前言

为了适应网络经济的飞速发展，扩大企业经营的规模和范围，方便企业内部和企业之间的交流，节省办公开销，提高企业的管理水平，企业发展Intranet （企业内部网）已经是刻不容缓。现如今后如何应对瞬息万变、竞争激烈的国内外市场环境以及如何利用网络技术迅速提升企业核心竞争力就是成为企业成败的关键所在。
目前我国企业尤其是中小型企业网络建设正在如火如荼的进行着，此方案采用了国际高端品牌cisco 的网络设备，同时采用了当前重要的和使用广泛的网络体结构有OSI 体系结构和TCP/IP 体系结构。以先进，安全，实用，可扩展，灵活为原则进行设计。本方案将以x公司内部局域网的组建需求、实际应用为出发点，从中小型企业局域网的业务需求和传统网络技术入手，设计适用于中小型企业的组网方案，为公司营造一个一流的企业网络。

部署准备

安装 Cisco Packet Tracer

企业用户需求分析

要求为员工提供安全的网络办公环境，保障信息安全，要求易于用户管理、界面简单、逻辑清晰；要求网络提供足够的带宽，丰富的接口形式，满足用户对应用带宽的基本要求，要求紧急情况下公司业务的备份，以减少公司的损失；同时要求员工能获取信息，拓宽知识面；提高专业水平，随时得到领导指示。

企业网络需求分析

本方案将设计主干网负责各个子网和应用服务的连接，网络协议采用TCP/IP 协议，核心交换机采用三层交换机，能较好解决突发数据量和密集服务请求的实时响应问题，数据交换时交换引擎不会出现过载现象和数据包碰撞、丢失的现象，以及一些非人为的故障的相关补救措施。UPS 电源要保证网络中所有的服务器、交换机、路由器等设备的连续、正常地运转；同时要求内部网络中的病毒防范控制，不受外网的影响；对于数据也要求又相互备份互补的业务，以免在发生数据通讯故障的时候，网络设备能自行修复问题，保持网络的畅通性。

企业系统需求分析

企业要求所有的客户端和服务器系统应该是易于配置和管理的，并保障客户端的方便使用；在系统的设计、实现及应用上应采用多种安全手段保障网络安全；系统的设计要求采用开放的技术和标准选择主流的操作系统及应用软件，系统的运行应具有高稳定性，保障每周七天全天24 小时的高性能无故障运行；便于系统管理员在任何位置方便的对整个系统进行管理；系统设计应尽量降低整个系统的成本。

企业设备需求分析

根据公司的网络功能需求和实际的布线系统情况，企业要求楼层接入设备需要选择同一型号的设备；网络设备必须在技术上具有先进性、通用性，必须便于管理、维护，应该满足公司现有计算机设备的高速接入，应该具备良好的可扩展性、可升级性，保护用户的投资。同时还要求公司网络设备的高利用率，减少对网络设备无谓的支出；要求网络设备在满足功能与性能的基础上必须具有良好的性价比。网络设备应选择目前主流产品，同时设备厂商必须要有良好的市场形象与售后技术支持。

公司网络设计方案

设计原则

1.实用性
性能指标能满足各项业务处理能力，企业组网的方案在接入层交换机将用MAC 地址与端口的捆绑实现高效的用户控制，大大提高用户的利用率。
2.安全性
用路由策略技术和容错技术、核心层和接入层的链路冗余功能，提供全方位的安全管理系统内部网络之间、内网与外网之间的互联，利用路由器、杀毒软件等对访问进行控制，确保网络的安全。
3.先进性
采用主流网络体系、运行系统和设备产品，设计的网络方案采用三层分布式结构。核心层选用了高性能的思科千兆路由器，负责路由管理、网络管理、网络服务、核心数据处理等。汇聚层采用思科Cisco Catalyst 3560-24 三层交换机，提供高速无阻塞的链路到核心层，大大提升网络性能。接入层选用思科网络Cisco Catalyst 2960-24，充分满足用户的高速接入等。服务器设备操作系统采用window Server 2003操作系统；具有很好的稳定性和安全性。
4.可扩展性
网络的核心层采用模块化路由器Cisco 2811 ，汇聚层采用模块化交换机，按照需求灵活配置各种模块，做到既满足需求，由留有余地。整个网络架构采用三层结构，使网络具有较好的伸缩性、可以根据网络建设的不同阶段灵活配置和扩展。
5.开放性
本次设计的中央集成管理系统将是一个完全开放性的系统，通过编制系统的接口软件将解决不同系统和产品间接口协议的“ 标准化”，以使他们之间具备“ 互操作性”。所有接口均基于标准的TCP/IP 数据接口协议和内容。系统的开放性设计完全遵循国际主流标准以及工业标准。

