企业多层交换网络论文

时间：2022-06-16 14:45:08 浏览量：

　企业多层交换网络论文

　 2 2

　 ———————————————————————————————— 作者：

　———————————————————————————————— 日期：

　 o f ru ra l d rin k in g w a te r so u rce s, p ro te ctio n o f d rin k in g w a te r so u rce s in ru ra l a re a s b y th e e n d o f th e d e lim ita tio n o f th e sco p e o f p ro te ctio n , co m p le te w ith w a rn in g sig n s, iso la tin g n e tw o rk p ro te ctio n fa cilitie s 多层企业交换网络的分析与实现摘要 .................................................................................... 3 选题的背景 ............................... 错误! 未定义书签。

　前言 .................................................................................... 4 需求分析与设计原则 ......................... 错误! 未定义书签。

　详细网络设计方案 ............................. 错误! 未定义书签。

　三层结构功能 ........................... 错误! 未定义书签。

　系统组成与拓扑结构 ............... 错误! 未定义书签。

　VLAN 及 IP 地址规划 .............. 错误! 未定义书签。

　网络设备选型 ........................... 错误! 未定义书签。

　交换模块设计（在这里完成整个网络的连通以及配置）

　............................................... 错误! 未定义书签。

　测试与排错 ......................................... 错误! 未定义书签。

　致谢 ..................................................... 错误! 未定义书签。

　文献摘要 ............................................. 错误! 未定义书签。

　摘要在信息化生产逐步普及的今天，组建，企业内部网络已经是企业必不可少的一部分，建立高速，稳定，安全，智能的办公网，是组建中小型企业局域网的核心。

　本论文所阐述的网络是使用业界流行的核心层——汇

　聚层—分布层三层结构设计的中小型企业网，结合广为使用的虚拟局域网（VLAN)，热备份路由（HSRP)，访问控制列表（ACL)等技术，增强网络的稳定性和安全性。

　设计中采用虚拟局域网来隔离不同部门，以达到增强企业网络安全性的目的，在规划好的 VLAN 的基础上，采用访问控制列表（ACL),设置策略，来限制部门之间以及服务区的访问，进一步提高企业网内部的安全性；并在核心层交换机上采用热备份路由（HSRP)技术，增加网络的冗余，提高企业网络的整体稳定性；采用路由器硬件的动态主机分配协议（DHCP）功能，保证各部门 IP 地址的获取；在边界路由器上设置网络地址转换（NAT),将企业内部私有地址转换为公网地址，实现了多个用户同时公用一个合法 IP 与外部Internet 进行通信，解决 IP 地址短缺的问题。

　关键词多层交换虚拟局域网 IP 地址冗余路由协议前言现今社会的科学技术的发展日新月异，上世纪 90 年代，在计算机技术和电子通讯技术的结合下，网络技术得到了飞速的发展。如今，不仅是计算机和网络紧密结合，绝大部分的电子设备甚至是整个社会都不可能脱离网络而独立存在。网络技术已经成为现代信息技术的主流和基础，随着人们对

　网络的使用深入，对网络的认识也随之迅速改变。在不久的将来，网络即将覆盖全球的每个角落，不管身处何方，都能够自由地交换信息，成为人们生活，工作，学习中必不可少的一部分。

　Internet，即国际互联网，是目前连接世界各国各区域的网络。这个以 TCP/IP 协议为基础的国际互联网已经成为覆盖全世界一百五十多个国家和地区的大型数据通信网络。进入九十年代后，由于各种商业信息进入了 Internet，使得Internet 得到了极大的发展，其主机的接入数，连接的网络数以及覆盖面一直呈指数形势上升。在 Internet 上能够享受到各种各样的服务。

　Internet 是一个资源丰富的网络，其中拥有的信息几乎覆盖所有的领域。Internet 面向人类的社会，世界上数以亿记的人们利用它进行通讯和信息共享，发送与接受电子邮件，浏览网站或和其他人的计算机建立连接，参加各种商业活动以及查看商业信息。

　公司在 Internet 上为顾客提供服务，疑难解答，产品推广，宣传等的成本远比报纸，电视，电台等传统媒体要低并且比在普通媒体上的效果显著的多。

　在接入 Internet 前，企业内部也必须有一个独立的网络支撑整个企业的运作，不同的企业对企业内部网络的需求也是各种各样的，但总括的必须有以下内容：高需求，高可用，

