小型企业局域网的设计毕业设计

可修改编辑摘要本设计方案是关于小型企业局域网的设计，设计方案分为两个模块：交换模块和路由器模块。根据各部门职能不同把交换模块划分为不同的两个VLAN，从而减少了广播冲突提高了传输效率，通过部署ACL限制用户的访问，有效地保护敏感数据，提高了网络安全性。借助交换机的路由功能，可以实现各VLAN间数据包高速转发，解决VLAN之间的传输瓶颈。Internet接入功能主要通过路由器来实现，它的作用主要是建立外网和企业网的正常通信。使企业网的用户访问Internet同时Internet用户能在一定程度上访问企业网。通过配置NAT(NetAddressTranslation)，不仅是企业网用户可以访问Internet，而且对外隐藏企业网内部地址，从而实现地址保护。交换机的主要功能包括物理编址、网络拓扑结构、错误校验、帧序列以及流控。目前交换机还具备了一些新的功能，如对VLAN(虚拟局域网)的支持、对链路汇聚的支持，甚至有的还具有防火墙的功能，极大地提高了办公效率，同时免去了高昂的专线租用费用。关键字：企业局域网、VLAN划分、网络地址转换、访问控制Abstract精品doc可修改编辑Thisdesignisthedesignofthesmallenterpriselocalareanetwork(LAN),thedesignschemeisdividedintotwomodules：exchangeandroutermodule.AccordingtodifferentfunctionsofdepartmentstoexchangemoduleisdividedintotwodifferentVLAN,toimprovethetransmissionefficiency,therebyreducingthebroadcastconflictbydeployingACLrestrictuseraccess,effectivelyprotectingsensitivedata,improvethenetworksecurity.Usingswitchroutingfunction,canrealizehighspeedpacketforwardingamongdifferentVLAN,solvethetransmissionbottleneckbetweenvlans.MainlythroughtheroutertoInternetaccessfunction,itsroleismainlytoestablishthenetworkandenterprisenetworknormalcommunication.MaketheenterprisenetworkusersaccesstotheInternetatthesametime,Internetuserscanaccesstoenterprisenetworktosomeextent.ConfiguredNAT(.netAddressTranslation),notonlyistheenterprisenetworkuserscanaccesstheInternet,internalandexternalhiddenIntranetAddress,thusAddressprotectionisachieved.Themainfunctionofswitches,includingphysicaladdressing,networktopology,errorchecking,frames,andflowcontrol.Currentswitchalsohassomenewfeatures,suchassupportforVLAN(virtuallocalarea精品doc可修改编辑network(LAN),supportforlinktogether,orevensomestillhavethefunctionofthefirewall,greatlyimprovetheofficeefficiency,wasrelievedfromthehighlinerentalfeeatthesametime.精品doc可修改编辑Keywords:EnterpriseLAN,VLAN,NAT,ACL目录摘要 I精品doc修改编辑TOC\o"1-5"\h\z\o"CurrentDocument"ABSTRACT II\o"CurrentDocument"目录 IV，、乙 、，刖言 1\o"CurrentDocument"第一章技术可行性和需求分析 3\o"CurrentDocument"技术可行性 3NAT技术 3VLAN技术 5DHCP技术 5ACL技术 6PPP协议 7VTP技术 7STP技术 8动态/静态路由协议 9\o"CurrentDocument"需求分析 10带宽性能需求 10网络安全需求 10应用服务需求 10\o"CurrentDocument"设计所需环境 11硬件要求 11\o"CurrentDocument"第二章系统设计方案 12\o"CurrentDocument"系统设计原则 12实用性 12安全性 12可扩充性 12精品doc修改编辑TOC\o"1-5"\h\z可管理性 13高性能价格比 13\o"CurrentDocument"网络设备选型 13\o"CurrentDocument"系统总体设计和拓扑结构 14系统总体设计方案 15各设备的IP地址配置 16\o"CurrentDocument"第三章路由器模块 18\o"CurrentDocument"路由器配置 18IP地址配置 18Web服务器的配置 22\o"CurrentDocument"配置设备的远程登录和密码保护及DHCP 24配置设备的远程登录和密码保护 24\o"CurrentDocument"DHCP的配置 24\o"CurrentDocument"路由协议 26OSPF协议 26PPP协议 27PPP协议验证 28\o"CurrentDocument"配置NAT 29\o"CurrentDocument"第四章交换机模块 31\o"CurrentDocument"交换机基本参数配置 31SW1的配置 31SW2的配置 32\o"CurrentDocument"配置VTP协议 33SW1的配置 33精品doc修改编辑TOC\o"1-5"\h\zSW2的配置 34验证VTP配置 35\o"CurrentDocument"VLAN划分 35交换机VLAN配置 35配置VLAN间路由 37配置STP协议 39\o"CurrentDocument"配置ACL 42\o"CurrentDocument"第五章配置验证 44\o"CurrentDocument"DHCP自动分配验证 44\o"CurrentDocument"路由协议配置检验 44\o"CurrentDocument"NAT的验证 45总结 48\o"CurrentDocument"参考文献 49\o"CurrentDocument"致谢 50前言信息化浪潮风起云涌的今天，企业的业务已经全面电子化，与Internet的联系相当紧密，所以他们需要良好的信息平台去支撑业务的高速发展。