毕业论文-企业网络规划设计方案

毕业设计（论文）

题目 “红五环集团”网络规划设计方案

专业班级 计网0901

学 号 0930343132

姓 名

指导教师 周尤明

20 年 月 日

摘 要

迅速发展的Internet正在对全世界的信息产业带来巨大的变革和深远的影响。市场的全球化竞争已成为趋势。对于企业来说，在调整发展战略时，必须考虑到市场的全球竞争战略，而这一切也将以信息化平台为基础，借助计算机网络原理及网络规划技术，以网络通畅为保证。

企业内部网（Internet）是国际互联网（Internet）技术在企业内部或封闭的用户群内的应用。Internet是使用Internet技术，特别是TCP/IP协议而建成的企业内部网络。这种技术允许不用计算机平台进行互通，暂不用考虑其位置。也就是所说的用户可以对任何一台进行访问或从任何一台计算机进行访问。

本文从企业网络需求开始分析，根据现阶段cisco公司主流网络设备进行选材，规划最适用于目标网络的拓扑结构，建设合理的网络设计方案。本课题实施部分由GNS3模拟器来搭建网络拓扑结构，利用cisco设备操作系用unzip-c2691-advsecurityk9-mz.124-11.T2作为拓扑内所有设备核心IOS，然后用SecureCRT进行路由器交换机的相关配置，并测试其结果最终验证网络的规划与设计符合企业的需求。

关键词：企业网络；拓扑结构；冗余；路由；交换

目 录

1. 引言 ..................................................................................................................................... 1

1.1 项目背景 .................................................................................................................... 1

1.2 组建企业网的流程 .................................................................................................... 1

1.3 组建企业网需要注意的几个问题 ............................................................................ 3

2. 需求分析 ............................................................................................................................. 4

2.1 工程项目概况 ............................................................................................................ 4

2.2 信息点分布 ................................................................................................................ 5

2.3 需求分析 .................................................................................................................. 6

2.3.1 网络环境需求分析 ........................................................................................ 6

2.3.2 公司子网需求 ................................................................................................ 6

2.3.3 交换机路由器的配置以及VLAN的需求划分 ........................................... 7

2.3.4 安全性需求分析 ............................................................................................ 9

2.3.5 管理需求分析 ................................................................................................ 9

2.4 设备要求 .................................................................................................................. 10

2.4.1 客户端计算机的需求分析和定位选购 ...................................................... 10

2.4.2 交换机的需求分析和定位选购 .................................................................. 14

3. 组网原则 ........................................................................................................................... 19

4. 网络方案设计 ................................................................................................................... 21

4.1 网络拓扑结构介绍 .................................................................................................. 21

4.2 公司建筑物理图 ...................................................................................................... 22

4.3 布线逻辑方案 .......................................................................................................... 22

4.3 网络拓扑图 .............................................................................................................. 24

4.4 骨干核心层网络设计 .............................................................................................. 24

4.4.1 骨干核心层网络设计 .................................................................................. 24

4.4.2 核心层网络设计 .......................................................................................... 25

4.4.3 汇聚层网络设计 .......................................................................................... 25

4.4.4 接入层网络设计 .......................................................................................... 26

4.4.5 广域网互联设计 .......................................................................................... 26

4.4.6 冗余设计 ...................................................................................................... 27

4.4.7 IP地址规划原则 ......................................................................................... 28

4.5 方案特点 .................................................................................................................. 29

5. 工程实施 ........................................................................................................................... 30

5.1 网络布线系统的实施 .............................................................................................. 30

5.1.1 布线系统总体结构设计 .............................................................................. 30

5.1.2 工作区子系统设计 ...................................................................................... 30

5.1.3 水平子系统设计 .......................................................................................... 30

5.1.4 管理子系统设计 .......................................................................................... 31

5.1.5 干线子系统设计 .......................................................................................... 31

5.1.6 设备间子系统设计 ...................................................................................... 31

5.1.7 建筑群子系统设计 ...................................................................................... 31

5.2 防病毒系统的安装与配置 ...................................................................................... 31

结束语 ...................................................................................................................................... 35

致谢 .......................................................................................................................................... 36

参考文献 .................................................................................................................................. 37

附录 .......................................................................................................................................... 38

1. 引言

1.1 项目背景

企业网指的是具有一定规模的网络系统，它可以是单座建筑的局域网，也可以是覆盖一个园区的园区网，还可以是跨地区的广域网，其覆盖的范围可以是数公里/数百公里甚至更广。

企业网是针对企业的特殊需求而构造的高效而又经济的信息传输和失误处理系统，能满足企业高效运作的需求。企业网的建设目标是以信息技术为收短，把分布在不同地点的现有资源迅速结合成一种没有（或几乎没有）时间和空间约束，靠电子手段联系的统一指挥的经营实体，从而达到企业生存和发展的高效性、稳定性和长期性。这样可以支撑企业信息系统的运作，共享各种资源，提高企业办公和集团生产效率，降低企业的总体运行费用。

为了适应业务的发展和国际化的需求，积极参与国家信息化进程，提高管理水平，发展全新的形象，公司准备建立一个现代化的机构内部网络，实现信息的共享、协作和通讯，并和属下各个部门互联，并在此基础上开发建设现代化的企业应用系统，实现智能型、信息化、快节奏、高效率的管理模式。

1.2 组建企业网的流程

企业网络是一项涉及面广、技术复杂、周期比较长的系统工程。设计及实施管理人员必须在需求分析、系统规划、方案设计、方案实施、测试验收、管理维护等各个环节上按照技术规范和施工要求严格把关，确保质量。整个网络工程的建设一般包含了一下五个阶段：

1) 构思阶段

主要工作包含：

一、对同行业相关企业的网络系统情况进行调查和对本企业的网络系统需求进

行摸底调查。

二、对企业网络系统的初步规划。

三、资金的预算落实情况，参与网络组建的部门、供应商、人员的组织管理。

2) 方案设计阶段

发难设计阶段的主要工作包含：

一、完成组建网络需求报告的编写。

二、完成组建网络的详细方案，包括计算机系统详细设计方案、网络系统详细

方案、应用软件系统详细设计方案以及布线系统详细设计方案等。

三、确定供应商（硬件、软件供应商）进行商务方案确定及报价、谈判。

四、提交设计方案及预算企业决策者进行审评、修正。

3）工程实施阶段

工程实施阶段的主要工作包含:

A、 资金的落实，施工部门的工作人员到位。

B、 与供应商签署有关合同，并将付诸实施。

C、 与供应商一起完成设备订货，包括主机系统、网络设备、布线系统等系统

硬件，已经网络配件、数据库、应用软件等等系统软件。

D、 设备验收。

E、 布线系统的施工。

F、 主机系统与相关应用软件系统的安装。

G、 系统及应用的分配。

H、 人员及使用的培训。

I、 系统的调节、测试和运行。

J、 系统验收

4）测试验收

A、计算机硬件设备及系统软件的测试验收；

B、网络硬件设备及配套软件的测试验收；

C、计算机系统和网络系统的集成测试验收；

D、最终验收；

E、后期保养服务的合同约定；

5）管理维护

1.3 组建企业网需要注意的几个问题

在组建企业网络时，工作人员与供应商应达到良好的共同交流，对施工中的布线和设备安装的运行情况惊醒实时监视，以便发现问题、解决问题。

在系统硬件和网络设计中，应为各种设备留有足够的扩充余地。

公司网络维护，单位公司网络故障，怎样组建网络应该注意什么，网络办公，OA组建，武汉电脑回收

为了能更好的使用和延长服务器的使用寿命，定期的对服务器进行维护是非常必要的。但是，在维护服务器的时候一定要小心的处理好维护的工作，否则出现错误的话就会影响很大。为了方便大家在维护中了解一些维护内容的同时又能避免出现错误。下面就收集了一些资料供大家参考。

1、储存设备的扩充余地

当资源不断扩展的时候，服务器就需要更多的内存和硬盘容量来储存这些资源。所以，内存和硬盘的扩充是很常见的。增加内存前需要认定与服务器原有的内存的兼容性，最好是同一品牌的规格的内存。如果是服务器专用的ECC内存，则必须选用相同的内存，普通的SDRAM内存与ECC内存在同一台服务器上使用很可能会引起统严重出错。在增加硬盘以前，需要认定服务器是否有空余的硬盘支架、硬盘接口和电源接口，还有主板是否支持这种容量的硬盘。尤其需要注意，防止买来了设备却无法使用。

2、设备的卸载和更换

卸载和更换设备时的问题不大，需要注意的是有许多品牌服务器机箱的设计比较特殊，需要特殊的工具或机关才能打开，在卸机箱盖的时候，需要仔细看说明书，不要强行拆卸。另外，必须在完全断电、服务器接地良好的情况下进行，即使是支持热插拔的设备也是如此，以防止静电对设备造成损坏。

3、除尘

尘土是服务器最大的杀手，因此需要定期给服务器除尘。对于服务器来说，灰尘甚至是致命的。除尘方法与普通PC除尘方法相同，尤其要注意的是电源的除尘。

2. 需求分析

2.1 工程项目概况

红五环集团为了加快信息化建设，新的集团企业网将建设一个以集团办公自动化、电子商务、业务综合管理、多媒体视频会议、远程通讯、信息发布及查询为核心，以现代网络技术为依托，技术先进、扩展性强，将集团的各种办公室、多媒体会议室、PC终端设备、应用系统通过网络连接起来，实现内、外沟通的现代化计算机网络系统。该网络系统是支持办公自动化、供应链管理、ERP以及各应用系统运行的基础设施，为了确保这些关键应用系统的正常运行、安全和发展，系统必须具备如下的特性：

1、 采用先进的网络通信技术完成集团企业网的建设，实现各分公司的信息化；

2、 在整个企业集团内实现所有部门的办公自动化，提高工作效率和管理服务水平；

3、 在整个企业集团内实现资源共享、产品信息共享、实时新闻发布；

4、 在整个企业集团内实现财务电算化；

5、 在整个企业集团内实现集中式的供应链管理系统和客户服务关系管理系统；

公司组织结构图2.1如下：

图2.1 公司组织结构图

如图所示是该公司的只能分布图，董事长，总经理，公司分为财务部，车间A，车间B，人事部，销售部。其中车间A和车间B分车间办公，研发部，质检部。人事部分行政部和人力资源部。其中总经理一下只能部分只想总经理进行工作汇报，总经理只向董事长进行工作汇报。

2.2 信息点分布

该公司是通过职能部门进行不同的信息点分布，其中按照每个部门的需求，来决定分布的数量，其中有一部分属于备用点。还有各部门距离网络中心的距离。通过这个表格，我们可以清晰的分析整个公司的信息点还有各部门的距离计算预算。一下是对公司信息点的分析，如下表所示：

表2.1 司信息点分析表

2.3 需求分析

适应企业信息化的发展，满足日益增长的通讯需求和网络的稳定运行，今天的企业网络建设比传统企业网络建设提出更高的要求，主要表现在如下几个方面：

2.3.1 网络环境需求分析

随着企业各种业务应用逐渐转移到计算机网络上来，网络通讯的无中断运行已经成为保证企业正常的生产运营的关键。现代企业网络在可靠性设计方面主要应从三方面考虑：首先是设备级可靠性设计，这里不仅要考察网络设备是否实现了关键部件的冗余备份，还要从网络设备整体设计架构、处理引擎种类等多方面去考察；其次是业务的可靠性设计，这里要注意网络设备在故障倒换过程中是否对业务的正常运行有影响；再次是链路的可靠性设计，以太网的链路安全来自于它的多路径选择，所以在企业网络建设时要考虑网络设备是否能够提供有效的链路自愈手段和快速重路由协议的支持。

2.3.2 公司子网需求

为了提高IP地址的使用效率，引入了子网的概念。将一个网络划分为子网：采用借位的方式，从主机位最高位开始借位变为新的子网位，所剩余的部分则仍为主机位。这使得IP地址的结构分为三级地址结构：网络位、子网位和主机位。这种层次结构便于IP地址分配和管理。它的使用关键在于选择合适的层次结构--如何既能适应各种现实的物理网络规模，又能充分地利用IP地址空间。子网的划分主要是根据子网掩码来

区分的，掩码的作用就是用来告诉电脑把“大网”划分为多少个“小网”，以及每个子网中的主机数目。如表2.2所示，公司子网的划分。

表2.2 公司子网的划分表

2.3.3 交换机路由器的配置以及VLAN的需求划分

1、交换机的配置

交换机支持Web浏览器的配置方式，设置交换机管理IP地址，设置用户及管理密码；

2、路由器的配置

路由器支持Web浏览器的配置方式，逐一设置接入WAN口设置、用户及管理密码、LAN口设置、安全设置、过滤规则、VPN配置、信息加密配置等等；

3、VLAN的划分

VLAN（Virtual Local Area Network）称为虚拟局域网，是指在逻辑上将物理的LAN分成不同小的逻辑子网，每一个逻辑子网就是一个单独的播域。简单地说，就是将一个大的物理的局域网（LAN）在交换机上通过软件划分成若干个小的虚拟的局域网（VLAN）。因为交换机通信的原理就是要通过“广播”来发现通往的目的MAC地址，以便在交换机内部的MAC数据库建立MAC地址表，而广播不能跨越不同网段。

VLAN技术的出现，使得管理员根据实际应用需求，把同一物理局域网内的不同用户逻 辑地划分成不同的广播域，每一个VLAN都包含一组有着相同需求的计算机工作站，与物理 上形成的LAN有着相同的属性。由于它是从逻辑上划分，而不是从物理上划分，所

以同一个 VLAN内的各个工作站没有限制在同一个物理范围中，即这些工作站可以在不同物理LAN网段 。由VLAN的特点可知，一个VLAN内部的广播和单播流量都不会转发到其他VLAN中，从而有助于控制流量、减少设备投资、简化网络管理、提高网络的安全性。 VLAN除了能将网络划 分为多个广播域，从而有效地控制广播风暴的发生，以及使网络的拓扑结构变得非常灵活的优点外，还可以用于控制网络中不同部门、不同站点之间的互相访问。