公司概况及拓扑图

在本次设计方案中主要是对x公司进行整体的网络设计，该公司分别设有行政部，研发部，财务部以及一个WWW服务器，分别连接在四台二层交换机上。

需求实现

经过和x公司领导谈话，网络建设完成后需实现以下几点:

1.三层交换机SW1和SW2实现以太网通道。
2.两台三层交换机分别配置VTP服务端，其他交换机为客户端。
3.配置PVST+负载均衡。
4.三层交换机上配置HSRP协议，实现热备份。
5.在三层交换机上启用DHCP，让部门的主机能够自动获取IP地址，网关及DNS地址。
6.配置OSPF实现全网互通。
7.配置ACL使财务部不能上网，外网主机只能访问内网WWW服务器，而内网除了财务都可以访问外网。
8.路由器只允许研发部远程登陆管理。
网络拓扑图如下所示:

VLAN及IP地址规划

在一个中小型网络里，VLAN 的划分是必不可少的步骤之一，也是必不可少的一部分；在本企业网设计中，针对当前现状，IP 地址资源紧缺，我们不可能也不应该为每一台工作站申请一个公有IP 地址，而是公网接口申请一个或多个IP ，内网是私有IP 地址，这样不仅可以缓解IP 地址不足的情况，而且也可以为企业建设一个企业网节约不少的开支。
具体VLAN 与IP 规划如下表:

VLAN编号	VLAN命名	IP地址网段	SW1默认网关	SW2默认网关	VLAN 说明
10	Xingzheng	192.168.1.0/24	192.168.1.1	192.168.1.2	行政部
20	Yanfa	192.168.2.0/24	192.168.2.1	192.168.2.2	研发部
30	Caiwu	192.168.3.0/24	192.168.3.1	192.168.3.2	财务部
40	Server	192.168.4.0/24	192.168.4.1	192.168.4.2	WWW服务

设备之间互联IP地址规划

设备名称	设备接口	IP地址	对端设备名称	设备接口	IP地址
外网主机	Fa0	10.1.1.2/24	R1	Fa0/0	10.1.1.1/24
R1	Fa0/1	20.1.1.1/24	R2	Fa1/0	20.1.1.2/24
R2	Fa1/0	40.1.1.1/24	SW1	Fa0/1	40.1.1.2/24
R2	Fa0/1	30.1.1.1/24	SW2	Fa0/1	30.1.1.2/24
PC1-6	Fa0	自动获取
WWW	Fa0	自动获取
R1	Loopback 0	1.1.1.1/32
R2	Loopback 0	2.2.2.2/32
SW1	Loopback 0	3.3.3.3/32
SW2	Loopback 0	4.4.4.4/32

网络设备选型

在确定了网络系统的设计方案后，需要进行网络设备选型。设备选型是网络工程中非常重要的一环，设备选型的好坏直接影响系统的实用性、稳定性、可靠性和系统的费用。其中要考虑到三方面：品牌选择，性能优先，最小开销。

1.核心层网络采用CISCO WS-C3560-24PS
Cisco 3560 系列智能以太网交换机是一种新型的企业级可堆叠多层交换机系列，可通过高可用性、服务质量（QoS）和安全性来改进网络运行；Cisco 3560 可提供高可用性、可扩展性、安全性和可改进网络运营的管理能力。
2.接入层网络采用CISCO WS-C2960G-24
Cisco 2960 系列智能以太网交换机是一个全新的、固定配置的独立设备系列，提供桌面快速以太网和千兆以太网连接，可为入门级企业、中型市场和分支机构网络提供增强LAN 服务。Cisco 2960 系列在网络或城域接入边缘实现了智能服务。
3.外部访问网络采用CISCO 2811 路由器
Cisco 2811隶属于Cisco 2800系列产品，与相似价位的前几代思科路由器相比，Cisco 2800系列的性能提高了五倍、安全性和话音性能提高了十倍、具有全新内嵌服务选项，且大大提高了插槽性能和密度，同时保持了对目前Cisco 1700系列和Cisco 2600系列中现有90多种模块中大多数模块的支持，从而提供了极大的性能优势。

