桂林理工大学高职专科学院
毕业论文(设计)
校园网改造计划
作者姓名:
专业名称:计算机网络技术
作者学号: 5111960101 指导教师姓名:
提交日期: 2014/5/13
广西·南宁
摘 要
随着网络的逐步普及,校园网络的建设是学校向信息化发展的必然选择,校园网网络系统是一个非常庞大而复杂的系统,它不仅为现代化教学、综合信息管理和办公自动化等一系列应用提供基本操作平台,而且能提供多种应用服务,使信息能及时、准确地传送给各个系统。而校园网工程建设中主要应用了网络技术中的重要分支局域网技术来建设与管理的,因此本毕业设计课题将主要以校园局域网络建设过程可能用到的各种技术及实施方案为设计方向,为校园网的建设提供理论依据和实践指导。
学院的网络关系到学院各个部门的办公效率。在办公信息化的今天,校园网络的工作已经决定着整个学院的办公的效率化、准确化、时代化。作为示范校的北京电子科技职业学院,网络改革也是势在必行的。从网络的划分上来讲,任意一个网络都由三个基本元素组成:本地局域网、 internet 访问、远程访问。同时更具用户需求的不同或行业特性的差异,辅助以网络安全、网络存储、网络管理的模块共同搭建成完整的网络解决方案。校园网如同在为企业的信息化铺设公路,校园网是整个学院信息化建设的基石,将关系到后期整个信息化建设的质量,是一项重要的工程。
关键词 Internet接入、网络建设、防火墙ASA、VPN、MSTP、HSRP
网络改造的原则和任务
根据学院网络系统的现状和今后发展的需求,在充分利用有限资金和现有条件的前提下,学院决定在统一的整体规划下,对网络和应用系统进行全面的总体设计,并逐步进行重点的分期改造和扩容工作,在重点保证系统稳定运行的同时,提升网络系统的总体性能。为保证本次校园网改造的质量,我们将遵循以下原则进行整个系统的方案设计:
? 系统的先进性与实用性相结合
在系统设计上采用国内外先进的网络及应用技术,并充分借鉴以往在网络建设中的成熟经验,保证系统的先进性和稳定性。同时也要考虑到资金投入情况,将学院网络系统最终设计成一个实用、稳定、可靠的系统。 ? 扩容开发新的系统与移植旧的系统相结合,充分保证前期投资
在网络系统扩容和改造工作中,不但要积极采用目前已经成熟的新技术来提升网络的总体性能,同时也要充分考虑到对网络系统中原有设备进行有选择的继续沿用,从而保护原有的投资。
? 系统建设与培训工作相结合
一个信息系统运行的好坏,不仅取决与系统建设本身。维持一个高水平应用的网络系统,需要全体人员计算机应用水平的提高,需要有一支信息维护的专业技术队伍。因此,应该把培训工作放到重要的位置上加以考虑
网络示意图
网络改造的主要工作
增加两台核心交换机作双机热备
为了保证网络的不间断运行,增加两台核心交换机作双机热备,这样其中一台核心交换机出现问题都不会影响网络的正常使用,提高了网络的稳定性。
接入交换机双链路连接核心交换机
接入层交换机通过两条光纤分别连接两台核心交换机,两条链路配置为负载均衡,这样其中一条链路出现问题都不会影响网络的正常使用。热待机路由协议的目的就是希望能在网络内提供趋于 100%的数据转发能力,尽量保证在路由器出现故障的情况下,继续发往该路由器的数据包不会丢失,能够自动由其它路由器发送出去。 这是通过一个虚拟的路由器来实现的。 子网内的主机以该虚拟路由器作为缺省网关并向其发送数据, 而各个启动了 HSRP的路由器通过竞争来担当该虚拟路由器的角色并负责这些数据的转发。负责转发发向虚拟路由器的数据包的那台路由器为 Active 状态,其它一个或多个路由器作为 Standby状态。当 Active 路由器失效时,Standby路由器通过与 Active 路由器的信息交互和计时器来自动取缔原来的路由器,将自身变为 Active,继续负责发往虚拟
路由器的数据转发工作。然而,对用户来说,这种网络的变化是透明的,亦即可以达到一种。
加强网络管理
在网络升级改造的过程中,信息中心做域控制管理,对各部门现有计算机进行详细统计,统一编制计算机名称,统一按照部门进行IP地址的重新规划,并登记造册,以便以后对网络系统的计算机进行监控和对出现故障的计算机进行快速查找。
提高网络安全性
根据网络安全防范的要求和业务应用系统发展的需求,在内网、外网、服务器区等用防火墙进行安全隔离,在不影响网络速度的前提下,重点对数据库服务器进行保护;根据需要可以在网络系统中部署“入侵检测系统”有效地阻断和隔离内外部非法用户可能进行的网络攻击;根据需要在网络中部署安全漏洞扫描系统,定期对网络及应用系统进行安全评估,及时修补系统中存在的安全漏洞,提升系统的安全性。
一、系统相关技术背景综述
链路负载均衡相关技术背景介绍
OSPF技术
OSPF路由协议是一种典型的链路状态(Link-state)的路由协议,一般用于同一个路由域内。在这里,路由域是指一个自治系统(Autonomous System),即AS,它是指一组通过统一的路由政策或路由协议互相交换路由信息的网络。在这个AS中,所有的OSPF路由器都维护一个相同的描述这个AS结构的数据库,该数据库中存放的是路由域中相应链路的状态信息,OSPF路由器正是通过这个数据库计算出其OSPF路由表的。
作为一种链路状态的路由协议,OSPF将链路状态广播数据LSA(Link State Advertisement)传送给在某一区域内的所有路由器,这一点与距离矢量路由协议不同。运行距离矢量路由协议的路由器是将部分或全部的路由表传递给与其相邻的路由器。
