技术方案共享!!
网络施工技术方案
目 录
1 概述 5
1.1 技术方案概述 5
1.2 网络设备 5
1.2.1 骨干交换设备 5
1.3 本施工技术方案将包括: 5
1.3.1 设备基本属性设计 5
1.3.2 局域网VLAN设计 5
1.3.3 局域网IP地址设计 5
1.3.4 局域网的设备冗余备份和负载均衡 错误!未定义书签。
1.3.5 局域网的安全性设计 5
1.3.6 局域网的QoS设计 5
2 设备基本属性设计 6
2.1 设备命名 6
2.1.1 命名规则 6
2.1.2 设备的Hostname的设置方法: 6
2.1.3 网络设备名字表 6
2.2 设备口令 7
2.2.1 设备口令设置原则 7
2.2.2 设备的口令的设置方法: 7
1.3 SNMP community string 7
1.1.1 设置原则 7
1.1.2 SNMP 的设置方法: 8
3 局域网VLAN 设计 9
3.1 VLAN 划分规则 9
3.1.1 VLAN划分原则 9
3.1.2 VLAN划分表 9
1.1.3 以太网VLAN的设置方法: 错误!未定义书签。
1.1.4 为以太网VLAN分配端口的设置方法: 9
1.1.5 删除以太网VLAN的设置方法: 10
1.2 设置EtherChannel 11
1.2.1 EtherChannel的设置规则 11
1.2.2 EtherChannel的设置方法 11
1.3 VLAN Trunk设定 11
1.3.1 VLAN trunks的设置规则 11
1.3.2 VLAN Trunk的设置方法: 11
1.1.3 允许VLAN通过VLAN Trunk的设置方法: 13
1.4 VTP Domain 设定 13
1.4.1 VTP domain 设计规则 13
1.4.2 VTP Server 的设置方法: 13
1.1.3 VTP Client 的设置方法: 14
1.5 VLAN 间路由设定 16
1.5.1 VLAN间路由原则 16
1.5.2 VLAN路由设置 16
1.6 Spanning-Tree 设定 16
1.6.1 Enabling STP 16
1.1.2 Spanning-Tree PortFast 16
1.1.3 Port Cost 17
1.1.4 Root Switch 18
1.7 MSFC设置 19
1.1.1 MSFC的设置原则 19
1.1.2 MSFC的设置方法 19
1.1.3 MLS的使用 20
4 局域网的设备冗余备份与负载均衡 21
4.0 局域网设备和链路备份原则 21
4.0.0 设备备份 21
4.0.0 链路备份 21
5 局域网安全性设计 21
5.1 局域网安全性设计原则 21
5.2 网络设备的安全 21
5.2.1 设备的安全性 21
5.2.2 使用Command List 21
1.3 网络第二层的安全性保障 23
1.3.0 Layer 2 MAC Filter 23
1.3.0 Layer 2 Secure Port Filtering设置方法 23
1.4 VLAN之间的安全保证 24
1.4.1 Access-list 24
1.1.2 Access-list 设 置 24
6 IP地址设计 25
6.1 交换机SC0 IP地址设计 25
6.1.1 交换机SC0地址主要用于网管 25
6.1.2 交换机SC0地址表 25
1.1.3 交 换 机 设备的IP地址的设置方法: 25
1.2 VLAN网段IP地址设定 26
1.1.1 VLAN网段IP地址原则 26
1.1.2 VLAN网段对应IP地址表 26
1.3 VLAN Gateway设定 26
概述
1.1 技术方案概述
聊城电业局网络系统建设的总体目标为:通过建设一个高性能、高可靠性、高可扩充性的覆盖全局处室、各生产工区、办公地点的局域网系统,为电力信息管理的安全可靠运转以及新业务的顺利开拓提供可靠平台,并支持在该网络上提供办公自动化、视频会议、IP电话等功能。
本技术实施方案主要面向聊城电业局网络施工中将会遇到的技术问题,为保证施工的顺利进行并在施工过程中有章可循,我们对这些技术问题制定了全面的技术规则来保证聊城电业局的网络是一个高可靠、高效率、高性能、高可维护性的综合网络。
