中小型企业局域网的设计

摘要随着我国经济的快速发展，中小型公司的数量不断增长，已成为中国经济最具活力，最多元化的组成部分。中小公司如何运用不断发展的信息技术增强公司核心竞争力，如何通过对信息技术的连续投入，把IT部门的运营效率转换成为业务发展的驱动力，获取更多商业回报，是公司发展中的焦点问题。中小公司信息化过程中，也普遍面临基础网络规划不合理、功能设计不健全、扩展能力局限性等实际困惑，客观上需要工程化的方案给予规划和指导。本论以满足中小型公司局域网建设的基本规定为出发点，提出了园区级网络的典型需求，明确网络在冗余、扩展与安全等方面设计的定位。从公司网络的基础架构，中小公司的内部网和外联网（接入网）两方面入手，探讨网络编址方案、中继与vlan间路由、有类路由和CIDR技术，对比了静态路由和动态路由的各种协议特点，如RIP、EIGRP和OSPF,本着经济、合用、安全的原则拟定了设备的选型，应用分级（也称为分层）设计模型，以网络规划、综合布线与模拟器实验模拟三大版块，组织并形成了本篇实践性论文。关键词：局域网，组网方案，综合布线，网络安全目录前言...............................................................1第1章、局域网技术.................................................31.1发展与趋势....................................................31.2中小型公司局域网的特点及规定..................................3第2章、需求分析....................................................62.1典型的业务模型................................................62.2需求定位......................................................7第3章、网络方案的设计..............................................83.1设计的目的....................................................83.2设计的原则....................................................93.3技术规划....................................................93.3.1网络的体系结构............................................93.3.2网络层次的划分...........................................103.3.3以太网互换技术（虚拟互换技术）.............................123.3.4网络的规划与编址.........................................123.3.5公司wan链路.............................................173.3.6流量控制................................................17第4章、物理设计及设备选型.........................................194.1物理设计的原则..............................................194.2传输介质的选型..............................................194.3互换机的选型与配置...........................................194.4路由协议、设备的选型与配置...................................29第5章、安全策略...................................................325.1公司网边沿处及vlan间的安全考虑..............................325.2流量控制与安全防护策略.......................................33第6章、综合布线..................................................346.1综合布线概述.................................................346.2综合布线的标准...............................................346.3综合布线设计.................................................36第7章、实验与验证.................................................407.1验证工具.....................................................407.2实验模拟.....................................................417.2.1各VLAN配置的连通性测试..................................417.2.2公司WAN链路连通性测试...................................497.2.3ACL访问策略测试.........................................55结论与展望........................................................59致谢..........................................................61参考文献..........................................................62附录..........................................................63前言在信息时代网络技术快速发展的背景下，中小公司有业务与信息技术深度融合的迫切需求，提出中小公司局域网规划与设计方案，既是对我本人近两年所学知识的回顾和进一步总结，更是学以致用并付诸实践后的检查。整个过程，通过发现并分析问题，最终将进一步提高我个人解决问题的能力。在论文准备阶段，我重要阅读了人民邮电出版社出版，由AllanReid，JimLorenz，CherylSchmidt（美国）合著的《CCNADiscovery:公司中的路由和互换简介》。该书对网络技术发展做出了较为全面的总体说明，对技术细节说明条理清楚，知识点衔接紧凑。同时，从CCNA网络程序员认证的角度，给出了大篇副的实验题目，使读者借助PacketTracer（思科开发）可以模拟并完毕所有章节的实验。文献的有关实验我都认真阅读，并结合论文在技术实现上做到了实际应用。完毕论文的过程中，PacketTracer使我有了验证规划与方案可行性的依据，并最终有理有据地完毕了论文所有工作。由电子工业出版社出版，徐锋老师著《网络工程师考试冲刺指南》，是我读到的另一本个人较为喜欢的网络规划与设计书目，该本在方案制定与技术实行方面给予网络工程师更为明了和直接有效的参考示例，知识点清楚覆盖全面。