网络布置分区组网方案

网络布置分区组网方案姓名：xX学号：xx指导老师: xx2009年12月21日目录前沿3第一章需求分析41.1项目介绍41.2项目方组网要求41.3接入点统计41.4安全需求5第二章网络设计原则5第三章IP地址以及Vlan规划62.1 IP地址规划原则62.2具体设计7第四章网络总体设计93.1网络拓扑图93.2网络拓扑描述93.3区域设计93.4技术选型103.5网络安全10第五章设备选型144.1设备选型144.2 设备介绍14第六章设备配置与验证165.1接入层交换机配置165.2接入层交换机配置验证185.3核心交换机配置195.4核心交换机配置验证225.5出口设备配置24第七章参考文献26前沿从1959年ARPA建立了 ARPANET网开始，互联网只经过短短四十多年 的发展，今天，网络已经开始对整个经济体系产生影响。网络将像电话、汽车等 的发明一样产生深刻影响，并比他们的影响更深远。许多发达国家和一些发展中 国家也相继提出了本国或本地区的信息基础设施计划。可以说，信息化程度已成 为衡量一个国家现代化水平和综合国力强弱的重要标志。“天下大势，顺之者昌，逆之者亡”，摆在我国大中小型企业面前的，已经不 是要不要利用互联网的问题，而是如何应用的问题了。然而目前，中国的大多数 企业，无论是对网络经济的认识，还是对网络手段的运用都远远不够，更谈不上 利用网络经济提高竞争力、确立竞争优势。中国网络的发展，不仅实践上远远落 后，理论上也是严重滞后，甚至出现误导，对网络对企业经济的影响认识不够许 多企业并没有理解企业发展与网络的真正联系，没有意识到企业网络化发展带来 的冲击、挑战和机遇。如果网络没有被有效的利用到现代企业的发展中，那么中国企业的信息化建 设将普遍滞后，未能从战略的高度把信息化作为企业自我发展的内在需求，未能 把网络提供的市场机会和管理运营创新作为企业提高竞争力的有效途径和企业 可持续发展的新的增长点。对大多数企业而言，成长方式、经营模式、运行机制 和组织结构等都还沿着用工业经济条件下的那一套，很多企业内部联网都没有建 立，远不能适应网络经济发展对企业的需要和要求。企业信息化滞后是构成网络 经济发展的“瓶颈”，企业的良好发展当然也无从谈起。基于上面一系列中国企业面临的信息化问题，中国企业能否实现信息化已经 成为企业能否顺利发展的必要条件。信息技术作为新技术革命的核心.具有高增 值性、高渗透性，以极强的亲和力和扩散速度向经济各部门渗透，使其结构和效 益发生根本性改变。信息化已成为当代经济发展与社会进步的巨大推力。第一章需求分析1.1项目介绍该企业为了适应现代化办公需要，决定建设自己的网络。该企业分为新厂区 和老厂区，该项目负责新厂区的组网方案。新厂区分为A区、B区、C区以及D 区。A区为核心区域，严格控制其它区域访问控制。B区、C区和D区在建造时 采用相同的设计结构。1.2项目方组网要求1成本控制2访问控制3双出口1.3接入点统计接入点统计如下表：接入点统计区域接入点流量A区240480B区120240C区120240D区120240总计60012001.4安全需求1内部网络正常运转2内部网络数据安全3内部网络设备安全4内部用户接入安全5内部网络访问控制6外部网络访问控制第二章网络设计原则运用国内外的成熟、先进技术，把握计算机网络发展的大趋势，结合实际情况、特点、使用需求及未来发展，提出以下建设原则：1 .经济使用性升级扩容信息网络必须经济实用且具有很高的性能价格比。2 .系统可靠性和稳定性系统的高可靠性和稳定性是网络系统应用环境正常运行的首要条件。在保证 系统可靠性的基础上，进一步提高系统的可用性。网络的高可靠性、稳定性就是 保证网络可以在任何时间、任何地点提供信息访问服务。设备要有可靠的质量， 并支持热插拔特性及线路、电源备份，以保持一个稳定的运行环境。3 .系统实用性和可管理性当今世界，通信技术和计算机技术的发展日新月异，网络设计既要适应新 技术发展的潮流，保证系统的先进性，选择代表世界先进水平的技术和设备，不 使投资的设备在短时间内落伍。但也要兼顾技术的成熟性、标准性、实用性考虑， 不采用还未成为标准的技术及设备接口，也要兼顾技术的成熟性、实用性降低由 于新技术和新产品不成熟等因素给用户带来的风险。网络设计中，选择先进的网络管理软件是必不可少的。通过这个管理平台的 控制，监控主机、网络设备状态，故障报警，从而简化了管理工作，提高了主机 系统和网络系统的利用效率。4.系统可扩展性和开放性在网络设计时，首先要满足现有规模网络用户和应用的需求，同时考虑未 来业务发展、规模的扩大，应该设计关键网络设备具备扩展能力以及网络实施新 应用的能力。同时，设备应采用开放技术、支持标准协议，具有良好的互连互通 性，能够支持同一厂家的不同系列的产品以及不同厂家的产品之间的无缝连接与 通信。灵活扩充性：灵活的端口扩充能力，模块扩充能力，满足网络规模的扩充。 支持新应用的能力：产品具有支持新应用的技术准备，能够符合实际要求的，方 便快捷地实施新应用。在公司内采用统一的网络体系结构，统一网络协议。围绕着统一网络体系结 构，确定网络互连结构，网络操作系统和网络应用。5 .系统安全性和保密性安全性是网络运行的生命线。