网络工程实施方案

工 程 实 施 方 案

施工单位:奥格瑞玛网络工程有限公司

目录

一、 用户需求………………………………………………………….3 二、 网络拓朴结构图………………………………………………….5 三、 IP地址规划……………………………………………………….6 四、 技术选型…………………………………………………………..9

1)、总部主干内网部份…………………………............................9 2)、DMZ区部分………………………………………………….12 3)、各地分部部份与移动用户………………………………12 五、 设备选型…………………………………………………………13 六、 总结与心得………………………………………………………16 七、 附：AD域服务器搭建具体流程………………………………..17

用户需求

一、 用户需求：

1.企业总部在上海，分支机构现有5个点，如深圳、武汉、长沙、北京、成都等地；总部一栋楼，有800多台PC接入，其中企业有生产部、研发部、测试部、工程部、人力资源、销售部、渠道商、行政部、财务部以及总经办，所有公司的服务器都在总部。分部各有60台PC左右接入，只有销售部、办公部两个部门。公司将在5年内实现全国各省有办事点。

2. 全网公司需要实现互连互通，研发部只能是研发部内部员工访问，其它所有部门都不能访问财务部PC，但总经办可以访问所有财务部及所有部门的PC。研发部和财务部两个部门都不可以上Internet。 3. 由于公司规模较大，为方便于管理，在总部设有AD服务器。为每个员工分配账户，在所有PC上都可以进行登陆）；并有权限级别设置。

4. 总部部署FTP文件服务器，也要求对员工访问FTP服务器上资源进入权限设置。（如生产部的员工只能访问生产资料，办公部的员工只能访问办公资料，总经办可以访问所有资源）

5. 为了在网络宣传本公司，部署WEB服务器提供内访问，为了安全起见，将WEB服务器部署在防火墙的隔离区（DMZ），提供内访问。（内网必须使用域名进行访问）。

6. 总部上网Internet采用以太网接入，申请公网地址（172.10.10.5—172.10.10.15），各分支是PPPOE接入公网地址动态分配。要使总部与分部互联，总部与分部之间做IPsec VPN； 出差人员的PC访问内网使用远程Ez VPN。

网络拓朴图结构

说明:

整个网络我们以防火墙做为公网边界可将整个区域分为三块:

一、 防火墙inside区部份，也是整个企业的核心总部内的局域网。 二、 防火墙DMZ区部份，也是为整个局域网与用户提供资源访问部份。

三、 防火墙outside区部份，是整个公网部分，其中也包括了公司的分部与移动办公用户。

IP地址规划表

10.[地区代码].[业务代码].0

地区代码:

地区 骨干网 上海（总部） 北京 武汉 长沙 深圳 其它保留

业务功能代码:

业务类型 Loopback地址 链路地址 网管vlan地址 总经办 研发部门 财务部门 业务功能代码 0 1 2 3-4 5-6 7-8 备注 采用32位掩码 采用30位掩码 采用24位掩码 采用24位掩码 采用24位掩码 采用24位掩码 地区代码 0 1 2 3 4 5 备注 生产部门 测试部门 研发部门 销售部门 人力资源 渠道商 行政部

Vlan规划：

管理Vlan 核心交换机连接Vlan 总经办 研发部门 财务部门 生产部门 测试部门 研发部门 销售部门 人力资源 渠道商 9-10 11-12 12-13 13-14 15-16 17-18 19-20 采用24位掩码 采用24位掩码 采用24位掩码 采用24位掩码 采用24位掩码 采用24位掩码 采用24位掩码 VlanID 300 901 2 3 4 5 6 7 8 9 10 Vlan描述 行政部 销售部（分部） 办公部（分部）

地址规划原则：

11 12 13 分组域网络设备地址遵循以下规划原则： 1） 2）

要方便集中管理，同种网元应该分配连续地址空间； 需要和公网交互的接口和设备要尽量采用公有地址，对于与

公网没有联系的设备尽量采用私有地址； 3）

充分考虑未来新技术和新业务的地址需求，尽量排除未来通

信模式和业务模式中不利因素的影响，保证未来的设备扩容能顺利进行。

技术选型

公司内部网络通过防火墙FW1与Internet网连接，公司内部路由器R11与其它分部连接公网的路由器（R2，R3，R4，R5，R6，）分别建立Ipsec ，办公移动用户通过Ez与R11建立关系。公司内部运行OSPF来保证全网通信路由。三层交换机SW1与SW2通过HSRP做好冗余备份。

