中小型企業(yè)網(wǎng)絡(luò)規(guī)劃與設(shè)計

1、*大學(xué)工學(xué)學(xué)士學(xué)位論文題目：中小型企業(yè)網(wǎng)絡(luò)規(guī)劃與設(shè)計摘 要迅速發(fā)展的internet正在對全世界的信息產(chǎn)業(yè)帶來巨大的變革和深遠的影響。市場的全球化競爭已成為趨勢。對于中小型企業(yè)來說，在調(diào)整發(fā)展戰(zhàn)略時，必須考慮到市場的全球競爭戰(zhàn)略，而這一切也將以信息化平臺為基礎(chǔ)，借助計算機網(wǎng)絡(luò)原理及網(wǎng)絡(luò)規(guī)劃技術(shù)，以網(wǎng)絡(luò)通暢為保證。企業(yè)內(nèi)部網(wǎng)（intranet）是國際互連網(wǎng)（internet）技術(shù)在企業(yè)內(nèi)部或封閉的用戶群內(nèi)的應(yīng)用。intranet是使用internet技術(shù),特別是tcp/ip協(xié)議而建成的企業(yè)內(nèi)部網(wǎng)絡(luò)。這種技術(shù)允許不同計算機平臺進行互通,且不用考慮其位置。也就是所說的用戶可以對任何一臺進行訪問或從任

2、何一臺計算機進行訪問。本文從企業(yè)網(wǎng)絡(luò)需求開始分析，根據(jù)現(xiàn)階段cisco公司主流網(wǎng)絡(luò)設(shè)備進行選材,規(guī)劃最適用于目標網(wǎng)絡(luò)的拓撲結(jié)構(gòu),建設(shè)合理的網(wǎng)絡(luò)設(shè)計方案。并測試其結(jié)果最終驗證網(wǎng)絡(luò)的規(guī)劃與設(shè)計符合中小型企業(yè)的需求。本設(shè)計使用cisco packet tracer 軟件進行模擬真實的設(shè)備和運行環(huán)境，來測試方案是否正確和可行性。關(guān)鍵詞：企業(yè)網(wǎng)絡(luò) 路由 交換 網(wǎng)絡(luò)設(shè)計 模擬abstractthe rapid development of the internet is all over the world information industry of enormous change and far-r

3、eaching consequences. market competition has become the trend of globalization. for large enterprises, in adjusting the development strategy, must take into account the markets global competitiveness strategy, and all this information platform will also be based on the principle of the use of comput

4、er networks and network planning technology to the network in order to ensure patency. intranet is an international internet technology in the enterprise or within a closed user group applications. intranet is the use of internet technologies, especially tcp / ip protocol and the completion of the e

5、nterprise internal network. this technology allows interoperability of different computer platforms, and do not have to consider its position. that is what the user can visit any or from any computer access. from the start the whole enterprise class network needs analysis, based on the mainstream st

6、age cisco network equipment company selection, with the goal to build the most suitable network topology, designed with network technology. view the experimental results to verify that the network meets business needs.this design using cisco packet tracer software to simulate real equipment and oper

7、ation environment, to test whether the plan right and feasibility.keywords: enterprise network routing switching networkdesign simulation目錄摘 要iabstractii第一章 緒 論11.1研究背景11.2目的與意義1第二章 關(guān)鍵網(wǎng)絡(luò)技術(shù)原理22.1路由技術(shù)22.2交換技術(shù)22.3遠程訪問技術(shù)32.4 vlan32.5 acl42.6 nat52.7 dhcp52.8 vpn52.9 pvst62.10 dns62.11 hsrp7第三章 用戶需求分析83.

8、1中小型企業(yè)需求分析83.2 本網(wǎng)絡(luò)系統(tǒng)需求分析10第四章 網(wǎng)絡(luò)設(shè)計114.1 設(shè)計網(wǎng)絡(luò)拓撲結(jié)構(gòu)114.2 vlan及ip地址規(guī)劃114.3設(shè)備命名124.4 模擬工具和環(huán)境介紹packet tracer144.5 設(shè)備配置16第五章 安全策略335.1 安全分析335.2 安全技術(shù)345.3 安全策略設(shè)計35第六章 網(wǎng)絡(luò)效果驗證386.1 關(guān)鍵三層設(shè)備路由表386.2 聯(lián)通性測試426.3 acl驗證446.4 dhcp/dns服務(wù)46致 謝47參考文獻48附錄49第一章 緒 論1.1研究背景今天，迅速發(fā)展的internet正在對全世界的信息產(chǎn)業(yè)帶來巨大的變革和深遠的影響。市場的全球化競爭已

9、成為趨勢。21世紀的中國正在向市場多元化、全球化的方向發(fā)展。對于大型企業(yè)來說，在調(diào)整發(fā)展戰(zhàn)略時，必須考慮到市場的全球競爭戰(zhàn)略，而這一切也將以信息化平臺為基礎(chǔ)，借助計算機網(wǎng)絡(luò)原理及網(wǎng)絡(luò)規(guī)劃技術(shù)，以網(wǎng)絡(luò)通暢為保證。國內(nèi)越來越多的企業(yè)也已經(jīng)或正在考慮使用internet/intranet技術(shù),以建設(shè)企業(yè)規(guī)劃化的信息處理系統(tǒng)。因為現(xiàn)代企業(yè)的信息大多都來自于互連網(wǎng)，通過網(wǎng)絡(luò)，企業(yè)可以更快速的接收到來自全球的市場信息；通過internet與外部世界交換信息，企業(yè)規(guī)劃者可以更快地對企業(yè)作出正確的宏觀調(diào)控與決策，以適應(yīng)市場趨勢。企業(yè)與全世界聯(lián)系起來,極大地提高了信息收集的能力和效率。1.2目的與意義企業(yè)內(nèi)部網(wǎng)

