第一章 项目背景
1.1项目目的
根据xx科技有限公司网络规划负责人的要求完成对xx科技有限公司的网络结构和需求设计，满足该公司的业务需求，完善自己对交换与路由技术的掌握和理解，提高自己的实际操作能力。
1.2项目背景
该企业是一所不到150人的中小型企业， 公司设立市场部、网络中心、人事部、财务部、客服部、销售部、信息部等部门。睿国科技有限公司希望各部门之间要隔离广播信息，不限制物理工作地址，人事部，销售部，市场部和客服部直接可以互相访问；同时，睿国科技有限公司又要搭建自己的web网站，E-mail服务器以实现公司内部的资源共享及通讯目的，汇聚层采用链路聚合，提供冗余备份；为保证正常运作和发展，公司需要全网接入Internet，所以公司需要一条可靠安全的链路接入；公司仅允许外网用户访问公司的官方网站。
为了确保公司网络的正常且稳定运行，该公司网络必须具备以下特性。
（1）灵活性:系统具有较高的适应变化的能力。当用户的物理位置发生变化时可以在非常简便的调整下重新连接;布线系统且具有一定的扩展能力。
（2）实用性:系统具有低成本、使用方便、简单、易扩展的特点。布线系统应在满足各种需求的情况下尽可能降低材料成本;布线系统具有操作简单、使用方便、易于扩展的特点。
（3）可扩展性:网络结构和系统结构模块化，易于扩充，适应未来发展。
（4）高可靠性:网络建设应立足于现有成熟的技术，具有高可靠性。
该企业的具体环境：
（1） 各部门处于相同写字楼的不同楼层，通过物理隔离，各部门各司其职，但可以通过公司内部的E-mail服务器交流通信。
（2） 公司内部网络与Internet之间采用1000M光纤接入。
（3） 公司供给业务种类多，范围广，用户的信息要保密，防止泄露，这就要求公司具有良好的安全性。
（4） 所申请的公网地址为200.1.8.7/24，网关地址为200.1.8.1。
第二章 项目需求分析
2.1 需求分析
根据公司内部管理模式和要求以及使用网络的安全性等，作出以下需求与分析，以确保公司能够方便快捷的管理和使用网络的安全性。
需求1：在接入层采用二层交换机，并用一定方式隔离广播域。
分析1：采用基于MAC地址、交换机端口等方式划分vlan。
需求2：在接入交换机的access端口上限制主机连接的数量，提高网络安全性。
分析2：配置交换机端口安全，实现限制最大连接数。
需求3：核心层采用高性能的三层交换机实现VLAN间的路由。
分析3：接入和汇聚层交换之间采用Trunk链路进行连接。核心层交换机采用SVI实现vlan间的路由。
需求4：汇聚层的两台三层交换机需要提高链路带宽。
分析4：在两台交换机之间配置链路聚合，相互备份。
需求5：根据实际需要指定没有指定IP地址的交换机和路由器的端口、主机的IP地址以及VLAN子接口的IP地址。
分析5：对主机，交换机及路由器进行指定配置。
需求6：提高路由器之间广域网连接的安全性。
分析6：运用CHAP认证提高安全性。
需求7：公司内具备无线设备。
分析7：安装，连接无线路由器。
需求8：财务部不能访问Internet，其余部门只能访问公司的web和E-mail服务。
分析8：通过配置扩展访问控制列表实现。
需求9：实现公司部分部门对外网的访问。
分析9：采用NAPT动态地址转换协议。
需求10：公司内部服务器的连接。
分析10：公司内服务器通过一台三层交换机连接到核心层交换机上，使用路由协议连通。
需求11：对接入层交换机的远程管理。
分析11：对接入层交换机进行初始化配置，实现远程管理。
需求12：实现部分部门之间的连通。
分析12：单臂路由技术。
需求13：禁止外部网络访问除公司官方网站之外的其他服务。
分析13：配置扩展访问控制列表实现访问控制。

