XXX公司网络建设详细设计方案.doc

此文档收集于网络，如有侵权，请联系网站删除编号密级项目技术类文档XX公司 网络建设详细设计方案 XX网络技术项目部 精品文档公司简介 灰空公司是一家致力于建立现代化校园网和中小型企业为主营业务的现代化网络公司，我公司建立于2007年 ，由目前当任我公司总裁CEOTEO以及我四人于2007大学毕业后的即可创业而建立。我公司经过短短三年的时间由零资产发展到现在拥有800万资产的企业。 灰空公司自建立以来以其先进的技术诚信的理念良好的服务态度赢得了广大客户的一致好评，我公司先后承包了湖南师范大学湖南大学中南大学校园网的布建和维护，以及许多中小型企业的网络规划。我公司一直以来广招人才，现拥有思科专家级认证资格的6人，CCNP12人，网络工程师8人，拥有3年以上工作经营若干等等。我公司分6个部门，分别为固网部移网部财务部市场部人力资源部后勤部，各部门分工合作紧密结合，整个公司运行的有条不紊以惊人的速度蓬勃发展。 我公司承诺一切以客户为中心，始终把客户的利益放在第一位，以国内外前沿网络技术为基础；凭诚信的理念为客户服务， 为客户建立企业网络信息系统，为生产、办公、管理提供服务；实现办公自动化，提供总部与分部、分部与分部间通讯的出入口，提供电子函件、公告牌和办公信息查询等服务，提高工作效率和管理水平；及时、准确、可靠地收集、处理、存储、传输企业的办公、管理信息，完成与因特网的通讯和资源共享，实现企业资源和社会资源的有机结合；实现音频数字化资源共享、集中管理；建立企业网管理应用系统。目 录目 录i前 言iii第一章 网络设计原则与需求分析11.1 网络设计原则11.2 网络设计需求分析2第二章 网络设计解决方案42.1 XX公司网络系统基本应用42.1.1 OA应用42.1.2 Intranet应用42.1.3 Internet应用42.2 企业网络结构规划42.2.1 接入层52.2.2 核心层52.3 网络拓扑设计52.4 网络设备选型62.4.1 设备选型原则62.4.2 接入层交换机选型62.4.3 核心层交换机选型72.4.4 出口路由器选型82.5 网络IP地址规划92.5.1 IP地址合理规划的意义92.5.2 IP地址规划102.6 网络设计技术方案特点10第三章 网络设计技术分析123.1 企业网络技术分类123.2 企业网中的路由技术123.3 企业网中的交换技术133.4 广域网互联技术143.5 技术部署详细说明15第四章 网络实施方案174.1 项目实施步骤174.2 项目实施管理174.2.1 项目实施管理174.2.2 项目管理纲要174.2.3 项目管理小组人员174.2.4 系统集成小组184.2.5 项目经理负责制184.2.6 售后服务小组184.2.7 项目实施及工期安排184.2.8 质量控制体系184.3 测试与验收说明194.3.1 设备安装、调测、开通194.3.2 移交测试194.3.3 试运行验收测试19第五章 技术支持215.1 网络系统技术培训支持215.2 中间件产品培训支持215.3 UNIX及硬件培训支持215.4 数据库培训支持22第六章 售后服务支持236.1 产品保证服务236.2 技术支持服务236.3 特殊技术服务和支持方式246.4 服务质量管理25附录A IP地址规划表26附录B 实施步骤及配置脚本28附录C 工程软硬件清单44附录D 工程测试46前 言全球性的国际计算机互联网Internet的迅速发展和普及，改变了整个信息产业的面貌，使信息技术产业从以计算机为中心发展到以网络为中心，并为计算机技术在工业、商业、教育及科研等领域中的应用提供了一个全新的网络通信环境，也从根本上加强并促进了群体工作成员之间的信息交流、资源共享、科学计算及技术合作等，进而推动了教育事业、科研及生产的发展。Internet是一个全球性的开放的信息互连网络，它是以一系列关键支撑技术为核心发展起来的新兴领域，为人们提供了崭新的网络计算环境。随着互联网的蓬勃发展，其巨大的潜力已经逐渐体现出来，一些互联网企业涉足传统产业已经取得了不菲的业绩，如运用网络概念多次融资，并利用网络优势通过并购的方式切入旅行服务行业的携程；其次，就是互联网在传播和获取信息上的优势；再者，就是企业想利用内外部网络进行有效的管理，提高管理效率：上述三大因素可以看作企业建网的主要的原因。