中小型园区网的设计方案与实现

湖南科技职业学院毕业论文作者：XX学号：34学系：信息工程系专业：计算机网络题目:中小型园区网的设计与实现指导者：ＸXX(姓名)（专业技术职务)2０06年３月１长沙目录HＹＰEＲLIＮＫ\l＂前言”前言…………4HYＰＥＲLINK\l”系统总体设计方案概述＂系统总体设计方案概述……………………5１．1HYPERLINK\ｌ＂系统组成与拓扑结构＂系统组成与拓扑结构………５1.2HYPＥRLＩNKＶＬAN及ＩP地址规划………61．3ＨYPERLINＫ＼l"设备选型"设备选型……………………７HYPERLIＮK\ｌ"交换模块的设计"交换模块的设计……………82.1HYＰEＲLIＮK\ｌ＂接入层交换服务的实现”接入层交换服务的实现……８2．1。1HＹPERＬINＫ\l”对ｃoｎnecｔ1的端口进行具体的配置"对cｏnnｅct1的端口进行具体的配置…102.2ＨYPERＬＩNK\l＂汇聚层交换服务的实现＂汇聚层交换服务的实现……142。２。1HYＰＥRＬＩNK\l＂配置汇聚层交换机colｌｅct１的基本参数＂配置汇聚层交换机cｏｌlｅcｔ1的基本参数……………142。2．2HYPＥＲＬINK\ｌ＂配置汇聚层交换机ｃolｌect１的管理IP,默认网关"配置汇聚层交换机colleｃｔ1的管理IP，默认网关……152.２。３HYPERLINＫ配置汇聚层交换机ｃｏlleｃt1的VTP剪裁功能…………1６２．2.5HＹPERＬINK\l"为cｏｌleｃt１配置ｖlan和端口设置＂为collｅｃｔ1配置vｌan和端口设置………1６2。2。6HＹPＥRＬＩNK\l"为collect1启用路由功能”为collｅcｔ1启用路由功能………………1６2．２。7HＹPERLＩNK\l”配置汇聚层交换机ｃolleｃｔ2”配置汇聚层交换机collｅct2……………172。3ＨYPEＲLＩNＫ\ｌ"核心层交换服务的实现＂核心层交换服务的实现—配置核心层交换机………………18２．3.1HYPERLＩNK设置核心层交换机为VＴP客户机…………192．3。3ＨYＰＥRLINK\ｌ”设置核心层交换机的端口”设置核心层交换机的端口…………………1９２。３。４HＹPＥRLINK＼l”启用核心层ｃorｅ交换机的路由功能”启用核心层core交换机的路由功能……１9HＹPERLINK设置只允许来自服务器的IＰ地址才能访问并配置路由器…22３。3.3ＨYＰＥＲLIＮＫ配置路由器的身份认证………23ＨYPERLIＮＫ＼l＂防火墙的配置”防火墙的配置…………………234．1ＨYPERＬＩNK\ｌ”防火墙的基本配置＂防火墙的基本配置…………………234.1．１HＹPERLINK\l"配置防火墙接口的名字＂配置防火墙接口的名字,并指定安全级别……234．1.２HYPEＲLＩNK＼ｌ"配置以太网口参数及IP地址＂配置以太网口参数及ＩＰ地址……２４4.1。３HYＰERLIＮK\ｌ"指定要进行NAT转换的ＩP地址范围＂指定要进行NＡT转换的IＰ地址范围……………24４.1．4HYPERLＩNＫ\l”指定转换后的IＰ地址范围"指定转换后的IP地址范围………2４4.1.５HＹPＥＲLIＮＫ\l”设置指向内网和外网的静态路由＂设置指向内网和外网的静态路由………………24４.2ＨYPERＬＩNK＼l＂配置fｉxｕp协议”配置fｉxuｐ协议……………………254．３HYPERLINK\ｌ"设置最大传输单元"设置最大传输单元（ＭTU)………２54。4ＨYPERLINK\l＂设置PＩX入侵检测"设置ＰIX入侵检测…………………２5ＨＹＰＥRLINK＼l＂服务器模块设计”服务器模块设计…………………２6HYPＥRLINＫ＼l”总结"总结……………２7ＨＹＰERＬINＫ\l＂主要参考文献资料”参考资料………………27课题内容：中小型园区网的设计与实现HYPERLIＮＫ\l”返回"前言二十一世纪是知识经济时代。随着现代科学技术的飞速发展，全球信息化浪潮势不可挡，已经迅速延伸至国防、科研、经济、教育等各个领域，也不可避免地改变着传统的企业人事的工作模式，利用当前蓬勃发展的以计算机和网络为主导的现代信息技术则是企业实现现代化工作的必不可少的技术基础.在现今的网络建设中，企业网的建设是非常重要的，企业网内部各种不同业务的开展是企业网发展迅速的最主要原因.从早期的企业网主要是简单的数据共享，简单数据库的共享到现在内部全方位的数据共享，从过去单一的企业到现在多个分支公司的全部互连，因而对网络的覆盖面要求越来越广。这一要求最早还只局限于各分支企业内部,现在则已是整个企业、整个行业，甚至整个Ｉnternet的共同要求。1HYＰERLINK\l”返回＂系统总体设计方案概述企业网（EＮＴERPＲＩSＥNEＴWORＫ）是非常典型的综合网络实例。在本设计方案中主要是对一个企业进行整体的网络设计.该企业占有一幢大厦,共有八个部门，每个部门不会超过25５台工作站,分别是财务部、人力资源部、技术支持部、营销部、售后服务部、生产部、公关部、设备部,此外有一个总经理办公室，一个副总经理办公室。如图,是该企业拆分后的网络总体拓扑结构图。ﻩIＮTERNET信息中心ﻩ信息中心总经理办公室副总经理办公室财务部ﻩ人力资源部ﻩ技术支持部ﻩ生产部公关部ﻩ售后服务部ﻩ设备部ﻩ部售后服务部 公关部ﻩ设备部ﻩ营销部在上面的拓扑结构图中，企业有八个部门,两个经理办公室共十个主要的接入点,核心层交换机通过Cisｃo3４60路由器接入因特网。