某企业组网方案

来源：华拓科技网

某企业网组网方案

姓名学号指导老师 xX xx xx

2009年12月21日

：：：

某企业网组网方案

前沿 .................................................................................................................................................. 3 第一章需求分析 ............................................................................................................................. 4

1.1 项目介绍............................................................................................................................ 4 1.2 项目方组网要求 ................................................................................................................ 4 1.3 接入点统计 ........................................................................................................................ 4 1.4 安全需求............................................................................................................................ 5 第二章网络设计原则 ..................................................................................................................... 5 第三章 IP地址以及Vlan规划 ....................................................................................................... 6

2.1 IP地址规划原则 ................................................................................................................. 6 2.2 具体设计............................................................................................................................ 7 第四章网络总体设计 ..................................................................................................................... 9

3.1 网络拓扑图 ........................................................................................................................ 9 3.2 网络拓扑描述 .................................................................................................................... 9 3.3 区域设计............................................................................................................................ 9 3.4 技术选型.......................................................................................................................... 10 3.5网络安全........................................................................................................................... 10 第五章设备选型 ........................................................................................................................... 14

4.1 设备选型.......................................................................................................................... 14 4.2 设备介绍.......................................................................................................................... 14 第六章设备配置与验证 ............................................................................................................... 16

5.1 接入层交换机配置 .......................................................................................................... 16 5.2接入层交换机配置验证 ................................................................................................... 18 5.3 核心交换机配置 .............................................................................................................. 19 5.4 核心交换机配置验证 ...................................................................................................... 22 5.5 出口设备配置 .................................................................................................................. 24 第七章参考文献 ........................................................................................................................... 26

某企业网组网方案

前沿

从1959年ARPA建立了ARPANET网开始，互联网只经过短短四十多年的发展，今天，网络已经开始对整个经济体系产生影响。网络将像电话、汽车等的发明一样产生深刻影响，并比他们的影响更深远。许多发达国家和一些发展中国家也相继提出了本国或本地区的信息基础设施计划。可以说，信息化程度已成为衡量一个国家现代化水平和综合国力强弱的重要标志。

“天下大势，顺之者昌，逆之者亡”，摆在我国大中小型企业面前的，已经不是要不要利用互联网的问题，而是如何应用的问题了。然而目前，中国的大多数企业，无论是对网络经济的认识，还是对网络手段的运用都远远不够，更谈不上利用网络经济提高竞争力、确立竞争优势。中国网络的发展，不仅实践上远远落后，理论上也是严重滞后，甚至出现误导，对网络对企业经济的影响认识不够许多企业并没有理解企业发展与网络的真正联系，没有意识到企业网络化发展带来的冲击、挑战和机遇。

如果网络没有被有效的利用到现代企业的发展中，那么中国企业的信息化建设将普遍滞后，未能从战略的高度把信息化作为企业自我发展的内在需求，未能把网络提供的市场机会和管理运营创新作为企业提高竞争力的有效途径和企业可持续发展的新的增长点。对大多数企业而言，成长方式、经营模式、运行机制和组织结构等都还沿着用工业经济条件下的那一套，很多企业内部联网都没有建立，远不能适应网络经济发展对企业的需要和要求。企业信息化滞后是构成网络经济发展的“瓶颈”，企业的良好发展当然也无从谈起。

基于上面一系列中国企业面临的信息化问题，中国企业能否实现信息化已经成为企业能否顺利发展的必要条件。信息技术作为新技术的核心.具有高增值性、高渗透性, 以极强的亲和力和扩散速度向经济各部门渗透，使其结构和效益发生根本性改变。信息化已成为当代经济发展与社会进步的巨大推力。

某企业网组网方案

第一章需求分析

1.1 项目介绍

该企业为了适应现代化办公需要，决定建设自己的网络。该企业分为新厂区和老厂区，该项目负责新厂区的组网方案。新厂区分为A区、B区、C区以及D区。A区为核心区域，严格控制其它区域访问控制。B区、C区和D区在建造时采用相同的设计结构。

1.2 项目方组网要求

1> 成本控制 2> 访问控制 3> 双出口

1.3 接入点统计

接入点统计如下表：

接入点统计区域 A区 B区 C区 D区总计接入点 240 120 120 120 600 流量 480

240 240 240 1200 某企业网组网方案

1.4 安全需求

1> 内部网络正常运转 2> 内部网络数据安全 3> 内部网络设备安全 4> 内部用户接入安全 5> 内部网络访问控制 6> 外部网络访问控制

第二章网络设计原则

运用国内外的成熟、先进技术，把握计算机网络发展的大趋势，结合实际情况、特点、使用需求及未来发展，提出以下建设原则：

1．经济使用性

升级扩容信息网络必须经济实用且具有很高的性能价格比。 2．系统可靠性和稳定性

系统的高可靠性和稳定性是网络系统应用环境正常运行的首要条件。在保证系统可靠性的基础上，进一步提高系统的可用性。网络的高可靠性、稳定性就是保证网络可以在任何时间、任何地点提供信息访问服务。设备要有可靠的质量，并支持热插拔特性及线路、电源备份，以保持一个稳定的运行环境。

