小型企業(yè)局域網(wǎng)的設(shè)計(jì)畢業(yè)設(shè)計(jì)

可修改編輯摘要本設(shè)計(jì)方案是關(guān)于小型企業(yè)局域網(wǎng)的設(shè)計(jì)，設(shè)計(jì)方案分為兩個(gè)模塊：交換模塊和路由器模塊。根據(jù)各部門職能不同把交換模塊劃分為不同的兩個(gè)VLAN，從而減少了廣播沖突提高了傳輸效率，通過(guò)部署ACL限制用戶的訪問(wèn)，有效地保護(hù)敏感數(shù)據(jù)，提高了網(wǎng)絡(luò)安全性。借助交換機(jī)的路由功能，可以實(shí)現(xiàn)各VLAN間數(shù)據(jù)包高速轉(zhuǎn)發(fā)，解決VLAN之間的傳輸瓶頸。Internet接入功能主要通過(guò)路由器來(lái)實(shí)現(xiàn)，它的作用主要是建立外網(wǎng)和企業(yè)網(wǎng)的正常通信。使企業(yè)網(wǎng)的用戶訪問(wèn)Internet同時(shí)Internet用戶能在一定程度上訪問(wèn)企業(yè)網(wǎng)。通過(guò)配置NAT(NetAddressTranslation)，不僅是企業(yè)網(wǎng)用戶可以訪問(wèn)Internet，而且對(duì)外隱藏企業(yè)網(wǎng)內(nèi)部地址，從而實(shí)現(xiàn)地址保護(hù)。交換機(jī)的主要功能包括物理編址、網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)、錯(cuò)誤校驗(yàn)、幀序列以及流控。目前交換機(jī)還具備了一些新的功能，如對(duì)VLAN(虛擬局域網(wǎng))的支持、對(duì)鏈路匯聚的支持，甚至有的還具有防火墻的功能，極大地提高了辦公效率，同時(shí)免去了高昂的專線租用費(fèi)用。關(guān)鍵字：企業(yè)局域網(wǎng)、VLAN劃分、網(wǎng)絡(luò)地址轉(zhuǎn)換、訪問(wèn)控制Abstract精品doc可修改編輯Thisdesignisthedesignofthesmallenterpriselocalareanetwork(LAN),thedesignschemeisdividedintotwomodules：exchangeandroutermodule.AccordingtodifferentfunctionsofdepartmentstoexchangemoduleisdividedintotwodifferentVLAN,toimprovethetransmissionefficiency,therebyreducingthebroadcastconflictbydeployingACLrestrictuseraccess,effectivelyprotectingsensitivedata,improvethenetworksecurity.Usingswitchroutingfunction,canrealizehighspeedpacketforwardingamongdifferentVLAN,solvethetransmissionbottleneckbetweenvlans.MainlythroughtheroutertoInternetaccessfunction,itsroleismainlytoestablishthenetworkandenterprisenetworknormalcommunication.MaketheenterprisenetworkusersaccesstotheInternetatthesametime,Internetuserscanaccesstoenterprisenetworktosomeextent.ConfiguredNAT(.netAddressTranslation),notonlyistheenterprisenetworkuserscanaccesstheInternet,internalandexternalhiddenIntranetAddress,thusAddressprotectionisachieved.Themainfunctionofswitches,includingphysicaladdressing,networktopology,errorchecking,frames,andflowcontrol.Currentswitchalsohassomenewfeatures,suchassupportforVLAN(virtuallocalarea精品doc可修改編輯network(LAN),supportforlinktogether,orevensomestillhavethefunctionofthefirewall,greatlyimprovetheofficeefficiency,wasrelievedfromthehighlinerentalfeeatthesametime.精品doc可修改編輯Keywords:EnterpriseLAN,VLAN,NAT,ACL目錄摘要 I精品doc修改編輯TOC\o"1-5"\h\z\o"CurrentDocument"ABSTRACT II\o"CurrentDocument"目錄 IV，、乙 、，刖言 1\o"CurrentDocument"第一章技術(shù)可行性和需求分析 3\o"CurrentDocument"技術(shù)可行性 3NAT技術(shù) 3VLAN技術(shù) 5DHCP技術(shù) 5ACL技術(shù) 6PPP協(xié)議 7VTP技術(shù) 7STP技術(shù) 8動(dòng)態(tài)/靜態(tài)路由協(xié)議 9\o"CurrentDocument"需求分析 10帶寬性能需求 10網(wǎng)絡(luò)安全需求 10應(yīng)用服務(wù)需求 10\o"CurrentDocument"設(shè)計(jì)所需環(huán)境 11硬件要求 11\o"CurrentDocument"第二章系統(tǒng)設(shè)計(jì)方案 12\o"CurrentDocument"系統(tǒng)設(shè)計(jì)原則 12實(shí)用性 12安全性 12可擴(kuò)充性 12精品doc修改編輯TOC\o"1-5"\h\z可管理性 13高性能價(jià)格比 13\o"CurrentDocument"網(wǎng)絡(luò)設(shè)備選型 13\o"CurrentDocument"系統(tǒng)總體設(shè)計(jì)和拓?fù)浣Y(jié)構(gòu) 14系統(tǒng)總體設(shè)計(jì)方案 15各設(shè)備的IP地址配置 16\o"CurrentDocument"第三章路由器模塊 18\o"CurrentDocument"路由器配置 18IP地址配置 18Web服務(wù)器的配置 22\o"CurrentDocument"配置設(shè)備的遠(yuǎn)程登錄和密碼保護(hù)及DHCP 24配置設(shè)備的遠(yuǎn)程登錄和密碼保護(hù) 24\o"CurrentDocument"DHCP的配置 24\o"CurrentDocument"路由協(xié)議 26OSPF協(xié)議 26PPP協(xié)議 27PPP協(xié)議驗(yàn)證 28\o"CurrentDocument"配置NAT 29\o"CurrentDocument"第四章交換機(jī)模塊 31\o"CurrentDocument"交換機(jī)基本參數(shù)配置 31SW1的配置 31SW2的配置 32\o"CurrentDocument"配置VTP協(xié)議 33SW1的配置 33精品doc修改編輯TOC\o"1-5"\h\zSW2的配置 34驗(yàn)證VTP配置 35\o"CurrentDocument"VLAN劃分 35交換機(jī)VLAN配置 35配置VLAN間路由 37配置STP協(xié)議 39\o"CurrentDocument"配置ACL 42\o"CurrentDocument"第五章配置驗(yàn)證 44\o"CurrentDocument"DHCP自動(dòng)分配驗(yàn)證 44\o"CurrentDocument"路由協(xié)議配置檢驗(yàn) 44\o"CurrentDocument"NAT的驗(yàn)證 45總結(jié) 48\o"CurrentDocument"參考文獻(xiàn) 49\o"CurrentDocument"致謝 50前言信息化浪潮風(fēng)起云涌的今天，企業(yè)的業(yè)務(wù)已經(jīng)全面電子化，與Internet的聯(lián)系相當(dāng)緊密，所以他們需要良好的信息平臺(tái)去支撐業(yè)務(wù)的高速發(fā)展。沒(méi)有信息技術(shù)背景的企業(yè)也將會(huì)對(duì)網(wǎng)絡(luò)建設(shè)有主動(dòng)訴求。