VLAN规划设计 74页

'VLAN规划设计全等方面设计的定位。从企业网络的基础架构，中小企业的内部网和外联网（接入网）两方面入手，探讨网络编址方案、中继与vlan间路由、有类路由和CIDR技术，对比了静态路由和动态路由的各种协议特点，如RIP、EIGRP和OSPF,本着经济、适用、安全的原则确定了设备的选型，应用分级（也称为分层）设计模型，以网络规划、综合布线与模拟器实验模拟三大版块，组织并形成了本篇实践性论文。随着我国经济的快速发展，中小型企业的数量不断增长，已成为中国经济最具活力，最多元化的组成部分。中小企业如何利用不断发展的信息技术增强企业核心竞争力，如何通过对信息技术的持续投入，把IT部门的运营效率转换成为业务发展的驱动力，获取更多商业回报，是企业发展中的焦点问题。中小企业信息化过程中，也普遍面临基础网络规划不合理、功能设计不健全、扩展能力不足等实际困惑，客观上需要工程化的方案给予规划和指导。本论以满足中小型企业局域网建设的基本要求为出发点，提出了园区级网络的典型需求，明确网络在冗余、扩展与安关键词：网络安全局域网，组网方案，综合布线，目　录73 前　言在信息时代网络技术快速发展的背景下，中小企业有业务与信息技术深度融合的迫切需求，提出中小企业局域网规划与设计方案，既是对我本人近两年所学知识的回顾和进一步总结，更是学以致用并付诸实践后的检验。整个过程，通过发现并分析问题，最终将进一步提高我个人解决问题的能力。在论文准备阶段，我主要阅读了人民邮电出版社出版，由AllanReid，JimLorenz，CherylSchmidt（美国）合著的《CCNADiscovery:企业中的路由和交换简介》。该书对网络技术发展做出了较为全面的总体说明，对技术细节说明条理清晰，知识点衔接紧凑。同时，从CCNA网络程序员认证的角度，给出了大篇副的实验题目，使读者借助PacketTracer（思科开发）可以模拟并完成所有章节的实验。文献的有关实验我都认真阅读，并结合论文在技术实现上做到了实际应用。完成论文的过程中，PacketTracer使我有了验证规划与方案可行性的依据，并最终有理有据地完成了论文所有工作。由电子工业出版社出版，徐锋老师著《网络工程师考试冲刺指南》，是我读到的另一本个人较为喜欢的网络规划与设计书目，该本在方案制定与技术实施方面给予网络工程师更为明了和直接有效的参考示例，知识点清楚覆盖全面。在本论文中，我主要融合了文献关于园区级网络的部分论述。在完成论文的过程中，其它文献的不同论点均有不同程度的参考，也有选择地在本论文中不同程度的汇总并做为论述的依据，所有文献内容都很精彩，非常感谢他们。本篇论文就中小企业局域网建设，讨论了中小企业园区级网络的类型，根据投资人民币20余万的预算，主干千兆、接入到桌面百兆的要求，提出了规划与设计方案，解决了网络的定位、设备选型、协议选择、设备配置与综合布线实施等几方面问题。论文首先根据局域网技术的发展与超势，论述了中小型企业局域网的特点与要求，进而提出了典型的业务模型与需求定位，按照网络层次的划分的原则，设计了中小型企业网核心到接入交换的两级网络模型，明确了网络的编址方案，考虑了基本的网络安全与流量控制因素，73 论文全篇给出核心、路由与防火墙的主要配置过程，并对方案应用模拟器进行模拟。在论文最后，通过实验（有关实验配置见附录）使用PacketTracer，对vlan连通性、WAN链路连通性及ACL防问策略做了重点验证，保证了方案的合理性、有效性与可行性。我认为，中小企业局域网规划与设计方案，简单化就是在基于统一IP技术来构建的IT系统，即从IP网络、到基于IP的通信和统一的IT资源管理，提供一揽子解决方案从而实现IT技术的全面融合，最大化的降低中小型企业IT系统的总体建设成本和提高其IT系统的总体使用效率。这个过程，要遵循简单、有效、可靠与安全的原则，更要考虑建设成本，建成后还更要保护中小企业投资并使网络的效能发挥到更大化，使维护简单易行。希望本论文在此方面，能提供一些参考。73 第1章、局域网技术“局域网”是指地理覆盖范围小的网络，通常为拥有互联设备的组织所有。局域网具有数据传输速率高,低延迟和误码率（其误码率一般为10-8～10-11），建设成本低、周期短，便于安装、维护和扩充的特点。局域网设计目标是覆盖一个公司、一所大学、一幢办公楼的“有限地理范围”，因此它的网络拓扑、传输介质与介质访问控制方法具有自身特点。１.1发展与趋势局域网拓扑结构主要包括总线型、星状、环状。其他类型的拓扑结构，如总线型与星型混合、总线型与环型混合连接的网络。局域网中使用最多的是星型结构。传输介质主要采用双绞线、同轴电缆与光纤等，网络分为有线网络和无线网络两种。局域网通常采用单一的传输介质，也可以同时采用多种传输介质。从介质访问控制方法角度，局域网分为共享介质式局域网与交换式局域网两类。交换式局域网通过局域网交换机支持连接到交换机端口的结点之间的多个并发连接，实现多结点之间的并发传输，增加了网络带宽，改善了局域网的性能与服务质量，成为应用的主流。局域网典型技术与产品包括Ethernet(以太网)、TokenBus（令牌总线）、TokenRing（令牌环网）三类，其中以Ethernet应用最为广泛。Ethernet中以10MbpsEthernet使用最广，随着快速及高速局域网技术的发展，100Mbps、1Gbp和10Gbps的Ethernet成为必然性的首选。同时，无线局域网快速发展成为应用的新热点。1.2中小型企业局域网的特点及要求根据企业的体系构成和规模，可以将企业网分成工作组级、部门级、园区级和企业级四种网络类型。73 工作组级：通常位于办公室内部或几个办公室内的网络，是最基础的单元级网络，通常采用10/100Base-Tx技术。部门级：位于同一楼宇内的局域网，相当于小型企业的“企业级”网络。园区级：由企业中各部门网络互联组成，通常跨越数个楼宇。企业级网络：由分布在各地的园区级或部门级网络互联在一起的大型网络。根据2011年7月4日，工信部等四部门联合发布的《中小企业划型标准规定》，各行业划型标准主要依据营业收入和从业人数两项，中小企业从业人员普遍小于1000人的标准，中小型企业网目前适用的网络规模往往在园区级及其以下。其结构示意图如图1-1.图1-1中小企业网结构示意图73 中小企业局域网结构应该包括外网、内网和企业网互联三个方面：外网：位于防火墙外直接与Internet相连的区域。它为整个企业网提供一个“缓冲地带”用来提供企业网对外交流的渠道，或提供对外的网络应用服务。内网：即企业内部网络，是整个企业网的核心。企业网互联：通常利用专线、远程（ISDN、ADSL等）、VPN技术来建立连接。73 第2章、需求分析中小型企业发展过程中，客观业务的发展，不断推动网络需求的变化，应用的增长。2.1典型的业务模型常见的中小型企业环境有：■制造商■大型零售商■旅馆服务业特许经营商■公共事业和政府机构（我国有关标准对此未做出明确规定）■医院；■学校系统。这些企业网络通常拥有众多用户、跨越多个位置，或部署多套系统，形成了有些教材称为“园区网”的典型网络，如图2-1所示。中小型企业网的典型特征是：拥有自己的物理线路，这些线路都部署在园区内部，采用了LAN/MAN技术，将建筑特群所有端点系统连接起来。企业依靠网络提供用于共享的资源与信息，支持网络办公与多元化的业务。73 图2-1园区网结构2.2需求定位本次按照园区级的网络设计，预定使用网络的用户终端极限数量是700个，涉及部门20个（综合办公室、财务部、研发部、后勤部等），综合布线的建筑4个（包括办公楼、生产车间、生活楼及食堂），各建筑间距一般有百余米。总体投资经费20万元左右，包括办公网络的组建，交换机设备购置，综合布线施工等。网络必须支持的交换流量类型包括数据文件（如OA办公系统）、电子邮件、声音和视频应用，能有效地处理这些融合的网络流量，设备能进行科学的管理和合理控制。依靠网络基础架构提供关健型服务是企业正常运行，提高经济效益的关键和根本，网络设计的可靠性必须达到90%以上。网络设计中需要引入冗余功能，避免出现任何单点故障，其它要素包括优化网络带宽的利用率、确保安全性和网络性能等。73 第3章、网络方案的设计3.1设计的目标中小型企业信息化，首先应该站在企业战略目标的高度，依据企业的经营、营销竞争战略综合考虑，必须从企业的实际出发，来制定实施信息化的总体规划。这样才能保证企业信息化是站在企业战略目标和长远发展的全局上的，是系统的、全面的、统筹兼顾的。因此，设计的总体目标要围绕企业战略，从长远规划而形成的业务、流程、组织、策略。3.1.1安全性系统应分别针对不同的应用和不同的网络通信环境，采取不同的措施，包括系统安全机制、数据存取的权限控制等，防范各种形式对网络的非法入侵和内部攻击，防止内部信息数据被非法窃取、篡改或泄漏，以保证网络的实体安全、网络安全、系统安全和信息安全，有效地保障正常的业务活动。3.1.2先进性系统设计既要采用先进的概念、技术和方法，又要注意结构、设备、工具的相对先进成熟，整个系统的生命周期应有比较长的时间，在系统建成后比较长的时间内能满足用户需求增长的需要，从而最大限度保护用户投资。3.1.3开放性采用的软硬件平台和管理系统，遵循国际标准化组织提出的开放系统互联的标准，能集成任何第三方的应用，具有良好的可移植性和互操作性，存在应用软件的必须独立于软硬件平台。3.1.4扩展性在系统结构、系统容量与技术方案等方面必须具有升级换代的可能，核心设备必须采用模块化的结构，符合网络的发展趋势并具有充分的扩展性。系统建设必须尽量保护现有的软、硬件资源，保证各部门现有的计算机系统的使用，逐步过渡，有效保护用户投资。3.1.5高性能73 网络链路和设备具备足够高的数据转发能力，保证各种信息的高质量无阻塞传输；交换系统具有很高的交换容量与多服务支持的能力，保证网络服务的质量。3.1.6标准化为充分共享资源，实现同层次网络互连，建筑物间互联，相关信息系统网际互联过程中，设备的各种接口必须满足标准化原则。3.2设计的原则3.2.1层次化原则为了实现一个可管理的、可靠的、高性能网络，我们将采用层次化的方法。目前国内外网络建设中普遍采用的网络拓扑结构是将网络分为核心层、分布层和接入层三个层次进行设计。本次设计中，根据中小型业700个终端、20万元投资的典型要求，在保证了整个网络的高可靠性、高性能、高安全性和灵活的扩展性前提下，采用核心层与接入层的两层拓扑结构，每一层的网络设备功能描述如下：核心层：提供高速的三层交换骨干；核心层不进行终端系统的连接；核心层少用或不实施影响高速交换性能的ACL等功能；本功能区主要功能是保证VLAN间的路由；IP地址或路由区域的汇聚。接入层：提供Layer2或Layer3的网络接入，通过VLAN定义实现接入的隔离。网络接入层具有以下特点：接入层接入端口规划容量根据实际使用情况具有一定的扩展性；上述两层中，主要在核心层采用了冗余的架构来保障骨干区域功能的稳定可靠。3.2.2标准化原则网络设计中所用的各种管理信令、接口规程、协议须符合国际标准，便于扩展和网络的互连互通。保证与其它网络（如互联网等）之间的平滑连接3.3技术规划3.3.1网络的体系结构中小型企业局域网络往往73 由多种完成不同功能的网络设备组成，包括路由器、交换机、Internet接入设备、防火墙等以及各种服务器，如：网管服务器、主服务器（包括打卡服务器、售餐服务器等）。企业内部网络采用共享或交换式以太网，通过DDN、ASDL、ISDN／PSTN等方式，选择合适的网络运营商接入到Internet。并采取相应的措施，确保通讯数据的安全、保密。系统运行要安全、可靠、故障小，软硬件要组织合理而且要便于理解与维护。根据要求，我们确定的中小型企业园区级网络拓扑结构为树状分层结构（如图3-1）。图3-1园区级网络树状分层结构3.3.2网络层次的划分正确的网络结构设计，是企业网络中流量传输控制的客观要求。只有控制流量在网络中合适的位置，而不是任由流量随意流动，才能保障有价值的带宽资源，保证网络73 性能。否则将面临片面增加网络成本来提高网络带宽的被动局面。此外，应该注意到，流量也是有安全隐患的，它可能包含秘密的信息或网络结构自身的信息。采用分层设计模型有助于网络结构的设计。区别于企业网三层结构的拓扑结构，本次设计中结合中小型企业园区级网络规模小、用户相对少和投资额度普遍低的特点，本着适当的原则分层结构设计分为两级（如图3-2）：图3-2规划的中小企业网拓扑示意图第一级是网络的千兆主干（骨干）网络，属核心层，并采用了冗余设计。