友邻公司网络规划设计

湖南商务职业技术学院毕业设计

目录

1项目概述....................................................................................................................1

1.1企业介绍..........................................................................................................1

1.2成员组成..........................................................................................................1

1.3项目需求..........................................................................................................1

2网络设计....................................................................................................................2

2.1网络拓扑设计..................................................................................................2

2.2IP及VLAN资源设计....................................................................................3

3设备选型....................................................................................................................3

3.1网络设备选型..................................................................................................3

3.1.1核心层交换机选型...............................................................................3

3.1.2汇聚层交换机选型...............................................................................4

3.1.3接入交换机选型...................................................................................4

3.1.4防火墙...................................................................................................5

4技术选用....................................................................................................................6

4.1DHCP动态主机配置技术.............................................................................6

4.2VLAN虚拟局域网技术................................................................................6

4.3ACL包过滤防火墙技术................................................................................6

4.4NAT技术........................................................................................................6

5网络配置实现............................................................................................................7

5.1核心交换机配置..............................................................................................7

5.1.1VLAN配置...........................................................................................7

5.1.2DHCP配置...........................................................................................8

5.1.3接口以及路由配置...............................................................................8

5.2汇聚交换机配置..............................................................................................9

5.2.1VLAN配置...........................................................................................9

5.2.2PortSecurity以及接口配置.................................................................9

湖南商务职业技术学院毕业设计

5.3接入交换机配置：....................................................................................10

5.4防火墙配置....................................................................................................11

5.4.1NAT配置............................................................................................11

5.4.2ACL配置............................................................................................11

6网络测试..................................................................................................................11

7设计小结..................................................................................................................12

参考资料.........................................................................................................................13

