1、摘 要I摘 要本设计方案是关于小型企业局域网的设计,设计方案分为三个模块:交换模块、Internet 接入模块、远程访问模块。根据各部门职能不同把交换模块划分为不同的 VLAN,从而减少了广播冲突提高了传输效率,通过部署 ACL 限制用户的访问,有效地保护敏感数据,提高了网络安全性。借助三层交换机的路由功能,可以实现各 VLAN 间数据包高速转发,解决 VLAN 之间的传输瓶颈。Internet 接入模块功能主要通过路由器来实现,它的作用主要是建立外网和企业网的正常通信。使企业网的用户访问 Internet 同时 Internet 用户能在一定程度上访问企业网。通过配置 NAT(Net Add
2、ress Translation),不仅是企业网用户可以访问 Internet,而且对外隐藏企业网内部地址,从而实现地址保护。远程访问模块是针对移动用户设计的。通过 VPN( Virtual Private Network)技术可以在公共网络的两个端点间建立一条逻辑连接,使在外办公人员可以通过 Internet 访问公司内部网,极大地提高了办公效率,同时免去了高昂的专线租用费用。关键字:企业局域网、虚拟局域网、网络地址转换AbstractIIAbstractThis design proposal is about the design of small business local area
3、 network, which is divided into three modules: switching module, Internet access module, remote access module.According to the functions of different departments divide switching module into different VLAN, thus reducing the broadcast conflict and improving transmission efficiency, through the deplo
4、yment of ACL limit users access to a sub-network, Protect the sensitive data effective and improve network security. With the routing function of Layer 3Switch routing, each VLAN can be achieved the high-speed packet forwarding, solving the transmission bottleneck.Internet access module functions pr
5、imarily achieved through the router, which function is mainly the role of networks and enterprise networks outside the normal communication within the gateway. Then enterprise network users can access Internet while Internet users can access the corporate network to some extent. By configuring NAT (
6、Net Address Translation), not only the enterprise network users can access the Internet, but also achieved the protection of address by hiding the internal corporate network address. Remote Access Module is designed for mobile users. It could establish a logical connection in the two endpoints of pu