10、（intranet）是國際互連網(wǎng)（internet）技術(shù)在企業(yè)內(nèi)部或封閉的用戶群內(nèi)的應(yīng)用。簡單地說,intranet是使用internet技術(shù),特別是tcp/ip協(xié)議而建成的企業(yè)內(nèi)部網(wǎng)絡(luò)。這種技術(shù)允許不同計算機平臺進行互通,且不用考慮其位置。也就是所說的用戶可以對任何一臺進行訪問或從任何一臺計算機進行訪問1?；谶@種種的現(xiàn)實問題，企業(yè)必須從企業(yè)局域網(wǎng)的概念及相關(guān)計算機網(wǎng)絡(luò)技術(shù)入手，詳細地設(shè)計企業(yè)網(wǎng)建設(shè)的實施方案及建設(shè)規(guī)劃,以達到先進、安全、實用、可靠的目標.對該企業(yè)的組網(wǎng)需求進行分析，比較各種組網(wǎng)技術(shù)，從實用角度論述局域網(wǎng)主干網(wǎng)選擇，綜合布線，各種設(shè)備選擇，網(wǎng)絡(luò)安全，網(wǎng)絡(luò)管理等方面。我們的網(wǎng)絡(luò)

11、要具有一定的靈活性。當(dāng)企業(yè)發(fā)展到一定規(guī)模,企業(yè)在外地設(shè)有許多分支機構(gòu)。這時,為加快企業(yè)內(nèi)部的信息流通,企業(yè)需要將總部和各分支機構(gòu)連接起來。遠程企業(yè)對網(wǎng)絡(luò)的需求是：通過internet接入, 在整個公司實現(xiàn)數(shù)據(jù)快速傳輸、辦公自動化,最終實現(xiàn)企業(yè)無紙化辦公；企業(yè)擁有自己的ip地址和域名,在公司主機上建立網(wǎng)站,向外界宣傳企業(yè)形象、公司各項業(yè)務(wù)、活動及最新成果等；以ip電話方式節(jié)省企業(yè)大部分的長途話費,亦可通過ip網(wǎng)絡(luò)來實現(xiàn)視頻會議；實現(xiàn)telnet等網(wǎng)絡(luò)服務(wù)；實現(xiàn)結(jié)構(gòu)化布線、網(wǎng)絡(luò)的設(shè)計與規(guī)劃、資源共享、專線接入internet、www服務(wù)器、軟硬件配置、劃分企業(yè)子網(wǎng)等技術(shù)實施。第二章 關(guān)鍵網(wǎng)絡(luò)技術(shù)原

12、理2.1路由技術(shù)工作在osi參考模型第三層網(wǎng)絡(luò)層的數(shù)據(jù)包轉(zhuǎn)發(fā)設(shè)備。路由器通過轉(zhuǎn)發(fā)數(shù)據(jù)包來實現(xiàn)網(wǎng)絡(luò)互連。雖然路由器可以支持多種協(xié)議（如tcp/ip、ipx/spx、appletalk等協(xié)議），但是在我國絕大多數(shù)路由器運行tcp/ip協(xié)議。路由器通常連接兩個或多個由ip子網(wǎng)或點到點協(xié)議標識的邏輯端口，至少擁有1個物理端口。路由器根據(jù)收到數(shù)據(jù)包中的網(wǎng)絡(luò)層地址以及路由器內(nèi)部維護的路由表決定輸出端口以及下一跳地址，并且重寫鏈路層數(shù)據(jù)包頭實現(xiàn)轉(zhuǎn)發(fā)數(shù)據(jù)包。路由器通過動態(tài)維護路由表來反映當(dāng)前的網(wǎng)絡(luò)拓撲，并通過網(wǎng)絡(luò)上其他路由器交換路由和鏈路信息來維護路由表。路由器以其高度的靈活性和安全性在局域網(wǎng)和廣域網(wǎng)互聯(lián)中得

13、到了廣泛應(yīng)用。然而路由器是無連接的設(shè)備，它對每個數(shù)據(jù)報獨立地進行路由選擇，哪怕是同一對主機之間的通信，都要對各個數(shù)據(jù)包單獨處理，這樣的開銷使得路由器的吞吐率相對與交換機大為降低。路由技術(shù)主要是指路由選擇算法。因特網(wǎng)的路由選擇協(xié)議的特點及分類。其中，路由選擇算法可以分為靜態(tài)路由選擇算法和動態(tài)路由選擇算法。因特網(wǎng)的路由選擇協(xié)議的特點是：屬于自適應(yīng)的選擇協(xié)議（即動態(tài)的）；是分布式路由選擇協(xié)議；采用分層次的路由選擇協(xié)議，即分自治系統(tǒng)內(nèi)部和自治系統(tǒng)外部路由選擇協(xié)議。因特網(wǎng)的路由選擇協(xié)議劃分為兩大類：內(nèi)部網(wǎng)關(guān)協(xié)議（igp,具體的協(xié)議有rip和ospf等）和外部網(wǎng)關(guān)協(xié)議（egp,目前使用最多的是bgp）。2

14、.2交換技術(shù)談到交換，從廣義上講，任何數(shù)據(jù)的轉(zhuǎn)發(fā)都可以叫做交換。但是，傳統(tǒng)的、狹義的第2層交換技術(shù)，僅包括數(shù)據(jù)鏈路層的轉(zhuǎn)發(fā)。2層交換機主要用在小型局域網(wǎng)中，機器數(shù)量在二、三十臺以下，這樣的網(wǎng)絡(luò)環(huán)境下，廣播包影響不大，2層交換機的快速交換功能、多個接入端口和低廉價格，為小型網(wǎng)絡(luò)用戶提供了完善的解決方案。現(xiàn)代交換技術(shù)還實現(xiàn)了第3層交換和多層交換。高層交換技術(shù)的引入不但提高了園區(qū)網(wǎng)數(shù)據(jù)交換的效率，更大大增強了企業(yè)網(wǎng)數(shù)據(jù)交換服務(wù)質(zhì)量，滿足了不同類型網(wǎng)絡(luò)應(yīng)用程序的需要。現(xiàn)代交換網(wǎng)絡(luò)還引入了虛擬局域網(wǎng)（virtual lan，vlan）的概念。vlan將廣播域限制在單個vlan內(nèi)部，減小了各vlan間主機

15、的廣播通信對其他vlan的影響。在vlan間需要通信的時候，可以利用vlan間路由技術(shù)來實現(xiàn)。當(dāng)網(wǎng)絡(luò)管理人員需要管理的交換機數(shù)量眾多時，可以使用vlan中繼協(xié)議（vlan trunking protocol，vtp）簡化管理，它只需在單獨一臺交換機上定義所有vlan。然后通過vtp協(xié)議將vlan定義傳播到本管理域中的所有交換機上。這樣，大大減輕了網(wǎng)絡(luò)管理人員的工作負擔(dān)和工作強度。為了簡化交換網(wǎng)絡(luò)設(shè)計、提高交換網(wǎng)絡(luò)的可擴展性，在企業(yè)網(wǎng)內(nèi)部數(shù)據(jù)交換的部署是分層進行的。總之，交換式局域網(wǎng)技術(shù)使專用的帶寬為用戶所獨享，極大地提高了局域網(wǎng)傳輸?shù)男省？梢哉f，在網(wǎng)絡(luò)系統(tǒng)集成的技術(shù)中，直接面向用戶的第2層交

