中小型企业网络设计

1、目 次1 引言 2 需求分析 2.1 项目背景2.2 用户需求 2.3 硬件需求3 逻辑网络设计 3.1 企业网络结构规划3.2 拓扑结构设计图 3.3 信息点分布表 3.3 路由协议选择 3.4 技术和设备选择4 物理网络设计4.1 布线系统 4.2 网络机房系统5 网络安全 6 网络管理 总结 致谢 参考文献1 引言计算机网络已经广泛应用在我们身边, 正改变着人们的工作和生活方式。网络给社会带来的革新是深远的。传统各行各业之间信息的分隔局面，正在被信息化所革新，使得行业之间信息的共享，业务平台互通成为可能。另外，计算机软件已不再局限于过去的单机运行，形形色色的网络应用，如：办公自动化系统、

2、远程教学、应用于各行各业的管理软件等等，无不与计算机网络发生着紧密的联系。现代企业规模不断壮大、业务量不断增加，原始的工作方式已经不能满足现代企业的需求，特别是对突发事件的快速处理能力的需求。企业网络为企业的现代化发展、综合信息管理和办公自动化等一系列应用提供了基础平台。高性能的企业网络恰能满足现代企业的这种需求。因此，建设高性能的企业网络十分重要。本设计结合远大家私有限公司的实际情况，分析、设计、配置、组建了一个典型的中小型企业网络。2 需求分析2.1 项目背景远大家私是一家生产研发型企业，主楼是一座五层办公楼，以办公楼为中心，下设四个生产车间。整个公司有370个信息点，多个部门，不同部门的

3、相互访问要有限制，企业中心机房设在办公大楼三楼中间。公司有自己的内部网页与外部网站；有自己的 OA 系统。要求建立一个安全、可靠、可扩展、高效的网络环境，能够方便快捷的实现网络资源共享、办公自动化、接入Internet 等目标。2.2 用户需求1、要求各部门都有各自独立的文件服务器，且文件服务器通常不允许跨部门访问。2、最高部门的计算机可以访问其他部门的文件服务器。 3、公司内部的计算机间采用公司内部的电子邮件系统联系。4、公 司内部架设Web 服务器，对Internet 提供公司的形象和电子商务服务。5、为保证安全，Internet 与公司内部网络间应该采用防护措施，防止外界对内部网络未经授

4、权的访问。6、如有必要，可根据需要在网络中增添其他功能服务器。 7、计算机应用系统要能处理大信息量的传输和计算； 8、要求易于用户管理、界面简单、逻辑清晰；9、要求满足用户使用网络系统的运行质量，提高网络运行速度； 10、要求可以在同一个网络中支持多种服务质量，以支持目前和未来的应用和服务；11、要求网络中使用的设备、技术和协议完全符合国际通用的标准； 12、要求网络提供足够的带宽，丰富的接口形式，满足用户对应用带宽的基本要求，并保留一定的余量供扩展使用，最大可能地降低网络传输延迟；13、要求网络有很高的可靠性、稳定性及冗余，网络能够提供良好的安全性策略，能避免内部操作失误造成的损害和来自外部

5、的恶意攻击。14、要求能够方便快捷的实现网络资源共享、办公自动化、接入Internet 等目标。2.3 硬件需求根据公司的网络功能需求和实际的布线系统情况，楼层接入设备需要选择同一型号的设备，网络设备必须在技术上具有先进性、通用性，必须便于管理、维护，应该满足集团现有计算机设备的高速接入，应该具备良好的可扩展性、可升级性，保护用户的投资。网络设备在满足功能与性能的基础上必须具有良好的性价比。网络设备应该选择拥有足够实力和市场份额的厂商的主流产品，同时设备厂商必须要有良好的市场形象与售后技术支持。3 逻辑网络设计3.1 企业网络结构规划此方案将远大家私内部网络设计为三级层级： 1、 核心层 2、

