【《北京A有限公司办公局域网优化方案设计》13000字（论文）】

北京A有限公司办公局域网优化方案设计摘要现代社会是以网络化与数字化为核心的时代。信息技术已经成为信息科学的一个新的分支。企业网络系统为了满足企业的不断发展和员工对信息网络系统的要求，已经成为一个企业走向信息化的必然发展趋势，在满足企业办公和员工使用的同时使办公管理向智能化发展，并承载服务、财务管理、人力资源管理、项目管理、档案管理系统等多种应用。企业网络的规划设计是一项庞大的工程，不同的规划设计方案，将存在较大的性能差异，它不仅体现在网络技术特性上，也体现了不同用户的需求，而企业网络的建设将对企业的信息化的提高起到强有力的推动作用，同时提供高效、便捷的办公环境。目前企业现有网络已不能满足当前的业务需求，因此在原有网络基础上对该网络进行网络优化。本方案重新规划设计了企业网络拓扑结构，使整个网络结构更加规范、合理；更新了核心交换机和新的网络安硬件，核心层采用环形结构，使整个网络性能得到提升，并详细规划设计了IP地址，增加了终端网络接口，给以后的网络扩展留下了空间。同时也对网络安全进行了一些设计。关键字：Intenert、网络规划、IP地址、网络安全目录摘要 2目录 41. 第一章绪论 6选题背景 6可行性分析 6第二章现状及新增网络需求 7原有网络拓扑结构 7原有网络存在的问题 7新增网络业务分析 8新增信息点分布 9接入Internet环境 9网络安全需求 9第三章网络设计原则和目标 11网络设计原则 11网络建设目标 11第四章网络方案设计 13网络拓扑结构设计 13IP子网规划设计 13VLAN规划和调整 15Internet接入方式调整优化 16安全方案调整优化 16第五章设备选型及配置 18预算 18设备选型 19网络配置 23第六章网络方案实施 30布线方案设计 30网络安全配置 31网络测试 33升级后网络与升级前的对比 35第七章总结 37参考文献 38

第一章绪论选题背景有目共睹，IT技术已改变了现在人们的日常生活，它对我们的生活有着极其深刻的影响，尤其是在政府单位、企业公司、教学机构等，局域网的建设和规划尤为重要。在如今全球信息化的时代，近些年ICT发展速度迅猛飞快，电子商务、网络多媒体等应用持续改变着人们的生活。这一切都显示着万物互联时代的来临。但是，北京A有限公司网络规划与设备现状由于历史的种种原因导致方案技术相对陈旧，网络拓扑也存在着隐患，而且目前正在运行的硬件设备及网络结构已经远远不能胜任现在的使用需要。因此，必须对现有的网络环境做出一套针对目前企业发展状况的网络优化升级方案。可行性分析对该企业进行可行性分析，可行性分析如下：在网络设计时通过使用三层网络架构、OSPF路由技术配置。将会解决对核心网络干线的压力，增加了网络的高利用率；在企业内部按部门进行VLAN虚拟局域网划分，采用DHCP服务动态分配IP地址，针对不同的部门类型，制定相应的访问控制权限。针对服务器区域提供隔离区域的安全策略；控制网络广播风暴，方便地址管理和对非法用户访问进行有效控制和管理，增加了网络的安全性；建立防止DoS攻击平台。满足日常网络正常业务需求及日常用户上网需求；在企业办公区内部建立适当的光纤连接，每栋建筑内部都有弱电布线，从而有利于网络的使用和扩展；远程连接总部或分办事处采用VPN进行连接。提供了简单、安全的链接通道。

现状及新增网络需求原有网络拓扑结构 图2-1原有网络拓扑结构原有网络存在的问题原有网络存在着相对较大的网络运行稳定隐患，物理网络架构主要问题如下：网络架构中使用的层级设备有严重误区，比如核心设备用的不是核心交换机而是AC无线控制器，这种链接方式虽然可以正常使用网络，但存在着巨大的稳定性隐患。本应该作三层核心交换机的设备却做了汇聚层设备，而且右侧架构只有财务部在使用，并无其它部门使用。左侧无线网络架构中，不应该把服务器区域也归纳在里面，但实际应用中服务器确实在此架构中并正常使用网络。网络架构中也没有相关的邮件安全设备及网络流量监控设备，也没有做冗余技术，这样不仅公司邮箱系统没有安全保障，而且一旦被黑客攻击后，会造成网络设备大面宕机，从而使办公网络进入瘫痪状态。上述问题是物理网络架构中我们显而易见的问题，那么此网络架构中逻辑架构也存在着一些配置问题，主要问题如下：虚拟局域网络划分混乱，虽然已划分VLAN功能，但并没有按照统一管理思路进行划分，如同一个VLAN出现在多个不同交换机上。