广东仁爱医疗科技有限公司网络规划与设计方案.docx

广东仁爱医疗科技有限公司网络规划与设计方案摘要：近年来，互联网行业持续稳健发展，无论是生活上还是工作上，早已离不开网络。俨然，地球已成为了“地球村”。网络被广泛应用于各行各业，那么，中小型企业网络的建设和实施是企业正常运营的基础。本文针对广东仁爱医疗科技有限公司的网络需求，对网络进行了规划和设计。根据广东仁爱医疗科技有限公司的需求以及现阶段中小型企业网络规划主流技术的对比，在该公司的网络拓扑的搭建中，在局域网方面我们选择了网络互联技术。在该公司同一部门或者不同部门方面，我们选择了VLAN技术，因为这对公司控制流量、减少设备投资、简化网络管理、提高网络的安全性有着很大的帮助。互通信。VTP配置简化VIan的配置。使用ACL技术按该公司的要求，控制远程访问。生成树协议和链路聚合实现二层冗余、HSRP实现网关冗余。采用OSPF和默认路由协议实现全网通，通过EIGRP协议，有效扩展，使各个分部与总部相连。配置各类服务器，如WWW、DNS,FTP、E-mail服务等，满足该公司的信息发布和数据共享的需要。此外，该公司的网络可能会受到自身内部或者外部的攻击，因此，网络安全对于该公司的网络是必不可少的步骤。在边界路由器配置了基于区域的策略防火墙ZWF,控制不同区域间的访问，配置交换机和路由器的基本安全，如端口安全、访问加密、认证加密等，确保数据的可用性、完整性和保密性。关键词：广东仁爱医疗科技有限公司，网络互联技术，网络冗余，网络安全NetworkPlanningandDesignSchemeofGuangdongRenaiMedicalTechnologyCo.,LtdAbstractzInrecentyears,theInternetindustryhascontinuedtodevelopsteadily,whetherinlifeorwork,ithaslongbeeninseparablefromthenetwork.ltseemsthattheearthhasbecomea,globalvillage',.Networkiswidelyusedinallwalksoflife,sotheconstructionandimplementationofsmallandmedium-sizedenterprisenetworkisthebasisofnormaloperationofenterprises.AccordingtothenetworkdemandofGuangdongRenaiMedicalTechnologyCo.,Ltd.,thispaperplansanddesignsthenetwork.AccordingtotheneedsofGuangdongRenaiMedicalTechnologyCo.,Ltd.andthecomparisonofcurrentnetworkmainstreamtechnology,intheconstructionofnetworktopology,LANadoptsnetworkinterconnectiontechnology.VLANtechnologyisusedbetweendifferentdepartmentstohelpcontroltraffic,reduceequipmentinvestment,simplifynetworkmanagementandimprovenetworksecurity.Threelayerswitchingandsinglearmroutingrealizemutualcommunicationamongdepartments.VTPconfigurationsimplifiesVLANconfiguration.UseACLtechnologytocontrolremoteaccessaccordingtothecompany'srequirements.Spanningtreeprotocolandlinkaggregationrealizetwo-tierredundancy,andHSRPrealizesgatewayredundancy.OSPFanddefaultroutingprotocolareusedtorealizeallnetworkcommunication.EIGRPprotocolisusedtoeffectivelyexpandandconnecteachbranchwiththehcadquarters.Configurevariousservers,suchasWWW,DNS,FTP,e-mailservices,etc.,tomeetthecompany'sinformationpublishinganddatasharingneeds.Inaddition,thecompany'snetworkmaybesubjecttointernalorexternalattacks.Therefore,networksecurityisanessentialstepforthecompany,snetwork.Theborderrouterisequippedwithzonebasedpolicyfirewallzwftocontroltheaccessbetweendifferentzones,andconfigurethebasicsecurityofswitchandrouter,suchasportsecurity,accessencryption,authenticationencryption,etc.,toensuretheavailability,integrityandconfidentialityofdata.KeywordsiGuangdongRenaiMedicalTechnologyCo.,Ltd,InternetTechnologytNetworkRedundancy1NetworkSecurity第1章绪论11.1 仁爱医疗科技有限公司网络设计的目的和意义11.2 仁爱医疗科技有限公司网络的设计原则11.2.1 产品功能实现11.2.2 网络硬件的选择21.2.3 仁爱医疗科技有限公司网络组建的要求21.3 论文结构安排4第2章项目需求分析52.1 背景分析52.2 功能需求分析52.3 安全需求分析52.4 本章小结6第3章网络设计73.1 组网设备的选择73.1.1 交换机的选择73.1.2 其它设备的选择103.2 网络拓扑结构图设计103.3 ip地址的规划123.3.1 vlan的划分123.3.2 设备ip的具体划分12第4章网络实施154.1 实验配置分析图154.2 具体实验配置实施164.2.1 基本配置164.2.2 交换配置174.2.3 路由配置214.2.4 网络安全23第5章系统测试315.1 HTTP服务测试315.2 DNS服务测试315.3 FTP服务测试335.4 E-mail测试345.5 核心设备只允许管理员安全访问365.6 基于区域策略的防火墙37第6章总结39参考文献40致谢42第1章绪论1.1 仁爱医疗科技有限公司网络设计的目的和意义近年来，随着全球范围内人们对Internet使用需求的增加，以Internet为代表的网络基础设施的建立和发展，使人们在日常生活中越来越离不开网络。如微信、手机、IPAD等都是要通过网络来实现它多方面的功能。这不仅促进了信息产业和知识经济的诞生和迅猛发展，更标志着人类已进入信息时代。企业网络的建设是企业向信息化、高效化、国际化发展的必然选择。企业网络的设计旨在内部资源的高速共享，降低企业的运营成本。在当今社会，一个企业的网络规划可以说是重中之重，这不仅仅体现在以上所述的两个方面，更重要的还有一个安全性。如果一个企业的网络安全性不达标，这就意味着他们的内部数据岌岌可危，客户对企业的信任度也就不高。所以，企业网络不仅仅是让企业可以更好地与外界进行沟通，外部可以更容易、更快速地了解企业，企业员工更高效率工作，还要让企业的内部数据有一定的保密性，以防用户资料的丢失及泄露。目前，各企业均在搭建或完善企业内部局域网。可用、可靠、可扩展的网络结构侧面体现企业稳定的发展。本文结合在校所修课程和仁爱医疗科技有限公司实际需求，举例分析、设计、配置、搭建一个安全稳定的企业网络。1.2 仁爱医疗科技有限公司网络的设计原则12.1产品功能实现广东仁爱医疗科技有限公司采用树型拓扑进行规划整个网络，因为树型拓扑相对来说有较强的可折叠性，非常适用于构建网络主干，而且还能够有效地保护布线投资，节省成本。在出口路由器采用了基于zone的策略，可以实现内部网络不受外部入侵；与内部路由器采用了OSPF及ElG即两个动态路由协议，实现了不同网段的互通；核心交换机采用HSRP技术，实现高可用性；通过部署DNS、FTP、E-mail服务器，局域网可以实现文件管理、资源机共享、电子邮件和传真通信服务等功能。1.2.2网络硬件的选择企业网络通常分为接入层、汇聚层、核心层三层结构。通过分层的设计将网络分成互相分离的接入、汇聚、核心层，每一层提供不同的功能。接入层是用于各种终端通过信息点连入网络；汇聚层设计的目的是为核心网和接入层接，也是二层上下联，并提供了基于统一策略的互联性并对数据包进行复杂的路由运算。