您的当前位置：首页大型企业网络规划与设计毕业论文

大型企业网络规划与设计毕业论文

来源：九壹网

大型企业网络规划与设计

大型企业网络规划与设计摘要

学士学位论文

论文题目: 大型企业网络规划与设计

院(部)名称: 学生姓名: 专业: 网络工程学号:

2007

指导教师姓名: 论文提交时间: 论文答辩时间: 学位授予时间:

2011-5-20 2011-5-28

教务处制

-1

大型企业网络规划与设计

大型企业网络规划与设计摘要

迅速发展的 Internet 正在对全世界的信息产业带来巨大的变革和深远的影响。市场的全球化竞争已成为趋势。对于大型企业来说，在调整发展战略时，必须考虑到市场的全球竞争战略，而这一切也将以信息化平台为基础，借助计算机网络原理及网络规划技术，以网络通畅为保证。企业内部网（Intranet）是国际互连网（Internet）技术在企业内部或封闭的用户群内的应用。Intranet 是使用 Internet 技术,特别是 TCP/IP 协议而建成的企业内部网络。这种技术允许不同计算机平台进行互通,且不用考虑其位置。也就是所说的用户可以对任何一台进行访问或从任何一台计算机进行访问。本文从企业网络需求开始分析，根据现阶段 cisco 公司主流网络设备进行选材, 规划最适用于目标网络的拓扑结构,建设合理的网络设计方案。本课题实施部分由 GNS3 模拟器来搭建网络拓扑结构，利用 cisco 设备操作系统作为拓扑内所有设备核心 IOS，然后用 SecureCRT 进行路由器交换机的相关配置，并测试其结果最终验证网络的规划与设计符合大型企业的需求。

关键词：企业网络，拓扑结构，冗余，路由，交换

大型企业网络规划与设计

Large Enterprise Network Planning and Design Abstract

The rapid development of the Internet is all over the world information

-2

industry of enormous change and far-reaching consequences. Market competition has become the trend of globalization. For large enterprises, in adjusting the development strategy, must take into account the market's global competitiveness strategy, and all this information platform will also be based on the principle of the use of computer networks and network planning technology to the network in order to ensure patency. Intranet is an international Internet technology in the enterprise or within a closed user group applications. Intranet is the use of Internet technologies, especially TCP / IP protocol and the completion of the enterprise internal network. This technology allows interoperability of different computer platforms, and do not have to consider its position. That is what the user can visit any or from any computer access. From the start the whole enterprise class network needs analysis, based on the mainstream stage cisco network equipment company selection, with the goal to build the most suitable network topology, designed with network technology. As part of this implementation to build the simulator GNS3 network topology, the use of cisco device operating systems for all equipment within the core topology IOS, routers and switches using SecureCRT for the configuration, and view the experimental results to verify that the network meets business needs.

Keywords：Enterprise networks, Topology, Redundancy, Routing, Switching

大型企业网络规划与设计

-3

第 1 章绪论 …… 1 研究背景 …… 1 目的和意义 …… 2 第 2 章关键的网络技术原理 …… 3 大型企业网络的定位 …… 3 关键技术研究 …… 3 路由技术 …… 3 交换技术 …… 4 远程访问技术 …… 4 VLAN …… 4 DHCP …… 5 GRE …… 5 VPN …… 6 PVST …… 6 HSRP …… 7 AAA 认证 …… 7 第 3 章大型企业网络需求分析 …… 9 案例分析 …… 9 大型企业网络分析 …… 11 宽带性能需求 …… 11 稳定可靠需求 …… 11 服务质量需求 …… 12 网络安全需求 …… 12 应用服务需求 …… 12 本课题系统需求分析 …… 13 第 4 章网络系统实现 …… 14 大型企业网络拓扑图 …… 14 VLAN 及 IP 地址的规划 …… 14 关键网络设备及数量 …… 15 关键网络设备介绍 …… 16 网络设备配置 …… 18 基础配置 …… 18

III

大型企业网络规划与设计

使用 VTP …… 19 划分 VLAN …… 21 交换链路封装 …… 22 PVST 技术 …… 23 PVST 的三个 FAST …… 23 DHCP …… 24 HSRP …… 26 根防护 …… 27 路由协议 …… 27 GRE-VPN …… 28 AAA 服务器 …… 31 PBR 20M 专线 …… 31 网管控制 …… 32 其他配置 …… 33 施工管理 …… 34 施工前准备 …… 34 设备及材料 …… 34 施工过程管理 …… 34 施工完成后质量的检查和验收 …… 34 施工步骤 …… 34 第 5 章网络效果验证 …… 36 关键三层设备路由表 …… 36 接入路由器 R1 路由表 …… 36 核心层交换机 HX1 路由表 …… 37 汇聚层交换机 FB1 路由表 …… 38 网络连通性验证 …… 39 本部接入层交换机 SW1 访问服务器 …… 39 外地分公司 R4 访问服务器 …… 39 外地分公司 SW10 访问本

-4

部接入交换机 …… 39 VPN 效果验证 …… 40 第 6 章结束语 …… 41 致谢 …… 42 参考文献 …… 43 附录 …… 44

大型企业网络规划与设计

第 1 章绪论

研究背景

今天，迅速发展的 Internet 正在对全世界的信息产业带来巨大的变革和深远的影响。市场的全球化竞争已成为趋势。21 世纪的中国正在向市场多元化、全球化的方向发展。对于大型企业来说，在调整发展战略时，必须考虑到市场的全球竞争战略，而这一切也将以信息化平台为基础，借助计算机网络原理及网络规划技术，以网络通畅为保证。国内越来越多的企业也已经或正在考虑使用 Internet/Intranet 技术,以建设企业规划化的信息处理系统。因为现代企业的信息大多都来自于互连网，通过网络，企业可以更快速的接收到来自全球的市场信息；通过 Internet 与外部世界交换信息，企业规划者可以更快地对企业作出正确的宏观与决策，以适应市场趋势。企业与全世界联系起来,极大地提高了信息收集的能力和效率。随着 Intranet 技术的不断发展,计算机已经逐渐应用到企业中的各个关键部分, 极大的提高了企业的工作效率。对于规模较大的企业来说，这一点尤为重要。而有些大型企业根据其自身性质等对于网络有着更多的需求。比如中国电信、中国网通、中国银行，它们对网络有一点十分重要的需求，那就是网路通路，流量不可断。因为全中国大部分的金融和通信都经过这些企业，他们的网络的稳定性直接关系到国家的政治经济基础等各个方面。所以对于这些大型企业的网络设计必须考虑到流量等细节问

-5

题。当今中国网络的另一个重大问题就是安全。由于中国的网络发展较晚，网络的安全没有作到非常完善。而且很多早期起用的网络无论从结构还是技术上都有很多设计不合理的问题，这也导致了网络的安全性差。在企业的某些关键部门（如财务科等），如果有不法分子利用网络中的漏洞修改或者窃取商业机密文件，也会对企业自身造成不可挽回的甚至是毁灭性的危害。当然，企业也会对一些细节问题提出要求。比如市场部门可以上网查阅资料而技术部门不可；或者从周一上午九点到周五下午五点可以上网，而其他时间段网络无流量；再或者高层领导组可以监控财务部门的档案文件而其他部门则没有这样的权限。这些都是网络设计者需要考虑的问题。

大型企业网络规划与设计

目的和意义

企业内部网（Intranet）是国际互连网（Internet）技术在企业内部或封闭的用户群内的应用。简单地说,Intranet 是使用 Internet 技术,特别是 TCP/IP 协议而建成的企业内部网络。这种技术允许不同计算机平台进行互通,且不用考虑其位置。也就是所说的用户可以对任何一台进行访问或从任何一台计算机进行访问[1]。基于这种种的现实问题，企业必须从企业局域网的概念及相关计算机网络技术入手，详细地设计企业网建设的实施方案及建设规划,以达到先进、安全、实用、可靠的目标.对该企业的组网需求进行分析，比较各种组网技术，从实用角度论述局域网主干网选择，综合布线，各种设备选择，网络安全，网络管理等方面。我们的网络要具有一定的灵活性。当企业发展到一定规模,企业在外地设有许多分支机构。这时,为加快企业内部的信息流通,企业需要将总部和各分支机构连接起来。远程企业对网络的需求是：通过 internet 接入, 在整个公司实现数据快速

-6

传输、办公自动化,最终实现企业无纸化办公；企业拥有自己的 ip 地址和域名,在公司主机上建立网站,向外界宣传企业形象、公司各项业务、活动及最新成果等；以 ip 电话方式节省企业大部分的长途话费,亦可通过 ip 网络来实现视频会议；整个公司需要一个运行可靠、费用合理的通信系统；实现 telnet 等网络服务；建立一个功能全面、使用方便的管理信息系统,使总公司与各地分支机构之间的业务审批电子化,各项工作能够协同完成。实现结构化布线、网络的设计与规划、资源共享、专线接入 Internet、 WWW 服务器、软硬件配置、划分企业子网等技术实施。

大型企业网络规划与设计

第 2 章关键的网络技术原理

大型企业网络的定位

企业网是指覆盖企业和企业与分公司之间的网络，为企业的多种通信协议提供综合传送平台的网络。企业网应以多业务光传输网络为基础，实现语音、数据、图像、多媒体等的接入。企业网是企业内各部门的桥接区，主要完成接入网中的子公司和工作人员与企业骨干业务网络之间全方位的互通。因此电子商务公司企业网的定位应是为企业网应用提供多业务传送的综合解决方案。

