企业园区网及设计、规划与实施

企业园区网及设计、规划与实施

杭州职业技术学院

毕业设计（论文）

题（2012届）

企业园区网的设计、规划与实施

系 别 信 息 电 子 系 专 业 计 算 机 通 信 班 级 计通0911 姓 名 张梦梦 指导教师

富众杰

2

目

2012年 5 月

22 日

3

目录

第1章 企业网建设综述 ........................................ 7 1.1 项目建设目标 1.2 项目建设原则 1.3 基本建设描述

第2章 需求分析 .............................................. 8 2.1企业背景 2.3计算机网络综合布线

第3章 网络设备配置和管理 ................................... 12 3.1 划分子网 3.2划分vlan 3.3接入层交换机配置 3.4汇聚层交换机配置

3.5汇聚层交换机Convergence layer2配置 3.6核心层交换机连接配置说明

第4章 连接广域网 ........................................... 30 4.1路由器基本配置

4

4.2配置静态路由 4.3配置NAT

4.4在路由器上配置访问控制列表（ACL）

第5章 总 结 ................................................ 34 主要参考文献资料 ............................................ 35 致 谢 ....................................................... 36

5

企业园区网的设计、规划与实施

【摘要】在现今的网络建设中，企业网的建设是非常重要的，企业网内部各种不同业务的开展是企业网发展迅速的最主要原因。从早期的企业网主要是简单的数据共享，简单数据库的共享到现在内部全方位的数据共享，从过去单一的企业到现在多个分支公司的全部互连，因而对网络的覆盖面要求越来越广。这一要求最早还只局限于各分支企业内部，现在则已是整个企业、整个行业，甚至整个Internet的共同要求。 In present network developments enterprise network developments is very

important enterprise fly development because various different business developments that in enterprise network inside in earlier period enterprise network is primary a simple data share. But today the internal All-directions data shares. Since past single enterprise connect till now whole internet connect. And now is common request that whole business enterprise, whole profession, even whole Internet.

【关键词】网络; IP; VLAN; 园区网

6

第1章 企业网建设综述

1.1 项目建设目标

建设分层的交换式以太网络，对建成企业网络进行优化，使其得到充分的利用。

1.2 项目建设原则

1、先进性：先进的设计思想、网络结构，标准化和技术成熟的软硬件产品。 2、实用性：应充分考虑利用资源，能使用户最方便地实现各种功能。

3、开放性：系统设计应采用开放技术、开放结构、开放系统组件和开放用户接口，以利于网络的维护、扩展升级及外界信息的沟通。

4、灵活性：采用积木式模块组合和结构化设计，使系统配置灵活，满足企业逐步到位的建网原则，使网络具有强大的可增长性和强壮性。

5、发展性：网络规划设计既要满足用户发展在配置上的预留，又能满足因技术发展需要而实现低成本扩展和升级的需求。

6、可靠性：具有容错功能，管理、维护方便。方案的设计、选型、安装、调试等各环节进行统一规划和分析，确保系统运行可靠。

1.3 基本建设描述

首先了解企业的具体需求，根据企业办公室PC机的多少来决定网络信息点数目，主干光纤的铺设也要考虑企业办公大楼和工厂车间的具体位置，要求在合

理的位置放置硬件设备，并通过网络铺设将企业中的每一个信息点连接到局域网，然后通过路由器，防火墙，连接到外网，外网地址采用电信提供的网络地址，企业内部采用私有IP。

7

第2章 需求分析

2.1企业背景

该企业为小型有限责任公司，总占地面积为1000多平方米。共有八个部门，每个部门据房间大小和公司需求计算前期不会超过255台工作站。部门分别是财务部、人力资源部、技术支持部、市场部、售后服务部、产品部、客服部、设备部，此外有一个总经理办公室，一个副总经理办公室。

2.3计算机网络综合布线

计算机网络采用星型结构布线，要求所有网络的数据主干系统采用千兆光纤，接入层交换机到室内桌面采用五类非屏蔽双绞线。 2.3.1网络拓扑结构图

为了实现网络设备的统一，在本设计方案中完全采用同一厂家的网络产品，即Cisco公司的网络设备构建。本企业网设计方案主要由以下几部分组成：交换模块、广域网接入模块、服务器模块，整个网络系统的拓扑结构图如下所示：

图2.1整个网络系统的拓扑结构图

2.3.2网络组建和设备选择

在上面的拓扑结构图中,企业有八个部门，两个经理办公室共十个主要的接入点，

8

考虑在整个网络架构上采用先进的交换式以太网，系统架构分三层，分别为核心层、汇聚层和接入层，核心层实现提供整个网络的中心多层路由、数据快速交换功能；汇聚层交换机必须能够处理来自接入层设备的所有通信量，并提供到核心层的上行链路，因此与接入层交换机相比，汇聚层交换机需要更高的性能，更少的接口和更高的交换速率；接入层交换机的作用是提供足够多的端口，将终端联入INTERNET。

根据综合布线的科学性、可扩展性和经济性，将中心交换机放置在企业办公大楼1层的配线间，路由器选用CISCO3825，带内置防火墙，用于对外来的数据进行过滤，限制本地用户登陆非法网站等等。核心层交换机采用CISCO WS-C3750G-24TS-S，这是一款适用于企业LAN接入或分支机构环境的理想交换机，将10/100/1000和PoE配置相结合，提供了最高生产率和投资保护，并支持新应用，如IP电话、无线接入、视频监视、建筑物管理系统和远程视频售货亭等的部署。 客户可在整个网络范围中部署智能服务－如高级服务质量(QoS)、限速、访问控制列表(ACL)、组播管理和高性能IP路由，且同时保持LAN交换的简洁性。办公大楼放置两台汇聚层层交换机，选用CISCO WS-ACCESS LAYER2950T-24，配线间放置2台接入层交换机，选用CISCO WS-ACCESS LAYER2950T-24。路由器和交换机、交换机和交换机之间的都使用多模光纤连接，接入层交换机到PC之间使用5类双绞线连接，这样就可以保证千兆主干网，百兆到桌面的设计要求。从上面的拓扑图中我们可以列出下面的设备选型列表：