1.2 网络设备
1.2.1 骨干交换设备
网络中心的千兆骨干网,主要由一台CISCO的Catalyst4006组成,为接入层的各种交换机、某些工作站提供千兆骨干连接,同时为网络中心的服务器提供千兆连接。
1.3 本施工技术方案将包括:
1.3.1 设备基本属性设计
本设计描述了网络设备具有一些本身特有的基本属性,如设备名、存取口令等。
1.3.2 局域网VLAN设计
聊城电业局的网络是一个由骨干多层交换机、接入交换机接入路由器构成的大型企业网。为保证各类型业务和用户的安全性,并为避免全网范围的广播和多点广播,需要跨越交换机划分VLAN,高性能地实现VLAN之间的路由,并能提供一些基于VLAN的安全特性。
1.3.3 局域网IP地址设计
在聊城电业局的网络建设中,根据区域来分配这些IP地址。
1.3.4 局域网的安全性设计
在聊城电业局的网络中,对不同的职能、不同的资源的访问有严格的限制,网络设备提供了不同的安全性功能来保证各种对资源访问的安全性。本设计描述了网络的安全性设计方法。
1.3.5 局域网的QoS设计
聊城电业局 对于不同的职能有不同的优先级考虑,提供QoS的设计我们能保证关键业务在网络上的带宽和响应时间。本设计描述了网络的QoS设计方法。
2 设备基本属性设计
2.1 设备命名
2.1.1 命名规则
在整个网络中网络设备的命名采用统一格式。其目的使管理人员在网管系统或直接访问设备时,依据设备的Hostname能准确得到设备类型、所处的具体位置和设备连接的网络。在网络中设备的Hostname的命名统一为以下格式设备命名原则:
网络交换设备命名规则:
LCEP-(Equ-type-field)-(location-field)
其中:LCEP表明该设备是聊城电业局网络中心的网络设备
Equ-type-field字段表明该设备类型:见下表
Table:2.1.1.1
字段Equ-type-field 设备类型
BB4006 网络主干,4006
BB4003 网络主干,4003
Cat2924-BianDian 变电工区二级交换机2924
Location-Field字段表明该设备所在的具体位置:
如:1F表明该设备在1楼机房或配线间
JiFang 表明该设备在机房(不写则默认为JiFang)。
2.1.2 设备的Hostname的设置方法:
Catalyst4000系列:
Task Command
Statically set the system name. Set system name name_string
这个例子说明了怎样在网络交换机上设置系统的命名:
Catalyst2900系列
Task Command
Statically set the system name. Hostname name_string
2.2 设备口令
2.2.1 设备口令设置原则
在整个网络的安装过程中,为方便安装和调试,设备的所有口令统一为:cisco
在投入生产运营前,必须由聊城电业局网络管理人员更改设备的口令,必须使用字母、数字、符号结合的字符串组成口令,并填写网络设备口令管理备案,妥善保存!
2.2.2 设备的口令的设置方法:
Catalyst4000系列:
Task Command
Step 1 设置普通模式密码,回车输入旧密码和新密码 set password
Step 2 设置特权用户密码,回车输入旧密码和新密码 set enablepass
Catalyst3500系列:
Task Command
设置特权模式密码 Enable secret password
2.3 SNMP community string
2.3.1 设置原则
在聊城电业局网络中所有的设备的SNMP不得使用缺省值,必须设置以下参数:
Ÿ snmp community read-only community_string
Ÿ snmp community read-write community_string
Ÿ snmp community read-write-all community_string
以上参数的community_string的值是SNMP的口令,进入运行前,必须更改设备的口令,必须使用字母、数字、符号结合的字符串组成口令,妥善保存!