OSPF协议主要优点:
1、OSPF是真正的LOOP- FREE(无路由自环)路由协议。源自其算法本身的优点。(链路状态及最短路径树算法)
2、OSPF收敛速度快:能够在最短的时间内将路由变化传递到整个自治系统。
3、提出区域(area)划分的概念,将自治系统划分为不同区域后,通过区域之间的对路由信息的摘要,大大减少了需传递的路由信息数量。也使得路由信息不会随网络规模的扩大而急剧膨胀。
4、将协议自身的开销控制到最小。见下:
1)用于发现和维护邻居关系的是定期发送的是不含路由信息的hello报文,非常短小。包含路由信息的报文时是触发更新的机制。(有路由变化时才会发送)。但为了增强协议的健壮性,每1800秒全部重发一次。
2)在广播网络中,使用组播地址(而非广播)发送报文,减少对其它不运行ospf 的网络设备的干扰。
3)在各类可以多址访问的网络中(广播,NBMA),通过选举DR,使同网段的路由器之间的路由交换(同步)次数由 O(N*N)次减少为 O (N)次。
4)提出STUB区域的概念,使得STUB区域内不再传播引入的ASE路由。
5)在ABR(区域边界路由器)上支持路由聚合,进一步减少区域间的路由信息传递。
6)在点到点接口类型中,通过配置按需播号属性(OSPF over On Demand Circuits),使得ospf不再定时发送hello报文及定期更新路由信息。只在网络拓扑真正变化时才发送更新信息。
5、通过严格划分路由的级别(共分四极),提供更可信的路由选择。
6、良好的安全性,ospf支持基于接口的明文及md5 验证。
7、OSPF适应各种规模的网络,最多可达数千台。
1.3.1. MSTP技术
STP(Spanning Tree Protocol,生成树协议)不能使端口状态快速迁移,即使是在点对点链路或边缘端口,也必须等待2 倍的Forward delay 的时间延迟,端口才能迁移到转发状态。
RSTP(Rapid Spanning Tree Protocol,快速生成树协议)可以快速收敛,但是和STP 一样存在以下缺陷:局域网内所有网桥共享一棵生成树,不能按VLAN
阻塞冗余链路,所有VLAN 的报文都沿着一棵生成树进行转发。
MSTP(Multiple Spanning Tree Protocol,多生成树协议)将环路网络修剪成为一个无环的树型网络,避免报文在环路网络中的增生和无限循环,同时还提供了数据转发的多个冗余路径,在数据转发过程中实现VLAN 数据的负载均衡。
MSTP 兼容STP 和RSTP,并且可以弥补STP 和RSTP 的缺陷。它既可以快速收敛,也能使不同VLAN 的流量沿各自的路径分发,从而为冗余链路提供了更好的负载分担机制。
1.3.2. HSRP技术
虚拟路由器冗余协议(HSRP)是一种选择协议,它可以把一个虚拟路由器的责任动态分配到局域网上的 HSRP 路由器中的一台。控制虚拟路由器 IP 地址的 HSRP 路由器称为主路由器,它负责转发数据包到这些虚拟 IP 地址。一旦主路由器不可用,这种选择过程就提供了动态的故障转移机制,这就允许虚拟路由器的 IP 地址可以作为终端主机的默认第一跳路由器。使用 HSRP 的好处是有更高的默认路径的可用性而无需在每个终端主机上配置动态路由或路由发现协议。 HSRP 包封装在 IP 包中发送。
VLAN技术
VLAN(Virtual Local Area Network)即虚拟局域网,是一种通过将局域网内的设备逻辑地而不是物理地划分成一个个网段从而实现虚拟工作组的新兴技术。IEEE于19xx年颁布了用以标准化VLAN实现方案的802.1Q协议标准草案。
VLAN技术允许网络管理者将一个物理的LAN逻辑地划分成不同的广播域(或称虚拟LAN,即VLAN),每一个VLAN都包含一组有着相同需求的计算机工作站,与物理上形成的LAN有着相同的属性。但由于它是逻辑地而不是物理地划分,所以同一个VLAN内的各个工作站无须被放置在同一个物理空间里,即这些工作站不一定属于同一个物理LAN网段。一个VLAN内部的广播和单播流量都不会转发到其他VLAN中,从而有助于控制流量、减少设备投资、简化
网络管理、提高网络的安全性。
VLAN是为解决以太网的广播问题和安全性而提出的一种协议,它在以太网帧的基础上增加了VLAN头,用VLAN ID把用户划分为更小的工作组,限制不同工作组间的用户二层互访,每个工作组就是一个虚拟局域网。虚拟局域网的好处是可以限制广播范围,并能够形成虚拟工作组,动态管理网络。
VLAN在交换机上的实现方法,可以大致划分为4类:
1、 基于端口划分的VLAN
这种划分VLAN的方法是根据以太网交换机的端口来划分,比如Quidway S3526的1~4端口为VLAN 10,5~17为VLAN 20,18~24为VLAN 30,当然,这些属于同一VLAN的端口可以不连续,如何配置,由管理员决定,如果有多个交换机,例如,可以指定交换机 1 的1~6端口和交换机 2 的1~4端口为同一VLAN,即同一VLAN可以跨越数个以太网交换机,根据端口划分是目前定义VLAN的最广泛的方法,IEEE 802.1Q规定了依据以太网交换机的端口来划分VLAN的国际标准。
这种划分的方法的优点是定义VLAN成员时非常简单,只要将所有的端口都指定义一下就可以了。它的缺点是如果VLAN A的用户离开了原来的端口,到了一个新的交换机的某个端口,那么就必须重新定义.
