大型企業(yè)網(wǎng)絡(luò)設(shè)計

課程設(shè)計報告〔2023/2023學(xué)年第學(xué)期〕題目：大型企業(yè)網(wǎng)絡(luò)設(shè)計專業(yè)網(wǎng)絡(luò)工程學(xué)生姓名李統(tǒng)宇班級學(xué)號B12070319指導(dǎo)教師鮑楠指導(dǎo)單位南京郵電大學(xué)物聯(lián)網(wǎng)學(xué)院日期2023.1.4-2023.1.15評分細(xì)那么評分項成績遵守機(jī)房規(guī)章制度〔5分〕上機(jī)時的表現(xiàn)〔5分〕學(xué)習(xí)態(tài)度〔5分〕程序準(zhǔn)備情況〔5分〕程序設(shè)計能力〔10分〕團(tuán)隊合作精神〔5分〕課題功能實(shí)現(xiàn)情況〔10分〕算法設(shè)計合理性〔10分〕用戶界面設(shè)計〔10分〕報告書寫認(rèn)真程度〔5分〕內(nèi)容詳實(shí)程度〔10分〕文字表達(dá)熟練程度〔10分〕答復(fù)下列問題準(zhǔn)確度〔10分〕簡短評語教師簽名：年月日評分等級備注評分等級有五種：優(yōu)秀、良好、中等、及格、不及格大型企業(yè)網(wǎng)絡(luò)設(shè)計課題內(nèi)容和要求XX集團(tuán)是一個以煤炭產(chǎn)品為主，兼營大型礦井建設(shè)、工業(yè)與民用建筑設(shè)計與施工、地基與根底處理、地質(zhì)勘探、商業(yè)等行業(yè)的綜合性集團(tuán)公司。XX集團(tuán)作為一個全國200強(qiáng)的集團(tuán)公司，下轄生產(chǎn)礦、建井處、機(jī)械廠等二級單位40余家，各個相對獨(dú)立的生產(chǎn)效勞單位，如財務(wù)、運(yùn)銷、醫(yī)療衛(wèi)生、遠(yuǎn)程教學(xué)、綜合統(tǒng)計等，都必須實(shí)現(xiàn)網(wǎng)上信息傳輸。XX集團(tuán)的網(wǎng)絡(luò)建設(shè)于2005年1月左右，當(dāng)時建設(shè)的網(wǎng)絡(luò)為XX集團(tuán)各項業(yè)務(wù)信息化立下了汗馬功績。隨著近幾年計算機(jī)網(wǎng)絡(luò)技術(shù)的不斷開展，計算機(jī)及網(wǎng)絡(luò)的使用者水平不斷提高，集團(tuán)網(wǎng)絡(luò)上需要承載的應(yīng)用不斷增多，網(wǎng)絡(luò)中病毒流行、播送信息較多，各項關(guān)鍵業(yè)務(wù)網(wǎng)絡(luò)平安得不到保障。XX集團(tuán)充分認(rèn)識到計算機(jī)網(wǎng)絡(luò)作為信息化基石的巨大作用，決定改造XX集團(tuán)網(wǎng)絡(luò)系統(tǒng)。現(xiàn)在要求做出該集團(tuán)的網(wǎng)絡(luò)設(shè)計方案，在該方案中，用戶有如下的需求：由于該網(wǎng)絡(luò)為承載整個集團(tuán)的根底骨干，面對日益突出的信息平安問題，要求網(wǎng)絡(luò)系統(tǒng)集成的相應(yīng)的平安特性。由于前期網(wǎng)絡(luò)中使用的普通交換機(jī)、HUB無法進(jìn)行平安規(guī)那么設(shè)置，網(wǎng)絡(luò)攻擊常常影響網(wǎng)絡(luò)正常業(yè)務(wù)以及用戶正常上網(wǎng)，關(guān)鍵業(yè)務(wù)無法保障，因此新建的網(wǎng)絡(luò)平臺需要提供防止DOS攻擊的能力。在多業(yè)務(wù)共同存在的網(wǎng)絡(luò)設(shè)備之上，各業(yè)務(wù)屬于不同的區(qū)域，要求實(shí)現(xiàn)內(nèi)部網(wǎng)絡(luò)按用戶、功能進(jìn)行VLAN、網(wǎng)段劃分。針對不同的用戶類型，制定相應(yīng)的訪問、控制權(quán)限。由于接入ISP提供的互聯(lián)網(wǎng)出口提供1個公有IP，要求解決集團(tuán)內(nèi)部對外部網(wǎng)絡(luò)的訪問需求，且要實(shí)現(xiàn)發(fā)布對外的WEB、FTP效勞。支持10GE或?qū)砥交^渡到10GE；集團(tuán)內(nèi)部各個建筑物都有1對8芯的單模光纖連接到主建筑物〔即網(wǎng)絡(luò)中心所在地〕，所有建筑物到主建筑物之間的距離在600M～～10000M之間；每個建筑物內(nèi)部都有適當(dāng)?shù)膬?nèi)部布線，以實(shí)現(xiàn)所需連接。二、需求分析2.1案例分析Cisco公司已經(jīng)成功地在中國實(shí)踐了前述的教育網(wǎng)絡(luò)設(shè)計思想，特別是河南省教育科研寬帶IP骨干網(wǎng)絡(luò)全部采用了先進(jìn)的高速寬帶光傳輸網(wǎng)絡(luò)技術(shù)，已經(jīng)成為這類新型教育網(wǎng)絡(luò)的典范。河南省教育科研寬帶IP網(wǎng)絡(luò)全面采用Cisco公司的AVVID網(wǎng)絡(luò)體系結(jié)構(gòu)，一期工程總共采用了10臺CiscoGSR12023和GSR12023，近20臺CiscoOSR6509，其他各類交換機(jī)和路由器數(shù)百臺。該網(wǎng)絡(luò)集成了遠(yuǎn)程教學(xué)等多種多媒體應(yīng)用，特別是采用了550部Cisco的新型7940IP和4套CallManager組建了我國第一個省級IPTelephony網(wǎng)絡(luò)，并結(jié)合Cisco視頻產(chǎn)品IPTV系列建立了許多新的教育模式。這一網(wǎng)絡(luò)基于分層設(shè)計分為三層：骨干傳輸網(wǎng)、城域網(wǎng)、接入網(wǎng)，采用三級管理模式：省網(wǎng)絡(luò)中心、地市網(wǎng)絡(luò)中心、校園網(wǎng)，連接省內(nèi)各大中專院校、各中小學(xué)校、各級教育主管部門和其他教育科研單位，未來更將延伸到每一個需要教育培訓(xùn)的公眾面前。骨干網(wǎng)絡(luò)由分布在17個地市的核心節(jié)點(diǎn)組成，與河南省廣電合作利用其光纖資源，全省形成環(huán)網(wǎng)狀冗余拓?fù)浣Y(jié)構(gòu)。在各個核心節(jié)點(diǎn)分別配置Cisco公司在國際上屢次獲獎的千兆位路由交換機(jī)GSR12000系列中的12023和12023作為核心傳輸設(shè)備，節(jié)點(diǎn)間使用裸光纖配合POS技術(shù)實(shí)現(xiàn)OC-482.48G鏈路互連并采用HSRP技術(shù)，以提供物理層、鏈路層及IP層的冗余連接能力。根據(jù)各地市的具體情況，可以建設(shè)城域教育網(wǎng)絡(luò)也可以在核心節(jié)點(diǎn)配置匯接設(shè)備直接解決接入網(wǎng)絡(luò)的接入問題，匯接設(shè)備可選用Cisco12023或6509，采用POS、DPT或千兆以太技術(shù)，傳輸速率可達(dá)1～2.48Gbps，具體設(shè)計可以非常靈活?；贑iscoIOS的多功能網(wǎng)絡(luò)平臺：網(wǎng)絡(luò)中采用的網(wǎng)絡(luò)設(shè)備均采用CiscoIOS(InternetworkingOperationSystem互聯(lián)網(wǎng)絡(luò)操作系統(tǒng))為核心功能軟件。CiscoIOS集成了路由技術(shù)，局域網(wǎng)交換技術(shù)，ATM交換技術(shù)，各種移動遠(yuǎn)程訪問接入技術(shù)，廣域網(wǎng)互連技術(shù)等超過15,000個網(wǎng)絡(luò)互連功能，已經(jīng)成為網(wǎng)絡(luò)互連的標(biāo)準(zhǔn)。