超市网络的设计与实现.doc

《超市网络的设计与实现.doc》由会员分享，可在线阅读，更多相关《超市网络的设计与实现.doc（44页珍藏版）》请在三一办公上搜索。

1、摘 要随着计算机技术的发展，信息时代正在来临，信息技术的所带来的巨大经济效益使得各行各业加快脚步进行信息化，百货商场以及由其演变而来的超市、仓储店等各类商业同样面临着信息化的巨大挑战.本文主要讲述了信息网络在物流管理、客户关系、数据仓库管理和防盗系统管理等方面所起的作用，针对大型超市的日常管理要求，对大型超市的网络需求进行了研究。最后根据大型超市网络的需求，提出了大型超市的总体解决方案，整个方案从门店前台POS收银系统、商场防盗监控系统设计、数据库系统设计、网络安全策略、网络技术选型等几个方面进行研究，整个系统采用具有高可靠性的总体设计，采用的技术应当是相对成熟的的技术，整个系统的性能应当是可

2、靠的，便于管理的。 关键字：信息网络 网络需求 网络设计 网络工程目 录摘 要I目 录II第一章 信息网络化在商业中的作用1第二章 网络系统解决方案22.1 标准与规范22.2 客户服务器的技术及其特点22.3 Client/Server模式的特点22.31、模块化与应用的分布特性22.3.2、分利用资源，提高网络的效率22.3.3、便于系统的维护，可扩充性强32.3.4、支持并行特性3第三章 网络结构方案设计43.1 网络需求分析43.2 网络设计原则43.3 网络方案描述63.4 超市网络拓朴结构方案总体设计63.4.1网络拓朴结构图设计63.4.2、系统网络结构设计83.4.3 网络设备

3、配置:8第四章 计算机房环境解决方案164.1 机房位置164.2 机房应配备下列安全设备和装置164.3 系统供电系统要求具有以下条件164.4 对机房空调温度和温度的要求164.5 机房地板要求17第五章 系统软件选型185.1 系统软件操作平台186.2 数据库管理系统选型18第六章 系统硬件平台选型196.1 系统硬件平台196.2 数据库服务器选型原则196.3 硬件配置196.3.1 数据服务器196.3.2、工作站机19第七章 闭路电视监控系统207.1方案概述207.2设计原则207.3设计规范和依据227.4系统功能和特点227.4.1、系统具有以下功能：227.4.2、系统

4、具有以下特点：237.4.3、远程监控：237.5系统构成图、安装平面图247.6价格清单247.7设备简介：25致谢36参考文献37第一章 信息网络化在商业中的作用随着计算机和网络技术的不断发展,在商业经济发展进程中将产生新的模式、建立新的秩序并形成新的商业经济理论和运作方式。从而将逐步加深商业经济的社会化和现代化程度,信息化和网络化的发展也为商业经济宏观调控方式的转变提供了现实的客观条件和有力的工具。信息网络化在商业经济领域的应用,必将形成更为社会化的商业运作模式和更为现代化的交易方式,必将有利于节约交易成本,缩短交易周期,提高市场效率,从而必将实现商业经济的繁荣发展。在信息网络技术的支持

5、下，整个商务平台可以以最低的成本、最优质的服务、最快速的管理反应进行运作。经营和管理将产生了一个革命性的转变：从模糊管理转向精确管理，从事后管理转向实时管理，从商品大类管理转向单品管理，从单纯的商品管理转向商品管理+顾客管理。目前，世界零售业的信息化是随着使用信息技术的发展而不断前进，从销售管理系统（如电子收款机、POS系统、商店信息管理系统），到EDI化（电子数据交换）和EOS（电子订货系统），再到现在的客户关系管理，物流管理、供应链管理、数据仓库等综合性的管理信息系统，最终利用先进的数据库技术和数据挖掘技术，实现更为复杂的智能决策支持系统的管理。我国大中型零售企业有80不同程度地采用了计算

