某企业网络及服务器规划与设计

目录

[1. 项目需求与设计... 5](#1. 项目需求与设计... 5)

[1.1 项目需求... 5](#1.1 项目需求... 5)

[1.2 组建企业网络内部网的流程... 5](#1.2 组建企业网络内部网的流程... 5)

1) 构思阶段... 5 构思阶段... 5)

2) 方案设计阶段... 6 方案设计阶段... 6)

3) 工程实施阶段... 6 工程实施阶段... 6)

4) 测试验收... 6 测试验收... 6)

5) 管理维护... 7 管理维护... 7)

[1.3 技术可行性分析... 7](#1.3 技术可行性分析... 7)

[1.4 网络组网规则... 8](#1.4 网络组网规则... 8)

[1.5 网络拓扑... 8](#1.5 网络拓扑... 8)

[2. 项目所需环境... 10](#2. 项目所需环境... 10)

[2.1 硬件环境... 11](#2.1 硬件环境... 11)

[2.2 软件环境... 11](#2.2 软件环境... 11)

[3. 项目网络设计实现... 11](#3. 项目网络设计实现... 11)

[3.1 网络设计... 11](#3.1 网络设计... 11)

[3.1.1 VLAN划分... 12](#3.1.1 VLAN划分... 12)

[3.1.2 MSTP. 12](#3.1.2 MSTP. 12)

[3.1.3 VRRP. 13](#3.1.3 VRRP. 13)

[3.1.4 OSPF. 14](#3.1.4 OSPF. 14)

[3.1.5 ACL. 14](#3.1.5 ACL. 14)

[3.2 服务器部署... 17](#3.2 服务器部署... 17)

[3.2.1 WEB. 17](#3.2.1 WEB. 17)

[3.2.2 DNS. 18](#3.2.2 DNS. 18)

[3.2.3 FTP. 20](#3.2.3 FTP. 20)

[3.2.4 DHCP. 23](#3.2.4 DHCP. 23)

[4. 项目网络测试验收... 26](#4. 项目网络测试验收... 26)

[4.1 服务器测试... 26](#4.1 服务器测试... 26)

[4.1.1 DNS. 26](#4.1.1 DNS. 26)

[4.1.2 DHCP. 28](#4.1.2 DHCP. 28)

[4.1.3 FTP. 29](#4.1.3 FTP. 29)

[4.1.4 WEB. 30](#4.1.4 WEB. 30)

[4.2 网络测试... 31](#4.2 网络测试... 31)

[4.2.1 链路聚合... 31](#4.2.1 链路聚合... 31)

[4.2.2 主备备份... 32](#4.2.2 主备备份... 32)

[4.2.3 远程登录... 34](#4.2.3 远程登录... 34)

[5. 项目总结和体会... 34](#5. 项目总结和体会... 34)

1. 项目需求与设计

1.1 项目需求

1、该企业需要建立局域网，采用双出口的网络接入模式，使用三层交换机接入互联网络，一条链路接入Internet1，一条链路接入Internet2。

2、该企业采用基于三层交换机的双核心网络，分别用OSPF、MSTP、VRRP、主备备份、LACP链路聚合和负载均衡、访问控制列表ACL等技术进行实现。

3、规划企业网络及服务器配置方案，相同部门可以相互访问不同部门之间不能相互访问，楼内有各种必要的办公系统和服务器等。

4、该企业有四个主要部门，人资部（V10）、营销部（V20）、财务部（V30）、物流部（V40）。

5、该企业规划了服务器区域，包括基于WIN 2008 Server操作系统的WEB、DNS服务器，还有FTP和DHCP服务器。

6、在此基础上建立高冗余网络环境，避免产生单一故障点而造成全网瘫痪的问题。

7、在此网路拓扑基础之上建立对IP路由提供快速收敛，最优路径转发的功能。

8、确保全网员工和管理能够在自身终端设备能够自动获取iPv4地址。

1.2 组建企业网络内部网的流程

企业网络内部网络的设计及实施管理人员必须在需求分析、系统规划、方案设计、方案实施、测试验收、管理维护等各个环节上，严格按照技术的规范和施工要求严格把关，确保质量。整个网络工程的建设一般包含了五个阶段：