CiscoIOS系統(tǒng)支持今天的絕大多數(shù)網(wǎng)絡(luò)應(yīng)用系統(tǒng)，同時CiscoIOS系統(tǒng)可提供從數(shù)據(jù)鏈路層到應(yīng)用層的多種網(wǎng)絡(luò)效勞，如：L2/L3VPN(虛擬專網(wǎng))，VPDN(虛擬撥號專網(wǎng))，以及對MPLS技術(shù)的支持允許提供各種網(wǎng)絡(luò)增值效勞。豐富的網(wǎng)絡(luò)平安機(jī)制：網(wǎng)絡(luò)設(shè)計是按照標(biāo)準(zhǔn)ISP(國際互聯(lián)網(wǎng)絡(luò)效勞商)方式設(shè)計的IP交換網(wǎng)絡(luò)平臺。整個網(wǎng)絡(luò)與國際互聯(lián)網(wǎng)絡(luò)平滑連接，因此網(wǎng)絡(luò)的平安性尤其重要。方案中采用CiscoIOS多種平安策略：1)網(wǎng)絡(luò)路由信息交換平安策略：包含路由器的認(rèn)證，路由信息過濾，多種動態(tài)路由協(xié)議信息交換控制等。2)網(wǎng)絡(luò)效勞平安控制：包含標(biāo)準(zhǔn)訪問控制列表(ACL)，擴(kuò)展的訪問控制列表(ExtendACL)，動態(tài)訪問控制列表(RefliexACL)，按數(shù)據(jù)流的訪問統(tǒng)計和監(jiān)控(Netflow)，網(wǎng)絡(luò)資源訪問用戶認(rèn)證/授權(quán)和記帳(lock&key)。3)基于網(wǎng)絡(luò)層的加密：網(wǎng)絡(luò)設(shè)備可提供基于標(biāo)準(zhǔn)的網(wǎng)絡(luò)層加密技術(shù)：IPSec，可以提供高可靠的網(wǎng)絡(luò)訪問平安機(jī)制。4)網(wǎng)絡(luò)攻擊防范：CiscoIOS可通過對網(wǎng)絡(luò)訪問連接的監(jiān)控和分析，發(fā)現(xiàn)可能出現(xiàn)的網(wǎng)絡(luò)攻擊，如SyncAttack等，并采取相應(yīng)的的控制手段保護(hù)網(wǎng)絡(luò)資源。5)網(wǎng)絡(luò)系統(tǒng)告警(Syslog)：網(wǎng)絡(luò)中采用的設(shè)備可對監(jiān)控到的網(wǎng)絡(luò)攻擊和各種非正常訪問發(fā)出告警，提醒網(wǎng)絡(luò)管理人員及時發(fā)現(xiàn)問題并采取相應(yīng)平安策略。設(shè)備平安：網(wǎng)絡(luò)的各種平安策略的實(shí)現(xiàn)均基于網(wǎng)絡(luò)設(shè)備的平安設(shè)置，這使得網(wǎng)絡(luò)設(shè)備本身的平安控制顯得尤其重要。網(wǎng)絡(luò)設(shè)備本身具有多種訪問控制平安策略：1)多級訪問控制密碼：網(wǎng)絡(luò)中各設(shè)備訪問控制可通過15級不同的訪問權(quán)限，網(wǎng)管人員可設(shè)置不同的訪問權(quán)限。如：普通操作員只能監(jiān)視設(shè)備運(yùn)行，不可進(jìn)行其他操作；高級的管理員可做故障診斷，不可修改設(shè)備配置文件；系統(tǒng)管理員可具有所有功能權(quán)限等。2)網(wǎng)絡(luò)管理系統(tǒng)的平安控制：由于本網(wǎng)絡(luò)中網(wǎng)絡(luò)管理系統(tǒng)采用標(biāo)準(zhǔn)的SNMP網(wǎng)絡(luò)管理技術(shù)，因此網(wǎng)絡(luò)設(shè)備的網(wǎng)管可能出現(xiàn)漏洞。本網(wǎng)絡(luò)中的網(wǎng)絡(luò)設(shè)備可提供多種保護(hù)手段，如：特別的網(wǎng)管訪問密碼；由設(shè)備指定特別的網(wǎng)絡(luò)管理工作站系統(tǒng)等。易管理維護(hù)的網(wǎng)絡(luò)：由于采用了IP骨干技術(shù)、DHCP技術(shù)和MPLS技術(shù)，使得網(wǎng)絡(luò)的管理簡單化。這可以使網(wǎng)絡(luò)管理人員大為精簡，節(jié)約運(yùn)行開銷。網(wǎng)絡(luò)管理人員只需在規(guī)劃好的網(wǎng)絡(luò)結(jié)構(gòu)內(nèi)提供各個接入網(wǎng)絡(luò)的接入控制即能實(shí)行各種網(wǎng)絡(luò)效勞。網(wǎng)絡(luò)系統(tǒng)的管理工作重點(diǎn)變?yōu)閷τ诠歉删W(wǎng)絡(luò)的運(yùn)行實(shí)施系統(tǒng)監(jiān)控。由于采用的網(wǎng)絡(luò)設(shè)備自身已具備較為完善的網(wǎng)絡(luò)管理、監(jiān)控和維護(hù)功能，因此采用建立一個管理工具齊全的集中的網(wǎng)絡(luò)管理中心即可實(shí)現(xiàn)全網(wǎng)絡(luò)的系統(tǒng)管理和監(jiān)控[11]。2.2大型企業(yè)網(wǎng)絡(luò)分析為適應(yīng)企業(yè)信息化的開展，滿足日益增長的通信需求和網(wǎng)絡(luò)的穩(wěn)定運(yùn)行，今天的企業(yè)網(wǎng)絡(luò)建設(shè)比傳統(tǒng)企業(yè)網(wǎng)絡(luò)建設(shè)有更高的要求，本文將通過對如下幾個方面的需求分析來規(guī)劃出一套最適用于目標(biāo)網(wǎng)絡(luò)的拓?fù)浣Y(jié)構(gòu)。2.2.1寬帶性能需求現(xiàn)代大型企業(yè)網(wǎng)絡(luò)應(yīng)具有更高的帶寬，更強(qiáng)大的性能，以滿足用戶日益增長的通信需求。隨著計算機(jī)技術(shù)的高速開展，基于網(wǎng)絡(luò)的各種應(yīng)用日益增多，今天的企業(yè)網(wǎng)絡(luò)已經(jīng)開展成為一個多業(yè)務(wù)承載平臺。不僅要繼續(xù)承載企業(yè)的辦公自動化，Web瀏覽等簡單的數(shù)據(jù)業(yè)務(wù)，還要承載涉及企業(yè)生產(chǎn)運(yùn)營的各種業(yè)務(wù)應(yīng)用系統(tǒng)數(shù)據(jù)，以及帶寬和時延都要求很高的IP、視頻會議等多媒體業(yè)務(wù)。因此，數(shù)據(jù)流量將大大增加，尤其是對核心網(wǎng)絡(luò)的數(shù)據(jù)交換能力提出了前所未有的要求。另外，隨著千兆位端口本錢的持續(xù)下降，千兆位到桌面的應(yīng)用會在不久的將來成為企業(yè)網(wǎng)的主流。從2004年全球交換機(jī)市場分析可以看到，增長最迅速的就是10Gbps級別機(jī)箱式交換機(jī)，可見，萬兆位的大規(guī)模應(yīng)用已經(jīng)真正開始。所以，今天的企業(yè)網(wǎng)絡(luò)已經(jīng)不能再用百兆位到桌面千兆位骨干來作為建網(wǎng)的標(biāo)準(zhǔn)，核心層及骨干層必須具有萬兆位級帶寬和處理性能，才能構(gòu)筑一個暢通無阻的"高品質(zhì)"大型企業(yè)網(wǎng)，從而適應(yīng)網(wǎng)絡(luò)規(guī)模擴(kuò)大，業(yè)務(wù)量日益增長的需要[7]。2.2.2穩(wěn)定可靠需求現(xiàn)代大型企業(yè)的網(wǎng)絡(luò)應(yīng)具有更全面的可靠性設(shè)計，以實(shí)現(xiàn)網(wǎng)絡(luò)通信的實(shí)時暢通，保障企業(yè)生產(chǎn)運(yùn)營的正常進(jìn)行。隨著企業(yè)各種業(yè)務(wù)應(yīng)用逐漸轉(zhuǎn)移到計算機(jī)網(wǎng)絡(luò)上來，網(wǎng)絡(luò)通信的無中斷運(yùn)行已經(jīng)成為保證企業(yè)正常生產(chǎn)運(yùn)營的關(guān)鍵?