网络安全设计

为了提高公司网络的安全性能；本设计方案提高设备的物理安全性；配置设备的口令进行VTP 域的认证；上网用户的接入控制；应用系统的访问控制；因特网的接入安全控制。

提高物理设备的安全性

设备的物理安全性是指运行中的设备，未经授权的人员不能直接接触到。也就是说设备要有独立管理机房并有专门专业的维护人员进行维护和管理；提高设备的物理安全性，是最基本的要求。

配置设备的口令

配置设备的口令，是防止非授权的人员更改网络系统的配置的重要手段。要为所有的设备设置口令。要为每一台设备配置Console 口令，VTY 口令，特权口令等。在口令方面，需要制定管理制度并严格执行。口令管理制度包括口令的设置，保管，更改，口令的强度等内容。建议企业参照硬件设备的管理方式，交给专门专业的工程师进行管理，如需变更或删除，需领导批准。
具体命令如下所示:

SW1:
SW1>enable                         #进入特权模式
SW1#configure terminal             #进入全局配置模式
SW1(config)#line console 0         #配置console口登录的密码
SW1(config-line)# password ******  #密码只有相关的领导和工程师才知道
SW1(config-line)#login
SW1(config-line)#exit
SW1(config)#line vty 0 4           #配置远程登陆的密码
SW1(config-line)#password ******
SW1(config-line)#login
SW1(config-line)#exit
SW1(config)# enable secret ******   #配置特权模式密码，密文密码更安全

以上仅仅为SW1交换机的配置，其余设备都应配置，在本设计中所有密码统一使用“cisco”，并且简写相关的命令，例如特权模式则简写为“en”，全局配置模式简写为“conf t”，华为设备则在systemview配置

进行VTP域的认证

VTP 域的认证，能够保证局域网的VLAN 等的安全。设置了口令之后，除非交换机设置了正确的口令，否则新交换机将不能自动加入到已存在的管理域中。保证了局域网的运行安全，可以避免因为VLAN 被错误或者恶意的增加，从而提高了网络的安全性。
具体命令如下所示:

SW1:
SW1(config)# vtp domain lxw         #配置VTP域名
SW1(config)# vtp mode server        #配置该交换机为VTP服务端
SW1(config)# vtp password ******    #VTP密码
SW1(config)# vtp version 2          #VTP版本
SW2至SW6都应配置VTP PASSWORD。
#注意VPT为思科独有协议

用户的控制接入

严格控制用户的接入，可以避免非法用户接入带来的潜在的安全隐患。网系统建设验收完毕之后，确保交换机的所有用户端口处于关闭状态。只有用户使用申请通过批准之后网络管理员才能将端口激活。不会影响用户的使用并杜绝潜在安全隐患。

系统的访问限制

可根据公司的应用需求，可在特定设备上实施访问控制，限制企业网用户对特定应用系统的访问，或者只允许特定的用户访问某些资源。保证网络资源的有效利用的同时保护资源的安全。

网络的接入安全检测

从目前网络发展趋势上看，我们可以预见未来的企业将要面对着很严重的网络安全威胁：特洛伊木马、病毒和蠕虫等等。与之同时，间谍软件的攻击也加快了蔓延速度。为了更好地控制企业网络，应拒绝不受欢迎的设备或者被感染恶意代码的设备访问，有效地控制访问网络资源的终端设备，加强企业内部安全控制，保护好企业的数据信息，是当前安全防护中必不可少的重要方面。所以因特网的接入安全控制是非常重要的，不仅需要布置防火墙等安全设备，还要指定严格的安全策略，安装360等防护软件。

相关技术介绍及配置

为了使公司网络高效、稳定的运行，便于管理与维护，对局域网交换和路由技术的相关方面进行了规范设计，包括EthernetChannel、VTP、VLAN、DHCP、PVST、OSPF、HSRP、ACL等。