如果早期规划完善这种问题并不会出现。服务器区域并没有做VLAN或IP地址限制，即内网所有人只要知道服务器IP地址就可以登陆到内网服务器中，这无疑是增加了网络安全隐患。硬件防火墙设备只做了简单配置，并没有配置相关的安全策略及区域设置，也没有把内部服务端口，如OA、CRM等应用映射到公网为出差在外的同事提供服务。新增网络业务分析该企业于2016年实现了业务电子化和办公自动化，基本完成了全公司范围内的网络覆盖。但随着业务发展的多样化、复杂化，之前组建成的网络系统已经不能满足公司现在的业务需要及办公需求。之前的方案中缺少相应的网络管理设备，导致无法对异常流量进行处理和对Vlan进行调整。因此为了增强企业业务能力、提高企业经济效益、赋能企业信息安全及网络安全，对原有的网络进行优化已迫在眉睫。为了解决现有网络架构中存在的问题及后期网络扩容问题，我们决定在本次优化方案中重新调整网络架构及一些相关的功能配置，并且还会加入相关的网络安全设备及流量控制设备，确保后期公司网络不仅稳定运行，而且还可以保证公司可以持续增加办公网络用户的需求。新增信息点分布办公大楼主体为1000平米的平层，大部分区域是开放办公区域，副总及总经理为独立办公室，公共区域有贵宾室，茶水间等。不管是办公区域还是独立办公室，都需要有无线网络和有线网络的分布。序列无线信息点有线信息点备注旧5150新15300有预留表2-1办公楼信息点分布接入Internet环境对出口网络的连接需求主要是能够与Internet互联网连接，可与办公网内部进行数据通信。能够与国内相关单位进行数据信息交流。还能可满足公出同事、领导及其他公务人员及时与单位保持密切联络。为此应通过虚拟私有网络、无线网等公用或专用数据网络与总部进行连接，然后再将其连接到互联网。对办公楼的网络布线需要按照国际相关计算机网络通信标准进行设计。申请正式公网IP和企业域名，配置路由器及防火墙，安装服务器（资源存储、共享、Web服务），完成与Internet的连接，整体网络既可以在内部使用，又可与外部网络安全互联，从而实现与内外界数据交换。网络安全需求满足基本的网络安全需求，是公司网络成功运行的先决且必须的条件，在网络可正常运行的基础上提供高效的安全保障，是网络安全要求的重要原则。企业网络部署了众多的网络硬件设备及硬件服务器等，保护这些设备正常工作，维护业务系统的安全，是网络的基本安全要求。对于网络攻击和渗透，如何保证在高效的网络通讯下，抵御网络攻击，并且提供跟踪手段。网络安全要求主要表现如下：在网络运行正常时受到网络攻击的情况下，能够保证网络正常运行。保障网络管理信息及网络部署资料不被窃取。具备完整的入侵检测及追踪体系。访问控制列表：通过对特定网段、服务建立的访问控制列表，将绝大多数攻击阻止在进入内网之前；检查安全漏洞：通过对安全漏洞的检查，即便可被攻击，也可使绝大多数攻击无效；攻击检测：通过对特定网段建立的攻击监控系统，可实时检测出绝大多数的攻击，并采取相应行动（如切开网络连接、记录攻击信息、跟踪攻击源等动作）；加密通讯数据：主动的加密通讯数据，可使攻击者收集不到敏感信息；用户身份认证：良好的认证体系可防止攻击者伪装成合法用户身份；恢复和备份：良好的恢复和备份策略，可在攻击结束后迅速地恢复数据和系统服务功能；多层防御系统：攻击者在突破第一道关卡后，延缓或阻断其到达最终目标；内部信息脱敏：使攻击者就算拿到系统内部的基本信息情况也不能分析出准确信息；设立安全监测中心：为信息系统提供安全管理、监测，维护及紧急服务；

第三章网络设计原则和目标网络设计原则建设北京A有限公司的计算机网络系统原则上考虑到实用性、先进性、开放性、冗余性、可扩展性、安全性和可靠性等使A公司网络系统更合理、更经济、具有更良好的传输性能。网络实用性是建设的首要原则，此网络需要最大化的满足企业的需求，保证网络运行的质量，否则就会影响企业员工日常工作的效率及安全。该网络拓扑应能最大限度的满足公司各项业务的数据传输处理要求。网络先进性主要是对企业网络的设计理念、结构、软硬件设施以及技术等方面。这样才可能够为网络带来更高的性能和稳定性。开放性是指企业内部网络与外部网络的信息交换、技术交流等方面。它可以使企业在第一时间与外界进行交流使企业尽快的掌握行业之内领先的技术和思想。可靠性和完全性是认证整个企业网络系统正常运转的前提条件和基础。安全性是指企业内部商业机密的安全和数据访问以及数据传输的信息安全，使其避免非法访问和攻击。