【正文】 GZC3750A(config)int vlan 20 GZC3750A(configif)standby 20 priority 120 28 GZC3750A(configif)standby 20 ip GZC3750A(configif)standby 20 preempt GZC3750A(configif)standby 20 track f0/0 30 GZC3750A(config)int vlan 23 GZC3750A(configif)standby 23 priority 120 GZC3750A(configif)standby 23 ip GZC3750A(configif)standby 23 preempt GZC3750A(configif)standby 23 track f0/0 30 GZC3750A(co。 （ 4） 配置端口跟蹤（可選）。 （ 2） 配置虛擬 IP，配置搶占模式。 舉例： GZC3750A 作為 廣州 總部的核心層的主設(shè)備，在二層鏈路上作為生成樹(shù)的根網(wǎng)橋，能有效避免鏈路的環(huán)路，配置命令如下： GZC3750A(config)spanningtree vlan 1 priority 0 GZC3750A(config)spanningtree vlan 20 priority 0 GZC3750A(config)spanningtree vlan 21 priority 0 GZC3750A(config)spanningtree vlan 23 priority 0 GZC3750A(config)spanningtree vlan 30 priority 0 配置 HSRP 采用 HSRP 技術(shù)能對(duì)總部研發(fā)部和業(yè)務(wù)部的網(wǎng)關(guān)做熱備份，主網(wǎng)關(guān)和備份網(wǎng)關(guān)之間通過(guò)交換 HELLO 數(shù)據(jù)包，來(lái)建立?；顧C(jī)制，十秒內(nèi)備份網(wǎng)關(guān)收不到主網(wǎng)關(guān)發(fā)來(lái)的HELLO 包時(shí)，會(huì)認(rèn)為主網(wǎng)關(guān)出現(xiàn)故障，備份網(wǎng)關(guān)自動(dòng)切換成為主網(wǎng)關(guān)，保證數(shù)據(jù)包不會(huì)丟失。 （ 3） 在備份根網(wǎng)橋上，配置生成樹(shù)協(xié)議，并將其優(yōu)先級(jí)值改為 4096。具體的步驟如下： （ 1） 根據(jù)設(shè)備性能和需求，指定根網(wǎng)橋和備份根網(wǎng)橋。 26 舉例： GZC2900ABR 設(shè)備上的廣域網(wǎng)配置命令： GZC2900ABR(config)username DGC2900JR password cisco GZC2900ABR(config)interface multilink 1 GZC2900ABR(configif)ip address GZC2900ABR(configif)ppp multilink GZC2900ABR(configif)ppp multilink group 1 GZC2900ABR(configif)ppp authentication chap GZC2900ABR(configif)ppp chap hostname GZC2900ABR GZC2900ABR(configif)no sh GZC2900ABR(config)interface s0/0 GZC2900ABR(configif)clock rate 2021000 GZC2900ABR(configif)bandwidth 2021 GZC2900ABR(configif)no ip address GZC2900ABR(configif)encapsulation ppp GZC2900ABR(configif)ppp multilink group 1 GZC2900ABR(config)interface s0/1 GZC2900ABR(configif)clock rate 2021000 GZC2900ABR(configif)bandwidth 2021 GZC2900ABR(configif)no ip address GZC2900ABR(configif)encapsulation ppp GZC2900ABR(configif)ppp multilink