交換機與路由器配置項目式教程（第4版）課件 任務(wù)14 組建多分支機構(gòu)企業(yè)網(wǎng)絡(luò)

任務(wù)14：組建多分支機構(gòu)企業(yè)網(wǎng)絡(luò)

——企業(yè)網(wǎng)絡(luò)架構(gòu)描述（1）

某研究所有東區(qū)和西區(qū)兩個所區(qū)，總部在東區(qū)，兩區(qū)相距2公里，各有計算機500臺左右，東西所區(qū)各設(shè)一個中心機房，各種應用服務(wù)器主要放置在東區(qū)的中心機房中，這些服務(wù)器可供東西所區(qū)的各個部門以及試驗工廠和子公司訪問。有試驗生產(chǎn)廠一個，與總部相距30公里，計算機100臺左右；在外地有直接投資子公司2個，各有計算機50臺左右。

東西所區(qū)之間以及試驗生產(chǎn)廠和總部之間采用電信裸纖專線連接；總部與辦事處之間通過幀中繼網(wǎng)絡(luò)互聯(lián)。

子公司、試驗工廠和東西所區(qū)都通過總部接入因特網(wǎng)。申請的公網(wǎng)地址段為6/29，共有8個地址。1、企業(yè)網(wǎng)絡(luò)拓撲圖

東西區(qū)網(wǎng)絡(luò)采用核心層、分布層和接入層三層結(jié)構(gòu)，核心層交換機采用CiscoCatalyst4506插槽式交換機，采用了Catalyst4500SupervisorIIPlus作為交換機引擎，安裝了兩塊Catalyst4000GigabitEthernetModule,6-Ports(GBIC)）模塊，用來連接分布層交換機，還安裝了一塊32口10/100Mbps自適應模塊，用來連接管理服務(wù)器等。分布層交換機全部采用CiscoCatalyst3550，24口10/100M自適應三層交換機，通過千兆口G0/1上聯(lián)核心交換機。任務(wù)14：組建多分支機構(gòu)企業(yè)網(wǎng)絡(luò)

——企業(yè)網(wǎng)絡(luò)架構(gòu)描述（2）任務(wù)14：組建多分支機構(gòu)企業(yè)網(wǎng)絡(luò)

——企業(yè)網(wǎng)絡(luò)架構(gòu)描述（3）2、虛擬局域網(wǎng)及IP地址規(guī)劃

整個網(wǎng)絡(luò)根據(jù)科室劃分VLAN，具體的VLAN劃分和IP地址分配如下表所示。任務(wù)14：組建多分支機構(gòu)企業(yè)網(wǎng)絡(luò)

——企業(yè)網(wǎng)絡(luò)架構(gòu)描述（4）3、網(wǎng)絡(luò)設(shè)備接口地址規(guī)劃任務(wù)14：組建多分支機構(gòu)企業(yè)網(wǎng)絡(luò)

——企業(yè)網(wǎng)絡(luò)架構(gòu)描述（5）

總部和兩個子公司由于不在同一個城市，相距比較遠，而子公司和總部之間有大量的訪問需求，所以采用幀中繼網(wǎng)絡(luò)互聯(lián)?？偛吭诒臼邢螂娦派暾?Mbps幀中繼線路，各子公司在各自所屬市向電信申請2Mbps幀中繼線路。

路由器連接各個子網(wǎng)的接口需要一個IP地址，三層交換機參與路由的接口也需要分配一個IP地址。當然，三層交換機的二層交換端口不需要IP地址。（1）子公司1路由器接口地址分配

子公司1的路由器為Cisco2811，F(xiàn)0/0快速以太網(wǎng)口連接子公司1的局域網(wǎng)，S0/0串口連接幀中繼網(wǎng)，接口地址分配如下表所示。任務(wù)14：組建多分支機構(gòu)企業(yè)網(wǎng)絡(luò)

——企業(yè)網(wǎng)絡(luò)架構(gòu)描述（6）（2）子公司2路由器接口地址分配

子公司2的路由器為Cisco2811，F(xiàn)0/0快速以太網(wǎng)口連接子公司2的局域網(wǎng)，S0/0串口連接幀中繼網(wǎng)，接口地址分配如下表示。（3）總部路由器接口地址分配

