园区网络的设计与构建 _网络课程设计

计算机科学与工程学院综合设计报告设计名称网络工程综合设计设计题目园区网络的设计与构建学生学号专业班级学生姓名学生成绩指导教师（职称）课题工作时间2010919至2010930说明1、报告中的第一、二、三项由指导教师在综合设计开始前填写并发给每个学生；四、五两项（中英文摘要）由学生在完成综合设计后填写。2、学生成绩由指导教师根据学生的设计情况给出各项分值及总评成绩。3、指导教师评语一栏由指导教师就学生在整个设计期间的平时表现、设计完成情况、报告的质量及答辩情况，给出客观、全面的评价。4、所有学生必须参加综合设计的答辩环节，凡不参加答辩者，其成绩一律按不及格处理。答辩小组成员应由2人及以上教师组成。5、报告正文字数一般应不少于5000字，也可由指导教师根据本门综合设计的情况另行规定。6、平时表现成绩低于6分的学生，其综合设计成绩按不及格处理。7、此表格式为武汉工程大学计算机科学与工程学院提供的基本格式（适用于学院各类综合设计），各教研室可根据本门综合设计的特点及内容做适当的调整，并上报学院批准。成绩评定表学生姓名学号班级网络工程02类别合计分值各项分值评分标准实际得分合计得分备注平时表现1010按时参加综合设计，无旷课、迟到、早退、违反实验室纪律等情况。20按设计任务书的要求完成了全部任务，能完整演示其设计内容，符合要求。完成情况3010能对其设计内容进行详细、完整的介绍，并能就指导教师提出的问题进行正确的回答。10报告文字通顺，内容翔实，论述充分、完整，立论正确，结构严谨合理；报告字数符合相关要求，工整规范，整齐划一。5课题背景介绍清楚，综述分析充分。5设计方案合理、可行，论证严谨，逻辑性强，具有说服力。5符号统一；图表完备、符合规范要求。5能对整个设计过程进行全面的总结，得出有价值的结论或结果。报告质量355参考文献数量在3篇以上，格式符合要求，在正文中正确引用。10在规定时间内能就所设计的内容进行阐述，言简意明，重点突出，论点正确，条理清晰。答辩情况2515在规定时间内能准确、完整、流利地回答教师所提出的问题。总评成绩分补充说明指导教师（签字）日期年月日答辩记录表学生姓名学号班级网络工程02答辩地点答辩内容记录合计分值各项分值评分标准实际得分合计得分备注答辩成绩2510在规定时间内能就所设计的内容进行阐述，言简意明，重点突出，论点正确，条理清晰。15在规定时间内能准确、完整、流利地回答教师所提出的问题。答辩小组成员（签字）年月日指导教师评语指导教师（签字）日期年月日一、综合设计目的、条件、任务和内容要求本次课程设计要求学生在熟悉网络应用的基本规划设计基础上，奠定一定的网络技术综合应用的能力，巩固学生在相关课程中所学的理论知识，培养学生的动手能力、科技文献检索能力、报告的书写等能力，为综合利用各种技术设计大中型网络奠定基础。重点培养学生独立完成课题、分析问题和解决问题的能力，并使学生能协同完成从接受任务、制定方案、编写设计和实现网络应用工程项目的规划方案的过程，最终独立撰写报告，并进行项目答辩。任务以网络规划设计、实现需求为主，要求对给定的企业网络需求模型，遵循“安全性、可管理性、稳定性”的原则进行设计。1、保证网络出口的稳定可靠性，提供较为丰富的接入需求2、企业要求多层次的安防构架；3、针对需求，构建相应的网络应用服务，并完成内部网络应用服务的系统集成设计；4、网络设备和端系统应用应配有安全可靠的管理方式；5、对整个网络进行设计，包括综合布线，网络拓扑，设备选型、应用服务选型和实现，同时进行相应应用的设置；6、对该网络工程进行较为完整工程预算，如人工、管理和维护等方面。指导教师签字年月日二、进度安排需求分析阶段环节（两天）基本资料收集与分析环节（共两天）基本方案书书写论证阶段环节（共七天）模拟测试环节（共四天）答辩时间20101231三、应收集资料及主要参考文献1谢希仁计算机网络（第五版）北京电子工业出版社，20082陈向阳、肖迎元网络工程规划与设计北京清华大学出版社，2007四、综合设计（课程设计）摘要（中文）五、综合设计（课程设计）ABSTRACT（英文）摘要IIABSTRACTII第一章课题背景111系统设计目标112园区网络设计原则113园区网络设计依据1第二章设计简介及设计方案论述321系统组成与拓扑结构422VLAN及IP地址规划523设备选型6第三章详细设计731交换模块的设计7311配置接入层交换机7312配置汇聚层交换机11313配置核心层交换机1332配置路由器15321配置路由器ROUTER的各接口参数15322配置路由器ROUTER的路由功能15323在路由上设置NAT16324配置路由器上的ACL1633防火墙的配置18331防火墙的基本配置18332配置FIXUP协议19333配置最大传输单元（MTU）19334设置PIX入侵检测1934服务器模块设计20第四章设计结果及分析21总结22致谢23参考文献24摘要报告内容简要的讨论了企业网络规划设计中涉及到的网络技术、规划设计方法、网络性能及应用分析等问题，为企业网络的规划、设计和升级改造等方面在技术及应用上提供参考，以使在建或规划中的校园网络具备较高的整体性能。通过对园区网络的分析，从性能和价值上满足园区网络的需求，然后对企业园区网络进行划分VLAN、设置管理域等配置，不断地优化企业的网络，从而达到企业安全、快速访问网络资源的目的。