一、实验目的

通过实验项目，了解如何对中小企业建设网络的需求分析，给出解决方案，并进行实施

二、背景描述

某企业计划建设自己的企业园区网络，希望通过这个新建的网络，提供一个安全、可靠、可扩展、高效的网络环境，使企业内能够方便快捷的实现网络资源共享、全网接入Internet等目标，同时实现公司内部的信息保密隔离，以及对于公网的安全访问。
新建成的企业网将是一个以办公自动化、电子商务、业务综合管理、多媒体视频会议、远程通讯、信息发布及查询为核心，实现内、外沟通的现代化计算机网络系统。该网络系统是日后支持办公自动化、供应链管理以及各应用系统运行的基础设施。

三、项目内容

1、网络规划设计图
网络规划设计如图1所示。

图1 网络规划设计

2、企业网络拓扑图
企业网络拓扑图如图2所示。

图2 网络拓扑图

3、项目需求
① 采用先进的网络通信技术完成企业网的建设，实现各分公司的信息化；
分析：利用主流网络设备和网络技术构建企业网。
② 在整个企业内实现所有部门的办公自动化，提高工作效率和管理服务水平；
分析：既要实现部门内部的办公自动化，又要提高工作效率，网络规划设计合理、建议采用二层结构，建议整个网络根据部门划分并用VLAN隔离。
③ 在整个企业内实现资源共享、产品信息共享、实时新闻发布；
分析：由于要实现内部资源共享，需要各个部门通信可以使用VLAN间路由解决。
④ 在关键区域出现网络链路故障时不影响整个网络的使用。
分析：用冗余链路技术保证网络稳定

四、需求分析

根据企业网的需求分析和图2结合起来分析，该企业的网络建设项目需求应是：
【需求一】
在接入层使用二层交换机，并采用一定的方法来隔离广播域。
分析：给每个部门分配一个二层交换机，并给不同的交换机划分到不同的vlan下（业务部VLAN10、财务部VLAN20、综合部VLAN30），并分配接口。

【需求二】
核心交换机采用高性能的三层交换机，且采用双核心相互备份的形式。接入层的交换机通过两条线路分别连接到两条不同的核心交换机上，由三层交换机实现vlan间的路由。
分析：交换机间的链路配置为trunk链路。三层交换机采用svi（虚接口）实现vlan间的路由。

【需求三】
接入交换机的ACCESS端口上实现对允许连接数量的控制，以提高网络的安全性。
分析：采用端口安全的方式实现。
【需求四】
为了提高网络的可靠性，整个网络存在大量环路，要避免因环路存在而引起的广播风暴。
分析：整个交换网络内实现RSTP，以避免环路带来的影响。

【需求五】
在三层网络设备上加载路由协议（静态或动态）实现全网互通。
分析：两台三层交换机配置路由接口，与RA路由相连。
RA、RB分别配置接口ip地址。
在三层交换机的路由接口和RA，以及RB的内网接口上启用OSPF协议来实现全网联通。

【需求六】
路由器Rj和路由器ISP之间通过广域网链路连接，并提供一定的安全性。
分析：Rj和ISP的广域网接口上配置ppp协议，并用pap验证提高安全性。

【需求七】
路由器连外网配置缺省路由。
分析：RB配置静态路由链接公网Internet，在三层交换机上配置缺省路由链接到RA，RA再配置缺省路由指向RB路由器。

【需求八】
在路由器Rj上运用NAT技术，使得内网（地址使用私有地址）可以访问外网。
分析：用 PAT（网络地址转换）方式，实现企业内网仅用一个公网 IP 地址到互联网访问

【需求九】
要求不允许财务部（设为VLAN20）访问外网。
分析：通过ACL（访问控制列表）实现。

五、基本原理

在本项目中，采用VLAN来隔离广播域，vlan是一种用了隔离广播域的技术配置了vlan的交换机内，先通vlan内主机之间可以直接访问，同时对于不同vlan的主机进行隔离，通过在三层交换机上为各vlan配置svi接口，利用三层交换机的路由功能可以实现vlan间的路由。
Stp技术在采用生成树算法的前提下，在网络中通过交换机优先级等信息选出一台报文交换机，再以根交换机为根节点在网络中形成一颗没有环路的树，从而解决链路环路引发的问题。、
内部到达互联网的路由通过静态路由实现，而企业内部网络中则是通过动态路由实现，采用的是rip协议。
静态路由：在拓扑结构简单的网络中，网络管理员通过手工的方式配置本路由未知网络段的路由信息，从而实现不同网段之间的通信。
动态路由协议学习产生的路由，在大规模的网络中，或网络拓扑相对复杂的情况下，通过在路由上运行动态路由协议，路又之间通过互相学习来产生路由信息。
Rip是应用较早，使用比较普遍的igp协议，使用与小型同类网络，使典型的距离矢量协议，rip协议跳数作为衡量路径开销的，日批、协议里规定最大跳数为15。
Ppp协议位于osi七层模型的数据链路层，是使用非常普通的广域网数据链路层协议，ppp的认证功能是指在建立ppp链路的过程中进行密码验证，验证通过建立连接，验证不通过拆除链路。
Nat是指将网络地址从一个地址空间转换为另一个地址空间的行为。
Nat将网络划分为内部网络和外部网络两部分。局域网主机利用nat访问网络是，是将局域网内部的本地地址转换为了全局地址后转发数据包。
Acl可以对数据的原ip地址可，目的ip地址，源端口，目的端口等进行检查，并确定一系列的转发规则。当应用了acl的接口接收或发送数据包时，将根据接口配置的acl规则对数据进行检查，并采用相应的措施，允许通过或拒绝通过，从而达到访问控制的目的，提高网络安全性。

