网络实施方案

1 / 21 网络实施方案 XXX 集团信息网网络中心 技术实施方案 XX 有限公司 XX/2 目 录 1 概述 . 1-1 工程概述 . 1-1 项 目 设 备 列表 . 1-2 2 网络实施方案 . 2-3 2 / 21 网络整体设计 . 2-3 全 网拓扑 . 2-3 网 络 核 心 设计 . 2-3 新 大 楼 局 域网 . 2-4 城 域 网 和 广 域网 . 2-5 Internet 出口设计 . 2-5 OSPF 路 由 协 议 部署 . 3 / 21 2-7 OSPF 区域划分 . 2-7 OSPF 的 Cost 值设定 . 2-8 VPN 接入 . 2-9 部 署 用 户 认 证 方案 . 2-10 与 现 有 LDAP 认 证 方 式 的 融合 . 2-10 客 户 端 认证 . 2-12 部 署 端 点 准 入 方案 . 2-13 部署日志审计系统Xlog .4 / 21 . 2-15 部署 入 侵 检 测 方案 . 2-17 QOS设计 . 2-19 1 概述 工程概述 XXX 集团总部设置在杭州市区，下设几十个电厂和子公司，部分在杭州，部分在浙江其他城市。 XX 集团的子公司与总部互联，通过总部统一的 Internet 出口，形成以总部为中心辐射子公司的星形结构，实现信息的实时共享和动态管理以及数据、音频、视频三网合一 。 目前 XX 集团广域网采用星型网络拓扑结构，主要由两部分组成：一部分是子公司通过杭州电力 城域网，通过MSTP 或裸光纤方式连接到总部汇聚交换机，进而连接到总部的办公局域网；另一部分通过电力通信传输网的 SDH 的 E1，到总部的中心路由器做汇聚后，经防火墙进入办公网络。原网络的拓扑结构如下： 目前广域网和城域网上主要的应用是数据业务， IP5 / 21 电话和 Internet 访问，视频会议系统也将后续建设。 搬到新办公楼后， XX 集团总部将建设全新网络，广域网将进行相应的改造。 集团新大楼 XX 大厦地面 20 层，地下 2 层。 7、 8、 9三层为 XXX集团有限公司所属浙江东南发电股份有限公司办公地 点，有单独的中心机房。其余楼层为 XX 集团总部使用。 项目设备列表 本项目主要采用华为 3Com 的系列产品构建网络平台： 路由设备 交换设备 安全设备 无线接入设备 业务软件 Quidview 网管系统 1 套。 2 网络实施方案 网络整体设计 全网拓扑 网络核心设计 两台 S8512 分别与两台 1800F 形成千兆连接，中间串联防毒墙。任何从外网、城域网、广域网来的或者去往外网的流量必须经过防毒墙的 检查。 建议在两台防火墙 1800F 之间增加一条千兆连接，构成一个四边形的核心结构。这样的结构相对于防火墙之间没有连接的直线型结构更加稳定和健壮，不会因为某一段连6 / 21 接的失效而使 OSPF 骨干路由域 Area0 被分割。同时可以通过调整端口的 OSPF Cost 值来实现灵活的流量导向。 xxxxxx 网络项目 实 施 方 案 *技术有限公司 目 录 第 一 部 分 工 程 描述 . 3 第 二 部 分 网 络 拓 扑图 . 4 第 三 部 分 设 备清单 . 7 第 四 部 分 网 络 设 备 机 柜 布 局7 / 21 图 . 9 第 五 部 分 技 术 规划 . 11 核 心 交 换 机 Catalyst6509 和Catalyst4506 . 11 汇 聚 层 Catalyst2970 和 接 入 层 Catalyst2950 . 12 Cisco3845 安 全 路 由器 . 12 防 火 墙 模 块FWSM . 13 入 侵 检 测 模 块8 / 21 IDSM . 14 趋 势 防 病 毒 产品 . 15 网 强 网 管 软 件 及 PCMAIN 资 产 管 理 软件 . 18 网 络 安 全 规划 . 19 路 由 协 议 规划 . 21 VLAN 及 IP 地 址 规划 . 21 9 / 21 网 络 管 理 设置 . 25 设 备 名 和 口 令 设置 . 25 设 备 连线 . 26 第 六 部 分 项 目 组 及 项 目 进 度 安排 . 27 第七部分 网络应急方案 . . 31 第 八 部 分 参 考 配置 . 