中小型企業(yè)網(wǎng)絡(luò)規(guī)劃及實(shí)施方案

1、信息工程學(xué)院2011年12 月 11 日目 錄第一章 項(xiàng)目概述11.1項(xiàng)目背景11.2項(xiàng)目目標(biāo)11.2.1本期目標(biāo)11.2.2 本期項(xiàng)目環(huán)境要求11.2.3 本期項(xiàng)目所需設(shè)備2第二章 技術(shù)介紹22.1 SVI22.2端口安全22.3端口聚合22.4 快速生成樹協(xié)議（RSTP）32.5 VRRP32.6 ACL32.7 RIP32.8 NAT32.9 CHAP42.10 VPN4第三章 解決方案43.1 規(guī)劃場景43.2 網(wǎng)絡(luò)實(shí)施拓?fù)?3.3 網(wǎng)絡(luò)實(shí)施分析53.4 項(xiàng)目實(shí)施流程63.6設(shè)備命名規(guī)則63.7接口描述規(guī)則73.8 IP地址規(guī)劃73.9 VLAN規(guī)劃9第四章 設(shè)備配置94.1 設(shè)備配置

2、命令文檔94.2 交換機(jī)配置204.2.1劃分VLAN204.2.2端口安全配置及測試274.2.3 VRRP配置314.2.4 端口聚合和快速生成樹配置及測試334.2.5 擴(kuò)展訪問控制列表的配置384.3 路由器配置434.3.1路由協(xié)議的配置及chap的配置434.3.2配置NAT轉(zhuǎn)換494.4 VPN配置及測試524.5整體測試58第五章 服務(wù)器配置及測試665.1 FTP服務(wù)器的配置與測試665.2 WEB服務(wù)器的搭建與測試70第六章 系統(tǒng)優(yōu)化方案746.1當(dāng)前網(wǎng)絡(luò)目前存在的問題756.2網(wǎng)絡(luò)優(yōu)化目標(biāo)75第七章 工程總結(jié)75華夏企業(yè)網(wǎng)絡(luò)規(guī)劃及實(shí)施方案 第一章 項(xiàng)目概述1.1項(xiàng)目背景

3、“功欲善其事，必先利其器”，華夏企業(yè)深刻認(rèn)識到業(yè)務(wù)要發(fā)展、必須提高企業(yè)內(nèi)部核心競爭力、而建立一個(gè)方便快捷安全的通信網(wǎng)絡(luò)綜合信息支撐系統(tǒng)，已迫在眉睫，計(jì)劃建設(shè)新的企業(yè)園區(qū)網(wǎng)絡(luò)，希望通過這個(gè)新建的網(wǎng)絡(luò)，提供一個(gè)安全、可靠、可擴(kuò)展、高效的網(wǎng)絡(luò)環(huán)境，將自己的分公司與總公司兩個(gè)辦公地點(diǎn)連接到一起，使公司內(nèi)部能夠方便快捷地實(shí)現(xiàn)網(wǎng)絡(luò)資源共享、全網(wǎng)接入Internet等目標(biāo)，同時(shí)實(shí)現(xiàn)公司內(nèi)部的消息保密隔離，以及對于公網(wǎng)的安全訪問。1.2項(xiàng)目目標(biāo) 1.2.1本期目標(biāo) 為了確保關(guān)鍵應(yīng)用的正常運(yùn)行，安全實(shí)施，企業(yè)網(wǎng)絡(luò)必須具備如下特性： (1)采用先進(jìn)通信技術(shù)完成公司網(wǎng)絡(luò)建設(shè)，連接兩個(gè)距離較遠(yuǎn)的公司網(wǎng)絡(luò)辦公地點(diǎn)。 (

4、2)為了提高數(shù)據(jù)的傳輸速率，在整個(gè)公司內(nèi)部網(wǎng)絡(luò)內(nèi)控制廣播域的范圍。 (3)在整個(gè)公司網(wǎng)絡(luò)內(nèi)實(shí)現(xiàn)資源共享，并保證骨干網(wǎng)絡(luò)的高可靠性。 (4)公司內(nèi)部網(wǎng)絡(luò)中實(shí)現(xiàn)高效的路由選擇。 (5)構(gòu)造一個(gè)既能覆蓋本地又能與外界進(jìn)行網(wǎng)絡(luò)互通、共享信息、展示企業(yè)的計(jì)算機(jī)企業(yè)網(wǎng); (6)選用技術(shù)先進(jìn)、具有容錯能力的網(wǎng)絡(luò)產(chǎn)品，在投資和條件允許的情況下也可采用結(jié)構(gòu)容錯的方法； (7)完全符合開放性規(guī)范，將業(yè)界優(yōu)秀的產(chǎn)品集成于該綜合網(wǎng)絡(luò)平臺之中； (8)具有較好的可擴(kuò)展性，為今后的網(wǎng)絡(luò)擴(kuò)容作好準(zhǔn)備 ； (9)整個(gè)公司計(jì)劃采用10M光纖接入到運(yùn)營商提供的Internet。集團(tuán)統(tǒng)一一個(gè)出口，便于控制網(wǎng)絡(luò)安全； (10)設(shè)備選

