中小型企业网络规划及实施方案

1、华夏企业网络规划及实施方篥信息工程学院2011年12月11日目录TOC o 1-5 h z HYPERLINK l bookmark4 o Current Document 第一章项目概述1 HYPERLINK l bookmark6 o Current Document 1.1项目背景11.2项目目标11.2.1本期目标11.2.2本期项目环境要求11.2.3本期项目所需设备2 HYPERLINK l bookmark8 o Current Document 第二章技术介绍2 HYPERLINK l bookmark10 o Current Document SVI2 HYPERLINK l

2、 bookmark12 o Current Document 2.2端口安全2 HYPERLINK l bookmark14 o Current Document 2.3端口聚合2 HYPERLINK l bookmark16 o Current Document 2.4快速生成树协议（RSTP）3 HYPERLINK l bookmark18 o Current Document VRRP3 HYPERLINK l bookmark20 o Current Document ACL3 HYPERLINK l bookmark22 o Current Document RIP3 HYPERLI

3、NK l bookmark24 o Current Document NAT3 HYPERLINK l bookmark26 o Current Document CHAP3 HYPERLINK l bookmark28 o Current Document VPN4 HYPERLINK l bookmark30 o Current Document 第三章解决方案4 HYPERLINK l bookmark32 o Current Document 3.1规划场景4 HYPERLINK l bookmark34 o Current Document 3.2网络实施拓扑5 HYPERLINK

4、l bookmark36 o Current Document 3.3网络实施分析5 HYPERLINK l bookmark38 o Current Document 3.4项目实施流程6 HYPERLINK l bookmark40 o Current Document 6设备命名规则6 HYPERLINK l bookmark42 o Current Document 3.7接口描述规则7 HYPERLINK l bookmark44 o Current Document IP地址规划7 HYPERLINK l bookmark46 o Current Document VLAN规划8

5、HYPERLINK l bookmark48 o Current Document 第四章设备配置9 HYPERLINK l bookmark50 o Current Document 4.1设备配置命令文档9 HYPERLINK l bookmark52 o Current Document 4.2交换机配置20划分VLAN204.2.2端口安全配置及测试274.2.3VRRP配置314.2.4端口聚合和快速生成树配置及测试332.5扩展访问控制列表的配置38 HYPERLINK l bookmark120 o Current Document 4.3路由器配置434.3.1路由协议的配置及

6、chap的配置43 HYPERLINK l bookmark140 o Current Document 4.3.2配置NAT转换49 HYPERLINK l bookmark142 o Current Document 4.4VPN配置及测试52 HYPERLINK l bookmark156 o Current Document 4.5整体测试58 HYPERLINK l bookmark158 o Current Document 第五章服务器配置及测试66 HYPERLINK l bookmark160 o Current Document FTP服务器的配置与测试66 HYPERLI

7、NK l bookmark170 o Current Document WEB服务器的搭建与测试70 HYPERLINK l bookmark172 o Current Document 第六章系统优化方案74 HYPERLINK l bookmark174 o Current Document 6.1当前网络目前存在的问题75 HYPERLINK l bookmark176 o Current Document 6.2网络优化目标75 HYPERLINK l bookmark178 o Current Document 第七章工程总结75第一章项目概述1.1项目背景“功欲善其事，必先利其器”

8、，华夏企业深刻认识到业务要发展、必须提高企业内部核心竞争力、而建立一个方便快捷安全的通信网络综合信息支撑系统，已迫在眉睫，计划建设新的企业园区网络，希望通过这个新建的网络，提供一个安全、可靠、可扩展、高效的网络环境，将自己的分公司与总公司两个办公地点连接到一起，使公司内部能够方便快捷地实现网络资源共享、全网接入Internet等目标，同时实现公司内部的消息保密隔离，以及对于公网的安全访问。1.2项目目标1.2.1本期目标为了确保关键应用的正常运行，安全实施，企业网络必须具备如下特性：采用先进通信技术完成公司网络建设，连接两个距离较远的公司网络办公地点。为了提高数据的传输速率，在整个公司内部网络

