网络工程案例

网络工程案例

企业计算机网络架构数据中心部分（DataCenter）企业园区网部分（CampusLAN）Internet接入部分广域网（WAN）部分拨号服务器（Dial）部分VPN接入部分无线局域网部分整体网络结构图数据中心拨号接入企业网Internet接入VPN接入WANISPPSTNDDN外部网数据中心数据中心的作用主要是提供优良的环境（例如：不间断电源，空调，抗震等）给企业的服务器群放置工作。以便方便对服务器进行统一管理和提供内容负载均衡等服务。数据中心在网络层面上要考虑的问题是两个:

一、安全性。二、内容服务企业园区网（CampusLAN）主要是传统的园区三层网络结构，核心层、分布层和接入层。核心层主管网络的核心交换，使用千兆光纤的技术保证核心层的安全、可靠、宽带的通信。分布层基本上是在每座建筑物的主设备间放置L3/L4交换机，能提供该建筑物的局域网与园区网的高速联接。并能有效控制广播域，控制不同虚拟局域网之间的流量通信。接入层主要是在各个建筑物内的各个布线间的交换机。它主要提供10/100以太网端口给计算机终端联网，并能划分虚拟网，设定QoS，保证端口安全等Internet接入

Internet的接入部分通常还考虑到内容处理的问题，即增加一台网络缓存的设备。它能将访问次数较多的网页内容放在设备里面。这样，每次企业网内的用户访问Internet的时间就会大大地缩短，同时可以节约带宽给其他的应用。其它接入方法拨号接入VPN接入无线局域网无线局域网在工厂的使用是很广泛的，因为计算机网络布线有100米的长度限制，而且有些厂房车间的计算机终端数量少，位置分散，甚至经常改变位置。所以采用无线局域网的方式上网就很合适了。IP地址与VLAN分配资料1）XX卷烟厂海仓新厂区包括三部分：综合办公楼：服务器区、销售、领导、技术、财务、会议室、各楼层办公室（待细化）、互联网访问、VPN远程接入联合工房包括：生活区右侧、生活区左侧、能源动力中心、制丝车间配料场、制丝车间中控室、卷接包车间和监控、三层中控室、二层备件库、物流中控室、质检室厂房辅区包括：机修车间办公室、机修车间及备件库、锅炉房、门卫2、烟叶库A、烟叶库B、烟叶库C、烟叶库D三部分的VLAN要做到各自独立划分，IP子网互不重叠。2）IP分配有两种方案：用户分配静态IP地址或从DHCP服务器动态获得IP本方案采用动、静态分配结合的方法来实现。VLAN的划分原则：从将来的发展考虑，要预留足够的扩展空间。为VLAN预留足够的扩展空间，也可以方便网络的优化。将VLAN以10为单位分段，取VLAN10、VLAN20、VLAN30作为当前使用的VLAN，VLAN11-VLAN19、VLAN21-VLAN29、VLAN31-VLAN39作为预留。IP地址与VLAN分配资料综合办公楼使用/16段子网；联合工房和厂房辅区使用/16段子网。VLAN10---VLAN390 分配给综合办公楼；VLAN400---VLAN590 分配给联合工房；VLAN500---VLAN600 分配给厂房辅区。具体实现如下表：VLAN、IP分配表：IP地址与VLAN分配资料IP地址与VLAN分配资料DHCP分配表DHCP分配表：（DHCP服务器IP：53）DHCP分配表中心和汇聚交换机联合配置WS-SUP720引擎WS-SUP720引擎（冗余）空、扩展用WS-X6816-GBICWS-X6816-GBIC空、扩展用WS-6148-RJ-45空、扩展用空、扩展用电源电源WS-SUP720引擎WS-SUP720引擎（冗余）空、扩展用WS-X6816-GBICWS-X6816-GBIC空、扩展用WS-6148-GE-TX空、扩展用空、扩展用电源电源两台6509中心交换机依下图上好模块：中心和汇聚交换机联合配置4507R汇聚交换机依下图上好模块：WS-X4515引擎WS-X4306-GBICWS-X4232-GB-RJWS-X4148-RJ空、扩展用电源电源空、冗余引擎扩展用空、扩展用WS-X4515引擎WS-X4306-GBICWS-X4232-GB-RJWS-X4148-RJ空、扩展用电源电源空、冗余引擎扩展用空、扩展用中心和汇聚交换机联合配置连接2台6509间引擎的光纤口2台6509交换机的用四条光纤跳线连接相互的引擎光纤上联口2台6509交换机上的2个超级引擎上的光纤端口均可同时使用，在其中一台6509交换机的主引擎出故障的时候，冗余引擎替代主引擎发挥作用，该冗余引擎与另一台6509交换机的冗余引擎的中继线替代原来的两台主引擎的中继线发挥作用，保证网络主干的正常使用。采用如下的连线方式：