核心层的网络尤为重要，因为它位于中心，般连接着各个区域的网络设备，并且所有的流量都需要经过核心交换机出去，包括内网终端访问内网DNSFTPE-Mail服务器的流量，内网终端访问外网的流量。根据接入层、汇聚层、核心层每层的特点以及设备的重要性，可以选择杆7的彼件没备。总结每层适用的设备，如下表：分层设计适用设备接入层终端用户（如PC、打印机、IPPhone等）汇聚层交换设备（如交换机、三层交换机、网桥、集线器等）核心层思科、华为等牌子的高端路由设备、防火墙等不同设备有不同的厂商，价格自然有差别，可以根据企业的需要等综合条件选择。1.2.3仁爱医疗科技有限公司网络组建的要求我们时常能接触到internet网、星形网、树形网等名词，它们表示什么？网络从大的方面来讲有很多种类型，其中按网络的地理覆盖范围来讲可以将网络分为三种类型，包括有局域网、城域网、广域网。本篇论文知识构建一个医院的网络，地理覆盖范围大概在方圆几千米，因此属于局域网。首先从物理层来讲，它包含了许多不同类型的终端，比如微软的WindoWs、苹果的MAC、还有像IinUX等系统。大部分企业会因为资金方面、产品选型方面、网络规划方面、安全方面（包括网络安全、终端安全等）、网络架构方面等方面的不够了解，都会选择架构自己对于公司的整个网络部署规划做成招标书，交予中标的第三方集成商进行实施及维护。并且这样做的话不仅可以节省企业对组网投入的精力、人力，更不必耗费太多的资金，同时可以在提高网络安全性的基础上兼顾未来企业发展壮大后网络的扩展性。所以在网络实施之前我们要做好对企业的需求分析、拓扑选型、设备挑选、网络规划等前期准备。只有完善好规划、实施好每一步的步骤，才能让这个网络满足企业对各方面的要求，并给以后企业的发展留有网络可拓展性。企业组建的自身网络一般有下几点要求：vLAN二层广播域隔离VLAN技术原理是将一个物理的LAN在逻辑上划分成多个广播域的通信技术。划分不同VLAN的目的是为了划分不同的广播域，不让所有的主机都在同一个广播域中，一旦发生广播风暴，影响的只是本广播域内的主机，而不会大范围的波及其它广播域内的主机。并且这样的话不仅可以节省带宽，而且还可以提高网络的处理能力。在一个公司中，一般是将一个部门里的用户划分在同一个VLAN中，当然有些特殊的，流量带宽需要比较大的也可以用单独的VLAN进行表示，也好在后面设备做流控的时候好调用。根据以上做的话，网络的构建和维护就会更快速更灵活。三层信息共享在一个企业中，有时候各部门之间的信息共享是有必要的。实现信息共享的话可以使企业对资源的配置更加合理，更大方面地节约企业的运营成本，创造更大的经济效益。这就需要实现VLAN间的通信。VLAN间的通信可以通过三层交换机的三层交换和路由器的单臂路由模式来实现。用网安全网络容易受到外部和内部有意或无意的入侵，这时企业的信息很容易被蓄意破坏、篡改、窃听、假冒、泄露。因此需要采取措施保证企业网络安全和稳定运行。如通过端口安全防范DMZ区的服务器遭受MAC泛洪攻击、通过防火墙或AeL技术对数据流量合理过滤、通过SSH加密访问设备、链路，区域MD5认证保证数据的可靠性等。网络稳定可扩展在前期的网络的规划，一般都会考虑到网络的冗余性。其中网络的冗余性包括核心设备的冗余、出口设备的冗余、线路的冗余、电源线的冗余等等。而且这个规划也必须写在本项目的实施方案中，在实施的过程中，严格的按照方案进行实施，绝不能在整个网络架构中出现由于网络架构、线路的实施不合理出现的单点故障（单点故障为某一个节点发生故障导致网络整体瘫痪）。通过科学的、高效的网络冗余设计，能够很好地提高网络的稳定性。网络的冗余设置就是将一些负担较重的某个关键设备，比如：核心交换机，一旦网络系统出现故障，备用设备就会去担任主设备的工作而工作，可以在一定程度上为系统提供服务，减少网络故障所带来的影响。1.3论文结构安排此篇论文一共分为六个部分，具体内容如下：第1章：绪论。本章从现如今网络的发展状况，简要说明网络在企业中的作用。第2章：项目需求分析。本章从广东仁爱医疗科技有限公司的网络需求出发，设计出一套能满足公司日常工作需求的网络拓扑。第3章：网络设计。本章从广东仁爱医疗科技有限公司的需求出发，简要介绍了拓扑的VIan划分以及IP划分。第4章：网络实施。本章简要介绍了拓扑构建完成之后的实操内容。第5章：系统测试。本章简要说明了各次系统测试的结果，能够满足广东仁爱医疗科技有限公司的日常工作需求。第6章：总结。本章从各个方面出发，介绍了本篇论文中出现的问题以及解决方案，是对本篇论文的一次综合性的总结第2章项目需求分析2.1背景分析广东仁爱医疗科技有限公司总部设有6个部门，分别为人力资源部、财务部、销售部、设计部、市场部、董事办公室。