企业局域网组建研究

系    部 计算机与电子电气工程系    

专    业 计算机科学与技术          

年    级 2010                      

学生姓名 唐云山                    

学    号 201016021305              

指导教师 张霖       职称  工程师 　

Research on the formation of enterprise LAN

Department      The Department of Computer &EEE   

Subject          Computer Science And Technology     

Grade           2010                               

Name           TangYunShan                       

Student ID       201016021305                       

Teacher         zhanglin                            

津桥学院毕业（设计）论文诚信承诺书

为确保毕业(设计)论文写作质量和答辩工作的顺利开展，达到按期毕业的目标。本人郑重承诺：

1.本人所呈交的毕业设计（论文），是在指导教师的指导下，严格按照学院、系部有关规定完成的。

2.本人在毕业设计（论文）中引用他人的观点和参考资料均加以注释和说明。

3.本人承诺在毕业设计（论文）选题和研究内容过程中没有抄袭他人研究成果和伪造相关数据等行为。

4.在毕业设计（论文）（设计）中对侵犯任何方面知识产权的行为，由本人承担相应的法律责任。

 　　　　　　　　　　　毕业设计（论文）作者签名： 

　　　　　　　　　　　　　　　　　年　　月　　日

企业局域网组建研究

摘要

随着网络技术的发展和人们对各种数据信息的需求和交流的不断增长，使得当今的计算机网络，担当一个非常重要的角色。经过了几年的迅猛发展，计算机网络已经在很多方面改变了人们传统的工作和生活方式……Web浏览、E－mail、上网聊天、视频点播、文件传输、远程诊断、电子商务、网络大学及虚拟学校等都与计算机网络有着千丝万缕的联系。这些基于网络的各种应用，正在以惊人的速度扩展，几乎渗透到了社会生活的各个方面。因此，在网络化迅速发展的大环境下，建立企业内部局域网是企业当务之急的任务。

本文分析了国内外企业网络组建有关的路由器、交换机等网络设备，分析了其优缺点，分析了 VTP、STP、HSRP 等关键技术。基于本文所提出的企业局域网组建策略，能科学的对当今企业内部局域网组建起指导作用，提高了企业办公网络的可靠性、可扩展性、高效性，能满足当今企业对内部局域网的要求，优化了企业办公环境和网络设备利用率。

关键词 局域网，组建，网络技术，网络设备

Research on the formation of enterprise LAN

Abstract

With the increasing development of the network technology and the demand of all kinds of data information and communication, the computer network, play a very important role. After several years of rapid development, the computer network has changed the traditional way of life and work in many aspects...... Web browser, E mail, online chat, video on　demand, file transfer, remote diagnosis, electronic commerce, network university and virtual schools with computer network has have all kinds of connections with contact. These kinds of applications based on network, is increasing at an alarming pace, almost penetrated into all aspects of social life. Therefore, in the rapid development of the network environment, the establishment of enterprise internal LAN is a pressing matter of the moment of the task。This paper analyzes the domestic and foreign enterprise network routers, switches and other network related equipment, analyzes their advantages and disadvantages, analysis of VTP, STP, HSRP grade network key technology. The formation method proposed in this paper based on the enterprise LAN, can the science of today's enterprises LAN set up guidance, improve reliability, business office network scalability, high efficiency, can satisfy the enterprise within the local area network, optimize the enterprise office environment and network utilization rate of equipment.

KeyWords: LAN, the formation method, network technology, network equipment

前言

随着计算机网络的飞速发展，各种网络产品层出不穷，产品更新换代频率日以加快，企业对网络的依赖已经从原来的对网络设备型号的选择，过渡到对企业局域网的组建策略有所需求，能为企业提供高效、稳定、畅通的网络环境，满足企业日常办公的所有要求。

在全球电子信息化、网络化迅速发展的大环境下，无论是从大趋势上看，还是从企业自身商业利益角度考虑，建立企业内部局域网是企业当务之急的任务。那么如何合理的、安全的、高效的、可扩展的进行企业局域网的组建，是值得我们学习的问题。根据当前企业局域网组建的现状，以及存在的一些问题，我们需要对企业局域网组建的关键技术和企业局域网组建的发展趋势进行了解，科学、有效、合理的为企业量身打造出适合企业规模、满足企业日常办公需要的高可靠性企业局域网。 

第一章 概论

1.1 局域网的发展现状

随着算机技术和网络技术的发展，中小企业组建办公网络成为现代企业提高办公效率的主要手段之一，但是没有科学合理规划的局域网也存在着不少的问题，比如说：利用空密码和简单密码的问题；随便开共享文件夹引起病毒传播和文件不安全问题；局域网内木马病毒利用系统漏洞传播的问题：arp攻击类病毒木马程序的问题； p2p软件大量使用造成网络拥堵的问题。所以说普通局域网没有什么安全可言，如果大家处于同一子网，每台计算机发出和接收到的数据包其他计算机都可以监听到，这些包一般都是明文发送的，通过sniffer等抓包工具抓取以后就可以知道数据内容，所以在企业网里面我们需要划分子网，隔离vlan，使用等安全手段。因此通过科学规划局域网可以节省企业成本，降低管理费用，增强企业信息安全。

另外，目前我国中小企业已达4200万户(包括个体工商户),约占全国企业总数的99.8%。我国中小企业创造的最终产品和服务的价值占国内增加值的58%,社会零售额占59%,上缴税收占50.2%,提供就业机会占75%,出口额占全国出口的68%。截至2010年12月，有94.8%的中小企业配备了电脑，无电脑的中小企业仅占5.2%。有92.7%的中国中小企业的接入了互联网，已经达到了一个相当高的水平。

企业局域网建设近些年来由了长足的发展，但和欧美发达国家的企业局域网相比还有着明显的不足，主要体现在：

(1)低水平重复建设且成本高昂：各部门拥有相对的信息系统，资源分散于各部门之中，容易形成信息孤岛。

(2)安全漏洞和系统风险大：各部门拥有相对的信息系统，不但系统复杂度高，而且核心数据全部分布于本地，对系统的安全性提出了较高的要求。

(3)管理信息和反馈信息不能迅速传递：随着企业的发展，数据信息流不断增大，对各部门管理提出了快速响应的要求。今后如何应对瞬息万变、竞争激烈的国内外市场环境以及如何利用网络技术迅速提升企业核心竞争力就成为企业成败的关键。

1.2 局域网的发展趋势

未来的局域网将集成包括一整套服务器程序、客户程序、防火墙、开发工具、升级工具等，给企业向局域网转移提供一个全面解决方案。局域网将进一步加强和E-mail、群件的结合，将 web 技术带入 E-mail 和群件，从信息发布为主的应用向信息交流与协作转变。局域网将提供一个日益牢固的安全防卫、保障体系，局域网也是一个开放的信息平台，可以随时集成新的应用。

随着无线局域网产品迅速发展并走向成熟，许多企业为了提高员工的工作效率，开始部署无线网络。中学和大学在内的许多学校也开始实施无线网络，随着家庭电脑的普及和住房装修的高档化，家庭无线网络也成为一个潜在的市场。因此无线网络将会成为许多公共场所的必备基础设施。