图中展示了每个建筑物内部的网络拓扑结构，并给出了信息中心内部的网络设备拓扑结构。在接下来的论述中，我将展开并详细讨论每个模块的设计内容。1.1HYＰERLＩＮＫ\l”返回系统组成与拓扑结构”系统组成与拓扑结构为了实现网络设备的统一，在本设计方案中完全采用同一厂家的网络产品，即Ciscｏ公司的网络设备构建.本企业网设计方案主要由以下几部分组成：交换模块、广域网接入模块、服务器模块,整个网络系统的拓扑结构图如下所示:ＩNTＥＲNETﻩ２０2．168．１．1NATﻩ192.１6８．１。２54ﻩ核心层 sｅrｖerﻩ汇聚层ﻩ总经理办公室ﻩＧroupﻩ副总经理办公室ﻩ接入层ﻩ、、、、、、ﻩ、、、、、ﻩ、、、、、 、、、、、ﻩ、、、、ﻩﻩ、、、财务部vｌａn2ﻩ人力资源部ｖlan３ﻩ技术支持部ｖlａn６ﻩ生产部vｌan7 、、、、、ﻩ、、、、、、、、、、、 、、、、、、ﻩ、、、、、、ﻩﻩ、、、、售后服务部vｌan4ﻩ公关部ｖｌan５ﻩ设备部vlａn８ﻩ营销部ｖlan９企业网整体拓扑结构图1．２。ＨYPERＬINK\ｌ”返回ＶＬAN及IP地址规划＂VLＡＮ及ＩＰ地址规划在一个大、中型网络里，VLAN的划分是必不可少的步骤之一。在本企业网设计中,整个企业网的VＬAＮ及IP编址方案如下表所示:在下面我们需要注意的是：192．1６8.0.０－19２．168。255．２54这样的IP地址是私有ＩＰ地址，它不能在公共网络中使用，但是为什么我们要这样做呢？因为针对当前现状,IP地址紧缺，我们不可能也不应该为每一台工作站申请一个公有IP地址，这样不仅可以缓解ＩP地址不足的情况，而且也可以为企业建设一个企业网节约不少的开支，那这样且不是不能够访问IＮＴＥRＮET。为了让这些私有ＩP地址能够在公共INTEＲＮＥＴ使用,让使用这样ＩP地址的工作站能够访问INＴERNＥＴ上的资源,我们必须对这样私有IP地址作ＮAＴ（ｎetｗoｒkaddrｅsstrａnslaｔｉon)即网络地址转换。ＮAＴ的配置我将后面的论述中进行配置.而对于经理办公室，由于我们有特定的要求,我将为其分配statｉcIP地址。VLＡN及IP编址方案ＶＬＡN号VLAＮ名称IP网段默认网关说明VＬAＮ1—-１92。168.1。0/２４192.168．1。２54管理VLＡＮＶLＡN２fｉnanｃｅ192．16８．2。0/24１92．168．2.２54财务部ＶＬAN3Human_reｓoｕrｃe１92．168。3。0／２419２.１68．３.254人力资源部VLAN4Aｆter＿ｓａｌe＿seｒvｅr１９２。16８。４.0／24192.1６8。４.254售后服务部ＶLAN5Ｐublic_ｒｅlatｉons192。168。５．0／2４1９2．１６8。5．２54公关部VLAN6Tｅchnｉｑuｅ_suｐporｔ19２．1６8．6。0／24192。168.６.2５４技术支持部VLAN７ｐroｄｕcｅ１92。168．7。0/2４1９2。168。7．2５4生产部ＶLＡN８equipｍent192．１６８。8.0／２4192．１68．8。２５4设备部VLAN９sａｌe１9２.16８。9．0/2４19２。168．9．254营销部ＶＬＡN10Ｓerveｒ_grｏup192．1６8。10。0/2４1９２．1６８.10.２54服务器群VLAN1.3HYPＥＲLINK＼ｌ”返回设备选型"设备选型从上面的拓扑图中我们可以列出下面的设备选型列表：设备选型列表：设备名称型号单价数量总价说明防火墙CＩＳCOPIX-５25600０１６000并发连接数：４500VＰＮ支持:支持安全过滤带宽:1６用户数限制：无限制网络吞吐量（Mppｓ)：20路由器ＣISCO37４561２00１6１2０0Ｃiｓｃo３700Ｓｅriｅｓ4－ＳloｔMultiseｒｖｉcｅAｃcｅｓsRouteｒ交换机核心层CＩＳCOＷS—Ｃ3７5０Ｇ-２４TS—S367６2136７6２Cａtalyst37５0２410/1０0/100０T+４ＳFPStａnｄarｄMultilayｅr汇聚层ＣIＳＣOＷS-C295０T-2465０0213０００2４１0/１00poｒtsw/2１０/10０/１0００BASE—Tｐortｓ，ＥnhancedＩｍagｅ接入层ＣISCOWS-C２9５０-2440０0２800024port，１０/１00CataｌysｔＳwｉtch,SｔａndarｄIｍａｇeｏnlySｗiｔcｈ/ｈub视每个部门工作站多少的情况而定线缆光纤迅驰4芯单模光缆4/M1０00M400０波长13００损耗８5０/３。５温度-40－80湿度0双绞线五类ＵTＰ4００／卷520０0２、ＨYPERＬINＫ＼l”返回交换模块的设计”交换模块的设计一个性能优良的网络(不管是何种类型的网络)都应该是一个分层的设计。这样不但简化了交换网络的设计,同时也提高了交换网络的可靠性和可扩展性,我们一般将其分为三层设计模型.分别是接入层,汇聚层，核心层.下面我们将按照分层的设计与配置进行论述.2．1HYＰERLＩNK＼l＂返回接入层交换服务的实现"接入层交换服务的实现—配置接入层交换机接入层交换机是为所有的终端用户提供一个接入点。我们采用的是CIＳＣOＷS-C2９50-24。该交换机拥有24个1０／１00M的自适应快速以太网交端口，这里我们有两个接入层交换机。分别命名为ｃoｎｎｅｃt１和coｎnect2，接下来我们将对接入层交换机进行配置.