典型企業(yè)網(wǎng)的設計與組建畢業(yè)設計.doc

畢 業(yè) 論 文典型企業(yè)網(wǎng)的設計與組建摘 要 本文以設計和組建一個典型的企業(yè)網(wǎng)為例, 闡述了企業(yè)網(wǎng)絡工程設計的基本方法和具體的實現(xiàn)過程.其主要內(nèi)容包括網(wǎng)絡拓撲結構的設計, 設備的選用, IP地址的劃分, VLAN（虛擬局域網(wǎng)）的分配,等等。采用的關鍵技術包括：網(wǎng)絡三層結構設計、VTP（虛擬局域網(wǎng)干道協(xié)議）、PAT（端口地址轉換）、冗余備份和負載均衡。本設計通過眾多網(wǎng)絡技術的應用，組建成一個可擴展的，高速的，冗余的網(wǎng)絡，同時實現(xiàn)語音，視頻，圖像等各種服務的應用。關鍵詞 拓撲結構 虛擬局域網(wǎng) 三層結構 冗余備份 負載均衡目 錄1 前言12 需求分析12.1 網(wǎng)絡項目背景12.1.1 企業(yè)網(wǎng)背景12.1.2 企業(yè)部門信息點規(guī)劃12.2 網(wǎng)絡系統(tǒng)需求分析22.2.1 網(wǎng)絡帶寬需求22.2.2 網(wǎng)絡擴展需求22.2.3 網(wǎng)絡安全性需求23 系統(tǒng)設計原則23.1 實用性原則23.2 先進性原則23.3 可靠性原則33.4 安全性原則33.5 可擴展性原則33.6 可維護與易操作性44 設備采用44.1 核心層設備44.2 分布層設備54.3 接入層設備64.4 路由器設備85 系統(tǒng)總體設計方案概述95.1 系統(tǒng)組成與拓撲結構95.2 VLAN及IP地址劃分106 交換模塊116.1 配置接入層交換機136.1.1 配置接入層交換機AccessSwitch1的基本參數(shù)136.1.2 配置接入層交換機AccessSwitch1的管理IP146.1.3 配置接入層交換機AccessSwitch1的VLAN及VTP156.1.4 配置接入層交換機AccessSwitch1端口基本參數(shù)156.1.5 配置接入層交換機AccessSwitch1的訪問端口166.1.6 配置接入層交換機AccessSwitch1的主干道端口166.1.7 配置接入層其他交換機176.2 配置分布層交換機176.2.1 配置分布層交換機DistributeSwitch1的基本參數(shù)176.2.2 配置分布層交換機DistributeSwitch1的管理IP186.2.3 配置分布層交換機DistributeSwitch1的VTP186.2.4 在分布層交換機DistributeSwitch1上定義VLAN196.2.5 配置分布層交換機DistributeSwitch1的端口基本參數(shù)206.2.6 配置分布層交換機DistributeSwitch1的3層交換功能216.2.7 配置分布層其他交換機216.3 配置核心層交換機216.3.1 配置核心層交換機CoreSwitch1的基本參數(shù)216.3.2 配置核心層交換機CoreSwitch1的管理IP226.3.3 配置核心層交換機CoreSwitch1的VLAN及VTP226.3.4 配置核心層交換機CoreSwitch1的端口參數(shù)236.3.5 配置核心層交換機CoreSwitch1的路由功能246.3.6 核心層交換機CoreSwitch2的配置246.3.7 配置HSRP和STP，實現(xiàn)冗余備份和負載均衡257 廣域網(wǎng)接入模塊277.1 配置接入路由器Router的基本參數(shù)287.2 配置接入路由器Router的各接口參數(shù)287.3 配置接入路由器Router的路由功能287.4 配置接入路由器InternetRouter上的PAT288 遠程接入模塊簡介299 服務器模塊簡介3010 網(wǎng)絡檢驗與測試3110.1 主要的測試、診斷命令3110.2 路由和路由協(xié)議測試、診斷命令3210.3 VLAN、VTP測試診斷命令3210.4 NAT測試、診斷命令3211 結束語33參考文獻34Abstract35致謝36仲愷農(nóng)業(yè)工程學院畢業(yè)論文(設計)成績評定表37III1 前言信息化高速發(fā)展的今天，企業(yè)局域網(wǎng)的建設已經(jīng)成為提升企業(yè)核心競爭力的關鍵因素。近年來企業(yè)都在建立自身的信息網(wǎng)絡，目前我國企業(yè)尤其是中小企業(yè)網(wǎng)絡建設正在如火如荼地開展著，但隨著網(wǎng)絡規(guī)模不斷擴大，沖突不斷產(chǎn)生，管理難度日益加大。如何合理的規(guī)劃與配置使更有效地提高網(wǎng)絡管理的靈活性，提高網(wǎng)絡效率和網(wǎng)絡安全性。該設計將主要使公司實現(xiàn)安全訪問廣域網(wǎng)、發(fā)布企業(yè)信息、宣傳交流、與外界通信、外地員工可利用Internet（因特網(wǎng)）遠程訪問公司資源等常用企業(yè)任務和需求, 為用戶到用戶、用戶到應用提供速度合理、功能可靠的連接等功能，實現(xiàn)網(wǎng)絡化、信息化的先進辦公系統(tǒng)1。2 需求分析2.1 網(wǎng)絡項目背景2.1.1 企業(yè)網(wǎng)背景該公司為一家大中型企業(yè)，公司里有員工總數(shù)超過200人。公司建筑為樓層建筑，整個企業(yè)網(wǎng)有約共400個信息點，包括可擴展點。