计算机网络技术及在实践中的应用

PAGEPAGEIII计算机网络技术及在实践中的应用摘要本文首先阐述了局域网规划的相关概念，主包括局域网规划的概念及网络设计的基本原则。然后设计了JX学院综合布线的规划设计方案，首先根据实地查勘的资料及可行性研究报告，确定综合布线的网络原理，接入技术选择，网络拓扑设计，设备选择，子网和VLAN划分以及IP地址规划，最后分析了JX学院局域网规划的安全与管理的设计，对本设计方案进行相关的论证。关键词：JX学院；局域网规划；综合布线

AbstractThispaperfirstdescribestheconceptofLANplanning,includingtheconceptofLANplanningandthebasicprinciplesofnetworkdesign.ThenitdesignstheplanninganddesignschemeofJXCollege'sgenericcabling.Firstly,accordingtothefieldsurveydataandfeasibilitystudyreport,itdeterminesthenetworkingprincipleofgenericcabling,thechoiceofaccesstechnology,thedesignofnetworktopology,theselectionofequipment,thedivisionofsubnetandVLAN,andtheIPaddressplanning.Finally,itanalyzesthedesignofsecurityandmanagementofJXCollege'sLANplanningThecaseisdemonstrated.Keywords:JXCollege;LANplanning;GenericCabling

目录摘要 IAbstract II第一章绪论 1第二章局域网规划与设计原则 22.1局域网概述 22.2局域网规划 22.2网络设计的基本原则 21.实用性和集成性 22.标准性和开放性 33.先进性和安全性 3第三章局域网规划的需求分析 43.1业务需求 43.2市场需求 43.3带宽需求 43.4信息点需求 5第四章超市内部局域网的设计方案 74.1超市简介 74.2网络拓扑结构的设计 74.2设备选型 94.2.1接入层设备 94.2.2汇聚层设备 94.2.3核心层设备 104.2.4路由器设备 114.2.5防火墙选型 114.2.6服务器选型 124.3IP地址规划和VLAN划分 12第五章JX学院局域网规划设计 145.2网络管理的设计 145.3设备配置 165.3.1基础配置 165.3.2使用VTP 175.3.3创建VLAN 195.3.4交换链路封装 205.3.5NAT 205.3.6DHCP/DNS 225.3.7ACL 255.3.8PVST 275.3.9路由协议 275.3.10网管控制 30第六章网络测试 31总结 33参考文献 34致谢 35PAGE13第一章绪论随着信息社会的到来，人们对网络服务的需求不断增长，网络服务正逐步从单一语音服务发展为语音，数据，图像，多方通话和其他服务。网络流量是前所未有的。这对提供服务的电信网络提出了更高的要求。图1.1显示了整个网络的功能配置。它包括三个部分：交换网络，传输网络和接入网络。目前，传输网基本实现数字化和光纤化，交换网也基本实现可编程数字化。同时，接入网（通常称为用户网）的发展相对较慢。图1.1网络网简单示意图接入网作为网络的重要组成部分，是信息传输通道的“最后一英里”，主要解决了向用户提供图像，数据和语音等服务的问题。接入网在网络中起着重要的作用，并且投资巨大。它与当前和未来服务的发展以及网络资源的分配和使用密切相关。随着接入网的出现和不断发展，简化了整个网络的发展，最大限度地利用了网络资源，为新的网络服务奠定了技术基础。接入网的数字化，宽带，服务集成以及具有成本效益的接入解决方案的更好实施是当今接入网发展中的主要问题。第二章局域网规划和设计原则2.1局域网概述本地网络覆盖范围通常只有几公里，并且由于易于安装，节省成本和易于扩展而在不同的办公室中得到了广泛使用。局域网可以实现文件管理，应用软件共享和打印机共享等功能，并可以确保局域网在使用过程中的安全性。它有效地保护了数据安全，确保了本地网络的正常稳定运行。