ规格

功能S5731-H48HB4XZ

包转发率516Mpps

交换容量1.28/12.8Tbps

VLAN特性支持4K个VLAN

支持基于MAC/协议/IP子网/策略/端口的

VLAN

支持VLANMapping功能

IP路由静态路由、RIPV1/2、RIPng、OSPF、

OSPFv3、IS-IS、IS-ISv6、BGP、BGP4+、

ECMP、路由策略

IPv6特性支持Ipv6Ping、Ipv6Tracert、Ipv6Telnet

支持基于源Ipv6地址、目的Ipv6地址、四

层端口、协议类型等ACL

支持子接口配置IPv6地址，支持VRRP6、

DHCPv6、L3VPN等

安全特性用户分级管理和口令保护

支持防止DOS、ARP攻击功能、ICMP防攻击

支持IP、MAC、端口、VLAN的组合绑定

支持IEEE802.1X认证，支持AAA认证

支持NAC功能支持SSHV2.0

支持HTTPS

可靠性支持LACP

支持E-Trunk

支持BFDforBGP/IS-IS/OSPF/静态路由等

5.3路由器

NetEngine40E-X3A路由器是华为公司推出的高端网络产品，主要应用在IP

10

湖南商务职业技术学院毕业设计

骨干网、IP城域网以及其他各种大型IP网络的边缘位置。

40E-X3A路由器采用可编程的NP转发机制，基于CLOS分布式多级交换架

构，采用分布式的硬件转发和无阻塞交换技术，具有良好的线速转发性能，优

异的扩展能力，完善的QoS机制和强大的业务处理能力。NE40E基于业界领先

的2T平台，每个槽位提供2T路由线卡，兼容现网线卡，最大限度保护客户的

投资。

图4路由器NE40E-X3A

表7路由器NE40E-X3A规格

功能NE40E-X3A

交换容量120.03Tbps

转发性能11700Mpps

接口类型100GE

50GE

40GE

25GE

10GELAN/WAN

IPv4支持静态路由、RIP、OSPF、IS-IS、BGP-4等路由协议，所有端

口在路由振荡等复杂路由环境下线速转发

二层特性支持IEEE802.1q、IEEE802.1p、IEEE802.3ad和IEEE802.1ab

支持STP、RSTP、MSTP和VLAN

支持EVC和VXLAN

QoS完善的HQoS机制，每线路板可提供先进调度和拥塞避免技术

提供精确的流量监管和流量整形功能

提供定义复杂规则的功能，支持流细粒度鉴别，以及支持MPLS

HQoS，全面保证MPLSVPN、VLL和PWE3的QoS调度

11

湖南商务职业技术学院毕业设计

安全支持ACL报文过滤、支持DHCPSnooping、支持防ARP攻击、防DOS

攻击、支持MAC地址限制、MAC与IP绑定、支持SSH、SSHv2

可靠性提供IP/LDP/VPN/TE/VLL快速重路由，支持IP/TE自动重路由技

术IGP／BGP/组播路由快速收敛、虚拟路由冗余协议（VRRP）、

快速环网保护协议（RRPP）、IPTRUNK链路分担备份技术

支持PWredundancy、E-Trunk、E-APS、E-STP

支持硬件BFD链路3.3ms快速检测、MPLS/EthernetOAM、

Y.1731、路由协议／端口/VLANDamping等保护机制

路由处理模块、交换网、电源等关键部件冗余备份，整机没有单

点故障

5.4防火墙

华为USG6712E系列AI防火墙，在提供NGFW能力的基础上，联动其他安全

设备，主动防御网络威胁，增强边界检测能力，有效防御高级威胁，同时解决

性能下降问题。NP引擎提供快速转发能力，防火墙性能显著提升。

图5防火墙USG6712E示意图

表8防火墙USG6712E规格

功能USG6712E

路由特性全面支持IPV4/IPV6下的多种路由协议，如RIP、OSPF、BGP、IS-IS、

RIPng、OSPFv3、BGP4+、IPv6IS-IS等。

一体化防护集传统防火墙、VPN、入侵防御、防病毒、数据防泄漏、带宽管理、

Anti-DDoS、URL过滤、反垃圾邮件等多种功能于一身，全局配置视图和一

体化策略管理。

应用识别与管可识别6000+应用，访问控制精度到应用功能。应用识别与入侵检测、防

控病毒、内容过滤相结合，提高检测性能和准确率。

入侵防御与第一时间获取最新威胁信息，准确检测并防御针对漏洞的攻击。可防护各

Web防护种针对web的攻击，包括SQL注入攻击和跨站脚本攻击等。

数据防泄漏对传输的文件和内容进行识别过滤，可准确识别常见文件的真实类型，如

Word、Excel、PPT、PDF等，并对内容进行过滤。

12

湖南商务职业技术学院毕业设计

Anti-DDoS支持DDoS攻击防护，防范SYNflood、UDPflood等10+种常见DDoS攻击。

6网络设备配置

6.1交换机配置

6.1.1VRRP配置

vlanbatch101102103104105

#创建vlan101、vlan102、vlan103、vlan104、vlan105

[SW1]interfaceGigabitEthernet0/0/1

#进入上行接口

[SW1]portlink-typetrunk

#配置上行接口为trunk类型

[SW1]porttrunkallow-passvlan101102103

#放行vlan101-103通过

[SW1]interfaceGigabitEthernet0/0/3

#进入上行接口

[SW1]portlink-typetrunk

#配置上行接口为trunk类型

[SW1]porttrunkallow-passvlan104105

#放行vlan104-105通过

[SW1]interfacevlan101

#进入vlan101接口

[SW1]ipaddress24

#配置vlan101接口IP地址

[SW1]vrrpvrid1virtual-ip54

#创建VRRP备份组1和虚拟IP地址

[SW1]vrrpvrid1priority101

#配置VRRP备份组1的优先级为101

