基于Packet Tracer的智能公司局域网组建

基于PacketTracer的智能公司局域网的组建摘要如今，一个安全高效智能的网络化办公环境是现代化公司必不可少的条件，一个公司肯定会需要拥有自己的一个安全可靠运行的局域网，供内部员工互相沟通合作、高效办公，解决大量的对内对外的办公要求。但是由于目前的网络环境不乐观，网络中充斥着各种安全隐患及危险，对企业网络做好安全防护，保护企业网络可靠运行是当今网络安全的一大重点。针对企业网络规划中出现的相关设计问题、实施方案及可能运用到的技术手段，本次毕业设计的课题就此作为方向，为企业网络规划提供有利的理论依据及实践参考。此次网络的规划设计运用到Ciscopackettracer仿真软件作为企业网络搭建平台，通过对公司企业相关网络拓扑图的模拟，找到公司企业网络中的薄弱之处及容易受到安全威胁的地方，通过各种技术手段及安全设备进行防护。以及公司企业内部网络的各种服务器的部署，让企业网络达到进一步的智能方便，同时根据对企业网络组建方案的设计，再按照安全部署的相关配置及服务器架设的设计方案，解决企业网络安全、企业局域网组建、企业服务器部署、网络规划等问题。关键词：计算机网络；中小型企业局域网；网络搭建；CiscoPacketTracerTheestablishmentofintelligentcompanyLANbasedonPacketTracerAbstractNowadays,asafe,efficientandintelligentnetworkingofficeenvironmentisanindispensableconditionforamoderncompany.Acompanydefinitelyneedstohaveitsownsecureandreliablelocalareanetworkwhichprovideaninternalchanneltoemployeesforefficientcommunicatingandcooperating.However,thecurrentnetworkenvironmentisnotoptimistic.Thenetworkisfullofvarioussecurityrisksanddangers.Protectingenterprisenetworkandmakingsuretheenterprisenetworkrunreliablyarekeypointsofpresentnetworksecurity.Therefore,takingthetechnicalmethods,designissuesandimplementationplansthatmaybeencounteredintheprocessoftheconstructionofenterprisenetworkplanasthedirection,thisgraduationprojectisdevotedtoprovidetheoreticalbasisandpracticalreferencefortheconstructionofenterprisenetworkplan.ThisplananddesignofnetworkwillusetheCiscopackettracersimulationsoftwareasanenterprisenetworkbuildingplatform.Bysimulatingthecompany'snetworktopologymap,itwouldfindtheweakpointsinthecompany'scorporatenetworkandtheplacesthatarevulnerabletofacewithsecuritythreats.Thenprovideprotectionthroughdifferentmethodsandequipment.Moreover,thedeploymentofvariousserversinthecompany'sinternalnetworkmakestheenterprisenetworkmoreintelligentandconvenient.Wewillsolvetheproblemssuchas,theservererectionschemedesign,theenterprisenetworksecuritydesignthroughthedesignofenterprisenetworkestablishmentschemeandconfigurationschemebasedonsecuritydeployment.Itiscommittedtosolvingissuesoncorporatenetworksecurity,corporateLANsetup,corporateserverdeployment,networkplanningandsoon.Keywords:computernetwork;smallandmediumenterpriselocalareanetwork;networkconstruction;CiscoPacketTracer