没有信息技术背景的企业也将会对网络建设有主动诉求。任何决策的科学性和可靠性都是以信息为基础的，信息和决策是同一管理过程中的两个方面，因此行业信息化也就成了人们所讨论并实践着的重要课题。公司内部网络的建设已经成为提升企业核心竞争力的关键因素。公司网已经越来越多地被人们提到，利用网络技术，现代企业可以在客户、合作伙伴、员工之间实现优化的信息沟通，公精品doc可修改编辑精品doc可修改编辑得关键的竞争优势。众多行业巨擘纷纷上马各种应用方案且取得了巨大的成功，这使信息化建设更具吸引力。在现在企业中，普遍存在资金不足、信息基础薄弱、技术人员匮乏等特点，使得他们不能有效地将自身传统业务与信息系统很好的结合起来，以至于常常会出现投入不见效的情况。究其原因，在于企业信息化观念不够，信息系统没有总体设计原则，信息化建设缺乏规划，致使企业协同运作存在障碍，运营成本居高不下。作为企业的局域网，它不仅可以为企业提供高效的办公环境，还可以实现硬件资源和软件资源的共享从而节省了企业大量开支，又便于集中管理和提高工作效率。其次企业局域网要实现内部网络与外部网络的连接，从而极大的方便了企业和外界的沟通，这样不仅可以降低企业的生产成本，也可以实现异地办公。企业用户可以方便地传输各类数据，开展各类网络应用。随着我国计算机网络技术尤其是Internet技术的高速发展，加快对企业局域网建设迫在眉睫。因此构建一个“安全可靠、性能卓越、管理方便”的企业局域网，已经成为企业信息化建设成功的关键基石。本课题的设计需要综合运用各种知识来完成本课题，不仅可以使我进一步掌握计算机网络原理、熟悉企业局域网的设计搭建，而且可以增强了我的自学能力和动手能力。精品doc可修改编辑第一章技术可行性和需求分析技术可行性NAT技术随着Internet的迅速发展，IP地址短缺已经成为一个十分突出的问题。为了解决这个问题，出现了多种解决方案，而NAT（NetworkAddressTranslation网络地址转换）是目前网络环境中比较有效的方法。1）什么是NATNAT提供了连接互联网的一种简单方式，并且通过隐藏内部网络地址的手段为用户提供了安全保护。内部用户连接互联网时，NAT将用户的内部网络IP地址转换成一个外部公共IP地址，并在NAT地址转换表中记录下这个转换项；当外部网络数据返回时，NAT技术查询NAT地址转换项，将目标IP地址替换成初始的内部用户的IP地址，报数据包转发给内部网络用户。由于这样对外隐藏了内部网络的IP地址，因此，外部用户无法直接发起到内部网络的连接，从而保护了内部网络用户。精品doc修改编辑NAT的优点和缺点NAT的优点NAT节省了公共地址：一个企业申请的合法IP地址很少，而内部网络用户很多，可以通过NAT功能实现多个用户同时公用一个合法IP地址与外部网络进行通信。NAT允许内部网络编址的一致性：如果一个单位没有使用私有地址和NAT，当公有地址发生变化时，要改变公司内的所有主机IP地址，工作量巨大。如果采用了NAT只更改NAT设备的IP地址池配置，内部网络的编址不受影响。这意味着，一个单位可以更换ISP而不需要改变内部主机的IP地址。NAT增加了连接到公网的弹性：可以使用多地址池、备份池、负载均衡池，确保可靠的公网连接。NAT提高了内部网络的安全：一个企业不想让外部网络用户知道自己内部网络的结构，可以通过NAT将内部网络与外部Internet隔离开，则外部用户根本不知道通过NAT的内部IP地址。NAT虽然能提高内部网络的安全，但无法取代防火墙。NAT的缺点NAT影响性能：转换每一个包头中的IP地址需要时间，NAT增加了交换延时。路由器必须检查每一个包来决定是否需要转换，路由器需要转换IP头，有时还需要转换TCP或UDP头部。NAT缺乏对一些应用的支持：很多Internet协议和应用依赖于端到端的应用，包从源到目的地不能被修改。通过修改端到端的地址，NAT阻止了一些应用，比如一些安全应用，如数字签名就会失败，因为数据包中源IP地址发生了变化。精品doc修改编辑NAT不利于追踪：经过多次NAT,端到端的追踪变得非常困难。另外，因为NAT的存在，也很难追踪或获得黑客使用的真是IP地址。NAT使一些隧道协议变得复杂：因为NAT修改了包头中的值，给IPSec或其他隧道协议的完整性带来困难。RLAN技术VLAN（虚拟局域网）是对连接到的第二层交换机端口的网络用户的逻辑分段，不受网络用户的物理位置限制而根据用户需求进行网络分段。一个VLAN可以在一个交换机或者跨交换机实现。VLAN可以根据网络用户的位置、作用、部门或者根据网络用户所使用的应用程序和协议来进行分组。基于交换机的虚拟局域网能够为局域网解决冲突域、广播域、带宽问题。传统的共享介质的以太网和交换式的以太网中，所有的用户在同一个广播域中，会引起网络性能的下降，浪费可贵的带宽；而且对广播风暴的控制和网络安全只能在第三层的路由器上实现。VLAN相当于OSI参考模型的第二层的广播域，能够将广播风暴控制在一个VLAN内部，划分VLAN后，由于广播域的缩小，网络中广播包消耗带宽所占的比例大大降低，网络的性能得到显著的提高。不同的VLAN之间的数据传输是通过第三层（网络层）的路由来实现的，因此使用VLAN技术，结合数据链路层和网络层的交换设备可搭建安全可靠的网络。网络管理员通过控制交换机的每一个端口来控制网络用户对网络资源的访问，同时VLAN和第三层第四层的交换结合使用能够为网络提供较好的安全措施。另外，VLAN具有灵活性和可扩张性等特点，方便于网络维护和管理，这两个特点正是现代局域网设计必须实现的两个基本目标，在局域网中有效利用虚拟局域网精品doc可修改编辑技术能够提高网络运行效率。DHCP技术DHCP是DynamicHostConfigurationProtocol（动态主机配置协议）缩写，它的前身是BOOTP°BOOTP原本是用于无磁盘主机连接的网络上面的：网络主机使用BOOTROM而不是磁盘启动并连接上网络，BOOTP则可以自动地为那些主机设定TCP/IP环境。但BOOTP有一个缺点：您在设定前须事先获得客户端的硬件地址，而且与IP的对应是静态的。换而言之，BOOTP非常缺乏"动态性"，若在有限的IP资源环境中，BOOTP的——对应会造成非常严重的资源浪费。DHCP可以说是BOOTP的增强版本，它分为两个部份：一个是服务器端，而另一个是客户端。