小型企业局域网的设计毕业设计.docx

摘要本设计方案是关于小型企业局域网的设计，设计方案分为两个模块：交换模块和路由器模块。根据各部门职能不同把交换模块划分为不同的两个VLAN，从而减少了广播冲突提高了传输效率，通过部署ACL限制用户的访问，有效地保护敏感数据，提高了网络安全性。借助交换机的路由功能，可以实现各VLAN间数据包高速转发，解决VLAN之间的传输瓶颈。Internet接入功能主要通过路由器来实现，它的作用主要是建立外网和企业网的正常通信。使企业网的用户访问Internet同时Internet用户能在一定程度上访问企业网。通过配置NAT(Net Address Translation)，不仅是企业网用户可以访问Internet，而且对外隐藏企业网内部地址，从而实现地址保护。交换机的主要功能包括物理编址、网络拓扑结构、错误校验、帧序列以及流控。目前交换机还具备了一些新的功能，如对VLAN（虚拟局域网）的支持、对链路汇聚的支持，甚至有的还具有防火墙的功能，极大地提高了办公效率，同时免去了高昂的专线租用费用。关键字：企业局域网、VLAN划分、网络地址转换、访问控制51AbstractThis design is the design of the small enterprise local area network (LAN), the design scheme is divided into two modules: exchange and router module. According to different functions of departments to exchange module is divided into two different VLAN, to improve the transmission efficiency, thereby reducing the broadcast conflict by deploying ACL restrict user access, effectively protecting sensitive data, improve the network security. Using switch routing function, can realize high speed packet forwarding among different VLAN, solve the transmission bottleneck between vlans. Mainly through the router to Internet access function, its role is mainly to establish the network and enterprise network normal communication. Make the enterprise network users access to the Internet at the same time, Internet users can access to enterprise network to some extent. Configured NAT (.net Address Translation), not only is the enterprise network users can access the Internet, internal and external hidden Intranet Address, thus Address protection is achieved. The main function of switches, including physical addressing, network topology, error checking, frames, and flow control. Current switch also has some new features, such as support for VLAN (virtual local area network (LAN), support for link together, or even some still have the function of the firewall, greatly improve the office efficiency, was relieved from the high line rental fee at the same time. Keywords : Enterprise