关键技术技术研究关键技术研究

本设计方案采用的是全部 Cisco 的网络设备，全网使用统一厂家得设备以实现各种

-7

不同网络设备功能的互相配合和补充。还有就是一些网络协议都是一些厂家私有的，如 EIGRP、HDLC 等。因为每个厂家都有属于自己的 EIGRP、HDLC 所以不同厂家的设备就不能使用这些网络协议。路由技术路由协议工作在 OSI 参考模型的第 3 层，因此它的作用主要是在通信子网间路由数据包。路由器具有在网络中传递数据时选择最佳路径的能力。除了可以完成主要的路由任务，利用访问控制列表，路由器还可以用来完成以路由器为中心的流量控制和过滤功能。在本工程案例设计中，内网用户不仅通过路由器接入因特网、内网用户之间也通过 3 层交换机上的路由功能进行数据包交换。路由器是进入企业网内网的第一道关卡，是网络防御的前沿阵地。路由器上的访问控制列表（Access Control List，ACL）是保护内网安全的有效手段。一个设计良好的访问控制列表不仅可以起到控制网络流量、流向的作用，还可以在不增加网络系统软、硬件投资的情况下完成一般软、硬件防火墙产品的功能。由于路由器介于企业内网和之间，是与内网进行通信时的第一道屏障，所以即使在网络系统安装了防火墙产品后，仍然有必要对路由器的访问控制列表进行缜密的设计，来对企业内网包括防火墙本身实施保护[2]。

大型企业网络规划与设计

交换技术传统意义上的数据交换发生在 OSI 模型的第 2 层。现代交换技术还实现了第 3 层交换和多层交换。高层交换技术的引入不但提高了园区网数据交换的效率，更大大增强了企业网数据交换服务质量，满足了不同类型网络应用程序的需要。现代交换网络还引入了虚拟局域网（Virtual LAN， VLAN）的概念。 VLAN 将广播域在单个 VLAN 内部，减小了各 VLAN 间主机的广播通信对其他 VLAN 的影响。在 VLAN 间需要通信的时候，可以利用 VLAN 间路由技术来实现。当网络管理人员需要管理的交换机数量众多时，可以使用 VLAN 中继协议（Vlan Trunking Protocol，VTP）简化管理，

-8

它只需在单独一台交换机上定义所有 VLAN。然后通过 VTP 协议将 VLAN 定义传播到本管理域中的所有交换机上。这样，大大减轻了网络管理人员的工作负担和工作强度。为了简化交换网络设计、提高交换网络的可扩展性，在企业网内部数据交换的部署是分层进行的。企业网数据交换设备可以划分为三个层次：接入层、分布层、核心层。接入层为所有的终端用户提供一个接入点；分布层除了负责将访问层交换机进行汇集外，还为整个交换网络提供 VLAN 间的路由选择功能；核心层将各分布层交换机互连起来进行穿越企业网骨干的高速数据交换。在本工程案例设计中，也将采用这三层进行分开设计、配置[3]。远程访问技术远程访问也是企业网络必须提供的服务之一。它可以为家庭办公用户和出差在外的员工提供移动接入服务。远程访问有三种可选的服务类型：专线连接、电路交换和包交换。不同的广域网连接类型提供的服务质量不同，花费也不相同。企业用户可以根据所需带宽、本地服务可用性、花费等因素综合考虑，选择一种适合企业自身需要的广域网接入方案。在本工程案例设计中，分别采用专线连接的 VPN 和 PBR 两种方式实现远程访问需求[4]。 VLAN VLAN（Virtual Local Area Network）即虚拟局域网，是一种通过将局域网内的设备逻辑地而不是物理地划分成一个个网段从而实现虚拟工作组的新兴技术。IEEE 于 1999 年颁布了用以标准化 VLAN 实现方案的协议标准草案。 VLAN 技术允许网络管理者将一个物理的 LAN 逻辑地划分成不同的广播域（或称虚拟 LAN，即 VLAN），每一个 VLAN 都包含一组有着相同需求的计算机工作站，与物理上形成的 LAN 有着相同的属性。但由于它是逻辑地而不是物理地划分，所以同一个 VLAN 内的各个工作站无须被放置在同一个物理空间里，即这些工作站不一定属于同

大型企业网络规划与设计

一个物理 LAN 网段。一个 VLAN 内部的广播和单播流量都不会转发到其他 VLAN

-9

中，即使是两台计算机有着同样的网段，但是它们却没有相同的 VLAN 号，它们各自的广播流也不会相互转发,从而有助于控制流量、减少设备投资、简化网络管理、提高网络的安全性。 VLAN 是为解决以太网的广播问题和安全性而提出的，它在以太网帧的基础上增加了 VLAN 头，用 VLAN ID 把用户划分为更小的工作组，不同工作组间的用户二层互访，每个工作组就是一个虚拟局域网。虚拟局域网的好处是可以广播范围，并能够形成虚拟工作组，动态管理网络。既然 VLAN 隔离了广播风暴，同时也隔离了各个不同的 VLAN 之间的通讯，所以不同的 VLAN 之间的通讯是需要有路由来完成的[5]。 DHCP DHCP 是 Dynamic Host Configuration Protocol(动态主机分配协议)缩写。它分为两个部份：一个是服务器端，而另一个是客户端。所有的 IP 网络设定数据都由 DHCP 服务器集中管理，并负责处理客户端的 DHCP 要求；而客户端则会使用从服务器分配下来的 IP 环境数据。比较起 BOOTP ，DHCP 透过 \"租约\" 的概念，有效且动态的分配客户端的 TCP/IP 设定，而且，作为兼容考虑，DHCP 的分配形式首先，必须至少有一台 DHCP 工作在网络上面，它会监听网络的 DHCP 请求，并与客户端磋商 TCP/IP 的设定环境。 DHCP 是 BOOTP 的扩展，是基于 C/S 模式的，它提供了一种动态指定 IP 地址和配置参数的机制。这主要用于大型网络环境和配置比较困难的地方。DHCP 服务器自动为客户机指定 IP 地址，指定的配置参数有些和 IP 协议并不相关，但这必没有关系，它的配置参数使得网络上的计算机通信变得方便而容易实现了。DHCP 使 IP 地址的可以租用，对于许多拥有许多台计算机的大型网络来说，每台计算机拥有一个 IP 地址有时候可能是不必要的。租期从 1 分钟到 100 年不定，当租期到了的时候，服务器可以把这个 IP 地址分配给别的机器使用。客户也可以请求使用自己喜欢的网络地址及相应的配置参数[6]。 GRE 通用路由封装（GRE: Generic Routing Encapsulation）定义了在任意一种网络层协议上封装任意一个其它网络层协议的协议。在大多数常规情况下，系统拥有一个有效载荷（或负载）包，需要将它封装并发送至某个目的地。首先将有效载荷封装在一个 GRE 包中，然后将此 GRE 包封装在其它某协议中并进行转发。此外发协议即为发送协议。当 IPv4 被作为 GRE 有效载荷

-10

大型企业网络规划与设计

传输时，协议类型字段必须被设置为 0x800。当一个隧道终点拆封此含有 IPv4 包作为有效载荷的 GRE 包时，IPv4 包头中的目的地址必须用来转发包，并且需要减少有效载荷包的 TTL。值得注意的是，在转发这样一个包时，如果有效载荷包的目的地址就是包的封装器（也就是隧道另一端），就会出现回路现象。在此情形下，必须丢弃该包。当 GRE 包被封装在 IPv4 中时，需要使用 IPv4 协议 47。 GRE 下的网络安全与常规的 IPv4 网络安全是较为相似的，GRE 下的路由采用 IPv4 原本使用的路由，但路由过滤保持不变。包过滤要求防火墙检查 GRE 包，或者在 GRE 隧道终点完成过滤过程。在那些这被看作是安全问题的环境下，可以在防火墙上终止隧道。 VPN VPN 的英文全称是“Virtual Private Network”，翻译过来就是“虚拟专用网络”。顾名思义，虚拟专用网络我们可以把它理解成是虚拟出来的企业内部专线。它可以通过特殊的加密的通讯协议在连接在 Internet 上的位于不同地方的两个或多个企业内部网之间建立一条专有的通讯线路，就好比是架设了一条专线一样，但是它并不需要真正的去铺设光缆之类的物理线路。这就好比去电信局申请专线，但是不用给铺设线路的费用，也不用购买路由器等硬件设备。VPN 技术原是路由器具有的重要技术之一，目前在交换机，防火墙设备或 WINDOWS2000 等软件里也都支持 VPN 功能，一句话，VPN 的核心就是在利用公共网络建立虚拟私有网。虚拟专用网（VPN）被定义为通过一个公用网络（通常是因特网）建立一个临时的、安全的连接，是一条穿过混乱的公用网络的安全、稳定的隧道。虚拟专用网是对企业内部网的扩展。虚拟专用网可以帮助远程用户、公司分支机构、商业伙伴及供应商同公司的内部网建立可信的安全连接，并保证数据的安全传输。虚拟专用网可用于不断增长的移动用户的全球因特网接入，以实现安全连接；可用于实现企业网站之间安全通信的虚拟专用线路，用于经济有效地连接到商业伙伴和用户的安全外联网虚拟专用网

-11

[4]。 PVST PVST: Per-VLAN Spanning Tree（每 VLAN 生成树） PVST 是解决在虚拟局域网上处理生成树的 CISCO 特有解决方案．PVST 为每个虚拟局域网运行单独的生成树实例．一般情况下 PVST 要求在交换机之间的中继链路上运行 CISCO 的 ISL。每 VLAN 生成树 (PVST)为每个在网络中配置的 VLAN 维护一个生成树实例。它使用 ISL 中继和允许一个 VLAN 中继当被其它 VLANs 的阻塞时将一些 VLANs 转发。尽管

[4]

大型企业网络规划与设计

PVST 对待每个 VLAN 作为一个单独的网络，它有能力(在第 2 层)通过一些在主干和其它在另一个主干中的不引起生成树循环的 Vlans 中的一些 VLANs 来负载平衡通信。 HSRP HSRP：热备份路由器协议（HSRP：Hot Standby Router Protocol）热备份路由器协议（HSRP）的设计目标是支持特定情况下 IP 流量失败转移不会引起混乱、并允许主机使用单路由器，以及即使在实际第一跳路由器使用失败的情形下仍能维护路由器间的连通性。换句话说，当源主机不能动态知道第一跳路由器的 IP 地址时，HSRP 协议能够保护第一跳路由器不出故障。该协议中含有多种路由器，对应一个虚拟路由器。HSRP 协议只支持一个路由器代表虚拟路由器实现数据包转发过程。终端主机将它们各自的数据包转发到该虚拟路由器上。负责转发数据包的路由器称之为主动路由器（Active Router）。一旦主动路由器出现故障，HSRP 将激活备份路由器（Standby Routers）取代主动路由器。HSRP 协议提供了一种决定使用主动路由器还是备份路由器的机制，并指定一个虚拟的 IP 地址作为网络系统的缺省网关地址。如果主动路由器出现故障，备份路由器（Standby Routers）承接主动路由器的所有任务，并且不会导致主机连通中断