1) 构思阶段

1. 对统一行业的企业网络进行分析，OA其他网络的优点，避免其他网络的缺点。
2. 对企业网络内部网络系统的初步规划。
3. 结合企业的预算，能够进行合理的网络设备选择，厂家的选择等。
4. 现状及需求分析：企业网络有线和无线网络现状、企业网络的无线网络需求分析；
5. 系统总体方案设计：IP地址管理和网段及子网划分、无线通信技术选择、WiFi标准选择；
6. 比较设备并且选择适合企业网络的设备；
7. 安全性设计：防止外部网络非法访问、限制广域网互连、限制非法访问等方面进行安全性设计。
8. 网络互联技术

2) 方案设计阶段

1. 完成组建网络需求报告的编写。
2. 完成企业网络的网络建设的方案的编写，对计算机及网络及布线及安全等需提供进行详细的方案规划。
3. 确定网络设备厂商，获悉准确的设备参考，实际情况的考察及价格的谈判等等。
4. 提交设计方案及预算企业网络决策者进行审评、修正。

3) 工程实施阶段

1. 企业网络提供的预算资金落实到位，工程师部门到位。
2. 与设备厂家签署设备定制合同，并提供交付日期。
3. 与供应商一起完成设备订货，包括主机系统、网络设备、布线系统等系统硬件，网络配件、数据库、应用软件等等系统软件。
4. 设备验收。
5. 布线系统的施工。
6. 主机系统与相关应用软件系统的安装。
7. 系统及应用的分配。
8. 人员及使用的培训。
9. 系统的调节、测试和运行。
10. 系统验收

4) 测试验收

1. 计算机的硬件设备及系统软件的测试验收；
2. 网络的硬件设备及配套软件的测试验收；
3. 计算机系统和网络系统的集成验收；
4. 最终验收；
5. 后期保养服务的合同约定；

5) 管理维护

1.3 技术可行性分析

项目使用到的关键技术有DHCP、DNS、OSPF、NAT、VLAN、Telnet、ACL等，下面结合企业实际对它们的功能进行简单介绍。

DHCP：DHCP（动态主机配置协议）是一个局域网的网络协议。指的是由服务器控制一段IP地址范围，客户机登录服务器时就可以自动获得服务器分配的IP地址和子网掩码。总公司内部用户人员较多，并不是所有的企业员工对ip地址配置和网关配置等比较了解，为了减少网络管理员和企业用户的工作量，一般企业内部都是通过DHCP动态分配ip地址的方式为公司员工自动分配ip。DHCP服务器可以配置三层交换机和路由器等网络设备上，也可以使用专门的DHCP server进行配置，本项目是直接按照前者配置，减少设备费用支出。

DNS: 域名系统，是互联网一项服务，是进行域名和与之相对应的 IP 地址进行转换的服务器,简单来讲，DNS相当于一个翻译官，负责将域名翻译成ip地址

OSPF：Open Shortest Path First开放式最短路径优先,通过拓扑图的LSA进行Dijkstra算法计算，选择最优路由, 路由器向邻居发送报文，报文中包含自己所知道的路由信息，与邻居形成邻居表，后路由器之间发送链路状态通告告知邻居自己的链路连接状态，形成LSDB拓扑表，后形成路由表。

VLAN：虚拟局域网（VLAN）是一组逻辑上的设备和用户，这些设备和用户并不受物理位置的限制，可以根据功能、部门及应用等因素将它们组织起来，相互之间的通信就好像它们在同一个网段中一样，由此得名虚拟局域网，在企业内部各部门可以划分不同的VLAN方便企业管理，不同VLAN之间的通信可以使用交换机之间的trunk进行互访。