进入交换机的配置界面（CLＩ）我们一般常用的有两种方法：利用反转线直接和交换机的控制端口相连远程登陆我们主要进行如下一些配置：设置交换机名称Swｉtch（ｃonfig）＃hoｓtnaｍeconnect1Coｎｎeｃt1(config)＃设置交换机密码：Ｃoｎnｅct1（cｏnfig）＃enａbｌeseｃrｅｔｚhanｇguoyoｕ设置登陆虚拟终端Conｎect１（cｏnｆig)#liｎevty0１5Coｎneｃｔ1（coｎｆｉg—lｉｎe）#ｌogｉｎConnｅct１(coｎfｉｇ-lｉne)#ｐassｗordｚｈanｇｇuoyou设置虚拟终端超时时间Conneｃt1（coｎfig）#linevty015Cｏnｎｅcｔ１（conｆｉg—ｌine)＃exec—timｅｏut530设置控制台终端超时时间Connｅｃｔ1（confiｇ)#liｎeｃon0Ｃonnect1（coｎfｉｇ-ｌine)＃exeｃ—ｔiｍeｏut５３０禁用IP地址解析特性当我们向交换机输入一条错误的命令的时候,交换机就会将该信息广播给网络上的DNS服务器,并试图把它解析成IP地址。Conｎｅｃｔ１(coｎfiｇ）#noｉpｄｏmaｉn-lｏokup启用消息同步特性为了防止我们向交换机输入的命令被交换机产生的信息打乱。我们启用消息同步特性。Conｎect1(cｏｎｆig）#logｇiｎｇsyｎｃhronoｕs为了能够对交换机进行远程管理,必须给交换机设置一个管理用的IP地址。这种情况下，实际上是将交换机看成和PC机一样的主机。而每台交换机都有一个用来进行管理的默认ＶLAN即ＶＬＡＮ1，VLAN１也称为管理ＶLAN.在VLＡN及ＩP编址方案表中我们的管理VLAN的IＰ为192．１68．1.0／２4,这里为conｎect1的管理ＩP设置为192．16８.1．１／24，具体配置如下命令:Coｎnecｔ1(coｎfiｇ）#ｉnterfacevlan１Connｅcｔ１（confｉg—if)＃ipaddresｓ１９２.１6８.1．12５5．2５5．255。0Connect１（ｃoｎｆig-iｆ）＃ｎosｈutdｏwｎ为了能让管理人员在不同的子网中管理此交换机，还应该设置默认网关，在这里为其设置成为192。168．1.2５4，命令如下：Connect1（confｉg)＃ipｄefauｌｔ-ｇａtｅwａy１9２.１６8.1．254将cｏnｎect１设置成为ＶTP（vｌanｔrunkｉngprotｏcol）的客户机，(VTＰ即vlan中断协议，使得ｖｌａn客户机可以从vｌaｎ服务机上获得ｖlａn信息，这样就不必为每台交换机配置ｖlan,大大减轻了网络管理人员的工作负担，同时也减少了在不同交换机上输入命令时出错的机率，保证了网络的正常运行)命令如下：Ｃonnect1（ｃonｆｉg）＃vtpmｏdecｌｉｅnt2.１．１ＨYPERLINK＼ｌ"返回对connｅcｔ1的端口进行具体的配置"对conneｃt1的端口进行具体的配置1。端口双工配置:Conｎect1(ｃｏｎfig）#interfａｃerangeｆasｔｅtherｎeｔ０／１－２４Connｅct1（cｏｎｆｉｇ-if-rａnｇｅ）#ｄuplexfulｌ2．端口速度配置：Ｃonｎｅｃt１（conｆｉｇ)＃iｎｔeｒｆaceranｇefasteｔhｅrneｔ0/1－２4Cｏnnｅct1(confiｇ－ｉf－rａnｇe）#ｓｐｅed1０03。端口模式和端口所属VLAＮ的配置在上面的拓扑结构图中我们很容易得出2~6端口属于VＬAN２，７~１2端口属于VLAN3，13～1８端口属于VＬAＮ４，19～22端口属于VＬAN5，具体配置命令如下：Ｃonｎｅct1(ｃonfｉｇ）＃vlaｎ2namｅfｉnaｎceCｏｎnect1(ｃonfig)#vｌan3nameHuman_resourcｅＣｏnｎect1（config)#ｖｌan4naｍeAfter_saｌe_seｒverＣｏnneｃt1（ｃonfiｇ）＃vlａn5ｎaｍePｕblic_ｒelａtionsCoｎnｅｃｔ１(ｃonfig)#ｉｎtｅｒｆacevlaｎ2Cｏnｎｅｃｔ１(config—ｉf）)＃ｉpａddress1９2.１68.2。25４25５。25５。2５5．0Ｃonnｅｃt1（conｆｉg-if）#ｎoshuｔdownＣonｎｅｃt1(coｎfｉg－if）＃eｘｉtCoｎnect1（cｏｎfiｇ)#intｅrfacevlan3Ｃonｎect1(confiｇ-if））#ipaｄdresｓ192．168。3。25４25５．２5５．２５5。0Ｃonｎecｔ1（ｃｏnfｉg－iｆ）#ｎｏｓhutdｏｗｎＣｏｎnect1(config—iｆ)#ｅｘiｔCoｎｎｅct1（cｏnｆig)＃ｉnterｆacevlan4Ｃonnect1（cｏnｆig—if））＃ipａddrｅｓs１92．１６８．4。2５４255．255.255．0Cｏnnｅct１（conｆig-if)＃ｎosｈｕtdｏwｎConnect１(cｏnfiｇ—ｉf)#ｅxitＣonnｅct1（config)#ｉnterfａｃeｖlan5Ｃｏｎｎect１(cｏnfｉg－ｉf））＃ｉｐaddｒess192。１６8。5。25４２５５.２55.２５5。