【正文】 心層交換機(jī)之間選用光纖連接達(dá)到1000m/s的訪問(wèn)速度。最高可支持OC3速，且對(duì)大多數(shù)企業(yè)具有豐富的可擴(kuò)展能力。 圖43　Cisco Catalyst 4500系列交換機(jī)（Catalyst 450Catalyst 4507R、Catalyst 4510R 、Catalyst 4506）對(duì)于Catalyst 4500系列交換機(jī)，下列簡(jiǎn)要說(shuō)明該平臺(tái)的可擴(kuò)展性。 Cisco Catalyst 2960系列Cisco Catalyst 2960系列交換機(jī)通常作為建筑物接入交換機(jī)而部署，能夠提供固定的端口密度，并且具有與高端交換機(jī)相類(lèi)似的特性，但其成本更低。至于該平臺(tái)的可擴(kuò)展性，Catlyst 2960系列交換機(jī)包括下列特性；最多 48個(gè)10/100快速以太網(wǎng)端口和2個(gè)吉比特以太網(wǎng)端口；支持10/100/1000BASEt吉比特以太風(fēng)、10BASEFX快速以太網(wǎng)和吉比特以太網(wǎng)最多可8000個(gè)MAC地址；集成支持帶寬優(yōu)化的Cisco IOS軟件特性；分級(jí)限速；：TLWA501G+TLWA501G+是TPLINK公司旗下的一款高性價(jià)比的無(wú)線AP，如圖45所示，提供全中文Web配置界面，可以通過(guò)Web瀏覽器方便的對(duì)TLWA501G+進(jìn)行訪問(wèn)和控制，配置直觀、簡(jiǎn)單、快捷。；1個(gè)10/100M自適應(yīng)RJ45端口（支持自動(dòng)翻轉(zhuǎn)）； 采用TPLINK 域展?無(wú)線傳輸技術(shù)，傳輸距離是普通11b、11g產(chǎn)品的2~3倍，傳輸范圍擴(kuò)展到4~9倍。配置接入層交換機(jī)的VLAN及VTP：從提高效率的角度出發(fā)，在企業(yè)網(wǎng)中使用了VTP技術(shù)。 核心層交換機(jī)配置配置匯聚層交換機(jī)的VLAN:當(dāng)網(wǎng)絡(luò)中交換機(jī)數(shù)量很多時(shí)，采用VLAN中繼協(xié)議（Vlan Trunking Protocol，VTP），并劃分VLAN；啟用分布層交換機(jī)的路由功能為網(wǎng)絡(luò)中的各個(gè)VLAN提供路由功能。 到Internet上的路由需要定義一條缺省路由，下一跳指定從本路由器的接口s 0/0送出。 路由器上配置行程訪問(wèn):采用的遠(yuǎn)程接入方式是Easy VPN。在方案中采用VLAN技術(shù)和ACL技術(shù)作為內(nèi)部網(wǎng)絡(luò)的安全策略，主要是防止公司內(nèi)部的非授權(quán)訪問(wèn)；而在內(nèi)部網(wǎng)絡(luò)與Internet之間則采用NAT技術(shù)實(shí)現(xiàn)Internet的接入。這里的接入層交換機(jī)采用的是Cisco Catalyst 2950 48口交換機(jī)（WSC295048）。一般我們會(huì)以地理位置或行政劃分來(lái)為交換機(jī)命名。AccessSwitch 1(config)enable secret pany //設(shè)置進(jìn)入特權(quán)用戶密碼為pany(3)設(shè)置登錄虛擬終端線時(shí)的口令 對(duì)于一個(gè)已經(jīng)運(yùn)行著的交換網(wǎng)絡(luò)來(lái)說(shuō)，交換機(jī)的帶內(nèi)遠(yuǎn)程管理為網(wǎng)絡(luò)管理人員提供了很多的方便。 AccessSwitch 1(config)ling vty 0 15AccessSwitch 1(configline)exectimeout 6 0 //設(shè)置登錄交換機(jī)的虛擬終端線路的超時(shí)時(shí)間為6分0秒鐘AccessSwitch 1(configline)line con 0AccessSwitch 1(configline)exectimeout 6 0 //設(shè)置登錄交換機(jī)的控制臺(tái)終端線路的超時(shí)時(shí)間為6分0秒鐘。