中小企业网络结构设计2(思科版)

思科为中小型企业网络安全出谋划策“为数据处理系统建立和采用的技术和管理的安全保护，保护计算机硬件、软件和数据不因偶然和恶意的原因遭到破坏、更改和泄漏”。

----国际标准化组织（ISO）从“信息化高速公路”到“数字地球”，信息化浪潮席卷全球。

Internet的迅猛发展不仅带动了信息产业和国民经济地快速增长，也为企业的发展带来了勃勃生机。

以Internet 为代表的信息技术的发展不仅直接牵动了企业科技的创新和生产力的提高，也逐渐成为提高企业竞争力的重要力量。

企业通过Internet 可以把遍布世界各地的资源互联互享，但因为其开放性，在Internet 上传输的信息在安全性上不可避免地会面临很多危险。

当越来越多的企业把自己的商务活动放到网络上后，针对网络系统的各种非法入侵、病毒等活动也随之增多。

而我们面临的这些信息安全问题的解决，主要还是依赖于现代信息理论与技术手段；依赖于安全体系结构和网络安全通信协议等技术；依赖借助于此产生的各种硬件的或软件的安全产品。

这样，这些安全产品就成为大家解决安全问题的现实选择。

中国网络安全现状分析中国国内企业和政府机构都希望能具有竞争力并提高生产效率，这就必须对市场需求作出及时有力的响应，从而引发了依赖互联网来获取、共享信息的趋势，这样才能进一步提高生产效率进而推动未来增长。

然而，有网络的地方就有安全的问题。

过去的网络大多是封闭式的，因而比较容易确保其安全性，简单的安全性设备就足以承担其任务。

然而，当今的网络已经发生了变化，确保网络的安全性和可用性已经成为更加复杂而且必需的任务。

用户每一次连接到网络上，原有的安全状况就会发生变化。

所以，很多企业频繁地成为网络犯罪的牺牲品。

因为当今网络业务的复杂性，依靠早期的简单安全设备已经对这些安全问题无能为力了。

主要网络安全问题及其危害1）网络网络攻击在迅速地增多网络攻击通常利用网络某些内在特点，进行非授权的访问、窃取密码、拒绝服务等等。

中小企业网络设计与构建1. 简介网络在现代企业中扮演着重要的角色，中小企业作为经济发展的主要力量，其网络设计与构建也变得尤为重要。

本文将会探讨如何实现中小企业网络的设计和构建，为中小企业的IT运营提供指导和建议。

2. 网络设计2.1 网络拓扑网络拓扑是指网络中各个节点之间的连接关系，它直接影响到网络的稳定性和容错性。

对于中小企业，常见的网络拓扑有星型、总线型、环型和混合型等。

在选择网络拓扑时，需要考虑到企业的规模、设备数量和结构、带宽需求以及安全要求等因素。

例如，在设备数量不太多的情况下，适合选择星型拓扑，而在带宽需求比较高的情况下，则需要选择具有较高容错性的环型拓扑。

2.2 网络类型中小企业常见的网络类型有局域网（LAN）、广域网（WAN）和虚拟专用网络（VPN）等。

局域网适用于企业内部设备的连接，广域网适用于不同地点间的连接，而VPN适用于需要跨地域访问企业内部网络的用户。

在选择网络类型时，需要考虑到企业的具体需求，例如是否需要实现远程办公、数据共享和资源共享等。

2.3 网络安全网络安全是中小企业网络设计中必不可少的一部分，对于中小企业而言，资金和人力不充裕，使得它们往往成为黑客攻击的目标。

因此，网络安全需求必须得到重视。

网络安全需求包括网络的物理安全、网络设备的安全和应用程序的安全。

为了保障网络安全，中小企业可以采用网络安全措施，例如防火墙、VPN、入侵检测系统等。

3. 网络构建3.1 网络设备网络设备是构建中小企业网络的核心组成部分，主要包括路由器、交换机、网关等。

在选择网络设备时，需要考虑到企业的网络规模、预算、带宽需求等因素。

对于中小企业而言，可以选择便宜、易用和可靠的网络设备，例如华为、思科等品牌的网络设备。

3.2 网络连接网络连接是指网络设备之间的连接关系，创建网络连接需要考虑到物理和逻辑连接。

物理连接包括使用网线、光纤等连接设备，而逻辑连接则是指使用协议连接设备。

在进行网络连接时，需要考虑到网络设备之间的距离、带宽、容错性等因素，以确保网络连接的稳定性和效率。

目录中文摘要、关键词 (3)1、概述 (3)1.1课题的来源和背景 (3)1.2课题目的及意义 (4)1.3工程概况 (4)2、需求分析 (5)2.1目标需求 (5)2.2用户需求 (5)2.3网络需求 (5)2.3.1系统和设备需求 (5)2.3.2网络性能需求 (5)2.3.3安全性需求 (6)2.3.4可扩展性需求 (6)2.4总体需求 (6)3、网络系统详细设计 (7)3.1指导原则和总体目标 (7)3.2网络拓扑结构 (7)3.3 IP地址规划与VLAN划分 (8)3.3.1 IP地址规划 (8)3.3.2 VLAN划分 (9)3.3.3 IP与VLAN规划方案 (10)3.4网络设计 (10)3.4.1核心层网络设计 (10)3.4.2分布层网络设计 (10)3.4.3接入层网络设计 (11)3.5设备选型与配置 (11)3.5.1路由器 (11)3.5.2三层交换机 (12)3.5.3二层交换机 (13)3.6无线局域网（WLAN） (13)3.7虚拟专用网络（VPN） (14)4、网络安全 (15)4.1常见的安全威胁 (15)4.2网络安全轮 (16)4.3常规防范技术 (16)参考文献 (17)英文摘要、关键词 (18)基于思科设备的中小型企业网络规划设计信息技术学院计算机科学与技术专业指导教师XXX作者XXX摘要：随着信息时代的来临，计算机网络的发展和普及，人们之间的联系愈发紧密，计算机在社会各个领域的应用和影响早已渗透到了人们工作和生活的各个方面。