6、 汇聚层 3、 接入层核心层是网络主干部分，核心层的主要目的在于通过高速转发通信，提供优化，可靠的骨干传输结构，因此核心层交换机应拥有更高的可靠性，性能和吞吐量。接入层主要作用是允许终端用户连接到网络实现互联。因此接入层交换机具有低成本和高端口密度特性。接入层部署在各个大楼，为使各终端更方便连接网络，接入层应具有和节点距离短易操作，可扩展等特点。3.2 拓扑结构设计图 3.4 楼宇分布情况3.4 子网划分 3.5 VLAN划分 3.6 设备选型核心层交换机：S7506（1台）汇聚层交换机：S5500-28C-SI （1台） ）接入层交换机：S3100-26TP-SI （4+14）路由器：MSR

7、 50防火墙：SecPath F1000-C网络管理平台：Mini IMC网络管理平台1、代表目前网络系统设备的先进水平。2、具备较强的安全性。3、具备优良的可靠性、可用性、可维护性。4、具备优良的可扩充性和升级能力。5、具备优良的性价比，根据现在的需求和可以预见的需求增长情况设计网络，不追求空洞的技术先进性，避免追求高档和最新技术花费的巨大代价。CISCO是网络业界第一品牌和最大的研发厂家，是项目可持续应用的投资保护和规避厂家风险的首选。IOS 采用的是经检验已成为业界标准的强健稳定的CISCO IOS，具有广泛的协议支持，这是其他厂商所不能企及的；思科将其IOS （网络操作系统）打造成为网

8、络系统中坚实、可靠的智能" 神经中枢" ，作为应用最为广泛的网络软件，思科IOS 软件系列在全世界一千多万个不同规模的系统上发挥着重要作用，其范围从小型家庭办公网络到最庞大的电信运营商网络。思科IOS 取得广泛成功的关键在于，它的标准化设计中整合了创新网络技术、关键业务IP 服务和首屈一指的平台支持能力。基于以上原则，我们为XX 公司网络建设选用CISCO 公司的系列产品，以确保网络实用与性价比。总部和分部接入层交换机均选用WS-C2960-24TC-L ，该款交换机它是一个全新的、固定配置的独立设备系列，提供桌面快速以太网和10/100/1000千兆以太网连接，适用于入门

9、级企业、中型市场和分支机构网络，有助于提供增强LAN 服务。Catalyst 2960系列具有集成安全特性，包括网络准入控制(NAC、高级服务质量(QoS和永续性，可为网络边缘提供智能服务。该系列还包括一系列针对网络管理员所作的硬件改进，包括双介质（或有线）千兆以太网上行链路配置，允许网络管理员使用铜缆端口或光纤上行链路端口。另外，它包括一款24端口千兆以太网交换机，可加速网络中的桌面千兆位(GTTD传输。Cisco Catalyst 2960系列提供了以下优势：为网络边缘提供了智能特性，如先进的访问控制列表 (ACL和增强安全特性。 双介质上行链路端口提供了千兆以太网上行链路灵活性，可以使用

10、铜缆或光纤上行链路端口。每个双介质上行链路端口都有一个10/100/1000以太网端口和一个SFP 千兆以太网端口，在使用时其中一个端口激活，但不能同时使用这两个端口。通过高级QOS 、精确速率限制、ACL 和组播服务，实现了网络控制和带宽优化。通过多种验证方法、数据加密技术和基于用户、端口和MAC 地址的网络准入控制，实现了网络安全性。通过嵌入式设备管理器和思科网络助理，简化了网络配置、升级和故障排除，可作为中型市场或分支机构解决方案的一部分。 总部核心层交换机选用Cisco Catalyst 3560-24TS-S，该款交换机Cisco Catalyst 3560系列交换机是一个采用快速以

11、太网配置的固定配置、企业级、IEEE 802.3af 和思科预标准以太网电源（POE ）的交换机，提供了可用性、安全性和服务质量（QOS ）功能，改进了网络运营。Catalyst 3560系列是适用于小型企业布线室或分支机构环境的理想接入层交换机，这些环境将其LAN 基础设施用于部署全新产品和应用，如IP 电话、无线接入点、视频监视、建筑物管理系统和远程视频信息亭。客户可以部署网络范围的智能服务，如高级QOS 、速率限制、访问控制列表、组播管理和高性能IP 路由，并保持传统LAN 交换的简便性。内嵌在Cisco Catalyst 3560系列交换机中的思科集群管理套件（CMS ）让用户可以利用

