【文章內容簡介】 rnet0/23 24Core1（configifrange）channelgroup 1 mode onCore1（configifrange）exiCore1（config）interface portchannel 1Core1（configif）switchport trunk encapsulation dot1qCore1（configif）switchport mode trunk在交換機Core2上進行相同配置。配置HSRP在此省略核心交換機CoreCore2與防火墻FW1之間的接口IP配置步驟，以及相互之間的路由連通問題，將在廣域網接入模塊進行描述。，這里簡單描述Core1和Core2在VLAN10和VLAN11虛接口上的HSRP配置。（1）Core1配置Core1(config)interface vlan 10Core1(configif)ip address Core1(configif)standby 10 ip Core1(configif)standby 10 priority 150Core1(configif)standby 10 preemptCore1(configif)standby 10 track FastEthernet 0/6 100Core1(configif)standby 10 authentication md5 gdin_alexCore1(config)interface vlan 11Core1(configif)ip address Core1(configif)standby 11 ip Core1(configif)standby 11 preemptCore1(configif)standby 11 authentication md5 gdin_alex（2）Core2配置Core2(config)interface vlan 10Core2(configif)ip address Core2(configif)standby 10 ip Core2(configif)standby 10 preemptCore2(configif)standby 10 authentication md5 gdin_alexCore2(config)interface vlan 11Core2(configif)ip address Core2(configif)standby 11 ip Core2(configif)standby 11 priority 150Core2(configif)standby 11 preemptCore2(configif)standby 11 track FastEthernet 0/6 100Core2(configif)standby 11 authentication md5 gdin_alex其他VLAN虛接口類似上述配置進行操作即刻。配置STP實現VLAN負載均衡思科交換機上是以PVST/PVST+技術來控制STP優(yōu)先級。，這里簡單描述Core1和Core2在VLAN10和VLAN11上的PVST配置。（1）Core1配置Core1(config) spanningtree vlan 10 root primaryCore1(config) spanningtree vlan 11 root secondary（2）Core2配置Core2(config) spanningtree vlan 10 root secondaryCore2(config) spanningtree vlan 11 root primary配置完畢后，在核心交換機和相關鏈路運行正常情況下，VLAN10的流量將通過交換機Core1進行處理，VLAN11的流量既通過Core2進行處理。如果其中一臺核心交換機或其中一條核心交換機相連的鏈路出現故障，VLAN流量將轉移到備份設備上處理。其他VLAN的PVST配置參照上述配置進行操作即刻。 無線訪問無線局域網（WLAN，Wireless Local Area Network）可定義為，使用射頻（RF，Radio Frequency）微波（Microwave）或紅外線（Infrared），在一個有限地域范圍內互連設備的通信系統(tǒng)。一個無線局域網可作為有線局域網的擴展來使用，也可以獨立作為有線局域網的替代設施。因此，無線局域網提供了很強的組網靈活性。要連接上WLAN網絡，必須要在主機PC上設置好與WLAN網絡相同的SSID，才能連接上無線信號。SSID（Service Set Identifier）也可以寫為ESSID，用來區(qū)分不同的網絡，最多可以有32個字符，無線網卡設置了不同的SSID就可以進入不同網絡，SSID通常由AP廣播出來，通過操作系統(tǒng)自帶的掃描功能可以查看當前區(qū)域內的SSID。簡單說，SSID就是一個局域網的名稱，只有設置為名稱相同SSID的值的電腦才能互相通信。在本設計中，將把WLAN用作有線局域網的補充來實施，在大中型企業(yè)網中按需而設地進行無線區(qū)域的規(guī)劃。，本設計對會議室和訪客廳進行無線區(qū)域的規(guī)劃。因為在本設計中WLAN方案只作為有線局域網的補充，加上實際規(guī)劃是以地理位置做除了區(qū)域區(qū)分，因此，在本設計中將采用單SSID方案，即一個AP會話一個SSID。但出于安全考慮將不廣播SSID，此時用戶就要手工設置SSID才能進入相應的網絡。 AP接入點規(guī)劃將會議室的AP設備的SSID設置為MeetingRoom，不設置密碼，（a）所示；訪客廳的AP設備的SSID設置為Guest，設置密碼為gdin_alex，（b）所示；把他們的傳輸雙工設置為全雙工，（c）所示。上述步驟均可在AP的GUI界面進行。（a）會議室無線AP設置（b）訪客廳無線AP設置（c）速率與雙工設置 無線AP設置由于模擬環(huán)境的不支持，本設計中設置的AP只是簡單的無線接入設備，只要設置要SSID和密碼即刻使用。因此在本設計中將不對AP配置進行詳細介紹，詳細的訪問控制設置將在安全加固模塊進行介紹。 廣域網接入模塊設計交換模塊由GNS3進行模擬仿真。由于模擬仿真軟件的限制，并不能很好地將Cisco Packet Tracer結合起來，因而下文將以分模塊進行配置介紹。 廣域網接入模塊仿真拓撲，仿真軟件拓撲上設置有一臺ASA，一臺路由器，兩臺多層交換機，和一臺二層交換機。本模塊將對內網訪問廣域網、廣域網訪問公共服務器群，路由連通性等方面進行配置介紹。由于仿真軟件的差異，設備的接口與前文描述的稍有不同，但已做到盡量相近。 