通过划分VLAN子网，能划小了广播域，避免了数据碰撞在大的物理LAN内产生严重后果的可能，也避免了广播风暴的产生。提高交换网络的交换效率，保证网络稳定。提高网络安全性，通过划分VLAN，LAN被划分不同子网段，因此不能直接通信。必要的通信必须经过路由来实现，因此可在路由器（或三层交换机）上配置访问列表来进行跨子网段的授权访问，从而提高公司内部网络访问的安全性。方便网络管理：采用VLAN技术来划分公司网络，一个VLAN可以根据不同的部门、办公室或者服务器组将不同地理位置的工作站划分为一个逻辑网段。在不改动网络物理连接的情况下可以任意地将工作站在子网之间移动，VLAN提供了网段和机构的弹性组合机制。VLAN技术很好的解决了网络管理的问题，能实现网络监督与管理的自动化，从而更有效的进行网络监控。

采用基于MAC地址的VLAN划分。这种划分VLAN的方法是根据每个主机的MAC地址来划分，即对每个MAC地址的主机都设置他属于哪个组。这种划分VLAN方法的最大好处就是当用户物理位置移动时，即从一个交换机换到其他的交换机时，VLAN不用重新设置，所以，能认为这种根据MAC地址的划分方法是基于用户的VLAN。如表下所示，该公司内部网络Vlan的划分及IP的分配。

表2.3 公司vlan的划分及IP的分配表

另外，IP地址分为公网地址和私网地址两类，公有地址（Public address）由Inter NIC（Internet Network Information Center 因特网信息中心）负责。这些IP地址分

配给注册并向Inter NIC提出申请的组织机构。通过它直接访问因特网。ISP分配给公司的全局IP地址地址段为: 202.106.0.3 --202.106.0.200/24.,私有地址（Private address）属于非注册地址，专门为组织机构内部使用。以下列出留用的内部私有地址

A类 10.0.0.0--10.255.255.255 B类 172.16.0.0--172.31.255.255 C类 192.168.0.0--192.168.255.255

2.3.4 安全性需求分析

传统企业网络的安全措施主要是通过部署防火墙、IDS、杀毒软件以及配合交换机或路由器的ACL来实现对于病毒和黑客攻击的防御，但实践证明这些被动的防御措施并不能有效的解决企业网络的安全问题。在企业网络已经成为公司生产运营的重要组成部分的今天，现代企业网络必须要有一整套从用户接入控制，病毒报文识别到主动抑制的一系列安全控制手段，才能有效的保证企业网络的稳定运行 2.3.5 管理需求分析

当前的网络已经发展成为“以应用为中心”的信息基础平台，网络管理能力的要求已经上升到了业务层次，传统的网络设备的智能已经不能有效支持网络管理需求的发展。所以现代的大型企业网络迫切需要网络设备具备支撑“以应用为中心”的智能网络运营维护的能力，并能够有一套智能化的管理软件，将网络管理人员从繁重的工作中解脱出来。比如ERP系统。

要求计算机应用系统能处理大信息量的传输和计算；要求易于用户管理、界面简单、逻辑清晰；满足用户使用网络系统的运行质量，提高网络运行速度；要求采用千兆以太网作为主干的网络技术，提供标准化的高速度主干网连接，并在未来可以升级到IP，可以在同一个网络中支持多种服务质量，以支持目前和未来的应用和服务为标准。允许网络集成，使用三层交换来代替路由，能实现与广域网的集成功能；网络中使用的设备、技术和协议完全符合国际通用的标准，兼容现有的网络环境，提供良好的互联性；要求网络提供足够的带宽，丰富的接口形式，满足用户对应用带宽的基本要求，并保留一定的余量供扩展使用，最大可能地降低网络传输延迟；要求网络有很高的可靠性、稳定性

及冗余，网络能够提供良好的安全性策略，能避免内部操作失误造成的损害和来自外部的恶意攻击。

2.4 设备要求

根据集团的网络功能需求和实际的布线系统情况，楼层接入设备需要选择同一型号的设备;子公司主交换机可以根据需要通过堆叠方式进行灵活的升级扩容;核心交换机需要具有升级到720Gbps可用背板带宽的能力。网络设备必须在技术上具有先进性、通用性，必须便于管理、维护，应该满足集团现有计算机设备的高速接入，应该具备良好的可扩展性、可升级性，保护用户的投资。网络设备在满足功能与性能的基础上必须具有良好的性价比。网络设备应该选择拥有足够实力和市场份额的厂商的主流产品，同时设备厂商必须要有良好的市场形象与售后技术支持。 2.4.1 客户端计算机的需求分析和定位选购

经过集团内各公司所提交的需求表的反馈，确认集团共需客户端计算机的PC数量是300套；根据业务的需求分析，从硬件划分为三种配置：

1）普通办公PC：适用于财务部、人事、生产等普通办公部门的应用，无需独立显卡，标配主流的CPU、内存、硬盘、网卡、LCD显示器。 总数量150台。

2）研发部门PC：适用于技术、设计、绘图等办公部门的应用，考虑其业务要求，需选购比现主流标配的性能更优越的硬件性能，需配置256MB显存以上的独立显卡。总数量50台。

3）销售部门PC，适用于生产车间等复杂环境的应用，无需独立显卡，需增强的散热系统，良好的工业环境工作能力，标配主流的CPU、内存、硬盘、网卡、显示器。总数量100台。

客户端计算机的定位选购 1）普通办公PC：

定位现市场中较为成熟的产品 戴尔DELL OptiPlex GX270(DELL OptiPlex GX270)

图2.2 戴尔DELL OptiPlex GX270

其配置如下：

PU 系列：Intel 奔腾4

CPU 型号：支持超线程技术，512K高级 标称频率：2800MHz

主板芯片：英特尔865G+ICH5架构 内存大小：512MB

内存描述：4个DIMM内存插槽 硬盘容量：80GB 光驱类型：DVD-ROM 显示器大：15英寸 显示器描：液晶 显卡类型：集成

声卡描述：集成AC 97声频

键盘描述：Dell入门级QuietKey 静音键 网卡描述：集成英特尔 Pro/1000 MT 鼠标描述：Dell双键PS/2鼠标 其他端口：8个USB 2.0接口 初步价格：￥6000

GX270做工精良，性能稳定，配搭合理，能完全满足普通办公PC的业务需求；

2.8GMHz的CPU和512MB内存能满足用户今后数年普通PC办公业务中的主流软件运行需求。

80GB的硬盘空间，在网络NAS存储系统的配合下，基本上能满足用户今后数年间的数据存储需求。

15寸的显示器（1200元）在与17寸（1900元）价格比上有较大的价差，考虑其性价比，优先考虑15寸液晶显示器；

集成的声卡/显卡，4个PCI插槽，基本可以满足用户今后数年的业务需求； 2U- 8.89CM厚度的机箱，解决公司办公桌狭小的问题，员工可以充分利用节省下来的物理空间；