因此，可以这样讲，企业建网的最终目的和它的经营策略是吻合的，就是通过网络来降低企业的管理成本和交易成本以及通过开展电子商务活动来获得更多的利润。XX公司计划在近期内建设企业网络信息系统，在企业内部实现资源高度共享，为生产、办公、管理提供服务；实现办公自动化，提供总部与分部、分部与分部间通讯的出入口，提供电子函件、公告牌和办公信息查询等服务，提高工作效率和管理水平；及时、准确、可靠地收集、处理、存储、传输企业的办公、管理信息，完成与因特网的通讯和资源共享，实现企业资源和社会资源的有机结合；实现音频数字化资源共享、集中管理；建立企业网管理应用系统。以顺应时代的发展趋势，充分利用现代化技术来进一步提高管理质量和办公效率。XX公司网络支持的是一个不断多元化的网络应用系统设备组合，系统设备、管理者及使用者之间的联系必须是亲密无间的，自觉而透明的，从而具备较强的扩展性。在多年的网络工程实践中，尤其是在企业、金融、证券、邮电、广电等行业我们付出了辛勤的努力，积累了宝贵的经验，得到了广大用户及业界同行的信任与肯定。我公司愿借这次机会，与贵方建立长期、友好的合作关系，以我们在系统集成领域积累的丰富经验为XX公司的信息化建设尽微薄之力。第一章 网络设计原则与需求分析1.1 网络设计原则（设计该网络时应该依据哪些原则） XX公司网络主要应用于公司总部与各分部间日常办公、业务需求和通信，凭着对网络了解和对用户需求、网络信息技术的发展趋势的理解，充分认识到，我们设计建设的网络系统应遵循以下各原则：1 可靠性：网络的安全可靠性是网络的一个重要的指标。计算机网络系统必须绝对可靠，网络设计必须可靠性重点考虑。从结构设计、产品选择以及网络管理上要对网络的可靠性作出保证。安全性与可靠性同样重要，除了系统提供多种安全控制的手段外，网络设计也要提供保障其安全的手段。 2 独立性:公司某些部门之间有不同的业务，各自独立于其他部门，像公司财务部就应该独立出来，其他部门在没有授权的情况下无法访问财务部的业务网络3 实用性：网络设计一定要充分保护网络系统现有资源。同时要根据实际情况，采用新技术和新装备，还需要考虑组网过程要与平台建设及开发同步进行，建立一个实用的网络。力求使网络既满足目前需要，又能适应未来发展，同时达到较好的性能/价格比。4 高效性 :公司总部与分部坐落在不同的城市，在进行日常办公和通信时网络一定要及时高效。业务的处理，总部的措施能及时下达各个分部，各个分部的业务能及时向总部汇报。各个分部间业务能快速进行沟通处理。5 充足的、可扩展的带宽随着应用软件复杂程度的增加，网络用户数量的增长以及多媒体技术的普及，当今网络对带宽的需求日益增加。传统的共享式10M/16M 网络已不能满足需求。网络系统应该能为用户提供足够的带宽，满足用户的实际应用需求，并且带宽应该是动态可调整、可扩展的。6 技术先进性计算机网络技术的发展非常迅速，在计算机应用领域占有越来越重要的地位。必须认识到，建立计算机网络是一个动态的过程，在这个过程中将不断有新技术产生，有新产品出现。因此,一定要采用最先进的组网技术，选用代表当今世界潮流趋势的计算机公司的网络产品，才能在未来的发展中保持技术领先1.2 网络设计需求分析（为确保XX公司企业网络建设和应用的成功，对网络方案的设计大致可归纳出哪些的需求）第二章 网络设计解决方案2.1 XX公司网络系统基本应用在企业网建成的同时，基于该网络的应用也应到位，其中包括：OA应用和Internet/Intranet应用。2.1.1 OA应用OA软件解决企业的日常管理规范化、增加企业的可控性、提高企业运转的效率的基本问题，范围涉及日常行政管理、各种事项的审批、办公资源的管理、多人多部门的协同办公、以及各种信息的沟通与传递。可以概括的说，OA软件跨越了生产、销售、财务等具体的业务范畴，更集中关注于企业日常办公的效率和可控性。在XX公司总部部署OA软件，是提高企业整体运转能力不可缺少的一项工作。2.1.2 Intranet应用XX公司可建立公司内部信息网站，为公司内部所有网上用户提供生产调度、产品营销、物资供应、商情信息、安全生产、科技动态、生产技术、环境保护等信息服务。集团内部各部门可通过内部网站实现企业内部信息交流，主动地获取信息和提供信息。2.1.3 Internet应用Internet作为信息交流的基础设施，对信息技术的发展，信息市场的开拓，以及信息社会的形成都起着十分重要的作用。XX公司所构造的网络正是通过Internet将企业内部与外界连接起来。