【正文】 此，在選擇網(wǎng)絡設備和供應商的時候，要擦亮眼睛看看供應商的 QoS 能做到什么程度。 2） 安全性： 應能在可靠性的前提下，抵擋來自內(nèi)部和外部的攻擊；采用的安全措施有效、可信，能夠在多層次上、以多種方式實現(xiàn)安全的控制。 網(wǎng)絡必須是可靠的，包括網(wǎng)元級的可靠性，如引擎、風扇、單板、總計等；以及網(wǎng)絡級的可靠性，如路由、交換的匯聚，鏈路冗余，負載均衡等。 具有容錯功能，能滿足 企業(yè) 所在地環(huán)境、氣候條件，抗干擾能力強，對網(wǎng)絡的設計、選型、安裝、調(diào)試等各環(huán)節(jié)進行統(tǒng)一規(guī)劃和分析，確保 系統(tǒng)運行可靠。 5） 先進性： 在系統(tǒng)的選擇與開發(fā)過程中，既能滿足當前網(wǎng)絡的應用需求，又可以在將來需要擴展的時候，能方便地擴展，保護目前的所有投資；設計的配置可以靈活變通，以便適應客戶的其他要求。著眼于近期目標和長期的發(fā)展，選用先進的設備進行最佳性能組合，利用有限的投資構(gòu)造一個性能最佳的網(wǎng)絡系統(tǒng)。 8） 標準化： 網(wǎng)絡系統(tǒng)應符合 IEEE 、 IEEE 、 IEEE 等以太網(wǎng)標準和 IEEE 、 IEEE 、 WBM 等網(wǎng)絡管理標準。所謂“ 層次化 ” 模型，就是將復雜的網(wǎng)絡設計分成幾個層次，每個層次著重于某些特定的功能，這樣就能夠使一個復雜的大問題變成許多簡單的小問題。層次模型模塊化的特性使網(wǎng)絡中的每一層都能夠很好地利用帶寬，減少了對系統(tǒng)資源的浪費。 ? 易于擴展 ： 在網(wǎng)絡設計中，模塊化具有的特性使得網(wǎng)絡增長時網(wǎng)絡的復雜性能夠限制在子網(wǎng)中，而不會蔓延到網(wǎng)絡的其他地方。 ? 易于排錯 ： 層次化設計能夠使網(wǎng)絡拓 撲結(jié)構(gòu)分解為易于理解的子網(wǎng)，網(wǎng)絡管理者能夠輕易地確定網(wǎng)絡故障的范圍，從而簡化了排錯過程。 園區(qū)網(wǎng)的核心層連接所有的分布層設備，必須能夠盡可能高效地交換數(shù)據(jù)流。 應對園區(qū)網(wǎng)核心層中的設備進行優(yōu)化，以提供高性能的第 2層或第 3層交換。 在 本設計的 核心層中，采用兩臺 Cisco Catalyst 4006 交換機 組成雙機熱備份的核心交換機系統(tǒng)解決方案。對于各個業(yè)務 VLAN 4 可以指向這個虛擬的 IP 地址作為網(wǎng)關，因此應用 VRRP 技術為核心交換機提供一個可靠的網(wǎng)關地址，以實現(xiàn)在核心層核心交換機之間進行設備的硬件冗余，一主兩備，共用一個虛擬的 IP 地址和 MAC 地址，通過內(nèi)部的協(xié)議傳輸機制可以自動進行工作角色的切換。 分布 層 分布層將園區(qū)網(wǎng)的接入層和核心層連接起來。 在分布層中，來自接入層設備的上行鏈路被聚合在一起。這些交換機必須擁有能提供高速鏈路的端口密度，以支持所有接入層交換機。該層的交換機還必須能夠執(zhí)行高吞吐量的多層交換。接入層交換機通常在用戶之間提供第2 層（ VLAN） 連接性。 5 系統(tǒng)組成與拓撲結(jié)構(gòu) 為了實現(xiàn)網(wǎng)絡設備的統(tǒng)一，本設計方案中完全采用同一廠家的網(wǎng)絡產(chǎn)品，即Cisco 公司的網(wǎng)絡設備構(gòu)建。 該企業(yè)網(wǎng) 設計方案主要由以下四大部分構(gòu)成：交換模塊、廣域網(wǎng)接入模塊、遠程訪問模塊、服務器群。以下配置截圖，皆來自該軟件。這里的接入層交換機采用的是Cisco Catalyst 2950 24 口交換機（ WSC295024）。 1. 配置接入層交換機 AccessSwitch1 的基本參數(shù) （ 1）設置交換機名稱 設置交換機名稱，也就是出現(xiàn)在交換機 CLI 提示符中的名字。當我們需要 Tel 登錄到若干臺交換機以維護一個大型網(wǎng)絡時，通過交換機名稱提示符提示自己當前配置交換機的位置是很有必要的。 （ 2）設置交換機的加密使能口令 7 加密口令為： enable secret +密碼。此口令會以 MD5 的形式加密，因此，當用戶查看配置文件時，無法看到明文形式的口令。 對于一個已經(jīng)運行著的交換網(wǎng)絡來說，交換機的帶內(nèi)遠程管理為網(wǎng)絡管理人員提供了很 多的方便。 （ 4）設置終端線超時時間 為了安全考慮，可以設置終端線超時時間。 