1、<p>　　本科生畢業(yè)論文（設計）</p><p>　　題目： 企業(yè)網的組建與設計實現(xiàn) </p><p>　　完成日期： 2010 年 4 月 20 日</p><p><b>　　摘要</b></p><p>　　本設計以組建一個安全、可靠、穩(wěn)定的網絡為目的，建立企業(yè)內部的局域網并與 Intern

2、et網相連接，為實現(xiàn)企業(yè)信息化管理和資源大規(guī)模共享，提供了一個網絡化環(huán)境。本設計主要內容包括網絡拓撲結構的設計，設備的選型，IP地址的劃分，VLAN（虛擬局域網）的分配，交換模塊，廣域網交換模塊等等。采用的關鍵技術包括:網絡三層結構設計、VTP(虛擬局域網干道協(xié)議)、PAT（端口地址轉換）。本設計通過這些網路技術的應用，組成一個可擴展的，高速的網絡，同時實現(xiàn)語音，視頻，圖像等各種服務的應用，為用戶到用戶、用戶到應用提供速度合理、功能可靠

3、的鏈接等功能，實現(xiàn)網絡化、信息化的先進辦公系統(tǒng)。</p><p>　　關鍵詞：企業(yè)網；虛擬局域網；三層結構；交換機配置；遠程接入</p><p><b>　　Abstract</b></p><p>　　The purpose of this design is to build a safe ,reliable and stable netw

4、ork which connects the enterprise internal network with the Internet,to provide on-line office environment for the enterprise information management and a shared resource. The main contents include network topology struc

5、ture design, device selection, switching module,the partition of IP address, VLAN distribution, exchange module, wan exchange module, etc. The key technologies used include: network three-layer structure desig</p>

6、<p>　　Key: The enterprise network ; VLAN ; Three layer structure; Switch configuration; Remote access</p><p><b>　　目 錄</b></p><p><b>　　第1章 緒論6</b></p><p

7、>　　第2章 需求分析7</p><p>　　2.1 網絡項目背景7</p><p>　　2.1.1 企業(yè)網背景7</p><p>　　2.1.2 企業(yè)部門信息點規(guī)劃7</p><p>　　2.2 網絡系統(tǒng)需求分析7</p><p>　　2.2.1 網絡帶寬需求7</p><p&

8、gt;　　2.2.2 網絡擴展需求8</p><p>　　2.2.3 網絡安全性需求8</p><p>　　第3章.系統(tǒng)設計需求9</p><p>　　第4章 設備選型10</p><p>　　4.1 核心層設備10</p><p>　　4.2 分布層設備10</p><p>　

9、　4.3 接入層設備11</p><p>　　4.4 路由器設備12</p><p>　　第5章 系統(tǒng)總體設計方案概述14</p><p>　　5.1 系統(tǒng)組成與拓撲結構14</p><p>　　5.2 VLAN虛擬局域網及IP地址劃分14</p><p>　　第6章 交換模塊16</p&

10、gt;<p>　　6.1 配置接入層交換機17</p><p>　　6.1.1 配置接入層交換機ACCESSSWITCH 1的基本參數17</p><p>　　6.1.2 配置接入層交換機AccessSwitch 1的管理IP19</p><p>　　6.1.3 配置接入層交換機AccessSwitch 1的VLAN及VTP19</

11、p><p>　　6.1.4 配置接入層交換機AccessSwitch 1端口基本參數19</p><p>　　6.1.5 配置接入層交換機ACCESSSWITCH 1的訪問端口20</p><p>　　6.1.6 配置接入層交換機AccessSwitch 1的主干道端口21</p><p>　　6.1.7 配置接入層其他交換機21

12、</p><p>　　6.2 配置分布層交換機21</p><p>　　6.2.1 配置分布層交換機DISTRIBUTESWITCH 1的基本參數22</p><p>　　6.2.2 配置分布層交換機DistributeSwitch 1的管理IP22</p><p>　　6.2.3 配置分布層交換機DistributeSwitc

13、h 1的VTP23</p><p>　　6.2.4 在分布層交換機DistributeSwitch 1上定義VLAN24</p><p>　　6.2.5 配置分布層交換機DISTRIBUTESWITCH 1的端口基本參數24</p><p>　　6.2.6 配置分布層交換機DISTRIBUTESWITCH 1的3層交換功能25</p>&

14、lt;p>　　6.2.7 配置分布層其他交換機25</p><p>　　6.3 配置核心層交換機26</p><p>　　6.3.1 配置核心層交換機CoreSwitch 1的基本參數26</p><p>　　6.3.2 配置核心層交換機CoreSwitch 1的管理IP27</p><p>　　6.3.3 配置核心層交

15、換機CORESWITCH 1的VLAN及VTP27</p><p>　　6.3.4 配置核心層交換機CoreSwitch 1的端口參數28</p><p>　　6.3.5 配置核心層交換機CoreSwitch 1的路由功能28</p><p>　　第7章 廣域網接入模塊30</p><p>　　7.1 配置接入路由器ROUTER

16、的基本參數30</p><p>　　7.2 配置接入路由器ROUTER的個接口參數30</p><p>　　7.3 配置接入路由器ROUTER的路由功能31</p><p>　　7.4 配置接入路由器INTERNETROUTER上的PAT31</p><p>　　第8章 遠程接入模塊簡介32</p><p&g