这样XX公司可为广大客户提供他们所关心的有关信息；在网络上提供WWW，E-mail等服务。该网站可以包括：综合信息、科技信息、企业动态、市场信息等栏目，内容可涉及XX公司生产经营、科研生产、产品价格和市场营销等方面。并为电子商务打下基础。2.2 企业网络结构规划我们将XX公司总部和分部的内部网络设计为两级层级：(1) 接入层(2) 核心层这样规划一是能够有良好的层次感，利于实现较为复杂的网络功能要求；二是这样分层能够使每层的功能较容易实现也较清楚；三是采用这种分层方式可以支持较大的网络规模便于企业网的升级扩大。2.2.1接入层接入层主要作用是使各个信息节点接入内部网络，实现互联。接入层部署在各个分部，为使各终端更方便连接网络，接入层应具有和节点距离短易操作，可扩展等特点。（接入层作用、特点。）2.2.2 核心层核心层: 核心层的功能主要是实现骨干网络之间的优化传输,骨干层设计任务的重点通常是冗余能力、可靠性和高速的传输。网络的控制功能最好尽量少在骨干层上实施。核心层一直被认为是所有流量的最终承受者和汇聚者，所以对核心层的设计以及网络设备的要求十分严格。核心层设备将占投资的主要部分。 核心层需要考虑冗余设计。2.3 网络拓扑设计2.4 网络设备选型2.4.1 设备选型原则l 代表目前网络系统设备的先进水平。l 具备较强的安全性。l 具备优良的RAS性能-可靠性、可用性、可维护性。l 具备优良的可扩充性和升级能力。l 具备优良的性能价格比，根据现在的需求和可以预见的需求增长情况设计网络，不追求空洞的技术先进性，避免追求高档和最新技术花费的巨大代价。CISCO是网络业界第一品牌和最大的研发厂家，是项目可持续应用的投资保护和规避厂家风险的首选。众所周知：任何一个项目的选型都存在产品风险和原厂家的风险。之前大家可以看到，许多项目从投资预算的角度考虑采用第二流和第三流的厂家产品，比如：港湾、INTEL等网络产品，后来原厂家或者被收购或者产品停产，其产品存在的缺陷无法解决、后续无法保修和维护、无法进行扩容和升级，造成这些用户不得不废弃原有产品，重新购买第一流厂家的产品，反而形成了极大的投资浪费。IOS采用的是经检验已成为业界标准的强健稳定的CISCO IOS，更具有广泛的协议支持，这是其他厂商所不能企及的；思科将其IOS（网络操作系统）打造成为网络系统中坚实、可靠的智能神经中枢，作为应用最为广泛的网络软件，思科IOS软件系列在全世界一千多万个不同规模的系统上发挥着重要作用，其范围从小型家庭办公网络到最庞大的电信运营商网络。思科IOS取得广泛成功的关键在于，它的标准化设计中整合了创新网络技术、关键业务IP服务和首屈一指的平台支持能力。基于以上原则，我们为XX公司网络建设选用CISCO公司的系列产品，以确保网络实用与性价比。2.4.2 接入层交换机选型总部和分部接入层交换机均选用WS-C2960-24TC-L，该款交换机主要参数（可根据对产品的了解程度增删相应的参数）交换机类型智能交换机应用层级二层内存64MB DRAM,传输速率10M/100Mbps,10M/100M/1000Mbps网络标准IEEE 802.3、IEEE 802.3u、IEEE 802.1x、IEEE 802.1Q、IEEE 802.1p、IEEE 802.1D、IEEE 802.1s、IEEE 802.1w、IEEE 802.3ad、IEEE 802.3z、IEEE 802.3端口结构非模块化端口数量24接口介质10/100Base-T,10/100/1000Base-Tx/SFP传输模式全双工/半双工自适应交换方式存储-转发背板带宽4.4Gbps包转发率6.5MppsVLAN支持支持QOS支持支持网管支持支持网管功能Web浏览器,SNMP,CLIMAC地址表8K模块化插槽数2指示面板每端口状态:连接完整性、禁用、活动、速度、全双工,系统状态:系统、RPS、链路状态、链路双工、链路速度电源30W环境标准工作温度:0-45、工作湿度:10%-85%(非冷凝)、存储温度:-25-70、存储湿度:10%-85%(非冷凝)尺寸(mm)44*445*2362.4.3 核心层交换机选型Cisco Catalyst 3560-24TS-S总部核心层交换机选用，该款交换机主要参数（可根据对产品的了解程度增删相应的参数）应用类型应用层级内存交换方式背板带宽(Gbps)包转发率VLAN支持MAC地址表网络标准传输速率(Mbps)端口类型端口结构固定端口数模块化插槽数是否支持全双工网管支持网管功能堆叠2.4.4 出口路由器选型总部出口路由器选用CISCO3845模块化路由器。