V摘要本設(shè)計(jì)方案是關(guān)于小型企業(yè)局域網(wǎng)的設(shè)計(jì)，設(shè)計(jì)方案分為兩個(gè)模塊：交換模塊和路由器模塊。根據(jù)各部門職能不同把交換模塊劃分為不同的兩個(gè)VLAN，從而減少了廣播沖突提高了傳輸效率，通過部署ACL限制用戶的訪問，有效地保護(hù)敏感數(shù)據(jù)，提高了網(wǎng)絡(luò)安全性。借助交換機(jī)的路由功能，可以實(shí)現(xiàn)各VLAN間數(shù)據(jù)包高速轉(zhuǎn)發(fā)，解決VLAN之間的傳輸瓶頸。Internet接入功能主要通過路由器來實(shí)現(xiàn)，它的作用主要是建立外網(wǎng)和企業(yè)網(wǎng)的正常通信。使企業(yè)網(wǎng)的用戶訪問Internet同時(shí)Internet用戶能在一定程度上訪問企業(yè)網(wǎng)。通過配置NAT(NetAddressTranslation)，不僅是企業(yè)網(wǎng)用戶可以訪問Internet，而且對外隱藏企業(yè)網(wǎng)內(nèi)部地址，從而實(shí)現(xiàn)地址保護(hù)。交換機(jī)的主要功能包括物理編址、網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)、錯誤校驗(yàn)、幀序列以及流控。目前交換機(jī)還具備了一些新的功能，如對VLAN（虛擬局域網(wǎng)）的支持、對鏈路匯聚的支持，甚至有的還具有防火墻的功能，極大地提高了辦公效率，同時(shí)免去了高昂的專線租用費(fèi)用。關(guān)鍵字：企業(yè)局域網(wǎng)、VLAN劃分、網(wǎng)絡(luò)地址轉(zhuǎn)換、訪問控制AbstractThisdesignisthedesignofthesmallenterpriselocalareanetwork(LAN),thedesignschemeisdividedintotwomodules:exchangeandroutermodule.AccordingtodifferentfunctionsofdepartmentstoexchangemoduleisdividedintotwodifferentVLAN,toimprovethetransmissionefficiency,therebyreducingthebroadcastconflictbydeployingACLrestrictuseraccess,effectivelyprotectingsensitivedata,improvethenetworksecurity.Usingswitchroutingfunction,canrealizehighspeedpacketforwardingamongdifferentVLAN,solvethetransmissionbottleneckbetweenvlans.MainlythroughtheroutertoInternetaccessfunction,itsroleismainlytoestablishthenetworkandenterprisenetworknormalcommunication.MaketheenterprisenetworkusersaccesstotheInternetatthesametime,Internetuserscanaccesstoenterprisenetworktosomeextent.ConfiguredNAT(.netAddressTranslation),notonlyistheenterprisenetworkuserscanaccesstheInternet,internalandexternalhiddenIntranetAddress,thusAddressprotectionisachieved.Themainfunctionofswitches,includingphysicaladdressing,networktopology,errorchecking,frames,andflowcontrol.Currentswitchalsohassomenewfeatures,suchassupportforVLAN(virtuallocalareanetwork(LAN),supportforlinktogether,orevensomestillhavethefunctionofthefirewall,greatlyimprovetheofficeefficiency,wasrelievedfromthehighlinerentalfeeatthesametime.Keywords:EnterpriseLAN,VLAN,NAT,ACL目錄TOC\o"1-3"摘要 IAbstract II目錄 IV前言 1第一章技術(shù)可行性和需求分析 31.1技術(shù)可行性 31.1.1NAT技術(shù) 31.1.2VLAN技術(shù) 51.1.3DHCP技術(shù) 51.1.4ACL技術(shù) 61.1.5PPP協(xié)議 71.1.6VTP技術(shù) 71.1.7STP技術(shù) 81.1.8動態(tài)/靜態(tài)路由協(xié)議 91.2需求分析 101.2.1帶寬性能需求 101.2.2網(wǎng)絡(luò)安全需求 101.2.3應(yīng)用服務(wù)需求 101.3設(shè)計(jì)所需環(huán)境 111.3.1硬件要求 11第二章系統(tǒng)設(shè)計(jì)方案 122.1系統(tǒng)設(shè)計(jì)原則 122.1.1實(shí)用性 122.1.2安全性 122.1.3可擴(kuò)充性 122.1.4可管理性 132.1.5高性能價(jià)格比 132.2網(wǎng)絡(luò)設(shè)備選型 132.3系統(tǒng)總體設(shè)計(jì)和拓?fù)浣Y(jié)構(gòu) 142.3.1系統(tǒng)總體設(shè)計(jì)方案 152.3.2各設(shè)備的IP地址配置 16第三章路由器模塊 183.1路由器配置 183.1.1IP地址配置 183.1.2Web服務(wù)器的配置 223.2配置設(shè)備的遠(yuǎn)程登錄和密碼保護(hù)及DHCP 243.2.1配置設(shè)備的遠(yuǎn)程登錄和密碼保護(hù) 243.2.2DHCP的配置 243.3路由協(xié)議 263.3.1OSPF協(xié)議 263.3.2PPP協(xié)議 273.3.3PPP協(xié)議驗(yàn)證 283.4配置NAT 29第四章交換機(jī)模塊 314.1交換機(jī)基本參數(shù)配置 314.1.1SW1的配置 314.1.2SW2的配置 324.2配置VTP協(xié)議 334.2.1SW1的配置 334.2.2SW2的配置 344.2.3驗(yàn)證VTP配置 354.3VLAN劃分 354.3.1交換機(jī)VLAN配置 354.3.2配置VLAN間路由 374.3.3配置STP協(xié)議 394.4配置ACL 42第五章配置驗(yàn)證 445.1DHCP自動分配驗(yàn)證 445.2路由協(xié)議配置檢驗(yàn) 445.3NAT的驗(yàn)證 45總結(jié) 48參考文獻(xiàn) 49致謝 50前言信息化浪潮風(fēng)起云涌的今天，企業(yè)的業(yè)務(wù)已經(jīng)全面電子化，與Internet的聯(lián)系相當(dāng)緊密，所以他們需要良好的信息平臺去支撐業(yè)務(wù)的高速發(fā)展。沒有信息技術(shù)背景的企業(yè)也將會對網(wǎng)絡(luò)建設(shè)有主動訴求。