【正文】 置匯接設(shè)備直接解決接入網(wǎng)絡(luò)的接入問題，匯接設(shè)備可選用Cisco 12012或6509，采用POS、DPT或千兆以太技術(shù)，傳輸速率可達(dá)1～，具體設(shè)計(jì)可以非常靈活。Cisco IOS集成了路由技術(shù)，局域網(wǎng)交換技術(shù)，ATM交換技術(shù)，各種移動(dòng)遠(yuǎn)程訪問接入技術(shù)，廣域網(wǎng)互連技術(shù)等超過15,000個(gè)網(wǎng)絡(luò)互連功能，已經(jīng)成為網(wǎng)絡(luò)互連的標(biāo)準(zhǔn)。豐富的網(wǎng)絡(luò)安全機(jī)制：網(wǎng)絡(luò)設(shè)計(jì)是按照標(biāo)準(zhǔn)ISP(國際互聯(lián)網(wǎng)絡(luò)服務(wù)商)方式設(shè)計(jì)的IP交換網(wǎng)絡(luò)平臺(tái)。方案中采用Cisco IOS多種安全策略： 1) 網(wǎng)絡(luò)路由信息交換安全策略：包含路由器的認(rèn)證，路由信息過濾，多種動(dòng)態(tài)路由協(xié)議信息交換控制等。 key)。 4) 網(wǎng)絡(luò)攻擊防范：Cisco IOS可通過對(duì)網(wǎng)絡(luò)訪問連接的監(jiān)控和分析，發(fā)現(xiàn)可能出現(xiàn)的網(wǎng)絡(luò)攻擊，如Sync Attack 等，并采取相應(yīng)的的控制手段保護(hù)網(wǎng)絡(luò)資源。 設(shè)備安全：網(wǎng)絡(luò)的各種安全策略的實(shí)現(xiàn)均基于網(wǎng)絡(luò)設(shè)備的安全設(shè)置，這使得網(wǎng)絡(luò)設(shè)備本身的安全控制顯得尤其重要。如：普通操作員只能監(jiān)視設(shè)備運(yùn)行，不可進(jìn)行其他操作；高級(jí)的管理員可做故障診斷，不可修改設(shè)備配置文件；系統(tǒng)管理員可具有所有功能權(quán)限等。本網(wǎng)絡(luò)中的網(wǎng)絡(luò)設(shè)備可提供多種保護(hù)手段，如：特別的網(wǎng)管訪問密碼；由設(shè)備指定特別的網(wǎng)絡(luò)管理工作站系統(tǒng)等。這可以使網(wǎng)絡(luò)管理人員大為精簡，節(jié)約運(yùn)行開銷。網(wǎng)絡(luò)系統(tǒng)的管理工作重點(diǎn)變?yōu)閷?duì)于骨干網(wǎng)絡(luò)的運(yùn)行實(shí)施系統(tǒng)監(jiān)控。 大型企業(yè)網(wǎng)絡(luò)分析為適應(yīng)企業(yè)信息化的發(fā)展，滿足日益增長的通信需求和網(wǎng)絡(luò)的穩(wěn)定運(yùn)行，今天的企業(yè)網(wǎng)絡(luò)建設(shè)比傳統(tǒng)企業(yè)網(wǎng)絡(luò)建設(shè)有更高的要求，本文將通過對(duì)如下幾個(gè)方面的需求分析來規(guī)劃出一套最適用于目標(biāo)網(wǎng)絡(luò)的拓?fù)浣Y(jié)構(gòu)。隨著計(jì)算機(jī)技術(shù)的高速發(fā)展，基于網(wǎng)絡(luò)的各種應(yīng)用日益增多，今天的企業(yè)網(wǎng)絡(luò)已經(jīng)發(fā)展成為一個(gè)多業(yè)務(wù)承載平臺(tái)。因此，數(shù)據(jù)流量將大大增加，尤其是對(duì)核心網(wǎng)絡(luò)的數(shù)據(jù)交換能力提出了前所未有的要求。從2004年全球交換機(jī)市場分析可以看到，增長最迅速的就是10 Gbps級(jí)別機(jī)箱式交換機(jī)，可見，萬兆位的大規(guī)模應(yīng)用已經(jīng)真正開始。 穩(wěn)定可靠需求現(xiàn)代大型企業(yè)的網(wǎng)絡(luò)應(yīng)具有更全面的可靠性設(shè)計(jì)，以實(shí)現(xiàn)網(wǎng)絡(luò)通信的實(shí)時(shí)暢通，保障企業(yè)生產(chǎn)運(yùn)營的正常進(jìn)行?，F(xiàn)代大型企業(yè)網(wǎng)絡(luò)在可靠性設(shè)計(jì)方面主要應(yīng)從以下3個(gè)方面考慮。