将来的局域网发展趋势必将是有线网络和无线网络共存，无线局域网作为一种灵活的数据通信系统，在建筑物和公共区域内是有线局域网的有效延伸和补充。

第2章 局域网关键技术介绍

2.1网络关键技术

在组建企业网时，所用的网络技术有 VLAN,NAT,STP,HSRP,802.11b，访问控制列表ACL。

2.1.1 VLAN 

VLAN（Virtual Local Area Network）的中文名为“虚拟局域网”。VLAN 是一种将局域网设备从逻辑上划分成一个个网段，从而实现虚拟工作组的新兴数据交换技术。这一新兴技术主要应用于交换机和路由器中，但主流应用还是在交换机之中。但又不是所有交换机都具有此功能，只有 VLAN 协议的第三层以上交换机才具有此功能。

通过 VLAN 技术，我们将公司不同部门分配到了不同的子网中，一方面保证了一个部门中的信息对另一个网络的隔离，另一方面也隔离了网络广播的扩散，保障了企业网的总体性能。

2.1.2 NAT 

网络地址转换(NAT,Network Address Translation)属接入广域网(WAN)技术，是一种将私有（保留）地址转化为合法 IP 地址的转换技术，它被广泛应用于各种类型 Internet 接入方式和各种类型的网络中。原因很简单，NAT 不仅完美地解决了 lP 地址不足的问题，而且还能够有效地避免来自网络外部的攻击，隐藏并保护网络内部的计算机。

2.1.3 STP 

STP的基本原理是，通过在交换机之间传递一种特殊的协议报文，网桥协议数据单元（Bridge Protocol Data Unit，简称BPDU），来确定网络的拓扑结构。BPDU有两种，配置BPDU（Configuration BPDU）和TCN BPDU。前者是用于计算无环的生成树的，后者则是用于在二层网络拓扑发生变化时产生用来缩短CAM表项的刷新时间的（由默认的300s缩短为15s）。

2.1.4 HSRP 

HSRP：热备份路由器协议（HSRP：Hot Standby Router Protocol），是cisco平台一种特有的技术，是cisco的私有协议。

实现HSRP的条件是系统中有多台路由器，它们组成一个“热备份组”，这个组形成一个虚拟路由器。在任一时刻，一个组内只有一个路由器是活动的，并由它来转发数据包，如果活动路由器发生了故障，将选择一个备份路由器来替代活动路由器，但是在本网络内的主机看来，虚拟路由器没有改变。所以主机仍然保持连接，没有受到故障的影响，这样就较好地解决了路由器切换的问题。

2.1.5 IEEE 802.11b

IEEE 802.11b无线局域网的带宽最高可达11Mbps，比两年前刚批准的IEEE 802.11标准快5倍，扩大了无线局域网的应用领域。另外，也可根据实际情况采用5.5Mbps、2 Mbps和1 Mbps带宽，实际的工作速度在5Mb/s左右，与普通的10Base-T规格有线局域网几乎是处于同一水平。作为公司内部的设施，可以基本满足使用要求。IEEE 802.11b使用的是开放的2.4GHz频段，不需要申请就可使用。既可作为对有线网络的补充，也可组网，从而使网络用户摆脱网线的束缚，实现真正意义上的移动应用。

2.1.6 静态路由

静态路由是指由用户或网络管理员手工配置的路由信息。当网络的拓扑结构或链路的状态发生变化时，网络管理员需要手工去修改路由表中相关的静态路由信息。

使用静态路由的另一个好处是网络安全保密性高。动态路由因为需要路由器之间频繁地交换各自的路由表，而对路由表的分析可以揭示网络的拓扑结构和网络地址等信息。因此，网络出于安全方面的考虑也可以采用静态路由。不占用网络带宽，因为静态路由不会产生更新流量。

2.1.7 访问控制列表

访问控制列表ACL是应用在路由器接口的指令列表。这些指令列表用来告诉路由器哪些数据包可以收、哪些数据包需要拒绝。至于数据包是被接收还是拒绝，可以由类似于源地址、目的地址、端口号等的特定指示条件来决定。

访问控制列表不但可以起到控制网络流量、流向的作用，而且在很大程度上起到保护网络设备、服务器的关键作用。作为进入企业内网的第一道关卡，路由器上的访问控制列表成为保护内网安全的有效手段。

2.2常见的局域网组建技术应用

2.2.1 单臂路由实现 VLAN 间通信

vlan能有效地分割广播域，控制广播包的数量，提高网络设备的使用率，那么要想实现不同 vlan 间通信就需要借助第三层的路由功能，必须借助于路由器或者是三层交换机来实现，我们把路由器和二层交换机相直连这样的模型称为单臂路由模型，因为进出路由器的数据都要通过这条中继链路来实现，单臂路由是中小型企业网络中实现 vlan 间通信的有效手段，但对于信息点数量过多的网络拓扑环境，由于所有进出路由器的数据包都要经过这条中继链路，就使得交换机和路由器相连的这条链路成为了整个网络的瓶颈。了整个网络的速度。

实例拓扑图

图 2-1 单臂路由实例拓扑图

2.2.2 三层交换机实现 VLAN 间路由

随着企业内部流量的逐步增大，使用路由器的独臂路由功能来实现不同vlan 间互访已不能满足企业用户的需求。这时我们可以使用转发速度较快的三层交换机来实现这些功能。通过在三层交换上配置相应的 vlan 地址（即网关地址），让不同 vlan 的用户通过三层交换的中继链路实现快速的互访。

实例拓扑图

图 2-2 三层交换实现 VLAN 间路由实例拓扑图

第3章 企业网络设计

3.1需求分析

在本方案中，将以一个拥有300台办公计算机的中小企业目前为例，对该企业进行调研后总结需求如下：

•该公司一共有5个部门：财务部、市场部、策划部、客服中心、采购部；

•企业拥有约300台办公计算机，要求都能访问Internet资源；通过internet只能访问企业内服务器，如FTP、Web，不能访问其它内息；

•部份位置要实现wi-fi无线上网，可以实现多人同时接入； 

•出差工作人员及在家办公人员能够远程访问公司内部的共享文件以及进行数据传送；

•网络要求是可扩展的，高速的，冗余的，安全的，并可满足为现在或将来进行语音、视频、图像等各种服务的应用；

•要保证企业内部服务器群可以集中管理以及企业内部信息安全。

3.2 网络设计原则：

•应用为本的原则：局域网的设计应遵循“应用为本”的原则，在应用的基础上设计局域网。

•适度先进原则：网络设计时，应考虑到能够满足未来几年内用户对网络带宽的需要。

•可扩展原则：可扩展是指网络规模和带宽的扩展能力，也是设计中必须加以考虑的。

•开放性原则：组网设计应采用当前最新国际标准的软硬件以及开放的技术、开放的结构、开放的系统组件和用户接口，使网络系统具备与多种协议计算机通信网络互联的特性，为未来的横向扩展提供必要的条件。

3.3网络设计思路：

根据企业提出需求，进行分析，最终将采取以下方案解决企业需求：

•主干部署1000M的光纤，以满足300台计算机访问Internet；

•申请有九个公网IP：196.2.125.1分配给了Internet接入路由器的串行接口，另外8个IP地址：202.126.222.2/29～202.126.222.7/29用作NAT；

•购买一台CISCO路由器CISCO 30以实现企业内部网连接到Internet；

•企业目前有300台计算机连入网络，考虑到在未来五年内可能会有所增加，预计增加幅度为100台，总共有400台。因此接入层交换机48口的Catalyst 2960需要数量为：400/48＝10台；