主干千兆位交换机的任务是将各个子网分布路由的信息简洁快速地交换到目的地址，起到信息快速通道的作用。网络主干上连接着对带宽和可靠性有很高要求的设备，如服务器群、交换机、路由器等，放置在办公楼1楼的网管中心。第二级是直接连接拥护的计算机，属接入层。放置在楼层弱电井内（管理子系统部分），它通过多模光纤上联到核心计算机，通过超5类双绞线与工作区子系统（信息插座）连接。一般地，一个楼层组成一个单独的子网。这种“骨干千兆光纤，百兆铜缆到桌面”73 的层次划分有以下特点：结构清晰，易于设计和管理，大大提高了网络的扩充能力；网络结构和实际应用的组织结构相一致，便于安全管理，减轻网络的数据流量；根据不同层次和实际经济承受能力，选择相应的网络设备和硬件设备，使投资更合理。总之，采用层次化的网络设计，其优点是便于网络管理，优化网络性能，增强网络的扩展性。3.3.3以太网交换技术（虚拟交换技术）采用交换机可以减少本地网络内发生的冲突，然而全部由交换机构成的网络往往会构成一个广播域，在单个广播域或平面网络中，每台设备都会接收每个广播。随着交换网络中主机数量的增长，所发送和接收的广播也不断增加，广播数据会占用大量带宽，导致通信延迟和超时。使用VLAN是一个很好的解决此类网络问题的方案之一，每个VLAN都具有自己的广播域，避免了广播风暴，提高了网络的效能。3.3.4网络的规划与编址中小企业网络用户近千人，适合使用分层的地址方案，结合分层网络设计，简化了网络管理，提升可扩展性和路由性能（如VLSM支持路由总结对提升网络性能具有明显效果）。中小企业网络内部一般使用保留地址，即不在公网上使用的IP地址，如表3-3。表3-3保留地址类别IP地址范围网络号网络数A10.0.0.0-10.255.255.255101B172.16.0.0-172.16.255.255172.16-172.3116C192.168.0.0-192.168.255.255192.168.0-192.168.255255根据本次典型需求，即20个部门（综合办公室、财务部、研发部、后勤部等），共700个设计点位，四个建筑（包括办公楼、生产车间、生活楼及食堂）楼层共计1073 个的要求，大部分部门用户数应在30人左右，最大部门的用户也将不会超过62人，选定设备类型及数量如表3-4。表3-4设备清单名称型号数量防火墙ASA5510-K81路由器CISCO2911/K91核心交换机WS-C3750X-24S-S248口接入交换机WS-C2960-48TC-L624口接入交换机WS-C2960-24TC-L10SFP光口模块GLC-SX-MM72SFP电口模块GLC-T10无线APAIR-AP1242AG-C-K962.4GHzAP天线AIR-ANT4941125GHz天线AIR-ANT5135D-R12通过以上要求分析采用C类保留地址较为适当。对比“子网联网”和“可变字长子网掩码（VLSM）”两种技术，在对相关子网地址无法精确估计情况下，为做到对子网地址留有余地，采用子网联网的技术，使每个子网地址数相等，保留主机数为６２个。管理上按照管理VLAN（定义为各设备的默认VLAN1）、设备连接VLAN（vlan2）和业务VLAN三类构成，划分如下：表3.5主要设备及接口地址规划名称/标识主要端口VLAN/IP接入ISP互联网路由/ISPRouterS0/0/0IP:218.28.58.130/29FirewallSerial,FastEthernet此设备所有功能在c2900k9中模拟实现，故此处未明确具体端口及IP。路由器/c2900k9S0/0/0IP:218.28.58.131/29视同（模拟）防火墙外端口F1/0VLAN1/192.168.100.253/192F1/1VLAN1/192.168.100.252/192VLAN1/192.168.100.1/19273 核心交换/C3750X-24S-S1F0/1,3,5…VLAN10…/192.168.10.62…/192G0/1VLAN100/192.168.100.254/192核心交换/C3750X-24S-S2VLAN1/192.168.100.2/192F0/2,4,6…VLAN10…/192.168.10.62…/192G0/1VLAN100/192.168.100.254/192接入交换Vlan2/192.168.1.0/255.255.255.0表3-6接入交换设备连接VLAN划分表核心及对应端口接入设备对应端口楼层接入设备楼层接入管理IPC3750X-24S-S1GigabitEthernet1/1GigabitEthernet1/1Bg-C2960-1f-1192.168.1.1C3750X-24S-S2GigabitEthernet1/1GigabitEthernet1/2C3750X-24S-S1GigabitEthernet1/2GigabitEthernet1/1Bg-C2960-2f-1192.168.1.2C3750X-24S-S2GigabitEthernet1/2GigabitEthernet1/2C3750X-24S-S1GigabitEthernet1/3GigabitEthernet1/1Bg-C2960-3f-1192.168.1.3C3750X-24S-S2GigabitEthernet1/3GigabitEthernet1/2C3750X-24S-S1GigabitEthernet1/4GigabitEthernet1/1Bg-C2960-4f-1192.168.1.4C3750X-24S-S2GigabitEthernet1/4GigabitEthernet1/2C3750X-24S-S1GigabitEthernet1/5GigabitEthernet1/1Bg-C2960-5f-1192.168.1.5C3750X-24S-S2GigabitEthernet1/273 GigabitEthernet1/5C3750X-24S-S1GigabitEthernet1/6GigabitEthernet1/1Bg-C2960-6f-1192.168.1.6C3750X-24S-S2GigabitEthernet1/6GigabitEthernet1/2C3750X-24S-S1GigabitEthernet1/7GigabitEthernet1/1Sh-C2960-1f-1192.168.1.7C3750X-24S-S2GigabitEthernet1/7GigabitEthernet1/2C3750X-24S-S1GigabitEthernet1/8GigabitEthernet1/1Sh-C2960-2f-1192.168.1.8C3750X-24S-S2GigabitEthernet1/8GigabitEthernet1/2C3750X-24S-S1GigabitEthernet1/9GigabitEthernet1/1Sc-C2960-1f-1192.168.1.9C3750X-24S-S2GigabitEthernet1/9GigabitEthernet1/2C3750X-24S-S1GigabitEthernet1/10GigabitEthernet1/1St-C2960-1f-1192.168.1.10C3750X-24S-S2GigabitEthernet1/10GigabitEthernet1/2说明：核心交换C3750X-24S-S1：C3750X代表设备型号，24代表端口数量，2f代表为相应建筑的第二个楼层设备，S1中S代表设备为交换机，S1中数字代表该设备编号（如S2则代表第二个核心交换）。接入交换Bg-C2960-5f-1：Bg代表办公楼（Sh代表生活楼、Sc代表生产车间大楼、St代表食堂），C2960代表接入交换的型号，5f对应大楼楼层，1代表弱电井中交换机的序号。73 表3-7业务VLAN划分表Vlan功能属性代码描述网关地址主机IP范围子网掩码10Shengchan1生产小组1192.168.10.62192.168.10.1-192.168.10.61255.255.255.19211Shengchan2生产小组2192.168.10.126192.168.10.65-192.168.10.125255.255.255.19212Shengchan3生产小组3192.168.10.190192.168.10.129-192.168.10.189255.255.255.19213Shengchanv4生产小组4192.168.10.254192.168.10.193-192.168.10.253255.255.255.19214Xiaosh1销售1部192.168.11.62192.168.11.1-192.168.11.61255.255.255.19215Xiaosh2销售2部192.168.11.126192.168.11.65-192.168.11.125255.255.255.19216Zonghbgs综合办公室192.168.11.190192.168.11.129-192.168.11.189255.255.255.19217Caiwsh财务办公室192.168.11.254192.168.11.193-192.168.11.253255.255.255.19218Yanfb研发部192.168.12.62192.168.12.1-192.168.12.61255.255.255.192………………Vlan是在一个物理网段内，进行逻辑划分，划为为若干虚拟局域网。Vlan具备一个物理网段的所有特性，相同VLAN可直接通信，不同VLAN间访问必须经由路由器转发，广播只可以本vlan内进行。实现VLAN有两种方式，PortVlan和TagVlan，PortVlan利用交换机的端口进行Vlan划分，一个端口只能属于一个Vlan,TagVlan对不同Vlan的主机进行隔离，数据传输时需要在数据帧内添加4个字节的802.1Q标签信息，便于对接收到的数据帧进行过滤。73 结合静态VLAN与动态VLAN，基于交换机端口划分的动态VLAN较为适应中小型企业网运行环境，当然TagVlan的也必须使用。我们把一个或多个接入交换机上的几个端口划分在一个逻辑组中，简单明了并且有效，即利用PortVlan划分方式。该方式不允许多个VLAN共享一个物理网段或交换机端口，要求某个用户如果从一个端口所在的虚拟网移动到另一个端口所在的虚拟网时，管理员必须对接入地址进行重新分配。而且，在核心交换或中继接口上也必须使用truck，以支持设备的堆叠并降低网络的建设成本，即使用portvlan的方式。3.3.5企业wan链路ISP会采用几种不同的WAN技术来连接其用户。本地环路（即最后一英里）上使用的连接类型可能与ISP网络内或不同ISP之间采用的WAN连接类型有所不同，一些常见的最后一英里技术包括：模拟拨号；集成服务数字网络（ISDN）；租用线路；电缆；数字用户线路（DSL）；帧中继；无线。目前，随着中小企业各种应用需求的增加，带宽要求也越来越大，传输质量要求也越来越高。常见的中小企业网络接入以租用100M光纤线路为主，在网络边界上往往通过路由设备或防火墙接入互联网。3.3.6流量控制一些情况下，流量保留在企业网络的LAN部分，另73 一些情况下，流量会在WAN流量上传输。LAN网络中应限制在本地传输的流量类型包括：文件共享、打印、内部备份、镜像和园区网内通信。在本地网络中常见并且常常通过WAN发送的流量类型包括：系统更新、公司邮件和交易处理。除了WAN流量以外，外部流量还包含进出INTERNET的流量（如身份验证、视频会议等）。VPN和INTERNET流量被视为外部流量。流量控制除了体现在网络拓扑结构分层设计上，也需要在VLAN划分上尽可能把某一业务的流量限制在同一VLAN内部。在语音、视频与数据在同一介质传输的融合网络下，对不同类型网络流量特特的了解，也是合理控制流量的先决条件。数据流量大多数网络应用程序都要使用数据流量，或偶尔传输少量数据，或（如数据存储应用程序）需要传输较高流量。对某些数据应用程序来说，时间可靠性更重要，但大多数数据应用程序都允许一定的延迟。因此数据流量常采用传输控制协议（TCP），TCP使用确认机制来确定何时必须重新传输丢失的数据包，从而保证传输的质量。