湖南時(shí)亦公司網(wǎng)絡(luò)規(guī)劃與設(shè)計(jì)

湖南商務(wù)職業(yè)技術(shù)學(xué)院畢業(yè)設(shè)計(jì)

目錄

1.項(xiàng)目背景..........................................................1

2.方案相關(guān)技術(shù)......................................................1

2.1MSTP..........................................................1

2.2BGP...........................................................1

2.3鏈路聚合......................................................2

2.4IPsec.........................................................2

2.5VSU...........................................................2

2.6VRRP技術(shù).....................................................2

2.7NAT...........................................................3

2.8DHCP..........................................................3

2.9靜態(tài)路由......................................................3

2.10ACL..........................................................4

3.方案規(guī)劃及設(shè)計(jì)....................................................4

3.1項(xiàng)目需求......................................................4

3.2項(xiàng)目拓?fù)?.....................................................4

3.3IP地址及VLAN規(guī)劃............................................5

3.4設(shè)備選型......................................................7

4.方案的具體實(shí)施....................................................8

4.1VSU堆疊配置..................................................8

4.2IP地址及VLAN配置............................................9

4.3配置鏈路聚合..................................................9

4.4配置MSTP....................................................10

4.5VRRP配置....................................................10

4.6DHCP配置....................................................10

4.7BGP配置.....................................................11

4.8靜態(tài)路由配置.................................................11

II

湖南商務(wù)職業(yè)技術(shù)學(xué)院畢業(yè)設(shè)計(jì)

4.9NAT配置.....................................................12

4.10IPsec配置..................................................12

5.方案測(cè)試.........................................................13

5.1VSU測(cè)試.....................................................13

5.2查看S1和S2生成樹狀態(tài).......................................13

5.3查看DHCP地址獲取情況........................................14

5.4查看IPsec協(xié)商情況...........................................15

5.5測(cè)試網(wǎng)絡(luò)的連通性.............................................16

6.設(shè)計(jì)小結(jié).........................................................16

參考資料...........................................................17

III

湖南商務(wù)職業(yè)技術(shù)學(xué)院畢業(yè)設(shè)計(jì)

湖南時(shí)亦公司網(wǎng)絡(luò)規(guī)劃與設(shè)計(jì)

1.項(xiàng)目背景

隨著信息技術(shù)的飛快發(fā)展，信息化成為的時(shí)代的主流。在時(shí)代的引領(lǐng)下，

網(wǎng)絡(luò)工程技術(shù)具有很強(qiáng)的發(fā)展?jié)摿Γ鼮闃O大的提高了人們的工作水平和工作

效率。在現(xiàn)代化網(wǎng)絡(luò)技術(shù)建設(shè)進(jìn)程不斷推進(jìn)的過程中，充分的體現(xiàn)出它的優(yōu)

勢(shì)。一個(gè)良好的公司能夠使用網(wǎng)絡(luò)技術(shù)與工作緊密結(jié)合，就能更好的發(fā)展和進(jìn)

步。

湖南時(shí)亦公司成立于2007年，是一家專注于軟件開發(fā)、信息集成、智能運(yùn)

維與網(wǎng)絡(luò)運(yùn)營的高科技企業(yè)?，F(xiàn)應(yīng)公司網(wǎng)絡(luò)不滿足公司業(yè)務(wù)需求，特對(duì)公司網(wǎng)

絡(luò)進(jìn)行整改調(diào)整。其中，對(duì)公司總部網(wǎng)絡(luò)進(jìn)行設(shè)備、技術(shù)更新，實(shí)現(xiàn)網(wǎng)絡(luò)在宕

機(jī)時(shí)的平滑切換；新建分部網(wǎng)絡(luò)，實(shí)現(xiàn)總部與分部的正常通信。同時(shí)，部署網(wǎng)

絡(luò)安全方案，改進(jìn)之前網(wǎng)絡(luò)管理困難的問題，實(shí)現(xiàn)總部與分部數(shù)據(jù)傳輸加密等

網(wǎng)絡(luò)安全問題；構(gòu)建高效且安全的網(wǎng)絡(luò)出口，實(shí)現(xiàn)各項(xiàng)業(yè)務(wù)的高效進(jìn)行。

