某城市商业银行网络系统规划与设计

PAGEPAGE2城市商业银行网络系统规划与设计《网络集成实训》课程设计任务书

目录TOC\o”1-3”\h\z\u_Toc250710299"一、某城市商业银行网络系统规划背景与设计需求 4_Toc250710301"第二章 网络方案设计 7_Toc250710303”二、方案设计原则 8_Toc250710305"四、IP划分与VLAN划分 14HYPERLINK\l”_Toc250710306”五、关键技术的实现 15六、方案特点 17_Toc250710309"一、设备清单 18HYPERLINK\l”_Toc250710310”二、产品选型分析 19HYPERLINK\l”_Toc250710311"第四章 主要配置文件（附件） 36一、核心层配置 36HYPERLINK\l”_Toc250710313"二、汇聚层配置 37：产品系列多、引擎规格多、接口板类型多。有利于简化网络结构，降低建网成本。引擎规格多：基于新一代ASIC技术的Salience™系列交换路由引擎将L2/3/4线速转发与丰富的QOS、ACL特性结合在一起，是组建高可靠、低时延的核心网络的重要保障.S6500提供系列化的引擎,可以根据用户的需求在系列化机箱上进行灵活配置。接口板类型多：提供百兆、千兆、万兆等各种类型的以太网接口；提供100m—快:采用先进体系结构设计，交换容量高达768G，支持新一代万兆线速接口，提供网络高性能。先进的体系结构:S6500采用全分布式体系结构设计，采用功能强大的ASIC芯片进行高速路由查找，并通过Crossbar技术进行高速报文交换，从而大大提升了路由交换机的转发性能和扩充能力。好:支持强大的QoS能力和精细化用户管理，高可靠、高安全设计，采用智能业务扩展模块可以实现灵活的智能化业务能力.强大的QoS能力和精细化用户管理:每端口支持8个硬件队列，带宽控制粒度可达64Kbps;强大的用户管理、认证计费功能支持；支持CAMS™（综合访问控制管理服务器)系统，提供专业用户管理、计费解决方案;内置IEEE802。1x认证服务器功能。内置DHCPSERVER功能.完善的安全机制：支持标准Radius协议，同时提供Radius+功能；支持TACAS+协议；HCBM™（华为可控组播管理协议）功能支持；保证对用户的精确认证。支持SSHV1/2.基于最长匹配的路由方式，保证了所有报文均获得相同的转发性能，对“红码病毒”和“冲击波病毒”的攻击具有天生的防御能力.智能业务扩展：能够提供高速的NAT数据流转发，支持动态NAT功能、动态NAPT功能、ALG功能、多ISP支持、EasyIP支持、NAT黑名单、内部服务器功能、NAT策略和NAT日志等功能。支持基于ACL的策略路由.支持NetStream功能,能够对通过交换机的网络流量进行精细化统计。省：极高的性价比,为客户量身打造,总有一款适合您；性能、业务可平滑扩展升级，保护用户投资。强大的扩展性能：S6500具有强大的性能和业务扩展能力;背板带宽高达1。6Tbps；采用智能业务扩展模块可以实现灵活的智能化业务能力,如NAT/MPLS/WebSwitch/NetStream/IPv6等高级业务特性,从而有效保障用户的投资。选择S6503主要是因为S6503的背板容量≥640Gbps,交换引擎支持iSalience™I、Salience™III96G、Salience™III384G、Salience™III768G，插槽数量为4。4.2。2、Quidway®S3526C千兆三层交换机Quidway®S3500系列快速智能三层交换机是华为3Com公司为充分满足高QOS保证的需求而推出的智能型以太网交换机，包括S3526C、S3526EFS、S3526EFM三款类型。全线速的多层交换：Quidway®S3500系列快速智能三层交换机12。8Gbps的总线带宽为交换机所有的端口提供三层线速交换能力,最大提供32个子网路由接口，硬件支持层线速交换,能够识别、处理四到七层的应用业务流,所有端口都具有单独的数据包过滤、区分不同应用流，并根据不同的流进行不同的管理和控制.完备的安全智能控制策略：Quidway®S3500系列快速智能三层交换机支持802.1x认证，在用户接入网络时完成必要的身份认证，还可以通过灵活的MAC、IP、VLAN、PORT任意组合绑定，有效的防止非法用户访问网络。