VTP（VLAN Trunking Protocol）

VTP是VLAN中继协议，也被称为虚拟局域网干道协议。它是思科私有协议。作用是多台交换机在企业网中，配置VLAN工作量大，可以使用VTP协议，把一台交换机配置成VTP Server, 其余交换机配置成VTP Client,这样他们可以自动学习到server 上的VLAN 信息。
它是一个OSI参考模型第二层的通信协议，主要用于管理在同一个域的网络范围内VLANs的建立、删除和重命名。在一台VTP Server 上配置一个新的VLAN时，该VLAN的配置信息将自动传播到本域内的其他所有交换机。这些交换机会自动地接收这些配置信息，使其VLAN的配置与VTP Server保持一致，从而减少在多台设备上配置同一个VLAN信息的工作量，而且保持了VLAN配置的统一性。
VTP通过网络(ISL帧或cisco私有DTP帧)保持VLAN配置统一性。VTP在系统级管理增加，删除，调整的VLAN，自动地将信息向网络中其它的交换机广播。此外，VTP减小了那些可能导致安全问题的配置。便于管理,只要在VTP Server做相应设置,VTP Client会自动学习VTP SERVE上的VLAN信息。
具体配置命令如下所示:

SW1:
SW1>en
SW1#conf t 
SW1(config)# vtp domain lxw    #域名为lxw，实际配置按公司领导需求配置
SW1(config)# vtp mode serve
SW1(config)# vtp password cisco
SW1(config)# vtp version 2

SW2:
SW2>en
SW2#conf t
SW2(config)# vtp domain lxw
SW2(config)# vtp mode serve
SW2(config)# vtp password cisco
SW2(config)# vtp version 2

SW3:
SW3>en
SW3#conf t
SW3(config)# vtp domain lxw
SW3(config)# vtp mode client
SW3(config)# vtp password cisco
SW3(config)# vtp version 2

SW4:
SW4>en
SW4#conf t
SW4(config)# vtp domain lxw
SW4(config)# vtp mode client
SW4(config)# vtp password cisco
SW4(config)# vtp version 
SW5:
SW5>en
SW5#conf t
SW5(config)# vtp domain lxw
SW5(config)# vtp mode client

SW5(config)# vtp password cisco
SW5(config)# vtp version 2

SW6:
SW6>en
SW6#conf t
SW6(config)# vtp domain lxw
SW6(config)# vtp mode client
SW6(config)# vtp password cisco
SW6(config)# vtp version 2

#补充说明一下，域内的每台交换机都必须使用相同的域名，密码，VTP版本。不论是通过配置实现，还是由交换自动学到的。其中SW1-2为server，SW3-6为client。

VLAN （Virtual Local Area Network）

对于VLAN 的划分主要在接入层的端口上实施基于端口的VLAN 划分；这是最为普遍、快捷、易于管理的划分方法；按照x公司的实际情况对公司的局域网进行合理VLAN 划分，可以减少网络内的广播数据包，杜绝广播风暴，增强网络的安全性能；提高公司网络运行效率，保证网络顺畅；易于维护和管理；可以区分不同的应用和用户，方便集团的管理与维护。
目前，我们所掌握的VLAN 划分方法为以下几种：按端口划分VLAN，按MAC地址划分VLAN，按网络层划分VLAN，按IP组播划分VLAN，基于规则的VLAN划分，按用户划分VLAN。
其中本次设计中采用的是常见的按照端口划分VLAN，这种划分VLAN 的方法是根据以太网交换机的端口来划分，IEEE802.1Q 规定了依据以太网交换机的端口来划分VLAN 的国际标准。这种划分方法的优点是定义VLAN 成员时非常简单，只要将所有的端口都只定义一下就可以了。
具体配置命令如下:

SW1>en
SW1#conf t
SW1(config)#vlan 10
SW1(config-vlan)#name xingzheng  #由于要配置VLAN名称，不然可一次性创建
SW1(config-vlan)#ex
SW1(config)#vlan 20
SW1(config-vlan)#name yanfa
SW1(config-vlan)#ex
SW1(config)#vlan 30
SW1(config-vlan)#name caiwu
SW1(config-vlan)#ex
SW1(config)#vlan 40
SW1(config-vlan)#name www
SW1(config-vlan)#ex
SW1(config)#int vlan 10
SW1(config-if)#ip add 192.168.1.1 255.255.255.0  
SW1(config-if)#no shutdown 
SW1(config-if)#ex
SW1(config)#int vlan 20
SW1(config-if)#ip add 192.168.2.1 255.255.255.0
SW1(config-if)#no shutdown 
SW1(config-if)#ex
SW1(config)#int vlan 30
SW1(config-if)#ip add 192.168.3.1 255.255.255.0
SW1(config-if)#no shutdown 
SW1(config-if)#ex
SW1(config)#int vlan 40
SW1(config-if)#ip add 192.168.4.1 255.255.255.0
SW1(config-if)#no shutdown 
SW1(config-if)#ex
SW1(config)#ex
SW1#show vlan         #VLAN创建完成后可使用show vlan命令查看配置情况

