2022年网络工程实施方案 .pdf

长沙蓝狐摸拟网络工程第一期工程工程实施方案施工单位 :奥格瑞玛网络工程有限公司名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 1 页，共 20 页 - - - - - - - - - 目录一、 用户需求 .3 二、 网络拓朴结构图 .5 三、 IP 地址规划 .6 四、 技术选型 .9 1)、总部主干内网部份 .9 2)、DMZ 区部分 .12 3)、 外网各地分部部份与移动用户12 五、 设备选型 13 六、 总结与心得 16 七、 附：AD 域服务器搭建具体流程 .17 名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 2 页，共 20 页 - - - - - - - - - 用户需求一、 用户需求：1.企业总部在上海，分支机构现有5 个点，如深圳、武汉、长沙、北京、成都等地；总部一栋楼，有800 多台 PC接入，其中企业有生产部、研发部、测试部、工程部、人力资源、销售部、渠道商、行政部、财务部以及总经办， 所有公司的服务器都在总部。 分部各有 60 台 PC左右接入，只有销售部、办公部两个部门。公司将在5 年内实现全国各省有办事点。2. 全网公司需要实现互连互通，研发部只能是研发部内部员工访问，其它所有部门都不能访问财务部PC，但总经办可以访问所有财务部及所有部门的 PC。研发部和财务部两个部门都不可以上Internet。3. 由于公司规模较大，为方便于管理，在总部设有AD 服务器。为每个员工分配账户，在所有PC 上都可以进行登陆）；并有权限级别设置。4. 总部部署 FTP 文件服务器，也要求对员工访问FTP 服务器上资源进入权限设置。（如生产部的员工只能访问生产资料，办公部的员工只能访问办公资料，总经办可以访问所有资源）5. 为了在网络宣传本公司， 部署 WEB 服务器提供内外网访问， 为了安全起见，将WEB 服务器部署在防火墙的隔离区（DMZ ） ，提供内外网访问。（内网必须使用域名进行访问） 。名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 3 页，共 20 页 - - - - - - - - - 6. 总 部 上 网Internet采 用 以 太 网 接 入 ， 申 请 公 网 地 址（172.10.10.5172.10.10.15 ） ， 各分支是 PPPOE接入公网地址动态分配。要使总部与分部互联， 总部与分部之间做IPsec VPN； 出差人员的 PC访问内网使用远程Ez VPN。名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 4 页，共 20 页 - - - - - - - - - 网络拓朴图结构说明: 整个网络我们以防火墙做为公网边界可将整个区域分为三块: 一、防火墙 inside 区部份，也是整个企业的核心总部内的局域网。二、防火墙 DMZ 区部份，也是为整个局域网与外网用户提供资源访问部份。三、防火墙 outside 区部份，是整个公网部分，其中也包括了公司的分部与移动办公用户。名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 5 页，共 20 页 - - - - - - - - - IP 地址规划表10.地区代码 .业务代码 .0 地区代码 : 地区地区代码备注骨干网0 上海（总部）1 北京2 武汉3 长沙4 深圳5 其它保留业务功能代码 : 业务类型业务功能代码备注Loopback 地址0 采用 32 位掩码链路地址1 采用 30 位掩码网管 vlan 地址2 采用 24 位掩码总经办3-4 采用 24 位掩码研发部门5-6 采用 24 位掩码财务部门7-8 采用 24 位掩码名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 6 页，共 20 页 - - - - - - - - - 生产部门9-10 采用 24 位掩码测试部门11-12 采用 24 位掩码研发部门12-13 采用 24 位掩码销售部门13-14 采用 24 位掩码人力资源15-16 采用 24 位掩码渠道商17-18 采用 24 位掩码行政部19-20 采用 24 位掩码Vlan 规划：VlanID Vlan 描述管理 Vlan 300 核心交换机连接Vlan 901 总经办2 研发部门3 财务部门4 生产部门5 测试部门6 研发部门7 销售部门8 人力资源9 渠道商10 名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 7 页，共 20 页 - - - - - - - - - 行政部11 销售部（分部）12 办公部（分部）13 地址规划原则：分组域网络设备地址遵循以下规划原则：1）要方便集中管理，同种网元应该分配连续地址空间；2）需要和公网交互的接口和设备要尽量采用公有地址，对于与公网没有联系的设备尽量采用私有地址；3）充分考虑未来新技术和新业务的地址需求，尽量排除未来通信模式和业务模式中不利因素的影响，保证未来的设备扩容能顺利进行。