1.項目背景：

這個企業(yè)需要新建網(wǎng)絡(luò)，企業(yè)總部有員工400人，其中包括4個部門，分別為人事部、開發(fā)部、財務(wù)部和管理部。

企業(yè)分部有150人，包括人事部和開發(fā)部。

企業(yè)總部有一臺Web服務(wù)器和FTP服務(wù)器，Web服務(wù)器主要用于發(fā)布公司的門戶網(wǎng)站到互聯(lián)網(wǎng)上，公司申請的域名為www.ccieluo.com，需要互聯(lián)網(wǎng)中所有的人都能夠訪問。FTP服務(wù)器主要用于存儲公司的數(shù)據(jù)，用于內(nèi)部共享等等。公司需要有無線網(wǎng)絡(luò)，需要實現(xiàn)最大程度的覆蓋，需要有備份設(shè)備，保證無線網(wǎng)絡(luò)的可靠性。

企業(yè)各個部門的網(wǎng)絡(luò)，需要實現(xiàn)高可靠和高性能。公司出口連接到聯(lián)通運營商上。

每個部門的主機(jī)都可以自動獲取IP地址，不允許其他部門訪問財務(wù)部，

同時需要配置一定的安全策略保護(hù)公司內(nèi)網(wǎng)。

2.主要技術(shù)說明：

（1）每個部門劃分一個VLAN，總部為VLAN 10 20 30 40，分部為VLAN 10 20

（2）在接入層上配置BPDU保護(hù)與邊緣端口，配置ACL，禁止其它部門訪問財務(wù)部

（3）每個部門都配置了DHCP。所以內(nèi)網(wǎng)的主機(jī)都可以自動獲取IP地址

（4）核心交換機(jī)上使用MSTP+VRRP+LACP鏈路聚合+BFD關(guān)聯(lián)，實現(xiàn)內(nèi)網(wǎng)的高可靠和高性能，vlan 10 20的主機(jī)在訪問互聯(lián)網(wǎng)的時候，從核心交換機(jī)1轉(zhuǎn)發(fā)，vlan 30 40的主機(jī)在訪問互聯(lián)網(wǎng)的時候，從核心交換機(jī)2轉(zhuǎn)發(fā)，并且數(shù)據(jù)回流時，也遵從這一路徑

企業(yè)分部的策略類似。

（5）內(nèi)網(wǎng)的路由協(xié)議使用的是OSPF動態(tài)路由

0

（6）無線方面使用AC+AP組網(wǎng)方式，設(shè)置無線網(wǎng)絡(luò)名稱為ccieluo，密碼為www.baidu.com，兩臺AC做負(fù)載分擔(dān)，AC1主要負(fù)載AP1與AP2，并作為AP3與AP4的備份控制器，AC2主要負(fù)載AP3與AP4，并作為AP1與AP2的備份控制器。再配置無線漫游技術(shù)，實現(xiàn)無線網(wǎng)絡(luò)的全覆蓋。

（7）出口上使用兩臺防火墻做NAT網(wǎng)關(guān)，內(nèi)網(wǎng)主機(jī)通過Easy-IP技術(shù)實現(xiàn)訪問互聯(lián)網(wǎng)需求，兩臺防火墻配置雙機(jī)熱備，防火墻FW1作為主設(shè)備，F(xiàn)W2作為備份設(shè)備，當(dāng)FW1出現(xiàn)故障時，主設(shè)備自動成為FW2

（8）還配置了服務(wù)器映射，內(nèi)網(wǎng)的WEB服務(wù)器的www服務(wù)映射到公網(wǎng)上面，映射后的公網(wǎng)IP為133.100.100.100，禁止公網(wǎng)用戶ping這臺服務(wù)器。

（9）企業(yè)總部與企業(yè)分部之間配置IPSec VPN，實現(xiàn)內(nèi)網(wǎng)的加密互訪，VPN隧道與雙機(jī)熱備關(guān)聯(lián)。

（10）在防火墻上配置攻擊防范，其中包括端口掃描防范、teardrop畸形報文攻擊防范、fraggle攻擊防范、ping-of-death攻擊防范、smurf攻擊防范、Land攻擊防范和IP欺騙攻擊防范等等