大型企业网络规划与设计-毕业论文.doc 82页

'大型企业网络规划与设计大型企业网络规划与设计摘要迅速发展的Internet正在对全世界的信息产业带来巨大的变革和深远的影响。市场的全球化竞争已成为趋势。对于大型企业来说，在调整发展战略时，必须考虑到市场的全球竞争战略，而这一切也将以信息化平台为基础，借助计算机网络原理及网络规划技术，以网络通畅为保证。企业内部网（Intranet）是国际互连网（Internet）技术在企业内部或封闭的用户群内的应用。Intranet是使用Internet技术,特别是TCP/IP协议而建成的企业内部网络。这种技术允许不同计算机平台进行互通,且不用考虑其位置。也就是所说的用户可以对任何一台进行访问或从任何一台计算机进行访问。本文从企业网络需求开始分析，根据现阶段cisco公司主流网络设备进行选材,规划最适用于目标网络的拓扑结构,建设合理的网络设计方案。本课题实施部分由GNS3模拟器来搭建网络拓扑结构，利用cisco设备操作系统unzip-c2691-advsecurityk9-mz.124-11.T2作为拓扑内所有设备核心IOS，然后用SecureCRT进行路由器交换机的相关配置，并测试其结果最终验证网络的规划与设计符合大型企业的需求。关键词：企业网络，拓扑结构，冗余，路由，交换81 大型企业网络规划与设计LargeEnterpriseNetworkPlanningandDesignAbstractTherapiddevelopmentoftheInternetisallovertheworldinformationindustryofenormouschangeandfar-reachingconsequences.Marketcompetitionhasbecomethetrendofglobalization.Forlargeenterprises,inadjustingthedevelopmentstrategy,musttakeintoaccountthemarket"sglobalcompetitivenessstrategy,andallthisinformationplatformwillalsobebasedontheprincipleoftheuseofcomputernetworksandnetworkplanningtechnologytothenetworkinordertoensurepatency.IntranetisaninternationalInternettechnologyintheenterpriseorwithinaclosedusergroupapplications.IntranetistheuseofInternettechnologies,especiallyTCP/IPprotocolandthecompletionoftheenterpriseinternalnetwork.Thistechnologyallowsinteroperabilityofdifferentcomputerplatforms,anddonothavetoconsideritsposition.Thatiswhattheusercanvisitanyorfromanycomputeraccess.Fromthestartthewholeenterpriseclassnetworkneedsanalysis,basedonthemainstreamstagecisconetworkequipmentcompanyselection,withthegoaltobuildthemostsuitablenetworktopology,designedwithnetworktechnology.AspartofthisimplementationtobuildthesimulatorGNS3networktopology,theuseofciscodeviceoperatingsystemsunzip-c2691-advsecurityk9-mz.124-11.T2forallequipmentwithinthecoretopologyIOS,routersandswitchesusingSecureCRTfortheconfiguration,andviewtheexperimentalresultstoverifythatthenetworkmeetsbusinessneeds.Keywords：Enterprisenetworks,Topology,Redundancy,Routing,Switching81 大型企业网络规划与设计第1章绪论1.1研究背景今天，迅速发展的Internet正在对全世界的信息产业带来巨大的变革和深远的影响。市场的全球化竞争已成为趋势。21世纪的中国正在向市场多元化、全球化的方向发展。对于大型企业来说，在调整发展战略时，必须考虑到市场的全球竞争战略，而这一切也将以信息化平台为基础，借助计算机网络原理及网络规划技术，以网络通畅为保证。国内越来越多的企业也已经或正在考虑使用Internet/Intranet技术,以建设企业规划化的信息处理系统。因为现代企业的信息大多都来自于互连网，通过网络，企业可以更快速的接收到来自全球的市场信息；通过Internet与外部世界交换信息，企业规划者可以更快地对企业作出正确的宏观调控与决策，以适应市场趋势。企业与全世界联系起来,极大地提高了信息收集的能力和效率。随着Intranet技术的不断发展,计算机已经逐渐应用到企业中的各个关键部分,极大的提高了企业的工作效率。对于规模较大的企业来说，这一点尤为重要。而有些大型企业根据其自身性质等对于网络有着更多的需求。比如中国电信、中国网通、中国银行，它们对网络有一点十分重要的需求，那就是网路通路，流量不可断。因为全中国大部分的金融和通信都经过这些企业，他们的网络的稳定性直接关系到国家的政治经济基础等各个方面。所以对于这些大型企业的网络设计必须考虑到流量等细节问题。当今中国网络的另一个重大问题就是安全。由于中国的网络发展较晚，网络的安全没有作到非常完善。而且很多早期起用的网络无论从结构还是技术上都有很多设计不合理的问题，这也导致了网络的安全性差。在企业的某些关键部门（如财务科等），如果有不法分子利用网络中的漏洞修改或者窃取商业机密文件，也会对企业自身造成不可挽回的甚至是毁灭性的危害。当然，企业也会对一些细节问题提出要求。比如市场部门可以上网查阅资料而技术部门不可；或者从周一上午九点到周五下午五点可以上网，而其他时间段网络无流量；再或者高层领导组可以监控财务部门的档案文件而其 他部门则没有这样的权限。这些都是网络设计者需要考虑的问题。81 大型企业网络规划与设计1.2目的和意义企业内部网（Intranet）是国际互连网（Internet）技术在企业内部或封闭的用户群内的应用。简单地说,Intranet是使用Internet技术,特别是TCP/IP协议而建成的企业内部网络。这种技术允许不同计算机平台进行互通,且不用考虑其位置。也就是所说的用户可以对任何一台进行访问或从任何一台计算机进行访问[1]。基于这种种的现实问题，企业必须从企业局域网的概念及相关计算机网络技术入手，详细地设计企业网建设的实施方案及建设规划,以达到先进、安全、实用、可靠的目标.对该企业的组网需求进行分析，比较各种组网技术，从实用角度论述局域网主干网选择，综合布线，各种设备选择，网络安全，网络管理等方面。我们的网络要具有一定的灵活性。当企业发展到一定规模,企业在外地设有许多分支机构。这时,为加快企业内部的信息流通,企业需要将总部和各分支机构连接起来。远程企业对网络的需求是：通过internet接入,在整个公司实现数据快速传输、办公自动化,最终实现企业无纸化办公；企业拥有自己的ip地址和域名,在公司主机上建立网站,向外界宣传企业形象、公司各项业务、活动及最新成果等；以ip电话方式节省企业大部分的长途话费,亦可通过ip网络来实现视频会议；整个公司需要一个运行可靠、费用合理的通信系统；实现telnet等网络服务；建立一个功能全面、使用方便的管理信息系统,使总公司与各地分支机构之间的业务审批电子化,各项工作能够协同完成。实现结构化布线、网络的设计与规划、资源共享、专线接入Internet、WWW服务器、软硬件配置、划分企业子网等技术实施。81 大型企业网络规划与设计第2章关键的网络技术原理2.1大型企业网络的定位企业网是指覆盖企业和企业与分公司之间的网络，为企业的多种通信协议提供综合传送平台的网络。企业网应以多业务光传输网络为基础，实现语音、数据、图像、多媒体等的接入。企业网是企业内各部门的桥接区，主要完成接入网中的子公司和工作人员与企业骨干业务网络之间全方位的互通。因此电子商务公司企业网的定位应是为企业网应用提供多业务传送的综合解决方案。2.2关键技术研究本设计方案采用的是全部Cisco的网络设备，全网使用统一厂家得设备以实现各种不同网络设备功能的互相配合和补充。还有就是一些网络协议都是一些厂家私有的，如EIGRP、HDLC等。因为每个厂家都有属于自己的EIGRP、HDLC所以不同厂家的设备就不能使用这些网络协议。2.2.1路由技术路由协议工作在OSI参考模型的第3层，因此它的作用主要是在通信子网间路由数据包。路由器具有在网络中传递数据时选择最佳路径的能力。除了可以完成主要的路由任务，利用访问控制列表，路由器还可以用来完成以路由器为中心的流量控制和过滤功能。在本工程案例设计中，内网用户不仅通过路由器接入因特网、内网用户之间也通过3层交换机上的路由功能进行数据包交换。路由器是外网进入企业网内网的第一道关卡，是网络防御的前沿阵地。路由器上的访问控制列表（AccessControlList，ACL）是保护内网安全的有效手段。一个设计良好的访问控制列表不仅可以起到控制网络流量、流向的作用，还可以在不增加网络系统软、硬件投资的情况下完成一般软、硬件防火墙产品的功能。由于路由器介于企业内网和外网之间，是外网与内网进行通信时的第一道屏障，所以即使在网络系统安装了防火墙产品后，仍然有必要对路由器的访问控制列表进行缜密的设计，来对企业内网包括防火墙本身实施保护[2]。81 大型企业网络规划与设计2.2.2交换技术传统意义上的数据交换发生在OSI模型的第2层。现代交换技术还实现了第3层交换和多层交换。高层交换技术的引入不但提高了园区网数据交换的效率，更大大增强了企业网数据交换服务质量，满足了不同类型网络应用程序的需要。现代交换网络还引入了虚拟局域网（VirtualLAN，VLAN）的概念。VLAN将广播域限制在单个VLAN内部，减小了各VLAN间主机的广播通信对其他VLAN的影响。在VLAN间需要通信的时候，可以利用VLAN间路由技术来实现。当网络管理人员需要管理的交换机数量众多时，可以使用VLAN中继协议（VlanTrunkingProtocol，VTP）简化管理，它只需在单独一台交换机上定义所有VLAN。然后通过VTP协议将VLAN定义传播到本管理域中的所有交换机上。这样，大大减轻了网络管理人员的工作负担和工作强度。为了简化交换网络设计、提高交换网络的可扩展性，在企业网内部数据交换的部署是分层进行的。企业网数据交换设备可以划分为三个层次：接入层、分布层、核心层。接入层为所有的终端用户提供一个接入点；分布层除了负责将访问层交换机进行汇集外，还为整个交换网络提供VLAN间的路由选择功能；核心层将各分布层交换机互连起来进行穿越企业网骨干的高速数据交换。在本工程案例设计中，也将采用这三层进行分开设计、配置[3]。　2.2.3远程访问技术远程访问也是企业网络必须提供的服务之一。它可以为家庭办公用户和出差在外的员工提供移动接入服务。远程访问有三种可选的服务类型：专线连接、电路交换和包交换。不同的广域网连接类型提供的服务质量不同，花费也不相同。企业用户可以根据所需带宽、本地服务可用性、花费等因素综合考虑，选择一种适合企业自身需要的广域网接入方案。在本工程案例设计中，分别采用专线连接的VPN和PBR两种方式实现远程访问需求[4]。　2.2.4VLANVLAN（VirtualLocalAreaNetwork）即虚拟局域网，是一种通过将局域网内的设备逻辑地而不是物理地划分成一个个网段从而实现虚拟工作组的新兴技术。IEEE于1999年颁布了用以标准化VLAN实现方案的802.1Q协议标准草案。VLAN技术允许网络管理者将一个物理的LAN逻辑地划分成不同的广播域（或称虚拟LAN81 大型企业网络规划与设计，即VLAN），每一个VLAN都包含一组有着相同需求的计算机工作站，与物理上形成的LAN有着相同的属性。但由于它是逻辑地而不是物理地划分，所以同一个VLAN内的各个工作站无须被放置在同一个物理空间里，即这些工作站不一定属于同一个物理LAN网段。一个VLAN内部的广播和单播流量都不会转发到其他VLAN中，即使是两台计算机有着同样的网段，但是它们却没有相同的VLAN号，它们各自的广播流也不会相互转发,从而有助于控制流量、减少设备投资、简化网络管理、提高网络的安全性。VLAN是为解决以太网的广播问题和安全性而提出的，它在以太网帧的基础上增加了VLAN头，用VLANID把用户划分为更小的工作组，限制不同工作组间的用户二层互访，每个工作组就是一个虚拟局域网。虚拟局域网的好处是可以限制广播范围，并能够形成虚拟工作组，动态管理网络。既然VLAN隔离了广播风暴，同时也隔离了各个不同的VLAN之间的通讯，所以不同的VLAN之间的通讯是需要有路由来完成的[5]。2.2.5DHCPDHCP是DynamicHostConfigurationProtocol(动态主机分配协议)缩写。