5、型上必須在技術(shù)上具有先進(jìn)性，通用性，且必須便于管理，維護(hù)。應(yīng)具備未來良好的可擴(kuò)展性，可升級性，保護(hù)公司的投資。設(shè)備要在滿足該項(xiàng)目的功能和性能上還具有良好的性價(jià)比。設(shè)備在選型上要是擁有足夠?qū)嵙褪袌龇蓊~的主流產(chǎn)品。 1.2.2 本期項(xiàng)目環(huán)境要求 （1）該公司具有兩個(gè)公司網(wǎng)絡(luò)，且相距較遠(yuǎn)。 （2）公司A為總公司，辦公點(diǎn)具有的部門較多，如業(yè)務(wù)部，綜合部等，為主要的辦公場所，因此這部分的交換網(wǎng)絡(luò)對可用性和可靠性要求較高。 （3）B辦公地點(diǎn)只有較少辦公人員，但是Internet的接入點(diǎn)在這里。 （4）該公司網(wǎng)絡(luò)已經(jīng)申請到了若干公司IP地址，供公司內(nèi)網(wǎng)接入使用。 （5）公司內(nèi)網(wǎng)使用私有地址。 （6）本公司

6、移動辦公人員較多1.2.3 本期項(xiàng)目所需設(shè)備設(shè)備名稱：設(shè)備型號：設(shè)備數(shù)量：備注：路由器RG-17004臺用在核心層使得能夠在網(wǎng)絡(luò)的不同部分之間高效、快速地傳輸數(shù)據(jù)三層交換機(jī)RG-S3750-242臺用在匯聚層，根據(jù)處理結(jié)果將用戶流量轉(zhuǎn)發(fā)到核心交換層或在本地進(jìn)行路由處理等等二層交換機(jī)RG-S226G2臺用在接入層，允許終端用戶連接到網(wǎng)絡(luò)第2章 技術(shù)介紹 2.1 SVISVI是交換機(jī)虛擬接口。用于三層交換機(jī)跨vlan間路由。具體可以用interface vlan接口配置命令來創(chuàng)建svi,然后為其配置ip地址即可實(shí)現(xiàn)路由功能。 2.2端口安全 最常用的對端口安全的理解就是可根據(jù)MAC地址來做對網(wǎng)絡(luò)流

7、量的控制和管理，比如MAC地址與具體的端口綁定，限制具體端口通過的MAC地址的數(shù)量，或者在具體的端口不允許某些MAC地址的幀流量通過。 2.3端口聚合 端口聚合主要用于交換機(jī)之間連接。由于兩個(gè)交換機(jī)之間有多條冗余鏈路的時(shí)候，STP會將其中的幾條鏈路關(guān)閉，只保留一條，這樣可以避免二層的環(huán)路產(chǎn)生。但是，失去了路徑冗余的優(yōu)點(diǎn)，因?yàn)镾TP的鏈路切換會很慢，在50s左右。使用以太通道的話，交換機(jī)會把一組物理端口聯(lián)合起來，做為一個(gè)邏輯的通道，也就是channelgroup，這樣交換機(jī)會認(rèn)為這個(gè)邏輯通道為一個(gè)端口。 2.4 快速生成樹協(xié)議（RSTP） RSTP：快速生成樹協(xié)議（rapid spanning

8、Tree Protocol ）：802.1w由802.1d發(fā)展而成，這種協(xié)議在網(wǎng)絡(luò)結(jié)構(gòu)發(fā)生變化時(shí)，能更快的收斂網(wǎng)絡(luò)。它比802.1d多了兩種端口類型：預(yù)備端口類型（alternate port）和備份端口類型。 STP（Spanning Tree Protocol ）是生成樹協(xié)議的英文縮寫。該協(xié)議可應(yīng)用于環(huán)路網(wǎng)絡(luò)，通過一定的算法實(shí)現(xiàn)路徑冗余，同時(shí)將環(huán)路網(wǎng)絡(luò)修剪成無環(huán)路的樹型網(wǎng)絡(luò)，從而避免報(bào)文在環(huán)路網(wǎng)絡(luò)中的增生和無限循環(huán)。 2.5 VRRP虛擬路由器冗余協(xié)議（VRRP）是一種選擇協(xié)議，它可以把一個(gè)虛擬路由器的責(zé)任動態(tài)分配到局域網(wǎng)上的 VRRP 路由器中的一臺?？刂铺摂M路由器 IP 地址的 VRR