　高安全，搞生产率，不易摧毁，如何实现上述要求就是多层交换网络研究的目的。

　系统总体设计方案概述多层交换网络简介多层交换网络是利用有限的资金投放，建设出一个流畅，合理，可满足现在乃至将来可能发生的网络业务需求的网络结构，让企业或园区可以对外发布的信息上网，日常事务办公等都可以通过网络完成。形成互联网服务提供商，为企业提供广泛的信息服务，还可配合多媒体信息技术开展多媒体现代远程教育和跨地域进行工作。

　第二层交换是给予硬件的桥接。第二层交换机将增加带宽的能力给予配线架，无需给网络增加不必要的复杂性。在第二层，当帧在第一层接口之间传输的时候，帧内容不需要进行任何修改。

　第三层交换是基于硬件的路由选择。通过提供路由选择域，第三层交换机克服了第二层可扩展行不足的缺点。其他专用电路负责处理第三层交换机中的数据包转发。第三层交换机对数据包的处理程序就如同传统路由器所为。第三层路由选择要求具有数据包重写功能。数据包重写发生在任何路由边界。

　多层交换技术综合第二层交换和第三层路由选择的功能。一般而言，网络领域交替使用术语“第三层交换机”和“多层交换机”来描述支持第二层和第三层交换的交换机。就具体术语而言，多层交换机不仅能够对园区网络中的通信流量进行线速转发，而且还能够满足第三层的连通要求。这种综合不仅解决了吞吐量的问题，而且有助于解决了吞吐量的问题，而且有助于消除产生第三层瓶颈的条件。通过综合第二层和第三层功能和特性，多层交换机具有易于部署的特点，并且能够简化网络拓扑。多层交换网络是集合这里两种技术于一体的组网方式和思想。

　系统组成与拓扑企业网络是非常典型的综合网络实例。为了阐明主要问题，在本设计方案中对实际企业网的设计进行了适当的和必要的简化，以一个具体的校园园区网络为例。同时，将重点放在网络主干的设计上如图2-1所示，是该园区网网络的总体拓扑结构图。

　SiSi学生宿舍计科系教务处建筑系管理系教工宿舍财务处服务器群广域网SW1 SW2图2-1 校园网的总体拓扑结构图在上面的拓扑图中，学校的6个主要集中接入点（计算机系、管理系、建筑系、财务处、教务处、学生宿舍）通过冗余的光纤链路上连到信息中心的核心层交换机上（即每个访问接入层交换机通过两条链路连向核心层交换机，这里为了保持图形的简洁明了，所以每个访问接入层交换机通只画了一根线连向核心层交换机，而实际上是两根线）。

　在接下来的讨论中，我们将展开并详细讨论每个模块的设计内容。

　为了实现网络设备的统一，本设计方案中完全采用同一厂家的网络产品，即Cisco公司的网络设备构建。全网使用同一厂商设备的主要好处在于可以实现各种不同网络设备功能的互相配合和补充。

　本校园网设计方案主要由以下三大部分构成：

　交换模块、广域网接入模块、安全模块

　VLAN 及及 IP 地址规划

　在一个大、中型网络里，VLAN的划分是必不可少的步骤之一。在本校园网设计实例中，整个校园网中VLAN及IP编址方案如表2-1所示。

　表2-1 校园网中VLAN及IP编址方案 VLAN 号 VLAN名称 IP 网段默认网关说明 VLAN1 —— 192.168.0.0/24 192.168.0.254 管理VLAN VLAN10 JWC 192.168.1.0/24 192.168.1.254 教务处VLAN VLAN20 XSSS 192.168.2.0/24 192.168.2.254 学生宿舍VLAN VLAN30 CWC 192.168.3.0/24 192.168.3.254 财务处VLAN

　VLAN40 JGSS 192.168.4.0/24 192.168.4.254 教工宿舍VLAN VLAN50 JZX 192.168.5.0/24 192.168.5.254 建筑系 VLAN60 GLX 192.168.6.0/24 192.168.6.254 管理系VLAN VLAN70 JSJX 192.168.7.0/24 192.168.7.254 计算机系VLAN VLAN100 FWQQ 192.168.100.0/24 192.168.100.254 服务器群VLAN 为了简化起见，除了管理VLAN外，这里只规划了8个VLAN，同时为每个VLAN定义了一个由拼音缩写组成的VLAN名称。