LAN, VLAN, NAT,ACL目录摘要IABSTRACTII目录IV前言1第一章 技术可行性和需求分析31.1 技术可行性31.1.1 NAT技术31.1.2 VLAN技术51.1.3 DHCP技术51.1.4 ACL技术61.1.5 PPP协议71.1.6 VTP技术71.1.7 STP技术81.1.8 动态/静态路由协议91.2 需求分析101.2.1 带宽性能需求101.2.2 网络安全需求101.2.3 应用服务需求101.3 设计所需环境111.3.1 硬件要求11第二章 系统设计方案122.1 系统设计原则122.1.1 实用性122.1.2 安全性122.1.3 可扩充性122.1.4 可管理性132.1.5 高性能价格比132.2 网络设备选型132.3 系统总体设计和拓扑结构142.3.1 系统总体设计方案152.3.2 各设备的IP地址配置16第三章 路由器模块183.1 路由器配置183.1.1 IP地址配置183.1.2 Web服务器的配置223.2 配置设备的远程登录和密码保护及DHCP243.2.1 配置设备的远程登录和密码保护243.2.2 DHCP的配置243.3 路由协议263.3.1 OSPF协议263.3.2 PPP协议273.3.3 PPP协议验证283.4 配置NAT29第四章 交换机模块314.1 交换机基本参数配置314.1.1 SW1的配置314.1.2 SW2的配置324.2 配置VTP协议334.2.1 SW1的配置334.2.2 SW2的配置344.2.3 验证VTP配置354.3 VLAN划分354.3.1 交换机VLAN配置354.3.2 配置VLAN间路由374.3.3 配置STP协议394.4 配置ACL42第五章 配置验证445.1 DHCP自动分配验证445.2 路由协议配置检验445.3 NAT的验证45总结48参考文献49致谢50前言信息化浪潮风起云涌的今天，企业的业务已经全面电子化，与Internet的联系相当紧密，所以他们需要良好的信息平台去支撑业务的高速发展。没有信息技术背景的企业也将会对网络建设有主动诉求。任何决策的科学性和可靠性都是以信息为基础的，信息和决策是同一管理过程中的两个方面，因此行业信息化也就成了人们所讨论并实践着的重要课题。公司内部网络的建设已经成为提升企业核心竞争力的关键因素。公司网已经越来越多地被人们提到，利用网络技术，现代企业可以在客户、合作伙伴、员工之间实现优化的信息沟通，公司网络的优劣直接关系到公司能否获得关键的竞争优势。众多行业巨擘纷纷上马各种应用方案且取得了巨大的成功，这使信息化建设更具吸引力。在现在企业中，普遍存在资金不足、信息基础薄弱、技术人员匮乏等特点，使得他们不能有效地将自身传统业务与信息系统很好的结合起来，以至于常常会出现投入不见效的情况。究其原因，在于企业信息化观念不够，信息系统没有总体设计原则，信息化建设缺乏规划，致使企业协同运作存在障碍，运营成本居高不下。作为企业的局域网，它不仅可以为企业提供高效的办公环境，还可以实现硬件资源和软件资源的共享从而节省了企业大量开支，又便于集中管理和提高工作效率。其次企业局域网要实现内部网络与外部网络的连接，从而极大的方便了企业和外界的沟通，这样不仅可以降低企业的生产成本，也可以实现异地办公。企业用户可以方便地传输各类数据，开展各类网络应用。随着我国计算机网络技术尤其是Internet技术的高速发展，加快对企业局域网建设迫在眉睫。因此构建一个“安全可靠、性能卓越、管理方便”的企业局域网，已经成为企业信息化建设成功的关键基石。本课题的设计需要综合运用各种知识来完成本课题，不仅可以使我进一步掌握计算机网络原理、熟悉企业局域网的设计搭建，而且可以增强了我的自学能力和动手能力。第一章 技术可行性和需求分析1.1 技术可行性1.1.1 NAT技术随着Internet的迅速发展，IP地址短缺已经成为一个十分突出的问题。为了解决这个问题，出现了多种解决方案，而NAT（Network Address Translation 网络地址转换）是目前网络环境中比较有效的方法。1）什么是NATNAT提供了连接互联网的一种简单方式，并且通过隐藏内部网络地址的手段为用户提供了安全保护。内部用户连接互联网时，NAT将用户的内部网络IP地址转换成一个外部公共IP地址，并在NAT地址转换表中记录下这个转换项；当外部网络数据返回时，NAT技术查询NAT地址转换项，将目标IP地址替换成初始的内部用户的IP地址，报数据包转发给内部网络用户。由于这样对外隐藏了内部网络的IP地址，因此，外部用户无法直接发起到内部网络的连接，从而保护了内部网络用户。