16、換技術(shù)，已得到了令人滿意的答案。2.3遠程訪問技術(shù)在遠程訪問的架構(gòu)中，遠程訪問技術(shù)可以分為以下3點進行探討：連接方式，身份識別，數(shù)據(jù)傳輸。在連接方式中，遠程訪問連接的方法可以分為兩種，一種是通過撥號裝置，另一種則是通過vpn。撥號裝置的部分主要為調(diào)制解調(diào)器撥號，不過，也可以通過如isdn或其他類似的方法進行；而vpn連接的方式則可以通過pptp（point to point tunneling protocol）或l2tp（layer 2 tunneling protocol）等vpn協(xié)議進行連接，不過，在windows server 2008/windows vista sp1中還新增了一個

17、新的vpn協(xié)議：sstp（secure socket tunneling protocol）。遠程訪問也是企業(yè)網(wǎng)絡(luò)必須提供的服務(wù)之一。它可以為家庭辦公用戶和出差在外的員工提供移動接入服務(wù)。不同的廣域網(wǎng)連接類型提供的服務(wù)質(zhì)量不同，花費也不相同。企業(yè)用戶可以根據(jù)所需帶寬、本地服務(wù)可用性、花費等因素綜合考慮，選擇一種適合企業(yè)自身需要的廣域網(wǎng)接入方案。2.4 vlanvlan（virtual local area network）的中文名為虛擬局域網(wǎng)。vlan是一種將局域網(wǎng)設(shè)備從邏輯上劃分成一個個網(wǎng)段，從而實現(xiàn)虛擬工作組的新興數(shù)據(jù)交換技術(shù)。這一新興技術(shù)主要應(yīng)用于交換機和路由器中，但主流應(yīng)用還是在交換機

18、之中。但又不是所有交換機都具有此功能，只有vlan協(xié)議的第三層以上交換機才具有此功能，這一點可以查看相應(yīng)交換機的說明書即可得知vlan技術(shù)允許網(wǎng)絡(luò)管理者將一個物理的lan邏輯地劃分成不同的廣播域（或稱虛擬lan，即vlan），每一個vlan都包含一組有著相同需求的計算機工作站，與物理上形成的lan有著相同的屬性。但由于它是邏輯地而不是物理地劃分，所以同一個vlan內(nèi)的各個工作站無須被放置在同一個物理空間里，即這些工作站不一定屬于同一個物理lan網(wǎng)段。一個vlan內(nèi)部的廣播和單播流量都不會轉(zhuǎn)發(fā)到其他vlan中，即使是兩臺計算機有著同樣的網(wǎng)段，但是它們卻沒有相同的vlan號，它們各自的廣播流也不會

19、相互轉(zhuǎn)發(fā),從而有助于控制流量、減少設(shè)備投資、簡化網(wǎng)絡(luò)管理、提高網(wǎng)絡(luò)的安全性。 vlan是為解決以太網(wǎng)的廣播問題和安全性而提出的，它在以太網(wǎng)幀的基礎(chǔ)上增加了vlan頭，用vlan id把用戶劃分為更小的工作組，限制不同工作組間的用戶二層互訪，每個工作組就是一個虛擬局域網(wǎng)。虛擬局域網(wǎng)的好處是可以限制廣播范圍，并能夠形成虛擬工作組，動態(tài)管理網(wǎng)絡(luò)。 既然vlan隔離了廣播風(fēng)暴，同時也隔離了各個不同的vlan之間的通訊，所以不同的vlan之間的通訊是需要有路由來完成的。2.5 acl訪問控制列表（access control list，acl） 是路由器和交換機接口的指令列表，用來控制端口進出的數(shù)據(jù)包。

20、acl適用于所有的被路由協(xié)議，如ip、ipx、appletalk等。這張表中包含了匹配關(guān)系、條件和查詢語句，表只是一個框架結(jié)構(gòu)，其目的是為了對某種訪問進行控制。acl通過對網(wǎng)絡(luò)數(shù)據(jù)源地址、源端口、目的地址、目的端口全部或部分組合的控制，能夠限制數(shù)據(jù)在網(wǎng)絡(luò)中的傳輸。在網(wǎng)絡(luò)中應(yīng)用acl，能夠達到這樣一些目的：阻斷網(wǎng)絡(luò)中的異常流量,應(yīng)用系統(tǒng)間訪問控制,snmp網(wǎng)管工作站控制,設(shè)備本身防備。目前有兩種主要的acl:標準acl和擴展acl。其他的還有標準mac acl、以太協(xié)議 acl 、ipv6 acl等。標準的acl使用 1 99 以及13001999之間的數(shù)字作為表號，擴展的acl使用 100 1

21、99以及20002699之間的數(shù)字作為表號。標準acl可以阻止來自某一網(wǎng)絡(luò)的所有通信流量，或者允許來自某一特定網(wǎng)絡(luò)的所有通信流量，或者拒絕某一協(xié)議簇（比如ip）的所有通信流量。擴展acl比標準acl提供了更廣泛的控制范圍。例如，網(wǎng)絡(luò)管理員如果希望做到“允許外來的web通信流量通過，拒絕外來的ftp和telnet等通信流量”，那么，他可以使用擴展acl來達到目的，標準acl不能控制這么精確。隨著網(wǎng)絡(luò)的發(fā)展和用戶要求的變化，從ios 12.0開始，思科（cisco）路由器新增加了一種基于時間的訪問列表。通過它，可以根據(jù)一天中的不同時間，或者根據(jù)一星期中的不同日期，或二者相結(jié)合來控制網(wǎng)絡(luò)數(shù)據(jù)包的轉(zhuǎn)發(fā)