　网络设备选型访问接入层交换机的选型访问接入层交换机选用思科 2950，其简介及其技术参数、规格参数如下：

　Catalyst 2950 系列交换机属于快速以太网桌面交换机CISCO Catalyst 2900 系列，可以为局域网（LAN）提供极佳的性能和功能。

　些独立的、10/100Mb/s 自适应交换机能够

　提供增强的服务质量（QoS）和组播管理特性，所有的这些都由易用、基于 Web 的 CISCO 集群管理套件（CMS）和集成CISCO IOS 软件来进行管理。带有 10/100/1000Mbase-T 上行链路的 CISCO Catalyst 2950 千兆位铜线，可为中等规模的公司和企业分支机构办公室提供理想的解决方案，以使他们能够利用现有的 5 类铜线从快速以太网升级到更高性能的千兆位以太网主干。

　Catalyst 2900 系列常见的产品包括：12 个10/100M 端口独立式，24 个 10/100 端口独立式，24 个10/100M 端口加 2 个 100Base-FX 端口，12 个端口加 2个 GBIC 端口， 24 个 10/100 端口加 2 个10/100/1000Base-T 端口。

　主要特性包括：

　 线速第二层交换功能。

　 带 GBIC 口的 2950 系列可以通过在 GBIC GigaStack 模块堆叠，每交换机组最多可堆叠 16 台。

　 支持 802.1p。

　 支持 802.1Q VLAN、ISL VLAN。

　 支持 EtherChannel（链路会聚）.  支持 802.1P STP 协议。

　 支持 SNMP、Telnet、RMON、Web 等方式进行网管。

　主要技术指标如下：

　 E1 接口，符合 ITU-T G.730 相关建议。

　 接口速率：2048Kb/s+/-50ppm。

　 传输码型：HDB3。

　 线路时钟：内时钟/恢复时钟可选。

　 V.35 同步数据接口。

　 符合 ITU-T V.35 的相关建议以太网接口具有以下特性：

　 符合 IEEE802.3/10Base-T 标准。

　 网口类型：10Base-T（UTP）。

　 最大过滤及转发速率；15000pps。

　 帧缓冲器：256 帧。

　 吞吐时延：1 帧。

　核心层交换机的选型：

　核心层交换机选用思科的3560-E系列交换机，其简介及其技术参数、规格参数如下：

　Cisco Catalyst 3560-E系列是一个企业级独立配线间交换机系列，简化了安全融合应用的部署。通过将10/100/1000和PoE配置与能够从千兆以太网轻松升级至万兆以太网的上行链路相结合，这些交换机为IP语音、无线接入和视频等应用的部署提供了支持，从而提高了员工生产

　率。

　关键特性

　● 可用性——支持容错、负载均衡和迅速恢复；PVST+ 允许流量通过冗余链路传输，从而增加了可用带宽； Flexlink 能在100ms 内实现收敛 ● PoE —— 1150W PoE 简化了IP 电话、无线和视频监视部署；智能电源管理特性；PoE 能够与快速以太网或千兆以太网相结合 ● 第三层特性——OPSF、EIGRP和PBR等高级路由协议扩大了网络规模；等成本路由以及PIM等组播路由； VRFLite 能保护流量；IPv6 ● QoS——流量整形能在不丢弃数据包的情况下平稳处理突发流量；整形循环保证了关键任务应用的带宽；而Scavenger 队列则能防止蠕虫过度使用资源。

　● 管理—— Cisco Smartports 能快速、简单地配置先进的Cisco Catalyst 智能功能；凭借快速设置，能够迅速、轻松地利用Web 界面完成设置；资源模板则能用于为应用定制交换机资源。

　● 安全——DHCP监听能够只允许可信端口访问DHCP信息，消除了恶意DHCP服务器；网络准入控制（NAC）则能抑制蠕虫和病毒的传播，防止造成极大的损失；动态ARP 检测和IP 源防护能够防御中间人攻击；802.1x 和基于身份的网