语音和视频流量语音与视频应用程序要求不间断地传输数据流以确保会话和图像质量。TCP确认过程会带来延迟，导致流量中断并降低应用程序的质量。因此，语音与视频应用程序使用数据报协议UDP代替TCP。此外，还需求考虑由于网络设备自身到目的地的路径上流量所带来的延迟和迟时。如三层设备由于必须处理报头，延迟比二层设备更大。服务质量Qos是用于保证足够的带宽传输指定数据流的过程，应用Qos机制优先级对流量进行分类排序，例如语音流量的优先级高于普通数据，使得高优先级的数据流量比低优先级的数据先发送。第4章、特理设计及设备选型73 4.1物理设计的原则核心层应用千兆以太网技术、有冗余链路设计。接入层设备堆叠。4.2传输介质的选型根据全网主干千兆，百兆到用户桌面的设计，结合四个建筑物相距百余米的实际，核心交换机到接入交换机选择千兆多模光纤，接入交换机到用户桌面，即综合布线的水平子系统采用超五类双绞线。4.3交换机的选型与配置根据方案，我们选择两台思科WS-C3750X-24S-S交换机作为核心交换机，两台交换机部署HSRP冗余网关协议，提高网络的高可用性的同时，对全网数据进行高速交换。WS-C3750X-24S-S为全千兆三层以太网交换机产品，配备24个10/100/1000Mbps自适应以太网SFP接口，可支持堆叠。背板带宽160Gbps。通过CiscoStackPower、IEEE802.3at增强型以太网供电(PoE+)配置、可选网络模块、冗余电源和媒体访问控制安全(MACsec)等创新功能，提供无间断连接性、可扩展性、安全性、能效性和易操作性。具有StackWise®Plus技术的CiscoCatalyst3750-X系列为发展中的业务需求提供可扩展性、易管理性和投资保护（主要指标见表4-1）。表4-1核心交换机主要指标产品型号WS-C3750X-24T-S应用层级三层背板带宽160Gbps包转发率65.5mpps传输方式存储转发方式硬件参数Flash内存128MBDRAM内存256MB接口类型24个千兆SFP端口，4个基于SFP的千兆端口或2个万兆电口上行链路接口数目24口端口结构非模块化73 扩展插槽2个网络与软件QoS支持支持QoS网络标准IEEE802.3、IEEE802.3u、IEEE802.3ab、IEEE802.3z、ANSI/IEEE802.3NWay、IEEE802.3xVLAN支持支持VLAN功能网管功能支持网管功能,基于web的简易配置双工传输支持全双工MAC地址表6K其他性能IPBase接入交换机我采用WS-C2960-48TC-L或是WS-C2960-24TC-L交换机（表4-2接入交换机主要指标），百兆到桌面，千兆上联到核心交换机。表4-2接入交换机主要指标指标项指标要求交换机类型智能交换机应用级别二层网络标准IEEE802.3IEEE802.3uIEEE802.1XIEEE802.1Q端口结构非模块化交换方式存储-转发端口数量2410/100+2T/SFPIOS类型LANBaseImage转发带宽（Gbps）16每秒分组数（Mpps）6.5支持的MAC地址8000板载内存（DRAM）64MB千兆以太网GBIC/SFP密度210/100/1000密度210/100密度24园区网络设备连接及IP分配见图4-373 图4-3园区网络设备IP分配示意图Cisco交换机的命令行操作模式主要包括：a、用户模式Switch>b、特权模式Switch#c、全局配置模式Switch(config)#d、端口模式Switch(config-if)#73 图4-4Cisco各配置状态转换图核心交换机配置目标：a、为两个交换机分别设置管理、配置口及TELNET密码100.1和100.2;b、为两个核心交换机分别分配IP地址，即192.168.100.1、192.168.100.2；网关192.168.100.254。c、在两个核心交换机上部署HSRP冗余网关协议；d、设置三层交换机VLAN间的通信，创建VLAN2,VLAN11,VLAN12…的虚接口，并配置虚接口VLAN2,VLAN11、VLAN12…相应的IP地址。C3750X-24S-S1配置过程：Switch>en！进入特权模式命令Switch#conft！进入全局模式命令Enterconfigurationcommands,oneperline.EndwithCNTL/Z.Switch(config)#enablepassword100.1！配置特权模式密码为“100.1”Switch(config)#hostnameC3750x-24s-s1！设置主机名为“C3750x-24s-s1”73 C3750x-24s-s1(config)#interfacevlan1！C3750x-24s-s1(config-if)#ipaddress192.168.100.1255.255.255.192！设置交换机IP为192.168.100.1，用来管理交换机C3750x-24s-s1(config-if)#noshutdown%LINK-5-CHANGED:InterfaceVlan1,changedstatetoupC3750x-24s-s1(config-if)#exitC3750x-24s-s1(config)#lineconsole0C3750x-24s-s1(config-line)#pass100.1C3750x-24s-s1(config-line)#loginC3750x-24s-s1(config-line)#linevty04C3750x-24s-s1(config-line)#password100.1C3750x-24s-s1(config-line)#loginC3750x-24s-s1(config-line)#vlan2C3750x-24s-s1(config-vlan)#nameDeviceConnect!定义设备VLANC3750x-24s-s1(config-vlan)#exitC3750x-24s-s1(config-line)#vlan2C3750x-24s-s1(config-vlan)#nameDeviceConnectC3750x-24s-s1(config-vlan)#exitC3750x-24s-s1(config)#vlan10C3750x-24s-s1(config-vlan)#nameShengchan1C3750x-24s-s1(config-vlan)#exitC3750x-24s-s1(config)#vlan11C3750x-24s-s1(config-vlan)#nameShengchan2C3750x-24s-s1(config-vlan)#exitC3750x-24s-s1(config)#vlan12C3750x-24s-s1(config-vlan)#nameShengchan3C3750x-24s-s1(config-vlan)#exitC3750x-24s-s1(config)#vlan13C3750x-24s-s1(config-vlan)#nameShengchan4C3750x-24s-s1(config-vlan)#exitC3750x-24s-s1(config)#vlan14C3750x-24s-s1(config-vlan)#nameXiaosh1C3750x-24s-s1(config-vlan)#exitC3750x-24s-s1(config)#vlan15C3750x-24s-s1(config-vlan)#nameXiaosh2C3750x-24s-s1(config-vlan)#exitC3750x-24s-s1(config)#vlan16C3750x-24s-s1(config-vlan)#nameZonghbgsC3750x-24s-s1(config-vlan)#exitC3750x-24s-s1(config)#vlan17C3750x-24s-s1(config-vlan)#nameCaiwshC3750x-24s-s1(config-vlan)#exitC3750x-24s-s1(config)#vlan18C3750x-24s-s1(config-vlan)#nameYanfb73 C3750x-24s-s1(config-vlan)#exit……………………!根据VLAN划分表循环配置C3750x-24s-s1(config)#vlan100C3750x-24s-s1(config-vlan)#namezhuysb!主要设备互联VLANC3750x-24s-s1(config-vlan)#exitC3750x-24s-s1(config)#intvlan2C3750x-24s-s1(config-if)#%LINK-5-CHANGED:InterfaceVlan2,changedstatetoupC3750x-24s-s1(config-if)#ipaddress192.168.1.254255.255.255.0C3750x-24s-s1(config-if)#noshutdownC3750x-24s-s1(config-if)#exitC3750x-24s-s1(config)#intvlan10C3750x-24s-s1(config-if)#%LINK-5-CHANGED:InterfaceVlan10,changedstatetoupC3750x-24s-s1(config-if)#ipaddress192.168.10.62255.255.255.192C3750x-24s-s1(config-if)#noshutdownC3750x-24s-s1(config-if)#exitC3750x-24s-s1(config)#intvlan11C3750x-24s-s1(config-if)#%LINK-5-CHANGED:InterfaceVlan11,changedstatetoupC3750x-24s-s1(config-if)#ipaddress192.168.10.126255.255.255.192C3750x-24s-s1(config-if)#noshutdownC3750x-24s-s1(config-if)#exitC3750x-24s-s1(config)#intvlan12C3750x-24s-s1(config-if)#%LINK-5-CHANGED:InterfaceVlan12,changedstatetoupC3750x-24s-s1(config-if)#ipaddress192.168.10.190255.255.255.192C3750x-24s-s1(config-if)#noshutdownC3750x-24s-s1(config-if)#exitC3750x-24s-s1(config)#intvlan13C3750x-24s-s1(config-if)#%LINK-5-CHANGED:InterfaceVlan13,changedstatetoupC3750x-24s-s1(config-if)#ipaddress192.168.10.254255.255.255.192C3750x-24s-s1(config-if)#noshutdownC3750x-24s-s1(config-if)#exitC3750x-24s-s1(config)#intvlan14C3750x-24s-s1(config-if)#%LINK-5-CHANGED:InterfaceVlan14,changedstatetoupC3750x-24s-s1(config-if)#ipadd192.168.11.62255.255.255.192C3750x-24s-s1(config-if)#noshutdownC3750x-24s-s1(config-if)#exitC3750x-24s-s1(config)#intvlan15C3750x-24s-s1(config-if)#%LINK-5-CHANGED:InterfaceVlan15,changedstatetoup73 C3750x-24s-s1(config-if)#ipadd192.168.11.126255.255.255.192C3750x-24s-s1(config-if)#noshutdownC3750x-24s-s1(config-if)#exitC3750x-24s-s1(config)#intvlan16C3750x-24s-s1(config-if)#%LINK-5-CHANGED:InterfaceVlan16,changedstatetoupC3750x-24s-s1(config-if)#ipadd192.168.11.190255.255.255.192C3750x-24s-s1(config-if)#noshutdownC3750x-24s-s1(config-if)#exitC3750x-24s-s1(config)#intvlan17C3750x-24s-s1(config-if)#%LINK-5-CHANGED:InterfaceVlan17,changedstatetoupC3750x-24s-s1(config-if)#ipadd192.168.11.254255.255.255.192C3750x-24s-s1(config-if)#noshutdownC3750x-24s-s1(config-if)#exitC3750x-24s-s1(config)#intvlan18C3750x-24s-s1(config-if)#%LINK-5-CHANGED:InterfaceVlan18,changedstatetoupC3750x-24s-s1(config-if)#ipadd192.168.12.62255.255.255.192C3750x-24s-s1(config-if)#noshutdownC3750x-24s-s1(config-if)#exit……………………!