它分为两个部份：一个是服务器端，而另一个是客户端。所有的IP网络设定数据都由DHCP服务器集中管理，并负责处理客户端的DHCP要求；而客户端则会使用从服务器分配下来的IP环境数据。比较起BOOTP，DHCP透过"租约"的概念，有效且动态的分配客户端的TCP/IP设定，而且，作为兼容考虑，DHCP的分配形式首先，必须至少有一台DHCP工作在网络上面，它会监听网络的DHCP请求，并与客户端磋商TCP/IP的设定环境。DHCP是BOOTP的扩展，是基于C/S模式的，它提供了一种动态指定IP地址和配置参数的机制。这主要用于大型网络环境和配置比较困难的地方。DHCP服务器自动为客户机指定IP地址，指定的配置参数有些和IP协议并不相关，但这必没有关系，它的配置参数使得网络上的计算机通信变得方便而容易实现了。DHCP使IP地址的可以租用，对于许多拥有许多台计算机的大型网络来说，每台计算机拥有一个IP地址有时候可能是不必要的。租期从1分钟到100年不定，当租期到了的时候，服务器可以把这个IP地址分配给别的机器使用。客户也可以请求使用自己喜欢的网络地址及相应的配置参数[6]。2.2.6GRE　　通用路由封装（GRE:GenericRoutingEncapsulation）定义了在任意一种网络层协议上封装任意一个其它网络层协议的协议。在大多数常规情况下，系统拥有一个有效载荷（或负载）包，需要将它封装并发送至某个目的地。首先将有效载荷封装在一个GRE包中，然后将此GRE包封装在其它某协议中并进行转发。此外发协议即为发送协议。当IPv4被作为GRE81 大型企业网络规划与设计有效载荷传输时，协议类型字段必须被设置为0x800。当一个隧道终点拆封此含有IPv4包作为有效载荷的GRE包时，IPv4包头中的目的地址必须用来转发包，并且需要减少有效载荷包的TTL。值得注意的是，在转发这样一个包时，如果有效载荷包的目的地址就是包的封装器（也就是隧道另一端），就会出现回路现象。在此情形下，必须丢弃该包。当GRE包被封装在IPv4中时，需要使用IPv4协议47。GRE下的网络安全与常规的IPv4网络安全是较为相似的，GRE下的路由采用IPv4原本使用的路由，但路由过滤保持不变。包过滤要求防火墙检查GRE包，或者在GRE隧道终点完成过滤过程。在那些这被看作是安全问题的环境下，可以在防火墙上终止隧道[4]。2.2.7VPNVPN的英文全称是“VirtualPrivateNetwork”，翻译过来就是“虚拟专用网络”。顾名思义，虚拟专用网络我们可以把它理解成是虚拟出来的企业内部专线。它可以通过特殊的加密的通讯协议在连接在Internet上的位于不同地方的两个或多个企业内部网之间建立一条专有的通讯线路，就好比是架设了一条专线一样，但是它并不需要真正的去铺设光缆之类的物理线路。这就好比去电信局申请专线，但是不用给铺设线路的费用，也不用购买路由器等硬件设备。VPN技术原是路由器具有的重要技术之一，目前在交换机，防火墙设备或WINDOWS2000等软件里也都支持VPN功能，一句话，VPN的核心就是在利用公共网络建立虚拟私有网。虚拟专用网（VPN）被定义为通过一个公用网络（通常是因特网）建立一个临时的、安全的连接，是一条穿过混乱的公用网络的安全、稳定的隧道。虚拟专用网是对企业内部网的扩展。虚拟专用网可以帮助远程用户、公司分支机构、商业伙伴及供应商同公司的内部网建立可信的安全连接，并保证数据的安全传输。虚拟专用网可用于不断增长的移动用户的全球因特网接入，以实现安全连接；可用于实现企业网站之间安全通信的虚拟专用线路，用于经济有效地连接到商业伙伴和用户的安全外联网虚拟专用网[4]。2.2.8PVSTPVST:Per-VLANSpanningTree（每VLAN生成树）PVST是解决在虚拟局域网上处理生成树的CISCO特有解决方案．PVST为每个虚拟局域网运行单独的生成树实例．一般情况下PVST要求在交换机之间的中继链路上运行CISCO的ISL。每VLAN生成树81 大型企业网络规划与设计(PVST)为每个在网络中配置的VLAN维护一个生成树实例。它使用ISL中继和允许一个VLAN中继当被其它VLANs的阻塞时将一些VLANs转发。尽管PVST对待每个VLAN作为一个单独的网络，它有能力(在第2层)通过一些在主干和其它在另一个主干中的不引起生成树循环的Vlans中的一些VLANs来负载平衡通信[7]。2.2.9HSRPHSRP：热备份路由器协议（HSRP：HotStandbyRouterProtocol）热备份路由器协议（HSRP）的设计目标是支持特定情况下IP流量失败转移不会引起混乱、并允许主机使用单路由器，以及即使在实际第一跳路由器使用失败的情形下仍能维护路由器间的连通性。换句话说，当源主机不能动态知道第一跳路由器的IP地址时，HSRP协议能够保护第一跳路由器不出故障。该协议中含有多种路由器，对应一个虚拟路由器。HSRP协议只支持一个路由器代表虚拟路由器实现数据包转发过程。终端主机将它们各自的数据包转发到该虚拟路由器上。负责转发数据包的路由器称之为主动路由器（ActiveRouter）。一旦主动路由器出现故障，HSRP将激活备份路由器（StandbyRouters）取代主动路由器。HSRP协议提供了一种决定使用主动路由器还是备份路由器的机制，并指定一个虚拟的IP地址作为网络系统的缺省网关地址。如果主动路由器出现故障，备份路由器（StandbyRouters）承接主动路由器的所有任务，并且不会导致主机连通中断现象。HSRP运行在UDP上，采用端口号1985。路由器转发协议数据包的源地址使用的是实际IP地址，而并非虚拟地址，正是基于这一点，HSRP路由器间能相互识别[10]。2.2.10AAA认证AAA-----身份验证(Authentication)、授权(Authorization)和统计(Accounting)Cisco开发的一个提供网络安全的系统。AAA，认证(Authentication)：验证用户的身份与可使用的网络服务;授权(Authorization)：依据认证结果开放网络服务给用户;计帐(Accounting)：记录用户对各种网络服务的用量，并提供给计费系统。整个系统在网络管理与安全问题中十分有效。　首先，认证部分提供了对用户的认证。整个认证通常是采用用户输入用户名与密码来进行权限审核。认证的原理是每个用户都有一个唯一的权限获得标准。由AAA服务器将用户的标准同数据库中每个用户的标准一一核对。如果符合，那么对用户认证通过。如果不符合，则拒绝提供网络连接。81 大型企业网络规划与设计接下来，用户还要通过授权来获得操作相应任务的权限。比如，登陆系统后，用户可能会执行一些命令来进行操作，这时，授权过程会检测用户是否拥有执行这些命令的权限。简单而言，授权过程是一系列强迫策略的组合，包括：确定活动的种类或质量、资源或者用户被允许的服务有哪些。授权过程发生在认证上下文中。一旦用户通过了认证，他们也就被授予了相应的权限。　最后一步是帐户，这一过程将会计算用户在连接过程中消耗的资源数目。这些资源包括连接时间或者用户在连接过程中的收发流量等等。可以根据连接过程的统计日志以及用户信息，还有授权控制、账单、趋势分析、资源利用以及容量计划活动来执行帐户过程。验证授权和帐户由AAA服务器来提供。AAA服务器是一个能够提供这三项服务的程序。当前同AAA服务器协作的网络连接服务器接口是“远程身份验证拨入用户服务(RADIUS)”[10]。81 大型企业网络规划与设计第3章大型企业网络需求分析3.1案例分析Cisco公司已经成功地在中国实践了前述的教育网络设计思想，特别是河南省教育科研宽带IP骨干网络全部采用了先进的高速宽带光传输网络技术，已经成为这类新型教育网络的典范。河南省教育科研宽带IP网络全面采用Cisco公司的AVVID网络体系结构，一期工程总共采用了10台CiscoGSR12016和GSR12012，近20台CiscoOSR6509，其他各类交换机和路由器数百台。该网络集成了远程教学等多种多媒体应用，特别是采用了550部Cisco的新型7940IP电话和4套CallManager组建了我国第一个省级IPTelephony网络，并结合Cisco视频产品IPTV系列建立了许多新的教育模式。这一网络基于分层设计分为三层：骨干传输网、城域网、接入网，采用三级管理模式：省网络中心、地市网络中心、校园网，连接省内各大中专院校、各中小学校、各级教育主管部门和其他教育科研单位，未来更将延伸到每一个需要教育培训的公众面前。骨干网络由分布在17个地市的核心节点组成，与河南省广电合作利用其光纤资源，全省形成环网状冗余拓扑结构。在各个核心节点分别配置Cisco公司在国际上多次获奖的千兆位路由交换机GSR12000系列中的12016和12012作为核心传输设备，节点间使用裸光纤配合POS技术实现OC-482.48G链路互连并采用HSRP技术，以提供物理层、链路层及IP层的冗余连接能力。根据各地市的具体情况，可以建设城域教育网络也可以在核心节点配置汇接设备直接解决接入网络的接入问题，汇接设备可选用Cisco12012或6509，采用POS、DPT或千兆以太技术，传输速率可达1～2.48Gbps，具体设计可以非常灵活。基于CiscoIOS的多功能网络平台：网络中采用的网络设备均采用CiscoIOS(InternetworkingOperationSystem互联网络操作系统)为核心功能软件。CiscoIOS集成了路由技术，局域网交换技术，ATM交换技术，各种移动远程访问接入技术，广域网互连技术等超过15,000个网络互连功能，已经成为网络互连的标准。CiscoIOS系统支持今天的绝大多数网络应用系统，同时CiscoIOS系统可提供从数据链路层到应用层的多种网络服务，如：L2/L3VPN(虚拟专网)，VPDN(虚拟拨号专网)，以及对MPLS技术的支持允许提供各种网络增值服务。丰富的网络安全机制：网络设计是按照标准ISP(国际互联网络服务商)方式设计的IP交换网络平台。整个网络与国际互联网络平滑连接，因此网络的安全性尤其重要。方案中采用CiscoIOS多种安全策略：1)81 大型企业网络规划与设计网络路由信息交换安全策略：包含路由器的认证，路由信息过滤，多种动态路由协议信息交换控制等。2)网络服务安全控制：包含标准访问控制列表(ACL)，扩展的访问控制列表(ExtendACL)，动态访问控制列表(RefliexACL)，按数据流的访问统计和监控(Netflow)，网络资源访问用户认证/授权和记帐(lock&key)。3)基于网络层的加密：网络设备可提供基于标准的网络层加密技术：IPSec，可以提供高可靠的网络访问安全机制。4)网络攻击防范：CiscoIOS可通过对网络访问连接的监控和分析，发现可能出现的网络攻击，如SyncAttack等，并采取相应的的控制手段保护网络资源。5)网络系统告警(Syslog)：网络中采用的设备可对监控到的网络攻击和各种非正常访问发出告警，提醒网络管理人员及时发现问题并采取相应安全策略。设备安全：网络的各种安全策略的实现均基于网络设备的安全设置，这使得网络设备本身的安全控制显得尤其重要。网络设备本身具有多种访问控制安全策略：1)多级访问控制密码：网络中各设备访问控制可通过15级不同的访问权限，网管人员可设置不同的访问权限。如：普通操作员只能监视设备运行，不可进行其他操作；高级的管理员可做故障诊断，不可修改设备配置文件；系统管理员可具有所有功能权限等。2)网络管理系统的安全控制：由于本网络中网络管理系统采用标准的SNMP网络管理技术，因此网络设备的网管可能出现漏洞。本网络中的网络设备可提供多种保护手段，如：特别的网管访问密码；由设备指定特别的网络管理工作站系统等。易管理维护的网络：由于采用了IP骨干技术、DHCP技术和MPLS技术，使得网络的管理简单化。这可以使网络管理人员大为精简，节约运行开销。网络管理人员只需在规划好的网络结构内提供各个接入网络的接入控制即能实行各种网络服务。网络系统的管理工作重点变为对于骨干网络的运行实施系统监控。由于采用的网络设备自身已具备较为完善的网络管理、监控和维护功能，因此采用建立一个管理工具齐全的集中的网络管理中心即可实现全网络的系统管理和监控[11]。81 大型企业网络规划与设计3.2大型企业网络分析为适应企业信息化的发展，满足日益增长的通信需求和网络的稳定运行，今天的企业网络建设比传统企业网络建设有更高的要求，本文将通过对如下几个方面的需求分析来规划出一套最适用于目标网络的拓扑结构。3.2.1宽带性能需求现代大型企业网络应具有更高的带宽，更强大的性能，以满足用户日益增长的通信需求。随着计算机技术的高速发展，基于网络的各种应用日益增多，今天的企业网络已经发展成为一个多业务承载平台。不仅要继续承载企业的办公自动化，Web浏览等简单的数据业务，还要承载涉及企业生产运营的各种业务应用系统数据，以及带宽和时延都要求很高的IP电话、视频会议等多媒体业务。因此，数据流量将大大增加，尤其是对核心网络的数据交换能力提出了前所未有的要求。另外，随着千兆位端口成本的持续下降，千兆位到桌面的应用会在不久的将来成为企业网的主流。从2004年全球交换机市场分析可以看到，增长最迅速的就是10Gbps级别机箱式交换机，可见，万兆位的大规模应用已经真正开始。所以，今天的企业网络已经不能再用百兆位到桌面千兆位骨干来作为建网的标准，核心层及骨干层必须具有万兆位级带宽和处理性能，才能构筑一个畅通无阻的"高品质"大型企业网，从而适应网络规模扩大，业务量日益增长的需要[7]。