典型企业网的设计与组建毕业设计.doc

毕 业 论 文典型企业网的设计与组建摘 要 本文以设计和组建一个典型的企业网为例, 阐述了企业网络工程设计的基本方法和具体的实现过程.其主要内容包括网络拓扑结构的设计, 设备的选用, IP地址的划分, VLAN（虚拟局域网）的分配,等等。采用的关键技术包括：网络三层结构设计、VTP（虚拟局域网干道协议）、PAT（端口地址转换）、冗余备份和负载均衡。本设计通过众多网络技术的应用，组建成一个可扩展的，高速的，冗余的网络，同时实现语音，视频，图像等各种服务的应用。关键词 拓扑结构 虚拟局域网 三层结构 冗余备份 负载均衡目 录1 前言12 需求分析12.1 网络项目背景12.1.1 企业网背景12.1.2 企业部门信息点规划12.2 网络系统需求分析22.2.1 网络带宽需求22.2.2 网络扩展需求22.2.3 网络安全性需求23 系统设计原则23.1 实用性原则23.2 先进性原则23.3 可靠性原则33.4 安全性原则33.5 可扩展性原则33.6 可维护与易操作性44 设备采用44.1 核心层设备44.2 分布层设备54.3 接入层设备64.4 路由器设备85 系统总体设计方案概述95.1 系统组成与拓扑结构95.2 VLAN及IP地址划分106 交换模块116.1 配置接入层交换机136.1.1 配置接入层交换机AccessSwitch1的基本参数136.1.2 配置接入层交换机AccessSwitch1的管理IP146.1.3 配置接入层交换机AccessSwitch1的VLAN及VTP156.1.4 配置接入层交换机AccessSwitch1端口基本参数156.1.5 配置接入层交换机AccessSwitch1的访问端口166.1.6 配置接入层交换机AccessSwitch1的主干道端口166.1.7 配置接入层其他交换机176.2 配置分布层交换机176.2.1 配置分布层交换机DistributeSwitch1的基本参数176.2.2 配置分布层交换机DistributeSwitch1的管理IP186.2.3 配置分布层交换机DistributeSwitch1的VTP186.2.4 在分布层交换机DistributeSwitch1上定义VLAN196.2.5 配置分布层交换机DistributeSwitch1的端口基本参数206.2.6 配置分布层交换机DistributeSwitch1的3层交换功能216.2.7 配置分布层其他交换机216.3 配置核心层交换机216.3.1 配置核心层交换机CoreSwitch1的基本参数216.3.2 配置核心层交换机CoreSwitch1的管理IP226.3.3 配置核心层交换机CoreSwitch1的VLAN及VTP226.3.4 配置核心层交换机CoreSwitch1的端口参数236.3.5 配置核心层交换机CoreSwitch1的路由功能246.3.6 核心层交换机CoreSwitch2的配置246.3.7 配置HSRP和STP，实现冗余备份和负载均衡257 广域网接入模块277.1 配置接入路由器Router的基本参数287.2 配置接入路由器Router的各接口参数287.3 配置接入路由器Router的路由功能287.4 配置接入路由器InternetRouter上的PAT288 远程接入模块简介299 服务器模块简介3010 网络检验与测试3110.1 主要的测试、诊断命令3110.2 路由和路由协议测试、诊断命令3210.3 VLAN、VTP测试诊断命令3210.4 NAT测试、诊断命令3211 结束语33参考文献34Abstract35致谢36仲恺农业工程学院毕业论文(设计)成绩评定表37III1 前言信息化高速发展的今天，企业局域网的建设已经成为提升企业核心竞争力的关键因素。近年来企业都在建立自身的信息网络，目前我国企业尤其是中小企业网络建设正在如火如荼地开展着，但随着网络规模不断扩大，冲突不断产生，管理难度日益加大。如何合理的规划与配置使更有效地提高网络管理的灵活性，提高网络效率和网络安全性。该设计将主要使公司实现安全访问广域网、发布企业信息、宣传交流、与外界通信、外地员工可利用Internet（因特网）远程访问公司资源等常用企业任务和需求, 为用户到用户、用户到应用提供速度合理、功能可靠的连接等功能，实现网络化、信息化的先进办公系统1。2 需求分析2.1 网络项目背景2.1.1 企业网背景该公司为一家大中型企业，公司里有员工总数超过200人。公司建筑为楼层建筑，整个企业网有约共400个信息点，包括可扩展点。而随着公司人员的壮大，公司规模的不断扩大，办公信息化以及自动化的需求，为提高公司的各个部门之间的办公信息化，提高效率，提高部门间的信息交流，实现现代化的办公环境，则需要建立一个完善和稳定的企业网络。