信息化建设，尤其是作为国民经济信息化基础的企业信息化建设已成为企业发展的必由之路，组建一个属于自己的企业网络，已是势在必行。

本文所研究构建的企业网主要是针对中小型企业，基于思科设备来进行规划设计的。

思科企业复合网络模型ECNM采用接入层、分布层、核心层三层分层设计的同时，将网络分为企业园区、企业边缘、服务层提供商边缘几个功能组件，有助于网络结构设计清晰合理，也保证网络安全性。

中小型企业网络设计方案为了满足中小型企业日益增长的网络需求，设计一个可靠、高效的网络架构至关重要。

下面提供一个中小型企业网络设计方案，旨在提高网络性能、安全性和可用性。

1.网络拓扑设计：-为了提高网络可扩展性和冗余性，使用分布式拓扑结构。

将整个网络划分为几个区域，每个区域都有一个核心交换机和多个分布式交换机。

-在每个区域中，使用冗余链路连接核心交换机和分布式交换机，以保证网络的高可用性。

-在每个区域中，将交换机连接到相应的办公室子网和服务器子网。

使用虚拟局域网（VLAN）将办公室子网和服务器子网进行隔离，以提高网络安全性。

2.网络设备选择：-选择可靠、高性能的交换机作为核心交换机和分布式交换机。

这些交换机应具备足够的端口数量、高速背板和冗余功能。

-选择符合企业需求的无线路由器和访问点，以支持办公室无线网络。

-选择防火墙和入侵防御系统（IPS）来保护企业网络安全。

3.IP地址规划：-使用合适的IP地址规划方案，以保证IP地址的有效利用和路由的高效。

-为每个区域分配一个子网，为办公室子网和服务器子网分配相应的IP地址段。

4.办公室网络设计：-为每个办公室子网分配独立的VLAN，以隔离不同办公室的网络流量。

-配置安全特性，如端口安全、MAC地址过滤和虚拟专用网络（VPN），以提高办公室网络的安全性。

-提供足够的带宽和稳定的无线网络覆盖，以满足员工对移动办公的需求。

5.服务器网络设计：-为服务器子网分配独立的VLAN，并将其与核心交换机直接连接，以实现高速、可靠的访问。

-为每台服务器分配静态IP地址，并配置适当的安全措施，如防火墙、入侵防御系统和安全访问控制。

-使用服务器负载均衡和链路聚合技术，以提高服务器网络的可靠性和性能。

6.网络安全：-配置防火墙和IPS来检测和阻止恶意网络流量，以保护企业网络免受攻击。

-使用虚拟专用网络（VPN）提供安全的远程访问，并使用网络访问控制列表（ACL）限制对敏感资源的访问。

引言：随着信息科技的快速发展，中小型企业对于网络的需求越来越高。

一个稳定、高效的网络设计方案对于中小型企业来说至关重要，它不仅可以提高企业的工作效率，还可以保障企业的信息安全。

本文将为中小型企业提供一套完备的网络设计方案，包括网络设备选型、拓扑结构设计、安全策略、数据备份、网络维护等内容。

概述：网络设计是中小型企业建立一套稳定可靠的网络基础设施的重要环节。

一个合理的网络设计方案应该考虑到企业的规模、需求、安全性等因素，同时还要具备可扩展性和易维护性。

正文内容：一、网络设备选型1.需求分析：根据企业的规模和需求，确定所需网络设备的类型和规格。

2.品牌选择：选择具有良好口碑和售后服务的网络设备品牌，如思科、华为等。

3.设备数量：根据企业的规模和需求，确定所需网络设备的数量。

4.价格预算：制定网络设备采购的预算，并与供应商进行充分的谈判和比较。

二、拓扑结构设计1.局域网架构：根据企业的规模和需求设计局域网的拓扑结构，如星型、树型、环型等。

2.子网划分：根据企业的部门和功能需求，划分不同的子网，提高网络的安全性和管理性。

3.网络设备部署：根据拓扑结构设计，合理部署网络设备，确保网络的通畅和稳定。

4.网络优化：优化网络设备的配置，提高网络的性能和响应速度。

5.网络扩展：考虑到企业的发展需求，设计网络的可扩展性，方便后续的扩容和升级。

三、安全策略1.访问控制：设置网络访问控制策略，限制未授权的访问。

2.防火墙配置：配置防火墙，阻止恶意攻击和网络入侵。

3.加密技术：使用加密技术保护网络传输的数据安全。

4.定期更新：定期更新网络设备的软件和固件，修复已知的漏洞。

5.安全培训：开展员工的网络安全培训，提高员工的安全意识和防范能力。

四、数据备份1.数据分类：根据数据的重要性，进行分类和分级备份。

2.备份方案：制定数据备份的方案，包括备份的频率、备份的位置等。

3.存储介质：选择适合企业需求的存储介质，如磁带、硬盘或云存储等。

目录《中小企业网络构建》课程整体设计《中小企业网络构建》课程整体设计一、管理信息课程名称：中小企业网络构建 制定时间： 课程代码：略 所属系部： 制定人：批准人：二、基本信息学分：6 学时：108授课对象：三年制高职计算机专业学生 课程类型：计算机网络技术专业核心技能课程先修课：计算机基础，计算机网络基础，网络操作系统后续课：计算机网络管理、网络互联技术—广域网、网络工程师认证三、课程设计1．课程目标设计 （1）能力目标职业特定能力（表现在每一个具体的职业、工种和岗位上的能力）： ● 能根据网络需求进行网络拓扑结构设计； ● 能进行基于中小企业网络的物理连接及设置；●能对中小型企业网络进行设备选型、物理连接及相关配置；职业特定能力 行业通用能力 核心能力实训教程流行技术 网络素养职业素质●能根据网络设备说明书学习设备的使用方法；●能配置基于Windows Server2003的网络服务；●能对常见的简单网络故障进行查找及排除；行业通用能力（表现在每一个行业或者相近工作领域的，存在一定共性的能力）●具备使用Visio软件绘制网络拓扑图的能力；●具备进行小型企业网组网的能力；●具备使用合适设备将企业网连入Internet的能力；●具备安装服务器操作系统及配置常用服务的能力；●具备书写工程技术文档的能力；核心能力（从事任何工作都需要的、具有普遍适用性的能力）●具有规范安全操作的能力——工具的正确使用和规范的上机操作；●具有团结协作的能力——互相帮助、共同学习，具备协作精神，服从大局；●具有自我展示的能力——讲述、说明、提问、回答问题；●自我学习的能力——会使用图书馆和Internet上各类资料帮助解决组网过程中所遇到的问题。

（2）知识目标●知道中小企业网组成情况，通信协议与IP地址相关知识；●知道中小企业网组网技术相关知识；●知道中小企业网中使用的硬件设备特性的相关知识；●知道中小企业网使用的服务器操作系统相关知识；●知道Internet接入技术相关知识；●知道基本网络安全技术相关知识；●知道网络常用命令相关知识。

要求：1、使用思科路由器与ISP相连，专线接入。

2、内部网络使用三层交换机，下接若干VLAN；3、VLAN间不能互访，VLAN通过路由NAT上网设计思路：1、路由器上配置NAT转换，默认路由至ISP，静态路由至三层交换机2、三层交换机上划VLAN，实现VLAN间路由，至路由器默认路由；3、三层交换机上做ACL列表演，写实现VLAN间互相隔离技术。

