企业园区网络设计规划及实施方案

企业园区网络设计规划及实施方案企业园区网络设计规划及实施方案0/440/44企业园区网络设计、规划及实施方案企业园区网络设计规划及实施方案企业园区网络设计规划及实施方案PAGEPAGE1/44目录141.1项目建设目标1.2项目建设原则1.32基本建设描述62.1企业背景2.3计算机网络综合布线第3章网络设备配置和管理 10划分子网划分vlan接入层交换机配置汇聚层交换机配置汇聚层交换机Convergencelayer2核心层交换机连接配置说明第4章连接广域网 36路由器基本配置配置静态路由配置NAT在路由器上配置访问控制列表TOC\o"1-1"\h\z\u第5章总结 41主要参考文献资料 42致谢 43企业园区网的设计、规划及实施【摘要】在现今的网络建设中，企业网的建设是非常重要的，企业网内部各种不同业务的开展是企业网发展迅速的最主要原因。从早期的企业网主要是简单的数据共享，简单数据库的共享到现在内部全方位的数据共享，从过去单一的企业到现在多个分支公司的全部互连，因而对网络的覆盖面要求越来越广。这一要求最早还只局限于各分支企业内部，现在则已是整个企业、整个行业，甚至整个Internet的共同要求。Inpresentnetworkdevelopmentsenterprisenetworkdevelopmentsisveryimportantenterpriseflydevelopmentbecausevariousdifferentbusinessdevelopmentsthatinenterprisenetworkinearlierperiodenterprisenetworkisprimaryasimpledatashare.ButtodaytheinternalAll-directionsdatashares.Sincepastsingleenterpriseconnecttillnowwholeinternetconnect.Andnowiscommonrequestthatwholebusinessenterprise,wholeprofession,evenwholeInternet.【关键词】网络;IP;VLAN;园区网第1章企业网建设综述项目建设目标建设分层的交换式以太网络，对建成企业网络进行优化，使其得到充分的利用。项目建设原则1、先进性：先进的设计思想、网络结构，标准化和技术成熟的软硬件产品。2、实用性：应充分考虑利用资源，能使用户最方便地实现各种功能。3、开放性：系统设计应采用开放技术、开放结构、开放系统组件和开放用户接口，以利于网络的维护、扩展升级及外界信息的沟通。4、灵活性：采用积木式模块组合和结构化设计，使系统配置灵活，满足企业逐步到位的建网原则，使网络具有强大的可增长性和强壮性。5、发展性：网络规划设计既要满足用户发展在配置上的预留，又能满足因技术发展需要而实现低成本扩展和升级的需求。6、可靠性：具有容错功能，管理、维护方便。方案的设计、选型、安装、调试等各环节进行统一规划和分析，确保系统运行可靠。基本建设描述首先了解企业的具体需求，根据企业办公室PC机的多少来决定网络信息点数目，主干光纤的铺设也要考虑企业办公大楼和工厂车间的具体位置，要求在合理的位置放置硬件设备，并通过网络铺设将企业中的每一个信息点连接到局域网，然后通过路由器，防火墙，连接到外网，外网地址采用电信提供的网络地址，企业内部采用私有IP。第2章需求分析2.1企业背景1000255计算机网络综合布线计算机网络采用星型结构布线，要求所有网络的数据主干系统采用千兆光纤，接入层交换机到室内桌面采用五类非屏蔽双绞线。网络拓扑结构图为了实现网络设备的统一，在本设计方案中完全采用同一厂家的网络产品，即Cisco公司的网络设备构建。本企业网设计方案主要由以下几部分组成：交换模块、广域网接入模块、服务器模块，整个网络系统的拓扑结构图如下所示：企业园区网络设计规划及实施方案2.1网络组建和设备选择汇聚层交换机需要更高的性能，更少的接口和更高的交换速率；接入层交换机的作用是提供足够多的端口，将终端联入INTERNET。1CISCO3825WS-C3750G-24TS-S，这是一款适用于企业LAN10/100/1000PoEIP7/44企业园区网络设计规划及实施方案企业园区网络设计规划及实施方案PAGEPAGE10/44系统和远程视频售货亭等的部署。客户可在整个网络范围中部署智能服务心2交4TS-Sbps4层换CISCO128MB传输速机汇WS-C3750V2-1135022270 率：10/100/1000Mbps聚24PS-S0层(QoS(ACL)、组播管理和高性能IP心2交4TS-Sbps4层换CISCO128MB传输速机汇WS-C3750V2-1135022270 率：10/100/1000Mbps聚24PS-S0层设备名称型号表2.1单价设备选型列表数量 总价说明路由器CISCO3825470001 4700内置防火墙，用于对外0来的数据进行过滤，限制本地用户登陆非法网站CISCO内存：128MB传输速率核WS-C3750G-2367621367610Mbps/100Mbps/1000MCISCOCISCO2410/100portsw/2接WS-ACCESS40002800010/100/1000BASE-T入LAYER2950-2ports,EnhancedImage层4Switch/hub视每个部门工作站多少的情况而定GLC-FE-100FSFP2160 1个 160X公里模块CISCO1.25G10KMSFP-LX160 9个 1440GLC-LH-SM光纤模块线光纤 迅驰4 4/M1000 4000 1300850/3.5缆芯 单M温度-40-800模 光缆双绞 五类 52000线UTP卷第3章网络设备配置和管理在物理连接之上的实现。