題目：普森有限公司的網絡規(guī)劃與設計產品設計工藝設計方案設計√摘要作為現(xiàn)代科學技術與計算機互聯(lián)網絡發(fā)展迅速的一個時代，各種處在不同領域的企業(yè)應運而生，伴隨著企業(yè)業(yè)務的不斷發(fā)展，各地的分公司也越來越多，信息的交互開始變的頻繁，信息交互的安全性也變的越來越重要，同時，人們對生活質量和辦公環(huán)境的要求也在不斷的提升。在一個企業(yè)之中人們之間的辦公需要相互通信，在相互通信的同時也要確保其信息的通暢與保密，因此設計了對此類企業(yè)的網絡規(guī)劃與設計的方案。本方案針對企業(yè)的業(yè)務需要，以及企業(yè)中各部門之間的信息化需求，進行了一系列的網絡規(guī)劃與設計。通過對企業(yè)網絡的分析，在保證高效率和高安全的基礎上滿足企業(yè)網絡的需求，對企業(yè)網絡使用VLAN劃分，DHCP地址分配，NAT地址轉換，ACL訪問控制，VRRP+MASP等技術的綜合運用，組建一個高性能，高效率，高安全，可拓展的企業(yè)網絡，能夠保證企業(yè)網絡的可持續(xù)性以及促進企業(yè)的快速發(fā)展關鍵詞：VRRP；MSTP;OSPF;VLAN;企業(yè)網目錄318391.方案的背景與意義 3315311.1方案的背景 384421.2方案的意義 3250652.方案的相關技術 4320582.1VRRP技術 4290232.2MSTP技術 5249202.3VLAN技術 541322.4OSPF技術 671122.5DHCP技術 6133592.6ACL技術 7283402.7GRE技術 8212202.8NAT地址轉換技術 8200392.9防火墻技術 9314162.10鏈路聚合技術 1057103.方案網絡的規(guī)劃與設計 10109433.1項目概述 1066583.2項目需求 11245473.3網絡拓撲結構設計 11181643.4設備互連接口與IP地址的規(guī)劃 12196043.5.綜合布線設計 1372753.51設計原則 1359353.52布線施工程序 147013.53布線施工要求 1472814.方案的具體實現(xiàn) 15108584.1網絡設備的配置 15242414.11VLAN的配置 1563944.12鏈路聚合的配置 17204044.13VRRP的配置 19312214.14MSTP的配置 22210814.15防火墻的配置 24154664.16OSPF的配置 25313444.17DHCP的配置 2625294.18GRE的配置 2711424.19ACL的配置 28188614.20實驗結果 2830905.總結 3115351參考文獻 3132636致謝 31方案的背景與意義1.1方案的背景在當今的21世紀，已無疑是信息化時代，信息化早已融入了人們的日常生活當中，無論是學習還是工作當中，無處不享受著信息化所帶來的便利，計算機等電子產品更是快要成為了人們的日常用品。對于一個正處于快速發(fā)展的計算機網絡社會，信息技術對其經濟和社會發(fā)展會帶來巨大而深刻的影響，借助網絡的存在，人們沖破的地域上的障礙，使得世界市場開始真正形成，市場交易的空間也因網絡而擴展到了無限大，經濟快速發(fā)展，人們生活水平不斷提高。

信息社會的新生活方式也正在形成，網絡所帶來的便利，使得各種信息化的終端設備無處不在，隨著網絡的廣泛應用，人們終將生活在被各種信息終端所包圍，逐步步入數(shù)字化生活1.2方案的意義在現(xiàn)代網絡的建設中，企業(yè)網絡的建設是十分重要的，在企業(yè)的內部中各種不同的業(yè)務信息的交互是企業(yè)能夠實現(xiàn)快速發(fā)展的重要原因之一，在企業(yè)發(fā)展壯大后，各地的分支公司也需要與總部進行互連，并交互信息數(shù)據，本方案便針對了企業(yè)網絡中的各種需求，進行了網絡的規(guī)劃與設計，采用VRRP+MSTP技術，保證企業(yè)網絡的穩(wěn)定運行，即便網絡發(fā)生故障也能正常運行，使用VLAN技術統(tǒng)一規(guī)劃網絡，簡化了企業(yè)的網絡管理，提高網絡的安全性，在企業(yè)與子公司的網絡互連中，采用了NAT,GRE和防火墻技術，增強網絡安全性，避免在信息交互的過程中遭到數(shù)據的泄漏。一系列的網絡技術的融合與應用，使得企業(yè)網絡更加安全，可靠，快速，能夠便利企業(yè)內部的網絡管理，有效的促進企業(yè)的快速發(fā)展方案的相關技術2.1VRRP技術VRRP技術又稱為虛擬路由器冗余協(xié)議，廣泛應用在邊緣網絡中，在一般的網絡中，如果某個擔任網關的內網設備無法訪問外網，存在單點故障的問題，我們想要解決此類的問題，就可以進行VRRP的引入，VRRP能夠將多個路由器加入到備份組當中，形成一臺虛擬的路由器，并承擔網關的功能圖2.1VRRP承擔網關功能只有在備份組中還存在一天路由正常工作，虛擬路由器就會仍舊正常工作，保證在一方的網關出現(xiàn)故障后，仍然可以正常訪問外網。VRRP的主備份備份功能有時也需要額外的技術來完善其工作，VRRP的Track項監(jiān)視端口功能圖2.2VRRP的Track項監(jiān)視端口功能當上行鏈路的接口DOWN時，主設備會通過降低自身的優(yōu)先級，使得Backup設備搶占為Master設備，承擔轉發(fā)任務。保證網絡運行的通暢。2.2MSTP技術隨著社會科技的發(fā)展,使得MSTP技術被廣泛的發(fā)展和應用。