该款路由器主要参数（可根据对产品的了解程度增删相应的参数）产品类型模块化，企业级，集成多业务路由器包转发率10Mbps:14,880 pps、100 Mbps:148,810 pps、1000 Mbps:1,488,100 pps 外形尺寸406.4438.15133.35mm重量20.4KG处理器RISC QED RM5271 255MHzDRAM内存1024MBFlash内存256Mb固定广域网接口WIC卡固定局域网接口2个千兆位以太网控制端口Console扩展插槽 有扩展插槽 8条网络管理支持SNMP管理 Cisco clickstartVPN支持QoS支持内置防火墙有认证标准UL 60950:CAN/CSA C22.2 No.60950,IEC 60950,EN 60950-1,AS/NZS 60950电源电压100 to 240 VAC,47-63 Hz,2460 VDC最大功率不带IP电话：435W， 带IP电话仅为系统：555W，带IP电话IP电话360W 直流电源：460W分部出口路由器选用CISCO2811模块化路由器该款路由器主要参数（可根据对产品的了解程度增删相应的参数）设备类型模块化企业级路由器处理器Motorola MPC860 160MHz最大Flash内存（MB）256Mb最大Dram内存（MB）760MB支持网络协议支持支持的网管协议支持固定广域网接口10/100Mbps固定局域网接口2个10/100端口控制端口Console VPN支持支持内置防火墙有支持扩展模块数4Qos支持支持电源电压（V）100-240 VAC 47-63Hz电源功率（W）160W重量（Kg）6.4KG长度（mm）416.2mm宽度（mm）438.2mm高度（mm）455mm2.5网络IP地址规划2.5.1 IP地址合理规划的意义在企业网网络规划中，IP地案的设计至关重要，好的IP地址方案不仅可以减少网络负荷，还能为以后的网络扩展打下良好的基础。IP地址的合理是保证网络顺利运行和网络资源有效利用的关键。企业网IP地址的分配应该尽可能地利用申请到的地址空间，充分考虑到地址空间的合理使用，保证实现最佳的网络内地址分配及业务流量的均匀分布。具体地来说IP地址的合理规划有如下的意义：(1) 唯一性：为实现网络中所有设备都可以互访,一个IP网络中不能有两个主机采用相同的IP地址;(2) (层次性：IP地址的划分采用层次化的方法，和层次化的网络设计相应， 在地址划分上我们也采用层次化的分配思想，从XXx厅开始规划，再规 划各地州、县，使地址具有层次性，能够逐层向上汇聚(3) 可扩展性：地址分配在每一层次上都要留有一定余量，以便在网络扩展 时能保证地址叠合所需的连续性；IP地址分配处理要考虑到连续外，又 要能做到具有可扩充性，并为将来的网络扩展预留一定的地址空间；充 分利用无类别域间路由（CIDR）技术和变长子网掩码（VLSM）技术， 合理高效地利用IP地址，同时，对所有各种主机、服务器和网络设备， 必须分配足够的地址，划分独立的网段，以便能够实现严格的安全策略控制。(4) 可管理性：地址分配应简单且易于管理，以降低网络扩展的复杂性，简 化路由表； 2.5.2 IP地址规划根据国际互联网络技术发展的趋势，结合XX公司总部和分部的现实情况，我们建议IP地址规划遵循如下原则来设计：详细IP地址规划方案见附录A。2.6 网络设计技术方案特点根据XX公司网络建设的现有需求，并考虑到未来的发展趋势，需要建立一个统一的信息传输网络，满足数据、语音、视频、图像、多媒体等相关企业信息的传输，可以实现计算机管理系统、办公自动化系统、业务系统和Internet访问等应用。我们提出的解决方案具有如下特点：第三章 网络设计技术分析3.1 企业网络技术分类企业网是园区网络的一种，应用于企业网中的技术其实就是当今园区网络中的一些实用技术，我们将园区网络技术从总体上划分为路由技术，交换技术和远程接入技术。(1) 路由技术 路由技术主要是指路由选择算法。因特网的路由选择协议的特点及分类。其中，路由选择算法可以分为静态路由选择算法和动态路由选择算法。因特网的路由选择协议的特点是：属于自适应的选择协议（即动态的）；是分布式路由选择协议；采用分层次的路由选择协议，即分自治系统内部和自治系统外部路由选择协议。