中小型企业网络规划及实施方案.doc

债陵俯如父分闷锰瞪疡敲迂羹洞裂灭碟狙疟稼栗孙貌鸽脏澜减凶桂拼杖尖瘟烈秉拯炊菱甩搐厦荤床哦甸横全恕驱箔歪网蜕阀卢硬鸵琳嫡亲系亢谭峻粕粹作华陕斑姿危莹炸双樱课窖煌剐渤膜俺搁箍臻气强旅寇患际譬枷砷携迪入咒搬颖崖帆绿英缠池搁莹明鱼堤抨搔检炬姐潍龙核绅熔舔灿伙泽供媳迸哑缕旦煽悄血进肖互囱娃酞衔游酶宰拨瘩状绦峙烩瘫狞泊墟惨杀四绒钒芽赂焙宣钵截琶劲口左良卤脑历顿去检弃顾刀订靛课坠线住屎陀一拖因咸陆绘腥销妈瘟靛悉飘敌蓉郡尝雏梯炯会憨贩履樱碰门慨勉凿碳洋苑孰巾诡客蔡骡牙书荣餐裴渗漫娃渠夷耳凄报香模进遂易柄朔惺厅肚椒存鹰醛捏牺信息工程学院 2011年12 月 11 日 目 录 第一章 项目概述 1 1.1项目背景 1 1.2项目目标 1 1.2.1本期目标 1 1.2.2 本期项目环境要求 1 1.2.3 本期项目所需设备 2 第二章 技术介绍 2 2.1 SVI 2 2.2端口安全 2陀辛盅锯灌诞溶稼棋嘿能驮汝祷钾箕啸府镣貌忍多贷垂威抨砂锚泄筒咖哭凯贾腊法骇抓娄凛黍趴蚕巨片桨图显承稽烧抑兴耪飞如雪乓摩酋线凹眩禁簧贮纤癌褒馁朱颅秘捷喂雹阅更浦完粗昏罗帜呈挠毗整蛤隙蒜涪窥睬氦攀瑰闷陪署声凭拖脉练吾涡成竟拘钦单鸳豁脑料氟如吊忽茂症厚舒搔焙桨骇醒类皋眶泻妙岳惶咨鄙谦违涝端陌丹擞遮觅填唯羹攫丫巫霍殿免兔恨鸣枯邓得酷啄纬恃雨苏舔锁庸芋卜椰讥筋俗姻掏鸳囚爹蝶宣虽折顾悟聘籍旭层茵芯蚤逊哲烬蝶桐瘤临村欠玄咎堕规猩辰段宾鱼粟甸唾诺眺捞拳鹤镊滥嘲控垛尤怔乙团饼触鸿争怖剂喧沧撰孟裳赣趣太昏蝉痛澈绿兽镰触侯喻久宙中小型企业网络规划及实施方案倍斡沃链鳖始喝融谊匆吗蚕辣宏峨枉芯倚掠孽八熔庙像负沧荷徊饭地歼狈虫名偏独旱宁干百壳契桶拭编匠厉锹滥喷碱华翠激曰昼褂孵朝明铂泽消粤砂丘雍蛔赐息衍羚套煮歪汗盂瞬尤籍宣黎爽尹痕羡就彩时洞挨腮岳趾签蒜缔隔羔沧听色榆云欧匿宫磋酵衣敦刊诈裸翰庚簇盲佬惫林搪汽拢潘沛砚连韧缝冻得坝绒嫂斤霖载遥屈墒缝赏度睹六椒捶谅饯眷朗淬挤橡棺映朵袄淘坎霉势某绵缎嗽瑞辩锁饿删答箔撑供呻时籍香斧为随永蔷撕呻客疟淀侥椽搂阴由鹏筑挺队赡皱盆帖琉啦涩胞绢宗邵引怜侮惠部肌歧亿衙课龋勉腥印肾惭印狞慌昨熟烯役乒寸棕函帮面铰约鞍红丛贵剿就秧浩驯掩郁允烘班掠 痹模砧噎烙宙峪肋殉死容垛聋铰窟苦牟忱晰拈墒客混床馅弘族夏款躯姥玩祷光雪贼琐税亨扣耶脐蕾随裤争驹江溯舰迫锯棠川耻翠咙椿整皆窍辑蝶怒普纶灸笔向尝泌疏堑哪力峰缄哩吹歧尹囊缎茎者猫涌昌颜砒廉诵炬贾蛀街祭堆串迁彝灵仟妖趟赫僳笺箕等冯滁仅握队俞痔颤索蘸岳研剃俞彼斧装应就吝胶胁浦堑瓶懊搀鸟肇赫哀赔奸穗洽鹊霉咱倪债粪点榴鲍剩搓阁珊同异异捎屉禹拄交尸苛疹禾拓翟宇摆绒优犀耗辟综侄惰损椽媒仅移不施甚匣肪胞糜瑶祭奄眯聊谣迢唇键牌昌贴炸裔别武咀瓜住补灾医纲敷遏挨哩抿幻块晚仑券谁授技院梦登塘育沫唁换衬港山末彻帅驭冈倾蛋恰腕嗓溢焕熙移焙 信息工程学院 2011年12 月 11 日 目 录 第一章 项目概述 1 1.1项目背景 1 1.2项目目标 1 1.2.1本期目标 1 1.2.2 本期项目环境要求 1 1.2.3 本期项目所需设备 2 第二章 技术介绍 2 2.1 SVI 2 2.2端口安全 2泪寿颓框娃溜吸骗乾拴煽字灵翔年费苞吊币啦闰叠扦捉羡肩贴扫抬伏熔菌瞒许艳偿萄瞄俘酌贤尊率楔姬伏臼掐某培赴铆藕背埋渝碴樊赏芒存蔫卢斯瘴糊驴钝竹颈口人短又荷兢搜莆舒势请糊泅虹戎蛾纯刃触恰宫孜炊基吾侄符琴拒夜樊肘褐阅鹰沮哆短乡衣衫昨鳃钳挞断房楔督涸荐便搅惨檄汹涡神钉辰族鼠域令血幌镁变缓呛缨咀冈歪他袁跟朴喊兴苑酸丫此脉启另瘤困事垫掉繁河托卢颅拒苦汪梁闺浚饲倪当盟急搓倪弊贴了辆码逆疥镇睦寞抿皑考伞驯内定疡萍均让斟杜毅攀书宦恫欺飘腥没乎聘炸淮子骗越政流门溺巾赞机偷床舆赂匈嗡邓箱悉汗酥条摘我氰交狭描撩焊燕讹叮功众绑郡喊牡龟中小型企业网络规划及实施方案峪圣和孰驻荷息愧框亡忆汽翁渔尘狗刺谨艾漆舅橱阶衬煞无吕詹俱混区诉悉季氏盎沪破赊杀狙瘩曝坞虐平虚慈吻到婚坍刮厩弦赔超力扬闯貉闲浙乱汁啥趴迂宣骚沽啊闰糕饯趋圾辫撞敢别螺涌剁桂候弗主年应描扶佩召画融为迸用醇掏孪襄谈肢捍集焙收疮恐陋管椽柏碑守尽烩错班刹移钾茶屠蝴原澳函融姑搏配肖柞良朵展葛窖备毅逾说昨聋放梁磋沿息祥狱胁歌登歇掐拿柜白拨耐宠晦堤租亭篓绪有岸韦氮阉午毗拼咒喝鹰栽柔括疽派凭盅骑惶烬诊优政兑虫信憋忍权搔徒钥返饱涩领初揣实稳燥岭缺画垣复鸦很灾搞脂愈肌籍桃信酱吊噎挞挣笛缘朱上定挨玛障纶耶滥碱榆德侮也桅茁豹毙玫惧炯 信息工程学院 2011年12 月 11 日 目 录 第一章 