Ÿ snmp trap rcvr_address rcvr_community
snmp trap 的rcvr_address 必须指定到网管工作站,并使snmp trap enable
2.3.2 SNMP 的设置方法:
Catalyst 4000系列:
Task Command
Step 1 Define the SNMP community strings for each access type. set snmp community read-only community_string set snmp community read-write community_string set snmp community read-write-all community_string
Step 2 Assign a trap receiver and community. You can specify up to ten trap receivers. set snmp trap rcvr_address rcvr_community
Step 3 Specify the SNMP traps to send to the trap receiver. set snmp trap enable [all | module | chassis | bridge | repeater | auth | vtp | ippermit | vmps | config | entity | stpx]
Step 4 Verify the SNMP configuration. Show snmp
3 局域网VLAN 设计
3.1 VLAN 划分规则
3.1.1 VLAN划分原则
所有的VLAN 均为基于端口的VLAN
主机、服务器使用相应部门的VLAN或单独划分一个VLAN。
我们根据不同业务或部门,基于端口划分不同的VLAN,并使其与IP子网相符合。
3.1.2 VLAN划分表
聊城电业局使用四个C类地址10.141.176.*—10.141.179.* 。 根据用户的需求,确定VLAN划分的数量及每个VLAN的地址数量。
3.1.3 VLAN设置方法
Catalyst4000系列 :
Task Command
Step 1 Create a new Ethernet VLAN. set vlan vlan_num [name name] [said said] [mtu mtu] [translation vlan_num]
Step 2 Verify the VLAN configuration. show vlan [vlan_num]
3.1.4 为以太网VLAN分配端口的设置方法:
Catalyst4000系 列 :
Task Command
Step 1 Assign one or more switch ports to a LAN. set vlan vlan_num mod_num/port_num
Step 2 Verify the port VLAN membership. show vlan [vlan_num]
show port [mod_num[/port_num]]
3.1.4 删除以太网VLAN的设置方法:
Catalyst 4000系 列
Task Command
Delete a VLAN. Clear vlan vlan_num
3.2 VLAN Trunk设定
3.2.1 VLAN trunks的设置规则
VLAN trunks的设置,以设备及、端口类型而定。在网络中遵循以下规则:
a) Cisco 设备使用以太交换端口相连接时使用Inter-Switch Link (ISL)
b) 不同厂家的交换机、路由器使用以太交换端口相连接时,使用IEEE 802.1Q。
c) 所有设备使用ATM端口相连接时,使用LAN Emulation (LANE)。
d) 同时每一个VLAN Trunk中只允许必要的VLAN 通过。
故在网络中:
主干交换机CISCO4006通过GE端口采用802.1Q VLAN trunk 与Catalyst4003连接。
二级交换机Catalyst 2924与Catalyst4003通过802.1Q VLAN trunk 连接
3.2.2 VLAN Trunk的设置方法:
Catalyst 4000系 列
Task Command
Step 1 配置端口的Trunk set trunk mod_num/port_num [on | desirable | auto | nonegotiate] dot1q
Step 2 验证端口的Trunk show trunk [mod_num/port_num]
This example shows how to configure a port as a trunk and how to verify the trunk configuration. This example assumes that the neighbor port is in auto mode.
Console> (enable) set trunk 1/1 on dot1q
Port(s) 1/1 trunk mode set to on.
Console> (enable) 06/16/1998,22:16:39:DTP-5:Port 1/1 has become dot1q trunk
06/16/1998,22:16:40:PAGP-5:Port 1/1 left bridge port 1/1.
06/16/1998,22:16:40:PAGP-5:Port 1/1 joined bridge port 1/1.
Console> (enable) show trunk
Port Mode Encapsulation Status Native vlan
------ --------- ----------- ---------- -----------
1/1 On Dot1q trunking 1
Port Vlans Allowed on trunk
----- -------------------------------------------------------------------
1/1 1-1005
Port Vlans allowed and active in management domain
------ ------------------------------------------------------------------
1/1 1,521-524
Port Vlans in spanning tree forwarding state and not pruned
------ ------------------------------------------------------------------
1/1
Console> (enable)
This example shows how to place a port in desirable mode and how to verify the trunk configuration. This example assumes that the neighbor port is in auto mode.
