畢業(yè)設(shè)計(jì)(論文)-園區(qū)網(wǎng)絡(luò)設(shè)計(jì)與實(shí)現(xiàn)模板

摘要隨著計(jì)算機(jī)網(wǎng)絡(luò)的迅猛發(fā)展，曾經(jīng)在園區(qū)網(wǎng)中被廣泛使用的10M/100M以太網(wǎng)技術(shù)、ATM等技術(shù)已經(jīng)漸漸不能適應(yīng)業(yè)務(wù)需求。現(xiàn)在，千兆以至10G級(jí)別以太網(wǎng)技術(shù)正逐漸成為園區(qū)網(wǎng)主干的主流技術(shù)。因此，許多大型園區(qū)網(wǎng)絡(luò)面臨著技術(shù)改造或者重新設(shè)計(jì)。本文針對(duì)當(dāng)前園區(qū)網(wǎng)絡(luò)中存在的設(shè)計(jì)混亂、層次復(fù)雜、穩(wěn)定性低，安全性不足等一系列問(wèn)題，采用工程化設(shè)計(jì)方法，依照行業(yè)規(guī)范，設(shè)計(jì)并模擬實(shí)現(xiàn)一個(gè)園區(qū)網(wǎng)絡(luò)，該網(wǎng)絡(luò)依照行業(yè)規(guī)范設(shè)計(jì)，采用新近成熟的產(chǎn)品與技術(shù)，滿足用戶安全性、通用性、可操作性和拓展性的要求，由于網(wǎng)絡(luò)設(shè)計(jì)過(guò)程中嚴(yán)格依照行業(yè)規(guī)范，采用模塊化設(shè)計(jì)思想，因此網(wǎng)絡(luò)系統(tǒng)各層可移植性強(qiáng)，極大的方便了以后的網(wǎng)絡(luò)設(shè)計(jì)工作。關(guān)鍵詞：交換機(jī)；路由器；設(shè)計(jì)；實(shí)施

AbstractWiththerapiddevelopmentofcomputernetwork,thekindsofbusinessinenterpriseororganizationhaveincreased,andthedataflowofbusinesshasrisenalot,thetendenceofwhichisveryevident.Theoncewidelyusesdtechnologies10/100MEthernet,ATMetc.graduallyfailtomeetthedemandsofbusiness;atthemoment,theEthernetof1000Moreven10Gisbecomingthemaintechnologyinthemajorcampusnetwork.Inconsequence,manylargecampusnetworkarefacingtheproblemsoftechnologychangingornewdesigning.Aimingattheproblemsincampusnetandenterprisenetsuchasdisorderlydesign,complicatedlevels,lowstability,lackofsecurityandsoon,thisthesiswilladopttheengineeringdesignmethod,Accordingtotheprofessionalstandards,theauthorofthisthesisintendstodesignandimitatealargescaleofcampusnet.Byfollowingtheprofessionalstandardsandadoptingtheupdatedproductsaswellastechnology,thisnetcansatisfytheusersforitssecurity,versatility,manipulationandextension.Becauseofthestrictconformitytoprofessionalstandardsinthedesigningofthenetandtheemploymentofmoduledesigntechnology,everylevelinthisnetsystemcanbeimplanted,whichwillgreatlybenefitthenetdesigningworkinthefuture.keywords:switch;router;design;implement

目錄摘要 I英文摘要 II第一章緒論 11.1選題來(lái)源 11.2主要內(nèi)容 11.3論文結(jié)構(gòu) 1第二章園區(qū)網(wǎng)概述 32.1園區(qū)網(wǎng)含義 32.2園區(qū)網(wǎng)特點(diǎn) 32.3園區(qū)網(wǎng)發(fā)展趨勢(shì) 3第三章園區(qū)網(wǎng)設(shè)計(jì) 43.1需求分析 43.2網(wǎng)絡(luò)設(shè)計(jì)原則 43.3網(wǎng)絡(luò)模型設(shè)計(jì) 53.3.1核心層（CoreLayer） 63.3.2匯聚層（DistributionLayer） 63.3.3接入層（AccessLayer） 63.4網(wǎng)絡(luò)模型選擇 63.5園區(qū)網(wǎng)絡(luò)拓?fù)鋱D 73.6IP地址規(guī)劃 73.7VLAN規(guī)劃 83.8路由協(xié)議選擇 83.9網(wǎng)絡(luò)設(shè)備選擇 103.10配置規(guī)范 10第四章網(wǎng)絡(luò)安全設(shè)計(jì) 124.1VLAN技術(shù) 124.2AAA技術(shù) 134.3VPN技術(shù) 134.4防火墻技術(shù) 134.5安裝殺毒軟件 144.6其它安全措施 14第五章網(wǎng)絡(luò)模擬實(shí)現(xiàn) 155.1模擬器介紹 155.2模擬環(huán)境拓?fù)鋱D 165.3需求實(shí)現(xiàn) 175.4配置方法 18第六章網(wǎng)絡(luò)測(cè)試 226.1單體測(cè)試 226.2網(wǎng)絡(luò)連通性測(cè)試 256.3網(wǎng)絡(luò)冗余性測(cè)試 26第七章總結(jié) 29謝辭 30參考文獻(xiàn) 31第一章緒論1.1選題來(lái)源隨著計(jì)算機(jī)網(wǎng)絡(luò)的迅速發(fā)展，曾經(jīng)在園區(qū)網(wǎng)中被大量使用的10M/100M以太網(wǎng)技術(shù)、ATM技術(shù)已經(jīng)漸漸不能適應(yīng)現(xiàn)在的業(yè)務(wù)需求，作為園區(qū)主干網(wǎng)，10M/100M以太網(wǎng)作為主干網(wǎng)絡(luò)核心技術(shù)帶寬不足的弊病漸漸凸顯，已經(jīng)嚴(yán)重影響著園區(qū)網(wǎng)絡(luò)的運(yùn)行效率，目前仍有許多大型園區(qū)網(wǎng)絡(luò)在使用ATM技術(shù)，這樣的網(wǎng)絡(luò)面臨兩個(gè)問(wèn)題：VLAN間路由的性能不能滿足網(wǎng)絡(luò)需求，并且ATM技術(shù)正在逐步被淘汰。現(xiàn)在，千兆以至10G級(jí)別以太網(wǎng)技術(shù)正逐漸成為園區(qū)網(wǎng)絡(luò)主干的主流技術(shù)。因此，許多大型園區(qū)網(wǎng)絡(luò)面臨技術(shù)改造或者重新設(shè)計(jì)。針對(duì)當(dāng)今的企業(yè)園區(qū)網(wǎng)絡(luò)中存在的設(shè)計(jì)混亂、層次復(fù)雜、穩(wěn)定性低，安全性不足等一系列問(wèn)題，本文采用工程化設(shè)計(jì)方法，依照行業(yè)規(guī)范，設(shè)計(jì)并使用路由交換模擬軟件模擬實(shí)現(xiàn)一個(gè)園區(qū)網(wǎng)絡(luò)，通過(guò)對(duì)本項(xiàng)目的實(shí)際操作，增加對(duì)網(wǎng)絡(luò)整體構(gòu)架的認(rèn)識(shí)，提高自己的網(wǎng)絡(luò)設(shè)計(jì)能力，全方位提升自身素質(zhì)，使大學(xué)生擺脫網(wǎng)絡(luò)學(xué)習(xí)理論與實(shí)踐的脫節(jié)現(xiàn)象。