2.2局域网计划网络集成布线是建筑物内部或建筑物之间的模块化且灵活的信息传输通道。这样，语音设备，数据设备，交换机和各种控制设备可以连接到信息管理系统。同时，这些设备也可以连接到外部通信网络以进行LAN规划。它还包含建筑物的外部网络或网络线连接点与应用程序系统设备之间的所有电缆和相关组件。本地网络计划包括各种系列和组件规格。包含：传输介质，关联的连接硬件（分配器，连接器，插座，插头，适配器等）和电气保护设备。这些组件可用于构建各种子系统。它们具有自己的特殊目的，不仅易于实现，而且还可以轻松适应不断变化的需求。随着计算机，通信和多媒体技术的发展，网络中的应用变得越来越普遍。同时，超市的监视和管理要求对超市的LAN网络提出了不同的要求。因此，需要一种快速且可扩展的超市计算机网络来满足当前网络技术的发展趋势并满足超市管理应用程序各个方面的需求。信息技术的普及越来越受到关注。超市领导者和顾客都充分意识到这一点以及未来超市管理的可能性和方法。它基于网络展示策略来构建网络信息的开发。通过增加对信息网络管理的投资，网络监视，网络信息服务和远程监视服务将成为未来发展的特定内容。2.2网络设计的基本原理1.实用性和整合性在集成系统软件和硬件时，应以应用程序为主要目标，并应根据对公司信息需求的完全定制来考虑其他性能。这个系统包含很多内容。系统开发人员必须能够有效地集成各种先进的软件和硬件设备，以使系统的每个组件都能以协调有效的方式充分发挥其作用和功能。2.标准性和开放性只有标准和开放系统才能支持与其他开放系统的协作。网络中使用的硬件设备和软件产品应支持国际行业标准或事实上的标准，以便它们可以与同一网络中不同制造商的开放产品共存。通信应使用标准的通信协议，以便不同的操作系统和非操作系统可以一起工作，并且同一网络系统和不同的网络通信可以平稳运行。3.进步与安全系统的所有要素应充分考虑其先进性。我们不能盲目地跟踪实用性并忽略先进技术。只有将最先进的技术与实际应用需求结合起来，才能获得最佳的系统性能和效率。网络安全非常重要。在某些情况下，为了确保系统的安全性，最好牺牲系统的某些功能。第三章局域网规划的需求分析3.1业务需求（1）数据服务：在为学校超市用户提供高带宽数据服务的同时，DBA技术可用于动态调整系统的整体带宽。允许用户使用更高的峰值带宽并改善系统带宽使用率。（2）语音服务：目前，最普遍的应用仍然是普通电话服务（POTS），其物理接口是RJ11，这是用户需要的基本服务。当前，软交换技术的引入和普及将改变电话服务的提供方式。但是，此实施更改将对校园超市用户透明，并且接入网络应能够灵活地适应此更改。从未来的发展趋势来看，各种智能终端可以逐渐被市场接受，这些智能终端通过RJ45接口直接连接。这就要求相应的接入网络能够提供具有QoS保证功能的以太网接入功能。（3）录像店：学校中超市用户当前使用的主要录像店是CATV，由广播和电视部门提供，但很快将转移到DTV。由于政治因素，上述服务与通信网络运营商关系不大。因此，通信网络运营商当前非常关注IPTV服务。对于IPTV服务，接入网主要负责提供服务所需的信息信道，因此带宽问题是IPTV服务发展的核心问题。另外，相应信道的QoS保证能力是必须考虑的重要方面。（4）TDM专线业务：TDM专线业务主要涉及E1，V.35业务。根据实际需求，企业用户之间对这种类型的业务有需求，而个人用户通常不是这种情况。3.2市场需求根据中国互联网中心于2009年1月发布的《中国互联网发展状况第二十三份统计报告》，截至2008年底，中国互联网用户数量已达2.98亿。与2007年相比，它增长了41.9％，互联网普及率达到22.6％，略高于全球平均水平21.9％。自2008年6月中国互联网用户数量超过美国并跃居世界第一之后，中国的互联网普及率又再次跃升，赶超并超过了全球平均水平。宽带市场的发展是由互联网的快速发展所驱动的。中国互联网用户对实时宽带服务的需求将直接驱动未来几年宽带市场的爆炸性增长，中国将迎来一个流量巨大的时代。3.3带宽要求（1）确定基本交通数据普通用户每条线路繁忙时采取0.06Erl流量其中：呼出量为0.033Erl；收到的通话量为0.027Erl。（2）主计算公式套接字的上行V5.2接口2Mbit/s链路V5上的连接数的计算公式为：V5=总用户流量/每个中继的平均每小时流量/30用户总流量=模拟量n用户*每行平均用户占用率，新建综合接入网点工程的V5上行E1数：ZZNV5=(2528*0.06/0.7/30)=7.2E1（按每用户线忙时0.06Erl计算）本期实配4块PVM板供16个E1，满足工程需要。