33 10 / 21 Trunk 协 议 的 配置 . 33 安全 VTP 域 的 配置 . 34 二层 VLAN 的配置 . 34 三层 VLAN 的配置 . 34 浮 动 静 态 路 由 的 配置 . 34 安 全 策 略 的 配置 .11 / 21 . 34 HSPR 协 议 的 配置 . 35 CBAC 配置 . 35 附表 1 ：设备连线表 . 36 实施方案认可表： . 45 第一部分 工程描述 宁波 xxxxx 股份有限公司是一家以铜加工为主的全国大型企业。 xxxxx 集团网络系统项目建设的总体目标是利用各种先进成熟的网络技术和通信技术，建设一个技术先12 / 21 进、扩展性强、安全性高的数据中心及主干网络。数据中心包括中心服务器和中心存储系统，同时通过网络系统将公司各种 PC 机、工 作站、终端设备和局域网连接起来，并与原有的网络系统、广域网相连，形成结构合理、内外沟通的企业网络系统，并在此基础上建立能满足企业办公、指挥协调和管理需要的软硬件环境，开发各类信息库和应用系统，为集团公司内工作的各类工作人员提供充分的网络信息服务。 *有限公司对这次参与实施 xxxxx 网络项目，能为 xxxxx 建设一个高速、安全的主干网络尽自己的微薄之力而感到非常荣幸，同时也深感责任重大。我们郑重承诺：一定把该系统建设好，完成集团领导交给我们的任务！ 第二部分 网络拓扑图 由于 xxxxx 网络较为复杂，且设备之间有多种的组合，我们设计了 2 种网络方案，其中方案 1 拓扑图如下： 主楼放置 2 台核心交换机 Catalyst6509 和Catalyst4506，两台核心交换机之间捆绑两条 1000M 光纤线路互联，配置 HSRP 互为热备来实现主交换之间的冗余，同时通过 ACL 来保证 VLAN 之间的安全互访，主楼中分布 7 台接入层交换机 Catalyst2950，分别通过 trunk 链路连接到Catalyst6509 和 Catalyst4506，实现接入层到核心层交换之间冗余，在 2 个侧楼各分布了 1 台 Catalyst2970 和 2 台Catalyst2950， Catalyst2970 通过光纤线路分别连接到13 / 21 Catalyst6509 和 Catalyst4506，实现汇聚层到核心层交换之间冗余，原老大楼网络主交换为一台 avaya 三层交换机，通过光纤线路连接到核心交换机，按照整体设计，老大楼需要拉两根光纤线路到中心机房，以达到新老大楼线路连接冗余，另有 4 个点通过改动后的光纤线路连接到核心交换机，需要安装共 4 台 cisco2950 交换机。 网络的主出口设备为 cisco3845，同时连接电信和网通的线路，内 部网络通过 cisco3845 做 NAT 地址转换来访问公网，在 cisco3845 上对两条线路做策略路由 通过合理的分配流量来实现线路的负载均衡，同时cisco3845 作为 VPN 服务器，各个分公司用户及移动用户通过 VPN 安全接入到内部网络，对内网服务器进行访问。在cisco3845 后面是 PCMAIN 行为监控设备，对内网上网的异常行为进行监控，拦截和限制非法收发的邮件，对内部网络上网的带宽进行限制，趋势防毒墙 NVW1200 接在 PCMAIN 后面，为透明模式，对所有经过这条链路的流量进行监测，防止网络病毒进入 内部网络，在 NVW 后面是 Catalyst6509 的防火墙模块 FWSM，这是网络中最重要的一道防护，我们将会配置严格的访问控制来保证网络的安全， FWSM 将配置为透明模式，以降低网络的复杂程度， Catalyst6509 上的 IDS 模块IDSM 对网络中的重要流量进行监控。 新增服务器群中每台服务器都分别接到核心交换机14 / 21 Catalyst6509 和 Catalyst4506 上以实现链路的冗余，趋势OFSC和 TMCM对内部网络中起着病毒防范和集中管理的作用，网强网管对所有网络设备进行集中管理， PCMAIN 服务器对xxxxx 中计算机资源进行管理，网络中 CISCO 的安全设备都通过 VMS 来集中管理。 xxxxx 很重视内部网络中对访问权限的控制，我们通过 ACS 与内网中的域控制器相结合，合理配置 ACS 来实现，ACS 主备服务器各一台，分别接在两台核心交换机上来达到冗余，防止其中一台服务器出现故障导致全网无法正常访问。 