园区网络设计与实现.doc

《园区网络设计与实现.doc》由会员分享，可在线阅读，更多相关《园区网络设计与实现.doc（30页珍藏版）》请在沃文网上搜索。

1、目 录目 录I摘 要1第一章 绪论21.1 选题来源21.2 主要内容21.3 论文结构2第二章 园区网概述32.1 园区网含义32.2 园区网特点32.3 园区网发展趋势3第三章 园区网设计33.1 需求分析33.2 网络设计原则43.3 网络模型设计53.3.1 核心层（Core Layer）53.3.2 汇聚层（Distribution Layer）63.3.3 接入层（Access Layer）63.4 网络模型选择63.5 园区网络拓扑图73.6 IP地址规划73.7 VLAN规划73.8 路由协议选择83.9 网络设备选择103.10 配置规范10第四章 网络安全设计114.1 V

2、LAN技术124.2 AAA技术124.3 VPN技术134.4 防火墙技术134.5 安装杀毒软件134.6 其它安全措施13第五章 网络模拟实现145.1 模拟器介绍145.2 模拟环境拓扑图155.3 需求实现165.4 配置方法17第六章 网络测试206.1 单体测试206.2 网络连通性测试236.3 网络冗余性测试24第七章 总 结27参考文献28- 27 -毕业设计摘 要随着计算机网络的迅猛发展，曾经在园区网中被广泛使用的10M/100M以太网技术、ATM等技术已经渐渐不能适应业务需求。现在，千兆以至10G级别以太网技术正逐渐成为园区网主干的主流技术。因此，许多大型园区网络面临着

3、技术改造或者重新设计。本文针对当前园区网络中存在的设计混乱、层次复杂、稳定性低，安全性不足等一系列问题，采用工程化设计方法，依照行业规范，设计并模拟实现一个园区网络，该网络依照行业规范设计，采用新近成熟的产品与技术，满足用户安全性、通用性、可操作性和拓展性的要求，由于网络设计过程中严格依照行业规范，采用模块化设计思想，因此网络系统各层可移植性强，极大的方便了以后的网络设计工作。关键词：交换机；路由器；设计；实施第一章 绪论1.1 选题来源随着计算机网络的迅速发展，曾经在园区网中被大量使用的10M/100M以太网技术、ATM技术已经渐渐不能适应现在的业务需求，作为园区主干网，10M/100M以太

4、网作为主干网络核心技术带宽不足的弊病渐渐凸显，已经严重影响着园区网络的运行效率，目前仍有许多大型园区网络在使用ATM技术，这样的网络面临两个问题：VLAN间路由的性能不能满足网络需求，并且ATM技术正在逐步被淘汰。现在，千兆以至10G级别以太网技术正逐渐成为园区网络主干的主流技术。因此，许多大型园区网络面临技术改造或者重新设计。针对当今的企业园区网络中存在的设计混乱、层次复杂、稳定性低，安全性不足等一系列问题，本文采用工程化设计方法，依照行业规范，设计并使用路由交换模拟软件模拟实现一个园区网络，通过对本项目的实际操作，增加对网络整体构架的认识，提高自己的网络设计能力，全方位提升自身素质，使大学

5、生摆脱网络学习理论与实践的脱节现象。1.2 主要内容本文主要做了以下两个方面的工作：第一，介绍了园区网络的含义、特点以及未来发展趋势，并且针对现实中存在的实际情况，按照规范化的系统方法规划设计一个完整的园区网络，并针对各种路由协议、设计模型进行了综合对比分析，以选取最符合实际的方案。第二，使用Dynamips GUI软件配合Secure CRT对部分网络进行了模拟，以实现网络的互通互联，对各层设备进行了配置，并以配置文档的形式给出。1.3 论文结构本文共分为八章，第1章是绪论部分，第2章至第6章为论文的主体部分，第7章为总结。第1章：绪论。讲述本论文的选题来源以及选题意义等，并对论文主要研究内

