网络需求分析与实施方案

1、针对课程：路由交换技术课程设计指导教师：耿 强小组组长：xx小组组员：xx xxxx评 分：2012年6月20日目录一、需求分析41.1 功能分析41.2软硬件分析41.2.1接入层交换机41.2.2核心层的3层交换机71.2.3核心接入广域网交换机81.2.4两个分公司使用路由器111.2.5防火墙131.3技术实现的分析151.3.1需求解析151.3.2技术概括18二、拓扑规划202.1 拓扑图202.1.1总拓扑图202.1.2网络拓扑图212.1.3接入层222.2 IP分配222.3 设备选型242.3.1 接入层交换机242.3.2 汇聚层交换机242.3.3 核心交换机252.

2、3.4 核心路由器25三、实施263.1 命令263.2 测试353.2.1Dhcp 测试353.2.2接入层测试363.2.3测试路由373.2.4Pap认证测试383.2.5NAT测试393.2.6VPN测试39四、优化404.1 功能描述优化404.2 设备优化404.3结构优化404.4配置优化40五、总结41人员分工xx：需求分析，拓扑设计，OSPF的设计，VPN的设计，DHCP的设计，NAT的实现，财务处的端口安全,防火墙的配置，默认路由。xx：需求分析，拓扑设计，VTP的搭建，VPN的设计，DHCP的设计，财务处的端口安全，防火墙的配置。xx：分公司的ip地址分配，vlan的划分

3、，单臂路由，默认路由。 xx：总公司的ip地址分配，vlan的划分，链路的捆绑，SVI技术Vlan的互访，ppp的pap认证。一、需求分析1.1 功能分析由于本公司初到中国市场，要在中国两个不同的城市，成立两个公司，有如下需求1.1.1 第一个公司有600个人要上网，同时也是作为总公司来发展，日后会有更多的人加入我们公司总部。而分公司有100个人要上网，日后固定人数也就是100人左右。1.1.2 我们公司将会有4部门，并且希望休闲中心不能访问财务处和网络中心，销售部不能访问网络中心和财务处，网络中心不能访问财务处，财务处只能和Server互相通信。1.1.3 在公司总部的三层交换机，核心路由器

4、，防火墙和外网出口都在网络中心，网络中心有50个终端分布在同一层楼，销售部距离网络中心800米有销售部200个终端，销售部的大楼有10层，每层有20个信息点。财务处距离网络中心300米财务处有200个终端，财政处的大楼有3层，第一层有100个信息点，剩下的2层每层有50个信息点，休闲中心距离网络中心900米有休闲中心有200个终端接入，每个休闲中心有100个人上网。1.1.4 由于考虑到日后的发展，要求两个公司都100M到桌面，同时两个公司之间的通信必需注意安全性。1.1.5 为了减轻日后管理员的维护量，使用dhcp为4个部门分配ip地址。休闲中心1和休闲中心2分别作为该公司的咖啡厅和餐厅，两

5、个中心都对所有人提供免费wi-fi，所有人都能免费接入到外网。1.1.6 财务处必须提高该部门的安全性，我们公司对网络的需求很高，不能随便断线。1.1.7. 分公司只有100人，而且都在同一层楼。1.1.8. 该公司有两个web Server 提供对外部和内部的访问，但要保证两个Server的安全性，该企业向ISP运营商申请到的ip地址为28和30两个地址段。1.2软硬件分析1.2.1接入层交换机统一使用c2960系列； 价格 5000图1.2-1 c2960 接入层交换机表1.2-1 CISCO WS-C2960-24TC-L详细参数主要参数产品类

6、型智能交换机应用层级二层传输速率10/100Mbps产品内存DRAM内存：64MBFLASH内存：32MB交换方式存储-转发背板带宽4.4Gbps包转发率6.5MppsMAC地址表8K端口参数端口结构非模块化端口数量26个端口描述24个以太网10/100Mbps端口，2个两用上行端口传输模式全双工/半双工自适应功能特性网络标准IEEE 802.3，IEEE 802.3u，IEEE 802.1x，IEEE 802.1Q，IEEE 802.1p，IEEE 802.1D，IEEE 802.1s，IEEE 802.1w，IEEE 802.3ad，IEEE 802.3zVLAN支持QOS支持网络管理We