，F(xiàn)代大型企業(yè)網(wǎng)絡(luò)在可靠性設(shè)計方面主要應(yīng)從以下3個方面考慮。設(shè)備的可靠性設(shè)計：不僅要考察網(wǎng)絡(luò)設(shè)備是否實(shí)現(xiàn)了關(guān)鍵部件的冗余備份，還要從網(wǎng)絡(luò)設(shè)備整體設(shè)計架構(gòu)、處理引擎種類等多方面去考察。業(yè)務(wù)的可靠性設(shè)計：網(wǎng)絡(luò)設(shè)備在故障倒換過程中，是否對業(yè)務(wù)的正常運(yùn)行有影響。鏈路的可靠性設(shè)計：以太網(wǎng)的鏈路平安來自于多路徑選擇，所以在企業(yè)網(wǎng)絡(luò)建設(shè)時，要考慮網(wǎng)絡(luò)設(shè)備是否能夠提供有效的鏈路自愈手段，以及快速重路由協(xié)議的支持[7]。2.2.3效勞質(zhì)量需求現(xiàn)代大型企業(yè)網(wǎng)絡(luò)需要提供完善的端到端QoS保障，以滿足企業(yè)網(wǎng)多業(yè)務(wù)承載的需求。大型企業(yè)網(wǎng)絡(luò)承載的業(yè)務(wù)不斷增多，單純的提高帶寬并不能夠有效地保障數(shù)據(jù)交換的暢通無阻，所以今天的大型企業(yè)網(wǎng)絡(luò)建設(shè)必須要考慮到網(wǎng)絡(luò)應(yīng)能夠智能識別應(yīng)用事件的緊急和重要程度，如視頻、音頻、數(shù)據(jù)流〔MIS、ERP、OA、備份數(shù)據(jù)〕。同時能夠調(diào)度網(wǎng)絡(luò)中的資源，保證重要和緊急業(yè)務(wù)的帶寬、時延、優(yōu)先級和無阻塞的傳送，實(shí)現(xiàn)對業(yè)務(wù)的合理調(diào)度才是一個大型企業(yè)網(wǎng)絡(luò)提供"高品質(zhì)"效勞的保障[7]。2.2.4網(wǎng)絡(luò)平安需求現(xiàn)代大型企業(yè)網(wǎng)絡(luò)應(yīng)提供更完善的網(wǎng)絡(luò)平安解決方案，以阻擊病毒和黑客的攻擊，減少企業(yè)的經(jīng)濟(jì)損失。傳統(tǒng)企業(yè)網(wǎng)絡(luò)的平安措施主要是通過部署防火墻、IDS、殺毒軟件，以及配合交換機(jī)或路由器的ACL來實(shí)現(xiàn)對病毒和黑客攻擊的防御，但實(shí)踐證明這些被動的防御措施并不能有效地解決企業(yè)網(wǎng)絡(luò)的平安問題。在企業(yè)網(wǎng)絡(luò)已經(jīng)成為公司生產(chǎn)運(yùn)營的重要組成局部的今天，現(xiàn)代企業(yè)網(wǎng)絡(luò)必須要有一整套從用戶接入控制，病毒報文識別到主動抑制的一系列平安控制手段，這樣才能有效地保證企業(yè)網(wǎng)絡(luò)的穩(wěn)定運(yùn)行[7]。2.2.5應(yīng)用效勞需求現(xiàn)代大型企業(yè)網(wǎng)絡(luò)應(yīng)具備更智能的網(wǎng)絡(luò)管理解決方案，以適應(yīng)網(wǎng)絡(luò)規(guī)模日益擴(kuò)大，維護(hù)工作更加復(fù)雜的需要。當(dāng)前的網(wǎng)絡(luò)已經(jīng)開展成為"以應(yīng)用為中心"的信息根底平臺，網(wǎng)絡(luò)管理能力的要求已經(jīng)上升到了業(yè)務(wù)層次，傳統(tǒng)的網(wǎng)絡(luò)設(shè)備的智能已經(jīng)不能有效支持網(wǎng)絡(luò)管理需求的開展。比方，網(wǎng)絡(luò)調(diào)試期間最消耗人力與物力的線纜故障定位工作，網(wǎng)絡(luò)運(yùn)行期間對不同用戶靈活的效勞策略部署、訪問權(quán)限控制、以及網(wǎng)絡(luò)日志審計和病毒控制能力等方面的管理工作，由于受網(wǎng)絡(luò)設(shè)備功能本身的限制，都還屬于費(fèi)時、費(fèi)力的任務(wù)。所以現(xiàn)代的大型企業(yè)網(wǎng)絡(luò)迫切需要網(wǎng)絡(luò)設(shè)備具備支撐"以應(yīng)用為中心"的智能網(wǎng)絡(luò)運(yùn)營維護(hù)的能力，并能夠有一套智能化的管理軟件，將網(wǎng)絡(luò)管理人員從繁重的工作中解脫出來[7]。2.3本課題系統(tǒng)需求分析該企業(yè)位于北京市海淀區(qū)中關(guān)村，網(wǎng)絡(luò)聯(lián)接的建筑物有三個：兩個辦公樓和一個行政樓。管理部、財務(wù)部和網(wǎng)絡(luò)部在行政樓中；市場部在辦公樓A；銷售部和人力資源部在辦公樓B。所以我們已建筑物的中心也就是行政樓的三層為網(wǎng)絡(luò)的中心，用光纖連接辦公樓A、B，構(gòu)成電子商務(wù)公司網(wǎng)絡(luò)光纖主干。辦公樓2個，行政樓1個1．劃分VLAN〔見表1〕2．VTP動態(tài)學(xué)習(xí)VLAN3．PVST(選根，二層冗余)4．SVI〔VLAN間路由〕5．HSRP〔三層冗余〕6．DHCP7．根防護(hù)8．3個FAST9．靜態(tài)路由10．SITE-TO-SITEVPN〔連接分公司，固定IP〕11．AAA12．PBR〔20M專線〕13．網(wǎng)管控制三、概要設(shè)計3.1大型企業(yè)網(wǎng)絡(luò)的定位企業(yè)網(wǎng)是指覆蓋企業(yè)和企業(yè)與分公司之間的網(wǎng)絡(luò)，為企業(yè)的多種通信協(xié)議提供綜合傳送平臺的網(wǎng)絡(luò)。企業(yè)網(wǎng)應(yīng)以多業(yè)務(wù)光傳輸網(wǎng)絡(luò)為根底，實(shí)現(xiàn)語音、數(shù)據(jù)、圖像、多媒體等的接入。企業(yè)網(wǎng)是企業(yè)內(nèi)各部門的橋接區(qū)，主要完成接入網(wǎng)中的子公司和工作人員與企業(yè)骨干業(yè)務(wù)網(wǎng)絡(luò)之間全方位的互通。因此電子商務(wù)公司企業(yè)網(wǎng)的定位應(yīng)是為企業(yè)網(wǎng)應(yīng)用提供多業(yè)務(wù)傳送的綜合解決方案。3.2關(guān)鍵技術(shù)研究本設(shè)計方案采用的是全部Cisco的網(wǎng)絡(luò)設(shè)備，全網(wǎng)使用統(tǒng)一廠家得設(shè)備以實(shí)現(xiàn)各種不同網(wǎng)絡(luò)設(shè)備功能的互相配合和補(bǔ)充。還有就是一些網(wǎng)絡(luò)協(xié)議都是一些廠家私有的，如EIGRP、HDLC等。因?yàn)槊總€廠家都有屬于自己的EIGRP、HDLC所以不同廠家的設(shè)備就不能使用這些網(wǎng)絡(luò)協(xié)議。3.2.1路由技術(shù)路由協(xié)議工作在OSI參考模型的第3層，因此它的作用主要是在通信子網(wǎng)間路由數(shù)據(jù)包。路由器具有在網(wǎng)絡(luò)中傳遞數(shù)據(jù)時選擇最正確路徑的能力。除了可以完成主要的路由任務(wù)，利用訪問控制列表，路由器還可以用來完成以路由器為中心的流量控制和過濾功能。在本工程案例設(shè)計中，內(nèi)網(wǎng)用戶不僅通過路由器接入因特網(wǎng)、內(nèi)網(wǎng)用戶之間也通過3層交換機(jī)上的路由功能進(jìn)行數(shù)據(jù)包交換。路由器是外網(wǎng)進(jìn)入企業(yè)網(wǎng)內(nèi)網(wǎng)的第一道關(guān)卡，是網(wǎng)絡(luò)防御的前沿陣地。路由器上的訪問控制列表〔AccessControlList，ACL〕是保護(hù)內(nèi)網(wǎng)平安的有效手段。