天心轻工制品有限公司网络工程方案设计

天心轻工制品有限公司网络工程方案设计绪论1.1课题研究的背景及意义当今，迅速发展的Internet正在对全世界的信息产业带来巨大的变革和极为深远的影响。现代化企业网络需满足以下基本原则：可靠性、先进性、可扩展性、安全性、稳定性；[1]在实际的设计过程中，需要设计适合该企业网络，方便企业网络的管理，能更好地为企业服务的网络构架。本课题以天心轻工制品有限公司为背景，在该企业的网络建设中，要求能在客户、公司、员工、合作伙伴之间实现优质的信息沟通。并且整个网络设计需要具有一定先进性，在未来六七年，一整个企业网络都能够满足企业的信息化需求，为该企业的生产，销售，管理提供有力的保障和维护;[2]基于各种的现实问题，企业必须从该企业局域网的概念及相关计算机网络技术入手，详细地设计该企业网建设的实施方案及建设规划,以此达到先进、安全、实用、可靠的目标.对企业的网络搭建需求进行分析，比较其它组网技术，从实用的角度论述局域网主干网选择，综合布线设计，各种设备的选择，网络安全认证，网络管理等方面。1.2国内外研究现状由于现代企业的信息大多来自互联网，通过网络，企业可以更快速地从世界市场获得的信息，通过互联网与外界进行信息交换，企业计划人员可以迅速做出正确的企业宏观调控的决策，以适应市场趋势；[3]公司与世界联系在一起，提高收集信息的能力和效率。而一些大公司不能根据自身网络的本质有更多的需求，如市场营销部门在网上获取信息和技术部门;或者从周一上午九点到周五下午五点可以上网，而在其他时间段内网络无流量；再或者高层领导组可以监控财务部门的档案文件而其他部门则没有这样的权限。这些都是网络设计者需要考虑的问题。

天心轻工制品有限公司成立于2013年，是一家专业从事轻工制品生产的大型公司。现今，天心轻工制品有限公司准备在福建建设新的办公生产基地。基地占地面积10000m2，为实现企业现代化管理，现需建立企业信息网络，以满足企业业务和办公需要。1.3主要研究内容

本文的研究内容主要以某企业网络规划设计为研究对象，围绕企业网络规的结构、应用、管理、系统性能上等几大方面。从本质需求为依据，对网络规划的实施和拓展进行充分的分析和研究。与此同时，利用当前的网络相关技术来实现一个符合企业现代化管理，满足实际需求，性能优秀并且具有优良的可升级扩展性能的网络结构。主要工作内容如下：(1)分析研究系统实现的关键技术，对其中的核心的技术详细介绍。比较各种组网技术，从实用角度论述局域网主干网选择，从而构架网络结构。(2)对网络的需求进行可行性的分析，从各种设备选择，网络功能，网络安全等方面给出分析的具体模块，使整个企业网络都能够满足企业的信息化需求。(3)在对网络系统设计的基础上，主要围绕网络设计的原则、依据、综合布线、功能和安全设计制定出符合企业需求的网络(4)对天心轻工制品有限公司的网络设备分别做了部署与配置，通过终端个数实现三层网络架构，进行安全认证测试、网络连通性测试、最佳路由测试等方面最终实现网络方案的实施。2相关技术分析2.1虚拟局域网虚拟局域网（VLAN）是一种基于局域网的交换机网络管理技术的一个VLAN，网络管理员可采取有效的分配，通过控制接入局域网正确出入端口，为不同实体网络逻辑分组管理的设备来进行分组，并减少大量局域网内的网络数据流，因为过量的铅堵塞无用的分组问题，增强了网络信息安全；[4]VLAN是在物理网络上根据用途，工作组、应用等来逻辑划分的局域网络，是个广播域，与用户物理位置没有关系；能控制通讯的活动，隔离广播数据网络管理，优化组合，以此方便工作组，VLAN成员还有较长的的VLANID不能受限于物理位置，自由的移动工作站位置;VLAN交换机就是一道道屏幕，只有VLAN成员分组的数据传递，比用户的防火墙是更安全的计算机服务器，网络带宽会被充分利用，网络性能有大幅度的提高。2.2生成树协议生成树协议（STP）是一个二层管理协议，它可以在环路网络，路径冗余通过一定的算法中使用，而调整回路网络成无环路的树型网络，从而避免的目的报文在环路网络的增殖和无限循环，以及备份链路；[5]STP协议中包含的根桥，根端口，指定端口，路径成本等概念的是，要实现削减冗余环路通过构建一个自然的树的方法，同时实现链路备份，路由优化的目的；当生成树协议正常条件下工作时，交换机端口要经过数次变更工作状态。2.3访问控制列表访问列表提供了一种机制，它可以控制和过滤通过路由器的不同接口去往不同方向的信息流；[6]这种机制允许用户使用访问表来管理信息流，以制定公司内部网络的相关策略；这些策略可以描述安全功能，并且反映流量的优先级别；简而言之，ACL本身不能直接达到访问控制的目的，它间接辅助特定的用户策略，达到人们所需效果的一种技术手段。2.4网络地址转换网络地址转换(NAT)主要是解决地址资源短缺，它允许一个单独的设备，比如像路由器，作为公共网络和私有网络之间的代理，设备是工作在内部网络和外部网络之间的。复用NAT使用一个IP或外网接口给内网做地址转换，在配置命令后加上overload，同时也被称为端口地址映射。