7、b浏览器，SNMP，CLI其它参数状态指示灯每端口，系统电源功率30W产品尺寸44445236mm产品重量3.6kg环境标准工作温度：0-45工作湿度：10%-85%（非冷凝）存储温度：-25-70存储湿度：10%-85%（非冷凝）主要参数产品类型：智能交换机 应用层级：二层 传输速率：10/100Mbps 产品内存：DRAM内存：64MBFLASH内存：32MB 交换方式：存储-转发 背板带宽：4.4Gbps 包转发率：6.5Mpps MAC地址表：8K1.2.2核心层的3层交换机使用siscoWS-C4948-S 价格 20000表1.2.2-1 CISCO WS-C4948-S汇聚层交换

8、机详细参数主要参数产品类型千兆以太网交换机应用层级二层传输速率10/100/1000Mbps处理器266MHz交换方式存储-转发背板带宽96Gbps包转发率72MppsMAC地址表32K端口参数端口结构非模块化端口数量52个端口描述48个10/100/1000Mbps端口，4个SFP端口功能特性网络标准IEEE 802.3，IEEE 802.3u，IEEE 802.3z，IEEE 802.3ab，IEEE 802.1D，IEEE 802.1w，IEEE 802.1s，IEEE 802.3ad，IEEE 802.1p，IEEE 802.1Q，IEEE 802.1xVLAN支持QOS支持网络管理基

9、于命令行界面（CLI）的管理控制台提供具体的带外管理其它参数电源功率300W产品尺寸409.9439.144.5mm产品重量7.48kg环境标准工作温度：0-40存储温度：-40-75相对湿度：10%-90%（非冷凝）主要参数产品类型：千兆以太网交换机 应用层级：二层 传输速率：10/100/1000Mbps 处理器：266MHz 交换方式：存储-转发 背板带宽：96Gbps 包转发率：72Mpps MAC地址表：32K端口参数端口结构：非模块化 端口数量：52个 端口描述：48个10/100/1000Mbps端口，4个SFP端口 功能特性网络标准：IEEE 802.3，IEEE 802.3u

10、，IEEE 802.3z，IEEE 802.3ab，IEEE 802.1D，IEEE 802.1w，IEEE 802.1s，IEEE 802.3ad，IEEE 802.1p，IEEE 802.1Q，IEEE 802.1x VLAN：支持 QOS：支持 网络管理：基于命令行界面（CLI）的管理控制台提供具体的带外管理 1.2.3核心接入广域网交换机使用模块化交换机 价格 30000图1.2.3-1 模块化交换机表1.2.3-1 CISCO WS-C6509-E 核心层交换机重要参数产品类型企业级交换机应用层级三层传输速率10/100/1000Mbps背板带宽720GbpsVLAN支持网络管理Ci

11、scoWorks2000，RMON，增强交换.包转发率387MppsMAC地址表64K网络标准IEEE 802.3，IEEE 802.3u，IEEE .端口结构模块化交换方式存储-转发电源功率4000W4000W表1.2.3-2 CISCO WS-C6509-E详细参数主要参数产品类型企业级交换机应用层级三层传输速率10/100/1000Mbps交换方式存储-转发背板带宽720Gbps包转发率387MppsMAC地址表64K端口参数端口结构模块化扩展模块9个模块化插槽传输模式支持全双工功能特性网络标准IEEE 802.3，IEEE 802.3u，IEEE 802.1s，IEEE 802.1w，

12、IEEE 802.3adVLAN支持QOS支持网络管理CiscoWorks2000，RMON，增强交换端口分析器（ESPAN），SNMP，Telnet，BOOTP，TFTP其它参数电源功率4000W产品尺寸622445460mm主要参数产品类型：企业级交换机 应用层级：三层 传输速率：10/100/1000Mbps 交换方式：存储-转发 背板带宽：720Gbps 包转发率：387Mpps MAC地址表：64K 端口参数端口结构：模块化 扩展模块：9个模块化插槽 传输模式：支持全双工 功能特性网络标准：IEEE 802.3，IEEE 802.3u，IEEE 802.1s，IEEE 802.1w，

