集團網(wǎng)絡組建方案分析與設計.doc

精品文檔目錄一 網(wǎng)絡工程實踐目的及要求二 問題陳述三 需求分析四 設計原則和總體規(guī)劃 五 詳細設計六 結(jié)果及測試七 總結(jié)及展望一 網(wǎng)絡工程實踐目的及要求網(wǎng)絡工程是指按計劃進行的網(wǎng)絡綜合性工作。網(wǎng)絡工程實踐培養(yǎng)學生掌握網(wǎng)絡工程的基本理論與方法以及計算機技術(shù)和網(wǎng)絡技術(shù)等方面的知識，能運用所學知識與技能去分析和解決相關(guān)的實際問題。成為可在信息產(chǎn)業(yè)以及其他國民經(jīng)濟部門從事各類網(wǎng)絡系統(tǒng)和計算機通信系統(tǒng)研究、教學、設計、開發(fā)等工作的高級科技人才。通過網(wǎng)絡工程實踐課程的學習，系統(tǒng)地掌握計算機網(wǎng)絡和通信網(wǎng)技術(shù)領(lǐng)域的基本理論、基本知識；掌握各類網(wǎng)絡系統(tǒng)的組網(wǎng)、規(guī)劃、設計、評價的理論、方法與技術(shù)；獲得計算機軟硬件和網(wǎng)絡與通信系統(tǒng)的設計、開發(fā)及應用方面良好的工程實踐訓練，特別是應獲得較大型網(wǎng)絡工程開發(fā)的初步訓練。二 問題陳述大明集團是一家高科技股份制企業(yè)，成立于1996年，總部位于廣東省廣州市。主要產(chǎn)品有太陽能熱水器、全玻璃真空管、太陽能熱水系統(tǒng)、溫屏節(jié)能玻璃等四大系列。大明集團以其產(chǎn)品的不斷創(chuàng)新和過硬的質(zhì)量，多次獲得消費者信得過產(chǎn)品、專利創(chuàng)新獎等國家級獎項。 該集團共用系列信息系統(tǒng)：一套oa系統(tǒng)，一套生產(chǎn)管理信息系統(tǒng)，一套財務系統(tǒng)，一個對外宣傳的網(wǎng)站。 大明集團按照地理位置，分為3塊 第一區(qū)域：總部，位于廣州市天河區(qū)，租用某甲級寫字樓3層 第一層：前臺接待處，行政管理經(jīng)理辦公室，行政管理辦公室，人力資源辦公室；財務部經(jīng)理辦公室，財務部辦公室； 第二層：營銷管理經(jīng)理辦公室，內(nèi)貿(mào)部辦公室，外貿(mào)部辦公室第三冊：董事長辦公室，總經(jīng)理辦公室，會議室 第二區(qū)域：北方銷售及售后中心，位于北京市朝陽區(qū)，租用某甲級寫字樓3 第一層：中心銷售主任辦公室，內(nèi)貿(mào)部辦公室，外貿(mào)部辦公室 第二層；中心售后主任辦公室，售后辦公室，中心財務主任辦公室，財務辦公室 第三層：中心主任辦公室，行政辦公室，會議室 第三區(qū)域：生產(chǎn)中心，位于廣州市番禺區(qū)大石鎮(zhèn)。 辦公樓： 第1層：生產(chǎn)管理部（主任室，管理1，管理2，管理3，管理4） 第2層：財務部（主任室，管理會計，成本會計，出納） 第3層：銷售部（主任室，內(nèi)貿(mào)部，外貿(mào)部），售后部（主任室，售后1部，售后2部） 第4層：質(zhì)管部（主任室，質(zhì)管1部，質(zhì)管2部，質(zhì)管3部，質(zhì)管4部） 第5層：生產(chǎn)中心（總經(jīng)理室，副總經(jīng)理1，副總經(jīng)理2）行政管理部（主任室，行政管理1，行政管理2） 科技樓： 第1層：研發(fā)中心主任室，實驗中心主任室，中心機房（總控室） 第2層：研發(fā)1部，研發(fā)2部 第3層：研發(fā)3部，研發(fā)4部 第4層：實驗1部，實驗2部 第5層：實驗3部，實驗4部接待樓：共6層，1-2層產(chǎn)品展示區(qū)，3-5層培訓住宿，6層會議室 第1-2層，分4個產(chǎn)品展示區(qū)，每層約200平米 第3-5層，每層12個房間，標準雙人間，用于培訓、接待 第6層，大會議室 宿舍樓1：共6層，每層12個房間，每個房間4人 宿舍樓2：共6層，每層12個房間，每個房間4人 宿舍樓3：共6層，1-3層，每層12個房間，每個房間2人 4-6層，每層12個房間，每個房間1人 廠房1：共2層，每層面積400平米，每層約80人工作 廠房2：共2層，每層面積400平米，每層約80人工作 廠房3：共2層，每層面積400平米，每層約80人工作 廠房4：共2層，每層面積400平米，每層約80人工作 倉庫1：共2層，每層面積400平米，每層約20人工作 倉庫2：共2層，每層面積400平米，每層約20人工作三 需求分析*集團網(wǎng)絡建設具體需求如下：1）網(wǎng)絡應該擁有高速的Internet接入出口；2）網(wǎng)絡必須能提供DNS、WWW、FTP、E-mail、等多項Internet服務；3）網(wǎng)絡能實現(xiàn)企業(yè)范圍內(nèi)的自動辦公和管理，以及信息資源的共享；4）只有財務處才可以訪問財務系統(tǒng)；5）整個企業(yè)主干網(wǎng)絡實現(xiàn)千兆傳輸，而樓內(nèi)根據(jù)需要選擇千兆或百兆，做到百兆到桌面；6）網(wǎng)絡能夠使企業(yè)總部園區(qū)和各分支機構(gòu)的網(wǎng)絡實現(xiàn)安全可靠的傳輸；7）網(wǎng)絡要求達到一定級別的安全性，確保信息資源的可用性和安全性；8）網(wǎng)絡在管理上擁有靈活的、安全的管理模式，做到分級別、分權(quán)限、分地點的管理；四 設計原則和總體規(guī)劃1、設計原則*集團的信息化建設是對于各項業(yè)務正常穩(wěn)定進行的保證，信息化網(wǎng)絡的設計必須充分考慮企業(yè)對使用的技術(shù)和設備的要求，要遵循功能性、實用性、兼容性、前瞻性、安全性、擴展性和經(jīng)濟性的原則。