1、一.網絡需求分析1.中小型企業網絡特點與要求中小企業局域網通常規模較小，結構相對簡單，對性能的要求則因應用的不同而差別較大。許多中小企業網絡技術人員較少，因而對網絡的依賴性很高，要求網絡盡可能簡單、可靠、易用，降低網絡的使用和維護成本、提高產品的性能價格比就顯得尤為重要。基于以上特點，應遵循下列設計原則：1.把握好技術先進性與應用簡易性之間的平衡。 2.具有良好的升級擴展能力。3.具有較高的可靠性和安全性。4.產品功能與實際應用需求相匹配。 80%的中小企業用戶通常只用到局域網20%的功能。精簡功能設計的產品不但可以在滿足大多數需求的情況下有效降低成本，而且還能夠提高系統的穩定性和易維護性。

2、5.盡可能選擇成熟、標準化的技術和產品。恰當運用以太網的不同標準和功能，以太網技術能夠在雙絞線、多模光纖、單模光纖等介質上傳輸數據，可以非常簡單地升級到百兆、千兆的速率，而且具有很高的穩定性和可管理性。以太網提供了多種標準和功能。比如10Mbps、100Mbps、1000Mbps不同速率的標準，雙絞線、光纖等不同介質的標準，以及網絡管理、流量控制、VLAN、優先級、鏈路聚合等功能。 2 中小型企業網的組建背景隨著計算機及局域網絡應用的不斷深入，特別是各種計算機應用系統被相繼應用在實際工作中，各企業、各單位同外界信息媒體之間的相互交換和共享的要求日益增加。需要使各單位相互間真正做到高效的信息交換

3、、資源的共享，為各單位人員提供準確、可靠、快捷的各種生產數據和信息，充分發揮各單位現有的計算機設備的功能。為加強各公司內各分區的業務和技術聯系，提高工作效率，實現資源共享，降低運作及管理成本,公司有必要建立企業內部局域網。局域網要求建設基于TCP/IP協議和WWW技術規范的企業內部非公開的信息管理和交換平臺，該平臺以WEB為核心，集成WEB、文件共享、信息資源管理等服務功能，實現公司員工在不同地域對內部網的訪問。2 設計網絡拓撲圖拓撲結構需求分析公司共8個辦公室處于同一個樓面。針對在技術規格上的特點，我們采用了交換機用星型的拓撲結構，這種拓撲結構的優點是： 1容易實現：它所采用的傳輸介質一般都

4、是采用通用的雙絞線，這種傳輸介質相對來說比較便宜，如目前正品五類雙絞線每米也僅1.5元左右，而同軸電纜最便宜的也要2.00元左右一米，光纜那更不用說了。這種拓撲結構主要應用于IEEE 802.2、IEEE 802.3標準的以太局域網中。2節點擴展、移動方便：節點擴展時只需要從集線器或交換機等集中設備中拉一條線即可，而要移動一個節點只需要把相應節點設備移到新節點即可，而不會像環型網絡那樣“牽其一而動全局”。 3 便于維護：采用星型結構，網絡故障將先以層為單位被定位在不同的交換層面上，隨后在被定位的層面上很快就可以找出發生故障的交換機或節點，這種方法把復雜的維護問題簡單化。 4 采用廣播信息傳送方

5、式：任何一個節點發送信息在整個網中的節點都可以收到，這在網絡方面存在一定的隱患，但這在局域網中使用影響不大。 5網絡傳輸數據快：這一點可以從目前最新的1000Mbps到10G以太網接入速度可以看出。2.1 網絡結構設計無論企業規模大小,企業的網絡層次都應采取核心層（網絡的高速交換主干）、匯聚層（提供基于策略的連接）、接入層（將工作站接入網絡）三個網絡層次的設計理念。使用層次清晰的網絡模式,一是方便日后的升級,二是可以減少維護成本。三層交換與VLAN結合三層交換技術，也稱多層交換技術或IP交換技術，是相對于二層交換技術提出的，因工作在OSI七層網絡標準模型中的第三層而得名。傳統的路由器也工作在第

