【正文】 )login AccessSwitch 2(configline)password yuancheng AccessSwitch 2(config)ling vty 0 15AccessSwitch 2(configline)exectimeout 6 0 AccessSwitch 2(configline)line con 0AccessSwitch 2(configline)exectimeout 6 0 AccessSwitch 2(config)no ip domainlookup AccessSwitch 2(config)logging synchronous AccessSwitch 2(config)interface vlan 1AccessSwitch 2(config)ip address AccessSwitch 2(config)no shutdownAccessSwitch 2(config)ip defaultgateway AccessSwitch 2(config)interface range f0/148AccessSwitch 2(configifrange)duplex fullAccessSwitch 2(configifrange)speed 100 AccessSwitch 2(config)interface range f0/140AccessSwitch 2(configif range)switchport mode access AccessSwitch 2(configif range)switchport access vlan 20AccessSwitch 2(configif range)spanningtree portfastAccessSwitch 2(config)interface range f0/4748AccessSwitch 2(configifrange)switchport mode trunk AccessSwitch 2(config)spanningtree uplinkfast按照上面的配置，在其他接入層交換機(jī)做相類似的配置，并將各自的端口劃入相應(yīng)的VLAN。 Uplinkfast特性可以使得當(dāng)主上行鏈路失敗后，處于阻塞狀態(tài)的上行鏈路（備份上行鏈路）可以立即啟用。圖2　核心層交換機(jī)l 對(duì)核心層交換機(jī)CoreSwitch1的基本參數(shù)的配置配置步驟與接入層交換機(jī)AccessSwitch1的基本參數(shù)的配置類似。 由于使用了VTP技術(shù)，所以所有VLAN的定義只需要在VTP服務(wù)器，即核心層交換機(jī)CoreSwitch1上進(jìn)行。這里使用了一條缺省路由命令，使用的下一跳地址是Internet接入路由器與核心交換機(jī)國(guó)連接的快速以太網(wǎng)接口FastEthernet 0/0的IP地址。同時(shí)，在VLAN10 、VALN VLAN30上，將其在各自的HSRP備用組中的優(yōu)先級(jí)設(shè)置為150,使在優(yōu)先級(jí)高于默認(rèn)優(yōu)級(jí)100并設(shè)置搶占機(jī)制。除了完成主要的路由任務(wù)外，利用訪問(wèn)控制列表（Access Control List，ACL），廣域網(wǎng)接入路由器IRouter還可以用來(lái)完成以自身為中心的流量控制和過(guò)濾功能并實(shí)現(xiàn)一定的安全功能。其中一個(gè)IP地址：，另外8個(gè)IP地址：～。為了阻止黑客入侵路由器，必須對(duì)路由器的訪問(wèn)位置加以限制。在本設(shè)計(jì)方案中，我們采用的遠(yuǎn)程接入方式是Easy VPN。IRouter(config)ip classless　 //當(dāng)目的網(wǎng)絡(luò)沒(méi)有出現(xiàn)在路由表中時(shí)通過(guò)默認(rèn)路由轉(zhuǎn)發(fā)數(shù)據(jù)包IRouter(config)ip subnetzero //定義對(duì)無(wú)類別網(wǎng)絡(luò)以及全零子網(wǎng)的支持l 遠(yuǎn)程訪問(wèn)模塊設(shè)計(jì)遠(yuǎn)程訪問(wèn)也是園區(qū)網(wǎng)絡(luò)必須提供的服務(wù)之一?？