-12

现象。 HSRP 运行在 UDP 上，采用端口号 1985。路由器转发协议数据包的源地址使用的是实际 IP 地址，而并非虚拟地址，正是基于这一点，HSRP 路由器间能相互识别

[10] [7]

。 AAA 认证 AAA----- 身份验证 (Authentication) 、授权 (Authorization) 和统计

(Accounting)Cisco 开发的一个提供网络安全的系统。 AAA ，认证(Authentication)：验证用户的身份与可使用的网络服务;授权 (Authorization)：依据认证结果开放网络服务给用户;计帐(Accounting)：记录用户对各种网络服务的用量，并提供给计费系统。整个系统在网络管理与安全问题中十分有效。首先，认证部分提供了对用户的认证。整个认证通常是采用用户输入用户名与密码来进行权限审核。认证的原理是每个用户都有一个唯一的权限获得标准。由 AAA 服务器将用户的标准同数据库中每个用户的标准一一核对。如果符合，那么对用户认证通过。如果不符合，则拒绝提供网络连接。接下来，用户还要通过授权来获得操作相应任务的权限。比如，登陆系统后，用户可能会执行一些命令来进行操作，这时，授权过程会检测用户是否拥有执行这些命令的权限。简单而言，授权过程是一系列强迫策略的组合，包括：确定活动的种类或

大型企业网络规划与设计

质量、资源或者用户被允许的服务有哪些。授权过程发生在认证上下文中。一旦用户通过了认证，他们也就被授予了相应的权限。最后一步是帐户，这一过程将会计算用户在

-13

连接过程中消耗的资源数目。这些资源包括连接时间或者用户在连接过程中的收发流量等等。可以根据连接过程的统计日志以及用户信息，还有授权控制、账单、趋势分析、资源利用以及容量计划活动来执行帐户过程。验证授权和帐户由 AAA 服务器来提供。AAA 服务器是一个能够提供这三项服务的程序。当前同 AAA 服务器协作的网络连接服务器接口是“远程身份验证拨入用户服务 (RADIUS)”[10]。

大型企业网络规划与设计

第 3 章大型企业网络需求分析

案例分析案例分析

Cisco 公司已经成功地在中国实践了前述的教育网络设计思想，特别是河南省教育科研宽带 IP 骨干网络全部采用了先进的高速宽带光传输网络技术，已经成为这类新型教育网络的典范。河南省教育科研宽带 IP 网络全面采用 Cisco 公司的 AVVID 网络体系结构，一期工程总共采用了 10 台 Cisco GSR 12016 和 GSR12012，近 20 台 Cisco OSR 6509，其他各类交换机和路由器数百台。该网络集成了远程教学等多种多媒体应用，特别是采用了 550 部 Cisco 的新型 7940 IP 电话和 4 套 CallManager 组建了我国第一个省级 IP Telephony 网络，并结合 Cisco 视频产品 IPTV 系列建立了许多新的教育模式。这一网络基于分层设计分为三层：骨干传输网、城域网、接入网，采用三级管理模式：省网络中心、地市网络中心、校园网，连接省内各大中专院校、各中小学校、各级教育主管部门和其他教育科研单位，未来更将延伸到每一个需要教育培训的公众面前。骨干网络由分布在 17 个地市的核心节点组成，与河南省广电合作利用其光纤资源，全省

-14

形成环网状冗余拓扑结构。在各个核心节点分别配置 Cisco 公司在国际上多次获奖的千兆位路由交换机 GSR 12000 系列中的 12016 和 12012 作为核心传输设备，节点间使用裸光纤配合 POS 技术实现链路互连并采用 HSRP 技术，以提供物理层、链路层及 IP 层的冗余连接能力。根据各地市的具体情况，可以建设城域教育网络也可以在核心节点配置汇接设备直接解决接入网络的接入问题，汇接设备可选用 Cisco 12012 或 6509，采用 POS、或千兆以太技术， DPT 传输速率可达 1～，具体设计可以非常灵活。基于 Cisco IOS 的多功能网络平台：网络中采用的网络设备均采用 Cisco IOS (Internetworking Operation System 互联网络操作系统)为核心功能软件。 Cisco IOS 集成了路由技术，局域网交换技术，ATM 交换技术，各种移动远程访问接入技术，广域网互连技术等超过 15,000 个网络互连功能，已经成为网络互连的标准。CiscoIOS 系统支持今天的绝大多数网络应用系统，同时 Cisco IOS 系统可提供从数据链路层到应用层的多种网络服务，如：L2/L3VPN(虚拟专网)，VPDN(虚拟拨号专网)，以及对 MPLS 技术的支持允许提供各种网络增值服务。丰富的网络安全机制：网络设计是按照标准 ISP(国际互联网络服务商)方式设计的 IP 交换网络平台。整个网络与国际互联网络平滑连接，因此网络的安全性尤其重要。方案中采用 Cisco IOS 多种安全策略： 1) 网络路由信息交换安全策略：包含路由器的认证，路由信息过滤，多种动态

大型企业网络规划与设计

路由协议信息交换控制等。 2) 网络服务安全控制：包含标准访问控制列表(ACL)，扩展的访问控制列表 (Extend ACL)，动态访问控制列表(Refliex ACL)，按数据流的访问统计和监控 (Netflow)，网络资源访问用户认证/授权和记帐(lock & key)。 3) 基于网络层的加密：网络设备可提供基于标准的网络层加密技术：IPSec ，可以提供高可靠的网络访问

-15

安全机制。 4) 网络攻击防范：Cisco IOS 可通过对网络访问连接的监控和分析，发现可能出现的网络攻击，如 Sync Attack 等，并采取相应的的控制手段保护网络资源。 5) 网络系统告警(Syslog)：网络中采用的设备可对监控到的网络攻击和各种非正常访问发出告警，提醒网络管理人员及时发现问题并采取相应安全策略。设备安全：网络的各种安全策略的实现均基于网络设备的安全设置，这使得网络设备本身的安全控制显得尤其重要。网络设备本身具有多种访问控制安全策略： 1) 多级访问控制密码：网络中各设备访问控制可通过 15 级不同的访问权限，网管人员可设置不同的访问权限。如：普通操作员只能监视设备运行，不可进行其他操作；高级的管理员可做故障诊断，不可修改设备配置文件；系统管理员可具有所有功能权限等。 2) 网络管理系统的安全控制：由于本网络中网络管理系统采用标准的 SNMP 网络管理技术，因此网络设备的网管可能出现漏洞。本网络中的网络设备可提供多种保护手段，如：特别的网管访问密码；由设备指定特别的网络管理工作站系统等。易管理维护的网络：由于采用了 IP 骨干技术、DHCP 技术和 MPLS 技术，使得网络的管理简单化。这可以使网络管理人员大为精简，节约运行开销。网络管理人员只需在规划好的网络结构内提供各个接入网络的接入控制即能实行各种网络服务。网络系统的管理工作重点变为对于骨干网络的运行实施系统监控。由于采用的网络设备自身已具备较为完善的网络管理、监控和维护功能，因此采用建立一个管理工具齐全的集中的网络管理中心即可实现全网络的系统管理和监控

[11]

。

大型企业网络规划与设计

-16

大型企业网络分析大型企业网络分析

为适应企业信息化的发展，满足日益增长的通信需求和网络的稳定运行，今天的企业网络建设比传统企业网络建设有更高的要求，本文将通过对如下几个方面的需求分析来规划出一套最适用于目标网络的拓扑结构。宽带性能需求现代大型企业网络应具有更高的带宽，更强大的性能，以满足用户日益增长的通信需求。随着计算机技术的高速发展，基于网络的各种应用日益增多，今天的企业网络已经发展成为一个多业务承载平台。不仅要继续承载企业的办公自动化，Web 浏览等简单的数据业务，还要承载涉及企业生产运营的各种业务应用系统数据，以及带宽和时延都要求很高的 IP 电话、视频会议等多媒体业务。因此，数据流量将大大增加，尤其是对核心网络的数据交换能力提出了前所未有的要求。另外，随着千兆位端口成本的持续下降，千兆位到桌面的应用会在不久的将来成为企业网的主流。从 2004 年全球交换机市场分析可以看到，增长最迅速的就是 10 Gbps 级别机箱式交换机，可见，万兆位的大规模应用已经真正开始。所以，今天的企业网络已经不能再用百兆位到桌面千兆位骨干来作为建网的标准，核心层及骨干层必须具有万兆位级带宽和处理性能，才能构筑一个畅通无阻的\"高品质\"大型企业网，从而适应网络规模扩大，业务量日益增长的需要。稳定可靠需求现代大型企业的网络应具有更全面的可靠性设计，以实现网络通信的实时畅通，保障企业生产运营的正常进行。随着企业各种业务应用逐渐转移到计算机网络上来，网络通信的无中断运行已经成为保证企业正常生产运营的关键。现代大型企业网络在可靠性设计方面主要应从以下 3 个方面考虑。设备的可靠性设计：不仅要考察网络设备是否实现了关键部件的冗余备份，还要从网络设备整体设计架构、处理引擎种类等多方面去考察。业务的可靠性设计：网络设备在故障倒换过程中，是否对业务的正常运行有影响。链路的可靠性设计：以太网的链路安全来自于多路径选择，所以在企业网络建设时，要考虑网络设备是否能够提供有效的链路自愈手段，以及快速重路由协议的支持

-17

[7] [7]

。

大型企业网络规划与设计

服务质量需求现代大型企业网络需要提供完善的端到端 QoS 保障，以满足企业网多业务承载的需求。大型企业网络承载的业务不断增多，单纯的提高带宽并不能够有效地保障数据交换的畅通无阻，所以今天的大型企业网络建设必须要考虑到网络应能够智能识别应用事件的紧急和重要程度，如视频、音频、数据流（MIS、ERP、OA、备份数据）。同时能够调度网络中的资源，保证重要和紧急业务的带宽、时延、优先级和无阻塞的传送，实现对业务的合理调度才是一个大型企业网络提供\"高品质\"服务的保障[7]。