可靠性要保证网络系统能不间断的为企业提供服务，即使系统发生异常也要保证系统内信息的完整、正确和紧急恢复。网络建设目标建设一个能够满足A公司需求的网络。该企业的网络建设包含的每个部门有，生产部、销售部、研发部、系统集成部、采购部、后勤部、宣传部、财务部、人力资源部；本方案在网络系统建设的时候主要能做到以下几点： 即将部署的网络技术要符合国际标准。能结合网络厂商的设备及功能实现。能够适应公司的机构建制和业务工作流程，适应公司部门多、组织结构复杂特点，合理有效的进行网络规划。 使用的技术及设备要具有可扩展性和稳定性。 适应公司网络及信息流量大的情况，对信息流量做合理分流，实现高效的安全访问控制和运行管理体系，并能解决互联网络带来的一系列问题。 增加网络系统的运行可靠性，降低安全隐患，提供网络的可维护性。第四章网络方案设计网络拓扑结构设计图4-1网络拓扑图在A公司的网络建设中，主要分为两个主要区域，分别为员工办公区域和服务器DMZ区域，办公区是一些重要的办公室所在区域，这些部门分别是生产部、销售部、财务部、研发部、系统集成部、采购部、后勤部、人力资源部、宣传部、业务管理办公室。财务办公室是不允许非财务人员访问财务服务器的，系统集成部也不允许非部门人员可以访问VM虚拟机测试环境和存储服务器，并且DMZ区域除Web服务器可以让外部访问，其他服务器不可以直接被外部访问。IP子网规划设计根据第二章的业务需求分析，由于办公室各部门职能不同，将整个公司划分为多个子网。职能办公区域子网：每个部门都要分一个不同的子网，这样方便后期管理。DMZ区域子网：一些服务器不能对外开放，有的服务器可以对外开放。职能办公区域与独立办公室主大约有200个内网信息点，本次规划多出100个信息点，为日后持续的新进人员预留，每一个职能部门将在同一个交换机上，每一个部门也只划分为一个VLAN，这样分配不仅物理网络架构清晰可见，逻辑功能架构也清晰可见，方便日后网络运维同事进行运维工作。A办公网络子网划分级别网络地址子网数(24位)主机数地址范围A办公网络25665024/1654B服务管理网络328128/1954C基础设备41016/2254D网络设备1254/2454安防设备1254/2454办公设备1254/2454C服务器(内部)81016/2154DVM服务器2508/2454/2454基础服务1254/2454应用服务1254/2454B客户端网络6416256/1854C部门子网164064/2054D信息管理部1254/2454财务部1254/2454C无线网络164064/2054D无线办公网41016/2254无线来宾网络41016/2254C核心网络1254/2454表4-1IP子网规划VLAN规划和调整A办公网络VLAN规划和调整表VLAN网络地址备注100-490服务管理网络管理VLAN/19200基础设备策略LVAN/22200-290网络设备业务VLAN/24安防设备业务VLAN/24办公设备业务VLAN/24300服务器(内部)策略LVAN/21300-490VM服务器业务VLAN/24/24基础服务业务VLAN/24应用服务业务VLAN/24500-900客户端网络管理VLAN/18500部门子网策略LVAN/20500-650信息管理部业务VLAN/24财务部业务VLAN/24660无线网络策略LVAN/20660-740无线办公网业务VLAN/22无线来宾网络业务VLAN/22750核心网络策略LVAN/24表4-2VLAN规划设计表Internet接入方式调整优化本次使用DDN专线（数字数据网）接入，DDN专线是针对企业上网的一种Internet接入方式。它是随着当今通讯业务的发展而飞快发展起来的一种专用数字隧道网络系统。DDN的主干网传输介质主要是微波、光纤、信道等，如用户端较多，可使用双绞线和光纤。DDN将数字通信领域的重要技术有机地结合在一起，提供了高速、高质量、高稳定性的传输环境，可以向用户提供PtoP、PtoMP透明传输的数据专线线路。DDN的通信速率可根据用户实际需求在Nx64之间进行选择。本次接入方式与以往相同，只在带宽方面有所调整，之前用的专线网络带宽为100M，由于员工人数日益增长，有时还会使用线上会议软件开全员大会，导致100M带宽满载运行情况，所以本次决定把带宽提升为200M来保障后续的办公需求。