简单的一个小型企业网的设计

简单的一个小型企业网的设计

实验目的：设计一个小型企业网，使经理室能够访问外网，设备科，财务处，人事处不

能访问外网，经理室能够访问设备科，财务处，人事处，通过帧中继实现云两端的路由能够

通信。

实验拓扑图：

设备的选购：在企业中考虑到经济因素，在外网接入内网的路由，选用cisco2811，核

心层采用cisco3650，接入层采用cisco2950。

VLAN 及IP 地址规划：

VLAN 号 IP 网段 默认网关 说明

VLAN1 10.10.0.0 10.10.0.254 管理vlan

VLAN10 10.10.10.0 10.10.10.254 设备科

VLAN20 20.20.20.0 20.20.20.254 财务处

VLAN30 30.30.30.0 30.30.30.254 人事处

实验步骤：

一．在路由上配置nat，使得pc7 能够访问外网。(Config)#ip route 0.0.0.0 0.0.0.0 s0/3/0

(Config)#ip nat pool cf 10.0.0.2 10.0.0.2 net 255.255.255.0

(Config)#acc 1 per host 11.1.1.2

(Config)#ip nat in sou sta 10.0.0.2 11.1.1.2

测试10.0.0.2 可以ping 通11.1.1.2

二．在外网端口上限制带宽

（config）＃int s0/3/0

（Config－if）#bandwidth 10000

三．在核心层上配置vlan

（Vlan ）#vtp ser

（Vlan ）#vtp dom cf

(Config)#vlan10

(Config)#vlan 20

(Config)#vlan 30

(Config)#int vlan 10(Config-if)#ip add 10.10.10.254 255.255.255.0

(Config)# int vlan 20

(Config-if)#ip add 20.20.20.254 255.255.255.0

(Config)#int vlan 30

(Config-if)#ip add 30.30.30.254 255.255.255.0

(Config)#int vlan 1

(Config-if)#ip add 10.10.0.254 255.255.255.0

四．在接入层配置vlan

(Config)#vlan10

(Config)#vlan 20

(Config)#vlan 30

(Config)#int fa0/5

(Config-if)#swit acc vlan10

(Config)#int fa0/6

(Config-if)#swit acc vlan 20

(Config)#int fa0/7

(Config-if)#swit acc vlan 30

五．在路由和核心层上rip，使得经理室通过rip 访问vlan10

R(config)#router rip

(config)#net 10.0.0.1

(config)#net 10.10.0.1

SW(config)#router rip

(config)#net 10.10.10.254

测试pc7 能够ping 通pc1

六．在路由和核心层上osfp，使得经理室通过ospf 访问vlan20

R(config)#router ospf 1

(config)#net 10.0.0.1 0.0.0.255 area 0

(config)#net 10.10.0.1 0.0.0.255 area 0SW(config)#router ospf 1

(config)#net 10.10.10.1 0.0.0.255 area 0

测试pc7 能够ping 通pc2

七．在路由和核心层上设置静态路由，使得经理室通过静态路由访问vlan30

R(confit)# ip route 30.30.30.0 255.255.255.0 10.10.0.254

SW(config)# ip route 10.0.0.0 255.255.255.0 10.10.0.1

测试pc7 能够ping 通pc3

八．在两台二层上配置生成树，解决环路

（config）#int fa0/4

（config-if）#switchport mode trunk

（config-if）# spanning-tree portfast trunk

九．在二层端口上绑定

（config）#int fa0/2

（config-if）# switchport mode access

（config-if）#switchport port-security

（config-if）# switchport port-security mac-address 0005.5E55.00C6

十．在云两端帧中配置R(config)#interface Serial0/0

（config-if）# ip address 12.1.1.1 255.255.255.0

（config-if）# encapsulation frame-relay

（config-if）# frame-relay interface-dlci 102

（config-if）# frame-relay imi c

clock rate 64000

测试云两端能够ping 通

十一。做acl，拒绝Dos 攻击

R0

（config）# access-list 101 deny icmp any any echo

（config）# access-list 101 deny udp any any eq 101

（config）# access-list 101 permit icmp any any

（config）# access-list 101 permit udp any any

(Config)#int s0/3/0

(Config-if)# ip access-group 101 in

实验总结：一个完整的网络系统设计不仅要包含上述设备或系统，还应该包括计费系统，

防火墙系统，入侵检测系统等。通过实验，基本实现了实验的要求，提高了自己的能力，使

得知识得到了综合的、灵活的运用。