　络服务仅允许授权人员接入网络；端口安全能防止MAC 地址泛洪攻击。

　● 可现场更换、可升级的电源和风扇 ● TwinGig 转换器模块，用于将上行链路从千兆以太网（SFP）迁移到万兆以太网（X2）。

　连入 Internet 的核心路由器的选型：

　连入Internet的核心路由器选用思科3800系列路由器，其简介及其技术参数、规格参数如下：

　Cisco 3800系列是集成了先进技术、自适应服务、无线支持和安全企业通信的下一代路由器系列中的旗舰平台。为了有效地提供关键网络功能，包括实时应用，如VoIP、商业视频和协作通信等，这些新型路由器提供了必备的性能和可靠的数据包交付功能。系统架构的改进包括内嵌安全处理流程、大幅提高平台性能和内存，以及全新的高密度接口类型。无线局域网控制器模块是思科统一无线网络的一个组件。

　关键特性

　● Cisco IOS软件防火墙——基于应用的状态化过滤功能（基于环境的访问控制）；逐个用户验证和授权；实时报警；透明防火墙；IPv6 防火墙； ● VPN ——数据加密标准（DES）、三重DES（3DES）和高级加密标准（AES）128、192 和256 加密支持；

　内嵌于母板上、基于硬件的VPN 加速功能；利用第三层压缩支持可选、更高性能、基于AIM 的安全加速；通过VPN 模块支持高达1800 个隧道；Cisco Easy VPN 远程和服务器支持；DMVPN ● 多协议标签交换（MPLS）VPN支持——特定运营商边缘功能；虚拟路由和转发（VRF）防火墙和VRF IPSec； ● 板载USB 1.1 端口——未来支持安全令牌和闪存； ● IPS —— Cisco IOS 软件支持700 多个IPS 签名，能够加载和支持选定的IPS 签名；可选的高性能IDS 网络；模块支持1000 多个IPS 签名 ● URL 过滤——可选的板载内容引擎网络模块；基于外部服务器的Cisco IOS 软件的本地URL 过滤； ● 思科路由器和SDM ——是所有Cisco 3800 系列路由器的标准配备； ● IP 电话支持——可选的集成供电，带馈线电源；802.3af 支持—— 360W 馈线电源； ● 模拟语音支持——高达88 个FXS 和56 个FXO 端口；数字语音支持——多达720 个呼叫；母板上的分组语；音数字信号处理器（DSP）模块（PVDM）插槽——母板上4 个PVDM 插槽；本地会议和语音编码转换； ● Cisco CME ——支持多达240 部电话；SRST ——支持多达720 部电话；

　● 语音留言——利用Cisco Unity Express 网络模块可支持最多120 个用户的语音信箱； ● 语音接口——FXS、FXO、DID、E&M、集中自动信息记帐（CAMA）、BRI、T1、E1、J1、主速率接口（PRI）、Q.SIG、通道关联信令（CAS）。

　交换模块设计为了简化交换网络设计、提高交换网络的可扩展性，在园区网内部数据交换模块的部署是分层进行的。

　园区网数据交换设备可以划分为两个层次：访问层、核心层。

　传统意义上的数据交换发生在OSI模型的第2层。现代交换技术还实现了第3层交换和多层交换。高层交换技术的引入不但提高了园区网数据交换的效率，更大大增强了园区网数据交换服务质量，满足了不同类型网络应用程序的需要。

　现代交换网络还引入了虚拟局域网（Virtual LAN，VLAN）的概念。VLAN将广播域限制在单个VLAN内部，减小了各VLAN间主机的广播通信对其他VLAN的影响。在VLAN间需要通信的时候，可以利用VLAN间路由技术来实现。

　当网络管理人员需要管理的交换机数量众多时，可以使用VLAN中继协议（Vlan Trunking Protocol，VTP）简化管理，它只需在单独一台交换机上定义所有VLAN。然后通过VTP

　协议将VLAN定义传播到本管理域中的所有交换机上。这样，大大减轻了网络管理人员的工作负担和工作强度。

　当园区网络的交换机数量增多、交换机间链路增加时，交换网络的复杂性可能会造成交换环路问题，这需要通过在各交换机上运行生成树协议（Spanning Tree Protocol，STP）来解决。

