中小型企業(yè)網(wǎng)絡(luò)搭建

目錄TOC\o"1-3"\h\u76171緒論 241661.1研究背景及意義 214461.2互聯(lián)網(wǎng)的發(fā)展進程 263171.3計算機網(wǎng)絡(luò)在我國的發(fā)展歷程 2144211.4論文的組織安排本文由六章組成。 2308732企業(yè)網(wǎng)絡(luò)的設(shè)計概況 376222.1企業(yè)網(wǎng)設(shè)計原則 3289972.1.1高可靠性與穩(wěn)定性 338122.1.2良好的可擴展性 325952.1.3可管理性和可維護性 317332.1.4安全性 4178422.1.5可購買性 4109152.2經(jīng)典三層模型介紹 456542.3關(guān)鍵技術(shù) 5180792.3.1動態(tài)路由OSPF 5223492.3.2鏈路聚合 534752.3.3端口安全 610853需求分析 672953.1總體需求 6176393.2企業(yè)所需設(shè)備介紹 616223.2.1接入層設(shè)備選型 6101173.2.2匯聚層設(shè)備選型 749153.2.3核心層設(shè)備選型 790634企業(yè)網(wǎng)絡(luò)的設(shè)計與實現(xiàn) 7302744.1企業(yè)網(wǎng)絡(luò)拓撲設(shè)計 7152934.2IP地址規(guī)劃 861094.3接入層交換機配置 824844.3.1配置SSH安全登陸 9157964.3.2端口劃分VLAN并配置VLAN中繼 9288264.3.3配置交換機端口安全 10268604.4匯聚層交換機設(shè)計配置 1050784.4.1STP實施與配置 10170624.4.2DHCP服務(wù)配置 1197264.4.3配置鏈路聚合 11290034.4.4配置HSRP第一條冗余 1285364.5核心路由器配置 13177964.5.1NAT配置與實施 13157374.5.2動態(tài)路由OSPF配置 13255604.5.3IPSecVPN的實施 14212325企業(yè)網(wǎng)絡(luò)測試與結(jié)果 15307805.1測試目的 1594895.2路由協(xié)議測試 15110325.3VLAN之間的通信 162914總結(jié) 172965參考文獻 18摘要近年來，互聯(lián)網(wǎng)及其相關(guān)技術(shù)迅猛發(fā)展，使得企業(yè)迎來數(shù)字化辦公方式的新局面。企業(yè)必須提高工作效率與管理水平，為了提高企業(yè)的市場競爭力。因此，企業(yè)需要建立一個高效的數(shù)字化辦公平臺。而作為數(shù)字辦公的根基，企業(yè)網(wǎng)這一基礎(chǔ)平臺的建設(shè)就顯得尤為重要，把企業(yè)網(wǎng)建設(shè)成高穩(wěn)定性、高安全性、便于管理以及拓展性強的高效網(wǎng)絡(luò)。本文以某小型企業(yè)網(wǎng)絡(luò)建設(shè)項目為背景，研究國內(nèi)外企業(yè)網(wǎng)絡(luò)建設(shè)的特點和優(yōu)缺點后，從企業(yè)目前實際情況和未來發(fā)展入手，結(jié)合目前網(wǎng)絡(luò)建設(shè)的主流技術(shù)，設(shè)計提出完整的企業(yè)網(wǎng)絡(luò)建設(shè)方案。以企業(yè)需求為導向，設(shè)計一個可實現(xiàn)企業(yè)日常通信功能的企業(yè)網(wǎng)。在總體架構(gòu)上，采用三層網(wǎng)絡(luò)架構(gòu)，核心層采用雙核心交換，企業(yè)內(nèi)部有兩條鏈路訪問互聯(lián)網(wǎng)，以減少因單點失效而引起的網(wǎng)絡(luò)故障。在安全性上，企業(yè)網(wǎng)內(nèi)部部署防火墻，企業(yè)總部和分部之間采用IPSec進行數(shù)據(jù)的加密，而且特殊部門還采用ACL技術(shù)進行訪問的控制。企業(yè)網(wǎng)內(nèi)部按照部門進行VLAN劃分，并在數(shù)據(jù)鏈路層實現(xiàn)多VLAN的防環(huán)技術(shù)。本文涉及到的技術(shù)有：IPsecVPN技術(shù)、NAT地址轉(zhuǎn)換技術(shù)、HSRP熱備份路由協(xié)議、OSPF路由協(xié)議、VLAN虛擬局域網(wǎng)等。關(guān)鍵詞：企業(yè)網(wǎng)；網(wǎng)絡(luò)規(guī)劃；三層架構(gòu)

