xxxx公司网络设计方案

1、CompanyIS公司网络设计方案班级：信管1班组员：曹斯然、黄一帆需求分析此网络方案设计的背景是一集团公司，由1个总部和5个分部组成。公司总部为六层楼，一楼迎宾大厅，二楼市场开发中心，三楼研发中心，四楼为会计部，五楼为网络中心,六楼为会议室（已实现无线网络覆盖）以及公司的高层管理人员办公区。分部1（共有5个分部但本报告中仅举其一为例）分为前台和后台。前台包括服务台和会计部，后台下设有维修部。该公司需建立自己的公司网站、用以向外发布信息与商谈网络业务。总部与各分部之间需保持联系、共享资源。总部与各分部均各自设有总经理总管业务并保持保密性交流联系，能够进行视频会议。其中各个会计部需有较高的保密性

2、、由各自的总经理直接管辖。公司还应设立有自主的邮件系统、数据库；此外公司网络需有较良好的网络扩展性和保密性。此外，我们设定只有经理有接入INTERNET权限，普通员工不能连接外网。基于以上需求，我们为该公司做了如下规划：将总部按照部门划分子网，以二层交换机集成每层的计算机，再集成汇入该核心交换机（第三层交换机）；分部的设置同于总部。将路由作为分部和总部的边际结点以相连形成整个公司的网络。在接入层使用交换机、分布层使用路由，以提高信息交换的效率、减少广播风暴和信息冲突造成的延迟和错误。在公司内部，我们应用虚拟局域网（VLAN）技术实现各自会计部、各层经理的保密性需求及权限设置（以第三层交换机上的

3、虚拟子网设置实现分属于不同二层交换机下的经理间的保密性通讯；其中会计部经理与总经理的端口接入方式为Hybrid混合模式以使其能够同时位于会计部VLAN与经理VLAN之中，使得公司高层对公司财务的直接监控与管理）。在与外网连接的部分，设置了防火墙以防止外部网络病毒侵袭公司系统。此外，我们运用ACL访问控制列表限制了公司各数据库服务器的访问权限，以保证公司机要信息的安全；此外我们还利用ACL访问控制列表拒绝公司除经理以外的员工接入INTERNET，来对公司的网络连接进行控制。为公司配备了邮件系统服务器和DNS服务器，会计部特设有独立的会计部数据库满足需要。各层均设有数台共享打印机。总部的会议室应用

4、了无线网络连接技术，方便会议中的数据查询与网络视频会议。二、硬件配置：PC机:总部共35台PC,每个部门设有部门经理一名，并有若干名职员交换机:每个部门一个二层交换机(switch-PT)，总公司分公司各配备一个三层交换机(MultilayerSwitch)。路由器:总公司分公司各配备一个路由器用于连接(Router-PT)总公司6层会议室配备一台无线路由器(Linksys-WRT300N)服务器:总公司有两台服务器、总公司分公司会计部个配备一台内部服务器打印机:每层配备若干台公共打印机三、网络配置1、在PacketTracer50中构建该局域网如图所示:191.iB.D.liB褴.调iju(

5、iJB箜PT洋n虫JhX31总部三层ttch-PFlLSZ.L.-4.Soud-PTIrfcerntt5rd4h-PT加穴曰-PT税公司边际路K-PTPC-PFPC-PF园曾KLI母狀191.iB.D.liB褴.调iju(iJB箜PT洋n虫JhX31总部三层ttch-PFlLSZ.L.-4.Soud-PTIrfcerntt5rd4h-PT加穴曰-PT税公司边际路K-PTPC-PFPC-PF园曾KLI母狀XL9Z.LL1.4BS1-53Lt.总部一层迎宾大厅总部二层市场研发中心部际山分VJ路研发中心lrt-PT.mnoiiti总部四层R-irrt-|总部五层会计部网络中心Wrttt-PTPnit

6、crS分部1服务部分部1会计部3KOS4P5F-1uhdhK：fBvhchO2、传输介质:本企业属大型企业，网络范围较宽，网络数据传输量比较大，因此需采用光纤等高速率传输介质来作为总公司与分公司间的主干连接（光缆的电磁绝缘性较好，信号衰变小，频带较宽，传输距离较大，传输速度较快，它可以在68km的距离内不适用中继器实现高速数据传输，在2.5Gbps的传输速率下，数十公里不需要使用中继器）在企业各公司内部，使用双绞线作为传输介质即可满足需求，同时其相比较价格便宜，可节约企业资金。各PC机和服务器与一级交换机间采用双绞线直连连接，一级交换机和二级交换机、二级交换机和路由器以及路由器间采用双绞线交叉