网络安全需求现代大型企业网络应提供更完善的网络安全解决方案，以阻击病毒和黑客的攻击，减少企业的经济损失。传统企业网络的安全措施主要是通过部署防火墙、IDS、杀毒软件，以及配合交换机或路由器的 ACL 来实现对病毒和黑客攻击的防御，但实践证明这些被动的防御措施并不能有效地解决企业网络的安全问题。在企业网络已经成为公司生产运营的重要组成部分的今天，现代企业网络必须要有一整套从用户接入控制，病毒报文识别到主动抑制的一系列安全控制手段，这样才能有效地保证企业网络的稳定运行[7]。应用服务需求现代大型企业网络应具备更智能的网络管理解决方案，以适应网络规模日益扩大，维护工作更加复杂的需要。当前的网络已经发展成为\"以应用为中心\"的信息基础平台，网络管理能力的要求已经上升到了业务层次，传统的网络设备的智能已经不能有效支持网络管理需求的发展。比如，网络调试期间最消耗人力与物力的线缆

-18

故障定位工作，网络运行期间对不同用户灵活的服务策略部署、访问权限控制、以及网络日志审计和病毒控制能力等方面的管理工作，由于受网络设备功能本身的，都还属于费时、费力的任务。所以现代的大型企业网络迫切需要网络设备具备支撑\"以应用为中心\"的智能网络运营维护的能力，并能够有一套智能化的管理软件，将网络管理人员从繁重的工作中解脱出来[7]。

大型企业网络规划与设计

本课题系统需求分本课题系统需求分析

该企业位于北京市海淀区中关村，网络联接的建筑物有三个：两个办公楼和一个行政楼。管理部、财务部和网络部在行政楼中；市场部在办公楼 A；销售部和人力资源部在办公楼 B。所以我们已建筑物的中心也就是行政楼的三层为网络的中心，用光纤连接办公楼 A、B，构成电子商务公司网络光纤主干。办公楼 2 个，行政楼 1 个 1．划分 VLAN （见表 1） 2．VTP 动态学习 VLAN 3．PVST(选根，二层冗余) 4．SVI（VLAN 间路由） 5．HSRP（三层冗余） 6．DHCP 7．根防护 8．3 个 FAST 9．静态路由 10．SITE-TO-SITE VPN（连接分公司，固定 IP） 11．AAA 12．PBR（20M 专线） 13．网管控制

大型企业网络规划与设计

-19

第 4 章网络系统实现

大型企业网络拓扑图企业网络拓扑大型企业网络拓扑图

图 4-1 网络拓扑图

VLAN 及 IP 地址的规划

表 1 VLAN 划分 VLAN 号 VLAN 1 VLAN 10 VLAN 20 VLAN 30 VLAN 40 VLAN 50 VLAN 60 VLAN 名称 GL VLAN GLB SCB CWB XSB RLZY WLB IP 网段默认网关说明管理 VLAN 管理部 VLAN 市场部 VLAN 财务部 VLAN 销售部 VLAN 人力资源部 VLAN 网络部 VLAN

大型企业网络规划与设计

路由器 R1 与电信连接的接口 F0/0IP 为，与 HX1 连接的接口 F1/1IP 为，与 HX2 连接的接口 F1/2IP 为与 R2 连接的接口 F1/3IP 为。路由器 R2 与网通连接的接口 F0/0IP 为，与 HX1 连接的接口 F1/2IP 为，与 HX2 连接的接口 F1/1IP 为与 R2 连接的接口 F1/3IP 为。路由器 R3 与 HX1 连接的接口 F1/1IP 为，与 HX2 连接的接口 F1/2IP 为，与 server 连接的接口 F1/0IP 为。路由器 R4 上与电信连接的接口 F1/0IP 为，与网通连接的接口 F1/1IP 为，与 SW11 连接的接口 F1/2IP 为。交换机 HX1 与 R1 相连的接口 F1/0IP 为与 R2 相连的接口 F1/1IP 为与 R3 相连的接口 F1/2IP 为。交换机 HX2 与 R1 相连的接口 F1/0IP 为与 R2 相连的接

-20

口 F1/1IP 为与 R3 相连的接口 F1/2IP 为。

关键网络设备及数量

核心层交换机：Cisco Catalyst 6509 交换机汇聚层交换机：Cisco Catalyst 4509 交换机接入层交换机：Cisco Catalyst 2950 24 口交换机接入路由器： Cisco 3500 路由器 2台 4台 100 台 4台

大型企业网络规划与设计

关键网络设备介绍

图 8 Cisco 6509 交换机

Catalyst 6509 是带有 9 个插槽的交换机机箱，它可以加两个电源，可按需求配置不同功能类型的模块（如防火墙模块、入侵检模块、VPN 模块、SSL 加速模块、网络流量分析模块等），更灵活应用在不同需求的网络设计平台上，提高稳定性及安全性。首先，为 Catalyst 6509 核心交换机配备 Cisco Catalyst 6500 Supervisor Engine 720 模块。Supervisor Engine 720 支持 Catalyst 6500 系列的第三代模块，能够为企业和电信运营商网络提供先进的 IP 服务，并提高端口密度，因而非常适合部署在高性能的核心层、数据中心和城域网中。由于使用同一套接口、操作系统和管理工具，Catalyst 6500 系列监控引擎(Supervisor Engines)能提供操作一致性—— 可使用相同的备件，所有模块都具有可以预测的性能和多种功能。增强型 QOS 机制、基于硬件的 GRE 隧道和 NAT，以及由硬件加速的基于 MPLS 的高性能服务；支持基于用户的 Microflow 监管，对每

-21

个用户实施服务等级协议；采用分布式转发模式，提供高达 200Mpps 的硬件 IPv6 能力，可以顺利过渡到 Internet 2 和其他支持 3G 和 PDA 的通信网络；配备光纤通道接口模块满足光纤接入需求。加 6500 系列的防火墙服务模块（FWSM）可以为大型企业和服务供应商提供无以伦比的安全性、可靠性和性能。 Catalyst 6500 系列和为企业网络和服务供应商网络提供了一系列高性能多层交换解决方案。6500 系列提供了广泛的智能交换解决方案，使公司内部网和 Internet 能够支持多媒体、关键任务数据和语音应用。6500 系列交换机为园区网提供了高性

大型企业网络规划与设计

能、多层交换的解决方案，专门为需要千兆扩展、可用性高、多层交换的应用环境设计，主要面向园区骨干连接等场合。

图 9 Cisco Catalyst 4500 系列交换机

Cisco Catalyst 4500 系列能够为无阻碍的第 2/3/4 层交换提供集成式弹性，因而能进一步加强对融合网络的控制（见图 9）。可用性高的融合语音/视频/数据网络能够为正在部署基于互联网企业应用的企业和城域以太网客户提供业务弹性。作为新一代 Cisco Catalyst 4000 系列平台，Cisco Catalyst 4500 系列包括三种新型 Cisco Catalyst 机箱：Cisco Catalyst 4507R（七个插槽）、Cisco Catalyst 4506（六个插槽）和 Cisco Catalyst 4503（三个插槽）。Cisco Catalyst 4500 系列中提供的集成式弹性增强包括 1＋1 超级引擎冗余（只对 Cisco Catalyst 4507R）、集成式 IP 电话电源、基于软件的容错以及 1+1 电源冗余。硬件和软件中的集成式冗余性能够缩短停机时间，

-22

从而提高生产率、利润率和客户成功率。作为 Cisco AVVID（集成语音、视频和融合数据体系结构）的关键组件，Cisco Catalyst 4500 能够通过智能网络服务将控制扩展到网络边缘，包括高级服务质量（QoS）可预测性能、、高级安全性、全面管理和集成式弹性。由于 Cisco Catalyst 4500 系列提供与 Cisco Catalyst 4000 系列线卡和超级引擎的兼容性，因而能够在融合网络中延长 Cisco Catalyst 4000 系列的部署窗口。由于这种方式能减少重复运作开支，降低拥有成本，因而能提高投资回报（ROI）。

图 10 Cisco Catalyst 3550 系列智能以太网交换机

大型企业网络规划与设计

Cisco Catalyst 3550 系列智能以太网交换机是一个可堆叠多层交换机系列，可通过高可用性、服务质量（QoS）和安全性来改进网络运行（见图 10）。凭借一系列快速以太网和千兆位以太网配置，Cisco Catalyst 3550 系列堪称一款适用于企业和城域接入应用的强大选择。

图 11 Cisco Catalyst 2950 系列智能以太网交换机

Cisco Catalyst 2950 系列智能以太网交换机是一个固定配置、可堆叠的设备系列，提供了线速快速以太网和千兆位以太网连接（见图 11）。这是一款最廉价的 Cisco 交换产品系列，为中型网络和城域接入应用提供了智能服务。作为思科最为廉价的交换产品系列，Cisco Catalyst 2950 系列在网络或城域接入边缘实现了智能服务。

网络设备配置

-23

基础配置这里以接入层交换机 SW1 为例（见图 1）

图 1 接入层设备 Switch>en 进入模式

大型企业网络规划与设计

Switch#conf t 进入全局模式 Enter configuration commands, one per line. Switch(config)#hostname SW1 修改路由器或者交换机的名字，方便管理 SW1(config)#no ip domain lookup 关闭域名查询启用与禁止 DNS 服务器，在交换机默认配置的情况下，当我们输入一条错误的交换机命令时，交换机会尝试将其广播给网络上的 DNS 服务器并将其解析成对应的 IP 地址。利用命令 no ip domain lookup，可以禁用 DNS 服务器，可以减少输入错误命令的等待时间 SW1(config)#line console 0 进入 CONCOLE 0 口线程下，通过 CONSOLE 线串口直接控制交换机或路由器接口 SW1(config-line)#no exec-timeout 关闭超时时间（真实工程中不能用此命令） SW1(config-line)#logging synchronous 在线路上同步输出符后复制用户的输入。以上配置为路由器和交换机的基本配置，有方便管理防止出错的作用，所以每台设备上都要配置。使用 VTP 从提高效率的角度出发，在企业网实现实例中使用了 VTP 技术。将分布层 FB1 设置成为 VTP 服务器，其他交换机设置成为 VTP 客户机。这里接入层交换机 SW1 将通过 VTP 获得在分布层交换机 FB1 中定义的所有 VLAN 的信息。（见图 2）用户在为交换机配置命令时，配置命令会被交换机产生的内部信息隔开或打乱以使用命令 logging synchronous 设置交换机在下一行 CLI 提示 End with CNTL/Z. 此注释说明在全局模式下直接按 CNTL+Z 可以进入模式