路由連通這一小節(jié)將對拓撲上的三層設備進行路由的配置，使他們能夠正確地把數據傳輸到指定的位置。IP地址規(guī)劃，根據拓撲需要，一共使用6個IP，4個網段，其中防火墻FW的e3為外部服務器群的網關口。 內部路由IP地址規(guī)劃設備接口號地址、掩碼網絡號Core1F1/6Core2F1/6FWE1（inside1）E2（inside2）E0（outside）E3（dmz）GatewayF0/0注：網絡號地址是用于動態(tài)路由協議配置使用地址配置（1）這里以Core1為例，簡單介紹三層設備的接口配置Core1(config)interface fastEthernet 1/6Core1(configif)no switchportCore1(configif)ip address （2）這里以FW為例，簡單介紹防火墻的接口配置由于cisco ASA產品與路由器交換機的系統(tǒng)有差異，配置命令稍有差異。FW(config) interface ethernet 0/1FW(configif) ip address FW(configif) nameif inside1FW(configif) securitylevel 100FW(configif) no shutdownFW(config) interface ethernet 0/2FW(configif) ip address FW(configif) nameif inside2FW(configif) securitylevel 100FW(configif) no shutdownFW(config) interface ethernet 0/0FW(configif) ip address FW(configif) nameif outsideFW(configif) no shutdownFW(config) interface ethernet 0/3FW(configif) ip address FW(configif) nameif dmzFW(configif) securitylevel 50FW(configif) no shutdown動態(tài)路由協議配置本小點將對三層端口進行地址配置和動態(tài)路由協議的配置。由于考慮到產品擴展和網絡規(guī)模的增加，這里不先用思科專用EIGRP協議，而是選用工業(yè)標準的OSPF協議。（1）這里以Core1為例，簡單介紹三層設備的OSPF配置（Core2相似）Core1(config)router ospf 1Core1(configrouter)network area 0在這里還要把各VLAN網段也通告出去。Core1(configrouter)network area 0Core1(configrouter)network area 0Core1(configrouter)network area 0Core1(configrouter)network area 0Core1(configrouter)network area 0Core1(configrouter)network area 0Core1(configrouter)network area 0Core1(configrouter)network area 0Core1(configrouter)network area 0Core1(configrouter)network area 0（2）這里以FW為例，簡單介紹防火墻的OSPF配置FW(config) router ospf 1FW(configrouter) network area 0FW(configrouter) network area 0FW(configrouter) network area 0（3）對Gateway進行動態(tài)路由協議配置，并通告自己為默認網關Gateway(config)router ospf 1Gateway (configrouter)network area 0Gateway (configrouter) defaultinformation originate always防火墻放行流量由于防火墻ASA特有的機制，默認情況下，外網的流量是不允許流進內網的，這里必須進行ACL（訪問控制列表）的配置，初步放行所有流量。FW(config) accesslist outside permit ip any anyFW(config) accessgroup outside in interface outside這樣就可以初步把所有從outside口（既e0口）進來的流量都放行了。但這不安全的，因為放行的是所有的IP流量，所以必須要對流量進行細分，將在下小節(jié)進行細分，并在安全加固模塊將對防火墻進行安全加固。 廣域網訪問廣域網接入模塊的功能是由廣域網接入路由器Internet 路由器來完成的。采用的是Cisco的3640路由器（3600系列的路由器就可以了，只是由于現在在市場中3640比較通用）。它通過自己的串行接口serial 0/0使用DDN（128K）技術接入Internet，DDN是利用數字信道傳輸數據信號的數據傳輸網數字數據網是一種利用光纖、數字微波或衛(wèi)星等數字傳輸通道和數字交叉復用設備組成的數字數據傳輸網，它可以為用戶提供各種速率的高質量數字專用電路和其他新業(yè)務，以滿足用戶多媒體通信和組建中高速計算機通信網的需要。主要由六個部分組成：光纖或數字微波通信系統(tǒng)；智能節(jié)點或集線器設備；網絡管理系統(tǒng)； 數據電路終端設備；用戶環(huán)路；用戶端計算機或終端設備。它的主要作用是向用戶提供永久性和半永久性連接的數字數據傳輸信道，既可用于計算機之間的通信，也可用于傳送數字化傳真，數字話音，數字圖像信號或其它數字化信號。永久性連接的數字數據傳輸信道是指用戶間建立固定連接，傳輸速率不變的獨占帶寬電路。半永久性連接的數字數據傳輸信道對用戶來說是非交換性的。但用戶可提出申請，由網絡管理人員對其提出的傳輸速率、傳輸數據的目的地和傳輸路由進行修改。網絡經營者向廣大用戶提供了靈活方便的數字電路出租業(yè)務，供各行業(yè)構成自己的專用網。DDN提供半固定連接的專用電路，是面向所有專線用戶或專網用戶的基礎電信網，可為專線用戶提供高速、點到點的數字傳輸。DDN本身是一種數據傳輸網，支持任何通信協議，使用何種協議由用戶決定（）。所謂半固定是指根據用戶需要臨時建立的一種固定連接。對用戶來說，專線申請之后，連接就已完成，且連接信道的數據傳輸速率、路由及所用的網絡協議等隨時可根