17、t;　　第9章 服務器模塊簡介33</p><p>　　第10章 網絡檢驗與測試35</p><p>　　10.1 主要的測試、診斷命令35</p><p>　　10.2 路由和路由協(xié)議測試、診斷命令35</p><p>　　10.3 VLAN、VTP測試診斷命令36</p><p>　　10.4 NAT測試

18、、診斷命令36</p><p><b>　　結論37</b></p><p><b>　　致謝38</b></p><p><b>　　參考文獻39</b></p><p><b>　　第1章 緒論</b></p><p>

19、　　信息化高速發(fā)展的今天，企業(yè)局域網的組建已經成為提升企業(yè)核心競爭力的關鍵因素。近年來企業(yè)都在建立自身的信息網絡，目前我國企業(yè)尤其是中小企業(yè)網絡建設正在如火如荼的開展著，但隨著網絡規(guī)模不斷擴大，沖突不斷產生，管理難度日益加大,如何合理的規(guī)劃與配置使更有效地提高網絡管理的靈活性，提高網絡效率和網絡安全性成為組建企業(yè)網的一個重要性問題。</p><p>　　該設計將主要使公司實現(xiàn)安全訪問廣域網、發(fā)布企業(yè)信息、宣傳交流

20、、與外界通信、外地員工可利用Internet因特網網遠程訪問公司資源等常用企業(yè)任務和需求，為用戶到用戶、用戶到應用提供速度合理、功能可靠的鏈接等功能，實現(xiàn)網絡化、信息化的先進辦公系統(tǒng)。</p><p><b>　　第2章 需求分析</b></p><p>　　2.1 網絡項目背景</p><p>　　2.1.1 企業(yè)網背景</p>

21、;<p>　　該公司為一家大中型企業(yè)，企業(yè)里有員工總數超過180人，企業(yè)建筑為樓層建筑，整個企業(yè)網有約共400個信息點，包括可擴展點。</p><p>　　而隨著企業(yè)員工的增多，企業(yè)規(guī)模的不斷擴大，辦公信息化以及自動化的需求，企業(yè)網的組建應日趨完善。為提高企業(yè)各部門間的辦公信息化，提高效率，提高部門間的信息交流，實現(xiàn)現(xiàn)代化的辦公環(huán)境，則需要建立一個安全完善和穩(wěn)定的企業(yè)網絡。</p>&

22、lt;p>　　該企業(yè)局域網要保證整個企業(yè)信息點的互聯(lián)、統(tǒng)一、高效、實用、安全，可支持上百個用戶同時并發(fā)使用。而且要求該企業(yè)局域網的可擴展性，能支持更多的用戶，可擴展的、高速的、基于標準的網絡，該網絡能夠支持融合了語音、視頻、圖像和數據的應用程序。</p><p>　　2.1.2 企業(yè)部門信息點規(guī)劃</p><p>　　公司的部門多，主要分為：銷售部、人事部、財務部、行政部、市場部、

23、業(yè)務部、技術部、企劃部、后勤部。信息點分布情況如下：</p><p>　　銷售部：35臺 人事部：40臺 財務部：25臺 行政部：30臺</p><p>　　市場部：45臺 業(yè)務部：40臺 技術部：30臺 企劃部：45臺</p><p><b>　　后勤部：45臺</b></p><p>　　2.2

24、網絡系統(tǒng)需求分析</p><p>　　2.2.1 網絡帶寬需求</p><p>　　企業(yè)對公司的網絡帶寬要求較高，以保證視頻、語音、圖像等信息的傳輸順暢，信息傳輸無阻塞。所以，以1000MB/S光纖作為主干線和垂直布線，以100MB/S超5類雙絞線作為水平布線，以此來構建該企業(yè)網絡。</p><p>　　2.2.2 網絡擴展需求</p><

25、p>　　一個完善的網絡設計方案，應充分考慮到網絡的可擴展性。因為隨著企業(yè)的發(fā)展，規(guī)模的增大，網絡上的用戶將不斷增加，從而保證網絡的可擴展性則至關重要，在布線和設置信息點端口等時，應充分考慮到企業(yè)網的可擴展性，從而在未來幾天內網絡將可隨時擴展。</p><p>　　2.2.3 網絡安全性需求</p><p>　　網絡的安全性對于任何網絡來說都是非常重要的，它包括網絡的防攻擊（服務攻擊

26、和非服務攻擊），網絡安全漏洞的彌補，網絡信息傳輸的安全（防止信息被黑客截獲、竊取、破譯，篡改和偽造），防止抵賴問題（防止信息源用戶對他發(fā)送的信息事后不承認，或者用戶接收到信息后不認賬），網絡內部安全防范（指如何防止局域網內部具有合法身份的用戶有意無意地做出對網絡與信息安全有害的行為），網絡防病毒，抵賴無用信息（俗稱垃圾）郵件與灰色軟件。[2][3]</p><p>　　第3章 系統(tǒng)設計需求</p>

27、<p><b>　　基本設計需求：</b></p><p>　　1、信息點共400個，分銷售部、人事部、財務部、行政部、市場部、業(yè)務部、技術部、企劃部、后勤部。</p><p>　　2、企業(yè)網上應有足夠的辦公管理和辦公應用資源運行。</p><p>　　3、需要有自己的Web服務器、DNS服務器、FTP服務器、郵件服務器、打印服務、數

