基于“大型园区”网络设计

目 录

第1章 项目概述1

1.1 项目背景1

1.2 公司概况1

1.3 网络现状2

第2章 需求分析4

2.1 部门需求4

2.2 配置需求4

2.3 网络功能需求5

第3章 网络设计6

3.1 建设原则6

3.2 网络拓扑结构6

3.3 IP地址和VLAN划分8

3.4 核心层设计9

3.5 接入层设计10

3.6 防火墙设计10

第4章 设备选型11

4.1 设备及设备特点11

4.2 设备清单17

第5章 设备配置18

5.1 防火墙配置18

5.2 核心层交换机配置20

5.3 接入层交换机配置22

5.4 路由器配置23

第6章 网络测试24

6.1 部门访问测试24

6.2访问外网测试25

第7章 项目实施方案26

7.1 综合布线设计26

7.2 设备验收方案27

7.3设备安装检验方案28

第1章 项目概述

1.1 项目背景

现代企业园区的办公越来越呈现出分工细化、智能化、数字化和规范化的趋势，一个可靠的网络对于企业园区的正常运作有着重要的意义，并要求其能够同时满足高效性、可靠性和高性价比的要求。因此，在设计企业园区办公网络的过程中要专注于有效资源最大化的原则，为企业园区提供符合商业需求的网络设计方案。

1.2 公司概况

添加图片注释，不超过 140 字（可选）

长沙图灵科技有限公司由财务部、销售部、研发部、技术部、员工部和管理部组合而成，共计有230位员工。部门分布如图1.1所示：

图1.1 公司部门分布图

随着公司计算机网络应用规模的不断扩大，各类应用系统对计算机网络提出了越来越高的要求，使现有网络面临着巨大的压力。

其中研发部的网络配置要求最高，电脑配备数量也最多，共计30名员工，需要配备90台计算机。其次是技术部，技术部主要负责技术检测与质量把控，是网络安全系统配置的重心，技术部和研发部是企业园区内网设置最需要关注的核心部门。对于其他部门，如销售部、员工部及公司高层的管理部，公司计划配置共200台计算机，外加技术部和研发部更高的电脑配备需求，以及考虑到有可能的突发情况，公司总计需要配置350台计算机。

在企业园区的网络设计中首先要落实的，是宽带的搭建与设计。在一家完整的企业园区中，日常的考勤管理、公司网络访问、线上会议等，都需要一个良好的宽带系统。在设计宽带时要能够满足数据大集中环境下的公司业务增长和公司网络用户数量的增加。并且，需要额外的防雷措施、网络防火墙等设置来保证公司数据的安全性。面对这些急待解决的问题，公司决定对现有网络进行一次全面的改造。

1.3 网络现状

企业园区原拓扑结构存在诸多问题，首先是拓扑结构过于简单，不能满足企业园区业务复杂化的需求，其次是企业园区安全性能得不到保障，企业园区缺乏防火墙设置；原设备选型也过于老旧，无法满足新时代对商业数据的处理需求。原网络拓扑结构如图1.2所示：

添加图片注释，不超过 140 字（可选）

图1.2 原网络拓扑图

---

企业园区办公大楼内部局域网已成为办公所依赖的重要支撑点，旨在为企业园区提供办公自动化、资源共享、信息交流和计算机管理等全方面的服务。企业园区的许多工作都依赖于计算机网络，重新搭建的网络在新的规划中应满足以下各项标准：

（1）需要更高性能的网络来匹配公司全体员工的工作需求；

（2）网络具有较高的稳定性，至少要保证在工作时间内，网络不能因为数据信息交互过大而崩溃掉；

（3）在规划网络时，要充分考虑网络组成部分的可靠性，无论是线路还是网络设备，都要做到冗余备份，不能因为单处故障引起整个企业园区网的瘫痪，而影响其正常运转；

（4）基本访问需求：除财务部外，其余部门实现互相访问。

---

第2章 需求分析

2.1 部门需求

（1）管理部：通过本部门的终端设备建立各项工作，方便统一管理各大部门的日常作业与运营维护等。计划组织研发部的产品研发、财务部的财务统计报账和资金的合理分配等工作。同时，随时关注销售部的销售数据走向等情况；通过与内部网络的连接，实现对员工部的通讯联系，并对公司员工们的日常工作做合理调配等；

（2）技术部：本部门主要负责公司网络安全类问题的解决、修复、完善等工作，以及日常终端设备等方面问题的处理。同时，对公司整体的网络进行管理、监督、维护；掌握整个公司主要网络信息流动方向等。需要保证在网络出现意外的情况下，公司可以继续稳定工作；

