设计一个网络

已知某公司有财务、设计、销售、行政四个部门，公司网络中有电脑300台。其基本要求如下：
1) 财务部及设计部的服务器只允许本部门用户访问，需与其它部门的用户隔离但可上因特网。其它用户(包括财务部及设计部的用户)均可在内网中其它位置互相访问。
2) 内网中至少需2个公用文件夹存放公司的公开信息资料，每个部门均有1个文件夹存放各自的资料。
3) 允许用户在自己的机器上建立可共享的文件及文件夹，存放个人资料，但不能在其他用户的共享文件夹下建立或修改。
4) 系统所属文件夹不论是在本地还是在网络上，普通用户均只可浏览目录，但
不能读写。网管具有所有权限，数据库管理员具有读取及运行权，web服务
器管理员有修改权，但无删除权。
5）网管需控制内网用户的上网时间，在工作时间内只允许收发邮件，不能上网做其它事情。

请按以上要求规划该公司的网络拓扑结构及用户权限等，进行相关安全管理
设计，并写出设计报告
这个是我的网络安全技术的一个课题，请各位大大帮忙啊

一、总框架：
1、接入层：这一层连接300个用户PC。用2950交换机。公司有四个部门，所以至少需要创建四个vlan。假设财务部属于vlan10，设计部属于vlan20，销售部属于vlan30，行政部属于vlan40。各个vlan属于不同的子网。假设，vlan10的网段是192.168.10.0/24；vlan20的是192.168.20.0/24；vlan30的是192.168.30.0/24；vlan40的是192.168.40.0/24。因为需要配置的交换机很多，所以要用到vtp。让接入层的交换机为client。这一层的交换机不需要创建vlan数据库，因为会从server那里学习到，只需要为每个vlan分配端口即可。财务部和设计部的服务器需要连入这一层，并且接入各自部门的vlan里。连pc和服务器的接口封装模式为access，并启portfast。交换机之间集联口封装模式是trunk。

2、汇聚层：这一层主要完成vlan间路由和过滤，需要三层交换机，用3550交换机即可，启ip routing。需要创建vlan数据库，给每个vlan设置ip作为pc机的网关，但不需要给Vlan分配端口。这一层的交换机为server。服务器如dc、dhcp、dns等等需要接入这一层。3550上启路由协议（网络并不复杂，可以配置静态路由）。交换机之间集联口封装模式是trunk。

3、核心层：这一层起快速转发作用，要求有快速的交换引擎。用4500系列交换机。连路由器。路由器上配置默认路由，Ip route 0.0.0.0 0.0.0.0 s0。启路由协议（网络并不复杂，可以配置静态路由）。

二、根据题目中的要求可能用到的技术等
1、DC
300台电脑，规模不算小。手动逐一配置ip和权限不现实。所以需要用到DC、DHCP和DNS。安装AD组件的pc就可以成为DC。但需要满足以下条件：服务器版本os；至少250内存；ntfs文件系统；有静态IP；DNS支持。DHCP、DNS也需要配置静态IP。
2、vtp
共享vlan信息，方便管理vlan。
3、访问控制列表：
配置在三层交换机上的ACL：阻止来自外网对192.168.10.0/24网段的所有访问流量。阻止来自外网对192.168.20.0/24网段的所有访问流量。
配置在路由器上的ACL：基于时间的扩展访问控制列表，只允许协议tcp端口为110（pop3）和25(smtp)的访问流量，并把acl应用在内接口的in方向。
4、nat(overloading)
假设申请到一个公网ip。需要在路由器上配置ip nat inside 和ip nat outside。内接口为inside,外接口为outside。定义一个标准ACL，来限制那些用户可以上到外网：access-list 1 permit any，因为题目里要求用户都可以上网，所以源ip可以为any，list 1不需要应用于任何接口上。再配置overloading，ip nat inside source list 1 s0 overload。因为只有一个外网ip,所以so口的ip 就是这个外网ip，只要把内网ip映射到so地址的不同端口上就可以上网了。

三、一些配置命令
1、封装
2950(config-if)#switchport mode access----------接pc和服务器的口。
2950(config-if)#switchport mode trunk-----------交换机集联口。
3550(config-if)#switchport mode trunk-----------交换机集联口。

2、vtp
2950(config)#vtp domain vtp01
2950(config)#vtp mode client ----------------------域名必须一样，接入层为client。
3550(config)#vtp domain vtp01
3550(config)#vtp mode server-----------------------域名必须一样，汇聚层为server。

3、三层交换
3550(config)#int vlan10
3550(config-if)#ip add 192.168.10.1 255.255.255.0
3550(config-if)#no shut -----------------------------给vlan10 设置ip。属vlan10的pc机的网关都是192.168.10.1。
以此类推vlan 20、30、40
4、ACL
交换机：
Access-list 101 deny ip 192.168.30.0 0.0.0.255 192.168.10.0 any-------阻止vlan30对vlan10的所有访问流量。
以此类推。
路由器：
time-range peri01
access-list 100 permit tcp any any eq 25 time-range peri01
access-list 100 permit tcp any any eq 110 time-range peri01

access-list 1 permit any

温馨提示：答案为网友推荐，仅供参考

当前网址：http://99.wendadaohang.com/zd/XOeXevtO.html