志鸿公司网络规划与设计

湖南商务职业技术学院毕业设计

目录

1项目概述..........................................................1

1.1设计背景.....................................................1

1.2项目目标.....................................................1

2项目设计..........................................................2

2.1网络结构.....................................................2

2.2数据规划.....................................................3

2.3设备命名.....................................................4

3组网技术与网络环境................................................4

3.1VLAN技术....................................................4

3.2LinkAggregation技术........................................5

3.3MSTP技术....................................................5

3.4VRRP技术....................................................6

3.5OSPF技术....................................................6

3.6NAT技术.....................................................7

4产品选型..........................................................7

4.1网络产品介绍.................................................7

4.1.1核心交换机.............................................7

4.1.2汇聚交换机.............................................8

4.1.3接入交换机.............................................9

4.1.4核心路由器.............................................9

4.2安全产品介绍................................................10

5配置实现.........................................................11

5.1网络设备配置................................................11

5.1.1设备管理配置实现......................................11

5.1.2链路聚合配置实现......................................11

5.1.3动态路由配置实现......................................12

5.1.4MSTP配置实现..........................................13

I

湖南商务职业技术学院毕业设计

5.1.5VRRP配置实现..........................................14

5.1.6IRF配置实现...........................................15

5.2安全设备配置................................................16

5.2.1安全区域配置实现......................................16

5.2.2安全策略配置实现......................................17

5.2.3访问控制配置实现......................................18

6配置实现.........................................................18

6.1协议状态测试................................................18