（3）财务部：公司主要部门，管理公司财务信息，调配各部门间所需要的资金，以及监管各部门之间的资金流向等；

（4）员工部：公司员工日常上网进行工作，处理普通业务文件等，网络需求不大，只需要支持正常上网即可；

（5）销售部：对外进行销售业务规划等，无特殊要求，日常上网需求即可；

（6）研发部：对日常产品信息研究，需要保持网络稳定，日常研究信息备份等。

2.2 配置需求

（1）为了保证内网运行性能，各部门都有自己的VLAN，并合理规划IP地址；

（2）实现每台设备的基本配置、完整的路由配置以及内部和外部网络的基本连接；

（3）为了保证网络的长期使用和安全，对核心层设备配置冗余技术，起到热备份和流量平衡的作用；

（4）在出口设置策略路由，使不同内网流量通过通信运营商接入互联网，实现荷载分流的作用；

（5）由于公司IP地址有限，因此尽可能避免IP地址丢失而造成不必要的损耗；

（6）公司有数个部门，要求财务部不得向其他部门授予访问权限，其他部门可以相互访问，所有部门都可以访问互联网；

（7）公司拥有自己的WEB服务器，内外网均可访问；

（8）确保内网安全，监控内网资源和访问方向，限制内网用户对网络资源的访问权限，引入防火墙设备以确保安全。

2.3 网络功能需求

（1）OSPF

部署概况：在防火墙，核心交换机，接入层交换机进行OSPF协议配置；

部署优点：支持区域划分，支持变长子网掩码VLSM，支持以组播方式发送协议报文；

（2）NAT

部署概况：在防火墙进行了动态、静态NAT配置，支持地址转换；

部署优点：增强了与公有网络连接的灵活性，实现受控外部访问的同时能确保安全，提高了网络的安全性；

（3）DHCP

部署概况：在所有交换机，路由器，防火墙等网络设备上都进行了DHCP协议的配置，使所有主机都可以自主的获取IP地址；

部署优点：DHCP的主要功能作用是为每台主机分配一个唯一的IP地址；

（4）ACL

部署概况：在核心交换机LSW1-LSW2上配置了ACL协议，进行对访问控制列表；

部署优点：普通用户需要通过安全策略才能访问网络，有效提高了网络的安全系数；

（5）VRRP

部署概况：在核心交换机LSW1-LSW2上配置；

部署优点：VRRP主要功能有网络故障转移机制，保证在出现故障的情况下也能进行终端设备和外部网络通讯。

---

第3章 网络设计

3.1 建设原则

公司网建设是一项耗时长且复杂的工程，不仅关系到设计技术的问题，还包括设备选取、信息资源、平台搭建等诸多方面。因此，对一个公司网进行整体规划设计是非常有必要的。

公司网络的设计一定要遵循以下的几个原则：

（1）实用性。任何网络建设都应该是从实际情况出发的，并且将未来整个公司网络的建设维护以及管理工作尽可能地综合考虑进去，不能脱离实际；

（2）扩展性。随着信息科技的飞速发展和公司规模的持续扩大，要求公司的网络设备保持良好的扩展性，为将来网络的升级扩充打下基础；

（3）先进性。先进性是当今信息化时代必须考虑的原则。在设计规划时采用先进的技术以及设备，既能满足现阶段网络的需求，又能提高公司网络的竞争水平，还对未来的扩张保留了一定的潜力，能够很好地延长公司网络的使用年限；

（4）经济性。公司网络建设，应该从实际出发，毕竟资金是有限的。建网时选择性价比较高的专业网络通信技术和先进网络通信设备。

3.2 网络拓扑结构

现网络拓扑结构采用的是两层的树形结构。首先，在公司出口新增华为防火墙USG6525E-AC作为整个长沙图灵科技有限公司内网到外网的出口，提供网络路由策略和防火墙策略的应用。在中心机房，放置两台千兆以太网交换机S6720S-26Q-EI-24S-AC；接入层使用华为千兆以太网交换机S1730S-S48T4S-A1，它能为用户提供到桌面超过100Mbps的接入速率，实现所有端口的全线速交换。在提供10M带宽业务时,可以实现200米的增强传送能力,便于布线和组网。对于楼层信息点较多的场合,为了保证用户的访问带宽,可以通过堆叠的方式扩展用户端口。网络综合布线就是根据网络设计,在各应用点拉、装网络传输介质和信息插座,以便用户通过一条转接网线就可以轻松实现与单位网络的连接,同时也可美化单位网络的布线环境。综合布线直接关系着整个网络系统性能的发挥和网络稳定性的保障

---

图3.1 网络拓扑图

添加图片注释，不超过 140 字（可选）

3.3 IP地址和VLAN划分

随着公司网规模的不断扩大，用户不断增加，网络应用也不断增长，网络变得越来越拥挤。冲突不断产生，管理难度日益加大。为了有效地提高网络管理的灵活性，提高网络效率和网络安全性，一个合理的VLAN规划给网络的管理更加有效。公司网目前的电脑数目已经上千台了。如果把这个庞大的网络作为一个VLAN，那么公司网的网络性能和安全性就会大大的降低，而且会产生网络风暴使网络瘫痪。因此，对这个庞大的公司网进行规划，把它划分为若干个VLAN，这样可以提高公司网的网络性能和安全性，防止网络风暴。

