中小型企業(yè)網(wǎng)絡規(guī)劃及實施方案

1、信息工程學院2011年12 月 11 日目 錄第一章 項目概述11.1項目背景11.2項目目標11.2.1本期目標11.2.2 本期項目環(huán)境要求11.2.3 本期項目所需設備2第二章 技術介紹22.1 SVI22.2端口安全22.3端口聚合22.4 快速生成樹協(xié)議（RSTP）32.5 VRRP32.6 ACL32.7 RIP32.8 NAT32.9 CHAP42.10 VPN4第三章 解決方案43.1 規(guī)劃場景43.2 網(wǎng)絡實施拓撲53.3 網(wǎng)絡實施分析53.4 項目實施流程63.6設備命名規(guī)則63.7接口描述規(guī)則73.8 IP地址規(guī)劃73.9 VLAN規(guī)劃9第四章 設備配置94.1 設備配置

2、命令文檔94.2 交換機配置204.2.1劃分VLAN204.2.2端口安全配置及測試274.2.3 VRRP配置314.2.4 端口聚合和快速生成樹配置及測試334.2.5 擴展訪問控制列表的配置384.3 路由器配置434.3.1路由協(xié)議的配置及chap的配置434.3.2配置NAT轉換494.4 VPN配置及測試524.5整體測試58第五章 服務器配置及測試665.1 FTP服務器的配置與測試665.2 WEB服務器的搭建與測試70第六章 系統(tǒng)優(yōu)化方案746.1當前網(wǎng)絡目前存在的問題756.2網(wǎng)絡優(yōu)化目標75第七章 工程總結75華夏企業(yè)網(wǎng)絡規(guī)劃及實施方案 第一章 項目概述1.1項目背景

3、“功欲善其事，必先利其器”，華夏企業(yè)深刻認識到業(yè)務要發(fā)展、必須提高企業(yè)內部核心競爭力、而建立一個方便快捷安全的通信網(wǎng)絡綜合信息支撐系統(tǒng)，已迫在眉睫，計劃建設新的企業(yè)園區(qū)網(wǎng)絡，希望通過這個新建的網(wǎng)絡，提供一個安全、可靠、可擴展、高效的網(wǎng)絡環(huán)境，將自己的分公司與總公司兩個辦公地點連接到一起，使公司內部能夠方便快捷地實現(xiàn)網(wǎng)絡資源共享、全網(wǎng)接入Internet等目標，同時實現(xiàn)公司內部的消息保密隔離，以及對于公網(wǎng)的安全訪問。1.2項目目標 1.2.1本期目標 為了確保關鍵應用的正常運行，安全實施，企業(yè)網(wǎng)絡必須具備如下特性： (1)采用先進通信技術完成公司網(wǎng)絡建設，連接兩個距離較遠的公司網(wǎng)絡辦公地點。 (

4、2)為了提高數(shù)據(jù)的傳輸速率，在整個公司內部網(wǎng)絡內控制廣播域的范圍。 (3)在整個公司網(wǎng)絡內實現(xiàn)資源共享，并保證骨干網(wǎng)絡的高可靠性。 (4)公司內部網(wǎng)絡中實現(xiàn)高效的路由選擇。 (5)構造一個既能覆蓋本地又能與外界進行網(wǎng)絡互通、共享信息、展示企業(yè)的計算機企業(yè)網(wǎng); (6)選用技術先進、具有容錯能力的網(wǎng)絡產品，在投資和條件允許的情況下也可采用結構容錯的方法； (7)完全符合開放性規(guī)范，將業(yè)界優(yōu)秀的產品集成于該綜合網(wǎng)絡平臺之中； (8)具有較好的可擴展性，為今后的網(wǎng)絡擴容作好準備 ； (9)整個公司計劃采用10M光纖接入到運營商提供的Internet。集團統(tǒng)一一個出口，便于控制網(wǎng)絡安全； (10)設備選