三年的无限7x24 免费硬件保养服务，12小时响应到位服务能有效地降低IT的维护成本，减少故障解决时间。

2）研发部门PC：

戴尔

DELL OptiPlex GX270(DELL OptiPlex GX270)

图2.3 戴尔DELL OptiPlex GX270

其配置如下：

PU 系列：Prescott LGA775

CPU 型号：支持超线程技术，1024K高级 标称频率：3000MHz 主板芯片：英特尔915 内存大小：1024 MB

内存描述：4个DIMM内存插槽 硬盘容量：160GB

显示器大：17英寸 显示器描：液晶

显卡类型：5200 FX 256MB独立显卡 声卡描述：集成AC 97声频

键盘描述：Dell入门级QuietKey 静音键 网卡描述：集成英特尔 Pro/1000 MT 鼠标描述：Dell双键PS/2鼠标 其他端口：8个USB 2.0接口 初步价格：￥8000

此配置具有1G内存和256MB显存独立显卡，17寸液晶显示器能很好的满足用户的设计用途；

3）生产车间PC： 戴尔

DELL Dimension 2400

图2.4 戴尔DELL Dimension 2400

其配置如下：

CPU 型号：Intel Celeron，512K 标称频率：2400MHz 主板芯片：英特尔865GV 内存大小：512 MB

内存描述：4个DIMM内存插槽 硬盘容量：80GB

显示器大：17英寸 显示器描：纯平 显卡类型：集成

声卡描述：集成AC 97声频

键盘描述：Dell入门级QuietKey 静音键 网卡描述：集成英特尔 Pro/1000 MT 鼠标描述：Dell双键PS/2鼠标 其他端口：6个USB 2.0接口 初步价格：￥4000

此配置能满足生产车间的使用，Dimension 2400长期的无故障工作时间能适应各种复杂环境的使用，4U的机箱实现良好的散热功能，成熟低廉的17寸的纯平显示器节省不少的费用；

2.4.2 交换机的需求分析和定位选购

红五环集团交换机需求如下：

1）主交换机支持三层交换技术，智能化，支持WEB可管理； 2）传输速率> 100Mbps；

交换机选购需参考的数据如下：端口数量、 端口速率 、机架插槽数和扩展槽数 、背板带宽 、支持的网络类型 、支持的物理地址数量 、最大可堆叠数 、可网管性 、支持的协议和标准。

选购方案如下：

1）主交换机3COM SuperStack 3 Switch 4400SE(3C17206)

图2.5 SuperStack 3 Switch 4400SE

产品类型 快速以太网交换机

网络标准 10BASE-T IEEE 802.3，100BASE-TX IEEE 802.3u；IEEE 802.3x Flow Control for Full-Duplex operatio

传输速率（Mbps） 10/100 交换方式 存储-转发 交换容量（Gpbs） 8.8 交换容量范围 4-7.99Gbps 支持全双工 是

网管支持 SNMP管理信息库(MIB)II，SNMP MIB扩展，桥接MIB(RFC 1493) 堆叠支持 固定式/堆叠式 端口类型 10Base-T/100Base-TX 端口数 24

端口数范围 24-50口以下 电压(V) 220 功率（W） 75

工作温度（℃） 0 - 40 工作湿度 10% - 90% 存储温度（℃） -40 - 70 存储湿度 5% - 95% 重量（Kg） 2.8 长度（mm） 440

宽度（mm） 274 高度（mm） 44

2）次交换机

3COM SuperStack 3 Switch 4400SE(3C16455C)

图2.6 SuperStack 3 Switch 4400SE

产品类型 快速以太网交换机

网络标准 IEEE 802.3, 802.3u, 802.3ab 传输速率（Mbps） 10/100 交换方式 存储-转发 交换容量（Gpbs） 8.8 交换容量范围 8-15.99Gbps 支持全双工 是

网管支持 SNMP管理信息库(MIB)II，SNMP MIB扩展，桥接MIB(RFC 1493) 堆叠支持 固定式/堆叠式 端口类型 10Base-T/100Base-TX 端口数 24

端口数范围 24-50口以下 电压(V) 220 功率（W） 75

工作温度（℃） 0 - 40 工作湿度 10% - 90% 存储温度（℃） -40 - 70 存储湿度 5% - 95%

重量（Kg） 2.8

长度（mm） 274

宽度（mm） 440

高度（mm） 44

3）部门级次交换机：

TP-LINK TL-SF1016

图2.7 TP-LINK TL-SF1016

交换机类型 机架式百兆以太网交换机

传输速率 10/100Mbps

应用层级 二层

交换方式 存储-转发

背板带宽 3.2Gbps

包转发率 10Mbps:14880pps

100Mbps:148800pps

端口结构 固定端口

MAC地址表 8K

VLAN功能 不支持VLAN

网络参数 网络标准 IEEE 802.3、IEEE 802.3u、IEEE 802.3x

传输模式 全/半双工自适应

网管功能 无

堆叠功能 不可堆叠

端口参数 接口数量 16个

接口类型 10/100M自适应RJ45端口

其它 其他功能 支持端口自动翻转(Auto MDI/MDIX)

支持MAC地址自学习

19英吋标准机架钢壳结构设计

内置通用电源

是否支持全双工 全双工

网管支持 非网管型

电气规格 电源电压 100-240VAC, 50/60Hz

额定功率 7W

外观参数 LED指示灯 Link/Act

重量 2kg

长度 440mm

宽度 180mm

高度 44mm

环境参数 工作温度 0 - 40℃

工作湿度 10% - 90%

工作高度 3000m

存储温度 -40～70℃

存储湿度 5% - 95%

存储高度 6000m

3. 组网原则

将计算机网络系统集成为一体化的综合信息网络；系统符合用户当前和长远的通信要求；系统遵循国际国内标准；系统采用国际标准（EIA/TIA568A标准）建议的分层星形拓朴结构；系统要立足开放原则，既支持集中式网络又支持分布式网络系统,如CLIENT/SERVER；系统的信息出口采用标准的RJ45插座，以支持大型文档、话音、数据、图像等的传输；系统支持各种不同类型、不同厂商的计算机和网络产品；系统应符合综合业务数字网络ISDN的要求，以便于与国际、国内其它网络互联；系统支持楼宇控制、保安监控系统等。

实用性

系统的软硬件设计都应该以使用为第一宗旨，在系统充分适合企业信息化要求的基础上进而再考虑其他性能。该系统的内容很多，必须能将各种软件和硬件设备有效的集成在一起，以发挥最大作用，协调一致进而进行高效的工作。

标准性

任何事物都有一定的标准，而系统只有合乎标准而且具有一定的开放性，才能与其他开放性系统一起协同工作，在网络中采用的硬件设备及软件产品应该支持国际工作标准或事实上的标准，以便能和不同厂家的开放性产品在同一网络中同时共存。通信中应采用标准的通信协议以使不同的操作系统与不同的网络系统及不同的网络之间顺利进行通讯。

