1、 摘 要随着社会的发展科技的进步,人类社会已进入信息时代。在信息化的社会中,企业间的竞争也不可避免地被打上了信息化的烙印。目前许多公司原有的办公和信息传递方式已不能满足现代企业的需求。该项目主要目的就是为企业组建一个高效、灵活、安全可靠的信息传输网络。根据企业需求和当前网络主流技术的对比,在工程实施过程中局域网采用以太网技术。不同部门之间采用VLAN技术限制无用数据包在网络中的传输,提高有效资源的利用率。使用ACL技术对按照企业的要求,不同部门间的访问进行控制。在上层使用HSRP对网关备份,提高网络的安全。采用OSPF和浮动静态路由技术实现全网正常连通。采用NAT和VPN技术满足用户访问外网或
2、总公司和子公司之间通信。此外在实现业务隔离和全网连通的基础上,需配置各类服务器,满足企业信息发布和数据共享的需求。朗读显示对应的拉丁字符的拼音目 录第1章 引 言11.1 中小型网络组建的背景和意义11.2 中小型企业网络组建的基本要求11.3 主要网络技术概述21.4 总结4第2章 项目需求分析52.1 企业基本需求及分析52.2工程总体要求62.3 关键技术选用72.3.1 接入层技术72.3.2 汇聚及核心层技术72.3.3 网络服务器的选用82.3.4 可行性分析9第3章 企业网络设计103.1 网络拓扑选型103.2 网络IP地址规划10第4章 工程配置134.1 总部项目配置134
3、.1.1 总部接入层配置134.1.2 总部汇聚及核心层配置164.2 分部项目配置224.2.1 分部接入层配置224.2.2 分部汇聚及核心层配置23第5章 各类配置275.1 DHCP服务器配置275.1.1 DHCP服务器的安装275.1.2 DHCP服务器的配置和调试285.1.3 DHCP服务器的测试325.2 WWW服务器配置335.2.1 WWW服务器的安装335.2.2 配置WWW服务器345.2.3 WWW服务器的测试355.3 DNS服务器配置365.3.1为服务器分配固定IP地址365.3.2安装DNS服务器375.3.3 DNS服务器的配置385.3.4 DNS服务器
4、测试415.4 AAA服务器配置415.4.1 安装AAA服务器才程序(ACS 3.3)415.4.2 配置AAA 服务器445.4.3 AAA服务器验证46第1章 引 言1.1 中小型网络组建的背景和意义当今社会信息技术快速发展,计算机和互联网等现代技术活跃在社会各个领域,尤其在管理方面,信息及时沟通资源共享使大量复杂繁琐的问题变的更简单易行提高了生产效率。随着社会的进步和现代科技的发展,信息在人类的生活中显得越来越重要了。企业间的竞争早已超越了单纯的产品竞争、市场竞争、服务竞争、品种竞争、价格竞争和信誉竞争等。随着工业化的完成,人类社会已步入信息时代。在各种竞争的方面也都不可避免地被打上了
5、信息化的烙印。企业原有的办公和信息传递方式已不能满足现代企业运转的需求。企业网是正是在这种背景下产生的,成熟的计算机网络技术和通讯技术为企业办公自动化、网络化的需求提供技术支持。办公局域网为公司营造了一个安全、高效现代化的办公环境,也使计算机的功能得到了充分的发挥。企业内部联网实现内部互联互通,办公自动化、信息化,有利于数据交换(方便各部门之间传递业务数据)、资源共享(随时调用企业内部他人开放的数据)、打印共享(随时使用位于他人处的任意打印机)提高企业效率。1.2 中小型企业网络组建的基本要求我们知道网络按照地理范围可分为广域网(WAN)、城域网(MAN)和局域网(LAN)。中小型企业网从范围
6、上一般是属于局域的。它集成了一个企业所用到的所有的系统,不论它们是基于何种操作系统的计算机,如DOS的计算机、Apple的Macintosh机、UNIX工作站、小型计算机等。所有企业因资金、产品兼容性、网络安全等诸多原因将自己公司网络建设承包给专门的公司去做。这样可以在节省企业组网投入、提高网络安全性的基础上兼顾以后公司发展后网络的扩展性。所以在网络建设施工之前我们要做好需求分析,拓扑选型、设备选购等前期准备。只有这样才能是组建的网络满足各方面的要求。公司组建企业网的一般应有下几点基本要求:1.二层广播域隔离隔离VLAN(虚拟局域网)隔离技术是为了防止当网络系统的设备数量增加到一定规模后,无用