该企业局域网络要保证整个企业信息点的互联、统一、高效、实用、安全，可支持上百个用户同时并发使用。而且要求该企业局域网的可扩展性强，可支持更多的用户，可扩展的、高速的、充分冗余的、基于标准的网络，该网络能够支持融合了话音、视频、图像和数据的应用程序2。2.1.2 企业部门信息点规划公司的部门繁多，主要分为：财务部，行政部，销售部，人事部，市场部，技术部，业务部，企划部，后勤部。信息点分布情况如下3：财务部：25台 行政部：30台销售部：35台 人事部：40台市场部：45台 技术部：30台业务部：40台 企划部：45台后勤部：45台2.2 网络系统需求分析2.2.1 网络带宽需求公司为大中型企业，对公司的网络带宽要求较高，以保证网络视频、语音、图像等信息的传输顺畅，信息传输无阻塞。因此，以1000Mb/s光纤作为主干和垂直布线，以100Mb/s超五类双绞线作为水平布线，以此来构建该企业网络。2.2.2 网络扩展需求一个完善的网络设计方案，应该充分考虑到网络的可扩展性。因为随着企业的发展，规模的增大，网络上的用户将不断增加，从而保证网络的可扩展性则至关重要。在布线和设置信息点端口等时，应该充分考虑到企业网的可扩展性，从而在未来几年内网络将可随时扩展。2.2.3 网络安全性需求网络的安全性对于任何网络来说都是非常重要的，它包括网络的防攻击（服务攻击和非服务攻击），网络安全漏洞的弥补，网络信息传输的安全（防止信息被黑客截获、窃取、破译，篡改和伪造），防止抵赖问题（防止信息源用户对他发送的信息事后不承认，或者是用户接收到信息之后不认账），网络内部安全防范（指如何防止局域网内部具有合法身份的用户有意或无意地做出对网络与信息安全有害的行为），网络防病毒，抵制无用信息（俗称垃圾）邮件与灰色软件，以及网络高度冗余能力、数据备份恢复与灾难恢复（因为虽然可以从预防、检查、反应等方面着手去减少网络信息系统的不安全因素，但是要完全保证系统不出现安全事件，这是任何人都不可能做到的）。3 系统设计原则3.1 实用性原则企业网络的组建设计，首先应立足于网络的实用性，结合企业实际应用需求来确定。整个网络的功能应完全立足于企业管理和运营的需求，保证系统信息处理和传递的安全、可靠、及时、准确。在技术与选材方面，应充分考虑到实用性原则，应当优先考虑采用在当前及未来几年内处于主流位置的技术和设备。设备的选型应有最优的性能价格比，以最省的投资实现尽可能多的功能。同时，布线系统能够在将来适应技术发展的支撑。3.2 先进性原则先进性原则在企业网的组建设计当中是至关重要一个设计原则，在设计的时候应该采用可靠的成熟的先进技术。采用先进的技术、方法、设备，使系统既成熟可靠又能反映当今应用水平，并具发展潜力。综合布线系统适应广泛的数据通信和应用，从而保护用户在线缆及网络系统上的投资。3.3 可靠性原则一个系统的可靠性, 是指一个系统在一定的条件下和一定的时间内完成预定功能的能力。如果一个系统完成后不可靠，那么它将是个失败的工程。提高网络设备的高可靠性, 从技术途径来说, 只有两条一是避错技术，二是容错技术。避错技术采取的方法就是提高网络的可靠性, 也就是保证网络的高质量。要想进一步提高和保证网络的高可靠性, 就必须在给定的网络结构基础上, 再构成一个更高可靠性的系统。那就是采用容错技术。容错是通过系统资源的冗余和对资源的精心组织来实现的。应该在系统结构、设计方案、设备选择、技术服务等方面综合考虑，保证系统在完成后能够无故障运行。同时系统必须具有出错处理能力、容错能力、冗余备份功能等。3.4 安全性原则安全性历来是受关注的话题，因为一个没有安全保证的网络是不可想象的。通常，传统意义的网络安全主要是指网络的可靠性和有效抵御事故或不可抗拒的灾害的能力。采用的措施包括系统、数据库及传输的备份、冗余配置、容灾系统建设等，同时还包括供电系统、机房设施的安全性保证。在网络IP化、引入计算机技术以及数据业务迅速发展的今天，网络安全性原则更侧重于以下两方面：一是有效地抵御黑客对网络的攻击和入侵，以及病毒与垃圾邮件等对网络的威胁，避免系统资源被无效占用而造成的线路拥塞甚至系统瘫痪，为客户提供高质量的服务；二是避免有害信息在网络中传播。因此，网络的安全性原则在系统设计中显得非常重要。网络系统必须具有高度的安全性和保密性，通过设置分级保护、控制数据存取的权限，防止对系统的非法侵入。3.5 可扩展性原则系统应易于升级和功能扩充。在系统容量、能力、处理能力等方面具有可扩展性，可以方便地进行产品和设备的升级换代，不仅能够保护企业的投资，而且具有较高的综合性能价格比。企业中的用户可增加硬件设备，无论各硬件设备技术如何发展，都能很方便的连接到系统中去。在满足实用性的基础上具备一定的超前。当企业不断的发展、新的技术不断涌现的情况下。适当的增加新的硬件设备时能方便地接入网络、网络扩容容易实现；软件上便于更新、维护、升级。