　配置访问层交换机接入层为所有的终端用户提供一个接入点。这里的接入层交换机采用的是 Cisco Catalyst 2950 24口交换机（WS-C2950-24）。该交换机拥有24个10/100Mbps自适应快速以太网端口，运行的是Cisco的IOS操作系统。由于访问层交换机的配置都基本类似，这里就以计科系的接入层交换机为例进行演示。

　设置交换机名称

　这里以计科系的接入层交换机为例，如下所示，给交换机取名叫JKX：

　Switch(config)#hostname JKX 设置交换机的加密使能口令

　如下所示，将交换机的加密使能口令设置为cisco：

　JKX(config)#enable secret cisco

　设置登录虚拟终端线时的口令

　如下所示，设置登录交换机时需要验证用户身份，同时设置口令为cisco JKX(config)#line vty 0 15 JKX(config-line)#password cisco 设置终端线超时时间

　如下所示，设置登录交换机的控制台终端线路及虚拟终端线的超时时间为5分30秒钟：

　JKX(config)#line vty 0 15 JKX(config-line)#exec-timeout 5 30 设置禁用域名解析特性

　在交换机默认配置的情况下，当输入一条错误的交换机命令时，交换机会尝试将其广播给网络上的DNS服务器并将其解析成对应的IP地址。利用命令no ip domain-lookup。可以禁用这个特性。如下所示，设置禁用域名解析特性：

　JKX(config)#no ip domain lookup 设置启用消息同步特性

　有时，用户输入的交换机配置命令会被交换机产生的消息打乱。可以使用命令logging synchronous设置交换机在显示完日志消息后复制用户的输入。如下所示，设置启用消

　息同步特性。

　JKX(config)#line vty 0 15 JKX (config-line)#logging synchronous

　配置访问层交换机 X JKX 的管理 IP 、默认网关

　放问层交换机是 OSI 参考模型的第2 2 层设备，即数据链路层的设备。

　因此，给访问层交换机的每个端口设置 IP 地址是没意义的。但是，为了使网络管理人员可以从远程登录到访问层交换机上进行管理，必须给访问层交换机设置一个管理用 IP 地址。这种情况下，实际上是将交换机看成和P PC C 机一样的主机。

　给交换机设置管理用 IP 地址只能在 VLAN1 ，即本征 VLAN中进行。

　按照表一，管理 N VLAN 所在的子网是：192.168.0.0/24 ，这里将访问层交换机 JKX 的管理 IP 地址设为：192.168.0.5/24。如下所示，显示了为访问层交换机AccessSwitch1设置管理IP并激活本征VLAN。

　JKX(config)#interface vlan 1 JKX(config-if)#ip add 192.168.0.5 255.255.255.0 为了使网络管理人员可以在不同的子网管理此交换机，还应设置默认网关地址192.168.0.254。如下所示：

　JKX(config)#ip default-gateway 192.168.0.254

　配置访问层交换机 X JKX 的的 N VLAN 及及 VTP

　从提高效率的角度出发，在本园区网实现实例中使用了VTP技术。同时，将核心层的交换机SW1设置成为VTP服务器，其他交换机设置成为VTP客户机。

　这里。仍旧以计科系的访问交换机为例，将其设置成VTP客户端模式，通过服务端来学习到全网的VTP信息，如下所示：

　Sw1(config)#vtp mode server JKX(config)#vtp mode client

　要保证所有交换机能同步vlan信息，必须把vtp的域名和密码设置一致。

　这里将vtp的域名和密码都设置成cisco Sw1(config)#vtp domain cisco Sw1(config)#vtp password cisco JKX(config)#vtp domain cisco JKX(config)#vtp password cisco 端口双工配置

　可以设定某端口根据对端设备双工类型自动调整本端口双工模式，也可以强制将端口双工模式设为半双工或全双工模式。因为我们此时并不了解对端的设备的具体情况，因此

　我们这里配置为自动协商如下所示，设置访问层交换机JKX的所有端口均工作在全双工模式。

　JKX(config)#interface range fa 1/1 - 24 JKX(config-if-range)#duplex auto

　端口速度可以设定某端口根据对端设备速度自动调整本端口速度，也可以强制将端口速度设为10Mpbs或100Mbps。但是因为这里不了解对端设备的情况，所以我们在此将速度设置为自动协商。