任何決策的科學(xué)性和可靠性都是以信息為基礎(chǔ)的，信息和決策是同一管理過程中的兩個(gè)方面，因此行業(yè)信息化也就成了人們所討論并實(shí)踐著的重要課題。公司內(nèi)部網(wǎng)絡(luò)的建設(shè)已經(jīng)成為提升企業(yè)核心競爭力的關(guān)鍵因素。公司網(wǎng)已經(jīng)越來越多地被人們提到，利用網(wǎng)絡(luò)技術(shù)，現(xiàn)代企業(yè)可以在客戶、合作伙伴、員工之間實(shí)現(xiàn)優(yōu)化的信息溝通，公司網(wǎng)絡(luò)的優(yōu)劣直接關(guān)系到公司能否獲得關(guān)鍵的競爭優(yōu)勢。眾多行業(yè)巨擘紛紛上馬各種應(yīng)用方案且取得了巨大的成功，這使信息化建設(shè)更具吸引力。在現(xiàn)在企業(yè)中，普遍存在資金不足、信息基礎(chǔ)薄弱、技術(shù)人員匱乏等特點(diǎn)，使得他們不能有效地將自身傳統(tǒng)業(yè)務(wù)與信息系統(tǒng)很好的結(jié)合起來，以至于常常會出現(xiàn)投入不見效的情況。究其原因，在于企業(yè)信息化觀念不夠，信息系統(tǒng)沒有總體設(shè)計(jì)原則，信息化建設(shè)缺乏規(guī)劃，致使企業(yè)協(xié)同運(yùn)作存在障礙，運(yùn)營成本居高不下。作為企業(yè)的局域網(wǎng)，它不僅可以為企業(yè)提供高效的辦公環(huán)境，還可以實(shí)現(xiàn)硬件資源和軟件資源的共享從而節(jié)省了企業(yè)大量開支，又便于集中管理和提高工作效率。其次企業(yè)局域網(wǎng)要實(shí)現(xiàn)內(nèi)部網(wǎng)絡(luò)與外部網(wǎng)絡(luò)的連接，從而極大的方便了企業(yè)和外界的溝通，這樣不僅可以降低企業(yè)的生產(chǎn)成本，也可以實(shí)現(xiàn)異地辦公。企業(yè)用戶可以方便地傳輸各類數(shù)據(jù)，開展各類網(wǎng)絡(luò)應(yīng)用。隨著我國計(jì)算機(jī)網(wǎng)絡(luò)技術(shù)尤其是Internet技術(shù)的高速發(fā)展，加快對企業(yè)局域網(wǎng)建設(shè)迫在眉睫。因此構(gòu)建一個(gè)“安全可靠、性能卓越、管理方便”的企業(yè)局域網(wǎng)，已經(jīng)成為企業(yè)信息化建設(shè)成功的關(guān)鍵基石。本課題的設(shè)計(jì)需要綜合運(yùn)用各種知識來完成本課題，不僅可以使我進(jìn)一步掌握計(jì)算機(jī)網(wǎng)絡(luò)原理、熟悉企業(yè)局域網(wǎng)的設(shè)計(jì)搭建，而且可以增強(qiáng)了我的自學(xué)能力和動手能力。技術(shù)可行性和需求分析技術(shù)可行性NAT技術(shù)隨著Internet的迅速發(fā)展，IP地址短缺已經(jīng)成為一個(gè)十分突出的問題。為了解決這個(gè)問題，出現(xiàn)了多種解決方案，而NAT（NetworkAddressTranslation網(wǎng)絡(luò)地址轉(zhuǎn)換）是目前網(wǎng)絡(luò)環(huán)境中比較有效的方法。1）什么是NATNAT提供了連接互聯(lián)網(wǎng)的一種簡單方式，并且通過隱藏內(nèi)部網(wǎng)絡(luò)地址的手段為用戶提供了安全保護(hù)。內(nèi)部用戶連接互聯(lián)網(wǎng)時(shí)，NAT將用戶的內(nèi)部網(wǎng)絡(luò)IP地址轉(zhuǎn)換成一個(gè)外部公共IP地址，并在NAT地址轉(zhuǎn)換表中記錄下這個(gè)轉(zhuǎn)換項(xiàng)；當(dāng)外部網(wǎng)絡(luò)數(shù)據(jù)返回時(shí)，NAT技術(shù)查詢NAT地址轉(zhuǎn)換項(xiàng)，將目標(biāo)IP地址替換成初始的內(nèi)部用戶的IP地址，報(bào)數(shù)據(jù)包轉(zhuǎn)發(fā)給內(nèi)部網(wǎng)絡(luò)用戶。由于這樣對外隱藏了內(nèi)部網(wǎng)絡(luò)的IP地址，因此，外部用戶無法直接發(fā)起到內(nèi)部網(wǎng)絡(luò)的連接，從而保護(hù)了內(nèi)部網(wǎng)絡(luò)用戶。2）NAT的優(yōu)點(diǎn)和缺點(diǎn)（1）NAT的優(yōu)點(diǎn)NAT節(jié)省了公共地址：一個(gè)企業(yè)申請的合法IP地址很少，而內(nèi)部網(wǎng)絡(luò)用戶很多，可以通過NAT功能實(shí)現(xiàn)多個(gè)用戶同時(shí)公用一個(gè)合法IP地址與外部網(wǎng)絡(luò)進(jìn)行通信。NAT允許內(nèi)部網(wǎng)絡(luò)編址的一致性：如果一個(gè)單位沒有使用私有地址和NAT，當(dāng)公有地址發(fā)生變化時(shí)，要改變公司內(nèi)的所有主機(jī)IP地址，工作量巨大。如果采用了NAT只更改NAT設(shè)備的IP地址池配置，內(nèi)部網(wǎng)絡(luò)的編址不受影響。這意味著，一個(gè)單位可以更換ISP而不需要改變內(nèi)部主機(jī)的IP地址。NAT增加了連接到公網(wǎng)的彈性：可以使用多地址池、備份池、負(fù)載均衡池，確保可靠的公網(wǎng)連接。NAT提高了內(nèi)部網(wǎng)絡(luò)的安全：一個(gè)企業(yè)不想讓外部網(wǎng)絡(luò)用戶知道自己內(nèi)部網(wǎng)絡(luò)的結(jié)構(gòu)，可以通過NAT將內(nèi)部網(wǎng)絡(luò)與外部Internet隔離開，則外部用戶根本不知道通過NAT的內(nèi)部IP地址。NAT雖然能提高內(nèi)部網(wǎng)絡(luò)的安全，但無法取代防火墻。（2）NAT的缺點(diǎn)NAT影響性能：轉(zhuǎn)換每一個(gè)包頭中的IP地址需要時(shí)間，NAT增加了交換延時(shí)。路由器必須檢查每一個(gè)包來決定是否需要轉(zhuǎn)換，路由器需要轉(zhuǎn)換IP頭，有時(shí)還需要轉(zhuǎn)換TCP或UDP頭部。NAT缺乏對一些應(yīng)用的支持：很多Imternet協(xié)議和應(yīng)用依賴于端到端的應(yīng)用，包從源到目的地不能被修改。通過修改端到端的地址，NAT阻止了一些應(yīng)用，比如一些安全應(yīng)用，如數(shù)字簽名就會失敗，因?yàn)閿?shù)據(jù)包中源IP地址發(fā)生了變化。NAT不利于追蹤：經(jīng)過多次NAT，端到端的追蹤變得非常困難。另外，因?yàn)镹AT的存在，也很難追蹤或獲得黑客使用的真是IP地址。NAT使一些隧道協(xié)議變得復(fù)雜：因?yàn)镹AT修改了包頭中的值，給IPSec或其他隧道協(xié)議的完整性帶來困難。VLAN技術(shù)VLAN（虛擬局域網(wǎng)）是對連接到的第二層交換機(jī)端口的網(wǎng)絡(luò)用戶的邏輯分段，不受網(wǎng)絡(luò)用戶的物理位置限制而根據(jù)用戶需求進(jìn)行網(wǎng)絡(luò)分段。一個(gè)VLAN可以在一個(gè)交換機(jī)或者跨交換機(jī)實(shí)現(xiàn)。VLAN可以根據(jù)網(wǎng)絡(luò)用戶的位置、作用、部門或者根據(jù)網(wǎng)絡(luò)用戶所使用的應(yīng)用程序和協(xié)議來進(jìn)行分組?；诮粨Q機(jī)的虛擬局域網(wǎng)能夠?yàn)榫钟蚓W(wǎng)解決沖突域、廣播域、帶寬問題。