网络的可扩展性保证主要是通过交换机端口、服务器处理器数、内存容量、磁盘架数等方面来保证。通常要求核心，或者骨干层，甚至会聚层交换机的高速端口(通常为千兆位端口) 要有两个以上用于维护和扩展，不要在设计之初就只想到当前所需的这类端口数，把所有高速端口都占用完。3.6 可维护与易操作性提供有效的网络管理和系统监控、调试、诊断技术，保证系统维护管理简明、方便、有效。采用标准的网络系统结构和统一的通信处理方式，能实现作为完整系统的功能特性。同时，为方便企业管理人员的操作，企业网的组建应该考虑到网络的易操作性。必须提供友好的界面，操作简便，容错性强，易于管理和维护4。4 设备采用4.1 核心层设备考虑到整个网络需要400个左右的信息点，核心层配置两台Cisco 6506交换机，以便做好冗余备份，提供高速的交换，Cisco 6506具有以下特性：基本参数 网络类型：以太网、快速以太网、ISDN、FDDI、ATM、Token Ring、Gigabit以太网 网络协议：802.3z，802.3u，ATM 端口总数：N/A 闪存：16 MB 功能参数 引擎交换：3,2 速率：VLAN最大数：1000；底版：可扩充至256 Gbps；多层性能：可扩充至150 Mpps； 模块化插槽数 6；底版：可扩充至256 Gbps； 可用模块：WS-X6408-GBIC=Catalyst 6000，8端口千兆位以太网模块(需要GBIC)；WS-X6302-MSM=Catalyst 6000，多层交换机模块；WS-X6248-RJ-45=Catalyst 6000，48端口10/100bTX (RJ-45)模块；WS-X6224-100FX-MT=Catalyst 6000，24端口100bFX (多模式，MT-RJ)；WS-X6248-TEL=Catalyst 6000，48端口Telco模块；MEM-C6K-FLC16M=Catalyst 6000 Supervisor PCMCIA 16MB闪存卡；MEM-C6K-FLC24M=Catalyst 6000 Sup PCMCIA闪存卡，24MB备用； 是否支持VLAN：是 是否支持QoS/CoS：是 网管功能：CiscoWorks 2000、RMON、Enhanced Switched Port Ananlyzer (ESPAN)、SNMP、Telnet、BOOTP和小型文件传输协议(TFTP) 软件功能：WS-C6X09-EMS-LIC=Catalyst 6x09 RMON代理许可；WS-C6X06-EMS-LIC=Catalyst 6x06 RMON代理许可；FRC-MSM-IPX=Catalyst 6000 IPX特性集许可；CON-SNT-PKG16：Catalyst 6000 SMARTnet维护 其他参数 电源：WS-X6K-SUP1-2GE+交流电源 尺寸：20.1x17.2x18.1 in. cm 价格：35000元图1 Cisco 65064.2 分布层设备在分布层配置三台CISCO 6509交换机，为企业提供高速交换，其基本参数如下：基本参数 网络类型：以太网、快速以太网、ISDN、FDDI、ATM、Token Ring、Gigabit以太网 网络协议：802.3z，802.3u，ATM 端口总数：N/A 闪存：16 MB 功能参数 引擎交换：3,2 速率：VLAN最大数：1000；底版：可扩充至256 Gbps；多层性能：可扩充至150 Mpps； 模块化插槽数 9 可用模块：WS-X6408-GBIC=Catalyst 6000，8端口千兆位以太网模块(需要GBIC)；WS-X6302-MSM=Catalyst 6000，多层交换机模块；WS-X6248-RJ-45=Catalyst 6000，48端口10/100bTX (RJ-45)模块；WS-X6224-100FX-MT=Catalyst 6000，24端口100bFX (多模式，MT-RJ)；WS-X6248-TEL=Catalyst 6000，48端口Telco模块；MEM-C6K-FLC16M=Catalyst 6000 Supervisor PCMCIA 16MB闪存卡；MEM-C6K-FLC24M=Catalyst 6000 Sup PCMCIA闪存卡，24MB备用； 是否支持VLAN：是 是否支持QoS/CoS：是 网管功能：CiscoWorks 2000、RMON、Enhanced Switched Port Ananlyzer (ESPAN)、SNMP、Telnet、BOOTP和小型文件传输协议(TFTP) 软件功能：WS-C6X09-EMS-LIC=Catalyst 6x09 RMON代理许可；WS-C6X06-EMS-LIC=Catalyst 6x06 RMON代理许可；FRC-MSM-IPX=Catalyst 6000 IPX特性集许可；CON-SNT-PKG16：Catalyst 6000 SMARTnet维护 其他参数 电源：交流电源+WS-X6K-SUP1-2GE 尺寸：25.2x17.2x18.1 in. cm价格：40000元4.3 接入层设备在分布层的每台交换机上连接3台48端口的交换机，即在接入层配置9台48端口的交换机，以满足400信息点的需求。