关键词交换机；路由器；防火墙；VLANABSTRACTTHEREARESOMETHINGBEENDISCUSSEDBRIEFLYINTHEENTERPRISENETWORKDESIGNING,RELATINGTOTHENETWORKTECHNOLOGY,THEWAYOFDESIGNINGPROCEDURES,THENETWORKFUNCTIONANDAPPLYINGANALYSISANDSOON,ISTHATTHENETWORKPLANOFENTERPRISE,WHICHPROVIDEAREFERENCEONTHETECHNOLOGYANDAPPLICATION,TOMAKEITHAVEHIGHERFUNCTIONINBUILDINGORPLANNINGCAMPUSNETWORKTHROUGHTOANALYZINGTOTHENETWORK,INORDERTOSATISFYTHEREQUIREMENTOFTHEAREANETWORKFROMTHEVALUEANDPERFORMANCE,THENCARRIRYONTOCONFIGURETHEENTERPRISEAREANETWORKINCLUDINGDIVIDINGVLAN,ESTABLISHINGMANAGEMENTTERRITORYANDSOON,OPTIMIZINGTHEENTERPRISETHENETWORKUNCEASINGLY,THUSMAKETHEENTERPRISEACCESSNETWORKRESOURCESSPEEDILYANDSAFELYKEYWORDSSWITCHROUTERFIREWALLVLAN第一章课题背景某企业园区网络始建于90年代，采用了当时LAN技术中最成熟的FDDIFIBERDISTRIBUTEDDATAIN2TERFACE技术，组建成了两层结构的FDDI环型网络，网络中有几个主干节点和数台网络设备，构成FDDI环型网络，主要解决CAD/CAM的网络应用。随着计算机网络技术的发展，公司开始建设快速以太网，在办公行政大楼进行计算机结构化布线,联接了多个生产部门,并与当时的FDDI网络实现了互连,主要解决CAD/CAM、CPMIS信息管理等应用要求。2000年公司建成设计大楼，该大楼采用网络综合布线设计思想，并配置了数十台网络设备，实现了设计大楼中各办公室的网络普及，解决了设计大楼内各单位计算机网络应用的问题。经过前期的几次网络建设与整合，网络计算机用户不断增加，网络计算机应用系统增多，网络规模也随之增大，而该企业网络结构还是采用二层交换机搭建的二层交换技术网络，也就是说此时所有的网络中的计算机IP地址都同一个网段、并属于同一个默认VLAN虚拟局域网，计算机之间通信主要是通过广播包的形式来完成，容易产生广播风暴，占用网络带宽，降低网络整体传输性能，无法满足计算机应用系统的要求。因此必须对园区网络进行升级改造。11系统设计目标（1）能够满足CAD/CAM、PDM、PLM、ERP、OA、CPMIS等计算机应用系统的网络需求。（2）能够满足视频、电话会议等音视频应用系统的要求。（3）要求将该企业园区内各单位全部联入园区网络,并留有进一步扩展的余地。（4）要求园区网络层次分明、结构合理、运行安全可靠,主要节点要有冗余备份，便于管理，易于维护。12园区网络设计原则（1）具有先进性与前瞻性。整个系统要采用现代的概念、技术方法和产品，适用于未来的扩展及升级，要代表当今国际水平，具有发展潜力并能长期主导同类产品发展潮流。（2）具有成熟性和实用性。整个系统采用的概念技术、产品和器材都是非常成熟，产品和器材具有系统建成运行的成功范例。系统完全能够在现在和将来适应技术的发展，能够真正满足使用要求。（3）具有良好的灵活性和扩展性。系统应该采用模块化结构，能够满足灵活通用的要求和随时扩展的要求。（4）具有标准化与开放性。系统要符合国际和国内相关标准，不仅能兼容语音、数据、图像的传输，同是能够对不同厂家的系统、设备有良好的支持。13园区网络设计依据（1）建筑与建筑群综合布线系统工程设计与规范GB/T5031122000。（2）集中或光纤布线系统标准ZIA/TIATSB272标准。（3）商业建筑通信布线系统标准TIA/EIA568A、B。（4）国际综合布线6类信道标准ISO/IBC11801。（5）电子电气工程师协会CSMA/CD接口方法IEEE8023。（6）建筑与建筑群综合布线系统工程设计与规范CECS7297。（7）千兆以太网标准IEEE8023Z。第二章设计简介及设计方案论述企业网（ENTERPRISENETWORK）是非常典型的综合网络实例。在本设计方案中主要是对一个企业进行整体的网络设计。该企业占有一幢大厦，共有八个部门，每个部门不会超过255台工作站，分别是财务部、人力资源部、技术支持部、营销部、售后服务部、生产部、公关部、设备部，此外有一个总经理办公室，一个副总经理办公室。如图21，是该企业拆分后的网络总体拓扑结构图。INTERNET总经理办公室副总经理办公室财务部人力资源部技术支持部生产部公关部售后服务部设备部部售后服务部公关部设备部营销部图11企业拓扑结构图在上面的拓扑结构图中,企业有八个部门，两个经理办公室共十个主要的接入点，核心层交换机通过CISCO3460路由器接入因特网。