安全方案调整优化企业防火墙被应用于内外部网络连接之间，用虚拟局域网技术，外部互联网对内部网络的访问首先要经过企业防火墙，企业防火墙对进入内部网络的数据内容进行各层次检查、控制、过滤和即时报警，从而确保网络的安全。 HuaWei的USG系列的企业防火墙向企业网络提供配置简单的特性和全方位的网络安全性。USG企业防火墙的核心是一种基于安全算法的保护方案，高效快速的对黑客隐藏客户端相应地址。USG的防火墙还具有执行速度快、操作简单的优点，同时也能有效改善地址不够用问题。 企业网络的安全非常重要它作为企业向内外实现业务交流的重要窗口。代表着企业的文化和形象，更重要是的一些重要信息关系到企业的发展和稳定等。所以必须具有很高的安全性能。它的具体表现为： 内部安全和外部安全（包括网络攻击、物理安全，环境安全、漏电保护等）具体的实施方法：在网络设备上配置ACL访问控制列表来防止 DOS的攻击。如有条件还可以加入一台IDS入侵检测设备应用硬件防火墙设备设置代理服务器。如有需要USG防火墙还可以建立VPN连接。按标准实现网络工程的实施（机房标准。三防，三度等） 加强企业内人员的安全意识。有效的防止携带计算机病毒进入或机密被泄露。增强信息安全性。本次我们不仅在功能配置上实现网络安全需求，还在网络物理架构中进行冗余配置。入侵检测及硬件设备信息运行数据监控体系我们在本次优化中并没用采用硬件设备，而是用LINUX系统服务搭建了一套完整的监控平台，在平台中可查看各个设备运行参数和状态，如有异常流量出现平台将会发送告警信息。安排网络安全工程师编辑针对公司业务的安全漏洞检查和攻击检测脚本，并键入监控平台，每日网络运维人员会根据日常运维项来检查平台日志与系统日志。数据加密通讯及用户身份认证，我们采用防火墙VPN方式来解决这两个问题，不仅安全便捷，也节省了企业成本。同时我们还创建了备份脚本，把所有的硬件配置及重要数据信息，实时同步到另一个数据中心中。在保证内外网络数据互通的同时，我们把数据进行了脱敏处理并且在硬件设备上，如防火墙及三层交换机上也做了多层防御配置。这样以来内部网络环境及数据会在相对安全的环境下与外部互联网进行数据交互。当然这套初期方案并不是最完美的，后期根据公司业务及公司发展需要仍会继续优化。

第五章设备选型及配置预算本次办公网优化项目预算为62W，因为之前设备有的可以做利旧处理所以本次采购将优先考虑利旧设备，目前旧设备的接入交换机及防火墙仍可以使用，所以本次新增设备除了部分网络设备外还会新增安全设备及服务器设备。 办公网络优化项目预算表序号预算科目名称本年预算数小计一季度二季度三季度四季度备注1一、经费支出（合计）626221、设备费6262需要单独填写明细清单3（1）购置设备费62624（2）试制设备费5（3）设备租赁费（或折旧）62、材料费73、测试化验加工费84、燃料动力费95、合作研发外协、外包费106、会议/差旅/国际合作交流费117、出版/文献/信息传播/知识产权事务费128、职工薪酬139、成果论证、评审、验收费（会议费、专家咨询费等）1410、租房场地租赁费1511、固定资产折旧1612、无形资产摊销1713、管理费18二、经费来源（合计）191、公司自筹经费202、政府补贴经费表5-1预算表设备费明细清单序号采购事由名称规格型号数量单价金额备注1内部网络核心交换机核心交换机24内部网络接入交换机接入交换机62办公网上网行为管理上网行为管理设备13反垃圾邮件系统反垃圾邮件设备15邮件系统前端服务器服务器26邮件系统后端服务器服务器27基础系统服务器服务器28文档管理系统服务器服务器1表5-2设备明细清单设备选型为保证北京A有限公司网络系统稳定高效运行并且符合本年度的采购预算，因此采用主流的网络产品，在如今众多的网络设备和安全设备厂商中，知名大厂有华为、思科、锐捷、华三、深度、深信服等，综合衡量各家厂商设备的技术特性，最终华为公司网络设备和应用方案具有较高的安全性和稳定性，且使用及维护起来相对容易。所以本次选择华为技术有限公司的网络设备。以下表格中只体现网络和安全相关的硬件设备。网络设备明细表序号厂商型号单位数量端口数量/类型端口速率配置参数备注1华为S6730台224*SFP10GE包转发率：720M/792Mpps

交换容量：2.4T/24Tbps双电源核心2华为S5735S-L48T4S-A台248个以太网端口，4个千兆SFP10/100/1000Base-T包转发率：87/166Mpps；