6、容作概述。第2章：园区网概述。主要是对园区网做概括性阐述，包括其含义、特点、发展趋势，以及园区网建设的必要性。第3章：园区网设计。详细阐述园区网设计方法，包括需求分析、设计原则、网络模型选择、VLAN及IP地址规划、路由协议选择和网络设备选择等。第4章：网络安全设计。概括阐述当今流行的VLAN技术、AAA技术、VPN技术和防火墙技术等。第5章：网络模拟实现。介绍Dynamips GUI和Secure CRT使用方法，给出实验拓扑，并针对实验拓扑给出详细配置方法。第6章：网络测试。详细介绍网络测试方法以及测试过程中现象以及需要注意的问题。第7章：总结。介绍自己毕业设计过程总遇到的问题，对毕业设计

7、的过程进行总结。第二章 园区网概述2.1 园区网含义园区网是指为企事业单位组建的办公局域网。典型的园区网包括校园网、社区网、住宅小区网、企事业单位网等。2.2 园区网特点园区网是网络的基本单元。园区网较适合于采用三层结构设计。园区网对线路成本考虑的较少，对设备性能考虑的较多，追求较高的带宽和良好的扩展性。园区网的结构比较规整。2.3 园区网发展趋势从计算机网络应用角度来看，网络应用系统将向更深和更宽的方向发展，这也相应的影响着未来园区网的发展方向。首先，Internet信息服务将会得到更大发展。网上信息浏览、信息交换、资源共享等技术将进一步提高速度、容量及信息的安全性。其次，远程会议、远程教学

8、、远程医疗、远程购物等应用将逐步从实验室走出，不再只是幻想。网络多媒体技术的应用也将成为网络发展的热点话题。第三章 园区网设计3.1 需求分析某企业园区刚刚建成，是一大型企业的分支机构，为了实现企业的办公信息自动化，扩大企业的影响，方便和总部的信息交流，需要建立自己企业的Intranet。企业现在有2幢9层的办公大楼，分别是生产部和销售部，另外还有一个家属区，家属区有3幢6层的大楼，两个相距300米。企业局域网需要考虑覆盖办公区和家属区。局域网需要实现的目标如下：实现有效的信息交换和共享。企业通过两条专线接入电信和网通。企业需要实现办公自动化。局域网提供企业内部电子邮件收发、信息浏览、文件管理

9、、会议管理、电子公告等多方面应用。为了扩大企业的影响，企业对外提供自己的宣传网站，并且能够保证网站安全，不受外部或者内部攻击。充分考虑今后各部门的接入扩展性。充分考虑企业内部网络的安全性。3.2 网络设计原则我们遵循以下的原则进行网络设计： 实用性实用性是网络系统建设的首要原则，该网络必须最大限度的满足需求，保证网络服务的质量，否则就会影响日常工作效率。 标准化整个网络从设计、技术和设备的选择，要确保将来可能的不同厂家设备、不同应用、不同协议连接的需求，必须支持国际标准的网络接口和协议，以提供高度的开放性。 先进性先进性主要是针对网络系统的设计思想、网络结构、软硬件设施以及所选用技术等方面。只

10、有先进的技术才可能为网络带来更高的性能，并且能保证在技术上不容易被淘汰。 可扩展性可扩展性是指该网络系统能够适应需求的变化。随着技术发展，信息量增多和业务的扩大，网络将在规模和性能两方面进行一定程度的扩展。 可靠性网络要求具有高可靠性，高稳定性和足够的冗余，提供拓扑结构及设备的冗余和备份，为了防止局部故障引起整个网络系统的瘫痪，要避免网络出现单点失效，核心设备需要支持冗余备份。 安全性网络安全性在整个网络中是个很重要的问题，网络系统建设应采取一定手段控制网络的安全性，以保证网络正常运行。 管理性随着网络规模和复杂程度的增加，管理和故障排除就会越来越困难。为保障网络中心的正常运行，网络必须易于管