傳統(tǒng)的共享介質(zhì)的以太網(wǎng)和交換式的以太網(wǎng)中，所有的用戶在同一個(gè)廣播域中，會引起網(wǎng)絡(luò)性能的下降，浪費(fèi)可貴的帶寬；而且對廣播風(fēng)暴的控制和網(wǎng)絡(luò)安全只能在第三層的路由器上實(shí)現(xiàn)。VLAN相當(dāng)于OSI參考模型的第二層的廣播域，能夠?qū)V播風(fēng)暴控制在一個(gè)VLAN內(nèi)部，劃分VLAN后，由于廣播域的縮小，網(wǎng)絡(luò)中廣播包消耗帶寬所占的比例大大降低，網(wǎng)絡(luò)的性能得到顯著的提高。不同的VLAN之間的數(shù)據(jù)傳輸是通過第三層（網(wǎng)絡(luò)層）的路由來實(shí)現(xiàn)的，因此使用VLAN技術(shù)，結(jié)合數(shù)據(jù)鏈路層和網(wǎng)絡(luò)層的交換設(shè)備可搭建安全可靠的網(wǎng)絡(luò)。網(wǎng)絡(luò)管理員通過控制交換機(jī)的每一個(gè)端口來控制網(wǎng)絡(luò)用戶對網(wǎng)絡(luò)資源的訪問，同時(shí)VLAN和第三層第四層的交換結(jié)合使用能夠?yàn)榫W(wǎng)絡(luò)提供較好的安全措施。另外，VLAN具有靈活性和可擴(kuò)張性等特點(diǎn)，方便于網(wǎng)絡(luò)維護(hù)和管理，這兩個(gè)特點(diǎn)正是現(xiàn)代局域網(wǎng)設(shè)計(jì)必須實(shí)現(xiàn)的兩個(gè)基本目標(biāo)，在局域網(wǎng)中有效利用虛擬局域網(wǎng)技術(shù)能夠提高網(wǎng)絡(luò)運(yùn)行效率。DHCP技術(shù)DHCP是DynamicHostConfigurationProtocol(動態(tài)主機(jī)配置協(xié)議）縮寫，它的前身是BOOTP。BOOTP原本是用于無磁盤主機(jī)連接的網(wǎng)絡(luò)上面的：網(wǎng)絡(luò)主機(jī)使用BOOTROM而不是磁盤啟動并連接上網(wǎng)絡(luò)，BOOTP則可以自動地為那些主機(jī)設(shè)定TCP/IP環(huán)境。但BOOTP有一個(gè)缺點(diǎn)：您在設(shè)定前須事先獲得客戶端的硬件地址，而且與IP的對應(yīng)是靜態(tài)的。換而言之，BOOTP非常缺乏"動態(tài)性"，若在有限的IP資源環(huán)境中，BOOTP的一一對應(yīng)會造成非常嚴(yán)重的資源浪費(fèi)。DHCP可以說是BOOTP的增強(qiáng)版本，它分為兩個(gè)部份：一個(gè)是服務(wù)器端，而另一個(gè)是客戶端。所有的IP網(wǎng)絡(luò)設(shè)定數(shù)據(jù)都由DHCP服務(wù)器集中管理，并負(fù)責(zé)處理客戶端的DHCP要求；而客戶端則會使用從服務(wù)器分配下來的IP環(huán)境數(shù)據(jù)。使用DHCP，整個(gè)計(jì)算機(jī)的配置文件都可以在一條信息中獲得（除了IP地址，服務(wù)器可以同時(shí)發(fā)送子網(wǎng)掩碼、缺省網(wǎng)關(guān)、DNS服務(wù)器和其他的TCP/IP配置）。比較起B(yǎng)OOTP，DHCP透過"租約"的概念，有效且動態(tài)的分配客戶端的TCP/IP設(shè)定，而且，作為兼容考慮，DHCP也完全照顧了BOOTPClient的需求。DHCP的分配形式首先，必須至少有一臺DHCP服務(wù)器工作在網(wǎng)絡(luò)上面，它會監(jiān)聽網(wǎng)絡(luò)的DHCP請求，并與客戶端磋商TCP/IP的設(shè)定環(huán)境。ACL技術(shù)訪問控制列表（AccessControlList，ACL）是路由器和交換機(jī)接口的指令列表，用來控制端口進(jìn)出的數(shù)據(jù)包。ACL適用于所有的被路由協(xié)議，如IP、IPX、AppleTalk等。這張表中包含了匹配關(guān)系、條件和查詢語句，表只是一個(gè)框架結(jié)構(gòu)，其目的是為了對某種訪問進(jìn)行控制。ACL可以用作控制和過濾流經(jīng)路由器端口的數(shù)據(jù)包的工具。通過使用ACL，路由器提供了基本的數(shù)據(jù)流過濾能力。ACL具有下列作用：1）限制網(wǎng)絡(luò)流量，提高網(wǎng)絡(luò)性能2）提供數(shù)據(jù)流控制3）為網(wǎng)絡(luò)訪問提供基本的安全層4）決定轉(zhuǎn)發(fā)或者阻止哪些類型的數(shù)據(jù)流PPP協(xié)議點(diǎn)對點(diǎn)協(xié)議（PPP）為在點(diǎn)對點(diǎn)連接上傳輸多協(xié)議數(shù)據(jù)包提供了一個(gè)標(biāo)準(zhǔn)方法。PPP最初設(shè)計(jì)是為兩個(gè)對等節(jié)點(diǎn)之間的IP流量傳輸提供一種封裝協(xié)議。在TCP-IP協(xié)議集中它是一種用來同步調(diào)制連接的數(shù)據(jù)鏈路層協(xié)議（OSI模式中的第二層），替代了原來非標(biāo)準(zhǔn)的第二層協(xié)議，即SLIP。除了IP以外PPP還可以攜帶其它協(xié)議，包括DECnet和Novell的Internet網(wǎng)包交換（IPX）。VTP技術(shù)它是一個(gè)OSI參考模型第二層的通信協(xié)議，主要用于管理在同一個(gè)域的網(wǎng)絡(luò)范圍內(nèi)VLANs的建立、刪除和重命名。在一臺VTPServer上配置一個(gè)新的VLAN時(shí)，該VLAN的配置信息將自動傳播到本域內(nèi)的其他所有交換機(jī)。這些交換機(jī)會自動地接收這些配置信息，使其VLAN的配置與VTPServer保持一致，從而減少在多臺設(shè)備上配置同一個(gè)VLAN信息的工作量，而且保持了VLAN配置的統(tǒng)一性。VTP通過網(wǎng)絡(luò)(ISL幀或cisco私有DTP幀)保持VLAN配置統(tǒng)一性。VTP在系統(tǒng)級管理增加，刪除，調(diào)整的VLAN，自動地將信息向網(wǎng)絡(luò)中其它的交換機(jī)廣播。此外，VTP減小了那些可能導(dǎo)致安全問題的配置。便于管理,只要在vtpserver做相應(yīng)設(shè)置,vtpclient會自動學(xué)習(xí)vtpserver上的vlan信息*當(dāng)使用多重名字VLAN能變成交叉--連接。*當(dāng)它們是錯誤地映射在一個(gè)和其它局域網(wǎng)，VLAN能變成內(nèi)部斷開。VTP有三種工作模式：VTPServer、VTPClient和VTPTransparent。新交換機(jī)出廠時(shí)的默認(rèn)配置是預(yù)配置為VLAN1，VTP模式為服務(wù)器。一般，一個(gè)VTP域內(nèi)的整個(gè)網(wǎng)絡(luò)只設(shè)一個(gè)VTPServer。VTPServer維護(hù)該VTP域中所有VLAN信息列表，VTPServer可以建立、刪除或修改VLAN，發(fā)送并轉(zhuǎn)發(fā)相關(guān)的通告信息，同步vlan配置，會把配置保存在NVRAM中。VTPClient雖然也維護(hù)所有VLAN信息列表，但其VLAN的配置信息是從VTPServer學(xué)到的，VTPClient不能建立、刪除或修改VLAN，但可以轉(zhuǎn)發(fā)通告，同步vlan配置，不保存配置到NVRAM中。VTPTransparent相當(dāng)于是一項(xiàng)獨(dú)立的交換機(jī)，它不參與VTP工作，不從VTPServer學(xué)習(xí)VLAN的配置信息，而只擁有本設(shè)備上自己維護(hù)的VLAN信息。