交换机名称V5.2接口组号设备容量（线）V5.2链路数（2Mb/s）备注泰山NEAXE61∑第17组252816远端接入网点传输链路2Mb/s中继数量配置详见下表：局端点接入网点设备容量（线）传输链路数（2Mb/s）备注泰山ZZ252883.4信息点需求核心交换设备需要强大的处理能力以及出色的安全性，可靠性和可扩展性。将来，对各种成熟技术的支持可以轻松升级到10Gb。接入层网络设备必须支持基于MAC地址的802.1X和基于端口的802.1X功能，以确保帐户唯一性。它还支持远程Telnet管理，Mib-II和远程交换机端口功能。用户名，IP地址，MAC地址，交换机端口和交换机IP绑定必须同时处于活动状态。防止未经授权的用户非法使用合法用户的用户名，密码，IP和MAC；网络必须具备高可靠、易管理等特征。图3.1超市分布图

第四章超市内部局域网的设计方案4.1超市简介徐州大润发超市管理有限公司的主要产品包括超市管理，包装食品，散装食品以及乳制品（包括奶粉）的批发和零售。新鲜产品，纺织品，针织品，原材料，用品，服装，鞋子，帽子，皮革制品，床单，职业安全产品，办公用品，洗衣产品，化妆品，卫生用品，塑料制品，不锈钢产品，手表，眼镜，手工艺品，娱乐和休闲产品，硬件设备，金属材料，电线，电缆，摩托车和配件，汽车和配件，电子产品，通信设备，配件，批发，零售和在线销售。烟草零售，营销计划，市场研究，业务咨询，管理和业务链位于信义市瓦窑镇中道1号。徐州大润发超市管理有限公司坚持“诚信与承诺”的经营理念，坚持客户至上，质量第一，规模最大，影响最大，速度最快。已成为成长中的公司之一。希望有数以百万计的公司和消费者与我们的徐州大润发超市管理有限公司联系。记录并与他们协商。用最好的产品和服务满足自己！4.2网络拓扑设计使用星形网格。换句话说，通过网络集线器连接每台计算机。徐州大润发超市共有3层，按照运营商的市场策略，本工程按FTTH考虑光缆的终期容量，初期建设则按FTTB模式进行，超市内可提供接入机房。由于多级分光会增加传输衰耗，也不利于维护，所以本期考虑在超市接入机房内新增光缆交接箱，采用集中分光的方式，在光缆交接箱内安装1：32分光器，以提供光缆接入资源，再从超市机房敷设光缆至最近的主干光缆交接箱，利用原有主干光纤资源回到核心机房（光缆连接图见图4.2），OLT设备安装于核心机房内。图4.1JX学院光缆连接图图4.1中各楼的相对位置均与实际位置相符，分布及光缆需求表，根据分布数量，为每层楼分配足够的芯纤资源，再结合楼层的分布位置及光缆的结构，考虑最优的光缆接入方案，有效地减少布缆数量，传输衰耗，同时，在每楼层的配线间内安装光纤分配箱和综合配线箱，便于施工及日后的维护工作。初期采用FTTB+LAN与FTTH相结合的方式接入，每楼层设置一个ONU，然后下挂以太网交换机，在初期超市对网络带宽要求不高时，即可通过五类线实现整栋楼的宽带接入，超市对带宽有较高要求的也可通过敷设双芯用户光缆为超市提供接入光纤接入，当楼层逐渐增多，需求日益提升后，也可通过更换或增加ONU及以太网交换机以满足需求，该解决方案非常适合实际情况，并且通过分析每层的营业额，可以正确定位超市分区的位置。节省了大量的光缆资源，方便的布线，轻松的维护和轻松的升级，使该解决方案非常可行。4.2设备选型4.2.1接入层设备接入层设备的端口数量必须大于所需上网的人数，剩余端口留着备用，以防学校以后的发展扩张和员工人数变化。为了大家能够快速方便的共享资源和考虑到资金问题，接入层端口速率可以配置100Mbps。为了防止以一些网络攻击和网络安全，接入层设备必须支持一些基本网络安全功能，如防ARP攻击和端口安全。所以我选择了CISCOWS-C2960-48TC-L，设备介绍如下：图4.2CISCOWS-C2960-48TC-L表4.2CISCOWS-C2960-48TC-L产品型号CISCOWS-C2960-48TC-L产品类型智能交换机应用层级二层交换方式存储-转发背板宽带350Gbps传输速率10/100Mbps包转发率10.1Mpps端口数量50个端口描述48个以太网10/100Mbps端口，2个两用上行端口传输模式全双工/半双工自适应VLAN支持基于端口的VLAN（4094）；支持1:1和N：1交换功能安全①支持防止DOS、ARP防攻击、ICMP防攻击功能②支持端口安全③支持MAC地址学习数目限制④支持IEEE802.1X认证，支持单端口最大用户数限制⑤支持AAA认证等多种方式4.2.2汇聚层设备汇聚层设备是对接入层设备进行一个整合，减少核心层设备的负担和加快核心设备的快速转发功能。