IP地址和VLAN的分配必须适应网络拓扑结构，这不仅反映了地址空间的有效利用，而且反映了网络的灵活性和可扩展性；减少路由器的CPU和内存消耗；满足路由协议的要求，减少了路由器与表的距离；提高路由算法的效率，加快路由收敛；还考虑了网络地址管理的可能性。具体分配基于以下原则：

（1）唯一性：每个IP只对应一个节点，并分配与一台主机上；

（2）简单性：路由表项必须简单、易于理解和分布；

（3）连续性：应在分层网络中使用不间断地址，以提高路由算法的效率；

（4）可扩展性：对于每个地址，地址分配的设计应确保其在网络扩展期间的连续性；

（5）灵活性：为了满足数种路由策略的需要，地址需要设计地更加灵活。

公司有多个部门单元，每个单元存储在不同的子网中。在这种情况下，不能完全确保企业园区内部用户和客户的数据信息安全。即使是外部网络地址设置更加严格的大型企业园区，也经常发生内部数据信息被盗事件，这种类型的攻击通常来自于公司内部用户。划分VLAN能更好地保护企业园区内部数据信息，根据实际情况，本方案的VLAN分配如表示：

表3.1 VLAN分配表

部门名称/用途	VlanID
财务部	Vlan30
销售部	Vlan40
研发部	Vlan50
技术部	Valn60
员工部	Vlan70
管理部	Valn80
WEB服务器	Vlan90
AR1路由器	Vlan100

表3.2 IP地址划分表

部门名称/用途	IP地址	网关	用户数量
财务部	192.168.30.0/24	192.168.30.254	8人
销售部	192.168.40.0/24	192.168.40.254	55人
研发部	192.168.50.0/24	192.168.50.254	30人
技术部	192.168.60.0/24	192.168.60.254	22人
员工部	192.168.70.0/24	192.168.70.254	100人
管理部	192.168.80.0/24	192.168.80.254	15人
WEB服务器	192.168.90.0/24	192.168.90.254
AR1路由器	175.168.100.0/24	175.168.100.254

3.4 核心层设计

核心层的功能主要是实现骨干网络之间的优化传输，骨干层设计任务的重点通常是冗余能力、可靠性和高速的传输。网络的控制功能最好尽量少在骨干层上实施。。由于核心层是网络最为关键的一层，所以在设计公司网时要特别注重，一旦核心层的设备出现问题，会导致整个网络的瘫痪。本设计方案在核心交换机上都配备了VRRP与MSTP技术来实现冗余备份功能，这样即使一台机器出现问题，就会马上启用备份设备，提升了网络的可靠性。并对核心层做了链路聚合设计，增加了设备之间链路的带宽，也实现了公司内部网络数据传输的负载均衡。

3.5 接入层设计

接入层是连接网络终端的设备，主要是提供各种接入方式，将流量接入网络等。因此在接入层交换机主要配备了MSTP技术，为公司网络设备提供了统一的网管业务，简化了电路配置，加快了业务提供速度，改进了网络的扩展性，降低了运营维护成本。接入层通常指网络中直接面向用户连接或访问的部分。接入层利用光纤、双绞线、同轴电缆、无线接入技术等传输介质，实现与用户连接，并进行业务和带宽的分配。接入层目的是允许终端用户连接到网络，因此接入层交换机具有低成本和高端口密度特性。接入层交换机的端口数量必须大于所需上网的人数，剩余端口留着备用，以防公司以后的发展扩张。

3.6 防火墙设计

因为原公司网络缺乏安全性，本方案在新的公司网络中添加了防火墙。防火墙是在公司内部网络与外部网络之间建立的一道安全屏障，保证了公司内部资源的安全性。还在防火墙上使用了NAT技术，将内网IP地址转换为防火墙的端口IP地址，保障了公司网络IP地址的安全；并采用了VPN通讯技术，保障了公司员工在网络被病毒侵入等网络不安全的状况下，也能进行安全可靠的信息传输；配置了多项网络协议等；

---

第4章 设备选型

4.1 设备及设备特点

（1）核心层交换机

核心层的功能主要是进行骨干网络之间的数据传输，目的在于通过高速转发通信，提供传输优化、以及更为稳定可靠的骨干传输结构，因此核心层交换机需要拥有更高的可靠性、安全性。另外核心层交换机也是所有流量的最终承担者，所以核心层的网络及线路设计十分重要，对设备的要求也要满足网络需要。本方案选择的是华为千兆以太网交换机S6720S-26Q-EI-24S-AC，详细参数如下：