22、。這種基于時間的訪問列表，就是在原來的標準訪問列表和擴展訪問列表中，加入有效的時間范圍來更合理有效地控制網(wǎng)絡(luò)。首先定義一個時間范圍，然后在原來的各種訪問列表的基礎(chǔ)上應(yīng)用它?；跁r間訪問列表的設(shè)計中，用time-range 命令來指定時間范圍的名稱，然后用absolute命令，或者一個或多個periodic命令來具體定義時間范圍。2.6 nat網(wǎng)絡(luò)地址轉(zhuǎn)換(nat,network address translation)被廣泛應(yīng)用于各種類型internet接入方式和備種類型的網(wǎng)絡(luò)中。原因很簡單，nat不僅完美地解決了lp地址不足的問題，而且還能夠有效地避免來自網(wǎng)絡(luò)外部的攻擊，隱藏并保護網(wǎng)絡(luò)內(nèi)部的

23、計算機。nat的實現(xiàn)方式有三種，即靜態(tài)轉(zhuǎn)換static nat、動態(tài)轉(zhuǎn)換dynamic nat 和 端口多路復(fù)用overload。端口多路復(fù)用是指改變外出數(shù)據(jù)包的源端口并進行端口轉(zhuǎn)換，即端口地址轉(zhuǎn)換(pat，port addresstranslation).采用端口多路復(fù)用方式。內(nèi)部網(wǎng)絡(luò)的所有主機均可共享一個合法外部ip地址實現(xiàn)對internet的訪問，從而可以最大限度地節(jié)約ip地址資源。同時，又可隱藏網(wǎng)絡(luò)內(nèi)部的所有主機，有效避免來自internet的攻擊。因此，目前網(wǎng)絡(luò)中應(yīng)用最多的就是端口多路復(fù)用方式。2.7 dhcpdhcp 是 dynamic host configuration pro

24、tocol(動態(tài)主機分配協(xié)議)縮寫。它分為兩個部份：一個是服務(wù)器端，而另一個是客戶端。所有的 ip 網(wǎng)絡(luò)設(shè)定數(shù)據(jù)都由 dhcp 服務(wù)器集中管理，并負責(zé)處理客戶端的 dhcp 要求；而客戶端則會使用從服務(wù)器分配下來的ip環(huán)境數(shù)據(jù)。比較起 bootp ，dhcp 透過 租約 的概念，有效且動態(tài)的分配客戶端的 tcp/ip 設(shè)定，而且，作為兼容考慮，dhcp 的分配形式 首先，必須至少有一臺 dhcp 工作在網(wǎng)絡(luò)上面，它會監(jiān)聽網(wǎng)絡(luò)的 dhcp 請求，并與客戶端磋商 tcp/ip 的設(shè)定環(huán)境。dhcp是bootp的擴展，是基于c/s模式的，它提供了一種動態(tài)指定ip地址和配置參數(shù)的機制。這主要用于大型網(wǎng)

25、絡(luò)環(huán)境和配置比較困難的地方。dhcp服務(wù)器自動為客戶機指定ip地址，指定的配置參數(shù)有些和ip協(xié)議并不相關(guān)，但這必沒有關(guān)系，它的配置參數(shù)使得網(wǎng)絡(luò)上的計算機通信變得方便而容易實現(xiàn)了。dhcp使ip地址的可以租用，對于許多擁有許多臺計算機的大型網(wǎng)絡(luò)來說，每臺計算機擁有一個ip地址有時候可能是不必要的。租期從1分鐘到100年不定，當(dāng)租期到了的時候，服務(wù)器可以把這個ip地址分配給別的機器使用?？蛻粢部梢哉埱笫褂米约合矚g的網(wǎng)絡(luò)地址及相應(yīng)的配置參數(shù)。2.8 vpnvpn的英文全稱是“virtual private network”，翻譯過來就是“虛擬專用網(wǎng)絡(luò)”。顧名思義，虛擬專用網(wǎng)絡(luò)我們可以把它理解成是虛擬

26、出來的企業(yè)內(nèi)部專線。它可以通過特殊的加密的通訊協(xié)議在連接在internet上的位于不同地方的兩個或多個企業(yè)內(nèi)部網(wǎng)之間建立一條專有的通訊線路，就好比是架設(shè)了一條專線一樣，但是它并不需要真正的去鋪設(shè)光纜之類的物理線路。這就好比去電信局申請專線，但是不用給鋪設(shè)線路的費用，也不用購買路由器等硬件設(shè)備。vpn技術(shù)原是路由器具有的重要技術(shù)之一，目前在交換機，防火墻設(shè)備或windows2000等軟件里也都支持vpn功能，一句話，vpn的核心就是在利用公共網(wǎng)絡(luò)建立虛擬私有網(wǎng)。虛擬專用網(wǎng)（vpn）被定義為通過一個公用網(wǎng)絡(luò)（通常是因特網(wǎng)）建立一個臨時的、安全的連接，是一條穿過混亂的公用網(wǎng)絡(luò)的安全、穩(wěn)定的隧道。虛擬

27、專用網(wǎng)是對企業(yè)內(nèi)部網(wǎng)的擴展。虛擬專用網(wǎng)可以幫助遠程用戶、公司分支機構(gòu)、商業(yè)伙伴及供應(yīng)商同公司的內(nèi)部網(wǎng)建立可信的安全連接，并保證數(shù)據(jù)的安全傳輸。虛擬專用網(wǎng)可用于不斷增長的移動用戶的全球因特網(wǎng)接入，以實現(xiàn)安全連接；可用于實現(xiàn)企業(yè)網(wǎng)站之間安全通信的虛擬專用線路，用于經(jīng)濟有效地連接到商業(yè)伙伴和用戶的安全外聯(lián)網(wǎng)虛擬專用網(wǎng)。2.9 pvstpvst: per-vlan spanning tree（每vlan生成樹） pvst是解決在虛擬局域網(wǎng)上處理生成樹的cisco特有解決方案pvst為每個虛擬局域網(wǎng)運行單獨的生成樹實例一般情況下pvst要求在交換機之間的中繼鏈路上運行cisco的isl。 每vlan生成

28、樹 (pvst)為每個在網(wǎng)絡(luò)中配置的vlan維護一個生成樹實例。它使用isl中繼和允許一個vlan中繼當(dāng)被其它vlans的阻塞時將一些vlans轉(zhuǎn)發(fā)。盡管pvst對待每個vlan作為一個單獨的網(wǎng)絡(luò)，它有能力(在第2層)通過一些在主干和其它在另一個主干中的不引起生成樹循環(huán)的vlans中的一些vlans來負載平衡通信。2.10 dns域名系統(tǒng)dns (domain name system) 是因特網(wǎng)使用的命名系統(tǒng)，用來把便于人們使用的機器名字轉(zhuǎn)換為ip地址。域名系統(tǒng)其實就是名字系統(tǒng)。因為在這種因特網(wǎng)的命名系統(tǒng)中使用了許多的“域”（domain），因此就出現(xiàn)了“域名”這個名詞。它是由解析器和域名服務(wù)

