[项目名称]总结_9368

万业通信公司网络设计方案广为计算机网络工程有限公司前言广为计算机网络工程有限公司,成立于1993年是西安市一家高科技公司。公司现有工程技术人员18人，具有计算机网络应用技能和软件开发技能的8人，中级以上职称的10人，其中有三人被国家信息部产业授予于计算机信息系统集成项目经理。从1995年起本公司在西安地区承接了市委机关大楼、市人大、市政协、市档案馆大楼和市工商银行、西安电力公司、西安检察院、市经贸委、陕西师范大学夜大学等单位的智能化办公楼的PDS网络布线工程、网络系统优化、多媒体语音教室、多媒体会议室及计算机网络系统集成等业务。项目实施项目概述项目设计需求目标项目设计原则网络拓扑结构网络设备配置网络设备清单项目测试项目概述客户公司简介用户网络需求描述用户网络需求分析客户公司简介万业通信公司目前大约有200名员工，在新租用的办公环境中，需要组建网络来实现信息化办公。新办公室为一楼层的平面办公环境。办公区的水平布线系统已经具备。财务部总经理技术支持部副总经理人事行政部销售部市场部用户网络需求描述万业通信公司内办公网络建设项目的要求是实现畅通、高效、安全、可扩展的办公网络。各部门共享各种资源，提高办公效率，网络系统运行必须稳定。用户公司需要连接内部网络，各部门员工的终端能够实现连同。所有公司员工都能访问远程分支机构，远程分支机构的网络不在此项目内公司财务部门的数据很重要，不希望其他部门的员工访问到。用户网络需求分析根据用户的描述，可以分析出用户公司需要使用交换机连接所有客户端。需要使用路由器来连接远程分支机构。需要在交换机上划分VLAN，路由器上做相应的配置实现VLAN之间的互通。需要使用NAT(网络地址转换)技术，解决所有用户访问Internet的需要。由于所需的交换机数量多，为了简化网络管理员的管理使用VTP(VLANTrunkingProtocol)技术。为了公司所有用户更安全、更高效的办公需要使用ACL(AccessControlList)技术。项目设计需求目标网络内的各个桌面用户可共享数据库，实现办公自动化系统中的各项功能。最终用户通过广域网连接可以收发电子邮件、实现Web应用、接入互联网、进行安全的广域网访问。项目设计原则开放性和标准性化在公司内采用统一的网络体系结构，统一的网络协议。围绕着统一网络体系结构，确定网络互连结构，网络操作系统和网络应用。技术可行性新的网络应该采用符合公司实际情况的网络设备，技术应用上要求应用成熟稳定的技术。先进性选择代表先进水平的技术和设备，不使投资的设备在短时间内落伍。但也要考虑，技术的成熟性、标准性，不采用还未成为标准的技术及设备接口。兼容性选用的技术和设备的互操作性强，技术必须是被多家采用的技术，提高必须能和多家产品兼容。但在设备选择上将尽量采用一家产品。经济性网络设备的价格不能太高，与设备配套使用的器件、设备及线路的维护费用不能过高。可扩展性在设计中，网络及布线的接口要留有一定的余量，为用户今后的发展留出一定的空间。稳定性设备要可靠的质量，并支持热插拔特性及线路、电源备份，以保持一个稳定。网络拓扑结构本方案设计主要由以下三大部分构成：接入模块，交换模块，广域网接入模块VLAN和IP地址的规划VLAN号VLAN名称IP网段默认网关说明VLAN1—192.168.0.0/24192.168.0.254管理VLANVLAN10RSB192.168.1.0/24192.168.1.254人事部VLANVLAN20CWB192.168.2.0/24192.168.2.254财务部VLANVLAN30XSB192.168.3.0/24192.168.3.254销售部VLANVLAN40SCB192.168.4.0/24192.168.4.254市场部VLANVLAN50JSB192.168.5.0/24192.168.5.254技术部VLAN网络设备配置为了实现网络设备的统一，本设计方案中完全采用同一家的网络产品，即Cisco公司的网络设备构建。全网使用同一厂商设备的主要好处在于可以实现各种不同网络设备功能的互相配合和补充。本方案设计主要由以下三大部分构成：接入模块核心模块广域网接入模块接入模块接入模块为所有的终端用户提供一个接入点，这里我们采用CiscoCatalyst295024口交换机（WS-C2950-24）.该交换机拥24个10/100Mbps自适应以太网口，运行的是Cisco的IOS操作系统。如图接入模块交换机的基本参数设置交换机的端口配置交换机的基本参数设置①设置交换机名称②设置交换机加密使能密码③设置登陆虚拟终端线路时口令④设置终端超时时间交换机的基本参数设置⑤设置禁止IP地址解析特性⑥设置启用消息同步特性⑦设置交换机的管理IP、默认网关⑧设置交换机的VLAN及VTP交换机的端口配置①端口全双工配置②设置将端口加入VLAN中③设置交换机的主干道端口接入模块为了使财务部门的数据更安全，所以使本部门的VLAN不能与其他部门VLAN通信。并且本部门所在交换机不加入VTP，也不创建其他VLAN.核心模块核心模块为整个网络提供VLAN间的路由选择的功能。这里我们采用CiscoCatalyst3550交换机，作为三层交换机CiscoCatalyst3550拥有24个10/100Mbps自适应快速以太网端口，还有2个1000Mbps的GBIC端口。运行的是Cisco的IntegratedIOS操作系统。如图核心模块核心模块交换机的基本配置和接入模块的配置类似，以下几点配置不同：①配置交换机的管理IP，默认网关②配置VTP管理域核心模块当网络中交换机数量很多时，需要分别在每台交换机上创建很多重复的VLAN。工作量很大，过程很繁琐，并且容易出错。