1緒論1.1研究背景及意義隨著信息化建設(shè)的推進，企業(yè)通過建設(shè)自己的內(nèi)部網(wǎng)絡(luò)，搭建辦公平臺，大大提高了辦公效率，并且減少了不必要的人力物力消耗。目前中小型企業(yè)網(wǎng)絡(luò)建設(shè)的重點在于經(jīng)濟實用，需要一個合理適用的方案，既節(jié)約成本，也能提高企業(yè)運行效率。1.2互聯(lián)網(wǎng)的發(fā)展進程20世紀60年代末，互聯(lián)網(wǎng)的前生阿帕網(wǎng)（AdvancedResearchProjectsAgencyNetwork,ARPANET）,又稱ARPA網(wǎng)?，F(xiàn)在看來該網(wǎng)絡(luò)非常原始，但是它以及具備網(wǎng)絡(luò)的基本形態(tài)和功能。20世紀60年代中期，各計算機公司都紛紛推出自己的網(wǎng)絡(luò)體系，但各廠商的之間沒有統(tǒng)一的網(wǎng)絡(luò)體系標準，無法實現(xiàn)互聯(lián)互通。直到1984年“開放系統(tǒng)互聯(lián)參考模型”的頒布，才解決了這一問題。在這之后，各種網(wǎng)絡(luò)技術(shù)層出不窮，大大推動了網(wǎng)絡(luò)的深入化發(fā)展。這一階段的計算機網(wǎng)絡(luò)發(fā)展特點為：高速、智能、廣泛的應(yīng)用。1.3計算機網(wǎng)絡(luò)在我國的發(fā)展歷程我國計算機網(wǎng)絡(luò)起步于20世紀80年代，雖然起步較晚，技術(shù)也落后，但經(jīng)過幾十年的艱苦發(fā)展，經(jīng)歷種種困難，但目前我國在信息技術(shù)方面已經(jīng)趕上其他國家，在5G方向更是領(lǐng)先全球。我國于1980年開始互聯(lián)網(wǎng)接入實驗，直到1994年40月，中國國家計算機與網(wǎng)絡(luò)設(shè)施（NCFC）工程通過美國Sprint公司接入互聯(lián)網(wǎng)的64k國際專線開通，中國實現(xiàn)與國際互聯(lián)網(wǎng)的全功能接入。1996年，越來越多的商業(yè)互聯(lián)網(wǎng)公司成立，其中熟知的有：新浪、網(wǎng)易、騰訊、阿里巴巴、百度等。從這開始中國互聯(lián)網(wǎng)迅猛發(fā)展，各互聯(lián)網(wǎng)企業(yè)都探索到互聯(lián)網(wǎng)商業(yè)價值，互聯(lián)網(wǎng)經(jīng)濟也日漸繁榮。1.4論文的組織安排本文由六章組成。第一章緒論。主要闡述了課題的研究背景，國內(nèi)外課題的發(fā)展情況，以及本篇論文的主體結(jié)構(gòu)及每章要點。第二章企業(yè)網(wǎng)絡(luò)的設(shè)計概況。主要說明了網(wǎng)絡(luò)設(shè)計的規(guī)范體系，闡述三層網(wǎng)絡(luò)模型的優(yōu)缺點，以及設(shè)計所用到的網(wǎng)絡(luò)技術(shù)。第三章企業(yè)網(wǎng)絡(luò)的需求分析。主要介紹網(wǎng)絡(luò)需求，針對需求合理設(shè)計，并介紹了相關(guān)部署的網(wǎng)絡(luò)設(shè)備。第四章企業(yè)網(wǎng)絡(luò)的設(shè)計實現(xiàn)。主要介紹了企業(yè)網(wǎng)絡(luò)的拓撲設(shè)計，VLAN以及IP地址的詳細規(guī)劃，并且按照網(wǎng)絡(luò)層次結(jié)構(gòu)分別介紹相關(guān)技術(shù)配置命令。第五章針對各種企業(yè)網(wǎng)絡(luò)設(shè)計方案進行測試。根據(jù)上一章對網(wǎng)絡(luò)的整體設(shè)計，分別對網(wǎng)絡(luò)設(shè)計的各功能模塊進行測試。第六章總結(jié)全篇，展望企業(yè)網(wǎng)絡(luò)的發(fā)展前景。總結(jié)全文，認真歸納本文所提方案的不足，并期待在未來的研究中有所突破。2企業(yè)網(wǎng)絡(luò)的設(shè)計概況2.1企業(yè)網(wǎng)設(shè)計原則世上沒有百分百完美的組網(wǎng)方案，只有最適合用戶的組網(wǎng)方案。想要組建一個安全穩(wěn)定的企業(yè)網(wǎng)絡(luò)，要從組網(wǎng)成本，設(shè)備選擇，組網(wǎng)技術(shù)，網(wǎng)絡(luò)安全等多個方面考慮。中小型企業(yè)在網(wǎng)絡(luò)組建過程中，應(yīng)該遵循以下原則：2.1.1高可靠性與穩(wěn)定性根據(jù)企業(yè)自身的需求，選擇能滿足企業(yè)網(wǎng)絡(luò)需求，并且還能適應(yīng)當前信息技術(shù)快速發(fā)展的先進、成熟的網(wǎng)絡(luò)產(chǎn)品和技術(shù)，以確保網(wǎng)絡(luò)安全穩(wěn)定運行和較長的使用壽命?？