因特网的路由选择协议划分为两大类：内部网关协议（IGP,具体的协议有RIP和OSPF等）和外部网关协议（EGP,目前使用最多的是BGP）。所谓路由就是指(2) 交换技术 是指二层交换技术三层转发技术。传统的交换技术是在OSI网络标准模型中的第二层数据链路层进行操作的，而三层交换技术是在网络模型中的第三层实现了数据包的高速转发。应用第三层交换技术即可实现网络路由的功能，又可以根据不同的网络状况做到最优的网络性能。(3) 远程接入技术 在网络中部署服务器集群，在远程接入技术服务器上安装并发布用友通客户端，所有用户运行远程接入技术服务器上的用友通客户端，并通过内部高速网络连接用友通服务器，完成财务、供应链、生产制造、分销、零售、客户关系、服务管理等功能模块的使用。 如果需要允许用户跨Internet访问，建议把远程接入技术服务器机群部署在DMZ网络中，把用友通服务器端部署在内部网络中，在内部防火墙上设置允许用友通客户端和服务器端通信的进行。3.2 企业网中的路由技术在园区网中由于受到自身网络的限制，应而不需要使用过多的路由技术，而路由技术主要应用在核心层或者是出口去往其它网络，连接出自己园区的网络。在经过接入路由器时根据IP包的目的地址，在路由器的路由表中查询，是否有前往目的地的路由，如果有则根据路由条目来转发IP包。静态路由技术 静态路由是指由静态路由是指由网络管理员手工配置的路由信息我们在XX公司使用静态路由技术，以实现公司总部和分部的互联互通。（写出在该项目中在何处部署静态路由）3.3 企业网中的交换技术在企业网使用的最多也是最广泛的技术就是交换技术，交换技术的成熟带动着这个网络的发展。而企业网是基于这个交换架构的网络，因此在交换式的网络中有众多技术VLAN， TRUNK，三层交换，STP，DHCP等。下面将分别介绍这些技术的应用： (1) VLAN技术 ： VLAN是一组以太网网段（逻辑广播域），这些网段的物理连接不同，但能够像位于同一个网段中那样通信。 Vlan的划分方法可分为以下几种：基于端口、MAC地址、网络层协议划分的vlan，根据IP组播、子网、用户认证授权划分vlan几种。本方案中主要使用的划分方法为：基于端口创建vlan（什么是VLAN技术，VLAN技术有哪些分类，在本设计方案中使用哪种VLAN的划分方法。）(2) TRUNK技术 ：一条物理链路上可以同时承载多个vlan的数据。（什么是TRUNK技术有何特点，本设计方案中在何设备上部署TRUNK技术。）(3) 三层交换 三层交换技术从广义上理解为集成了三层路由功能和二层交换功能的交换机。三层交换（也称多层交换技术，或IP交换技术）是相对于传统交换概念而提出的。众所周知，传统的交换技术是在OSI网络标准模型中的第二层数据链路层进行操作的，而三层交换技术是在网络模型中的第三层实现了数据包的高速转发。简单地说，三层交换技术就是：二层交换技术三层转发技术。 第三层交换提供以下优点：提高了网络速率、可持续发展、有更加广泛的拓扑结构、工作组和服务器更加安全、性能更优异。（什么是三层交换技术，有何特点，本设计方案中在何设备上部署三层交换技术。）(4) STP技术 STP（生成树协议）是一个二层链路管理协议。它的主要功能是在保证网络中没有回路的基础上，允许在第二层链路中提供冗余路径，以保证网络可靠稳定的运行。 STP可以解决冗余拓扑带来的广播风暴、同一个帧多个副本、MAC地址表的不稳定性等问题（什么是STP技术，有何特点，本设计方案中在何设备上部署STP技术。）(5) DHCP DHCP是动态主机分配协议的简称，是一个简化主机IP地址分配管理的TCP/IP标准协议。用户可以利用DHCP服务器动态分配IP地址以及进行其他相关的环境配置工作。DHCP的主要优点为：提高效率、便于管理、节约IP地址资源。（什么是DHCP技术，有何特点，本设计方案中在何设备上部署DHCP技术。）3.4 企业网中的远程接入技术(1) 访问控制列表（ACL）ACL技术在路由器中被广泛采用，它是一种基于包过滤的流控制技术。标准访问控制列表通过把源地址、目的地址及端口号作为数据包检查的基本元素，并可以规定符合条件的数据包是否允许通过。ACL通常应用在企业的出口控制上，可以通过实施ACL，可以有效的部署企业网络出网策略。随着局域网内部网络资源的增加，一些企业已经开始使用ACL来控制对局域网内部资源的访问能力，进而来保障这些资源的安全性。（什么是ACL技术，有何特点，本设计方案中在何设备上部署DHCP技术。）