NAT在源计算机和目标计算机都是透明的；没有人会意识到它正在与第三方设备来处理。但该机构的服务是不是透明的；[7]NAT是一个真正的优势在于：它是透明的网络；例如，你可以把你的Web服务器或FTP服务器到另一台主机，而不必担心会破坏连接；只需修改入站映射，映射到你就行内部本地地址的新路由器；NAT技术是一种实用，强大的后一个比较成熟的技术成熟，一些单位能较好地解决IP地址短缺的问题。特别是因为它可以在网络内被完全隐藏，并保持高吞吐量和低延迟，因此，它经常与包过滤技术，成为基础的新一代防火墙的构造。其缺点是，仍然有一些应用程序需要进行特殊处理才能通过NAT。2.5虚拟专用网虚拟专用网（VPN）是指任意两个节点之间的连接，结束传统专网物理链路不是必需的，但使用的动态组成的社会网络资源为基础的专用数据通信网络技术在公共网络上（一般是指互联网架构能够自我管理的专用网络）。虚拟专用网的特点在于本身具有安全保障、服务质量保证、可扩充性和灵活性以及可管理性。[8]其功能具备可加密数据，提供信息认证和身份认证，保证信息的完整性，提供不同的访问权限给不同的用户，加以访问控制。与此同时，虚拟专用网能够保护现有的网络投资，经济有效的实现安全连接。总的来说虚拟专用网的实质是指扩展企业内部网。虚拟专用网的优势在于廉价的网络接入，严格的用户认证、高强度的信息保密，比以往的传统专线网络更具体化、实际化、理想化。2.6路由路由（routing）就是通过互联的网络把信息从源穿过网络传递到目的地的的活动。路由通常根据路由表到最佳路径表经过一些中间的节点后从而来引导封包转送；[8]路由发生在网络层即OSI网络参考模型中的第三层。路由在大型网络中已经成为寻找路径的最佳选择；最大的不足在于它不支持非路由协议，价格高。所以我们应该综合实际，选择最合理的路由来引导通信。2.7本章小结本章主要根据该方案设计针对主要网络技术进行阐述，通过分析各个技术的概念功能做出一番解释。把设计过程中所用到的最主要技术一一罗列出来，针对虚拟局域网、生成树协议、访问控制列表、网络地址转换、虚拟专用网以及路由等进行详细的描述，通过这些网络技术的基本概念，更加清楚对各个技术的认识和熟悉，用来帮助运行网络中的应用程序，确定每一项技术的特定功能，对基础内容进行消化和理解，确信自己对以上内容的掌握，学习各项技术的要点并加以运用，以保证实现整个网络的有效通信。这样，我们的目的就会达到。3网络需求分析3.1网络设备需求3.1.1网络硬件设备本设计设备清单如下表3-1表3-1网络设备清单设备名称品牌型号数量核心交换机CISCO三层机箱式交换机：6x业务插槽，含346G引擎，20x千兆PoE电口，4xminiGBIC端口模块，875w冗余电源，十年免费保换服务，具体参数及要求详见附件2台光纤模块千兆多模SX光纤模块，LC接头（与交换机同一品牌，原厂原装产品）8个接入交换机CISCO二层网管交换机：24口百兆电口，2个双功能定制端口，十年免费保换服务，具体参数及要求详见附件13台路由器CISCOASA5510-BUN-K8或H3CSOHOER5100-CN或HPPROCURESECUREROUTER7102DI4台机柜LINKBASICMCCB42U-610豪华型1只理线架GCI（美国）19MMC-1U8付机架式光纤配线架GCI（美国）JFBX-2410244个ST适配器GCI（美国）FTC-2420-ST32只光纤尾纤GCI（美国）5MLC-ST多模跳线10对数据点GCI或AVAYA或LINKBASIC（￠0.51MM）超五类网线、多模光纤、模块、各种规格波达线槽、地下管路需暗埋施工等，视工程需要285个附件PVC管、86明盒、扎带、护套、机柜附件等1批其它安装、调试等3.1.2网络传输介质该企业网络部署主要涉及到三幢建筑物：企业办公大楼、生产厂房、货物仓库。网络数据中心部署办公楼四楼的信息管理机房内，[7]整个网络以中心机房向外辐射成星型结构。整个网络的部署采用二层结构，核心层使用千兆网络。办公大楼一楼，办公大楼二楼，办公大楼三楼，办公大楼四楼分别设置节点，节点与各个房间信息面板之间进行连接。要求传输介质必须满足以下几点：1）中心机房到办公楼其它楼层接入层交换机采用多模光纤进行连接，如图3-1；图3-1主干网连接方式2）局端设备仓库和生产领域的建设接入层交换机通过多模光纤连接弱电井；3）各个接入层交换机到网络终端设备之间用超五类双绞线连接。要求该企业网络中信息点数必须满足：1）办公楼：4002）厂房：1503）仓库：503.2网络功能需求在整个企业的网络规划及实施中必须满足以下几点：1）企业中的每个部门都必须是一个单独的虚拟局域网；2）公司内各个部门之间可以实现信息共享；3）除总经理办公室、销售部总监办公室、技术部总监办公室可以访问财务部，其他部门均设置访问控制，不能访问财务部；4）接待室和会客室的网络不能够访问内网，只可访问外网；5）为方便员工及顾客，会议室、会客室、讨论室都采用无线覆盖；6）会议室需自动分配IP地址，为了整个网络安全管理其他主机、打印机、复印机都固定IP；7）核心层交换机需尽量增加链路带宽，且需实现链路传输弹性和冗余；8）企业内网需设置信息安全策略，保障整个企业数据资料的安全；9）分公司通过VPN的方式访问企业内部网络；10）公司内部各个部门都需要能够访问外部网路。