表2.1 设备选型列表

设备名称 5 型号 单数总说明 价 量 价 1 470内置防火墙，用00 于对外来的数据进行过滤，限制本地用户登陆非法网站 00 路由器 CISCO3824709

换 机 CISCO 1 367内存：128MB传输速率 /1000Mbps模块化插槽数 4 核WS-C3750367心G-24TS-S 62 62 10Mbps/100Mbps交 层 CISCO 50 0 产品内存：128MB传输速率：s 00 10/100/1000Mbp汇WS-C3750113聚V2-24PS-层 入S CISCO S 0-24 Switch/hub GLC-FE-1模块 00FX CISCO GLC-LH-S160 160 2 227 24 10/100 ports w/ 2 E-T ports,Enhanced Image 0 10/100/1000BAS接WS-ACCES400层 LAYER2952 800视每个部门工作站多少的情况而定 1个 9SFP光接口模块 百兆 2公里 1.25G 10KM 160 144个 0 SFP-LX单模光纤10

M 线 缆 光迅纤 驰4芯单模光缆 双绞五类400/卷 5 2000 0M 0 模块 4/M 100400波长1300损耗850/3.5温度-40-80湿度0 线 UTP 11

第3章 网络设备配置和管理

在整个企业网络的物理连接完成之后，接下来进一步的工作是整个网络在物理连接之上的实现。这个过程主要是从网络管理的有效性、安全性方面进行逻辑的划分。实际上其主要内容是在可管理的交换机上，很好的实现IP地址分配、子网划分和VLAN的管理配置。

3.1 划分子网

在一个大、中型网络里，VLAN的划分是必不可少的步骤之一。一个单位在一个网络号下有大量的计算机时，并不便于管理，可以根据单位所属的部门或其地理分布位置等来划分子网，在本设计方案中是根据部门来划分子网的，划分子网也就分割了广播域。

划分子网的目的: 1.减少网络流量 2.提高网络性能 3.简化管理

4.易于扩大地理范围

在本企业网设计中，整个企业网的VLAN及IP编址方案如下表所示：

在下面我们需要注意的是：192.168.0.0-192.168.255.254这样的IP地址是私有IP地址，它不能在公共网络中使用，但是为什么我们要这样做呢？因为针对当前现状，IP地址紧缺，我们不可能也不应该为每一台工作站申请一个公有IP地址，这样不仅可以缓解IP地址不足的情况，而且也可以为企业建设一个企业网节约不少的开支，那这样且不是不能够访问INTERNET。为了让这些私有IP地址能够在公共INTERNET使用，让使用这样IP地址的工作站能够访问INTERNET上的资源，我们必须对这样私有IP地址作NAT（network address translation）即网络地址转换。NAT的配置我将后面的论述中进行配置。而对于经理办公室，由于我们有特定的要求，我将为其分配static IP地址。

表3.1 Ip编址方案

12

部门 IP网段 默认网关 Ip容量 Vlan1 192．168．1．0/24 192．168．1．254 254 254 财务192．168．2．0/24 192．168．2．254 部 人力192．168．3．0/24 192．168．3．254 资源部 售后192．168．4．0/24 192．168．4．254 服务部 客服192．168．5．0/24 192．168．5．254 部 技术192．168．6．0/24 192．168．6．254 支持部 产品192．168．7．0/24 192．168．7．254 部 设备192．168．8．0/24 192．168．8．254 部 市场192．168．9．0/24 192．168．9．254 部 13

254 254 254 254 254 254 254

服务192．168．10．0/24 192．168．10．254 254 器群VLAN 3.2划分vlan

划分VLAN的方法 什么是VLAN？

VLAN（Virtual Local Area Network）又称虚拟局域网，是指在交换局域网的基础上，采用网络管理软件构建的可跨越不同网段、不同网络的端到端的逻辑网络。一个VLAN组成一个逻辑子网，即一个逻辑广播域，它可以覆盖多个网络设备，允许处于不同地理位置的网络用户加入到一个逻辑子网中。

VLAN的组建需要一定的条件做基础，VLAN是建立在物理网络基础上的一种逻辑子网，因此建立VLAN需要相应的支持VLAN技术的网络设备。当网络中的不同VLAN间进行相互通信时，需要路由的支持，这时就需要增加路由设备——要实现路由功能，既可采用路由器，也可采用三层交换机来完成。 从技术及成本两个层面考虑，选用支持VLAN的三层交换机比较适宜。VLAN在逻辑上等价于广播域。更具体的说，将VLAN类比成一组最终用户的集合。这些用户可以处在不同的物理LAN上，但他们之间可以象在同一个LAN上那样自收通信而不受物理位置的限制。网络的定义和划分与物理位置和物理连接是没有任何必然联系的。

VLAN划分的几点好处

a、有效的带宽利用—通过将网络分成小的广播域或子网，VLAN解决了在大型“平”网络中发现的扩展性问题，将所有的数据流，包括广播或多点广播，都别限制在子网中。

b、安全性—通过在VLAN间强迫进行第三层路由选择，VLAN提供了安全性。如果配置了VLAN间通讯，可以使用路由器传统的安全和 功能。

c、负载均衡多条通信—VLAN允许第三层路由选择协议智能决定到达目的地的最佳路径，当有多条到达目的地的路径时，还能够进行负载均衡。

d、对故障组建的隔离—减少网络故障的影响。 设置VLAN的常用方法

VLAN的划分可依据不同原则，一般有以下三种划分方法：

14

1、基于端口的VLAN划分

这种划分是把一个或多个交换机上的几个端口划分一个逻辑组，这是最简单、最有效的划分方法。该方法只需网络管理员对网络设备的交换端口进行重新分配即可，不用考虑该端口所连接的设备。