7、连接。3、子网划分：192.1IK.7A?i55LL1Ewwy.Rj-PTFG-PTpc.pt192.1IK.7A?i55LL1Ewwy.Rj-PTFG-PTpc.ptPCI2:L*；斤raT-is胡1严斗至曲Satvif-PT=)尊罟如g吉窑氏.计Trfr亠LI4土I6Pf料甲；j艸知JEJKi:站菲戸FTSSFBiP：公司总部使用网段192100。具体IP地址分配如下:一戻迎宾大厅:pc0:pcl:二层市场开发中心:pc2:pc3:市场开发中心经理：三层研发部：一戻迎宾大厅:pc0:pcl:二层市场开发中心:pc2:pc3:市场开发中心经理：三层研发部：四层会计部：五层网络中心:pc5:研

8、发部经理：pc8：会计部经理：网管：网络中心经理：pc6:pc9:pc12:六层无线网络一会议室：pc4:00总经理：pc7:0其他管理人员：公司分部1使用网段.具体IP地址分配如下:前台服务部前台会计部后台维修部：pc20:pcl3:前台服务部前台会计部后台维修部：pc20:pcl3:pcl7:分公司总经理：pcl5:pc14:pc18:虚拟子网:总部经理间通讯虚拟子网:VLAN111-VLANkuaiii-VLAN222VLANkuaiii-VLAN222-4路由器配置：动态路由设置与路由器端口IP设置：将与路由对应端口相连接的网段网关加入路由RIP设置中，在数据传输过程中将由路由进行路径

9、选择。具体设置如下例无线路由器设置：自动分配地址（DHCP）：在无线网络覆盖的会议室里，我们应用了DHCP自动分配新接入网的PC机的IP，以更加便利。Phy.LdConfig茁IiLDBITWnternetAutomaticConfiguration-DHCPHelp.192-tea.o.iroiyz.16S.0.lotLinksS5-WRT3J0N元氏寸TpSwibe192.168.L2PC-FTSHA_E6OptionalEettingsrequiredbysomeinternetsaruicaproviders)NetwiOirkSei:upRouterIPDHCPSemer5Ettin

10、gsHostName:DamainName:MTUAutomaticConfiguration-DHCPHelp.192-tea.o.iroiyz.16S.0.lotLinksS5-WRT3J0N元氏寸TpSwibe192.168.L2PC-FTSHA_E6OptionalEettingsrequiredbysomeinternetsaruicaproviders)NetwiOirkSei:upRouterIPDHCPSemer5EttingsHostName:DamainName:MTU；PAddress:SubnetDHCPSeruer;192DleaEnaibledDidblsdtart

11、IPAddress:oPAddressRango:50ClientLeaseTime:rainutej(0meansaday,DDHCPReservation-ElStaticDNG1:u+ii-nwq9-更FC4邕闭阳饲1|cmracuePhysical1CnnliqrDesktopWirelessPortStatusUlNKBvSGLOBALWirelessWrtlw-fNBrudbvidinterfaclStaticDNG1:u+ii-nwq9-更FC4邕闭阳饲1|cmracuePhysical1CnnliqrDesktopWirelessPortStatusUlNKBvSGLOBALW

12、irelessWrtlw-fNBrudbvidinterfaclBandwidthfrlACAdliS55DDDZ.+ACd.-KIBEF.b*WlrSodheftEajrirjg1r+1miian：DKadeiii畑yIP*DH匚FEtaticIPAddressSubnetMa阿,(OOEInIInIInIInI-无线路由器密码设置：给无线路由设置密码以保证只有拥有正确密码的PC机用户才能连入该无线网络。-无线路由会议室通讯测试:長PC7PhysicalConfigDesktop長PC7PhysicalConfigDesktop5.交换机配置：核心交换机端口店设置：在I0S环境下给核心交换机

