交换机与路由器配置项目式教程（第4版）课件 任务14 组建多分支机构企业网络

任务14：组建多分支机构企业网络

——企业网络架构描述（1）

某研究所有东区和西区两个所区，总部在东区，两区相距2公里，各有计算机500台左右，东西所区各设一个中心机房，各种应用服务器主要放置在东区的中心机房中，这些服务器可供东西所区的各个部门以及试验工厂和子公司访问。有试验生产厂一个，与总部相距30公里，计算机100台左右；在外地有直接投资子公司2个，各有计算机50台左右。

东西所区之间以及试验生产厂和总部之间采用电信裸纤专线连接；总部与办事处之间通过帧中继网络互联。

子公司、试验工厂和东西所区都通过总部接入因特网。申请的公网地址段为6/29，共有8个地址。1、企业网络拓扑图

东西区网络采用核心层、分布层和接入层三层结构，核心层交换机采用CiscoCatalyst4506插槽式交换机，采用了Catalyst4500SupervisorIIPlus作为交换机引擎，安装了两块Catalyst4000GigabitEthernetModule,6-Ports(GBIC)）模块，用来连接分布层交换机，还安装了一块32口10/100Mbps自适应模块，用来连接管理服务器等。分布层交换机全部采用CiscoCatalyst3550，24口10/100M自适应三层交换机，通过千兆口G0/1上联核心交换机。任务14：组建多分支机构企业网络

——企业网络架构描述（2）任务14：组建多分支机构企业网络

——企业网络架构描述（3）2、虚拟局域网及IP地址规划

整个网络根据科室划分VLAN，具体的VLAN划分和IP地址分配如下表所示。任务14：组建多分支机构企业网络

——企业网络架构描述（4）3、网络设备接口地址规划任务14：组建多分支机构企业网络

——企业网络架构描述（5）

总部和两个子公司由于不在同一个城市，相距比较远，而子公司和总部之间有大量的访问需求，所以采用帧中继网络互联。总部在本市向电信申请2Mbps帧中继线路，各子公司在各自所属市向电信申请2Mbps帧中继线路。

路由器连接各个子网的接口需要一个IP地址，三层交换机参与路由的接口也需要分配一个IP地址。当然，三层交换机的二层交换端口不需要IP地址。（1）子公司1路由器接口地址分配

子公司1的路由器为Cisco2811，F0/0快速以太网口连接子公司1的局域网，S0/0串口连接帧中继网，接口地址分配如下表所示。任务14：组建多分支机构企业网络

——企业网络架构描述（6）（2）子公司2路由器接口地址分配

子公司2的路由器为Cisco2811，F0/0快速以太网口连接子公司2的局域网，S0/0串口连接帧中继网，接口地址分配如下表示。（3）总部路由器接口地址分配

总部的路由器为Cisco3640，除了需要连接两个子公司外，还作为整个企业网络与因特网的接入路由器。F0/0快速以太网接口连接防火墙的广域网口，S0/0串口连接帧中继网，S0/1串口连接2M的DDN专线接入因特网。接口地址分配如下表所示。任务14：组建多分支机构企业网络

——企业网络架构描述（7）（4）总部防火墙接口地址分配

防火墙一般有三个接口：WAN、LAN和DMZ接口，一个连接外网，一个连接本地局域网，还有一个中性区域，用于连接供内外网访问的服务器等。

防火墙除具有访问控制的基本功能外，还具有地址转换和路由功能。

企业在选择防火墙时，一般会选择专业防火墙。但为了描述方便，我们在这里使用三层交换机Catalyst3750来代替防火墙，完成防火墙的功能。

三层交换机和路由器都可以通过设置访问控制列表，来限制访问，来实现防火墙的功能，但没有专业防火墙方便。

防火墙的三个接口中，WAN接口连接路由器Cisco3640的F0/0接口，LAN接口连接东区核心交换机的F4/1接口，DMZ接口连接一台Catalyst2960交换机，用来连接企业的各种对外服务器，包括DNS服务器、Web服务器、邮件服务器、FTP文件服务器等4台服务器。三个接口的地址分配如下表所示。任务14：组建多分支机构企业网络

——企业网络架构描述（8）（5）三层交换机接口地址分配

东区核心交换机使用三层路由端口F4/1和防火墙的LAN口连接，F4/1口的IP地址为/30。

给东西区以及试验工厂的每台交换机分配一个/24网段的某个地址，用于对交换机进行远程配置和管理。东区核心交换机Catalyst4506的管理地址为54，西区核心交换机Catalyst4506的管理地址为53。任务14：组建多分支机构企业网络

——总部网络设备配置（1）

为了简化交换网络设计、提高交换网络的可扩展性，一般企业网是按接入层、分布层、核心层三个层次来规划和设计的。

接入层负责接入网络用户，是网络的最底层，由于接入层的交换机一般连接部门计算机，主要完成部门内部数据交换，所以只需要低端的二层交换机；

分布层也称汇聚层，分布层交换机用来分发和汇聚几个部门的数据流量，进行几个部门之间的数据交换，由于各部门一般属于不同的VLAN，所以分布层交换机一般采用三层交换机；