目录一、前言 页一、前言如今，一个安全高效智能的网络化办公是现代化公司的标配，一个公司肯定会需要自己的一个安全可靠运行的局域网，供内部员工高效的办公，解决大量的对内对外的办公要求。但是目前的网络环境并不乐观，网络中充斥着各种安全隐患及危险，作为网络工程的学生，为现在互联网的安全及运营贡献自己一份力是不可开脱的。（一）本设计的目的、意义及解决的主要问题本次研究目标是通过packettracer组建智能公司局域网，通过对公司企业网络拓扑图的模拟，找到公司企业网络中的薄弱之处及容易受到安全威胁的地方，通过各种技术手段及安全设备进行防护。以及公司企业内部网络的各种服务器的部署，让企业网络达到进一步的智能方便，通过设计企业网络组建方案，基于安全部署的配置方案，设计服务器架设的方案，企业网络安全设计等内容进行解决。解决企业网络安全、企业局域网组建、企业服务器部署、网络规划等问题。（二）可行性分析现在是一个科技高速发展的时代，现代市场竞争激烈，而竞争手段已经从以前的手工方式转变为自动化方式，先前简单的手工管理方法现在是不能适应现代化公司发展的需求。社会、科学的发展，标示着落后的网络管理方法终将被企业淘汰。建立自动化网络管理信息系统对现代化企业自身来说已刻不容缓，是现在企业应有的形象，能够有效提高公司的管理水平，增加公司的经济效益。实现企业自动化管理，能够提高整个公司的工作效率及优质的服务环境，提高企业办公水平，也能提升员工的幸福感，大大提升员工的工作效率，为公司创造更大的社会权益。企业智能内部网络的建设，可以很大程度的改变一个公司，使其工作从量到完成质的飞跃。因此，建立一个自动化、可靠、安全、统一的企业网络是至关重要的。（三）本设计技术要求前期准备时收集大量的中小型企业局域网规划与设计的案例，通过对收集的案例进行分析，并结合现在的组网技术与现代企业对局域网的要求进行新旧组合优化，通过在思科packettracer上模拟企业局域网的网络拓扑，搭建出现在中小型企业局域网的雏形，然后在根据企业的防护要求配置上硬件防火墙，对防火墙的防护策略进行配置，以保证局域网的安全可靠性，对局域网内部进行服务器搭建，配置服务器，满足局域网内工作终端的工作需求，在核心主干网络上采用三层交换机，多台核心交换机组成冗余与热备份功能，为局域网提供更高的可靠性。（四）基本思路根据企业规模来规划公司企业网络框架拓扑，因为是中小型企业，所以采用的是树形拓扑结构，他的优点就是易于排查故障和易于升级，带宽选择更有前瞻性的千兆以太网，选择一台企业级路由器，路由器提供了链接内网跟外网的功能，一个企业级路由器，它会带有防火墙和路由功能配置。对防火墙进行配置实现内外网隔离，网络主干设备以及核心层设备选取千兆的三层交换机，三层交换机提供网络的配置和子网划分、各VLAN的数据交换，之所以选择千兆以太网，是考虑到局域网内部的人员叫多，内网速率重视程度应大于外网。汇聚层或接入层选择普通的二层交换机，实现划分VLAN，多台终端互连功能。配置企业内部的服务器，包括HTTP、DHCP、MAIL等内部服务器，然后把局域网内的终端连接到交换机上构成企业局域网。（五）实验平台及环境本论文中所涉及的实验环境及实验仿真平台如下:网络仿真软件实验平台：CiscoPacketTracer操作系统：MicrosoftWindows10二、企业网络搭建涉及的路由与交换技术介绍（一）NAT（NetworkAddressTranslation）网络地址转换IP地址刚出现时，全部人认为IP地址的数量一定能覆盖到每一个人。理论上，不一样的IP地址有4,294,967,296个。然而事实上可以利用的地址数并没有这么多(在32亿至33亿之间)，因为部分IP地址是要用来进行广播的，随着家庭与公司网络需求的不断增加，现在的IP地址是不够的。在将地址空间从IPv4转到IPv6之前，在申请不到足够的公网IP地址的这种情况下，必须使用NAT技术。如图1.1所示。NAT通过把内部私用地址转换成公网可路由地址，使用部分公有IP地址来代表大部分的私有IP地址的方式。NAT解决了IPv4地址空间不足、私有与公有网络互连的问题，NAT的使用有助于局域网内保持私有IP，无需改变，只需在出口路由上配置NAT即可，NAT还可以隐藏内部网络的拓扑结构，为内部网络安全提供一件“迷彩服”。NAT有静态NAT（StaticNAT）、动态地址池NAT（PooledNAT）和网络地址端口转换NAPT（PAT）。路由器、三层交换机还有防火墙等具有NAT功能，一般我们会选择在出口路由上配置NAT功能，以减少防火墙的负担。图1.1NAT转化原理ACL（AccessControlLists）访问控制列表ACL使用包过滤技术，基于原定义好的规则过滤流量包，读取第三、四层包头中的信息，如源地址、目的地址、目的端口、源端口等，从而达到访问控制的目的。如图2.1所示图2.1ACL对数据包进行访问控制ACL的功能就是保护资源的节点，阻止非法用户对资源节点进行访问，也对某些用户节点的访问权限进行限制。访问规则必须先小范围精确匹配，再到大范围，因为ACL的访问顺序是按照每条规则语句顺序执行下去的，当数据包匹配并符合了前面的规则语句，就结束比较过程并放行通过了。当创建了ACL之后，会把新添加的语句行加到ACL的最后，无法删除某条语句，所以更改ACL规则，只能删掉整个ACL之后再重新创建。表2.1显示了常用的端口及应用程序。命名ACL是用名字代替数字来表示编号的，它不受99条标准ACL和100条扩展ACL的限制，网络管理员能够方便修改ACL，可以使用命令可以删除某条ACL规则，但是增加的仍然会被加在最后一行。基于时间的ACL则是对时间范围进行限制，通过定义时间范围、引用时间范围、把ACL应用到具体接口上进行访问限制。表2.1常用的端口及应用程序VTP（VLANTrunkingProtocol）局域网干道协议当一个局域网中的交换机有足够多，当配置的VLAN工作量比较大的时候，可以使用思科私有协议，也就是VTP协议，用途就是通过设置局域网上的交换机，配置成VTPServer，通过一台交换机管理局域网内其他全部的交换机，使得局域网内的所以VLAN信息列表统一，能够减少手工配置VLAN的工作量并且达到简化管理。VTP现在有3种工作模式，第一种是VTPServer，第二种是VTPClient，还有一种是独立于前两者之外的VTPTransparent。打个比方，VTPServer和VTPClient的关系就像树根和树叶一样，VTP域就是这一棵树。VTPServer负责对该VTP域内的所有VLAN信息列表进行创建、修改以及删除。VTPClient其实只负责同步从VTPServer传来的VLAN信息列表，它本身不能创建、删除或者修改VLAN的信息列表。VTPTransparent是另一种工作模式，不参与VTP工作，只对本现有的一些VLAN信息进行维护。如图4.1所示。图4.1VTP工作模式（五）HSRP（HotStandbyRouterProtocol）热备份路由器协议互联网快速发展，大到国家交通、医疗、金融稳定运行，小到个人社交生活，都在说明我们人们对网络的依赖性越来越强，所以我们注重网络的稳定性，一个稳定可靠的网络架构体系是现代社会发展的硬件要求。优秀的网络架构师不仅要有优秀的网络规划能力，还需要拥有对未来发展的远见和对意料之外的网络事故有可控能力，基于设备的备份结构一开始就被人们想到了，在服务器上为了数据的安全性而采用双硬盘结构，采用不同模式的存储阵列来对我们数据的安全还有稳定提供保障，路由器是整个网络的一个心脏，如果出现故障，会造成整个网络瘫痪，假如是骨干路由器，那后果将是打击性毁灭性的，我们难以估计最终会造成怎样的损失，因此，人类想到备份路由器，对多个路由器进行同时管理，当其中的一个路由器完全工作不了的情况下，他的全部功能将被系统中的另一个备份路由器进行完全接管，直至系统恢复正常，这一套完整的应急方案我们称之为热备份路由协议。如下图5.1所示。图5.1HSRP热备份热备份路由器协议（HSRP）也是思科的私有协议，就是组合多台路由器，形成热备份组，也就是我们说的虚拟路由器，这些路由器里面有一个的状态是活跃的。如果活跃状态下的路由器出现故障了，将会由备份路由器来接管它的工作。单纯站在网络上的主机的角度来看，网关其实没有改变，热备份组就是为了在特定情况下不会由于某个路由器发生故障而导致网络瘫痪。（六）VPN（VirtualPrivateNetwork）虚拟专用网络2020年初爆发了新冠状肺炎，疫情的影响非常大，全国上下几乎所有地方停工停业停课，人们都居家隔离户不出门，远程办公、居家办公、线上教学成了今年的关键词，此时此刻人们也感受到了互联网的重要性，互联网使我们在疫情中停课不停学，居家可办公，不仅让我们能够保障自己的身体健康，而且还能让我们在家就能高效办公。