11、理，支持网络网段与端口的监控、网络流量与出错的统计、网络故障的定位、诊断、修复。3.3 网络模型设计图3.1 典型的三层网络模型三层网络架构采用层次化模型设计，即将复杂的网络设计分成三个层次，每个层次着重于某些特定的功能，这样就能够使一个复杂的大问题变成许多简单的小问题。三层网络架构设计的网络有以下三个层次。3.3.1 核心层（Core Layer）核心层是网络的高速交换主干,对整个网络的连通起到至关重要的作用。核心层应该具有如下几个特性:可靠性、高效性、冗余性、容错性、可管理性、适应性、低延时性等。该层必须是基于千兆高速交换和路由的设计，设备的性能容量也是最高的（高达百Gbps 容量和每秒千

12、万级数据包转发能力）。主要是由全模块化的高性能多层路由交换机和高性能服务器组成，系统带宽必须是千兆甚至10Gbps。3.3.2 汇聚层（Distribution Layer）汇聚层是网络接入层和核心层的“中介”，就是在工作站接入核心层前先做汇聚，以减轻核心层设备的负荷。汇聚层具有实施路由策略、安全、工作组接入、虚拟局域网(VLAN)之间的路由、源地址或目的地址过滤等多种功能。该层一般采用100M 或1000M的快速交换路由设计，设备的性能容量性也很高，主要由固定配置+可选模块的三层路由交换设备组成。3.3.3 接入层（Access Layer）接入层向本地网段提供工作站接入。在接入层中，减少同

13、一网段的工作站数量,能够向工作组提供高速带宽。访问层是由100M 快速以太网交换机和客户机组成，该层次一般采用100M 快速以太网，采用可管理的固定配置的工作组级别的交换机，能提供多层堆叠功能实现大量用户的接入。三层网络架构的特点是网络性能高，层次清晰，网络管理直观、方便，并合理地分散了网络设备带来的安全风险，网络结构安全可靠。3.4 网络模型选择单核心网络模型适用于规模小，信息节点少，对网络冗余性要求不高的网络，一般中小学网络最为常见，而双核心网络模型适用于规模大，信息节点多，网络冗余性要求高的网络，一般的园区网都使用双核心网络。3.5 园区网络拓扑图图3.2 三层网络架构的园区网拓扑图3.

14、6 IP地址规划在构建基于 TCP/IP 的企业网络时，IP 地址的选择是根据企业网络规模大小从以下三类国际Internet 组织公布的私有网段中产生，这些范围内的IP 地址不在Internet 上传输，是专门提供给企业用来建设内部网络(Intranet)：A 类私有IP: 10.0.0.0 10.255.255.255。B 类私有IP: 172.16.0.0172.16.31.255。C 类私有IP: 192.168.0.0192.168.255.255。对于小型园区网络，由于上网用户少、设备数量少，建议使用地址空间小的192.168.0.0/16的网络。而对于中大型园区网络，如三层结构的校

15、园网，由于上网人数多，设备数量多，建议采用地址空间大的10.0.0.0/8的网络。3.7 VLAN规划虚拟局域网(VLAN)是将局域网内广播域逻辑地划分为若干子网。在一个交换局域网中，所有局域网段通过交换机连接到一起，路由器连在交换机上(如果是三层交换机，则不需路由器)，可以按网段和站点的逻辑分组形成广播域，通过在局域网交换机内过滤广播包，使得源于特定虚拟局域网的信息包仅传送到那些也属于这个虚拟局域网的网段上。虚拟局域网之间的寻径由路由器完成。虚拟局域网建立以后，能有效地控制网络的广播风暴，减少不必要的资源带宽浪费，并能随着企业规模的发展和调整改变通信流的模式。VLAN规划需要考虑如下因素：用

