【正文】 IRouter(config)accesslist 200 permit IRouter(config)line vty 0 4IRouter(configline)accessclass 2 inIRouter(configline)exitl 應(yīng)用配置好的ACLAccesslist 100是對(duì)針對(duì)外網(wǎng)進(jìn)行訪問(wèn)控制的，所以應(yīng)該應(yīng)用在路由器的出接口，即連接到Internet的端口S0/0上，方向是in。在接入路由器IRouter上需要定義兩個(gè)方向上的路由：到企業(yè)網(wǎng)內(nèi)部的靜態(tài)路由以及到Internet上的缺省路由。如圖所示。CoreSwitch 1(config)interface vlan 1CoreSwitch 1(config)ip address CoreSwitch 1(config)no shutdownCoreSwitch 1(config)ip defaultgateway 當(dāng)網(wǎng)絡(luò)中交換機(jī)數(shù)量很多時(shí)，需要分別在每臺(tái)交換機(jī)上創(chuàng)建很多重復(fù)的VLAN。同樣，也可以將接入層交換機(jī)AccessSwitch1的端口F0/47 和F0/48捆綁在一起實(shí)現(xiàn)200Mbps的快速以太網(wǎng)信道，然后再上連到核心層交換機(jī)CoreSwitch2。默認(rèn)情況下，交換機(jī)在剛加電啟動(dòng)時(shí)，每個(gè)端口都要經(jīng)歷生成樹(shù)的四個(gè)階段：阻塞、偵聽(tīng)、學(xué)習(xí)、轉(zhuǎn)發(fā)。但是，為了使網(wǎng)絡(luò)管理人員可以從遠(yuǎn)程登錄到接入層交換機(jī)上進(jìn)行管理，必要給接入層交換機(jī)設(shè)置一個(gè)管理用IP地址。當(dāng)我們需要Telnet登錄到若干臺(tái)交換機(jī)以維護(hù)一個(gè)大型網(wǎng)絡(luò)時(shí)，通過(guò)交換機(jī)名稱(chēng)提示符提示自己當(dāng)前配置交換機(jī)的位置是很有必要的。路由器上安全配置：在路由器上配置ACL可以對(duì)外屏蔽其它不安全的協(xié)議或服務(wù)如：簡(jiǎn)單網(wǎng)管協(xié)議SNMP，遠(yuǎn)程登錄協(xié)議telnet，SUN OS的文件共享協(xié)議端口2049，DoS攻擊等。您還可以通過(guò)Web界面對(duì)TLWA501G+進(jìn)行在線(xiàn)軟件升級(jí)，以適應(yīng)適合將來(lái)更高層次和更新要求。：Cisco 3600系列3600系列提供了更多的槽和更高的處理能力。在設(shè)計(jì)中，利用千兆以太網(wǎng)通道化技術(shù)擴(kuò)展網(wǎng)絡(luò)帶寬，可以滿(mǎn)足內(nèi)部網(wǎng)絡(luò)的大負(fù)荷網(wǎng)絡(luò)運(yùn)行需求。實(shí)例拓?fù)鋱D圖 21 單臂路由實(shí)例拓?fù)鋱D 三層交換機(jī)實(shí)現(xiàn) VLAN 間路由隨著企業(yè)內(nèi)部流量的逐步增大，使用路由器的獨(dú)臂路由功能來(lái)實(shí)現(xiàn)不同vlan 間互訪已不能滿(mǎn)足企業(yè)用戶(hù)的需求。作為公司內(nèi)部的設(shè)施，可以基本滿(mǎn)足使用要求。 VLAN VLAN（Virtual Local Area Network）的中文名為“虛擬局域網(wǎng)”。另外，目前我國(guó)中小企業(yè)已達(dá)4200萬(wàn)戶(hù)(包括個(gè)體工商戶(hù)),%。局域網(wǎng)將進(jìn)一步加強(qiáng)和Email、群件的結(jié)合，將 web 技術(shù)帶入 Email 和群件，從信息發(fā)布為主的應(yīng)用向信息交流與協(xié)作轉(zhuǎn)變。前者是用于計(jì)算無(wú)環(huán)的生成樹(shù)的，后者則是用于在二層網(wǎng)絡(luò)拓?fù)浒l(fā)生變化時(shí)產(chǎn)生用來(lái)縮短CAM表項(xiàng)的刷新時(shí)間的（由默認(rèn)的300s縮短為15s）。 訪問(wèn)控制列表訪問(wèn)控制列表ACL是應(yīng)用在路由器接口的指令列表。