公司企业网络规划实施解决方案

1、公司企业网络规划实施解决方案公司企业网络规划实施解决方案（此文档为 word格式，下载后您可任意修改编辑！）目录 TOC o 1-5 h z 第一章项目概述 11.1项目背景 1 HYPERLINK l bookmark31 o Current Document 1.2项目目标 1 HYPERLINK l bookmark34 o Current Document 本期目标 1 HYPERLINK l bookmark47 o Current Document 1.2.2本期项目环境要求 1 HYPERLINK l bookmark56 o Current Document 1.2.3本期项目

2、所需设备 2第二章技术介绍 2SVI 2 HYPERLINK l bookmark64 o Current Document 2.2端口安全 2 HYPERLINK l bookmark68 o Current Document 2.3端口聚合 2 HYPERLINK l bookmark72 o Current Document 2.4快速生成树协议（RSTP 3 HYPERLINK l bookmark76 o Current Document VRRP 3 HYPERLINK l bookmark80 o Current Document ACL 3 HYPERLINK l bookma

3、rk84 o Current Document RIP 3 HYPERLINK l bookmark88 o Current Document NAT 3 HYPERLINK l bookmark92 o Current Document CHAP 4 HYPERLINK l bookmark96 o Current Document VPN 4第三章解决方案 43.1规划场景 4 HYPERLINK l bookmark113 o Current Document 3.2网络实施拓扑 5 HYPERLINK l bookmark116 o Current Document 3.3网络实施分析

4、 5 HYPERLINK l bookmark133 o Current Document 3.4项目实施流程 6 HYPERLINK l bookmark149 o Current Document 3.6设备命名规则 6 HYPERLINK l bookmark157 o Current Document 3.7接口描述规则 7 HYPERLINK l bookmark163 o Current Document IP地址规划 7 HYPERLINK l bookmark176 o Current Document VLAN 规戈U 9第四章设备配置 94.1设备配置命令文档 9 HYPE

5、RLINK l bookmark190 o Current Document 4.2交换机配置 20 HYPERLINK l bookmark193 o Current Document 戈。分 VLAN 20 HYPERLINK l bookmark275 o Current Document 4.2.2端口安全配置及测试 27 HYPERLINK l bookmark298 o Current Document 4.2.3 VRRP 配置 31 HYPERLINK l bookmark314 o Current Document 4.2.4端口聚合和快速生成树配置及测试 334.2.5扩展

6、访问控制列表的配置 38 HYPERLINK l bookmark388 o Current Document 4.3路由器配置 43 HYPERLINK l bookmark391 o Current Document 4.3.1路由协议的配置及 chap的配置 43 HYPERLINK l bookmark431 o Current Document 配置 NATW换 49 HYPERLINK l bookmark461 o Current Document 4.4 VPN配置及测试 52 HYPERLINK l bookmark464 o Current Document 4.5整体测试

7、 58第五章服务器配置及测试 66FTP服务器的配置与测试 66 HYPERLINK l bookmark493 o Current Document WEB服务器的搭建与测试 70 HYPERLINK l bookmark496 o Current Document 第六章系统优化方案 74 HYPERLINK l bookmark499 o Current Document 6.1当前网络目前存在的问题 75 HYPERLINK l bookmark507 o Current Document 6.2网络优化目标 75 HYPERLINK l bookmark514 o Current D

8、ocument 第七章工程总结 75公司企业网络规划实施解决方案第 页，共76页第一章项目概述1.1项目背景“功欲善其事，必先利其器”，某某企业深刻认识到业务要发展、必须提高企业内部核心竞争力、而建立一个方便快捷安全的通信网络综合信息支撑系统，已迫在眉睫，计划建设新的企业园 区网络，希望通过这个新建的网络，提供一个安全、可靠、可扩展、高效的网络环境，将自己的 分公司与总公司两个办公地点连接到一起，使公司内部能够方便快捷地实现网络资源共享、全网 接入Internet等目标，同时实现公司内部的消息保密隔离，以及对于公网的安全访问。1.2项目目标1.2.1本期目标为了确保关键应用的正常运行，安全实施