0Connecｔ1（confiｇ－if）＃ｎoshutdoｗnＣｏｎｎecｔ１(ｃonｆig—if）＃ｅxitCｏnnｅct1(ｃｏｎfig)＃ｉntｅrfａceｒangｅfａstethernｅt0/１－22Cｏｎｎｅct1（ｃonfｉg-if—ｒａｎge）＃switchｐortmｏdｅacｃessCｏｎnecｔ１(ｃonfig－iｆ—rａnｇe)＃exitConｎect1（ｃｏnfｉｇ)＃iｎｔｅrfａceｒａngefastｅtｈernｅｔ0/2－6Cｏｎnect１（conｆiｇ-iｆ—range）#ｓｗitchpｏｒｔacｃｅssｖｌan2Ｃｏnｎｅct１(conｆｉｇ—if－ｒanｇｅ）#ｅｘitConnecｔ1（coｎfiｇ）＃ｉnteｒfaｃeｒanｇｅｆａsteｔhernet０/7—12Conｎｅｃt１（ｃoｎfiｇ－ｉｆ—rａｎｇe)#ｓｗitchpｏｒtａｃcessvlaｎ3Connecｔ１（ｃｏｎfig-ｉf-raｎge)#exitCｏnnecｔ1（config）＃interfａceranｇefasｔethｅrｎet0／1３-18Connect1（conｆｉg－iｆ—ranｇｅ)＃switchｐｏrtaｃcesｓvｌａn4Conｎｅct1（config－ｉf－range）#eｘｉtＣonnｅcｔ1(ｃoｎfig)#inｔerｆaｃeｒａngeｆａstｅtherneｔ0／19-2２Conｎecｔ１（ｃonfｉg-if—rａnｇe）＃switchpoｒtａccｅsｓvlａn5Cｏnneｃt1(cｏｎfｉg-ｉf—rａnｇe)＃ｅxiｔ4。快速端口和主干端口进行配置Connｅct1（config）ｉｎtｅｒｆａcerangefasｔeｔhernet０／１－２２Ｃｏnnｅct1(ｃonｆig-ｉｆ－ｒａｎgｅ）#sｐanｎiｎg-ｔreeｐorｔfaｓtCoｎnect1（coｎｆiｇ－iｆ－rangｅ)＃eｘit由于cｏnnect1是通过２３和24号端口分别与汇聚层的交换机１和交换机2相连,所以把ｃｏnneｃｔ1的2３和24号端口设置成为主干端口。命令如下：Connｅct１（config)#inｔeｒｆａceｒａngefastｅtｈerｎｅt0／23－24Coｎnｅcｔ1（conｆig-iｆ-rａｎｇｅ）＃ｓwiｔchporｔｍｏdｅtruｎｋ到此,对ｃonnect1的配置已基本上完成，接下来我们将对接入层的第二个交换机ｃoｎnｅcｔ2进行配置，其配置和ｃonnｅｃt1的配置大体上是一样的.Conｎｅct２通过２3和24号端口分别与汇聚层的cｏlｌｅcｔ１和cｏｌlｅct2连接。Ｃonｎect2的VLＡN的划分如下:2～６端口属于VLAＮ6,7～1２端口属于VLAＮ7,１3～18端口属于ＶＬAＮ8，１９～22端口属于VＬAN9。Conｎecｔ2的整体配置如下:Switch(ｃonｆｉg）＃ｈosｔnamｅｃonnｅcｔ２Connect２(confｉg）＃enablｅsecrｅtｚhangguoyouＣｏnｎeｃt２(ｃonfig）＃ｎoipdomａin-lookｕpＣoｎnｅｃt２(coｎfｉg)＃loｇｇｉngsｙｎchｒonousCoｎｎect2(conｆig）＃lｉnevty０１5Ｃonnect2（coｎfig-liｎe)#logｉｎＣonnecｔ2（conｆig—linｅ）＃ｐaｓｓｗｏrdzhａｎgguｏyｏｕCｏｎnect２(coｎｆiｇ-ｌiｎe）#exec－tｉｍeout5３0Cｏnｎect2（cｏnｆig-lｉnｅ）＃eｘitConnect2（cｏnfiｇ)＃lｉneｃon０Ｃonｎeｃｔ2（config—linｅ)＃exｅc—tiｍeoｕt5３0Coｎnect2（ｃonfig-line)#exitConnect2（config）＃interfacｅｖｌan1Ｃｏｎnｅct2（confｉｇ－iｆ）＃ipadｄｒeｓｓ192。168.１.22５５.２55.255．0Ｃｏnｎeｃt2（ｃonfig-if)#nｏｓhutdoｗnＣoｎnect２（cｏnｆig－iｆ）＃exｉtConnect２（config）＃iｐｄefault-ｇatｅwａy192．１６8.１．2５4Ｃoｎnect2（coｎｆｉg)#vtpmodeclｉenｔConnecｔ2（cｏｎfig)#inｔerfａcerangefａstetｈeｒnet0/１—２4Cｏnｎeｃt2（coｎfｉg—iｆ—ranｇe)#speｅｄ１00Coｎｎｅｃｔ2（coｎfｉｇ-ｉｆ—rａｎｇe）#ｄｕplexｆuｌlＣonnｅｃt2（confiｇ－iｆ－rangｅ）＃exitＣｏｎｎecｔ2(conｆig)#vｌａｎ６nａｍeTｅchnｉｑue_supｐortＣoｎnｅct２(coｎfiｇ）＃vlaｎ７ｎaｍｅpｒoｄｕｃｅCｏnneｃt2（confiｇ）＃vｌan８namｅｅqｕipｍｅntＣoｎnｅct２(ｃoｎfig）＃vlaｎ９namｅsaleＣonnｅｃt2(cｏnfｉg）＃iｎtｅrfａｃｅvlａｎ6Conｎｅｃｔ２（ｃｏnｆig—if)）＃ｉpaｄdｒesｓ1９２．１68．６.２542５5．255．２５5。0Conｎeｃｔ２(cｏnfｉg-if）＃nｏｓhuｔdｏwｎCoｎneｃt２（cｏｎｆig-if）＃ｅxｉｔCｏnｎeｃt2(cｏnfig)#ｉnteｒｆａｃｅvlａn7Connｅcｔ２(ｃonfｉg-iｆ）)＃ipａdｄrｅss１92。１６8。７.２54２55。２55．255。0Coｎｎect2（confiｇ—if）＃ｎｏsｈutdoｗnCｏnｎecｔ2（coｎfig－if）#exitCｏｎｎｅcｔ２（ｃoｎfｉg）＃ｉntｅrfaceｖlaｎ8Coｎneｃt2（conｆig－ｉｆ））#ｉpadｄｒeｓs19２．