这个过程主要是从网络管理的有效性、安全性方面进行逻辑的划分。实际上其主要内容是在可管理的交换机上，很好的实现IPVLAN划分子网在一个网络号下有大量的计算机时，并不便于管理，可以根据单位所属的部门或其地理分布位置等来划分子网，在本设计方案中是根据部门来划分子网的，划分子网也就分割了广播域。划分子网的目的:减少网络流量提高网络性能简化管理易于扩大地理范围在本企业网设计中，整个企业网的VLAN及IP192.168.0.0-192.168.255.254这样的IP址是私有IPIPIPIPINTERNETIPINTERNETIP地址作NAT（networkaddress 即网络地址转换NAT的置我将后面的论述中进行配置。而对于经理办公室，由于我们有特定的要求，我将为其分配staticIP地址。表3.1Ip编址方案部门IP网段默认网关Ip容量Vlan1192．168．1．0/24254财务部192．168．2．0/24254人力资源部192．168．3．0/24254售后服务部192．168．4．0/24254客服部192．168．5．0/24254技术支持部192．168．6．0/24254产品部192．168．7．0/24254设备部192．168．8．0/24254市场部192．168．9．2540/240/24服务器群VLAN192．168．10192．168．10254．0/24．254划分vlan划分VLAN的方法什么是VLAN？VLAN（VirtualLocalAreaNetwork）又称虚拟局域网，是指在交换局域网的基础上，采用网络管理软件构建的可跨越不同网段、不同网络的端到端的逻辑网络。一个VLAN组成一个逻辑子网，即一个逻辑广播域，它可以覆盖多个网络设备，允许处于不同地理位置的网络用户加入到一个逻辑子网中。VLANVLANVLAN网络中的不同VLAN路由设备——要实现路由功能，既可采用路由器，也可采用三层交换机来VLANVLANVLANLANLANVLAN划分的几点好处a、有效的带宽利用—通过将网络分成小的广播域或子网，VLAN解决了在大型“平”网络中发现的扩展性问题，将所有的数据流，包括广播或多点广播，都别限制在子网中。bVLAN性。如果配置了VLANc、负载均衡多条通信—VLAN允许第三层路由选择协议智能决定到达目的地的最佳路径，当有多条到达目的地的路径时，还能够进行负载均衡。d、对故障组建的隔离—减少网络故障的影响。设置VLAN的常用方法VLAN1、基于端口的VLAN简单、最有效的划分方法。该方法只需网络管理员对网络设备的交换端口进行重新分配即可，不用考虑该端口所连接的设备。2、基于MAC地址的VLAN划分MACMACMAC121684MAC子网。3、基于路由的VLAN划分路由协议工作在网络层，相应的工作设备有路由器和路由交换机（层交换机VLAN本设计方案主要采用13总经理室和行政部划分到一个VLAN，生产车间和生产部划分到一个VLAN，在汇聚层交换机CISCO3560VLAN本设计采用的是基于端口的VLAN划分，如下表：表3.2Vlan划分表VLAN号VLAN1VLAN名称——说明管理VLANVLAN2finance财务部VLAN3Human_resource人力资源部VLAN4After_sale_server售后服务部VLAN5Customerservice客服部VLAN6Technique_support技术支持部VLAN7produce产品部VLAN8equipment设备部VLAN9MarketingDepartment市场部VLAN10Server_group服务器群VLAN接入层交换机配置接入层交换机是为所有的终端用户提供一个接入点。我们采用的是CISCOWS-ACCESS2410/100MC1和LAYER2，接下来我们将对接入层交换机进行配置。进入交换机的配置界面（CLI）我们一般常用的有两种方法：利用反转线直接和交换机的控制端口相连远程登陆我们主要进行如下一些配置：设置交换机名称Switch(config)#hostnameACCESSACCESSLAYER(config)#设置交换机密码：ACCESSLAYER(config)#enablesecretcisco设置登陆虚拟终端ACCESSLAYER(config)#linevty015ACCESSLAYER(config-line)#loginACCESSLAYER(config-line)#passwordcisco设置虚拟终端超时时间ACCESSLAYER(config)#linevty015ACCESSLAYER(config-line)#exec-timeout530设置控制台终端超时时间ACCESSLAYER(config)#lineconACCESSLAYER(config-line)#exec-timeout530禁用IP当我们向交换机输入一条错误的命令的时候，交换机就会将该信息广播给网络上的DNS服务器，并试图把它解析成IP地址。