1）遵循以企業(yè)功能性需求為前提堅持以*集團具體需求為網(wǎng)絡方案設計的根本和前提，同時也要注重源于目前需求而又高于目前求的原則，注意用專業(yè)化的技術(shù)思想進行集團網(wǎng)絡的規(guī)劃與設計，確保網(wǎng)絡的實用性、先進性和便于擴展性。2）追求高性價比的原則選擇最好的設備不一定是最佳的方案。成本因素也是一個方案設計必須考慮的問題，選擇設備時必須考慮性價比，采用性價比高的設備的方案才是一個優(yōu)秀的方案。3）設備選型兼顧原則設備選型應滿足*集團對現(xiàn)代化管理手段的要求；滿足集團信息化網(wǎng)絡建設的要求；所選設備在國際上保持技術(shù)先進性；供應商有良好的商業(yè)信譽和優(yōu)質(zhì)的售后服務。4）技術(shù)應用全面原則在技術(shù)應用方面，應全面考慮其實用性、先進性、開放性、可擴充性、可靠性、安全保密性及友好性。5)堅持標準原則*集團網(wǎng)絡的設計和施工，均要嚴格遵循國際和國家標準。要著眼未來，要與日后技術(shù)的發(fā)展相適應 5)堅持標準原則*集團網(wǎng)絡的設計和施工，均要嚴格遵循國際和國家標準。要著眼未來，要與日后技術(shù)的發(fā)展相適應。2、總體規(guī)劃*集團網(wǎng)絡建設建議采用企業(yè)級網(wǎng)絡模型的多層次化結(jié)構(gòu)；1)整體網(wǎng)絡規(guī)劃分為集團園區(qū)、下屬分支機構(gòu)區(qū)、服務提供商邊緣功能區(qū)。企業(yè)園區(qū)網(wǎng)絡采用三層結(jié)構(gòu)；服務提供商邊緣提供到服務提供商所實施服務的連接，通過使用不同的WAN和ISP，服務提供商邊緣功能區(qū)能夠促成與其他網(wǎng)絡的通信。2)網(wǎng)絡平臺建議采用擁有與外網(wǎng)連接的高速Internet接入；3)服務器及網(wǎng)絡服務系統(tǒng)。要實現(xiàn)DNS、WWW、FTP、E-mail、數(shù)據(jù)庫等基本網(wǎng)絡應用以及企業(yè)應用系統(tǒng)服務。4)全面的系統(tǒng)安全。應對企業(yè)網(wǎng)絡進行全面的系統(tǒng)安全設計，包括防火墻、網(wǎng)絡防病毒、入侵檢測、數(shù)據(jù)的災難性恢復等。5)綜合布線系統(tǒng)應該采用在技術(shù)上處于領(lǐng)導地位，產(chǎn)品成熟穩(wěn)定，具有極佳應用效果的公司的布線系統(tǒng)和材料。五 詳細設計1、 綜合布線1） 總部一樓：100個信息點；二樓：100個信息點；三樓：100個信息點；2） 生產(chǎn)中心辦公樓：100個信息點；科技樓：100個信息點；接待樓：100個信息點；宿舍樓：800個信息點廠房：100個信息點；倉庫：100個信息點；3） 售后中心一樓：100個信息點；二樓：100個信息點；三樓：100個信息點；根據(jù)上述分析可知，企業(yè)園區(qū)共有1900個信息點，外加無線WIFI接入。2、網(wǎng)絡總體結(jié)構(gòu)圖從圖中可以看到，企業(yè)兩個個外部分支機構(gòu)將通過VPN連接成一個統(tǒng)一的企業(yè)內(nèi)聯(lián)網(wǎng)，滿足企業(yè)對網(wǎng)絡統(tǒng)一管理的要求。3、層次化的網(wǎng)絡模型設計當今網(wǎng)絡非常復雜，且對實現(xiàn)組織目標至關(guān)重要。商業(yè)對網(wǎng)絡帶寬、可靠性以及功能的要求越來越高。使用清晰的網(wǎng)絡分層模型模式，將設計方案劃分為模塊化組或?qū)?。劃分為多個層后，每一層都重點提供某些功能，通過這種方式簡化了設計，也簡化了部署和管理。并采用分布式交換網(wǎng)絡設計方案，以達到可拓展、可靠性高、可用性強、響應快、效率高、適應性強以及訪問容易，同時安全性高，管理容易等要求。本次網(wǎng)絡工程實踐我們采用層次化的網(wǎng)絡模型設計5、網(wǎng)絡技術(shù)選擇VLAN與TRUNK鏈路VTP的設計STP的設計 PPP的設計DHCP的設計Ethernet Channel 設計VLAN間路由設計交換機的設置路由協(xié)議OSPF區(qū)域的劃分廣域網(wǎng)部分的設計VPN (虛擬專用網(wǎng)) 6、網(wǎng)絡IP地址與VLAN規(guī)劃企業(yè)園區(qū)IP地址段VLAN號默認網(wǎng)關(guān)公有地址總部服務器54財務辦2054二樓7054三樓1054生產(chǎn)中心財務部5054其他3054售后中心財主辦6054其他40547、網(wǎng)絡設備選型核心層交換機核心層的設備選型考慮核心層應采用兩個多層交換機作為網(wǎng)絡的核心，以提供可擴展性能、出色的智能性和廣泛的特性， 要求滿足最為嚴格的中大型企業(yè)部署對于構(gòu)建模塊化、永續(xù)、可擴展、安全的第二層或第三層解決方案的需求。