7、的广播报文会会占用大量的网络资源消耗带宽,从而影响有效数据传输效率;另一方面划分相互隔离子网VLAN和ACL合用的方法可以确保部分安全性要求较高的部门不被随意访问浏览。目前,基于VLAN隔离技术的访问控制方法在一些中小型企业和校园网中得到广泛的应用。 VLAN的划分有多种方式,一般采用的是基于第二层交换机端口的逻辑分段。VLAN的划分不受网络用户的物理位置限制而根据用户需求进行网络分段。一个VLAN可以在一个交换机或者跨交换机实现。2.三层信息共享信息共享指不同层次、不同部门信息系统间,信息和信息产品的交流与共用。在互联网时代信息的重要性越来越明显,实现信息共享可以使资源配置更加合理节约社会成
8、本,创造更多的财富。是提高信息资源利用率,节约社会成本提高信息资源利用率,避免在信息采集、存贮和管理上重复浪费的一个重要手段。通过配置路由器或三层交换机即可实现不同VLAN间的相互通信,从而实现三层信息的共享。3.控制网络上的安全通过使用VLAN,将交换机某个端口赋予某一个特定的VLAN,该VLAN组可以在一个广播域中实现跨接多个交换机传递信息。在一个VLAN中的广播数据报文不会送到其他广播域中。这大大提高了网络的利用率,确保了网络的安全保密性。防火墙技术将其内部假定为安全区域,外部是非安全区域。通过设置内部和外部接口的安全级别,及检测策略已达到确保网络安全的目的。此外还可以通过ACL(访问控
9、制列表)技术及AAA认证阻止某些网内或者企业网外用户的非法访问。1.3 主要网络技术概述Vlan 技术可以实现不同广播域之间的数据隔离,确保网络安全的同时缩小了物理广播域的范围防范广播风暴。此外成本高昂的网络升级需求减少,现有带宽和上行链路的利用率更高,因此可节约成本,增加网络的灵活性。Trunk是一种封装技术,它是一条点到点的链路,可以是交换机与交换机相连,也可以是交换机和路由器相连,还可以是主机和交换机或路由器相连。基于端口汇聚(Trunk)功能,允许交换机与交换机、交换机与路由器、主机与交换机或路由器之间通过两个或多个端口并行连接同时传输以提供更高带宽、更大吞吐量, 大幅度提供整个网络能
10、力。这里使用Trunk技术利用它允许多个VLAN数据包通过的特性实现不同VLAN间的通信。不同VLAN间的数据通信是通过在数据包头部打标记识别的。所以Trunk技术需封装dot1q等其他协议。随着Internet的日益普及,人们对网络的依赖性也越来越强。路由器是整个网络的核心,它在数据传输中主要担当路由选择和存储转发的角色。如果路由器发出现故障,将导致本地网络的瘫痪,如果是骨干路由器,影响的范围将更大。所以应在实现基本要求的基础上实现路由器冗余备份。HSRP(热备份路由协议)中含有多种路由器,对应一个虚拟路由器充当虚拟网关。其中一个为活动路由,其余的为备份路由。活动路由器的选举是通过优先级为参
11、考项,优先级最高的为活动路由器。开放最短路径协议(OSPF)协议,属于内部网关协议的一种。它能通过完整的全网链路状态数据库和SPF算法生产一张路由表,供全局路由表选择。OSPF并非只根据两个网络结点之间的最短路径生成路由表,而是通过计算通信费用,根据网络用户的要求来平衡费用和性能,以选择相应的路由。在一个自治系统内可划分出若干个区域,每个区域根据自己的拓扑结构计算最短路径,这缩小了数据库同步时信息传递范围,节约网络资源提高资源有效利用率;OSPF属动态的自适应协议,对于网络的拓扑结构变化可以迅速地做出反应,进行相应调整,提供短的收敛期,使路由表尽快稳定化。每个路由器在生成路由表时都以自己为根,
