大型企业网络设计.docx

札£点戏/普课程设计报告（2015/2016 学年第学期）题 目:大型企业网络设计专业网络工程学生姓名李统宇班级学号B指导教师鲍楠指导单位 南京邮电大学物联网学院日期 201614-2016115评分玺M评分项成绩遵守机房规章制度（5分）上机时的表现（5分）学习态度（5分）程序准备情况（5分）程序设计能力（10分）团队合作精神（5分）课题功能实现情况（10分）算法设计合理性（10分）用户界面设计（10分）报告书写认真程度（5分）内容详实程度（10分）文字表达熟练程度（10分）回答问题准确度（10分）简短评语教师签名： 年月日评分等级备 注评分等级有五种：优秀、良好、中等、及格、不及格大型企业网络设计一、课题内容和要求XX集团是一个以煤炭产品为主，兼营大型矿井建设、工业与民用建筑设计与施 工、地基与基础处理、地质勘探、商业等行业的综合性集团公司°XX集团作为一个 全国200强的集团公司，下辖生产矿、建井处、机械厂等二级单位40余家，各个相 对独立的生产服务单位，如财务、运销、医疗卫生、远程教学、综合统计等，都必 须实现网上信息传输。XX集团的网络建设于2005年1月左右，当时建设的网络为XX集团各项业务信 息化立下了汗马功劳。随着近几年计算机网络技术的不断发展，计算机及网络的使 用者水平不断提高，集团网络上需要承载的应用不断增多，网络中病毒流行、广播 信息较多，各项关键业务网络安全得不到保障°XX集团充分认识到计算机网络作为 信息化基石的巨大作用，决定改造XX集团网络系统。现在要求做出该集团的网络设计方案，在该方案中，用户有如下的需求：由于该网络为承载整个集团的基础骨干，面对日益突出的信息安全问题，要求 网络系统集成的相应的安全特性。由于前期网络中使用的普通交换机、HUB无法 进行安全规则设置，网络攻击常常影响网络正常业务以及用户正常上网，关键 业务无法保障，因此新建的网络平台需要提供防止DOS攻击的能力。 在多业务共同存在的网络设备之上，各业务属于不同的区域，要求实现内部网 络按用户、功能进行VLAN、网段划分。针对不同的用户类型，制定相应的访问、控制权限。由于接入ISP提供的互联网出口提供1个公有IP，要求解决集团内部对外部网 络的访问需求，且要实现发布对外的WEB、FTP服务。支持10GE或将来平滑过渡到10GE ；集团内部各个建筑物都有1对8芯的单模光纤 连接到主建筑物（即网络中心所在地），所有建筑物到主建筑物之间的距离在 600M10000M之间；每个建筑物内部都有适当的内部布线，以实现所需连接。二、需求分析2.1案例分析Cisco公司已经成功地在中国实践了前述的教育网络设计思想，特别是河南省 教育科研宽带IP骨干网络全部采用了先进的高速宽带光传输网络技术，已经成为 这类新型教育网络的典范。河南省教育科研宽带IP网络全面采用Cisco公司的AVVID网络体系结构，一 期工程总共采用了 10 台 Cisco GSR 12016 和 GSR12012，近 20 台 Cisco OSR 6509, 其他各类交换机和路由器数百台。该网络集成了远程教学等多种多媒体应用，特别 是采用了 550部Cisc。的新型7940 IP电话和4套CallManager组建了我国第一个 省级IP Telephony网络，并结合Cisco视频产品IPTV系列建立了许多新的教育模 式。这一网络基于分层设计分为三层：骨干传输网、城域网、接入网，采用三级管 理模式：省网络中心、地市网络中心、校园网，连接省内各大中专院校、各中小学 校、各级教育主管部门和其他教育科研单位，未来更将延伸到每一个需要教育培训 的公众面前。骨干网络由分布在17个地市的核心节点组成，与河南省广电合作利用其光纤 资源，全省形成环网状冗余拓扑结构。在各个核心节点分别配置Cisc。公司在国际 上多次获奖的千兆位路由交换机GSR 12000系列中的12016和12012作为核心传输 设备，节点间使用裸光纤配合POS技术实现OC-482.48G链路互连并采用HSRP技术， 以提供物理层、链路层及IP层的冗余连接能力。根据各地市的具体情况，可以建设 城域教育网络也可以在核心节点配置汇接设备直接解决接入网络的接入问题，汇接 设备可选用Cisco 12012或6509,采用POS、DPT或千兆以太技术，传输速率可达1 2.48Gbps，具体设计可以非常灵活。