某大型網(wǎng)絡的配置實例

1、某大型網(wǎng)絡的配置實例說明: 這是一個比較綜合的實例，從拓撲圖上可以看出，它所包含的設備和技術。以下對這個例子作些說明希望能夠和各位網(wǎng)友交流。 1.對于內(nèi)部局域網(wǎng)，選用Cisco的Catalyst 6506作為中心交換機，二級交換采用Catalyst 3500，同時為了說明Trunk，又加了一個Catalyst 2900 作為三級交換，對于終端連接用了Catalyst 1900交換機，這樣就可以在Catalyst 6506與Catalyst 3500之間以及Catalyst 3500與Catalyst 2900 之間建立Trunk，實現(xiàn)跨交換機的VLAN。 注：Catalyst 2900系列如果

2、要實現(xiàn)Trunk，軟件必須是企業(yè)版的，關于類似疑問可以至疑難雜談欄目。 2.對于外連上,主要是專線連接和撥號訪問,當然種類比較多.包括了DDN、 ISDN、 Frame Relay、 E1 線路等。 3.本例給出設備的基本配置。 4.對于多設備的連接問題,值得注意的是路由問題,本實例外連部分采用靜態(tài)路由而內(nèi)部局域網(wǎng)采用動態(tài)路由. 5.在本例的幀中繼配置中,運用了IP Unnumbered ,可以節(jié)省地址資源,有興趣可以注意一下 在網(wǎng)關有關*作說明講行很多，但很少有實例，這個配置例我想對于許多入門的朋友啟發(fā)不少，我也希望這么的帖子與大家共享和交流一下！Enter password: enable

3、 Enter password: config t set system name Bluestudy set time 10/30/2000 9:30:00 set password set enablepass interface Ethernet1/2(與1900 A對接 switchport access VLAN 3 no shut ! interface Ethernet1/3(與1900 B對接 switchport access VLAN 4 no shut ! snmp-server engineID local 000000090200000216BE4E80 snmp-s

4、erver community public RO snmp-server community private RW snmp-server chassis-id 0x17 (打開簡單的網(wǎng)絡管理，便于以后，Cisco 網(wǎng)管軟件識別和管理 ! line con 0 login local transport input none stopbits 1 line vty 0 4 login local line vty 5 15 login ! end公司內(nèi)部網(wǎng)如何進行VLAN的劃分VLAN的定義 究竟什么是VLAN呢? VLAN（Virtual Local Area Network）即虛擬局域網(wǎng)

5、，是一種通過將局域網(wǎng)內(nèi)的設備邏輯地而不是物理地劃分成一個個網(wǎng)段從而實現(xiàn)虛擬工作組的新興技術。IEEE于1999年頒布了用以標準化VLAN實現(xiàn)方案的802.1Q協(xié)議標準草案。 VLAN技術允許網(wǎng)絡管理者將一個物理的LAN邏輯地劃分成不同的廣播域（或稱虛擬LAN，即VLAN），每一個VLAN都包含一組有著相同需求的計算機工作站，與物理上形成的LAN有著相同的屬性。但由于它是邏輯地而不是物理地劃分，所以同一個VLAN內(nèi)的各個工作站無須被放置在同一個物理空間里，即這些工作站不一定屬于同一個物理LAN網(wǎng)段。一個VLAN內(nèi)部的廣播和單播流量都不會轉發(fā)到其他VLAN中，即使是兩臺計算機有著同樣的網(wǎng)段，但是它

6、們卻沒有相同的VLAN號，它們各自的廣播流也不會相互轉發(fā),從而有助于控制流量、減少設備投資、簡化網(wǎng)絡管理、提高網(wǎng)絡的安全性。 VLAN是為解決以太網(wǎng)的廣播問題和安全性而提出的，它在以太網(wǎng)幀的基礎上增加了VLAN頭，用VLAN ID把用戶劃分為更小的工作組，限制不同工作組間的用戶二層互訪，每個工作組就是一個虛擬局域網(wǎng)。虛擬局域網(wǎng)的好處是可以限制廣播范圍，并能夠形成虛擬工作組，動態(tài)管理網(wǎng)絡。 既然VLAN隔離了廣播風暴，同時也隔離了各個不同的VLAN之間的通訊，所以不同的VLAN之間的通訊是需要有路由來完成的。 VLAN的劃分 1.根據(jù)端口來劃分VLAN 許多VLAN廠商都利用交換機的端口來劃分V