•将各个部门划分在不同的VLAN，包括服务组群和管理VLAN一共需要7个VLAN；

•将WEB服务器、邮件服务器、FTP服务器直接与核心交换机Cisco 4501连接，置于中心机房，方便管理，同时配置ACL控制各部门访问权限并控制访问；

•在需要无线上网的地方，采用54M的无线AP接入，设定最多30人的数量，以保证每人访问网速不至于过慢；

•在路由器上配置Easy VPN，用以实现出差工作人员及在家办公人员远程访问企业内部资源及数据交换。

•为实现网络的冗余设计，在核心层布署时，用两台三层交换机实现热备份路由器协议。

第4章　企业网系统整体方案实现

4.1网络拓扑图设计 

本企业网设计方案主要由以下四大部分构成：交换模块、广域网接入模块、远程访问模块、服务器群。整个网络系统的拓扑结构图，如图4-1所示。

图4-1中小型企业网络拓扑

为了简化交换网络设计、提高交换网络的可扩展性，在企业网内部数据交换的部署是分层进行的。 企业数据交换设备可以划分为三个层次：接入层、分布层、核心层。在本设计方案中，分布层和核心层是紧缩到一层中的，所以只需进行两层配置，将企业主干和建筑物分布子模块紧缩到一层中（即Core Switch所在层），能够在满足中小型企业的需求的前提下，节省交换机成本开销。

在设计中，利用千兆以太网通道化技术扩展网络带宽，可以满足内部网络的大负荷网络运行需求。它采用了星形拓扑结构，它相对其他拓扑结构来说，星形拓扑在将用户接入网络时具有更大的灵活性。当系统不断发展或系统发生重大变化时，这种优点将变得更加突出。

就这个设计而言，提供交换机和链路冗余，保证在其中一交换机出现故障的时候另一台交换机能保证整体网络结构正常工作。

4.2 vlan划分及ＩＰ编址

根据拓扑图和接入层交换机的位置分布，编排IP地址给各个部份的计算机如表4-1所。

表4-1　VLAN划分及IP方案

4.3主要设备选定

为了实现网络设备的统一，本设计方案中完全采用同一厂家的网络产品，即Cisco公司的网络设备构建。全网使用同一厂商设备的好处是可以实现各种不同网络设备功能的互相配合和补充。

在些设计方案中，路由器选定为Cisco 30一台。

在接入层，CISCO WS-C2960-48TC-S系列交换机通过生成树提供第二层冗余。Catalyst 2960系列交换机仅有的缺点就是最高只能32Gbit/s交换阵列，并且最多只能支持48个快速以太网端口。可以满足300台办公计算机和未来可能的增长需求。接入层当中，交换机与计算机选用超五类双绞线连接，理论上可达到100m/s的访问速度。

在核心层采用三层交换机Catalyst 4506系列，可以增加网络扩展性，提高性能及可用性，增强网络安全性。核心层交换机与路由器和核心层交换机之间选用光纤连接达到1000m/s的访问速度。

4.3.1路由器：Cisco 3600系列

3600系列提供了更多的槽和更高的处理能力。本系列包括三种型号： 3660、30和3620，如图4.2所示。它们分别有六个、四个和两个可插网络模块的槽。最高可支持OC-3速，且对大多数企业具有丰富的可扩展能力。它支持连接语音线路、电话和专用分组交换机（PBX）。

图4.2　Cisco 3600系列

4.3.2　Cisco Catalyst 4500系列

Catalyst 4500系列交换机，领先的引擎是Supervisor Engine V-10GE，它的最高性能可以达到102Mpps和136Gbit/s，如图4-3所示。

在性能方面，通过使用Supervisor III Engine或Supervisor II+ 只支持第二层，但是能够支持Gbit/s交换。

图4-3　Cisco Catalyst 4500系列交换机

（Catalyst 4503、Catalyst 4507R、Catalyst 4510R 、Catalyst 4506）

对于Catalyst 4500系列交换机，下列简要说明该平台的可扩展性。

支持3（Catalyst 4503）、6（Catalyst 4506）、7（Catalyst 4507R）和10（Catalyst 4510R）个插槽的模块化机箱；在10个插槽的机箱中，支持336个10/100/1000BASE-T 1000Base-FX吉比特以太网端口；集成IP电话线上供电；多个吉比特以太网干道；通过专用模块支持WAN边缘；802.1.Q-in-Q。

在高可用性方面:Catalyst 4500支持下列特性；NSF/SSO；HSRP和VRRP802.1D/802.1s/802.1w生成树冗余；802.3ad和EtherChannel链路冗余；特定型号的机箱（具有7和10个插槽）支持冗余Supervisor Engine ii+、IV和V；冗余供电。

在安全性方面，Catalyst 4500支持以下特性；NAC；风暴控制；基于端口的Qos；全部端口支持标准ACL和扩展ACL；802.1x用户认证；802.1x计费；受信边界；全部端口支持RACL，并且不会影响性能；VALC；PACL；接入端口和干道端口的PVLAN；DHCP监听和选项82插入；端口安全；固定端口安全；VMPS客户端；单播MAC过滤；单播端口扩散阻塞；动态ARP检测；IP源防护；团体私用VLAN；语音VLAN粘连端口安全。

4.3.3 Cisco Catalyst 2960系列

Cisco Catalyst 2960系列交换机通常作为建筑物接入交换机而部署，能够提供固定的端口密度，并且具有与高端交换机相类似的特性，但其成本更低。尽管这些交换机具有更低的成本，但它们却支持非常多的高级交换特性，其中包括集成安全、NAC、高级Qos和弹性等。

这些交换机具有固定的端口配置，具有24个或48个10/100BASE-T或10/100/1000BASE-T端口，如图4-4所示，以及双目标特以太网上行链路，既可以使用铜或光纤上行链路，也可以使用一个10/100/1000以太网端口和一个SFP吉比特以太网端口的组合，但是同时只能有一个处于活跃状态。

图4-4　Cisco Catalyst2960

在性能方面，Catalyst 2960系列交换机下列特性；

快速以太网和吉比特以太网线速的第2层交换；32Gbit/s交换阵列；能够以快速以太网和吉比特以太网的线速进行ACL和Qos；最大支持9000字节的巨型以太网帧。

至于该平台的可扩展性，Catlyst 2960系列交换机包括下列特性；

最多 48个10/100快速以太网端口和2个吉比特以太网端口；支持10/100/1000BASE-t吉比特以太风、10BASE-FX快速以太网和吉比特以太网最多可8000个MAC地址；集成支持带宽优化的Cisco IOS软件特性；分级限速；

4.3.4无线AP：TL-WA501G+

TL-WA501G+是TP-LINK公司旗下的一款高性价比的无线AP，如图4-5所示，提供全中文Web配置界面，可以通过Web浏览器方便的对TL-WA501G+进行访问和控制，配置直观、简单、快捷。您还可以通过Web界面对TL-WA501G+进行在线软件升级，以适应适合将来更高层次和更新要求。

图4-5　TL-WA501G+

它具有以下特性：兼容IEEE 802.11g及IEEE 802.11b无线标准； 符合IEEE 802.3以太网标准及 IEEE 802.3u快速以太网标准  ；1个10/100M自适应RJ45端口（支持自动翻转）； 采用TP-LINK 域展™无线传输技术，传输距离是普通11b、11g产品的2~3倍，传输范围扩展到4~9倍;支持54/48/36/24/18/12/9/6M或11/5.5/2/1M速率自适应；支持/128/152位WEP加密以及WPA-PSK/WPA2-PSK、WPA/WPA2安全机制；传输距离：室内最远200米，室外最远830米（因环境而异）；

