春埼文化有限公司办公室新址的网络规划与实现

春埼文化有限公司办公室新址的网络规划与实现摘要一个安全可靠的网络对于每个企业来说都是有必要的，但在目前已有的企业网络中，有一部分网络的搭建与协议的选用都暴露了带宽不足；延迟较高；安全性低以及可靠性低的问题。故本方案针对春埼文化有限公司的具体需求，设计了可靠性、安全性高的网络拓扑；做了性价比高的设备选型；并且合理地运用了各项网络协议来保证整个网络的连通性。其中我们采用Irf协议来保证核心交换机的可靠性，用ACL结合Nat技术使公司设备访问公网，并通过Nat-Server技术来使外网设备访问公司网站，内网采用IS-IS动态路由协议来保证连通性，通过DHCP协议来自动分配IP地址，接入层采用Vlan协议来隔离广播从而节省带宽。关键词：可靠性;安全性;Irf;Nat;IS-IS目录1.绪论 11.1方案背景 11.2方案的意义 12.方案相关技术原理 22.1VLAN技术 22.2IRF技术 22.3静态链路聚合技术 32.4IS-IS技术 32.5DHCP技术 42.6NAT技术 53.方案网络规划与设计 63.1项目概述 63.2项目需求 63.3网络拓扑结构设计 63.4设备互联接口与IP地址的规划 73.5设备的选型 104.方案的具体实现 114.1网络设备的配置 114.1.1IRF技术配置 114.1.2静态链路聚合配置 124.1.3VLAN配置 174.1.4DHCP配置 194.1.5IS-IS配置 214.1.6Telnet配置 264.1.7NAT配置 274.1.8NAT-Server配置 294.2方案测试结果 305.总结 34参考文献 35致谢 361.绪论1.1方案背景从互联网的诞生，到人们日常生活完全离不开因特网的今天，网络仅花了50年就成为了当今世界里最不可或缺的一部分。而对于企业来说，尤其是以传媒为主的企业，网络对于他们来说就相当于制造报纸的纸张。“数字化”已成这个时代的趋势，唯有适应这一趋势，才能在激烈的竞争中取得一席之地。1.2方案的意义本方案以春埼文化有限公司为例，根据公司的具体需求为其设计了一个符合时代趋势、安全可靠、具有健壮性的网络，并且从选用网络协议角度着手减少了部分设备成本。在二层网络中使用了Vlan来减少广播，并以此节约带宽、防止广播风暴产生。三层网络中使用了IS-IS动态路由协议来交互内网路由，并且通过NAT，IRF来增强网络的安全性与可靠性。在内网建设了DHCP服务器来给各个部门的设备自动分配IP地址，并通过NAT-Server技术使互联网用户访问公司的宣传网站，协助公司业务正常运作。

2.方案相关技术原理2.1VLAN技术VLAN的全称是:VirtualLocalAreaNetwork，中文译名为：虚拟局域网。其技术标准遵循IEEE于1999年制定的802.1Q协议草案，目的是解决局域网的广播问题和安全性问题。在二层网络中，标识一台设备使用的“标签”就是其对应的MAC地址，而获取其他设备MAC地址的方式是交互ARP报文，而这段交互是通过一个广播报文发起的。由此可知，每当一台新设备接入这个局域网，就会产生多个广播包来询问此局域网内其余设备的MAC地址，而这会占用局域网的带宽。若设备较多，则可能产生广播风暴，大量的数据占据设备的内存，导致设备无法运行，从而危及整个网络的正常运行。所以在一个成熟的组网里，控制广播域是一件必不可少的工作，而控制广播域的协议就是我们采用的VLAN。顾名思义，VLAN的工作原理是从一个局域网划分出不同的VLAN，这样广播将被限制在每个VLAN的范围内，从而减少广播包占用的带宽以及杜绝广播风暴的产生。除了通过解决大型局域网的广播问题来提升网络性能，VLAN还可以使网络拓扑变得十分灵活，从而帮助工作人员更方便地管理网络，因为VLAN是存在于逻辑上的局域网，所以其可以在物理设备的范围内灵活变动，其中不仅包括增减设备、移动设备与更换设备的行为；还可以达到控制各个部门或组群之间是否能互访的需求。图2.1VLAN技术介绍2.2IRF技术IRF技术的全称是:IntelligentResilientFramework，中文译名为：智能弹性架构。是H3C公司专有的设备虚拟化技术，它可以将多台物理设备虚拟化为逻辑设备，从而达到简化组网结构、提升组网可靠性的目的。一个组网的设备数量与分布结构决定了组网内设备运行的网络协议。在设备数量较多的组网中，除了要额外考虑从设计上防环之外，整个网络的维护也相对比较麻烦。但若使用IRF技术将同层的设备虚拟化为一台逻辑上的设备，则这个组网的拓扑会变得精简；并且维护时只需要对一台物理设备进行操作，而该设备参与聚合的逻辑设备下所有物理设备成员都会自动应用所有操作。完成聚合后，其他网络成员只能检测到聚合后的逻辑设备，这样的特性程可以提升组网的安全性。IRF的工作原理可以按时间顺序分为4个阶段：设备之间物理连接；设备之间通过IRF端口收集信息；所有的设备通过比较优先级选举确定主备关系；所有设备完成堆叠后的管理与维护。其中第三阶段选举的标准依次为（若全部相同则比较下一项，直到选出一台Master设备为止）：若已有Master设备，则现有的Master设备优先；成员优先级最大的优先；系统运行时间长的优先；桥MAC地址小的优先。2.3静态链路聚合技术随着网络软硬件技术的发展和多元化的应用，网络中的流量也在突发式的增加，这样就给传输数据流量的线路带宽提出了更高的要求，网络的高效性成为现代网络设计的必然要求。