在本论文中，我重要融合了文献关于园区级网络的部分论述。在完毕论文的过程中，其它文献的不同论点均有不同限度的参考，也有选择地在本论文中不同限度的汇总并做为论述的依据，所有文献内容都很精彩，非常感谢他们。本篇论文就中小公司局域网建设，讨论了中小公司园区级网络的类型，根据投资人民币20余万的预算，主干千兆、接入到桌面百兆的规定，提出了规划与设计方案，解决了网络的定位、设备选型、协议选择、设备配置与综合布线实行等几方面问题。论文一方面根据局域网技术的发展与超势，论述了中小型公司局域网的特点与规定，进而提出了典型的业务模型与需求定位，按照网络层次的划分的原则，设计了中小型公司网核心到接入互换的两级网络模型，明确了网络的编址方案，考虑了基本的网络安全与流量控制因素，论文全篇给出核心、路由与防火墙的重要配置过程，并对方案应用模拟器进行模拟。在论文最后，通过实验（有关实验配置见附录）使用PacketTracer，对vlan连通性、WAN链路连通性及ACL防问策略做了重点验证，保证了方案的合理性、有效性与可行性。我认为，中小公司局域网规划与设计方案，简朴化就是在基于统一IP技术来构建的IT系统，即从IP网络、到基于IP的通信和统一的IT资源管理，提供一揽子解决方案从而实现IT技术的全面融合，最大化的减少中小型公司IT系统的总体建设成本和提高其IT系统的总体使用效率。这个过程，要遵循简朴、有效、可靠与安全的原则，更要考虑建设成本，建成后还更要保护中小公司投资并使网络的效能发挥到更大化，使维护简朴易行。希望本论文在此方面，能提供一些参考。第1章、局域网技术“局域网”是指地理覆盖范围小的网络，通常为拥有互联设备的组织所有。局域网具有数据传输速率高,低延迟和误码率（其误码率一般为10-8～10-11），建设成本低、周期短，便于安装、维护和扩充的特点。局域网设计目的是覆盖一个公司、一所大学、一幢办公楼的“有限地理范围”，因此它的网络拓扑、传输介质与介质访问控制方法具有自身特点。１.1发展与趋势局域网拓扑结构重要涉及总线型、星状、环状。其他类型的拓扑结构，如总线型与星型混合、总线型与环型混合连接的网络。局域网中使用最多的是星型结构。传输介质重要采用双绞线、同轴电缆与光纤等，网络分为有线网络和无线网络两种。局域网通常采用单一的传输介质，也可以同时采用多种传输介质。从介质访问控制方法角度，局域网分为共享介质式局域网与互换式局域网两类。互换式局域网通过局域网互换机支持连接到互换机端口的结点之间的多个并发连接，实现多结点之间的并发传输，增长了网络带宽，改善了局域网的性能与服务质量，成为应用的主流。局域网典型技术与产品涉及Ethernet(以太网)、TokenBus（令牌总线）、TokenRing（令牌环网）三类，其中以Ethernet应用最为广泛。Ethernet中以10MbpsEthernet使用最广，随着快速及高速局域网技术的发展，100Mbps、1Gbp和10Gbps的Ethernet成为必然性的首选。同时，无线局域网快速发展成为应用的新热点。1.2中小型公司局域网的特点及规定根据公司的体系构成和规模，可以将公司网提成工作组级、部门级、园区级和公司级四种网络类型。工作组级：通常位于办公室内部或几个办公室内的网络，是最基础的单元级网络，通常采用10/100Base-Tx技术。部门级：位于同一楼宇内的局域网，相称于小型公司的“公司级”网络。园区级：由公司中各部门网络互联组成，通常跨越数个楼宇。公司级网络：由分布在各地的园区级或部门级网络互联在一起的大型网络。根据2023年7月4日，工信部等四部门联合发布的《中小公司划型标准规定》，各行业划型标准重要依据营业收入和从业人数两项，中小公司从业人员普遍小于1000人的标准，中小型公司网目前合用的网络规模往往在园区级及其以下。其结构示意图如图1-1.图1-1中小公司网结构示意图中小公司局域网结构应当涉及外网、内网和公司网互联三个方面：外网：位于防火墙外直接与Internet相连的区域。它为整个公司网提供一个“缓冲地带”用来提供公司网对外交流的渠道，或提供对外的网络应用服务。内网：即公司内部网络，是整个公司网的核心。公司网互联：通常运用专线、远程（ISDN、ADSL等）、VPN技术来建立连接。第2章、需求分析中小型公司发展过程中，客观业务的发展，不断推动网络需求的变化，应用的增长。2.1典型的业务模型

常见的中小型公司环境有：■制造商■大型零售商■旅馆服务业特许经营商■公共事业和政府机构（我国有关标准对此未做出明确规定）■医院；■学校系统。这些公司网络通常拥有众多用户、跨越多个位置，或部署多套系统，形成了有些教材称为“园区网”的典型网络，如图2-1所示。中小型公司网的典型特性是：拥有自己的物理线路，这些线路都部署在园区内部，采用了LAN/MAN技术，将建筑特群所有端点系统连接起来。公司依靠网络提供用于共享的资源与信息，支持网络办公与多元化的业务。图2-1园区网结构2.2需求定位本次按照园区级的网络设计，预定使用网络的用户终端极限数量是700个，涉及部门20个（综合办公室、财务部、研发部、后勤部等），综合布线的建筑4个（涉及办公楼、生产车间、生活楼及食堂），各建筑间距一般有百余米。总体投资经费20万元左右，涉及办公网络的组建，互换机设备购置，综合布线施工等。网络必须支持的互换流量类型涉及数据文献（如OA办公系统）、电子邮件、声音和视频应用，能有效地解决这些融合的网络流量，设备能进行科学的管理和合理控制。依靠网络基础架构提供关健型服务是公司正常运营，提高经济效益的关键和主线，网络设计的可靠性必须达成90%以上。网络设计中需要引入冗余功能，避免出现任何单点故障，其它要素涉及优化网络带宽的运用率、保证安全性和网络性能等。第3章、网络方案的设计3.1设计的目的中小型公司信息化，一方面应当站在公司战略目的的高度，依据公司的经营、营销竞争战略综合考虑，必须从公司的实际出发，来制定实行信息化的总体规划。这样才干保证公司信息化是站在公司战略目的和长远发展的全局上的，是系统的、全面的、统筹兼顾的。因此，设计的总体目的要围绕公司战略，从长远规划而形成的业务、流程、组织、策略。3.1.1安全性系统应分别针对不同的应用和不同的网络通信环境，采用不同的措施，涉及系统安全机制、数据存取的权限控制等，防范各种形式对网络的非法入侵和内部袭击，防止内部信息数据被非法窃取、篡改或泄漏，以保证网络的实体安全、网络安全、系统安全和信息安全，有效地保障正常的业务活动。3.1.2 先进性系统设计既要采用先进的概念、技术和方法，又要注意结构、设备、工具的相对先进成熟，整个系统的生命周期应有比较长的时间，在系统建成后比较长的时间内能满足用户需求增长的需要，从而最大限度保护用户投资。3.1.3 开放性采用的软硬件平台和管理系统，遵循国际标准化组织提出的开放系统互联的标准，能集成任何第三方的应用，具有良好的可移植性和互操作性，存在应用软件的必须独立于软硬件平台。3.1.4 扩展性在系统结构、系统容量与技术方案等方面必须具有升级换代的也许，核心设备必须采用模块化的结构，符合网络的发展趋势并具有充足的扩展性。系统建设必须尽量保护现有的软、硬件资源，保证各部门现有的计算机系统的使用，逐步过渡，有效保护用户投资。3.1.5 高性能网络链路和设备具有足够高的数据转发能力，保证各种信息的高质量无阻塞传输；互换系统具有很高的互换容量与多服务支持的能力，保证网络服务的质量。3.1.6 标准化为充足共享资源，实现同层次网络互连，建筑物间互联，相关信息系统网际互联过程中，设备的各种接口必须满足标准化原则。3.2设计的原则3.2.1层次化原则为了实现一个可管理的、可靠的、高性能网络，我们将采用层次化的方法。目前国内外网络建设中普遍采用的网络拓扑结构是将网络分为核心层、分布层和接入层三个层次进行设计。本次设计中，根据中小型业700个终端、20万元投资的典型规定，在保证了整个网络的高可靠性、高性能、高安全性和灵活的扩展性前提下，采用核心层与接入层的两层拓扑结构，每一层的网络设备功能描述如下：核心层：提供高速的三层互换骨干；核心层不进行终端系统的连接；核心层少用或不实行影响高速互换性能的ACL等功能；本功能区重要功能是保证VLAN间的路由；IP地址或路由区域的汇聚。接入层：提供Layer2或Layer3的网络接入，通过VLAN定义实现接入的隔离。网络接入层具有以下特点：接入层接入端口规划容量根据实际使用情况具有一定的扩展性；上述两层中，重要在核心层采用了冗余的架构来保障骨干区域功能的稳定可靠。3.2.2标准化原则网络设计中所用的各种管理信令、接口规程、协议须符合国际标准，便于扩展和网络的互连互通。保证与其它网络（如互联网等）之间的平滑连接3.3技术规划3.3.1网络的体系结构中小型公司局域网络往往由多种完毕不同功能的网络设备组成，涉及路由器、互换机、Internet接入设备、防火墙等以及各种服务器，如：网管服务器、主服务器（涉及打卡服务器、售餐服务器等）。公司内部网络采用共享或互换式以太网，通过DDN、ASDL、ISDN／PSTN等方式，选择合适的网络运营商接入到Internet。并采用相应的措施，保证通讯数据的安全、保密。系统运营要安全、可靠、故障小，软硬件要组织合理并且要便于理解与维护。根据规定，我们拟定的中小型公司园区级网络拓扑结构为树状分层结构（如图3-1）。图3-1园区级网络树状分层结构3.3.2网络层次的划分对的的网络结构设计，是公司网络中流量传输控制的客观规定。只有控制流量在网络中合适的位置，而不是任由流量随意流动，才干保障有价值的带宽资源，保证网络性能。否则将面临片面增长网络成本来提高网络带宽的被动局面。此外，应当注意到，流量也是有安全隐患的，它也许包含秘密的信息或网络结构自身的信息。采用分层设计模型有助于网络结构的设计。区别于公司网三层结构的拓扑结构，本次设计中结合中小型公司园区级网络规模小、用户相对少和投资额度普遍低的特点，本着适当的原则分层结构设计分为两级（如图3-2）：图3-2规划的中小公司网拓扑示意图第一级是网络的千兆主干（骨干）网络，属核心层，并采用了冗余设计。主干千兆位互换机的任务是将各个子网分布路由的信息简洁快速地互换到目的地址，起到信息快速通道的作用。网络主干上连接着对带宽和可靠性有很高规定的设备，如服务器群、互换机、路由器等，放置在办公楼1楼的网管中心。第二级是直接连接拥护的计算机，属接入层。放置在楼层弱电井内（管理子系统部分），它通过多模光纤上联到核心计算机，通过超5类双绞线与工作区子系统（信息插座）连接。一般地，一个楼层组成一个单独的子网。这种“骨干千兆光纤，百兆铜缆到桌面”的层次划分有以下特点：结构清楚，易于设计和管理，大大提高了网络的扩充能力；网络结构和实际应用的组织结构相一致，便于安全管理，减轻网络的数据流量；根据不同层次和实际经济承受能力，选择相应的网络设备和硬件设备，使投资更合理。总之，采用层次化的网络设计，其优点是便于网络管理，优化网络性能，增强网络的扩展性。3.3.3以太网互换技术（虚拟互换技术）采用互换机可以减少本地网络内发生的冲突，然而所有由互换机构成的网络往往会构成一个广播域，在单个广播域或平面网络中，每台设备都会接受每个广播。随着互换网络中主机数量的增长，所发送和接受的广播也不断增长，广播数据会占用大量带宽，导致通信延迟和超时。使用VLAN是一个很好的解决此类网络问题的方案之一，每个VLAN都具有自己的广播域，避免了广播风暴，提高了网络的效能。3.3.4网络的规划与编址中小公司网络用户近千人，适合使用分层的地址方案，结合分层网络设计，简化了网络管理，提高可扩展性和路由性能（如VLSM支持路由总结对提高网络性能具有明显效果）。中小公司网络内部一般使用保存地址，即不在公网上使用的IP地址，如表3-3。表3-3保存地址类别IP地址范围网络号网络数A-55101B-55172.16-172.3116C-55192.168.0-192.168.255255根据本次典型需求，即20个部门（综合办公室、财务部、研发部、后勤部等），共700个设计点位，四个建筑（涉及办公楼、生产车间、生活楼及食堂）楼层共计10个的规定，大部分部门用户数应在30人左右，最大部门的用户也将不会超过62人，选定设备类型及数量如表3-4。表3-4设备清单名称型号数量防火墙ASA5510-K81路由器CISCO2911/K91核心互换机WS-C3750X-24S-S248口接入互换机WS-C2960-48TC-L624口接入互换机WS-C2960-24TC-L10SFP光口模块GLC-SX-MM72SFP电口模块GLC-T10无线APAIR-AP1242AG-C-K962.4GHzAP天线AIR-ANT4941125GHz天线AIR-ANT5135D-R12通过以上规定分析采用C类保存地址较为适当。对比“子网联网”和“可变字长子网掩码（VLSM）”两种技术，在对相关子网地址无法精确估计情况下，为做到对子网地址留有余地，采用子网联网的技术，使每个子网地址数相等，保存主机数为６２个。管理上按照管理VLAN（定义为各设备的默认VLAN1）、设备连接VLAN（vlan2）和业务VLAN三类构成，划分如下：表3.5重要设备及接口地址规划名称/标记重要端口VLAN/IP接入ISP互联网路由/ISPRouterS0/0/0IP:30/29FirewallSerial,FastEthernet此设备所有功能在c2900k9中模拟实现，故此处未明确具体端口及IP。路由器/c2900k9S0/0/0IP:31/29视同（模拟）防火墙外端口F1/0VLAN1/53/192F1/1VLAN1/52/192核心互换/C3750X-24S-S1VLAN1//192F0/1,3,5…VLAN10…/2…/192G0/1VLAN100/54/192核心互换/C3750X-24S-S2VLAN1//192F0/2,4,6…VLAN10…/2…/192G0/1VLAN100/54/192接入互换Vlan2//表3-6接入互换设备连接VLAN划分表核心及相应端口接入设备相应端口楼层接入设备楼层接入管理IPC3750X-24S-S1GigabitEthernet1/1GigabitEthernet1/1Bg-C2960-1f-1C3750X-24S-S2GigabitEthernet1/1GigabitEthernet1/2C3750X-24S-S1GigabitEthernet1/2GigabitEthernet1/1Bg-C2960-2f-1C3750X-24S-S2GigabitEthernet1/2GigabitEthernet1/2C3750X-24S-S1GigabitEthernet1/3GigabitEthernet1/1Bg-C2960-3f-1C3750X-24S-S2GigabitEthernet1/3GigabitEthernet1/2C3750X-24S-S1GigabitEthernet1/4GigabitEthernet1/1Bg-C2960-4f-1C3750X-24S-S2GigabitEthernet1/4GigabitEthernet1/2C3750X-24S-S1GigabitEthernet1/5GigabitEthernet1/1Bg-C2960-5f-1C3750X-24S-S2GigabitEthernet1/5GigabitEthernet1/2C3750X-24S-S1GigabitEthernet1/6GigabitEthernet1/1Bg-C2960-6f-1C3750X-24S-S2GigabitEthernet1/6GigabitEthernet1/2C3750X-24S-S1GigabitEthernet1/7GigabitEthernet1/1Sh-C2960-1f-1C3750X-24S-S2GigabitEthernet1/7GigabitEthernet1/2C3750X-24S-S1GigabitEthernet1/8GigabitEthernet1/1Sh-C2960-2f-1C3750X-24S-S2GigabitEthernet1/8GigabitEthernet1/2C3750X-24S-S1GigabitEthernet1/9GigabitEthernet1/1Sc-C2960-1f-1C3750X-24S-S2GigabitEthernet1/9GigabitEthernet1/2C3750X-24S-S1GigabitEthernet1/10GigabitEthernet1/1St-C2960-1f-10C3750X-24S-S2GigabitEthernet1/10GigabitEthernet1/2说明：核心互换C3750X-24S-S1：C3750X代表设备型号，24代表端口数量，2f代表为相应建筑的第二个楼层设备，S1中S代表设备为互换机，S1中数字代表该设备编号（如S2则代表第二个核心互换）。接入互换Bg-C2960-5f-1：Bg代表办公楼（Sh代表生活楼、Sc代表生产车间大楼、St代表食堂），C2960代表接入互换的型号，5f相应大楼楼层，1代表弱电井中互换机的序号。表3-7业务VLAN划分表Vlan功能属性代码描述网关地址主机IP范围子网掩码10Shengchan1生产小组12-19211Shengchan2生产小组2265-259212Shengchan3生产小组39029-899213Shengchanv4生产小组45493-539214Xiaosh1销售1部2-19215Xiaosh2销售2部265-259216Zonghbgs综合办公室9029-899217Caiwsh财务办公室5493-539218Yanfb研发部2-192………………Vlan是在一个物理网段内，进行逻辑划分，划为为若干虚拟局域网。Vlan具有一个物理网段的所有特性，相同VLAN可直接通信，不同VLAN间访问必须经由路由器转发，广播只可以本vlan内进行。实现VLAN有两种方式，PortVlan和TagVlan，PortVlan运用互换机的端口进行Vlan划分，一个端口只能属于一个Vlan,TagVlan对不同Vlan的主机进行隔离，数据传输时需要在数据帧内添加4个字节的802.1Q标签信息，便于对接受到的数据帧进行过滤。结合静态VLAN与动态VLAN，基于互换机端口划分的动态VLAN较为适应中小型公司网运营环境，当然TagVlan的也必须使用。我们把一个或多个接入互换机上的几个端口划分在一个逻辑组中，简朴明了并且有效，即运用PortVlan划分方式。该方式不允许多个VLAN共享一个物理网段或互换机端口，规定某个用户假如从一个端口所在的虚拟网移动到另一个端口所在的虚拟网时，管理员必须对接入地址进行重新分派。并且，在核心互换或中继接口上也必须使用truck，以支持设备的堆叠并减少网络的建设成本，即使用portvlan的方式。3.3.5公司wan链路ISP会采用几种不同的WAN技术来连接其用户。本地环路（即最后一英里）上使用的连接类型也许与ISP网络内或不同ISP之间采用的WAN连接类型有所不同，一些常见的最后一英里技术涉及：模拟拨号；集成服务数字网络（ISDN）；租用线路；电缆；数字用户线路（DSL）；帧中继；无线。目前，随着中小公司各种应用需求的增长，带宽规定也越来越大，传输质量规定也越来越高。常见的中小公司网络接入以租用100M光纤线路为主，在网络边界上往往通过路由设备或防火墙接入互联网。3.3.6流量控制一些情况下，流量保存在公司网络的LAN部分，另一些情况下，流量会在WAN流量上传输。LAN网络中应限制在本地传输的流量类型涉及：文献共享、打印、内部备份、镜像和园区网内通信。在本地网络中常见并且经常通过WAN发送的流量类型涉及：系统更新、公司邮件和交易解决。除了WAN流量以外，外部流量还包含进出INTERNET的流量（如身份验证、视频会议等）。VPN和INTERNET流量被视为外部流量。流量控制除了体现在网络拓扑结构分层设计上，也需要在VLAN划分上尽也许把某一业务的流量限制在同一VLAN内部。在语音、视频与数据在同一介质传输的融合网络下，对不同类型网络流量特特的了解，也是合理控制流量的先决条件。数据流量大多数网络应用程序都要使用数据流量，或偶尔传输少量数据，或（如数据存储应用程序）需要传输较高流量。对某些数据应用程序来说，时间可靠性更重要，但大多数数据应用程序都允许一定的延迟。因此数据流量常采用传输控制协议（TCP），TCP使用确认机制来拟定何时必须重新传输丢失的数据包，从而保证传输的质量。语音和视频流量语音与视频应用程序规定不间断地传输数据流以保证会话和图像质量。TCP确认过程会带来延迟，导致流量中断并减少应用程序的质量。因此，语音与视频应用程序使用数据报协议UDP代替TCP。此外，还需求考虑由于网络设备自身到目的地的途径上流量所带来的延迟和迟时。如三层设备由于必须解决报头，延迟比二层设备更大。服务质量Qos是用于保证足够的带宽传输指定数据流的过程，应用Qos机制优先级对流量进行分类排序，例如语音流量的优先级高于普通数据，使得高优先级的数据流量比低优先级的数据先发送。第4章、特理设计及设备选型4.1物理设计的原则核心层应用千兆以太网技术、有冗余链路设计。接入层设备堆叠。4.2传输介质的选型根据全网主干千兆，百兆到用户桌面的设计，结合四个建筑物相距百余米的实际，核心互换机到接入互换机选择千兆多模光纤，接入互换机到用户桌面，即综合布线的水平子系统采用超五类双绞线。4.3互换机的选型与配置根据方案，我们选择两台思科WS-C3750X-24S-S互换机作为核心互换机，两台互换机部署HSRP冗余网关协议，提高网络的高可用性的同时，对全网数据进行高速互换。WS-C3750X-24S-S为全千兆三层以太网互换机产品，配备24个10/100/1000Mbps自适应以太网SFP接口，可支持堆叠。背板带宽160Gbps。通过CiscoStackPower、IEEE802.3at增强型以太网供电(PoE+)配置、可选网络模块、冗余电源和媒体访问控制安全(MACsec)等创新功能，提供无间断连接性、可扩展性、安全性、能效性和易操作性。具有StackWise®Plus技术的CiscoCatalyst3750-X系列为发展中的业务需求提供可扩展性、易管理性和投资保护（重要指标见表4-1）。表4-1核心互换机重要指标产品型号WS-C3750X-24T-S应用层级三层背板带宽160Gbps包转发率65.5mpps传输方式存储转发方式硬件参数Flash内存128MBDRAM内存256MB接口类型24个千兆SFP端口，4个基于SFP的千兆端口或2个万兆电口上行链路接口数目24口端口结构非模块化扩展插槽2个网络与软件QoS支持支持QoS网络标准IEEE802.3、IEEE802.3u、IEEE802.3ab、IEEE802.3z、ANSI/IEEE802.3NWay、IEEE802.3xVLAN支持支持VLAN功能网管功能支持网管功能,基于web的简易配置双工传输支持全双工MAC地址表6K其他性能IPBase接入互换机我采用WS-C2960-48TC-L或是WS-C2960-24TC-L互换机（表4-2接入互换机重要指标），百兆到桌面，千兆上联到核心互换机。