所有的IP网络设定数据都由DHCP服务器集中管理，并负责处理客户端的DHCP要求;而客户端则会使用从服务器分配下来的IP环境数据。使用DHCP，整个计算机的配置文件都可以在一条信息中获得（除了IP地址，服务器可以同时发送子网掩码、缺省网关、DNS服务器和其他的TCP/IP配置）。比较起BOOTP，DHCP透过"租约"的概念，有效且动态的分配客户端的TCP/IP设定，而且，作为兼容考虑，DHCP也完全照顾了BOOTPClient的需求。DHCP的分配形式首先，必须至少有一台DHCP服务器工作在网络上面，它会监听网络的DHCP请求，并与客户端磋商TCP/IP的设定环境。ACL技术访问控制列表（AccessControlList，ACL）是路由器和交换机接口的指令列表，用来控制端口进出的数据包。ACL适用于所有的被路由协议，如IP、IPX、AppleTalk等。这张表中包含了匹配关系、条件和查询语句，表只是一个框架结构，其目的是为了对某种访问进行控制。ACL可以用作控制和过滤流经路由器端口的数据包的工具。通过使用ACL，路由器提供了基本的数据流过滤能力。ACL具有下列作用：精品doc可修改编辑1）限制网络流量，提高网络性能2）提供数据流控制3）为网络访问提供基本的安全层4）决定转发或者阻止哪些类型的数据流PPP协议点对点协议（PPP）为在点对点连接上传输多协议数据包提供了一个标准方法。PPP最初设计是为两个对等节点之间的IP流量传输提供一种封装协议。在TCP-IP协议集中它是一种用来同步调制连接的数据链路层协议（OSI模式中的第二层），替代了原来非标准的第二层协议，即51邛。除了IP以外PPP还可以携带其它协议，包括DECnet和Novell的Internet网包交换（IPX）。VTP技术它是一个OSI参考模型第二层的通信协议，主要用于管理在同一个域的网络范围内VLANs的建立、删除和重命名。在一台VTPServer上配置一个新的VLAN时，该VLAN的配置信息将自动传播到本域内的其他所有交换机。这些交换机会自动地接收这些配置信息，使其VLAN的配置与VTPServer保持一致，从而减少在多台设备上配置同一个VLAN信息的工作量，而且保持了VLAN配置的统一性。VTP通过网络（ISL帧或cisco私有DTP帧）保持VLAN配置统一性。VTP在系统级管理增加，删除，调整的丫1人^自动地将信息向网络中其它的交换机广播。此外，VTP减小了那些可能导致安全问题的配置。便于管理，只要在vtpserver做相应设置，vtpclient会自动学习vtpserver上的vlan信息*当使用多重名字VLAN能变成交叉--连接。精品doc可修改编辑*当它们是错误地映射在一个和其它局域网，VLAN能变成内部断开。VTP有三种工作模式：VTPServer、VTPClient和VTPTransparent。新交换机出厂时的默认配置是预配置为VLAN1，VTP模式为服务器。一般，一个VTP域内的整个网络只设一个VTPServer。VTPServer维护该VTP域中所有VLAN信息列表，VTPServer可以建立、删除或修改VLAN，发送并转发相关的通告信息，同步vlan配置，会把配置保存在NVRAM中。VTPClient虽然也维护所有VLAN信息列表，但其VLAN的配置信息是从VTPServer学到的，VTPClient不能建立、删除或修改丫1人^但可以转发通告，同步vlan配置，不保存配置到NVRAM中。VTPTransparent相当于是一项独立的交换机，它不参与VTP工作，不从VTPServer学习VLAN的配置信息，而只拥有本设备上自己维护的VLAN信息。VTPTransparent可以建立、删除和修改本机上的VLAN信息，同时会转发通告并把配置保存到NVRAM中。1.1.7STP技术STP(SpanningTreeProtocol)是生成树协议的英文缩写。该协议可应用于在网络中建立树形拓扑，消除网络中的环路，并且可以通过一定的方法实现路径冗余，但不是一定可以实现路径冗余。生成树协议适合所有厂商的网络设备，在配置上和体现功能强度上有所差别，但是在原理和应用效果是一致的。STP的基本原理是，通过在交换机之间传递一种特殊的协议报文，网桥协议数据单元(BridgeProtocolDataUnit，简称BPDU)，来确定网络的拓扑结构。BPDU有两种，配置BPDU(ConfigurationBPDU)和TCNBPDU。前者是用于计算无环的生成树的，后者则是用于在二层网络拓扑发生变化时产生用来缩短CAM表项的刷新时间的(由默认的300s缩短为15s)。SpanningTreeProtocol(STP)在IEEE802.1D文档中定义。该协议的原理是按照树的结构来构造网络拓扑，消除网络中的环路，避免由于环路的存在而造成广播风暴问题。精品doc可修改编辑SpanningTreeProtocol(STP)的基本思想就是按照"树"的结构构造网络的拓扑结构，树的根是一个称为根桥的桥设备，根桥的确立是由交换机或网桥的BID(BridgeID)确定的，BID最小的设备成为二层网络中的根桥。BID又是由网桥优先级和MAC地址构成，不同厂商的设备的网桥优先级的字节个数可能不同。由根桥开始，逐级形成一棵树，根桥定时发送配置BPDU，非根桥接收配置BPDU，刷新最佳BPDU并转发。这里的最佳BPDU指的是当前根桥所发送的BPDU。如果接收到了下级BPDU(新接入的设备会发送BPDU,但该设备的BID比当前根桥大)，接收到该下级BPDU的设备将会向新接入的设备发送自己存储的最佳BPDU，以告知其当前网络中根桥;如果接收到的BPDU更优，将会重新计算生成树拓扑。当非根桥在离上一次接收到最佳BPDU最长寿命(MaxAge，默认20s)后还没有接收到最佳BPDU的时候，该端口将进入监听状态，该设备将产生TCNBPDU，并从根端口转发出去，从指定端口接收到TCNBPDU的上级设备将发送确认，然后再向上级设备发送TCNBPDU，此过程持续到根桥为止，然后根桥在其后发送的配置BPDU中将携带标记表明拓扑已发生变化，网络中的所有设备接收到后将CAM表项的刷新时间从300s缩短为15s。整个收敛的时间为50s左右。1.1.8动态/静态路由协议静态路由是指需要由网络管理员手工配置路由信息。当网络的拓扑结构或链路的状态发生变化时，网络管理员需要手工去修改路由表中相关的静态路由信息。静态路由一般适用于比较简单的网络环境，在这样的环境中，网络管理员易于清楚地了解网络的拓扑结构，便于设置正确的路由信息。使用静态路由的另一个好处是网络安全保密性高。动态路由因为需要路由器之间频繁地交换各自的路由表，而对路由表的分析可以揭示网络的拓扑结构和网络地址等信息。大型和复杂的网络环境通常不宜采用静态路由。