3．系统实用性和可管理性

当今世界，通信技术和计算机技术的发展日新月异，网络设计既要适应新

技术发展的潮流，保证系统的先进性，选择代表世界先进水平的技术和设备，不使投资的设备在短时间内落伍。但也要兼顾技术的成熟性、标准性、实用性考虑，不采用还未成为标准的技术及设备接口，也要兼顾技术的成熟性、实用性降低由于新技术和新产品不成熟等因素给用户带来的风险。

网络设计中，选择先进的网络管理软件是必不可少的。通过这个管理平台的

某企业网组网方案

控制，监控主机、网络设备状态，故障报警，从而简化了管理工作，提高了主机系统和网络系统的利用效率。

4．系统可扩展性和开放性

在网络设计时，首先要满足现有规模网络用户和应用的需求，同时考虑未

来业务发展、规模的扩大，应该设计关键网络设备具备扩展能力以及网络实施新应用的能力。同时，设备应采用开放技术、支持标准协议，具有良好的互连互通性，能够支持同一厂家的不同系列的产品以及不同厂家的产品之间的无缝连接与通信。

灵活扩充性：灵活的端口扩充能力，模块扩充能力，满足网络规模的扩充。支持新应用的能力：产品具有支持新应用的技术准备，能够符合实际要求的，方便快捷地实施新应用。

在公司内采用统一的网络体系结构，统一网络协议。围绕着统一网络体系结构，确定网络互连结构，网络操作系统和网络应用。

5．系统安全性和保密性

安全性是网络运行的生命线。对人员、设备的安全有所考虑；对网络系统安全的考虑。硬件设备采用具有自主知识产权的设备，支持多种数字认证和加密方法，吗组电子政务网络安全性需求。网络架构方面，根据国家对电子政务网络的要求，实现内隔离。合理的网络安全控制，可以使应用环境中的信息资源得到有效的保护。网络可以阻止任何非法的操作；网络设备可进行基于协议、基于IP地址的包过滤控制功能，不同的业务，划分到不同的虚网中。

第三章 IP地址以及Vlan规划

2.1 IP地址规划原则

该企业使用私有IP地址来规划内网IP地址，选择172.16.0.0/16地址。 IP地址规划分为四块：用户地址、设备互联地址、设备管理地址以及服务器地址。

某企业网组网方案

用户IP地址：172.16.10.0/24—172.16.20.0/24 设备管理IP地址：172.16.9.0/24 设备互联IP地址：172.16.8.0/24 服务器IP地址：172.16.7.0/24

2.2 具体设计

1> 终端设备IP地址规划

终端设备IP以及Vlan规划区域 A区 B区 C区 D区 server1 server2 sever3 DMZ-server 网段 172.16.10.0/24 172.16.11.0/25 172.16.11.128/25 172.16.12.0/25 172.16.7.1/30 172.16.7.5/30 172.16.7.9/30 172.16.7.13/30 默认网关 172.16.10.1 172.16.11.1 172.16.11.128 172.16.12.1 172.16.7.2 172.16.7.6 172.16.7.10 172.16.7.14 vlan号 10 20 30 40 Vlan名 area-A area-B area-C area-D 2> 设备管理IP地址规划

设备管理IP地址规划区域管理IP/32 172.16.9.1 172.16.9.2 A区 172.16.9.4 172.16.9.5 B区 172.16.9.6 172.16.9.3 设备命名 Switch-A1 Switch-A2 Switch-A3 Switch-A4 Switch-A5 Switch-B1 某企业网组网方案

172.16.9.7 172.16.9.8 172.16.9.9 C区 172.16.9.10 172.16.9.11 172.16.9.12 D区 172.16.9.13 172.16.9.14

Switch-B2 Switch-B3 Switch-C1 Switch-C2 Switch-C3 Switch-D1 Switch-D2 Switch-D3 3> 设备互联IP地址规划

设备互联IP规划使用位置核心交换机核心交换机防火墙老厂区 IP网段备注 172.16.8.0/30 172.16.8.0/24网172.16.8.4/30 络用作设备IP

某企业网组网方案

第四章网络总体设计

3.1 网络拓扑图

3.2 网络拓扑描述

基于该企业现有结构，分为A区域、B区域、C区域、D区域，加上出口内部服务器群以及老厂区，分为七个模块来设计的。该网络设计的整体结构采用的是单核心单链路，使用防火墙做网络出口，按照企业的要求，为双出口，电线和联通。

3.3 区域设计

A区

某企业网组网方案

A区共有240个接入点，需要使用5台交换机，设计时，该区总流量为480M，选取设备完全能拿承受五个接入层交换机级联方式。使用一条千兆多模光纤和核心设备连接。

B区、C区、D区

该区120个接入点，需要使用3台交换机，级联后使用一条千兆上行线路和核心设备连接。

3.4 技术选型

参加设备配置章节。

3.5网络安全

这个企业的局域网是一个信息点较为密集的万兆局域网络系统，它所联接的现有上千个信息点为在整个企业内办公的各部门提供了一个快速、方便的信息交流平台。不仅如此，通过专线与Internet的连接，打通了一扇通向外部世界的窗户，各个部门可以直接与互联网用户进行交流、查询资料等。通过对外服务器，企业可以直接对外发布信息或者发送电子邮件。高速交换技术的采用、灵活的网络互连方案设计为用户提供快速、方便、灵活通信平台的同时，也为网络的安全带来了更大的风险。因此，实施一套完整、可操作的安全解决方案不仅是可行的，而且是必需的。