在此采用CISCO WS-C2950G-48-EI交换机，其具体参数如下：基本参数 网络类型：快速以太网 网络协议：IEEE 802.1x,10BaseT、100BaseTX、1000BaseT端口上的IEEE 802.3x全双工操作,IEEE 802.1D生成树协议,IEEE 802.1p CoS,IEEE 802.1Q VLAN,IEEE 802.3ab 1000BaseTX规范 ,IEEE 802.3u 100BaseTx规范,IEEE 802.3 10BaseTx规范 端口总数：48 闪存：8 MB 功能参数 最大地址数：8000 背板带宽：8.8 Gbps 速率：10/100Base-T，GBIC DRAM：16 MB 可用模块：无 是否支持VLAN：是 是否支持QoS/CoS：是 网管功能：SNMP管理信息库(MIB)II，SNMP MIB扩展，桥接MIB(RFC 1493) 其他参数 电源：使用内置电源或Cisco RPS300电源 尺寸：44.5*24.2*4.4 cm 重量：3 Kg价格：18000元图2 CISCO WS-C2950G-48-EI4.4 路由器设备企业网的路由器选用的是Cisco 2821，其具体参数如下：路由器类型：模块化路由器最大Flash内存：256MB 最大DRAM内存:1024MB 网络认证标准:IEEE 802.3X 网络端口 局域网接口:2个10/100/1000Mbps端口 其他控制端口:Console 扩展插槽:11个 网络功能 Qos功能 路由器包转发率:0.04 Mpps 路由器网管功能:Cisco ClickStart,SNMP VPN功能:支持VPN 防火墙功能:内置 其他功能 集成语音留言范围广泛的话音接口支持 SRST, 分支机构可利用集中呼叫控制, 并通过SRST冗余性为IP电话经济有效地提供本地分支机构备份 安全标准:UL 60950:CAN/CSA C22.2 No. 60950,IEC 60950,EN 60950-1,AS/NZS 60950 其他参数 电源电压:100-240 VAC 功耗：240W 外观尺寸：416438.288.9 mm 机身重量：11.4kg图3 Cisco 28215 系统总体设计方案概述5.1 系统组成与拓扑结构一般来说，在一个局域网中，让全网的所有设备都使用同一个厂家的设备，可以实现各种不同网络设备功能的互相配合和补充。因此，在本设计方案中，我们将完全采用同一家厂商的网络产品，即Cisco公司的网络设备来构建，以达到实现网络设备统一的目的，也便于设备间的兼容。本企业网设计方案主要由以下几个部分构成：交换模块、广域网接入模块、远程访问模块、服务器群。整个网络系统的拓扑结构图如下图所示5。图4 拓扑图5.2 VLAN及IP地址划分在局域网中划分VLAN的作用：1. 限制广播域。广播域被限制在一个VLAN内，节省了带宽，提高了网络处理能力。2. 增强局域网的安全性。不同VLAN内的报文在传输时是相互隔离的，即一个VLAN内的用户不能和其它VLAN内的用户直接通信，如果不同VLAN要进行通信，则需要通过路由器或三层交换机等三层设备。3. 灵活构建虚拟工作组。用VLAN可以划分不同的用户到不同的工作组，同一工作组的用户也不必局限于某一固定的物理范围，网络构建和维护更方便灵活。在企业网中实行VLAN的划分，能有助于各个部门的分工,方便管理,同时便于各种针对不同部门的策略的应用:该公司共有9个部门，分别为：财务部，行政部，销售部，人事部，市场部，技术部，业务部，企划部，后勤部。另外，服务器群也划分一个VLAN。因此根据实际情况，对企业的局域网进行VLAN的划分，具体如下表：表1 VLAN的划分VLAN编号VLAN名称IP网段子网掩码说明VLAN1-17216002552552550管理VLANVLAN10CWB17216102552552550财务部VLAN20XZB17216202552552550行政部VLAN30XSB17216302552552550销售部VLAN40RSB17216402552552550人事部VLAN50SCB17216502552552550市场部VLAN60JSB17216602552552550技术部VLAN70YWB17216702552552550业务部VLAN80QHB17216802552552550企划部VLAN90HQB17216902552552550后勤部VLAN100FWQ172161002552552550服务器群6 交换模块本企业网的设计方案是一个分层的设计方案，采用三层设计模型。