12、任何一个标准的Web 浏览器，同时配置多个Catalyst 桌面交换机并对其排障。 Cisco CMS软件提供了配置向导，它可以大幅度简化融合网络和智能化网络服务的部署。Catalyst 3560系列为采用思科IP 电话和Cisco Aironet无线LAN 接入点，以及任何IEEE 802.3af 兼容终端设备的部署，提供了较低的总体拥有成本（TCO ）。以太网电源使客户无需再为每台支持POE 的设备提供墙壁电源，免除了在IP 电话和无线LAN 部署中所必不可少的额外布线。Catalyst 3560 24端口版本可以以支持24个15.4W 的同步全供电POE 端口，从而获得了最佳上电设备支持

13、。通过采用Cisco Catalyst智能电源管理，48端口版本可支持24个15.4W 端口、48个7.7W 端口，或它们的任意组合。当Catalyst 3560交换机与思科冗余电源系统675(RPS 675共用时，可提供针对内部电源故障的无缝保护，而不间断电源（UPS ）系统可防范电源中断情况，从而使融合式语音和数据网络实现最高电 总部出口路由器选用CISCO3845模块化路由器。该款路由器是一款集成多业务路由器，带2个千兆位以太网固定LAN 口，提供1个SFP 插槽，4个NME ，4个HWIC ，2个AIM ，4个PVDM 插槽。而且，3845路由器提供了屡获大奖的思科IP 电话解决方案，

14、适用于想通过融合话音和数据网络而降低成本和复杂度的客户，小型机构和分支机构可受益于全面、一体化的数据、话音处理、语音留言和自动接听系统。安全方面，Cisco 3845拥有业界内嵌和集成在路由器中的最全面的安全服务，提供了先进的安全服务和管理功能，如内置硬件加密加速、IP 安全性、 VPN级加密标准、三重数字加密标准、DES 和多协议标签交换、状态防火墙保护、动 分部出口路由器选用CISCO2811模块化路由器该款路由器全面采用模块化架构设计，支持10/100Mbps广域网接入，2个10/100Mbps局域网接口。能使用户节省建设广域网的投资，获得良好的投资回报，从而帮助客户创造更多的价值。支持

15、IEEE 802.3X 网络标准，提供了集成语音留言、范围广泛的话音接口、支持 SRST, 分支机构可利用集中呼叫控制, 并通过SRST 冗余性为IP 电话经济有效地 3.6 VLAN规划总部VLAN 规划： 3.7 网络IP 地址规划在企业网网络规划中，IP 地址方案的设计至关重要，好的IP 地址方案不仅可以减少网络负荷，还能为以后的网络扩展打下良好的基础。IP 地址的合理是保证网络顺利运行和网络资源有效利用的关键。企业网IP 地址的分配应该尽可能地利用申请到的地址空间，充分考虑到地址空间的合理使用，保证实现最佳的网络内地址分配及业务流量的均匀分布。具体地来说IP 地址的合理规划有如下的意义

16、：1、IP 地址的合理规划是网络设计的重要环节，大型计算机网络必须对IP 地址进行统一规划并得到有效实施；2、IP 地址规划的好坏，影响到网络路由协议算法的效率； 3、影响到网络的性能； 4、影响到网络的扩展； 5、影响到网络的管理；根据国际互联网络技术发展的趋势，结合XX 公司总部和分部的现实情况，采用先地区后业务划分方法进行IP 地址分配，如下表：192.168 . 地址位(5位 业务功能位(3位 . 子网位 主机位 IP 地址分配表： 3.8 网络设计技术方案特点根据XX 公司网络建设的现有需求，并考虑到未来的发展趋势，需要建立一个统一的信息传输网络，满足数据、语音、视频、图像、多媒体等

17、相关企业信息的传输，可以实现计算机管理系统、办公自动化系统、业务系统和Internet 访问等应用。解决方案具有如下特点：1、融合的网络平台：数据、视频等业务应用，提供端到端安全网络应用，灵活的结构部署，实现网络规模的任意伸缩、弹性应用。2、丰富的网络类型：针对业务类型划分、网络应用、投资计划等融合专线网络、VPN 、无线等多种方式的组网，满足支持丰富的扩展类型、扩展接口等，适用不同规模、不同方式的网络互联、接入，满足日益丰富的网络业务应用。3、灵活安全的终端接入：网络安全、认证系统的部署应用能够杜绝非法终端接入网络，并且让合法终端在任意位置接入网络均获得相同的VPN 归属和访问权限，甚至可以

