某大型连锁商业企业网络系统规划与设计.doc

《某大型连锁商业企业网络系统规划与设计.doc》由会员分享，可在线阅读，更多相关《某大型连锁商业企业网络系统规划与设计.doc（33页珍藏版）》请在咨信网上搜索。

网络集成实训 深 圳 职 业 技 术 学 院 网 络 集 成 实 训 某大型连锁商业企业网络系统规划与设计 班级：计算机网络技术132班 姓名： 目录 第一章 需求分析 6 一、 某大型连锁商业企业网络系统规划与设计背景与需求 6 二、某大型连锁商业企业网络的建设目标 7 第二章 企业网络设计方案 7 一、 方案设计目标 7 二、 方案说明 9 1. 网络总体设计规划分析 9 2.网络中心规划设计 10 3.分部网络规划与设计 12 4.IP地址规划与VLAN划分 13 5.网络设备选型 14 6.关键技术 24 第三章 配置命令 26 1.端口汇聚 26 2.创建VLAN 27 3.启用GVRP 27 4.划分VLAN 28 5.启动RSTP生成树 29 6.VRRP 配置 29 7.配置缺省路由 31 8.启用OSPF协议 32 9.ACL 32 10.ISDN的配置 33 11.PPP chap双向验证 33 前言 伴随全球信息化的日益发展网络领域也在飞速发展过程中。由于需要高效率、迅速处理各式各样事务，更加多的企业通过进行企业内部的内网连接进行日常工作的沟通交流和衔接工作。公用网络通讯工具作用于信息保密程度较高的大型公司网络会出现一些信息安全保密性的阻碍因素，因而公网上运行的通讯工具在一定程度上影响了员工的工作效率。企业要实现信息化管理，首要的条件就是建立企业内网，然后在该系统的基础上开发应用各种基础和专业软件。网络化可以有效地实现企业内部的资源共享、信息发布、技术交流、生产组织。此外，还可以通过这个网络连接到世界上其它计算机，使得企业方便地实现与外部的交流。 为了适应原有计算机网络的发展和扩大，以及适应各企业、事业部门筹建新的计算机网络，从事通信事业的部门和公司纷纷建立公用数据通信网络，增设各类数据通信服务项目。使用公用数据通信网时，不需要铺设或租用专用线路，所以投资少、通信费用低，便于中小型企事业单位的计算机和终端入网。另外由于采用标准通信接口设备，还易把新型计算机和终端连入网内。再有由于有了公用数据通信网作为基础后，想要筹建新的计算机网络时，只要根据 使用者的要求和资源设置情况，制定较高级别的网络协议，并在相应主机系统上用本国相应协议的支持软件即可。一般地说，在公用数据通信网的基础上可以建立多个类型、功能、协议均不相同的计算机网络。因此，同一主机系统可以从用于不同的计算机网络，只要在同一主机中配置不同的网络所需要的基本软件就可能做到这一点。更进一步，如果在不同计算机网络之间，群制定网络互连协议配置相应软件，就能构成更复杂的、规模更大的计算机网络。 第一章 需求分析 一、 网络的分布情况和应用需求分析 某商场百货企业由商场百货企业总部和8个商场百货构成，商场百货遍布全市各区域。商场百货企业总部设办公室、人力资源部、计划财务部、市场营销部、客户服务中心、资金运营中心、会计结算部、资产评估部、资产管理中心、信息网络中心、党群工作部、安全保卫部、物业管理部等十多个部门，每个部门电脑用户情况如下： 部 门 计划财务部 市场营销部 客户服务中心 资金运营中心 会计结算部 资产评估部 信息网络中心 信息点数量 30 60 40 40 38 35 20 其他部门用户信息点数量为15个左右。 各商场的电脑用户信息点包括售货终端电脑、办公电脑和服务器，售货终端电脑不超过20台，办公电脑15台左右，服务器5台左右。整个企业的数据中心设于企业总部信息网络中心，包括数据库、邮件、WEB、DNS、办公自动化等各类服务器8台 为保证企业业务的正常进行，须建设企业专网，实现企业总部与各商场网点安全、可靠的互连互通。 二、某大型连锁商业企业网络的设计原则 1. 采用适当的的网络技术，构建先进成熟的企业专网。 2. 充分考虑企业发展的需求，在拓扑设计和设备选型等方面确保网络具有较高的可扩展性。 3. 充分考虑网络高可靠性的要求，对网络重要环节、重要部分进行冗余设计，不能存在单点故障。 