因此接入層交換機(jī)48口的Catalyst 2960需要數(shù)量為：400/48＝10臺(tái)；? 將各個(gè)部門(mén)劃分在不同的VLAN，包括服務(wù)組群和管理VLAN一共需要7個(gè)VLAN；? 將WEB服務(wù)器、郵件服務(wù)器、FTP服務(wù)器直接與核心交換機(jī)Cisco 4501連接，置于中心機(jī)房，方便管理，同時(shí)配置ACL控制各部門(mén)訪問(wèn)權(quán)限并控制外網(wǎng)訪問(wèn)；? 在需要無(wú)線(xiàn)上網(wǎng)的地方，采用54M的無(wú)線(xiàn)AP接入，設(shè)定最多30人的數(shù)量，以保證每人訪問(wèn)網(wǎng)速不至于過(guò)慢；? 在路由器上配置Easy VPN，用以實(shí)現(xiàn)出差工作人員及在家辦公人員遠(yuǎn)程訪問(wèn)企業(yè)內(nèi)部資源及數(shù)據(jù)交換。在些設(shè)計(jì)方案中，路由器選定為Cisco 3640一臺(tái)。在高可用性方面:Catalyst 4500支持下列特性；NSF/SSO；；；特定型號(hào)的機(jī)箱（具有7和10個(gè)插槽）支持冗余Supervisor Engine ii+、IV和V；冗余供電。這里接入層交換機(jī)AccessSwitch1將通過(guò)VTP獲得在分布層交換機(jī)CoreSwitch1中定義的所有VLAN的信息。但由于本人對(duì)于企業(yè)實(shí)際需求調(diào)研不足，同時(shí)很多新的技術(shù)和方法還不是很了解，方案中也還存在著很多不足。利用命令no ip domainlookup。在了解對(duì)端設(shè)備類(lèi)型的情況下，建議手動(dòng)設(shè)置端口雙工模式。因?yàn)檫@兩個(gè)端口需要工作在Trunk模式下。所不同的是，Backbonefast可以檢測(cè)到間接鏈路（非直連鏈路）故障并立即使得相應(yīng)阻塞端口的最大壽命計(jì)時(shí)器到時(shí)，從而縮短該端口可以開(kāi)始轉(zhuǎn)發(fā)數(shù)據(jù)包的時(shí)間。下面是設(shè)置核心層交換機(jī)CoreSwitch1的千兆以太網(wǎng)信道的步驟。附錄3廣域網(wǎng)模塊配置在本設(shè)計(jì)方案中，廣域網(wǎng)接入模塊的功能是由廣域網(wǎng)接入路由器IRouter來(lái)完成的。在路由器上配置ACL可以對(duì)外屏蔽簡(jiǎn)單網(wǎng)管協(xié)議SNMP。圖4 遠(yuǎn)程訪問(wèn)模塊致謝感謝張老師對(duì)我的悉心教誨，使我順利地完成了畢業(yè)論文設(shè)計(jì)，在論文完成之際，衷心感謝老師對(duì)我的關(guān)心和培養(yǎng)！感謝我同組同學(xué)及同班同學(xué)的幫助和關(guān)心！最后向?qū)忛喖夹g(shù)報(bào)告的老師致以深深的謝意！總結(jié)體會(huì)此次的局域網(wǎng)網(wǎng)絡(luò)方案設(shè)計(jì)，讓我第一次摸索網(wǎng)絡(luò)的需求去搭建一個(gè)符合要求的基本。下面配置NAT地址轉(zhuǎn)換：IRouter(config)interface S0/0IRouter(configif)ip nat outsideIRouter(configif)interface F0/0IRouter(configif)ip nat insideIRouter(configif)interface F0/1IRouter(configif)ip nat insideIRouter(configif)exitIRouter(config)accesslist 1 permit IRouter(config)accesslist 1 permit IRouter(config)ip nat pool NAT_P prefixlength 29IRouter(config)ip nat inside source list 1 pool NAT_P overload l ACL訪問(wèn)控制對(duì)外屏蔽簡(jiǎn)單網(wǎng)管協(xié)議，即SNMP 利用這個(gè)協(xié)議，遠(yuǎn)程主機(jī)可以監(jiān)視、控制網(wǎng)絡(luò)上的其它網(wǎng)絡(luò)設(shè)備。