这种划分VLAN的方法是根据每个主机的MAC地址来划分,即对每个MAC地址的主机都配置他属于哪个组。这种划分VLAN的方法的最大优点就是当用户物理位置移动时,即从一个交换机换到其他的交换机时,VLAN不用重新配置,所以,可以认为这种根据MAC地址的划分方法是基于用户的VLAN,这种方法的缺点是初始化时,所有的用户都必须进行配置,如果有几百个甚至上千个用户的话,配置是非常累的。而且这种划分的方法也导致了交换机执行效率的降低,因为在每一个交换机的端口都可能存在很多个VLAN组的成员,这样就无法限制广播包了。另外,对于使用笔记本电脑的用户来说,他们的网卡可能经常更换,这样,VLAN就必须不停的配置。
2、基于网络层划分VLAN
这种划分VLAN的方法是根据每个主机的网络层地址或协议类型(如果支持多协议)划分的,虽然这种划分方法是根据网络地址,比如IP地址,但它不是路由,与网络层的路由毫无关系。它虽然查看每个数据包的IP地址,但由于不是路由,所以,没有RIP,OSPF等路由协议,而是根据生成树算法进行桥交换, 这种方法的优点是用户的物理位置改变了,不需要重新配置所属
的VLAN,而且可以根据协议类型来划分VLAN,这对网络管理者来说很重要,还有,这种方法不需要附加的帧标签来识别VLAN,这样可以减少网络的通信量。
这种方法的缺点是效率低,因为检查每一个数据包的网络层地址是需要消耗处理时间的(相对于前面两种方法),一般的交换机芯片都可以自动检查网络上数据包的以太网祯头,但要让芯片能检查IP帧头,需要更高的技术,同时也更费时。当然,这与各个厂商的实现方法有关。
3、根据IP组播划分VLAN
IP 组播实际上也是一种VLAN的定义,即认为一个组播组就是一个VLAN,这种划分的方法将VLAN扩大到了广域网,因此这种方法具有更大的灵活性,而且也很容易通过路由器进行扩展,当然这种方法不适合局域网,主要是效率不高。
鉴于当前业界VLAN发展的趋势,考虑到各种VLAN划分方式的优缺点,为了最大程度上地满足用户在具体使用过程中需求,减轻用户在VLAN的具体使用和维护中的工作量,Quidway S系列交换机采用根据端口来划分VLAN的方法。
(二) 三层交换技术
为了适应网络应用深化带来的挑战,在过去的20年里,网络在速度和网段这两个技术方向急剧发展。在速度方面,给用户提供了更高的带宽:局域网的速度已从最初的10Mbit/s提高到100Mbit/s,目前千兆以太网技术已得到普遍应用。
同时FDDI和ATM技术给用户带来了提高网络速度的更多的选择。在网段方面也有了质的突破:已从早期的共享介质的局域网发展到目前的交换式局域网。交换式局域网技术使专用的带宽为用户所独享,极大的提高了局域网传输的效率。可以说,在网络系统集成的技术中,直接面向用户的第一层接口和第二层交换技术方面已得到令人满意的答案。但是,作为网络核心、起到网间互连作用的路由器技术却没有质的突破。传统的路由器基于软件,协议复杂,与局域网速度相比,其数据传输的效率较低。但同时它又作为网段(子网,虚拟网)互连的枢纽,这就使传统的路由器技术面临严峻的挑战。随着Internet/Intranet的迅猛发展和B/S(浏览器/服务器)计算模式的广泛应用,跨地域、跨网络的业务急剧增长,业界和用户深感传统的路由器在网络中的
瓶颈效应。改进传统的路由技术迫在眉睫。在这种情况下,一种新的路由技术应运而生,这就是第三层交换技术:说它是路由器,因为它可操作在网络协议的第三层,是一种路由理解设备并可起到路由决定的作用;说它是交换器,是因为它的速度极快,几乎达到第二层交换的速度。
(三) 静态NAT技术
所谓网络地址转换是指在一个企业网络内部,根据需要随意自定义IP地址(不需要经过申请),即内部IP地址。在本组织内部,各计算机间通过内部IP地址进行通信。当组织内部的计算机要与外部网络进行通信时,具有路由器NAT功能的设备(如路由器)负责将其内部IP地址转换为外部IP地址,即以该组织申请的合法IP地址进行通信。简而言之,路由器NAT就是通过某种方式将IP地址进行转换。在网络中路由器NAT有以下几种应用:
1. 连接Internet,但不想让网络内的所有计算机都拥有一个真正的Internet IP地址。这时借助NAT可以将申请的合法IP地址统一管理,当内部的计算机需要和互联网通信时,动态或静态地将内部IP地址转换为合法的IP地址。
2. 如果不想让外部网络了解内部的网络结构,可以通过NAT将内部网络与外部隔离开,外部用户根本不知道内部IP地址。
3. 申请的合法IP地址很少,而内部网络用户很多。此时,可以通过路由器NAT实现多个用户同时共用一个合法IP地址与外部网络进行通信。
通过路由器实现路由器NAT,要求路由器至少要有一个Inside(内部)端口和一个Outside(外部)端口。内部端口连接的网络内用户使用私有IP地址,即内部端口连接内部网络,且内部端口可以与任意一个中心交换机交换端口相联(一般为RJ45口)。外部端口连接的是外部网络,如Internet。外部端口也可以与电信提供的光纤(需转换到RJ45接口)线路相联。
一般来讲,路由器设置在内部网与外部公用网连接处的路由器上。当IP数据包离开内部网时,路由器NAT负责将内部IP地址转换成合法IP地址。当IP数据包进入内部网时,NAT将合法IP目的地址转换成内部IP地址。这
里要特别注意,启用路由器NAT功能的路由器,一定不能将内部网络路由信息广播到外部。
NAT设置分为静态地址转换(Static NAT)、动态地址转换(Dynamic NAT)、复用(overloading)动态地址转换。下面分别讲述这几种方式的配置方法: 静态地址转换配置 这里将内部本地地址与内部合法地址进行一对一的转换,且需要指定和哪个合法地址进行转换。如果内部网络有E-mail或FTP等可以为外部用户提供服务的服务器,这些服务器的IP地址必须采用静态地址转换,以便外部用户可以使用这些服务。
(四) 路由器
路由器:连接因特网中各局域网、广域网的设备,它会根据信道的情况自动选择和设定路由,以最佳路径,按前后顺序发送信号的设备。 路由器英文名Router,路由器是互联网络的枢纽、"交通警察"。目前路由器已经广泛应用于各行各业,各种不同档次的产品已经成为实现各种骨干网内部连接、骨干网间互联和骨干网与互联网互联互通业务的主力军。
路由器是互联网的主要节点设备。路由器通过路由决定数据的转发。转发策略称为路由选择(routing),这也是路由器名称的由来(router,转发者)。作为不同网络之间互相连接的枢纽,路由器系统构成了基于 TCP/IP 的国际互联网络 Internet 的主体脉络,也可以说,路由器构成了 Internet 的骨架。它的处理速度是网络通信的主要瓶颈之一,它的可靠性则直接影响着网络互连的质量。
(五) ASA防火墙技术
防火墙是专用的网络安全设备,它采用综合的网络技术,是设置在被保护网络和外部不可信任网络之间的一道关卡,用以分隔被保护网络与外部网络系统,防止发生不可预测的恶意入侵。它是不同网络或网络安全域之间信息的唯一出入口,能根据相应的安全政策控制出入信息流,防止非法信息流入被保护的网络内。安全路由器通常是集常规路由与网络安全功能于一身的网络安全设备,从主要功能来讲,它还是一个路由器,主要承担网络中的路由交换任务,只不过更多地具备了安全功能,包括可以内置防火墙模块。 一
般来说,高性能安全路由器具有以下主要功能:
ASA属于四类防火墙中的第四种--软硬件结合的防火墙,它的设计是为了满足高级别的安全需求,以较好的性能价格比提供严密的、强有力的安全防范。除了具备第四类防火墙的共同特性,并囊括了IOS Firewall Feature Set的应有功能。
Cisco的ASA Firewall能同时支持16,000多路TCP对话,并支持数万用户而不影响用户性能,在额定载荷下,ASA Firewall的运行速度为45Mbps,支持T3速度,这种速度比基于UNIX的防火墙快十倍。
三 网络需求分析及总体设计
SW1
Switch>en
Switch#conf t
Switch(config)hostname SW1
SW1(config)#vtp domain cisco
SW1(config)vtp password cisco
SW1(config)vtp mode client
SW1(config)inertface rang f 0/1 – 10
SW1(config-if)switchport access vlan 10
SW1(config-if)exit
SW1(config)interface rang f0/11 – 20
SW1(config-if)switchport access vlan 20