一個設(shè)計良好的訪問控制列表不僅可以起到控制網(wǎng)絡(luò)流量、流向的作用，還可以在不增加網(wǎng)絡(luò)系統(tǒng)軟、硬件投資的情況下完成一般軟、硬件防火墻產(chǎn)品的功能。由于路由器介于企業(yè)內(nèi)網(wǎng)和外網(wǎng)之間，是外網(wǎng)與內(nèi)網(wǎng)進(jìn)行通信時的第一道屏障，所以即使在網(wǎng)絡(luò)系統(tǒng)安裝了防火墻產(chǎn)品后，仍然有必要對路由器的訪問控制列表進(jìn)行縝密的設(shè)計，來對企業(yè)內(nèi)網(wǎng)包括防火墻本身實(shí)施保護(hù)[2]。3.2.2交換技術(shù)傳統(tǒng)意義上的數(shù)據(jù)交換發(fā)生在OSI模型的第2層?，F(xiàn)代交換技術(shù)還實(shí)現(xiàn)了第3層交換和多層交換。高層交換技術(shù)的引入不但提高了園區(qū)網(wǎng)數(shù)據(jù)交換的效率，更大大增強(qiáng)了企業(yè)網(wǎng)數(shù)據(jù)交換效勞質(zhì)量，滿足了不同類型網(wǎng)絡(luò)應(yīng)用程序的需要?，F(xiàn)代交換網(wǎng)絡(luò)還引入了虛擬局域網(wǎng)〔VirtualLAN，VLAN〕的概念。VLAN將播送域限制在單個VLAN內(nèi)部，減小了各VLAN間主機(jī)的播送通信對其他VLAN的影響。在VLAN間需要通信的時候，可以利用VLAN間路由技術(shù)來實(shí)現(xiàn)。當(dāng)網(wǎng)絡(luò)管理人員需要管理的交換機(jī)數(shù)量眾多時，可以使用VLAN中繼協(xié)議〔VlanTrunkingProtocol，VTP〕簡化管理，它只需在單獨(dú)一臺交換機(jī)上定義所有VLAN。然后通過VTP協(xié)議將VLAN定義傳播到本管理域中的所有交換機(jī)上。這樣，大大減輕了網(wǎng)絡(luò)管理人員的工作負(fù)擔(dān)和工作強(qiáng)度。為了簡化交換網(wǎng)絡(luò)設(shè)計、提高交換網(wǎng)絡(luò)的可擴(kuò)展性，在企業(yè)網(wǎng)內(nèi)部數(shù)據(jù)交換的部署是分層進(jìn)行的。企業(yè)網(wǎng)數(shù)據(jù)交換設(shè)備可以劃分為三個層次：接入層、分布層、核心層。接入層為所有的終端用戶提供一個接入點(diǎn)；分布層除了負(fù)責(zé)將訪問層交換機(jī)進(jìn)行聚集外，還為整個交換網(wǎng)絡(luò)提供VLAN間的路由選擇功能；核心層將各分布層交換機(jī)互連起來進(jìn)行穿越企業(yè)網(wǎng)骨干的高速數(shù)據(jù)交換。在本工程案例設(shè)計中，也將采用這三層進(jìn)行分開設(shè)計、配置[3]。3.2.3遠(yuǎn)程訪問技術(shù)遠(yuǎn)程訪問也是企業(yè)網(wǎng)絡(luò)必須提供的效勞之一。它可以為家庭辦公用戶和出差在外的員工提供移動接入效勞。遠(yuǎn)程訪問有三種可選的效勞類型：專線連接、電路交換和包交換。不同的廣域網(wǎng)連接類型提供的效勞質(zhì)量不同，花費(fèi)也不相同。企業(yè)用戶可以根據(jù)所需帶寬、本地效勞可用性、花費(fèi)等因素綜合考慮，選擇一種適合企業(yè)自身需要的廣域網(wǎng)接入方案。在本工程案例設(shè)計中，分別采用專線連接的VPN和PBR兩種方式實(shí)現(xiàn)遠(yuǎn)程訪問需求[4]。3.2.4VLANVLAN〔VirtualLocalAreaNetwork〕即虛擬局域網(wǎng)，是一種通過將局域網(wǎng)內(nèi)的設(shè)備邏輯地而不是物理地劃分成一個個網(wǎng)段從而實(shí)現(xiàn)虛擬工作組的新興技術(shù)。IEEE于1999年公布了用以標(biāo)準(zhǔn)化VLAN實(shí)現(xiàn)方案的802.1Q協(xié)議標(biāo)準(zhǔn)草案。VLAN技術(shù)允許網(wǎng)絡(luò)管理者將一個物理的LAN邏輯地劃分成不同的播送域〔或稱虛擬LAN，即VLAN〕，每一個VLAN都包含一組有著相同需求的計算機(jī)工作站，與物理上形成的LAN有著相同的屬性。但由于它是邏輯地而不是物理地劃分，所以同一個VLAN內(nèi)的各個工作站無須被放置在同一個物理空間里，即這些工作站不一定屬于同一個物理LAN網(wǎng)段。一個VLAN內(nèi)部的播送和單播流量都不會轉(zhuǎn)發(fā)到其他VLAN中，即使是兩臺計算機(jī)有著同樣的網(wǎng)段，但是它們卻沒有相同的VLAN號，它們各自的播送流也不會相互轉(zhuǎn)發(fā),從而有助于控制流量、減少設(shè)備投資、簡化網(wǎng)絡(luò)管理、提高網(wǎng)絡(luò)的平安性。VLAN是為解決以太網(wǎng)的播送問題和平安性而提出的，它在以太網(wǎng)幀的根底上增加了VLAN頭，用VLANID把用戶劃分為更小的工作組，限制不同工作組間的用戶二層互訪，每個工作組就是一個虛擬局域網(wǎng)。虛擬局域網(wǎng)的好處是可以限制播送范圍，并能夠形成虛擬工作組，動態(tài)管理網(wǎng)絡(luò)。既然VLAN隔離了播送風(fēng)暴，同時也隔離了各個不同的VLAN之間的通訊，所以不同的VLAN之間的通訊是需要有路由來完成的[5]。3.2.5VPNVPN的英文全稱是“VirtualPrivateNetwork〞，翻譯過來就是“虛擬專用網(wǎng)絡(luò)〞。顧名思義，虛擬專用網(wǎng)絡(luò)我們可以把它理解成是虛擬出來的企業(yè)內(nèi)部專線。它可以通過特殊的加密的通訊協(xié)議在連接在Internet上的位于不同地方的兩個或多個企業(yè)內(nèi)部網(wǎng)之間建立一條專有的通訊線路，就好比是架設(shè)了一條專線一樣，但是它并不需要真正的去鋪設(shè)光纜之類的物理線路。這就好比去電信局申請專線，但是不用給鋪設(shè)線路的費(fèi)用，也不用購置路由器等硬件設(shè)備。VPN技術(shù)原是路由器具有的重要技術(shù)之一，目前在交換機(jī)，防火墻設(shè)備或WINDOWS2000等軟件里也都支持VPN功能，一句話，VPN的核心就是在利用公共網(wǎng)絡(luò)建立虛擬私有網(wǎng)。虛擬專用網(wǎng)〔VPN〕被定義為通過一個公用網(wǎng)絡(luò)〔通常是因特網(wǎng)〕建立一個臨時的、平安的連接，是一條穿過混亂的公用網(wǎng)絡(luò)的平安、穩(wěn)定的隧道。虛擬專用網(wǎng)是對企業(yè)內(nèi)部網(wǎng)的擴(kuò)展。虛擬專用網(wǎng)可以幫助遠(yuǎn)程用戶、公司分支機(jī)構(gòu)、商業(yè)伙伴及供給商同公司的內(nèi)部網(wǎng)建立可信的平安連接，并保證數(shù)據(jù)的平安傳輸。虛擬專用網(wǎng)可用于不斷增長的移動用戶的全球因特網(wǎng)接入，以實(shí)現(xiàn)平安連接；可用于實(shí)現(xiàn)企業(yè)網(wǎng)站之間平安通信的虛擬專用線路，用于經(jīng)濟(jì)有效地連接到商業(yè)伙伴和用戶的平安外聯(lián)網(wǎng)虛擬專用網(wǎng)[4]。3.2.6RIPRIP〔RoutingInformationProtocols，路由信息協(xié)議〕是應(yīng)用較早、使用較普遍的IGP〔InteriorGatewayProtocol，內(nèi)部網(wǎng)關(guān)協(xié)議〕，適用于小型同類網(wǎng)絡(luò)，是典型的距離矢量〔distance-vector〕協(xié)議。RIP協(xié)議跳數(shù)做為衡量路徑開銷的，RIP協(xié)議里規(guī)定最大跳數(shù)為15。