煽啃允球炞C網(wǎng)絡(luò)設(shè)計是否科學的最重要標準。例如，單位網(wǎng)絡(luò)設(shè)計服務(wù)時間為：每周5天，每天24小時。如果120小時總共110小時，其可用性約為92％。使用網(wǎng)絡(luò)冗余設(shè)計，為了網(wǎng)絡(luò)中的減少節(jié)點宕機風險來確保整個穩(wěn)定運行網(wǎng)絡(luò)。我們希望無論發(fā)生嚴重的事故，我們都可以確保網(wǎng)絡(luò)穩(wěn)定，事故的影響最小化。2.1.2良好的可擴展性企業(yè)網(wǎng)絡(luò)應(yīng)考慮未來用戶設(shè)計和升級網(wǎng)絡(luò)技術(shù)的增加。該網(wǎng)絡(luò)需要高度靈活的寬帶接入功能，提供各種業(yè)務(wù)界面，并且可以通過智能控制，靈活的高動態(tài)服務(wù)提供適應(yīng)的寬帶要求。在Web設(shè)計中，我們使用模塊化和網(wǎng)絡(luò)拓撲級別設(shè)計方法來使網(wǎng)絡(luò)架構(gòu)更易于擴展。2.1.3可管理性和可維護性考慮到企業(yè)網(wǎng)絡(luò)的實際運行方式和機房位置等因素，需要加強網(wǎng)絡(luò)管理系統(tǒng)的全面監(jiān)控及管理。同時提供穩(wěn)妥的運行管理方案、故障解決方案、安全防護方案、性能管理方案和配置方案等。要盡可能地綜合性考慮各項因素，使網(wǎng)絡(luò)在投入使用后更加方便管理和維護。2.1.4安全性網(wǎng)絡(luò)安全問題在近些年逐漸重要，越來越多的企業(yè)遭到黑客、木馬、勒索病毒等攻擊，竊取企業(yè)保密文件，給企業(yè)帶來經(jīng)濟損失。因此，在設(shè)計之初就應(yīng)該采用安全可靠的網(wǎng)絡(luò)拓撲結(jié)構(gòu)，選擇可靠性高、故障率低的網(wǎng)絡(luò)鏟平，。并且根據(jù)具體情況合理劃分虛擬局域網(wǎng)（VLAN），通過子網(wǎng)劃分使得各部門之間隔離開來。同時還應(yīng)該考慮到外部入侵、滲透，建立必要的網(wǎng)絡(luò)安全體系和數(shù)據(jù)備份系統(tǒng)。2.1.5可購買性可購買性的目標就是在預算范圍內(nèi)，使企業(yè)網(wǎng)絡(luò)獲得獲得最大化的性能。2.2經(jīng)典三層模型介紹三層網(wǎng)絡(luò)結(jié)構(gòu)模型包括：核心層、匯聚層和接入層。三層模型將復雜的網(wǎng)絡(luò)體系分成三個層次，每層提供相應(yīng)功能，使整個網(wǎng)絡(luò)變得結(jié)構(gòu)化、簡單化，同時也能減少后期運維的工作量。圖2-1三層網(wǎng)絡(luò)模型三層網(wǎng)絡(luò)模型如上圖2-1所示，在三層結(jié)構(gòu)上還簡化出了二層網(wǎng)絡(luò)模型，二層網(wǎng)絡(luò)模型只有核心層和接入層，沒有匯聚層。對于網(wǎng)絡(luò)規(guī)模小，聯(lián)網(wǎng)距離比較短的環(huán)境。忽略匯聚層，核心層設(shè)備可以直接連接接入層，這樣一來可以省去部分匯聚層的費用，還可以減輕維護負擔。但網(wǎng)絡(luò)性能跟網(wǎng)絡(luò)的健壯性就不如三層網(wǎng)絡(luò)模型，而且二層網(wǎng)絡(luò)模型中核心層設(shè)備負擔較大，如遇到流量高峰容易導致設(shè)備導致宕機，從而使整個企業(yè)網(wǎng)絡(luò)癱瘓。一般大中型網(wǎng)絡(luò)都按照標準的三層結(jié)構(gòu)設(shè)計建造，其資源控制能力，可靠性，性能都是二層網(wǎng)絡(luò)模型不可比擬的。（1）核心層核心層是整個網(wǎng)絡(luò)的主干，在整個網(wǎng)絡(luò)中有著極其重要的作用。它承載著絕大部分的內(nèi)網(wǎng)數(shù)據(jù)流量，正是這一重要地位使得核心層的必須有以下特點：高可靠性，冗余性，高速轉(zhuǎn)發(fā)，低時延等。并且核心層設(shè)備必須采用雙機冗余熱備份，負載均衡功能，用來提高網(wǎng)絡(luò)性能與網(wǎng)絡(luò)可靠性。同時核心層設(shè)備也將占據(jù)網(wǎng)絡(luò)預算的主要部分。（2）匯聚層匯聚層位于核心層和接入層之間，匯聚層需要處理來自接入層的大量數(shù)據(jù)流量，并提供到核心層的上行鏈路，對數(shù)據(jù)包進行過濾、流量均衡、IP地址轉(zhuǎn)換等。因此匯聚層交換機與接入層交換機相比，要有更高的性能，更多種類的接口和更高的交換速率。（3）接入層接入層面向最底層的鏈接，例如用戶的接入，服務(wù)器的接入等。