以太网通道（EthernetChannel）

Ethernet Channel是指以太网信道，Ethernet Channel是由Cisco研发的技术，它旨在解决交换机与交换机之间的通信问题，方法是将多个快速以太网端口或吉比特以太网端口分组到一个逻辑通道中，使得所有接入层与分布层交换机之间的链路都被捆绑进了EtherChannel中，并且都处于转发模式中。也背称为以太端口捆绑、端口聚集或以太链路聚集，以太通道为交换机提供了端口捆绑的技术，允许两个交换机之间通过两个或多个端口并行连接，同时传输数据，以提供更高的带宽。通过端口聚集协议（PAgP）建立以太通道。端口聚合是目前许多交换机支持的一个高级特性。
具体配置命令如下:

SW1>en
SW1#conf t
SW1(config)#int range f0/8-9
SW1(config-if-range)#switchport trunk encapsulation dot1q
SW1(config-if-range)#switchport mode trunk
SW1(config-if-range)#channel-group 1 mode on

SW2>en
SW2#conf t
SW2(config)#int range f0/8-9
SW2(config-if-range)#switchport trunk encapsulation dot1q
SW2(config-if-range)#switchport mode trunk
SW2(config-if-range)#channel-group 1 mode on

DHCP（Dynamic Host Configuration Protocol）

DHCP是电脑动态主机设置协议、能够集中管理和自动分配IP网络地址的通信协议。在IP网络中，每个连接Internet的设备都需要分配唯一的IP地址、当某台计算机移到网络中的其它位置时，能自动收到新的IP地址。通常被应用在大型的局域网络环境中，主要作用是集中的管理、分配IP地址，使网络环境中的主机动态的获得IP地址、Gateway地址、DNS服务器地址等信息，并能够提升地址的使用率。
DHCP客户端可以带来如下好处
1、降低了配置和部署设备时间
2、降低了发生配置错误的可能性
3、可以集中化管理设备的IP地址分配
具体配置命令如下:

SW1>en
SW1#conf t
SW1(config)#ip dhcp pool xingzheng
SW1(dhcp-config)#ne
SW1(dhcp-config)#network 192.168.1.0 255.255.255.0 
SW1(dhcp-config)#default-router 192.168.1.1
SW1(dhcp-config)#dns-server 114.114.114.114
#大体配置都一样，除了SW2的网关为1.2外，大体配置都一样，所以这里就不再一一赘述。

PVST+负载均衡（Per VLAN Spanning Tree Plus）

PVST+支持在相同网络中同时存在CST和PVST，PVST+可以用802.1Q封装。 PVST+在Catalyst 802.1Q trunks上是自动启动的。也是每个VLAN一棵STP。也可以实现第2层的负载均衡。PVST+分成3种类型的区域：PVST区域/PVST+区域/单生成树区域。
PVST部分特点:

1.支持ISL和IEEE802.1Q中继
2.支持cisco专有的STP扩展
3.添加BPDU防护和根防护增强功能

4.允许每一个VLAN有自己的根桥
具体配置命令如下所示:

SW1>en
SW1#conf t
SW1(config)#spanning-tree vlan 10 root primary    #配置主根
SW1(config)#spanning-tree vlan 20 root primary 
SW1(config)#spanning-tree vlan 30 root primary 
SW1(config)#spanning-tree vlan 40 root primary
SW2>en
SW2#conf t
SW2(config)#spanning-tree vlan 10 root secondary  #配置备份根
SW2(config)#spanning-tree vlan 20 root secondary
SW2(config)#spanning-tree vlan 30 root secondary
SW2(config)#spanning-tree vlan 40 root secondary