根据VLAN划分表循环配置C3750x-24s-s1(config)#intvlan100C3750x-24s-s1(config-if)#%LINK-5-CHANGED:InterfaceVlan100,changedstatetoupC3750x-24s-s1(config-if)#ipadd192.168.100.254255.255.255.192C3750x-24s-s1(config-if)#noshutdownC3750x-24s-s1(config-if)#exitC3750x-24s-s1(config-if)#intg0/1!是下连至办公楼一层接入交换的接口C3750x-24s-s1(config-if)#switchportmodetrunkC3750x-24s-s1(config-if)#switchporttrunkallowedvlanallC3750x-24s-s1(config-if)#noshutdownC3750x-24s-s1(config-if)#exit！如果一个楼层划一个vlan,以上可以修改为：!Intg0/1!Switchportaccessvlan楼层对应VLAN号!ExitC3750x-24s-s1(config-if)#intg0/2!下连至办公楼二层接入交换的接口C3750x-24s-s1(config-if)#switchportmodetrunkC3750x-24s-s1(config-if)#switchporttrunkallowedvlanallC3750x-24s-s1(config-if)#noshutdownC3750x-24s-s1(config-if)#exitC3750x-24s-s1(config-if)#intg0/3!下连至办公楼三层接入交换的接口C3750x-24s-s1(config-if)#switchportmodetrunk73 C3750x-24s-s1(config-if)#switchporttrunkallowedvlanallC3750x-24s-s1(config-if)#noshutdownC3750x-24s-s1(config-if)#exitC3750x-24s-s1(config-if)#intg0/4!下连至办公楼四层接入交换的接口C3750x-24s-s1(config-if)#switchportmodetrunkC3750x-24s-s1(config-if)#switchporttrunkallowedvlanallC3750x-24s-s1(config-if)#noshutdownC3750x-24s-s1(config-if)#exitC3750x-24s-s1(config-if)#intg0/5!下连至办公楼五层接入交换的接口C3750x-24s-s1(config-if)#switchportmodetrunkC3750x-24s-s1(config-if)#switchporttrunkallowedvlanallC3750x-24s-s1(config-if)#noshutdownC3750x-24s-s1(config-if)#exitC3750x-24s-s1(config-if)#intg0/6!下连至办公楼六层接入交换的接口C3750x-24s-s1(config-if)#switchportmodetrunkC3750x-24s-s1(config-if)#switchporttrunkallowedvlanallC3750x-24s-s1(config-if)#noshutdownC3750x-24s-s1(config-if)#exitC3750x-24s-s1(config-if)#intg0/7!下连至生活楼一层接入交换的接口C3750x-24s-s1(config-if)#switchportmodetrunkC3750x-24s-s1(config-if)#switchporttrunkallowedvlanallC3750x-24s-s1(config-if)#noshutdownC3750x-24s-s1(config-if)#exitC3750x-24s-s1(config-if)#intg0/8!下连至生活楼二层接入交换的接口C3750x-24s-s1(config-if)#switchportmodetrunkC3750x-24s-s1(config-if)#switchporttrunkallowedvlanallC3750x-24s-s1(config-if)#noshutdownC3750x-24s-s1(config-if)#exitC3750x-24s-s1(config-if)#intg0/9!下连至生产楼接入交换的接口C3750x-24s-s1(config-if)#switchportmodetrunkC3750x-24s-s1(config-if)#switchporttrunkallowedvlanallC3750x-24s-s1(config-if)#noshutdownC3750x-24s-s1(config-if)#exitC3750x-24s-s1(config-if)#intg0/10!下连至食堂接入交换的接口C3750x-24s-s1(config-if)#switchportmodetrunkC3750x-24s-s1(config-if)#switchporttrunkallowedvlanallC3750x-24s-s1(config-if)#noshutdownC3750x-24s-s1(config-if)#exit……………………………C3750x-24s-s1(config-if)#intg0/24C3750x-24s-s1(config-if)#switchportmodetrunkC3750x-24s-s1(config-if)#switchporttrunkallowedvlanallC3750x-24s-s1(config-if)#noshutdownC3750x-24s-s1(config-if)#exit73 C3750x-24s-s1(config-if)#intg1/1!上连至路由器接口C3750x-24s-s1(config-if)#switchportAccessvlan100C3750x-24s-s1(config-if)#noshutdownC3750x-24s-s1(config-if)#iproute0.0.0.00.0.0.0192.168.100.253!到路由器出口路由C3750x-24s-s1(config-if)#exitC3750x-24s-s1(config)#intf0/24!在核心的F0/24口部署HSRP冗余网关协议C3750x-24s-s1(config-if-FastEthernet0/24)#standby1ip192.168.0.253C3750x-24s-s1(config-ifFastEthernet0/24)#standby1preemptC3750x-24s-s1(config-if-Ethernet0)#standby1priority120C3750x-24s-s1(config-if-FastEthernet0/24)#standby1authenticationRouterC3750x-24s-s1(config-if-FastEthernet0/24)#standby1timers515C3750x-24s-s1(config-if-FastEthernet0/24)#standby1trackFastEthernet0/2430C3750x-24s-s1(config-if)#exitC3750x-24s-s1(config-if)#exitC3750x-24s-s1#writememory在C3750X-24S-S2部署HSRP冗余网关协议的配置命令：C3750x-24s-s2(config-if-FastEthernet0/24)#standby1ip192.168.0.253C3750x-24s-s2(config-if-FastEthernet0/24)#standby1preemptC3750x-24s-s2(config-if-FastEthernet0/24)#standby1authenticationRouterC3750x-24s-s2(config-if-FastEthernet0/24)#standby1timers51548口接入交换机配置过程(办公楼一层Bg-C2960-1f-1交换机示例)：目标：a、为交换机设置管理、配置口及TELNET密码1.1（其它从1.2递增）;b、为交换机分别分配IP地址，即192.168.1.1，网关192.168.1.254；c、设置上接端口g1/1的属性，下级连口g1/2属性；d、从G0/1开始每6个口划归一个VLAN，如g0/1,g0/2,g0/3,g0/4,g0/5,g0/6归vlan10;g0/7,g0/8,g0/9,g0/10,g0/11,g0/12归vlan11……Switch>enSwitch#conftEnterconfigurationcommands,oneperline.EndwithCNTL/Z.Switch(config)#hostnameBg-C2960-1f-1Bg-C2960-1f-1(config)#intvlan1Bg-C2960-1f-1(config-if)#ipadd192.168.1.1255.255.255.0Bg-C2960-1f-1(config-if)#ipdefault-gateway192.168.1.254Bg-C2960-1f-1(config-if)#noshutdownBg-C2960-1f-1(config-if)#exitBg-C2960-1f-1(config)#vlan273 Bg-C2960-1f-1(config-vlan)#nameDeviceConnectBg-C2960-1f-1(config-vlan)#exitBg-C2960-1f-1(config)#vlan10Bg-C2960-1f-1(config-vlan)#nameShengchan1Bg-C2960-1f-1(config-vlan)#exitBg-C2960-1f-1(config)#vlan11Bg-C2960-1f-1(config-vlan)#nameShengchan2Bg-C2960-1f-1(config-vlan)#exitBg-C2960-1f-1(config)#vlan12Bg-C2960-1f-1(config-vlan)#nameShengchan3Bg-C2960-1f-1(config-vlan)#exitBg-C2960-1f-1(config)#vlan13Bg-C2960-1f-1(config-vlan)#nameShengchan4Bg-C2960-1f-1(config-vlan)#vlan14Bg-C2960-1f-1(config-vlan)#nameXiaosh1Bg-C2960-1f-1(config-vlan)#exitBg-C2960-1f-1(config)#vlan15Bg-C2960-1f-1(config-vlan)#nameXiaosh2Bg-C2960-1f-1(config-vlan)#exitBg-C2960-1f-1(config)#vlan16Bg-C2960-1f-1(config-vlan)#nameZonghbgsBg-C2960-1f-1(config-vlan)#exitBg-C2960-1f-1(config)#vlan17Bg-C2960-1f-1(config-vlan)#nameCaiwshBg-C2960-1f-1(config-vlan)#exitBg-C2960-1f-1(config)#vlan18Bg-C2960-1f-1(config-vlan)#nameYanfbBg-C2960-1f-1(config)#intg0/1!