2、基于MAC地址的VLAN划分

MAC地址其实就是指网卡的标识符，每一块网卡的MAC地址都是惟一且

固化在网卡上的。MAC地址由12位16进制数表示，前8位为厂商标识，后4位为网卡标识。网络管理员可按MAC地址把一些站点划分为一个逻辑子网。

3、基于路由的VLAN划分

路由协议工作在网络层，相应的工作设备有路由器和路由交换机（即三层交换机）。该方式允许一个VLAN跨越多个交换机，或一个端口位于多个VLAN中。

本设计方案主要采用1、3种方式进行划分，将每个部门划分为一个VLAN，总经理室和行政部划分到一个VLAN，生产车间和生产部划分到一个VLAN，在汇聚层交换机CISCO3560上进行端口配置，进行VLAN划分。

本设计采用的是基于端口的VLAN划分，如下表：

表3.2 Vlan划分表

VLAN号 VLAN1 VLAN2 VLAN3 VLAN4 VLAN5 VLAN6 VLAN7 VLAN8 VLAN名称 —— finance 说明 管理VLAN 财务部 Human_resource 人力资源部 After_sale_server 售后服务部 Customer service 客服部 Technique_support 技术支持部 produce equipment 15

产品部 设备部

VLAN9 VLAN10

3.3接入层交换机配置

Marketing Department Server_group 市场部 服务器群VLAN 接入层交换机是为所有的终端用户提供一个接入点。我们采用的是CISCO WS-ACCESS LAYER2950-24。该交换机拥有24个10/100M的自适应快速以太网交端口，这里我们有两个接入层交换机。分别命名为C1和ACCESS LAYER2，接下来我们将对接入层交换机进行配置。

进入交换机的配置界面（CLI）我们一般常用的有两种方法： 利用反转线直接和交换机的控制端口相连 远程登陆

我们主要进行如下一些配置：

1．

设置交换机名称

Switch(config)#hostname ACCESS LAYER ACCESS LAYER(config)# 2．

设置交换机密码：

ACCESS LAYER(config)#enable secret cisco 3．

设置登陆虚拟终端

ACCESS LAYER(config)#line vty 0 15 ACCESS LAYER(config-line)#login

ACCESS LAYER(config-line)#password cisco 4．

设置虚拟终端超时时间

ACCESS LAYER(config)#line vty 0 15

ACCESS LAYER(config-line)#exec-timeout 5 30 5．

设置控制台终端超时时间

ACCESS LAYER(config)#line con 0

16

ACCESS LAYER(config-line)#exec-timeout 5 30 6．

禁用IP地址解析特性

当我们向交换机输入一条错误的命令的时候，交换机就会将该信息广播给网络上的DNS服务器，并试图把它解析成IP地址。 ACCESS LAYER(config)#no ip domain-lookup 7．

启用消息同步特性

为了防止我们向交换机输入的命令被交换机产生的信息打乱。我们启用消息同步特性。

ACCESS LAYER(config)#logging synchronous

为了能够对交换机进行远程管理，必须给交换机设置一个管理用的IP地址。这种情况下，实际上是将交换机看成和PC机一样的主机。而每台交换机都有一个用来进行管理的默认VLAN即VLAN1，VLAN1也称为管理VLAN。在VLAN及IP编址方案表中我们的管理VLAN的IP为192.168.1.0/24，这里为ACCESS LAYER的管理IP设置为192.168.1.1/24，具体配置如下命令：

ACCESS LAYER(config)#interface vlan 1

ACCESS LAYER(config-if)#ip address 192.168.1.1 255.255.255.0 ACCESS LAYER(config-if)#no shutdown

为了能让管理人员在不同的子网中管理此交换机，还应该设置默认网关，在这里为其设置成为192.168.1.254，命令如下：

ACCESS LAYER(config)#ip default-gateway 192.168.1.254

将ACCESS LAYER设置成为VTP（vlan trunking protocol）的客户机，(VTP即vlan中断协议，使得vlan客户机可以从vlan服务机上获得vlan信息，这样就不必为每台交换机配置vlan，大大减轻了网络管理人员的工作负担，同时也减少了在不同交换机上输入命令时出错的机率，保证了网络的正常运行)命令如下：

ACCESS LAYER(config)#vtp mode client 接入层交换机端口分配 1．端口双工配置：

ACCESS LAYER(config)#interface range fastethernet 0/1-24 ACCESS LAYER(config-if-range)#duplex full 2．端口速度配置：

17

ACCESS LAYER(config)#interface range fastethernet 0/1-24 ACCESS LAYER(config-if-range)#speed 100 3．端口模式和端口所属VLAN的配置

在上面的拓扑结构图中我们很容易得出2~6端口属于VLAN2，7~12端口属于VLAN3，13~18端口属于VLAN4，19~22端口属于VLAN5，具体配置命令如下：

ACCESS LAYER(config)#vlan 2 name finance/设置vlan名称 ACCESS LAYER(config)#vlan 3 name Human_resource

ACCESS LAYER(config)#vlan 4 name After_Marketing Department_server ACCESS LAYER(config)#vlan 5 name Customer service ACCESS LAYER(config)#interface vlan 2

ACCESS LAYER(config-if))#ip address 192.168.2.254 255.255.255.0/设置vlan ip地址

ACCESS LAYER(config-if)#no shutdown ACCESS LAYER(config-if)#exit

ACCESS LAYER(config)#interface vlan 3

ACCESS LAYER(config-if))#ip address 192.168.3.254 255.255.255.0 ACCESS LAYER(config-if)#no shutdown ACCESS LAYER(config-if)#exit

