中小型企业网络方案设计

第一章需求分析

（一）、中小型企业网络特点与要求

中小企业局域网通常规模较小，结构相对简单，对性能的要求则因应用的不同而差别较大。许多中小企业网络技术人员较少，因而对网络的依赖性很高，要求网络尽可能简单、可靠、易用，降低网络的使用和维护成本、提高产品的性能价格比就显得尤为重要。

基于以上特点，应遵循下列设计原则：

1.把握好技术先进性与应用简易性之间的平衡。

2.具有良好的升级扩展能力。

3.具有较高的可靠性和安全性。

4.产品功能与实际应用需求相匹配。

80%的中小企业用户通常只用到局域网20%的功能。精简功能设计的产品不但可以在满足大多数需求的情况下有效降低成本，而且还能够提高系统的稳定性和易维护性。

5.尽可能选择成熟、标准化的技术和产品。

恰当运用以太网的不同标准和功能，以太网技术能够在双绞线、多模光纤、单模光纤等介质上传输数据，可以非常简单地升级到百兆、千兆的速率，而且具有很高的稳定性和可管理性。

以太网提供了多种标准和功能。比如10Mbps、100Mbps、1000Mbps不同速率的标准，双绞线、光纤等不同介质的标准，以及网络管理、流量控制、VLAN、优先级、链路聚合等功能。

第二章典型中小企业组网实例

（一）、案例描述

典型中小企业组网实例，申请一个公网IP和10M带宽，单台路由器，WEB 服务器，通讯机，业务主机等，客户端办公电脑100台左右，多部门划分VLAN，用ACL控制各部门访问权限，配置网络打印机。

（二）、硬件设备

详见excel表《设备配置清单》

序号设备名称规格单位数量单价（元）合价（元）

1 交换机 Cisco 4503

Cisco 2960-48t 台

台 1

2 7400

9300 26000

2 路由器 Cisco 2821 台 1 14500 14500

3 防火墙 Nokia IP355 台 1 34500 34500

………

Cisco Catalyst 4500系列能够为无阻碍的第2/3/4层交换提供集成式弹性，因而能进一步加强对融合网络的控制。可用性高的融合语音/视频/数据网络能够为正在部署基于互联网企业应用的企业和城域以太网客户提供业务弹性。4500系列中提供的集成式弹性增强包括1＋1超级引擎冗余、集成式IP电话电源、基于软件的容错以及1+1电源冗余。硬件和软件中的集成式冗余性能够缩短停机时间，从而提高生产率、利润率和客户成功率。是用于公司企业网络交换机群核心层高性价比的一系列。

Cisco WS-C2960-48T拥有大数量的接口，全智能自动全双工半双工识别，具有用于接入层交换机的良好优势。能够快速转发用户的数据。

Cisco 2821是一台多业务路由器，比较适合中小型企业的需求与应用。

Nokia IP355是一款应用于中小型企业的防火墙产品，能够进行SNMP,Telnet,FTP,SSHv2(安全Telnet&FTP),HTTP 服务器RFC 2068,SSL/TLS RFC 2246,命令行运用的管理和对流量的过滤，对于中小型的安全问题防护性能比较良好。

（三）、 IP地址规划

部门IP地址

公网地址220.156.66.117

路由器内部IP 192.168.0.1/30

核心交换外部IP 192.168.0.2/30

Web服务器192.168.2.1/24

业务主机192.168.2.2/24

通讯机192.168.2.3/24

网络打印机192.168.30.1/24

财务部192.168.40.1/24

设计部192.168.41.1/24

市场部192.168.42.1/24

（四）、网络拓扑

（五）、配置需求及解决方案

为了直观方便，配置需求全部在配置命令中加以单点说明，并且配置命令量大反复，这里只列出重点命令。

1.配置Router

接口：

interface fastethernet0/1

ip address 192.168.0.1 255.255.255.252

duplex auto

speed auto

ip nat inside

no shutdown

interface fastethernet0/2

ip address 220.156.66.117 255.255.255.248

duplex auto

speed auto

ip nat outside

no shutdown

路由：

ip route 0.0.0.0 0.0.0.0 220.156.66.117

过载：

ip nat inside source list 110 interface FastEthernet0/2 overload access-list 110 permit ip 192.168.0.0 0.0.255.255 any

2、配置Core switch

VTP：

VTP Version: 2

Configuration Revision: 7

Maximum VLANs supported locally : 1005

Number of existing VLANs: 9

VTP Operating Mode: Server

VTP Domain Name: OA

VTP Pruning Mode: Disabled

VTP V2 Mode: Enabled

VTP Traps Generation: Enabled

VLAN：

core-sw#vlan database 进入vlan配置模式

core-sw(vlan)#vtp domain OA 设置vtp管理域名称OA

core-sw(vlan)#vtp server 设置交换机为服务器模式

core-sw(vlan)#vlan 10 name shichang 创建VLAN 10，为市场部

core-sw(vlan)#vlan 11 name caiwu 创建VLAN 10，为财务部

core-sw(vlan)#vlan 12 name sheji 创建VLAN 12，为设计部

core-sw(vlan)#vlan 13 name netprinter 创建VLAN 13，为网络打印机core-sw(vlan)#vlan 20 name server 创建VLAN 20，为服务器组core-sw(config)#interface vlan 10

core-sw(config-if)#ip address 192.168.42.254 255.255.255.0

core-sw(config)#interface vlan 11

core-sw(config-if)#ip address 192.168.40.254 255.255.255.0

core-sw(config)#interface vlan 12

core-sw(config-if)#ip address 192.168.41.254 255.255.255.0

core-sw(config)#interface vlan 13

core-sw(config-if)#ip address 192.168.30.254 255.255.255.0

core-sw(config)#interface vlan 20

core-sw(config-if)#ip address 192.168.2.254 255.255.255.0

将接入层SW上的端口根据需要划分至各个VLAN

3、配置ACL

配置ACL 应用在各个部门VLAN接口上，控制各部门互访

access-list 10 permit 192.168.2.0 0.0.0.255