支持多种ACL访问控制策略，能够对用户访问网络资源的权限进行设置，保证网络的受控访问。丰富的QOS策略：Quidway®S3500系列快速智能三层交换机通过对ACL的引用来完成QoS流分类规则的定义，支持基于二层、三层、四层和端口的信息作为匹配依据的复杂流分类；根据服务质量要求的为不同数据流网络流量设置传输优先级标记，满足视频、语音等重要应用的需求。提供了两种各具特色的队列调度算法,严格优先级（Strict—PriorityQueue,简称PQ)、加权轮循（WeightedRoundRobin，简称WRR)调度算法和DelayboundedWRR调度算法。支持带宽控制功能,确保进入交换机的特定业务流一个最小的带宽，即使在网络拥塞时，也能满足一定的丢包、时延及时延抖动等QoS需求。支持CAR（CommittedAccessRate)功能，流量限速的粒度为1Mbit/s.多样的管理方式：Quidway®S3500系列快速智能三层交换机支持SNMP，可支持OpenView等通用网管平台，以及Quidview®、iManager®网管系统。支持CLI命令行，Web网管，TELNET，HGMP集群管理，使设备管理更方便.S3526C：24个固定的10/100M以太网口、2个前扩展模块插槽,在前面板，用于连接100M/1000M模块和堆叠模块；安全：分级命令保护机制、ACL过滤、双网卡proxy检测。在这里主要是用到S3526C的安全机制来保证信息数据的安全传递。4。2.3、Quidway®R3680E-RPS模块化中心路由器Quidway®R3680E-RPS(冗余电源）模块化中心路由器是华为3Com公司开发的面向企业级的网络产品，使用VRP（通用路由平台），提供了极其丰富的软件特性，支持哑终端接入服务器和金融POS接入功能，支持SNA/DLSw、VoIP、VoFR特性等,提供丰富的备份方案及QoS特性;硬件采用模块化结构,具有更高的处理能力和更大的接入密度,既适合于在中小型企业网中担当核心路由器，也可以在大型网络中担当汇聚层路由器。互连协议：以太网、桥、帧中继、X。25、HDLC、SDLC、LAPB、SLIP、PPP、PPP头压缩、MP、ISDN、PPPoEClient、按需拨号、拨号串循环备份、PPP/ISDN回呼、L2TP建立二层隧道、GRE建立三层隧道、宽带接入。网络协议：DHCP、VLAN、IPX、DLSw、RIP—1/RIP-2、OSPF、BGP、策略路由、组播、路由负载分担、地址借用、TCP报文头压缩、路由策略。应用层协议及业务特性:Telnet、SSH、Rlogin、dumbterminal、增强安全特性的终端接入服务器、金融POS接入特性、RTC、LPD、FTP、Ping及NTP应用层协议或业务特性.网络安全:登录用户认证、RADIUS/HTACACS认证/计费、IPSEC、IKE、硬件加密卡、防火墙支持对接口/时间段/MAC地址的过滤、高性能NAT。网络可靠性：接口/子接口间的物理层备份，虚链路/虚模板/拨号接口/逻辑接口间的链路层备份,动态路由实现网络层备份、VRRP实现设备层备份。语音特性：静音压缩、舒适噪音、语音防抖动、音量调节、PBX交换机功能模拟、主叫号码识别、自动忙音检测、灵活VOIP选路与备份策略、IP传真、语音RADIUS、GKClient、IPHC、语音QoS。服务质量:流量分类和流量监管CAR/LR、流量整形GTS、拥塞管理PQ/CQ/WFQ/CBQ、拥塞避免WRED。配置管理:中英文双语、命令分级保护、tracert/ping/debugging故障诊断功能、RMON、SNMPv1/v2c/v3、系统日志、可通过FTP或TFTP进行系统升级、可通过Console/AUX/X.25PAD/Telnet/反向Telnet等方式进行配置。电信级设备：提供RPS冗余电源；高可靠性;采用更高主频的CPU，提升了处理性能；增加了MPLS、ISIS、OSPF多进程等特性;提供备份中心技术、VRRP，大大提高网络可靠性.安全和认证:采用独有的电源安全技术，保证浪涌、过压、低压、过流等现象能够被防护，输出稳定、可靠性高，并支持瞬时断电保护。采用屏蔽电磁辐射的标准19”4。2。