而隨著公司人員的壯大，公司規(guī)模的不斷擴大，辦公信息化以及自動化的需求，為提高公司的各個部門之間的辦公信息化，提高效率，提高部門間的信息交流，實現(xiàn)現(xiàn)代化的辦公環(huán)境，則需要建立一個完善和穩(wěn)定的企業(yè)網(wǎng)絡。該企業(yè)局域網(wǎng)絡要保證整個企業(yè)信息點的互聯(lián)、統(tǒng)一、高效、實用、安全，可支持上百個用戶同時并發(fā)使用。而且要求該企業(yè)局域網(wǎng)的可擴展性強，可支持更多的用戶，可擴展的、高速的、充分冗余的、基于標準的網(wǎng)絡，該網(wǎng)絡能夠支持融合了話音、視頻、圖像和數(shù)據(jù)的應用程序2。2.1.2 企業(yè)部門信息點規(guī)劃公司的部門繁多，主要分為：財務部，行政部，銷售部，人事部，市場部，技術部，業(yè)務部，企劃部，后勤部。信息點分布情況如下3：財務部：25臺 行政部：30臺銷售部：35臺 人事部：40臺市場部：45臺 技術部：30臺業(yè)務部：40臺 企劃部：45臺后勤部：45臺2.2 網(wǎng)絡系統(tǒng)需求分析2.2.1 網(wǎng)絡帶寬需求公司為大中型企業(yè)，對公司的網(wǎng)絡帶寬要求較高，以保證網(wǎng)絡視頻、語音、圖像等信息的傳輸順暢，信息傳輸無阻塞。因此，以1000Mb/s光纖作為主干和垂直布線，以100Mb/s超五類雙絞線作為水平布線，以此來構建該企業(yè)網(wǎng)絡。2.2.2 網(wǎng)絡擴展需求一個完善的網(wǎng)絡設計方案，應該充分考慮到網(wǎng)絡的可擴展性。因為隨著企業(yè)的發(fā)展，規(guī)模的增大，網(wǎng)絡上的用戶將不斷增加，從而保證網(wǎng)絡的可擴展性則至關重要。在布線和設置信息點端口等時，應該充分考慮到企業(yè)網(wǎng)的可擴展性，從而在未來幾年內(nèi)網(wǎng)絡將可隨時擴展。2.2.3 網(wǎng)絡安全性需求網(wǎng)絡的安全性對于任何網(wǎng)絡來說都是非常重要的，它包括網(wǎng)絡的防攻擊（服務攻擊和非服務攻擊），網(wǎng)絡安全漏洞的彌補，網(wǎng)絡信息傳輸?shù)陌踩ǚ乐剐畔⒈缓诳徒孬@、竊取、破譯，篡改和偽造），防止抵賴問題（防止信息源用戶對他發(fā)送的信息事后不承認，或者是用戶接收到信息之后不認賬），網(wǎng)絡內(nèi)部安全防范（指如何防止局域網(wǎng)內(nèi)部具有合法身份的用戶有意或無意地做出對網(wǎng)絡與信息安全有害的行為），網(wǎng)絡防病毒，抵制無用信息（俗稱垃圾）郵件與灰色軟件，以及網(wǎng)絡高度冗余能力、數(shù)據(jù)備份恢復與災難恢復（因為雖然可以從預防、檢查、反應等方面著手去減少網(wǎng)絡信息系統(tǒng)的不安全因素，但是要完全保證系統(tǒng)不出現(xiàn)安全事件，這是任何人都不可能做到的）。3 系統(tǒng)設計原則3.1 實用性原則企業(yè)網(wǎng)絡的組建設計，首先應立足于網(wǎng)絡的實用性，結合企業(yè)實際應用需求來確定。整個網(wǎng)絡的功能應完全立足于企業(yè)管理和運營的需求，保證系統(tǒng)信息處理和傳遞的安全、可靠、及時、準確。在技術與選材方面，應充分考慮到實用性原則，應當優(yōu)先考慮采用在當前及未來幾年內(nèi)處于主流位置的技術和設備。設備的選型應有最優(yōu)的性能價格比，以最省的投資實現(xiàn)盡可能多的功能。同時，布線系統(tǒng)能夠在將來適應技術發(fā)展的支撐。3.2 先進性原則先進性原則在企業(yè)網(wǎng)的組建設計當中是至關重要一個設計原則，在設計的時候應該采用可靠的成熟的先進技術。采用先進的技術、方法、設備，使系統(tǒng)既成熟可靠又能反映當今應用水平，并具發(fā)展?jié)摿?。綜合布線系統(tǒng)適應廣泛的數(shù)據(jù)通信和應用，從而保護用戶在線纜及網(wǎng)絡系統(tǒng)上的投資。3.3 可靠性原則一個系統(tǒng)的可靠性, 是指一個系統(tǒng)在一定的條件下和一定的時間內(nèi)完成預定功能的能力。如果一個系統(tǒng)完成后不可靠，那么它將是個失敗的工程。提高網(wǎng)絡設備的高可靠性, 從技術途徑來說, 只有兩條一是避錯技術，二是容錯技術。避錯技術采取的方法就是提高網(wǎng)絡的可靠性, 也就是保證網(wǎng)絡的高質量。要想進一步提高和保證網(wǎng)絡的高可靠性, 就必須在給定的網(wǎng)絡結構基礎上, 再構成一個更高可靠性的系統(tǒng)。那就是采用容錯技術。容錯是通過系統(tǒng)資源的冗余和對資源的精心組織來實現(xiàn)的。應該在系統(tǒng)結構、設計方案、設備選擇、技術服務等方面綜合考慮，保證系統(tǒng)在完成后能夠無故障運行。同時系統(tǒng)必須具有出錯處理能力、容錯能力、冗余備份功能等。3.4 安全性原則安全性歷來是受關注的話題，因為一個沒有安全保證的網(wǎng)絡是不可想象的。通常，傳統(tǒng)意義的網(wǎng)絡安全主要是指網(wǎng)絡的可靠性和有效抵御事故或不可抗拒的災害的能力。采用的措施包括系統(tǒng)、數(shù)據(jù)庫及傳輸?shù)膫浞荨⑷哂嗯渲?、容災系統(tǒng)建設等，同時還包括供電系統(tǒng)、機房設施的安全性保證。