28、據庫服務器、實時通信服務器、網管服務器，并且服務器都有自己的固定IP地址。</p><p>　　4、畫出網絡拓撲圖。</p><p>　　5、劃分不同的VLAN及IP地址的劃分。</p><p><b>　　第4章 設備選型</b></p><p>　　4.1 核心層設備</p><p>　

29、　整個網絡需要400個左右的信息點，核心層配置一臺CISCO 6506交換機，Cisco 6506具有以下特性：</p><p>　　WS-X6224-100FX-MT=Catalyst 6000，24端口100Bfx(多模式，MT-RJ)；</p><p>　　WS-X6248-TEL=Catalyst 6000，48端口Telco模塊；</p><p>　　M

30、EM-C6K-FLC16M=Catalyst 6000 Supervisor PCMCIA 16MB閃存卡；</p><p>　　MEM-C6K-FLC24M=Catalyst 6000 Sup PCMCIA 閃存卡，24MN備用；</p><p>　　是否支持VLAN：是</p><p>　　是否支持QOS/COS：是</p><p>

31、　　網管功能：CiscoWorks 2000、RMON、Enhanced Switched Port Ananlyzer (ESPAN)、SNMP、Telnet、BOOTP和小型文件傳輸協(xié)議（TFTP）</p><p>　　軟件功能：WS-C6X09-EMS-LIC= Catalyst 6X09 RMON代理許可；</p><p>　　WS-C6X06-EMS-LIC= Catalyst

32、6X06 RMON 代理許可；</p><p>　　FRC-MSM-IPX= Catalyst 6000 IPX特性集許可；</p><p>　　CON-SNT-PKG16: Catalyst 6000 SMARTnet 維護</p><p><b>　　其他參數</b></p><p>　　電源：WS-X6K-SUP1

33、-2GE+交流電源[5]</p><p>　　4.2 分布層設備</p><p>　　在分布層配置三臺CISCO 6509交換機，為企業(yè)提供高速交換，其基本參數如下：</p><p><b>　　基本參數</b></p><p>　　網絡類型：以太網、快速以太網、ISDN、FDDI、ATM、Token Ring、Gi

34、gabit以太網</p><p>　　網絡協(xié)議：802.3z，802.3u，ATM</p><p><b>　　端口總數：24</b></p><p><b>　　閃存：16MB</b></p><p><b>　　功能參數</b></p><p>&l

35、t;b>　　引擎交換：3，2</b></p><p>　　速率：VLAN最大數：1000；底版：可擴充至256GBPS；多層性能：可擴充至150MBPS；</p><p><b>　　模塊化插槽數 9</b></p><p><b>　　可用模塊：</b></p><p>　　WS

36、-X6408-GBIC=Catalyst 6000，8端口千兆以太網模塊（需要GBIC）；</p><p>　　WS-X6302-MSM=Catalyst 6000，多層交換機模塊；</p><p>　　WS-X6248-RJ-45= Catalyst 6000，48端口100bTX(RJ-45)模塊；</p><p>　　WS-X6224-100FX-MT=

37、Catalyst 6000，24端口100bFX（多模式，MT-RJ）</p><p>　　WS-X6248-TEL= Catalyst 6000，48端口Telco模塊；</p><p>　　MEM-C6K-FLC16M=Catalyst 6000 Supervisor PCMCIA 16MB閃存卡；</p><p>　　MEM-C6K-FLC24M=Catal

38、yst 6000 Sup PCMCIA 閃存卡，24MN備用；</p><p>　　是否支持VLAN：是</p><p>　　是否支持QOS/COS：是</p><p>　　網管功能：CiscoWorks 2000、、RMON、Enhanced Switched Port Ananlyzer (ESPAN)、SNMP、Telnet、BOOTP和小型文件傳輸協(xié)議（T

39、FTP）</p><p>　　軟件功能：WS-C6X09-EMS-LIC= Catalyst 6X09 RMON代理許可；</p><p>　　WS-C6X06-EMS-LIC= Catalyst 6X06 RMON 代理許可；</p><p>　　FRC-MSM-IPX= Catalyst 6000 IPX特性集許可；</p><p>　　

40、CON-SNT-PKG16: Catalyst 6000 SMARTnet 維護</p><p><b>　　其他參數</b></p><p>　　電源：WS-X6K-SUP1-2GE+交流電源</p><p>　　4.3 接入層設備</p><p>　　在分布層的每臺交換機上連接3臺48端口的交換機，即在接入層配置

41、9臺48端口的交換機，以滿足400信息點的需求。在此采用CISCO WS-C295OG-48-EI交換機，其具體參數如下：</p><p><b>　　基本參數</b></p><p>　　網絡類型：快速以太網</p><p>　　網絡協(xié)議：IEEE 802.1X，10BASE T、100BASETX、1000BASET端口上的IEEE802.