任何決策的科學(xué)性和可靠性都是以信息為基礎(chǔ)的，信息和決策是同一管理過(guò)程中的兩個(gè)方面，因此行業(yè)信息化也就成了人們所討論并實(shí)踐著的重要課題。公司內(nèi)部網(wǎng)絡(luò)的建設(shè)已經(jīng)成為提升企業(yè)核心競(jìng)爭(zhēng)力的關(guān)鍵因素。公司網(wǎng)已經(jīng)越來(lái)越多地被人們提到，利用網(wǎng)絡(luò)技術(shù)，現(xiàn)代企業(yè)可以在客戶、合作伙伴、員工之間實(shí)現(xiàn)優(yōu)化的信息溝通，公精品doc可修改編輯精品doc可修改編輯得關(guān)鍵的競(jìng)爭(zhēng)優(yōu)勢(shì)。眾多行業(yè)巨擘紛紛上馬各種應(yīng)用方案且取得了巨大的成功，這使信息化建設(shè)更具吸引力。在現(xiàn)在企業(yè)中，普遍存在資金不足、信息基礎(chǔ)薄弱、技術(shù)人員匱乏等特點(diǎn)，使得他們不能有效地將自身傳統(tǒng)業(yè)務(wù)與信息系統(tǒng)很好的結(jié)合起來(lái)，以至于常常會(huì)出現(xiàn)投入不見(jiàn)效的情況。究其原因，在于企業(yè)信息化觀念不夠，信息系統(tǒng)沒(méi)有總體設(shè)計(jì)原則，信息化建設(shè)缺乏規(guī)劃，致使企業(yè)協(xié)同運(yùn)作存在障礙，運(yùn)營(yíng)成本居高不下。作為企業(yè)的局域網(wǎng)，它不僅可以為企業(yè)提供高效的辦公環(huán)境，還可以實(shí)現(xiàn)硬件資源和軟件資源的共享從而節(jié)省了企業(yè)大量開(kāi)支，又便于集中管理和提高工作效率。其次企業(yè)局域網(wǎng)要實(shí)現(xiàn)內(nèi)部網(wǎng)絡(luò)與外部網(wǎng)絡(luò)的連接，從而極大的方便了企業(yè)和外界的溝通，這樣不僅可以降低企業(yè)的生產(chǎn)成本，也可以實(shí)現(xiàn)異地辦公。企業(yè)用戶可以方便地傳輸各類數(shù)據(jù)，開(kāi)展各類網(wǎng)絡(luò)應(yīng)用。隨著我國(guó)計(jì)算機(jī)網(wǎng)絡(luò)技術(shù)尤其是Internet技術(shù)的高速發(fā)展，加快對(duì)企業(yè)局域網(wǎng)建設(shè)迫在眉睫。因此構(gòu)建一個(gè)“安全可靠、性能卓越、管理方便”的企業(yè)局域網(wǎng)，已經(jīng)成為企業(yè)信息化建設(shè)成功的關(guān)鍵基石。本課題的設(shè)計(jì)需要綜合運(yùn)用各種知識(shí)來(lái)完成本課題，不僅可以使我進(jìn)一步掌握計(jì)算機(jī)網(wǎng)絡(luò)原理、熟悉企業(yè)局域網(wǎng)的設(shè)計(jì)搭建，而且可以增強(qiáng)了我的自學(xué)能力和動(dòng)手能力。精品doc可修改編輯第一章技術(shù)可行性和需求分析技術(shù)可行性NAT技術(shù)隨著Internet的迅速發(fā)展，IP地址短缺已經(jīng)成為一個(gè)十分突出的問(wèn)題。為了解決這個(gè)問(wèn)題，出現(xiàn)了多種解決方案，而NAT（NetworkAddressTranslation網(wǎng)絡(luò)地址轉(zhuǎn)換）是目前網(wǎng)絡(luò)環(huán)境中比較有效的方法。1）什么是NATNAT提供了連接互聯(lián)網(wǎng)的一種簡(jiǎn)單方式，并且通過(guò)隱藏內(nèi)部網(wǎng)絡(luò)地址的手段為用戶提供了安全保護(hù)。內(nèi)部用戶連接互聯(lián)網(wǎng)時(shí)，NAT將用戶的內(nèi)部網(wǎng)絡(luò)IP地址轉(zhuǎn)換成一個(gè)外部公共IP地址，并在NAT地址轉(zhuǎn)換表中記錄下這個(gè)轉(zhuǎn)換項(xiàng)；當(dāng)外部網(wǎng)絡(luò)數(shù)據(jù)返回時(shí)，NAT技術(shù)查詢NAT地址轉(zhuǎn)換項(xiàng)，將目標(biāo)IP地址替換成初始的內(nèi)部用戶的IP地址，報(bào)數(shù)據(jù)包轉(zhuǎn)發(fā)給內(nèi)部網(wǎng)絡(luò)用戶。由于這樣對(duì)外隱藏了內(nèi)部網(wǎng)絡(luò)的IP地址，因此，外部用戶無(wú)法直接發(fā)起到內(nèi)部網(wǎng)絡(luò)的連接，從而保護(hù)了內(nèi)部網(wǎng)絡(luò)用戶。精品doc修改編輯NAT的優(yōu)點(diǎn)和缺點(diǎn)NAT的優(yōu)點(diǎn)NAT節(jié)省了公共地址：一個(gè)企業(yè)申請(qǐng)的合法IP地址很少，而內(nèi)部網(wǎng)絡(luò)用戶很多，可以通過(guò)NAT功能實(shí)現(xiàn)多個(gè)用戶同時(shí)公用一個(gè)合法IP地址與外部網(wǎng)絡(luò)進(jìn)行通信。NAT允許內(nèi)部網(wǎng)絡(luò)編址的一致性：如果一個(gè)單位沒(méi)有使用私有地址和NAT，當(dāng)公有地址發(fā)生變化時(shí)，要改變公司內(nèi)的所有主機(jī)IP地址，工作量巨大。如果采用了NAT只更改NAT設(shè)備的IP地址池配置，內(nèi)部網(wǎng)絡(luò)的編址不受影響。這意味著，一個(gè)單位可以更換ISP而不需要改變內(nèi)部主機(jī)的IP地址。NAT增加了連接到公網(wǎng)的彈性：可以使用多地址池、備份池、負(fù)載均衡池，確?？煽康墓W(wǎng)連接。NAT提高了內(nèi)部網(wǎng)絡(luò)的安全：一個(gè)企業(yè)不想讓外部網(wǎng)絡(luò)用戶知道自己內(nèi)部網(wǎng)絡(luò)的結(jié)構(gòu)，可以通過(guò)NAT將內(nèi)部網(wǎng)絡(luò)與外部Internet隔離開(kāi)，則外部用戶根本不知道通過(guò)NAT的內(nèi)部IP地址。NAT雖然能提高內(nèi)部網(wǎng)絡(luò)的安全，但無(wú)法取代防火墻。NAT的缺點(diǎn)NAT影響性能：轉(zhuǎn)換每一個(gè)包頭中的IP地址需要時(shí)間，NAT增加了交換延時(shí)。路由器必須檢查每一個(gè)包來(lái)決定是否需要轉(zhuǎn)換，路由器需要轉(zhuǎn)換IP頭，有時(shí)還需要轉(zhuǎn)換TCP或UDP頭部。NAT缺乏對(duì)一些應(yīng)用的支持：很多Internet協(xié)議和應(yīng)用依賴于端到端的應(yīng)用，包從源到目的地不能被修改。通過(guò)修改端到端的地址，NAT阻止了一些應(yīng)用，比如一些安全應(yīng)用，如數(shù)字簽名就會(huì)失敗，因?yàn)閿?shù)據(jù)包中源IP地址發(fā)生了變化。精品doc修改編輯NAT不利于追蹤：經(jīng)過(guò)多次NAT,端到端的追蹤變得非常困難。另外，因?yàn)镹AT的存在，也很難追蹤或獲得黑客使用的真是IP地址。NAT使一些隧道協(xié)議變得復(fù)雜：因?yàn)镹AT修改了包頭中的值，給IPSec或其他隧道協(xié)議的完整性帶來(lái)困難。RLAN技術(shù)VLAN（虛擬局域網(wǎng)）是對(duì)連接到的第二層交換機(jī)端口的網(wǎng)絡(luò)用戶的邏輯分段，不受網(wǎng)絡(luò)用戶的物理位置限制而根據(jù)用戶需求進(jìn)行網(wǎng)絡(luò)分段。一個(gè)VLAN可以在一個(gè)交換機(jī)或者跨交換機(jī)實(shí)現(xiàn)。VLAN可以根據(jù)網(wǎng)絡(luò)用戶的位置、作用、部門或者根據(jù)網(wǎng)絡(luò)用戶所使用的應(yīng)用程序和協(xié)議來(lái)進(jìn)行分組?；诮粨Q機(jī)的虛擬局域網(wǎng)能夠?yàn)榫钟蚓W(wǎng)解決沖突域、廣播域、帶寬問(wèn)題。傳統(tǒng)的共享介質(zhì)的以太網(wǎng)和交換式的以太網(wǎng)中，所有的用戶在同一個(gè)廣播域中，會(huì)引起網(wǎng)絡(luò)性能的下降，浪費(fèi)可貴的帶寬；而且對(duì)廣播風(fēng)暴的控制和網(wǎng)絡(luò)安全只能在第三層的路由器上實(shí)現(xiàn)。VLAN相當(dāng)于OSI參考模型的第二層的廣播域，能夠?qū)V播風(fēng)暴控制在一個(gè)VLAN內(nèi)部，劃分VLAN后，由于廣播域的縮小，網(wǎng)絡(luò)中廣播包消耗帶寬所占的比例大大降低，網(wǎng)絡(luò)的性能得到顯著的提高。