13、以指令形式给各端配置IP,以作为各子网的网关。（下图以总部核心交换机的各端DIP配置情况为例）PortFastEtliemet0/1FastEtliernet-OfZFastEtliemetO/3FastEtliernet0/4F宜号七PortFastEtliemet0/1FastEtliernet-OfZFastEtliemetO/3FastEtliernet0/4F宜号七Eth色ri-LtO/5FastEtliemet0/6FastEtliemet.0/7FastEtliemetO/8FastEtliernet0/9F宜号七Eth色ri-LtO/10FastEtliemet0/11Fast

14、Etliernet-Of12FastEtliemet0/13FastEtliernet0/14F宜号七Eth色ri-LtO/15FastEtliemet0/16Fa.盲匸E匸hE17FastEtliemet0/18FasfcEtliernetO/19F宜号七Eth色ri-LtO/20FastEtliernet-O/ZlFa.盲匸E匸hE22FastEtliemet0/23FasfcEtliernetO/24C-i.jrsJj.it-Etlirn&t0/1G-igatiit-Ethemet.0/2VIaiilHustiiame:Swt-chPhyslealLeeat-icm:Ln-Lk吸gm%D

15、O7X(11DOTOiDoimDOTiJtlDOTiEtiDO7X(11DOTOiDoimDDOTiEtiDO7X(11DOTOiDoimDDOTiEtiDO7X(11DOTOiDoimDUpPLAN111111111111111111111111111111Intercity-HumsIPAddress192_1.1.1/Z419Z_1.J1/Z419Z_1.3.1/24192丄.4.1/24192_1.1/24192_1.6.Z/Z4J.FE.J.石8.O.Z/2419Z_168.1.1/Z4-=：iiets&t=：nolLset=：not-s已匸pnot审已匸a-=：iiets&t=：n

16、olLset=：nolLset=：nolLset19Z_1.11.1/Z4City,CorporateMjlL.Addl-fi5500607Cld820100607口7；3.8Z020060.7073.82030060.mCJ1?.S2040060兀72.82000607口了3.820600607口7；3.8Z070060.7073.820S0060.mCJ1?.S2090060兀72.820A00607Cld820B00607口7；3.8Z0C0060.7073.820D0060.mCJ1?.S20E0060兀72.820F00607Cld8210060.70730060.7073.821Z

17、0060.mCl1?.821300603口7?.821400607口了3.82150607口738ZJ日0060.7073.82170060.mCl1?821800603口7?.821900607Cld821k0E0:F77盘QZDS00E0.F79A.DZEDTOfficenririrnCloset.例：给核心交换机的fO/1端配置IP为：switch(config)#interfocefostEthernetO/1switch(config-if)#noswitchportswitch(config-if)#ipaddressswitch(config-if)#noshutdown核心交换

18、机(第三层交换机)VLAN配置：为保证各部门经理间通讯的机密性，我们为经理设置了一个单独的VLAN;该VLAN是由基于同一个第三层交换机、分属于不同二层交换机下的PC机组成的VLAN。具体配置过程如下：第一步：设置核心交换机为VTP服务器、创建VTP域：MultilayerSwitch总公司三层交换机：(默认为服务器)switch(config)#vtpdomaincisco创建VTP,并命名为ciscoswitch(config)#interrangefO/1-5switch(config-if-range)#switchportmodetrunk对接口进行封装第二步：设置各二层交换机为VT

19、P客户模式、创建VTP域:SwitchO：SwitchO(config)#vtpdomaincisco创建VTP,并命名为ciscoSwitchO(config)#vtpmodeclient指定为客户模式SwitchO(config)#interfacefO/12SwitchO(config-if)#switchportmodetrunk对接口进行封装第三步：在核心交换机上创建VLAN111：MultilayerSwitch总部三层交换机：3560(config)#vlan111第四步：在VTP服务器(核心交换机)上创建VLAN，各客户机(二层交换机)上也应同步VLAN信息：Switch0:S

20、witchO#showvlanbrief查看客户机中是否同步了vlan信息第五步：在各二层交换机上将各的经理划入VLAN111：例：将PC0划入vlanlll中，代码如下SwitchO:SwitchO(config)#intfO/1Switch0(config-if)#switchportmodeaccessSwitch0(config-if)#switchportaccessvlan111Switch0(config-if)#exit第六步：设置核心交换机路由功能利用SVI技术，利用交换机虚拟接口实现：MultilayerSwitch总部交换机：switch(config)#intvlan1