表4-2接入互换机重要指标指标项指标规定互换机类型智能互换机应用级别二层网络标准IEEE802.3IEEE802.3uIEEE802.1XIEEE802.1Q端口结构非模块化互换方式存储-转发端口数量2410/100+2T/SFPIOS类型LANBaseImage转发带宽（Gbps）16每秒分组数（Mpps）6.5支持的MAC地址8000板载内存（DRAM）64MB千兆以太网GBIC/SFP密度210/100/1000密度210/100密度24园区网络设备连接及IP分派见图4-3图4-3园区网络设备IP分派示意图Cisco互换机的命令行操作模式重要涉及：a、用户模式Switch>b、特权模式Switch#c、全局配置模式Switch(config)#d、端口模式Switch(config-if)#图4-4Cisco各配置状态转换图核心互换机配置目的：a、为两个互换机分别设立管理、配置口及TELNET密码100.1和100.2;b、为两个核心互换机分别分派IP地址，即、；网关54。c、在两个核心互换机上部署HSRP冗余网关协议；d、设立三层互换机VLAN间的通信，创建VLAN2,VLAN11,VLAN12…的虚接口，并配置虚接口VLAN2,VLAN11、VLAN12…相应的IP地址。C3750X-24S-S1配置过程：Switch>en！进入特权模式命令Switch#conft！进入全局模式命令Enterconfigurationcommands,oneperline.EndwithCNTL/Z.Switch(config)#enablepassword100.1！配置特权模式密码为“100.1”Switch(config)#hostnameC3750x-24s-s1！设立主机名为“C3750x-24s-s1”C3750x-24s-s1(config)#interfacevlan1！C3750x-24s-s1(config-if)#ipaddress92！设立互换机IP为，用来管理互换机C3750x-24s-s1(config-if)#noshutdown%LINK-5-CHANGED:InterfaceVlan1,changedstatetoupC3750x-24s-s1(config-if)#exitC3750x-24s-s1(config)#lineconsole0C3750x-24s-s1(config-line)#pass100.1C3750x-24s-s1(config-line)#loginC3750x-24s-s1(config-line)#linevty04C3750x-24s-s1(config-line)#password100.1C3750x-24s-s1(config-line)#loginC3750x-24s-s1(config-line)#vlan2C3750x-24s-s1(config-vlan)#nameDeviceConnect!定义设备VLANC3750x-24s-s1(config-vlan)#exitC3750x-24s-s1(config-line)#vlan2C3750x-24s-s1(config-vlan)#nameDeviceConnectC3750x-24s-s1(config-vlan)#exitC3750x-24s-s1(config)#vlan10C3750x-24s-s1(config-vlan)#nameShengchan1C3750x-24s-s1(config-vlan)#exitC3750x-24s-s1(config)#vlan11C3750x-24s-s1(config-vlan)#nameShengchan2C3750x-24s-s1(config-vlan)#exitC3750x-24s-s1(config)#vlan12C3750x-24s-s1(config-vlan)#nameShengchan3C3750x-24s-s1(config-vlan)#exitC3750x-24s-s1(config)#vlan13C3750x-24s-s1(config-vlan)#nameShengchan4C3750x-24s-s1(config-vlan)#exitC3750x-24s-s1(config)#vlan14C3750x-24s-s1(config-vlan)#nameXiaosh1C3750x-24s-s1(config-vlan)#exitC3750x-24s-s1(config)#vlan15C3750x-24s-s1(config-vlan)#nameXiaosh2C3750x-24s-s1(config-vlan)#exitC3750x-24s-s1(config)#vlan16C3750x-24s-s1(config-vlan)#nameZonghbgsC3750x-24s-s1(config-vlan)#exitC3750x-24s-s1(config)#vlan17C3750x-24s-s1(config-vlan)#nameCaiwshC3750x-24s-s1(config-vlan)#exitC3750x-24s-s1(config)#vlan18C3750x-24s-s1(config-vlan)#nameYanfbC3750x-24s-s1(config-vlan)#exit……!根据VLAN划分表循环配置C3750x-24s-s1(config)#vlan100C3750x-24s-s1(config-vlan)#namezhuysb!重要设备互联VLANC3750x-24s-s1(config-vlan)#exitC3750x-24s-s1(config)#intvlan2C3750x-24s-s1(config-if)#%LINK-5-CHANGED:InterfaceVlan2,changedstatetoupC3750x-24s-s1(config-if)#ipaddress54C3750x-24s-s1(config-if)#noshutdownC3750x-24s-s1(config-if)#exitC3750x-24s-s1(config)#intvlan10C3750x-24s-s1(config-if)#%LINK-5-CHANGED:InterfaceVlan10,changedstatetoupC3750x-24s-s1(config-if)#ipaddress292C3750x-24s-s1(config-if)#noshutdownC3750x-24s-s1(config-if)#exitC3750x-24s-s1(config)#intvlan11C3750x-24s-s1(config-if)#%LINK-5-CHANGED:InterfaceVlan11,changedstatetoupC3750x-24s-s1(config-if)#ipaddress2692C3750x-24s-s1(config-if)#noshutdownC3750x-24s-s1(config-if)#exitC3750x-24s-s1(config)#intvlan12C3750x-24s-s1(config-if)#%LINK-5-CHANGED:InterfaceVlan12,changedstatetoupC3750x-24s-s1(config-if)#ipaddress9092C3750x-24s-s1(config-if)#noshutdownC3750x-24s-s1(config-if