不同的VLAN之間的數(shù)據(jù)傳輸是通過(guò)第三層（網(wǎng)絡(luò)層）的路由來(lái)實(shí)現(xiàn)的，因此使用VLAN技術(shù)，結(jié)合數(shù)據(jù)鏈路層和網(wǎng)絡(luò)層的交換設(shè)備可搭建安全可靠的網(wǎng)絡(luò)。網(wǎng)絡(luò)管理員通過(guò)控制交換機(jī)的每一個(gè)端口來(lái)控制網(wǎng)絡(luò)用戶對(duì)網(wǎng)絡(luò)資源的訪問(wèn)，同時(shí)VLAN和第三層第四層的交換結(jié)合使用能夠?yàn)榫W(wǎng)絡(luò)提供較好的安全措施。另外，VLAN具有靈活性和可擴(kuò)張性等特點(diǎn)，方便于網(wǎng)絡(luò)維護(hù)和管理，這兩個(gè)特點(diǎn)正是現(xiàn)代局域網(wǎng)設(shè)計(jì)必須實(shí)現(xiàn)的兩個(gè)基本目標(biāo)，在局域網(wǎng)中有效利用虛擬局域網(wǎng)精品doc可修改編輯技術(shù)能夠提高網(wǎng)絡(luò)運(yùn)行效率。DHCP技術(shù)DHCP是DynamicHostConfigurationProtocol（動(dòng)態(tài)主機(jī)配置協(xié)議）縮寫，它的前身是BOOTP°BOOTP原本是用于無(wú)磁盤主機(jī)連接的網(wǎng)絡(luò)上面的：網(wǎng)絡(luò)主機(jī)使用BOOTROM而不是磁盤啟動(dòng)并連接上網(wǎng)絡(luò)，BOOTP則可以自動(dòng)地為那些主機(jī)設(shè)定TCP/IP環(huán)境。但BOOTP有一個(gè)缺點(diǎn)：您在設(shè)定前須事先獲得客戶端的硬件地址，而且與IP的對(duì)應(yīng)是靜態(tài)的。換而言之，BOOTP非常缺乏"動(dòng)態(tài)性"，若在有限的IP資源環(huán)境中，BOOTP的——對(duì)應(yīng)會(huì)造成非常嚴(yán)重的資源浪費(fèi)。DHCP可以說(shuō)是BOOTP的增強(qiáng)版本，它分為兩個(gè)部份：一個(gè)是服務(wù)器端，而另一個(gè)是客戶端。所有的IP網(wǎng)絡(luò)設(shè)定數(shù)據(jù)都由DHCP服務(wù)器集中管理，并負(fù)責(zé)處理客戶端的DHCP要求;而客戶端則會(huì)使用從服務(wù)器分配下來(lái)的IP環(huán)境數(shù)據(jù)。使用DHCP，整個(gè)計(jì)算機(jī)的配置文件都可以在一條信息中獲得（除了IP地址，服務(wù)器可以同時(shí)發(fā)送子網(wǎng)掩碼、缺省網(wǎng)關(guān)、DNS服務(wù)器和其他的TCP/IP配置）。比較起B(yǎng)OOTP，DHCP透過(guò)"租約"的概念，有效且動(dòng)態(tài)的分配客戶端的TCP/IP設(shè)定，而且，作為兼容考慮，DHCP也完全照顧了BOOTPClient的需求。DHCP的分配形式首先，必須至少有一臺(tái)DHCP服務(wù)器工作在網(wǎng)絡(luò)上面，它會(huì)監(jiān)聽(tīng)網(wǎng)絡(luò)的DHCP請(qǐng)求，并與客戶端磋商TCP/IP的設(shè)定環(huán)境。ACL技術(shù)訪問(wèn)控制列表（AccessControlList，ACL）是路由器和交換機(jī)接口的指令列表，用來(lái)控制端口進(jìn)出的數(shù)據(jù)包。ACL適用于所有的被路由協(xié)議，如IP、IPX、AppleTalk等。這張表中包含了匹配關(guān)系、條件和查詢語(yǔ)句，表只是一個(gè)框架結(jié)構(gòu)，其目的是為了對(duì)某種訪問(wèn)進(jìn)行控制。ACL可以用作控制和過(guò)濾流經(jīng)路由器端口的數(shù)據(jù)包的工具。通過(guò)使用ACL，路由器提供了基本的數(shù)據(jù)流過(guò)濾能力。ACL具有下列作用：精品doc可修改編輯1）限制網(wǎng)絡(luò)流量，提高網(wǎng)絡(luò)性能2）提供數(shù)據(jù)流控制3）為網(wǎng)絡(luò)訪問(wèn)提供基本的安全層4）決定轉(zhuǎn)發(fā)或者阻止哪些類型的數(shù)據(jù)流PPP協(xié)議點(diǎn)對(duì)點(diǎn)協(xié)議（PPP）為在點(diǎn)對(duì)點(diǎn)連接上傳輸多協(xié)議數(shù)據(jù)包提供了一個(gè)標(biāo)準(zhǔn)方法。PPP最初設(shè)計(jì)是為兩個(gè)對(duì)等節(jié)點(diǎn)之間的IP流量傳輸提供一種封裝協(xié)議。在TCP-IP協(xié)議集中它是一種用來(lái)同步調(diào)制連接的數(shù)據(jù)鏈路層協(xié)議（OSI模式中的第二層），替代了原來(lái)非標(biāo)準(zhǔn)的第二層協(xié)議，即51邛。除了IP以外PPP還可以攜帶其它協(xié)議，包括DECnet和Novell的Internet網(wǎng)包交換（IPX）。VTP技術(shù)它是一個(gè)OSI參考模型第二層的通信協(xié)議，主要用于管理在同一個(gè)域的網(wǎng)絡(luò)范圍內(nèi)VLANs的建立、刪除和重命名。在一臺(tái)VTPServer上配置一個(gè)新的VLAN時(shí)，該VLAN的配置信息將自動(dòng)傳播到本域內(nèi)的其他所有交換機(jī)。這些交換機(jī)會(huì)自動(dòng)地接收這些配置信息，使其VLAN的配置與VTPServer保持一致，從而減少在多臺(tái)設(shè)備上配置同一個(gè)VLAN信息的工作量，而且保持了VLAN配置的統(tǒng)一性。VTP通過(guò)網(wǎng)絡(luò)（ISL幀或cisco私有DTP幀）保持VLAN配置統(tǒng)一性。VTP在系統(tǒng)級(jí)管理增加，刪除，調(diào)整的丫1人^自動(dòng)地將信息向網(wǎng)絡(luò)中其它的交換機(jī)廣播。此外，VTP減小了那些可能導(dǎo)致安全問(wèn)題的配置。便于管理，只要在vtpserver做相應(yīng)設(shè)置，vtpclient會(huì)自動(dòng)學(xué)習(xí)vtpserver上的vlan信息*當(dāng)使用多重名字VLAN能變成交叉--連接。精品doc可修改編輯*當(dāng)它們是錯(cuò)誤地映射在一個(gè)和其它局域網(wǎng)，VLAN能變成內(nèi)部斷開(kāi)。VTP有三種工作模式：VTPServer、VTPClient和VTPTransparent。新交換機(jī)出廠時(shí)的默認(rèn)配置是預(yù)配置為VLAN1，VTP模式為服務(wù)器。一般，一個(gè)VTP域內(nèi)的整個(gè)網(wǎng)絡(luò)只設(shè)一個(gè)VTPServer。VTPServer維護(hù)該VTP域中所有VLAN信息列表，VTPServer可以建立、刪除或修改VLAN，發(fā)送并轉(zhuǎn)發(fā)相關(guān)的通告信息，同步vlan配置，會(huì)把配置保存在NVRAM中。VTPClient雖然也維護(hù)所有VLAN信息列表，但其VLAN的配置信息是從VTPServer學(xué)到的，VTPClient不能建立、刪除或修改丫1人^但可以轉(zhuǎn)發(fā)通告，同步vlan配置，不保存配置到NVRAM中。VTPTransparent相當(dāng)于是一項(xiàng)獨(dú)立的交換機(jī)，它不參與VTP工作，不從VTPServer學(xué)習(xí)VLAN的配置信息，而只擁有本設(shè)備上自己維護(hù)的VLAN信息。VTPTransparent可以建立、刪除和修改本機(jī)上的VLAN信息，同時(shí)會(huì)轉(zhuǎn)發(fā)通告并把配置保存到NVRAM中。1.1.7STP技術(shù)STP(SpanningTreeProtocol)是生成樹(shù)協(xié)議的英文縮寫。該協(xié)議可應(yīng)用于在網(wǎng)絡(luò)中建立樹(shù)形拓?fù)?，消除網(wǎng)絡(luò)中的環(huán)路，并且可以通過(guò)一定的方法實(shí)現(xiàn)路徑冗余，但不是一定可以實(shí)現(xiàn)路徑冗余。生成樹(shù)協(xié)議適合所有廠商的網(wǎng)絡(luò)設(shè)備，在配置上和體現(xiàn)功能強(qiáng)度上有所差別，但是在原理和應(yīng)用效果是一致的。STP的基本原理是，通過(guò)在交換機(jī)之間傳遞一種特殊的協(xié)議報(bào)文，網(wǎng)橋協(xié)議數(shù)據(jù)單元(BridgeProtocolDataUnit，簡(jiǎn)稱BPDU)，來(lái)確定網(wǎng)絡(luò)的拓?fù)浣Y(jié)構(gòu)。