1、銳捷關于平安證券的3g解決方案摘要：如今有線網絡已經日趨成熟，各種技術及應用相繼產生，極大的滿足了人們的需求。隨著近年來無線終端和智能手機的普及，有線網絡的缺陷開始表露出來：成本高、覆蓋范圍小、開通周期長、機動性差。 為此各種網絡廠商推出自己的無線解決方案，例如：cisco的byod，銳捷的3g解決方案，juniper的無線解決方案等等。現如今無線網絡呈大幅度增加趨勢，無線網絡的安全、穩定性開始受到人們的關注，因此各種加密技術開始出現，無線設備的性能也開始大幅度提高。人們對于無線的需求促進了相關產業鏈的發展，中國的3g網絡應運而生。目前國內主要有三種接入方式：聯通的wcdma、移動的td-sc

2、dma、電信的cdma2000，就帶寬而言聯通毫無疑問是3g的主導者，為此其他運營商的目光開始瞄準4g、5g以致快速搶占市場。未來的無線網絡發展速度是驚人的，熟悉各種無線技術成為了網絡工作者的必修課程。關鍵詞：有線網絡；無線網絡；byod;網絡安全；銳捷；3g；ruijie on ping an securities 3g solutionabstract: now the wired network has become more mature, various technology and application have been produced, great to meet the

3、needs of the people. with the popularity of wireless terminal and intelligent mobile phone in recent years, defects of wired network began to show: high cost, coverage of small, long construction period, poor mobility.therefore various network manufacturers introduced wireless solutions, example: ci

4、sco byod, ruijie 3g solution, juniper wireless solutions. nowadays, wireless network is greatly increased, safety, stability of the wireless network has been paid attention , so all kinds of encryption technology began to appear, the performance of wireless equipment also began to increase.it promot

5、es the development of related industrial chain for wireless demand, the 3g network in china emerge as the times require. currently there are three access methods: unicom wcdma, mobile td-scdma, telecom cdma2000, leader of the unicom 3g no doubt in terms of bandwidth, so other operators eyes aimed at

6、 4g, 5g and occupy the market quickly. future wireless network development speed is breathtaking, be familiar with all kinds of wireless technology has become a required course for web workers.keywords: cable network; wireless network; byod; network security; 3g;引 言隨著3g技術及其業務的發展，相較2g、2.5g，其高速率、高安全性、

7、覆蓋廣、機動性強的特性無疑為銀行服務渠道的快速拓展提供了極大的便利。銳捷網絡作為業界領先的網絡解決方案及網絡服務提供商，已經服務工、農、中、建、人壽、人保等金融企業，憑借多年來積極分析、探索、研究3g技術，已經使3g技術在金融企業的應用成為可能。面對一個新挑戰、新機遇的時代，銳捷把構建安全高效可靠的網絡作為實現的主要目標。通過一系列的網絡技術，為公司的日常辦公、事務處理和輔助決策提供準確、有效、廣泛、及時的信息支持，實現辦公現代化、信息資源化、傳輸網絡化和決策科學化；降低技術人才的勞動強度，提升技術人才的腦力價值，從而獲得更大的經濟效益，加快企業現代化、信息化建設。 需求分析1.1需求概述 平

8、安證券是中國平安綜合金融服務集團旗下的成員之一，深圳業務部擁有500名員工，公司有近400臺運行windows xp/2007的計算機。總部位于深圳，分別在昆明、長沙等地設有分公司。總部設有財務、銷售、it和人事四個部門，分公司由銷售、財務、it三個部門組成,人事的任命由總部統一管理。 平安證券的組織架構如圖1.1所示：圖1.1 平安證券的組織架構圖平安證券對網絡系統有極大的依賴性，內部辦公以及業務都需要網絡的支持，因此實現一個安全、高效、穩定的辦公網絡就顯得尤為重要。為了滿足各項業務的發展，使平安證券的網絡系統能夠在幾年內保持先進性和實用性，平安證券要求在項目的規劃和實施中采用先進的網絡設備