168．８．25４２５5．255．25５。0Cｏｎnｅｃt2(coｎfｉｇ—ｉf)＃noshuｔdｏwnConnect２（config-if)＃exｉtConnｅｃｔ2(ｃonfｉg）＃ｉｎｔｅrfacｅvlａn9Ｃoｎｎｅcｔ2（config－if))#ipaｄｄrｅss192.１68。９.２5４Conneｃｔ２（ｃonfiｇ—ｉf)＃nosｈutｄｏwnＣｏｎｎect2（ｃonfig-iｆ）＃exitConnｅct2（ｃonfiｇ）＃iｎtｅｒfａcerangｅfａｓｔetｈernet0/1—2２Ｃonｎect2(ｃoｎｆig—ｉf—ｒａnge）＃swiｔchpｏｒtｍｏｄeaｃcessCoｎｎect2(coｎfig—if－rangｅ）#ｅｘｉtCｏnnecｔ2(cｏnfig）＃intｅｒfaｃeｒaｎgefastetherｎet0/2-6Coｎneｃｔ２(cｏnｆig－if－rａnge)＃switchportaccｅssvｌａｎ6Cｏnnｅｃt2(coｎfiｇ-ｉf-range)＃exiｔCoｎｎect２（ｃｏnfig)#ｉｎｔerｆaceraｎgefastethernet0/７-12Ｃonneｃt２（ｃonfig—if-raｎｇe)#ｓwitｃｈｐortaccessｖlａｎ7Ｃoｎnｅct2（coｎfiｇ-if-ｒange）＃exitConnect2(config)＃ｉnterｆａｃerａngｅｆaｓｔetheｒnet０/１３—18Cｏnnect2(coｎｆｉg—ｉｆ-rａnge)#sｗitcｈｐortaccｅsｓｖlan8Cｏｎnｅct2（cｏｎｆｉg—if-ｒanｇe）＃eｘitConnecｔ2（ｃｏnfｉg）#iｎｔerfaｃerａnｇefastetｈerｎeｔ0/19-22Cｏnnect2(ｃｏnfｉg—if—range）#switchpｏrtaｃcessvlａn9Ｃonnｅct2(ｃoｎfiｇ—ｉf－range）＃exiｔCｏnnｅct2(ｃonfig）＃intｅrfaｃeｒangefａstｅthernｅt0/1－２2Ｃonnｅct２（config－if－rａnge)＃sｐａｎning—ｔreｅporｔfaｓtConnｅcｔ2（confｉg-if－ｒangｅ)＃exitCｏnnｅcｔ2（conｆig)#inｔｅrｆａｃｅrａｎgefastetherｎet０／２3-24Conｎｅcｔ２（ｃonfｉg—if—raｎge)＃swｉｔｃｈportmodｅtrunkConｎect2(ｃｏｎfｉg—if-rａngｅ）#exit到此为止，对接入层的配置已基本上完成了。接下来对汇聚层的交换机进行配置。2．2HＹPERLINＫ＼ｌ＂返回汇聚层交换服务的实现＂汇聚层交换服务的实现—配置汇聚层交换机汇聚层除了负责将接入层交换机进行汇集外，还为整个交换网络提供ＶALN间的路由选择功能。在这里我们采用的是CＩSCOWＳ－C295０T-24型的交换机,这种交换机拥有２４个１０/１0０M的自适应快速以太网端口和2个10/10０/10０0Ｍ的自适应用于光纤接入的端口即上连端口。2.２。１ＨYPERLINＫ\ｌ"返回配置汇聚层交换机cｏlｌect1的基本参数＂配置汇聚层交换机coｌlｅcｔ1的基本参数对汇聚层交换机ｃollecｔ1的基本参数的配置与对接入层交换机conｎect１的基本参数配置类似。具体的配置命令如下:Ｓｗiｔch＃cｏｎfｉｇｕｒeｔerｍiｎaｌ（或者cｏnｆiｇt）Ｅnterｃｏｎfigurａtｉｏncｏmmandsonepｅrline.EndwiｔhCNTＬ/ZSwiｔｃh（ｃonfig）＃hoｓtnａｍecｏｌlect1Coｌlect1（ｃoｎfig)＃ｅnａｂlｅsecｒetzhangguoyoｕColｌｅct１(cｏnfig)＃noipdoｍaｉn—lｏokupCｏlｌｅct1(cｏｎｆig)＃lｏｇｇingsyｎchronouｓCｏllｅct1（cｏｎfｉg)＃linecon0Ｃolleｃt1（cｏnｆig－ｌiｎe)＃exｅc-tｉmｅoｕt530Ｃollecｔ１(coｎfig－lｉne）＃exｉｔColleｃｔ１（conｆig)#linevｔy０15Ｃollect1（coｎfig—ｌinｅ)#paｓswoｒdｚhａnｇgｕoyoｕColｌｅcｔ１（cｏnfig-linｅ）＃lｏｇiｎCoｌlect1(confｉｇ－linｅ）＃exec-ｔimeout５3０Collecｔ1（coｎfiｇ－line)＃ｅxit２．２。2ＨＹＰERLINK＼ｌ"返回配置汇聚层交换机cｏllect1的管理ＩP,默认网关"配置汇聚层交换机ｃolｌｅct1的管理IＰ,默认网关每一台交换机都有一个默认的管理ｖlａn即ｖlan１,用来管理该交换机,所以我们只需要为vlan1设置IP地址即可。同时为了能让网络管理人员在不同的子网中管理该交换机我们为其配置默认网关。具体配置命令如下：Ｃoｌlｅｃt1（confiｇ）＃ｉｎtｅrfaｃｅvlan1Ｃollect１(ｃonfig－iｆ）＃ｉpaddresｓ１92.168。1。32５５．2５5．255．0Coｌleｃt１（cｏｎfig—ｉf)#ｎoshutｄｏｗnCoｌlｅcｔ1（ｃoｎfig—ｉf)#eｘｉtＣoｌlect1（cｏｎfiｇ）#ｉpdｅfault-ｇateｗａｙ１92．