因而，在本企业网的内部数据交换模块的部署配制上是分层进行的，这样设计可以简化本企业网中的交换网络设计、提高交换网络的可扩展性。企业网的数据交换设备我们将它划分为三层，分别是：接入层、分布层、核心层。在现代交换网络中，我们还引入了虚拟局域网（Virtual LAN,VLAN）的概念。VLAN技术的出现，主要为了解决交换机在进行局域网互连时无法限制广播的问题。这种技术可以把一个LAN划分成多个逻辑的LANVLAN，每个VLAN是一个广播域，VLAN内的主机间通信就和在一个LAN内一样，而VLAN间则不能直接互通，这样，广播报文被限制在一个VLAN内。VLAN的优点：1. 限制广播域。广播域被限制在一个VLAN内，节省了带宽，提高了网络处理能力。2. 增强局域网的安全性。不同VLAN内的报文在传输时是相互隔离的，即一个VLAN内的用户不能和其它VLAN内的用户直接通信，如果不同VLAN要进行通信，则需要通过路由器或三层交换机等三层设备。3. 灵活构建虚拟工作组。用VLAN可以划分不同的用户到不同的工作组，同一工作组的用户也不必局限于某一固定的物理范围，网络构建和维护更方便灵活。VLAN将广播域限制在单个VLAN内部，减小了各VLAN间主机的广播通信对其他VLAN的影响。在VLAN间需要通信的时候，可以利用VLAN间路由技术来实现。 当我们的局域网中需要管理的交换机数量非常多时，我们可以使用VLAN中继协议（Vlan Trunking Protocol，VTP）简化管理。它是一个OSI参考模型第二层的通信协议，主要用于管理在同一个域的网络范围内VLAN的建立、删除和重命名。在一台VTP Server（VTP服务器）上配置一个新的VLAN时，该VLAN的配置信息将自动传播到本域内的其他所有交换机。这些交换机会自动地接收这些配置信息，使其VLAN的配置与VTP Server保持一致，从而减少在多台设备上配置同一个VLAN信息的工作量，而且保持了VLAN配置的统一性。 VTP通过网络(ISL帧或Cisco私有DTP帧)保持VLAN配置统一性。VTP在系统级管理增加，删除，调整的VLAN，自动地将信息向网络中其它的交换机广播。此外，VTP减小了那些可能导致安全问题的配置。便于管理,只要在VTP Server做相应设置,VTP Client（VTP客户机）会自动学习VTP Server上的VLAN信息。因此，在本设计中，我们只需在单独一台交换机上定义所有VLAN。然后通过VTP协议将VLAN定义传播到本管理域中的所有交换机上。这样，大大减轻了网络管理人员的工作负担和工作强度。 当局域网络的交换机数量增多、交换机间链路增加时，交换网络的复杂性可能会造成交换环路问题，这时候我们需要通过在各交换机上运行生成树协议（Spanning Tree Protocol，STP）来解决。STP可应用于环路网络，通过一定的算法实现路径冗余，同时将环路网络修剪成无环路的树型网络，从而避免报文在环路网络中的增生和无限循环。STP的基本原理是，通过在交换机之间传递一种特殊的协议报文（在IEEE 802.1D中这种协议报文被称为“配置消息”）来确定网络的拓扑结构。配置消息中包含了足够的信息来保证交换机完成生成树计算。6.1 配置接入层交换机接入层的功能为为企业局域网中的所有的终端用户提供一个接入点。本设计中的接入层交换机采用的是CISCO WS-C2950G-48-EI交换机。该交换机拥有48个自适应快速以太网端口，运行的是Cisco的IOS操作系统。这里，我们以其中一个接入层交换机AccessSwitch1为例进行介绍它的配置。图5 接入层交换机AccessSwitch16.1.1 配置接入层交换机AccessSwitch1的基本参数1、设置交换机名称设置交换机名称，也就是出现在交换机CLI提示符中的名字。一般以地理位置或行政划分来为交换机命名。当需要Telnet登录到若干台交换机以维护一个大型网络时，通过交换机名称提示符提示自己当前配置交换机的位置是很有必要的。设置了交换机的名称，可以方便网络管理员管理，方便管理员很快识别所管理的交换机是哪台交换机，该交换机的功能等等。为接入层交换机AccessSwitch1命名：Swith(config)#hostname AccessSwitch1AccessSwitch1(config)# 2、设置交换机的加密使能口令当用户在普通用户模式而想要进入特权用户模式时，需要提供此口令。此口令会以MD5的形式加密，因此，当用户查看配置文件时，无法看到明文形式的口令。从而也加强了网络的安全性。