接入層還應(yīng)當負責一些用戶管理功能如：地址認證、用戶認證等，以及用戶信息收集工作如：用戶的IP地址、MAC地址、訪問日志等。接入層交換機擁有低成本和高端口密度的特點。2.3關(guān)鍵技術(shù)本次網(wǎng)絡(luò)設(shè)計涉及到的相關(guān)技術(shù)有：動態(tài)路由協(xié)議OSPF、鏈路聚合、端口安全等，下面進行介紹。2.3.1動態(tài)路由OSPFOSPF（OpenShortestPathFirst），最短路徑優(yōu)先協(xié)議。由IETF開發(fā)，是一種開放的路由協(xié)議，所有人都可以使用，不受任何廠商的限制。它一般用于同一自治系統(tǒng)（AutonomousSystem）中。當應(yīng)用到大規(guī)模的網(wǎng)絡(luò)中，通常將網(wǎng)絡(luò)劃分成多個OSPF區(qū)域。OSPF協(xié)議主要有點有：路由狀態(tài)快速收斂、支持可變長子網(wǎng)掩碼、支持更多的網(wǎng)絡(luò)節(jié)點等。2.3.2鏈路聚合鏈路聚合是將多個物理鏈接的鏈路，邏輯上虛擬成一條鏈路。正常狀態(tài)下，流量分組通過這多個物理鏈路，當其中一個物理鏈路損壞時，流量依舊可以通過其余物理鏈路。它可以實現(xiàn)鏈路的負載均衡和提高鏈路的冗余性。其特點主要有：提高鏈路帶寬、提高網(wǎng)絡(luò)可靠性、實現(xiàn)流量的負載均衡。2.3.3端口安全端口安全（PortSecurity），主要依靠MAC地址來識別控制訪問用戶。使用端口安全特性可以防止未經(jīng)允許的設(shè)備訪問網(wǎng)絡(luò)，并增強安全性。另外，端口安全特性也可用于防止MAC地址泛洪造成MAC地址表填滿。其共有三種違規(guī)模式：保護、限制、關(guān)閉。3需求分析3.1總體需求目前該公司有兩個辦公區(qū)域，一個總部跟一個分部。在物理位置上，兩個辦公點不在同一園區(qū)，但需要兩點之間可以相互通信。總部網(wǎng)絡(luò)搭建較早缺乏長遠的網(wǎng)絡(luò)規(guī)劃，同時對網(wǎng)絡(luò)需求也不夠明確，造成目前公司網(wǎng)絡(luò)問題日益增多?，F(xiàn)公司欲希望設(shè)計出一個設(shè)計規(guī)范、功能完備、性能優(yōu)良、安全可靠、有良好的擴展性與可用性的網(wǎng)絡(luò)。總體需求如下：（1）公司內(nèi)160臺辦公電腦均能訪問Internet。（2）核心層關(guān)鍵設(shè)備應(yīng)當具備靈活的配置模塊，并且實現(xiàn)冗余設(shè)計，滿足核心層24*7連續(xù)運行的可靠要求。（3）不同部門間用戶也可以相互傳輸數(shù)據(jù)，分部人員可以正常訪問總部服務(wù)器以及內(nèi)部人員的相互通信。（4）核心層-匯聚層-接入層之間實現(xiàn)萬兆通信，桌面接入實現(xiàn)千兆通信。（5）確保服務(wù)器安全策略，做好服務(wù)器備份，保證數(shù)據(jù)安全和穩(wěn)定。3.2企業(yè)所需設(shè)備介紹3.2.1接入層設(shè)備選型接入層是將終端用戶連接到網(wǎng)絡(luò)，面向用戶連接。接入層交換機一般選用二層交換機，其特點是價格便宜和端口密度高。在設(shè)備選型時，可以選用國際知名互聯(lián)網(wǎng)廠商CISCO的2960系列交換機。圖3-1Catalyst2960交換機3.2.2匯聚層設(shè)備選型匯聚層交換機一般選用三層交換機。三層交換機負擔著快速轉(zhuǎn)發(fā)，網(wǎng)絡(luò)接入控制，內(nèi)網(wǎng)間路由。需要具備高可靠性與高性能。市場上三層交換機型號眾多，主流大廠商產(chǎn)品有著性能強、模塊化、智能化等特點。當然功能越強大，售價也隨著水漲船高。我們選擇時需要明確兩點，一是根據(jù)需求購買，不能一味貪圖高性能而選最貴的；選擇能滿足當下企業(yè)需求，并且還要為以后技術(shù)發(fā)展留一點余地。二是選擇模塊化三層交換機，模塊化交換機擁有強大的靈活性和可擴充性；用戶可以根據(jù)自生不同的需求，使用不同速率、不同接口類型的模塊。綜合需求和性價比，最終選擇CiscoCatalyst3560E-24TD作為匯聚和核心交換機,其主要優(yōu)勢有：易用性、可靠性、可擴展性、高性能路由等。3.2.3核心層設(shè)備選型核心層路由器又稱“骨干路由器”，在企業(yè)網(wǎng)中是連接內(nèi)網(wǎng)與公網(wǎng)的關(guān)鍵所在，其核心功能是“路由選擇”。路由器選用CISCO4321路由器。