下连至工作区子系统Bg-C2960-1f-1(config-if)#switchportaccessvlan10Bg-C2960-1f-1(config-if)#noshutdownBg-C2960-1f-1(config-if)#exitBg-C2960-1f-1(config)#interfacerangeg0/2-6Bg-C2960-1f-1(config-if-range)#switchportmodeaccessBg-C2960-1f-1(config-if-range)#switchportaccessvlan10Bg-C2960-1f-1(config-if-range)#exitBg-C2960-1f-1(config)#interfacerangeg0/7-12Bg-C2960-1f-1(config-if-range)#switchportmodeaccessBg-C2960-1f-1(config-if-range)#switchportaccessvlan11Bg-C2960-1f-1(config-if-range)#exitBg-C2960-1f-1(config)#interfacerangeg0/13-18Bg-C2960-1f-1(config-if-range)#switchportmodeaccessBg-C2960-1f-1(config-if-range)#switchportaccessvlan12Bg-C2960-1f-1(config-if-range)#exitBg-C2960-1f-1(config)#interfacerangeg0/19-2473 Bg-C2960-1f-1(config-if-range)#switchportmodeaccessBg-C2960-1f-1(config-if-range)#switchportaccessvlan13Bg-C2960-1f-1(config-if-range)#exitBg-C2960-1f-1(config)#interfacerangeg0/25-30Bg-C2960-1f-1(config-if-range)#switchportmodeaccessBg-C2960-1f-1(config-if-range)#switchportaccessvlan14Bg-C2960-1f-1(config-if-range)#exitBg-C2960-1f-1(config)#interfacerangeg0/31-36Bg-C2960-1f-1(config-if-range)#switchportmodeaccessBg-C2960-1f-1(config-if-range)#switchportaccessvlan15Bg-C2960-1f-1(config-if-range)#exitBg-C2960-1f-1(config)#interfacerangeg0/37-42Bg-C2960-1f-1(config-if-range)#switchportmodeaccessBg-C2960-1f-1(config-if-range)#switchportaccessvlan16Bg-C2960-1f-1(config-if-range)#exitBg-C2960-1f-1(config)#interfacerangeg0/43-47Bg-C2960-1f-1(config-if-range)#switchportmodeaccessBg-C2960-1f-1(config-if-range)#switchportaccessvlan17Bg-C2960-1f-1(config-if-range)#exit…………………………Bg-C2960-1f-1(config)#intg1/1!上连核心交换一Bg-C2960-1f-1(config-if)#switchportmodetrunkBg-C2960-1f-1(config-if)#exitBg-C2960-1f-1(config)#intg1/2!上连核心交换二Bg-C2960-1f-1(config-if)#switchportmodetrunkBg-C2960-1f-1(config-if)#exitBg-C2960-1f-1(config)#interfacerangeg0/1-48,g1/1-2Bg-C2960-1f-1(config-if-range)#noshutdownBg-C2960-1f-1(config-if-range)#exitBg-C2960-1f-1(config)#Bg-C2960-1f-1(config)#intf0/24!下连同楼层24口接入交换的g0/1Bg-C2960-1f-1(config-if)#switchporttrunkencapsulationdot1qBg-C2960-1f-1(config-if)#switchportmodetrunkBg-C2960-1f-1(config-if)#SwitdhporttrunkallowedvlanallBg-C2960-1f-1(config-if)#ExitBg-C2960-1f-1(config)#ExitBg-C2960-1f-1#writememory24口类是48口在VLAN分配上的沿续，原理同48口交换机（此处略）。4.4路由协议、设备选型与配置路由协议包括：静态路由、默认路由、距离矢量协议RIP/EIGRP及链路状态协议OSPF。所有路由协议因使用环境的不同各有优缺点：73 静态路由和默认路由是由网络管理员采用手工方法在路由器中配置而成，适用于规模较小，路由表相对简单的网络。优点是手工配置可以精确控制路由选择，改进网络性能；不需要动态路由协议参与，减少路由开销，为重要的应用保证带宽。缺点是不适用于大规模网络，不能自动适应网络拓扑结构变化，手工配置管理员压力较大。RIP采用距离向量算法。是早期的路由协议，优点是配置简单在小型网络中较常见，缺点是路由范围有限，只能支持在直径为15个路由的网络内进行路由，不能适应复杂拓扑结构网络，采用DV算法会有路由环路问题存在。OSPF开放最短路径优先，是为大型网络设计的一种路由协议。优点是根据收集到网络上的链路状态，采用SPF算法，计算以它为中心的一棵最短路径树。OSPF使用十分有效，采用链路状态算法，网络流量小，收敛速度快，没有路由环路存在。缺点是比较复杂，实施前需要规划，且配置和维护都比较复杂。根据中小企业网络投资及规模较小，为达到精确控制网络路由采用静态路由及默认路由。路由器选择思科CISCO2911/K9（表4-5路由器的主要参数），将两台台热备份核心交换机上的数据高速路由至防火墙网关，同时亦可对出入互联网的2至4层数据包做管控。表4-5路由器的主要参数项目描述基于硬件的嵌入式密码加速(IPSec+SSL)有板载广域网10/100/1000端口总数3基于RJ-45的端口数3基于SFP的端口数（使用SFP端口将禁用对应的RJ-45端口）0服务模块插槽数1双宽度服务模块插槽数（使用双宽度插槽将占用2900中的所有单宽度服务模块插槽）0EHWIC插槽数4双宽度EHWIC插槽（使用双宽度EHWIC插槽将占用两个EHWIC插槽）2ISM插槽数1板载DSP(PVDM)插槽2内存DDR2ECCDRAM–默认512MB73 内存(DDR2ECCDRAM)–最大2GB闪存（外部）–默认插槽0：256M插槽1：无闪存（外部）–最大插槽0：4GB插槽1：4GB外部USB2.0闪存插槽（类型A）2USB控制台端口（类型B）（高达115.2kbps）1串行控制台端口1串行辅助端口1电源选项AC、PoE和DC*RPS支持（外部）CiscoRPS2300CISCO2911/K9路由配置（包括了防火墙部分的网络互联配置）：Router>enable进入路由器特权模式Router#configureterminal进入路由器全局配置模式Router(config)#hostnamec2900k9c2900k9(config)#enablepassword100.3c2900k9(config)#lineconsole0c2900k9(config-line)#pass100.3c2900k9(config-line)#loginc2900k9(config-line)#linevty04c2900k9(config-line)#pass100.3c2900k9(config-line)#loginc2900k9(config)#interfaceVlan1c2900k9(config-if)#ipaddress192.168.100.253255.255.255.192c2900k9(config-if)#noshutdownc2900k9(config)#interfaceSerial0/0/0！模拟防火墙外端口c2900k9(config-if)#ipaddress218.28.58.131255.255.255.248c2900k9(config-if)#noshutdownc2900k9(config-if)#iproute192.168.0.0255.255.0.0192.168.100.254！设置到192.168.0.0网络的静态路由c2900k9(config-if)#iproute0.0.0.00.0.0.0218.28.58.130！设置到ISP的默认路由c2900k9(config-if)#exitc2900k9(config)#intf0/1c2900k9(config-if)#ipadd192.168.10.1255.255.255.0c2900k9(config-if)#exitc2900k9#write73 第5章、安全策略中小企业网络病毒泛滥、安全事件频发，是网络管理面临的重大挑战。从网络安全调查数据来看，网络的安全威胁主要来自三个方面：一方面是网络的恶意破坏者即黑客，造成正常网络服务的不可用、系统数据的破坏；第二个方面是无辜的内部人员造成的网络数据的破坏、网络病毒的蔓延扩散、木马的传播；第三个方面是有些用户窃取他人身份进行越权数据访问，其中以内部人员而造成的网络安全问题占到了70%。安全问题已经成为企业信息化过程普遍问题，表现在部门间互访的安全无法控制，重要数据被入侵者窜改，不能很好应对外部攻击以及移动办公用户上网控制，都急待解决。5.1企业网边缘处及vlan的安全考虑防火墙设备的使用是解决网络安全的最基本的保证。防火墙适用于用户网络系统的边界，属于用户网络边界的安全保护设备。网络边界即采用不同安全策略的两个网络连接处，比如用户网络和互联网之间连接、和其它业务往来单位的网络连接、用户内部网络不同部门之间的连接等。防火墙的目的就是在网络连接之间建立一个安全控制点，通过允许、拒绝或重新定向经过防火墙的数据流，实现对进、出内部网络的服务和访问的审计和控制。