PS：笔者原做过一个华为的中小企业网络结构设计，有网友许多问题是否可以提供一个思科版式的，因此在参照原来下载的资料中的脚本和拓扑，编写了本文。

本例中基实也可以不要三层交换机，直接在路由器上做单臂也可以。

只是不适合复杂的网络和发展。

单臂路由的应用以后再起文讨论。

接ISP的可以是电口也可以是串口，本例以串口为例。

不同的二层支持的封装方式不同，我这里使用dot11，可以兼容华为的产品。

在二层配置中也列出了SNMP的配置（其实是我原有的配置中就有，懒得删），可供参考，三层中配置方式基本上一样。

因上传仓促配置出了些错误，在此谢谢“lu_ning78 ”的提醒。

本文旨在抛砖引玉，以下内容需要回复才能看到配置文件如下：一、路由器配置 ROUTER1Router1#show runBuilding configuration...Current configuration : 989 bytes!version 12.4service timestamps debug datetime msecservice timestamps log datetime msecno service password-encryption!hostname router2!boot-start-markerboot-end-marker!!no aaa new-modelmemory-size iomem 5!!ip cef!!!interface FastEthernet0/0ip address 192.168.0.1 255.255.255.0ip nat insideip virtual-reassemblyspeed 100full-duplex!interface Serial1/0ip address 172.16.0.1 255.255.255.0ip nat outsideip virtual-reassemblyserial restart-delay 0!interface Serial1/1no ip addressshutdownserial restart-delay 0!interface Serial1/2no ip addressshutdownserial restart-delay 0!interface Serial1/3no ip addressshutdownserial restart-delay 0!ip http serverip route 192.168.0.0 255.255.0.0 192.168.0.2!!ip nat inside source list 101 interface Serial1/0 overload !access-list 101 permit ip 192.168.0.0 0.0.255.255 any!!!control-plane!!!!!!!!line con 0line aux 0line vty 0 4!!End二、三层交换机SW1sw1#show runBuilding configuration...Current configuration : 1284 bytes!version 12.4service timestamps debug datetime msec service timestamps log datetime msec no service password-encryption!hostname sw1!boot-start-markerboot-end-marker!!no aaa new-modelmemory-size iomem 5!!ip cef!!!interface FastEthernet1/0!interface FastEthernet1/1no switchportip address 192.168.0.2 255.255.255.0 !interface FastEthernet1/2!interface FastEthernet1/3desc to_sw2speed 100duplex fullswitchport mode trunkswitchport trunk allowed vlan 10!!interface FastEthernet1/4desc to_sw3speed 100duplex fullswitchport mode trunkswitchport trunk allowed vlan 20!interface FastEthernet1/5!interface FastEthernet1/6!interface FastEthernet1/7!interface FastEthernet1/8!interface FastEthernet1/9!interface FastEthernet1/10!interface FastEthernet1/11!interface FastEthernet1/12!interface FastEthernet1/13!interface FastEthernet1/14!interface FastEthernet1/15!interface Vlan1no ip address!interface Vlan10ip address 192.168.10.1 255.255.255.0ip access-group 101 in!interface Vlan20ip address 192.168.20.1 255.255.255.0!no ip http serverip route 0.0.0.0 0.0.0.0 192.168.0.1!!!access-list 101 deny ip 192.168.10.0 0.0.0.255 192.168.20.0 0.0.0.255 access-list 101 permit ip any any!!!control-plane!line con 0line aux 0line vty 0 4!!End三、二层交换机SW2SW2#show runBuilding configuration...Current configuration:!version 12.0no service padservice timestamps debug uptimeservice timestamps log uptimeservice password-encryption!hostname sw2!enable secret 5 $1$VNwo$L6oFFQa3enable password 7 130D02131C09!!!interface FastEthernet0/1 switchport access vlan 10 !interface FastEthernet0/2 switchport access vlan 10 !interface FastEthernet0/3 switchport access vlan 10 !interface FastEthernet0/4 switchport access vlan 10 !interface FastEthernet0/5 switchport access vlan 10 !interface FastEthernet0/6 switchport access vlan 10 !interface FastEthernet0/7 switchport access vlan 10 !interface FastEthernet0/8 switchport access vlan 10 !interface FastEthernet0/9 switchport access vlan 10 !interface FastEthernet0/10 switchport access vlan 10 !interface FastEthernet0/11 switchport access vlan 10 !interface FastEthernet0/12 switchport access