实战推荐：某大型思科网络的配置实例.doc

实战推荐：某大型思科网络的配置实例编者按：这是一个比较综合的实例，从拓扑图上可以看出，它所包含的设备和技术。以下对这个例子作些说明希望能够和各位网友交流。 1.对于内部局域网，选用Cisco的Catalyst 6506作为中心交换机，二级交换采用Catalyst 3500，同时为了说明Trunk，又加了一个Catalyst 2900 作为三级交换，对于终端连接用了Catalyst 1900交换机，这样就可以在Catalyst 6506与Catalyst 3500之间以及Catalyst 3500与Catalyst 2900 之间建立Trunk，实现跨交换机的VLAN。 注：Catalyst 2900系列如果要实现Trunk，软件必须是企业版的，关于类似疑问可以至疑难杂谈栏目。 2.对于外连上,主要是专线连接和拨号访问,当然种类比较多.包括了DDN、 ISDN、 Frame Relay、 E1 线路等。 3.本例给出设备的基本配置。 4.对于多设备的连接问题,值得注意的是路由问题,本实例外连部分采用静态路由而内部局域网采用动态路由. 5.在本例的帧中继配置中,运用了IP Unnumbered ,可以节省地址资源,有兴趣可以注意一下 在网关有关*作说明讲行很多，但很少有实例，这个配置例我想对于许多入门的朋友启发不少，我也希望这么的帖子与大家共享和交流一下！配置实例 VLAN划分问题: 对于交换设备本例中划到VLAN 1中,而对于外连设备的所有以太网端口,均划到VLAN 2中,下面给出各VLAN的名称和网关地址,本例划分8个VLAN. VLAN ID VLAN Name Gateway VLAN 1 Bluestudy 1 /16 VLAN 2 Bluestudy 2 /16 VLAN 3 Bluestudy 3 /16 VLAN 4 Bluestudy 4 /16 VLAN 5 Bluestudy 5 /16 VLAN 6 Bluestudy 6 /16 VLAN 7 Bluestudy 7 /16 VLAN 8 Bluestudy 8 /16 Catalyst 6506 的配置 Enter password: enable Enter password: config t set system name Bluestudy set time 10/30/2000 9:30:00 set password set enablepass set interface sc0 /16 set ip route default set ip dns server 00 set ip dns domain set ip dns enable set vtp domain bluestudy mode server set vlan 1 name Bluestudy 1 set vlan 2 name Bluestudy 2 set vlan 3 name Bluestudy 3 set vlan 4 name Bluestudy 4 set vlan 5 name Bluestudy 5 set vlan 6 name Bluestudy 6 set vlan 7 name Bluestudy 7 set vlan 8 name Bluestudy 8 set port negotiation 2/1-8 enable set port name 2/1-8 GEC 802.1Q Trunk set trunk 2/1-8 desirable dot1q set port speed 2/1-8 1000 set vlan 1 3/1-48 对于6506的交换机方面的配置只需做出Trunk即可,因为要实现跨交换机之间的虚网,下面配置6506的路由模块,因为6506的路由模块现在与管理引擎模块集成在了一起,所以,默认命令是:Session 15 详情请见 6506 路由设置. Catalyst 6506RSM模块的配置 (enable) session 15 Trying Router-15. Connected to Router-15. Escape character is . enable configure terminal hostname bluestudy enable password password line vty 0 6 password secret_word ip domain-name ip name-server 00 interface vlan 1 ip address no shutdown interface vlan 2 ip address no shutdown interface vlan 3 ip address no shutdown interface vlan 4 ip address no shutdown interface vlan 5 ip address no shutdown interface vlan 6 ip address no shutdown interface vlan 7 ip address no shutdown interface vlan 8 ip address no shutdown router rip version 2 network ip route 2 ip route 3 ip route 40 1 ip route 1 ip route 1 ip route 1 copy running-config startup-config Building configuration. OK 这里给出的是单纯的命令行,略去了一些默认状况的设置. Catalyst 3500 的配置 Catalyst 3500 的配置 ! version 12.0 no service pad service timestamps debug uptime service timestamps log uptime service password-encryption ! hostname bluestudy ! enable password password ! username bluestudy password password username test password password ! 省略端口的显示 ! interface GigabitEthernet0/1 switchport trunk encapsulation dot1q switchport mode trunk ! interface GigabitEthernet0/2 ! interface VLAN1 ip address ip helper-address 00 ip directed-broadcast no ip route-cache ! ip default-gateway interface Ethernet1/1(与2900对接) switchport trunk encapsulation dot1q switchport mode trunk ! interface Ethernet1/2(与1900 A对接) switchport access VLAN 3 no shut ! interface Ethernet1/3(与1900 B对接) switchport access VLAN 4 no shut ! snmp-server engineID local 000000090200000216BE4E80 snmp-server community public RO snmp-server community private RW snmp-server chassis-id 0x17 (打开简单的网络管理，便于以后，Cisco 网管软件识别和管理) ! line con 0 login local transport input none stopbits 1 line vty 0 4 login local line vty 5 15 login ! endCatalyst 2900 的配置 Catalyst 2900 的配置 2900的配置与3500的相似,命令如下 hostname bluestudy ! enable password password ! username bluestudy password password username test password password ! 