18、通过多次认证在不同时刻获得不同的VPN 归属和访问权限，方便做到灵活办公和公用办公，真正实现网络虚拟化；4、完善的业务类型：内部网络业务应用，互联网的安全访问、VPN 的安全接入，无线及3G 移动终端的应用，实现网络跨区域、跨平台的业务运行，提供基于多种平台信息系统应用。5、多样化的管理手段：应用级别的网络安全划分、带宽限制、流量控制等丰富的管理手段和安全保障措施，使网络稳定、快速、健壮，保证业务系统的不间断运行。6、统一规划、合理部署：降低网络投资、减少重复建设。避免了业务、数据物理隔离需要重复建设、应用服务器、安全设备重复采购的缺点，对网络平台进行统一规划、分步实施、合理部署，提高整体资源

19、的利用率、降低管理难度、提高管理效率。 4 网络设计技术分析4.1 企业网络技术分类企业网是园区网络的一种，应用于企业网中的技术其实就是当今园区网络中的一些实用技术，我们将园区网络技术从总体上划分为路由技术，交换技术和远程接入技术。1、路由技术所谓路由就是指通过相互连接的网络把信息从源地点移动到目标地点的活动。一般来说，在路由过程中，信息至少会经过一个或多个中间节点。2、交换技术所谓交换技术是指二层交换技术三层转发技术。传统的交换技术是在OSI 网络标准模型中的第二层数据链路层进行操作的，而三层交换技术是在网络模型中的第三层实现了数据包的高速转发。应用第三层交换技术即可实现网络路由的功能，又可

20、以根据不同的网络状况做到最优的网络性能。3、远程接入技术所谓远程接入技术是指在网络中部署服务器集群，在远程接入技术服务器上安装并发布用友通客户端，所有用户运行远程接入技术服务器上的用友通客户端，并通过内部高速网络连接用友通服务器，完成财务、供应链、生产制造、分销、零售、客户关系、服务管理等功能模块的使用。如果需要允许用户跨Internet 访问，建议把远程接入技术服务器机群部署在DMZ 网络中，把用友通服务器端部署在内部网络中，在内部防火墙上设置允许用友通客户端和服务器端通信的进行。远程接入技术实施的好处：1、远程接入技术网络带宽的要求非常低 2、远程接入技术解决互联网安全问题3、远程接入技术

21、减少IT 投资成本，保护现有IT 透支 4、远程接入技术方便管理，降低维护成本 5、远程接入技术具有高稳定性，可扩展性 6、远程接入技术性能优化，支持更多用户访问 7、远程接入技术具有优秀的虚拟打印功能4.2 企业网中的路由技术在园区网中由于受到自身网络的限制，应而不需要使用过多的路由技术，而路由技术主要应用在核心层或者是出口去往其它网络，连接出自己园区的网络。在经过接入路由器时根据IP 包的目的地址，在路由器的路由表中查询，是否有前往目的地的路由，如果有则根据路由条目来转发IP 包。静态路由技术静态路由是指由网络管理员手工配置的路由信息。当网络的拓扑结构或链路的状态发生变化时，网络管理员需要

22、手工去修改路由表中相关的静态路由信息。静态路由信息在缺省情况下是私有的，不会传递给其他的路由器。当然，网管员也可以通过对路由器进行设置使之成为共享的。静态路由一般适用于比较简单的网络环境，在这样的环境中，网络管理员易于清楚地了解网络的拓扑结构，便于设置正确的路由信息。XX 公司使用静态路由技术，以实现公司总部和分部的互联互通。4.3 企业网中的交换技术在企业网使用的最多也是最广泛的技术就是交换技术，交换技术的成熟带动着这个网络的发展。而企业网是基于这个交换架构的网络，因此在交换式的网络中有众多技术VLAN ， TRUNK，三层交换，STP ，DHCP 等。下面将分别介绍这些技术的应用：1、VL