湖南商务职业技术学院毕业设计

友邻公司网络规划设计

1项目概述

1.1企业介绍

友邻公司是一家为线下实体店提供互动营销工具和应用服务平台的企业。

本公司拥有强大的技术开发团队，能够为企业和商家提供APP应用服务、微信

公众号开发、软件开发、网站设计制作、信息技术咨询等服务、目前，该公司

已经独立开发了三个平台、通用奖兑换平台、便捷的服务平台、互动的营销平

台，旨在吸引实体商店快速走红和增加收入，以及与消费者的桥梁从而提高了

商业品牌的快速增值。

1.2成员组成

友邻公司成员组成如表1所示。

表1友邻公司成员组成表

部门人数

行政部30人

项目部80人

财务部30人

人事部50人

研发部100人

1.3项目需求

随着公司规模不断扩展，人数不断增加，该项目需要满足公司行政部、项

目部、财务部、人事部、研发部等五个部门能相互通信，为公司内部员工提供

方便、快捷的信息沟通渠道；具有良好的性能，能支持大容量和实时性的各类

应用；还要注重网络的安全性，选择选择设备时还应注重其成本，公司规模较

大所以交换机需要可以通过堆叠方式进行灵活的升级扩容；对外网进行规划时，

要做到结构清晰，安全可靠性高，做好足够的冗余；对IP地址和VLAN进行划

分，实现各部门的互访以及限制需求。在设计中应满足以下原则：（1）实用性：

有合理的拓扑结构，线路负载相对均衡，具有较好的连通性。（2）前瞻性：可

长时间为企业提供网络服务，选择采用先进、成熟的千兆带宽光缆传输系统。

（3）安全性：对设备进行周期性维护和增设防火墙。一个合理科学的设备选型

1

湖南商务职业技术学院毕业设计

方案，需要兼顾和平衡多种相关因素，选择网络互联设备时要综合考虑以下因

素：局域网技术支持范围；设备产品系列化和市场占有率；支持的连接介质类

型；端口的类型、数量等；设备费用。

2网络设计

友邻公司网络设计使用三层结构设计，分别为核心层、汇聚层、接入层。

网络由服务器、交换机、防火墙等若干设备组成。核心层交换机是公司的骨干，

它的功能是在大型局域网中加快数据交换，路由功能也为此服务。汇聚层交换

机相当于公司中间管理层的网络架构，负责管理来自接入层交换机的数据，并

向核心层交换机报告数据。接入层的主要功能是最终用户连接到网络，解决公

司各部门之间的互通要求，部署VLAN、ACL等技术，本设计要求所有部门能相

互通信访问外网。

2.1网络拓扑设计

友邻公司网络拓扑图如下图1所示。

图1友邻公司网络拓扑图

2

湖南商务职业技术学院毕业设计

2.2IP及VLAN资源设计

根据该公司部门分布以及上网设备数量的需求，IP地址分配及VLAN规划如

下表2所示。

表2IP地址规划表

部门网段VLAN地址分配方式

行政部192.168.10.0/24VLAN10自动分配

项目部192.168.20.0/24VLAN20自动分配

财务部192.168.30.0/24VLAN30自动分配

人事部192.168.40.0/24VLAN40自动分配

研发部192.168.50.0/24VLAN50自动分配

3设备选型

3.1网络设备选型

3.1.1核心层交换机选型

S7706智能路由交换机，在提供稳定、可靠、安全的高性能L2/L3层交换服

务基础上，进一步提供MPLSVPN、业务保留分析、综合Qos策略、可控组播、

资源负载均衡、综合安全等智能业务优化手段，同时具备超强扩展性和可靠性。

S7706交换机设备如下图3所示。

图3S7706交换机

交换机设备参数如下表3所示。

表3s7706交换机参数信息表

产品名称S7706

传输速率10/100/1000Mbps

包转发率3240/26400Mpps

背板带宽19.84Tbps/86.4Tbps

3

湖南商务职业技术学院毕业设计

支持Access、Trunk、Hybrid方式

支持defaultVLAN

VlAN

支持VLAN交换

支持基于MAC的动态VLAN

外形尺寸（宽×深×高）（单位：mm）442×476×442

3.1.2汇聚层交换机选型

CloudEngineS6730S-S系列交换机是华为公司自行开发的新一代万兆箱交

换机，它提供了全套高速10千兆位接入接口和40GE上行链路接口，以应对校

园和数据中心网络的可扩展性、可靠性、可管理性和安全挑战，并提供了丰富

的业务功能、全面的安全控制策略、支持丰富的QoS功能。

S6730S-S24X6Q-A交换机如下图4所示。

图4S6730S-S24X6Q-A交换机

S6730S-S24X6Q-A交换机设备参数如下表4所示。

表4S6730S-S24X6Q-A交换机参数信息表

产品名称S6730S-S24X6Q-A

交换容量2.4T/24T

包转发率720Mpps/792Mpps

固定端口24个10GESFP+端口，6个40GEQSFP端口

支持基于华为在线升级平台（HOUP）进行智能升级

智能升级

支持预加载版本极大缩短升级时间

iPCA质量感知支持直接对业务报文标记以获得丢包数量和丢包率的实时统计

支持iStack堆叠，将多台支持堆叠特性的交换机逻辑上组合成

iStack堆叠

以太虚拟交换机，支持成员间溶于备份，提高了设备级可靠性

3.1.3接入交换机选型