9、P 路由器稱為主路由器，它負(fù)責(zé)轉(zhuǎn)發(fā)數(shù)據(jù)包到這些虛擬 IP 地址。一旦主路由器不可用，這種選擇過程就提供了動態(tài)的故障轉(zhuǎn)移機(jī)制，這就允許虛擬路由器的 IP 地址可以作為終端主機(jī)的默認(rèn)第一跳路由器。使用 VRRP 的好處是有更高的默認(rèn)路徑的可用性而無需在每個(gè)終端主機(jī)上配置動態(tài)路由或路由發(fā)現(xiàn)協(xié)議。 VRRP 包封裝在 IP 包中發(fā)送。 2.6 ACL訪問控制列表（Access Control List，ACL） 是路由器和交換機(jī)接口的指令列表，用來控制端口進(jìn)出的數(shù)據(jù)包。ACL適用于所有的被路由協(xié)議，如IP、IPX、AppleTalk等。這張表中包含了匹配關(guān)系、條件和查詢語句，表只是一個(gè)框架結(jié)構(gòu)，其目的

10、是為了對某種訪問進(jìn)行控制。 2.7 RIP路由信息協(xié)議（RIP）是一種在網(wǎng)關(guān)與主機(jī)之間交換路由選擇信息的標(biāo)準(zhǔn)。RIP 是一種內(nèi)部網(wǎng)關(guān)協(xié)議。在國家性網(wǎng)絡(luò)中如當(dāng)前的因特網(wǎng)，擁有很多用于整個(gè)網(wǎng)絡(luò)的路由選擇協(xié)議。作為形成網(wǎng)絡(luò)的每一個(gè)自治系統(tǒng)，都有屬于自己的路由選擇技術(shù)，不同的 AS 系統(tǒng)，路由選擇技術(shù)也不同。 2.8 NAT網(wǎng)絡(luò)地址轉(zhuǎn)換(NAT,Network Address Translation)屬接入廣域網(wǎng)(WAN)技術(shù)，是一種將私有（保留）地址轉(zhuǎn)化為合法IP地址的轉(zhuǎn)換技術(shù)，它被廣泛應(yīng)用于各種類型Internet接入方式和各種類型的網(wǎng)絡(luò)中。原因很簡單，NAT不僅完美地解決了lP地址不足的問題，而

11、且還能夠有效地避免來自網(wǎng)絡(luò)外部的攻擊，隱藏并保護(hù)網(wǎng)絡(luò)內(nèi)部的計(jì)算機(jī)。 2.9 CHAPCHAP全稱是PPP（點(diǎn)對點(diǎn)協(xié)議）詢問握手認(rèn)證協(xié)議 （Challenge Handshake Authentication Protocol）。該協(xié)議可通過三次握手周期性的校驗(yàn)對端的身份，可在初始鏈路建立時(shí)完成時(shí)，在鏈路建立之后重復(fù)進(jìn)行。通過遞增改變的標(biāo)識符和可變的詢問值，可防止來自端點(diǎn)的重放攻擊，限制暴露于單個(gè)攻擊的時(shí)間。 2.10 VPN虛擬專用網(wǎng)絡(luò)（Virtual Private Network ，簡稱VPN)指的是在公用網(wǎng)絡(luò)上建立專用網(wǎng)絡(luò)的技術(shù)。其之所以稱為虛擬網(wǎng)，主要是因?yàn)檎麄€(gè)VPN網(wǎng)絡(luò)的任意兩個(gè)節(jié)點(diǎn)

12、之間的連接并沒有傳統(tǒng)專網(wǎng)所需的端到端的物理鏈路，而是架構(gòu)在公用網(wǎng)絡(luò)服務(wù)商所提供的網(wǎng)絡(luò)平臺，如Internet、ATM(異步傳輸模式、Frame Relay （幀中繼）等之上的邏輯網(wǎng)絡(luò)，用戶數(shù)據(jù)在邏輯鏈路中傳輸。它涵蓋了跨共享網(wǎng)絡(luò)或公共網(wǎng)絡(luò)的封裝、加密和身份驗(yàn)證鏈接的專用網(wǎng)絡(luò)的擴(kuò)展。VPN主要采用了彩隧道技術(shù)、加解密技術(shù)、密鑰管理技術(shù)和使用者與設(shè)備身份認(rèn)證技術(shù)。第三章 解決方案3.1 規(guī)劃場景規(guī)劃場景如下圖所示：3.2 網(wǎng)絡(luò)實(shí)施拓?fù)渚W(wǎng)絡(luò)實(shí)施拓?fù)淙缦聢D所示：3.3 網(wǎng)絡(luò)實(shí)施分析 1.在接入層使用二層交換機(jī)，在接入層交換機(jī)上劃分vlan，則可以實(shí)現(xiàn)對廣播域的隔離，財(cái)務(wù)部vlan10，人事部vlan2