安全性

系统应该充分的考虑其先进性和安全性，不能一味的追求实用而忽略了先进和安全，只有将当今社会先进的技术和实用相结合，才能获得最大的性能和效益。网络安全是至关重要的一点，在某些情况下即使一些功能不能实现也必须要保证系统的安全性。

可靠性

作为信息系统基础的网络结构和网络设备的配置及带宽应能充分地满足网络通信的需要。网络硬件体系结构在实际应用中能经过较长时间的考验，在运行速度和性能上都应是稳定可靠的、拥有完善的、实用的解决方案，并通到较多的第三方开发商和用户在全球的广泛支持和使用。同时，应从长远的技术发展来选择具有很好前景的、较为先进的技术和产品，以适应系统未来的发展需要。可靠性也是衡量一个计算机应用系统的

重要标准之一。在确保系统网络环境中单独设备稳定、可靠运行的前提下，还需要考虑网络整体的容错能力、安全性及稳定性，使系统出现问题和故障时能迅速地修复。一个高可用性的系统才能使用户的投资真正得到回报。

可维护管理性

整个信息网络系统中的互连设备，应是使用方便、操作简单易学，并便于维护。网络所选的网络设备应支持多种协议，管理员能方便进行网络管理、维护甚至修复。在设计和实现时，必须充分考虑整个系统的便于维护性，以使系统万一发生故障时能提供有效手段及时进行恢复，尽量减少损失。

可扩展性

系统的软硬件都会有升级换代的可能，采用的产品应该要遵循大众化的标准，以便不同的设备能接连入网，以满足系统规模扩充的要求。

成本合理性

为了使所实现系统能够在应用发生变化的情况下保护原有的开发投资，在设计系统时，应将系统按功能做成模块化的，可根据需要增加和删除功能模块，尽量的达到以合理的成本达到最高质量的系统开发。

4. 网络方案设计

4.1 网络拓扑结构介绍

在此次系统设计中，我们采用分层设计方法，将网络的逻辑结构化整为零，分层讨论设计与实现的细节问题。将网络拓扑结构划分为3个层次，即核心层、汇聚层和接入层。

采用分层设计方法的好处：

1、节约成本

流量从接入层流向核心层时，被收敛在高速的链接上；流量从核心层流向接入层时，被发散到低速链接上，因此接入层路由器可以采用较小的设备。在采用分层设计方法之后，各层次负责不同的数据传送，不再需要同时考虑同一个问题。层次模型模块化的特性使网络中的每一层都能够很好地利用带宽，减少了对系统资源的浪费。

2、易于理解

采用分成设计方法设计出来的网络拓扑结构层次结构清楚，结晰，可以在不同层次上实施不同难度的管理，降低了管理的成本。

3、易于扩展

分层设计方法设计出来的层次模块化更有利于系统的扩展。

4、易于排错

层次模块化能够使网络拓扑结构分解成易于理解的子网结构，管理者能够更方便的确定网络故障的范围，从而更快的排出网络故障。

4.2 公司建筑物理图

图4.1 司的建筑物理分部图

如图4.1示，公司建筑物理图，公司各部门董事长室，总经理室，财务室，茶水间，卫生间，会议室，机房，网管室，人事部，车间A，车间B，等分布一目了然，通过这张图片，可以进行网络布线的系统逻辑的方案设计，以最低的开支，完成最大限度的利用。

4.3 布线逻辑方案

布线只要采取外线进入公司机房然后星形对外布线，如下图4.9所示：

图4.2 布线逻辑分布方案图

图4.2示，是公司布线逻辑分布图，电信网络通过防火墙，进入通过公司路由设备，然后由主交换机，分配到各服务器，各领导办公室，无线路由设备，办公区交换机1，办公区交换机2，然后通过办公区交换机1分配到各办公区1，办公区交换机2分配到各办公区2，由此来实现整个公司网络井然有序的工作。

4.3 网络拓扑图

图4.3 网络拓扑图

图4.3示，是公司网络拓扑图，红色上面虚线为外网接入，红色部分是防火墙，由防火墙进入到主交换机，然后由主交换机分配到各个分交换机，再由各个分交换机分配到分配到各个部门的电脑，通过这个图，可以清晰的了解到整个公司的网络分布。

4.4 骨干核心层网络设计

4.4.1 骨干核心层网络设计

网络核心层的主要工作是交换数据包，核心层的设计应该注意以下两点:

1)不要在核心层执行网络策略：所谓策略就是一些设备支持的标准或系统管理员定制的规划。

牢记核心层的任务是交换数据包，应尽量避免增加核心层路由器配置的复杂程度，因为一旦核心层执行策略出错将导致整个网络瘫痪。

2）核心层的所有设备应具有充分的可到大性：可到达性是指核心层设备具有足够的路由信息来智能地交换发往网络中任意目的地的数据包。

在具体设计中，当网络很小时，通常核心层只包含一个路由器，该路由器与汇聚层上所有的路由器相连。

在骨干核心层中，我们采用数台BROCADE SilkWorm 300E核心光纤通道交换机组成一个环形多机热备份的核心交换机系统解决方案。为提高核心网络的健壮性，实现链路的安全保障，本方案骨干核心层环网中可以采用VRRP（虚拟路由器冗余协议）。对于各个业务VLAN可以指向这个虚拟的IP地址作为网关，因此应用VRRP技术为核心交换机提供一个可靠的网关地址，以实现在核心层核心交换机之间进行设备的硬件冗余，一主两备，共用一个虚拟的IP地址和MAC地址，通过内部的协议传输机制可以自动进行工作角色的切换。进而双引擎、双电源的设计为网络高效处理大集中数据提供了可靠的保障。

4.4.2 核心层网络设计

大型企业生产办公网络的核心层网络主要完成园区内各汇聚层设备之间的数据交换和与骨干核心层网络之间的路由转发。BROCADE SilkWorm 300E具有强大的业务和路由处交换理能力，可以充分满足大型企业不同园区网络的高速数据交换和支持多业务功能的要求，并能够提供完善的安全防御策略，保障企业园区网络的稳定运行。

核心层是网络互联的最高层次，应具有如下能力：核心设备之间应该具有最高速的链路；比较粗的QoS控制粒度；最高的路由前缀；为网络其他模块提供互联。在联合公司自动化系统中，核心层为各区域配线间汇聚层交换机以及服务器汇聚交换机之间提供互联。

4.4.3 汇聚层网络设计

汇聚层网络主要完成企业各园区内办公楼宇和相关单位的内接入交换机的汇聚及数据交换和VLAN终结，汇聚层是核心层和接入层的连接模块，主要功能如下：细到粗QoS粒度的转换；提供到核心的路由合并；提供到访问层的路由过滤。联合公司自动化系统的汇聚层，主要是为各个配线间以及服务器群的中心网络设备提供接入层设备的集中和核心层链路的接入。

4.4.4 接入层网络设计

接入层是面向最终用户的设备，主要功能如下：提供高密度的用户端口；提供许可控制，包括：安全控制和QoS控制。

采用多层网络的设计方法，必须依赖于利用网络的高弹性和扩充性。所谓的弹性指的是对故障的容忍度和故障情况下的恢复能力；所谓扩充性是指根据实际需要，可以在各个不同层次实现升级和扩充，实现对网络可控的、有序的优化。