VTPTransparent可以建立、刪除和修改本機(jī)上的VLAN信息，同時(shí)會轉(zhuǎn)發(fā)通告并把配置保存到NVRAM中。STP技術(shù)STP（SpanningTreeProtocol）是生成樹協(xié)議的英文縮寫。該協(xié)議可應(yīng)用于在網(wǎng)絡(luò)中建立樹形拓?fù)?，消除網(wǎng)絡(luò)中的環(huán)路，并且可以通過一定的方法實(shí)現(xiàn)路徑冗余，但不是一定可以實(shí)現(xiàn)路徑冗余。生成樹協(xié)議適合所有廠商的網(wǎng)絡(luò)設(shè)備，在配置上和體現(xiàn)功能強(qiáng)度上有所差別，但是在原理和應(yīng)用效果是一致的。STP的基本原理是，通過在交換機(jī)之間傳遞一種特殊的協(xié)議報(bào)文，網(wǎng)橋協(xié)議數(shù)據(jù)單元（BridgeProtocolDataUnit，簡稱BPDU），來確定網(wǎng)絡(luò)的拓?fù)浣Y(jié)構(gòu)。BPDU有兩種，配置BPDU（ConfigurationBPDU）和TCNBPDU。前者是用于計(jì)算無環(huán)的生成樹的，后者則是用于在二層網(wǎng)絡(luò)拓?fù)浒l(fā)生變化時(shí)產(chǎn)生用來縮短CAM表項(xiàng)的刷新時(shí)間的（由默認(rèn)的300s縮短為15s）。SpanningTreeProtocol(STP)在IEEE802.1D文檔中定義。該協(xié)議的原理是按照樹的結(jié)構(gòu)來構(gòu)造網(wǎng)絡(luò)拓?fù)?，消除網(wǎng)絡(luò)中的環(huán)路，避免由于環(huán)路的存在而造成廣播風(fēng)暴問題。SpanningTreeProtocol(STP)的基本思想就是按照"樹"的結(jié)構(gòu)構(gòu)造網(wǎng)絡(luò)的拓?fù)浣Y(jié)構(gòu)，樹的根是一個(gè)稱為根橋的橋設(shè)備，根橋的確立是由交換機(jī)或網(wǎng)橋的BID（BridgeID）確定的，BID最小的設(shè)備成為二層網(wǎng)絡(luò)中的根橋。BID又是由網(wǎng)橋優(yōu)先級和MAC地址構(gòu)成，不同廠商的設(shè)備的網(wǎng)橋優(yōu)先級的字節(jié)個(gè)數(shù)可能不同。由根橋開始，逐級形成一棵樹，根橋定時(shí)發(fā)送配置BPDU，非根橋接收配置BPDU，刷新最佳BPDU并轉(zhuǎn)發(fā)。這里的最佳BPDU指的是當(dāng)前根橋所發(fā)送的BPDU。如果接收到了下級BPDU（新接入的設(shè)備會發(fā)送BPDU，但該設(shè)備的BID比當(dāng)前根橋大），接收到該下級BPDU的設(shè)備將會向新接入的設(shè)備發(fā)送自己存儲的最佳BPDU，以告知其當(dāng)前網(wǎng)絡(luò)中根橋；如果接收到的BPDU更優(yōu)，將會重新計(jì)算生成樹拓?fù)?。?dāng)非根橋在離上一次接收到最佳BPDU最長壽命（MaxAge，默認(rèn)20s）后還沒有接收到最佳BPDU的時(shí)候，該端口將進(jìn)入監(jiān)聽狀態(tài)，該設(shè)備將產(chǎn)生TCNBPDU，并從根端口轉(zhuǎn)發(fā)出去，從指定端口接收到TCNBPDU的上級設(shè)備將發(fā)送確認(rèn)，然后再向上級設(shè)備發(fā)送TCNBPDU，此過程持續(xù)到根橋?yàn)橹?，然后根橋在其后發(fā)送的配置BPDU中將攜帶標(biāo)記表明拓?fù)湟寻l(fā)生變化，網(wǎng)絡(luò)中的所有設(shè)備接收到后將CAM表項(xiàng)的刷新時(shí)間從300s縮短為15s。整個(gè)收斂的時(shí)間為50s左右。動態(tài)/靜態(tài)路由協(xié)議靜態(tài)路由是指需要由網(wǎng)絡(luò)管理員手工配置路由信息。當(dāng)網(wǎng)絡(luò)的拓?fù)浣Y(jié)構(gòu)或鏈路的狀態(tài)發(fā)生變化時(shí)，網(wǎng)絡(luò)管理員需要手工去修改路由表中相關(guān)的靜態(tài)路由信息。靜態(tài)路由一般適用于比較簡單的網(wǎng)絡(luò)環(huán)境，在這樣的環(huán)境中，網(wǎng)絡(luò)管理員易于清楚地了解網(wǎng)絡(luò)的拓?fù)浣Y(jié)構(gòu)，便于設(shè)置正確的路由信息。使用靜態(tài)

路由的另一個(gè)好處是網(wǎng)絡(luò)安全保密性高。動態(tài)路由因?yàn)樾枰酚善髦g頻繁地交換各自的路由表，而對路由表的分析可以揭示網(wǎng)絡(luò)的拓?fù)浣Y(jié)構(gòu)和網(wǎng)絡(luò)地址等信息。大型和復(fù)雜的網(wǎng)絡(luò)環(huán)境通常不宜采用靜態(tài)路由。一方面，網(wǎng)絡(luò)管理員難以全面地了解整個(gè)網(wǎng)絡(luò)的拓?fù)浣Y(jié)構(gòu)；另一方面，當(dāng)網(wǎng)絡(luò)的拓?fù)浣Y(jié)構(gòu)和鏈路狀態(tài)發(fā)生變化時(shí)，路由器中的靜態(tài)路由信息需要大范圍地調(diào)整，這一工作的難度和

復(fù)雜程度非常高。需求分析帶寬性能需求現(xiàn)代企業(yè)網(wǎng)絡(luò)應(yīng)該有更高的帶寬,更強(qiáng)大的性能,以滿足日益增長的通信需求的用戶。與計(jì)算機(jī)技術(shù)的快速發(fā)展,越來越多的基于網(wǎng)絡(luò)的各種應(yīng)用中,今天的企業(yè)網(wǎng)絡(luò)已經(jīng)發(fā)展成為一個(gè)多功能無記名平臺,不僅要繼續(xù)把辦公自動化、網(wǎng)絡(luò)瀏覽以及其他數(shù)據(jù)服務(wù),但也攜帶的各種業(yè)務(wù)應(yīng)用系統(tǒng)設(shè)計(jì)生產(chǎn)數(shù)據(jù),以及帶寬和要求IP、視頻會議和其他多媒體服務(wù)。因此,數(shù)據(jù)流將大大增加,特別是提出了更高的要求,數(shù)據(jù)交換能力的核心網(wǎng)絡(luò)。此外,隨著成本的持續(xù)下降,千兆的千兆端口桌面應(yīng)用程序?qū)⒃诓痪玫膶沓蔀橹髁鞯钠髽I(yè)網(wǎng)絡(luò)。建立一個(gè)無障礙的“高品質(zhì)”的企業(yè)局域網(wǎng),擴(kuò)大網(wǎng)絡(luò)適應(yīng)需求不斷增長的營業(yè)額。網(wǎng)絡(luò)安全需求現(xiàn)代企業(yè)網(wǎng)絡(luò)將需要提供更好的網(wǎng)絡(luò)安全解決方案，以防止病毒和黑客的攻擊，減少經(jīng)濟(jì)損失。傳統(tǒng)企業(yè)的網(wǎng)絡(luò)安全主要是通過部署防火墻，IDS，防病毒軟件，交換機(jī)或路由器的ACL和協(xié)調(diào)防御病毒和黑客攻擊。現(xiàn)代企業(yè)網(wǎng)絡(luò)在企業(yè)網(wǎng)絡(luò)已經(jīng)成為公司業(yè)務(wù)的重要組成部分，必須有一組病毒從用戶接入控制，報(bào)文識別到主動抑制的一系列安全控制措施，從而確保穩(wěn)定運(yùn)行企業(yè)網(wǎng)絡(luò)。應(yīng)用服務(wù)需求現(xiàn)代企業(yè)網(wǎng)絡(luò)應(yīng)該有一個(gè)更智能的網(wǎng)絡(luò)管理解決方案,以滿足網(wǎng)絡(luò)大小增加的維護(hù)工作更復(fù)雜的需求。