RIP協(xié)議有兩個版本RIPv1和RIPv2。RIPv1屬于有類路由協(xié)議，不支持VLSM〔變長子網(wǎng)掩碼〕，RIPv1是以播送的形式進(jìn)行路由信息的更新的；更新周期為30秒。RIPv2屬于無類路由協(xié)議，支持VLSM〔變長子網(wǎng)掩碼〕，RIPv2是以組播的形式進(jìn)行路由信息的更新的，組播地址是。RIPv2還支持基于端口的認(rèn)證，提高網(wǎng)絡(luò)的平安性。3.2.7AAA認(rèn)證AAA-----身份驗(yàn)證(Authentication)、授權(quán)(Authorization)和統(tǒng)計(Accounting)Cisco開發(fā)的一個提供網(wǎng)絡(luò)平安的系統(tǒng)。AAA，認(rèn)證(Authentication)：驗(yàn)證用戶的身份與可使用的網(wǎng)絡(luò)效勞;授權(quán)(Authorization)：依據(jù)認(rèn)證結(jié)果開放網(wǎng)絡(luò)效勞給用戶;計帳(Accounting)：記錄用戶對各種網(wǎng)絡(luò)效勞的用量，并提供給計費(fèi)系統(tǒng)。整個系統(tǒng)在網(wǎng)絡(luò)管理與平安問題中十分有效。首先，認(rèn)證局部提供了對用戶的認(rèn)證。整個認(rèn)證通常是采用用戶輸入用戶名與密碼來進(jìn)行權(quán)限審核。認(rèn)證的原理是每個用戶都有一個唯一的權(quán)限獲得標(biāo)準(zhǔn)。由AAA效勞器將用戶的標(biāo)準(zhǔn)同數(shù)據(jù)庫中每個用戶的標(biāo)準(zhǔn)一一核對。如果符合，那么對用戶認(rèn)證通過。如果不符合，那么拒絕提供網(wǎng)絡(luò)連接。接下來，用戶還要通過授權(quán)來獲得操作相應(yīng)任務(wù)的權(quán)限。比方，登陸系統(tǒng)后，用戶可能會執(zhí)行一些命令來進(jìn)行操作，這時，授權(quán)過程會檢測用戶是否擁有執(zhí)行這些命令的權(quán)限。簡單而言，授權(quán)過程是一系列強(qiáng)迫策略的組合，包括：確定活動的種類或質(zhì)量、資源或者用戶被允許的效勞有哪些。授權(quán)過程發(fā)生在認(rèn)證上下文中。一旦用戶通過了認(rèn)證，他們也就被授予了相應(yīng)的權(quán)限。最后一步是帳戶，這一過程將會計算用戶在連接過程中消耗的資源數(shù)目。這些資源包括連接時間或者用戶在連接過程中的收發(fā)流量等等。可以根據(jù)連接過程的統(tǒng)計日志以及用戶信息，還有授權(quán)控制、賬單、趨勢分析、資源利用以及容量方案活動來執(zhí)行帳戶過程。驗(yàn)證授權(quán)和帳戶由AAA效勞器來提供。AAA效勞器是一個能夠提供這三項效勞的程序。當(dāng)前同AAA效勞器協(xié)作的網(wǎng)絡(luò)連接效勞器接口是“遠(yuǎn)程身份驗(yàn)證撥入用戶效勞(RADIUS)〞[10]。四、詳細(xì)設(shè)計4.1大型企業(yè)網(wǎng)絡(luò)拓?fù)鋱D圖4-1網(wǎng)絡(luò)拓?fù)鋱D4.2VLAN及IP地址的規(guī)劃表1VLAN劃分VLAN號VLAN名稱IP網(wǎng)段默認(rèn)網(wǎng)關(guān)說明VLAN1GLVLAN管理VLANVLAN10GLB管理部VLANVLAN20SCB市場部VLANVLAN30CWB財務(wù)部VLANVLAN40XSB銷售部VLANVLAN50RLZY人力資源部VLANVLAN60WLB網(wǎng)絡(luò)部VLAN路由器R1與電信連接的接口F0/0IP為0/24，與HX1連接的接口F1/1IP為/24，與HX2連接的接口F1/2IP為/24,與R2連接的接口F1/3IP為/24。路由器R2與網(wǎng)通連接的接口F0/0IP為0/24，與HX1連接的接口F1/2IP為/24，與HX2連接的接口F1/1IP為/24,與R2連接的接口F1/3IP為/24。路由器R3與HX1連接的接口F1/1IP為/24，與HX2連接的接口F1/2IP為/24，與server連接的接口F1/0IP為/24。路由器R4上與電信連接的接口F1/0IP為0/24，與網(wǎng)通連接的接口F1/1IP為0/24，與SW11連接的接口F1/2IP為/22。交換機(jī)HX1與R1相連的接口F1/0IP為/24,與R2相連的接口F1/1IP為/24,與R3相連的接口F1/2IP為/24。交換機(jī)HX2與R1相連的接口F1/0IP為/24,與R2相連的接口F1/1IP為/24,與R3相連的接口F1/2IP為/24。4.3關(guān)鍵網(wǎng)絡(luò)設(shè)備及數(shù)量核心層交換機(jī)：CiscoCatalyst6509交換機(jī)2臺會聚層交換機(jī)：CiscoCatalyst4509交換機(jī)4臺接入層交換機(jī)：CiscoCatalyst295024口交換機(jī)100臺接入路由器：Cisco3500路由器4臺4.4關(guān)鍵網(wǎng)絡(luò)設(shè)備介紹圖8Cisco6509交換機(jī)Catalyst6509是帶有9個插槽的交換機(jī)機(jī)箱，它可以加兩個電源，可按需求配置不同功能類型的模塊〔如防火墻模塊、入侵檢模塊、VPN模塊、SSL加速模塊、網(wǎng)絡(luò)流量分析模塊等〕，更靈活應(yīng)用在不同需求的網(wǎng)絡(luò)設(shè)計平臺上，提高穩(wěn)定性及平安性。首先，為Catalyst6509核心交換機(jī)配備CiscoCatalyst6500SupervisorEngine720模塊。SupervisorEngine720支持Catalyst6500系列的第三代模塊，能夠?yàn)槠髽I(yè)和電信運(yùn)營商網(wǎng)絡(luò)提供先進(jìn)的IP效勞，并提高端口密度，因而非常適合部署在高性能的核心層、數(shù)據(jù)中心和城域網(wǎng)中。由于使用同一套接口、操作系統(tǒng)和管理工具，Catalyst6500系列監(jiān)控引擎(SupervisorEngines)能提供操作一致性——可使用相同的備件，所有模塊都具有可以預(yù)測的性能和多種功能。增強(qiáng)型QOS機(jī)制、基于硬件的GRE隧道和NAT，以及由硬件加速的基于MPLS的高性能效勞；支持基于用戶的Microflow監(jiān)管，對每個用戶實(shí)施效勞等級協(xié)議；采用分布式轉(zhuǎn)發(fā)模式，提供高達(dá)200Mpps的硬件IPv6能力，可以順利過渡到Internet2和其他支持3G和PDA的通信網(wǎng)絡(luò)；配備光纖通道接口模塊滿足光纖接入需求。加6500系列的防火墻效勞模塊〔FWSM〕可以為大型企業(yè)和效勞供給商提供無以倫比的平安性、可靠性和性能。Catalyst6500系列和為企業(yè)網(wǎng)絡(luò)和效勞供給商網(wǎng)絡(luò)提供了一系列高性能多層交換解決方案。6500系列提供了廣泛的智能交換解決方案，使公司內(nèi)部網(wǎng)和Internet能夠支持多媒體、關(guān)鍵任務(wù)數(shù)據(jù)和語音應(yīng)用。6500系列交換機(jī)為園區(qū)網(wǎng)提供了高性能、多層交換的解決方案，專門為需要千兆擴(kuò)展、可用性高、多層交換的應(yīng)用環(huán)境設(shè)計，主要面向園區(qū)骨干連接等場合。圖9CiscoCatalyst4500系列交換機(jī)CiscoCatalyst4500系列能夠?yàn)闊o阻礙的第2/3/4層交換提供集成式彈性，因而能進(jìn)一步加強(qiáng)對融合網(wǎng)絡(luò)的控制〔見圖9〕?？