[SW1]vrrpvrid1trackinterfaceGigabitEthernet0/0/1reduced2

#配置监视接口

[SW2]interfaceGigabitEthernet0/0/1

#进入上行接口

[SW2]portlink-typetrunk

13

湖南商务职业技术学院毕业设计

#配置上行接口为trunk类型

[SW2]porttrunkallow-passvlan101102103

#放行vlan101-103通过

[SW2]interfaceGigabitEthernet0/0/2

#进入上行接口

[SW2]portlink-typetrunk

#配置上行接口为trunk类型

[SW2]porttrunkallow-passvlan104105

#放行vlan104-105通过

[SW2]interfacevlan101

#进入vlan101接口

[SW2]ipaddress24

#配置vlan101接口IP地址

[SW2]vrrpvrid1virtual-ip53

#创建VRRP备份组1和虚拟IP地址

6.1.2链路聚合配置

interfaceEth-Trunk1

#创建聚合接口1，并进入

portlink-typetrunk

#配置聚合口配置为trunk类型

porttrunkallow-passvlanall

#放行所有vlan

modelacp-static

#配置聚合模式为LACP模式

trunkportg0/0/23

trunkportg0/0/24

#将相应的物理接口加入到聚合口

6.1.3MSTP配置

stpmodemstp

#开启stp，并设置为mstp模式

stpregion-configuration

#进入域设置

14

湖南商务职业技术学院毕业设计

instance1vlan101102103

instance2vlan104105

#配置实例映射

activeregion-configuration

#激活域配置

q

[SW1]stpinstance1rootprimary

[SW1]stpinstance2rootsecondary

#配置SW1为实例1为主根，实例2为备份根

[SW2]stpinstance1rootsecondary

[SW2]stpinstance2rootprimary

#配置SW2为实例2为主根，实例1为备份根

6.1.4DHCP配置

[SW1]dhcpenable

#开启DHCP

[SW1]ippooldongshihui

#创建地址池

[SW1]gateway-list

#指定地址池网关

[SW1]networkmask24

#指定地址池的网段

[SW1]excluded-ip-address5054

#排除地址

[SW1]interfacevlan101

#进入vlan101虚接口

[SW1]dhcpselectglobal

#使DHCP生效

[SW2]dhcpenable

#开启DHCP

[SW2]ippooldongshihui

#创建地址池

[SW2]gateway-list

15

湖南商务职业技术学院毕业设计

#指定地址池网关

[SW2]networkmask24

#指定地址池的网段

[SW2]excluded-ip-address5054

#排除地址

[SW2]interfacevlan101

#进入vlan101虚接口

[SW2]dhcpselectglobal

#使DHCP生效

[AR2]vlanbatch113114115

#创建vlan113-115

[AR2]interfaceGigabitEthernet0/0/0

#进入g0/0/0接口

[AR2]ipaddress24

#配置IP地址

[AR2]interfaceGigabitEthernet/0/1.1

#进入g0/0/1.1子接口

[AR2]ipaddress5424

#配置IP地址

[AR2]dot1qtermintionvid113

#配置子接口dot1q封装vlan

[AR2]arpbroadcastenable

#使能ARP广播功能

[AR2]interfaceGigabitEthernet0/0/1.2

#进入g0/0/1.2子接口

[AR2]ipaddress5424

#配置IP地址

[AR2]dot1qtermintionvid114

#配置子接口dot1q封装vlan

[AR2]arpbroadcastenable

#使能ARP广播功能

[AR2]interfaceGigabitEthernet0/0/1.3

#进入g0/0/1.3子接口

16

湖南商务职业技术学院毕业设计

[AR2]dot1qterminationvid115

#配置子接口dot1q封装vlan

[AR2]ipaddress54

#配置IP地址

[AR2]arpbroadcastenable

#使能ARP广播功能

[AR2]ippoolsc

#建立地址池

[AR2]gateway-list54

#指定地址池网关

[AR2]networkmask

#指定地址池网段

[AR2]interfaceGigabitEthernet0/0/1.1

#进入子接口

[AR2]dhcpselectglobal

##使DHCP生效

[AR2]interfaceGigabitEthernet0/0/1.2

#进入子接口

[AR2]dhcpselectglobal

#使DHCP生效

[AR2]interfaceGigabitEthernet0/0/1.3

#进入子接口

[AR2]dhcpselectglobal

#使DHCP生效

6.2路由器配置

6.2.1IP路由配置

[SW1]interfaacevlan101

#进入接口

[SW1]ipaddress24

#配置IP地址

[SW1]interfacevlan102

17

湖南商务职业技术学院毕业设计

[SW1]ipaddress24