-24

图 2 分布层设备 FB1

FB1#vlan database 模式下进入 VLAN 设置模式(小凡模拟器特有)

大型企业网络规划与设计

FB1(vlan)#vtp domain cisco 定义 VTP 域名 Changing VTP domain name from NULL to cisco FB1(vlan)#vtp server 将该交换机设置为 VTP 的服务端 Device mode already VTP SERVER. FB1(vlan)#vtp v2-mode 启用的 VTP 版本号为 2 V2 mode enabled. FB1(vlan)#vtp password 123456 设置 VTP 的密码为 123456，交换机的 VTP 必须密码一致才能同步 Setting device VLAN database password to 123456. FB1(vlan)#vtp pruning 启用 VTP 修剪，激活 VTP 剪裁功能，默认情况下主干道传输所有 VLAN 的用户数据。有时，交换网络中某台交换机的所有端口都属于同一 VLAN 的成员，没有必要接收其他 VLAN 的用户数据。这时，可以激活主干道上的 VTP 剪裁功能。当激活了 VTP 剪裁功能以后，交换机将自动剪裁本交换机没有定义的 VLAN 数据。在一个 VTP 域下，只需要在 VTP 服务器上激活 VTP 剪裁功能。同一 VTP 域下的所有其他交换机也将自动激活 VTP 剪裁功能。 Pruning switched ON FB1(vlan)#apply 应用以上配置 APPLY completed. FB1(vlan)#exit 退出 VLAN 配置模式进入模式 APPLY completed. Exiting…… 在其他所有的交换机上都要做 VTP 配置，我们以 FB2 为例（见图 3）

-25

大型企业网络规划与设计

图 3 分布层设备 FB2

FB2#vlan da FB2(vlan)#vtp domain cisco Changing VTP domain name from NULL to cisco FB2(vlan)#vtp client 将 FB2 设置为客户端，客户端可以学习到服务端的所有 VLAN 信息。客户模式是没有创建、修改、删除 VLAN 得权利的，它只能接收和转发信息。而服务器模式拥有以上的所用功能。 Setting device to VTP CLIENT mode. FB2(vlan)#vtp v2 V2 mode enabled. FB2(vlan)#vtp password FB2(vlan)#exit In CLIENT state, no apply attempted. Exiting…… 划分 VLAN 现在我们根据需求在服务端 FB1 上配置 VLAN 信息，创建并命名（见表 1） FB11#vlan da FB1(vlan)#vlan 10 name GLB 创建一个 VLAN 10 命名为 GLB VLAN 10 modified: Name: GLB FB1(vlan)#vlan 20 name SCB VLAN 20 added: Name: SCB FB1(vlan)#vlan 30 name CWB VLAN 30 added: Name: CWB FB1(vlan)#vlan 40 name XSB VLAN 40 added: Name: XSB FB1(vlan)#vlan 50 name RLZY 123456 Setting device VLAN database password to 123456.

大型企业网络规划与设计

VLAN 50 added: Name: RLZY FB1(vlan)#vlan 60 name WLB VLAN 60 added: Name: WLB FB1(vlan)#exit APPLY completed. Exiting…… 交换链路封装所有交换机之间相连的线都要起封装协议，我们以 FB1 和 SW1 之间的线为例（见图 4）

-26

图 4 链路封装

FB1(config)#interface FB1(config-if)#switchport

fastEthernet trunk

0/4 进入要封装的接口

dot1q

进

行

封

装

encapsulation

FB1(config-if)#switchport mode trunk 指定封装模式 FB1(config-if)#no shutdown 开启接口 SW1(config)#interface fastEthernet 0/0 SW1(config-if)#switchport trunk encapsulation dot1q SW1(config-if)#switchport mode trunk SW1(config-if)#no shutdown 封装交换机连接终端的接口，并把该接口划入 VLAN，以 SW1 为例

大型企业网络规划与设计

SW1(config)#int f0/2 SW1(config-if)#switchport mode access 手工指定封装模式为 ACCESS 模式 SW1(config-if)#switchport access vlan 10 将 F0/2 口划入 VLAN 10 中 SW1(config-if)#no shutdown PVST 技术由于网络拓扑比较大，两两相连加冗余会出现环路，所以需要配置二层防环的 PVST 首先要选举根桥，我们这里手工指定 HX1 为 VLAN10 20 30 的主根，VLAN 40 50 60 的备份根；HX2 为 VLAN40 50 60 的主根，VLAN10 20 30 的备份根。 HX1(config)#spanning-tree mode pvst 开启 PVST 生成树模式 HX1(config)#spanning-tree vlan 10，20，30 root primary 将 HX1 设置为 VLAN 10 20 30 的主根 HX1(config)#spanning-tree vlan 40，50，60 root secondary 将 HX1 设置为 VLAN 40 50 60 的备份根 HX2(config)#spanning-tree mode pvst HX2(config)#spanning-tree vlan 40，50，60 root primary HX2(config)#spanning-tree vlan 10，20，30 root secondary PVST 的三个 FAST 由于只启用 PVST 后根切换时生成树接口从阻塞状态到转发状态速度会很慢，采用

-27

PORTFAST,UPLINKFAST,BACKBONEFAST 三个 FAST 会大大缩短状态转换的时间，提高效率。 Portfast 在接入层面向终端的接口上做，可减少 30S 的时间 SW1(config)#int f0/2 SW1(config-if)#spanning-tree portfast bpduguard 启用 portfast Uplinkfast 在接入层交换机上做，可减少 30S 时间 SW1(config)#spanning-tree uplinkfast

大型企业网络规划与设计

启用 uplinkfast Backbonefast 在所有交换机上做，可减少 20S 时间 SW1(config)#spanning-tree backbonefast 启用 backbonefast DHCP 现在需要为路由器接口和所有的 PC 机接口配置 IP 地址。由于 4000 个结点的网络比较大，为每一台 PC 手工配置地址的工作量相当大，所以我们要使用 DHCP 技术。 HX1(config)#ip dhcp excluded-address HX1(config)#ip dhcp excluded-address HX1(config)#ip dhcp excluded-address HX1(config)#ip dhcp excluded-address 先配置除去 PC 机不能使用的 IP 地址 HX1(config)#ip dhcp excluded-address HX1(config)#ip dhcp excluded-address HX1(config)#ip dhcp excluded-address HX1(config)#ip dhcp excluded-address HX1(config)#ip dhcp excluded-address HX1(config)#ip dhcp excluded-address HX1(config)#ip dhcp excluded-address HX1(config)#ip dhcp excluded-address HX1(config)#ip dhcp excluded-address HX1(config)#ip dhcp excluded-address HX1(config)#ip dhcp excluded-address HX1(config)#ip dhcp excluded-address HX1(config)#ip dhcp excluded-address HX1(config)#ip dhcp excluded-address 24

-28

大型企业网络规划与设计

HX1(config)#ip dhcp excluded-address HX1(config)#ip dhcp

excluded-address HX1(config)#ip dhcp excluded-address HX1(config)#ip dhcp excluded-address HX1(config)#ip dhcp excluded-address HX1(config)#ip dhcp excluded-address HX1(config)#ip dhcp pool ccie1 创建地址池 CCIE1，一个 VLAN 一个地址池 network 宣告网段 default-router 默认网关 lease infinite 地址租约时间设置为无限 HX1(config)#ip dhcp pool ccie2 network default-router lease infinite HX1(config)#ip dhcp pool ccie3 network default-router lease infinite HX1(config)#ip dhcp pool ccie4 network default-router lease infinite HX1(config)#ip dhcp pool ccie5network 25

大型企业网络规划与设计

default-router lease infinite HX1(config)#ip dhcp pool ccie6 network default-router lease infinite PC1(config)#ip default-gateway 在 PC 机上指定默认网关，所有的 PC 都要指和自己对应的网关 HSRP 核心层交换机的作用是快速转发，如果它发生故障，则会导致下层所有网络瘫痪。所以要给核心层交换机做备份做冗余。我们一般使用两台核心交换机。这就用到了三层冗余技术：热备份 HSRP。 HX1(config)#interface Vlan 10 进入 VLAN 10 的接口下 HX1(config-if)#ip address 给 VLAN 10 配置虚拟 IP 地址 HX1(config-if)#standby 1 ip 同步网关 HX1(config-if)#standby 1 priority 105 设置优先级，设置为主核心 ACTIVE ROUTER HX1(config-if)#standby 1 preempt 配置抢占 HX1(config-if)#standby 1 track FastEthernet0/0 配置端口跟踪，面向上行链路以上配置 VALN 10 20 30 都要做 HX1(config)#interface

-29

Vlan 40 HX1(config-if)#ip address

HX1(config-if)#standby preempt HX1(config-if)#standby 2 ip 26

大型企业网络规划与设计

不设置优先级，表示为 STANDBY ROUTER 以上配置 VALN 40 50 60 都要做同理在 HX2 上做相应配置，要把 ACTIVE 和 STANDBY 对调。根防护为了防止交换机上有接入一台优先级或 MAC 地址较小的交换机使得根被抢，要配置根防护 SW1(config-if)#spanning-tree portfast bpduguard default 所有接入层交换机面向 PC 的端口和连接设备的端口上都要做路由协议路由器和核心交换机之间工作在三层，所以要起路由协议，这里启用 EIGRP 路由协议，由于与分公司之间设备比较少，我们只需要使用静态路由即可。（见图 5）

图 5 三层设备

HX1(config)#ip routing 启用路由功能，核心层交换机 HX1 和 HX2 需要为网络中的各个 VLAN 提供路由功能。这需要首先启用核心层交换机的路由功能。 R1(config)#router eigrp 100