3.2.2稳定可靠需求现代大型企业的网络应具有更全面的可靠性设计，以实现网络通信的实时畅通，保障企业生产运营的正常进行。随着企业各种业务应用逐渐转移到计算机网络上来，网络通信的无中断运行已经成为保证企业正常生产运营的关键。现代大型企业网络在可靠性设计方面主要应从以下3个方面考虑。设备的可靠性设计：不仅要考察网络设备是否实现了关键部件的冗余备份，还要从网络设备整体设计架构、处理引擎种类等多方面去考察。业务的可靠性设计：网络设备在故障倒换过程中，是否对业务的正常运行有影响。链路的可靠性设计：以太网的链路安全来自于多路径选择，所以在企业网络建设时，要考虑网络设备是否能够提供有效的链路自愈手段，以及快速重路由协议的支持[7]。81 大型企业网络规划与设计3.2.3服务质量需求现代大型企业网络需要提供完善的端到端QoS保障，以满足企业网多业务承载的需求。大型企业网络承载的业务不断增多，单纯的提高带宽并不能够有效地保障数据交换的畅通无阻，所以今天的大型企业网络建设必须要考虑到网络应能够智能识别应用事件的紧急和重要程度，如视频、音频、数据流（MIS、ERP、OA、备份数据）。同时能够调度网络中的资源，保证重要和紧急业务的带宽、时延、优先级和无阻塞的传送，实现对业务的合理调度才是一个大型企业网络提供"高品质"服务的保障[7]。3.2.4网络安全需求现代大型企业网络应提供更完善的网络安全解决方案，以阻击病毒和黑客的攻击，减少企业的经济损失。传统企业网络的安全措施主要是通过部署防火墙、IDS、杀毒软件，以及配合交换机或路由器的ACL来实现对病毒和黑客攻击的防御，但实践证明这些被动的防御措施并不能有效地解决企业网络的安全问题。在企业网络已经成为公司生产运营的重要组成部分的今天，现代企业网络必须要有一整套从用户接入控制，病毒报文识别到主动抑制的一系列安全控制手段，这样才能有效地保证企业网络的稳定运行[7]。3.2.5应用服务需求现代大型企业网络应具备更智能的网络管理解决方案，以适应网络规模日益扩大，维护工作更加复杂的需要。当前的网络已经发展成为"以应用为中心"的信息基础平台，网络管理能力的要求已经上升到了业务层次，传统的网络设备的智能已经不能有效支持网络管理需求的发展。比如，网络调试期间最消耗人力与物力的线缆故障定位工作，网络运行期间对不同用户灵活的服务策略部署、访问权限控制、以及网络日志审计和病毒控制能力等方面的管理工作，由于受网络设备功能本身的限制，都还属于费时、费力的任务。所以现代的大型企业网络迫切需要网络设备具备支撑"以应用为中心"的智能网络运营维护的能力，并能够有一套智能化的管理软件，将网络管理人员从繁重的工作中解脱出来[7]。81 大型企业网络规划与设计3.3本课题系统需求分析该企业位于北京市海淀区中关村，网络联接的建筑物有三个：两个办公楼和一个行政楼。管理部、财务部和网络部在行政楼中；市场部在办公楼A；销售部和人力资源部在办公楼B。所以我们已建筑物的中心也就是行政楼的三层为网络的中心，用光纤连接办公楼A、B，构成电子商务公司网络光纤主干。办公楼2个，行政楼1个1．划分VLAN（见表1）2．VTP动态学习VLAN3．PVST(选根，二层冗余)4．SVI（VLAN间路由）5．HSRP（三层冗余）6．DHCP7．根防护8．3个FAST9．静态路由10．SITE-TO-SITEVPN（连接分公司，固定IP）11．AAA12．PBR（20M专线）13．网管控制81 大型企业网络规划与设计第4章网络系统实现4.1大型企业网络拓扑图图4-1网络拓扑图4.2VLAN及IP地址的规划表1VLAN划分VLAN号VLAN名称IP网段默认网关说明VLAN1GLVLAN10.0.0.0/2410.0.0.254管理VLANVLAN10GLB10.1.0.0/2210.1.3.254管理部VLANVLAN20SCB10.1.4.0/2210.1.7.254市场部VLANVLAN30CWB10.1.8.0/2210.1.11.254财务部VLANVLAN40XSB10.1.12.0/2210.1.15.254销售部VLANVLAN50RLZY10.1.16.0/2210.1.19.254人力资源部VLANVLAN60WLB10.1.20.0/2210.1.23.254网络部VLAN81 大型企业网络规划与设计路由器R1与电信连接的接口F0/0IP为202.100.1.10/24，与HX1连接的接口F1/1IP为192.168.1.1/24，与HX2连接的接口F1/2IP为192.168.2.1/24,与R2连接的接口F1/3IP为192.168.3.1/24。路由器R2与网通连接的接口F0/0IP为202.100.3.10/24，与HX1连接的接口F1/2IP为192.168.4.1/24，与HX2连接的接口F1/1IP为192.168.5.1/24,与R2连接的接口F1/3IP为192.168.3.2/24。路由器R3与HX1连接的接口F1/1IP为192.168.6.1/24，与HX2连接的接口F1/2IP为192.168.7.1/24，与server连接的接口F1/0IP为192.168.8.1/24。路由器R4上与电信连接的接口F1/0IP为202.100.2.10/24，与网通连接的接口F1/1IP为202.100.4.10/24，与SW11连接的接口F1/2IP为10.1.24.1/22。交换机HX1与R1相连的接口F1/0IP为192.168.1.2/24,与R2相连的接口F1/1IP为192.168.4.2/24,与R3相连的接口F1/2IP为192.168.6.2/24。交换机HX2与R1相连的接口F1/0IP为192.168.2.2/24,与R2相连的接口F1/1IP为192.168.5.2/24,与R3相连的接口F1/2IP为192.168.7.2/24。4.3关键网络设备及数量核心层交换机：CiscoCatalyst6509交换机2台汇聚层交换机：CiscoCatalyst4509交换机4台接入层交换机：CiscoCatalyst295024口交换机100台接入路由器：Cisco3500路由器4台81 大型企业网络规划与设计4.4关键网络设备介绍图8Cisco6509交换机Catalyst6509是带有9个插槽的交换机机箱，它可以加两个电源，可按需求配置不同功能类型的模块（如防火墙模块、入侵检模块、VPN模块、SSL加速模块、网络流量分析模块等），更灵活应用在不同需求的网络设计平台上，提高稳定性及安全性。首先，为Catalyst6509核心交换机配备CiscoCatalyst6500SupervisorEngine720模块。SupervisorEngine720支持Catalyst6500系列的第三代模块，能够为企业和电信运营商网络提供先进的IP服务，并提高端口密度，因而非常适合部署在高性能的核心层、数据中心和城域网中。由于使用同一套接口、操作系统和管理工具，Catalyst6500系列监控引擎(SupervisorEngines)能提供操作一致性——可使用相同的备件，所有模块都具有可以预测的性能和多种功能。增强型QOS机制、基于硬件的GRE隧道和NAT，以及由硬件加速的基于MPLS的高性能服务；支持基于用户的Microflow监管，对每个用户实施服务等级协议；采用分布式转发模式，提供高达200Mpps的硬件IPv6能力，可以顺利过渡到Internet2和其他支持3G和PDA的通信网络；配备光纤通道接口模块满足光纤接入需求。加6500系列的防火墙服务模块（FWSM）可以为大型企业和服务供应商提供无以伦比的安全性、可靠性和性能。Catalyst81 大型企业网络规划与设计6500系列和为企业网络和服务供应商网络提供了一系列高性能多层交换解决方案。6500系列提供了广泛的智能交换解决方案，使公司内部网和Internet能够支持多媒体、关键任务数据和语音应用。6500系列交换机为园区网提供了高性能、多层交换的解决方案，专门为需要千兆扩展、可用性高、多层交换的应用环境设计，主要面向园区骨干连接等场合。图9CiscoCatalyst4500系列交换机CiscoCatalyst4500系列能够为无阻碍的第2/3/4层交换提供集成式弹性，因而能进一步加强对融合网络的控制（见图9）。可用性高的融合语音/视频/数据网络能够为正在部署基于互联网企业应用的企业和城域以太网客户提供业务弹性。作为新一代CiscoCatalyst4000系列平台，CiscoCatalyst4500系列包括三种新型CiscoCatalyst机箱：CiscoCatalyst4507R（七个插槽）、CiscoCatalyst4506（六个插槽）和CiscoCatalyst4503（三个插槽）。CiscoCatalyst4500系列中提供的集成式弹性增强包括1＋1超级引擎冗余（只对CiscoCatalyst4507R）、集成式IP电话电源、基于软件的容错以及1+1电源冗余。硬件和软件中的集成式冗余性能够缩短停机时间，从而提高生产率、利润率和客户成功率。作为CiscoAVVID（集成语音、视频和融合数据体系结构）的关键组件，CiscoCatalyst4500能够通过智能网络服务将控制扩展到网络边缘，包括高级服务质量（QoS）、可预测性能、高级安全性、全面管理和集成式弹性。由于CiscoCatalyst4500系列提供与CiscoCatalyst4000系列线卡和超级引擎的兼容性，因而能够在融合网络中延长CiscoCatalyst4000系列的部署窗口。由于这种方式能减少重复运作开支，降低拥有成本，因而能提高投资回报（ROI）。图10CiscoCatalyst3550系列智能以太网交换机81 大型企业网络规划与设计CiscoCatalyst3550系列智能以太网交换机是一个可堆叠多层交换机系列，可通过高可用性、服务质量（QoS）和安全性来改进网络运行（见图10）。凭借一系列快速以太网和千兆位以太网配置，CiscoCatalyst3550系列堪称一款适用于企业和城域接入应用的强大选择。图11CiscoCatalyst2950系列智能以太网交换机CiscoCatalyst2950系列智能以太网交换机是一个固定配置、可堆叠的独立设备系列，提供了线速快速以太网和千兆位以太网连接（见图11）。这是一款最廉价的Cisco交换产品系列，为中型网络和城域接入应用提供了智能服务。作为思科最为廉价的交换产品系列，CiscoCatalyst2950系列在网络或城域接入边缘实现了智能服务。4.5网络设备配置4.5.1基础配置这里以接入层交换机SW1为例（见图1）图1接入层设备Switch>en进入特权模式81 大型企业网络规划与设计Switch#conft进入全局模式Enterconfigurationcommands,oneperline.EndwithCNTL/Z.此注释说明在全局模式下直接按CNTL+Z可以进入特权模式Switch(config)#hostnameSW1修改路由器或者交换机的名字，方便管理SW1(config)#noipdomainlookup关闭域名查询启用与禁止DNS服务器，在交换机默认配置的情况下，当我们输入一条错误的交换机命令时，交换机会尝试将其广播给网络上的DNS服务器并将其解析成对应的IP地址。利用命令noipdomainlookup，可以禁用DNS服务器，可以减少输入错误命令的等待时间SW1(config)#lineconsole0进入CONCOLE0口线程下，通过CONSOLE线串口直接控制交换机或路由器接口SW1(config-line)#noexec-timeout关闭超时时间（真实工程中不能用此命令）SW1(config-line)#loggingsynchronous在线路上同步输出用户在为交换机配置命令时，配置命令会被交换机产生的内部信息隔开或打乱以使用命令loggingsynchronous设置交换机在下一行CLI提示符后复制用户的输入。以上配置为路由器和交换机的基本配置，有方便管理防止出错的作用，所以每台设备上都要配置。4.5.2使用VTP从提高效率的角度出发，在企业网实现实例中使用了VTP技术。将分布层FB1设置成为VTP服务器，其他交换机设置成为VTP客户机。这里接入层交换机SW1将通过VTP获得在分布层交换机FB1中定义的所有VLAN的信息。（见图2）图2分布层设备FB1FB1#vlandatabase特权模式下进入VLAN设置模式(小凡模拟器特有)81 大型企业网络规划与设计FB1(vlan)#vtpdomaincisco定义VTP域名ChangingVTPdomainnamefromNULLtociscoFB1(vlan)#vtpserver将该交换机设置为VTP的服务端DevicemodealreadyVTPSERVER.FB1(vlan)#vtpv2-mode启用的VTP版本号为2V2modeenabled.FB1(vlan)#vtppassword123456设置VTP的密码为123456，交换机的VTP必须密码一致才能同步SettingdeviceVLANdatabasepasswordto123456.FB1(vlan)#vtppruning启用VTP修剪，激活VTP剪裁功能，默认情况下主干道传输所有VLAN的用户数据。有时，交换网络中某台交换机的所有端口都属于同一VLAN的成员，没有必要接收其他VLAN的用户数据。这时，可以激活主干道上的VTP剪裁功能。当激活了VTP剪裁功能以后，交换机将自动剪裁本交换机没有定义的VLAN数据。　　在一个VTP域下，只需要在VTP服务器上激活VTP剪裁功能。同一VTP域下的所有其他交换机也将自动激活VTP剪裁功能。