13、IEEE 802.3ad VLAN：支持 QOS：支持 网络管理：CiscoWorks2000，RMON，增强交换端口分析器（ESPAN），SNMP，Telnet，BOOTP，TFTP 1.2.4两个分公司使用路由器用思科的3925表1.2.4-1 CISCO 3925/K9详细参数基本参数路由器类型多业务路由器传输速率10/100/1000Mbps端口结构模块化局域网接口3个其它端口2个基于SFP的端口2个外部USB2.0端口1个串行控制台端口1个串行辅助端口扩展模块2个服务模块插槽+1个双宽度服务模块插槽+4个EHWIC插槽数+2个双宽度EHWIC插槽+1个ISM插槽数+4个板载DSP（P

14、VDM）插槽功能参数防火墙内置防火墙Qos支持支持VPN支持支持其他参数产品内存DRAM内存：1GB，最大2GB电源电压AC 100-240V，47-63Hz产品认证UL 60950-1，CAN/CSA C22.2 No.60950-1，EN 60950-1，AS/NZS 60950-1，IEC 60950-1产品尺寸133.35438.15476.25mm产品重量17.7kg（带交流电源，无模块）环境标准工作温度：0-40工作湿度：10%-85%RH存储温度：-40-70存储湿度：5%-95%RH基本参数路由器类型：多业务路由器 传输速率：10/100/1000Mbps 端口结构：模块化 局

15、域网接口：3个 其它端口：2个基于SFP的端口2个外部USB2.0端口1个串行控制台端口1个串行辅助端口 扩展模块：2个服务模块插槽+1个双宽度服务模块插槽+4个EHWIC插槽数+2个双宽度EHWIC插槽+1个ISM插槽数+4个板载DSP（PVDM）插槽功能参数防火墙：内置防火墙 Qos支持：支持 VPN支持：支持其他参数产品内存：DRAM内存：1GB，最大2GB 电源电压：AC 100-240V，47-63Hz 产品认证：UL 60950-1，CAN/CSA C22.2 No.60950-1，EN 60950-1，AS/NZS 60950-1，IEC 60950-1 产品尺寸：133.354

16、38.15476.25mm 产品重量：17.7kg（带交流电源，无模块） 环境标准：工作温度：0-40工作湿度：10%-85%RH存储温度：-40-70存储湿度：5%-95%RH1.2.5防火墙使用CISCO ASA5520-BUN-K9表1.2.5-1 CISCO ASA5520-BUN-K9详细参数主要参数设备类型VPN防火墙并发连接数网络吞吐量450Mbps安全过滤带宽225Mbps用户数限制无用户数限制网络端口千兆以太网端口4、快速以太网端口1、SSM 扩展插槽1控制端口consoleVPN支持支持入侵检测DoS管理思科安全管理器 (CS-Manager) ,Web安全标准UL 195

17、0,CSA C22.2 No. 950,EN 60950 IEC 60950,AS/NZS3260,TS001一般参数电源100-240VAC，47/63Hz产品尺寸362200.444.5mm产品重量9.07kg适用环境工作温度：0-40工作湿度：5%-95%(非冷凝)存储温度：-25-70存储湿度：5%-95% (非冷凝)其他性能既可以实现强大的安全保护，又可以避免在多个地点运行多个设备的高运行成本主要参数设备类型：VPN防火墙 并发连接数： 网络吞吐量：450Mbps 安全过滤带宽：225Mbps 用户数限制：无用户数限制 网络端口：千兆以太网端口4、快速以太网端口1、SSM 扩展插槽1

18、 控制端口：console VPN支持：支持 入侵检测：DoS 管理：思科安全管理器 (CS-Manager) ,Web 纠错安全标准：UL 1950,CSA C22.2 No. 950,EN 60950 IEC 60950,AS/NZS3260,TS001 一般参数电源：100-240VAC，47/63Hz 产品尺寸：362200.444.5mm 产品重量：9.07kg 适用环境：工作温度：0-40工作湿度：5%-95%(非冷凝)存储温度：-25-70存储湿度：5%-95% (非冷凝) 其他性能：既可以实现强大的安全保护，又可以避免在多个地点运行多个设备的高运行成本 1.3技术实现的分析1.