4.4 接入层交换机配置

设置交换机的加密口令 ：当用户在普通用户模式而想要进入用户模式时，需要提供此口令。

设置登录虚拟终端线时的口令：远程管理为网络管理人员提供了很多的方便。但是，处于安全考虑，在能够远程管理交换机之前网络管理人员必须设置远程登录交换机的口令。

配置接入层交换机的VLAN及VTP：从提高效率的角度出发，在企业网中使用了VTP技术。同时，将核心层交换机CoreSwitch1设置成为VTP服务器，其他交换机设置成为VTP客户机。这里接入层交换机AccessSwitch1将通过VTP获得在分布层交换机CoreSwitch1中定义的所有VLAN的信息。

配置接入层交换机的端口：设置所有端口均工作在全双工模式，强制将端口速度设为10Mpbs或100Mbps。

4.5 核心层交换机配置

配置汇聚层交换机的VLAN:当网络中交换机数量很多时，采用VLAN中继协议（Vlan Trunking Protocol，VTP），并划分VLAN；启用分布层交换机的路由功能为网络中的各个VLAN提供路由功能。

配置汇聚层交换机的缺省路由:使用一条缺省路由命令，使用的下一跳地址是Internet接入路由器与核心交换机国连接的快速以太网接口FastEthernet 0/0的IP地址。

配置汇聚层交换机的热备份路由协议: 在两台三层交换器之间采用HSRP（热备份冗余协议）协议，来保证两台三层交换机中的任意一台down掉，或交换机的广域网口down，都会迅速切换到另外一台。

4.6广域网接入模块配置

路由器上配置缺省路由：到企业网内部的静态路由以及到Internet上的缺省路由。 到Internet上的路由需要定义一条缺省路由，下一跳指定从本路由器的接口s 0/0送出。

路由器上安全配置：在路由器上配置ACL可以对外屏蔽其它不安全的协议或服务如：简单网管协议SNMP，远程登录协议telnet，SUN OS的文件共享协议端口2049，DoS攻击等。

路由器上配置NAT地址转换：根据前文对企业网的需求分析，企业向当地ISP申请了9个IP地址。其中一个IP地址：196.2.125.1被分配给了Internet接入路由器的串行接口，另外8个IP地址：202.126.222.2/29～202.126.222.7/29用作NAT。 

路由器上配置行程访问:采用的远程接入方式是Easy VPN。无论从成本还是安全性上来说，Easy VPN无疑是目前最适合中小型企业使用的远程接入方式

结论

本文根据一个中小企业为研究背景，组建一个高速、宽带、稳定、可靠，且能融合安全与保密等全新需求的企业网络解决方案。在网络设计方案中，综合需求分析后考虑包括了几大模块：交换模块、广域网接入模块、远程访问模块、服务器群。网络整体采用的是Cisco网络三层架构，这个结构的优点是稳定性好、设备负载均衡、易扩展，并且网络故障排查也比较容易。在方案中采用VLAN技术和ACL技术作为内部网络的安全策略，主要是防止公司内部的非授权访问；而在内部网络与Internet之间则采用NAT技术实现Internet的接入。本方案基本满足中小企业的对网络组建的要求，也能兼顾未来扩充的需要。

但由于本人对于企业实际需求调研不足，同时很多新的技术和方法还不是很了解，方案中也还存在着很多不足。

参考文献

（1）中文专著

[1]  罗军勇，菜延荣.网络协议分析[Ｍ].北京：机械工业出版社.2009.122-127 .

[2]  Todd Lammle.CCNA学习指南[Ｍ]. 第七版.北京:人民邮电出版社, 2012.254-520 .

[3]  Rick Graziani.思科网络技术学院教程[Ｍ]. 第一版.北京:人民邮电出版社, 2009. 191-293.

[4]  李云峰,李婷.计算机网络基础教程[Ｍ].第一版 北京:水利水电出版社, 2012.80-114.

（2）中文学术论文

[1]  李佼辉. 企业局域网组建策略的研究[D].  东北石油大学硕士论文  , 2007,(04)  .

[2]  张慧香. 校园网规划与建设 D].  山东大学硕士论文  , 2013,(03)  

[3]  谭荣艺. 高校校园无线网络的构建和应用[D].  华南理工大学工程硕士论文  , 2012,(05)

[4]  宋俊学. WLAN技术在企业组建局域网中的应用[D]. 重庆大学工程硕士论文  , 2007,(11)   [5]  思科系统. 思​科​产​品​介​绍[C]. 北京:Cisco官网, 2014

（3）互联网文献

[1]  百度百科  局域网的基本概念.[Z] http://baike.baidu.com/view/788.htm?fr=aladdin

[2]  百度百科  交换机的基本概念.[Z] http://baike.baidu.com/view/1077.htm?fr=aladdin

[3]  百度百科  路由器的基本概念.[Z] http://baike.baidu.com/view/1360.htm?fr=aladdin

[4]  百度百科  VTP协议.[M] http://baike.baidu.com/view/123875.htm?fr=aladdin

[5]  百度百科  STP协议基本概念.[Z] 

http://baike.baidu.com/subview/28816/5074615.htm#viewPageContent

[6]  百度百科  HRSP协议.[Z] http://baike.baidu.com/view/5144698.htm?fr=aladdin

[7]  百度百科  VLAN虚拟局域网概念.[Z]

http://baike.baidu.com/view/21837.htm?from_id=320429&type=syn&fromtitle=VLAN&fr=aladdin

（4）外文文献

[１]   Todd Lammle CCNA学习指南[Ｍ]. 第七版　北京:人民邮电出版社, 2009,7(04)  

附录

附录１ 接入层交换机的详细配置

接入层为所有的终端用户提供一个接入点。这里的接入层交换机采用的是Cisco Catalyst 2950 48口交换机（WS-C2950-48）。交换机拥有48个10/100Mbps自适应快速以太网端口，运行的是Cisco的IOS操作系统。我们以图4.1中的接入层交换机AccessSwitch1为例进行介绍。如图1所示。

图1　接入层交换机

(1)设置交换机名称 

设置交换机名称，也就是出现在交换机CLI提示符中的名字。一般我们会以地理位置或行政划分来为交换机命名。当我们需要Telnet登录到若干台交换机以维护一个大型网络时，通过交换机名称提示符提示自己当前配置交换机的位置是很有必要的。

使用Secure CRT登录AccessSwitch1进入界面后，输入以下命令为接入层交换机命名

Switch>en

Switch#config t           //进入模式

Switch(config)#hostname AccessSwitch 1         //修改Switch名称

AccessSwitch 1(config)#                     //修改成功后的显示效果

(2)设置交换机的加密口令 

当用户在普通用户模式而想要进入用户模式时，需要提供此口令。此口令会以MD5的形式加密，因此，当用户查看配置文件时，无法看到明文形式的口令。

AccessSwitch 1(config)#enable secret company   //设置进入用户密码为company

(3)设置登录虚拟终端线时的口令 

对于一个已经运行着的交换网络来说，交换机的带内远程管理为网络管理人员提供了很多的方便。但是，处于安全考虑，在能够远程管理交换机之前网络管理人员必须设置远程登录交换机的口令。

AccessSwitch 1(config)#line vty 0 15         //设置登录交换机时需要验证用户身份

AccessSwitch 1(config-line)#login 

AccessSwitch 1(config-line)#password yuancheng  //设置登录密码为yuancheng 

(4)设置终端线超时时间 

为了安全考虑，可以设置终端线超时时间。在设置的时间内，如果没有检测到键盘输入，IOS将断开用户和交换机之间的连接。 

AccessSwitch 1(config)#ling vty 0 15

AccessSwitch 1(config-line)#exec-timeout 6 0 //设置登录交换机的虚拟终端线路的超时时间为6分0秒钟

AccessSwitch 1(config-line)#line con 0

AccessSwitch 1(config-line)#exec-timeout 6 0  //设置登录交换机的控制台终端线路的超时时间为6分0秒钟。

(5)设置禁用IP地址解析特性 

在交换机默认配置的情况下，当我们输入一条错误的交换机命令时，交换机会尝试将其广播给网络上的DNS服务器并将其解析成对应的IP地址。利用命令no ip domain-lookup。可以禁用这个特性 如图2-2所示，设置禁用IP地址解析特性。