13、0，業(yè)務(wù)部vlan30，策劃部vlan40，技術(shù)部vlan50，工程部vlan60. 2.建設(shè)雙核心的高可靠性網(wǎng)絡(luò)，核心交換互為備份。為充分發(fā)揮設(shè)備的性能，兩臺核心交換承擔(dān)不同用戶數(shù)據(jù)負(fù)載。交換機(jī)之間的鏈路配置為Trunk鏈路，三層交換機(jī)上采用SVI方式實(shí)現(xiàn)vlan之間的路由。 3.兩臺核心交換機(jī)之間采用雙鏈路連接，在兩臺三層交換機(jī)之間配置端口聚合，以提高帶寬。4. 接入交換機(jī)的Access端口上采用端口安全的方式實(shí)現(xiàn)對允許的連接數(shù)量的控制，以提高網(wǎng)絡(luò)的安全性。5. 為了提高網(wǎng)絡(luò)的可靠性，整個(gè)交換網(wǎng)絡(luò)內(nèi)配置RSTP，以避免環(huán)路帶來的影響6.兩臺三層交換上配置路由接口，連接A辦公地點(diǎn)的路由器R1

14、，并在R1和R2分別配置接口IP地址。并啟用RIP路由協(xié)議，實(shí)現(xiàn)全網(wǎng)互通。7.R1和R2辦公地點(diǎn)的路由器R2之間通過廣域網(wǎng)鏈路連接，在R1和R2的廣域網(wǎng)接口上配置chap協(xié)議提供一定的安全性。8.兩臺三層交換機(jī)上配置默認(rèn)路由，指向R1；R1上配置配置默認(rèn)路由指向R2；R2上配置默認(rèn)路由指向連接到因特網(wǎng)的下一條地址。9.在R2上配置NAT方式實(shí)現(xiàn)企業(yè)內(nèi)網(wǎng)僅用少量公網(wǎng)IP地址到因特網(wǎng)的訪問。10.在S2上，用ACL實(shí)現(xiàn)財(cái)務(wù)部可以訪問WEB服務(wù)器和FTP服務(wù)器，其他部門都能訪問WWW服務(wù)但不能訪問FTP服務(wù)器。11.通過VPN實(shí)現(xiàn)移動辦公人員，分公司與總公司的通信。3.4 項(xiàng)目實(shí)施流程 1.在核心交

15、換機(jī)（型號RG-S3750-24）與接入交換機(jī)（型號RG-S2261G）上分別創(chuàng)建相應(yīng)的VLAN； 2.核心交換機(jī)與接入交換機(jī)之間建立TRUNK鏈路；3.兩臺核心交換機(jī)直接通過雙鏈路相連，實(shí)現(xiàn)端口聚合； 4.在全部交換機(jī)上配置RSTP，指定兩臺三層交換機(jī)分別為根網(wǎng)橋和備份根網(wǎng)橋； 5.在接入交換機(jī)的access鏈路上實(shí)現(xiàn)端口安全；6.配置三層交換機(jī)的VLAN間路由功能； 7.在三層交換機(jī)的路由端口、R1和R2上配置接口IP地址； 8.R1和R2配置廣域網(wǎng)鏈路，啟用PPP協(xié)議和配置CHAP認(rèn)證； 9.運(yùn)用RIPV2路由協(xié)議配置企業(yè)內(nèi)網(wǎng)的路由，用靜態(tài)路由實(shí)現(xiàn)企業(yè)內(nèi)網(wǎng)到互聯(lián)網(wǎng)的訪問； 10.在路由器