　如下所示，设置访问层交换机JKX的所有端口的速度均为自动协商。

　JKX(config)#interface range fa 1/1 - 24 JKX(config-if-range)#speed auto

　配置访问层交换机 X JKX 的访问端口

　默认情况下，交换机在刚加电启动时，每个端口都要经历生成树的四个阶段：阻塞、侦听、学习、转发。在能够转发

　用户的数据包之前，某个端口可能最多要等50秒钟的时间（20秒的阻塞时间＋15秒的侦听延迟时间＋15秒的学习延迟时间）。这样做的原本目的是为了避免环路，但是对于直接接入终端机的端口来说，用于阻塞和侦听的时间是不必要的，设置在无盘网络的情况下，这种影响是灾难性的，为了加速交换机的这些端口状态转化时间，可以设置将某端口设置成为快速端口（Portfast，STP增强特性，思科私有）。设置为快速端口的端口当交换机启动或端口有工作站接入时，将会直接进入转发状态，而不会经历阻塞、侦听、学习状态（假设桥接表已经建立）。

　如下所示：设置访问层交换机JKX的端口1～端口20为快速端口。

　JKX(config)#interface range fa 1/1 - 20 JKX(config-if-range)#spanning-tree portfast 此时，交换机上弹出如下警告信息：

　have effect when the interface is in a non-trunking mode. %Warning: portfast should only be enabled on ports connected to a single host.

　 Connecting hubs, concentrators, switches,

　bridges, etc.to this interface.

　 when portfast is enabled, can cause temporary

　spanning tree loops.

　Use with CAUTION. 这信息的大意是告诉我们只有当端口为接入层端口时，该命令才会生效，因为portfast特性打乱了生成树正常收敛的规律，带来了潜在环路的可能，而只有当端口所连出去是一个终端设备的情况，使用该特性才不会有什么危险。

　配置访问层交换机 X JKX 的主干道端口

　访问层交换机JKX通过端口FastEthernet 0/23上连到核心交换机SW1的端口FastEthernet 0/23。同时，访问层交换机JKX还通过端口FastEthernet 0/24上连到核心交换机SW2的端口FastEthernet 0/24。

　这两条上连链路将成为主干道链路，在这两条上连链路上将运输多个VLAN的数据。

　如下所示，设置访问层交换机JKX的端口FastEthernet 0/23、FastEthernet 0/24为主干道端口。

　JKX(config)#interface range fa 1/23 - 24 JKX(config-if-range)#switchport trunk enencapsulation dot1q JKX(config-if-range)#switchport mode trunk

　配置 etherchannel 来增加访问层交换机 X JKX 连入核心层交换机的链路带宽

　为了提供主干道的吞吐量，可以采用链路捆绑（快速以太网信道，即etherchannel）技术增加可用带宽。例如，可以将访问层交换机 JKX的连向核心交换机 SW1的端口FastEthernet 0/21 和FastEthernet 0/22捆绑在一起实现200Mbps的快速以太网信道，如下所示：

　JKX(config)#interface range fa 1/23 - 24 JKX(config-if-range)#channel-group 1 mode on Creating a port-channel interface Port-channel1

　配置 Uplinkfast

　访问层交换机JKX通过两条冗余上行链路接入核心交换机SW1。在生成树的作用下，其中一条上行链路处于转发状态，而另一条上行链路处于阻塞状态。当处于转发状态的链路因故障断开后，经过最多大约30秒钟的时间，处于阻塞状态的链路才能替代故障链路工作。

　Uplinkfast特性可以使得当主上行链路失败后，处于阻塞状态的上行链路（备份上行链路）可以立即启用。

　如下JKX(config)#spanning-tree uplinkfast所示，是在访问层交换机JKX上启用Uplinkfast特性:

　JKX(config)#spanning-tree uplinkfast 注意，Uplinkfast特性只能在访问层交换机上启用，若在核心交换机上使用的话，核心交换机的根桥地位将被剥夺！！这将大大影响二层网络的稳定