了防止重要部门出现因网线端口出现问题而不能上网，可以在汇聚层上行链路进行双链路备份，通过生成树避免环路实现链路冗余。所以我选择了CISCOWS-3750V2-24TS-S，设备介绍如下：图4.3CISCOWS-3750V2-24TS-S表4.3CISCOWS-3750V2-24TS-S产品型号CISCOWS-CJZ-HJ-2F-3750-1V2-24TS-S产品类型快速以太网交换机应用层级三层传输速率10/100Mbps包转发率6.5Mpps端口结构非模块化端口数量26个传输模式全双工/半双工自适应功能特性①支持基于端口、协议、MAC、IP子网的VLAN②支持大容量的ACL③支持OSPF、RIP路由④可堆叠⑤支持HSRP4.2.3核心层设备核心层的设备在本地网络中起着非常重要的作用，并且是访问，聚合和核心层的组成部分。核心层可以在两个设备上执行链路聚合。这不仅增加了连接带宽，而且还用作备份。因此，汇聚层设备必须支持链路汇聚。为避免循环，还必须配置生成树协议。学校中不同部门之间的通信需要VLAN之间的路由。ACL可用于限制对单个部门服务器的访问。核心层和出口路由通过整个网络中的OSPF路由互连。所以我选择了CISCOWS-CJZ-HJ-2F-3750-1V2-24TS-S，设备介绍如下：图4.4CISCO4506表4.4CISCO4506产品型号CISCOWS-CJZ-HJ-2F-3750-1V2-24TS-S产品类型学校级交换机应用层级四层传输速率10/100/1000Mbps包转发率75Mpps端口结构模块化传输模式全双工/半双工自适应功能特性①支持基于端口、协议、MAC、IP子网的VLAN②支持大容量的ACL③支持OSPF、RIP路由④可堆叠⑤支持HSRP4.2.4路由器设备路由器是局域网输出设备的一部分，在局域网中起着重要的作用。超级市场的内部IP地址通过NAT转换为套接字的公共地址或公共网络地址池中的地址。满足超市员工的内部Internet需求，并通过外部网络的NAT映射发布学校的Web服务器，以允许外部人员访问超市的内部网站。所以我选择了CISCO2811，设备介绍如下：图4.5CISCO2811表4.5CISCO2811产品型号CISCO2811产品类型VPN路由器端口3个快速以太网端口安全功能①业务安全:报文状态过滤、MAC地址过滤、时间段过滤②网络安全：多样的VPN技术，包括IPSEC、L2TP；支持路由协议的安全防护③终端接入安全④设备管理安全⑤内置路由器⑥支持ACL、NAT4.2.5防火墙选型所谓防火墙指的是一个由软件和硬件设备组合而成、在内部网和外部网之间、专用网与公共网之间的界面上构造的保护屏障.是一种获取安全性方法的形象说法，它是一种计算机硬件和软件的结合，使Internet与Intranet之间建立起一个安全网关（SecurityGateway），从而保护内部网免受非法用户的侵入。所以我选择了CISCOASA5510，设备介绍如下：图4.6CISCOASA5510表4.6CISCOASA5510产品型号CISCOASA5510产品类型VPN防火墙端口3个快速以太网端口并发连接数130000网络吞吐量300MbpsVPN功能支持入侵检测DoS4.2.6服务器选型WEB服务器也称为WWW(WORLDWIDEWEB)服务器，主要功能是提供网上信息浏览服务。WWW是Internet的多媒体信息查询工具，是Internet上近年才发展起来的服务，也是发展最快和目前用的最广泛的服务。正是因为有了WWW工具，才使得近年来Internet迅速发展，且用户数量飞速增长。所以我选择了联想THINKSERVERRD630S26404，设备介绍如下：图4.7联想THINKSERVERRD630S26404表4.7联想THINKSERVERRD630S26404产品型号联想THINKSERVERRD630S26404产品类型机架式CPU型号XeonE5-2640标配CPU数量1颗内存容量4GBDDR3标配硬盘容量300GB网络控制器双端口千兆网卡，单端口管理千兆网卡产品结构2U内存插槽数量20内存类型DDR3CPU核心六核硬盘接口类型SAS4.3IP地址规划和VLAN划分基于MAC地址的VLAN分段：此VLAN分段方法基于每个主机的MAC地址。