1.2主要內(nèi)容本文主要做了以下兩個(gè)方面的工作：第一，介紹了園區(qū)網(wǎng)絡(luò)的含義、特點(diǎn)以及未來(lái)發(fā)展趨勢(shì)，并且針對(duì)現(xiàn)實(shí)中存在的實(shí)際情況，按照規(guī)范化的系統(tǒng)方法規(guī)劃設(shè)計(jì)一個(gè)完整的園區(qū)網(wǎng)絡(luò)，并針對(duì)各種路由協(xié)議、設(shè)計(jì)模型進(jìn)行了綜合對(duì)比分析，以選取最符合實(shí)際的方案。第二，使用DynamipsGUI軟件配合SecureCRT對(duì)部分網(wǎng)絡(luò)進(jìn)行了模擬，以實(shí)現(xiàn)網(wǎng)絡(luò)的互通互聯(lián)，對(duì)各層設(shè)備進(jìn)行了配置，并以配置文檔的形式給出。1.3論文結(jié)構(gòu)本文共分為八章，第1章是緒論部分，第2章至第6章為論文的主體部分，第7章為總結(jié)。第1章：緒論。講述本論文的選題來(lái)源以及選題意義等，并對(duì)論文主要研究?jī)?nèi)容作概述。第2章：園區(qū)網(wǎng)概述。主要是對(duì)園區(qū)網(wǎng)做概括性闡述，包括其含義、特點(diǎn)、發(fā)展趨勢(shì)，以及園區(qū)網(wǎng)建設(shè)的必要性。第3章：園區(qū)網(wǎng)設(shè)計(jì)。詳細(xì)闡述園區(qū)網(wǎng)設(shè)計(jì)方法，包括需求分析、設(shè)計(jì)原則、網(wǎng)絡(luò)模型選擇、VLAN及IP地址規(guī)劃、路由協(xié)議選擇和網(wǎng)絡(luò)設(shè)備選擇等。第4章：網(wǎng)絡(luò)安全設(shè)計(jì)。概括闡述當(dāng)今流行的VLAN技術(shù)、AAA技術(shù)、VPN技術(shù)和防火墻技術(shù)等。第5章：網(wǎng)絡(luò)模擬實(shí)現(xiàn)。介紹DynamipsGUI和SecureCRT使用方法，給出實(shí)驗(yàn)拓?fù)?，并針?duì)實(shí)驗(yàn)拓?fù)浣o出詳細(xì)配置方法。第6章：網(wǎng)絡(luò)測(cè)試。詳細(xì)介紹網(wǎng)絡(luò)測(cè)試方法以及測(cè)試過(guò)程中現(xiàn)象以及需要注意的問(wèn)題。第7章：總結(jié)。介紹自己畢業(yè)設(shè)計(jì)過(guò)程總遇到的問(wèn)題，對(duì)畢業(yè)設(shè)計(jì)的過(guò)程進(jìn)行總結(jié)。第二章園區(qū)網(wǎng)概述2.1園區(qū)網(wǎng)含義園區(qū)網(wǎng)是指為企事業(yè)單位組建的辦公局域網(wǎng)。典型的園區(qū)網(wǎng)包括校園網(wǎng)、社區(qū)網(wǎng)、住宅小區(qū)網(wǎng)、企事業(yè)單位網(wǎng)等。2.2園區(qū)網(wǎng)特點(diǎn)①園區(qū)網(wǎng)是網(wǎng)絡(luò)的基本單元。②園區(qū)網(wǎng)較適合于采用三層結(jié)構(gòu)設(shè)計(jì)。③園區(qū)網(wǎng)對(duì)線路成本考慮的較少，對(duì)設(shè)備性能考慮的較多，追求較高的帶寬和良好的擴(kuò)展性。④園區(qū)網(wǎng)的結(jié)構(gòu)比較規(guī)整。2.3園區(qū)網(wǎng)發(fā)展趨勢(shì)從計(jì)算機(jī)網(wǎng)絡(luò)應(yīng)用角度來(lái)看，網(wǎng)絡(luò)應(yīng)用系統(tǒng)將向更深和更寬的方向發(fā)展，這也相應(yīng)的影響著未來(lái)園區(qū)網(wǎng)的發(fā)展方向。首先，Internet信息服務(wù)將會(huì)得到更大發(fā)展。網(wǎng)上信息瀏覽、信息交換、資源共享等技術(shù)將進(jìn)一步提高速度、容量及信息的安全性。其次，遠(yuǎn)程會(huì)議、遠(yuǎn)程教學(xué)、遠(yuǎn)程醫(yī)療、遠(yuǎn)程購(gòu)物等應(yīng)用將逐步從實(shí)驗(yàn)室走出，不再只是幻想。網(wǎng)絡(luò)多媒體技術(shù)的應(yīng)用也將成為網(wǎng)絡(luò)發(fā)展的熱點(diǎn)話題。第三章園區(qū)網(wǎng)設(shè)計(jì)3.1需求分析某企業(yè)園區(qū)剛剛建成，是一大型企業(yè)的分支機(jī)構(gòu)，為了實(shí)現(xiàn)企業(yè)的辦公信息自動(dòng)化，擴(kuò)大企業(yè)的影響，方便和總部的信息交流，需要建立自己企業(yè)的Intranet。企業(yè)現(xiàn)在有2幢9層的辦公大樓，分別是生產(chǎn)部和銷售部，另外還有一個(gè)家屬區(qū)，家屬區(qū)有3幢6層的大樓，兩個(gè)相距300米。企業(yè)局域網(wǎng)需要考慮覆蓋辦公區(qū)和家屬區(qū)。局域網(wǎng)需要實(shí)現(xiàn)的目標(biāo)如下：①實(shí)現(xiàn)有效的信息交換和共享。企業(yè)通過(guò)兩條專線接入電信和網(wǎng)通。②企業(yè)需要實(shí)現(xiàn)辦公自動(dòng)化。局域網(wǎng)提供企業(yè)內(nèi)部電子郵件收發(fā)、信息瀏覽、文件管理、會(huì)議管理、電子公告等多方面應(yīng)用。③為了擴(kuò)大企業(yè)的影響，企業(yè)對(duì)外提供自己的宣傳網(wǎng)站，并且能夠保證網(wǎng)站安全，不受外部或者內(nèi)部攻擊。④充分考慮今后各部門(mén)的接入擴(kuò)展性。⑤充分考慮企業(yè)內(nèi)部網(wǎng)絡(luò)的安全性。3.2網(wǎng)絡(luò)設(shè)計(jì)原則我們遵循以下的原則進(jìn)行網(wǎng)絡(luò)設(shè)計(jì)：實(shí)用性實(shí)用性是網(wǎng)絡(luò)系統(tǒng)建設(shè)的首要原則，該網(wǎng)絡(luò)必須最大限度的滿足需求，保證網(wǎng)絡(luò)服務(wù)的質(zhì)量，否則就會(huì)影響日常工作效率。標(biāo)準(zhǔn)化整個(gè)網(wǎng)絡(luò)從設(shè)計(jì)、技術(shù)和設(shè)備的選擇，要確保將來(lái)可能的不同廠家設(shè)備、不同應(yīng)用、不同協(xié)議連接的需求，必須支持國(guó)際標(biāo)準(zhǔn)的網(wǎng)絡(luò)接口和協(xié)議，以提供高度的開(kāi)放性。先進(jìn)性先進(jìn)性主要是針對(duì)網(wǎng)絡(luò)系統(tǒng)的設(shè)計(jì)思想、網(wǎng)絡(luò)結(jié)構(gòu)、軟硬件設(shè)施以及所選用技術(shù)等方面。只有先進(jìn)的技術(shù)才可能為網(wǎng)絡(luò)帶來(lái)更高的性能，并且能保證在技術(shù)上不容易被淘汰?？蓴U(kuò)展性可擴(kuò)展性是指該網(wǎng)絡(luò)系統(tǒng)能夠適應(yīng)需求的變化。隨著技術(shù)發(fā)展，信息量增多和業(yè)務(wù)的擴(kuò)大，網(wǎng)絡(luò)將在規(guī)模和性能兩方面進(jìn)行一定程度的擴(kuò)展?？