29、器組成的。域名服務(wù)器是指保存有該網(wǎng)絡(luò)中所有主機的域名和對應(yīng)ip地址，并具有將域名轉(zhuǎn)換為ip地址功能的服務(wù)器。其中域名必須對應(yīng)一個ip地址，而ip地址不一定有域名。域名系統(tǒng)采用類似目錄樹的等級結(jié)構(gòu)。域名服務(wù)器為客戶機/服務(wù)器模式中的服務(wù)器方，它主要有兩種形式：主服務(wù)器和轉(zhuǎn)發(fā)服務(wù)器。將域名映射為ip地址的過程就稱為“域名解析”。在internet上域名與ip地址之間是一對一（或者多對一）的，域名雖然便于人們記憶，但機器之間只認ip地址，它們之間的轉(zhuǎn)換工作稱為域名解析，域名解析需要由專門的域名解析服務(wù)器來完成，dns就是進行域名解析的服務(wù)器。dns 命名用于internet等tcp/ip網(wǎng)絡(luò)中，通過

30、用戶友好的名稱查找計算機和服務(wù)。當(dāng)用戶在應(yīng)用程序中輸入 dns 名稱時，dns 服務(wù)可以將此名稱解析為與之相關(guān)的其他信息，如 ip 地址。因為，你在上網(wǎng)時輸入的網(wǎng)址，是通過域名解析系統(tǒng)解析找到了相對應(yīng)的ip地址，這樣才能上網(wǎng)。其實，域名的最終指向是ip。2.11 hsrphsrp：熱備份路由器協(xié)議（hsrp：hot standby router protocol）熱備份路由器協(xié)議（hsrp）的設(shè)計目標是支持特定情況下 ip 流量失敗轉(zhuǎn)移不會引起混亂、并允許主機使用單路由器，以及即使在實際第一跳路由器使用失敗的情形下仍能維護路由器間的連通性。換句話說，當(dāng)源主機不能動態(tài)知道第一跳路由器的 ip 地

31、址時，hsrp 協(xié)議能夠保護第一跳路由器不出故障。該協(xié)議中含有多種路由器，對應(yīng)一個虛擬路由器。hsrp 協(xié)議只支持一個路由器代表虛擬路由器實現(xiàn)數(shù)據(jù)包轉(zhuǎn)發(fā)過程。終端主機將它們各自的數(shù)據(jù)包轉(zhuǎn)發(fā)到該虛擬路由器上。負責(zé)轉(zhuǎn)發(fā)數(shù)據(jù)包的路由器稱之為主動路由器（active router）。一旦主動路由器出現(xiàn)故障，hsrp 將激活備份路由器（standby routers）取代主動路由器。hsrp 協(xié)議提供了一種決定使用主動路由器還是備份路由器的機制，并指定一個虛擬的 ip 地址作為網(wǎng)絡(luò)系統(tǒng)的缺省網(wǎng)關(guān)地址。如果主動路由器出現(xiàn)故障，備份路由器（standby routers）承接主動路由器的所有任務(wù)，并且不會導(dǎo)

32、致主機連通中斷現(xiàn)象。第三章 用戶需求分析3.1中小型企業(yè)需求分析為適應(yīng)企業(yè)信息化的發(fā)展，滿足日益增長的通信需求和網(wǎng)絡(luò)的穩(wěn)定運行，今天的企業(yè)網(wǎng)絡(luò)建設(shè)比傳統(tǒng)企業(yè)網(wǎng)絡(luò)建設(shè)有更高的要求，本文將通過對如下幾個方面的需求分析來規(guī)劃出一套最適用于目標網(wǎng)絡(luò)的拓撲結(jié)構(gòu)。3.2.1 寬帶性能需求現(xiàn)代大型企業(yè)網(wǎng)絡(luò)應(yīng)具有更高的帶寬，更強大的性能，以滿足用戶日益增長的通信需求。隨著計算機技術(shù)的高速發(fā)展，基于網(wǎng)絡(luò)的各種應(yīng)用日益增多，今天的企業(yè)網(wǎng)絡(luò)已經(jīng)發(fā)展成為一個多業(yè)務(wù)承載平臺。不僅要繼續(xù)承載企業(yè)的辦公自動化，web瀏覽等簡單的數(shù)據(jù)業(yè)務(wù)，還要承載涉及企業(yè)生產(chǎn)運營的各種業(yè)務(wù)應(yīng)用系統(tǒng)數(shù)據(jù)，以及帶寬和時延都要求很高的ip電話、視

33、頻會議等多媒體業(yè)務(wù)。因此，數(shù)據(jù)流量將大大增加，尤其是對核心網(wǎng)絡(luò)的數(shù)據(jù)交換能力提出了前所未有的要求。另外，隨著千兆位端口成本的持續(xù)下降，千兆位到桌面的應(yīng)用會在不久的將來成為企業(yè)網(wǎng)的主流。從2004年全球交換機市場分析可以看到，增長最迅速的就是10 gbps級別機箱式交換機，可見，萬兆位的大規(guī)模應(yīng)用已經(jīng)真正開始。所以，今天的企業(yè)網(wǎng)絡(luò)已經(jīng)不能再用百兆位到桌面千兆位骨干來作為建網(wǎng)的標準，核心層及骨干層必須具有萬兆位級帶寬和處理性能，才能構(gòu)筑一個暢通無阻的高品質(zhì)大型企業(yè)網(wǎng)，從而適應(yīng)網(wǎng)絡(luò)規(guī)模擴大，業(yè)務(wù)量日益增長的需要。3.2.2 穩(wěn)定可靠需求現(xiàn)代大型企業(yè)的網(wǎng)絡(luò)應(yīng)具有更全面的可靠性設(shè)計，以實現(xiàn)網(wǎng)絡(luò)通信的實時