PruningswitchedONFB1(vlan)#apply应用以上配置APPLYcompleted.FB1(vlan)#exit退出VLAN配置模式进入特权模式APPLYcompleted.Exiting....在其他所有的交换机上都要做VTP配置，我们以FB2为例（见图3）81 大型企业网络规划与设计图3分布层设备FB2FB2#vlandaFB2(vlan)#vtpdomainciscoChangingVTPdomainnamefromNULLtociscoFB2(vlan)#vtpclient将FB2设置为客户端，客户端可以学习到服务端的所有VLAN信息。客户模式是没有创建、修改、删除VLAN得权利的，它只能接收和转发信息。而服务器模式拥有以上的所用功能。SettingdevicetoVTPCLIENTmode.FB2(vlan)#vtpv2V2modeenabled.FB2(vlan)#vtppassword123456SettingdeviceVLANdatabasepasswordto123456.FB2(vlan)#exitInCLIENTstate,noapplyattempted.Exiting....4.5.3划分VLAN现在我们根据需求在服务端FB1上配置VLAN信息，创建并命名（见表1）FB11#vlandaFB1(vlan)#vlan10nameGLB创建一个VLAN10命名为GLBVLAN10modified:Name:GLBFB1(vlan)#vlan20nameSCBVLAN20added:Name:SCBFB1(vlan)#vlan30nameCWBVLAN30added:Name:CWBFB1(vlan)#vlan40nameXSBVLAN40added:Name:XSBFB1(vlan)#vlan50nameRLZY81 大型企业网络规划与设计VLAN50added:Name:RLZYFB1(vlan)#vlan60nameWLBVLAN60added:Name:WLBFB1(vlan)#exitAPPLYcompleted.Exiting....4.5.4交换链路封装所有交换机之间相连的线都要起封装协议，我们以FB1和SW1之间的线为例（见图4）图4链路封装FB1(config)#interfacefastEthernet0/4进入要封装的接口FB1(config-if)#switchporttrunkencapsulationdot1q进行封装FB1(config-if)#switchportmodetrunk指定封装模式FB1(config-if)#noshutdown开启接口SW1(config)#interfacefastEthernet0/0SW1(config-if)#switchporttrunkencapsulationdot1qSW1(config-if)#switchportmodetrunkSW1(config-if)#noshutdown封装交换机连接终端的接口，并把该接口划入VLAN，以SW1为例81 大型企业网络规划与设计SW1(config)#intf0/2SW1(config-if)#switchportmodeaccess手工指定封装模式为ACCESS模式SW1(config-if)#switchportaccessvlan10将F0/2口划入VLAN10中SW1(config-if)#noshutdown4.5.5PVST技术由于网络拓扑比较大，两两相连加冗余会出现环路，所以需要配置二层防环的PVST首先要选举根桥，我们这里手工指定HX1为VLAN102030的主根，VLAN405060的备份根；HX2为VLAN405060的主根，VLAN102030的备份根。HX1(config)#spanning-treemodepvst开启PVST生成树模式HX1(config)#spanning-treevlan10，20，30rootprimary将HX1设置为VLAN102030的主根HX1(config)#spanning-treevlan40，50，60rootsecondary将HX1设置为VLAN405060的备份根HX2(config)#spanning-treemodepvstHX2(config)#spanning-treevlan40，50，60rootprimaryHX2(config)#spanning-treevlan10，20，30rootsecondary4.5.6PVST的三个FAST由于只启用PVST后根切换时生成树接口从阻塞状态到转发状态速度会很慢，采用PORTFAST,UPLINKFAST,BACKBONEFAST三个FAST会大大缩短状态转换的时间，提高效率。Portfast在接入层面向终端的接口上做，可减少30S的时间SW1(config)#intf0/2SW1(config-if)#spanning-treeportfastbpduguard启用portfastUplinkfast在接入层交换机上做，可减少30S时间SW1(config)#spanning-treeuplinkfast81 大型企业网络规划与设计启用uplinkfastBackbonefast在所有交换机上做，可减少20S时间SW1(config)#spanning-treebackbonefast启用backbonefast4.5.7DHCP现在需要为路由器接口和所有的PC机接口配置IP地址。由于4000个结点的网络比较大，为每一台PC手工配置地址的工作量相当大，所以我们要使用DHCP技术。HX1(config)#ipdhcpexcluded-address10.1.0.1HX1(config)#ipdhcpexcluded-address10.1.0.2HX1(config)#ipdhcpexcluded-address10.1.0.100HX1(config)#ipdhcpexcluded-address10.1.3.254先配置除去PC机不能使用的IP地址HX1(config)#ipdhcpexcluded-address10.1.4.1HX1(config)#ipdhcpexcluded-address10.1.4.2HX1(config)#ipdhcpexcluded-address10.1.4.100HX1(config)#ipdhcpexcluded-address10.1.7.254HX1(config)#ipdhcpexcluded-address10.1.8.1HX1(config)#ipdhcpexcluded-address10.1.8.2HX1(config)#ipdhcpexcluded-address10.1.8.100HX1(config)#ipdhcpexcluded-address10.1.11.254HX1(config)#ipdhcpexcluded-address10.1.12.1HX1(config)#ipdhcpexcluded-address10.1.12.2HX1(config)#ipdhcpexcluded-address10.1.12.100HX1(config)#ipdhcpexcluded-address10.1.15.254HX1(config)#ipdhcpexcluded-address10.1.16.1HX1(config)#ipdhcpexcluded-address10.1.16.281 大型企业网络规划与设计HX1(config)#ipdhcpexcluded-address10.1.16.100HX1(config)#ipdhcpexcluded-address10.1.19.254HX1(config)#ipdhcpexcluded-address10.1.20.1HX1(config)#ipdhcpexcluded-address10.1.20.2HX1(config)#ipdhcpexcluded-address10.1.20.100HX1(config)#ipdhcpexcluded-address10.1.23.254HX1(config)#ipdhcppoolccie1创建地址池CCIE1，一个VLAN一个地址池network10.1.0.0255.255.248.0宣告网段default-router10.1.0.100默认网关leaseinfinite地址租约时间设置为无限HX1(config)#ipdhcppoolccie2network10.1.4.0255.255.248.0default-router10.1.4.100leaseinfiniteHX1(config)#ipdhcppoolccie3network10.1.8.0255.255.248.0default-router10.1.8.100leaseinfiniteHX1(config)#ipdhcppoolccie4network10.1.12.0255.255.248.0default-router10.1.12.100leaseinfiniteHX1(config)#ipdhcppoolccie5network10.1.16.0255.255.248.081 大型企业网络规划与设计default-router10.1.16.100leaseinfiniteHX1(config)#ipdhcppoolccie6network10.1.20.0255.255.248.0default-router10.1.20.100leaseinfinitePC1(config)#ipdefault-gateway10.1.0.100在PC机上指定默认网关，所有的PC都要指和自己对应的网关4.5.8HSRP核心层交换机的作用是快速转发，如果它发生故障，则会导致下层所有网络瘫痪。所以要给核心层交换机做备份做冗余。我们一般使用两台核心交换机。这就用到了三层冗余技术：热备份HSRP。HX1(config)#interfaceVlan10进入VLAN10的接口下HX1(config-if)#ipaddress10.1.0.1255.255.248.0给VLAN10配置虚拟IP地址HX1(config-if)#standby1ip10.1.0.100同步网关HX1(config-if)#standby1priority105设置优先级，设置为主核心ACTIVEROUTERHX1(config-if)#standby1preempt配置抢占HX1(config-if)#standby1trackFastEthernet0/0配置端口跟踪，面向上行链路以上配置VALN102030都要做HX1(config)#interfaceVlan40HX1(config-if)#ipaddress172.16.2.1255.255.255.0HX1(config-if)#standbypreemptHX1(config-if)#standby2ip172.16.2.10081 大型企业网络规划与设计不设置优先级，表示为STANDBYROUTER以上配置VALN405060都要做同理在HX2上做相应配置，要把ACTIVE和STANDBY对调。4.5.9根防护为了防止交换机上有接入一台优先级或MAC地址较小的交换机使得根被抢，要配置根防护SW1(config-if)#spanning-treeportfastbpduguarddefault所有接入层交换机面向PC的端口和连接设备的端口上都要做4.5.10路由协议路由器和核心交换机之间工作在三层，所以要起路由协议，这里启用EIGRP路由协议，由于与分公司之间设备比较少，我们只需要使用静态路由即可。（见图5）图5三层设备HX1(config)#iprouting启用路由功能，核心层交换机HX1和HX2需要为网络中的各个VLAN提供路由功能。这需要首先启用核心层交换机的路由功能。