AccessSwitch 1(config)no ip domainlookup //設(shè)置禁用IP地址解析特性 （6）設(shè)置啟用消息同步特性 有時(shí)，用戶輸入的交換機(jī)配置命令會(huì)被交換機(jī)產(chǎn)生的消息打亂。因此，給接入層交換機(jī)的每個(gè)端口設(shè)置IP地址是沒(méi)意義的。按照表61，管理VLAN所在的子網(wǎng)是：，這里將接入層交換機(jī)AccessSwitch1的管理IP地址設(shè)為：。 這里接入層交換機(jī)AccessSwitch1將通過(guò)VTP獲得在分布層交換機(jī)CoreSwitch1中定義的所有VLAN的信息。在了解對(duì)端設(shè)備速度的情況下，建議手動(dòng)設(shè)置端口速度。AccessSwitch 1(configif range)switchport access vlan 10 //設(shè)置端口1～40為VLAN 10的成員。為了加速交換機(jī)端口狀態(tài)轉(zhuǎn)化時(shí)間，可以設(shè)置將某端口設(shè)置成為快速端口（Portfast）。同時(shí)接入層交換機(jī)AccessSwitch1還通過(guò)端口Fa 0/48上連到核心層交換機(jī)CoreSwitch2的端口Fa0/11。同時(shí)，分別通過(guò)自己的F0/47 、F0/48上連到分布層交換機(jī)CoreSwitchCoreSwitch2的端口F0/12。例如，可以將接入層交換機(jī)AccessSwitch1的端口F0/45 和F0/46捆綁在一起實(shí)現(xiàn)200Mbps的快速以太網(wǎng)信道，然后再上連到核心層交換機(jī)CoreSwitch1。在生成樹(shù)的作用下，其中一條上行鏈路處于轉(zhuǎn)發(fā)狀態(tài)，而另一條上行鏈路處于阻塞狀態(tài)。 AccessSwitch 2(config)spanningtree uplinkfast //在AccessSwitch2上啟用Uplinkfast特性 使用這條命令要注意的是Uplinkfast特性只能在接入層交換機(jī)上啟用。附錄2　核心層交換機(jī)詳細(xì)配置由于在本設(shè)計(jì)方案中，將核心層和分布層緊縮到核心層一層中，所以此方案中的核心層除具有核心層特性之外還具有分布層的特性，當(dāng)然這是在犧牲了一定的可擴(kuò)展性的前提下。同時(shí)，還設(shè)置了默認(rèn)網(wǎng)關(guān)的地址。 CoreSwitch 1(config)vtp mode server //設(shè)置CoreSwitch1成為VTP服務(wù)器。 同時(shí)還需要Fa/110需要?jiǎng)澣敕?wù)組群VLAN100中。這需要首先啟用分布層交換機(jī)的路由功能。 此外，為了實(shí)現(xiàn)冗余設(shè)計(jì)，核心層交換機(jī)CoreSwitch2還通過(guò)自己的千兆端口Gi 0/1和Gi0/2分別上連到核心交換機(jī)CoreSwitch1的Gi0/1和Gi0/2。CoreSwitch 1(config)ip classless //當(dāng)目的網(wǎng)絡(luò)沒(méi)有出現(xiàn)在路由表中時(shí)通過(guò)默認(rèn)路由轉(zhuǎn)發(fā)數(shù)據(jù)包CoreSwitch 1(config)ip subnetzero //CoreSwitch 1定義對(duì)無(wú)類(lèi)別網(wǎng)絡(luò)以及全零子網(wǎng)的支持 CoreSwitch 2(config)ip classless //當(dāng)目的網(wǎng)絡(luò)沒(méi)有出現(xiàn)在路由表中時(shí)通過(guò)默認(rèn)路由轉(zhuǎn)發(fā)數(shù)據(jù)包CoreSwitch 2(config)ip subnetzero //CoreSwitch 2定義對(duì)無(wú)類(lèi)別網(wǎng)絡(luò)以及全零子網(wǎng)的支持 l 配置HSRP在兩臺(tái)三層交換器之間采用HSRP（熱備份冗余協(xié)議）協(xié)議，來(lái)保證兩臺(tái)三層交換機(jī)中的任意一臺(tái)down掉，或交換機(jī)的廣域網(wǎng)口down，都會(huì)迅速切換到另外一臺(tái)。