Sup720Sup720Sup720Sup720因SUP720采用SFP光纤接口，在没有购置该接口模块的情况下，两台6509中心交换机间可通过6816模块上的GBIC口实现交换机间的冗余连接和通讯。通过在两台6509交换机的第一块6816模块的第15、16光纤端口互相连接，做TRUNK+CHANNEL，实现如下图：68166816中心和汇聚交换机联合配置3550-12G3550-12GX4515X4515该连接可以保证任何时候，2台6509交换机间的活动引擎可以正常连接，避免活动引擎连接冗余引擎，导致数据无法在2台6509交换机间传递。连接2台4507R间引擎的光纤口用超5类跳线连接2台3550-12G间的1000Base-T口第一台中心交换机6509与各汇聚及边缘接入的连接端口示意图会议室1的gi0/1会议室2的gi0/1综合楼1层的gi0/1综合楼2层的gi0/1综合楼3层的gi1/1综合楼4层的gi0/1综合楼5层的gi0/1综合楼6层的gi0/1综合楼7层的gi0/1综合楼8层的gi0/1综合楼9层的gi0/1综合楼10层的gi0/1综合楼11层的gi0/1制丝中控的gi1/1能源动力中心的gi0/1门卫1的gi0/1123456789101112131415166509_1上第二块6816123456789101112131415166509_1上第一块6816汇聚4507_1的gi1/1汇聚4507_2的gi1/1汇聚3550_1的gi0/1汇聚3550_2的gi0/16509_2的gi1/156509_2的gi1/16第二台中心交换机6509与各汇聚及边缘接入的连接端口示意图会议室1的gi0/2会议室2的gi0/2综合楼1层的gi0/2综合楼2层的gi0/2综合楼3层的gi1/2综合楼4层的gi0/2综合楼5层的gi0/2综合楼6层的gi0/2综合楼7层的gi0/2综合楼8层的gi0/2综合楼9层的gi0/2综合楼10层的gi0/2综合楼11层的gi0/2制丝中控的gi1/2能源动力中心的gi0/2门卫1的gi0/2123456789101112131415166509_2上第二块6816123456789101112131415166509_2上第一块6816汇聚4507_1的gi1/2汇聚4507_2的gi1/2汇聚3550_1的gi0/2汇聚3550_2的gi0/26509_1的gi1/156509_1的gi1/16第一台汇聚交换机4507R与各边缘接入的连接端口示意图第二台汇聚交换机4507R与各边缘接入的连接端口示意图卷接包车间的gi0/22台汇聚交换机3550_12G与各边缘接入的连接端口示意图中心交换机和各汇聚交换机的连接端口示意图第一台6509中心交换机配置调试PC通过串口配置线连接第一块720引擎6509交换机上电（两个电源模块均需上电），启动进入配置模式命名该交换机：hostname6509_1采用统一的命名方式：交换机型号_位置，如：2950G48_nydl分配管理IP：interfacevlan250

ipaddressstandby1priority150preemptstandby1ip

noshutdown设置ENABLE密码：

enablepasswordcisco设置TELNET密码：

linevty04 passwordcisco login配置VTP信息：

vtpmodeserver

vtpversion2

vtpdomainxmyc

第一台6509中心交换机配置创建VLAN信息全局配置模式下：vlan250 namewlgl1vlan220 nameserver1vlan230 nameserver2vlan10 namexxjsvlan20 namecaiwuvlan30 namelingdaovlan40 namejszxvlan50 namewzgyvlan60namerlzyvlan70 nameaqbwvlan80 namehqbzvlan90 namezlglvlan100 namejgbvlan110 namezzxcvlan120 namejcsjvlan130 namecpxsvlan140 nameyxchvlan150 nameyxfwvlan160 nameinternetvlan170 namehysvlan180namebgsvlan190 namevpnvlan200 nameother1vlan210 namewxhszwvlan240 namexjchl第一台6509中心交换机配置修改VLAN名字如果对所输入的VLAN信息不满意的话，可以通过以下命令进行修改：vlan250 name新的VLAN的名字配置与两台6509交换机的中继线的会聚和TRUNK interfacePort-channel1