即，为每个MAC地址主机配置它所属的组。此VLAN拆分方法的主要优点是，在移动交换机的物理位置时（即，从一台交换机更改为另一台交换机时），不必重新配置VLAN。因此，可以考虑基于基于交换机VLAN的基于MAC地址的分区方法。该方法的缺点是必须在初始化期间配置所有开关。如果有数百或数千名员工，则配置非常麻烦。另外，这种拆分方法会降低交换机的效率，因为每个交换机端口可以具有多个VLAN。基于网络的VLAN拆分：此VLAN拆分方法基于每个主机的网络层地址或协议类型，但是此拆分方法基于网络地址。例如，IP地址不是路由，并且与网络级别的路由无关，检查每个数据包的IP地址。但是，由于这不是路由，因此没有诸如RIP或OSPF之类的路由协议，而是根据生成树算法执行网桥切换。这种方法的优点是，用户的物理位置会发生变化，并且不需要重新配置用户所属的VLAN。另外，可以根据协议类型划分VLAN。这对于网络管理员很重要，不需要其他任何框架标签即可识别VLAN。这样可以减少网络流量。这种方法的缺点是效率低下。检查每个数据包的网络层地址会花费处理时间（与前两种方法相比）。典型的交换芯片可以自动检查网络上数据包的以太网头。但是，该芯片需要更先进的技术和更多时间来检查IP帧头。当然，这与每个制造商的实施方式有关。根据组播拆分VLAN：实际上，组播也是VLAN的定义。换句话说，组播组被视为VLAN，并且这种共享方法将VLAN扩展到WAN。尽管此方法灵活且易于通过路由器扩展，但它肯定不适合本地网络，并且效率低下。运营商级别的VLAN规划包括诸如服务开发类型和对设备性能的支持之类的因素。在规划VLAN时，维护部门应根据实际情况制定实施规则，在汇聚交换机上提供QinQ功能，接入设备只能使用内部标签。汇聚交换机支持选择性SVLAN功能，并且可以通过外部标签识别各种服务。内部VLAN用于标识用户和服务信息，外部VLAN用于标识用户服务信息和访问设备位置信息。分段用于VLAN规划。同一串行层设备下的访问层节点分配要使用的VLANID。对于IP上游DSLAM节点，考虑到网络安全问题，宜使用对分段原则的最新访问来实现访问。网络设备分为VLAN和IP地址段，以简化网络管理。（见表4.8）表4.8子网/VALN划分和IP地址的计划表第五章JX学院局域网规划设计5.1网络收银系统设计超市结帐管理系统旨在便利超市结帐和管理操作。每个货物经理和收银员的计算机。所有计算机都连接到超级市场LAN，以便于管理。为了确保数据的安全性和准确性，这些计算机共享一个后端数据库。系统是在以下LAN模式下创建的：图5.1超市收银管理系统总体数据流图5.2网络管理的设计对于面向超级市场的宽带接入系统和EPON系统，还必须考虑对身份验证，授权和计费功能（AAA）的支持，因为访问许多系统都需要进行管理和计费。AAA功能是有效提高网络安全性，防止非法用户进入网络并提供“运营，管理和增值”功能的重要手段。图5.2AAA系统EPON系统是一种分布式以太网接入设备，其基本功能主要包括第二层以太网交换。与EPON结合使用时，802.1x可将服务流与接入端口身份验证流分离开，从而最大程度地简化其工作效率。这避免了对身份验证系统处理能力的压力，简化了实现并消除了潜在的性能瓶颈。802.1x基于EPON的收敛功能，可以在将许多身份验证点信息传递到身份验证服务器之前对其进行汇总。随着到身份验证服务器的同时连接数减少，由服务器管理的用户数同时减少。EPON使用802.1x身份验证框架来提供与传统PPP身份验证体系结构的兼容性。同时，EAP身份验证方法（扩展身份验证协议）考虑了可伸缩性。AAA系统的工作方式如下：（1）身份验证：验证用户身份和可用的网络服务EAP允许在身份验证系统和申请人之间使用灵活的身份验证方案。将来，与更复杂和智能的身份验证技术兼容，将主要通过扩展制造商在EAP中定义的“EAP类型”字段来实现EAP的这些功能。在“EAP类型”字段中定义的身份验证类型可以满足不同的安全要求。（2）授权：根据认证结果向用户开放网络服务，如果认证成功，则认证服务器将用户信息传递给认证系统。除了关闭受控端口和将用户数据输入网络等标准功能外，EPON的身份验证系统还具有多项重要任务。首先，根据用户请求的带宽，将初始默认带宽更改为用户可用的实际带宽值。