9、内控制广播域的范围。在整个公司网络内实现资源共享，并保证骨干网络的高可靠性。公司内部网络中实现高效的路由选择。构造一个既能覆盖本地又能与外界进行网络互通、共享信息、展示企业的计算机企业网;选用技术先进、具有容错能力的网络产品，在投资和条件允许的情况下也可采用结构容错的方法；完全符合开放性规范，将业界优秀的产品集成于该综合网络平台之中；具有较好的可扩展性，为今后的网络扩容作好准备；整个公司计划采用10M光纤接入到运营商提供的Internet。集团统一一个出口，便于控制网络安全；设备选型上必须在技术上具有先进性，通用性，且必须便于管理，维护。应具备未来良好的可扩展性，可升级性，保护公司的投资。设备

10、要在满足该项目的功能和性能上还具有良好的性价比。设备在选型上要是拥有足够实力和市场份额的主流产品。1.2.2本期项目环境要求该公司具有两个公司网络，且相距较远。公司A为总公司，办公点具有的部门较多，如业务部，综合部等，为主要的办公场所，因此这部分的交换网络对可用性和可靠性要求较高。B办公地点只有较少办公人员，但是Internet的接入点在这里。该公司网络已经申请到了若干公司IP地址，供公司内网接入使用。公司内网使用私有地址。本公司移动办公人员较多1.2.3本期项目所需设备设备名称：设备型号：设备数量：备注：路由器RG-17004台用在核心层使得能够在网络的不同部分之间咼效、快速地传输数据三层交

11、换机RG-S3750-242台用在汇聚层，根据处理结果将用户流量转发到核心父换层或在本地进行路由处理等等二层交换机RG-S226G2台用在接入层，允许终端用户连接到网络第二章技术介绍SVISVI是交换机虚拟接口。用于三层交换机跨vlan间路由。具体可以用interfacevlan接口配置命令来创建svi,然后为其配置ip地址即可实现路由功能。2端口安全最常用的对端口安全的理解就是可根据MAC地址来做对网络流量的控制和管理，比如MAC地址与具体的端口绑定，限制具体端口通过的MAC地址的数量，或者在具体的端口不允许某些MAC地址的帧流量通过。2.3端口聚合端口聚合主要用于交换机之间连接。由于两个交

12、换机之间有多条冗余链路的时候，STP会将其中的几条链路关闭，只保留一条，这样可以避免二层的环路产生。但是，失去了路径冗余的优点，因为STP的链路切换会很慢，在50s左右。使用以太通道的话，交换机会把一组物理端口联合起来，做为一个逻辑的通道，也就是channelgroup,这样交换机会认为这个逻辑通道为一个端口。2.4快速生成树协议(RSTP)RSTP:快速生成树协议(rapidspanningTreeProtocol)：802.1w由802.1d发展而成，这种协议在网络结构发生变化时，能更快的收敛网络。它比802.1d多了两种端口类型：预备端口类型(alternateport)和备份端口类型。

13、STP(SpanningTreeProtocol)是生成树协议的英文缩写。该协议可应用于环路网络，通过一定的算法实现路径冗余，同时将环路网络修剪成无环路的树型网络，从而避免报文在环路网络中的增生和无限循环。VRRP虚拟路由器冗余协议(VRRP)是一种选择协议，它可以把一个虚拟路由器的责任动态分配到局域网上的VRRP路由器中的一台。控制虚拟路由器IP地址的VRRP路由器称为主路由器，它负责转发数据包到这些虚拟IP地址。一旦主路由器不可用，这种选择过程就提供了动态的故障转移机制，这就允许虚拟路由器的IP地址可以作为终端主机的默认第一跳路由器。使用VRRP的好处是有更高的默认路径的可用性而无需在每个

14、终端主机上配置动态路由或路由发现协议。VRRP包封装在IP包中发送。ACL访问控制列表(AccessControlList,ACL)是路由器和交换机接口的指令列表，用来控制端口进出的数据包。ACL适用于所有的被路由协议，如IP、IPX、AppleTalk等。这张表中包含了匹配关系、条件和查询语句，表只是一个框架结构，其目的是为了对某种访问进行控制。RIP路由信息协议(RIP)是一种在网关与主机之间交换路由选择信息的标准。RIP是一种内部网关协议。在国家性网络中如当前的因特网，拥有很多用于整个网络的路由选择协议。作为形成网络的每一个自治系统，都有属于自己的路由选择技术，不同的AS系统，路由选择技