六、实验步骤

1、根据拓扑图与需求进行连接

2、配置指令
【SWITCH-1】
建立vlan10,vlan20,vlan30,分别对应业务部，财务部，综合部:
Switch(config)#vlan 10
Switch(config-vlan)#name yewu
同理配置vlan20,vlan30
把vlan绑定到端口：
Switch(config)#interface range f0/3-9
Switch(config-if-range)#switchport access vlan 10
同理把另外两个vlan绑定到端口
为SW-1配Trunk:
Switch(config)#interface range f0/1-2
Switch(config-if-range)#switchport mode trunk
【SWITCH-2】
配置跟SW-1同理

【三层交换机Switch A】
配置Switch A与SW-1之间的Trunk：
Switch(config)#interface range f0/3-4
Switch(config-if-range)#switchport trunk encapsulation dot1q
Switch(config-if-range)#switchport mode trunk
配置vlan10,vlan20和vlan30的ip地址：
Switch(config)#ip routing
Switch(config)#interface vlan 10
Switch(config-if)#no shut
Switch(config-if)#ip add 192.168.10.254 255.255.255.0
Switch(config-if)#interface vlan 20
Switch(config-if)#no shut
Switch(config-if)#ip add 192.168.20.254 255.255.255.0
Switch(config-if)#interface vlan 30
Switch(config-if)#no shut
Switch(config-if)#ip add 192.168.30.254 255.255.255.0
配置Switch A与Switch B之间的Trunk：
Switch(config)#interface range f0/1-2
Switch(config-if-range)#switchport trunk encapsulation dot1q
Switch(config-if-range)#switchport mode trunk
配置VTP：
Switch(config)#vtp mode server
Switch(config)#vtp domain chenfeibiao
Switch(config)#vtp password star
设置Switch A的f0/24端口的ip：
Switch(config)#interface f0/24
Switch(config-if)#no switchport
Switch(config-if)#ip address 10.1.1.2 255.255.0.0
设置Switch A的默认路由：
Switch(config)#ip route 0.0.0.0 0.0.0.0 10.1.1.1

【三层交换机Switch B】
配置跟Switch A同理

【Router A】
Router A的各个端口ip设置：
Router(config)#interface f0/0
Router(config-if)#ip address 10.1.1.1 255.255.255.0
Router(config-if)#interface f1/0
Router(config-if)#ip address 10.2.2.1 255.255.255.0
Router(config-if)#interface Serial2/0
Router(config-if)#clock rate 64000
Router(config-if)#ip address 192.168.1.1 255.255.255.0
设置Router A的静态路由，目的网络是3个vlan所在的网段：
Router(config)#ip route 192.168.10.0 255.255.255.0 10.1.1.2
Router(config)#ip route 192.168.20.0 255.255.255.0 10.1.1.2
Router(config)#ip route 192.168.30.0 255.255.255.0 10.1.1.2
设置Router A的默认路由：
Router(config)#ip route 0.0.0.0 0.0.0.0 192.168.1.2

【Router B】
Router B的端口ip设置：
S2/0:192.168.1.2/24
Router(config)#interface f0/0
Router(config)#ip address 2.2.2.2 255.0.0.0
命令与Router A类似
设置Router B的静态路由，目的网络是3个vlan所在的网段：
Router(config)#ip route 192.168.10.0 255.255.255.0 192.168.1.1
Router(config)#ip route 192.168.20.0 255.255.255.0 192.168.1.1
Router(config)#ip route 192.168.30.0 255.255.255.0 192.168.1.1
在Router B配置动态NAT：
Router(config)#ip nat pool yewu 201.10.8.2 201.10.8.3 netmask 255.255.255.0
Router(config)#ip nat inside source list 1 pool yewu
Router(config)#access-list 1 permit 192.168.10.0 0.0.0.255
Router(config)#ip nat pool zonghe 201.10.8.4 201.10.8.6 netmask 255.255.255.0
Router(config)#ip nat inside soure list 2 pool zonghe
Router(config)#access-list 2 permit 192.168.30.0 0.0.0.255
Router(config)#interface s2/0
Router(config-if)#ip nat inside
Router(config-if)#interface f0/0
Router(config-if)#ip nat outside