MSTP相應的組網能夠承載相應的網絡專線以外,還能夠利用以太網絡為企業(yè)或者用戶提供一定質量的數(shù)據傳輸服務,其與傳統(tǒng)的傳輸方式而言具有一定的優(yōu)勢和作用，MSTP技術具有一定的帶寬進行數(shù)據傳輸服務，能夠保證相應的質量，并且能夠為企業(yè)的發(fā)展提供便捷的服務，并且成本相對較低，這樣的服務方式能夠有效的針對相應的數(shù)據進行處理，為大客戶提供高等的以太網服務專線[1]MSTP技術有著優(yōu)秀的承載和調度能力，對于可變帶寬業(yè)務，能夠直接在MSTP設備上提供端到端透明的傳輸通道，充分的保證了企業(yè)的服務質量。利用MSTP的二層交換和統(tǒng)計復用的功能共享寬帶，可以節(jié)約成本，MSTP自身也擁有著多業(yè)務的特性，能夠快速提供業(yè)務，適應了全業(yè)務競爭的需求。2.3VLAN技術交換機默認沒有劃分網絡的功能，通過在交換機上配置VLAN，可以分割網絡，以二層隔離的方式實現(xiàn)廣播域的劃分，避免讓主機收到過多不必要的廣播，提高主機的工作效率，保證了企業(yè)網絡的品質，通過配置VLAN技術后，內網可以大量的部署交換機，且成本低，轉發(fā)的延遲低，不會浪費設備的功能性。因為VLAN間是無法直接通信的，所以需要通過三層設備，如路由器或三層交換機，提高局域網絡的安全性，不同的部門之間劃分到不同的VLAN也會更加便于管理。2.4OSPF技術 OSPF又稱鏈路狀態(tài)協(xié)議，使用開放式的協(xié)議構架，能夠動態(tài)調整以適應網絡拓撲的變更，檢測到變化的設備會生成一個針對該鏈路狀態(tài)的通告，如下圖圖2.3鏈路狀態(tài)通告圖直接運行在IP層的鏈路狀態(tài)協(xié)議，擁有高度的靈活性，能夠適應企業(yè)復雜的網絡環(huán)境，OSPF的特點讓其廣泛的應用在校園網及企業(yè)網絡當中。首先OSPF擁有絕對的無環(huán)路，每個區(qū)域都必須與區(qū)域0相鄰，保證了區(qū)域之間的無環(huán)路OSPF還能夠快速收斂，其維護鄰居表，拓撲表和路由表，記錄了到達對應網段的最佳路徑，實現(xiàn)快速收斂開放式，所有的廠家都支持，而且數(shù)據包的格式全部通用，便于企業(yè)日后的延展觸發(fā)式的路由更新，帶寬開銷更小2.5DHCP技術在小型網絡中,因為計算機數(shù)量不多,網絡管理員一般采用手工分配IP地址的方法為每臺計算機分配靜態(tài)IP地址,而到了中、大型網絡,計算機的數(shù)量往往會有幾十臺,甚至上百上千臺,這種方法就不太適用了如果采用靜態(tài)IP地址分配方法,還會給網絡管理和使用者帶來很多不便,每到一個地方想上網必須先配置計算機網絡參數(shù)(IP地址、子網掩碼、網關、DNS),這樣容易發(fā)生IP地址沖突等問題,造成機器不能正常使用。因此,我們需要尋求一種高效可靠的IP地址管理方式,于是就出現(xiàn)了DHCP。DHCP是DynamicHostConfigurationProtocol的縮寫,也叫動態(tài)主機配置協(xié)議。DHCP技術的設計目的就是動態(tài)靈活地使用IP地址,降低TCP/IP網絡管理的復雜性,它是一個Client/Server協(xié)議[2]DHCP是IP運維最有效、最簡單的方式,有效降低信息技術管理的工作量[3]圖2.4DHCP的交互過程DHCP的配置能夠為企業(yè)的各個部門快速分配IP地址，為企業(yè)節(jié)約網絡建設的成本，且方便管理員管理網絡。2.6ACL技術訪問控制列表是路由交換設備的一組條件控制指令列表,是實現(xiàn)包過濾技術的核心內容,它是一種數(shù)據流分類和過濾技術,在網絡安全中發(fā)揮著重要的作用;訪問控制列也是一種服務級別協(xié)定,用于支持和提高網絡的服務質量。[5]圖2.5ACL的匹配過程ACL可以根據數(shù)據包的協(xié)議，指定數(shù)據包的優(yōu)先級，來限制網絡流量，提高網絡性能。ACL還是提供網絡安全訪問的基本手段。ACL允許主機A訪問人力資源網絡，而拒絕主機B訪問人力資源網絡。ACL還可以在端口處決定那種流量的轉發(fā)或被阻塞。所以通過實施ACL，可以有效的部署企業(yè)的網絡出網策略。隨著企業(yè)的不斷發(fā)展，企業(yè)局域網內部的網絡資源也在不斷的增加，配置ACL來控制對局域網內部資源的訪問能力已經成為不少企業(yè)的選擇，局域網內部資源的安全性也是需要一定的保障的。2.7GRE技術隨著企業(yè)的不斷發(fā)展擴大，總會有自己的合作伙伴或者分公司，雙方想要進行業(yè)務的來往，就需要采用GRE技術，通俗的理解就是把兩個網絡之間通過建立一個隧道連接到了一起，兩個網絡數(shù)據的傳遞全部都需要經由這個隧道圖2.6GRE隧道示意圖GRE協(xié)議實際上是一種封裝協(xié)議，它使得一種協(xié)議的報文封裝在另一種協(xié)議報文的機制中，使報文可以在異種網絡中進行傳輸2.8NAT地址轉換技術隨著互聯(lián)網的快速發(fā)展，使用互聯(lián)網絡的人也越來越多，隨處可見的終端設備，互聯(lián)網絡遍布的世界各地，但是隨后便出現(xiàn)了一個問題，IPV4地址不夠用了，這時便出現(xiàn)了NAT技術，NAT技術中文名稱為網絡地址轉換技術，就是替換IP報文頭部的地址信息。通常部署在企業(yè)的網絡出口位置，通過將內部網絡的IP地址替換為出口的IP地址，提供到達公網的可達性。