switchport

switchporttrunkencapsulationdot1q

switchportmodetrunk interfaceGigabitEthernet1/15

switchport

switchporttrunkencapsulationdot1q

switchportmodetrunkchannel-group1modedesirableinterfaceGigabitEthernet1/16

switchport

switchportmodetrunk

switchporttrunkencapsulationdot1q channel-group1modedesirableChannel有3种模式：auto 、desirable 、on其中能让Channel正常运作的配置方法有3种：desirable与desirable；desirable与auto；on与on，其中desirable与desirable是最优的做法。on模式并不携带PAGP信息，auto只能被动进行链路协商，desirable能主动进行链路协商。第一台6509中心交换机配置三层路由口的配置将中心交换机和汇聚交换机之间所连接的2条光纤的GBIC口作为三层路由口，用于中心交换机和汇聚交换机的IP通讯。主干三层路由口IP分配表：第一台6509中心交换机配置具体做法如下，全局配置模式下：defaultinterfacegi1/1defaultinterfacegi1/2defaultinterfacegi1/3defaultinterfacegi1/4/***初始化gi1/1-4GBIC口，在端口无法设置IP时特别有用***/interfacegi1/1 noswitchport

/***使用该命令可去掉端口的2层特性，使该端口成为3层路由口***/

ipaddress52interfacegi1/2 noswitchport

ipaddress52interfacegi1/3 noswitchport

ipaddress52interfacegi1/4 noswitchport

ipaddress352其中1、2口用于和2台4507R交换机通讯；3、4口用于和2台3550-12G交换机通讯。第二台6509中心交换机配置调试PC通过串口配置线连接第一块720引擎6509交换机上电，启动进入配置模式命名该交换机：hostname6509_2分配管理IP：interfacevlan250

ipaddressstandby1ip

noshutdown设置ENABLE密码：

enablepasswordcisco设置TELNET密码：

linevty04 passwordcisco login第二台6509中心交换机配置配置与另一台6509交换机的四条中继线的会聚和TRUNKinterfacePort-channel1

switchport

switchporttrunkencapsulationdot1q

switchportmodetrunkinterfaceGigabitEthernet1/15

switchport

switchporttrunkencapsulationdot1q

switchportmodetrunkchannel-group1modedesirableinterfaceGigabitEthernet1/16

switchport

switchporttrunkencapsulationdot1q

switchportmodetrunkchannel-group1modedesirable设置VTP为SERVER模式：

vtpmodeserver

vtpversion2

vtpdomainxmyc第二台6509中心交换机配置三层路由口的配置将中心交换机和汇聚交换机之间所连接的2条光纤的GBIC口作为三层路由口，用于中心交换机和汇聚交换机的IP通讯。具体做法如下，全局配置模式下：defaultinterfacegi1/1defaultinterfacegi1/2defaultinterfacegi1/3defaultinterfacegi1/4interfacegi1/1 noswitchport

ipaddress752interfacegi1/2 noswitchport

ipaddress152interfacegi1/3 noswitchport

ipaddress552interfacegi1/4 noswitchport

ipaddress952其中1、2口用于和2台4507R交换机通讯；3、4口用于和2台3550-12G交换机通讯。

HSRP配置设置VLAN信息、启用交换机间的热备份路由协议HSRP

在中心交换机和汇聚交换机上分别设置所需的VLAN信息，中心交换机和汇聚交换机各自独立维护自己的一套VLAN信息。在主干和汇聚交换机上分别启用HSRP协议，保证在中心6509交换机间或汇聚交换机间有1台故障的情况下，VLAN间仍能正常的通讯。在2台中心6509交换机进行维护的特殊情况下，汇聚交换机仍能正常地工作，保证生产的不间断性。中心交换机和汇聚交换机上的VLAN划分：

6509中心交换机上负责接入综合办公楼的VLAN；4507R汇聚交换机负责接入联合工房的VLAN；3550-12G汇聚交换机接入负责厂房辅区的VALN。将分布在中心交换机上的VLAN分成两部分，在2台6509上分别设置不同的VLAN网关的优先级，奇数VLAN在第一台6509上激活，偶数VLAN在另一台6509上激活，达到每台6509上分别负担一半的VLAN通讯，实现负载均衡目的。在第二台6509上，VLAN10处于备份状态，在第一台6509上，VLAN10是激活的：HSRP配置--第一台6509配置第一台6509配置如下：interfaceVlan250