SW1(config-if)exit
SW1(config)interface rang f 0/47 – 48
SW1(config-if) des link to 3560
SW1(config-if) channel-group 1 mode on
SW1(config-if)switchport mode trunk
mst配置
SW1(config)spanning-tree mode mst
SW1(config-mst)instance 0 vlan 10,20,30,40
SW1(config-mst)instance 1 vlan 50,60,70
2960-1基本配置
Switch>en
Switch#conf t
Switch(config)hostname 3560-1
2960-1(config)#vtp domain cisco
2960-1(config)vtp password cisco
2960-1(config)vtp mode client
2960-1(config)inertface rang f 0/1 – 10 2960-1(config-if)switchport access vlan 10 2960-1(config-if)exit
2960-1(config)interface rang f0/11 – 20 2960-1(config-if)switchport access vlan 20 2960-1(config-if)exit
2960-1(config)interface rang f 0/47 – 48 2960-1(config-if) des link to 3560
2960-1(config-if) channel-group 1 mode on 2960-1(config-if)switchport mode trunK mst配置
2960-1(config)spanning-tree mode mst
2960-1(config-mst)instance 0 vlan 10,20,30,40 2960-1(config-mst)instance 1 vlan 50,60,70
2960-2基本配置
Switch>en
Switch#conf t
Switch(config)hostname 3560-1
2960-2(config)#vtp domain cisco
2960-2(config)vtp password cisco
2960-2(config)vtp mode client
2960-2(config)inertface rang f 0/1 – 10 2960-2(config-if)switchport access vlan 20 2960-2(config-if)exit
2960-2(config)interface rang f0/11 – 20 2960-2(config-if)switchport access vlan 30 2960-2(config-if)exit
2960-2(config)interface rang f 0/47 – 48 2960-2(config-if) des link to 3560
2960-2(config-if) channel-group 1 mode on 2960-2(config-if)switchport mode trunK mst配置
2960-2(config)spanning-tree mode mst
2960-2(config-mst)instance 0 vlan 10,20,30,40 2960-2(config-mst)instance 1 vlan 50,60,70
2960-3基本配置
Switch>en
Switch#conf t
Switch(config)hostname 2960-3
2960-3(config)#vtp domain cisco
2960-3(config)vtp password cisco
2960-3(config)vtp mode client
2960-3(config)inertface rang f 0/1 – 10 2960-3(config-if)switchport access vlan 20 2960-3(config-if)exit
2960-3(config)interface rang f0/11 – 20 2960-3(config-if)switchport access vlan 30 2960-3(config-if)exit
2960-3(config)interface rang f 0/47 – 48 2960-3(config-if) des link to 3560
2960-3(config-if) channel-group 1 mode on 2960-3(config-if)switchport mode trunK mst配置
2960-3(config)spanning-tree mode mst
2960-3(config-mst)instance 0 vlan 10,20,30,40 2960-3(config-mst)instance 1 vlan 50,60,70
2960-4基本配置
Switch>en
Switch#conf t
Switch(config)hostname 2960-4
2960-4(config)#vtp domain cisco
2960-4(config)vtp password cisco
2960-4(config)vtp mode client
2960-4(config)inertface rang f 0/1 – 10 2960-4(config-if)switchport access vlan 20 2960-4(config-if)exit
2960-4(config)interface rang f0/11 – 20 2960-4(config-if)switchport access vlan 30 2960-4(config-if)exit
2960-4(config)interface rang f 0/47 – 48 2960-4(config-if) des link to 3560
2960-4(config-if) channel-group 1 mode on 2960-4(config-if)switchport mode trunK mst配置
2960-4(config)spanning-tree mode mst
2960-4(config-mst)instance 0 vlan 10,20,30,40 2960-4(config-mst)instance 1 vlan 50,60,70
3560-1基本配置
Switch>en
Switch#conf t
Switch(config)hostname 3560-1
3560-1(config)#vtp domain cisco
3560-1(config)vtp password cisco
3560-1(config)vtp mode client
3560-1(config)int ra f 0/1 - 2
3560-1(config-if)channel-group 1 mode on 3560-1(config-if)sw mo tr
3560-1(config-if)des Link_To_4506-1 3560-1(config)int ra f 0/2 - 3
3560-1(config-if)channel-group 2 mode on 3560-1(config-if)sw mo tr
3560-1(config-if)des Link_To_4506-2 3560-1(config)int ra f 0/21 - 22
3560-1(config-if)channel-group 3 mode on 3560-1(config-if)sw mo tr
3560-1(config-if)des Link_To_2960-1 3560-1(config)int ra f 0/23 - 24
3560-1(config-if)channel-group 4 mode on 3560-1(config-if)sw mo tr
3560-1(config-if)des Link_To_2960-2 mst 配置
3560-1(config)spanning-tree mode mst
3560-1(config-mst)instance 0 vlan 10,20,30,40 3560-1(config-mst)instance 1 vlan 50,60,70