21、11switch(config-if)#ipaddress-设置经理虚拟子网的网段为switch(config-if)#exit二层交换机的VLAN配置：（如下图所示按照接划分）6.服务器设置：(1)域名解析(DNS)服务:添加了该功能后，用户可以通过输入域名来进入网站，便于用户更为清晰的记忆域名，并区分不同的组织机构，不同的国家，使登陆网站更为方便。具体设置如图所示：IfliMSjmfuconLparQrds.con$口回IPhEical|Config|DesktopDNSServiceOn幵DomainNameIPAddress.h.I-Add.h.I-DomainNamePAddress

22、卿训则公司网络中所有其他PC机均可通过域名访问公司网站(如下图)(2)E-MAIL服务器：我们使用了邮局协议(POP)和简单邮件传送协议(SMTP),为公司提供便利的电子邮件服务。(3)数据库7其他：除第一层外，公司总部的每一层均共享有若干台公共打印机，以供内网内所有计算机调用，提高了公司资源的利用效率。在设置上只需将该打印机的IP设置在该层的网段内即可。Ping连同测试如下：長PC5PhysicalConfigDesktopCornmandPromptPacketTracerPCCoiranandLinaL-0POping192-2.3.2Pinging192-2-3-2with32byte

23、sofdata:Kepi?from1S:Replyfrom1S:Replyfrom1S:Replyfrom1S:Kepi?from1S:Replyfrom1S:Replyfrom1S:Replyfrom1S:Destinstionhastunreachable.Destinationhastunreaahahle-DestinationhostDestinationhostunreaohahie-utleeachahie-Pingstatisticsfor192-2.3.2:Packets:Sen七=4eReceived=0eLost=4(100%loss),POping192-1-3.4Pi

24、nging192-1-3.4with32bytesofdata:Replyfrcjm1S2.1.3-4Replyfrom1S2.1.3-4ReplyfremReplyfrcjm1S2.1.3-4Replyfrom1S2.1.3-4Replyfrem1S2.1.3-4Replyfrcim152-1.3-4bytes=32bytes=32bytes=32tima=lSmstime=10instimje=10msTTL=128TTL=128TTL=128bytes=32timje=SmsTTL=128Fingstatisticsfor192-1-3.-4:Packets:Sent=4rReceive

25、d=4pLost=0(0%loss)pApprOKima/t:eroirndtriptimesinmilli-seconds:材二b二四、安全设置:设置虚拟局域网以保证会计部门的信息安全：如下图所示IN11IMl1I(1旳孑二IN11IMl1I(1旳孑二f网屛_-ia77T箪i吹-邙氐或对该公司设置了三个虚拟局域网：将公司总部与分部的会计部门各自划入一个虚拟局域网（如上图中所示的VLAN4和VLAN222）,以免公司极机密信息泄露；将公司的所有经理划入一个VLAN（如图中所示的VLAN111）以保证公司高层的交流的机密性。（其中会计部经理既在会计部VLAN中又在经理VLAN中，使用了Hybri

26、d混合模式）做了如上述设置之后，使用ping指令测试效果如下：#公司总部普通员工之间通讯测试:卑PCOo丨回PhyisicalConfigDesktopComiiiaindPromptPing-j-ng-192-1-2.3with.32bytajc-fda.tR&ouegcclEffledClaplySronLSZ.L.Z”3:hycb=32TTL=127ReplyfrsnLS2-L-.2.3:hytes32TTL-127Replyfr-om.3：lime二TTLF12TPing2tati-rticafor192.L.3:Packets沁口t4PReceived-SyLo-31-11ds=54

27、Jippt口K1JIU.TWDLind.trip匸5o：aLzimil11aacc-ndt:Hinzsum.=14ms1FMajuziiE.=羽由n3rXvarage=-1-2.3Pinging192-1-2.3p-th32byteacdAt-ia.:CLsplyfrsan13Z.L.2.3:広g匚ac=3ZZ1XA=18EUTTL=127EleplyfrsonLS2-L.5.3:bytes32二：ix*.1SmsIHL-127Replyfr-nm.3:hntes32t-j.DnelBruTTL-127Clsplyfrsan.L.I.3:bg匚ac=Zzlxia=lEzfiaTTL=12TPi