總部的路由器為Cisco3640，除了需要連接兩個子公司外，還作為整個企業(yè)網(wǎng)絡(luò)與因特網(wǎng)的接入路由器。F0/0快速以太網(wǎng)接口連接防火墻的廣域網(wǎng)口，S0/0串口連接幀中繼網(wǎng)，S0/1串口連接2M的DDN專線接入因特網(wǎng)。接口地址分配如下表所示。任務(wù)14：組建多分支機構(gòu)企業(yè)網(wǎng)絡(luò)

——企業(yè)網(wǎng)絡(luò)架構(gòu)描述（7）（4）總部防火墻接口地址分配

防火墻一般有三個接口：WAN、LAN和DMZ接口，一個連接外網(wǎng)，一個連接本地局域網(wǎng)，還有一個中性區(qū)域，用于連接供內(nèi)外網(wǎng)訪問的服務(wù)器等。

防火墻除具有訪問控制的基本功能外，還具有地址轉(zhuǎn)換和路由功能。

企業(yè)在選擇防火墻時，一般會選擇專業(yè)防火墻。但為了描述方便，我們在這里使用三層交換機Catalyst3750來代替防火墻，完成防火墻的功能。

三層交換機和路由器都可以通過設(shè)置訪問控制列表，來限制訪問，來實現(xiàn)防火墻的功能，但沒有專業(yè)防火墻方便。

防火墻的三個接口中，WAN接口連接路由器Cisco3640的F0/0接口，LAN接口連接東區(qū)核心交換機的F4/1接口，DMZ接口連接一臺Catalyst2960交換機，用來連接企業(yè)的各種對外服務(wù)器，包括DNS服務(wù)器、Web服務(wù)器、郵件服務(wù)器、FTP文件服務(wù)器等4臺服務(wù)器。三個接口的地址分配如下表所示。任務(wù)14：組建多分支機構(gòu)企業(yè)網(wǎng)絡(luò)

——企業(yè)網(wǎng)絡(luò)架構(gòu)描述（8）（5）三層交換機接口地址分配

東區(qū)核心交換機使用三層路由端口F4/1和防火墻的LAN口連接，F(xiàn)4/1口的IP地址為/30。

給東西區(qū)以及試驗工廠的每臺交換機分配一個/24網(wǎng)段的某個地址，用于對交換機進行遠程配置和管理。東區(qū)核心交換機Catalyst4506的管理地址為54，西區(qū)核心交換機Catalyst4506的管理地址為53。任務(wù)14：組建多分支機構(gòu)企業(yè)網(wǎng)絡(luò)

——總部網(wǎng)絡(luò)設(shè)備配置（1）

為了簡化交換網(wǎng)絡(luò)設(shè)計、提高交換網(wǎng)絡(luò)的可擴展性，一般企業(yè)網(wǎng)是按接入層、分布層、核心層三個層次來規(guī)劃和設(shè)計的。

接入層負責接入網(wǎng)絡(luò)用戶，是網(wǎng)絡(luò)的最底層，由于接入層的交換機一般連接部門計算機，主要完成部門內(nèi)部數(shù)據(jù)交換，所以只需要低端的二層交換機；

分布層也稱匯聚層，分布層交換機用來分發(fā)和匯聚幾個部門的數(shù)據(jù)流量，進行幾個部門之間的數(shù)據(jù)交換，由于各部門一般屬于不同的VLAN，所以分布層交換機一般采用三層交換機；

核心層交換機主要用來高速交換不同分布層交換機來的流量，因此除了具有三層交換功能，還要具有高性能和高可靠性。

我們的配置思想是這樣的：各交換機之間通過Trunk鏈路連接，在一臺分布層交換機上創(chuàng)建VLAN，其他交換機通過VTP協(xié)議獲取VLAN信息。給所有交換機配置交換機名稱，虛擬終端登錄密碼、特權(quán)密碼等基本參數(shù)，給各個交換機分配一個管理地址和默認網(wǎng)關(guān)，這樣方便進行遠程Telnet登錄配置和管理。所有的分布層交換機為三層交換機，打開路由功能，實現(xiàn)所匯聚的VLAN之間的通信，去往其他子網(wǎng)的數(shù)據(jù)交給核心交換機去處理，也就是設(shè)置一條默認路由到核心交換機。在核心路由器上設(shè)置到各個匯聚層交換機的回頭路由。任務(wù)14：組建多分支機構(gòu)企業(yè)網(wǎng)絡(luò)