NAT被廣泛的應用在各種類型Internet接入方式和各種類型的網絡中。原因就是，NAT不僅完美的解決了IPV4地址不足的問題，并且還可以有效的避免來自網絡外部的攻擊，隱藏并保護內部網絡的安全。圖2.7NAT地址轉換圖因為NAT能夠節(jié)省公有合法IP地址，處理地址重疊的問題，增強網絡的靈活性，以及本身所具有的安全性，所以大部分企業(yè)內部私網想要訪問Internet網絡，都用到了NAT地址轉換技術。2.9防火墻技術人們受到了越來越多來自互聯(lián)網絡的便利，往往對暗藏其中的威脅而不自知，在生活或者工作中電腦莫名其妙就遭到了攻擊，造成數(shù)據丟失等問題，不論是個人還是企業(yè)，想要安全的訪問Internet網，都需要一道防火墻的防護防火墻是指隔離在本地網絡與外界網絡之間的一道防御系統(tǒng)，是一種非常有效的網絡安全模型，通過防火墻可以隔離風險區(qū)域與安全區(qū)域的鏈接，同時又不會妨礙人們對風險區(qū)域的訪問。圖2.8防火墻隔離網絡防火墻可以監(jiān)控進出網絡的通信量，僅讓安全，核準過的信息進入，同時也抵制了對企業(yè)有構成威脅的數(shù)據的進入，具有很好的保護作用，如果有人想要入侵企業(yè)內部網絡，必須首先穿越防火墻這一道防線，才能接觸目標計算機防火墻能夠過濾進出網絡的數(shù)據以及管理內外網絡進出訪問的行為，堵塞某些已經禁止的業(yè)務，記錄通過防火墻的信息內容和活動，還可以對外來網絡的攻擊進行檢測和警告，企業(yè)配置了防火墻后，內外網絡的訪問可以變得更加安全，提高企業(yè)的可持續(xù)發(fā)展性2.10鏈路聚合技術鏈路聚合就是將多個物理端口匯聚在一起，形成一個邏輯端口，實現(xiàn)出入流量在各個成員端口的負荷分擔交換機檢測到其中一個端口發(fā)生故障時，就會停止在此端口上發(fā)送封包，并根據策略讓剩下的鏈路重新計算發(fā)送報文的端口，當故障端口恢復后，會重新?lián)问瞻l(fā)端口。增加了鏈路帶寬，提高了鏈路的可靠性圖2.9鏈路故障后正常運行鏈路聚合技術可以為企業(yè)提供一種經濟的提高鏈路傳輸率的方法，通過捆綁多條物理鏈路，企業(yè)不必升級現(xiàn)有的設備，就可以獲得更大寬帶的數(shù)據鏈路，其容量等于各個物理鏈路的容量之和，能夠為企業(yè)節(jié)約一定的成本3.方案網絡的規(guī)劃與設計3.1項目概述普森信息技術有限公司，是一家基于移動互聯(lián)和互聯(lián)網思考，以物聯(lián)網和人工智能為核心技術，專注于室內的空氣品質和智能家居系列產品的研發(fā)與推廣，致力于為人類創(chuàng)建安全、健康、舒適生活環(huán)境的高新技術企業(yè)。伴隨公司的不斷發(fā)展擴大，業(yè)務的需求量越來越多，公司的總部共有四個部門：財務、技術、市場、宣傳，員工總數(shù)共有700多人。公司的快速發(fā)展，遠在外地的分公司也需要與總公司進行私網數(shù)據的交互。為了更好的服務廣大的客戶，公司決定構建自己企業(yè)的網絡構架。3.2項目需求建設一個辦公自動化、網絡快速化、高效化、便捷化的現(xiàn)代化企業(yè)網絡，以網絡技術為依托的企業(yè)為提高企業(yè)網絡的拓展性，提高企業(yè)的辦事效率，提升企業(yè)的服務質量，各部門之間有自己單獨的廣播域，需要做到能夠互聯(lián)互通，但財務部獨立，不允許與其他部門互訪。企業(yè)網絡要做到高可靠性、高安全性以及高拓展性，內部設備故障能夠做到快速切換，設置企業(yè)連接外網的防火墻，保障企業(yè)內網的安全。3.3網絡拓撲結構設計對于規(guī)模中等的，工作人數(shù)多的企業(yè)，采用雙核心、多分支的網絡結構，為保障網絡結構的可行性，前期采用模擬器的虛擬環(huán)境進行模擬，拓撲圖如圖3.1所示公司網絡分為三層，接入層接入用戶，匯聚層匯聚流量，核心層快速轉發(fā)數(shù)據，最后通過防火墻訪問互聯(lián)網以及與分公司交互私網數(shù)據3.4設備互連接口與IP地址的規(guī)劃表3.1設備互聯(lián)表源設備設備接口目標設備設備接口SWAG1/0/2SW1G1/0/2SWAG1/0/3SW2G1/0/3SWAG1/0/5SW3G1/0/5SWAG1/0/4SW4G1/0/4SWAG1/0/1SWCG1/0/1SWAG1/0/20SWBG1/0/20SWAG1/0/21SWBG1/0/21SWBG1/0/4SW1G1/0/4SWBG1/0/5SW2G1/0/5SWBG1/0/3SW3G1/0/3SWBG1/0/1SW4G1/0/1SWBG1/0/2SWCG1/0/2SWCG1/0/3FWG1/0/3FWG1/0/0公網G0/0RTG0/1公網G0/1SW1G1/0/1PC1G1/0/1SW2G1/0/1PC2G1/0/1SW3G1/0/1PC3G1/0/1SW4G1/0/2PC4G1/0/1公司內網采用172.19.1.0/24網段，通過劃分VLAN，讓每個部門都處在不同的廣播域。