ACCESSLAYER(config)#noipdomain-lookup启用消息同步特性为了防止我们向交换机输入的命令被交换机产生的信息打乱。我们启用消息同步特性。ACCESSLAYER(config)#loggingsynchronous为了能够对交换机进行远程管理，必须给交换机设置一个管理用的IP地址。这种情况下，实际上是将交换机看成和PCVLAN即VLAN。VLANIPVLANIP192.168.1.0/24，这里为ACCESSLAYERIP192.168.1.1/24ACCESSLAYER(config)#interfacevlan1ACCESSLAYER(config-if)#ipaddress192.168.1.1255.255.255.0ACCESSLAYER(config-if)#noshutdown为了能让管理人员在不同的子网中管理此交换机，还应该设置默认网关，在这里为其设置成为192.168.1.254，命令如下：ACCESSLAYER(config)#ipdefault-gateway192.168.1.254将ACCESSLAYERVTP（vlantrunking(VTPvlanvlanvlanvlanvlan，大大减轻了网络管理人员的工作负担，同时也减少了在不同交换机上输入命令时出错的机率，保证了网络的正常运行)命令如下：ACCESSLAYER(config)#vtpmode接入层交换机端口分配1．端口双工配置：ACCESSLAYER(config)#interfacerangefastethernetACCESSLAYER(config-if-range)#duplexfull2．端口速度配置：ACCESSLAYER(config)#interfacerangefastethernetACCESSLAYER(config-if-range)#speed1003．端口模式和端口所属VLAN2~6端口属于属于端口属于端口属于VLAN5如下：ACCESSLAYER(config)#vlan2namefinance/设置vlan名称ACCESSLAYER(config)#vlan3nameHuman_resourceACCESSLAYER(config)#vlan4nameAfter_MarketingDepartment_serverACCESSLAYER(config)#vlan5nameCustomerserviceACCESSLAYER(config)#interfacevlan2ACCESS LAYER(config-if))#ip address 192.168.2.254设置vlanipACCESSLAYER(config-if)#noshutdownACCESSLAYER(config-if)#exitACCESSLAYER(config)#interfacevlan3ACCESSLAYER(config-if))#ipaddress192.168.3.254255.255.255.0ACCESSLAYER(config-if)#noshutdownACCESSLAYER(config-if)#exitACCESSLAYER(config)#interfacevlan4ACCESSLAYER(config-if))#ipaddress192.168.4.254255.255.255.0ACCESSLAYER(config-if)#noshutdownACCESSLAYER(config-if)#exitACCESSLAYER(config)#interfacevlan5ACCESSLAYER(config-if))#ipaddress192.168.5.254255.255.255.0ACCESSLAYER(config-if)#noshutdown端口分配ACCESSLAYER(config)#interfacerangefastethernet0/1-22ACCESSLAYER(config-if-range)#switchportmodeaccess/设置端口模式为accessACCESSLAYER(config-if-range)#exitACCESSLAYER(config)#interfacerangefastethernet0/2-6ACCESSLAYER(config-if-range)#switchportaccessvlan2设置端口属于vlan2ACCESSLAYER(config)#interfacerangefastethernet0/7-12ACCESSLAYER(config-if-range)#switchportaccessvlan3ACCESSLAYER(config)#interfacerangefastethernet0/13-18ACCESSLAYER(config-if-range)#switchportaccessvlan4ACCESSLAYER(config)#interfacerangefastethernetACCESSLAYER(config-if-range)#switchportaccessvlan54．