6.2网络连通性测试..............................................19

6.3安全防护测试................................................20

7设计小结.........................................................21

参考资料............................................................22

II

湖南商务职业技术学院毕业设计

志鸿公司网络规划与设计

1项目概述

1.1设计背景

志鸿公司是一家中型制造企业，拥有员工500名，分布在工厂和行政办公

楼中。随着公司不断扩张和业务不断增长，公司的网络已经逐渐变得复杂和庞

大。为了满足不断增长的业务需求和提高公司内部运营效率，我们需要重新设

计公司的网络架构。

公司的主要业务是制造和销售电子产品，需要处理大量的生产数据和销售

数据。网络需求方面，公司需要可靠的网络连接和高速数据传输能力，以保证

生产和销售的顺畅进行。同时，公司需要高度的安全性能，以保护其核心生产

数据和敏感信息。

目前，公司的网络拓扑结构为树形拓扑，每个工厂拥有一个核心交换机和

多个接入交换机，行政办公楼则有一个独立的交换机。各个设备通过光纤相连，

构成局域网。

公司的网络设备包括交换机、路由器、防火墙设备，部分设备已经超过其

使用寿命，需要升级或更换。公司需要高度的安全性能，以保护其核心生产数

据和敏感信息。目前，公司已经采取了一系列安全措施，包括防火墙等。公司

希望设计出符合成本效益的网络方案，以满足其业务需求和网络需求，同时考

虑到公司的预算和投资计划。

1.2项目目标

根据公司的规划要求，采用网络设备虚拟化、虚拟局域网、链路聚合、多

生成树等网络技术，通过设备整合、架构分层、配置优化，形成核心层、汇聚

层、接入层的总体三层网络架构，打造一个标准统一、技术先进、架构灵活、

稳定可靠、管理简单、使用方便的公司网络，设计目标主要概括为一下三点：

稳定性：网络设计的首要目标是保证网络的稳定性。这意味着网络的基础

设施必须具有高可靠性、高可用性和高容错性。网络设备应具备冗余备份、故

障自恢复等技术，以保证网络的稳定运行。

安全性：网络设计的第二个目标是保证网络的安全性。网络应该具有完善

的安全措施，包括访问控制、身份验证、数据加密等技术，以保证公司数据的

1

湖南商务职业技术学院毕业设计

安全和隐私。

性能：网络设计的第三个目标是保证网络的高性能。网络应该具有足够的

带宽和吞吐量，能够满足公司业务需求的同时，还要考虑未来的扩展性，确保

网络能够随着公司业务的发展而不断升级。

综上所述，网络设计的主要目标是为公司提供稳定、安全、高性能的内部

网络环境，以满足其业务需求，并可持续发展与升级。

2项目设计

2.1网络结构

志鸿公司的结构设计是采用先进的日子型结构组网，出口是防火墙，上层

是核心层，中层是汇聚层、底层是接入层、接入设备是电脑终端等等。总体设

计以高性能、高可靠性、高安全性、良好的可扩展性、可管理性，以及考虑到

技术的先进性、成熟性，并采用模块化的设计方法。拓扑图如下：

图1网络拓扑图

网络架构：志鸿公司结构的组网分为核心、汇聚、接入三层；核心是由路

2

湖南商务职业技术学院毕业设计

由、安全、交换组成，核心安全是负责互联网的出口接入、保障互联网接入与

内网服务的安全监测，核心路由是实现业务流量的负载提供双路由、核心交换

是内网的数据交互进行高速转发的保障；汇聚是统一的高性能、多接口、多策

略的交换机承担；接入是性能一般、多接口、可管理的交换机加上无线接入设

备。

核心层分析：核心层网络均采用万兆传输，核心路由器，提供高速数据传

输服务：核心层的设备通常拥有高带宽、低时延的特点，可以在短时间内转发

大量数据包和流量，保证网络的高速运行和数据的快速传输，核心安全设备，

高性能、多功能、策略处理能力超强，负责内网数据安全保护、数据安全监测、

数据安全控制等等工作，采用双设备进行组合组网，提高安全设备数据处理能

力；核心交换设备，高性能、多网络兼容、多功能、数据转发能力超强，担任

内网核心角色，负责内网所有的数据交换处理，核心层设备通常采用冗余设计、

负载均衡等技术，保证网络的稳定性和可靠性，避免单点故障对网络的影响整

个内网数据访问均通过核心交换进行转载，高性能、数据处理能力强。

汇聚层分析：汇聚设备，特点是多网络类型接口、多功能、策略控制性能

强，双设备均采用VRRP+MSTP组网实现业务流量的负载均衡，每台均采用双上

行连接；主要是将来自于网络接入层的数据进行汇聚，汇聚设备采用双设备组

网，与上行两台物理设备分别连接，采用端口聚合的方式将网络带宽扩大，保

障汇聚层高冗余、高可靠。

2.2数据规划

VLAN的IP详细划分情况如下表1所示：

表1VLAN规划

序号VLAN备注