2.方案相關(guān)技術(shù)

2.1MSTP

MSTP（MultIPleSpanningTreeprotocol，多生成樹協(xié)議）把一個(gè)交換網(wǎng)

絡(luò)劃分成多個(gè)域，每個(gè)域內(nèi)形成多棵生成樹，生成樹之間彼此獨(dú)立。每棵生成

樹叫做一個(gè)多生成樹實(shí)例mstp（MultIPleSpanningTreeInstance），每個(gè)域

叫做一個(gè)MST域（MSTRegion:MultIPleSpanningTreeRegion）。

計(jì)算過程:確定根橋，確定端口角色，確定根端口，確定指定端口和候補(bǔ)端

口。

2.2BGP

BGP是一種不同自治系統(tǒng)的路由設(shè)備之間進(jìn)行通信的外部網(wǎng)關(guān)協(xié)議，其主

要功能是在不同自治系統(tǒng)之間交換網(wǎng)絡(luò)可達(dá)信息，并通過協(xié)議自身機(jī)制來消除

路由環(huán)路。BGP使用TCP協(xié)議來作為傳輸協(xié)議，通過TCP的可靠傳輸機(jī)制保證

BGP的傳輸可靠性。BGPSpeaker之間的建立模式有兩種:IBGP和EBGP。IBGP是

指在相同的AS內(nèi)建立的BGP連接，EBGP是指在不同AS內(nèi)建立的BGP連接。二

者的作用簡而言之就是:EBGP是完成不同AS之間的路由信息交換，IBGP就是完

1

湖南商務(wù)職業(yè)技術(shù)學(xué)院畢業(yè)設(shè)計(jì)

成同AS內(nèi)的信息交換。

2.3鏈路聚合

鏈路聚合（LinkAggregation），是指將多個(gè)物理端口捆綁在一起，成為一

個(gè)邏輯端口，以實(shí)現(xiàn)出/入流量在各成員端口中的負(fù)荷分擔(dān)，交換機(jī)根據(jù)用戶

配置的端口負(fù)荷分擔(dān)策略決定報(bào)文從哪一個(gè)成員端口發(fā)送到對(duì)端的交換機(jī)。當(dāng)

交換機(jī)檢測(cè)到其中一個(gè)成員端口的鏈路發(fā)生故障時(shí)，就停止在此端口上發(fā)送報(bào)

文，并根據(jù)負(fù)荷分擔(dān)策略在剩下鏈路中重新計(jì)算報(bào)文發(fā)送的端口，故障端口恢

復(fù)后再次重新計(jì)算報(bào)文發(fā)送端口。鏈路聚合在增加鏈路帶寬、實(shí)現(xiàn)鏈路傳輸彈

性和冗余等方面是一項(xiàng)很重要的技術(shù)。

2.4IPsec

IPsec是一種IETF設(shè)計(jì)的端到端的確保IP層通信的安全機(jī)制。IPsec協(xié)議

可以為IP網(wǎng)絡(luò)通信提供透明的安全服務(wù)，保護(hù)TCP/IP通信免遭竊聽和篡改，

保證數(shù)據(jù)的完整性，有效的抵御網(wǎng)絡(luò)攻擊。

IPsec使用AH協(xié)議（IP協(xié)議號(hào)51）和ESP（IP協(xié)議號(hào)50）對(duì)IP報(bào)文進(jìn)行

保護(hù)。AH協(xié)議可以同時(shí)提供數(shù)據(jù)完整性確認(rèn)、數(shù)據(jù)來源確認(rèn)等安全特性，其通

常使用HMAC-MD5和HMAC-SHA1實(shí)現(xiàn)該特性；ESP協(xié)議通常使用DES、3DSE、AES

等加密算法實(shí)現(xiàn)數(shù)據(jù)加密，使用HMAC-MD5或者HMAC-SHA1來實(shí)現(xiàn)數(shù)據(jù)完整性。