省略端口的显示 ! interface Ethernet0/1(与3500对接) switchport trunk encapsulation dot1q switchport mode trunk ! interface VLAN1 ip address ip helper-address 00 ip directed-broadcast no ip route-cache ! ip default-gateway ! interface Ethernet0/2(与1900 C对接) switchport access VLAN 5 no shut ! interface Ethernet0/3(与1900 D对接) switchport access VLAN 6 no shut ! snmp-server engineID local 000000090200000216BE4E80 snmp-server community public RO snmp-server community private RW snmp-server chassis-id 0x17 ! line con 0 login local transport input none stopbits 1 line vty 0 4 login local line vty 5 15 login ! endCisco Catalyst 1900 的配置 Cisco Catalyst 1900 的配置 对于1900的配置就相对容易得多了 只需在enable 状态下键入 Setup 就会进入配置向导 给出交换机的 IP地址: 掩码: 网关: 就可以了,另外应该打开简单的网络管理协议SNMP snmp-server community public RO snmp-server community private RW 即可 PIX 520A的基本配置 PIX Version 4.2(4) nameif ethernet0 outside security0 nameif ethernet1 inside security100 enable password password encrypted passwd password encrypted hostname pix_A fixup protocol ftp 21 fixup protocol http 80 fixup protocol smtp 25 fixup protocol h323 1720 fixup protocol rsh 514 fixup protocol sqlnet 1521 names no failover failover timeout 0:00:00 failover ip address outside failover ip address inside pager lines 24 no logging console logging monitor debugging logging buffered debugging no logging trap logging facility 20 interface ethernet0 auto interface ethernet1 auto ip address outside 52 ip address inside 3 arp timeout 14400 nat (inside ) 0 52 rip outside passive no rip outside default no rip inside passive rip inside default route outside route inside timeout xlate 3:00:00 conn 1:00:00 udp 0:02:00 timeout rpc 0:10:00 h323 0:05:00 timeout uauth 0:05:00 absolut esnmp-server community public RO snmp-server community private RW telnet 00 55 telnet timeout 15 mtu outside 1500 mtu inside 1500 floodguard 0Cisco 2610A 的配置 Cisco 2610A 的配置 Current configuration: ! version 11.3 service timestamps debug uptime service timestamps log uptime service password-encryption ! hostname 2610A ! enable password password ! username bluestudy password password no ip domain-lookup! ! interface Ethernet0/0 ip address 52 no shut ! interface Serial0/0 ip address 52 no shut ! interface Serial0/1 no ip address shutdown ! ip route ip route ! snmp-server community public RO snmp-server community private RW ! line con 0 line aux 0 line vty 0 4 login local ! no scheduler allocate end Cisco 1603的配置 Current configuration: ! version 12.0 service timestamps debug uptime service timestamps log uptime no service password-encryption ! hostname 1603 ! enable secret password enable password password ! memory-size iomem 25 ip subnet-zero ! interface Serial0 ip address 52 no ip directed-broadcast ! interface Ethernet0 ip address no ip unreachables no ip directed-broadcast ! ip classless ip route s0 no ip http server ! snmp-server community public RO snmp-server community private RW ! line con 0 password password transport input none line aux 0 line vty 0 4 password password login ! no scheduler allocate end PIX 520B的基本配置 PIX Version 4.2(4) nameif