12、构造最短路径树,然后再根据网络最小开销构造路由表。路由器彼此交换,并保存整个网络的链路信息,从而掌握全网的拓扑结构,并独立计算路由。作为另一种内部网关协议(IGP),路由信息协议(RIP)应用于 AS 系统内部。连接 AS 系统有专门的协议,其中最早的这样的协议是“EGP”(外部网关协议),目前仍然应用于因特网。RIP 主要用在网络规模较小的企业网中,因为RIP协议规定他的最大跳数为15,16即为网络不可达。又因为RIP协议好消息传得快坏消息传的慢这一特性,所以RIP 比较适用于简单的校园网和区域网。经过对比得出OSPF协议比RIP更适用于此项目。浮动路由技术可增加网络链路的冗余,当一条链路出
13、现故障时可使用备用链路。依据路由的管理距离,管理距离越大的的优先级高,手动添加的静态路由管理距离。当动态路由出现问题时,原有的路由会失效,路由器会自动选择静态路由,保证网络不中断。此外还用到了ACL(访问控制列表)和AAA技术 ,访问控制是网络安全防范和保护的主要策略,它的主要任务是保证网络资源不被非法使用和访问。它是保证网络安全最重要的核心策略之一。访问控制涉及的技术也比较广,包括入网访问控制、网络权限控制、目录级控制以及属性控制等多种手段;AAA ,认证(Authentication):验证用户的身份与可使用的网络服务;授权(Authorization):依据认证结果开放网络服务给用户;计
14、帐(Accounting):记录用户对各种网络服务的用量,并提供给计费系统。整个系统在网络管理与安全问题中十分有效。1.4 总结社会竞争归根到底是人才和信息的竞争。谁能在社会变革中利用有效信息迅速调整企业产业结构,抓住机遇迎接挑战,就能立于不败之地。随着我国不断深化改革开放国外各种类型的公司将带着各自的产品、服务和解决方案进入我国市场。我国中小企业将面临强烈的挑战和生存危机,因此应尽快提高自身的信息化水平。随着现代科技的发展及计算机技术与通讯技术的结合,人们已经不再满足原有的办公方 式,办公自动化、网络化的需求逐日增加。办公局域网营造了一个现代化的高效、快捷、安 全的办公环境,也使计算机的功能
15、得到了充分的发挥。第2章 项目需求分析2.1 企业基本需求及分析XX 公司由于规模不断扩大,公司各部门之间及总部和分部之间信息传递资源共享等方面出现严重滞后。为提高弥补之一缺陷提高效率,公司高层决定组建企业网络已协调各部门之间的工作。公司具体情况及需求如下: 公司部门情况 主要部门职责所需设备数董事会办公室组织办公、辅助决策、后勤保障、董事会工作、工会工作等50台人力资源部员管理、劳动工资管理、绩效管理、教育培训等100台营销业务部营销渠道企划培训、品牌宣传、销售人员管理、中介管理等80台产品研发部公共产品开发、专属产品开发、精算管理等30台客户服务部电话中心管理、服务项目管理、客户关系与品质
16、管理、服务网点与人员管理等60台网管中心配置管理公司网络的各种服务器、发布各部门的对外信息、协调各部门之间的信息共享等20台 要求:1.全网实现不同业务二层隔离三层连通4.总部各部门可以访问分部相对应的部门5.总部网管中心只能访问总部相应设备不能访问分部网管中心6.总部各部门之间不能互访4.分部各部门可以访问总部部相对应的部门5.分部网管中心只能访问分部相应设备不能访问总部网管中心6.分部各部门之间不能互访7.在实现全网连通的基础上实现工程的高性能、高可扩展性、易管理性、经济性和统一的网管系统为原则。由企业基本需求我们可以知道该企业属于中小型企业,所以网络我们可以采用二层结构。在接入层,为了网
17、络信息安全和节约网络资源,每个部门建一个VLAN。各部门之间业务隔离可用ACL来实现。这样既能满足公司要求,减少无用的广播报文在网络上传播占用资源。核心层和汇聚层合为一层,节省企业资金。在该层应尽量考虑安全方面的因素。这里的安全不只是协议上的安全,还包括设备冗余。2.2工程总体要求1. 先进性目前,在企业局域网的建设中,主要采用交换以太网技术。因为以太网既是一种十分成熟的技术,又是不断向前发展的技术。目前,千兆以太网正在普及,万兆以太网技术发展得也很快。随着多媒体应用的发展,网络只有采用交换方式才能满足需求;同时,交换机的价格和集线器差别已经不大,所以,目前企业纷纷采用交换以太网技术。2. 高