2.2网络拓扑结构分析
2.2.1系统设计原则
1、统一设计原则
统筹规划和统一设计系统结构。尤其是应用系统建设结构、数据模型结构、.数据存储结构以及系统扩展规划等内容，均需从全局出发、从长远的角度考虑。
2、先进性原则
系统构成必须采用成熟、具有国内先进水平，并符合国际发展趋势的技术、软件产品和设备。在设计过程中充分依照国际上的规范、标准，借鉴国内外目前成熟的主流网络和综合信息系统的体系结构,以保证系统具有较长的生命力和扩展能力。保证先进性的同时还要保证技术的稳定、安全性。
3、高可靠/高安全性原则
系统设计和数据架构设计中充分考虑系统的安全和可靠。
4、标准化原则
系统各项技术遵循国际标准、国家标准、行业和相关规范。
5、成熟性原则
系统要采用国际主流、成熟的体系架构来构建，实现跨平台的应用。
6、适用性原则
保护已有资源，急用先行，在满足应用需求的前提下，尽量降低建设成本。

2.2.2网络拓扑结构

2.2.3IP分配
表2-1 设备IP地址分配表
设备（名称） 端口 IP地址
MS0 Fa0/4 192.168.105.2/24
port-channel 1 192.168.107.1/24
MS1
Fa0/4 192.168.106.2/24
port-channel 1 192.168.107.2/24

         MS2
Fa0/1	192.168.105.1/24
Fa0/2	192.168.106.1/24
Fa0/3	192.168.104.2/24
Fa0/4	192.168.108.1/24

         MS3	Fa0/1	192.168.101.1/24
Fa0/2	192.168.102.1/24
Fa0/3	192.168.103.1/24
         RA
Se0/1/0	200.1.8.7/24
Fa0/1	192.168.108.2/24

      Internet	Se0/1/0	200.1.8.8/24
Fa0/0	63.19.6.1/24
Fa0/1	200.1.1.1/24
        RB
Fa0/0	192.168.103.2/24
Fa0/1	192.168.104.1/24

2.2.4设备型号
表2-2 设备型号介绍表
设备名称 数量 价格 对应拓扑图设备
集线器 1 500 H0
接入层交换机 5 2000 S0，S1，S2，S3，S4
三层交换机 4 3000 MS0，MS1，MS2，MS3
路由器 4 5000 RA,RB
出口路由器 2 300000 Internet
无线路由器 1 300 WX0
服务器 3 8000 Web服务器，Email服务器
2.3 硬件分析
2.3.1核心层设备
Cisco 6500系列交换机

Cisco 1841系列路由器

2.3.2汇聚层设备
Cisco 4500系列交换机

2.3.3接入层设备
Cisco 2960交换机

2.3.4服务器等其他设备
Cisco c220m3 1u 服务器

第三章 项目实施及测试
3.1 设备配置
3.1.1 VLAN划分配置
表3-1 Vlan规划表
S0
Vlan划分 configure terminal // 进入全局配置模式
vlan 10 /新建vlan10
exit
interface fastEthernet 0/1 //进入fa0/1端口的配置模式
switchport access vlan 10 //将vlan10划分给fa0/1
configure terminal
vlan 10
exit
interface fastEthernet 0/4
switchport access vlan 10

S1
Vlan划分 configure terminal
vlan 20
exit
interface fastEthernet 0/1
switchport access vlan 20
configure terminal
vlan 30
interface fastEthernet 0/2
switchport access vlan 30

S2
Vlan划分 configure terminal
vlan 40
exit
interface fastEthernet 0/2
switchport access vlan 40
no shutdown
end
configure terminal
vlan 50
exit
interface fastEthernet 0/3
switchport access vlan 50
no shutdown
end
configure terminal
vlan 60
exit
interface fastEthernet 0/4
switchport access vlan 60
no shutdown
configure terminal
vlan 70
exit
interface fastEthernet 0/5
switchport access vlan 70
no shutdown
end
3.1.2 TRUNK链路配置
表3-2 TRUNK链路配置表
S0
TRUNK链路配置 enable //进入特权模式
configure terminal //进入全局配置模式
interface fastEthernet 0/3 //进入fa0/5接口配置模式
switchport mode access
switchport mode trunk //将fa0/5设置为trunk模式
no shutdown //激活接口
exit

S1
TRUNK链路配置 enable
configure terminal
interface fastEthernet 0/3
switchport mode access
switchport mode trunk
no shutdown
exit

