中小企业组网实例 案例描述 典型中小企业组网实例，申请一个公网IP和10M 带宽，一台CISCO 路由器，WEB 服务器，文件服务器，FTP 服务器等，客户端办公电脑，300台左右，多部门划分VLAN，用 ACL 控制各部门访问权限，配置网络打 印机。 解决方案 1, 配置 Router a). 配置接口 Interface fastethernet0/1 Ip address 172.27.0.1 255.255.255.252 Duplex auto Speed auto Ip nat inside No shutdown Interface fastethernet0/2 Ip address 202.103.0.117 255.255.255.248 Duplex auto Speed auto Ip nat outside No shutdown b)配置路由 ip route 0.0.0.0 0.0.0.0 202.103.0.117 c).配置过载 ip nat inside source list 110 interface FastEthernet0/2 overload access-list 110 permit ip 172.27.0.0 0.0.255.255 any d).配置端口映射 Ip nat inside source static tcp 172.27.2.1 80 202.103.0.117 80 映射WEB 服务器 Ip nat inside source static tcp 172.27.2.2 21 202.102.0.117 21 映射 FTP 服务器 文件服务器172.27.2.3 只提供企业内网使用，不配置端口映射 

: 2 : 7 : 9 : Server : OA : Disabled : Enabled : Enabled 2，配置 Core switch CISCO 4503 a)配置VTP VTP Version Configuration Revision Maximum VLANs supported locally : 1005 Number of existing VLANs VTP Operating Mode VTP Domain Name VTP Pruning Mode VTP V2 Mode VTP Traps Generation b) 配置VLAN core-sw#vlan database 进入vlan 配置模式 core-sw (vlan)#vtp domain OA 设置vtp 管理域名称OA core-sw (vlan)#vtp server 设置交换机为服务器模式 core-sw (vlan)#vlan 2 name guanli 创建VLAN2,命名为管理 core-sw (vlan)#vlan 10 name shichang 创建VLAN 10，命名为市场 core-sw (vlan)#vlan 11 name caiwu core-sw (vlan)#vlan 12 name sheji core-sw (vlan)#vlan 13 name netprinter core-sw (vlan)#vlan 20 name server 配置 CORE-SW 管理IP core-sw(config)#interface vlan 2 core-sw(config-if)#ip address 172.27.254.254 255.255.255.0 配置各个 VLAN 网关 IP core-sw(config)#interface vlan 10 core-sw(config-if)#ip address 172.27.47.254 255.255.255.0 core-sw(config)#interface vlan 11 core-sw(config-if)#ip address 172.27.45.254 255.255.255.0 core-sw(config)#interface vlan 12 core-sw(config-if)#ip address 172.27.46.254 255.255.255.0 core-sw(config)#interface vlan 13 core-sw(config-if)#ip address 172.27.31.254 255.255.255.0 core-sw(config)#interface vlan 13 core-sw(config-if)#ip address 172.27.31.254 255.255.255.0 .将 CORE-SW 上的端口根据需要划分至各个 VLAN c) 配置 ACL 应用在各个部门 VLAN 接口上，控制各部门互访 access-list 10 permit 172.27.2.0 0.0.0.255 access-list 10 permit 172.27.31.0 0.0.0.255 access-list 10 deny 172.27.0.0 0.0.255.255 access-list 10 permit any access-list 10 应用于 VLAN 10 OUT 方向上，市场部内部可以互访，可以访问服务器网段和网络打印机网段， 但不能访问财务部和设计部所在网段 