AccessSwitch 1(config)#no ip domain-lookup   //设置禁用IP地址解析特性 

（6）设置启用消息同步特性 

有时，用户输入的交换机配置命令会被交换机产生的消息打乱。可以使用命令logging synchronous设置交换机在下一行CLI提示符后复制用户的输入。 

AccessSwitch 1(config)#logging synchronous   //设置启用消息同步特性。 

接入层交换机是OSI参考模型的第2层设备，即数据链路层的设备。因此，给接入层交换机的每个端口设置IP地址是没意义的。但是，为了使网络管理人员可以从远程登录到接入层交换机上进行管理，必要给接入层交换机设置一个管理用IP地址。这种情况下，实际上是将交换机看成和PC机一样的主机。 给交换机设置管理用IP地址只能在VLAN1，即本征VLAN中进行。按照表6-1，管理VLAN所在的子网是：192.168.0.0/24，这里将接入层交换机AccessSwitch1的管理IP地址设为：192.168.0.10/24。

AccessSwitch 1(config)#interface vlan 1

AccessSwitch 1(config)#ip address 192.168.0.10 255.255.255.0  //设置管理IP

AccessSwitch 1(config)#no shutdown

为了使网络管理人员可以在不同的子网管理此交换机，还应设置默认网关地址192.168.0.254。

AccessSwitch 1(config)#ip default-gateway 192.168.0.254  //设置默认网关地址

从提高效率的角度出发，在企业网中使用了VTP技术。同时，将核心层交换机CoreSwitch1设置成为VTP服务器，其他交换机设置成为VTP客户机。 这里接入层交换机AccessSwitch1将通过VTP获得在分布层交换机CoreSwitch1中定义的所有VLAN的信息。

AccessSwitch 1(config)#vtp mode client   //设置为VTP 客户机

●接入层交换机AccessSwitch1端口基本参数 

(1)端口双工配置 

可以设定某端口根据对端设备双工类型自动调整本端口双工模式，也可以强制将端口双工模式设为半双工或全双工模式。在了解对端设备类型的情况下，建议手动设置端口双工模式。 

AccessSwitch 1(config)#interface range f 0/1-48

AccessSwitch 1(config-if-range)#duplex full  //设置所有端口均工作在全双工模式

(2)端口速度 

可以设定某端口根据对端设备速度自动调整本端口速度，也可以强制将端口速度设为10Mpbs或100Mbps。在了解对端设备速度的情况下，建议手动设置端口速度。 

AccessSwitch 1(config)#interface range f 0/1-48

AccessSwitch 1(config-if-range)#speed 100  //设置所有端口的速度均为100Mbps 

●配置接入层交换机AccessSwitch1的访问端口 

接入层交换机AccessSwitch1为终端用户提供接入服务。接入层交换机AccessSwitch1为VLAN10提供接入服务。 

设置接入层交换机AccessSwitch1的端口1～40 

AccessSwitch 1(config)#interface range f0/1-40

AccessSwitch 1(config-if -range)#switchport mode access  //设置端口1～40工作在接入模式。

AccessSwitch 1(config-if -range)#switchport access vlan 10  //设置端口1～40为VLAN 10的成员。

默认情况下，交换机在刚加电启动时，每个端口都要经历生成树的四个阶段：阻塞、侦听、学习、转发。在能够转发用户的数据包之前，某个端口可能最多要等50秒钟的时间（20秒的阻塞时间＋15秒的侦听延迟时间＋15秒的学习延迟时间）。 对于直接接入终端工作站的端口来说，用于阻塞和侦听的时间是不必要的。为了加速交换机端口状态转化时间，可以设置将某端口设置成为快速端口（Portfast）。设置为快速端口的端口当交换机启动或端口有工作站接入时，将会直接进入转发状态，而不会经历阻塞、侦听、学习状态（假设桥接表已经建立）。 

AccessSwitch 1(config)#interface range f0/1-40

AccessSwitch 1(config-if -range)#spanning-tree portfast  //设置端口1～40为快速端口。

●配置接入层交换机AccessSwitch1的主干道端口 

接入交换机AccessSwitch1通过端口F 0/47上连到分布层交换机CoreSwitch1的端口Fa0/11。同时接入层交换机AccessSwitch1还通过端口Fa 0/48上连到核心层交换机CoreSwitch2的端口Fa0/11。 这两条上连链路将成为主干道链路，在这两条上连链路上将运输多个VLAN的数据。因为这两个端口需要工作在Trunk模式下。

AccessSwitch 1(config)#interface range f0/47-48

AccessSwitch 1(config-if-range)#switchport mode trunk  //设置端口F 0/47、F0/48为主干道端口

AccessSwitch 1(config)#spanning-tree uplinkfast  //设置当交换机与核心层主链路中断时迅速切换至备用链路

●配置其它接入层交换机

接入层交换机AccessSwitch2为VLAN 20的用户提供接入服务。同时，分别通过自己的F0/47 、F0/48上连到分布层交换机CoreSwitch1、CoreSwitch2的端口F0/12。 

对接入层交换机AccessSwitch2的配置步骤、命令和对接入层交换机AccessSwitch1的配置类似。其配置内容为：

Switch>en

Switch#config t          

Switch(config)#hostname AccessSwitch 2     

AccessSwitch 2(config)#enable secret company   

AccessSwitch 2(config)#line vty 0 15         

AccessSwitch 2(config-line)#login 

AccessSwitch 2(config-line)#password yuancheng  

AccessSwitch 2(config)#ling vty 0 15

AccessSwitch 2(config-line)#exec-timeout 6 0 

AccessSwitch 2(config-line)#line con 0

AccessSwitch 2(config-line)#exec-timeout 6 0  

AccessSwitch 2(config)#no ip domain-lookup   

AccessSwitch 2(config)#logging synchronous   

AccessSwitch 2(config)#interface vlan 1

AccessSwitch 2(config)#ip address 192.168.0.20 255.255.255.0 

AccessSwitch 2(config)#no shutdown

AccessSwitch 2(config)#ip default-gateway 192.168.0.254

AccessSwitch 2(config)#interface range f0/1-48

AccessSwitch 2(config-if-range)#duplex full

AccessSwitch 2(config-if-range)#speed 100  

AccessSwitch 2(config)#interface range f0/1-40

AccessSwitch 2(config-if -range)#switchport mode access  

AccessSwitch 2(config-if -range)#switchport access vlan 20

AccessSwitch 2(config-if -range)#spanning-tree portfast

AccessSwitch 2(config)#interface range f0/47-48

AccessSwitch 2(config-if-range)#switchport mode trunk 

AccessSwitch 2(config)#spanning-tree uplinkfast

按照上面的配置，在其他接入层交换机做相类似的配置，并将各自的端口划入相应的VLAN。另外，为了提供主干道的吞吐量，可以采用链路捆绑（快速以太道）技术增加可用带宽。例如，可以将接入层交换机AccessSwitch1的端口F0/45 和F0/46捆绑在一起实现200Mbps的快速以太道，然后再上连到核心层交换机CoreSwitch1。同样，也可以将接入层交换机AccessSwitch1的端口F0/47 和F0/48捆绑在一起实现200Mbps的快速以太道，然后再上连到核心层交换机CoreSwitch2。这可以根据实际需求进行配置，配置方法在后面核心层配置将会涉及到。