煽啃跃W(wǎng)絡(luò)要求具有高可靠性，高穩(wěn)定性和足夠的冗余，提供拓?fù)浣Y(jié)構(gòu)及設(shè)備的冗余和備份，為了防止局部故障引起整個(gè)網(wǎng)絡(luò)系統(tǒng)的癱瘓，要避免網(wǎng)絡(luò)出現(xiàn)單點(diǎn)失效，核心設(shè)備需要支持冗余備份。安全性網(wǎng)絡(luò)安全性在整個(gè)網(wǎng)絡(luò)中是個(gè)很重要的問(wèn)題，網(wǎng)絡(luò)系統(tǒng)建設(shè)應(yīng)采取一定手段控制網(wǎng)絡(luò)的安全性，以保證網(wǎng)絡(luò)正常運(yùn)行。管理性隨著網(wǎng)絡(luò)規(guī)模和復(fù)雜程度的增加，管理和故障排除就會(huì)越來(lái)越困難。為保障網(wǎng)絡(luò)中心的正常運(yùn)行，網(wǎng)絡(luò)必須易于管理，支持網(wǎng)絡(luò)網(wǎng)段與端口的監(jiān)控、網(wǎng)絡(luò)流量與出錯(cuò)的統(tǒng)計(jì)、網(wǎng)絡(luò)故障的定位、診斷、修復(fù)。3.3網(wǎng)絡(luò)模型設(shè)計(jì)圖3.1典型的三層網(wǎng)絡(luò)模型三層網(wǎng)絡(luò)架構(gòu)采用層次化模型設(shè)計(jì)，即將復(fù)雜的網(wǎng)絡(luò)設(shè)計(jì)分成三個(gè)層次，每個(gè)層次著重于某些特定的功能，這樣就能夠使一個(gè)復(fù)雜的大問(wèn)題變成許多簡(jiǎn)單的小問(wèn)題。三層網(wǎng)絡(luò)架構(gòu)設(shè)計(jì)的網(wǎng)絡(luò)有以下三個(gè)層次：3.3.1核心層（CoreLayer）核心層是網(wǎng)絡(luò)的高速交換主干,對(duì)整個(gè)網(wǎng)絡(luò)的連通起到至關(guān)重要的作用。核心層應(yīng)該具有如下幾個(gè)特性:可靠性、高效性、冗余性、容錯(cuò)性、可管理性、適應(yīng)性、低延時(shí)性等。該層必須是基于千兆高速交換和路由的設(shè)計(jì)，設(shè)備的性能容量也是最高的（高達(dá)百Gbps容量和每秒千萬(wàn)級(jí)數(shù)據(jù)包轉(zhuǎn)發(fā)能力）。主要是由全模塊化的高性能多層路由交換機(jī)和高性能服務(wù)器組成，系統(tǒng)帶寬必須是千兆甚至10Gbps。3.3.2匯聚層（DistributionLayer）匯聚層是網(wǎng)絡(luò)接入層和核心層的“中介”，就是在工作站接入核心層前先做匯聚，以減輕核心層設(shè)備的負(fù)荷。匯聚層具有實(shí)施路由策略、安全、工作組接入、虛擬局域網(wǎng)(VLAN)之間的路由、源地址或目的地址過(guò)濾等多種功能。該層一般采用100M或1000M的快速交換路由設(shè)計(jì)，設(shè)備的性能容量性也很高，主要由固定配置+可選模塊的三層路由交換設(shè)備組成。3.3.3接入層（AccessLayer）接入層向本地網(wǎng)段提供工作站接入。在接入層中，減少同一網(wǎng)段的工作站數(shù)量,能夠向工作組提供高速帶寬。訪問(wèn)層是由100M快速以太網(wǎng)交換機(jī)和客戶機(jī)組成，該層次一般采用100M快速以太網(wǎng)，采用可管理的固定配置的工作組級(jí)別的交換機(jī)，能提供多層堆疊功能實(shí)現(xiàn)大量用戶的接入。三層網(wǎng)絡(luò)架構(gòu)的特點(diǎn)是網(wǎng)絡(luò)性能高，層次清晰，網(wǎng)絡(luò)管理直觀、方便，并合理地分散了網(wǎng)絡(luò)設(shè)備帶來(lái)的安全風(fēng)險(xiǎn)，網(wǎng)絡(luò)結(jié)構(gòu)安全可靠。3.4網(wǎng)絡(luò)模型選擇單核心網(wǎng)絡(luò)模型適用于規(guī)模小，信息節(jié)點(diǎn)少，對(duì)網(wǎng)絡(luò)冗余性要求不高的網(wǎng)絡(luò)，一般中小學(xué)網(wǎng)絡(luò)最為常見(jiàn)，而雙核心網(wǎng)絡(luò)模型適用于規(guī)模大，信息節(jié)點(diǎn)多，網(wǎng)絡(luò)冗余性要求高的網(wǎng)絡(luò)，一般的園區(qū)網(wǎng)都使用雙核心網(wǎng)絡(luò)。3.5園區(qū)網(wǎng)絡(luò)拓?fù)鋱D圖3.2三層網(wǎng)絡(luò)架構(gòu)的園區(qū)網(wǎng)拓?fù)鋱D3.6IP地址規(guī)劃在構(gòu)建基于TCP/IP的企業(yè)網(wǎng)絡(luò)時(shí)，IP地址的選擇是根據(jù)企業(yè)網(wǎng)絡(luò)規(guī)模大小從以下三類國(guó)際Internet組織公布的私有網(wǎng)段中產(chǎn)生，這些范圍內(nèi)的IP地址不在Internet上傳輸，是專門(mén)提供給企業(yè)用來(lái)建設(shè)內(nèi)部網(wǎng)絡(luò)(Intranet)：A類私有IP:——55。B類私有IP:——55。C類私有IP:——55。對(duì)于小型園區(qū)網(wǎng)絡(luò)，由于上網(wǎng)用戶少、設(shè)備數(shù)量少，建議使用地址空間小的/16的網(wǎng)絡(luò)。而對(duì)于中大型園區(qū)網(wǎng)絡(luò)，如三層結(jié)構(gòu)的校園網(wǎng)，由于上網(wǎng)人數(shù)多，設(shè)備數(shù)量多，建議采用地址空間大的/8的網(wǎng)絡(luò)。3.7VLAN規(guī)劃虛擬局域網(wǎng)(VLAN)是將局域網(wǎng)內(nèi)廣播域邏輯地劃分為若干子網(wǎng)。在一個(gè)交換局域網(wǎng)中，所有局域網(wǎng)段通過(guò)交換機(jī)連接到一起，路由器連在交換機(jī)上(如果是三層交換機(jī)，則不需路由器)，可以按網(wǎng)段和站點(diǎn)的邏輯分組形成廣播域，通過(guò)在局域網(wǎng)交換機(jī)內(nèi)過(guò)濾廣播包，使得源于特定虛擬局域網(wǎng)的信息包僅傳送到那些也屬于這個(gè)虛擬局域網(wǎng)的網(wǎng)段上。虛擬局域網(wǎng)之間的尋徑由路由器完成。虛擬局域網(wǎng)建立以后，能有效地控制網(wǎng)絡(luò)的廣播風(fēng)暴，減少不必要的資源帶寬浪費(fèi)，并能隨著企業(yè)規(guī)模的發(fā)展和調(diào)整改變通信流的模式。VLAN規(guī)劃需要考慮如下因素：①用戶VLAN與設(shè)備管理VLAN分開(kāi)(IP地址)。②為網(wǎng)絡(luò)擴(kuò)容進(jìn)行可匯總的預(yù)留設(shè)計(jì)。③IP地址與VLAN編號(hào)(其它相關(guān)因素)有一定的對(duì)照性。如圖3.3所示：圖3.3IP和VLAN對(duì)應(yīng)規(guī)則根據(jù)具體需求與安全性要求等情況綜合分析，園區(qū)網(wǎng)IP地址詳細(xì)規(guī)劃如表3.4所示：表3.4IP地址規(guī)劃表物理位置VLAN范圍IP網(wǎng)段默認(rèn)網(wǎng)關(guān)獲取方式住宿區(qū)VLAN10——VLAN30——/24172.16.x.254/24DHCP辦公區(qū)VLAN40——VLAN50——/24172.16.x.254/24DHCP服務(wù)器組VLAN100--5354靜態(tài)指定3.8路由協(xié)議選擇路由協(xié)議可分為距離矢量、鏈路狀態(tài)和混合型路由協(xié)議。使用距離矢量路由協(xié)議時(shí)，所有路由器只能向它的鄰居路由器發(fā)送自己的整張路由表。然后路由器使用接收到的路由條目確定是否需要更新自己的路由表。