2）NAT的优点和缺点（1）NAT的优点NAT节省了公共地址：一个企业申请的合法IP地址很少，而内部网络用户很多，可以通过NAT功能实现多个用户同时公用一个合法IP地址与外部网络进行通信。NAT允许内部网络编址的一致性：如果一个单位没有使用私有地址和NAT，当公有地址发生变化时，要改变公司内的所有主机IP地址，工作量巨大。如果采用了NAT只更改NAT设备的IP地址池配置，内部网络的编址不受影响。这意味着，一个单位可以更换ISP而不需要改变内部主机的IP地址。NAT增加了连接到公网的弹性：可以使用多地址池、备份池、负载均衡池，确保可靠的公网连接。NAT提高了内部网络的安全：一个企业不想让外部网络用户知道自己内部网络的结构，可以通过NAT将内部网络与外部Internet隔离开，则外部用户根本不知道通过NAT的内部IP地址。NAT虽然能提高内部网络的安全，但无法取代防火墙。（2） NAT的缺点NAT影响性能：转换每一个包头中的IP地址需要时间，NAT增加了交换延时。路由器必须检查每一个包来决定是否需要转换，路由器需要转换IP头，有时还需要转换TCP或UDP头部。NAT缺乏对一些应用的支持：很多Imternet协议和应用依赖于端到端的应用，包从源到目的地不能被修改。通过修改端到端的地址，NAT阻止了一些应用，比如一些安全应用，如数字签名就会失败，因为数据包中源IP地址发生了变化。NAT不利于追踪：经过多次NAT，端到端的追踪变得非常困难。另外，因为NAT的存在，也很难追踪或获得黑客使用的真是IP地址。NAT使一些隧道协议变得复杂：因为NAT修改了包头中的值，给IPSec或其他隧道协议的完整性带来困难。1.1.2 VLAN技术VLAN（虚拟局域网）是对连接到的第二层交换机端口的网络用户的逻辑分段，不受网络用户的物理位置限制而根据用户需求进行网络分段。一个VLAN可以在一个交换机或者跨交换机实现。VLAN可以根据网络用户的位置、作用、部门或者根据网络用户所使用的应用程序和协议来进行分组。基于交换机的虚拟局域网能够为局域网解决冲突域、广播域、带宽问题。传统的共享介质的以太网和交换式的以太网中，所有的用户在同一个广播域中，会引起网络性能的下降，浪费可贵的带宽；而且对广播风暴的控制和网络安全只能在第三层的路由器上实现。VLAN相当于OSI参考模型的第二层的广播域，能够将广播风暴控制在一个VLAN内部，划分VLAN后，由于广播域的缩小，网络中广播包消耗带宽所占的比例大大降低，网络的性能得到显著的提高。不同的VLAN之间的数据传输是通过第三层（网络层）的路由来实现的，因此使用VLAN技术，结合数据链路层和网络层的交换设备可搭建安全可靠的网络。网络管理员通过控制交换机的每一个端口来控制网络用户对网络资源的访问，同时VLAN和第三层第四层的交换结合使用能够为网络提供较好的安全措施。另外，VLAN具有灵活性和可扩张性等特点，方便于网络维护和管理，这两个特点正是现代局域网设计必须实现的两个基本目标，在局域网中有效利用虚拟局域网技术能够提高网络运行效率。1.1.3 DHCP技术DHCP 是 Dynamic Host Configuration Protocol(动态主机配置协议）缩写，它的前身是BOOTP。BOOTP 原本是用于无磁盘主机连接的网络上面的：网络主机使用 BOOT ROM 而不是磁盘启动并连接上网络，BOOTP则可以自动地为那些主机设定 TCP/IP 环境。但 BOOTP 有一个缺点：您在设定前须事先获得客户端的硬件地址，而且与 IP 的对应是静态的。换而言之，BOOTP 非常缺乏 动态性 ，若在有限的IP资源环境中，BOOTP 的一一对应会造成非常严重的资源浪费。DHCP 可以说是 BOOTP 的增强版本，它分为两个部份：一个是服务器端，而另一个是客户端。所有的 IP 网络设定数据都由 DHCP服务器集中管理，并负责处理客户端的 DHCP 要求；而客户端则会使用从服务器分配下来的IP环境数据。使用DHCP，整个计算机的配置文件都可以在一条信息中获得（除了IP地址，服务器可以同时发送子网掩码、缺省网关、DNS服务器和其他的TCP/IP配置）。比较起 BOOTP ，DHCP 透过 租约 的概念，有效且动态的分配客户端的 TCP/IP 设定，而且，作为兼容考虑，DHCP 也完全照顾了 BOOTP Client 的需求。DHCP 的分配形式 首先，必须至少有一台 DHCP服务器 工作在网络上面，它会监听网络的 DHCP 请求，并与客户端磋商TCP/IP的设定环境。1.1.4 ACL技术访问控制列表（Access Control List，ACL） 是路由器和交换机接口的指令列表，用来控制端口进出的数据包。ACL适用于所有的被路由协议，如IP、IPX、AppleTalk等。这张表中包含了匹配关系、条件和查询语句，表只是一个框架结构，其目的是为了对某种访问进行控制。