3.3网络安全需求该规划的网络要求必须能够保障企业内部信息的安全，能够做到以下几点：1）网络隔离：充分利用交换机的交换路由功能，根据公司内部业务管理需要划分相应的VLAN，并对各个VLAN之间做访问控制；2）防火墙技术：预防外网黑客侵入企业内网后破坏服务器中的信息，盗取企业重要数据资料。3）虚拟专用网络（VPN）技术：采用VPN加密技术保障分公司和总公司数据传输的安全性4）病毒防治技术：为便于管理员对整个网络内设备的病毒管理，部署杀毒软件服务器，对整个网络中的PC进行更好的安全保障。3.4本章小结本章主要对客户的一些网络功能及硬件需求进行了整理和分析，通过详细的分析，为下一步的方案设计做准备。4网络系统设计4.1网络设计原则1.高性能整个网络是一个企业的血管，它负担着整个企业网络内部信息的传输，并且，企业在运营的过程中也会不断的发展壮大。因此，考虑未来业务增长的企业设计及今后四五年内网络，确保高效和流畅。2.可扩展性在未来企业发展过程中，肯定需要增加通信设备，所以要求现在的网络必须有很高的兼容性，可以兼容多家厂家的设备，使整个网络具有较高的可扩展性。3.可靠性和安全性网络的可靠性是最需要的网络设计需要考虑的因素。由于整个信息系统的应用和基础设施相关的操作时，需要对系统的安全和可靠的连续不间断运行很长一段时间。网络架构的合理设计，采用成熟稳定的技术，要使用可靠的网络容错策略的关键网络节点的网络的重要组成部分，应采用先进，可靠的容错技术，保证了可靠性和安全性整个网络。4.标准开放性该设备支持国际标准的网络协议，一个大型的国际标准的开放协议，如动态路由协议，从而有助于确保与其他网络的互通连接顺畅，[9]因为后者做到保证网络的平滑升级。4.2网络设计依据网络的设计必须依照以下几点：1）采用分层设计，网络结构的不同部分有不同的功能，网络上有一个很好的结构。2）优化了网络和系统架构，并考虑网络冗余各个方面，该系统已容错性和应变能力，以保证系统的可靠和高效运行[10];3）在建网技术的过程中，必须选择，以确保开放性，可移植性，兼容性和整个网络的可扩展性。4）采用通用的标准的国际标准和协议。5) 提供有效的安全措施，确保整个网络的安全6) 初步设计要求精确，从而降低了该项目时，系统的结构的复杂性和修改的工作量降到最低。4.3网络构架设计该公司网络的防火墙、边界路由器路由器处于整个网络的出口，服务器群放置于接入层，企业内网子网划分在核心层完成的，严格遵守三层网络架构，具体如图4-1所示。图4-1网络拓扑图4.4综合布线设计局域网布线工程设计应根据实际需要设计综合布线系统。布线系统的传输能力（带宽和速率）应满足近期和未来10年内数据传输的需要。布线系统应具有高度可靠、灵活、管理方便，设备变动时应具有高度的灵活性、管理的方便性、方便升级等特点。布线工程设计时，应在严格遵循各相关标准、相应规范的基础上，通过实地考察，与用户协商后，给出最优方案。4.4.1综合布线系统的标准综合布线系统是一个非常复杂的系统，它包括各种电缆，连接器，转接器，转接器，测试设备和其他设备，以及各种技术工具，并考虑到实施所需的时间。许多生产相关的设备制造商，他们的产品是独一无二的。为了使产品互相兼容，使系统更加开放，易于使用和管理，集成度更高，他们必须制定标准；[12]该网络规划中的综合布线系统的标准采用的是EIA/TIA-568（商用建筑电信布线标准）。1.EIA/TIA-568标准的目的是：设立一种可以支持多供应商环境通用的电信布线系统；商业建筑可以综合布线系统设计与安装；建立以及完善布线系统配置的技术标准。2.EIA/TIA-568标准的基本内容如下：办公环境中电信布线的最低要求；建议的拓扑结构和距离；决定性能的介质参数；连接器以及引脚功能分配，保证互通性；电信布线系统使用寿命必须有十年以上才行。4.4.2综合布线系统的设计原则综合布线系统的设计应该满足以下原则：1.布线系统应采用星型拓扑结构，在支持网络数据的同时，还应兼顾视频会议、网络监控等系统的需求。2.在具体设计布线系统的六个子系统时，应注意其设计要点。3.根据实际需要，选择合适的布线系统。当网络的要求不明确时，按照综合布线系统水平上的考虑设计。4.根据实际传输数据的要求选择相应等级的线材和硬件连接设备。4.4.3综合布线系统的设计办公楼的水平布线设计按照综合布线的原则和标准，根据企业办公楼建筑的实际情况，设计了每层楼的综合布线。每层楼的综合布线均采用以下图示。图4-2办公楼1层光纤由办公楼四楼机房引至一楼弱电井，弱电井内至每个办公室的网线走在吊顶的桥架内。桥架到办公室吊顶上后由PVC管材走到每个信息点，接待室内有无线wifi覆盖。