15、术也不同。NAT网络地址转换(NAT,NetworkAddressTranslation)属接入广域网(WAN)技术，是一种将私有(保留)地址转化为合法IP地址的转换技术，它被广泛应用于各种类型Internet接入方式和各种类型的网络中。原因很简单，NAT不仅完美地解决了lP地址不足的问题，而且还能够有效地避免来自网络外部的攻击，隐藏并保护网络内部的计算机。CHAPCHAP全称是PPP（点对点协议）询问握手认证协议（ChallengeHandshakeAuthenticationProtocol）。该协议可通过三次握手周期性的校验对端的身份，可在初始链路建立时完成时，在链路建立之后重复进行。通

16、过递增改变的标识符和可变的询问值，可防止来自端点的重放攻击，限制暴露于单个攻击的时间。VPN虚拟专用网络（VirtualPrivateNetwork，简称VPN）指的是在公用网络上建立专用网络的技术。其之所以称为虚拟网，主要是因为整个VPN网络的任意两个节点之间的连接并没有传统专网所需的端到端的物理链路，而是架构在公用网络服务商所提供的网络平台，如Internet、ATM（异步传输模式FrameRelay（帧中继）等之上的逻辑网络，用户数据在逻辑链路中传输。它涵盖了跨共享网络或公共网络的封装、加密和身份验证链接的专用网络的扩展。VPN主要采用了彩隧道技术、加解密技术、密钥管理技术和使用者与设备

17、身份认证技术。第三章解决方案1规划场景规划场景如下图所示：分公司FTP服务賢一WEB服务器分公司FTP服务賢一WEB服务器办公地.点A财务部人事部业务部工程部策划部技术部办公地点3.2网络实施拓扑网络实施拓扑如下图所示:HE.10D.LD.L/2AJ.C：lf-KM.:.侧：):.Id:.3二J-1:即2D:.：.Is2D：.：.：.：般血舗酬站岸口琏BSTP盖轴:汇商HE.10D.LD.L/2AJ.C：lf-KM.:.侧：):.Id:.3二J-1:即2D:.：.Is2D：.：.：.：般血舗酬站岸口琏BSTP盖轴:汇商3谿点强密二，曲飭懈拥删B由，呦JA：RTP础巴1B：哑”沁MhELI備由器

18、crL72IS173IG.I3：2I3:.：T：日EI112.:4Q1if-J-F-Hr:-)1：汀).二tIl.WvlalDflarlDrlr.3Din1:Xy?417：-门广：厂7:im：172.LB.2D.I172.IB.3D.Ivla901T.f-i:讯-3：丁罠11216aL-5：-1C(:.0Z.：10.I呛际已:工：1.二f7-Ll：L【L|lt訂，：“：dm17：I：301/24恥172.16.30l/2tzmsii?DK?=：崔：醐吶djovc:：?:ai:izkvm：:仝：:i-FiJ：.2J丫仏：工.：.：）.：二：:）.：skK.：!：.：.：）.：3.3网络实施分析1

19、在接入层使用二层交换机，在接入层交换机上划分vlan，则可以实现对广播域的隔离，财务部vlan1O，人事部vlan20，业务部vlan30，策划部vlan40,技术部vlan50,工程部vlan60.2建设双核心的高可靠性网络，核心交换互为备份。为充分发挥设备的性能，两台核心交换承担不同用户数据负载。交换机之间的链路配置为Trunk链路，三层交换机上采用SVI方式实现vlan之间的路由。两台核心交换机之间采用双链路连接，在两台三层交换机之间配置端口聚合，以提高带宽。接入交换机的Access端口上采用端口安全的方式实现对允许的连接数量的控制，以提高网络的安全性。5为了提高网络的可靠性，整个交换网

20、络内配置RSTP，以避免环路带来的影响6两台三层交换上配置路由接口，连接A办公地点的路由器R1,并在R1和R2分别配置接口IP地址。并启用RIP路由协议，实现全网互通。7.R1和R2办公地点的路由器R2之间通过广域网链路连接，在R1和R2的广域网接口上配置chap协议提供一定的安全性。&两台三层交换机上配置默认路由，指向Rl；R1上配置配置默认路由指向R2；R2上配置默认路由指向连接到因特网的下一条地址。在R2上配置NAT方式实现企业内网仅用少量公网IP地址到因特网的访问。在S2上，用ACL实现财务部可以访问WEB服务器和FTP服务器，其他部门都能访问WWW服务但不能访问FTP服务器。通过VP