在網(wǎng)絡IP化、引入計算機技術以及數(shù)據(jù)業(yè)務迅速發(fā)展的今天，網(wǎng)絡安全性原則更側重于以下兩方面：一是有效地抵御黑客對網(wǎng)絡的攻擊和入侵，以及病毒與垃圾郵件等對網(wǎng)絡的威脅，避免系統(tǒng)資源被無效占用而造成的線路擁塞甚至系統(tǒng)癱瘓，為客戶提供高質量的服務；二是避免有害信息在網(wǎng)絡中傳播。因此，網(wǎng)絡的安全性原則在系統(tǒng)設計中顯得非常重要。網(wǎng)絡系統(tǒng)必須具有高度的安全性和保密性，通過設置分級保護、控制數(shù)據(jù)存取的權限，防止對系統(tǒng)的非法侵入。3.5 可擴展性原則系統(tǒng)應易于升級和功能擴充。在系統(tǒng)容量、能力、處理能力等方面具有可擴展性，可以方便地進行產(chǎn)品和設備的升級換代，不僅能夠保護企業(yè)的投資，而且具有較高的綜合性能價格比。企業(yè)中的用戶可增加硬件設備，無論各硬件設備技術如何發(fā)展，都能很方便的連接到系統(tǒng)中去。在滿足實用性的基礎上具備一定的超前。當企業(yè)不斷的發(fā)展、新的技術不斷涌現(xiàn)的情況下。適當?shù)脑黾有碌挠布O備時能方便地接入網(wǎng)絡、網(wǎng)絡擴容容易實現(xiàn)；軟件上便于更新、維護、升級。網(wǎng)絡的可擴展性保證主要是通過交換機端口、服務器處理器數(shù)、內(nèi)存容量、磁盤架數(shù)等方面來保證。通常要求核心，或者骨干層，甚至會聚層交換機的高速端口(通常為千兆位端口) 要有兩個以上用于維護和擴展，不要在設計之初就只想到當前所需的這類端口數(shù)，把所有高速端口都占用完。3.6 可維護與易操作性提供有效的網(wǎng)絡管理和系統(tǒng)監(jiān)控、調(diào)試、診斷技術，保證系統(tǒng)維護管理簡明、方便、有效。采用標準的網(wǎng)絡系統(tǒng)結構和統(tǒng)一的通信處理方式，能實現(xiàn)作為完整系統(tǒng)的功能特性。同時，為方便企業(yè)管理人員的操作，企業(yè)網(wǎng)的組建應該考慮到網(wǎng)絡的易操作性。必須提供友好的界面，操作簡便，容錯性強，易于管理和維護4。4 設備采用4.1 核心層設備考慮到整個網(wǎng)絡需要400個左右的信息點，核心層配置兩臺Cisco 6506交換機，以便做好冗余備份，提供高速的交換，Cisco 6506具有以下特性：基本參數(shù) 網(wǎng)絡類型：以太網(wǎng)、快速以太網(wǎng)、ISDN、FDDI、ATM、Token Ring、Gigabit以太網(wǎng) 網(wǎng)絡協(xié)議：802.3z，802.3u，ATM 端口總數(shù)：N/A 閃存：16 MB 功能參數(shù) 引擎交換：3,2 速率：VLAN最大數(shù)：1000；底版：可擴充至256 Gbps；多層性能：可擴充至150 Mpps； 模塊化插槽數(shù) 6；底版：可擴充至256 Gbps； 可用模塊：WS-X6408-GBIC=Catalyst 6000，8端口千兆位以太網(wǎng)模塊(需要GBIC)；WS-X6302-MSM=Catalyst 6000，多層交換機模塊；WS-X6248-RJ-45=Catalyst 6000，48端口10/100bTX (RJ-45)模塊；WS-X6224-100FX-MT=Catalyst 6000，24端口100bFX (多模式，MT-RJ)；WS-X6248-TEL=Catalyst 6000，48端口Telco模塊；MEM-C6K-FLC16M=Catalyst 6000 Supervisor PCMCIA 16MB閃存卡；MEM-C6K-FLC24M=Catalyst 6000 Sup PCMCIA閃存卡，24MB備用； 是否支持VLAN：是 是否支持QoS/CoS：是 網(wǎng)管功能：CiscoWorks 2000、RMON、Enhanced Switched Port Ananlyzer (ESPAN)、SNMP、Telnet、BOOTP和小型文件傳輸協(xié)議(TFTP) 軟件功能：WS-C6X09-EMS-LIC=Catalyst 6x09 RMON代理許可；WS-C6X06-EMS-LIC=Catalyst 6x06 RMON代理許可；FRC-MSM-IPX=Catalyst 6000 IPX特性集許可；CON-SNT-PKG16：Catalyst 6000 SMARTnet維護 其他參數(shù) 電源：WS-X6K-SUP1-2GE+交流電源 尺寸：20.1x17.2x18.1 in. cm 價格：35000元圖1 Cisco 65064.2 分布層設備在分布層配置三臺CISCO 6509交換機，為企業(yè)提供高速交換，其基本參數(shù)如下：基本參數(shù) 網(wǎng)絡類型：以太網(wǎng)、快速以太網(wǎng)、ISDN、FDDI、ATM、Token Ring、Gigabit以太網(wǎng) 網(wǎng)絡協(xié)議：802.3z，802.3u，ATM 端口總數(shù)：N/A 閃存：16 MB 功能參數(shù) 引擎交換：3,2 速率：VLAN最大數(shù)：1000；底版：可擴充至256 Gbps；多層性能：可擴充至150 Mpps； 模塊化插槽數(shù) 9 可用模塊：WS-X6408-GBIC=Catalyst 6000，8端口千兆位以太網(wǎng)模塊(需要GBIC)；WS-X6302-MSM=Catalyst 