6、机管理，其中绝大多数是实行连锁经营的零售企业。有70以上的连锁企业建立了系统开发的前台POS销售系统和后台MISERP管理系统，30左右的企业率先进入了商业自动化技术、现代通信技术和网络信息化技术相结合的数字化管理系统集成的阶段。信息化的发展给我国连锁零售业带来的绩效是巨大的，反映在增加商品销售规模每年达20以上，也就是600亿元以上，减少采购、配送、通信、理货的人工直接费用达40，提高管理绩效、减少库存积压、提高商品资金周转率节约的间接费用达50。 信息技术是现代商业发展的动力，既懂信息技术又懂商业管理的人才是这场技术战争的舵手。商业院校应以培养商业信息化专业技术人员为重点，对商业企业急需的

7、计算机技术、网络技术、通信技术及管理等各类人才进行不同类型、不同层次的信息技术教育和培训，培养一批既懂信息技术、又懂商业管理、精通业务的复合型人才，以适应商业现代化建设的需要。第二章 网络系统解决方案2.1 标准与规范超市所使用的网络设备均基于标准的网络协议工作，其网络结构也符合标准的网络结构规范，从而形成完整的标准系统。以保证整个系统的完备性，高可用性以及良好的可扩展性。从而为超市的应用系统提供坚实的基础平台。本系统所遵循的标准有：CCITTISDN 综合业务数据网络标准EIA/TIA-518A/B 商务建筑布线标准IEEE 802.3 10 BASE-T 网络标准IEEE 802.3 10

8、0BASE-T 网络标准IEEE 802.3 1000BASE-T 网络标准EIA/TIA-* 民用建筑通信管理标准RS232、X21、RS422 异步、同步传输模式标准等X.509安全通信标准TCP/IP网络通信协议HTTP超文本链接协议2.2 客户服务器的技术及其特点客户服务器（Client/Server）概念，是指两个逻辑系统（客户机和服务器）及其应用程序逻辑组件之间复杂关系的协同。即在Client/Server系统中，将应用程序分为两大部分：一部分是服务器部分：由多个用户共享其功能和信息；另一部分是客户机部分：为每个用户所专有的；客户机部分执行前台功能，如管理用户接口、采集数据、格式化

9、数据库、报表请求、业务流程操作等等。而服务器部分执行后台功能，如管理共享外没、控制对共享数据的存取、接受并回答客户机请求等，因此，Client/Server模式是一种功能与数据的协同分布。2.3 Client/Server模式的特点2.31、模块化与应用的分布特性Client/Server在逻辑上的分离，有利于系统的模块化和系统功能的划分。客户机与服务器执行不同性质的任务，从而使不同的应用分布在不同的计算机上。2.3.2、分利用资源，提高网络的效率客户机，服务器各司其职，分工合作，使资源特别是CPU和存储器资源得以充分利用，减轻了网络上的通信负荷，提高了网络系统的整体效率。2.3.3、便于系统

10、的维护，可扩充性强客户机和服务器平台相对独立，系统便于维护。客户机及其功能的添加与更新不会对整个系统产生影响。2.3.4、支持并行特性服务器并行处理多个客户机之间的并行操作，使数据的完整性和可靠性得到保证。第三章 网络结构方案设计3.1 网络需求分析更快速的利用/消化新兴信息技术，将为企业的业务模式的变化发展和业务范围的扩展奠定了坚实的技术基础，在此前提下，为了适应信息形势下超市将来业务量的不断增长和业务模式的不断变化，超市提出了建设高性能企业业务网，将超市供应链MMIS系统等业务纳入该网络系统，为超市的业务发展奠定坚实的网络基础。分析表明，企业网络系统应该能够满足企业内部对于IP交换/路由，