BPDU有兩種，配置BPDU(ConfigurationBPDU)和TCNBPDU。前者是用于計(jì)算無(wú)環(huán)的生成樹(shù)的，后者則是用于在二層網(wǎng)絡(luò)拓?fù)浒l(fā)生變化時(shí)產(chǎn)生用來(lái)縮短CAM表項(xiàng)的刷新時(shí)間的(由默認(rèn)的300s縮短為15s)。SpanningTreeProtocol(STP)在IEEE802.1D文檔中定義。該協(xié)議的原理是按照樹(shù)的結(jié)構(gòu)來(lái)構(gòu)造網(wǎng)絡(luò)拓?fù)?，消除網(wǎng)絡(luò)中的環(huán)路，避免由于環(huán)路的存在而造成廣播風(fēng)暴問(wèn)題。精品doc可修改編輯SpanningTreeProtocol(STP)的基本思想就是按照"樹(shù)"的結(jié)構(gòu)構(gòu)造網(wǎng)絡(luò)的拓?fù)浣Y(jié)構(gòu)，樹(shù)的根是一個(gè)稱為根橋的橋設(shè)備，根橋的確立是由交換機(jī)或網(wǎng)橋的BID(BridgeID)確定的，BID最小的設(shè)備成為二層網(wǎng)絡(luò)中的根橋。BID又是由網(wǎng)橋優(yōu)先級(jí)和MAC地址構(gòu)成，不同廠商的設(shè)備的網(wǎng)橋優(yōu)先級(jí)的字節(jié)個(gè)數(shù)可能不同。由根橋開(kāi)始，逐級(jí)形成一棵樹(shù)，根橋定時(shí)發(fā)送配置BPDU，非根橋接收配置BPDU，刷新最佳BPDU并轉(zhuǎn)發(fā)。這里的最佳BPDU指的是當(dāng)前根橋所發(fā)送的BPDU。如果接收到了下級(jí)BPDU(新接入的設(shè)備會(huì)發(fā)送BPDU,但該設(shè)備的BID比當(dāng)前根橋大)，接收到該下級(jí)BPDU的設(shè)備將會(huì)向新接入的設(shè)備發(fā)送自己存儲(chǔ)的最佳BPDU，以告知其當(dāng)前網(wǎng)絡(luò)中根橋;如果接收到的BPDU更優(yōu)，將會(huì)重新計(jì)算生成樹(shù)拓?fù)?。?dāng)非根橋在離上一次接收到最佳BPDU最長(zhǎng)壽命(MaxAge，默認(rèn)20s)后還沒(méi)有接收到最佳BPDU的時(shí)候，該端口將進(jìn)入監(jiān)聽(tīng)狀態(tài)，該設(shè)備將產(chǎn)生TCNBPDU，并從根端口轉(zhuǎn)發(fā)出去，從指定端口接收到TCNBPDU的上級(jí)設(shè)備將發(fā)送確認(rèn)，然后再向上級(jí)設(shè)備發(fā)送TCNBPDU，此過(guò)程持續(xù)到根橋?yàn)橹?，然后根橋在其后發(fā)送的配置BPDU中將攜帶標(biāo)記表明拓?fù)湟寻l(fā)生變化，網(wǎng)絡(luò)中的所有設(shè)備接收到后將CAM表項(xiàng)的刷新時(shí)間從300s縮短為15s。整個(gè)收斂的時(shí)間為50s左右。1.1.8動(dòng)態(tài)/靜態(tài)路由協(xié)議靜態(tài)路由是指需要由網(wǎng)絡(luò)管理員手工配置路由信息。當(dāng)網(wǎng)絡(luò)的拓?fù)浣Y(jié)構(gòu)或鏈路的狀態(tài)發(fā)生變化時(shí)，網(wǎng)絡(luò)管理員需要手工去修改路由表中相關(guān)的靜態(tài)路由信息。靜態(tài)路由一般適用于比較簡(jiǎn)單的網(wǎng)絡(luò)環(huán)境，在這樣的環(huán)境中，網(wǎng)絡(luò)管理員易于清楚地了解網(wǎng)絡(luò)的拓?fù)浣Y(jié)構(gòu)，便于設(shè)置正確的路由信息。使用靜態(tài)路由的另一個(gè)好處是網(wǎng)絡(luò)安全保密性高。動(dòng)態(tài)路由因?yàn)樾枰酚善髦g頻繁地交換各自的路由表，而對(duì)路由表的分析可以揭示網(wǎng)絡(luò)的拓?fù)浣Y(jié)構(gòu)和網(wǎng)絡(luò)地址等信息。大型和復(fù)雜的網(wǎng)絡(luò)環(huán)境通常不宜采用靜態(tài)路由。一方面，網(wǎng)絡(luò)管理員難以全面地了解整個(gè)網(wǎng)絡(luò)的拓?fù)浣Y(jié)構(gòu)；另一方面，當(dāng)網(wǎng)絡(luò)的拓?fù)浣Y(jié)構(gòu)和鏈路狀態(tài)發(fā)生變化時(shí)，路由器中的靜態(tài)路由信息需要大范圍地調(diào)整，這一工作的難度和復(fù)雜程度非常高。精品doc可修改編輯需求分析帶寬性能需求現(xiàn)代企業(yè)網(wǎng)絡(luò)應(yīng)該有更高的帶寬，更強(qiáng)大的性能，以滿足日益增長(zhǎng)的通信需求的用戶。與計(jì)算機(jī)技術(shù)的快速發(fā)展，越來(lái)越多的基于網(wǎng)絡(luò)的各種應(yīng)用中，今天的企業(yè)網(wǎng)絡(luò)已經(jīng)發(fā)展成為一個(gè)多功能無(wú)記名平臺(tái)，不僅要繼續(xù)把辦公自動(dòng)化、網(wǎng)絡(luò)瀏覽以及其他數(shù)據(jù)服務(wù),但也攜帶的各種業(yè)務(wù)應(yīng)用系統(tǒng)設(shè)計(jì)生產(chǎn)數(shù)據(jù)，以及帶寬和要求IP電話、視頻會(huì)議和其他多媒體服務(wù)。因此，數(shù)據(jù)流將大大增加，特別是提出了更高的要求，數(shù)據(jù)交換能力的核心網(wǎng)絡(luò)。此外，隨著成本的持續(xù)下降，千兆的千兆端口桌面應(yīng)用程序?qū)⒃诓痪玫膶?lái)成為主流的企業(yè)網(wǎng)絡(luò)。建立一個(gè)無(wú)障礙的“高品質(zhì)”的企業(yè)局域網(wǎng)，擴(kuò)大網(wǎng)絡(luò)適應(yīng)需求不斷增長(zhǎng)的營(yíng)業(yè)額。網(wǎng)絡(luò)安全需求現(xiàn)代企業(yè)網(wǎng)絡(luò)將需要提供更好的網(wǎng)絡(luò)安全解決方案，以防止病毒和黑客的攻擊，減少經(jīng)濟(jì)損失。傳統(tǒng)企業(yè)的網(wǎng)絡(luò)安全主要是通過(guò)部署防火墻，IDS，防病毒軟件，交換機(jī)或路由器的ACL和協(xié)調(diào)防御病毒和黑客攻擊?，F(xiàn)代企業(yè)網(wǎng)絡(luò)在企業(yè)網(wǎng)絡(luò)已經(jīng)成為公司業(yè)務(wù)的重要組成部分，必須有一組病毒從用戶接入控制，報(bào)文識(shí)別到主動(dòng)抑制的一系列安全控制措施，從而確保穩(wěn)定運(yùn)行企業(yè)網(wǎng)絡(luò)。應(yīng)用服務(wù)需求現(xiàn)代企業(yè)網(wǎng)絡(luò)應(yīng)該有一個(gè)更智能的網(wǎng)絡(luò)管理解決方案，以滿足網(wǎng)絡(luò)大小增加的維護(hù)工作更復(fù)雜的需求。目前的網(wǎng)絡(luò)已經(jīng)發(fā)展成為“以應(yīng)用程序?yàn)橹行牡木穌oc可修改編輯”信息基礎(chǔ)設(shè)施平臺(tái)、網(wǎng)絡(luò)管理能力的需求已經(jīng)上升到業(yè)務(wù)層面，傳統(tǒng)的網(wǎng)絡(luò)設(shè)備的情報(bào)沒(méi)有有效地支持發(fā)展網(wǎng)絡(luò)管理的需要。現(xiàn)代企業(yè)網(wǎng)絡(luò)迫切需要一個(gè)網(wǎng)絡(luò)設(shè)備支持“以應(yīng)用程序?yàn)橹行牡摹爸悄芫W(wǎng)絡(luò)操作和維護(hù)，和一組智能管理軟件，網(wǎng)絡(luò)管理人員從繁重的工作釋放。設(shè)計(jì)所需環(huán)境硬件要求操作系統(tǒng)WindowsServer2003/XP/7/VistaCPU 1500MHz最好是3000MHz以上雙核更好內(nèi)存 512MB最好是1G2G更好空閑硬盤空間2GB以上軟件要求PacketTracer4.1第二章系統(tǒng)設(shè)計(jì)方案2.1系統(tǒng)設(shè)計(jì)原則2.1.1實(shí)用性應(yīng)該從實(shí)際情況，以達(dá)到和容易使用可以起到有效的目的。成熟的技術(shù)和產(chǎn)精品doc可修改編輯品系統(tǒng)的建設(shè)。能夠兼容現(xiàn)有系統(tǒng)的新系統(tǒng)，以保持連續(xù)性和可用的資源。該系統(tǒng)是安全可靠的。非常容易使用，并不需要太多的培訓(xùn)可以容易使用和維護(hù)。安全性使用各種有效的安全措施，確保安全運(yùn)行的網(wǎng)絡(luò)系統(tǒng)和應(yīng)用程序。