18、性能随着业务的增加和计算机技术的发展,接入局域网的用户将越来越多,pc和工作站的处理能力越来越强,以及图形图像和多媒体的应用越来越广泛,要求每个用户实际可用带宽很高才能使网络通信流畅,因此设计方案时应充分考虑将来业务量的增大,保证当前及今后一定时期内网络的高效与通畅。3. 可伸缩性 网络要能满足用户当前需求以及将来需求的增长、新技术发展等变化。因此在保护原有的投资同时,要保证用户随时随地增加设备、增加网络功能等。随着应用规模的发展,系统能灵活方便地进行硬件或软件系统的扩展和升级。4. 可靠性与安全性网络是企业信息系统应用所依赖的基础,要求系统连续安全可靠地运行,所以在系统结构设计、网络型号选择
19、、供应商技术、维护服务等方面都要严格考察。尽可能利用成熟的技术,网络关键部分要有备份措施,对于重要的网络节点应采用先进可靠的容错技术,以保证网络系统的可靠性和安全性。5. 开放性网络技术是不断发展变化的。建网时所选产品必须符合国际标准及流行的工业标准,这样才能为网络的未来发展提供保证。6. 可管理性网络系统将发展得越来越复杂。这就要求有强有力的网管手段,合理地调整网络资源、监视网络状态和控制网络运行。2.3 关键技术选用2.3.1 接入层技术接入层通常指网络中直接面向用户连接或访问的部分。接入层目的是允许终端用户连接到网络,因此接入层交换机具有低成本和高端口密度特性。接入交换机是最常见的交换机
20、,它直接与外网联系,使用最广泛,尤其是在一般办公室、小型机房和业务受理较为集中的业务部门、多媒体制作中心、网站管理中心等部门。在传输速度上,现代接入交换机大都提供多个具有10M/100M/1000M自适应能力的端口。此次工程在实施过程中将采用以太网技术,并利用Vlan技术隔离广播域VLAN(Virtual Local Area Network)即虚拟局域网,是一种通过将局域网内的设备逻辑地而不是物理地划分成一个个不同的网段,从而实现虚拟工作组的技术。它不受网络用户的物理位置限制,而是根据用户需求进行网络分段。从而减小广播风暴带来的危害,增加资源利用率。采用Trunk技术实现不同Vlan间的通信
21、,当数据进入交换机时Access模式端口会为数据打上该端口所属Vlan的标记(PVID),普通交换机接口只允许该端口所属Vlan数据通过。将交换机的借口定义为Trunk模式可以允许不同Vlan的数据通过。2.3.2 汇聚及核心层技术汇聚层是楼群或小区的信息汇聚点,是连接接入层和核心层的网络设备。为接入层提供数据的汇聚传输管理分发处理。汇聚层为接入层提供基于策略的连接,如地址合并,协议过滤,路由服务,认证管理等,通过网段划分(如VLAN)与网络隔离可以防止某些网段的问题蔓延和影响到核心层。汇聚层同时也可以提供接入层虚拟网之间的互连,控制和限制接入层对核心层的访问,保证核心层的安全和稳定。核心层的
22、功能主要是实现骨干网络之间的优化传输,骨干层设计任务的重点通常是冗余能力、可靠性和高速的传输。网络的控制功能最好尽量少在骨干层上实施。核心层一直被认为是所有流量的最终承受者和汇聚者,所以对核心层的设计以及网络设备的要求十分严格。核心层设备将占投资的主要部分。接入层数据访问外网时根据转发逻辑需要传给默认网关,因此默认网关是Vlan数据的唯一出口。如果网关设备出现故障那么数据就无法实现跨网传输。为了确保数据传输安全这里采用HSRP技术,当一个设备出现故障时可以启用备份网关设备。当数据转交给网关 (一般为路由器) 后,路由器需要对其进行转发。我们知道路由器是依照路由表进行数据转发的,形成内部路由表需
23、要RIP或者OSPF技术。由上文我们可以看出OSPF更加适用此次工程。该公司有总部和分部太远,他们之间信息传输必须要走外网,同时为了便于管理我们采用VPN技术使他们在逻辑上看是属于同一局域网中。2.3.3 网络服务器的选用出于便于管理、安全、及公司需求等各方面的考虑,此项目配置了一下服务器:1) 动态主机设置协议(Dynamic Host Configuration Protocol, DHCP)是一个局域网的网络协议,使用UDP协议工作,主要有两个用途:给内部网络或网络服务供应商自动分配IP地址给用户给内部网络管理员作为对所有计算机作中央管理的手段。2) DNS 是域名系统 (Domain