【配置PAP认证】
改变Router串行口的封装为PPP 封装
Router(config)#interface s2/0
Router(config-if)#encapsulation ppp
Router B的串行口的封装也改为PPP 封装，同理。
在路由器Router A上，配置在路由器Router B上登录的用户名和密码
Router(config)#interface s2/0
Router(config-if)#ppp pap sent-username CFB password 123
在路由器Router B上为路由器Router A设置用户名和密码
Router(config)#username CFB password 123
在路由器Router B上，配置PAP 验证
Router(config)#interface s2/0
Router(config-if)#ppp authentication pap
在路由器Router B上，配置在路由器Router A上登录的用户名和密码
Router(config)#interface s2/0
Router(config-if)#ppp pap sent-username cisco password 456
在路由器Router A上为路由器Router B设置用户名和密码
Router(config)#username cisco password 456
在路由器Router A上，配置PAP 验证
Router(config)#interface s2/0
Router(config-if)#ppp authentication pap

【Server 0】
ip:2.2.2.1/8
网关：2.2.2.2启动HTTP服务

3、路由器配置表

4、 VLAN配置表

VLAN10、20、30分别表示业务部、财务部、综合部。

5、网络设备地址

七、实验结果

1、业务部、综合部可以访问www服务（主要是2.2.2.1）

2、财务部无法访问www服务

3、部门之间可以相互ping通

八、实验总结

这次的期末大设计其实如果认真的学习了一个学期的路由课的话还是挺好做的，但是遗憾的是对我来说就很吃力了，我参考了网上的很多园区构建的博客才勉勉强强把拓扑图构建出来。
我觉得设计最难的部分就是接入层交换机和核心层交换机的理解与构建以及RSTP的实现部分，到现在我的拓扑图依然存在一个问题就是我的SW1的业务部无法访问2.2.2.1，查了半天错依然无法理解，还是学的太少，很多需求也没有很好的实现。复习周时间紧迫我就不再花费大量时间在找bug和优化里面了。
总的来说这次设计算是加深了我对网络的兴趣，也为下学期的计算机网络课程打下了一点基础。

九、参考资料

https://blog.csdn.net/cfeibiao/article/details/7073924
锐捷网络——构建中小企业园区网项目
南京工程大学2011年路由与设计课程设计

参考拓扑图：pan.baidu.com/s/1sYJeD3_yrlRpEdX0sWkKDg
提取码：3umv

路由与交换技术综合设计——企业园区网一、实验目的二、背景描述三、项目内容四、需求分析五、基本原理六、实验步骤七、实验结果八、实验总结九、参考资料一、实验目的通过实验项目，了解如何对中小企业建设网络的需求分析，给出解决方案，并进行实施二、背景描述某企业计划建设自己的企业园区网络，希望通过这个新建的网络，提供一个安全、可靠、可扩展、高效的网络环境，使企业内能够方便快捷的实现网络资源共享、全网接入Internet等目标，同时实现公司内部的信息保密隔离，以及对于公网的安全访问。新建成

组建某网络，公司有三层楼，每层都有不同的部门，完成以下网络需求：　　1）搭建公司私有局域网络环境，利用P AT技术，使用路由设备（路由器、防火器等）完成由局域网到互联网的接入。　　2）在局域网中公司各部门间要使用vlan技术实现相互的隔离。　　3）在广域网链路数据封装技术这方面，采取PPP或帧中继技术完成认证和封装。　　4）在路由技术方面采取RIPV 2或OSPF动态路由技术。　　5）模拟企业VPN网络的搭建工作，并实现两个公司通过互联网来实现通信，两个公司间的广域网链路采用VPN（IPsec）实现安全通信。　　6）网络采用双核心结构，将三层交换技术和VTP、STP、以太网通道综合一起，实现网络的高速、高性能、高可靠性，还有冗余备份功能。 ———————————————— 版权声明：本文为CSDN博主「Program the ape」的原创文章，遵循 CC 4.0 BY-SA 版权协议，转载请附上原文出处链接及本声明。原文链接：https://blog.csdn.net/qq_37992321/article/details/86112149

1、项目背景 XX公司总部位于北京，在上海和深圳分别设有研究所与办事处，通过组建网络将三地连接起来：北京总部有员工100人，一级部门四个（划分Vlan，IP地址规划），服务器2台，服务器与交换机做链路聚合,总部路由协议使用ospf；深圳办事处有员工30人，上海研究所有员工40人，办事处与研究所不分部门,采用DHCP分配IP地址；总部与分支机构之间使用SDH线路连接，其中总部与深圳之间使用2M线路（ppp+chap），总部与上海之间使用2条2M线路（帧中继+ 路由备份）。 2、网络建设目标