中小企业典型组网案例

2007-08-17 16:35:30

　标签：网络交换 51CTO博客出书　　　[推送到技术圈]

案例名称

典型中小企业组网实例

技术范围

交换

技术关键词

VLAN，NAT，ACL，OSPF

网络拓扑

案例描述

典型中小企业组网实例，申请一个公网IP和10M带宽，一台CISCO路由器，WEB服务器，文件服务器，FTP服务器等，客户端办公电脑，300台左右，多部门划分VLAN，用ACL控制各部门访问权限，配置网络打印机。

解决方案

1,配置Router

a).配置接口

Interface fastethernet0/1

Ip address 172.27.0.1 255.255.255.252

Duplex auto

Speed auto

Ip nat inside

No shutdown

Interface fastethernet0/2

Ip address 202.103.0.117 255.255.255.248

Duplex auto

Speed auto

Ip nat outside

No shutdown

b)配置路由

ip route 0.0.0.0 0.0.0.0 202.103.0.117

c).配置过载

ip nat inside source list 110 interface FastEthernet0/2 overload

access-list 110 permit ip 172.27.0.0 0.0.255.255 any

d).配置端口映射

Ip nat inside source static tcp 172.27.2.1 80 202.103.0.117 80 映射WEB服务器

Ip nat inside source static tcp 172.27.2.2 21 202.102.0.117 21 映射FTP 服务器

文件服务器 172.27.2.3 只提供企业内网使用，不配置端口映射

2，配置Core switch CISCO 4503

a)配置VTP

VTP Version : 2

Configuration Revision : 7

Maximum VLANs supported locally : 1005

Number of existing VLANs : 9

VTP Operating Mode : Server

VTP Domain Name : OA

VTP Pruning Mode : Disabled

VTP V2 Mode : Enabled

VTP Traps Generation : Enabled

b) 配置VLAN

　　core-sw#vlan database 进入vlan配置模式

　　core-sw (vlan)#vtp domain OA 设置vtp管理域名称OA

core-sw (vlan)#vtp server 设置交换机为服务器模式

core-sw (vlan)#vlan 2 name guanli 创建VLAN2,命名为管理

core-sw (vlan)#vlan 10 name shichang 创建VLAN 10，命名为市场

core-sw (vlan)#vlan 11 name caiwu

core-sw (vlan)#vlan 12 name sheji

core-sw (vlan)#vlan 13 name netprinter

core-sw (vlan)#vlan 20 name server

配置CORE-SW管理IP

core-sw(config)#interface vlan 2

　　core-sw(config-if)#ip address 172.27.254.254 255.255.255.0

配置各个VLAN 网关IP

core-sw(config)#interface vlan 10

　　core-sw(config-if)#ip address 172.27.47.254 255.255.255.0

　　core-sw(config)#interface vlan 11

　　core-sw(config-if)#ip address 172.27.45.254 255.255.255.0

　　core-sw(config)#interface vlan 12

　　core-sw(config-if)#ip address 172.27.46.254 255.255.255.0

core-sw(config)#interface vlan 13

　　core-sw(config-if)#ip address 172.27.31.254 255.255.255.0

core-sw(config)#interface vlan 20

　　core-sw(config-if)#ip address 172.27.2.254 255.255.255.0

将CORE-SW上的端口根据需要划分至各个VLAN

c) 配置ACL 应用在各个部门VLAN接口上，控制各部门互访

access-list 10 permit 172.27.2.0 0.0.0.255

access-list 10 permit 172.27.31.0 0.0.0.255

access-list 10 deny 172.27.0.0 0.0.255.255

access-list 10 permit any

access-list 10 应用于VLAN 10 OUT方向上，市场部内部可以互访，可以访问服务器网段和网络打印机网段，但不能访问财务部和设计部所在网段

access-list 11 permit 172.27.2.0 0.0.0.255

access-list 11 permit 172.27.31.0 0.0.0.255

access-list 11 permit 172.27.47.0 0.0.0.255

access-list 11 deny 172.27.0.0 0.0.255.255

access-list 11 permit any

access-list 11应用在VLAN 11 OUT方向上，财务部内部可以互访问，可以访问服务器网段和网络打印机网络，可以访问市场部网段，但不能访问设计部网段