21、N实现移动办公人员，分公司与总公司的通信。3.4项目实施流程1在核心交换机（型号RG-S3750-24）与接入交换机（型号RG-S2261G）上分别创建相应的VLAN；核心交换机与接入交换机之间建立TRUNK链路；两台核心交换机直接通过双链路相连，实现端口聚合；在全部交换机上配置RSTP，指定两台三层交换机分别为根网桥和备份根网桥；在接入交换机的access链路上实现端口安全；配置三层交换机的VLAN间路由功能；7在三层交换机的路由端口、R1和R2上配置接口IP地址；&R1和R2配置广域网链路，启用PPP协议和配置CHAP认证；运用RIPV2路由协议配置企业内网的路由，用静态路由实现企业内网到

22、互联网的访问；在路由器R1上做NAT实现内网对外网的访问；建立WEB、FTP服务器，使企业内网实现资源共享；为了控制内网对互联网的访问，在路由器上作访问控制列表；在总公司与分公司之间建立VPN连接。3.6设备命名规则为了标识网络设备、便于管理网络设备，应该为网络中每一台设备赋予名称标识，设备命名的基本原则为：能表示出网络设备的类型；能表示出网络设备的物理位置；能表示出网络设备所属的网络层次；相同物理位置和网络层次的网络设备由不同序号区分；能反映出该设备的业务属性和网元功能。本次工程的设备命名规范如下：交换机命名以SW开头，路由器命名以R开头，服务器命名以Server开头。举例说明：比如说二层交

23、换机SW1,SW2,路由器R1,R2。3.7接口描述规则为了标识设备端口，便于后期维护，应为没一个接口设置接口描述，接口描述的基本规则为：能表示出端口的对端网元设备能表示出端口的类型能反映出对端端口所在板卡的物理槽位本次工程的接口描述规范如下：快速以太网口用f开头，串口用S开头。举例说明：例如交换机SW1的快速以太网口f0/10端口，路由器R1的串口S0/1/0端口。3.8IP地址规划ip地址规划的结果直接影响到网络运行的质量，以下是几点ip地址规划的基本原则：唯一性：一个IP网络中不能有两个主机采用相同的IP地址。即使使用了支持地址重叠的MPLS/VPN技术，也尽量不要规划为相同的地址。连续

24、性：连续地址在层次结构网络中易于进行路径叠合，大大缩减路由表，提高路由算法的效率。扩展性：地址分配在每一层次上都要留有余量，在网络规模扩展时能保证地址叠合所需的连续性。实义性：“望址生义”好的IP地址规划使每个地址具有实际含义，看到一个地址就可以大至判断出该地址所属的设备。这是IP地址规划中最具技巧型和艺术性的部分。最完美的方式是得出一个IP地址公式，以及一些参数及系数，通过计算得出每一个需要用到的IP地址。各部门地址分配如下所示：部门名称：IP地址（子网掩码均为24位）：财务部人事部业务部工程部策划部-技术部网络设备接口地址如下所示：设备名称：端口号：IP地址：三层交换机1Fa0/24/24

25、二层父换机2Fa0/24/24Fa0/6/24R1Fa1/0/24Fa1/24Se0/1/0/24R2Se0/0/0/24Se0/1/0/24R3（ISP路由器）Se0/0/0/24Se0/0/1/24R4Se0/0/0/24Fa0/0/24分公司其中一台PCFastEthernet/24FTP服务器FastEthernet/24WEB服务器FastEthernet/243.9VLAN规划部门VLAN财务部10人事部20业务部30工程部40策划部50技术部60第四章设备配置4.1设备配置命令文档设备配置命令财务部代表PC机1IP：子网掩码：网关：人事部代表PC机1IP：子网掩码：网关：业务部代

26、表PC机1IP：子网掩码：网关：工程部代表PC机1IP：子网掩码：网关：策划部代表PC机1IP：子网掩码：网关：技术部代表PC机1IP：子网掩码：网关：SW1（注：此代码在特权模式下输入）configtHostnamesw1vlan10vlan20vlan30exitinterfacefa0/3switchportmodeaccessswitchportaccessvlan10/将财务部划入vlan10exitinterfacefa0/4switchportmodeaccessswitchportaccessvlan20/将人事部划入vlan20exitinterfacefa0/5switch