2.5VSU

VSU是一種將多臺(tái)設(shè)備虛擬成一臺(tái)設(shè)備來管理和使用的技術(shù)，能夠顯著的

減低管理復(fù)雜程度，減低拓?fù)溥壿嫃?fù)雜度，和MSTP+VRRP網(wǎng)絡(luò)相比，VSU通常

和周邊設(shè)備使用菊花口進(jìn)行連接，能夠有效的利用冗余鏈路的同時(shí)提升系統(tǒng)的

轉(zhuǎn)發(fā)能力。

2.6VRRP技術(shù)

VRRP是一種容錯(cuò)協(xié)議，它通過把幾臺(tái)路由器設(shè)備聯(lián)合起來，組成一臺(tái)虛擬

的路由器設(shè)備，并通過一定的機(jī)制來保證當(dāng)主機(jī)的下一條設(shè)備出現(xiàn)故障時(shí)，可

以及時(shí)的將業(yè)務(wù)切換到其他設(shè)備，從而保證通信的連續(xù)性和可靠性。

特點(diǎn):IP地址備份，VRRP的主要功能?？梢栽诰W(wǎng)絡(luò)中提供多個(gè)虛擬路由算

計(jì)的負(fù)載均衡及在單一網(wǎng)絡(luò)中支持多重邏輯IP子網(wǎng)絡(luò)。最優(yōu)路徑指示。VRRP

組內(nèi)多個(gè)路由器的路由中保證Master收斂到現(xiàn)成可用最優(yōu)的路由器。最小化不

必要的服務(wù)中斷。在主路由正常工作期間，不觸發(fā)其他低優(yōu)先級(jí)路由，選擇主

2

湖南商務(wù)職業(yè)技術(shù)學(xué)院畢業(yè)設(shè)計(jì)

路由服務(wù)。廣泛的安全性。它可以在多種不同的交互環(huán)境中采用不同的安全策

略，只需要極少的配置和開銷就可以進(jìn)行嚴(yán)格的驗(yàn)證。在可擴(kuò)展網(wǎng)絡(luò)有效的工

作。

2.7NAT

NAT:網(wǎng)絡(luò)地址轉(zhuǎn)換。正常數(shù)據(jù)轉(zhuǎn)發(fā)時(shí)，IP頭部的源和目的地址及端口號(hào)是

不會(huì)被更改的，而使用了NAT技術(shù)后，它將更改報(bào)文頭部內(nèi)容，實(shí)現(xiàn)隱藏內(nèi)外

部真實(shí)地址、多臺(tái)主機(jī)共享少量IP訪問外部網(wǎng)絡(luò)、解決IP地址空間重疊、服

務(wù)器負(fù)載均衡等功能。

PAT:端口地址轉(zhuǎn)換，又叫網(wǎng)絡(luò)地址轉(zhuǎn)換或NAT的端口復(fù)用（用IP地址+端

口號(hào)來對(duì)應(yīng)和區(qū)別各個(gè)數(shù)據(jù)流進(jìn)行網(wǎng)絡(luò)地址轉(zhuǎn)換，以到達(dá)內(nèi)部主機(jī)通過一個(gè)或

少量合法IP地址來訪問外部網(wǎng)絡(luò)）

2.8DHCP

DHCP:動(dòng)態(tài)地址配置協(xié)議，通常被應(yīng)用在大型局域網(wǎng)環(huán)境中，主要作用就是

集中管理，分配IP地址，使網(wǎng)絡(luò)環(huán)境的主機(jī)動(dòng)態(tài)獲取地址、網(wǎng)關(guān)地址，DNS服

務(wù)器地址等信息，并能夠提升地址的使用率。

中繼代理:DHCP中繼，就是在DHCP服務(wù)器和客戶端之間轉(zhuǎn)發(fā)DHCP數(shù)據(jù)

包。當(dāng)DHCP客戶端與服務(wù)器不處于同一網(wǎng)段時(shí)，就必須要有DHCP中繼來轉(zhuǎn)發(fā)