9、，企业网络必须具备如下特性：采用先进通信技术完成公司网络建设，连接两个距离较远的公司网络办公地点。为了提高数据的传输速率，在整个公司内部网络内控制广播域的范围。在整个公司网络内实现资源共享，并保证骨干网络的高可靠性。公司内部网络中实现高效的路由选择。构造一个既能覆盖本地又能与外界进行网络互通、共享信息、展示企业的计算机企业网选用技术先进、具有容错能力的网络产品，在投资和条件允许的情况下也可采用结构容错的方法；完全符合开放性规范，将业界优秀的产品集成于该综合网络平台之中；具有较好的可扩展性，为今后的网络扩容作好准备；整个公司计划采用 10M光纤接入到运营商提供的Internet 。集团统个出口，

10、便于控制网络安全；设备选型上必须在技术上具有先进性，通用性，且必须便于管理，维护。应具备未来良 好的可扩展性，可升级性，保护公司的投资。设备要在满足该项目的功能和性能上还具有良好的 性价比。设备在选型上要是拥有足够实力和市场份额的主流产品。1.2.2本期项目环境要求该公司具有两个公司网络，且相距较远。公司A为总公司，办公点具有的部门较多，如业务部，综合部等，为主要的办公场所，因此这部分的交换网络对可用性和可靠性要求较高。B办公地点只有较少办公人员，但是 Internet 的接入点在这里。 该公司网络已经申请到了若干公司IP地址，供公司内网接入使用。公司内网使用私有地址。本公司移动办公人员较多1

11、.2.3本期项目所需设备设备名称：设备型号：设备数量：备注：路由器RG-17004台用在核心层使得能够在网络的不同部分之间局效、快速地传输数据三层交换机RG-S3750-242台用在汇聚层，根据处理结果将用户流量转发到核心交换层或在本地进行路由处理等等二层交换机RG-S226G2台用在接入层，允许终端用户连接到网络第二章技术介绍SVISVI是交换机虚拟接口。用于三层交换机跨vlan间路由。具体可以用interface vlan接口配置命令来创建svi,然后为其配置ip地址即可实现路由功能。端口安全最常用的对端口安全的理解就是可根据MAC地址来做对网络流量的控制和管理，比如MAC地址与具体的端口

12、绑定，限制具体端口通过的MAC地址的数量，或者在具体的端口不允许某些MAC地址的帧流量通过。端口聚合端口聚合主要用于交换机之间连接。由于两个交换机之间有多条冗余链路的时候，STP会将其中的几条链路关闭，只保留一条，这样可以避免二层的环路产生。但是，失去了路径冗余的优点，因为STP的链路切换会很慢，在 50s左右。使用以太通道的话，交换机会把一组物理端口联合起来，做为一个逻辑的通道，也就是channel - group ,这样交换机会认为这个逻辑通道为一个端口。快速生成树协议(RSTPRSTP :快速生成树协议(rapid spanning Tree Protocol ): 802.1w 由 8

13、02.1d 发展而成，这种协议在网络结构发生变化时，能更快的收敛网络。它比802.1d多了两种端口类型：预备端口类型(alternate port )和备份端口类型。STP (Spanning Tree Protocol )是生成树协议的英文缩写。该协议可应用于环路网络，通过一定的算法实现路径冗余，同时将环路网络修剪成 无环路的树型网络，从而避免报文在环路网络中的增生和无限循环。VRRP虚拟路由器冗余协议(VRRP是一种选择协议，它可以把一个虚拟路由器的责任动态分配到局域网上的VRRP路由器中的一台。控制虚拟路由器IP地址的VRRP路由器称为主路由器，它负责转发数据包到这些虚拟IP地址。一旦主

14、路由器不可用，这种选择过程就提供了动态的故障转移机制，这就允许虚拟路由器的IP地址可以作为终端主机的默认第一跳路由器。使用 VRRP的好处是有更高的默认路径的可用性而无需在每个终端主机上配置动态路由或路由发现协议。VRRP包封装在IP 包中发送。ACL访问控制列表(Access Control List , ACD 是路由器和交换机接口的指令列表，用来控制端口进出的数据包。ACL适用于所有的被路由协议，如 IP、IPX、AppleTalk等。这张表中包含了匹配关系、条件和查询语句，表只是一个框架结构，其目的是为了对某种访问进行控制。RIP路由信息协议(RIP)是一种在网关与主机之间交换路由选择