对人员、设备的安全有所考虑；对网络系统安 全的考虑。硬件设备采用具有自主知识产权的设备，支持多种数字认证和加密方 法，吗组电子政务网络安全性需求。网络架构方面，根据国家对电子政务网络的 要求，实现内外网隔离。合理的网络安全控制，可以使应用环境中的信息资源得 到有效的保护。网络可以阻止任何非法的操作；网络设备可进行基于协议、基于 IP地址的包过滤控制功能，不同的业务，划分到不同的虚网中。第三章IP地址以及Vlan规划2.1 IP地址规划原则该企业使用私有IP地址来规划内网IP地址，选择172.16.0.0/16地址。IP地址规划分为四块：用户地址、设备互联地址、设备管理地址以及服务 器地址。用户 IP 地址：172.16.10.0/24172.16.20.0/24设备管理IP地址：172.16.9.0/24设备互联IP地址：172.16.8.0/24服务器 IP 地址：172.16.7.0/242.2具体设计1终端设备IP地址规划终端设备IP以及Vlan规划区域网段默认网关vlan 号Vlan 名A区172.16.10.0/24172.16.10.110area-AB区172.16.11.0/25172.16.11.120area-BC区172.16.11.128/25172.16.11.12830area-CD区172.16.12.0/25172.16.12.140area-Dserverl172.16.7.1/30172.16.7.2server2172.16.7.5/30172.16.7.6sever3172.16.7.9/30172.16.7.10DMZ-server172.16.7.13/30172.16.7.142设备管理IP地址规划设备管理IP地址规划区域管理IP/32设备命名A区172.16.9.1Switch-A1172.16.9.2Switch-A2172.16.9.3Switch-A3172.16.9.4Switch-A4172.16.9.5Switch-A5B区172.16.9.6Switch-B1172.16.9.7Switch-B2172.16.9.8Switch-B3C区172.16.9.9Switch-C1172.16.9.10Switch-C2172.16.9.11Switch-C3D区172.16.9.12Switch-D1172.16.9.13Switch-D2172.16.9.14Switch-D33设备互联IP地址规划设备互联IP规划使用位置IP网段备注核心交换机防火墙172.16.8.0/30172.16.8.0/24 网 络用作设备IP核心交换机老厂区172.16.8.4/30第四章网络总体设计31网络拓扑图3.2网络拓扑描述基于该企业现有结构，分为A区域、B区域、C区域、D区域，加上出口内 部服务器群以及老厂区，分为七个模块来设计的。该网络设计的整体结构采用的 是单核心单链路，使用防火墙做网络出口，按照企业的要求，为双出口，电线和 联通。3.3区域设计A区共有240个接入点，需要使用5台交换机，设计时，该区总流量为480M, 选取设备完全能拿承受五个接入层交换机级联方式。使用一条千兆多模光纤和核 心设备连接。B区、C区、D区该区120个接入点，需要使用3台交换机，级联后使用一条千兆上行线路 和核心设备连接。3.4技术选型参加设备配置章节。3.5网络安全这个企业的局域网是一个信息点较为密集的万兆局域网络系统，它所联接的 现有上千个信息点为在整个企业内办公的各部门提供了一个快速、方便的信息交 流平台。不仅如此，通过专线与Internet的连接，打通了一扇通向外部世界的窗 户，各个部门可以直接与互联网用户进行交流、查询资料等。通过对外服务器， 企业可以直接对外发布信息或者发送电子邮件。高速交换技术的采用、灵活的网 络互连方案设计为用户提供快速、方便、灵活通信平台的同时，也为网络的安全 带来了更大的风险。因此，实施一套完整、可操作的安全解决方案不仅是可行的， 而且是必需的。网络安全可以从以下几个方面来理解：网络物理是否安全网络的物理安全主要指地震、水灾、火灾等环境事故；电源故障；人为操作 失误或错误；设备被盗、被毁；电磁干扰；线路截获等。它是整个网络系统安全 的前提。在这个企业区局域网内，由于网络的物理跨度不大，只要制定健全的安 全管理制度，做好备份，并且加强网络设备和机房的管理，这些风险是可以避免 的。保证网络的物理安全主要包括三个方面：环境安全：对系统所在环境的安全保护，如区域保护和灾难保护；（参见国 家标准GB50173-93电子计算机机房设计规范、国标GB2887 89计算站场 地技术条件、GB9361-88计算站场地安全要求）设备安全：主要包括设备的防盗、防毁、防电磁信息辐射泄漏、防止线路截 获、抗电磁干扰及电源保护等；媒体安全：包括媒体数据的安全及媒体本身的安全。网络平台是否安全网络结构的安全涉及到网络拓扑结构、网络路由状况及网络的环境等。企业 局域网内服务器区（包括对内、对外服务器）作为公司的信息发布和共享的平台， 一旦不能运行或者受到攻击，对企业的声誉影响巨大。我们有必要将对外服务器、 对内服务器、内部网络与外部网络进行隔离，避免网络结构信息外泄；同时还要 对外网的服务请求加以过滤，只允许正常通信的数据包到达相应主机，其他的请 求服务在到达主机之前就应该遭到拒绝。