24、Name System) 的缩写,它是由解析器和域名服务器组成的。域名服务器是指保存有该网络中所有主机的域名和对应IP地址,并具有将域名转换为IP地址功能的服务器。其中域名必须对应一个IP地址,而IP地址不一定有域名。当我们在上网的时候,通常输入的是如网址,其实这就是一个域名,而我们计算机网络上的计算机彼此之间只能用IP地址才能相互识别。3) WWW 服务器主要是用来发布公司信息的,它包括对内和对外两个方面。应为有些信息必须保密有些则需要对外发布。所以在配置时可以用不同IP进行区分。4) AAA ,认证(Authentication):验证用户的身份与可使用的网络服务;授权(Authoriza
25、tion):依据认证结果开放网络服务给用户;计帐(Accounting):记录用户对各种网络服务的用量,并提供给计费系统。整个系统在网络管理与安全问题中十分有效。2.3.4 可行性分析本课题设计实现的是一个中小型企业网络的组建,由于条件有限,不可能在真实的环境下去组网配置。只能在虚拟机上进行模拟。无论是连接Internet,还是配置一些公司必须的服务器,都需要做一些改进。1) 用一台Cisco 3640 去模拟Internet连接。2) 由于使用的模拟器所模拟的设备有限二层交换机和三层交换机同样使用Cisco 3640 去模拟。3) 各类服务器安装在虚拟机Windows Server 2003
26、 上面,测试PC使用现实计算机。4) 全网连通性测试时可用模拟器自带的VPC去测试。5) 为保证实验顺利进行只能开启部分网络设备分模块进行配置和验证。第3章 企业网络设计3.1 网络拓扑选型根据前一章需求分析,我们在组建企业网络决定采用二层网络结构。接入层主要为用户接入网络提供服务,它包括访问外网和公司内网两种。如果是访问公司内网要求一定的访问控制;如果访问外网需要在上层进行IP地址转换。接入层和汇聚层合为一层,它主要是汇聚及转发不同部门及用户访问外网时的数据。各类服务器就安装在该层的交换机上,为企业各部门提供相应服务。在工程实施中采用下图所示拓扑图:图3.1 企业网络拓扑图3.2 网络IP地
27、址规划IP地址分为内网地址和外网地址。试验中企业内部全部使用内网地址,和Internet相连的接口及模拟Internet的路由器配置外网地址。1.由于实验条件有限,所以外网Internet由一台路由器模拟。其端口对应地址如下表:设备名接口IP地址对端设备对端接口对端IP地址InteRF0/2172.10.1.1/24F1R1F1/0172.10.1.2/24F0/4172.10.3.1/24CENR1F1/0172.10.3.2/242.由于本次是中小型企业网络设计,所以在选内网地址段时采用C类192.168.*.*地址段,192.168.子网位.主机位。总部设备IP地址划分表如下:设备接口I
28、P地址对端设备对端接口对端IP/描述CENR1F1/0172.10.3.2/24InteRF0/4172.10.3.1/24LoopBack 0192.168.3.1/32Tunnel 0192.168.17.1/24F1R1Tunnel 0192.168.17.2/24F1/2192.168.7.1/24CENHS2F0/1192.168.7.2/24F1/3192.168.4.1/24CENHS1F0/0192.168.4.2/24CENHS1LoopBack 0192.168.3.3/32F0/0192.168.4.2/24CENR1F0/3192.168.4.1/24F0/2无CENH