防火墙设备由一个由软件和硬件设备组合而成，包括服务访问规则、验证工具、包过滤和应用网关4个主要部分。ACLs的全称为接入控制列表（AccessControlLists），也称访问控制列表（AccessLists），在有的文档中还称包过滤。ACLs通过定义一些规则对网络设备接口上的数据包文进行控制；允许通过或丢弃，从而提高网络可管理型和安全性；IP73 ACL分为两种：标准IP访问列表和扩展IP访问列表，编号范围为1～99、1300～1999、100～199、2000～2699；标准IP访问控制列表可以根据数据包的源IP地址定义规则，进行数据包的过滤；扩展IP访问列表可以根据数据包的原IP、目的IP、源端口、目的端口、协议来定义规则，进行数据包的过滤；IPACL基于接口进行规则的应用，分为：入栈应用和出栈应用。访问列表中定义的典型规则主要有以下：源地址、目标地址、上层协议、时间区域；扩展IP访问列表（编号100-199、2000、2699）使用以上四种组合来进行转发或阻断分组；可以根据数据包的源IP、目的IP、源端口、目的端口、协议来定义规则，进行数据包的过滤。扩展IP访问列表的配置包括以下两部：定义扩展IP访问列表将扩展IP访问列表应用于特定接口上。中小企业网络除利用防火墙DDOS攻击等方面的优势外，通过在防火墙上使用扩展IP访问控制列表，来控制网络流量，达到保证网络效能与安全的目标。5.2流量控制与安全防护策略策略包括通过在防火墙限制可以访问ISP网络的服务类型（如仅允许访问外网任何主机TCP协议的WWW服务），提高网络边界互联网出口的安全性。在核心交换上限制对某些vlan（例如vlan17财务部）网络资源的防问流量，提高对这些业务部门信息的安全保护。防火墙策略配置举例：firewall(config)#access-list100permittcpanyanyeqwww！授权内部网络所有主机仅访问218.28.58.138的WWW服务时使用access-list100permittcpanyhost218.28.58.138eqwwwfirewall(config)#ints0/0/0firewall(config-if)#ipaccess-group100outfirewall(config-if)#exitfirewall(config)#iproute0.0.0.00.0.0.0f3/0firewall(config)#exitfirewall#write核心交换策略配置举例：C3750x-24s-s1(config)#access-list101permittcpany192.168.11.192255.255.255.192eq80C3750x-24s-s1(config)#intvlan17C3750x-24s-s1(config-if)#ipaccess-group101inC3750x-24s-s1(config-if)#exit73 第6章、综合布线6.1综合布线概述综合布线是将独立的语音、数据、图像等线路统一进行设计、安装，以达到实用灵活、经济、可模块化和可扩充的效果，实现数据通信设备和其它信息管理系统的相互连接。结构化综合布线系统具有高度的灵活性，各种设备位置的改变，局域网的变化，不需重新布线，只要在配线间作适当布线调整即可满足需求。结构化布线和先决条件：要进行详细的用户通信需求分析；通过现场考察和查阅图纸熟悉建筑特的结构；掌握设计的标准、要点、原则和步骤；根据网络拓扑结构确定综合布线的系统结构；熟悉布线产品市场，为工程挑选适当（性价比高）的布线产品；掌据AUTOCAD和MicrosoftOfficeVisio等软件，并绘制综合布线系统图、施工图等。6.2综合布线标准综合布线的第一套标准是ANSI/EIA/TIA568(即《商业大楼电信布线标准》是美国国家标准化协会、电子工业协会、电信工业协会共同采纳的标准)，现在使用的是它的新版本：TIA568A。此外，还有ISO出台的ISO/IEC/ISO11801标准，这套协议中规定了电信布线的最低要求，建议的拓扑结构和距离、决定性能的介质参数、连接器和引脚功能分配等。本论设计参考了国际建筑通用布线标准，即ISO11801,整个布线系统由工作区子系统、水平子系统、干线子系统、设备间子系统、管理子系统和建筑群主干子系统6个部分组成，如图6-1。73 图6-1综合布线系统组成工作区子系统：是连接用户终端设备的子系统。主要包括信息插座、信息插座和设备之间的适配器。通俗讲是指电脑和网线接口之间的部分。水平子系统：是连接工作区与主干的了系统。主要包括配线架、配线电线和信息插座。通俗讲是指从楼层弱电井里的配线架到每个房间的网卡接口之间的部分，通常布线是在天花板上，与楼层平行。管理子系统：是对布线线缆进行端接及配置管理的子系统。通俗讲是指配线间的设备部分，位于弱电井。干线子系统：是用来连接管理间，设备间的子系统。通俗讲是指将接入层交换机连接到分布层（或核心层）交换机的网络线路。干线推荐使用光纤、超5类或6类非屏蔽双绞线。设备间子系统：是安装在设备间的子系统，指集中安装大型设备的场所。一般来说，大型建筑物会有一个或多个设备间，通常核心交换机的位置就是设备间，设备间子系统对物理环境的要求较高。建筑物主干子系统：它用来实现楼群之间的连接，包括各种通信传输介质和支持设备，又称户外子系统。通常包括地下管道、直埋沟内和架空三种方式。各子系统的逻辑结构见图6-2.73 图6-2各子系统逻辑结构6.3综合布线设计本设计方案参照ISO/IECISO11801，以确保整个系统的规范和质量。本系统支持语言和数据(图象、多媒体)传输，可满足快速以太网应用的场合。方案为一个较典型的星型拓扑结构系统，现将设计方案概述如下：根据用户要求，企业的主设备间设于办公楼一层综合布线机房，从主设备间引线缆经桥架和竖井直接引至工作区。水平布线电缆均采用超5类4对UTP电缆，信息插座选用5类系列插座。本方案分为五大子系统，分别为工作区子系统、水平子系统、干线子系统、设备间子系统、管理子系统和建筑群主干子，为二级星型拓扑结构，施工中主要采用普天系列产品，具体分述如下：73 图6-3布线效果示意图6.3.1工作区子系统工作区子系统是指信息端口以外的空间，但通常习惯将信息插座列入工作区子系统。本系统设置700个信息点，分布于10个楼层，其中办公楼楼层层6个（每层信息点60），生活楼楼层两个（每层信息点60），生产车间1层（信息点160个）、及食堂1层（信息点60个）。理想状况下材料配置如表6-4：表6-4工作区材料配置表序号型号名称数量1PT/FA3-08ⅧBRI45单插座面板7002PT/5.566.019RJ45插座模块7006.3.2水平布线子系统水平布线子系统为配线间水平配线架至各个办公室内插座面板的连接线缆，本项目数据点采用超五类四对UTP。水平线缆的长度计算：73 a、根据每层楼核算。B、每根线缆平均长度按（最长+最短）/2×1.1+2×楼层高计算，即（80+10）/2×1.1+2×4M,平均长度57.5M.c、每标准箱为1000英尺（305）米。d、每箱线可布入的信息点：305m/57.5=5个。e、办公楼、生活楼、食堂每层需要60/5=12箱，生产车间每层需要160/5=32箱。f、总线缆=12×9+32=140箱序号型号名称数量1UTP.S5.004超5类4对UTP电缆140箱（此项为约数。具体数量视现场情况而定。）6.3.3干线子系统根据网络核心层千兆带宽设计，干线采用多模光纤传输。6.3.4管理区子系统由于各个楼层的信息点数比较的多，故在每层楼都要设有管理区子系统，管理区子系统是由配线架、跳线以及相关的有源设备（HUB、交换机等)。具体的配料表如下：管理区子系统材料配置表序号型号名称数量1PT/XG.30U.6019”配线柜（30U）10个2JPX211C125回线背装架6个3PT/8.037.070125回线背装架6个4PT/FA3-08VI24口Patch-Pannel34个5PT/4.431.000管理线盘20个6PT/FB.SN.0044芯室内多模光纤380米7PT/TX.ST1.02ST-ST光纤单芯多模跳线40个8PT/TX.STC1.02ST-SC光纤单芯多模跳线40个9PT/GP11A12口光纤分线盒10个10PT/FL.ST.01ST法兰盘适配器40个73 6.3.5设备间子系统设备间子系统是由总配线架、跳线及相关有源设备（HUB、服务器及交换机等)等组成。设备间子系统是一空间概念，总配线架收集来自各水平子系统的线缆，并与相关有源设备通过跳线或对接实现系统的联网。本项目主设备间设在一层中心机房内，其布线设备主要为系统配线架和相关跳线等。按大楼结构化布线系统实施要求；我们将选用和配置普天相应产品。具体如下：设备间设备配置表序号型号名称数量1PT/XG.40U.6019”配线柜（40U）2个2PT/FA3-0816口Patch-Pannel44个3PT/8.037.061250回线背装架3个4PT/4.431.000管理线盘20个6PT/TX.ST1.02ST-ST光纤单芯多模跳线40个7PT/TX.STC1.02ST-SC光纤单芯多模跳线40个8PT/GP11A12口光纤分线盒10个9PT/FL.ST.01ST法兰盘适配器40个6.3.6建筑群子系统根据办公楼、生产车间、生活楼及食堂相距数百米的实际情况，楼间网络的互联，可以与干线子系统一样通过多模光纤相连。本项目施工中还包括：打线工具：主要用于主干线缆与配线架和压线模块的压接，亦为最基本工具之一。安装消耗品：施工辅材，包括扎带，胶带，油笔等。检测工具：FLUKE手持式工程仪表,可迅速方便地测试1对～4对线缆的开路、短路、反接、错接以及线对交错等情况,以及ISO11801提出的各种参数。73 第7章、实验与验证为使第四章节核心网络硬件配置切实可行，达到方案设计的整体要求。从方案的完整性上准备了虚拟机验证环节，以验证配置在设备上运行效果。7.1实验工具Cisco公司针对其CCNA认证开发出一个用来设计、配置和故障排除网络的模拟软件，即PacketTracer。使用者自己创建网络拓扑，并通过一个图形接口配置该拓扑中的设备。软件还提供一个分组传输模拟功能让使用者观察分组在网络中的传输过程。PacketTracer具有真实的操作界面，比其它模拟器BOSON、DY简单，适合学习使用，也满足本次方案验证的要求。软件安装简单，双击运行安装程序，一直按提示进行即可。我本次安装的版本为CiscoPacketTracer5.2，安装了汉化语言库（界面见图7-1）。图7-1CiscoPacketTracer5.2界面73 PacketTracer5.2与其他的软件一样，新建，打开，保存之类，中间的白框是工作区域，所有操作就是在这个框里面操作。框右边是工具，包括圈划设备，移动设备，删除设备之类（注意那个信封，以后要是查看包的传输路径，主要是看这个）。左下面是自己搭建TOPO时，可以随意的添加的设备，鼠标点击可以选择路由器、交换机、集线器、无线设备、线缆、终端设备、访真广域网、用户自定义设备及多用户联接多种类型，并从相应类型下添下具体型号设备到工作区（设选择如图7-1、图7-2和图7-3）。图7-1路由器设备的选择图7-2交换机设备的选择图7-3线缆的选择7.2实验模拟7.2.1各VLAN配置的连通性测试。a、目标及原理：通过模拟器模拟方案中vlan划分、设备配置，验证规划73 的可行性，修正并形成现实可行的方案。通过在核心上划分9个业务VLAN、两个管理VLAN：在实验的24口接入交换上划分4个业务VLAN，其中一个在VLAN10及VLAN11分别接入两台PC，一个在vlan12上接入两台PC，一个在vlan13上接入两台PC,通过在PC上使用PING命令或添加PDU，检查VLANu间及设备连通性；使用TELNET命令远程管理核心及接入交换机。b、模拟器下设备选择：三层交换机：356024ps、数量1（因模拟器限制区别于规划，其24个接口全为电口）。二层交换机：2950T、数量2（因模拟器限制区别于规划，其24个接口全为电口）。c、过程步骤：设备选择及配置，具体配置见附录“7.2实验配置”，效果见图7-4。图7-4实验效果d、验证多条件下vlan连通性。