11、局部网络互联，安全控制，网络管理等服务需求；而且本期设计应该考虑到将来提供包括数据、语音、视频等在内的综合业务及增值业务，并能够实现各种业务网络的无缝连接和互联，形成以IP技术为核心的新一代通信基础网络架构，进一步推动XX超市的信息化进程。下面我们将基于上述诸点进一步对用户的需求加以分析。从设计和功能实现上，我们可以反网络划分为两层架构：核心层和接入层。核心层网络将实现主干网络的连通要求，并能够通过某种手段保证主干网络稳定可靠；而且，一旦某个主干连接中断时，网络能自动隔离故障点并继续工作。主干网络还应能很好的提供服务质量保证。光纤的采用为我们设计高带宽的传输骨干奠定了坚实的物质基础。同时，核心

12、层网络还应该具有高带宽、高可靠性，支持主流协议TCP/IP；支持多服务，如数据、语音、视频等等，提供服务质量保证（QoS）；高安全性；易于扩展和升级，保护投资；易于管理和维护，有较低的总拥有成本。在主干网络上传输的业务主要有MIS应用，它们构成整个企业的管理信息流。各楼层将建设高速局域网，完成接入层功能。该局域网将高速交换机提供高速接口连接核心层主干网络，同时，对每个用户提供网络接入服务，完成到用户桌面的最终连接。全部网络的接入设备应能够提供服务质量保证、安全、流量分类功能。3.2 网络设计原则本方案的总体设计思想是以XX超市所提出的应用系统（MIS）建设总体规划和要求为指导，力求为超市提供一

13、个先进、灵活、可靠、基于标准的多业务网络平台，支持超市降低生产成本，增加市场竞争力；并为满足今后新的业务需求，迅速推出新的业务打好基础。有鉴于此，设计/组建超市网络时应主要遵循以下设计/建网原则；开放和标准考虑到超市未来的企业发展、互联及互操作性的要求，组网采用的网络设备应该支持多种标准化协议，使得内部连接及外部通讯更加方便。先进性和成熟性采用业界先进而又成熟的网络技术和网络设备，能够承载和交换各种信息。可扩展性网络系统的设计既要考虑到用户业务的需求，又要考虑到在市场竞争的环境下，未来企业业务的扩展。因此，在网络技术的选择上，网络设备的选择上，应考虑到未来的升级、扩展。而且，网络总体设计规模应

14、适度超前，建设可以分期进行，各类介入端口按需分期配置。从用户需求情况来看，全网将为超市的各种业务提供各种高速的网络服务，降低企业内部信息交换的成本开支。在未来几年，新型业务发展将成倍增长。这种业务趋势要求网络具有很好的可扩展性，以适应不断增长的业务需求。交换设备的可扩容性从Internet网络的发展来看，网络的容量增长非常迅速。预计在2年内将扩展到Terabits级，因此骨干路由/交换设备应具有千兆容量。端口的可扩容性在网络组建伊始，由于业务量处在发展的初期，端口和模块可以相应配置的较少。随着业务量的不断增长，只要在已有设备上增加模块和端口，已适应业务的需求。因此要求集线器具有较强的端口扩展性

15、，从而使网络适应业务增长的趋势。提供可扩展的多种网络业务随着TCP/IP技术的不断发展，应用越来越多地转移到IP平台上，采用TCP/IP网络技术建立支持多种业务的统一网络平台已经成为一种经济的、高效率的做法。同时充分利用光纤技术和资源，构架新一的企业网。为确保不同的业务得到服务质量保证（QoS），网络交换设备应能够提供QoS和COS功能。高可靠性对于企业网络来说，能够提供可靠的业务是很重要的。特别是在网络环境不太稳定的建网初期，以及自然条件不好的情况下，如何保证网络的可靠性就成为一个极具挑战性的问题。安全体系支持安全监控的控制机制，具有多层次的安全设施。当发现存在安全漏洞和遭到攻击时，应及时通