29、S2链路捆绑端口F0/3无F0/4无CENJS2Trunk端口F0/5无CENJS1Trunk端口F0/9无CENJS4Trunk端口F0/10无CENJS3Trunk端口CENHS2LoopBack 0192.168.3.4/32F0/1192.168.7.2/24CENR1F0/2192.168.7.1/24F0/2无CENHS1链路捆绑端口F0/3无F0/4无CENJS4Trunk端口F0/5无CENJS3Trunk端口F0/9无CENJS2Trunk端口F0/10无CENJS1Trunk端口F0/6该端口连接各类服务器3. 由于该项目是在模拟环境下配置的,所能用到的资源有限。所以二层端
30、口只能做一些简单的划分以作测试使用。总部各业务网段划分表如下:主要部门VLAN号IP地址段设备名对应端口董事会办公室Vlan 7192.168.24.0/24CENJS1F0/0人力资源部Vlan 6192.168.23.0/24CENJS1F0/3营销业务部Vlan 5192.168.22.0/24CENJS2F0/1产品研发部Vlan 4192.168.2.0/24CENJS3F0/1客户服务部Vlan 3192.168.1.0/24CENJS3F0/2网管中心Vlan 2192.168.0.0/24CENJS4F0/14.分部设备IP地址规划表:设备接口IP地址对端设备对端接口对端IP/
31、描述F1R1LoopBack0192.168.10.1/32Tunnel 0192.168.17.2/24CENR1Tunnel 0192.168.17.1/24F1/0172.10.1.2/24InteRF0/2172.10.1.1/24F1/2192.168.12.1/24F1HS1F0/0192.168.12.2/24F1HS1LoopBack0192.168.10.3/32F0/0192.168.12.2/24F1R1F1/2192.168.12.1/24F0/2无F1JS2Trunk端口F0/3无F1JS1Trunk端口5.分部各业务网段IP地址划分表:主要部门VLAN号IP地址段设
32、备名对应端口董事会办公室Vlan 17192.168.21.0/24F1JS1F0/1人力资源部Vlan 16192.168.20.0/24F1JS1F0/2营销业务部Vlan 15192.168.19.0/24F1JS1F0/3产品研发部Vlan 13192.168.16.0/24F1JS2F0/1客户服务部Vlan 12192.168.15.0/24F1JS2F0/2网管中心Vlan 14192.168.14.0/24F1JS2F0/3第4章 工程配置4.1 总部项目配置4.1.1 总部接入层配置接入层配置包括划分Vlan 、配置相应接口的Trunk模式、为Vlan分配端口及配置网关接口等
33、。划分Vlan的目地是为实现不同部门之间业务隔离;通过配置Trunk链路使不同部门互访;配置网管地址便于对网络设备的管理。1.总部二层交换机CENJS1配置命令48(1) 基本配置 在基本配置中需完成的工作有修改设备名称、修改超时时间、禁止域名查询等工作。其代码如下:Router(config)#no ip domain-looRouter(config)#line con 0Router(config-line)#exec-timeout 0Router(config-line)#logging sy Router(config-line)#exit Router(config)#hostn
34、ame CENJS1 (2) 创建Vlan 2-7 创建VLAN主要是为了实现不同部门之间广播域隔离,可减少无用的数据包占用网络资源。同时对不同部门的设备也起到了一定的保护作用。与下面ACL合用可以防止不同部门之间的非法访问。由于此次项目是在模拟器下实现的,不支持批量组建VLAN,只能逐个建立。其代码如下: CENJS1#vlan dataCENJS1(vlan)#vlan vlanidCENJS1#show vlan-s(3) 配置Trunk端口 当用户在网络上传递消息时,数据从Access端口进入时在数据包头部打上标记。Access接口只允许属于本网段的打标记的数据包通过。配置Trunk端
