网络组建实施方案

网络组建项目网络组建项目 实实 施施 方方 案案 密级：受控 实施方案 第 1 页, 共 25 页 目目 录录 第一章第一章 项目概述项目概述.2 1.1 项目背景.2 1.2 项目目标.2 1.3 项目总拓扑图.2 第二章第二章 总体技术设计总体技术设计.3 2.1 设备列表.3 第三章第三章 详细技术设计详细技术设计.4 3.1 设备使用部署规划.4 3.1.1 设备命名规划.4 3.1.2 软件版本规划.4 3.1.3 端口描述规划（必选）.5 3.1.4 设备互联规划（可选）.5 3.2 IP 地址规划（必选）.6 3.2.1 管理地址规划.7 3.2.2 互联地址规划.7 3.2.3 业务地址规划.7 3.3 详细配置说明.8 3.3.1 行政部.8 3.3.2 财务部.11 3.3.3 业务部.15 3.3.4 核心.22 密级：受控 实施方案 第 2 页, 共 25 页 第一章第一章 项目概述项目概述 注： “必选”为必须包含的章节，内容自定， “可选”为不需要时可删除的章节。 蓝色字体为举例或内容提示，正式方案中不应出现“必选” 、 “可选”等字样和蓝色字 体，对于部涉及的章节内容需要删除。在进行实施方案撰写中，可以对模版格式及内 容进行调整，但对必须要求的内容不得删减。 1.1 项目背景项目背景 北京实创公司，由于工作需要，需组建公司网络，公司内部有 3 个大部门，行政 部、财务部、业务部。行政部 15 人，财务部 20 人，业务部 100 人。规模不大但是对 网络安全要求很高。 1.2 项目目标项目目标 根据北京实创公司网络组建要求，实施后的网络应符合要求功能，公司出差员工 可以远程访问企业内网资源。实创公司内网的 web 服务器对外网用户提供交易平台， 需要保障安全性，web 服务器无需主动访问 internet。财务部门要求高安全性，主机 间不能互访。业务部门要求 7*24 小时的业务不间断。行政人员可以网管全网设备。企 业网内接入区域保证安全性，防止非法用户接入；防病毒、防攻击。内网的用户均为 内网的 DHCP 服务器分配地址。员工上班时间（周一到周五的早 9 点至晚 6 点）不能访 问视频、购物、炒股网站，其余网络资源无限制访问。 1.3 项目总拓扑图项目总拓扑图 密级：受控 实施方案 第 3 页, 共 25 页 192.168.4.254/24 电信2M 联通4M 200.100.1.0/24 61.1.1.0/24 S8610 RG-WALL 1600M 192.168.10.17/30 192.168.10.18/30 192.168.10.9/30 192.168.10.13/30192.168.10.1/30 192.168.10.5/30 192.168.10.2/30 192.168.10.6/30 Vlan 20 192.168.2.0/24 业业务务部部 Vlan 10 192.168.1.0/24 行行政政部部 S5750-1 管理VLAN1000 192.168.254.1 S2628E-1 管理VLAN1000 192.168.254.2 S2628E-2 管理VLAN1000 192.168.254.10 S5750-2 管理VLAN1000 192.168.254.9 192.168.1.254/24192.168.2.254/24 G0/24G0/24 192.168.3.254 192.168.3.252 192.168.10.14/30 192.168.3.253 Vlan 30 192.168.3.0/24 业业务务部部 S5750-4 管理VLAN1000 192.168.254.25 S5750-3 管理VLAN1000 192.168.254.17 S2628E-7 管理VLAN1000 192.168.254.22 S2628E-6 管理VLAN1000 192.168.254.21 S2628E-5 管理VLAN1000 192.168.254.20 S2628E-4 管理VLAN1000 192.168.254.19 S2628E-3 管理VLAN1000 192.168.254.18 G0/22G0/22 G0/23G0/23 G0/24 G0/24 192.168.10.10/30 RG-WALL 1600E-V 192.168.4.1/24 192.168.4.2/24 WEB服务器 DHCP服务器 服服务务器器区区 第二章第二章 总体技术设计总体技术设计 设备列表设备列表 名称详细描述数量 RG-EG1000C用作出口路由器和流量控制1 RG-WALL 1600-CC用作防火墙，防止外部网络入侵1 RG-S8610用作核心交换机1 RG-S5750用作汇聚交换机2 RG-S2628G-E用作接入用户交换机7 惠普刀片服务器 用作 DHCP 服务器和 WEB 服务器2 密级：受控 实施方案 第 4 页, 共 25 页 第三章第三章 详细技术设计详细技术设计 3.1 设备使用部署设备使用部署规划规划 3.1.1 设备命名设备命名规划规划 核心主干网设备命名规范 主干核心 层 RG-S8610实创公司核心节点 hexin 实创公司行政部节点Xingzhengbuhuiju 实创公司财务部节点caiwubuhuiju 实创公司业务部节点Yewubuhuiju1 主干汇聚 层 RG-S5750 实创公司业务部节点Yewubuhuiju2 实创公司行政部用户节点Xingzhengbujieru1 实创公司财务部用户节点Caiwubujieru1 实创公司业务部用户节点Yewubujieru1 实创公司业务部用户节点Yewubujieru2 实创公司业务部用户节点Yewubujieru3 实创公司业务部用户节点Yewubujieru4 功能接入 层 RG-S2628 实创公司业务部用户节点Yewubujieru5 3.1.2 软件版本软件版本规划规划 记录根据版本导入系统确定结果明确的本次项目中设备使用的具体版本。 设备类型软件版本备注 RG-S8610RGOS-10.3(4)release（25189） RG-S5750RGOS 10.4(2T53) Release() RG-S2628G-ERGOS 10.4(2b2) Release() 密级：受控 实施方案 第 5 页, 共 25 页 3.1.3 端口描述端口描述规划（必选）规划（必选） 为便于识别和维护，定义 VLAN 和 VLAN 端口、物理端口描述的规则如下： 交换机之间互联用 VLAN、VLAN 接口的描述规则为： TO_设备名称_端口编号_V+VLAN ID 例如：本 VLAN 连接 xxx 交换机 01 的 GE1/1 端口，VLAN 号是 100，描述为： TO_Core-RUIJIE-S8610-01_GE1/1_V100。 (1)行政部 TO_S5750-1_G0/24_V10。 (2)财务部 TO_S5750-2_G0/24_V20。 (3)业务部 TO_S5750-3_G0/24_V30。 3.1.4 设备互联设备互联规划（可选）规划（可选） 设备互联规范主要对各种网络设备的互联进行规范定义，在项目实施中，如用户 无特殊要求，应根据规范要求进行各级网络设备的互联，统一现场设备互联界面，结 合规范的线缆标签使用，使网络结构清晰明了，方便后续的维护。 例： 1、平级设备互联 项目说明 平级设备之间的互联是指核心与核心之间、汇聚与汇聚之间等位于同一网络逻辑 区域的设备之间的互联。 项目要点 同级设备互联使用设备最后（端口编号最大）的接口进行互联，宜采取 AP 捆绑 的方式进行，端口从大到小依次接入； 密级：受控 实施方案 第 6 页, 共 25 页 对于柜式设备在遵循上一条规范时，板卡选择的方式为：从最大的板卡开始； 2、上级设备互联 项目说明 与上级设备之间的互联主要是指汇聚与核心之间、接入与汇聚之间等位于不同网 络逻辑区域的设备之间的互联。 项目要点 同上级设备互联时使用设备最后（端口编号最大）的接口进行互联，宜采取 AP 捆绑的方式进行，端口从大到小依次接入； 对于柜式设备在遵循上一条规范时，板卡选择方式为：从最大的板卡开始； 如网络中存在设备间互联情况，先满足设备互联需求； 3、下级设备互联 项目说明 与下级设备之间的互联主要是指汇聚与接入之间、核心与汇聚之间等位于不同网 络逻辑区域的设备之间的互联。 项目要点 同下级设备互联时使用设备最前（端口编号最小）的接口进行互联，可采取 AP 捆绑的方式进行，端口从小到大依次接入； 对于柜式设备在遵循上一条规范时，板卡选择方式为：从最大的板卡开始； 3.2 IP 地址规划（必选）地址规划（必选） 描述项目 IP 地址规划（此章节可根据项目实际情况进行内容调整，但需涉及到要 求内容） xxx 网络项目涉及广域网、局域网、外联网三个区域，其中广域网使用 xxx 段地 址，局域网使用 xxx 段地址，外联网使用 xxx 段地址。 密级：受控 实施方案 第 7 页, 共 25 页 3.2.1 管理地址规划管理地址规划 记录项目设备管理地址。例： 序号设备名称管理地址设备描述 1S5750-1192.168.254.1/29行政部汇聚交换机 2S2628G-E192.168.254.2/29行政部接入交换机 3S5750-2192.168.254.9/29财务部汇聚交换机 4S2628G-E192.168.254.10/29财务部接入交换机 5S5750-3192.168.254.17/29业务部汇聚交换机 6S5750-4192.168.254.25/29业务部汇聚交换机 7S2628G-E192.168.254.18/29业务部接入交换机 8S2628G-E192.168.254.19/29业务部接入交换机 9S2628G-E192.168.254.20/29业务部接入交换机 10S2628G-E192.168.254.21/29业务部接入交换机 11S2628G-E192.168.254.22/29业务部接入交换机 12S8610192.168.254.33/29核心交换机 13RG-WALL 1600-CC192.168.254.34/29防火墙 14EG192.168.254.41/29出口流控设备 3.2.2 互联地址规划互联地址规划 广域网设备的互联地址使用(电信)200.100.1.0/16 和(联通)61.1.1.0/24 网段。 序号本端设备本端地址对端设备对端地址掩码 1EG200.100.1. 1/24路由器200.100.1. 2/2424 2EG61.1.1.1/24路由器61.1.1.2/2424 局域网设备的互联地址使用 192.168.10.0/30 网段。 序号本端设备本端地址对端设备对端地址掩码 1EG192.168.10.18核心 S8610192.168.10.1730 2核心 S8610192.168.10.1行政部汇聚 S5750-1192.168.10.230 3核心 S8610192.168.10.5财务部汇聚 S5750-2192.168.10.630 4核心 S8610192.168.10.9财务部汇聚 S5750-3192.168.10.1030 5核心 S8610192.168.10.13财务部汇聚 S5750-4192.168.10.1430 3.2.3 业务地址规划业务地址规划 业务地址使用 192.168.0.0/24 网段。 序号业务部门Vlan 地址地址段掩码 1行政部Vlan10192.168.1.0/2424 2财务部Vlan20192.168.2.0/2424 密级：受控 实施方案 第 8 页, 共 25 页 3业务部Vlan30192.168.3.0/2424 4服务器区Vlan40192.168.4.0/2424 3.3 详细配置说明详细配置说明 3.3.1 行政部行政部 (1) 行政部汇聚交换机脚本 en conf hos S5750E-1 vlan 10 vlan 1000 exi int vlan 1000 ip add 192.168.254.1 255.255.255.0 exi line vty 0 4 login local exi username liuliang password liuliang enable password liuliang service password-encryption int f0/24 swi mode trunk exi int vlan 10 ip add 192.168.1.254 255.255.255.0 exi 密级：受控 实施方案 第 9 页, 共 25 页 access 100 permit tcp 192.168.1.0 0.0.0.255 host 192.168.254.1 eq telnet access 100 deny tcp any host 192.168.254.1 eq telnet access 100 permit ip any any int f0/23 ip access-group 100 in exi int f0/24 ip access-group 100 in no swi ip add 192.168.10.2 255.255.255.252 exi router ospf 1 network 192.168.1.0 0.0.0.255 area 0 network 192.168.10.2 0.0.0.3 area 0 exi service dhcp