核心层交换机主要用来高速交换不同分布层交换机来的流量，因此除了具有三层交换功能，还要具有高性能和高可靠性。

我们的配置思想是这样的：各交换机之间通过Trunk链路连接，在一台分布层交换机上创建VLAN，其他交换机通过VTP协议获取VLAN信息。给所有交换机配置交换机名称，虚拟终端登录密码、特权密码等基本参数，给各个交换机分配一个管理地址和默认网关，这样方便进行远程Telnet登录配置和管理。所有的分布层交换机为三层交换机，打开路由功能，实现所汇聚的VLAN之间的通信，去往其他子网的数据交给核心交换机去处理，也就是设置一条默认路由到核心交换机。在核心路由器上设置到各个汇聚层交换机的回头路由。任务14：组建多分支机构企业网络

——总部网络设备配置（2）1、接入层交换机配置

接入层为所有的终端用户提供一个接入点，一般一个接入层交换机用于接入同一部门的计算机，当然，也可以用来连接多个部门的计算机。

接入层交换机的数量众多，但配置方法基本一样。

我们以为计算机室的计算机提供接入服务的某一台接入层交换机为例，讲解接入层交换机的配置。这里的接入层交换机采用的是CiscoCatalyst296024口交换机，拥有24个10/100Mbps自适应快速以太网端口，采用F0/24端口连接分布层交换机。每个接入层交换机都用F0/24端口上联分布层交换机Catalyst3550。任务14：组建多分支机构企业网络

——总部网络设备配置（3）任务14：组建多分支机构企业网络

——总部网络设备配置（4）

服务器群和各个子公司的计算机数量比较少，不另外划分VLAN，所有计算机默认为各自交换机的VLAN1成员。为服务器群的接入交换机的VLAN1指定所属网段/24中的一个IP地址，默认网关为54；为子公司1的接入交换机的VLAN1指定所属网段/24中的一个IP地址，默认网关为54；为子公司2的接入交换机的VLAN1指定所属网段/24中的一个IP地址，默认网关为54。任务14：组建多分支机构企业网络

——总部网络设备配置（5）2、分布层交换机配置

我们以分发和汇聚计算机室和情报室数据的分布层交换机Catalyst3550为例，讲解分布层交换机的配置。任务14：组建多分支机构企业网络

——总部网络设备配置（6）任务14：组建多分支机构企业网络

——总部网络设备配置（7）

网络中交换机数量比较多而且各个交换机上的VLAN配置类似时，需要分别在每台交换机上创建很多重复的VLAN。工作量会很大，而且容易出错。我们常采用VLAN中继协议（VTP）来解决这个问题。

VTP允许我们在一台交换机上创建所有的VLAN。然后，利用交换机之间的互相学习功能，将创建好的VLAN定义传播到整个网络中需要此VLAN定义的所有交换机上。同时，有关VLAN的删除、参数更改操作均可传播到其他交换机。从而大大减轻了网络管理人员配置交换机的负担。

将主楼的分布层交换机Distribute1设置成为VTP服务器，除子公司交换机外的其他交换机设置成为VTP客户机。这样，除子公司交换机外的其他交换机将通过VTP获得在分布层交换机Distribute1中定义的所有VLAN的信息。当然，并不是所有交换机都对所有VLAN信息感兴趣，可以设置VLAN修剪功能，修剪掉交换机不需要的VLAN信息。任务14：组建多分支机构企业网络

——总部网络设备配置（8）任务14：组建多分支机构企业网络

——总部网络设备配置（9）任务14：组建多分支机构企业网络

——总部网络设备配置（10）任务14：组建多分支机构企业网络

——总部网络设备配置（11）3、核心交换机配置

以东区核心层交换机Catalyst4506为例，讲解核心交换机的配置。任务14：组建多分支机构企业网络

——总部网络设备配置（12）

东区核心层交换机通过G2/1和G2/2构成两千兆以太网通道与西区核心交换机的G2/1和G2/2端口连接，G2/3千兆端口连接试验工厂的Catalyst3550交换机，其他千兆端口下联各个分布层交换机的G0/1千兆端口。核心交换机上配置了一块32端口的10/100Mbps自适应模块，F4/1口连接防火墙的LAN口，其他用于连接管理用计算机等。任务14：组建多分支机构企业网络

——总部网络设备配置（13）任务14：组建多分支机构企业网络

——总部网络设备配置（14）任务14：组建多分支机构企业网络

——总部网络设备配置（15）4、防火墙配置

我们这里使用Cisco三层交换机Catalyst3750替代专业防火墙，来讲解防火墙的一般配置方法。三层交换机作为防火墙只能基本数据包过滤，在策略设置方面没有专业防火墙那么多，策略调整也没有专业防火墙方便。任务14：组建多分支机构企业网络

——总部网络设备配置（16）任务14：组建多分支机构企业网络

——总部网络设备配置（17）任务14：组建多分支机构企业网络

——总部网络设备配置（18）任务14：组建多分支机构企业网络

——总部网络设备配置（19）任务14：组建多分支机构企业网络

——总部网络设备配置（20）任务14：组建多分支机构企业网络

——总部网络设备配置（21）任务14：组建多分支机构企业网络

——总部网络设备配置（22）任务14：组建多分支机构企业网络

——总部网络设备配置（23）任务14：组建多分支机构企业网络

——总部网络设备配置（24）5、东区路由器配置

东区路由器使用快速以太网口F0/0连接防火墙，IP地址为/30，连接的防火墙WAN口IP地址为/30；使用串口S0/1连接因特网，IP地址为7 /30，因特网服务商端路由器地址为8/30；使用串口S0/0连接帧中继网，IP地址为54/24；子公司1使用的路由器串口