企業(yè)網(wǎng)絡(luò)組建及相關(guān)技術(shù)

PAGEPAGEIII企業(yè)網(wǎng)絡(luò)組建及相關(guān)技術(shù)摘要當(dāng)今社會(huì)是一個(gè)以網(wǎng)絡(luò)為平臺(tái)的信息時(shí)代，企業(yè)信息化己經(jīng)成為現(xiàn)在企業(yè)的重要財(cái)富和資源。為適應(yīng)企業(yè)信息化的發(fā)展，滿足口益增長(zhǎng)的通訊需求和網(wǎng)絡(luò)的穩(wěn)定運(yùn)行，如今的大型企業(yè)網(wǎng)絡(luò)建設(shè)比傳統(tǒng)企業(yè)網(wǎng)絡(luò)建設(shè)提出更高的要求。隨著近年來(lái)企業(yè)信息化建設(shè)的普及和深入，企業(yè)經(jīng)營(yíng)的運(yùn)作越來(lái)越融入到計(jì)算機(jī)網(wǎng)絡(luò)，網(wǎng)絡(luò)建設(shè)的規(guī)范性和系統(tǒng)性要求日益突出。本文主要介紹了網(wǎng)絡(luò)規(guī)劃與優(yōu)化的基礎(chǔ)知識(shí)，網(wǎng)絡(luò)規(guī)劃和優(yōu)化的工具以及從網(wǎng)絡(luò)規(guī)劃方面進(jìn)行技術(shù)研究，并總結(jié)出相關(guān)經(jīng)驗(yàn)。通過(guò)查閱大量的文獻(xiàn)資料借鑒各方面的網(wǎng)絡(luò)規(guī)劃經(jīng)驗(yàn)，提高了對(duì)網(wǎng)絡(luò)規(guī)劃的認(rèn)識(shí)。本文從企業(yè)網(wǎng)絡(luò)需求開(kāi)始分析，根據(jù)現(xiàn)階段cisco公司主流網(wǎng)絡(luò)設(shè)備進(jìn)行選材,規(guī)劃最適用于目標(biāo)網(wǎng)絡(luò)的拓?fù)浣Y(jié)構(gòu),建設(shè)合理的網(wǎng)絡(luò)設(shè)計(jì)方案。并測(cè)試其結(jié)果最終驗(yàn)證網(wǎng)絡(luò)的規(guī)劃與設(shè)計(jì)符合中小型企業(yè)的需求。本設(shè)計(jì)使用ciscoPacketTracer軟件進(jìn)行模擬真實(shí)的設(shè)備和運(yùn)行環(huán)境，來(lái)測(cè)試方案是否正確和可行性。關(guān)鍵詞：網(wǎng)絡(luò)規(guī)劃；交換機(jī)；企業(yè)網(wǎng)絡(luò)

目錄摘要 I第1章緒論 1第2章用戶需求分析 22.1中小型企業(yè)需求分析 22.2.1寬帶性能需求 22.2.2穩(wěn)定可靠需求 22.2.3服務(wù)質(zhì)量需求 32.2.4網(wǎng)絡(luò)安全需求 32.2.5應(yīng)用服務(wù)需求 32.2本網(wǎng)絡(luò)系統(tǒng)需求分析 4第3章網(wǎng)絡(luò)設(shè)計(jì) 53.1設(shè)計(jì)網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu) 53.2VLAN及IP地址規(guī)劃 53.3設(shè)備命名 63.3.1設(shè)備命名規(guī)則 63.3.1全網(wǎng)設(shè)備命名 73.4模擬工具和環(huán)境介紹——PacketTracer 83.4.1PacketTracer工具介紹 83.4.2本設(shè)計(jì)的模擬圖 103.5設(shè)備配置 103.5.1基礎(chǔ)配置 103.5.2使用VTP 113.5.3創(chuàng)建VLAN 133.5.4交換鏈路封裝 143.5.5NAT 153.5.6DHCP/DNS 173.5.7ACL 203.5.8PVST 223.5.9路由協(xié)議 233.5.10網(wǎng)管控制 253.5.11其他配置 26第4章網(wǎng)絡(luò)效果驗(yàn)證 274.1關(guān)鍵三層設(shè)備路由表 274.1.1行政樓外聯(lián)路由器路由表 274.1.2行政樓核心層交換機(jī)路由表 284.1.3外省外聯(lián)路由器路由表 304.2連通性測(cè)試 314.2.1外地用戶訪問(wèn)總部服務(wù)器 314.2.2本部用戶訪問(wèn)服務(wù)器 314.2.3外地路由器訪問(wèn)服務(wù)器 324.3ACL驗(yàn)證 324.4DHCP/DNS服務(wù) 35結(jié)語(yǔ) 36參考文獻(xiàn) 37PAGE18第1章緒論隨著企業(yè)各種業(yè)務(wù)需要在計(jì)算機(jī)網(wǎng)絡(luò)上進(jìn)行操作，如何保障企業(yè)網(wǎng)絡(luò)無(wú)中斷運(yùn)行已經(jīng)成為保證企業(yè)正常的生產(chǎn)運(yùn)營(yíng)的關(guān)鍵?