)#exitC3750x-24s-s1(config)#intvlan13C3750x-24s-s1(config-if)#%LINK-5-CHANGED:InterfaceVlan13,changedstatetoupC3750x-24s-s1(config-if)#ipaddress5492C3750x-24s-s1(config-if)#noshutdownC3750x-24s-s1(config-if)#exitC3750x-24s-s1(config)#intvlan14C3750x-24s-s1(config-if)#%LINK-5-CHANGED:InterfaceVlan14,changedstatetoupC3750x-24s-s1(config-if)#ipadd292C3750x-24s-s1(config-if)#noshutdownC3750x-24s-s1(config-if)#exitC3750x-24s-s1(config)#intvlan15C3750x-24s-s1(config-if)#%LINK-5-CHANGED:InterfaceVlan15,changedstatetoupC3750x-24s-s1(config-if)#ipadd2692C3750x-24s-s1(config-if)#noshutdownC3750x-24s-s1(config-if)#exitC3750x-24s-s1(config)#intvlan16C3750x-24s-s1(config-if)#%LINK-5-CHANGED:InterfaceVlan16,changedstatetoupC3750x-24s-s1(config-if)#ipadd9092C3750x-24s-s1(config-if)#noshutdownC3750x-24s-s1(config-if)#exitC3750x-24s-s1(config)#intvlan17C3750x-24s-s1(config-if)#%LINK-5-CHANGED:InterfaceVlan17,changedstatetoupC3750x-24s-s1(config-if)#ipadd5492C3750x-24s-s1(config-if)#noshutdownC3750x-24s-s1(config-if)#exitC3750x-24s-s1(config)#intvlan18C3750x-24s-s1(config-if)#%LINK-5-CHANGED:InterfaceVlan18,changedstatetoupC3750x-24s-s1(config-if)#ipadd292C3750x-24s-s1(config-if)#noshutdownC3750x-24s-s1(config-if)#exit……!根据VLAN划分表循环配置C3750x-24s-s1(config)#intvlan100C3750x-24s-s1(config-if)#%LINK-5-CHANGED:InterfaceVlan100,changedstatetoupC3750x-24s-s1(config-if)#ipadd5492C3750x-24s-s1(config-if)#noshutdownC3750x-24s-s1(config-if)#exitC3750x-24s-s1(config-if)#intg0/1!是下连至办公楼一层接入互换的接口C3750x-24s-s1(config-if)#switchportmodetrunkC3750x-24s-s1(config-if)#switchporttrunkallowedvlanallC3750x-24s-s1(config-if)#noshutdownC3750x-24s-s1(config-if)#exit！假如一个楼层划一个vlan,以上可以修改为：!Intg0/1!Switchportaccessvlan楼层相应VLAN号!ExitC3750x-24s-s1(config-if)#intg0/2!下连至办公楼二层接入互换的接口C3750x-24s-s1(config-if)#switchportmodetrunkC3750x-24s-s1(config-if)#switchporttrunkallowedvlanallC3750x-24s-s1(config-if)#noshutdownC3750x-24s-s1(config-if)#exitC3750x-24s-s1(config-if)#intg0/3!下连至办公楼三层接入互换的接口C3750x-24s-s1(config-if)#switchportmodetrunkC3750x-24s-s1(config-if)#switchporttrunkallowedvlanallC3750x-24s-s1(config-if)#noshutdownC3750x-24s-s1(config-if)#exitC3750x-24s-s1(config-if)#intg0/4!下连至办公楼四层接入互换的接口C3750x-24s-s1(config-if)#switchportmodetrunkC3750x-24s-s1(config-if)#switchporttrunkallowedvlanallC3750x-24s-s1(config-if)#noshutdownC3750x-24s-s1(config-if)#exitC3750x-24s-s1(config-if)#intg0/5!下连至办公楼五层接入互换的接口C3750x-24s-s1(config-if)#switchportmodetrunkC3750x-24s-s1(config-if)#switchporttrunkallowedvlanallC3750x-24s-s1(config-if)#noshutdownC3750x-24s-s1(config-if)#exitC3750x-24s-s1(config-if)#intg0/6!下连至办公楼六层接入互换的接口C3750x-24s-s1(config-if)#switchportmodetrunkC3750x-24s-s1(config-if)#switchporttrunkallowedvlanallC3750x-24s-s1(config-if)#noshutdownC3750x-24s-s1(config-if)#exitC3750x-24s-s1(config-if)#intg0/7!下连至生活楼一层接入互换的接口C3750x-24s-s1(config-if)#switchportmodetrunkC3750x-24s-s1(config-if)#switchporttrunkallowedvlanallC3750x-24s-s1(config-if)#noshutdownC3750x-24s-s1(config-if)#exitC3750x-24s-s1(config-if)#intg0/8!下连至生活楼二层接入互换的接口C3750x-24s-s1(config-if)#switchportmodetrunkC3750x-24s-s1(config-if)#switchporttrunkallowedvlanallC3750x-24s-s1(config-if)#noshutdownC3750x-24s-s1(config-if)#exitC3750x-24s-s1(config-if)#intg0/9!