虚拟专用网络VPN保证了消息的安全性。VPN的设立就是服务于在内网之外的用户需要访问内网资源的情况。VPN相对于传统的远程访问，能够节约网络成本和保障传输安全，在公用网络中建立一条专用的网络，我们可以把它比喻成一条数据通讯隧道，隧道这头是需要访问公司内网的用户，隧道的另一端是公司内网，隧道被加密算法所加密，隧道外的用户是无法获取到隧道内的传输数据。VPN是一种基于C/S结构的应用，要求在员工的电脑上安装VPN的程序端，才能和企业网建立一个经过加密的安全隧道连接。只要通过VPN接入到企业网络后，这台主机就成为了企业网络的内网部分，就跟实际连接企业网的主机一样，能访问企业网的数据信息资源。实现VNP的关键技术有以下几个方面：（1）隧道技术，隧道协议将数据包重新封装再发送。（2）加密解密技术，通过非对称加密和对称加密等各种加密算法，进而保证通信安全。（3）密匙管理技术，无论是建立隧道，还是保密通信，都需要密匙管理技术进行支持，用来负责密匙的生成、分发、控制和跟踪以及验证密匙的真实性，确保加密技术的实施。（4）身份认证技术，不是任何用户都能够通过VPN访问内网，只有通过了身份认证的用户才能连接和访问内网，通常使用用户名和密码，或者智能卡认证身份。VPN一般的解决方案有以下三种：（1）内联网VPN（IntranetVPN），一般用于大型企业，拥有很多在不同地域的分公司，内联网VPN用于实现企业内部各LAN的安全互连，如图6.1所示。图6.1内联网VPN（IntranetVPN）（2）外联网VPN（ExtranetVPN），一般用于企业连接外部顾客团体。用外联网VPN进行认证身份，快速提供访问公司业务的权限，如图6.2所示。图6.2外联网VPN（ExtranetVPN）（3）远程接入VPN（AccessVPN），适用于类似保险和流动服务性强的企业、有大量外出流动性办公人员需要访问企业内网的情况，远程接入VPN可以以企业或企业人员所需方式来对企业内部网络资源进行访问，大大方便了出差的员工对公司网关的访问，如图6.3所示。图6.3远程接入VPN（AccessVPN）VLAN（VirtualLocalAreaNetwork）虚拟局域网VLAN主要用于路由器和交换机上，但目前主流是用在交换机（三层交换机才有此功能）之中。使用VLAN有什么好处呢，我们要从广播域来看，当一个局域网足够庞大的时候，局域网内会有大量的通信设备，同一个广播域中有所有的设备都，当两台主机要进行通信时，根据以太网的通信，需要指定目标MAC地址之后才可以进行正常的通信，所以主机A必须进行ARP请求信息的广播，我们称之为Flooding，最终广播域中的所有主机收到主机A发出的ARP请求信息，本来只是想让主机B收到主机A的请求的，但是事实上，数据帧已经传遍了全网络。这样一来，广播信息不仅消耗了网络的整体带宽，而且网络中的主机还要消耗CPU资源，形成了无谓的消耗。VLAN的使用就是为了限制局域网通信的广播域问题，把广播域分成很多个小的逻辑网络，有效的隔离了广播风暴，避免了不必要的资源消耗。不同的VLAN之间的主机是无法直接进行互通的，VLAN间也无法互通。图3.1是VLAN的一个实例，其中定义了3个不同的VLAN，每个VLAN分布在不同位置的3台交换机上。图3.1把交换局域网划分成多个VLANVLAN的主流划分方法主要有静态分配和动态分配两种方法：静态分配VLAN是根据端口划分的一种方法，管理员不需要考虑端口所连接的设备进行，只要对网络设备端口进行分配就可以了，这是相对来说最简单、也是最有用的划分方法。动态分配VLAN的好处就是当用户从一个物理位置移动到其他地方时，其VLAN成员身份是不会发生改变的。通过把物理网络划分成多个VLAN，不仅可以起到控制网络流量，而且对广播风暴进行控制，有效减小冲突域，并能提高网络安全性。企业网络搭建涉及的服务器技术介绍（一）DHCP（DynamicHostConfigurationProtocol）动态主机配置协议IP地址作为主机访问互联网的一个ID，只有当主机拥有了IP地址才能够访问互联网。对于我们家庭自用或者小型办公室自用的网络，大都是通过网管亲自为我们每一部电脑配置IP地址的。但是如果是应用于大型企业、学校、小区或者园区这类相对来说比较大的网络，通过网管来为主机配置IP是不现实d，主机数量多，工作量相当大，不仅需要较长的时间进行配置，而且对每台主机的管理也是很麻烦的。所以，在中大型网络中使用DHCP服务会非常高效的分配管理网络内的IP地址分配问题。使用DHCP分配IP地址的好处有以下几点。（1）管理员能够快速对IP地址进行验证，不用对每一台主机单独进行检查。（2）DHCP可以在可配置的范围内分配IP地址给主机，所以不存在多台主机同时使用一个相同的IP地址，避免手工操作的失误。（3）当主机需要从一个物理位置移动到其他位置的时候，DHCP会重新对主机进行分配IP地址。DCHP服务具体的工作流程如下：（1）有DHCP服务器时，当主机首次启动时，主机就是一个DHCP客户端，使用广播的方式，采用UDP传输协议，发送出DHCPDiscover报文。服务器的67号端口用来对客户端发来的请求消息进行接收，并发送回应消息到客户端的68号端口。（2）网络内的DHCP服务器都会接收到客户端发来的DHCP发现报文，然后所以的DHCP服务器都会给出响应，向客户端发送一个DHCPOffer报文作为响应报文。（3）客户端收到响应报文之后就会对其进行处理，越早到达的Offer报文就越先进行处理。客户端处理后就广播一个叫DHCPRequest的报文，报文中包含客户端选择收到的IP地址和自己所需的IP地址。（4）DHCP服务器接收报文后，会对报文内的服务器IP地址和客户端提出的所需IP地址进行判断，假如地址符合条件，服务器就会发送DHCPACK确认报文给客户端。其中每个IP地址的使用都会有一个期限，叫做使用租期，可以理解为当客户端需要上网的时候，会使用IP地址，这个地址是在服务器上租用的，如果使用期限到期了，就无法上网了。假如客户端想继续用，那就需要续租，如果不续租，IP地址就会被服务器收回。一般我们使用IP地址的期限超过约定时间的一半时，我们会向服务器发送报文说明要续租IP地址，如果后面收到了DHCPACK报文，则说明续期成功，如果没收到，客户端还是可以继续使用IP地址，无任何影响，直到使用租期超过87.5%时，服务器会广播DHCPRequest报文来续租IP地址，如果客户端收到了来自DHCP服务器发来的DHCPACK报文，则说明续期成功，如果没收到，客户端还是可以继续使用IP地址直至到期，然后重新申请IP地址。（5）客户端收到确认报文之后，首先检查IP地址正不正常，如果能地址正常可以用，那将会获取到IP地址。如果被其他客户端使用了IP地址，则发送一个DHCPDecline报文，告知服务器哪个IP地址无法再进行使用了，则把这个IP地址禁用了。这个过程能有效地解决一个IP地址是否会被重复使用的问题。然后客户端会重新进行申请IP地址的流程。这种工作流程如图1.1所示。图1.1DHCP服务器工作原理（二）DNS（DomainNameSystem）域名服务协议我们访问网关时，需要访问某个网站的时候，通常都会直接输入我们平时说的网址，这个网址域名，这个网址其实是提供服务主机的名字，但是网络上的计算机之间只能经过IP地址进行通信，网址的作用只是为了人们快速记忆才被使用，通迅时，网络IP地址是由二进制数组成的（32位），但是为了是人们能够直观的看懂，人们会采用点分十进制来表示IP地址，比如说32位二进制数01100100.00000100.00000101.00000110看似很难，不够直观，但是如果转化成十进制数就是，这样就显得直观明了，但是人们生活中需要访问的网站有许多，人们很难记住这些以数字，所以才发明域名，通过一个自定义的名字来代替IP地址。当我们需要访问谷歌的时候，只需要输入即可访问百度，而不用记住IP地址，但是在我们输入谷歌的网站后，起作用的却是DNS了，DNS将域名解析成IP地址，对谷歌服务器进行访问，如图2.1所示。图2.1访问谷歌时DNS查询过程DNS服务器，是提供域名解析服务的，域名系统其实也叫做名字系统，但是在互联网的命名系统中使用了很多的域，所以叫域名系统。