【正文】 IRouter(config)accesslist 200 permit IRouter(config)line vty 0 4IRouter(configline)accessclass 2 inIRouter(configline)exitl 應(yīng)用配置好的ACLAccesslist 100是對針對外網(wǎng)進(jìn)行訪問控制的，所以應(yīng)該應(yīng)用在路由器的出接口，即連接到Internet的端口S0/0上，方向是in。在接入路由器IRouter上需要定義兩個方向上的路由：到企業(yè)網(wǎng)內(nèi)部的靜態(tài)路由以及到Internet上的缺省路由。如圖所示。CoreSwitch 1(config)interface vlan 1CoreSwitch 1(config)ip address CoreSwitch 1(config)no shutdownCoreSwitch 1(config)ip defaultgateway 當(dāng)網(wǎng)絡(luò)中交換機(jī)數(shù)量很多時，需要分別在每臺交換機(jī)上創(chuàng)建很多重復(fù)的VLAN。同樣，也可以將接入層交換機(jī)AccessSwitch1的端口F0/47 和F0/48捆綁在一起實(shí)現(xiàn)200Mbps的快速以太網(wǎng)信道，然后再上連到核心層交換機(jī)CoreSwitch2。默認(rèn)情況下，交換機(jī)在剛加電啟動時，每個端口都要經(jīng)歷生成樹的四個階段：阻塞、偵聽、學(xué)習(xí)、轉(zhuǎn)發(fā)。但是，為了使網(wǎng)絡(luò)管理人員可以從遠(yuǎn)程登錄到接入層交換機(jī)上進(jìn)行管理，必要給接入層交換機(jī)設(shè)置一個管理用IP地址。當(dāng)我們需要Telnet登錄到若干臺交換機(jī)以維護(hù)一個大型網(wǎng)絡(luò)時，通過交換機(jī)名稱提示符提示自己當(dāng)前配置交換機(jī)的位置是很有必要的。路由器上安全配置：在路由器上配置ACL可以對外屏蔽其它不安全的協(xié)議或服務(wù)如：簡單網(wǎng)管協(xié)議SNMP，遠(yuǎn)程登錄協(xié)議telnet，SUN OS的文件共享協(xié)議端口2049，DoS攻擊等。您還可以通過Web界面對TLWA501G+進(jìn)行在線軟件升級，以適應(yīng)適合將來更高層次和更新要求。：Cisco 3600系列3600系列提供了更多的槽和更高的處理能力。在設(shè)計中，利用千兆以太網(wǎng)通道化技術(shù)擴(kuò)展網(wǎng)絡(luò)帶寬，可以滿足內(nèi)部網(wǎng)絡(luò)的大負(fù)荷網(wǎng)絡(luò)運(yùn)行需求。實(shí)例拓?fù)鋱D圖 21 單臂路由實(shí)例拓?fù)鋱D 三層交換機(jī)實(shí)現(xiàn) VLAN 間路由隨著企業(yè)內(nèi)部流量的逐步增大，使用路由器的獨(dú)臂路由功能來實(shí)現(xiàn)不同vlan 間互訪已不能滿足企業(yè)用戶的需求。作為公司內(nèi)部的設(shè)施，可以基本滿足使用要求。 VLAN VLAN（Virtual Local Area Network）的中文名為“虛擬局域網(wǎng)”。另外，目前我國中小企業(yè)已達(dá)4200萬戶(包括個體工商戶),%。局域網(wǎng)將進(jìn)一步加強(qiáng)和Email、群件的結(jié)合，將 web 技術(shù)帶入 Email 和群件，從信息發(fā)布為主的應(yīng)用向信息交流與協(xié)作轉(zhuǎn)變。前者是用于計算無環(huán)的生成樹的，后者則是用于在二層網(wǎng)絡(luò)拓?fù)浒l(fā)生變化時產(chǎn)生用來縮短CAM表項的刷新時間的（由默認(rèn)的300s縮短為15s）。 訪問控制列表訪問控制列表ACL是應(yīng)用在路由器接口的指令列表。因此接入層交換機(jī)48口的Catalyst 2960需要數(shù)量為：400/48＝10臺；? 將各個部門劃分在不同的VLAN，包括服務(wù)組群和管理VLAN一共需要7個VLAN；? 將WEB服務(wù)器、郵件服務(wù)器、FTP服務(wù)器直接與核心交換機(jī)Cisco 4501連接，置于中心機(jī)房，方便管理，同時配置ACL控制各部門訪問權(quán)限并控制外網(wǎng)訪問；? 在需要無線上網(wǎng)的地方，采用54M的無線AP接入，設(shè)定最多30人的數(shù)量，以保證每人訪問網(wǎng)速不至于過慢；? 在路由器上配置Easy VPN，用以實(shí)現(xiàn)出差工作人員及在家辦公人員遠(yuǎn)程訪問企業(yè)內(nèi)部資源及數(shù)據(jù)交換。在些設(shè)計方案中，路由器選定為Cisco 3640一臺。在高可用性方面:Catalyst 4500支持下列特性；NSF/SSO；；；特定型號的機(jī)箱（具有7和10個插槽）支持冗余Supervisor Engine ii+、IV和V；冗余供電。這里接入層交換機(jī)AccessSwitch1將通過VTP獲得在分布層交換機(jī)CoreSwitch1中定義的所有VLAN的信息。但由于本人對于企業(yè)實(shí)際需求調(diào)研不足，同時很多新的技術(shù)和方法還不是很了解，方案中也還存在著很多不足。