16、知网络管理人员，并应自动采取适当的措施予以保护。设计实施考虑超市的网络建设，应本着“总体设计/统一实施”的原则，即设计时对全系统各网络及业务系统统一作出考虑；实施的每一个阶段应确定的实施管理目标，网络实施方案应与系统及应用的实施充分考虑衔接和兼容，做到从总体上要统一考虑，保证投资的最大效益。3.3 网络方案描述 超市是一家大型的商品流通企业，所建网络系统主要用于连接超市内部网络，各单位均承载对本企业而言至关重要的信息流。该网络主要为企业的MIS应用，OA应用提供可靠的保证。它的主要特点是：高可靠性/高可用性由于该企业网络所服务的对象是支撑整个企业业务活动的关键应用（Mission-Critic

17、al），因此要求组成网络的主要设备具有相当高的可靠性；同时在网络的整体拓扑结构的设计方面，也必须仔细考虑，使其在某些物理链路故障时，仍能保证不影响应用的运行。可控制性对于企业而言，出于本身业务的特点和要求，往往希望对所建的网络拥有相当的控制/管理能力以满足不同时期、不同应用对这一关键资源的需求。生命力对于投入了大量的人力、物力建设的网络，自然希望它能够尽可能持久地有服务于业务的需求，所以网络所使用/选用的技术及设备，以及所采用的拓扑结构必须能够支持未来至少五至十年的通讯需求的能力/扩充余地。层次性企业网络往往包含多种多样的应用，它们对带宽/可靠性的要求并不完全一样，如：企业关键的数据库在安全，

18、带宽，可靠性，可用性等方面都要大大高于桌面用户的要求；而且，层次化网络也便于管理，便于升级，扩展。弹性的，模块化的设计思想正因为架设企业主干网是一项投资大、周期长的建设，因此在规划、设计及设备选型阶段，必须充分考虑未来需求的成长、技术的升级和投资的保护等等因素，选择具有先进的体系结构，弹性的、模块化的结构，以便容纳未来新型的应用、技术。另外，从投资效益的角度出发，尽可能以统一的硬件/设备来支持多重的通讯需求才是最佳的选择。单一的技术选择难免会有失偏颇，因此，采用模块化的设计思想，综合多重技术，扬长避短，结合实际情况，采用专网、公网相结合的传输方式才能最大限度的发挥投资的效益。3.4 超市网络拓

19、朴结构方案总体设计3.4.1网络拓朴结构图设计说明：根据超市项目的需求和业务系统，我们建议超市的网络：主干主要采用百兆以太网技术。百兆以太网技术最高传输速率为100Mbps，与以太网技术、快速以太网技术向下兼容，而且，百兆以太网交换机具有极高的性能价格比，是目前园区网/企业网的主流选择。网络应用协议应以TCP/IP为主，TCP/IP协议是开放的网络协议，它也是事实上的工业标准，因为众多的生产厂商都支持该标准。基于TCP/IP协议开发的应用程序极为丰富。特别是九十年代以后，随着Internet的爆炸性增长，在Internet上的应用程序如雨后春笋般涌现出来。其中包括IP电话、图象传输、视频点播、

20、电视会议系统等多媒体应用程序。随着技术的发展和应用的丰富，IP 图3-1 网络拓朴结构图设计的服务质量（QoS）也在不断的改善。与ATM网络相比，IP网络的QoS技术发展得更快，应用支持更加丰富。IP协议在未来几年内成为世界上的主流网络协议已经不可阻挡。基于以上考虑，并从超市逐步向连锁体系发展的实际出发，我们建议超市局域网络主要采用DLINK公司的网络设备，整个网络彩以太网技术，不同的层次根据业务需要选用不同的网络设备。在核心层，选用模块化的Dlink公司的百兆交换机作为骨干交换机，构成XX超市网络的主干。企业的关键数据库器，通过百兆直接连到核心集线器上；各区不同部门的桌面计算机或POS机通过