23、AN 技术VLAN （Virtual Local Area Network）的中文名为" 虚拟局域网" 。VLAN 是一种将局域网设备从逻辑上划分成一个个网段，从而实现虚拟工作组的新兴数据交换技术。VLAN 分类：1. 根据端口来划分VLAN2. 根据MAC 地址划分VLAN3. 根据网络层划分VLAN4. 根据IP 组播划分VLAN5. 基于规则的VLAN6. 按用户定义、非用户授权划分VLAN2、TRUNK 技术TRUNK 是端口汇聚的意思，就是通过配置软件的设置，将2个或多个物理端口组合在一起成为一条逻辑的路径从而增加在交换机和网络节点之间的带宽，将属于这几个端口的带

24、宽合并，给端口提供一个几倍于独立端口的独享的高带宽。Trunk 是一种封装技术，它是一条点到点的链路，链路的两端可以都是交换机，也可以是交换机和路由器，还可以是主机和交换机或路由器。基于端口汇聚（Trunk ）功能，允许交换机与交换机、交换机与路由器、主机与交换机或路由器之间通过两个或多个端口并行连接同时传输以提供更高带宽、更大吞吐量， 大幅度提供整个网络能力。3、三层交换三层交换技术就是：二层交换技术三层转发技术。它解决了局域网中网段划分之后，网段中子网必须依赖路由器进行管理的局面，解决了传统路由器低速、复杂所造成的网络瓶颈问题。第三层交换提供以下优点:1. 提高了网络效率：第三层交换机通过

25、允许网络管理员在第二层 VLAN 进行路由业务，确保将第二层广播控制在一个 VLAN 内，降低了业务量负载。2. 可持续发展：由于 OSI 层模型的分层特点，第三层交换机能够创建更加易于扩展和维护的更大规模的网络。3. 更加广泛的拓扑选择：基于路由器的网络支持任何拓扑，并能更轻易超过类似第二层交换网络的更大规模和复杂程度。4. 工作组和服务器安全：第三层设备能根据第三层网络地址创建接入策略，这允许网络管理员控制和阻塞某些 VLAN 到 VLAN 通信，阻塞某些 IP 地址，甚至能防止某些子网访问特定的信息。5. 更加优异的性能：通过使用先进的 ASIC 技术，第三层交换机可提供远远高于基于软件

26、的传统路由器的性能。比如，每秒 4000 万个数据包对每秒 30 万个数据包。第三层交换机为千兆网络这样的带宽密集型基础架构提供了所需的路由性能。因此，第三层交换机可以部署在网络中许多具有更高战略意义的位置。4、STP 技术生成树协议最主要的应用是为了避免局域网中的网络环回，解决成环以太网网络的“广播风暴”问题，从某种意义上说是一种网络保护技术，可以消除由于失误或者意外带来的循环连接。STP 也提供了为网络提供备份连接的可能，可与SDH 保护配合构成以太环网的双重保护。新型以太单板支持符合IEEE 802.1d 标准的生成树协议STP 及IEEE 802.1w规定的快速生成树协议RSTP ，收

27、敛速度可达到 1s。5、DHCP动态主机设置协议（Dynamic Host Configuration Protocol, DHCP）是一个局域网的网络协议，使用UDP 协议工作，主要有两个用途：一是给内部网络或网络服务供应商自动分配IP 地址给用户；二是给内部网络管理员作为对所有计算机作中央管理的手段。4.4 企业网中的远程接入技术1、访问控制列表（ACL ）访问控制列表（Access Control List，ACL ） 是路由器和交换机接口的指令列表，用来控制端口进出的数据包。ACL 适用于所有的被路由协议，如IP 、IPX 、AppleTalk 等。这张表中包含了匹配关系、条件和查询语

28、句，表只是一个框架结构，其目的是为了对某种访问进行控制。本设计方案使用访问控制列表来实现以下需求：1.总部办公业务可以访问全网办公业务，不能访问分部生产业务。2.分部办公业务可以访问全网办公业务，不能访问总部或其他分部的生产业务。访问控制列表的另外一个重要作用是区分数据流，工程师可以使用访问控制列表来匹配感兴趣的数据流量，然后再由其他的网络协议或工具来对所匹配的数据流执行相应的动作。本设计方案中后面提到的网络地址转换技术的实现便需要利用到访问控制列表的此项功能。2、网络地址转换（NAT ）网络地址转换(NAT,Network Address Translation 属接入广域网(WAN技术,