快速端口和主干端口进行配置ACCESSLAYER(config)interfacerangefastethernet0/1-22ACCESSLAYER(config-if-range)#spanning-treeportfastACCESSLAYER232412ACCESSLAYER2324命令如下：ACCESSLAYER(config)#interfacerangefastethernet0/23-24ACCESSLAYER(config-if-range)#switchportmodetrunkACCESSLAYER的第二个交换机ACCESSLAYER2ACCESSLAYERACCESSLAYER2通过23和24号端口分别及汇聚层的Convergencelayer1Convergencelayer2ACCESSLAYER2的VLAN的划分如下：2~6端口属于VLAN7~12端口属于VLAN13~18端口属于端口属于VLAN9。ACCESSLAYER2设置交换机名称Switch(config)#hostnameACCESS设置交换机密码ACCESSLAYER2(config)#enablesecretcisco3.禁用IP地址解析特性:当我们向交换机输入一条错误的命令的时候，交换机就会将该信息广播给网络上的DNS服务器，并试图把它解析成IP地址。ACCESSLAYER2(config)#noipdomain-lookup4.启用消息同步特性为了防止我们向交换机输入的命令被交换机产生的信息打乱。我们启用消息同步特性。ACCESSLAYER2(config)#loggingsynchronous5.设置登陆虚拟终端ACCESSLAYER2(config)#linevty015ACCESSLAYER2(config-line)#loginACCESSLAYER2(config-line)#passwordcisco6.设置虚拟终端超时时间ACCESSLAYER2(config-line)#exec-timeout5307.设置控制台终端超时时间ACCESSLAYER2(config)#linecon0ACCESSLAYER2(config-line)#exec-timeout530为了能够对交换机进行远程管理，必须给交换机设置一个管理用的IP地址。这种情况下，实际上是将交换机看成和PCVLAN即也称为管理VLANVLANIPVLANIP192.168.1.0/24，这里为ACCESSLAYERIP192.168.1.1/24ACCESSLAYER2(config)#interfacevlan1ACCESSLAYER2(config-if)#ipaddress192.168.1.2255.255.255.0ACCESSLAYER2(config-if)#noshutdown为了能让管理人员在不同的子网中管理此交换机，还应该设置默认网关，在这里为其设置成为192.168.1.254，命令如下：ACCESSLAYER2(config)#ipdefault-gateway192.168.1.254将ACCESSLAYERVTP（vlantrunkingprotocol）(VTPvlanvlanvlanvlanvlan，大大减轻了网络管理人员的工作负担，同时也减少了在不同交换机上输入命令时出错的机率，保证了网ACCESSLAYER2(config)#vtpmodeclient1端口双工和速度配置ACCESSLAYER2(config)#interfacerangefastethernet0/1-24ACCESSLAYER2(config-if-range)#speed100ACCESSLAYER2(config-if-range)#duplexfull2.端口模式和端口所属VLAN的配置2~6端口属于属于端口属于端口属于VLAN5如下：Vlan名称配置ACCESSLAYER2(config)#vlan6nameTechnique_supportACCESSLAYER2(config)#vlan7nameproduceACCESSLAYER2(config)#vlan8nameequipmentACCESSLAYER2(config)#vlan9nameMarketingDepartmentVlanIp地址配置ACCESSLAYER2(config)#interfacevlan6ACCESS 255.255.255.0ACCESSLAYER2(config-if)#noshutdownaddress192.168.6.254ACCESSLAYER2(config)#interfaceACCESS LAYER2(config-if))#ip7address192.168.7.254255.255.255.0ACCESSLAYER2(config-if)#noshutdownACCESSLAYER2(config)#interfaceACCESS LAYER2(config-if))#ip8address192.168.8.254255.255.255.0ACCESSLAYER2(config-if)#noshutdownACCESSLAYER2(config)#interfaceACCESS