网络传媒工作室策划书

网络传媒工作室策划书

一、工作室成立的背景

嘉兴技师学院的成立，为在校的教师和学生提供了更广阔的发展空间和平台。从一名中专讲师到技师学院的教师，这无疑给在校的全体老师提出了更高的要求。因目前在校学生大多是五年制或六年制的学生，学制的增加要求学院的教师要有更高的技能储备和系统的专业知道来丰富自己，同时也要求老师自身要能适应社会，了解社会对专业的技术需求。这样我们培养出来的学生才能更好的适应社会和融入社会。成立工作室的目的之一是促进教师专业成长，同时通过工作室来给老师一个学习和交流的平台，也为老师更好的接触社会提供一个桥梁。

因此，组建网络传媒工作室，是为了更好地贯彻落实学校“德育首位、能力本位、就业到位”的教育理念，是为了彰显“服务社会，服务企业，服务学生”的办学宗旨，是为了充分发挥高水平教师的专业引领作用，建立全校优秀教师间合作互动培养人才的新机制。通过网络传媒工作室这一平台，使之成为学校培养优秀教师的教育基地、优秀青年教师的集聚地和骨干教师的孵化地，成为师生创新实践、教学科研、技能提高的实践地。努力为学院打造多样化人才贡献力量，打造创业的航母。从而促进学校教育教学事业更好、更快地发展。

二、项目定位、实施的必要性

定位：以“专业引领、同伴互助、交流研讨、共同发展”为宗旨，通过工作室的平台促进学校与社会之间的良好沟通。要想我们的教育能够培养出符合社会需求的人才，首先要让我们的教师面向社会，面向市场，了解社会对专业的需求，只有这样，我们的教育才能培养出适合社会之需的人才。其次，校园是一个向社会过渡的时期，在这个竞争激烈的社会中，就业压力大。更有许多高校学生眼高手低。为了将来在竞争中不被淘汰，需要我们的学生在校期间就能够了解社会，了解本专业应具备的竞争力，让自己成为一个德才兼备的人才。只有这样才能让学生真正的体会到知识的价值和力量，才能更好的把学到的知道应用到实践中来。

实施的必要性：随着中国经济的不断发展，平面设计专业人员的社会需求量越来越大，发展前景十分看好。据报道：未来5年人才需求量最多的是网络传媒业。目前，网站的搭建、网站建设、企业网站推广、企业形像设计等对人才的需求十分旺盛。

职业学校作为培养国家技能型人才的主要基地，有义务承担起网络技术类专业人才的培养任务。学校通过网络传媒工作室，可以让老师和学生共同进行网络的搭建、网站建设、企业网站推广、企业形像设计等等的设计任务。这样不仅可以提升教师的技能操作水平，同时也可以让老师和学生和网络技术的社会需求零接轨，身入到设计前沿第一线，切实提高专业教师的技能水平和学生的专业技能。

同时，通过设计室这个平台，可以加速我院网络技术专业教师的成长。培养工作室成员在教育教学能力、专业技能方面，使其成长为学校优秀教师或在某一方面学有专长的复合型教师。培养骨干教师带动青年教师快速成长。

三、项目实施的可行性

嘉兴技师学院网络传媒工作室是由从事中等职业学校网络技术专业教学工作的专业基础课、专业理论课和专业实践课教师组成的教师培训基地，是教师培训部门与教科研部门有关职能的延伸和补充。依托“网络传媒工作室”这一个平台，能够不断地完善专业教师的教育理论和教学实践。真正发挥职业教育的特色，不断提升教师的业务能力，使更多的青年教师在这里得到成长。并且，通过工作室这个平台，可以让学生更早的接触到网络技术的专业领域，给学生提供了一个实习见习的平台。在教学环节中，通过对社会产业需求——确定教学计划——由设计室引领研究——依托工作室进行产业化生产，这几个环节，真正的实现了产教研结合的教学模式。在运营模式中，可以通过和企业合作，让老师和学生共同设计企业所需网络搭建、网络建设、网络推广案例，通过市场化的检验，获得一定的报酬，增加教学的实践性。工作室的建立，不但有其必要性，并且在项目的实施过程中也有十分有效的可行性，具体我们可以通过一下两个大的方面来开展；

