小型局域网建设方案重点Word格式文档下载.docx

1、为加强各公司内各分区的业务和技术 联系，提高工作效率，实现资源共享，降低运作及管理成本，公司有必要建立 企业内部局域网。局域网要求建设基于TCP/IP协议和 WWW技术规范的企业内 部非公开的信息管理和交换平台，该平台以WEB为核心，集成WEB文件共享、 信息资源管理等服务功能，实现公司员工在不同地域对内部网的访问。中小型企业网络方案的主要特点与要求中小企业局域网通常规模较小，结构相对简单，对性能的要求则因应用的不同而差别 较大。许多中小企业网络技术人员较少，因而对网络的依赖性很高，要求网络尽可能简单、 可靠、易用，降低网络的使用和维护成本、提高产品的性能价格比就显得尤为重要。 基于以上特点，

2、应遵循下列设计原则：1.把握好技术先进性与应用简易性之间的平衡。2.具有良好的升级扩展能力。3.具有较高的可靠性和安全性。4.产品功能与实际应用需求相匹配。80%勺中小企业用户通常只用到局域网 20%勺功能。精简功能设计的产品不但可以在满 足大多数需求的情况下有效降低成本，而且还能够提高系统的稳定性和易维护性。5.尽可能选择成熟、标准化的技术和产品。恰当运用以太网的不同标准和功能，以太网技术能够在双绞线、多模光纤、单模光纤 等介质上传输数据，可以非常简单地升级到百兆、千兆的速率，而且具有很高的稳定性和 可管理性。以太网提供了多种标准和功能。比如 10Mb ps 100Mb ps 1000Mb

3、ps不同速率的标准， 双绞线、光纤等不同介质的标准，以及网络管理、流量控制、 VLAN优先级、链路聚合等 功能。典型中小企业组网实例（一）案例描述典型中小企业组网实例，申请一个公网 IP和10M带宽，单台路由器，WE曲艮务器，文件服务器，FTP服务器等，客户端办公电脑100台左右，多部门划分VLAN用ACLg制各 部门访问权限，配置网络打印机。（二） 硬件设备序号设备名称规格单位数量单价（元）合价（元）1交换机Cisco 4503台740026000Cisco 2960-48t29300路由器Cisco 2821145003防火墙Nokia IP 35534500总计75000Cisco Ca

4、talyst 4500 系列能够为无阻碍的第2/3/4层交换提供集成式弹性，因而能进一步加强对融合网络的控制。可用性高的融合语音 /视频/数据网络能够为正在部署基于互联网企业应用的企业和城域以太网客户提供业务弹性。4500系列中提供的集成式弹性增 强包括1 + 1超级引擎冗余、集成式IP电话电源、基于软件的容错以及 1+1电源冗余。硬 件和软件中的集成式冗余性能够缩短停机时间，从而提高生产率、利润率和客户成功率。 是用于公司企业网络交换机群核心层高性价比的一系列。Cisco WS-C2960-48T拥有大数量的接口，全智能自动全双工半双工识别，具有用于接 入层交换机的良好优势。能够快速转发用户

5、的数据。Cisco 2821是一台多业务路由器，比较适合中小型企业的需求与应用。Nokia IP355是一款应用于中小型企业的防火墙产品，能够进行 SNMP,Telnet,FTP,SSHv2（安全 Telnet&FTP）,HTTP 服务器 RFC 2068,SSL/TLS RFC 2246，命 令行运用的管理和对流量的过滤，对于中小型的安全问题防护性能比较良好。（三）IP地址规划部门IP地址公网地址221.195.66.117路由器内部IP172.16.0.1/30核心交换外部IP172.16.0.2/30Wet服务器172.16.2.1/24Ftp服务器172.16.2.2/24文件服务器1

6、72.16.2.3/24网络打印机172.16.30.1/24财务部172.16.40.1/24设计部172.16.41.1/24市场部172.16.42.1/24（四）网络拓扑（五）配置需求及解决方案并且配置命令为了直观方便，配置需求全部在配置命令中加以单点说明, 量大反复，这里只列出重点命令。1.配置 Router : 接口:in terface fastethemetO/1ip address 172.16.0.1 255.255.255.252dup lex autosp eed autoip nat in sideno shutdow nin terface fastethernet