group 1 總公司核心交換機(jī) 總公司核心層采用兩臺(tái)三層交換機(jī)相互冗余備份，采用 STP 和 HSRP[14]協(xié)議避免二層鏈路環(huán)路和路由熱備份，如圖 12 所示： 圖 12 廣州總部拓?fù)? Guangzhou topology 27 配置 STP 在實(shí)現(xiàn)鏈路的冗余備份后，網(wǎng)絡(luò)的拓?fù)涑霈F(xiàn)環(huán)狀結(jié)構(gòu)，這樣的結(jié)果會(huì)導(dǎo)致廣播風(fēng)暴的產(chǎn)生，而廣播風(fēng)暴會(huì)使數(shù)據(jù)幀反復(fù)不停的在設(shè)備之間周轉(zhuǎn)，消耗設(shè)備大量的系統(tǒng)資源，造成交換機(jī) MAC 地址表的不穩(wěn)定，同時(shí)可能會(huì)使用戶進(jìn)程收到同一個(gè)幀的對(duì)個(gè)副本，可能會(huì)導(dǎo)致一些進(jìn)程無(wú)法正確處理。 (3)在本設(shè)備全局模式下上創(chuàng)建對(duì)端設(shè)備的用戶信息到用戶數(shù)據(jù)庫(kù)。具體的配置步驟如下： 圖 11 廣域網(wǎng)連接拓?fù)? WAN connection topology (1)創(chuàng)建 Multilink 接口 ,配置相應(yīng)的 IP 地址并激活接口。我們通過(guò)采用 PPP 捆綁技術(shù)來(lái)實(shí)現(xiàn)帶寬的提升，數(shù)據(jù)的負(fù)載均衡和鏈路之間的冗余備份。 舉例：核心層 GZC3750A 設(shè)備上的 OSPF 配置命令： GZC3750A(config)router ospf 1 GZC3750A(configrouter)routerid GZC3750A(configrouter)work area 0 GZC3750A(configrouter)work area 0 GZC3750A(configrouter)work area 0 24 GZC3750A(configrouter)work area 0 GZC3750A(configrouter)work area 0 GZC3750A(configrouter)work area 0 GZC3750A(configrouter)work area 0 圖 10 OSPF 組網(wǎng)拓?fù)? ospf work topology GZC3750A(configrouter)work area 0 GZC3750A(configrouter)passiveinterface f0/0 GZC3750A(configrouter)passiveinterface f1/2 GZC3750A(configrouter)passiveinterface vlan20 GZC3750A(configrouter)passiveinterface vlan21 GZC3750A(configrouter)passiveinterface vlan23 GZC3750A(configrouter)passiveinterface vlan30 25 GZC3750A(configrouter)defaultinformation originate metric 1000 metrictype 1 廣域網(wǎng)配置 廣域網(wǎng)部分主要是東莞分部通過(guò)廣域網(wǎng)連接廣州總部，用到的主要協(xié)議為PPP[13]。 (4)因業(yè)務(wù)網(wǎng)段接口下聯(lián)的終端不需要學(xué)習(xí)路由的信息，固將業(yè)務(wù)網(wǎng)段的接口配置成被動(dòng)接口，減少無(wú)用路由信息的傳播。 (2)手動(dòng)指定路由設(shè)備 OSPF 的 routerid。 5 網(wǎng)絡(luò)解決方案 OSPF 組網(wǎng)實(shí)現(xiàn) 該企業(yè)網(wǎng)絡(luò)的骨干部分采用 OSPF 動(dòng)態(tài)路由協(xié)議組網(wǎng)，采用骨干區(qū)域 (area 0)和一個(gè)非骨干區(qū)域 (area 10)來(lái)實(shí)現(xiàn)，如圖 10 所示： 通過(guò)在這些網(wǎng)絡(luò)設(shè)備上運(yùn)行 OSPF 協(xié)議，來(lái)實(shí)現(xiàn)網(wǎng)絡(luò)設(shè)備之間 的 路由的學(xué)習(xí)，同時(shí)能保證網(wǎng)絡(luò)結(jié)構(gòu)發(fā)生變化時(shí)，路由設(shè)備能夠動(dòng)態(tài)的獲悉變更的信息，實(shí)現(xiàn)路由動(dòng)態(tài)的收斂。 