交换容量：432Gbps/4.32Tbps；双电源核心表5-3网络设备明细表安全设备明细表序号设备厂商型号单位数量配置参数备注1上网行为管理深信服AC-1000-B1190-ET台1性能参数：网络层吞吐量（大包）：3Gb，应用层吞吐量：300Mb，带宽性能：200Mb，IPSECVPN加密性能（最高性能）：50Mb，支持用户数：800，包转发率：27Kpps，每秒新建连接数：1600，最大并发连接数：80000。

硬件参数：规格：1U，内存大小：4G，硬盘容量：128GminisataSSD，电源：单电源，接口：4千兆电口。

功能描述：深信服上网行为管理AC拥有专业的用户认证与管理、应用控制、流量管控、行为审计等功能，结合行为感知平台BA，提供行为日志大数据分析能力，有效识别行为风险。(*1)；

含：深信服上网行为管理软件V12.0(*1)；URL&应用识别规则库升级(*3)；产品质保(*3)；软件升级(*3)；2邮件网关MailData台1垃圾邮件防御，病毒邮件防御，威胁邮件防御，邮件流控制，邮件审计，支持4~5G日均邮件流量，支持600用户，支持LDAP，Exchange，支持高可用。表5-4安全设备明细表核心层网络交换机选型核心层是网络中心，其主要目的是实现高性能数据传输和冗余。因此核心层设备应该实现高速率及高性能的传输，并且非常可靠，能实现24小时不间断工作。 本次方案选用两台华为S6730交换机作为核心交换机来连接各层接入交换机。华为S6730交换机是专为满足千兆数据和语音集成、可扩展、高可用、智能多层交换的不断增长需求而设计的。这些产品有效提供了广泛的智能数据交换解决方案，使内外部网络能够支持多媒体、关键数据和语音应用。华为S6730提供了出色的可扩展性和性能。作为华为组网体系结构的关键部分，S6730提供了超高的灵活性，使企业工程师能够快速部署。当设备应用智能和安全功能结合在一起时，将能够在不舍弃网络性能的情况下更有效地使网络为更多的客户端提供服务。汇聚层网络设备选型汇聚层是数台接入交换机的汇聚节点，它需要处理来自接入层用户的所有数据，因此汇聚层交换机需要更高的性能和更高的数据交换速率才能完成数据交换任务。本次方案为汇聚层网络留用旧拓扑中的两台华为S3700-28TP（AC）设备。华为S3700-28TP（AC）产品具有高安全性、便捷管理和集成性，还具有很高的扩展性，支持IP电话和超融合系统。工程师首次可以在整个网络中部署智能化服务，通过高性能路由功能实现了网络可扩展性，以满足未来的企业使用需求。产品支持热插拔使用，是目前为止使用最多的汇聚交换机。设备可以通过千兆接口上联到核心设备。S3700交换机具有高可用堆叠能力，通过增强多层软件镜像，可以提供多层交换等功能。它可以满足集群的高密度接入需要。这样的网络结构简单便捷，同时可伸缩的网络性能和网络规模为日后的网络环境变更提供了有利条件。接入层网络设备选型接入层是指网络中直接面向用户连接的部分。接入层的目的是允许终端用户根据不同的需求来连接到网络。接入交换机是较为常见的交换机，使用很广，尤其是在常规办公区域、小型机房、多媒体研发中心、Web管理中心等部门。在传输速率上，当今接入层交换机大都提供多个自适应能力接口。本次方案为接入层网络选择华为S5735S-L48T4S-A设备。华为S5735S-L48T4S-A交换机设备，可以为局域网提供高效的传输性能。这些自适应交换机接口能够提供强大的组播管理，可为中小型企业提供相对合理的解决方案，使他们能够利用现有的快速以太网交换机升级到更高性能的千兆位以太网设备。网络安全设备选型为了实现对内外网通讯信息数据安全过滤，本次方案继续沿用之前的HiSecEngineUSG6300E系列AI防火墙(盒式)企业级防火墙。USG6300E企业防火墙，可以实现一体化的保护作用，如集传统防火墙、VPN、入侵防御、防病毒、数据防泄漏、带宽管理、Anti-DDoS、URL过滤等多种功能于一身，全局配置视图和一体化策略管理，结合强有力的性能优势为终端网络安全提供入侵感知能力。此外，USG6300E企业防火墙安全网关具有低成本优势及部署简单、维护便捷的特点，使它在网络安全与组网方案中有着突出的优势。USG6300E企业防火墙还具有很高的流量吞吐能力，拥有数千个特征库，针对企业网络的实际需求，我们本次继续沿用此款防火墙。