ACL可以用作控制和过滤流经路由器端口的数据包的工具。通过使用ACL，路由器提供了基本的数据流过滤能力。ACL具有下列作用：1）限制网络流量，提高网络性能2）提供数据流控制3）为网络访问提供基本的安全层4）决定转发或者阻止哪些类型的数据流1.1.5 PPP协议点对点协议（PPP）为在点对点连接上传输多协议数据包提供了一个标准方法。PPP 最初设计是为两个对等节点之间的 IP 流量传输提供一种封装协议。在 TCP-IP 协议集中它是一种用来同步调制连接的数据链路层协议（OSI 模式中的第二层），替代了原来非标准的第二层协议，即 SLIP。除了 IP 以外 PPP 还可以携带其它协议，包括 DECnet 和 Novell 的 Internet 网包交换（IPX）。1.1.6 VTP技术它是一个OSI参考模型第二层的通信协议，主要用于管理在同一个域的网络范围内VLANs的建立、删除和重命名。在一台VTP Server 上配置一个新的VLAN时，该VLAN的配置信息将自动传播到本域内的其他所有交换机。这些交换机会自动地接收这些配置信息，使其VLAN的配置与VTP Server保持一致，从而减少在多台设备上配置同一个VLAN信息的工作量，而且保持了VLAN配置的统一性。VTP通过网络(ISL帧或cisco私有DTP帧)保持VLAN配置统一性。VTP在系统级管理增加，删除，调整的VLAN，自动地将信息向网络中其它的交换机广播。此外，VTP减小了那些可能导致安全问题的配置。便于管理,只要在vtp server做相应设置,vtp client会自动学习vtp server上的vlan信息* 当使用多重名字VLAN能变成交叉-连接。* 当它们是错误地映射在一个和其它局域网，VLAN能变成内部断开。VTP有三种工作模式：VTP Server、VTP Client 和 VTP Transparent。新交换机出厂时的默认配置是预配置为VLAN1，VTP 模式为服务器。 一般，一个VTP域内的整个网络只设一个VTP Server。VTP Server维护该VTP域中所有VLAN 信息列表，VTP Server可以建立、删除或修改VLAN，发送并转发相关的通告信息，同步vlan配置，会把配置保存在NVRAM中。VTP Client虽然也维护所有VLAN信息列表，但其VLAN的配置信息是从VTP Server学到的，VTP Client不能建立、删除或修改VLAN，但可以转发通告，同步vlan配置，不保存配置到NVRAM中。VTP Transparent相当于是一项独立的交换机，它不参与VTP工作，不从VTP Server学习VLAN的配置信息，而只拥有本设备上自己维护的VLAN信息。VTP Transparent可以建立、删除和修改本机上的 VLAN信息，同时会转发通告并把配置保存到NVRAM中。1.1.7 STP技术STP（Spanning Tree Protocol）是生成树协议的英文缩写。该协议可应用于在网络中建立树形拓扑，消除网络中的环路，并且可以通过一定的方法实现路径冗余，但不是一定可以实现路径冗余。生成树协议适合所有厂商的网络设备，在配置上和体现功能强度上有所差别，但是在原理和应用效果是一致的。STP的基本原理是，通过在交换机之间传递一种特殊的协议报文，网桥协议数据单元（Bridge Protocol Data Unit，简称BPDU），来确定网络的拓扑结构。BPDU有两种，配置BPDU（Configuration BPDU）和TCN BPDU。前者是用于计算无环的生成树的，后者则是用于在二层网络拓扑发生变化时产生用来缩短CAM表项的刷新时间的（由默认的300s缩短为15s）。Spanning Tree Protocol(STP)在IEEE802.1D文档中定义。该协议的原理是按照树的结构来构造网络拓扑，消除网络中的环路，避免由于环路的存在而造成广播风暴问题。Spanning Tree Protocol(STP)的基本思想就是按照树的结构构造网络的拓扑结构，树的根是一个称为根桥的桥设备，根桥的确立是由交换机或网桥的BID（Bridge ID）确定的，BID最小的设备成为二层网络中的根桥。BID又是由网桥优先级和MAC地址构成，不同厂商的设备的网桥优先级的字节个数可能不同。由根桥开始，逐级形成一棵树，根桥定时发送配置BPDU，非根桥接收配置BPDU，刷新最佳BPDU并转发。这里的最佳BPDU指的是当前根桥所发送的BPDU。如果接收到了下级BPDU（新接入的设备会发送BPDU，但该设备的BID比当前根桥大），接收到该下级BPDU的设备将会向新接入的设备发送自己存储的最佳BPDU，以告知其当前网络中根桥；如果接收到的BPDU更优，将会重新计算生成树拓扑。