16、R1上做NAT實(shí)現(xiàn)內(nèi)網(wǎng)對外網(wǎng)的訪問；11.建立WEB、FTP服務(wù)器，使企業(yè)內(nèi)網(wǎng)實(shí)現(xiàn)資源共享； 12.為了控制內(nèi)網(wǎng)對互聯(lián)網(wǎng)的訪問，在路由器上作訪問控制列表；13. 在總公司與分公司之間建立VPN連接。3.6設(shè)備命名規(guī)則 為了標(biāo)識網(wǎng)絡(luò)設(shè)備、便于管理網(wǎng)絡(luò)設(shè)備，應(yīng)該為網(wǎng)絡(luò)中每一臺設(shè)備賦予名稱標(biāo)識，設(shè)備命名的基本原則為： 1.能表示出網(wǎng)絡(luò)設(shè)備的類型； 2.能表示出網(wǎng)絡(luò)設(shè)備的物理位置； 3.能表示出網(wǎng)絡(luò)設(shè)備所屬的網(wǎng)絡(luò)層次； 4.相同物理位置和網(wǎng)絡(luò)層次的網(wǎng)絡(luò)設(shè)備由不同序號區(qū)分； 5.能反映出該設(shè)備的業(yè)務(wù)屬性和網(wǎng)元功能。 本次工程的設(shè)備命名規(guī)范如下：交換機(jī)命名以SW開頭，路由器命名以R開頭，服務(wù)器命名以Ser

17、ver開頭。舉例說明：比如說二層交換機(jī)SW1，SW2，路由器R1,R2。3.7接口描述規(guī)則 為了標(biāo)識設(shè)備端口，便于后期維護(hù)，應(yīng)為沒一個(gè)接口設(shè)置接口描述，接口描述的基本規(guī)則為： 1.能表示出端口的對端網(wǎng)元設(shè)備 2.能表示出端口的類型 3.能反映出對端端口所在板卡的物理槽位 本次工程的接口描述規(guī)范如下：快速以太網(wǎng)口用f開頭，串口用S開頭。舉例說明：例如交換機(jī)SW1的快速以太網(wǎng)口f0/10端口，路由器R1的串口S0/1/0端口。3.8 IP地址規(guī)劃 IP地址規(guī)劃的結(jié)果直接影響到網(wǎng)絡(luò)運(yùn)行的質(zhì)量，以下是幾點(diǎn)IP地址規(guī)劃的基本原則： 1.唯一性： 一個(gè)IP網(wǎng)絡(luò)中不能有兩個(gè)主機(jī)采用相同的IP地址。即使使用了

18、支持地址重疊的MPLS/VPN技術(shù)，也盡量不要規(guī)劃為相同的地址。 2.連續(xù)性：連續(xù)地址在層次結(jié)構(gòu)網(wǎng)絡(luò)中易于進(jìn)行路徑疊合，大大縮減路由表，提高路由算法的效率。 3.擴(kuò)展性：地址分配在每一層次上都要留有余量，在網(wǎng)絡(luò)規(guī)模擴(kuò)展時(shí)能保證地址疊合所需的連續(xù)性。 4.實(shí)義性：“望址生義”，好的IP地址規(guī)劃使每個(gè)地址具有實(shí)際含義，看到一個(gè)地址就可以大至判斷出該地址所屬的設(shè)備。這是IP地址規(guī)劃中最具技巧型和藝術(shù)性的部分。最完美的方式是得出一個(gè)IP地址公式，以及一些參數(shù)及系數(shù)，通過計(jì)算得出每一個(gè)需要用到的IP地址。各部門地址分配如下所示：部門名稱：IP地址（子網(wǎng)掩碼均為24位）：財(cái)務(wù)部-17

19、人事部-業(yè)務(wù)部-工程部-策劃部-技術(shù)部-網(wǎng)絡(luò)設(shè)備接口地址如下所示：設(shè)備名稱：端口號：IP地址：三層交換機(jī)1Fa0/24/24三層交換機(jī)2Fa0/24/24Fa0/6/24R1Fa1/0/24Fa1//24Se0/1/0/24R2Se0/0/0172.16

20、.1.2/24Se0/1/0/24R3(ISP路由器)Se0/0/0/24Se0/0/1/24R4Se0/0/0/24Fa0/0/24分公司其中一臺PCFastEthernet/24FTP服務(wù)器FastEthernet/24WEB服務(wù)器FastEthernet/243.9 VLAN規(guī)劃部門VLAN財(cái)務(wù)部10人事部20業(yè)務(wù)部30工程部40策劃部50技術(shù)部60第4章 設(shè)備配置4.1 設(shè)備配置命令文檔設(shè)備配置命令財(cái)務(wù)部代表PC機(jī)1IP：1

21、 子網(wǎng)掩碼： 網(wǎng)關(guān)：人事部代表PC機(jī)1IP： 子網(wǎng)掩碼： 網(wǎng)關(guān)：業(yè)務(wù)部代表PC機(jī)1IP： 子網(wǎng)掩碼： 網(wǎng)關(guān)：工程部代表PC機(jī)1IP： 子網(wǎng)掩碼： 網(wǎng)關(guān)：策劃部代表PC機(jī)1IP： 子網(wǎng)掩碼： 網(wǎng)關(guān)：技術(shù)部代表PC機(jī)1IP： 子網(wǎng)掩碼