21、10M/100M接入二级百兆集线器上，构成接入层。3.4.2、系统网络结构设计按系统要求并根据超市布线系统的实际情况，网络系统以智能交换机为中心，采用星形结构，组成可动态调整的结构化网络。网络系统主要选用Dlink网络设备，通过路由设备可方便地与银行、税务、INTERNET等互连网络。3.4.3 网络设备配置:交换机配置:Switch(config)#hostname S1将交换机的加密口令设置为passwordS1(config)#enable secret password设置登录虚拟终端线时的口令为 adminS1(config)#line vty 0 15S1(config-line)

22、#loginS1(config-line)#password admin端口双工配置 S1(config)#interface range fastethernet 0/1-24S1(config-if-range)#duplex full端口速度 ：S1(config)#interface range fasternet 0/1-24S1(config-if-range)#speed 100设置交换机S4的端口15端口VLAN10的成员:S4(config)#interface range fastehernet 0/1-5S4(config-if-range)#switchport mod

23、e accessS4(config-if-range)#switchport access vlan 10设置交换机S4的端口615端口VLAN 20 的成员:S4(config)#interface range fastehernet 0/6-15S4(config-if-range)#switchport mode accessS4(config-if-range)#switchport access vlan 20设置交换机S4的端口1620端口VLAN 30 的成员:S4(config)#interface range fastehernet 0/16-20S4(config-if-r

24、ange)#switchport mode accessS4(config-if-range)#switchport access vlan 30依次类推路由器配置:对接入路由器InternetRouter的基本参数的配置步骤交换机的基本参数的配置类似。Route#config terminalRoute(config)#enable secret adminRoute(config-line)#exec-timeout 5 30Route(config-line)#line 0 4Route(config-line)#password abcRoute(config-line)#loginR

25、oute(config-line)#exec-timout 5 30 Route(config-line)#ecit配置各接入路由器的参数:Route(config)#interface fastehernet 0/1Route(config-if)#ip address 192.168.0.254 255.255.255.0Route(config-if)#no shutdownRoute(config-if)#interface serial 0/1Route(config-if)#ip address 193.1.1.1 255.255.255.0Route(config-if)#no

26、shutdown配置各接入路由器端口的参数:Route(config)#ip route 0.0.0.0 0.0.0.0 serial 0/1到企业网内部的路由条目可以经过路由汇总后形成两条路由条目Route(config)#ip route 192.168.10.0 255.255.255.0 192.168.0.254Route(config)#ip route 192.168.70.0 255.255.255.0 192.168.0.254NAT 的配置：定义 NAT 内部、外部接口Route(config)#interface fastehernet 0/1Route(config-i

27、f)#ip address 192.168.0.254 255.255.255.0Route(config-if)#ip nat insideRoute(config-if)#interface serial 0/1oute(config-if)#ip address 193.1.1.1Route(config-if)#ip nat outsideRoute (config)#ip nat inside source static 192.168.0.254 193.1.1.1为其他工作站定义复用地址转换Route(config)#ip nat inside source static 1 i

28、nterface serial 0/1 overload 交换机最大连接数设置：S4(config)#interface fastehernet 0/1-24S4(config-if)#switchport mode accessS4(config-if)#switchport potr-securityS4(config-if)# switchport potr-security maximum 20S1(config-if)# switchport potr-security violation shutdown其余的交换机以此类推交换机端口的地址绑定，可以针对IP地址、MAC地址、IP+

29、MAC进行灵活的绑定。可以实现对用户的严格控制，保证用户的安全接入和防止常见的内网网络攻击。S4(config)#interface gigabitethernet 0/1S4(config-if)#switchport mode accessS4(config-if)#switchport potr-securityS4(config-if)#switchport potr-security mac-adress.ip add-adress 192.168.1.1交换机中各端口具有自动学习地址的功能，通过端口发送和接收的帧的源地址(源MAC地址、交换机端口号)将存储到地址表中。老化时间是一个