将交换机的加密使能口令设置为password：AccessSwitch1(config)#enable secret password3、设置登录虚拟终端线时的口令 对于一个已经运行着的交换网络来说，交换机的带内远程管理为网络管理人员提供了很多的方便。但是，在能够远程管理交换机之前网络管理人员必须设置远程登录交换机的口令，这样是为了实现安全。设置登录交换机时需要验证用户身份，同时设置口令为guess：AccessSwitch1(config)#line vty 0 15AccessSwitch1(config-line)#loginAccessSwitch1(config-line)#password guess 4、设置终端线超时时间 我们可以设置终端线超时时间。在设置的时间内，如果没有检测到键盘输入，IOS将断开用户和交换机之间的连接，这样也是为了保证网络系统的安全。设置登录交换机的控制台终端线路及虚拟终端线的超时时间为5分10秒： AccessSwitch1(config)#line vty 0 15AccessSwitch1(config-line)#exec-timeout 5 10AccessSwitch1(config-line)#line con 0AccessSwitch1(config-line)#exec-timeout 5 105、设置禁用IP地址解析特性 在交换机默认配置的情况下，当输入一条错误的交换机命令时，交换机会尝试将其广播给网络上的DNS服务器并将其解析成对应的IP地址。利用命令no ip domain-lookup。可以禁用这个特性。设置禁用IP地址解析特性:AccessSwitch1(config)#no ip domain-lookup6.1.2 配置接入层交换机AccessSwitch1的管理IP 接入层交换机是OSI参考模型的第2层设备，即数据链路层的设备。因此，给接入层交换机的每个端口设置IP地址是没意义的。但是，为了使网络管理人员可以从远程登录到访问层交换机上进行管理，必须给访问层交换机设置一个管理用IP地址。这种情况下，实际上是将交换机看成和PC机一样的主机。 给交换机设置管理用IP地址只能在VLAN1，即本征VLAN中进行。管理VLAN所在的子网是：/24，这里将访问层交换机AccessSwitch1的管理IP地址设为：/24。为访问层交换机AccessSwitch1设置管理IP并激活本征VLAN:AccessSwitch1(config)#interface vlan 1AccessSwitch1(config-ip)#ip address AccessSwitch1(config-ip)#no shutdown6.1.3 配置接入层交换机AccessSwitch1的VLAN及VTP 在本企业网设计方案中，我们使用了VTP技术，从而大大提高了网络工作效率。在本设计中，我们将分布层交换机DistributeSwitch1设置为本网络中的VTP服务器，而其他的交换机则设置成为VTP客户机。根据VTP的原理，接入层交换机AccessSwitch1将通过VTP获得在分布层交换机DistributeSwitch1中定义的所有的VLAN的信息。设置接入层交换机AccessSwitch1成为VTP客户机。AccessSwitch1(config)#vtp mode client6.1.4 配置接入层交换机AccessSwitch1端口基本参数1、端口双工配置可以设定某端口根据对端设备双工类型自动调整本端口双工模式，也可以强制将端口双工模式设为半双工或全双工模式。在了解对端设备类型的情况下，我们采用手动设置端口双工模式。设置访问层交换机AccessSwitch1的所有端口均工作在全双工模式：AccessSwitch1(config)#interface range fastethernet 0/1-48AccessSwitch1(config-if-range)#duplex full2、端口速度可以设定某端口根据对端设备速度自动调整本端口速度，也可以强制将端口速度设为10Mpbs或100Mbps。在了解对端设备速度的情况下，我们采用手动设置端口速度。 设置访问层交换机AccessSwitch1的所有端口的速度均为100Mbps。AccessSwitch1(config)#interface range fastethernet 0/1-48AccessSwitch1(config-if-range)#speed 1006.1.5 配置接入层交换机AccessSwitch1的访问端口接入层交换机AccessSwitch1为终端用户提供接入服务。在本设计中，接入层交换机AccessSwitch1为VLAN10（即财务部，所需信息点为25个，因此需划分给它25个端口）提供接入服务。 1、设置访问层交换机AccessSwitch1的端口125设置接入层交换机AccessSwitch1的端口1端口25工作在访问（接入）模式。