這個(gè)過(guò)程會(huì)周期性的重復(fù)進(jìn)行。與此相反，當(dāng)網(wǎng)絡(luò)使用鏈路狀態(tài)路由協(xié)議時(shí)，每個(gè)路由器可以向其它所有的路由器發(fā)送自己的接口（鏈路）狀態(tài)信息，但是這僅僅發(fā)生在網(wǎng)絡(luò)拓?fù)浒l(fā)生變化的時(shí)候，每個(gè)路由器使用收到的鏈路狀態(tài)信息重新計(jì)算自己到每個(gè)目標(biāo)網(wǎng)絡(luò)的最佳途徑，然后把這些路由信息保存到自己的路由表中?；旌闲吐酚蓞f(xié)議，顧名思義，該協(xié)議借用了距離矢量和鏈路狀態(tài)協(xié)議的思想。混合型協(xié)議能向鄰居路由器（類似距離矢量）發(fā)送變動(dòng)的信息（類似鏈路狀態(tài)）。路由協(xié)議的比較①路由信息協(xié)議（RoutingInformationProtocol,RIP）RIP是一種簡(jiǎn)單的動(dòng)態(tài)路由協(xié)議，RIP至今有兩個(gè)版本，RIPv1和RIPv2，后者是前者的改進(jìn)版本，RIP是一種有類的距離矢量路由協(xié)議，它最顯著的特點(diǎn)是在路由更新報(bào)文中不攜帶子網(wǎng)信息，RIP默認(rèn)的管理距離是120，它使用跳數(shù)做為度量值，最大跳數(shù)是15，如果超過(guò)15就認(rèn)為目標(biāo)網(wǎng)絡(luò)不可達(dá)，所以RIP只能適用于小型的網(wǎng)絡(luò)中。②內(nèi)部網(wǎng)關(guān)路由協(xié)議（InteriorGatewayRoutingProtocol,IGRP）IGRP是Cisco私有的協(xié)議，其目的是為了取代RIP，它也是一種距離矢量路由協(xié)議，IGRP克服了RIP的一些嚴(yán)重缺陷，如IGRP在計(jì)算路由度量值時(shí)沒(méi)有使用跳數(shù)，而是采用鏈路特征，因此要優(yōu)于RIP協(xié)議。但由于IGRP是Cisco私有的協(xié)議，非Cisco廠商的設(shè)備不能支持IGRP協(xié)議，它的改進(jìn)版是EIGRP。③增強(qiáng)型內(nèi)部網(wǎng)關(guān)路由協(xié)議（EnhancedInteriorGatewayRoutingProtocol,EIGRP）EIGRP是增強(qiáng)型的IGRP協(xié)議，它是一種典型的平衡混合路由選擇協(xié)議，它融合了距離矢量和鏈路狀態(tài)兩種路由協(xié)議的優(yōu)點(diǎn)，使用一種散射更新算法，實(shí)現(xiàn)了很高的路由性能，但由于EIGRP也是Cisco私有協(xié)議，不能在其它非Cisco設(shè)備上使用，它的應(yīng)用也受到了限制。④開(kāi)放最短路徑優(yōu)先（OpenShortestPathFirst,OSPF）OSPF是一種典型的鏈路狀態(tài)、無(wú)類別IP路由協(xié)議，OSPF能夠適應(yīng)大型IP網(wǎng)絡(luò)的擴(kuò)展，而基于距離矢量的IP路由協(xié)議如RIP和IGRP則不能適應(yīng)這種網(wǎng)絡(luò)。OSPF基于鏈路狀態(tài)，其路由是基于網(wǎng)絡(luò)地址及鏈路狀態(tài)度量的。作為一種自適應(yīng)協(xié)議，OSPF可以根據(jù)網(wǎng)絡(luò)狀態(tài)故障情況自動(dòng)調(diào)整，具有收斂時(shí)間短的優(yōu)點(diǎn)，有利于路由表的快速穩(wěn)定，這樣使OSPF可以支持大型的網(wǎng)絡(luò)。OSPF的設(shè)計(jì)可以防止通信數(shù)據(jù)形成環(huán)路，這對(duì)于網(wǎng)狀網(wǎng)絡(luò)或由多個(gè)路由器實(shí)現(xiàn)的不同局域網(wǎng)互聯(lián)非常重要。OSPF還有其它一些特性：①使用了區(qū)域的概念，有效的減少了路由選擇協(xié)議對(duì)路由器的CPU和內(nèi)存的占用率，劃分區(qū)域還可以降低路由協(xié)議的通信量，從而使構(gòu)建層次化互聯(lián)網(wǎng)成為可能。②完全無(wú)類別地處理地址問(wèn)題，排除了有類路由協(xié)議存在的問(wèn)題。③支持使用多條路由路徑的、效率更高的負(fù)載均衡。④使用保留的組播地址來(lái)減少對(duì)不運(yùn)行OSPF協(xié)議的設(shè)備的影響。⑤支持更安全的路由選擇認(rèn)證。⑥使用可以跟蹤外部路由的路由標(biāo)記。經(jīng)過(guò)各種路由協(xié)議的對(duì)比和選擇，園區(qū)網(wǎng)適合采用OSPF路由協(xié)議。3.9網(wǎng)絡(luò)設(shè)備選擇通過(guò)對(duì)目前市場(chǎng)上設(shè)備的性能分析，結(jié)合企業(yè)實(shí)際和對(duì)網(wǎng)絡(luò)擴(kuò)展性的考慮，以及基于高性能、全交換，可擴(kuò)展性強(qiáng)，系統(tǒng)安全，保密性高，管理簡(jiǎn)單，保護(hù)投資的選擇原則，選擇了以下4款設(shè)備：出口設(shè)備：RG-WALL16001臺(tái)；RSR20-181臺(tái)；RG-NPE60E1臺(tái)。核心設(shè)備：S86102臺(tái)，配置千兆光纜接口4塊。匯聚設(shè)備：S3560-244臺(tái)，每臺(tái)配置2塊千兆光纜接口。接入設(shè)備：S2126G二層交換機(jī)4臺(tái)。鏈路設(shè)備：萬(wàn)兆光纖、千兆光纖、雙絞線。3.10配置規(guī)范①主機(jī)命名規(guī)范如果客戶有規(guī)范或明確合理要求，則按照客戶的規(guī)范或要求進(jìn)行配置。如金融行業(yè)規(guī)范。如果客戶沒(méi)有規(guī)范或明確合理要求，可參考設(shè)備位置、網(wǎng)絡(luò)位置、設(shè)備型號(hào)、設(shè)備編號(hào)等因素，在項(xiàng)目中制定統(tǒng)一的命名規(guī)范。主機(jī)命名規(guī)范如下圖3.5所示：圖3.5主機(jī)命名規(guī)范②設(shè)備互聯(lián)接口描述項(xiàng)目中所有涉及到可網(wǎng)管設(shè)備互聯(lián)的端口必須配置端口描述。如圖3.6所示：圖3.6互聯(lián)接口描述③登陸密碼配置項(xiàng)目中所有可網(wǎng)管設(shè)備必須配置特權(quán)密碼及遠(yuǎn)程登陸密碼。④系統(tǒng)時(shí)間配置項(xiàng)目中所有可網(wǎng)管設(shè)備必須重新設(shè)置正確的系統(tǒng)時(shí)間。⑤二層交換機(jī)管理IP配置項(xiàng)目中可網(wǎng)管二交換機(jī)必須配置管理IP地址，供管理員遠(yuǎn)程管理設(shè)備所用。第四章網(wǎng)絡(luò)安全設(shè)計(jì)園區(qū)網(wǎng)的安全是一個(gè)綜合問(wèn)題，它包含網(wǎng)絡(luò)設(shè)備和人為因素兩個(gè)方面以及與外網(wǎng)（Internet）接口上的安全問(wèn)題。網(wǎng)絡(luò)的有效性和可靠性即它的可連續(xù)運(yùn)行的安全性是網(wǎng)絡(luò)建設(shè)必須考慮的首要原則，從用戶的角度考慮，當(dāng)網(wǎng)絡(luò)所需的服務(wù)不可用時(shí)，不管是何種原因，網(wǎng)絡(luò)就失去了實(shí)際價(jià)值。從另一角度看，當(dāng)某種網(wǎng)絡(luò)服務(wù)的響應(yīng)時(shí)間變得變幻莫測(cè)時(shí)，網(wǎng)絡(luò)系統(tǒng)也不可靠了。