【正文】 AS4AS5AS6S1——核心層匯聚層交換機(jī)S2——S3——邊緣架構(gòu)路由器的接口IP規(guī)劃如下：表43 設(shè)備接口IP規(guī)劃名稱接口IP地址子網(wǎng)掩碼說(shuō)明BRFastEthernet0/0分校區(qū)路由器FastEthernet0/1Serial0/3/0R1FastEthernet5/0信息管理中心路由器FastEthernet6/0FastEthernet7/0FastEthernet9/0R2FastEthernet5/0FastEthernet6/0FastEthernet7/0FastEthernet9/0WAN1FastEthernet3/0FastEthernet4/0FastEthernet5/0FastEthernet6/0FastEthernet7/0FastEthernet8/0WAN2FastEthernet2/0FastEthernet3/0FastEthernet5/0FastEthernet6/0FastEthernet7/0FastEthernet8/0E1FastEthernet0/0總機(jī)房路由器FastEthernet0/1Serial0/3/0公網(wǎng)口INTERS1FastEthernetDNSAAAINTERS2FastEthernetDNSDHCP本科畢業(yè)設(shè)計(jì)（論文） 實(shí)例核心配置第5章 實(shí)例核心配置 基本配置此僅以樓棟接入層交換機(jī)AS1為例，詳細(xì)介紹設(shè)備的一些基本配置，以后其它相關(guān)設(shè)備的相關(guān)基本配置以后將不再累述。為樓棟接入層交換機(jī)AS0命名命令如下：Switch(config)hostname AS1（2）設(shè)置交換機(jī)的加密使能口令 當(dāng)用戶想從用戶模式進(jìn)入特權(quán)模式時(shí)，需要輸入此口令。將交換機(jī)的加密使能口令配置為cisco2950的命令如下： AS1 (config)enable seceret cisco（3）設(shè)置控制臺(tái)線路口令 Cisco IOS設(shè)備的控制臺(tái)端口具有特別的權(quán)限，做為最低限度的安全措施，必須為所有的網(wǎng)絡(luò)設(shè)備的控制臺(tái)端口配置強(qiáng)口令，這可以降低未經(jīng)授權(quán)的人員將電纜插入設(shè)備來(lái)訪問(wèn)設(shè)備的風(fēng)險(xiǎn)，設(shè)置登陸登錄控制臺(tái)線路時(shí)的口令為cisco命令如下: AS1 (config)line console 0 AS1 (configline)password ciscoAS1 (configline)login（4）設(shè)置登錄標(biāo)語(yǔ) 盡管要求用戶輸入口令是防止未經(jīng)授權(quán)的人員進(jìn)入網(wǎng)絡(luò)的有效方法，但有時(shí)必須要向試圖訪問(wèn)設(shè)備的人員聲明僅授權(quán)人員才可以訪問(wèn)設(shè)備，出于此目的，可以設(shè)置登錄標(biāo)語(yǔ)，它是用戶登錄到交換機(jī)時(shí)可以看到的消息，警示未經(jīng)授權(quán)的人員不要登錄交換機(jī)，配置登錄標(biāo)語(yǔ)的命令如下：AS1 (config)banner motd Authorized Personnel Only!!!（5）設(shè)置虛擬終端線路（VTY）口令 VTY線路使用戶能通過(guò)telnet或SSH訪問(wèn)遠(yuǎn)程網(wǎng)絡(luò)設(shè)備，對(duì)于一個(gè)交換網(wǎng)絡(luò)來(lái)說(shuō)，它為管理人員管理遠(yuǎn)程網(wǎng)絡(luò)提供了很多方便，但出于安全考慮，用戶在通過(guò)Telnet或SSH訪問(wèn)設(shè)備時(shí)必須進(jìn)行身份驗(yàn)證，設(shè)置登陸虛擬終端線路時(shí)的口令為class命令如下：AS1 (config)line vty 0 15AS1 (configline)password ciscoAS1 (configline)login（6）激活I(lǐng)OS消息命令的同步機(jī)制Cisco IOS常常會(huì)發(fā)送一些未經(jīng)請(qǐng)求的消息，有時(shí)候，當(dāng)管理員正在鍵入命令時(shí)，這些消息會(huì)突然出現(xiàn)，盡管此類IOS消息不會(huì)對(duì)命令造成影響，但會(huì)使管理員找不到之前的鍵入位置，為了不讓這些未經(jīng)請(qǐng)求的輸出對(duì)管理員造成影響，可以使用logging synchronous設(shè)置交換機(jī)（路由器）在下一行CLI提示符后復(fù)制用戶的輸入，激活I(lǐng)OS消息命令的同步機(jī)制的命令如下：AS1 (config)line console 0AS1 (configline)logging synchronous（7）配置加密口令 在Cisco IOS CLI中配置的口令時(shí)，默認(rèn)情況下，除了使能口令外，其它所有的口令都以明文方式存在的配置文件中，為安全起見，應(yīng)該將口令加密，不應(yīng)該以明文格式存儲(chǔ)。