28、ng2oxLS2.L.Z.3:3anr=Elac-luadLiaz.二口HMOjp磅pritimzt匸CiUJ3iltzzptlmE.3LZLmllLzaaacnilT：MinzmimTi-J.lGuif,Msuxuz.16m3rAvcrag1*17ni3#公司总部的普通员工不能访问总经理（）：FPCIFPCIPhysicalConfigDesktopCommandPromptPacketTracerPCounrandLine1.0POpimg192.11.4Piiiainu192.1_11_4with32bytea口：fdata:ReplyD.aplyReplyReply丘termrerm工

29、匚ermfrom192-1.1-1:Deatin&ticn13Z-1.1-1:Deatlnatlcn:DeatinatiDTiPingstatisticsfar192-1IL_4zPacii.fi七勺：Sent=4-EZecaxvadhostho-atilO3thO3tunrsaehaisle.unrsacnaSle-unreachable.GrLast4(100%loaf)#公司总部其他部门的员工不能访问会计部（网段）（保密性要求）：PhysicalConfigDesktopCommandPromptPacketTracerPCounrandLine1.0POpimg192.11.4Piii

30、ainu192.1_11_4with32bytea口：fdata:ReplyD.aplyReplyReply丘termrerm工匚ermfrom192-1.1-1:Deatin&ticn13Z-1.1-1:Deatlnatlcn:DeatinatiDTiPingstatisticsfar192-1IL_4zPacii.fi七勺：Sent=4-EZecaxvadhostho-atilO3thO3tunrsaehaisle.unrsacnaSle-unreachable.GrLast4(100%loaf)#公司总部其他部门的员工不能访问会计部（网段）（保密性要求）：PhysicalConfigDe

31、sktopConunandPromptPacletTracerFCcaiimai:-dLine1-0isz-i.-q.z-wi-th32hyt&gofdata:t0.GqiiGs七R.eqiitRe-queattiuigd七imadtimdtimjE-dcut-cut-cut-c-ut.PUi-gsLarIsLiesfor1S2.1.4_2iPadsta:Sent=4Pdeceived=LO3C=4100%lo-saJ,#公司分部普通员工间通讯:竽PC17DesktopPhysicalConfigCommandFromp七PacksuTracei:PCCoiriirLanUUlne1-0Pin

32、ging192-2.3.3-with32iaytesofdata:froinRsplEZapl*Replfromfromfrombytes=32bytes=32bytas-92bytes=32tim=Sinstime=7ms七nis-=2irL3time=Em3TTL=128TTL=1；8TTL=12STTL=128Ping勻匕县ltis七iu:sf口匸132-2-3-31Packets:Sent4BReceived=4BLost=0(0%1口ss|pApproximateraundtriptimesinmilli-seeonda:Minimum=7nspHajcxinon=2insRJive

33、rage=吕ui勻#公司分部间其他部门员工不能访问会计部:PC15PhysicalconfigDesktuj#公司分部普通员工无法访问分部总经理()：與PC2OPhysicalconfiyDesktopCommandPromp七PacketTracerPCCommandLine1.0192.Z-S-2Pinging192-2.5.2with32bytesofdata:S.s-qu.sttlaie-dout.5.SQUESttimedout-ReqiiEsttimedout-S.9qii9sttimedout-Pingstatisticsfor192-2-5.2:Packets:Sent=4rK

34、eceived=0,Lost=4(100%loss)j防火墙设置：在进入我公司网的端口设置了防火墙，并且在系统上安装杀毒软件,定期为系统进行杀毒。网络防火墙技术是一种用来加强网络之间访问控制，防止外部网络用户以非法手段通过外部网络进入内部网络，访问内部网络资源，保护内部网络操作环境的特殊网络互联设备它对两个或多个网络之间传输的数据包如链接方式按照一定的安全策略来实施检查,以决定网络之间的通信是否被允许，并监视网络运行状态.为了加强对重要信息的安全性管理，在三层交换机上连接了侵入检查系统，同时,由系统软件为各个用户分配的权限。ACL访问控制列表：对E-mail服务器进行设置，旨在防止外部网络的病毒或不良信息侵入。(在路由器上进行配置)该E-ma订服务器允许公司所有设备的访问，但拒绝其它流量。Router(config)#accessTist1permittcpanyhosteqsmtpRouter(config)#accessTist1permit