為此我們?cè)诰W(wǎng)絡(luò)設(shè)計(jì)上就考慮了以下的技術(shù)來(lái)提高安全性。4.1VLAN技術(shù)VLAN技術(shù)是通過(guò)路由和交換設(shè)備，在網(wǎng)絡(luò)的物理拓?fù)浠A(chǔ)上建立的一個(gè)邏輯的網(wǎng)絡(luò)。VLAN可以看作是一個(gè)廣播域，它們不受地理位置的限制而像處于同一LAN上那樣相互交換信息。VLAN是在交換網(wǎng)絡(luò)中實(shí)現(xiàn)的。每個(gè)交換設(shè)備均可根據(jù)網(wǎng)絡(luò)管理人員所定義的VLAN劃分方法對(duì)報(bào)文進(jìn)行過(guò)濾和轉(zhuǎn)發(fā)，并能將這種劃分信息傳遞到網(wǎng)絡(luò)中其它交換設(shè)備和路由器中去?？梢韵拗芕LAN中的用戶數(shù)量，禁止那些沒(méi)有得到許可的用戶加入到某個(gè)VLAN中。這樣，可以控制用戶對(duì)網(wǎng)絡(luò)資源的訪問(wèn)，控制廣播組的大小和組成，并借助網(wǎng)管軟件在發(fā)生非法入侵時(shí)通知管理員。交換機(jī)上劃分VLAN方法如圖4.1所示：圖4.1交換機(jī)劃分VLAN方法4.2AAA技術(shù)AAA認(rèn)證體系結(jié)構(gòu)包括鑒別（Authentication）、授權(quán)（Authorization）和記賬（Accounting）。鑒別過(guò)程主要完成用戶身份識(shí)別，并為該用戶指定特權(quán)級(jí)別，控制該用戶對(duì)網(wǎng)絡(luò)資源和服務(wù)的訪問(wèn)和使用，在允許訪問(wèn)前，用戶必須首先通過(guò)鑒別。授權(quán)過(guò)程決定用戶或用戶組可以訪問(wèn)的指定服務(wù)和網(wǎng)絡(luò)資源，該過(guò)程也定義在用戶在資源上的可執(zhí)行的操作。記賬的過(guò)程主要是收集信息，以確定誰(shuí)在使用哪些資源。4.3VPN技術(shù)虛擬專用網(wǎng)（VirtualPrivateNetwork，VPN）技術(shù)的基本思路是充分利用現(xiàn)有的公用網(wǎng)絡(luò)來(lái)建立一個(gè)私有的、安全的連接，即建立一條穿過(guò)混亂的公用網(wǎng)絡(luò)的安全、穩(wěn)定的隧道，同時(shí)避免昂貴的專線租用費(fèi)用，它使用的是建立在物理連接基礎(chǔ)上的邏輯連接，客戶并不能意識(shí)到實(shí)際的物理連接，而且在穿越Internet進(jìn)行路由時(shí)，其安全性與在專用網(wǎng)絡(luò)中進(jìn)行安全路由的安全性基本相同。4.4防火墻技術(shù)目前，在保護(hù)計(jì)算機(jī)網(wǎng)絡(luò)安全的設(shè)備中，使用最多的就是防火墻。防火墻是在兩個(gè)網(wǎng)絡(luò)之間執(zhí)行控制策略的系統(tǒng)，這兩個(gè)網(wǎng)絡(luò)中，通常一個(gè)是要保護(hù)的內(nèi)部網(wǎng)，一個(gè)是外部網(wǎng)，防火墻在內(nèi)部網(wǎng)和外部網(wǎng)之間構(gòu)成一道屏障，通過(guò)檢測(cè)、限制或者更改通過(guò)它的數(shù)據(jù)流，對(duì)外屏蔽內(nèi)部網(wǎng)的信息、結(jié)構(gòu)和運(yùn)行狀況，以防止發(fā)生網(wǎng)絡(luò)入侵或攻擊，達(dá)到對(duì)內(nèi)部網(wǎng)的安全保護(hù)。防火墻原理如圖4.2所示：圖4.2防火墻原理圖4.5安裝殺毒軟件網(wǎng)絡(luò)的普及帶來(lái)了計(jì)算機(jī)的飛速發(fā)展，計(jì)算機(jī)進(jìn)入了尋常百姓家，個(gè)人電腦的安全問(wèn)題顯得尤為重要，尤其是政府重點(diǎn)部門(mén)，在防毒殺毒、系統(tǒng)保護(hù)方面等方面提出更高的要求，銷售防毒殺毒產(chǎn)品的公司很多，如國(guó)外的諾頓、卡巴斯基，國(guó)內(nèi)的360、金山等。4.6其它安全措施服務(wù)器本身的安全考慮：不同的功能應(yīng)盡量分布在不同的主機(jī)上，出于節(jié)省投資，有時(shí)需要將多種應(yīng)用系統(tǒng)合并到一臺(tái)物理主機(jī)上承載，例如，一臺(tái)服務(wù)器同時(shí)提供HTTP服務(wù)和數(shù)據(jù)庫(kù)服務(wù)?？紤]服務(wù)器合并時(shí)，不僅考慮它的承載能力和處理能力，還要考慮合并的各種服務(wù)的安全級(jí)別。不要把對(duì)外服務(wù)的應(yīng)用與對(duì)內(nèi)管理的應(yīng)用合并。操作系統(tǒng)：授予不同用戶不同的權(quán)限。應(yīng)用軟件：在應(yīng)用軟件開(kāi)發(fā)中，也需要考慮分級(jí)權(quán)限控制，以防止錯(cuò)誤操作引起系統(tǒng)數(shù)據(jù)丟失。最后系統(tǒng)管理員要養(yǎng)成良好的安全管理習(xí)慣，例如：定期修改管理員口令，避免使用規(guī)律的、易猜測(cè)的密碼，定期檢查安全漏洞等。第五章網(wǎng)絡(luò)模擬實(shí)現(xiàn)5.1模擬器介紹DynamipsGUI是由國(guó)人CCIE小凡開(kāi)發(fā)的一個(gè)思科模擬器圖形前端。它不僅整合了思科所有的IOS模擬器，而且還整合了BES以及VPCS。小凡模擬器（DynamipsGUI）是一個(gè)學(xué)習(xí)配置思科設(shè)備的很好的工具，它能在PC機(jī)的環(huán)境下真實(shí)運(yùn)行思科設(shè)備IOS，絕大部分命令都支持，就和在真實(shí)思科設(shè)備上運(yùn)行相差無(wú)幾。DynamipsGUI主界面如圖5.1所示：圖5.1DynamipsGUI主界面SecureCRT將SSH的安全登錄、數(shù)據(jù)傳送性能和Windows終端仿真提供的可靠性、可用性和可配置性結(jié)合在一起。通過(guò)它可以登錄到路由器和交換機(jī)上對(duì)設(shè)備進(jìn)行配置和備份等操作。SecureCRT主界面如圖6.2所示：圖5.2SecureCRT主界面5.2模擬環(huán)境拓?fù)鋱D由于園區(qū)網(wǎng)絡(luò)規(guī)模過(guò)大，本次只能針對(duì)對(duì)部分重要節(jié)點(diǎn)和典型區(qū)域進(jìn)行模擬配置工作，在此次實(shí)驗(yàn)中，使用Cisco3640路由交換機(jī)模擬整個(gè)實(shí)驗(yàn)，IOS使用c3640-jk9o3s-mz.124-16a.bin，模擬器網(wǎng)絡(luò)拓?fù)淙鐖D5.3所示：圖5.3模擬器網(wǎng)絡(luò)拓?fù)?.3需求實(shí)現(xiàn)某園區(qū)網(wǎng)拓?fù)浼耙?guī)劃上圖所示，其中RSR-1是園區(qū)網(wǎng)出口路由器，RSR-1和ISP之間互聯(lián)接口是S0/0，互聯(lián)地址分別是/24和/24。兩臺(tái)S57是園區(qū)網(wǎng)核心設(shè)備，和RSR-1互聯(lián)地址段是/24和/24。S26-1和S26-2是兩臺(tái)接入設(shè)備，下聯(lián)用戶VLAN10和VLAN20，對(duì)應(yīng)用戶子網(wǎng)分別是/24和/24，網(wǎng)關(guān)分別是54和54。RSR-1、S57-1和S57-2運(yùn)行OSPF，都屬于AREA0。實(shí)現(xiàn)以下需求：①所有通過(guò)S26接入的用戶IP地址必須動(dòng)態(tài)獲得，不允許私設(shè)IP地址，DHCP服務(wù)器是兩臺(tái)S57交換機(jī)。