4、Quidway®SecPath500FQuidway®SecPath500F防火墙是华为3Com公司面向大型企业用户开发的新一代专业千兆防火墙设备.支持外部攻击防范、内网安全、流量监控、网页过滤、邮件过滤、应用层过滤等功能,能够有效地保证网络的安全；采用ASPF状态检测技术，可对连接状态过程和异常命令进行检测；提供多种智能分析和管理手段，支持邮件告警，支持多种日志，提供网络管理监控，协助网络管理员完成网络的安全管理；支持AAA、NAT等技术，可以确保在开放的Internet上实现安全的、满足可靠质量要求的网络；支持多种VPN业务,如L2TPVPN、GREVPN、IPSecVPN、SSLVPN和华为动态VPN等，可以构建Internet、Intranet、RemoteAccess等多种形式的VPN;提供基本的路由能力,支持RIP/OSPF/BGP/路由策略及策略路由；支持丰富的QoS特性，提供流量监管、流量整形及多种队列调度策略；提供双机状态热备功能，支持Active/Active和Active/Backup两种工作模式,实现负载分担和业务备份。提供企业网络的安全保障和防护功能防火墙安全过滤能力：支持基础、扩展和基于接口的状态检测包过滤技术，支持按照时间段进行过滤；支持华为3Com专有ASPF应用层报文过滤（ApplicationSpecificPacketFilter）协议，支持对每一个连接状态信息的维护监测并动态地过滤数据包，支持对FTP、HTTP、SMTP、RTSP、H。323(包括Q。931，H。245，RTP/RTCP等)应用层协议，支持TCP/UDP应用的状态监控。提供多种攻击防范技术：包括多种DoS/DDoS攻击防范、ARP欺骗攻击的防范、提供ARP主动反向查询、TCP报文标志位不合法攻击防范、超大ICMP报文攻击防范、地址/端口扫描的防范、ICMP重定向或不可达报文控制功能、Tracert报文控制功能、带路由记录选项IP报文控制功能；静态和动态黑名单功能;MAC和IP绑定功能;支持智能防范蠕虫病毒技术。支持细粒度内容过滤能力:支持邮件过滤、SMTP邮件地址过滤、SMTP邮件标题过滤、SMTP邮件内容过滤；支持网页过滤，HTTPURL过滤、HTTP内容过滤;支持应用层过滤，提供JavaBlocking、ActiveXBlocking和SQL注入攻击防范。支持多种安全认证技术:支持RADIUS和HWTACACS协议及域认证，实现对接入用户的验证、授权和计费；在PPP线路上支持CHAP和PAP验证协议；支持基于PKI/CA体系的数字证书（X.509格式)认证功能；支持用户身份管理，不同身份的用户拥有不同的命令执行权限;支持用户视图分级,不同级别的用户赋予不同的管理配置权限;OSPF、RIP2具有MD5认证功能，确保所交换路由信息的可靠性。强大灵活的管理功能:提供各种日志功能、流量统计和分析功能、各种事件监控和统计功能、邮件告警功能。全面的NAT应用支持：提供多对一、多对多、静态网段、双向转换、EasyIP等地址转换方式，在一个接口上支持多个不同的地址转换服务；通过内部服务器可以向外提供FTP、Telnet和WWW等服务，实现通过公网访问私网服务的安全解决方案；支持多种应用协议正确穿越NAT，提供DNS、FTP、H.323、ILS、MSN、NBT、PPTP、SIP等NATALG功能。支持丰富的VPN业务特性支持L2TPVPN、GREVPN、IPSecVPN、SSLVPN、华为动态VPN等多种VPN业务模式.利用华为专利——VPN（DVPN)技术,实现穿越NAT网关、动态IP地址灵活构建VPN网络。电信级设备高可靠性VRRP高达39，48年的平均无故障时间(MTBF)。远端链路状态监测（L3monitor）。设备关键部件均采用冗余设计。支持机箱内部环境温度自动检测，并可通过网管自动采集告警信息。支持双机状态热备功能,支持Active/Active和Active/Backup两种工作模式,实现负载分担和业务备份.全面细粒度的QoS保证支持流分类、流量监管、流量整形及接口限速。支持拥塞管理（FIFO、PQ、CQ、WFQ、CBWFQ、RTPQ）。支持拥塞避免(WRED）。智能、、高效、动态和图形化的管理:支持QuidView网管软件实现与网络设备的统一管理。支持Web方式进行远程配置管理。支持QuidViewBIMS组件对进行数量众多、位置分散的设备提供智能和高效管理。