業(yè)務(wù)的可靠性設(shè)計(jì)：網(wǎng)絡(luò)設(shè)備在故障倒換過程中，是否對(duì)業(yè)務(wù)的正常運(yùn)行有影響。 服務(wù)質(zhì)量需求現(xiàn)代大型企業(yè)網(wǎng)絡(luò)需要提供完善的端到端QoS保障，以滿足企業(yè)網(wǎng)多業(yè)務(wù)承載的需求。同時(shí)能夠調(diào)度網(wǎng)絡(luò)中的資源，保證重要和緊急業(yè)務(wù)的帶寬、時(shí)延、優(yōu)先級(jí)和無阻塞的傳送，實(shí)現(xiàn)對(duì)業(yè)務(wù)的合理調(diào)度才是一個(gè)大型企業(yè)網(wǎng)絡(luò)提供高品質(zhì)服務(wù)的保障[7]。傳統(tǒng)企業(yè)網(wǎng)絡(luò)的安全措施主要是通過部署防火墻、IDS、殺毒軟件，以及配合交換機(jī)或路由器的ACL來實(shí)現(xiàn)對(duì)病毒和黑客攻擊的防御，但實(shí)踐證明這些被動(dòng)的防御措施并不能有效地解決企業(yè)網(wǎng)絡(luò)的安全問題。 應(yīng)用服務(wù)需求現(xiàn)代大型企業(yè)網(wǎng)絡(luò)應(yīng)具備更智能的網(wǎng)絡(luò)管理解決方案，以適應(yīng)網(wǎng)絡(luò)規(guī)模日益擴(kuò)大，維護(hù)工作更加復(fù)雜的需要。比如，網(wǎng)絡(luò)調(diào)試期間最消耗人力與物力的線纜故障定位工作，網(wǎng)絡(luò)運(yùn)行期間對(duì)不同用戶靈活的服務(wù)策略部署、訪問權(quán)限控制、以及網(wǎng)絡(luò)日志審計(jì)和病毒控制能力等方面的管理工作，由于受網(wǎng)絡(luò)設(shè)備功能本身的限制，都還屬于費(fèi)時(shí)、費(fèi)力的任務(wù)。 本課題系統(tǒng)需求分析 本課題設(shè)計(jì)一個(gè)大型的企業(yè)網(wǎng)絡(luò)，網(wǎng)絡(luò)聯(lián)接的建筑物有三個(gè)：兩個(gè)辦公樓和一個(gè)行政樓。所以我們已建筑物的中心也就是行政樓的三層為網(wǎng)絡(luò)的中心，用光纖連接辦公樓A、B，構(gòu)成電子商務(wù)公司網(wǎng)絡(luò)光纖主干。路由器R2與網(wǎng)通連接的接口F0/，與HX1連接的接口F1/，與HX2連接的接口F1/,與R2連接的接口F1/。路由器R4上與電信連接的接口F1/，與網(wǎng)通連接的接口F1/，與SW11連接的接口F1/。交換機(jī)HX2與R1相連的接口F1/,與R2相連的接口F1/,與R3相連的接口F1/。首先，為Catalyst 6509核心交換機(jī)配備Cisco Catalyst 6500 Supervisor Engine 720模塊。由于使用同一套接口、操作系統(tǒng)和管理工具，Catalyst 6500系列監(jiān)控引擎(Supervisor Engines)能提供操作一致性——可使用相同的備件，所有模塊都具有可以預(yù)測的性能和多種功能。加6500系列的防火墻服務(wù)模塊（FWSM）可以為大型企業(yè)和服務(wù)供應(yīng)商提供無以倫比的安全性、可靠性和性能。6500系列提供了廣泛的智能交換解決方案，使公司內(nèi)部網(wǎng)和Internet能夠支持多媒體、關(guān)鍵任務(wù)數(shù)據(jù)和語音應(yīng)用。圖9 Cisco Catalyst 4500系列交換機(jī)Cisco Catalyst 4500系列能夠?yàn)闊o阻礙的第2/3/4層交換提供集成式彈性，因而能進(jìn)一步加強(qiáng)對(duì)融合網(wǎng)絡(luò)的控制（見圖9）。作為新一代Cisco Catalyst 4000系列平臺(tái)，Cisco Catalyst 4500系列包括三種新型Cisco Catalyst 機(jī)箱：Cisco Catalyst 4507R（七個(gè)插槽）、Cisco Catalyst 4506（六個(gè)插槽）和Cisco Catalyst 4503（三個(gè)插槽）。硬件和軟件中的集成式冗余性能夠縮短停機(jī)時(shí)間，從而提高生產(chǎn)率、利潤率和客戶成功率。