梢詫⑨槍?duì)以上協(xié)議綜合進(jìn)行設(shè)計(jì)，IRouter(config)accesslist 100 deny tcp any any range 512 514IRouter(config)accesslist 100 deny tcp any any eq 111IRouter(config)accesslist 100 deny udp any any eq 111IRouter(config)accesslist 100 deny tcp any any range 2049IRouter(config)accesslist 100 permit ip any any 針對(duì)DoS攻擊的設(shè)計(jì) DoS攻擊（Denial of Service Attack，拒絕服務(wù)攻擊）是一種非常常見(jiàn)而且極具破壞力的攻擊手段，它可以導(dǎo)致服務(wù)器、網(wǎng)絡(luò)設(shè)備的正常服務(wù)進(jìn)程停止，嚴(yán)重時(shí)會(huì)導(dǎo)致服務(wù)器操作系統(tǒng)崩潰。每一條路徑的路由條目可以經(jīng)過(guò)路由匯總后形成兩條路由條目。它通過(guò)自己的串行接口serial 0/0使用DDN（128K）技術(shù)接入Internet，如圖3所示。CoreSwitch 1(config)ip classless //當(dāng)目的網(wǎng)絡(luò)沒(méi)有出現(xiàn)在路由表中時(shí)通過(guò)默認(rèn)路由轉(zhuǎn)發(fā)數(shù)據(jù)包CoreSwitch 1(config)ip subnetzero //CoreSwitch 1定義對(duì)無(wú)類別網(wǎng)絡(luò)以及全零子網(wǎng)的支持 CoreSwitch 2(config)ip classless //當(dāng)目的網(wǎng)絡(luò)沒(méi)有出現(xiàn)在路由表中時(shí)通過(guò)默認(rèn)路由轉(zhuǎn)發(fā)數(shù)據(jù)包CoreSwitch 2(config)ip subnetzero //CoreSwitch 2定義對(duì)無(wú)類別網(wǎng)絡(luò)以及全零子網(wǎng)的支持 l 配置HSRP在兩臺(tái)三層交換器之間采用HSRP（熱備份冗余協(xié)議）協(xié)議，來(lái)保證兩臺(tái)三層交換機(jī)中的任意一臺(tái)down掉，或交換機(jī)的廣域網(wǎng)口down，都會(huì)迅速切換到另外一臺(tái)。這需要首先啟用分布層交換機(jī)的路由功能。 CoreSwitch 1(config)vtp mode server //設(shè)置CoreSwitch1成為VTP服務(wù)器。附錄2　核心層交換機(jī)詳細(xì)配置由于在本設(shè)計(jì)方案中，將核心層和分布層緊縮到核心層一層中，所以此方案中的核心層除具有核心層特性之外還具有分布層的特性，當(dāng)然這是在犧牲了一定的可擴(kuò)展性的前提下。在生成樹(shù)的作用下，其中一條上行鏈路處于轉(zhuǎn)發(fā)狀態(tài)，而另一條上行鏈路處于阻塞狀態(tài)。同時(shí)，分別通過(guò)自己的F0/47 、F0/48上連到分布層交換機(jī)CoreSwitchCoreSwitch2的端口F0/12。為了加速交換機(jī)端口狀態(tài)轉(zhuǎn)化時(shí)間，可以設(shè)置將某端口設(shè)置成為快速端口（Portfast）。在了解對(duì)端設(shè)備速度的情況下，建議手動(dòng)設(shè)置端口速度。按照表61，管理VLAN所在的子網(wǎng)是：，這里將接入層交換機(jī)AccessSwitch1的管理IP地址設(shè)為：。AccessSwitch 1(config)no ip domainlookup //設(shè)置禁用IP地址解析特性 （6）設(shè)置啟用消息同步特性 有時(shí)，用戶輸入的交換機(jī)配置命令會(huì)被交換機(jī)產(chǎn)生的消息打亂。AccessSwitch 1(config)enable secret pany //設(shè)置進(jìn)入特權(quán)用戶密碼為pany(3)設(shè)置登錄虛擬終端線時(shí)的口令 對(duì)于一個(gè)已經(jīng)運(yùn)行著的交換網(wǎng)絡(luò)來(lái)說(shuō)，交換機(jī)的帶內(nèi)遠(yuǎn)程管理為網(wǎng)絡(luò)管理人員提供了很多的方便。這里的接入層交換機(jī)采用的是Cisco Catalyst 2950 48口交換機(jī)（WSC295048）。 路由器上配置行程訪問(wèn):采用的遠(yuǎn)程接入方式是Easy VPN。 核心層交換機(jī)配置配置匯聚層交換機(jī)的VLAN:當(dāng)網(wǎng)絡(luò)中交換機(jī)數(shù)量很多時(shí)，采用VLAN中繼協(xié)議（Vlan Trunking Protocol，VTP），并劃分VLAN；啟用分布層交換機(jī)的路由功能為網(wǎng)絡(luò)中的各個(gè)VLAN提供路由功能。