支持QuidViewVPNManager组件对VPN进行动态和图形化的业务管理和状态监控.SecPath500F防火墙的FLASH:16MB,SDRAM：缺省：512MB最大：1GB4.2。5、Quidway®SecPath10FQuidway®SecPath10F是华为3Com公司面向SOHO、小企业或分支机构用户开发的新一代专业接入防火墙设备。支持外部攻击防范、内网安全、流量监控等功能，能够有效的保证网络的安全;采用ASPF状态检测技术，可对连接状态过程和异常命令进行检测；支持AAA、NAT等技术，可以确保在开放的Internet上实现安全的、满足可靠质量要求的网络；支持多种VPN业务，如L2TPVPN、IPSecVPN、GREVPN、华为动态VPN等，可以构建Internet、Intranet、RemoteAccess等多种形式的VPN。提供企业网络的安全保障和防护功能防火墙安全过滤能力：支持状态检测包过滤技术，还可以按照时间段进行过滤;支持华为3Com专有ASPF应用层报文过滤（ApplicationSpecificPacketFilter)协议；全面的NAT应用支持:提供EasyIP、多对一、地址池、ACL控制等地址转换方式,在一个接口上支持多个不同地址转换服务；支持多种安全认证：提供基于PKI/X。509的证书认证功能;支持RSASecurID动态口令认证；在PPP线路上支持CHAP和PAP验证协议;支持USBKey方式存储数字证书、配置信息以及用户名密码；支持用户身份管理，不同身份的用户拥有不同的命令执行权限；支持用户视图分级，不同级别的用户赋予不同的管理配置权限;支持与Radius服务器配合，实现对接入用户的验证、授权和计费；另外，OSPF、RIP2具有MD5认证功能，确保所交换路由信息的可靠性.支持丰富的VPN业务特性：支持L2TPVPN、GREVPN、IPSecVPN、华为动态VPN等多种VPN业务模式;利用华为专利——动态VPN（DVPN）技术，实现穿越NAT网关、动态IP地址灵活构建VPN网络;支持通过QuidViewVPNManager组件进行统一网管和统一的VPN隧道监控；支持通过华为3ComBIMS分支网点智能管理系统实现VPN配置自动下发；全面细粒度的QoS保证：支持流分类、流量监管、流量整形及接口限速；支持拥塞管理(FIFO、PQ、CQ、WFQ、CBWFQ、RTPQ)；支持拥塞避免（WRED）；SecPath500F防火墙的FLASH：8MB,SDRAM:缺省：64MB作为备用的Quidway®SecPath10F接入防火墙能在主防火墙发生故障时，确保网上银行等部份重要业务的不中断服务。4。2。6、QuidwayS1208S1208是8个10/100/1000Mbps自适应以太网端口的交换机，用来做网管平台的接入交换机，可以满足对整个银行网络的各种安全监控操作与维护.4。2。7、Quidway®SecEngineD200入侵检测系统QuidwaySecEngineD200（以下简称D200）是华为3Com公司面向企业用户开发的新一代专业入侵检测设备，可以作为中小企业的网络出口或者内部关键子网的入侵检测设备。D200是华为3Com安全渗透网络解决方案中的重要设备之一。D200提供三个固定的10/100M自适应以太网口，一个10/100/1000M自适应的以太网口；D200采用华为3Com专门针对安全领域应用度身定做的安全操作系统SecNOS,SecNOS可以根据不同的应用进行扩展和裁减，并与上层的应用紧密结合，从而很好地保证了设备自身的安全性。对于网络中可能存在的安全风险,例如黑客入侵、网络病毒和网络资源滥用等行为，D200可以进行有效检测并做出报警或与其他网络设备联动实现实时阻止。D200可以对流经被保护网络的流量进行基于三种技术的综合检测,包括：基于状态的内容特征匹配：采用了高精度的智能模式识别算法，对协议交互特定阶段的报文进行检测,可以识别隐藏在正常业务流量中的网络攻击的特征。协议分析：以网络层、传输层和应用层的常用协议为对象，记录和分析协议交互的过程,为基于状态的内容特征匹配提供了状态依据，并且可以有效的探测那些利用协议漏洞的网络攻击。流量分析：通过对网络流量规律的数学建模和智能统计分析，可以有效地抵御DoS/DDoS攻击和扫描攻击。