Telnet: Telnet协议是TCP/IP协议族中的一员，是Internet远程登陆服务的标准协议和主要方式。它为用户提供了在本地计算机上完成远程主机工作的能力。在终端使用者的电脑上使用telnet程序，用它连接到服务器。终端使用者可以在telnet程序中输入命令，这些命令会在服务器上运行，就像直接在服务器的控制台上输入一样。可以在本地就能控制服务器。要开始一个 telnet会话，必须输入用户名和密码来登录服务器。Telnet是常用的远程控制Web服务器的方法。但是，telnet因为采用明文传送报文，安全性不好，很多Linux服务器都不开放telnet服务，而改用更安全的ssh方式了。但仍然有很多别的系统可能采用了telnet方式来提供远程登录，因此弄清楚telnet客户端的使用方式仍是很有必要的。

ACL：访问控制列表(ACL)是一种基于包过滤的访问控制技术，它可以根据设定的条件对接口上的数据包进行过滤，允许其通过或丢弃。访问控制列表被广泛地应用于路由器和三层交换机，借助于访问控制列表，可以有效地控制用户对网络的访问，从而最大程度地保障网络安全。由于企业内部某些涉密部门不允许访问外部网络，避免企业机密丢失或受到攻击，这里就需要使用ACL访问控制列表来限制某些部门的主机进行外访，提高了企业内部机密部门的安全性。同样的企业的财务服务器绝不可能在公司所有部门的主机上都可以访问，所以财务服务器只能由财务部门访问从而提高公司财务管理的安全性。

1.4 网络组网规则

敏捷企业通常是一种用户高密度的非运营网络，在有限的空间内聚集了大量的终端和用户。同时对于敏捷企业而言，注重的是网络的简单可靠、易部署、易维护。因此在敏捷企业中，拓扑结构通常以星型结构为主，较少使用环网结构（环网结构较多的运用在运营商的城域网络和骨干网络中，可以节约光纤资源）。

基于星型结构的敏捷企业设计，通常遵循如下原则：

1. 层次化：

将企业网络划分为核心层、接入层。每层功能清晰，架构稳定，易于扩展和维护。

1. 模块化：

将企业网络企业络中的每个部门或者每个功能区划分为一个模块，模块内部的调整涉及范围小，易于进行问题定位。

1. 冗余性：

关键设备采用双节点冗余设计；关键链路采用链路聚合方式冗余备份或者负载分担；关键设备的电源、主控板等关键部件冗余备份。提高了整个网络的可靠性。

1. 安全隔离：

企业网络企业络应具备有效的安全控制。按业务、按权限进行分区逻辑隔离，对特别重要的业务采取物理隔离。

1. 可管理性和可维护性：

网络应当具有良好的可管理性。为了便于维护，应尽可能选取集成度高、模块可通用的产品

1.5 网络拓扑

在此次系统设计中，我们采用分层设计方法，将网络的逻辑结构化整为零，分层讨论设计与实现的细节问题。将网络拓扑结构划分为3个层次，即核心层、汇聚层和接入层。

1. 1. 设备环境和地址规划

|----------|------------|-----------------|-------------------|
| 所属部门 | 所属VLAN | 地址空间 | 网关 |
| 人力资源部 | VLAN10 | 192.168.10.x/24 | 192.168.10.252/24 |
| 人力资源部 | VLAN10 | 192.168.10.x/24 | 192.168.10.253/24 |
| 市场营销部 | VLAN20 | 192.168.20.x/24 | 192.168.20.252/24 |
| 市场营销部 | VLAN20 | 192.168.20.x/24 | 192.168.20.253/24 |
| 财务部 | VLAN30 | 192.168.30.x/24 | 192.168.30.252/24 |
| 财务部 | VLAN30 | 192.168.30.x/24 | 192.168.30.253/24 |
| 物流部 | VLAN40 | 192.168.30.x/24 | 192.168.40.252/24 |
| 物流部 | VLAN40 | 192.168.30.x/24 | 192.168.40.253/24 |

