xxxx公司网络设计方案

1、CompanyIS 公司网络设计方案班级：信管1 班组员：曹斯然、黄一帆一、需求分析此网络方案设计的背景是一集团公司，由 1 个总部和 5 个分部组成。公司总部为六层楼，一楼迎宾大厅， 二楼市场开发中心， 三楼研发中心， 四楼为会计部，五楼为网络中心 , 六楼为会议室（已实现无线网络覆盖）以及公司的高层管理人员办公区。分部1（共有 5 个分部但本报告中仅举其一为例）分为前台和后台。前台包括服务台和会计部，后台下设有维修部。该公司需建立自己的公司网站、用以向外发布信息与商谈网络业务。总部与各分部之间需保持联系、 共享资源。总部与各分部均各自设有总经理总管业务并保持保密性交流联系，能够进行视频会议

2、。其中各个会计部需有较高的保密性、由各自的总经理直接管辖。 公司还应设立有自主的邮件系统、数据库；此外公司网络需有较良好的网络扩展性和保密性。此外，我们设定只有经理有接入INTERNET权限，普通员工不能连接外网。基于以上需求，我们为该公司做了如下规划：·将总部按照部门划分子网，以二层交换机集成每层的计算机，再集成汇入该核心交换机（第三层交换机） ；分部的设置同于总部。将路由作为分部和总部的边际结点以相连形成整个公司的网络。 在接入层使用交换机、 分布层使用路由，以提高信息交换的效率、减少广播风暴和信息冲突造成的延迟和错误。·在公司内部，我们应用虚拟局域网（ VLAN）技术

3、实现各自会计部、各层经理的保密性需求及权限设置 （以第三层交换机上的虚拟子网设置实现分属于不同二层交换机下的经理间的保密性通讯； 其中会计部经理与总经理的端口接入方式为 Hybrid 混合模式以使其能够同时位于会计部 VLAN与经理 VLAN之中，使得公司高层对公司财务的直接监控与管理） 。在与外网连接的部分，设置了防火墙以防止外部网络病毒侵袭公司系统。此外，我们运用 ACL访问控制列表限制了公司各数据库服务器的访问权限，以保证公司机要信息的安全；此外我们还利用ACL访问控制列表拒绝公司除经理以外的员工接入 INTERNET，来对公司的网络连接进行控制。·为公司配备了邮件系统服务器和

4、DNS服务器，会计部特设有独立的会计部总部二层市场研发中心总部三层研发中心数据库满足需要。 各层均设有数台共享打印机。 总部的会议室应用了无线网络连接技术，方便会议中的数据查询与网络视频会议。二、硬件配置：PC机：总部共 35 台 PC，每个部门设有部门经理一名，并有若干名职员交换机：每个部门一个二层交换机 （switch-PT ），总公司分公司各配备一个三层交换机（ Multilayer Switch）。路由器： 总公司分公司各配备一个路由器用于连接（Router-PT ）总公司 6 层会议室配备一台无线路由器（Linksys-WRT300N）服务器： 总公司有两台服务器、总公司分公司会计部

5、个配备一台内部服务器打印机： 每层配备若干台公共打印机三、网络配置1、在 Packet Tracer5.0中构建该局域网如图所示：分部1分部1总部一层迎宾大厅服务部会计部分部 1维修部总部四层总部五层会计部网络中心2、传输介质：本企业属大型企业， 网络范围较宽， 网络数据传输量比较大， 因此需采用光纤等高速率传输介质来作为总公司与分公司间的主干连接（光缆的电磁绝缘性较好，信号衰变小，频带较宽，传输距离较大，传输速度较快，它可以在68km的距离内不适用中继器实现高速数据传输， 在 2.5Gbps 的传输速率下， 数十公里不需要使用中继器）；在企业各公司内部，使用双绞线作为传输介质即可满足需求，同