73 添加多个复杂pdu（ping），即从pcoàlaptop1红色信封(同一接入交换下的不同VLAN)、pc1àlaptop0绿色信封(同一接入交换下的同一VLAN)、pc2àpc2蓝色信封(不同接入交换下的同一VLAN)、laptop2àpc1黄色信封(不同接入交换下的不同VLAN)，过程见图7-5，连通性结果见图7-6。过程图7-5过程一73 过程二过程三73 过程四过程五73 过程六过程七73 过程八过程九73 过程十结果图7-6e、通过PC0“telnet192.168.100.1”验证核心交换远程的可管理性。试验中问题：在网络任何位置无法telnet到“192.168.1.1/24”网段（即无法远程管理接入交换机），提示“C3750x-24s-s1>telnet192.168.1.1Trying192.168.1.1...%Connectiontimedout;remotehostnotresponding”？解决办法：在任一中继接口配终端并配置该段地址“如192.168.1.10”，即可（如图7-7）。73 图7-7telnet远程管理接入交换192.168.1.1分析：在接口没有分配进vlan2的情形下，无法与接入交换在发生三层交换。7.2.2企业WAN链路连通性测试。a、目标及原理：在7.2.1实验的基础上，添加网络自身路由及接入ISP互联网路由，模拟企业WAN链路接入互联网，通过为两个路由配置策略，验证路由路与核心交换的方案可行性。模拟接入ISP互联网路由地址为218.28.58.130/29；本网络自身路由接口地址为218.28.58.131/29,路由与核心接口为F1/0(VALN1/192.168.100.253/192),核心与路由的接口为G0/1(VLAN100/192.168.100.254/192)。b、模拟器下设备选择：三层交换机与二层交换机选择同7.2.1实验。自身路由器：模拟器route2811、附NM-ESW-161及WIC-1T板卡各1个。73 （因模拟器限制可能区别于规划）。接入ISP互联网路由器：模拟器route2811、附NM-ESW-161及WIC-1T板卡各1个。（因模拟器限制可能区别于规划）。c、过程步骤：设备选择及配置，具体配置见附录“7.2实验配置”，效果果见图7-8。图7-8d、验证多条件下vlan到互联网的连通性。添加多个VLAN到接入Isp互联网路由的pdu（或使用ping命令），vlan10到Isp互联网接入路由（pcoàISPROUTER桔黄色信封）的过程见图7-9，连通性结果见图7-10。依次测试其它VLAN到互联网的联通性。图7-9WAN链路连通性实验过程73 过程一过程二73 过程三过程四73 过程五过程六73 过程七过程八73 图7-10连通性结果7.2.3ACL访问策略测试。a、目标及原理：在7.2.2实验的基础上，在防火墙（功能在c2900k9路由上模拟实现）及核心交换上添加扩展的IP访问控制列表，验证ACL访问控制策略在网络安全方面的可行性。b、模拟器下设备选择：三层交换机与二层交换机选择同7.2.2实验。在模拟器上增加Server-pt作为ISP的web服务器，IP设置为218.28.58.138，网关设置为218.28.58.137，未设置DNS，WWW服务通过输入“http://218.28.58.138”访问，其中网关配置在ISPRouter的F0/0接口。c、过程步骤：选择设备并（分别在路由及核心交换上）配置，具体配置见附录“7.2实验配置”有关注释。策略实施前部分效果见图7-11，实施后对互联网访问控制的效果果见图7-12，vlan间的控制效果见图7-13。图7-11对互联网未ACL控制策略的效果73 ISP的web服务可访问ISP的web服务器PING可达73 ACL对互联网的访问控制策略实施前，ISP的任何主机都可以访问内部网络任何主机的任何服务，整个网络是一个未设防的理想网络。网络内部任一个主机对ISP网络及内部所有网段，都可以随意愿而访问，流量未做任何控制，网络的安全无从谈起。ACL对互联网的访问控制策略实施后，内部网络任何主机仅可访问ISP的WEB服务，网络的外部主机对内部的任何访问均不可达或不可用（见图7-12）。图7-12ISP的主机PING不可达在核心交换上以vlan13做为受保护网段，模拟限制除WWW服务以外其它服务的情况，并观察效果（如图7-13）。73 图7-13对vlan3的主机ping不可达73 结论与展望8.1中小型企业网规划与设计的总结根据2011年7月4日，工信部等四部门联合发布的《中小企业划型标准规定》，中小企业设计网设计的目标用户量限于1000人以下。中小型企业网目前适用的网络规模往往在园区级及其以下，网络投资规模较为有限。中小企业分层化的网络拓扑可以采用千兆到核心层、100M接入层的两层结构，减少投入的同时，简化了网络结构，方便后期维护管理。对比中小企业人数总量与部门人数比率，采用C类保留地址做为网络内部地址较为适当。在相关子网地址无法精确估计情况下，为保证网络编址的扩展，做到对子网地址留有余地，对比“子网联网”和“可变字长子网掩码（VLSM）”两种技术，采用子网联网的技术较为适合中小企业的网络现状。在冗余网络设计上，为保证整个企业内部网络的可靠性，可以采用两台交换机部署HSRP冗余网关协议，提高网络高可用性的同时，对全网数据进行高速交换。网络路由协议选择上，权衡静态路由、默认路由、距离矢量协议RIP/EIGRP及链路状态协议OSPF的优缺点，静态路由和默认路由适合中小企业网络规模较小，路由表相对简单的网络，准确使用能够改进网络性能，减少路由开销，推荐首先使用。在网络流量控制上，必须在防火墙与核心交换上应用ACL基本或扩展IP访问控制策略来控制网络流量，为核心部门提供数据保护的同时，保障网络的基本安全。但同时要注意核心层的流量控制要适当，且不宜使用过多策略。本论文在实验验证阶段一点重要的缺失，就是没有对冗余网协议HSRP做出详细的验证与说明，主要因为思科推出Packettracer主要针对CCNA的用户，HSRP属于CCNP的实验环节，此工具暂不具备支持的能力。收集的资料表明，其它模拟器如GNS3（或小凡）73 支持HSRP，但GNS3需要下载相应的IOS，并且IOS资源很有限，最终因客观上时间紧迫等各种原因没有实现，对此非常遗憾。8.2展望论文在中小型企业网络建设方面提出了规划与设计方案，解决了内部网络与外网（Internet）安全互联的问题，我相信这仅仅建立了一个基本的，较为初步的网络。如前所述，中小企业局域包括外网、内网和企业网互联三个方面，解决了外网与内网之后，企业网的互联部分，即通常利用专线、远程（ISDN、ADSL等）、VPN技术来建立与内部网络的安全连接（或通道）也是较为重要的方面，这是本论文未涉及且需要认真探讨的问题。此外，中小企业网还应包括内部无线网络的建设问题，毕竟无线网络是目前比较受热捧的应用，方便且高效。其它中小企业网可能会使用到的相关技术还包括NAT及PAT等，我想在论文之外诸多方面还需要我个人不断地去思考、不断地去努力偿试。73 致　谢时光飞逝，转眼毕业在即。回首大学的求学生活，心中怀着无限感激与留恋之情。感谢母校为我提供了良好的学习环境，使我心无旁骛痴为学。在此，我谨向我的班级辅导员**老师、论文指导老师***老师、***老师及在校期间的给予我指导的各位恩师致以最诚挚的谢意！是你们的悉心培养，才使我有了志当从高远的气魄。受师德如沐清风，仰师恩重于泰山！本篇论文的完成，得益于李老师、杨老师两位指导老师的亲自辅导，我非常感谢！同时，西安***工程师，提供了思科最新设备的信息，使我完成了设备的选型，同班的各位同学也给予了不同程度的支持，对他们在此表示衷心的谢意！参考文献73 [1]（美国）AllanReid，JimLorenz，CherylSchmidt.CCNADiscovery:企业中的路由和交换简介[M].人民邮电出版社[2]徐锋.网络工程师考试冲刺指南[M].电子工业出版社[3]施游，桂阳，胡钊源.网络规划设计师考试辅导教程[M].电子工业出版社[4]吴功宜.计算机网络（第二版）[M].清华大学出版社[5]（美）MichaelSalvagno、任峥、丁青等译.Cisco网络设计手册[M]，北京：北京电子工业出版社，2000.[6]王达.局域网组建与配置技能实训[M].北京：人民邮电出版社，2006.[7](美)MatthewH.BirknerCisco，互连网络设计[M].北京：北京人民邮电出版社，2000.[8]冯登国.计算机通信网络安全[M].北京：清华大学出版社,2001.[9]赵喆.计算机网络实用技术[M].北京：中国铁道出版社，2008.[10]李建民，网络设计基础[M].北京：北京希望电子出版社，2000.附录A73 （7.2实验配置）!互联网接入商ISPRouter之startup-configversion12.4noservicetimestampslogdatetimemsecnoservicetimestampsdebugdatetimemsecnoservicepassword-encryption!hostnameRouter!!ipname-server0.0.0.0!!interfaceFastEthernet0/0ipaddress218.28.58.137255.255.255.248duplexautospeedauto!interfaceFastEthernet0/1noipaddressduplexautospeedautoshutdown!interfaceSerial0/0/0ipaddress218.28.58.130255.255.255.248clockrate64000!interfaceFastEthernet1/0switchportmodeaccessshutdown!interfaceFastEthernet1/1switchportmodeaccessshutdown!interfaceFastEthernet1/2switchportmodeaccessshutdown!interfaceFastEthernet1/373 switchportmodeaccessshutdown!interfaceFastEthernet1/4switchportmodeaccessshutdown!interfaceFastEthernet1/5switchportmodeaccessshutdown!interfaceFastEthernet1/6switchportmodeaccessshutdown!interfaceFastEthernet1/7switchportmodeaccessshutdown!interfaceFastEthernet1/8switchportmodeaccessshutdown!interfaceFastEthernet1/9switchportmodeaccessshutdown!interfaceFastEthernet1/10switchportmodeaccessshutdown!interfaceFastEthernet1/11switchportmodeaccessshutdown!interfaceFastEthernet1/12switchportmodeaccessshutdown!interfaceFastEthernet1/13switchportmodeaccessshutdown!interfaceFastEthernet1/1473 switchportmodeaccessshutdown!interfaceFastEthernet1/15switchportmodeaccessshutdown!interfaceVlan1noipaddressshutdown!ipclasslessiproute192.168.0.0255.255.0.0218.28.58.131iproute218.28.58.136255.255.255.248FastEthernet0/0iproute218.28.58.136255.255.255.248218.28.58.138!!linecon0linevty04login!!!end!