Console> (enable) set trunk 1/2 desirable
Port(s) 1/2 trunk mode set to desirable.
Console> (enable) 06/16/1998,22:20:16:DTP-5:Port 1/2 has become isl trunk
06/16/1998,22:20:16:PAGP-5:Port 1/2 left bridge port 1/2.
06/16/1998,22:20:16:PAGP-5:Port 1/2 joined bridge port 1/2.
Console> (enable) show trunk 1/2
Port Mode Encapsulation Status Native vlan
------ --------- ---------- ---------- -----------
1/2 Desirable Isl trunking 1
Port Vlans allowed on trunk
----- ---------------------------------------------------------
1/2 1-1005
Port Vlans allowed and active in management domain
----- ----------------------------------------------------------------
1/2 1,521-524
Port Vlans in spanning tree forwarding state and not pruned
----- -----------------------------------------------------------
1/2
Console> (enable)
3.2.3 允许VLAN 通过 VLAN Trunk 的设置方法:
Catalyst 4000系 列 :
This example shows how to define the allowed VLANs list for trunk port 1/1 to allow VLANs 1–100, VLAN 250, and VLANs 500–1005, and how to verify the allowed VLAN list for the trunk:
Task Command
Step 1 Remove VLANs from the allowed VLANs list for a trunk. clear trunk mod_num/port_num vlans
Step 2 (Optional) Add specific VLANs to the allowed VLANs list for a trunk. set trunk mod_num/port_num vlans
Step 3 Verify the allowed VLAN list for the trunk. show trunk [mod_num/port_num]
3.3 VTP Domain 设定
3.3.1 VTP domain 设计规则
在网络中所有的交换机都属于同一个VTP domain 。
VTP domain name 定 义 为 :LCEP
在中心机房的两台4003交换机设置为VTPserver ,其它的交换机为VTP client 。
3.3.2 VTP Server 的设置方法:
Catalyst 4000 系 列 :
Task Command
Step 1 Define the VTP domain name. set vtp domain name
Step 2 Place the switch in VTP server mode. set vtp mode server
Step 3 (Optional) Set a password for the VTP domain. set vtp passwd passwd
Step 4 Verify the VTP configuration. Show vtp domain
3.3.3 VTP Client 的设置方法:
Catalyst 4000 系 列 :
Task Command
Step 1 Define the VTP domain name. set vtp domain name
Step 2 Place the switch in VTP client mode. set vtp mode client
Step 3 Verify the VTP configuration. show vtp domain
NOTE: VTP mode 处于server 时,才可对VLAN进行定义与修改。
因此所有的VLAN定义都在骨干交换机4000上来完成。
以上的设置为示意,而非实际配置情况。
To configure VTP and VLANs on the switch, perform this task in privileged mode:
Task Command
Step 1 Specify the VTP mode. set vtp mode {client | server | transparent}
Step 2 Configure a VTP domain (if you configured the switch as a VTP client or server). set vtp domain name
Step 3 Create VLANs on the switch. set vlan vlan_num
Step 4 Assign ports to the VLAN. set vlan vlan_num mod_num/port_num
3.4 VLAN 间路由设定
3.4.1 VLAN间路由原则
Vlan 之间的访问限制需同聊城电业局网络实施小组讨论。
3.4.2 VLAN路由设置
VLAN间是否有路由,决定VLAN间是否能够互访。
在网络中,路由的设置使用Access List 达到 。
VLAN 间用Access List 控制互访,这样的VLAN设置和VLAN间路由设置是要达到以下目的:
使不同的职能部门分别在本职能部门拥有的VLAN,VLAN 内部的交换数据无须路由处理,访问更加快捷,降低中心路由器的负荷,本业务内跨VLAN的访问可以通过 Access List进行限制 。禁止不同职能之间的互访,提高网络的安全性。
不同的职能部门间的访问,可通过公用主机、服务器交换数据(主要建立公共VLAN的交叠区)。
3.5 MSFC设置
3.5.1 MSFC的设置方法
4 局域网安全性设计
4.1 局域网安全性设计原则
Vlan 之间的相互访问限制要与聊城电业局 网络实施小组讨论。
在数据链路层(第2层)通过VLAN的划分,将不同部门的用户相互隔离;
利用Cisco局域网交换机具有的MAC地址过滤功能;
在网络层(第3层)及传输层(第4层) 配置ACL(Access Control List);
对路由器、交换机等网络设备的访问与配置修改权限的多级加密口令保护及关闭网络设备上的一些具有安全隐患的服务(例如Telnet,small-tcp-service,small-udp-service等服务)。