這里設置的是 5 分 30 秒。利用命令no ip domainlookup?？梢允褂妹?logging synchronous 設置交換機在下一行 CLI 提示符后復制用戶的輸入。因此，給接入層交換機的每個端口設置 IP 地址是沒意義的。這種情況下，實際上是將交換機看成和 PC 機一樣的主機。 為了使網(wǎng)絡管理人員可以在不同的子網(wǎng)管理此交換機，還應設置默認網(wǎng)關地 8 址 . 3. 配置接入層交換機 AccessSwitch1 的 VTP 從提高效率的角度出發(fā)，在本企業(yè)網(wǎng)實現(xiàn)實例中使用了 VTP 技術。 這里接入層交換機 AccessSwitch1 將通過 VTP 獲得在分布層交換機DistributeSwitch1 中定義的所有 VLAN 的信息。 圖中， ver 是 version 的縮寫。 Vtp mode client命令設置該交換機為 vtp 的客戶機模式， vtp ver 2 命令設置使用 vtp 的版本號為 2。在了解對端設備速度的情況下，建議手動設置端口速度。 int 是 interface 的縮寫，是進入某個接口的命令； r 為 range 的縮寫， f為 fastether（快速以太網(wǎng)接口）的縮寫， f0/1 24 表示快速以太網(wǎng)的0/10/24 共 24 個接口。接入層交換機AccessSwitch1 為 VLAN10 提供接入服務。 用spanningtree portfast 來配置生成樹快速端口。同時，設置端口 1～端口 22 為 VLAN 10 的成員。在能夠轉(zhuǎn)發(fā)用戶的數(shù)據(jù)包之前，某個端口可能最多要等 50 秒鐘的時間（ 20 秒的阻塞時間＋ 15 秒的偵聽延遲時間＋ 15 秒的學習延遲時間）。為了加速交換機端口狀態(tài)轉(zhuǎn)化時間，可以設置將某端口設置成為快速端口（ Portfast）。 6. 配置接入層交換機 AccessSwitch1 的主干道端口 接入層交換機 AccessSwitch1 通過端口 FastEther 0/23 上連到分布層交換機 DistributeSwitch1 的端口 FastEther 0/1。 這兩條上連鏈路將成為主干道鏈路，在這兩條上連鏈路上將運輸多個 VLAN的數(shù)據(jù)。命令為 switchport mode trunk 7. 配置接入層交換機 AccessSwitch 5 10 接入層交換機 AccessSwitch 5 分別 為 VLAN VLAN VLANVLAN50 的用戶提供接入服務。 對接入層交換機 AccessSwitch 5 的配置步驟、命令和對接入層交換機 AccessSwitch1 的配置類似 。 對分布層交換機 DistributeSwitch1的基本參數(shù)的配置步驟與對接入層交換機 AccessSwitch1 的基本參數(shù)的配置類似。 1． 配置分布層交換機 DistributeSwitch1 的管理 IP、默認網(wǎng)關 顯示了為分布層交換機 DistributeSwitch1 設置管理 IP 并激活本征 VLAN。 11 add 為 address 的縮寫； no sh 即為 no shutdown，開啟端口。工作量很大、過程很繁瑣，并且容易出錯。 VTP 允許我們在一臺交換機上創(chuàng)建所有的 VLAN。同時，有關 VLAN 的刪除、參數(shù)更改操作 均可傳播到其他交換機。 在本 企業(yè) 網(wǎng)實現(xiàn)實例中使用了 VTP 技術。 （ 1） 配置 VTP 管理域 vtp domain cisco 共享相同 VLAN 定義數(shù)據(jù)庫的交換機構(gòu)成一個 VTP 管理域。不同 VTP 管理域的交換機之間不交換 VTP通告信息。 （ 2） 設置 VTP 服務器 vtp mode server 工作在 VTP 服務器模式下的交換機可以創(chuàng)建、刪除 VLAN、修改 VLAN 參數(shù)。 （ 3） 激活 VTP 剪裁功能 12 vtp pruning 默認情況下主干道傳輸所有 VLAN 的用戶數(shù)據(jù)。這時，可以激活主干道上的 VTP 剪裁功能。 在一個 VTP 域下，只需要在 VTP 服務器上激活 VTP 剪裁功能。 下圖為該交換機的配置參數(shù)： 3． 在分布層交換機 DistributeSwitch1 上定義 VLAN 在本企業(yè)網(wǎng)實現(xiàn)實例中，除了默認的本征 VLAN 外，又定義了 6 個 VLAN。 如圖所示，定義了 6 個 VLAN，同時為每個 VLAN 命名。