4. 充分考虑网络对安全性的要求，根据企业用户性质和业务特点，对网络的安全措施进行统筹规划，综合应用各类安全技术对网络的安全进行设计。 5. 在技术选择、设备选型方面，考虑性价比最大化。 第二章 企业网络设计方案 一、 方案设计目标 1. 采用国际标准通信协议、标准操作系统、标准网管软件、采用符合标准的设备。 2. 合标准的设备在城域网上能将OA、ERP集成在同一个网络中。充分利用所申请的专线带宽，是利益最大化，保护用户的投资。 3. 安全可靠性，确保网络可靠运行，在网络的关键部分应具有容错能力，提供公共网络连接、通信链路、服务器等全方位的安全管理系统。核心设备选型性能相对较高，适应后期网络扩展升级。 4. 具有相对完善的网管系统，对计算机网络进行进行有效的监控管理。优化网络流量，提高网络运行安全性，通过日志文件等多种手段，保证网络的高效运行。 通过以上几个目标的努力，是连锁商场的企业网络系统具有更好的先进性、可靠性、安全性和可扩展性。 二、 方案说明 1.网络中心规划设计 总部网络拓扑图 总部网络分成三层，分别是接入层、汇聚层和核心层。商场百货企业总部设办公室、人力资源部、计划财务部、市场营销部、客户服务中心、资金运营中心、会计结算部、资产评估部、资产管理中心、信息网络中心、党群工作部、安全保卫部、物业管理部等十三个部门，各部门信息点都连接到接入层交换机。 汇聚层交换机由两台二层交换机组成，两台交换机用两根1000Base-T进行链路聚合，实现数据的快速交换和设备冗余。汇聚层交换机跟接入层交换机之间用100Base-T进行连接。在汇聚层交换机上将各部门划入相应VLAN。 核心层交换机与汇聚层交换机也用1000Base-T链路进行连接，并与汇聚层交换机实现双线连接，实现链路冗余和链路聚合，保证网络的可靠和高效。 总部申请10M的ADSL接入Internet，实现访问Internet与网上商城百货企业等业务的接入。总部访问外网时要经过一台路由器和一台防火墙，路由器提供访问互联网的功能。防火墙则保护内部网络，以防黑客的攻击。 总部还设有数据中心，共有5台服务器，并与接入层交换机相连。 3.分部网络规划与设计 分部主要由一台边界路由器和一台二层交换作为主体，路由器通过帧中继网络进行连接。交换机与路由器进行双线连接，实现链路冗余。各信息点和服务器通过10/100Base-T以太网线与交换机连接。 4.IP地址规划与VLAN划分 总部IP划分（掩码均为24） 部门 信息数量 IP范围 VLAN 网关 企业总部办公室 15 10.1.1.1-10.1.1.15 2 10.1.1.254 人力资源部 15 10.1.2.1-10.1.2.15 3 10.1.2.254 计划财务部 30 10.1.3.1-10.1.3.30 4 10.1.3.254 市场营销部 60 10.1.4.1-10.1.4.60 5 10.1.4.254 客户服务中心 40 10.1.5.1-10.1.5.40 6 10.1.5.254 采购部 40 10.1.6.1-10.1.6.40 7 10.1.6.254 仓储物流部 38 10.1.7.1-10.1.7.38 8 10.1.7.254 业务管理部 35 10.1.8.1-10.1.8.35 9 10.1.8.254 设备技术部 15 10.1.9.1-10.1.9.15 10 10.1.9.254 信息网络中心 20 10.1.10.1-10.1.10.20 11 10.1.10.254 党群工作部 15 10.1.11.1-10.1.11.15 12 10.1.11.254 安全保卫部 15 10.1.12.1-10.1.12.15 13 10.1.12.254 物业管理部 15 10.1.13.1-10.1.13.15 14 10.1.13.254 网管中心IP划分（掩码均为24） 网管中心 15 10.1.14.1-10.1.14.15 15 10.1.14.254 数据中心 5 10.1.15.1-10.1.15.5 15 10.1.15.254 各分部IP划分（掩码均为24） 营业点 信息数量 IP范围 