15、信息的标准。RIP是一种内部网关协议。在国家性网络中如当前的因特网，拥有很多用于整个网络的路由选择协议。作为形成网络的每一个自治系统，都有属于自己的路由选择技术，不同的AS系统，路由选择技术也不同。NAT网络地址转换(NAT,Network Address Translation)属接入广域网(WAN歧术，是一种将私有(保留)地址转化为合法 IP地址的转换技术，它被广泛应用于各种类型Internet接入方式和各种类型的网络中。 原因很简单，NA仅完美地解决了 lP地址不足的问题， 而且还能够有效地避第 页，共76页分公司财务部人事部 业务部工程部策划部技术部公司企业网络规划实施解决方案 免来自

16、网络外部的攻击，隐藏并保护网络内部的计算机。CHAPCHA既称是PPP （点对点协议）询问握手认证协议（Challenge Handshake AuthenticationProtocol ）。该协议可通过三次握手周期性的校验对端的身份，可在初始链路建立时完成时，在 链路建立之后重复进行。通过递增改变的标识符和可变的询问值，可防止来自端点的重放攻击， 限制暴露于单个攻击的时间。VPN虚拟专用网络（Virtual Private Network，简称VPN*旨的是在公用网络上建立专用网络的 技术。其之所以称为虚拟网，主要是因为整个VPN网络的任意两个节点之间的连接并没有传统专网所需的端到端的物理

17、链路， 而是架构在公用网络服务商所提供的网络平台，如Internet 、ATM（异步传输模式、Frame Relay （帧中继）等之上的逻辑网络，用户数据在逻辑链路中传输。它涵 盖了跨共享网络或公共网络的封装、加密和身份验证链接的专用网络的扩展。VPN主要采用了彩隧道技术、加解密技术、密钥管理技术和使用者与设备身份认证技术。第三章解决方案3.1规划场景规划场景如下图所示：出差用户办公地点-B二# X：-kFtpJ器wEb 服务器办公地1A公司企业网络规划实施解决方案第 页，共76页3.2网络实施拓扑网络实施拓扑如下图所示:HE顶2D2.100. LC ?也202.1OO.L0l1懿司ao.:

18、12故%2CC 1.圈LN1I毗握:院枷竭蝴融修氐甘晾模用薄始国辎毯dim：相时心 希口船 ESTfZHftE：叫芾口船优骚幡匚席舸F鼬酮瓶嚣漓由，图？部BIF浦尊皿：BIF,古印，&沽，皿I5JH 蝴:WI法:酿行町sh村 ciyplo 搏血？ aL? 16.1. H2.LELI&4嘲L叮技.也4血.LL箪4rm此三鼓瓶U4H岫vlutUSirver-PTSsnrerDI眈mm,脚J 0S(O； L/0F屈的I fl 盅|vltb3C/眦费172. L6.1O.2/21112. L 2D. 2/24 172.16.打潴堆1川112.1L2D.1172 19.30.1L72 IE 0 P/J4

19、 172.16.90 2/2, % 1.60.颦4 显I*牡：职16.刘1 咒15即L三型加硕讪i1的双：1.：？也 MfWeq 而.:1?盘.们岫ultla via； ITS. 16 江 伯 ila： 172.3011欺w恻加摭忑由71:172. IE 10.1/2471 w 性 LB 21 他 硕，讯 30.1/24sb.ov crypto ipsec 我福预I盼:毗城盹目郃杏.3.3网络实施分析在接入层使用二层交换机，在接入层交换机上划分vlan ,则可以实现对广播域的隔离，财务部vlan10，人事部vlan20，业务部vlan30，策划部vlan40，技术部vlan50，工程部 vla