|----------|----------|-----------|-------------------|-----------|
| 设备名称 | 设备型号 | 接口 | IP 地址 | 用途 |
| PCX | PC | E0/0/1 | 192.168.X.X/24 | 模拟计算机终端 |
| ClientX | Client | E0/0/0 | 192.168.X.X/24 | 验证web和ftp |
| SW_A | S5700 | vlanif10 | 192.168.10.252/24 | 模拟网关 |
| SW_A | S5700 | vlanif20 | 192.168.20.252/24 | 模拟网关 |
| SW_A | S5700 | vlanif30 | 192.168.30.252/24 | 模拟网关 |
| SW_A | S5700 | vlanif40 | 192.168.40.252/24 | 模拟网关 |
| SW_A | S5700 | vlanif300 | 172.16.1.1/24 | 模拟网关 |
| SW_B | S5700 | vlanif10 | 192.168.10.253/24 | 模拟网关 |
| SW_B | S5700 | vlanif20 | 192.168.20.253/24 | 模拟网关 |
| SW_B | S5700 | vlanif30 | 192.168.30.253/24 | 模拟网关 |
| SW_B | S5700 | vlanif40 | 192.168.40.253/24 | 模拟网关 |
| SW_B | S5700 | vlanif400 | 172.16.2.1/24 | 模拟网关 |
| SW_C | S5700 | vlanif6 | 172.16.6.1/24 | 模拟网关 |
| SW_C | S5700 | Vlanif7 | 172.16.7.1/24 | 模拟网关 |
| SW_C | S5700 | Vlanif9 | 172.16.1.2/24 | 模拟网关 |
| SW_C | S5700 | Vlanif300 | 172.16.2.2/24 | 模拟网关 |
| SW_C | S5700 | Vlanif400 | 192.168.9.254 | 模拟网关 |

|-----------|--------------------------------------------------------|
| 各设备中主要实现的功能和应用的相关技术 ||
| 接入设备名称 | 相应技术 |
| Acc_A | 接口或vlan地址/vlan基本划分，ACL，console密码 |
| Acc_B | 接口或vlan地址/vlan基本划分，ACL，console密码 |
| SW_A | 接口或vlan地址/vlan的基本划分 OSPF,VRRP,MSTP负载均衡,LACP链路聚合,DHCP中继 |
| SW_B | 接口或vlan地址/vlan的基本划分 OSPF,VRRP,MSTP负载均衡,LACP链路聚合,DHCP中继 |
| SW_C | 接口或vlan地址/vlan的基本划分OSPF，静态路由，路由引入 |
| Internet1 | 静态路由、默认路由 |
| Internet2 | 静态路由、默认路由 |
| Cloud | 模拟内网的DNS、FTP、DHCP、WEB服务器 |

另外，IP地址分为公网地址和私网地址两类，公有地址由Inter NIC负责的。这些IP地址分配给注册并向Inter NIC提出申请的组织机构。通过它直接访问因特网。ISP分配给企业网络的全局IP地址地址段为:8.8.8.8.,私有地址（Private address）属于非注册地址，专门为组织机构内部使用。以下列出留用的内部私有地址

A类为： 10.0.0.0--10.255.255.255

B类为： 172.16.0.0--172.31.255.255

C类为： 192.168.0.0--192.168.255.255

2. 项目所需环境

根据企业网络的网络功能需求和实际的布线系统情况，企业网络敏捷企业网络网络本次采用三层化架构（核心>汇聚>接入），简化网络层级，提升运维管理效率，核心到接入所有设备间通过万兆光纤互联提供高传输带宽，设计满足5年内技术不落后，各层级结构清晰便于网络管理及未来的升级扩容。对网络网络设备的选择，最终的网络设备应该选择拥有足够实力和市场份额的厂商的主流产品，同时设备厂商必须要有良好的市场形象与售后技术支持的。

2.1 硬件环境

|-------|--------|----|
| 硬件类型 | 型号 | 数量 |
| PC | PC | 6 |
| 路由器 | AR2220 | 2 |
| 三层交换机 | S5700 | 1 |
| 二层交换机 | S3700 | 2 |
| 服务器 | Cloud | 1 |

2.2 软件环境

ENSP模拟器、VMware-workstation、WindowsServer2008

3. 项目网络设计实现

3.1 网络设计

网络核心层的主要工作是交换数据包，核心层的设计应该注意以下两点:

从逻辑上组合成多台核心层设备；核心层设备使用冗余技术，从管理角度逻辑上组合成一套设备管理。并在核心层和汇聚层之间采用链路的冗余，用来更好保护传输数据的稳定性。

接入层是与企业网络计算机等设备直接相连的设备，在接入的网络中占了大量的比重，要24小时保证员工之间的实时网络通信，特点是网络使用时间集中，网络流量大、终端接入设备多等。

冗余设计是网络设计的重要部分，是保证网络整体可靠性能的重要手段，冗余设计可以贯穿整个层次化结构，每个冗余设计都有针对性，可以选择其中一部分或几部分应用到网络中以针对重要的应用。万一网络中某条路径失效时，冗余链路可以提供另一条物理路径。

根据企业网络网络需求分析，汇聚层拥有两台汇聚交换机作为终端的网关，那么在网络建设方案中需要考虑到网关备份的重要性。因此我们采用VRRP网关热备冗余技术实现网关的备份。

冗余设计的目标是：

1)模块冗余 2）路由冗余 3）服务器冗余

IP地址，使用DHCP服务器，动态获取IP的

3.1.1 VLAN划分

虚拟网技术VLAN把传统的广播域按需要分割成各个独立的子广播域，将广播限制在虚拟工作组中，由于广播域的缩小，网络中广播包消耗带宽所占的比例大大降低，网络的性能得到显著的提高。当前办公楼局域网办公网络中共计划分了4个VLAN虚拟局域网区域。

3.1.2 MSTP

为了保证整个办公楼局域网办公网络中的PC和服务器连续不间断正常运行，在汇聚层网络中设计有冗余链路，所以我们使用MSTP（快速生成树协议）技术来解决交换机环路问题，并使用PVST技术实现负载均衡。

SW_A

[SW_A]stp region-config

[SW_A-mst-region]region-name huawei

[SW_A-mst-region]revision-level 1

[SW_A-mst-region]instance 1 vlan 10

[SW_A-mst-region]instance 2 vlan 20

[SW_A-mst-region]instance 3 vlan 30

[SW_A-mst-region]instance 4 vlan 40

[SW_A-mst-region]active region-config

[SW_A]stp mode mstp

[SW_A]stp instance 1 root primary

[SW_A]stp instance 2 root secondary

[SW_A]stp instance 3 root primary

[SW_A]stp instance 4 root secondary

SW_B

[SW_B]stp region-config

[SW_B-mst-region]region-name huawei

[SW_B-mst-region]revision-level 1

[SW_B-mst-region]instance 1 vlan 10

[SW_B-mst-region]instance 2 vlan 20

[SW_B-mst-region]instance 3 vlan 30

[SW_B-mst-region]instance 4 vlan 40

[SW_B-mst-region]active region-config

[SW_B]stp mode mstp

[SW_B]stp instance 1 root secondary

[SW_B]stp instance 2 root primary

[SW_B]stp instance 3 root secondary

[SW_B]stp instance 4 root primary

SW_C

[SW_C]stp region-configuration

[SW_C-mst-region] region-name huawei

[SW_C-mst-region] instance 1 vlan 10

[SW_C-mst-region] instance 2 vlan 20

[SW_C-mst-region] instance 3 vlan 30

[SW_C-mst-region] instance 4 vlan 40

[SW_C-mst-region] active region-configuration

[SW_C]stp root primary

3.1.3 VRRP

高可用性的实现更多指的是保证网络不间断的运行，无或尽量减少发生故障到故障恢复切换的时间。那么当前办公楼局域网办公网络中，通过两台三层交换机已经做到设备的备份冗余，但是需要再通过协议实现发生故障时自动切换，通过HSRP协议可以做到。

