中小型网络设计与实现.doc

贵州财经大学2015届本科毕业论文（设计） 本 科 毕 业 论 文 （设 计） 中小型企业网络设计与仿真 The Design and Simulation of A Network of Small and Medium-sized Enterprises 作 者 曹 恩 专 业 计算机科学与技术 指导教师 马思根 副教授 学 院 信息学院 二〇一五 年 五 月 I 诚信声明 本人郑重声明：本人所呈交的毕业论文，是在导师 指导下独立研究取得的成果。毕业论文中凡引用他人已经发表的成果、数据、观点等，均已明确注明出处。除文中已注明引用的内容外，不包含任何其他个人或集体已发表的论文。若有抄袭，愿承担一切后果。 特此声明 作者签名： 签字日期： 贵州财经大学本科毕业论文授权使用声明 作为本科生毕业的条件之一,毕业论文著作权拥有者授权贵州财经大学拥有毕业论文的部分使用权,即:学校有权按有关规定向国家有关部门或机构送交论文的复印件和电子版,允许论文被查阅和借阅,可以将毕业论文编入有关数据库进行检索,可以釆用影印、缩印或扫描等复制手段保存、汇编毕业论文。本人提交的电子文档的内容和纸质论文的内容相一致。保密的毕业论文在解密后也遵守此规定。 `□公开 □保密( 年) 作 者 签 名： 签字日期： 指导教师签名： 签字日期： I 摘要 本文主要是结合中小型企业网络需求，结合当前企业中最常用的网络结构体系，采用层次结构的三层结构，并从理论上与实企业实际需求进行系统性的分析与研究，了解当前搭建企业网络所常用的关键技术、并对企业的信息安全技术方面的分析和研究。并通过企业网络需求、网络架构、网络拓扑、技术实现和模拟仿真来完成该论文的设计。主要表现以下的两个方面： 一、 搭建一个企业网络高可用性、稳定性的企业网络体系，利用HSRP协议来对核心路由和核心交换机实现冗余备份，STP/PVST+实现对核心的交换机VLAN的负载均衡，以提供对核心交换机的流量分担，IP地址和VLAN的规划与设计在，理论上对互联网的体系结构和工作原理的认识。 二、 是在对于企业来说，信息安全是网络的重要部分，VPN远程访问控制以及访问控制列表、防火墙等应用在安全技术的应用也在本文中得到具体的体现。 关键字：HSRP冗余备份，PVST负载均衡，信息安全，IP地址规划。 Abstract This paper is combined with small and medium-sized enterprise network requirements, combined with the most commonly used in current enterprise network system structure, adopt three layers structure of hierarchy, and theoretically and practical enterprise actual demand systematic analysis and research, the key to understand the current commonly used by building enterprise network technology, and the analysis of the enterprise information security technology and research. And demand in enterprise network, network architecture, network topology, the technical implementation and simulation to complete the design of the paper 。Mainly the following two aspects: Firstly，Building a network high availability and stability of the enterprise network system, Use HSRP protocol to implement redundancy backup routing and core switches, STP/PVST + implementation of the core switches VLAN load balancing, to provide traffic share of core switches, IP address and VLAN in planning