9、，并實現公司所有信息資源的合法應用及完善管理，使所有員工（除財務部）既能方便快捷地訪問內部網絡資源，又能安全高效地訪問互聯網。1.2網絡總體要求 滿足企業信息化的要求，為各類應用系統提供方便、快捷的信息通路。 良好的性能，能夠支持大容量和實時性的各類應用。 能夠可靠地運行，實現高可用性。 提高安全機制，滿足保護企業信息安全的要求。 具有較高的性價比。 未來升級擴展容易，保護用戶投資。 操作簡單、易于維護管理。 1.3建設目標實現平安證券給出的項目需求，建設一個暢通、高效、安全、穩定、可擴展的企業網，確保公司內各種計算機應用系統產生的大量信息能夠穩定的傳輸，并支撐公司內各類信息系統的運行。能讓企

10、業員工最大限度地利用網絡資源，提高企業辦公效率，減輕it維護人員的工作量，降低網絡的運行費用，并提高網絡系統的整體運行質量，保護平安證券的投資。銳捷提出了3g解決方案，該方案提供最高的安全性，支持各種綁定策略，實現專卡、專人、專用，內置支持國內商用領域保密性最好的加密算法sm1，支持數字證書與3g路由器綁定保證身份安全。并根據接入的不同場景切換不同的組網模式，3g路由器在匯聚端提供路由、加密界面分離，路由、加密一體化部署方式，滿足各種場景應用需求。此次銳捷還安裝了運維軟件，在匯聚端提供圖形化的管理界面，方便查看3g接入的隧道，在線用戶情況，3g流量情況，異常告警，減輕管理維護的工作量。規劃實施

11、的平安證券網絡包含深圳總部、昆明和長沙兩個分公部，其網絡建設需求如下： 昆明分公司、長沙分公司通過vpn虛擬專線連接深圳總部，實現深圳-昆明、深圳-長沙的網絡的互聯互通。 深圳總部通過一條以太網方式的寬帶接入鏈路（10m帶寬）連接到互聯網，提高訪問互聯網的速度。 深圳總部的內部局域網絡采用全冗余結構保障網絡的高可用性。 網絡總體架構要求高效、健壯、安全，具有良好的可擴展性。 網絡設計為模塊化的拓撲結構，總部統一進行規劃和管理，全網采用統一的網絡方案和策略。 每個分公司的網絡自成體系。 深圳總部的局域網規劃使用vlan、vtp、stp等交換技術，提高網絡的安全性和可靠性。 網絡互聯要求使用收斂速

12、度快、效率高的路由協議，保證總部和分公司網絡之間的可達性和穩定性。 方案設計2.1 整體規劃 按照平安證券的網絡需求，銳捷計劃對平安公司的網絡進行詳細規劃。首先確定總部及分部的拓撲，設備的型號、命名、連接情況，并規劃好ip地址，使網絡具備邏輯的連通性。其次選擇實用性和通用性俱佳的網絡技術，評估網絡技術的合理性及實施后的益處。再次建立冗余備份鏈路，確保各種網絡服務和信息系統的正常運行，不會因為網絡故障而無法訪問。 銳捷3g解決方案總體設計原則是開放性、實用性、安全性、穩定性、可擴展性，并采用層次化結構設計。本次網絡建設主要涉及深圳、昆明、長沙三個地區，其中深圳有四個部門：銷售部、財務部、it部、

13、人事部，昆明和長沙有三個部門：銷售部、財務部、it部。平安證券的財務部是敏感部門，因此使用策略禁止訪問互聯網。2.1.1 拓撲圖平安證券網絡拓撲圖分為三個部分：總部拓撲圖，移動車拓撲圖，分部拓撲圖。拓撲圖設計為層次化結構：接入層、匯聚層、核心層，接入層負責底層數據的連接；匯聚層搜集接入層流出的數據，并承擔大量的協議和服務；核心層負責三層的數據包轉發、交換、尋址。這樣設計分散了數據流量的負擔，易于排錯和管理，且每層分工明確。具體拓撲圖如下：圖2.1總部拓撲圖圖2.2移動車拓撲圖圖2.3分部拓撲圖2.1.2 設備清單、命名和連接平安證券的網絡項目中使用的路由、交換設備將全部采用銳捷的產品。詳細型號