同時(shí)，在VLAN40 、VALN50、 VLAN100上，將其在各自的HSRP備用組中的優(yōu)先級(jí)設(shè)置為150,使在優(yōu)先級(jí)高于默認(rèn)優(yōu)級(jí)100，并設(shè)置搶占機(jī)制。它通過(guò)自己的串行接口serial 0/0使用DDN（128K）技術(shù)接入Internet，如圖3所示。IRouter(config)interface f0/0IRouter(config)ip add IRouter(config)no shutdownIRouter(config)interface f0/1IRouter(config)ip add IRouter(config)no shutdownIRouter(config)intetface s0/0IRouter(config)ip add IRouter(config)no shutdown //配置路由器IRouter的各接口的IP地址、子網(wǎng)掩碼。每一條路徑的路由條目可以經(jīng)過(guò)路由匯總后形成兩條路由條目。下面配置NAT地址轉(zhuǎn)換：IRouter(config)interface S0/0IRouter(configif)ip nat outsideIRouter(configif)interface F0/0IRouter(configif)ip nat insideIRouter(configif)interface F0/1IRouter(configif)ip nat insideIRouter(configif)exitIRouter(config)accesslist 1 permit IRouter(config)accesslist 1 permit IRouter(config)ip nat pool NAT_P prefixlength 29IRouter(config)ip nat inside source list 1 pool NAT_P overload l ACL訪問(wèn)控制對(duì)外屏蔽簡(jiǎn)單網(wǎng)管協(xié)議，即SNMP 利用這個(gè)協(xié)議，遠(yuǎn)程主機(jī)可以監(jiān)視、控制網(wǎng)絡(luò)上的其它網(wǎng)絡(luò)設(shè)備?？梢詫⑨槍?duì)以上協(xié)議綜合進(jìn)行設(shè)計(jì)，IRouter(config)accesslist 100 deny tcp any any range 512 514IRouter(config)accesslist 100 deny tcp any any eq 111IRouter(config)accesslist 100 deny udp any any eq 111IRouter(config)accesslist 100 deny tcp any any range 2049IRouter(config)accesslist 100 permit ip any any 針對(duì)DoS攻擊的設(shè)計(jì) DoS攻擊（Denial of Service Attack，拒絕服務(wù)攻擊）是一種非常常見(jiàn)而且極具破壞力的攻擊手段，它可以導(dǎo)致服務(wù)器、網(wǎng)絡(luò)設(shè)備的正常服務(wù)進(jìn)程停止，嚴(yán)重時(shí)會(huì)導(dǎo)致服務(wù)器操作系統(tǒng)崩潰。這時(shí)，可以使用ACCESSCLASS命令進(jìn)行VTY訪問(wèn)控制。IRouter(config)ip classless　 //當(dāng)目的網(wǎng)絡(luò)沒(méi)有出現(xiàn)在路由表中時(shí)通過(guò)默認(rèn)路由轉(zhuǎn)發(fā)數(shù)據(jù)包IRouter(config)ip subnetzero //定義對(duì)無(wú)類(lèi)別網(wǎng)絡(luò)以及全零子網(wǎng)的支持l 遠(yuǎn)程訪問(wèn)模塊設(shè)計(jì)遠(yuǎn)程訪問(wèn)也是園區(qū)網(wǎng)絡(luò)必須提供的服務(wù)之一。