and design, theoretical understanding of the system structure and working principle of the Internet. Secondly, TO the enterprise, information security is an important part of the network, VPN remote access control, and access control lists, firewall and other applications in the application of safety technology in this article also get specific embodiment. Key Words：HSRP redundancy backup, PVST load balancing, information security, IP address planning. I 目录 摘要 I 目录 III 1 引言 1 1.1 选题背景 1 1.2 目的和意义 1 1.3 可行性分析 2 1.4 基本思路 2 1.5 仿真实验平台 3 2 网络设计需求分析 3 2.1 总体需求分析 3 2.2 具体需求分析 4 2.2.1基础架构的需求 4 2.2.2 网络出口和接入 4 2.2.3 硬件安全的需求 4 2.2.5 服务器选择的需求 5 3 网络总体设计方案 5 3.1 网络结构设计 5 3.1.1 主干结构设计 6 3.1.2 接入层局域网设计 6 3.1.3 互联网接入设计 6 3.1.5 VPN设计 6 3.2 网络拓扑设计 7 3.3 IP地址与VLAN规划 7 3.4 模块设计与仿真 9 4 网络的详细设计方案 10 4.1企业内部网络交换模块设计 10 4.1.1 基础配置 10 4.1.2 内网连通 12 4.1.3核心冗余 23 4.1.4 内部路由之间的配置 28 4.1.5 无线访问 32 4.2 广域网接入模块设计 35 4.3 远程访问模块设计 36 4.4 安全模块设计 40 4.4.1 访问控制 40 4.4.2 防止欺骗攻击 41 4.4.3 其他的安全设施的部署 43 5 仿真实验的测试 43 5.1 测试模块 43 5.2 模块测试验证 43 5.2.1 企业连通性与访问限制 43 5.2.2 核心层的冗余 46 5.2.3 Easy VPN测试 49 6 总结 50 参考文献 52 致谢辞 53 III 1 引言 1.1 选题背景 计算机网络得到了越来越广泛而深入的应用，人们对网络的依赖性越来越大，信息社会已经离不开网络，计算机网络在人们工作和生活中的地位越来越最重要，计算机网络作为信息社会的基础设施以渗透到社会的方方面面。对于中小型企业的发展而言，企业网络基础设施也在不断的发展变化，从小型企业发展到中性企业，企业的不断扩大，业务需求量上的增加，计算机网络的复杂程度也越来越高，规模也越来越大，企业需要一个可靠的、可管理的、安全的、稳定的网络运行环境。如果企业网络出现问题和故障，都会给企业带来一定的经济损失，为了避免这种情况，企业网络规划设计和优化尤为显得重要，另外一方面，一个好的网络规划方案，在网络管理方面，往往会提高网络的正常运行，从而保证网络能够正常、可靠、高效、安全、稳定地运行。这样在企业发展后期中不仅减少了不必要的资金投入和设备投入。以提供给中小型业企业现代化、综合信息管理和办公自动化等一系列应用提供基本操作平台，而且能够提供多种应用服务。本文正是以构建一个高可靠、高速、高可用性的网络和业务管理为出发点，研究和探讨模拟出可行的解决方案。 1.2 目的和意义 随着科技的进步与经济的繁荣，近年来企业信息化建设不断的深入，企业的运行与计算机的联系越来越密不可分。企业网为企业的通信、办公自动、信息发布、经营管理等提供服务的重要基础设施，不但方便员工的办公，提高了企业的工作效率，也方便与客户的联系，加大了市场宣传面，增加了业务的需求量塑造自己的企业形象，提高了社会的影响力和企业的中和竞争能力。 现在的中小型经济发展是国民生产总值的重要组成部分，中小型企业由内部网和外联网共同组成，不但能够支持企业办公，而且为本地用户和远程用户提供应用程序和资源等多元化业务，而且能够集中控制设备和各种类型的网络流量，保证了网络的性能和安全性。由于中小型企业网络规划构建或者成本低廉、规模小、结构简单等特点，网络的实用性、安全性、拓展性和易维护性等特点，所以对于中小型企业而言，组建一个符合企业需求的网络对现代化企业的生存发展具有极其重要的意义。 