；1個(gè)10/100M自適應(yīng)RJ45端口（支持自動(dòng)翻轉(zhuǎn)）； 采用TPLINK 域展?無(wú)線傳輸技術(shù)，傳輸距離是普通11b、11g產(chǎn)品的2~3倍，傳輸范圍擴(kuò)展到4~9倍。 Cisco Catalyst 2960系列Cisco Catalyst 2960系列交換機(jī)通常作為建筑物接入交換機(jī)而部署，能夠提供固定的端口密度，并且具有與高端交換機(jī)相類似的特性，但其成本更低。最高可支持OC3速，且對(duì)大多數(shù)企業(yè)具有豐富的可擴(kuò)展能力。Catalyst 2960系列交換機(jī)僅有的缺點(diǎn)就是最高只能32Gbit/s交換陣列，并且最多只能支持48個(gè)快速以太網(wǎng)端口。就這個(gè)設(shè)計(jì)而言，提供交換機(jī)和鏈路冗余，保證在其中一交換機(jī)出現(xiàn)故障的時(shí)候另一臺(tái)交換機(jī)能保證整體網(wǎng)絡(luò)結(jié)構(gòu)正常工作。第4章　企業(yè)網(wǎng)系統(tǒng)整體方案實(shí)現(xiàn) 本企業(yè)網(wǎng)設(shè)計(jì)方案主要由以下四大部分構(gòu)成：交換模塊、廣域網(wǎng)接入模塊、遠(yuǎn)程訪問(wèn)模塊、服務(wù)器群。實(shí)例拓?fù)鋱D圖 22 三層交換實(shí)現(xiàn) VLAN 間路由實(shí)例拓?fù)鋱D第3章 企業(yè)網(wǎng)絡(luò)設(shè)計(jì)在本方案中，將以一個(gè)擁有300臺(tái)辦公計(jì)算機(jī)的中小企業(yè)目前為例，對(duì)該企業(yè)進(jìn)行調(diào)研后總結(jié)需求如下：? 該公司一共有5個(gè)部門：財(cái)務(wù)部、市場(chǎng)部、策劃部、客服中心、采購(gòu)部；? 企業(yè)擁有約300臺(tái)辦公計(jì)算機(jī)，要求都能訪問(wèn)Internet資源；外網(wǎng)通過(guò)internet只能訪問(wèn)企業(yè)內(nèi)服務(wù)器，如FTP、Web，不能訪問(wèn)其它內(nèi)網(wǎng)信息；? 部份位置要實(shí)現(xiàn)wifi無(wú)線上網(wǎng)，可以實(shí)現(xiàn)多人同時(shí)接入； ? 出差工作人員及在家辦公人員能夠遠(yuǎn)程訪問(wèn)公司內(nèi)部的共享文件以及進(jìn)行數(shù)據(jù)傳送；? 網(wǎng)絡(luò)要求是可擴(kuò)展的，高速的，冗余的，安全的，并可滿足為現(xiàn)在或?qū)?lái)進(jìn)行語(yǔ)音、視頻、圖像等各種服務(wù)的應(yīng)用；? 要保證企業(yè)內(nèi)部服務(wù)器群可以集中管理以及企業(yè)內(nèi)部信息安全。至于數(shù)據(jù)包是被接收還是拒絕，可以由類似于源地址、目的地址、端口號(hào)等的特定指示條件來(lái)決定。 靜態(tài)路由靜態(tài)路由是指由用戶或網(wǎng)絡(luò)管理員手工配置的路由信息。實(shí)現(xiàn)HSRP的條件是系統(tǒng)中有多臺(tái)路由器，它們組成一個(gè)“熱備份組”，這個(gè)組形成一個(gè)虛擬路由器。但又不是所有交換機(jī)都具有此功能，只有 VLAN 協(xié)議的第三層以上交換機(jī)才具有此功能。隨著無(wú)線局域網(wǎng)產(chǎn)品迅速發(fā)展并走向成熟，許多企業(yè)為了提高員工的工作效率，開(kāi)始部署無(wú)線網(wǎng)絡(luò)。%的中國(guó)中小企業(yè)的接入了互聯(lián)網(wǎng)，已經(jīng)達(dá)到了一個(gè)相當(dāng)高的水平。所以說(shuō)普通局域網(wǎng)沒(méi)有什么安全可言，如果大家處于同一子網(wǎng)，每臺(tái)計(jì)算機(jī)發(fā)出和接收到的數(shù)據(jù)包其他計(jì)算機(jī)都可以監(jiān)聽(tīng)到，這些包一般都是明文發(fā)送的，通過(guò)sniffer等抓包工具抓取以后就可以知道數(shù)據(jù)內(nèi)容，所以在企業(yè)網(wǎng)里面我們需要?jiǎng)澐肿泳W(wǎng)，隔離vlan，使用vpn等安全手段。(3)管理信息和反饋信息不能迅速傳遞：隨著企業(yè)的發(fā)展，數(shù)據(jù)信息流不斷增大，對(duì)各部門管理提出了快速響應(yīng)的要求。