表4.1 交换机S6720S-26Q-EI-24S-AC参数表

产品名称	S6720S-26Q-EI-24S-AC
产品类型	千兆以太网交换机
应用层级	三层交换机
传输速率	10/100/1000Mbps
背板带宽	2.56Tbps/23.04Tbps
包转发率	480Mbps
MAC地址表	288K
端口数量	26个
端口描述	24个10GE SFP+
堆叠功能	可堆叠
VLAN	支持4K个VLAN支持Guest VLAN、Voice VLAN支持基于MAC/协议/IP子网/策略/端口的VLAN支持1:1和N:1 VLAN Mapping功能支持基本、灵活QinQ功能
QOS	支持对端口接收和发送报文的速率进行限制支持报文重定向支持基于端口的流量监管，支持双速三色CAR功能，每端口支持8个队列支持WRR、DRR、SP、WRR＋SP、DRR+SP队列调度算法支持WRED支持报文的802.1p和DSCP优先级重新标记支持L2（Layer 2）-L4（Layer 4）包过滤功能，提供基于源MAC地址、目的MAC地址、源IP地址、目的IP地址、TCP/IP协议源/目的端口号、协议、VLAN的包过滤功能支持基于队列限速和端口整形功能
组播管理	支持二层静态组播MAC支持MAC模式转发支持IGMP Snooping和快速离开机制支持组播VLAN支持MLD Snooping支持IGMP Proxy支持可控组播基于端口的组播流量统计支持IGMP v1/v2/v3支持PIM-SM、PIM-DM、PIM-SSM支持MSDP支持MVPN
网络管理	支持智能堆叠iStack（业务口实现）支持虚拟电缆检测(VCT)支持以太网OAM（802.3ah 和 802.1ag）支持SNMPv1/v2c/v3支持RMON支持网管系统、支持WEB网管特性支持系统日志、分级告警支持GVRP协议支持MUX VLAN功能支持sFlow
安全管理	支持防止DOS、ARP攻击功能、ICMP防攻击支持IP、MAC、端口、VLAN的组合绑定支持端口隔离、端口安全、Sticky MAC支持MAC地址强制转发（MFF）支持MAC地址学习数目限制支持IEEE 802.1X认证，支持单端口最大用户数限制支持AAA认证，支持Radius、TACACS+、NAC等多种方式支持SSH V2.0支持HTTPS支持CPU保护功能支持黑名单和白名单
电源电压	可插拔双电源，支持交流或者直流供电AC：额定电压：100-240V AC，50/60Hz最大电压：90-264V AC，47/63HzDC：额定电压：-48-60V DC最大电压：-36-72V DC
电源功率	109W
产品尺寸	442×220×44.4mm
环境标准	工作温度：0-1800m，0-45℃；1800-5000m，海拔每增加220米最高温度降低1℃相对湿度：5%-95%（无凝露）
其它参数	支持USB

（2）接入层交换机

接入层交换机的端口数量必须大于公司内各个部门需要上网办公的员工人数总和，若有多余出来的端口也可以留着备用，用来为公司以后的扩大规模做准备。为了防止一些网络攻击，接入层设备还应具备一些基本网络安全功能，如端口安全等。本方案选择的是华为千兆以太网交换机S1730S-S48T4S-A1，设备介绍如下：

---

表4.2 交换机S1730S-S48T4S-A1参数表

产品名称	S1730S-S48T4S-A1
产品类型	千兆以太网交换机
应用层级	二层
传输速率	10/100/1000BASE-T Mbps
交换方式	存储-转发
背板带宽	交换容量：432Gbps
包转发率	78Mpps
端口结构	非模块化
端口数量	52个
堆叠功能	可堆叠
VLAN	支持
QOS	支持流量监管、支持入端口流暈限速、支持端口队列调度、支持拥塞避免、支持出端口流量整形、支持高级IPv4V6 ACL
组播管理	支持 IGMP V1V2/V3 Snooping、支持MLDV1/V2 Snooping
网络管理	支持4 K VLAN、支持 Access/ Trunk/ Hybrid/QinQ接入方式、支持基于端口划分VLAN、支持MAC地址自动学习、支持MAC地址自动老化、支持静态MAC表项
安全管理	支持端口安全;支持广播、组播、未知单播风暴控制;支持端口隔离
电源电压	额定电压： 100-240V AC，50/60Hz最大电压：90V AC-264V AC；47Hz-63Hz
电源功率	50.4W
产品尺寸	442*220*43.6mm
环境标准	工作温度：0℃+50℃储存温度：-40+70℃工作湿度：-5％-95％
其它参数	业务口防雷：±10kV电源口防雷：差模±6kV，共模±6kV散热方式：风冷散热，智能调速，1个风扇

（3）服务器

服务器作为网络的节点，存储、处理网络上80%的数据、信息，因此也被称为网络的灵魂。做一个形象的比喻：服务器就像是邮局的交换机，而PDA、微机、手机笔记本、等移动或固定的终端设备，就如散落在各种办公场所、公共场所、家庭等处的电话机。我们与外界日常的工作、生活中的电话交流、沟通，必须经过交换机，才能到达目标电话；网络终端设备如企业园区、家庭中的微机上网，获取资讯，与外界沟通、娱乐等，也必须经过服务器，因此也可以说是服务器在“组织”和“领导”其他的设备。本方案选择的是华为企业园区级服务器FusionServer Pro RH2288H V5（Xeon E5-2620 v4/16GB/8盘位），设备介绍如下：