因为公司业务的需要，在广州扩建了一间子公司，仅设有销售部、设计部、市场部3个部门。公司部门具体情况及需求如下：表27部门信息点个数主要部门职责所需设备数董事办公室负责决策、组织办公15人力资源部负责招聘和辞退员工，管理员工出勤10财务部负责公司的账目20销售部负责产品销售方面80（总部）、50（子公司）设计部负责服装设计30（总部）、10（子公司）市场部负责产品推广和策划50（总部）、20（子公司）2.2功能需求分析1、全网实现不同业务二层隔离三层连通2、总公司中，各部门可以相互访问。3、总公司和子公司各部门可以相互访问。4、核心设备三层交换机和路由器只允许网络管理员远程安全访问。2.3安全需求分析基于策略的防火墙要求，对该公司的安全需求有以下条件：内网能ping通Internet跟DMZ区域，但是DMZ区域不能访问Intemet和内网。Internet不能ping通内网和DMZ区域，但是可以访问DMZ区域的HTTP服务。2. 4本章小结本章内容从广东仁爱医疗有限公司的实际需求出发，对该公司的各个方面进行了深入了解，详细介绍了该公司对网络的需求。为之后的网络设计提供了必要的信息，对拓扑图的构建有了充分的准备。第3章网络设计2.1 组网设备的选择2.1.1 交换机的选择一般来说，终端都是通过接入层接入网络，而获得网络资源的。接入层的目的是允许终端用户连接到网络，因此接入层交换机具有成本低和端口密度高的特性。在网络设备方面选用当前国际社会上首屈一指的网络互联厂商Cisco的产品，其产品与服务通过智能、安全及可靠的网络将信息设备连为一体，具有很好的可靠性和稳定性。CiscoCatalyst2960系列智能以太网交换机是一个全新的、固定配置的独立设备系列，提供桌面快速以太网和10/100/1000千兆以太网连接。其中ClSCoWS-C2960-24TC-S基本参数如下：表3-1CISCOWS-C2960-24TC-S基本参数主要参数 产品类型智能交换机 应用层级二层 传输速率10/100/1OOOMbps 产品内存DRAM内存：64MBFLASH内存：32MB 交换方式存储-转发 包转发率6.5Mpps MAC地址表8K端口参数端口结构非模块化端口数量24个传输模式支持全双工功能特性网络标准IEEE802.ID,IEEE802.Ip,IEEE802.1Q,IEEE802.Is,IEEE802.lw,IEEE802.lx,IEEE802.IAB(LLDP),IEEE802.3ad,IEEE802.3ah,IEEE802.3x,IEEE802.3,IEEE802.3u,IEEE802.3ab纠错 VLAN支持 QoS支持 网络管理SNMPVI,SNMPv2c,andSNMPV3Catalyst2960系列具有集成安全特性，包括网络准入控制(NAC)、高级服务质量(QoS)和永续性，可为网络边缘提供智能服务。具体而言，集成安全特性是一个全新的、固定配置的独立设备系列，提供桌面快速以太网和10/100/1000千兆以太网连接，适用于中小型企业、中小型市场和中小型分支机构的网络，有助于为其提供增强LAN服务。汇聚层是企业网络的信息汇聚点，是连接接入层和核心层的网络设备。其作用是为接入层提供数据汇聚、传输、管理、分发处理等功能，也可以提供接入层虚拟网之间的互连，并且掌控和限制接入层对核心层的访问，确保了核心层的安全性和稳定性。核心层的功能较多，但是在其中最为主要的功能是实现骨干网络之间的优化传输等。核心层为这整一个网络的核心，这就需要考虑该交换机在技术性和可扩展性等方面要具有适当的超前性，这样在企业未来发展壮大之后才具有足够的兼容性。其次，用我们常常说的一句老话来表达的话，那就是：稳定压倒一切。对核心交换机来说，对稳定性的要求远远高过对性能的要求。若是一台核心交换机经常出故障，网络经常中断，服务器经常无法访问，那还会有谁使用该家厂商的产品。这就好比我们如果去菜市场买菜的话，这家店的菜回去吃完老是会拉肚子，几次之后这家店肯定也会相应的没生意做了，就是因为产品不好。综合了对比了各家厂商的能力和性价比之后，我们最终选择CiscoCatalyst3560E-24TD作为汇聚和核心交换机，其中CISCe)WSC3560E-12DE基本参数如下：表3-2ClSCe)WS-C3560E/2D-E基本参数主要参数 产品类型企业级交换机 应用层级三层 传输速率10/100/1000/10000MbPS 交换方式存储-转发端口参数端口结构非模块化端口数量12个端口描述12个基于X2的万兆以太网端口传输模式支持全双工功能特性 网络标准IEEE802.Is,IEEE802.lw,IEEE802.Ix,IEEE802.3ad,IEEE802.3af,IEEE802.3x,IEEE802.ID,IEEE802.Ip,IEEE802.IQ,IEEE802.3,IEEE802.3u,IEEE802.3ab,IEEE802.3z纠错 堆叠功能可堆叠 VLAN支持 QOS支持具体而言，Cisco3560E系列交换机的主要特性和优势有以下几方面：简易性，换言之就是易操作，好上手，不需要用户有足够多的理论基础就可以使用；可用性和可扩展性，就是为企业未来的发展做好了足够的准备；高性能IP路由。