ACCESS LAYER(config)#interface vlan 4

ACCESS LAYER(config-if))#ip address 192.168.4.254 255.255.255.0 ACCESS LAYER(config-if)#no shutdown ACCESS LAYER(config-if)#exit

ACCESS LAYER(config)#interface vlan 5

ACCESS LAYER(config-if))#ip address 192.168.5.254 255.255.255.0 ACCESS LAYER(config-if)#no shutdown 端口分配

ACCESS LAYER(config)#interface range fastethernet 0/1-22

ACCESS LAYER(config-if-range)#switchport mode access/设置端口模式为access

ACCESS LAYER(config-if-range)#exit

18

ACCESS LAYER(config)#interface range fastethernet 0/2-6

ACCESS LAYER(config-if-range)#switchport access vlan 2/设置2-6端口属于vlan2

ACCESS LAYER(config)#interface range fastethernet 0/7-12 ACCESS LAYER(config-if-range)#switchport access vlan 3

ACCESS LAYER(config)#interface range fastethernet 0/13-18 ACCESS LAYER(config-if-range)#switchport access vlan 4

ACCESS LAYER(config)#interface range fastethernet 0/19-22 ACCESS LAYER(config-if-range)#switchport access vlan 5 4．快速端口和主干端口进行配置

ACCESS LAYER(config)interface range fastethernet 0/1-22 ACCESS LAYER(config-if-range)#spanning-tree portfast

由于ACCESS LAYER是通过23和24号端口分别与汇聚层的交换机1和交换机2相连，所以把ACCESS LAYER的23和24号端口设置成为主干端口。命令如下：

ACCESS LAYER(config)#interface range fastethernet 0/23-24 ACCESS LAYER(config-if-range)#switchport mode trunk

到此，对ACCESS LAYER的配置已基本上完成，接下来我们将对接入层的第二个交换机ACCESS LAYER2进行配置，其配置和ACCESS LAYER的配置大体上是一样的。ACCESS LAYER2通过23和24号端口分别与汇聚层的Convergence layer1和Convergence layer2连接。

ACCESS LAYER2的VLAN的划分如下：

2~6端口属于VLAN6，7~12端口属于VLAN7，13~18端口属于VLAN8，19~22端口属于VLAN9。ACCESS LAYER2的整体配置如下：

1.设置交换机名称

Switch(config)#hostname ACCESS LAYER2 2.设置交换机密码

ACCESS LAYER2(config)#enable secretcisco 3.禁用IP地址解析特性:

19

当我们向交换机输入一条错误的命令的时候，交换机就会将该信息广播给网络上的DNS服务器，并试图把它解析成IP地址。

ACCESS LAYER2(config)#no ip domain-lookup 4.启用消息同步特性

为了防止我们向交换机输入的命令被交换机产生的信息打乱。我们启用消息同步特性。

ACCESS LAYER2(config)#logging synchronous 5.设置登陆虚拟终端

ACCESS LAYER2(config)#line vty 0 15 ACCESS LAYER2(config-line)#login

ACCESS LAYER2(config-line)#password cisco 6.设置虚拟终端超时时间

ACCESS LAYER2(config-line)#exec-timeout 5 30 7.设置控制台终端超时时间

ACCESS LAYER2(config)#line con 0

ACCESS LAYER2(config-line)#exec-timeout 5 30

为了能够对交换机进行远程管理，必须给交换机设置一个管理用的IP地址。这种情况下，实际上是将交换机看成和PC机一样的主机。而每台交换机都有一个用来进行管理的默认VLAN即VLAN1，VLAN1也称为管理VLAN。在VLAN及IP编址方案表中我们的管理VLAN的IP为192.168.1.0/24，这里为ACCESS LAYER的管理IP设置为192.168.1.1/24，具体配置如下命令：

ACCESS LAYER2(config)#interface vlan 1

ACCESS LAYER2(config-if)#ip address 192.168.1.2 255.255.255.0 ACCESS LAYER2(config-if)#no shutdown

为了能让管理人员在不同的子网中管理此交换机，还应该设置默认网关，在这里为其设置成为192.168.1.254，命令如下：

ACCESS LAYER2(config)#ip default-gateway 192.168.1.254

将ACCESS LAYER设置成为VTP（vlan trunking protocol）的客户机，(VTP即vlan中断协议，使得vlan客户机可以从vlan服务机上获得vlan信息，这样就不必为每台交换机配置vlan，大大减轻了网络管理人员的工作负担，同时也减少了在不同交换机

20

上输入命令时出错的机率，保证了网络的正常运行)命令如下：

ACCESS LAYER2(config)#vtp mode client 1端口双工和速度配置

ACCESS LAYER2(config)#interface range fastethernet 0/1-24 ACCESS LAYER2(config-if-range)#speed 100 ACCESS LAYER2(config-if-range)#duplex full 2.端口模式和端口所属VLAN的配置

在上面的拓扑结构图中我们很容易得出2~6端口属于VLAN2，7~12端口属于VLAN3，13~18端口属于VLAN4，19~22端口属于VLAN5，具体配置命令如下：

Vlan名称配置

ACCESS LAYER2(config)#vlan 6 name Technique_support ACCESS LAYER2(config)#vlan 7 name produce ACCESS LAYER2(config)#vlan 8 name equipment

ACCESS LAYER2(config)#vlan 9 name Marketing Department Vlan Ip地址配置

ACCESS LAYER2(config)#interface vlan 6

ACCESS LAYER2(config-if))#ip address 192.168.6.254 255.255.255.0 ACCESS LAYER2(config-if)#no shutdown

ACCESS LAYER2(config)#interface vlan 7

ACCESS LAYER2(config-if))#ip address 192.168.7.254 255.255.255.0 ACCESS LAYER2(config-if)#no shutdown