16、户VLAN与设备管理VLAN分开(IP地址)。为网络扩容进行可汇总的预留设计。IP地址与VLAN编号(其它相关因素)有一定的对照性。如图3.3所示：图3.3 IP和VLAN对应规则根据具体需求与安全性要求等情况综合分析，园区网IP地址详细规划如表3.4所示：表3.4 IP地址规划表物理位置VLAN范围IP网段默认网关获取方式住宿区VLAN 10VLAN 30172.16.1.0172.16.30.0/24172.16.x.254/24DHCP办公区VLAN 40VLAN 50172.16.40.0172.16.50.0/24172.16.x.254/24DHCP服务器组VLAN100202.1

17、17.144.1-202.117.144.253202.117.144.254静态指定3.8 路由协议选择路由协议可分为距离矢量、链路状态和混合型路由协议。使用距离矢量路由协议时，所有路由器只能向它的邻居路由器发送自己的整张路由表。然后路由器使用接收到的路由条目确定是否需要更新自己的路由表。这个过程会周期性的重复进行。与此相反，当网络使用链路状态路由协议时，每个路由器可以向其它所有的路由器发送自己的接口（链路）状态信息，但是这仅仅发生在网络拓扑发生变化的时候，每个路由器使用收到的链路状态信息重新计算自己到每个目标网络的最佳途径，然后把这些路由信息保存到自己的路由表中。混合型路由协议，顾名思义，

18、该协议借用了距离矢量和链路状态协议的思想。混合型协议能向邻居路由器（类似距离矢量）发送变动的信息（类似链路状态）。路由协议的比较路由信息协议（Routing Information Protocol,RIP）RIP是一种简单的动态路由协议，RIP至今有两个版本，RIPv1和RIPv2，后者是前者的改进版本，RIP是一种有类的距离矢量路由协议，它最显著的特点是在路由更新报文中不携带子网信息，RIP默认的管理距离是120，它使用跳数做为度量值，最大跳数是15，如果超过15就认为目标网络不可达，所以RIP只能适用于小型的网络中。内部网关路由协议（Interior Gateway Routing Pr

19、otocol,IGRP）IGRP是Cisco私有的协议，其目的是为了取代RIP，它也是一种距离矢量路由协议，IGRP克服了RIP的一些严重缺陷，如IGRP在计算路由度量值时没有使用跳数，而是采用链路特征，因此要优于RIP协议。但由于IGRP是Cisco私有的协议，非Cisco厂商的设备不能支持IGRP协议，它的改进版是EIGRP。增强型内部网关路由协议（Enhanced Interior Gateway Routing Protocol,EIGRP）EIGRP是增强型的IGRP协议，它是一种典型的平衡混合路由选择协议，它融合了距离矢量和链路状态两种路由协议的优点，使用一种散射更新算法，实现了很

20、高的路由性能，但由于EIGRP也是Cisco私有协议，不能在其它非Cisco设备上使用，它的应用也受到了限制。开放最短路径优先（Open Shortest Path First,OSPF）OSPF是一种典型的链路状态、无类别IP路由协议，OSPF能够适应大型IP网络的扩展，而基于距离矢量的IP路由协议如RIP和IGRP则不能适应这种网络。OSPF基于链路状态，其路由是基于网络地址及链路状态度量的。作为一种自适应协议，OSPF可以根据网络状态故障情况自动调整，具有收敛时间短的优点，有利于路由表的快速稳定，这样使OSPF可以支持大型的网络。OSPF的设计可以防止通信数据形成环路，这对于网状网络或由

21、多个路由器实现的不同局域网互联非常重要。OSPF还有其它一些特性：使用了区域的概念，有效的减少了路由选择协议对路由器的CPU和内存的占用率，划分区域还可以降低路由协议的通信量，从而使构建层次化互联网成为可能。完全无类别地处理地址问题，排除了有类路由协议存在的问题。支持使用多条路由路径的、效率更高的负载均衡。使用保留的组播地址来减少对不运行OSPF协议的设备的影响。支持更安全的路由选择认证。使用可以跟踪外部路由的路由标记。经过各种路由协议的对比和选择，园区网适合采用OSPF路由协议。3.9 网络设备选择通过对目前市场上设备的性能分析，结合企业实际和对网络扩展性的考虑，以及基于高性能、全交换，可扩