19、3.1需求解析需求1、由于本公司初到中国市场，要在中国两个不同的城市，成立两个公司。解析：在两个不同的城市有该企业的两个公司，就意味着中间要有运营商。需求2、第一个公司有600个人要上网，同时也是作为总公司来发展，日后会有更多的人加入我们公司总部解析：在公司的总部目前有600个终端，再设计时要留有一定的余量，以便于日后的扩展。需求3、分公司有100个人要上网，日后固定人数也就是100人左右。解析：在公司分部目前有100个终端，日后节点数相对稳定。需求4、我们公司将会有4部门，并且希望休闲中心不能访问财务处和网络中心，销售部不能访问网络中心和财务处，网络中心不能访问财务处，财务处只能和Serve

20、r互相通信。解析：使用VLan技术为该企业划分4个vlan由于交换机较多，我们使用VTP技术，实现一个VTP server管理多个VTP client来划分Vlan。Vlan1为休闲中心Vlan2为销售部Vlan3为网络中心Vlan4为财务处并且使用扩展ACL来达到如下安全需求并且vlan1不能访问vlan4Vlan2不能访问vlan4Vlan3不能访问vlan4Vlan4只能和Server通信。需求5、在公司总部有三层交换机，核心路由器，防火墙和外网出口都在网络中心。解析：意味着所有的接入层流量，汇聚到网络中心的三层交换机上，并由核心路由器转发出外网。地域图如下图1.3-1地域图需求6、网络

21、中心有50个终端分布在同一层楼解析：因为流量在网络中心汇聚，所以可以直接用两台接入层交换机与三层交换机相连，并为其分配ip地址为24需求7、销售部距离网络中心800米有销售部200个终端，销售部的大楼有10层，每层有20个信息点。解析：因为距离网络中心800米和要求100M到桌面，所以只能采用单模光纤传输流量。并为其分配ip地址为24网段。每层楼有20个信息点共有10层，需要10台接入交换机分配到每层，再由一台交换机汇聚销售部流量，并转发至网络中心。需求8、财务处距离网络中心300米财务处有200个终端，财政部的大楼有3层，第一层有100个信息点，剩

22、下的2层每层有50个信息点。解析：因为距离网络中心300米和要求100M到桌面，所以采用多模光纤传输流量。并为其分配ip地址为24网段。第一层有100个信息点，需要5台接入交换机。剩下的2层每层有50个信息点，每层需要2台接入交换机，再由一台交换机汇聚财务处流量，并转发至网络中心。需求9、休闲中心距离网络中心900米有休闲中心有200个终端接入，每个休闲中心有100个人上网。解析：因为距离网络中心900米，所以采用单模光纤传输流量。并为其分配ip地址为24网段。两个休闲中心，分别有100个用户，如果假设一台AP只接入10台pc，所以一个网络中心需要1

23、0台AP进行整个房间的覆盖，再由一台交换机汇聚休闲中心流量，并转发至网络中心。需求10、同时两个公司之间的通信必需注意安全性。解析：为了节省不必要开支，我们不使用专线接入。直接使用VPN技术，实现ip sec隧道加密技术。需求11、该企业网络规模较大，节点数较多。解析：我们将使用OSPF路由协议来提供全网路由，因为OSPF适合大型企业网络，并且我们多条线路都有冗余，使用OSPF还可以实现等价负载均衡，使网络的效率更高。由于OSPF是内部网关协议，运营商不会使用。出口处我们将用默认路由来指向出口。需求11、为了减轻日后管理员的维护量，使用dhcp为4个部门分配ip地址。休闲中心1和休闲中心2分别

24、作为该公司的咖啡厅和餐厅，两个中心都对所有人提供免费wi-fi，所有人都能免费接入到外网。解析：可以使用dhcp技术，为每个vlan分配不同的ip地址，为每个用户分配ip地址。同时解决了因为ip地址重复造成冲突的问题。因为是企业园区Ap将不设置接入密码，直接可以通过Ap访问出外网。需求12、财务处必须提高该部门的安全性，我们公司对网络的需求很高，不能随便断线。解析：我们将对财务部的交换机做端口安全，实现一个接口只能被一台pc访问。由于不能随便断线，我们核心路由器和三层交换机都实现冗余备份，然后再将多条线路实现捆绑，并进行冗余备份和等价负载均衡。需求13、由于这个分公司只有100人，并且在同一层