42、3XQ全雙工操作，IEEE802.ID生成樹協(xié)議，IEEE802.lp COS，IEEE 802.IQ VLAN、IEEE802.3AB 1000BASETX規(guī)劃，IEEE 802.3U 100BASETX 規(guī)范，IEEE802.3 10BASE TX規(guī)范</p><p><b>　　端口總數：48</b></p><p><b>　　閃存：8MB</

43、b></p><p><b>　　功能參數</b></p><p>　　最大地址數：8000</p><p>　　背板帶寬：8.8GBPS</p><p>　　速率：10/100BASE-T，GBIC</p><p><b>　　DRAM：16MB</b></p&

44、gt;<p><b>　　可用模塊：無</b></p><p>　　是否支持VLAN：是</p><p>　　是否支持QOS/COS：是</p><p>　　網管功能：SNMP管理信息庫（MIB）II，SNMP MIB擴展，橋接MIB（RFC 1493）</p><p><b>　　其他參數<

45、;/b></p><p>　　電源：使用內置電源或CISCO RPS300電源</p><p>　　4.4 路由器設備</p><p>　　企業(yè)網的路由器選用的是CISCO 2821，其具體參數如下：</p><p>　　路由器類型：模塊化路由器</p><p>　　最大FLASH內存：256MB</p&

46、gt;<p>　　最大DRAM內存：1024MB</p><p>　　網絡認證標準：IEEE 802.3X</p><p><b>　　網絡端口</b></p><p>　　局域網接口：2個10/100/1000MBPS 端口</p><p>　　其他控制端口：CONSLE</p><

47、p><b>　　擴展插槽：11個</b></p><p><b>　　網絡功能</b></p><p><b>　　QOS 功能</b></p><p>　　路由器包轉發(fā)率：0.04MBPS</p><p>　　路由器網管功能：CISCO CLIKSTART ，SNMP&

48、lt;/p><p>　　VPN功能：支持VPN</p><p><b>　　防火墻功能：內置</b></p><p><b>　　其他功能</b></p><p><b>　　集成語音留言</b></p><p><b>　　范圍廣泛的語音接口&l

49、t;/b></p><p>　　安全標準：UL 60950；CAN/CSA C22.2NO. 60950，IEC 60950，EN 60950-1，AS/NZS 60950</p><p><b>　　其他參數</b></p><p>　　電源電壓：100-24-VAC</p><p><b>　　功耗：

50、240W</b></p><p>　　第5章 系統(tǒng)總體設計方案概述</p><p>　　5.1 系統(tǒng)組成與拓撲結構</p><p>　　一般來說，在一個局域網中，讓全網的所有設備都使用同一個廠家的設備，可以實現(xiàn)各種不同網絡設備功能的互相配合和補充。因此，在本設計方案中，我們將完全采用同一家廠商的網絡產品，即CISCO公司的網絡設備來構建，以達到實現(xiàn)

51、網絡設備統(tǒng)一的目的，也便于設備間的兼容。</p><p>　　本企業(yè)網設計方案主要由以下幾個部分構成：交換模塊、廣域網接入模塊、服務器群，整個網絡系統(tǒng)的拓撲結構圖如下圖所示。[5][6]</p><p>　　圖5.1 拓撲結構圖</p><p>　　5.2 VLAN虛擬局域網及IP地址劃分</p><p>　　在局域網中劃分VLAN的作用

52、</p><p>　　限制廣播域。廣播域被限制在一個VLAN內，節(jié)省了帶寬，提高了網絡處理能力。</p><p>　　增強局域網的安全性。不同VLAN內的報文在傳輸時是相互隔離的，即一個VLAN內的用戶不能和其他VLAN內的用戶直接通信，如果不同VLAN要進行通信，則需要通過路由器或三層交換機等三層設備。</p><p>　　靈活構建虛擬工作組，用VLAN可以劃分不

53、同的用戶到不同的工作組，同一工作組的用戶也不必局限于某一固定的物理范圍，網絡構建和維護更方便靈活。[1]</p><p>　　在企業(yè)網中實行VLAN的劃分，能有助于各個部分的分工，方便管理，同時便于各種針對不同部門的策略的應用：</p><p>　　該公司共有9個部門，分別為：財務部，行政部，銷售部，人事部，市場部，技術部，業(yè)務部，企劃部，后勤部。另外，服務器群也劃分一個VLAN。因此根據

54、實際情況，對企業(yè)的局域網進行VLAN劃分，具體如下：</p><p>　　表5.1 VLAN 地址劃分</p><p><b>　　第6章 交換模塊</b></p><p>　　本企業(yè)網的設計方案是一個分層的設計方案，采用三層設計模型，因而在本企業(yè)網的內部，數據部交換模塊的部署的配置上是分層進行的，這樣設計可以簡化本企業(yè)網中交換網絡設計、提高

55、網絡交換的可擴展性。企業(yè)網的數據交換設備我們將它劃分為三層，分別是：接入層、分布層、核心層。</p><p>　　在現(xiàn)在交換網絡中，我們還引入了虛擬局域網（VIRTUAL LAN，VLAN）的概念。VLAN技術的出現(xiàn)，主要為了解決交換機在進行局域網互聯(lián)時無法限制廣播的問題。這種技術可以把一個LAN劃分成多個邏輯的LAN——VLAN，每個VLAN是一個廣播域，VLAN內的主機間通信就和在一個LAN內一樣，而VLAN

56、間則不能直接互通，這樣廣播報文被限制在一個VLAN內。</p><p><b>　　VLAN的優(yōu)點：</b></p><p>　　1、限制廣播域，廣播域被限制在一個VLAN內，節(jié)省了帶寬，提高了網絡處理能力。</p><p>　　2、增強局域網的安全性。不同VLAN內的報文在傳輸時時相互隔離的，即一個VLAN內的用戶不能和其他的用戶直接通信，如