4企業(yè)網(wǎng)絡(luò)的設(shè)計與實現(xiàn)4.1企業(yè)網(wǎng)絡(luò)拓撲設(shè)計該公司的網(wǎng)絡(luò)設(shè)計方案拓撲圖，如圖4-1所示：圖4-1公司網(wǎng)絡(luò)拓撲設(shè)計該設(shè)計符合傳統(tǒng)的三層網(wǎng)絡(luò)結(jié)構(gòu)，在最大限度的滿足企業(yè)所需的前提下，降低了企業(yè)網(wǎng)絡(luò)搭建所需的開銷，以獲取最佳性價比。在此次設(shè)計中，著重考慮了冗余設(shè)計與安全性。在匯聚層采用雙核心冗余設(shè)計，在核心層路由器上也是采用雙電源冗余，大大提高了整體網(wǎng)絡(luò)的可靠性。并且加入防火墻模塊，使安全性大大增強。4.2IP地址規(guī)劃公司內(nèi)部采用私有C類網(wǎng)絡(luò)地址，即192.X.X.X。采用規(guī)范化的私有地址。因此企業(yè)網(wǎng)VLAN劃分及IP地址規(guī)劃表，如下表所示。 表4-1VLAN劃分表VLAN編號VLAN名稱網(wǎng)絡(luò)號子網(wǎng)掩碼VLAN10saleVLAN20networkVLAN30ministryVLAN40finacneVLAN50service表4-2IP地址分配表設(shè)備 接口IP地址VLANISP3 S0/2/0/24S0/1/1/24ISP4 S0/1/0/24S0/2/0/24R1 S0/1/0/24S0/0/0/24R2 S0/1/0/24G0/0/0/24G0/0/1/24FW G1/1/24G1/2/24G1/3/24MS1 G0/1/24VLAN10/24VLANVLAN20/24VLANVLAN30/24VLANMS2 G0/1/24VLAN40/24VLANVLAN50/24VLANMS3 F0/24/24MS4 F0/24/244.3接入層交換機配置在接入層交換機上需要配置的技術(shù)有：端口劃分VLAN、配置VLAN中繼、端口安全、配置SSH安全登陸等。4.3.1配置SSH安全登陸在接入層交換機上配置SSHS1(config)#//配置網(wǎng)絡(luò)IP域名S1(config)#ipsshversion2//啟用SSH第2版S1(config)#cryptokeygeneratersa//啟用SSH服務(wù)器并生成RSA密鑰對Howmanybitsinthemodulus[512]:512//模數(shù)長度為512S1(config)#usernameadminsecretcisco//創(chuàng)建本地身份驗證用戶名和密碼對S1(config)#linevty015//配置VTY線路S1(config-line)#transportinputssh//啟用VTY線路上的SSH協(xié)議S1(config-line)#loginlocal//使用本地用戶名數(shù)據(jù)庫進行SSH連接的4.3.2端口劃分VLAN并配置VLAN中繼S1(config)#vlan10//配置VLAN10S1(config-vlan)#exitS1(config)#intrangef0/1–2//進入f0/1-2接口S1(config-if-range)#switchportmodeaccess//將接口模式改為接入（access）模式S1(config-if-range)#switchportaccessvlan10//劃分端口為VLAN10S1(config-if-range)#exitS1(config)#intrangef0/23–24//進入f0/23-24接口S1(config-if-range)#switchportmodetrunk//將接口模式改為中繼（TRUNK）模式S1(config-if-range)#switchporttrunkallowedvlan10,20,30,40,50//設(shè)置允許通過的VLAN編號S1(config-if-range)#exitMS1(config)#vlan10MS1(config-vlan)#vlan20MS1(config-vlan)#vlan30MS1(config-vlan)#vlan40MS1(config-vlan)#vlan50//配置VLAN10，20，30，40，50MS1(config-vlan)#exitMS1(config)#intrangef0/1–5//進入f0/1-5接口MS1(config-if-range)#switchporttrunkencapsulationdot1q//在二層端口配置802.1q協(xié)議MS1(config-if-range)#switchportmodetrunk//將接口設(shè)為中繼（TRUNK）模式MS1(config-if-range)#switchporttrunkallowedvlan10,20,30,40,50//設(shè)置允