基于Cisco IOS的多功能网络平台：网络中采用的网络设备均采用Cisco IOS （Internetworking Operation System互联网络操作系统）为核心功能软件。Cisco IOS集成了路由技术，局域网交换技术，ATM交换技术，各种移动远程访问接入技术， 广域网互连技术等超过15,000个网络互连功能，已经成为网络互连的标准。CiscoIOS系统支持今天的绝大多数网络应用系统，同时Cisco IOS系统可提供从数 据链路层到应用层的多种网络服务，如:L2/L3VPN（虚拟专网），VPDN（虚拟拨号专网）， 以及对MPLS技术的支持允许提供各种网络增值服务。丰富的网络安全机制：网络设计是按照标准ISP（国际互联网络服务商）方式设 计的IP交换网络平台。整个网络与国际互联网络平滑连接，因此网络的安全性尤其 重要。方案中采用Cisco IOS多种安全策略：1）网络路由信息交换安全策略：包含路由器的认证，路由信息过滤，多种动 态路由协议信息交换控制等。2）网络服务安全控制：包含标准访问控制列表（ACL），扩展的访问控制列表 （Extend ACL），动态访问控制列表（Refliex ACL），按数据流的访问统计和监控 （Netflow），网络资源访问用户认证/授权和记帐（lock & key）。3）基于网络层的加密：网络设备可提供基于标准的网络层加密技术：IPSec， 可以提供高可靠的网络访问安全机制。4）网络攻击防范：Cisco IOS可通过对网络访问连接的监控和分析，发现可能 出现的网络攻击，如Sync Attack等，并采取相应的的控制手段保护网络资源。5）网络系统告警（Syslog）:网络中采用的设备可对监控到的网络攻击和各种 非正常访问发出告警，提醒网络管理人员及时发现问题并采取相应安全策略。设备安全：网络的各种安全策略的实现均基于网络设备的安全设置，这使得网 络设备本身的安全控制显得尤其重要。网络设备本身具有多种访问控制安全策略：1）多级访问控制密码：网络中各设备访问控制可通过15级不同的访问权限， 网管人员可设置不同的访问权限。如：普通操作员只能监视设备运行，不可进行其 他操作；高级的管理员可做故障诊断，不可修改设备配置文件；系统管理员可具有 所有功能权限等。2）网络管理系统的安全控制：由于本网络中网络管理系统采用标准的SNMP网 络管理技术，因此网络设备的网管可能出现漏洞。本网络中的网络设备可提供多种 保护手段，如：特别的网管访问密码；由设备指定特别的网络管理工作站系统等。易管理维护的网络：由于采用了 IP骨干技术、DHCP技术和MPLS技术，使得网 络的管理简单化。这可以使网络管理人员大为精简，节约运行开销。网络管理人员 只需在规划好的网络结构内提供各个接入网络的接入控制即能实行各种网络服务。网络系统的管理工作重点变为对于骨干网络的运行实施系统监控。由于采用的网络 设备自身已具备较为完善的网络管理、监控和维护功能，因此采用建立一个管理工 具齐全的集中的网络管理中心即可实现全网络的系统管理和监控11。2.2大型企业网络分析为适应企业信息化的发展，满足日益增长的通信需求和网络的稳定运行，今天 的企业网络建设比传统企业网络建设有更高的要求，本文将通过对如下几个方面的 需求分析来规划出一套最适用于目标网络的拓扑结构。2.2.1宽带性能需求现代大型企业网络应具有更高的带宽，更强大的性能，以满足用户日益增长的 通信需求。随着计算机技术的高速发展，基于网络的各种应用日益增多，今天的企 业网络已经发展成为一个多业务承载平台。不仅要继续承载企业的办公自动化，Web 浏览等简单的数据业务，还要承载涉及企业生产运营的各种业务应用系统数据，以 及带宽和时延都要求很高的IP电话、视频会议等多媒体业务。因此，数据流量将大 大增加，尤其是对核心网络的数据交换能力提出了前所未有的要求。另外，随着千 兆位端口成本的持续下降，千兆位到桌面的应用会在不久的将来成为企业网的主流。 从2004年全球交换机市场分析可以看到，增长最迅速的就是10 Gbps级别机箱式交 换机，可见，万兆位的大规模应用已经真正开始。