表4.3 服务器FusionServer Pro RH2288H V5参数表

产品名称	FusionServer Pro RH2288H V5（Xeon E5-2620 v4/16GB/8盘位）
产品类型	企业园区级服务器
产品类别	机架式
产品结构	2U
CPU类型	Intel 至强 金牌
CPU型号	Xeon Gold 6226R
CPU频率	2.9GHz
智能加速主频	3.9GHz
标配CPU数量	2颗
制程工艺	14nm
三级缓存	22MB
CPU核心	十六核
CPU线程数	32线程
主板芯片组	Intel C622
扩展槽	最多10个PCIe3.0扩展槽位，包括1个RAID卡专用的PCIe扩展卡和1个灵活LOM插卡
内存类型	DDR4
内存容量	196GB
内存描述	8*32GB DDR4
内存插槽数量	24槽
硬盘接口类型	SAS
标配硬盘容量	1.2TB
硬盘描述	2块 600GB 10000转SAS硬盘
内部硬盘架数	支持8块2.5英寸SAS/SATA/SSD硬盘
磁盘控制器	SR150-M
Hua	可选配支持RAID0、1、10、1E、5、50、6、60等，支持Cache超级电容保护，提供RAID级别迁移、磁盘漫游、自诊断、Web远程设置等功能
网络控制器	2个10GE接口与2个GE接口
显示芯片	集成显示芯片
散热系统	4个热拔插风扇，支持N+1冗余
系统管理	华为iBMC芯片集成1个专用管理GE网口，提供全面的故障诊断、自动化运维、硬件安全加固等管理特性iBMC支持Redfish、SNMP、IPMI2.0等标准接口；提供基于HTML5/VNC KVM的远程管理界面；支持免CD部署和Agentless特性简化管理复杂度可选配华为FusionDirector管理软件，提供无状态计算、OS批量部署、固件自动升级等高级管理特性，实现全生命周期智能化、自动化管理
安全认证	CE，UL，FCC，CCC，RoHS等
电源类型	白金电源
电源数量	2个
电源电压	AC 100-240V
电源功率	550W
产品尺寸	86.1×447×708mm
工作温度	5℃-45℃

（4）防火墙

防火墙也被称为防护墙，是部署在网络边界的一款硬件设备，可以控制不同网络之间的互相访问，有效保护公司内员工办公信息等不被外部网络访问而造成泄露。也可以解决网络中常见的黑客攻击、病毒入侵等问题，本方案选择的是华为企业园区级防火墙USG6525E，设备详细信息介绍如下：

表4.4 防火墙USG6525E参数表

产品名称	USG6525E
设备类型	企业园区级防火墙
网络端口	2×10GE(SFP+)+8×GE Combo+2×GE WAN
控制端口	1×USB2.0+1×USB3.0
VPN支持	支持丰富高可靠性的VPN特性，如IPSec VPN，SSL VPN，L2TP VPN，MPLS VPN，GRE等，提供自研的VPN客户端SecoClient，实现SSL VPN，L2TP VPN和L2TP over IPSec VPN用户远程接入，支持DES，3DES，AES，SHA，SM2/SM3/SM4等多种加墨算法
入侵检测	入侵防御与Web防护：第一时间获取最新威胁信息，准确检测并防御针对漏洞的攻击。可防护各种针对web的攻击，包括SQL注入攻击和跨站脚本攻击等
防火墙管理	带宽管理：在识别业务应用的基础上，可管理每用户/IP使用的带宽， 确保关键业务和关键用户的网络体验。管控方式包括：限制最大带宽或保障最小带宽，应用的策略路由，修改应用转发优先级等云管理模式：设备自行向云管理平台发起认证注册，实现即插即用，简化网络创建和开局，远程业务配置管理，设备监控故障管理，实现海量设备的云端管理
外形设计	1U机架式
产品尺寸	442*420*43.6mm
产品重量	5.8kg
适用环境	工作温度：0-45℃工作湿度：5%-100%（非凝露）储存温度：-40-70℃储存湿度：5%-95%
其他性能	一体化防护：集传统防火墙，VPN，入侵防御，防病毒，数据防泄漏，带宽管理，Anti-DDoS，URL过滤，反垃圾邮件等多种功能于一身，全局配置视图和一体化策略管理应用识别与管控：识别6000+应用，访问控制精度到应用功能，例如：区分微信的文字和语音。应用识别与入侵检测，防病毒，内容过滤相结合，提高检测性能和准确率APT防御：与本地/云端沙箱联动，对恶意文件进行检测和阻断，加密流量无需解密，联动大数据分析平台CIS，实现对加密流量威胁检测，主动响应恶意扫描行为，并通过联动大数据分析平台CIS进行行为分析，快速发现，记录恶意行为，实现对企业园区威胁的实时防护云应用安全感知：可对企业园区云应用进行精细化和差异化的控制，满足企业园区对用户使用云应用的管控需求