网络安全可以从以下几个方面来理解：网络物理是否安全

网络的物理安全主要指地震、水灾、火灾等环境事故；电源故障；人为操作失误或错误；设备被盗、被毁；电磁干扰；线路截获等。它是整个网络系统安全的前提。在这个企业区局域网内，由于网络的物理跨度不大，只要制定健全的安全管理制度，做好备份，并且加强网络设备和机房的管理，这些风险是可以避免

某企业网组网方案

的。

保证网络的物理安全主要包括三个方面：

环境安全：对系统所在环境的安全保护，如区域保护和灾难保护；（参见国家标准GB50173－93《电子计算机机房设计规范》、国标GB2887－《计算站场地技术条件》、GB9361－88《计算站场地安全要求》）

设备安全：主要包括设备的防盗、防毁、防电磁信息辐射泄漏、防止线路截获、抗电磁干扰及电源保护等；

媒体安全：包括媒体数据的安全及媒体本身的安全。网络平台是否安全

网络结构的安全涉及到网络拓扑结构、网络路由状况及网络的环境等。企业局域网内服务器区（包括对内、对外服务器）作为公司的信息发布和共享的平台，一旦不能运行或者受到攻击，对企业的声誉影响巨大。我们有必要将对外服务器、对内服务器、内部网络与外部网络进行隔离，避免网络结构信息外泄；同时还要对的服务请求加以过滤，只允许正常通信的数据包到达相应主机，其他的请求服务在到达主机之前就应该遭到拒绝。

安全的应用往往是建立在网络系统之上的。网络系统的成熟与否直接影响安全系统成功的建设。在这个企业局域网络系统中，使用了一台路由器和一个防火墙，用作与Internet连结的边界路由器，网络结构相对简单，具体配置时可以考虑使用静态路由，这就大大减少了因网络结构和网络路由造成的安全风险。防火墙具有以下五大基本功能：过滤进、出网络的数据；管理进、出网络的访问行为；封堵某些禁止的业务；记录通过防火墙的信息内容和活动；对网络攻击的检测和告警。系统是否安全

系统的安全是指整个局域网网络操作系统、网络硬件平台是否可靠且值得信任。没有完全安全的操作系统。但我们可以对现有的操作平台进行安全配置、对

某企业网组网方案

操作和访问权限进行严格控制，提高系统的安全性。因此，不但要选用尽可能可靠的操作系统和硬件平台。而且，必须加强登录过程的认证（特别是在到达服务器主机之前的认证），确保用户的合法性；其次应该严格登录者的操作权限，将其完成的操作在最小的范围内。应用是否安全

应用的安全性涉及到：机密信息泄露、未经授权的访问、破坏信息完整性、假冒、破坏系统的可用性等。由于这个企业局域网跨度不大，绝大部分重要信息都在内部传递，因此信息的机密性和完整性是可以保证的。对于有些特别重要的信息需要对内部进行保密的（比如财务系统传递的重要信息）可以考虑在应用级进行加密，针对具体的应用直接在应用系统开发时进行加密。此外，进行访问控制，内的隔离以及内部网不同网络安全域的隔离，是必须的。设置隔离区（DMZ），把邮件等服务器放到该区，并把该区的服务器映射到的合法地址上以便Internet网上用户访问。严禁Internet网上用户到企业内部网的访问。管理是否安全

管理是网络中安全最最重要的部分。责权不明，管理混乱、安全管理制度不健全及缺乏可操作性等都可能引起管理安全的风险，使得一些员工或管理员随便让一些非本地员工甚至外来人员进入机房重地，或者员工有意无意泄漏他们所知道的一些重要信息，而管理上却没有相应制度来约束。当网络出现攻击行为或网络受到其它一些安全威胁时（如内部人员的违规操作等），无法进行实时的检测、监控、报告与预警。同时，当事故发生后，也无法提供黑客攻击行为的追踪线索及破案依据，即缺乏对网络的可控性与可审查性。这就要求我们必须对站点的访问活动进行多层次的记录，及时发现非法入侵行为。

建立全新网络安全机制，必须深刻理解网络并能提供直接的解决方案，因此，最可行的做法是管理制度和管理解决方案的结合。

某企业网组网方案

人为恶意攻击手段

人为恶意攻击手段包括黑客攻击，恶意代码，病毒攻击，不满内部员工的破坏等。黑客们的攻击行动是无时无刻不在进行的，而且会利用系统和管理上的一切可能利用的漏洞。为了防止黑客入侵，需要设置服务器权限，使得它不离开自己的空间而进入另外的目录。另外，还应设置组，不允许任何使用服务器的人访问WWW页面文件以外的东西。在这个企业的局域网内我们可以综合采用防火墙技术、Web页面保护技术、入侵检测技术、安全评估技术来保护网络内的信息资源，防止黑客攻击。

网络反病毒技术包括预防病毒、检测病毒和消毒三种技术：

1.预防病毒技术：它通过自身常驻系统内存，优先获得系统的控制权，监视和判断系统中是否有病毒存在，进而阻止计算机病毒进入计算机系统和对系统进行破坏。这类技术有，加密可执行程序、引导区保护、系统监控与读写控制（如防病毒软件等）。