网关 福田区 20 10.2.0.1-10.2.0.20 10.2.0.254 罗湖区1 20 10.2.1.1-10.2.1.20 10.2.1.254 罗湖区2 20 10.2.2.1-10.2.2.20 10.2.2.254 南山区 20 10.2.3.1-10.2.3.20 10.2.3.254 龙岗区 20 10.2.4.1-10.2.4.20 10.2.4.254 宝安区 20 10.2.5.1-10.2.5.20 10.2.5.254 盐田区1 20 10.2.6.1-10.2.6.20 10.2.6.254 盐田区2 20 10.2.7.1-10.2.7.20 10.2.7.254 5.网络设备选型 1.设备选型 产品 型号 数量（台） 价格（元） 核心层交换机 H3C LSQM1GV48SA0 S7500E 2 35000 汇聚层交换机 汇聚层交换机H3C LS-3600-52P-SI 2 13650 接入层交换机 H3C SMB-S5024PV2-EI 29 1250 防火墙 H3C SecPath F100-S-AC 1 9900 总部路由器 H3C ER8300G2 2 7580 分部路由器 H3C ER5200 8 3600 总计 154630 1. 设备参数 核心交换机 H3C LSQM1GV48SA0 S7500E 详细参数 基本参数 用手机客户端查配置更方便 产品型号 LS-7506E 产品类型 企业级 应用层级 三层 背板带宽 2.56Tbps 包转发率 1920Mpps 传输方式 存储转发方式 硬件参数 接口类型 10Base-T, 100Base-T, 1000BASE-X, 1000BaseT 传输速率 10M/100M/1000Mbps 端口结构 模块化 扩展插槽 6 堆叠支持 可堆叠 网络与软件 网络标准 IEEE 802.1P, IEEE 802.1Q, IEEE 802.1d, 802.1w, 802.1s, IEEE 802.1ad, IEEE 802.3x, IEEE 802.3ad, IEEE 802.3, 802.3u, IEEE 802.3z, 802.3ab, IEEE 802.3ae, IEEE 802.3af 802.3ad, 802.3, 802.3u, 802.3x, 802.3z, 802.3af VLAN支持 支持VLAN功能 双工传输 支持全双工 MAC地址表 128K 网管功能 持网管功能,支持FTP,TFTP,Xmodem,SNMP V1/V2/V3,RMON,NTP时钟,HGMP,多种配置方式 其他性能 槽位数量：8 业务槽位数量：6 其它参数 电源电压 100V-240V 最大功率 1400/ 2800W 外形尺寸 436×575×420 mm 重量 ≤77Kg 汇聚层交换机H3C LS-3600-52P-SI 基本参数 用手机客户端查配置更方便 产品型号 LS-3600-52P-SI 产品类型 企业级 应用层级 三层 包转发率 13.2Mpps 传输方式 存储转发方式 硬件参数 接口类型 10/100Base-T端口,1000Base-X SFP端口,(48个10/100Base-T以太网端口,4个1000Base-X SFP千兆以太网端口) 接口数目 48口 传输速率 10M/100Mbps,1000Mbps,10M/100M/1000Mbps 扩展插槽 4个1000Base-X SFP千兆以太网端口 管理端口 1个Console口 网络与软件 VLAN支持 支持VLAN功能,支持4K个符合IEEE 802.1Q标准的VLAN,支持基于端口的VLAN和基于协议的VLAN,支持GuestVlan,支持GVRP 双工传输 支持全双工,支持IEEE 802.3x流控(全双工),支持背压式流控(半双工) MAC地址表 16K,地址自学习,IEEE 802.1D标准,支持静态MAC地址1K 网管功能 命令行接口(CLI)配置,支持Telnet远程配置,通过Console口配置,WEB网管,支持SNMPV1/V2/V3, 支持RMON 1,2,3,9组MIB, 