在内部网络中设置入侵检测系统对内网中的非法行为进行监控;
同时采用网络安全扫描设备主动扫描内部网络。
4.2 网络设备的安全
4.2.1 设备的安全性
在一个网络中最需要安全的应该就是网络设备了,如果网络设备不能保证安全,接在网络上的其他设备也无安全性可言,因此保证网络设备的安全性是放在安全性设计的首位。在实践中,我们应用Cisco设备所提供的功能,能充分保证交换机、路由器的安全。
4.2.2 使用Command List
Use To
Enable secret Configure a password for privileged router access.
service password-encryption Provide a minimum of protection for configured passwords.
no service tcp-small-serversno service udp-small-servers Prevent abuse of the "small services" for denial of service or other attacks.
Access-class list in Restricting Telnet access to particular IP addresses
no service finger Avoid releasing user information to possible attackers.
no cdp runningno cdp enable Avoid releasing information about the router to directly-connected devices.
no ntp enable Prevent attacks against the NTP service.
no ip directed-broadcast Prevent attackers from using the router as a "smurf" amplifier.
transport input Control which protocols can be used by remote users to connect interactively to the router's VTYs or to access its TTY ports.
ip access-class Control which IP addresses can connect to TTYs or VTYs. Reserve one VTY for access from an administrative workstation.
exec-timeout Prevent an idle session from tying up a VTY indefinitely.
service tcp-keepalives-in Detect and delete "dead" interactive sessions, preventing them from tying up VTYs.
logging buffered buffer-size Save logging information in a local RAM buffer on the router. With newer software, the buffer size may be followed with an urgency threshold.
ip access-group list in Discard "spoofed" IP packets. Discard incoming ICMP redirects.
ip verify unicast rpf Discard "spoofed" IP packets in symmetric routing environments with CEF only.
no ip source-route Prevent IP source routing options from being used to spoof traffic.
access-list number action criteria logaccess-list number action criteria log-input Enable logging of packets that match specific access list entries. Use log-input if it's available in your software version.
Scheduler-intervalScheduler allocate Prevent fast floods from shutting down important processing.
ip route 0.0.0.0 0.0.0.0 null 0 255 Rapidly discard packets with invalid destination addresses.
distribute-list list in Filter routing information to prevent accepting invalid routes.
snmp-server community something-inobvious ro listsnmp-server community something-inobvious rw list Enable SNMP version 1, configure authentication, and restrict access to certain IP addresses. Use SNMP version 1 only if version 2 is unavailable, and watch for sniffers. Enable SNMP only if it's needed in your network, and don't configure read-write access unless you need it.
snmp-server party... authentication md5 secret ... Configure MD5-based SNMP version 2 authentication. Enable SNMP only if it's needed in your network.
ip http authentication method Authenticate HTTP connection requests (if you've enabled HTTP on your router).
ip http access-class list Further control HTTP access by restricting it to certain host addresses (if you've enabled HTTP on your router).
Banner login Establish a warning banner to be displayed to users who try to log into the router.