当非根桥在离上一次接收到最佳BPDU最长寿命（Max Age，默认20s）后还没有接收到最佳BPDU的时候，该端口将进入监听状态，该设备将产生TCN BPDU，并从根端口转发出去，从指定端口接收到TCN BPDU的上级设备将发送确认，然后再向上级设备发送TCN BPDU，此过程持续到根桥为止，然后根桥在其后发送的配置BPDU中将携带标记表明拓扑已发生变化，网络中的所有设备接收到后将CAM表项的刷新时间从300s缩短为15s。整个收敛的时间为50s左右。1.1.8 动态/静态路由协议静态路由是指需要由网络管理员手工配置路由信息。当网络的拓扑结构或链路的状态发生变化时，网络管理员需要手工去修改路由表中相关的静态路由信息。静态路由一般适用于比较简单的网络环境，在这样的环境中，网络管理员易于清楚地了解网络的拓扑结构，便于设置正确的路由信息。使用静态路由的另一个好处是网络安全保密性高。动态路由因为需要路由器之间频繁地交换各自的路由表，而对路由表的分析可以揭示网络的拓扑结构和网络地址等信息。大型和复杂的网络环境通常不宜采用静态路由。一方面，网络管理员难以全面地了解整个网络的拓扑结构；另一方面，当网络的拓扑结构和链路状态发生变化时，路由器中的静态路由信息需要大范围地调整，这一工作的难度和复杂程度非常高。1.2 需求分析1.2.1 带宽性能需求现代企业网络应该有更高的带宽,更强大的性能,以满足日益增长的通信需求的用户。与计算机技术的快速发展,越来越多的基于网络的各种应用中,今天的企业网络已经发展成为一个多功能无记名平台,不仅要继续把办公自动化、网络浏览以及其他数据服务,但也携带的各种业务应用系统设计生产数据,以及带宽和要求IP电话、视频会议和其他多媒体服务。因此,数据流将大大增加,特别是提出了更高的要求,数据交换能力的核心网络。此外,随着成本的持续下降,千兆的千兆端口桌面应用程序将在不久的将来成为主流的企业网络。建立一个无障碍的“高品质”的企业局域网,扩大网络适应需求不断增长的营业额。1.2.2 网络安全需求现代企业网络将需要提供更好的网络安全解决方案，以防止病毒和黑客的攻击，减少经济损失。传统企业的网络安全主要是通过部署防火墙，IDS，防病毒软件，交换机或路由器的ACL和协调防御病毒和黑客攻击。现代企业网络在企业网络已经成为公司业务的重要组成部分，必须有一组病毒从用户接入控制，报文识别到主动抑制的一系列安全控制措施，从而确保稳定运行企业网络。1.2.3 应用服务需求现代企业网络应该有一个更智能的网络管理解决方案,以满足网络大小增加的维护工作更复杂的需求。目前的网络已经发展成为“以应用程序为中心的”信息基础设施平台、网络管理能力的需求已经上升到业务层面,传统的网络设备的情报没有有效地支持发展网络管理的需要。现代企业网络迫切需要一个网络设备支持“以应用程序为中心的“智能网络操作和维护,和一组智能管理软件,网络管理人员从繁重的工作释放。1.3 设计所需环境1.3.1 硬件要求操作系统Windows Server 2003/XP/7/VistaCPU 1500MHz 最好是3000MHz以上双核更好内存 512MB 最好是1G 2G更好空闲硬盘空间 2GB以上软件要求Packet Tracer 4.1第二章 系统设计方案2.1 系统设计原则2.1.1 实用性应该从实际情况,以达到和容易使用可以起到有效的目的。成熟的技术和产品系统的建设。能够兼容现有系统的新系统,以保持连续性和可用的资源。该系统是安全可靠的。非常容易使用,并不需要太多的培训可以容易使用和维护。2.1.2 安全性使用各种有效的安全措施,确保安全运行的网络系统和应用程序。安全包括四个层次:网络安全、操作系统安全、数据库安全、应用系统安全。由于互联网的开放性,世界各地的网络用户可以访问公司网络、企业网络防火墙、数据加密技术,以防止非法入侵,防止窃听和篡改数据和路由信息安全保护,确保安全。磁带备份系统,建立系统和数据库。2.1.3 可扩充性符合国际和国内行业标准协议和接口,因此,企业网络具有良好的开放,容易与其他网络互连和信息资源。的增加及不同层次的网络节点和子网。一般包括开放标准的原则、技术、结构、系统组件和用户界面。必须根据实际的使用先进的成熟技术,购买先进水平的计算机网络系统和设备。随着不断变化的计算机技术和计算机网络技术的快速发展,网络系统的规模可伸缩性已经十分重要,所以考虑可伸缩性的网络系统是非常重要的。2.1.4 可管理性充分考虑网络的设计未来网络管理和维护,操作方便,维护容易的选择网络操作系统,大大减少了负担的管理和维护的网络运营商。使用智能网络管理,减少运营成本和维护的网络。2.1.5 高性能价格比日益进步的新技术和特定情况下,开发具有成本效益的解决方案来满足需求的基础上,充分保障了企业的经济效益。