安全的应用往往是建立在网络系统之上的。网络系统的成熟与否直接影响安 全系统成功的建设。在这个企业局域网络系统中，使用了一台路由器和一个防火 墙，用作与Internet连结的边界路由器，网络结构相对简单，具体配置时可以考 虑使用静态路由，这就大大减少了因网络结构和网络路由造成的安全风险。防火 墙具有以下五大基本功能：过滤进、出网络的数据；管理进、出网络的访问行为； 封堵某些禁止的业务；记录通过防火墙的信息内容和活动；对网络攻击的检测和 告警。系统是否安全系统的安全是指整个局域网网络操作系统、网络硬件平台是否可靠且值得信 任。没有完全安全的操作系统。但我们可以对现有的操作平台进行安全配置、对 操作和访问权限进行严格控制，提高系统的安全性。因此，不但要选用尽可能可 靠的操作系统和硬件平台。而且，必须加强登录过程的认证（特别是在到达服务 器主机之前的认证），确保用户的合法性；其次应该严格限制登录者的操作权限， 将其完成的操作限制在最小的范围内。应用是否安全应用的安全性涉及到：机密信息泄露、未经授权的访问、破坏信息完整性、 假冒、破坏系统的可用性等。由于这个企业局域网跨度不大，绝大部分重要信息 都在内部传递，因此信息的机密性和完整性是可以保证的。对于有些特别重要的 信息需要对内部进行保密的（比如财务系统传递的重要信息）可以考虑在应用级 进行加密，针对具体的应用直接在应用系统开发时进行加密。此外，进行访问控 制，内外网的隔离以及内部网不同网络安全域的隔离，是必须的。设置隔离区 （DMZ），把邮件等服务器放到该区，并把该区的服务器映射到外网的合法地址 上以便Internet网上用户访问。严禁Internet网上用户到企业内部网的访问。管理是否安全管理是网络中安全最最重要的部分。责权不明，管理混乱、安全管理制度不 健全及缺乏可操作性等都可能引起管理安全的风险，使得一些员工或管理员随便 让一些非本地员工甚至外来人员进入机房重地，或者员工有意无意泄漏他们所知 道的一些重要信息，而管理上却没有相应制度来约束。当网络出现攻击行为或网 络受到其它一些安全威胁时（如内部人员的违规操作等），无法进行实时的检测、 监控、报告与预警。同时，当事故发生后，也无法提供黑客攻击行为的追踪线索 及破案依据，即缺乏对网络的可控性与可审查性。这就要求我们必须对站点的访 问活动进行多层次的记录，及时发现非法入侵行为。建立全新网络安全机制，必须深刻理解网络并能提供直接的解决方案，因此， 最可行的做法是管理制度和管理解决方案的结合。人为恶意攻击手段人为恶意攻击手段包括黑客攻击，恶意代码，病毒攻击，不满内部员工的破 坏等。黑客们的攻击行动是无时无刻不在进行的，而且会利用系统和管理上的一 切可能利用的漏洞。为了防止黑客入侵，需要设置服务器权限，使得它不离开自 己的空间而进入另外的目录。另外，还应设置组特权，不允许任何使用服务器的 人访问WWW页面文件以外的东西。在这个企业的局域网内我们可以综合采用 防火墙技术、Web页面保护技术、入侵检测技术、安全评估技术来保护网络内 的信息资源，防止黑客攻击。网络反病毒技术包括预防病毒、检测病毒和消毒三种技术：1. 预防病毒技术：它通过自身常驻系统内存，优先获得系统的控制权，监视 和判断系统中是否有病毒存在，进而阻止计算机病毒进入计算机系统和对系统进 行破坏。这类技术有，加密可执行程序、引导区保护、系统监控与读写控制（如 防病毒软件等）。2. 检测病毒技术：它是通过对计算机病毒的特征来进行判断的技术，如自身 校验、关键字、文件长度的变化等。3. 清除病毒技术：它通过对计算机病毒的分析，开发出具有删除病毒程序并 恢复原文件的软件。数据备份与恢复数据的安全对企业来说是至关重要的，但是没有绝对的安全，因此对数据的 备份是必不可少的。备份系统为一个目的而存在：尽可能快地全盘恢复运行计算 机系统所需的数据和系统信息。根据系统安全需求可选择的备份机制有：场点内 高速度、大容量自动的数据存储、备份与恢复；场点外的数据存储、备份与恢复； 对系统设备的备份。备份不仅在网络系统硬件故障或人为失误时起到保护作用， 也在入侵者非授权访问或对网络攻击及破坏数据完整性时起到保护作用，同时亦 是系统灾难恢复的前提之一。在确定备份的指导思想和备份方案之后，就要选择安全的存储媒介和技术进 行数据备份，有“冷备份”和“热备份”两种。热备份是指“在线”的备份，即 下载备份的数据还在整个计算机系统和网络中，只不过传到令一个非工作的分区 或是另一个非实时处理的业务系统中存放。“冷备份”是指“不在线”的备份， 下载的备份存放到安全的存储媒介中，而这种存储媒介与正在运行的整个计算机 系统和网络没有直接联系，在系统恢复时重新安装，有一部分原始的数据长期保 存并作为查询使用。热备份的优点是投资大，但调用快，使用方便，在系统恢复 中需要反复调试时更显优势。热备份的具体做法是：可以在主机系统开辟一块非 工作运行空间，专门存放备份数据，即分区备份；另一种方法是，将数据备份到 另一个子系统中，通过主机系统与子系统之间的传输，同样具有速度快和调用方 便的特点，但投资比较昂贵。冷备份弥补了热备份的一些不足，二者优势互补， 相辅相成，因为冷备份在回避风险中还具有便于保管的特殊优点。