我们采用VLAN中继协议（VLANTrunkingProtocol,VTP）来解决这个问题首先将核心交换机设置为VTP服务器配置VTP管理域核心模块④在交换机上定义VLAN⑤启用交换机的路由功能核心模块⑥为每个VLAN设置默认的网关⑦设置每个端口为Trunk模式核心模块⑧设置通往InernetRoute路由器的路由⑨设置对无类别网络和全零子网的支持广域网接入模块广域网接入模块的功能是由广域网接入路由器InternetRouter来完成。采用的是Cisco的3640路由器。它通过自己的串行接口serial0/0使用DDN（128K）技术接入Internet。利用访问控制列表（AccessControlList，ACL）来完成流量控制和安全过滤实现一定的安全功能。如图：广域网接入模块1.配置接入路由器的基本参数2.配置接入路由器各种接口参数广域网接入模块3.配置接入路由器的路由功能在接入路由器上定义去往Internet的路由和去往公司内部的路由4.设置对无类别网络和全零子网的支持广域网接入模块5.配置InternetRouter路由器上的NAT由于目前IP地址资源非常稀缺，不可能给公司每个员工分配一个公有IP地址。为了解决所有员工访问Internet的需要，必须使用NAT（网络地址转换）技术。①定义NAT内部，外部接口②定义允许进行NAT的公司内部IP地址范围③定义公司PC复用地址转换广域网接入模块6.配置接入路由器InternetRouter上的ACL路由器是外网进入公司内网的第一道关卡，是外网与内网进行通信时的第一道屏障。是网络防御的前沿阵地。路由器上的访问控制列表（AccessControlList,ACL）是保护内网安全的有效手段。①对外屏蔽远程登陆协议telnet②对外屏蔽其他不安全的协议或服务主要有文件共享协议端口：2049，远程执行rsh：512远程登陆rlogin：513，远程命令rcmd端口：514,远程过程调用SUNRPC端口：111广域网接入模块③针对Dos攻击的配置Dos攻击（DenialofServiceAttack,拒绝服务攻击）是一种非常常见而且极具破坏力的攻击手段，它可以导致服务器，网络设备的正常服务进程停止，严重时会导致服务器系统崩溃。网络设备清单CISCOWS-C3750G-24TS-E交换机类型企业级交换机应用层级三层内存128MB传输速率10Mbps/100Mbps/1000Mbps网络标准IEEE802.3、IEEE802.3u、IEEE802.3z、IEEE802.3ab端口结构非模块化端口数量24接口介质10/100/1000Base-TX、1000Base-FX/SX传输模式支持全双工配置形式可堆叠交换方式存储-转发背板带宽32Gbps包转发率38.7MppsVLAN支持支持QOS支持支持网管支持支持网管功能SNMP,CLI,Web,管理软件MAC地址表12k模块化插槽数4网络设备清单CISCOWS-C2960G-24TC-L交换机类型智能交换机应用层级二层内存64MB传输速率10Mbps/100Mbps/1000Mbps网络标准IEEE802.3、IEEE802.3u、IEEE802.1x、IEEE802.1Q、IEEE802.1p、IEEE802.1D、IEEE802.1s、IEEE802.1w、IEEE802.3ad、IEEE802.3z、IEEE802.3端口数量24接口介质10/100Base-T、10/100/1000Base-Tx/SFP传输模式全双工/半双工自适应交换方式存储-转发背板带宽24Gbps包转发率35.7MppsVLAN支持支持QOS支持支持网管支持支持网管功能Web浏览器,SNMP,CLIMAC地址表8K模块化插槽数4指示面板每端口状态:连接完整性、禁用、活动、速度、全双工,系统状态:系统、RPS、链路状态、链路双工、链路速度电源100VAC-240VAC、50Hz/60Hz,1.3-0.8A网络设备清单产品型号3640产品类型模块化,企业级,访问路由器处理器100-MHzIDTR4700riscDRAM内存128MBFlash内存32MB固定广域网接可选广域接口WIC卡固定局域网接10-100Base-T/TX快速以太网口控制端口RS-232扩展插槽有扩展插槽,4条支持协议IPRouting；IP/IPXRouting,IP/IPXRoutingIP/IPXwithIBMbasefunctionalityandAPPNDesktop,DesktopwithIBMbasefunctionality网络管理支持SNMP管理,CiscoClickStartVPN支持VPN功能QoS支持QoS功能内置防火墙有内置防火墙电源电压100-240VAC最大功率75W项目测试1.物理的连通性Ping标准的物理设备连通性测试命令2.配置文件的测试Showrunning-config用于显示路由器，交换机运行配置文件的内容3.ARP测试Showarp用于显示ARP缓存的内容Showiparp用于显示iparp缓存内容4.接口的测试Showinterface用于显示接口的状态及参数信息Showipinterface用于显示IP接口的状态及配置信息项目测试5.路由和路由协议的测试Showiproute用于显示当前路由表内容Showipprotocols用于显示动态路由协议的配置参数6.VLANVTP的测试ShowinterfaceVlanVlan-ID用于显示Vlan是否激活，交换机MAC地址，接口参数Showvlan用于查看vlan创建情况Showvtpstatus用于查看VTP配置情况项目测试7.NAT测试Showipnattranslation用于显示当前正在进行的NAT情况Showipnattranslationverbose用于显示当前NAT更详细情况Showipnatstatistics用于显示NAT运行情况统计8.ACL测试Showaccess-lists用于显示所有已定义的访问控制列表内容及命中情况Showipaccess-lists用于显示所有已定义的IP访问控制列表内容及命中情况