27、portmodeaccessswitchportaccessvlan30/将业务部划入vlan30exitinterfacerangefa0/1-2switchportmodeaccessswitchportmodetrunknoshutdownExitconfitinterrangefa0/6-24/进入一组端口的配置模式switchportmodeaccessswitchportport-security/配置交换机的端口安全功能switchportport-securitymaximum4/设置取大允许连接数量为4switchportport-securityviolationshutd

28、ownendSW2（注：此代码在特权模式下输入）configtHostnamesw2vlan40vlan50vlan60exitinterfacefa0/3switchportmodeaccessswitchportaccessvlan40/将工程部划入vlan40exitinterfacefa0/4switchportmodeaccessswitchportaccessvlan50/将策划部划入vlan50exitinterfacefa0/5switchportmodeaccessswitchportaccessvlan60/将技术部划入vlan60exitinterfacerangefa0

29、/1-2switchportmodeaccessswitchportmodetrunknoshutdownexitinterrangefa0/6-24/进入一组端口的配置模式switchportmodeaccessswitchportport-security/配置交换机的端口安全功能switchportport-securitymaximum4/设置取大允许连接数量为4switchportport-securityviolationshutdown/配置安全违例的处理方式为shutdownendSW3（注：此代码在特权模式下输入）configtHostnmesw3vlan10vlan20vl

30、an30exitinterfacerangefa0/3-4/交换机之间配置TRUNK链路switchportmodeaccessswitchportmodetrunknoshutdownexitinterfaceaggregateport1/创建聚合接口AGIswitchportmodeaccessswitchportmodetrunk/配置AG模式为trunkexitinterfacerangefa0/1-2/进入接口0/1和0/2port-group1/配置接口0/1和0/2属于AGIexitspanning-tree/开启生成树协议spanning-treemoderstp/扌旨定生成树

31、协议的类型为RSTPinterfacevlan10/配置SVIipaddressnoshutdownexitinterfacevlan20ipaddressnoshutdownexitinterfacevlan30ipaddressnoshutdownexitinterfacefa0/24noswitchportipaddressnoshutdownexitiproute/配置默认路由interrangefa0/5-23/进入一组端口的配置模式switchportmodeaccessswitchportport-security/配置交换机的端口安全功能switchportport-secur

32、itymaximum4/设置取大允许连接数量为4switchportport-securityviolationshutdown/配置安全违例的处理方式为shutdownexitintervlan10standby2priority200/配置优先级standby2ip54/配置vrrp组和虚拟路由器的IP地址intervlan20standby2priority160/配置优先级standby2ip54/配置vrrp组和虚拟路由器的IP地址intervlan30standby2priority120/配置优先级standby2ip54/配置vrrp组和虚拟路由器的IP地址exitSW4（注：

33、此代码在特权模式下输入）configtHostnamesw4vlan40vlan50vlan60exitinterfacerangefa0/3-4switchportmodeaccessswitchportmodetrunknoshutdownexitinterfaceaggregateport1/创建聚合接口AGIswitchportmodeaccessswitchportmodetrunk/配置AG模式为trunkexitinterfacerangefa0/1-2/进入接口0/1和0/2port-group1/配置接口0/1和0/2属于AGIexitspanning-tree/开启生成树协

34、议spanning-treemoderstp/扌旨定生成树协议的类型为RSTPinterfacevlan40/配置SVIipaddressnoshutdownexitinterfacevlan50ipaddressnoshutdownexitinterfacevlan60ipaddressnoshutdownexitinterfacefa0/24noswitchportipaddressnoshutdownexitinterfacefa0/6noswitchportipaddressnoshutdownexitiprouteinterrangefa0/5-23/进入一组端口的配置模式switc

35、hportmodeaccessswitchportport-security/配置交换机的端口安全功能switchportport-securitymaximum4/设置最大允许连接数量为4switchportport-securityviolationshutdown/配置安全违例的处理方式为shutdownexitintervlan10standby2priority200/配置优先级standby2ip54/配置vrrp组和虚拟路由器的IP地址intervlan20standby2priority160/配置优先级standby2ip54/配置vrrp组和虚拟路由器的IP地址interv