由于本企業(yè)網(wǎng)全部采用Cisco設(shè)備，并且已了解到對(duì)端設(shè)備的類型，故采用手動(dòng)設(shè)置端口雙工模式，其配置命令如下： AS1 (config)interface range fastethernet0/124 AS1 (configifrange)duplex full端口速度配置：可以設(shè)定某端口根據(jù)對(duì)端設(shè)備速度自動(dòng)調(diào)整本端口速度，也可以強(qiáng)制將端口速度設(shè)置為10Mbps或100Mbps。默認(rèn)情況下，VLAN 1會(huì)充當(dāng)管理VLAN，故給交換機(jī)設(shè)置管理IP地址時(shí)在在VLAN1中進(jìn)行，由上一章節(jié)VLAN及IP地址規(guī)劃中可知，樓棟接入層交換機(jī)AS1分配的管理VLAN的IP地址為：，為樓棟接入層交換機(jī)設(shè)置管理IP及激活本征VLAN的配置命令如下：AS1(config)interface vlan 1AS1(configif)ip address AS1(configif)no shutdown此外，其可以實(shí)現(xiàn)網(wǎng)絡(luò)管理員可以跨網(wǎng)段管理交換機(jī)AS0，配置AS0默認(rèn)網(wǎng)關(guān)的命令如下：AS0(config)ip defaultgateway （2）樓棟接入層交換機(jī)S1的VTP配置VLAN中繼協(xié)議（VTP）允許網(wǎng)絡(luò)管理員對(duì)作為VTP服務(wù)器的交換機(jī)進(jìn)行更改，VTP服務(wù)器會(huì)像整個(gè)交換網(wǎng)絡(luò)中啟用VTP的交換機(jī)分發(fā)和同步VLAN信息，從而最大限度減少由錯(cuò)誤配置和配置不一致而導(dǎo)致的問(wèn)題。設(shè)置園區(qū)接入層交換機(jī)AS1所屬域名為cisco1的成員的命令如下：AS1(config)vtp domain cisco1最后，出于安全考慮，需要配置VTP口令，需要將VTP域內(nèi)需要交換VTP信息的所有交換機(jī)上配置相同的口令，沒有口令或口令錯(cuò)誤的交換機(jī)將拒絕VTP通告，配置vtp口令為cisco1的命令如下：AS1(config)vtp password cisco1（3）樓棟接入層交換機(jī)AS1的訪問(wèn)端口配置接入層交換機(jī)AS1為VLAN 10提供接入服務(wù)，設(shè)置接換機(jī)AS1的端口3，5至端口24在接入模式，同時(shí)將其設(shè)置為VLAN 10的成員，其配置命令如下： AS1(config)interface range fastethernet0/50/24, f0/3AS1(configifrange)switchport mode accessAS1(configifrange)switchport access vlan 10AS1(configifrange)exit由于AS1的3, 524號(hào)端口為接入模式，因此可以運(yùn)用Cisco PortFast技術(shù)，PortFast是Cisco獨(dú)有的技術(shù)?？梢栽谶B接到終端（如工作站、服務(wù)器、打印機(jī)或PC）的接入端口上使用PortFast，以便這些設(shè)備立即接入網(wǎng)絡(luò)，而不必等待生成樹收斂。配置AS1的端口3，5至端口24為快速端口的命令如下：AS1(config)interface range fastethernet0/524,f0/3AS1(configifrange)spanningtree portfast（4）樓棟接入層交換機(jī)AS1的主干道端口交換機(jī)AS1通過(guò)端口Fastethernet0/4, Fastethernet0/2接入到核心匯聚層交換機(jī)S1的Fastethernet0/4, Fastethernet0/2，VTP信息僅在中繼端口上進(jìn)行交換，配置AS1的Fastethernet0/4, Fastethernet0/2端口為主干道端口命令如下：AS1(config)interface range fastethernet0/2, fastethernet0/4AS1(configifrange)switchport trunk encapsulation dot1qAS1(configifrange)switchport mode trunk（5） 校園網(wǎng)接入層交換機(jī)S1鏈路聚合采用鏈路聚合技術(shù)有很多優(yōu)點(diǎn)：可以增加網(wǎng)絡(luò)帶寬；增加冗余，提供網(wǎng)絡(luò)的性能；可以負(fù)載均衡。 