6、三層，它可以處理大量的跨越IP子網的數據包，但是它的轉發效率比較低，而三層交換技術在網絡標準模型中的第三層實現了分組的高速轉發，效率大大提高。簡單地說，三層交換技術就是“二層交換技術 + 路由轉發”。它的出現，解決了二層交換技術不能處理不同IP子網之間的數據交換的缺點，又解決了傳統路由器低速、復雜所造成的網絡瓶頸問題。 VLAN（Virtual Local Area Network）即虛擬局域網，是一種通過將局域網內的設備邏輯地而不是物理地劃分成一個個不同的網段，從而實現虛擬工作組的技術。它不受網絡用戶的物理位置限制，而是根據用戶需求進行網絡分段。IEEE于1999年頒布了用以標準化VLAN實

7、現方案的802.1q協議標準草案。不同VLAN之間的數據傳輸是通過第三層（網絡層）的路由來實現的，因此，使用VLAN技術，結合數據鏈路層和網絡層的交換設備，可搭建安全可靠的網絡。 劃分VLAN的目的：一是提高網絡安全性，不同VLAN的數據不能自由交流，需要接受第三層的檢驗，因此，在一定程度上加強了虛網間的隔離，有效防止外部用戶入侵，提高了安全性。二是隔離廣播信息，劃分VLAN后，廣播域縮小，有利于改善網絡性能，能夠將廣播風暴控制在一個VLAN內部，同時使網絡管理趨于簡單。三是增強網絡應用的靈活性，VLAN是在一個有多臺交換機的局域網中統一設定的，這使得用戶可以不受所連交換機的限制，不論用戶節點

8、移動到局域網中哪一臺交換機上，只要仍屬于原來的虛網，則應用環境沒有任何改變。在劃分VLAN時，要考慮VLAN對于網絡流量的影響，單個VLAN不宜過大。層次化架構三層網絡 三層網絡架構采用層次化模型設計，即將復雜的網絡設計分成幾個層次，每個層次著重于某些特定的功能，這樣就能夠使一個復雜的大問題變成許多簡單的小問題。三層網絡架構設計的網絡有三個層次：核心層（網絡的高速交換主干）、匯聚層（提供基于策略的連接）、接入層（將工作站接入網絡）。 核心層 核心層是網絡的高速交換主干，對整個網絡的連通起到至關重要的作用。核心層應該具有如下幾個特性：可靠性、高效性、冗余性、容錯性、可管理性、適應性、低延時性等。

9、在核心層中，應該采用高帶寬的千兆以上交換機。因為核心層是網絡的樞紐中心，重要性突出。核心層設備采用雙機冗余熱備份是非常必要的，也可以使用負載均衡功能，來改善網絡性能。 匯聚層 匯聚層是網絡接入層和核心層的“中介”，就是在工作站接入核心層前先做匯聚，以減輕核心層設備的負荷。匯聚層具有實施策略、安全、工作組接入、虛擬局域網（VLAN）之間的路由、源地址或目的地址過濾等多種功能。在匯聚層中，應該采用支持三層交換技術和VLAN的交換機，以達到網絡隔離和分段的目的。 接入層 接入層向本地網段提供工作站接入。在接入層中，減少同一網段的工作站數量，能夠向工作組提供高速帶寬。接入層可以選擇不支持VLAN和三層

10、交換技術的普通交換機2.2 網絡設備的選擇核心層：思科的Cisco Catalyst 3560G-24TS-24-2全千兆三層交換機匯聚層換機選擇：Catalyst 2950-24交換機思科 PIX-501防火墻網段及VLAN的劃分2.3 設備的配置1.核心層交換機vlan的配置結果如下：配置Switch3交換機 設置交換機主機名SwitchenableSwitch#configure tSwitch(config)#hostname S3S3(config)#exit創建VTP管理域，并設置為server模式S3#vlan databaseS3(vlan)#vtp serverS3(vlan

11、)#exit創建VLAN,配置VLAN名，S3#vlan database配置經理辦公室 VLANS3(vlan)#vlan 11 name jinglibangongshi配置財務處VLANS3(vlan)#vlan 12 name caiwuchu配置技術部VLANS3(vlan)#vlan 13 name jishubu配置銷售部VLANS3(vlan)#vlan 14 name xiaoshoubu配置人事部VLANS3#（vlan）#vlan 15 name renshibu配置服務器VLANS3(vlan)#vlan 16 name fuwuqizu配置共享打印機VLANS3(vl