方案 2 如下图： 某代理国外机电产品的公司 网络工程项目方案 院系：计算机科学与技术 班级： 12 网络工程专升本 姓名：李赛一 学号 :201608120004 前言 . 2 一、项目概述 .15 / 21 . 2 1. 网 络 部 分 的 总 体 要求 : . 2 2. 系 统 部 分 的 总 体 要求： . 2 二 、 需 求 概述 . 0 三 、 网 络 需求 . 0 1 布 线 结 构 需求 . 1 2 网 络 设 备 需求 . 2 3 IP 地 址 规16 / 21 划 . 2 四 、 系 统 需求 . 5 1 系 统 要求 . 5 2 网 络 和 应 用 服务 . 7 WEB 服务 . 7 FTP 服务 . 7 邮件服务 .17 / 21 . 8 五、网络 安全需求 . 8 1 网 络 安 全 体 系 要求 . 8 2. 网 络 安 全 体 系 设计 . 9 前言 某代理国外机电产品的公司深刻认识到业务要发展、必须提高企业内部核心竞争力、而建立一个方便快捷安全的通信网络综合信息支撑系统，已迫在眉睫。根据项目要求来细化为可执行的详细需求分析说明书，主要为针对项目需求进行深入的分析，确定 详细的需求状况以及需求模型 ,作为制定技术设计方案、技术实施方案、技术测试方案、技术验收方案的技术指导和依据 一、项目概述 1. 网络部分的总体要求 : 18 / 21 公司信息化的要求 ,为各类应用系统提供方便、快捷的信息通路。 的性能，能够支持大容量和实时性的各类应用。 能够可靠的运行，较低的故障率和维护要求。 公司信息安全的要求。 2. 系统部分的总体要求： 易于配置：所有的客户端和服务器系统应该是易于配置和管理的，并保障客户端的方便使用； 更广泛的设备支持：所有操作系统及选择的服务应尽量广泛的支持各种硬件设备； 稳定性及可靠性：系统的运行应具有高稳定性，保障 7*24 的高性能无故障运行。 可管理性：系统中应提供尽量多的管理方式和管理工具，便于系统管理员在 任何位置方便的对整个系统进行管理； 更低的 TCO：系统设计应尽量降低整个系统和 TCO； 安全性：在系统的设计、实现及应用上应采用多种安全手段保障网络安全； 良好的售后服务支持。 除了满足上述的基本特征外，本项目的设计还应具有开放性、可扩展性及兼容性，全部系统的设计要求采用开放的技术和标准选择主流的操作系统及应用软件，保障系统能够适应未来几年公司的业务发展需求，便于网络的扩展和19 / 21 公司的结构变更。 二、需求概述 在设计方案时，无论是系统或网络都严格遵循以下原则，以保障方案能充分满足公司的需求。 先进性和实用性原则 高性能原则 经济性原则 可靠性原则 安全性原则 可扩展性原则 标准化原则 易管理性原则 三、网络需求 公司网项目必须实现以下的功能需求：建设一个通畅、高效、安全、可扩展的公司网络，支撑公司信息系统的运行，共享各种资源，提高公司办公和公司生产效率，降低公司的总体运行费用。网络系统必须运行稳定。 公司园区网需要满足公司各种计算机应用系统的大信息量的传输要求。 公司园区网要具备良好的可管理性。减轻维护人员的工作量，提高网络系统的运行质量。 公司园区网要具有良好的可扩展性。能够满足公司未来发展的需要，保护公司的投资。 整个项目的施工，系统集成商要精心组织、严格管理、定期提交各类项目文档。 在项目实施完 毕之后，系统集成商要对公司的相关人员进行培训，并移交全部的项目工程资料，保证公司园区20 / 21 网的正常运行和管理维护。 1布线结构需求 公司目前某代理国外机电产品的公司有一幢四层办公办事处，分别设立研发一部和研发二部，每部门 30 人左右，预计未来 5 年将增加到每部门 60 人，另外公司还设有人事部、营销部、企划部、财务部、秘书处和总经理办公室等，总体员工人数在 300 人左右。 公司在其他大城市派驻有 7 个办事处，负责产品销售、技术支持和产品调研等，需要给公司获取和反馈最新信息。光纤 +超五类综合布线系统，500 个左右信息点；公司计划为大部分的员工配置办公用计算机；公司目前有多种计算机应用系统。 4 层办公办事处，都具有一样的内部物理结构。一层设有本办事处