上网行为管理和安全邮件网关设备选型在公司领导的强烈要求下，以及公司业务背景下，本次新增深信服的上网行为管理设备及深度的邮件网关设备，行为管理设备主要检测内网使用情况以及异常流量数据，必要时候可以在不影响全网络的情况下阻断单一用户上网或做其它限制，这样不仅没有对全局网络造成影响还有效的控制了用户的危险行为。邮件网关设备主要为以后公司内部建设Exchange邮件系统所用，独立的邮件网关设备具有较强的威胁分析能力与病毒防御能力，同时也会为配合后期信息化AD域系统中的LADP及高提供便利条件。网络配置虚拟局域网配置及接口划分以下为办公区域的虚拟局域网划分配置，在接入层划分虚拟局域网，并将接入层交换机及交换机端口划入相应虚拟局域网，接入层的配置大部分相同，但是需要注意根据不同部门的交换机与虚拟局域网的不同，交换机编号和虚拟局域网的编号要做修改。SW1：<HuaWei>system-view[HuaWei]sysnameSwitch1[Switch1]vlan 10 [Switch2]vlan 20[Switch3]vlan batch3040[Switch5]vlan batch6070[Switch6]vlan batch8090 [Switch7]vlan batch100110[Switch8]vlan 120[Switch8]quit [Switch1]port-groupgroup-memberEthernet0/0/1toEthernet0/0/15[Switch1]portlink-typeaccess[Switch1]portdefaultvlan10[Switch2]port-groupgroup-memberEthernet0/0/1toEthernet0/0/15[Switch2]portlink-typeaccess[Switch2]portdefaultvlan20[Switch3]port-groupgroup-memberEthernet0/0/1toEthernet0/0/20[Switch3]portlink-typeaccess[Switch3]portdefaultvlan30[Switch8]port-groupgroup-memberEthernet0/0/1toEthernet0/0/20[Switch8]portlink-typeaccess[Switch8]portdefaultvlan120VLAN间路由SVI配置在两台三层核心交换机中配置SVI接口，为了实现VLAN间路由的功能SW1：interfaceVlanifXipaddressIPMASKinterfaceVlanifXipaddressIPMASKTRUNK配置接入层设备与汇聚成设备的链路要用TRUNK技术相连，同时汇聚层设备与核心层设备也需要TRUNK技术相连，这样可以保证划分VLAN可以顺利路由到相应的目的地。sw1：vlanbatchXXXXXXXXinterfaceEth-Trunk1portlink-typetrunkporttrunkallow-passvlanXXXXXX#interfaceEth-Trunk2portlink-typetrunkporttrunkallow-passXXXXXXsw2：interfaceEth-Trunk1portlink-typetrunkporttrunkallow-passvlanXXXXXXinterfaceGigabitEthernet0/0/2portlink-typetrunkporttrunkallow-passvlanXXXXinterfaceGigabitEthernet0/0/3portlink-typetrunkporttrunkallow-passvlanXXXXVRRP网关冗余设备配置本次方案在核心层采用网关冗余技术，通过虚拟局域网技术的通用配置，以及虚拟网关冗余技术的通用配置，实现不同路由设备间的互相备份，从而实现网关的冗余，保证了网络的安全性和可靠性。