圖4 遠(yuǎn)程訪問(wèn)模塊致謝感謝張老師對(duì)我的悉心教誨，使我順利地完成了畢業(yè)論文設(shè)計(jì)，在論文完成之際，衷心感謝老師對(duì)我的關(guān)心和培養(yǎng)！感謝我同組同學(xué)及同班同學(xué)的幫助和關(guān)心！最后向?qū)忛喖夹g(shù)報(bào)告的老師致以深深的謝意！總結(jié)體會(huì)此次的局域網(wǎng)網(wǎng)絡(luò)方案設(shè)計(jì)，讓我第一次摸索網(wǎng)絡(luò)的需求去搭建一個(gè)符合要求的基本。在本設(shè)計(jì)方案中，我們采用的遠(yuǎn)程接入方式是Easy VPN。IRouter(config)interface s0/0IRouter(configif)ip accessgroup 100 in //在S0/0的in方向上應(yīng)用accesslist 100IRouter(configif)interface fa0/0IRouter(config)no ip directedbroadcast// 禁止定向廣播通過(guò)此接口Accesslist 2是在VTY訪問(wèn)控制，應(yīng)該應(yīng)用在VTY上。為了阻止黑客入侵路由器，必須對(duì)路由器的訪問(wèn)位置加以限制。在路由器上配置ACL可以對(duì)外屏蔽簡(jiǎn)單網(wǎng)管協(xié)議SNMP。其中一個(gè)IP地址：，另外8個(gè)IP地址：～。 到Internet上的路由需要定義一條缺省路由，下一跳指定從本路由器的接口s 0/0送出。除了完成主要的路由任務(wù)外，利用訪問(wèn)控制列表（Access Control List，ACL），廣域網(wǎng)接入路由器IRouter還可以用來(lái)完成以自身為中心的流量控制和過(guò)濾功能并實(shí)現(xiàn)一定的安全功能。附錄3廣域網(wǎng)模塊配置在本設(shè)計(jì)方案中，廣域網(wǎng)接入模塊的功能是由廣域網(wǎng)接入路由器IRouter來(lái)完成的。同時(shí)，在VLAN10 、VALN VLAN30上，將其在各自的HSRP備用組中的優(yōu)先級(jí)設(shè)置為150,使在優(yōu)先級(jí)高于默認(rèn)優(yōu)級(jí)100并設(shè)置搶占機(jī)制。 對(duì)核心層交換機(jī)CoreSwitch2的配置步驟、命令和對(duì)核心層交換機(jī)CoreSwitch1的配置類(lèi)似。這里使用了一條缺省路由命令，使用的下一跳地址是Internet接入路由器與核心交換機(jī)國(guó)連接的快速以太網(wǎng)接口FastEthernet 0/0的IP地址。下面是設(shè)置核心層交換機(jī)CoreSwitch1的千兆以太網(wǎng)信道的步驟。 由于使用了VTP技術(shù)，所以所有VLAN的定義只需要在VTP服務(wù)器，即核心層交換機(jī)CoreSwitch1上進(jìn)行。工作量很大、過(guò)程很繁瑣，并且容易出錯(cuò)。圖2　核心層交換機(jī)l 對(duì)核心層交換機(jī)CoreSwitch1的基本參數(shù)的配置配置步驟與接入層交換機(jī)AccessSwitch1的基本參數(shù)的配置類(lèi)似。所不同的是，Backbonefast可以檢測(cè)到間接鏈路（非直連鏈路）故障并立即使得相應(yīng)阻塞端口的最大壽命計(jì)時(shí)器到時(shí)，從而縮短該端口可以開(kāi)始轉(zhuǎn)發(fā)數(shù)據(jù)包的時(shí)間。 Uplinkfast特性可以使得當(dāng)主上行鏈路失敗后，處于阻塞狀態(tài)的上行鏈路（備份上行鏈路）可以立即啟用。這可以根據(jù)實(shí)際需求進(jìn)行配置，配置方法在后面核心層配置將會(huì)涉及到。其配置內(nèi)容為：SwitchenSwitchconfig t Switch(config)hostname AccessSwitch 2 AccessSwitch 2(config)enable secret pany AccessSwitch 2(config)line vty 0 15 AccessSwitch 2(configline)login AccessSwitch 2(configline)password yuancheng AccessSwit