由于EPON的动态带宽机制（DBA），当网络相对空闲时，用户的可用带宽是保证带宽和剩余带宽的一部分。接下来，根据用户应用的服务类型设置用户的服务端口，并根据协议类型在ONU处划分VLAN，以方便统计和汇总各种服务数据。第三，根据OLT用户的QoS等级为其分配不同的优先级队列。如果运营商需要保证用户的端到端QoS水平，则在离开EPON系统时，可以使用运营商指定的VLAN标签对用户数据进行标记。（3）计费：记录用户对各种网络服务的使用并将其提供给计费系统。OLT集中管理每个用户的详细在线信息，并以统一的方式将其报告给RADIUS服务器，因此基于时间的计费的粒度精确到第二级。另外，ONU可以实时统计用户服务流量，并区分服务流量的服务类型。基于流量的计费很容易实现。基于此，运营商可以为用户提供灵活的计费方案。5.3设备配置5.3.1基本配置以接入层交换机为例：图5.3配置截图Switch>en进入特权模式Switch#conft进入全局模式Enterconfigurationcommands,oneperline.EndwithCNTL/Z.交换机（配置）#HostnameCW_AL_SW_1重命名路由器或交换机，以便于管理CW_AL_SW_1（配置）#noipdomainlookup激活或停用DNS服务器以停用域名搜索。如果在交换机的标准配置中输入了错误的switch命令，则交换机会将其发送到网络中的DNS服务器，然后尝试将其解析为相应的IP地址。使用noipdomainlookup命令禁用DNS服务器并缩短输入错误命令之前的等待时间。CW_AL_SW_1（配置）＃lineConsole0输入CONCOLE0线程，并通过CONSOLE线路的串行接口直接控制交换机或路由器接口如下所示设置登录密码：图5.4更改密码设置5.3.2使用VTP为了提高效率，企业网络实施使用VTP技术。将聚合级别XZ_DL_SW_1设置为VTP服务器，将其他交换机设置为VTP客户端。此处，接入层交换机SW1经由VTP接收关于在分发层交换机FB1中定义的所有VLAN的信息。以下是设置的屏幕截图：图5.5行政楼汇聚层交换机VTP配置截图XZ_DL_SW_1#vlan数据库以特权模式激活VLAN配置模式XZ_DL_SW_1(vlan)#vtpdomaincisco定义VTP域名ChangingVTPdomainnamefromNULLtociscoXZ_DL_SW_1(vlan)#vtpserver将该交换机设置为VTP的服务端DevicemodealreadyVTPSERVER.XZ_DL_SW_1(vlan)#vtpv2-mode启用的VTP版本号为2V2modeenabsled.XZ_DL_SW_1(vlan)#vtppassword123456将VTP密码设置为123456。同步交换机上的VTP必须相同SettingdeviceVLANdatabasepasswordto123456.XZ_DL_SW_1(vlan)#vtppruning激活VTP调整并激活VTP调整。默认情况下，高速公路传输所有VLAN的用户数据。在某些情况下，交换网络中的交换机的所有端口都属于同一VLAN，而不必从其他VLAN接收用户数据。此时，可以在主干路上启用VTP清理功能。激活VTP清除功能后，将自动裁剪未在交换机上定义的VLAN数据。在VTP域中，只需要在VTP服务器上启用VTP修剪功能，并且同一VTP域中的所有其他交换机都会自动激活VTP修剪功能。退出VLAN配置模式并切换到特权模式申请完成。整理...其他设备配置（配置为客户端）以CW_AL_SW_1为例：图5.6交换机VTP客户模式配置CW_AL_SW_1#vlandaCW_AL_SW_1(vlan)#vtpdomainciscoChangingVTPdomainnamefromNULLtociscoCW_AL_SW_1(vlan)#vtpclient如果将FB2配置为客户端，则客户端将知道服务器的所有VLAN信息。客户端模式不允许创建，修改或删除VLAN。只能接收和转发消息。而服务器模式拥有以上的所用功能。SettingdevicetoVTPCLIENTmode.CW_AL_SW_1(vlan)#vtpv2V2modeenabled.CW_AL_SW_1(vlan)#vtppassword123456SettingdeviceVLANdatabasepasswordto123456.CW_AL_SW_1(vlan)#exitAPPLYcompleted.Exiting5.3.3创建VLAN在XZ_DL_SW_1配置VLAN数据库。