34、暢通，保障企業(yè)生產(chǎn)運營的正常進行。隨著企業(yè)各種業(yè)務(wù)應(yīng)用逐漸轉(zhuǎn)移到計算機網(wǎng)絡(luò)上來，網(wǎng)絡(luò)通信的無中斷運行已經(jīng)成為保證企業(yè)正常生產(chǎn)運營的關(guān)鍵?，F(xiàn)代大型企業(yè)網(wǎng)絡(luò)在可靠性設(shè)計方面主要應(yīng)從以下3個方面考慮。設(shè)備的可靠性設(shè)計：不僅要考察網(wǎng)絡(luò)設(shè)備是否實現(xiàn)了關(guān)鍵部件的冗余備份，還要從網(wǎng)絡(luò)設(shè)備整體設(shè)計架構(gòu)、處理引擎種類等多方面去考察。業(yè)務(wù)的可靠性設(shè)計：網(wǎng)絡(luò)設(shè)備在故障倒換過程中，是否對業(yè)務(wù)的正常運行有影響。鏈路的可靠性設(shè)計：以太網(wǎng)的鏈路安全來自于多路徑選擇，所以在企業(yè)網(wǎng)絡(luò)建設(shè)時，要考慮網(wǎng)絡(luò)設(shè)備是否能夠提供有效的鏈路自愈手段，以及快速重路由協(xié)議的支持。3.2.3 服務(wù)質(zhì)量需求現(xiàn)代大型企業(yè)網(wǎng)絡(luò)需要提供完善的端到端qos

35、保障，以滿足企業(yè)網(wǎng)多業(yè)務(wù)承載的需求。大型企業(yè)網(wǎng)絡(luò)承載的業(yè)務(wù)不斷增多，單純的提高帶寬并不能夠有效地保障數(shù)據(jù)交換的暢通無阻，所以今天的大型企業(yè)網(wǎng)絡(luò)建設(shè)必須要考慮到網(wǎng)絡(luò)應(yīng)能夠智能識別應(yīng)用事件的緊急和重要程度，如視頻、音頻、數(shù)據(jù)流（mis、erp、oa、備份數(shù)據(jù)）。同時能夠調(diào)度網(wǎng)絡(luò)中的資源，保證重要和緊急業(yè)務(wù)的帶寬、時延、優(yōu)先級和無阻塞的傳送，實現(xiàn)對業(yè)務(wù)的合理調(diào)度才是一個大型企業(yè)網(wǎng)絡(luò)提供高品質(zhì)服務(wù)的保障。3.2.4 網(wǎng)絡(luò)安全需求現(xiàn)代大型企業(yè)網(wǎng)絡(luò)應(yīng)提供更完善的網(wǎng)絡(luò)安全解決方案，以阻擊病毒和黑客的攻擊，減少企業(yè)的經(jīng)濟損失。傳統(tǒng)企業(yè)網(wǎng)絡(luò)的安全措施主要是通過部署防火墻、ids、殺毒軟件，以及配合交換機或路由器

36、的acl來實現(xiàn)對病毒和黑客攻擊的防御，但實踐證明這些被動的防御措施并不能有效地解決企業(yè)網(wǎng)絡(luò)的安全問題。在企業(yè)網(wǎng)絡(luò)已經(jīng)成為公司生產(chǎn)運營的重要組成部分的今天，現(xiàn)代企業(yè)網(wǎng)絡(luò)必須要有一整套從用戶接入控制，病毒報文識別到主動抑制的一系列安全控制手段，這樣才能有效地保證企業(yè)網(wǎng)絡(luò)的穩(wěn)定運行。3.2.5 應(yīng)用服務(wù)需求現(xiàn)代大型企業(yè)網(wǎng)絡(luò)應(yīng)具備更智能的網(wǎng)絡(luò)管理解決方案，以適應(yīng)網(wǎng)絡(luò)規(guī)模日益擴大，維護工作更加復(fù)雜的需要。當(dāng)前的網(wǎng)絡(luò)已經(jīng)發(fā)展成為以應(yīng)用為中心的信息基礎(chǔ)平臺，網(wǎng)絡(luò)管理能力的要求已經(jīng)上升到了業(yè)務(wù)層次，傳統(tǒng)的網(wǎng)絡(luò)設(shè)備的智能已經(jīng)不能有效支持網(wǎng)絡(luò)管理需求的發(fā)展。比如，網(wǎng)絡(luò)調(diào)試期間最消耗人力與物力的線纜故障定位工作，網(wǎng)

37、絡(luò)運行期間對不同用戶靈活的服務(wù)策略部署、訪問權(quán)限控制、以及網(wǎng)絡(luò)日志審計和病毒控制能力等方面的管理工作，由于受網(wǎng)絡(luò)設(shè)備功能本身的限制，都還屬于費時、費力的任務(wù)。所以現(xiàn)代的大型企業(yè)網(wǎng)絡(luò)迫切需要網(wǎng)絡(luò)設(shè)備具備支撐以應(yīng)用為中心的智能網(wǎng)絡(luò)運營維護的能力，并能夠有一套智能化的管理軟件，將網(wǎng)絡(luò)管理人員從繁重的工作中解脫出來。3.2 本網(wǎng)絡(luò)系統(tǒng)需求分析網(wǎng)絡(luò)聯(lián)接的建筑物有五個：三個辦公樓、一個行政樓和一個在外省的銷售部。管理部、財務(wù)部和網(wǎng)絡(luò)部在行政樓中；市場部在辦公樓a；銷售部和人力資源部在辦公樓b；研發(fā)部在辦公樓c。我們把網(wǎng)絡(luò)中心設(shè)在行政樓，用光纖連接辦公樓a、b、c，構(gòu)成公司網(wǎng)絡(luò)光纖主干網(wǎng)絡(luò)。企業(yè)服務(wù)器在行政

38、樓。辦公樓4個，行政樓1個，1劃分vlan 2vtp 動態(tài)學(xué)習(xí)vlan3pvst(選根，二層冗余)4svi（vlan間路由）5hsrp（三層冗余）6dhcp7根防護8靜態(tài)路由9site-to-site vpn（連接分公司，固定ip）10.dns11.acl12網(wǎng)管控制第四章 網(wǎng)絡(luò)設(shè)計4.1 設(shè)計網(wǎng)絡(luò)拓撲結(jié)構(gòu)主干網(wǎng)絡(luò)設(shè)計如下圖：采用上設(shè)計圖優(yōu)點如下：1， 結(jié)構(gòu)整齊，層次清晰，便于管理；2， 采用動態(tài)路由協(xié)議，維護簡單，擴展性好。4.2 vlan及ip地址規(guī)劃vlan號vlan名稱ip網(wǎng)段默認網(wǎng)關(guān)說明vlan 1 1/28管理vlanvlan 10glb17

