交換機(jī)與路由器配置項(xiàng)目式教程（第4版）課件 任務(wù)14 組建多分支機(jī)構(gòu)企業(yè)網(wǎng)絡(luò)

任務(wù)14：組建多分支機(jī)構(gòu)企業(yè)網(wǎng)絡(luò)

——企業(yè)網(wǎng)絡(luò)架構(gòu)描述（1）

某研究所有東區(qū)和西區(qū)兩個(gè)所區(qū)，總部在東區(qū)，兩區(qū)相距2公里，各有計(jì)算機(jī)500臺(tái)左右，東西所區(qū)各設(shè)一個(gè)中心機(jī)房，各種應(yīng)用服務(wù)器主要放置在東區(qū)的中心機(jī)房中，這些服務(wù)器可供東西所區(qū)的各個(gè)部門以及試驗(yàn)工廠和子公司訪問。有試驗(yàn)生產(chǎn)廠一個(gè)，與總部相距30公里，計(jì)算機(jī)100臺(tái)左右；在外地有直接投資子公司2個(gè)，各有計(jì)算機(jī)50臺(tái)左右。

東西所區(qū)之間以及試驗(yàn)生產(chǎn)廠和總部之間采用電信裸纖專線連接；總部與辦事處之間通過幀中繼網(wǎng)絡(luò)互聯(lián)。

子公司、試驗(yàn)工廠和東西所區(qū)都通過總部接入因特網(wǎng)。申請(qǐng)的公網(wǎng)地址段為6/29，共有8個(gè)地址。1、企業(yè)網(wǎng)絡(luò)拓?fù)鋱D

東西區(qū)網(wǎng)絡(luò)采用核心層、分布層和接入層三層結(jié)構(gòu)，核心層交換機(jī)采用CiscoCatalyst4506插槽式交換機(jī)，采用了Catalyst4500SupervisorIIPlus作為交換機(jī)引擎，安裝了兩塊Catalyst4000GigabitEthernetModule,6-Ports(GBIC)）模塊，用來連接分布層交換機(jī)，還安裝了一塊32口10/100Mbps自適應(yīng)模塊，用來連接管理服務(wù)器等。分布層交換機(jī)全部采用CiscoCatalyst3550，24口10/100M自適應(yīng)三層交換機(jī)，通過千兆口G0/1上聯(lián)核心交換機(jī)。任務(wù)14：組建多分支機(jī)構(gòu)企業(yè)網(wǎng)絡(luò)

——企業(yè)網(wǎng)絡(luò)架構(gòu)描述（2）任務(wù)14：組建多分支機(jī)構(gòu)企業(yè)網(wǎng)絡(luò)

——企業(yè)網(wǎng)絡(luò)架構(gòu)描述（3）2、虛擬局域網(wǎng)及IP地址規(guī)劃

整個(gè)網(wǎng)絡(luò)根據(jù)科室劃分VLAN，具體的VLAN劃分和IP地址分配如下表所示。任務(wù)14：組建多分支機(jī)構(gòu)企業(yè)網(wǎng)絡(luò)

——企業(yè)網(wǎng)絡(luò)架構(gòu)描述（4）3、網(wǎng)絡(luò)設(shè)備接口地址規(guī)劃任務(wù)14：組建多分支機(jī)構(gòu)企業(yè)網(wǎng)絡(luò)

——企業(yè)網(wǎng)絡(luò)架構(gòu)描述（5）

總部和兩個(gè)子公司由于不在同一個(gè)城市，相距比較遠(yuǎn)，而子公司和總部之間有大量的訪問需求，所以采用幀中繼網(wǎng)絡(luò)互聯(lián)。總部在本市向電信申請(qǐng)2Mbps幀中繼線路，各子公司在各自所屬市向電信申請(qǐng)2Mbps幀中繼線路。

路由器連接各個(gè)子網(wǎng)的接口需要一個(gè)IP地址，三層交換機(jī)參與路由的接口也需要分配一個(gè)IP地址。當(dāng)然，三層交換機(jī)的二層交換端口不需要IP地址。（1）子公司1路由器接口地址分配

子公司1的路由器為Cisco2811，F(xiàn)0/0快速以太網(wǎng)口連接子公司1的局域網(wǎng)，S0/0串口連接幀中繼網(wǎng)，接口地址分配如下表所示。任務(wù)14：組建多分支機(jī)構(gòu)企業(yè)網(wǎng)絡(luò)

——企業(yè)網(wǎng)絡(luò)架構(gòu)描述（6）（2）子公司2路由器接口地址分配

子公司2的路由器為Cisco2811，F(xiàn)0/0快速以太網(wǎng)口連接子公司2的局域網(wǎng)，S0/0串口連接幀中繼網(wǎng)，接口地址分配如下表示。（3）總部路由器接口地址分配