一方面，网络管理员难以全面地了解整个网络的拓扑结构；另一方面，当网络的拓扑结构和链路状态发生变化时，路由器中的静态路由信息需要大范围地调整，这一工作的难度和复杂程度非常高。精品doc可修改编辑需求分析带宽性能需求现代企业网络应该有更高的带宽，更强大的性能，以满足日益增长的通信需求的用户。与计算机技术的快速发展，越来越多的基于网络的各种应用中，今天的企业网络已经发展成为一个多功能无记名平台，不仅要继续把办公自动化、网络浏览以及其他数据服务,但也携带的各种业务应用系统设计生产数据，以及带宽和要求IP电话、视频会议和其他多媒体服务。因此，数据流将大大增加，特别是提出了更高的要求，数据交换能力的核心网络。此外，随着成本的持续下降，千兆的千兆端口桌面应用程序将在不久的将来成为主流的企业网络。建立一个无障碍的“高品质”的企业局域网，扩大网络适应需求不断增长的营业额。网络安全需求现代企业网络将需要提供更好的网络安全解决方案，以防止病毒和黑客的攻击，减少经济损失。传统企业的网络安全主要是通过部署防火墙，IDS，防病毒软件，交换机或路由器的ACL和协调防御病毒和黑客攻击。现代企业网络在企业网络已经成为公司业务的重要组成部分，必须有一组病毒从用户接入控制，报文识别到主动抑制的一系列安全控制措施，从而确保稳定运行企业网络。应用服务需求现代企业网络应该有一个更智能的网络管理解决方案，以满足网络大小增加的维护工作更复杂的需求。目前的网络已经发展成为“以应用程序为中心的精品doc可修改编辑”信息基础设施平台、网络管理能力的需求已经上升到业务层面，传统的网络设备的情报没有有效地支持发展网络管理的需要。现代企业网络迫切需要一个网络设备支持“以应用程序为中心的“智能网络操作和维护，和一组智能管理软件，网络管理人员从繁重的工作释放。设计所需环境硬件要求操作系统WindowsServer2003/XP/7/VistaCPU 1500MHz最好是3000MHz以上双核更好内存 512MB最好是1G2G更好空闲硬盘空间2GB以上软件要求PacketTracer4.1第二章系统设计方案2.1系统设计原则2.1.1实用性应该从实际情况，以达到和容易使用可以起到有效的目的。成熟的技术和产精品doc可修改编辑品系统的建设。能够兼容现有系统的新系统，以保持连续性和可用的资源。该系统是安全可靠的。非常容易使用，并不需要太多的培训可以容易使用和维护。安全性使用各种有效的安全措施，确保安全运行的网络系统和应用程序。安全包括四个层次：网络安全、操作系统安全、数据库安全、应用系统安全。由于互联网的开放性，世界各地的网络用户可以访问公司网络、企业网络防火墙、数据加密技术，以防止非法入侵，防止窃听和篡改数据和路由信息安全保护，确保安全。磁带备份系统,建立系统和数据库。可扩充性符合国际和国内行业标准协议和接口，因此，企业网络具有良好的开放，容易与其他网络互连和信息资源。的增加及不同层次的网络节点和子网。一般包括开放标准的原则、技术、结构、系统组件和用户界面。必须根据实际的使用先进的成熟技术，购买先进水平的计算机网络系统和设备。随着不断变化的计算机技术和计算机网络技术的快速发展，网络系统的规模可伸缩性已经十分重要，所以考虑可伸缩性的网络系统是非常重要的。精品doc修改编辑可管理性修改编辑充分考虑网络的设计未来网络管理和维护，操作方便，维护容易的选择网络操作系统，大大减少了负担的管理和维护的网络运营商。使用智能网络管理，减少运营成本和维护的网络。高性能价格比日益进步的新技术和特定情况下，开发具有成本效益的解决方案来满足需求的基础上，充分保障了企业的经济效益。坚持经济原则，努力做更多的事情，钱最少的，为了获得最大的利益。网络设备选型本次设计均根据packettracer4.1模拟器完成，所有设备均采用模拟器内含设备。表3-1网络设备选型型号及数量价格（单位：元）说明Cisco1841四台3700/台集成多业务路由器能够以线速提供安全的数据访问应用，从而为中小企业和小型分支机构提供全套功能和灵活性，以便实现安全的互联网和内部网接入CISCOWS-C2960-24TT两台4000/台用于接入层交换机，具有24精品doc 可修改编辑 个以太网10/100端口2个以太网10/100/1000端口系统总体设计和拓扑结构对于一个大中型企业局域网，通常在设计上将网络分为核心层、汇聚层和接入层分别考虑。接入层节点直接连接用户计算机，它通常是一个部门或者一个楼层的交换机；汇聚层交换机的每个节点可以连接多个接入层节点，它通常是一个建筑物内部连接多个楼层交换机或者部门交换机的总交换机；核心层交换机节点连接多个汇聚层交换机，通常是企业中连接多个建筑物的总交换机的核心网络设备。1、核心层核心层的功能主要是实现骨干网络之间的优化传输，复杂整个网络的网内数据交换。网络的功能控制最好尽量在骨干层上实施，核心层设计任务的重点是冗余能力、可靠性和高速传输。核心层一直被认为流量的最终承受着和汇聚者，所以要求核心交换机拥有较高的可靠性和性能。2、汇聚层汇聚层主要负责连接接入层节点和核心层，汇聚分散的接入点，扩大核心设备的端口密度和种类，汇聚各区域数据流量，实现骨干网络之间的优化传输。汇聚层交换机还负责本区域的数据交换，汇聚层交换机一般与中心交换机同类型，仍需较高的性能和较丰富功能。3、接入层接入层交换机作为二层交换网络设备，提供功能工作站等设备的网络接入。接入层在整个网络中接入交换机的数据最多，具有即插即用的特性。对于此类精品doc可修改编辑交换机要求，一是价格合理；二是可管理性号，易于使用维护；三是稳定性要好。精品doc可修改编辑系统总体设计方案本次设计为小型企业局域网，对网络进行简化，并未采用三层结构，重点放在网络主干的设计与路由器交换机的配置上，同时还有VLAN的划分，VTP协议的使用、STP协议的配置、动态/静态路由协议的配置、DHCP的配置、NAT的配置、PPP的配置及ACL的应用。图2-1为企业局域网总体拓扑结构图图2-1企业局域网总体拓扑图注：图中PC机代表企业各部门精品doc