以前计算机的数量很少，只有几百台，当时是使用了host文件，然后再文件列表里列出了这个网络上面全部主机的名字和对应的IP地址，当我想访问张三的主机的时候，只需要输入张三，即可在host文件列表中找到张三主机对应的IP地址进行访问，但随着互联网的越来越大，网络中的主机越来越多，理论上是能够只用一个DNS服务器，在服务器上装入互联网上所以的主机名和对应的IP地址，但是互联网规模太大，DNS服务器出现负荷会导致不能正常进行工作，一旦DNS无法正常进行工作，整个网络就会瘫痪了，所以互联网标准RFC.1034,1035规定了DNS要采用联机分布式结构。域名系统DNS设计成一个联机分布式数据库系统，采用C/S方式。大多数地址解析都在本地进行，只有极少部分需要在互联网上进行通信。互联网的域名命名都需要根据域名系统中的域逐层定义，构成一个唯一的域名，每个域名间通过小数点.进行分隔，用域名树来表示互联网的域名系统如图2.2。图2.2互联网域名空间结构域名解析的流程就是：当某个进程需要解析主机名得到IP地址的时候，这是就需要调用解析程序，然后成为DNS的客户端，将待解析的域名发送给本地域名解析服务器，如果解析成功得到了对应的IP地址，服务器就会将域名所对应的IP地址返回给客户端，如果解析失败，那么这个域名服务器就暂时的成为DNS客户端，继续向上一层的域名解析服务器继续传递解析服务，通过递归查询和迭代查询直至得到解析，如图2.3所示2.3DNS递归查询和迭代查询（三）FTP（FileTransferProtocol）文件传输协议企业对于一些需要在局域网内进行共享的资料，但是如果需要共享给很多个用户的时候，就需要把文件一个一个的分享给需要者，这是个效率十分低下的方法，假如有一台电脑，可以集中寄存需要共享的文件，需要使用这些文件的时候可以自行下载，也可以随便上传想要分享的文件，那就很大的提高了工作效率。在公司局域网中建立一台专门用于寄放文件的FTP服务器就可以解决以上苦难。我们平时上网的过程中，本质就是作为FTP客户端向各种服务提供商的服务器进行访问。FTP协议是工作在TCP/IP协议族的应用层，基于C/S工作模式，采用双向传输，通过采用三次握手方式，建立可靠的TCP连接，保证文件传输的高效稳定可靠。FTP使用两个分别负责传输控制命令的控制端口21和负责传输数据的数据端口20。FTP文件传输协议分别有Standard（Active方式、也称主动方式）和Passive（PASV、也称被动方式）。Passive模式FTP的客户端发送PASV命令到FTP服务器。两者的区别就在于Standard模式是发送PORT命令，告诉服务器客户端接收数据的具体端口，服务器发送数据时建新的一个连接来发送数据，而Passive模式则是在客户端在发送PASV命令时，服务器会在1024—5000之间随机打开一个端口，并且通知客户端要在这个指定端口建立数据传输，不需要再重新建立连接负责传输数据。具体流程如图3.1所示。Standard模式Passive模式图3.1Standard模式和Passive模式WEB服务器是用来存放各种网页文件的服务器，供访问者进行浏览访问的服务器，（四）WWW（WorldWideWeb）服务器WWW采用C/S工作模式，由WWW服务器和客户机（浏览器）构成，当我们需要访问某个网页时，我们会在浏览器中输入网址，然后浏览器就会显示出我们想访问的内容，其中具体的工作原理如下：当我们输入完网址后再点击回车的一瞬间，主机就会开始查找本机DNS缓存，找到对应的IP地址，一般该IP地址对应的服务器就是WWW服务器，它与客户端建立TCP连接，HTTP协议是属于应用层协议，而TCP协议是属于传输层协议，只有当低层协定建立后才能建立高层协议，当TCP连接建立成功后WEB浏览器会向WWW服务器发送请求命令，然后通过HTTP传输HTML（超文本标记语言），HTML再经过浏览器的处理与渲染，最终以网页的形式出现在屏幕上。我们访问web服务器的过程如图4.1所示。图4.1访问www服务器过程四、总体方案（一）项目背景及现状本公司是一家中小型IT软件公司，负责自主开发软件并对其软件产品进行销售，对销售出去的产品进行售后服务，现公司员工规模有300-400人，公司在软件产业园拥有两栋独立的办公楼，公司部门有财务部、研发部、销售部、运维部、网络部、行政部。运维需要出外办公维护客户软件，公司内部使用自动化办公系统、OA系统、ERP系统。（二）流量分析及组网解决方案公司内部流量有大量的内网互连，各办公人员需要对FTP服务器进行访问，局域网内文件共享，研发部在研发软件的时候需要占用大量带宽进行代码调试及网络访问，运维部在对客进行施远程软件维护、实施时也需要占用大量带宽，网络部需要针对企业局域网进行安全防护，网络流量监控，对不正常的大量占用带宽的主机进行限速，保证企业局域网能够最大限度的发挥工作作用，行政部需要处理日常的行政业务，发布工作通知，对外发布WEB信息，财务部为了保证其网络环境安全，不允许访问外网，也不允许外网对其发起访问，最大限度的隔离其受到网络攻击。组建企业局域网的要求就是企业网络的需求统一、可靠安全、传输效率高效、可拓展、可统一管理。在现代网络资源紧张的时代，合理分配网络资源，提供最高性能的网络处理能力。针对企业的独特性出发设计组网方案与网络拓扑，对该企业进行一下网络部署方案：将每个部门划分在不同VLAN，对企业内部服务器和网络管理部门创立独立的VLAN。针对外出办公的运维人员，在路由器上配置VPN，实现远程办公及对内部网络的访问。通过组建两台核心交换机的冗余设计，实现HRSP功能。（三）拓扑设计本次设计用到了cisco公司的路由器、交换机等设备，部署同一公司的设备，可以有效地避免设备不兼容的问题，cisco作为全球领先的网络设备商，其设备性能和私有协议是十分可靠的。可靠的硬件设备是组建企业网络的基础。拓扑图如图3.1所示。图3.1网络拓扑设计图在图3.1的网络拓扑图中，采用了两台三层交换机互连实现HRSP，组成核心交换机，在网络入口采用企业级路由器，路由器支持防火墙功能，ACL功能，实现访问控制，控制内网用户对不安全的外网的访问，有效的避免外网非法访问内部，内网采用星型拓扑结构，这种结构能够将所以设备都接入网络，能够避免单点故障，便于故障排查，当网络需要进行大型升级改造的时候，星型结构的灵活性就能发挥作用了。在接入层处使用二层交换机采用堆叠模式，因为一个交换机最多只支持48个快速以太网端口，采用堆叠模式能够加强网络拓展性，最大限度地提高性能以及可用性，保障可靠安全性。（四）IP地址规划及VLAN划分目前网络现状IP地址紧缺，可用的公网IP地址不多，一般企业只需要向ISP申请少量的公网IP地址，供企业网络对外互连，在企业内网入口路由上配置NAT，实现地址转换，映射多个内网IP地址，供内部网络互连，也能保障内网的网络安全与资源合理分配。，如果企业条件允许，可向不同的ISP申请多个外网IP地址，不同的ISP线路可以保证服务器对外可靠运行，实现实时联网容灾备份。目前申请的IP地址都是C类的地址，相对应的内网IP我们可以使用网段的内网地址，网划分子网掩码采用。然后使用VLAN对各部门划分虚拟子网，将大的广播域进行划分，分成许多个小的广播域，当局域网内主机过多并不进行VLAN划分时，会因为广播风暴导致网络瘫痪。具体IP地址及VLAN划分如下表4.1所示。表4.1VLAN及IP地址编址方案（五）设备选型作为企业网络，应该是一个内部统一的通信平台，园区内的设备应该具备有一定的冗余度冗余包括了设备冗余和链路冗余，在数据链路层、网络层、应用层也应拥有一定的容错能力，企业园区的物理构造中有核心层、汇聚层、接入层，在本设计中，我把汇聚层跟接入层没有做出很明显的区分，把它们划分到了一起。在本网络中的核心层，网络主干区域配置两台核心路由交换机，本是设计使用的是CiscoCatalyst3560-24PS交换机，3560交换机有24个以太网10/100端口，背板带宽32Gbit/s，完全能够满足企业网络内部数据交换要求。汇聚层接入应用4台CiscoCatalyst2960-24TT交换机，24个以太网10/100Mbps端口,可计算得出核心交换机背板带宽至少需要9.4Gbps。虽然网管部门也使用了2960交换机，但是网管部门接入的主机数不会太多，占用带宽微乎其微，可以忽略不计。企业入口路由，考虑到是企业级网络，需要拥有安全策略及协议，本设计采用CiscoISR4321路由器，因为4000系列路由器是集成多业务路由器，适用于分支结构，能够将企业内网、计算机、广域网服务集于一身，CiscoISR4321与UCSE系列服务器模块相结合，形成一个灵活的平台，能够轻松应对变化莫测的企业应用需求，满足企业多元化发展与丰富的拓展性，其运转的CiscoIOS-XE多核CPU，高效得处理能力，即使在负载高峰期也能游刃有余。