6000，多層交換機模塊；WS-X6248-RJ-45=Catalyst 6000，48端口10/100bTX (RJ-45)模塊；WS-X6224-100FX-MT=Catalyst 6000，24端口100bFX (多模式，MT-RJ)；WS-X6248-TEL=Catalyst 6000，48端口Telco模塊；MEM-C6K-FLC16M=Catalyst 6000 Supervisor PCMCIA 16MB閃存卡；MEM-C6K-FLC24M=Catalyst 6000 Sup PCMCIA閃存卡，24MB備用； 是否支持VLAN：是 是否支持QoS/CoS：是 網(wǎng)管功能：CiscoWorks 2000、RMON、Enhanced Switched Port Ananlyzer (ESPAN)、SNMP、Telnet、BOOTP和小型文件傳輸協(xié)議(TFTP) 軟件功能：WS-C6X09-EMS-LIC=Catalyst 6x09 RMON代理許可；WS-C6X06-EMS-LIC=Catalyst 6x06 RMON代理許可；FRC-MSM-IPX=Catalyst 6000 IPX特性集許可；CON-SNT-PKG16：Catalyst 6000 SMARTnet維護 其他參數(shù) 電源：交流電源+WS-X6K-SUP1-2GE 尺寸：25.2x17.2x18.1 in. cm價格：40000元4.3 接入層設備在分布層的每臺交換機上連接3臺48端口的交換機，即在接入層配置9臺48端口的交換機，以滿足400信息點的需求。在此采用CISCO WS-C2950G-48-EI交換機，其具體參數(shù)如下：基本參數(shù) 網(wǎng)絡類型：快速以太網(wǎng) 網(wǎng)絡協(xié)議：IEEE 802.1x,10BaseT、100BaseTX、1000BaseT端口上的IEEE 802.3x全雙工操作,IEEE 802.1D生成樹協(xié)議,IEEE 802.1p CoS,IEEE 802.1Q VLAN,IEEE 802.3ab 1000BaseTX規(guī)范 ,IEEE 802.3u 100BaseTx規(guī)范,IEEE 802.3 10BaseTx規(guī)范 端口總數(shù)：48 閃存：8 MB 功能參數(shù) 最大地址數(shù)：8000 背板帶寬：8.8 Gbps 速率：10/100Base-T，GBIC DRAM：16 MB 可用模塊：無 是否支持VLAN：是 是否支持QoS/CoS：是 網(wǎng)管功能：SNMP管理信息庫(MIB)II，SNMP MIB擴展，橋接MIB(RFC 1493) 其他參數(shù) 電源：使用內(nèi)置電源或Cisco RPS300電源 尺寸：44.5*24.2*4.4 cm 重量：3 Kg價格：18000元圖2 CISCO WS-C2950G-48-EI4.4 路由器設備企業(yè)網(wǎng)的路由器選用的是Cisco 2821，其具體參數(shù)如下：路由器類型：模塊化路由器最大Flash內(nèi)存：256MB 最大DRAM內(nèi)存:1024MB 網(wǎng)絡認證標準:IEEE 802.3X 網(wǎng)絡端口 局域網(wǎng)接口:2個10/100/1000Mbps端口 其他控制端口:Console 擴展插槽:11個 網(wǎng)絡功能 Qos功能 路由器包轉發(fā)率:0.04 Mpps 路由器網(wǎng)管功能:Cisco ClickStart,SNMP VPN功能:支持VPN 防火墻功能:內(nèi)置 其他功能 集成語音留言范圍廣泛的話音接口支持 SRST, 分支機構可利用集中呼叫控制, 并通過SRST冗余性為IP電話經(jīng)濟有效地提供本地分支機構備份 安全標準:UL 60950:CAN/CSA C22.2 No. 60950,IEC 60950,EN 60950-1,AS/NZS 60950 其他參數(shù) 電源電壓:100-240 VAC 功耗：240W 外觀尺寸：416438.288.9 mm 機身重量：11.4kg圖3 Cisco 28215 系統(tǒng)總體設計方案概述5.1 系統(tǒng)組成與拓撲結構一般來說，在一個局域網(wǎng)中，讓全網(wǎng)的所有設備都使用同一個廠家的設備，可以實現(xiàn)各種不同網(wǎng)絡設備功能的互相配合和補充。因此，在本設計方案中，我們將完全采用同一家廠商的網(wǎng)絡產(chǎn)品，即Cisco公司的網(wǎng)絡設備來構建，以達到實現(xiàn)網(wǎng)絡設備統(tǒng)一的目的，也便于設備間的兼容。本企業(yè)網(wǎng)設計方案主要由以下幾個部分構成：交換模塊、廣域網(wǎng)接入模塊、遠程訪問模塊、服務器群。整個網(wǎng)絡系統(tǒng)的拓撲結構圖如下圖所示5。圖4 拓撲圖5.2 VLAN及IP地址劃分在局域網(wǎng)中劃分VLAN的作用：1. 限制廣播域。廣播域被限制在一個VLAN內(nèi)，節(jié)省了帶寬，提高了網(wǎng)絡處理能力。2. 增強局域網(wǎng)的安全性。不同VLAN內(nèi)的報文在傳輸時是相互隔離的，即一個VLAN內(nèi)的用戶不能和其它VLAN內(nèi)的用戶直接通信，如果不同VLAN要進行通信，則需要通過路由器或三層交換機等三層設備。3. 靈活構建虛擬工作組。用VLAN可以劃分不同的用戶到不同的工作組，同一工作組的用戶也不必局限于某一固定的物理范圍，網(wǎng)絡構建和維護更方便靈活。