②S26上連接用戶的端口必須能夠快速收斂，防止可能存在的環(huán)路，其它不用的端口必須手動(dòng)關(guān)閉。③S57-1為VLAN10的根網(wǎng)橋，S57-2為VLAN20的根網(wǎng)橋。S57-1和S57-2交換機(jī)上的端口f0/14-15加入port-channel1，并把port-channel1設(shè)為trunk模式。④兩臺(tái)三層交換機(jī)上配置HSRP或者VRRP協(xié)議，為了實(shí)現(xiàn)冗余備份和負(fù)載均衡，在S57-1上，VLAN10為Active，VLAN20為Standby；在S57-2上，VLAN10為Standby，VLAN20為Active。⑤用戶需要訪問(wèn)ISP的網(wǎng)絡(luò)時(shí)，其中VLAN10的數(shù)據(jù)路徑是S26-1——S57-1——RSR-1——ISP，VLAN20的數(shù)據(jù)路徑是S26-2——S57-2——RSR-1——ISP，兩條路徑互為主備。⑥在RSR-1上配置動(dòng)態(tài)NAT，實(shí)現(xiàn)內(nèi)部網(wǎng)絡(luò)私有地址到外部網(wǎng)絡(luò)公有地址的轉(zhuǎn)換。5.4配置方法①預(yù)配置每臺(tái)設(shè)備的預(yù)配置如下（以S26為例）：Router#configt//進(jìn)入全局配置模式Enterconfigurationcommands,oneperline.EndwithCNTL/Z.Router(config)#noipdolo//關(guān)閉設(shè)備的域名解析Router(config)#hostS26//給設(shè)備命名S26(config)#enablesecretruijie//設(shè)置進(jìn)入特權(quán)模式的密碼S26(config)#linecon0S26(config-line)#noexec-t//關(guān)閉console口的超時(shí)退出S26(config-line)#logginsyn//啟用console口的日志同步功能S26(config-line)#exit②配置VTP為了便于管理VLAN，需要在每臺(tái)交換機(jī)上配置VTP協(xié)議，匯聚層設(shè)備為VTPServer，接入層設(shè)備為VTPClient。在配置VTP協(xié)議前，需要將相連的交換機(jī)之間直連的端口設(shè)置為trunk模式，且VTPdomain必須相同，才可以交換VTP信息。這里以S57-1為例：S57-1#vlandata//進(jìn)入VLAN數(shù)據(jù)庫(kù)模式S57-1(vlan)#vtpserver//設(shè)置VTPServerS57-1(vlan)#vtpdomaintest//設(shè)置VTP域名S57-1(vlan)#vtppass123//設(shè)置VTP密碼S57-1(vlan)#vtppruning//啟用VTP裁剪S57-1(vlan)#exit//保存并退出③配置STP配置STP協(xié)議是為了防止發(fā)生二層網(wǎng)絡(luò)的環(huán)路，并且還可以進(jìn)行二層的冗余備份，這里修改網(wǎng)橋的優(yōu)先級(jí)，實(shí)現(xiàn)VLAN10的流量走S57-1，VLAN20的流量走S57-2。以S57-1為例：S57-1(config)#spanning-treevlan1priority4096S57-1(config)#spanning-treevlan10priority4096//設(shè)置vlan10對(duì)應(yīng)的網(wǎng)橋優(yōu)先級(jí)S57-1(config)#spanning-treevlan20priority8192④Port-channel接口配置配置Port-channel既可以增加鏈路帶寬，同時(shí)也可以實(shí)現(xiàn)鏈路的冗余備份。這里以S57-1為例：S57-1(config)#intrangef0/14-15S57-1(config-if-range)#channel-group1modeonS57-1(config)#interfaceport-channel1S57-1(config-if)#switchporttrunkencapsulationdot1q//封裝dot1qS57-1(config-if)#switchportmodetrunk//配置trunk⑤配置HSRP協(xié)議在S57-1和S57-2上配置HSRP協(xié)議，可以實(shí)現(xiàn)網(wǎng)關(guān)設(shè)備的冗余。在S57-1上，設(shè)置VLAN10為Active，VLAN20為Standby，在S57-2上設(shè)置VLAN10為Standby，VLAN20為Active。S57-1(config)#intvlan10S57-1(config-if)#standby10ip54//設(shè)置虛擬網(wǎng)關(guān)的IP地址S57-1(config-if)#standby10priority120//設(shè)置HSRP的優(yōu)先級(jí)，默認(rèn)為100S57-1(config-if)#standbypreempt//開(kāi)啟搶占模式，配置此命令后，當(dāng)路由器發(fā)現(xiàn)本機(jī)優(yōu)先級(jí)比現(xiàn)在任何同一Standby組中的Active路由器高時(shí)，則本機(jī)將成為Active，當(dāng)前Active路由器則降為Standby。S57-1(config-if)#standby10trackf0/050//開(kāi)啟接口追蹤，當(dāng)發(fā)現(xiàn)跟蹤端口Down時(shí)，本路由器standbypriority自動(dòng)降低50S57-1(config-if)#exitS57-1(config)#intvlan20S57-1(config-if)#standby20ip54S57-1(config-if)#standbypreempt//在Standby網(wǎng)段也需要配置搶占模式，目的是為了當(dāng)Active路由器Down時(shí)，本路由能夠迅速有Standby成為Active。⑥配置DHCP由于在大型的園區(qū)網(wǎng)中，為每一個(gè)接入設(shè)備手工配置IP地址是一件非常耗費(fèi)時(shí)間的事情，所以在一般的園區(qū)網(wǎng)中采用DHCP動(dòng)態(tài)分配IP地址，這樣可以減少客戶機(jī)的配置復(fù)雜度，減少手工配置IP地址導(dǎo)致的錯(cuò)誤。S57-1(config)#servicedhcp//開(kāi)啟DHCP服務(wù)S57-1(config)#ipdhcppoolv10//給地址池命名S57-1(dhcp-config)#network//定義需要分配的網(wǎng)段S57-1(dhcp-config)#default-router54//指定默認(rèn)網(wǎng)關(guān)S57-1(dhcp-config)#dns-server3//指定DNS服務(wù)器地址S57-1(dhcp-config)#exitS57-1(config)#ipdhcpexcluded-address52//定義需要排除的地址S57-1(config)#ipdhcpexcluded-address53S57-1(config)#ipdhcpexcluded-address54S57-1(config)#ipdhcppoolv20S57-1(dhcp-config)#networkS57-1(dhcp-config)#default-router54S57-1(dhcp-config)#dns-server3S57-1(dhcp-config)#exitS57-1(config)#ipdhcpexcluded-address52S57-1(config)#ipdhcpexcluded-address53S57-1(config)#ipdhcpexcluded-address54S57-1(config)#exit⑦配置NATNAT用于解決IP地址短缺問(wèn)題，由于內(nèi)部網(wǎng)絡(luò)的私有IP地址不能在公網(wǎng)上通過(guò)路由器轉(zhuǎn)發(fā)，所以出口路由器需要配置動(dòng)態(tài)NAT進(jìn)行地址轉(zhuǎn)換，這樣不僅可以解決不能訪問(wèn)外網(wǎng)的問(wèn)題，還可以保護(hù)內(nèi)部網(wǎng)絡(luò)，免受來(lái)自外部網(wǎng)絡(luò)的攻擊。