ipaddressstandby25priority150preemptstandby25ip

interfaceVlan220

ipaddress6standby22ip5interfaceVlan230

ipaddressstandby23priority150preemptstandby23ip

interfaceVlan10

ipaddressstandby1priority150preemptstandby1ip

interfaceVlan20

ipaddressstandby2ip

HSRP配置--第一台6509配置interfaceVlan30

ipaddressstandby3priority150preemptstandby3ip

interfaceVlan40

ipaddressstandby4ip

interfaceVlan50

ipaddressstandby5priority150preemptstandby5ip

interfaceVlan60

ipaddressstandby6ip

interfaceVlan70

ipaddressstandby7priority150preemptstandby7ip

interfaceVlan80

ipaddressstandby8ip

interfaceVlan90

ipaddressstandby9priority150preemptstandby9ip

interfaceVlan100

ipaddressstandby10ip

interfaceVlan110

ipaddressstandby11priority150preemptstandby11ip

interfaceVlan120

ipaddressstandby12ip

interfaceVlan130

ipaddressstandby13priority150preemptstandby13ip

HSRP配置--第一台6509配置interfaceVlan140

ipaddressstandby14ip

interfaceVlan150

ipaddressstandby15priority150preemptstandby15ip

interfaceVlan160

ipaddressstandby16ip

interfaceVlan170

ipaddressstandby17priority150preemptstandby17ip

interfaceVlan180

ipaddressstandby18ip

interfaceVlan190

ipaddressstandby19priority150preemptstandby19ip

interfaceVlan200

ipaddressstandby20ip

interfaceVlan210

ipaddressstandby21priority150preemptstandby21ip

interfaceVlan240

ipaddressstandby24ip

HSRP配置--第二台6509配置第二台6509配置如下：interfaceVlan250

ipaddressstandby25ip

interfaceVlan220

ipaddress7standby22priority150preemptstandby22ip5interfaceVlan230

ipaddressstandby23ip

interfaceVlan10

ipaddressstandby1ip

interfaceVlan20

ipaddressstandby2priority150preemptstandby2ip

interfaceVlan30

ipaddressstandby3ip

interfaceVlan40

ipaddressstandby4priority150preemptstandby4ip

interfaceVlan50

ipaddressstandby5ip

interfaceVlan60

ipaddressstandby6priority150preemptstandby6ip

interfaceVlan70

ipaddressstandby7ip

HSRP配置--第二台6509配置interfaceVlan80

ipaddressstandby8priority150preemptstandby8ip

interfaceVlan90

ipaddressstandby9ip

interfaceVlan100

ipaddressstandby10priority150preemptstandby10ip

interfaceVlan110

ipaddressstandby11ip

interfaceVlan120

ipaddressstandby12priority150preemptstandby12ip

interfaceVlan130

ipaddressstandby13ip

interfaceVlan140

ipaddressstandby14priority150preemptstandby14ip

interfaceVlan150

ipaddressstandby15ip

interfaceVlan160

ipaddressstandby16priority150preemptstandby16ip

interfaceVlan170

ipaddressstandby17ip

HSRP配置--第二台6509配置interfaceVlan180

ipaddressstandby18priority150preemptstandby18ip

interfaceVlan190

ipaddressstandby19ip

interfaceVlan200

ipaddressstandby20priority150preemptstandby20ip

interfaceVlan210

ipaddressstandby21ip

interfaceVlan240

ipaddressstandby24priority150preemptstandby24ip

动态VLAN的实现除了静态分配VLAN的方法外，还可以通过动态方式分配VLAN动态VLAN的实现1）在TFTP服务器（IP：00）上，创建VMPS数据库文件vmps.txt，内容如下：

vmpsdomainXMYC/***vmps域须和vtp域名相同***/

vmpsmodeopen

vmpsfallbackdefault /***定义特定VLAN，fallbackVLAN是当MAC地址不在VMPS数据库中时，端口被指定给的VLAN，默认值时null***/

vmpsno-domain-reqdeny /***定义当MAC地址不在VMPS数据库中时端口的操作类型***/!address<addr>vlan-name<vlan-name> address0000.1111.2222vlan-namejishu address0000.4444.1234vlan-namejishu address1111.2222.3333vlan-namemanage addressfedc.ba98.7654vlan-name--NONE-- /***使用--NONE—做VLAN名，可以拒绝指定的主机连接***/动态VLAN的实现及冗余引擎设置2）配置VMPS服务器全局配置模式下：vmps

tftpserver00vmps.txtvmpsstateenable设置端口为动态端口：portmembership1/1-12dynamic3)配置VMPS客户端动态端口在边缘交换机的全局模式下：vmpsserver5primary/***5为VMPS服务器所在交换机的管理IP**/portmembership1/2-4dymanic冗余引擎设置在2台6509中心交换机上设置第二个引擎的冗余：redundancymoderpr-plusmain-cpu