25、。分析：我们直接用5个交换机接入，再由一个交换机进行汇聚。并且使用居于广播段来划分Vlan，由于规模较小，直接使用单臂路由来互连，出口使用默认路由。需求13、该公司有两个web Server 提供对外部和内部的访问，但要保证两个Server的安全性。解析：由于两个要保证两台Server的安全性，同时也要提供对外的访问的服务，所以我们使用防火墙，并将服务器放进它的DMZ区域，实现对外的安全性并且使用IPsec来保证分部与Server之间的安全性。需求14、企业向ISP运营商申请到的ip地址为28和30两个地址段。解析：由于向运营商申请的ip地址有限，所

26、以要使用NAPT技术，实现多个ip地址对应一个ip地址的转换。两台Server提供对外访问，所以，两台Server需要两个ip地址。并且使用ppp协议接入到internet。1.3.2技术概括VLAN（Virtual Local Area Network）虚拟局域网：可以将交换机设备从逻辑上划分成多个广播域，从而实现了通信的优化和设备的管理。VTP（VLAN Trunking Protocol）VLAN中继协议：可以将在Server上划分的vlan传输到所有的client上。DHCP（Dynamic Host Configuration Protocol）动态主机设置协议：减少网络管理员的维护

27、量和分配地址的难度。并且可以按vlan给不同vlan的客户机划分不同网段的ip地址。交换机端口安全：可以将交换机的MAC地址和端口映射表进行绑定，如果同一个端口不同mac的终端接入可以实现将端口关闭。以保证网络的安全。ACL（Access Control List）访问控制列表：可以用来实现对某些主机的某种访问进行控制。并且可以用来抓取地址来为nat和vpn服务等。SVI（switch virtual interface）：交换机虚拟接口既交互三级的管理Vlan 地址，可以实现不同vlan直接的互相通信。并且可以帮助dhcp为不同的vlan划分ip地址。链路的捆绑：将交换机的多个物理端口逻辑的

28、捆绑成一个端口，可以实现等价负载均衡，链路冗余，增加带宽，等好处。单臂路由：可以节省核心路由器的接口，并且适合小型网络的设计方案，但是容易形成瓶颈。OSPF(Open Shortest Path First）开放式最短路径优先: 它属于内部网关协议，可以用来实现一个自治系统内部的互相访问。默认路由：默认路由是一种特殊的静态路由，我们用它来解决运营商不使用内部网关协议而导致的ospf不知道外部路径的情况。数据包只需要丢给运营商就由运营商自己转发。NAT (Network Address Translation) 网络地址转换：可以将私有地址转化成共有地址，来节约公有地址，暂时性解决了公有地址匮乏

29、的难题。同时提高了内部设备的安全性。PAP（Password Authentication Protocol）密码认证协议：在这里，我们它来实现运营商对公司的认证，也就是说运营商用它来控制这个公司是否能上网。VPN（Virtual Private Network) 虚拟专用网络：我们用的是IP sec，属于网络层的隧道技术。我们用它来实现，分公司和总部之间的互访，提供了访问的安全性，数据被截获后，还需要破解才能看见内容。二、拓扑规划2.1 拓扑图2.1.1总拓扑图图2.1.1-1 拓扑图2.1.2网络拓扑图这是我们的网络规划图，图2.1.1-2 顶层这是总部和分部之间的模拟图主要实现的是核心层

30、和广域网技术的路由命令我们用gns3来模拟器来实现。2.1.3接入层图2.1.1-3 接入层这是我们总部的接入层的拓扑图，主要实现接入层和汇聚层的配置命令2.2 IP分配表2.2-1 WLFirewall ip地址设备名字对应接口Ip地址子网掩码作用WLFirewallS1/040连接广域网F0/0连接公司路由器Lookback 0模拟DMZ表2.2-2 WLR1 ip地址设备名字对应接口Ip地址子网掩码作用WLR1F1/025

