项目实现方案精.pptx

主要内容主要内容1.项目需求分析项目需求分析2.综合布线方案综合布线方案3.项目拓扑设计方案项目拓扑设计方案4.项目设备选型方案项目设备选型方案5.项目命名方案项目命名方案6.交换部分方案交换部分方案7.IP地址方案地址方案8.路由部分方案路由部分方案9.网络服务方案网络服务方案10.网络安全方案网络安全方案1.项目需求分析项目需求分析1.1 企业内部组织结构企业内部组织结构根据招标书和前期现场调研的结果，企业的组根据招标书和前期现场调研的结果，企业的组织结构如下：织结构如下：总经办总经办市场部市场部销售部销售部技术部技术部财务部财务部售后部售后部生产部生产部1.项目需求分析项目需求分析1.2 企业地域结构分析企业地域结构分析总公司：总公司：总公司在广州，规模为一栋总公司在广州，规模为一栋5层的办公楼，层的办公楼，每层楼有每层楼有10个办公室。个办公室。分公司分公司1：分公司分公司1在上海，规模为在上海，规模为5个办公室。个办公室。分公司分公司2：分公司分公司2在北京，规模为在北京，规模为5个办公司。个办公司。1.项目需求分析项目需求分析1.3 项目功能性要求项目功能性要求1.3.1 实现企业内各部门和功能区有独立的子网实现企业内各部门和功能区有独立的子网和和VLAN。1.3.2 实现企业内客户端实现企业内客户端IP地址的自动分配。地址的自动分配。1.3.3 实现总公司和分公司的实现总公司和分公司的Internet接入。接入。1.3.4 实现交换网络的优化和负载均衡。实现交换网络的优化和负载均衡。1.项目需求分析项目需求分析1.3 项目功能性要求项目功能性要求1.3.5 实现路由和负载均衡。实现路由和负载均衡。1.3.6 实现分公司和总公司之间的安全访问。实现分公司和总公司之间的安全访问。1.3.7 在企业内实现在企业内实现DSN、FTP和和WEB等功能。等功能。1.3.8 实现企业内的网络安全配置。实现企业内的网络安全配置。1.3.9 实现企业网络流量监控和管理。实现企业网络流量监控和管理。2.综合布线方案综合布线方案工作区子系统工作区子系统(Work Area Subsystem)水平布线子系统水平布线子系统(Horizontal Subsystem)管理子系统管理子系统建筑物主干子系统建筑物主干子系统(Building Backbone Subsystem)设备间子系统设备间子系统建筑群布线子系统建筑群布线子系统(Campus Cabling Subsystem)2.综合布线方案综合布线方案综合布线设计方案：综合布线设计方案：3.项目拓扑设计方案项目拓扑设计方案根据项目需求，设计拓扑图如下：根据项目需求，设计拓扑图如下：4.项目设备选型方案项目设备选型方案4.1 网络设备选型网络设备选型接入层设备接入层设备汇聚层设备汇聚层设备核心层设备核心层设备广域网出口设备广域网出口设备安全设备安全设备4.项目设备选型方案项目设备选型方案类型品牌型号数量描述备注交换机D-Link DES-1024R+60直接连接PC思科WS-C2960S-24PS-L8连接办公室与核心交换思科WS-C3750X-24T-L2网络核心交换机路由器思科2911/K92总公司出口路由器思科28112分公司出口路由器防火墙思科ASA5520-K91企业内防火墙入侵监测系统思科IDS-42151入侵检测系统服务器IBM System x3100 M4(258262C)3企业内应用服务器4.2 本项目具体设备选型本项目具体设备选型5.项目命名方案项目命名方案5.1 设备命名方案设备命名方案为了方便管理和维护需要对设备进行命名命名规则为：AAAA-BBBB-CC例如：公司的两台核心交换机命名设备所属公司设备所属公司设备类型设备类型设备序号设备序号设备命名设备命名设备型号设备型号描述描述GZ-SWCENTER01GZ-SWCENTER01WS-C3750X-24T-LWS-C3750X-24T-L设备间核心交换机设备间核心交换机0101GZ-SWCENTER02GZ-SWCENTER02WS-C3750X-24T-LWS-C3750X-24T-L设备间核心交换机设备间核心交换机0202126.交换部分方案交换部分方案6.1 VLAN设计方案设计方案6.2 VTP设计方案设计方案6.3 STP设计方案设计方案6.4 Port-channel方案方案6.交换部分方案交换部分方案6.1 VLAN设计方案设计方案部门VLANVLAN名称总经办10jingli市场部20shichang销售部30 xiaoshou技术部40jishu财务部50caiwu售后部60shouhou生产部70shengchan网络管理1wangguan服务器110fuwuqi6.