安全包括四個(gè)層次：網(wǎng)絡(luò)安全、操作系統(tǒng)安全、數(shù)據(jù)庫(kù)安全、應(yīng)用系統(tǒng)安全。由于互聯(lián)網(wǎng)的開(kāi)放性，世界各地的網(wǎng)絡(luò)用戶可以訪問(wèn)公司網(wǎng)絡(luò)、企業(yè)網(wǎng)絡(luò)防火墻、數(shù)據(jù)加密技術(shù)，以防止非法入侵，防止竊聽(tīng)和篡改數(shù)據(jù)和路由信息安全保護(hù)，確保安全。磁帶備份系統(tǒng),建立系統(tǒng)和數(shù)據(jù)庫(kù)?？蓴U(kuò)充性符合國(guó)際和國(guó)內(nèi)行業(yè)標(biāo)準(zhǔn)協(xié)議和接口，因此，企業(yè)網(wǎng)絡(luò)具有良好的開(kāi)放，容易與其他網(wǎng)絡(luò)互連和信息資源。的增加及不同層次的網(wǎng)絡(luò)節(jié)點(diǎn)和子網(wǎng)。一般包括開(kāi)放標(biāo)準(zhǔn)的原則、技術(shù)、結(jié)構(gòu)、系統(tǒng)組件和用戶界面。必須根據(jù)實(shí)際的使用先進(jìn)的成熟技術(shù)，購(gòu)買先進(jìn)水平的計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)和設(shè)備。隨著不斷變化的計(jì)算機(jī)技術(shù)和計(jì)算機(jī)網(wǎng)絡(luò)技術(shù)的快速發(fā)展，網(wǎng)絡(luò)系統(tǒng)的規(guī)?？缮炜s性已經(jīng)十分重要，所以考慮可伸縮性的網(wǎng)絡(luò)系統(tǒng)是非常重要的。精品doc修改編輯可管理性修改編輯充分考慮網(wǎng)絡(luò)的設(shè)計(jì)未來(lái)網(wǎng)絡(luò)管理和維護(hù)，操作方便，維護(hù)容易的選擇網(wǎng)絡(luò)操作系統(tǒng)，大大減少了負(fù)擔(dān)的管理和維護(hù)的網(wǎng)絡(luò)運(yùn)營(yíng)商。使用智能網(wǎng)絡(luò)管理，減少運(yùn)營(yíng)成本和維護(hù)的網(wǎng)絡(luò)。高性能價(jià)格比日益進(jìn)步的新技術(shù)和特定情況下，開(kāi)發(fā)具有成本效益的解決方案來(lái)滿足需求的基礎(chǔ)上，充分保障了企業(yè)的經(jīng)濟(jì)效益。堅(jiān)持經(jīng)濟(jì)原則，努力做更多的事情，錢最少的，為了獲得最大的利益。網(wǎng)絡(luò)設(shè)備選型本次設(shè)計(jì)均根據(jù)packettracer4.1模擬器完成，所有設(shè)備均采用模擬器內(nèi)含設(shè)備。表3-1網(wǎng)絡(luò)設(shè)備選型型號(hào)及數(shù)量?jī)r(jià)格（單位：元）說(shuō)明Cisco1841四臺(tái)3700/臺(tái)集成多業(yè)務(wù)路由器能夠以線速提供安全的數(shù)據(jù)訪問(wèn)應(yīng)用，從而為中小企業(yè)和小型分支機(jī)構(gòu)提供全套功能和靈活性，以便實(shí)現(xiàn)安全的互聯(lián)網(wǎng)和內(nèi)部網(wǎng)接入CISCOWS-C2960-24TT兩臺(tái)4000/臺(tái)用于接入層交換機(jī)，具有24精品doc 可修改編輯 個(gè)以太網(wǎng)10/100端口2個(gè)以太網(wǎng)10/100/1000端口系統(tǒng)總體設(shè)計(jì)和拓?fù)浣Y(jié)構(gòu)對(duì)于一個(gè)大中型企業(yè)局域網(wǎng)，通常在設(shè)計(jì)上將網(wǎng)絡(luò)分為核心層、匯聚層和接入層分別考慮。接入層節(jié)點(diǎn)直接連接用戶計(jì)算機(jī)，它通常是一個(gè)部門或者一個(gè)樓層的交換機(jī)；匯聚層交換機(jī)的每個(gè)節(jié)點(diǎn)可以連接多個(gè)接入層節(jié)點(diǎn)，它通常是一個(gè)建筑物內(nèi)部連接多個(gè)樓層交換機(jī)或者部門交換機(jī)的總交換機(jī)；核心層交換機(jī)節(jié)點(diǎn)連接多個(gè)匯聚層交換機(jī)，通常是企業(yè)中連接多個(gè)建筑物的總交換機(jī)的核心網(wǎng)絡(luò)設(shè)備。1、核心層核心層的功能主要是實(shí)現(xiàn)骨干網(wǎng)絡(luò)之間的優(yōu)化傳輸，復(fù)雜整個(gè)網(wǎng)絡(luò)的網(wǎng)內(nèi)數(shù)據(jù)交換。網(wǎng)絡(luò)的功能控制最好盡量在骨干層上實(shí)施，核心層設(shè)計(jì)任務(wù)的重點(diǎn)是冗余能力、可靠性和高速傳輸。核心層一直被認(rèn)為流量的最終承受著和匯聚者，所以要求核心交換機(jī)擁有較高的可靠性和性能。2、匯聚層匯聚層主要負(fù)責(zé)連接接入層節(jié)點(diǎn)和核心層，匯聚分散的接入點(diǎn)，擴(kuò)大核心設(shè)備的端口密度和種類，匯聚各區(qū)域數(shù)據(jù)流量，實(shí)現(xiàn)骨干網(wǎng)絡(luò)之間的優(yōu)化傳輸。匯聚層交換機(jī)還負(fù)責(zé)本區(qū)域的數(shù)據(jù)交換，匯聚層交換機(jī)一般與中心交換機(jī)同類型，仍需較高的性能和較豐富功能。3、接入層接入層交換機(jī)作為二層交換網(wǎng)絡(luò)設(shè)備，提供功能工作站等設(shè)備的網(wǎng)絡(luò)接入。接入層在整個(gè)網(wǎng)絡(luò)中接入交換機(jī)的數(shù)據(jù)最多，具有即插即用的特性。對(duì)于此類精品doc可修改編輯交換機(jī)要求，一是價(jià)格合理；二是可管理性號(hào)，易于使用維護(hù)；三是穩(wěn)定性要好。精品doc可修改編輯系統(tǒng)總體設(shè)計(jì)方案本次設(shè)計(jì)為小型企業(yè)局域網(wǎng)，對(duì)網(wǎng)絡(luò)進(jìn)行簡(jiǎn)化，并未采用三層結(jié)構(gòu)，重點(diǎn)放在網(wǎng)絡(luò)主干的設(shè)計(jì)與路由器交換機(jī)的配置上，同時(shí)還有VLAN的劃分，VTP協(xié)議的使用、STP協(xié)議的配置、動(dòng)態(tài)/靜態(tài)路由協(xié)議的配置、DHCP的配置、NAT的配置、PPP的配置及ACL的應(yīng)用。圖2-1為企業(yè)局域網(wǎng)總體拓?fù)浣Y(jié)構(gòu)圖圖2-1企業(yè)局域網(wǎng)總體拓?fù)鋱D注：圖中PC機(jī)代表企業(yè)各部門精品doc

R1：S0/0/0：Fa0/1：Fa0/2：Fa0/3：R2：S0/0/0：Fa0/0：Fa0/1：R3：S0/0/0：Fa0/1：R4：S0/0/0：Fa0/0：Fa0/1：SW1：2.3.2各設(shè)備的IP地址配置修改編輯精品doc可修改編輯VLAN1： SW2：VLAN2： PC1,PC2,PC3和PC4的IP地址均自動(dòng)獲取。PC1和PC2屬于VLAN2,VLAN2所在的IP子網(wǎng)是。PC2和PC4屬于VLAN3，VLAN3所在的IP子網(wǎng)是。Web服務(wù)器： 第三章路由器模塊路由器（Router）是連接因特網(wǎng)中各局域網(wǎng)、廣域網(wǎng)的設(shè)備，它會(huì)根據(jù)信道的情況自動(dòng)選擇和設(shè)定路由，以最佳路徑，按前后順序發(fā)送信號(hào)的設(shè)備。路由器是互聯(lián)網(wǎng)絡(luò)的樞紐、"交通警察"。目前路由器已經(jīng)廣泛應(yīng)用于各行各業(yè)，各種不同檔次的產(chǎn)品已成為實(shí)現(xiàn)各種骨干網(wǎng)內(nèi)部連接、骨干網(wǎng)間互聯(lián)和骨干網(wǎng)與精品doc可修改編輯互聯(lián)網(wǎng)互聯(lián)互通業(yè)務(wù)的主力軍。路由和交換之間的主要區(qū)別就是交換發(fā)生在OSI參考模型第二層(數(shù)據(jù)鏈路層)，而路由發(fā)生在第三層，即網(wǎng)絡(luò)層。這一區(qū)別決定了路由和交換在移動(dòng)信息的過(guò)程中需使用不同的控制信息，所以兩者實(shí)現(xiàn)各自功能的方式是不同的。