大型企业网络规划与设计

启用 EIGRP 协议 R1(config-router)#no auto-summary 关闭自动汇总功能 R1(config-router)#network 把网段宣告进协议中 R1(config-router)#network R1(config-router)#network HX1(config-router)#no

-30

HX1(config)#router eigrp 100

auto-summary HX1(config-router)#network

HX1(config-router)#network HX1(config-router)#network HX1(config-router)#network HX1(config-router)#network HX2(config-router)#no HX2(config-router)#network HX2(config-router)#network HX2(config-router)#network

HX1(config-router)#network HX1(config-router)#network HX1(config-router)#network

eigrp

100

HX2(config)#router

auto-summary

HX2(config-router)#network HX2(config-router)#network HX2(config-router)#network HX2(config-router)#network

HX2(config-router)#network GRE-VPN 由于连接分公司的线路需要经过公网，为了保证其流量的安全性，需要打一条虚拟的通道 GRE-VPN（见图 6）

大型企业网络规划与设计

图 6 GRE-VPN

首先要定义加密策略 R1(config)#crypto isakmp policy 1 加密第一阶段 IKE1 R1(config-isakmp)#authentication

pre-share

设

备

认

证

，

域

共

享

R1(config-isakmp)#encryption 3des 数据加密方式 R1(config-isakmp)#group 2 Diffie hellma 分发密钥，产生公钥和私钥 R1(config-isakmp)#hash md5 检验数据包完整性 R1(config-isakmp)#exit R1(config)#crypto isakmp key 0 cisco address 域共享的密钥为 cisco R1(config)#crypto ipsec transform-set cisco esp-3des esp-md5-hmac 加密第二阶段，给数据包加密，指定加密方式 R1(config)#access-list 101 permit ip 定义一个感兴趣流 R1(config)#crypto map cisco 1 ipsec-isakmp

-31

R1(config-crypto-map)#match address 101 R1(config-crypto-map)#set peer 29

大型企业网络规划与设计

R1(config-crypto-map)#set transform-set cisco R1(config-crypto-map)#exit R1(config)#int tunnel 0 进入 TUNNEL 0 口 R1(config-if)#tunnel source 配置通道源地址 R1(config-if)#tunnel destination 配置通道目的地址 R1(config-if)#tunnel mode gre ip 指定通道模式 R1(config-if)#ip address 给通道接口配置虚拟 IP 地址 R1(config-if)# crypto map cisco 将 VPN 挂在通道接口下 R1(config)#ip route 指

一

条

静

态

路

由

R2(config)#crypto

isakmp

policy

R2(config-isakmp)#authentication pre-share R2(config-isakmp)#encryption 3des R2(config-isakmp)#group 2 R2(config-isakmp)#hash md5 R2(config-isakmp)#exit R2(config)#crypto isakmp key 0 cisco address R2(config)#crypto ipsec transform-set cisco esp-3des esp-md5-hmac R2(config)#access-list 101 permit ip R2(config)#crypto map cisco 1 ipsec-isakmp R2(config-crypto-map)#match address 101 R2(config-crypto-map)#set peer R2(config-crypto-map)#set transform-set cisco R2(config-crypto-map)#exit

大型企业网络规划与设计

R2(config)#int tunnel 0 R2(config-if)#tunnel source R2(config-if)#tunnel destination R2(config-if)#tunnel mode gre ip R2(config-if)#ip address

-32

R2(config-if)# crypto map cisco R2(config-if)#exit R2(config)#ip route AAA 服务器 AAA 为了加强企业网的安全性，我们启用 AAA 服务器。该配置在连接 AAA 服务器的 HX2 上做。 HX2(config)#aaa new-mode 1 HX2(config)#aaa authentication

dot1x

default

group

radius

HX2(config)#dot1x

system-auth-control HX2(config)#interface f0/1 HX2(config-if)#swichport mode access HX2(config-if)#dot1x port-control auto HX2(config-if)#dot1x guest-vlan 1 HX2(config-if)#dot1x auth-fail vlan 1 HX2(config)#aaa authentication login telnet group tacacs+ HX2(config)#aaa authorization exec telnet group tacacs+ HX2(config)#aaa

accounting

exec

telnet

start-stop

group

tacacs+

HX2(config)#tacacs-sever host HX2(config)#tacacs-sever key cisco PBR 20M 专线网管和管理部需要有去高速稳定地访问，我们需要在 R1 上配置 20M 专线去达到这一需求。 R1(config)#access-list 112 permit ip any 创建访问控制列表来抓住管理部 VLAN 的流量 R1(config)#access-list 112 permit ip any 31

大型企业网络规划与设计

R1(config)#access-list 112 deny ip any any 其他流量不允许通过 R1(config)#route-map

zhuanxian

permit

创

建

路

由

映

射

表

R1(config-route-map)#match ip address 112 匹配所抓住的流量 R1(config-route-map)#set ip next-hop 指定下一跳地址或端口 R1(config)#interface E0/1 R1(config-if)#ip nat inside 挂 NAT 入方向 R1(config)#interface E0/2 1(config-if)#ip nat inside R1(config)#interface E0/3 R1(config-if)#ip nat outside 挂 NAT 出方向 R1(config)#ip nat pool wangtong netmask 设置对外访问地址,创建地址池 R1(config)#access –list 100 permit ip any 指定 NAT 范围，匹配 IP R1(config)#ip nat inside source list 100 pool

-33

wangtong overload 设置过载，抓流量网管控制为了方便管理员对企业网安全方便的管理控制，我们需要对坐配置使得管理员能都使用 PC 直接连接或远程登陆到到交换机进行控制。 HX2(config)#line vty 0 4 进入 VTY 线程下 HX2(config-line)#password ccna1 配置远程访问交换机的密码 HX2(config-line)#login 登陆验证

大型企业网络规划与设计

HX2(Config-line)#exec-timeout 1 11 配置登录交换机虚拟终端线的超时时间为 1 分 11 秒钟 HX2(config-line)#line con 0 HX2(config-line)#password ccna2 HX2(config-line)#login HX2(config-line)#exec-timeout 1 11 其他配置 R1(config)#interface range E0/0-3 R1(config-if-range)#duplex full 可以设定某端口根据对端设备双工类型自动调整本端口双工模式，也可以强制将端口双工模式设为半双工或全双工模式。在了解对端设备类型的情况下，建议手动设置端口双工模式。因为路由器和交换机接口的双工模式必须匹配才可通信。这里全部工作在全双工模式。 SW1(config)#interface range fastethernet0/1-24 SW1(config-if-range)#speed 100 可以设定某端口根据对端设备速度自动调整本端口速度，也可以强制将端口速度设为 10Mpbs 或 100Mbps。在了解对端设备速度的情况下，建议手动设置端口速度。这里全部工作在 100Mbps.

图 7 分布层交换机

FB1(config)#ip classless FB1(config)#ip subnet-zero 以实现对无类网络和全零子网的支持（见图 7）

-34

大型企业网络规划与设计

施工管理

施工前准备合同签订后，客户和公司双方派出项目负责人，共同协商制订施工要求的原则性文件，通过后，一切照文件实行。施工前我公司将对所有参加本次工程的技术工作人员进行工人员守则、和与施工相关的文件的学习，以提高对工程的认知度和对岗位的责任感。我们将用明文确定贵校工程的项目负责团队，明确权利和责任，在组织上一定保证工程的进度和质量。设备及材料为确保工程的质量，对工程中所用到的所有设备及材料本公司将严格把关。选择质量可靠、性能良好的设备及材料、严格按合同进货、货到后有双方工程负责人一同验收。施工过程管理根据贵校的情况，安排好施工进度，分配施工任务，加强随工检查，在施工过程中采取如下措施： 1 加强对施工人员的管理 2 保证施工现场的卫生 3 保证不影响到企业工作人员的正常工作 4 保证确保工程的质量和进度 5 在施工过程中接受企业相关人员的检查指导，及时征求意见，改进工作，提高工作质量，直到达到优质工程的要求。 6 绝对保证施工的安全施工完成后质量的检查和验收施工完成后，双方派出有关人员进行全面的质量检查，进行系统的总验收。完全达到双方签订的合同要求后，进行工程的总移交。如在合同范围内，不达到要求的地方一定返工，直到达到要求为止。施工步骤系统施工按顺序主要分为以下几个阶段： 1 管道、线槽铺设

大型企业网络规划与设计

-35

2 穿线 3 设备安装检查：安装前，要检查各设备外观及可动部分是否正常。固定：按照说明书中提供的方式、尺寸，正确安装固定和末端装置及设备，安装后，检查是否正确，是否牢固。 4 接线接线前，应对各线路进行校验，做好标记、线号，正确无误后，在按照接线图进行端子接线，接线后，一定要核查、检查，确保正确。 5 系统试运行 6 竣工交验

大型企业网络规划与设计

第 5 章网络效果验证

关键三层设备路由表

接入路由器 R1 路由表

图 5-1 接入路由器 R1 路由表

路由器 R1 及 R2 是本网络接入路由器,图 5-1 中,“O(ospf)”路由条目为电信、网通运营商为本网络提供的路由信息。 “D(eigrp)”路由条目为本网络三层路由设备间的路由信息。此路由表信息显示，在路由器 R1 上，本网络所涉及的所有网段均可达。

大型企业网络规划与设计

-36

核心层交换机 HX1 路由表

图 5-2 核心层交换机 HX1 路由表

核心层交换机 HX1 及 HX2 是本网络核心交换机 , 图 5-2 中 , “ D(eigrp) 为服务器网段信息。其余“D(eigrp)”路由条目为本网络三层路由设备间的路由信息。此路由表信息显示，在交换机 HX1 上，本网络内部的所有网段均可达。

大型企业网络规划与设计

汇聚层交换机 FB1 路由表

图 5-3 汇聚层交换机 FB1 路由表

汇聚层交换机 FB1 及 FB2、 FB3、是本网络汇聚交换机， 5-3 中, C(connected) FB4 图 “ 及“D(eigrp) 间的路由信息。此路由表信息显示，在交换机 FB1 上，本网络内部的所有 VLAN 均可达。、 “D(eigrp) 、 “D(eigrp) 信息路由条目。其余“D(eigrp)”路由条目为本网络三层路由设备