捎眯愿叩娜诤险Z音/視頻/數(shù)據(jù)網(wǎng)絡(luò)能夠?yàn)檎诓渴鸹诨ヂ?lián)網(wǎng)企業(yè)應(yīng)用的企業(yè)和城域以太網(wǎng)客戶提供業(yè)務(wù)彈性。作為新一代CiscoCatalyst4000系列平臺，CiscoCatalyst4500系列包括三種新型CiscoCatalyst機(jī)箱：CiscoCatalyst4507R〔七個插槽〕、CiscoCatalyst4506〔六個插槽〕和CiscoCatalyst4503〔三個插槽〕。CiscoCatalyst4500系列中提供的集成式彈性增強(qiáng)包括1＋1超級引擎冗余〔只對CiscoCatalyst4507R〕、集成式IP電源、基于軟件的容錯以及1+1電源冗余。硬件和軟件中的集成式冗余性能夠縮短停機(jī)時間，從而提高生產(chǎn)率、利潤率和客戶成功率。作為CiscoAVVID〔集成語音、視頻和融合數(shù)據(jù)體系結(jié)構(gòu)〕的關(guān)鍵組件，CiscoCatalyst4500能夠通過智能網(wǎng)絡(luò)效勞將控制擴(kuò)展到網(wǎng)絡(luò)邊緣，包括高級效勞質(zhì)量〔QoS〕、可預(yù)測性能、高級平安性、全面管理和集成式彈性。由于CiscoCatalyst4500系列提供與CiscoCatalyst4000系列線卡和超級引擎的兼容性，因而能夠在融合網(wǎng)絡(luò)中延長CiscoCatalyst4000系列的部署窗口。由于這種方式能減少重復(fù)運(yùn)作開支，降低擁有本錢，因而能提高投資回報〔ROI〕。圖10CiscoCatalyst3550系列智能以太網(wǎng)交換機(jī)CiscoCatalyst3550系列智能以太網(wǎng)交換機(jī)是一個可堆疊多層交換機(jī)系列，可通過高可用性、效勞質(zhì)量〔QoS〕和平安性來改良網(wǎng)絡(luò)運(yùn)行〔見圖10〕。憑借一系列快速以太網(wǎng)和千兆位以太網(wǎng)配置，CiscoCatalyst3550系列堪稱一款適用于企業(yè)和城域接入應(yīng)用的強(qiáng)大選擇。圖11CiscoCatalyst2950系列智能以太網(wǎng)交換機(jī)CiscoCatalyst2950系列智能以太網(wǎng)交換機(jī)是一個固定配置、可堆疊的獨(dú)立設(shè)備系列，提供了線速快速以太網(wǎng)和千兆位以太網(wǎng)連接〔見圖11〕。這是一款最廉價的Cisco交換產(chǎn)品系列，為中型網(wǎng)絡(luò)和城域接入應(yīng)用提供了智能效勞。作為思科最為廉價的交換產(chǎn)品系列，CiscoCatalyst2950系列在網(wǎng)絡(luò)或城域接入邊緣實(shí)現(xiàn)了智能效勞。4.5網(wǎng)絡(luò)設(shè)備配置4.5.1根底配置這里以接入層交換機(jī)SW1為例〔見圖1〕圖1接入層設(shè)備Switch>en進(jìn)入特權(quán)模式Switch#conft進(jìn)入全局模式Enterconfigurationcommands,oneperline.EndwithCNTL/Z.此注釋說明在全局模式下直接按CNTL+Z可以進(jìn)入特權(quán)模式Switch(config)#hostnameSW1修改路由器或者交換機(jī)的名字，方便管理SW1(config)#noipdomainlookup關(guān)閉域名查詢啟用與禁止DNS效勞器，在交換機(jī)默認(rèn)配置的情況下，當(dāng)我們輸入一條錯誤的交換機(jī)命令時，交換時機(jī)嘗試將其播送給網(wǎng)絡(luò)上的DNS效勞器并將其解析成對應(yīng)的IP地址。利用命令noipdomainlookup，可以禁用DNS效勞器，可以減少輸入錯誤命令的等待時間SW1(config)#lineconsole0進(jìn)入CONCOLE0口線程下，通過CONSOLE線串口直接控制交換機(jī)或路由器接口SW1(config-line)#noexec-timeout關(guān)閉超時時間〔真實(shí)工程中不能用此命令〕SW1(config-line)#loggingsynchronous在線路上同步輸出用戶在為交換機(jī)配置命令時，配置命令會被交換機(jī)產(chǎn)生的內(nèi)部信息隔開或打亂以使用命令loggingsynchronous設(shè)置交換機(jī)在下一行CLI提示符后復(fù)制用戶的輸入。以上配置為路由器和交換機(jī)的根本配置，有方便管理防止出錯的作用，所以每臺設(shè)備上都要配置。4.5.2使用VTP從提高效率的角度出發(fā)，在企業(yè)網(wǎng)實(shí)現(xiàn)實(shí)例中使用了VTP技術(shù)。將分布層FB1設(shè)置成為VTP效勞器，其他交換機(jī)設(shè)置成為VTP客戶機(jī)。這里接入層交換機(jī)SW1將通過VTP獲得在分布層交換機(jī)FB1中定義的所有VLAN的信息?！惨妶D2〕圖2分布層設(shè)備FB1FB1#vlandatabase特權(quán)模式下進(jìn)入VLAN設(shè)置模式(小凡模擬器特有)FB1(vlan)#vtpdomaincisco定義VTP域名ChangingVTPdomainnamefromNULLtociscoFB1(vlan)#vtpserver將該交換機(jī)設(shè)置為VTP的效勞端DevicemodealreadyVTPSERVER.FB1(vlan)#vtpv2-mode啟用的VTP版本號為2V2modeenabled.FB1(vlan)#vtppassword123456設(shè)置VTP的密碼為123456，交換機(jī)的VTP必須密碼一致才能同步SettingdeviceVLANdatabasepasswordto123456.FB1(vlan)#vtppruning啟用VTP修剪，激活VTP剪裁功能，默認(rèn)情況下主干道傳輸所有VLAN的用戶數(shù)據(jù)。有時，交換網(wǎng)絡(luò)中某臺交換機(jī)的所有端口都屬于同一VLAN的成員，沒有必要接收其他VLAN的用戶數(shù)據(jù)。這時，可以激活主干道上的VTP剪裁功能。當(dāng)激活了VTP剪裁功能以后，交換機(jī)將自動剪裁本交換機(jī)沒有定義的VLAN數(shù)據(jù)。

在一個VTP域下，只需要在VTP效勞器上激活VTP剪裁功能。同一VTP域下的所有其他交換機(jī)也將自動激活VTP剪裁功能。PruningswitchedONFB1(vlan)#apply應(yīng)用以上配置APPLYcompleted.FB1(vlan)#exit退出VLAN配置模式進(jìn)入特權(quán)模式APPLYcompleted.Exiting....在其他所有的交換機(jī)上都要做VTP配置，我們以FB2為例〔見圖3〕圖3分布層設(shè)備FB2FB2#vlandaFB2(vlan)#vtpdomainciscoChangingVTPdomainnamefromNULLtociscoFB2(vlan)#vtpclient將FB2設(shè)置為客戶端，客戶端可以學(xué)習(xí)到效勞端的所有VLAN信息?？蛻裟Ｊ绞菦]有創(chuàng)立、修改、刪除VLAN得權(quán)利的，它只能接收和轉(zhuǎn)發(fā)信息。而效勞器模式擁有以上的所用功能。