vlan 10 !interface FastEthernet0/13 switchport access vlan 10 !interface FastEthernet0/14 switchport access vlan 10 !interface FastEthernet0/15switchport access vlan 10!interface FastEthernet0/16switchport access vlan 10!interface FastEthernet0/17switchport access vlan 10!interface FastEthernet0/18switchport access vlan 10!interface FastEthernet0/19switchport access vlan 10interface FastEthernet0/20switchport access vlan 10!interface FastEthernet0/21switchport access vlan 10!interface FastEthernet0/22switchport access vlan 10!interface FastEthernet0/23switchport access vlan 10!interface FastEthernet0/24desc to-sw1duplex fullspeed 100switchport trunk encapsulation dot1q switchport trunk allowed vlan 10 switchport mode trunk!interface VLAN1no ip addressno ip directed-broadcastip nat outsideno ip route-cache!interface VLAN10ip address 192.168.10.10 255.255.255.0 no ip directed-broadcastip nat outsideno ip route-cache!ip default-gateway 192.168.10.1snmp-server engineID local 000000090200000142B1E200 snmp-server community private RWsnmp-server community public ROsnmp-server chassis-id 0x0E!line con 0password 7 03174C0605417transport input nonestopbits 1line vty 0 4password 7 03174C0605417loginline vty 5 14password 7 03174C06054171loginline vty 15password 7 141F070A1B01login!end四、二层交换机SW3SW3#show runBuilding configuration...Current configuration:!version 12.0no service padservice timestamps debug uptimeservice timestamps log uptimeservice password-encryption!hostname sw3!enable secret 5 $1$VNwo$L6oFFQa3enable password 7 130D02131C09!!!interface FastEthernet0/1 switchport access vlan 20 !interface FastEthernet0/2 switchport access vlan 20 !interface FastEthernet0/3 switchport access vlan 20 !interface FastEthernet0/4 switchport access vlan 20 !interface FastEthernet0/5 switchport access vlan 20 !interface FastEthernet0/6 switchport access vlan 20 !interface FastEthernet0/7 switchport access vlan 20 !interface FastEthernet0/8 switchport access vlan 20 !interface FastEthernet0/9 switchport access vlan 20 !interface FastEthernet0/10 switchport access vlan 20 !interface FastEthernet0/11 switchport access vlan 20 !interface FastEthernet0/12 switchport access vlan 20 !interface FastEthernet0/13 switchport access vlan 20 !interface FastEthernet0/14 switchport access vlan 20 !interface FastEthernet0/15 switchport access vlan 20interface FastEthernet0/16switchport access vlan 20!interface FastEthernet0/17switchport access vlan 20!interface FastEthernet0/18switchport access vlan 20!interface FastEthernet0/19switchport access vlan 20interface FastEthernet0/20switchport access vlan 20!interface FastEthernet0/21switchport access vlan 20!interface FastEthernet0/22switchport access vlan 20!interface FastEthernet0/23switchport access vlan 20!interface FastEthernet0/24desc to-sw1duplex fullspeed 100switchport trunk encapsulation dot1q switchport trunk allowed vlan 20 switchport mode trunk!interface VLAN1no ip addressno ip directed-broadcastip nat outsideno ip route-cache!interface VLAN20ip address 192.168.20.10 255.255.255.0 no ip directed-broadcastip nat outsideno ip route-cacheip default-gateway 192.168.20.1snmp-server engineID local 000000090200000142B1E200 snmp-server community private RWsnmp-server community public ROsnmp-server chassis-id 0x0E!line con 0password 7 03174C0605417transport input nonestopbits 1line vty 0 4password 7 03174C0605417loginline vty 5 14password 7 03174C06054171loginline vty 15password 7 141F070A1B01login!end。