auto-syncrunning-configauto-syncstandard多层交换设置在2台中心6509交换机上的全局模式下，输入：mls

rp

ip在每个具体VLAN下，输入：interfacevlan10

mls

rp

ip动态路由协议EIGRP配置在2台中心交换机上配置EIGRP协议：routereigrp100networknetworknetworknoautosummaryroutereigrp168networknetworknetworknoautosummaryEIGRP协议缺省的负载均衡线路可以达到6条，如果多于6条，可以用命令maxium-path设置；ThereisnoneedconfigEIGRPAUTO-SUMMARYinthisscenario.Ifyouwanttherouterdosummary,youmustconfigIPSUMMARYEIGRPininterfacemode.动态路由协议EIGRP配置在中心交换机()的全局配置模式下设置DHCPSERVER：ip

dhcpexcluded-address0ip

dhcpexcluded-address0ip

dhcppool0network

netbios-name-server5353default-router

dns-server5353lease4ip

dhcppool1network

netbios-name-server5353 /***winsServer***/default-router /***缺省路由***/

dns-server5353 /***dnsServer***/lease4

intervlan10

ipaddressintervlan170

ipaddress

iphelper-address /***指向设置DHCP服务器的IP***/

动态路由协议EIGRP配置在专用服务器（IP为53）上启用DHCPSERVER服务，相应的交换机设置：interfaceVlan170

ipaddress

iphelper-address53对DHCPSERVER放置位置的建议：DHCPSERVER功能可以做在1台主交换机上，也可以做在1台专用的服务器上。在交换机上启用DHCP功能后，在该交换机重启时，所有的DHCPCLIENT均会同时再次申请DHCP延期服务，这样会造成交换机拥塞甚至死机。所以，将DHCP做在1台专用的服务器上，是最优的做法。2台4507R汇聚交换机配置初调第一台4507R汇聚交换机调试PC通过串口配置线连接4515引擎命名该交换机：hostname4507_1分配管理IP：interfacevlan550

ipaddress standby55priority150preemptstandby55ip

noshutdown设置ENABLE密码：

enablepasswordcisco设置TELNET密码：

linevty04 passwordcisco login配置VTP信息：

vtpmodeserver

vtpversion2

vtpdomainxmyc1

2台4507R汇聚交换机配置设置VTP信息vlan460 nameshqvlan433 namenydlvlan500 namezccjvlan430 namejbcjvlan450 namezjsvlan440 namebjckvlan590 namewlzkvlan470 namescddvlan480 namezbdlvlan550namewlgl2vlan490 nameoterher2

2台4507R汇聚交换机配置配置与两台4507R交换机的中继线的会聚和TRUNKinterfacePort-channel1

switchport

switchporttrunkencapsulationdot1q

switchportmodetrunkinterfaceGigabitEthernet1/1

switchport

switchporttrunkencapsulationdot1q

switchportmodetrunkchannel-group1modedesirableinterfaceGigabitEthernet1/2

switchport

switchporttrunkencapsulationdot1q

switchportmodetrunkchannel-group1modedesirable2台4507R交换机上的4515引擎的2个GBIC口间配置成1个CHANNEL。三层路由口的配置具体做法如下，全局配置模式下：defaultinterfacegi4/1defaultinterfacegi4/2interfacegi4/1 noswitchport

ipaddress52interfacegi4/2 noswitchport

ipaddress8522台4507R汇聚交换机配置初调第二台4507R汇聚交换机调试PC通过串口配置线连接4515引擎命名该交换机：hostname4507_2分配管理IP：interfacevlan550

ipaddressstandby55ip

noshutdown设置ENABLE密码：

enablepasswordcisco设置TELNET密码：

linevty04 passwordcisco login配置与另一台4507R交换机的2条中继线的会聚和TRUNKinterfacePort-channel1

switchport

switchporttrunkencapsulationdot1q

switchportmodetrunkinterfaceGigabitEthernet1/1

switchport

switchporttrunkencapsulationdot1q

switchportmodetrunkchannel-group1modedesirableinterfaceGigabitEthernet1/2

switchport

switchporttrunkencapsulationdot1q

switchportmodetrunkchannel-group1modedesirable2台4507R汇聚交换机配置设置VTP为SERVER模式：

vtpmodeserver

vtpversion2

vtpdomainxmyc1三层路由口的配置具体做法如下，全局配置模式下：defaultinterfacegi4/1defaultinterfacegi4/2interfacegi4/1 noswitchport