57、果不同VLAN要進行通信，則需要通過路由器或三層交換機等三層設備。</p><p>　　3、靈活構建虛擬工作組，用VLAN可以劃分不同的用戶到不同的工作組，同一工作組的用戶也不必局限于某一個固定的物理范圍，網絡的搭建和維護更方便靈活。</p><p>　　VLAN將廣播域限制在單個VLAN內部，減小了各VLAN間主機的廣播通信對其他VLAN的影響。在VLAN間需要通信的時候，可以利用VLA

58、N間路由技術來實現(xiàn)。</p><p>　　當我們的局域網中需要管理的交換機數量非常多時，我們可以使用VLAN中繼協(xié)議（Vlan Trunking Protocol,VTP）簡化管理，它是一個OSI參考模型第二層的通信協(xié)議，主要用于管理在同一個域的網絡范圍內VLAN的建立、刪除和重命名。在一臺VTP Server（VTP服務器）上配置一個新的VLAN時，該VLAN的配置信息將自動傳播到本域的其它所有交換機，這些交換

59、機會自動地接受到這些配置信息，使其VLAN的配置與VTP Server保持一致，從而減少在多臺設備上配置同一個VLAN信息的工作量，而且保持了VLAN配置的統(tǒng)一性。</p><p>　　VTP通過網絡（ISL幀或Cisco私有DTP幀）保持VLAN配置統(tǒng)一性。VTP在系統(tǒng)管理增加，刪除，調整的VLAN，自動地將信息向網絡中其它的交換機廣播，此外，VTP減少了那些可能導致安全問題的配置，便于管理，只要在VTP Se

60、rver做相應配置，VTPClient（VTP客戶機）自動學習VTP Server上的VLAN信息。</p><p>　　因此，在本設計中，我們只需在單獨一臺交換機上定義所有VLAN。然后通過VTP協(xié)議將VLAN定義傳播到本管理域中的所有交換機上。這樣，大大減輕了網絡管理人員的工作負擔和工作強度。</p><p>　　當局域網絡的交換機數量增多時，交換網絡的復雜性可能會造成交換環(huán)路問題，這

61、時候我們需要通過在各交換機上運行生成樹協(xié)議（Spanning Tree Protocol，STP）來解決。</p><p>　　STP的基本原理是，通過在交換機之間傳遞一種特殊的協(xié)議報文（在IEE 802.ID中這種協(xié)議報文被稱為“配置消息”）來確定網絡的拓撲結構。配置消息中包含了足夠的信息來保證交換機完成生成樹計算。[5]</p><p>　　6.1 配置接入層交換機</p>

62、;<p>　　接入層的功能為企業(yè)局域網中的所有的終端用戶提供一個接入點。本設計中的接入層交換機采用的是CISCO WS-C2950G-48-EI交換機。該交換機擁有48個自適應快速以太網端口，運行的是Cisco的IOS操作系統(tǒng)。這里，我們以其中一個接入層交換機AccessSwitch1為例進行介紹它的配置。</p><p>　　圖6.1 接入層交換機AccessSwitch1</p>

63、<p>　　6.1.1 配置接入層交換機ACCESSSWITCH 1的基本參數</p><p><b>　　1、設置交換機名稱</b></p><p>　　設置交換機名稱，也就是出現(xiàn)在交換機CLI提示符中的名字。一般以地理位置或行政劃分來為交換機命名。當需要Telnet登錄到若干臺交換機以維護一個大型網絡時通過交換機名稱提示符提示當前配置交換機的位置是很有必

64、要的。設置了交換機的名稱，可以方便網絡管理員管理，方便管理員很快識別所管理的交換機是哪臺交換機，該交換機的功能等等。</p><p>　　為接入層交換機AccessSwitch1命名：</p><p>　　Switch（config）#hostname AccessSwitch 1</p><p>　　AccessSwitch 1（config）#</p>

65、;<p>　　2、設置交換機的加密使能口令</p><p>　　當用戶在普通用戶模式而想要進入特權用戶模式時，需要提供此口令。此口令以MD5的形式加密，因此，當用戶查看配置文件時，無法看到明文形式的口令。從而也加強了網絡的安全性。</p><p>　　將交換機的加密使能口令設置為password：</p><p>　　AccessSwitch 1（co

66、nfig）#enable secret password</p><p>　　3、設置登錄虛擬終端線時的口令</p><p>　　對于一個已經運行著的交換網絡來說，交換機的帶內遠程管理為網絡管理人員提供了很多的方便。但是，在能夠遠程管理交換機之前網絡管理人員必須設置遠程登錄交換機的口令，這樣是為了實現(xiàn)安全。</p><p>　　設置登錄交換機時需要驗證用戶身份，同時

67、設置口令為guess：</p><p>　　AccessSwitch 1（config）#line vty 0 15</p><p>　　AccessSwitch 1（config-line）#login</p><p>　　AccessSwitch 1（config-line）#password guess</p><p>　　4、設置終端

68、線超時時間</p><p>　　我們可以設置終端線超時時間。在設置的時間內，如果沒有檢測到鍵盤輸入，IOS將斷開用戶和交換機之間的連接，這樣也是為了保證網絡系統(tǒng)的安全。</p><p>　　設置登錄交換機的控制臺終端線路及虛擬終端線的超時時間為5分10秒：</p><p>　　AccessSwitch 1（config）#line vty 0 15</p>