，F(xiàn)代大型企業(yè)網(wǎng)絡(luò)在可靠性設(shè)計(jì)方面主要應(yīng)從三方面考慮:首先是設(shè)備級(jí)可靠性設(shè)計(jì)，這里不僅要考察網(wǎng)絡(luò)設(shè)備是否實(shí)現(xiàn)了關(guān)鍵部件的冗余備份，還要從網(wǎng)絡(luò)設(shè)備整體設(shè)計(jì)架構(gòu)、處理引擎種類(lèi)等多方面去考察;其次是業(yè)務(wù)的可靠性設(shè)計(jì)，這里要注意網(wǎng)絡(luò)設(shè)備在故障倒換過(guò)程中是否對(duì)業(yè)務(wù)的正常運(yùn)行有影響;再次是鏈路的可靠性設(shè)計(jì)，以太網(wǎng)的鏈路安全來(lái)自于它的多路徑選擇，所以在企業(yè)網(wǎng)絡(luò)建設(shè)時(shí)要考慮網(wǎng)絡(luò)設(shè)備是否能夠提供有效的鏈路自愈手段和快速重路由協(xié)議的支持。第2章用戶需求分析2.1中小型企業(yè)需求分析為適應(yīng)企業(yè)信息化的發(fā)展，滿足日益增長(zhǎng)的通信需求和網(wǎng)絡(luò)的穩(wěn)定運(yùn)行，今天的企業(yè)網(wǎng)絡(luò)建設(shè)比傳統(tǒng)企業(yè)網(wǎng)絡(luò)建設(shè)有更高的要求，本文將通過(guò)對(duì)如下幾個(gè)方面的需求分析來(lái)規(guī)劃出一套最適用于目標(biāo)網(wǎng)絡(luò)的拓?fù)浣Y(jié)構(gòu)。2.2.1寬帶性能需求現(xiàn)代大型企業(yè)網(wǎng)絡(luò)應(yīng)具有更高的帶寬，更強(qiáng)大的性能，以滿足用戶日益增長(zhǎng)的通信需求。隨著計(jì)算機(jī)技術(shù)的高速發(fā)展，基于網(wǎng)絡(luò)的各種應(yīng)用日益增多，今天的企業(yè)網(wǎng)絡(luò)已經(jīng)發(fā)展成為一個(gè)多業(yè)務(wù)承載平臺(tái)。不僅要繼續(xù)承載企業(yè)的辦公自動(dòng)化，Web瀏覽等簡(jiǎn)單的數(shù)據(jù)業(yè)務(wù)，還要承載涉及企業(yè)生產(chǎn)運(yùn)營(yíng)的各種業(yè)務(wù)應(yīng)用系統(tǒng)數(shù)據(jù)，以及帶寬和時(shí)延都要求很高的IP電話、視頻會(huì)議等多媒體業(yè)務(wù)。因此，數(shù)據(jù)流量將大大增加，尤其是對(duì)核心網(wǎng)絡(luò)的數(shù)據(jù)交換能力提出了前所未有的要求。另外，隨著千兆位端口成本的持續(xù)下降，千兆位到桌面的應(yīng)用會(huì)在不久的將來(lái)成為企業(yè)網(wǎng)的主流。從2004年全球交換機(jī)市場(chǎng)分析可以看到，增長(zhǎng)最迅速的就是10Gbps級(jí)別機(jī)箱式交換機(jī)，可見(jiàn)，萬(wàn)兆位的大規(guī)模應(yīng)用已經(jīng)真正開(kāi)始。所以，今天的企業(yè)網(wǎng)絡(luò)已經(jīng)不能再用百兆位到桌面千兆位骨干來(lái)作為建網(wǎng)的標(biāo)準(zhǔn)，核心層及骨干層必須具有萬(wàn)兆位級(jí)帶寬和處理性能，才能構(gòu)筑一個(gè)暢通無(wú)阻的"高品質(zhì)"大型企業(yè)網(wǎng)，從而適應(yīng)網(wǎng)絡(luò)規(guī)模擴(kuò)大，業(yè)務(wù)量日益增長(zhǎng)的需要。2.2.2穩(wěn)定可靠需求現(xiàn)代大型企業(yè)的網(wǎng)絡(luò)應(yīng)具有更全面的可靠性設(shè)計(jì)，以實(shí)現(xiàn)網(wǎng)絡(luò)通信的實(shí)時(shí)暢通，保障企業(yè)生產(chǎn)運(yùn)營(yíng)的正常進(jìn)行。隨著企業(yè)各種業(yè)務(wù)應(yīng)用逐漸轉(zhuǎn)移到計(jì)算機(jī)網(wǎng)絡(luò)上來(lái)，網(wǎng)絡(luò)通信的無(wú)中斷運(yùn)行已經(jīng)成為保證企業(yè)正常生產(chǎn)運(yùn)營(yíng)的關(guān)鍵?