坚持经济原则,努力做更多的事情,钱最少的,为了获得最大的利益。2.2 网络设备选型本次设计均根据packet tracer 4.1模拟器完成，所有设备均采用模拟器内含设备。表3-1 网络设备选型型号及数量价格（单位：元）说明Cisco 1841四台3700/台集成多业务路由器能够以线速提供安全的数据访问应用，从而为中小企业和小型分支机构提供全套功能和灵活性，以便实现安全的互联网和内部网接入CISCO WS-C2960-24TT两台4000/台用于接入层交换机，具有24个以太网10/100 端口2个以太网10/100/1000 端口2.3 系统总体设计和拓扑结构对于一个大中型企业局域网，通常在设计上将网络分为核心层、汇聚层和接入层分别考虑。接入层节点直接连接用户计算机，它通常是一个部门或者一个楼层的交换机；汇聚层交换机的每个节点可以连接多个接入层节点，它通常是一个建筑物内部连接多个楼层交换机或者部门交换机的总交换机；核心层交换机节点连接多个汇聚层交换机，通常是企业中连接多个建筑物的总交换机的核心网络设备。 1、核心层核心层的功能主要是实现骨干网络之间的优化传输，复杂整个网络的网内数据交换。网络的功能控制最好尽量在骨干层上实施，核心层设计任务的重点是冗余能力、可靠性和高速传输。核心层一直被认为流量的最终承受着和汇聚者，所以要求核心交换机拥有较高的可靠性和性能。2、汇聚层汇聚层主要负责连接接入层节点和核心层，汇聚分散的接入点，扩大核心设备的端口密度和种类，汇聚各区域数据流量，实现骨干网络之间的优化传输。汇聚层交换机还负责本区域的数据交换，汇聚层交换机一般与中心交换机同类型，仍需较高的性能和较丰富功能。3、接入层接入层交换机作为二层交换网络设备，提供功能工作站等设备的网络接入。接入层在整个网络中接入交换机的数据最多，具有即插即用的特性。对于此类交换机要求，一是价格合理；二是可管理性号，易于使用维护；三是稳定性要好。2.3.1 系统总体设计方案本次设计为小型企业局域网，对网络进行简化，并未采用三层结构，重点放在网络主干的设计与路由器交换机的配置上，同时还有VLAN的划分，VTP协议的使用、STP协议的配置、动态/静态路由协议的配置、DHCP的配置、NAT的配置、PPP的配置及ACL的应用。图2-1为企业局域网总体拓扑结构图图2-1企业局域网总体拓扑图注：图中PC机代表企业各部门2.3.2 各设备的IP地址配置R1:S0/0/0: Fa0/1: Fa0/2: Fa0/3: R2:S0/0/0: Fa0/0: Fa0/1: R3:S0/0/0: Fa0/1: R4:S0/0/0: Fa0/0: Fa0/1: SW1:VLAN 1: SW2:VLAN 2: PC1,PC2,PC3和PC4的IP地址均自动获取。PC1和PC2属于VLAN2，VLAN2所在的IP子网是 。PC2和PC4属于VLAN3，VLAN3所在的IP子网是 。Web服务器： 第三章 路由器模块路由器（Router）是连接因特网中各局域网、广域网的设备，它会根据信道的情况自动选择和设定路由，以最佳路径，按前后顺序发送信号的设备。路由器是互联网络的枢纽、交通警察。目前路由器已经广泛应用于各行各业，各种不同档次的产品已成为实现各种骨干网内部连接、骨干网间互联和骨干网与互联网互联互通业务的主力军。路由和交换之间的主要区别就是交换发生在OSI参考模型第二层（数据链路层），而路由发生在第三层，即网络层。这一区别决定了路由和交换在移动信息的过程中需使用不同的控制信息，所以两者实现各自功能的方式是不同的。3.1 路由器配置3.1.1 IP地址配置1）R1的配置RouterenRouter#conf tEnter configuration commands, one per line. End with CNTL/Z.Router(config)#host R1R1(config)#int S0/0/0R1(config-if)#ip add R1(config-if)#clock rate 64000R1(config-if)#no shut%LINK-5-CHANGED: Interface Serial0/0/0, changed state to downR1(config-if)#int fa0/0（该端口在VLAN划分时在给予配置，此仅打开端口）R1(config-if)#no shut%LINK-5-CHANGED: Interface FastEthernet0/0, changed state to up%LINEPROTO-5-UPDOWN: Line protocol on Interface FastEthernet0/0, changed