第五章设备选型41设备选型具体设备选型参加下表：设备选型设备类型数量型号核心设备1RG-S5750S24GT/12SFP接入层交换机14RG-2652G出口设备1RG-WALL16004.2设备介绍核心交换机：RG-S5750S24GT/12SFPRG-S5750系列是锐捷网络推出的融合了高性能、高安全、多智能、易用性 的新一代万兆机架式多层交换机。该系列交换机提供的接口形式和组合非常灵活，即可以提供24个或48个10/100/1000M自适应的千兆电口，又可以提供有24个SFP千兆光口，又能提供 PoE远程供电的接口。每种产品型号都配合提供了灵活的复用千兆口，满足网络建设中不同传输介 质的连接需要。同时为满足网络的弹性扩展，和高带宽传输需要，可灵活弹性扩 展多种类型的万兆模块和万兆堆叠模块。特别适合高带宽、高性能和灵活扩展的大型网络汇聚层，中型网络核心，以 及数据中心服务器群的接入使用。该系列交换机硬件支持多层线速交换，并提供了丰富而完善的路由协议，以 适合大型网络多种路由和高性能的需要。RG-S5750系列交换机提供二到七层的智能的业务流分类、完善的服务质量 （QoS）保证和组播应用管理特性。在提供高性能、多智能的同时，其内在的安 全防御机制和用户接入管理能力，更可有效防止和控制病毒传播和网络攻击，控 制非法用户接入网络，保证合法用户合理地使用网络资源，并可以根据网络实际 使用环境，实施灵活多样的安全控制策略，充分保障了网络安全、网络合理化使 用和运营。RG-S5750系列交换机以极高的性价比为大型网络汇聚、中型网络核心、数 据中心服务器接入提供了高性能、完善的端到端的服务质量、灵活丰富的安全设 置和基于策略的网管，最大化满足高速、安全、智能的企业网需求。接入交换机：RG-2652GRG-S2300系列是锐捷网络为满足构建多业务支持，易管理，高安全网络量 身定制的以太网交换机。灵活的端口形态为网络架构提供方便，也为未来网络扩 展提供投资保护。支持混合堆叠，方便用户增加端口密度。通过实施多种多样的安全策略，有效防止和控制网络病毒的扩散。更可提供基于 硬件的IPv6 ACL，方便未来网络的升级扩展。高级QoS机制适应网络中多业务的 顺利开展，为服务质量提供保证。支持802.1X认证，控制非法用户使用网络，保障网络的合法使用。支持 RADIUS协议，实现网络运营和计费，实现网络的运维。RG-S2300系列包括RG-S2328G和RG-S2352G两款，为各类型网络提供无阻塞线 速转发和网络安全策略。RG-S2300系列提供高达19.2G的背板带宽，实现所有端口线速转发。并提 供固化2个千兆Combo 口（2个千兆SFP光口和2个10/100/1000M电口复用）， 灵活实现千兆上联。更可提供2个扩展Combo 口为未来网络扩展提供投资保护。通过堆叠可在不改变网络拓扑的情况下扩展端口密度，通过混合堆叠，在 现有网络端口密度情况下，灵便根据实际情况扩展多个24 口或者48 口设备。防火墙：RG-WALL1600RG-WALL系列采用锐捷网络独创的分类算法（Classification Algorithm）设计 的新一代安全产品 三类防火墙，支持扩展的状态检测（Stateful Inspection） 技术，具备高性能的网络传输功能；同时在启用动态端口应用程序（如VoIP、H.323 等）时，可提供强有力的安全信道。采用锐捷独创的分类算法使得RG-WALL产品的高速性能不受策略数和会话 数多少的影响，产品安装前后丝毫不会影响网络速度；同时，RG-WALL在内核层 处理所有数据包的接收、分类、转发工作，因此不会成为网络流量的瓶颈。另外， RG-WALL具有入侵监测功能，可判断攻击并且提供解决措施，且入侵监测功能不 会影响防火墙的性能。RG-WALL的主要功能包括：扩展的状态检测功能、防范入侵及其它（如URL 过滤、HTTP透明代理、SMTP代理、分离DNS、NAT功能和审计/报告等）附加 功能。第六章设备配置与验证5.1接入层交换机配置仅以A区接入层交换机为例：RouterenRouter#vlan dataRouter(vlan)#vlan 10 name area-AVLAN 10 added:Name: area-ARouter(vlan)#exitAPPLY completed.Exiting.=Vlan 配置=Router#conf tEnter configuration commands, one per line. End with CNTL/Z.Router(config)#hos switch-A1switch-A1(config)#int f0Qswitch-A1(config-if)#sw mode trunkswitch-A1(config-if)#int range f0/1 - 15switch-A1(config-if-range)#sw mod acc switch-A1(config-if-range)#sw acc vlan 10*Mar 1 00:02:45.291: %DTP-5-TRUNKPORTON: Port Fa00 has become dot1q trunk