●接入层交换机的其它可选配置 

(1) Uplinkfast 

接入层交换机AccessSwitch1通过两条冗余上行链路分别接入核心层交换机CoreSwitch1和、CoreSwitch2。在生成树的作用下，其中一条上行链路处于转发状态，而另一条上行链路处于阻塞状态。当处于转发状态的链路因故障断开后，经过大约50秒钟的时间，处于阻塞状态的链路才能替代故障链路工作。 

Uplinkfast特性可以使得当主上行链路失败后，处于阻塞状态的上行链路（备份上行链路）可以立即启用。 

AccessSwitch 1(config)#spanning-tree uplinkfast   //在AccessSwitch1上启用Uplinkfast特性

同样的步骤也可以在接入层交换机AccessSwitch 2-10上进行配置。 

AccessSwitch 2(config)#spanning-tree uplinkfast  //在AccessSwitch2上启用Uplinkfast特性 

使用这条命令要注意的是Uplinkfast特性只能在接入层交换机上启用。

(2)Backbonefast

Backbonefast的作用与Uplinkfast类似，也用于加快生成树的收敛。所不同的是，Backbonefast可以检测到间接链路（非直连链路）故障并立即使得相应阻塞端口的最大寿命计时器到时，从而缩短该端口可以开始转发数据包的时间。 

AccessSwitch 1(config)#spanning-tree Backbonefast  //在AccessSwitch1上启用Backbonefast特性

使用些命令所需要注意的是：Backbonefast特性需要在网络中所有交换机上进行。

附录2　核心层交换机详细配置

由于在本设计方案中，将核心层和分布层紧缩到核心层一层中，所以此方案中的核心层除具有核心层特性之外还具有分布层的特性，当然这是在牺牲了一定的可扩展性的前提下。下面讨论核心层交换机的配置，如图2所示。

图2　核心层交换机

●对核心层交换机CoreSwitch1的基本参数的配置

配置步骤与接入层交换机AccessSwitch1的基本参数的配置类似。其配置如下：

Switch>en

Switch#config t          

Switch(config)#hostname CoreSwitch 1     

CoreSwitch 1(config) #enable secret company   

CoreSwitch 1(config)#line vty 0 15         

CoreSwitch 1(config-line)#login 

CoreSwitch 1(config-line)#password yuancheng  

CoreSwitch 1(config)#ling vty 0 15

CoreSwitch 1(config-line)#exec-timeout 6 0 

CoreSwitch 1(config-line)#line con 0

CoreSwitch 1(config-line)#exec-timeout 6 0  

CoreSwitch 1(config)#no ip domain-lookup   

CoreSwitch 1(config)#logging synchronous

下面的命令为核心层交换机CoreSwitch1设置管理IP并激活本征VLAN。同时，还设置了默认网关的地址。

CoreSwitch 1(config)#interface vlan 1

CoreSwitch 1(config)#ip address 192.168.0.100 255.255.255.0 

CoreSwitch 1(config)#no shutdown

CoreSwitch 1(config)#ip default-gateway 192.168.0.254

当网络中交换机数量很多时，需要分别在每台交换机上创建很多重复的VLAN。工作量很大、过程很繁琐，并且容易出错。采用VLAN中继协议（Vlan Trunking Protocol，VTP）可以解决这个问题。 

CoreSwitch 1(config)#vtp mode server  //设置CoreSwitch1成为VTP服务器。

激活VTP剪裁功能

CoreSwitch 1(config)#vtp pruning  //设置激活VTP剪裁功能

在本设计方案中，除了默认的本征VLAN外，又定义了6个VLAN，如表6-1所示。 由于使用了VTP技术，所以所有VLAN的定义只需要在VTP服务器，即核心层交换机CoreSwitch1上进行。 如下所示，这些命令定义了6个VLAN，同时为每个VLAN命名：

CoreSwitch 1(config)#vlan 10

CoreSwitch 1(config-vlan)#name CWB

CoreSwitch 1(config)#vlan 20

CoreSwitch 1(config-vlan)#name SCB

CoreSwitch 1(config)#vlan 30

CoreSwitch 1(config-vlan)#name CHB

CoreSwitch 1(config)#vlan 40

CoreSwitch 1(config-vlan)#name KFZX

CoreSwitch 1(config)#vlan 50

CoreSwitch 1(config-vlan)#name CGB

CoreSwitch 1(config)#vlan 100

CoreSwitch 1(config-vlan)#name SERVER

如拓扑图所示，核心层交换机CoreSwitch1的端口Fa0/1～Fa0/10为服务器群提供接入服务，而端口Fa0/11至Fa 0/20分别下连到接入层交换机AccessSwitch 1到接入层交换机AccessSwitch 10的端口Fa0/47。 同时还需要Fa/1-10需要划入服务组群VLAN100中。

下面是配置CoreSwitch1的端口基本参数：

CoreSwitch 1(config)#interface range f0/1-24

CoreSwitch 1(config-if-range)#duplex full

CoreSwitch 1(config-if-range)#speed 100  

CoreSwitch 1(config)#interface range f0/1-10

CoreSwitch 1(config-if -range)#switchport mode access  

CoreSwitch 1(config-if -range)#switchport access vlan 100

CoreSwitch 1(config-if -range)#spanning-tree portfast

CoreSwitch 1(config)#interface range f0/11-20

CoreSwitch 1(config-if-range)#switchport mode trunk 

CoreSwitch 1(config)#interface channel 1

CoreSwitch 1(config)#switchport

CoreSwitch 1(config)#interface mode trunk 

CoreSwitch 1(config)# interface range Gi0/1-2

CoreSwitch 1(config-if)#interface mode trunk

此外，为了实现冗余设计以及提供主干道的吞吐量，核心层交换机CoreSwitch 1将核心层交换机CoreSwitch1的千兆端口Gi0/1、Gi0/2捆绑在一起实现2000Mbps的千兆以太道，然后再连接到另一台核心层交换机CoreSwitch2。下面是设置核心层交换机CoreSwitch1的千兆以太道的步骤。

CoreSwitch 1(config)#interface port-channel 1  // 创建组

CoreSwitch 1(config-if)#switchport mode trunk  //设置模式为TRUNK

CoreSwitch 1(config-if)#exit

CoreSwitch 1(config)#interface range Gi 0/1-2

CoreSwitch 1(config-if-range)#channel-group 1 mode on  //加入组1并设置模式为on

CoreSwitch 1(config-if-range)#no shutdown

核心层交换机CoreSwitch1需要为网络中的各个VLAN提供路由功能。这需要首先启用分布层交换机的路由功能。

CoreSwitch 1(config)#ip routing  //启用路由功能 

接下来，需要为每个VLAN定义自己的默认网关地址：

CoreSwitch 1(config)#interface vlan 10

CoreSwitch 1(config)#ip add 192.168.1.1 255.255.255.0

CoreSwitch 1(config)#no shutdown

CoreSwitch 1(config)#interface vlan 20

CoreSwitch 1(config)#ip add 192.168.2.1 255.255.255.0

CoreSwitch 1(config)#no shutdown

CoreSwitch 1(config)#interface vlan 30

CoreSwitch 1(config)#ip add 192.168.3.1 255.255.255.0

CoreSwitch 1(config)#no shutdown

CoreSwitch 1(config)#interface vlan 40

CoreSwitch 1(config)#ip add 192.168.4.1 255.255.255.0

CoreSwitch 1(config)#no shutdown

CoreSwitch 1(config)#interface vlan 50

CoreSwitch 1(config)#ip add 192.168.5.1 255.255.255.0

CoreSwitch 1(config)#no shutdown

CoreSwitch 1(config)#interface vlan 100

CoreSwitch 1(config)#ip add 192.168.100.1 255.255.255.0

CoreSwitch 1(config)#no shutdown

此外，还需要定义通往Internet的路由。这里使用了一条缺省路由命令，使用的下一跳地址是Internet接入路由器与核心交换机国连接的快速以太网接口FastEthernet 0/0的IP地址。