30、影响交换机学习进程的参数。从一个地址记录加入地址表以后开始计时，如果在老化时间内各端口未收到源地址为该MAC地址的帧，那么，这些地址将从动态转发地址表（由源MAC地址、目的MAC地址和它们相对应的交换机的端口号）中被删除。S1(config)#interface gigabitethernet 0/1S1(config-if)#switchport potr-security aging time 1S1(config-if)#switchport potr-security aging ststicSNMP 和 SNMPTRAP。 Route(config)#access-list 101

31、dcny udp any any cq snmpRoute(config)#access-list 101 dcny udp any any cq snmptrapRoute(config)#access-list 101 permit ip any anyRoute(config)#interface serial 0/1Route(config-if)#ipn access-grop 101 in对外屏蔽: Route(config)#access-list 101 dcny udp any any cq telnetRoute(config)#access-list 101 permit

32、 ip any anyRoute(config)#interface serial 0/1Route(config-if)#ipn access-grop 101 in任何及其不可以访问总经理的机器：S4(config)#access-list 10 deny ip any anyS4(config)#int vlan 10S4(config-if)#ip access-grop 10 out财务部可以访问销售部：S5(config)#access-list 40 permit 192.168.2.0 0.0.0.255S5(config)#int vlan 40S5(config-if)#i

33、p access-grop 40 out总经理可以访问财务部，销售部和管理部则不可以：S4(config)#access-list 30 permit 192.168.1.0 0.0.0.255S4(config)#access-list 30 deny 192.168.2.0 0.0.0.255S4(config)#access-list 30 deny 192.168.4.0 0.0.0.255S4(config)#int vlan 30S4(config-if)#ip access-grop 30 out因为ftp作为公司的内部信息的流通渠道，为保证本公司的信息安全，公司不希望自己的信息

34、被外界知道，所以要求拒绝外界网络对本公司ftp的访问，只用于内部的访问与交流，而web服务器则都可以访问。配置如下：R (config)#router eigrp 10R (config)#network 200.1.1.0 255.255.255.252R (config)#network 192.168.0.0 255.255.255.252R (config)#access-list 100 permit tcp host 19.168.0.254 host 200.1.1.1 eq ftpR (config)#access-list 100 pwemit tcp any host 20

35、0.1.1.2 eq wwwR(config)#interface s0/1R(config-if)#ip access-group 101 in端口聚合配置:S0(config)#interface range fastethernet0/6-7S0(config-if-range)#prot-group 1S0(config-if-range)#exitS0(config)#interface aggregateport 1S0(config-if)#switchport mode trunkS0(config)#exitS1config)#interface range fastethe

36、rnet0/6-7S1(config-if-range)#prot-group 1S1(config-if-range)#exitS1(config)#interface aggregateport 1S1(config-if)#switchport mode trunk交换机最大连接数设置：S4(config)#interface fastehernet 0/1-24S4(config-if)#switchport mode accessS4(config-if)#switchport potr-securityS4(config-if)# switchport potr-security

37、maximum 20S1(config-if)# switchport potr-security violation shutdown其余的交换机以此类推交换机端口的地址绑定，可以针对IP地址、MAC地址、IP+MAC进行灵活的绑定。可以实现对用户的严格控制，保证用户的安全接入和防止常见的内网网络攻击。S4(config)#interface gigabitethernet 0/1S4(config-if)#switchport mode accessS4(config-if)#switchport potr-securityS4(config-if)#switchport potr-sec

38、urity mac-adress.ip add-adress 192.168.1.1交换机中各端口具有自动学习地址的功能，通过端口发送和接收的帧的源地址(源MAC地址、交换机端口号)将存储到地址表中。老化时间是一个影响交换机学习进程的参数。从一个地址记录加入地址表以后开始计时，如果在老化时间内各端口未收到源地址为该MAC地址的帧，那么，这些地址将从动态转发地址表（由源MAC地址、目的MAC地址和它们相对应的交换机的端口号）中被删除。S1(config)#interface gigabitethernet 0/1S1(config-if)#switchport potr-security agi