switch-A1(config-if-range)#switch-A1(config-if-range)#int vlan 10switch-A1(config-if)#ip add 172.16.10.1 255.255.255.0 switch-A1(config-if)#end=设备命名以及接口基本配置= switch-A1#conf tEnter configuration commands, one per line. End with CNTL/Z. switch-A1(config)#ip dhcp excluded-address 172.16.10.1 switch-A1(config)#ip dhcp pool vlan10switch-A1(dhcp-config)#network 172.16.10.0 24 switch-A1(dhcp-config)#default-router 172.16.10.1switch-A1(dhcp-config)#end=DHCP 配置= switch-A1#conf tEnter configuration commands, one per line. End with CNTL/Z. switch-A1(config)#enable password 321 switch-A1(config)#line vty 0 4 switch-A1(config-line)#password abcswitch-A1(config-line)#loginswitch-A1(config-line)#exitswitch-A1(config)#line console 0 switch-A1(config-line)#password 123switch-A1(config-line)#loginswitch-A1(config-line)#exitswitch-A1(config)#=登 陆密码配置=5.2接入层交换机配置验证switch-A1#show vlan-sVLAN NameStatusPorts1 defaultactive10 area-AactiveFa0/1, Fa0y2, Fa0/3, Fa0/4Fa0/5, Fa0/5, Fa0/7, Fa0Fa0/9, Fa0/10, Fa0/11, Fa0/12Fa0/13, Fa0/14, Fa0/151002 fddi-defaultactive1003 token-ring-defaultactive1004 fddinet-defaultactive1005 trnet-defaultactiveVLAN Type SAIDMTU Parent RingNo BridgeNo Stp BrdgMode Trans1 Trans21 enet 1000011500 -1002100310 enet 1000101500 -001002 fddi 1010021500 -110031003 tr 1010031500 10050- srb110021004fdnet1010041500 -1ibm -001005trnet1010051500 -1ibm -00switch-A1#show ip int bInterfaceIP-AddressOK? Method StatusProtocolFastEthernet0QunassignedYES unsetupupFastEthernet0/1unassignedYES unsetupupFastEthernet0/2unassignedYES unsetupdownFastEthernet0/3unassignedYES unsetupdownFastEthernet0/lunassignedYES unsetupdownFastEthernet0/5unassignedYES unsetupdownFastEthernet0/5unassignedYES unsetupdownFastEthernet0/7unassignedYES unsetupdownFastEthernet0用unassignedYES unsetupdownFastEthernet0/9unassignedYES unsetupdownFastEthernet0/10unassignedYES unsetupdownFastEthernet0/11unassignedYES unsetupdownFastEthernet0/12unassignedYES unsetupdownFastEthernet0/13unassignedYES unsetupdownFastEthernet0/14unassignedYES unsetupdownFastEthernet0/15unassignedYES unsetupdownVlan1unassignedYES unset upupVlan10172.16.10.1 YES manual upupswitch-A1#show int statusPort NameStatusVlanDuplex Speed TypeFa0/0connectedtrunka-fulla-100 