14、如表2-1：序號型號描述數量說明備注1rg-s2628g-p24口10/100m自適應端口2個sfp/gt光電復用口（sfp為千兆/百兆口）1個擴展槽最大提供370w poe供電背板帶寬：49.6g8接入交換機深圳總部6臺，昆明和長沙公司各1臺2rg-s3760e-2424口10/100m 2個sfp/gt光電復用口1個擴展槽交流電源支持r p s2會聚交換機深圳總部2臺3rsr50e-80主控引擎插槽 2個內存 1gmbflash 512mb背板帶寬 56gbps轉發性能 4.5mpps24mpps固化三層以太路由業務接口 4ge（光電復用）控制臺口 1個（rj45接口）業務模塊插槽 8個

15、（nmx標準插槽）1核心層路由深圳總部1臺4rg-rsr20-04固定wan以太口：2fesic插槽：4aux口：1配置口：1硬件加密：支持sdram：缺省128m性能：280kpps2分部路由器昆明、長沙各1臺5rg-rsr10-02固定端口： 2個10/100m快速以太口1個console端口模塊插槽： 2個sic網絡/語音模塊插槽存儲模塊：flash：缺省32msdram：缺省64m3移動車3g路由移動車3臺6rg-ap220-e射頻設計：雙射頻卡設計傳輸協議：支持802.11b/g/n和802.11a/n同時工作工作頻段：2.4ghz和5.8ghz傳輸速率：單射頻卡最大提供300mbp

16、s接入速率，整機最大提供600mbps接入速率3ap深圳總部3臺7cisco asa 5505企業級防火墻 并發連接數：25000 網絡吞吐量：150mbps安全過濾帶寬：100mbps用戶數限制：10 網絡端口：8 控制端口：console,rj-45 vpn支持：支持 管理：思科安全管理器(cs-manager),web 1防火墻深圳總部1臺8cisco ucs c210 m1內存類型：ddr3 最大內存容量：96gb 存儲 硬盤接口類型：sata/sas 最大硬盤容量：8tb 內部硬盤架數：最大支持16塊小型sff/sas/sata硬盤 熱插拔盤位：支持熱插拔 raid模式：raid 0

17、，1，5，6，10，50，60 網絡控制器：雙千兆網卡 2服務器深圳總部2臺表2-1設備清單平安證券在網絡新建中使用的設備主要包括3種類型：二層交換機、三層交換機和路由器，設備放置的地點在3個地方：深圳、昆明和長沙，因此，為了便于管理，我們提出設備的命名統一使用如下格式：設備類型地點縮寫編號。設備命名如表2-2：公司名稱設備默認名稱設備修改名稱深圳switch2s-sz-02深圳switch3s-sz-03深圳switch4s-sz-04深圳switch5s-sz-05深圳switch6s-sz-06深圳switch7s-sz-07深圳三層switch2s3-sz-02深圳三層switch3s

18、3-sz-03深圳ap1ap-sz-xs深圳ap2ap-sz-it深圳ap3ap-sz-rs深圳server1web+dns深圳server2aaa深圳fire wallfm深圳router0r1-sz-00長沙switch8s-cs-08長沙router2r2-cs-02昆明switch9s-km-09昆明router3r3-km-03移動車router4r4-ydc-04移動車router5r5-ydc-05移動車router6r6-ydc-06表2-2設備命名設備連接設計要求必須統一標準的、嚴格的連接規范，便于網絡工程的順利實施與運行管理。設備連接表如表2-3：連接設備名稱端口被連接設備

19、名稱端口r1-sz-00s0/3/0廣域網設備s0r1-sz-00f0/1聯通聯通lacr2-cs-02s0/2/0廣域網設備s1r3-km-03s0/2/0廣域網設備s2r2-cs-02f0/0s-cs-08f0/3r3-km-03f0/0s-km-09f0/3r1-sz-00f0/0fmf0/1fmf0/0s3-sz-02f0/5s3-sz-02f0/1s3-sz-03f0/1s3-sz-02f0/2s3-sz-03f0/2s3-sz-02f0/3s-sz-06f0/3s3-sz-02f0/4s-sz-07f0/4s3-sz-02f0/7web+dnsweb+dnss3-sz-02f0/6