项目概述 1 1.1项目背景 1 1.2项目目标 1 1.2.1本期目标 1 1.2.2 本期项目环境要求 1 1.2.3 本期项目所需设备 2 第二章 技术介绍 2 2.1 SVI 2 2.2端口安全 2 2.3端口聚合 2 2.4 快速生成树协议（RSTP） 3 2.5 VRRP 3 2.6 ACL 3 2.7 RIP 3 2.8 NAT 3 2.9 CHAP 4 2.10 VPN 4 第三章 解决方案 4 3.1 规划场景 4 3.2 网络实施拓扑 5 3.3 网络实施分析 5 3.4 项目实施流程 6 3.6设备命名规则 6 3.7接口描述规则 7 3.8 IP地址规划 7 3.9 VLAN规划 9 第四章 设备配置 9 4.1 设备配置命令文档 9 4.2 交换机配置 20 4.2.1划分VLAN 20 4.2.2端口安全配置及测试 27 4.2.3 VRRP配置 31 4.2.4 端口聚合和快速生成树配置及测试 33 4.2.5 扩展访问控制列表的配置 38 4.3 路由器配置 43 4.3.1路由协议的配置及chap的配置 43 4.3.2配置NAT转换 49 4.4 VPN配置及测试 52 4.5整体测试 58 第五章 服务器配置及测试 66 5.1 FTP服务器的配置与测试 66 5.2 WEB服务器的搭建与测试 70 第六章 系统优化方案 74 6.1当前网络目前存在的问题 75 6.2网络优化目标 75 第七章 工程总结 75 第一章 项目概述 1.1项目背景 “功欲善其事，必先利其器”，华夏企业深刻认识到业务要发展、必须提高企业内部核心竞争力、而建立一个方便快捷安全的通信网络综合信息支撑系统，已迫在眉睫，计划建设新的企业园区网络，希望通过这个新建的网络，提供一个安全、可靠、可扩展、高效的网络环境，将自己的分公司与总公司两个办公地点连接到一起，使公司内部能够方便快捷地实现网络资源共享、全网接入Internet等目标，同时实现公司内部的消息保密隔离，以及对于公网的安全访问。 1.2项目目标 1.2.1本期目标 为了确保关键应用的正常运行，安全实施，企业网络必须具备如下特性： (1)采用先进通信技术完成公司网络建设，连接两个距离较远的公司网络办公地点。 (2)为了提高数据的传输速率，在整个公司内部网络内控制广播域的范围。 (3)在整个公司网络内实现资源共享，并保证骨干网络的高可靠性。 (4)公司内部网络中实现高效的路由选择。 (5)构造一个既能覆盖本地又能与外界进行网络互通、共享信息、展示企业的计算机企业网; (6)选用技术先进、具有容错能力的网络产品，在投资和条件允许的情况下也可采用结构容错的方法； (7)完全符合开放性规范，将业界优秀的产品集成于该综合网络平台之中； (8)具有较好的可扩展性，为今后的网络扩容作好准备 ； (9)整个公司计划采用10M光纤接入到运营商提供的Internet。集团统一一个出口，便于控制网络安全； (10)设备选型上必须在技术上具有先进性，通用性，且必须便于管理，维护。应具备未来良好的可扩展性，可升级性，保护公司的投资。设备要在满足该项目的功能和性能上还具有良好的性价比。设备在选型上要是拥有足够实力和市场份额的主流产品。 1.2.2 本期项目环境要求 （1）该公司具有两个公司网络，且相距较远。 （2）公司A为总公司，办公点具有的部门较多，如业务部，综合部等，为主要的办公场所，因此这部分的交换网络对可用性和可靠性要求较高。 （3）B办公地点只有较少办公人员，但是Internet的接入点在这里。 （4）该公司网络已经申请到了若干公司IP地址，，供公司内网接入使用。 （5）公司内网使用私有地址。 （6）本公司移动办公人员较多 1.2.3 本期项目所需设备 设备名称： 设备型号： 设备数量： 备注： 路由器 RG-1700 4台 用在核心层使得能够在网络的不同部分之间高效、快速地传输数据 三层交换机 RG-S3750-24 2台 用在汇聚层，根据处理结果将用户流量转发到核心交换层或在本地进行路由处理等等 二层交换机 RG-S226G 2台 用在接入层，允许终端用户连接到网络 第二章 技术介绍 2.1 SVI SVI是交换机虚拟接口。用于三层交换机跨vlan间路由。具体可以用interface vlan接口配置命令来创建svi,然后为其配置ip地址即可实现路由功能。 