20、n60.建设双核心的高可靠性网络，核心交换互为备份。为充分发挥设备的性能，两台核心交换承担不同用户数据负载。交换机之间的链路配置为Trunk链路，三层交换机上采用SVI方式实现vlan之间的路由。两台核心交换机之间采用双链路连接，在两台三层交换机之间配置端口聚合，以提高带宽。接入交换机的Access端口上采用端口安全的方式实现对允许的连接数量的控制，以提高 网络的安全性。 为了提高网络的可靠性，整个交换网络内配置RSTP以避免环路带来的影响 两台三层交换上配置路由接口，连接A办公地点的路由器 R1,并在R1和R2分别配置接口 IP地址。并启用 RIP路由协议，实现全网互通。R1和R2办公地点的

21、路由器 R2之间通过广域网链路连接，在R1和R2的广域网接口上配置chap协议提供一定的安全性。 两台三层交换机上配置默认路由，指向R1; R1上配置配置默认路由指向 R2; R2上配置默 认路由指向连接到因特网的下一条地址。在R2上配置NAT方式实现企业内网仅用少量公网IP地址到因特网的访问。在S2上，用ACL实现财务部可以访问 WE目艮务器和FTP服务器，其他部门都能访问WWW服务但不能访问FTP服务器。通过VPNgK现移动办公人员，分公司与总公司的通信。3.4项目实施流程在核心交换机（型号 RG-S3750-24）与接入交换机（型号 RG-S2261G上分别创建相应的 VLAN核心交换机

22、与接入交换机之间建立TRUNK!路；两台核心交换机直接通过双链路相连，实现端口聚合；在全部交换机上配置 RSTP指定两台三层交换机分别为根网桥和备份根网桥；在接入交换机的 access链路上实现端口安全；配置三层交换机的 VLAN间路由功能；在三层交换机的路由端口、R1和R2上配置接口 IP地址；R1 和R2配置广域网链路，启用 PPP协议和配置 CHAPU证；运用RIPV2路由协议配置企业内网的路由，用静态路由实现企业内网到互联网的访问；在路由器R1上做NAT实现内网对外网的访问；建立WEB FTP服务器，使企业内网实现资源共享；为了控制内网对互联网的访问，在路由器上作访问控制列表；在总公司

23、与分公司之间建立 VPN连接。3.6设备命名规则为了标识网络设备、便于管理网络设备，应该为网络中每一台设备赋予名称标识，设备命名的基本原则为：能表示出网络设备的类型；能表示出网络设备的物理位置；能表示出网络设备所属的网络层次；相同物理位置和网络层次的网络设备由不同序号区分；能反映出该设备的业务属性和网元功能。本次工程的设备命名规范如下：交换机命名以SW头，路由器命名以 R开头，服务器命名以 Server开头。举例说明：比如说二层交换机 SW1 , SW2,路由器R1,R2。3.7接口描述规则为了标识设备端口，便于后期维护，应为没一个接口设置接口描述，接口描述的基本规则为：能表示出端口的对端网元

24、设备能表示出端口的类型能反映出对端端口所在板卡的物理槽位本次工程的接口描述规范如下：快速以太网口用f开头，串口用S开头。举例说明：例如交换机SW1的快速以太网口 f0/10端口，路由器 R1的串口 S0/1/0端口。3.8 IP地址规划ip 地址规划的结果直接影响到网络运行的质量，以下是几点ip地址规划的基本原则：唯一性：一个IP网络中不能有两个主机采用相同的IP地址。即使使用了支持地址重叠的MPLS/VPN技术，也尽量不要规划为相同的地址。连续性：连续地址在层次结构网络中易于进行路径叠合，大大缩减路由表，提高路由算法的效率。扩展性：地址分配在每一层次上都要留有余量，在网络规模扩展时能保证地址

25、叠合所需的连续性。实义性:“望址生义”，好的IP地址规划使每个地址具有实际含义，看到一个地址就可以大至判断出该地址所属的设备。这是IP地址规划中最具技巧型和艺术性的部分。最完美的方式是得出一个IP地址公式，以及一些参数及系数，通过计算得出每一个需要用到的IP地址。各部门地址分配如下所示：部门名称：IP地址（子网掩码均为 24位）：财务部-人事部-业务部-工程部-策划部-技术部-网络设备接口地址如下所示:设备名称：端口号：IP地址：三层交换机1Fa0/24/24三层交换机2Fa0/24/24Fa0/6/24R1Fa1/0/24Fa1/1/24Se0/1/0/24R2Se0/0/0/24Se0/1