access-list 11 permit 172.27.2.0 0.0.0.255 access-list 11 permit 172.27.31.0 0.0.0.255 access-list 11 permit 172.27.47.0 0.0.0.255 access-list 11 deny 172.27.0.0 0.0.255.255 access-list 11 permit any access-list 11 应用在 VLAN 11 OUT 方向上，财务部内部可以互访问，可以访问 服务器网段和网络打印机网络，可以访问市场部网段，但不能访问设计部网段 设计部 VLAN 12 ，网络打印机 VLAN 13，服务器 VLAN 20 可以访问任意网段，应用访问列 表 access-list 101 在 in 的方向上，封掉常见病毒端口，（可以根据实际需要将此 ACL 应 用于任一接口） access-list 101 deny access-list 101 deny access-list 101 deny access-list 101 deny access-list 101 deny access-list 101 deny access-list 101 deny access-list 101 deny access-list 101 deny access-list 101 deny access-list 101 deny access-list 101 deny access-list 101 deny access-list 101 deny access-list 101 deny access-list 101 deny access-list 101 deny access-list 101 permit ip any any tcp any any eq 1068 tcp any any eq 2046 udp any any eq 2046 tcp any any eq 4444 udp any any eq 4444 tcp any any eq 1434 udp any any eq 1434 tcp any any eq 5554 tcp any any eq 9996 tcp any any eq 6881 tcp any any eq 6882 tcp any any eq 16881 udp any any eq 5554 udp any any eq 9996 udp any any eq 6881 udp any any eq 6882 udp any any eq 16881 d).配置 OSPF ! router ospf 100 log-adjacency-changes network 172.27.0.0 0.0.255.255 area 0 default-information originate ! 配置接入层交换机 CISCO 2950 a)配置 VTP 

: 2 : 7 VTP Version Configuration Revision Maximum VLANs supported locally : 1005 Number of existing VLANs VTP Operating Mode VTP Domain Name VTP Pruning Mode 打开 VTP 修剪 VTP V2 Mode VTP Traps Generation b) 配置 VLAN : 9 : Client : OA : Enabled : Enabled : Enabled sw1#vlan database 进入 vlan 配置模式 sw1 (vlan)#vtp domain OA 设置 vtp 管理域名称 OA sw1 (vlan)#vtp server 设置交换机为服务器模式 配置接入层交换机管理 IP Sw1(config)#interface vlan 2 Sw1(config-if)#ip address 172.27.254.1 255.255.255.0 Sw2(config)#interface vlan 2 Sw2(config-if)#ip address 172.27.254.2 255.255.255.0 将接入层交换机各端口根据需要，划入各 VLAN 例： Sw1(config)#interface fa0/1 Sw1(config-if)#swi access vlan 12 Sw2(config)#interface range fa0/1 - 10 Sw2(config-if)# swi access vlan 13 4.配置办公电脑 市场部办公电脑 IP：172.27.47.1 子网：255.255.255.0 网关：172.27.47.254 DNS：202.10.20.30 注：配置所有地区的电信 DNS 服务器即可 202.10.22.33 为了加强对办公电脑的管理，采用固定 IP 地址的方法，对人员，电脑，IP， MAC 地址进行登记，可以安装一台监控 PC，使用 SNIFFER 软件比外网出口进行监控，发现 IP 异常，就可以找到使用人。SNIFFER 监控，CISCO4500 系列交换机的端口镜像，这里是顺 便提一下，如果大家有兴趣，我会在以后的实例中再详细说明。 总结： 这个案例是比较典型的企业组网方案，骨架已经出来了，还可以加些血肉再丰富一下，将会 更好。实施过程中还有很多地方可以完善和创新，例如：加一台核心交换机，就可以使用双 机热备方案，启用思科 HRSP 协议，实现双机热备，如果企业园区较大，可以组建主干光纤 网，添加汇聚层交换机，体现网络的延展性，实现网络 

扩容；根据端口映射的配置，可以添加邮件服务品，VPN 服务器，等等。 小弟在这里写的实例，贴在 51CTO 实在是班门弄斧，重在参与，还请大家不要见 笑，鉴于本人水平有限，里面的错误在所难免，希望大家多多指证，交流技术。最后 感谢 51cto 给大家这样的一交流的平台