2.检测病毒技术：它是通过对计算机病毒的特征来进行判断的技术，如自身校验、关键字、文件长度的变化等。

3.清除病毒技术：它通过对计算机病毒的分析，开发出具有删除病毒程序并恢复原文件的软件。数据备份与恢复

数据的安全对企业来说是至关重要的，但是没有绝对的安全，因此对数据的备份是必不可少的。备份系统为一个目的而存在：尽可能快地全盘恢复运行计算机系统所需的数据和系统信息。根据系统安全需求可选择的备份机制有：场点内高速度、大容量自动的数据存储、备份与恢复；场点外的数据存储、备份与恢复；对系统设备的备份。备份不仅在网络系统硬件故障或人为失误时起到保护作用，也在入侵者非授权访问或对网络攻击及破坏数据完整性时起到保护作用，同时亦是系统灾难恢复的前提之一。

在确定备份的指导思想和备份方案之后，就要选择安全的存储媒介和技术进

某企业网组网方案

行数据备份，有“冷备份”和“热备份”两种。热备份是指“在线”的备份，即下载备份的数据还在整个计算机系统和网络中，只不过传到令一个非工作的分区或是另一个非实时处理的业务系统中存放。“冷备份”是指“不在线”的备份，下载的备份存放到安全的存储媒介中，而这种存储媒介与正在运行的整个计算机系统和网络没有直接联系，在系统恢复时重新安装，有一部分原始的数据长期保存并作为查询使用。热备份的优点是投资大，但调用快，使用方便，在系统恢复中需要反复调试时更显优势。热备份的具体做法是：可以在主机系统开辟一块非工作运行空间，专门存放备份数据，即分区备份；另一种方法是，将数据备份到另一个子系统中，通过主机系统与子系统之间的传输，同样具有速度快和调用方便的特点，但投资比较昂贵。冷备份弥补了热备份的一些不足，二者优势互补，相辅相成，因为冷备份在回避风险中还具有便于保管的特殊优点。

第五章设备选型

4.1 设备选型

具体设备选型参加下表：

设备选型设备类型核心设备接入层交换机出口设备数量 1 14 1 型号 RG-S5750S24GT/12SFP RG-2652G RG-WALL1600 4.2 设备介绍

核心交换机：RG-S5750S24GT/12SFP

RG-S5750系列是锐捷网络推出的融合了高性能、高安全、多智能、易用性的新一代万兆机架式多层交换机。

该系列交换机提供的接口形式和组合非常灵活，即可以提供24个或48个

某企业网组网方案

10/100/1000M自适应的千兆电口，又可以提供有24个SFP千兆光口，又能提供PoE远程供电的接口。

每种产品型号都配合提供了灵活的复用千兆口，满足网络建设中不同传输介质的连接需要。同时为满足网络的弹性扩展，和高带宽传输需要，可灵活弹性扩展多种类型的万兆模块和万兆堆叠模块。

特别适合高带宽、高性能和灵活扩展的大型网络汇聚层，中型网络核心，以及数据中心服务器群的接入使用。

该系列交换机硬件支持多层线速交换，并提供了丰富而完善的路由协议，以适合大型网络多种路由和高性能的需要。

RG-S5750系列交换机提供二到七层的智能的业务流分类、完善的服务质量（QoS）保证和组播应用管理特性。在提供高性能、多智能的同时，其内在的安全防御机制和用户接入管理能力，更可有效防止和控制病毒传播和网络攻击，控制非法用户接入网络，保证合法用户合理地使用网络资源，并可以根据网络实际使用环境，实施灵活多样的安全控制策略，充分保障了网络安全、网络合理化使用和运营。

RG-S5750系列交换机以极高的性价比为大型网络汇聚、中型网络核心、数据中心服务器接入提供了高性能、完善的端到端的服务质量、灵活丰富的安全设置和基于策略的网管，最大化满足高速、安全、智能的企业网需求。

接入交换机：RG-2652G

RG-S2300系列是锐捷网络为满足构建多业务支持，易管理，高安全网络量身定制的以太网交换机。灵活的端口形态为网络架构提供方便，也为未来网络扩展提供投资保护。支持混合堆叠，方便用户增加端口密度。

通过实施多种多样的安全策略，有效防止和控制网络病毒的扩散。更可提供基于硬件的IPv6 ACL，方便未来网络的升级扩展。高级QoS机制适应网络中多业务的顺利开展，为服务质量提供保证。

支持802.1x认证，控制非法用户使用网络，保障网络的合法使用。支持RADIUS协议，实现网络运营和计费，实现网络的运维。

某企业网组网方案

RG-S2300系列包括RG-S2328G和RG-S2352G两款，为各类型网络提供无阻塞线速转发和网络安全策略。

RG-S2300系列提供高达19.2G的背板带宽，实现所有端口线速转发。并提供固化2个千兆Combo口（2个千兆SFP光口和2个10/100/1000M电口复用），灵活实现千兆上联。更可提供2个扩展Combo口为未来网络扩展提供投资保护。

通过堆叠可在不改变网络拓扑的情况下扩展端口密度，通过混合堆叠，在现有网络端口密度情况下，灵便根据实际情况扩展多个24口或者48口设备。

防火墙：RG-WALL1600

RG-WALL系列采用锐捷网络独创的分类算法（Classification Algorithm）设计的新一代安全产品——第三类防火墙，支持扩展的状态检测（Stateful Inspection）技术，具备高性能的网络传输功能；同时在启用动态端口应用程序(如VoIP、H.323等)时，可提供强有力的安全信道。

