本文最后更新于145 天前,如有错误请发送邮件到2176284372@qq.com
小型企业局域网规划与实现方案
(基于Cisco Packet Tracer仿真)
项目负责人: 贺丞
日期: [2025年12月25日]
目录
- 项目概述
- 1.1 项目背景
- 1.2 设计目标与原则
- 1.3 需求分析
- 网络拓扑详细设计
- 2.1 拓扑结构图及说明
- 2.2 网络分层架构
- 2.3 IP地址与VLAN规划
- 2.4 设备选型与连接说明
- 核心配置与实现
- 3.1 二层交换配置 (VLAN, STP)
- 3.2 三层交换配置 (SVI, 路由协议)
- 3.3 路由器配置 (WAN, NAT, ACL)
- 3.4 DHCP服务配置
- 3.5 无线网络配置
- 3.6 服务器与IoT服务配置
- 安全与优化策略
- 4.1 访问控制策略 (ACL)
- 4.2 网络安全加固
- 4.3 网络性能优化考虑
- 测试方案与结果
- 5.1 连通性测试
- 5.2 服务访问测试
- 5.3 安全策略验证
- 创新与拓展应用
- 6.1 IoT服务集成与创新
- 6.2 安全性增强设计
- 6.3 未来网络扩展考虑
- 项目总结
- 附录
- 附录A:完整设备配置脚本
- 附录B:网络拓扑图文件
- 附录C:测试用例记录表
1. 项目概述
1.1 项目背景
为“铭合硬质合金有限公司”设计的新一代网络。公司设有销售部、研发部、行政部,并拥有自建的Web服务器、文件服务器及正在发展的物联网演示平台。原有网络为扁平化结构,存在广播风暴风险、部门间数据无隔离、无线接入不安全等问题,亟需进行升级改造。
1.2 设计目标与原则
- 设计目标:
- 业务隔离: 划分VLAN,实现部门间逻辑隔离。
- 可控互通: 通过三层路由,在安全策略下允许必要的数据交互。
- 服务可达: 内网用户可稳定访问Web、FTP及IoT监控服务。
- 安全接入: 提供有线和无线安全接入,隔离访客网络。
- 可管理可扩展: 架构清晰,便于管理和未来业务扩展。
- 设计原则: 遵循分层(核心、汇聚、接入)、分区的设计原则,采用标准化协议,确保网络的可靠性、安全性和可扩展性。
1.3 需求分析
- 用户终端: 约80台有线PC(分布于各部门),30台无线终端(员工笔记本、移动设备),10个IoT设备(摄像头、传感器)。
- 服务器: 内部网站服务器(Web),文件共享服务器(FTP),物联网管理平台服务器(IoT Server)。
- 网络服务: 需提供内部DNS、DHCP自动分配IP、互联网访问。
- 安全需求:
- 禁止访客网络访问内部服务器;
- 限制IoT网络仅能与IoT服务器及管理终端通信。
2. 网络拓扑详细设计
2.1 拓扑结构图及说明
拓扑说明:
- 核心层: 核心交换机(Core-SW)与出口路由器(R1)通过千兆链路连接,构成网络骨干。
- 接入层: 六台接入交换机分别连接不同部门的终端和无线AP,并通过千兆光纤上联至核心交换机。
- 服务器区: Web、FTP、IoT服务器直接连接在核心交换机的高性能端口上,处于独立的
Server-VLAN。 - 无线网络: 无线访问点(AP)连接到接入交换机Access端口,广播员工(
Staff-WiFi)和访客(Guest-WiFi)两个SSID。 - 物联网区: IoT设备通过交换机端口划入
IoT-VLAN。 - 互联网: 路由器外联接口模拟互联网,配置公有IP。
2.2 网络分层架构
| 层级 | 设备 | 作用 |
|---|---|---|
| 核心层 | 三层交换机、路由器 | 高速数据交换、路由转发、出口NAT、策略控制 |
| 接入层 | 二层交换机、无线AP | 终端接入、端口安全、VLAN划分、无线覆盖 |
2.3 IP地址与VLAN规划
| VLAN ID | 名称 | 子网网段 | 网关 | 用途 |
|---|---|---|---|---|
| 10 | Management | 192.168.10.0/24 | 192.168.10.1 | 管理VLAN |
| 20 | Sales | 192.168.20.0/24 | 192.168.20.1 | 销售部 |
| 30 | R&D | 192.168.30.0/24 | 192.168.30.1 | 研发部 |
| 40 | Admin | 192.168.40.0/24 | 192.168.40.1 | 行政部 |
| 50 | Server | 192.168.50.0/24 | 192.168.50.1 | 服务器区 |
| 60 | IoT | 192.168.60.0/24 | 192.168.60.1 | 物联网区 |
| 100 | Guest | 192.168.100.0/24 | 192.168.100.1 | 访客无线 |
| – | WAN | 100.100.100.2/30 | – | 互联网连接 |
2.4 设备选型与连接说明
| 设备类型 | 型号 (Packet Tracer) | 数量 | 关键接口与连接 |
|---|---|---|---|
| 路由器 | Cisco 2911 | 2 | G0/0: 连接核心交换机 (192.168.1.1) G0/1: 连接互联网 (202.100.1.2) |
| 三层交换机 | Cisco 3560-24PS | 1 | 与路由器、接入交换机、服务器通过GigabitEthernet连接 |
| 二层交换机 | Cisco 2960-24TT | 6 | F0/1-20: 接入终端 G0/1-2: 上联核心 (Trunk) |
| 无线AP | Cisco-PT | 2 | 连接至接入交换机Access端口,划分至对应VLAN |
| 服务器 | Server-PT | 5 | 连接至核心交换机,静态IP属于VLAN 50 |
| 终端 | PC-PT, Laptop-PT | 若干 | DHCP获取IP |
3. 核心配置与实现
3.1 二层交换配置 (以销售区为例)
! 创建VLAN
vlan 20
name Sales
! 将端口划入VLAN
interface range f0/1-2
switchport mode access
switchport access vlan 20
! 配置上联Trunk端口
