中小企业典型组网案例

中小企业典型组网案例案例名称典型中小企业组网实例

技术范围交换

技术关键词VLAN，NAT，ACL，OSPF

网络拓扑

案例描述典型中小企业组网实例，申请一个公网IP和10M带宽，一台CISCO路由器，WEB服务器，文件服务器，FTP服务器等，客户端办公电脑，300台左右，多部门划分VLAN，用ACL控制各部门访问权限，配置网络打印机。

解决方案1,配置Routera).配置接口Interfacefastethernet0/1Ipaddress52DuplexautoSpeedautoIpnatinsideNoshutdownInterfacefastethernet0/2Ipaddress1748DuplexautoSpeedautoIpnatoutsideNoshutdownb)配置路由iproute17c).配置过载ipnatinsidesourcelist110interfaceFastEthernet0/2overloadaccess-list110permitip55any

d).配置端口映射Ipnatinsidesourcestatictcp801780映射WEB服务器Ipnatinsidesourcestatictcp211721映射FTP服务器文件服务器只提供企业内网使用，不配置端口映射

2，配置CoreswitchCISCO4503a)配置VTPVTPVersion:2ConfigurationRevision:7MaximumVLANssupportedlocally:1005NumberofexistingVLANs:9VTPOperatingMode:ServerVTPDomainName:OAVTPPruningMode:DisabledVTPV2Mode:EnabledVTPTrapsGeneration:Enabledb)配置VLANcore-sw#vlandatabase进入vlan配置模式core-sw(vlan)#vtpdomainOA设置vtp管理域名称OAcore-sw(vlan)#vtpserver设置交换机为服务器模式

core-sw(vlan)#vlan2nameguanli创建VLAN2,命名为管理core-sw(vlan)#vlan10nameshichang创建VLAN10，命名为市场core-sw(vlan)#vlan11namecaiwucore-sw(vlan)#vlan12nameshejicore-sw(vlan)#vlan13namenetprintercore-sw(vlan)#vlan20nameserver配置CORE-SW管理IPcore-sw(config)#interfacevlan2core-sw(config-if)#ipaddress54配置各个VLAN网关IPcore-sw(config)#interfacevlan10core-sw(config-if)#ipaddress54core-sw(config)#interfacevlan11core-sw(config-if)#ipaddress54core-sw(config)#interfacevlan12core-sw(config-if)#ipaddress54core-sw(config)#interfacevlan13core-sw(config-if)#ipaddress54core-sw(config)#interfacevlan20core-sw(config-if)#ipaddress54将CORE-SW上的端口根据需要划分至各个VLAN

c)配置ACL应用在各个部门VLAN接口上，控制各部门互访access-list10permit55access-list10permit55access-list10deny55access-list10permitanyaccess-list10应用于VLAN10OUT方向上，市场部内部可以互访，可以访问服务器网段和网络打印机网段，但不能访问财务部和设计部所在网段

access-list11permit55access-list11permit55access-list11permit55access-list11deny55access-list11permitanyaccess-list11应用在VLAN11OUT方向上，财务部内部可以互访问，可以访问服务器网段和网络打印机网络，可以访问市场部网段，但不能访问设计部网段

设计部VLAN12，网络打印机VLAN13，服务器VLAN20可以访问任意网段，应用访问列表access-list101在in的方向上，封掉常见病毒端口，（可以根据实际需要将此ACL应用于任一接口）access-list101denytcpanyanyeq1068access-list101denytcpanyanyeq2046access-list101denyudpanyanyeq2046access-list101denytcpanyanyeq4444access-list101denyudpanyanyeq4444access-list101denytcpanyanyeq1434access-list101denyudpanyanyeq1434access-list101denytcpanyanyeq5554access-list101denytcpanyanyeq9996access-list101denytcpanyanyeq6881access-list101denytcpanyanyeq6882access-list101denytcpanyanyeq16881access-list101denyudpanyanyeq5554access-list101denyudpanyanyeq9996access-list101denyudpanyanyeq6881access-list101denyudpanyanyeq6882access-list101denyudpanyanyeq16881access-list101permitipanyany

d).配置OSPF!routerospf100log-adjacency-changesnetwork55area0default-informationoriginate!3.配置接入层交换机CISCO2950a)配置VTPVTPVersion:2ConfigurationRevision:7MaximumVLANssupportedlocally:1005NumberofexistingVLANs:9VTPOperatingMode:ClientVTPDomainName:OAVTPPruningMode:Enabled打开VTP修剪VTPV2Mode:EnabledVTPTrapsGeneration:Enabledb)配置VLANsw1#vlandatabase进入vlan配置模式sw1(vlan)#vtpdomainOA设置vtp管理域名称OAsw1(vlan)#vtpserver设置交换机为服务器模式

配置接入层交换机管理IPSw1(config)#interfacevlan2Sw1(config-if)#ipaddress

Sw2(config)#interfacevlan2Sw2(config-if)#ipaddress将接入层交换机各端口根据需要，划入各个VLAN例：Sw1(config)#interfacefa0/1Sw1(config-if)#swiaccessvlan12Sw2(config)#interfacerangefa0/1-10Sw2(config-if)#swiaccessvlan13

4.配置办公电脑市场部办公电脑IP：子网：网关：54DNS：0注：配置所有地区的电信DNS服务器即可3为了加强对办公电脑的管理，采用固定IP地址的方法，对人员，电脑，IP，MAC地址进行登记，可以安装一台监控PC，使用SNIFFER软件比外网出口进行监控，发现IP异常，就可以找到使用人。SNIFFER监控，CISCO4500系列交换机的端口镜像，这里是顺便提一下，如果大家有兴趣，我会在以后的实例中再详细说明。

总结：这个案例是比较典型的企业组网方案，骨架已经出来了，还可以加些血肉再丰富一下，将会更好。实施过程中