目前的網(wǎng)絡(luò)已經(jīng)發(fā)展成為“以應(yīng)用程序?yàn)橹行牡摹毙畔⒒A(chǔ)設(shè)施平臺、網(wǎng)絡(luò)管理能力的需求已經(jīng)上升到業(yè)務(wù)層面,傳統(tǒng)的網(wǎng)絡(luò)設(shè)備的情報(bào)沒有有效地支持發(fā)展網(wǎng)絡(luò)管理的需要?，F(xiàn)代企業(yè)網(wǎng)絡(luò)迫切需要一個(gè)網(wǎng)絡(luò)設(shè)備支持“以應(yīng)用程序?yàn)橹行牡摹爸悄芫W(wǎng)絡(luò)操作和維護(hù),和一組智能管理軟件,網(wǎng)絡(luò)管理人員從繁重的工作釋放。設(shè)計(jì)所需環(huán)境硬件要求操作系統(tǒng)WindowsServer2021/XP/7/VistaCPU1500MHz最好是3000MHz以上雙核更好內(nèi)存512MB最好是1G2G更好空閑硬盤空間2GB以上軟件要求PacketTracer4.1系統(tǒng)設(shè)計(jì)方案系統(tǒng)設(shè)計(jì)原則實(shí)用性應(yīng)該從實(shí)際情況,以達(dá)到和容易使用可以起到有效的目的。成熟的技術(shù)和產(chǎn)品系統(tǒng)的建設(shè)。能夠兼容現(xiàn)有系統(tǒng)的新系統(tǒng),以保持連續(xù)性和可用的資源。該系統(tǒng)是安全可靠的。非常容易使用,并不需要太多的培訓(xùn)可以容易使用和維護(hù)。安全性使用各種有效的安全措施,確保安全運(yùn)行的網(wǎng)絡(luò)系統(tǒng)和應(yīng)用程序。安全包括四個(gè)層次:網(wǎng)絡(luò)安全、操作系統(tǒng)安全、數(shù)據(jù)庫安全、應(yīng)用系統(tǒng)安全。由于互聯(lián)網(wǎng)的開放性,世界各地的網(wǎng)絡(luò)用戶可以訪問公司網(wǎng)絡(luò)、企業(yè)網(wǎng)絡(luò)防火墻、數(shù)據(jù)加密技術(shù),以防止非法入侵,防止竊聽和篡改數(shù)據(jù)和路由信息安全保護(hù),確保安全。磁帶備份系統(tǒng),建立系統(tǒng)和數(shù)據(jù)庫。可擴(kuò)充性符合國際和國內(nèi)行業(yè)標(biāo)準(zhǔn)協(xié)議和接口,因此,企業(yè)網(wǎng)絡(luò)具有良好的開放,容易與其他網(wǎng)絡(luò)互連和信息資源。的增加及不同層次的網(wǎng)絡(luò)節(jié)點(diǎn)和子網(wǎng)。一般包括開放標(biāo)準(zhǔn)的原則、技術(shù)、結(jié)構(gòu)、系統(tǒng)組件和用戶界面。必須根據(jù)實(shí)際的使用先進(jìn)的成熟技術(shù),購買先進(jìn)水平的計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)和設(shè)備。隨著不斷變化的計(jì)算機(jī)技術(shù)和計(jì)算機(jī)網(wǎng)絡(luò)技術(shù)的快速發(fā)展,網(wǎng)絡(luò)系統(tǒng)的規(guī)?？缮炜s性已經(jīng)十分重要,所以考慮可伸縮性的網(wǎng)絡(luò)系統(tǒng)是非常重要的?？晒芾硇猿浞挚紤]網(wǎng)絡(luò)的設(shè)計(jì)未來網(wǎng)絡(luò)管理和維護(hù),操作方便,維護(hù)容易的選擇網(wǎng)絡(luò)操作系統(tǒng),大大減少了負(fù)擔(dān)的管理和維護(hù)的網(wǎng)絡(luò)運(yùn)營商。使用智能網(wǎng)絡(luò)管理,減少運(yùn)營成本和維護(hù)的網(wǎng)絡(luò)。高性能價(jià)格比日益進(jìn)步的新技術(shù)和特定情況下,開發(fā)具有成本效益的解決方案來滿足需求的基礎(chǔ)上,充分保障了企業(yè)的經(jīng)濟(jì)效益。堅(jiān)持經(jīng)濟(jì)原則,努力做更多的事情,錢最少的,為了獲得最大的利益。網(wǎng)絡(luò)設(shè)備選型本次設(shè)計(jì)均根據(jù)packettracer4.1模擬器完成，所有設(shè)備均采用模擬器內(nèi)含設(shè)備。表3-1網(wǎng)絡(luò)設(shè)備選型型號及數(shù)量價(jià)格（單位：元）說明Cisco1841四臺3700/臺集成多業(yè)務(wù)路由器能夠以線速提供安全的數(shù)據(jù)訪問應(yīng)用，從而為中小企業(yè)和小型分支機(jī)構(gòu)提供全套功能和靈活性，以便實(shí)現(xiàn)安全的互聯(lián)網(wǎng)和內(nèi)部網(wǎng)接入CISCOWS-C2960-24TT兩臺4000/臺用于接入層交換機(jī)，具有24個(gè)以太網(wǎng)10/100端口2個(gè)以太網(wǎng)10/100/1000端口系統(tǒng)總體設(shè)計(jì)和拓?fù)浣Y(jié)構(gòu)對于一個(gè)大中型企業(yè)局域網(wǎng)，通常在設(shè)計(jì)上將網(wǎng)絡(luò)分為核心層、匯聚層和接入層分別考慮。接入層節(jié)點(diǎn)直接連接用戶計(jì)算機(jī)，它通常是一個(gè)部門或者一個(gè)樓層的交換機(jī)；匯聚層交換機(jī)的每個(gè)節(jié)點(diǎn)可以連接多個(gè)接入層節(jié)點(diǎn)，它通常是一個(gè)建筑物內(nèi)部連接多個(gè)樓層交換機(jī)或者部門交換機(jī)的總交換機(jī)；核心層交換機(jī)節(jié)點(diǎn)連接多個(gè)匯聚層交換機(jī)，通常是企業(yè)中連接多個(gè)建筑物的總交換機(jī)的核心網(wǎng)絡(luò)設(shè)備。1、核心層核心層的功能主要是實(shí)現(xiàn)骨干網(wǎng)絡(luò)之間的優(yōu)化傳輸，復(fù)雜整個(gè)網(wǎng)絡(luò)的網(wǎng)內(nèi)數(shù)據(jù)交換。網(wǎng)絡(luò)的功能控制最好盡量在骨干層上實(shí)施，核心層設(shè)計(jì)任務(wù)的重點(diǎn)是冗余能力、可靠性和高速傳輸。核心層一直被認(rèn)為流量的最終承受著和匯聚者，所以要求核心交換機(jī)擁有較高的可靠性和性能。2、匯聚層匯聚層主要負(fù)責(zé)連接接入層節(jié)點(diǎn)和核心層，匯聚分散的接入點(diǎn)，擴(kuò)大核心設(shè)備的端口密度和種類，匯聚各區(qū)域數(shù)據(jù)流量，實(shí)現(xiàn)骨干網(wǎng)絡(luò)之間的優(yōu)化傳輸。匯聚層交換機(jī)還負(fù)責(zé)本區(qū)域的數(shù)據(jù)交換，匯聚層交換機(jī)一般與中心交換機(jī)同類型，仍需較高的性能和較豐富功能。3、接入層接入層交換機(jī)作為二層交換網(wǎng)絡(luò)設(shè)備，提供功能工作站等設(shè)備的網(wǎng)絡(luò)接入。接入層在整個(gè)網(wǎng)絡(luò)中接入交換機(jī)的數(shù)據(jù)最多，具有即插即用的特性。對于此類交換機(jī)要求，一是價(jià)格合理；二是可管理性號，易于使用維護(hù)；三是穩(wěn)定性要好。系統(tǒng)總體設(shè)計(jì)方案本次設(shè)計(jì)為小型企業(yè)局域網(wǎng)，對網(wǎng)絡(luò)進(jìn)行簡化，并未采用三層結(jié)構(gòu)，重點(diǎn)放在網(wǎng)絡(luò)主干的設(shè)計(jì)與路由器交換機(jī)的配置上，同時(shí)還有VLAN的劃分，VTP協(xié)議的使用、STP協(xié)議的配置、動態(tài)/靜態(tài)路由協(xié)議的配置、DHCP的配置、NAT的配置、PPP的配置及ACL的應(yīng)用。