CiscoIRS4321支持千兆以太网、T1/E1、T3/E3、PRI和xDSL等各种链路，最大程度的保障企业网络的吞吐量。基于区域的VRF感知防火墙和网络地址装换NAT服务。服务器集群是网络用量最大的地方，服务器的选择很大程度依据企业网络中的业务需求，对服务器的业务能力、响应能力的高效与否由服务器的硬件体系结构设计有关，服务器的CPU、硬盘读写能力、操作系统的进程能力、可拓展性、散热、功耗、安装程度都要进行综合考虑。所选的服务器必须具备数据处理能力强、高可靠性、高吞吐率、可拓展性强的特点。接入层交换机设备采用CiscoCatalyst2960-24TT交换机，2960可堆叠交换机满足未来的可拓展性，作为建筑接入交换机，提供固定的24口端口密度，容许许多高级交换特性，支持802.1x认证，可绑定MAC、IP、VLAN各种组合，有效的进行访问控制，阻止非法用户访问网络，从而保障网络访问的受控性。五安全体系（一）网络安全分析企业网络分为内网和外网，内网为内部局域网，员工内部资源交流与业务处理，外网为对外服务器，对外网提供资源，整理出可能受到的网络安全威胁如下：（1）Internet网络用户对企业网存在恶意攻击及非法访问。内部设备操作系统的漏洞。来自外网的各种病毒、木马、蠕虫，可能由内部员工通过邮件、u盘将病毒带入企业内网。内部人员通过访问非法网站，如黄色、暴力、反动网站，将病毒下载到内部网络。外网用户可能通过恶意工具对内网发动DDOS、DOS攻击、ARP攻击、ICMP攻击、中间人攻击，导致内网瘫痪或网络信息泄露。企业内部人员对安全意识不够强，管理体制不够健全，导致设备的物理损坏。网络安全需求分析具体要求包括：安全性要求、可控性要求、可管理性要求、用性要求、可恢复性要求、可拓展性、合法性。针对以上威胁，从物理、网络、系统、管理层、应用等角度进行分析和设计安全方案。（二）物理层安全物理层安全针对实体安全这个概念来描述，实体安全是保护网络设施、媒体等实体设备免遭自然灾害地震等其他环境事故破坏的措施及过程，针对网络系统的环境、场地、设施及操作人员等方面，采用安全技术和措施。主要包括防盗、防火、防静电、防雷击、防电磁泄漏。由于网络核心设备是盗窃者重点的盗窃对象，而核心设备往往存储了大量重要资料，被盗取的损失往往大于设备本身的价值，因此采取重点保护措施，对机房设备采取严格的物理防护，如对核心设备进行集中存放，严格控制接触核心设备人员。网络中心机房发生火灾一般都是因为电气原因、人为事故、外部火灾蔓延等，电气设备因为短路、过载接触不良、绝缘层破坏等引起电打火，日常检查核心设备的物理健康状况，能有效避免设备起火。防静电则因为电气设备的静电没有得到释放，高电位保留在设备上，引起静电放电火花，引起火灾。传统避雷针不仅增大受击可能性，而且还会产生感应雷，突然的高电压会对设备造成破坏性损坏，还会引起火灾。防电磁辐射则是由电气设备工作过程中产生的电辐射，电辐射可被灵敏设备接收，并且进行监听、分析、还原，造成信息泄漏。（三）网络层安全企业内部网络作为一个大的局域网，可控性难以得到控制，通过划分子网将局域网划分成多个子网，以子网为安全单位进行管控，以及划分VLAN加以管控，对网络边界进行访问控制设置，如企业内网、企业内网和外网之间，利用防火墙策略进行访问控制和流量过滤，在网络入口区域设立入侵检测系统IDS。按需要对服务器与通信主机间使用电子签章和电子信封等各种安全管控技术，建立安全可靠通信信道。在内网与网外边界建立防火墙，管控企业内网与外网之间的数据传输与与数据存取。网络管理员应根据企业网络安全需求制定相关网络安全使用规定、安全等级分级策略，建立身份认证机制，入网服务、出网服务和稽查准则，防止数据在传输过程中被窃听、修改、删除、下载等非法操作。（四）系统层安全针对操作系统，及时的扫描漏洞及对漏洞进行修复，对存放大量机密资料数据的服务器及大型主机，应设置高级密码，规划高级安全等级，强化登录身份认证机制，防止非法使用者冒用合法用户身份登录系统，限制远程登录及远程拨接，不允许机密数据经电话线路或网际网络传输，防止网络服务如FTP、HTTP、Telnet等密码被窃听及截取。针对企业内部网络大型主机及服务器，禁止远程登录等方式，对IDS和防火墙系统软件要及时更新版本。针对对外服务器可能受到的攻击如DDOS、ARP攻击等，恶意破坏者可能发送操作指令或大量资料等手段，导致服务器瘫痪，提前对服务器进行配置与数据分流设置。（五）应用层安全禁止网络用户使用非法软件，经网络下载的未知软件应用应由网络管理员事先测试及扫描过后，安全性得到确认方可在内网进行安装执行。内网的大型主机及服务器上，因安装防病毒软件，网络管理员应定期使用杀毒软件及扫描工具，对内网进行日常杀毒及漏洞扫描，分析病毒与恶意软件可能入侵的管道，提前对有风险的端口与软件进行卸载或修复。当发现以有病毒或恶意软件入侵网络时，应及时对受感染主机用户进行通知，及时对其进行离线操作，使其与企业网络未感染区域隔离，直到对受感染主机清除病毒，清除后门后，方可在网络上线，网络管理员要对感染情况进行日志保存，路径追踪，对威胁应用及漏洞进行查封。（六）管理层安全根据企业安全管理需求，针对性制网络安全管理条例，严格筛选网络管理人员，网络管理人员严格按照网络安全管理条例对企业网络安全进行监控、维护、管理，在授权范围内进行企业网络资源的存取与修改。网络管理者要对网络管理密匙严密管控，不得非法授权其他人员对企业网络进行访问与修改，对恶意访问破坏企业网络的用户进行拒绝访问，对内部破坏网络的使用者进行监控、警告、降权。网络管理员是企业网络的守护神，应该为企业网络安全的可靠运行提供保驾护航。针对网络信息安全事件危机，应当有响应的处理方案，在网络初期应制定准备方案，管理人员要与网络发展实时共进，了解最新的网络攻击手段与解决方案，提前落实安全防护工作，如熟知操作系统与常用软件版本更新机制、帐号与密码的更新管理、规划灾后恢复计划等，提前的准备能够为后面的信息安全事件处理提供可靠的帮助与参考，也能大大的减少遭受网络攻击的风险几率。程序性的处理信息安全事件，针对网络安全事件症状对症下药，对遭受风险的设备进行封锁、移除、恢复，对攻击者的取证、追踪、封锁，避免网络攻击事件再次发生。六仿真实现以下仿真拓扑图是根据以上设计方案综合考虑设计、设备选取、网络搭建的具体配置参数。为了网络设计的简化，提高网络可拓展性，提高实用性与管理性，我把企业网络分层管理，划分成核心层、汇聚层、接入层，分别对三层进行配置与讲解。 （一）仿真实验拓扑图本实验通过在packettracer上搭建网络仿真拓扑图，对网络进行配置与搭建，总体拓扑图如图1.1所示图1.1仿真实验拓扑图拓扑图中，每种颜色是一个VLAN区域，方便进行管理，该企业网络拓扑如图所示，由一个企业级路由器连接Internet，然后由路由器接入核心层的两台构成冗余组的核心三层交换机，核心交换机上连接了内部核心服务器集群，和企业网络接入层的交换机。（二）配置接入层交换机的基本参数接入层交换机作用基本相同，所以选取财务部的交换机进行说明：所有接入交换机仅对上下行接口配置工作模式及透传VLAN，对外网服务器接入交换机使用默认配置接入层交换机通过FastEthernet0/1和FastEthernet0/2端口连接核心交换机，这两条链路是主干链路，需要在此两个端口设置成trunk模式interfaceFastEthernet0/1//进入接口0/1端口（0/1是连接核心交换机1的端口）switchportmodetrunk//端口模式设置为trunkinterfaceFastEthernet0/2//进入接口0/2端口（0/2是连接核心交换机2的端口）switchportmodetrunk//端口模式设置为trunk在接入层交换机上，可对交换机端口进行配置，对其端口终端进行VLAN划分。