SettingdevicetoVTPCLIENTmode.FB2(vlan)#vtpv2V2modeenabled.FB2(vlan)#vtppassword123456SettingdeviceVLANdatabasepasswordto123456.FB2(vlan)#exitInCLIENTstate,noapplyattempted.Exiting....4.5.3劃分VLAN現(xiàn)在我們根據(jù)需求在效勞端FB1上配置VLAN信息，創(chuàng)立并命名〔見表1〕FB11#vlandaFB1(vlan)#vlan10nameGLB創(chuàng)立一個VLAN10命名為GLBVLAN10modified:Name:GLBFB1(vlan)#vlan20nameSCBVLAN20added:Name:SCBFB1(vlan)#vlan30nameCWBVLAN30added:Name:CWBFB1(vlan)#vlan40nameXSBVLAN40added:Name:XSBFB1(vlan)#vlan50nameRLZYVLAN50added:Name:RLZYFB1(vlan)#vlan60nameWLBVLAN60added:Name:WLBFB1(vlan)#exitAPPLYcompleted.Exiting....4.5.4交換鏈路封裝所有交換機(jī)之間相連的線都要起封裝協(xié)議，我們以FB1和SW1之間的線為例〔見圖4〕圖4鏈路封裝FB1(config)#interfacefastEthernet0/4進(jìn)入要封裝的接口FB1(config-if)#switchporttrunkencapsulationdot1q進(jìn)行封裝FB1(config-if)#switchportmodetrunk指定封裝模式FB1(config-if)#noshutdown開啟接口SW1(config)#interfacefastEthernet0/0SW1(config-if)#switchporttrunkencapsulationdot1qSW1(config-if)#switchportmodetrunkSW1(config-if)#noshutdown封裝交換機(jī)連接終端的接口，并把該接口劃入VLAN，以SW1為例SW1(config)#intf0/2SW1(config-if)#switchportmodeaccess手工指定封裝模式為ACCESS模式SW1(config-if)#switchportaccessvlan10將F0/2口劃入VLAN10中SW1(config-if)#noshutdown4.5.5PVST技術(shù)由于網(wǎng)絡(luò)拓?fù)浔葦M大，兩兩相連加冗余會出現(xiàn)環(huán)路，所以需要配置二層防環(huán)的PVST首先要選舉根橋，我們這里手工指定HX1為VLAN102030的主根，VLAN405060的備份根；HX2為VLAN405060的主根，VLAN102030的備份根。HX1(config)#spanning-treemodepvst開啟PVST生成樹模式HX1(config)#spanning-treevlan10，20，30rootprimary將HX1設(shè)置為VLAN102030的主根HX1(config)#spanning-treevlan40，50，60rootsecondary將HX1設(shè)置為VLAN405060的備份根HX2(config)#spanning-treemodepvstHX2(config)#spanning-treevlan40，50，60rootprimaryHX2(config)#spanning-treevlan10，20，30rootsecondary4.5.6PVST的三個FAST由于只啟用PVST后根切換時生成樹接口從阻塞狀態(tài)到轉(zhuǎn)發(fā)狀態(tài)速度會很慢，采用PORTFAST,UPLINKFAST,BACKBONEFAST三個FAST會大大縮短狀態(tài)轉(zhuǎn)換的時間，提高效率。Portfast在接入層面向終端的接口上做，可減少30S的時間SW1(config)#intf0/2SW1(config-if)#spanning-treeportfastbpduguard啟用portfastUplinkfast在接入層交換機(jī)上做，可減少30S時間SW1(config)#spanning-treeuplinkfast啟用uplinkfastBackbonefast在所有交換機(jī)上做，可減少20S時間SW1(config)#spanning-treebackbonefast啟用backbonefast4.5.7DHCP現(xiàn)在需要為路由器接口和所有的PC機(jī)接口配置IP地址。由于4000個結(jié)點(diǎn)的網(wǎng)絡(luò)比擬大，為每一臺PC手工配置地址的工作量相當(dāng)大，所以我們要使用DHCP技術(shù)。HX1(config)#ipdhcpexcluded-addressHX1(config)#ipdhcpexcluded-addressHX1(config)#ipdhcpexcluded-address00HX1(config)#ipdhcpexcluded-address.254先配置除去PC機(jī)不能使用的IP地址HX1(config)#ipdhcpexcluded-addressHX1(config)#ipdhcpexcluded-address.2HX1(config)#ipdhcpexcluded-addressHX1(config)#ipdhcpexcluded-address54HX1(config)#ipdhcpexcluded-addressHX1(config)#ipdhcpexcluded-addressHX1(config)#ipdhcpexcluded-address00HX1(config)#ipdhcpexcluded-address.254HX1(config)#ipdhcpexcluded-addressHX1(config)#ipdhcpexcluded-address.2HX1(config)#ipdhcpexcluded-addressHX1(config)#ipdhcpexcluded-address54HX1(config)#ipdhcpexcluded-addressHX1(config)#ipdhcpexcluded-addressHX1(config)#ipdhcpexcluded-address00HX1(config)#ipdhcpexcluded-address.254HX1(config)#ipdhcpexcluded-addressHX1(config)#ipdhcpexcluded-address.2HX1(config)#ipdhcpexcluded-addressHX1(config)#ipdhcpexcluded-address54HX1(config)#ipdhcppoolccie1創(chuàng)立地址池CCIE1，一個VLAN一個地址池network宣告網(wǎng)段default-router默認(rèn)網(wǎng)關(guān)leaseinfinite地址租約時間設(shè)置為無限HX1(config)#ipdhcppoolccie2networkdefault-router.100leaseinfiniteHX1(config)#ipdhcppoolccie3networkdefault-router.100leaseinfiniteHX1(config)#ipdhcppoolccie4networkdefault-router.100leaseinfiniteHX1(config)#ipdhcppoolccie5networkdefault-router.100leaseinfiniteHX1(config)#ipdhcppoolccie6networkdefault-router.100leaseinfinitePC1(config)#ipdefault-gateway在PC機(jī)上指定默認(rèn)網(wǎng)關(guān)，所有的PC都要指和自己對應(yīng)的網(wǎng)關(guān)4.5.8HSRP核心層交換機(jī)的作用是快速轉(zhuǎn)發(fā)，如果它發(fā)生故障，那么會導(dǎo)致下層所有網(wǎng)絡(luò)癱瘓。