R1(config)#routereigrp10081 大型企业网络规划与设计启用EIGRP协议R1(config-router)#noauto-summary关闭自动汇总功能R1(config-router)#network202.100.1.0把202.100.1.0网段宣告进协议中R1(config-router)#network192.168.1.0R1(config-router)#network192.168.2.0HX1(config)#routereigrp100HX1(config-router)#noauto-summaryHX1(config-router)#network192.168.1.0HX1(config-router)#network192.168.3.0HX1(config-router)#network10.1.0.0HX1(config-router)#network10.1.4.0HX1(config-router)#network10.1.8.0HX1(config-router)#network10.1.12.0HX1(config-router)#network10.1.16.0HX1(config-router)#network10.1.20.0HX2(config)#routereigrp100HX2(config-router)#noauto-summaryHX2(config-router)#network192.168.2.0HX2(config-router)#network192.168.4.0HX2(config-router)#network10.1.0.0HX2(config-router)#network10.1.4.0HX2(config-router)#network10.1.8.0HX2(config-router)#network10.1.12.0HX2(config-router)#network10.1.16.0HX2(config-router)#network10.1.20.04.5.11GRE-VPN由于连接分公司的线路需要经过公网，为了保证其流量的安全性，需要打一条虚拟的通道GRE-VPN（见图6）81 大型企业网络规划与设计图6GRE-VPN首先要定义加密策略R1(config)#cryptoisakmppolicy1加密第一阶段IKE1R1(config-isakmp)#authenticationpre-share设备认证，域共享R1(config-isakmp)#encryption3des数据加密方式R1(config-isakmp)#group2Diffiehellma分发密钥，产生公钥和私钥R1(config-isakmp)#hashmd5检验数据包完整性R1(config-isakmp)#exitR1(config)#cryptoisakmpkey0ciscoaddress202.100.1.101域共享的密钥为ciscoR1(config)#cryptoipsectransform-setciscoesp-3desesp-md5-hmac加密第二阶段，给数据包加密，指定加密方式R1(config)#access-list101permitip192.168.1.10.0.0.25510.1.24.10.0.3.255定义一个感兴趣流R1(config)#cryptomapcisco1ipsec-isakmpR1(config-crypto-map)#matchaddress101R1(config-crypto-map)#setpeer202.100.1.10181 大型企业网络规划与设计R1(config-crypto-map)#settransform-setciscoR1(config-crypto-map)#exitR1(config)#inttunnel0进入TUNNEL0口R1(config-if)#tunnelsource202.100.1.100配置通道源地址R1(config-if)#tunneldestination202.100.1.101配置通道目的地址R1(config-if)#tunnelmodegreip指定通道模式R1(config-if)#ipaddress202.100.1.1255.255.252.0给通道接口配置虚拟IP地址R1(config-if)#cryptomapcisco将VPN挂在通道接口下R1(config)#iproute10.1.24.1255.255.252.0202.100.1.1指一条静态路由R2(config)#cryptoisakmppolicy1R2(config-isakmp)#authenticationpre-shareR2(config-isakmp)#encryption3desR2(config-isakmp)#group2R2(config-isakmp)#hashmd5R2(config-isakmp)#exitR2(config)#cryptoisakmpkey0ciscoaddress202.100.1.100R2(config)#cryptoipsectransform-setciscoesp-3desesp-md5-hmacR2(config)#access-list101permitip10.1.24.10.0.3.255192.168.1.10.0.0.255R2(config)#cryptomapcisco1ipsec-isakmpR2(config-crypto-map)#matchaddress101R2(config-crypto-map)#setpeer202.100.1.100R2(config-crypto-map)#settransform-setciscoR2(config-crypto-map)#exit81 大型企业网络规划与设计R2(config)#inttunnel0R2(config-if)#tunnelsource202.100.1.101R2(config-if)#tunneldestination202.100.1.100R2(config-if)#tunnelmodegreipR2(config-if)#ipaddress202.100.1.2255.255.252.0R2(config-if)#cryptomapciscoR2(config-if)#exitR2(config)#iproute192.168.1.1255.255.252.0202.100.1.24.5.12AAA服务器AAA为了加强企业网的安全性，我们启用AAA服务器。该配置在连接AAA服务器的HX2上做。HX2(config)#aaanew-mode1HX2(config)#aaaauthenticationdot1xdefaultgroupradiusHX2(config)#dot1xsystem-auth-controlHX2(config)#interfacef0/1HX2(config-if)#swichportmodeaccessHX2(config-if)#dot1xport-controlautoHX2(config-if)#dot1xguest-vlan1HX2(config-if)#dot1xauth-failvlan1HX2(config)#aaaauthenticationlogintelnetgrouptacacs+HX2(config)#aaaauthorizationexectelnetgrouptacacs+HX2(config)#aaaaccountingexectelnetstart-stopgrouptacacs+HX2(config)#tacacs-severhost192.168.100.100HX2(config)#tacacs-severkeycisco4.5.13PBR20M专线网管和管理部需要有特权去高速稳定地访问外网，我们需要在R1上配置20M专线去达到这一需求。R1(config)#access-list112permitipany10.1.0.00.0.3.255创建访问控制列表来抓住管理部VLAN的流量R1(config)#access-list112permitipany10.1.20.00.0.3.25581 大型企业网络规划与设计R1(config)#access-list112deny ipanyany其他流量不允许通过R1(config)#route-mapzhuanxianpermit10创建路由映射表R1(config-route-map)#matchipaddress112匹配所抓住的流量R1(config-route-map)#setipnext-hop202.100.2.100指定下一跳地址或端口R1(config)#interfaceE0/1R1(config-if)#ipnatinside挂NAT入方向R1(config)#interfaceE0/21(config-if)#ipnatinsideR1(config)#interfaceE0/3R1(config-if)#ipnatoutside挂NAT出方向R1(config)#ipnatpoolwangtong202.100.1.103202.100.254.254netmask255.255.0.0设置对外访问地址,创建地址池R1(config)#access–list100permitip10.0.0.00.0.3.255any指定NAT范围，匹配IPR1(config)#ipnatinsidesourcelist100poolwangtongoverload设置过载，抓流量4.5.14网管控制为了方便管理员对企业网安全方便的管理控制，我们需要对坐配置使得管理员能都使用PC直接连接或远程登陆到到交换机进行控制。HX2(config)#linevty04进入VTY线程下HX2(config-line)#passwordccna1配置远程访问交换机的密码HX2(config-line)#login登陆验证81 大型企业网络规划与设计HX2(Config-line)#exec-timeout111配置登录交换机虚拟终端线的超时时间为1分11秒钟HX2(config-line)#linecon0HX2(config-line)#passwordccna2HX2(config-line)#loginHX2(config-line)#exec-timeout1114.5.15其他配置R1(config)#interfacerangeE0/0-3R1(config-if-range)#duplexfull可以设定某端口根据对端设备双工类型自动调整本端口双工模式，也可以强制将端口双工模式设为半双工或全双工模式。在了解对端设备类型的情况下，建议手动设置端口双工模式。因为路由器和交换机接口的双工模式必须匹配才可通信。这里全部工作在全双工模式。SW1(config)#interfacerangefastethernet0/1-24SW1(config-if-range)#speed100可以设定某端口根据对端设备速度自动调整本端口速度，也可以强制将端口速度设为10Mpbs或100Mbps。在了解对端设备速度的情况下，建议手动设置端口速度。这里全部工作在100Mbps.图7分布层交换机FB1(config)#ipclasslessFB1(config)#ipsubnet-zero以实现对无类网络和全零子网的支持（见图7）81 大型企业网络规划与设计4.6施工管理4.6.1施工前准备合同签订后，客户和公司双方派出项目负责人，共同协商制订施工要求的原则性文件，通过后，一切照文件实行。施工前我公司将对所有参加本次工程的技术工作人员进行工人员守则、和与施工相关的文件的学习，以提高对工程的认知度和对岗位的责任感。我们将用明文确定贵校工程的项目负责团队，明确权利和责任，在组织上一定保证工程的进度和质量。4.6.2设备及材料为确保工程的质量，对工程中所用到的所有设备及材料本公司将严格把关。选择质量可靠、性能良好的设备及材料、严格按合同进货、货到后有双方工程负责人一同验收。4.6.3施工过程管理根据贵校的情况，安排好施工进度，分配施工任务，加强随工检查，在施工过程中采取如下措施：1加强对施工人员的管理2保证施工现场的卫生3保证不影响到企业工作人员的正常工作4保证确保工程的质量和进度5在施工过程中接受企业相关人员的检查指导，及时征求意见，改进工作，提高工作质量，直到达到优质工程的要求。6绝对保证施工的安全4.6.4施工完成后质量的检查和验收施工完成后，双方派出有关人员进行全面的质量检查，进行系统的总验收。完全达到双方签订的合同要求后，进行工程的总移交。如在合同范围内，不达到要求的地方一定返工，直到达到要求为止。4.6.5施工步骤系统施工按顺序主要分为以下几个阶段：1管道、线槽铺设81 大型企业网络规划与设计2穿线3设备安装检查：安装前，要检查各设备外观及可动部分是否正常。固定：按照说明书中提供的方式、尺寸，正确安装固定和末端装置及设备，安装后，检查是否正确，是否牢固。4接线接线前，应对各线路进行校验，做好标记、线号，正确无误后，在按照接线图进行端子接线，接线后，一定要核查、检查，确保正确。5系统试运行6竣工交验81 大型企业网络规划与设计第5章网络效果验证5.1关键三层设备路由表5.1.1接入路由器R1路由表图5-1接入路由器R1路由表路由器R1及R2是本网络接入路由器,图5-1中,“O(ospf)”路由条目为电信、网通运营商为本网络提供的路由信息。“D(eigrp)”路由条目为本网络三层路由设备间的路由信息。此路由表信息显示，在路由器R1上，本网络所涉及的所有网段均可达。81 大型企业网络规划与设计5.1.2核心层交换机HX1路由表图5-2核心层交换机HX1路由表核心层交换机HX1及HX2是本网络核心交换机,图5-2中,“D(eigrp)192.168.8.0”为服务器网段信息。其余“D(eigrp)”路由条目为本网络三层路由设备间的路由信息。此路由表信息显示，在交换机HX1上，本网络内部的所有网段均可达。81 大型企业网络规划与设计5.1.3汇聚层交换机FB1路由表图5-3汇聚层交换机FB1路由表汇聚层交换机FB1及FB2、FB3、FB4是本网络汇聚交换机，图5-3中,“C(connected)10.1.0.0”及“D(eigrp)10.1.4.0”、“D(eigrp)10.1.8.0”、“D(eigrp)10.1.12.0”VLAN信息路由条目。其余“D(eigrp)”路由条目为本网络三层路由设备间的路由信息。此路由表信息显示，在交换机FB1上，本网络内部的所有VLAN均可达。81 大型企业网络规划与设计5.2网络连通性验证5.2.1本部接入层交换机SW1访问服务器图5-4本部接入层交换机向服务器发送数据请求如图5-4所示，本地部门网络用户向服务器发送数据请求，测试结果畅通。5.2.2外地分公司R4访问服务器图5-5外地分公司接入路由器向服务器发送数据请求如图5-5所示，外地分公司网络用户向本地服务器发送数据请求，测试结果畅通。