7、blic networks through the VPN (Virtual Private Network) technology , so that staff can access the corporate network over the Internet, greatly improved the office efficiency while eliminating the high cost of leased line.Keywords : Enterprise LAN, VLAN, NAT目 录III目 录摘 要 IABSTRACT.II目 录 III第一章 引 言 .11
8、.1 课题的背景 .11.2 国内外企业局域网建设现状 .11.3 企业局域网建设的目标与意义 .2第二章 可行性研究和需求分析 .42.1 技术可行性 .42.1.1 NAT 技术 .42.1.2 VLAN 技术 52.1.3 三层交换技术 .52.1.4 ACL 技术 .52.2 需求分析 .62.2.1 带宽性能需求 .62.2.2 网络安全需求 .62.2.3 应用服务需求 .62.3 设计所需环境 .72.3.1 硬件要求 .72.3.2 软件要求 .7第三章 系统设计方案 .83.1 系统设计原则 .83.1.1 实用性 .83.1.2 安全性 .83.1.3 可扩充性 .83.1
9、.4 可管理性 .8目 录IV3.1.5 高性能价格比 .93.2 网络设备选型 .93.3 系统总体设计和拓扑结构 .93.3.1 系统总体设计方案 103.3.2 VLAN 划分和 IP 地址规划 12第四章 交换模块 144.1 核心层交换机配置 144.1.1 设置核心交换机名称 144.1.2 启动三层交换机的路由功能 144.1.3 核心交换机接口设置 144.1.4 创建服务器群 VLAN7 154.1.5 配置静态路由 154.1.6 默认路由配置 164.2 汇聚层交换机配置 164.2.1 设置交换机名称 164.2.2 配置 G0/1 接口 .174.2.3 创建 VLA
10、N10-40 174.2.4 为各 VLAN 分配 IP 地址 174.2.5 将端口划入各个 VLAN 中 .184.2.6 启动 3560 交换机路由功能 .184.2.7 默认路由设置 194.3 DHCP 设置 194.3.1 配置 3560 为 DHCP 服务器 204.3.2 配置客户端自动获取 IP .21第五章 INTERNET 接入模块 .225.1 路由器基本参数配置 235.2 设置路由器 R-2811-A 各接口参数 .245.2.1 路由器 F0/0 接口配置 .255.2.2 路由器 F0/1 接口配置 .25目 录V5.2.3 验证路由器接口 IP 配置 .255
11、.3 NAT 设置 .265.3.1 设置路由器 NAT 275.3.2 定义内部外接口 275.3.3 配置路由器的路由功能 285.3.4 验证地址转换 295.4 路由器的安全问题 295.4.1 对外禁用 telnet 协议 .305.4.2 对外禁用 snmp、snmptrap .305.4.3 对外屏蔽其他不安全的协议或服务 305.4.4 针对 DoS 攻击的设计 31第六章 远程访问模块 326.1 IPSec 远程接入 EVS 设置 .326.1.1 配置过程 326.1.2 认证策略 336.1.3 设置组策略 336.1.4 IKE 阶段 1 策略 346.1.5 动态加
12、密映射 346.1.6 静态加密映射 356.2 IPSec 远程接入 EVC 设置 .356.3 VPN 访问连接测试 .37总 结 .39参考文献 .40致 谢 .41第一章 引 言1第一章 引 言1.1 课题的背景随着近年来企业信息化建设的不断深入,企业的运作越来越融入计算机网络,企业的沟通、应用、财务、决策、会议等数据流都在企业网络上传输,全球的企业都在快速的进入一个崭新的网络信息时代,企业信息化建设已经成为衡量一个企业实力的重要标志。通过信息化提高企业的竞争力已成为大多数企业的共识。 在现在企业中,普遍存在资金不足、信息基础薄弱、技术人员匮乏等特点,使得他们不能有效地将自身传统业务与