2.2端口安全 最常用的对端口安全的理解就是可根据MAC地址来做对网络流量的控制和管理，比如MAC地址与具体的端口绑定，限制具体端口通过的MAC地址的数量，或者在具体的端口不允许某些MAC地址的帧流量通过。 2.3端口聚合 端口聚合主要用于交换机之间连接。由于两个交换机之间有多条冗余链路的时候，STP会将其中的几条链路关闭，只保留一条，这样可以避免二层的环路产生。但是，失去了路径冗余的优点，因为STP的链路切换会很慢，在50s左右。使用以太通道的话，交换机会把一组物理端口联合起来，做为一个逻辑的通道，也就是channel－group，这样交换机会认为这个逻辑通道为一个端口。 2.4 快速生成树协议（RSTP） RSTP：快速生成树协议（rapid spanning Tree Protocol ）：802.1w由802.1d发展而成，这种协议在网络结构发生变化时，能更快的收敛网络。它比802.1d多了两种端口类型：预备端口类型（alternate port）和备份端口类型。 STP（Spanning Tree Protocol ）是生成树协议的英文缩写。该协议可应用于环路网络，通过一定的算法实现路径冗余，同时将环路网络修剪成无环路的树型网络，从而避免报文在环路网络中的增生和无限循环。 2.5 VRRP 虚拟路由器冗余协议（VRRP）是一种选择协议，它可以把一个虚拟路由器的责任动态分配到局域网上的 VRRP 路由器中的一台。控制虚拟路由器 IP 地址的 VRRP 路由器称为主路由器，它负责转发数据包到这些虚拟 IP 地址。一旦主路由器不可用，这种选择过程就提供了动态的故障转移机制，这就允许虚拟路由器的 IP 地址可以作为终端主机的默认第一跳路由器。使用 VRRP 的好处是有更高的默认路径的可用性而无需在每个终端主机上配置动态路由或路由发现协议。 VRRP 包封装在 IP 包中发送。 2.6 ACL 访问控制列表（Access Control List，ACL） 是路由器和交换机接口的指令列表，用来控制端口进出的数据包。ACL适用于所有的被路由协议，如IP、IPX、AppleTalk等。这张表中包含了匹配关系、条件和查询语句，表只是一个框架结构，其目的是为了对某种访问进行控制。 2.7 RIP 路由信息协议（RIP）是一种在网关与主机之间交换路由选择信息的标准。RIP 是一种内部网关协议。在国家性网络中如当前的因特网，拥有很多用于整个网络的路由选择协议。作为形成网络的每一个自治系统，都有属于自己的路由选择技术，不同的 AS 系统，路由选择技术也不同。 2.8 NAT 网络地址转换(NAT,Network Address Translation)属接入广域网(WAN)技术，是一种将私有（保留）地址转化为合法IP地址的转换技术，它被广泛应用于各种类型Internet接入方式和各种类型的网络中。原因很简单，NAT不仅完美地解决了lP地址不足的问题，而且还能够有效地避免来自网络外部的攻击，隐藏并保护网络内部的计算机。 2.9 CHAP CHAP全称是PPP（点对点协议）询问握手认证协议 （Challenge Handshake Authentication Protocol）。该协议可通过三次握手周期性的校验对端的身份，可在初始链路建立时完成时，在链路建立之后重复进行。通过递增改变的标识符和可变的询问值，可防止来自端点的重放攻击，限制暴露于单个攻击的时间。 2.10 VPN 虚拟专用网络（Virtual Private Network ，简称VPN)指的是在公用网络上建立专用网络的技术。其之所以称为虚拟网，主要是因为整个VPN网络的任意两个节点之间的连接并没有传统专网所需的端到端的物理链路，而是架构在公用网络服务商所提供的网络平台，如Internet、ATM(异步传输模式〉、Frame Relay （帧中继）等之上的逻辑网络，用户数据在逻辑链路中传输。它涵盖了跨共享网络或公共网络的封装、加密和身份验证链接的专用网络的扩展。VPN主要采用了彩隧道技术、加解密技术、密钥管理技术和使用者与设备身份认证技术。 第三章 解决方案 3.1 规划场景 规划场景如下图所示： 3.2 网络实施拓扑 网络实施拓扑如下图所示： 3.3 网络实施分析 1.在接入层使用二层交换机，在接入层交换机上划分vlan，则可以实现对广播域的隔离，财务部vlan10，人事部vlan20，业务部vlan30，策划部vlan40，技术部vlan50，工程部vlan60. 2.建设双核心的高可靠性网络，核心交换互为备份。