交换部分方案交换部分方案6.2 VTP设计方案设计方案企业内企业内VLAN数量比较多，需要配置数量比较多，需要配置VLAN的交换机也比较多，的交换机也比较多，为了方便、统一的管理企业为了方便、统一的管理企业VLAN，在交换网络内配置，在交换网络内配置VTP，对对VLAN进行统一管理。具体方案如下：进行统一管理。具体方案如下：VTP DOMAIN:companyVTP SERVER：配置在两个核心交换机（：配置在两个核心交换机（GZ-SWCENTER01和和02）上。）上。VTP Client：配置在所有其他交换机上。：配置在所有其他交换机上。VTP Password：company123VTP Version:26.交换部分方案交换部分方案6.3 STP设计方案设计方案本项目所涉及的本项目所涉及的VLAN数量和实施环境来看，可以使用数量和实施环境来看，可以使用cisco的的PVST+的的STP模式，具体方案为：模式，具体方案为：VLAN根网桥备份根网桥10GZ-SWCENTER01GZ-SWCENTER0220GZ-SWCENTER01GZ-SWCENTER0230GZ-SWCENTER01GZ-SWCENTER0240GZ-SWCENTER01GZ-SWCENTER0250GZ-SWCENTER01GZ-SWCENTER0260GZ-SWCENTER02GZ-SWCENTER0170GZ-SWCENTER02GZ-SWCENTER011GZ-SWCENTER02GZ-SWCENTER01110GZ-SWCENTER02GZ-SWCENTER016.交换部分方案交换部分方案6.4 Port-channel方案方案 在两个核心交换机之间，为了增加骨干在两个核心交换机之间，为了增加骨干链路带宽，利用交换机的链路带宽，利用交换机的Port-channel特特性实现链路聚合。性实现链路聚合。7.IP地址方案地址方案7.IP地址方案地址方案 部门子网掩码网关总经办172.16.10.0255.255.255.0172.16.10.254市场部172.16.20.0255.255.255.0172.16.20.254销售部172.16.30.0255.255.255.0172.16.30.254技术部172.16.40.0255.255.255.0172.16.40.254财务部172.16.50.0255.255.255.0172.16.50.254售后部172.16.60.0255.255.255.0172.16.60.254生产部172.16.70.0255.255.255.0172.16.70.254网络管理172.16.1.0255.255.255.0172.16.1.254服务器172.16.110.0255.255.255.0172.16.110.2548.路由部分方案路由部分方案8.1 企业路由设计企业路由设计8.2 路由器接入路由器接入Internet8.3 路由器路由器NAT实现实现8.4 分公司与总公司连接分公司与总公司连接8.路由部分方案路由部分方案8.1 企业路由设计企业路由设计 本项目使用企业应用最为广泛的本项目使用企业应用最为广泛的OSPF协议实现企业协议实现企业路由，具体设计如下：路由，具体设计如下：总公司设计为骨干区域总公司设计为骨干区域0，上海分公司为区域，上海分公司为区域10，北京分，北京分公司可以为公司可以为20 8.路由部分方案路由部分方案8.2 路由器接入路由器接入Internet总公司和分公司路由器全部采用光纤接总公司和分公司路由器全部采用光纤接入，通过光电转换单元，接入到路由器的入，通过光电转换单元，接入到路由器的以太网口。以太网口。ISP均分配静态均分配静态IP地址，其中总公司建议地址，其中总公司建议获得获得5-10个公网地址。个公网地址。分公司具备分公司具备1-2个公网地址。个公网地址。8.路由部分方案路由部分方案8.3 路由器路由器NAT实现实现8.3.1 利用利用NAT实现客户机访问实现客户机访问Internet 利用在总公司和分公司路由器上设计利用在总公司和分公司路由器上设计Port-NAT，使总公司分公司的客户机可以，使总公司分公司的客户机可以访问访问Internet，其中分公司拿出，其中分公司拿出1个个IP，总，总公司拿出公司拿出5个个IP。8.