3560-2基本配置
Switch>en
Switch#conf t
Switch(config)hostname 3560-2
3560-2(config)#vtp domain cisco
3560-2(config)vtp password cisco
3560-2(config)vtp mode client
3560-2(config)int ra f 0/1 - 2
3560-2(config-if)channel-group 1 mode on 3560-2(config-if)sw mo tr
3560-2(config-if)des Link_To_4506-1 3560-2(config)int ra f 0/2 - 3
3560-2(config-if)channel-group 2 mode on 3560-2(config-if)sw mo tr
3560-2(config-if)des Link_To_4506-2 3560-2(config)int ra f 0/21 - 22
3560-2(config-if)channel-group 3 mode on 3560-2(config-if)sw mo tr
3560-2(config-if)des Link_To_2960-3 3560-2(config)int ra f 0/23 - 24
3560-2(config-if)channel-group 4 mode on 3560-2(config-if)sw mo tr
3560-2(config-if)des Link_To_2960-4 mst 配置
3560-2(config)spanning-tree mode mst
3560-2(config-mst)instance 0 vlan 10,20,30,40 3560-2(config-mst)instance 1 vlan 50,60,70
4506-1基本配置
Switch>en
Switch#conf t
Switch(config)hostname 4506-1
4506-1(config)#vtp domain cisco
4506-1(config)vtp password cisco
4506-1(config)vtp mode server
4506-1(config)vlan 10
4506-1(config-if)name JWC
4506-1(config)vlan 20
4506-1(config-if)name XSSS
4506-1(config)vlan 30
4506-1(config-if)name CWC
4506-1(config)vlan 40
4506-1(config-if)name JGSS
4506-1(config)vlan 50
4506-1(config-if)name JZX
4506-1(config)vlan 60
4506-1(config-if)name GLX
4506-1(config)vlan 70
4506-1(config-if)name JSJX
4506-1(config)vlan 100
4506-1(config-if)name FWQQ
4506-1(config)vlan 200
4506-1(config-if)name HuLianDiZhi
4506-1(config)interface rang f 0/1 - 2 4506-1(config-if)des 3560-a
4506-1(config-if)channel-group 1 mode on 4506-1(config-if)sw mo trunk
4506-1(config)interface rang f 0/3 - 4 4506-1(config-if)des 3560-b
4506-1(config-if)channel-group 2 mode on 4506-1(config-if)sw mo trunk
4506-1(config)interface rang f 0/5 - 6
4506-1(config-if)des Link_To_4506-2
4506-1(config-if)channel-group 3 mode on
4506-1(config-if)sw mo trunk
4506-1(config-if)interface f0/24
4506-1(config-if)sw acc vlan 200
路由配置
4506-1(config)ip routing
4506-1(config)int vlan 10
4506-1(config-if)ip address 192.168.1.253 255.255.255.0 4506-1(config-if)no shut
4506-1(config)int vlan 20
4506-1(config-if) ip address 192.168.2.253 255.255.255.0 4506-1(config-if)no shut
4506-1(config)int vlan 30
4506-1(config-if) ip address 192.168.3.253 255.255.255.0 4506-1(config-if)no shut
4506-1(config)int vlan 40
4506-1(config-if) ip address 192.168.4.253 255.255.255.0 4506-1(config-if)no shut
4506-1(config)int vlan 50
4506-1(config-if) ip address 192.168.5.253 255.255.255.0 4506-1(config-if)no shut
4506-1(config)int vlan 60
4506-1(config-if) ip address 192.168.6.253 255.255.255.0 4506-1(config-if)no shut
4506-1(config)int vlan 70
4506-1(config-if) ip address 192.168.7.253 255.255.255.0 4506-1(config-if)no shut
4506-1(config)int vlan 100
4506-1(config-if) ip address 192.168.100.253 255.255.255.0 4506-1(config-if)no shut
4506-1(config)int vlan 200
4506-1(config-if)des Link_To_LuYouQi
4506-1(config-if) ip address 192.168.200.1 255.255.255.252 4506-1(config-if)no shut
4506-1(config)exit
4506-1(config)router ospf 0
4506-1(config-router)network 192.168.1.0 0.0.0.255 area 0 4506-1(config-router)network 192.168.2.0 0.0.0.255 area 0 4506-1(config-router)network 192.168.3.0 0.0.0.255 area 0 4506-1(config-router)network 192.168.4.0 0.0.0.255 area 0 4506-1(config-router)network 192.168.5.0 0.0.0.255 area 0 4506-1(config-router)network 192.168.6.0 0.0.0.255 area 0
4506-1(config-router)network 192.168.7.0 0.0.0.255 area 0 4506-1(config-router)network 192.168.100.0 0.0.0.255 area 0 4506-1(config-router)network 192.168.200.0 0.0.0.3 area 0 HSRP配置
4506-1(config)int vlan 10
4506-1(config)standby 1 ip 192.168.10.254
4506-1(config)standby 1 priority 120