RSR-1(config)#access-list10permit55//使用ACL抓取感興趣的流量RSR-1(config)#access-list10permit55RSR-1(config)#ipnatpoolcisco0netmask//配置地址池RSR-1(config)#ipnatinsidesourcelist10poolciscooverload//把地址池和ACL應(yīng)用到NAT中RSR-1(config)#ints0/0RSR-1(config)#ipnatoutside//指定需要進(jìn)行地址轉(zhuǎn)換的接口RSR-1(config)#intf1/0RSR-1(config)#ipnatinsideRSR-1(config)#intf2/0RSR-1(config)#ipnatinsid第六章網(wǎng)絡(luò)測(cè)試一個(gè)剛剛建成的新網(wǎng)絡(luò)，必須進(jìn)行一些列嚴(yán)格的測(cè)試，才能保證網(wǎng)絡(luò)的正常運(yùn)行，網(wǎng)絡(luò)測(cè)試一般包括單體測(cè)試、連通性測(cè)試、冗余性測(cè)試。6.1單體測(cè)試單體測(cè)試的目的是測(cè)試各設(shè)備是否能正常工作，有沒(méi)有硬件或者軟件問(wèn)題。①筆記本連接到待測(cè)設(shè)備的console口，給設(shè)備加電。②進(jìn)入到命令行界面，用showversion，showdiag等命令查看設(shè)備序列號(hào)，檢查各模塊是否正常工作。如下所示：RSR-1#showversionCiscoIOSSoftware,3600Software(C3640-JK9O3S-M),Version12.4(16a),RELEASESOFTWARE(fc2)TechnicalSupport:/techsupportCopyright(c)1986-2007byCiscoSystems,Inc.CompiledMon10-Sep-0712:25byprod_rel_teamROM:ROMMONEmulationMicrocodeROM:3600Software(C3640-JK9O3S-M),Version12.4(16a),RELEASESOFTWARE(fc2)RSR-1uptimeis24minutesSystemreturnedtoROMbyunknownreloadcause-suspectboot_data[BOOT_COUNT]0x0,BOOT_COUNT0,BOOTDATA19Systemimagefileis"t55/unknown"ThisproductcontainscryptographicfeaturesandissubjecttoUnitedStatesandlocalcountrylawsgoverningimport,export,transferanduse.DeliveryofCiscocryptographicproductsdoesnotimplythird-partyauthoritytoimport,export,distributeoruseencryption.Importers,exporters,distributorsandusersareresponsibleforcompliancewithU.S.andlocalcountrylaws.Byusingthisproductyouagreetocomplywithapplicablelawsandregulations.IfyouareunabletocomplywithU.S.andlocallaws,returnthisproductimmediately.AsummaryofU.S.lawsgoverningCiscocryptographicproductsmaybefoundat:/wwl/export/crypto/tool/stqrg.htmlIfyourequirefurtherassistancepleasecontactusbysendingemailtoexport@.Cisco3640(R4700)processor(revision0xFF)with94208K/4096Kbytesofmemory.ProcessorboardID00000000R4700CPUat100MHz,Implementation33,Rev1.22FastEthernetinterfaces4SerialinterfacesDRAMconfigurationis64bitswidewithparityenabled.125KbytesofNVRAM.8192KbytesofprocessorboardSystemflash(Read/Write)Configurationregisteris0x2142RSR-1#showiprouteCodes:C-connected,S-static,R-RIP,M-mobile,B-BGPD-EIGRP,EX-EIGRPexternal,O-OSPF,IA-OSPFinterareaN1-OSPFNSSAexternaltype1,N2-OSPFNSSAexternaltype2E1-OSPFexternaltype1,E2-OSPFexternaltype2i-IS-IS,su-IS-ISsummary,L1-IS-ISlevel-1,L2-IS-ISlevel-2ia-IS-ISinterarea,*-candidatedefault,U-per-userstaticrouteo-ODR,P-periodicdownloadedstaticrouteGatewayoflastresortistonetwork/32issubnetted,1subnetsCisdirectlyconnected,Loopback0O/24[110/2]via,00:20:38,FastEthernet1/0/24isvariablysubnetted,2subnets,2masksC/24isdirectlyconnected,Serial0/0C/32isdirectlyconnected,Serial0/0O/24[110/2]via,00:20:38,FastEthernet1/0C/24isdirectlyconnected,FastEthernet1/0C/24isdirectlyconnected,FastEthernet2/0S*/0isdirectlyconnected,Serial0/0RSR-1#showdiagSlot0:Mueslix-4TPortadapter,4portsPortadapterisanalyzedPortadapterinsertiontimeunknownEEPROMcontentsathardwarediscovery:Hardwarerevision1.1BoardrevisionB0Serialnumber10300772Partnumber800-02314-02FRUPartNumberNM-4T=Testhistory0x0RMAnumber00-00-00EEPROMformatversion1EEPROMcontents(hex):0x00:01540101009D2D6450090A02000000000x10:58000