在简易性，也就是易用性方面CiscoCatalyst3560-E设计得很好，比如CiscoSmartPortS,思科靠着在网络方面沉浸多年的丰富的网络技术，快速而方便地配置先进的CiSCOCatalySt智能功能。CiscoSmartports宏为每种连接类型都提供了一套经过验证、便于用户使用的模板，使用户能以最少的人力和技术投入，一致、准确地配置必要的安全策略、IP电话、可用性、QoS和可管理性特性。在可用性和可扩展性方面，CiscoCatalyst3560-E系列配备了一个强大的特性集，利用IP路由以及能够最大限度地提高第二层网络可用性的全套生成树协议增强特性，借此实现了网络可扩展性和更高可用性，这就是企业不必因为在未来一段时间内发展过快的话需要重新购买一批新的网络设备，为企业节省了一大笔资金。在标准生成树协议基础上增强的特性，如PVST+、UplinkFast和PortFast,以及Flex-Iink等创新特性，大幅度增加了了网络正常运行的时间。在高性能IP路由方面，思科快速转发硬件路由架构为CiscoCatalyst3560-E系列交换机提供了极高的IP路由性能。31.2其它设备的选择一个网络的架构不仅仅只有交换机，还有很多必不可少的元素，如线缆、终端设备、路由器等。本课题只是模拟一个中小型企业网络。实际还要考虑很多综合因素。本课题用CiSCoPacketTraCer软件模拟，因此线缆、终端设备、路由器不一一讨论型号和具体功能。3. 2网络拓扑结构图设计根据仁爱公司的规模利发展规划，网络拓扑采取星型网状和树型拓扑结构混合。这样有利于企业的扩展。为了避免单点故障，造成企业业务损失，也采用了设备冗余的设计。接入层机使用了ClSCO2960系列的交换机，汇聚层和核心层使用了ClSeO3560系列交换机，路由器一致采用CISCO2811企业路由器等，网络拓扑图设计如下：图3-3广东仁爱科技医疗有限公司网络拓扑图7internetPniVa治OoudoEIGRP9029624TLaptopOVLAN30(Sales)192.168.3.0/24G:192.168.3.254PC-PTPC2SSIDjMarketpassword:12-156789VLAN40(Design)192.168.4.0/24G:192.168.4.254Zhyai-R2-firewa11'10(Hmanresorse)VLAN20(Fiacial)VLAN30(Sales)VAN40(Design)192.168.10.0/21192.168.20.0/24192.168k30.0/24192168.40.0724G:192.168.10.254C:192.168,20.254G:192.1683025-16:192.168.40.3545C-PTPC6VUAN50(Market)192.168.50,0/24,G:192,168.50.254y*PC1VLAN99(Management)VLANIyChuha1Guangzhou*R3192l6&1L0%192.168.应0/24OSPF110>PF110I68.21.O242flServerPT.ioo.Server-PTFTPrE-maii192.16&99.0/24G:192.i68.99.25iL0/242901z4n2960-24TTSw9VLANS(KMarket)192.168.5.0/24G:192.168.5.254Smartphcne-PtSmartphoneOAccessPto113.1 ip地址的规划3. 3.1vlan的划分根据各个部门的不同需求以及公司的发展需要，现对各个部门进行Vkm划分，具体划分内容见表3-4。表3-4vlan的划分部门名称VLAN网络地址董事办公室Vlan99192.16.99.0/24人力资源部Vlan10192.16.10.0/24财务部Vlan20192.16.20.0/24销售部Vlan30192.16.30.0/24（总部）192.16.3.0/24（子公司）设计部Vlan40192.16.40.0/24（总部）192.16.4.0/24（子公司）市场部Vlan50192.16.50.0/24（总部）192.16.5.0/24（子公司）4. 