35、口让属于不同VLAN的数据都能通过该端口,这样就可以实现不同业务网段互访。配置代码如下:CENJS1(config)#int f0/0CENJS1(config-if)#switchport trunk en dot1qCENJS1(config-if)#switchport mode trunk CENJS1(config-if)# switchport trunk allowed vlan allCENJS1(config-if)#no sh (4) 为Vlan 分配端口 Access端口是用户与上联交换机相连的端口,它属于某一个特定的VLAN。配置代码如下:CENJS1(config)#
36、int 端口号CENJS1(config-if)#switchport mode accessCENJS1(config-if)#switchport access vlan vlanidCENJS1(config-if)#no sh (5) 配置网管接口 网关接口是一个虚接口,它只逻辑存在于交换机之中。配置网管接口是满足存在相应VLAN、VLAN存在活动端口这两个条件。配置网管接口主要是为了方便对设备进行管理。其代码如下:CENJS1(config)#int vlan 2CENJS1(config-if)#ip add 192.168.0.3 255.255.255.0CENJS1(conf
37、ig-if)#no sh(6) AAA配置 AAA指认证、授权、统计三个方面。是为了对设备进行安全管理。在配置完AAA服务后还需专门的服务器对其进行认证和授权。代码如下:CENJS1(config)#aaa new-modelCENJS1(config)#aaa authentication login log group tacacs+ CENJS1(config)#aaa authorization exec default group tacacs+CENJS1(config)#line vty 0 4 CENJS1(config-line)#login authentication l
38、ogCENJS1(config)#tacacs-server host 192.168.0.253 key 123456CENJS1(config)#ip tacacs source-interface vlan 2CENJS1(config)#no aaa authentication enable default noneCENJS1(config)#no aaa authentication login default none2.总部二层交换机CENJS2配置命令 (1) 基本配置(2) 创建Vlan 2-7(3) 将f0/0配置成Trunk端口 (4) 为Vlan 分配端口(5) 配
39、置网管接口CENJS2(config)#int vlan 2CENJS2(config-if)#ip add 192.168.0.4 255.255.255.0CENJS2(config-if)#no sh(6) 配置AAA服务3.总部二层交换机CENJS3配置命令 (1) 基本配置(2) 创建Vlan 2-7(3) 将f0/0配置成Trunk端口 (4) 为Vlan 分配端口(5) 配置网管接口CENJS3(config)#int vlan 2CENJS3(config-if)#ip add 192.168.0.5 255.255.255.0CENJS3(config-if)#no sh(6
40、) 配置AAA服务4.总部二层交换机CENJS4配置命令 (1) 基本配置(2) 创建Vlan 2-7(3) 将f0/0配置成Trunk端口 (4) 为Vlan 分配端口(5) 配置网管接口CENJS4(config)#int vlan 2CENJS4(config-if)#ip add 192.168.0.6 255.255.255.0CENJS4(config-if)#no sh(6) 配置AAA服务4.1.2 总部汇聚及核心层配置汇聚及接入层是由配置主要有OSPF和静态路由配置、HSRP路由备份、GRE、NAT、AAA及其他安全配置。由于网路规模较小,故将汇聚层和核心层合为一层。在该层要