同时，设置端口1端口25为VLAN 10的成员：AccessSwitch1(config)#interface range fastethernet 0/1-25AccessSwitch1(config-if-range)#switchport mode accessAccessSwitch1(config-if-range)#switchport access vlan 102、设置快速端口默认情况下，交换机在刚加电启动时，每个端口都要经历生成树的四个阶段：阻塞、侦听、学习、转发。在能够转发用户的数据包之前，某个端口可能最多要等50秒钟的时间（20秒的阻塞时间15秒的侦听延迟时间15秒的学习延迟时间）。 对于直接接入终端工作站的端口来说，用于阻塞和侦听的时间是不必要的。为了加速交换机端口状态转化时间，可以设置将某端口设置成为快速端口（Portfast）。设置为快速端口的端口当交换机启动或端口有工作站接入时，将会直接进入转发状态，而不会经历阻塞、侦听、学习状态（假设桥接表已经建立）。 设置接入层交换机AccessSwitch1的端口1端口25为快速端口：AccessSwitch1(config)#interface range fastethernet 0/1-25AccessSwitch1(config-if-range)#spanning-tree portfast6.1.6 配置接入层交换机AccessSwitch1的主干道端口如图5-1所示，接入层交换机AccessSwitch1通过端口FastEthernet 0/48上连到分布层交换机DistributeSwitch1的端口FastEthernet 0/24。这条上连链路将成为主干道链路，在这条上连链路上将运输VLAN的数据。设置接入层交换机AccessSwitch1的端口FastEthernet 0/48为主干道端口：AccessSwitch1(config)#interface range fastethernet 0/48AccessSwitch1(config-if-range)#switchport mode trunk6.1.7 配置接入层其他交换机接入层其他交换机其他VLAN（VLAN20,VLAN30,VLAN40等）的用户提供接入服务。同时，分别通过自己的FastEthernet 0/48上连到分布层交换机。对接入层其他交换机的配置步骤、命令和对接入层交换机AccessSwitch1的配置类似。这里，不再详细分析。6.2 配置分布层交换机分布层除了负责将接入层交换机进行汇集外，还为整个交换网络提供VLAN间的路由选择功能。这里的分布层交换机采用的是CISCO 6509交换机。CISCO 6509交换机拥有24个10/100Mbps自适应快速以太网端口，同时还有2个1000Mbps的GBIC端口供上连使用，运行的是Cisco的Integrated IOS操作系统。我们以分布层交换机DistributeSwitch1为例进行介绍分布层交换机的配置。图6 分布层交换机DistributeSwitch16.2.1 配置分布层交换机DistributeSwitch1的基本参数 对分布层交换机DistributeSwitch1的基本参数的配置步骤与对接入层交换机AccessSwitch1的基本参数的配置类似。因此在这里，只给出实际的配置步骤。Switch#configure terminalSwitch(config)#hostname DistributeSwitch1DistributeSwitch1(config)#enable secret guessDistributeSwitch1(config)#line con 0DistributeSwitch1(config-line)#exec-timeout 5 10DistributeSwitch1(config-line)#line vty 0 15DistributeSwitch1(config-line)#password aaaDistributeSwitch1(config-line)#loginDistributeSwitch1(config-line)#exec-timeout 5 10DistributeSwitch1(config-line)#exitDistributeSwitch1(config)#no ip domain-lookup6.2.2 配置分布层交换机DistributeSwitch1的管理IP为分布层交换机DistributeSwitch1设置管理IP并激活本征VLAN:DistributeSwitch1(config)#interface vlan 1DistributeSwitch1(config-if)#ip address DistributeSwitch1(config-if)#no shutdownDistributeSwitch1(config-if)#exit6.2.3 配置分布层交换机DistributeSwitch1的VTP当网络中交换机数量很多时，需要分别在每台交换机上创建很多重复的VLAN。