中小企业无线网建网方案一、项目背景随着信息化时代的到来，中小企业对于无线网络的需求越来越大。

无线网络不仅可以提高员工的办公效率，还可以为企业提供更好的客户体验和服务。

因此，中小企业建立无线网络已经成为一项重要的任务。

二、建网目标三、建网方案1.建设规模根据中小企业的需求和预算，建议在办公区域和客户接待区域建设无线网络。

对于一个500平方米的企业，建设2-4个无线接入点即可满足需求。

2.设备选择（1）无线路由器：选择高性能、稳定可靠的无线路由器，如思科（Cisco）、华为（Huawei）等品牌。

（2）无线接入点：根据覆盖范围选择合适的无线接入点，如Aruba、Ruckus等品牌。

（3）无线网卡：需要对每台电脑或移动设备安装无线网卡。

3.网络安全中小企业建设无线网络时，网络安全是一个重要的考虑因素。

建议采用以下安全措施：（1）设置无线网络密码：设置复杂的无线网络密码，并定期更换密码。

（2）使用WPA2加密：使用WPA2加密来保护无线网络。

（3）限制访问权限：根据用户的权限设置访问限制，防止未经授权的用户访问无线网络。

（4）安装防火墙：安装防火墙来保护无线网络免受网络攻击。

4.网络管理中小企业建设无线网络后，需要进行网络管理，包括：（1）网络监控：监控无线网络的性能和状态，及时发现和解决问题。

（2）流量控制：根据网络负载情况进行流量控制，确保网络畅通。

（3）设备管理：管理无线设备的配置和更新，确保设备处于最佳状态。

（4）用户管理：管理用户的权限和访问控制，保护无线网络的安全。

5.网络扩展中小企业在无线网络建设时，应考虑未来的发展和扩展需求。

建议采用可扩展性强的网络架构，以便在需要时能够方便地增加无线接入点和扩大无线覆盖范围。

四、投资预算1.设备购买：包括无线路由器、无线接入点和无线网卡等设备。

2.网络安全：包括防火墙和安全软件等。

3.网络管理：包括网络监控和管理软件等。

五、项目实施计划1.项目启动：确定项目目标、范围和预算，并成立项目团队。

思科成长型企业级安全网络架构您的企业迟早都需要一个强大的网络。

一个好消息是，您不需要成为一个大型企业，就可以拥有一个这样的网络。

思科系统公司®开发的思科®成长型企业级安全网络架构可以让您的流程变得更加自动化、更加智能和更加安全。

而且，思科的独特设计还使它非常便于理解、部署，最重要的是，它可以更加方便地为您的企业带来新的成本节约优势和扩展空间。

下面仅仅列出了一部分您的企业可以通过思科成长型企业级解决方案获得的好处：•防止您的关键业务资产遭受内部和外部的网络威胁•保护您的客户数据，符合法律的保密要求•通过安全地将对信息的访问权限拓展到在办公室、在家或者在外出途中的员工，加快决策速度、促进协作和简化任务•通过个性化功能、协作和以客户为中心的服务，提高客户忠诚度，加强您的员工响应客户需求的能力•通过电子商务开拓商机•通过控制运营开支，在业务发展的同时限制成本•灵活地部署各种可以随着业务需求的变化而发展的技术一个可以为业务发展奠定基础的安全网络架构通过建设适当的网络基础设施，成长型企业可以有效地提高他们的业务永续性和灵活性，捕捉发展机遇，降低运营成本，以及提高员工的生产率。

思科的安全网络架构是他们的理想选择。

思科成长型企业级安全网络架构可以为客户提供一种创新的系统级方法，帮助他们建立融合的业务网络，从而大幅度地简化运营、降低成本，加快提高生产率和盈利能力的速度。

这些创新的集成多业务路由器，加上屡获大奖的Cisco Catalyst®系列交换机和无线接入点，可以进一步提升这个集成网络系统的价值，让成长型企业有机会利用他们的网络获得显著的经济效益。

思科安全网络架构包括下列组成部分：集成多业务路由器思科集成多业务路由器是思科成长型企业级安全网络架构的核心。

这些创新的集成多业务路由器将数据、安全和话音功能集成到了同一个灵活的平台之中。

它让成长型企业用户可以立即启用它所需要的服务，同时为未来的发展提供足够的空间。

中小型公司企业网络设计方案一、网络需求分析1.人员规模：假设该公司有100名员工。

2.办公自动化需求：办公软件、电子邮件、网盘、在线会议等。

3.数据传输量：主要以文字、表格、PPT等文件传输为主，也需要进行较少的视频会议。

4.网络安全需求：企业机密资料的保护，攻击防护。

二、网络拓扑结构设计根据公司的规模和需求，建议采用一台核心交换机和若干台接入交换机的三层汇聚型设计，如下所示：1.核心交换机：负责连接接入交换机、调控网络流量，具备较大的带宽和可拓展性。

2.接入交换机：每个部门和重要岗位的工作区域提供独立的接入交换机，方便管理和控制流量。

3.服务器：设置一台主要的文件服务器，用于存储和共享办公文件。

三、网络设备选型1.核心交换机：选择24口或48口的千兆交换机，具备高可用性和冗余机制，如思科Catalyst系列。

2.接入交换机：选择8口、16口或24口的千兆交换机，可根据各部门的人员规模进行调整。

3.无线路由器：为员工提供无线上网，选择高性能和高安全性的无线路由器，如华为、TP-LINK等。

4.防火墙：设置网络出入口处的防火墙，用于保障网络安全，可选用思科ASA系列或绿盟安全设备。

四、网络安全策略1.网络访问控制：通过访问控制列表（ACL）和VLAN等技术，限制员工访问敏感资料和需要权限的系统。

2.数据加密传输：对重要的文件传输和远程访问采用加密传输协议，如SSL、IPSec等。

3.安全审计和监控：通过日志和审计工具，对网络流量和设备进行实时监控和审计，发现异常行为及时处置。

4.培训和教育：定期组织网络安全培训，加强员工对网络安全的意识和安全使用网络的技巧。

五、网络管理和维护1.网络拓扑图：绘制详细的网络拓扑图，包括设备布局、IP地址分配等信息，便于日常管理和故障排除。

2.设备管理：采用网络管理软件，对所有网络设备进行集中管理和监控，实现快速故障诊断和修复。

3.备份与恢复：定期进行重要数据和配置文件的备份，保证数据的安全切换和快速恢复。

Science &Technology Vision 科技视界0引言《中小企业网络设计与构建》课程是计算机网络专业学生的必修课程和专业核心课程。

教学方法以教师讲授加课堂实验为主,按照原来的教学方法,学生学习兴趣低,综合设计能力较差,解决问题能力差,理论与实验相分离,各实验结合性较差,学生接受困难。

目前在中职也有网络课程,旨在培养学生按照要求配置设备的能力;校外培训班有网络应用工程师的认证培训,旨在短期集中培训上岗,培养学生对单种设备的配置调试能力;普通高校的此类课程,关注底层原理,注重培养学生深层开发能力;笔者对本课程进行了全新的课程设计,使课程与中职、培训班、普通高校皆有不同,目的是培养学生对多种设备的配置调试能力,同时培养学生的设计规划能力,及综合排错能力。