5、型上必須在技術上具有先進性，通用性，且必須便于管理，維護。應具備未來良好的可擴展性，可升級性，保護公司的投資。設備要在滿足該項目的功能和性能上還具有良好的性價比。設備在選型上要是擁有足夠實力和市場份額的主流產品。 1.2.2 本期項目環(huán)境要求 （1）該公司具有兩個公司網(wǎng)絡，且相距較遠。 （2）公司A為總公司，辦公點具有的部門較多，如業(yè)務部，綜合部等，為主要的辦公場所，因此這部分的交換網(wǎng)絡對可用性和可靠性要求較高。 （3）B辦公地點只有較少辦公人員，但是Internet的接入點在這里。 （4）該公司網(wǎng)絡已經申請到了若干公司IP地址，供公司內網(wǎng)接入使用。 （5）公司內網(wǎng)使用私有地址。 （6）本公司

6、移動辦公人員較多1.2.3 本期項目所需設備設備名稱：設備型號：設備數(shù)量：備注：路由器RG-17004臺用在核心層使得能夠在網(wǎng)絡的不同部分之間高效、快速地傳輸數(shù)據(jù)三層交換機RG-S3750-242臺用在匯聚層，根據(jù)處理結果將用戶流量轉發(fā)到核心交換層或在本地進行路由處理等等二層交換機RG-S226G2臺用在接入層，允許終端用戶連接到網(wǎng)絡第2章 技術介紹 2.1 SVISVI是交換機虛擬接口。用于三層交換機跨vlan間路由。具體可以用interface vlan接口配置命令來創(chuàng)建svi,然后為其配置ip地址即可實現(xiàn)路由功能。 2.2端口安全 最常用的對端口安全的理解就是可根據(jù)MAC地址來做對網(wǎng)絡流

7、量的控制和管理，比如MAC地址與具體的端口綁定，限制具體端口通過的MAC地址的數(shù)量，或者在具體的端口不允許某些MAC地址的幀流量通過。 2.3端口聚合 端口聚合主要用于交換機之間連接。由于兩個交換機之間有多條冗余鏈路的時候，STP會將其中的幾條鏈路關閉，只保留一條，這樣可以避免二層的環(huán)路產生。但是，失去了路徑冗余的優(yōu)點，因為STP的鏈路切換會很慢，在50s左右。使用以太通道的話，交換機會把一組物理端口聯(lián)合起來，做為一個邏輯的通道，也就是channelgroup，這樣交換機會認為這個邏輯通道為一個端口。 2.4 快速生成樹協(xié)議（RSTP） RSTP：快速生成樹協(xié)議（rapid spanning

8、Tree Protocol ）：802.1w由802.1d發(fā)展而成，這種協(xié)議在網(wǎng)絡結構發(fā)生變化時，能更快的收斂網(wǎng)絡。它比802.1d多了兩種端口類型：預備端口類型（alternate port）和備份端口類型。 STP（Spanning Tree Protocol ）是生成樹協(xié)議的英文縮寫。該協(xié)議可應用于環(huán)路網(wǎng)絡，通過一定的算法實現(xiàn)路徑冗余，同時將環(huán)路網(wǎng)絡修剪成無環(huán)路的樹型網(wǎng)絡，從而避免報文在環(huán)路網(wǎng)絡中的增生和無限循環(huán)。 2.5 VRRP虛擬路由器冗余協(xié)議（VRRP）是一種選擇協(xié)議，它可以把一個虛擬路由器的責任動態(tài)分配到局域網(wǎng)上的 VRRP 路由器中的一臺?？刂铺摂M路由器 IP 地址的 VRR