LAYER2(config-if))#ip9address192.168.9.254255.255.255.0ACCESSLAYER2(config-if)#noshutdown交换机端口分配ACCESSLAYER2(config)#interfacerangefastethernet0/1-22ACCESSLAYER2(config-if-range)#switchportmodeaccess/设置端口模式ACCESSLAYER2(config-if-range)#exitACCESSLAYER2(config)#interfacerangefastethernet0/2-6ACCESSLAYER2(config-if-range)#switchportaccessvlan6/分配端口2-6为vlan6ACCESSLAYER2(config)#interfacerangefastethernetACCESSLAYER2(config-if-range)#switchportaccessvlan7ACCESSLAYER2(config)#interfacerangefastethernetACCESSLAYER2(config-if-range)#switchportaccessvlan8ACCESSLAYER2(config)#interfacerangefastethernetACCESSLAYER2(config-if-range)#switchportaccessvlan93.快速端口和主干端口进行配置ACCESSLAYER2(config)#interfacerangefastethernet0/1-22ACCESSLAYER2(config-if-range)#spanning-treeportfast由于ACCESSLAYER2232412ACCESSLAYER22324口。命令如下：ACCESSLAYER2(config)#interfacerangefastethernet0/23-24ACCESSLAYER2(config-if-range)#switchportmodetrunk到此为止，对接入层的配置已基本上完成了。接下来对汇聚层的交换机进行配置。汇聚层交换机配置汇聚层除了负责将接入层交换机进行汇集外 ,还为整个交换网络提供VALN间的路由选择功能。在这里我们采用的是CISCOWS-C3750V2-24PS-S型的交换机，这种交换机拥有24个10/100M的自适应快速以太网端口和个10/100/1000M的自适应用于光纤接入的端口即上连端口。对汇聚层交换机Convergencelayer1的基本参数的配置及对接入层交换机ACCESSLAYER的基本参数配置类似。具体的配置命令如下：Switch#configureterminal(或者configt)Enterconfigurationcommandsoneperline.EndwithCNTL/Z设置交换机名称Switch(config)#hostnameConvergencelayer1设置交换机密码Convergencelayer1(config)#enablesecretcisco禁用IP当我们向交换机输入一条错误的命令的时候，交换机就会将该信息广播给网络上的DNS服务器，并试图把它解析成IP地址。Convergencelayer1(config)#noipdomain-lookup启用消息同步特性为了防止我们向交换机输入的命令被交换机产生的信息打乱。我们启用消息同步特性。Convergencelayer1(config)#loggingsynchronous设置控制台终端超时时间Convergencelayer1(config)#lineconConvergencelayer1(config-line)#exec-timeout530设置登陆虚拟终端和虚拟终端超时时间Convergencelayer1(config)#linevty015Convergencelayer1(config-line)#passwordConvergencelayer1(config-line)#loginConvergencelayer1(config-line)#exec-timeout530配置汇聚层交换机的管理IP，默认网关每一台交换机都有一个默认的管理vlan即vlan1，用来管理该交换机，所以我们只需要为vlan1设置IP地址即可。同时为了能让网络管理人员在不同的子网中管理该交换机我们为其配置默认网关。具体配置命令如下：Convergencelayer1(config)#interfacevlan1Convergence255.255.255.0

layer1(config-if)#ip address 192.168.1.3Convergencelayer1(config-if)#noshutdown为了能让管理人员在不同的子网中管理此交换机，还应该设置默认网关，在这里为其设置成为192.168.1.254，命令如下：Convergencelayer1(config)#ipdefault-gateway192.168.1.254配置汇聚层交换机Convergencelayer1为VTP服务器当网络中交换机数量很多时，需要分别在每台交换机上创建很多的VLAN，工作量很大，过程很繁琐，并且很容易出错。所以在实际工作中我VTPVTPLANVTPVTP服务器上学习到VLAN时，有关VLAN面大大减轻了网络管理人员的工作负担。命令如下：Convergencelayer1(config)#vtpdomainConvergencelayer1(config)#vtpmodeserver配置汇聚层交换机Convergencelayer1的VTP剪裁功能VLANVLAN可以启用VTPConvergencelayer1(config)#vtppruning为汇聚层交换机Convergencelayer1配置vlan和端口在上面的拓扑结构图中我们可以看到我们的服务器群直接连接到我们Convergencelayer1上定义Convergencelayer1(config)#vlan10nameServer_group1设置vlanip地址Convergencelayer1(config)#interfacevlan10Convergence255.255.255.0