这样工作量很大、过程很繁琐，并且容易出错。因而，我们常采用VLAN中继协议（Vlan Trunking Protocol，VTP）来解决这个问题。VTP允许我们在一台交换机上创建所有的VLAN。然后，利用交换机之间的互相学习功能，将创建好的VLAN定义传播到整个网络中需要此VLAN定义的所有交换机上。同时，有关VLAN的删除、参数更改操作均可传播到其他交换机。从而大大减轻了网络管理人员配置交换机负担。 在本企业网实现方案中我们使用了VTP技术。同时，将分布层交换机DistributeSwitch1设置成为VTP服务器，其他交换机则设置成为VTP客户机。1、配置VTP的管理域共享相同VLAN定义数据库的交换机构成一个VTP管理域。每一个VTP管理域都有一个共同的VTP管理域域名。不同VTP管理域的交换机之间不交换VTP通告信息。DistributeSwitch1(config)#vtp domain manage将VTP管理域的域名定义为manage：2、设置VTP服务器工作在VTP服务器模式下的交换机可以创建、删除VLAN、修改VLAN参数。同时，还有责任发送和转发VLAN更新消息。设置分布层交换机DistributeSwitch1成为VTP服务器：DistributeSwitch1(config)#vtp mode server3、激活VTP的剪裁功能默认情况下主干道传输所有VLAN的用户数据。有时，交换网络中某台交换机的所有端口都属于同一VLAN的成员，没有必要接收其他VLAN的用户数据。这时，可以激活主干道上的VTP剪裁功能。当激活了VTP剪裁功能以后，交换机将自动剪裁本交换机没有定义的VLAN数据。 在一个VTP域下，只需要在VTP服务器上激活VTP剪裁功能。同一VTP域下的所有其他交换机也将自动激活VTP剪裁功能。 设置激活VTP剪裁功能：DistributeSwitch1(config)#vtp pruning6.2.4 在分布层交换机DistributeSwitch1上定义VLAN在本企业网实现方案中，除了默认的本征VLAN外，又定义了10个VLAN（前面已经说明）。 由于使用了VTP技术，所以所有VLAN的定义只需要在VTP服务器，即在分布层交换机DistributeSwitch1上进行。 定义10个VLAN，同时为每个VLAN命名:DistributeSwitch1(config)#vlan 10DistributeSwitch1(config-vlan)#name CWBDistributeSwitch1(config)#vlan 20DistributeSwitch1(config-vlan)#name XZBDistributeSwitch1(config)#vlan 30DistributeSwitch1(config-vlan)#name XSBDistributeSwitch1(config)#vlan 40DistributeSwitch1(config-vlan)#name RSBDistributeSwitch1(config)#vlan 50DistributeSwitch1(config-vlan)#name SCBDistributeSwitch1(config)#vlan 60DistributeSwitch1(config-vlan)#name JSBDistributeSwitch1(config)#vlan 70 DistributeSwitch1(config-vlan)#name YWBDistributeSwitch1(config)#vlan 80DistributeSwitch1(config-vlan)#name QHBDistributeSwitch1(config)#vlan 90DistributeSwitch1(config-vlan)#name HQBDistributeSwitch1(config)#vlan 100DistributeSwitch1(config-vlan)#name FWQ6.2.5 配置分布层交换机DistributeSwitch1的端口基本参数分布层交换机DistributeSwitch1的端口FastEthernet 0/1FastEthernet 0/10为服务器群提供接入服务，而端口FastEthernet 0/22、FastEthernet 0/23、FastEthernet 0/24分别下连到接入