一、 总部主干内网部份 1、接入层：

首先从接入层开始接入用户PC，在接入层交换机划分Vlan来隔离广播域。具体划分表见IP规划表。

设备选型：接入层设备建议可用Catalyst 2950系列产品。虽然是一款比较老式的产品，但经济优势在这里却是独一无二的产品。 2、汇聚层

首先我们根据用户的需求，财务部与研发部只能同部门之间相互访问，总经办可以访问公司所有部门，但任何部门都不得访问总经办。我们可以通过acl语句来实现财务部与研发部只能同部门访问的需求，而对于总经办可以通过带扩展的established的acl语句来实现总经办对于各部门的单向访问。

另外加入汇聚层虽然增加了两台三层交换机，但是如果没有这两台设备，将接入层交换机直接连在核心交换机上；因为有总部有十多个部门，将会导致核心交换机将要维护大量的STP这无疑将增加总部

核心交换机的压力。所以在这里加入汇聚层除了能减低核心交换机的压力之外，也使整个网络更具有层次性。

设备选型:建议使用Catalyst3750或 Catalyst4500系列产品。

3、核心层

在核心层交换机上将会有大量的数据进行转发所以对核心层交换机

的性能也相于有更高的要求。这里我们在两台核心交换机之间通过捆绑链路通道提高两台交换机的转发能力以及链路的冗余性与健壮性。 a)、STP: SW1、SW2、SW3、SW4通过运行STP减少链路中的广播风暴对网络的危害。其中将SW1、SW2设置分别为Vlan 1 到Vlan 6的主、备网桥。SW2、SW1分别为Vlan7 – 11的根网桥与备份网桥。 b)、HSRP: 核心层交换机SW1与SW2通过HSRP向外公布一个虚拟的地址，而实则是让SW1与SW2共同维护这个地址来达到冗余备份的目的。其中SW1的状态为总经办与其它部门的活跃，财务部与研发部的备份；而SW2则为其他部门与总经办的备份状态，财务部与研发部的活跃状态，另外SW1与SW2相互做好抢占权。 推荐设备选型: Catalyst 6500系列。

4、核心层路由器

之所以在这里选择加入一台骨干级路由器，是因对他对整个网络

有着一个承上启下的作用。我们通过R11上写入一条静态缺省路由指向防火墙，再通过OSPF下发缺省路由，来达到路由承上启下的目的。

另外公司要求通过IPSEC建立VPN来达到保护与分公司数据流理的需求。因为考滤到公司未来5年来会在全国各省都建立分部，将会有大量的VPN流量产生。虽然防火墙也能做VPN，但在这里选择加一个核心路由器即能提高公司网络整体质量水平又能减小对防火墙的压力。

Ipsec :首先需要与对端协商好ISAKMP SA，因为对端是动态地址所以在主模式下设置对端地址为0.0.0.0 ，然后进行第二阶段与加密图后将加密图绑定至物理出接口即可。用Vpn来保证分部与总部通信的安全，降低企业网络运营成本。 推荐设备选型: Cisco 12000系列。

防火墙:防火是整个局域网安全保障的最重要的防线。在这里我们主要的是通过ACL语句来控制各种流量、端口、协议的放行跟控制的基本策略以及防火墙自身的组件等策略

二、 DMZ区部分

DMZ是不仅仅能为内网提供访问服务，也能提供一定访问服务的服务器群区域。设立DMZ区一个好处是就算服务器被非法用户入侵，也能在一定成度上保障内网的安全。因为DMZ区的优先级为50，而inside区的优先级为100，防火墙默认是禁止从低优先级区向高优先区访问的。

另外像只为内部员工提供服务的AD服务器就适合放在局域网内部，在该项目中我们放在SW2处邻接。

三、 各地分部部份

1、各分公司部份:分公司通过路由器配置dialer口来拨号自动获得IP地址。然后与总部核心层路由器R11进行VPN基本配置，最后将动态图绑定在获得地址的dialer口上。