4.2 设备清单

表4.5 设备清单表

设备名称	设备型号	需求数量（台）	设备单价（元）	设备总价（元）
核心层交换机	华为S6720S-26Q-EI-24S-AC	2	21031	42062
接入层交换机	华为S1730S-S48T4S-A1	8	2798	22384
服务器	华为FusionServer Pro RH2288H V5	1	11857	11857
防火墙	华为USG6525E	1	13580	13580
合计				89883

---

第5章 设备配置

5.1 防火墙配置

（1）基本配置

interface GigabitEthernet0/0/1

undo shutdown

ip address 192.168.10.14 255.255.255.0

gateway 192.168.10.1

interface GigabitEthernet0/0/2

undo shutdown

ip address 192.168.20.14 255.255.255.0

gateway 192.168.20.1

interface GigabitEthernet0/0/3

undo shutdown

ip address 192.168.90.14 255.255.255.0

interface GigabitEthernet0/0/4

undo shutdown

ip address 175.168.100.14 255.255.255.0

gateway 175.168.100.2

//在端口0/01、端口0/0/2、端口0/0/3与端口0/04中分别输入以下命令，开启多项许可证服务，只有满足服务要求，才可通过防火墙。

service-manage http permit

service-manage https permit

service-manage ping permit

service-manage ssh permit

service-manage telnet permit

（2）配置VPN接口

interface Tunnel1

ip address 175.168.100.1 255.255.255.0

tunnel-protocol gre

source 175.168.100.14

destination 3.3.3.100

//设置gre密钥为123

gre key cipher 123

（3）添加端口

firewall zone trust

add interface GigabitEthernet0/0/1

add interface GigabitEthernet0/0/2

add interface Tunnel1

firewall zone dmz

add interface GigabitEthernet0/0/3

firewall zone untrust

add interface GigabitEthernet0/0/4

（4）配置OSPF

ospf 1

area 0.0.0.0

network 192.168.10.0 0.0.0.255

network 192.168.20.0 0.0.0.255

network 192.168.90.0 0.0.0.255

（5）配置静态路由

ip route-static 0.0.0.0 0.0.0.0 10.100.100.2

ip route-static 192.168.100.0 255.255.255.0 Tunnel1

（6）配置静态NAT

nat server web_server protocol tcp global 10.100.100.14 8000 inside 192.168.90.100 www

nat server ftp_server protocol tcp global 10.100.100.14 2100 inside 192.168.90.100 ftp