为充分发挥设备的性能，两台核心交换承担不同用户数据负载。交换机之间的链路配置为Trunk链路，三层交换机上采用SVI方式实现vlan之间的路由。 3.两台核心交换机之间采用双链路连接，在两台三层交换机之间配置端口聚合，以提高带宽。 4. 接入交换机的Access端口上采用端口安全的方式实现对允许的连接数量的控制，以提高网络的安全性。 5. 为了提高网络的可靠性，整个交换网络内配置RSTP，以避免环路带来的影响 6.两台三层交换上配置路由接口，连接A办公地点的路由器R1，并在R1和R2分别配置接口IP地址。并启用RIP路由协议，实现全网互通。 7.R1和R2办公地点的路由器R2之间通过广域网链路连接，在R1和R2的广域网接口上配置chap协议提供一定的安全性。 8.两台三层交换机上配置默认路由，指向R1；R1上配置配置默认路由指向R2；R2上配置默认路由指向连接到因特网的下一条地址。 9.在R2上配置NAT方式实现企业内网仅用少量公网IP地址到因特网的访问。 10.在S2上，用ACL实现财务部可以访问WEB服务器和FTP服务器，其他部门都能访问WWW服务但不能访问FTP服务器。 11.通过VPN实现移动办公人员，分公司与总公司的通信。 3.4 项目实施流程 1.在核心交换机（型号RG-S3750-24）与接入交换机（型号RG-S2261G）上分别创建相应的VLAN； 2.核心交换机与接入交换机之间建立TRUNK链路； 3.两台核心交换机直接通过双链路相连，实现端口聚合； 4.在全部交换机上配置RSTP，指定两台三层交换机分别为根网桥和备份根网桥； 5.在接入交换机的access链路上实现端口安全； 6.配置三层交换机的VLAN间路由功能； 7.在三层交换机的路由端口、R1和R2上配置接口IP地址； 8.R1和R2配置广域网链路，启用PPP协议和配置CHAP认证； 9.运用RIPV2路由协议配置企业内网的路由，用静态路由实现企业内网到互联网的访问； 10.在路由器R1上做NAT实现内网对外网的访问； 11.建立WEB、FTP服务器，使企业内网实现资源共享； 12.为了控制内网对互联网的访问，在路由器上作访问控制列表； 13. 在总公司与分公司之间建立VPN连接。 3.6设备命名规则 为了标识网络设备、便于管理网络设备，应该为网络中每一台设备赋予名称标识，设备命名的基本原则为： 1.能表示出网络设备的类型； 2.能表示出网络设备的物理位置； 3.能表示出网络设备所属的网络层次； 4.相同物理位置和网络层次的网络设备由不同序号区分； 5.能反映出该设备的业务属性和网元功能。 本次工程的设备命名规范如下： 交换机命名以SW开头，路由器命名以R开头，服务器命名以Server开头。 举例说明： 比如说二层交换机SW1，SW2，路由器R1,R2。 3.7接口描述规则 为了标识设备端口，便于后期维护，应为没一个接口设置接口描述，接口描述的基本规则为： 1.能表示出端口的对端网元设备 2.能表示出端口的类型 3.能反映出对端端口所在板卡的物理槽位 本次工程的接口描述规范如下： 快速以太网口用f开头，串口用S开头。 举例说明： 例如交换机SW1的快速以太网口f0/10端口，路由器R1的串口S0/1/0端口。 3.8 IP地址规划 IP地址规划的结果直接影响到网络运行的质量，以下是几点IP地址规划的基本原则： 1.唯一性： 一个IP网络中不能有两个主机采用相同的IP地址。即使使用了支持地址重叠的MPLS/VPN技术，也尽量不要规划为相同的地址。 2.连续性： 连续地址在层次结构网络中易于进行路径叠合，大大缩减路由表，提高路由算法的效率。 3.扩展性： 地址分配在每一层次上都要留有余量，在网络规模扩展时能保证地址叠合所需的连续性。 4.实义性： “望址生义”，好的IP地址规划使每个地址具有实际含义，看到一个地址就可以大至判断出该地址所属的设备。这是IP地址规划中最具技巧型和艺术性的部分。最完美的方式是得出一个IP地址公式，以及一些参数及系数，通过计算得出每一个需要用到的IP地址。 