20、aaaaaas3-sz-03f0/3s-sz-07f0/3s3-sz-03f0/4s-sz-06f0/4s-sz-06f0/1s-sz-02f0/2s-sz-06f0/2s-sz-03f0/2s-sz-03f0/3ap-sz-xsap-sz-xss-sz-07f0/1s-sz-04f0/2s-sz-04f0/3ap-sz-itap-sz-its-sz-07f0/2s-sz-05f0/2s-sz-05f0/3ap-sz-rsap-sz-rs表2-3設備連接2.1.3網段與vlan規劃平安證券網絡的網段劃分遵循3個依據：地點、部門和功能，這樣可以使網絡結構更清晰，各個分公司和職能部門的隔離也更加安

21、全，降低了日后維護的工作量。在深圳總部接入路由器r1-sz-00和fm防火墻使用192.168.1.0/24網段；fm防火墻與三層交換機s3-sz-02使用192.168.0.0/24的網段；深圳總部接；深圳總部接入路由器r1-sz-00和長沙分公司r2-cs-02，昆明分公司r3-km-03之間使用221.221.221.0/24的公網；深圳總部財務部（vlan100）使用172.22.0.0/24的網段；深圳總部銷售部（vlan200）使用172.22.1.0/24的網段；深圳總部it（vlan300）使用172.22.2.0/24的網段；深圳總部人事部（vlan400）使用172.22.

22、3.0/24的網段；深圳總部web+dns服務器使用172.22.4.0/24網段；深圳總部aaa服務器使用172.22.5.0/24網段；移動車使用172.22.6.0/24網段；昆明分公司使用192.168.0.0/26的網段；長沙分公司使用192.168.0.0/26的網段。在平安證券項目中，必須要劃分vlan，因為劃分虛擬局域網可以分割局域網內的廣播域，解決局域網內廣播占用資源過多的問題，達到提高網絡性能的目的。其中vlan命名的規范為：部門的拼音縮寫。vlan劃分如表2-4：地點vlan名稱vlan的內容vlan包含的端口深圳總部vlan100cw財務部s-sz-02 f0/0-24

23、vlan200xs銷售部s-sz-03 f0/0-24vlan300itit部s-sz-04 f0/0-24vlan400待添加的隱藏文字內容1rs人事部s-sz-05 f0/0-24昆明分公司vlan100cw財務部f0/0-f0/7vlan200xs銷售部f0/8-f0/15vlan300itit部f0/16-f0/24長沙分公司vlan100cw財務部f0/0-f0/7vlan200xs銷售部f0/8-f0/15vlan300itit部f0/16-f0/24表2-4 vlan劃分2.1.4 ip地址的規劃 根據平安證券的實際情況和對新建網絡的需求，銳捷將對平安的所有ip 地址進行規劃。銳

24、捷計劃采用b類私有地址，并分別對財務部、銷售部、it部、人事部進行網段的劃分，初步規劃見表2-5：序號子網ip地址規劃備注1s3-sz-02fm192.168.0.0/24防火墻和三層交換機鏈路2fm- r1-sz-00192.168.1.0/24防火墻與總部路由器鏈路3深圳總部財務部17222.0.0/24每個b類地址的前10個（110）保留給交換機等使用，用戶計算機使用剩余的ip地址4深圳總部銷售部17222.1.0/245深圳總部it部17222.2.0/246深圳總部人事部17222.3.0/247昆明分公司192.168.0.0/268長沙分公司192.168.0.0/269深圳總部