，F(xiàn)代大型企業(yè)網(wǎng)絡(luò)在可靠性設(shè)計(jì)方面主要應(yīng)從以下3個(gè)方面考慮。設(shè)備的可靠性設(shè)計(jì)：不僅要考察網(wǎng)絡(luò)設(shè)備是否實(shí)現(xiàn)了關(guān)鍵部件的冗余備份，還要從網(wǎng)絡(luò)設(shè)備整體設(shè)計(jì)架構(gòu)、處理引擎種類(lèi)等多方面去考察。業(yè)務(wù)的可靠性設(shè)計(jì)：網(wǎng)絡(luò)設(shè)備在故障倒換過(guò)程中，是否對(duì)業(yè)務(wù)的正常運(yùn)行有影響。鏈路的可靠性設(shè)計(jì)：以太網(wǎng)的鏈路安全來(lái)自于多路徑選擇，所以在企業(yè)網(wǎng)絡(luò)建設(shè)時(shí)，要考慮網(wǎng)絡(luò)設(shè)備是否能夠提供有效的鏈路自愈手段，以及快速重路由協(xié)議的支持。2.2.3服務(wù)質(zhì)量需求現(xiàn)代大型企業(yè)網(wǎng)絡(luò)需要提供完善的端到端QoS保障，以滿足企業(yè)網(wǎng)多業(yè)務(wù)承載的需求。大型企業(yè)網(wǎng)絡(luò)承載的業(yè)務(wù)不斷增多，單純的提高帶寬并不能夠有效地保障數(shù)據(jù)交換的暢通無(wú)阻，所以今天的大型企業(yè)網(wǎng)絡(luò)建設(shè)必須要考慮到網(wǎng)絡(luò)應(yīng)能夠智能識(shí)別應(yīng)用事件的緊急和重要程度，如視頻、音頻、數(shù)據(jù)流（MIS、ERP、OA、備份數(shù)據(jù)）。同時(shí)能夠調(diào)度網(wǎng)絡(luò)中的資源，保證重要和緊急業(yè)務(wù)的帶寬、時(shí)延、優(yōu)先級(jí)和無(wú)阻塞的傳送，實(shí)現(xiàn)對(duì)業(yè)務(wù)的合理調(diào)度才是一個(gè)大型企業(yè)網(wǎng)絡(luò)提供"高品質(zhì)"服務(wù)的保障。2.2.4網(wǎng)絡(luò)安全需求現(xiàn)代大型企業(yè)網(wǎng)絡(luò)應(yīng)提供更完善的網(wǎng)絡(luò)安全解決方案，以阻擊病毒和黑客的攻擊，減少企業(yè)的經(jīng)濟(jì)損失。傳統(tǒng)企業(yè)網(wǎng)絡(luò)的安全措施主要是通過(guò)部署防火墻、IDS、殺毒軟件，以及配合交換機(jī)或路由器的ACL來(lái)實(shí)現(xiàn)對(duì)病毒和黑客攻擊的防御，但實(shí)踐證明這些被動(dòng)的防御措施并不能有效地解決企業(yè)網(wǎng)絡(luò)的安全問(wèn)題。在企業(yè)網(wǎng)絡(luò)已經(jīng)成為公司生產(chǎn)運(yùn)營(yíng)的重要組成部分的今天，現(xiàn)代企業(yè)網(wǎng)絡(luò)必須要有一整套從用戶接入控制，病毒報(bào)文識(shí)別到主動(dòng)抑制的一系列安全控制手段，這樣才能有效地保證企業(yè)網(wǎng)絡(luò)的穩(wěn)定運(yùn)行。2.2.5應(yīng)用服務(wù)需求現(xiàn)代大型企業(yè)網(wǎng)絡(luò)應(yīng)具備更智能的網(wǎng)絡(luò)管理解決方案，以適應(yīng)網(wǎng)絡(luò)規(guī)模日益擴(kuò)大，維護(hù)工作更加復(fù)雜的需要。當(dāng)前的網(wǎng)絡(luò)已經(jīng)發(fā)展成為"以應(yīng)用為中心"的信息基礎(chǔ)平臺(tái)，網(wǎng)絡(luò)管理能力的要求已經(jīng)上升到了業(yè)務(wù)層次，傳統(tǒng)的網(wǎng)絡(luò)設(shè)備的智能已經(jīng)不能有效支持網(wǎng)絡(luò)管理需求的發(fā)展。比如，網(wǎng)絡(luò)調(diào)試期間最消耗人力與物力的線纜故障定位工作，網(wǎng)絡(luò)運(yùn)行期間對(duì)不同用戶靈活的服務(wù)策略部署、訪問(wèn)權(quán)限控制、以及網(wǎng)絡(luò)日志審計(jì)和病毒控制能力等方面的管理工作，由于受網(wǎng)絡(luò)設(shè)備功能本身的限制，都還屬于費(fèi)時(shí)、費(fèi)力的任務(wù)。所以現(xiàn)代的大型企業(yè)網(wǎng)絡(luò)迫切需要網(wǎng)絡(luò)設(shè)備具備支撐"以應(yīng)用為中心"的智能網(wǎng)絡(luò)運(yùn)營(yíng)維護(hù)的能力，并能夠有一套智能化的管理軟件，將網(wǎng)絡(luò)管理人員從繁重的工作中解脫出來(lái)。