interface f0/3
switchport mode trunk3.2 三层交换配置 (Core-SW)
! 创建VLAN及SVI接口作为网关
interface vlan 10
ip address 192.168.10.254 255.255.255.0
ip helper-address 192.168.50.3 ! 指向DHCP服务器
!
interface vlan 20
ip address 192.168.20.254 255.255.255.0
ip helper-address 192.168.50.3
! ... 为其他VLAN(30,40,50,60,100)配置类似SVI接口
!
! 启用IP路由
ip routing
! 配置默认路由指向路由器
ip route 0.0.0.0 0.0.0.0 10.10.10.2
! 配置与路由器互联的接口
interface f0/7
no switchport ! 转换为路由端口
ip address 10.10.10.1 255.255.255.252
! 配置管理访问
line vty 0 4
password 123
login
! 设置管理员密码
enable password 1233.3 路由器配置 (R1)
! 配置内网及外网接口
interface GigabitEthernet0/0
ip address 10.10.10.2 255.255.255.252
no shutdown
!
interface GigabitEthernet0/1
ip address 100.100.100.1 255.255.255.252
no shutdown
!
! 配置静态路由
ip route 192.168.0.0 255.255.0.0 10.10.10.1 ! 指向内网
ip route 0.0.0.0 0.0.0.0 100.100.100.2 ! 默认路由指向ISP
!
! 配置NAT
access-list 10 permit 192.168.0.0 0.0.255.255 ! 定义内网地址池
ip nat inside source list 10 interface GigabitEthernet0/1 overload
!
interface GigabitEthernet0/0
ip nat inside
!
interface GigabitEthernet0/1
ip nat outsideR2配置 (模拟互联网):
interface GigabitEthernet0/0
ip address 100.100.100.2 255.255.255.252
no shutdown
!
ip route 192.168.0.0 255.255.0.0 100.100.100.1 ! 回指路由
interface loopback 0
ip address 50.50.50.1 255.255.255.255 ! 模拟公网服务器3.4 DHCP服务配置
在IP为192.168.50.3的DHCP服务器上配置作用域:
| 作用域名称 | 对应VLAN | IP地址池 | 默认网关 | DNS服务器 |
|---|---|---|---|---|
| Pool_10 | Management | 192.168.10.10 – 192.168.10.200 | 192.168.10.254 | 192.168.50.1 |
| Pool_20 | Sales | 192.168.20.10 – 192.168.20.200 | 192.168.20.254 | 192.168.50.1 |
| Pool_30 | R&D | 192.168.30.10 – 192.168.30.200 | 192.168.30.254 | 192.168.50.1 |
| Pool_40 | Admin | 192.168.40.10 – 192.168.40.200 | 192.168.40.254 | 192.168.50.1 |
| Pool_60 | IoT | 192.168.60.10 – 192.168.60.200 | 192.168.60.254 | 192.168.50.1 |
| Pool_100 | Guest | 192.168.100.10 – 192.168.100.200 | 192.168.100.254 | 192.168.50.1 |
3.5 无线网络配置
- 员工SSID (
Staff-WiFi): 绑定至VLAN 20/30/40(通过不同AP或SSID到VLAN映射),采用WPA2-PSK加密。 - 访客SSID (
Guest-WiFi): 绑定至VLAN 100,开放或简单密码,启用客户端隔离功能。
(在Packet Tracer的AP图形界面或CLI中配置)
3.6 服务器配置
- DNS服务器 (IP: 192.168.50.1):
a.com->192.168.50.2ftp.a.com->192.168.50.4iot.a.com->192.168.50.5
- Web服务器 (IP: 192.168.50.2): 开启HTTP服务。
- FTP服务器 (IP: 192.168.50.4): 开启FTP服务,设置用户权限。
- IoT服务器 (IP: 192.168.50.5): 运行模拟监控服务,监听特定端口。
4. 安全与优化策略
4.1 访问控制策略 (ACL)
在三层交换机上应用ACL,例如,在VLAN 100的SVI接口出方向限制访客访问。
! 定义ACL,禁止访客访问内部特定网段,但允许访问互联网和DNS
ip access-list extended GUEST_FILTER
deny ip 192.168.10.0 0.0.0.255 any
deny ip 192.168.20.0 0.0.0.255 any
deny ip 192.168.30.0 0.0.0.255 any
deny ip 192.168.40.0 0.0.0.255 any
deny ip 192.168.50.0 0.0.0.255 any
deny ip 192.168.60.0 0.0.0.255 any
permit ip any any ! 允许访问互联网等其他流量
!