13、信息系统很好的结合起来,以至于常常会出现投入不见效的情况。究其原因,在于企业信息化观念不够,信息系统没有总体设计原则,信息化建设缺乏规划,致使企业协同运作存在障碍,运营成本居高不下。作为企业的局域网,它不仅可以为企业提供高效的办公环境,还可以实现硬件资源和软件资源的共享从而节省了企业大量开支,又便于集中管理和提高工作效率。其次企业局域网要实现内部网络与外部网络的连接,从而极大的方便了企业和外界的沟通,这样不仅可以降低企业的生产成本,也可以实现异地办公。企业用户可以方便地传输各类数据,开展各类网络应用。随着我国计算机网络技术尤其是 Internet 技术的高速发展,加快对企业局域网建设迫在眉睫。
14、因此构建一个“安全可靠、性能卓越、管理方便”的企业局域网,已经成为企业信息化建设成功的关键基石。 本课题的设计需要综合运用各种知识来完成本课题,不仅可以使我进一步掌握计算机网络原理、熟悉企业局域网的设计搭建,而且可以增强了我的自学能力和动手能力。1.2 国内外企业局域网建设现状目前,计算机网络被广泛应用于个人、工商业、教育业、各级政府、各种军事单位等多种场合,社会各部门都可以通过网络实现信息快捷可靠的无缝连第一章 引 言2接和共享,计算机网络已遍及社会的每个领域,成为当今社会的一个基本元素。国外欧美的发达国家的企业在局域网建设走的比较早,随着网络技术的不断进步以及通信产品技术的不断完善,现在欧
15、美发达国家企业局域网建设完全达到了办公自动化,而且宽带大,速度快,超过一半以上的企业拥有自己的网站,成为对外联络的主要窗口,企业内部网络安全等级较高。国内企业局域网建设近年来有了长足的发展,但和欧美发达国家的企业局域网相比还有着明显的不足主要体现在:1、低水平重复建设且成本高昂:各部门拥有相对独立的信息系统,资源分散于各部门之中,容易形成信息孤岛。2、管理信息和反馈信息不能迅速传递:随着企业的发展,数据信息流不断增加,对于各部门管理提出了快速响应的要求。随着计算机网络技术的飞速发展,与社会生活关系最紧密的局域网也得到越来越广泛的应用事实上,局域网已是目前应用最广泛的一类网络。局域网拥有组建灵活
16、、功能强大、维护便捷等优点,也正因为这样,局域网才成为计算机网络领域的明星,受到越来越多用户的欢迎;也正是因为局域网的出现,使计算机网络的威力获得了更充分的发挥,使得计算机网络在很短的时间内就深入到社会的各个领域。同时,局域网技术也因而成为目前最为活跃的技术领域之一,各类局域网层出不穷并得到了广泛的应用,极大地推进了整个社会的信息化发展。1.3 企业局域网建设的目标与意义企业信息化建设是国际信息化的基础和重要组成部分,是提高企业办事效率,提高企业综合素质,是企业不断迈上新的台阶,成为一流企业的有效措施。企业局域网的建设的目标是为全企业人员提供一个信息交流和合作平台,在需要连接 Internet
17、 时,以充分利用因特网上的资源,实现对外(企业与企业,第一章 引 言3企业与社会)的信息发布、交流与合作,对于企业的发展具有积极的社会意义与经济效益:1、扩大企业在社会上的影响力,提高其知名度,为外界了解企业文化提供一个简单、便捷的窗口。2、在整个企业内部提供一个良好的信息传递通道,企业内部的政策、资源、通知可以在全企业进行迅速传递。3、实现企业的办公自动化,有效地降低了办公地成本。4、企业的各级领导得以最快、最有效的方式对企业内部运作过程中的各种信息进行有效了解并采取有效措施,同时得到全面的决策支持。5、企业内部人员可以方便安全的访问外部因特网。6、流行、先进、合适的应用软件开发技术和办公自
18、动化系统,构造具体的应用环境。第二章 可行性研究和需求分析4第二章 可行性研究和需求分析2.1 技术可行性2.1.1 NAT 技术NAT 技术主要实现内部网络地址转换,静态 NAT 是把内部网络中的每个主机地址永久映射成外部网络中的某个合法地址,这样方便外网用户访问企业Web 网;动态地址 NAT 是采用把外部网络中的一系列合法地址使用动态分配的方法映射到内部网络;端口多路复用地址转换(PAT)是把内部地址映射到外部网络的一个 IP 地址的不同端口上,把企业内部网 IP 转换为公网 IP 地址,使内部用户可以方便的访问 Internet。目前,NAT 技术主要用于连接和安全方面。目前企业内部网
19、络用户数量大,而能申请的合法的全球唯一 IP 地址有限。NAT 能够有效的解决企业 IP 地址短缺问题,利用 NAT 技术能够实现多个用户共同使用一个合法的 IP 地址连接互联网。而另一种需要出于安全方面来考虑,在一定程度上防范网络攻击的发生。企业期望隐藏 LAN 内部网络结构,NAT 可以将内部 LAN 与外部 Internet 隔离,使外部网络用户无法了解通过 NAT 设置的内部 IP 地址。NAT 技术在企业中都采取两种技术类型结合应用,比较好的还是和端口复用地址转换。结合起来的技术如:端口复用地址转换、TCP/UDP 端口 NAT 映射、静态地址转换+端口复用地址转换、动态地址转换+端