36、lan30standby2priority120/配置优先级standby2ip54/配置vrrp组和虚拟路由器的IP地址Exitaccess-list101permittcp5555eqftp/允许网段访问网段上TCP协议的FTP服务器access-list101denytcpany55eqftp/拒绝任何主机访问网段上TCP协议的FTP服务器access-list101permittcpany55eqwww/允许任何主机访问网段上TCP协议的FTP服务器accessTist101permitipanyanyinterfacefa0/6/把编号为101的扩展访问控制列表应用到fa0/6端口i

37、paccess-group101outexitR1（注：此代码在特权模式下输入）configtHostnamer1interfacefa0/0/在特权模式下进入F0/0口ipaddress/给F0/0配置IP地址noshutdownexitinterfacefa0/1ipaddressnoshutdownexitinterfacese0/1/0/在特权模式下进入S0/1/0口ipaddress/给S0/1/0配置IP地址clockrate64000/设置时钟同步noshutdownexitrouterrip/创建RIP路由进程version2/启动RIP版本2进程network/发布自己所关联

38、的网络network/发布自己所关联的网络network/发布自己所关联的网络iproute/配置一条到达IP为的认路由iproute/配置一条到达IP为的默认路由iprouteusernameR2password0123/以对方的主机名作为用户名，密码为123interfacesO/l/Oencapsulationppp/把该接口封装为PPP协议pppauthenticationpap/PPP启用PAP方式认证R2（注：此代码在特权模式下输入）configtHostnamer2interfacese0/1/0/在特权模式下进入S0/1/0口ipaddress/给S0/1/0配置IP地址clo

39、ckrate64000noshutdownexitinterfacese0/0/0ipaddressnoshutdownexitcryptoisakmppolicy10/ipsec第一阶段，定义ISAKMP策略encryption3des/加密方法使用3deshashmd5/散列算法使用md5authenticationpre-share/认证方法使用预共享密钥cryptoisakmpkeyhxaddress/将ISAKMP预共享密钥和对等体关联，预共享密钥为“hx”。cryptoipsectransform-settimesp-3desesp-md5-hmac/设置ipsec转换（交换）集。

40、access-list101permitip5555/创建感兴趣数据流cryptomaptom10ipsec-isakmp/ipsec第二阶段，设置加密图matchaddress101setpeer/加载感兴趣流settransform-settim/设置对等体地址interfacese0/1/0cryptomaptom/在接口上应用加密图routerrip/创建RIP路由进程version2/启动RIP版本2进程network/发布自己所关联的网络network/发布自己所关联的网络iproute/配置默认路由iprouteusernameR1password0123/以对方的主机名作为用户

41、名，密码为123interfaces0/0/0encapsulationppp/把该接口封装为PPP协议pppauthenticationpap/PPP启用PAP方式认证Exitinterfacese0/1/0ipnatoutside/配置为外部接口exitinterfacese0/0/0ipnatinside/配置为内部接口access-list1permit55/配置允许地址转换的内部本地地址范围access-list1permit55access-list1permit55access-list1permit55access-list1permit55access-list1permit

42、55ipnatpoolhxnetmask/定义内部网络全局地址池ipnatinsidesourcelist1poolhx/配置内部本地地址与内部全局地址的映射关系exitR3即configtISP路由器（注：此代码在特权模式下输入）Hostnamer3interfacese0/0/1ipaddressnoshutdownexitinterfacese0/0/0ipaddressnoshutdownexitrouterrip/创建RIP路由进程version2/启动RIP版本2进程network/发布自己所关联的网络network/发布自己所关联的网络iproute/配置到达非直连网络的下一跳地

43、址为iprouteR4（注：此代码在特权模式下输入）configtHostnamer4cryptoisakmppolicy10/ipsec第一阶段，定义ISAKMP策略encr3des/加密方法使用3deshashmd5/散列算法使用md5authenticationpre-share/认证方法使用预共享密钥cryptoisakmpkeyhxaddress/将ISAKMP预共享密钥和对等体关联，预共享密钥为“hx”。cryptoipsectransform-settimesp-3desesp-md5-hmac/设置ipsec转换（交换）集cryptomaptom10ipsec-isakmp/i