ipaddress52interfacegi4/2 noswitchport

ipaddress252设置VLAN信息、启用交换机间的热备份路由协议HSRP汇聚交换机独立维护自己的一套VLAN信息。4507R汇聚交换机负责接入联合工房的VLAN。将分布在汇聚交换机上的VLAN分成两部分，在2台4507R上分别设置不同的VLAN网关的优先级，奇数VLAN在第一台4507R上激活，偶数VLAN在另一台4507R上激活，达到每台4507R上分别负担一半的VLAN通讯，实现负载均衡目的。2台4507R汇聚交换机配置在第二台4507R上，VLAN470处于备份状态，在第一台4507R上，VLAN470是激活的：第一台4507R配置如下：interfaceVlan460

ipaddressstandby46ip

interfaceVlan433

ipaddressstandby133priority150preemptstandby133ip

interfaceVlan500

ipaddressstandby50ip

interfaceVlan430

ipaddressstandby43priority150preemptstandby43ip

interfaceVlan450

ipaddressstandby45priority150preemptstandby45ip

interfaceVlan440

ipaddressstandby44ip

interfaceVlan590

ipaddressstandby59priority150preemptstandby59ip

interfaceVlan470

ipaddressstandby47priority150preemptstandby47ip

interfaceVlan480

ipaddressstandby48ip

interfaceVlan550

ipaddressstandby55priority150preemptstandby55ip

interfaceVlan490

ipaddressstandby49priority150preemptstandby49ip

2台4507R汇聚交换机配置第二台4507R配置如下：interfaceVlan460

ipaddressstandby46priority150preemptstandby46ip

interfaceVlan433

ipaddressstandby133ip

interfaceVlan500

ipaddressstandby50priority150preemptstandby50ip

interfaceVlan430

ipaddressstandby43ip

interfaceVlan450

ipaddressstandby45ip

interfaceVlan440

ipaddressstandby44priority150preemptstandby44ip

interfaceVlan590

ipaddressstandby59ip

interfaceVlan470

ipaddressstandby47ip

interfaceVlan480

ipaddressstandby48priority150preemptstandby48ip

interfaceVlan550

ipaddressstandby55ip

interfaceVlan490

ipaddressstandby49ip

2台4507R汇聚交换机配置设置动态路由协议EIGRP，使中心和汇聚交换机之间的各IP子网可以通讯在2台汇聚交换机上配置EIGRP协议：routereigrp100networknetworknetworknoauto-summaryroutereigrp168networknetworknetworknoauto-summary2台3550-12G汇聚交换机初调第一台3550-12G汇聚交换机调试PC通过串口配置线连接3550-12G的配置口命名该交换机：hostname3550-12G_1分配管理IP：interfacevlan650

ipaddressstandby65priority150preemptstandby65ip

noshutdown设置ENABLE密码：

enablepasswordcisco设置TELNET密码：

linevty04 passwordcisco login配置VTP信息：

vtpmodeserver

vtpversion2

vtpdomainxmyc2设置VTP信息vlan620 namejxcjvlan600 nameyykvlan610 nameother3vlan650 namewlgl3配置与两台4507R交换机的中继线的会聚和TRUNKinterfacePort-channel1

switchport

switchporttrunkencapsulationdot1q

switchportmodetrunkinterfaceGigabitEthernet0/11

switchport

switchporttrunkencapsulationdot1q

switchportmodetrunkchannel-group1modedesirableinterfaceGigabitEthernet0/12

switchport

switchporttrunkencapsulationdot1q

switchportmodetrunkchannel-group1modedesirable2台3550-12G交换机上的2个1000Base-T口间配置成1个CHANNEL。三层路由口的配置具体做法如下，全局配置模式下：defaultinterfacegi0/1defaultinterfacegi0/2interfacegi0/1 noswitchport

ipaddress052interfacegi0/2 noswitchport

ipaddress652设置与各边缘交换机连接的光纤端口的TRUNKinterfacerangeGigabitEthernet0/3-10

switchport

switchportmodetrunk

switchporttrunkencapsulationdot1q2台3550-12G汇聚交换机初调第二台3550-12G汇聚交换机调试PC通过串口配置线连接CONSOLE口命名该交换机：hostname3550-12G_2分配管理IP：interfacevlan650

ipaddressstandby63ip

noshutdown设置ENABLE密码：

enablepasswordcisco设置TELNET密码：

linevty04 passwordcisco login配置与另一台3550-12G交换机的2条中继线的会聚和TRUNKinterfacePort-channel1

switchport

switchporttrunkencapsulationdot1q

switchportmodetrunkinterfaceGigabitEthernet1/1

switchport

switchporttrunkencapsulationdot1q

switchportmodetrunkchannel-group1modedesirableinterfaceGigabitEthernet1/2

switchport

switchporttrunkencapsulationdot1q

switchportmodetrunkchannel-group1modedesirable设置VTP为SERVER模式：

vtpmodeserver

vtpversion2

vtpdomainxmyc2三层路由口的配置具体做法如下，全局配置模式下：defaultinterfacegi0/1defaultinterfacegi0/2interfacegi0/1noswitchport