　配置 Back bonefast

　Backbonefast的作用与Uplinkfast类似，也用于加快生成树的收敛。所不同的是，Backbonefast可以检测到间接链路（非直连链路）故障并立即使得相应阻塞端口的最大寿命计时器到时，从而使该端口可以开始转发数据包的时间从原先的50秒提升到30秒。

　如下所示，是在访问层交换机JKX上启用Backbonefast特性：

　JKX(config)#spanning-tree backbonefast 注意，Backbonefast特性需要在网络中所有交换机上进行配置。

　配置核心交换机核心除了负责将访问层交换机的数据进行统筹交互外，还为整个交换网络提供VLAN间的路由选择功能。

　这里的分布层交换机采用的是Cisco Catalyst 3560交换机。作为3层交换机，Cisco Catalyst 3560交换机满配时拥有48个10/100Mbps自适应快速以太网端口，同时还有2个1000Mbps的GBIC端口供上连使用，这里以核心层交换机SW1为例进行配置.

　配置核心层交换机 1 SW1 的基本参数对核心层交换机SW1的基本参数的配置步骤与对访问层交换机的基本参数的配置类似。这里，只给出实际的配置步骤，不再给出具体解释，如下所示：

　switch(config)#no ip domain-lookup switch(config)#line console 0 switch(config-line)#logging synchronous

　switch(config-line)#no exec-timeout

　switch(config-line)#exit switch(config)#hostname SW1

　配置核心层交换机 1 SW1 的管理 IP 、默认网关如下所示：

　SW1(config)#interface vlan 1 SW1(config-if)#ip add 192.168.0.11 255.255.255.0

　SW1(config-if)#exit SW1(config)#ip default-gateway 192.168.0.254

　配置核心层交换机 1 SW1 的的 VTP

　当网络中交换机数量很多时，需要分别在每台交换机上创建很多重复的VLAN。工作量很大、过程很繁琐，并且容易出错。在实际工作中常采用VLAN中继协议（Vlan Trunking Protocol，VTP）来解决这个问题。

　VTP允许在一台交换机上创建所有的VLAN。然后，利用交换机之间的互相学习功能，将创建好的VLAN定义传播到整个网络中需要此VLAN定义的所有交换机上。同时，有关VLAN的删除、参数更改操作均可传播到其他交换机。从而大大减轻了网络管理人员配置交换机的负担。

　在本校园网实现实例中使用了VTP技术。同时，将核心层交换机SW1设置成为VTP服务器，其他交换机设置成为VTP客户机。

　配置 P VTP 管理域

　共享相同VLAN定义数据库的交换机构成一个VTP管理域。每一个VTP管理域都有一个共同的VTP管理域域名。不同VTP

　管理域的交换机之间不交换VTP通告信息。

　如下所示，将VTP管理域的域名定义为“cisco”：

　SW1(config)#vtp domain cisco Changing VTP domain name from NULL to cisco

　设置 P VTP 服务器工作在VTP服务器模式下的交换机可以创建、删除VLAN、修改VLAN参数。同时，还有责任发送和转发VLAN更新消息。

　如下所示，设置核心交换机SW1成为VTP服务器：

　SW1(config)#vtp mode server

　激活活 P VTP 剪裁功能

　默认情况下主干道传输所有VLAN的用户数据。有时，交换网络中某台交换机的所有端口都属于同一VLAN的成员，没有必要接收其他VLAN的用户数据。这时，可以激活主干道上的VTP剪裁功能。当激活了VTP剪裁功能以后，交换机将自动剪裁本交换机没有定义的VLAN数据。

　在一个VTP域下，只需要在VTP服务器上激活VTP剪裁功能。同一VTP域下的所有其他交换机也将自动激活VTP剪裁功能。

　如下所示，设置激活VTP剪裁功能：

　SW1(config)#vtp pruning

　在核心交换机 1 SW1 上定义 V V LAN

　在本校园网实现实例中，除了默认的本征VLAN外，又额外定义了8个VLAN，见前面的表一. 由于使用了VTP技术，所以，所有VLAN的定义都只需要在VTP服务器，即核心交换机SW1上进行。