R1：S0/0/0：Fa0/1：Fa0/2：Fa0/3：R2：S0/0/0：Fa0/0：Fa0/1：R3：S0/0/0：Fa0/1：R4：S0/0/0：Fa0/0：Fa0/1：SW1：2.3.2各设备的IP地址配置修改编辑精品doc可修改编辑VLAN1： SW2：VLAN2： PC1,PC2,PC3和PC4的IP地址均自动获取。PC1和PC2属于VLAN2,VLAN2所在的IP子网是。PC2和PC4属于VLAN3，VLAN3所在的IP子网是。Web服务器： 第三章路由器模块路由器（Router）是连接因特网中各局域网、广域网的设备，它会根据信道的情况自动选择和设定路由，以最佳路径，按前后顺序发送信号的设备。路由器是互联网络的枢纽、"交通警察"。目前路由器已经广泛应用于各行各业，各种不同档次的产品已成为实现各种骨干网内部连接、骨干网间互联和骨干网与精品doc可修改编辑互联网互联互通业务的主力军。路由和交换之间的主要区别就是交换发生在OSI参考模型第二层(数据链路层)，而路由发生在第三层，即网络层。这一区别决定了路由和交换在移动信息的过程中需使用不同的控制信息，所以两者实现各自功能的方式是不同的。路由器配置IP地址配置1)R1的配置Router>enRouter#conftEnterconfigurationcommands,oneperline.EndwithCNTL/Z.Router(config)#hostR1R1(config)#intS0/0/0R1(config-if)#ipaddR1(config-if)#clockrate64000R1(config-if)#noshut%LINK-5-CHANGED:InterfaceSerial0/0/0,changedstatetodownR1(config-if)#intfa0/0(该端口在VLAN划分时在给予配置，此仅打开端口)精品doc修改编辑R1(config-if)#noshut%LINK-5-CHANGED：InterfaceFastEthernet0/0,changedstatetoup%LINEPROTO-5-UPDOWN：LineprotocolonInterfaceFastEthernet0/0,changedstatetoup2)R2的配置Router>enRouter#conftEnterconfigurationcommands,oneperline.EndwithCNTL/Z.Router(config)#hostR2R2(config)#ints0/0/0R2(config-if)#ipaddR2(config-if)#noshut%LINK-5-CHANGED:InterfaceSerial0/0/0,changedstatetoupR2(config-if)#intfa0/0R2(config-if)#ipaddR2(config-if)#noshut精品doc可修改编辑%LINK-5-CHANGED：InterfaceFastEthernet0/0,changedstatetoupR2(config-if)#intfa0/1R2(config-if)#ipaddR2(config-if)#noshut%LINK-5-CHANGED:InterfaceFastEthernet0/1,changedstatetoup3)R3的配置Router>enRouter#conftEnterconfigurationcommands,oneperline.EndwithCNTL/Z.Router(config)#hostR3R3(config)#ints0/0/0R3(config-if)#ipadd34.1.1,3R3(config-if)#clockrate64000R3(config-if)#noshut%LINK-5-CHANGED：InterfaceSerial0/0/0,changedstatetodownR3(config-if)#intfa0/1R3(config-if)#ipadd精品doc修改编辑R3(config-if)#noshut%LINK-5-CHANGED：InterfaceFastEthernet0/1,changedstatetoup%LINEPROTO-5-UPDOWN：LineprotocolonInterfaceFastEthernet0/1,changedstatetoup4)R4的配置Router>enRouter#conftEnterconfigurationcommands,oneperline.EndwithCNTL/Z.Router(config)#hostR4R4(config)#ints0/0/0R4(config-if)#ipaddR4(config-if)#noshut%LINK-5-CHANGED:InterfaceSerial0/0/0,changedstatetoupR4(config-if)#intfa0/0R4(config-if)#ipaddR4(config-if)#noshut精品doc可修改编辑%LINK-5-CHANGED：InterfaceFastEthernet0/0,changedstatetoup%LINEPROTO-5-UPDOWN：LineprotocolonInterfaceFastEthernet0/0,changedstatetoupR4(config-if)#intfa0/1R4(config-if)#ipaddR4(config-if)#noshut%LINK-5-CHANGED:InterfaceFastEthernet0/1,changedstatetoup%LINEPROTO-5-UPDOWN:LineprotocolonInterfaceFastEthernet0/1,changedstatetoup3.1.加eb服务器的配置Web服务器配置如下：IP地址：子网掩码：网关：如图3-1，3-2精品doc可修改编辑GlobalSettingsDisplayName §日rv白「口Gateway 图3-1网关配置HalfDuplex@FullDuplexHalfDuplexMACAdd「巳ss□ClCil,9l5EMACAdd「巳ssFPConfiguration中DHCPStatTcIPAddress218.7^2SubnetMask255.255.255.□图3-2IP和掩码配置配置设备的远程登录和密码保护及DHCP配置设备的远程登录和密码保护R1的配置如下R1(config)#linevty04精品doc可修改编辑R1(config-line)#passwordciscoR1(config-line)#loginR1(config-line)#exR1(config)#enablesecretciscoR1(config)#servicepassword-encryptionR2R3R4SW1SW2的配置与R1的配置类似不再叙述HCP的配置R1>enPassword:R1#conftEnterconfigurationcommands,oneperline.EndwithCNTL/Z.R1(config)#ipdhcpexcluded-addressR1(config)#ipdhcppoolvlan2R1(dhcp-config)#networkR1(dhcp-config)#default-routerR1(dhcp-config)#dns-serverR1(dhcp-config)#exR1(config