000981103000005FFFFFFFFFFFF0x20:FFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFF0x30:FFFFFFFFFFFFFFFFFFFFFFFFSlot1:Fast-ethernetPortadapter,1portPortadapterisanalyzedPortadapterinsertiontimeunknownEEPROMcontentsathardwarediscovery:Hardwarerevision1.0BoardrevisionB0Serialnumber7720321Partnumber800-03490-01FRUPartNumberNM-1FE-TX=Testhistory0x0RMAnumber00-00-00EEPROMformatversion1EEPROMcontents(hex):0x00:014401000075CD81500DA201000000000x10:5800000098032000FFFFFFFFFFFFFFFF0x20:FFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFF0x30:FFFFFFFFFFFFFFFFFFFFFFFFSlot2:Fast-ethernetPortadapter,1portPortadapterisanalyzedPortadapterinsertiontimeunknownEEPROMcontentsathardwarediscovery:Hardwarerevision1.0BoardrevisionB0Serialnumber7720321Partnumber800-03490-01FRUPartNumberNM-1FE-TX=Testhistory0x0RMAnumber00-00-00EEPROMformatversion1EEPROMcontents(hex):0x00:014401000075CD81500DA201000000000x10:5800000098032000FFFFFFFFFFFFFFFF0x20:FFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFF0x30:FFFFFFFFFFFFFFFFFFFFFFFF6.2網(wǎng)絡(luò)連通性測(cè)試用筆記本分別連接到不同交換機(jī)的不同VLAN下，用ping命令測(cè)試這些地址是否可達(dá)。①測(cè)試到網(wǎng)關(guān)連通性PC1#ping54Typeescapesequencetoabort.Sending5,100-byteICMPEchosto54,timeoutis2seconds:!!!!!//網(wǎng)絡(luò)通暢Successrateis100percent(5/5),round-tripmin/avg/max=60/128/228msPC2#ping54Typeescapesequencetoabort.Sending5,100-byteICMPEchosto54,timeoutis2seconds:!!!!!Successrateis100percent(5/5),round-tripmin/avg/max=28/250/1116ms②測(cè)試到ISP連通性PC1#ping00Typeescapesequencetoabort.Sending5,100-byteICMPEchosto00,timeoutis2seconds:!!!!!Successrateis100percent(5/5),round-tripmin/avg/max=144/366/604msPC2#ping00Typeescapesequencetoabort.Sending5,100-byteICMPEchosto00,timeoutis2seconds:!!!!!Successrateis100percent(5/5),round-tripmin/avg/max=232/332/508ms③測(cè)試不同VLAN連通性PC1#pingTypeescapesequencetoabort.Sending5,100-byteICMPEchosto,timeoutis2seconds:!!!!!Successrateis100percent(5/5),round-tripmin/avg/max=76/148/216msPC2#pingTypeescapesequencetoabort.Sending5,100-byteICMPEchosto,timeoutis2seconds:!!!!!Successrateis100percent(5/5),round-tripmin/avg/max=108/183/340ms6.3網(wǎng)絡(luò)冗余性測(cè)試①二層鏈路冗余測(cè)試S26-1#showspanning-treevlan10briefVLAN10SpanningtreeenabledprotocolieeeuplinkfastenabledRootIDPriority4096Addresscc00.1338.0001Cost3019Port2(FastEthernet0/1)HelloTime2secMaxAge20secForwardDelay15secBridgeIDPriority49152Addresscc00.16a4.0001HelloTime2secMaxAge20secForwardDelay15secAgingTime300InterfaceDesignatedNamePortIDPrioCostStsCostBridgeIDPortIDFastEthernet0/1128.21283019FWD04096cc00.1338.0001128.2FastEthernet0/2128.31283019BLK128192cc00.03c4.0001128.3FastEthernet0/3128.41283019FWD301949152cc00.16a4.0001128.4S26-1(config)#intf0/1S26-1(config-if)#shutdown//關(guān)閉f0/1，模擬故障S26-1(config-if)#S26-1#showspanning-treevlan10briefVLAN10SpanningtreeenabledprotocolieeeuplinkfastenabledRootIDPriority4096Addresscc00.1338.0001Cost3031Port3(FastEthernet0/2)HelloTime2secMaxAge20secForwardDelay15secBridgeIDPriority49152Addresscc00.16a4.0001HelloTime2secMaxAge20secForwardDelay15secAgingTime300InterfaceDesignatedNamePortIDPrioCostStsCostBridgeIDPortIDFastEthernet0/2128.31283019FWD128192cc00.03c4.0001128.3FastEthernet0/3128.41283019FWD303149152cc00.16a4.0001128.4PC1#ping00Typeescapesequencetoabort.Sending5,100-byteICMPEchosto00,timeoutis2seconds:!!!!!Successrateis100percent(5/5),round-tripmin/avg/max=384/452/540ms②三層網(wǎng)關(guān)冗余測(cè)試S57-2#showstandbybrPindicatesconfiguredtopreempt.|InterfaceGrpPrioPStateActiveStandbyVirtualIPVl1010100Standby53local54Vl2020110Ac