許通過的VLAN號MS1(config-if-range)#exit4.3.3配置交換機端口安全S1(config)#intrangef0/1–2//進入f0/1-2接口S1(config-if-range)#switchportmodeaccess//將端口設(shè)置為接入（access）模式S1(config-if-range)#switchportport-securitymaximum1//允許端口對大接入MAC地址為一S1(config-if-range)#switchportport-securityviolationrestrict//設(shè)置違規(guī)模式為限制（restrict）S1(config-if-range)#exit4.4匯聚層交換機設(shè)計配置需要在匯聚層交換機上配置的技術(shù)有：STP生成樹協(xié)議、DHCP服務(wù)、鏈路聚合與第一挑冗余協(xié)議等，以及VLAN的劃分、VLAN的中繼、IP地址的設(shè)置等。4.4.1STP實施與配置MS1(config)#spanning-treevlan10rootprimaryMS1(config)#spanning-treevlan20rootprimaryMS1(config)#spanning-treevlan30rootprimaryMS1(config)#spanning-treevlan40rootsecondaryMS1(config)#spanning-treevlan50rootsecondaryMS1(config)#spanning-treeportfastdefaultMS1(config)#spanning-treeportfastbpduguarddefaultMS2(config)#spanning-treevlan10rootsecondaryMS2(config)#spanning-treevlan20rootsecondaryMS2(config)#spanning-treevlan30rootsecondaryMS2(config)#spanning-treevlan40rootprimaryMS2(config)#spanning-treevlan50rootprimaryMS2(config)#spanning-treeportfastdefaultMS2(config)#spanning-treeportfastbpduguarddefaultMS2(config)#exit將三層交換機MS1配置為VLAN10,20,30的主根網(wǎng)橋和VLAN40,50的次根網(wǎng)橋。再將三層交換機MS2配置為VLAN40,50的主根網(wǎng)橋和VLAN10,20,30的次根網(wǎng)橋。并且在兩個交換機上都配置PortFast與BPDU防護，快速端口（PortFast）是將該端口不再使用STP算法，在原本狀態(tài)下端口接上PC機會有50秒的狀態(tài)變化過程，之后PC機才能發(fā)送用戶數(shù)據(jù)，啟用快速端口之后就可以不用再等待這50秒。BPDU保護僅用在portfast模式，主要用來加強STP域邊界。4.4.2DHCP服務(wù)配置ipdhcpexcluded-address//排除IPV4地址ipdhcpexcluded-address//排除地址應(yīng)包括分配給路由器、服務(wù)器、打印機和其他已經(jīng)或者將手動配置的設(shè)備的地址//此處排除了分配給VLAN的地址和HSRP的虛擬IP地址ipdhcpexcluded-address54ipdhcpexcluded-address54ipdhcppoolVLAN-10//配置DHCPv4地址池，創(chuàng)建一個包含指定名稱的池network//定義地址池default-router54ipdhcppoolVLNA-20//創(chuàng)建地址池，名稱為VLAN-20networkdefault-router54//定義默認網(wǎng)關(guān)4.4.3配置鏈路聚合S1(config)#intrangeg0/1-2S1(config-if-range)#shutdownS1(config-if-range)#duplexautpS1(config-if-range)#speed100S1(config-if-range)#channel-group1modeactiveS1(config-if-range)#noshutdownS1(config-if-range)#exitS2(config)#intrangeg0/1-2S2(config-if-range)#shutdownS2(config-if-range)#duplexautoS2(config-if-range)#speed100S2(config-if-range)#channel-group1modeactiveS2(config-if-range)#noshutdownS2(config-if-range)#exit該配置是使用LACP配置EtherChannel，先將端口禁用，并且手動為其配置雙工和速度，設(shè)置接口通道為1，最后重啟接口。