)#ipdhcpexcluded-addressR1(config)#ipdhcppoolvlan3精品doc可修改编辑R1(dhcp-config)#networkR1(dhcp-config)#default-routerR1(dhcp-config)#dns-server检验：依次配置PC机，使用DHCP分配结果如图3-3Globa£SettingsDisplayNamePCIGateway/DNS金DHCPStatic…-jDNSServer1218.1.1,2图3-3PC1的DHCP分配结果路由协议OSPF协议R1配置R1(config)#iproute精品doc修改编辑R2的配置R2(config)#routerospf1R2(config-router)#net55area0R2(config-router)#net55area0R2(config-router)#net55area0R3的配置R3(config)#routerospf1R3(config-router)#net55area0R3(config-router)#net55area0R4的配置R4(config)#routerospf1R4(config-router)#net55area0R4(config-router)#net55area0R4(config-router)#net55area0PPP协议R1配置R1(config)#userR2passciscoR1(config)#ints0/0/0R1(config-if)#encapsulationppp精品doc修改编辑%LINEPROTO-5-UPDOWN：LineprotocolonInterfaceSerial0/0/0,changedstatetodownR1(config-if)#pppauthenticationchapR2的配置R2(config)#userR1passciscoR2(config)#ints0/0/0R2(config-if)#encapsulationppp%LINEPROTO-5-UPDOWN:LineprotocolonInterfaceSerial0/0/0,changedstatetoupR2(config-if)#pppauthenticationchap%LINEPROTO-5-UPDOWN:LineprotocolonInterfaceSerial0/0/0,changedstatetodown%LINEPROTO-5-UPDOWN:LineprotocolonInterfaceSerial0/0/0,changedstatetoupPPP协议验证关闭路由器R1的S0/0/0接口，稍后再次打开该接口，触发PPP的CHAP验证。输出如图3-4：精品doc

aKconzig)tintsO/O/O可修改编辑aKconzig)tintsO/O/O可修改编辑%LINEP=lOTa,-5-TJPDOWN:XineprotccclcmInterEaceS£rial0/0/0pciiangedstatetoupRLGcn-ig-iz)^LIN.K-S-CHLiTSSDzIriterza.ceSerialO/O/Orchangedstatetqadminlstrati^elydctm%LIN5P3,OT&-B-TJTSOrnT:linepro-tccolunIntez:zac.eSezial0/0/0Fcha.ngedmtatetodciwn$L工NIC一三一CHANGEInteEfaceSfiEiilO/O/OFchsngedstatetc^d®inj_stEAti'ir&lydcwnRL(eonzig-if)t：noshut%LIKK-5-CHnirGED=InterfaceSeriailO/O/OFchangedstatetcupRL(conrig-if)*%LINiPSQTO-5-VPaOrJN:liinepzo-tQ^slera工口t匕匚fmu自SeEiaL0/0/OP匚h自口g哈dsts.tetcup"Z%STS-S—COWFIG1zCcs：n=ig7_iradfrcmccnacilefaycronscleSlopingTypeescapesequenczetcafaezrt.S&nding5flOO-byteICMPEehc-sto12.1„1.2Ptinnscutia2sesends:rrrirSucHceaarateis100percent(5/5)EQiind-tripmin/avg/majc=20/36/S0mg图3-4PPP的CHAP验证3.4配置NAT在路由器R1上配置动态PAT,使四台PC都可以通过R1访问Internet。R1配置如下：R1(config)#intfa0/0.2R1(config-subif)#ipnatinsideR1(config-subif)#intfa0/0.3R1(config-subif)#ipnatinside精品doc修改编辑R1(config-subif)#ints0/0/0R1(config-if)#ipnatoutsideR1(config-if)#exR1(config)#access-list1permit55R1(config)#access-list1permit55R1(config)#ipnatinsidesourcelist1interfaces0/0/0overload在路由器R1上配置静态PAT，使Internet可以通过路由器R1的TCP2323端口Telnet登录到SW1。R1的配置如下：R1(config)#intfa0/0.1R1(config-subif)#ipnatinsideR1(config-subif)#exR1(config)#ipnatinsidesourcestatictcp232323精品doc可修改编辑第四章交换机模块交换(switching)是按照通信两端传输信息的需要，用人工或设备自动完成的方法，把要传输的信息送到符合要求的相应路由上的技术的统称。根据工作位置的不同，可以分为广域网交换机和局域网交换机。广域的交换机(switch)就是一种在通信系统中完成信息交换功能的设备。在计算机网络系统中，交换概念的提出改进了共享工作模式。而HUB集线器就是一种共享设备，HUB本身不能识别目的地址，当同一局域网内的A主机给B主机传输数据时，数据包在以HUB为架构的网络上是以广播方式传输的，由每一台终端通过验证数据包头的地址信息来确定是否接收。也就是说，在这种工作方式下，同一时刻网络上只能传输一组数据帧的通讯，如果发生碰撞还得重试。这种方式就是共享网络带宽。通俗的说，普通交换机是不带管理功能的，一根进线，其他接口接到电脑上就可以了。精品doc