26、/0/24R3（ISP路由器）Se0/0/0/24Se0/0/1/24R4Se0/0/0/24Fa0/0/24分公司其中一台PCFastEthernet/24FTP服务器FastEthernet/24WEBI艮务器FastEthernet/243.9 VLAN 规戈ij部门VLAN财务部10人事部20业务部30工程部40策划部50技术部60第四章设备配置4.1设备配置命令文档设备配置命令财务部代IP : 子网掩码： 网关：表PC机1人事部代IP : 子网掩码： 网关：表PC机1业务部代IP : 子网掩码： 网关：表PC机1工程部代IP : 子网掩码： 网关：表PC机1策划部代IP : 子网掩码

27、： 网关：表PC机1技术部代IP : 子网掩码： 网关：表PC机1config tSW1 （注：此Hostname sw1代码在特权vlan 10莫式下输入）vlan 20vlan 30exitinterface fa 0/3switchport mode access switchport port-security violation shutdown endswitchport access vlan 10/将财务部划入vlan 10exitinterface fa 0/4switchport mode accessswitchport access vlan 20将人事部划入vlan

28、20exitinterface fa 0/5switchport mode accessswitchport access vlan 30将业务部划入 vlan30exitinterface range fa 0/1-2 switchport mode access switchport mode trunk no shutdown Exit confi tinter range fa 0/6-24/进入一组端口的配置模式switchport mode accessswitchport port-security配置交换机的端口安全功能switchport port-security maxi

29、mum 4/设置最大允许连接数量为4SW2（注：此 config t代码在特权 Hostname sw2慎式下输入）vlan 40vlan 50vlan 60exitinterface fa 0/3switchport mode accessswitchport access vlan 40/将工程部划入 vlan40exitinterface fa 0/4switchport mode accessswitchport access vlan 50/将策划部划入 vlan50exitinterface fa 0/5switchport mode accessswitchport access

30、 vlan 60/将技术部划入 vlan60exitinterface range fa 0/1-2switchport mode accessswitchport mode trunkno shutdownexitinter range fa 0/6-24/进入一组端口的配置模式switchport mode accessswitchport port-security/配置交换机的端口安全功能switchport port-security maximum 4/设置最大允许连接数4switchport port-security violation shutdown/酉己置安全违例的处理方

31、式为shutdownendSW3（注：此代码在特权|莫式下输入）config tHostnme sw3vlan 10vlan 20 vlan 30 exit interface range fa 0/3-4交换机之间配置 TRUNK 链路switchport mode access switchport mode trunk no shutdown exit interface aggregateport 1创建聚合接 口 AGIswitchport mode access switchport mode trunk/配置 AG 模式为 trunkexit interface range fa

32、 0/1-2/进入接口 0/1 和 0/2port-group 1配置接口 0/1 和 0/2 属于 AGIexit spanning-tree开启生成树协议spanning-tree mode rstp指正生成树协议的类型为RSTPinterface vlan 10/配置 SVIip address no shutdown exit interface vlan 20 ip address no shutdown exit interface vlan 30 ip address no shutdown exitinterface fa 0/24no switchportip address

33、 no shutdownexitip route 配置默认路由inter range fa 0/5-23/进入一组端口的配置模式switchport mode accessswitchport port-security/配置交换机的端口安全功能switchport port-security maximum 4/ 设置最大允许连接数4switchport port-security violation shutdown配置安全违例的处理方式为shutdownexitinter vlan 10standby 2 priority 200配置优先级standby 2 ip 54/配置vrrp组和

34、虚拟路由器的IP地址inter vlan 20standby 2 priority 160/配置优先级standby 2 ip 54/配置vrrp组和虚拟路由器的IP地址inter vlan 30standby 2 priority 120/配置优先级standby 2 ip 54/配置vrrp组和虚拟路由器的 IP地址exitconfig tHostname sw4SW4（注：此vlan 40代码在特权vlan 50莫式下输入）vlan 60exitinterface range fa 0/3-4switchport mode access switchport mode trunk no