layer1(config-if)#ip address 192.168.10.254Convergencelayer1(config-if)#noshutdown2.端口双工和速度分配配置Convergencelayer1(config)#interfacerangefastethernet0/1-24Convergencelayer1(config-if-range)#duplexfullConvergencelayer1(config-if-range)#speed1003.端口分配Convergencefastethernet0/1-22

layer1(config-if-range)#interface rangeConvergencelayer1(config-if-range)#switchportmodeaccess口模式设置Convergencelayer1(config-if-range)#spanning-treeportfast置快速端口Convergencefastethernet0/1-15

layer1(config-if-range)#interface rangeConvergencelayer1(config-if-range)#switchportaccessvlan10Convergencelayer1232412Convergencelayer12324口设置成为主干端口。命令如下：Convergence layer1(config-if-range)#interface rangefastethernet0/23-24Convergencelayer1(config-if-range)#switchportmodetrunkConvergencelayer1122Convergencelayer112Convergence layer1(config-if-range)#interface gigabitethernet0/1-2Convergencelayer1(config-if-range)#switchportmodetrunk为汇聚层交换机Convergencelayer1启用路由功能Convergencelayer1(config)#iprouting设置静态路由Convergence192.168.1.254

layer1(config)#ip route 0.0.0.0 0.0.0.0为了实现对无类别网络（ClasslessNetwork）以及全零子网（Subnet-zero）的支持，还需要进行相应的配置，如下所示：Convergencelayer1(config)#ipclasslessConvergencelayer1(config)#ipsubnet-zeroConvergencelayer2汇聚层交换机Convergencelayer2的配置和Convergencelayer1的配置基本上相同，只是不需要为其配置VLAN。具体配置命令如下：Switch#configureterminal(或者configt)Enterconfigurationcommandsoneperline.EndwithCNTL/Z1.设置交换机名称Switch(config)#hostnameConvergencelayer2设置交换机密码Convergencelayer2(config)#enablesecretcisco禁用IP当我们向交换机输入一条错误的命令的时候，交换机就会将该信息广播给网络上的DNS服务器，并试图把它解析成IP地址。Convergencelayer2(config)#noipdomain-lookup启用消息同步特性消息同步特性。Convergencelayer2(config)#loggingsynchronous设置控制台终端超时时间Convergencelayer2(config)#lineconConvergencelayer2(config-line)#exec-timeout530设置登陆虚拟终端和虚拟终端超时时间Convergencelayer2(config)#linevty015Convergencelayer2(config-line)#passwordConvergencelayer2(config-line)#loginConvergencelayer2(config-line)#exec-timeout530配置汇聚层交换机的管理IP，默认网关每一台交换机都有一个默认的管理vlan即vlan1，用来管理该交换机，所以我们只需要为vlan1设置IP地址即可。同时为了能让网络管理人员在不同的子网中管理该交换机我们为其配置默认网关。具体配置命令如下：Convergencelayer2(config)#interfacevlan11.配置交换机管理IPConvergence255.255.255.0