2.2本網(wǎng)絡(luò)系統(tǒng)需求分析網(wǎng)絡(luò)聯(lián)接的建筑物有五個(gè)：三個(gè)辦公樓、一個(gè)行政樓和一個(gè)在外省的銷(xiāo)售部。管理部、財(cái)務(wù)部和網(wǎng)絡(luò)部在行政樓中；市場(chǎng)部在辦公樓A；銷(xiāo)售部和人力資源部在辦公樓B；研發(fā)部在辦公樓C。我們把網(wǎng)絡(luò)中心設(shè)在行政樓，用光纖連接辦公樓A、B、C，構(gòu)成公司網(wǎng)絡(luò)光纖主干網(wǎng)絡(luò)。企業(yè)服務(wù)器在行政樓。辦公樓4個(gè)，行政樓1個(gè)，（1）劃分VLAN（2）VTP動(dòng)態(tài)學(xué)習(xí)VLAN（3）PVST(選根，二層冗余)（4）SVI（VLAN間路由）（5）HSRP（三層冗余）（6）DHCP（7）根防護(hù)（8）靜態(tài)路由（9）SITE-TO-SITEVPN（連接分公司，固定IP）（10）DNS（11）ACL（12）網(wǎng)管控制第3章網(wǎng)絡(luò)設(shè)計(jì)3.1設(shè)計(jì)網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)主干網(wǎng)絡(luò)設(shè)計(jì)如下圖：表3.1主干網(wǎng)絡(luò)設(shè)計(jì)圖采用上設(shè)計(jì)圖優(yōu)點(diǎn)如下：（1）結(jié)構(gòu)整齊，層次清晰，便于管理；（2）采用動(dòng)態(tài)路由協(xié)議，維護(hù)簡(jiǎn)單，擴(kuò)展性好。3.2VLAN及IP地址規(guī)劃表3.1VLAN及IP地址規(guī)劃表VLAN號(hào)VLAN名稱IP網(wǎng)段默認(rèn)網(wǎng)關(guān)說(shuō)明VLAN11/28管理VLANVLAN10GLB/24管理部VLANVLAN20CWB/24財(cái)務(wù)部VLANVLAN30WLB/24網(wǎng)絡(luò)部VLANVLAN40SCB/24市場(chǎng)部VLANVLAN50XSB/24銷(xiāo)售部VLANVLAN60RLZY/24人力資源部VLANVLAN70YFB/24研發(fā)部VLAN3.3設(shè)備命名3.3.1設(shè)備命名規(guī)則為便于進(jìn)行網(wǎng)絡(luò)故障診斷和遠(yuǎn)程監(jiān)測(cè)，各個(gè)辦公樓將統(tǒng)一全轄網(wǎng)絡(luò)設(shè)備的命名。網(wǎng)絡(luò)系統(tǒng)中設(shè)備的命名使用五個(gè)字段組成，分別表示該設(shè)備所在區(qū)域，功能，層次，類(lèi)型等，便于設(shè)備維護(hù)管理。設(shè)備名稱的字母全部采用大寫(xiě)表示。主要網(wǎng)絡(luò)設(shè)備的ID命名規(guī)則如下：A_B_C_D_E：A：辦公樓名稱（如A、B等）B：區(qū)域名稱（如核心區(qū)、服務(wù)器區(qū)、辦公區(qū)、管理區(qū)、等，也可表示名稱）C：區(qū)域?qū)哟危ㄈ鐓R聚層或接入層）D：設(shè)備類(lèi)型（如核心交換機(jī)、路由器、防火墻、入侵檢測(cè)、等）E：設(shè)備序列號(hào)（如第一臺(tái)、第二臺(tái)、等）根據(jù)上述描述，每個(gè)字段做如下進(jìn)一步的明確：A：樓名稱表3.2企業(yè)樓名稱表分行名稱標(biāo)識(shí)行政樓XZ辦公樓AA……B：區(qū)域名稱表3.3區(qū)域名稱表序號(hào)名稱描述1CORE核心區(qū)（CoreZone）2ADMIN管理區(qū)（AdminZone）3APPSVR業(yè)務(wù)服務(wù)器區(qū)（App_ServerZone）4APPUSR業(yè)務(wù)用戶接入?yún)^(qū)（APP_UserZone5OAUSR辦公用戶接入?yún)^(qū)（OA_UserZone）6OASVR辦公服務(wù)器區(qū)(OA_ServerZone)7DMZDMZ區(qū)8TA終端接入?yún)^(qū)(TerminalAccessZone)C：區(qū)域?qū)哟伪?.4區(qū)域?qū)哟伪硇蛱?hào)名稱區(qū)域1DL匯聚層（DistributionLayer）2AL接入?yún)^(qū)（AccessLayer）D：設(shè)備類(lèi)型表3.5設(shè)備類(lèi)型表序號(hào)名稱描述1SW交換機(jī)2RT路由器3FW防火墻4IDS入