路由器配置IP地址配置1)R1的配置Router>enRouter#conftEnterconfigurationcommands,oneperline.EndwithCNTL/Z.Router(config)#hostR1R1(config)#intS0/0/0R1(config-if)#ipaddR1(config-if)#clockrate64000R1(config-if)#noshut%LINK-5-CHANGED:InterfaceSerial0/0/0,changedstatetodownR1(config-if)#intfa0/0(該端口在VLAN劃分時(shí)在給予配置，此僅打開(kāi)端口)精品doc修改編輯R1(config-if)#noshut%LINK-5-CHANGED：InterfaceFastEthernet0/0,changedstatetoup%LINEPROTO-5-UPDOWN：LineprotocolonInterfaceFastEthernet0/0,changedstatetoup2)R2的配置Router>enRouter#conftEnterconfigurationcommands,oneperline.EndwithCNTL/Z.Router(config)#hostR2R2(config)#ints0/0/0R2(config-if)#ipaddR2(config-if)#noshut%LINK-5-CHANGED:InterfaceSerial0/0/0,changedstatetoupR2(config-if)#intfa0/0R2(config-if)#ipaddR2(config-if)#noshut精品doc可修改編輯%LINK-5-CHANGED：InterfaceFastEthernet0/0,changedstatetoupR2(config-if)#intfa0/1R2(config-if)#ipaddR2(config-if)#noshut%LINK-5-CHANGED:InterfaceFastEthernet0/1,changedstatetoup3)R3的配置Router>enRouter#conftEnterconfigurationcommands,oneperline.EndwithCNTL/Z.Router(config)#hostR3R3(config)#ints0/0/0R3(config-if)#ipadd34.1.1,3R3(config-if)#clockrate64000R3(config-if)#noshut%LINK-5-CHANGED：InterfaceSerial0/0/0,changedstatetodownR3(config-if)#intfa0/1R3(config-if)#ipadd精品doc修改編輯R3(config-if)#noshut%LINK-5-CHANGED：InterfaceFastEthernet0/1,changedstatetoup%LINEPROTO-5-UPDOWN：LineprotocolonInterfaceFastEthernet0/1,changedstatetoup4)R4的配置Router>enRouter#conftEnterconfigurationcommands,oneperline.EndwithCNTL/Z.Router(config)#hostR4R4(config)#ints0/0/0R4(config-if)#ipaddR4(config-if)#noshut%LINK-5-CHANGED:InterfaceSerial0/0/0,changedstatetoupR4(config-if)#intfa0/0R4(config-if)#ipaddR4(config-if)#noshut精品doc可修改編輯%LINK-5-CHANGED：InterfaceFastEthernet0/0,changedstatetoup%LINEPROTO-5-UPDOWN：LineprotocolonInterfaceFastEthernet0/0,changedstatetoupR4(config-if)#intfa0/1R4(config-if)#ipaddR4(config-if)#noshut%LINK-5-CHANGED:InterfaceFastEthernet0/1,changedstatetoup%LINEPROTO-5-UPDOWN:LineprotocolonInterfaceFastEthernet0/1,changedstatetoup3.1.加eb服務(wù)器的配置Web服務(wù)器配置如下：IP地址：子網(wǎng)掩碼：網(wǎng)關(guān)：如圖3-1，3-2精品doc可修改編輯GlobalSettingsDisplayName §日rv白「口Gateway 圖3-1網(wǎng)關(guān)配置HalfDuplex@FullDuplexHalfDuplexMACAdd「巳ss□ClCil,9l5EMACAdd「巳ssFPConfiguration中DHCPStatTcIPAddress218.7^2SubnetMask255.255.255.□圖3-2IP和掩碼配置配置設(shè)備的遠(yuǎn)程登錄和密碼保護(hù)及DHCP配置設(shè)備的遠(yuǎn)程登錄和密碼保護(hù)R1的配置如下R1(config)#linevty04精品doc可修改編輯R1(config-line)#passwordciscoR1(config-line)#loginR1(config-line)#exR1(config)#enablesecretciscoR1(config)#servicepassword-encryptionR2R3R4SW1SW2的配置與R1的配置類似不再敘述HCP的配置R1>enPassword:R1#conftEnterconfigurationcommands,oneperline.EndwithCNTL/Z.R1(config)#ipdhcpexcluded-addressR1(config)#ipdhcppoolvlan2R1(dhcp-config)#networkR1(dhcp-config)#default-routerR1(dhcp-config)#dns-serverR1(dhcp-config)#exR1(config)#ipdhcpexcluded-addressR1(config)#ipdhcppoolvlan3精品doc可修改編輯R1(dhcp-config)#networkR1(dhcp-config)#default-routerR1(dhcp-config)#dns-server檢驗(yàn)：依次配置PC機(jī)，使用DHCP分配結(jié)果如圖3-3Globa￡SettingsDisplayNamePCIGateway/DNS金DHCPStatic…-jDNSServer1218.1.1,2圖3-3PC1的DHCP分配結(jié)果路由協(xié)議OSPF協(xié)議R1配置R1(config)#iproute精品doc修改編輯R2的配置R2(config)#routerospf1R2(config-router)#net55area0R2(config-router)#net55area0R2(config-router)#net55area0R3的配置R3(config)#routerospf1R3(config-router)#net55area0R3(config-router)#net55area0R4的配置R4(config)#routerospf1R4(config-router)#net55area0R4(config-router)#net55area0R4(config-router)#net55area0PPP協(xié)議R1配置R1(config)#userR2passciscoR1(config)#ints0/0/0R1(config-if)#encapsulationppp精品doc修改編輯%LINEPROTO-5-UPDOWN：LineprotocolonInterfaceSerial0/0/0,changedstatetodownR1(config-if)#pppauthenticationchapR2的配置R2(config)#userR1passciscoR2(config)#ints0/0/0R2(config-if)#encapsulationppp%LINEPROTO-5-UPDOWN:LineprotocolonInterfaceSerial0/0/0,changedstatetoupR2(config-if)#pppauthenticationchap%LINEPROTO-5-UPDOWN:LineprotocolonInterfaceSerial0/0/0,changedstatetodown%LINEPROTO-5-UPDOWN:LineprotocolonInterfaceSerial0/0/0,changedstatetoupPPP協(xié)議驗(yàn)證關(guān)閉路由器R1的S0/0/0接口，稍后再次打開(kāi)該接口，觸發(fā)PPP的CHAP驗(yàn)證。輸出如圖3-4：精品doc