7、LAN成員。被設定的端口都在同一個廣播域中。例如，一個交換機的1，2，3，4，5端口被定義為虛擬網(wǎng)AAA，同一交換機的6，7，8端口組成虛擬網(wǎng)BBB。這樣做允許各端口之間的通訊，并允許共享型網(wǎng)絡的升級。但是，這種劃分模式將虛擬網(wǎng)限制在了一臺交換機上。 第二代端口VLAN技術允許跨越多個交換機的多個不同端口劃分VLAN，不同交換機上的若干個端口可以組成同一個虛擬網(wǎng)。 以交換機端口來劃分網(wǎng)絡成員，其配置過程簡單明了。因此，從目前來看，這種根據(jù)端口來劃分VLAN的方式仍然是最常用的一種方式。 2.根據(jù)MAC地址劃分VLAN 這種劃分VLAN的方*是根據(jù)每個主機的MAC地址來劃分，即對每個MAC地址的

8、主機都配置它屬于哪個組。這種劃分VLAN方*的最大優(yōu)點就是當用戶物理位置移動時，即從一個交換機換到其他的交換機時，VLAN不用重新配置，所以，可以認為這種根據(jù)MAC地址的劃分方*是基于用戶的VLAN，這種方*的缺點是初始化時，所有的用戶都必須進行配置，如果有幾百個甚至上千個用戶的話，配置是非常累的。而且這種劃分的方*也導致了交換機執(zhí)行效率的降低，因為在每一個交換機的端口都可能存在很多個VLAN組的成員，這樣就無*限制廣播包了。另外，對于使用筆記本電腦的用戶來說，他們的網(wǎng)卡可能經(jīng)常更換，這樣，VLAN就必須不停地配置。 3.根據(jù)網(wǎng)絡層劃分VLAN 這種劃分VLAN的方*是根據(jù)每個主機的網(wǎng)絡層地址

9、或協(xié)議類型(如果支持多協(xié)議劃分的，雖然這種劃分方*是根據(jù)網(wǎng)絡地址，比如IP地址，但它不是路由，與網(wǎng)絡層的路由毫無關系。 這種方*的優(yōu)點是用戶的物理位置改變了，不需要重新配置所屬的VLAN，而且可以根據(jù)協(xié)議類型來劃分VLAN，這對網(wǎng)絡管理者來說很重要，還有，這種方*不需要附加的幀標簽來識別VLAN，這樣可以減少網(wǎng)絡的通信量。 這種方*的缺點是效率低，因為檢查每一個數(shù)據(jù)包的網(wǎng)絡層地址是需要消耗處理時間的(相對于前面兩種方*，一般的交換機芯片都可以自動檢查網(wǎng)絡上數(shù)據(jù)包的以太網(wǎng)幀頭，但要讓芯片能檢查IP幀頭，需要更高的技術，同時也更費時。當然，這與各個廠商的實現(xiàn)方*有關。 4.根據(jù)IP組播劃分VLAN

10、 IP 組播實際上也是一種VLAN的定義，即認為一個組播組就是一個VLAN，這種劃分的方*將VLAN擴大到了廣域網(wǎng)，因此這種方*具有更大的靈活性，而且也很容易通過路由器進行擴展，當然這種方*不適合局域網(wǎng)，主要是效率不高。 VLAN的標準 對VLAN的標準，我們只是介紹兩種比較通用的標準，當然也有一些公司具有自己的標準，比如Cisco公司的ISL標準，雖然不是一種大眾化的標準，但是由于Cisco Catalyst交換機的大量使用，ISL也成為一種不是標準的標準了。 · 802.10VLAN標準 在1995年，Cisco公司提倡使用IEEE802.10協(xié)議。在此之前，IEEE802.10

11、曾經(jīng)在全球范圍內(nèi)作為VLAN安全性的同一規(guī)范。Cisco公司試圖采用優(yōu)化后的802.10幀格式在網(wǎng)絡上傳輸FramTagging模式中所必須的VLAN標簽。然而，大多數(shù)802委員會的成員都反對推廣802.10。因為，該協(xié)議是基于FrameTagging方式的。 · 802.1Q 在1996年3月，IEEE802.1Internetworking委員會結束了對VLAN初期標準的修訂工作。新出臺的標準進一步完善了VLAN的體系結構，統(tǒng)一了Fram-eTagging方式中不同廠商的標簽格式，并制定了VLAN標準在未來一段時間內(nèi)的發(fā)展方向，形成的802.1Q的標準在業(yè)界獲得了廣泛的推廣。它成