并憑借千兆以太網(wǎng)或萬兆以太網(wǎng)接口、銅線和光纖媒體傳輸，以及廣泛的廣域網(wǎng)和城域網(wǎng)接口支持，提供任意網(wǎng)絡核心層所需的靈活性。此方案選用思科的WS-C6506-E多層交換機作為核心層交換機。圖18 思科 WS-C6506-E多層交換機Cisco Catalyst 6500和6500-E系列使用戶可獲得最高生產(chǎn)率，增強了運營控制，從而為企業(yè)園區(qū)和電信運營商網(wǎng)絡中的IP通信及應用供應設立了新標準。作為重要的智能、多層模塊化思科交換機，Catalyst 6500系列提供了安全、融合的端到端服務，范圍涵蓋配線間、核心網(wǎng)絡、數(shù)據(jù)中心和WAN邊緣。Cisco Catalyst 6500適用于希望降低總擁有成本（TCO）的大型企業(yè)和電信運營商，它提供了前所未有的投資保護，并在幾種機箱配置和LAN、WAN及城域網(wǎng)（MAN）接口上提供了出色的可擴展性能和端口密度。Catalyst 6500系列具有6插槽機箱，配備了范圍最為廣泛的集成多業(yè)務模塊，包括多千兆位網(wǎng)絡安全、內(nèi)容交換、電話和網(wǎng)絡分析模塊。Cisco Catalyst 6500系列不但能為企業(yè)和電信運營商提供市場領(lǐng)先的服務、性能、端口密度和可用性，還能提供無與倫比的投資保護能力，包括：最長的網(wǎng)絡正常運行時間利用Cisco IOS軟件模塊化、平臺、電源、交換管理引擎、交換矩陣和集成網(wǎng)絡服務冗余性，提供13秒的狀態(tài)化故障切換，提供應用和服務連續(xù)性統(tǒng)一在一起的融合網(wǎng)絡環(huán)境，減少關(guān)鍵業(yè)務數(shù)據(jù)和服務的中斷。全面的網(wǎng)絡安全性將切實可行的數(shù)千兆位級思科安全解決方案集成到現(xiàn)有網(wǎng)絡中，包括入侵檢測、防火墻、VPN和SSL?？蓴U展性能利用分布式轉(zhuǎn)發(fā)架構(gòu)提供高達400mpps的轉(zhuǎn)發(fā)性能。能夠適應未來發(fā)展并保護投資的架構(gòu)在同一種機箱中支持三代可互換、可熱插拔的模塊，以提高IT基礎(chǔ)設施利用率，增大投資回報，并降低總擁有成本；操作一致性3插槽、6插槽、9插槽和13插槽機箱配置使用相同的模塊、Cisco IOS 軟件、Cisco Catalyst操作系統(tǒng)軟件以及可以部署在網(wǎng)絡任意地方的網(wǎng)絡管理工具。卓越的服務集成和靈活性將安全、無線局域網(wǎng)服務和內(nèi)容等高級服務與融合網(wǎng)絡集成在一起，提供從10/100和10/100/1000以太網(wǎng)到萬兆以太網(wǎng)，從DS0到OC-48的各種接口和密度，并能夠在任何項目中部署端到端地執(zhí)行。匯聚層交換機接入層交換機服務器接入和外網(wǎng)接入交換機防火墻設備預算費用列表：名稱型號數(shù)量（臺）單價（元）總價接入層交換機TP-LINK TL-SF1024L136107930匯聚層交換機思科WS-C3560-24TS-S41400056000核心層交換機思科WS-C506-E12100021000外網(wǎng)接入交換機思科WS-C3750G-125-S22200044000服務器接入交換機思科WS-C3750G-125-S12200022000防火墻思科CISCO ASA5510-BUN-K931300039000總價1899309、核心設備配置 1）劃分VLANSwitch(vlan)#vlan 10 name zongbuVLAN 10 modified: Name: zongbuSwitch(vlan)#exitSwitch#conf tSwitch(config)#int vlan 10Switch(config-if)#ip add 54 2）三層交換機動態(tài)分配ip DHCP Switch(config)#int vlan 10Switch(config-if)#ip dhcp excluded-address 54Switch(config)#ip dhcp pool zbSwitch(dhcp-config)#network Switch(dhcp-config)#default-router 54Switch(dhcp-config)#dns-server 3）將三層交換機端口轉(zhuǎn)換層三層端口 Switch#conf tSwitch(config)#interface