在企業(yè)網(wǎng)中實行VLAN的劃分，能有助于各個部門的分工,方便管理,同時便于各種針對不同部門的策略的應用:該公司共有9個部門，分別為：財務部，行政部，銷售部，人事部，市場部，技術部，業(yè)務部，企劃部，后勤部。另外，服務器群也劃分一個VLAN。因此根據(jù)實際情況，對企業(yè)的局域網(wǎng)進行VLAN的劃分，具體如下表：表1 VLAN的劃分VLAN編號VLAN名稱IP網(wǎng)段子網(wǎng)掩碼說明VLAN1-17216002552552550管理VLANVLAN10CWB17216102552552550財務部VLAN20XZB17216202552552550行政部VLAN30XSB17216302552552550銷售部VLAN40RSB17216402552552550人事部VLAN50SCB17216502552552550市場部VLAN60JSB17216602552552550技術部VLAN70YWB17216702552552550業(yè)務部VLAN80QHB17216802552552550企劃部VLAN90HQB17216902552552550后勤部VLAN100FWQ172161002552552550服務器群6 交換模塊本企業(yè)網(wǎng)的設計方案是一個分層的設計方案，采用三層設計模型。因而，在本企業(yè)網(wǎng)的內(nèi)部數(shù)據(jù)交換模塊的部署配制上是分層進行的，這樣設計可以簡化本企業(yè)網(wǎng)中的交換網(wǎng)絡設計、提高交換網(wǎng)絡的可擴展性。企業(yè)網(wǎng)的數(shù)據(jù)交換設備我們將它劃分為三層，分別是：接入層、分布層、核心層。在現(xiàn)代交換網(wǎng)絡中，我們還引入了虛擬局域網(wǎng)（Virtual LAN,VLAN）的概念。VLAN技術的出現(xiàn)，主要為了解決交換機在進行局域網(wǎng)互連時無法限制廣播的問題。這種技術可以把一個LAN劃分成多個邏輯的LANVLAN，每個VLAN是一個廣播域，VLAN內(nèi)的主機間通信就和在一個LAN內(nèi)一樣，而VLAN間則不能直接互通，這樣，廣播報文被限制在一個VLAN內(nèi)。VLAN的優(yōu)點：1. 限制廣播域。廣播域被限制在一個VLAN內(nèi)，節(jié)省了帶寬，提高了網(wǎng)絡處理能力。2. 增強局域網(wǎng)的安全性。不同VLAN內(nèi)的報文在傳輸時是相互隔離的，即一個VLAN內(nèi)的用戶不能和其它VLAN內(nèi)的用戶直接通信，如果不同VLAN要進行通信，則需要通過路由器或三層交換機等三層設備。3. 靈活構建虛擬工作組。用VLAN可以劃分不同的用戶到不同的工作組，同一工作組的用戶也不必局限于某一固定的物理范圍，網(wǎng)絡構建和維護更方便靈活。VLAN將廣播域限制在單個VLAN內(nèi)部，減小了各VLAN間主機的廣播通信對其他VLAN的影響。在VLAN間需要通信的時候，可以利用VLAN間路由技術來實現(xiàn)。 當我們的局域網(wǎng)中需要管理的交換機數(shù)量非常多時，我們可以使用VLAN中繼協(xié)議（Vlan Trunking Protocol，VTP）簡化管理。它是一個OSI參考模型第二層的通信協(xié)議，主要用于管理在同一個域的網(wǎng)絡范圍內(nèi)VLAN的建立、刪除和重命名。在一臺VTP Server（VTP服務器）上配置一個新的VLAN時，該VLAN的配置信息將自動傳播到本域內(nèi)的其他所有交換機。這些交換機會自動地接收這些配置信息，使其VLAN的配置與VTP Server保持一致，從而減少在多臺設備上配置同一個VLAN信息的工作量，而且保持了VLAN配置的統(tǒng)一性。 VTP通過網(wǎng)絡(ISL幀或Cisco私有DTP幀)保持VLAN配置統(tǒng)一性。VTP在系統(tǒng)級管理增加，刪除，調(diào)整的VLAN，自動地將信息向網(wǎng)絡中其它的交換機廣播。此外，VTP減小了那些可能導致安全問題的配置。便于管理,只要在VTP Server做相應設置,VTP Client（VTP客戶機）會自動學習VTP Server上的VLAN信息。因此，在本設計中，我們只需在單獨一臺交換機上定義所有VLAN。然后通過VTP協(xié)議將VLAN定義傳播到本管理域中的所有交換機上。這樣，大大減輕了網(wǎng)絡管理人員的工作負擔和工作強度。 當局域網(wǎng)絡的交換機數(shù)量增多、交換機間鏈路增加時，交換網(wǎng)絡的復雜性可能會造成交換環(huán)路問題，這時候我們需要通過在各交換機上運行生成樹協(xié)議（Spanning Tree Protocol，STP）來解決。STP可應用于環(huán)路網(wǎng)絡，通過一定的算法實現(xiàn)路徑冗余，同時將環(huán)路網(wǎng)絡修剪成無環(huán)路的樹型網(wǎng)絡，從而避免報文在環(huán)路網(wǎng)絡中的增生和無限循環(huán)。STP的基本原理是，通過在交換機之間傳遞一種特殊的協(xié)議報文（在IEEE 802.1D中這種協(xié)議報文被稱為“配置消息”）來確定網(wǎng)絡的拓撲結構。配置消息中包含了足夠的信息來保證交換機完成生成樹計算。6.1 配置接入層交換機接入層的功能為為企業(yè)局域網(wǎng)中的所有的終端用戶提供一個接入點。