透過例項來詳細講解一個完整的網路專案從規劃到交換機配置的詳細過程。

一、案例要求拓撲圖

小型園區中，分為兩個部門，每個部門相互獨立，卻又通訊，進行組網如下圖。

二、分析

在拿到專案後，首先的就是對專案進行分析：

這裡接入層就以交換機 ACC1 （ S2750 ） ，

核心交換機

CORE （ S5700 ） 和出口路由器 Router （ AR 系列路由器） 為例。

在小型園區中，S2700&S3700通常部署在網路的接入層，S5700&S6700通常部署 在網路的核心，出口路由器一般選用

AR系列路由器

。

1、接入交換機與核心

交換機

透過 Eth - Trunk 組網保證可靠性。

2、每個部門業務劃分到一個 VLAN 中，部門間的業務在核心交換機上三層互通。

3、核心交換機作為 DHCP Server ，為園區使用者分配IP地址 。

4、接入交換機上配置DHCP Snooping功能，防止內網使用者私接小路由器分配IP地址；同時配置IPSG功能，防止內網使用者私自更改IP地址。

三、資料規劃

在配置之前，需按照下面的表格準備好資料。

四、交換機配置步驟

在我們做好網路資料規劃後，接下來就是要來配置交換機了，很多朋友的難點就在這裡，這裡面弱電君儘量詳細些，我們來看看要配置交換機需要那些步驟。

我人可以按照下列流程配置各裝置的的資料，連通園區內部使用者，並使內部使用者可訪問外網。

有了這個步驟我們在配置的過程中就不會漏掉。

step1：登陸交換機

用

console通訊電纜

（產品隨裝置附帶）連線交換機與PC。若PC無串列埠，需 要使用USB介面轉串列埠的轉接線。（console線 一般叫做配置線，是H3C 銳捷

邁普

等網路裝置廠商的通用線纜）。

在PC的終端模擬軟體介面按Connect鍵，直到出現如下資訊，提示使用者設定登入密碼。

完成登入密碼設定後，使用者便可以配置交換機，需要幫助可隨時鍵入“？”。

step2：配置管理IP和Telnet

配置裝置管理IP地址後，可以透過管理IP遠端登入裝置，下面以

交換機COR

E為例說明配置 管理IP和Telnet的方法。

step3：配置介面與VLAN

完成介面和VLAN的配置後，可以透過以下命令檢視配置結果，顯示資訊說明可查閱，

執行 display eth - trunk 命令檢查ACC1上的Eth-Trunk介面配置結果。

step4、配置DHCP

在CORE上配置DHCP Server，使部門A（VLAN10）和部門B （VLAN20）的使用者都 能獲取到正確的IP地址。以下以部門A為例，說明DHCP Server的配置步驟。

在DHCP伺服器配置完成後，需要設定終端電腦網絡卡為自動獲取地址， 這樣終端才能正常從

DHCP伺服器

獲取到地址，正常上網。

step5、配置核心交換機路由

step6、配置出口路由器

在配置出口

路由器

之前需要準備如下資料：公網IP地址：202。101。111。2/30， 公網閘道器地址：202。101。111。1，DNS地址：202。101。111。195，這些引數在 申請寬頻的時候由運營商提供，實際網路中請以運營商提供的資料為準。

step7、配置DHCP Snooping和IPSG

配置了DHCP功能之後，部門內使用者主機可以自動獲取地址。但是為了防止員工在內網 私自接一個小路由器並開啟DHCP自動分配地址的功能，導致內網合法使用者獲取到了私 接的小路由器分配的地址而不能正常上網，還需要配置DHCP Snooping功能。

以下以部門A為例，說明DHCP Snooping的配置過程。

完成上述配置之後，部門A的使用者就可以從合法的DHCP伺服器獲取IP地址，內網私接 的小路由器分配地址不會干擾到內網正常使用者。

為了防止部門內使用者私自更改IP地址後攻擊網路，在接入交換機開啟DHCP Snooping 功能後，還需要開啟IP報文檢查功能，具體配置以ACC1為例。

這樣ACC1從VLAN10收到報文後會將報文與動態繫結表的表項進行匹配，放行匹配的 報文，丟棄不匹配的報文。如果不想對整個VLAN收到的報文進行檢查，可以只在連線 某個終端的介面上開啟IP報文檢查功能。

如果網路中採用靜態分配IP地址，為防止使用者私自修改地址攻擊網路， 可以配置IP+MAC繫結。

step8、業務驗證

step9、儲存配置

透過

命令列

配置的資料是臨時性的。如果不儲存，交換機重啟後這些配置都會丟失。如果要使當前配置在交換機重啟後仍然有效，需要將當前配置儲存為配置檔案。標準的交換機配置是需要這九個步驟，算是比較全的，按照步驟配置可以降低出錯的機率。

附華三交換機配置手冊：