ACCESS LAYER2(config)#interface vlan 8

ACCESS LAYER2(config-if))#ip address 192.168.8.254 255.255.255.0 ACCESS LAYER2(config-if)#no shutdown

ACCESS LAYER2(config)#interface vlan 9

ACCESS LAYER2(config-if))#ip address 192.168.9.254 255.255.255.0 ACCESS LAYER2(config-if)#no shutdown

21

交换机端口分配

ACCESS LAYER2(config)#interface range fastethernet 0/1-22

ACCESS LAYER2(config-if-range)#switchport mode access/设置端口模式 ACCESS LAYER2(config-if-range)#exit

ACCESS LAYER2(config)#interface range fastethernet 0/2-6

ACCESS LAYER2(config-if-range)#switchport access vlan 6/分配端口2-6为vlan6

ACCESS LAYER2(config)#interface range fastethernet 0/7-12 ACCESS LAYER2(config-if-range)#switchport access vlan 7

ACCESS LAYER2(config)#interface range fastethernet 0/13-18 ACCESS LAYER2(config-if-range)#switchport access vlan 8

ACCESS LAYER2(config)#interface range fastethernet 0/19-22 ACCESS LAYER2(config-if-range)#switchport access vlan 9 3.快速端口和主干端口进行配置

ACCESS LAYER2(config)#interface range fastethernet 0/1-22 ACCESS LAYER2(config-if-range)#spanning-tree portfast

由于ACCESS LAYER2是通过23和24号端口分别与汇聚层的交换机1和交换机2相连，所以把ACCESS LAYER2的23和24号端口设置成为主干端口。命令如下：

ACCESS LAYER2(config)#interface range fastethernet 0/23-24 ACCESS LAYER2(config-if-range)#switchport mode trunk

到此为止，对接入层的配置已基本上完成了。接下来对汇聚层的交换机进行配置。

3.4汇聚层交换机配置

汇聚层除了负责将接入层交换机进行汇集外,还为整个交换网络提供VALN间的路由选择功能。在这里我们采用的是CISCO WS-C3750V2-24PS-S型的交换机，这种交换机拥有24个10/100M的自适应快速以太网端口和2个10/100/1000M的自适应用于光纤接入的端口即上连端口。

对汇聚层交换机Convergence layer1的基本参数的配置与对接入层交换机ACCESS

22

LAYER的基本参数配置类似。具体的配置命令如下：

Switch#configure terminal(或者 config t)

Enter configuration commands one per line. End with CNTL/Z 1.设置交换机名称

Switch(config)#hostname Convergence layer1 2.设置交换机密码

Convergence layer1(config)#enable secret cisco 3.禁用IP地址解析特性

当我们向交换机输入一条错误的命令的时候，交换机就会将该信息广播给网络上的DNS服务器，并试图把它解析成IP地址。

Convergence layer1(config)#no ip domain-lookup 4.启用消息同步特性

为了防止我们向交换机输入的命令被交换机产生的信息打乱。我们启用消息同步特性。

Convergence layer1(config)#logging synchronous 5.设置控制台终端超时时间

Convergence layer1(config)#line con 0

Convergence layer1(config-line)#exec-timeout 5 30 6.设置登陆虚拟终端和虚拟终端超时时间 Convergence layer1(config)#line vty 0 15 Convergence layer1(config-line)#password cisco Convergence layer1(config-line)#login

Convergence layer1(config-line)#exec-timeout 5 30

配置汇聚层交换机的管理IP，默认网关

每一台交换机都有一个默认的管理vlan即vlan1，用来管理该交换机，所以我们只需要为vlan1设置IP地址即可。同时为了能让网络管理人员在不同的子网中管理该交换机我们为其配置默认网关。

具体配置命令如下：

Convergence layer1(config)#interface vlan 1

23

Convergence layer1(config-if)#ip address 192.168.1.3 255.255.255.0 Convergence layer1(config-if)#no shutdown

为了能让管理人员在不同的子网中管理此交换机，还应该设置默认网关，在这里为其设置成为192.168.1.254，命令如下：

Convergence layer1(config)#ip default-gateway 192.168.1.254 配置汇聚层交换机Convergence layer1为VTP服务器

当网络中交换机数量很多时，需要分别在每台交换机上创建很多的VLAN，工作量很大，过程很繁琐，并且很容易出错。所以在实际工作中我们都采用VTP来解决这个问题。我们只需要在VTP服务器上配置好LAN信息，VTP客户机就可以通过VTP来从VTP服务器上学习到VLAN信息了。同时，有关VLAN的删除，参数的更改操作都可以传播到其他的交换机上，从面大大减轻了网络管理人员的工作负担。命令如下：

Convergence layer1(config)#vtp domain hnkjzy Convergence layer1(config)#vtp mode server 配置汇聚层交换机Convergence layer1的VTP剪裁功能

一个交换网络中，某台交换机的所有端口都属于同一个VLAN，则它没有必要接收其他VLAN的用户数据，为了防止接收其他VLAN的用户数据我们可以启用VTP剪裁功能。命令如下：

Convergence layer1(config)#vtp pruning 为汇聚层交换机Convergence layer1配置vlan和端口

在上面的拓扑结构图中我们可以看到我们的服务器群直接连接到我们的汇聚层交换机上。所以要在Convergence layer1上定义vlan，命令如下：

Convergence layer1(config)#vlan 10 name Server_group 1设置vlan ip地址

Convergence layer1(config)#interface vlan 10

Convergence layer1(config-if)#ip address 192.168.10.254 255.255.255.0 Convergence layer1(config-if)#no shutdown 2.端口双工和速度分配配置

Convergence layer1(config)#interface range fastethernet 0/1-24 Convergence layer1(config-if-range)#duplex full Convergence layer1(config-if-range)#speed 100