4.1交换机基本参数配置4.1交换机基本参数配置修改编辑SW1的配置Switch>enSwitch#conftEnterconfigurationcommands,oneperline.EndwithCNTL/Z.Switch(config)#hostSW1SW1(config)#intvlan1SW1(config-if)#ipaddSW1(config-if)#noshut%LINK-5-CHANGED:InterfaceVlan1,changedstatetoup%LINEPROTO-5-UPDOWN:LineprotocolonInterfaceVlan1,changedstatetoupSW1(config-if)#exSW1(config)#ipdefault-gatewaySW2的配置Switch>enSwitch#conft精品doc可修改编辑Enterconfigurationcommands,oneperline.EndwithCNTL/Z.Switch(config)#hostSW2SW2(config)#intvlan1SW2(config-if)#ipaddSW2(config-if)#noshut%LINK-5-CHANGED:InterfaceVlan1,changedstatetoup%LINEPROTO-5-UPDOWN:LineprotocolonInterfaceVlan1,changedstatetoupSW2(config-if)#exSW2(config)#ipdefault-gateway配置VTP协议SW1的配置SW1(config)#vtpdomainccnaChangingVTPdomainnamefromNULLtoccnaSW1(config)#intfa0/23SW1(config-if)#switchportmodetrunk%LINEPROTO-5-UPDOWN:LineprotocolonInterfaceFastEthernet0/23,精品doc可修改编辑精品doc可修改编辑%LINEPROTO-5-UPDOWN：LineprotocolonInterfaceFastEthernet0/23,changedstatetoupSW1(config-if)#intfa0/24SW1(config-if)#swimodetrunk%LINEPROTO-5-UPDOWN:LineprotocolonInterfaceFastEthernet0/24,changedstatetodown%LINEPROTO-5-UPDOWN:LineprotocolonInterfaceFastEthernet0/24,changedstatetoupW2的配置SW2(config)#vtpdomainccnaChangingVTPdomainnamefromNULLtoccnaSW2(config)#vtpmodeclientSettingdevicetoVTPCLIENTmode.SW2(config)#intfa0/23SW2(config-if)#%LINEPROTO-5-UPDOWN:LineprotocolonInterfaceFastEthernet0/23,changedstatetodownSW2(config-if)#swimodetrunk精品doc

可修改编辑SW2(config-if)#intfa0/24SW2(config-if)#swimodetrunk%LINEPR0T0-5—UPD0WN：LineprotocolonInterfaceFastEthernet0/24,changedstatetodown%LINEPROTO-5-UPDOWN:LineprotocolonInterfaceFastEthernet0/24,changedstatetoup因为思科交换机默认是VTPServer，所以SW1是需要配置VTP域名就可以。证VTP配置配置完成后，在SW2上使用飞卜。0vtpstatus”命令进程查看，显示结果如图4-1：STT2vtpstatusVTE1VsesIctiSeviaicnsuppcrted1CFQallySeviaicnsuppcrted1CFQallyMajLiiEiLiin"JLiNsMujuherdeejiiating-VLSNaClienttrendE>i3dbleddisabledVTFOperatingMedeClienttrendE>i3dbleddisabledDoinairLPruningMede7TFTrapsGr7TFTrapsGr口已rr己匕icxnM&5digestOkEIOaZAOjtlS0kE50kB30kA4口前。必弓C口口：二gu匚口七i口hlast皿di方［e3匕丫0.0.0.CatO-Q-OQ00;00;00图4-1showvtpstatus输出信息因为SW1上网没有配置VLAN信息，SW1上VTP的配置修正号是0，所以SW2上的配置修正号也是0，存在的VLAN个数仍然是默认的5.配置完VLAN后，可以进一步检验VTP的配置。精品doc修改编辑VLAN划分交换机VLAN配置在VTPServer交换机SW1上添加VLAN,并把端口加入到对应的VLAN中。SW1配置如下：SW1(config)#VLAN2SW1(config-vlan)#vlan3SW1(config-vlan)#intfa0/2SW1(config-if)#swimodeaccSW1(config-if)#swiaccvlan2SW1(config-if)#intfa0/3SW1(config-if)#swimodeaccSW1(config-if)#swiaccvlan3%SYS—5—CONFIG_I：Configuredfromconsolebyconsole配置完成后使用showvlan命令查看VLAN配置情况，如图4-2：精品doc可修改编辑SDrifshaw'rlanMameStatusPcrtsidefaultactiveFa0/lrFa0/4rFaO/SrFaOZSFa0/8pFaO/9FFa0/10Fa0/llFFa0/12pFa.0/13pFa0/14Fa.0/15rFa.0/l€PFa0/17pFa.0/18Fa0/19rFa0/20pFa0/21PFa0/22Gigl/lPGigl/2VLAN0002activeFi0/23VLAN0003activeFa.0/31002zddi-defauLtactive1003token-ring-defaultactive1004fddinet-defaultactive1005tenet-dezaultactive图4-2VLAN配置情况SW2配置如下：SW2(config)#intfa0/1SW2(config-if)#swimodeaccSW2(config-if)#swiaccvlan2SW2(config-if)#intfa0/2SW2(config-if)#swimodeaccSW2(config-if)#swiaccvlan34.3.2配置VLAN间路由这里要配置单臂路由，借助路由器R1实现VLAN1、VLAN2、VLAN3之间的互精品doc可修改编辑访。