侵檢測(cè)系統(tǒng)E：設(shè)備序列號(hào)表3.6設(shè)備序列號(hào)表序號(hào)名稱描述11同區(qū)同層第１臺(tái)設(shè)備22同區(qū)同層第2臺(tái)設(shè)備3……例如：XZ_CORE_SW_1：表示行政樓核心區(qū)(CORE)核心交換機(jī)（SW）第一臺(tái)（1）；XZ_ADMIN_DL_SW_1：表示行政樓管理區(qū)（ADMIN）匯聚層（DL）交換機(jī)（SW）第一臺(tái)；3.3.1全網(wǎng)設(shè)備命名下面是全網(wǎng)設(shè)備命名：表3.7全網(wǎng)設(shè)備命名表序號(hào)名稱描述1XZ_CORE_SW_1行政樓核心交換機(jī)—12XZ_CORE_SW_2行政樓核心交換機(jī)—23XZ_CORE_FW_1行政樓外聯(lián)防火墻—14XZ_CORE_FW_2行政樓外聯(lián)防火墻—25XZ_DMZ_DL_SW行政樓DMZ區(qū)匯聚交換機(jī)6XZ_EXTCONN_RT行政樓外聯(lián)路由器7A_DL_SW_1A樓匯聚交換機(jī)—18A_DL_SW_2A樓匯聚交換機(jī)—29*_AL_SW_1*部接入交換機(jī)—110B_DL_SW_1B樓匯聚交換機(jī)—111B_DL_SW_2B樓匯聚交換機(jī)—212*_AL_SW_1*部接入交換機(jī)—113C_DL_SWC樓匯聚交換機(jī)14C_DL-SW_2C樓匯聚交換機(jī)—215C_AL_SW_1C樓接入交換機(jī)—116WS_RT外省路由器3.4模擬工具和環(huán)境介紹——PacketTracer3.4.1PacketTracer工具介紹PacketTracer是由Cisco公司發(fā)布的一個(gè)輔助學(xué)習(xí)工具，為學(xué)習(xí)思科網(wǎng)絡(luò)課程的初學(xué)者去設(shè)計(jì)、配置、排除網(wǎng)絡(luò)故障提供了網(wǎng)絡(luò)模擬環(huán)境。用戶可以在軟件的圖形用戶界面上直接使用拖曳方法建立網(wǎng)絡(luò)拓?fù)?，并可提供?shù)據(jù)包在網(wǎng)絡(luò)中行進(jìn)的詳細(xì)處理過(guò)程，觀察網(wǎng)絡(luò)實(shí)時(shí)運(yùn)行情況?？梢詫W(xué)習(xí)IOS的配置、鍛煉故障排查能力。在界面的左下角一塊區(qū)域，這里有許多種類(lèi)的硬件設(shè)備，從左至右，從上到下依次為路由器、交換機(jī)、集線器、無(wú)線設(shè)備、設(shè)備之間的連線（Connections）、終端設(shè)備、仿真廣域網(wǎng)、CustomMadeDevices（自定義設(shè)備）。在左下邊你會(huì)看到各種類(lèi)型的線，依次為AutomaticallyChooseConnectionType（自動(dòng)選線，萬(wàn)能的，一般不建議使用，除非你真的不知道設(shè)備之間該用什么線）、控制線、直通線、交叉線、光纖、電話線、同軸電纜、DCE、DTE。其中DCE和DTE是用于路由器之間的連線，實(shí)際當(dāng)中，你需要把DCE和一臺(tái)路由器相連，DTE和另一臺(tái)設(shè)備相連。而在這里，你只需選一根就是了，若你選了DCE這一根線，則和這根線先連的路由器為DCE，配置該路由器時(shí)需配置時(shí)鐘。交叉線只在路由器和電腦直接相連，或交換機(jī)和交換機(jī)之間相連時(shí)才會(huì)用到。對(duì)設(shè)備進(jìn)行編輯在右邊有一個(gè)區(qū)域，從上到下依次為選定/取消、移動(dòng)（總體移動(dòng)，移動(dòng)某一設(shè)備，直接拖動(dòng)它就可以了）、PlaceNote（先選中）、刪除、Inspect（選中后，在路由器、PC機(jī)上可看到各種表，如路由表等）、simplePPD、complex。軟件界面的最右下角有兩個(gè)切換模式，分別是Realtimemode(實(shí)時(shí)模式)和Simulationmode（模擬模式），實(shí)時(shí)模式顧名思意即時(shí)模式，也就是說(shuō)是真實(shí)模式。舉個(gè)例子，兩臺(tái)主機(jī)通過(guò)直通雙絞線連接并將他們?cè)O(shè)為同一個(gè)網(wǎng)段，那么A主機(jī)PingB主機(jī)時(shí)，瞬間可以完成，這就是實(shí)時(shí)模式。而模擬模式，切換到模擬模式后主機(jī)A的CMD里將不會(huì)立即顯示ICMP信息，而是軟件正在模擬這個(gè)瞬間的過(guò)程，以人類(lèi)能夠理解的方式展現(xiàn)出來(lái)。