公司网络设计规划.docx

公司信息化网络基础设施改造工程部公司机房网络部分设计在本设计方案中主要是对公司机房企业进行整体的网络改造，以H3C Quidway SecPath 500F为骨干、以Cisco公司的6500系列的三层交换机为核心的网络设备构建主干网。本次网设计方案主要由以下几部分组成：防火墙模块、交换机中间模块、服务器模块，本次网络设计内容: 1.网络拓扑图 2.分配公网IP地址 3.配置H3C防火墙,让其实现NAT地址转换,端口映射 DMZ4.在三层交换机作冗余配置,并在此划分VLAN一：网络拓扑图根据要求，通过visio得出整个公司网络拓扑结构图如下所示实现防火墙功能模块为：二：公网IP现状如下：203.86.84.66 到 203.86.84.128=三:VLAN及IP地址规划在一个大、中型网络里，VLAN的划分是必不可少的步骤之一。在本公司网络设计中，整个企业网的VLAN及私有IP编址方案如下表所示：Vlan 号说明IP网段默认网关Vlan1管理vlan192.168.1.0/24192.168.1.254Vlan2财务部192.168.2.0/24192.168.1.254Vlan3总经办192.168.3.0/24192.168.1.254Vlan4事业/商务部192.168.4.0/24192.168.1.254Vlan5工程部192.168.5.0/24192.168.1.254Vlan6研究院192.168.6.0/24192.168.1.254Vlan7OA 、文件、财务服务器192.168.7.0/24192.168.1.254Vlan8代理、Web、信息流服务器，E-mail服务器192.168.8.0/24192.168.1.254Vlan9综合区192.168.9.0/24192.168.1.254四:网络设备选型4.1、核心层网络采用CISCO WS-C6500交换机Catalyst 6500系列为企业园区网和电信运营商网络设立了新的IP通信和应用支持标准，它不但能提高用户的生产率，增强操作控制，还能提供无与伦比的投资保护。作为思科重要的智能多层模块化交换机，Catalyst 6500系列能够提供安全的端到端融合网络服务，其使用范围从布线室到核心，再到数据中心和广域网边缘。Cisco Catalyst 6500系列能够通过多种机箱配置和LAN/WAN/MAN接口提供可扩展的性能和端口密度，因而能帮助企业和电信运营商降低总体拥有成本。Cisco Catalyst 6500系列交换机提供3插槽、6插槽、9插槽和13插槽的机箱，以及多种集成式服务模块，包括数千兆位网络安全性、内容交换、语音和网络分析模块。 Catalyst 6500系列中的所有型号都使用了统一的模块和操作系统软件，形成了能够适应未来发展的体系结构，由于能提供操作一致性，因而能提高IT基础设施的利用率，并增加投资回报。从48端口到576端口的10/100/1000以太网布线室到能够支持192个1Gbps或32个10Gbps骨干端口，提供每秒数亿个数据包处理能力的网络核心，Cisco Catalyst 6500系列能够借助冗余路由与转发引擎之间的故障切换功能提高网络正常运行时间。4.2、接入层网络采用 二层交换机（交换机说明）4.3、外部访问网络采用H3C Quidway SecPath 500F系列专用防火墙 , 为专业千兆防火墙,并发连接数1500000,支持外部攻击防范、内网安全、流量监控、网页过滤、邮件过滤、应用层过滤等功能4.4、服务器采用UPS不间断电源可以保护服务器免受断电的困扰，达到服务器不间断工作。四:配置过程H3C防火墙配置过程System-viewtelnet 配置:local-user adminpassword simple adminservice-type telnetlevel 3use interface vty 0 4 authentication-mode schemefirewall packet-filter enablefirewall packet-filter default permitNAT地址转换: object address lan 192.216.6.133 255.255.255.0# acl number 3001 rule 0 deny ip source any destination anyrule 0 permit ip source 192.0.0.0 0.255.255.255acl number 3002rule 0 deny ip source any destination 203.86.84.81 interface Aux0 async mode flow # interface GigabitEthernet0/0 ip address 192.216.6.133 255.255.255.0 firewall packet-filter 3001 inbound # interface GigabitEthernet0/1 ip address 203.86.84.81 255.255.255.192 firewall packet-filter 3002 inbound nat outbound 3001# firewall statistic system enable#radius scheme system server-type extended#domain system#- - CSICO6500交换机配置过程SW1配置过程:SwitchenSwitch#configure terminalSwitch(config)#hostname SW6500SW6500(config)#enable password ciscoSW6500(config)#enable secret cisco6500SW6500(conifg)#ip routingSW6500(config)#intface s0/1SW6500(config-if)#ip address 192.168.1.100 255.255.255.0SW6500(config-if)#no shutSW6500(config-if)#ifSW6500(config)#line vty 0 4SW6500(config-line)#loginSW6500(config-line)#password ciscoSW6500(config-line)#do wr配置VLANSW6500#vlan datebaseSW6500(vlan)#vtp domain gohighSW6500(vlan)#vtp serverSW6500(vlan)#vlan2 name caiwuSW6500(vlan)#vlan3 name zongjingbanSW6500(vlan)#vlan4 name shangwuSW6500(vlan)#vlan5 name gongchengbuSW6500(vlan)#vlan6 name yanjiuyuanSW6500(vlan)#vlan7 name fuwuqiSW6500(vlan)#vlan8 name fuwuqiSW6500(vlan)#vlan9 name zonghequ端口channel 目的与另一台三层交换机做冗余SW6500(config)#interface range gigabitethernet 2/1 -2SW6500(config-if)#switchport trunk encapsulation dot1q SW6500(config-if)#switchport mode trunkSW6500(config-if)# channel-group 1 mode on端口起trunk(暂定下面四个二层交换机),连接下级交换机SW6500(config)#interface range gigab