35、shutdown exit创建聚合接口 AGIinterface aggregateport 1 switchport mode accessswitchport mode trunk/配置AG模式为trunkexitinterface range fa 0/1-2/进入接口 0/1和0/2port-group 1配置接口 0/1和0/2属于AGIspanning-treeexit开启生成树协议spanning-tree mode rstp指定生成树协议的类型为RSTP/配置SVIinterface vlan 40 ip address no shutdownexitinterface vla

36、n 50ip address no shutdownexitinterface vlan 60ip address no shutdownexitinterface fa 0/24no switchportip address no shutdownexitinterface fa 0/6no switchportip address no shutdownexitip route inter range fa 0/5-23/进入一组端口的配置模式switchport mode accessswitchport port-security/配置交换机的端口安全功能switchport port

37、-security maximum 4设置最大允许连接数量为4switchport port-security violation shutdown/配置安全违例的处理方式为shutdownexitinter vlan 10standby 2 priority 200/配置优先级standby 2 ip 54/配置vrrp组和虚拟路由器的IP地址inter vlan 20standby 2 priority 160/配置优先级standby 2 ip 54/配置vrrp组和虚拟路由器的IP地址inter vlan 30standby 2 priority 120配置优先级standby 2 i

38、p 54/配置vrrp组和虚拟路由器的IP地址Exitaccess-list 101 permit tcp 55 55 eq ftp/允许网段访问网段上TCP协议的FTP服务器access-list 101 deny tcp any 55 eq ftp拒绝任何主机访问网段上TCP协议的FTP服务器access-list 101 permit tcp any 55 eq www允许任何主机访问 网段上TCP协议的FTP服务器access-list 101 permit ip any anyinterface fa0/6 把编号为101的扩展访问控制列表应用到fa0/6端口ip access-gr

39、oup 101 outexitconfig tHostname r1interface fa 0/0/在特权模式下进入 F0/0 口ip address 给 F0/0 配置 IP 地址no shutdownexitinterface fa 0/1ip address no shutdownexitinterface se 0/1/0/在特权模式下进入 S0/1/0 口R1 （注：此代码在特权模ip address 给 S0/1/0 配置 IP 地址clock rate 64000式下输入）/设置时钟同步router ripversion 2no shutdownexit/创建RIP路由进程 /

40、启动RIP版本2进程network 发布自己所关联的网络network 发布自己所关联的网络network 发布自己所关联的网络ip route /配置一条到达 IP 为 的认路由ip route 配置一条到达 IP 为 的默认路由ip route username R2 password 0 123/以对方的主机名作为用户名，密码为123interface S0/1/0encapsulation ppp把该接口封装为 PPP协议ppp authentication pap/ PPP 启用 PAP 方式认证R2（注：此代码在特权模卜下输入）config tHostname r2interfac

41、e se 0/1/0/在特权模式下进入 S0/1/0 口ip address 给 S0/1/0 配置 IP 地址clock rate 64000no shutdownexitinterface se 0/0/0ip address no shutdownexitcrypto isakmp policy 10/ ipsec第一阶段，定义 ISAKMP 策略encryption 3des加密方法使用 3deshash md5散列算法使用 md5authentication pre-share/认证方法使用预共孚密钥crypto isakmp key hx address / 将 isakmp预共享

42、密钥和对等体关联，预共享密钥为“ hx” 。crypto ipsec transform-set tim esp-3des esp-md5-hmac / 设置 ipsec 转换（交换）集。access-list 101 permit ip 55 55/创建感兴趣数据流crypto map tom 10 ipsec-isakmp /ipsec第一阶段，设置加胃图match address 101set peer /加载感兴趣流set transform-set tim/设置对等体地址interface se 0/1/0crypto map tom/ 在接口上应用加密图router rip/创建R

43、IP路由进程version 2/启动RIP版本2进程network 发布自己所关联的网络network 发布自己所关联的网络ip route /配置默认路由ip route username R1 password 0 123 以对方的主机名作为用户名，密码为123encapsulation ppp把该接口封装为 PPP协议ppp authentication pap/ PPP启用PAP方式认证interface s0/0/0configconfig tSP路由器SP路由器Hostname r3（注：此代码interface se 0/0/1在特权模式ip address Exitinterf