4506-1(config)standby 1 preempt
4506-1(config)standby 1 track FastEthernet0/1
4506-1(config)standby 1 authentication password 4506-1(config)int vlan 20
4506-1(config)standby 1 ip 192.168.20.254
4506-1(config)standby 1 priority 120
4506-1(config)standby 1 preempt
4506-1(config)standby 1 track FastEthernet0/1
4506-1(config)standby 1 authentication password 4506-1(config)int vlan 30
4506-1(config)standby 1 ip 192.168.30.254
4506-1(config)standby 1 priority 120
4506-1(config)standby 1 preempt
4506-1(config)standby 1 track FastEthernet0/1
4506-1(config)standby 1 authentication password 4506-1(config)int vlan 40
4506-1(config)standby 1 ip 192.168.40.254
4506-1(config)standby 1 priority 120
4506-1(config)standby 1 preempt
4506-1(config)standby 1 track FastEthernet0/1
4506-1(config)standby 1 authentication password 4506-1(config)int vlan 50
4506-1(config)standby 1 ip 192.168.50.254
4506-1(config)standby 1 priority 120
4506-1(config)standby 1 preempt
4506-1(config)standby 1 track FastEthernet0/1
4506-1(config)standby 1 authentication password 4506-1(config)int vlan 60
4506-1(config)standby 1 ip 192.168.60.254
4506-1(config)standby 1 priority 120
4506-1(config)standby 1 preempt
4506-1(config)standby 1 track FastEthernet0/1
4506-1(config)standby 1 authentication password 4506-1(config)int vlan 70
4506-1(config)standby 1 ip 192.168.70.254
4506-1(config)standby 1 priority 120
4506-1(config)standby 1 preempt
4506-1(config)standby 1 track FastEthernet0/1 4506-1(config)standby 1 authentication password 4506-1(config)int vlan 80
4506-1(config)standby 1 ip 192.168.80.254
4506-1(config)standby 1 priority 120
4506-1(config)standby 1 preempt
4506-1(config)standby 1 track FastEthernet0/1 4506-1(config)standby 1 authentication password 4506-1(config)int vlan 90
4506-1(config)standby 1 ip 192.168.90.254
4506-1(config)standby 1 priority 120
4506-1(config)standby 1 preempt
4506-1(config)standby 1 track FastEthernet0/1 4506-1(config)standby 1 authentication password 4506-1(config)int vlan 100
4506-1(config)standby 1 ip 192.168.100.254 4506-1(config)standby 1 priority 120
4506-1(config)standby 1 preempt
4506-1(config)standby 1 track FastEthernet0/1 4506-1(config)standby 1 authentication password
mst配置
4506-1(config)spanning-tree mode mst
4506-1(config-mst)instance 0 vlan 10,20,30,40,50 4506-1(config-mst)instance 1 vlan 60,70,80,90,100 4506-1(config-mst)spanning-tree mst 1 priority 4096
4506-2基本配置
Switch>en
Switch#conf t
Switch(config)hostname 4506-2
4506-2(config)#vtp domain cisco
4506-2(config)vtp password cisco
4506-2(config)vtp mode client
4506-2(config)interface rang f 0/1 - 2
4506-2(config-if)channel-group 1 mode on
4506-2(config-if)sw mo trunk
4506-2(config)interface rang f 0/3 - 4
4506-2(config-if)channel-group 2 mode on
4506-2(config-if)sw mo trunk
4506-2(config)interface rang f 0/5 - 6
4506-2(config-if)channel-group 3 mode on
4506-2(config-if)sw mo trunk
4506-2(config-if)interface f0/24
4506-2(config-if)sw acc vlan 200
路由配置
4506-2(config)ip routing
4506-2(config)int vlan 10
4506-2(config-if) ip address 192.168.1.252 255.255.255.0 4506-2(config-if)no shut
4506-2(config)int vlan 20
4506-2(config-if) ip address 192.168.2.252 255.255.255.0 4506-2(config-if)no shut
4506-2(config)int vlan 30
4506-2(config-if) ip address 192.168.3.252 255.255.255.0 4506-2(config-if)no shut
4506-2(config)int vlan 40
4506-2(config-if) ip address 192.168.4.252 255.255.255.0 4506-2(config-if)no shut
4506-2(config)int vlan 50
4506-2(config-if) ip address 192.168.5.252 255.255.255.0 4506-2(config-if)no shut
4506-2(config)int vlan 60
4506-2(config-if) ip address 192.168.6.252 255.255.255.0 4506-2(config-if)no shut
4506-2(config)int vlan 70
4506-2(config-if) ip address 192.168.7.252 255.255.255.0 4506-2(config-if)no shut