1.3 可行性分析 我国早已进入了社会主义社会市场经济社会，面对现代的市场竞争，在过去传统的手工管理方式和手段已经不能适应现代化的发展的需求。社会的进步、及科技的不断发展和更新要求企业更新落后的管理体制、管理方法和管理手段，而在发展过程中的中小企业规模也不断地逐渐扩大、为了建立现代化企业的形象。实现企业的管理信息化。无论大中小型企业都不断地建立适合自身企业的自动化管理信息系统，促使管理水平的提高、经济和社会效益的增加。 实现一个统一、高可靠性、安全性的自动化办公硬件平台系统，是企业现代化管理的的一个重要的标志。它不仅能够给整个企业带来高效畅通的信息高速通道和企业公共服务环境，而且能够提供给各个部门之间先进的信息服务和生产环境，还能够提高各个部门之间的办公效率和综合管理水平、改变过去的管理思路和方式，提升管理人员和工作人员的素质，大大提高企业人员的工作效率。 从企业的经济发展趋势来看，通过网络资源的共用来对企业与企业，企业与客户的信息交流方式，加强对市场信息的掌握。再者，办公自动化水平的不断提高，不仅提高了工作和降低企业管理成本的支出，提高企业的竞争力。集中化的网络管理，使得企业资源分配得以最优化。 1.4 基本思路 根据企业的背景、目的、意义和可行性分析，应选择当前最适合中小型企业的网络层次模型来规划企业网络架构；为了保证网络的高可用性，需要使用很多的冗余技术。例如：为了保证局域网络不会因为链路故障而导致的网络中断而使用了冗余链路备份；为了保证客户端机器不会因为使用单一网关而出现的单点失败使用了热备份路由协议；为了保证到互联网的高可用接入使用了冗余互联网连接。确保了企业网络不间断运作，并采用合理的策略，确保个业务的性能发挥，增强企业数据的保密性；选择当前稳定可靠地网络设备，从分发挥企业网络的优势。网络管理系统的高效能使得计算机网络的运行状态提供一个稳定的网络服务。因此。构建一个高效的、安全、可靠、稳定的网络系统是尤其重要的。在构建网络的同时需要根据网络设计的一些基本原则。这些原则包括如下： 1. 开放性和标准化原则：采用国际化标准和标准，采用广为流行的、实用的工业标准。 2. 实用性和先进性兼顾的原则：就是注重实用性，结合企业的实际应用需求。以适合企业当前的的发展情况。 3. 无瓶颈原则：在设备选型上选择适合企业发展的设备，以及满足企业未来的需要。 4. 可用性原则：主要是指网络设备上的可用性，主要体现在路由器、交换机、及其他的一些网络硬件上海包括电源等备用 5. 网络安全性能：部署防火墙、防御系统、入侵检测系统，ACL规则集、病毒防护系统等。 1.5 仿真实验平台 在本论文中我们将利用Cisco公司为思科网络技术学院开发的一款模拟软件，Packet Tracer 6本质上是一个嵌入式的计算机，它需要有强有力的操作系统支持。IOS基础概述cisco网络设备，需要依靠ISO这个操作系统进行工作，ISO协调着Cisco设备的硬件进行网络服务和应用的传递。通过IOS命令接口，可对Cisco网络设备进行各种各样的配置，从而实现某种的网络功能。CIsco Packet Tracer 6能够实现大部分的网络设备功能，VPN远程访问的实现。为了实现一些某些在本文中能够更加直观、真实地表现论文的实际价值，将使用仿真软件来实现网络的搭建。网络构架、模拟、测试的软件如下： 操作系统平台：Microsoft Windows 7 网络仿真实验软件：Packet Tracer 6 2 网络设计需求分析 2.1 总体需求分析 某中等企业规模公司在近几年来发展迅猛，随着业务需求量的不断增大，现有的网络流量负荷已不能承受现有业务需求，因此，公司决定在以往的基础之上重构网络系统架构，以满足现有的网络应用需求和为未来发展的需求，对现有公司的网络需求可知道该公司现有的三栋建筑，一栋行政楼、一栋办公楼、一栋宿舍楼。分别拥有财务部、人事部、生产部、市场营销部、技术部。在该企业网络系统规划时需满足如下几点： 1. 满足现代企业管理的统一、对设计网络系统时加强网络管理，以提供安全、稳定的使用环境。 2. 满足现代企业中对部门之间的管理，对部门的资源进行优化分配，合理规划网络层次，实现最优的资源共享。 3. 为满足现代企业的发展及科技进步的需要，提供拓展能力强、升级灵活地网络环境。 4. 满足企业对互联网信息资源的共享安全，提供完善的网络解决方案；提高网络设备的冗余性， 5. 满足对办公效率及成本的控制的需求，增加高效的网络应用解决方案。 2.2 具体需求分析 2.2.1基础架构的需求 现在的大中型企业都基本上采用了宽带城域网的网络平台的层次结构，它主要分为：核心交换层、边缘汇聚层、用户接入层。