20、口复用地址转换。我们知道,不同应用程序使用 TCP/UDP 端口是不同的,例如, WEB 服务器使用 80、FTP 服务使用 21、SMTP 服务使用 25、POP3 服务使用 110 等。由于每种应用服务器都有自己默认的端口,所以这种 NAT 方式下,网络内部每种应用服务器成为 Internet 中的主机,例如,只能有一台 WEB 服务器、一台E-mail 服务、一台 FTP 服务器。尽管可以采用改变默认端口的方式创建多台应用服务器,但这种服务器在访问时比较困难,要求用户必须先了解某种服务采用的新 TCP 端口。因此,可以将不同的 TCP 端口绑定至不同的内部 IP 地址,从而只使用一个 I
21、P 地址,即可在允许内部所有服务器被 Internet 访问的同时,第二章 可行性研究和需求分析5实现内部所有主机对 Internet 的访问。2.1.2 VLAN 技术根据各部门职能不同把各部门划入不同的 VLAN 减少了广播,提高了通信效率。VLAN(Virtual Local Area Network) 就是虚拟局域网的意思。 VLAN 可以不考虑用户的物理位置,而根据功能、应用等因素将用户从逻辑上划分为一个个功能相对独立的工作组,每个用户主机都连接在一个支持 VLAN 的交换机端口上并属于一个 VLAN。同一个 VLAN 中的成员都共享广播,形成一个广播域,而不同 VLAN 之间广播信
22、息是相互隔离的。这样,将整个网络分割成多个不同的广播域(VLAN)。 一般来说,如果一个 VLAN 里面的工作站发送一个广播,那么这个 VLAN 里面所有的工作站都接收到这个广播,但是交换机不会将广播发送至其他 VLAN 上的任何一个端口。如果要将广播发送到其它的 VLAN 端口,就要用到三层交换机。2.1.3 三层交换技术三层交换(也称多层交换技术,或 IP 交换技术)是相对于传统交换概念而提出的。众所周知,传统的交换技术是在 OSI 网络标准模型中的第二层数据链路层进行操作的,而三层交换技术是在网络模型中的第三层实现了数据包的高速转发。简单地说,三层交换技术就是:二层交换技术三层转发技术。
23、 三层交换技术的出现,解决了局域网中网段划分之后,网段中子网必须依赖路由器进行管理的局面,解决了传统路由器低速、复杂所造成的网络传输瓶颈问题。2.1.4 ACL 技术控制访问列表(Access Control List,ACL): ACL 可以限制网络流量、提高网络性能。例如,ACL 可以根据数据包的协议,指定数据包的优先级。 ACL 提供对通信流量的控制手段。例如,ACL 可以限定或简化路由更新信息的长度,从而限制通过路由器某一网段的通信流量。 ACL 是提供网络安全访问的基本手段。ACL 允许主机 A 访问人力资源网第二章 可行性研究和需求分析6络,而拒绝主机 B 访问。 ACL 可以在路
24、由器端口处决定哪种类型的通信流量被转发或被阻塞。例如,用户可以允许 E-mail 通信流量被路由,拒绝所有的 Telnet 通信流量。 例如:某部门要求只能使用 WWW 这个功能,就可以通过 ACL 实现; 又例如,为了某部门的保密性,不允许其访问外网,也不允许外网访问它,就可以通过 ACL 实现。2.2 需求分析2.2.1 带宽性能需求现代企业网络应具有更高的带宽,更强大的性能,以满足用户日益增长的通信需求。随着计算机技术的高速发展,基于网络的各种应用日益增多,今天的企业网络已经发展成为一个多业务承载平台,不仅要继续承载企业的办公自动化,Web 浏览等简单的数据业务,还要承载设计企业生产运营
25、的各种业务应用系统数据,以及带宽和要求很高的 IP 电话、视频会议等多媒体业务。因此,数据流量将大大增加,尤其对核心网络的数据交换能力提出了更高的要求。另外,随着千兆位端口成本的持续下降,千兆位到桌面的应用会在不久的将来成为企业网主流。构建一个畅通无阻的“高品质”企业局域网,才能适应网络规模的扩大,业务量的日益增长的需求。2.2.2 网络安全需求现代企业网需要提供更加完善的网络安全解决方案,以阻止病毒和黑客的攻击,减少企业的经济损失。传统企业网络的安全措施主要通过部署防火墙、IDS、杀毒软件以及配合交换机或路由器的 ACL 来实现对病毒和黑客攻击的防御。在企业网络已经成为公司生产运营的重要组成