9、P 路由器稱為主路由器，它負責轉發(fā)數(shù)據(jù)包到這些虛擬 IP 地址。一旦主路由器不可用，這種選擇過程就提供了動態(tài)的故障轉移機制，這就允許虛擬路由器的 IP 地址可以作為終端主機的默認第一跳路由器。使用 VRRP 的好處是有更高的默認路徑的可用性而無需在每個終端主機上配置動態(tài)路由或路由發(fā)現(xiàn)協(xié)議。 VRRP 包封裝在 IP 包中發(fā)送。 2.6 ACL訪問控制列表（Access Control List，ACL） 是路由器和交換機接口的指令列表，用來控制端口進出的數(shù)據(jù)包。ACL適用于所有的被路由協(xié)議，如IP、IPX、AppleTalk等。這張表中包含了匹配關系、條件和查詢語句，表只是一個框架結構，其目的

10、是為了對某種訪問進行控制。 2.7 RIP路由信息協(xié)議（RIP）是一種在網(wǎng)關與主機之間交換路由選擇信息的標準。RIP 是一種內部網(wǎng)關協(xié)議。在國家性網(wǎng)絡中如當前的因特網(wǎng)，擁有很多用于整個網(wǎng)絡的路由選擇協(xié)議。作為形成網(wǎng)絡的每一個自治系統(tǒng)，都有屬于自己的路由選擇技術，不同的 AS 系統(tǒng)，路由選擇技術也不同。 2.8 NAT網(wǎng)絡地址轉換(NAT,Network Address Translation)屬接入廣域網(wǎng)(WAN)技術，是一種將私有（保留）地址轉化為合法IP地址的轉換技術，它被廣泛應用于各種類型Internet接入方式和各種類型的網(wǎng)絡中。原因很簡單，NAT不僅完美地解決了lP地址不足的問題，而

11、且還能夠有效地避免來自網(wǎng)絡外部的攻擊，隱藏并保護網(wǎng)絡內部的計算機。 2.9 CHAPCHAP全稱是PPP（點對點協(xié)議）詢問握手認證協(xié)議 （Challenge Handshake Authentication Protocol）。該協(xié)議可通過三次握手周期性的校驗對端的身份，可在初始鏈路建立時完成時，在鏈路建立之后重復進行。通過遞增改變的標識符和可變的詢問值，可防止來自端點的重放攻擊，限制暴露于單個攻擊的時間。 2.10 VPN虛擬專用網(wǎng)絡（Virtual Private Network ，簡稱VPN)指的是在公用網(wǎng)絡上建立專用網(wǎng)絡的技術。其之所以稱為虛擬網(wǎng)，主要是因為整個VPN網(wǎng)絡的任意兩個節(jié)點

12、之間的連接并沒有傳統(tǒng)專網(wǎng)所需的端到端的物理鏈路，而是架構在公用網(wǎng)絡服務商所提供的網(wǎng)絡平臺，如Internet、ATM(異步傳輸模式、Frame Relay （幀中繼）等之上的邏輯網(wǎng)絡，用戶數(shù)據(jù)在邏輯鏈路中傳輸。它涵蓋了跨共享網(wǎng)絡或公共網(wǎng)絡的封裝、加密和身份驗證鏈接的專用網(wǎng)絡的擴展。VPN主要采用了彩隧道技術、加解密技術、密鑰管理技術和使用者與設備身份認證技術。第三章 解決方案3.1 規(guī)劃場景規(guī)劃場景如下圖所示：3.2 網(wǎng)絡實施拓撲網(wǎng)絡實施拓撲如下圖所示：3.3 網(wǎng)絡實施分析 1.在接入層使用二層交換機，在接入層交換機上劃分vlan，則可以實現(xiàn)對廣播域的隔離，財務部vlan10，人事部vlan2