39、ng time 1S1(config-if)#switchport potr-security aging ststicSNMP 和 SNMPTRAP。 Route(config)#access-list 101 dcny udp any any cq snmpRoute(config)#access-list 101 dcny udp any any cq snmptrapRoute(config)#access-list 101 permit ip any anyRoute(config)#interface serial 0/1Route(config-if)#ipn access-gr

40、op 101 in对外屏蔽: Route(config)#access-list 101 dcny udp any any cq telnetRoute(config)#access-list 101 permit ip any anyRoute(config)#interface serial 0/1Route(config-if)#ipn access-grop 101 in任何及其不可以访问总经理的机器：S4(config)#access-list 10 deny ip any anyS4(config)#int vlan 10S4(config-if)#ip access-grop 1

41、0 out财务部可以访问销售部：S5(config)#access-list 40 permit 192.168.2.0 0.0.0.255S5(config)#int vlan 40S5(config-if)#ip access-grop 40 out总经理可以访问财务部，销售部和管理部则不可以：S4(config)#access-list 30 permit 192.168.1.0 0.0.0.255S4(config)#access-list 30 deny 192.168.2.0 0.0.0.255S4(config)#access-list 30 deny 192.168.4.0 0

42、.0.0.255S4(config)#int vlan 30S4(config-if)#ip access-grop 30 out因为ftp作为公司的内部信息的流通渠道，为保证本公司的信息安全，公司不希望自己的信息被外界知道，所以要求拒绝外界网络对本公司ftp的访问，只用于内部的访问与交流，而web服务器则都可以访问。配置如下：R (config)#router eigrp 10R (config)#network 200.1.1.0 255.255.255.252R (config)#network 192.168.0.0 255.255.255.252R (config)#access-l

43、ist 100 permit tcp host 19.168.0.254 host 200.1.1.1 eq ftpR (config)#access-list 100 pwemit tcp any host 200.1.1.2 eq wwwR(config)#interface s0/1R(config-if)#ip access-group 101 in端口聚合配置:S0(config)#interface range fastethernet0/6-7S0(config-if-range)#prot-group 1S0(config-if-range)#exitS0(config)#in

44、terface aggregateport 1S0(config-if)#switchport mode trunkS0(config)#exitS1config)#interface range fastethernet0/6-7S1(config-if-range)#prot-group 1S1(config-if-range)#exitS1(config)#interface aggregateport 1S1(config-if)#switchport mode trunkS1(config)#exitVPN的配置：设置内网接口：int s0/0ip address 10.0.0.1

45、255.255.255.0no ip mroute-cacheno fair-queueclockrate 64000crypto map bjmap设置外网接口并指定在该接口上应用配置好的加密图access-list 101 permit ip 172.16.1.0 0.0.0.255 172.16.2.0 0.0.0.255access-list 101 permit ip 172.16.2.0 0.0.0.255 172.16.1.0 0.0.0.255配置访问控制列表指定需要加密的通信在总部上设置完后还需要在分公司进行设置，只有双方在加密等协议方面统一了标准才能正常通讯。crypto

46、isakmp policy 1创建ISAKMP策略，优先级为1encryption des指定ISAKMP策略使用DES进行加密hash sha指定ISAKMP策略使用MD5进行HASH运算authentication pre-share指定ISAKMP策略使用预共享密钥的方式对北京总公司路由器进行身份验证group 1指定ISAKMP策略使用10位密钥的算法lifetime 28800指定ISAKMP策略创建的ISAKMP SA的有效期为28800秒。默认为86400秒。crypto isakmp identity address指定ISAKMP与总部路由器进行身份验证时使用IP地址作为标识。crypto isakmp key cisco123 address 10.0.0.1指定ISAKMP与总部路由器进行身份认证时使用预共享密钥。crypto ipsec transform-set shset esp-des esp-md5-hmac配置IPSec交换集。crypto map shmap 1 ipsec-isakmp创建一个加密图，序号为1，使用ISAKMP协商创建SAset