26、部分的今天,现代企业网络必须有一整套从用户接入控制,病毒报文识别到主动抑制的一系列安全控制手段,这样才能保证企业网络的稳定运行。2.2.3 应用服务需求现代企业网络应具备更加智能的网络管理解决方案,以适应网络规模日益第二章 可行性研究和需求分析7扩大,维护工作更加复杂的需求。当前的网络已经发展成为“以应用为中心”的信息基础平台,网络管理能力的要求已经上升到了业务层次,传统网络设备的智能已经不能有效支持网络管理需求的发展。所以现代企业网络迫切需要网络设备支撑“以应用为中心”的智能网络运营维护的能力,并能够有一套智能化的管理软件,将网络管理人员从繁重的工作中解脱出来。2.3 设计所需环境2.3.1
27、 硬件要求安装有 Windows 2003/XP/Vista 操作系统的计算机,内存 512M 及以上,硬盘 80G 及以上。2.3.2 软件要求Packet Tracer 5.3第三章 系统设计方案8第三章 系统设计方案3.1 系统设计原则3.1.1 实用性 应当从实际情况出发,使之达到使用方便且能发挥效益的目的。采用成熟的技术和产品来建设该系统。要能将新系统与已有的系统兼容,保持资源的连续性和可用性。系统是安全的,可靠的。使用相当方便,不需要太多的培训即可容易的使用和维护。 3.1.2 安全性 采用各种有效的安全措施,保证网络系统和应用系统安全运行。安全包括4 个层面:网络安全,操作系统安
28、全,数据库安全,应用系统安全。由于Internet 的开放性,世界各地的 Internet 用户也可访问企业网络,企业网络将采用防火墙、数据加密等技术防止非法侵入、防止窃听和篡改数据、路由信息的安全保护来保证安全。同时要建立系统和数据库的磁带备份系统。3.1.3 可扩充性 采用符合国际和国内工业标准的协议和接口,从而使企业网络具有良好的开放性,实现与其他网络和信息资源的容易互联互通。并可以在网络的不同层次上增加节点和子网。一般包括开放标准、技术、结构、系统组件和用户接口等原则。在实用的基础上必须采用先进的成熟的技术,选购具有先进水平的计算机网络系统和设备。由于计算机技术的飞速发展和计算机网络技
29、术的日新月异,网络系统扩充能力的大小已变得非常重要,因此考虑网络系统的可扩充性是相当重要的。 3.1.4 可管理性设计网络时充分考虑网络日后的管理和维护工作,并选用易于操作和维护的网络操作系统,大大减轻网络运营时的管理和维护负担。采用智能化网络管理,最大程度地降低网络的运行成本和维护。 第三章 系统设计方案93.1.5 高性能价格比结合日益进步的科技新技术和校园的具体情况,制定合乎经济效益的解决方案,在满足需求的基础上,充分保障学校的经济效益。坚持经济性原则,力争用最少的钱办更多的事,以获得最大的经济效益3.2 网络设备选型表 3-1 网络设备选型型号 价格(单位:元) 说明Cisco Cat
30、alyst 3560G-24TS 18000 /台用于核心层交换机,具有 24个以太网 10/100/1000 端口4 个 SFP 千兆位以太网端口Cisco Catalyst 3560-24TS 8000/台用于汇聚层交换机,具有 24个以太网 10/100 端口 2 个小型 SFP 千兆位以太网端口CISCO WS-C2960-24TT 4000/台用于接入层交换机,具有 24个以太网 10/100 端口 2 个以太网 10/100/1000 端口Cisco 2811 7500/台 用于 Internet 接入路由器,具有两个快速以太网接口Cisco100BASE- FX 接口转换器 16
31、5 /个Cisco100BASE-FX 接口转换器可插入到 Cisco Catalyst 3750 系列、3560 系列和 2970系列交换机的千兆位以太网SFP 端口中第三章 系统设计方案103.3 系统总体设计和拓扑结构对于一个企业局域网,通常在设计上将它组织为核心层、汇聚层、接入层分别考虑。接入层节点直接连接用户计算机,它通常是一个部门或者一个楼层的交换机;汇聚层交换机的每个节点可以连接多个接入层节点,它通常是一个建筑物内部连接多个楼层交换机或者部门交换机的总交换机;核心层交换机节点连接多个汇聚层交换机,通常是企业中连接多个建筑物的总交换机的核心网络设备。1、核心层核心层的功能主要是实现