layer2(config-if)#ip address 192.168.1.4Convergencelayer2(config-if)#noshutdown为了能让管理人员在不同的子网中管理此交换机，还应该设置默认网关，在这里为其设置成为192.168.1.254，命令如下：Convergencelayer2(config)#ipdefault-gateway192.168.1.254配置汇聚层交换机Convergencelayer1为VTP服务器当网络中交换机数量很多时，需要分别在每台交换机上创建很多的VLAN，工作量很大，过程很繁琐，并且很容易出错。所以在实际工作中我VTPVTPLANVTPVTP服务器上学习到VLAN时，有关VLAN面大大减轻了网络管理人员的工作负担。命令如下：Convergencelayer2(config)#vtpdomainhnkjzy1Convergencelayer2(config)#vtpmodeserverConvergencelayer2(config)#vtppruning端口双工和速度分配配置Convergencelayer2(config)#interfacerangefastethernet0/1-24Convergencelayer2(config-if-range)#duplexfullConvergencelayer2(config-if-range)#speed1002.端口分配Convergencefastethernet0/1-22

layer2(config-if-range)#interface rangeConvergencelayer2(config-if-range)#switchportmodeaccess端口模式设置Convergencelayer2(config-if-range)#spanning-treeportfast设置快速端口Convergencelayer2232412Convergencelayer22324Convergencelayer2(config-if-range)#interfacerangefastethernet0/23-24Convergencelayer2(config-if-range)#switchportmodetrunkConvergencelayer2121Convergencelayer212Convergencelayer2(config-if-range)#interfacerangegigabitethernet0/1-2Convergencelayer2(config-if-range)#switchportmodetrunk为汇聚层交换机Convergencelayer1启用路由功能Convergencelayer2(config)#iprouting设置静态路由Convergence192.168.1.254

layer2(config)#ip route 0.0.0.0 0.0.0.0为了实现对无类别网络（ClasslessNetwork）以及全零子网（Subnet-zero）的支持，还需要进行相应的配置，如下所示：Convergencelayer2(config)#ipclasslessConvergencelayer2(config)#ipsubnet-zero到此我们对汇聚层交换机的配置已基本上完成了。接下来我们将对核心层交换机进行配置。核心层交换机连接配置说明核心层交换机将各汇聚层交换机互连起来进行穿越园区网骨干的高速数据交换，在本企业网的设计中我们核心层交换机所采用的是 CISCOWS-C3750G-24TS-S交换机对核心层交换机Corelayer的配置及对接入交换机的配置类似。具体配置命令如下：Switch#configureterminal(或者configt)Enterconfigurationcommandsoneperline.EndwithCNTL/Z1.设置交换机名称Switch(config)#hostnameCorelayerlayer设置交换机密码Corelayer(config)#enablesecretcisco禁用IP当我们向交换机输入一条错误的命令的时候，交换机就会将该信息广播给网络上的DNS服务器，并试图把它解析成IP地址。Corelayer(config)#noipdomain-lookup启用消息同步特性消息同步特性。