１６8.1.2542.2.3HYPＥRＬINK＼ｌ"返回配置汇聚层交换机cｏlｌect1为ＶTP服务器＂配置汇聚层交换机colｌecｔ1为VTＰ服务器当网络中交换机数量很多时，需要分别在每台交换机上创建很多的VＬＡＮ，工作量很大,过程很繁琐，并且很容易出错。所以在实际工作中我们都采用ＶTＰ来解决这个问题。我们只需要在ＶTＰ服务器上配置好ＬＡN信息，VＴＰ客户机就可以通过VＴP来从VTP服务器上学习到VLAN信息了.同时,有关VLAＮ的删除，参数的更改操作都可以传播到其他的交换机上,从面大大减轻了网络管理人员的工作负担.命令如下:Colｌect1（confiｇ）＃ｖtpdomaiｎhｎｋｊｚyCollecｔ1（coｎｆiｇ)#ｖtpｍodeｓerver2．2.4ＨＹＰEＲLＩＮＫ＼ｌ＂返回配置汇聚层交换机cｏlleｃt1的VTP剪裁功能＂配置汇聚层交换机collecｔ１的VTＰ剪裁功能一个交换网络中,某台交换机的所有端口都属于同一个VLＡN，则它没有必要接收其他VLAN的用户数据,为了防止接收其他VLAN的用户数据我们可以启用ＶＴP剪裁功能.命令如下:Cｏllecｔ1（cｏｎfiｇ）＃vｔppｒuｎing２.2。5HYＰERLＩNK＼ｌ＂返回为ｃoｌlect1配置vｌａn和端口设置"为collｅct1配置ｖｌaｎ和端口设置在上面的拓扑结构图中我们可以看到我们的服务器群直接连接到我们的汇聚层交换机上。所以要在collect１上定义vｌan，命令如下：Ｃｏlｌect1（conｆig)#vlａn10ｎameServeｒ_groupColleｃt1(ｃoｎfｉｇ）#interfａcｅvｌａn10Cｏｌleｃt１(cｏnfｉｇ—iｆ）＃ｉｐａddrｅsｓ19２.1６8。10.25４255。255.255．０Cｏｌlect１（ｃoｎfｉｇ－ｉf）#noshuｔdｏwnＣolｌect1（config-iｆ)＃exitＣoｌlｅcｔ１（ｃonｆig）＃ｉnｔeｒｆａceｒanｇｅｆａstetｈernet0/1-２4Collｅct1（coｎfiｇ-if-range)＃dｕｐleｘfuｌlCollect1(ｃoｎfig-ｉf-ｒaｎge)＃ｓｐｅｅd10０Ｃolｌｅｃt1（confｉｇ—ｉf—ｒanｇe)#iｎtｅｒｆaceｒanｇefａｓtethernet0/１—２２Coｌlecｔ1(ｃonｆig—if－range）＃switchｐｏrtｍｏｄｅａccｅssCoｌlｅct１（config—if-rangｅ）＃ｓｐanｎｉｎg-tｒeｅｐoｒtfaｓｔCollecｔ１(coｎfiｇ—if-raｎge）＃inｔｅｒfａceraｎgｅfastｅthernet０/１－15Cｏlｌecｔ1(coｎfｉg-iｆ—ranｇｅ)#sｗｉtchportaｃcessvｌａn1０Colｌect１（ｃonfiｇ－ｉf－raｎge)＃interfａcｅrangｅfａｓｔethernｅt０／23－24Ｃolｌect1(cｏｎfig—if-range）#switcｈpｏrｔmoｄeｔrunｋCollｅcｔ1（ｃoｎfig－iｆ-raｎge)#interfacｅrangegigaｂitetheｒｎeｔ0／1—2Ｃoｌｌｅct1（ｃonfig－if－rａｎｇe）＃ｓwitcｈｐｏrtmｏdetruｎk2。２。6HYPERLIＮＫ＼l"返回为ｃｏllect1启用路由功能＂为coｌlｅct１启用路由功能Collｅｃｔ１（ｃoｎfig）＃ｉpｒoutinｇCollｅｃｔ1（coｎｆｉｇ)＃ｉｐrouｔe０。０。0．00。0。0．０192。１68．１。254为了实现对无类别网络（ClａｓsleｓｓNetwoｒｋ）以及全零子网（Subnet—ｚｅｒo）的支持，还需要进行相应的配置，如下所示：Cｏlleｃt1(ｃｏnfｉｇ）＃ｉｐclａssｌｅsｓＣｏｌlect１（confｉg)#iｐsｕｂnｅｔ—zeｒo2。2．7HYＰEＲLINK＼l＂返回配置汇聚层交换机colleｃｔ2＂配置汇聚层交换机cｏｌlect2汇聚层交换机collｅct2的配置和coｌｌｅct1的配置基本上相同，只是不需要为其配置ＶLＡN。具体配置命令如下:Sｗｉtch#conｆiｇurｅterｍinal（或者configt）Enｔercｏｎｆiguraｔｉｏncomｍａndsoｎepｅrｌｉｎe．EnｄwithCNＴＬ/ZSwｉtｃｈ(cｏｎfig）＃hoｓtｎamｅcｏlｌeｃｔ2Colleｃｔ2（cｏnｆiｇ）＃ｅnablｅseｃｒetｚｈaｎggｕｏyouＣｏｌlect2（coｎfｉg）＃noipdoｍaｉｎ－ｌookuｐCoｌｌect2(ｃoｎfig）#lｏgｇｉnｇsynｃhrｏnouｓＣｏｌleｃｔ2（ｃｏnfiｇ)＃lｉneｃｏn0Ｃｏｌleｃｔ2（config-liｎｅ)＃exec－timeｏｕt530Coｌlect2（ｃｏｎfｉｇ－ｌiｎe)＃exitＣollecｔ2(ｃonfig)＃lｉnevｔy０15Coｌlect2（cｏｎｆiｇ—linｅ）#paｓswｏrdｚｈangguｏyoｕColｌｅｃt2（conｆｉｇ-ｌinｅ)＃ｌoｇinCｏlｌeｃt２（cｏnfig—liｎｅ)＃exeｃ-timeｏｕｔ5３0Ｃｏｌlect2（conｆｉｇ—ｌｉｎe）＃eｘitCｏｌlecｔ2（cｏｎfig）＃ｉnteｒfａceｖlａn1Colleｃt2（ｃｏｎｆig-ｉf)＃ipaｄdress１92．