支持QuidView网管系统,支持HGMPv2集群管理,支持系统日志,支持分级告警 认证标准 FCC Class A,CISPR 22 Class A,EN 55022 Class A,ICES -003 Class A,VCCI Class A,AS/NZS 3548 Class A,EN 61000-3-2,EN 61000-3-3 其他性能 支持流量控制(Flow Control),支持服务质量(QoS),生成树协议支持,广播风暴控制,802.1x认证支持,支持端口汇聚,镜像支持 其它参数 电源电压 额定电压:100-240V AC 50/60Hz, 最大电压:90-264V AC 50/60Hz 最大功率 50W 外形尺寸 440×260×43.6mm 重量 4Kg  接入层交换机H3C SMB-S5024PV2-EI 基本参数 用手机客户端查配置更方便 产品型号 SMB-S5024PV2-EI 产品类型 千兆以太网 背板带宽 240 包转发率 42 硬件参数 接口类型 24个10/100/1000Base-T以太网端口 4个1000Base-X以太网端口 管理端口 1个Console口 网络与软件 QoS支持 支持QoS VLAN支持 支持VLAN功能 端口聚合 支持端口聚合功能 双工传输 支持全双工 网管功能 支持网管功能 其它参数 电源电压 AC：100V～240V AC，50/60Hz 最大功率 ≤ 19W 外形尺寸 440×173×44mm 纠错 重量 ≤ 2.2Kg 华为USG6308参数 基本参数 用手机客户端查配置更方便 防火墙类型 下一代防火墙 产品型号 USG6308 产品类型 企业级,VPN防火墙 最大吞吐量 防火墙吞吐量:800Mbit/s,IPSec吞吐量:400Mbit/s 外形尺寸 442×421×43.6mm 重量 10Kg 硬件参数 硬件参数 产品形态:1U机架,HDD:选配,300GB单硬盘,可热插拔 SDRAM内存 4G 固定接口 4GE+2Combo 扩展插槽 2WSIC 网络与软件 用户数限制 400 每秒连接数 25000新建连接数 并发连接数 FW最大并发:1000000,IPSec最大连接数:2000并发连接数 策略数 15000个策略数 VPN 支持VPN功能 防火墙性能 入侵防御(IPS) 防病毒(AV) 数据防泄漏(DLP) 上网行为管理&审计 基于应用的QoS优化 负载均衡 智能策略管理 Anti-DDoS 其它参数 电源电压 AC100V-240V 最大功率 170W 其它 工作环境:温度:0-45℃(不含硬盘)/5-40℃(包含硬盘)湿度:10-90% 一体化防护 应用识别与管控 入侵防御与Web防护 防病毒 数据防泄漏 带宽管理与QoS优化 URL过滤 行为和内容审计 负载均衡 业务智能选路 VPN加密 SSL加密流量检测 Anti-DDoS 基于用户的防护 安全虚拟化 智能管理 丰富的报表 路由特性 部署及可靠性  总部路由器H3C ER8300G2 基本参数 用手机客户端查配置更方便 产品型号 ER8300G2 产品类型 企业网吧路由 传输速率 10/100/1000Mbps 广域网接口 2个10/100/1000M WAN口 局域网接口 8个10/100/1000M LAN口 硬件参数 处理器 专业的网络处理器(四核1.2GHz) DRAM内存 1024MB 其他性能 1个USB接口 1个Console口 散热方式:风扇散热 软件参数 网络标准 PPP,CHAP,PAP,MS-CHAP,PPPoE,DHCP客户端,DHCP服务器,NAPT,NTP,DDNS 网络管理 组策略管理(支持基于IP/MAC/时间段的组策略配置) HTTP下载文件类型过滤 URL过滤(黑白名单) MAC地址过滤 QQ/MSN访问控制 安全性能 防止Land 攻击功能,防止Smurf攻击功能,防止WinNuke攻击功能,防止Ping of Death攻击,防止SYN Flood攻击功能,防止UDP Flood攻击功能,防止ICMP Flood攻击功能,防止IP Spoofing功能,防止碎片包攻击,防止TearDrop攻击,防止Fraggle攻击功能 