DHCP請(qǐng)求和應(yīng)答信息。

DHCP工作原理:1.DHCP客戶端以廣播的形式發(fā)送DHCP發(fā)現(xiàn)報(bào)文，2.DHCP

服務(wù)器收到客戶端的發(fā)現(xiàn)報(bào)文后，向客戶端發(fā)送officer報(bào)文，3.客戶端收到

officer后，再以廣播的方式發(fā)送一個(gè)request報(bào)文，4.DHCP服務(wù)器收到客戶

端的request報(bào)文后，先判斷是否與自己處于同一網(wǎng)段，不同則清除分配記

錄，相同則向客戶端發(fā)送ACK報(bào)文。5.當(dāng)客戶端收到ACK報(bào)文后，檢查分配的

地址是否能夠使用，如果可以，則根據(jù)租期自動(dòng)啟動(dòng)延續(xù)過程；否則，向服務(wù)

器發(fā)送Decline報(bào)文，通知服務(wù)器禁用這個(gè)地址，并重新分配。

2.9靜態(tài)路由

靜態(tài)路由是指用戶或者管理員手工配置中的路由信息。當(dāng)網(wǎng)絡(luò)的拓?fù)浣Y(jié)構(gòu)

或鏈路狀態(tài)方式改變時(shí)，網(wǎng)絡(luò)管理員需要手工配置路由。靜態(tài)路由信息在缺省

的情況下，不會(huì)傳遞給其他路由器。

優(yōu)點(diǎn):靜態(tài)路由的網(wǎng)絡(luò)安全保密性搞。動(dòng)態(tài)路由需要頻繁的交換各自的路由

表，而對(duì)路由表的分析可以揭示網(wǎng)絡(luò)的拓?fù)浣Y(jié)構(gòu)和地址信息。并且靜態(tài)路由不

3

湖南商務(wù)職業(yè)技術(shù)學(xué)院畢業(yè)設(shè)計(jì)

占用網(wǎng)絡(luò)帶寬，從而能夠提升網(wǎng)絡(luò)的利用率。

缺點(diǎn):大型和復(fù)雜的網(wǎng)絡(luò)環(huán)境通常不適合使用靜態(tài)路由。一方面，網(wǎng)絡(luò)管理

員很難全面的了解網(wǎng)絡(luò)的拓?fù)浣Y(jié)構(gòu)，另一方面，當(dāng)拓?fù)浒l(fā)生改變時(shí)，靜態(tài)路由

需要大范圍的調(diào)整。

2.10ACL

ACL的全稱為訪問控制列表，俗稱防火墻，又叫包過濾。ACL通過定義一些

規(guī)則，對(duì)網(wǎng)絡(luò)接口上的數(shù)據(jù)報(bào)文進(jìn)行控制，根據(jù)匹配條件，決定允許（permit）

或拒絕（deny）通過。

常用的ACL包括標(biāo)準(zhǔn)訪問控制列表和擴(kuò)展訪問控制列表。

標(biāo)準(zhǔn)訪問控制列表:編號(hào)為1~99，1300~1999，可以阻止來自某一網(wǎng)絡(luò)的所

有特性流量，或允許所有流量。

擴(kuò)展訪問控制列表:編號(hào)為100~199，2000~2699，可以提供更廣泛的控制

范圍，例如拒絕或者允許某個(gè)協(xié)議的流量。

3.方案規(guī)劃及設(shè)計(jì)

3.1項(xiàng)目需求

時(shí)亦公司員工共計(jì)75人，其中總部40人，分部35人?？偛亢头植康母鞑?/p>

門的網(wǎng)絡(luò)互通，網(wǎng)絡(luò)建設(shè)如下:

（1）網(wǎng)絡(luò)資源充足，時(shí)亦公司員工75人，每位用戶均可以調(diào)用網(wǎng)絡(luò)資源，

實(shí)現(xiàn)網(wǎng)絡(luò)互通。

（2）網(wǎng)絡(luò)運(yùn)行流暢:在保證每位員工能夠互聯(lián)網(wǎng)絡(luò)后，增強(qiáng)網(wǎng)絡(luò)體驗(yàn)感，保