所以，今天的企业网络已经不能 再用百兆位到桌面千兆位骨干来作为建网的标准，核心层及骨干层必须具有万兆位 级带宽和处理性能，才能构筑一个畅通无阻的高品质大型企业网，从而适应网络 规模扩大，业务量日益增长的需要。2.2.2稳定可靠需求现代大型企业的网络应具有更全面的可靠性设计，以实现网络通信的实时畅通， 保障企业生产运营的正常进行。随着企业各种业务应用逐渐转移到计算机网络上来， 网络通信的无中断运行已经成为保证企业正常生产运营的关键。现代大型企业网络 在可靠性设计方面主要应从以下3个方面考虑。设备的可靠性设计：不仅要考察网络设备是否实现了关键部件的冗余备份，还 要从网络设备整体设计架构、处理引擎种类等多方面去考察。业务的可靠性设计：网络设备在故障倒换过程中，是否对业务的正常运行有影 响。链路的可靠性设计：以太网的链路安全来自于多路径选择，所以在企业网络建 设时，要考虑网络设备是否能够提供有效的链路自愈手段，以及快速重路由协议的 支持7。2.2.3服务质量需求现代大型企业网络需要提供完善的端到端QoS保障，以满足企业网多业务承载 的需求。大型企业网络承载的业务不断增多，单纯的提高带宽并不能够有效地保障 数据交换的畅通无阻，所以今天的大型企业网络建设必须要考虑到网络应能够智能 识别应用事件的紧急和重要程度，如视频、音频、数据流（MIS、ERP、OA、备份数 据）。同时能够调度网络中的资源，保证重要和紧急业务的带宽、时延、优先级和无 阻塞的传送，实现对业务的合理调度才是一个大型企业网络提供高品质服务的保 障7。2.2.4网络安全需求现代大型企业网络应提供更完善的网络安全解决方案，以阻击病毒和黑客的攻 击，减少企业的经济损失。传统企业网络的安全措施主要是通过部署防火墙、IDS、 杀毒软件，以及配合交换机或路由器的ACL来实现对病毒和黑客攻击的防御，但实 践证明这些被动的防御措施并不能有效地解决企业网络的安全问题。在企业网络已 经成为公司生产运营的重要组成部分的今天，现代企业网络必须要有一整套从用户 接入控制，病毒报文识别到主动抑制的一系列安全控制手段，这样才能有效地保证 企业网络的稳定运行7。2.2.5应用服务需求现代大型企业网络应具备更智能的网络管理解决方案，以适应网络规模日益扩 大，维护工作更加复杂的需要。当前的网络已经发展成为以应用为中心的信息基 础平台，网络管理能力的要求已经上升到了业务层次，传统的网络设备的智能已经 不能有效支持网络管理需求的发展。比如，网络调试期间最消耗人力与物力的线缆 故障定位工作，网络运行期间对不同用户灵活的服务策略部署、访问权限控制、以 及网络日志审计和病毒控制能力等方面的管理工作，由于受网络设备功能本身的限 制，都还属于费时、费力的任务。所以现代的大型企业网络迫切需要网络设备具备 支撑以应用为中心的智能网络运营维护的能力，并能够有一套智能化的管理软件， 将网络管理人员从繁重的工作中解脱出来72.3本课题系统需求分析该企业位于北京市海淀区中关村，网络联接的建筑物有三个：两个办公楼和 一个行政楼。管理部、财务部和网络部在行政楼中；市场部在办公楼A；销售部和人力资源部在办公楼B。所以我们已建筑物的中心也就是行政楼的三层为网络的中心，用光纤连接办公 楼A、B，构成电子商务公司网络光纤主干。办公楼2个，行政楼1个1. 划分VLAN （见表1）2. VTP动态学习VLAN3. PVST（选根，二层冗余）4. SVI （VLAN 间路由）5. HSRP （三层冗余）6. DHCP7. 根防护8. 3 个 FAST9. 静态路由10. SITE-TO-SITE VPN （连接分公司，固定 IP）11. AAA12. PBR （20M 专线）13. 网管控制三、概要设计3.1大型企业网络的定位企业网是指覆盖企业和企业与分公司之间的网络，为企业的多种通信协议提 供综合传送平台的网络。企业网应以多业务光传输网络为基础，实现语音、数据、 图像、多媒体等的接入。企业网是企业内各部门的桥接区，主要完成接入网中的子公司和工作人员与企 业骨干业务网络之间全方位的互通。因此电子商务公司企业网的定位应是为企业网 应用提供多业务传送的综合解决方案。