圖2-1為企業(yè)局域網(wǎng)總體拓?fù)浣Y(jié)構(gòu)圖圖2-1企業(yè)局域網(wǎng)總體拓?fù)鋱D注：圖中PC機(jī)代表企業(yè)各部門各設(shè)備的IP地址配置R1:S0/0/0:Fa0/1:Fa0/2:Fa0/3:R2:S0/0/0:Fa0/0:Fa0/1:R3:S0/0/0:Fa0/1:R4:S0/0/0:Fa0/0:Fa0/1:SW1:VLAN1:SW2:VLAN2:PC1,PC2,PC3和PC4的IP地址均自動獲取。PC1和PC2屬于VLAN2，VLAN2所在的IP子網(wǎng)是。PC2和PC4屬于VLAN3，VLAN3所在的IP子網(wǎng)是。Web服務(wù)器：路由器模塊路由器（Router）是連接因特網(wǎng)中各局域網(wǎng)、廣域網(wǎng)的設(shè)備，它會根據(jù)信道的情況自動選擇和設(shè)定路由，以最佳路徑，按前后順序發(fā)送信號的設(shè)備。路由器是互聯(lián)網(wǎng)絡(luò)的樞紐、"交通警察"。目前路由器已經(jīng)廣泛應(yīng)用于各行各業(yè)，各種不同檔次的產(chǎn)品已成為實(shí)現(xiàn)各種骨干網(wǎng)內(nèi)部連接、骨干網(wǎng)間互聯(lián)和骨干網(wǎng)與互聯(lián)網(wǎng)互聯(lián)互通業(yè)務(wù)的主力軍。路由和交換之間的主要區(qū)別就是交換發(fā)生在OSI參考模型第二層（數(shù)據(jù)鏈路層），而路由發(fā)生在第三層，即網(wǎng)絡(luò)層。這一區(qū)別決定了路由和交換在移動信息的過程中需使用不同的控制信息，所以兩者實(shí)現(xiàn)各自功能的方式是不同的。路由器配置IP地址配置1）R1的配置Router>enRouter#conftEnterconfigurationcommands,oneperline.EndwithCNTL/Z.Router(config)#hostR1R1(config)#intS0/0/0R1(config-if)#ipaddR1(config-if)#clockrate64000R1(config-if)#noshut%LINK-5-CHANGED:InterfaceSerial0/0/0,changedstatetodownR1(config-if)#intfa0/0（該端口在VLAN劃分時(shí)在給予配置，此僅打開端口）R1(config-if)#noshut%LINK-5-CHANGED:InterfaceFastEthernet0/0,changedstatetoup%LINEPROTO-5-UPDOWN:LineprotocolonInterfaceFastEthernet0/0,changedstatetoup2）R2的配置Router>enRouter#conftEnterconfigurationcommands,oneperline.EndwithCNTL/Z.Router(config)#hostR2R2(config)#ints0/0/0R2(config-if)#ipaddR2(config-if)#noshut%LINK-5-CHANGED:InterfaceSerial0/0/0,changedstatetoupR2(config-if)#intfa0/0R2(config-if)#ipaddR2(config-if)#noshut%LINK-5-CHANGED:InterfaceFastEthernet0/0,changedstatetoupR2(config-if)#intfa0/1R2(config-if)#ipaddR2(config-if)#noshut%LINK-5-CHANGED:InterfaceFastEthernet0/1,changedstatetoup3)R3的配置Router>enRouter#conftEnterconfigurationcommands,oneperline.EndwithCNTL/Z.Router(config)#hostR3R3(config)#ints0/0/0R3(config-if)#ipaddR3(config-if)#clockrate64000R3(config-if)#noshut%LINK-5-CHANGED:InterfaceSerial0/0/0,changedstatetodownR3(config-if)#intfa0/1R3(config-if)#ipaddR3(config-if)#noshut%LINK-5-CHANGED:InterfaceFastEthernet0/1,changedstatetoup%LINEPROTO-5-UPDOWN:LineprotocolonInterfaceFastEthernet0/1,changedstatetoup4）R4的配置Router>enRouter#conftEnterconfigurationcommands,oneperline.EndwithCNTL/Z.Router(config)#hostR4R4(config)#ints0/0/0R4(config-if)#ipaddR4(config-if)#noshut%LINK-5-CHANGED:InterfaceSerial0/0/0,changedstatetoupR4(config-if)#intfa0/0R4(config-if)#ipaddR4(config-if)#noshut%LINK-5-CHANGED:InterfaceFastEthernet0/0,changedstatetoup%LINEPROTO-5-UPDOWN:LineprotocolonInterfaceFastEthernet0/0,changedstatetoupR4(config-if)#intfa0/1R4(config-if)#ipaddR4(config-if)#noshut%LINK-5-CHANGED:InterfaceFastEthernet0/1,changedstatetoup%LINEPROTO-5-UPDOWN:LineprotocolonInterfaceFastEthernet0/1,changedstatetoupWeb服務(wù)器的配置Web服務(wù)器配置如下：IP地址：子網(wǎng)掩碼：網(wǎng)關(guān)：如圖3-1，3-2圖3-1網(wǎng)關(guān)配置圖3-2IP和掩碼配置配置設(shè)備的遠(yuǎn)程登錄和密碼保護(hù)及DHCP配置設(shè)備的遠(yuǎn)程登錄和密碼保護(hù)R1的配置如下R1(config)#linevty04R1(config-line)#passwordciscoR1(config-line)#loginR1(config-line)#exR1(config)#enablesecretciscoR1(config)#servicepassword-encryptionR2R3R4SW1SW2的配置與R1的配置類似不再敘述DHCP的配置R1>enPassword:R1#conftEnterconfigurationcommands,oneperline.EndwithCNTL/Z.R1(config)#ipdhcpexcluded-addressR1(config)#ipdhcppoolvlan2R1(dhcp-config)#networkR1(dhcp-config)#default-routerR1(dhcp-config)#dns-serverR1(dhcp-config)#exR1(config)#ipdhcpexcluded-addressR1(config