該鏈路聚合屬于接入層的二層鏈路聚合。MS1(config)#intrangef0/23-24MS1(config-if-range)#noswitchportMS1(config-if-range)#noipaddressMS1(config-if-range)#channel-group1modeonMS1(config-if-range)#speedautoMS1(config-if-range)#duplexautoMS1(config-if-range)#noshutdownMS1(config-if-range)#exitMS2(config)#intrangef0/23-24MS2(config-if-range)#noswitchportMS2(config-if-range)#noipaddressMS2(config-if-range)#channel-group1modeonMS2(config-if-range)#speedautoMS2(config-if-range)#duplexautoMS2(config-if-range)#noshutMS2(config-if-range)#noshutdownMS2(config-if-range)#exit該命令是在三層交換機上配置三層鏈路聚合，其與二層鏈路聚合最大的區(qū)別在于IP地址，三層交換機具有路由功能，因此其接口既有路由器接口的性質(zhì)也有交換機接口的性質(zhì)。路由器接口可以設(shè)置IP地址，但接入層交換機沒有其功能。4.4.4配置HSRP第一條冗余MS1(config)#intvlan10MS1(config-if)#ipaddressMS1(config-if)#standbyversion2MS1(config-if)#standby1ipMS1(config-if)#standby1priority150MS1(config-if)#standby1preemptMS1(config-if)#noshutdownMS1(config-if)#exitMS2(config)#intvlan10MS2(config-if)#ipaddressMS2(config-if)#standby1ipMS2(config-if)#noshutdownMS2(config-if)#exit在MS1上啟動HSRPv2而不是默認的HSRPv1，配置HSRP虛擬地址，設(shè)置優(yōu)先級為150，默認優(yōu)先級為100（范圍0到255）。MS2沒有設(shè)置HSRP優(yōu)先級，則HSRP會使用默認優(yōu)先級100。這樣MS1優(yōu)先級高它就成為活動三層交換機，MS2成為備用三層交換機。以此類推，可以將MS1設(shè)置為VLAN10,20,30的活動網(wǎng)關(guān)和VLAN40,50備用網(wǎng)關(guān)。將MS2設(shè)為VLAN10,20,30的備用網(wǎng)關(guān)和VLAN40,50的活動網(wǎng)關(guān)。4.5核心路由器配置核心層路由器是整個網(wǎng)絡(luò)的重中之重，在路由器上需要配置的技術(shù)有：IP地址分配、OSPF路由配置、NAT配置、IPSecVPN配置等。4.5.1NAT配置與實施企業(yè)總部網(wǎng)絡(luò)和生活區(qū)均支持通過中國電信寬帶接入Internet網(wǎng)絡(luò)，因此在這兩個區(qū)域網(wǎng)絡(luò)的邊界路由器R-1和R-2上必須配置NAT網(wǎng)絡(luò)地址轉(zhuǎn)換服務(wù)。具體配置命令如下：interfacerangGigabitEthernet0/0/0-1ipnatinside//配置內(nèi)部接口interfaceSerial0/1/0ipnatoutside//配置外部接口ipnatinsidesourcelist10interfaceSerial0/1/0overload//綁定ACL與地址池，overload關(guān)鍵字，允許多個內(nèi)部本地地址使用一個內(nèi)部全局地址access-list10permitany//配置ACL，用于標識（允許）哪些將要進行轉(zhuǎn)換的地址4.5.2動態(tài)路由OSPF配置R1(config)#routerospf1//啟動OSPF進程R1(config-router)#router-id//配置路由器IDR1(config-router)#network55area0//通告直連網(wǎng)絡(luò)R1(config-router)#networkarea0//通告直連網(wǎng)絡(luò)MS1(config)#routerospf1MS1(config-router)#router-idMS1(config-router)#network 