5.2.3外地分公司SW10访问本部接入交换机图5-6外地分公司接入路由器向本部接入交换机发送数据请求如图5-6所示，外地分公司网络用户向本地部门网络用户发送数据请求，测试结果畅通。81 大型企业网络规划与设计5.3VPN效果验证图5-7VPN连通性验证如图所示，路由器R1以loopback0端口为起点，向目标路由器发送数据请求，测试结果畅通。从图5-1可以看出，本次连接路径并非是经过ospf路由协议所达成的效果。而在电信、网通所代表的运营商之间并无VPN连接的数据信息。从而达到安全可靠的目标需求。81 大型企业网络规划与设计第6章结束语通过此次毕业设计，我对自己在路由交换网络方面的学习有了更深刻的理解，更系统地分析并掌握了所学的知识，尤其是对各类路由协议的特性与用法和配置有了更深的体会，专业技能有了很大的提高。虽然此次的设计来源于实际工程，类似于实际工程，但是它和真正的项目还是有一些差别的，所以在今后的学习中，我会更加注重理论与实践的结合，在理论学习的过程中，融会更多的真实案例，为将来真正的项目奠基。81 大型企业网络规划与设计致谢这次的毕业论文设计总结是在我的指导老师李娟老师亲切关怀和悉心指导下完成的。从毕业设计选题到设计完成，李娟老师给予了我耐心指导与细心关怀，有了李娟老师耐心指导与细心关怀我才不会在设计的过程中迷失方向，失去前进动力。李娟老师有严肃的科学态度，严谨的治学精神和精益求精的工作作风，这些都是我所需要学习的，感谢李娟老师给予了我这样一个学习机会，谢谢！感谢与我并肩作战的舍友与同学们，感谢关心我支持我的朋友们，感谢学校领导、老师们，感谢你们给予我的帮助与关怀；感谢北方民族大学四年来为我提供的良好学习氛围和生活环境，谢谢！81 大型企业网络规划与设计参考文献[1]吴学毅.计算机网络规划与设计.[M].北京：机械工业出版社，2009.142～273.[2]多伊尔.TCP/IP路由技术第一卷[M].葛建立.北京:人民邮电出版社2007.23～441.[3]多伊尔.TCP/IP路由技术第二卷[M].葛建立.北京:人民邮电出版社2007.13～151.[4]杰克.思科CCNP公版教材BCMSN[M].魏巍等译.北京：电子工业出版社，2004.53~752.[5]DAVIDHUCABY,STEVEMCQUERRY.Cisco交换现场[M].张辉译.北京：人民邮电出版社，2004.13~92.[6]Richardfroom.组建Cisco多层交换网络BCMSN[M].刘大伟，张芳译.北京：人民邮电出版社，2008.16~433.[7]梁广民，王隆杰.思科网络实验室---路由交换实验指南[M].北京：电子工业出版社，2008.33~457.[8]DianeTeare，CatherinePaquet.组建可扩展的Cisco互联网络BSCI[M].陈宇，袁国忠译.北京：人民邮电出版社，2008.32~742.[9]陈向阳.网络工程规划与设计.[M].北京：清华大学出版社，2007.29～124.[10]Diane.组建可扩展Cisco互连网络[M].陈宇.北京:人民邮电出版社2007.12～247.[11]高峡.网络设备互连实验指南.[M].北京：科学出版社，2009.131～165.[12]梁广民.网络设备互联技术.[M].北京：清华大学出版社，2010.150～283.[13]百度搜索网www.baidu.com81 大型企业网络规划与设计附录核心设备配置命令:R1#showrunning-configBuildingconfiguration...Currentconfiguration:1932bytes!version12.4servicetimestampsdebugdatetimemsecservicetimestampslogdatetimemsecnoservicepassword-encryption!hostnameR1!boot-start-markerboot-end-marker!!noaaanew-modelmemory-sizeiomem5ipcef!noipdomainlookup!multilinkbundle-nameauthenticated!cryptoisakmppolicy10authenticationpre-sharecryptoisakmpkeyciscoaddress0.0.0.00.0.0.0!81 大型企业网络规划与设计!cryptoipsectransform-setciscoesp-3desesp-sha-hmac!cryptomapcisco10ipsec-isakmpsetpeer202.100.2.10settransform-setciscomatchaddressipsecuse!interfaceLoopback0ipaddress1.1.1.1255.255.255.255!interfaceFastEthernet0/0ipaddress202.100.1.10255.255.255.0duplexautospeedautocryptomapcisco!interfaceFastEthernet0/1noipaddressshutdownduplexautospeedauto!interfaceFastEthernet1/0!interfaceFastEthernet1/1noswitchportipaddress192.168.1.1255.255.255.0!interfaceFastEthernet1/2noswitchportipaddress192.168.2.1255.255.255.0!81 大型企业网络规划与设计interfaceFastEthernet1/3noswitchportipaddress192.168.3.1255.255.255.0!interfaceFastEthernet1/4!interfaceFastEthernet1/5!interfaceFastEthernet1/6!interfaceFastEthernet1/7!interfaceFastEthernet1/8!interfaceFastEthernet1/9!interfaceFastEthernet1/10!interfaceFastEthernet1/11!interfaceFastEthernet1/12!interfaceFastEthernet1/13!interfaceFastEthernet1/14!interfaceFastEthernet1/15!interfaceVlan1noipaddress!routereigrp90network192.168.1.081 大型企业网络规划与设计network192.168.2.0network192.168.3.0noauto-summary!routerospf100log-adjacency-changesnetwork202.100.1.100.0.0.0area0!iproute4.4.4.4255.255.255.255202.100.1.1!!noiphttpservernoiphttpsecure-server!ipaccess-listextendedipsecusepermitiphost1.1.1.1host4.4.4.4!control-plane!linecon0exec-timeout00loggingsynchronouslineaux0linevty04login!endR2#showrunning-configBuildingconfiguration...Currentconfiguration:1542bytes81 大型企业网络规划与设计!version12.4servicetimestampsdebugdatetimemsecservicetimestampslogdatetimemsecnoservicepassword-encryption!hostnameR2!boot-start-markerboot-end-marker!noaaanew-modelmemory-sizeiomem5ipcef!noipdomainlookup!multilinkbundle-nameauthenticated!interfaceLoopback0ipaddress2.2.2.2255.255.255.255!interfaceFastEthernet0/0ipaddress202.100.3.10255.255.255.0duplexautospeedauto!interfaceFastEthernet0/1noipaddressshutdownduplexautospeedauto!81 大型企业网络规划与设计interfaceFastEthernet1/0!interfaceFastEthernet1/1noswitchportipaddress192.168.5.1255.255.255.0!interfaceFastEthernet1/2noswitchportipaddress192.168.4.1255.255.255.0!interfaceFastEthernet1/3noswitchportipaddress192.168.3.2255.255.255.0!interfaceFastEthernet1/4!interfaceFastEthernet1/5!interfaceFastEthernet1/6!interfaceFastEthernet1/7!interfaceFastEthernet1/8!interfaceFastEthernet1/9!interfaceFastEthernet1/10!interfaceFastEthernet1/11!interfaceFastEthernet1/12!interfaceFastEthernet1/1381 大型企业网络规划与设计!interfaceFastEthernet1/14!interfaceFastEthernet1/15!interfaceVlan1noipaddress!routereigrp90network192.168.3.0network192.168.4.0network192.168.5.0noauto-summary!routerospf100log-adjacency-changesnoauto-costnetwork202.100.3.100.0.0.0area0!noiphttpservernoiphttpsecure-server!control-plane!linecon0exec-timeout00loggingsynchronouslineaux0linevty04login!end81 大型企业网络规划与设计R3#showrunning-configBuildingconfiguration...Currentconfiguration:1325bytes!version12.4servicetimestampsdebugdatetimemsecservicetimestampslogdatetimemsecnoservicepassword-encryption!hostnameR3!boot-start-markerboot-end-marker!noaaanew-modelmemory-sizeiomem5ipcef!noipdomainlookup!multilinkbundle-nameauthenticated!interfaceFastEthernet0/0noipaddressshutdownduplexautospeedauto!interfaceFastEthernet0/1noipaddress81 大型企业网络规划与设计shutdownduplexautospeedauto!interfaceFastEthernet1/0!interfaceFastEthernet1/1noswitchportipaddress192.168.6.1255.255.255.0!interfaceFastEthernet1/2noswitchportipaddress192.168.7.1255.255.255.0!interfaceFastEthernet1/3noswitchportipaddress192.168.8.1255.255.255.0!interfaceFastEthernet1/4!interfaceFastEthernet1/5!interfaceFastEthernet1/6!interfaceFastEthernet1/7!interfaceFastEthernet1/8!interfaceFastEthernet1/9!interfaceFastEthernet1/10!interfaceFastEthernet1/1181 大型企业网络规划与设计!interfaceFastEthernet1/12!interfaceFastEthernet1/13!interfaceFastEthernet1/14!interfaceFastEthernet1/15!interfaceVlan1noipaddress!routereigrp90network0.0.0.0noauto-summary!noiphttpservernoiphttpsecure-server!control-plane!linecon0exec-timeout00loggingsynchronouslineaux0linevty04!endR4#showrunning-configBuildingconfiguration...Currentconfiguration:1905bytes81 