110行政

220销售

330生产

440办公

表2IP地址段规划

描述IP地址子网掩码网关

行政54

销售54

生产54

办公54

管理54

3

湖南商务职业技术学院毕业设计

表3互联段规划

描述IP地址子网掩码

汇聚交换机-核心交换机52

汇聚交换机2-核心交换机252

核心交换机-核心路由器52

核心交换机2-核心路由器252

核心路由器-防火墙52

核心路由器2-防火墙252

表4外网IP规划

描述IP地址子网掩码

防火墙152

防火墙252

2.3设备命名

按下列规则正确设置主机名：设备局点-设备型号-设备级别角色-设备管理

地址

表5设备命名

序号设备类型设备层次厂商设备型号设备命名

1防火墙核心H3CF5030ZH#FW_F5030_CORE_255.254

2防火墙核心H3CF5030ZH#FW_F5030_CORE_255.253

3路由器核心H3CMSR6608ZH#MSR_6608_CORE_255.252

4路由器核心H3CMSR6608ZH#MSR_6608_CORE_255.251

5交换机核心H3CS10508ZH#SW_10508_IRF_255.250

6交换机核心H3CS10508ZH#SW_10508_IRF_255.250

7交换机汇聚H3CS7503MZH#SW_7503M_255.249

8交换机汇聚H3CS7503MZH#SW_7503M_255.248

9交换机接入H3CS5130ZH#SW_5130_255.247

10交换机接入H3CS5130ZH#SW_5130_255.246

3组网技术与网络环境

3.1VLAN技术

VLAN（VirtualLAN）即虚拟局域网技术，它是一种将一个局域网分隔成多

个虚拟局域网的技术。在一个传统的局域网中，所有主机都连接到同一个网络

中，如果有一个主机崩溃或遭到攻击，整个网络都会受到影响。

而使用VLAN技术，可以将一个物理的局域网分割成多个逻辑上的局域网，

从而实现不同的主机之间的分离，也提高了网络的安全性。在使用VLAN技术时，

4

湖南商务职业技术学院毕业设计

需要将网络设备如交换机、路由器等进行配置，将不同的主机分配到不同的VLAN

中。不同的VLAN之间必须通过路由器进行通信，从而实现虚拟局域网之间的互

联。

通过使用VLAN技术，可以更灵活地管理网络，从而提高网络可靠性和安全

性。

3.2LinkAggregation技术

链路聚合协议（LinkAggregationProtocol，LACP）是一种网络技术，旨

在提高网络带宽和可靠性。它允许将多个物理连接组合成一个逻辑连接，从而

增加带宽和提高冗余性，提高网络的可靠性。

LACP运行在网络设备之间，并使用控制协议来协调链路聚合。它的工作方

式是，在设备之间协商使用哪些链路，并将它们组合成一个逻辑链路。在这个

逻辑链路上，数据可以在多个物理链路之间传输。这样，就可以充分利用所有

可用的链路，而不是只使用单个链路。同时，在一个链路故障的情况下，数据

可以从另一个链路继续传输，提高了网络的可靠性。

在LACP中，有两种模式：主动模式和被动模式。主动模式是指设备会发送

LACP控制信息来发起链路聚合。被动模式是指设备只会在收到LACP控制信息

时才会发起链路聚合。

总的来说，LACP提高了网络的性能和可靠性，特别是在大型网络中使用多

个链路时。

3.3MSTP技术

MSTP是多层交换协议（MultipleSpanningTreeProtocol）的缩写，它是

一种网络协议，用于构建多个VLAN的交换机之间的多层次冗余拓扑结构。该协

议的主要作用是在交换机之间建立多个跨越VLAN的冗余路径，以增强网络的可

靠性和容错能力。

MSTP基于IEEE802.1s标准，它的主要思想是将交换机中的多个VLAN通过

一个共同的根桥接设备连接在一起，来构建一个多层次的冗余拓扑结构。在这

个拓扑结构中，每个VLAN都有一个独立的生成树（spanningtree），不同的

VLAN可以共用一个生成树，也可以单独有一个生成树。这样可以实现跨越不同

VLAN的冗余路径，提升网络的可靠性和容错能力。

MSTP的实现需要在网络中选择一个根桥接设备，它将负责所有VLAN的生

成树的构建和维护，并在网络中处理冗余路径的选择和故障的恢复。MSTP还支

5

湖南商务职业技术学院毕业设计

持端口优先级设置、端口成本计算、端口聚合等功能，可以实现灵活的网络设

计和管理。

总之，MSTP协议的使用能够极大提高网络的可靠性和容错能力，尤其适用

于需要多个VLAN的网络环境。

3.4VRRP技术

VRRP（VirtualRouterRedundancyProtocol）是一种网络协议，用于在具

有冗余路由器（Routers）的网络中提供默认网关的冗余。它可以确保网络设备

能够自动识别和维护一组拥有共同IP地址的虚拟路由器，以达到冗余的目的。

VRRP协议主要通过虚拟路由器的选举，自动选择出一台设备作为虚拟路由器主