设计部VLAN 12 ，网络打印机 VLAN 13，服务器 VLAN 20 可以访问任意网段，应用访问列表access-list 101 在in的方向上，封掉常见病毒端口，（可以根据实际需要将此ACL应用于任一接口）

access-list 101 deny tcp any any eq 1068

access-list 101 deny tcp any any eq 2046

access-list 101 deny udp any any eq 2046

access-list 101 deny tcp any any eq 4444

access-list 101 deny udp any any eq 4444

access-list 101 deny tcp any any eq 1434

access-list 101 deny udp any any eq 1434

access-list 101 deny tcp any any eq 5554

access-list 101 deny tcp any any eq 9996

access-list 101 deny tcp any any eq 6881

access-list 101 deny tcp any any eq 6882

access-list 101 deny tcp any any eq 16881

access-list 101 deny udp any any eq 5554

access-list 101 deny udp any any eq 9996

access-list 101 deny udp any any eq 6881

access-list 101 deny udp any any eq 6882

access-list 101 deny udp any any eq 16881

access-list 101 permit ip any any

d).配置OSPF

router ospf 100

log-adjacency-changes

network 172.27.0.0 0.0.255.255 area 0

default-information originate

3.配置接入层交换机 CISCO 2950

a)配置VTP

VTP Version : 2

Configuration Revision : 7

Maximum VLANs supported locally : 1005

Number of existing VLANs : 9

VTP Operating Mode : Client

VTP Domain Name : OA

VTP Pruning Mode : Enabled 打开VTP修剪

VTP V2 Mode : Enabled

VTP Traps Generation : Enabled

b) 配置VLAN

　sw1#vlan database 进入vlan配置模式

　sw1 (vlan)#vtp domain OA 设置vtp管理域名称OA

sw1 (vlan)#vtp server 设置交换机为服务器模式

配置接入层交换机管理IP

Sw1(config)#interface vlan 2

　 Sw1(config-if)#ip address 172.27.254.1 255.255.255.0

Sw2(config)#interface vlan 2

　 Sw2(config-if)#ip address 172.27.254.2 255.255.255.0

将接入层交换机各端口根据需要，划入各个VLAN

例：

Sw1(config)#interface fa0/1

　 Sw1(config-if)#swi access vlan 12

Sw2(config)#interface range fa0/1 - 10

　 Sw2(config-if)# swi access vlan 13

4.配置办公电脑

市场部办公电脑

IP：172.27.47.1

子网：255.255.255.0

网关：172.27.47.254

DNS：202.10.20.30 注：配置所有地区的电信DNS服务器即可

202.10.22.33

为了加强对办公电脑的管理，采用固定IP地址的方法，对人员，电脑，IP，MAC地址进行登记，可以安装一台监控PC，使用SNIFFER软件比外网出口进行监控，发现IP异常，就可以找到使用人。SNIFFER监控，CISCO4500系列交换机的端口镜像，这里是顺便提一下，如果大家有兴趣，我会在以后的实例中再详细说明。

总结：这个案例是比较典型的企业组网方案，骨架已经出来了，还可以加些血肉再丰富一下，将会更好。实施过程中还有很多地方可以完善和创新，例如：加一台核心交换机，就可以使用双机热备方案，启用思科HRSP协议，实现双机热备，如果企业园区较大，可以组建主干光纤网，添加汇聚层交换机，体现网络的延展性，实现网络扩容；根据端口映射的配置，可以添加邮件服务品，VPN服务器，等等。

小弟在这里写的实例，贴在51CTO实在是班门弄斧，重在参与，还请大家不要见笑，鉴于本人水平有限，里面的错误在所难免，希望大家多多指证，交流技术。最后感谢51cto给大家这样的一交流的平台。

本文出自 “天上飘的猫~Blog” 博客，请务必保留此出处http://13192083.blog.51cto.com/748/38673

昵称：
验证码：		点击图片可刷新验证码　　博客过2级，无需填写验证码
内容：