在这种体系结构内，接入层为终端用户提供10/100M交换端口，并提供到网络汇聚层的上联链路。

各个楼层的终端设备或局域网络全部通过接入层进入网络系统。

网络汇聚层聚集配线间内所有的接入交换机，提供千兆链路连接到核心层网络中，并采用第二和第三层交换技术来划分网段（工作组），提供故障或问题的隔离，使得核心网络免于外围故障的影响。由于汇聚层设备连接的用户数较多，涉及的虚拟网络（VLAN）信息较多，此次网络方案设计将第三层交换设计在汇聚层上，以提升虚拟网络之间的互通能力。

核心网络层连接各个不同的配线间汇聚层交换机以及服务器汇聚交换机，核心网络设备之间提供冗余的、高带宽的交换数据通道，形成网络的核心结构。核心网络中同时会有第二和第三层交换技术的存在，但第三层交换应占有主导地位。第三层交换有利于网络的规模调整并为新的多址发送应用提供更好的性能和流量路由。同时，将服务器群通过服务器汇聚交换机连接在高交换性能的核心网络中，结合虚网技术，为网络提供更安全、效率更高的应用效果。

4.4.5 广域网互联设计

该方案致力实现网络的资源最大程度共享，最广范围的可用。提供一个高性能的、具有扩充能力的，能为新兴应用提供基础环境的局域网络，采用模块化和可扩充的网络体系结构来解决局域网络设计的方面的挑战。多层局域网络的设计提供了很多优点。包括：

透明性：无需修改端点系统以及对子网重新编号，它能与DHCP协同工作，也无需新的路由协议。

快速收敛：利用这项功能，用户可以借助硬件协助对于信息流的条目执行失效操作，

以回应路由失灵和路由拓扑结构的变化。

恢复能力：提供HSRP的优点，但是不需要附加配置。利用这一功能特征，当主路由器脱机后可以将交换透明地切换到热备路由器，这就消除了在网络上单点失灵的问题。

记账功能和数据流管理：利用这一功能，用户可以查看数据流的交换情况，这将有助于排除故障，进行数据流管理和执行集中账号功能。

网络设置更为简化：利用这一功能，可使用户的网络加速，但又保留现已存在的子网结构。利用这一功能，使得在企业内的网络设计中，不用再考虑第三层网络段的数目。

工作组间的快速连接性：通过Intranet和多媒体应用程序，满足对工作组间对于连接性的更高性能要求。通过菜单多层交换技术用户可以在同一平台上获取交换和路由两方面的好处。

访问服务器群的媒体速度：利用这一功能，用户不需要将多个VLAN的服务器集中管理也能获得直接连接。通过逐个以信息流为基础而提供安全性，用户可以控制对服务器的存取，可以基于子网编号和传输层应用程序端口过滤数据流，而不会对第三层的交换性能而产生不利影响。

4.4.6 冗余设计

1、冗余设计是网络设计的重要部分，是保证网络整体可靠性能的重要手段。但是投资也将增加。部分企业园区网在早期的建设中由于成本的原因并未在设计中考虑冗余问题，而在优化工作中则需从网络链路和网络设备两方面着手。冗余设计可以贯穿整个层次化结构，每个冗余设计都有针对性，可以选择其中一部分或几部分应用到网络中以针对重要的应用。万一网络中某条路径失效时，冗余链路可以提供另一条物理路径。

2、冗余设计的目标：

（1）在主干连接（核心层设备之间及其汇聚层设备之间的连接）具备可靠的线路冗余方式。建议采用链路聚合的冗余方式，通常情况下两条连接均提供数据传输，带宽扩大一倍并互为备份。主线路切换到备份线路的时间应小于50MS，以充分体现采用光纤技术的优越性。这种高速的网络自愈特性应保证不会引起IP路由的重新计算，不会引起业务的瞬间质量恶化，更不会引起业务的中断。

(2)模块冗余

主要设备（核心层设备和汇聚层的重要设备）的所有模块和环境部件应具备1+1或1：

N热备份的功能，切换时间越小越好。所有模块具备热插拔的功能，系统具备99.999％以上的可用性。热备份指的是在启用备份模块和设备时，系统不需要中断工作或断电。 Catalyst 4500系列交换机，他具有较强的模块冗余性，其中冗余性能最好的是Cisco Catalyst 4507R,它为1+1冗余超级引擎提供一分钟内的故障恢复时间。（3）设备冗余

设备冗余提供由两台或两台以上设备组层一个虚拟设备的能力。当其中一个设备因故障停止工作时，另一台设备自动接替其工作，并且不引起其他节点的路由表重新计算，从而提高网络的稳定性。切换时间越小越好，以保证大部分IP应用不会出现超时错误。

（4）路由冗余

网络的拓扑结构设计应提供足够的路由冗余功能，在上述冗余特性仍不能解决问题时，数据流应能寻找其他路径到达目的地址。在一个足够复杂的网络环境中，网络连接发生变化时，路由表的收敛时间应小于30s。

综上所述如果出现两个以上的交换区块和需要提供冗余连接的时候，应该采用了双核心配置：

（5）服务器冗余

企业网中服务器、大型机，如网络存储服务器，SQL Server服务器，其存储的数据对于企业来说致关重要，一些核心数据被视为企业的生命。一方面它对企业的企业的重要性毋庸质疑，另一方面，由于这些数据的性质决定了其较大的被访问量，这个对服务器提出了稳定和快速的要求。备份技术是保障计算机系统的可靠性是重中之重。为此，我们采用的是双机热备技术 ，此技术能够有效的满足核心服务器高效，稳定的高要求。而且相对于其它成本技术来说，这是比较有经济价成效的技术。

4.4.7 IP地址规划原则

IP地址构成了整个Internet的基础，IP地址资源是整个Internet的基本核心资源，IP地址资源的合理分配和有效利用是整个Internet发展过程中持续有效的一个极具分量的研究课题。

我们在对企业园区网IP地址编址设计和分配利用时，遵循了以下几个原则：

1）、自治：整个园区网络网络被划分成几个大的自治区域，每个大自治区域中又被划分成几个小的自治区域。

2）、有序：我们按照自治原则将网络进行逻辑划分后，就根据地域、设备分布及区

域内用户数量来进行子网规划。同时，我们将IP地址规划和网络层次规划、路由协议规划、流量规划等结合起来考虑。在进行地址分配时，为了提高地址分配效率和地址利用率，我们在编址设计时按照了一定的顺序进行。选择的顺序是自上而下的顺序，即采用了IT业领先的自顶向下网络设计（Top-Down Network Design）方法。

3）、可持续性：考虑到园区内网络用户数将持续高速增长，网络所要承载的业务量和业务种类越来越多，这使得网络需要频频进行技术升级、改造和扩容。所以，在进行地址分配时本方案充分考虑到了这些因素，为网络的每个部分留有部分地址冗余，这样保证网络的可持续发展。