每个部门都有自己的打印机，前台处有一台打印机和一台PC电脑。图4-3办公楼1层的综合布线设计办公楼2层综合布线设计光纤由四楼机房引至二楼弱电井，弱电井内至每个办公室的网线走在吊顶的桥架内。桥架到办公室吊顶上后由PVC管材走到每个信息点，项目讨论室和会客室均有无线覆盖，每个部门都有设置打印机。图4-4办公楼2层的综合布线设计办公楼3层综合布线设计光纤由四楼机房引至三楼弱电井，弱电井内至每个办公室的网线走在吊顶的桥架内。桥架到办公室吊顶上后由PVC管材走到每个信息点，会议室有无线wifi覆盖，每个部门都有自己的打印机。图4-5办公楼3层的综合布线设计办公楼4层综合布线设计机房中心放置于四楼信息管理部，弱电井内至每个办公室的网线走在吊顶的桥架内。桥架到办公室吊顶上后由PVC管材走到每个信息点，每个部门都有自己的打印机。图4-6办公楼4层综合布线设计办公楼的垂直布线设计主干线路的光纤是六芯多模光纤，由中信外网进入网络机房，通过各楼的光纤连接生产区和仓库。图4-7主干线路的设计图厂房的综合布线设计生产车间的综合布线中，为了更好地连接与接收信号，采取部属的光纤为超五类双绞线。图4-8生产车间的综合布线设计仓库的综合布线设计仓库的综合布线考虑的主导因素也是在于光纤的选择，采用多模光纤进行综合考虑和设计。图4-9仓库的综合布线设计4.5网络IP规划整个网络采用两层结构，核心层采用双核心，两台核心交换机做负载均衡，其中总公司和分公司之间通过VPN线路进行连接，本次规划将该企业各个部门划分为一个独立的VLAN，且每个部门都有自己的网段和默认网关，因部门设备可能变化，固不划分子网，采用标准子网掩码，每个部门的IP地址足够以后企业在发展壮大的过程中新增信息点。详细情况可见表4-1。表4-1VLAN及IP的规划VLAN号VLAN名称IP网段默认网关说明Vlan10zonghebu/2454综合部Vlan20lingdao/2454领导办公室（包括总经理、销售总监和技术总监）Vlan30caiwu/2454财务部Vlan40renli/2454人力资源部Vlan50jishubu/2454技术部Vlan60xiaoshoubu/2454销售部Vlan70houqingbu/2454后勤部Vlan80xingzhengbu/2454行政部Vlan90xinxibu/2454信息管理部Vlan100huiyishi/2454会议室Vlan110jiedaichu/2454接待处、会客室,该网关便于设置其不能使用VPNVlan120fuwuqi/2454服务器Vlan130cangkuqu/2454仓库区Vlan140Wangluobangong/2454办公设备Vlan220vpn/2454外网的vlan，方便添加访问控制列表4.6网络安全设计根据客户网络安全需求，网络安全规划如下：根据该企业网络的实际情况，制定了如下网络安全保障措施：1.将网站各服务器安放在中心机房，配备8小时以上的UPS及足够功率的空调。2.在机房做好安全防范措施，尽量防止外人的进入[13]。3.管理服务器的人员要对日常系统进行检查和防范，一有问题要马上处理。4.当系统处于闲置状态或长时间关闭时要做好查杀病毒准备工作，防止出现漏洞[14]。5.服务器需要密码登陆才能进入。6.为了防止他人进入，要设置用户名及密码并绑定相应的IP进入后台。7.部门内的网络专员都是以符合高专业知识的态度去做好定时更新网络信息的工作。8.领导对新信息的发布有重大的责任意识。9.关键网络之间做好访问控制，总公司和分公司之间通过VPN虚拟专线连接。4.7网络综合拓扑设计根据天心轻工制品有限公司本部和分部的网络应用需求，网络采用分层模式进行设计，其中，本部和分部采用VPN建立连接，具体网络拓扑如图4-10所示。图4-10网络综合的拓扑设计图4.8本章小结本章对通过对整个网络的需求进行详细分析后，对整个网络的结构，IP地址，vlan等进行了详细的规划，还包括整个网络的综合布线，通过以上几个方面的规划，制定出来符合该公司需求的网络。5网络设计方案的实施与测试5.1施工前准备首先进行项目培训，通知采购部门进行设备采购进场实施人员安排及关系如下：图图5-1人员的安排及关系5.2网络设备部署本网络通过对交换机、无线AP、防火墙、路由器等进行综合性的分析，分别作出下面相应的部署计划来实现整个网络的构架和连通。5.2.1核心交换机部署1）核心交换机板卡安装上架，并接通核心交换机电源至机柜PUD，开机。2）核心交换机光模块安装，并进行光纤跳线连接。3）console口与核心交换机的连接在配置整个核心交换机中是至关重要的[15]。5.2.2楼层交换机部署1）楼层交换机上架，连接电源开机并进行光模块的安装。2）接通由核心交换机部署过来的光纤。3)连接楼层交换机console口进行端口划分vlan配置。4）初步测试与核心交换机的连通性。5.2.3无线AP部署1）连接无线APconsole口，对无线AP进行配置。