本設計中的接入層交換機采用的是CISCO WS-C2950G-48-EI交換機。該交換機擁有48個自適應快速以太網(wǎng)端口，運行的是Cisco的IOS操作系統(tǒng)。這里，我們以其中一個接入層交換機AccessSwitch1為例進行介紹它的配置。圖5 接入層交換機AccessSwitch16.1.1 配置接入層交換機AccessSwitch1的基本參數(shù)1、設置交換機名稱設置交換機名稱，也就是出現(xiàn)在交換機CLI提示符中的名字。一般以地理位置或行政劃分來為交換機命名。當需要Telnet登錄到若干臺交換機以維護一個大型網(wǎng)絡時，通過交換機名稱提示符提示自己當前配置交換機的位置是很有必要的。設置了交換機的名稱，可以方便網(wǎng)絡管理員管理，方便管理員很快識別所管理的交換機是哪臺交換機，該交換機的功能等等。為接入層交換機AccessSwitch1命名：Swith(config)#hostname AccessSwitch1AccessSwitch1(config)# 2、設置交換機的加密使能口令當用戶在普通用戶模式而想要進入特權用戶模式時，需要提供此口令。此口令會以MD5的形式加密，因此，當用戶查看配置文件時，無法看到明文形式的口令。從而也加強了網(wǎng)絡的安全性。將交換機的加密使能口令設置為password：AccessSwitch1(config)#enable secret password3、設置登錄虛擬終端線時的口令 對于一個已經(jīng)運行著的交換網(wǎng)絡來說，交換機的帶內(nèi)遠程管理為網(wǎng)絡管理人員提供了很多的方便。但是，在能夠遠程管理交換機之前網(wǎng)絡管理人員必須設置遠程登錄交換機的口令，這樣是為了實現(xiàn)安全。設置登錄交換機時需要驗證用戶身份，同時設置口令為guess：AccessSwitch1(config)#line vty 0 15AccessSwitch1(config-line)#loginAccessSwitch1(config-line)#password guess 4、設置終端線超時時間 我們可以設置終端線超時時間。在設置的時間內(nèi)，如果沒有檢測到鍵盤輸入，IOS將斷開用戶和交換機之間的連接，這樣也是為了保證網(wǎng)絡系統(tǒng)的安全。設置登錄交換機的控制臺終端線路及虛擬終端線的超時時間為5分10秒： AccessSwitch1(config)#line vty 0 15AccessSwitch1(config-line)#exec-timeout 5 10AccessSwitch1(config-line)#line con 0AccessSwitch1(config-line)#exec-timeout 5 105、設置禁用IP地址解析特性 在交換機默認配置的情況下，當輸入一條錯誤的交換機命令時，交換機會嘗試將其廣播給網(wǎng)絡上的DNS服務器并將其解析成對應的IP地址。利用命令no ip domain-lookup?？梢越眠@個特性。設置禁用IP地址解析特性:AccessSwitch1(config)#no ip domain-lookup6.1.2 配置接入層交換機AccessSwitch1的管理IP 接入層交換機是OSI參考模型的第2層設備，即數(shù)據(jù)鏈路層的設備。因此，給接入層交換機的每個端口設置IP地址是沒意義的。但是，為了使網(wǎng)絡管理人員可以從遠程登錄到訪問層交換機上進行管理，必須給訪問層交換機設置一個管理用IP地址。這種情況下，實際上是將交換機看成和PC機一樣的主機。 給交換機設置管理用IP地址只能在VLAN1，即本征VLAN中進行。管理VLAN所在的子網(wǎng)是：/24，這里將訪問層交換機AccessSwitch1的管理IP地址設為：/24。為訪問層交換機AccessSwitch1設置管理IP并激活本征VLAN:AccessSwitch1(config)#interface vlan 1AccessSwitch1(config-ip)#ip address AccessSwitch1(config-ip)#no shutdown6.1.3 配置接入層交換機AccessSwitch1的VLAN及VTP 在本企業(yè)網(wǎng)設計方案中，我們使用了VTP技術，從而大大提高了網(wǎng)絡工作效率。在本設計中，我們將分布層交換機DistributeSwitch1設置為本網(wǎng)絡中的VTP服務器，而其他的交換機則設置成為VTP客戶機。根據(jù)VTP的原理，接入層交換機AccessSwitch1將通過VTP獲得在分布層交換機DistributeSwitch1中定義的所有的VLAN的信息。設置接入層交換機AccessSwitch1成為VTP客戶機。AccessSwitch1(config)#vtp mode client6.1.4 配置接入層交換機AccessSwitch1端口基本參數(shù)1、端口雙工配置可以設定某端口根據(jù)對端設備雙工類型自動調(diào)整本端口雙工模式，也可以強制將端口雙工模式設為半雙工或全雙工模式。在了解對端設備類型的情況下，我們采用手動設置端口雙工模式。設置訪問層交換機AccessSwitch1的所有端口均工作在全雙工模式：AccessSwitch1(config)#interface range fastethernet 0/1-48AccessSwitch1(config-if-range)#duplex full2、端口速度可以設定某端口根據(jù)對端設備速度自動調(diào)整本端口速度，也可以強制將端口速度設為10Mpbs或100Mbps。