圖3.2CiscoPacketTracer模擬軟件3.4.2本設(shè)計(jì)的模擬圖圖3.3本設(shè)計(jì)的模擬圖3.5設(shè)備配置3.5.1基礎(chǔ)配置以接入層交換機(jī)為例：圖3.4接入層交換機(jī)圖3.5配置截圖Switch>en進(jìn)入特權(quán)模式Switch#conft進(jìn)入全局模式Enterconfigurationcommands,oneperline.EndwithCNTL/Z.Switch(config)#hostnameCW_AL_SW_1修改路由器或者交換機(jī)的名字，方便管理CW_AL_SW_1(config)#noipdomainlookup關(guān)閉域名查詢啟用與禁止DNS服務(wù)器，在交換機(jī)默認(rèn)配置的情況下，當(dāng)我們輸入一條錯(cuò)誤的交換機(jī)命令時(shí)，交換機(jī)會(huì)嘗試將其廣播給網(wǎng)絡(luò)上的DNS服務(wù)器并將其解析成對(duì)應(yīng)的IP地址。利用命令noipdomainlookup，可以禁用DNS服務(wù)器，可以減少輸入錯(cuò)誤命令的等待時(shí)間CW_AL_SW_1(config)#lineconsole0進(jìn)入CONCOLE0口線程下，通過(guò)CONSOLE線串口直接控制交換機(jī)或路由器接口設(shè)置登錄口令，如下圖：圖3.6交換機(jī)密碼設(shè)置3.5.2使用VTP從提高效率的角度出發(fā)，在企業(yè)網(wǎng)實(shí)現(xiàn)實(shí)例中使用了VTP技術(shù)。將匯聚層X(jué)Z_DL_SW_1設(shè)置成為VTP服務(wù)器，其他交換機(jī)設(shè)置成為VTP客戶機(jī)。這里接入層交換機(jī)SW1將通過(guò)VTP獲得在分布層交換機(jī)FB1中定義的所有VLAN的信息。下面是配置截圖：圖3.7行政樓匯聚層交換機(jī)VTP配置截圖XZ_DL_SW_1#vlandatabase特權(quán)模式下進(jìn)入VLAN設(shè)置模式XZ_DL_SW_1(vlan)#vtpdomaincisco定義VTP域名ChangingVTPdomainnamefromNULLtociscoXZ_DL_SW_1(vlan)#vtpserver將該交換機(jī)設(shè)置為VTP的服務(wù)端DevicemodealreadyVTPSERVER.XZ_DL_SW_1(vlan)#vtpv2-mode啟用的VTP版本號(hào)為2V2modeenabsled.XZ_DL_SW_1(vlan)#vtppassword123456設(shè)置VTP的密碼為123456，交換機(jī)的VTP必須密碼一致才能同步SettingdeviceVLANdatabasepasswordto123456.XZ_DL_SW_1(vlan)#vtppruning啟用VTP修剪，激活VTP剪裁功能，默認(rèn)情況下主干道傳輸所有VLAN的用戶數(shù)據(jù)。有時(shí)，交換網(wǎng)絡(luò)中某臺(tái)交換機(jī)的所有端口都屬于同一VLAN的成員，沒(méi)有必要接收其他VLAN的用戶數(shù)據(jù)。這時(shí)，可以激活主干道上的VTP剪裁功能。當(dāng)激活了VTP剪裁功能以后，交換機(jī)將自動(dòng)剪裁本交換機(jī)沒(méi)有定義的VLAN數(shù)據(jù)。在一個(gè)VTP域下，只需要在VTP服務(wù)器上激活VTP剪裁功能。同一VTP域下的所有其他交換機(jī)也將自動(dòng)激活VTP剪裁功能。退出VLAN配置模式進(jìn)入特權(quán)模式APPLYcompleted.Exiting其他設(shè)備配置（配置成用戶端）下面以CW_AL_SW_1為例：圖3.8交換機(jī)VTP客戶模式配置CW_AL_SW_1#vlandaCW_AL_SW_1(vlan)#vtpdomainciscoChangingVTPdomainnamefromNULLtociscoCW_AL_SW_1(vlan)#vtpclient將FB2設(shè)置為客戶端，客戶端可以學(xué)習(xí)到服務(wù)端的所有VLAN信息?？蛻裟Ｊ绞菦](méi)有創(chuàng)建、修改、刪除VLAN得權(quán)利的，它只能接收和轉(zhuǎn)發(fā)信息。而服務(wù)器模式擁有以上的所用功能。