2)将无线AP安装在指定位置（注意周围不能有太多的金属，以免影响无线信号），连接接入层交换机部署过来的网线。3）用无线设备测试无线AP信号，如果信号受到干扰须更换AP部署位置，并测试和核心交换机的连通性。5.2.4防火墙部署1）防火墙上架，接通电源开机2）将防火墙连接在外网接入的入口。3）防火墙配置，设置各种安全协议（访问控制，网络流量监控等等）。5.2.5路由器部署1）路由器上架，接通电源开机2）连接路由器的cnosole口，对路由器进行配置（主要包含NAT和VPN以及路由协议）。5.3服务器部署在整个网络中，服务器的部署是至关重要的。本网络通过在web服务器、邮件服务器、杀毒服务器上安装各自所需的软件从此进行上架和导轨，并完成相应的组建，最后查看服务器是否可以正常运行和管理。（1）在服务器机柜上安装邮件、杀毒以及Web服务器导轨，然后将服务器上架。（2）接通三台服务器电源（服务器都为双电源，两个电源全部接通）并为每台安装winsowsserver2008操作系统。（3）为每台服务器安装IIS服务，并安装相应需要的组建。（4）在Web服务器上安装mysql数据库，部署服务器，发布公司主页，通过外网浏览公司主页，测试浏览是否正常。（5）在邮件服务器上安装邮件服务器软件，部署邮件服务器后测试邮件服务器，查看邮件服务器运行情况。（6）在杀毒服务器上安装360杀毒软件企业版，部署杀毒服务器后，在内网发布杀毒软件客户端安装包，在每台公司PC上部署杀毒软件客户端，查看服务器端是否可以正常管理客户端。5.4网络配置与实现最终用PT模拟软件模拟出了该企业网络的设计，如图5-2所示：图5-2网络设计的模拟图5.5网络配置整个网络的配置，首先配置核心层，TRUNK中继，VTP透明传输，生成树根选举和链路聚合，以及跟踪tracert命令的路径，这样做一系列访问配置，实现了整个网络的需求。(1)网关的冗余：核心交换机hexin1(config)#interfacevlan10hexin1(config-if)#ipaddress52hexin1(config-if)#ipaccess-groupcaiwuchuinhexin1(config-if)#standbyversion2hexin1(config-if)#standby10ip54//设置vlan10的虚拟网关为54hexin1(config-if)#standby10priority120//设置HSRP的优先级为120，保证成为主的网关（active）hexin1(config-if)#standby10preempt//设置VLAN10抢占!hexin1(config-if)#interfaceVlan70hexin1(config-if)#ipaddress52hexin1(config-if)#ipaccess-groupcaiwuchuinhexin1(config-if)#standbyversion2hexin1(config-if)#standby70ip54//默认优先级为100，确保做为虚拟网关的备份hexin1(config-if)#standby70preempt（2)远程拨号VPN：Router(config)#aaanew-model//启用AAA,对拨号上来的用户名和密码认证Router(config)#aaaauthenticationloginnocaslinenoneRouter(config)#aaaauthenticationloginremotelocal//用本地数据库认证Router(config)#aaaauthorizationnetworkremotelocal//用户的授权Router(config)#usernameremotepassword0cisco//拨号上来的用户名和密码Router(config)#cryptoisakmppolicy10Router(config-isakmp)#hashmd5//对于拨号上来的验证方式用HASHRouter(config-isakmp)#authenticationpre-share//预共享密钥Router(config-isakmp)#group2//放在组2中Router(config-isakmp)#iplocalpoolippool0//用户拨上来的分配的地址，并且地址池的名字为ippool!Router(config)#cryptoisakmpclientconfigurationgroupipsecgroupRouter(config-isakmp-group)#keyciscoRouter(config-isakmp-group)#poolippool//地址池Router(config-isakmp-group)#aclsplit-tunnel//默认情况下，拨号上来的用户直连都是不通的，所以启用水平隧道Router(config)#cryptoisakmpprofilecisco//用户的文件属性Router(config)#matchidentitygroupipsecgroupRouter(config)#clientauthenticationlistremoteRouter(config)#isakmpauthorizationlistremoteRouter(config)#clientconfigurationaddressrespondRouter(config)#cryptoipsectransform-setciscoesp-desesp-md5-hmacRouter(config)#cryptodynamic-mapcisco10Router(config-crypto-map)#settransform-setcisco//调用上述的转换集Router(config-crypto-map)#setisakmp-profilecisco//调用上述的profileRouter(config-crypto-map)#reverse-route//让客户端拨进来的时候产生默认一条路由!Router(config-crypto-map)#cryptomapcisco10ipsec-isakmpdynamiccisco（3）接入层交换机VLAN的划分access-zhb-switch#showvlanbriefVLANNameStatusPorts1defaultactiveGig1/1,Gig1/210zonghebuactiveFa0/3,Fa0/4,Fa0/5,Fa0/6Fa0/7,Fa0/8,Fa0/9,Fa0/10Fa0/11,Fa0/12,Fa0/13,Fa0/14Fa0/15,Fa0/16,Fa0/17,Fa0/18Fa0/19,Fa0/20,Fa0/21,Fa0/22Fa0/2320lingdaoactiveFa0/2430caiwuactiveFa0/1140renliactiveFa0/20,Fa0/2150houqinactiveFa0/7,Fa0/860xingzhenactiveFa0/19,Fa0/2070xinxiactiveFa0/5,Fa0/680huiyiactiveFa0/19,Fa0/2090jiedaiactiveFa0/22100jishuactiveFa0/20,Fa0/21110xiaoshouactiveFa0/22120fuwuqiactiveFa0/7,Fa0/8130cangkuactiveFa0/22--More--（4）接入层和核心层交换机VLAN的Trunk(中继)Access-XXB-switch#showinterfacestrunkPortModeEncapsulationStatusNativevlanFa0/1on802.1qtrunking1Fa0/2on802.1qtrunking1PortVlansallowedontrunkFa0/11-1005Fa0/21-1005PortVlansallowedandactiveinmanagementdomainFa0/11,10,20,30,40,50,60,70,80,90,100,110,120,130,140,220Fa0/21,10,20,30,40,50,60,70,80,90,100,110,120,130,140,220PortVlansinspanningtreeforwardingstateandnotprunedFa0/110,20,30,40,70,80,90,100Fa0/21,50,60,110,120,130,140,220（5）接入层交换机和核心层交换机的VLAN中VTP同步：核心交换机和楼层交换机VLAN配置：Hexin1(config)#VTPmodeserver//配置VTP模式server,用来传递VLAN的传递Hexin1(config)#VTPDomain//配置vtp的域名为Hexin1(config)#interfacerangef0/1-24Hexin1(config-if-range)#switchporttrunkencapsulationdot1q//配置协议为dot1qHexin1(config-if-range)#switchportmodetrunk//启用TrunkHexin1(config-if-range)#vlan10//配置VLAN10Hexin1(config-vlan)#namezonghebu//名称为zonghebuHexin1(config-vlan)#interfaceFastEthernet0/3Hexin1(config-if)#switchportaccessvlan10Hexin1(config-if)#switchportmodeaccess//把F0/3的端口划入到VLAN10中Access-XXB-switch#showvtpstatusVTPVersion:2ConfigurationRevision:1104MaximumVLANssupportedlocally:255NumberofexistingVLANs:20VTPOperatingMode:ServerVTPDomainName:VTPVTPPruningMode:DisabledVTPV2Mode:DisabledVTPTrapsGeneration:DisabledMD5digest:0xBA0x190xD00x030x110x180x940x61Configurationlastmodifiedbyat3-1-9300:00:00LocalupdaterIDis(novalidinterfacefound)（6）生成树根在交换机间的选举hexin1#showspanninghexin1#showspanning-treevlan10VLAN0010SpanningtreeenabledprotocolieeeRootIDPriority24586Address000C.8574.C23CThisbridgeistherootHelloTime2secMaxAge20secForwardDelay15secBridgeIDPriority24586(priority24576sys-id-ext10)Address000C.8574.C23CHelloTime2secMaxAge20secForwardDelay15secAgingTime20InterfaceRoleStsCostPrio.NbrTypeFa0/1DesgFWD19128.1P2pFa0/2DesgFWD19128.2P2pFa0/3DesgFWD19128.3P2pFa0/9DesgFWD19128.9P2pFa0/10DesgFWD19128.10P2pPo1DesgFWD3128.27Shr（7）核心交换机的Portchannel链路的聚合：Hexin1(config)#interfaceGigabitEthernet0/1Hexin1(config-if)#descriptionlinktoheixin1g0/1Hexin1(config-if)#channel-group1modedesirable//把G0/1和G0/2捆绑在组1中Hexin1(config-if)#switchporttrunkencapsulationdot1qHexin1(config-if)#switchportmodetrunkHexin1(config-if)#interfaceGigabitEthernet0/2Hexin1(config-if)#descriptionlinktoheixn1g0/2Hexin1(config-if)#channel-group1modedesirableHexin1(config-if)#switchporttrunkencapsulationdot1qHexin1(config-if)switchportmodetrunkhexin1#showetherchannelsummaryFlags:D-downP-inport-channelI-stand-alones-suspendedH-Hot-standby(LACPonly)R-Layer3S-Layer2U-inusef-failedtoallocateaggregatoru-unsuitableforbundlingw-waitingtobeaggregatedd-defaultportNumberofchannel-groupsinuse:1Numberofaggregators:1GroupPort-channelProtocolPorts1Po1(SU)PAgPGig0/1(P)Gig0/2(P)（8）用tracert的命令用来做跟踪路径核心层交换机网关冗余,确保VLAN10-60的VLAN通过核心交换机1，VLAN70-220的通过核心交换2，以此实现流量分担—负载均衡，用tracert的命令做路径的跟踪hexin1(config)#doshowstandbybriefPindicatesconfiguredtopreempt.InterfaceGrpPriPStateActiveStandbyVirtualIPVl110120PActivelocal5353Vl220120PActivelocal5354Vl330120PActivelocal5354Vl440120PActivelocal5354Vl550120PActivelocal5354Vl660120PActivelocal5354Vl770100PStandby53local54Vl880100PStandby53local54Vl990100PStandby53local54Vl1100100PStandby53local54Vl1110100PStandby53local54Vl1120100PStandby53local54Vl1130100PStandby53local54Vl1140