机并分配一个虚拟IP地址。当主机失效时，备份路由器将接管其工作，以确保

网络的连通性。

VRRP协议的实现需要在每个路由器上配置组ID和虚拟路由器的IP地址，

同时设置每台路由器的优先级。高优先级的路由器将成为虚拟路由器的主机，

当主机失效时，优先级次高的备份路由器将自动接替其工作。

VRRP协议还支持预先配置优先级和权重，以实现更精细的故障切换和负载

均衡控制。总体来说，VRRP协议是一种简单有效的路由器冗余协议，可以实现

企业网络的高可用性和冗余。它能够提高网络的可靠性、降低网络故障率，并

能够满足一些关键应用场景的特殊要求。

3.5OSPF技术

OSPF（OpenShortestPathFirst）是一种开放式的链路状态路由协议，是

在TCP/IP网络中应用最广泛的一种路由协议之一。OSPF协议使用Dijkstra算

法来计算最短路径，从而确定最优路由。

OSPF协议实现了动态的路由选路和路由交换，基于链路状态算法，根据每

个路由器的拓扑结构计算出最短路径，以确保网络流量的最优路由。OSPF协议

提供了许多优秀的特性，如路由器Hierarchy（分级）、支持路由器反射器、区

域划分和路由汇聚等。其中，区域划分是OSPF协议最重要的特性之一，它将拓

扑划分为区域，在区域内部运行独立的OSPF，不同的区域之间通过AreaBorder

Router（ABR）通信，减少了OSPF算法的计算量，从而提高网络的可扩展性。

OSPF协议实现了端口状态机，可以快速地检测到端口的状态变化，并产生

相应的事件，从而及时更新路由表信息。OSPF协议还支持多种路由类型，如内

部路由、外部路由、汇聚路由和默认路由等。它可以根据业务需求对路由类型

6

湖南商务职业技术学院毕业设计

进行灵活的配置。在企业和ISP网络中OSFP协议得到广泛应用，可以实现高

效的路由选择，提高网络的可靠性和灵活性。

3.6NAT技术

NAT（NetworkAddressTranslation）即网络地址转换，是一种将一个IP

地址空间的地址转换为另一个IP地址空间的地址的技术，通常用于连接公网的

私有网络和公共网络之间的访问控制和路由转发。其主要功能是将私有网络中

的IP地址转换为公共网络中的IP地址，从而使私有网络内部的主机可以通过

共享公共IP地址实现对Internet等公共网络的访问。

NAT技术是在路由器上实现的，通过在路由器上配置内部地址和外部地址之

间的映射关系，实现了私有网络和公共网络之间的地址转换。NAT技术具有以下

特点：实现了IP地址的重用，节约了IP地址资源。增强了网络的安全性，因

为NAT可以屏蔽私有网络内部的IP地址，使得攻击者很难从公共网络直接对

私有网络进行攻击。提供了一定的隐私保护，因为NAT可以隐藏私有网络内部

的IP地址，从而不易被外部用户探测到。可以实现负载均衡、流量控制和带宽

管理等功能，从而提高网络的稳定性和可用性。但是，NAT技术也会带来一些问

题，如增加网络的复杂性、造成网络的延迟和故障等。

4产品选型

4.1网络产品介绍

4.1.1核心交换机

表6核心交换机

设备名称设备级别设备图

H3C-S10508核心交换机

设备价格数量

2500002

技术支持

设备为数据做高速处理转发，提高数据的可靠性。支持rip、ospf、isis、

bgpv4等路由协议，组播Qos、mpls、无线等等

本公司核心交换机采用H3C的S10508交换机，S10508是一款高性能、高可

7

湖南商务职业技术学院毕业设计

靠性的数据中心核心交换机。它采用了领先的硬件架构和创新的交换技术，支

持高达16个可插拔的线卡插槽，并支持多种类型的线卡，如10G、40G、100G

线速卡等，可提供高达384个10G端口或128个100G端口的接口容量。

S10508交换机还采用了全新的iStack互联技术，能够实现多台交换机的智

能互联，提供高达2.88Tbps的互联带宽和可靠的高可用性架构，从而保证了数

据中心网络的高可靠性和高吞吐量。

此外，该交换机还支持多种安全、QoS、路由等功能，满足不同场景的需求，

为数据中心的高性能、高可靠性运维提供了重要的支撑。

4.1.2汇聚交换机

表7汇聚交换机

设备名称设备级别设备图

H3C-S7503M汇聚交换机

设备价格数量

750002

技术支持

设备提供多接口和汇聚流量的高数转发，支持虚拟化valn流量控制，ARP、

组播、MPLS、QOS等等协议。

本公司汇聚交换机采用H3C的S7503M，S7503M是一款高性能的模块化万兆

以太网交换机，专为企业级数据中心、云计算和高端校园网络设计而开发。它

具有高可靠性、高可扩展性、高性能的特点，同时支持多种接口类型，如万兆

光口、万兆铜口、40G/100G光口等。

它的主要特点包括：高可靠性：采用双电源、双风扇设计，支持热插拔、

热备插拔功能，以提高系统的稳定性和可靠性。高可扩展性：支持多种模块，