6、时其相比较价格便宜，可节约企业资金。各 PC机和服务器与一级交换机间采用双绞线直连连接，一级交换机和二级交换机、二级交换机和路由器以及路由器间采用双绞线交叉连接。3、子网划分：·公司总部使用网段 。具体 IP 地址分配如下：一层迎宾大厅：pc0:pc1:二层市场开发中心：pc2:pc3:市场开发中心经理：三层研发部：pc5:pc6:研发部经理： 四层会计部：pc8： pc9:会计部经理

7、： 五层网络中心：网管： pc12:网络中心经理： 六层无线网络会议室:总经理其他管理人员：·公司分部 1 使用网段具体 IP 地址分配如下：前台服务部：pc20:pc15:前台会计部：pc13:pc14:后台维修部：pc17:pc18:分公司总经理： ·虚拟子网：总部经理间通讯虚拟子网：总部会计部虚拟子网：VLAN kuaiji 分部会计部虚拟子网：VLA

8、N 222 4路由器配置：动态路由设置与路由器端口IP 设置：将与路由对应端口相连接的网段网关加入路由 RIP 设置中，在数据传输过程中将由路由进行路径选择。具体设置如下例无线路由器设置：·自动分配地址（ DHCP）：在无线网络覆盖的会议室里，我们应用了 DHCP自动分配新接入网的 PC机的 IP ，以更加便利。·无线路由器密码设置： 给无线路由设置密码以保证只有拥有正确密码的 PC机用户才能连入该无线网络。·无线路由会议室通讯测试：5. 交换机配置：核心交换机端口IP 设置： 在 IOS 环境下给核心交换机以指令形式给各端口配置作为各子网的网关

9、。 （下图以总部核心交换机的各端口IP 配置情况为例）IP ，以例：给核心交换机的f0/1端口配置为：switch(config)#interface fastEthernet0/1switch (config-if)#no switchportswitch (config-if)#no shutdown 核心交换机（第三层交换机）VLAN配置 ：为保证各部门经理间通讯的机密性，我们为经理设置了一个单独的VLAN；该 VLAN是由基于同一个第三层交换机、分属于不同二层交换机下的 PC机组成的 VLAN。具体配置过程如下：·第一步：设置核心交换机为VTP 服务器、创建VTP 域：Mul

10、tilayer Switch总公司三层交换机: （默认为服务器）switch(config)#vtp domain cisco 创建 VTP，并命名为ciscoswitch (config)#inter range f0/1 5switch (config-if-range)#switchport mode trunk 对接口进行封装·第二步：设置各二层交换机为VTP 客户模式、创建VTP 域：Switch0 ：Switch0(config)#vtp domain cisco Switch0(config)#vtp mode client 创建 VTP，并命名为 指定为客户模式cis

11、coSwitch0(config)#interface f0/12Switch0(config-if)#switchport mode trunk 对接口进行封装·第三步：在核心交换机上创建VLAN 111 ：Multilayer Switch -总部三层交换机:3560(config)#vlan 111·第四步：在 VTP 服务器（核心交换机）上创建 VLAN ，各客户机（二层交换机）上也应同步 VLAN 信息：Switch0:Switch0#show vlan brief 查看客户机中是否同步了vlan 信息·第五步：在各二层交换机上将各的经理划入VLAN11

12、1 ：例：将PC0划入 vlan111 中，代码如下Switch0:Switch0(config)# int f0/1Switch0(config-if)#switchport mode accessSwitch0(config-if)#switchport access vlan 111Switch0(config-if)#exit·第六步：设置核心交换机路由功能利用SVI 技术，利用交换机虚拟接口实现：Multilayer Switch -总部交换机 :switch(config)#int vlan 111网段为switch (config-if)#exit 设置经理虚拟子网的