采用锐捷独创的分类算法使得RG-WALL产品的高速性能不受策略数和会话数多少的影响，产品安装前后丝毫不会影响网络速度；同时，RG-WALL在内核层处理所有数据包的接收、分类、转发工作，因此不会成为网络流量的瓶颈。另外，RG-WALL具有入侵监测功能，可判断攻击并且提供解决措施，且入侵监测功能不会影响防火墙的性能。

RG-WALL的主要功能包括：扩展的状态检测功能、防范入侵及其它（如URL过滤、HTTP透明代理、SMTP代理、分离DNS、NAT功能和审计/报告等）附加功能。

第六章设备配置与验证

5.1 接入层交换机配置

仅以A区接入层交换机为例： Router>en

Router#vlan data

Router(vlan)#vlan 10 name area-A

某企业网组网方案

VLAN 10 added: Name: area-A Router(vlan)#exit APPLY completed. Exiting....

===========================Vlan配置========================= Router#conf t

Enter configuration commands, one per line. End with CNTL/Z. Router(config)#hos switch-A1 switch-A1(config)#int f0/0

switch-A1(config-if)#sw mode trunk switch-A1(config-if)#int range f0/1 - 15 switch-A1(config-if-range)#sw mod acc switch-A1(config-if-range)#sw acc vlan 10

*Mar 1 00:02:45.291: %DTP-5-TRUNKPORTON: Port Fa0/0 has become dot1q trunk switch-A1(config-if-range)#

switch-A1(config-if-range)#int vlan 10

switch-A1(config-if)#ip add 172.16.10.1 255.255.255.0 switch-A1(config-if)#end

=====================设备命名以及接口基本配置==================== switch-A1#conf t

Enter configuration commands, one per line. End with CNTL/Z. switch-A1(config)#ip dhcp excluded-address 172.16.10.1 switch-A1(config)#ip dhcp pool vlan10

switch-A1(dhcp-config)#network 172.16.10.0 /24 switch-A1(dhcp-config)#default-router 172.16.10.1 switch-A1(dhcp-config)#end

===========================DHCP配置================================ switch-A1#conf t

Enter configuration commands, one per line. End with CNTL/Z. switch-A1(config)#enable password 321 switch-A1(config)#line vty 0 4

switch-A1(config-line)#password abc switch-A1(config-line)#login switch-A1(config-line)#exit

switch-A1(config)#line console 0 switch-A1(config-line)#password 123 switch-A1(config-line)#login switch-A1(config-line)#exit switch-A1(config)#

==========================登陆密码配置==========================

某企业网组网方案

5.2接入层交换机配置验证

switch-A1#show vlan-s

VLAN Name Status Ports ---- -------------------------------- --------- ------------------------------- 1 default active

10 area-A active Fa0/1, Fa0/2, Fa0/3, Fa0/4 Fa0/5, Fa0/6, Fa0/7, Fa0/8 Fa0/9, Fa0/10, Fa0/11, Fa0/12 Fa0/13, Fa0/14, Fa0/15 1002 fddi-default active 1003 token-ring-default active 1004 fddinet-default active 1005 trnet-default active

VLAN Type SAID MTU Parent RingNo BridgeNo Stp BrdgMode Trans1 Trans2 ---- ----- ---------- ----- ------ ------ -------- ---- -------- ------ ------

1 enet 100001 1500 - - - - - 1002 1003 10 enet 100010 1500 - - - - - 0 0 1002 fddi 101002 1500 - - - - - 1 1003 1003 tr 101003 1500 1005 0 - - srb 1 1002 1004 fdnet 101004 1500 - - 1 ibm - 0 0 1005 trnet 101005 1500 - - 1 ibm - 0 0 switch-A1#show ip int b

Interface IP-Address OK? Method Status Protocol FastEthernet0/0 unassigned YES unset up up FastEthernet0/1 unassigned YES unset up up FastEthernet0/2 unassigned YES unset up down FastEthernet0/3 unassigned YES unset up down FastEthernet0/4 unassigned YES unset up down FastEthernet0/5 unassigned YES unset up down FastEthernet0/6 unassigned YES unset up down FastEthernet0/7 unassigned YES unset up down FastEthernet0/8 unassigned YES unset up down FastEthernet0/9 unassigned YES unset up down FastEthernet0/10 unassigned YES unset up down FastEthernet0/11 unassigned YES unset up down FastEthernet0/12 unassigned YES unset up down FastEthernet0/13 unassigned YES unset up down FastEthernet0/14 unassigned YES unset up down FastEthernet0/15 unassigned YES unset up down Vlan1 unassigned YES unset up up

某企业网组网方案

Vlan10 172.16.10.1 YES manual up up switch-A1#show int status

Port Name Status Vlan Duplex Speed Type

Fa0/0 connected trunk a-full a-100 10/100BaseTX Fa0/1 connected 10 a-full a-100 10/100BaseTX Fa0/2 notconnect 10 auto auto 10/100BaseTX Fa0/3 notconnect 10 auto auto 10/100BaseTX Fa0/4 notconnect 10 auto auto 10/100BaseTX Fa0/5 notconnect Fa0/6 notconnect Fa0/7 notconnect Fa0/8 notconnect Fa0/9 notconnect Fa0/10 notconnect Fa0/11 notconnect Fa0/12 notconnect Fa0/13 notconnect Fa0/14 notconnect Fa0/15 notconnect switch-A1#