13、0，業(yè)務部vlan30，策劃部vlan40，技術部vlan50，工程部vlan60. 2.建設雙核心的高可靠性網(wǎng)絡，核心交換互為備份。為充分發(fā)揮設備的性能，兩臺核心交換承擔不同用戶數(shù)據(jù)負載。交換機之間的鏈路配置為Trunk鏈路，三層交換機上采用SVI方式實現(xiàn)vlan之間的路由。 3.兩臺核心交換機之間采用雙鏈路連接，在兩臺三層交換機之間配置端口聚合，以提高帶寬。4. 接入交換機的Access端口上采用端口安全的方式實現(xiàn)對允許的連接數(shù)量的控制，以提高網(wǎng)絡的安全性。5. 為了提高網(wǎng)絡的可靠性，整個交換網(wǎng)絡內配置RSTP，以避免環(huán)路帶來的影響6.兩臺三層交換上配置路由接口，連接A辦公地點的路由器R1

14、，并在R1和R2分別配置接口IP地址。并啟用RIP路由協(xié)議，實現(xiàn)全網(wǎng)互通。7.R1和R2辦公地點的路由器R2之間通過廣域網(wǎng)鏈路連接，在R1和R2的廣域網(wǎng)接口上配置chap協(xié)議提供一定的安全性。8.兩臺三層交換機上配置默認路由，指向R1；R1上配置配置默認路由指向R2；R2上配置默認路由指向連接到因特網(wǎng)的下一條地址。9.在R2上配置NAT方式實現(xiàn)企業(yè)內網(wǎng)僅用少量公網(wǎng)IP地址到因特網(wǎng)的訪問。10.在S2上，用ACL實現(xiàn)財務部可以訪問WEB服務器和FTP服務器，其他部門都能訪問WWW服務但不能訪問FTP服務器。11.通過VPN實現(xiàn)移動辦公人員，分公司與總公司的通信。3.4 項目實施流程 1.在核心交

15、換機（型號RG-S3750-24）與接入交換機（型號RG-S2261G）上分別創(chuàng)建相應的VLAN； 2.核心交換機與接入交換機之間建立TRUNK鏈路；3.兩臺核心交換機直接通過雙鏈路相連，實現(xiàn)端口聚合； 4.在全部交換機上配置RSTP，指定兩臺三層交換機分別為根網(wǎng)橋和備份根網(wǎng)橋； 5.在接入交換機的access鏈路上實現(xiàn)端口安全；6.配置三層交換機的VLAN間路由功能； 7.在三層交換機的路由端口、R1和R2上配置接口IP地址； 8.R1和R2配置廣域網(wǎng)鏈路，啟用PPP協(xié)議和配置CHAP認證； 9.運用RIPV2路由協(xié)議配置企業(yè)內網(wǎng)的路由，用靜態(tài)路由實現(xiàn)企業(yè)內網(wǎng)到互聯(lián)網(wǎng)的訪問； 10.在路由器

16、R1上做NAT實現(xiàn)內網(wǎng)對外網(wǎng)的訪問；11.建立WEB、FTP服務器，使企業(yè)內網(wǎng)實現(xiàn)資源共享； 12.為了控制內網(wǎng)對互聯(lián)網(wǎng)的訪問，在路由器上作訪問控制列表；13. 在總公司與分公司之間建立VPN連接。3.6設備命名規(guī)則 為了標識網(wǎng)絡設備、便于管理網(wǎng)絡設備，應該為網(wǎng)絡中每一臺設備賦予名稱標識，設備命名的基本原則為： 1.能表示出網(wǎng)絡設備的類型； 2.能表示出網(wǎng)絡設備的物理位置； 3.能表示出網(wǎng)絡設備所屬的網(wǎng)絡層次； 4.相同物理位置和網(wǎng)絡層次的網(wǎng)絡設備由不同序號區(qū)分； 5.能反映出該設備的業(yè)務屬性和網(wǎng)元功能。 本次工程的設備命名規(guī)范如下：交換機命名以SW開頭，路由器命名以R開頭，服務器命名以Ser