在了解對端設備速度的情況下，我們采用手動設置端口速度。 設置訪問層交換機AccessSwitch1的所有端口的速度均為100Mbps。AccessSwitch1(config)#interface range fastethernet 0/1-48AccessSwitch1(config-if-range)#speed 1006.1.5 配置接入層交換機AccessSwitch1的訪問端口接入層交換機AccessSwitch1為終端用戶提供接入服務。在本設計中，接入層交換機AccessSwitch1為VLAN10（即財務部，所需信息點為25個，因此需劃分給它25個端口）提供接入服務。 1、設置訪問層交換機AccessSwitch1的端口125設置接入層交換機AccessSwitch1的端口1端口25工作在訪問（接入）模式。同時，設置端口1端口25為VLAN 10的成員：AccessSwitch1(config)#interface range fastethernet 0/1-25AccessSwitch1(config-if-range)#switchport mode accessAccessSwitch1(config-if-range)#switchport access vlan 102、設置快速端口默認情況下，交換機在剛加電啟動時，每個端口都要經(jīng)歷生成樹的四個階段：阻塞、偵聽、學習、轉發(fā)。在能夠轉發(fā)用戶的數(shù)據(jù)包之前，某個端口可能最多要等50秒鐘的時間（20秒的阻塞時間15秒的偵聽延遲時間15秒的學習延遲時間）。 對于直接接入終端工作站的端口來說，用于阻塞和偵聽的時間是不必要的。為了加速交換機端口狀態(tài)轉化時間，可以設置將某端口設置成為快速端口（Portfast）。設置為快速端口的端口當交換機啟動或端口有工作站接入時，將會直接進入轉發(fā)狀態(tài)，而不會經(jīng)歷阻塞、偵聽、學習狀態(tài)（假設橋接表已經(jīng)建立）。 設置接入層交換機AccessSwitch1的端口1端口25為快速端口：AccessSwitch1(config)#interface range fastethernet 0/1-25AccessSwitch1(config-if-range)#spanning-tree portfast6.1.6 配置接入層交換機AccessSwitch1的主干道端口如圖5-1所示，接入層交換機AccessSwitch1通過端口FastEthernet 0/48上連到分布層交換機DistributeSwitch1的端口FastEthernet 0/24。這條上連鏈路將成為主干道鏈路，在這條上連鏈路上將運輸VLAN的數(shù)據(jù)。設置接入層交換機AccessSwitch1的端口FastEthernet 0/48為主干道端口：AccessSwitch1(config)#interface range fastethernet 0/48AccessSwitch1(config-if-range)#switchport mode trunk6.1.7 配置接入層其他交換機接入層其他交換機其他VLAN（VLAN20,VLAN30,VLAN40等）的用戶提供接入服務。同時，分別通過自己的FastEthernet 0/48上連到分布層交換機。對接入層其他交換機的配置步驟、命令和對接入層交換機AccessSwitch1的配置類似。這里，不再詳細分析。6.2 配置分布層交換機分布層除了負責將接入層交換機進行匯集外，還為整個交換網(wǎng)絡提供VLAN間的路由選擇功能。這里的分布層交換機采用的是CISCO 6509交換機。CISCO 6509交換機擁有24個10/100Mbps自適應快速以太網(wǎng)端口，同時還有2個1000Mbps的GBIC端口供上連使用，運行的是Cisco的Integrated IOS操作系統(tǒng)。我們以分布層交換機DistributeSwitch1為例進行介紹分布層交換機的配置。圖6 分布層交換機DistributeSwitch16.2.1 配置分布層交換機DistributeSwitch1的基本參數(shù) 對分布層交換機DistributeSwitch1的基本參數(shù)的配置步驟與對接入層交換機AccessSwitch1的基本參數(shù)的配置類似。因此在這里，只給出實際的配置步驟。Switch#configure terminalSwitch(config)#hostname DistributeSwitch1DistributeSwitch1(config)#enable secret guessDistributeSwitch1(config)#line con 0DistributeSwitch1(config-line)#exec-timeout 5 10DistributeSwitch1(config-line)#line vty 0 15DistributeSwitch1(config-line)#password aaaDistributeSwitch1(config-line)#loginDistributeSwitch1(config-line)#exec-timeout 5 10DistributeSwitch1(config-line)#exitDistributeSwitch1(config)#no ip domain-lookup6.2.2 配置分布層交換機DistributeSwitch1的管理IP為分布層交換機DistributeSwitch1設置管理IP并激活本征VLAN:DistributeSwitch1(config)#interface vlan 1DistributeSwitch1(config-if)#ip address DistributeSwitch1(config-if)#no shutdownDistributeSwitch1(config-if)#exit6.2.3 配置分布層交換機DistributeSwitch1的VTP當網(wǎng)絡中交換機數(shù)量很多時，需要分別在每臺交換機上創(chuàng)建很多重復的VLAN。