4）、可聚合：互联网日新月异的发展和日益庞大的规模令当初设计互联网络的专家始料不及，在路由表急剧膨胀情况下，可聚合原则是网络地址分配时所必须遵守的最高原则，可聚合原则要求在进行地址规划时，应提供足够的路由冗余功能。

5）、尽量节约IPv4地址：由于IPv4地址越来越少，所以对于IPv4地址的使用需要格外节约。IPv4地址的节约可以通过动态编址技术和NAT技术等来实现。

6）、闲置IP地址回收利用：对于已分配出去的静态IP地址进行定期追踪管理，对长时间闲置的IP地址可经过确认后回收重复利用。

7）、为了省去管理人员经常帮用户配置IP地址，使用DHCP服务器，动态获取IP。

4.5 方案特点

本方案很好地解决了用户要求的四个问题，即带宽问题、安全问题、管理计费问题、灵活扩展问题。

 带宽问题：使用万兆互连双核心结构，使网络核心设备不但可以互相备

份，而且有效的减轻流量负荷，使设备时刻保持稳定和高效。

 安全问题：企业网核心层、汇聚层、楼层汇聚层所使用的产品全部具有

网络病毒和攻击的防护能力，并且防DOS/DDOS攻击，因而可以在不同的环境中

做到安全防护，足以应对突发事件，保持网络稳定、通畅。

 管理计费问题： 统一认证，针对企业网开放式的信息点造成的安全隐

患，全网接入采用统一认证技术（可以进行账号、IP，MAC、LAVN ID、交换机

IP和交换机端口六要素灵活捆绑），保证了只有合法授权的用户才能使用网络

或外部网络，而且还能对网络的使用情况进行审计。

5. 工程实施

5.1 网络布线系统的实施

5.1.1 布线系统总体结构设计

总体七撞建筑，从总部机房用十二芯单模光纤与其他六撞建筑的设备间|BD|相连，每个设备间也设用十二芯多模光纤与每层的电信间|FD|，并用五类非屏蔽双绞线从电信间与工作站相连接，集团园区网采用10M的光纤以太网接入到因特网服务提供商的网络，然后接入到因特网中，使集团实现与外界的信息交换和网络通信。集团统一由总部机房的一个出口访问Internet，集团能够控制网络的安全。在服务器和核心交换机间：使用UTP电缆来将服务器连接到核心交换机。

5.1.2 工作区子系统设计

工作区子系统由各个单元区域构成，是计算机、电话和信息插座的连接部分，包括连接跳线和信息插座。信息插座面板具备：通用、超薄、简易、防尘等特点；信息插座的模块采用类RJ-45模块；线缆采用超五类双绞线；水晶头采用RJ-45标准水晶头。为降低成本和结合客户终端的位置多变的特点，跳线可采用原装跳线与自制跳线相结合的方式，中心机房内设备之间、楼宇机柜内设备之间、服务器、重点客户终端的跳线采用原装成品跳线，其余采用自制跳线。跳线制作统一采用EIA/TIA 568B标准，以使系统具有更好的兼容性

5.1.3 水平子系统设计

水平子系统主要是实现信息插座和管理子系统，即中间配线架（IDF）间的连接。水平子系统为星形拓扑。在水平子系统中采用超五类非屏蔽双绞线。双绞线水平布线链路中，水平双绞线的最大长度均不超过90m。为了网络系统的稳定性和扩展性超五类非屏蔽双绞线。

5.1.4 管理子系统设计

管理子系统设计由配线间构成。由各种规格的配线架实现水平、垂直主干线缆的端接及分配；由各种规格的跳线实现布线系统与各种网络、通讯设备的连接，并提供灵活方便的线路管理能力。分配线间是各治理子系统的安装场所，可安装配线架和计算机网络通信设备。对于信息点不是很多，使用功能近似的楼层，为便于治理，仅设置一个共用的子配线间;对于信息点较多的楼层则在该层设立配线间。

5.1.5 干线子系统设计

干线子系统设计由连接主设备间与各治理子系统的室内干线电缆构成。数据主要从网络配线间向各个子配线间敷设12芯单模室内多模光纤。

5.1.6 设备间子系统设计

设备间子系统设计由设备间中的电缆、连接器和相关支撑硬件组成，把公共系统（通讯系统，计算机系统和建筑自动化系统等）设备的各种不同设备互连起来。使用12芯单模室内多模光纤将其连接。

5.1.7 建筑群子系统设计

建筑群子系统是将一栋建筑物内的电缆延伸到建筑群中的另外一些建筑物内的通信设备和装置上，采用光缆布线是目前主要的建筑间布线方式。建筑间的主干光缆采用12芯单模。

5.2 防病毒系统的安装与配置

第一步：“控制面板”窗口，双击“网络和Internet”图标，如图5.1所示。

图5.1 控制面板中的网络和Internet

第二步：“网络和Internet”窗口中双击“网络和共享中心”图标，如图5.2所示。

图5.2 网络和共享中心

第三步：弹出的“网络和共享中心”对话框中选择左下角的“windows防火墙”。如图5.3所示。

图5.3 网络和共享中心

第四步：出“Windows防火墙”对话框，选择“启用Windows防火墙”，如图5.4所示。

图5.4 windows防火墙

第五步：点击左边菜单栏中的“打开或关闭windows防火墙”，如图5.5所示。

图5.5 防火墙选项

第六步：选择两个“启用windows防火墙”，这样“Windows防火墙”就已经打开。当有程序需要往外访问，系统会提示是否允许它通过防火墙。如果确定这个程序是安全的程序，就可以允许它通过防火墙，系统会把该程序记录在允许列表中。如图5.6所示。

图5.6 通过防火墙程序列表

通过以上设置，计算机就可以在网络中处在相对安全的区域了。

结束语

中小企业网络是一项设计面广、技术复杂、周期比较长的系统工程，主要分为需求分析、系统规划、方案设计、方案实施、测试验收、管理维护等五个环节。

学生在中小型企业网的规划设计与实施的过程，结合所学之知识和专业技能，较为顺利地实施了整个过程，当学生也在工作中发现存在的诸多不足之处和需改善之处，也暴露了自己的知识和能力缺乏不足，也鞭策学生不断加强学习和进修，以期在残酷的市场竞争中能生存下去

致谢

感谢华南师范大学网络学院的所有老师和领导。他们渊博的知识、严谨的学风、诲人不倦的品格一直感染和激励着我不断上进，利用工作之余的点滴时间,在三年里完成了进修,我相信三年之所学必将使我受益终生。

在本论文的写作中，我也参照了大量优秀的著作和文章，他们的科研成果及写作思路给我很大启发，在此向这些学者们表示由衷的感谢和崇高的敬意。感谢我的老师、家人、同学、朋友对我的大力支持，他们的关爱、无私奉献和支持使我能够继续去追求自己的人生理想和目标。感谢所有关心、帮助和支持我的人。