采用这样的结构拥有结构清晰，各层功能实体之间的定清楚，接口开放，标准规范、便于组建和管理。核心层设备和汇聚层设备采用冗余备份，实现企业内部的无间断运作；并组建无限局域网，采用简单、经济有效的无线AP+交换机的组建管理方案。远程访问采用站点到站点VPN实现远程办公网的需求。 2.2.2 网络出口和接入 我国现有的中小型企业大多租用电信网络服务商提供的IP地址，但随着移动和联通网络服务提供商的进入，当前也有一些园区网租用联通和移动的网络服务，增强了网络服务的竞争，这几个网络服务提供商都基本上能够提供高速的网络带宽，并能通过Internet向外公布和发布企业信息，并能够更好地实施VPN技术方案，使用NAPT（端口地址转换）来满足内网连接Internet的需求，以对节约IP地址的租用。实现内部网络与互联网之间的访问。另一方面，也避免了来之互联网的的网络攻击企业内部网络，增强企业内部网络的安全性。 2.2.3 硬件安全的需求 网络管理能够基本上能够保证企业网络正常、可靠、安全、稳定地运行。它不仅包括对机房安全上的要求，企业也应考虑到应急方案，例如：配置高质量的电源，设置良好的接地系统，配置安装带有UPS装置；做好网络监控与安全的措施，加强非授权人员与网络基础设施的安全教育。在路由与交换机的选型上选择适合当前企业发展的主流设备，并加强该设备的远程安全管理。安装ssh服务或者利用VPN远程访问控制，配置ACL访问控制等。更加网络的实际需安全需求，建立适合企业的安全体系，大多数的中型企业应采用如下的网络安全防护措施： 1. 访问控制：它对设备进行设置，对网络用户进行身份验证，保证网络呼呼地而合法系 2. VPN防火墙系统：可以同时实现“虚拟”和“专用”安全特性，充分利用公共网络基础设施的高效性。 3. 入侵检测系统：它能够实时的对网络违规碱性自动识别和响应系统。实时监控网络数据流，识别、记录入侵和破坏性代码流，寻找网络魏国和未授权的网络访问尝试。 4. 防病毒系统：主要是对服务器和客户端的进行病毒的检测，一旦检测到病毒，立刻删除感染文件或者隔离。 2.2.5 服务器选择的需求 对于服务器产品的选型，应考虑到企业的经济发展情况和当前业务需求而选型，在一些关键性的服务器的选型上，Web/mail，和数据库等负荷较重的业务上选择较强的产品。如IBM、DELL、红帽linux的服务器等，一些工作负载较少的可由普通的PC机来承担。同时，需要考虑到企业的经济发展情况而定，现有的一些中小企业一般都是把服务器托管道IDC机房来管理。 3 网络总体设计方案 3.1 网络结构设计 局域网是属于小型的园区网，随着我国经济快速发展，以往的园区网不能满足企业的需求，在网络性能、安全管理、技术前瞻性方面的要求都不断地提高，企业与企业之间的合并，校园网的扩容、升级等对网络设备和系统管理提出了更高的要求。并逐步呈现出网络结构趋于复杂化，业务趋于综合化。信息化应用迅速开到园区的各个角落，应用平台化资源整合优化。又要考虑到园区的可扩展性需求，让网络以管理、可运营、和安全的认证机制等，现在园区网基本上由三个部分组成，分别是交换网络，路由网络和远程登录网络，主要中心是企业内部网络的建设。 3.1.1 主干结构设计 采用层次结构的三层网络架构：接入层、汇聚层和核心层。在大中性城市来说，更适合中小企业的实际规模；另一方面，还能提高对突发事件的自动容错能力，避免给企业带来不必要的经济损失。对未来企业能够更灵活地升级扩容。除了远程访问的链路之外，主干设备之间采用10Gbps或者1000Mbps的链路来连接。路由器与路由器之间、三层交换机与三层交换机提供核心冗余方案和链路冗余方案。以保证网络的稳定、高速和安全的运行。 3.1.2 接入层局域网设计 接入层采用支持802.1.q的10/100Mbps工作组的以太网交换机，根据用户需求分析，确定信息点分布，楼层数量、建筑群数量及可靠性来配置接入交换机，采用超五类非屏蔽双绞线，通常只能支持10/100Mbps的传输速率，以供给用户的业务需求正常使用。 3.1.3 互联网接入设计 向ISP提供商租用一个固定的IP，由核心路由器以接入到Internet中，提供ACL访问控制，以提高网络的数据包的过滤，增强对内网服务器的安全访问。利用PNAT地址转换技术。可实现内部私有网络在访问换联网上的资源时转换成ISP提供商提供的IP地址，在本文中利用一个一组路由器来模拟互联网云。 3.1.5 VPN设计 通过VPN远程访问能够实现远程访问控制和远程办公，通常企业用来连接分支机构、总部或者合作单位的网络，它不同于一般的远程连接，它更考虑到安全和可靠。企业常用的三种连接技术有： 1.