（7）配置动态NAT

nat-policy

rule name trust_to_untrust_nat

source-zone trust

egress-interface GigabitEthernet0/0/4

source-address 192.168.10.0 mask 255.255.255.0

source-address 192.168.20.0 mask 255.255.255.0

source-address 192.168.30.0 mask 255.255.255.0

source-address 192.168.40.0 mask 255.255.255.0

source-address 192.168.50.0 mask 255.255.255.0

source-address 192.168.60.0 mask 255.255.255.0

source-address 192.168.70.0 mask 255.255.255.0

source-address 192.168.80.0 mask 255.255.255.0

action source-nat easy-ip

5.2 核心层交换机配置

以交换机LSW1为例，LSW2配置同理。

（1）创建VLAN

vlan batch 30 40 50 60 70 80 100

（2）配置MSTP

stp region-configuration

region-name HUAWEI

instance 1 vlan 30 to 50

instance 2 vlan 60 to 80

active region-configuration

stp instance 1 root primary

stp instance 2 root secondary

stp pathcost-standard legacy

（3）配置VRRP

interface Vlanif30

ip address 192.168.30.1 255.255.255.0

vrrp vrid 30 virtual-ip 192.168.30.254

vrrp vrid 30 priority 150

vrrp vrid 30 track interface GigabitEthernet0/0/1

vrrp vrid 30 track interface GigabitEthernet0/0/3

（4）配置链路聚合

interface Eth-Trunk1

port link-type trunk

port trunk allow-pass vlan 2 to 4094

interface GigabitEthernet0/0/1

port link-type access

port default vlan 1000

interface GigabitEthernet0/0/2

eth-trunk 1

interface GigabitEthernet0/0/3

port link-type trunk

port trunk allow-pass vlan 2 to 4094

traffic-filter outbound acl 2001

interface GigabitEthernet0/0/4

port link-type trunk

port trunk allow-pass vlan 2 to 4094

interface GigabitEthernet0/0/5

port link-type trunk

port trunk allow-pass vlan 2 to 4094

interface GigabitEthernet0/0/6

port link-type trunk

port trunk allow-pass vlan 2 to 4094

interface GigabitEthernet0/0/7

port link-type trunk

port trunk allow-pass vlan 2 to 4094

interface GigabitEthernet0/0/8

port link-type trunk

port trunk allow-pass vlan 2 to 4094

interface GigabitEthernet0/0/24

eth-trunk 1

（5）配置ACL

acl number 2001

rule 5 deny source 192.168.40.0 0.0.0.255

rule 10 deny source 192.168.50.0 0.0.0.255

rule 15 deny source 192.168.60.0 0.0.0.255

rule 20 deny source 192.168.70.0 0.0.0.255

rule 25 deny source 192.168.80.0 0.0.0.255

（6）配置OSPF

ospf 1

area 0.0.0.0

network 192.168.10.0 0.0.0.255

network 192.168.30.0 0.0.0.255

network 192.168.40.0 0.0.0.255

network 192.168.50.0 0.0.0.255

network 192.168.60.0 0.0.0.255

network 192.168.70.0 0.0.0.255

network 192.168.80.0 0.0.0.255

（7）开启路由功能

ip route-static 0.0.0.0 0.0.0.0 192.168.10.14

5.3 接入层交换机配置

以交换机LSW3为例，LSW4~8同理。

（1）创建VLAN

vlan batch 30

（2）配置MSTP

stp region-configuration

region-name HUAWEI

instance 1 vlan 30 to 50

instance 2 vlan 60 to 80

active region-configuration

stp pathcost-standard legacy

（3）配置接口

interface Ethernet0/0/1

port link-type trunk

port trunk allow-pass vlan 2 to 4094

5.4 路由器配置

（1）配置IP地址

interface GigabitEthernet0/0/0

ip address 175.168.100.2 255.255.255.0

（2）配置OSPF

ospf 1

area 0.0.0.0

network 175.168.100.0 0.0.0.255

（3）配置静态路由

ip route-static 0.0.0.0 0.0.0.0 2.2.2.254

---

第6章 网络测试

6.1 部门访问测试

图6.1 财务部访问测试图

添加图片注释，不超过 140 字（可选）

财务部是整个公司最为重要的一个部门，掌管着所有的资金流动信息，故设置财务部不可被其他部门随意访问，即无法被Ping通，测以销售部（VLAN40）Ping财务部（VLAN30）测试举例，试如图6.1所示：

除财务部外，其余部门实现互相访问，以销售部（VLAN40）Ping技术部（VLAN60）测试举例，测试如图6.2所示：

添加图片注释，不超过 140 字（可选）

图6.2 销售部访问生产部测试图

---

6.2访问外网测试

销售部（VLAN40）ping AR1路由器（VLAN100）为访问外网测试。测试如图6.3所示：

添加图片注释，不超过 140 字（可选）

---

1. 项目实施方案

7.1 综合布线设计

整个工程分阶段实施，保证于规定时间前完成布线工程的所有任务。

工程分三个阶段

1. 第一阶段，施工准备：开工前与长沙图灵有限公司对工程施工图纸进行汇 审，制订工程进度，在开工设备材料安装之前，对土建预留进行检查，协 调各方面关系。

2. 第二阶段，现场施工： 经理负责制：由项目经理组织各部门进行现场技术分析，技术交底， 人员安排，施工安排。 施工规范：严格按照综合布线系统施工规范要求以及相关部、施工规 范组织施工。

3. 第三阶段，工程管理：

要求系统安装商不但在工程设计方面具有丰富的经验，并且在工程的

管理和实施方面有成熟的经验。

为了方便用户的管理，我们将向用户提供整套综合布线施工管理方案

（包括布线管理详图，配线管理图表等有关资料）并在安装完成十日之内，

提交调试和试运行的程序及记录表格。

工程进度

1. 工程施工队伍在合同生效后1 个月内作好施工准备工作，进驻施工 现场。

2. 配合土建施工桥架及管的敷设工程在公司规定的时间内完成。

3. 定的时间内完成综合布线系统的线缆（包括配线柜的安装）敷设工

作，并同时完成所有光纤信息插座端接、安装工作，具体时间由

公司最后确认。工程进度具体安排见表

施工进度安排时间表:

1	项目确定协议阶段
2	合同签定
3	设计图纸确定
4	第一批设备材料进入现场
5	桥架及管线的敷设
6	第二批设备材料进入现场
7	光缆敷设
8	设备安装并进行分步单元测试
9	本系统的整体测试
10	与其他系统联合调试
11	处理在测试过程出现的问题
12	甲方进行初步验收