名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 8 页，共 20 页 - - - - - - - - - 技术选型公司内部网络通过防火墙FW1 与 Internet网连接，公司内部路由器R11 与其它分部连接公网的路由器（R2，R3，R4，R5，R6， ）分别建立 Ipsec vpn，办公移动用户通过Ezvpn 与 R11建立关系。公司内部运行 OSPF 来保证全网通信路由。三层交换机SW1 与 SW2 通过HSRP做好冗余备份。一、总部主干内网部份1、接入层：首先从接入层开始接入用户PC，在接入层交换机划分Vlan 来隔离广播域。具体划分表见IP 规划表。设备选型：接入层设备建议可用Catalyst2950 系列产品。虽然是一款比较老式的产品，但经济优势在这里却是独一无二的产品。2、汇聚层首先我们根据用户的需求，财务部与研发部只能同部门之间相互访问， 总经办可以访问公司所有部门， 但任何部门都不得访问总经办。我们可以通过acl 语句来实现财务部与研发部只能同部门访问的需求，而对于总经办可以通过带扩展的established的 acl 语句来实现总经办对于各部门的单向访问。另外加入汇聚层虽然增加了两台三层交换机，但是如果没有这两台设备，将接入层交换机直接连在核心交换机上；因为有总部有十多个部门，将会导致核心交换机将要维护大量的STP 这无疑将增加总部名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 9 页，共 20 页 - - - - - - - - - 核心交换机的压力。 所以在这里加入汇聚层除了能减低核心交换机的压力之外，也使整个网络更具有层次性。设备选型 :建议使用Catalyst3750 或 Catalyst4500 系列产品。3、核心层在核心层交换机上将会有大量的数据进行转发所以对核心层交换机的性能也相于有更高的要求。 这里我们在两台核心交换机之间通过捆绑链路通道提高两台交换机的转发能力以及链路的冗余性与健壮性。a)、STP: SW1、SW2、SW3、SW4 通过运行 STP减少链路中的广播风暴对网络的危害。其中将SW1、SW2 设置分别为 Vlan 1 到 Vlan 6的主、备网桥。 SW2、SW1 分别为 Vlan7 11的根网桥与备份网桥。b)、 HSRP: 核心层交换机 SW1 与 SW2 通过 HSRP向外公布一个虚拟的地址，而实则是让 SW1 与 SW2 共同维护这个地址来达到冗余备份的目的。其中SW1 的状态为总经办与其它部门的活跃，财务部与研发部的备份；而SW2 则为其他部门与总经办的备份状态，财务部与研发部的活跃状态，另外SW1 与 SW2 相互做好抢占权。推荐设备选型 : Catalyst 6500系列。4、核心层路由器之所以在这里选择加入一台骨干级路由器，是因对他对整个网络有着一个承上启下的作用。 我们通过 R11 上写入一条静态缺省路由指向防火墙，再通过 OSPF下发缺省路由，来达到路由承上启下的目的。名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 10 页，共 20 页 - - - - - - - - - 另外公司要求通过IPSEC建立 VPN 来达到保护与分公司数据流理的需求。因为考滤到公司未来5 年来会在全国各省都建立分部，将会有大量的 VPN 流量产生。虽然防火墙也能做VPN，但在这里选择加一个核心路由器即能提高公司网络整体质量水平又能减小对防火墙的压力。Ipsec vpn:首先需要与对端协商好ISAKMP SA ，因为对端是动态地址所以在主模式下设置对端地址为0.0.0.0 ，然后进行第二阶段与加密图后将加密图绑定至物理出接口即可。用Vpn 来保证分部与总部通信的安全，降低企业网络运营成本。推荐设备选型 : Cisco 12000系列。防火墙 :防火是整个局域网安全保障的最重要的防线。在这里我们主要的是通过 ACL 语句来控制各种流量、端口、协议的放行跟控制的基本策略以及防火墙自身的组件等策略二、DMZ 区部分名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 11 页，共 20 页 - - - - - - - - - DMZ 是不仅仅能为内网提供访问服务，也能外网提供一定访问服务的服务器群区域。设立DMZ 区一个好处是就算服务器被非法用户入侵，也能在一定成度上保障内网的安全。因为DMZ 区的优先级为50，而 inside 区的优先级为 100，防火墙默认是禁止从低优先级区向高优先区访问的。另外像只为内部员工提供服务的AD 服务器就适合放在局域网内部，在该项目中我们放在SW2 处邻接。三、外网各地分部部份1、各分公司部份 :分公司通过路由器配置dialer 口来拨号自动获得IP 地址。然后与总部核心层路由器R11进行 VPN 基本配置，最后将动态图绑定在获得地址的dialer 口上。2、移动用户 :Ezvpn 能够很好的保证在移动客户对总部通信的安全。配置第 1.5 阶段做好隧权分离，加密图配置时做好反向路由注入。另外启用 AAA ，定义好 AAA 认证与授权。名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 12 页，共 20 页 - - - - - - - - - 设备选型总部核心层路由器推荐产品：Cisco 12000系列推荐理由：高端Cisco 12000系列吉比特交换路由器采用运营商级设计，是思科为支持服务供应商和企业IP 骨干网核心而设计和开发的重要的路由选择产品。