当主要线路的性能必须提高，而单线路的升级又不可行的时候，就出现了链路聚合技术。链路聚合技术实质是把两台设备间的数条物理链路“组合”成逻辑上的一条链路[1]。静态链路聚合有许多优点，其中包括：提高链路可用性、提高链路容量、负载分担、实现自动配置、快速收敛、保证传输质量、对上层用户透明以及向下兼容。图2.2静态链路聚合技术介绍2.4IS-IS技术IS-IS的全称是:IntermediateSystem-to-IntermediateSystem，中文译名为：中间系统到中间系统。是一项内部网关路由协议，一般用于自治系统内部。这项技术与OSPF动态路由协议同样采用最短路径优先算法进行路由计算，并且都支持在自治系统中划分出不同的区域，所以IS-IS协议同样适合在中大型组网中使用。IS-IS还具有以下特点：使用Hello包来建立与维护邻居关系；在路由域中构造两级层次化拓扑结构；支持区域间的路由聚合；支持VLSM和CIDR；在广播网络中选举指定IS（DIS）来管理和控制网络上的泛洪扩散；支持明文的认证功能以及收敛速度快。2.5DHCP技术DHCP技术的全称是:DynamicHostConfigurationProtocol，中文译名为：动态主机配置协议。这项技术通常被应用于大型局域网环境中，主要目的是集中管理和分配IP地址，除了IP地址，这项协议还能指派网关以及DNS服务器地址。随着网络规模不断的扩大，复杂性程度越来越高，计算机的数量日渐增多，导致网络配置越来越复杂，这对于网络管理员来说是一个极大的挑战，对于不了解计算机的人来说，若是在配置计算机IP地址的过程中输入了错误的IP，这将导致该台计算机不能上网。所以DHCP技术应运而生，不仅是自动分配IP地址、网关与DHS服务器，还可以回收利用客户端不再使用的地址，确保了每台计算机都不会发生地址冲突，也大大降低了网络管理员的配置难度。DHCP协议采用服务器/客户端模型，DHCP服务器在收到主机的地址请求后才会向主机发送IP地址以及相关信息。而DHCP服务器分配IP地址的方式有3种：自动分配、动态分配以及手工分配。其中通过自动分配的方式指派的IP地址是可以永久使用的；而通过动态分配方式指派的地址是有有效期的，如果该地址主机还需要使用，则可以向服务器申请续租；手工分配方式本质依旧是人工指派，只是方式是工作人员在DHCP服务器上为主机指派地址，然后DHCP服务器再将地址与相关信息发送给主机。其中，只有动态分配的方式可以重复利用客户端不再需要的IP地址。图2.3DHCP技术介绍2.6NAT技术NAT技术的全称是:NetworkAddressTranslation，其中文译名为：网络地址转换。随着计算机互联网络的快速发展，IP地址资源显得越来越宝贵，我们不可能从Internet编号管理局（IANA）或其他企业内部网上获得足够的IP地址。只有将企业内部网的地址转化为全球唯一性地址或其他企业内部网许可的地址后，方可进行通信[2]。就在近日，公网的IPV4地址已经被正式宣布用尽，但想要连接互联网，就必须拥有一个公网的IPV4地址，一般来说，每个局域网都会采用NAT技术来通过一个公网地址来使整个局域网设备得以访问公网。NAT技术通过把私网地址封装在公网地址内，来使数据包得以发送到公网的目的地址，并且这样做还可以使私网在公网层面被隐藏，这样也保证了局域网发送数据的安全性。图2.4NAT技术介绍

3.方案网络规划与设计3.1项目概述春埼文化有限公司是一家以网络传媒为主，纸质出版文集为辅的文学传媒公司。介于公司规模扩张，需要将办公地点转移至文化大厦的21楼与22楼。其中21楼作为编辑部、策划部以及财务部使用的区域，文案部因为需要安静的环境所以22楼划分为文案部单独使用的区域。出于安全考虑，财务部不可上公网。3.2项目需求由于公司运作方式十分依赖内网的连通性，所以要求公司内网尽可能地不要出现故障，并且公司要求财务部不能上公网。在设备接入方面需要为每个部门都搭建一个DHCP服务器来给设备自动分配IP地址，考虑到公司未来的发展可能会新增更多的员工或是部门，所以要求内网具有可拓展性。公司内网需要一个用于储存灵感与素材的内网服务器以及一个用于互联网业务的网页服务器，其中内网服务器不仅用于储存数据，还会被用来服务内网之间的通信，同时要求该服务器支持Telnet，验证方式为密码验证。以及因业务需要，要求设置一个专用于给互联网用户提供浏览网页服务的服务器，当然内网所有部门的设备皆可访问此服务器。考虑到业务数据较大，故其需要一个专用的公网出口，出于安全考虑，此公网出口只支持NAT-Server技术，不做NAT地址转换。3.3网络拓扑结构设计对该企业这种规模中等，集成度较高的网络，我们采用双核心，多分枝的结构。网络中的信息交互可以分布处理，各节点负载均衡，最大的发挥设备性能。为保障网络方案可行性，前期采用无线真实设备+模拟器的虚拟环境进行模拟。公司网络架构分为两层，接入层对接部门设备，核心层快速转发数据，最后经过出口路由器通过防火墙的NAT技术访问互联网。接入层采用E528C-X对用户进行接入，每台交换机及有24个百兆千兆自适应的以太网接口，满足用户需求。核心层采用两台S5560-28S-SI交换机进行IRF堆叠，提高稳定性的同时，将两条物理链路加入聚合组，成为逻辑链路，提高带宽的同时进行链路备份。