55 area 0MS1(config-router)#network 55 area 0MS1(config-router)#network 55 area 0MS2(config)#routerospf1MS2(config-router)#router-idMS2(config-router)#network 55 area 0MS2(config-router)#network 55 area 0MS2(config-router)#network 55 area 04.5.3IPSecVPN的實施R1(config)#cryptopolicy10R1(config-isakmp)#encryptionaesR1(config-iskmp)#authenticationpre-shareR1(config-iskmp)#hashshaR1(config-iskmp)#grounp5R1(config-iskmp)#cryptoisakmpkeyciscoaddressR1(config)#cryptoipsectransform-setTRANesp-aesesp-sha-hmacR1(config)#ipaccess-listextendedVPNR1(config-ext-nacl)#permitip5555R1(config)#cryptomapMAP10ipsec-isakmp/R1(config-crypto-map)#setpeerR1(config-crypto-map)#settransform-setTRANR1(config-crypto-map)#matchaddressVPNR1(config-crypto-map)#reverse-routestaticR1(config)#ints1/0R1(config-if)#cryptomapMAPR4(config)#cryptoisakmppolicy10R4(config-isakmp)#encryptionaesR4(config-isakmp)#authenticationpre-shareR4(config-isakmp)#hashshaR4(config-isakmp)#group5R4(config-isakmp)#exitR4(config)#cryptoisakmpkeyciscoaddressR4(config)#cryptoipsectransform-setTRANesp-aesesp-sha-hmacR4(config)#ipaccess-listextendedVPNR4(config-ext-nac|)#permitip5555.R4(config)#cryptomapMAP10ipsec-isakmpR4(config-crypto-map)#setpeerR4(config-crypto-map)#settransform-setTRANR4(config-crypto-map)#reverse-routestaticR4(config-crypto-map)#matchaddressVPNR4(config)#ints1/0R4(config-if)#cryptomapMAP5企業(yè)網(wǎng)絡(luò)測試與結(jié)果5.1測試目的企業(yè)網(wǎng)的規(guī)劃已基本搭建完成，下面對本文所實現(xiàn)的網(wǎng)絡(luò)功能進行檢測。通過檢測結(jié)果與系統(tǒng)需求相比較，發(fā)現(xiàn)所組建的網(wǎng)絡(luò)與客戶需求不符之處，從而給出更加完善的方案。5.2路由協(xié)議測試根據(jù)規(guī)劃設(shè)計，在網(wǎng)絡(luò)邊界路由器上R1與R2上均配置了靜態(tài)路由。showiproutestatic命令輸出顯示路由表靜態(tài)路由。圖5-1R1中的靜態(tài)路由第一條路由為IPSecVPN靜態(tài)路由。第二條路由為到達對方網(wǎng)絡(luò)的靜態(tài)路由。第三條路由為默認靜態(tài)路由。圖5-2R2中的靜態(tài)路由根據(jù)規(guī)劃設(shè)計，在公司內(nèi)網(wǎng)中，我們采用了OSPF動態(tài)路由協(xié)議，使用showipospfneighbor和showiproute分別查看是否與鄰居路由器建立連接關(guān)系，動態(tài)路由學習情況。圖5-3MS1中的OSPF鄰居表圖5-4