利用命令no ip domainlookup。在了解對端設(shè)備類型的情況下，建議手動設(shè)置端口雙工模式。因為這兩個端口需要工作在Trunk模式下。所不同的是，Backbonefast可以檢測到間接鏈路（非直連鏈路）故障并立即使得相應(yīng)阻塞端口的最大壽命計時器到時，從而縮短該端口可以開始轉(zhuǎn)發(fā)數(shù)據(jù)包的時間。下面是設(shè)置核心層交換機(jī)CoreSwitch1的千兆以太網(wǎng)信道的步驟。附錄3廣域網(wǎng)模塊配置在本設(shè)計方案中，廣域網(wǎng)接入模塊的功能是由廣域網(wǎng)接入路由器IRouter來完成的。在路由器上配置ACL可以對外屏蔽簡單網(wǎng)管協(xié)議SNMP。圖4 遠(yuǎn)程訪問模塊致謝感謝張老師對我的悉心教誨，使我順利地完成了畢業(yè)論文設(shè)計，在論文完成之際，衷心感謝老師對我的關(guān)心和培養(yǎng)！感謝我同組同學(xué)及同班同學(xué)的幫助和關(guān)心！最后向?qū)忛喖夹g(shù)報告的老師致以深深的謝意！總結(jié)體會此次的局域網(wǎng)網(wǎng)絡(luò)方案設(shè)計，讓我第一次摸索網(wǎng)絡(luò)的需求去搭建一個符合要求的基本。下面配置NAT地址轉(zhuǎn)換：IRouter(config)interface S0/0IRouter(configif)ip nat outsideIRouter(configif)interface F0/0IRouter(configif)ip nat insideIRouter(configif)interface F0/1IRouter(configif)ip nat insideIRouter(configif)exitIRouter(config)accesslist 1 permit IRouter(config)accesslist 1 permit IRouter(config)ip nat pool NAT_P prefixlength 29IRouter(config)ip nat inside source list 1 pool NAT_P overload l ACL訪問控制對外屏蔽簡單網(wǎng)管協(xié)議，即SNMP 利用這個協(xié)議，遠(yuǎn)程主機(jī)可以監(jiān)視、控制網(wǎng)絡(luò)上的其它網(wǎng)絡(luò)設(shè)備。同時，在VLAN40 、VALN50、 VLAN100上，將其在各自的HSRP備用組中的優(yōu)先級設(shè)置為150,使在優(yōu)先級高于默認(rèn)優(yōu)級100，并設(shè)置搶占機(jī)制。 同時還需要Fa/110需要劃入服務(wù)組群VLAN100中。 AccessSwitch 2(config)spanningtree uplinkfast //在AccessSwitch2上啟用Uplinkfast特性 使用這條命令要注意的是Uplinkfast特性只能在接入層交換機(jī)上啟用。同時接入層交換機(jī)AccessSwitch1還通過端口Fa 0/48上連到核心層交換機(jī)CoreSwitch2的端口Fa0/11。 這里接入層交換機(jī)AccessSwitch1將通過VTP獲得在分布層交換機(jī)CoreSwitch1中定義的所有VLAN的信息。 AccessSwitch 1(config)ling vty 0 15AccessSwitch 1(configline)exectimeout 6 0 //設(shè)置登錄交換機(jī)的虛擬終端線路的超時時間為6分0秒鐘AccessSwitch 1(configline)line con 0AccessSwitch 1(configline)exectimeout 6 0 //設(shè)置登錄交換機(jī)的控制臺終端線路的超時時間為6分0秒鐘。在方案中采用VLAN技術(shù)和ACL技術(shù)作為內(nèi)部網(wǎng)絡(luò)的安全策略，主要是防止公司內(nèi)部的非授權(quán)訪問；而在內(nèi)部網(wǎng)絡(luò)與Internet之間則采用NAT技術(shù)實(shí)現(xiàn)Internet的接入。配置接入層交換機(jī)的VLAN及VTP：從提高效率的角度出發(fā)，在企業(yè)網(wǎng)中使用了VTP技術(shù)。 圖43　Cisco Catalyst 4500系列交換機(jī)（Catalyst 450Catalyst 4507R、Catalyst 4510R 、Catalyst 4506）對于Catalyst 4500系列交換機(jī)，下列簡要說明該平臺的可擴(kuò)展性。為了實(shí)現(xiàn)網(wǎng)絡(luò)設(shè)備的統(tǒng)一，本設(shè)計方案中完全采用同一廠家的網(wǎng)絡(luò)產(chǎn)品，即Cisco公司的網(wǎng)絡(luò)設(shè)備構(gòu)建。? 開放性原則：組網(wǎng)設(shè)計應(yīng)采用當(dāng)前最新國際標(biāo)準(zhǔn)的軟硬件以及開放的技術(shù)、開放的結(jié)構(gòu)、開放的系統(tǒng)組件和用戶接口，使網(wǎng)絡(luò)系統(tǒng)具備與多種協(xié)議計算機(jī)通信網(wǎng)絡(luò)互聯(lián)的特性，為未來的橫向擴(kuò)展提供必要的條件。