D200可以将检测到的异常和网络攻击的详细信息记入数据库，并且可以根据用户预先的设定上报这些信息到统一的安全管理中心;同时,通过开放的联动接口，D200可以通知交换机、路由器、防火墙对网络攻击进行实时阻断，从而达到整体防御的目的，使安全技术深入地渗透到网络技术当中。D200提供基于web的管理界面和统计分析工具，并且内置了数据库，支持一站式部署。管理员的配置管理工作既可以通过传统的Telnet命令行方式进行，也可以通过基于web的图形界面进行。命令行管理方式和web管理方式，都可以通过安全协议（SSH或者HTTPS）来保证管理流的安全性。对于大规模的部署和应用，D200也支持安全管理平台的集中式管理。通过安全的传输通道,管理员可以对全网的SecEngine系列设备进行统一的配置管理、策略部署和安全事件监控.对于收集到的网络安全事件，管理员可以通过安全管理平台提供的多种智能分析和管理手段对这些信息进行处理,并依据处理结果调整安全策略和防护手段，从而提高网络安全的整体水平。 4。2。8、Quidway®AR28—09Quidway®AR28—09B智能业务分支路由器是华为3Com公司自主开发的边缘接入路由器。它采用模块化结构，在提供了集成的快速以太网接口、AUX口和同/异步串口的同时,又提供了丰富的可选配的智能接口卡SIC(SmartInterfaceCard，智能接口卡）及多功能接口模块MIM(MultifunctionalInterfaceModule,多功能接口模块）。与同类产品相比，Quidway®AR28-09B智能业务分支路由器具有更高的性价比和可扩展能力，既适合于在一些大的分支机构中担当接入路由器,也可以在中小型企业网中担当核心路由器,可与Quidway®系列路由器、以太网交换机一起为电信、ISP、金融、税务、公安、铁路等行业用户和大中型企业用户提供全方位的端到端的网络解决方案。Quidway®AR28-09B智能业务分支路由器的软硬件特性符合国际标准，保证了与其它厂家产品在各个层面上的互通，可最大限度地保护用户的已有投资。4。2.9、Quidway®S2026CQuidway®S2026SI系列以太网交换机是华为-3Com公司自主开发的二层线速以太网交换产品，是为要求具备高性能、较大端口密度且易于安装的网络环境而设计的智能型可网管可堆叠的交换机.支持的业务如Internet宽带接入、企业网和园区网组网以及提供多播服务功能，支持多播音、视频服务及视频点播（VOD）服务。全线速的二层交换：S2026SI交换机内部提供9。6Gbps的总线带宽，为交换机所有的端口提供二层线速交换能力,包转发率达到3.87Mpps.完备的安全智能控制策略：S2026SI交换机支持802。1x认证，还可以做认证Server,在用户接入网络时完成必要的身份认证，同时动态的配置VLAN，有效的控制用户访问网络资源.该系列具备端口限速功能，可以最大16级的带宽控制粒度进行端口带宽分配，控制用户的接入速率，防止恶意侵占网络带宽.交换机提供128个802。1QVLAN，支持MAC地址和端口绑定，广播风暴抑制和端口锁定功能，保证接入用户的合法性。强大的堆叠能力:S2026SI交换机提供良好的堆叠功能，最大堆叠16台设备,还可以与S3000系列交换机混合堆叠，从而保证了网络的平滑升级并能降低扩建成本。灵活的扩展能力和远程维护：S2026C—SI提供百兆光/电扩展能力，允许交换机通过光纤或铜缆上联网络。通过FTP、TFTP实现设备的远程升级，支持HGMP集群管理系统和故障诊断，实现了设备的集中管理和维护。丰富的管理方式：S2026SI交换机支持SNMPV1/V2/V3，可以接受OpenView等通用网管平台以及Quidview®、iManager®网管系统的配置和管理。支持CLI命令行，Web网管,TELNET，HGMP集群管理等多种方式，设备维护更便捷。