SettingdevicetoVTPCLIENTmode.CW_AL_SW_1(vlan)#vtpv2V2modeenabled.CW_AL_SW_1(vlan)#vtppassword123456SettingdeviceVLANdatabasepasswordto123456.CW_AL_SW_1(vlan)#exitAPPLYcompleted.Exiting3.5.3創(chuàng)建VLAN在XZ_DL_SW_1配置VLAN數(shù)據(jù)庫(kù)。配置截圖如下：圖3.9VLAN配置3.5.4交換鏈路封裝圖3.10交換鏈路封裝XZ_DL_SW_2(config)#intfa0/4進(jìn)入要封裝的接口XZ_DL_SW_2(config-if)#switchporttrunkencapsulationdot1q進(jìn)行封裝XZ_DL_SW_2(config-if)#switchportmodetrunk指定封裝模式XZ_DL_SW_2(config-if)#noshutdown開(kāi)啟接口XZ_DL_SW_2(config)#interfacefastEthernet0/0XZ_DL_SW_2(config-if)#switchporttrunkencapsulationdot1qXZ_DL_SW_2(config-if)#switchportmodetrunkXZ_DL_SW_2(config-if)#noshutdown3.5.5NAT圖3.11靜態(tài)nat配置圖3.12動(dòng)態(tài)nat配置XZ_WL_RT>enPassword:XZ_WL_RT#configConfiguringfromterminal,memory,ornetwork[terminal]?tEnterconfigurationcommands,oneperline.EndwithCNTL/Z. XZ_WL_RT(config)#ipnatpoolnat53netmask配置動(dòng)態(tài)NAT轉(zhuǎn)換的地址池XZ_WL_RT(config)#ipnatpoolnat54netmaskXZ_WL_RT(config)#ipnatinsidesourcelist1poolnat配置動(dòng)態(tài)NAT轉(zhuǎn)換的內(nèi)部地址范圍XZ_WL_RT(config)#access-list1permit55XZ_WL_RT(config)#intse2/0XZ_WL_RT(config-if)#ipnatoutsideXZ_WL_RT(config-if)#exXZ_WL_RT(config)#intfa0/0XZ_WL_RT(config-if)#ipnatinsideXZ_WL_RT(config-if)#exXZ_WL_RT(config)#圖3.13查看NAT轉(zhuǎn)換的統(tǒng)計(jì)信息3.5.6DHCP/DNS圖3.14配置DHCPXZ_DL_SW(config)#ipdhcpexcluded-addressXZ_DL_SW(config)#ipdhcpexcluded-addressXZ_DL_SW(config)#ipdhcpexcluded-addressXZ_DL_SW(config)#ipdhcpexcluded-addressXZ_DL_SW(config)#ipdhcpexcluded-addressXZ_DL_SW(config)#ipdhcpexcluded-address先配置除去PC機(jī)不能使用的IP地址圖3.15配置DHCP,DNS,默認(rèn)網(wǎng)關(guān)現(xiàn)在需要為路由器接口和所有的PC機(jī)接口配置IP地址。由于幾千個(gè)結(jié)點(diǎn)的網(wǎng)絡(luò)比較大，為每一臺(tái)PC手工配置地址的工作量相當(dāng)大，所以我們要使用DHCP技術(shù)。XZ_DL_SW(config)#ipdhcppoolVLAN10創(chuàng)建地址池，VLAN10地址池network宣告網(wǎng)段default-router默認(rèn)網(wǎng)關(guān)DNS-SERVERDNS地址ipdhcppoolVLAN20networkdefault-routerDNS-SERVERipdhcppoolVLAN30networkdefault-routerDNS-SERVERipdhcppoolVLAN40networkdefault-routerDNS-SERVERipdhcppoolVLAN50networkdefault-routerDNS-SERVERipdhcppoolVLAN60networkdefault-routerDNS-SERVERipdhcppoolVLAN70networkdefault-routerDNS-SERVER圖3.16DHCP服務(wù)請(qǐng)求成功3.5.7ACL圖3.16配置ACLWS_WL_RT(config