3.2关键技术研究本设计方案采用的是全部Cisco的网络设备，全网使用统一厂家得设备以实现 各种不同网络设备功能的互相配合和补充。还有就是一些网络协议都是一些厂家私 有的，如EIGRP、HDLC等。因为每个厂家都有属于自己的EIGRP、HDLC所以不同厂 家的设备就不能使用这些网络协议。3.2.1路由技术路由协议工作在OSI参考模型的第3层，因此它的作用主要是在通信子网间路 由数据包。路由器具有在网络中传递数据时选择最佳路径的能力。除了可以完成主 要的路由任务，利用访问控制列表，路由器还可以用来完成以路由器为中心的流量 控制和过滤功能。在本工程案例设计中，内网用户不仅通过路由器接入因特网、内 网用户之间也通过3层交换机上的路由功能进行数据包交换。路由器是外网进入企业网内网的第一道关卡，是网络防御的前沿阵地。路由器 上的访问控制列表(Access Control List，ACL)是保护内网安全的有效手段。一 个设计良好的访问控制列表不仅可以起到控制网络流量、流向的作用，还可以在不 增加网络系统软、硬件投资的情况下完成一般软、硬件防火墙产品的功能。由于路 由器介于企业内网和外网之间，是外网与内网进行通信时的第一道屏障，所以即使 在网络系统安装了防火墙产品后，仍然有必要对路由器的访问控制列表进行缜密的 设计，来对企业内网包括防火墙本身实施保护。3.2.2交换技术传统意义上的数据交换发生在OSI模型的第2层。现代交换技术还实现了第3 层交换和多层交换。高层交换技术的引入不但提高了园区网数据交换的效率，更大 大增强了企业网数据交换服务质量，满足了不同类型网络应用程序的需要。现代交 换网络还引入了虚拟局域网(Virtual LAN，VLAN)的概念。VLAN将广播域限制在 单个VLAN内部，减小了各VLAN间主机的广播通信对其他VLAN的影响。在VLAN间 需要通信的时候，可以利用VLAN间路由技术来实现。当网络管理人员需要管理的交 换机数量众多时，可以使用VLAN中继协议(Vlan Trunking Protocol，VTP)简化 管理，它只需在单独一台交换机上定义所有VLAN。然后通过VTP协议将VLAN定义 传播到本管理域中的所有交换机上。这样，大大减轻了网络管理人员的工作负担和 工作强度。为了简化交换网络设计、提高交换网络的可扩展性，在企业网内部数据 交换的部署是分层进行的。企业网数据交换设备可以划分为三个层次：接入层、分 布层、核心层。接入层为所有的终端用户提供一个接入点；分布层除了负责将访问 层交换机进行汇集外，还为整个交换网络提供VLAN间的路由选择功能；核心层将各 分布层交换机互连起来进行穿越企业网骨干的高速数据交换。在本工程案例设计中， 也将采用这三层进行分开设计、配置。3.2.3远程访问技术远程访问也是企业网络必须提供的服务之一。它可以为家庭办公用户和出差在 外的员工提供移动接入服务。远程访问有三种可选的服务类型：专线连接、电路交 换和包交换。不同的广域网连接类型提供的服务质量不同，花费也不相同。企业用 户可以根据所需带宽、本地服务可用性、花费等因素综合考虑，选择一种适合企业 自身需要的广域网接入方案。在本工程案例设计中，分别采用专线连接的VPN和PBR 两种方式实现远程访问需求。3.2.4 VLANVLAN (Virtual Local Area Network)即虚拟局域网，是一种通过将局域网内 的设备逻辑地而不是物理地划分成一个个网段从而实现虚拟工作组的新兴技术。IEEE于1999年颁布了用以标准化VLAN实现方案的802.1Q协议标准草案。VLAN技术允许网络管理者将一个物理的LAN逻辑地划分成不同的广播域（或称 虚拟LAN，即VLAN），每一个VLAN都包含一组有着相同需求的计算机工作站，与物 理上形成的LAN有着相同的属性。但由于它是逻辑地而不是物理地划分，所以同一 个VLAN内的各个工作站无须被放置在同一个物理空间里，即这些工作站不一定属于 同一个物理LAN网段。一个VLAN内部的广播和单播流量都不会转发到其他VLAN中， 即使是两台计算机有着同样的网段，但是它们却没有相同的VLAN号，它们各自的广 播流也不会相互转发，从而有助于控制流量、减少设备投资、简化网络管理、提高网 络的安全性。