【文章內容簡介】 。具體做法如下，全局配置模式下：default interface gi1/1default interface gi1/2 default interface gi1/3default interface gi1/4interface gi1/1 no switchport ip address interface gi1/2 no switchport ip address interface gi1/3 no switchport ip address interface gi1/4 no switchport ip address 其中2口用于和2臺4507R交換機通訊；4口用于和2臺355012G交換機通訊。178。 設置VLAN信息、啟用交換機間的熱備份路由協(xié)議HSRP 在中心交換機和匯聚交換機上分別設置所需的VLAN信息，中心交換機和匯聚交換機各自獨立維護自己的一套VLAN信息。在主干和匯聚交換機上分別啟用HSRP協(xié)議，保證在中心6509交換機間或匯聚交換機間有1臺故障的情況下，VLAN間仍能正常的通訊。在2臺中心6509交換機進行維護的特殊情況下，匯聚交換機仍能正常地工作，保證生產的不間斷性。中心交換機和匯聚交換機上的VLAN劃分：6509中心交換機上負責接入綜合辦公樓的VLAN；4507R匯聚交換機負責接入聯(lián)合工房的VLAN；355012G匯聚交換機接入負責廠房輔區(qū)的VALN。將分布在中心交換機上的VLAN分成兩部分，在2臺6509上分別設置不同的VLAN網關的優(yōu)先級，奇數VLAN在第一臺6509上激活，偶數VLAN在另一臺6509上激活，達到每臺6509上分別負擔一半的VLAN通訊，實現負載均衡目的。在第二臺6509上，VLAN10處于備份狀態(tài)，在第一臺6509上，VLAN10是激活的：第一臺6509配置如下：interface Vlan250 ip address standby 25 priority 150 preemptstandby 25 ip interface Vlan220 ip address standby 22 ip interface Vlan230 ip address standby 23 priority 150 preemptstandby 23 ip interface Vlan10 ip address standby 1 priority 150 preemptstandby 1 ip 第二臺6509配置如下：interface Vlan250 ip address standby 25 ip interface Vlan220 ip address standby 22 priority 150 preemptstandby 22 ip 178。 設置動態(tài)路由協(xié)議EIGRP，使中心和匯聚交換機之間的各IP子網可以通訊在2臺中心交換機上配置EIGRP協(xié)議：router eigrp 100network network network no auto summaryrouter eigrp 168network network network no auto summaryEIGRP協(xié)議缺省的負載均衡線路可以達到6條，如果多于6條，可以用命令maxiumpath設置；There is no need config EIGRP AUTOSUMMARY in this scenario. If you want the router do summary, you must config IP SUMMARY EIGRP in interface mode.二）、交換機上架、全部交換機統(tǒng)調保持現有的網絡不動，使用現有多余的光纖線路連接新的中心交換機和匯聚交換機，組成第二個網絡，進行測試。在測試成功后，再進行新舊網絡的切換。需要利用煙廠停產的時間進行切換以保證煙廠生產系統(tǒng)數據的完整性、安全性 綜合辦公樓網絡部分切換178。 邊緣交換機的初始配置命名，在配置模式下使用如下命令： hostname xmyc_c2950G_bg01分配管理IP，在配置模式下命令如下： interface vlan 250 ip address no shutdownENABLE密碼設置，在全局配置模式下：Enable password ciscoTELNET管理密碼，在全局配置模式下： Line vty 0 4 Password cisco login設置VTP模式，在全局配置模式下：vtp mode client vtp version 2vtp domain xmyc配置中繼端口（TRUNK） interface range gi0/1 2 switchport mode trunk switchport trunk allow vlan all 設置缺省網關： ip defaultgateway 178。 為加快端口的啟用速度，2950邊緣交換機上啟用PORTFASTinterface range fa0/1 23 spanningtree portfast178。 