17、ver開頭。舉例說明：比如說二層交換機SW1，SW2，路由器R1,R2。3.7接口描述規(guī)則 為了標識設備端口，便于后期維護，應為沒一個接口設置接口描述，接口描述的基本規(guī)則為： 1.能表示出端口的對端網(wǎng)元設備 2.能表示出端口的類型 3.能反映出對端端口所在板卡的物理槽位 本次工程的接口描述規(guī)范如下：快速以太網(wǎng)口用f開頭，串口用S開頭。舉例說明：例如交換機SW1的快速以太網(wǎng)口f0/10端口，路由器R1的串口S0/1/0端口。3.8 IP地址規(guī)劃 IP地址規(guī)劃的結果直接影響到網(wǎng)絡運行的質量，以下是幾點IP地址規(guī)劃的基本原則： 1.唯一性： 一個IP網(wǎng)絡中不能有兩個主機采用相同的IP地址。即使使用了

18、支持地址重疊的MPLS/VPN技術，也盡量不要規(guī)劃為相同的地址。 2.連續(xù)性：連續(xù)地址在層次結構網(wǎng)絡中易于進行路徑疊合，大大縮減路由表，提高路由算法的效率。 3.擴展性：地址分配在每一層次上都要留有余量，在網(wǎng)絡規(guī)模擴展時能保證地址疊合所需的連續(xù)性。 4.實義性：“望址生義”，好的IP地址規(guī)劃使每個地址具有實際含義，看到一個地址就可以大至判斷出該地址所屬的設備。這是IP地址規(guī)劃中最具技巧型和藝術性的部分。最完美的方式是得出一個IP地址公式，以及一些參數(shù)及系數(shù)，通過計算得出每一個需要用到的IP地址。各部門地址分配如下所示：部門名稱：IP地址（子網(wǎng)掩碼均為24位）：財務部-17

19、人事部-業(yè)務部-工程部-策劃部-技術部-網(wǎng)絡設備接口地址如下所示：設備名稱：端口號：IP地址：三層交換機1Fa0/24/24三層交換機2Fa0/24/24Fa0/6/24R1Fa1/0/24Fa1//24Se0/1/0/24R2Se0/0/0172.16

20、.1.2/24Se0/1/0/24R3(ISP路由器)Se0/0/0/24Se0/0/1/24R4Se0/0/0/24Fa0/0/24分公司其中一臺PCFastEthernet/24FTP服務器FastEthernet/24WEB服務器FastEthernet/243.9 VLAN規(guī)劃部門VLAN財務部10人事部20業(yè)務部30工程部40策劃部50技術部60第4章 設備配置4.1 設備配置命令文檔設備配置命令財務部代表PC機1IP：1

21、 子網(wǎng)掩碼： 網(wǎng)關：人事部代表PC機1IP： 子網(wǎng)掩碼： 網(wǎng)關：業(yè)務部代表PC機1IP： 子網(wǎng)掩碼： 網(wǎng)關：工程部代表PC機1IP： 子網(wǎng)掩碼： 網(wǎng)關：策劃部代表PC機1IP： 子網(wǎng)掩碼： 網(wǎng)關：技術部代表PC機1IP： 子網(wǎng)掩碼

22、： 網(wǎng)關：SW1（注：此代碼在特權模式下輸入）config tHostname sw1vlan 10 vlan 20vlan 30exitinterface fa 0/3 switchport mode accessswitchport access vlan 10 /將財務部劃入vlan 10exitinterface fa 0/4switchport mode accessswitchport access vlan 20 /將人事部劃入vlan 20exitinterface fa 0/5switchport mode accessswit

23、chport access vlan 30 /將業(yè)務部劃入 vlan30exitinterface range fa 0/1-2switchport mode accessswitchport mode trunkno shutdownExitconfi tinter range fa 0/6-24 /進入一組端口的配置模式switchport mode accessswitchport port-security /配置交換機的端口安全功能switchport port-security maximum 4 /設置最大允許連接數(shù)量為4switchport port-security viol