證網(wǎng)絡(luò)的正常運(yùn)行。

（3）網(wǎng)絡(luò)冗余備份:網(wǎng)絡(luò)在穩(wěn)定運(yùn)行的前提下，離不開冗余備份。假設(shè)發(fā)生

網(wǎng)絡(luò)故障，在等待故障排除恢復(fù)時(shí)，給用戶造成不好體驗(yàn)，網(wǎng)絡(luò)冗余備份是必須

考慮的因素。

（4）網(wǎng)絡(luò)安全防護(hù):在解決網(wǎng)絡(luò)傳輸問題后，迎面而來的是網(wǎng)絡(luò)安全問題，

保證數(shù)據(jù)的安全是衡量網(wǎng)絡(luò)質(zhì)量的一大標(biāo)準(zhǔn)，因此，必須要保證網(wǎng)絡(luò)數(shù)據(jù)的安全。

（5）網(wǎng)絡(luò)規(guī)劃管理:一個(gè)好的管理規(guī)劃設(shè)計(jì)，能夠使后期的維護(hù)帶來很大便

捷，在發(fā)生故障時(shí)，能夠讓維護(hù)人員快速發(fā)現(xiàn)并解決網(wǎng)絡(luò)故障。

3.2項(xiàng)目拓?fù)?/p>

湖南時(shí)亦公司網(wǎng)絡(luò)拓?fù)淙鐖D1所示:

4

湖南商務(wù)職業(yè)技術(shù)學(xué)院畢業(yè)設(shè)計(jì)

圖1公司網(wǎng)絡(luò)拓?fù)鋱D

3.3IP地址及VLAN規(guī)劃

公司IP地址規(guī)劃如表1所示:

表1IP地址及VLAN規(guī)劃

設(shè)備接口或VLAN二層或三層規(guī)劃VLAN名稱

S1VLAN10192.168.10.1/24Yanfa-FB

VLAN20192.168.20.1/24Caiwu-FB

VLAN30192.168.30.1/24Renshi-FB

VLAN40192.168.40.1/24Xiaoshou-FB

VLAN100192.168.100.1/24Manager

Gi0/120.1.1.2/30

Lookback01.1.1.1/32

S2VLAN10192.168.10.2/24Yanfa-FB

VLAN20192.168.20.2/24Caiwu-FB

VLAN30192.168.30.2/24Renshi-FB

VLAN40192.168.40.2/24Xiaoshou-FB

VLAN100192.168.100.2/24Manager

Gi0/120.1.1.6/30

Lookback01.1.1.2/32

S3VLAN10Gi0/1-5Yanfa-FB

5

湖南商務(wù)職業(yè)技術(shù)學(xué)院畢業(yè)設(shè)計(jì)

VLAN20Gi0/6-10Caiwu-FB

VLAN30Gi0/11-15Renshi-FB

VLAN40Gi0/16-20Xiaoshou-FB

VLAN00manager

S4VLAN10Gi0/1-5Yanfa-FB

VLAN20Gi0/6-10Caiwu-FB

VLAN30Gi0/11-15Renshi-FB

VLAN40Gi0/16-20Xiaoshou-FB

VLAN100manager

VSUGi1/0/110.1.1.1/30

Gi2/0/110.1.1.5/30

VLAN10172.16.10.1/24Yanfa-ZB

VLAN20172.16.20.1/24Caiwu-ZB

VLAN30172.16.30.1/24Renshi-ZB

VLAN40172.16.40.1/24Xiaoshou-ZB

VLAN100172.16.100.1/24manager

Lookback02.2.2.2/32

S5VLAN10Gi0/1-5Yanfa-ZB

VLAN20Gi0/6-10Caiwu-ZB

VLAN30Gi0/11-15Renshi-ZB

VLAN40Gi0/16-20Xiaoshou-ZB

VLAN100manager

R1Gi0/010.1.1.2/30

Gi0/110.1.1.6/30

S2/011.1.1.1/30

Lookback03.3.3.3/32

R2S2/011.1.1.2/30

S3/012.1.1.2/30

Lookback4.4.4.4/32

R3S3/012.1.1.1/30

Gi0/020.1.1.1/30

Gi0/120.1.1.5/30

Lookback05.5.5.5/30

6

湖南商務(wù)職業(yè)技術(shù)學(xué)院畢業(yè)設(shè)計(jì)