22、： 網(wǎng)關(guān)：SW1（注：此代碼在特權(quán)模式下輸入）config tHostname sw1vlan 10 vlan 20vlan 30exitinterface fa 0/3 switchport mode accessswitchport access vlan 10 /將財(cái)務(wù)部劃入vlan 10exitinterface fa 0/4switchport mode accessswitchport access vlan 20 /將人事部劃入vlan 20exitinterface fa 0/5switchport mode accessswit

23、chport access vlan 30 /將業(yè)務(wù)部劃入 vlan30exitinterface range fa 0/1-2switchport mode accessswitchport mode trunkno shutdownExitconfi tinter range fa 0/6-24 /進(jìn)入一組端口的配置模式switchport mode accessswitchport port-security /配置交換機(jī)的端口安全功能switchport port-security maximum 4 /設(shè)置最大允許連接數(shù)量為4switchport port-security viol

24、ation shutdownendSW2（注：此代碼在特權(quán)模式下輸入）config tHostname sw2vlan 40vlan 50vlan 60exitinterface fa 0/3switchport mode accessswitchport access vlan 40 /將工程部劃入vlan40exitinterface fa 0/4switchport mode accessswitchport access vlan 50 /將策劃部劃入vlan50exitinterface fa 0/5switchport mode access switchport access v

25、lan 60 /將技術(shù)部劃入vlan60exitinterface range fa 0/1-2switchport mode accessswitchport mode trunkno shutdownexitinter range fa 0/6-24 /進(jìn)入一組端口的配置模式switchport mode accessswitchport port-security /配置交換機(jī)的端口安全功能switchport port-security maximum 4 /設(shè)置最大允許連接數(shù)量為4switchport port-security violation shutdown /配置安全違例的

26、處理方式為shutdownendSW3（注：此代碼在特權(quán)模式下輸入）config tHostnme sw3vlan 10vlan 20vlan 30exitinterface range fa 0/3-4 /交換機(jī)之間配置TRUNK鏈路switchport mode accessswitchport mode trunkno shutdownexitinterface aggregateport 1 /創(chuàng)建聚合接口AGIswitchport mode access switchport mode trunk /配置AG模式為trunk exitinterface range fa 0/1-2

27、/進(jìn)入接口0/1和0/2port-group 1 /配置接口0/1和0/2屬于AGIexitspanning-tree /開啟生成樹協(xié)議spanning-tree mode rstp /指定生成樹協(xié)議的類型為RSTPinterface vlan 10 /配置SVIip address no shutdownexitinterface vlan 20ip address no shutdownexitinterface vlan 30ip address 255.255.2

28、55.0no shutdownexitinterface fa 0/24no switchportip address no shutdownexitip route /配置默認(rèn)路由inter range fa 0/5-23 /進(jìn)入一組端口的配置模式switchport mode accessswitchport port-security /配置交換機(jī)的端口安全功能switchport port-security maximum 4 /設(shè)置最大允許連接數(shù)量為4switchport port-secu

29、rity violation shutdown /配置安全違例的處理方式為shutdownexitinter vlan 10standby 2 priority 200 /配置優(yōu)先級standby 2 ip 54 /配置vrrp組和虛擬路由器的IP地址inter vlan 20standby 2 priority 160 /配置優(yōu)先級standby 2 ip 54 /配置vrrp組和虛擬路由器的IP地址inter vlan 30 standby 2 priority 120 /配置優(yōu)先級standby 2 ip 54 /配置vr

30、rp組和虛擬路由器的IP地址exitSW4（注：此代碼在特權(quán)模式下輸入）config tHostname sw4vlan 40vlan 50vlan 60exitinterface range fa 0/3-4switchport mode accessswitchport mode trunkno shutdownexitinterface aggregateport 1 /創(chuàng)建聚合接口AGIswitchport mode access switchport mode trunk /配置AG模式為trunk exitinterface range fa 0/1-2 /進(jìn)入接口0/1和0/2p

31、ort-group 1 /配置接口0/1和0/2屬于AGIexitspanning-tree /開啟生成樹協(xié)議spanning-tree mode rstp /指定生成樹協(xié)議的類型為RSTPinterface vlan 40 /配置SVIip address no shutdownexitinterface vlan 50ip address no shutdownexitinterface vlan 60ip address no shutdo

32、wnexitinterface fa 0/24no switchportip address no shutdownexitinterface fa 0/6no switchportip address no shutdownexitip route inter range fa 0/5-23 /進(jìn)入一組端口的配置模式switchport mode accessswitchport port-security /配置交換機(jī)的端口安全功能switchpor