4.3 网络第二层的安全性保障
4.3.1 Layer 2 MAC Filter
在 Catalyst 系列的交换机上,可以通过设置Secure Port Filtering来保证在网络第二层的安全性。在交换机端口上可以设定只允许上指定的MAC地址的client进入交换机端口。
4.3.2 Layer 2 Secure Port Filtering设置方法
To enable secure port filtering, perform this task in privileged mode:
Task Command
Step 1 Enable port security on the desired ports. If desired, specify the secure MAC address. set port security mod_num/port_num enable [mac_addr]
Step 2 Verify the configuration. show port [mod_num[/port_num]]
This example shows how to enable secure port filtering on a port using the learned MAC address on a port and verify the configuration:
Console> (enable) set port security 2/1 enable
Port 2/1 port security enabled with the learned mac address.
Trunking disabled for Port 2/1 due to Security Mode
Console> (enable) show port 2/1
Port Name Status Vlan Level Duplex Speed Type
----- ------------------ ---------- ---------- ------ ------ ----- ------------
2/1 connected 522 normal half 100 100BaseTX
Port Security Secure-Src-Addr Last-Src-Addr Shutdown Trap IfIndex
----- -------- ----------------- ----------------- -------- -------- -------
2/1 enabled 00-90-2b-03-34-08 00-90-2b-03-34-08 No disabled 1081
Port Broadcast-Limit Broadcast-Drop
-------- --------------- --------------
2/1 - 0
Port Align-Err FCS-Err Xmit-Err Rcv-Err UnderSize
----- ---------- ---------- ---------- ---------- ---------
2/1 0 0 0 0 0
Port Single-Col Multi-Coll Late-Coll Excess-Col Carri-Sen Runts Giants
----- ---------- ---------- ---------- ---------- --------- --------- ---------
2/1 0 0 0 0 0 0 0
Last-Time-Cleared
--------------------------
Fri Jul 10 1998, 17:53:38
Console> (enable)
4.4 VLAN之间的安全保证
4.4.1 Access-list
骨干交换机4000的MSFC和PFC模块承担着网络内所有VLAN的VLAN间的数据交换。因此通过在MSFC和PFC上进行Access-list访问控制来达到VLAN之间的安全。Access list 可以通过协议、IP源或目的地址、TCP/UDP端口号分别限定VLAN之间的数据流进或者出 。
4.4.2 Access-list 设 置
4.4.2.1 Standard Access List
标准的Access List 只能从源地址对数据流作出限制 。
access-list access-list-number {deny | permit} source [source-wildcard] [log]
将 Access list 放到端口上限制数据的进或者出端口
ip access-group {access-list-number | name} {in | out}
4.4.2.2 Extended Access List
扩展的Access List能够从协议、源地址,目的地址、端口号等对访问作出限制。
access-list access-list-number {deny | permit} protocol source source-wildcard destination destination-wildcard [precedence precedence] [tos tos] [established] [log]
将Access list放到端口上限制数据的进或者出端口
ip access-group {access-list-number | name} {in | out}
4.4.2.3 Standard and extended access list using name
新的IOS支持用名字构造 Access List
To create a standard access list, use the following commands beginning in global configuration mode:
Step Purpose Command
1 . Define a standard IP access list using a name. ip access-list standard name
2 . In access-list configuration mode, specify one or more conditions allowed or denied. This determines whether the packet is passed or dropped. deny {source [source-wildcard] | any}[log]orpermit {source [source-wildcard] | any}[log]
3 . Exit access-list configuration mode. exit
To create an extended access list, use the following commands beginning in global configuration mode:
Step Purpose Command
1 . Define an extended IP access list using a name. ip access-list extended name
2 . deny | permit} protocol source source-wildcard destination destination-wildcard [precedence precedence] [tos tos] [established] [log] In access-list configuration mode, specify the conditions allowed or denied. Use the log keyword to get access list logging messages, including violations.