主要配置文件（附件)4.1［S6503A]inte1/0/1［S6503A—Ethernet1/0/1]duplexfull[S6503A—Ethernet1/0/1]speed1000[S6503A-Ethernet1/0/1］quit[S6503A］inte1/0/2［S6503A—Ethernet1/0/2]duplexfull[S6503A—Ethernet1/0/2］speed1000[S6503A-Ethernet1/0/2］quit[S6503A］link-aggregatione1/0/1toe1/0/2//进行端品汇聚5.1。［S6503A］vlan2//创建部门VLAN［S6503A]vlan3［S6503A］vlan4[S6503A]vlan5［S6503A］vlan6……［S6503A]vlan145。1。[S6503A］gvrp//启动GVRP协议[S6503A］inte1/0/3//在与3526C相连的端口［S6503A-Ethernet1/0/3]portlink-typetrunk//配聚trunk[S6503A-Ethernet1/0/3］porttrunkpermitvlanall//允许传送所有VLAN信息［S6503A—Ethernet1/0/3]gvrp//在端口启用GVRP//S6503B的配置与S6503A相似。5。2.1[S3526CC］gvrp//启动GVRP为了学到VLAN信息[S3526CC]inte24//与S6503A相连的端口［S3526CC-Ethernet24]portlink-typetrunk[S3526CC—Ethernet24]porttrunkpermitvlanall[S3526CC—Ethernet24］gvrp［S3526CC］vlan2//把端口划分到相应的VLAN中[S3526CC-vlan2]porte1[S3526CC］vlan3[S3526CC-vlan2］porte2……［S3526CC]vlan14［S3526CC—vlan2］porte135.2.2［S3526CC］intvlan100//逻辑端口[S3526CC-Vlan-interface100］ipadd255。255。255。0//S3525CC作为部门1至部门7的主交换机//部门1的网关指向S3525CC［S3526CC—Vlan-interface100］vrrpvrid1virtual—ip10.1.1。254[S3526CC—Vlan-interface100]vrrpvrid1priority110[S3526CC—Vlan—interface100]vrrpvrid1preempttimer—delay5［S3526CC—Vlan—interface100］vrrpvrid1timer—advertise3［S3526CC-Vlan-interface100］vrrpvrid1trackinte24reduced20//部门2的网关指向S3525CC[S3526CC-Vlan—interface100］vrrpvrid2virtual-ip10。1.2.254[S3526CC-Vlan—interface100］vrrpvrid2priority110［S3526CC-Vlan-interface100]vrrpvrid2preempttimer—delay5[S3526CC—Vlan-interface100］vrrpvrid2timer-advertise3[S3526CC-Vlan-interface100]vrrpvrid2trackinte24reduced20……//S3525CC作为部门8至部门13的从交换机//部门8的网关指向S3525CC［S3526CC-Vlan—interface100］vrrpvrid8virtual—ip54［S3526CC-Vlan-interface100]vrrpvrid8priority100［S3526CC-Vlan—interface100］vrrpvrid8preempttimer—delay5[S3526CC—Vlan—interface100］vrrpvrid8timer-advertise3［S3526CC—Vlan-interface100]vrrpvrid8trackinte24reduced20//部门9的网关指向S3525CC[S3526CC—Vlan-interface100]vrrpvrid9virtual-ip10.1.9。