interfaceFastEthernet0/3//进入接口0/3端口（0/3是连接接入终端的端口）switchportaccessvlan10//把该端口的接入终端划分到VLAN10switchportmodeaccess//端口模式设置为access因为网络使用将vtp技术，将核心交换机设置成VTP服务器，将接入层的交换机设置成VTP的客户机，这样客户机就会通过VTP服务器获取所以VLAN的信息，Switch(config)#vtpmodeclient（三）配置核心层交换机的基本参数核心层的设备是本企业网络中的核心设备，负责网络的数据高速转发工作，本设计中，没有严格区分核心层和汇聚层，我两层融合在了一起，方便管理，核心层设备如图3.1所示：图3.1核心层交换机本设计中，核心层交换机用到了两台，设备冗余和链路冗余提供容灾处理，两台核心交换机配置大致一样，在HSRP上由主从关系，具体配置参数如下：核心交换机1作为VTPserver，负责创建vlan，管理vlan，配置VTP自动关联vlan，分别根据规划需求创建VLAN，vtpmodeserver//设置核心交换机1为VTPservervtpdomainaavlan10//创建vlan10vlan20//创建vlan20，以下同理vlan30vlan40vlan50vlan100vlan110三层交换机拥有路由功能，开启交换机路由功能iprouting配置STP生成树及负载均衡spanning-treemoderapid-pvstspanning-treevlan1,10,20,30,40priority0spanning-treevlan50,100,110priority4096配置链路聚合接口工作模式interfacePort-channel1switchporttrunkencapsulationdot1qswitchportmodetrunk配置端口工作模式，分别对各个端口进行工作模式端口配置，配置如下。interfaceFastEthernet0/1switchporttrunkencapsulationdot1qswitchportmodetrunk加入聚合组1interfaceFastEthernet0/23switchporttrunkencapsulationdot1qswitchportmodetrunkchannel-group1modeoninterfaceFastEthernet0/24switchporttrunkencapsulationdot1qswitchportmodetrunkchannel-group1modeon进入G0/1接口，配置到路由器的接口IP地址interfaceGigabitEthernet0/1noswitchportipaddress52配置SVI接口及HSRPinterfaceVlan10ipaddress53iphelper-addressipaccess-groupcwout//应用名为cw的ACL访问控制列表，方向为outstandby10ip54standby10priority125standby10preemptinterfaceVlan20ipaddress53iphelper-addressstandby20ip54standby20priority125standby20preemptinterfaceVlan30ipaddress53iphelper-addressstandby30ip54standby30priority125standby30preemptinterfaceVlan40ipaddress53iphelper-addressstandby40ip54standby40priority125standby40preemptinterfaceVlan50ipaddress53iphelper-addressstandby50ip54standby50preemptinterfaceVlan100ipaddress53standby100ip54standby100preemptinterfaceVlan110ipaddress53standby110ip54standby110preempt配置动态路由routerospf1networkarea0network55area0network55area0network55area0network55area0network55area0network55area0network55area0配置ACL允许源55到目的55，以及源55到目的55，禁止其他任何通信ipaccess-listextendedcwpermitip5555permitip5555denyipanyany核心交换机2配置参数与核心交换机1大同小异，相同的我就不一一列出来了，这里只列举下核心交换机2不同与核心交换机1的配置：核心交换机2相对于核心交换机1，vtp为客户端，STP组优先级别互换vtpmodeclient配置STP生成树及负载均衡spanning-treemoderapid-pvstspanning-treevlan50,100,110priority0spanning-treevlan1,10,20,30,40priority4096（四）广域网接入模块本设计中，广域网接入模块采用CiscoISR4321路由器如图4.1，支持内部防火墙与VPN、NAT等，对入口路由器具体配置参数如下：图4.1广域网接入模块针对外出工作人员，配置easyvpn，对其提供VPN服务，启动aaa认证aaanew-modelaaaauthenticationloginvpn-alocalaaaauthorizationnetworkvpn-olocal//建立用户名密码usernamevpnpassword0vpn123//配置第一阶段ipsec安全参数，序号为10cryptoisakmppolicy10hashmd5authenticationpre-share//建立easyvpn组名为vpngroupcryptoisakmpclientconfigurationgroupvpngroupkeyvpn123poolVPN-POOL//配置ipsect第二阶段策略，命名为vpn，加密方式为3des，完整性校验算法为MD5cryptoipsectransform-seteasy-setesp-3desesp-md5-hmac配置动态加密图cryptodynamic-mapd-map10settransform-seteasy-setreverse-route配置easyvpn用户的认证授权cryptomapeasy-mapclientauthenticationlistvpn-acryptomapeasy-mapisakmpauthorizationlistvpn-ocryptomapeasy-mapclientconfigurationaddressrespondcryptomapeasy-map10ipsec-isakmpdynamicd-map配置接口Ip及应用NAT入口interfaceGigabitEthernet0/0/0ipaddress52ipnatinsideinterfaceGigabitEthernet0/0/1ipaddress52ipnatinsideinterfaceVlan120ipaddress54ipnatinside配置接口IP及应用nat出口,应用名为easy-vpn的easyvpnmapinterfaceSerial0/1/0ipaddress52ipnatoutsidecryptomapeasy-map更改工作模式，透传vlan120interfaceGigabitEthernet0/2/0switchportaccessvlan120switchportmodeaccessswitchportnonegotiate配置OSPF动态路由routerospf1networkarea0networkarea0network55area0default-informationoriginate配置本地地址池供esayvpn使用iplocalpoolVPN-POOL54配置natipnatinsidesourcelistnatinterfaceSerial0/1/0overloadipnatinsidesourcestatictcp8080ipnatinsidesourcestaticudp500500ipnatinsidesourcestatic配置nat的aclipaccess-listextendednatdenyip55anydenyip55anypermitipanyany//配置默认路由iproute广域网模块还有通过路由器模拟广域网，对ISP路由器配置参数：配置接口IP，作为互联网用户使用interfaceGigabitEthernet0/0/0ipaddress54配置接口IP，连接出口路由器，作为运营商分配的IP网关给公司使用。interfaceSerial0/1/0ipaddress52clockrate64000参考文献[1]谢希仁．计算机网络［J］．电子工业出版社，2017.1：286-288.