{deny | permit} protocol any any Define an extended IP access list using an abbreviation for a source and source wildcard of 0.0.0.0 255.255.255.255, and an abbreviation for a destination and destination wildcard of 0.0.0.0 255.255.255.255.
deny | permit} protocol host source host destination Define an extended IP access list using an abbreviation for a source and source wildcard of source 0.0.0.0, and an abbreviation for a destination and destination wildcard of destination 0.0.0.0.
deny | permit} protocol host source host destinationdynamic dynamic-name [timeout minutes] {deny | permit} protocol source source-wildcard destination destination-wildcard [precedence precedence] [tos tos] [established] [log] Define a dynamic access list. For information about lock-and-key access, refer to the "Configuring Traffic Filters" chapter in the Security Configuration Guide.
5 IP地址设计
5.1 交换机SC0 IP地址设计
5.1.1 交换机SC0地址主要用于网管
一方面网管软件通过SC0地址进行SNMP访问,另一方面网络管理员可以通过SC0地址进行telnet 以维护交换机设备。原则上所有交换机的SC0地址应在同一网段上以便于维护。
5.1.2 交换机SC0地址表
其中IP地址由聊城电业局网络实施小组指定
Table 4.1.2
设 备 名 称 位置功能 SC0 IP地 址
LCEP-BB4000 主机房
LCEP-BB4000-B 主机房
LCEP-MSFC-A 主机房
LCEP-MSFC-B 主机房
5.1.3 交 换 机 设备的IP地址的设置方法:
Catalyst 6500系 列 、3500 系 列 :
Task Command
Step 1 Assign an IP address and subnet mask to thein-band (sc0) interface. set interface sc0 [ip_addr [netmask]]
Step 2 Assign the in-band interface to the proper VLAN (make sure the VLAN is associated with the network to which the IP address belongs). set interface sc0 [vlan]
Step 3 If necessary, bring the interface up. set interface sc0 up
Step 4 Verify the interface configuration. show interface
5.2 VLAN网段IP地址设定
a) 一个VLAN一个IP子网
b) 每个VLAN分配一个Class C网段或Class C再细分的子网段
5.3 VLAN Gateway设定
每个VLAN上的用户均需要指定其Default Gateway ,各VLAN的Gateway如表 :
6 Qos设置
6.1 Qos设置原则
在没有出现资源争用和拥塞时,网络并不需要QoS技术进行业务保障。当网络带宽不足而出现拥塞时,则需要综合考虑整体业务需求,选择使用合适的QoS技术,消除网络拥塞,迅速恢复正常传输。一般情况下,聊城电业局的局域网带宽足够应用,可以不设Qos。以备万一,可采用基于VLAN 的Qos策略。
6.2 Qos设置方法
6.2.1 To enable QoS, perform this task in privileged mode:
Task Command Command
Enable QoS on the switch. set qos {enable | disable}
This example shows how to enable QoS:
Console> (enable) set qos enable
QoS is enabled.
Console> (enable)
6.2.2 Enabling Port-Based or VLAN-Based QoS
By default, QoS uses ACLs attached to ports. On a per-port basis, you can configure QoS to use ACLs attached to a VLAN. To enable VLAN-based QoS on a port, perform this task in privileged mode:
Task Command Command
Enable VLAN-based QoS on a port. set port qos mod_num/port_num {port-based | vlan-based}
Verify the configuration. show port qos mod_num/port_num
This example shows how to enable VLAN-based QoS on a port:
Console> (enable) set port qos 1/1-2 vlan-based
Hardware programming in progress...
QoS interface is set to vlan-based for ports 1/1-2.