因此，網(wǎng)絡(luò)出于安全方面的考慮也可以采用靜態(tài)路由。 STP STP的基本原理是，通過在交換機(jī)之間傳遞一種特殊的協(xié)議報文，網(wǎng)橋協(xié)議數(shù)據(jù)單元（Bridge Protocol Data Unit，簡稱BPDU），來確定網(wǎng)絡(luò)的拓?fù)浣Y(jié)構(gòu)。今后如何應(yīng)對瞬息萬變、競爭激烈的國內(nèi)外市場環(huán)境以及如何利用網(wǎng)絡(luò)技術(shù)迅速提升企業(yè)核心競爭力就成為企業(yè)成敗的關(guān)鍵。截至2010年12月，%的中小企業(yè)配備了電腦，%。這一新興技術(shù)主要應(yīng)用于交換機(jī)和路由器中，但主流應(yīng)用還是在交換機(jī)之中。既可作為對有線網(wǎng)絡(luò)的補(bǔ)充，也可獨(dú)立組網(wǎng)，從而使網(wǎng)絡(luò)用戶擺脫網(wǎng)線的束縛，實(shí)現(xiàn)真正意義上的移動應(yīng)用。通過在三層交換上配置相應(yīng)的 vlan 地址（即網(wǎng)關(guān)地址），讓不同 vlan 的用戶通過三層交換的中繼鏈路實(shí)現(xiàn)快速的互訪。當(dāng)系統(tǒng)不斷發(fā)展或系統(tǒng)發(fā)生重大變化時，這種優(yōu)點(diǎn)將變得更加突出。它們分別有六個、四個和兩個可插網(wǎng)絡(luò)模塊的槽。其中一個IP地址：，另外8個IP地址：～。此口令會以MD5的形式加密，因此，當(dāng)用戶查看配置文件時，無法看到明文形式的口令。 給交換機(jī)設(shè)置管理用IP地址只能在VLAN1，即本征VLAN中進(jìn)行。 對于直接接入終端工作站的端口來說，用于阻塞和偵聽的時間是不必要的。l 接入層交換機(jī)的其它可選配置 (1) Uplinkfast 接入層交換機(jī)AccessSwitch1通過兩條冗余上行鏈路分別接入核心層交換機(jī)CoreSwitch1和、CoreSwitch2。采用VLAN中繼協(xié)議（Vlan Trunking Protocol，VTP）可以解決這個問題。具體配置如下：SwitchenSwitchconfig t Switch(config)hostname CoreSwitch 2 CoreSwitch 2(config) enable secret pany CoreSwitch 2(config)line vty 0 15 CoreSwitch 2(configline)login CoreSwitch 2(configline)password yuancheng CoreSwitch 2(config)ling vty 0 15CoreSwitch 2(configline)exectimeout 6 0 CoreSwitch 2(configline)line con 0CoreSwitch 2(configline)exectimeout 6 0 CoreSwitch 2(config)no ip domainlookup CoreSwitch 2(config)logging synchronous //配置交換機(jī)CoreSwitch 2的基本參數(shù)CoreSwitch 2(config)interface vlan 1CoreSwitch 2(config)ip address CoreSwitch 2(config)no shutdownCoreSwitch 2(config)ip defaultgateway //配置交換機(jī)CoreSwitch 2本征VLAN 的IP地址和網(wǎng)關(guān)CoreSwitch 2(config)vtp domain OAlanCoreSwitch 2(config)vtp pruning //配置VTP域名和并激活VTP剪裁功能CoreSwitch 2(config)interface range f0/124CoreSwitch 2(configifrange)duplex fullCoreSwitch 2(configifrange)speed 100 CoreSwitch 2(config)interface range f0/110CoreSwitch 2(configif range)switchport mode access CoreSwitch 2(configif range)switchport access vlan 100CoreSwitch 2(configif range)spanningtree portfastCoreSwitch 2(config)interface range f0/2324CoreSwitch 2(configifrange)switchport mode trunk CoreSwitch 2(config) interface range Gi0/12CoreSwitch 2(configif)interface mode trunk //配置交換機(jī)CoreSwitch 2各端口的基本參數(shù)CoreSwitch 2(config)interface portchannel 1 CoreSwitch 2(configif)switchport mode trunk CoreSwitch 2