達(dá)到負(fù)載均衡的目的。 23 通過(guò)內(nèi)網(wǎng)管理，和根據(jù)要求按照準(zhǔn)入的終端電腦為網(wǎng)絡(luò)安全建設(shè)，提供了基礎(chǔ)保障。 (5)防止病毒木馬等網(wǎng)絡(luò)風(fēng)險(xiǎn)。 (4)管控外發(fā)信息，降低泄密風(fēng)險(xiǎn)。 (3)記錄上網(wǎng)軌跡滿足法規(guī)要求。 (2)防止無(wú)關(guān)網(wǎng)絡(luò)行為影響工作效率。具體作用如下： (1)防止帶寬資源濫用。原因很簡(jiǎn)單， NAT 不僅完美地解決了 lP 地址不足的問(wèn)題，而且還能夠有效地避免來(lái)自網(wǎng)絡(luò)外部的攻擊，隱藏并保護(hù)網(wǎng)絡(luò)內(nèi)部的計(jì)算機(jī) 。深信服 SSL VPN 提供完整的關(guān)鍵業(yè)務(wù)信息系統(tǒng)安全加固方案，提供完整的身份認(rèn)證機(jī)制及訪問(wèn)過(guò)程保護(hù)，并具有專(zhuān)利技術(shù)主從帳號(hào)綁定指定用戶的應(yīng)用訪問(wèn)帳號(hào)，杜絕帳號(hào)冒用及越權(quán)訪問(wèn)。深信服 SSL VPN 通過(guò)細(xì)致的權(quán)限劃分、多種認(rèn)證安全機(jī)制、客戶端安全檢查等多項(xiàng)技術(shù)為您實(shí)現(xiàn)安全、可靠、低成本、靈活度高的網(wǎng)絡(luò)邏輯隔離方案。深信服 SSL VPN 可助您輕松使用筆記本、桌面 PC、智能手機(jī)、PDA 等移動(dòng)終端設(shè)備實(shí)現(xiàn)安全、便捷的遠(yuǎn)程接入內(nèi)網(wǎng)，在降低運(yùn)營(yíng)成本的同時(shí)大幅提高企業(yè)的生產(chǎn)效率。任何安裝瀏覽器的機(jī)器都可以使用 SSL VPN， 這是因?yàn)?SSL 內(nèi)嵌在瀏覽器中。在有線無(wú)法覆蓋的區(qū)域， 3G 網(wǎng)絡(luò)作為主線路，通過(guò) 3G VPN 實(shí)現(xiàn) VPN 互聯(lián)。 (3)3G VPN。行業(yè)專(zhuān)網(wǎng)中包含著各個(gè)組織、各個(gè)部門(mén)的各類(lèi)應(yīng)用，對(duì)于某些關(guān)鍵應(yīng)用需要一種高安全加密方式進(jìn)行數(shù)據(jù)的保護(hù)，防止重要數(shù)據(jù)在大專(zhuān)網(wǎng)中遭泄漏。深信服 IPSec VPN 可為您提供一種高性價(jià)比的異地機(jī)構(gòu)組網(wǎng)方案，使用普通的互聯(lián)網(wǎng)連接即可實(shí)現(xiàn)安全、快速、便利的組網(wǎng)，在降低網(wǎng)絡(luò)成本的同時(shí)大大提高異地機(jī)構(gòu)協(xié)同辦公效率。通過(guò) VPN 技術(shù)我們可以實(shí)現(xiàn)： (1)異地機(jī)構(gòu)遠(yuǎn)程互聯(lián)。通過(guò)協(xié)議的快速交互達(dá)到加速的效果。 21 (3)協(xié)議代理技術(shù)。是使用特征匹配的方式來(lái)搜索數(shù)據(jù)包的，當(dāng)一個(gè)數(shù)據(jù)包到達(dá)的時(shí)候，通過(guò)一定的策略，從這個(gè)數(shù)據(jù)包里提出幾個(gè)特征值來(lái)，與已有的特征庫(kù)比較。 (2)流緩存技術(shù)。例如普通 TCP 協(xié)議在高帶寬，高時(shí)延，及一定丟包率情況下不理想， TCP 滑動(dòng)窗口慢上升，快下降的機(jī)制，通過(guò)修改協(xié)議，采用快速 TCP 優(yōu)化傳輸控制機(jī)制，可減少時(shí)延和丟包率影響。 