ethernet0 outside security0 nameif ethernet1 inside security100 enable password password encrypted passwd password encrypted hostname pix520_B fixup protocol ftp 21 fixup protocol http 80 fixup protocol smtp 25 fixup protocol h323 1720 fixup protocol rsh 514 fixup protocol sqlnet 1521 names no failover failover timeout 0:00:00 failover ip address outside failover ip address inside pager lines 24 no logging console no logging monitor no logging buffered no logging trap logging facility 20 interface ethernet0 auto interface ethernet1 auto ip address outside 7 48 ip address inside 2 arp timeout 14400 global (outside) 1 00 nat (inside) 1 0 0 no rip outside passive no rip outside default no rip inside passive no rip inside default route outside 8 timeout xlate 3:00:00 conn 1:00:00 udp 0:02:00 timeout rpc 0:10:00 h323 0:05:00 timeout uauth 0:05:00 absolute no snmp-server location no snmp-server contact snmp-server community public no snmp-server enable traps telnet 00 55 telnet timeout 15 mtu outside 1500 mtu inside 1500 floodguard 0 Cisco 2610B 的配置 Current configuration: ! version 11.3 service timestamps debug uptime service timestamps log uptime service password-encryption ! hostname 2610B ! enable password password ! username bluestudy password password no ip domain-lookup! ! interface Ethernet0/0 ip address 8 48 no shut ! interface Serial0/0 ip address 52 no shut ! interface Serial0/1 no ip address shutdown ! ip route ! snmp-server community public RO snmp-server community private RW ! line con 0 line aux 0 line vty 0 4 login local ! no scheduler allocate end Cisco 2610c 的配置 version 11.2 service udp-small-servers service tcp-small-servers ! hostname 2610C ! enable secret cisco ! ip subnet-zero no ip domain-lookup ! ip address-pool local isdn switch-type basic-net3 interface Ethernet0 ip address 1 ! interface Serial0 no ip address encapsulation frame-relay frame-relay lmi-type ansi ! interface Serial0.1 point-to-point description Frame Relay to bluestudy1 ip unnumbered Ethernet0 frame-relay interface-dlci 10 ! interface Serial0.2 point-to-point description Frame Relay to bluestudy2 ip unnumbered Ethernet0 frame-relay interface-dlci 11 ! interface BRI1/0 no ip address shutdown isdn switch-type basic-net3 ! interface BRI1/1 ip address 40 encapsulation ppp timeout absolute 60 0 dialer idle-timeout 3600 dialer-group 1 isdn switch-type basic-net3 peer default ip address pool default ppp authentication chap pap callin ! interface BRI1/2 no ip address encapsulation ppp shutdown isdn switch-type basic-net3 ! interface BRI1/3 no ip address encapsulation ppp shutdown isdn switch-type basic-net3 no peer default ip address ! ip local pool default 4 ip http server ip classless ip route serial0.1 ip route serial0.2 ip route ! access-list 1 permit any dialer-list 1 protocol ip list 1 line con 0 password console login line aux 0 line vty 0 4 password telnet login ! end Cisco 1720A 的配置 version 11.2 service udp-small-servers service tcp-small-servers hostname bluestudy1 ! enable secret cisco ! ip subnet-zero no ip domain-lookup ! interface Fastethernet0 ip address ! interface Serial0 no ip address encapsulation frame-relay ! interface Serial0.1 point-to-point description Frame Relay to bluestudy ip unnumbered Ethernet0 frame-relay interface-dlci 10 ! ip http server ip classless ip route serial0.1 ! line con 0 password