總部的路由器為Cisco3640，除了需要連接兩個(gè)子公司外，還作為整個(gè)企業(yè)網(wǎng)絡(luò)與因特網(wǎng)的接入路由器。F0/0快速以太網(wǎng)接口連接防火墻的廣域網(wǎng)口，S0/0串口連接幀中繼網(wǎng)，S0/1串口連接2M的DDN專線接入因特網(wǎng)。接口地址分配如下表所示。任務(wù)14：組建多分支機(jī)構(gòu)企業(yè)網(wǎng)絡(luò)

——企業(yè)網(wǎng)絡(luò)架構(gòu)描述（7）（4）總部防火墻接口地址分配

防火墻一般有三個(gè)接口：WAN、LAN和DMZ接口，一個(gè)連接外網(wǎng)，一個(gè)連接本地局域網(wǎng)，還有一個(gè)中性區(qū)域，用于連接供內(nèi)外網(wǎng)訪問的服務(wù)器等。

防火墻除具有訪問控制的基本功能外，還具有地址轉(zhuǎn)換和路由功能。

企業(yè)在選擇防火墻時(shí)，一般會(huì)選擇專業(yè)防火墻。但為了描述方便，我們?cè)谶@里使用三層交換機(jī)Catalyst3750來代替防火墻，完成防火墻的功能。

三層交換機(jī)和路由器都可以通過設(shè)置訪問控制列表，來限制訪問，來實(shí)現(xiàn)防火墻的功能，但沒有專業(yè)防火墻方便。

防火墻的三個(gè)接口中，WAN接口連接路由器Cisco3640的F0/0接口，LAN接口連接?xùn)|區(qū)核心交換機(jī)的F4/1接口，DMZ接口連接一臺(tái)Catalyst2960交換機(jī)，用來連接企業(yè)的各種對(duì)外服務(wù)器，包括DNS服務(wù)器、Web服務(wù)器、郵件服務(wù)器、FTP文件服務(wù)器等4臺(tái)服務(wù)器。三個(gè)接口的地址分配如下表所示。任務(wù)14：組建多分支機(jī)構(gòu)企業(yè)網(wǎng)絡(luò)

——企業(yè)網(wǎng)絡(luò)架構(gòu)描述（8）（5）三層交換機(jī)接口地址分配

東區(qū)核心交換機(jī)使用三層路由端口F4/1和防火墻的LAN口連接，F(xiàn)4/1口的IP地址為/30。

給東西區(qū)以及試驗(yàn)工廠的每臺(tái)交換機(jī)分配一個(gè)/24網(wǎng)段的某個(gè)地址，用于對(duì)交換機(jī)進(jìn)行遠(yuǎn)程配置和管理。東區(qū)核心交換機(jī)Catalyst4506的管理地址為54，西區(qū)核心交換機(jī)Catalyst4506的管理地址為53。任務(wù)14：組建多分支機(jī)構(gòu)企業(yè)網(wǎng)絡(luò)

——總部網(wǎng)絡(luò)設(shè)備配置（1）

為了簡(jiǎn)化交換網(wǎng)絡(luò)設(shè)計(jì)、提高交換網(wǎng)絡(luò)的可擴(kuò)展性，一般企業(yè)網(wǎng)是按接入層、分布層、核心層三個(gè)層次來規(guī)劃和設(shè)計(jì)的。

接入層負(fù)責(zé)接入網(wǎng)絡(luò)用戶，是網(wǎng)絡(luò)的最底層，由于接入層的交換機(jī)一般連接部門計(jì)算機(jī)，主要完成部門內(nèi)部數(shù)據(jù)交換，所以只需要低端的二層交換機(jī)；

分布層也稱匯聚層，分布層交換機(jī)用來分發(fā)和匯聚幾個(gè)部門的數(shù)據(jù)流量，進(jìn)行幾個(gè)部門之間的數(shù)據(jù)交換，由于各部門一般屬于不同的VLAN，所以分布層交換機(jī)一般采用三層交換機(jī)；

核心層交換機(jī)主要用來高速交換不同分布層交換機(jī)來的流量，因此除了具有三層交換功能，還要具有高性能和高可靠性。

我們的配置思想是這樣的：各交換機(jī)之間通過Trunk鏈路連接，在一臺(tái)分布層交換機(jī)上創(chuàng)建VLAN，其他交換機(jī)通過VTP協(xié)議獲取VLAN信息。給所有交換機(jī)配置交換機(jī)名稱，虛擬終端登錄密碼、特權(quán)密碼等基本參數(shù)，給各個(gè)交換機(jī)分配一個(gè)管理地址和默認(rèn)網(wǎng)關(guān)，這樣方便進(jìn)行遠(yuǎn)程Telnet登錄配置和管理。所有的分布層交換機(jī)為三層交換機(jī)，打開路由功能，實(shí)現(xiàn)所匯聚的VLAN之間的通信，去往其他子網(wǎng)的數(shù)據(jù)交給核心交換機(jī)去處理，也就是設(shè)置一條默認(rèn)路由到核心交換機(jī)。在核心路由器上設(shè)置到各個(gè)匯聚層交換機(jī)的回頭路由。任務(wù)14：組建多分支機(jī)構(gòu)企業(yè)網(wǎng)絡(luò)