防止TCP syn扫描,防止Stealth FIN扫描,防止TCP Xmas Tree扫描,防止TCP Null扫描,防止UDP扫描功能 静态ARP(IP<->MAC地址绑定),DHCP授权ARP(自动绑定DHCP分配的IP),ARP防攻击/免费ARP,状态数据包检查 防止WAN口的Ping VPN支持 支持 VPN描述 IPSec VPN 防火墙 有 QoS支持 支持 NAT支持 支持 认证标准 电信入网证,3C认证 其它性能 支持64个VLAN L2TP Server L2TP Client ALG 端口触发 UPnP 虚拟服务器 DMZ 主机 VPN透传(PPTP,L2TP,IPSec) 其它参数 尺寸 440×230×44mm 电源 100-240V 纠错 功率 <20W 工作环境 环境温度:0-40℃ 境相对湿度:5-95%(非冷凝) 分部路由器H3C ER5200 产品型号 ER5200 产品类型 企业网吧路由 传输速率 10/100/1000Mbps 端口结构 非模块化 广域网接口 2个 局域网接口 3个 硬件参数 处理器 MIPS 64位双核500Hz网络处理器 DRAM内存 64M DDR II,主频533M 控制端口 1个Console接口 扩展插槽 无扩展插槽 软件参数 包转发率 10 Mbps: 14,880 pps,100 Mbps: 148,810 pps ,1000 Mbps: 1,488,100 pps 支持协议 PPPoE,DHCP 客户端,DHCP服务器,静态路由,NAPT,NTP,DDNS(www.3322.org,花生壳),VPN透传(PPTP,L2TP,IPSec) 网络管理 基于WEB的用户管理接口,命令行CLI,通过HTTP升级系统软件 VPN支持 支持 防火墙 有 QoS支持 支持 NAT支持 支持,通过基于IP或基于NAT表项的网络流量限速机制 认证标准 CE, FCC Class B,UL 其它性能 双WAN轻松配置/支持WAN,LAN口的MAC地址修改/支持DDNS/典型带机量:250-350台  网管软件：全中文WEB配置  内存：64M DDR II,主频533M 其它参数 尺寸 440×230×44mm 电源 100-240V AC,50/60Hz 纠错 功率 15W 2. 设备选型分析 核心层 我们在核心层选用了两台H3C S7506-AC系列高端多业务路由交换机是华为3Com公司面向IP城域网、大型企业网及园区网用户开发的系列大容量、高密度、模块化的二、三层线速以太网交换机产品，主要作为企业的核心交换机。它的高性能也是我们所看到的，它的背板带宽达到了1600Gbps,可以实现全线速转发。减少了数据包在核心层的拥塞。同时具有丰富的业务功能、强大的QoS保障、完善的安全管理机制和电信级的高可靠设计，完全满足行业客户和运营商用户对多业务、高可靠、大容量、模块化的需求。极高的性价比，业务可平滑扩展升级，保护用户投资。 汇聚层 在企业总部的汇聚层我们采用了两台H3C LS-3600系列快速智能三层交换机是华为3Com公司为充分满足高QOS保证的需求而推出的智能型以太网交换机，全线速的多层交换。48接口数目以便与接入层交换机互联，4个1000Base-X SFP千兆以太网端口扩展插槽，方便与核心层进行端口汇聚，提高更大的传输带宽。 更高的性能也是我们看重的，H3C LS-3600系列交换机支持VLAN功能,支持4K个符合IEEE 802.1Q标准的VLAN,支持基于端口的VLAN和基于协议的VLAN,支持GuestVlan,支持GVRP命令行接口(CLI)配置,支持Telnet远程配置,通过Console口配置,WEB网管,支持SNMPV1/V2/V3,支持QuidView网管系统,支持HGMPv2集群管理,支持系统日志,支持分级告警。多种丰富的功能方便网络管理员维护和后期管理。 接入层 在企业总部的接入层我们选用的是H3C S1224R系列二层交换机。它是24个10/100/1000Mbps自适应以太网端口的交换机，用它来做连接各个信息点的交换机再好不过了，可以满足对整个企业网络的终端互联。