所以要給核心層交換機(jī)做備份做冗余。我們一般使用兩臺核心交換機(jī)。這就用到了三層冗余技術(shù)：熱備份HSRP。HX1(config)#interfaceVlan10進(jìn)入VLAN10的接口下HX1(config-if)#ipaddress給VLAN10配置虛擬IP地址HX1(config-if)#standby1ip.100同步網(wǎng)關(guān)HX1(config-if)#standby1priority105設(shè)置優(yōu)先級，設(shè)置為主核心ACTIVEROUTERHX1(config-if)#standby1preempt配置搶占HX1(config-if)#standby1trackFastEthernet0/0配置端口跟蹤，面向上行鏈路以上配置VALN102030都要做HX1(config)#interfaceVlan40HX1(config-if)#HX1(config-if)#standbypreemptHX1(config-if)#不設(shè)置優(yōu)先級，表示為STANDBYROUTER以上配置VALN405060都要做同理在HX2上做相應(yīng)配置，要把ACTIVE和STANDBY對調(diào)。4.5.9根防護(hù)為了防止交換機(jī)上有接入一臺優(yōu)先級或MAC地址較小的交換機(jī)使得根被搶，要配置根防護(hù)SW1(config-if)#spanning-treeportfastbpduguarddefault所有接入層交換機(jī)面向PC的端口和連接設(shè)備的端口上都要做4.5.10路由協(xié)議路由器和核心交換機(jī)之間工作在三層，所以要起路由協(xié)議，這里啟用EIGRP路由協(xié)議，由于與分公司之間設(shè)備比擬少，我們只需要使用靜態(tài)路由即可?！惨妶D5〕圖5三層設(shè)備HX1(config)#iprouting啟用路由功能，核心層交換機(jī)HX1和HX2需要為網(wǎng)絡(luò)中的各個VLAN提供路由功能。這需要首先啟用核心層交換機(jī)的路由功能。R1(config)#routereigrp100啟用EIGRP協(xié)議R1(config-router)#noauto-summary關(guān)閉自動匯總功能把網(wǎng)段宣告進(jìn)協(xié)議中HX1(config)#routereigrp100HX1(config-router)#noauto-summaryHX1(config-router)#networkHX1(config-router)#network..0HX2(config)#routereigrp100HX2(config-router)#noauto-summaryHX2(config-router)#networkHX2(config-router)#network..04.5.11GRE-VPN由于連接分公司的線路需要經(jīng)過公網(wǎng)，為了保證其流量的平安性，需要打一條虛擬的通道GRE-VPN〔見圖6〕圖6GRE-VPN首先要定義加密策略R1(config)#cryptoisakmppolicy1加密第一階段IKE1R1(config-isakmp)#authenticationpre-share設(shè)備認(rèn)證，域共享R1(config-isakmp)#encryption3des數(shù)據(jù)加密方式R1(config-isakmp)#group2Diffiehellma分發(fā)密鑰，產(chǎn)生公鑰和私鑰R1(config-isakmp)#hashmd5檢驗(yàn)數(shù)據(jù)包完整性R1(config-isakmp)#exitR域共享的密鑰為ciscoR1(config)#cryptoipsectransform-setciscoesp-3desesp-md5-hmac加密第二階段，給數(shù)據(jù)包加密，指定加密方式R1(config)#access-list定義一個感興趣流R1(config)#cryptomapcisco1ipsec-isakmpR1(config-crypto-map)#matchaddress101RR1(config-crypto-map)#settransform-setciscoR1(config-crypto-map)#exitR1(config)#inttunnel0進(jìn)入TUNNEL0口R配置通道源地址R配置通道目的地址R1(config-if)#tunnelmodegreip指定通道模式R1(config-if)#ipaddress給通道接口配置虛擬IP地址R1(config-if)#cryptomapcisco將VPN掛在通道接口下R指一條靜態(tài)路由R2(config)#cryptoisakmppolicy1R2(config-isakmp)#authenticationpre-shareR2(config-isakmp)#encryption3desR2(config-isakmp)#group2R2(config-isakmp)#hashmd5R2(config-isakmp)#exitR20R2(config)#cryptoipsectransform-setciscoesp-3desesp-md5-hmacR2(config)#access-list55R2(config)#cryptomapcisco1ipsec-isakmpR2(config-crypto-map)#matchaddress101R20R2(config-crypto-map)#settransform-setciscoR2(config-crypto-map)#exitR2(config)#inttunnel0R21R20R2(config-if)#tunnelmodegreipR2(config-if)#ipaddressR2(config-if)#cryptomapciscoR2(config-if)#exitR2(config)#iproute4.5.12AAA效勞器AAA為了加強(qiáng)企業(yè)網(wǎng)的平安性，我們啟用AAA效勞器。該配置在連接AAA效勞器的HX2上做。HX2(config)#aaanew-mode1HX2(config)#aaaauthenticationdot1xdefaultgroupradiusHX2(config)#dot1xsystem-auth-controlHX2(config)#interfacef0/1HX2(config-if)#swichportmodeaccessHX2(config-if)#dot1xport-controlautoHX2(config-if)#dot1xguest-vlan1HX2(config-if)#dot1xauth-failvlan1HX2(config)#aaaauthenticationlogintelnetgrouptacacs+HX2(config)#aaaauthorizationexectelnetgrouptacacs+HX2(config)#aaaaccountingexectelnetstart-stopgrouptacacs+HX2(config)#HX2(config)#tacacs-severkeycisco4.5.13PBR20M專線網(wǎng)管和管理部需要有特權(quán)去高速穩(wěn)定地訪問外網(wǎng)，我們需要在R1上配置20M專線去到達(dá)這一需求。R1(config)#access-list112permitipany創(chuàng)立訪問控制列表來抓住管理部VLAN的流量R1(config)#access-list112permitipanyR1(config)#access-list112deny

ipanyany其他流量不允許通過R1(config)#route-