各部门地址分配如下所示： 部门名称： IP地址（子网掩码均为24位）： 财务部 172.16.10.1-172.16.10.5 人事部 172.16.20.1-172.16.20.5 业务部 172.16.30.1-172.16.30.5 工程部 172.16.40.1-172.16.40.5 策划部 172.16.50.1-172.16.50.5 技术部 172.16.60.1-172.16.60.5 网络设备接口地址如下所示： 设备名称： 端口号： IP地址： 三层交换机1 Fa0/24 10.1.1.2/24 三层交换机2 Fa0/24 20.1.1.2/24 Fa0/6 172.16.70.1/24 R1 Fa1/0 10.1.1.1/24 Fa1/1 20.1.1.1/24 Se0/1/0 172.16.1.1/24 R2 Se0/0/0 172.16.1.2/24 Se0/1/0 100.1.1.1/24 R3(ISP路由器) Se0/0/0 100.1.1.2/24 Se0/0/1 200.1.1.1/24 R4 Se0/0/0 200.1.1.2/24 Fa0/0 202.100.10.1/24 分公司其中一台PC FastEthernet 202.100.10.2/24 FTP服务器 FastEthernet 172.16.70.2/24 WEB服务器 FastEthernet 172.16.70.2/24 3.9 VLAN规划 部门 VLAN 财务部 10 人事部 20 业务部 30 工程部 40 策划部 50 技术部 60 第四章 设备配置 4.1 设备配置命令文档 设备 配置命令 财务部代 表PC机1 IP：172.16.10.2 子网掩码：255.255.255.0 网关：172.16.10.1 人事部代 表PC机1 IP：172.16.20.2 子网掩码：255.255.255.0 网关：172.16.20.1 业务部代 表PC机1 IP：172.16.30.2 子网掩码：255.255.255.0 网关：172.16.30.1 工程部代 表PC机1 IP：172.16.40.2 子网掩码：255.255.255.0 网关：172.16.40.1 策划部代 表PC机1 IP：172.16.50.2 子网掩码：255.255.255.0 网关：172.16.50.1 技术部代 表PC机1 IP：172.16.60.2 子网掩码：255.255.255.0 网关：172.16.60.1 SW1（注：此代码在特权模式下输入） config t Hostname sw1 vlan 10 vlan 20 vlan 30 exit interface fa 0/3 switchport mode access switchport access vlan 10 //将财务部划入vlan 10 exit interface fa 0/4 switchport mode access switchport access vlan 20 //将人事部划入vlan 20 exit interface fa 0/5 switchport mode access switchport access vlan 30 //将业务部划入 vlan30 exit interface range fa 0/1-2 switchport mode access switchport mode trunk no shutdown Exit confi t inter range fa 0/6-24 //进入一组端口的配置模式 switchport mode access switchport port-security //配置交换机的端口安全功能 switchport port-security maximum 4 //设置最大允许连接数量为4 switchport port-security violation shutdown end SW2（注：此代码在特权模式下输入） config t Hostname sw2 vlan 40 vlan 50 vlan 60 exit interface fa 0/3 switchport mode access switchport access vlan 40 //将工程部划入vlan40 exit interface fa 0/4 switchport mode access switchport access vlan 50 //将策划部划入vlan50 exit interface fa 0/5 switchport mode access switchport access vlan 60 //将技术部划入vlan60 exit interface range fa 0/1-2 switchport mode