CoreSwitch 1(config)#ip route 0.0.0.0 0.0.0.0 192.168.0.254  //定义到Internet的缺省路由 

●配置核心层交换机CoreSwitch2 

核心层交换机CoreSwitch2的端口Fa0/23、Fa 0/24分别下连到接入层交换机AccessSwitch1的端口Fa 0/48以及接入层交换机AccessSwitch2的端口Fa 0/48。 此外，为了实现冗余设计，核心层交换机CoreSwitch2还通过自己的千兆端口Gi 0/1和Gi0/2分别上连到核心交换机CoreSwitch1的Gi0/1和Gi0/2。如图所示。 

对核心层交换机CoreSwitch2的配置步骤、命令和对核心层交换机CoreSwitch1的配置类似。具体配置如下：

Switch>en

Switch#config t          

Switch(config)#hostname CoreSwitch 2     

CoreSwitch 2(config) #enable secret company   

CoreSwitch 2(config)#line vty 0 15         

CoreSwitch 2(config-line)#login 

CoreSwitch 2(config-line)#password yuancheng   

CoreSwitch 2(config)#ling vty 0 15

CoreSwitch 2(config-line)#exec-timeout 6 0 

CoreSwitch 2(config-line)#line con 0

CoreSwitch 2(config-line)#exec-timeout 6 0  

CoreSwitch 2(config)#no ip domain-lookup   

CoreSwitch 2(config)#logging synchronous     //配置交换机CoreSwitch 2的基本参数

CoreSwitch 2(config)#interface vlan 1

CoreSwitch 2(config)#ip address 192.168.0.200 255.255.255.0 

CoreSwitch 2(config)#no shutdown

CoreSwitch 2(config)#ip default-gateway 192.168.0.254    //配置交换机CoreSwitch 2本征VLAN 的IP地址和网关

CoreSwitch 2(config)#vtp domain OAlan

CoreSwitch 2(config)#vtp pruning     //配置VTP域名和并激活VTP剪裁功能

CoreSwitch 2(config)#interface range f0/1-24

CoreSwitch 2(config-if-range)#duplex full

CoreSwitch 2(config-if-range)#speed 100  

CoreSwitch 2(config)#interface range f0/1-10

CoreSwitch 2(config-if -range)#switchport mode access  

CoreSwitch 2(config-if -range)#switchport access vlan 100

CoreSwitch 2(config-if -range)#spanning-tree portfast

CoreSwitch 2(config)#interface range f0/23-24

CoreSwitch 2(config-if-range)#switchport mode trunk 

CoreSwitch 2(config)# interface range Gi0/1-2

CoreSwitch 2(config-if)#interface mode trunk    //配置交换机CoreSwitch 2各端口的基本参数

CoreSwitch 2(config)#interface port-channel 1  

CoreSwitch 2(config-if)#switchport mode trunk  

CoreSwitch 2(config-if)#exit

CoreSwitch 2(config)#interface range Gi 0/1-2

CoreSwitch 2(config-if-range)#channel-group 1 mode on  

CoreSwitch 2(config-if-range)#no shutdown  //配置交换机CoreSwitch 2上Gi0/1-2的链路聚合

CoreSwitch 2(config)#ip routing  

CoreSwitch 2(config)#interface vlan 10

CoreSwitch 2(config)#ip add 192.168.1.2 255.255.255.0

CoreSwitch 2(config)#no shutdown

CoreSwitch 2(config)#interface vlan 20

CoreSwitch 2(config)#ip add 192.168.2.2 255.255.255.0

CoreSwitch 2(config)#no shutdown

CoreSwitch 2(config)#interface vlan 30

CoreSwitch 2(config)#ip add 192.168.3.2 255.255.255.0

CoreSwitch 2(config)#no shutdown

CoreSwitch 2(config)#interface vlan 40

CoreSwitch 2(config)#ip add 192.168.4.2 255.255.255.0

CoreSwitch 2(config)#no shutdown

CoreSwitch 2(config)#interface vlan 50

CoreSwitch 2(config)#ip add 192.168.5.2 255.255.255.0

CoreSwitch 2(config)#no shutdown

CoreSwitch 2(config)#interface vlan 100

CoreSwitch 2(config)#ip add 192.168.100.2 255.255.255.0

CoreSwitch 2(config)#no shutdown    //启用交换机CoreSwitch 2路由功能并配置各VLAN的默认网关

CoreSwitch 2(config)#ip route 0.0.0.0 0.0.0.0 192.168.0.253      //配置交换机CoreSwitch 2指向路由器的缺省路由

●其它配置 

为了实现对无类别网络（Classless Network）以及全零子网（Subnet-zero）的支持，在充当3层交换机的核心层交换机CoreSwitch1和CoreSwitch2，还需要进行适当的配置。

CoreSwitch 1(config)#ip classless  //当目的网络没有出现在路由表中时通过默认路由转发数据包

CoreSwitch 1(config)#ip subnet-zero  //CoreSwitch 1定义对无类别网络以及全零子网的支持 

CoreSwitch 2(config)#ip classless  //当目的网络没有出现在路由表中时通过默认路由转发数据包

CoreSwitch 2(config)#ip subnet-zero  //CoreSwitch 2定义对无类别网络以及全零子网的支持 

●配置HSRP

在两台三层交换器之间采用HSRP（热备份冗余协议）协议，来保证两台三层交换机中的任意一台down掉，或交换机的广域网口down，都会迅速切换到另外一台。

在CoreSwitch 1配置为每个VLAN配置一个HSRP备用组，并配置各自虚拟地址。同时，在VLAN10 、VALN20、 VLAN30上，将其在各自的HSRP备用组中的优先级设置为150,使在优先级高于默认优级100并设置抢占机制。

CoreSwitch 1(config)#internet VLAN 10

CoreSwitch 1(config)#standby 1 ip 192.168.1.254

CoreSwitch 1(config)#standby 1 priority 150 

CoreSwitch 1(config)#standby 1 preempt

CoreSwitch 1(config)#internet VLAN 20

CoreSwitch 1(config)#standby 2 ip 192.168.2.254

CoreSwitch 1(config)#standby 2 priority 150 

CoreSwitch 1(config)#standby 2 preempt

CoreSwitch 1(config)#internet VLAN 30

CoreSwitch 1(config)#standby 3 ip 192.168.3.254

CoreSwitch 1(config)#standby 3 priority 150 

CoreSwitch 1(config)#standby 3 preempt

CoreSwitch 1(config)#internet VLAN 40

CoreSwitch 1(config)#standby 4 ip 192.168.4.254

CoreSwitch 1(config)#internet VLAN 50

CoreSwitch 1(config)#standby 5 ip 192.168.5.254

CoreSwitch 1(config)#internet VLAN100

CoreSwitch 1(config)#standby 6 ip 192.168.100.254

在CoreSwitch 2上为每个VLAN配置与其CoreSwitch 1上一样的HSRP备用组和虚拟地址。同时，在VLAN40 、VALN50、 VLAN100上，将其在各自的HSRP备用组中的优先级设置为150,使在优先级高于默认优级100，并设置抢占机制。