，通过IS-IS技术进行内网的路由交互，保障网络的稳定性与连通性。拓扑图如图3.1所示。图3.1网络拓扑图3.4设备互联接口与IP地址的规划表3.1设备互联接口表源设备名称设备接口目标设备名称设备接口SW-AGE1/0/1Rt-AGE0/1SW-AGE1/0/2SW-BGE1/0/1SW-AGE1/0/3SW-CGE1/0/1SW-AGE1/0/4SW-DGE1/0/1SW-AGE1/0/5WkStation-FailGE1/0/1SW-AXGE1/0/49SW-A1XGE2/0/49SW-AXGE1/0/50SW-A1XGE2/0/50SW-A1GE2/0/1Rt-AGE1/0/2SW-A1GE2/0/2SW-BGE1/0/2SW-A1GE2/0/3SW-CGE1/0/2SW-A1GE2/0/4SW-DGE1/0/2SW-A1GE2/0/5WkStation-FailGE1/0/2SW-BGE1/0/3PC-BSW-CGE1/0/3PC-CSW-DGE1/0/3PC-DRt-AGE0/0FWGE1/0/0Rt-AGE5/1SwitchGE1/0/1Rt-AGE5/0WkStation-HttpGE1/0/2SwitchGE1/0/2PC-AFWGE1/0/1InternetGE0/1FW-AGE1/0/0WkStation-HttpGE1/0/1FW-AGE1/0/1InternetGE0/0公司内网采用/24至/24网段作为四个部门内使用的IP地址；/30至/30网段作为出口路由器连接其他设备的网段；/24网段作为内网服务器连接核心交换机的网段；/30至/30作为防火墙连接其他设备的网段。为了模拟互联网设备，将/24至/24网段作为外部网络的网段。公司还有个用于互联网、网页服务的公网IP地址：/24。为使公司网络可以正常使用，同时减少广播风暴等风险的发生，根据公司部门需求划分了VLAN，通过给每个部门对应的VLAN搭建DHCP服务器，可以给接入部门的设备自动分配IP地址，其中为内网服务器也搭建了一个DHCP服务器，为未来新增服务器做好了充分准备。表3.2VLAN规划表设备名VLAN编号端口SW-AVLAN2Bridge-Aggregation4(GE1/0/5)VLAN1024Bridge-Aggregation1(GE1/0/2)VLAN2048Bridge-Aggregation2(GE1/0/3)VLAN3072Bridge-Aggregation3(GE1/0/4)SW-A1VLAN2Bridge-Aggregation4(GE2/0/5)VLAN1024Bridge-Aggregation1(GE2/0/2)VLAN2048Bridge-Aggregation2(GE2/0/3)VLAN3072Bridge-Aggregation3(GE2/0/4)SW-BVLAN1024Bridge-Aggregation1(G1/0/1,GE1/0/2)SW-CVLAN2048Bridge-Aggregation1(G1/0/1,GE1/0/2)SW-DVLAN3072Bridge-Aggregation1(G1/0/1,GE1/0/2)表3.3设备IP地址规划表设备名接口名称IP地址SW-AVLAN254/24VLAN102454/24VLAN204854/24VLAN30754/24Route-Aggregation1(GE1/0/1)/30SW-A1VLAN254/24VLAN102454/24VLAN204854/24VLAN30754/24Route-Aggregation1(GE2/0/1)/30PC-ADHCP指派(/24)PC-BDHCP指派(/24)PC-CDHCP指派(/24)PC-DDHCP指派(/24)WkStation-FailRoute-Aggregation1(GE1/0/1,GE1/0/2)DHCP指派(/24)LoopBack0/24SwitchGE1/0//30GE1/0/54/24RT-AGE0/0/30GE5/0/30GE5//30Route-Aggregation1(GE0/1,GE0/2)/30WkStation-HttpGE1/0/1/30GE1/0//30FWGE1/0/0/30GE1/0/1/30FW-AGE1/0/0/30GE1/0/1/24NAT-Server/24Internet(模拟公网设备)GE0/0:/24|GE0/1:/243.5设备的选型表3.4接入层交换机选型产品名称H3CE528C-X-PWR产品图片产品类型以太网交换机传输速率100/1000Mbit/s端口结构非模块化端口数量24个10/100/1000Base-T自适应以太网端口4个千兆SFP口需求数量4台表3.5核心交换机选型产品名称H3CS5560-28S-SI产品图片产品类型千兆以太网交换机传输速率100/1000Mbit/s端口结构非模块化端口数量24*10/100/1000TX+4*SFP+需求数量2台表3.6出口路由器选型产品名称H3CMSR56-60产品图片产品类型路由器转发性能16Mpps~214Mpps端口结构非模块化端口数量10GE（Combo）/10GE（Combo）+2SFP+/10GE（Combo）+4SFP+/4GE（Combo）+4SFP/8SFP+需求数量1台表3.7防火墙选型产品名称H3CSecPathF1000-S产品图片产品类型防火墙产品内存1G端口结构非模块化端口数量2个10/100/1000M以太网口需求数量2台4.