33、t port-security maximum 4 /設(shè)置最大允許連接數(shù)量為4switchport port-security violation shutdown /配置安全違例的處理方式為shutdownexitinter vlan 10standby 2 priority 200 /配置優(yōu)先級standby 2 ip 54 /配置vrrp組和虛擬路由器的IP地址inter vlan 20standby 2 priority 160 /配置優(yōu)先級standby 2 ip 54 /配置vrrp組和虛擬路由器的IP地址inter vlan 30 st

34、andby 2 priority 120 /配置優(yōu)先級standby 2 ip 54 /配置vrrp組和虛擬路由器的IP地址Exitaccess-list 101 permit tcp 55 55 eq ftp /允許網(wǎng)段訪問網(wǎng)段上TCP協(xié)議的FTP服務(wù)器access-list 101 deny tcp any 55 eq ftp /拒絕任何主機(jī)訪問網(wǎng)段上TCP協(xié)議的FTP服務(wù)器access-l

35、ist 101 permit tcp any 55 eq www /允許任何主機(jī)訪問網(wǎng)段上TCP協(xié)議的FTP服務(wù)器access-list 101 permit ip any anyinterface fa0/6 /把編號為101的擴(kuò)展訪問控制列表應(yīng)用到fa0/6端口ip access-group 101 outexitR1（注：此代碼在特權(quán)模式下輸入）config tHostname r1interface fa 0/0 /在特權(quán)模式下進(jìn)入F0/0口ip address /給F0/0配置I

36、P地址no shutdown exitinterface fa 0/1ip address no shutdownexitinterface se 0/1/0 /在特權(quán)模式下進(jìn)入S0/1/0口ip address /給S0/1/0配置IP地址clock rate 64000 /設(shè)置時(shí)鐘同步no shutdownexitrouter rip /創(chuàng)建RIP路由進(jìn)程version 2 /啟動RIP版本2進(jìn)程network /發(fā)布自己所關(guān)聯(lián)的網(wǎng)絡(luò)network /發(fā)布自己所

37、關(guān)聯(lián)的網(wǎng)絡(luò)network /發(fā)布自己所關(guān)聯(lián)的網(wǎng)絡(luò)ip route /配置一條到達(dá)IP為的認(rèn)路由ip route /配置一條到達(dá)IP為的默認(rèn)路由ip route username R2 password 0 123 /以對方的主機(jī)名作為用戶名,密碼為123interface s0/1/0encapsulation ppp /把該接口封裝為PPP協(xié)議ppp authentication pap

38、/ PPP啟用PAP方式認(rèn)證R2（注：此代碼在特權(quán)模式下輸入）config tHostname r2interface se 0/1/0 /在特權(quán)模式下進(jìn)入S0/1/0口ip address /給S0/1/0配置IP地址clock rate 64000no shutdownexitinterface se 0/0/0ip address no shutdownexitcrypto isakmp policy 10 / ipsec第一階段，定義ISAKMP策略encryption 3des /加密方法

39、使用3des hash md5 /散列算法使用md5 authentication pre-share /認(rèn)證方法使用預(yù)共享密鑰crypto isakmp key hx address /將ISAKMP預(yù)共享密鑰和對等體關(guān)聯(lián)，預(yù)共享密鑰為“hx”。crypto ipsec transform-set tim esp-3des esp-md5-hmac /設(shè)置ipsec轉(zhuǎn)換(交換)集。access-list 101 permit ip 55 55 /創(chuàng)建感興趣數(shù)據(jù)流crypto map tom 10

40、ipsec-isakmp /ipsec第二階段,設(shè)置加密圖match address 101set peer /加載感興趣流 set transform-set tim /設(shè)置對等體地址interface se 0/1/0crypto map tom /在接口上應(yīng)用加密圖router rip /創(chuàng)建RIP路由進(jìn)程version 2 /啟動RIP版本2進(jìn)程network /發(fā)布自己所關(guān)聯(lián)的網(wǎng)絡(luò)network /發(fā)布自己所關(guān)聯(lián)的網(wǎng)絡(luò)ip route /配置默認(rèn)路由ip route 0

41、.0.0.0 username R1 password 0 123 /以對方的主機(jī)名作為用戶名,密碼為123interface s0/0/0encapsulation ppp /把該接口封裝為PPP協(xié)議ppp authentication pap / PPP啟用PAP方式認(rèn)證Exitinterface se 0/1/0ip nat outside /配置為外部接口exitinterface se 0/0/0ip nat inside /配置為內(nèi)部接口access-list 1 permit 55 /配置允許地址轉(zhuǎn)換的內(nèi)部本

42、地地址范圍access-list 1 permit 55access-list 1 permit 55access-list 1 permit 55access-list 1 permit 55access-list 1 permit 55ip nat pool hx netmask /定義內(nèi)部網(wǎng)絡(luò)全局地址池ip nat inside so