12、為VLAN史上的一塊里程碑。802.1Q的出現(xiàn)打破了虛擬網(wǎng)依賴于單一廠商的僵局，從一個側面推動了VLAN的迅速發(fā)展。另外，來自市場的壓力使各大網(wǎng)絡廠商立刻將新標準融合到他們各自的產(chǎn)品中。 公司內(nèi)部進行VLAN的劃分實例 對于每個公司而言都有自己不同的需求，下面我們給出一個典型的公司的VLAN的實例，這樣也可以成為我們以后為公司劃分VLAN的依據(jù)。 某公司現(xiàn)在有工程部、銷售部、財務部。VLAN的劃分：工程部VLAN10，銷售部VLAN20，財務部VLAN30，并且各部門還可以相互通訊?，F(xiàn)有設備如下:Cisco 3640路由器，Cisco Catalyst 2924交換機一臺，二級交換機若干臺。

13、交換機配置文件中的部分代碼如下： OSPF入門童話可以把整個網(wǎng)絡（一個自治系統(tǒng)AS）看成一個王國，這個王國可以分成幾個 區(qū)(area，現(xiàn)在我們來看看區(qū)域內(nèi)的某一個人(你所在的機器root是怎樣得到一張 世界地圖(routing table的。 首先，你得跟你周圍的人（同一網(wǎng)段如129.102）建立基本聯(lián)系。你大叫一聲 “我在這！”(發(fā)HELLO報文,于是，周圍的人知道你的存在，他們也會大叫，這樣 你知道周圍大概有哪些人，你與他們之間建立了鄰居(neighbor關系，當然，他們 之間也有鄰居關系。 在你們這一群人中，最有威望(Priority優(yōu)先級的人會被推薦為首領（ Designated Ro

14、uter）首領與你之間是上下級關系(adjacency鄰接，它會與你建立 單線聯(lián)系，而不許你與其它鄰居有過多交往，他會說：“那樣做的話，街上太擠了 ”。 你只好通過首領來知道更多的消息了，首先，你們互通消息，他告訴你他知 道的所有地圖的地名，你也會告訴他你現(xiàn)知道的地名，當然上也許只有你一個點。 (Database Des cription數(shù)據(jù)庫描述報文 你發(fā)現(xiàn)地名表中有你缺少的或比你新的東西，你會問他要一份更詳細的資料 ，他發(fā)現(xiàn)你的地名表中有他需要的東西，他也會向你索求新資料。(Link State Request連接狀態(tài)請求報文 當然，你們毫不猶豫地將一份詳細資料發(fā)送給對方。(Link St

15、ate Update連 接狀態(tài)升級報文 收到地圖后，互相致謝表示收到了。(Link State Ack連接狀態(tài)響應報文 現(xiàn)在，你已經(jīng)盡你所能得到一份地圖（Link State DataBase連接狀態(tài)數(shù)據(jù)庫 ），你去查找地圖把到所有地方的路挑一條最近（shortest path最短路）的，記 為一張表格（routing table路由表），當然以后查這份表格就知道到目的地的一 條最近的路了。地圖也要收好，萬一表格上的某條路不通了可以通過圖去找一條新 的路。 其實跟你有聯(lián)系的，只是周圍一群人，外面的消息要通過首領來知道。因為 你的地圖是跟首領的一致，我們假設你是首領，你要去畫一份世界地圖。 你命

16、令所有手下向你通報消息，你可以知道你這一群人的任何一點點小動靜 （event事件）。你手下還會有同時屬于兩群人的家伙（同一區(qū)內(nèi)兩網(wǎng)段），他會 告訴你另一群人的地圖，當然也會把你們這一群人的地圖泄露，(不過，無所謂啦 。這樣，整個區(qū)的地圖你知道了（對于不知道的那也沒辦*，我們盡力了）。 通過不停地交換地圖，現(xiàn)在，整個區(qū)的人都有同樣的地圖了，住在區(qū)邊境上 的人義不容辭地把這個區(qū)的地圖（精確到每一群人）發(fā)送到別的區(qū)，把別的區(qū)信息 發(fā)送進來。國王會把這些邊境的人命名為骨干（backbone area）。通過骨干人士 的不懈努力，現(xiàn)在，整個國家的地圖你都了解得一清二楚了。 有些人“里通外國”（AS Boundary Router自治系統(tǒng)邊界路由器） ，他們知 道一些“出國”(AS External route自治系統(tǒng)外部路由的路，當然他們會把這些 秘密公之與眾（import 引入），通過信息的傳遞，現(xiàn)在，你已經(jīng)有一張完整的“ 世界地圖”了。 OSPF是這樣