3.4設(shè)備選型

對(duì)于時(shí)亦公司的網(wǎng)絡(luò)建設(shè)，合理的設(shè)備選型，影響著整個(gè)公司的網(wǎng)絡(luò)速度與

設(shè)備的使用壽命，網(wǎng)絡(luò)設(shè)備選型應(yīng)當(dāng)符合實(shí)際的需求，要遵循高性價(jià)比，高利用

率等原則。同時(shí)需要考慮設(shè)備的兼容性，而選擇同一廠商的設(shè)備，能夠在最大程

度保證兼容性。因此，本法案同一選用銳捷的路由器，交換機(jī)等設(shè)備。設(shè)備選型

如表2所示。

表2設(shè)備選型

設(shè)備廠商設(shè)備型號(hào)設(shè)備名稱設(shè)備數(shù)量

RuijieRG-RSR20-X-28路由器3

RuijieRG-S5760C核心交換機(jī)2

RuijieRG-S5310接入交換機(jī)11

設(shè)備具體參數(shù)如表3所示。

表3設(shè)備參數(shù)

產(chǎn)品名稱RG-RSR20-X-28

內(nèi)存容量1G

包轉(zhuǎn)發(fā)率3Mpps

最大功耗150W

特性支持靜態(tài)路由、RIPv1/v2、OSPFv2、BGP、IS-IS、策略路

由、路由策略等；支持L2TP、IPSec、GRE、GREoverIPsec

VPN；支持RADIUS和TACACS+用戶登錄認(rèn)證

7

湖南商務(wù)職業(yè)技術(shù)學(xué)院畢業(yè)設(shè)計(jì)

產(chǎn)品名稱RG-S5760C

交換容量880Gbps

包轉(zhuǎn)發(fā)率600Mpps

端口數(shù)量24口

特性支持RADIUS和TACACS+；支持生成樹協(xié)議，路由協(xié)議，

DHCP；支持虛擬化技術(shù)VSU，BFD檢測(cè)

產(chǎn)品名稱RG-S5310

交換容量672Gbps

包轉(zhuǎn)發(fā)率156Mpps

端口數(shù)量24口

特性支持RADIUS和TACACS+；支持生成樹協(xié)議，路由協(xié)議，

DHCP；支持虛擬化技術(shù)VSU，BFD檢測(cè)

4.方案的具體實(shí)施

4.1VSU堆疊配置

在S6和S7上配置VSU和BFD檢測(cè)，其中S6為主，S7為備；規(guī)劃S6和S7

間的Gi0/24作為雙主機(jī)檢測(cè)鏈路；主設(shè)備:domainid1，switchid1，

priority150；備設(shè)備:domainid1，switchid2，priority120。S6的配

置如下表，S7的配置與此類似，便不在贅述。

S6-S7堆疊配置:

S6(config)#switchvirtualdomain1創(chuàng)建交換機(jī)虛擬域1

S6(config-vs-domain)#switch1配置交換機(jī)id為1

S6(config-vs-domain)#switch1priority配置交換機(jī)1的優(yōu)先級(jí)為

150150，VSU建立成功后成為管

理主機(jī)

S6(config)#vsl-port進(jìn)入vsl管理配置

8

湖南商務(wù)職業(yè)技術(shù)學(xué)院畢業(yè)設(shè)計(jì)

S6(config-vsl-ap-1)#port-memberint將ten0/27接口加入vsl管理

ten0/27組

S6(config-vsl-ap-1)#port-memberint將ten0/28接口加入vsl管理

ten0/28組

S6#switchconvertmodevirtual轉(zhuǎn)換為VSU模式

S6#reload重新啟動(dòng)設(shè)備，轉(zhuǎn)為VSU模式

4.2IP地址及VLAN配置

在整個(gè)網(wǎng)絡(luò)建設(shè)的設(shè)備中都需要配置IP地址或者VLAN，由于內(nèi)容過于繁多

雷同，此處以S1的VLAN10為列子，其余的，概不累述。如下表:

S1IP地址配置:

S1(config)#vlan10創(chuàng)建VLAN10

S1(config-vlan)#nameYanfa-FBVLAN10的名字為Yanfa-FB

S1(config)#interfacevlan10進(jìn)入VLAN虛擬接口配置

S1(config-if)#ipaddress192.168.10.1配置IP地址，掩碼為24位

255.255.255.0

4.3配置鏈路聚合

在S1和S2上配置鏈路聚合，聚合端口為1，此處以S1的配置為例如下表:

鏈路聚合配置:

S1(config)#interfacerangegi0/23-24同時(shí)進(jìn)入0/23、24接口管

理

S1(config-if-range)#port-group1mode設(shè)置ag1口，模式為active

active

S1(config)#interfaceaggregateport1進(jìn)入ag1接口管理

S1(config-if-aggregateport)#switchport將ag1接口配置為trunk模

modetrunk式

4.4配置MSTP

在分部S1，S2，S3，S4配置mstp防止二層環(huán)路，S1為主根優(yōu)先級(jí)為4096，

S2為從根優(yōu)先級(jí)為8192。這里以S1為例，如下表:

MSTP配置:

S1(config)#spanning-treeenable開啟生成樹

9

湖南商務(wù)職業(yè)技術(shù)學(xué)院畢業(yè)設(shè)計(jì)

S1(config)#spanning-treemodemstp配置生成樹模式為MSTP

S1(config)#spanning-treemstconfiguration進(jìn)入mst管理

S1(config-mst)#instance1vlan10,20,30,40配置實(shí)例1

S1(config)#spanning-treemst1priority配置優(yōu)先級(jí)為4096

4096

4.5VRRP配置

VRRP參數(shù)如表4所示:

表4VRRP參數(shù)表

VLANVridVRRP虛擬IP

VLAN1010192.168.10.254

VLAN2020192.168.20.254

VLAN3030192.168.30.254

VLAN4040192.168.40.254

S1的VRRP組優(yōu)先級(jí)為150，S2的VRRP組優(yōu)先級(jí)為120，此處以S1的VLAN10

為例，如下表:

VLAN配置:

S1(config)#interfacevlan10進(jìn)入VLAN10接口

S1(config-if)#vrrp10ip192.168.10.254配置虛擬地址

S1(config-if)#vrrp10priority150配置優(yōu)先級(jí)為150

4.6DHCP配置

在S1上配置DHCP，是各用戶能夠獲取到IP地址，從而能夠正常互聯(lián)網(wǎng)絡(luò)。

這里以vlan10網(wǎng)段為例，如下表:

DHCP配置:

S1(config)#servicedhcp啟用DHCP

S1(config)#ipdhcppoolvlan10創(chuàng)建名為VLAN10的地址池

S1(dhcp-config)#networking分配地址網(wǎng)段為192.168.10.0

192.168.10.0255.255.255.0

S1(dhcp-config)#dns-server分配給客戶端的DNS地址

8.8.8.8

S1(dhcp-config)#default-router分配給客戶端的網(wǎng)關(guān)地址

192.168.10.254

10

湖南商務(wù)職業(yè)技術(shù)學(xué)院畢業(yè)設(shè)計(jì)

4.7BGP配置

在R1，R2，R3上進(jìn)行bgp配置，as為100.使用lookback建立peer。這里

以R1和R2的鄰居建立為例，R3和R2的建立類似，這里不再累述。R1和R2BGP

建立如下表:

BGP配置:

R1(config)#iproute4.4.4.4255.255.255.255配置靜態(tài)路由，使R1和

11.1.1.2R2的lookback0地址可

達(dá)

R1(config)#routerbgp100啟用BGP進(jìn)程，AS為100

R1(config-router)#neighbor4.4.4.4remote-as指定BGP鄰居地址和鄰

100居AS

R1(config-router)#neighbor4.4.4.4update-配置BGP的更新源地址

sourcelookback0

R1(config-router)#network10.1.1.0mask將10.1.1.0網(wǎng)段通告到

255.255.255.0BGP進(jìn)程

R2(config)#IProute3.3.3.3255.255.255.255配置靜態(tài)路由，使R2和

11.1.1.1R1的lookback0地址可

達(dá)