华为S5735S-L48P4S-A1交换机无阻塞高速转发，满足更多扩容应用，千兆

速率高速稳定，全千兆端口支持千兆组网，不丢包不卡顿，全金属外壳、抗震、

4

湖南商务职业技术学院毕业设计

不易变形，风冷散热，智能调速。全面兼容，一机满足多需求。

S5735S-L48P4S-A1交换机设备如下图6所示。

图6S5735S-L48P4S-A1交换机

S5735S-L48P4S-A1交换机设备参数如下表6所示。

表6S5735S-L48P4S-A1参数信息表

产品型号S5735S-L48P4S-A1

交换容量432Gbps/4.32Tbps

包转发率87/166Mpps

固定端口48个10/100/1000BASE-T以太网端口

3.1.4防火墙

华为HiSecEngineUSG6300E系列AI防火墙集传统防火墙、VPN、入侵防御

等多种功能于一身，全面配置试图和一体化策略管理。可识别常见应用，访问

控制精度到应用功能。应用识别与入侵检测、防病毒、内容过滤相结合，提高

检测性能和准确率。

设备如下图7所示。

图7华为HiSecEngineUSG6300E系列AI防火墙

华为HiSecEngineUSG6300E系列AI防火墙设备参数如下表7所示。

表7华为HiSecEngineUSG6300E系列AI防火墙参数信息表

产品名称华为HiSecEngineUSG6300E系列AI防火墙

外置存储选配，支持M.2卡，64G/240G

路由特性480GSSD

全面支持IPV4/IPV6下的多种路由协议，如

运行模式

RIP、OSPF、BGP等

5

湖南商务职业技术学院毕业设计

基于病毒特征进行检测

病毒防护

支持病毒库手动和自动升级

4技术选用

4.1DHCP动态主机配置技术

动态主机配置协议DHCP可以是服务器能够动态地为网络中的其他终端或

服务器分配IP地址、子网掩码、网关和DNS，DHCP的配置是安全可信的，在设

计中加入DHCP服务有效地避免了企业网络管理员在终端上手工输入数值的情

况下引起的配置失误，由于在DHCP服务中自动分配的IP地址是不会重复的，

因此还可以避免用户终端配置地址冲突。动态获取的IP地址使用完后会自动地

释放，提高了IP地址的利用率。

4.2VLAN虚拟局域网技术

VLAN具有与一般物理网络基本相同的特性。如果需要加入其他网络，则没

有物理位置限制。也就是说，从不同部门的终端访问相同的VLAN时，无论实际

连接到哪个交换机，部门间的通信都相当于独立的交换机。只有VLAN成员才能

接收在同一VLAN上发送的广播，而不是在其他VLAN上发送，这样在网络中就

可以达到控制广播风暴的目的。

4.3ACL包过滤防火墙技术

因为维护企业网络信息安全十分重要，企业网在实施网络安全控制的相关

措施中，访问控制对于防范和保护网络安全具有重要意义，配置访问控制列表

(ACL)的主要目的是为了避免局域网中的资源被随意的使用和访问。设计中可将

访问控制列表应用在汇聚层的三层交换机上，由访问控制列表配置的特定命令，

如源地址、目的地址、端口号等，决定信息转发和接收过程中数据包是被丢弃

还是转发。访问控制列表结合实际需求在网络设备配置时不仅可进行访问控制，

还可以起到对网络流量和流向起到约束作用，在一定程度上提高了企业的网络

设备和服务器的安全性。

4.4NAT技术

该技术的主要功能是将私有的网络地址转换为公网IP的地址；NAT技术不

仅可以解决IP地址不足的问题，而且还能够有效地避免来自网络外部的攻击，

6

湖南商务职业技术学院毕业设计

可以起到隐藏并保护内网计算机的作用，在企业网设计中网络安全这一方面，

NAT技术十分重要。NAT可分为静态NAT，非复用动态NAT，复用动态NAT(PAT)。

不同类型应用于不同的场景。设计中采用静态地址转换，实现私有网络访问公

网，静态NAT中先定义内部和外部端口，后定义静态映射关系。地址转换过程

中是一一对应的关系且是固定的对应关系，静态转换表是用手工的方式创建。

5网络配置实现

5.1核心交换机配置

5.1.1VLAN配置

vl100

#创建管理VLAN100

Vl10to50

#创建各部门VLAN

intvl100

ipadd192.168.100.25424

#进入管理VLAN100，并设置IP地址192.168.100.254/24

intvl10

IPadd192.168.10.25424

#进入行政部VLAN10并配置IP地址192.168.10.254/24

intvl20

IPadd192.168.20.25424

#进入项目部VLAN20并配置IP地址192.168.20.254/24

intvl30

IPadd192.168.30.25424

#进入财务部VLAN30并配置IP地址192.168.30.254/24

intvl40

IPadd192.168.40.25424

#进入人事部VLAN40并配置IP地址为192.168.40.254/24

intvl50

IPadd192.168.50.25424

#进入研发部VLAN50并配置IP地址为192.168.50.254/24

7

湖南商务职业技术学院毕业设计

5.1.2DHCP配置

dhcpen

#开启DHCP功能