1课程目标设计1.1项目情景思捷公司是集研发、生产、销售于一体的一个电器公司,总公司位于中关村,随着公司业务的开展,公司在丰台区建立了研发生产中心,包括研发楼一栋,生产厂房两座。

公司招标网络项目。

要求在研发生产中心的研发楼建立网络中心,达到全网互通,研发生产中心要搭建自己的服务器,在研发成果保密的情况下与总公司连接。

本课程围绕思捷公司网络组建项目从规划设计、到布线与实施,直至最后的服务与管理展开,以培养职业能力为重点,针对岗位需求,有效地组织教学内容,按照工作过程设计教学各个环节,通过学习情境设计与工作任务的训练,全方位培养学生能力。

1.2能力目标通过完成网络规划与设计项目,学生能够运用中小企业网络工程设计的方法与原理,了解用户需求分析,能够正确设计网络拓扑结构,熟练划分子网,书写简单的网络工程设计方案;学生能运用综合布线系统的技术规范,进行综合布线,并能够使用测线设备进行网络线路的测试。

通过完成办公室网络组建与管理项目,学生能够按照T568A/B 标准,制作非屏蔽双绞线;能够正确配置Windows 的TCP/IP 协议;能够按照办公室网络的实际需求,设计规划Windows 域网络,正确安装AD 服务器,将成员计算机加入到域并实现域用户的基本管理;能够使用普通二层交换机连接网络,使用Windows 工作组,实现办公室网络的资源共享。

企业网络拓扑图：1.需求分析1.1总架构本课程设计是关于企业的网络设计，其中企业的总体架构为，企业分为总部和分支机构，总部有6个部门，其中有后勤、销售、策划、人事、财务、董事局，而且包括会议室，预计可设30、100、50、50、50、15、20台PC；1.2网络性能分析1.2.1 以太网分层网络模式：企业采用接入层、汇聚层、核心层的总架构，接入层目的是允许终端用户连接到网络，因此接入层交换机具有低成本和高端口密度特性；汇聚层交换层是多台接入层交换机的汇聚点，它必须能够处理来自接入层设备的所有通信量，并提供到核心层的上行链路，因此汇聚层交换机与接入层交换机比较，需要更高的性能，更少的接口和更高的交换速率。

而将网络主干部分称为核心层，核心层的主要目的在于通过高速转发通信，提供油画，可靠的骨干传输结构，因此核心层交换机应拥有更高的可靠性，性能和吞吐量。

1.2.2VTPVTP（VLAN Trunking Protocol），是VLAN中继协议，也被称为虚拟局域网干道协议。

对与一个有多交换机的网络，vtp有着方便管理员管理相关vlan的好处，vtp定义交换机的角色有服务器模式（Server）客户机模式（Client）透明模式（Transparent）3种，client的特点就是限制本交换机配置vlan，但是它可以通过server交换机配置的vlan获得相关vlan的信息；Transparent只对vtp数据包转发，而不存在响应server交换机；而server交换机可以配置vlan并使client交换机一致；因此，一个网络的交换机配置了vtp，对于管理维护是一种好的事情，这也正是本网络的需要；1.2.3VLANVLAN（Virtual Local Area Network）"虚拟局域网"，主要为了解决交换机在进行局域网互连时无法限制广播的问题。

这种技术可以把一个LAN划分成多个逻辑的LAN——VLAN，每个VLAN是一个广播域，VLAN内的主机间通信就和在一个LAN内一样，而VLAN 间则不能直接互通，这样，广播报文被限制在一个VLAN内。

⼩型企业的⽹络拓扑结构设计⼩型企业的⽹络拓扑结构设计⼀、设计⽬的企业局域⽹的最终⽬标是建设整个单位的互联、统⼀、⾼效、实⽤、安全的局域⽹络，近期可⽀持上百个，远期⾄少可⽀持上午个并发⽤户，提供⼴泛的资源共享（包括硬件、软件和信息资源共享）。

⽹络结构清楚、布线合理、充分考虑房间分布；局域⽹性能稳定、安全；软、硬件结合良好，公司⽇常办公需要，⽅便资源共享、游览有良好的兼容性和可扩展性，具备单位局域⽹与其他单位局域⽹互连，并根据具体需求实现⽹上视频信号传输的能⼒。