ip helper-address 192.168.4.2 (2) 行政部接入交换机脚本 en conf hos S2628E-1 vlan 10 vlan 1000 exi int vlan 1000 ip add 192.168.254.2 255.255.255.0 密级：受控 实施方案 第 10 页, 共 25 页 exi ip default-ga 192.168.254.1 line vty 0 4 login local exi username liuliang password liuliang enable password liuliang service password-encryption int f0/24 swi mode trunk exi int range f0/1-23 swi acc vlan 10 exi access 100 permit tcp 192.168.1.0 0.0.0.255 host 192.168.254.2 eq telnet access 100 deny tcp any host 192.168.254.2 eq telnet access 100 permit ip any any int f0/24 ip access-group 100 in exi spanning-tree errdisable recovery interval 120 int range f0/1-23 switchport port-security switchport port-security maximum 4 switchport port-security violation restric 密级：受控 实施方案 第 11 页, 共 25 页 exi ip dhcp snooping int f0/24 ip dhcp snooping trust exi int range f0/1-23 ip verify source port-security arp-check spanning-tree bpduguard enable exi 3.3.2 财务部财务部 (1) 财务部汇聚交换机脚本 en conf hos S5750E-2 vlan 20 vlan 1000 exi int vlan 1000 ip add 192.168.254.9 255.255.255.0 exi line vty 0 4 login local exi username liuliang password liuliang 密级：受控 实施方案 第 12 页, 共 25 页 enable password liuliang service password-encryption int f0/24 swi mode trunk exi int vlan 20 ip add 192.168.2.254 255.255.255.0 exi access 100 permit tcp 192.168.1.0 0.0.0.255 host 192.168.254.9 eq telnet access 100 deny tcp any host 192.168.254.9 eq telnet access 100 permit ip any any int f0/23 ip access-group 100 in exi int f0/24 ip access-group 100 in no swi ip add 192.168.10.6 255.255.255.252 exi int f0/23 swi mod trunk exi router ospf 1 network 192.168.2.0 0.0.0.255 area 0 network 192.168.10.6 0.0.0.3 area 0 exi 密级：受控 实施方案 第 13 页, 共 25 页 service dhcp ip helper-address 192.168.4.2 (2) 财务部接入交换机脚本 en conf hos S2628E-2 vlan 20 vlan 1000 exi int vlan 1000 ip add 192.168.254.10 255.255.255.0 exi ip default-ga 192.168.254.9 line vty 0 4 login local exi username liuliang password liuliang enable password liuliang service password-encryption int f0/24 swi mode trunk exi int range f0/1-23 swi acc vlan 20 exi access 100 permit tcp 192.168.1.0 0.0.0.255 host 192.168.254.10 eq telnet 密级：受控 实施方案 第 14 页, 共 25 页 access 100 deny tcp any host 192.168.254.10 eq telnet access 100 permit ip any any int f0/24 ip access-group 100 in exi spanning-tree errdisable recovery interval 120 int range f0/1-23 switchport port-security switchport port-security maximum 4 switchport port-security violation restric exi ip dhcp snooping int f0/24 ip dhcp snooping trust exi int range f0/1-23 ip verify source port-security arp-check spanning-tree bpduguard enable switchport protected exi 3.3.3 业务部业务部 (1) 业务部汇聚交换机脚本 密级：受控 实施方案 第 15 页, 共 25 页 en config hostname yewubuhuiju1 service dhcp ip helper-address 192.168.4.2 int range g0/1-5 switchport mode trunk exit int g0/24 no switchport ip add 192.168.10.10 255.255.255.252 exit vlan 30 int vlan 