port link-mode route

ip address 192.168.2.2 255.255.255.0 # //连接到三层交换机上的接口地址 interface GigabitEthernet0/1 port link-mode route

firewall packet-filter 3001 inbound //在接口上应用限制server访问内网的ACL

ip address 192.168.40.1 255.255.255.0 #

ospf 1 router-id 2.2.2.2 //OSPF的启用与宣告网络 area 0.0.0.0

network 192.168.2.0 0.0.0.255 network 202.102.192.0 0.0.0.3 network 192.168.40.0 0.0.0.255 #

ip route-static 0.0.0.0 0.0.0.0 202.102.192.2//默认路由 # # vlan 10 # vlan 20

SW1的简要配置与分析：

# vlan 30

#//定义三个vlan ，以便在三层交换机上进行vlan间路由 interface Vlan-interface10

ip address 192.168.10.1 255.255.255.0 #

interface Vlan-interface20

ip address 192.168.20.1 255.255.255.0 #

interface Vlan-interface30

ip address 192.168.30.1 255.255.255.0 #

//在各个vlan上配置三层地址，进行vlan间路由

interface Ethernet1/0/24 port link-mode bridge port link-type trunk port trunk permit vlan all

#//配置三层交换机和二层交换机连接的trunk口 interface GigabitEthernet1/1/3 port link-mode route

ip address 192.168.2.1 255.255.255.0 #//配置三层交换机和网关设备连接的端口 ospf 1 router-id 1.1.1.1

//OSPF的配置与宣告网络

area 0.0.0.0

network 192.168.10.0 0.0.0.255 network 192.168.20.0 0.0.0.255 network 192.168.30.0 0.0.0.255 network 192.168.2.0 0.0.0.255 # # dot1x # vlan 1 # vlan 10 # vlan 20 # vlan 30

# //定义三个vlan以便进行网络的逻辑隔离 local-user admin //配置802.1x的本地用户列表 password simple admin service-type lan-access #

SW2的简要配置与分析：

interface Ethernet1/0/1 port link-mode bridge port link-type trunk port trunk permit vlan all

# //配置与三层交换机连接的trunk口 interface Ethernet1/0/11 port link-mode bridge port access vlan 10 dot1x //启用802.1x认证 #

实验总结：

1、 NAT技术在局域网应用中非常广泛，能够为企业节省很多

的公网IP地址开销。

2、 802.1x接入认证时可以用windows xp自带的客户端进行验

证，但目前市场上的大部分windows xp系统都精简了这一部分的功能，因此需要额外安装认证软件，例如：H3C Inode

3、 之所以在三层交换机上实现vlan 间的路由而不用路由器来

做，一是因为三层交换机的成本较低，端口较多，如果为了保证可靠性和带宽还可以在两个交换机之间进行端口聚合。二是因为路由器的端口紧缺，成本较高，若用单臂路由实现

vlan间的访问，则路由器在转发速度上比交换机要弱，容易形成网络瓶颈，加之如果vlan间数据流量较大的话，此时中间的链路负载较重。

4、 企业网络中如果有对外提供服务的服务器，它一般会放在

DMZ(非军事化区)中，和企业的网关设备互连，这样在带宽和访问速度上有较好的保证。

5、 通常我们会在网关上设置一条对外的静态默认路由路由。