表3.2IP地址規(guī)劃表設備名稱接口或VLAN二層或三層規(guī)劃說明SWAVLAN11G1/0/2172.19.1.2/24財務部VLAN12G1/0/3172.19.2.2/24技術部VLAN13G1/0/5172.19.3.3/24市場部VLAN14G1/0/4172.19.4.4/24宣傳部VLAN100G1/0/110.0.0.1/24SWBVLAN11G1/0/4172.19.1.3/24財務部VLAN12G1/0/5172.19.2.3/24技術部VLAN13G1/0/3172.19.3.4/24市場部VLAN14G1/0/1172.19.4.5/24宣傳部VLAN200G1/0/220.0.0.2/24SWCVLAN200G1/0/220.0.0.1/24VLAN100G1/0/110.0.0.2/24VLAN300G1/0/330.0.0.1/24SW1VLAN11G1/0/2G1/0/4G1/0/1財務部SW2VLAN12G1/0/3G1/0/5G1/0/1技術部SW3VLAN13G1/0/5G1/0/3G1/0/1市場部SW4VLAN14G1/0/4G1/0/1G1/0/2宣傳部FWG1/0/330.0.0.2/24G1/0/0192.168.1.1/24GWG0/0192.168.1.2/24G0/1192.168.2.1/24RTG0/1192.168.2.2/243.5.綜合布線設計3.51設計原則先進性當前社會的計算機網絡技術發(fā)展迅速，更新?lián)Q代的周期變得越來越短，考慮到通訊發(fā)展的要求，因此需要采用國際先進成熟的網絡技術和設備，做到能夠適合未來發(fā)展，規(guī)劃長期收益。實用性從能夠完全滿足現(xiàn)實需求的角度出發(fā)，充分發(fā)揮各種計算機和網絡設備的功能，使建設的系統(tǒng)適用、安全、可靠且易管理、維護和擴展，具有最高的性價比。機動靈活性系統(tǒng)要能夠支持綜合信息的傳輸和連接，兼容多種設備配線，使網絡方便快捷的在星型、環(huán)形、和總線型等之間的快速切換可靠性擁有對環(huán)境良好的適應能力，如防塵、防水、防火等，對溫度、濕度、電磁場以及建筑物的震動等也有同樣良好的適應能力3.52布線施工程序物料準備：按與建設單位簽訂的合同中有關材料部分規(guī)定的材料名稱、規(guī)格、型號、產地訂購材料并運抵現(xiàn)場。

2．人力組織：確定工程項目負責人、現(xiàn)場技術負責人，并對工人進行簡單培訓。

3.施工機具準備：根據施工需要確定所需設備工具、儀器、儀表，并進行檢查、修理、校核后運抵施工現(xiàn)場。4.布線施工安裝流程圖3.53布線施工要求打墻用手錘或者鋼釬在預測的位置上開洞，注意開洞尺寸勿過大。不允許用鐵錘直接敲擊墻面，以免造成墻體大面積松動。

2．線槽安裝線槽安裝要求垂直、水平，立柱間要加墊緊固。出線口安裝塑料緊固螺口。線槽頂端要做好封頭防止老鼠的啃食。3．測線線纜敷設前后先進行三次通斷測試(敷設前整箱測試、敷設后、卡接后)保證線纜無短路、斷路等問題。4．配線箱安裝數(shù)據、語音均采用標準19"配線箱，分別安裝在計算機主機房和程控機房設計位置。線纜必須從防靜電高架地板下面通過配線箱底部進線口穿入機柜。5．線纜敷設線纜均需敷設在管、槽內。與強電有平行的情況需要用金屬(軟)管加以屏蔽。線纜在配線箱端留2.3-2.5米安裝余量，線纜在信息出口端留0.3-0.5米卡接余量。6．模塊插座、面板安裝插座與線纜必須按標準線序卡接，殘余線頭清埋干凈后，壓上保護卡條。線纜與插座留10CM以上冗余。7．配線架、接線架卡接線纜與配線架要按樓層、信息出口編號順序進行卡接?？ń油瓿珊?，清理配線架及配線箱內殘余線頭、線皮，并在配線架上繪制、安裝、線纜通道標志。8．系統(tǒng)測試用測線儀從配線架和信息出口進行通斷及性能測試。4.方案的具體實現(xiàn)4.1網絡設備的配置4.11VLAN的配置通過劃分VLAN，可以分割廣播域，有效的避免廣播風暴，所謂劃分VLAN也就是把內網劃分成幾個不同的網段，可以提高內網的安全性，并且更加便于管理，解決了交換機端口數(shù)量增多而導致的網絡中廣播的增多，從而降低了網絡轉發(fā)效率的問題表4.1SWA的VLAN配置[a]vlan11創(chuàng)建VLAN11[a-vlan11]namexc取名為xc[a-vlan11]portGigabitEthernet1/0/2把端口G1/0/2加入到VLAN11[a]vlan12創(chuàng)建VLAN12[a-vlan12]namejs取名為js[a-vlan12]portGigabitEthernet1/0/3把端口G1/0/3加入到VLAN12[a]vlan13創(chuàng)建VLAN13[a-vlan13]namesc取名為sc[a-vlan13]portGigabitEthernet1/0/5把端口G1/0/5加入到VLAN13[a]vlan14創(chuàng)建VLAN14[a-vlan14]namecw取名為cw[a-vlan14]portGigabitEthernet1/0/4把端口G1/0/4加入到VLAN14[a]vlan100創(chuàng)建VLAN100[a-vlan100]portGigabitEthernet1/0/1把端口G1/0/1加入到VLAN100表4.2SWB的VLAN配置[b]vlan11創(chuàng)建VLAN11[b-vlan11]namexc取名為xc[b-vlan11]portGigabitEthernet1/0/4把端口G1/0/4加入到VLAN11[b]vlan12創(chuàng)建VLAN12[b-vlan12]namejs取名為js[b-vlan12]portGigabitEthernet1/0/5把端口G1/0/5加入到VLAN12[b]vlan13創(chuàng)建VLAN13[b-vlan13]namesc取名為sc[b-vlan13]portGigabitEthernet1/0/3把端口G1/0/3加入到VLAN13[b]vlan14創(chuàng)建VLAN14[b-vlan14]namecw取名為cw[b-vlan14]portGigabitEthernet1/0/1把端口G1/0/1加入到VLAN14[b]vlan200創(chuàng)建VLAN200[b-vlan200]portGigabitEthernet1/0/2把端口G1/0/2加入到VLAN200表4.3SWC的VLAN配置[c]vlan100創(chuàng)建VLAN100[c-vlan100]portGigabitEthernet1/0/1把端口G1/0/1加入到VLAN100[c]vlan200創(chuàng)建VLAN200[c-vlan200]portGigabitEthernet1/0/2把端口G1/0/2加入到VLAN200[c]vlan300創(chuàng)建VLAN300[c-vlan300]portGigabitEthernet1/0/3把端口G1/0/3加入到VLAN300表4.4SW1的VLAN配置[1]vlan11創(chuàng)建VLAN11[1-vlan11]namexc取名為xc[1-vlan11]portGigabitEthernet1/0/2把端口G1/0/2加入到VLAN11[1-vlan11]portGigabitEthernet1/0/4把端口G1/0/4加入到VLAN11[1-vlan11]portGigabitEthernet1/0/1把端口G1/0/1加入到VLAN11表4.5SW2的VLAN配置[2]vlan12創(chuàng)建VLAN12[2-vlan12]namejs取名為js[2-vlan12]portGigabitEthernet1/0/3把端口G1/0/3加入到VLAN12[2-vlan12]portGigabitEthernet1/0/5把端口G1/0/5加入到VLAN12[2-vlan12]portGigabitEthernet1/0/1把端口G1/0/1加入到VLAN12表4.6SW3的VLAN配置[3]vlan13創(chuàng)建VLAN13[3-vlan13]namesc取名為sc[3-vlan13]portGigabitEthernet1/0/3把端口G1/0/3加入到VLAN13[3-vlan13]portGigabitEthernet1/0/5把端口G1/0/5加入到VLAN13[3-vlan13]portGigabitEthernet1/0/1把端口G1/0/1加入到VLAN13表4.7SW4的VLAN配置[4]vlan14創(chuàng)建VLAN11[4-vlan14]namecw取名為cw[4-vlan14]portGigabitEthernet1/0/1把端口G1/0/1加入到VLAN14[4-vlan14]portGigabitEthernet1/0/2把端口G1/0/2加入到VLAN14[4-vlan14]portGigabitEthernet1/0/4把端口G1/0/4加入到VLAN144.12鏈路聚合的配置鏈路聚合又被稱為端口聚合，本質就是指兩臺交換機之間在物理上將兩個或者多個端口連接起來，把多條鏈路聚合成一條邏輯鏈路。以此來增大鏈路的帶寬，解決了交換網絡中因為帶寬而引起的網絡瓶頸問題。多條物理鏈路之間還可以相互冗余備份，因此其中任意的一條鏈路斷開，都不會導致兩臺交換機數(shù)據的斷開。表4.8SWA的鏈路聚合的配置[a]interfaceBridge-Aggregation1創(chuàng)建二層聚合口1[a-Bridge-Aggregation1]quit退出二層聚合口1[a]intGigabitEthernet1/0/20進入接口G1/0/20[a-GigabitEthernet1/0/20]portlink-aggregationgroup1將端口G1/0/20加入到聚合組1中[a]intGigabitEthernet1/0/21進入接口G1/0/21[a-GigabitEthernet1/0/21]portlink-aggregationgroup1將端口G1/0/21加入到聚合組1中[a]intBridge-Aggregation1進入二層聚合口1[a-Bridge-Aggregation1]portlink-typetrunk將二層聚合口配置為Trunk模式[a-Bridge-Aggregation1]porttrunkpermitvlan11121314允許VLAN11121314的報文通過[a-Bridge-Aggregation1]undoporttrunkpermitvlan1不允許VLAN1的報文通過[a-Bridge-Aggregation1]porttrunkpvidvlan11PVID設置為11表4.9SWB的鏈路聚合的配置[b]intBridge-Aggregation1創(chuàng)建二層聚合口1[b-Bridge-Aggregation1]quit退出二層聚合口1[b]intGigabitEthernet1/0/20進入接口G1/0/20[b-GigabitEthernet1/0/20]portlink-aggregationgroup1將端口G1/0/20加入到聚合組1中[b]intGigabitEthernet1/0/20進入接口G1/0/21[b-GigabitEthernet1/0/21]portlink-