FastEthernet0/1Switch(config-if)#no switchportSwitch(config-if)#ip address 4) Vlan中繼協(xié)議VTP 三層交換機中： Switch#vlan databaseSwitch(vlan)#vtp domain senyaSwitch(vlan)#vtp server二層交換機中：SwitchenSwitch#vlan databaseSwitch(vlan)#vtp domain senyaSwitch(vlan)#vtp client5）雙鏈路聚 三層交換機1 Switch(config)#interface FastEthernet0/4 Switch(config-if)#channel-group 1 mode onSwitch(config-if)#switchport trunk encapsulation dot1qSwitch(config-if)#switchport mode trunk Switch(config)#interface FastEthernet0/5 Switch(config-if)#channel-group 1 mode onSwitch(config-if)#switchport trunk encapsulation dot1qSwitch(config-if)#switchport mode trunk Switch(config-if)#exitSwitch(config)#vtp domain HSRPSwitch(config)#vtp mode serverSwitch(config)#vtp password zheng三層交換機2 Switch(config)#interface FastEthernet0/4 Switch(config-if)#channel-group 1 mode onSwitch(config-if)#switchport trunk encapsulation dot1qSwitch(config-if)#switchport mode trunk Switch(config)#interface FastEthernet0/5 Switch(config-if)#channel-group 1 mode onSwitch(config-if)#switchport trunk encapsulation dot1qSwitch(config-if)#switchport mode trunk Switch(config-if)#exitSwitch(config)#vtp domain HSRPSwitch(config)#vtp mode clientSwitch(config)#vtp password zheng6) STP生成樹協(xié)議 三層交換機1 Switch(config)#spanning-tree vlan 10 root primarySwitch(config)#spanning-tree vlan 20 root primarySwitch(config)#spanning-tree vlan 70 root primary三層交換機2Switch(config)#spanning-tree vlan 10 root secondarySwitch(config)#spanning-tree vlan 20 root secondarySwitch(config)#spanning-tree vlan 70 root secondary7) ospf配置 Switch(config)#router ospf 1 Switch(config-router)#network 55 area 1Switch(config-router)#network 55 area 1Switch(config-router)#network 55 area 1Switch(config-router)#network 55 area 18) ACL配置 Switch(config)#access-list 101 deny icmp 55 host Switch(config)#access-list 101 deny icmp 55 host Switch(config)#access-list 101 deny icmp 55 host Switch(config)#access-list 101 deny icmp 55 host Switch(config)#access-list 101 permit ip any anySwitch(config)#int g0/1Switch(config-if)#ip access-group 101 out9）動態(tài)NAT配置（防火墻） Router(config)#interface FastEthernet0/0Router(config-if)#ip nat insideRouter(config)#interface Serial0/1/1Router(config-if)#ip