22、展性强，系统安全，保密性高，管理简单，保护投资的选择原则，选择了以下4 款设备：出口设备：RG-WALL 1600 1台；RSR20-18 1台；RG-NPE60E 1台。核心设备：S8610 2台，配置千兆光缆接口4块。汇聚设备：S3560-24 4台，每台配置2块千兆光缆接口。接入设备：S2126G二层交换机4台。链路设备：万兆光纤、千兆光纤、双绞线。3.10 配置规范主机命名规范如果客户有规范或明确合理要求，则按照客户的规范或要求进行配置。如金融行业规范。如果客户没有规范或明确合理要求，可参考设备位置、网络位置、设备型号、设备编号等因素，在项目中制定统一的命名规范。主机命名规范如下图3.

23、5所示：图3.5 主机命名规范设备互联接口描述项目中所有涉及到可网管设备互联的端口必须配置端口描述。如图3.6所示：图3.6 互联接口描述登陆密码配置项目中所有可网管设备必须配置特权密码及远程登陆密码。系统时间配置项目中所有可网管设备必须重新设置正确的系统时间。二层交换机管理IP配置项目中可网管二交换机必须配置管理IP地址，供管理员远程管理设备所用。第四章 网络安全设计园区网的安全是一个综合问题，它包含网络设备和人为因素两个方面以及与外网（Internet）接口上的安全问题。网络的有效性和可靠性即它的可连续运行的安全性是网络建设必须考虑的首要原则，从用户的角度考虑，当网络所需的服务不可用时，不

24、管是何种原因，网络就失去了实际价值。从另一角度看，当某种网络服务的响应时间变得变幻莫测时，网络系统也不可靠了。为此我们在网络设计上就考虑了以下的技术来提高安全性。4.1 VLAN技术VLAN技术是通过路由和交换设备，在网络的物理拓扑基础上建立的一个逻辑的网络。VLAN可以看作是一个广播域，它们不受地理位置的限制而像处于同一LAN上那样相互交换信息。VLAN是在交换网络中实现的。每个交换设备均可根据网络管理人员所定义的VLAN划分方法对报文进行过滤和转发，并能将这种划分信息传递到网络中其它交换设备和路由器中去。可以限制VLAN中的用户数量，禁止那些没有得到许可的用户加入到某个VLAN中。这样，可

25、以控制用户对网络资源的访问，控制广播组的大小和组成，并借助网管软件在发生非法入侵时通知管理员。交换机上划分VLAN方法如图4.1所示：图4.1 交换机划分VLAN方法4.2 AAA技术AAA认证体系结构包括鉴别（Authentication）、授权（Authorization）和记账（Accounting）。鉴别过程主要完成用户身份识别，并为该用户指定特权级别，控制该用户对网络资源和服务的访问和使用，在允许访问前，用户必须首先通过鉴别。授权过程决定用户或用户组可以访问的指定服务和网络资源，该过程也定义在用户在资源上的可执行的操作。记账的过程主要是收集信息，以确定谁在使用哪些资源。4.3 VPN

26、技术虚拟专用网（Virtual Private Network，VPN）技术的基本思路是充分利用现有的公用网络来建立一个私有的、安全的连接，即建立一条穿过混乱的公用网络的安全、稳定的隧道，同时避免昂贵的专线租用费用，它使用的是建立在物理连接基础上的逻辑连接，客户并不能意识到实际的物理连接，而且在穿越Internet进行路由时，其安全性与在专用网络中进行安全路由的安全性基本相同。4.4 防火墙技术目前，在保护计算机网络安全的设备中，使用最多的就是防火墙。防火墙是在两个网络之间执行控制策略的系统，这两个网络中，通常一个是要保护的内部网，一个是外部网，防火墙在内部网和外部网之间构成一道屏障，通过检测