CoreSwitch 1(config)#internet VLAN 10

CoreSwitch 1(config)#standby 1 ip 192.168.1.254

CoreSwitch 1(config)#internet VLAN 20

CoreSwitch 1(config)#standby 2 ip 192.168.2.254

CoreSwitch 1(config)#internet VLAN 30

CoreSwitch 1(config)#standby 3 ip 192.168.3.254

CoreSwitch 1(config)#internet VLAN 40

CoreSwitch 1(config)#standby 4 ip 192.168.4.254

CoreSwitch 1(config)#standby 4 priority 150 

CoreSwitch 1(config)#standby 4preempt

CoreSwitch 1(config)#internet VLAN 50

CoreSwitch 1(config)#standby 5 ip 192.168.5.254

CoreSwitch 1(config)#standby 5 priority 150 

CoreSwitch 1(config)#standby 5 preempt

CoreSwitch 1(config)#internet VLAN100

CoreSwitch 1(config)#standby 6 ip 192.168.100.254

CoreSwitch 1(config)#standby 6 priority 150 

CoreSwitch 1(config)#standby 6 preempt

通过上面配置，将CoreSwitch 1和CoreSwitch 2作为不同备用组的活跃路由器可以实现负载分配，同时配置抢占选项以便在CoreSwitch 1和CoreSwitch 2发生故障并恢复后仍然是各备用组原来的活跃路由器，进而确保负载分配。

附录3广域网模块配置

在本设计方案中，广域网接入模块的功能是由广域网接入路由器IRouter来完成的。采用的是Cisco的30路由器。它通过自己的串行接口serial 0/0使用DDN（128K）技术接入Internet，如图3所示。它的作用主要是在Internet和校园网内网间路由数据包。除了完成主要的路由任务外，利用访问控制列表（Access Control List，ACL），广域网接入路由器IRouter还可以用来完成以自身为中心的流量控制和过滤功能并实现一定的安全功能。

图3　接入Internet的路由器

●配置路由器IRouter的基本参数 

路由器的基本参数配置和前面交换机的配置类似，配置如下：

Router>en

Router#config t          

Switch(config)#hostname IRouter    

IRouter(config) #enable secret company   

IRouter(config)#line vty 0 15         

IRouter(config-line)#password yuancheng  

IRouter(config-line)#login 

IRouter(config-line)#exec-timeout 6 0 

IRouter(config-line)#line con 0

IRouter(config-line)#exec-timeout 6 0  

IRouter(config-line)#logging synchronous 

IRouter(config)#no ip domain-lookup   

对路由器IRouter的各接口参数的配置主要是对接口Fa0/0、Fa0/1以及接口S0/0的IP地址、子网掩码的配置。

IRouter(config)#interface f0/0

IRouter(config)#ip add 192.168.0.254 255.255.255.0

IRouter(config)#no shutdown

IRouter(config)#interface f0/1

IRouter(config)#ip add 192.168.0.253 255.255.255.0

IRouter(config)#no shutdown

IRouter(config)#intetface s0/0

IRouter(config)#ip add 196.2.125.1 255.255.255.252

IRouter(config)#no shutdown    //配置路由器IRouter的各接口的IP地址、子网掩码。

在接入路由器IRouter上需要定义两个方向上的路由：

到企业网内部的静态路由以及到Internet上的缺省路由。 到Internet上的路由需要定义一条缺省路由，下一跳指定从本路由器的接口s 0/0送出。

IRouter(config)#ip route 0.0.0.0 0.0.0.0  S0/0     //定义到Internet的缺省路由 

由于企业内部配置了负载均衡，所以到企业网内部的路由有两条路径，一条经由CoreSwitch 1进入企业网内部，另一条是经由CoreSwitch2进入企业网内部。每一条路径的路由条目可以经过路由汇总后形成两条路由条目。

IRouter(config)#ip route 192.168.0.0 255.255.255.248 192.168.0.100

IRouter(config)#ip route 192.168.100.0 255.255.255.0 192.168.0.100    //定义经过CoreSwitch 1到校园网内部的路由 

IRouter(config)#ip route 192.168.0.0 255.255.255.248 192.168.0.200

IRouter(config)#ip route 192.168.100.0 255.255.255.0 192.168.0.200    //定义经过CoreSwitch 2到校园网内部的路由 

●NAT地址转换

根据前文对企业网的需求分析，企业向当地ISP申请了9个IP地址。其中一个IP地址：196.2.125.1被分配给了Internet接入路由器的串行接口，另外8个IP地址：202.126.222.2/29～202.126.222.7/29用作NAT。 

这里使用的是动态NAT地址转换。下面配置NAT地址转换：

IRouter(config)#interface S0/0

IRouter(config-if)#ip nat outside

IRouter(config-if)#interface F0/0

IRouter(config-if)#ip nat inside

IRouter(config-if)#interface F0/1

IRouter(config-if)#ip nat inside

IRouter(config-if)#exit

IRouter(config)#access-list 1 permit 192.168.100.0 255.255.255.0

IRouter(config)#access-list 1 permit 192.168.0.0 255.255.248.0

IRouter(config)#ip nat pool NAT_P 202.126.22.2 202.126.22.7 prefix-length 29

IRouter(config)#ip nat inside source list 1 pool NAT_P overload 

●ACL访问控制

对外屏蔽简单网管协议，即SNMP  

利用这个协议，远程主机可以监视、控制网络上的其它网络设备。它有两种服务类型：SNMP和SNMPTRAP。在路由器上配置ACL可以对外屏蔽简单网管协议SNMP。

IRouter(config)#access-list 100 deny udp any any eq snmp

IRouter(config)#access-list 100 deny udp any any eq snmptrap

IRouter(config)#access-list 100 permit ip any any    //配置ACL对外屏蔽简单网管协议SNMP

对外屏蔽远程登录协议telnet 

IRouter(config)#access-list 100 deny tcp any any eq telnet

IRouter(config)#access-list 100 permit ip any any 

对外屏蔽其它不安全的协议或服务 

这样的协议主要有SUN OS的文件共享协议端口2049，远程执行（rsh）、远程登录（rlogin）和远程命令（rcmd）端口512、513、514，远程过程调用（SUNRPC）端口111。可以将针对以上协议综合进行设计，

IRouter(config)#access-list 100 deny tcp any any range 512 514

IRouter(config)#access-list 100 deny tcp any any eq 111

IRouter(config)#access-list 100 deny udp any any eq 111

IRouter(config)#access-list 100 deny tcp any any range 2049

IRouter(config)#access-list 100 permit ip any any 

针对DoS攻击的设计 

DoS攻击（Denial of Service Attack，拒绝服务攻击）是一种非常常见而且极具破坏力的攻击手段，它可以导致服务器、网络设备的正常服务进程停止，严重时会导致服务器操作系统崩溃。 

IRouter(config)#access-list 100 deny icmp any any eq echo-request

IRouter(config)#access-list 100 deny udp any any eq echo

保护路由器自身安全 

作为内网、间屏障的路由器，保护自身安全的重要性也是不言而喻的。为了阻止黑客入侵路由器，必须对路由器的访问位置加以。 应只允许来自服务器群的IP地址访问并配置路由器。这时，可以使用ACCESS-CLASS命令进行VTY访问控制。