29、是一种将私有(保留 地址转化为合法IP 地址的转换技术, 它被广泛应用于各种类型Internet 接入方式和各种类型的网络中。原因很简单，NAT 不仅完美地解决了lP 地址不足的问题，而且还能够有效地避免来自网络外部的攻击，隐藏并保护网络内部的计算机。3、通用路由器封装（GRE ）GRE （Generic Routing Encapsulation ，通用路由封装）协议是对某些网络层协议（如IP 和IPX ）的数据报文进行封装，使这些被封装的数据报文能够在另一个网络层协议（如IP ）中传输。GRE 采用了Tunnel （隧道）技术，是 VPN（Virtual Private Network）的

30、第三层隧道协议。IP 隧道技术中使用的一种封装格式：把企业内部网的各种信息分组封装在内，可通过IP 协议透明地穿过因特网，实现端点之间互连。4.5 技术部署详细说明1、根据3.4节所示的XX 公司网络拓扑，实现其全网联通性。2、总部交换网络STP 部署：ZB-CORE-1为所有VLAN 的主根网桥。3、总部DHCP 部署：ZB-CORE-1为总部网络DHCP 服务器，为总部各部门接入用户提供动态IP 地址分配。4、分部一交换网络STP 部署：FY-AES-1为所有VLAN 的主根网桥。5、分部一DHCP 部署：FY-R-1为分部一网络的DHCP 服务器，为其各部门接入用户提供动态IP 地址分配

31、。6、分部二交换网络STP 部署：FE-AES-1为所有VLAN 的主根网桥。7、分部二DHCP 部署：FE-R-1为分部二网络的DHCP 服务器，为其各部门接入用户提供动态IP 地址分配。8、Internet 接入与静态路由实施：要求只有办公业务所处网段才能访问Internet 。总部在ZB-R-1上配置NAT 与默认路由，下一跳指向公网出口对端IP 地址；在ZB-CORE-1上配置默认路由，下一跳指向ZB-R-1；在ZB-R-1上配置静态汇总路由，下一跳指向ZB-CORE-1。分部一在FY-R-1上配置NAT 与默认路由，下一跳指向公网出口对端IP 地址； 分部二在FE-R-1上配置NAT

32、 与默认路由，下一跳指向公网出口对端IP 地址。9、总部分部对接：为节省前期网络建设投资成本，总部与分公司采用GRE 隧道连通：10、业务流量访问控制：在ZB-R-1、FY-R-1、FE-R-1上分别配置访问控制列表，以实现本方案中对流量控制的需求：1.总部办公业务可以访问全网办公业务，不能访问分部生产业务。2.分部办公业务可以访问全网办公业务，不能访问总部或其他分部的生 产业务。11、总部服务器部署：在一台Windows 2003 Server上架设OA 服务器，全网任何用户都 能通过IP 访问OA 服务器。5 实施步骤及配置5.1 基本信息配置 注：设备命名格式：area-type-num

33、 ；Area:表示所在地区的拼音的第一个大写字母, 如:总部为ZB ；Type:表示该设备的类型，是交换机还是路由器，如接入层交换机为AES(ACCESS，核心层交换机为CORE （CORE LAYER）；路由器为R （ROUTER ）Num:表示该设备的序列号，如：第一台设备为1；示例：ZB-AES-1表示总部接入层1号交换机；在这个项目方案中设备没必要用到域名解析，因此关闭设备域名解析功能； 基本配置：no ip domain-lookup从设备本身的安全性考虑，为每台设备都配置CONSOLE 及TELNET 密码； 基本配置：enable password xxxline console