本设计方案使用访问控制列表来实现以下需求：n 总部办公业务可以访问全网办公业务，不能访问分部生产业务。n 分部办公业务可以访问全网办公业务，不能访问总部或其他分部的生产业务。访问控制列表的另外一个重要作用是区分数据流，工程师可以使用访问控制列表来匹配感兴趣的数据流量，然后再由其他的网络协议或工具来对所匹配的数据流执行相应的动作。本设计方案中后面提到的网络地址转换技术的实现便需要利用到访问控制列表的此项功能。(2) 网络地址转换（NAT）：NAT是网络地址转换的简写，其功能是指在一个网络内部根据需要可以随便使用合法的保留IP地址，而不需要经过申请。可以简单的概括为;对于向外发出的数据包，NAT将源IP地址和源TCP、UDP端口号转换成一个公共的IP地址和端口号；对于流入内部网络的数据包，NAT将目的地址和TCP/UDP端口号转换为专有的IP地址和最初的TCP/UDP端口号。（什么是ACL技术，有何特点，本设计方案中在何设备上部署NAT技术。）(3) 通用路由器封装（GRE）GRE（Generic Routing Encapsulation，通用路由封装）协议是对某些网络层协议（如IP 和IPX）的数据报文进行封装，使这些被封装的数据报文能够在另一个网络层协议（如IP）中传输。GRE采用了Tunnel（隧道）技术，是 VPN（Virtual Private Network）的第三层隧道协议。IP隧道技术中使用的一种封装格式：把企业内部网的各种信息分组封装在内，可通过IP协议透明地穿过因特网，实现端点之间互连。（什么是ACL技术，有何特点，本设计方案中在何设备上部署GRE技术。）3.5 技术部署详细说明(1) 根据2.3节所示的XX公司网络拓扑，实现其全网联通性（IP地址分配、Vlan划分详见附录A）。(2) 总部交换网络STP部署：CS-CORE-1为所有VLAN的主根网桥。(3) 总部DHCP部署：CS-CORE-1为总部网络DHCP服务器，为总部各部门接入用户提供动态IP地址分配。(4) 郴州分部（分部一）交换网络STP部署：CZ-AES-1为所有VLAN的主根网桥。(5) 郴州分部（分部一）DHCP部署：CZ-R-1为郴州分部网络的DHCP服务器，为其各部门接入用户提供动态IP地址分配。(6) 吉首分部（分部二）交换网络STP部署：JS-AES-1为所有VLAN的主根网桥。(7) 吉首分部（分部二）DHCP部署：JS-R-1为吉首分部网络的DHCP服务器，为其各部门接入用户提供动态IP地址分配。(8) Internet接入与静态路由实施：要求只有办公业务所处网段才能访问Internet。 总部在CS-R-1上配置NAT与默认路由，下一跳指向公网出口对端IP地址；在CS-CORE-1上配置默认路由，下一跳指向CS-R-1；在CS-R-1上配置静态汇总路由，下一跳指向CS-CORE-1。 郴州分部在CZ-R-1上配置NAT与默认路由，下一跳指向公网出口对端IP地址； 吉首分部在JS-R-1上配置NAT与默认路由，下一跳指向公网出口对端IP地址。(9) 总部分部对接： 为节省前期网络建设投资成本，总部与分公司采用GRE隧道连通：(10) 业务流量访问控制： 在CS-R-1、CZ-R-1、JS-R-1上分别配置访问控制列表，以实现本方案中对流量控制的需求：n 总部办公业务可以访问全网办公业务，不能访问分部生产业务。n 分部办公业务可以访问全网办公业务，不能访问总部或其他分部的生产业务。(11) 总部服务器部署：在一台Windows 2003 Server上架设OA服务器，全网任何用户都 能通过IP访问OA服务器。第四章 网络实施方案4.1 项目实施步骤详细项目实施步骤与配置脚本见附录B4.2 项目实施管理4.3 测试与验收说明第五章 技术支持第六章 售后服务支持附录A VLAN及IP地址规划表1.1 VLAN规划(1) 总部VLAN规划：VLAN编号名称说明端口划分20SC生产业务S5: F0/5F0/821OA办公业务S5: F0/9F0/12300WG网管VLAN(2) 郴州分部（分部一）VLAN规划VLAN编号名称说明端口划分36SC生产业务S6: F0/5F0/837OA办公业务S7: F0/9F0/12(3) 吉首分部（分部二）VLAN规划VLAN编号名称说明端口划分44SC生产业务S8: F0/5F0/845OA办公业务S9: F0/9F0/12300WG网管VLAN1.2 IP地址规划本网采用先地区后业务划分方法进行IP地址分配。