——總部網(wǎng)絡(luò)設(shè)備配置（2）1、接入層交換機(jī)配置

接入層為所有的終端用戶提供一個(gè)接入點(diǎn)，一般一個(gè)接入層交換機(jī)用于接入同一部門的計(jì)算機(jī)，當(dāng)然，也可以用來連接多個(gè)部門的計(jì)算機(jī)。

接入層交換機(jī)的數(shù)量眾多，但配置方法基本一樣。

我們以為計(jì)算機(jī)室的計(jì)算機(jī)提供接入服務(wù)的某一臺(tái)接入層交換機(jī)為例，講解接入層交換機(jī)的配置。這里的接入層交換機(jī)采用的是CiscoCatalyst296024口交換機(jī)，擁有24個(gè)10/100Mbps自適應(yīng)快速以太網(wǎng)端口，采用F0/24端口連接分布層交換機(jī)。每個(gè)接入層交換機(jī)都用F0/24端口上聯(lián)分布層交換機(jī)Catalyst3550。任務(wù)14：組建多分支機(jī)構(gòu)企業(yè)網(wǎng)絡(luò)

——總部網(wǎng)絡(luò)設(shè)備配置（3）任務(wù)14：組建多分支機(jī)構(gòu)企業(yè)網(wǎng)絡(luò)

——總部網(wǎng)絡(luò)設(shè)備配置（4）

服務(wù)器群和各個(gè)子公司的計(jì)算機(jī)數(shù)量比較少，不另外劃分VLAN，所有計(jì)算機(jī)默認(rèn)為各自交換機(jī)的VLAN1成員。為服務(wù)器群的接入交換機(jī)的VLAN1指定所屬網(wǎng)段/24中的一個(gè)IP地址，默認(rèn)網(wǎng)關(guān)為54；為子公司1的接入交換機(jī)的VLAN1指定所屬網(wǎng)段/24中的一個(gè)IP地址，默認(rèn)網(wǎng)關(guān)為54；為子公司2的接入交換機(jī)的VLAN1指定所屬網(wǎng)段/24中的一個(gè)IP地址，默認(rèn)網(wǎng)關(guān)為54。任務(wù)14：組建多分支機(jī)構(gòu)企業(yè)網(wǎng)絡(luò)

——總部網(wǎng)絡(luò)設(shè)備配置（5）2、分布層交換機(jī)配置

我們以分發(fā)和匯聚計(jì)算機(jī)室和情報(bào)室數(shù)據(jù)的分布層交換機(jī)Catalyst3550為例，講解分布層交換機(jī)的配置。任務(wù)14：組建多分支機(jī)構(gòu)企業(yè)網(wǎng)絡(luò)

——總部網(wǎng)絡(luò)設(shè)備配置（6）任務(wù)14：組建多分支機(jī)構(gòu)企業(yè)網(wǎng)絡(luò)

——總部網(wǎng)絡(luò)設(shè)備配置（7）

網(wǎng)絡(luò)中交換機(jī)數(shù)量比較多而且各個(gè)交換機(jī)上的VLAN配置類似時(shí)，需要分別在每臺(tái)交換機(jī)上創(chuàng)建很多重復(fù)的VLAN。工作量會(huì)很大，而且容易出錯(cuò)。我們常采用VLAN中繼協(xié)議（VTP）來解決這個(gè)問題。

VTP允許我們?cè)谝慌_(tái)交換機(jī)上創(chuàng)建所有的VLAN。然后，利用交換機(jī)之間的互相學(xué)習(xí)功能，將創(chuàng)建好的VLAN定義傳播到整個(gè)網(wǎng)絡(luò)中需要此VLAN定義的所有交換機(jī)上。同時(shí)，有關(guān)VLAN的刪除、參數(shù)更改操作均可傳播到其他交換機(jī)。從而大大減輕了網(wǎng)絡(luò)管理人員配置交換機(jī)的負(fù)擔(dān)。

將主樓的分布層交換機(jī)Distribute1設(shè)置成為VTP服務(wù)器，除子公司交換機(jī)外的其他交換機(jī)設(shè)置成為VTP客戶機(jī)。這樣，除子公司交換機(jī)外的其他交換機(jī)將通過VTP獲得在分布層交換機(jī)Distribute1中定義的所有VLAN的信息。當(dāng)然，并不是所有交換機(jī)都對(duì)所有VLAN信息感興趣，可以設(shè)置VLAN修剪功能，修剪掉交換機(jī)不需要的VLAN信息。任務(wù)14：組建多分支機(jī)構(gòu)企業(yè)網(wǎng)絡(luò)