大型企业网络规划与设计!version12.4servicetimestampsdebugdatetimemsecservicetimestampslogdatetimemsecnoservicepassword-encryption!hostnameR4!boot-start-markerboot-end-marker!!noaaanew-modelmemory-sizeiomem5ipcef!noipdomainlookup!multilinkbundle-nameauthenticated!cryptoisakmppolicy10authenticationpre-sharecryptoisakmpkeyciscoaddress0.0.0.00.0.0.0!cryptoipsectransform-setciscoesp-3desesp-sha-hmac!cryptomapcisco10ipsec-isakmpsetpeer202.100.1.10settransform-setciscomatchaddressipsecuse!interfaceLoopback0ipaddress4.4.4.4255.255.255.25581 大型企业网络规划与设计!interfaceFastEthernet0/0noipaddressshutdownduplexautospeedauto!interfaceFastEthernet0/1noipaddressshutdownduplexautospeedauto!interfaceFastEthernet1/0noswitchportipaddress202.100.2.10255.255.255.0cryptomapcisco!interfaceFastEthernet1/1noswitchportipaddress202.100.4.10255.255.255.0!interfaceFastEthernet1/2noswitchportipaddress10.1.24.1255.255.252.0!interfaceFastEthernet1/3!interfaceFastEthernet1/4!interfaceFastEthernet1/5!interfaceFastEthernet1/681 大型企业网络规划与设计!interfaceFastEthernet1/7!interfaceFastEthernet1/8!interfaceFastEthernet1/9!interfaceFastEthernet1/10!interfaceFastEthernet1/11!interfaceFastEthernet1/12!interfaceFastEthernet1/13!interfaceFastEthernet1/14!interfaceFastEthernet1/15!interfaceVlan1noipaddress!routerospf100log-adjacency-changesnoauto-costnetwork10.1.24.10.0.0.0area0network202.100.2.100.0.0.0area0network202.100.4.100.0.0.0area0!iproute1.1.1.1255.255.255.255202.100.2.1!noiphttpservernoiphttpsecure-server81 大型企业网络规划与设计!ipaccess-listextendedipsecusepermitiphost4.4.4.4host1.1.1.1!control-plane!linecon0exec-timeout00loggingsynchronouslineaux0linevty04login!endDX#showrunning-configBuildingconfiguration...Currentconfiguration:787bytes!version12.4servicetimestampsdebugdatetimemsecservicetimestampslogdatetimemsecnoservicepassword-encryption!hostnameDX!boot-start-markerboot-end-marker!!noaaanew-model81 大型企业网络规划与设计memory-sizeiomem5ipcefnoipdomainlookup!multilinkbundle-nameauthenticated!interfaceFastEthernet0/0ipaddress202.100.1.1255.255.255.0duplexautospeedauto!interfaceFastEthernet0/1ipaddress202.100.2.1255.255.255.0duplexautospeedauto!routerospf100log-adjacency-changesnoauto-costnetwork202.100.1.10.0.0.0area0network202.100.2.10.0.0.0area0!noiphttpservernoiphttpsecure-server!control-plane!linecon0exec-timeout00loggingsynchronouslineaux0linevty04login81 大型企业网络规划与设计!endWT#showrunning-configBuildingconfiguration...Currentconfiguration:980bytes!version12.4servicetimestampsdebugdatetimemsecservicetimestampslogdatetimemsecnoservicepassword-encryption!hostnameWT!boot-start-markerboot-end-marker!noaaanew-modelmemory-sizeiomem5ipcef!noipdomainlookup!multilinkbundle-nameauthenticated!interfaceLoopback0ipaddress1.1.1.1255.255.255.255!interfaceFastEthernet0/0ipaddress202.100.3.1255.255.255.0duplexautospeedauto!81 大型企业网络规划与设计interfaceFastEthernet0/1ipaddress202.100.4.1255.255.255.0duplexautospeedauto!routereigrp90network192.168.1.0network192.168.2.0network192.168.3.0noauto-summary!routerospf100log-adjacency-changesnoauto-costnetwork202.100.1.100.0.0.0area0network202.100.3.10.0.0.0area0network202.100.4.10.0.0.0area0!noiphttpservernoiphttpsecure-server!control-plane!linecon0exec-timeout00loggingsynchronouslineaux0linevty04login!end81 大型企业网络规划与设计HX1#showrunning-configBuildingconfiguration...Currentconfiguration:1534bytes!version12.4servicetimestampsdebugdatetimemsecservicetimestampslogdatetimemsecnoservicepassword-encryption!hostnameHX1!boot-start-markerboot-end-marker!noaaanew-modelmemory-sizeiomem5ipcef!noipdomainlookup!multilinkbundle-nameauthenticated!interfaceFastEthernet0/0noipaddressshutdownduplexautospeedauto!interfaceFastEthernet0/1noipaddressshutdown81 大型企业网络规划与设计duplexautospeedauto!interfaceFastEthernet1/0noswitchportipaddress192.168.1.2255.255.255.0!interfaceFastEthernet1/1noswitchportipaddress192.168.4.2255.255.255.0!interfaceFastEthernet1/2noswitchportipaddress192.168.6.2255.255.255.0!interfaceFastEthernet1/3!interfaceFastEthernet1/4!interfaceFastEthernet1/5noswitchportipaddress172.16.1.1255.255.255.0!interfaceFastEthernet1/6noswitchportipaddress172.16.2.1255.255.255.0!interfaceFastEthernet1/7noswitchportipaddress172.16.3.1255.255.255.0!interfaceFastEthernet1/8noswitchport81 大型企业网络规划与设计ipaddress172.16.4.1255.255.255.0!interfaceFastEthernet1/9!interfaceFastEthernet1/10!interfaceFastEthernet1/11!interfaceFastEthernet1/12!interfaceFastEthernet1/13!interfaceFastEthernet1/14!interfaceFastEthernet1/15!interfaceVlan1noipaddress!routereigrp90network0.0.0.0noauto-summary!noiphttpservernoiphttpsecure-server!control-plane!linecon0exec-timeout00loggingsynchronouslineaux0linevty0481 大型企业网络规划与设计!endHX2#showrunning-configBuildingconfiguration...Currentconfiguration:1534bytes!version12.4servicetimestampsdebugdatetimemsecservicetimestampslogdatetimemsecnoservicepassword-encryption!hostnameHX2!boot-start-markerboot-end-marker!noaaanew-modelmemory-sizeiomem5ipcef!noipdomainlookup!multilinkbundle-nameauthenticated!interfaceFastEthernet0/0noipaddressshutdownduplexautospeedauto!interfaceFastEthernet0/1noipaddressshutdown81 大型企业网络规划与设计duplexautospeedauto!interfaceFastEthernet1/0noswitchportipaddress192.168.2.2255.255.255.0!interfaceFastEthernet1/1noswitchportipaddress192.168.5.2255.255.255.0!interfaceFastEthernet1/2noswitchportipaddress192.168.7.2255.255.255.0!interfaceFastEthernet1/3!interfaceFastEthernet1/4!interfaceFastEthernet1/5noswitchportipaddress172.16.5.1255.255.255.0!interfaceFastEthernet1/6noswitchportipaddress172.16.6.1255.255.255.0!interfaceFastEthernet1/7noswitchportipaddress172.16.7.1255.255.255.0!interfaceFastEthernet1/8noswitchport81 