24、ation shutdownendSW2（注：此代碼在特權模式下輸入）config tHostname sw2vlan 40vlan 50vlan 60exitinterface fa 0/3switchport mode accessswitchport access vlan 40 /將工程部劃入vlan40exitinterface fa 0/4switchport mode accessswitchport access vlan 50 /將策劃部劃入vlan50exitinterface fa 0/5switchport mode access switchport access v

25、lan 60 /將技術部劃入vlan60exitinterface range fa 0/1-2switchport mode accessswitchport mode trunkno shutdownexitinter range fa 0/6-24 /進入一組端口的配置模式switchport mode accessswitchport port-security /配置交換機的端口安全功能switchport port-security maximum 4 /設置最大允許連接數(shù)量為4switchport port-security violation shutdown /配置安全違例的

26、處理方式為shutdownendSW3（注：此代碼在特權模式下輸入）config tHostnme sw3vlan 10vlan 20vlan 30exitinterface range fa 0/3-4 /交換機之間配置TRUNK鏈路switchport mode accessswitchport mode trunkno shutdownexitinterface aggregateport 1 /創(chuàng)建聚合接口AGIswitchport mode access switchport mode trunk /配置AG模式為trunk exitinterface range fa 0/1-2

27、/進入接口0/1和0/2port-group 1 /配置接口0/1和0/2屬于AGIexitspanning-tree /開啟生成樹協(xié)議spanning-tree mode rstp /指定生成樹協(xié)議的類型為RSTPinterface vlan 10 /配置SVIip address no shutdownexitinterface vlan 20ip address no shutdownexitinterface vlan 30ip address 255.255.2

28、55.0no shutdownexitinterface fa 0/24no switchportip address no shutdownexitip route /配置默認路由inter range fa 0/5-23 /進入一組端口的配置模式switchport mode accessswitchport port-security /配置交換機的端口安全功能switchport port-security maximum 4 /設置最大允許連接數(shù)量為4switchport port-secu

29、rity violation shutdown /配置安全違例的處理方式為shutdownexitinter vlan 10standby 2 priority 200 /配置優(yōu)先級standby 2 ip 54 /配置vrrp組和虛擬路由器的IP地址inter vlan 20standby 2 priority 160 /配置優(yōu)先級standby 2 ip 54 /配置vrrp組和虛擬路由器的IP地址inter vlan 30 standby 2 priority 120 /配置優(yōu)先級standby 2 ip 54 /配置vr

30、rp組和虛擬路由器的IP地址exitSW4（注：此代碼在特權模式下輸入）config tHostname sw4vlan 40vlan 50vlan 60exitinterface range fa 0/3-4switchport mode accessswitchport mode trunkno shutdownexitinterface aggregateport 1 /創(chuàng)建聚合接口AGIswitchport mode access switchport mode trunk /配置AG模式為trunk exitinterface range fa 0/1-2 /進入接口0/1和0/2p

31、ort-group 1 /配置接口0/1和0/2屬于AGIexitspanning-tree /開啟生成樹協(xié)議spanning-tree mode rstp /指定生成樹協(xié)議的類型為RSTPinterface vlan 40 /配置SVIip address no shutdownexitinterface vlan 50ip address no shutdownexitinterface vlan 60ip address no shutdo

32、wnexitinterface fa 0/24no switchportip address no shutdownexitinterface fa 0/6no switchportip address no shutdownexitip route inter range fa 0/5-23 /進入一組端口的配置模式switchport mode accessswitchport port-security /配置交換機的端口安全功能switchpor

33、t port-security maximum 4 /設置最大允許連接數(shù)量為4switchport port-security violation shutdown /配置安全違例的處理方式為shutdownexitinter vlan 10standby 2 priority 200 /配置優(yōu)先級standby 2 ip 54 /配置vrrp組和虛擬路由器的IP地址inter vlan 20standby 2 priority 160 /配置優(yōu)先級standby 2 ip 54 /配置vrrp組和虛擬路由器的IP地址inter vlan 30 st