34、 0logging synchronousPassword xxx5.2 二层网络全局配置先将各交换机配置成透明模式，然后在交换设备上创建VLAN ： 分部二： 将二层交换机上与PC 机或服务器相连的接口配置成ACCESS ，与交换机、路由器相连的接口配置成TRUNK ；将各地区的二层交换机上的F0/5- F0/8接口划入生产业务VLAN 中； 将各地区的二层交换机上的F0/9- F0/12接口划入办公业务VLAN 中；在各地区各交换机上配置STP 生成树的根网桥及边缘端口(注：二层交换机可以采用默认优先级.相关命令配置：ZB-AES-1#vlan database /进入VLAN 配置模式

35、ZB-AES-1(vlan#vlan 20 name SC /创建生产VLAN20ZB-AES-1(vlan# vlan 21 name OAZB-AES-1(vlan#vlan 300 name WG总部三层交换机1：ZB-CORE-1#vlan databaseZB-CORE-1(vlan#vlan 20 name SC /创建生产VLAN20ZB-CORE-1(vlan# vlan 21 name OAZB-CORE-1(vlan#exitZB-CORE-1#config terminalZB-CORE-1(config#spannging-tree vlan 1 root primar

36、yZB-CORE-1(config#spannging-tree vlan 20 root primaryZB-CORE-1(config#spannging-tree vlan 21 root primaryZB-CORE-1(config#spannging-tree vlan 300 root primary分部一二层交换机1：FY-AES-1#vlan databaseFY-AES-1(vlan#vlan 36 name SC /创建生产VLAN36FY-AES-1(vlan# vlan 37 name OAFY-AES-1(vlan#vlan 300 name WGFY-AES-1(

37、vlan#exit /创建办公VLAN37 /创建网管VLAN300 /创建办公VLAN21 ZB-CORE-1(vlan#vlan 300 name WG /创建网管VLAN300 /创建办公VLAN21 /创建网管VLAN300 FY-AES-1#config terminalFY-AES-1(config#spannging-tree vlan 1 root primaryFY-AES-1(config#spannging-tree vlan 36 root primaryFY-AES-1(config#spannging-tree vlan 37 root primaryFY-AES

38、-1(config#spannging-tree vlan 300 root primary分部一二层交换机2：FY-AES-2#vlan databaseFY-AES-2(vlan#vlan 36 name SC /创建VLAN36FY-AES-2(vlan# vlan 37 name OAFY-AES-2(vlan#vlan 300 name WGFY-AES-2(vlan#exit分部二二层交换机1：FE-AES-1#vlan databaseFE-AES-1(vlan#vlan 44 /创建VLAN1FE-AES-1(vlan# vlan 45 name OA /创建办公VLAN45F

39、E-AES-1(vlan#vlan 300 name WG /创建网管VLAN300FE-AES-1(vlan#exit分部二二层交换机2：FE-AES-2#vlan databaseFE-AES-2(vlan#vlan 44 /创建VLAN1FE-AES-2(vlan# vlan 45 name OA /创建办公VLAN45FE-AES-2(vlan#vlan 300 name WG /创建网管VLAN300FE-AES-2(vlan#exit /创建办公VLAN37 /创建网管VLAN3005.3 三层接口配置依据3.7IP 地址分配表，在二层交换机上配置VLAN300为网管VLAN ，并

40、配置相应的网关；依据3.7IP 地址分配表，在总部三层交换机上为所有的SVI 接口配置IP ；依据3.7IP 地址分配表，在路由器上为所有接口配置IP 。相关命令配置总部二层交换机1：ZB-AES-1(config# interface vlan 300ZB-AES-1(config-if#exit总部三层交换机1：ZB-CORE-1(config# ip routingZB-CORE-1(config# interface loopback0ZB-CORE-1(config-if#exitZB-CORE-1(config#interface fastetherner0/1ZB-CORE-1(

41、config#interface vlan 300ZB-CORE-1(config-if#exitZB-CORE-1(config#interface vlan 20ZB-CORE-1(config-if#exitZB-CORE-1(config#interface vlan 21ZB-CORE-1(config-if#exit总部路由器1：ZB-R-1(config# interface loopback0ZB-R-1(config-if#exitZB-R-1(config#interface fastethernet1/0ZB-R-1(config-if#exitZB-R-1(config