10/100BaseTXFa0/1connected10a-fulla-100 10/100BaseTXFa0/2notconnect10autoauto 10/100BaseTXFa0/3notconnect10autoauto 10/100BaseTXFa0/4notconnect10autoauto 10/100BaseTXFa0/5notconnect10autoauto 10/100BaseTXFa0/6notconnect10autoauto 10/100BaseTXFa0/7notconnect10autoauto 10/100BaseTXFa0/8notconnect10autoauto 10/100BaseTXFa0/9notconnect10autoauto 10/100BaseTXFa0/10notconnect10autoauto 10/100BaseTXFa0/11notconnect10autoauto 10/100BaseTXFa0/12notconnect10autoauto 10/100BaseTXFa0/13notconnect10autoauto 10/100BaseTXFa0/14notconnect10autoauto 10/100BaseTXFa0/15notconnect10autoauto 10/100BaseTXswitch-A1#53核心交换机配置RouterenRouter#conf tEnter configuration commands, one per line. End with CNTL/Z.Router(config)#hos corecore(config)#endcore#vlan datacore(vlan)#vlan 10 name area-AVLAN 10 added:Name: area-Acore(vlan)#vlan 20 name area-BVLAN 20 added:Name: area-Bcore(vlan)#vlan 30 name area-CVLAN 30 added:Name: area-Ccore(vlan)#vlan 40 name area-DVLAN 40 added:Name: area-Dcore(vlan)#exitAPPLY completed.Exiting.=Vlan 配置= core#conftEnter configuration commands, one per line. End with CNTL/Z. core(config)#int vlan 10 core(config-if)#ip add 172.16.10.1 255.255.255.0 core(config-if)#int vlan 20 core(config-if)#ip add 172.16.11.1 255.255.255.128 core(config-if)#int vlan 30 core(config-if)#ip add 172.16.11.128 255.255.255.128 Bad mask /25 for address 172.16.11.128 core(config-if)#int vlan 40 core(config-if)#ip add 172.16.12.1 255.255.255.128 core(config-if)#end*Mar 1 00:00:46.687: %SYS-5-CONFIG_I: Configured from console by console core#*Mar 1 00:00:49.939: %SYS-5-CONFIG_I: Configured from console by console core#conf tEnter configuration commands, one per line. End with CNTL/Z. core(config)#int range f0Q - 3 core(config-if-range)#sw mod trunk core(config-if-range)#int range f04 - 8 core(config-if-range)#no switch core(config-if-range)#int f0/) core(config-if)#description conn-to-area-A core(config-if)#int f0/1 core(config-if)#description conn-to-area-B core(config-if)#int f0/2 core(config-if)#description conn-to-area-c core(config-if)#int f0/3 core(config-if)#description conn-to-area-D core(config-if)#int f0/4 core(config-if)#description conn-t0-server-A core(config-if)#ip add 172.16.7.1 255.255.255.252 