配置截图如下：图5.7VLAN配置5.3.4交换链路封装图5.8交换链路封装XZ_DL_SW_2(config)#intfa0/4进入要封装的接口XZ_DL_SW_2(config-if)#switchporttrunkencapsulationdot1q进行封装XZ_DL_SW_2(config-if)#switchportmodetrunk指定封装模式XZ_DL_SW_2(config-if)#noshutdown开启接口XZ_DL_SW_2(config)#interfacefastEthernet0/0XZ_DL_SW_2(config-if)#switchporttrunkencapsulationdot1qXZ_DL_SW_2(config-if)#switchportmodetrunkXZ_DL_SW_2(config-if)#noshutdown5.3.5NAT图5.9静态nat配置图5.10动态nat配置XZ_WL_RT>enPassword:XZ_WL_RT#configConfiguringfromterminal,memory,ornetwork[terminal]?tEnterconfigurationcommands,oneperline.EndwithCNTL/Z. XZ_WL_RT(config)#ipnatpoolnat53netmask配置动态NAT转换的地址池XZ_WL_RT(config)#ipnatpoolnat54netmaskXZ_WL_RT(config)#ipnatinsidesourcelist1poolnat配置动态NAT转换的内部地址范围XZ_WL_RT(config)#access-list1permit55XZ_WL_RT(config)#intse2/0XZ_WL_RT(config-if)#ipnatoutsideXZ_WL_RT(config-if)#exXZ_WL_RT(config)#intfa0/0XZ_WL_RT(config-if)#ipnatinsideXZ_WL_RT(config-if)#exXZ_WL_RT(config)#图5.11查看NAT转换的统计信息5.3.6DHCP/DNS图5.12配置DHCPXZ_DL_SW(config)#ipdhcpexcluded-addressXZ_DL_SW(config)#ipdhcpexcluded-addressXZ_DL_SW(config)#ipdhcpexcluded-addressXZ_DL_SW(config)#ipdhcpexcluded-addressXZ_DL_SW(config)#ipdhcpexcluded-addressXZ_DL_SW(config)#ipdhcpexcluded-address先配置除去PC机不能使用的IP地址图5.13DHCP，DNS和标准网关配置接下来，需要配置路由器接口和所有PC接口的IP地址。由于成千上万个节点的网络相对较大，因此手动配置每个PC地址的工作量可能很大，所以我们要使用DHCP技术。XZ_DL_SW(config)#ipdhcppoolVLAN10创建地址池，VLAN10地址池network宣告网段default-router默认网关DNS-SERVERDNS地址ipdhcppoolVLAN20networkdefault-routerDNS-SERVERipdhcppoolVLAN30networkdefault-routerDNS-SERVERipdhcppoolVLAN40networkdefault-routerDNS-SERVERipdhcppoolVLAN50networkdefault-routerDNS-SERVERipdhcppoolVLAN60networkdefault-routerDNS-SERVERipdhcppoolVLAN70networkdefault-routerDNS-SERVER图5.14DHCP服务请求成功5.3.7ACL图5.15配置ACLWS_WL_RT(config)#access-list1permit55WS_WL_RT(config)#linevty04WS_WL_RT(config-line)#access-class1in