3.1.3 SVI配置
表3-3 SVI配置表
MS0
SVI配置 enable //进入特权模式
configure terminal //进入全局配置模式
vlan 10 //创建虚拟接口
exit
interface vlan 10 //进入vlan 10 接口配置模式
ip address 192.168.41.1 255.255.255.0 //配置端口的IP地址
no shutdown //激活接口
exit

MS1
SVI配置 enable
onfigure terminal
vlan 20
exit
vlan 30
exit
interface vlan 20
ip address 192.168.42.1 255.255.255.0
no shutdown
exit
interface vlan 30
ip address 192.168.43.1 255.255.255.0
no shutdown
exit

3.1.4 聚合链路配置
表3-4 聚合链路配置表
MS0
聚合链路配置 enable //进入特权模式
configure terminal //进入全局配置模式
interface port-channel 1 //创建聚合端口，编号为1
switchport mode access //将聚合端口设置为access模式
switchport mode trunk //将聚合端口设置为trunk模式
switchport trunk allowed vlan all //允许所有vlan通过该接口
exit
interface range fastEthernet 0/2-3 //进入接口fa0/2和fa0/3
channel-group 1 mode on //接口fa0/2和fa0/3成为聚合组1的成员

MS1
聚合链路配置 enable
configure terminal
interface port-channel 1
switchport mode access
switchport mode trunk
switchport trunk all vlan all
exit
interface range fastEthernet 0/2-3
channel-group 1 mode on

3.1.5 ACL的配置
表3-5 ACL配置表
RA
ACL Enable
configure terminal
access-list 101 deny icmp 192.168.44.0 0.0.0.255 192.168.0.0 0.0.255.255 //创建一条编号为101的扩展访问控制列表，拒绝192.168.44.0网段的所有主机发送向目的主机发送icmp报文
access-list 101 deny icmp 192.168.45.0 0.0.0.255 192.168.0.0 0.0.255.255
access-list 101 deny icmp 192.168.46.0 0.0.0.255 192.168.0.0 0.0.255.255
access-list 101 deny icmp 192.168.47.0 0.0.0.255 192.168.0.0 0.0.255.255

RB
ACL Enable
configure terminal
access-list 101 deny icmp 192.168.0.0 0.0.255.255 192.168.0.0 0.0.255.255
access-list 101 permit ip any any

3.1.6 OSPF协议配置
表3-6 OSPF协议配置表
MS0
OSPF协议配置 enable //进入特权模式
configure terminal //进入全局配置模式
route ospf 2 //开启OSPF协议，进程号为2
network 192.168.41.0 0.0.0.255 area 0 //宣告直连网段，分配区域号
network 192.168.105.0 0.0.0.255 area 0
network 192.168.107.0 0.0.0.255 area 0
exit

MS1
OSPF协议配置 enable
configure terminal
route ospf 2
network 192.168.42.0 0.0.0.255 area 0
network 192.168.43.0 0.0.0.255 area 0
network 192.168.106.0 0.0.0.255 area 0
network 192.168.107.0 0.0.0.255 area 0
exit

MS2
OSPF协议配置 enable
configure terminal
route ospf 2
network 192.168.104.0 0.0.0.255 area 0
network 192.168.105.0 0.0.0.255 area 0
network 192.168.106.0 0.0.0.255 area 0
network 192.168.108.0 0.0.0.255 area 0

MS3
OSPF协议配置 enable
configure terminal
route ospf 2
network 192.168.101.0 0.0.0.255 area 0
network 192.168.102.0 0.0.0.255 area 0
network 192.168.103.0 0.0.0.255 area 0
exit

RA
OSPF协议配置 enable
configure terminal
route ospf 2
network 192.168.108.0 0.0.0.255 area 0
exit

RB
OSPF协议配置 enable
configure terminal
route ospf 2
network 192.168.103.0 0.0.0.255 area 0
network 192.168.104.0 0.0.0.255 area 0
exit