44、psec第二阶段，设置加密图setpeer/加载感兴趣流settransform-settim/设置对等体地址matchaddress101access-list101permitip55F/创建感兴趣数据流interfacese0/0/0ipaddressclockrate64000noshutdowncryptomaptom/在接口上应用加密图interfaceFastEthernet0/0ipaddressnoshutdownrouterrip/创建RIP路由进程version2/启动RIP版本2进程network/发布自己所关联的网络network/发布自己所关联的网络iproute/

45、配置默认路由4.2交换机配置4.2.1划分VLAN在二层交换机1,2,三层交换机3,4上创建vlanlO、20、30、40、50、60,输入设备如下图所示:C:WINNTsyEtem32telneteueSlslen14Password：slflcanfigtEeperline.EndwithCNIL/Z.siCnnnfan1clCcanfiyvlanMIulan2011-11-2316:27:21siCccinfitluIan2B1111231G：27：27Lltlu1iii”0siCnnnfan1clCcanfiyvlanMIulan2011-11-2316:27:21siCccinfit

46、luIan2B1111231G：27：27Lltlu1iii”0丄丄一丄丄一23丄5：27：31si4lulan2W11-11-231W邛siCcanfiy-ulanHuJan2011-11-231S：2?：43siflD5-CONFIG:Cnnfiguiedfromoutband2005-CONFIGsConfromoutband20P5-CONFIG=CcnfigrureJ.frurnuLithcind4005-CONFIG=ConfIguedfromoutband50eb-CONF!G：Configuietlfromoutbandb&P5-CONFIG：Configuredfroniou

47、tband=C:WINNTsystem32telnetexe=C:WINNTsystem32telnetexe|n|=C:WINNTsystem32telnetexe=C:WINNTsystem32telnetexe|n|DIsen14Password：s2flcanfigtEnterconfiguratiancomnands,cneperline.EndwithCNIL/Z.s2ttulanIS2011-11-2317:42:25s2flulan2011-11-2317:42:25s2flulan2011-11-2317:42:26ilulan21111-11-517：42：3fiilu1-

48、rp2011-11-2217：42：2Gs2tlvla.n2011-11-2317：42：3G(?5-CONFIG：Configfuredfromoutband20(?5-CONFIG：Confitjupedfromoutband30(?5-CONFIG：Conficruredfromoutband4HPS-CONFIG：Cnnf-igriivRilFpnmnuthAnil(?5-CONFIG：ConfromoutbAndt&P5-CONFIG：Configfurcdl-omoutboinds2s3en14Password：s3iteonfigtEnterconfigruiaticncnepe

49、i*line=s3Cconf1tula.n2011-112310=34:27s3tlvlcin20丄1-1丄一広38=34=27s3Cconfig-ulanUuIan2M11-11-2318：34：27s3(config-ulcinnuIan2011-11-2318:34:27s3fluIan2011-11-2318:34:27s3fluIan2011-11-2118:34:27s2Cconfigulanll05-CONFIG:Configrurccl20P5-CONFIG：Configrured30eb-CONF!G：Configuiert4005-CONFIG：ConfigiuedEB05

50、-CONFIG：ConfiffLUed-CONFIG：ConfiguredEnd吋zLthCNILZromoutbandffoitioutBandfromoutbandfromoutbandfromoutbandfforoutbandn用户模式下，三层交换机2,输入设备如下图所示:JC:WINNTEyEtem32telneteKesltccnfLanlidsKccnfiy-ulanfluJan2011-11-2318:14:27s4flulan2011-11-2318:14:27s4flulan2011-11-2318:14:27s4flulan2011-11-2318:14:27s4flul

51、an2011-11-2318:14:27Ub-UONHIG：Goniigfuredlfromoutijand(?5-CONFIG：Configfuredfromoutband30(?5-CONFIG：Configfuredfromoutband40(?5-CONFIG：ConfigfuredfromoutbandE0(?5-CONFIG：Confitjupedfromoutband0(?5-CONFIG：Conficruredfromoutband2.在二层交换机1上将3,4,5端口划到vlan10,vlan20,vlan30中，全局配置模式下代码如下:输入设备如下图所示:二C:WINMT5X

52、5tem32telneteKe-InxslflcanfigtEnterconfiguvaticnccmnands,oneperline.EndwithCNIL/ZsKconfigtinterfacefa0/32011-11-2316:44:6405-CONFIG：ConfiffuredsKconfig-ifitswitchportnodeaccess2011-11-231R：44：0505-CONFIG：ConfiguredsiCconfigifttewitcFpoit2011-11-2316s44e65siconfic2011-11-23IS44505slconface201丄一11-231