方案的具体实现4.1网络设备的配置4.1.1IRF技术配置表4.1IRF技术的配置表设备的配置配置命令的作用设备SW-A的配置[H3C]sysnameSW-A修改设备名称为SW-A[SW-A]intrangexge1/0/49xge1/0/50同时进入接口xge1/0/49与xge1/0/50[SW-A-if-range]shutdown关闭这两个接口[SW-A]irf-port1/1创建IRFgroup1/1[SW-A-irf-port1/1]portgroupinterfaceTen-GigabitEthernet1/0/49将接口xge1/0/49加入到IRFgroup1/1[SW-A]irf-port1/2创建IRFgroup1/2[SW-A-irf-port1/2]portgroupinterfaceTen-GigabitEthernet1/0/50将接口xge1/0/50加入到IRFgroup1/2[SW-A]intrangexge1/0/49xge1/0/50同时进入接口xge1/0/49与xge1/0/50[SW-A-if-range]undoshutdown开启这两个接口[SW-A-if-range]save保存配置[SW-A]irf-port-configurationactive激活IRF设备SW-A1的配置[H3C]sysnameSW-A1修改设备名称为SW-A1[SW-A1]intrangexge1/0/49xge1/0/50同时进入接口xge1/0/49与xge1/0/50[SW-A1-if-range]shutdown关闭这两个接口[SW-A1]irf-port2/1创建IRFgroup2/1[SW-A1-irf-port1/1]portgroupinterfaceTen-GigabitEthernet1/0/50将接口xge1/0/50加入到IRFgroup2/1[SW-A1]irf-port2/2创建IRFgroup2/2[SW-A1-irf-port2/2]portgroupinterfaceTen-GigabitEthernet1/0/49将接口xge1/0/49加入到IRFgroup2/2[SW-A1]intrangexge1/0/49xge1/0/50同时进入接口xge1/0/49与xge1/0/50[SW-A1-if-range]undoshutdown开启这两个接口[SW-A1-if-range]save保存配置[SW-A1]irf-port-configurationactive激活IRF通过IRF堆叠，可以提升设备的性能，提高网络的稳定性。IRF技术把两台设备虚拟成一台逻辑上的设备，但是设备实际的工作效率要高于原本的两台设备，并且它还替代了生成树协议，能省去设备间交互大量协议报文的过程，这样不仅简化了网络运行，而且还缩短了收敛时间。IRF系统由多台成员设备组成，一旦Master设备故障，系统会迅速自动选举新的Master保证通过系统的业务不中断，并以此来提升网络稳定性。图4.1SW-A的IRF状态图4.2SW-A1的IRF状态4.1.2静态链路聚合配置因为设备SW-A与设备SW-A1已经通过IRF技术堆叠为同一台设备了，故此处只需要在SW-A一台设备上进行配置，配置完毕后设备SW-A1会自动同步在SW-A上进行的配置。表4.2链路聚合配置设备的配置配置命令的作用设备SW-A的配置[SW-A]intBridge-Aggregation1创建第一个二层聚合接口[SW-A-Bridge-Aggregation1]intge1/0/2进入接口ge1/0/2[SW-A-GigabitEthernet1/0/2]portlink-aggregationgroup1此接口加入第一个聚合口[SW-A-GigabitEthernet1/0/2]intge2/0/2进入接口ge2/0/2[SW-A-GigabitEthernet2/0/2]portlink-aggregationgroup1此接口加入第一个聚合口[SW-A]intBridge-Aggregation2创建第二个二层聚合接口[SW-A-Bridge-Aggregation2]intge1/0/3进入接口ge1/0/3[SW-A-GigabitEthernet1/0/3]portlink-aggregationgroup2此接口加入第二个聚合口[SW-A-GigabitEthernet1/0/3]intge2/0/3进入接口ge2/0/3[SW-A-GigabitEthernet2/0/3]portlink-aggregationgroup2此接口加入第二个聚合口[SW-A]intBridge-Aggregation3创建第三个二层聚合接口[SW-A-Bridge-Aggregation3]intge1/0/4进入接口ge1/0/4[SW-A-GigabitEthernet1/0/4]portlink-aggregationgroup3此接口加入第三个聚合口[SW-A-GigabitEthernet1/0/4]intge2/0/4进入接口ge2/0/4[SW-A-GigabitEthernet2/0/4