图中展示了每个建筑物内部的网络拓扑结构，并给出了信息中心内部的网络设备拓扑结构。在接下来的论述中，我将展开并详细讨论每个模块的设计内容。信息中心21系统组成与拓扑结构为了实现网络设备的统一，在本设计方案中完全采用同一厂家的网络产品，即CISCO公司的网络设备构建。本企业网设计方案主要由以下几部分组成交换模块、广域网接入模块、服务器模块，整个网络系统的拓扑结构图如下图22所示INTERNET20216811NAT1921681254核心层SERVER汇聚层总经理办公室GROUP副总经理办公室接入层、财务部VLAN2人力资源部VLAN3技术支持部VLAN6生产部VLAN7、售后服务部VLAN4公关部VLAN5设备部VLAN8营销部VLAN9图22企业网整体拓扑结构图22VLAN及IP地址规划在一个大、中型网络里，VLAN12的划分是必不可少的步骤之一。在本企业网设计中，整个企业网的VLAN及IP编址方案如下表所示在下面我们需要注意的是19216800192168255254这样的IP地址是私有IP地址，它不能在公共网络中使用，但是为什么我们要这样做呢因为针对当前现状，IP地址紧缺，我们不可能也不应该为每一台工作站申请一个公有IP地址，这样不仅可以缓解IP地址不足的情况，而且也可以为企业建设一个企业网节约不少的开支，那这样且不是不能够访问INTERNET。为了让这些私有IP地址能够在公共INTERNET使用，让使用这样IP地址的工作站能够访问INTERNET上的资源，我们必须对这样私有IP地址作NAT（NETWORKADDRESSTRANSLATION）即网络地址转换。NAT的配置我将后面的论述中进行配置。而对于经理办公室，由于我们有特定的要求，我将为其分配STATICIP地址（如表21所示）。表21VLAN及IP编址方案VLAN号VLAN名称IP网段默认网关说明VLAN119216810/241921681254管理VLANVLAN2FINANCE19216820/241921682254财务部VLAN3HUMAN_RESOURCE19216830/241921683254人力资源部VLAN4AFTER_SALE_SERVER19216840/241921684254售后服务部VLAN5PUBLIC_RELATIONS19216850/241921685254公关部VLAN6TECHNIQUE_SUPPORT19216860/241921686254技术支持部VLAN7PRODUCE19216870/241921687254生产部VLAN8EQUIPMENT19216880/241921688254设备部VLAN9SALE19216890/241921689254营销部VLAN10SERVER_GROUP192168100/2419216810254服务器群VLAN23设备选型从上面的拓扑图中我们可以列出下面的设备选型列表22表22设备选型列表设备名称型号单价数量总价说明防火墙CISCOPIX525600016000并发连接数4500VPN支持支持安全过滤带宽16用户数限制无限制网络吞吐量（MPPS）20路由器CISCO37456120001612000CISCO3700SERIES4SLOTMULTISERVICEACCESSROUTER核心层CISCOWSC3750G24TSS36762136762CATALYST37502410/100/1000T4SFPSTANDARDMULTILAYER汇聚层CISCOWSC2950T2465002130002410/100PORTSW/210/100/1000BASETPORTS,ENHANCEDIMAGE交换机接入层CISCOWSC29502440002800024PORT,10/100CATALYSTSWITCH,STANDARDIMAGEONLYSWITCH/HUB视每个部门工作站多少的情况而定光纤迅驰4芯单模光缆4/M1000M4000线缆双绞线五类UTP400/卷52000波长1300损耗850/35温度4080湿度0第三章详细设计31交换模块的设计一个性能优良的网络不管是何种类型的网络都应该是一个分层的设计。这样不但简化了交换网络的设计，同时也提高了交换网络的可靠性和可扩展性，我们一般将其分为三层设计模型。分别是接入层，汇聚层，核心层。下面我们将按照分层的设计与配置进行论述。311配置接入层交换机接入层交换机是为所有的终端用户提供一个接入点。我们采用的是CISCOWSC295024。该交换机拥有24个10/100M的自适应快速以太网交端口，这里我们有两个接入层交换机。分别命名为CONNECT1和CONNECT2，接下来我们将对接入层交换机进行配置。进入交换机的配置界面（CLI）我们一般常用的有两种方法利用反转线直接和交换机的控制端口相连和远程登陆。