3.1.7 NAPT配置
表3-7 NAPT配置表
RA
NAPT配置 int fa0/0.40
ip nat inside //将fa0/0.40设置为内网接口
int fa0/0.50
ip nat inside
int fa0/0.60
ip nat inside
int fa0/0.70
ip nat inside
int se0/1/0
ip nat outside //将se0/1/0设置为外网接口
ip route 0.0.0.0 0.0.0.0 se0/1/0
ip nat pool zyu 200.1.8.7 200.1.8.7 netmask 255.255.255.0
//设置用于转换的地址池
access-list 10 permit 192.168.44.0 0.0.0.255
//定义允许转换的地址
access-list 11 permit 192.168.45.0 0.0.0.255
access-list 12 permit 192.168.46.0 0.0.0.255
access-list 13 permit 192.168.47.0 0.0.0.255
ip nat inside source list 10 pool zyu overload
//为内部本地转换调用地址池
ip nat inside source list 11 pool zyu overload
ip nat inside source list 12 pool zyu overload
ip nat inside source list 13 pool zyu overload

3.1.8 端口安全配置
表3-8 端口安全配置表
S0
端口安全配置 configure terminal
interface fastEthernet 0/1
switchport mode access //将端口配置为access模式
switchport port-security //开启端口安全功能
switchport port-security maximum 2 //设置最大连接数为2
switchport port-security violation shutdown
//违例处理方式为端口shutdown
end

3.1.9 单臂路由配置
表3-9 单臂路由配置表
RA
单臂路由配置 int fa0/0.40 //进入端口fa0/0的虚拟子接口的配置模式
encapsulation dot1Q 40 //封装dot1q协议
ip add 192.168.44.1 255.255.255.0 //为虚拟接口设置ip地址
int fa0/0.50
encapsulation dot1Q 50
ip add 192.168.45.1 255.255.255.0
int fa0/0.60
encapsulation dot1Q 60
ip add 192.168.46.1 255.255.255.0
int fa0/0.70
encapsulation dot1Q 70
ip add 192.168.47.1 255.255.255.0

3.1.10 CHAP配置
RA
CHAP配置 hostname RA //将路由器命名为RA
int se0/1/0
encapsulation ppp //为se0/1/0接口封装ppp协议
no shut
username Internet password 123abc //创建数据库，保存对端的用户名为Internet，密码为123abc
int se0/1/0
en
encapsulation ppp
ppp authentication chap //ppp启用CHAP验证
RA#
RA#debug ppp authentication //显示验证过程
PPP authentication debugging is on

Interet
CHAP配置 hostname Internet
int se0/1/0
encapsulation ppp
no shut
ex
username RA password 123abc
int se0/1/0
en
encapsulation ppp
ppp authentication chap
end

3.1.11交换机的初始化配置
S0
交换机的初始化 enable //进入特权模式
configure terminal //进入全局配置模式
interface vlan 1 //打开交换机管理vlan
ip address 192.168.35.2 255.255.255.0 //为交换机配置管理地址
no shutdown
exit
enable secret tqmm //设置特权密码
line vty 0 4 //进入线程配置模式
password ycdlmm //配置远程登陆密码
Login //启用验证密码
end

3.2功能测试
3.2.1VLAN间连通测试

图3.1测试Vlan10和vlan20，vlan30之间的连通性

图3.2测试Vlan10和vlan40，vlan50之间的连通性
3.2.2访问外网WEB服务测试

图3.3 vlan40访问外网WEB服务测试

图3.4 vlan50访问外网WEB服务测试
3.2.3NAPT测试

图3.5 vlan60 NAPT测试

图3.6 vlan70 NAPT测试

图3.7 vlan50NAPT测试

图3.8地址映射表

3.2.4单臂路由测试

图3.9vlan40，vlan50和vlan60单臂路由测试

图3.10 vlan50,vlan60，vlan70NAPT测试
3.2.5 SVI测试

图3.11 vlan20，vlan30SVI测试

图3.12vlan10，vlan20和vlan30 SVI测试
3.2.6 无线路由器测试

图3.13无线路由器加密方式为WEP，密码为abc1234567

图3.14 无线路由器自动给客户端分配地址

图3.15无线路由器下主机连通性测试
3.2.7交换机初始化测试

图3.16 交换机远程管理测试

3.2.8端口安全测试

图3.17 端口安全测试

图3.18开启被shutdown的端口

3.2.9 CHAP测试

图3.19 RA ping Internet

图3.20 查看CHAP认证过程
第四章 总 结
4.1 心得体会

4.2项目总结