1、校内业务：

1) 学院业务：目前我院的网站维护和扩展；学院的对外宣传和展示；学校的招生、毕业生的宣传。

2) 在校师生电脑的维护工具，因目前电脑如果出现问题，一般如果有保修期可以在购买商那里进行维护，但一旦过了保修期，电脑的维修还是会有一定的麻烦，我们可以通过所掌握的技术为在校师生提供优惠的服务。

3) 学院的对外宣传和展示，招生简章，学校文化画册，学校vi系统运用推广，校刊策划制作，校园活动策划制作，学校公关礼品设计制作

4) 学校各专业的网络宣传和网络平台的建设与维护

5) 在校非计算机专业教师的网络知识的培训和咨询

6) 网络兴趣小组培训

7) 企业网、园区网、网页制作、网站建设技能比赛训练

8) 校园网络维护、优化

2、校外业务：

1) 提供品牌策划、交互设计、视觉设计、前端页面开发、后台程序开发等高品质、一体化流程的网站建设服务。包括公司网站、电子商务网站、产品专题页面的建设服务。

2) 各企事业单位画册设计制作，品牌标志设计，VI设计，各类宣传展板、单页、折页设计制作，图文制作，各类活动庆典策划，各类印刷品设计制作，产品摄影。

3) 网络安全整体解决方案设计，实施和产品。

4) 学校、酒店、中小企业网络整体解决方案设计，实施和产品。

5) 电脑销售维修及维护、一体机维修

6) 网络工程师培训

通过对内业务和对外业务的开展，基本上可以是工作室在实践中成长起来，对学校计算机网络专业的教育教学产生深远的积极的影响，符合职业学校发展的方向，有其实施的必要性和可行性。

四、项目的实施方案

1、预定工作室由6-10名从事计算机和美术专业的教师组成。（兼职）

2、建议学校能配备一名无课务的实习指导教师或临时工人（有类似单位从业经验者），担任设计工作室的联系人员，防止有业务的情况下联系不到工作人员。（专职）

3、工作室人员要服从学校的安排，在工作室中承担起一项具体的工作，并带领学生完成工作室中所需完成的各项任务。要合理安排好时间，不得影响整个工作室整体运行的节奏。

4、工作室成员能形成乐于从教、乐于研究、乐于合作、乐于分享、

乐于奉献的集体，共同学习，共同提高。

五、项目风险及不确定性分析

1、在运行初期，由于没有过企业运营的经验，初期在技术上可能达不到客户的要求，也许会出现接不到业务的情况。另外，由于工作室要有学生参与，如果学生的流动性过大，经常有新手操作，也会造成产品开发的滞后或无法完成订单。

2、时间配备上，由于我们的老师平时都要承担教学业务和班级管理工作，时间空余量较少，老师们是否有时间及时完成客户的需求，如果在创建初期没有建立好的信誉，会没有客户资源而倒闭。

3、国产机器价格便宜，但容易坏，维修成本高。作为学校的附属工作室在体制上会不灵活，如果维修的不及时，也会导致完成不了客户的工作任务。从而导致坏的结果。

4、资金周转的灵活性不够，学校是否可以在有业务需求时优先保证设备维修和耗材采购。

5、客户资源的稳定性，由于我们是在校内办公，并且校址离市区较远，作为广告宣传的力度会受一定的影响，是否能有学校出面联系几家稳定的客户资源，显得尤为的重要。

当然，这里只是我所预想到的一部分困难。由于我们没有实践经验，是在摸索中前进，所以在实践操作过程中，也许还会遇到更到的问题，这些还需要学校和全体教职工的理解和帮助。

网络传媒工作室需购置设备清单

星网锐捷竞赛设备

神州数码竞赛设备

多媒体设备

第二篇：网络实施策划书

项目编号：文档编号：08

****信息基础设施建设项目

网络实施方案

编制：完成日期：年月日

审核：审核日期：年月日

批准：批准日期：年月日

****信息技术有限责任公司

20##年4月24日

一）项目概述------------------------------------------------------------------------------------ 2

二）项目建设内容---------------------------------------------------------------------------- 3

(1) 总体建设内容----------------------------------------------------------------------------------- 3

(2) 网络系统规划----------------------------------------------------------------------------------- 4

(3) 网络连接说明----------------------------------------------------------------------------------- 5

(4) 施工流程------------------------------------------------------------------------------------------ 7

三）网络设计建设方案------------------------------------------------------------------ 9

(1) 网络设备命名规划----------------------------------------------------------------------------- 9