同時(shí)，在VLAN40 、VALN50、 VLAN100上，將其在各自的HSRP備用組中的優(yōu)先級(jí)設(shè)置為150,使在優(yōu)先級(jí)高于默認(rèn)優(yōu)級(jí)100，并設(shè)置搶占機(jī)制。 同時(shí)還需要Fa/110需要?jiǎng)澣敕?wù)組群VLAN100中。 AccessSwitch 2(config)spanningtree uplinkfast //在AccessSwitch2上啟用Uplinkfast特性 使用這條命令要注意的是Uplinkfast特性只能在接入層交換機(jī)上啟用。同時(shí)接入層交換機(jī)AccessSwitch1還通過(guò)端口Fa 0/48上連到核心層交換機(jī)CoreSwitch2的端口Fa0/11。 這里接入層交換機(jī)AccessSwitch1將通過(guò)VTP獲得在分布層交換機(jī)CoreSwitch1中定義的所有VLAN的信息。 AccessSwitch 1(config)ling vty 0 15AccessSwitch 1(configline)exectimeout 6 0 //設(shè)置登錄交換機(jī)的虛擬終端線(xiàn)路的超時(shí)時(shí)間為6分0秒鐘AccessSwitch 1(configline)line con 0AccessSwitch 1(configline)exectimeout 6 0 //設(shè)置登錄交換機(jī)的控制臺(tái)終端線(xiàn)路的超時(shí)時(shí)間為6分0秒鐘。在方案中采用VLAN技術(shù)和ACL技術(shù)作為內(nèi)部網(wǎng)絡(luò)的安全策略，主要是防止公司內(nèi)部的非授權(quán)訪問(wèn)；而在內(nèi)部網(wǎng)絡(luò)與Internet之間則采用NAT技術(shù)實(shí)現(xiàn)Internet的接入。配置接入層交換機(jī)的VLAN及VTP：從提高效率的角度出發(fā)，在企業(yè)網(wǎng)中使用了VTP技術(shù)。 圖43　Cisco Catalyst 4500系列交換機(jī)（Catalyst 450Catalyst 4507R、Catalyst 4510R 、Catalyst 4506）對(duì)于Catalyst 4500系列交換機(jī)，下列簡(jiǎn)要說(shuō)明該平臺(tái)的可擴(kuò)展性。為了實(shí)現(xiàn)網(wǎng)絡(luò)設(shè)備的統(tǒng)一，本設(shè)計(jì)方案中完全采用同一廠家的網(wǎng)絡(luò)產(chǎn)品，即Cisco公司的網(wǎng)絡(luò)設(shè)備構(gòu)建。? 開(kāi)放性原則：組網(wǎng)設(shè)計(jì)應(yīng)采用當(dāng)前最新國(guó)際標(biāo)準(zhǔn)的軟硬件以及開(kāi)放的技術(shù)、開(kāi)放的結(jié)構(gòu)、開(kāi)放的系統(tǒng)組件和用戶(hù)接口，使網(wǎng)絡(luò)系統(tǒng)具備與多種協(xié)議計(jì)算機(jī)通信網(wǎng)絡(luò)互聯(lián)的特性，為未來(lái)的橫向擴(kuò)展提供必要的條件。因此，網(wǎng)絡(luò)出于安全方面的考慮也可以采用靜態(tài)路由。 STP STP的基本原理是，通過(guò)在交換機(jī)之間傳遞一種特殊的協(xié)議報(bào)文，網(wǎng)橋協(xié)議數(shù)據(jù)單元（Bridge Protocol Data Unit，簡(jiǎn)稱(chēng)BPDU），來(lái)確定網(wǎng)絡(luò)的拓?fù)浣Y(jié)構(gòu)。今后如何應(yīng)對(duì)瞬息萬(wàn)變、競(jìng)爭(zhēng)激烈的國(guó)內(nèi)外市場(chǎng)環(huán)境以及如何利用網(wǎng)絡(luò)技術(shù)迅速提升企業(yè)核心競(jìng)爭(zhēng)力就成為企業(yè)成敗的關(guān)鍵。截至2010年12月，%的中小企業(yè)配備了電腦，%。這一新興技術(shù)主要應(yīng)用于交換機(jī)和路由器中，但主流應(yīng)用還是在交換機(jī)之中。既可作為對(duì)有線(xiàn)網(wǎng)絡(luò)的補(bǔ)充，也可獨(dú)立組網(wǎng)，從而使網(wǎng)絡(luò)用戶(hù)擺脫網(wǎng)線(xiàn)的束縛，實(shí)現(xiàn)真正意義上的移動(dòng)應(yīng)用。