nat outsideRouter(config-if)#interface Serial0/1/0Router(config-if)#ip nat outsideRouter(config-if)#ip nat pool zong netmask Router(config)#ip nat inside source list 1 pool zongRouter(config)#ip nat inside source static Router(config)#ip nat inside source static Router(config)#ip nat inside source static Router(config)#ip nat inside source static 靜態(tài)NAT配置Router(config)#ip nat inside source static 10）PPP數(shù)據(jù)鏈路層協(xié)議配置 路由器zongbu zongbu(config)#interface Serial0/1/0zongbu(config-if)#encapsulation pppzongbu(config-if)#ppp authentication chapzongbu(config-if)#no shutzongbu(config-if)#exitzongbu(config)#username shengcha password zheng路由器shengchazongbu(config)#interface Serial0/1/0zongbu(config-if)#encapsulation pppzongbu(config-if)#ppp authentication chapzongbu(config-if)#no shutzongbu(config-if)#exitzongbu(config)#username zongbu password zheng11) VPN配置zongbu(config)#aaa new-modelzongbu(config)#aaa authentication login VPNAUTH group radius localzongbu(config)#aaa authorization network VPNAUTH localzongbu(config)#crypto isakmp policy 10zongbu(config-isakmp)#encr aes 256zongbu(config-isakmp)#authentication pre-sharezongbu(config-isakmp)#group 2zongbu(config-isakmp)#crypto isakmp client configuration group DAMINGzongbu(config-isakmp-group)#key DAMINGA key already exists for groupDAMINGzongbu(config-isakmp-group)#pool VPNCLIENTSzongbu(config-isakmp-group)#netmask zongbu(config-isakmp-group)#crypto ipsec transform-set mytrans esp-3des esp-sha-hmaczongbu(config)#crypto dynamic-map mymap 10zongbu(config-crypto-map)#set transform-set mytranszongbu(config-crypto-map)#reverse-routezongbu(config-crypto-map)#crypto map mymap client authentication list VPNAUTHzongbu(config)#crypto map mymap isakmp authorization list VPNAUTHzongbu(config)#crypto map mymap client configuration address respondzongbu(config)#crypto map mymap 10 ipsec-isakmp dynamic mymapzongbu(config)#ip ssh version 1Please create RSA keys (of at least 768 bits size) to enable SSH v2.zongbu(config)#int s0/1/0zongbu(config-if)#crypto map mymapzongbu(config-if)#ip local pool VPNCLIENTS 00 00%IP address range overlaps with pool: VPNCLIENTSzongbu(config)#radius-server host auth-port 1645 key zhengzongbu(config)#int s