24

3.端口分配

Convergence layer1(config-if-range)#interface range fastethernet 0/1-22 Convergence layer1(config-if-range)#switchport mode access /端口模式设置 Convergence layer1(config-if-range)#spanning-tree portfast /设置快速端口 Convergence layer1(config-if-range)#interface range fastethernet 0/1-15 Convergence layer1(config-if-range)#switchport access vlan 10

由于Convergence layer1是通过23和24号端口分别与接入层的交换机1和接入层交换机2相连，所以把Convergence layer1的23和24号端口设置成为主干端口。命令如下：

Convergence layer1(config-if-range)#interface range fastethernet 0/23-24 Convergence layer1(config-if-range)#switchport mode trunk

由于Convergence layer1是通过1和2号端口与核心层的交换机和汇聚层交换机2相连，所以把Convergence layer1的1和2号端口设置成为主干端口。命令如下：

Convergence layer1(config-if-range)#interface range gigabitethernet 0/1-2 Convergence layer1(config-if-range)#switchport mode trunk 为汇聚层交换机Convergence layer1启用路由功能 Convergence layer1 (config) #ip routing 设置静态路由

Convergence layer1(config)#ip route 0.0.0.0 0.0.0.0 192.168.1.254 为了实现对无类别网络（Classless Network）以及全零子网（Subnet-zero）的支持，还需要进行相应的配置，如下所示：

Convergence layer1(config)#ip classless Convergence layer1(config)#ip subnet-zero

3.5汇聚层交换机Convergence layer2配置

汇聚层交换机Convergence layer2的配置和Convergence layer1的配置基本上相同，只是不需要为其配置VLAN。具体配置命令如下：

Switch#configure terminal(或者 config t)

Enter configuration commands one per line. End with CNTL/Z

25

1.设置交换机名称

Switch(config)#hostname Convergence layer2 2. 设置交换机密码

Convergence layer2(config)#enable secret cisco 3. 禁用IP地址解析特性

当我们向交换机输入一条错误的命令的时候，交换机就会将该信息广播给网络上的DNS服务器，并试图把它解析成IP地址。

Convergence layer2(config)#no ip domain-lookup 4. 启用消息同步特性

为了防止我们向交换机输入的命令被交换机产生的信息打乱。我们启用消息同步特性。

Convergence layer2(config)#logging synchronous 5. 设置控制台终端超时时间

Convergence layer2(config)#line con 0

Convergence layer2(config-line)# exec-timeout 5 30 6. 设置登陆虚拟终端和虚拟终端超时时间 Convergence layer2(config)#line vty 0 15 Convergence layer2(config-line)#password cisco Convergence layer2(config-line)#login

Convergence layer2(config-line)#exec-timeout 5 30 配置汇聚层交换机的管理IP，默认网关

每一台交换机都有一个默认的管理vlan即vlan1，用来管理该交换机，所以我们只需要为vlan1设置IP地址即可。同时为了能让网络管理人员在不同的子网中管理该交换机我们为其配置默认网关。

具体配置命令如下：Convergence layer2(config)#interface vlan 1 1.配置交换机管理IP

Convergence layer2(config-if)#ip address 192.168.1.4 255.255.255.0 Convergence layer2(config-if)#no shutdown

为了能让管理人员在不同的子网中管理此交换机，还应该设置默认网关，在这里为其设置成为192.168.1.254，命令如下：

26

Convergence layer2(config)#ip default-gateway 192.168.1.254 配置汇聚层交换机Convergence layer1为VTP服务器

当网络中交换机数量很多时，需要分别在每台交换机上创建很多的VLAN，工作量很大，过程很繁琐，并且很容易出错。所以在实际工作中我们都采用VTP来解决这个问题。我们只需要在VTP服务器上配置好LAN信息，VTP客户机就可以通过VTP来从VTP服务器上学习到VLAN信息了。同时，有关VLAN的删除，参数的更改操作都可以传播到其他的交换机上，从面大大减轻了网络管理人员的工作负担。命令如下：

Convergence layer2(config)#vtp domain hnkjzy1 Convergence layer2(config)#vtp mode server Convergence layer2(config)#vtp pruning 1.端口双工和速度分配配置

Convergence layer2(config)#interface range fastethernet 0/1-24 Convergence layer2(config-if-range)#duplex full Convergence layer2(config-if-range)#speed 100 2.端口分配

Convergence layer2(config-if-range)#interface range fastethernet 0/1-22 Convergence layer2(config-if-range)#switchport mode access /端口模式设置 Convergence layer2(config-if-range)#spanning-tree portfast /设置快速端口 由于Convergence layer2是通过23和24号端口分别与接入层的交换机1和接入层交换机2相连，所以把Convergence layer2的23和24号端口设置成为主干端口。命令如下：

Convergence layer2(config-if-range)#interface range fastethernet 0/23-24 Convergence layer2(config-if-range)#switchport mode trunk

由于Convergence layer2是通过1和2号端口与核心层的交换机和汇聚层交换机1相连，所以把Convergence layer2的1和2号端口设置成为主干端口。命令如下：

Convergence layer2(config-if-range)#interface range gigabitethernet 0/1-2 Convergence layer2(config-if-range)#switchport mode trunk 为汇聚层交换机Convergence layer1启用路由功能 Convergence layer2(config)#ip routing 设置静态路由

27

Convergence layer2(config)#ip route 0.0.0.0 0.0.0.0 192.168.1.254 为了实现对无类别网络（Classless Network）以及全零子网（Subnet-zero）的支持，还需要进行相应的配置，如下所示：

Convergence layer2(config)#ip classless Convergence layer2(config)#ip subnet-zero