aggregationgroup1將端口G1/0/21加入到聚合組1中[b]intBridge-Aggregation1進入二層聚合口1[b-Bridge-Aggregation1]portlink-typetrunk將二層聚合口配置為Trunk模式[b-Bridge-Aggregation1]porttrunkpermitvlan11121314允許VLAN11121314的報文通過[b-Bridge-Aggregation1]undoporttrunkpermitvlan1不允許VLAN1的報文通過[b-Bridge-Aggregation1]porttrunkpvidvlan11PVID設置為11圖4.1SWA的鏈路聚合的狀態(tài)4.13VRRP的配置VRRP能夠把幾臺路由設備聯(lián)合組成一條虛擬設備，將虛擬設備的IP地址作為用戶的默認網關。當其中的一臺設備發(fā)生故障時，VRRP可以協(xié)議可以快速選舉新的網關設備來承擔數(shù)據流量，避免的網絡數(shù)據的中斷，保障了網絡的可靠性。表5.10SWA的VRRP的配置[a]intvlan100[a-Vlan-interface100]ipaddress10.0.0.124配置上行接口的IP地址[a]track1interfaceVlan-interface100創(chuàng)建Trcak項1，監(jiān)視上行接口VLAN100的物理狀態(tài)[a]intvlan11進入虛接口VLAN11[a-Vlan-interface11]ipadd172.19.1.224配置IP地址[a-Vlan-interface11]vrrpvrid1virtual-ip172.19.1.1指定VRRP的網關[a-Vlan-interface11]vrrpvrid1priority119指定優(yōu)先級為119[b-Vlan-interface12]vrrpvrid1track1priorityreduced30上行接口的物理狀態(tài)為DOWN時，SWA在備份組的優(yōu)先級降低30[a]intvlan12進入虛接口VLAN12[a-Vlan-interface12]ipadd172.19.2.224配置IP地址[a-Vlan-interface12]vrrpvrid1virtual-ip172.19.2.1指定VRRP的網關[a]intvlan13進入虛接口VLAN13[a-Vlan-interface13]ipadd172.19.3.324配置IP地址[a-Vlan-interface13]vrrpvrid1virtual-ip172.19.3.1指定VRRP的網關[a]intvlan14進入虛接口VLAN14[a-Vlan-interface14]ipadd172.19.4.424配置IP地址[a-Vlan-interface14]vrrpvrid1virtual-ip172.19.4.1指定VRRP的網關為圖4.2SWA上的VRRP的狀態(tài)表5.11SWB的VRRP的配置[b]intvlan200配置上行接口的IP地址[b-Vlan-interface200]ipadd20.0.0.224[b]track1interfaceVlan-interface200創(chuàng)建Trcak項1，監(jiān)視上行接口VLAN200的物理狀態(tài)[b]intvlan12進入虛接口VLAN12[b-Vlan-interface12]ipadd172.19.2.324配置IP地址[b-Vlan-interface12]vrrpvrid1virtual-ip172.19.2.1指定VRRP的網關[b-Vlan-interface12]vrrpvrid1priority119指定優(yōu)先級為119[b-Vlan-interface12]vrrpvrid1track1priorityreduced30上行接口的物理狀態(tài)為DOWN時，SWB在備份組的優(yōu)先級降低30[b]intvlan11進入虛接口VLAN11[b-Vlan-interface11]ipadd172.19.1.324配置IP地址[b-Vlan-interface11]vrrpvrid1virtual-ip172.19.1.1指定VRRP的網關[b]intvlan13進入虛接口VLAN13[b-Vlan-interface13]ipadd172.19.3.424配置IP地址[b-Vlan-interface13]vrrpvrid1virtual-ip172.19.3.1指定VRRP的網關[b]intvlan14進入虛接口VLAN14[b-Vlan-interface14]ipadd172.19.4.524配置IP地址[b-Vlan-interface14]vrrpvrid1virtual-ip172.19.4.1指定VRRP的網關圖4.3SWB上的VRRP狀態(tài)4.14MSTP的配置通過配置MSTP，自動堵塞交換機端口，避免環(huán)路，實現(xiàn)冗余，也就是當正在使用的端口DOWN了，MSTP會自動替換端口，避免網絡的中斷，增加了網絡的可靠性，且MSTP適用于各種類型的網絡，具有收斂速度快，開銷小等優(yōu)點表5.12SWA的MSTP配置[a]stpregion-configuration進入STP區(qū)域配置視圖[a-mst-region]region-namestp配置區(qū)域名為stp[a-mst-region]instance