传统广域网中专用的第二层技术：包括帧中继、ATM、和租用的线路。同很多的远程连接方案。这些连接的安全性依赖服务提供商。 2.远程VPN：一般的分支机构用户或者移动用户通过宽带或无线网络接入互联网，通过在个人电脑上安装VPN客户端软件，来连接远程办公室，提供灵活和可扩展的连接。 3.站点到站点的VPN，一般用于不同的站点之间，一般需要VPN路由器、VPN集中器或多功能的安全设备等硬件来实现连接，可以为远程办公提供一个安全、快速和可靠地远程连接，在本文中将采用该方式来实现VPN仿真实验。 3.2 网络拓扑设计 本设计中用到的设备采用Cisco公司的网络设备构建。利用packet 模拟其上的设别来完成，在该模拟器中提供了一系列额设备并且能够实现不同网络设备功能的兼容。设计的企业网络拓扑设计图如图3.1所示： 图3.1企业内部网络拓扑图 在该图中，接入层和汇聚层可选用较低廉的二层交换机，如2960型号的交换机设备，汇聚层和核心层的交换机选用3560型号的中性能的三层交换机，在核心层选用的路由器选用2621型号的路由设备（由于仿真软件的设计问题，实验中未必用到一模一样的网络设备，实验中并没有太大的区别，只有在正式的环境下，对性能的考验才有较明显的差别）。 3.3 IP地址与VLAN规划 VLAN（Virtual Local Area Network）虚拟局域网，根据企业的网络需求可知该园区网的网络规划方案，其中根据不同部门来划分不同的VLAN区域，在本设计中该园区网络的VLAN和IP地址编址方案如表1所示： 企业网路内部网络设备IP地址规划 表1 设备 接口 IP地址 默认网关 对端设备 部门 所在位置 RA Fa0/0 192.168.9.2/24 MS1 行政楼 Fa0/1 192.168.11.1/24 MS2 Se0/0 100.0.0.1/24 Sw6 RB Se0/0 MS1 Se0/0 行政楼 Fa0/0 192.168.10.2/24 MS2 Fa0/0 Fa0/1 192.168.12.2/24 Sw6 Fa0/1 MS1 Fa0/1 Sw1 行政楼 Fa0/2 Sw2 Fa0/3 Sw3 fa0/4 Sw4 Fa0/10 192.168.9.1/24 RA Fa0/11 192.168.10.1/24 RB Fa0/15 MS2 Fa0/16 MS2 Fa0/20 Vlan11 192.168.1.252/24 经理办公室 Vlan12 192.168.2.252/24 财务部 Vlan13 192.168.3.252/24 技术管理部 Vlan14 192.168.4.252/24 人事部 Vlan15 192.168.5.252/24 市场销售部 Vlan16 192.168.6.252/24 生产部 Vlan17 192.168.7.252/24 宿舍楼 Vlan18 192.168.8.252/24 服务器群 MS2 Fa0/1 行政楼 Fa0/2 Fa0/3 fa0/4 Fa0/10 192.168.11.1/24 RA Fa0/11 192.168.12.2/24 RB Fa0/15 Fa0/16 Fa0/20 Vlan11 192.168.1.253/24 经理办公室 Vlan12 192.168.2.253/24 财务部 Vlan13 192.168.3.253/24 技术管理部 Vlan14 192.168.4.253/24 人事部 Vlan15 192.168.5.253/24 市场销售部 附表1 设备 接口 IP地址 默认网关 对端设备 部门 所在位置 MS2 Vlan16 192.168.6.253/24 生产部 Vlan16 Vlan17 192.168.7.253/24 宿舍楼 Vlan17 Vlan18 192.168.8.253/24 服务器群 Vlan18 Sw1 Fa0/1 DHCP Pc1 行政楼 Fa0/2 DHCP MS1 Fa0/3 DHCP MS2 Fa0/4 DHCP AP Fa0/5 DHCP AP Sw2 Fa0/1 DHCP Pc2 Fa0/1 Fa0/2 DHCP MS1 Fa0/2 Fa0/3 DHCP MS2 Fa0/3 Sw3 Fa0/1 DHCP Pc3 宿舍楼 Fa0/2 DHCP MS1 Fa0/3 DHCP MS2 Sw4 Fa0/1 DHCP Pc4 办公楼1 Fa0/2 DHCP MS1 Fa0/3 DHCP MS2 Sw5 Fa0/1 192.168.8.1/24 192.168.8.254/24 ftpserver 办公楼1 Fa0/2 192.168.8.2/24 192.168.8.254/24 snmpserver Fa0/3 192.168.8.3/24 192.168.8.254/24 webserver Fa0/1 192.1688.1/24 192.168.8.254/24 ftpserver Fa0/2 192.168.8.2/24 192.168.8.254/24 snmpserver Fa0/3 192.168.8.3/24 192.168.8.254/24 webserver 3.4 模块设计与仿真 根据网络拓扑图，本企业设计方案可以分为以下四大部分： 1. 