4506-2(config)int vlan 100
4506-2(config-if) ip address 192.168.100.252 255.255.255.0 4506-2(config-if)no shut
4506-2(config)int vlan 200
4506-2(config-if)des Link_To_LuYouQi
4506-2(config-if) ip address 192.168.200.5 255.255.255.252 4506-2(config-if)no shut
4506-2(config)exit
4506-2(config)router ospf 0
4506-2(config-router)network 192.168.1.0 0.0.0.255 area 0 4506-2(config-router)network 192.168.2.0 0.0.0.255 area 0 4506-2(config-router)network 192.168.3.0 0.0.0.255 area 0 4506-2(config-router)network 192.168.4.0 0.0.0.255 area 0 4506-2(config-router)network 192.168.5.0 0.0.0.255 area 0 4506-2(config-router)network 192.168.6.0 0.0.0.255 area 0 4506-2(config-router)network 192.168.7.0 0.0.0.255 area 0 4506-2(config-router)network 192.168.100.0 0.0.0.255 area 0 4506-2(config-router)network 192.168.200.0 0.0.0.3 area 0
HSRP配置
4506-2(config)int vlan 10
4506-2(config)standby 1 ip 192.168.10.254 4506-2(config)standby 1 priority 99
4506-2(config)standby 1 preempt
4506-2(config)standby 1 track FastEthernet0/1 4506-2(config)standby 1 authentication password 4506-2(config)int vlan 20
4506-2(config)standby 1 ip 192.168.20.254 4506-2(config)standby 1 priority 99
4506-2(config)standby 1 preempt
4506-2(config)standby 1 track FastEthernet0/1 4506-2(config)standby 1 authentication password 4506-2(config)int vlan 30
4506-2(config)standby 1 ip 192.168.30.254 4506-2(config)standby 1 priority 99
4506-2(config)standby 1 preempt
4506-2(config)standby 1 track FastEthernet0/1 4506-2(config)standby 1 authentication password 4506-2(config)int vlan 40
4506-2(config)standby 1 ip 192.168.40.254 4506-2(config)standby 1 priority 99
4506-2(config)standby 1 preempt
4506-2(config)standby 1 track FastEthernet0/1 4506-2(config)standby 1 authentication password 4506-2(config)int vlan 50
4506-2(config)standby 1 ip 192.168.50.254 4506-2(config)standby 1 priority 99
4506-2(config)standby 1 preempt
4506-2(config)standby 1 track FastEthernet0/1 4506-2(config)standby 1 authentication password 4506-2(config)int vlan 60
4506-2(config)standby 1 ip 192.168.60.254 4506-2(config)standby 1 priority 99
4506-2(config)standby 1 preempt
4506-2(config)standby 1 track FastEthernet0/1 4506-2(config)standby 1 authentication password 4506-2(config)int vlan 70
4506-2(config)standby 1 ip 192.168.70.254 4506-2(config)standby 1 priority 99
4506-2(config)standby 1 preempt
4506-2(config)standby 1 track FastEthernet0/1 4506-2(config)standby 1 authentication password 4506-2(config)int vlan 80
4506-2(config)standby 1 ip 192.168.80.254
4506-2(config)standby 1 priority 99
4506-2(config)standby 1 preempt
4506-2(config)standby 1 track FastEthernet0/1 4506-2(config)standby 1 authentication password 4506-2(config)int vlan 90
4506-2(config)standby 1 ip 192.168.90.254
4506-2(config)standby 1 priority 99
4506-2(config)standby 1 preempt
4506-2(config)standby 1 track FastEthernet0/1 4506-2(config)standby 1 authentication password 4506-2(config)int vlan 100
4506-2(config)standby 1 ip 192.168.100.254 4506-2(config)standby 1 priority 99
4506-2(config)standby 1 preempt
4506-2(config)standby 1 track FastEthernet0/1 4506-2(config)standby 1 authentication password mst配置
4506-2(config)spanning-tree mode mst
4506-2(config-mst)instance 0 vlan 10 20,30,40,50 4506-2(config-mst)instance 1 vlan60,70,80,90,100
4506-2(config-mst)spanning-tree mst 0 priority 4096
基本配置
router(config)#int f0/1
router(config-if)#ip add 192.168.90.2 255.255.255.252 router(config-if)no shut
router(config)#int f0/2
router(config-if)#ip add 192.168.90.6 255.255.255.252 router(config-if)no shut
router(config)#int f1/1
router(config-if)#ip add 202.168.90.2 255.255.255.248 router(config-if)no shut
路由配置:
router(config)#router ospf 1