32、骨干网络之间的优化传输,复杂整个网络的网内数据交换。网络的功能控制最好尽量在骨干层上实施,核心层设计任务的重点是冗余能力、可靠性和高速传输。核心层一直被认为流量的最终承受着和汇聚者,所以要求核心交换机拥有较高的可靠性和性能。2、汇聚层汇聚层主要负责连接接入层节点和核心层,汇聚分散的接入点,扩大核心设备的端口密度和种类,汇聚各区域数据流量,实现骨干网络之间的优化传输。汇聚层交换机还负责本区域的数据交换,汇聚层交换机一般与中心交换机同类型,仍需较高的性能和较丰富功能。3、接入层接入层交换机作为二层交换网络设备,提供功能工作站等设备的网络接入。接入层在整个网络中接入交换机的数据最多,具有即插即用的特
33、性。对于此类交换机要求,一是价格合理;二是可管理性号,易于使用维护;三是稳定性要好。3.3.1 系统总体设计方案本企业局域网设计方案进行了适当和必要的简化,重点放在网络主干的设计与路由器交换机的配置上,同时还有 VLAN 的设计划分,而对于各类服务器的搭建只进行简单描述。图 3-1 为企业局域网总体拓扑结构图第三章 系统设计方案11图 3-1 企业局域网总体拓扑结构本方案采用典型的三层网络拓扑结构:接入层、汇聚层、核心层。在上面的拓扑结构图中,企业主要有 1 号办公楼、2 号办公楼、生产车间、职工公寓四个接入点通过千兆光纤链路接入到网络信息中心的核心交换机上。核心交换接通过连接 Cisco 2
34、811 路由器接入到外部因特网。第三章 系统设计方案123.3.2 VLAN 划分和 IP 地址规划在一个企业中 VLAN 的划分必不可少,VLAN 将广播域限制在单个 VLAN内部,减少了各 VLAN 间主机的广播通信对其他 VLAN 的影响。在 VLAN 间需要通信的时候,可以利用 VLAN 间路由技术来实现。在本设计方案中,根据各部门职能的不同把公司各部门划分到不同的 VLAN,然后再为服务器群单独划分一个 VLAN。表 3-1 VLAN 划分和 IP 地址规划设备名称 VLAN ID 网络地址 默认网关 描述S-3560-A 7 192.168.1.0/24 192.168.1.1/2
35、4 服务器群10 192.168.10.0/24 192.168.10.1/24 财务部20 192.168.20.0/24 192.168.20.1/24 人力部30 192.168.30.0/24 192.168.30.1/24 信息部S-3560-B40 192.168.40.0/24 192.168.40.1/24 总经办50 192.168.50.0/24 192.168.50.1/24 采购部60 192.168.60.0/24 192.168.60.1/24 业务部70 192.168.70.0/24 192.168.70.1/24 研发部S-3560-C80 192.168.5
36、0.0/24 192.168.50.1/24 管理部90 192.168.90.0/24 192.168.90.1/24 制造部S-3560-D100 192.168.100.0/24 192.168.100.1/24 品管部110 192.168.110.0/24 192.168.110.1/24 1 号公寓S-3560-E120 192.168.120.0/24 192.168.120.1/24 2 号公寓第三章 系统设计方案13表 3-2 设备端口 IP 地址分配设备名称 接 口 IP 地址F0/0 201.2.2.1R-2811-AF0/1 192.168.2.1G0/1 192.16
37、8.2.2G0/25 192.168.3.1G0/26 192.168.4.1G0/27 192.168.5.1S-3560-AG0/28 192.168.6.1S-3560-B G0/1 192.168.3.2S-3560-C G0/1 192.168.4.2S-3560-D G0/1 192.168.5.2S-3560-E G0/1 192.168.6.2第四章 交换模块14第四章 交换模块4.1 核心层交换机配置4.1.1 设置核心交换机名称设置交换机的名称,也就是出现在路由器 CLI 提示符中的名字 ,本设计中命名规则如下:类型-型号- 编号。以下命令设置核心交换机的名字为 S-356