25、aaa172.22.5.0/2410深圳總部web+dns172.22.4.0/2411移動車172.22.6.0/24表2-5 網段規劃在平安證券中，可以確定設備上端口和ip地址的具體使用情況如表2-6：設備名稱端口ip地址/掩碼備注r1-sz-00f0/0192.168.1.2/24f0/1172.22.6.1/24s0/3/0221.221.221.1/24公網ipfmf0/0192.168.0.2/24f0/1192.168.1.1/24s3-sz-02f0/5192.168.0.1/24f0/6172.22.5.2/24f0/7172.22.4.2/24vlan100172.22.0

26、.1/24vlan200172.22.1.1/24vlan300172.22.2.1/24vlan400172.22.3.1/24r3-km-03s0/2/0221.221.221.3/24公網ipf0/0.1192.168.0.1/26vlan100f0/0.2192.168.65/26vlan200f0/0.3192.168.129/26vlan300r2-cs-02s0/2/0221.221.221.2/24公網ipf0/0.1192.168.0.1/26vlan100f0/0.2192.168.65/26vlan200f0/0.3192.168.129/26vlan300aaae017

27、2.22.5.1/24web+dnse0172.22.4.1/24表2-6 端口ip劃分2.2 交換技術設計2.2.1 vtp設計平安證券網絡建設中使用的全部交換機都為銳捷的產品，在創建vlan過程中，工作量大、過程繁瑣，并且容易出錯，因此銳捷打算為交換機使用vlan中繼協議（vtp）。除此之外，交換機還將配置vtp修剪，其目的是減少在中繼端口上不必要的信息量，提高中繼鏈路的帶寬利用率，使網絡能夠高效穩定地運行；配置vtp口令保證vtp域的安全。我們對深圳總部的vtp規劃如下： vtp域名為pa。 vtp版本為v1。 vtp域口令為1234。 vtp修剪設為啟用。 vtp server包括s3

28、-sz-02、s3-sz-03。 vtp client包括s3-sz-0207。2.2.2 stp設計 平安證券深圳總部局域網采用全冗余結構，在交換網絡中造成了大量的交換環路，可能會引發網絡中的廣播風暴和橋表震蕩，因此必須在網絡中啟用stp協議，用來阻塞冗余鏈路，當發生鏈路故障時，交換機會迅速啟動被阻塞的冗余鏈路，起到鏈路備份的作用。在公司的各個部門中，指定s3-sz-02為財務部（vlan100）、it部（vlan300）的根網橋，s3-sz-03為銷售部（vlan200）、人事部（vlan400）的根網橋，這樣實現了一定的負載均衡功能。 對于深圳總部的接入交換機，在其上啟用上行速鏈路（up

29、 link），以減少網絡拓撲變化時（比如每一臺核心交換機故障）的重新收斂時間，減少用戶的斷網時間；同時，所有的接入交換機連接員工計算機的端口還將啟用快速端口（port fast），讓端口啟動時加電直接進入到轉發階段，加快了網絡收斂的速度。2.2.3 ethernet channel設計 在深圳總部內網的兩臺核心交換機之間設計了一條以太網通道，通道匯聚的鏈路使用了兩臺核心交換機s3-sz-02與s3-sz-03上的1、2端口，其目的是使數據在核心層高速轉發，并增加了兩臺核心交換機鏈路的帶寬，實現了冗余功能。同時，這條以太網通道也是兩臺核心交換機之間的trunk鏈路，是實現vlan之間通信的前提。

30、2.3 路由技術設計2.3.1 靜態路由與默認路由設計設計 平安證券三層交換機與lns路由器之間的鏈路較為簡單，因此只需要使用靜態路由就可以實現其通信。靜態路由具有安全性高、優先級大、占用cpu 處理時間少、易于配置等特點，因此減少了路由資源的消耗，從而達到了優化網絡的目的。平安證券內聯網中靜態路由規劃如下： 深圳總部的r1-sz-00路由路把目的是ip是172.22.0.0172.22.5.0的路由指向防火墻端口f0/1（192.168.1.1）。 深圳總部的fm防火墻把目的ip是172.22.0.0172.22.5.0的路由指向交換機端口f0/5(192.168.0.1)。 深圳總部的fm