VLAN是为解决以太网的广播问题和安全性而提出的，它在以太网帧的基础上增 加了 VLAN头，用VLAN ID把用户划分为更小的工作组，限制不同工作组间的用户二 层互访，每个工作组就是一个虚拟局域网。虚拟局域网的好处是可以限制广播范围， 并能够形成虚拟工作组，动态管理网络。既然VLAN隔离了广播风暴，同时也隔离了各个不同的VLAN之间的通讯，所以 不同的VLAN之间的通讯是需要有路由来完成的53.2.5 VPNVPN的英文全称是“Virtual Private Network”，翻译过来就是“虚拟专用网 络”。顾名思义，虚拟专用网络我们可以把它理解成是虚拟出来的企业内部专线。它 可以通过特殊的加密的通讯协议在连接在Internet上的位于不同地方的两个或多 个企业内部网之间建立一条专有的通讯线路，就好比是架设了一条专线一样，但是 它并不需要真正的去铺设光缆之类的物理线路。这就好比去电信局申请专线，但是 不用给铺设线路的费用，也不用购买路由器等硬件设备。VPN技术原是路由器具有 的重要技术之一，目前在交换机，防火墙设备或WINDOWS2000等软件里也都支持VPN 功能，一句话，VPN的核心就是在利用公共网络建立虚拟私有网。虚拟专用网（VPN）被定义为通过一个公用网络（通常是因特网）建立一个临 时的、安全的连接，是一条穿过混乱的公用网络的安全、稳定的隧道。虚拟专用网 是对企业内部网的扩展。虚拟专用网可以帮助远程用户、公司分支机构、商业伙伴 及供应商同公司的内部网建立可信的安全连接，并保证数据的安全传输。虚拟专用 网可用于不断增长的移动用户的全球因特网接入，以实现安全连接；可用于实现企业网站之间安全通信的虚拟专用线路，用于经济有效地连接到商业伙伴和用户的安全外联网虚拟专用网43.2.6 RIPRIP (Routing Information Protocols，路由信息协议)是应用较早、使用较 普遍的IGP (Interior Gateway Protocol，内部网关协议)，适用于小型同类网络， 是典型的距离矢量(distance-vector)协议。RIP协议跳数做为衡量路径开销的，RIP协议里规定最大跳数为15。RIP协议有两个版本RIPv1和RIPv2。RIPv1属于有类路由协议，不支持VLSM(变长子网掩码)，RIPv1是以广播的形 式进行路由信息的更新的；更新周期为30秒。RIPv2属于无类路由协议，支持VLSM(变长子网掩码)，RIPv2是以组播的形式 进行路由信息的更新的，组播地址是224.0.0.9。RIPv2还支持基于端口的认证，提 高网络的安全性。3.2.7 AAA 认证AAA身份验证 (Authentication)、授权 (Authorization)和统计(Accounting)Cisco开发的一个提供网络安全的系统。AAA，认证(Authentication):验证用户的身份与可使用的网络服务；授权 (Authorization):依据认证结果开放网络服务给用户;计帐(Accounting):记录用 户对各种网络服务的用量，并提供给计费系统。整个系统在网络管理与安全问题中 十分有效。首先，认证部分提供了对用户的认证。整个认证通常是采用用户输入用户名 与密码来进行权限审核。认证的原理是每个用户都有一个唯一的权限获得标准。由 AAA服务器将用户的标准同数据库中每个用户的标准一一核对。如果符合，那么对 用户认证通过。如果不符合，则拒绝提供网络连接。接下来，用户还要通过授权来获得操作相应任务的权限。比如，登陆系统后， 用户可能会执行一些命令来进行操作，这时，授权过程会检测用户是否拥有执行这 些命令的权限。简单而言，授权过程是一系列强迫策略的组合，包括：确定活动的 种类或质量、资源或者用户被允许的服务有哪些。授权过程发生在认证上下文中。 一旦用户通过了认证，他们也就被授予了相应的权限。 最后一步是帐户，这一过 程将会计算用户在连接过程中消耗的资源数目。这些资源包括连接时间或者用户在 连接过程中的收发流量等等。可以根据连接过程的统计日志以及用户信息，还有授 权控制、账单、趋势分析、资源利用以及容量计划活动来执行帐户过程。验证授权和帐户由AAA服务器来提供。AAA服务器是一个能够提供这三项服务 的程序。