交换模块 2. 接入互联网模块 3. 远程接入模块 4. 安全加固模块 每个模块才分解的方式进行模拟仿真，（因为模拟实验与真实平台有一些差异，一些配置并不能王权在模拟环境下实现）。 根据拓扑设计的要求，本次仿真所使用的设备有Catalyst 2960 二层交换机、Catalyst 3560 三层交换机、通用路由器（可作为防火墙的模拟）、Cisco811、通用服务器设备、瘦AP（无线接入点设备）、台式PC、便携PC。 4 网络的详细设计方案 4.1企业内部网络交换模块设计 4.1.1 基础配置 1. 设备命名 在交换机和路由器中的名称，我们在模拟器中网路设备，方便识别，CLI提示符中利用命令来修改名字，在全局模式下利用hostname 命令来修改设备名，即可修改设备的名称，当远程访问时，网络管理员可以清楚地知道该设备的位置。另一方面，模拟实验中的设备比较多，就不一一地进行改名，而是根据需求，设置模拟器中的设备名。 列如三成交换机MS1为列： Switch>enable Switch#configure terminal Switch(config)#hostname MS1 2. 配置路由器的口令 用enable password 命令设定的口令可以限制对特权模式的访问，这个口令是可以在配 置文件中看到的。要在特权模式下输入加密的口令，需要使用enable secret命令。如果 配置了enable secret口令，它就会代替enable口令）。 Ra#configure terminal Ra (config)# enable password cisco //（仿真环境中不能使用） Ra#configure terminal Ra (config)# enable secret cisco //（仿真环境中可以使用） 设置口令后，对特权模式访问时需要输入密码。如下所示： Ra >enable Password: 这里需要输入密码才可以进行路由器的配置，交换机也是如此。 3. 远程登录访问 在线路上配置密码方法如下： Router(config)# line console 0 // 配置console线的密码 Router(config-line)# login Router(config-line)# password cisco 或 Router(config)# line console 0 4 // 配置vty线的密码 Router(config-line)# login Router(config-line)# password sanjose 4. 线路超时管理 在配置好远程登录或者登录到该远程设备上时，为了防止在管理员不在时没有权限的人进入IOS配置。可在该命令模式下 Router(config-line)# exec-timeout 0 0 “0 0”表示没有设定空闲时间。在设定了空闲时间之后，一旦达到该空闲时间，IOS就自动跳到路由器启动的界面，再想进入IOS配置，需要密码验证，以另一种命令是： Router(config-line)# logging synchronous 该命令是防止路由器输出到console的信息打断所输入的命令。 5. 设置禁用IP地址解析特性 为了避免在交换机或路由器的配置命令行下，有时管理员输入一条错误的命令式，交换机就会发送广播帧去寻找IP地址，造成大部分时间的浪费。因此可以利用你no ip main-lookup命令或者ctl+shift+6来阻止IP地址的解析。 设置禁用IP地址解析特性： Switch(config)#no ip domain-lookup 4.1.2 内网连通 1. 干道（Trunk）链路 VLAN Trunk 主要是要将不同的交换机之间进行连接，实现交换机的汇聚链路上传输多个VLAN信息，它的原理是在数据中附加相应的VLAN信息，用于标志这个数据帧是属于哪个VLAN的信息，也就是指定一个唯一的VLAN ID给每一个帧，VLAN帧标签成为标准的Trunk机制。