它的高性价比是我们选用它的最佳理由，作为企业最受欢迎的二层交换机，为企业也节省了不少开支，促使了企业的利益最大化。可最大限度地保护用户的已有投资。 防火墙 H3C SecPath F100-S是华为3Com公司面向SOHO、小企业或分支机构用户开发的新一代专业接入防火墙设备。支持外部攻击防范、内网安全、流量监控等功能，能够有效的保证网络的安全；可对连接状态过程和异常命令进行检测；支持AAA、NAT等技术，可以确保在开放的Internet上实现安全的、满足可靠质量要求的网络；支持多种VPN业务，如L2TP VPN、IPSec VPN、GRE VPN、华为动态VPN等，可以构建Internet、Intranet、Remote Access等多种形式的VPN。提高了企业的安全性，方便了企业员工后期的移动办公。 主要功能：增强型状态安全过滤,抗攻击防范能力,应用层内容过滤, 多种安全认证服务,集中管理与审计,全面NAT应用支持,专业灵活的VPN服务,智能网络集成及QoS保证,电信级设备高可靠性,智能 图形化的管理。 6.关键技术 2.1 VLAN技术 根据各部门职能不同把各部门划入不同的VLAN减少了广播，提高了通信效率。VLAN(Virtual Local Area Network)就是虚拟局域网的意思。VLAN可以不考虑用户的物理位置，而根据功能、应用等因素将用户从逻辑上划分为一个个功能相对独立的工作组，每个用户主机都连接在一个支持VLAN的交换机端口上并属于一个VLAN。同一个VLAN中的成员都共享广播，形成一个广播域，而不同VLAN之间广播信息是相互隔离的。这样，将整个网络分割成多个不同的广播域(VLAN)。 一般来说，如果一个VLAN里面的工作站发送一个广播，那么这个VLAN里面所有的工作站都接收到这个广播，但是交换机不会将广播发送至其他VLAN上的任何一个端口。如果要将广播发送到其它的VLAN端口，就要用到三层交换机。 2.2 三层交换技术 三层交换（也称多层交换技术，或IP交换技术）是相对于传统交换概念而提出的。众所周知，传统的交换技术是在OSI网络标准模型中的第二层——数据链路层进行操作的，而三层交换技术是在网络模型中的第三层实现了数据包的高速转发。简单地说，三层交换技术就是：二层交换技术＋三层转发技术。 三层交换技术的出现，解决了局域网中网段划分之后，网段中子网必须依赖路由器进行管理的局面，解决了传统路由器低速、复杂所造成的网络传输瓶颈问题。 2.3 ACL技术 控制访问列表（Access Control List，ACL）: ACL可以限制网络流量、提高网络性能。例如，ACL可以根据数据包的协议，指定数据包的优先级。 ACL提供对通信流量的控制手段。例如，ACL可以限定或简化路由更新信息的长度，从而限制通过路由器某一网段的通信流量。 ACL是提供网络安全访问的基本手段。ACL允许主机A访问人力资源网络，而拒绝主机B访问。 ACL可以在路由器端口处决定哪种类型的通信流量被转发或被阻塞。例如，用户可以允许E-mail通信流量被路由，拒绝所有的Telnet通信流量。 例如：某部门要求只能使用 WWW 这个功能，就可以通过ACL实现； 又例如，为了某部门的保密性，不允许其访问外网，也不允许外网访问它，就可以通过ACL实现。 2.4 路由协议 路由器提供了将异构网络互连起来的机制，实现将一个数据包从一个网络发送到另一个网络。路由就是指导IP数据包发送的路径信息。 在互联网中进行路由选择要使用路由器，路由器只是根据所收到的数据报头的目的地址选择一个合适的路径，将数据包传送到下一个路由器，路径上最后的路由器负责将数据包送交目的主机。数据包在网络上的传输就好像是体育运动中的接力赛一样，每一个路由器只负责将数据包在本站通过最优的路径转发，通过多个路由器一站一站地接力将数据包通过最优路径转发到目的地。 2.5 PVST技术 每VLAN生成树(PVST)为每个在网络中配置的VLAN维护一个生成树实例。它使用ISL中继和允许一个VLAN中继当被其它VLANs的阻塞时将一些VLANs转发。