)#ipdhcppoolvlan3R1(dhcp-config)#networkR1(dhcp-config)#default-routerR1(dhcp-config)#dns-server檢驗(yàn)：依次配置PC機(jī)，使用DHCP分配結(jié)果如圖3-3圖3-3PC1的DHCP分配結(jié)果路由協(xié)議OSPF協(xié)議R1配置R1(config)#iprouteR2的配置R2(config)#routerospf1R2(config-router)#net55area0R2(config-router)#net55area0R2(config-router)#net55area0R3的配置R3(config)#routerospf1R3(config-router)#net55area0R3(config-router)#net55area0R4的配置R4(config)#routerospf1R4(config-router)#net55area0R4(config-router)#net55area0R4(config-router)#net55area0PPP協(xié)議R1配置R1(config)#userR2passciscoR1(config)#ints0/0/0R1(config-if)#encapsulationppp%LINEPROTO-5-UPDOWN:LineprotocolonInterfaceSerial0/0/0,changedstatetodownR1(config-if)#pppauthenticationchapR2的配置R2(config)#userR1passciscoR2(config)#ints0/0/0R2(config-if)#encapsulationppp%LINEPROTO-5-UPDOWN:LineprotocolonInterfaceSerial0/0/0,changedstatetoupR2(config-if)#pppauthenticationchap%LINEPROTO-5-UPDOWN:LineprotocolonInterfaceSerial0/0/0,changedstatetodown%LINEPROTO-5-UPDOWN:LineprotocolonInterfaceSerial0/0/0,changedstatetoupPPP協(xié)議驗(yàn)證關(guān)閉路由器R1的S0/0/0接口，稍后再次打開該接口，觸發(fā)PPP的CHAP驗(yàn)證。輸出如圖3-4：圖3-4PPP的CHAP驗(yàn)證配置NAT在路由器R1上配置動態(tài)PAT，使四臺PC都可以通過R1訪問Internet。R1配置如下：R1(config)#intfa0/0.2R1(config-subif)#ipnatinsideR1(config-subif)#intfa0/0.3R1(config-subif)#ipnatinsideR1(config-subif)#ints0/0/0R1(config-if)#ipnatoutsideR1(config-if)#exR1(config)#access-list1permit55R1(config)#access-list1permit55R1(config)#ipnatinsidesourcelist1interfaces0/0/0overload在路由器R1上配置靜態(tài)PAT，使Internet可以通過路由器R1的TCP2323端口Telnet登錄到SW1。R1的配置如下：R1(config)#intfa0/0.1R1(config-subif)#ipnatinsideR1(config-subif)#exR1(config)#ipnatinsidesourcestatictcp232323交換機(jī)模塊交換（switching）是按照通信兩端傳輸信息的需要，用人工或設(shè)備自動完成的方法，把要傳輸?shù)男畔⑺偷椒弦蟮南鄳?yīng)路由上的技術(shù)的統(tǒng)稱。根據(jù)工作位置的不同，可以分為廣域網(wǎng)交換機(jī)和局域網(wǎng)交換機(jī)。廣域的交換機(jī)（switch）就是一種在通信系統(tǒng)中完成信息交換功能的設(shè)備。在計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)中，交換概念的提出改進(jìn)了共享工作模式。而HUB集線器就是一種共享設(shè)備，HUB本身不能識別目的地址，當(dāng)同一局域網(wǎng)內(nèi)的A主機(jī)給B主機(jī)傳輸數(shù)據(jù)時(shí)，數(shù)據(jù)包在以HUB為架構(gòu)的網(wǎng)絡(luò)上是以廣播方式傳輸?shù)?，由每一臺終端通過驗(yàn)證數(shù)據(jù)包頭的地址信息來確定是否接收。也就是說，在這種工作方式下，同一時(shí)刻網(wǎng)絡(luò)上只能傳輸一組數(shù)據(jù)幀的通訊，如果發(fā)生碰撞還得重試。這種方式就是共享網(wǎng)絡(luò)帶寬。通俗的說，普通交換機(jī)是不帶管理功能的，一根進(jìn)線，其他接口接到電腦上就可以了。交換機(jī)基本參數(shù)配置SW1的配置Switch>enSwitch#conftEnterconfigurationcommands,oneperline.EndwithCNTL/Z.Switch(config)#hostSW1SW1(config)#intvlan1SW1(config-if)#ipaddSW1(config-if)#noshut%LINK-5-CHANGED:InterfaceVlan1,changedstatetoup%LINEPROTO-5-UPDOWN:LineprotocolonInterfaceVlan1,changedstatetoupSW1(config-if)#exSW1(config)#ipdefault-gatewaySW2的配置Switch>enSwitch#conftEnterconfigurationcommands,oneperline.EndwithCNTL/Z.Switch(config)#hostSW2SW2(config)#intvlan1SW2(config-if)#ipaddSW2(config-if)#noshut%LINK-5-CHANGED:InterfaceVlan1,changedstatetoup%LINEPROTO-5-UPDOWN:LineprotocolonInterfaceVlan1,changedstatetoupSW2(config-if)#exSW2(config)#ipdefault-gateway配置VTP協(xié)議SW1的配置SW1(config)#vtpdomainccnaChangingVTPdomainnamefromNULLtoccnaSW1(config)#intfa0/23SW1(config-if)#switchportmodetrunk%LINEPROTO-5-UPDOWN:LineprotocolonInterfaceFastEthernet0/23,changedstatetodown%LINEPROTO-5-UPDOWN:LineprotocolonInterfaceFastEthernet0/23,changedstatetoupSW1(config-if)#intfa0/24SW1(config-if)#swimodetrunk%LINEPROTO-5-UPDOWN:LineprotocolonInterfaceFastEthernet0/24,changedstatetodown%LINEPROTO-5-UPDOWN:LineprotocolonInterfaceFastEthernet0/24,changedstatetoupSW2的配置SW2(config)#vtpdomainccnaChangingVTPdomainnamefromNULLtoccnaSW2(config)#vtpmodeclientSettingdevicetoVTPCLIENTmode.SW2(config)#intfa0/23SW2(config-if)#%LINEPROTO-5-UPDOWN:LineprotocolonInterfaceFastEthernet0/23,changedstatetodownSW2(config-if)#swimodetrunkSW2(config-if)#intfa0/24SW2(config-if)#swimodetrunk%LINEPROTO-5-UPDOWN:LineprotocolonInterfaceFastEthernet0/24,changedstatetodown%LINEPROTO-5-UPDOWN:LineprotocolonInterfaceFastEthernet0/24,changedstatetoup因?yàn)樗伎平粨Q機(jī)默認(rèn)是VTPServer，所以SW1是需要配置VTP域名就可以。