当前同AAA服务器协作的网络连接服务器接口是“远程身份验证拨入用户 服务(RADIUS)”10。四、详细设计4.1大型企业网络拓扑图网络拓扑图图4-1网络拓扑图4.2 VLAN及IP地址的规划表1 VLAN划分VLAN 号VLAN名称IP网段默认网关说明VLAN 1GL VLAN10.0.0.0/2410.0.0.254管理VLANVLAN 10GLB10.1.0.0/2210.1.3.254管理部VLANVLAN 20SCB10.1.4.0/2210.1.7.254市场部VLANVLAN 30CWB10.1.8.0/2210.1.11.254财务部VLANVLAN 40XSB10.1.12.0/2210.1.15.254销售部VLANVLAN 50RLZY10.1.16.0/2210.1.19.254人力资源部VLANVLAN 60WLB10.1.20.0/2210.1.23.254网络部VLAN路由器R1与电信连接的接口 F0/0IP为202.100.1.10/24,与HX1连接的接口 F1/1IP 为 192.168.1.1/24,与 HX2 连接的接口 F1/2IP 为 192.168.2.1/24,与 R2 连 接的接口 F1/3IP 为 192.168.3.1/24。路由器R2与网通连接的接口 F0/0IP为202.100.3.10/24，与HX1连接的接口 F1/2IP 为 192.168.4.1/24,与 HX2 连接的接口 F1/1IP 为 192.168.5.1/24,与 R2 连 接的接口 F1/3IP 为 192.168.3.2/24。路由器R3与HX1连接的接口 F1/1IP为192.168.6.1/24，与HX2连接的接口 F1/2IP 为 192.168.7.1/24，与 server 连接的接口 F1/0IP 为 192.168.8.1/24。路由器R4上与电信连接的接口 F1/0IP为202.100.2.10/24，与网通连接的接 口 F1/1IP 为 202.100.4.10/24，与 SW11 连接的接口 F1/2IP 为 10.1.24.1/22。交换机HX1与R1相连的接口 F1/0IP为192.168.1.2/24,与R2相连的接口 F1/1IP 为 192.168.4.2/24,与 R3 相连的接口 F1/2IP 为 192.168.6.2/24。交换机HX2与R1相连的接口 F1/0IP为192.168.2.2/24,与R2相连的接口 F1/1IP 为 192.168.5.2/24,与 R3 相连的接口 F1/2IP 为 192.168.7.2/24。4.3关键网络设备及数量核心层交换机：Cisco Catalyst 6509交换机 2台汇聚层交换机：Cisco Catalyst 4509交换机 4台接入层交换机：Cisco Catalyst 2950 24 口 交换机 100台接入路由器：Cisco 3500路由器4.4关键网络设备介绍图8 Cisco 6509交换机Catalyst 6509是带有9个插槽的交换机机箱，它可以加两个电源，可按需求 配置不同功能类型的模块（如防火墙模块、入侵检模块、VPN模块、SSL加速模块、 网络流量分析模块等），更灵活应用在不同需求的网络设计平台上，提高稳定性及安 全性。首先，为 Catalyst 6509 核心交换机配备 Cisco Catalyst 6500 Supervisor Engine 720 模块。Supervisor Engine 720 支持 Catalyst 6500 系列的第三代模块， 能够为企业和电信运营商网络提供先进的IP服务，并提高端口密度，因而非常适合 部署在高性能的核心层、数据中心和城域网中。由于使用同一套接口、操作系统和 管理工具，Catalyst 6500系列监控引擎（Supervisor Engines）能提供操作一致性 可使用相同的备件，所有模块都具有可以预测的性能和多种功能。增强型QOS 机制、基于硬件的GRE隧道和NAT，以及由硬件加速的基于MPLS的高性能服务；支 持基于用户的Microflow监管，对每个用户实施服务等级协议；采用分布式转发模 式，提供高达200Mpps的硬件IPv6能力，可以顺利过渡到Internet 2和其他支持 3G和PDA的通信网络；配备光纤通道接口模块满足光纤接入需求。