27、、限制或者更改通过它的数据流，对外屏蔽内部网的信息、结构和运行状况，以防止发生网络入侵或攻击，达到对内部网的安全保护。防火墙原理如图4.2所示： 图4.2 防火墙原理图4.5 安装杀毒软件网络的普及带来了计算机的飞速发展，计算机进入了寻常百姓家，个人电脑的安全问题显得尤为重要，尤其是政府重点部门，在防毒杀毒、系统保护方面等方面提出更高的要求，销售防毒杀毒产品的公司很多，如国外的诺顿、卡巴斯基，国内的360、金山等。4.6 其它安全措施服务器本身的安全考虑：不同的功能应尽量分布在不同的主机上，出于节省投资，有时需要将多种应用系统合并到一台物理主机上承载，例如，一台服务器同时提供HTTP 服务和数

28、据库服务。考虑服务器合并时，不仅考虑它的承载能力和处理能力，还要考虑合并的各种服务的安全级别。不要把对外服务的应用与对内管理的应用合并。操作系统：授予不同用户不同的权限。应用软件：在应用软件开发中，也需要考虑分级权限控制，以防止错误操作引起系统数据丢失。最后系统管理员要养成良好的安全管理习惯，例如：定期修改管理员口令，避免使用规律的、易猜测的密码，定期检查安全漏洞等。 第五章 网络模拟实现5.1 模拟器介绍Dynamips GUI 是由国人CCIE小凡开发的一个思科模拟器图形前端。它不仅整合了思科所有的IOS模拟器，而且还整合了BES以及VPCS。小凡模拟器（Dynamips GUI）是一个学

29、习配置思科设备的很好的工具，它能在PC 机的环境下真实运行思科设备 IOS，绝大部分命令都支持，就和在真实思科设备上运行相差无几。Dynamips GUI主界面如图5.1所示：图5.1 Dynamips GUI主界面Secure CRT 将SSH的安全登录、数据传送性能和Windows终端仿真提供的可靠性、可用性和可配置性结合在一起。通过它可以登录到路由器和交换机上对设备进行配置和备份等操作。Secure CRT主界面如图6.2所示：图5.2 Secure CRT主界面5.2 模拟环境拓扑图由于园区网络规模过大，本次只能针对对部分重要节点和典型区域进行模拟配置工作，在此次实验中，使用Cisco

30、 3640路由交换机模拟整个实验，IOS使用c3640-jk9o3s-mz.124-16a.bin，模拟器网络拓扑如图5.3所示：图5.3 模拟器网络拓扑5.3 需求实现某园区网拓扑及规划上图所示，其中RSR-1是园区网出口路由器，RSR-1和ISP之间互联接口是S0/0，互联地址分别是212.1.1.1/24和212.1.1.2/24。两台S57是园区网核心设备，和RSR-1互联地址段是192.168.1.0/24和192.168.2.0/24。S26-1和S26-2是两台接入设备，下联用户VLAN 10和VLAN 20，对应用户子网分别是192.168.10.0/24和192.168.20

31、.0/24，网关分别是192.168.10.254和192.168.20.254。RSR-1、S57-1和S57-2运行OSPF，都属于AREA 0。实现以下需求：所有通过S26接入的用户IP地址必须动态获得，不允许私设IP地址，DHCP服务器是两台S57交换机。S26上连接用户的端口必须能够快速收敛，防止可能存在的环路，其它不用的端口必须手动关闭。S57-1为VLAN 10的根网桥，S57-2为VLAN 20的根网桥。S57-1和S57-2交换机上的端口f0/14-15加入port-channel 1，并把port-channel 1设为trunk模式。两台三层交换机上配置HSRP或者VRR

