概述：

该企业大概有400台电脑,除财务部和部分高管笔记本之外，所有客户端加入域，配置两台域控制器，IP分别为：192.168.0.3和192.168.0.2，其中192.168.0.3为主域控制器，同时扮演DHCP和DNS的角色，192.168.0.2同时扮演辅助DNS角色。

按部门划分网段，采用C类IP地址：

192.168.1.0   财务部           Vlan1

192.168.2.0   生产采购中心     Vlan2

192.168.3.0   人力资源部       Vlan3

192.168.4.0   电商渠道一部     Vlan4

192.168.5.0   技术部           Vlan5

192.168.6.0   设计部           Vlan6

192.168.7.0   电商渠道二部     Vlan7

192.168.8.0   OA系统/预留      Vlan8

192.168.0.0   电脑部/服务器组  Vlan12

设计思路：

两台Cisco 2960之间建立TRUNK链路，实现同一Vlan之间的数据传输，利用Cisco 1841做单臂路由，实现跨Vlan通信，配置一条策略路由使其他VLAN不能访问Vlan1(财务部)，Vlan1可以访问其它Vlan，配置静态路由使所有外出数据包转发到ISA服务器192.168.0.1，ISA通过和域用户集成来控制那些数据可以放行或拒绝，通过ISA来控制上网行为，通过组策略实现部分软件分发和用户界面统一性及用户权限等。

上网说明：

192.168.3.0/192.168.4.0/192.168.7.0网段的用户通过路由网关直接出外网，没做任何限制，192.168.0.0网段网关为192.168.0.20的用户通过ISA(192.168.0.1)出外网，192.168.0.0网段网关为192.168.0.10的用户通过ISA(192.168.0.10)出外网，财务通过192.168.1.1路由单独上网，其他用户上网通过ISA(192.168.0.1)出去，通过ISA达到只允许上QQ/只允许上网页和只能上某些网站的目的。