aKconzig)tintsO/O/O可修改編輯aKconzig)tintsO/O/O可修改編輯%LINEP=lOTa,-5-TJPDOWN:XineprotccclcmInterEaceS￡rial0/0/0pciiangedstatetoupRLGcn-ig-iz)^LIN.K-S-CHLiTSSDzIriterza.ceSerialO/O/Orchangedstatetqadminlstrati^elydctm%LIN5P3,OT&-B-TJTSOrnT:linepro-tccolunIntez:zac.eSezial0/0/0Fcha.ngedmtatetodciwn$L工NIC一三一CHANGEInteEfaceSfiEiilO/O/OFchsngedstatetc^d?inj_stEAti'ir&lydcwnRL(eonzig-if)t：noshut%LIKK-5-CHnirGED=InterfaceSeriailO/O/OFchangedstatetcupRL(conrig-if)*%LINiPSQTO-5-VPaOrJN:liinepzo-tQ^slera工口t匕匚fmu自SeEiaL0/0/OP匚h自口g哈dsts.tetcup"Z%STS-S—COWFIG1zCcs：n=ig7_iradfrcmccnacilefaycronscleSlopingTypeescapesequenczetcafaezrt.S&nding5flOO-byteICMPEehc-sto12.1?1.2Ptinnscutia2sesends:rrrirSucHceaarateis100percent(5/5)EQiind-tripmin/avg/majc=20/36/S0mg圖3-4PPP的CHAP驗(yàn)證3.4配置NAT在路由器R1上配置動(dòng)態(tài)PAT,使四臺(tái)PC都可以通過(guò)R1訪問(wèn)Internet。R1配置如下：R1(config)#intfa0/0.2R1(config-subif)#ipnatinsideR1(config-subif)#intfa0/0.3R1(config-subif)#ipnatinside精品doc修改編輯R1(config-subif)#ints0/0/0R1(config-if)#ipnatoutsideR1(config-if)#exR1(config)#access-list1permit55R1(config)#access-list1permit55R1(config)#ipnatinsidesourcelist1interfaces0/0/0overload在路由器R1上配置靜態(tài)PAT，使Internet可以通過(guò)路由器R1的TCP2323端口Telnet登錄到SW1。R1的配置如下：R1(config)#intfa0/0.1R1(config-subif)#ipnatinsideR1(config-subif)#exR1(config)#ipnatinsidesourcestatictcp232323精品doc可修改編輯第四章交換機(jī)模塊交換(switching)是按照通信兩端傳輸信息的需要，用人工或設(shè)備自動(dòng)完成的方法，把要傳輸?shù)男畔⑺偷椒弦蟮南鄳?yīng)路由上的技術(shù)的統(tǒng)稱。根據(jù)工作位置的不同，可以分為廣域網(wǎng)交換機(jī)和局域網(wǎng)交換機(jī)。廣域的交換機(jī)(switch)就是一種在通信系統(tǒng)中完成信息交換功能的設(shè)備。在計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)中，交換概念的提出改進(jìn)了共享工作模式。而HUB集線器就是一種共享設(shè)備，HUB本身不能識(shí)別目的地址，當(dāng)同一局域網(wǎng)內(nèi)的A主機(jī)給B主機(jī)傳輸數(shù)據(jù)時(shí)，數(shù)據(jù)包在以HUB為架構(gòu)的網(wǎng)絡(luò)上是以廣播方式傳輸?shù)?，由每一臺(tái)終端通過(guò)驗(yàn)證數(shù)據(jù)包頭的地址信息來(lái)確定是否接收。也就是說(shuō)，在這種工作方式下，同一時(shí)刻網(wǎng)絡(luò)上只能傳輸一組數(shù)據(jù)幀的通訊，如果發(fā)生碰撞還得重試。這種方式就是共享網(wǎng)絡(luò)帶寬。通俗的說(shuō)，普通交換機(jī)是不帶管理功能的，一根進(jìn)線，其他接口接到電腦上就可以了。精品doc

4.1交換機(jī)基本參數(shù)配置4.1交換機(jī)基本參數(shù)配置修改編輯SW1的配置Switch>enSwitch#conftEnterconfigurationcommands,oneperline.EndwithCNTL/Z.Switch(config)#hostSW1SW1(config)#intvlan1SW1(config-if)#ipaddSW1(config-if)#noshut%LINK-5-CHANGED:InterfaceVlan1,changedstatetoup%LINEPROTO-5-UPDOWN:LineprotocolonInterfaceVlan1,changedstatetoupSW1(config-if)#exSW1(config)#ipdefault-gatewaySW2的配置Switch>enSwitch#conft精品doc可修改編輯Enterconfigurationcommands,oneperline.EndwithCNTL/Z.Switch(config)#hostSW2SW2(config)#intvlan1SW2(config-if)#ipaddSW2(config-if)#noshut%LINK-5-CHANGED:InterfaceVlan1,changedstatetoup%LINEPROTO-5-UPDOWN:LineprotocolonInterfaceVlan1,changedstatetoupSW2(config-if)#exSW2(config)#ipdefault-gateway配置VTP協(xié)議SW1的配置SW1(config)#vtpdomainccnaChangingVTPdomainnamefromNULLtoccnaSW1(config)#intfa0/23SW1(config-if)#switchportmodetrunk%LINEPROTO-5-UPDOWN:LineprotocolonInterfaceFastEthernet0/23,精品doc可修改編輯精品doc可修改編輯%LINEPROTO-5-UPDOWN：LineprotocolonInterfaceFastEthernet0/23,changedstatetoupSW1(config-if)#intfa0/24SW1(config-if)#swimodetrunk%LINEPROTO-5-UPDOWN:LineprotocolonInterfaceFastEthernet0/24,changedstatetodown%LINEPROTO-5-UPDOWN:LineprotocolonInterfaceFastEthernet0/24,changedstatetoupW2的配置SW2(config)#vtpdomainccnaChangingVTPdomainnamefromNULLtoccnaSW2(config)#vtpmodeclientSettingdevicetoVTPCLIENTmode.SW2(config)#intfa0/23SW2(config-if)#%LINEPROTO-5-UPDOWN:LineprotocolonInterfaceFastEthernet0/23,changedstatetodownSW2(config-if)#swimodetrunk精品doc