SW_A

[SW_A]int vlan 10

[SW_A-Vlanif10]vrrp vrid 10 virtual-ip 192.168.10.252

[SW_A-Vlanif10]vrrp vrid 10 priority 150

[SW_A-Vlanif10]vrrp vrid 10 preempt-mode time delay 10

[SW_A]int vlan 20

[SW_A-Vlanif20]vrrp vrid 20 vir 192.168.20.252

[SW_A-Vlanif20]vrrp vrid 20 preempt-mode time delay 10

[SW_A-vlan30]int vlan 30

[SW_A-Vlanif30]vrrp vrid 30 vir 192.168.30.252

[SW_A-Vlanif30]vrrp vrid 30 preempt-mode time delay 10

[SW_A]int vlan 40

[SW_A-Vlanif40]vrrp vrid 40 vir 192.168.40.252

[SW_A-Vlanif40]vrrp vrid 40 preempt-mode time delay 10

SW_B

[SW_B]int vlan 10

[SW_A-Vlanif10]vrrp vrid 10 virtual-ip 192.168.10.254

[SW_A-Vlanif10]vrrp vrid 10 priority 150

[SW_A-Vlanif10]vrrp vrid 10 preempt-mode timer delay 10

[SW_B]int vlan 20

[SW_A-Vlanif20]vrrp vrid 20 virtual-ip 192.168.20.254

[SW_A-Vlanif20]vrrp vrid 20 preempt-mode timer delay 10

[SW_B]int vlan 30

[SW_A-Vlanif30]vrrp vrid 30 virtual-ip 192.168.30.254

[SW_A-Vlanif30]vrrp vrid 30 preempt-mode timer delay 10

[SW_B]int vlan 40

[SW_A-Vlanif40]vrrp vrid 40 virtual-ip 192.168.40.254

[SW_A-Vlanif40]vrrp vrid 40 preempt-mode timer delay 10

3.1.4 OSPF

根据当前办公楼局域网办公网络区域的分配，不同的部门处于不同的大楼，那么跨设备的不同网段的通信，我们需要依靠路由器中的路由协议来解决通信问题。结合整个网络的优缺点分析，最实用使用动态路由协议OSPF，OSPF路由协议为公有的协议，它的特点很明显能够实现路由快速收敛，能够支持认证、路由汇总、被动接口等技术，在办公楼局域网办公网络中能够到达良好的体现。

SW_A

[SW_A]ospf 1 router-id 1.1.1.1

[SW_A-ospf-1]a 0

[SW_A-ospf-1-area-0.0.0.0]network 192.168.0.0 0.0.255.255

[SW_A-ospf-1-area-0.0.0.0]network 172.16.0.0 0.0.255.255

SW_B

[SW_B]ospf 1 router-id 2.2.2.2

[SW_B-ospf-1]a 0

[SW_B-ospf-1-area-0.0.0.0]network 192.168.0.0 0.0.255.255

[SW_B-ospf-1-area-0.0.0.0]network 172.16.0.0 0.0.255.255

SW_C

[SW_C]ospf 1 router-id 3.3.3.3

[SW_C-ospf-1]a 0

[SW_C-ospf-1-area-0.0.0.0]network 172.16.0.0 0.0.255.255

[SW_C-ospf-1-area-0.0.0.0]network 192.168.138.0 0.0.0.255

3.1.5 ACL

ACL是网络安全的关键组成部分，通过ACL可以限制对核心资源的访问。合理配置ACL可以有效地控制网络流量，防止未经授权的访问。在配置ACL时，需要考虑到网络中不同用户和设备的安全需求，确保只有授权的用户能够访问特定的资源，同时阻止恶意访问和网络攻击。

Acc_A

[Acc_A]acl 3001

[Acc_A-acl-adv-3001]Rule permit ip source 192.168.10.0 0.0.0.255 destination 192.168.10.0 0.0.0.255

[Acc_A-acl-adv-3001]Rule deny ip source any destination 192.168.20.0 0.0.0.255

[Acc_A-acl-adv-3001]Rule deny ip source any destination 192.168.30.0 0.0.0.255

[Acc_A-acl-adv-3001]Rule deny ip source any destination 192.168.40.0 0.0.0.255

[Acc_A-acl-adv-3001]int e0/0/2

[Acc_A-Ethernet0/0/2]traffic-filter inbound acl 3001

[Acc_A]acl 3002

[Acc_A-acl-adv-3002]

[Acc_A-acl-adv-3002]rule permit ip source 192.168.20.0 0.0.0.255 destination 192.168.20.0 0.0.0.25