——總部網(wǎng)絡(luò)設(shè)備配置（2）1、接入層交換機配置

接入層為所有的終端用戶提供一個接入點，一般一個接入層交換機用于接入同一部門的計算機，當然，也可以用來連接多個部門的計算機。

接入層交換機的數(shù)量眾多，但配置方法基本一樣。

我們以為計算機室的計算機提供接入服務(wù)的某一臺接入層交換機為例，講解接入層交換機的配置。這里的接入層交換機采用的是CiscoCatalyst296024口交換機，擁有24個10/100Mbps自適應快速以太網(wǎng)端口，采用F0/24端口連接分布層交換機。每個接入層交換機都用F0/24端口上聯(lián)分布層交換機Catalyst3550。任務(wù)14：組建多分支機構(gòu)企業(yè)網(wǎng)絡(luò)

——總部網(wǎng)絡(luò)設(shè)備配置（3）任務(wù)14：組建多分支機構(gòu)企業(yè)網(wǎng)絡(luò)

——總部網(wǎng)絡(luò)設(shè)備配置（4）

服務(wù)器群和各個子公司的計算機數(shù)量比較少，不另外劃分VLAN，所有計算機默認為各自交換機的VLAN1成員。為服務(wù)器群的接入交換機的VLAN1指定所屬網(wǎng)段/24中的一個IP地址，默認網(wǎng)關(guān)為54；為子公司1的接入交換機的VLAN1指定所屬網(wǎng)段/24中的一個IP地址，默認網(wǎng)關(guān)為54；為子公司2的接入交換機的VLAN1指定所屬網(wǎng)段/24中的一個IP地址，默認網(wǎng)關(guān)為54。任務(wù)14：組建多分支機構(gòu)企業(yè)網(wǎng)絡(luò)

——總部網(wǎng)絡(luò)設(shè)備配置（5）2、分布層交換機配置

我們以分發(fā)和匯聚計算機室和情報室數(shù)據(jù)的分布層交換機Catalyst3550為例，講解分布層交換機的配置。任務(wù)14：組建多分支機構(gòu)企業(yè)網(wǎng)絡(luò)

——總部網(wǎng)絡(luò)設(shè)備配置（6）任務(wù)14：組建多分支機構(gòu)企業(yè)網(wǎng)絡(luò)

——總部網(wǎng)絡(luò)設(shè)備配置（7）

網(wǎng)絡(luò)中交換機數(shù)量比較多而且各個交換機上的VLAN配置類似時，需要分別在每臺交換機上創(chuàng)建很多重復的VLAN。工作量會很大，而且容易出錯。我們常采用VLAN中繼協(xié)議（VTP）來解決這個問題。

VTP允許我們在一臺交換機上創(chuàng)建所有的VLAN。然后，利用交換機之間的互相學習功能，將創(chuàng)建好的VLAN定義傳播到整個網(wǎng)絡(luò)中需要此VLAN定義的所有交換機上。同時，有關(guān)VLAN的刪除、參數(shù)更改操作均可傳播到其他交換機。從而大大減輕了網(wǎng)絡(luò)管理人員配置交換機的負擔。

將主樓的分布層交換機Distribute1設(shè)置成為VTP服務(wù)器，除子公司交換機外的其他交換機設(shè)置成為VTP客戶機。這樣，除子公司交換機外的其他交換機將通過VTP獲得在分布層交換機Distribute1中定義的所有VLAN的信息。當然，并不是所有交換機都對所有VLAN信息感興趣，可以設(shè)置VLAN修剪功能，修剪掉交換機不需要的VLAN信息。任務(wù)14：組建多分支機構(gòu)企業(yè)網(wǎng)絡(luò)