core(config-if)#int f0/5 core(config-if)#description conn-to-server-B core(config-if)#ip add 172.16.7.5 255.255.255.252 core(config-if)#int f0/5 core(config-if)#description conn-to-server-C core(config-if)#ip add 172.16.7.9 255.255.255.252 core(config-if)#int f0/7 core(config-if)#ip add 172.16.8.1 255.255.255.252 core(config-if)#description conn-to-old-faccore(config-if)#int f0/8core(config-if)#ip add 172.16.8.5 255.255.255.252core(config-if)#description conn-to-firewallcore(config-if)#endcore#*Mar 1 00:01:10.767: %DTP-5-TRUNKPORTON: Port Fa00-1 has become dot1q trunk*Mar 1 00:01:11.251: %SYS-5-CONFIG_I: Configured from console by console*Mar 1 00:01:11.267: %LINEPROTO-5-UPDOWN: Line protocol on Interface Vlan10, changed state to up*Mar 1 00:01:11.267: %LINEPROTO-5-UPDOWN: Line protocol on Interface Vlan20, changed state to up*Mar 1 00:01:11.275: %LINEPROTO-5-UPDOWN: Line protocol on Interface Vlan30, changed state to up*Mar 1 00:01:11.283: %LINEPROTO-5-UPDOWN: Line protocol on Interface Vlan40, changed state to up*Mar 1 00:01:13.631: %LINEPROTO-5-UPDOWN: Line protocol on Interface FastEthernet0/4, changed state to down*Mar 1 00:01:13.695: %LINEPROTO-5-UPDOWN: Line protocol on Interface FastEthernet0/, changed state to down*Mar 1 00:01:13.711: %LINEPROTO-5-UPDOWN: Line protocol on Interface FastEthernet0/6, changed state to down*Mar 1 00:01:13.719: %LINEPROTO-5-UPDOWN: Line protocol on Interface FastEthernet0/7, changed state to down*Mar 1 00:01:13.751: %LINEPROTO-5-UPDOWN: Line protocol on Interface FastEthernet0角 changed state to up=基 本接口配置= core#conf tEnter configuration commands, one per line. End with CNTL/Z.core(config)#router ospf 100core(config-router)#net 172.16.10.00.0.0.255 a0core(config-router)#net 172.16.11.00.0.0.127 a0core(config-router)#net 172.16.11.128 0.0.0.127 a0core(config-router)#net 172.16.12.00.0.0.127 a0core(config-router)#net 172.16.8.0 0.0.0.3 a 0core(config-router)#net 172.16.8.4 0.0.0.3 a 0core(config-router)#net 172.16.7.0 0.0.0.3 a 0core(config-router)#net 172.16.7.4 0.0.0.3 a 0core(config-router)#net 172.16.7.8 0.0.0.3 a 0core(config-router)#exit=路 由配置= core(config)#core(config)#$ 110 deny ip 172.16.11.0 0.0.0.127 172.16.10.0 