到此我们对汇聚层交换机的配置已基本上完成了。接下来我们将对核心层交换机进行配置。

3.6核心层交换机连接配置说明

核心层交换机将各汇聚层交换机互连起来进行穿越园区网骨干的高速数据交换，在本企业网的设计中我们核心层交换机所采用的是CISCO WS-C3750G-24TS-S交换机。对核心层交换机Core layer的配置与对接入层交换机的配置类似。具体配置命令如下：

Switch#configure terminal(或者 config t)

Enter configuration commands one per line. End with CNTL/Z 1.设置交换机名称

Switch(config)#hostname Core layer layer 2. 设置交换机密码

Core layer(config)#enable secret cisco 3. 禁用IP地址解析特性

当我们向交换机输入一条错误的命令的时候，交换机就会将该信息广播给网络上的DNS服务器，并试图把它解析成IP地址。

Core layer(config)#no ip domain-lookup 4. 启用消息同步特性

为了防止我们向交换机输入的命令被交换机产生的信息打乱。我们启用消息同步特性。

Core layer(config)#logging synchronous 5. 设置控制台终端超时时间 Core layer(config)#line con 0

Core layer(config-line)# exec-timeout 5 30

6. 设置登陆虚拟终端和虚拟终端超时时间Core layer(config)#line vty 0 15

28

Core layer(config-line)#password cisco Core layer(config-line)#login

Core layer(config-line)#exec-timeout 5 30 配置核心层交换的管理VLAN和默认网关

Core layer(config)#interface vlan 1

Core layer(config-if)#ip address 192.168.1.5 255.255.255.0 Core layer(config-if)#no shutdown Core layer(config-if)#exit

Core layer(config)#ip default-gateway 192.168.1.254 设置核心层交换机为VTP客户机

Core layer (config)#vtp mode client 核心层交换机端口配置

Core layer (config)#interface range fastethernet 0/1-24 Core layer(config-if-range)#duplex full /设置端口为全双工模式 Core layer(config-if-range)#speed 100 /设置端口速度

Core layer(config-if-range)#switchport mode access /设置端口模式 Core layer(config-if-range)#spanning-tree portfast /设置快速端口 由于Core layer是通过1和2号端口分别与汇聚层的交换机1和汇聚层交换机2相连，所以把Core layer的1和24号端口设置成为主干端口。命令如下：

Core layer(config)#interface range gigabitethernet 0/1-2 Core layer(config-if-range)#switchport mode trunk Core layer(config-if-range)#exit 为核心层Core layer交换机启用路由功能

Core layer (config) #ip routing

Core layer(config)#ip route 0.0.0.0 0.0.0.0 192.168.1.254

为了实现对无类网络（Classless）和全零子网（Subnet-zero）的支持，进行如下的配置：

Core layer(config)#ip classless Core layer(config)#ip subnet-zero

到此对于核心层的配置已基本完成，接下来我们对路由器进行配置。

29

第4章 连接广域网

4.1路由器基本配置

在本企业网中采用的是CISCO3825的路由器，它通过自己的串行接口serial0/0使用DDN技术接入Internet。其作用主要是在Internet和企业网之间路由数据包。除了完成主要的路由任务外，利用访问控制列表（Access Control List，ACL），路由器ZZrouter还可用来完成以自身为中心的流量控制和过滤功能并实现一定的安全功能。其基本配置与接入层交换机的配置类似，配置命令如下：(需说明的是由普通用户进入特权模式输入命令enable，由特权模式进入全局配置模式输入命令config t(全写为configure terminal))

Router#configure terminal Router(config)#hostname R1-out R1-OUT(config)#enable secret cisco R1-OUT(config)#no ip domain-lookup R1-OUT(config)#logging synchronous R1-OUT(config)#line con 0

R1-OUT(config-line)#exec-timeout 5 30 R1-OUT(config-line)#line vty 0 4 R1-OUT(config-line)#password cisco R1-OUT(config-line)#login

R1-OUT(config-line)#exec-timeout 5 30 R1-OUT(config-line)#exit

主要是对接口FastEthernet0/0以及接口serial0/0的IP地址、子网掩码的配置。配置命令如下：

R1-OUT(config)#interface fastethernet 0/0

R1-OUT(config-if)#ip address 192.168.1.254 255.255.255.0 R1-OUT(config-if)#no shutdown

30

R1-OUT(config-if)#interface serial 0/0 R1-OUT(config-if)#ip address 202.168.1.1 R1-OUT(config-if)#no shutdown

4.2配置静态路由

在R1-OUT路由器上需要定义两个路由：到企业内部的静态路由和到Internet上的缺省路由。

R1-OUT(config)#ip route 0.0.0.0 0.0.0.0 202.168.1.1

到企业网内部的路由经过路由汇总后形成两个路由条目如下所示： R1-OUT(config)#ip route 192.168.0.0 255.255.240.0 192.168.1.3 R1-OUT(config)#ip route 192.168.0.0 255.255.240.0 192.168.1.4

4.3配置NAT

由于目前IP地址资源非常稀缺，不可能给企业网内部的每台工作站都分配一个公有IP地址，为了解决所有工作站访问Internet的需要，必须使用NAT（网络地址转换）技术。

为了接入Internet，本企业网向当地的ISP申请了10个IP地址。202.168.1.1.-202.168.1.10,其中202.168.1.1分配给了serial0/0，202.168.1.2和202.168.1.3分配给两个经理办公室。其它就进行NAT转换。

R1-OUT(config)#interface fastethernet 0/0 R1-OUT(config-if)#ip nat inside R1-OUT(config-if)#interface serial 0/0 R1-OUT(config-if)#ip nat outside

R1-OUT(config)#ip access-list 1 permit 192.168.2.0 0.0.10.255（定义允许进行NAT转换的工作站的IP地址范围）