69、;<p>　　AccessSwitch 1（config-line）#exec-timeout 5 10</p><p>　　AccessSwitch 1（config-line）#line con 0</p><p>　　AccessSwitch 1（config-line）#exec-timeout 5 10</p><p>　　5、設置禁用IP地

70、址解析特征</p><p>　　在交換機默認配置的情況下，當輸入一條錯誤的交換機命令時，交換機會嘗試將其廣播給網絡上的DNS服務器并將其解析成對應的IP地址。利用命令no domain-lookup?？梢越眠@個特性。</p><p>　　設置禁用IP地址解析特性：</p><p>　　AccessSwitch 1（config）#no ip domain-look

71、up</p><p>　　6.1.2 配置接入層交換機AccessSwitch 1的管理IP</p><p>　　接入層交換機是OSI參考模型的第二層設備，即數據鏈路層的設備。因此，給接入層交換機的每個端口設置IP地址是沒有意義的。但是，為了使網絡管理人員可以從遠程登錄到訪問層交換上進行管理，必須給訪問層交換機設置一個管理用IP地址。這種情況下，實際上是將交換機看成和PC機以這樣的主

72、機。</p><p>　　給交換機設置管理用IP地址只能在VLAN 1，即本征VLAN中進行。管理VLAN所在的子網是：172.16.0.0/24，這里將訪問層交換機AccessSwitch 1的管理地址設為：172.16.0.4/24。[7]</p><p>　　為訪問層交換機AccessSwitch 1設置管理IP并激活本征VLAN：</p><p>　　Acc

73、essSwitch 1（config）#interface vlan 1</p><p>　　AccessSwitch 1（config-ip）#ip address 172.16.0.4 255.255.255.0</p><p>　　AccessSwitch 1（config-ip）#no shutdown</p><p>　　6.1.3 配置接入層交換機Ac

74、cessSwitch 1的VLAN及VTP</p><p>　　在本企業(yè)網設計方案中，我們使用了VTP技術，從而大大提高了網絡工作效率。在本設計中，我們將分布層交換機DistributeSwitch 1設置為本網絡中的VTP服務器，而其他的交換機則設置成為VTP客戶機。</p><p>　　根據VTP的原理，接入層交換機AccessSwitch 1將通過VTP獲得在分布層交換機Distr

75、ibuteSwitch 1中定義的所有的VLAN的信息。</p><p>　　設置接入層交換機AccessSwitch 1成為VTP客戶機。</p><p>　　AccessSwitch 1（config）#vtp mode client</p><p>　　6.1.4 配置接入層交換機AccessSwitch 1端口基本參數</p><p&

76、gt;<b>　　1、端口雙工配置</b></p><p>　　可以設定某端口根據對端設備雙工類型調整本端口雙工模式，也可以強制將端口雙工模式設置為半雙工或全雙工模式。在了解對端設備類型的情況下，我們采用手動設置端口雙工模式。</p><p>　　設置訪問層交換機AccessSwitch 1的所有端口均工作在全雙工模式：</p><p>　　A

77、ccessSwitch 1（config）#interface range fasethernet 0/1-48</p><p>　　AccessSwitch 1（config-if-range）#duplex full</p><p><b>　　2、端口速度</b></p><p>　　可以設定某端口根據對端設備速度自動調整本端口速度，也可

78、以強制將端口速度設為10Mpbs或100Mbps。在了解對端設備速度的情況下，我們采用手動設置端口速度。</p><p>　　設置訪問層交換機AccessSwitch 1的所有端口的速度均為100Mbps。</p><p>　　AccessSwitch 1（config）#interface range fasethernet 0/1-48</p><p>　　Ac

79、cessSwitch 1（config-if-range）#speed 100</p><p>　　6.1.5 配置接入層交換機ACCESSSWITCH 1的訪問端口</p><p>　　接入層交換機AccessSwitch 1為終端用戶提供接入服務。在本設計中，接入層交換機AccessSwitch 1為VLAN 10（即財務部，所需信息點為25個，因此需劃分給它25個端口）提供接入服務

80、。</p><p>　　1、設置訪問層交換機AccessSwitch 1的端口1-25</p><p>　　設置接入層交換機AccessSwitch 1的端口1-端口25工作在訪問（接入）模式。同時，設置端口1-端口25為VLAN 10的成員：</p><p>　　AccessSwitch 1（config）#interface range fasethernet

81、0/1-25</p><p>　　AccessSwitch 1（config-if-range）#switchport mode access</p><p>　　AccessSwitch 1（config-if-range）#switchport access vlan 10</p><p><b>　　2、設置快速端口</b></p&

82、gt;<p>　　在默認情況下，交換機在剛加點啟動時，每個端口都要經歷生成樹的四個階段：阻塞、偵聽、學習、轉發(fā)。在能夠轉發(fā)用戶的數據包之前，某個端口可能最多要等50秒鐘的時間（20秒的阻塞時間+15秒的偵聽延遲時間+15秒的學習延遲時間）。</p><p>　　對于直接接入終端工作站的端口來說，用于阻塞和偵聽的時間是不必要的。為了加速交換機端口轉化時間，可以將某端口設置成為快速端口（Portfast

83、）。設置為快速端口當交換機啟動或端口有工作站接入時，將會直接進入轉發(fā)狀態(tài)，而不會經歷阻塞、偵聽、學習狀態(tài)（假設橋接表已經建立）。</p><p>　　設置接入層交換機AccessSwitch 1的端口1-端口25為快速端口：</p><p>　　AccessSwitch 1（config）#interface range fasethernet 0/1-25</p><