(2) IP地址划分原则------------------------------------------------------------------------------- 10

(3) VLAN划分方案--------------------------------------------------------------------------------- 11

(4) HSRP设计---------------------------------------------------------------------------------------- 13

(5) 以太通道设计---------------------------------------------------------------------------------- 14

(6) 骨干网网设计---------------------------------------------------------------------------------- 15

(7) 服务器区设计---------------------------------------------------------------------------------- 16

(8) DHCP设计--------------------------------------------------------------------------------------- 16

(9) 802.1X设计-------------------------------------------------------------------------------------- 16

(10) 路由协议选择-------------------------------------------------------------------------------- 17

(11) NAT的设计------------------------------------------------------------------------------------ 18

(12) 防火墙的设计-------------------------------------------------------------------------------- 19

(13) TELNET设计----------------------------------------------------------------------------------- 21

四）后期维护--------------------------------------------------------------------------------- 22

一）项目概述

****于1985年在在中关村成立，是全国第一家专业杀毒软件开发公司。是国内比较知名的杀毒软件公司的开发公司，多年来受到多家知名企业的好评，是企业网络安全的最有力的保障，为了给客户带来比较好的体验。身为杀毒软件的创始者与领导者，****为业界提供安全的计算机保护及拥有专业的杀毒软件服务和售后维护领域最完备的组件数据库、知识产权、设计工具、及设计流程。

随着科技的发展，时代的进步，网络成了我们生活不可或缺一个部门，计算机大大的提高了我们的工作效率，也是工作办公的必备，然而，我们的计算机却有随时遭到各种病毒的攻击和感染，对于一个公司的损失惨重，比如，公司的重要文件，重大决策等，都可能在计算机遭到攻击的时候，泄露出去，对于公司的发展带来致命的伤害。

为实现公司“打造国内顶级的杀毒品牌”的目标，努力完成公司20##年的“站在北京看全国，站在全国看世界”的公司规模，加强信息化建设，公司迫切需要对公司规模进行扩大，加强网络建设，以提高总公司与分公司之间的信息业务交流。

公司为了节约成本，公司要增设另一个下属公司，公司规模1000人，分10个部门，由于公司的规模较大，为了避免网络的运行中出现网络结构不合理，未划分子网，所有服务器和用户均在同一网段，网络病毒、广播风暴等经常导致系统运行不稳定；还有其他不安全或者是不必要的重大安全隐患。时间紧迫，公司急需建设一个完善的网络系统，以完成办公、公司之间的互相交流及公司内部各种文件的转载和查阅，由于公司的需求其对网络的稳定性较高，公司内网中需要一个服务器集群，为其提供安全的交换数据，避免数据量过大导致服务器集群经常出现过载现象。考虑到公司流量较大，并对网络稳定性要求较高、网络的健壮性要强，现进行一个合理，稳定、健壮的网络已经成为公司的当务之急。

二）项目建设内容

(1) 总体建设内容

根据****公司需求并结合本公司多年来在该领域的设计、施工经验，****基础设施建设分为三大分项，包括：综合布线、服务器和存储系统、机房。综合布线同传统的布线相比较，有着许多优越性，是传统布线所无法比及的。其特点主要表现为它的兼容性、开放性、灵活性、可靠性、先进性和经济性。而且在设计、施工和维护方面也给人们带来了许多方便。

详细建设内容：

1、建立一套满足1000个信息点的综合布线系统，信息点分布在A座B座的一二层，网络中心设在A座一层；

2、在A座一楼建一配套核心机房，B座一楼建一机房；

3、建设一个万兆主干，部分千兆比特到桌面，和部分百兆比特到桌面的交换网络，大楼主干采用光纤布线；

4、建立一套无线局域网满足目前日益增加的无线网接入要求，并对信息点分布不足的地方进行补充；

6、建立一套服务器群，用于公司内部人员资源下载及内网访问，公司邮件服务器等，在DMZ区建立一FTP服务器用于杀毒软件客户端病毒库下载和面向外网的Web服务器；

5、设计双机热备、双机冗余、背板容量足够的交换核心，采用冗余可靠的网络结构方式；

(2) 网络系统规划

根据****公司的需求，我们设计的具体方案主要考虑到下列原则：先进性与实用性原则；可靠性与安全性原则；重视应用与服务原则；经济性和可扩充性原则。

本设计工程组网方式采用以两台思科6509交换机（三层交换机）作为核心层，三层交换机的最重要目的是加快大型局域网内部的数据交换。汇聚层为每一层楼配置一台交换机，接入层再为每个部门接入一台4507R交换机，将不同部门划分到不同的VLAN中。本次项目内容有网络连接、路由设计、IP分配、VLAN划分及进行设备安装实施等。