100PStandby53local54Vl2220100PStandby53local54图5-3tracert命令做路径的跟踪hexin2(config-if)#doshowstandbybriefPindicatesconfiguredtopreempt.InterfaceGrpPriPStateActiveStandbyVirtualIPVl110100PStandby52local54Vl220100PStandby52local54Vl330100PStandby52local54Vl440100PStandby52local54Vl550100PStandby52local54Vl660100PStandby52local54Vl770120PActivelocal5254Vl880120PActivelocal5254Vl990120PActivelocal5254Vl1100120PActivelocal5254Vl1110120PActivelocal5254Vl1120120PActivelocal5254Vl1130120PActivelocal5254Vl1140120PActivelocal5254Vl2220120PActivelocal5254图5-4tracert命令做路径的跟踪（9）公司的总部和公司的分部做ISPECVPN：fengongsi(config)#cryptoisakmppolicy10fengongsi(config-isakmp)#hashmd5//做hashfengongsi(config-isakmp)#authenticationpre-share//预共享密钥fengongsi(config-isakmp)#group5//并且划入到组5中fengongsi(config-isakmp)#cryptoisakmpkeyliaoliliaddress//建立VPN的认证密码为liaolilifengongsi(config)#cryptoipsectransform-setTRANesp-desesp-md5-hmacfengongsi(config)#cryptomapMAP10ipsec-isakmpfengongsi(config-crypto-map)#setpeer//只与建立IPSECVPNfengongsi(config-crypto-map)#settransform-setTRANfengongsi(config-crypto-map)#matchaddress110//列表110地址的建立VPNfengongsi(config-crypto-map)#ipnatpoolNATPOOL-1netmask//内网转换到公网的地址为fengongsi(config)#ipnatinsidesourcelist10poolNATPOOL-1overload//使用PAT，保证一个公网对多个内网ipclasslessfengongsi(config)#iproute//到Internet的路由fengongsi(config)#access-list10permit55//仅仅只允许的网段被转换，其它的地址被作为IPSECVPNfengongsi(config)#intS0/3/1fengongsi(config-if)#ipaddressfengongsi(config-if)#ipnatoutside//指定NAT的外部fengongsi(config)#cryptomapMAP//调用cryptomapfengongsi(config)#intF0/1fengongsi(config-if)#ipaddressfengongsi(config-if)#ipnatinside//指定NAT的内部fengongsi(config-if)#duplexautofengongsi(config-if)#speedautofengongsi(config-if)#intF0/0fengongsi(config-if)#ipaddressfengongsi(config-if)#ipnatinside//指定NAT的内部fengongsi(config-if)#duplexautofengongsi(config-if)#speedauto用总公司的网段主机访问分公司的网段图5-5效果图用Tracert命令做路径跟踪（模拟器延迟，所以导致有些包会超时）图5-6用Tracert命令做路径跟踪5.6网络测试测试整个网络连通性，首先查看内网连通性以及内网访问控制是否生效，然后测试VPN专线是否连通以及英特网访问，VPN拨号连接测试，进行连通性测试，最后让网络试运行一段时间，记录运行状况，对网络进行进一步优化。（1）VPN拨号连接测试公司内部的主机用VPN客户端进行拨号：VPN的客户端验证是否成功图5-7vpn验证认证已经成功（图左下角已显示connect）图5-8认证结果VPN客户端认证成功