大型企业网络规划与设计ipaddress172.16.8.1255.255.255.0!interfaceFastEthernet1/9!interfaceFastEthernet1/10!interfaceFastEthernet1/11!interfaceFastEthernet1/12!interfaceFastEthernet1/13!interfaceFastEthernet1/14!interfaceFastEthernet1/15!interfaceVlan1noipaddress!routereigrp90network0.0.0.0noauto-summary!noiphttpservernoiphttpsecure-server!control-plane!linecon0exec-timeout00loggingsynchronouslineaux0linevty0481 大型企业网络规划与设计!endFB1#showrunning-configBuildingconfiguration...Currentconfiguration:1339bytes!version12.4servicetimestampsdebugdatetimemsecservicetimestampslogdatetimemsecnoservicepassword-encryption!hostnameFB1!boot-start-markerboot-end-marker!noaaanew-modelmemory-sizeiomem5ipcef!noipdomainlookup!multilinkbundle-nameauthenticated!interfaceFastEthernet0/0ipaddress172.16.1.2255.255.255.0duplexautospeedauto!interfaceFastEthernet0/1ipaddress172.16.5.2255.255.255.0duplexauto81 大型企业网络规划与设计speedauto!interfaceFastEthernet1/0switchportmodetrunk!interfaceFastEthernet1/1!interfaceFastEthernet1/2!interfaceFastEthernet1/3!interfaceFastEthernet1/4!interfaceFastEthernet1/5!interfaceFastEthernet1/6!interfaceFastEthernet1/7!interfaceFastEthernet1/8!interfaceFastEthernet1/9!interfaceFastEthernet1/10!interfaceFastEthernet1/11!interfaceFastEthernet1/12!interfaceFastEthernet1/13!interfaceFastEthernet1/14!81 大型企业网络规划与设计interfaceFastEthernet1/15!interfaceVlan1noipaddress!interfaceVlan10ipaddress10.1.0.1255.255.252.0standby10ip10.1.3.254standby10priority105standby10preempt!routereigrp90network0.0.0.0noauto-summary!!!noiphttpservernoiphttpsecure-server!control-plane!linecon0exec-timeout00loggingsynchronouslineaux0linevty04!end81 大型企业网络规划与设计FB2#showrunning-configBuildingconfiguration...Currentconfiguration:1462bytes!version12.4servicetimestampsdebugdatetimemsecservicetimestampslogdatetimemsecnoservicepassword-encryption!hostnameFB2!boot-start-markerboot-end-marker!noaaanew-modelmemory-sizeiomem5ipcef!noipdomainlookup!multilinkbundle-nameauthenticated!interfaceFastEthernet0/0ipaddress172.16.2.2255.255.255.0duplexautospeedauto!interfaceFastEthernet0/1ipaddress172.16.6.2255.255.255.0duplexauto81 大型企业网络规划与设计speedauto!interfaceFastEthernet1/0switchportmodetrunk!interfaceFastEthernet1/1switchportmodetrunk!interfaceFastEthernet1/2!interfaceFastEthernet1/3!interfaceFastEthernet1/4!interfaceFastEthernet1/5!interfaceFastEthernet1/6!interfaceFastEthernet1/7!interfaceFastEthernet1/8!interfaceFastEthernet1/9!interfaceFastEthernet1/10!interfaceFastEthernet1/11!interfaceFastEthernet1/12!interfaceFastEthernet1/13!interfaceFastEthernet1/1481 大型企业网络规划与设计!interfaceFastEthernet1/15!interfaceVlan1noipaddress!interfaceVlan10ipaddress10.1.0.2255.255.252.0standby10ip10.1.3.254standby10preempt!interfaceVlan20ipaddress10.1.4.1255.255.252.0standby20ip10.1.7.254standby20priority105standby20preempt!routereigrp90network0.0.0.0noauto-summary!!noiphttpservernoiphttpsecure-server!control-plane!linecon0exec-timeout00loggingsynchronouslineaux0linevty04!81 大型企业网络规划与设计endFB3#showrunning-configBuildingconfiguration...Currentconfiguration:1463bytes!version12.4servicetimestampsdebugdatetimemsecservicetimestampslogdatetimemsecnoservicepassword-encryption!hostnameFB3!boot-start-markerboot-end-marker!noaaanew-modelmemory-sizeiomem5ipcef!noipdomainlookup!multilinkbundle-nameauthenticated!interfaceFastEthernet0/0ipaddress172.16.3.2255.255.255.0duplexautospeedauto!interfaceFastEthernet0/1ipaddress172.16.7.2255.255.255.0duplexauto81 大型企业网络规划与设计speedauto!interfaceFastEthernet1/0switchportmodetrunk!interfaceFastEthernet1/1switchportmodetrunk!interfaceFastEthernet1/2!interfaceFastEthernet1/3!interfaceFastEthernet1/4!interfaceFastEthernet1/5!interfaceFastEthernet1/6!interfaceFastEthernet1/7!interfaceFastEthernet1/8!interfaceFastEthernet1/9!interfaceFastEthernet1/10!interfaceFastEthernet1/11!interfaceFastEthernet1/12!interfaceFastEthernet1/13!interfaceFastEthernet1/1481 大型企业网络规划与设计!interfaceFastEthernet1/15!interfaceVlan1noipaddress!interfaceVlan20ipaddress10.1.4.2255.255.252.0standby20ip10.1.7.254standby20preempt!interfaceVlan30ipaddress10.1.8.1255.255.252.0standby30ip10.1.11.254standby30priority105standby30preempt!routereigrp90network0.0.0.0noauto-summary!noiphttpservernoiphttpsecure-server!control-plane!linecon0exec-timeout00loggingsynchronouslineaux0linevty04!end81 大型企业网络规划与设计FB4#showrunning-configBuildingconfiguration...Currentconfiguration:1465bytes!version12.4servicetimestampsdebugdatetimemsecservicetimestampslogdatetimemsecnoservicepassword-encryption!hostnameFB4!boot-start-markerboot-end-marker!noaaanew-modelmemory-sizeiomem5ipcef!noipdomainlookup!multilinkbundle-nameauthenticated!interfaceFastEthernet0/0ipaddress172.16.4.2255.255.255.0duplexautospeedauto!interfaceFastEthernet0/1ipaddress172.16.8.2255.255.255.0duplexauto81 大型企业网络规划与设计speedauto!interfaceFastEthernet1/0switchportmodetrunk!interfaceFastEthernet1/1switchportmodetrunk!interfaceFastEthernet1/2!interfaceFastEthernet1/3!interfaceFastEthernet1/4!interfaceFastEthernet1/5!interfaceFastEthernet1/6!interfaceFastEthernet1/7!interfaceFastEthernet1/8!interfaceFastEthernet1/9!interfaceFastEthernet1/10!interfaceFastEthernet1/11!interfaceFastEthernet1/12!interfaceFastEthernet1/13!interfaceFastEthernet1/1481 大型企业网络规划与设计!interfaceFastEthernet1/15!interfaceVlan1noipaddress!interfaceVlan30ipaddress10.1.8.2255.255.252.0standby20ip10.1.11.254standby20preempt!interfaceVlan40ipaddress10.1.12.1255.255.252.0standby30ip10.1.15.254standby30priority105standby30preempt!routereigrp90network0.0.0.0noauto-summary!!!noiphttpservernoiphttpsecure-server!control-plane!linecon0exec-timeout00loggingsynchronouslineaux0linevty0481 大型企业网络规划与设计!end81 大型企业网络规划与设计北方民族大学毕业设计（论文）诚信承诺书学生姓名鄂付广年级2007级网络二班所学专业网络工程学号20072336所在学院计算机科学与工程学院学生承诺本人慎重承诺和声明：我承诺在毕业设计（论文）过程中严格遵守学校有关规定，在指导教师的安排与指导下独立完成所规定的毕业设计（论文）工作，决不弄虚作假，不请别人代做毕业设计（论文）或抄袭别人的成果。所撰写的毕业论文或毕业设计是在指导老师的指导下自主完成，文中所有引文或引用数据、图表均注解并说明来源，本人愿意为由此引起的后果承担责任。学生（签名）：年月日81'