)#access-list1permit55WS_WL_RT(config)#linevty04WS_WL_RT(config-line)#access-class1in在vty下應(yīng)用aclWS_WL_RT(config-line)#passwordciscoWS_WL_RT(config-line)#loginWS_WL_RT(config-line)#圖3.17配置ACLXZ_DL_SW_1(config)#access-list6deny55XZ_DL_SW_1(config)#access-list6deny55XZ_DL_SW_1(config)#access-list6deny55XZ_DL_SW_1(config)#access-list6deny55XZ_DL_SW_1(config)#access-list6deny55XZ_DL_SW_1(config)#access-list6deny55XZ_DL_SW_1(config)#access-list6permitanyXZ_DL_SW_1(config)#intvlan20XZ_DL_SW_1(config-if)#ipacc6outXZ_DL_SW_1(config-if)#XZ_DL_SW_1(config-if)#XZ_DL_SW_1(config)#圖3.18配置擴(kuò)展ACL3.5.8PVST圖3.19配置PVST由于網(wǎng)絡(luò)拓?fù)浔容^大，兩兩相連加冗余會(huì)出現(xiàn)環(huán)路，所以需要配置二層防環(huán)的PVST首先要選舉根橋，我們這里手工指定XZ_AL_SW為VLAN10的主根，VLAN203060的備份根。Switch>enSwitch#configConfiguringfromterminal,memory,ornetwork[terminal]?tEnterconfigurationcommands,oneperline.EndwithCNTL/Z.Switch(config)#spanning-treemodepvst開(kāi)啟PVST生成樹(shù)模式Switch(config)#spanning-treevlan20rootprimary設(shè)置為VLAN20的主根Switch(config)#spanning-treevlan10,30rootsecondary設(shè)置為VLAN1030的備份根Switch(config)#3.5.9路由協(xié)議外聯(lián)路由器配置EIGRP，總部外聯(lián)路由配置如下圖：圖3.20總部外聯(lián)路由協(xié)議配置XZ_WL_RT(config)#routereigrp100啟用EIGRP協(xié)議XZ_WL_RT(config-router)#network5把/28網(wǎng)段宣告進(jìn)協(xié)議中XZ_WL_RT(config-router)#network55XZ_WL_RT(config-router)#network55XZ_WL_RT(config-router)#network55圖3.21外省外聯(lián)路由協(xié)議配置WS_WL_RT(config)#routereigrp100啟用EIGRP協(xié)議WS_WL_RT(config-router)#network把/30網(wǎng)段宣告進(jìn)協(xié)議中WS_WL_RT(config-router)#networkEIGRP還有自動(dòng)匯總的功能，當(dāng)不需要時(shí)：WS_WL_RT(config-router)#noauto-summary關(guān)閉自動(dòng)匯總功能3.5.10網(wǎng)管控制圖3.22配置網(wǎng)絡(luò)管理為了方便管理員對(duì)企業(yè)網(wǎng)安全方便的管理控制，我們需要對(duì)坐配置使得管理員能都使用PC直接連接或遠(yuǎn)程登陸到到交換機(jī)進(jìn)行控制。XZ_DL_SW(config)#linevty04進(jìn)入VTY線程下XZ_DL_SW(config-line)#passwordcisco配置遠(yuǎn)程訪問(wèn)交換機(jī)的密碼XZ_DL_SW(config-line)#login登陸驗(yàn)證XZ_DL_SW(Config-line)#exec-timeout11配置登錄交換機(jī)虛擬終端線的超時(shí)時(shí)間為1分11秒鐘HX2(config-line)#linecon0HX2(config-line)#passwordcisco2HX2(config-line)#loginHX2(config-line)#exec-timeout113.5.11其他配置圖3.