尽管PVST对待每个VLAN作为一个单独的网络，它有能力（在第2层）通过一些在主干和其它在另一个主干中的不引起生成树循环的Vlans中的一些VLANs来负载平衡通信。 2.6 EtherChannel： 交换机S1, S2之间有两条链路相连，如果捆绑在一起，成为一个逻辑聚合链路 (trunk)，不但增加带宽，并提供冗余容错的能力。上连链路采用该技术，保证了带宽，也保证冗余、负载平衡。 2.7 GVRP技术 GARP VLAN 注册协议（GVRP）是一种 GARP （通用属性注册协议）的应用，提供 802.1Q 兼容的 VLAN 裁剪（VLAN pruning）功能和在 802.1Q 干线端口（trunk port）上建立动态 VLAN。GVRP 定义在 IEEE 802.1P 标准中，允许对 802.1Q VLAN 进行控制。 GVRP 交换机之间能够相互交换 VLAN 配置信息，裁剪不必要的广播和未知单播流量以及在通过 802.1Q 干线连接的交换机上动态创建和管理 VLAN。 GVRP 中采用了 GID 和 GIP，这两部分分别提供了用于基于 GARP 应用程序的通用状态机制描述和通用信息传播机制。GVRP 只运行在 802.1Q 干线链路上。GVRP 通过剪除干线链路使得只有活动 VLAN 才在干线连接上传输。在 GVRP 为干线添加一个 VLAN 之前，它首先要收到来自交换机的 join 信息。 GVRP 更新信息和计时器都是可以改变的。GVRP 端口有多种运行模式，从而控制它们裁剪 VLAN 的方式。GVRP 能够为 VLAN 数据库动态添加和管理 VLAN。 2.8 VRRP技术 虚拟路由冗余协议(Virtual Router Redundancy Protocol，简称VRRP)是由IETF提出的解决局域网中配置静态网关出现单点失效现象的路由协议，1998年已推出正式的RFC2338协议标准。VRRP广泛应用在边缘网络中，它的设计目标是支持特定情况下IP数据流量失败转移不会引起混乱，允许主机使用单路由器，以及及时在实际第一跳路由器使用失败的情形下仍能够维护路由器间的连通性。 第三章 配置命令 1.端口汇聚 [SW1]int e1/0/1 [SW1-Ethernet1/0/1]duplex full [SW1-Ethernet1/0/1]speed 1000 [SW1-Ethernet1/0/1]quit [SW1]int e1/0/2 [SW1-Ethernet1/0/2]duplex full [SW1-Ethernet1/0/2]speed 1000 [SW1-Ethernet1/0/2]quit [SW1]link-aggregation e1/0/1 to e1/0/2 //进行端口汇聚 [SW2]int e1/0/1 [SW2-Ethernet1/0/1]duplex full [SW2-Ethernet1/0/1]speed 1000 [SW2-Ethernet1/0/1]quit [SW2]int e1/0/2 [SW2-Ethernet1/0/2]duplex full [SW2-Ethernet1/0/2]speed 1000 [SW2-Ethernet1/0/2]quit [SW2]link-aggregation e1/0/1 to e1/0/2 //与SW3、SW4相连的端口也是同样方法进行端口汇聚 2.创建VLAN [SW1]vlan 2 //创建部门VLAN [SW1]vlan 3 [SW1]vlan 4 [SW1]vlan 5 [SW1]vlan 6 …… [SW1]vlan 15 3.启用GVRP [SW1]gvrp //启动GVRP协议 [SW1]int e1/0/3 //在与SW3相连的端口 [SW1-Ethernet1/0/3]port link-type trunk //配置 trunk [SW1-Ethernet1/0/3]port trunk permit vlan all // 允许传送所有VLAN信息 [SW1-Ethernet1/0/3]gvrp [SW1]int e1/0/4 //在与SW4相连的端口 [SW1-Ethernet1/0/4]port link-type trunk [SW1-Ethernet1/0/4]port trunk permit vlan all [SW1-Ethernet1/0/4]gvrp 4.