HSRP（Hot Standby Router Protocol）

热备份路由器协议，是cisco平台一种特有的技术，是cisco 的私有协议。路由器是整个网络的核心和心脏，如果路由器发生致命性的故障，本地网络瘫痪，造成的损失也是难以估计的。因此，对路由器采用热备份是提高网络可靠性的必然选择。HSRP 向主机提供了缺省网关的冗余性，当网络边缘设备或接入电路出现故障时，HSRP 它能够确保用户通信迅速并透明地恢复，以此为IP网络提供冗余性、容错和增强的路由选择功能。通过多个热备份组，路由器可以提供冗余备份，并在不同的IP 子网上实现负载分担。
具体配置命令如下:

SW1(config)#int vlan 10
SW1(config-if)#standby 10 ip 192.168.1.254 #配置备份网关
SW1(config-if)#standby priority 200        #配置优先级
SW1(config-if)#standby 10 preempt          #配置抢占端口
SW1(config-if)#standby 10 track fa0/1      #配置追踪端口
SW1(config-if)#standby 10 track f0/10
SW1(config-if)#standby 10 track f0/8
SW1(config-if)#standby 10 track f0/9
SW1(config-if)#ex
SW1(config)#int vlan 20
SW1(config-if)#standby 20 ip 192.168.2.254
SW1(config-if)#standby 20 priority  200
SW1(config-if)#standby 20 preempt
SW1(config-if)#standby 20 track f0/1
SW1(config-if)#standby 20 track f0/8
SW1(config-if)#standby 20 track f0/9
SW1(config-if)#standby 20 track f0/11
SW1(config-if)#ex
SW1(config)#int vlan 30
SW1(config-if)#standby 30 ip 192.168.3.254
SW1(config-if)#standby 30 priority  105
SW1(config-if)#standby 30 preempt
SW1(config-if)#ex
SW1(config)#int vlan 40
SW1(config-if)#standby 40 ip 192.168.4.254
SW1(config-if)#standby 40 priority 105
SW1(config-if)#standby 40 preempt

SW2(config)#int vlan 10
SW2(config-if)#standby 10 ip 192.168.1.254
SW2(config-if)#standby 10 priority 105
SW2(config-if)#standby 10 preempt 
SW2(config-if)#ex
SW2(config)#int vlan 20
SW2(config-if)#standby 20 ip 192.168.2.254
SW2(config-if)#standby 20 priority 105
SW2(config-if)#standby 20 preemp
SW2(config-if)#ex
SW2(config-if)#standby 30 ip 192.168.3.254
SW2(config-if)#standby 30 priority 200
SW2(config-if)#standby 30 preempt 
SW2(config-if)#standby 30 track f0/1
SW2(config-if)#standby 30 track f0/8
SW2(config-if)#standby 30 track f0/9
SW2(config-if)#standby 30 track f0/10
SW2(config-if)#ex
SW2(config)#int vlan 40
SW2(config-if)#st
SW2(config-if)#standby 40 ip 192.168.4.254
SW2(config-if)#standby 40 priority 200
SW2(config-if)#standby 40 preempt
SW2(config-if)#standby 40 track f0/1
SW2(config-if)#standby 40 track f0/8
SW2(config-if)#standby 40 track f0/9
SW2(config-if)#standby 40 track f0/11
SW2(config-if)#ex

OSPF（Open Shortest Path First）

OSPF(开放式最短路径优先）是一个内部网关协议(Interior Gateway Protocol，简称IGP），用于在单一自治系统（autonomous system,AS）内决策路由。是对链路状态路由协议的一种实现，隶属内部网关协议（IGP），故运作于自治系统内部。著名的迪克斯加算法(Dijkstra)被用来计算最短路径树。OSPF分为OSPFv2和OSPFv3两个版本,其中OSPFv2用在IPv4网络，OSPFv3用在IPv6网络。OSPFv2是由RFC 2328定义的，OSPFv3是由RFC 5340定义的。与RIP相比，OSPF是链路状态协议，而RIP是距离矢量协议。
让公司内部网络能够相互访问和访问服务器。在汇聚层的Cisco3560 系列以太网三层交换机上和核心层Cisco 2811 路由器上的启用OSPF 动态路由协议，同时也是为了对外发布公司自己的服务器。能够让外网主机访问内网服务器。这样日后公司网络变动，设备可以自动学习相关路由表；这样既节省了网络管理员的配置管理工作，同时也为日后的公司发展的网络扩展性打下一个良好的要求。
具体配置命令如下:

R1(config)#router ospf 1
R1(config-router)#router-id 1.1.1.1
R1(config-router)#network 1.1.1.1 0.0.0.0 area 1
R1(config-router)#network 20.1.1.1 0.0.0.255 area 1

R2(config)#router ospf 1
R2(config-router)#router-id 2.2.2.2
R2(config-router)#network 2.2.2.2 0.0.0.0 area 0
R2(config-router)#network 20.1.1.2 0.0.0.255 area 1
R2(config-router)#network 30.1.1.1 0.0.0.255 area 0
R2(config-router)#network 40.1.1.1 0.0.0.255 area 0

SW1(config)#router ospf 1
SW1(config-router)#router-id 3.3.3.3
SW1(config-router)#network 3.3.3.3 0.0.0.0 area 0
SW1(config-router)#network 40.1.1.2 0.0.0.255 area 0
SW1(config-router)#network 192.168.1.0 0.0.0.255 area 0
SW1(config-router)#network 192.168.2.0 0.0.0.255 area 0
SW1(config-router)#network 192.168.3.0 0.0.0.255 area 0
SW1(config-router)#network 192.168.4.0 0.0.0.255 area 0

SW2(config)#router ospf 1
SW2(config-router)#router-id 4.4.4.4
SW2(config-router)#network 4.4.4.4 0.0.0.0 area 0
SW2(config-router)#network 30.1.1.2 0.0.0.255 area 0
SW2(config-router)#network 192.168.1.0 0.0.0.255 area 0
SW2(config-router)#network 192.168.2.0 0.0.0.255 area 0
SW2(config-router)#network 192.168.3.0 0.0.0.255 area 0
SW2(config-router)#network 192.168.4.0 0.0.0.255 area 0

ACL（Access Control List）

访问控制列表（Access Control List，ACL）是路由器和交换机接口的指令列表，用来控制端口进出的数据包。ACL适用于所有的被路由协议，如IP、IPX、AppleTalk等。信息点间通信和内外网络的通信都是企业网络中必不可少的业务需求，为了保证内网的安全性，需要通过安全策略来保障非授权用户只能访问特定的网络资源，从而达到对访问进行控制的目的。简而言之，ACL可以过滤网络中的流量，是控制访问的一种网络技术手段。配置ACL后，可以限制网络流量，允许特定设备访问，指定转发特定端口数据包等。如可以配置ACL，禁止局域网内的设备访问外部公共网络，或者只能使用FTP服务。ACL既可以在路由器上配置，也可以在具有ACL功能的业务软件上进行配置。ACL是物联网中保障系统安全性的重要技术，在设备硬件层安全基础上，通过对在软件层面对设备间通信进行访问控制，使用可编程方法指定访问规则，防止非法设备破坏系统安全，非法获取系统数据。
具体配置命令如下:

配置财务部独立

SW1(config)#access-list 101 deny ip any any #拒绝访问外网
SW1(config)#access-list 102 permit udp any eq bootpc any eq bootps
#在这里要说一下，如果配置了101ACL，那么vlan 30下的主机均无法获取IP地址，所以加一条允许获取DHCP报文
SW1(config)#int vlan 30
SW1(config-if)#ip access-group 101 in #加入端口
SW1(config-if)#ip access-group 101 out 
SW1(config-if)#ip access-group 102 in
SW1(config-if)#ip access-group 102 out

SW2(config)#access-list 101  deny ip any any
SW2(config)#access-list 102 permit udp any eq bootpc any eq bootps
SW2(config)#int vlan 30
SW2(config-if)#ip access-group 101 in
SW2(config-if)#ip access-group 101 out
SW2(config-if)#ip access-group 102 in
SW2(config-if)#ip access-group 102 out

配置外网主机只能访问内网WWW服务器

R2(config)#access-list 101 permit tcp host 10.1.1.2 host 192.168.4.3 eq 80
#允许外网主机访问WWW服务器web
R2(config)#access-list 102 deny ip host 10.1.1.2 host 192.168.4.3
#拒绝拼通，但是还是能通，配置没问题，可能是模拟器的问题
R2(config)#access-list 103 permit ip any any
#允许所有通过
R2(config)#int f1/0
R2(config-if)#ip access-group 101 in
R2(config-if)#ip access-group 102 in
R2(config-if)#ip access-group 103 in