网络结构分析:

1、公司使用两台汇聚交换机（做冗余备份相连），连接接入交换机，并把所有接入交换机连接到核心路由器上；

2、接入层交换机连接终端用户，并把不同部门人员规划到不同的VLAN中；

3、公司内部都使用私网地址，访问外网时，采用NAT，实现员工可以访问外网；

4、建立稳定可靠的机房核心网络；

5、根据服务器功能需求和信息安全要求进行服务器系统区域划分，完成服务器接入交换机的安装和调试；

6、建立办公网络系统，完成各配线间接入交换机的安装和调试，实现终端用户100/1000M自适应桌面接入，万兆主干上联；

7、所有用户都使用DHCP获得IP地址；

8、建立公共区域的无线网络，实现用户安全认证；

10、增加安全设备实现公司网络的安全性，且能监控来自内外部的上网行为，各部门设置TELNET，且只有技术部能TELNET到各设备。

(3) 网络连接说明

1、核心层网络：A座一楼配线间作为整个网络的逻辑中心，为全网提供高速数据和业务交换接入等功能，考虑到核心层网络的可靠性和高性能，本项目采用双机热备（负载均匀）方式设计核心层交换机，核心交换机选用两台思科6509（三层交换机），两台6509之间通过hsrp协议实现双机互联和冗余备份，并通过两对光纤做port channel连接，实现核心设备连接链路的负载均衡。

2、汇聚层及接入层网络：汇聚层主要为AB两栋楼一二层核心，接入交换机分布在各个配线间内，其中A座一楼放置A座的接入交换机，每层楼采用一台4507R交换机，B座一楼放置B座的接入交换机，同样每层楼采用一台4507R交换机，所有接入交换机通过两条万兆光纤连接核心交换机，两条链路互为冗余，这样任何一链路出现问题，系统可以在3秒之内将数据传输迁移到另一条可靠链路上，保证整个网络的安全和稳定。

3、服务器区：针对****网络系统的需求，为保证公司内部数据安全，及公司客户对公司病毒库下载通畅，本项目建立专门的服务器区，使用两台思科4948作为服务器核心交换机，连接核心交换机6509，通过静态路由方式和核心网络建立连接，这样做的好处是隔离2层网络的影响，给予服务器区更加安全可靠的网络环境，同时提供更加明晰、更加容易扩展的路由方式，给维护带来了方便。

(4) 施工流程

以下是本次工程中网络设备的施工流程图

三）网络设计建设方案

(1) 网络设备命名规划

两台6509（交换机）；两台4948（交换机）；4台4570R（交换机）；若干2960（交换机）；一防火墙模块；两台接入路由器，一台Cisco PIX520防火墙。

(2) IP地址划分原则

因****公司网络主干连接的节点多，因此，要保证网络的有效性和可管理性，网络地址的规划与分配是十分重要的问题。网络地址是一种资源，必须经过优化的规划和设计，因为很难预测网络将来的规模和应用情况的发展，如果规划不当，将导致地址资源不够用，网络的扩展将受到极大的限制；如果规划过于庞大，则在现行运行过程中，网络的路由将会复杂，影响网络的效率。网络地址的分配应遵循以下的原则：

◇唯一性：在同一个互联网络内网络地址应该保持其唯一性；

◇简单性：地址的分配应该简单，避免在主干上采用复杂的掩码方式；

◇连续性：为同一个网络区域分配连续的网络地址，便于缩减路由表的表项，提高路由器的处理效率，这种技术称为地址叠合（Summarization）；

◇可扩充性：为一个网络区域分配的网络地址应该具有一定的容量，便于主机数量增加时仍然能够保持地址的连续性；

◇灵活性：地址分配不应该基于某个网络路由策略的优化方案，应该便于多数路由策略在该地址分配方案上实现优化；

◇可管理性：地址的分配应该有层次，某个局部的变动不要影响上层、全局。

在对一个具体部门拥有的某个或几个子区划分子网时，要根据本部门的具体应用需求来合理分配子网资源，并且要留有一定的余地，这要从子网数和某一个子网所拥有的最大主机数两个方面来考虑。由于合法IP地址的短缺，在****公司的网络建设中选用了B类的保留地址，分配****公司的地址范围为172.16.0.0，前二位（172.16）作为公共网络地址，第三位作为各VLAN的地址，并第四位的（254）作为各VLAN的网关