31、连接防火墙F0/1连接核心交换机F0/0连接核心交换机表2.2-3 ISP ip地址设备名字对应接口Ip地址子网掩码作用ISPS0/040模拟运营商对总公司提供互联网支持S0/252模拟运营商对分公司提供互联网支持表2.2-4 FBR1 ip地址设备名字对应接口Ip地址子网掩码作用FBR1S1/052连接internetF0/0.119

32、54子接口提供单臂路由网关F0/0.254F0/0.354F0/0.454表2.2-5 WL1 ip地址设备名字对应接口Ip地址子网掩码作用 WL1F0/0连接核心路由器F1/0端口集合提供冗余F1/1Lo1Vlan1的管理地址Lo2Vlan2的管理地址Lo3192.

33、168.3.1Vlan3的管理地址Lo4Vlan4的管理地址 接入层由pt模拟表2.2-6 WL2 ip地址设备名字对应接口Ip地址子网掩码作用 WL2F0/0连接核心路由器F1/0端口集合提供冗余F1/1Lo1Vlan1的管理地址Lo2Vlan2的管理地址Lo3Vlan3的管理地址Lo4255.255.255

34、.0Vlan4的管理地址 接入层由pt模拟2.3 设备选型2.3.1 接入层交换机接入层24口交换机一台可以接入24台pc。又因为100M到桌面所以有如下公式。背板带宽=100M*24（接口）*2（全双工）=4.8Gbps所以选CISCO WS-C2960-24TC-L 对应pt模拟器的接入层交换机2.3.2 汇聚层交换机汇聚层负责接入层交换机的流量汇聚，并且转发至核心交换机，又因为一台汇聚交换机要连接10-15台接入交换机所以背板带宽=15*接入交换机背板带宽（5G）=75Gbps所以选CISCO WS-C4948-S 对应拓扑图3的汇聚层交换机2.3.3 核心交换机汇聚层都是用1G的线和核

35、心交换机相连，而且必须使用模块化的机型。所以选CISCO WS-C6509-E 对应pt模拟器和GNS3的层交换机2.3.4 核心路由器 因为虽然现在的三层交换机越来越强大，但是终究无法取代路由器，因为首先三层交换没有广域网的接口和插槽，并且对广域网技术的支持不够，所以导致了路由器在广域网方面无可替代的方面。三、实施3.1 命令表3.1-1 交换机VTP的设计设备名称实现功能命令WL1VTPenableconfig tervtp mode server vtp的模式为服务器vtp domain cisco vtp的域名ciscovtp password text vtp的密码为texthost

36、name WL1WL2VTPenableconfig tervtp mode client vtp的模式为客户端vtp domain ciscovtp password texthostname WL2WL3VTPenableconfig tervtp mode clientvtp domain ciscovtp password texthostname WL3CW1VTPenableconfig tervtp mode clientvtp domain ciscovtp password texthostname CW1XX1VTPenableconfig tervtp mode clie

37、ntvtp domain ciscovtp password texthostname XX1表3.1-2 交换机VLAN的设计设备名称实现功能命令WL1VLAN划分vlan 2name xsvlan 3name wlvlan 4name cwinterface range f0/2 4switchport mode trunkWL2VLAN划分interface range f0/2 4switchport mode trunkWL3VLAN划分interface f0/1 2switchport mode trunkinterface range f0/10 - 20switchport

38、mode accessswitchport access vlan 3CW1VLAN划分interface f0/1switchport mode trunkinterface f0/2switchport mode trunkinterface range f0/10 - 20switchport mode accessswitchport access vlan 4XX1VLAN划分interface range f0/1 2switchport mode trunk表3.1-3 交换机的链路聚合的设计设备名称实现功能命令WL1链路聚合interface range f0/10 - 11s

39、witchport mode trunkchannel-group 1 mode onWL2链路聚合interface range f0/10 - 11switchport mode trunkchannel-group 1 mode on表3.1-4 交换机SVI的设计设备名称实现功能命令WL1SVI技术interface vlan 1no shutdownip address 54 interface vlan 2no shutdownip address 54 interface vlan 3

40、no shutdownip address 54 interface vlan 4no shutdownip address 54 WL2SVI技术interface vlan 1no shutdownip address 54 interface vlan 2no shutdownip address 54 interface vlan 3no shutdownip address 192.168.3.