Console> (enable)
6.2.3 Create an IP ACL for TCP
To create or modify an IP ACE for TCP traffic, perform this task in privileged mode:
Task Command Command
Step 1 Create or modify an IP ACE for TCP traffic set qos acl ip acl_name {dscp dscp | trust-cos | trust-ipprec | trust-dscp} [microflow microflow_name] [aggregate aggregate_name] tcp src_ip_spec [operator port | range port port] dest_ip_spec [operator port | range port port] [established] [precedence precedence | dscp-field dscp] [before editbuffer_index | modify editbuffer_index]
Step 2 Verify the configuration. show qos acl info {acl_name | all} editbuffer [editbuffer_index]
6.2.4 Attach an ACL to a port or a VLAN
To attach an ACL to a port or a VLAN, perform this task in privileged mode:
Task Command Command
Step 1 Attach an ACL to an interface set qos acl map acl_name {mod_num/port_num | vlan}
Step 2 Verify the configuration. show qos acl map {config | runtime} {acl_name | mod_num/port_num | vlan | all}
This example shows how to attach an ACL named my_acl to port 2/1:
Console> (enable) set qos acl map my_acl 2/1
Hardware programming in progress...
ACL my_acl is attached to port 2/1.
Console> (enable)
This example shows how to attach an ACL named my_acl to VLAN 4:
Console> (enable) set qos acl map my_acl 4
Hardware programming in progress...
ACL my_acl is attached to vlan 4.
Console> (enable)
7、基带Modem连接
与省局联网的线路是E1,速率是2M。通过E1转换器实现接口和协议的转换。配置2M DDN线路的关键技术有两个:
7.1 线路封装协议
视对方封装协议而定,一般是Cisco HDLC或PPP
Router(config-if)# encapsulation ppp或用默认
7.2 路由协议
使用静态路由
Router(config)#ip route 0.0.0.0 0.0.0.0 next-hop address
8、 调试拨号服务器
局外个别用户或移动用户采用拨号上网方式联入局域网。
调试步骤如下:
8.1 连接物理设备
用Cisco特有的“八爪鱼”线连接多个Modem或Modem池。
8.2 配置步骤
任务 命令
1 定义用户名和密码对 Username user password 0 password
2 定义异步拨号口IP地址 Ip address ip-address
3 封装协议 Encapsulation ppp
4 定义拨入主机的地址池 Peer default ip address pool pool-name
5 定义异步拨号口对应的线路 Line number
9、安装Ciscoworks 2000
真抱歉, 这几天特别忙,一直没顾上网查email. 希望还不晚.
>
>
附件是一个网络拓扑。每一个2924是一个Vlan,相距一公里以上,交换机之间的链路
均为802.1q
> Trunk。
>
> 问题一:两个4003的4232路由模块是否需要把所有的Vlan都设上?
No. 一个4003给谁做路由就配谁, 比如4003A, 它可以只做vlan 2,3,4的路由,
不必理
会vlan 5,6. 4003B 只做vlan5,6的路由, 然后在4003A和B之间跑路由协议,
二者交换
路由, 这样一来vlan2-6就都能互通了.
但更好的办法是做HSRP, 两个4003-l3把所有的vlan都配上, A为2,3,4的主,
为5,6的辅
.
>
>
问题二:Vlan4要于Vlan3路由的话,Vlan4先要通过Trunk到Vlan3的交换机上,再到
Vlan2的交换机上,再到
> 4003A上,通过4232—L3进行路由,再迂回回来,是这样吗?
Yes.
> 问题三:Vlan4要与Vlan5发生路由,该走那台4003?
如果各个4003只做自己这枝的路由的话, 就是说如果不用HSRP的话,
vlan4发的包先上
到4003A,进入A的L3, 查路由表, 然后送到4006, 再到4003B, 最后到vlan5.
>
>
问题四:原来整个网络是一个广播域,用server上的DHCP动态分配地址;现在分成
Vlan后,DHCP不能用了,用户又不想静态分配
> (懒),是否有好办法?
DHCP应该还可以用啊. DHCP Relay.
router可以把DHCP的广播forward到其他路由器.
我可以帮你查一下, 记得有个命令: ip
helper-address也能实现把特定广播forward到
其他路由器上.