加6500系列的 防火墙服务模块（FWSM）可以为大型企业和服务供应商提供无以伦比的安全性、可靠性和性能。Catalyst 6500系列和为企业网络和服务供应商网络提供了一系列高性能多层 交换解决方案。6500系列提供了广泛的智能交换解决方案，使公司内部网和 Internet能够支持多媒体、关键任务数据和语音应用。6500系列交换机为园区网提 供了高性能、多层交换的解决方案，专门为需要千兆扩展、可用性高、多层交换的 应用环境设计，主要面向园区骨干连接等场合。图9 Cisco Catalyst 4500系列交换机Cisco Catalyst 4500系列能够为无阻碍的第2/3/4层交换提供集成式弹性， 因而能进一步加强对融合网络的控制（见图9）。可用性高的融合语音/视频/数据网 络能够为正在部署基于互联网企业应用的企业和城域以太网客户提供业务弹性。作为新一代Cisco Catalyst 4000系列平台，Cisco Catalyst 4500系列包括 三种新型 Cisco Catalyst 机箱：Cisco Catalyst 4507R（七个插槽）、Cisco Catalyst 4506 （六个插槽）和 Cisco Catalyst 4503 （三个插槽）。Cisco Catalyst 4500 系 列中提供的集成式弹性增强包括1 + 1超级引擎冗余（只对Cisco Catalyst 4507R）、 集成式IP电话电源、基于软件的容错以及1+1电源冗余。硬件和软件中的集成式冗 余性能够缩短停机时间，从而提高生产率、利润率和客户成功率。作为CiscoAVVID （集成语音、视频和融合数据体系结构）的关键组件，Cisco Catalyst 4500能够通过智能网络服务将控制扩展到网络边缘，包括高级服务质量 （QoS）、可预测性能、高级安全性、全面管理和集成式弹性。由于Cisco Catalyst 4500系列提供与Cisco Catalyst 4000系列线卡和超级引擎的兼容性，因而能够在 融合网络中延长Cisco Catalyst 4000系列的部署窗口。由于这种方式能减少重复 运作开支，降低拥有成本，因而能提高投资回报（ROI）。* I 尸图10 Cisco Catalyst 3550系列智能以太网交换机Cisco Catalyst 3550系列智能以太网交换机是一个可堆叠多层交换机系列， 可通过高可用性、服务质量（QoS）和安全性来改进网络运行（见图10）。凭借一系 列快速以太网和千兆位以太网配置，Cisco Catalyst 3550系列堪称一款适用于企 业和城域接入应用的强大选择。图11 Cisco Catalyst 2950系列智能以太网交换机Cisco Catalyst 2950系列智能以太网交换机是一个固定配置、可堆叠的独立 设备系列，提供了线速快速以太网和千兆位以太网连接（见图11）。这是一款最廉 价的Cisco交换产品系列，为中型网络和城域接入应用提供了智能服务。作为思科 最为廉价的交换产品系列，Cisco Catalyst 2950系列在网络或城域接入边缘实现 了智能服务。4.5网络设备配置4.5.1基础配置这里以接入层交换机SW1为例（见图1）SW1 I口PC1图1接入层设备Switch>en进入特权模式Switch#conf t进入全局模式Enter configuration commands, one per line. End with CNTL/Z.此注释说明在全局模式下直接按CNTL+Z可以进入特权模式Switch(config)#hostname SW1修改路由器或者交换机的名字，方便管理SW1(config)#no ip domain lookup关闭域名查询 启用与禁止DNS服务器，在交换机默认配置的情况下，当我们 输入一条错误的交换机命令时，交换机会尝试将其广播给网络上的DNS服务器并将 其解析成对应的IP地址。