——總部網(wǎng)絡(luò)設(shè)備配置（8）任務(wù)14：組建多分支機(jī)構(gòu)企業(yè)網(wǎng)絡(luò)

——總部網(wǎng)絡(luò)設(shè)備配置（9）任務(wù)14：組建多分支機(jī)構(gòu)企業(yè)網(wǎng)絡(luò)

——總部網(wǎng)絡(luò)設(shè)備配置（10）任務(wù)14：組建多分支機(jī)構(gòu)企業(yè)網(wǎng)絡(luò)

——總部網(wǎng)絡(luò)設(shè)備配置（11）3、核心交換機(jī)配置

以東區(qū)核心層交換機(jī)Catalyst4506為例，講解核心交換機(jī)的配置。任務(wù)14：組建多分支機(jī)構(gòu)企業(yè)網(wǎng)絡(luò)

——總部網(wǎng)絡(luò)設(shè)備配置（12）

東區(qū)核心層交換機(jī)通過G2/1和G2/2構(gòu)成兩千兆以太網(wǎng)通道與西區(qū)核心交換機(jī)的G2/1和G2/2端口連接，G2/3千兆端口連接試驗(yàn)工廠的Catalyst3550交換機(jī)，其他千兆端口下聯(lián)各個(gè)分布層交換機(jī)的G0/1千兆端口。核心交換機(jī)上配置了一塊32端口的10/100Mbps自適應(yīng)模塊，F(xiàn)4/1口連接防火墻的LAN口，其他用于連接管理用計(jì)算機(jī)等。任務(wù)14：組建多分支機(jī)構(gòu)企業(yè)網(wǎng)絡(luò)

——總部網(wǎng)絡(luò)設(shè)備配置（13）任務(wù)14：組建多分支機(jī)構(gòu)企業(yè)網(wǎng)絡(luò)

——總部網(wǎng)絡(luò)設(shè)備配置（14）任務(wù)14：組建多分支機(jī)構(gòu)企業(yè)網(wǎng)絡(luò)

——總部網(wǎng)絡(luò)設(shè)備配置（15）4、防火墻配置

我們這里使用Cisco三層交換機(jī)Catalyst3750替代專業(yè)防火墻，來講解防火墻的一般配置方法。三層交換機(jī)作為防火墻只能基本數(shù)據(jù)包過濾，在策略設(shè)置方面沒有專業(yè)防火墻那么多，策略調(diào)整也沒有專業(yè)防火墻方便。任務(wù)14：組建多分支機(jī)構(gòu)企業(yè)網(wǎng)絡(luò)

——總部網(wǎng)絡(luò)設(shè)備配置（16）任務(wù)14：組建多分支機(jī)構(gòu)企業(yè)網(wǎng)絡(luò)

——總部網(wǎng)絡(luò)設(shè)備配置（17）任務(wù)14：組建多分支機(jī)構(gòu)企業(yè)網(wǎng)絡(luò)

——總部網(wǎng)絡(luò)設(shè)備配置（18）任務(wù)14：組建多分支機(jī)構(gòu)企業(yè)網(wǎng)絡(luò)

——總部網(wǎng)絡(luò)設(shè)備配置（19）任務(wù)14：組建多分支機(jī)構(gòu)企業(yè)網(wǎng)絡(luò)

——總部網(wǎng)絡(luò)設(shè)備配置（20）任務(wù)14：組建多分支機(jī)構(gòu)企業(yè)網(wǎng)絡(luò)

——總部網(wǎng)絡(luò)設(shè)備配置（21）任務(wù)14：組建多分支機(jī)構(gòu)企業(yè)網(wǎng)絡(luò)

——總部網(wǎng)絡(luò)設(shè)備配置（22）任務(wù)14：組建多分支機(jī)構(gòu)企業(yè)網(wǎng)絡(luò)

——總部網(wǎng)絡(luò)設(shè)備配置（23）任務(wù)14：組建多分支機(jī)構(gòu)企業(yè)網(wǎng)絡(luò)

——總部網(wǎng)絡(luò)設(shè)備配置（24）5、東區(qū)路由器配置

東區(qū)路由器使用快速以太網(wǎng)口F0/0連接防火墻，IP地址為/30，連接的防火墻WAN口IP地址為/30；使用串口S0/1連接因特網(wǎng)，IP地址為7 /30，因特網(wǎng)服務(wù)商端路由器地址為8/30；使用串口S0/0連接幀中繼網(wǎng)，IP地址為54/24；子公司1使用的路由器串口