划分VLAN [SW3]vlan 2 //把端口划分到相应的VLAN中 [SW3-vlan2]port e1 [SW3]vlan 3 [SW3-vlan2]port e2 …… [SW3]vlan 14 [SW3-vlan2]port e13 5.启动RSTP生成树 [SW3]stp enable [SW3]stp mode pvstp //启用快速生成树 [SW3]stp root primary //将SW3设置为根桥 [SW4]stp enable [SW4]stp mode rstp //启用快速生成树 [SW4]stp root secondary //将SW4设置为备份根桥 6.VRRP 配置 [SW3]int vlan 100 //逻辑端口 [SW3-Vlan-interface100]ip add 10.1.100.1 255.255.255.0 //SW3作为部门1 至部门7的主交换机 //将部门1的网关指向SW3 [SW3-Vlan-interface100]vrrp vrid 1 virtual-ip 10.1.1.254 [SW3-Vlan-interface100]vrrp vrid 1 priority 110 [SW3-Vlan-interface100]vrrp vrid 1 preempt timer-delay 5 //将部门2的网关指向SW3 [SW3-Vlan-interface100]vrrp vrid 2 virtual-ip 10.1.2.254 [SW3-Vlan-interface100]vrrp vrid 2 priority 110 [SW3-Vlan-interface100]vrrp vrid 2 preempt timer-delay 5 //将部门3的网关指向SW3 [SW3-Vlan-interface100]vrrp vrid 3 virtual-ip 10.1.3.254 [SW3-Vlan-interface100]vrrp vrid 3 priority 110 [SW3-Vlan-interface100]vrrp vrid 3 preempt timer-delay 5 …… //SW3作为部门8 至部门13的从交换机 //部门8的网关指向SW3 [SW3-Vlan-interface100]vrrp vrid 8 virtual-ip 10.1.8.254 [SW3-Vlan-interface100]vrrp vrid 8 priority 100 [SW3-Vlan-interface100]vrrp vrid 8 preempt timer-delay 5 //部门9的网关指向SW3 [SW3-Vlan-interface100]vrrp vrid 9 virtual-ip 10.1.9.254 [SW3-Vlan-interface100]vrrp vrid 9 priority 100 [SW3-Vlan-interface100]vrrp vrid 9 preempt timer-delay 5 //部门10的网关指向SW3 [SW3-Vlan-interface100]vrrp vrid 10 virtual-ip 10.1.9.254 [SW3-Vlan-interface100]vrrp vrid 10 priority 100 [SW3-Vlan-interface100]vrrp vrid 10 preempt timer-delay 5 …… //SW4作为部门1 至部门7的从交换机 //部门1的网关指向SW4 [SW4-Vlan-interface100]vrrp vrid 1 virtual-ip 10.1.1.254 [SW4-Vlan-interface100]vrrp vrid 1 priority 100 [SW4-Vlan-interface100]vrrp vri