84、p>　　AccessSwitch 1（config-if-range）#spanning-tree portfast </p><p>　　6.1.6 配置接入層交換機AccessSwitch 1的主干道端口</p><p>　　如圖6.1所示，接入層交換機AccessSwitch 1通過端口Fasethernet 0/1-48上連到分布層交換機DistributeSwitch

85、 1的端口Fasethernet 0/1-24。</p><p>　　這條上連鏈路將成為主干道鏈路，在這條上連鏈路上將運輸VLAN的數據。</p><p>　　設置接入層交換機AccessSwitch 1的端口口Fasethernet 0/1-48為主干道端口：</p><p>　　AccessSwitch 1（config）#interface range fas

86、ethernet 0/1-48</p><p>　　AccessSwitch 1（config-if-range）#switchport mode trunk</p><p>　　6.1.7 配置接入層其他交換機</p><p>　　接入層其他交換機其他VLAN（VLAN20，VLAN30，VLAN40等）的用戶提供接入服務。同時，分別通過自己的Fasether

87、net 0/1-48上連到分布層交換機。</p><p>　　對接入層其他交換機的配置步驟、命令和對接入層交換機AccessSwitch 1的配置類似。這里，不再詳細分析。</p><p>　　6.2 配置分布層交換機</p><p>　　分布層除了負責將接入層交換機進行匯集外，還為整個交換網絡提供VLAN間的路由選擇功能。這里的分布層交換機采用的是CISCO 6

88、509交換機。CISCO 6509交換機擁有24個10/100Mbps自適應快速以太網端口，同時還有2個1000Mbps的GBIC端口供上連使用，運行的是Cisco的Integrated IOS操作系統(tǒng)。我們以分布層交換機DistributeSwitch 1為例進行介紹分布層交換機的配置。</p><p>　　圖6.2 分布層交換機DistributeSwitch 1</p><p>　　

89、6.2.1 配置分布層交換機DISTRIBUTESWITCH 1的基本參數</p><p>　　對分布層交換機DistributeSwitch 1的基本參數的配置步驟與對接入層交換機AccessSwitch 1的基本參數的配置類似。因此在這里只給出實際的配置步驟。</p><p>　　Switch#configure terminal </p><p>　　Swi

90、tch(config)#hostname DistributeSwitch1</p><p>　　DistributeSwitch1 (config)#enable secret guess</p><p>　　DistributeSwitch1 (config)#line con 0</p><p>　　DistributeSwitch1 (config-line

91、)#exec-timeout 5 10</p><p>　　DistributeSwitch1 (config-line)#line vtp 0 15</p><p>　　DistributeSwitch1 (config-line)#password aaa</p><p>　　DistributeSwitch1 (config-line)#login</p

92、><p>　　DistributeSwitch1 (config-line)# exec-timeout 5 10</p><p>　　DistributeSwitch1 (config-line)#exit</p><p>　　DistributeSwitch1 (config-line)#no ip domain-lookup</p><p&g

93、t;　　6.2.2 配置分布層交換機DistributeSwitch 1的管理IP</p><p>　　為分布層交換機DistributeSwitch 1設置管理IP并激活本征VLAN：</p><p>　　DistributeSwitch1 (config)#interface vlan 1</p><p>　　DistributeSwitch1 (confi

94、g-if)#ip address 172.16.0.3 255.255.255.0</p><p>　　DistributeSwitch1 (config-if)#no shutdown</p><p>　　DistributeSwitch1 (config-if)#exit</p><p>　　6.2.3 配置分布層交換機DistributeSwitch 1的

95、VTP</p><p>　　當網絡中交換機數量很多時，需要分別在每臺交換機上創(chuàng)建很多重復的VLAN。這樣工作量很大、過程很繁瑣，并且容易出錯。因此，我們常采用VLAN中繼協(xié)議（VLAN Trunking Protocol，VTP）來解決這個問題。</p><p>　　VTP允許我們在一臺交換機上創(chuàng)建所有的VLAN。然后，利用交換機之間的互相學習功能，將創(chuàng)建好的VLAN定義傳播到整個網絡中

96、需要此VLAN定義的所有交換機上。同時，有關VLAN的刪除、參數更改操作均可傳播到其他交換機。從而大大的減輕了網絡管理人員配置交換機的負擔。</p><p>　　在本企業(yè)網實現(xiàn)方案中我們使用了VTP技術。同時，將分布層交換機DistributeSwitch 1設置成為VTP服務器，其他交換機則設置成為VTP客戶機。</p><p><b>　　配置VTP的管理域</b>

97、;</p><p>　　共享相同VLAN定義數據庫的交換機構成一個VTP管理域。每個VTP管理域都有一個共同的VTP管理域域名。不同VTP管理域的交換機之間不交換VTP通告信息。</p><p>　　將VTP管理域的域名定義為“manage”</p><p>　　DistributeSwitch 1（config）#vtp domain manage</p&g

98、t;<p><b>　　設置VTP服務器</b></p><p>　　工作在VTP服務器模式下的交換機可創(chuàng)建、刪除VLAN、修改VLAN參數。同時，還有責任發(fā)送和轉發(fā)VLAN更新消息。</p><p>　　設置分布層交換機DistributeSwitch 1成為VTP服務器：</p><p>　　分布層交換機DistributeS