39、/24管理部vlanvlan 20cwb/24財務(wù)部vlanvlan 30wlb/24網(wǎng)絡(luò)部vlanvlan 40scb/24市場部vlanvlan 50xsb/24銷售部vlanvlan 60rlzy/24人力資源部vlanvlan 70yfb/24研發(fā)部vlan4.3設(shè)備命名4.3.1 設(shè)備

40、命名規(guī)則為便于進行網(wǎng)絡(luò)故障診斷和遠程監(jiān)測，各個辦公樓將統(tǒng)一全轄網(wǎng)絡(luò)設(shè)備的命名。網(wǎng)絡(luò)系統(tǒng)中設(shè)備的命名使用五個字段組成，分別表示該設(shè)備所在區(qū)域，功能，層次，類型等，便于設(shè)備維護管理。設(shè)備名稱的字母全部采用大寫表示。主要網(wǎng)絡(luò)設(shè)備的id命名規(guī)則如下：a_b_c_d_e：a：辦公樓名稱（如a、b等）b：區(qū)域名稱（如核心區(qū)、服務(wù)器區(qū)、辦公區(qū)、管理區(qū)、等，也可表示名稱）c：區(qū)域?qū)哟危ㄈ鐓R聚層或接入層）d：設(shè)備類型（如核心交換機、路由器、防火墻、入侵檢測、等）e：設(shè)備序列號（如第一臺、第二臺、等）根據(jù)上述描述，每個字段做如下進一步的明確：a：樓名稱分行名稱標識行政樓xz辦公樓aab：區(qū)域名稱序號名稱描述1co

41、re核心區(qū)（core zone）2admin管理區(qū)（admin zone）3appsvr業(yè)務(wù)服務(wù)器區(qū)（app_server zone）4appusr業(yè)務(wù)用戶接入?yún)^(qū)（app_user zone5oausr辦公用戶接入?yún)^(qū)（oa_user zone）6oasvr辦公服務(wù)器區(qū)(oa_server zone)7dmzdmz區(qū)8ta終端接入?yún)^(qū)(terminal access zone)c：區(qū)域?qū)哟涡蛱柮Q區(qū)域1dl匯聚層（distribution layer）2al接入?yún)^(qū)（access layer）d：設(shè)備類型序號名稱描述1sw交換機2rt路由器3fw防火墻4ids入侵檢測系統(tǒng)e：設(shè)備序列號序號名稱描述1

42、1同區(qū)同層第臺設(shè)備22同區(qū)同層第2臺設(shè)備3例如：xz_core_sw_1：表示行政樓 核心區(qū)(core)核心交換機（sw）第一臺（1）；xz_admin_dl_sw_1：表示行政樓 管理區(qū)（admin）匯聚層（dl）交換機（sw）第一臺；4.3.1 全網(wǎng)設(shè)備命名下面是全網(wǎng)設(shè)備命名：序號名稱描述1xz_core_sw_1行政樓核心交換機12xz_core_sw_2行政樓核心交換機23xz_core_fw_1行政樓外聯(lián)防火墻14xz_core_fw_2行政樓外聯(lián)防火墻25xz_dmz_dl_sw行政樓dmz區(qū)匯聚交換機6xz_extconn_rt行政樓外聯(lián)路由器7a_dl_sw_1a樓匯聚交換機1

43、8a_dl_sw_2a樓匯聚交換機29*_al_sw_1*部接入交換機110b_dl_sw_1b樓匯聚交換機111b_dl_sw_2b樓匯聚交換機212*_al_sw_1*部接入交換機113c_dl_swc樓匯聚交換機14c_dl-sw_2c樓匯聚交換機215c_al_sw_1c樓接入交換機116ws_rt外省路由器4.4 模擬工具和環(huán)境介紹packet tracer 4.4.1 packet tracer 工具介紹packet tracer 是由cisco公司發(fā)布的一個輔助學(xué)習(xí)工具，為學(xué)習(xí)思科網(wǎng)絡(luò)課程的初學(xué)者去設(shè)計、配置、排除網(wǎng)絡(luò)故障提供了網(wǎng)絡(luò)模擬環(huán)境。用戶可以在軟件的圖形用戶界面上直接使用

44、拖曳方法建立網(wǎng)絡(luò)拓撲，并可提供數(shù)據(jù)包在網(wǎng)絡(luò)中行進的詳細處理過程，觀察網(wǎng)絡(luò)實時運行情況?？梢詫W(xué)習(xí)ios的配置、鍛煉故障排查能力。在界面的左下角一塊區(qū)域，這里有許多種類的硬件設(shè)備，從左至右，從上到下依次為路由器、交換機、集線器、無線設(shè)備、設(shè)備之間的連線（connections）、終端設(shè)備、仿真廣域網(wǎng)、custom made devices（自定義設(shè)備）。在左下邊你會看到各種類型的線，依次為automatically choose connection type（自動選線，萬能的，一般不建議使用，除非你真的不知道設(shè)備之間該用什么線）、控制線、直通線、交叉線、光纖、電話線、同軸電纜、dce、dte。其

45、中dce和dte是用于路由器之間的連線，實際當(dāng)中，你需要把dce和一臺路由器相連，dte和另一臺設(shè)備相連。而在這里，你只需選一根就是了，若你選了dce這一根線，則和這根線先連的路由器為dce，配置該路由器時需配置時鐘。交叉線只在路由器和電腦直接相連，或交換機和交換機之間相連時才會用到。對設(shè)備進行編輯在右邊有一個區(qū)域，從上到下依次為選定/取消、移動（總體移動，移動某一設(shè)備，直接拖動它就可以了）、place note（先選中）、刪除、inspect（選中后，在路由器、pc機上可看到各種表，如路由表等）、simple ppd、complex。軟件界面的最右下角有兩個切換模式，分別是realtime

46、mode(實時模式)和simulation mode（模擬模式），實時模式顧名思意即時模式，也就是說是真實模式。舉個例子，兩臺主機通過直通雙絞線連接并將他們設(shè)為同一個網(wǎng)段，那么a主機pingb主機時，瞬間可以完成，這就是實時模式。而模擬模式，切換到模擬模式后主機a的cmd里將不會立即顯示icmp信息，而是軟件正在模擬這個瞬間的過程，以人類能夠理解的方式展現(xiàn)出來。圖 4.4.1 cisco packet tracer 模擬軟件4.4.2 本設(shè)計的模擬圖圖 4.4.2 本設(shè)計的模擬圖4.5 設(shè)備配置4.5.1 基礎(chǔ)配置以接入層交換機為例：圖 4.5.1 接入層交換機 圖 4.5.2 配置截圖swi