只允许研发部远程登陆

R2(config)#access-list 1 permit 192.168.2.0 0.0.0.255
#只允许该网段访问
R2(config)#line vty 0 4
R2(config-line)#password cisco
R2(config-line)#login              #应提前配置特权模式密码
R2(config-line)#access-class 1 in  #加入

其他基础配置

在配置中经常输错命令，而导致配置框卡死，所以我们要防止这一现象的出现，能节省我们不少的时间，而防止这个现象的简单命令也很简单。还有就是所有的设备都应配置特权密码，远程密码等来保障公司的内部安全。其次在配置所有的接口的时候都应该加一句命令no shutdown，不管他是不是默认开启着都要配置。还有我们配置设备的时候要配置多个设备，所以还要配置永不登出。最重要一点就是一定要保存，在特权模式下输入wr即可，华为交换机为sava。
命令如下所示

Router>enable
Router#configure terminal
Router(config)#no ip domain-lookup  #关闭域名解析功能各模式的密码配置
R1(config)#line console 0
R1(config-line)#password cisco
R1(config-line)#exit
R1(config)#line vty 0 4
R1(config-line)#password cisco
R1(config-line)#login
R1(config-line)#exit
R1(config)#enable secret cisco

R1(config)#line vty 0 4
R1(config-line)# exec-timeout 0 0   //配置永不登出
R1(config-line)#exit
#其他所有的设备都应配置，这里就不多在一一赘述

设计方案优势

高带宽，高性能

相比于传统组网设计方案，本次的设计方案是基于标准的二、三层以太网交换技术，技术成熟度非常高； 100M 的带宽可充分满足用户高速上网、内容下载及多媒体等多种宽带业务。给用户提供了真正的高带宽网络，对高带宽的业务的扩展提供了强大的支撑能力。

完善的管理机制

该企业各交换机通过内在的多种安全机制可有效防止和控制病毒传播和网络流量攻击，如VLAN、ACL、NAT、MSTP、MAC地址过滤等等，满足企业网络加强对访问者进行控制、限制非授权用户通信的需求；对于企业来说，它的带宽资源都是有限的。由于没有带宽限制和优先级设置，
一些重要用户和重要应用得不到必要的带宽保证而影响了工作。

易于维护

在本次设计方案中采用的Cisco 网络设备都经过独特设计具备防尘、防潮、防静电等多种使用的特点。支持 RS-232 本地管理口及 Telnet 、WEB、SNMP代理，远程监控。

高可靠性

CISCO 网络产品均使用国际上主流的先进ASIC 芯片进行设计，并率先采用 ISO9002 生产标准进行生产，确保了设备的稳定性。

网络测试

到此为止，基本上完成了一个较为完整的企业网的设计。但是还不能确定它是否能够正常运行，所以我们要对其进行测试、调试。
测试结果如下：

1.测试 OSPF
2.测试 DHCP
3.测试 ACL
4.测试 HSRP

5.其他命令

SW1#show spanning-tree    #查看生成树协议
SW1#show ip route         #查看路由转换
SW1#show ip access-lists  #查看访问控制列表
SW1#show standby brief    #查看热备份信息
SW1#show vlan	          #查看vlan信息
SW1#show vtp status       #查看vtp信息
······

总结

在此之前我们所学的都是一些关于网络方面的理论知识，很少用于实践中去，通过这次设计使我明白了自己原来知识还比较欠缺，相关配置仍有小问题。但是自己要学的东西还很多，学习是一个积累的过程，在以后的工作、生活中都应该不断的学习，实践，努力提高自己的专业知识和综合素质。从中我确实也学到了很多知识，更培养了我独立工作与思考的能力。

扩展

华为交换机为systemview，其他命令大体神似，华三就不知道了，锐捷感觉就像是复制思科的…其中华为交换机默认接口类型为Hybrid，而其他交换机的通常默认为Access
Hybrid即可实现Access功能也可以实现Trunk功能，还可以在没有三层网络设备的情况下实现跨vlan通信和访问控制，当然了，也有局限性，就是各个vlan中的IP地址都属于同一网段，否则，仍然需要通过三层网络设备来进行通信。相对于Access接口和Trunk接口具有更高的灵活性与可控性。
思科的话接入层必须是Access，所以不支持二层不同Vlan之间通信，需借助三层，或静态路由