SW1:vlan150interfaceGigabitEthernet0/0/1[SW1-GigabitEthernet0/0/1]portlink-typetrunk[SW1-GigabitEthernet0/0/1]porttrunkallow-passvlanallSW2:Vlan150interfaceGigabitEthernet0/0/1[SW1-GigabitEthernet0/0/1]portlink-typetrunk[SW1-GigabitEthernet0/0/1]porttrunkallow-passvlanallvrrp配置:SW1:[SW1]interfaceVlanif10[SW1]vrrpvrid1virtual-ipXXX[SW1]vrrpvrid1priority105SW2:[SW2]interfaceVlanif10[SW2]vrrpvrid1virtual-ipXXXXXXSW1交换机在虚拟网关冗余组中为主路由即MASTER，SW2在虚拟网关冗余组中为备份路由即Backup。同理，汇聚层交换机SW1在虚拟网关冗余组为主交换机即MASTER，SW2在虚拟网关冗余组中为备份交换机即Backup，需要注意的是VLAN虚拟局域网以及虚拟网关冗余的命名。链路聚合SW1:interfaceeth-trunk1interfaceGigabitEthernet0/0/1eth-trunk1interfaceGigabitEthernet0/0/2eth-trunk1interfaceGigabitEthernet0/0/3eth-trunk1SW2:interfaceeth-trunk1interfaceGigabitEthernet0/0/1eth-trunk1interfaceGigabitEthernet0/0/2eth-trunk1interfaceGigabitEthernet0/0/3eth-trunk1DHCP动态IP获取，由于用户及设备数量较多，人工配置IP是不现实的，那么我们就需要设备自行分配IP给需要的用户。sw1：dhcpenableippoolagateway-listnetworkmaskdns-list14ippoolbgateway-listnetworkmaskdns-list14intvlanif10dhcpselectglobalintvlanif20dhcpselectglobalSTP生成树协议，用于计算机网络中树形拓扑结构建立，主要作用是防止网桥网络中的冗余链路形成环路工作，为了确保SW1是根桥，配置相关技术使得接入交换机连接终端接口收敛迅速。sw1:stppriority0接入交换机：sw：port-groupport-ggXXtoXXstpedged-portenablesw：port-groupport-ggXXtoXXstpedged-portenable接下来出口配置NAT，并确保所有用户都可以访问百度。内网OA服务器web服务需要被外网的用户访问。sw1：vlanXXintgiXXportlink-tyaccportdevlanXXintvlanXXipaddXX/MASK路由配置：sw1：iproute-static0去包路由FW:iproute-staticXXXX去包路由iproute-staticXXXXXX回包路由aclnumber2000rule5permitsourceXXXXXXinterfaceGigabitEthernet0/0/1natoutbound2000natserverprotocoltcpglobalXXXXwwwinsideXXXXwww（端口映射）OSPF技术配置,内部网络要实现VLAN间通讯是需要把自己的IP段告诉给邻居设备的，由于公司部门VLAN和网段较多，手动一条一条的配置路由不现实，我们采用OSPF技术来实现设备自学习路由条目。 SW1：ospf1area0networkXXXXXXXXnetworkXXXXXXXXnetworkXXXXXXXXSW2:ospf1area0networkXXXXXXXXnetworkXXXXXXXXnetworkXXXXXXXX最后所有设备功能配置完成后，我们还需要远程管理这些设备，企业所有设备都需要在任何位置都可以被telnet远程管理，所以我们还要再加一条特殊VLAN来做设备访问用管理网段：XXXX/24swx：vlan999intvlan999ipaddXXXXXXXX/24所有的汇聚和接入层交换机：iproute-static0XXXX给管理流量回包所有的路由器和交换机：aaalocal-useraaprivilegelevel3passwordcipher123local-useraaservice-typetelnetuser-interfacevty04authentication-modeaaasw1：ospf1area0networkXXXXXXXX