在vty下应用aclWS_WL_RT(config-line)#passwordciscoWS_WL_RT(config-line)#loginWS_WL_RT(config-line)#图5.16配置ACLXZ_DL_SW_1(config)#access-list6deny55XZ_DL_SW_1(config)#access-list6deny55XZ_DL_SW_1(config)#access-list6deny55XZ_DL_SW_1(config)#access-list6deny55XZ_DL_SW_1(config)#access-list6deny55XZ_DL_SW_1(config)#access-list6deny55XZ_DL_SW_1(config)#access-list6permitanyXZ_DL_SW_1(config)#intvlan20XZ_DL_SW_1(config-if)#ipacc6outXZ_DL_SW_1(config-if)#XZ_DL_SW_1(config-if)#XZ_DL_SW_1(config)#图5.17配置扩展ACL5.3.8PVST图5.18PVST配置由于网络拓扑相对较大，当两个冗余地组合为一个时，可能会发生环路。因此，需要配置第2层防环路PVST。首先，需要选择根网桥。在此处，手动输入XZ_AL_SW作为VLAN10的主要路由，以及VLAN203060的辅助路由。Switch>enSwitch#configConfiguringfromterminal,memory,ornetwork[terminal]?tEnterconfigurationcommands,oneperline.EndwithCNTL/Z.Switch(config)#spanning-treemodepvst开启PVST生成树模式Switch(config)#spanning-treevlan20rootprimary设置为VLAN20的主根Switch(config)#spanning-treevlan10,30rootsecondary设置为VLAN1030的备份根Switch(config)#5.3.9路由协议外联路由器配置EIGRP，总部外联路由配置如下图：图5.19总部外联路由协议配置XZ_WL_RT(config)#routereigrp100启用EIGRP协议XZ_WL_RT(config-router)#network5把/28网段宣告进协议中XZ_WL_RT(config-router)#network55XZ_WL_RT(config-router)#network55XZ_WL_RT(config-router)#network55图5.20外省外联路由协议配置WS_WL_RT(config)#routereigrp100启用EIGRP协议WS_WL_RT(config-router)#network把/30网段宣告进协议中WS_WL_RT(config-router)#networkEIGRP还有自动汇总的功能，当不需要时：WS_WL_RT(config-router)#noauto-summary关闭自动汇总功能5.3.10网管控制图5.21配置网络管理必须对座椅进行配置，以便管理员可以直接连接到交换机或从PC远程登录和控制，以便管理员可以更轻松，安全地管理和控制公司网络。XZ_DL_SW(config)#linevty04进入VTY线程下XZ_DL_SW(config-line)#passwordcisco配置远程访问交换机的密码XZ_DL_SW(config-line)#login登陆验证XZ_DL_SW(Config-line)#exec-timeout11配置登录交换机虚拟终端线的超时时间为1分11秒钟HX2(config-line)#linecon0HX2(config-line)#passwordcisco2HX2(config-line)#loginHX2(config-line)#exec-timeout11

第六章网络测试在没有配置ACL前，PC0、PC2都可以对PC4进行访问，（PC0的IP地址为，PC2的IP地址为，PC4的IP地址为）：（1）PC0pingPC4图6.1PC1和PC4互通（2）PC2pingPC4图6.2PC2和PC4之间的通讯如果在R1中配置了ACL后将PC2访问限制