１6８。1。４255。2５5。255.０Ｃｏllｅcｔ２（confiｇ-if）＃ｎoｓhｕtdowｎCｏlleｃｔ２(config－ｉｆ）＃exiｔCollect2(ｃｏnｆig）＃ｉｐdefauｌt－gａtewａy192。16８.1．25４Ｃollecｔ2（cｏnfｉg)＃vｔpdｏｍａｉnhnｋｊzy１Ｃｏｌlect2(ｃonｆｉg)#vｔpｍｏｄｅsｅｒvｅrCollecｔ２(config)#vtpprunｉngＣoｌlect2（ｃｏnｆig）＃iｎterfacerａnｇefastｅｔｈernet０/１－24Ｃoｌlecｔ2(ｃonfig-ｉf-ranｇe）＃duplｅxfuｌlCollect2(config-if-rａｎge)＃ｓpｅｅd１０0Cｏllect２(config—ｉf-ｒａnge）＃inｔerfａcerａnｇｅｆaｓｔetｈeｒneｔ0/1—2２Collｅｃｔ2（ｃoｎｆig—ｉｆ－rａnｇe）＃switchｐortmodｅacｃesｓCｏllect2(ｃonfig—ｉｆ—ranｇe）#spanning-treepｏrtｆaｓtCｏｌlｅct2(conｆiｇ-if-ｒange）#iｎterfaceranｇeｆasteｔherｎeｔ0/２3—24Ｃｏｌlｅct２(ｃonfｉｇ—iｆ－rａnｇｅ)＃swｉtchpｏrtmoｄｅtruｎkＣｏllect2(conｆｉg—ｉf—range)＃iｎteｒfacerangegigabｉteｔhｅｒnｅｔ0/１—2Coｌlｅct２(confiｇ-ｉf-rａnｇｅ)#sｗitchpｏrtmｏｄetrｕnkCoｌlect2(confｉg）＃ipｒouｔｉnｇCｏlｌｅcｔ２（cｏnfiｇ)＃iｐroｕtｅ0．０.０.0０.０。0.０192．168.１。254Ｃolleｃｔ２（confiｇ）＃iｐcｌaｓslessCoｌｌecｔ２（ｃｏnfig）＃ipｓｕbｎet-zero到此我们对汇聚层交换机的配置已基本上完成了。接下来我们将对核心层交换机进行配置。2．3HYPERＬＩNK\ｌ"返回核心层交换服务的实现”核心层交换服务的实现—配置核心层交换机核心层交换机将各汇聚层交换机互连起来进行穿越园区网骨干的高速数据交换，在本企业网的设计中我们核心层交换机所采用的是CIＳCOWS—C３750G-24TS-Ｓ交换机.对核心层交换机core的配置与对接入层交换机的配置类似。具体配置命令如下：Sｗitch＃configureterｍinal(或者ｃｏnｆigt）Ｅnｔeｒｃonfｉguratｉoｎｃｏｍmandｓoneperline.ＥｎdｗｉthＣNTL/ZSｗｉtch(cｏｎfｉｇ)#ｈosｔｎａｍｅｃoｒeCｏre(confｉg）#enableｓecrｅtzｈangguｏｙouCore（cｏnfig)#noiｐｄｏmain-lｏoｋuｐCorｅ（ｃonfiｇ)#logｇｉnｇｓyｎcｈronousＣore（coｎfig）＃liｎecoｎ０Ｃorｅ（conｆiｇ—liｎe）#ｅｘec－ｔimeｏut５30Corｅ（ｃonfｉg－ｌiｎe）＃exiｔＣoｒｅ(conｆiｇ）#ｌｉnevｔｙ015Coｒe(config-liｎe）＃ｐasswｏｒdzhａngguoyouＣore（coｎfig－ｌinｅ)#lｏｇiｎＣorｅ（conｆｉｇ－liｎｅ)＃ｅｘｅｃ—tiｍｅｏｕt5３0Core（coｎfｉｇ－line)#eｘiｔ2.3.1HYPＥＲLINK＼ｌ"返回配置核心层交换的管理ＶLAＮ和默认网关＂配置核心层交换的管理ＶＬAN和默认网关Coｒe（confｉg）＃interｆａcｅvｌａｎ1Corｅ（cｏｎfig—if）#ipadｄress１92.１6８.１。5２５5．2５5.25５．０Core（conｆig-ｉf）#nｏｓhutdoｗnＣore(confiｇ—ｉｆ）＃exiｔＣore（coｎfｉg)#ｉpｄｅfaulｔ—gａtｅｗay1９２。１68.１。2５42。3。2ＨYPＥRLIＮK\l＂返回设置核心层交换机为ＶＴP客户机”设置核心层交换机为ＶTP客户机Ｃoｒe(cｏｎｆｉg)#vtpmｏdeｃlｉent2。３。３HＹPEＲＬINK\ｌ"返回设置核心层交换机的端口"设置核心层交换机的端口Core(confiｇ）＃inteｒｆacｅrangefastetｈernｅｔ0/１－24Corｅ(ｃoｎfig－if—rａｎge)＃dupｌexｆｕlｌCore（ｃoｎｆig—iｆ－ranｇe)#ｓpeeｄ１00Core(coｎfｉg—if-range）#ｓwiｔcｈpoｒtmoｄeaｃｃｅｓsＣorｅ（config-iｆ—ｒａnge)＃ｓpaｎｎiｎg-treeportfａｓtＣorｅ(ｃonfｉg－iｆ-rangｅ）#exitCorｅ(confｉg)#ｉnterfａｃeｒaｎgegigａｂitｅｔherneｔ0/1-2Cｏｒｅ（cｏnｆiｇ—iｆ—ｒaｎｇｅ）＃swｉtcｈｐoｒtmodetｒunｋCore（confiｇ－ｉf-rａｎgｅ)＃ｅｘiｔ２。3．4HYPＥRＬINＫ\l”返回启用核心层ｃore交换机的路由功能”启用核心层ｃorｅ交换机的路由功能Core(coｎfｉg）＃ｉｐrｏutｉngＣore（ｃｏnfig)#iｐroute0.0。０.0０。0。0.01９２。168．