六、路由规划

        1、在SW4、SW5、SW7、SW8、SW9、SW10、R1、R2上启用OSFP路由协议，除了R1、R2连接分支机构的两个接口划到area1中之外，其余设备接口以及SVI口均宣告进area0中；

        2、在SW9上指定一条到达下一跳防火墙FW5的默认路由；在SW10上指定一条到达下一跳防火墙FW6的默认路由；并且使用命令default-information originate将这两条默认路由宣告进OSFP进程；

        3、在防火墙FW5、FW6上各自指定一条到达DMZ区域的静态路由；

        4、在防火墙FW5、FW6上各自指定一条去往Internet的下一跳路由器的默认路由；

        5、在R3、R4上开启OSPF路由协议，仅将两台路由器互联的接口宣告进OSPF进程，划归area0；

        6、在R1、R2上分别配置一条去往ISP的默认路由，并且利用命令default-information originate将这两条默认路由宣告进OSPF进程；

        7、对于一些特殊区域的特别路由处理：

           （1）在内服务器区，汇聚层上联了两台防火墙，防火墙上对于每条数据都有一个匹配表项，只允许回应由自己发出的数据包的数据通过。假如FTP服务器为客户提供数据，经由FW1发送给客户，客户收到数据给FTP服务器确认；此时，假如确认包经FW2这条链路传回，FW2中没有对应的表项，从而将其丢弃！

                 当然，也可以互联两台防火墙使之同步表项，但是国产防火墙这一功能基本形同虚设，因此不得不通过调整Cost值的方式来对路由进行调整，来避免数据包回包异路的问题；

                 具体做法是：将FW2所在链路的两接口的OSPF Cost调大；

                              在SW8上将SVI口VALN 40的OSPF Cost值调大；

           （2）网络设计中，采用双ABR连接分支机构，容易引发路由环路和次优路径；为了解决这个问题需要在两台ABR上针对不同的路由条目做汇总，并且调低Cost，以此来指定特定路由条目只从R1或者只从R2转发出去；

         8、为防止未知路由环路的产生，在SW9上配置一条静态路由：Ip route 10.1.0.0 255.255.0.0 NULL 0；并且，在SW9上将此静态路由重分发进OSPF进程；

         9、在防火墙FW5和FW6上分别为FTP服务器、DNS服务器、WEB服务器做静态NAT；并对内网用户做动态PAT；

七、安全

1、FW1、FW2、FW3、FW4四台防火墙为交换模式；只允许总部用户和广域网用户访问FTP服务器区；（主要做的策略是什么？？？）

2、FW5、FW6两台防火墙为路由模式；只对外放行DNS/WEB服务器相应IP及应用；（主要做的策略是什么？？？）

3、用户终端防护，使用360配套软件；

七、网络综合评价

1、可靠性原则：  （1）设计中内部用户区和内服务器区均采用双汇聚接入，并且汇聚层交换机均开启HSRP提供网关备份，可靠性较高；

（2）汇聚层交换机之间以及两台核心交换机之间均启用Channel，增加了互联带宽，同时其中一条链路Down不影响另一条链路通信，同时增加了可靠性；

（3）将核心上的两条默认理由通告进OSPF，为核心的上行链路提供冗余，即使一条链路Down掉，用户还是可以通过另一条上行链路访问Internet；

（4）汇聚层交换机以及两台核心交换机均采用双引擎工作模式，增加了单台核心交换机的可靠性；

（5）在两台防火墙上为DMZ区域服务器启用VRRP，做网关备份，保证了服务器为互联网用户提供可靠的服务；

（6）

同时在两台防火墙上为核心交换机的两条上行链路启用VRRP，一方面为两个FW的上行链路提供备份，另一方面也为两条上行链路提供了双重保险；

（6）两台边界路由器互联，利用OSPF五类缺省路由，为网络出口提供冗余；

（7）使用双ISP出口，提高了网络内外互访的可靠性；

（8）在去往分支结构的网络边界，用两台边界路由器互做备份；

因此，总体来看，整个网络设计处处贯穿冗余备份的思想，为整个网络提供了高可靠性！

2、可扩展原则：

汇聚层交换机以及核心层交换机均采用模块化的Cisco Catalyst 4506交换机，无论是引擎、板卡，还是电源都可以进一步扩展升级；

每个网段都分了一个C的地址，而目前每个楼层的员工数都不到50人，因此具有很高的可扩展性；

每个楼层均另外架设有一台无线路由器，可以提供方便的应用扩展；

3、安全性原则：

（1）对于这样一个有300人左右的网络，网络划分为内服务区、DMZ区域、ouside、总部用户区，在网络的关键部位均放置了防火墙，从而为网络提供了很好的安全性；

（2）Inside区域的安全性是最高的，Outside的用户不能访问Inside，Inside的用户可以可安全可靠得访问服务器和Internet。Outside区域可安全的访问位于DMZ区域的DNS、WEB服务器；同时，Outside的用户不可以通过DMZ区域访问到Inside区域；广域网用户也可以安全可靠的访问FTP服务器；

（3）防火墙以内的区域都是使用私有地址，避免了内部区域网络的暴露，增加了安全性；

（4）在Inside区域，将不同的部分划分在不同的VLAN，一方面避免了广播风暴、ARP攻击等对网络的破坏，同时避免的不同部门间信息的泄露；

（5）对于区域中一些具有特殊安全需求的部分用访问控制列表加以限制权限，这样也提高了整个网络的权限；

4、可管理性原则：

网络中的设备都是可管理的，可以通过lnet.html' target='_blank'>telnet的方式对网络进行监控和管理；

5、追求最佳性能价格比