一、案例拓撲圖

首先根據案例情況畫出拓撲圖，小型園區中，分為兩個部門，每個部門相互獨立，卻又通信，進行組網如下圖。

二、案例分析

在拿到項目后，首先的就是對項目進行分析：

這里接入層就以交換機 ACC1 （ S2750 ） ，核心交換機 CORE （ S5700 ） 和出口路由器 Router （ AR 系列路由器） 為例。

在小型網絡項目中，S2700&S3700通常部署在網絡的接入層，S5700&S6700交換機通常部署在網絡的核心，出口路由器一般選用AR系列路由器。

1、接入交換機與核心交換機通過 Eth - Trunk 組網保證可靠性。

2、每個部門業務劃分到一個 VLAN 中，部門間的業務在核心交換機上三層互通。

3、核心交換機作為 DHCP Server ，為園區用戶分配IP地址 。

4、接入交換機上配置DHCP Snooping功能，防止內網用戶私接小路由器分配IP地址；同時配置IPSG功能，防止內網用戶私自更改IP地址。

三、數據規劃

在配置之前，需按照下面的表格準備好數據。

四、配置步驟有哪些

在我們做好網絡數據規劃后，接下來就是要來配置交換機了，很多朋友的難點就在這里，這里面弱電君盡量詳細些，我們來看看要配置交換機需要那些步驟。

我們可以按照下列流程配置各設備的的數據，連通園區內部用戶，并使內部用戶可訪問外網。

有了這個步驟我們在配置的過程中就不會漏掉。

五、交換機配置過程與步驟

step1：登陸交換機

用 console通信電纜連接交換機與PC。若PC無串口，需 要使用USB接口轉串口的轉接線。

在PC的終端仿真軟件界面直到出現如下信息，提示用戶設置登錄密碼。

完成登錄密碼設置后，用戶便可以配置交換機，需要幫助可隨時鍵入“?”。

step2：配置管理IP和Telnet

配置設備管理IP地址后，可以通過管理IP遠程登錄設備，下面以交換機CORE為例說明配置 管理IP和Telnet的方法。

step3：配置接入層交換機

如果把ACC1下接入的用戶都加入VLAN 10，為了配置簡單，也可以 ACC1上不配置VLAN，而是把CORE的Eth-Trunk1以access方式加入 VLAN10，這樣Eth-Trunk1接入的用戶全部屬于VLAN10。

step4：配置核心層交換機

這里面我們重點來看下核心層交換機的配置，很多朋友對這方面了解不多。

完成接口和VLAN的配置后，可以通過以下命令查看配置結果，顯示信息說明可查閱，

執行 display eth - trunk 命令檢查ACC1上的Eth-Trunk接口配置結果。

step5、配置DHCP

在CORE上配置DHCP Server，使部門A（VLAN10）和部門B （VLAN20）的用戶都 能獲取到正確的IP地址。以下以部門A為例，說明DHCP Server的配置步驟。

在DHCP服務器配置完成后，需要設置終端電腦網卡為自動獲取地址， 這樣終端才能正常從DHCP服務器獲取到地址，正常上網。

step6、配置核心交換機路由

step7、配置出口路由器

在配置出口路由器之前需要準備如下數據：公網IP地址：202.101.111.2/30， 公網網關地址：202.101.111.1，DNS地址：202.101.111.195，這些參數在 申請寬帶的時候由運營商提供，實際網絡中請以運營商提供的數據為準。

step8、配置DHCP Snooping和IPSG

配置了DHCP功能之后，部門內用戶主機可以自動獲取地址。但是為了防止員工在內網 私自接一個小路由器并開啟DHCP自動分配地址的功能，導致內網合法用戶獲取到了私 接的小路由器分配的地址而不能正常上網，還需要配置DHCP Snooping功能。

以下以部門A為例，說明DHCP Snooping的配置過程。

![圖片](https://mmbiz.qpic.cn/mmbiz_png/p7nzJgwSeozm88Q9BR5abicqxVOibLLaOD1hgxHIRZ0Bn2t1uoMicGVaribib8aKBgQ8oybURiaySExk5CZ2vHCHFf2w/640?wx_fmt=png&wxfrom=5&wx_lazy=1&wx_co=1

完成上述配置之后，部門A的用戶就可以從合法的DHCP服務器獲取IP地址，內網私接 的小路由器分配地址不會干擾到內網正常用戶。

為了防止部門內用戶私自更改IP地址后攻擊網絡，在接入交換機開啟DHCP Snooping 功能后，還需要開啟IP報文檢查功能，具體配置以ACC1為例。

這樣ACC1從VLAN10收到報文后會將報文與動態綁定表的表項進行匹配，放行匹配的 報文，丟棄不匹配的報文。如果不想對整個VLAN收到的報文進行檢查，可以只在連接 某個終端的接口上開啟IP報文檢查功能。

如果網絡中采用靜態分配IP地址，為防止用戶私自修改地址攻擊網絡， 可以配置IP+MAC綁定。

step8、業務驗證

step9、保存配置

通過命令行配置的數據是臨時性的。如果不保存，交換機重啟后這些配置都會丟失。如果要使當前配置在交換機重啟后仍然有效，需要將當前配置保存為配置文件。

標準的交換機配置是需要這九個步驟，算是比較全的，按照步驟配置可以降低出錯的機率。