31、防火墻把目的ip是172.22.6.0的路由指向路由器端口f0/0(192.168.1.2)。 深圳總部的fm防火墻設置默認路由指向路由器端口f0/0(192.168.1.2) 深圳總部的s3-sz-02交換機把目的ip是172.22.6.0的路由指向防火墻端口f0/0(192.168.0.2)。 深圳總部的s3-sz-02交換機把目的ip是192.168.1.0的路由指向防火墻端口f0/0(192.168.0.2)。 深圳總部的s3-sz-02交換機設置默認路由指向防火墻端口f0/0(192.168.0.2)平安證券內聯網具體的靜態路由規劃如圖2.2所示：圖2.4 靜態路由的規劃平安深圳總部

32、以及昆明、長沙分公司的內網要想訪問互聯網就必須配置一條默認路由，否則發出的數據包將會丟失，如圖2-3所示： 圖2-5 默認路由對于路由器r1-sz-00和r3-km-03、r2-cs-02而言，只有一個出口，簡單地使用一條默認路由即可讓內網訪問互聯網。訪問互聯網的數據到達路由器后，將匹配這條默認路由到達isp，通過isp實現對互聯網的訪問。2.3.2 nat設計為了實現內網訪問互聯網銳捷采用了nat技術。nat不僅僅解決了公網ip地址不足的問題，而且還能夠隱藏平安證券內部網絡的細節，避免了來自網絡外部的攻擊，為公司網絡起到了一定的保護作用。平安證券深圳總部和昆明分公司均采用端口多路復用（pat

33、）技術接入互聯網，從深圳總部內部網絡的172.22.1.0（vlan200）、172.22.2.0（vlan300）、172.22.3.0（vlan400）、172.22.4.0、172.22.5.0、172.22.6.0等網段通過pat技術在路由器r1-sz-00上轉換成ip地址為221.221.221.1/24訪問互聯網；昆明、長沙分公司內部網絡的192.168.0.0/26網段采用 vpn專線接入，實現與總部內網的互通；昆明分公司內部網絡的192.168.0.0/26網段通過pat技術在路由器r3-km-03上轉換成ip地址為221.221.221.3/24訪問互聯網；長沙分公司內部網絡

34、的192.168.0.0/24網段通過pat技術在路由器r2-cs-02上轉換成ip地址為221.221.221.2/24訪問互聯網。2.4 廣域網技術設計2.4.1廣域網設計 平安總部和昆明、長沙分部都有自己的互聯網出口，因此公司申請了三條10mbps的以太網寬帶，用來訪問互聯網。10mbps的帶寬足以滿足平安的業務和辦公需求。以下是申請到的公網ip地址，使用方法如表2-7：互聯網服務提供商電信連接設備路由器申請地址段221.221.221.0/24包含地址數3深圳總部路由器端占用地址221.221.221.1/24昆明分公司路由器端占用地址221.221.221.2/24長沙分公司路由器端

35、占用地址221.221.221.3/24isp端占用地址221.221.221.13/24深圳總部網關221.221.221.1昆明分公司網關221.221.221.2長沙分公司網關221.221.221.3表2-7 公網ip地址 由于isp是幀中繼網絡云，銳捷提出了在r1-sz-00、r3-km-03、r2-cs-02的廣域網接口上配置封裝幀中繼，并且建立兩個邏輯dlci 101和102,這樣isp運營商就能設置pvc。具體如圖2-4所示：圖2-6幀中繼2.4.2 vpn設計圖2-7 vpn銳捷采用easy vpn技術實現深圳總部和昆明、長沙分部的互訪， vpn旨在不安全的互聯道路上開辟一條

36、虛擬的專線，如圖2-5所示。easy vpn將會結合aaa服務器進行驗證，首先aaa服務器指定lns（r1-sz-00）為管理路由器；其次在lns路由器上配置vpn，并把驗證交給aaa服務器；再次需要分部pc機登錄vpn，當驗證通過時，lns會下發一個ip地址，并建立vpn，允許其訪問總部內網資源。 vpn策略包含以下內容： 允許昆明、長沙分公司內部網絡與深圳總部內部網絡172.22.0.0（vlan100）、172.22.1.0（vlan200）、172.22.2.0（vlan300）、172.22.3.0（vlan400）、172.22.6.0網段通過vpn技術進行互訪。 允許深圳總部的員