這樣工作量很大、過程很繁瑣，并且容易出錯。因而，我們常采用VLAN中繼協(xié)議（Vlan Trunking Protocol，VTP）來解決這個問題。VTP允許我們在一臺交換機上創(chuàng)建所有的VLAN。然后，利用交換機之間的互相學習功能，將創(chuàng)建好的VLAN定義傳播到整個網(wǎng)絡中需要此VLAN定義的所有交換機上。同時，有關VLAN的刪除、參數(shù)更改操作均可傳播到其他交換機。從而大大減輕了網(wǎng)絡管理人員配置交換機負擔。 在本企業(yè)網(wǎng)實現(xiàn)方案中我們使用了VTP技術。同時，將分布層交換機DistributeSwitch1設置成為VTP服務器，其他交換機則設置成為VTP客戶機。1、配置VTP的管理域共享相同VLAN定義數(shù)據(jù)庫的交換機構成一個VTP管理域。每一個VTP管理域都有一個共同的VTP管理域域名。不同VTP管理域的交換機之間不交換VTP通告信息。DistributeSwitch1(config)#vtp domain manage將VTP管理域的域名定義為manage：2、設置VTP服務器工作在VTP服務器模式下的交換機可以創(chuàng)建、刪除VLAN、修改VLAN參數(shù)。同時，還有責任發(fā)送和轉發(fā)VLAN更新消息。設置分布層交換機DistributeSwitch1成為VTP服務器：DistributeSwitch1(config)#vtp mode server3、激活VTP的剪裁功能默認情況下主干道傳輸所有VLAN的用戶數(shù)據(jù)。有時，交換網(wǎng)絡中某臺交換機的所有端口都屬于同一VLAN的成員，沒有必要接收其他VLAN的用戶數(shù)據(jù)。這時，可以激活主干道上的VTP剪裁功能。當激活了VTP剪裁功能以后，交換機將自動剪裁本交換機沒有定義的VLAN數(shù)據(jù)。 在一個VTP域下，只需要在VTP服務器上激活VTP剪裁功能。同一VTP域下的所有其他交換機也將自動激活VTP剪裁功能。 設置激活VTP剪裁功能：DistributeSwitch1(config)#vtp pruning6.2.4 在分布層交換機DistributeSwitch1上定義VLAN在本企業(yè)網(wǎng)實現(xiàn)方案中，除了默認的本征VLAN外，又定義了10個VLAN（前面已經(jīng)說明）。 由于使用了VTP技術，所以所有VLAN的定義只需要在VTP服務器，即在分布層交換機DistributeSwitch1上進行。 定義10個VLAN，同時為每個VLAN命名:DistributeSwitch1(config)#vlan 10DistributeSwitch1(config-vlan)#name CWBDistributeSwitch1(config)#vlan 20DistributeSwitch1(config-vlan)#name XZBDistributeSwitch1(config)#vlan 30DistributeSwitch1(config-vlan)#name XSBDistributeSwitch1(config)#vlan 40DistributeSwitch1(config-vlan)#name RSBDistributeSwitch1(config)#vlan 50DistributeSwitch1(config-vlan)#name SCBDistributeSwitch1(config)#vlan 60DistributeSwitch1(config-vlan)#name JSBDistributeSwitch1(config)#vlan 70 DistributeSwitch1(config-vlan)#name YWBDistributeSwitch1(config)#vlan 80DistributeSwitch1(config-vlan)#name QHBDistributeSwitch1(config)#vlan 90DistributeSwitch1(config-vlan)#name HQBDistributeSwitch1(config)#vlan 100DistributeSwitch1(config-vlan)#name FWQ6.2.5 配置分布層交換機DistributeSwitch1的端口基本參數(shù)分布層交換機DistributeSwitch1的端口FastEthernet 0/1FastEthernet 0/10為服務器群提供接入服務，而端口FastEthernet 0/22、FastEthernet 0/23、FastEthernet 0/24分別下連到接入