由于Cisco Catalyst 4500系列提供與Cisco Catalyst 4000系列線卡和超級(jí)引擎的兼容性，因而能夠在融合網(wǎng)絡(luò)中延長Cisco Catalyst 4000系列的部署窗口。圖10 Cisco Catalyst 3550系列智能以太網(wǎng)交換機(jī)Cisco Catalyst 3550系列智能以太網(wǎng)交換機(jī)是一個(gè)可堆疊多層交換機(jī)系列，可通過高可用性、服務(wù)質(zhì)量（QoS）和安全性來改進(jìn)網(wǎng)絡(luò)運(yùn)行（見圖10）。圖11 Cisco Catalyst 2950系列智能以太網(wǎng)交換機(jī)Cisco Catalyst 2950系列智能以太網(wǎng)交換機(jī)是一個(gè)固定配置、可堆疊的獨(dú)立設(shè)備系列，提供了線速快速以太網(wǎng)和千兆位以太網(wǎng)連接（見圖11）。作為思科最為廉價(jià)的交換產(chǎn)品系列，Cisco Catalyst 2950系列在網(wǎng)絡(luò)或城域接入邊緣實(shí)現(xiàn)了智能服務(wù)。利用命令no ip domain lookup，可以禁用DNS服務(wù)器，可以減少輸入錯(cuò)誤命令的等待時(shí)間SW1(config)line console 0進(jìn)入CONCOLE 0口線程下，通過CONSOLE線串口直接控制交換機(jī)或路由器接口SW1(configline)no exectimeout 關(guān)閉超時(shí)時(shí)間（真實(shí)工程中不能用此命令）SW1(configline)logging synchronous在線路上同步輸出 用戶在為交換機(jī)配置命令時(shí)，配置命令會(huì)被交換機(jī)產(chǎn)生的內(nèi)部信息隔開或打亂以 使用命令logging synchronous設(shè)置交換機(jī)在下一行CLI提示符后復(fù)制用戶的輸入。 使用VTP從提高效率的角度出發(fā)，在企業(yè)網(wǎng)實(shí)現(xiàn)實(shí)例中使用了VTP技術(shù)。這里接入層交換機(jī)SW1將通過VTP獲得在分布層交換機(jī)FB1中定義的所有VLAN的信息。有時(shí)，交換網(wǎng)絡(luò)中某臺(tái)交換機(jī)的所有端口都屬于同一VLAN的成員，沒有必要接收其他VLAN的用戶數(shù)據(jù)。當(dāng)激活了VTP剪裁功能以后，交換機(jī)將自動(dòng)剪裁本交換機(jī)沒有定義的VLAN數(shù)據(jù)。同一VTP域下的所有其他交換機(jī)也將自動(dòng)激活VTP剪裁功能?？蛻裟Ｊ绞菦]有創(chuàng)建、修改、刪除VLAN得權(quán)利的，它只能接收和轉(zhuǎn)發(fā)信息。Setting device to VTP CLIENT mode.FB2(vlan)vtp v2V2 mode enabled.FB2(vlan)vtp password 123456Setting device VLAN database password to 123456.FB2(vlan)exitIn CLIENT state, no apply attempted.Exiting.... 劃分VLAN現(xiàn)在我們根據(jù)需求在服務(wù)端FB1上配置VLAN信息，創(chuàng)建并命名（見表1）FB11vlan daFB1(vlan)vlan 10 name GLB創(chuàng)建一個(gè)VLAN 10 命名為GLBVLAN 10 modified: Name: GLB FB1(vlan)vlan 20 name SCBVLAN 20 added: Name: SCBFB1(vlan)vlan 30 name CWBVLAN 30 added: Name: CWBFB1(vlan)vlan 40 name XSBVLAN 40 added: Name: XSBFB1(vlan)vlan 50 name RLZYVLAN 50 added: Name: RLZYFB1(vlan)vlan 60 name WLB VLAN 60 added: Name: WLBFB1(vlan)exitAPPLY pleted.Exiting.... 