大型企业网络规划与设计

网络连通性验证

-37

本部接入层交换机 SW1 访问服务器

图 5-4 本部接入层交换机向服务器发送数据请求

如图 5-4 所示，本地部门网络用户向服务器发送数据请求，测试结果畅通。外地分公司 R4 访问服务器

图 5-5 外地分公司接入路由器向服务器发送数据请求

如图 5-5 所示，外地分公司网络用户向本地服务器发送数据请求，测试结果畅通。外地分公司 SW10 访问本部接入交换机

图 5-6 外地分公司接入路由器向本部接入交换机发送数据请求

如图 5-6 所示，外地分公司网络用户向本地部门网络用户发送数据请求，测试结果畅通。

大型企业网络规划与设计

VPN 效果验证

图 5-7 VPN 连通性验证如图所示，路由器 R1 以 loopback 0 端口为起点，向目标路由器发送数据请求，测试结果畅通。从图 5-1 可以看出，本次连接路径并非是经过 ospf 路由协议所达成的效果。而在电信、网通所代表的运营商之间并无 VPN 连接的数

-38

据信息。从而达到安全可靠的目标需求。

大型企业网络规划与设计

第 6 章结束语

通过此次毕业设计，我对自己在路由交换网络方面的学习有了更深刻的理解，更系统地分析并掌握了所学的知识，尤其是对各类路由协议的特性与用法和配置有了更深的体会，专业技能有了很大的提高。虽然此次的设计来源于实际工程，类似于实际工程，但是它和真正的项目还是有一些差别的，所以在今后的学习中，我会更加注重理论与实践的结合，在理论学习的过程中，融会更多的真实案例，为将来真正的项目奠基。

大型企业网络规划与设计

致谢

这次的毕业论文设计总结是在我的指导老师李娟老师亲切关怀和悉心指导下完成的。从毕业设计选题到设计完成，李娟老师给予了我耐心指导与细心关怀，有了李娟老师耐心指导与细心关怀我才不会在设计的过程中迷失方向，失去前进动力。李娟老师有严肃的科学态度，严谨的治学精神和精益求精的工作作风，这些都是我所需要学习的，感谢李娟老师给予了我这样一个学习机会，谢谢！感谢与我并肩作战的舍友与同学们，感谢关心我支持我的朋友们，感谢学校领导、老师们，感谢你们给予我的帮助与关怀；感谢北方民族大

-39

学四年来为我提供的良好学习氛围和生活环境，谢谢！

大型企业网络规划与设计

参考文献

[1]吴学毅.计算机网络规划与设计.[M].北京：机械工业出版社，～273. [2] 多伊尔 . TCP/IP 路由技术第一卷 [M]. 葛建立 . 北京 : 人民邮电出版社～441. [3] 多伊尔 . TCP/IP 路由技术第二卷 [M]. 葛建立 . 北京 : 人民邮电出版社～151. [4] 杰克. 思科 CCNP 公版教材 BCMSN [M].魏巍等译.北京：电子工业出版社， ~752. [5] DAVID HUCABY,STEVE MCQUERRY. Cisco 交换现场[M]. 张辉译.北京：人民邮电出版社，~92. [6] Richard froom. 组建 Cisco 多层交换网络 BCMSN [M]. 刘大伟，张芳译. 北京：人民邮电出版社，~433. [7] 梁广民，王隆杰. 思科网络实验室---路由交换实验指南[M].北京：电子工业出版社，~457. [8] Diane Teare， Catherine Paquet. 组建可扩展的 Cisco 互联网络 BSCI [M]. 陈宇，袁国忠译.北京：人民邮电出版社，~742. [9]陈向阳.网络工程规划与设计.[M].北京：清华大学出版社，～124. [10]Diane. 组建可扩展 Cisco 互连网络 [M]. 陈宇 . 北京 : 人民邮电出版社～247. [11]高峡.网络设备互连实验指南.[M].北京：科学出版社，～165. [12]梁广民.网络设备互联技术.[M].北京：清华大学出版社，～283. [13] 百度搜索网 43

大型企业网络规划与设计

附录

-40

核心设备配置命令:

R1# show running-config

Building configuration…… Current configuration : 1932 bytes ! version service timestamps debug datetime msec service timestamps log datetime msec no

service

password-encryption

hostname

boot-start-marker

boot-end-marker ! ! no aaa new-model memory-size iomem 5 ip cef ! no ip domain lookup ! multilink bundle-name authenticated ! crypto isakmp policy 10 authentication pre-share crypto isakmp key cisco address ! ! crypto ipsec transform-set cisco esp-3des esp-sha-hmac

大型企业网络规划与设计

! crypto map cisco 10 ipsec-isakmp set peer set transform-set cisco match address ipsecuse ! interface Loopback0 ip address ! interface FastEthernet0/0 ip address duplex auto speed auto crypto map cisco ! interface FastEthernet0/1 no ip address shutdown duplex auto speed auto ! interface FastEthernet1/0 ! interface FastEthernet1/1 no switchport ip address ! interface FastEthernet1/2 no switchport ip address ! interface FastEthernet1/3 no switchport

大型企业网络规划与设计

-41

ip address ! interface FastEthernet1/4 ! interface FastEthernet1/5 ! interface FastEthernet1/6 ! interface FastEthernet1/7 ! interface FastEthernet1/8 ! interface FastEthernet1/9 ! interface FastEthernet1/10 ! interface FastEthernet1/11 ! interface

FastEthernet1/12

interface

FastEthernet1/13

interface

FastEthernet1/14 ! interface FastEthernet1/15 ! interface Vlan1 no ip address ! router eigrp 90 network network network 46

大型企业网络规划与设计

no auto-summary ! router ospf 100 log-adjacency-changes network area 0 ! ip route ! ! no ip http server no ip http secure-server ! ip access-list extended ipsecuse permit ip host host ! control-plane ! line con 0 exec-timeout 0 0 logging synchronous line aux 0 line vty 0 4 login ! end

R2#show running-config

Building configuration…… Current configuration : 1542 bytes ! version

大型企业网络规划与设计

service timestamps debug datetime msec service timestamps log datetime msec no service password-encryption ! hostname R2 ! boot-start-marker boot-end-marker ! no aaa new-model memory-size iomem 5 ip cef ! no ip domain lookup ! multilink bundle-name authenticated ! interface Loopback0 ip address !

-42

interface FastEthernet0/0 ip address duplex auto speed auto ! interface FastEthernet0/1 no ip address shutdown duplex auto speed auto ! interface FastEthernet1/0 !

大型企业网络规划与设计

interface FastEthernet1/1 no switchport ip address ! interface FastEthernet1/2 no switchport ip address ! interface FastEthernet1/3 no switchport ip address ! interface FastEthernet1/4 ! interface FastEthernet1/5 ! interface FastEthernet1/6 ! interface FastEthernet1/7 ! interface FastEthernet1/8 ! interface FastEthernet1/9 ! interface FastEthernet1/10 ! interface FastEthernet1/11 ! interface

FastEthernet1/12

interface

FastEthernet1/13

interface

FastEthernet1/14

大型企业网络规划与设计

! interface FastEthernet1/15 ! interface Vlan1 no ip address ! router eigrp 90 network network network no auto-summary ! router ospf 100 log-adjacency-changes no auto-cost network area 0 ! no ip http server no ip http secure-server ! control-plane ! line con 0 exec-timeout 0 0 logging synchronous line aux 0 line vty 0 4 login ! end

-43

大型企业网络规划与设计

R3#show running-config

Building configuration…… Current configuration : 1325 bytes ! version service timestamps debug datetime msec service timestamps log datetime msec no

service

password-encryption

hostname

boot-start-marker

boot-end-marker ! no aaa new-model memory-size iomem 5 ip cef ! no ip domain lookup ! multilink bundle-name authenticated ! interface FastEthernet0/0 no ip address shutdown duplex auto speed auto ! interface FastEthernet0/1 no ip address shutdown duplex auto

大型企业网络规划与设计

speed auto ! interface FastEthernet1/0 ! interface FastEthernet1/1 no switchport ip address ! interface FastEthernet1/2 no switchport ip address ! interface FastEthernet1/3 no switchport ip address ! interface FastEthernet1/4 ! interface FastEthernet1/5 ! interface FastEthernet1/6 ! interface FastEthernet1/7 ! interface FastEthernet1/8 ! interface FastEthernet1/9 ! interface FastEthernet1/10 ! interface FastEthernet1/11 ! interface FastEthernet1/12

-44

大型企业网络规划与设计

! interface FastEthernet1/13 ! interface FastEthernet1/14 ! interface FastEthernet1/15 ! interface Vlan1 no ip address ! router eigrp 90 network no auto-summary ! no ip http server no ip http secure-server ! control-plane ! line con 0 exec-timeout 0 0 logging synchronous line aux 0 line vty 0 4 ! end

R4#show running-config

Building configuration…… Current configuration : 1905 bytes ! version

大型企业网络规划与设计

service timestamps debug datetime msec service timestamps log datetime msec no service password-encryption ! hostname R4 ! boot-start-marker boot-end-marker ! ! no aaa new-model memory-size iomem 5 ip cef ! no ip domain lookup ! multilink bundle-name authenticated ! crypto isakmp policy 10 authentication pre-share crypto isakmp key cisco address ! crypto ipsec transform-set cisco esp-3des esp-sha-hmac ! crypto map cisco 10 ipsec-isakmp set peer set transform-set cisco match address ipsecuse ! interface Loopback0 ip address ! interface FastEthernet0/0

-45

大型企业网络规划与设计

no ip address shutdown duplex auto speed auto ! interface FastEthernet0/1 no ip address shutdown duplex auto speed auto ! interface FastEthernet1/0 no switchport ip address crypto map cisco ! interface FastEthernet1/1 no switchport ip address ! interface FastEthernet1/2 no switchport ip address ! interface FastEthernet1/3 ! interface FastEthernet1/4 ! interface FastEthernet1/5 ! interface FastEthernet1/6 ! interface FastEthernet1/7