包括10G/40G/100G接口，可根据实际需求进行灵活扩展。高性能：采用全线

速交换技术，支持多种高速接口，可为企业提供高速、高效的数据传输服务。

安全和管理：支持多种安全策略和管理功能，如802.1x身份认证、ACL、QoS等，

可保证网络的安全性和管理效率。

4.1.3接入交换机

表8接入交换机

8

湖南商务职业技术学院毕业设计

设备名称设备级别设备图

H3C-S5130接入交换机

设备价格数量

150002

技术支持

支持vlan、ARP、组播

本公司接入交换机采用H3C的S5130，S5130是一款智能型高性能交换机，

具有高性能、高可靠性、易于管理等特点。它适合于企业级数据中心网络、校

园网、分支机构等多种场景。

下面是它主要的特点：高性能：支持多种交换能力，包括：L2/L3/L4交换，

可支持多种高负载业务。高可靠性：具有多种容错机制，如电源冗余、风扇冗

余、链路聚合、VRRP等，可保障业务的稳定性。易于管理：具有多种远程管理

功能和安全管理策略，如Web管理、SNMP、Telnet、SSH等，可方便的远程管理

和监控设备。灵活性强：支持多种接口类型，包括光口、电口、万兆口等，可

根据业务需求进行自由搭配。安全性高：采用802.1X认证、MAC地址认证、用

户认证等多种安全认证机制，同时支持多种安全隔离功能，如VLAN、ACL等，

可为网络提供高度保障。

4.1.4核心路由器

表9核心路由器

设备名称设备级别设备图

H3C-SR6608核心路由器

设备价格数量

1500002

技术支持

IPsec、L2TP、GRE、ADVPN、MPLSVPN，以及多种VPN技术的叠加使用；支

持路由器协议的安全防护，支持OSPF/RIP/IS-IS/BGP动态路由协议

本公司核心路由器采用H3C的SR6608，SR6608是一款全球领先的中高端多

业务路由器，专为大型企业和政府机构提供高可靠性、高性能和高可扩展性的

9

湖南商务职业技术学院毕业设计

路由器解决方案。

下面是它主要的特点：高可靠性：具有电源冗余、路由冗余、信道冗余等

多重容错机制，保证了网络稳定可靠。高性能：采用高性能多核处理器与高速

互联技术，支持多种路由协议和传输技术，并可提供高达20Gbps的轻松路由能

力。高可扩展性：支持增量式增加功能模块，升级磁盘存储等，可灵活增加网

络性能和功能，满足不断变化的业务需求。多业务支持：支持多种业务特性，

如语音、视频、安全、移动和云等，可满足不同的业务应用需求。安全高效：

采用多种安全技术，如IPSecVPN、S-RTP、SSLVPN等，为企业网络提供高效、

安全的数据传输服务。

4.2安全产品介绍

表10核心防火墙

设备名称设备级别设备图

H3C-F5030D核心路由器

设备价格数量

2500002

技术支持

支持应用层状态包过滤（ASPF）功能、最新支持SOP1:N完全虚拟化、可在SecPath

F1000-AK设备上划分多个逻辑的虚拟防火墙

本公司核心防火墙采用H3C的SecPathF5030-D防火墙，SecPathF5030-D

是一款高可靠性、高性能的企业级防火墙，适用于各种中、大型企业网络安全

防护场景。

它主要的特点包括：高性能：F5030-D采用多核处理器与硬件加速技术，可

提供高速的数据包转发和访问控制功能。适应性强：F5030-D支持多种防御技术，

如应用识别、反病毒、反垃圾邮件、VPN、WEB过滤等，可以灵活应对各种攻击

和威胁。简单易用：F5030-D使用ZH#SW_7503M_255.248自主研发的iMC智能管

理中心，可以实现集中部署和管理，大大降低管理成本和工作量。高可靠性：

F5030-D支持冗余电源、冗余风扇、热备份等技术，保证了设备的高可靠性和稳

定性。安全防御：F5030-D支持多层安全防御策略，如访问控制、安全隔离、入

侵检测和防御等，并能及时响应不断出现的各种网络攻击。

10

湖南商务职业技术学院毕业设计

5配置实现

5.1网络设备配置

5.1.1设备管理配置实现

[ZH#SW_10508_IRF_255.250]telnetserverenable

#给设备命名

[ZH#SW_10508_IRF_255.250]user-interfacevty04

#配置VTY用户界面

[ZH#SW_10508_IRF_255.250-ui-vty0-4]protocolinboundtelnet

#指定VTY用户界面所支持的协议为Telnet

[ZH#SW_10508_IRF_255.250-ui-vty0-4]authentication-modeaaa

#配置认证方式为AAA

[ZH#SW_10508_IRF_255.250]aaa

#配置aaa视图

[ZH#SW_10508_IRF_255.250-aaa]local-useradmin123password

irreversible-cipherab

cd@123

#创建本地用户admin123，登录密码为abcd@123