——總部網(wǎng)絡(luò)設(shè)備配置（8）任務(wù)14：組建多分支機構(gòu)企業(yè)網(wǎng)絡(luò)

——總部網(wǎng)絡(luò)設(shè)備配置（9）任務(wù)14：組建多分支機構(gòu)企業(yè)網(wǎng)絡(luò)

——總部網(wǎng)絡(luò)設(shè)備配置（10）任務(wù)14：組建多分支機構(gòu)企業(yè)網(wǎng)絡(luò)

——總部網(wǎng)絡(luò)設(shè)備配置（11）3、核心交換機配置

以東區(qū)核心層交換機Catalyst4506為例，講解核心交換機的配置。任務(wù)14：組建多分支機構(gòu)企業(yè)網(wǎng)絡(luò)

——總部網(wǎng)絡(luò)設(shè)備配置（12）

東區(qū)核心層交換機通過G2/1和G2/2構(gòu)成兩千兆以太網(wǎng)通道與西區(qū)核心交換機的G2/1和G2/2端口連接，G2/3千兆端口連接試驗工廠的Catalyst3550交換機，其他千兆端口下聯(lián)各個分布層交換機的G0/1千兆端口。核心交換機上配置了一塊32端口的10/100Mbps自適應模塊，F(xiàn)4/1口連接防火墻的LAN口，其他用于連接管理用計算機等。任務(wù)14：組建多分支機構(gòu)企業(yè)網(wǎng)絡(luò)

——總部網(wǎng)絡(luò)設(shè)備配置（13）任務(wù)14：組建多分支機構(gòu)企業(yè)網(wǎng)絡(luò)

——總部網(wǎng)絡(luò)設(shè)備配置（14）任務(wù)14：組建多分支機構(gòu)企業(yè)網(wǎng)絡(luò)

——總部網(wǎng)絡(luò)設(shè)備配置（15）4、防火墻配置

我們這里使用Cisco三層交換機Catalyst3750替代專業(yè)防火墻，來講解防火墻的一般配置方法。三層交換機作為防火墻只能基本數(shù)據(jù)包過濾，在策略設(shè)置方面沒有專業(yè)防火墻那么多，策略調(diào)整也沒有專業(yè)防火墻方便。任務(wù)14：組建多分支機構(gòu)企業(yè)網(wǎng)絡(luò)

——總部網(wǎng)絡(luò)設(shè)備配置（16）任務(wù)14：組建多分支機構(gòu)企業(yè)網(wǎng)絡(luò)

——總部網(wǎng)絡(luò)設(shè)備配置（17）任務(wù)14：組建多分支機構(gòu)企業(yè)網(wǎng)絡(luò)

——總部網(wǎng)絡(luò)設(shè)備配置（18）任務(wù)14：組建多分支機構(gòu)企業(yè)網(wǎng)絡(luò)

——總部網(wǎng)絡(luò)設(shè)備配置（19）任務(wù)14：組建多分支機構(gòu)企業(yè)網(wǎng)絡(luò)

——總部網(wǎng)絡(luò)設(shè)備配置（20）任務(wù)14：組建多分支機構(gòu)企業(yè)網(wǎng)絡(luò)

——總部網(wǎng)絡(luò)設(shè)備配置（21）任務(wù)14：組建多分支機構(gòu)企業(yè)網(wǎng)絡(luò)

——總部網(wǎng)絡(luò)設(shè)備配置（22）任務(wù)14：組建多分支機構(gòu)企業(yè)網(wǎng)絡(luò)

——總部網(wǎng)絡(luò)設(shè)備配置（23）任務(wù)14：組建多分支機構(gòu)企業(yè)網(wǎng)絡(luò)

——總部網(wǎng)絡(luò)設(shè)備配置（24）5、東區(qū)路由器配置

東區(qū)路由器使用快速以太網(wǎng)口F0/0連接防火墻，IP地址為/30，連接的防火墻WAN口IP地址為/30；使用串口S0/1連接因特網(wǎng)，IP地址為7 /30，因特網(wǎng)服務(wù)商端路由器地址為8/30；使用串口S0/0連接幀中繼網(wǎng)，IP地址為54/24；子公司1使用的路由器串口