47、tchen 進入特權(quán)模式switch#conf t 進入全局模式enter configuration commands, one per line. end with cntl/z.switch(config)#hostname cw_al_sw_1 修改路由器或者交換機的名字，方便管理cw_al_sw_1(config)#no ip domain lookup 關(guān)閉域名查詢 啟用與禁止dns服務(wù)器，在交換機默認配置的情況下，當(dāng)我們輸入一條錯誤的交換機命令時，交換機會嘗試將其廣播給網(wǎng)絡(luò)上的dns服務(wù)器并將其解析成對應(yīng)的ip地址。利用命令no ip domain lookup，可以禁用dns服

48、務(wù)器，可以減少輸入錯誤命令的等待時間cw_al_sw_1(config)#line console 0進入concole 0口線程下，通過console線串口直接控制交換機或路由器接口設(shè)置登錄口令，如下圖：圖 4.5.3交換機密碼設(shè)置4.5.2 使用vtp從提高效率的角度出發(fā)，在企業(yè)網(wǎng)實現(xiàn)實例中使用了vtp技術(shù)。將匯聚層xz_dl_sw_1設(shè)置成為vtp服務(wù)器，其他交換機設(shè)置成為vtp客戶機。這里接入層交換機sw1將通過vtp獲得在分布層交換機fb1中定義的所有vlan的信息。下面是配置截圖：圖 4.5.4 行政樓匯聚層交換機vtp配置截圖xz_dl_sw_1#vlan database 特權(quán)

49、模式下進入vlan設(shè)置模式xz_dl_sw_1(vlan)#vtp domain cisco 定義vtp域名changing vtp domain name from null to ciscoxz_dl_sw_1(vlan)#vtp server 將該交換機設(shè)置為vtp的服務(wù)端device mode already vtp server.xz_dl_sw_1(vlan)#vtp v2-mode 啟用的vtp版本號為2v2 mode enabsled.xz_dl_sw_1(vlan)#vtp password 123456設(shè)置vtp的密碼為123456，交換機的vtp必須密碼一致才能同步set

50、ting device vlan database password to 123456.xz_dl_sw_1(vlan)#vtp pruning 啟用vtp修剪，激活vtp剪裁功能，默認情況下主干道傳輸所有vlan的用戶數(shù)據(jù)。有時，交換網(wǎng)絡(luò)中某臺交換機的所有端口都屬于同一vlan的成員，沒有必要接收其他vlan的用戶數(shù)據(jù)。這時，可以激活主干道上的vtp剪裁功能。當(dāng)激活了vtp剪裁功能以后，交換機將自動剪裁本交換機沒有定義的vlan數(shù)據(jù)。在一個vtp域下，只需要在vtp服務(wù)器上激活vtp剪裁功能。同一vtp域下的所有其他交換機也將自動激活vtp剪裁功能。退出vlan配置模式進入特權(quán)模式appl

51、y completed.exiting.其他設(shè)備配置（配置成用戶端）下面以cw_al_sw_1為例：圖 4.5.5 交換機vtp客戶模式配置cw_al_sw_1#vlan dacw_al_sw_1(vlan)#vtp domain ciscochanging vtp domain name from null to ciscocw_al_sw_1(vlan)#vtp client將fb2設(shè)置為客戶端，客戶端可以學(xué)習(xí)到服務(wù)端的所有vlan信息?？蛻裟Ｊ绞菦]有創(chuàng)建、修改、刪除vlan得權(quán)利的，它只能接收和轉(zhuǎn)發(fā)信息。而服務(wù)器模式擁有以上的所用功能。setting device to vtp clie

52、nt mode.cw_al_sw_1(vlan)#vtp v2v2 mode enabled.cw_al_sw_1(vlan)#vtp password 123456setting device vlan database password to 123456.cw_al_sw_1(vlan)#exitapply completed.exiting.4.5.3 創(chuàng)建vlan在xz_dl_sw_1配置vlan 數(shù)據(jù)庫。配置截圖如下：圖 4.5.6 vlan 配置4.5.4 交換鏈路封裝圖 4.5.7 交換鏈路封裝xz_dl_sw_2(config)#int fa 0/4進入要封裝的接口xz_dl

53、_sw_2(config-if)#switchport trunk encapsulation dot1q 進行封裝xz_dl_sw_2(config-if)#switchport mode trunk指定封裝模式xz_dl_sw_2(config-if)#no shutdown開啟接口xz_dl_sw_2(config)#interface fastethernet 0/0xz_dl_sw_2(config-if)#switchport trunk encapsulation dot1q xz_dl_sw_2(config-if)#switchport mode trunkxz_dl_sw_

54、2(config-if)#no shutdown4.5.5 nat圖 4.5.8 靜態(tài)nat配置圖 4.5.9 動態(tài)nat配置xz_wl_rtenpassword: xz_wl_rt#configconfiguring from terminal, memory, or network terminal? tenter configuration commands, one per line. end with cntl/z.xz_wl_rt(config)#ip nat pool nat 53 netmask 配置動態(tài)nat

55、轉(zhuǎn)換的地址池xz_wl_rt(config)#ip nat pool nat 54 netmask xz_wl_rt(config)#ip nat inside source list 1 pool nat配置動態(tài)nat轉(zhuǎn)換的內(nèi)部地址范圍xz_wl_rt(config)#access-list 1 permit 55xz_wl_rt(config)#int se 2/0xz_wl_rt(config-if)#ip nat outsidexz_wl_rt(config-if)#exxz_

56、wl_rt(config)#int fa 0/0xz_wl_rt(config-if)#ip nat insidexz_wl_rt(config-if)#exxz_wl_rt(config)#圖 4.5.10 查看nat轉(zhuǎn)換的統(tǒng)計信息4.5.6 dhcp/dns圖 4.5.11 配置dhcpxz_dl_sw(config)#ip dhcp excluded-address xz_dl_sw(config)#ip dhcp excluded-address xz_dl_sw(config)#ip dhcp excluded-address xz_dl_sw(config)#ip dhcp