此外， 分布層交換機 DistributeSwitch1 還通過自己的千兆端口 GigabitEther 1/1上連到核心交換機 CoreSwitch1 的 GigabitEther 0/1。 給出了對所有訪問端口、主干道端口的配置步驟和命令。 swi 為 switchport的縮寫， acc為 access的縮寫， gi為 gigabitEther的縮寫， 5． 配置分布層交換機 DistributeSwitch1 的 3 層交換功能 分布層交換機 DistributeSwitch1需要為網(wǎng)絡中的各個 VLAN提供路由功能。 接下來，需要為每個 VLAN 定義自己的默認網(wǎng)關地址， 14 此外，還需要定義通往 Inter 的路由。6． 配置分布層交換機 DistributeSwitch2 分 布層交換機 DistributeSwitch2 的端口 FastEther 0/15 分別下連到接入層交換機 AccessSwitch15 的端口 FastEther 0/24。 對分布層交換機 DistributeSwitch2 的配置步驟、命令和對分布層交換機DistributeSwitch1 的配置類似。這里，只給出實際的配置步驟，不再給出解釋。同時，還設置了默認網(wǎng)關的地址。 這里核心層交換機 CoreSwitch1 將通過 VTP 獲得在分布層交換機DistributeSwitch1 中定義的所有 VLAN 的信息。同時，核心層交換機 CoreSwitch1 的端口GigabitEther 0/1～ GigabitEther 0/2 分別下連到 接入 層交換機DistributeSwitch1 和 DistributeSwitch2 的端口 GigabitEther 1/1。 此外，為了提供主干道的吞吐量以及實現(xiàn)冗余設計，在本設計中，將核心層交換機 CoreSwitch1 的千兆端口 GigabitEther 2/ GigabitEther 2/2捆綁在一起實現(xiàn) 2021Mbps 的千兆以太網(wǎng)信道，然后再連接到另一臺核心層交換機 CoreSwitch2。 5． 配置核心層交換機 CoreSwitch1 的路由功能 核心層交換機 CoreSwitch1 通過端口 FastEther 0/22 同廣域網(wǎng)接入模塊（ Inter 路由器）相連。同時，還需要定義通往 Inter 的路由。其中，下一跳地址是 Inter 接入路由器的快速以太網(wǎng)接口 FastEther 0/0的 IP 地址。這里，不再詳細分析。這里，也不再贅述。采用的是 Cisco 的 2811 路由器。它的作用主要是在 Inter和企業(yè)網(wǎng)內(nèi)網(wǎng)間路由數(shù)據(jù)包。 配置接入路由器 InterRouter 的基本參數(shù) 對接入路由器 InterRouter 的基本參數(shù)的配置步驟與對接入層交換機AccessSwitch1 的基本參 數(shù)的配置類似。 如圖 23 所示，顯示了為接入路由器 InterRouter 的各接口設置 IP 地址、 18 子網(wǎng)掩碼。 到 Inter 上的路由需要定義一條缺省路由，如圖所示。 到企業(yè)網(wǎng)內(nèi)部的路由條目可以經(jīng)過路由匯總后形成兩條路由條目。 配置接入路由器 InterRouter 上的 NAT 由于目前 IP 地址資源非常稀缺，對不可能給企業(yè)網(wǎng)內(nèi)部的所有工作站都分配一個公有 IP（ Inter 可路由的）地址。 為了接入 Inter，本企業(yè)網(wǎng)向當?shù)?ISP 申請了 9 個 IP 地址。 NAT 的配置可以分為以下幾個步驟。 （ 2）定義允許進行 NAT 的內(nèi)部局部 IP 地址范圍 19 內(nèi)部地址范圍為： ，??， ， 八個子網(wǎng)。 （ 4） 為其他工作站定義 動態(tài) 地址轉(zhuǎn)換 將一個網(wǎng)絡中的所有需要轉(zhuǎn)換的私有地址用一個 ACL 來表示，再從 ISP 注冊到的共有地址一個地址池來表示，最后再將 ACL 與地址池做動態(tài)的轉(zhuǎn)換。 Cisco 為地址 池名。路由器上的訪問控制列表（ Access Control List， ACL）是保護內(nèi)網(wǎng)安全的有效手段。由于路由器介于企業(yè)內(nèi)網(wǎng)和外網(wǎng)之間，是外網(wǎng)與內(nèi)網(wǎng)進行通信時的第一道屏障，所以即使在網(wǎng)絡系統(tǒng)安裝了防火墻產(chǎn)品后，仍然有必要對路由器的訪問控制列表進