IP地址划分

(3) VLAN划分方案

****公司根据业务功能的不同，可以分为12个VLAN，12个VLAN各自独立，分别属于不同的广播域，默认情况下不同VLAN间可互相访问，根据不同安全策略，access-list表可作访问控制。当数据在VLAN间路由时，出于对各独立系统的安全考虑，在各VLAN路由端口上应用访问列表，使VLAN之间的数据按规则通过。针对每个VLAN的所属机构将安全规则量化，再依次应用在端口上。

Access-list 1 permit any any

由于对于整个网络配置VLAN工作量较大，所以使用VTP协议，把核心交换机配制成VTP Server,其余交换机配制成VTP Client。并且为核心交换机配置SVI，使得不同间VLAN可以通信。

配置举例：

接入层交换机配置：

Switch(config)#vtp mode client

核心交换机配置：

Switch(config)#vtp domain zdy

Switch(config)#vtp mode server

Switch(config)#vlan 100

Switch(config-vlan)#name Dangzhibu

Switch(config)#int vlan 100

Switch(config-if)#ip address 172.16.0.254 255.255.255.0

VLAN划分

（4）、STP设计

由于在设计的过程中，为了增加网络的可靠性，在核心层交换机与汇接层交换机之间、以及核心应用中均设计了双冗余链路。为了避免这些冗余链路所形成的透明桥接问题，必须使生成树协议（STP）有效工作。

配置举例：

spanning-tree mode rapid-pvst

spanning-tree vlan 1-200 priority 4096

(4) HSRP设计

热备份路由器协议（HSRP）的设计目标是支持特定情况下 IP 流量失败转移不会引起混乱、并允许主机使用单路由器，以及即使在实际第一跳路由器使用失败的情形下仍能维护路由器间的连通性。

****的HSRP建设，主要是在两台核心交换机CISCO6509的VLAN和互联网区的两台路由器部署。互联网区路由器A对内网为活动的路由器，HSRP优先级设置为110，高于互联网区路由器B的优先级100。在互联网路由器A上面配置HSRP的抢占功能，使互联网路由器A成为主设备。

当在6509上划分了VLAN以后，就可以根据不同的需求将接入层交换机端口分别加入到对应的VLAN中去，不同的VLAN的客户机就分别属于不同的广播域，有各自不同的IP地址段，当需要跨网段互相访问时，就必须通过路由。6509就可以利用CISCO的HSRP协议作热备份，再配置一台6509三层交换机，即当核心A发生故障时，另外一块可以立即接替原来的交换机继续工作，切换时间很短。我们可实现12个VLAN分别优先运行在多个三层路由模块上，这样在系统无故障时，能到达路由数据负载分担的目的。

核心交换机A作为活动交换机，HSRP优先级设置为110，高于核心交换机B的优先级100。在核心交换机A上面配置HSRP的抢占功能，使核心交换机A成为主设备。

配置举例：

主设备：

interface Vlan100

ip address 172.16.0.253 255.255.255.0

standby 100 ip 172.16.0.254

standby 100 priority 110

standby 100 preempt

备份设备：

interface Vlan100

ip address 172.16.0.252 255.255.255.0

standby 100 ip 172.16.0.254

standby 100 priority 100

standby 100 preempt

(5) 以太通道设计

两台核心交换CISCO6509之间通过两条万兆链路互联，配置成为Trunk，把两条万兆链路捆绑成EtherChannel。可以实现40万M全双工的带宽。

配置举例：

interface GigabitEthernet 0/1 -2

switchport

switchport trunk encapsulation dot1q

switchport mode trunk

channel-group 1 mode desirable

！

interface Port-channel1

switchport

switchport trunk allowed vlan 1,100-111

switchport trunk encapsulation dot1q

switchport mode trunk

(6) 骨干网网设计

整个骨干网络采用10GE互联，核心交换机6509之间采用引擎两个10GE互联，并采用Ether-Channel方式捆绑增加带宽和可用性。4507R-E采用SUP6L-E引擎进行二层接入，分别与核心6509E采用10GE互联，不启用三层功能。