SW1和R1之间的链路要配置成主干链路，SW1的配置如下:精品doc可修改编辑SW1(config)#intfa0/1SW1(config-if)#swimodetrunk%LINEPROTO-5-UPDOWN：LineprotocolonInterfaceFastEthernet0/1,changedstatetodown%LINEPROTO-5-UPDOWN:LineprotocolonInterfaceFastEthernet0/1,changedstatetoup路由器R1的配置如下：R1(config)#intfa0/0.1%LINK-5-CHANGED:InterfaceFastEthernet0/0.1,changedstatetoup%LINEPROTO-5-UPDOWN:LineprotocolonInterfaceFastEthernet0/0.1,changedstatetoupR1(config-subif)#encapsulationdot1Q1R1(config-subif)#ipaddR1(config-subif)#intfa0/0.2%LINK-5-CHANGED:InterfaceFastEthernet0/0.2,changedstatetoup精品doc可修改编辑%LINEPROTO-5-UPDOWN：LineprotocolonInterfaceFastEthernet0/0.2,changedstatetoupR1(config-subif)#encadot2R1(config-subif)#ipaddR1(config-subif)#intfa0/0.3%LINK-5-CHANGED:InterfaceFastEthernet0/0.3,changedstatetoup%LINEPROTO-5-UPDOWN:LineprotocolonInterfaceFastEthernet0/0.3,changedstatetoupR1(config-subif)#encadot3R1(config-subif)#ipadd4.3.3S置STP协议配置前线查看STP协议运行情况，SW1上显示如下：SW1#showspanning-treeVLAN0001SpanningtreeenabledprotocolieeeRootIDPriority 32769Address 000A.4180.A934精品doc修改编辑HelloTime2secMaxAge20secForwardDelay15secsecBridgeIDPriority32769(priority32768sys-id-ext1)Address0060.47D7.D883AgingTime300BridgeIDPriority32769(priority32768sys-id-ext1)Address0060.47D7.D883AgingTime300InterfaceRoleStsCostPrio.NbrTypeInterfaceRoleStsCostPrio.NbrTypeFa0/1Fa0/23Fa0/24DesgFWD19AltnBLK19RootFWD19128.3128.3128.3ShrShrShrVLAN0002SpanningtreeenabledprotocolieeeRootIDPriority32770Address 000A.4180.A934HelloTime2secMaxAge20secForwardDelay15secBridgeIDPriority32770(priority32768sys-id-ext2)精品doc

修改编辑Address0060.47D7.D883AddressAgingTime300InterfaceRoleStsCostPrio.NbrTypeFa0/1DesgFWD19128.3ShrFa0/2DesgFWD19128.3ShrFa0/23AltnBLK19128.3ShrFa0/24RootFWD19128.3ShrVLAN0003SpanningRootIDtreeenabledprotocolieeePriority 32771Address 000A.4180.A934HelloTime2secMaxAge20secForwardDelay15secBridgeIDPriority32771(priority32768sys-id-ext3)Address0060.47D7.D883AgingTime300精品doc

Fa0/1DesgFWD19128.3ShrFa0/3DesgFWD19128.3ShrFa0/23AltnBLK19128.3ShrFa0/24RootFWD19128.3Shr修改编辑InterfaceRoleStsCostPrio.NbrType修改编辑InterfaceRoleStsCostPrio.NbrType从上面的输出可以看到，交换机上默认运行的是PVST+,在VLAN1、VLAN2、和VLAN3中，SW1都不是跟交换机，交换机上使用了扩展的system-ID,system-ID等于每个VLAN的编号。SW1的Fa0/24是根端口，Fa0/23端口被阻塞。网络中只有两台交换机，既然SW1不是根交换机，那么跟交换机是SW2。配置SW1，使其成为所有的VLAN的根交换机，配置命令如下：SW1(config)#spanning-treevlan1,2,3priority40964.4配置ACL配置ACL前，在PC1上访问，显示如图4-3：精品doc

图4-3PC1成功访问Web服务器从图中可以看到PC1,成功的访问了Web服务器。那么接下来配置ACL访问控制列表。路由器R1的配置如下：R1(config)#accessTist100denytcp55hosteq80R1(config)#accessTist100permitipanyanyR1(config)#intfa0/0.2R1(config-subif)#ipaccess-group100in配置完成后，再次在PC1上访问显示如图4-4所示：精品doc

可修改编辑覆PCIPhysicalConfigDesktopWebBrowser可修改编辑覆PCI