下连至生产楼接入互换的接口C3750x-24s-s1(config-if)#switchportmodetrunkC3750x-24s-s1(config-if)#switchporttrunkallowedvlanallC3750x-24s-s1(config-if)#noshutdownC3750x-24s-s1(config-if)#exitC3750x-24s-s1(config-if)#intg0/10!下连至食堂接入互换的接口C3750x-24s-s1(config-if)#switchportmodetrunkC3750x-24s-s1(config-if)#switchporttrunkallowedvlanallC3750x-24s-s1(config-if)#noshutdownC3750x-24s-s1(config-if)#exit……………C3750x-24s-s1(config-if)#intg0/24C3750x-24s-s1(config-if)#switchportmodetrunkC3750x-24s-s1(config-if)#switchporttrunkallowedvlanallC3750x-24s-s1(config-if)#noshutdownC3750x-24s-s1(config-if)#exitC3750x-24s-s1(config-if)#intg1/1!上连至路由器接口C3750x-24s-s1(config-if)#switchportAccessvlan100C3750x-24s-s1(config-if)#noshutdownC3750x-24s-s1(config-if)#iproute53!到路由器出口路由C3750x-24s-s1(config-if)#exitC3750x-24s-s1(config)#intf0/24!在核心的F0/24口部署HSRP冗余网关协议C3750x-24s-s1(config-if-FastEthernet0/24)#standby1ip53

C3750x-24s-s1(config-ifFastEthernet0/24)#standby1preempt

C3750x-24s-s1(config-if-Ethernet0)#standby1priority120

C3750x-24s-s1(config-if-FastEthernet0/24)#standby1authenticationRouter

C3750x-24s-s1(config-if-FastEthernet0/24)#standby1timers515

C3750x-24s-s1(config-if-FastEthernet0/24)#standby1trackFastEthernet0/2430C3750x-24s-s1(config-if)#exitC3750x-24s-s1(config-if)#exitC3750x-24s-s1#writememory在C3750X-24S-S2部署HSRP冗余网关协议的配置命令：C3750x-24s-s2(config-if-FastEthernet0/24)#standby1ip53

C3750x-24s-s2(config-if-FastEthernet0/24)#standby1preempt

C3750x-24s-s2(config-if-FastEthernet0/24)#standby1authenticationRouter

C3750x-24s-s2(config-if-FastEthernet0/24)#standby1timers51548口接入互换机配置过程(办公楼一层Bg-C2960-1f-1互换机示例)：目的：a、为互换机设立管理、配置口及TELNET密码1.1（其它从1.2递增）;b、为互换机分别分派IP地址，即，网关54；c、设立上接端口g1/1的属性，下级连口g1/2属性；d、从G0/1开始每6个口划归一个VLAN，如g0/1,g0/2,g0/3,g0/4,g0/5,g0/6归vlan10;g0/7,g0/8,g0/9,g0/10,g0/11,g0/12归vlan11……Switch>enSwitch#conftEnterconfigurationcommands,oneperline.EndwithCNTL/Z.Switch(config)#hostnameBg-C2960-1f-1Bg-C2960-1f-1(config)#intvlan1Bg-C2960-1f-1(config-if)#ipaddBg-C2960-1f-1(config-if)#ipdefault-gateway54Bg-C2960-1f-1(config-if)#noshutdownBg-C2960-1f-1(config-if)#exitBg-C2960-1f-1(config)#vlan2Bg-C2960-1f-1(config-vlan)#nameDeviceConnectBg-C2960-1f-1(config-vlan)#exitBg-C2960-1f-1(config)#vlan10Bg-C2960-1f-1(config-vlan)#nameShengchan1Bg-C2960-1f-1(config-vlan)#exitBg-C2960-1f-1(config)#vlan11Bg-C2960-1f-1(config-vlan)#nameShengchan2Bg-C2960-1f-1(config-vlan)#exitBg-C2960-1f-1(config)#vlan12Bg-C2960-1f-1(config-vlan)#nameShengchan3Bg-C2960-1f-1(config-vlan)#exitBg-C2960-1f-1(config)#vlan13Bg-C2960-1f-1(config-vlan)#nameShengchan4Bg-C2960-1f-1(config-vlan)#vlan14Bg-C2960-1f-1(config-vlan)#nameXiaosh1Bg-C2960-1f-1(config-vlan)#exitBg-C2960-1f-1(config)#vlan15Bg-C2960-1f-1(config-vlan)#nameXiaosh2Bg-C2960-1f-1(config-vlan)#exitBg-C2960-1f-1(config)#vlan16Bg-C2960-1f-1(config-vlan)#nameZonghbgsBg-C2960-1f-1(config-vlan)#exitBg-C2960-1f-1(config)#vlan17Bg-C2960-1f-1(config-vlan)#nameCaiwshBg-C2960-1f-1(config-vlan)#exitBg-C2960-1f-1(config)#vlan18Bg-C2960-1f-1(config-vlan)#nameYanfbBg-C2960-1f-1(config)#intg0/1!