1vlan11[a-mst-region]instance2vlan12[a-mst-region]instance3vlan13[a-mst-region]instance4vlan14配置VLAN和實例的映射[a-mst-region]activeregion-configuration激活區(qū)域配置[a]stpinstance1rootprimary實例一為主[a]stpinstance2rootsecondary實例二為次[a]stpinstance3rootsecondary實例三為次[a]stpinstance4rootsecondary實例四為次[a]stpglobalenable全球啟用stp表5.13SWB的MSTP配置[b]stpregion-configuration進入STP區(qū)域配置視圖[b-mst-region]region-namestp配置區(qū)域名為stp[b-mst-region]instance1vlan11[b-mst-region]instance2vlan12[b-mst-region]instance3vlan13[b-mst-region]instance4vlan14配置VLAN和實例的映射[b-mst-region]activeregion-configuration激活區(qū)域配置[b]stpinstance2rootprimary實例二為主[b]stpinstance1rootsecondary實例一為次[b]stpinstance3rootsecondary實例三為次[b]stpinstance4rootsecondary實例四為次[b]stpglobalenable全球啟用stpSW1與SW2,SW3,SW4的MSTP配置一樣，在此以SW1的MSTP配置為例，不做一一闡述了，如表5.13所示表5.14SW1的MSTP配置[1]stpregion-configuration進入STP區(qū)域配置視圖[1-mst-region]region-namestp配置區(qū)域名為stp[1-mst-region]instance1vlan11[1-mst-region]instance2vlan12[1-mst-region]instance3vlan13[1-mst-region]instance4vlan14配置VLAN和實例的映射[1-mst-region]activeregion-configuration激活區(qū)域配置[1]stpglobalenable全球啟用stp圖4.4SW1的生成樹狀態(tài)由圖5.4可知，SW1上的端口G1/0/4為替換端口，不可以轉發(fā)流量，從而避免了環(huán)路圖4.5SW2的生成樹狀態(tài)由圖5.5可知，在SW2上的端口G1/0/5為替換端口，不可以轉發(fā)流量，從而避免環(huán)路圖4.6SW3的生成樹狀態(tài)圖4.7SW4的生成樹狀態(tài)4.15防火墻的配置表5.15防火墻的配置[fw]security-zonenameTrust進入信任區(qū)域[fw-security-zone-Trust]importinterfaceG1/0/3將端口G1/0/3加入到信任區(qū)域[fw]security-zonenameUntrust進入非信任區(qū)域[fw-security-zone-Untrust]importinterfaceG1/0/0將端口G1/0/0加入到非信任區(qū)域[fw-security-zone-Untrust]importinterfaceTunnel0建立好GRE隧道后，再將隧道也加入非信任區(qū)域[fw]acladvanced3000創(chuàng)建acl規(guī)則[fw-acl-ipv4-adv-3000]rulepermitip允許所有IP[fw]zone-pairsecuritysourceUntrustdestinationTrust創(chuàng)建并進入域間實例試圖，視圖下應用ACL[fw-zone-pair-security-Untrust-Trust]packet-filter3000[fw]zone-pairsecuritysourceUntrustdestinationLocal[fw-zone-pair-security-Untrust-Local]packet-filter3000[fw]zone-pairsecuritysourceTrustdestinationUntrust[fw-zone-pair-security-Trust-Untrust]packet-filter3000[fw]zone-pairsecuritysourceTrustdestinationLocal[fw-zone-pair-security-Trust-Local]packet-filter3000[fw]zone-pairsecuritysourceLocaldestinationUntrust[fw-zone-pair-security-Local-Untrust]packet-filter3000[fw]zone-pairsecuritysourceLocaldestinationTrust[fw-zone-pair-security-Local-Trust]packet-filter30004.16OSPF的配置OSPF協(xié)議在公司或校園網絡體系中應用廣泛,對目前網絡體系結構有重要影響[4]。