38、0-A。SwitchenSwitch#config tSwitch(config)#hostname S-3560-A4.1.2 启动三层交换机的路由功能三层交换机具有路由功能但默认是未启动的,我们需要先启动路由功能,这样才能为不同 VLAN 路由数据包,从而实现各 VLAN 间的相互通信,以下命令是启动路由功能。S-3560-A(config)#ip routing /启动路由功能4.1.3 核心交换机接口设置S-3560-A(config)#int g0/1S-3560-A(config-if)#no switchport /二层端口转换成路由端口S-3560-A(config-if)#i
39、p add 192.168.2.2 255.255.255.0/为 G0/1 接口分配 IP 地址S-3560-A(config-if)#int g0/25 /进入 g0/25 端口S-3560-A(config-if)#no switchportS-3560-A(config-if)#ip add 192.168.3.1 255.255.255.0S-3560-A(config-if)#int g0/26第四章 交换模块15S-3560-A(config-if)#no switchportS-3560-A(config-if)#ip add 192.168.4.1 255.255.255.0
40、S-3560-A(config-if)#int g0/27S-3560-A(config-if)#no switchportS-3560-A(config-if)#ip add 192.168.5.1 255.255.255.0S-3560-A(config-if)#int g0/28S-3560-A(config-if)#no switchportS-3560-A(config-if)#ip add 192.168.6.1 255.255.255.0S-3560-A(config-if)#exit4.1.4 创建服务器群 VLAN7S-3560-A(config)#VLAN 7 /创建服务器
41、群 VLAN 7S-3560-A(config-VLAN)#name fwq /为 VLAN 命名为 fwqS-3560-A(config-VLAN)#int VLAN 7S-3560-A(config-if)#ip address 192.168.1.1 255.255.255.0/为 VLAN 分配 IP 地址S-3560-A(config-if)#int range g0/2-10/将 G0/2-G0/10 端口加入到 VLAN 7 中S-3560-A(config-if-range)#switchport access VLAN 74.1.5 配置静态路由S-3560-A(config
42、)#ip route 192.168.10.0 255.255.255.0 192.168.3.2 /VLAN 10 的数据流向 G0/25 端口S-3560-A(config)#ip route 192.168.20.0 255.255.255.0 192.168.3.2 S-3560-A(config)#ip route 192.168.30.0 255.255.255.0 192.168.3.2 第四章 交换模块16S-3560-A(config)#ip route 192.168.40.0 255.255.255.0 192.168.3.2 S-3560-A(config)#ip ro
43、ute 192.168.50.0 255.255.255.0 192.168.4.2/VLAN 50 的数据流向 G0/26 端口S-3560-A(config)#ip route 192.168.60.0 255.255.255.0 192.168.4.2 S-3560-A(config)#ip route 192.168.70.0 255.255.255.0 192.168.4.2 S-3560-A(config)#ip route 192.168.80.0 255.255.255.0 192.168.4.2 S-3560-A(config)#ip route 192.168.90.0 2
44、55.255.255.0 192.168.5.2/VLAN 90 的数据流向 G0/27 端口S-3560-A(config)#ip route 192.168.100.0 255.255.255.0 192.168.5.2 S-3560-A(config)#ip route 192.168.110.0 255.255.255.0 192.168.6.2/VLAN 110 的数据流向 G0/28 端口S-3560-A(config)#ip route 192.168.120.0 255.255.255.0 192.168.6.2 4.1.6 默认路由配置S-3560-A(config)#ip