通過(guò)在三層交換上配置相應(yīng)的 vlan 地址（即網(wǎng)關(guān)地址），讓不同 vlan 的用戶(hù)通過(guò)三層交換的中繼鏈路實(shí)現(xiàn)快速的互訪。當(dāng)系統(tǒng)不斷發(fā)展或系統(tǒng)發(fā)生重大變化時(shí)，這種優(yōu)點(diǎn)將變得更加突出。它們分別有六個(gè)、四個(gè)和兩個(gè)可插網(wǎng)絡(luò)模塊的槽。其中一個(gè)IP地址：，另外8個(gè)IP地址：～。此口令會(huì)以MD5的形式加密，因此，當(dāng)用戶(hù)查看配置文件時(shí)，無(wú)法看到明文形式的口令。 給交換機(jī)設(shè)置管理用IP地址只能在VLAN1，即本征VLAN中進(jìn)行。 對(duì)于直接接入終端工作站的端口來(lái)說(shuō)，用于阻塞和偵聽(tīng)的時(shí)間是不必要的。l 接入層交換機(jī)的其它可選配置 (1) Uplinkfast 接入層交換機(jī)AccessSwitch1通過(guò)兩條冗余上行鏈路分別接入核心層交換機(jī)CoreSwitch1和、CoreSwitch2。采用VLAN中繼協(xié)議（Vlan Trunking Protocol，VTP）可以解決這個(gè)問(wèn)題。具體配置如下：SwitchenSwitchconfig t Switch(config)hostname CoreSwitch 2 CoreSwitch 2(config) enable secret pany CoreSwitch 2(config)line vty 0 15 CoreSwitch 2(configline)login CoreSwitch 2(configline)password yuancheng CoreSwitch 2(config)ling vty 0 15CoreSwitch 2(configline)exectimeout 6 0 CoreSwitch 2(configline)line con 0CoreSwitch 2(configline)exectimeout 6 0 CoreSwitch 2(config)no ip domainlookup CoreSwitch 2(config)logging synchronous //配置交換機(jī)CoreSwitch 2的基本參數(shù)CoreSwitch 2(config)interface vlan 1CoreSwitch 2(config)ip address CoreSwitch 2(config)no shutdownCoreSwitch 2(config)ip defaultgateway //配置交換機(jī)CoreSwitch 2本征VLAN 的IP地址和網(wǎng)關(guān)CoreSwitch 2(config)vtp domain OAlanCoreSwitch 2(config)vtp pruning //配置VTP域名和并激活VTP剪裁功能CoreSwitch 2(config)interface range f0/124CoreSwitch 2(configifrange)duplex fullCoreSwitch 2(configifrange)speed 100 CoreSwitch 2(config)interface range f0/110CoreSwitch 2(configif range)switchport mode access CoreSwitch 2(configif range)switchport access vlan 100CoreSwitch 2(configif range)spanningtree portfastCoreSwitch 2(config)interface range f0/2324CoreSwitch 2(configifrange)switchport mode trunk CoreSwitch 2(config) interface range Gi0/12CoreSwitch 2(configif)interface mode trunk //配置交換機(jī)CoreSwitch 2各端口的基本參數(shù)CoreSwitch 2(config)interface portchannel 1 CoreSwitch 2(configif)switchport mode trunk CoreSwitch 2