两个办公区可以实现互相通信。

⼆、设计要求（⼀）实⽤性：⽹络建设从应⽤实际需求出发，坚持为领导决策服务，为经营管理服务，为⽣产建设服务。

另外，如果是对现有⽹络升级改造，还应该充分考虑如何利⽤现有资源，尽量发挥设备效益。

（⼆）适度先进性：规划局域⽹，不但要满⾜⽤户当前的需要，还应该有⼀定技术前瞻性和⽤户需求预见性，考虑到能够满⾜未来⼏年内⽤户对⽹络功能和带 宽的需要。

采⽤成熟的先进技术，兼顾未来的发展趋势，即量⼒⽽⾏，⼜适当超 前，留有发展余地。

（三）安全可靠性：确保⽹络可靠运⾏，在⽹络的关键部分应具有容错能⼒，提供公共⽹络连接、通信链路、服务器等全⽅位的安全管理系统。

（四）开放性：采⽤国际标准通信协议、标准操作系统、标准⽹管软件、采⽤符合标准的设备，保证整个系统具有开放特点，增强与异机种、异构⽹的互联能。

（五）可扩展性：系统便于扩展，保证前期的投资的有效性与后期投资的连续性。

（六）安全保密性：为了保证⽹上信息的安全和各种应⽤系统的安全，在规划 时就要为局域⽹考虑⼀个周全的安全保密⽅案。

三、⽹络拓扑图图1拓扑图四、设计过程（⼀）IP地址的划分财务部 192.168.1.1销售部 192.168.2.1科研部 192.168.3.1⼈事部 192.168.4.1表1IP地址表（⼆）设计步骤及主要源代码1、办公区A的路由器发布rip协议Router (config)#inter f0/0Router config-if)#ip add 192.168.5.1 255.255.255.252Router (config-if)#no shuRouter config-if)#interface FastEthernet1/0Router config-if)#interface FastEthernet1/0.2Router config-if)#encapsulation dot1Q 2Router config-if)#ip address 192.168.1.254 255.255.255.0Router config-if)#interface FastEthernet1/0.3Router config-if)#encapsulation dot1Q 3Router config-if)#ip address 192.168.2.254 255.255.255.0Router (config-if)#router ripRouter (config-router)#net 192.168.1.0Router (config-router)#net 192.168.2.0Router (config-router)#net 192.168.5.0Router (config-router)#ver 2Router (config-router)#end图2办公区A路由图2、办公区B的路由器发布ospf协议Router (config)# interface FastEthernet1/0Router (config-if)#ip address 192.168.6.2 255.255.255.252Router (config)#interface FastEthernet0/0Router (config-if)#ip address 192.168.7.1 255.255.255.252Router (config-if)#no shutdownRouter (config)#router ospf1Router (config-router)# network 192.168.6.0 0.0.0.255 area 0Router (config-router)# network 192.168.7.0 0.0.0.255 area 0 Router (config)#int se 2/0Router (config-if)#end图3办公区B路由图3、对sw3进⾏ospf的发布SW3(config)#inter fa 0/1SW3(config-if)#ip add 192.168.7.2 255.255.255.252SW3(config-if)#inter fa 0/2SW3(config-if)#ip add 192.168.3.254 255.255.255.0SW3(config-if)#inter fa 0/3SW3(config-if)#ip add 192.168.4.254 255.255.255.0SW3(config-if)#router ospf 1SW3(config-router)#net 192.168.3.0 0.0.0.255 ar 0SW3(config-router)#net 192.168.4.0 0.0.0.255 ar 0SW3(config-router)#net 192.168.7.0 0.0.0.255 ar 0图4 3560交换机图4、对中间路由r1发布ospf和ripRouter (config)#interface FastEthernet0/0Router (config-if)#ip address 192.168.5.2 255.255.255.0Router (config)#interface FastEthernet1/0Router (config-if)#ip address 192.168.6.1 255.255.255.0Router (config)#router ospf 1Router (config-router)#redistribute rip subnetsRouter (config-router)#network 192.168.6.0 0.0.0.255 area 0r1(config)#router ripRouter (config-router)#version 2Router (config-router)#redistribute ospf 1Router (config-router)#network 192.168.5.0图5 混合发布图五、结果实现图6科研部与其他部交互信息图图7销售部与其他部交互信息图图8财务部与其他部交互信息图图9⼈事部与其他部交互信息图六、设计结论通过过本次课程设计⾸先让我对计算机⽹络这⼀门课程的知识融⼊到实践设计中,对知识的掌握从理论到实践有了进⼀步的跨越,尤其是⽹络的各项协议,组成,数据传输,通信等内容,有了更深的体会. 其次,使我熟悉了各种⽹络服务器的配置、⽹络集成⽅案设计以及领会各种⽹络设备选择和⽅案设计要点。

验证体系课程（设计一个小型企业网络布局）1、企业描述：某公司设置有 4 个主要部门，公司经理室，公司销售部，公司人事部（限制连接外网），公司财务部（限制连接外网以及经理室和人事部），各配备 2 台计算机。

公司配备3 台内部服务器提供给外网用户访问，配备1 台ftp 服务器。

提供有http 服务，ftp 服务，vpn 服务。

2、设备描述：ISP路由器，DNS&务器，WW W务器，company路由器，Router, PSTN（公用开关电话网络）仿真局域网，交换机Switch0-2 ，内部服务器Server1 、Server2 、Server3 ，FTP服务器，PC机PCO-9; NM-1FE2V模块1个，WIC-2T 2 口同异步串口网络模块2个，WIC-1AM卡1 个，PT-HOST-NM-1A卡1 个。

实验用到的设备，如下：1）公司内部：路由器：2811;台数：2;名称：company，Router交换机：259O-24 ;台数：3;名称：SwitchO ，Switch1 ，Switch2 终端设备：Server-PT ;台数：4；名称：FTP服务器，Server1，Server2，Server3 PC-PT 台数：8;名称：PC1, PC2 PC3 PC4 PC5 PC6 PC8 PC9 线缆：直通线、交叉线2）公司外部：路由器：2811;台数：1;名称：ISP终端设备：Server-PT ;台数：2;名称：DNS WWWPC-PT 台数：2;名称：PC0 PC7仿真局域网：Cloud-PT ；数量：1;名称：PSTN线缆：交叉线、电话线、DTE串口线3、拓扑图：4、配置过程1. 在PC0上添加PT-HOST-NM-1A模块，在ISP路由器上也添加WIC-1AM与PSTN连接起来。