第六章网络方案实施布线方案设计布线施工，针对不同环境，要严格按照综合布线方案有关条款进行施工，提出以下几点要求，如有不达标要求须做返工处理。明线槽铺设：要求在无外力作用的情况下，保证10年以上15年以下的使用期限，因此对不同规格的线槽安装要求有不同的标准：线槽规格（mm）间隔（mm）螺钉标准（个）小于25×3015-251小于50×5015-302（错位安装）小于30×10015-303（错位安装）表6-1线槽规格表金属明槽安装原则上应使用托架（托架间隔1米至1.5米），不能安装托架的地段，每间隔15㎝-30㎝距离,安装三个固定螺钉,且要求错位安装；若为“S”型“Z”布管，拐弯时均需要安装过线盒，不易拐弯则用软管走线。暗管铺设：摄像头、广播设备、报警设备等此类的线槽均采用暗管铺设。原管能利用的尽最大可能采取利旧措施。垂直干线铺设方式：线缆在弱电系统中不允许打结和交叉，必须保持横平竖直。为了消除线缆受重力作用导致的位移，每间隔1.5米左右需打扎带一次，且使用“U”型夹固定。 布线的其它要求：线缆铺设涉及到电源、网线等，对铺设要求： （1）强弱电系统分开铺设；（2）强弱电系统中管路水平方方向走线时，至少保持10至30厘米的距离；（3）强弱电管路交叉垂直时必须套软管；（4）相关线缆的两端均需作线标；（5）网线、电源线中间不允许有续端接点；  施工注意事项：（1）仔细查阅施工图纸 施工前，须认真查阅其它专业的施工图纸，尤其是结构施工图和通风施工图。为水平子系统找出最合理的线路走向，这样既节省线缆长度，又避免与其它管路发生不必要的冲突。综合布线一般由专业的施工公司负责施工，施工方仅做管路预铺、线缆铺设，如果在施工中不遵循铺设原则，将会增加水平子系统的管线长度，不利于综合布线系统的通信能力、稳定性、传输速率的提高。 （2）施工中要满足设计裕量在实际施工中，不可能保证水平线缆一直保持直线方向路由，所以在安装中，需要的线缆总会预计的量大，这就需要电气工程师在设计时考虑一定的裕量。实际线缆平均长度的30%作为裕量。否则将会造成材料的浪费或不足。（3）使用高质量的线缆材料 在多数设计方案中，水平子系统是被设计在吊顶、墙体内的，可以认为水平子系统是不可更改的系统。在实施中，应尽量使用质量可靠的管路和线缆，保证用户日后出现不必要的故障。（4）严格遵守弱电布线规范 良好的施工质量，可使水平子系统在其正常工作周期内，始终保证良好夫人工作状态和稳定的性能，尤其通信线缆和光纤，施工质量的好坏对弱电系统的影响尤其重要，因此在施工中，要严格遵守弱电施工规范标准。网络安全配置终端用户病毒防御Windows提供了很多服务，我们需要禁止一些不必要的服务。Telnet就是一个比较典型的服务。微软官方这样解释：“允许用户远程登录到系统并可使用命令行控制程序。”建议禁止该服务。NetBIOS。Win系统还有很多服务。可以根据实际使用情况禁止某种服务。此做法可以减少安全隐患。系统补丁 Microsofe公司每个一段时间周期就会在官方网站发布相关漏洞补丁。这些漏洞补丁除了可以增强兼容性外，更重要的是修复已发现的安全漏洞。企业防火墙USG配置网络地址转换是把内网地址转换成临时的外网地址。它允许内部私有IP地址访问外部网络。在内外部网络互相访问时，会产生一条映射记录。网络地址转换技术将源地址和源端口号映射为另外一个地址和端口，用这个转换地址与外部网络连接。外部网络访问企业内部网络时，外部网络并不知道内部网络的地址情况。USG企业防火墙会根据预配置好的映射规则来判断这个访问是否合法。当条件符合规则时，将放行此次访问否则将拒绝此次访问。网络地址转换的过程对于用户来说是透明的，不需要终端用户进行设置。网络系统的保密措施配置 （1）服务器安全漏洞任何网络中安全性都不是绝对的，无论是Linux系统还是Windows系统都存在系统安全漏洞，官方会不定期发布系统漏洞补丁，系统管理员应定期下载并及时安装系统漏洞补丁。（2）管理员密码保护用户密码应使用大小写、数字、特殊字符混合方式设置，不能少于16位，同时要定期修改； 建立用户帐号锁定规则，当帐号密码校验错误若干次时，自动断开连接并锁定该帐号，如需解封需要管理员介入； （3）关闭不需要的系统服务端口。很多网络攻击程序是针对特定服务端口发起的。   常用的系统服务端口有：HTTP80端口，T