router(config-ospf)#network 192.168.90.0 0.0.0.7 a 0 router(config)ip route 0.0.0.0 0.0.0.0
nat配置
router(config)#access-list 1 per 192.168.0.0 0.0.255.255 router(config)#ip nat pool dianxin
router(config)#ip nat inside source list 1 pool DiZhiChi overload
router(config)#int f1/1
router(config-if)#ip nat outside
router(config)#int f0/1
router(config-if)#ip nat inside
router(config)#int f0/2
router(config-if)#ip nat inside
网络安全设备及vpn的配置
ASA防火墙配置
ASA(config)#nameif ethernet0 outside security0
ASA(config)#nameif ethernet1 inside security100
ASA(config)#nameif dmz security50
在缺省配置中,以太网0被命名为外部接口(outside),安全级别是0;以太网1被命名为内部接口(inside),安全级别是100.安全级别取值范围为1~99,数字越大安全级别越高。
ASA(config)#ip address outside 211.2.3.2 255.255.255.248
ASA(config)#ip address inside 192.168.10.0 255.255.255.0
ASA(config)#int e0
ASA(config)#nameif outside
ASA(config)#speed auto
ASA(config)#security-level 0
ASA(config)#duplex full
ASA(config)#ip address 211.2.3.2
ASA(config)#no shutdown
ASA(config)#int e1
ASA(config)#nameif intside
ASA(config)#speed auto
ASA(config)#security-level 100
ASA(config)#duplex full
ASA(config)#ip address 192.168.100.0
ASA(config)#no shutdown
ASA(config)#int e2
ASA(config)#nameif outside
ASA(config)#speed auto
ASA(config)# dmz security50
ASA(config)#duplex full
ASA(config)#ip address 192.168.90.0
ASA(config)#no shutdown
ASA(config)#nat (inside) 1 0 0
表示启用nat,内网的所有主机都可以访问外网
设置静态路由
ASA(config)#ip route 0.0.0.0 0.0.0.0 192.168.90.254
ASA(config)#ip route 192.168.0.0 255.255.0.0 192.168.0.254
(二)站点到站点VPN的配置
ASA(config)#int f0/0
ASA(config-if)#no shut
ASA(config-if)#ip add 192.168.90.254 255.255.255.0
配置到外网的默认路由
ASA(config)#ip route 0.0.0.0 0.0.0.0 211.2.3.1
ASA(config)#end
ASA(config)#crypto isakmp policy 1
ASA(config-isakmp)#authentication pre-share
ASA(config-isakmp)#hash sha
ASA(config-isakmp)#encryption 3des
ASA(config-isakmp)#group 2
ASA(config-isakmp)#exit
ASA(config)#crypto isakmp key secret address 211.3.4.2
ASA(config)#crypto ipsec transform-set aes_sha esp-3des esp-sha-hmac ASA(config)#int f0/1
ASA(config-if)#exit
ASA(config)#acc
ASA(config)#access-list 101 permit ip 192.168.0.0 0.0.255.255 10.10.0.0 0.0.255.255
ASA(config)#crypto map vpn_to_fb 10 ipsec-isakmp
ASA(config-crypto-map)#set peer 211.3.4.2
ASA(config-crypto-map)#match address 101
ASA(config-crypto-map)#set transform
ASA(config-crypto-map)#set transform-set aes_sha
ASA(config-crypto-map)#exit
ASA(config-if)#int f0/1
ASA(config-if)#crypto map vpn_to_fb
ASA(config-if)#exit
ASA(config)#access-list 102 deny ip 192.168.0.0 0.0.255.255 10.10.0 0.0.255.255 ASA(config)#access-list 102 permit ip any any
ASA(config)#int f0/0
ASA(config-if)#ip nat inside
ASA(config-if)#exit
ASA(config)#int f0/1
ASA(config-if)#ip nat outside
ASA(config-if)#exit
ASA(config)#ip nat inside source list 102 interface f0/1
配置一条到外网的默认路由
ASA(config)#ip route 0.0.0.0 0.0.0.0 211.3.4.1
ASA(config)#
(三)远程接入VPN的配置
ASA(config)#aaa new-model
ASA(config)#aaa authentication login renzheng local
ASA(config)#aaa authorization network shouquan local
ASA(config)#username cisco password 0 cisco
ASA(config)#ip local pool dizhichi 192.168.90.2 192.168.90.10 ASA(config)#crypto isakmp client configuration group zu
ASA(config-isakmp-group)#key mima
ASA(config-isakmp-group)#pool dizhichi
ASA(config-isakmp-group)#exit
ASA(config)#crypto dynamic-map ezmap 10
ASA(config-crypto-map)#set transform-set aes_sha
ASA(config-crypto-map)#reverse-route
ASA(config-crypto-map)#exit
ASA(config)#crypto map vpn_to_fb client authentication list renzheng ASA(config)#crypto map vpn_to_fb isakmp authorization list shouquan ASA(config)#crypto map vpn_to_fb client configuration address respond ASA(config)#crypto map vpn_to_fb 20 ipsec-isakmp dynamic ezmap