42、#interface fastethernet2/0ZB-R-1(config-if#exit分部一二层交换机1：FY-AES-1(config# interface vlan 300FY-AES-1 (config-if#exit分部一二层交换机2：FY-AES-2(config# interface vlan 300FY-AES-2(config-if#exit分部一路由器1：FY-R-1(config# interface tunnel0FY-R-1(config#interface ethernet2/0.300FY-R-1(config-if#exitFY-R-1(config#in

43、terface ethernet2/0.36FY-R-1(config-if#exitFY-R-1(config#interface ethernet2/0.37FY-R-1(config-if#exit分部二二层交换机1：FE-AES-1(config# interface vlan 300FE-AES-1(config=if#exit分部二二层交换机2：FE-AES-2(config# interface vlan 300FE-AES-2(config=if#exit分部二路由器：FE-R-1(config# interface ethernet2/0.300FE-R-1(config-i

44、f#exitFE-R-1(config#interface ethernet2/0.44FE-R-1(config-if#exitFE-R-1(config#interface ethernet2/0.45FE-R-1(config-if#exitFE-R-1(config# interface tunnel 0FE-R-1(config-if#no shutFE-R-1(config-if#exit5.4 DHCP配置在总部三层交换机、分部一和分部二的路由器上配置DHCP 服务器； 相关命令配置：总部三层交换机1：ZB-CORE-1(config# service dhcpZB-CORE-1

45、(config #ip dhcp pool vlanSCZB-CORE-1(config #ip dhcp pool vlanOAZB-CORE-1(dhcp-config #exitZB-CORE-1(configZB-CORE-1(config分部一路由器：FY-R-1(config# service dhcpFY-R-1(config #ip dhcp pool vlanSCFY-R-1(dhcp-config #exitFY-R-1(config #ip dhcp pool vlanOAFY-R-1(dhcp-config #exitFE-R-1(config# service dhc

46、pFE-R-1(config #ip dhcp pool vlanSCFE-R-1(dhcp-config #exitFE-R-1(config #ip dhcp pool vlanOAFE-R-1(dhcp-config #exit5.5 Internet接入之静态路由配置在总部ZB-CORE-1上配置默认路由，下一跳指向ZB-R-1；在总部ZB-R-1上配置总部网络静态汇总路由，下一跳指向ZB-CORE-1； 在总部ZB-R-1上配置默认路由，下一跳指向公网出口对端IP 地址。在分部一FY-R-1上配置默认路由，下一跳指向公网出口对端IP 地址。 在分部二FE-R-1上配置默认路由，下一跳

47、指向公网出口对端IP 地址。 相关命令配置：总部核心交换机：总部路由器：5.6 Internet接入之NAT 配置在各地区的路由器上配置NAT ，使各业务终端能够正常访问Internet 。 相关命令配置：总部路由器：分部一路由器分部二路由器：5.7 全网互联之GRE 配置总部ZB-R-1 Tunnel0：源地址为ZB-R-1公网IP ，目的地址为FY-R-1公网IP ；总部ZB-R-1 Tunnel1：源地址为ZB-R-1公网IP ，目的地址为FE-R-1公网IP ；分部一FY-R-1 Tunnel0：源地址为FY-R-1公网IP ，目的地址为ZB-R-1公网IP ；分部二FE-R-1 Tu

48、nnel0：源地址为FE-R-1公网IP ，目的地址为ZB-R-1公网IP 。相关命令配置：总部路由器：ZB-R-1(config# interface tunnel0ZB-R-1(config-if#exitZB-R-1(config#interface tunnel1ZB-R-1(config-if#end分部一路由器：ZB-R-1(config# interface tunnel0FY-R-1(config-if#exit分部二路由器：FE-R-1(config# interface tunnel0FE-R-1(config-if#exit5.8 全网互联之静态路由配置在ZB-R-1配置静态汇总路由（各分部路由），下一跳指向GRE 隧道对端地址； 在FY-R-1配置与总部和其他分部的静态汇总路由，下一跳指向GRE 隧道对端地址；在FE-R-1配置与总部和其他分部的静态汇总路由，下一跳指向GRE 隧道对端地址；相关命令配置：总部路由器：分部一路由器：分部二路由器：5.9 访问控制列表配置在ZB-R-1、FY-R-1、FE-R-1上分别配置访问控制列表，以实现本方案中对流量控制的需求：1