44、ace se 0/1/0ip nat outside配置为外部接口exitinterface se 0/0/0ip nat inside配置为内部接口access-list 1permit55/配置允许地址转换的内部本地地址范围access-list 1permit55access-list 1permit55access-list 1permit55access-list 1permit55access-list 1permit55ip nat pool hx netmask 定义内部网络全局地址池ip nat inside source list 1 pool hx配置内部本地地址与内部全

45、局地址的映射关系exit下输入）no shutdownexitinterface se 0/0/0ip address no shutdownexitrouter rip/创建RIP路由进程version 2/启动RIP版本2进程network 发布自己所关联的网络network 发布自己所关联的网络ip route 配置到达非直连 网络的下一跳地址为ip route config tHostname r4crypto isakmp policy 10 /ipsec 第一阶段，定义 ISAKMF 略encr 3des/加密方法使用 3deshash md5/散列算法使用 md5authenti

46、cation pre-share/认证方法使用预共享密钥crypto isakmp key hx address / 将 ISAKMFP共享密钥和对等体关R4（注：此代联，预共享密钥为“ hx”。码在 特权模 crypto ipsec transform-set tim esp-3des esp-md5-hmac / 设置 ipsec 转换（交换）集set peer /加载感兴趣流set transform-set tim/设置对等体地址式下输入）crypto map tom 10 ipsec-isakmp / ipsec第二阶段，设置加密图match address 101access-li

47、st 101 permit ip 55 55/创建感兴趣数据流interface se 0/0/0ip address clock rate 64000no shutdowncrypto map tom /在接口上应用加密图interface FastEthernet0/0ip address no shutdownrouter rip创建RIP路由进程version 2/启动RIP版本2进程network /发布自己所关联的网络network /发布自己所关联的网络ip route 配置默认路由4.2交换机配置4.2.1 戈。分 VLAN在二层交换机 1, 2,三层交换机 3,4上创建vla

48、n10、20、30、40、50、60,输入设备如下图所示：二层交换机2,代码如下:C:WINNTsystem32telnet.exe-! xs2en 14 Password s2ttconfig t Enter configuration commands, one per line. End with CNTL/Z.fpom outbandfpom outbandfpom outbandfpom outbandfpom outbandfpom outbands2conf lan 10 2011-11-23 17:42:25 s2 ttulan 2011-11-23 17:42:25 s2 t

49、tulan 2011-11-23 17:42:26 s2 ttulan 2011-11-23 17:42:26 s2 ttulan 2011-11-23 17：42：26 s2 ttulan 2011-11-23 17：42：26 s2#P5-CONFIG:Configured 20P5-CONFIG:Configured 30P5-CONFIG:Configured40P5-CONFIG:Configured 50C5-CONFIG:Configured 60C5-CONFIG:Configured用户模式下，三层交换机 1 ,输入设备如下图所示：-Ini x宣 C:WINNT5ystem3

50、2telnet.eMe s3s3en 14Password：sSttconfig t Enter configuration commands, one per line. End with CNTL/Z. s3#ulan 10 2011-11-23 18:34:27 s3 #ulan 2011-11-23 18:34:27 s3 #ulan 2011-11-23 18:34:27 s3 ttulan 2011-11-23 18:34:27 s3 ttulan 2011-11-23 18:34:27 s3 ttulan 2011-11-23 18:34:27 s3 conf ig-ulan05

51、-CONFIG:Configured 2005-CONFIG:Configured3005-CONFIG:Configured4005-CONFIG:Configured 5005-CONFIG:Configured 6005-CONFIG:Configuredf pomf pomf pomf pomf pomf pomoutbandoutbandoutbandoutbandoutbandoutband用户模式下，三层交换机2,输入设备如下图所示:C:WINNTsystem32telnet.exe-Ini xs4#ulan 10 2011-11-23 18:14:2? s4ttulan2011