我们主要进行如下一些配置1设置交换机名称SWITCHCONFIGHOSTNAMECONNECT1CONNECT1CONFIG2设置交换机密码CONNECT1CONFIGENABLESECRET1233设置登陆虚拟终端CONNECT1CONFIGLINEVTY015CONNECT1CONFIGLINELOGINCONNECT1CONFIGLINEPASSWORD1234设置虚拟终端超时时间CONNECT1CONFIGLINEVTY015CONNECT1CONFIGLINEEXECTIMEOUT5305设置控制台终端超时时间CONNECT1CONFIGLINECON0CONNECT1CONFIGLINEEXECTIMEOUT5306禁用IP地址解析特性当我们向交换机输入一条错误的命令的时候，交换机就会将该信息广播给网络上的DNS服务器，并试图把它解析成IP地址。CONNECT1CONFIGNOIPDOMAINLOOKUP7启用消息同步特性为了防止我们向交换机输入的命令被交换机产生的信息打乱。我们启用消息同步特性。CONNECT1CONFIGLOGGINGSYNCHRONOUS为了能够对交换机进行远程管理，必须给交换机设置一个管理用的IP地址。这种情况下，实际上是将交换机看成和PC机一样的主机。而每台交换机都有一个用来进行管理的默认VLAN即VLAN1，VLAN1也称为管理VLAN。在VLAN及IP编址方案表中我们的管理VLAN的IP为19216810/24，这里为CONNECT1的管理IP设置为19216811/24，具体配置如下命令4CONNECT1CONFIGINTERFACEVLAN1CONNECT1CONFIGIFIPADDRESS192168112552552550CONNECT1CONFIGIFNOSHUTDOWN为了能让管理人员在不同的子网中管理此交换机，还应该设置默认网关，在这里为其设置成为1921681254，命令如下CONNECT1CONFIGIPDEFAULTGATEWAY1921681254将CONNECT1设置成为VTP（VLANTRUNKINGPROTOCOL）的客户机，VTP即VLAN中断协议，使得VLAN客户机可以从VLAN服务机上获得VLAN信息，这样就不必为每台交换机配置VLAN，大大减轻了网络管理人员的工作负担，同时也减少了在不同交换机上输入命令时出错的机率，保证了网络的正常运行命令如下CONNECT1CONFIGVTPMODECLIENT对CONNECT1端口进行具体的配置如下1端口双工配置CONNECT1CONFIGINTERFACERANGEFASTETHERNET0/124CONNECT1CONFIGIFRANGEDUPLEXFULL2端口速度配置CONNECT1CONFIGINTERFACERANGEFASTETHERNET0/124CONNECT1CONFIGIFRANGESPEED1003端口模式和端口所属VLAN的配置5在上面的拓扑结构图中我们很容易得出26端口属于VLAN2，712端口属于VLAN3，1318端口属于VLAN4，1922端口属于VLAN5，具体配置命令如下CONNECT1CONFIGVLAN2NAMEFINANCECONNECT1CONFIGVLAN3NAMEHUMAN_RESOURCECONNECT1CONFIGVLAN4NAMEAFTER_SALE_SERVERCONNECT1CONFIGVLAN5NAMEPUBLIC_RELATIONSCONNECT1CONFIGINTERFACEVLAN2CONNECT1CONFIGIFIPADDRESS19216822542552552550CONNECT1CONFIGIFNOSHUTDOWNCONNECT1CONFIGIFEXITCONNECT1CONFIGINTERFACEVLAN3CONNECT1CONFIGIFIPADDRESS19216832542552552550CONNECT1CONFIGIFNOSHUTDOWNCONNECT1CONFIGIFEXITCONNECT1CONFIGINTERFACEVLAN4CONNECT1CONFIGIFIPADDRESS19216842542552552550CONNECT1CONFIGIFNOSHUTDOWNCONNECT1CONFIGIFEXITCONNECT1CONFIGINTERFACEVLAN5CONNECT1CONFIGIFIPADDRESS19216852542552552550CONNECT1CONFIGIFNOSHUTDOWNCONNECT1CONFIGIFEXITCONNECT1CONFIGINTERFACERANGEFASTETHERNET0/122CONNECT1CONFIGIFRANGESWITCHPORTMODEACCESSCONNECT1CONFIGIFRANGEEXITCONNECT1CONFIGINTERFACERANGEFASTETHERNET0/26CONNECT1CONFIGIFRANGESWITCHPORTACCESSVLAN2CONNECT1CONFIGIFRANGEEXITCONNECT1CONFIGINTERFACERANGEFASTETHERNET0/712CONNECT1CONFIGIFRANGESWITCHPORTACCESSVLAN3CONNECT1CONFIGIFRANGEEXITCONNECT1CONFIGINTERFACERANGEFASTETHERNET0/1318CONNECT1CONFIGIFRANGESWITCHPORTACCESSVLAN4CONNECT1CONFIGIFRANGEEXITCONNECT1CONFIGINTERFACERANGEFASTETHERNET0/1922CONNECT1CONFIGIFRANGESWITCHPORTACCESSVLAN5CONNECT1CONFIGIFRANGEEXIT4快速端口和主干端口进行配置CONNECT1CONFIGINTERFACERANGEFASTETHERNET0/122CONNECT1CONFIGIFRANGESPANNINGTREEPORTFASTCONNECT1CONFIGIFRANGEEXIT由于CONNECT1是通过23和24号端口分别与汇聚层的交换机1和交换机2相连，所以把CONNECT1的23和24号端口设置成为主干端口。