254［S3526CC—Vlan-interface100]vrrpvrid9priority100［S3526CC-Vlan-interface100]vrrpvrid9preempttimer—delay5［S3526CC-Vlan-interface100］vrrpvrid9timer-advertise3［S3526CC-Vlan-interface100］vrrpvrid9trackinte24reduced20……//S3525CD作为部门1至部门7的从交换机//部门1的网关指向S3525CD［S3526CD-Vlan—interface100］vrrpvrid1virtual-ip10.1.1。254[S3526CD-Vlan—interface100]vrrpvrid1priority100［S3526CD-Vlan-interface100］vrrpvrid1preempttimer-delay5[S3526CD—Vlan—interface100]vrrpvrid1timer—advertise3[S3526CD—Vlan—interface100］vrrpvrid1trackinte24reduced20//部门2的网关指向S3525CD［S3526CD—Vlan-interface100］vrrpvrid2virtual—ip10。1.2。254[S3526CD—Vlan-interface100]vrrpvrid2priority100[S3526CD-Vlan-interface100］vrrpvrid2preempttimer-delay5［S3526CD-Vlan-interface100］vrrpvrid2timer-advertise3[S3526CD—Vlan-interface100］vrrpvrid2trackinte24reduced20……//S3525CD作为部门8至部门13的主交换机//部门8的网关指向S3525CD[S3526CD-Vlan—interface100］vrrpvrid8virtual—ip10.1.8。254［S3526CD-Vlan-interface100］vrrpvrid8priority110[S3526CD—Vlan—interface100］vrrpvrid8preempttimer-delay5[S3526CD-Vlan—interface100]vrrpvrid8timer—advertise3[S3526CD-Vlan—interface100]vrrpvrid8trackinte24reduced20//部门9的网关指向S3525CD[S3526CD—Vlan—interface100］vrrpvrid9virtual—ip10。1。9。254[S3526CD-Vlan—interface100]vrrpvrid9priority110［S3526CD-Vlan—interface100］vrrpvrid9preempttimer—delay5［S3526CD—Vlan—interface100]vrrpvrid9timer-advertise3［S3526CD—Vlan-interface100]vrrpvrid9trackinte24reduced20……5.2。3//把防火墙1设为访问外网的下一跳［s6503A］iproute-static0.0。0.00.0.0。010.1。100。18255。255。255。252//把静态路由的缺省优先级设为50(默为为60),使s6503A作为访问外网的主交换机[s6503A］iproute—staticdefault—preference50[s6503B］iproute-static0.0。0.00。0.0.010。1。101.22255。255。255。252//把静态路由的缺省优先级设为70(默为为60),使s6503B作为访问外网的备用交换机［s6503B］iproute-staticdefault—preference705.2.4//S6503A与S3526CA运行OSPF协议［s6503A］ospfenable[s6503A］vlan100[s6503A—Vlan—interface100]ipadd10。1。100。152［s6503A—Vlan-interface100]ospfenablearea0.0。0.0[s3526CC］vlan101[s6503A-Vlan-interface101]ipadd10。1。100。2