52、-11-23 18:14:27 s4ttulan 2011-11-23 18:14:27s4ttulan 2011-11-23 18:14:27 s4ttulan2011-11-23 18:14:27 s4ttulan 2011-11-23 18:14:27s4#55-CONFIG:Configured 20P5-CONFIG:Configured 30P5-CONFIG:Configured40P5-CONFIG:Configured 50P5-CONFIG:Configured 60P5-CONFIG:Configuredf pomf pomf pomf pomf pomf pomoutb

53、andoutbandoutbandoutbandoutbandoutband2.在二层交换机1上将3,4,5端口划到vlan 10, vlan20 , vlan30中，全局配置模式下代码如下:输入设备如下图所示:-C:WINNTsystem32telnet.eMe-Ini xslttconf ig t Enter conf iguration commands, one per line. End with CNTL/Z. sl#inteiface fa 0/3 2011-11-23 16：44： 04 (?5-CONFIG: Conf igured si#switchport mode ac

54、cess 2011-11-23 16：44： 05(?5-CONFIG: Conf iguredsi#switchport access ulan 10 2011-11-23 16=44:05 sl#exit 2011-11-23 16=44:05 si#interface 2011-11-23 16=44:05(?5-CONFIG: Conf igured(?5-CONFIG: Conf igured fa 0/4(?5-CONFIG: Conf iguredsi#switchport mode access 2011-11-23 16:44:06 P5-CONFIG:Configured

55、si#switchport access ulan 20 2011-11-23 16:44:06 sl#exit 2011-11-23 16:44:06 sl#interface 2011-11-23 16:44:06P5-CONFIG:ConfiguredP5-CONFIG:Configured fa 0/5P5-CONFIG:Configuredsl#switchpoit mode access 2011-11-23 16:44:07 P5-CONFIG:Configured sl#switchpoit access ulan 30 2011-11-23 16:44:07 P5-CONFI

56、G:Configured IszLSonF ig-iFf pomf pomf pomf pomf pom rom rom rom rom pom pomoutbandoutbandoutbandoutbandoutbandoutbandoutbandoutbandoutbandoutbandoutband二层交换机2上将3,4,5端口划分到vlan 40 , vlan50 , vlan60 ,全局配置模式下代码如下:C:WINNTsystem32telnet.exe-Inis2#conf ig tEnter conf iguvation commands, one per line. End

57、with CNTL/Z. s2#inteiface fa 0/3 2011-11-23 17:55:55 P5-CONFIG:Configured s2#switchport mode access 2011-11-23 17:55:55 P5-CONFIG:Configured s2#switchport access ulan 40 2011-11-23 17:55:56 s2#exit 2011-11-23 17:55:56 s2#interface 2011-11-23 17:55:56P5-CONFIG:ConfiguredP5-CONFIG:Configured fa 0/4P5-

58、CONFIG:Configureds2#switchport mode access 2011-11-23 17:55:56 P5-CONFIG:Configured s2#switchport access ulan 50 2011-11-23 17:55:57 s2#exit 2011-11-23 17:55:57 s2#inteif ace 2011-11-23 17:55:57(?5-CONFIG: Conf igured(?5-CONFIG: Conf igured fa 0/5(?5-CONFIG: Conf igureds2#switchport mode access 2011

59、-11-23 17 : 55:57 (?5-CONFIG: Conf igured s2#switchport access ulan 60 2011-11-23 17 : 55:58(?5-CONFIG: Conf iguredf pomf pomf pomf pomf pomf pomf pomf pomf pomf pomf pomoutbandoutbandoutbandoutbandoutbandoutbandoutbandoutbandoutbandoutbandoutband在二层交换机1和2上联三层交换机1和2上的端口设置Trunk模式尽 C:WINNTsystem32cmd.

60、eHE - telnet -Ini x2011-11-25 11:29:5?s2#inteiface fa 0/4 2011-11-25 11:29:58s2#switchport mode accessP5-C0NFIG:Configured55-CONFIG:Configured2011-11-25 11:29:58 P5-CONFIG:Configured s2#switchport access ulan 50 2011-11-25 11:29:58 s2#exit 2011-11-25 11:29:58 s2#inteif ace 2011-11-25 11:29:59P5-CONF