37、工通過nat技術在路由器r1-sz-00上轉換成ip地址為221.221.221.1/24訪問互聯網。 允許昆明分公司的員工通過nat技術在路由器r3-km-03上轉換成ip地址為221.221.221.3/24訪問互聯網。 允許長沙分公司的員工通過nat技術在路由器r2-cs-02上轉換成ip地址為221.221.221.2/24訪問互聯網。 方案實施3.1 交換部分的實施3.1.1設備命名以及ethernet channel的配置交換機上配置主機名如下：switch(config)#hostname s3-sz-02switch(config)#hostname s-sz-02switch

38、(config)#hostname s-sz-03switch(config)#hostname s-cs-08switch(config)#hostname s-km-09router(config)#hostname r3-km-03router(config)#hostname r1-sz-00router(config)#hostname r2-cs-02其他設備命名同上。s3-sz-02上的ethernet channel配置如下： s3-sz-02(config)#interface range fastethernet 0/1 - 2s3-sz-02(config-if-rang

39、e)#switchport mode trunks3-sz-02(config-if-range)#channel-group 1 mode ons3-sz-03上ethernet channel配置同上3.1.2 交換機vtp，stp，vlan的配置深圳總部s3-sz-02的配置如下：s3-sz-02(config)#vtp domain pa s3-sz-02(config)#vtp version 1 s3-sz-02(config)#vtp mode server s3-sz-02(config)#vtp password 1234 s3-sz-02(config)#vtp pruni

40、ng s3-sz-02(config)#interface range f0/1 4 s3-sz-02(config-if-range)#switchport trunk encapsulation dot1qs3-sz-02(config-if-range)#switchport mode trunks3-sz-02(config)ends3-sz-02#vlan database s3-sz-02(vlan)#vlan 100 name cw s3-sz-02(vlan)#vlan 200 name xss3-sz-02(vlan)#vlan 300 name its3-sz-02(vla

41、n)#vlan 400 name rss3-sz-03配置同上s-sz-02的vtp與vlan配置如下：s-sz-02(config)#vtp domain pa s-sz-02(config)#vtp version 1 s-sz-02(config)#vtp password 1234 s-sz-02(config)#vtp mode client s-sz-02(config)#vtp pruning s-sz-02(config)#interface range f0/2 s-sz-02(config-if-range)#switchport mode trunks-sz-02(con

42、fig)exits-sz-02(config)#interface range f0/3 24 s-sz-02(config-if-range)#switchport access vlan100s-sz-02(config-if-range)no shutdowns-sz-02(config-if-range)exits-sz-02(config)#interface fa0/1s-sz-02(config-if)# switchport mode trunks-sz-02(config-if)no shutdowns-sz-02(config-if)exits-sz-03 s-sz-05配

43、置同上，需要注意的是端口劃分到不同的vlan。s-sz-08和s-sz-09上的vlan配置如下：s-km-09(config)#interface fastethernet 0/1s-km-09(config-if)#switchport access vlan 100s-km-09(config-if)#exits-km-09(config)#interface fastethernet 0/2s-km-09(config-if)#switchport access vlan 200s-km-09(config-if)#exits-km-09(config)#interface faste

44、thernet 0/4s-km-09(config-if)#switchport access vlan 300s-km-09(config-if)#exits-km-09(config)#interface fastethernet 0/3s-km-09(config-if)#switchport mode trunk s3-sz-02上的stp配置如下：s3-sz-02(config)#spanning-tree vlan 100 root primary s3-sz-02(config)#spanning-tree vlan 300 root primarys3-sz-02(config

45、)#spanning-tree vlan 100 priority 0s3-sz-02(config)#spanning-tree vlan 300 priority 0s3-sz-03上的pvst配置如下：s3-sz-03(config)#spanning-tree vlan 200 root primary s3-sz-03(config)#spanning-tree vlan 400 root primarys3-sz-03(config)#spanning-tree vlan 200 priority 0s3-sz-03(config)#spanning-tree vlan 400 p