99、witch 1（config）#vtp mode server</p><p><b>　　激活VTP剪裁功能</b></p><p>　　默認情況下主干道傳輸所有VLAN的用戶數據。有時，交換網絡中某臺交換機的所有端口都屬于同一VLAN的成員，沒有必要接收其他VLAN的用戶數據。這時，可以激活主干道上的VTP剪裁功能。當激活了VTP剪裁功能以后，交換機將自動剪裁本交

100、換機沒有定義的VLAN數據。</p><p>　　在一個VTP域下，只需要在VTP服務器上激活VTP剪裁功能，同一VTP域下的所有其他交換機也將自動激活VTP剪裁功能。[6]</p><p>　　設置激活VTP剪裁功能：</p><p>　　DistributeSwitch 1（config）#vtp pruning</p><p>　　6.

101、2.4 在分布層交換機DistributeSwitch 1上定義VLAN</p><p>　　在本企業(yè)網實現(xiàn)方案中，除了默認的本征VLAN外，又定義了10個VLAN（前面已經說明）。</p><p>　　由于使用了VTP技術，所以所有VLAN的定義只需在VTP服務器，即在分布層交換機DistributeSwitch 1上進行。</p><p>　　定義10個VL

102、AN，同時為每個VLAN命名：</p><p>　　DistributeSwitch 1（config）#vlan 10</p><p>　　DistributeSwitch 1（config-vlan）#name CWB</p><p>　　DistributeSwitch 1（config）#vlan20</p><p>　　Distri

103、buteSwitch 1（config-vlan）#name XZB</p><p>　　DistributeSwitch 1（config）#vlan30</p><p>　　DistributeSwitch 1（config-vlan）#name XSB</p><p>　　DistributeSwitch 1（config）#vlan40</p>

104、<p>　　DistributeSwitch 1（config-vlan）#nameRSB</p><p>　　DistributeSwitch 1（config）#vlan50</p><p>　　DistributeSwitch 1（config-vlan）#name SCB</p><p>　　DistributeSwitch 1（config）#

105、vlan60</p><p>　　DistributeSwitch 1（config-vlan）#name JSB</p><p>　　DistributeSwitch 1（config）#vlan70</p><p>　　DistributeSwitch 1（config-vlan）#name YWB</p><p>　　Distribut

106、eSwitch 1（config）#vlan80</p><p>　　DistributeSwitch 1（config-vlan）#name QHB</p><p>　　DistributeSwitch 1（config）#vlan90</p><p>　　DistributeSwitch 1（config-vlan）#name HQB</p>&l

107、t;p>　　DistributeSwitch 1（config）#vlan100</p><p>　　DistributeSwitch 1（config-vlan）#name FWQ</p><p>　　6.2.5 配置分布層交換機DISTRIBUTESWITCH 1的端口基本參數</p><p>　　分布層交換機DistributeSwitch 1的端口F

108、astEthernet 0/1- FastEthernet 0/10為服務器群提供接入服務，而端口FastEthernet 0/22、FastEthernet 0/23、FastEthernet 0/24分別下連到接入層三臺交換機的端口FastEthernet 0/48。</p><p>　　而且分布層交換機DistributeSwitch 1還通過自己的千兆端口GigabitEthernet 0/1上連到核心交

109、換機CoreSwitch1的GigabitEthernet 3/1。</p><p>　　對所有訪問端口。主干道端口的配置步驟和命令：</p><p>　　DistributeSwitch 1（config）#interface range fastethernet 0/24</p><p>　　DistributeSwitch 1（config-if-range）

110、#duplex full</p><p>　　DistributeSwitch 1（config-if-range）#speed 100</p><p>　　DistributeSwitch 1（config-if-range）# interface range fastethernet 0/1-10</p><p>　　DistributeSwitch 1（con

111、fig-if-range）#switchport mode access</p><p>　　DistributeSwitch 1（config-if-range）# switchport access vlan100</p><p>　　DistributeSwitch 1（config-if-range）# interface range fastethernet0/22-24<

112、/p><p>　　DistributeSwitch 1（config-if-range）# switchport mode trunk</p><p>　　DistributeSwitch 1（config-if-range）# interface range gigabitEthernet0/1-2</p><p>　　DistributeSwitch 1（confi

113、g-if-range）# switchport mode trunk</p><p>　　6.2.6 配置分布層交換機DISTRIBUTESWITCH 1的3層交換功能</p><p>　　分布層交換機DistributeSwitch 1需要為網絡中的各個VLAN提供路由功能。這需要首先啟用分布層交換機的路由功能。</p><p>　　啟用分布層交換機的路由功能：

114、</p><p>　　DistributeSwitch1(config)#ip routing</p><p>　　另外，還要定義通往Internet的路由。這里使用了一條缺省路由命令，其中，下一跳地址是Internet接入路由器的快速以太網接口FastEthernet0/0的IP地址。</p><p>　　6.2.7 配置分布層其他交換機</p>

115、<p>　　對分布層其他交換機的配置步驟、命令和對分布層交換機DistributeSwitch1的配置類似。這里，不再詳細分析。 </p><p>　　6.3 配置核心層交換機</p><p>　　核心層交換機將各分布層交換機互聯(lián)起來進行穿越局域網骨干的高速數據交換。</p><p>　　本設計中的核心層交換機采用的是Cisco 6506交換機，運行