2. 配置PSTN Modem较的我们的PC,给它分配一个电话号码12345678,等一会我们用来拨号使用，Modem接ISP的路由器，添加一个号码8888888&3. 在ISP上配置接口ModemO/2/O的IP 202.1.1.1 ，在命令模式下配置拨号使用的用户名Is和密码cisco , ISP给PC0自动分配IP地址从地址池中调用, 给客户机分配IP，默认网关，指定DNS配置后结果如下：dticzjp e acd ude E±—zicizz a .a Z □ 2：« 3 _________________________ 3_ _ 1I±J3 dticzjs g>oa 1 T^STTTnetwcizlE 2 02_1_1_0 二吕吕 _ 2SS - 2 5 5 _ Ode f SUL I t; —lro-u-t e ar 左0巨_ , I，_ JLdn s —se :EPm m 2 0 2-1 T_ 2：use- ELZTIS 1 耳d O c i scoi■4. 测试连接，PCO上拨号成功。

0 引言网络时代，信息技术高速发展，企业组织架构更加扁平和灵活，业务种类复杂多变，大量系统迁移到云主机，同时要求原有内网服务器和二层交换机等IT 资产保留利用，对网络的稳定性和安全性要求越来越高。

本方案借助思科模拟器，采用三层交换机作为核心节点，利用VLAN 和端口映射技术实现了内外网通信和VLAN 间通信。

1 相关技术概念1.1 思科模拟器Cisco Packet Tracer （以下简称PT）是一款由思科公司开发的，为网络初学者提供学习的实验模拟器。

使用者可以在该模拟器中搭建各种网络拓扑，实现基本网络配置，验证网络设计方案。

1.2 三层交换机三层交换机是具有部分路由器功能的交换机，工作在网络层，它拥有很强二层包处理能力，广泛适用于大型局域网内的数据路由与交换，它既可以替代或部分完成传统路由器的功能，同时又具有第二层交换的速度，且价格相对路由器便宜。

1.3 VLAN 划分VLAN （Virtual Local Area Network）称为虚拟局域网，可以实现在二层上进行广播域的划分，它可以将网络划分成多个VLAN，有效防范广播风暴，提高网络安全性，增强网络可管理性，大大提高管理效率。

如果不同VLAN 要进行通信，则需要通过路由器或三层交换机等三层设备。

1.4 端口映射端口映射是NAT 地址转换的一种，它可以把在公网的地址转翻译成私有地址，既可以保护内网中的服务器，也可以节省公网IP 地址。

2 设计方案以某中型旅游企业为例，该方案配置了两台PT 服务器，两台PT 路由器，一台思科3560三层交换机，三台思科2960两层交换机，六台PC。

该方案利用服务器server0和路由器R1模拟外网云主机，使得内网客户机可以访问外网云主机；利用服务器server1模拟内网服务器，通过内网路由器R2端口映射，使外网客户机可以访问内网服务器；在两层交换机2960上划分三个VLAN，分别是VLAN10、VLAN20、VLAN30，通meet the complex needs of enterprises.In this paper,the scheme takes full use of the original layer 2 switches and servers.It can protect the investments of small and medium-sized enterprises.Firstly,it introduces CISCO simulator software,layer 3 switch,Virtual Local Area Network and port mapping technologies.Secondly,it presents the improved design scheme to achieve the cross device communication between different VLAN with the help of VLAN division technology and the layer 3 switch.And it also achieves access to the intranet and cloud host with the help of port mapping technology.Finally, the scheme is verified on the CISCO Packet Tracer software.It can improve the security and stability of enterprise network.Keywords: layer 3 switch;VLAN;port mapping;CISCO simulator;Communication between VLAN;feasibility verification80R1(config)#int f1/0R1(config-if)#ip addr 20.20.20.2 255.0.0.0#启用RIP 路由R1(config)#router ripR1(config-router)#network 10.0.0.0R1(config-router)#network 20.0.0.0图2 外网服务器Server0配置参数2.2.3 内网服务器Server1配置2.2.4 内网路由器R2配置#f0/0和f1/0端口地址配置R2(config)#int f0/0R2(config-if)#ip addr 192.168.1.10 255.255.255.0R2(config)#int f1/0R2(config-if)#ip addr 20.20.20.1 255.0.0.0图3 内网服务器Server1配置2.2.5 三层交换机3560配置#新建VLAN10,20,30并配置接口地址Switch(config)#vlan 10Switch(config)#vlan 20Switch(config)#vlan 30Switch(config)#int vlan 10S w i t c h (c o n f i g -i f )#i p a d d r 192.168.1.1 255.255.255.0Switch(config)#int vlan 20S w i t c h (c o n f i g -i f )#i p a d d r 192.168.2.1 255.255.255.0Switch(config)#int vlan 30S w i t c h (c o n f i g -i f )#i p a d d r 192.168.3.1 255.255.255.0#启用交换机路由功能Switch(config)#ip routing #启用RIP 路由Switch(config)#router ripSwitch(config-router)#network 192.168.1.0Switch(config-router)#network 192.168.2.0Switch(config-router)#network 192.168.3.0#f0/2,f0/3,f0/4端口配置trunk 模式并允许通过VLAN10,20,30Switch(config)#int f0/2Switch(config-if)#switchport mode trunkSwitch(config-if)#switchport trunk allowed vlan 10,20,30#f0/1,f0/5端口配置access 模式并允许通过VLAN10Switch(config)#int f0/1图4 PC0 ping PC2结果图5 PC0 ping PC5结果3.2 内网客户机访问外网云主机图6 PC0 ping Server0结果图7 Server0通过浏览器访问Server1结果4 结论本设计方案充分利用了企业原有设备，仅增加了一个三层交换机，利用VLAN 和端口映射技术大大提高了企业网络的安全性和稳定性，并且在思科模拟器上得到了验证，为中小企业传统网络的改造和升级提供了一种高性价比方案。