本论文几经修改，但由于才疏学浅，本论文也存在疏漏诸多不足之处，还请各位老师批评指正。

参考文献

[1] 张跃廷，顾彦玲．ASP.NET从入门到精通．清华大学出版社，2008

[2] 章立民．ASP.NET开发范例精讲精析（基于C#）．科学出版社，2009

[3]谢希仁．《计算机网络》．电子工业出版社，2003

[4] 董宇峰．《计算机网络技术基础》．清华大学出版社，2010

[5] 李利军，韩小琴，金素梅．《中小企业网络管理员实战指南》．科学出版社，2008

[6] 冯昊、黄治虎、伍技祥．交换机/路由器的配置和管理．清华大学出版社，2005

[7] 雷建军.计算机网络实用技术.北京：中国水利水电出版社，2003

附录

路由器实现DHCP配置如下：

Router(config)# dhcpd

Router(dhcp-config- dhcpd)#network 192.168.1.0 255.255.255.0

Router(dhcp-config- dhcpd)#range 192.168.1.1 192.168.1.20

Router(dhcp-config)#default-router192.168.1.1

Router(dhcp-config)#dns-server 1.1.1.1

Router(dhcp-config)#exit

路由器NAT配置如下：

启用基本NAT功能：

Router#configure terminal

Router(config)#access-list 15 permit 192.168.0.0 0.0.255.255

Router(config)#ip nat inside source list 15 interface FastEthernet0/0 overload

Router(config)#interface FastEthernet0/2

Router(config-if)#ip address 192.168.1.1 255.255.255.0

Router(config-if)#ip nat inside

Router(config-if)#exit

Router(config)#interface FastEthernet0/1

Router(config-if)#ip address 192.168.2.1 255.255.255.0

Router(config-if)#ip nat inside

Router(config-if)#exit

Router(config)#interface Ethernet0/0

Router(config-if)#ip address 172.16.1.5 255.255.255.252

Router(config-if)#ip nat outside

Router(config-if)#exit

Router(config)#end

Router#

动态分配外部地址：

Router#configure terminal

Router(config)#access-list 15 permit 192.168.0.0 0.0.255.255

Router(config)#ip nat pool NATPOOL 172.16.1.100 172.16.1.150 netmask 255.255.255.0 Router(config)#ip nat inside source list 15 pool NATPOOL

Router(config)#interface FastEthernet 0/0

Router(config-if)#ip address 192.168.1.1 255.255.255.0

Router(config-if)#ip nat inside

Router(config-if)#exit

Router(config)#interface FastEthernet 0/1

Router(config-if)#ip address 192.168.2.1 255.255.255.0

Router(config-if)#ip nat inside

Router(config-if)#exit

Router(config)#interface Ethernet1/0

Router(config-if)#ip address 172.16.1.2 255.255.255.0

Router(config-if)#ip nat outside

Router(config-if)#exit

Router(config)#end

Router#

静态分配外部地址：

Router#configure terminal

Router(config)#ip nat inside source static 192.168.1.15 172.16.1.10 Router(config)#ip nat inside source static 192.168.1.16 172.16.1.11 Router(config)#interface FastEthernet 0/0

Router(config-if)#ip address 192.168.1.1 255.255.255.0

Router(config-if)#ip nat inside

Router(config-if)#exit

Router(config)#interface FastEthernet 0/1

Router(config-if)#ip address 192.168.2.1 255.255.255.0

Router(config-if)#ip nat inside

Router(config-if)#exit

Router(config)#interface Ethernet1/0

Router(config-if)#ip address 172.16.1.2 255.255.255.0

Router(config-if)#ip nat outside

Router(config-if)#exit

Router(config)#end

Router#

路由器安全配置：

Router(config)#enable secret hong

Router(config)#line vty 0 4

Router(config-line)#pass

Router(config-line)#password hong

Router(config-line)#exit

Router(config)#access-list 120 deny tcp any any eq 23

Router(config)#access-list 120 deny tcp any any eq 135

Router(config)#access-list 120 deny tcp any any eq 136

Router(config)#access-list 120 deny tcp any any eq 137

Router(config)#access-list 120 deny tcp any any eq 138

Router(config)#access-list 120 deny tcp any any eq 139

Router(config)#access-list 120 deny tcp any any eq 389

Router(config)#access-list 120 deny tcp any any eq 445

Router(config)#access-list 120 deny tcp any any eq 4444 Router(config)#access-list 120 deny tcp any any eq 69

Router(config)#access-list 120 deny udp any any eq 69

Router(config)#access-list 120 deny udp any any eq 135

Router(config)#access-list 120 deny udp any any eq 136

Router(config)#access-list 120 deny udp any any eq 137

Router(config)#access-list 120 deny udp any any eq 138 Router(config)#access-list 120 deny udp any any eq 139 Router(config)#access-list 120 deny udp any any eq snmp Router(config)#access-list 120 deny udp any any eq 389 Router(config)#access-list 120 deny udp any any eq 445 Router(config)#access-list 120 deny udp any any eq 1434 Router(config)#access-list 120 deny udp any any eq 1433 Router(config)#access-list 120 permit ip any any Router(config)#int f0/0

Router(config-if)#ip access-group 120 in

Router(config-if)#

Router#

交换机权限配置：

车间A：

Switch>en

Switch#conf t

Switch(config)#int vlan 2

Switch(config-if)#int vlan 2

Switch(config-if)#exit

Switch(config)#int vlan 1

Switch(config-if)#ip add 192.168.2.1 255.255.255.0 Switch(config-if)#no shut

Switch(config-if)#exit

Switch(config)#enable secret kbzent

Switch(config)#line vty 0 4

Switch(config-line)#pass

Switch(config-line)#password kbz

Switch(config-line)#exit

Switch(config)#

Switch#

车间不B

Switch>en

Switch#conf t

Switch(config)#int vlan 3

Switch(config-if)#ip add192.168.3.1 255.255.255.0 Switch(config-if)#no shut

Switch(config-if)#exit

Switch(config)#enable secret hong

Switch(config)#line vty 0 4

Switch(config-line)#pas

Switch(config-line)#password hong

Switch(config-line)#

Switch#

财务部

Switch>en

Switch#conf t

Switch(config)#int vlan 4

Switch(config-if)#ip add 192.168.4.1 255.255.255.0 Switch(config-if)#no shut

Switch(config-if)#exit

Switch(config)#enable secret kbznet

Switch(config)#line vty 0 4

Switch(config-line)#pas

Switch(config-line)#password kabz

Switch(config-line)#

Switch#

人事部

Switch>en

Switch#conf t

Switch(config)#int vlan 5

Switch(config-if)#ip add 192.168.5.1 255.255.255.0 Switch(config-if)#no shut

Switch(config-if)#exit

Switch(config)#enable secret hong

Switch(config)#line vty 0 4

Switch(config-line)#pas

Switch(config-line)#password hong

Switch(config-line)#

Switch#

销售部

Switch>en

Switch#conf t

Switch(config)#int vlan 6

Switch(config-if)#ip add 192.168.6.1 255.255.255.0 Switch(config-if)#no shut

Switch(config-if)#exit

Switch(config)#enable secret hong

Switch(config)#line vty 0 4

Switch(config-line)#pas

Switch(config-line)#password hong

Switch(config-line)#

Switch#