2、移动用户:Ez能够很好的保证在移动客户对总部通信的安全。配置第1.5阶段做好隧权分离，加密图配置时做好反向路由注入。另外启用AAA，定义好AAA认证与授权。

设备选型

总部核心层路由器推荐产品：Cisco 12000系列 推荐理由：高端

Cisco 12000系列吉比特交换路由器采用运营商级设计，是思科为支持服务供应商和企业IP骨干网核心而设计和开发的重要的路由选择产品。提供冗余功能，处理器、交换机结构、LC、电源和冷却设备，最大限度地减少故障导致的网络中断；热切换功能可以在不中断业务的情况下增加或更换组件；交换结构冗余使业务可以在发生故障时切换到备份结构，而不会丢失数据或中断用户会话。

总部核心层交换机推荐产品：Catalyst 6500系列

（1）最长的网络正常运行时间。利用平台、电源、控制引擎、交换矩阵和集成网络服务冗余性提供1~3s的状态故障切换，提供应用的服务连续性统一在一起的融合网络环境，减少关键业务数据和服务的中断。

（2）全面的网络安全性。将切实可行的数吉比特级Cisco安全解决方案集成到网络中，包括入侵检测、防火墙、VPN和SSL。 （3）可扩展性能。利用分布式转发体系结构提供高达400Mpacket/s的转发性能。

(4)能够适应未来发展并保护投资的体系结构。在同一种机箱中支持三代可互换、可热插拨的模块，以提高IT基础设施利用率、增大投资回报，并降低总体拥有成本；

总部汇聚层交换机推荐产品: Catalyst 3750

Catalyst 3750系列针对高密度吉比特以及网部署进行了专门的优化，其中包含多种可以满足接入、汇聚或者小型网络骨干网连接需求的交换机，其主要特性和优点有:

（1） 可用性,不中断的第二层和第三层性能。每个交换机可以充当主控制器和转发处理器。堆叠中的每台交换机都可以充当一个主交换机，从而为网络控制创建一种1:N的可用性机制。在某个单元发生故障时，所有其他单元都可以继续转发流量和保持正常运行。 （2）便于使用，“即插即用”配置，一个工作中的堆叠可以自行管理和配置。在用户添加或者移除交换机时，主交换机会自动地更新所有的路由表，及时地反应堆叠结构的变化。升级信息将同时发送给堆叠的所有成员。

(3)可扩展性,快速以太网到吉比特以太网。

(4)混和搭配的交换机类型。根据用户扩建网络的速度支付相应的费用。

(5)智能组播，将融合网络的效率提高到一个新的水平。 (6)出色的服务质量，覆盖堆栈和线速。 (7)安全性，对接入环境的精确控制。

(8)单一IP管理，多台交换机共享一个IP地址。 (9)大型帧，为要求很高的应用提供支持。 (10)支持IPV6，为将来做好准备。

接入层交换机推荐产品:Catalyst 2950系统交换机。

Catalyst2950系列智能以太网交换机是一个固定配置、可堆叠的设备系统，提供了线速以太网和吉比特以太连接，这是一款最廉价的Cisco交换产品系列。

总结与心得

经过了十天不停日以继夜的测试环境，终于比较完善的完成了整个试验的过程。在此收获得的东西还是有很多的，另外自己的动手能力也提高了很多。尤其是以前看设备配置的时候经常头晕，而现在能够坐下来仔细的看设备命令配置，然后想着数据流与路由的原理以及数据封包拆包过程。 很多自己不太会的东西自己也能够主动的去查看相关文档学习，慢慢的感觉以前觉得很难的东西，现在也能够弄透些了。也让我明白网络要所学的东西还有很多，我目前所学的只是基础的一部份，更多知识还需要自己主动去获取。

但是因为前两天准备并不是很充份，也没有充份利用好时间。所以直接导致后期有些任务没有好的完成。比如服务器搭建一些问题，还不够完善，希望各位老师朋友多多指点，大家一起进步。

附：AD域服务器配置具体流程。 开始进行AD服务器配置。

AD域服务器安装完成。在此之前需要安装好DNS服务器，如果未安全DNS服务器，可以在装AD服务器时一起装好。

安装完成后在控制界面建立新用户进行操作。

现在对用户端进行配置，把用户端DNS服务器地址改成已安装好的DNS服务器地址。

开始进行ping域名地址，测试DNS服务器是否运行正常。

完成后以上操作后，在“我的电脑”“属性”“计算机名”里将客户端PC加入域组，在重启后用服务器分配的用户名与密码登陆，即可。