45、route 0.0.0.0 0.0.0.0 192.168.2.1 /未知数据流向路由器 F0/1 端口4.2 汇聚层交换机配置依据楼宇位置不同我们所需四台 Cisco Catalyst 3560-24TS 交换机作为汇聚层交换机,在此我们仅以 1 号办公楼的汇聚层交换机加以说明,其它楼宇汇聚层交换机设置与此设置类似。第四章 交换模块174.2.1 设置交换机名称SwitchenSwitch#config t /进入全局配置模式Switch(config)#hostname S-3560-B /交换机命名为 S-3560-B4.2.2 配置 G0/1 接口S-3560-B(config)#in
46、t g0/1 /为 G0/1 分配 IP 地址S-3560-B(config-if)#no switchport S-3560-B(config-if)#ip add 192.168.3.2 255.255.255.0S-3560-B(config-if)#exit4.2.3 创建 VLAN10-40S-3560-B(config)#VLAN 10 /创建财务部 VLAN 10S-3560-B(config-VLAN)#name cwb /VLAN 10 命名为 cwbS-3560-B(config)#VLAN 20S-3560-B(config-VLAN)#name rlbS-3560-B(
47、config)#VLAN 30S-3560-B(config-VLAN)#name xxbS-3560-B(config)#VLAN 40S-3560-B(config-VLAN)#name zjb4.2.4 为各 VLAN 分配 IP 地址S-3560-B(config)#int VLAN 10 /进入 VLAN 10 S-3560-B(config-if)#ip address 192.168.10.1 255.255.255.0/为各 VLAN 分配 ip 地址第四章 交换模块18S-3560-B(config-if)#int VLAN 20S-3560-B(config-if)#ip
48、address 192.168.20.1 255.255.255.0S-3560-B(config-if)#int VLAN 30S-3560-B(config-if)#ip address 192.168.30.1 255.255.255.0S-3560-B(config-if)#int VLAN 40S-3560-B(config-if)#ip address 192.168.40.1 255.255.255.04.2.5 将端口划入各个 VLAN 中S-3560-B(config)#int range f0/1-5/将 F0/1-F0/5 端口划分到 VLAN 10S-3560-B(co
49、nfig-if-range)#switchport access VLAN 10S-3560-B(config-if)#int range f0/6-10S-3560-B(config-if-range)#switchport access VLAN 20S-3560-B(config-if)#int range f0/11-15S-3560-B(config-if-range)#switchport access VLAN 30S-3560-B(config-if)#int range f0/16-20S-3560-B(config-if-range)#switchport access VLAN 404.2.6 启动 3560 交换机路由功能S-3560-B(config)#ip routing /启动路由功能 实现各 VLAN 间通信在 Cisco Packet Tracer 上模拟不同 VLAN 间通信测试结果如图 5-1 所示。第四章 交换模块19图 5-1 VLAN 间通信测试4.2.7 默认路由设置未知流量通过 G0/1 接口流向核心交换机S-3560-B(config)#ip route 0.0.0.0 0.0.0.0 192.168.3.1 /未知流量流向核心交换机4.3 DH