ipaddress452interfacegi0/2noswitchport

ipaddress052设置与各边缘交换机连接的光纤端口的TRUNKinterfacerangeGigabitEthernet0/3-10

switchport

switchporttrunkencapsulationdot1q

switchportmodetrunk热备份路由协议HSRP配置设置VLAN信息、启用交换机间的热备份路由协议HSRP汇聚交换机独立维护自己的一套VLAN信息。3550-12G汇聚交换机负责接入厂房辅区的VLAN。通过HSRP实现负载均衡目的。第一台3550-12G上，VLAN610和VLAN650激活；第二台3550-12G上，VLAN600和VLAN620激活。第一台3550-12G配置如下：interfaceVlan620

ipaddressstandby620ip

interfaceVlan600

ipaddressstandby60ip

interfaceVlan610

ipaddressstandby61priority150preemptstandby61ip

interfaceVlan650

ipaddressstandby65priority150preemptstandby65ip

热备份路由协议HSRP配置第二台3550-12G配置如下：interfaceVlan620

ipaddressstandby62priority150preemptstandby62ip

interfaceVlan600

ipaddressstandby60priority150preemptstandby60ip

interfaceVlan610

ipaddressstandby62ip

interfaceVlan650

ipaddressstandby65ip

设置动态路由协议EIGRP，使中心和汇聚交换机之间的各IP子网可以通讯在2台汇聚交换机上配置EIGRP协议：routereigrp100networknetworknetworknoauto-summaryroutereigrp168networknetworknetworknoauto-summary边缘交换机的配置命名，在配置模式下使用如下命令：

hostnamexmyc_c2950G_bg01分配管理IP，在配置模式下命令如下：interfacevlan250

ipaddress1noshutdownENABLE密码设置，在全局配置模式下：EnablepasswordciscoTELNET管理密码，在全局配置模式下：

Linevty04 Passwordcisco login设置VTP模式，在全局配置模式下：vtpmodeclient

vtpversion2vtpdomainxmyc配置中继端口（TRUNK）interfacerangegi0/1-2

switchportmodetrunk

switchporttrunkallowvlanall设置缺省网关：

ipdefault-gateway为加快端口的启用速度，2950边缘交换机上启用PORTFASTinterfacerangefa0/1-23 spanning-treeportfast为加快生成树的收敛速度，所有的2950边缘交换机和接入位置的4006、4503交换机上全部启用UPLINKFASTspanning-treeuplinkfast中心交换机和汇聚交换机相对独立，通过路由方式通讯，设置BACKBONEFAST意义不大在本实施方案中不对所有交换机设置BACKBONEFAST根据具体情况分配VLAN给各个端口赋予具体端口具体的VLAN，在全局配置模式下使用命令如下：对于一组相同性质的端口：interfacerangefa0/1–24

switchportmodeaccess

switchportaccessvlan3

对于一个具体的端口：interfacefa0/10

switchportmodeaccess

switchportaccessvlan4

4503交换机配置对于4503作为边缘接入交换机的情况，需在交换机上增加设置EIGRP，使4503可以和中心交换机正常通讯。命令如下：routereigrp100networknetworknetworknoauto-summaryroutereigrp168networknetworknetworknoauto-summary接入交换机安全访问配置通过Radius对802.1x的端口分配VLAN802.1x协议的客户端须是MicrosoftWindowsXP才可以实现。交换机上的配置：aaanew-modelaaa

authendot1xdefaultgroupradiusaaaauthornetworkdefaultgroupradiusradius-serverhostauth-port1912keyhehehe

intfa0/1dot1xport-controlautoradiusserver端：[64]Tunnel-Type=VLAN[65]Tunnle-Medium-Type=802[66]Tunnel-Private-Group-ID=VLANNAME启用端口的portsecurity，同时将端口与mac地址绑定：端口的portsecurity设置：intfa0/1switchportmodeaccessswitchportport-securityswitchportport-securitymax1switchportport-securitymac-addstickyswitchportport-securityviolationprotect端口和mac地址绑定：mac-address-tablepermanent0000.E800.D418fa0/1设置端口的安全性，则该端口只转发与端口绑定的mac地址的数据包，不允许转发其他mac地址的数据包。端口最大地址数设为1，则与该端口连接的PC独享100M带宽。联合工房网络部分切换将各边缘交换机分别通过两条光纤连接2台汇聚交换机4507R。2台4507R交换机与中心6509交换机的主干连接。分配管理IP，在配置模式下命令如下：interfacevlan550