192.168 . 地址位(5位) 业务功能位(3位) . 子网位 主机位地区代码表：地址位代码地区IP地址段备注0骨干/21汇总：/201骨干（预留）/212总部/21汇总：/203总部（预留）/214分部1公司/215分部2公司/21业务功能代码表：业务功能位代码业务备注0三层设备Loopback地址12链路地址3二层交换机网管4生产业务5办公业务67保留IP地址分配表：设备接口IP对端设备对端接口对端IPCS-CORE-1Loopback0/32F0/1/30CS-R-1F2/0/30vlan 300/24 总部网管vlanvlan 20/24PC1（生产）vlan 21/24PC2（办公）CS-R-1Loopback0/32F1/0/28Internet/28CS-AES-1vlan 300/24网管地址CZ-R-1Loopback0/32F1/0/28Internet/28Tunnel0/30CS-R-1Tunnel0/30F2/0.300/24分部网管vlanF2/0.36/24PC3（生产）F2/0.37/24PC4（办公）CZ-AES-1vlan 300/24网管地址CZ-AES-2vlan 300/24网管地址JS-R-1Loopback0/32F1/0/28Internet/28Tunnel0/30CS-R-1Tunnel1/30F2/0.300/24分部网管vlanF2/0.44/24PC5（生产）F2/0.45/24PC6（办公）JS-AES-1vlan 300/24网管地址JS-AES-2vlan 300/24网管地址附录B 实施步骤及配置脚本1. 网络拓扑2. 具体实施细节2.1 基本信息配置2.1.1 设备命名：该项目方案里所用到的设备命名如下：二层交换机三层交换机路由器长沙总部CS-AES-1CS-CORE-1CS-R-1郴州分部CZ-AES-1CZ-AES-2CZ-R-1吉首分部JS-AES-1JS-AES-2JS-R-1注：设备命名格式：area-type-num；Area:表示所在地区的拼音的第一个大写字母,如:长沙为CS；Type:表示该设备的类型，是交换机还是路由器，如接入层交换机为AES(ACCESS)，核心层交换机为CORE（CORE LAYER）；路由器为R（ROUTER）Num:表示该设备的序列号，如：第一台设备为1；示例：SH-AES-1表示上海总部接入层1号交换机；2.1.2禁用域名解析配置：在这个项目方案中设备没必要用到域名解析，请关闭设备域名解析功能；2.1.3 CONSOLE及TELNET管理密码配置：从设备本身的安全性考虑来说，请为每台设备都配置CONSOLE及TELNET密码；2.1.4基本信息配置如下：长沙总部二层交换机：Switch#Configuration terminal /进入全局配置模式Switch(config)#Hostname CS-AES-1 /设备命名CS-AES-1 (config)# no ip domain-lookupCS-AES-1 (config)#line console 0CS-AES-1 (config-line)# logging synchronousCS-AES-1 (config-line)# no loginCS-AES-1 (config-line)# privilege level 15CS-AES-1 (config-line)#line vty 0 4CS-AES-1 (config-line)# no loginCS-AES-1 (config-line)# privilege level 15CS-AES-1 (config-line)# exitCS-AES-1#长沙总部三层交换机：Switch#Configuration terminalSwitch(config)#Hostname CS-CORE-1 /设备命名CS-CORE-1(config)# no ip domain-lookupCS-CORE-1(config)# ine console 0CS-CORE-1(config-line)#logging synchronousCS-CORE-1(config-line)# no loginCS-CORE-1(config-line)# privilege level 15CS-CORE-1(config-line)# line