Corelayer(config)#loggingsynchronous设置控制台终端超时时间Corelayer(config)#lineconCorelayer(config-line)#exec-timeout530设置登陆虚拟终端和虚拟终端超时时间Corelayer(config)#linevty015Corelayer(config-line)#passwordciscoCorelayer(config-line)#loginCorelayer(config-line)#exec-timeout530配置核心层交换的管理VLAN和默认网关Corelayer(config)#interfacevlan1Corelayer(config-if)#ipaddress192.168.1.5255.255.255.0Corelayer(config-if)#noshutdownCorelayer(config-if)#exitCorelayer(config)#ipdefault-gateway192.168.1.254设置核心层交换机为VTP客户机Corelayer(config)#vtpmodeclient核心层交换机端口配置Corelayer(config)#interfacerangefastethernet0/1-24Corelayer(config-if-range)#duplexfull/设置端口为全双工模式Corelayer(config-if-range)#speed100/设置端口速度Corelayer(config-if-range)#switchportmodeaccess设置端口模式Corelayer(config-if-range)#spanning-treeportfast设置快速端口Corelayer1212Corelayer124命令如下：Corelayer(config)#interfacerangegigabitethernet0/1-2Corelayer(config-if-range)#switchportmodetrunkCorelayer(config-if-range)#exit为核心层Corelayer交换机启用路由功能Corelayer(config)#iproutingCorelayer(config)#iproute0.0.0.00.0.0.0192.168.1.254进行如下的配置：Corelayer(config)#ipclasslessCorelayer(config)#ipsubnet-zero到此对于核心层的配置已基本完成，接下来我们对路由器进行配置。第4章连接广域网路由器基本配置在本企业网中采用的是CISCO3825的路由器，它通过自己的串行接口serial0/0使用DDNInternet。其作用主要是在Internet网之间路由数据包。除了完成主要的路由任务外，利用访问控制列表（AccessControlLisAC，路由器ZZrouter中心的流量控制和过滤功能并实现一定的安全功能。其基本配置及接入层enableconfigt(全写为configureterminal))Router#configureterminalRouter(config)#hostnameR1-outR1-OUT(config)#enablesecretciscoR1-OUT(config)#noipdomain-lookupR1-OUT(config)#loggingsynchronousR1-OUT(config)#linecon0R1-OUT(config-line)#exec-timeout530R1-OUT(config-line)#linevty04R1-OUT(config-line)#passwordciscoR1-OUT(config-line)#loginR1-OUT(config-line)#exec-timeout530R1-OUT(config-line)#exitFastEthernet0/0serial0/0IP掩码的配置。配置命令如下：R1-OUT(config)#interfacefastethernet0/0R1-OUT(config-if)#ipaddress192.168.1.254R1-OUT(config-if)#noshutdownR1-OUT(config-if)#interfaceserial0/0R1-OUT(config-if)#ipaddress202.168.1.1R1-OUT(config-if)#noshutdown配置静态路由在R1-OUT路由器上需要定义两个路由：到企业内部的静态路由和到Internet上的缺省路由。R1-OUT(config)#iproute0.0.0.00.0.0.0202.168.1.1到企业网内部的路由经过路由汇总后形成两个路由条目如下所示：R1-OUT(config)#iproute192.168.0.0255.255.240.0192.168.1.3R1-OUT(config)#iproute192.168.0.0255.255.240.0192.168.1.4配置NATIPIPInternet使用NAT（网络地址转换）技术。为了接入Internet，本企业网向当地的ISP申请了10个IP地址。202.168.1.1.-202.168.1.10,其中202.168.1.1分配给了 serial0/0，202.168.1.2202.168.1.3NATR1-OUT(config)#interfacefastethernet0/0R1-OUT(config-if)#ipnatinsideR1-OUT(config-if)#interfaceserial0/0R1-OUT(config-if)#ipnatoutsideR1-OUT(config)#ipaccess-list1permit192.168.2.00.0.10.255（定义允许进行NAT转换的工作站的IP地址范围）在路由器上配置访问控制列表（ACL）路由器是外网进入企业内网的第一道关卡，是网