]portlink-aggregationgroup3此接口加入第三个聚合口[SW-A]intBridge-Aggregation4创建第四个二层聚合接口[SW-A-Bridge-Aggregation3]intge1/0/5进入接口ge1/0/5[SW-A-GigabitEthernet1/0/5]portlink-aggregationgroup4此接口加入第四个聚合口[SW-A-GigabitEthernet1/0/5]intge2/0/5进入接口ge2/0/5[SW-A-GigabitEthernet2/0/5]portlink-aggregationgroup4此接口加入第四个聚合口[SW-A]intRoute-Aggregation1创建第一个三层聚合接口[SW-A-Route-Aggregation1]ipad30为这个聚合口配置IP地址[SW-A-Route-Aggregation1]intge1/0/1进入接口ge1/0/1[SW-A-GigabitEthernet1/0/1]portlink-moderoute将此接口变更为三层接口[SW-A-GigabitEthernet1/0/1]portlink-aggregationgroup1此接口加入第一个聚合口[SW-A-GigabitEthernet1/0/1]intge2/0/1进入接口ge2/0/1[SW-A-GigabitEthernet2/0/1]portlink-moderoute将此接口变更为三层接口[SW-A-GigabitEthernet2/0/1]portlink-aggregationgroup1此接口加入第一个聚合口设备SW-B的配置[H3C]sysnameSW-B修改设备名称为SW-B[SW-B]intBridge-Aggregation1创建第一个二层聚合接口[SW-B-Bridge-Aggregation1]intge1/0/1进入接口ge1/0/1[SW-B-GigabitEthernet1/0/1]portlink-aggregationgroup1此接口加入第一个聚合口[SW-B-GigabitEthernet1/0/2]intge1/0/2进入接口ge1/0/2[SW-B-GigabitEthernet1/0/2]portlink-aggregationgroup1此接口加入第一个聚合口设备SW-C的配置[H3C]sysnameSW-C修改设备名称为SW-C[SW-C]intBridge-Aggregation1创建第一个二层聚合接口[SW-C-Bridge-Aggregation1]intge1/0/1进入接口ge1/0/1[SW-C-GigabitEthernet1/0/1]portlink-aggregationgroup1此接口加入第一个聚合口[SW-C-GigabitEthernet1/0/2]intge1/0/2进入接口ge1/0/2[SW-C-GigabitEthernet1/0/2]portlink-aggregationgroup1此接口加入第一个聚合口设备SW-D的配置[H3C]sysnameSW-D修改设备名称为SW-D[SW-D]intBridge-Aggregation1创建第一个二层聚合接口[SW-D-Bridge-Aggregation1]intge1/0/1进入接口ge1/0/1[SW-D-GigabitEthernet1/0/1]portlink-aggregationgroup1此接口加入第一个聚合口[SW-D-GigabitEthernet1/0/2]intge1/0/2进入接口ge1/0/2[SW-D-GigabitEthernet1/0/2]portlink-aggregationgroup1此接口加入第一个聚合口设备WkStation-Fail的配置[H3C]sysnameWkSt-F修改设备名称为WkSt-F[WkSt-F]intRoute-Aggregation1创建第一个三层聚合接口[WkSt-F-Route-Aggregation1]ipaddhcp-alloc设置为自动获取地址[WkSt-F-Route-Aggregation1]intge1/0/1进入接口ge1/0/1[WkSt-F-GigabitEthernet1/0/1]portlink-moderoute将此接口变更为三层接口[WkSt-F-GigabitEthernet1/0/1]portlink-aggregationgroup1此接口加入第一个聚合口[WkSt-F-GigabitEthernet1/0/2]intge1/0/2进入接口ge1/0/2[WkSt-F-GigabitEthernet1/0/2]portlink-moderoute将此接口变更为三层接口[WkSt-F-GigabitEthernet1/0/2]portlink-aggregationgroup1此接口加入第一个聚合口设备Rt-A的配置[H3C]sysnameRt-A修改设备名称为Rt-A[Rt-A]intRoute-Aggregation1创建第一个三层聚合接口[Rt-A-Route-Aggregation1]ipad30为这个聚合口配置IP地址[Rt-A-Route-Aggregation1]intge0/1进入接口ge0/1[Rt-A-GigabitEthernet0/1]portlink-aggregationgroup1此接口加入第一个聚合口[Rt-A-GigabitEthernet0/1]intge0/2进入接口ge0/2[Rt-A-GigabitEthernet0/2]portlink-aggregationgroup1此接口加入第一个聚合口图4.3设备SW-A的链路聚合状态图4.4设备SW-B的链路聚合状态图4.5设备SW-C的链路聚合状态图4.6设备SW-D的链路聚合状态图4.7设备WkStation-Fail的链路聚合状态通过配置链路聚合可以充分利用所有设备的端口及端口处理能力，增加设备间的带宽，并且在其中一条链路出现故障时，可以快速地将流量转移到其他链路，这种切换的速度为毫秒级别，远远快于MSTP协议切换的速度。这种技术实现了链路负载平衡、避免了链路拥塞，并且防止单条链路转发速率过低而出现丢包的现象。4.1.3VLAN配置表4.3VLAN配置设备的配置配置命令的作用设备SW-A的配置[SW-A]VLAN2创建VLAN2[SW-A-vlan2]VLAN1024创建VLAN1024[SW-A-vlan1024]VLAN2048创建VLAN2048[SW-A-vlan2048]VLAN3072创建VLAN3072[SW-A-vlan2048]intBridge-Aggregation1进入第一个二层聚合口[SW-A-Bridge-Aggregation1]portlink-typetrunk将聚合口设置为Trunk类型[SW-A-Bridge-Aggregation1]porttrunkpermitvlan1024允许业务VLAN通过[SW-A-Bridge-Aggregation1]intBridge-Aggregation2进入第二个二层聚合口[SW-A-Bridge-Aggregation2]portlink-typetrunk将聚合口设置为Trunk类型[SW-A-Bridge-Aggregation2]porttrunkpermitvlan2048允许业务VLAN通过[SW-A-Bridge-Aggregation2]intBridge-Aggregation3进入第三个二层聚合口[SW-A-Bridge-Aggregation3]portlink-typetrunk将聚合口设置为Trunk类型[SW-A-Bridge-Aggregation3]porttrunkpermitvlan3072允许业务VLAN通过[SW-A-Bridge-Aggregation3]intBridge-Aggregation4进入第二个二层聚合口[SW-A-Bridge-Aggregation4]portlink-typetrunk将聚合口设置为Trunk类型[SW-A-Bridge-Aggregation4]porttrunkpermitvlan2允许业务VLAN通过[SW-A]intvlan2创建VLAN2的虚接口[SW-A-Vlan-interface2]ipad5424为VLAN2设置网关[SW-A-Vlan-interface2]intvlan1024创建VLAN1024的虚接口[SW-A-Vlan-interface1024]ipad5424为VLAN1024设置网关[SW-A-Vlan-interface1024]intvlan2048创建VLAN2048的虚接口[SW-A-Vlan-interface2048]ipad5424为VLAN2048设置网关[SW-A-Vlan-interface2048]intvlan3072创建VLAN3072的虚接口[SW-A-Vlan-interface3072]ipad5424为VLAN3072设置网关设备SW-B的配置[SW-B]VLAN1024创建业务VLAN[SW-B-vlan1024]portge1/0/3将连接主机的接口加入业务VLAN[SW-B-vlan1024]intBridge-Aggregation1进入第一个二层聚合口[SW-B-Bridge-Aggregation1]portlink-typetrunk将聚合口设置为Trunk类型[SW-B-Bridge-Aggregation1]porttrunkpermitvlan1024允许业务VLAN通过设备SW-C的配置[SW-C]VLAN2048创建业务VLAN[SW-C-vlan2048]portge1/0/3将连接主机的接口加入业务VLAN[SW-C-vlan2048]intBridge-Aggregation1进入第一个二层聚合口[SW-C-Bridge-Aggregation1]portlink-typetrunk将聚合口设置为Trunk类型[SW-C-Bridge-Aggregation1]porttrunkpermitvlan2048允许业务VLAN通过设备SW-D的配置[SW-D]VLAN3072创建业务VLAN[SW-D-vlan3072]portge1/0/3将连接主机的接口加入业务VLAN[SW-D-vlan3072]intBridge-Aggregation1进入第一个二层聚合口[SW-D-Bridge-Aggregation1]portlink-typetrunk将聚合口设置为Trunk类型[SW-D-Bridge-Aggregation1]porttrunkpermitvlan3072允许业务VLAN通过图4.8SW-A的VLAN2配置结果图4.9SW-A的VLAN1024、2048、3072配置结果图4.10SW-B的VLAN1024配置结果图4.11SW-C的VLAN2048配置结果图4.12SW-D的VLAN3072配置结果4.1.4DHCP配置一般来说，DHCP服务器的覆盖范围会被不同的网段分隔开，所以当DHCP服务器与客户端不在同一个网段的时候，就需要中间设备使能DHCP中继功能，从而保证DHCP服务器能够正常收到客户端的地址请求并将地址指派。