console login line aux 0 line vty 0 4 password bluestudy1 login ! end Cisco 1720B 的配置 version 11.2 service udp-small-servers service tcp-small-servers hostname bluestudy1 ! enable secret cisco ! ip subnet-zero no ip domain-lookup ! interface Fastethernet0 ip address ! interface Serial0 no ip address encapsulation frame-relay ! interface Serial0.1 point-to-point description Frame Relay to bluestudy ip unnumbered Ethernet0 frame-relay interface-dlci 11 ! ip http server ip classless ip route serial0.1 ! line con 0 password console login line aux 0 line vty 0 4 password bluestudy2 login ! end公司内部网如何进行VLAN的划分VLAN的定义 究竟什么是VLAN呢? VLAN（Virtual Local Area Network）即虚拟局域网，是一种通过将局域网内的设备逻辑地而不是物理地划分成一个个网段从而实现虚拟工作组的新兴技术。IEEE于1999年颁布了用以标准化VLAN实现方案的802.1Q协议标准草案。 VLAN技术允许网络管理者将一个物理的LAN逻辑地划分成不同的广播域（或称虚拟LAN，即VLAN），每一个VLAN都包含一组有着相同需求的计算机工作站，与物理上形成的LAN有着相同的属性。但由于它是逻辑地而不是物理地划分，所以同一个VLAN内的各个工作站无须被放置在同一个物理空间里，即这些工作站不一定属于同一个物理LAN网段。一个VLAN内部的广播和单播流量都不会转发到其他VLAN中，即使是两台计算机有着同样的网段，但是它们却没有相同的VLAN号，它们各自的广播流也不会相互转发,从而有助于控制流量、减少设备投资、简化网络管理、提高网络的安全性。 VLAN是为解决以太网的广播问题和安全性而提出的，它在以太网帧的基础上增加了VLAN头，用VLAN ID把用户划分为更小的工作组，限制不同工作组间的用户二层互访，每个工作组就是一个虚拟局域网。虚拟局域网的好处是可以限制广播范围，并能够形成虚拟工作组，动态管理网络。 既然VLAN隔离了广播风暴，同时也隔离了各个不同的VLAN之间的通讯，所以不同的VLAN之间的通讯是需要有路由来完成的。 VLAN的划分 1.根据端口来划分VLAN 许多VLAN厂商都利用交换机的端口来划分VLAN成员。被设定的端口都在同一个广播域中。例如，一个交换机的1，2，3，4，5端口被定义为虚拟网AAA，同一交换机的6，7，8端口组成虚拟网BBB。这样做允许各端口之间的通讯，并允许共享型网络的升级。但是，这种划分模式将虚拟网限制在了一台交换机上。 第二代端口VLAN技术允许跨越多个交换机的多个不同端口划分VLAN，不同交换机上的若干个端口可以组成同一个虚拟网。 以交换机端口来划分网络成员，其配置过程简单明了。因此，从目前来看，这种根据端口来划分VLAN的方式仍然是最常用的一种方式。 2.根据MAC地址划分VLAN 这种划分VLAN的方*是根据每个主机的MAC地址来划分，即对每个MAC地址的主机都配置它属于哪个组。这种划分VLAN方*的最大优点就是当用户物理位置移动时，即从一个交换机换到其他的交换机时，VLAN不用重新配置，所以，可以认为这种根据MAC地址的划分方*是基于用户的VLAN，这种方*的缺点是初始化时，所有的用户都必须进行配置，如果有几百个甚至上千个用户的话，配置是非常累的。而且这种划分的方*也导致了交换机执行效率的降低，因为在每一个交换机的端口都可能存在很多个VLAN组的成员，这样就无*限制广播包了。另外，对于使用笔记本电脑的用户来说，他们的网卡可能经常更换，这样，VLAN就必须不停地配置。 3.根据网络层划分VLAN 这种划分VLAN的方*是根据每个主机的网络层地址或协议类型(如果支持多协议)划分的，虽然这种划分方*是根据网络地址，比如IP地址，但它不是路由，与网络层的路由毫无关系。 这种方*的优点是用户的物理位置改变了，不需要重新配置所属的VLAN，而且可以根据协议类型来划分VLAN，这对网络管理者来说很重要，还有，这种方*不需要附加的帧标签来识别VLAN，这样可以减少网络的通信量。 这种方*的缺点是效率低，因为检查每一个数据包的网络层地址是需要消耗处理时间的(相对于前面两种方*)，一般的交换机芯片都可以自动检查网络上数据包的以太网帧头，但要让芯片能检查IP帧头，需要更高的技术，同时也更费时。当然，这与各个厂商的实现方*有关。 4.根据IP组播划分VLAN IP 组播实际上也是一种VLAN的定义，即认为一个组播组就是一个VLAN，这种划分的方*将VLAN扩大到了广域网，因此这种方*具有更大的灵活性，而且也很容易通过路由器进行扩展，当然这种方*不适合局域网，主要是效率不高。 VLAN的标准 对VLAN的标准，我们只是介绍两种比较通用的标准，当然也有一些公司具有自己的标准，比如Cisco公司的ISL标准，虽然不是一种大众化的标准，但是由于Cisco Catalyst交换机的大量使用，ISL也成为一种不是标准的标准了。 802.10VLAN标准 在1995年，Cisco公司提倡使用IEEE802.10协议。在此之前，IEEE802.10曾经在全球范围内作为VLAN安全性的同一规范。Cisco公司试图采用优化后的802.10帧格式在网络上传输FramTagging模式中所必须的VLAN标签。然而，大多数802委员会的成员都反对推广802.10。因为，该协议是基于FrameTagging方式的。 802.1Q 在1996年3月，IEEE802.1Internetworking委员会结束了对VLAN初期标准的修订工作。新出台的标准进一步完善了VLAN的体系结构，统一了Fram-eTagging方式中不同厂商的标签格式，并制定了VLAN标准在未来一段时间内的发展方向，形成的802.1Q的标准在业界获得了广泛的推广。它成为VLAN史上的一块里程碑。802.1Q的出现打破了虚拟网依赖于单一厂商的僵局，从一个侧面推动了VLAN的迅速发展。另外，来自市场的压力使各大网络厂商立刻将新标准融合到他们各自的产品中。 公司内部进行VLAN的划分实例 对于每个公司而言都有自己不同的需求，下面我们给出一个典型的公司的VLAN的实例，这样也可以成为我们以后为公司划分VLAN的依据。 某公司现在有工程部、销售部、财务部。VLAN的划分：工程部VLAN10，销售部VLAN20，财务部VLAN30，并且各部门还可以相互通讯。现有设备如下:Cisco 3640路由器，Cisco Catalyst 2924交换机一台，二级交换机若干台。 交换机配置文件中的部分代码如下： . ! interface vlan10 ip address ! interface vlan20 ip address ! interface vlan30 ip address ! . 路由器配置文件中的部分代码如下： . interface FastEthernet 1/0.1 encapsulation isl 10 ip address ! interface FastEthernet 1/0.2 encapsulation isl 20 ip address ! interface FastEthernet 1/0.3 encapsulation is