3.2设备ip的具体划分根据公司日常工作需求以及设备的相关功能，现对公司的ip进行划分，具体内容见表3-5。表3-5IP的划分企业总部设备接口ip地址默认网关Zhuhai-RlF0/0192.168.11.1/24F0/1192.168.12.1/24S0/0/0192.168.13.1/24S0/0/1192.168.21.1/24Zhuhai-R2-firewallF0/0192.168.1.1/24S0/0/080.80.80.2/24S0/0/1192.168.21.2/24ISPS0/0/080.80.80.1/24SlGO/1192.168.11.2/24vlan10192.168.10.252/24vlan20192.168.20.252/24vlan30192.168.30.252/24vlan40192.168.40.252/24vlan50192.168.50.252/24vlan99192.168.99.252/24S2GO/2192.168.12.2/24F01010.10.10.1/24vlan10192.168.10.253/24vlan20192.168.20.253/24vlan30192.168.30.253/24vlan40192.168.40.253/24vlan50192.168.50.253/24vlan99192.168.99.253/24DNS服务器192.168.1.100/24192.168.1.1FTP服务器192.168.1.110/24192.168.1.1E-mail服务器192.168.1.120/24192.168.1.1管理员PC10.10.10.10/2410.10.10.1所有PCdhcpdhcp子公司Guangzhou-R3F0/0.30192.168.3.254/24F0/0.40192.168.4.254/24F0/0.50192.168.5.254/24S0/0/0192.168.13.3/24所有PCdhcpdhcp第4章网络实施3.2 实验配置分析图控制台基本配置VTV.虚拟终端交换配置基于区域策略的防火墙无线!Wiff3.3 具体实验配置实施4. 2.1基本配置根据企业要求，为了方便管理设备，所有的路由器和交换机都进行了基本配置，配置命令及注释如下：enable #进入特权模式 configure terminal hostname xxx no ip domain lookup enable secret Weare line console 0 password their logging synchronous exec-timeout 1030 login line yty 04 login local service password-encryption 令不会显示明文banner motd #Welcome to Zhuhai monitored# 进入全局配置模式# 根据显示，对设备进行相应的名称设置# 禁用DNS解析d#设置特权模式到全局配置模式的秘密# 进入控制台# 进入控制台的登录密码# 配置日志同步，避免干扰输入1# 配置线路超时时间，提高安全性# 登录e#虚拟终端配置#使用本地用户登录/#所有未加密的口令弱加密，口ShiShang ! Remember,activity may be#配置标语信息/5. 2.2交换配置1、创建一个vlan,并把需要关联的接口关联到相应的Vlan之中，交换机之间采用trunk技术，实现跨交换机的相同VIan间通信。采用VtP技术，减轻VLAN配置的工作量，因此只需在VtPSerVer上创建VLAN即可。其中，企业总部的Sl为vtpserver,其它交换机为VtPclient,子公司的S3为vtpserver,其它交换机为VtPclient,所有的VtP域名为zhss,密码配置为ShiShang。为了增强网络的稳定性和可靠性，总部三层交换机之前配置了etherchannel捆绑技术。具体实施步骤如下：第一步：在vtpserver上创建VLANeylanxx#创建ylan第二步：交换机与交换机之间的trunk配置interfacerangefl-xswitchporttrunkencapsulationdotIq#三层交换机才需要封装*jswitchportmodeTrunk第三步：ytp.