路由部分方案路由部分方案8.3 路由器路由器NAT实现实现8.3.2 利用利用NAT实现外网用户访问内网服务器实现外网用户访问内网服务器利用在总公司设计利用在总公司设计NAT，实现内网服务，实现内网服务器能够被外网用户访问。器能够被外网用户访问。8.路由部分方案路由部分方案8.4 分公司与总公司连接分公司与总公司连接为了实现为了实现OSPF的路由，需要通过的路由，需要通过Internet把两个分公司与广州的总公司路由器连接，把两个分公司与广州的总公司路由器连接，在本项目中使用在本项目中使用GRE Over IPSEC来实现。来实现。9.网络服务方案网络服务方案9.1 DHCP服务方案服务方案9.1.1 在在Windows2008 Server上配置上配置DHCP服服务器，給全网客户机分配正确的务器，給全网客户机分配正确的IP地址。地址。9.1.2 在在RHEL上配置上配置DHCP服务器，給全网客服务器，給全网客户机分配正确的户机分配正确的IP地址。地址。9.1.3 在在SOLARIS上配置上配置DHCP服务器，給全网服务器，給全网客户机分配正确的客户机分配正确的IP地址。地址。9.网络服务方案网络服务方案9.2 NFS服务方案服务方案9.2.1 在在RHEL上配置上配置NFS服务器，使全网可以服务器，使全网可以对对RHEL服务器上的共享资源进行访问。服务器上的共享资源进行访问。9.2.2 在在SOLARIS上配置上配置NFS服务器，使全网服务器，使全网可以对可以对SOLARIS服务器上的共享资源进行访服务器上的共享资源进行访问。问。9.网络服务方案网络服务方案9.3 SAMBA服务方案服务方案9.3.1 在在RHEL上配置上配置SAMBA服务器，使全网可服务器，使全网可以对以对RHEL服务器上的共享资源进行访问。服务器上的共享资源进行访问。9.3.2 在在SOLARIS上配置上配置SAMBA服务器，使全服务器，使全网可以对网可以对SOLARIS服务器上的共享资源进行服务器上的共享资源进行访问。访问。9.网络服务方案网络服务方案9.4 FTP服务方案服务方案9.4.1 在在Windows2008 Server上配置上配置FTP服务服务器，使全网客户机可以正常访问。器，使全网客户机可以正常访问。9.4.2 在在RHEL上配置上配置FTP服务器，使全网客户服务器，使全网客户机可以正常访问。机可以正常访问。9.4.3 在在SOLARIS上配置上配置FTP服务器，使全网客服务器，使全网客户机可以正常访问。户机可以正常访问。9.网络服务方案网络服务方案9.5 DNS服务方案服务方案9.5.1 在在Windows2008 Server上配置上配置DNS服务服务器，使全网客户机可以正常访问。器，使全网客户机可以正常访问。9.5.2 在在RHEL上配置上配置DNS服务器，使全网客户服务器，使全网客户机可以正常访问。机可以正常访问。9.5.3 在在SOLARIS上配置上配置DNS服务器，使全网服务器，使全网客户机可以正常访问。客户机可以正常访问。9.网络服务方案网络服务方案9.6 WEB服务方案服务方案9.5.1 在在Windows2008 Server上配置上配置WEB服务服务器，使全网客户机可以正常访问。器，使全网客户机可以正常访问。9.5.2 在在RHEL上配置上配置WEB服务器，使全网客户服务器，使全网客户机可以正常访问。机可以正常访问。9.5.3 在在SOLARIS上配置上配置WEB服务器，使全网服务器，使全网客户机可以正常访问。客户机可以正常访问。10.网络安全方案网络安全方案10.1 防火墙安全方案防火墙安全方案公司内网公司内网Outsidesecurity-level 0Insidesecurity-level 100YW_svrsecurity-level 50Insidesecurity-level 100核心交换机核心交换机1 1核心交换机核心交换机2 2ASA 552010.网络安全方案网络安全方案10.2 入侵检测方案入侵检测方案10.2.1 在路由器上启用并配置入侵检测策略。在路由器上启用并配置入侵检测策略。10.2.2 在在IDS设备上启用并配置入侵检测策略。设备上启用并配置入侵检测策略。10.网络安全方案网络安全方案10.3 端口镜像方案端口镜像方案在总公司内的交换机上，需要进行流量监在总公司内的交换机上，需要进行流量监控和监测的端口启用端口镜像功能。控和监测的端口启用端口镜像功能。10.网络安全方案网络安全方案10.4 路由器安全方案路由器安全方案增强设备服务安全增强设备服务安全杜绝明文密码杜绝明文密码配置配置Telnet远程访问远程访问配置配置SSH远程访问远程访问配置配置VPN策略策略END