[Acc_A-acl-adv-3002]rule deny ip source any destination 192.168.10.0 0.0.0.255

[Acc_A-acl-adv-3002]rule deny ip source any destination 192.168.30.0 0.0.0.255

[Acc_A-acl-adv-3002]rule deny ip source any destination 192.168.40.0 0.0.0.255

[Acc_A-acl-adv-3002]int e0/0/8

[Acc_A-Ethernet0/0/8]traffic-filter inbound acl 3002

[Acc_A]acl 3003

[Acc_A-acl-adv-3003]rule permit ip source 192.168.30.0 0.0.0.255 destination 192.168.30.0 0.0.0.255

[Acc_A-acl-adv-3003]rule deny ip source any destination 192.168.10.0 0.0.0.255

[Acc_A-acl-adv-3003]rule deny ip source any destination 192.168.20.0 0.0.0.255

[Acc_A-acl-adv-3003]rule deny ip source any destination 192.168.40.0 0.0.0.255

[Acc_A-acl-adv-3003]int e0/0/14

[Acc_A-Ethernet0/0/14]traffic-filter inbound acl 3003

[Acc_A]acl 3004

[Acc_A-acl-adv-3004]rule permit ip source 192.168.40.0 0.0.0.255 destination 192.168.40.0 0.0.0.255

[Acc_A-acl-adv-3004]rule deny ip source any destination 192.168.10.0 0.0.0.255

[Acc_A-acl-adv-3004]rule deny ip source any destination 192.168.20.0 0.0.0.255

[Acc_A-acl-adv-3004]rule deny ip source any destination 192.168.30.0 0.0.0.255

[Acc_A-acl-adv-3004]int e0/0/19

[Acc_A-Ethernet0/0/19]traffic-filter inbound acl 3004

Acc_B

[Acc_B]acl 3001

[Acc_B-acl-adv-3001]rule permit ip source 192.168.10.0 0.0.0.255 destination 192.168.10.0 0.0.0.255

[Acc_B-acl-adv-3001]rule deny ip source any destination 192.168.20.0 0.0.0.255

[Acc_B-acl-adv-3001]rule deny ip source any destination 192.168.30.0 0.0.0.255

[Acc_B-acl-adv-3001]rule deny ip source any destination 192.168.40.0 0.0.0.255

[Acc_B-acl-adv-3001]int e0/0/2

[Acc_B-Ethernet0/0/2]traffic-filter inbound acl 3001

[Acc_B]acl 3002

[Acc_B-acl-adv-3002]rule permit ip source 192.168.20.0 0.0.0.255 destination 192.168.20.0 0.0.0.255

[Acc_B-acl-adv-3002]rule deny ip source any destination 192.168.10.0 0.0.0.255

[Acc_B-acl-adv-3002]rule deny ip source any destination 192.168.30.0 0.0.0.255

[Acc_B-acl-adv-3002]rule deny ip source any destination 192.168.40.0 0.0.0.255

[Acc_B-acl-adv-3002]int e0/0/8

[Acc_B-Ethernet0/0/8]traffic-filter inbound acl 3002

[Acc_B]acl 3003

[Acc_B-acl-adv-3003]rule permit ip source 192.168.30.0 0.0.0.255 destination 192.168.30.0 0.0.0.255

[Acc_B-acl-adv-3003]rule deny ip source any destination 192.168.10.0 0.0.0.255

[Acc_B-acl-adv-3003]rule deny ip source any destination 192.168.20.0 0.0.0.255

[Acc_B-acl-adv-3003]rule deny ip source any destination 192.168.40.0 0.0.0.255

[Acc_B-acl-adv-3003]int e0/0/14

[Acc_B-Ethernet0/0/14]traffic-filter inbound acl 3003

[Acc_B]acl 3004

[Acc_B-acl-adv-3004]rule permit ip source 192.168.40.0 0.0.0.255 destination 192.168.40.0 0.0.0.255