　如下所示，定义了8个VLAN，同时为每个VLAN命名。

　 SW1(config)#vlan 10 SW1(config-vlan)#name JWC SW1(config-vlan)#vlan 20

　SW1(config-vlan)#name XSSS SW1(config-vlan)#vlan 30

　 SW1(config-vlan)#name CWC SW1(config-vlan)#vlan 40

　SW1(config-vlan)#name JGSS

　SW1(config-vlan)#vlan 50

　 SW1(config-vlan)#name JZX

　SW1(config-vlan)#vlan 60

　SW1(config-vlan)#name GLX

　SW1(config-vlan)#vlan 70

　SW1(config-vlan)#name JSJX SW1(config-vlan)#vlan 100

　SW1(config-vlan)#name FWQQ

　在vtp的server上完成vlan的配置后，可以用下面的命令来检查同一个域内的交换机是否完成了vlan的同步，以jkx的交换机为例。

　JKX#show vlan brief JKX#show vtp status

　配置核心交换机 1 SW1 的端口基本参数

　核心交换机 SW1 的端口 FastEthernet0/1 — —FastEthernet0/8，分别连接着8台访问接入层交换机，FastEthernet0/9——FastEthernet0/10连接着另一台核心交换机SW2，FastEthernet0/20连接着路由器，它们的配置如下：

　SW1(config-if-range)#interface range fastEthernet 0/1 - 10 SW1(config-if-range)#switchport mode trunk

　SW1(config)#interface fastEthernet 1/15 SW1(config-if)#no switchport （将二层端口升级为三层端口）

　SW1(config-if)#ip add 192.168.0.250 255.255.255.0

　配置核心交换机 sw1，sw2 的 3 层交换功能核心层交换机SW1需要为网络中的各个VLAN提供路由功能。这需要首先启用交换机的路由功能。如下所示：

　SW1(config)#ip routing

　//开启三层交换机的路由功能

　接下来，需要运行动态路由协议以便让各个VLAN间能够相互通信，常见的动态路由协议有RIP,EIGRP,OSPF,BGP，其各自特点如下：

　RIP：原理简单，操作也简单，所需的人力成本会比较小，但是其所支持的网络的最大跳数只有16跳，因此扩容性比较差，另外，当网络环境出现变化时，RIP需要较长的时间来收敛。

　EIGRP：收敛速度极快（毫秒级的收敛速度），但是由于其是思科私有协议，故不利于投资资源的保护。

　OSPF：收敛速度较快，通过SPF算法使得网络中的全部路

　由器都能知道整个网络的拓扑，但原理比较复杂，需要管理者有较好的技术功底。

　BGP：运行该协议的网络异常稳定，但是其收敛速度很慢，一般多用于对稳定性要求很高的服务提供商的网络。

　综上分析，我们最终选择在校园网中运行OSPF协议。

　核心交换机SW1，SW2的OSPF配置如下所示：

　SW1(config)#router ospf 1 SW1(config-router)#router-id 1.1.1.1 SW1(config-router)#net 192.168.0.0 0.0.0.255 area 0

　SW1(config-router)#net 192.168.0.0 0.0.0.255 area 0 SW1(config-router)#net 192.168.1.0 0.0.0.255 area 0 SW1(config-router)#net 192.168.2.0 0.0.0.255 area 0 SW1(config-router)#net 192.168.3.0 0.0.0.255 area 0 SW1(config-router)#net 192.168.4.0 0.0.0.255 area 0 SW1(config-router)#net 192.168.5.0 0.0.0.255 area 0

　SW1(config-router)#net 192.168.6.0 0.0.0.255 area 0 SW1(config-router)#net 192.168.7.0 0.0.0.255 area 0 SW1(config-router)#net 192.168.100.0 0.0.0.255 area 0

　 SW2(config)#router ospf 1 SW2(config-router)#router-id 2.2.2.2 SW2(config-router)#net 192.168.0.0 0.0.0.255 area 0

　SW2(config-router)#net 192.168.0.0 0.0.0.255 area 0 SW2(config-router)#net 192.168.1.0 0.0.0.255 area 0 SW2(config-router)#net 192.168.2.0 0.0.0.255 area 0 SW2(config-router)#net 192.168.3.0 0.0.0.255 area 0 SW2(config-router)#net 192.168.4.0 0.0.0.255 area 0

　 o f ru ra l d rin k in g w a te r so u rce s, p ro te ctio n o f d rin k in g w a te r so u rce s in ru ra l a re a s b y th ...