dhcseip-povlan10

net192.168.10.024

gateway-li192.168.10.254

#创建行政部的DHCP池,宣告网段192.168.10.0/24并设置网关

dhcserveip-povlan20

net192.168.20.024

gateway-li192.168.20.254

#创建项目部的DHCP池,宣告网段192.168.20.0/24并设置网关

dhcpserveip-povlan30

net192.168.30.024

gateway-li192.168.30.254

#创建财务部的DHCP池,宣告网段192.168.30.0/24并设置网关

dhcserveip-povlan40

net192.168.40.024

gateway-li192.168.40.254

#创建人事部的DHCP池,宣告网段192.168.40.0/24并设置网关

dhcserveip-povlan50

net192.168.50.024

gateway-li192.168.50.254

#创建研发部的DHCP池,宣告网段192.168.50.0/24并设置网关

5.1.3接口以及路由配置

核心交换机根据需求对接口和路由进行配置

intrangeg0/0/11tg0/0/14

portlinkbridge

intrangeg0/0/15tg0/0/16

portlinktrunk

porttrunkpervlanall

#设置交换机端口g0/0/15-g0/0/16为trunk，并允许所有vlan通过

intGig0/0/17

8

湖南商务职业技术学院毕业设计

portlink-moroute

ipadd10.0.0.130

#配置接口g0/0/17为路由接口,设置IP地址为10.0.0.1/30

iproute-st0.0.0.0010.0.0.2

#设置默认路由，下一跳为10.0.0.2

5.2汇聚交换机配置

5.2.1VLAN配置

汇聚交换机根据需求创建对应VLAN

vlan100

#创建管理VLAN100

vlan10to50

#创建各部门VLAN

intvlan100

ipadd192.168.100.25324

#进入管理VLAN100接口，并设置IP地址192.168.100.253/24

5.2.2PortSecurity以及接口配置

intrang0/0/1tog0/0/2

portlinkbridge

portaccessvlan20

port-secintdisable

port-secmax24

#设置接口g0/0/1tog0/0/2为vlan20，设置端口最大接入mac地址为24

且安全动作为关闭端口

intrangeg0/0/3tog0/0/4

portlinkbridge

portaccvl30

port-secintdisable

port-secmax24

#设置接口g0/0/3tog0/0/4为vlan30，设置端口最大接入mac地址为24

且安全动作为关闭端口

intrangeg0/0/5tog0/0/6

9

湖南商务职业技术学院毕业设计

portlink-mobridge

portaccessvlan40

port-secintdisable

port-secmax24

#设置g0/0/5tog0/0/6为vlan40，设置端口最大接入mac地址为24且安

全动作为关闭端口

intrangeg0/0/7tog0/0/8

portlink-mobridge

portaccessvlan50

port-secintdisable

port-secmax24

#设置g0/0/7tog0/0/8为vlan50，设置端口最大接入mac地址为24且安

全动作为关闭端口

intrang0/0/9

portlinktrunk

porttrunkpermitvlanall

#进入交换机端口g0/0/9,设置接口为trunk，并允许所有vlan通过

5.3接入交换机配置：

以一台交换机为例：

vlbatch10

deXZ

#对各部门进行命名和vlan划分

Inte0/0/1

portlink-typeaccess

portdefaultvlan10

#进入接口e0/0/1，接口类型为acess,允许vlan10通过

intg0/0/1

portlink-typetrunk

porttrunkallow-passvlan10

#进入交换机g0/0/1,接口类型为trunk，允许vlan10通过

10

湖南商务职业技术学院毕业设计

5.4防火墙配置

5.4.1NAT配置

intG0/0/1

natoutbound

iproute-st192.168.0.01610.0.0.1

#进入接口G0/0/1，设置NAT出口转换，并配置回城路由

5.4.2ACL配置

aclbasic2000

rule0permit

#创建ACL2000，规则是全放通

zone-pairsecsourceAnydestinationAny

packet-filter2000

#将acl2000运用于任意域到任意域的规则

6网络测试

各部门内部测