53、6=44-65accessulan1005-CONFIGConfiLLcclP5-CONFIG=GionfigrureJ.fa0/405-CONFIG:ConfIgureilslItswitchportmoleaccessMll-11-2316:44:66P5-CDHFIG：Gonfigurertslttswitchportaccessulan202011-11-2316:44:66sl#exit2011-11-2316:44:66sltinterface2011-11-23C5-CDNFIG：ConfinuredP5-CONFIG：Configuredfa0/D5-CONFIG:Cnnfig

54、uiedslCccinfigifttcwltcFpoitmorleaccess2011-11-2316s44s0705-CONFIGsConfsl#311:010vta.ccessuln302011-11-231Ss44sG7C5-CONFIG=Confinuredslconfig-iffronioutbandfFORoutbandromoutbandfrumoutbundfroniouthandfromoutbanclfromoutbandfromoutbandfromoutbandlomoutbandfruinuLithcind二层交换机2上将3,4,5端口划分到vlan40，vlan50

55、，vlan60,全局配置模式下代码如下:=C:WINNTE/stem32telnetewe|n|=C:WINNTE/stem32telnetewe|n|sZHccnfigtEnterconfiguraticncomnands,onepepline.EndwithCNTL/Zs2Itinterfacefa0/32011-11-2317：55：E505-CONFIG：Configuietls2itswitchpcrtmodeaccess2011-11-2317：55：E505-CONFIG：Configuietls2#switchpcrtaccessulan402011-11-2317:55:56

56、s2#exit2011-11-2317:55:56s2tinterface2011-11-2317:55:5605-CONFIG：Configiued05-CONFIG：ConfiffLUedfa0/405-CONFIG：Confiffiueds2ttswitchportnodeaccess2011-11-2317：5F：5605-CONFIG：Configureds2CconfigIFiitswitchipoit2011-11-2317:55=57s2ttexit2011-11-2217s55=57s2#intDiace2011-11-2317=55:57aecessulan5B5-CONF

57、IG=Ccnfigruierl05-CONFIGsCanfiu.i*crlfa0/5P5-CONFIG:Configfurcd(confitif#switclapoitrnude也匚匸匕耳吞2011-11-2317s55：5705-CONFIG；Ccinfinureds2Uswltchportaccessvlan69201丄一1丄一2317；55；5805-COHFIG；Gonfs2c(nf巳xil;fromoutbandfromoutbandfromoutbandfromoutbandfromoutbandfFORoutbandFomoutbandpomoutbandromoutbandfr

58、omoutbundfromoutbanda.a.在二层交换机1和2上联三层交换机1和2上的端口设置Trunk模式匝-C:WINNTs/stcm32cmd.eHe-telnet192.LE8.102.1fromfromoutbandropoutbandromoutbandfruinoutbundfromoutbandslflcanftEnterconfiguratiancomnands,oneperline.End如ithCNIL/Z.sl#interfacejangeFa0/1-22011-11-2519：2Q：25PS-CONFIG：Confinuredsi#sipitchpnrtmodea

59、ccess21111-11-513：2f1：5AP-mNFTGlCAnficfiiRrlslCconfigif-langreitswitchpoitntcidetrunk2011-11-2519=20s2GP5-CONFIGsConfsi#nohiitcloi-jn2011-11-2519=20=2605-CONFIG：Confinuredsl#exit20丄1-11-2510：20：3305-CONFIG：ConficjuietlslCconfig1t莎莎C!WINNTE/stem32cmd.eMe-telnet莎莎C!WINNTE/stem32cmd.eMe-telnet2M11-11-2

60、511：29：57sZItinterfacefaM/42W11-11-2511:29:58s2ttswitclipcrtmodeaccesseb-CONFlG：ConfiguiertC5-CONFIG：Configuiert2011-11-2511：29：E805-CONFIG：Configuietls2#switchpcrtaccessulan502011-11-2511：29：E8s2#exit2011-11-2511:29:58s2#interface2011-11-2511:29:5905-CONFIG：Configiued05-CONFIG：Configiuedfa0/505-CON