提供冗余功能，处理器、交换机结构、LC、电源和冷却设备，最大限度地减少故障导致的网络中断；热切换功能可以在不中断业务的情况下增加或更换组件； 交换结构冗余使业务可以在发生故障时切换到备份结构，而不会丢失数据或中断用户会话。总部核心层交换机推荐产品：Catalyst 6500系列（1）最长的网络正常运行时间。利用平台、电源、控制引擎、交换矩阵和集成网络服务冗余性提供13s 的状态故障切换，提供应用的服务连续性统一在一起的融合网络环境，减少关键业务数据和服务的中断。（2）全面的网络安全性。 将切实可行的数吉比特级Cisco 安全解决方案集成到网络中，包括入侵检测、防火墙、VPN 和 SSL。（3）可扩展性能。 利用分布式转发体系结构提供高达400Mpacket/s的转发性能。(4)能够适应未来发展并保护投资的体系结构。在同一种机箱中支持三代可互换、可热插拨的模块，以提高IT 基础设施利用率、增大投资回报，并降低总体拥有成本；名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 13 页，共 20 页 - - - - - - - - - 总部汇聚层交换机推荐产品: Catalyst 3750 Catalyst 3750 系列针对高密度吉比特以及网部署进行了专门的优化，其中包含多种可以满足接入、 汇聚或者小型网络骨干网连接需求的交换机，其主要特性和优点有: （1） 可用性,不中断的第二层和第三层性能。每个交换机可以充当主控制器和转发处理器。 堆叠中的每台交换机都可以充当一个主交换机，从而为网络控制创建一种1:N 的可用性机制。 在某个单元发生故障时，所有其他单元都可以继续转发流量和保持正常运行。（2）便于使用，“即插即用”配置 ，一个工作中的堆叠可以自行管理和配置。在用户添加或者移除交换机时，主交换机会自动地更新所有的路由表， 及时地反应堆叠结构的变化。升级信息将同时发送给堆叠的所有成员。(3)可扩展性 ,快速以太网到吉比特以太网。(4)混和搭配的交换机类型。根据用户扩建网络的速度支付相应的费用。(5)智能组播，将融合网络的效率提高到一个新的水平。(6)出色的服务质量，覆盖堆栈和线速。(7)安全性，对接入环境的精确控制。(8)单一 IP管理，多台交换机共享一个IP 地址。(9)大型帧，为要求很高的应用提供支持。(10)支持 IPV6，为将来做好准备。名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 14 页，共 20 页 - - - - - - - - - 接入层交换机推荐产品 :Catalyst 2950系统交换机。Catalyst2950 系列智能以太网交换机是一个固定配置、可堆叠的独立设备系统， 提供了线速以太网和吉比特以太连接，这是一款最廉价的 Cisco 交换产品系列。名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 15 页，共 20 页 - - - - - - - - - 总结与心得经过了十天不停日以继夜的测试环境，终于比较完善的完成了整个试验的过程。 在此收获得的东西还是有很多的，另外自己的动手能力也提高了很多。 尤其是以前看设备配置的时候经常头晕，而现在能够坐下来仔细的看设备命令配置， 然后想着数据流与路由的原理以及数据封包拆包过程。很多自己不太会的东西自己也能够主动的去查看相关文档学习， 慢慢的感觉以前觉得很难的东西，现在也能够弄透些了。也让我明白网络要所学的东西还有很多，我目前所学的只是基础的一部份，更多知识还需要自己主动去获取。但是因为前两天准备并不是很充份，也没有充份利用好时间。 所以直接导致后期有些任务没有好的完成。比如服务器搭建一些问题， 还不够完善，希望各位老师朋友多多指点，大家一起进步。名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 16 页，共 20 页 - - - - - - - - - 附： AD 域服务器配置具体流程。开始进行 AD 服务器配置。AD 域服务器安装完成。在此之前需要安装好DNS 服务器，如果未安全 DNS 服务器，可以在装AD 服务器时一起装好。名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 17 页，共 20 页 - - - - - - - - - 安装完成后在控制界面建立新用户进行操作。现在对用户端进行配置，把用户端DNS 服务器地址改成已安装好的DNS 服务器地址。名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 18 页，共 20 页 - - - - - - - - - 开始进行 ping 域名地址，测试 DNS 服务器是否运行正常。完成后以上操作后，在“我的电脑”“属性”“计算机名”里将客户端 PC 加入域组，在重启后用服务器分配的用户名与密码登陆，即可。名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 19 页，共 20 页 - - - - - - - - - 名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 20 页，共 20 页 - - - - - - - - -