7、0/2ip address 221.195.66.117 255.255.255.248 dup lex autoip nat outside路由：ip route 0.0.0.0 0.0.0.0 221.195.66.117 过载：ip nat in side source list 110 in terface FastEthernetO/2 overload access-list 110 permit ip 172.16.0.0 0.0.255.255 any2.配置 Core switch :VTPVTP Versio n: 2Con figurati on Revisi on: 7

8、Maximum VLANs supported locally : 1005Number of existi ng VLANs: 9VTP Op erati ng Mode: ServerVTP Domai n Name: OAVTP Pruning Mode: DisabledVTP V2 Mode: En abledVTP Traps Gen erati on:VLANcore-sw#vla n databasecore-sw（vla n）#vtp domai n OA core-sw（vla n）#vtp server core-sw（vla n）#vla n 10 n ame shic

9、ha ng core-sw（vla n）#vla n 11 n ame caiwu core-sw（vla n）#vla n 12 n ame sheji core-sw（vla n）#vla n 13 n ame netprin ter core-sw（vla n）#vla n 20 n ame server core-sw（co nfig）#i nterface vla n 10 core-sw（co nfig-if）#ip address 172.16.42.254 255.255.255.0 core-sw（co nfig）#i nterface vla n 11 core-sw（co

10、 nfig-if）#ip address 172.16.40.254 255.255.255.0进入vlan配置模式设置vtp管理域名称OA 设置交换机为服务器模式创建VLAN 10创建VLAN 12创建VLAN 13创建VLAN 20为市场部 为财务部 为设计部 为网络打印机 为服务器组core-sw（co nfig）#i nterface via n 12core-sw（co nfig-if）#ip address 172.16.41.254 255.255.255.0core-sw（co nfig）#i nterface vla n 13core-sw（co nfig-if）#ip ad

11、dress 172.16.30.254 255.255.255.0core-sw（co nfig）#i nterface vla n 20core-sw（co nfig-if）#ip address 172.16.2.254 255.255.255.0将接入层SW上的端口根据需要划分至各个 VLAN3.配置ACL配置ACL应用在各个部门VLAN接口上，控制各部门互访access-list 10 permit 172.16.2.0 0.0.0.255access-list 10 permit 172.16.30.0 0.0.0.255access-list 10 deny 172.16.0.0

12、0.0.255.255access-list 10 p ermit any进入vlan 10ip access-gro up 10 out把访问控制列表10应用于VLAN 10 OUT方向上，市场部内部可以互访，可以访问服 务器网段和网络打印机网段，但不能访问财务部和设计部所在网段。access-list 11 permit 172.16.2.0 0.0.0.255access-list 11 permit 172.16.30.0 0.0.0.255access-list 11 p ermit 172.16.42.0 0.0.0.255access-list 11 deny 172.16.0.

13、0 0.0.255.255access-list 11 p ermit any进入vlan 11ip access-gro up 11 out把访问控制列表11应用在VLAN11 OUT方向上，财务部内部可以互访问，可以访问服 务器网段和网络打印机网络，可以访问市场部网段，但不能访问设计部网段。设计部VLAN 12，网络打印机VLAN 13,服务器VLAN 20可以访问任意网段，应用访问 控制列表access-list 110 在in的方向上，圭寸掉常见病毒端口。access-list 110 deny tcp any any eq 1068access-list 110 deny tcp a

14、ny any eq 2046access-list 110 deny udp any any eq 2046access-list 110 deny tcp any any eq 4444access-list 110 deny udp any any eq 4444access-list 110 deny tcp any any eq 1434access-list 110 deny udp any any eq 1434access-list 110 deny tcp any any eq 5554access-list 110 deny tcp any any eq 9996access-list 110 deny tcp any any eq 6881access-list 110 deny tcp any any eq 6882access-list 11