41、考虑数据流向、冗余备份、浮动路由等多方面的问题。是网络资源能得到充分利用,优化网络配置。具体配置如下:1. 三层交换机CENHS1配置命令(1) 基本配置(2) 创建vlan 2-7(3) 将f0/4-5配置成Trunk端口 (4) f0/2-3 端口链路捆绑 端口链路捆绑可以将多条链路看做一条,这样及增加了接口带宽又能对链路进行冗余备份,是网络连接跟安全可靠。代码如下: CENHS1(config)#int rang f0/2 -3CENHS1(config-if-range)#switport trunk en dot1qCENHS1(config-if-range)#switchport
42、 trunk en dot1qCENHS1(config-if-range)#switchport mode trunkCENHS1(config-if-range)#switchport trunk allowed vlan allCENHS1(config-if-range)#channel-group 2 mode onCENHS1(config-if-range)#no sh(5) 配置网管接口 配置网管接口便于设备管理的,此外可以将网管接口地址作为该网段的网关地址。(6) 配置三层接口IP地址(7) 配置STP根网桥 STP生成树协议,防止网络环路产生广播风暴影响正常数据的传输。因此
43、每一台交换机都要开启STP协议。为了更好的利用网络资源,便于人为控制数据流向。我们将CENHS1设置为VLAN 5-7的根网桥,CENHS2设置为VLAN 2-4的根网桥。CENHS1(config)#spanning-tree vlan 5 priority 0CENHS1(config)#spanning-tree vlan 6 priority 0CENHS1(config)#spanning-tree vlan 7 priority 0(8) 配置HSRP 网关备份协议,动态为各个VLAN分配默认网关。考虑到设备负载和数据分流我们将CENHS1配置为VLAN 2-4备份路由,VLAN
44、5-7的活动路由。CENHS1(config)#int vlan VLANID CENHS1(config-if)#standby N priority 100 CENHS1(config-if)#standby N ip IP CENHS1(config-if)#standby N preempt CENHS1(config)#int vlan VLANIDCENHS1(config-if)#standby M priority 200CENHS1(config-if)#standby M ip IPCENHS1(config-if)#standby M preemptCENHS1(conf
45、ig-if)#standby M track f0/0 55CENHS1(config-if)#standby M track f0/1 55 (9) 配置DHCP中继 由于网络设备中主机过多,如果人为手动区分配IP地址就会造成IP地址冲突。影响正常上网。因此配置DHCP服务对IP集中管理分配。代码如下:CENHS1(config)#service dhcpCENHS1(config)#ip dhcp relay inf optionCENHS1(config)#int vlan vlanidCENHS1(config-if)#ip helper-address 192.168.0.253CENHS1(config-if)#exit(10) 配置路由表 一个路由器中有多种生成路由表的协议,他们产生的路由表成为协议路由。OSFP生成OSPF协议路由表,以供路由器选择最优路由条目产生全局路由。CENHS1(config)#router ospf 1CENHS1(config-router)#network 1