好久不见，从去年12月份更新linux文章到今年五月份更新计算机网络文章，到目前为止已经写了99篇了，最近也是在安全厂商实习断更了很久，趁着今天不忙，拿出这个压箱底的宝贝来纪念我来到csdn的第100篇博客，可供计算机网络、网络工程、网络系统集成作业的同学们参考。

一 前言

        在这个信息化时代，企业网络已经成为企业管理的重要组成部分。一个高效、稳定、安全的企业园区网络不仅可以提高员工工作效率，还可以为企业管理和改革提供有力的支持。因此，企业决定建立一套符合现代化信息化要求的中型企业网网络系统，以满足企业各方面的需求。

        本次网络设计将采用先进的网络技术、计算机技术和多媒体技术，以实现企业网络的高效、稳定、安全运行。我们将建立一个基于企业Internet的信息管理和应用的网络系统，为广大员工提供快速、稳定、便捷的网络服务。同时，我们将建设一个规范化、技术先进、扩展性良好、性能价格比高的企业网络信息系统，以满足学校日益增长的网络需求。

         本次网络设计将充分考虑企业的实际情况和需求，采用开放式、标准化的系统结构，以利于功能扩充和技术升级。我们将建立一个多层开放式、全方位信息通讯与信息管理系统，为企业管理和改革提供有力的支持。

二 项目概述

2.1项目背景

       该企业需要建设网络的场所包括网络接入机房、行政办公室、财务部、业务部、销售部以及若干无线终端接入点。计算机主要分布如下：行政办公室 15 台；财务部10台；业务部40台；Web服务器和FTP 服务器各1 台。从 ISP 申请到的公网IP地址为202.69.10.5~202.69.10.8。

2.2 需求分析

企业网络建设需要满足以下主要需求：

1）为企业全体员工提供快速、稳定、安全的网络环境，满足机房、财务部、行政办公室、财务部、业务部的网络需求。

2）能够进行IP地址规划和VLAN划分，各部门之间相互隔离且能互相通信，便于网络管理。

3）可以实现内网所有主机通过PNAT方式接入到Internet，保证企业网内所有主机均能访问外网。

4）需要搭建Web服务器，提供对外访问的服务；搭建FTP 服务器，内网中除多媒体机房外均可以访问 FTP 服务器，外网不能访问 FTP 服务器

2.3 主要用到的网络技术介绍

1）VLAN技术：采用VLAN技术，将网络按照不同的用途需求划分为不同的虚拟区域，方便网络管理和维护。

2）NAT技术：采用动态NAT技术，将内网地址转换为地址池里的地址202.69.10.5~202.69.10.10，实现内网所有主机通过PNAT方式接入到Internet，。

3）路由技术：配置正确的路由，实现内网全网互通，保证校园网内主机之间可以相互访问。

4）Web服务器技术：搭建Web服务器，提供对外访问的服务。

5）FTP服务器技术：搭建FTP服务器，内网中除多媒体机房外均可以访问FTP服务器，外网不能访问FTP服务器。

2.4 设备选型

在本次网络建设中，我们选择了以下主要设备：

1）交换机：三层Cisco Catalyst 3560-24ps，能够支持VLAN划分、QoS和Link Aggregation等功能，二层Cisco-1950-24接入交换机

2）路由器：Cisco ISR4321/K9，能够支持PPPoE、NAT和VPN等功能。

3）服务器：Dell PowerEdge R430，拥有双路Intel® Xeon® E5-2600 v4处理器、高速内存和存储配置等优点，适合作为Web服务器和FTP服务器使用。

三 企业网设计方案

3.1 拓扑图

按照用途需求划分为五个VLAN，网络接入机房VLAN、行政办公室、业务部VLAN、销售部VLAN和服务器集群vlan。采用PNAT技术，实现内网所有主机通过NAT方式接入到Internet，保证企业网内主机之间可以相互访问。搭建Web服务器和FTP服务器，提供对外访问的服务，设计拓扑如下所示：

3.2 vlan划分方案

按照用途需求，将网络划分为五个VLAN：网络接入机房VLAN、财务部vlan，行政办公室VLAN、销售部VLAN，分别采用172.16.1.0/24、172.16.2.0/24、172.16.3.0/24、172.16.4.0/24、172.16.4.0/24的IP地址段。

通过配置access和trunk进行配置

3.3 Svi口配置

Multilayer Switch0

3.4 路由配置方案

3.4.1 路由配置

配置ospf进行内网互通，OSPF作为链路状态路由协议，路由器之间交互的是LSA（链路状态通告），路由器将网络中泛洪的LSA搜集到自己的LSDB（链路状态数据库）中，这有助于OSPF理解整张网络拓扑，并在此基础上通过SPF最短路径算法计算出以自己为根的、到达网络各个角落的、无环的树，最终，路由器将计算出来的路由装载进路由表中。

在核心交换机和内网路由器上将自己直连的网段宣告进进程号为1 的ospf区域0中，利用ospf的自动收敛的特性进行路由学习。

具体配置如下所示

3.4.2 ppp认证

ppp点到点协议是为在同等单元之间传输数据包这样的简单链路设计的链路层协议。 这种链路提供全双工操作，并按照顺序传递数据包。设计目的主要是用来通过拨号或专线方式建立点对点连接发送数据，使其成为各种主机、网桥和路由器之间简单连接的一种共通的解决方案，在出口路由器和对端路由器之间使用ppp认证，建立点对点的连接。

具体配置如下所

3.4.3 nat

动态NAT:静态NAT严格地一对一进行地址映射，这就导致即便内网主机长时间离线或者不发送数据时，与之对应的公有

地址也处于使用状态。为了避免地址浪费，动态NAT提出了地址池的概念:所有可用的公有地垃组成地址池。

当内部主机访问外部网络时临时分配一个地址池中未使用的地址，并将该地址标记为“In use”。当该主机不再访问外部

网络时回收分配的地址，重新标记为“Not Uso"，建立地址池aaa，地址池内的地址范围是202.69.10.7~202.69.10.8。

具体配置如下所示：

3.5 web服务器和ftp服务器搭建方案

搭建Web服务器，提供对外访问的服务；搭建FTP服务器，内网中除多媒体机房外均可以访问FTP服务器，外网不能访问FTP服务器

具体配置如下所示：

配置服务器地址公网地址的静态一对一映射。

在vlan10的网关路由器上配置acl限制销售部访问ftp服务器

四 项目测试

各部门之间能互访：

内网所有部门均能访问外网：

验证nat地址池：

外网能访问内网的http服务：

完成！！！！！！！！