[SW1]interfacevlan103

[SW1]ipaddress24

[SW1]interfacevlan104

[SW1]ipaddress24

[SW1]interfacevlan105

[SW1]ipaddress24

[SW1]interfacevlan90

[SW1]ipaddress24

[SW1]ospfrouter-id

#配置ospf进程，并配置router-id为

[SW1]area10

#进入区域10

[SW1]network

#ospf宣告，采用32位精准宣告

[SW1]network

[SW1]network

[SW1]network

[SW1]network

[SW1]network

[SW2]interfacevlan101

#进入vlan101虚接口

[SW2]ipaddress24

#配置IP地址

[SW2]intvlan102

[SW2]ipaddress24

[SW2]interfacevlan103

[SW2]ipaddress24

[SW2]interfacevlan104

[SW2]ipaddress24

[SW2]interfacevlan105

[SW2]ipaddress24

[SW2]interfacevlan80

18

湖南商务职业技术学院毕业设计

[SW2]ipaddress24

[SW2]ospfrouter-id

#配置ospf进程，并配置router-id为

[SW2]area10

#进入区域10

[SW2]network

#ospf宣告，采用32位精准宣告

[SW2]network

[SW2]network

[SW2]network

[SW2]network

[SW2]network

[AR2]intg0/0/0

[AR2]ipaddress24

[AR2]ospfrouter-id

#配置ospf进程，并配置router-id为

[AR2]area10

#进入区域10

[AR2]network54

#ospf宣告，采用32位精准宣告

[AR2]network54

[AR2]network54

[AR3]ospfrouter-id

#配置ospf进程，并配置router-id为

[AR3]area10

#进入区域10

[AR3]network

#ospf宣告，采用32位精准宣告

[AR3]network54

[AR3]network54

6.3防火墙配置

[FW1]interfaceGigabitEthernet1/0/1

19

湖南商务职业技术学院毕业设计

#进入接口g1/0/1

[FW1]ipaddress

#配置IP地址

[FW1]service-manageallpermit

#允许所有服务流量通过

[FW1]ipsecpolicyp11isakmptemplatep2

[FW1]interfaceGigabitEthernet1/0/2

[FW1]ipaddress

[FW1]service-manageallpermit

[FW1]interfaceGigabitEthernet1/0/4

[FW1]ipaddress52

[FW1]service-manageallpermit

[FW1]firewallzonetrust

#进入信任域

[FW1]addinterfaceGigabitEthernet1/0/1

#将g1/0/1加入信任域

[FW1]addinterfaceGigabitEthernet1/0/2

[FW1]firewallzoneuntrust

#进入非信任域

[FW1]addinterfaceGigabitEthernet1/0/4

#将g1/0/4加入非信任域

[FW1]firewallzonedmz

#进入DMZ区域

[FW1]addinterfaceGigabitEthernet1/0/0

#将g1/0/0加入DMZ区域

[FW1]ospfrouter-id

#配置ospf进程，并配置router-id为

[FW1]area10

#进入区域10

[FW1]network

#ospf宣告，采用32位精准宣告

[FW1]network

[FW1]network

20

湖南商务职业技术学院毕业设计

[FW1]network

[FW1]iproute-static

#配置一条缺省路由，下一跳指向外网

[FW1]nat-policy

#配置nat安全策略

[FW1]rulenameeasy-ip

#创建访问规则

[FW1]source-zonetrust

#配置源区域为trust区域

[FW1]source-addressmask

#配置安全策略的源地址

[FW1]serviceicmp

#配置服务为icmp

[FW1]actionsource-nateasy-ip

#配置执行动作为允许通过

[FW1]security-policy

#配置安全策略

[FW1]rulenamelocal_any

#配置规则名字

[FW1]source-zonelocal

#配置安全策略源安全区域

[FW1]actionpermit

#配置执行服务为允许

[FW1]rulenametrust_untrust

#配置规则名字

[FW1]source-zonetrust

#配置安全策略源安全区域

[FW1]destination-zoneuntrust

#配置安全策略目的安全区域

[FW1]actionpermit

#配置执行服务为允许

[FW1]rulenametrust_dmz

#配置规则名字

21

湖南商务职业技术学院毕业设计

[FW1]source-zonetrust

#配置安全策略源安全区域

[FW1]destination-zonedmz

#配置安全策略目的安全区域

[FW1]actionpermit

#配置执行服务为允许

[FW1]rulenameuntrust_dmz

#配置规则名字

[FW1]source-zoneuntrust

#配置