46、riority 0s-sz-02上的stp配置如下：s-sz-02(config)#interface fastethernet 0/1s-sz-02(config-if)#spanning-tree portfast s-sz-02(config-if)#exits-sz-02(config)#interface range fastethernet 0/3 24s-sz-02(config-if-range)#spanning-tree portfast s-sz-03s-sz-05的快速端口的配置方法同上。s-sz-06和s-sz-07上的上行鏈路配置如下：s-bj-06(config)

47、#spanning-tree uplinkfasts3-sz-02的ip配置如下：s3-sz-02 (config)#ip routing s3-sz-02 (config)#interface vlan 100 s3-sz-02 (config-if)#ip address 172.22.0.1 255.255.255.0s3-sz-02 (config-if)#no shutdowns3-sz-02 (config)#interface vlan 200 s3-sz-02 (config-if)#ip address 172.22.1.1 255.255.255.0s3-sz-02 (co

48、nfig-if)#no shutdowns3-sz-02 (config)#interface vlan 300 s3-sz-02 (config-if)#ip address 172.22.2.1 255.255.255.0s3-sz-02 (config-if)#no shutdowns3-sz-02 (config)#interface vlan 400 s3-sz-02 (config-if)#ip address 172.22.3.1 255.255.255.0s3-sz-02 (config-if)#no shutdowns3-sz-02 (config)#interface f0

49、/5s3-sz-02 (config-if)#no switchport s3-sz-02 (config-if)#ip address 192.168.0.1 255.255.255.0s3-sz-02 (config-if)#no shutdown s3-sz-02 (config)#interface f0/7s3-sz-02 (config-if)#no switchport s3-sz-02 (config-if)#ip address 172.22.4.2 255.255.255.0s3-sz-02 (config-if)#no shutdown s3-sz-02 (config)

50、#interface f0/6s3-sz-02 (config-if)#no switchport s3-sz-02 (config-if)#ip address 172.22.5.2 255.255.255.0s3-sz-02 (config-if)#no shutdown 3.2 路由部分的實施3.2.1 靜態路由、默認路由的配置昆明分公司r3-km-03的配置如下：r3-km-03（config）#interface s0/2/0r3-km-03(config-if)#ip address 221.221.221.3 255.255.255.0r3-km-03(config)#inter

51、face fastethernet 0/0.1r3-km-03(config-subif)#encapsulation dot1q 100r3-km-03(config-subif)#ip add 192.168.0.1 255.255.255.192r3-km-03(config-subif)#ip nat inside r3-km-03(config-subif)#exitr3-km-03(config)#interface fastethernet 0/0.2r3-km-03(config-subif)#encapsulation dot1q 200r3-km-03(config-sub

52、if)#ip add 192.168.0.65 255.255.255.192r3-km-03(config-subif)#ip nat inside r3-km-03(config-subif)#exitr3-km-03(config)#interface fastethernet 0/0.3r3-km-03(config-subif)#encapsulation dot1q 300r3-km-03(config-subif)#ip add 192.168.0.129 255.255.255.192r3-km-03(config-subif)#exitr3-km-03(config)#ip

53、dhcp pool vlan100r3-km-03(dhcp-config)#network 192.168.0.0 255.255.255.192r3-km-03(dhcp-config)#default-router 192.168.0.1 r3-km-03(dhcp-config)#dns-server 172.22.4.1r3-km-03(dhcp-config)#exitr3-km-03(config)#ip dhcp pool vlan200r3-km-03(dhcp-config)#network 192.168.0.64 255.255.255.192r3-km-03(dhcp-config)#default-router 192.168.0.65r3-km-03(dhcp-config)#dns-server 172.22.4.1r3-km-03(dhcp-config)#exitr3-km-03(config)#ip dhcp pool vlan300r3-km-03(dhcp-config)#network 192.168.0.128 255.255.255.192r3-km-03(dhcp-config)#default-router 192.168.0.129r3-km-03(dh