ipaddress1 noshutdown设置VTP模式，在全局配置模式下：vtpmodeclient vtpversion2vtpdomainxmyc1配置中继端口（TRUNK）interfacerangegi0/1-2 switchportmodetrunk switchporttrunkallowvlanall设置缺省网关：

ipdefault-gateway将端口分别赋予所需的VLAN信息。为加快端口的启用速度，2950边缘交换机上启用PORTFASTinterfacerangefa0/1-23 spanning-treeportfast为加快生成树的收敛速度，2950边缘交换机上启用UPLINKFASTspanning-treeuplinkfast厂房辅区网络部分切换将各边缘交换机分别通过两条光纤连接2台汇聚交换机3550-12G。2台3550-12G交换机与中心6509交换机的主干连接。分配管理IP，在配置模式下命令如下：interfacevlan650

ipaddress1 noshutdown设置VTP模式，在全局配置模式下：vtpmodeclient vtpversion2vtpdomainxmyc2配置中继端口（TRUNK）interfacerangeGigabitEthernet0/1-2 switchportmodetrunk switchporttrunkallowvlanall设置缺省网关：

ipdefault-gateway将端口分别赋予所需的VLAN信息。为加快端口的启用速度，2950边缘交换机上启用PORTFASTinterfacerangefa0/1-23 spanning-treeportfast为加快生成树的收敛速度，2950边缘交换机上启用UPLINKFASTspanning-treeuplinkfast双冗余链路的的负载均衡在中心交换机和汇聚交换机上，利用PVST技术针对每个边缘交换机的两条千兆上联链路为每个VLAN设定不同优先级，使两条千兆上联链路都负担部分流量，做到负载分担，充分利用带宽资源。在交换机上启用PVST spanning-treemodepvst在中心或汇聚交换机上设置的端口针对具体VLAN的成本值，在边缘交换机上相应的拥有相同的端口针对具体VLAN的成本值，该成本值决定VLAN的传输方向。在中心或汇聚交换机上正确的设置端口针对具体VLAN的成本值，可以保证边缘交换机以最优的方式传输VLAN。vlan信息在6509_1上设置，缺省情况下，6509_1为所有vlan的root交换机。2950边缘交换机允许对所有VLAN的转发口均在端口1上。双冗余链路的的负载均衡有两种方法可以实现负载均衡：设置主干交换机为相应VLAN的根交换机在6509_2交换机上全局模式下设置：

spanning-treevlan10rootprimary spanning-treevlan30rootprimary结果是6509_2成为vlan10和vlan30的根交换机。vlan10和vlan30在6509_2交换机中的桥优先级由原来的32768降为8192。 如果要恢复6509_1成为vlan10和vlan30的根交换机，则在6509_2交换机上设置：

nospanning-treevlan10rootprimary nospanning-treevlan30rootprimary这种方式只要在中心和汇聚交换机上设置即可。边缘接入交换机只要接入网络，可以根据各VLAN的根交换机选择两条上联TRUNK线对各VLAN的转发。设置边缘交换机的TRUNK口对相应VLAN的端口成本（cost值） 假设2950边缘交换机对VLAN30的cost值为3004，gi0/1为VLAN30的转发口。想要改设gi0/2为VLAN30、VLAN40的转发口，则：

intergi0/1 spanning-treevlan30cost4000spanning-treevlan40cost4000结果gi0/2的端口成本将比gi0/1的低，gi0/2成为VLAN30、VLAN40的转发口。 交换机的缺省的端口成本值在1至65535间，缺省为32768，端口成本低的优先级比端口成本高的优先级高。两条上连链路中，针对某个VLAN，端口成本低的端口传输该VLAN的信息，端口成本高的不传输该VLAN的信息。 每台边缘交换机的两个光纤上联端口均需设置。

双冗余链路的的负载均衡具体实现方法6509_2交换机中全局模式下设置：

spanning-treevlan20rootprimary spanning-treevlan40rootprimary spanning-treevlan40rootprimary spanning-treevlan60rootprimary spanning-treevlan80rootprimary spanning-treevlan100rootprimary spanning-treevlan120rootprimary spanning-treevlan140rootprimary spanning-treevlan160rootprimary spanning-treevlan180rootprimary spanning-treevlan200rootprimary spanning-treevlan220rootprimary spanning-treevlan240rootprimary4507_2交换机中全局模式下设置：

spanning-treevlan440rootprimary spanning-treevlan460rootprimary spanning-treevlan480rootprimary spanning-treevlan500rootprimary3550-12G_2交换机