vty 0 4CS-CORE-1(config-line)# no loginCS-CORE-1(config-line)# privilege level 15CS-CORE-1(config-line)#exitCS-CORE-1# 长沙总部路由器：Router# Configuration terminalRouter(config)#hostname CS-R-1CS-R-1(config)# no ip domain-lookupCS-R-1(config-line)# ine console 0CS-R-1(config-line)# logging synchronousCS-R-1(config-line)# no loginCS-R-1(config-line)# privilege level 15CS-R-1(config-line)# line vty 0 4CS-R-1(config-line)# no loginCS-R-1(config-line)# privilege level 15CS-R-1(config-line)#exitCS-R-1# 郴州分部二层交换机1：Switch#Configuration terminal /进入全局配置模式Switch(config)#Hostname CZ-AES-1 /设备命名CZ-AES-1(config ) # no ip domain-lookupCZ-AES-1 (config-line)# ine console 0CZ-AES-1 (config-line)# logging synchronousCZ-AES-1 (config-line)# no loginCZ-AES-1 (config-line)# privilege level 15CZ-AES-1 (config-line)# line vty 0 4CZ-AES-1 (config-line)# no loginCZ-AES-1 (config-line)# privilege level 15CZ-AES-1 (config-line)#exit 郴州分部二层交换机2：Switch#Configuration terminal /进入全局配置模式Switch(config)#Hostname CZ-AES-2 /设备命名CZ-AES-2(config ) # no ip domain-lookupCZ-AES-2 (config-line)# ine console 0CZ-AES-2(config-line)# logging synchronousCZ-AES-2(config-line)# no loginCZ-AES-2 (config-line)# privilege level 15CZ-AES-2 (config-line)# line vty 0 4CZ-AES-2 (config-line)# no loginCZ-AES-2 (config-line)# privilege level 15CZ-AES-2 (config-line)#exit郴州分部路由器：Router# Configuration terminalRouter(config)#hostname CZ-R-1 /设备命名CZ-R-1(config)# no ip domain-lookupCZ-R-1(config-line)# ine console 0CZR-1(config-line)# logging synchronousCZ-R-1(config-line)# no loginCZ-R-1(config-line)# privilege level 15CZ-R-1(config-line)# line vty 0 4CZ-R-1(config-line)# no loginCZ-R-1(config-line)# privilege level 15CZ-R-1(config-line)#exitCZ-R-1# 吉首分部二层交换机1：Switch#Configuration terminal /进入全局配置模式Switch(config)#Hostname JS-AES-1 /设备命名JS-AES-1 (config-line)# ine console 0JS-AES-1 (config-line)# logging