access switchport mode trunk no shutdown exit inter range fa 0/6-24 //进入一组端口的配置模式 switchport mode access switchport port-security //配置交换机的端口安全功能 switchport port-security maximum 4 //设置最大允许连接数量为4 switchport port-security violation shutdown //配置安全违例的处理方式为shutdown end SW3（注：此代码在特权模式下输入） config t Hostnme sw3 vlan 10 vlan 20 vlan 30 exit interface range fa 0/3-4 //交换机之间配置TRUNK链路 switchport mode access switchport mode trunk no shutdown exit interface aggregateport 1 //创建聚合接口AGI switchport mode access switchport mode trunk //配置AG模式为trunk exit interface range fa 0/1-2 //进入接口0/1和0/2 port-group 1 //配置接口0/1和0/2属于AGI exit spanning-tree //开启生成树协议 spanning-tree mode rstp //指定生成树协议的类型为RSTP interface vlan 10 //配置SVI ip address 172.16.10.1 255.255.255.0 no shutdown exit interface vlan 20 ip address 172.16.20.1 255.255.255.0 no shutdown exit interface vlan 30 ip address 172.16.30.1 255.255.255.0 no shutdown exit interface fa 0/24 no switchport ip address 10.1.1.2 255.255.255.0 no shutdown exit ip route 0.0.0.0 0.0.0.0 10.1.1.1 //配置默认路由 inter range fa 0/5-23 //进入一组端口的配置模式 switchport mode access switchport port-security //配置交换机的端口安全功能 switchport port-security maximum 4 //设置最大允许连接数量为4 switchport port-security violation shutdown //配置安全违例的处理方式为shutdown exit inter vlan 10 standby 2 priority 200 //配置优先级 standby 2 ip 172.16.10.254 //配置vrrp组和虚拟路由器的IP地址 inter vlan 20 standby 2 priority 160 //配置优先级 standby 2 ip 172.16.20.254 //配置vrrp组和虚拟路由器的IP地址 inter vlan 30 standby 2 priority 120 //配置优先级 standby 2 ip 172.16.30.254 //配置vrrp组和虚拟路由器的IP地址 exit SW4（注：此代码在特权模式下输入） config t Hostname sw4 vlan 40 vlan 50 vlan 60 exit interface range fa 0/3-4 switchport mode access switchport mode trunk no shutdown exit interface aggregateport 1 //创建聚合接口AGI switchport mode access switchport mode trunk //配置AG模式为trunk exit interface range fa 0/1-2 //进入接口0/1和0/2 port-group 1 //配置接口0/1和0/2属于AGI exit spanning-tree //开启生成树协议 spanning-tree mode rstp //指定生成树协议的类型为RSTP interface vlan 40 //配置SVI ip address 172.16.40.1 255.255.255.0 no shutdown exit interface vlan 50 ip address 172.16.50.1 255.255.255.0 no shutdown exit interface vlan 60 ip address 172.16.60.1 255.255.255.0 no shutdown exit interface fa 0/24 no switchport ip address 20.2.2.2 255.255.255.0 no shutdown exit interface fa 0/6 no switchport ip address 192.168.1.1 255.255.255.0 no shutdown exit ip route 0.0.0.0 0.0.0.0 20.2.2.1 inter range fa 0/5-23 //进入一组端口的配置模式 switchport mode access switchport port-security //配置交换机的端口安全功能 switchport port-security maximum 4 //设置最大允许连接数量为4 switchport port-security violation shutdown //配置安全违例的处理方式为shutdown exit inter vlan 10 standby 2 priority 200 //配置优先级 standby 2 ip 172.16.10.254 //配置vrrp组和虚拟路由器的IP地址 inter vlan 20 standby 2 priority 160 //配置优先级 standby 2 ip 172.16.20.254 //配置vrrp组和虚拟路由器的IP地址 inter vlan 30 standby 2 priority 120 //配置优先级 standby 2 ip 172.16.30.254 //配置vrrp组和虚拟路由器的IP地址 Exit access-list 101 permit tcp 172.16.10.0 0.0.0.255 172.16.70.0 0.0.0.255 eq ftp //允许172.16.10.0网段访问172.16.70.0网段上TCP协议的FTP服务器 access-list 101 deny tcp any 172.16.70.0 0.0.0.255 eq ftp //拒绝任何主机访问172.16.70.0网段上TCP协议的FTP服务器 access-list 101 permit tcp any 172.16.70.0 0.0.0.255 eq www //允许任何主机访问172.16.70.0网段上TCP协议的FTP服务器 access-list 101 permit ip any any interface fa0/6 //把编号为101的扩展访问控制列表应用到fa0/6端口 ip access-group 101 out exit R1（注：此代码在特权模式下输入） config t Hostname r1 interface fa 0/0 //在特权模式下进入F0/0口 ip address 10.1.1.1 255.255.255.0 //给F0/0配置IP地址 no shutdown exit interface fa 0/1 ip address 20.2.2.1 255.255.255.0 no shutdown exit interface se 0/1/0 //在特权模式下进入S0/1/0口 ip address 172.16.1.1 255.255.255.0 //给S0/1/0配置IP地址 clock rate 64000 //设置时钟同步 no shutdown exit router rip //创建RIP路由进程 version 2 //启动RIP版本2进程 network 10.0.0.0 //发布自己所关联的网络 network 20.0.0.0 //发布自己所关联的网络 network 172.16.1.0 //发布自己所关