表4.4DHCP配置设备的配置配置命令的作用设备Rt-A的配置[Rt-A]dhcpenable启动DHCP服务[Rt-A]dhcpserverip-pool1创建第一个DHCP地址池[Rt-A-dhcp-pool-1]network24设置这个地址池分配的范围[Rt-A-dhcp-pool-1]gateway-list54给该地址池的主机分配网关[Rt-A]dhcpserverip-pool2创建第二个DHCP地址池[Rt-A-dhcp-pool-2]network24设置这个地址池分配的范围[Rt-A-dhcp-pool-2]gateway-list54给该地址池的主机分配网关[Rt-A]dhcpserverip-pool3创建第三个DHCP地址池[Rt-A-dhcp-pool-3]network24设置这个地址池分配的范围[Rt-A-dhcp-pool-3]gateway-list54给该地址池的主机分配网关[Rt-A]dhcpserverip-pool4创建第四个DHCP地址池[Rt-A-dhcp-pool-4]network24设置这个地址池分配的范围[Rt-A-dhcp-pool-4]gateway-list54给该地址池的主机分配网关设备SW-A的配置[SW-A]dhcpenable启动DHCP服务[SW-A]intvlan2进入VLAN2虚接口[SW-A-Vlan-interface2]dhcpselectrelay设置DHCP模式为中继模式[SW-A-Vlan-interface2]dhcprelayserver-address指定DHCP服务器地址[SW-A]intvlan1024进入VLAN1024虚接口[SW-A-Vlan-interface1024]dhcpselectrelay设置DHCP模式为中继模式[SW-A-Vlan-interface1024]dhcprelayserver-address指定DHCP服务器地址[SW-A]intvlan2048进入VLAN2048虚接口[SW-A-Vlan-interface2048]dhcpselectrelay设置DHCP模式为中继模式[SW-A-Vlan-interface2048]dhcprelayserver-address指定DHCP服务器地址[SW-A]intvlan3072进入VLAN3072虚接口[SW-A-Vlan-interface3072]dhcprelayserver-address指定DHCP服务器地址[SW-A-Vlan-interface3072]dhcpselectrelay设置DHCP模式为中继模式设备WkStation-Fail的配置[WkSt-F]intRoute-Aggregation1进入第一个三层聚合口[WkSt-F-Route-Aggregation1]ipadderssdhcp-alloc设置为自动获取地址图4.13DHCP服务器地址分配情况4.1.5IS-IS配置通过配置IS-IS实现内网路由自主学习，以此达到网络拓扑快速收敛、消除环路的效果。表4.5IS-IS配置设备的配置配置命令的作用设备Switch的配置[Switch]ISIS1启动IS-IS协议，进程1[Switch-isis-1]network-entity10.0000.0000.0001.00配置该设备的系统ID[Switch-isis-1]intrge1/0/1ge1/0/2同时进入两个接口[Switch-if-range]ISISenable使能IS-IS协议[Switch-if-range]intge1/0/2进入直连主机的接口[Switch-GigabitEthernet1/0/2]ISISsilent静默连接主机的接口设备SW-A的配置[SW-A]ISIS1启动IS-IS协议，进程1[SW-A-isis-1]network-entity10.0000.0000.0002.00配置该设备的系统ID[SW-A-isis-1]intrVLAN2VLAN3072同时进入所有的VLAN虚接口[SW-A-if-range]ISISenable使能IS-IS协议[SW-A-if-range]intrVLAN1024VLAN3072进入直连主机的VLAN虚接口[SW-A-if-range]ISISsilent静默连接主机的接口设备WkStation-Fail的配置[WkSt-F]ISIS1启动IS-IS协议，进程1[WkSt-F-isis-1]network-entity10.0000.0000.0003.00配置该设备的系统ID[WkSt-F-isis-1]intRoute-Aggregation1进入三层聚合口[WkSt-F-Route-Aggregation1