將來(lái)的局域網(wǎng)發(fā)展趨勢(shì)必將是有線網(wǎng)絡(luò)和無(wú)線網(wǎng)絡(luò)共存，無(wú)線局域網(wǎng)作為一種靈活的數(shù)據(jù)通信系統(tǒng)，在建筑物和公共區(qū)域內(nèi)是有線局域網(wǎng)的有效延伸和補(bǔ)充。原因很簡(jiǎn)單，NAT 不僅完美地解決了 lP 地址不足的問(wèn)題，而且還能夠有效地避免來(lái)自網(wǎng)絡(luò)外部的攻擊，隱藏并保護(hù)網(wǎng)絡(luò)內(nèi)部的計(jì)算機(jī)。 IEEE IEEE ，比兩年前剛批準(zhǔn)的IEEE ，擴(kuò)大了無(wú)線局域網(wǎng)的應(yīng)用領(lǐng)域。動(dòng)態(tài)路由因?yàn)樾枰酚善髦g頻繁地交換各自的路由表，而對(duì)路由表的分析可以揭示網(wǎng)絡(luò)的拓?fù)浣Y(jié)構(gòu)和網(wǎng)絡(luò)地址等信息。 單臂路由實(shí)現(xiàn) VLAN 間通信vlan能有效地分割廣播域，控制廣播包的數(shù)量，提高網(wǎng)絡(luò)設(shè)備的使用率，那么要想實(shí)現(xiàn)不同 vlan 間通信就需要借助第三層的路由功能，必須借助于路由器或者是三層交換機(jī)來(lái)實(shí)現(xiàn)，我們把路由器和二層交換機(jī)相直連這樣的模型稱為單臂路由模型，因?yàn)檫M(jìn)出路由器的數(shù)據(jù)都要通過(guò)這條中繼鏈路來(lái)實(shí)現(xiàn)，單臂路由是中小型企業(yè)網(wǎng)絡(luò)中實(shí)現(xiàn) vlan 間通信的有效手段，但對(duì)于信息點(diǎn)數(shù)量過(guò)多的網(wǎng)絡(luò)拓?fù)洵h(huán)境，由于所有進(jìn)出路由器的數(shù)據(jù)包都要經(jīng)過(guò)這條中繼鏈路，就使得交換機(jī)和路由器相連的這條鏈路成為了整個(gè)網(wǎng)絡(luò)的瓶頸。? 可擴(kuò)展原則：可擴(kuò)展是指網(wǎng)絡(luò)規(guī)模和帶寬的擴(kuò)展能力，也是設(shè)計(jì)中必須加以考慮的。 企業(yè)數(shù)據(jù)交換設(shè)備可以劃分為三個(gè)層次：接入層、分布層、核心層。除了表中的內(nèi)容。在核心層采用三層交換機(jī)Catalyst 4506系列，可以增加網(wǎng)絡(luò)擴(kuò)展性，提高性能及可用性，增強(qiáng)網(wǎng)絡(luò)安全性。在性能方面，通過(guò)使用Supervisor III Engine或Supervisor II+ 只支持第二層，但是能夠支持64Gbit/s交換。圖44　Cisco Catalyst2960在性能方面，Catalyst 2960系列交換機(jī)下列特性；快速以太網(wǎng)和吉比特以太網(wǎng)線速的第2層交換；32Gbit/s交換陣列；能夠以快速以太網(wǎng)和吉比特以太網(wǎng)的線速進(jìn)行ACL和Qos；最大支持9000字節(jié)的巨型以太網(wǎng)幀。但是，處于安全考慮，在能夠遠(yuǎn)程管理交換機(jī)之前網(wǎng)絡(luò)管理人員必須設(shè)置遠(yuǎn)程登錄交換機(jī)的口令。路由器上配置缺省路由：到企業(yè)網(wǎng)內(nèi)部的靜態(tài)路由以及到Internet上的缺省路由。網(wǎng)絡(luò)整體采用的是Cisco網(wǎng)絡(luò)三層架構(gòu)，這個(gè)結(jié)構(gòu)的優(yōu)點(diǎn)是穩(wěn)定性好、設(shè)備負(fù)載均衡、易擴(kuò)展，并且網(wǎng)絡(luò)故障排查也比較容易。圖1　接入層交換機(jī)(1)設(shè)置交換機(jī)名稱 設(shè)置交換機(jī)名稱，也就是出現(xiàn)在交換機(jī)CLI提示符中的名字。在設(shè)置的時(shí)間內(nèi)，如果沒(méi)有檢測(cè)到鍵盤輸入，IOS將斷開(kāi)用戶和交換機(jī)之間的連接。 接入層交換機(jī)是OSI參考模型的第2層設(shè)備，即數(shù)據(jù)鏈路層的設(shè)備。同時(shí)，將核心層交換機(jī)CoreSwitch1設(shè)置成為VTP服務(wù)器，其他交換機(jī)設(shè)置成為VTP客戶機(jī)。 設(shè)置接入層交換機(jī)AccessSwitch1的端口1～40 AccessSwitch 1(config)interface range f0/140AccessSwitch 1(configif range)switchport mode access //設(shè)置端口1～40工作在接入模式。l 配置接