驗(yàn)證VTP配置配置完成后，在SW2上使用“showvtpstatus”命令進(jìn)程查看，顯示結(jié)果如圖4-1：圖4-1showvtpstatus輸出信息因?yàn)镾W1上網(wǎng)沒有配置VLAN信息，SW1上VTP的配置修正號是0，所以SW2上的配置修正號也是0，存在的VLAN個(gè)數(shù)仍然是默認(rèn)的5.配置完VLAN后，可以進(jìn)一步檢驗(yàn)VTP的配置。VLAN劃分交換機(jī)VLAN配置在VTPServer交換機(jī)SW1上添加VLAN，并把端口加入到對應(yīng)的VLAN中。SW1配置如下：SW1(config)#VLAN2SW1(config-vlan)#vlan3SW1(config-vlan)#intfa0/2SW1(config-if)#swimodeaccSW1(config-if)#swiaccvlan2SW1(config-if)#intfa0/3SW1(config-if)#swimodeaccSW1(config-if)#swiaccvlan3%SYS-5-CONFIG_I:Configuredfromconsolebyconsole配置完成后使用showvlan命令查看VLAN配置情況，如圖4-2：圖4-2VLAN配置情況SW2配置如下：SW2(config)#intfa0/1SW2(config-if)#swimodeaccSW2(config-if)#swiaccvlan2SW2(config-if)#intfa0/2SW2(config-if)#swimodeaccSW2(config-if)#swiaccvlan3配置VLAN間路由這里要配置單臂路由，借助路由器R1實(shí)現(xiàn)VLAN1、VLAN2、VLAN3之間的互訪。SW1和R1之間的鏈路要配置成主干鏈路，SW1的配置如下：SW1(config)#intfa0/1SW1(config-if)#swimodetrunk%LINEPROTO-5-UPDOWN:LineprotocolonInterfaceFastEthernet0/1,changedstatetodown%LINEPROTO-5-UPDOWN:LineprotocolonInterfaceFastEthernet0/1,changedstatetoup路由器R1的配置如下：R1(config)#intfa0/0.1%LINK-5-CHANGED:InterfaceFastEthernet0/0.1,changedstatetoup%LINEPROTO-5-UPDOWN:LineprotocolonInterfaceFastEthernet0/0.1,changedstatetoupR1(config-subif)#encapsulationdot1Q1R1(config-subif)#ipaddR1(config-subif)#intfa0/0.2%LINK-5-CHANGED:InterfaceFastEthernet0/0.2,changedstatetoup%LINEPROTO-5-UPDOWN:LineprotocolonInterfaceFastEthernet0/0.2,changedstatetoupR1(config-subif)#encadot2R1(config-subif)#ipaddR1(config-subif)#intfa0/0.3%LINK-5-CHANGED:InterfaceFastEthernet0/0.3,changedstatetoup%LINEPROTO-5-UPDOWN:LineprotocolonInterfaceFastEthernet0/0.3,changedstatetoupR1(config-subif)#encadot3R1(config-subif)#ipadd配置STP協(xié)議配置前線查看STP協(xié)議運(yùn)行情況，SW1上顯示如下：SW1#showspanning-treeVLAN0001SpanningtreeenabledprotocolieeeRootIDPriority32769Address000A.4180.A934HelloTime2secMaxAge20secForwardDelay15secBridgeIDPriority32769(priority32768sys-id-ext1)Address0060.47D7.D883AgingTime300InterfaceRoleStsCostPrio.NbrTypeFa0/1DesgFWD19128.3ShrFa0/23AltnBLK19128.3ShrFa0/24RootFWD19128.3ShrVLAN0002SpanningtreeenabledprotocolieeeRootIDPriority32770Address000A.4180.A934HelloTime2secMaxAge20secForwardDelay15secBridgeIDPriority32770(priority32768sys-id-ext2)Address0060.47D7.D883AgingTime300InterfaceRoleStsCostPrio.NbrTypeFa0/1DesgFWD19128.3ShrFa0/2DesgFWD19128.3ShrFa0/23AltnBLK19128.3ShrFa0/24RootFWD19128.3ShrVLAN0003SpanningtreeenabledprotocolieeeRootIDPriority32771Address000A.4180.A934HelloTime2secMaxAge20secForwardDelay15secBridgeIDPriority32771(priority32768sys-id-ext3)Address0060.47D7.D883AgingTime300InterfaceRoleStsCostPrio.NbrTypeFa0/1DesgFWD19128.3ShrFa0/3DesgFWD19128.3ShrFa0/23AltnBLK19128.3ShrFa0/24RootFWD19128.3Shr從上面的輸出可以看到，交換機(jī)上默認(rèn)運(yùn)行的是PVST+，在VLAN1、VLAN2、和VLAN3中，SW1都不是跟交換機(jī)，交換機(jī)上使用了擴(kuò)展的system-ID,system-ID等于每個(gè)VLAN的編號。SW1的Fa0/24是根端口，F(xiàn)a0/23端口被阻塞。網(wǎng)絡(luò)中只有兩臺交換機(jī)，既然SW1不是根交換機(jī)，那么跟交換機(jī)是SW2。配置SW1，使其成為所有的VLAN的根交換機(jī)，配置命令