5.3 核心交换机配置

Router>en Router#conf t

Enter configuration commands, one per line. Router(config)#hos core core(config)#end core#vlan data

core(vlan)#vlan 10 name area-A VLAN 10 added: Name: area-A

core(vlan)#vlan 20 name area-B VLAN 20 added: Name: area-B

core(vlan)#vlan 30 name area-C VLAN 30 added: Name: area-C

core(vlan)#vlan 40 name area-D VLAN 40 added: Name: area-D core(vlan)#exit

10 auto 10 auto 10 auto 10 auto 10 auto 10 auto 10 auto 10 auto 10 auto 10 auto 10 auto End with CNTL/Z. auto 10/100BaseTX auto 10/100BaseTX auto 10/100BaseTX auto 10/100BaseTX auto 10/100BaseTX auto 10/100BaseTX auto 10/100BaseTX auto 10/100BaseTX auto 10/100BaseTX auto 10/100BaseTX auto 10/100BaseTX 某企业网组网方案

APPLY completed. Exiting....

============================Vlan配置=========================== core#conf t

Enter configuration commands, one per line. End with CNTL/Z. core(config)#int vlan 10

core(config-if)#ip add 172.16.10.1 255.255.255.0 core(config-if)#int vlan 20

core(config-if)#ip add 172.16.11.1 255.255.255.128 core(config-if)#int vlan 30

core(config-if)#ip add 172.16.11.128 255.255.255.128 Bad mask /25 for address 172.16.11.128 core(config-if)#int vlan 40

core(config-if)#ip add 172.16.12.1 255.255.255.128 core(config-if)#end

*Mar 1 00:00:46.687: %SYS-5-CONFIG_I: Configured from console by console core#

*Mar 1 00:00:49.939: %SYS-5-CONFIG_I: Configured from console by console core#conf t

Enter configuration commands, one per line. End with CNTL/Z. core(config)#int range f0/0 - 3

core(config-if-range)#sw mod trunk core(config-if-range)#int range f0/4 - 8 core(config-if-range)#no switch core(config-if-range)#int f0/0

core(config-if)#description conn-to-area-A core(config-if)#int f0/1

core(config-if)#description conn-to-area-B core(config-if)#int f0/2

core(config-if)#description conn-to-area-c core(config-if)#int f0/3

core(config-if)#description conn-to-area-D core(config-if)#int f0/4

core(config-if)#description conn-t0-server-A

core(config-if)#ip add 172.16.7.1 255.255.255.252 core(config-if)#int f0/5

core(config-if)#description conn-to-server-B

core(config-if)#ip add 172.16.7.5 255.255.255.252 core(config-if)#int f0/6

core(config-if)#description conn-to-server-C

core(config-if)#ip add 172.16.7.9 255.255.255.252 core(config-if)#int f0/7

core(config-if)#ip add 172.16.8.1 255.255.255.252 core(config-if)#description conn-to-old-fac

某企业网组网方案

core(config-if)#int f0/8

core(config-if)#ip add 172.16.8.5 255.255.255.252 core(config-if)#description conn-to-firewall core(config-if)#end core#

*Mar 1 00:01:10.767: %DTP-5-TRUNKPORTON: Port Fa0/0-1 has become dot1q trunk *Mar 1 00:01:11.251: %SYS-5-CONFIG_I: Configured from console by console

*Mar 1 00:01:11.267: %LINEPROTO-5-UPDOWN: Line protocol on Interface Vlan10, changed state to up

*Mar 1 00:01:11.267: %LINEPROTO-5-UPDOWN: Line protocol on Interface Vlan20, changed state to up

*Mar 1 00:01:11.275: %LINEPROTO-5-UPDOWN: Line protocol on Interface Vlan30, changed state to up

*Mar 1 00:01:11.283: %LINEPROTO-5-UPDOWN: Line protocol on Interface Vlan40, changed state to up

*Mar 1 00:01:13.631: %LINEPROTO-5-UPDOWN: Line protocol on Interface FastEthernet0/4, changed state to down

*Mar 1 00:01:13.695: %LINEPROTO-5-UPDOWN: Line protocol on Interface FastEthernet0/5, changed state to down

*Mar 1 00:01:13.711: %LINEPROTO-5-UPDOWN: Line protocol on Interface FastEthernet0/6, changed state to down

*Mar 1 00:01:13.719: %LINEPROTO-5-UPDOWN: Line protocol on Interface FastEthernet0/7, changed state to down

*Mar 1 00:01:13.751: %LINEPROTO-5-UPDOWN: Line protocol on Interface FastEthernet0/8, changed state to up

================================基本接口配置================================ core#conf t

