某公司公司设有财务部、普通办公区和技术部三个部门，构建了自己的内部企业网，每位员工都有一台办公电脑，王机规模较大，内部可以实现通信。为了力公需要，公司在技术部部署了一台FTP服务器,以实现公司内部的资源共享。从网络安全与管理的角 度考虑，网络管理员希望内部普通办公区员工的主机之间不能相互通信，但员工电脑均可正常访可公司的FTP服务器，员工电脑不能0公司财务部的王机且计务部主机与普通办公区王机不在同一个端口隔离组。请你规划并实施网络。用eNSP画图

<think>好的，我需要帮用户规划一个满足特定网络安全需求的内部企业网络，并使用eNSP绘制拓扑图。首先，用户的需求包括三个部门：财务部、普通办公区和技术部。其中，普通办公区的员工主机不能互相通信，但都能访问技术部的FTP服务器。同时，普通办公区不能访问财务部的主机，而财务部和普通办公区不在同一个端口隔离组。 首先，我应该考虑使用VLAN来隔离不同部门的网络。VLAN可以将不同部门的设备划分到不同的广播域，实现逻辑上的隔离。但问题在于普通办公区的主机之间不能相互通信，而VLAN内的设备默认是可以通信的。这时候可能需要结合端口隔离技术（如华为的Port Isolation）来实现同一VLAN内的主机无法互相访问，但仍然可以访问FTP服务器所在的VLAN。 接下来，财务部和普通办公区需要在不同的端口隔离组，这可能意味着它们属于不同的VLAN，并且通过ACL（访问控制列表）来限制普通办公区访问财务部的网络。FTP服务器需要被所有员工访问，因此可能需要将其放在一个独立的VLAN，并通过路由或ACL允许其他部门访问。 然后，我需要考虑交换机的配置步骤。首先，创建三个VLAN：VLAN 10（财务部）、VLAN 20（普通办公区）、VLAN 30（技术部/FTP服务器）。在普通办公区的交换机端口上启用端口隔离，这样同一VLAN 20的主机之间无法通信，但都能上行到路由器或三层交换机。接着，配置ACL，禁止VLAN 20访问VLAN 10，同时允许VLAN 20和VLAN 10访问VLAN 30的FTP服务器。此外，财务部和技术部之间是否需要通信？根据题目描述，似乎只需要普通办公区不能访问财务部，而财务部可能需要访问其他资源，可能需要进一步明确，但暂时假设财务部可以访问FTP服务器。 在eNSP中绘制拓扑时，需要连接各个部门的交换机到核心交换机或路由器。可能需要使用三层交换机来实现VLAN间的路由，并在其上应用ACL。普通办公区的交换机端口配置为VLAN 20并启用端口隔离，财务部为VLAN 10，技术部为VLAN 30。FTP服务器连接到技术部的交换机，属于VLAN 30。 需要验证配置是否正确，包括测试普通办公区主机之间无法ping通，但都能访问FTP服务器，同时无法访问财务部的主机。财务部的主机应该可以访问FTP服务器，但根据题目描述，可能没有限制，所以可能需要进一步确认需求。 可能的遗漏点：是否所有员工（包括财务部）都能访问FTP服务器？题目中说“员工电脑均可正常访问”，因此财务部也应该能访问FTP服务器。因此，ACL需要允许VLAN 10和VLAN 20访问VLAN 30，但阻止VLAN 20访问VLAN 10。 总结步骤： 1. 创建VLAN 10、20、30。 2. 配置交换机端口隔离在VLAN 20的端口。 3. 配置三层交换机或路由器实现VLAN间路由。 4. 应用ACL禁止VLAN 20访问VLAN 10，允许访问VLAN 30。 5. 部署FTP服务器在VLAN 30。 6. 测试连通性是否符合要求。 在eNSP中，可能需要使用S5700交换机，并配置端口隔离和VLAN划分，然后通过三层交换机或路由器进行路由和ACL配置。绘图时，将各部门连接到各自的交换机，再连接到核心设备，并标注VLAN和隔离设置。</think>以下为网络规划与实施步骤，结合eNSP拓扑设计说明： --- ### **一、网络拓扑设计（eNSP元件清单）** 1. **核心设备**：S5700三层交换机（实现VLAN间路由） 2. **接入设备**：3台S3700交换机（分别连接财务部、普通办公区、技术部） 3. **终端设备**： - 财务部：2台PC（VLAN 10） - 普通办公区：3台PC（VLAN 20，启用端口隔离） - 技术部：1台FTP服务器（VLAN 30） 4. **连线逻辑**：所有S3700通过Trunk口连接至S5700 --- ### **二、关键配置步骤** #### **1. VLAN划分** ```text # 在S5700和所有S3700上配置 vlan batch 10 20 30 ``` #### **2. 端口隔离（普通办公区）** ```text # 在普通办公区S3700的接入端口（如G0/0/1-24）配置 port-isolate enable group 1 port link-type access port default vlan 20 ``` #### **3. 端口VLAN绑定** - **财务部交换机**：接入端口绑定VLAN 10 - **技术部交换机**：接入端口绑定VLAN 30 #### **4. 三层交换机路由** ```text # 在S5700上配置VLAN接口IP interface Vlanif10 ip address 192.168.10.1 255.255.255.0 interface Vlanif20 ip address 192.168.20.1 255.255.255.0 interface Vlanif30 ip address 192.168.30.1 255.255.255.0 ``` #### **5. 访问控制（ACL）** ```text # 禁止VLAN20访问VLAN10 acl 3000 rule 5 deny ip source 192.168.20.0 0.0.0.255 destination 192.168.10.0 0.0.0.255 rule 10 permit ip # 应用ACL到VLAN20的入方向 traffic-filter vlan 20 inbound acl 3000 ``` --- ### **三、连通性验证** 1. **普通办公区PC**： - ✅ 可访问FTP服务器（192.168.30.x） - ❌ 无法ping通同VLAN其他PC - ❌ 无法访问财务部PC（192.168.10.x） 2. **财务部PC**： - ✅ 可访问FTP服务器 - ✅ 可与其他财务部PC通信 --- ### **四、eNSP拓扑示意图** ``` [财务部PC]--(VLAN10)--> S3700 --(Trunk)--> S5700（核心） <--(Trunk)-- S3700 --(VLAN30)--> [FTP服务器] [普通办公区PC]--(VLAN20+隔离)---> S3700 --(Trunk)--> ``` --- ### **五、注意事项** 1. **端口隔离组**：财务部与普通办公区需使用不同隔离组（如财务部不启用隔离） 2. **FTP服务配置**：确保服务器防火墙允许VLAN10/20的IP段访问21端口 3. **IP规划**：建议使用`192.168.x.0/24`子网区分VLAN 如需eNSP配置文件模板，可提供详细配置脚本及拓扑图文件。