32、P协议，为了实现冗余备份和负载均衡，在S57-1上，VLAN 10为Active，VLAN 20为Standby；在S57-2上，VLAN 10为Standby，VLAN 20为Active。用户需要访问ISP的网络时，其中VLAN 10的数据路径是S26-1S57-1RSR-1ISP，VLAN 20的数据路径是S26-2S57-2RSR-1ISP，两条路径互为主备。在RSR-1上配置动态NAT，实现内部网络私有地址到外部网络公有地址的转换。5.4 配置方法预配置每台设备的预配置如下（以S26为例）：Router#config t /进入全局配置模式 Enter configuration c

33、ommands, one per line. End with CNTL/Z.Router(config)#no ip do lo /关闭设备的域名解析Router(config)#host S26 /给设备命名S26(config)#enable secret ruijie /设置进入特权模式的密码S26(config)#line con 0 S26(config-line)#no exec-t /关闭console口的超时退出S26(config-line)#loggin syn /启用console口的日志同步功能S26(config-line)#exit配置VTP 为了便于管理VLAN

34、，需要在每台交换机上配置VTP协议，汇聚层设备为VTP Server，接入层设备为VTP Client。在配置VTP协议前，需要将相连的交换机之间直连的端口设置为trunk模式，且VTP domain必须相同，才可以交换VTP信息。这里以S57-1为例：S57-1#vlan data /进入VLAN数据库模式S57-1(vlan)#vtp server /设置VTP ServerS57-1(vlan)#vtp domain test /设置VTP 域名S57-1(vlan)#vtp pass 123 /设置VTP密码S57-1(vlan)#vtp pruning /启用VTP裁剪S57-1(v

35、lan)#exit /保存并退出配置STP配置STP协议是为了防止发生二层网络的环路，并且还可以进行二层的冗余备份，这里修改网桥的优先级，实现VLAN 10的流量走S57-1，VLAN 20的流量走S57-2。以S57-1为例：S57-1(config)#spanning-tree vlan 1 priority 4096 S57-1(config)#spanning-tree vlan 10 priority 4096 /设置vlan10对应的网桥优先级S57-1(config)#spanning-tree vlan 20 priority 8192Port-channel接口配置配置Por

36、t-channel既可以增加链路带宽，同时也可以实现链路的冗余备份。这里以S57-1为例：S57-1(config)#int range f0/14 - 15S57-1(config-if-range)#channel-group 1 mode onS57-1(config)#interface port-channel 1S57-1(config-if)#switchport trunk encapsulation dot1q /封装dot1qS57-1(config-if)#switchport mode trunk /配置trunk配置HSRP协议在S57-1和S57-2上配置HSRP协

37、议，可以实现网关设备的冗余。在S57-1上，设置VLAN 10为Active，VLAN 20为Standby，在S57-2上设置VLAN 10为Standby，VLAN 20为Active。S57-1(config)#int vlan 10S57-1(config-if)#standby 10 ip 192.168.10.254 /设置虚拟网关的IP地址S57-1(config-if)#standby 10 priority 120 /设置HSRP的优先级，默认为100S57-1(config-if)#standby preempt /开启抢占模式，配置此命令后，当路由器发现本机优先级比现在任

38、何同一Standby组中的Active路由器高时，则本机将成为Active，当前Active路由器则降为Standby。S57-1(config-if)#standby 10 track f0/0 50 /开启接口追踪，当发现跟踪端口Down时，本路由器standby priority自动降低50S57-1(config-if)#exitS57-1(config)#int vlan 20S57-1(config-if)#standby 20 ip 192.168.20.254S57-1(config-if)#standby preempt /在Standby网段也需要配置抢占模式，目的是为了当