[ZH#SW_10508_IRF_255.250-aaa]local-useradmin123service-typetelnet

#配置本地用户admin123的接入类型为Telnet方式

[ZH#SW_10508_IRF_255.250-aaa]local-useradmin123privilegelevel15

#配置本地用户admin123的级别为15

[ZH#SW_10508_IRF_255.250-ui-vty0-4]authentication-modepassword

#配置认证方式为password

[ZH#SW_10508_IRF_255.250-ui-vty0-4]setauthenticationpasswordcipher

abcd@123

#配置登录密码为abcd@123

[ZH#SW_10508_IRF_255.250-ui-vty0-4]userprivilegelevel15

5.1.2链路聚合配置实现

#配置核心交换机ZH#SW_10508_IRF_255.250

#创建二层聚合接口1

[ZH#SW_10508_IRF_255.250]interfacebridge-aggregation1

[ZH#SW_10508_IRF_255.250-Bridge-Aggregation1]quit

#分别将端口GigabitEthernet1/0/1和GigabitEthernet1/0/2加入到聚合组

1中。

[ZH#SW_10508_IRF_255.250]interfacegigabitethernet1/0/1

[ZH#SW_10508_IRF_255.250-GigabitEthernet1/0/1]portlink-aggregation

group1

[ZH#SW_10508_IRF_255.250-GigabitEthernet1/0/1]quit

11

湖南商务职业技术学院毕业设计

[ZH#SW_10508_IRF_255.250]interfacegigabitethernet1/0/2

[ZH#SW_10508_IRF_255.250-GigabitEthernet1/0/2]portlink-aggregation

group1

[ZH#SW_10508_IRF_255.250-GigabitEthernet1/0/2]quit

#配置汇聚交换机ZH#SW_7503M_255.249

#创建二层聚合接口1

[ZH#SW_7503M_255.249]interfacebridge-aggregation1

[ZH#SW_7503M_255.249-Bridge-Aggregation1]quit

#分别将端口GigabitEthernet1/0/1和GigabitEthernet1/0/2加入到聚合组

1中。

[ZH#SW_7503M_255.249]interfacegigabitethernet1/0/1

[ZH#SW_7503M_255.249-GigabitEthernet1/0/1]portlink-aggregationgroup

1

[ZH#SW_7503M_255.249-GigabitEthernet1/0/1]quit

[ZH#SW_7503M_255.249]interfacegigabitethernet1/0/2

[ZH#SW_7503M_255.249-GigabitEthernet1/0/2]portlink-aggregationgroup

1

[ZH#SW_7503M_255.249-GigabitEthernet1/0/2]quit

5.1.3动态路由配置实现

#配置核心路由器ZH#MSR_6608_CORE_255.252

<ZH#MSR_6608_CORE_255.252>system-view

#进入系统视图

[ZH#MSR_6608_CORE_255.252]ospf

#进入进程

[ZH#MSR_6608_CORE_255.252-ospf-1]area0

#配置区域

[ZH#MSR_6608_CORE_255.252-ospf-1-area-]network

55

[ZH#MSR_6608_CORE_255.252-ospf-1-area-]network

55

#宣告业务网段

#配置核心防火墙ZH#FW_F5030_CORE_255.253_F5030_CORE_255.253

<ZH#FW_F5030_CORE_255.253_F5030_CORE_255.253>system-view

#进入系统视图

[ZH#FW_F5030_CORE_255.253_F5030_CORE_255.253]ospf

[ZH#FW_F5030_CORE_255.253_F5030_CORE_255.253-ospf-1]area0

#配置区域

[ZH#FW_F5030_CORE_255.253_F5030_CORE_255.253-ospf-1-area-]