]ISISenable使能IS-IS协议[WkSt-F-Route-Aggregation1]intLoopBack0创建一个本地回环接口0[WkSt-F-LoopBack0]ipaddress24配置用于Telnet的IP地址[WkSt-F-LoopBack0]isisenable使能IS-IS协议设备Rt-A的配置[Rt-A]ISIS1启动IS-IS协议，进程1[Rt-A-isis-1]network-entity10.0000.0000.1024.00配置该设备的系统ID[Rt-A-isis-1]intRoute-Aggregation1进入三层聚合口[Rt-A-Route-Aggregation1]ISISenable使能IS-IS协议[Rt-A-Route-Aggregation1]intrge5/0ge5/1同时进入2个接口[Rt-A-if-range]ISISenable使能IS-IS协议[Rt-A-if-range]intge0/0进入接口ge0/0[Rt-A-GigabitEthernet0/0]ISISenable使能IS-IS协议设备WkStation-Http的配置[WkSt-H]iproute-static0为NAT-Server做准备[WkSt-H]ISIS1启动IS-IS协议，进程1[WkSt-H-isis-1]network-entity10.0000.0000.1023.00配置该设备的系统ID[WkSt-H-isis-1]is-levellevel-1将路由器等级设置为Level1[WkSt-H-isis-1]intrge1/0/1ge1/0/2同时进入所有业务网段接口[WkSt-H-if-range]ISISenable使能IS-IS协议设备FW-A的配置[FW-A]ISIS1启动IS-IS协议，进程1[FW-A-isis-1]network-entity10.0000.0000.2000.00配置该设备的系统ID[FW-A-isis-1]intge1/0/0进入业务网段接口[FW-A-if-range]ISISenable使能IS-IS协议设备FW的配置[FW]ISIS1启动IS-IS协议，进程1[FW-isis-1]network-entity10.0000.0000.1000.00配置该设备的系统ID[FW-isis-1]address-familyipv4进入IPV4地址族[Fw-isis-1-ipv4]default-route-advertise向其他设备发布默认路由[Fw-isis-1-ipv4]intge1/0/0进入业务网段接口[FW-if-range]ISISenable使能IS-IS协议图4.14在拓扑的边缘设备FW上查看是否能获得全部内网路由图4.15在核心交换机SW-A上查看是否能获得全部路由图4.16FW的路由表图4.17SW-A的路由表4.1.6Telnet配置Telnet协议是TCP/IP协议族中的一员，是Internet远程登录服务的标准协议和主要方式。它为用户提供了在本地计算机上完成远程主机工作的能力。在终端使用者的电脑上使用telnet程序，用它连接到服务器。终端使用者可以在telnet程序中输入命令，这些命令会在服务器上运行，就像直接在服务器的控制台上输入一样。可以在本地就能控制服务器。要开始一个telnet会话，必须输入用户名和密码来登录服务器。Telnet是常用的远程控制Web服务器的方法[3]。表4.6Telnet配置设备的配置配置命令的作用设备WkStation-Fail的配置[WkSt-F]user-interfacevty04进入用户视图，最大连接数5[WkSt-F-line-vty0-4]authentication-modepassword设置验证模式为密码验证[WkSt-F-line-vty0-4]setauthenticationpasswordsimpleHaruki设置验证密码为Haruki[WkSt-F-line-vty0-4]quit返回系统视图[WkSt-F]telnetserverenable开启Telnet服务图4.18在Switch上测试Telnet内网服务器WkStation-Fail4.1.7NAT配置要真正了解NAT就必须先了解现在IP地址的使用情况，私有IP地址是指内部网络或主机的IP地址，公有IP地址是指在因特网上全球唯一的IP地址。RFC1918为私有网络预留出了三个IP地址块，如下：A类：～55B类：～55C类：～55上述三个范围内的地址不会在因特网上被分配，因此可以不必向ISP或注册中心申请而在公司或企业内部自由使用[4]。随着计算机互联网络的快速发展，IP地址资源显得越来越宝贵，我们不可能从Internet编号管理局（IANA）或其他企业内部网上获得足够的IP地址。只有将企业内部网的地址转化为全球唯一性地址或其他企业内部网许可的地址后，方可进行通信[5]。表4.7NAT配置设备的配置配置命令的作用设备FW的配置[FW]acladvanced3000创建一条ACL编号3000[Fw-acl-ipv4-adv-3000]rule0dips55拒绝财务部设备访问公网[Fw-acl-ipv4-adv-3000]rule1pips55允许业务网段访问公网[Fw-acl-ipv4-adv-3000]rule2pips55允许业务网