所有VLAN的网关都在两台核心交换机上面，核心交换机6509E之间采用CISCO HSRP协议。核心交换机A为所有VLAN的主交换机，所有VLAN的网关都在核心交换机A上面。当核心交换机A故障的时候，核心交换机B替换核心交换机A成为活动交换机。

6509E之间互联采用二层链路捆绑方式进行，并封装为Trunk，该条Trunk链路只允许携带****的VLAN信息通过。4507R-E与6509E之间均采用二层Trunk封装方式，并在相应的Trunk链路上对VLAN信息进行过滤。

整体二层链路采用生成树协议进行环路阻止，采用快速生成树模式。手动调整核心交换机A的优先级,把核心交换机A配置成为生成树的ROOT。手动调整核心交换机B的优先级,把核心交换机B配置成为生成树的备份ROOT。4507R-E只作为接入。

(7) 服务器区设计

服务器区交换机采用HSRP冗余协议，使服务器区交换机a成为主交换机，b成为备份交换机。采用CISCO的快速生成树来防止二层的广播环路。手动调整核心交换机a的优先级,把核心交换机a配置成为生成树的ROOT。手动调整核心交换机b的优先级,把核心交换机b配置成为生成树的备份ROOT。

(8) DHCP设计

动态主机设置协议（DHCP），是一个局域网的网络协议，主要用于给内部网络自动分配IP地址。本项目把核心交换机配置为DHCP服务器，将所有PC配置为动态获得ip地址。

配置举例：

Router(config)#ip dhcp pool vlan100

Router(dhcp-config)#network 172.16.0.0 255.255.255.0

Router(dhcp-config)#default-router 172.16.0.254

(9) 802.1X设计

当用户有上网需求时打开802.1X客户端程序，输入已经申请、登记过的用户名和口令，发起连接请求。此时，客户端程序将发出请求认证的报文给交换机，开始启动一次认证过程。

交换机收到请求认证的数据帧后，将发出一个请求帧要求用户的客户端程序将输入的用户名送上来。

客户端程序响应交换机发出的请求，将用户名信息通过数据帧送给交换机。交换机将客户端送上来的数据帧经过封包处理后送给认证服务器进行处理。

认证服务器收到交换机转发上来的用户名信息后，将该信息与数据库中的用户名表相比对，找到该用户名对应的口令信息，用随机生成的一个加密字对它进行加密处理，同时也将此加密字传送给交换机，由交换机传给客户端程序。

客户端程序收到由交换机传来的加密字后，用该加密字对口令部分进行加密处理（此种加密算法通常是不可逆的），并通过交换机传给认证服务器。

认证服务器将送上来的加密后的口令信息和其自己经过加密运算后的口令信息进行对比，如果相同，则认为该用户为合法用户，反馈认证通过的消息，并向交换机发出打开端口的指令，允许用户的业务流通过端口访问网络。否则，反馈认证失败的消息，并保持交换机端口的关闭状态，只允许认证信息数据通过而不允许业务数据通过。

为了提高经研院的二层接入的安全，采用802.1X端口认证。802.1X端口认证，把认证请求通过Radius协议发送给CISCO 认证服务器，认证服务器调用Windows AD的数据库认证，当认证成功后认证服务器返回给交换机。

在交换机上启用AAA功能，并制定ACS服务器地址。接入客户端网卡需要打开802.1X客户端程序，交换机提示认证信息，认证成功后才可以进行ip地址及其它配置。

配置举例：

aaa new-model

aaa authentication dot1x default group radius

dot1x system-auth-control

interface range G0/1 -48

switchport access vlan 100

switchport mode access

dot1x pae authenticator

dot1x port-control auto

dot1x max-reauth-req 5

spanning-tree portfast

radius-server host 1.1.1.1 auth-port 1645 acct-port 1646 key cisco

radius-server source-ports 1645-1646

(10) 路由协议选择

由于对网络稳定性的考虑，****公司网络连接将即采用静态路由协议又采用动态路由协议进行配置。采用EIGRP动态路由协议进行网络配置，原因主要是EIGRP是Cisco公司的专有网络协议，它综合了距离矢量和链路状态2者的优点，其特点有：

A、快速收敛；

B、减小带宽占用；

C、支持多种网络层协议；

D、无缝连接数据链路层协议和拓扑结构

核心交换机和服务器区交换机之间使用动态路由EIGRP。核心交换机到互联网区路由器使用的默认路由，互联网区路由器到互联网区防火墙使用默认路由，到核心使用静态路由。互联网区防火墙向内、外部网设置缺省路由。