7.2 设备验收方案

开放式布线系统的测试由以下过程完成：

测试对象：工程信息点100%进行测试。

测试设备：采用有FLUKE DSP100 设备。

测试参数：以ISO/IEC11801 标准为依据。

主要测试以下参数：

连接正确性：所有连接完好的信息点连接的正确性要保证100％；必

须保证所有信息点无短路现象、开路现象、线对绕接现象、线对反接现象。

对信息插座的连接，则是4 对双绞线可按EIA/TIA568B 标准实现连接。测

试仪器一般可选用FLUKE DSP100，其中一台是主机，另一台为远端

568B 标准的连接标准为：

最大距离：小于90 米。

分布电容：1KHZ 小于或等于330PF/100 米。

测试结果：将测试结果存储在智能型测试仪内，通过打印机打印或拷

贝到磁盘

：

7.3设备安装检验方案

（1）机柜、机架安装要求如下：

◇机柜、机架安装完毕后，垂直偏差度应不大于3mm。机柜、机架安

装位置应符合设计要求。

◇机柜、机架上的各种零件不得脱落或碰坏，漆面如有脱落应予以补

漆，各种标志应完整、清晰。

◇机柜、机架的安装应牢固，如有抗震要求时，应按施工图的抗震设

计进行加固。

（2）各类配线部件安装要求如下：

◇各部件应完整，安装就位，标志齐全；

◇安装螺丝必须拧紧，面板应保持在一个平面上。

（3）8 位模块通用插座安装要求如下：

◇安装在活动地板或地面上，应固定在接线盒内，插座面板采用直立

和水平等形式；接线盒盖可开启，并应具有防水、防尘、抗压功能。接线

盒盖面应与地面齐平。

◇8 位模块式通用插座、多用户信息插座或集合点配线模快，安装位

置应符合设计要求。

◇8 位模块式通用插座底座盒的固定方法按施工现场条件而定，宜采

用预置扩张螺丝钉固定等方式。

◇固定螺丝需拧紧，不应产生松动现象。

◇各种插座面板应有标识，以颜色、图形、文字表示所接终端设备类

型。

电缆桥架及线槽的安装要求如下：

◇桥架及线槽的安装位置应符合施工图规定，左右编差不应超过

50mm；

◇桥架及线槽水平度每米偏差不应超过2mm；

◇垂直桥架及线槽应与地面保持垂直，并无倾斜现象，垂直度偏差不

应超过3mm；

◇线槽截断处及两线槽拼接处应平滑、无毛刺；

◇吊架和支架安装应保持垂直，整齐牢固，无歪斜现象；

◇金属桥架及线槽节与节间应接触良好，安装牢固。

（4）安装机柜、机架、配线设备屏蔽层及金属钢管、线槽使用的接地

体应符合设计要求，就近接地，并应保持良好的电气连接。

设置电缆桥架和线槽敷设缆线应符合下列规定：

◇电缆线槽、桥架宜高出地面2.2m 以上。线槽和桥架顶部距楼板不

宜小于30mm；在过梁或其它障碍物处，不宜小于50 mm。

◇槽内缆线布放应顺直，尽量不交叉，在缆线进出线槽部位、转弯处

应绑扎固定，其水平部分缆线可以不绑扎。垂直线槽布放缆线应每间隔

1.5m 固定在缆线支架上。

◇电缆桥架内缆线垂直敷设时，在缆线的上端和每间隔1.5m 处应固

定在桥架的支架上；水平敷设时，在缆线的首、尾、转弯及每间隔5~10m

处进行固定。

◇在水平、垂直桥架和垂直线槽中敷设缆线时，应对缆线进行绑扎。

双绞电缆、光缆及其它信号电缆应根据缆线的类别、数量、缆径、缆线芯

数分束绑扎。绑扎间距不宜大于1.5m，间距应均匀，松紧适度。

◇楼内光缆宜在金属线槽中敷设，在桥架敷设时应在绑扎固定段加装

垫套。

（7）采用吊顶支撑柱作为线槽在顶棚内敷设缆线时，每根支撑柱所辖

范围内的缆线可以不设置线槽进行布放，但应分束绑扎，缆线护套应阻燃，

缆线选用应符合设计要求。

（8）建筑群子系统采用架空、管道、直埋、墙壁及暗管敷设电、光缆

的施工技术要求应按照本地网通信线路工程验收的相关规定执行。

---

参考文献

[1] 韦付芝. 局域网数据处理系统与局域网数据处理方法:, CN112187842A[P]. 2021.

[2] 丁吉, 卢军鑫. 一种局域网设备恢复上网的方法和装置:, 2021.

[3] 熊强强, 尹建平, 曾美琳,等. 一种基于Lora无线局域网的智能型医用点滴监护系统设计与实现[J]. 电子测量技术, 2021, 44(2):5.

[4] 陈娟. CentOS7 Linux网络管理实训设计[J]. 电子世界, 2021(21):2.

[5] 呼静雅. 基于区块链技术的能源局域网应用研究[D]. 华北电力大学, 2019.

[6] IEEE 802.1AR-2018,局域网和城域网. 安全设备标识(IEEE计算机学会)[S].

[7] 胡苏梅. 服务外包实训基地局域网的规划与设计[C]// 中国职协优秀科研成果获奖. 2016.

[8] 牛玉冰. 计算机网络技术基础(第二版)[M]. 清华大学出版社, 2016.

[9] 章冲, 焦青亮, 马雪芬. 计算机网络与多媒体技术研究[M]. 中国水利水电出版社, 2015.

[10] 江敏, 辛琳琳. VPN技术在局域网中的应用[J]. 2022(3).

[11] 石洁. 浅析如何做好局域网架设与维护工作[J]. 2022(2).

[12] 张颉. 浅析局域网网络安全防范与管理技术[J]. 2022(7).

[13] 祝荣良. 关于局域网中计算机互访的设置问题[J]. 2022(2).

[14] 臧胜鲲. 计算机网络安全技术在局域网环境背景下的应用[J]. 2022(2).

[15] 朱虹. 局域网调课二级审核系统的设计与实现[J]. 2022(4).