核心匯聚層交換機(jī)配置核心匯聚層交換機(jī)S1的一些基本配置與AS1相似，不在累述，現(xiàn)給出其其它核心相關(guān)配置（1）S1的SSH配置如下：首先，啟動(dòng)AAA并指明TACACS+服務(wù)器，命令如下：S1(config)aaa newmodelS1(config)tacacsserver host key ciscoAAA認(rèn)證命令如下：其中g(shù)roup關(guān)鍵字后面的參數(shù)為驗(yàn)證順序，當(dāng)一個(gè)環(huán)節(jié)無(wú)法驗(yàn)證（不是驗(yàn)證失?。?，會(huì)執(zhí)行下一個(gè)環(huán)節(jié)的驗(yàn)證。S1 (config)aaa authentication login default group tacacs+ noneS1 (config)aaa authentication login ssh_lines group tacacs+其次，建立本地用戶數(shù)據(jù)庫(kù)，其建立在TACACS+服務(wù)器上，而且必須擁有域名，才能啟用SSH，創(chuàng)建域名如下：S1 (config)ip domainname 再次，生成RSA非對(duì)稱密鑰，因?yàn)樾枰獎(jiǎng)?chuàng)建一個(gè)供路由器加密其SSH管理數(shù)據(jù)流，為此其配置命令如下：S1 (config)crypto key generate rsa最后配置VTY和本地身份驗(yàn)證方式：S1 (config)line vty 0 15S1 (configline)no transport inputS1 (configline)transport input sshS1 (configline)password ciscoS1 (configline)login authentication ssh_linesS1 (configline)exit（2）交換機(jī)S1的管理IP和默認(rèn)網(wǎng)關(guān) 其配置與AS0的配置類似，僅給出命令S1(config)int vlan 1S1(configif)ip address S1(configif)no shutdownS1(configif)exit （3）交換機(jī)S1的VTP配置 與AS1配置不同的是，樓棟網(wǎng)中將交換機(jī)S1配置成VTP服務(wù)器，用于創(chuàng)建、修改和刪除整個(gè)VTP域中的VLAN。將交換機(jī)S1配置成VTP服務(wù)器模式的命令如下：S1(config)vtp ver 2S1(config)vtp mode server配置VTP修剪：VTP修剪的作用是防止不需要的廣播信息從一個(gè)VLAN泛洪到VTP域中所有的中繼鏈路，VTP修剪允許交換機(jī)協(xié)商將哪些VLAN分配到中繼的另一個(gè)端口，因此剪除為分配到遠(yuǎn)程交換機(jī)端口的VLAN，VTP修剪默認(rèn)為禁用，啟用VTP修剪功能的命令如下：S1(config)vtp pruning（4）交換機(jī)S1上創(chuàng)建VLAN在本樓棟網(wǎng)絡(luò)中，除了默認(rèn)的VLAN外，還額外定義了2個(gè)VLAN，需要在VTP服務(wù)器創(chuàng)建上VLAN，定義2個(gè)VLAN及VLAN命名的命令如下：S1vlan databaseS1(vlan)vlan 10S1(vlan)vlan 20 （5）園區(qū)分布層交換機(jī)S1端口：核心匯聚層交換機(jī)S1的端口FastEthernet0/2, FastEthernet0/4分別連接到接入層交換機(jī)AS1的端口FastEthernet0/2, FastEthernet0/4,S1的端口FastEthernet0/1, FastEthernet0/6連接到接入層交換機(jī)AS2的端口FastEthernet0/1, FastEthernet0/6，都進(jìn)行了鏈路聚合，其配置命令如下：S1(config)interface portchannel 1S1(configif)no shutdownS1(configif)exitS1(config) int range fastEthernet 0/1, fastEthernet 0/2S1(configifrange)channelgroup 1 mode onS1(configifrange)no shutdownS1(configifrange)exitS1(config)interface portchannel 2S1(configif)no shutdownS1(configif)exitS1(config)int range FastEthernet0/1, FastEthernet0/6S1(configifrange)channelgroup 2 mode onS1(configifrange)no shutdown（6）核心匯聚層交換機(jī)是S1的第三層功能支持 核心匯聚層交換機(jī)S1需要提供第三層的路由功能。 接入校園網(wǎng)路由器配置 接入小區(qū)企業(yè)路由器