network55

#宣告业务网段

#配置核心交换机ZH#SW_10508_IRF_255.250

12

湖南商务职业技术学院毕业设计

<ZH#MSR_6608_CORE_255.252>system-view#进入系统视图

[ZH#MSR_6608_CORE_255.252]ospf

[ZH#MSR_6608_CORE_255.252-ospf-1]area0

#配置区域

[ZH#MSR_6608_CORE_255.252-ospf-1-area-]network

55

#宣告业务网段

5.1.4MSTP配置实现

<ZH#SW_7503M_255.248>sys

#进入配置视图

[ZH#SW_7503M_255.248]vlan10

[ZH#SW_7503M_255.248-vlan10]vlan20

#创建VLAN10、20

[ZH#SW_7503M_255.248]stpregion-configuration

#配置MSTP汇聚交换机ZH#SW_7503M_255.248

[ZH#SW_7503M_255.248-mst-region]region-name123

#配置MSTP域名

[ZH#SW_7503M_255.248-mst-region]instance1vlan10

[ZH#SW_7503M_255.248-mst-region]instance2vlan20

#将VLAN和域名绑定

[ZH#SW_7503M_255.248-mst-region]activeregion-configuration

#激活配置

#配置MSTP汇聚交换机ZH#SW_7503M_255.249

<ZH#SW_7503M_255.249>sys

#进入配置视图

[ZH#SW_7503M_255.249]vlan10

[ZH#SW_7503M_255.249-vlan10]vlan20

#创建VLAN10、20

[ZH#SW_7503M_255.249-mst-region]region-name123

#配置MSTP域名

[ZH#SW_7503M_255.249-mst-region]instance1vlan10

[ZH#SW_7503M_255.249-mst-region]instance2vlan20

#将VLAN和域名绑定

[ZH#SW_7503M_255.249-mst-region]activeregion-configuration

#激活配置

[ZH#SW_7503M_255.248]stpinstance0to1rootprimary

[ZH#SW_7503M_255.248]stpinstance2rootsecondary

[ZH#SW_7503M_255.249]stpinstance0to1rootsecondary

[ZH#SW_7503M_255.249]stpinstance2rootprimary

13

湖南商务职业技术学院毕业设计

5.1.5VRRP配置实现

#配置汇聚交换机ZH#SW_7503M_255.248

#VRRP组1配置

[ZH#SW_7503M_255.248]interfacevlan10

[ZH#SW_7503M_255.248-Vlan-interface10]vrrpvrid10virtual-ip

54

#配置VRRP虚地址

[ZH#SW_7503M_255.248-Vlan-interface10]vrrpvrid10priority120

#配置VRRP优先级

[ZH#SW_7503M_255.248-Vlan-interface10]vrrpvrid10track1priority

reduced30

#配置track检测

[ZH#SW_7503M_255.248]track1interfaceg1/0/2

[ZH#SW_7503M_255.248]interfaceVlan-interface10

[ZH#SW_7503M_255.248-Vlan-interface10]vrrpvrid10virtual-ip

54

#配置VRRP虚地址

#VRRP组2配置

[ZH#SW_7503M_255.248]interfacevlan20

[ZH#SW_7503M_255.248-Vlan-interface20]vrrpvrid20virtual-ip

54

#配置VRRP虚地址

[ZH#SW_7503M_255.248-Vlan-interface20]vrrpvrid20priority120

#配置VRRP优先级

[ZH#SW_7503M_255.248-Vlan-interface20]vrrpvrid20track1priority

reduced30

#配置track检测

[ZH#SW_7503M_255.248]track1interfaceg1/0/2

[ZH#SW_7503M_255.248]interfaceVlan-interface20

[ZH#SW_7503M_255.248-Vlan-interface20]vrrpvrid20virtual-ip

54

#VRRP组3配置

[ZH#SW_7503M_255.248]interfacevlan30

[ZH#SW_7503M_255.248-Vlan-interface30]vrrpvrid30virtual-ip

54

#配置VRRP虚地址

[ZH#SW_7503M_255.248-Vlan-interface30]vrrpvrid30priority120

#配置VRRP优先级

[ZH#SW_7503M_255.248-Vlan-interface30]vrrpvrid30track1priority

reduced30

#配置track检测

[ZH#SW_7503M_255.248]track1interfaceg1/0/2

14

湖南商务职业技术学院毕业设计

[ZH#SW_7503M_255.248]interfaceVlan-interface30

[ZH#SW_7503M_255.248-Vlan-interface20]vrrpvrid30virtual-ip

54

#VRRP组4配置

[ZH#SW_7503M_255.248]interfacevlan40

[ZH#SW_7503M_255.248-Vlan-interface40]vrrpvrid40virtual-ip

54

#配置VRRP虚地址

[ZH#SW_7503M_255.248-Vlan-interface40]vrrpvrid30priority120

#配置VRRP优先级

[ZH#SW_7503M_255.248-Vlan-interface40]vrrpvrid30track1priority

reduced30

#配置track检测

[ZH#SW_7503M_255.248]track1interfaceg1/0/2

[ZH#SW_7503M_255.248]interfaceVlan-interface40

[ZH#SW_7503M_255.248-Vlan-interface20]vrrpvrid40virtual-ip

54

#配置VRRP虚地址

5.1.6IRF配置实现

#选定IRF物理端口并关闭这些端口。

[Sysname]interfacerangeTen-GigabitEthernet1/0/49to

Ten-GigabitEthernet1/0/50

[Sysname-if-range]shutdown

#配置IRF端口1/1，并将它与物理端口Ten-GigabitEthernet1/0/49和

Ten-GigabitEthernet1/0/50绑定。

[Sysname]irf-port1/1

[Sysname-irf-port1/1]portgroupinterfaceTen-GigabitEthernet1/0/49

[Sysname-irf-port1/1]portgroupinterfaceTen-GigabitEthernet1/0/50

[Sysname-irf-port1/1]quit

#开启Ten-GigabitEthernet1/0/49～Ten-GigabitEthernet1/0/50端口，并保

存配置。

[Sysname]interfacerangeTen-GigabitEthernet1/0/49to

Ten-GigabitEthernet1/0/50

[Sysname-if-range]undoshutdown

[Sysname-if-range]quit

[Sysname]save

#激活IRF端口下的配置。

[Sysname]irf-port-configurationactive

#配置irf2

#将irf2的成员编号配置为2，并重启设备使新编号生效。

<Sysname>system-view

15

湖南商务职业技术学院毕业设计

[Sysname]irfmember1renumber2

RenumberingthememberIDmayresultinconfigurationchangeorloss.