Enter configuration commands, one per line. End with CNTL/Z. core(config)#router ospf 100

core(config-router)#net 172.16.10.0 0.0.0.255 a 0 core(config-router)#net 172.16.11.0 0.0.0.127 a 0 core(config-router)#net 172.16.11.128 0.0.0.127 a 0 core(config-router)#net 172.16.12.0 0.0.0.127 a 0 core(config-router)#net 172.16.8.0 0.0.0.3 a 0 core(config-router)#net 172.16.8.4 0.0.0.3 a 0 core(config-router)#net 172.16.7.0 0.0.0.3 a 0 core(config-router)#net 172.16.7.4 0.0.0.3 a 0 core(config-router)#net 172.16.7.8 0.0.0.3 a 0 core(config-router)#exit

===============================路由配置======================== core(config)#

core(config)#$ 110 deny ip 172.16.11.0 0.0.0.127 172.16.10.0 0.0.0.255 core(config)#access-list 110 permit ip any any

core(config)#$ 120 deny ip 172.16.11.128 0.0.0.127 172.16.10.0 0.0.0.255

某企业网组网方案

core(config)#access-list 120 permit ip any any

core(config)#$ 130 deny ip 172.16.12.0 0.0.0.127 172.16.10.0 0.0.0.255 core(config)#access-list 130 permit ip any any core(config)#int f0/0

core(config-if)#ip access-group 110 in core(config-if)#int f0/1

core(config-if)#ip access-group 120 in core(config-if)#int f0/2

core(config-if)#ip access-group 130 in core(config-if)#end

============================访控列表配置=======================

5.4 核心交换机配置验证

core#

core#show vlan-s

VLAN Name Status Ports ---- -------------------------------- --------- -------------------------------

1 default active Fa0/2, Fa0/3, Fa0/9, Fa0/10

Fa0/11, Fa0/12, Fa0/13, Fa0/14 Fa0/15 10 area-A active 20 area-B active 30 area-C active 40 area-D active 1002 fddi-default active 1003 token-ring-default active 1004 fddinet-default active 1005 trnet-default active

VLAN Type SAID MTU Parent RingNo BridgeNo Stp BrdgMode Trans1 Trans2 ---- ----- ---------- ----- ------ ------ -------- ---- -------- ------ ------

1 enet 100001 1500 - - - - - 1002 1003 10 enet 100010 1500 - - - - - 0 0 20 enet 100020 1500 - - - - - 0 0 30 enet 100030 1500 - - - - - 0 0 40 enet 100040 1500 - - - - - 0 0 1002 fddi 101002 1500 - - - - - 1 1003

VLAN Type SAID MTU Parent RingNo BridgeNo Stp BrdgMode Trans1 Trans2 ---- ----- ---------- ----- ------ ------ -------- ---- -------- ------ ------

1003 tr 101003 1500 1005 0 - - srb 1 1002 1004 fdnet 101004 1500 - - 1 ibm - 0 0

某企业网组网方案

1005 trnet 101005 1500 - - 1 ibm - 0 0 core#show ip int bri

Port Name Fa0/0 conn-to-area-A Fa0/1 conn-to-area-B Fa0/2 conn-to-area-c Fa0/3 conn-to-area-D Fa0/4 conn-t0-server-A Fa0/5 conn-to-server-B Fa0/6 conn-to-server-C Fa0/7 conn-to-old-fac Fa0/8 conn-to-firewall Fa0/9 Fa0/10 Fa0/11 Fa0/12 Fa0/13 Fa0/14 Fa0/15 core# show ip route

172.16.7.9 YES manual up down 172.16.8.5 YES manual up down 172.16.8.1 YES manual up up unassigned YES unset up down unassigned YES unset up down unassigned YES unset up down unassigned YES unset up down unassigned YES unset up down unassigned YES unset up down unassigned YES unset up down unassigned YES unset up up 172.16.10.1 YES manual up up 172.16.11.1 YES manual up up unassigned YES unset up up 172.16.12.1 YES manual up up Status Vlan Duplex Speed Type

connected trunk a-full a-100 10/100BaseTX connected trunk a-full a-100 10/100BaseTX notconnect 1 auto auto 10/100BaseTX notconnect 1 auto auto 10/100BaseTX notconnect routed auto auto 10/100BaseTX notconnect routed auto auto 10/100BaseTX notconnect routed auto auto 10/100BaseTX notconnect routed auto auto 10/100BaseTX connected routed auto auto 10/100BaseTX notconnect 1 auto auto 10/100BaseTX notconnect 1 auto auto 10/100BaseTX notconnect 1 auto auto 10/100BaseTX notconnect 1 auto auto 10/100BaseTX notconnect 1 auto auto 10/100BaseTX notconnect 1 auto auto 10/100BaseTX notconnect 1 auto auto 10/100BaseTX 某企业网组网方案

Codes: C - connected, S - static, R - RIP, M - mobile, B - BGP

D - EIGRP, EX - EIGRP external, O - OSPF, IA - OSPF inter area N1 - OSPF NSSA external type 1, N2 - OSPF NSSA external type 2 E1 - OSPF external type 1, E2 - OSPF external type 2

i - IS-IS, su - IS-IS summary, L1 - IS-IS level-1, L2 - IS-IS level-2

ia - IS-IS inter area, * - candidate default, U - per-user static route o - ODR, P - periodic downloaded static route

Gateway of last resort is 172.16.8.2 to network 0.0.0.0

172.16.0.0/16 is variably subnetted, 5 subnets, 3 masks C 172.16.12.0/25 is directly connected, Vlan40