12、an)#vlan 17 name gonxiangdayinji將端口F0/1,F0/2設置為VLAN中繼模式F0/1進入端口配置模式S3#conf tS3(config)#interface fastethernet0/1將端口設置為二層方式S3(config)#switchport封裝dotlq協議S3(config)#switchport trunk encapsulation dot1q設置為trunk模式S3(config)#switchport mode trunkF0/2進入端口配置模式S3#conf tS3(config)#interface fastethernet0/2將端

13、口設置為二層方式S3(config)#switchport封裝dotlq協議S3(config)#switchport trunk encapsulation dot1q設置為trunk模式S3(config)#switchport mode trunk配置VLAN 11接口地址S3(config)#interface vlan 11配置VLAN 12接口地址S3(config)#interface vlan 12配置VLAN 13接口地址S3(config)#interface vlan 13配置VLAN 14接口地址S3(config)#interface vlan 14配置VLAN 15

14、接口地址S3(config)#interface vlan 15配置VLAN 16接口地址S3(config)#interface vlan 16配置VLAN 17接口地址S3(config)#interface vlan 17將F0/3-5端口劃給VLAN 16，只列出F0/3的配置，其余端口的配置與F0/3相同S2(config)#int f0/3設置為訪問模式S2(config-if)#switchport mode access分配給VLAN 16S2(config-if)#switchport access vlan 16接入層交換機Swich1的配置結果如下：進入vtp數據庫S1#

15、vlan database設置vtp域名S1(vlan)#vtp domain myvtpdomain設置vtp模式S1(vlan)#vtp clientS1(vlan)#exitS1#configure terminal配置接口F0/1為中繼接口S1(config)#inter f0/1封裝dotlq協議S1(config-if)#switchport trunk encapsulation dot1p設置為trunk模式S1(config-if)#switchport mode trunk將F0/2端口劃給VLAN 11，只列出F0/2的配置，其余端口的配置與F0/2相同S1(config

16、)#int f0/2設置為訪問模式S1(config-if)#switchport mode access分配給VLAN 11S1(config-if)#switchport access vlan 11將F0/3-4端口劃給VLAN 15，只列出F0/3的配置，其余端口的配置與F0/3相同S1(config)#int f0/3設置為訪問模式S1(config-if)#switchport mode access分配給VLAN 15S1(config-if)#switchport access vlan 15將F0/5-6端口劃給VLAN 12，只列出F0/5的配置，其余端口的配置與F0/5相

17、同S1(config)#int f0/5設置為訪問模式S1(config-if)#switchport mode access分配給VLAN 12S1(config-if)#switchport access vlan 126.3 接入層交換機Switch2的配置結果如下：進入vtp數據庫S2#vlan database設置vtp域名S2(vlan)#vtp domain myvtpdomain設置vtp模式S2(vlan)#vtp clientS2(vlan)#exit配置接口F0/1為中繼接口S2(config)#int f0/1封裝dotlq協議S2(config-if)#switchp

18、ort trunk encapsulation dot1q設置為trunk模式S2(config-if)#switchport mode trunk將F0/2-4端口劃給VLAN 13，只列出F0/2的配置，其余端口的配置與F0/2相同S2(config)#int f0/2設置為訪問模式S2(config-if)#switchport mode access分配給VLAN 13S2(config-if)#switchport access vlan 13將F0/5-6端口劃給VLAN 14，只列出F0/4的配置，其余端口的配置與F0/4相同S2(config)#int f0/5設置為訪問模式S

19、2(config-if)#switchport mode access分配給VLAN 14S2(config-if)#switchport access vlan 14將F0/7端口劃給VLAN 17S2(config)#int f0/7設置為訪問模式S2(config-if)#switchport mode access分配給VLAN 17S2(config-if)#switchport access vlan 172.配置ACL：配置ACL 應用在各個部門VLAN接口上，控制各部門互訪1. 把訪問控制列表11 應用于VLAN 10 OUT方向上，經理辦公室內部可以互訪，可以訪問服務器網段和

20、網絡打印機網段，但不能其他部所在網段。access-list 11 permit access-list 11 permit access-list 11 deny access-list 11 permit any int vlan 11ip access-group 11 out2. 把訪問控制列表12 應用于VLAN 10 OUT方向上，財務部內部可以互訪，可以訪問服務器網段和網絡打印機網段，但不能其他部所在網段。access-list 12 permit access-list 12 permit access-list 12 deny access-