Continue?[Y/N]:y

[Sysname]quit

[Sysname]save

<Sysname>reboot

#重新登录到设备，关闭选定的所有IRF物理端口。

<Sysname>system-view

[Sysname]interfacerangeTen-GigabitEthernet2/0/49to

Ten-GigabitEthernet2/0/50

[Sysname-if-range]shutdown

[Sysname-if-range]quit

#配置IRF端口2/2，并将它与物理端口Ten-GigabitEthernet2/0/49和

Ten-GigabitEthernet2/0/50绑定。

[Sysname]irf-port2/2

[Sysname-irf-port2/2]portgroupinterfaceTen-GigabitEthernet2/0/49

[Sysname-irf-port2/2]portgroupinterfaceTen-GigabitEthernet2/0/50

#开启Ten-GigabitEthernet2/0/49～Ten-GigabitEthernet2/0/52端口，并保

存配置。

[Sysname]interfacerangeTen-GigabitEthernet2/0/49to

Ten-GigabitEthernet2/0/52

[Sysname-if-range]undoshutdown

[Sysname-if-range]quit

[Sysname]save

#激活IRF端口下的配置。

[Sysname]irf-port-configurationactive

#irf1和irf2间将会进行主设备竞选，竞选失败的一方将重启，重启完成后，

IRF形成。

至此，完成H3C设备的IRF配置

5.2安全设备配置

5.2.1安全区域配置实现

[ZH#FW_F5030_CORE_255.253_F5030_CORE_255.253]firewallzonetrust

#配置创建安全域

[ZH#FW_F5030_CORE_255.253_F5030_CORE_255.253-zone-trust]add

interfaceGigabitEthernet0/0/1

#配置将接口加入安全域

[ZH#FW_F5030_CORE_255.253_F5030_CORE_255.254]firewallzonetrust

#配置创建安全域

[ZH#FW_F5030_CORE_255.253_F5030_CORE_255.254-zone-trust]add

interfaceGigabitEthernet0/0/1

16

湖南商务职业技术学院毕业设计

#配置将接口加入安全域

5.2.2安全策略配置实现

[FW_F5030_CORE_255.253]interfaceGigabitEthernet0/0/1

#进入物理接口

[FW_F5030_CORE_255.253-GigabitEthernet0/0/1]ipaddress24

#配置IP地址

[FW_F5030_CORE_255.253]firewallzonedmz

#创建安全区域

[FW_F5030_CORE_255.253-zone-dmz]addinterfaceGigabitEthernet0/0/1

将接口加入安全区域

[FW_F5030_CORE_255.253]interfaceGigabitEthernet0/0/2

#进入物理接口

[FW_F5030_CORE_255.253]firewallzonetrust

#创建安全区域

[FW_F5030_CORE_255.253-zone-trust]addinterfaceGigabitEthernet0/0/2

#将接口加入安全域

[FW_F5030_CORE_255.253]firewallzonetrust

#配置安全域

[FW_F5030_CORE_255.253-zone-trust]addinterfaceGigabitEthernet0/0/3

#将接口加入安全域

[FW_F5030_CORE_255.253]ipaddress-setserver_denytypeobject

#创建地址匹配对象组

[FW_F5030_CORE_255.253-object-address-set-server_deny]address

mask32

#匹配对象选择

[FW_F5030_CORE_255.253-object-address-set-server_deny]address

mask32

#匹配对象选择

[FW_F5030_CORE_255.253]time-rangetime_deny

#配置时间对象组

[FW_F5030_CORE_255.253-time-range-time_deny]period-range08:00:00to

17:00:00mon

#配置选择对象

[FW_F5030_CORE_255.253]ipservice-setserver1_porttypeobject

#配置服务对象组

[FW_F5030_CORE_255.253-object-service-set-server1_port]service

protocolTCPsource

-port0to65535destination-port8888

#匹配选择对象

[FW_F5030_CORE_255.253]ipservice-setserver2_porttypeobject

#配置服务对象组

17

湖南商务职业技术学院毕业设计

[FW_F5030_CORE_255.253-object-service-set-server2_port]service

protocolUDPsource

-port0to65535destination-port6666

#匹配选择对象

5.2.3访问控制配置实现

<Switch>system-view

#进入系统视图

[Switch]time-rangetrname8:00to18:00working-day

#配置工作时间

[Switch]aclnumber3000

#配置高级ACL

[Switch-acl-adv-3000]rule1permitipsource.

destination200.200.100

#配置应用规则

[Switch]aclnumber3001

#配置高级ACL

[Switch-acl-adv-3001]rule1permitipsourceanydestination

time-rangetrname

6配置实现

组网验收是针对于网络组建完成后对网络整体质量的检验，检验的标准是

根据用户的体验需求制定而得，网络质量检验主要是对无线的体验