4.4在路由器上配置访问控制列表（ACL）

路由器是外网进入企业内网的第一道关卡，是网络防御的前沿阵地。路由器上的访问控制列表（ACL）是保护内网安全的有效手段。一个设计良好的访问控制列表（ACL）不仅可以起到控制网络流量、流向的作用，还可以在不增加网络系统软、硬件投资的情况下完成一般软、硬件防火墙产品的功能。由于路由器介于企业内网和外网之间，是外网与内网进行通信时的第一道屏障，所以即使在网络系统安装了防火墙产品后，仍然有

31

必要对路由器的访问控制列表（ACL）进行缜密的设计，来对企业内网包括对防火墙本身实施保护。

屏蔽文件共享协议端口2049，远程执行（rsh）端口512，远程登录（rlogin）端口513，远程命令(rcmd) 端口514，远程过程调用(sunrpc)端口111。命令如下：

R1-OUT(config)#access-list 101 deny udp any any ep snmp R1-OUT(config)#access-list 101 deny udp any any ep snmptrap R1-OUT(config)#access-list 101 deny tcp any any ep telnet

R1-OUT(config)#access-list 101 deny tcp any any range 512 514/屏蔽远程执行（rsh）端口512和远程命令(rcmd) 端口514

R1-OUT(config)#access-list 101 deny tcp any any eq 111/屏蔽远程过程调用(sunrpc)端口111

R1-OUT(config)#access-list 101 deny udp any any eq 111/屏蔽远程过程调用(sunrpc)端口111

R1-OUT(config)#access-list 101 deny tcp any any eq 2049/屏蔽文件共享协议端口2049

R1-OUT(config)#access-list 101 permit ip any any R1-OUT(config)#interface serial 0/0

R1-OUT(config-if)#ip access-group 101 in /acl端口应用 设置只允许来自服务器的IP地址才能访问并配置路由器 命令如下：

R1-OUT(config)#line vty 0 4

R1-OUT(config-line)#access-class 2 in/建立访问控制列表2（ACL2） R1-OUT(config-line)#exit

R1-OUT(config)#access-list 2 permit 192.168.10.0 0.0.0.255 为了支持无类别网络以及全零子网进行如下的配置： R1-OUT(config)#ip classless R1-OUT(config)#ip subnet-zero 配置路由器的封装协议和身份认证 R1-OUT(config)#interface serial 0/0

32

R1-OUT(config-if)#encapsulation ppp

Ppp提供了两种可选的身份验证方法:口令验证协议PAP(Password Authentication protocol, PAP)和质询握手验证协议CHAP(Challenge Handshake Authentication Protocol, CHAP)。CHAP比PAP更安全，因为CHAP不在线路上发送明文密码，而是发送经过摘要算法加工过的随机序列。但CHAP对端系统要求很高，需要耗费较多的CPU资源，一般只用在对安全性要求很高的场合。而PAP虽然用户名和密码是以明文的形式发送的，但它对端系统要求不高，所以我们普遍采用这种身份验证机制。配置命令如下：

首先要建立本地口令数据库

R1-OUT(config)#username remoteuser password zhangguoyou R1-OUT(config)#interface serial 0/0 R1-OUT(config-if)#ppp authentication pap 到此路由器的配置就基本上完成了。

33

第5章 总 结

当今网络无处不在的年代，网络知识越发显的重要，通过一段时间的学习与努力，不能说对网络已经非常熟悉，至少可以独立设计一个可运行的中小型的园区网，通过对网络资源的充分利用和在专业书籍的指导下，让我了解到了的网络组建的原理，并利用现有技术把企业网络建设起来，通过主控中心的核心交换机，利用光纤连接各个楼楼层和厂房，每个办公室放置的计算机，通过双绞线与每个楼层的二层交换机相连，达到主干网络千兆传输，办公室计算机达到百兆传输。在学习过程中，发现网络硬件搭建是比较容易的事情，但是如何让其充分发挥作用却是比较头疼的问题，还有对网络设备进行深入配置，合理利用带宽和网络资源也需要做深入的探讨和研究，专业的中小型园区网络组建能够加快企业信息化建设的步伐，让企业在激烈 的全球化竞争当中，不断发展壮大。

34

主要参考文献资料

1.张立云主编：《计算机网络基础教程》清华大学出版社，2003年4月第一版 2.Cisco System：《思科网络技术学院教程》（第一，二学期）人民邮电出版社，2004年7月第一版 3.Cisco System：《思科网络技术学院教程》（第三，四学期）人民邮电出版社，2004年7月第一版

4.Karen Webb主编：《组建Cisco多层交换网络》人民邮电出版社，2002年9月第五版

5.张公忠主编：《现代网络技术教程》，电子工业出版社，2000年1月戴雄 编著：《计算机网络》，中华人事出版社，2001年1月

6.Andrew S. Tsanenbaum著．熊桂喜、王小虎等译．计算机网络（第三版）．清华大学出版社，1998

35

致 谢

本论文在富众杰老师的悉心指导和严格要求下业已完成，从课题选择到具体构思和内容，无不凝聚着富老师的心血和汗水，这次做论文的经历也会使我终身受益，我感受到做论文是要真真正正用心去做的一件事情，是真正的自己学习的过程和研究的过程，没有学习就不可能有研究的能力，没有自己的研究，就不会有所突破，这次的经历能让我在以后学习和工作中激励我继续进步。不积跬步何以至千里，本设计能够顺利的完成，要归功于富老师多次关注论文的撰写进程，并为我指点迷津，帮助我开拓研究思路，热忱鼓励。富老师一丝不苟的作风，严谨求实的态度，踏踏实实的精神，不仅授我以文，而且教我做人，给以终生受益无穷之道。在三年的专科学习和生活期间，也始终感受着各科老师的精心指导和无私的关怀，正是有了各位任课老师的认真负责，使我能够很好的掌握和运用专业知识，并在设计中得以体现，在此向各位老师表示深深的感谢和崇高的敬意。

36