大型企业网络规划与设计

! interface FastEthernet1/8 ! interface FastEthernet1/9 ! interface FastEthernet1/10 ! interface FastEthernet1/11 ! interface FastEthernet1/12 ! interface

FastEthernet1/13

interface

FastEthernet1/14

interface

FastEthernet1/15 ! interface Vlan1 no ip address ! router ospf 100 log-adjacency-changes no auto-cost network area 0 network area 0 network area 0 ! ip route ! no ip http server no ip http secure-server ! ip access-list extended ipsecuse

大型企业网络规划与设计

permit ip host host ! control-plane ! line con 0 exec-timeout 0 0 logging

-46

synchronous line aux 0 line vty 0 4 login ! end

DX#show running-config

Building configuration…… Current configuration : 787 bytes ! version service timestamps debug datetime msec service timestamps log datetime msec no service

password-encryption

hostname

boot-start-marker

boot-end-marker ! ! no aaa new-model memory-size iomem 5 ip cef

大型企业网络规划与设计

no ip domain lookup ! multilink bundle-name authenticated ! interface FastEthernet0/0 ip address duplex auto speed auto ! interface FastEthernet0/1 ip address duplex auto speed auto ! router ospf 100 log-adjacency-changes no auto-cost network area 0 network area 0 ! no ip http server no ip http secure-server ! control-plane ! line con 0 exec-timeout 0 0 logging synchronous line aux 0 line vty 0 4 login ! end

大型企业网络规划与设计

WT#show running-config

-47

Building configuration…… Current configuration : 980 bytes ! version service timestamps debug datetime msec service timestamps log datetime msec no service

password-encryption

hostname

boot-start-marker

boot-end-marker ! no aaa new-model memory-size iomem 5 ip cef ! no ip domain lookup ! multilink bundle-name authenticated ! interface Loopback0 ip address ! interface FastEthernet0/0 ip address duplex auto speed auto ! interface FastEthernet0/1 ip address 59

大型企业网络规划与设计

duplex auto speed auto ! router eigrp 90 network network network no auto-summary ! router ospf 100 log-adjacency-changes no auto-cost network area 0 network area 0 network area 0 ! no ip http server no ip http secure-server ! control-plane ! line con 0 exec-timeout 0 0 logging synchronous line aux 0 line vty 0 4 login ! end

大型企业网络规划与设计

HX1#show running-config

-48

大型企业网络规划与设计

! interface FastEthernet1/0 no switchport ip address ! interface FastEthernet1/1 no switchport ip address ! interface FastEthernet1/2 no switchport ip address ! interface FastEthernet1/3 ! interface FastEthernet1/4 ! interface FastEthernet1/5 no switchport ip address ! interface FastEthernet1/6 no switchport ip address ! interface FastEthernet1/7 no switchport ip address ! interface FastEthernet1/8 no switchport ip address !

大型企业网络规划与设计

interface FastEthernet1/9 ! interface FastEthernet1/10 ! interface

FastEthernet1/11 ! interface FastEthernet1/12 ! interface FastEthernet1/13 ! interface FastEthernet1/14 ! interface FastEthernet1/15 ! interface Vlan1 no ip address ! router eigrp 90 network no auto-summary ! no ip http server no ip http secure-server ! control-plane ! line con 0 exec-timeout 0 0 logging synchronous

-49

line aux 0 line vty 0 4 ! end

大型企业网络规划与设计

HX2#show running-config

Building configuration…… Current configuration : 1534 bytes ! version service timestamps debug datetime msec service timestamps log datetime msec no service password-encryption ! hostname HX2 ! boot-start-marker boot-end-marker ! no aaa new-model memory-size iomem 5 ip cef ! no ip domain lookup ! multilink bundle-name authenticated ! interface FastEthernet0/0 no ip address shutdown duplex auto speed auto ! interface FastEthernet0/1 no ip address shutdown duplex auto speed auto

大型企业网络规划与设计

-50

大型企业网络规划与设计

interface FastEthernet1/9 ! interface FastEthernet1/10 ! interface

大型企业网络规划与设计

FB1#show running-config

Building configuration…… Current configuration : 1339 bytes ! version service timestamps debug datetime msec service timestamps log datetime msec no service password-encryption ! hostname FB1 ! boot-start-marker boot-end-marker ! no aaa new-model memory-size iomem 5 ip cef ! no ip domain lookup ! multilink bundle-name authenticated ! interface FastEthernet0/0 ip address duplex auto speed auto ! interface FastEthernet0/1 ip address duplex auto speed auto !

-51

大型企业网络规划与设计

interface FastEthernet1/0 switchport mode trunk ! interface FastEthernet1/1 ! interface FastEthernet1/2 ! interface FastEthernet1/3 ! interface FastEthernet1/4 ! interface FastEthernet1/5 ! interface FastEthernet1/6 ! interface FastEthernet1/7 ! interface FastEthernet1/8 ! interface FastEthernet1/9 ! interface FastEthernet1/10 ! interface

FastEthernet1/11

interface

FastEthernet1/12

interface

FastEthernet1/13 ! interface FastEthernet1/14 ! interface FastEthernet1/15 !

大型企业网络规划与设计

interface Vlan1 no ip address ! interface Vlan10 ip address standby 10 ip standby 10 priority 105 standby 10 preempt ! router eigrp 90 network no auto-summary ! ! ! no ip http server no ip http secure-server ! control-plane ! line con 0 exec-timeout 0 0 logging synchronous line aux 0 line vty 0 4 ! end

大型企业网络规划与设计

FB2#show running-config

Building configuration…… Current configuration : 1462 bytes ! version service timestamps debug datetime msec service timestamps log datetime msec

-52

no service password-encryption ! hostname FB2 ! boot-start-marker boot-end-marker ! no aaa new-model memory-size iomem 5 ip cef ! no ip domain lookup ! multilink bundle-name authenticated ! interface FastEthernet0/0 ip address duplex auto speed auto ! interface FastEthernet0/1 ip address duplex auto speed auto !

大型企业网络规划与设计

interface FastEthernet1/0 switchport mode trunk ! interface FastEthernet1/1 switchport mode trunk ! interface FastEthernet1/2 ! interface FastEthernet1/3 ! interface FastEthernet1/4 ! interface FastEthernet1/5 ! interface FastEthernet1/6 ! interface FastEthernet1/7 ! interface FastEthernet1/8 ! interface FastEthernet1/9 ! interface

FastEthernet1/10

interface

FastEthernet1/11

interface

FastEthernet1/12 ! interface FastEthernet1/13 ! interface FastEthernet1/14 ! interface FastEthernet1/15

大型企业网络规划与设计

! interface Vlan1 no ip address ! interface Vlan10 ip address standby 10 ip standby 10 preempt ! interface Vlan20 ip address standby 20 ip standby 20 priority 105 standby 20 preempt ! router eigrp 90 network no auto-summary ! !

-53

no ip http server no ip http secure-server ! control-plane ! line con 0 exec-timeout 0 0 logging synchronous line aux 0 line vty 0 4 ! end

大型企业网络规划与设计

FB3#show running-config

Building configuration…… Current configuration : 1463 bytes ! version service timestamps debug datetime msec service timestamps log datetime msec no service password-encryption ! hostname FB3 ! boot-start-marker boot-end-marker ! no aaa new-model memory-size iomem 5 ip cef ! no ip domain lookup ! multilink bundle-name authenticated ! interface FastEthernet0/0 ip address duplex auto speed auto ! interface FastEthernet0/1 ip address duplex auto speed auto !

大型企业网络规划与设计

-54

FastEthernet1/10 ! interface FastEthernet1/11 ! interface

FastEthernet1/12 ! interface FastEthernet1/13 ! interface FastEthernet1/14 ! interface FastEthernet1/15

大型企业网络规划与设计

! interface Vlan1 no ip address ! interface Vlan20 ip address standby 20 ip standby 20 preempt ! interface Vlan30 ip address standby 30 ip standby 30 priority 105 standby 30 preempt ! router eigrp 90 network no auto-summary ! no ip http server no ip http secure-server ! control-plane ! line con 0 exec-timeout 0 0 logging synchronous line aux 0 line vty 0 4 ! end

大型企业网络规划与设计

FB4#show running-config

Building configuration…… Current configuration : 1465 bytes ! version service timestamps debug datetime msec service timestamps log datetime msec no service password-encryption ! hostname FB4 ! boot-start-marker boot-end-marker ! no aaa new-model memory-size iomem 5 ip cef ! no ip domain lookup ! multilink bundle-name authenticated ! interface FastEthernet0/0 ip address duplex auto speed auto ! interface FastEthernet0/1 ip address duplex auto speed auto !

-55

大型企业网络规划与设计

FastEthernet1/10

interface

FastEthernet1/11

interface

FastEthernet1/12 ! interface FastEthernet1/13 ! interface FastEthernet1/14 ! interface FastEthernet1/15

大型企业网络规划与设计

! interface Vlan1 no ip address ! interface Vlan30 ip address standby 20 ip standby 20 preempt ! interface Vlan40 ip address standby 30 ip standby 30 priority 105 standby 30 preempt ! router eigrp 90 network no auto-summary ! ! ! no ip http server no ip http secure-server ! control-plane ! line con 0 exec-timeout 0 0 logging synchronous line aux 0 line vty 0 4 ! end

北方民族大学毕业设计（论文）北方民族大学毕业设计（论文）诚信承诺书

-56

学生姓名所学专业所在学院鄂付广网络工程年级学号 2007 级网络二班

计算机科学与工程学院学生承诺

本人慎重承诺和声明：本人慎重承诺和声明：我承诺在毕业设计（论文）过程中严格遵守学校有关规定，在指导教师的安排与指导下完成所规定的毕业设计（论文）工作，决不弄虚作假，不请别人代做毕业设计（论文）或抄袭别人的成果。所撰写的毕业论文或毕业设计是在指导老师的指导下自主完成，文中所有引文或引用数据、图表均注解并说明来源，本人愿意为由此引起的后果承担责任。

学生（签名）：年月日

-57

因篇幅问题不能全部显示，请点此查看更多更全内容

查看全文