state to up2）R2的配置RouterenRouter#conf tEnter configuration commands, one per line. End with CNTL/Z.Router(config)#host R2R2(config)#int s0/0/0R2(config-if)#ip add R2(config-if)#no shut%LINK-5-CHANGED: Interface Serial0/0/0, changed state to upR2(config-if)#int fa0/0R2(config-if)#ip add R2(config-if)#no shut%LINK-5-CHANGED: Interface FastEthernet0/0, changed state to upR2(config-if)#int fa0/1R2(config-if)#ip add R2(config-if)#no shut%LINK-5-CHANGED: Interface FastEthernet0/1, changed state to up3)R3的配置RouterenRouter#conf tEnter configuration commands, one per line. End with CNTL/Z.Router(config)#host R3R3(config)#int s0/0/0R3(config-if)#ip add R3(config-if)#clock rate 64000R3(config-if)#no shut%LINK-5-CHANGED: Interface Serial0/0/0, changed state to downR3(config-if)#int fa0/1R3(config-if)#ip add R3(config-if)#no shut%LINK-5-CHANGED: Interface FastEthernet0/1, changed state to up%LINEPROTO-5-UPDOWN: Line protocol on Interface FastEthernet0/1, changed state to up4）R4的配置RouterenRouter#conf tEnter configuration commands, one per line. End with CNTL/Z.Router(config)#host R4R4(config)#int s0/0/0R4(config-if)#ip add R4(config-if)#no shut%LINK-5-CHANGED: Interface Serial0/0/0, changed state to upR4(config-if)#int fa0/0R4(config-if)#ip add R4(config-if)#no shut%LINK-5-CHANGED: Interface FastEthernet0/0, changed state to up%LINEPROTO-5-UPDOWN: Line protocol on Interface FastEthernet0/0, changed state to upR4(config-if)#int fa0/1R4(config-if)#ip add R4(config-if)#no shut%LINK-5-CHANGED: Interface FastEthernet0/1, changed state to up%LINEPROTO-5-UPDOWN: Line protocol on Interface FastEthernet0/1, changed state to up3.1.2 Web服务器的配置Web服务器配置如下：IP地址：子网掩码：网关：如图3-1，3-2图3-1网关配置图3-2 IP和掩码配置3.2 配置设备的远程登录和密码保护及DHCP3.2.1 配置设备的远程登录和密码保护R1的配置如下R1(config)#line vty 0 4R1(config-line)#password ciscoR1(config-line)#loginR1(config-line)#exR1(config)#enable secret ciscoR1(config)#service password-encryptionR2 R3 R4 SW1 SW2的配置与R1的配置类似 不再叙述3.2.2 DHCP的配置R1enPassword: R1#conf tEnter