IEEE 802.1q 是经过IEEE认证的VLAN协议，它是一个国际的标准，思科公司拥有自己的VLAN 协议（Cisco ISL）[1]。 在本文中交换机与交换机之间都要封装成Trunk链路，但三层交换机和二层交换机之间有所区别，三层交换机得先封装才能配置Trunk链路。 二层交换机之间的VLAN Trunk配置如下： Sw1(config)#interface range fastEthernet 0/2-3 Sw1(config-if-range)#switchport mode trunk 同样Sw2、Sw3、Sw4、Sw5、也是这样的配置 MS1(config)#interface range fastEthernet 0/1-4 MS1(config-if-range)#switchport trunk encapsulation dot1q MS1(config-if-range)#switchport mode trunk 同理MS2也是这样的配置 2.VTP搭建和VLAN划分和建立 VTP（VLAN Trunking Protocol）是VLAN中继协议，也称为VLAN干道协议。VTP拥有三种工作模式：VTP Server、VTP Client和VTP Transparent。一般，一个VTP域内的整个网络只设一个VTP Server。VTP Server维护该VTP域中的所有VLAN信息列表，通过VTP Server可以建立、删除或修改VLAN。VTP Client 可以学习到VLAN Server的表信息并创建VLAN 它不能修改、创建、删除VLAN。而VTP Transparent相当于一个独立的交换机，它不参与VTP工作。下面在本文中根据企业需求来创建VTP，以用来管理一个庞大的企业网内的VlAN配置。在本文中将行政楼的交换机设置为VLAN Server ，其他的二层交换机和三层交换机来学习设置为VTP Client到VTP Server 的VLAN信息。 在二层交换机上Sw1上配置成VTP Server，并按照企业需求分析创建各个部门所在的网段并根据部门来配置VLAN，配置的命令如下： Switch(config)#hostname Sw1 Sw1(config)#vlan 11 Sw1(config-vlan)# name jiofficer Sw1(config-vlan)#vlan 12 Sw1(config-vlan)#name caiwubu Sw1(config-vlan)#name cwb Sw1(config-vlan)#vlan 13 Sw1(config-vlan)#name jsb Sw1(config-vlan)#vlan 14 Sw1(config-vlan)#name rsb Sw1(config-vlan)#vlan 15 Sw1(config-vlan)#name scxsb Sw1(config-vlan)#vlan 16 Sw1(config-vlan)#name scb Sw1(config-vlan)#vlan 17 Sw1(config-vlan)#name susl Sw1(config-vlan)#vlan 18 Sw1(config-vlan)#name servergroup 为交换机Sw1配置一个域，使其他的交换机也加入到这个域中，这样在所配置的交换机中都是在这个域的范围内，这样在这个域中的客户机才能学习到VLAN服务器的信息， 配置Sw1交换机为VTP server其配置文件如下： Sw1(config)#vtp domain cisco Changing VTP domain name from NULL to cisco Sw1(config)#vtp mode server Device mode already VTP SERVER. 在汇聚层交换机和接入层交换机上配置VTP Client 其配置命令为如下： Sw2(config)#vtp domain cisco Sw2(config)#vtp mode client Setting device to VTP CLIENT mode. 配置成客户端后利用下面该命令来查看VTP Client 是否学习到VLAN的信息， Sw2#show vlan VLAN Name Status Ports ---- -------------------------------- --------- ------------------------------- 1 default active Fa0/1, Fa0/4, Fa0/5, Fa0/6 Fa0/7, Fa0/8, Fa0/9, Fa0/10