[2]斯桃枝.路由协议与交换技术［J］.清华大学出版社，2012.11：11-14.[3]叶阿勇.计算机网络实验与学习指导——基于Ciscopackettracer模拟器［J］.电子工业出版社，2014.11：11-14.

[4]崔北亮、陈家迁.非常网管，网络管理从入门到精通（修订版）［J］.人民邮电出版社，2010.12：110-342.

[5]雷震甲.网络工程师教程（第五版）［J］.清华大学出版社，2018.

[6]崔洪洋．基于packettracer的企业网络设计及安全实现［Ｄ］．湖南：湖南工程学院，2014．[7]基于packettracer的企业网络设计［D］.商丘师范，2014[8]\o"dengzhongmingabc"dengzhongmingabc．公司局域网如何组建公司局域网搭建方法［EB/OL］．/dengzhongmingabc/article/details/81078341,2018.7.17[9]练振兴.浅谈校园网VRRP部署[J].电脑知识与技术,2018(25):29-30.

[10]李聪慧.浅析校园网络防病毒体系[J].信息安全与技术,2011(05):38-40.

[11]朱振宇.现代电信技术实验室数据通信综合实验设计方法[J].长沙通信职业技术学院学报,2012(01):26-32.

[12]崔思东.基于客户需求的交换机、路由器选择方案[J].电子世界,2012(17):18-18.

[13]刘冲.浅谈VLAN在AIMS系统维护中的应用[J].数字技术与应用,2010(02):14-15.