configuration commands, one per line. End with CNTL/Z.R1(config)#ipdhcp excluded-address R1(config)#ipdhcp pool vlan2R1(dhcp-config)#network R1(dhcp-config)#default-router R1(dhcp-config)#dns-server R1(dhcp-config)#exR1(config)#ipdhcp excluded-address R1(config)#ipdhcp pool vlan3R1(dhcp-config)#network R1(dhcp-config)#default-router R1(dhcp-config)#dns-server 检验：依次配置PC机，使用DHCP分配结果如图3-3图3-3 PC1的DHCP分配结果3.3 路由协议3.3.1 OSPF协议R1配置R1(config)#ip route R2的配置R2(config)#router ospf 1R2(config-router)#net 55 area 0R2(config-router)#net 55 area 0R2(config-router)#net 55 area 0R3的配置R3(config)#router ospf 1R3(config-router)#net 55 area 0R3(config-router)#net 55 area 0R4的配置R4(config)#router ospf 1R4(config-router)#net 55 area 0R4(config-router)#net 55 area 0R4(config-router)#net 55 area 03.3.2 PPP协议R1配置R1(config)#user R2 pass ciscoR1(config)#int s0/0/0R1(config-if)#encapsulation ppp%LINEPROTO-5-UPDOWN: Line protocol on Interface Serial0/0/0, changed state to downR1(config-if)#ppp authentication chapR2的配置R2(config)#user R1 pass ciscoR2(config)#int s0/0/0R2(config-if)#encapsulation ppp%LINEPROTO-5-UPDOWN: Line protocol on Interface Serial0/0/0, changed state to upR2(config-if)#ppp authentication chap%LINEPROTO-5-UPDOWN: Line protocol on Interface Serial0/0/0, changed state to down%LINEPROTO-5-UPDOWN: Line protocol on Interface Serial0/0/0, changed state to up3.3.3 PPP协议验证关闭路由器R1的S0/0/0接口，稍后再次打开该接口，触发PPP的CHAP验证。输出如图3-4：图3-4 PPP的CHAP验证3.4 配置NAT在路由器R1上配置动态PAT，使四台PC都可以通过R1访问Internet。R1配置如下：R1(config)#int fa0/0.2R1(config-subif)#ipnat insideR1(config-subif)#int fa0/0.3R1(config-subif)#ipnat insideR1(config-subif)#int s0/0/0R1(config-if)#ipnat outsideR1(config-if)#exR1(config)#access-list 1 permit 55R1(config)#access-list 1 permit 55R1(config)#ipnat inside source list 1 interface s0/0/0 overload 在路由器R1上配置静态PAT，使Internet可以通过路由器R1的TCP2323端口Telnet登录到SW1。R1的配置如下：R1(config)#int fa0/0.1R1(config-subif)#ipnat insideR1(config-subif)#exR1(config)#ipnat inside source static tcp 23 2323第四章 交换机模块交换（switching