廣域網(wǎng)加速 廣域網(wǎng)加速是對(duì)在廣域網(wǎng)上傳輸?shù)臄?shù)據(jù)進(jìn)行技術(shù)處理，從而達(dá)到加速傳輸?shù)男Ч? ,5 廣域網(wǎng)專(zhuān)線 由于分公司與總公司相隔物理位置比較遠(yuǎn)，廣域網(wǎng)連接我們采用租用電信 E1 線路來(lái)實(shí)現(xiàn)局域網(wǎng)的連接，并采用 PPP 封裝， CHAP[10]進(jìn)行安全驗(yàn)證。 HSRP 網(wǎng)關(guān)熱備份 HSRP 是一種非常流行的默認(rèn)網(wǎng)關(guān)冗余協(xié)議，被廣泛用于 Cisco 多層交換網(wǎng)絡(luò)中，它通過(guò)在冗余網(wǎng)關(guān)之間共享協(xié)議和 MAC 地址，提供不間斷的 IP 路徑冗余。靜態(tài)路由一般適用于比較簡(jiǎn)單的網(wǎng)絡(luò)環(huán)境，在這樣的環(huán)境中，網(wǎng)絡(luò)管理員易于清楚地了解網(wǎng)絡(luò)的 拓?fù)浣Y(jié)構(gòu) ，便于設(shè)置正確的路 由信息。當(dāng)網(wǎng)絡(luò)的拓?fù)浣Y(jié)構(gòu)或鏈路的狀態(tài)發(fā)生變化時(shí)，網(wǎng)絡(luò)管理員需要手工去修改 路由表中相關(guān)的靜態(tài)路由信息。 路由器之間互相學(xué)習(xí)，通過(guò)彼此的 LSA 的學(xué)習(xí)路由。 作為一種鏈路狀態(tài)的路由協(xié)議， OSPF 將鏈路狀態(tài)廣播數(shù)據(jù)包 LSA， 傳送給在某一區(qū)域內(nèi)的所有路由器，這一點(diǎn)與距離矢量路由協(xié)議不同。在這里，路由域是指一個(gè)自治系統(tǒng)（ Autonomous System），即 AS[9]，它是指一組通過(guò)統(tǒng)一的路由政策或路由協(xié)議互相交換路由信息的網(wǎng)絡(luò)。在本組網(wǎng)方案中，內(nèi)網(wǎng)用戶不僅通過(guò)路由器接入因特網(wǎng)、內(nèi)網(wǎng)用戶之間也通過(guò)路由器進(jìn)行數(shù)據(jù)包交換。路由器具有在網(wǎng)絡(luò)中傳遞數(shù)據(jù)時(shí)選擇最佳路徑的能力。例如， ACL 允許主機(jī) A 訪問(wèn)人力資源網(wǎng)絡(luò)，而拒絕主機(jī) B 訪問(wèn)。例如， ACL 可以限定或簡(jiǎn)化路由更新信息的長(zhǎng)度，從而限制通過(guò)路由器某一網(wǎng)段的通信流量。例如， ACL 可以根據(jù)數(shù)據(jù)包的協(xié)議，指定數(shù)據(jù)包的優(yōu)先級(jí)。這張表中包含了匹配關(guān)系、條件和查詢語(yǔ)句，表只是一個(gè)框架結(jié)構(gòu)，其目的是為了對(duì)某種訪問(wèn)進(jìn)行控制。 訪問(wèn)控制列表（ Access Control List， ACL） 是路由器和交換機(jī)接口的指令列表，用來(lái)控制端口進(jìn)出的數(shù)據(jù)包。 19 Trunk 的主要功能就是僅通過(guò)一條鏈路就可以連接多個(gè) VLAN。 Trunk 是一種封裝技術(shù)，它是一條點(diǎn)到點(diǎn)的鏈路，鏈路的兩端可以都是交換機(jī)，也可以是交換機(jī)和路由器，還可以是主機(jī)和交換機(jī)或路由器。每個(gè)網(wǎng)段開(kāi)銷(xiāo)最小的網(wǎng)橋叫做指定網(wǎng)橋，指定網(wǎng)橋路徑到網(wǎng)段的接口叫做指定端口。 每個(gè)非根網(wǎng)橋選擇一個(gè)到達(dá)根網(wǎng)橋管理開(kāi)銷(xiāo)最少的端口作為根端口，根端口處于轉(zhuǎn)發(fā)狀態(tài)。 即 STP 簡(jiǎn)單地挑選哪些端口應(yīng)該轉(zhuǎn)發(fā)，哪些接口不能轉(zhuǎn)發(fā)。 STP 工作原理： STP 算法創(chuàng)建接口的生成樹(shù)來(lái)轉(zhuǎn)發(fā)幀，生成樹(shù)結(jié)構(gòu)建立到達(dá)每個(gè)以太網(wǎng)段的單一路 徑。 STP 通過(guò)避免物理冗余網(wǎng)絡(luò)中的數(shù)據(jù)轉(zhuǎn)發(fā)循環(huán)，從而完成了消除廣播風(fēng)暴和 mac 表不穩(wěn)定的功能。 STP 技術(shù) STP 的基本定義：即 Spanningtree protocol ，是交換機(jī)通