interface vlan 100
ip access-group GUEST_FILTER out4.2 网络安全加固
- 在所有交换机上启用SSH替代Telnet。
- 配置端口安全(Port-Security)限制接入MAC地址数量。
- 关闭未使用的交换机端口。
4.3 网络性能优化考虑
- 在核心与汇聚交换机间部署链路聚合(EtherChannel)增加带宽与可靠性。
- 调整生成树协议(STP)优先级,确保核心交换机为根桥。
5. 测试方案与结果
5.1 连通性测试
| 测试项 | 源设备 (IP) | 目标设备 (IP) | 预期结果 | 实测结果 |
|---|---|---|---|---|
| 同VLAN内通信 | Sales-PC1 (20.10) | Sales-PC2 (20.11) | 通 | ✅ |
| 跨VLAN路由 | Sales-PC1 (20.10) | R&D-PC1 (30.10) | 通 | ✅ |
| 访问内部服务器 | Admin-PC1 (40.10) | Web服务器 (50.2) | 通 | ✅ |
| 访客访问互联网 | Guest-Laptop (100.10) | 50.50.50.1 (公网) | 通 | ✅ |
| 访客访问销售部 | Guest-Laptop (100.10) | Sales-PC1 (20.10) | 不通 | ✅ (被ACL拒绝) |
| IoT设备通信 | IoT-Sensor (60.10) | IoT服务器 (50.5) | 通 | ✅ |
5.2 服务访问测试
- Web服务: 在任意部门PC浏览器输入
http://a.com,成功显示网页。 - FTP服务: 使用FTP客户端登录
ftp.a.com,可成功上传/下载文件(有权限用户)。 - DHCP服务: 各VLAN内终端均能自动获取到正确网段的IP地址。
- IoT监控: 在管理PC或IoT服务器上,能接收到来自IoT设备的数据流。
5.3 安全策略验证
- 访客隔离: 确认访客网络设备无法Ping通内部部门及服务器IP(ACL生效)。
- 无线安全: 测试无法使用错误密码连接
Staff-WiFi。
6. 创新与拓展应用
6.1 IoT服务集成与创新
- 场景化联动: 在IoT服务器上编写简单逻辑,当传感器(如烟雾传感器)数据异常时,自动通过日志告警,并可联动网络摄像机抓拍现场。
- 网络策略随行: 设想未来结合802.1X身份认证,员工无论通过有线(不同工位)或无线接入,其终端都能被动态划分到正确的部门VLAN。
6.2 安全性增强设计
- 基于时间的ACL: 为访客网络设置访问时间限制(如仅工作日8:00-18:00允许上网)。
- 服务器区深度防护: 在服务器区前端可部署下一代防火墙(在高级仿真中模拟),进行入侵检测和更精细的应用层控制。
6.3 未来网络扩展考虑
- 无线控制器: 当AP数量增多时,可引入无线局域网控制器(WLC)实现AC+AP的集中管理。
- IPv6就绪: 当前IP规划已考虑预留,设备支持双栈,未来可平滑引入IPv6。
- 云计算连接: 在路由器上配置IPSec VPN或专线,实现与公有云VPC的安全互联。
7. 项目总结
本项目成功设计并仿真实现了一个符合中小企业需求的分层、安全、高效的局域网。通过VLAN技术实现了逻辑隔离,利用三层交换和静态路由实现了可控互通,借助ACL策略加强了网络安全,并集成了基本的Web、FTP、DHCP、DNS及创新的IoT监控服务。整个方案拓扑清晰、配置规范,充分考虑了可管理性和未来扩展性,达到了既定设计目标,为企业数字化转型提供了坚实的网络基础。