C 172.16.8.0/30 is directly connected, FastEthernet0/8 C 172.16.10.0/24 is directly connected, Vlan10 C 172.16.11.0/25 is directly connected, Vlan20

O 172.16.7.12/30 [110/2] via 172.16.8.2, 00:29:28, FastEthernet0/8 O*E2 0.0.0.0/0 [110/1] via 172.16.8.2, 00:22:56, FastEthernet0/8 core#

5.5 出口设备配置

Router>en Router#conf t

Enter configuration commands, one per line. End with CNTL/Z. Router(config)#hos R-out R-out(config)#int f0/0

R-out(config-if)#ip add 172.16.7.13 255.255.255.252 R-out(config-if)#no shut

R-out(config-if)#description conn-to-DMZ R-out(config-if)#int f1/0

R-out(config-if)#ip add 172.16.8.2 255.255.255.252 R-out(config-if)#no shut

R-out(config-if)#description conn-to-core R-out(config-if)#int s2/0

R-out(config-if)#ip add 90.1.1.2 255.255.255.252 R-out(config-if)#no shut

R-out(config-if)#description conn-to-ChinaTelcom R-out(config-if)#int s2/1

R-out(config-if)#ip add 190.1.1.2 255.255.255.252 R-out(config-if)#no shut

R-out(config-if)#description conn-to-CNC R-out(config-if)#end R-out#

*Mar 1 00:01:32.147: %LINK-3-UPDOWN: Interface FastEthernet0/0, changed state to up

某企业网组网方案

*Mar 1 00:01:32.331: %LINK-3-UPDOWN: Interface FastEthernet1/0, changed state to up *Mar 1 00:01:32.427: %LINK-3-UPDOWN: Interface Serial2/0, changed state to up *Mar 1 00:01:33.019: %SYS-5-CONFIG_I: Configured from console by console

*Mar 1 00:01:33.147: %LINEPROTO-5-UPDOWN: Line protocol on Interface FastEthernet0/0, changed state to up

*Mar 1 00:01:33.331: %LINEPROTO-5-UPDOWN: Line protocol on Interface FastEthernet1/0, changed state to up

*Mar 1 00:01:33.427: %LINEPROTO-5-UPDOWN: Line protocol on Interface Serial2/0, changed state to up

==============================基本接口配置==================================== R-out#conf t

Enter configuration commands, one per line. End with CNTL/Z. R-out(config)#ip route 90.0.0.0 255.0.0.0 s2/0 R-out(config)#ip route 0.0.0.0 0.0.0.0 s2/1 R-out(config)#ip route 0.0.0.0 0.0.0.0 s2/0 20 R-out(config)#router ospf 100

R-out(config-router)#net 172.16.8.0 0.0.0.3 a 0 R-out(config-router)#net 172.16.7.12 0.0.0.3 a 0 R-out(config-router)#default-information originate R-out(config-router)#

*Mar 1 00:10:26.795: %OSPF-5-ADJCHG: Process 100, Nbr 172.16.12.1 on FastEthernet1/0 from LOADING to FULL, Loading Done R-out(config-router)#end

================================路由协议配置=================================== R-out#

R-out#conf t

Enter configuration commands, one per line. End with CNTL/Z. R-out(config)#int s2/0

R-out(config-if)#ip nat outside R-out(config-if)#int s2/1

R-out(config-if)#ip nat outside R-out(config-if)#int f0/0

R-out(config-if)#ip nat inside R-out(config-if)#int f1/0

R-out(config-if)#ip nat inside R-out(config-if)#exit

R-out(config)#$de source route-map CERNET interface Serial2/1 overload R-out(config)#$de source route-map ChinaTelcom interface Serial2/0 overload R-out(config)#

R-out(config)#access-list 50 permit 172.16.10.0 0.0.0.254 R-out(config)#access-list 50 permit 172.16.11.0 0.0.0.127 R-out(config)#access-list 50 permit 172.16.11.128 0.0.0.127 R-out(config)#access-list 50 permit 172.16.12.0 0.0.0.127 R-out(config)#access-list 50 permit 172.16.7.13 0.0.0.0

某企业网组网方案

R-out(config)#

R-out(config)#route-map CERNET permit 10 R-out(config-route-map)#match ip address 50 R-out(config-route-map)#match interface Serial2/1 R-out(config-route-map)#

R-out(config-route-map)#route-map ChinaTelcom permit 10 R-out(config-route-map)#match ip address 50 R-out(config-route-map)#match interface Serial2/0 R-out(config-route-map)#end R-out#

*Mar 1 00:12:30.267: %LINEPROTO-5-UPDOWN: Line protocol on Interface NVI0, changed state to up

==================================多出口NAT配置=============================== R-out#conf t

Enter configuration commands, one per line. End with CNTL/Z. R-out(config)#enable password 321 R-out(config)#line vty 0 4

R-out(config-line)#password abc R-out(config-line)#login R-out(config-line)#exit

R-out(config)#line console 0 R-out(config-line)#password 123 R-out(config-line)#login R-out(config-line)#exit R-out(config)#exit

==================================登陆密码配置================================

第七章参考文献

某企业网组网方案

因篇幅问题不能全部显示，请点此查看更多更全内容

查看全文

全部频道

某企业组网方案