為加快生成樹的收斂速度，所有的2950邊緣交換機和接入位置的4004503交換機上全部啟用UPLINKFASTspanningtree uplinkfast178。 中心交換機和匯聚交換機相對獨立，通過路由方式通訊，設置BACKBONEFAST意義不大在本實施方案中不對所有交換機設置BACKBONEFAST178。 根據具體情況分配VLAN給各個端口賦予具體端口具體的VLAN，在全局配置模式下使用命令如下：對于一組相同性質的端口：interface range fa0/1 – 24 switchport mode access switchport access vlan 3 對于一個具體的端口：interface fa0/10 switchport mode access switchport access vlan 4三）、廣域網絡的調試：178。 Internet接入配置采用靜態(tài)路由的方式連接互聯(lián)網專線178。 Internet接入配置網 絡 中 心服務器群InternetWEB服務器Internet拓撲圖拓撲圖說明 申請電信10M光纖寬帶接入，分配一定數量的合法的INTERNET IP地址以供路由器、防火墻、WEB服務器和MAIL服務器使用。光纖寬帶轉成五類網線，接入SmartHammer硬件防火墻的外口上，SmartHammer硬件防火墻的內口接FlexHammer5210的Ethernet1/24口上。 SmartHammer硬件防火墻上共有3個以太口，其中兩個是快速以太口，ge3設置為外口，優(yōu)先級最低，優(yōu)先級設為20；ge0設置為內口，接內部網，優(yōu)先級最高，優(yōu)先級設為80；ge1為DMZ口，接對外發(fā)布的WEB、MAIL服務器，優(yōu)先級位于內、外口之間，優(yōu)先級設為50。具體表達如下：interface ge0 ip address description toxiaoyuan ip securitylevel 80 ip nat nat1!interface ge1 ip address description DMZ ip securitylevel 50 ip nat nat2!interface ge2!interface ge3 ip address description towan ip securitylevel 20 ip nat nat1 178。 防火墻上WEB、MAIL服務器的發(fā)布 WEB服務器通常使用HTTP:80端口作為服務端口，MAIL服務器常用的有微軟的EXCHANGE 2000 SERVER、通常采用SMTP：25端口和POP3：110端口作為服務端口。 在防火墻上，主要做地址映射和端口訪問允許來實現WEB和MAIL服務器的對外發(fā)布。 為了使外部用戶可以訪問DMZ的WEB服務器，實現方法如下：ip nat nat2 destination tcp 80 ip nat nat2 destination tcp 21 21 /* 將WEB服務器的IP：： 4做地址映射 */accesslist 111 permit tcp any any /* 允許外部用戶訪問虛擬IP的80端口 */ 為了使外部用戶可以訪問dmz的ftp服務器，實現方法如下： ip nat nat2 destination tcp 21 21 /* 將ftp服務器的IP：： */accesslist 111 permit tcp any any ftp/* 允許外部用戶訪問虛擬IP的21端口 */178。 安全性考慮，對內部網用戶訪問INTERNET的控制在SmartHammer硬件防火墻上配置訪問控制列表（ACL）限制能夠連入INTERNET的用戶IP訪問控制上，具體實現如下：178。 內網允許訪問外網178。 外網允許訪問DMZ的MAIL和Http178。 內網允許訪問DMZ的MAIL和Http178。 外網不允許訪問內網178。 DMZ不允許訪問內網在SmartHammer硬件防火墻上配置防攻擊：ip defend pingdeathip defend teardropip defend jolt2ip defend landbasedip defend synfragip defend winnukeip defend pingsweepip defend tcpscanip defend udpscan在SmartHammer硬件防火墻上配置限制BT下載，以防其大量占用帶寬。block bittorrent timeout 65535。三）、各交換機配置文件和IOS的備份設備配置文件和IOS映像文件的備份 載超級終端方式下，配置主機運行TFTP服務器，配置主機通過網絡線連接交換機，運行命令： copy startupconfig tftp:// 命令備份交換機上的配置文件copy flash tftp://命令備份交換機上的IOS映像文件。四、項目管理工程的安全管理 在廠區(qū)，嚴格遵守廠區(qū)的安全規(guī)定 在有穩(wěn)壓電源和UPS的環(huán)境下，須先將穩(wěn)壓電源或UPS啟動，硬件設備連接于穩(wěn)壓電