34、andby 2 priority 120 /配置優(yōu)先級standby 2 ip 54 /配置vrrp組和虛擬路由器的IP地址Exitaccess-list 101 permit tcp 55 55 eq ftp /允許網(wǎng)段訪問網(wǎng)段上TCP協(xié)議的FTP服務器access-list 101 deny tcp any 55 eq ftp /拒絕任何主機訪問網(wǎng)段上TCP協(xié)議的FTP服務器access-l

35、ist 101 permit tcp any 55 eq www /允許任何主機訪問網(wǎng)段上TCP協(xié)議的FTP服務器access-list 101 permit ip any anyinterface fa0/6 /把編號為101的擴展訪問控制列表應用到fa0/6端口ip access-group 101 outexitR1（注：此代碼在特權模式下輸入）config tHostname r1interface fa 0/0 /在特權模式下進入F0/0口ip address /給F0/0配置I

36、P地址no shutdown exitinterface fa 0/1ip address no shutdownexitinterface se 0/1/0 /在特權模式下進入S0/1/0口ip address /給S0/1/0配置IP地址clock rate 64000 /設置時鐘同步no shutdownexitrouter rip /創(chuàng)建RIP路由進程version 2 /啟動RIP版本2進程network /發(fā)布自己所關聯(lián)的網(wǎng)絡network /發(fā)布自己所

37、關聯(lián)的網(wǎng)絡network /發(fā)布自己所關聯(lián)的網(wǎng)絡ip route /配置一條到達IP為的認路由ip route /配置一條到達IP為的默認路由ip route username R2 password 0 123 /以對方的主機名作為用戶名,密碼為123interface s0/1/0encapsulation ppp /把該接口封裝為PPP協(xié)議ppp authentication pap

38、/ PPP啟用PAP方式認證R2（注：此代碼在特權模式下輸入）config tHostname r2interface se 0/1/0 /在特權模式下進入S0/1/0口ip address /給S0/1/0配置IP地址clock rate 64000no shutdownexitinterface se 0/0/0ip address no shutdownexitcrypto isakmp policy 10 / ipsec第一階段，定義ISAKMP策略encryption 3des /加密方法

39、使用3des hash md5 /散列算法使用md5 authentication pre-share /認證方法使用預共享密鑰crypto isakmp key hx address /將ISAKMP預共享密鑰和對等體關聯(lián)，預共享密鑰為“hx”。crypto ipsec transform-set tim esp-3des esp-md5-hmac /設置ipsec轉換(交換)集。access-list 101 permit ip 55 55 /創(chuàng)建感興趣數(shù)據(jù)流crypto map tom 10

40、ipsec-isakmp /ipsec第二階段,設置加密圖match address 101set peer /加載感興趣流 set transform-set tim /設置對等體地址interface se 0/1/0crypto map tom /在接口上應用加密圖router rip /創(chuàng)建RIP路由進程version 2 /啟動RIP版本2進程network /發(fā)布自己所關聯(lián)的網(wǎng)絡network /發(fā)布自己所關聯(lián)的網(wǎng)絡ip route /配置默認路由ip route 0

41、.0.0.0 username R1 password 0 123 /以對方的主機名作為用戶名,密碼為123interface s0/0/0encapsulation ppp /把該接口封裝為PPP協(xié)議ppp authentication pap / PPP啟用PAP方式認證Exitinterface se 0/1/0ip nat outside /配置為外部接口exitinterface se 0/0/0ip nat inside /配置為內部接口access-list 1 permit 55 /配置允許地址轉換的內部本

42、地地址范圍access-list 1 permit 55access-list 1 permit 55access-list 1 permit 55access-list 1 permit 55access-list 1 permit 55ip nat pool hx netmask /定義內部網(wǎng)絡全局地址池ip nat inside so