R2(config)#routerbgp100啟用BGP進(jìn)程，AS為100

R2(config-router)#neighbor3.3.3.3remote-as指定BGP鄰居地址和鄰

100居AS

R1(config-router)#neighbor3.3.3.3update-配置BGP的更新源地址

sourcelookback0

4.8靜態(tài)路由配置

在S1和S2上配置靜態(tài)路由，使其內(nèi)網(wǎng)能夠訪問外網(wǎng)。

靜態(tài)路由配置:

S1(config)#iproute0.0.0.00.0.0.0配置靜默路由

20.1.1.1

S2(config)#iproute0.0.0.00.0.0.0配置靜默路由

20.1.1.5

4.9NAT配置

11

湖南商務(wù)職業(yè)技術(shù)學(xué)院畢業(yè)設(shè)計(jì)

在R1上進(jìn)行NAT配置，使總部的網(wǎng)絡(luò)能夠進(jìn)行內(nèi)外網(wǎng)的地址轉(zhuǎn)換。

NAT配置:

R1(config)#ipaccess-listextended100創(chuàng)建擴(kuò)展ACL100

R1(config-ext-nacl)#denyip172.16.0.0拒絕172網(wǎng)段流量訪問192

0.0.255.255192.168.0.00.0.255.255網(wǎng)段流量

R1(config-ext-nacl)#permitipanyany允許其他流量通過

R1(config)#ipnatpoolnat_pool11.1.1.1創(chuàng)建地址轉(zhuǎn)換池

11.1.1.2netmask255.255.255.252

R1(config)#ipnatoutsidesourcelist100內(nèi)網(wǎng)的其他流量通過NAT訪

poolnat_pool問外網(wǎng)

R1(config-GigabitEthernet0/0)#ipnat配置NAT的內(nèi)網(wǎng)口

inside

R1(config-GigabitEthernet0/1)#ipnat配置NAT的內(nèi)網(wǎng)口

inside

R1(config-Serial2/0)#ipnatoutside配置NAT的外網(wǎng)口

4.10IPsec配置

為了保證網(wǎng)絡(luò)安全，使用IPsec對(duì)總部與分部的數(shù)據(jù)進(jìn)行加密ACL（編號(hào)為

110），R1與R3的配置如下。

IPSEC配置:

R1(config)#ipaccess-listextended110創(chuàng)建ACL110

R1(config-ext-nacl)#permitip172.16.0.0允許該網(wǎng)段通過

0.0.255.255192.168.0.00.0.255.255

R1(config-ext-nacl)#denyipanyany拒絕其他網(wǎng)絡(luò)

R1(config)#crytoisakmpkeepalive5配置IPsec探測(cè)功能

periodic

R1(config)#cryptoisakmppolicy1創(chuàng)建新的isamkp策略

R1(config-isakmp)#authenticationpre-指定預(yù)共享秘密

share

R1(config-isakmp)#encryption3des指定3des進(jìn)行加密

R1(config)#cryptoisakmpkey0ruijie指定鄰居，預(yù)共享密鑰為

address12.1.1.1ruijie

12

湖南商務(wù)職業(yè)技術(shù)學(xué)院畢業(yè)設(shè)計(jì)

R1(config)#cryptoipsectransform-set指定IPsec使用esp封裝des

mysetesp-desesp-md5-hmac加密，MD5檢驗(yàn)

R1(config)#cryptomapmymap5IPsec-創(chuàng)建mymap的加密圖

isakmp

R1(config-crypto-map)#setpeer12.1.1.1指定鄰居地址

R1(config-crypto-map)#settransform-set指定加密轉(zhuǎn)換集“myset”

myset

R1(config-crypto-map)#matchaddress110指定感興趣流ACL110

5.方案測(cè)試

5.1VSU測(cè)試

使用showswitchvirual命令查看VSU的建立情況，此時(shí)已成功建立。如

圖2所示。

圖2VSU測(cè)試圖

5.2查看S1和S2生成樹狀態(tài)

使用showspanning-treesummary命令查看，MSTP成功配置,如圖3所示。