技术的配置Ytpmodeserver(client)eYtppassShiShangVtpdomainzhss第四步：接入层交换机的端口划分到指定ylan:interfacef3switchportmodeaccessswitchportaccessylanxx第五步：Sl与S2的etherchannel技术配置Uinterfacerangefl-2channel-group1modeonport-channelload-balancedst-ip#负载均衡的方式为dst-ip/2、二层不同Vlan间是不能够通信的，企业的协作需要各部门之间合作完成,因此需要实现Vlan间的通信，实现Vlan间的通信可以通过三层交换或单臂路由,这里总部采用三层交换，子公司采用单臂路由。具体实施命令如下：三层交换：/iprouting#开启交换机路由功能interfaceylanxx#创建SVl接口ipadd192.168.10.25x255.255.255.0noshutdown单臂路由：interfaceGigabitEthemetO/1.xxencapsulationdotIQXXdipaddress192.168.xx.254255.255.255.03、STP协议。为了减少网络故障的恢复时间，避免单点故障，解决环路问题。交换机配置PVST+协议。其中，Sl为Vlan99、VkmIO、vlan20的根桥，为Vlan30、Vlan40、vlan50的次根桥；S2为Vlan30、Vkm40、vlan50的根桥，为Vlan99、VIanI0、vlan20的次根桥。如Sl的配置如下：spanning-treemoderapid-pvst#交换机上启用PVST*spanning-treeylan99,10,20rootprimary#配置优先级spanning-treeylan30,40,50rootsecondary4、HSRP协议。企业中某子网的终端设备需要借助网关才能与其它子网的终端设备通信，因此网关在网络中扮演很重要的角色，企业部署网关冗余是必不可少的。本中小型网络在核心交换机Sl和S2上为每个VLAN创建HSRP组，组号为VLANID,虚拟IP为每个VLAN所在网段的最后一个地址。值得一提的是，要确保每个VLAN对应的HSRP组的活动路由器和相应VLAN根桥位于同一台设备，否则会导致次优路径。因此，Sl为VLAN99>VALNlO和VLAN20的活动路由器，而S2为VLAN30、VALN40和VLAN50的活动路由器。其中，活动路由器的优先级为150,备份路由器的优先级为100,具体实施命令如下：intylanxxstandbyxxip192.168.xx.254#HSRP组的虚拟IP<standbyxxpriorityxxx#设置优先级standbyxxpreempts5、DHCP协议。由于网络设备中主机过多，如果人为手动分配IP地址很容易造成IP地址冲突，影响正常上网。动态分配IP地址给网络的终端设备既可以减少管理员的工作，又可以提高工作的灵活性。在企业中DHCP的配置是必不可少的。其中，总部的ZhUhai-R2和子公司的GUangZhoU-R3充当DHCP服务器，分别给相应的每个部门动态分配ip,地址池命名为VLAN+ID。另外，有些部门在总部和子公司都有设立，而主机又在同一个子网，为了避免获取ip冲突，决定总部使用ITOo的ip,子公司使用101-251的ip。还有，总部是跨网段获取ip地址，因此需要在离客户端最近的Sl和S2配置dhcp中继。具体实施命令如下：ipdhcppoolylanxxnetwork192.168.xx.0255.255.255.0default-router192.168.xx.254dns-server192.168.1.100Sl的DHCP中继：intylanxxiphelper-address192.168.11.1S2的DHCP中继：intylanxxiphelper-address192.168.12.14.2.3路由配置1、路由技术OSPF路由器协议是目前应用最广泛的链路状态路由协议。通过区域划分可以实现了路由的分层管理。ElGRP协议是距离矢量路由协议，实现和配置都比较简单。根据公司规模和需求，公司总部采用OSPF协议，area。区域下发一条默认路由。为了减少区域内的链路状态数据库的大小，减低对路由器内存的要求，对area1进行路由汇总、并设置为完全StUb区域。子公司规模小就采用EIGRP协议，接口汇总。简单配置命令如下：总部OSPF协议：iprouteO.O.O.00.O.O.080.80.80.l4jrouterosfHOrouter-idx.x.x.xarea1stubno-summaryarea1range192.168.0.0255.255.