43、urce list 1 pool hx /配置內部本地地址與內部全局地址的映射關系exitR3即ISP路由器（注：此代碼在特權模式下輸入）config t Hostname r3interface se 0/0/1ip address no shutdownexitinterface se 0/0/0ip address no shutdownexitrouter rip /創(chuàng)建RIP路由進程version 2 /啟動RIP版本2進程network /發(fā)布自己所關聯(lián)的網(wǎng)絡networ

44、k /發(fā)布自己所關聯(lián)的網(wǎng)絡ip route /配置到達非直連網(wǎng)絡的下一跳地址為ip route R4（注：此代碼在特權模式下輸入）config tHostname r4crypto isakmp policy 10 /ipsec第一階段，定義ISAKMP策略encr 3des /加密方法使用3deshash md5 /散列算法使用md5authentication pre-share /認證

45、方法使用預共享密鑰crypto isakmp key hx address /將ISAKMP預共享密鑰和對等體關聯(lián)，預共享密鑰為“hx”。crypto ipsec transform-set tim esp-3des esp-md5-hmac /設置ipsec轉換(交換)集crypto map tom 10 ipsec-isakmp / ipsec第二階段,設置加密圖set peer /加載感興趣流set transform-set tim /設置對等體地址match address 101access-list 101 permit ip 192.168

46、.1.0 55 55 /創(chuàng)建感興趣數(shù)據(jù)流interface se 0/0/0ip address clock rate 64000no shutdowncrypto map tom /在接口上應用加密圖interface FastEthernet0/0ip address no shutdownrouter rip /創(chuàng)建RIP路由進程version 2 /啟動RIP版本2進程network /發(fā)布自己所關聯(lián)的網(wǎng)絡netwo

47、rk /發(fā)布自己所關聯(lián)的網(wǎng)絡ip route /配置默認路由4.2 交換機配置4.2.1劃分VLAN1.在二層交換機1，2，三層交換機3,4上創(chuàng)建vlan10、20、30、40、50、60，輸入設備如下圖所示：二層交換機2，代碼如下：用戶模式下，三層交換機1，輸入設備如下圖所示：用戶模式下，三層交換機2，輸入設備如下圖所示：2.在二層交換機1上將3,4,5端口劃到vlan 10，vlan20，vlan30中，全局配置模式下代碼如下：輸入設備如下圖所示：二層交換機2上將3,4,5端口劃分到vlan 40，vlan50，

48、vlan60，全局配置模式下代碼如下：在二層交換機1和2上聯(lián)三層交換機1和2上的端口設置Trunk模式在三層交換機上采用SVI方式實現(xiàn)VLAN之間的路由pc1:/24pc2:/24pc1 ping pc2:跨交換機不同VLAN之間測試PC 與路由器 互PINGPC 與路由器 互PING同一臺交換機不同vlan下：PC 與PC 互PING4.2.2端口安全配置及測試1.在二層交換機s2上設置端口安全2.show port-securi

49、ty3.在二層交換機s1設置端口安全：4.在三層交換機s3上設置端口安全：5.在三層交換機s4上設置端口安全：4.2.3 VRRP配置1.在三層交換機上s4配置vrrp，配置的優(yōu)先級分別為：200，160，120。2.在三層交換機上s3配置vrrp，配置的優(yōu)先級分別為：200，160，120。4.2.4 端口聚合和快速生成樹配置及測試1.在三層交換機0上：劃分vlan2.設置trunk口：3.配置端口聚合：4.show ：5.快速生成樹：6.在三層交換機1上：劃分vlan:7.設置trunk口：8.配置端口聚合：9.show：10.快速生成樹：11.兩臺電腦：財務部()和工程部()的電腦互PING 相通12.去掉兩個三層交換機相連的2根線的其中一根。繼續(xù)PING?；ネā?.2.5 擴展訪問控制列表