路由Router2之startup-configversion12.4noservicetimestampslogdatetimemsecnoservicetimestampsdebugdatetimemsecnoservicepassword-encryption!hostnameRouter!!ipname-server0.0.0.0!!interfaceFastEthernet0/0noipaddressduplexautospeedautoshutdown!interfaceFastEthernet0/173 noipaddressduplexautospeedautoshutdown!interfaceSerial0/0/0ipaddress218.28.58.131255.255.255.248ipaccess-group100out!interfaceFastEthernet1/0switchportmodeaccess!interfaceFastEthernet1/1switchportmodeaccessshutdown!interfaceFastEthernet1/2switchportmodeaccessshutdown!interfaceFastEthernet1/3switchportmodeaccessshutdown!interfaceFastEthernet1/4switchportmodeaccessshutdown!interfaceFastEthernet1/5switchportmodeaccessshutdown!interfaceFastEthernet1/6switchportmodeaccessshutdown!interfaceFastEthernet1/7switchportmodeaccessshutdown!interfaceFastEthernet1/8switchportmodeaccessshutdown!73 interfaceFastEthernet1/9switchportmodeaccessshutdown!interfaceFastEthernet1/10switchportmodeaccessshutdown!interfaceFastEthernet1/11switchportmodeaccessshutdown!interfaceFastEthernet1/12switchportmodeaccessshutdown!interfaceFastEthernet1/13switchportmodeaccessshutdown!interfaceFastEthernet1/14switchportmodeaccessshutdown!interfaceFastEthernet1/15switchportmodeaccessshutdown!interfaceVlan1ipaddress192.168.100.253255.255.255.192!ipclasslessiproute192.168.0.0255.255.0.0192.168.100.254iproute0.0.0.00.0.0.0218.28.58.130!!access-list100permittcpanyanyeqwww!!linecon0linevty04login!!73 !end!核心交换C3750x-24s-s1之startup-configversion12.2noservicetimestampslogdatetimemsecnoservicetimestampsdebugdatetimemsecnoservicepassword-encryption!hostnameC3750x-24s-s1!!!enablepassword100.1!!interfaceFastEthernet0/1switchportmodetrunk!interfaceFastEthernet0/2switchportmodetrunk!interfaceFastEthernet0/3switchportmodetrunk!interfaceFastEthernet0/4switchportmodetrunk!interfaceFastEthernet0/5!interfaceFastEthernet0/6!interfaceFastEthernet0/7!interfaceFastEthernet0/8!interfaceFastEthernet0/9!interfaceFastEthernet0/10!interfaceFastEthernet0/11!interfaceFastEthernet0/12!73 interfaceFastEthernet0/13!interfaceFastEthernet0/14!interfaceFastEthernet0/15!interfaceFastEthernet0/16!interfaceFastEthernet0/17!interfaceFastEthernet0/18!interfaceFastEthernet0/19!interfaceFastEthernet0/20!interfaceFastEthernet0/21!interfaceFastEthernet0/22!interfaceFastEthernet0/23!interfaceFastEthernet0/24switchportmodetrunk!interfaceGigabitEthernet0/1switchportaccessvlan100switchportmodeaccess!interfaceGigabitEthernet0/2switchportmodetrunk!interfaceVlan1ipaddress192.168.100.1255.255.255.192!interfaceVlan2ipaddress192.168.1.254255.255.255.0!interfaceVlan10ipaddress192.168.10.62255.255.255.192!interfaceVlan11ipaddress192.168.10.126255.255.255.192!73 interfaceVlan12ipaddress192.168.10.190255.255.255.192!interfaceVlan13ipaddress192.168.10.254255.255.255.192ipaccess-group101in!interfaceVlan14ipaddress192.168.11.62255.255.255.192!interfaceVlan15ipaddress192.168.11.126255.255.255.192!interfaceVlan16ipaddress192.168.11.190255.255.255.192!interfaceVlan17ipaddress192.168.11.254255.255.255.192!interfaceVlan18ipaddress192.168.12.62255.255.255.192!interfaceVlan100ipaddress192.168.100.254255.255.255.192!ipclasslessiproute0.0.0.00.0.0.0192.168.100.253!!access-list101permittcpany0.0.0.0255.255.255.192eqwww!!linecon0password100.1loginlinevty04password100.1login!!!end73 !实验接入交换Bg-C2960-1f-1的startup-configversion12.2noservicetimestampslogdatetimemsecnoservicetimestampsdebugdatetimemsecnoservicepassword-encryption!hostnameBg-C2960-1f-1!enablepassword1.1!!!interfaceFastEthernet0/1switchportaccessvlan10switchportmodeaccess!interfaceFastEthernet0/2switchportaccessvlan10switchportmodeaccess!interfaceFastEthernet0/3switchportaccessvlan10switchportmodeaccess!interfaceFastEthernet0/4switchportaccessvlan10switchportmodeaccess!interfaceFastEthernet0/5switchportaccessvlan10switchportmodeaccess!interfaceFastEthernet0/6switchportaccessvlan10switchportmodeaccess!interfaceFastEthernet0/7switchportaccessvlan11switchportmodeaccess!interfaceFastEthernet0/8switchportaccessvlan11switchportmodeaccess!73 interfaceFastEthernet0/9switchportaccessvlan11switchportmodeaccess!interfaceFastEthernet0/10switchportaccessvlan11switchportmodeaccess!interfaceFastEthernet0/11switchportaccessvlan11switchportmodeaccess!interfaceFastEthernet0/12switchportaccessvlan11switchportmodeaccess!interfaceFastEthernet0/13switchportaccessvlan12switchportmodeaccess!interfaceFastEthernet0/14switchportaccessvlan12switchportmodeaccess!interfaceFastEthernet0/15switchportaccessvlan12switchportmodeaccess!interfaceFastEthernet0/16switchportaccessvlan12switchportmodeaccess!interfaceFastEthernet0/17switchportaccessvlan12switchportmodeaccess!interfaceFastEthernet0/18switchportaccessvlan12switchportmodeaccess!interfaceFastEthernet0/19switchportaccessvlan13switchportmodeaccess!73 interfaceFastEthernet0/20switchportaccessvlan13switchportmodeaccess!interfaceFastEthernet0/21switchportaccessvlan13switchportmodeaccess!interfaceFastEthernet0/22switchportaccessvlan13switchportmodeaccess!interfaceFastEthernet0/23switchportaccessvlan13switchportmodeaccess!interfaceFastEthernet0/24switchportaccessvlan13switchportmodeaccess!interfaceGigabitEthernet1/1switchportmodetrunk!interfaceGigabitEthernet1/2switchportmodetrunk!interfaceVlan1ipaddress192.168.1.1255.255.255.0!ipdefault-gateway192.168.1.254!!linecon0password1.1login!linevty04password1.1loginlinevty515loginend73'