命令如下CONNECT1CONFIGINTERFACERANGEFASTETHERNET0/2324CONNECT1CONFIGIFRANGESWITCHPORTMODETRUNK到此，对CONNECT1的配置已基本上完成，接下来我们将对接入层的第二个交换机CONNECT2进行配置，其配置和CONNECT1的配置大体上是一样的。CONNECT2通过23和24号端口分别与汇聚层的COLLECT1和COLLECT2连接。CONNECT2的VLAN的划分如下26端口属于VLAN6，712端口属于VLAN7，1318端口属于VLAN8，1922端口属于VLAN9。CONNECT2的整体配置如下SWITCHCONFIGHOSTNAMECONNECT2CONNECT2CONFIGENABLESECRET123CONNECT2CONFIGNOIPDOMAINLOOKUPCONNECT2CONFIGLOGGINGSYNCHRONOUSCONNECT2CONFIGLINEVTY015CONNECT2CONFIGLINELOGINCONNECT2CONFIGLINEPASSWORD123CONNECT2CONFIGLINEEXECTIMEOUT530CONNECT2CONFIGLINEEXITCONNECT2CONFIGLINECON0CONNECT2CONFIGLINEEXECTIMEOUT530CONNECT2CONFIGLINEEXITCONNECT2CONFIGINTERFACEVLAN1CONNECT2CONFIGIFIPADDRESS192168122552552550CONNECT2CONFIGIFNOSHUTDOWNCONNECT2CONFIGIFEXITCONNECT2CONFIGIPDEFAULTGATEWAY1921681254CONNECT2CONFIGVTPMODECLIENTCONNECT2CONFIGINTERFACERANGEFASTETHERNET0/124CONNECT2CONFIGIFRANGESPEED100CONNECT2CONFIGIFRANGEDUPLEXFULLCONNECT2CONFIGIFRANGEEXITCONNECT2CONFIGVLAN6NAMETECHNIQUE_SUPPORTCONNECT2CONFIGVLAN7NAMEPRODUCECONNECT2CONFIGVLAN8NAMEEQUIPMENTCONNECT2CONFIGVLAN9NAMESALECONNECT2CONFIGINTERFACEVLAN6CONNECT2CONFIGIFIPADDRESS19216862542552552550CONNECT2CONFIGIFNOSHUTDOWNCONNECT2CONFIGIFEXITCONNECT2CONFIGINTERFACEVLAN7CONNECT2CONFIGIFIPADDRESS19216872542552552550CONNECT2CONFIGIFNOSHUTDOWNCONNECT2CONFIGIFEXITCONNECT2CONFIGINTERFACEVLAN8CONNECT2CONFIGIFIPADDRESS19216882542552552550CONNECT2CONFIGIFNOSHUTDOWNCONNECT2CONFIGIFEXITCONNECT2CONFIGINTERFACEVLAN9CONNECT2CONFIGIFIPADDRESS19216892542552552550CONNECT2CONFIGIFNOSHUTDOWNCONNECT2CONFIGIFEXITCONNECT2CONFIGINTERFACERANGEFASTETHERNET0/122CONNECT2CONFIGIFRANGESWITCHPORTMODEACCESSCONNECT2CONFIGIFRANGEEXITCONNECT2CONFIGINTERFACERANGEFASTETHERNET0/26CONNECT2CONFIGIFRANGESWITCHPORTACCESSVLAN6CONNECT2CONFIGIFRANGEEXITCONNECT2CONFIGINTERFACERANGEFASTETHERNET0/712CONNECT2CONFIGIFRANGESWITCHPORTACCESSVLAN7CONNECT2CONFIGIFRANGEEXITCONNECT2CONFIGINTERFACERANGEFASTETHERNET0/1318CONNECT2CONFIGIFRANGESWITCHPORTACCESSVLAN8CONNECT2CONFIGIFRANGEEXITCONNECT2CONFIGINTERFACERANGEFASTETHERNET0/1922CONNECT2CONFIGIFRANGESWITCHPORTACCESSVLAN9CONNECT2CONFIGIFRANGEEXITCONNECT2CONFIGINTERFACERANGEFASTETHERNET0/122CONNECT2CONFIGIFRANGESPANNINGTREEPORTFASTCONNECT2CONFIGIFRANGEEXITCONNECT2CONFIGINTERFACERANGEFASTETHERNET0/2324CONNECT2CONFIGIFRANGESWITCHPORTMODETRUNKCONNECT2CONFIGIFRANGEEXIT到此为止，对接入层的配置已基本上完成了。接下来对汇聚层的交换机进行配置。312配置汇聚层交换机汇聚层除了负责将接入层交换机进行汇集外,还为整个交换网络提供VALN间的路由选择功能。在这里我们采用的是CISCOWSC2950T24型的交换机，这种交换机拥有24个10/100M的自适应快速以太网端口和2个10/100/1000M的自适应用于光纤接入的端口即上连端口。配置汇聚层交换机COLLECT1基本参数如下。对汇聚层交换机COLLECT1的基本参数的配置与对接入层交换机CONNECT1的基本参数配置类似。具体的配置命令如下SWITCHCONFIGURETERMINAL或者CONFIGTENTERCONFIGURATIONCOMMANDSONEPERLINEENDWITHCNTL/ZSWITCHCONFIGHOSTNAMECOLLECT1COLLECT1CONFIGENABLESECRET123COLLECT1CONFIGNOIPDOMAINLOOKUPCOLLECT1CONFIGLOGGINGSYNCHRONOUSCOLLECT1CONFIGLINECON0COLLECT1CONFIGLINEEXECTIMEOUT530COLLECT1CONFIGLINEEXITCOLLECT1CONFIGLINEVTY015COLLECT1CONFIGLINEPASSWORD123COLLECT1CONFIGLINELOGINCOLLECT1CONFIGLINEEXECTIMEOUT530COLLECT1CONFIGLINEEXIT接下来配置汇聚层交换机COLLECT1的管理IP、默认网关。每一台交换机都有一个默认的管理VLAN即VLAN1，用来管理该交换机，所以我们只需要为VLAN1设置IP地址即可。同时为了能让网络管理人员在不同的子网中管理该交换机我们为其配置默认网关。具体配置命令如下COLLECT1CONFIGINTERFACEVLAN1COLLECT1CONFIGIFIPADDRESS192168132552552550COLLECT1CONFIGIFNOSHUTDOWNCOLLECT1CONFIGIFEXITCOLLECT1CONFIGIPDEFAULTGATEWAY1921681254然后把COLLET1配置为VTP服务器并配置其剪裁功能。当网络中交换机数量很多时，需要分别在每台交换机上创建很多的VLAN，工作量很大，过程很繁琐，并且很容易出错。所以在实际工作中我们都采用VTP来解决这个问题。我们只需要在VTP服务器上配置好LAN信息，VTP客户机就可以通过VTP来从VTP服务器上学习到VLAN信息了。同时，有关VLAN的删除，参数的更改操作都可以传播到其他的交换机上，从面大大减轻了网络管理人员的工作负担。命令如下COLLECT1CONFIGVTPDOMAINCISCOCOLLECT1CONFIGVTPMODESERVER一个交换网络中，某台交换机的所有端口都属于同一个VLAN，则它没有必要接收其他VLAN的用户数据，为了防止接收其他VLAN的用户数据我们可以启用VTP剪裁功能。命令如下COLLECT1CONFIGVTPPRUNING接下来为COLLET1配置VLAN和端口设置并启动路由功能。在上面的拓扑结构图中我们可以看到我们的服务器群直接连接到我们的汇聚层交换机上。所以要在COLLECT1上定义VLAN，命令如下6COLLECT1CONFIGVLAN10NAMESERVER_GROUPCOLLECT1CONFIGINTERFACEVLAN10COLLECT1CONFIGIFIPADDRESS192168102542552552550COLLECT1CONFIGIFNOSHUTDOWNCOLLECT1CONFIGIFEXITCOLLECT1CONFIGINTERFACERANGEFASTETHERNET0/124COLLECT1CONFIGIFRANGEDUPLEXFULLCOLLECT1CONFIGIFRANGESPEED100COLLECT1CONFIGIFRANGEINTERFACERANGEFASTETHERNET0/122COLLECT1CONFIGIFRANGESWITCHPORTMODEACCESSCOLLECT1CONFIGIFRANGESPANNINGTREEPORTFASTCOLLECT1CONFIGIFRANGEINTERFACERANGEFASTETHERNET0/115COLLECT1CONFIGIFRANGESWITCHPORTACCESSVLAN10COLLECT1CONFIGIFRANGEINTERFACERANGEFASTETHERNET0/2324COLLECT1CONFIGIFRANGESWITCHPORTMODETRUNKCOLLECT1CONFIGIFRANGEINTERFACERANGEGIGABITETHERNET0/12COLLECT1CONFIGIFRANGESWITCHPORTMODETRUNKCOLLECT1CONFIGIPROUTINGCOLLECT1CONFIGIPROUTE000000001921681254为了实现对无类别网络（CLASSLESSNETWORK）以及全零子网（SUBNETZERO）的支持，还需要进行相应的配置，如下所示COLLECT1CONFIGIPCLASSLESSCOLLECT1CONFIGIPSUBNETZERO接下来完成COLLET2的配置。汇聚层交换机COLLECT2的配置和COLLECT1的配置基本上相同，只是不需要为其配置VLAN。具体配置命令如下SWITCHCONFIGURETERMINAL或者CONFIGTENTERCONFIGURATIONCOMMANDSONEPERLINEENDWITHCNTL/ZSWITCHCONFIGHOSTNAMECOLLECT2COLLECT2CONFIGENABLESECRET123COLLECT2CONFIGNOIPDOMAINLOOKUPCOLLECT2CONFIGLOGGINGSYNCHRONOUSCOLLECT2CONFIGLINECON0COLLECT2CONFIGLINEEXECTIMEOUT530COLLECT2CONFIGLINEEXITCOLLECT2CONFIGLINEVTY015COLLECT2CONFIGLINEPASSWORD123COLLECT2CONFIGLINELOGINCOLLECT2CONFIGLINEEXECTIMEOUT530COLLECT2CONFIGLINEEXITCOLLECT2CONFIGINTERFACEVLAN1COLLECT2CONFIGIFIPADDRESS192168142552552550COLLECT2CONFIGIFNOSHUTDOWNCOLLECT2CONFIGIFEXITCOLLECT2CONFIGIPDEFAULTGATEWAY1921681254COLLECT2CONFIGVTPDOMAINCISCOCOLLECT2CONFIGVTPMODESERVERCOLLECT2CONFIGVTPPRUNINGCOLLECT2CONFIGINTERFACERANGEFASTETHERNET0/124COLLECT2CONFIGIFRANGEDUPLEXFULLCOLLECT2CONFIGIFRANGESPEED100COLLECT2CONFIGIFRANGEINTERFACERANGEFASTETHERNET0/122COLLECT2CONFIGIFRANGESWITCHPORTMODEACCESSCOLLECT2CONFIGIFRANGESPANNINGTREEPORTFASTCOLLECT2CONFIGIFRANGEINTERFACERANGEFASTETHERNET0/2324COLLECT2CONFIGIFRANGESWITCHPORTMODETRUNKCOLLECT2CONFIGIFRANGEINTERFACERANGEGIGABITETHERNET0/12COLLECT2CONFIGIFRANGESWITCHPORTMODETRUNKCOLLECT2CONFIGIPROUTINGCOLLECT2CONFIGIPROUTE000000001921681254COLLECT2CONFIGIPCLASSLESSCOLLECT2CONFIGIPSUBNETZERO到此我们对汇聚层交换机的配置已基本上完成了。接下来我们将对核心层交换机进行配置。313配置核心层交换机核心层交换机将各汇聚层交换机互连起来进行穿越园区网骨干的高速数据交换，在本企业网的设计中我们核心层交换机所采用的是CISCOWSC3750G24TSS交换机。对核心层交换机CORE的配置与对接入层交换机的配置类似。具体配置命令7如下SWITCHCONFIGURETERMINAL或者CONFIGTENTERCONFIGURATIONCOMMANDSONEPERLINEENDWITHCNTL/ZSWITCHCONFIGHOSTNAMECORECORECONFIGENABLESECRET123CORECONFIGNOIPDOMAINLOOKUPCORECONFIGLOGGINGSYNCHRONOUSCORECONFIGLINECON0CORECONFIGLINEEXECTIMEOUT530CORECONFIGLINEEXITCORECONFIGLINEVTY015CORECONFIGLINEPASSWORD123CORECONFIGLINELOGINCORECONFIGLINEEXECTIMEOUT530CORECONFIGLINEEXIT配置核心层交换的VLAN和默认网关CORECONFIGINTERFACEVLAN1CORECONFIGIFIPADDRESS192168152552552550CORECONFIGIFNOSHUTDOWNCORECONFIGIFEXITCORECONFIGIPDEFAULTGATEWAY1921681254配置核心层交换机为VTP客户机CORECONFIGVTPMODECLIENT配置核心层交换机的端口CORECONFIGINTERFACERANGEFASTETHERNET0/124CORECONFIGIFRANGEDUPLEXFULLCORECONFIGIFRANGESPEED100CORECONFIGIFRANGESWITCHPORTMODEACCESSCORECONFIGIFRANGESPANNINGTREEPORTFASTCORECONFIGIFRANGEEXITCORECONFIGINTERFACERANGEGIGABITETHERNET0/12CORECONFIGIFRANGESWITCHPORTMODETRUNKCORECONFIGIFRANGEEXIT启动核心层CORE交换机的路由功能CORECONFIGIPROUTINGCORECONFIGIPROUTE000000001921681254为了实现对无类网络（CLASSLESS）和全零子网（SUBNETZERO）的支持，进行如下的配置CORECONFIGIPCLASSLESSCORECONFIGIPSUBNETZERO到此对于核心层的配置已基本完成，接下来我们对路由器进行配置。32配置路由器在本企业网中采用的是CISCO3745的路由器，它通过自己的串行接口SERIAL0/0使用DDN技术接入INTERNET。其作用主要是在INTERNET和企业网之间路由数据包。除了完成主要的路由任务外，利用访问控制列表（ACCESSCONTROLLIST，ACL），路由器ROUTER还可用来完成以自身为中心的流量控制和过滤功能并实现一定的安全功能8。其基本配置与接入层交换机的配置类似，配置命令如下需说明的是由普通用户进入特权模式输入命令ENABLE，由特权模式进入全局配置模式输入命令CONFIGT全写为CONFIGURETERMINALROUTERCONFIGURETERMINALROUTERCONFIGHOSTNAMEROUTERROUTERCONFIGENABLESECRET123ROUTERCONFIGNOIPDOMAINLOOKUPROUTERCONFIGLOGGINGSYNCHRONOUSROUTERCONFIGLINECON0ROUTERCONFIGLINEEXECTIMEOUT530ROUTERCONFIGLINELINEVTY04ROUTERCONFIGLINEPASSWORD123ROUTERCONFIGLINELOGINROUTERCONFIGLINEEXECTIMEOUT530ROUTERCONFIGLINEEXIT321配置路由器ROUTER的各接口参数主要是对接口FASTETHERNET0/0以及接口SERIAL0/0的IP地址、子网掩码的配置。配置命令如下ROUTERCONFIGINTERFACEFASTETHERNET0/0ROUTERCONFIGIFIPADDRESS19216812542552552550ROUTERCONFIGIFNOSHUTDOWNROUTERCONFIGIFINTERFACESERIAL0/0ROUTERCONFIGIFIPADDRESS20216811ROUTERCONFIGIFNOSHUTDOWN322配置路由器ROUTER的路由功能在ROUTER路由器上需要定义两个路由到企业内部的静态路由和到INTERNET上的缺省路由。ROUTERCONFIGIPROUTE0000000020216811到企业网内部的路由经过路由汇总后形成两个路由条目如下所示ROUTERCONFIGIPROUTE19216800255255240019216813ROUTERCONFIGIPROUTE19216800255255240019216814323在路由上设置NAT由于目前IP地址资源非常稀缺，不可能给企业网内部的每台工作站都分配一个公有IP地址，为了解决所有工作站访问INTERNET的需要，必须使用NAT（网络地址转换）技术。为了接入INTERNET，本企业网向当地的ISP申请了10个IP地址。20216811202168110,其中20216811分配给了SERIAL0/0，20216812和20216813分配给两个经现办公室。其它就进行NAT转换。定义NAT转换的内部、外部接口ROUTERCONFIGINTERFACEFASTETHERNET0/0ROUTERCONFIGIFIPNATINSIDEROUTERCONFIGIFINTERFACESERIAL0/0ROUTERCONFIGIFIPNATOUTSIDE定义允许进行NAT转换的工作站的IP地址范围ROUTERCONFIGIPACCESSLIST1PERMI置路由器上的ACL路由器是外网进入企业内网的第一道关卡，是网络防御的前沿阵地。路由器上的ACL是保护内网安全的有效手段。一个设计良好的ACL不仅可以起到控制网络流量、流向的作用，还可以在不增加网络系统软、硬件投资的情况下完成一般软、硬