[Acc_B-acl-adv-3004]rule deny ip source any destination 192.168.10.0 0.0.0.255

[Acc_B-acl-adv-3004]rule deny ip source any destination 192.168.20.0 0.0.0.255

[Acc_B-acl-adv-3004]rule deny ip source any destination 192.168.30.0 0.0.0.255

[Acc_B-acl-adv-3004]int e0/0/19

[Acc_B-Ethernet0/0/19]traffic-filter inbound acl 3004

3.2 服务器部署

3.2.1 WEB

安装并打开IIS服务

添加网站

3.2.2 DNS

安装DNS服务器

添加正向查找域"caijun.com",

添加记录1"www.caijun.com" 对应192.168.9.128/24地址;

添加记录2"dns.caijun.com" 对应192.168.9.129/24 地址;

添加记录3"ftp.caijun.com" 对应192.168.9.130/24地址；

添加记录4"dhcp.caijun.com" 对应192.168.9.131/24地址；

并同时在反向查找域建立"新建指针(PTR)"

添加记录1"www.caijun.com"、记录2"dhcp.caijun.com"、

记录3"ftp.caijun.com"相对应正向查找域记录

3.2.3 FTP

一. 安装ftp服务

1. 在服务器"角色"右键单击"添加角色"。

2. 勾选"FTP服务器"

二. 创建新组ftpGroup和新用户caijun1

1、右键单击"组"，新建一个组ftpGroup

2、右键单击"用户"，创建一个用户ftpadmin

3. 更改caijun1用户的组为ftpGroup

三. 添加FTP站点

3.2.4 DHCP

服务器角色添加DHCP服务器

根据需求新建作用域

每个作用域添加地址排除范围

4. 项目网络测试验收

4.1 服务器测试

4.1.1 DNS

4.1.2 DHCP

4.1.3 FTP

4.1.4 WEB

4.2 网络测试

4.2.1 链路聚合

验证配置结果

当SW_A的g0/0/3接口关闭时,链路状态

通过抓包可以发现

在阻塞g0/0/1的基础上,PC1到服务器走的是SW_A的g0/0/3端口

现在人为把SW_A的g0/0/3 接口阻塞 时,通过抓包可以发现会自动切换至g0/0/4

4.2.2 主备备份

验证配置结果

当SW_A和SW_B都正常运行且链路的状态都处于正常工作的情况下，通过抓包可以发现从vlan10 vlan 30 到服务器都是经过SW_B,备选是SW_A;

vlan 20 vlan40 到服务器都是经过SW_A,备选是SW_B.

当SW_A发生故障时,作为备份的SW_B立即投入使用

4.2.3 远程登录

5. 项目总结和体会

在这个项目中，我为一家公司设计并实施了一个具有双重出口的局域网，整合了多种网络技术，包括三层交换机、RIP、MSTP、VRRP、链路聚合以及VTP和VLAN等，以确保网络环境的高效率和稳定性。

项目的核心是构建一个双核心网络，利用三层交换机连接两个互联网链路------Internet1和Internet2，并通过负载均衡技术来提高网络的可用性和稳定性。采用OSPF协议能够让网络设备动态地发现和更新路由信息，从而保证数据传输的流畅性。MSTP技术帮助防止网络环路，增强了网络的可靠性。VRRP作为容错协议，实现了主备路由器间的无缝切换，确保了网络的持续可用性。

为了网络的安全性，我部署了访问控制列表ACL，这样可以限制对网络资源的访问，并有效预防非法访问和网络攻击。

在服务器配置方面，我部署了基于Windows Server 2008的WEB、DNS、FTP和DHCP服务器，以提供多样化的网络服务，满足公司的需求。

最后，我对公司的四个主要部门------人力资源部（V10）、市场营销部（V20）、财务部（V30）和信息部（V40）进行了细致的网络规划和设计。通过VLAN技术，我实现了部门间数据流量的隔离，防止了数据泄露和干扰。此外，我还利用telnet技术远程管理和维护各部门的网络拓扑。

通过这个项目，我深刻体会到了网络设计的复杂性和重要性。在实施过程中，我面临了诸如负载均衡和容错协议配置、网络安全措施实施、服务器部署和配置等挑战。但是，凭借团队合作和专业知识的运用，我成功地解决了这些问题，顺利完成了项目。