為了適應企業(yè)的快速發(fā)展，在企業(yè)的網絡結構中配置OSPF協(xié)議，可以增加網絡的可擴展性，可以提前做好企業(yè)網絡日后拓展擴大的準備，OSPF還能夠加快收斂速度，提高路由器的資源利用率SWB與SWA的OSPF配置一樣，在此以SWA的OSPF配置為例，不做一一闡述了，如表5.16所示表5.16SWA的OSPF配置[a]ospf創(chuàng)建OSPF[a-ospf-1]area0創(chuàng)建區(qū)域0[a-ospf-1-area-0.0.0.0]network10.0.0.00.0.0.255[a-ospf-1-area-0.0.0.0]network172.19.1.00.0.0.255[a-ospf-1-area-0.0.0.0]network172.19.2.00.0.0.255[a-ospf-1-area-0.0.0.0]network172.19.3.00.0.0.255[a-ospf-1-area-0.0.0.0]network172.19.4.00.0.0.255宣告SWA與SWC的直連網段宣告SWA與SW1的直連網段宣告SWA與SW2的直連網段宣告SWA與SW3的直連網段宣告SWA與SW4的直連網段表5.17SWC的OSPF配置[c]ospf創(chuàng)建OSPF[c-ospf-1]area0創(chuàng)建區(qū)域0[c-ospf-1-area-0.0.0.0]network10.0.0.00.0.0.255[c-ospf-1-area-0.0.0.0]network20.0.0.00.0.0.255[c-ospf-1-area-0.0.0.0]network30.0.0.00.0.0.255宣告SWC與SWA的直連網段宣告SWC與SWB的直連網段宣告與防火墻的直連網段[c]iproute-static0.0.0.0030.0.0.2配置到達防火墻的默認路由[c-ospf-1]default-route-advertisealways發(fā)布缺省路由4.8SWA與直連交換機的OSPF鄰居關系圖4.9SWC的OSPF鄰居關系4.17DHCP的配置每個企業(yè)都有著各式各樣的部門，部門下又有著大量的工作人員，人數(shù)眾多，通過手動來個各部門的主機配置IP地址，顯然是不現(xiàn)實的，配置DHCP，可以實現(xiàn)快速分配IP，在數(shù)量有限的IP地址上，提升地址的使用率表5.18DHCP的配置[a]dhcpserverip-pool11創(chuàng)建地址池11[a-dhcp-pool-11]network172.19.1.0mask255.255.255.0設置分配的IP地址范圍[a-dhcp-pool-11]gateway-list172.19.1.1設置網關[a-dhcp-pool-11]forbidden-ip172.19.1.2設置禁止參與分配的IP地址[a-dhcp-pool-11]forbidden-ip172.19.1.3[a]dhcpserverip-pool12創(chuàng)建地址池12[a-dhcp-pool-12]network172.19.2.0mask255.255.255.0設置分配的IP地址范圍[a-dhcp-pool-12]gateway-list172.19.2.1設置網關[a-dhcp-pool-12]forbidden-ip172.19.2.2設置緊張參與分配的IP地址[a-dhcp-pool-12]forbidden-ip172.19.2.3[a]dhcpserverip-pool13創(chuàng)建地址池13[a-dhcp-pool-13]network172.19.3.0mask255.255.255.0設置分配的IP地址范圍[a-dhcp-pool-13]gateway-list172.19.3.1設置網關[a-dhcp-pool-13]forbidden-ip172.19.3.3設置禁止參與分配的IP地址[a-dhcp-pool-13]forbidden-ip172.19.3.4[a]dhcpserverip-pool14創(chuàng)建地址池14[a-dhcp-pool-14]network172.19.4.0mask255.255.255.0設置分配的IP地址范圍[a-dhcp-pool-14]gateway-list172.19.4.1設置網關[a-dhcp-pool-14]forbidden-ip172.19.4.4設置禁止參與分配的IP地址[a-dhcp-pool-14]forbidden-ip172.19.4.54.18GRE的配置企業(yè)之間私網數(shù)據的相互傳遞，大都需要穿越公網，在企業(yè)的組網中應用GRE隧道技術，可以輕松的實現(xiàn)私網IP穿越公網，從而達到互訪的目的。表5.19FW的GRE隧道配置[fw]intTunnel0modegre創(chuàng)建模式為GER的隧道0[fw-Tunnel0]ipaddress50.0.0.124配置IP地址[fw-Tunnel0]source192.168.1.1配置源IP[fw-Tunnel0]destination192.168.2.2配置目的IP[fw]iproute-static0.0.0.00192.168.1.2配置到達公網的默認路由[fw]iproute-static3.3.3.02450.0.0.2配置讓私網數(shù)據通信的靜態(tài)路由[fw]iproute-static0.0.0