41、254 interface vlan 4no shutdownip address 54 表3.1-5 交换机DHCP的设计设备名称实现功能命令WL1DHCPip dhcp pool xx 创建名为xx的地址池network 地址的范围default-router 54 设置网关地址dns-server 设置dsn地址exitip dhcp pool xsnetwork defaul

42、t-router 54dns-server exitip dhcp pool wlnetwork default-router 54dns-server exitip dhcp pool cwnetwork default-router 54dns-server exit表3.1-6 交换机财务处的端口安全设备名称实现功能命令CW1交换机端口安全interface range f0/10

43、- 20switchport port-security 开启端口安全switchport port-security maximum 1 最大接入量为1switchport port-security violation shutdown 如果违规就shutdownswitchport port-security mac-address sticky 静态将mac地址和端口捆绑表3.1-7 OSPF技术的实现设备名称实现功能命令WL1OSPFrouter ospf 100network 55 area 0network 0.0.0

44、.255 area 0network 55 area 0network 55 area 0network 55 area 0WL2OSPFrouter ospf 100network 55 area 0network 55 area 0network 55 area 0network 55 area 0network 192.168

45、.6.0 55 area 0WLR1OSPFrouter ospf 100network 55 area 0network 55 area 0network 55 area 0WLFirewallOSPFrouter osf 100network 55 area 0network 55 area 0network 55 area 0表3.1-8 单臂路由

46、技术的实现设备名称实现技术命令FBR单臂路由in f0/0no shutdownin f0/0.1 设置子接口encapsulation dot1Q 1 封装802.1q协议并划分进vlan1ip address 54 no shutdownin f0/0.2encapsulation dot1Q 2ip address 54 no shutdownin f0/0.3encapsulation dot1Q 3ip address 54 no shutd

47、ownin f0/0.4encapsulation dot1Q 4ip address 54 no shutdown表3.1-9 默认路由技术的实现设备名称实现技术命令WLFirewall默认路由ip route FBR默认路由ip route 表3.1-10 PAP认证的实现设备名称实现技术命令ISPPAPUsername zb password textUsername fb password textinterface s0/2enc

48、apsulation pppppp authentication papinterface s0/0encapsulation pppppp authentication papFBRPAPinterface s1/0encapsulation pppppp pap sent-username fb password textWLFirewallPAPinterface s1/0encapsulation pppppp pap sent-username zb password text表3.1-11 NAT技术的实现设备名称实现技术命令WLFirewallNATaccess-list 1 p

49、ermit 55access-list 1 permit 55access-list 1 permit 55access-list 1 permit 55ip nat pool zb netmask 40 创建一个地址池ip nat inside source list 1 pool zb overloadFBRNATaccess-list 1 permit 192.16

50、8.1.0 55access-list 1 permit 55access-list 1 permit 55access-list 1 permit 55ip nat pool fb netmask 52ip nat inside source list 1 pool fb overload表3.1-12 VPN技术的实现设备名称实现技术命令WLFirewallVPNcrypto isakmp

51、policy 100（创建IKE策略，设置编号100）encr aes 加密方式 aeshash md5 散列算法MD5authentication pre-share 认证方式共享密钥group 2 交换密钥D-H算法密钥强度为GROUP2。crypto isakmp key text address (由于使用共享密钥的认证方式与对端建立IKE安全关联，所以需要指定双方约定的共享密钥text，并且指定IKE对端为)crypto ipsec transform-set textvpn ah-sha-hmac esp-aes esp-sha-hmac(建立一个名称为textvpn的传输模式集，名称后面的参数可以是一三个)access-list 110 permit ip 55 55crypto map zhong 1000 ipsec-isakmap(创建名称为zhong的加密图将第一步的传输模式集)set peer set transform-set textvpn(定义的数据流与VPN对端IP地址绑定起来)match address 110(应用地址110 组)interface f0/0ip address 202.100.1