0.0.0.255core(config)#access-list 110 permit ip any anycore(config)#$ 120 deny ip 172.16.11.128 0.0.0.127 172.16.10.0 0.0.0.255core(config)#access-list 120 permit ip any anycore(config)#$ 130 deny ip 172.16.12.0 0.0.0.127 172.16.10.0 0.0.0.255core(config)#access-list 130 permit ip any anycore(config)#int f0Qcore(config-if)#ip access-group 110 incore(config-if)#int f0/1core(config-if)#ip access-group 120 incore(config-if)#int f0/2core(config-if)#ip access-group 130 incore(config-if)#end= 控列表配置=54核心交换机配置验证core#core#show vlan-sVLAN NameStatusPorts-1 default-activeFa0/2, Fa0/3, Fa0/9, Fa0/10Fa0/11, Fa0/12, Fa0/13, Fa0/14Fa0/1510 area-Aactive20 area-Bactive30 area-Cactive40 area-Dactive1002 fddi-defaultactive1003 token-ring-defaultactive1004 fddinet-defaultactive1005 trnet-defaultactiveVLAN Type SAIDMTU Parent RingNo BridgeNo Stp BrdgMode Trans1 Trans2-1 enet 1000011500 -1002100310 enet 1000101500 -0020 enet 1000201500 -0030 enet 1000301500 -0040 enet 1000401500 -001002 fddi 1010021500 -11003VLAN Type SAIDMTU Parent RingNo BridgeNo Stp BrdgMode Trans1 Trans2-1003 tr 1010031500 10050- srb110021004fdnet1010041500 -1ibm -001005trnet1010051500 -1ibm -00core#show ip int briInterfaceIP-AddressOK? Method StatusProtocolFastEthernet0QunassignedYES unset upupFastEthernet0/1unassignedYES unset upupFastEthernet0/2unassignedYES unset updownFastEthernet0/3unassignedYES unset updownFastEthernet0/4172.16.7.1YES manual updownFastEthernet0/5172.16.7.5YES manual updownFastEthernet0/5172.16.7.9YES manual updownFastEthernet0/7172.16.8.5YES manual updownFastEthernet0用172.16.8.1YES manual upupFastEthernet0/9unassignedYES unset updownFastEthernet0/10unassignedYES unset updownFastEthernet0/11unassignedYES unset updownFastEthernet0/12unassignedYES unset updownFastEthernet0/13unassignedYES unset updownFastEthernet0/14unassignedYES unset updownFastEthernet0/15unassignedYES unset updownVlan1unassignedYES unset upupVlan10172.16.10.1YES manual upupVlan20172.16.11.1YES manual upupVlan30unassignedYES unset upupVlan40172.16.12.1YES manual upupcore#show int statuPortNameStatusVlanDuplex Speed TypeFa0/0conn-to-area-Aconnectedtrunka-full a-100 10/100BaseTXFa0/1conn-to-area-Bconnectedtrunka-full a-100 10/100BaseTXFa0/2conn-to-area-c