利用命令no ip domain lookup，可以禁用DNS服务器， 可以减少输入错误命令的等待时间SW1(config)#line console 0进入CONCOLE 0 口线程下，通过CONSOLE线串口直接控制交换机或路由器接口SW1(config-line)#no exec-timeout关闭超时时间(真实工程中不能用此命令)SW1(config-line)#logging synchronous在线路上同步输出 用户在为交换机配置命令时，配置命令会被交换机产生的 内部信息隔开或打乱以使用命令logging synchronous设置交换机在下一行CLI 提示符后复制用户的输入。以上配置为路由器和交换机的基本配置，有方便管理防止出错的作用，所以每 台设备上都要配置。4.5.2 使用 VTP从提高效率的角度出发，在企业网实现实例中使用了 VTP技术。将分布层FB1 设置成为VTP服务器，其他交换机设置成为VTP客户机。这里接入层交换机SW1将 通过VTP获得在分布层交换机FB1中定义的所有VLAN的信息。(见图2)71图2分布层设备FBIFB1#vlan database特权模式下进入VLAN设置模式(小凡模拟器特有)FB1(vlan)#vtp domain cisco定义VTP域名Changing VTP domain name from NULL to ciscoFB1(vlan)#vtp server将该交换机设置为VTP的服务端Device mode already VTP SERVER.FB1(vlan)#vtp v2-mode启用的VTP版本号为2V2 mode enabled.FB1(vlan)#vtp password 123456设置VTP的密码为123456，交换机的VTP必须密码一致才能同步Setting device VLAN database password to 123456.FB1(vlan)#vtp pruning启用VTP修剪，激活VTP剪裁功能，默认情况下主干道传输所有VLAN的用户 数据。有时，交换网络中某台交换机的所有端口都属于同一 VLAN的成员，没有必要 接收其他VLAN的用户数据。这时，可以激活主干道上的VTP剪裁功能。当激活了 VTP剪裁功能以后，交换机将自动剪裁本交换机没有定义的VLAN数据。在一个VTP域下，只需要在VTP服务器上激活VTP剪裁功能。同一 VTP域下的 所有其他交换机也将自动激活VTP剪裁功能。Pruning switched ONFB1(vlan)#apply应用以上配置APPLY completed.FB1(vlan)#exit退出VLAN配置模式进入特权模式APPLY completed.Exiting.在其他所有的交换机上都要做VTP配置，我们以FB2为例(见图3)图3分布层设备FB2FB2#vlan daFB2(vlan)#vtp domain ciscoChanging VTP domain name from NULL to ciscoFB2(vlan)#vtp client将FB2设置为客户端，客户端可以学习到服务端的所有VLAN信息。客户模式 是没有创建、修改、删除VLAN得权利的，它只能接收和转发信息。而服务器模式拥 有以上的所用功能。Setting device to VTP CLIENT mode.FB2(vlan)#vtp v2V2 mode enabled.FB2(vlan)#vtp password 123456Setting device VLAN database password to 123456.FB2(vlan)#exitIn CLIENT state, no apply attempted.Exiting.4.5.3 划分 VLAN现在我们根据需求在服务端FB1上配置VLAN信息，创建并命名(见表1)FB11#vlan daFB1(vlan)#vlan 10 name GLB创建一个VLAN 10命名为GLBVLAN 10 modified:Name: GLBFB1(vlan)#vlan 20 name SCBVLAN 20 added:Name: SCBFB1(vlan)#vlan 30 name CWBVLAN 30 added:Name: CWBFB1(vlan)#vlan 40 name XSBVLAN 40 added:Name: XSBFB1(