13、二层交换机的VLAN配置： ( 如下图所示按照接口划分)6. 服务器设置：（ 1）域名解析（ DNS）服务： 添加了该功能后，用户可以通过输入域名来进入网站，便于用户更为清晰的记忆域名， 并区分不同的组织机构， 不同的国家，使登陆网站更为方便。 具体设置如图所示：则公司网络中所有其他PC 机均可通过域名访问公司网站 （如下图）（ 2） E-MAIL 服务器：我们使用了邮局协议（ POP）和简单邮件传送协议（ SMTP），为公司提供便利的电子邮件服务。（3）数据库：7. 其他： 除第一层外，公司总部的每一层均共享有若干台公共打印机，以供内网内所有计算机调用，提高了公司资源的利用效率。在设置上只需

14、将该打印机的IP 设置在该层的网段内即可。 Ping 连同测试如下：四、安全设置：设置虚拟局域网以保证会计部门的信息安全：如下图所示对该公司设置了三个虚拟局域网：将公司总部与分部的会计部门各自划入一个虚拟局域网（如上图中所示的VLAN4和 VLAN222），以免公司极机密信息泄露；将公司的所有经理划入一个VLAN（如图中所示的VLAN111）以保证公司高层的交流的机密性。（其中会计部经理既在会计部VLAN中又在经理VLAN中，使用了Hybrid 混合模式）做了如上述设置之后，使用ping 指令测试效果如下：#公司总部普通员工之间通讯测试：#公司总部的普通员工不能访问总经理（）：#公司总部其他部

15、门的员工不能访问会计部（网段）( 保密性要求 ) ：#公司分部普通员工间通讯：#公司分部间其他部门员工不能访问会计部：#公司分部普通员工无法访问分部总经理（）：防火墙设置： 在进入我公司网的端口设置了防火墙，并且在系统上安装杀毒软件，定期为系统进行杀毒。网络防火墙技术是一种用来加强网络之间访问控制, 防止外部网络用户以非法手段通过外部网络进入内部网络 , 访问内部网络资源 , 保护内部网络操作环境的特殊网络互联设备 . 它对两个或多个网络之间传输的数据包如链接方式按照一定的安全策略来实施检查, 以决定网络之间的通信是否被允许, 并监视网络运行状态.为了加强对重要信息的安全性管理， 在三层交换机

16、上连接了侵入检查系统，同时，由系统软件为各个用户分配的权限。ACL访问控制列表：·对 E-mail 服务器进行设置，旨在防止外部网络的病毒或不良信息侵入。 （在路由器上进行配置）该 E-mail 服务器允许公司所有设备的访问，但拒绝其它流量。·为了为会计部门提供保密地数据库服务，我们为其设置了FTP 访问权限，保证只有会计部内部人员有权访问该服务器：对总公司的会计部内部的FTP服务器设置权限（在路由器上进行配置）会计部内部FTP 服务器只允许会计部门内VLAN内的用户使用其 FTP服务，拒绝其它流量。·在连入外网的路由上进行了访问控制：只允许公司经理层（网段为）连

17、接外网，其余均为内网访问。因此在路由上做如下设置：及Router(config)#access-list 2 deny any应用于端口ethernet1/1：Router(config)#interface fastethernet0/0Router(config-if)#ip access-group 1 outRouter(config-if)#exit五、总结该局域网的构建基本满足了该公司的需求，基本达到最初的设想。在构建该公司内部局域网过程中， 我们着重研究了安全性控制方面的设置。安全性对于一家公司的网络运行是尤为重要的， 只有保证了公司信息的保密性与安全性，才能顺利的进行数据传输，才能公司的经营管理和正常运作起到很大的保障作用。我们对公司的安全保障的硬件基础主要是路由器和交换机。对于交换机，通过对VLAN设置来实现其安全性控制，对未在其 VLAN中的 PC机不允许其进行通讯，从而实现对公司机密部门（例如会计部）的信息保密；对于路由器，通过设置ACL访问控制列表来阻挡不安全网站的信息传送，以此来实现该网络的网关安全性控制。在安全性方面，还可通过进程管理、浏览器安全管理等进行控制，这是公司局域网搭建好后的后续加强保障工作，在此不作研究。这次实验收获很大，通过小组讨论和在模拟环境上进行实践，我们对局域网构建的相关理论知识更加清晰，对IP 地址分配、子网划