[14]王宏群尹向兵.仿真软件在网络工程实验教学中的应用[J].安徽警官职业学院学报,2013(02):116-116.

[15]董德顺.FTP主动和被动传输区别[J].才智,2010(07):47-47.

[16]孙光懿.基于HSRP和RIP协议实现校园网出口多组负载均衡[J].实验室研究与探索,2017(12):5-5.

[17]李贵华.配管VLAN“两不误”[J].网络运维与管理,2014(9):2-2.

[18]ThomasWeiseRaymondChiong.EvolutionaryOptimizationPitfallsandBoobyTraps[J].JournalofComputerScience&,2012(05):7-36.

[19]司桂荣张艺弛宗国升陶佰睿.基于三层交换技术的虚拟局域网规划设计[J].内蒙古师范大学学报(自然科学汉文版),2014(01):106-110.

[20]李安邦.华为和思科VLAN实现的分析与比较[J].电脑知识与技术,2018(27):33-35.[21]冯乃光程曦.基于端口引用访问的ACL包过滤技术实现[J].现代电子技术,2009(20):90-92.

[22]刘利李津生洪佩琳朱文涛.基于策略的组播接入控制研究[J].应用科学学报,2005(02):108-111.

[23]奚婧胡文骅.基于Net平台的DNS域名解析仿真实验教学设计[J].中国信息技术教育,2019(08):108-111.

[24]岳建平严剑炜陈洁.浅议我校精品课程网络资源的共享控制[J].现代经济信息,2009(07):207-207.

[25]游胜玉何璘琳赵美丽.基于GNS3的计算机网络仿真实验教学研究[J].东华理工大学学报(社会科学版),2015(01):88-91.

[26]贺文华陈志刚.虚拟局域网技术研究[J].计算机时代,2007(11):31-35.

[27]张振江蒋巍张哲.静态绑定技术在局域网管理中应用[J].电脑知识与技术,2012(10):33-34.

[28]孙立新张栩之.关于计算机网络系统物理安全研究与分析[J].网络安全技术与应用,2009(10):68-69.

谢辞为时一个学期的毕业设计即将结束了，这也意味者我在北京理工大学珠海学院的大学生涯也即将结束。在毕业设计这段时间里，我得到了很大的自身提高，其中包含了对汽车系统知识的理解、还有对有关这方面书籍的认识等等，这些都得益于老师和同学的大力帮助，…….附录附录1程序源代码ISP_running-config： interfaceGigabitEthernet0/0/0ipaddress54interfaceSerial0/1/0ipaddress52clockrate64000出口路由器_running-config：aaanew-modelaaaauthenticationloginvpn-alocalaaaauthorizationnetworkvpn-olocalusernamevpnpassword0vpn123cryptoisakmppolicy10hashmd5authenticationpre-sharecryptoisakmpclientconfigurationgroupvpngroupkeyvpn123poolVPN-POOLcryptoipsectransform-seteasy-setesp-3desesp-md5-hmaccryptodynamic-mapd-map10settransform-seteasy-setreverse-routecryptomapeasy-mapclientauthenticationlistvpn-acryptomapeasy-mapisakmpauthorizationlistvpn-ocryptomapeasy-mapclientconfigurationaddressrespondcryptomapeasy-map10ipsec-isakmpdynamicd-mapinterfaceGigabitEthernet0/0/0ipaddress52ipnatinsideinterfaceGigabitEthernet0/0/1ipaddress52ipnatinsideinterfaceSerial0/1/0ipaddress52ipnatoutsidecryptomapeasy-mapinterfaceGigabitEthernet0/2/0switchportaccessvlan120switchportmodeaccessswitchportnonegotiateinterfaceVlan120ipaddress54ipnatinsiderouterospf1networkarea0networkarea0network55area0default-informationoriginateiplocalpoolVPN-POOL54ipnatinsidesourcelistnatinterfaceSerial0/1/0overloadipnatinsidesourcestaticipnatinsidesourcestatictcp8080iprouteipaccess-listextendednatdenyip55anydenyip55anypermitipanyany核心交换机1_running-config：vtpmodeservervtpdomainaavlan10vlan20vlan30vlan40vlan50vlan100vlan110iproutingspanning-treemoderapid-pvstspanning-treevlan1,10,20,30,40priority0spanning-treevlan50,100,110priority4096interfacePort-channel1switchporttrunkencapsulationdot1qswitchportmodetrunkinterfaceFastEthernet0/1switchporttrunkencapsulationdot1qswitchportmodetrunkinterfaceFastEthernet0/2switchporttrunkencapsulationdot1qswitchportmodetrunkinterfaceFastEthernet0/3switchporttrunkencapsulationdot1qswitchportmodetrunkinterfaceFastEthernet0/4switchporttrunkencapsulationdot1qswitchportmodetrunkinterfaceFastEthernet0/5switchporttrunkencapsulationdot1qswitchportmodetrunkinterfaceFastEthernet0/6switchporttrunkencapsulationdot1qswitchportmodetrunkinterfaceFastEthernet0/7switchporttrunkencapsulationdot1qswitchportmodetrunkinterfaceFastEthernet0/8switchporttrunkencapsulationdot1qswitchportmodetrunkinterfaceFastEthernet0/9switchporttrunkencapsulationdot1qswitchportmodetrunkinterfaceFastEthernet0/10switchporttrunkencapsulationdot1qswitchportmodetrunkinterfaceFastEthernet0/23switchporttrunkencapsulationdot1qswitchportmodetrunkchannel-group1modeoninterfaceFastEthernet0/24switchporttrunkencapsulationdot1qswitchportmodetrunkchannel-group1modeoninterfaceGigabitEthernet0/1noswitchportipaddress52interfaceVlan10ipaddress53iphelper-addressipaccess-groupcwoutstandby10ip54standby10priority125standby10preemptinterfaceVlan20ipaddress53iphelper-addressstandby20ip54standby20priority125standby20preemptinterfaceVlan30ipaddress53iphelper-addressstandby30ip54standby30priority125standby30preemptinterfaceVlan40ipaddress53iphelper-addressstandby40ip54standby40priority125standby40preemptinterfaceVlan50ipaddress53iphelper-addressstandby50ip54standby50preemptinterfaceVlan100ipaddress53standby100ip54standby100preemptinterfaceVlan110ipaddress53standby110ip54standby110preemptrouterospf1networkarea0network55area0network55area0network55area0network55area0network55area0network55area0network55area0ipaccess-listextendedcwpermitip5555permitip5555denyipanyany核心交换机2_running-config：vtpmodeclientiproutingspanning-treemoderapid-pvstspanning-treevlan50,100,110priority0spanning