下连至工作区子系统Bg-C2960-1f-1(config-if)#switchportaccessvlan10Bg-C2960-1f-1(config-if)#noshutdownBg-C2960-1f-1(config-if)#exitBg-C2960-1f-1(config)#interfacerangeg0/2-6Bg-C2960-1f-1(config-if-range)#switchportmodeaccessBg-C2960-1f-1(config-if-range)#switchportaccessvlan10Bg-C2960-1f-1(config-if-range)#exitBg-C2960-1f-1(config)#interfacerangeg0/7-12Bg-C2960-1f-1(config-if-range)#switchportmodeaccessBg-C2960-1f-1(config-if-range)#switchportaccessvlan11Bg-C2960-1f-1(config-if-range)#exitBg-C2960-1f-1(config)#interfacerangeg0/13-18Bg-C2960-1f-1(config-if-range)#switchportmodeaccessBg-C2960-1f-1(config-if-range)#switchportaccessvlan12Bg-C2960-1f-1(config-if-range)#exitBg-C2960-1f-1(config)#interfacerangeg0/19-24Bg-C2960-1f-1(config-if-range)#switchportmodeaccessBg-C2960-1f-1(config-if-range)#switchportaccessvlan13Bg-C2960-1f-1(config-if-range)#exitBg-C2960-1f-1(config)#interfacerangeg0/25-30Bg-C2960-1f-1(config-if-range)#switchportmodeaccessBg-C2960-1f-1(config-if-range)#switchportaccessvlan14Bg-C2960-1f-1(config-if-range)#exitBg-C2960-1f-1(config)#interfacerangeg0/31-36Bg-C2960-1f-1(config-if-range)#switchportmodeaccessBg-C2960-1f-1(config-if-range)#switchportaccessvlan15Bg-C2960-1f-1(config-if-range)#exitBg-C2960-1f-1(config)#interfacerangeg0/37-42Bg-C2960-1f-1(config-if-range)#switchportmodeaccessBg-C2960-1f-1(config-if-range)#switchportaccessvlan16Bg-C2960-1f-1(config-if-range)#exitBg-C2960-1f-1(config)#interfacerangeg0/43-47Bg-C2960-1f-1(config-if-range)#switchportmodeaccessBg-C2960-1f-1(config-if-range)#switchportaccessvlan17Bg-C2960-1f-1(config-if-range)#exit…………Bg-C2960-1f-1(config)#intg1/1!上连核心互换一Bg-C2960-1f-1(config-if)#switchportmodetrunkBg-C2960-1f-1(config-if)#exitBg-C2960-1f-1(config)#intg1/2!上连核心互换二Bg-C2960-1f-1(config-if)#switchportmodetrunkBg-C2960-1f-1(config-if)#exitBg-C2960-1f-1(config)#interfacerangeg0/1-48,g1/1-2Bg-C2960-1f-1(config-if-range)#noshutdownBg-C2960-1f-1(config-if-range)#exitBg-C2960-1f-1(config)#Bg-C2960-1f-1(config)#intf0/24!下连同楼层24口接入互换的g0/1Bg-C2960-1f-1(config-if)#switchporttrunkencapsulationdot1qBg-C2960-1f-1(config-if)#switchportmodetrunkBg-C2960-1f-1(config-if)#SwitdhporttrunkallowedvlanallBg-C2960-1f-1(config-if)#ExitBg-C2960-1f-1(config)#ExitBg-C2960-1f-1#writememory24口类是48口在VLAN分派上的沿续，原理同48口互换机（此处略）。4.4路由协议、设备选型与配置路由协议涉及：静态路由、默认路由、距离矢量协议RIP/EIGRP及链路状态协议OSPF。所有路由协议因使用环境的不同各有优缺陷：静态路由和默认路由是由网络管理员采用手工方法在路由器中配置而成，合用于规模较小，路由表相对简朴的网络。优点是手工配置可以精确控制路由选择，改善网络性能；不需要动态路由协议参与，减少路由开销，为重要的应用保证带宽。缺陷是不合用于大规模网络，不能自动适应网络拓扑结构变化，手工配置管理员压力较大。RIP采用距离向量算法。是初期的路由协议，优点是配置简朴在小型网络中较常见，缺陷是路由范围有限，只能支持在直径为15个路由的网络内进行路由，不能适应复杂拓扑结构网络，采用DV算法会有路由环路问题存在。OSPF开放最短途径优先，是为大型网络设计的一种路由协议。优点是根据收集到网络上的链路状态，采用SPF算法，计算以它为中心的一棵最短途径树。OSPF使用十分有效，采用链路状态算法，网络流量小，收敛速度快，没有路由环路存在。缺陷是比较复杂，实行前需要规划，且配置和维护都比较复杂。根据中小公司网络投资及规模较小，为达成精确控制网络路由采用静态路由及默认路由。路由器选择思科CISCO2911/K9（表4-5路由器的重要参数），将两台台热备份核心互换机上的数据高速路由至防火墙网关，同时亦可对出入互联网的2至4层数据包做管控。表4-5路由器的重要参数项目描述基于硬件的嵌入式密码加速(IPSec+SSL)有板载广域网10/100/1000端口总数3基于RJ-45的端口数3基于SFP的端口数（使用SFP端口将禁用相应的RJ-45端口）0服务模块插槽数1双宽度服务模块插槽数（使用双宽度插槽将占用2900中的所有单宽度服务模块插槽）0EHWIC插槽数4双宽度EHWIC插槽（使用双宽度EHWIC插槽将占用两个EHWIC插槽）2ISM插槽数1板载DSP(PVDM)插槽2内存DDR2ECCDRAM–默认512MB内存(DDR2ECCDRAM)–最大2GB闪存（外部）–默认插槽0：256M插槽1：无闪存（外部）–最大插槽0：4GB插槽1：4GB外部USB2.0闪存插槽（类型A）2USB控制台端口（类型B）（高达115.2kbps）1串行控制台端口1串行辅助端口1电源选项AC、PoE和DC*RPS支持（外部）CiscoRPS2300CISCO2911/K9路由配置（涉及了防火墙部分的网络互联配置）：Router>enable进入路由器特权模式Router#configureterminal进入路由器全局配置模式Router(config)#hostnamec2900k9c2900k9(config)#enablepassword100.3c2900k9(config)#lineconsole0c2900k9(config-line)#pass100.3c2900k9(config-line)#loginc2900k9(config-line)#linevty04c2