1.25４为了实现对无类网络（Clａｓｓlｅｓs）和全零子网(Ｓuｂnet－ｚerｏ)的支持，进行如下的配置：Core（conｆｉg)＃iｐcｌasｓlesｓCｏrｅ(confｉg)＃ｉｐsubｎeｔ-zerｏ到此对于核心层的配置已基本完成，接下来我们对路由器进行配置。3HYPERLＩNK配置路由器的身份认证Pｐｐ提供了两种可选的身份验证方法：口令验证协议PＡP(PasswｏrｄAｕtheｎtｉcaｔiｏtocol，PAP)和质询握手验证协议CHAP（ＣｈaｌlengeHａndshakeＡｕthｅnｔicaｔioｎＰrotocol，CＨAＰ）。CHAP比PAＰ更安全,因为CHAＰ不在线路上发送明文密码,而是发送经过摘要算法加工过的随机序列。但ＣHＡP对端系统要求很高，需要耗费较多的CPＵ资源，一般只用在对安全性要求很高的场合.而PAＰ虽然用户名和密码是以明文的形式发送的，但它对端系统要求不高，所以我们普遍采用这种身份验证机制。配置命令如下:首先要建立本地口令数据库Ｚhangrouteｒ（ｃｏnｆig）＃ｕsernａmeｒemoteuserpasｓwｏrdｚhaｎgｇuｏyｏｕZhａnｇｒouｔer(conｆig)＃iｎterfａcｅｓeriａｌ0/０Zhangroｕtｅr(coｎfｉg－iｆ）＃ｐｐpａｕｔhenｔicａtｉｏnpap到此路由器的配置就基本上完成了，接下来我们进行防火墙的配置。4HYPEＲLＩＮK\l”返回防火墙的配置＂防火墙的配置在本论文中我们采用的是CiscoＰＩX防火墙防火墙提供４种管理访问模式：非特权模式（ｅnabｌe）特权模式(confiｇｕｒetｅｒminal）全局配置模式监视模式(开机时按住Escape键或发送一个“ｂreaｋ"字符）4。1HYPＥRLＩNＫ防火墙的基本配置4．1．１HYＰEＲLINK\ｌ”返回配置防火墙接口的名字"配置防火墙接口的名字,并指定安全级别Piｘ５25（confｉｇ）＃naｍeiｆEtheｒnｅt０oｕtsiｄeｓecuｒitｙ０Ｐiｘ52５（conｆig)#ｎameifEtｈernet1inｓｉdeｓｅcｕriｔy1００Pｉx525(coｎfｉg)＃Enablepａsｓwoｒdzhaｎgｇｕoyｏu4。1．2HYＰERLINＫ配置以太网口参数及IP地址Ｐix５2５(cｏnfig)＃inｔｅｒfacｅeｔhernｅt１100full（1０0ｆuｌl选项表示100Mbit/s以太网全双工通信）Pｉx５2５(ｃonfiｇ）＃ｉnterfacｅethernｅt０autｏ(设置网卡的类型为自适应）Ｐｉx525（config)＃ｉpａddressｏｕtside202．１６8。1。112５5.255．2５５。0Ｐｉx５25(coｎｆig）#ipaddressinside192。1６8。１.1255.２５5．2５５。0４．1．3ＨYＰERＬＩNK＼l＂返回配置防火墙接口的名字"指定要进行NAT转换的IＰ地址范围Ｐix5２5(ｃoｎfig)＃nat(insidｅ)１19２。168．０．0255．25５.25５。0在这里要注意“ｉnsidｅ”指的是内网接口的名字，“1"公共地址池，后面指的是要进行转换的ＩP地址的范围.4．1.４HYPERLIＮＫ\ｌ＂返回配置防火墙接口的名字＂指定转换后的IＰ地址范围Piｘ52５(ｃonfｉg）#gｌobal(ouｔsiｄｅ)1202．１６8.１．4－２0２.168.１。１1在这里要注意“outside”指的是外网接口的名字，“1”公共地址池，后面指的是进行转换后的IＰ地址的范围。４．１。5HＹＰＥＲLINK\ｌ"返回设置指向内网和外网的静态路由"设置指向内网和外网的静态路由Ｐｉx525(coｎｆｉg）#ｒoｕteｏutｓide0．0．０．0０。０．０。０６３。14５。56.81/指向外网的缺省路由，后面的IP指的是下一跳路由器的IP地址“１"指的是跳数。下同。Pix525(config）＃ｒouteｉnside192。１68．２．０２55.２5５.2５5．0２0２。１６8．1.1１Ｐｉx525(cｏｎfiｇ)#ｒouteｉｎsｉｄe１９2。１68。3。0２5５。2５５．255。０2０2.168。1.1１Pix525（ｃoｎfｉg）＃rｏｕｔeinｓidｅ１９２．1６８。4。0２５5。２５5．255。0２02。1６8.1。1１Pix５２5(coｎfig）#routeｉnsiｄe192。１68．5.0255．２5５．２５５．0２0２.１６8.１。11Piｘ52５(ｃoｎｆiｇ）＃routｅiｎsidｅ1９2。１６8.６.025５。2５5．2５5。0２02。1６8．１。11Pix525(coｎfig）#ｒoｕteinｓiｄe192．１68。７。0２5５．2５5。25５.0２02。１68。1。11Piｘ52５（conｆig)＃routeinsidｅ192。１68.8.０2５5．２５5．255．０２02．1６８。１．１１Ｐｉx525（cｏnｆig)＃rｏｕｔeｉnside１９2。１68。9．０２５5。255.255．０202．168。1．11Pix525（confｉg）＃rｏuteｉｎsiｄｅ1９2。１６8。1０。０255.255.255．０２０2。１６８.1。1１４．2HＹＰEＲＬIＮK\l＂返回配置fｉxup协议”配置fixup协议ｆixｕp命令作用是启用，禁止,改变一个服务或协议通过pｉｘ防火墙Piｘ5２5(ｃonｆig）＃fｉxupｐｒoｔocｏlftp2１／启用ftp协议,并指定ｆｔp的端口号为