可修改編輯SW2(config-if)#intfa0/24SW2(config-if)#swimodetrunk%LINEPR0T0-5—UPD0WN：LineprotocolonInterfaceFastEthernet0/24,changedstatetodown%LINEPROTO-5-UPDOWN:LineprotocolonInterfaceFastEthernet0/24,changedstatetoup因?yàn)樗伎平粨Q機(jī)默認(rèn)是VTPServer，所以SW1是需要配置VTP域名就可以。證VTP配置配置完成后，在SW2上使用飛卜。0vtpstatus”命令進(jìn)程查看，顯示結(jié)果如圖4-1：STT2vtpstatusVTE1VsesIctiSeviaicnsuppcrted1CFQallySeviaicnsuppcrted1CFQallyMajLiiEiLiin"JLiNsMujuherdeejiiating-VLSNaClienttrendE>i3dbleddisabledVTFOperatingMedeClienttrendE>i3dbleddisabledDoinairLPruningMede7TFTrapsGr7TFTrapsGr口已rr己匕icxnM&5digestOkEIOaZAOjtlS0kE50kB30kA4口前。必弓C口口：二gu匚口七i口hlast皿di方［e3匕丫0.0.0.CatO-Q-OQ00;00;00圖4-1showvtpstatus輸出信息因?yàn)镾W1上網(wǎng)沒(méi)有配置VLAN信息，SW1上VTP的配置修正號(hào)是0，所以SW2上的配置修正號(hào)也是0，存在的VLAN個(gè)數(shù)仍然是默認(rèn)的5.配置完VLAN后，可以進(jìn)一步檢驗(yàn)VTP的配置。精品doc修改編輯VLAN劃分交換機(jī)VLAN配置在VTPServer交換機(jī)SW1上添加VLAN,并把端口加入到對(duì)應(yīng)的VLAN中。SW1配置如下：SW1(config)#VLAN2SW1(config-vlan)#vlan3SW1(config-vlan)#intfa0/2SW1(config-if)#swimodeaccSW1(config-if)#swiaccvlan2SW1(config-if)#intfa0/3SW1(config-if)#swimodeaccSW1(config-if)#swiaccvlan3%SYS—5—CONFIG_I：Configuredfromconsolebyconsole配置完成后使用showvlan命令查看VLAN配置情況，如圖4-2：精品doc可修改編輯SDrifshaw'rlanMameStatusPcrtsidefaultactiveFa0/lrFa0/4rFaO/SrFaOZSFa0/8pFaO/9FFa0/10Fa0/llFFa0/12pFa.0/13pFa0/14Fa.0/15rFa.0/l€PFa0/17pFa.0/18Fa0/19rFa0/20pFa0/21PFa0/22Gigl/lPGigl/2VLAN0002activeFi0/23VLAN0003activeFa.0/31002zddi-defauLtactive1003token-ring-defaultactive1004fddinet-defaultactive1005tenet-dezaultactive圖4-2VLAN配置情況SW2配置如下：SW2(config)#intfa0/1SW2(config-if)#swimodeaccSW2(config-if)#swiaccvlan2SW2(config-if)#intfa0/2SW2(config-if)#swimodeaccSW2(config-if)#swiaccvlan34.3.2配置VLAN間路由這里要配置單臂路由，借助路由器R1實(shí)現(xiàn)VLAN1、VLAN2、VLAN3之間的互精品doc可修改編輯訪。SW1和R1之間的鏈路要配置成主干鏈路，SW1的配置如下:精品doc可修改編輯SW1(config)#intfa0/1SW1(config-if)#swimodetrunk%LINEPROTO-5-UPDOWN：LineprotocolonInterfaceFastEthernet0/1,changedstatetodown%LINEPROTO-5-UPDOWN:LineprotocolonInterfaceFastEthernet0/1,changedstatetoup路由器R1的配置如下：R1(config)#intfa0/0.1%LINK-5-CHANGED:InterfaceFastEthernet0/0.1,changedstatetoup%LINEPROTO-5-UPDOWN:LineprotocolonInterfaceFastEthernet0/0.1,changedstatetoupR1(config-subif)#encapsulationdot1Q1R1(config-subif)#ipaddR1(config-subif)#intfa0/0.2%LINK-5-CHANGED:InterfaceFastEthernet0/0.2,changedstatetoup精品doc可修改編輯%LINEPROTO-5-UPDOWN：LineprotocolonInterfaceFastEthernet0/0.2,changedstatetoupR1(config-subif)#encadot2R1(config-subif)#ipaddR1(config-subif)#intfa0/0.3%LINK-5-CHANGED:InterfaceFastEthernet0/0.3,changedstatetoup%LINEPROTO-5-UPDOWN:LineprotocolonInterfaceFastEthernet0/0.3,changedstatetoupR1(config-subif)#encadot3R1(config-subif)#ipadd4.3.3S置STP協(xié)議配置前線查看STP協(xié)議運(yùn)行情況，SW1上顯示如下：SW1#showspanning-treeVLAN0001SpanningtreeenabledprotocolieeeRootIDPriority 32769Address 000A.4180.A934精品doc修改編輯HelloTime2secMaxAge20secForwardDelay15secsecBridgeIDPriority32769(priority32768sys-id-ext1)Address0060.47D7.D883AgingTime300BridgeIDPriority32769(priority32768sys-id-ext1)Address0060.47D7.D883AgingTime300InterfaceRoleStsCostPrio.NbrTypeInterfaceRoleStsCostPrio.NbrTypeFa0/1Fa0/23Fa0/24DesgFWD19AltnBLK19RootFWD19128.3128.3128.3ShrShrShrVLAN0002SpanningtreeenabledprotocolieeeRootIDPriority32770Address 000A.4180.A934HelloTime2secMaxAge20secForwardDelay15secBridgeIDPriority32770(priority32768sys-id-ext2)精品doc

修改編輯Address0060.47D7.D883AddressAgingTime300InterfaceRoleStsCostPrio.NbrTypeFa0/1DesgFWD19128.3ShrFa0/2DesgFWD19128.3ShrFa0/23AltnBLK19128.3ShrFa0/24RootFWD19128.3ShrVLAN0003SpanningRootIDtreeenabledprotocolieeePriority 32771Address 000A.4180.A934HelloTime2secMaxAge20secForwardDelay15secBridgeIDPriority32771(priority32768sys-id-ext3)Address0060.47D7.D883AgingTime300精品doc

Fa0/1DesgFWD19128.3ShrFa0/3DesgFWD19128.3ShrFa0/23AltnBLK19128.3ShrFa0/24RootFWD19128.3Shr修改編輯InterfaceRoleStsCostPrio.NbrType修改編輯InterfaceRoleStsCostPrio.NbrType從上面的輸出可以看到，交換機(jī)上默認(rèn)運(yùn)行的是PVST+,在VLAN1、VLAN2、和VLAN3中，SW1都不是跟交換機(jī)，交換機(jī)上使用了擴(kuò)展的system-ID,system-ID等于每個(gè)VLAN的編號(hào)。SW1的Fa0/24是根端口，F(xiàn)a0/23端口被阻塞。網(wǎng)絡(luò)中只有兩臺(tái)交換機(jī)，既然SW1不是根交換機(jī)，那么跟交換機(jī)是SW2。配置SW1，使其成為所有的VLAN的根交換機(jī)，配置命令如下：SW1(config)#spanning-treevlan1,2,3priority40964.4配置ACL配置ACL前，在PC1上訪問(wèn)，顯示如圖4-3：精品doc

圖4-3PC1成功訪問(wèn)Web服務(wù)器從圖中可以看到PC1,成功的訪問(wèn)了Web服務(wù)器。那么接下來(lái)配置ACL訪問(wèn)控制列表。路由器R1的配置如下：R1(config)#accessTist100denytcp55hosteq80R1(config)#accessTist100permitipanyanyR1(config)#intfa0/0.2R1(config-subif)#ipaccess-group100in配置完成后，再次在PC1上訪問(wèn)顯示如圖4-4所示：精品doc

可修改編輯覆PCIPhysicalConfigDesktopWebBrowser可修改編輯覆PCI