39、Active路由器Down时，本路由能够迅速有Standby成为Active。配置DHCP由于在大型的园区网中，为每一个接入设备手工配置IP地址是一件非常耗费时间的事情，所以在一般的园区网中采用DHCP动态分配IP地址，这样可以减少客户机的配置复杂度，减少手工配置IP地址导致的错误。S57-1(config)#service dhcp /开启DHCP服务S57-1(config)#ip dhcp pool v10 /给地址池命名S57-1(dhcp-config)#network 192.168.10.0 /定义需要分配的网段S57-1(dhcp-config)#default-router

40、192.168.10.254 /指定默认网关 S57-1(dhcp-config)#dns-server 200.200.200.43 /指定DNS服务器地址S57-1(dhcp-config)#exitS57-1(config)#ip dhcp excluded-address 192.168.10.252 /定义需要排除的地址S57-1(config)#ip dhcp excluded-address 192.168.10.253S57-1(config)#ip dhcp excluded-address 192.168.10.254S57-1(config)#ip dhcp pool v

41、20 S57-1(dhcp-config)#network 192.168.20.0 S57-1(dhcp-config)#default-router 192.168.20.254S57-1(dhcp-config)#dns-server 200.200.200.43S57-1(dhcp-config)#exitS57-1(config)#ip dhcp excluded-address 192.168.20.252S57-1(config)#ip dhcp excluded-address 192.168.20.253S57-1(config)#ip dhcp excluded-addre

42、ss 192.168.20.254S57-1(config)#exit配置NATNAT用于解决IP地址短缺问题，由于内部网络的私有IP地址不能在公网上通过路由器转发，所以出口路由器需要配置动态NAT进行地址转换，这样不仅可以解决不能访问外网的问题，还可以保护内部网络，免受来自外部网络的攻击。RSR-1(config)#access-list 10 permit 192.168.10.0 0.0.0.255 /使用ACL抓取感兴趣的流量RSR-1(config)#access-list 10 permit 192.168.20.0 0.0.0.255 RSR-1(config)#ip nat p

43、ool cisco 212.1.1.3 212.1.1.20 netmask 255.255.255.0 /配置地址池RSR-1(config)#ip nat inside source list 10 pool cisco overload /把地址池和ACL应用到NAT中RSR-1(config)#int s0/0RSR-1(config)#ip nat outside /指定需要进行地址转换的接口RSR-1(config)#int f1/0RSR-1(config)#ip nat insideRSR-1(config)#int f2/0RSR-1(config)#ip nat insid

44、第六章 网络测试一个刚刚建成的新网络，必须进行一些列严格的测试，才能保证网络的正常运行，网络测试一般包括单体测试、连通性测试、冗余性测试。6.1 单体测试单体测试的目的是测试各设备是否能正常工作，有没有硬件或者软件问题。笔记本连接到待测设备的console口，给设备加电。进入到命令行界面，用show version，show diag等命令查看设备序列号，检查各模块是否正常工作。如下所示：RSR-1#show version Cisco IOS Software, 3600 Software (C3640-JK9O3S-M), Version 12.4(16a), RELEASE SOFTWA

45、RE (fc2)Technical Support: Copyright (c) 1986-2007 by Cisco Systems, Inc.Compiled Mon 10-Sep-07 12:25 by prod_rel_teamROM: ROMMON Emulation MicrocodeROM: 3600 Software (C3640-JK9O3S-M), Version 12.4(16a), RELEASE SOFTWARE (fc2)RSR-1 uptime is 24 minutesSystem returned to ROM by unknown reload cause

46、- suspect boot_dataBOOT_COUNT 0x0, BOOT_COUNT 0, BOOTDATA 19System image file is tftp:/255.255.255.255/unknownThis product contains cryptographic features and is subject to UnitedStates and local country laws governing import, export, transfer anduse. Delivery of Cisco cryptographic products does not implythird-party authority to import, export, distribute or use encryption.Importers, exporters, distributors and users are responsible forcompliance with U.S. and local country laws. By using this product youagree to comply with applica