配置举例：核心A

Router(config)#router eigrp 100

Router(config-router)#network 172.16.0.0 0.0.0.255

Router(config-router)#network 172.16.1.0 0.0.0.255

Router(config-router)#network 172.16.2.0 0.0.0.255

Router(config-router)#network 172.16.3.0 0.0.0.255

Router(config-router)#network 172.16.4.0 0.0.0.255

Router(config-router)#network 172.16.5.0 0.0.0.255

Router(config-router)#network 172.16.6.0 0.0.0.255

Router(config-router)#network 172.16.7.0 0.0.0.255

Router(config-router)#network 172.16.8.0 0.0.0.255

Router(config-router)#network 172.16.9.0 0.0.0.255

Router(config-router)#network 172.16.10.0 0.0.0.255

Router(config-router)#network 172.16.11.0 0.0.0.255

Router(config-router)#network 172.16.20.0 0.0.0.255

Router(config-router)#network 172.16.21.0 0.0.0.255

Router(config-router)#network 172.16.22.0 0.0.0.255

Router(config-router)#network 172.16.23.0 0.0.0.255

Router(config-router)#no auto-summary

(11) NAT的设计

在防火墙PIX520的outside端口设置NAT

设置静态的地址转换，将真实地址与提供服务的私有地址绑定

static (dmz,outside) 210.32.32.1 210.32.32.1 netmask 255.255.255.255 0 0

static (dmz,outside) 210.32.32.21 210.32.32.21 netmask 255.255.255.255 0

static (dmz,outside) 210.32.32.18 210.32.32.18 netmask 255.255.255.255 0

static (dmz,outside) 210.32.32.10 210.32.32.10 netmask 255.255.255.255 0

static (dmz,outside) 210.32.32.32 210.32.32.32 netmask 255.255.255.255 0

static (dmz,outside) 210.32.32.23 210.32.32.23 netmask 255.255.255.255 0

static(dmz,outside)210.32.32.150 210.32.32.150netmask 255.255.255.255 0

static (dmz,outside) 210.32.32.20 210.32.32.20 netmask 255.255.255.255 0

static(dmz,outside)210.32.32.229210.32.32.229 netmask 255.255.255.255 0 0

static (dmz,outside) 210.32.32.50 210.32.32.50 netmask 255.255.255.255 0 0

指定要进行静态转换的IP地址能够通过的协议

conduit permit icmp any any 允许所有ICMP通信

conduit permit tcp host 210.32.32.21 range ftp www any

conduit permit tcp host 210.32.32.10 range ftp www any

conduit permit udp host 210.32.32.1 eq domain any

conduit permit tcp host 210.32.32.150 eq www any

conduit permit tcp host 210.32.32.18 range smtp pop3 any

conduit permit tcp host 210.32.32.20 eq www any

conduit permit tcp host 210.32.32.229 any

conduit permit tcp host 210.32.32.50 eq telnet any

conduit permit tcp host 210.32.32.23 eq www any

(12) 防火墙的设计

配置Cisco 防火墙

将PIX 安放至机架，经检测电源系统后接上电源，并加电主机。将CONSOLE 口连接到PC的串口上，从CONSOLE口进入PIX系统；此时系统提示

pixfirewall>

输入命令：enable，进入特权模式，此时系统提示为

pixfirewall#

输入命令：configure terminal，对系统进行初始化设置。

配置以太口参数：

interface ethernet0 auto (auto选项表明系统自适应网卡类型)

interface ethernet1 auto

interface ethernet2 auto

配置各功能段的安全级别：

nameif ethernet0 outside security0

nameif ethernet1 inside security100

nameif ethernet2 dmz security50

配置各网卡的IP地址：

ip address outside 210.32.39.253 255.255.255.0

ip address inside 10.0.0.254 255.255.255.0

ip address dmz 210.32.32.254 255.255.255.0

指定外部地址范围：

global (outside) 1 210.32.38.254

global (dmz) 1 192.168.1.1-192.168.1.253

global (dmz) 1 192.168.1.254

指定要进行转换的内部地址：

nat (inside) 1 0.0.0.0 0.0.0.0 0 0

nat (dmz) 0 0.0.0.0 0.0.0.0 0 0