43、urce list 1 pool hx /配置內(nèi)部本地地址與內(nèi)部全局地址的映射關(guān)系exitR3即ISP路由器（注：此代碼在特權(quán)模式下輸入）config t Hostname r3interface se 0/0/1ip address no shutdownexitinterface se 0/0/0ip address no shutdownexitrouter rip /創(chuàng)建RIP路由進(jìn)程version 2 /啟動RIP版本2進(jìn)程network /發(fā)布自己所關(guān)聯(lián)的網(wǎng)絡(luò)networ

44、k /發(fā)布自己所關(guān)聯(lián)的網(wǎng)絡(luò)ip route /配置到達(dá)非直連網(wǎng)絡(luò)的下一跳地址為ip route R4（注：此代碼在特權(quán)模式下輸入）config tHostname r4crypto isakmp policy 10 /ipsec第一階段，定義ISAKMP策略encr 3des /加密方法使用3deshash md5 /散列算法使用md5authentication pre-share /認(rèn)證

45、方法使用預(yù)共享密鑰crypto isakmp key hx address /將ISAKMP預(yù)共享密鑰和對等體關(guān)聯(lián)，預(yù)共享密鑰為“hx”。crypto ipsec transform-set tim esp-3des esp-md5-hmac /設(shè)置ipsec轉(zhuǎn)換(交換)集crypto map tom 10 ipsec-isakmp / ipsec第二階段,設(shè)置加密圖set peer /加載感興趣流set transform-set tim /設(shè)置對等體地址match address 101access-list 101 permit ip 192.168

46、.1.0 55 55 /創(chuàng)建感興趣數(shù)據(jù)流interface se 0/0/0ip address clock rate 64000no shutdowncrypto map tom /在接口上應(yīng)用加密圖interface FastEthernet0/0ip address no shutdownrouter rip /創(chuàng)建RIP路由進(jìn)程version 2 /啟動RIP版本2進(jìn)程network /發(fā)布自己所關(guān)聯(lián)的網(wǎng)絡(luò)netwo

47、rk /發(fā)布自己所關(guān)聯(lián)的網(wǎng)絡(luò)ip route /配置默認(rèn)路由4.2 交換機(jī)配置4.2.1劃分VLAN1.在二層交換機(jī)1，2，三層交換機(jī)3,4上創(chuàng)建vlan10、20、30、40、50、60，輸入設(shè)備如下圖所示：二層交換機(jī)2，代碼如下：用戶模式下，三層交換機(jī)1，輸入設(shè)備如下圖所示：用戶模式下，三層交換機(jī)2，輸入設(shè)備如下圖所示：2.在二層交換機(jī)1上將3,4,5端口劃到vlan 10，vlan20，vlan30中，全局配置模式下代碼如下：輸入設(shè)備如下圖所示：二層交換機(jī)2上將3,4,5端口劃分到vlan 40，vlan50，

48、vlan60，全局配置模式下代碼如下：在二層交換機(jī)1和2上聯(lián)三層交換機(jī)1和2上的端口設(shè)置Trunk模式在三層交換機(jī)上采用SVI方式實(shí)現(xiàn)VLAN之間的路由pc1:/24pc2:/24pc1 ping pc2:跨交換機(jī)不同VLAN之間測試PC 與路由器 互PINGPC 與路由器 互PING同一臺交換機(jī)不同vlan下：PC 與PC 互PING4.2.2端口安全配置及測試1.在二層交換機(jī)s2上設(shè)置端口安全2.show port-securi

49、ty3.在二層交換機(jī)s1設(shè)置端口安全：4.在三層交換機(jī)s3上設(shè)置端口安全：5.在三層交換機(jī)s4上設(shè)置端口安全：4.2.3 VRRP配置1.在三層交換機(jī)上s4配置vrrp，配置的優(yōu)先級分別為：200，160，120。2.在三層交換機(jī)上s3配置vrrp，配置的優(yōu)先級分別為：200，160，120。4.2.4 端口聚合和快速生成樹配置及測試1.在三層交換機(jī)0上：劃分vlan2.設(shè)置trunk口：3.配置端口聚合：4.show ：5.快速生成樹：6.在三層交換機(jī)1上：劃分vlan:7.設(shè)置trunk口：8.配置端口聚合：9.show：10.快速生成樹：11.兩臺電腦：財(cái)務(wù)部()和工程部()的電腦互PING 相通12.去掉兩個(gè)三層交換機(jī)相連的2根線的其中一根。繼續(xù)PING?；ネ?。4.2.5 擴(kuò)展訪問控制列表