交換鏈路封裝所有交換機(jī)之間相連的線都要起封裝協(xié)議，我們以FB1和SW1之間的線為例（見圖4）圖4 鏈路封裝FB1(config)interface fastEthernet 0/4進(jìn)入要封裝的接口FB1(configif)switchport trunk encapsulation dot1q 進(jìn)行封裝FB1(configif)switchport mode trunk指定封裝模式FB1(configif)no shutdown開啟接口SW1(config)interface fastEthernet 0/0SW1(configif)switchport trunk encapsulation dot1q SW1(configif)switchport mode trunkSW1(configif)no shutdown封裝交換機(jī)連接終端的接口，并把該接口劃入VLAN，以SW1為例SW1(config)int f0/2SW1(configif)switchport mode access手工指定封裝模式為ACCESS模式 SW1(configif)switchport access vlan 10將F0/2口劃入VLAN 10中SW1(configif)no shutdown PVST技術(shù)由于網(wǎng)絡(luò)拓?fù)浔容^大，兩兩相連加冗余會(huì)出現(xiàn)環(huán)路，所以需要配置二層防環(huán)的PVST首先要選舉根橋，我們這里手工指定HX1為VLAN10 20 30的主根，VLAN 40 50 60的備份根；HX2為VLAN40 50 60的主根，VLAN10 20 30的備份根。Portfast 在接入層面向終端的接口上做，可減少30S的時(shí)間SW1(config)int f0/2SW1(configif)spanningtree portfast bpduguard啟用portfastUplinkfast在接入層交換機(jī)上做，可減少30S時(shí)間SW1(config)spanningtree uplinkfast啟用uplinkfastBackbonefast 在所有交換機(jī)上做，可減少20S時(shí)間SW1(config)spanningtree backbonefast啟用backbonefast DHCP現(xiàn)在需要為路由器接口和所有的PC機(jī)接口配置IP地址。HX1(config)ip dhcp excludedaddress HX1(config)ip dhcp excludedaddress HX1(config)ip dhcp excludedaddress HX1(config)ip dhcp excludedaddress 先配置除去PC機(jī)不能使用的IP地址HX1(config)ip dhcp excludedaddress HX1(config)ip dhcp excludedaddress HX1(config)ip dhcp excludedaddress HX1(config)ip dhcp excludedaddress HX1(config)ip dhcp excludedaddress HX1(config)ip dhcp excludedaddress HX1(config)ip dhcp excludedaddress HX1(config)ip dhcp excludedaddress HX1(config)ip dhcp excludedaddress HX1(config)ip dhcp excludedaddress HX1(config)ip dhcp excludedaddress HX1(config)ip dhcp excludedaddress HX1(config)ip dhcp excludedaddress HX1(config)ip dhcp excludedaddress HX1(config)ip dhcp excludedaddress HX1(config)ip dhcp excludedaddress HX1(config)ip dhcp excludedaddress HX1(config)ip dhcp excludedaddress HX1(config)ip dhcp excludedaddress HX1(config)ip dhcp excludedaddress HX1(config)ip dhcp pool ccie1創(chuàng)建地址池CCIE1，一個(gè)VLAN一個(gè)地址池 network 宣告網(wǎng)段 defaultrouter