30 ip add 192.168.3.252 255.255.255.0 vrrp 30 ip 192.168.3.254 vrrp 30 priority 120 vrrp 30 track g0/24 30 exit spanning-tree spanning-tree mode mstp 密级：受控 实施方案 第 16 页, 共 25 页 spanning-tree mst 30 priority 4096 spanning-tree mst configuration instance 30 vlan 30 exit int range g0/22-23 port-group 30 exit int aggregate 30 switchport mode trunk exit vlan 1000 int vlan 1000 ip add 192.168.254.17 255.255.255.248 exit access 100 permit tcp 192.168.1.0 0.0.0.255 host 192.168.254.17 eq telnet access 100 deny tcp any host 192.168.254.17 eq telnet access 100 permit ip any any line vty 0 4 login local access-class in exit 密级：受控 实施方案 第 17 页, 共 25 页 enable password liuliang username liuliang password liuliang service password-encryption route ospf 1 network 192.168.254.16 0.0.0.7 area 0 network 192.168.10.8 0.0.0.3 area 0 network 192.168.3.0 0.0.0.255 area 0 exit wr (2) 业务部汇聚交换机脚本 en config hostname yewubuhuiju2 service dhcp ip helper-address 192.168.4.2 int range g0/1-5 switchport mode trunk exit int g0/24 no switchport ip add 192.168.10.14 255.255.255.252 exit 密级：受控 实施方案 第 18 页, 共 25 页 spanning-tree spanning-tree mode mstp spanning-tree mst 30 priority 8192 spanning-tree mst configuration instance 30 vlan 30 exit vlan 30 int vlan 30 ip add 192.168.3.253 255.255.255.0 vrrp 30 ip 192.168.3.254 vrrp 30 priority 100 vrrp 30 track g0/24 30 exit int range g0/22-23 port-group 30 exit int aggregate 30 switchport mode trunk exit vlan 1000 int vlan 1000 ip add 192.168.254.25 255.255.255.248 exit 密级：受控 实施方案 第 19 页, 共 25 页 access 100 permit tcp 192.168.1.0 0.0.0.255 host 192.168.254.25 eq telnet access 100 deny tcp any host 192.168.254.25 eq telnet access 100 permit ip any any line vty 0 4 login local access-class in exit enable password liuliang username liuliang password liuliang service password-encryption route ospf 1 network 192.168.254.24 0.0.0.7 area 0 network 192.168.10.12 0.0.0.3 area 0 network 192.168.3.0 0.0.0.255 area 0 exit exit wr (3) 业务部接入交换机脚本 en config hostname yewubujieru1 密级：受控 实施方案 第 20 页, 共 25 页 vlan 30 vlan 1000 int vlan 1000 ip add 192.168.254.18 255.255.255.248 exit access 100 permit tcp 192.168.1.0 0.0.0.255 host 192.168.254.18 eq telnet access 100 deny tcp any host 192.168.254.18 eq telnet access 100 permit ip any any line vty 0 4 login local access-class in exit enable password liuliang username liuliang password liuliang service password-encryption ip default-gateway 192.168.254.17 int range f0/1-22 switchport access vlan 30 exit int range f0/23-24 switchport mode trunk 密级：受控 实施方案 第 21 页, 共 25 页 exit spanning-tree spanning-tree mode mstp errdisable recovery interval 120 int range f0/1-22 switchport port-security switchport port-security maximum 10 switchport port-security violation restric exi ip dhcp snooping int range f0/23-24 ip dhcp snooping trust exi int range f0/1-22 ip verify source port-security arp