S2项目实践 最终修订版

BENET公司网络设计方案 金刚网络科技有限公司 项目概述 测试与验收 售后服务与培训 交换与路由设计 BENET公司网络建设方案 广域网与安全性设计 项目方案总体规划 设计方案流程图 项目分工 enet公司介绍现有网络状况网络建设要求网络需求分析网络设备选型要求 项目概述 Benet公司介绍 分设北京总部 上海 广州分公司北京总部下设财务 研发 生产 销售等部门现有超过300个的接入信息点公司所从事的业务对网络有极大的依赖性随着公司规模不断广大 业务不断拓展 信息接入点也在不断增加 Benet公司现有网络状况1 1 广州 上海分公司网络规模较小 此次不需重建北京总公司局域网情况 Benet公司现有网络状况1 2 广州 上海分公司通过拨号访问因特网 通过个人免费邮箱向总公司发送文件 Benet公司现有网络状况1 3 综合布线情况已经铺设足够数量信息点骨干双线冗余机房建设符合要求此次不需重新布线设备情况已有7台CiscoCatalyst2950交换机已有1台Cisco2621路由器要充分利用已有设备 网络建设的要求 满足企业信息化的要求 为各类应用系统提供方便 快捷的信息通路良好的性能 能够支持大容量和实时性的各类应用能够可靠地运用 实施高可用性易于维护管理 使用维护简单提高安全机制 满足保护企业信息安全的要求具有较高的性价比未来升级扩展容易 保护用户投资 网络需求分析1 1 广州 上海分公司通过虚拟专线连接北京总公司 使用路由器实现北京 广州 上海三部分网络的互联互通北京总公司的内部局域网络采用全冗余的结构来保障网络的高可用性北京总公司的局域网规划使用Vlan VTP STP等交换技术 提高网络的稳定性和可靠性3部分网络互联要求使用收敛速度快 效率高的动态路由协议 保证总公司和分公司网络之间的可达性和稳定性出于安全的考虑 广州和上海分公司的员工只允许访问总公司的服务器 而不能直接访问总公司员工其他分公司员工的计算机 网络设备选型要求 为了和原有设备保持最好的兼容性 依然选用Cisco设备所有的硬件设备符合国家有关标准和规定 符合国家相关产品质量标准 安全和电磁学规范具体设备型号路由器 Cisco2621核心交换机 CiscoCatalyst3750接入交换机 原有CiscoCatalyst29 0 项目建设总体规划交换部分设计路由部分设计广域网部分设计网络安全性与可靠性设计 方案设计 网络总体设计 Interet 上海 广州 北京 设备选型 网络设备的选定交换机选择Cisco公司的2950系列固定安装的线速快速以太网桌面交换机CiscoCatalyst2950系列Catalyst2950 48路由器则选择2600系列路由器模块化多服务设计的2600系列路由器Cisco2611xm 设备选择 设备清单与设备命名规范 代表二层交换机 代表三层交换机 代表路由器 为了便于管理 设备命名按照 地点 设备型号 编号全部采用大写字母 数字和横线组成北京 上海 广州的缩写分别为 BJ SH GZ 设备端口分配 VLAN与IP地址的规划 交换机部分设计 考虑到北京总部有不同的部门 在这里采用划分VLAN来划分各个部门 控制广播风暴由于采用VLAN来划分各个部门 处于安全性的考虑 故采用VTP来控制VLAN的创建 删除考虑对链路的冗余备份会导致出现环路 故采用STP来实现链路的冗余备份 核心交换机采用对VLAN的STP协议实现互为备份 实现负载均衡考虑到核心交换机传输的数据量比较大 采用以太网通道来增加核心交换机的传输带宽 VTP设计 VTP域名 benetVTP密码 benetVTP版本 2VTP修剪 开启VTPserver包括BJ RS 1 BJ RS 2VTPclient包括BJ S 1 7 STP设计 Benet公司北京总公司局域网采用全冗余结构 在交换往中造成了大量的交换环路 可能会引起网络中的广播风暴和桥接震荡等问题 所以将在网络中启用生成树协议 EthernetChannel设计 在两台核心交换机之间设计了一条以太网通道 该以太网通道汇聚的是两条核心交换机之间的链路 分别使用了两台核心交换机上的 端口 使两台核心交换机之间的链路达到200Mbps VLAN间路由设计 Benet公司北京总公司网络中 原本是通过在路由上配置单臂路由 来实现VLAN之间的路由的 但随着交换机数量 VLAN数量 最终用户数量的增多 采用单臂路由方式得流经路由器与交换机之间链路的流量也随之增大 这是 这条链路成为了整个网络的瓶颈 考虑到原先单臂路由随着信息点接入的增多而出现瓶颈 在这里选用3层交换机实现硬件的数据转发 大幅度降低信息点不断增多的影响 考虑到核心设备故障将导致整个网路瘫痪 故采用HSRP来实现北京总部的路由冗余备份 路由部分的设计 考虑到以后规模的扩充 在这里选用OSPF动态路由协议 而不采用RIP协议考虑到分公司要求能访问服务器 公司内部仅用单一的因特网访问出口 在这里选用ACL访问控制列表来实现考虑到核心设备故障将导致整个网路瘫痪 故采用HSRP来实现北京总部的路由冗余备份 OSPF区域规划 为了解决最短路径优先算法的频繁计算 路由表过大 链路状态数据库过大的问题 ospf将大型的网络分为多个区域 划分区域具有以下的优点 减少ospf路由协议的LSA泛洪和链路带宽的占用 降低spf计算频率 减少路由器的资源消耗 具有更小的路由表 降低链路状态更新的负荷 提高网络的稳定性 OSPF区域划分的原则 北京总公司的路由器内联本地设备的接口属于 rea0 北京总公司的三层交换机上的路由端口属于Area0 我们将广州分公司分为 rea1 把上海分公司分为Area2分公司路由器只连接末梢网络 所以分公司的ospf区域均为末梢区域 并可设置成完全末梢区域 以减少Area1和Area2中LSA的泛洪数量 OSPF区域的划分图 OSPF区域规划表 广域网部分设计1 1 Benet公司仅在北京总公司有因特网出口申请一条以太网方式的宽带接入链路出口部署在路由器上申请1段公网IP地址 公司总部和其分支机构 办公室之间建立的VPN替代了传统的专线或分组交换WAN连接它们形成了一个企业的内部互联网络 北京总部 Internet 虚拟专用网络 广州分公司 广域网部分设计1 2 上海分公司 网络安全建设管理原则 网络建设方案机房管理制度各类人员职责分工部门和人员职责安全保密规定安全策略文档口令管理制度 系统操作规程应急响应方案用户授权管理安全防护记录定期对系统运行 用户操作等进行安全评估其它制度 保护设备的物理安全保护设备的密码控制Telnet访问禁止CDP关闭HTTP服务 网络一般安全策略 ACL设计 北京总公司部分通过ISA服务器访问因特网对外屏蔽Telnet对外屏蔽简单网管协议SNMP防止DoS攻击分公司部分不允许访问总公司的用户主机和其他分公司允许访问总公司服务器允许访问因特网 网络可靠性设计 HSRP在两台核心交换机上配置 实现了网关的冗余按VLAN划分HSRP组两台核心交换机分别在不同的HSRP组内承担活跃路由器角色活跃路由器的选择和STP中根网桥的选择保持一致配置优先级和占先权在两台核心层的交换机上配置以太网通道和STP 用来实现两台核心层线路的冗余和设备的冗余在接入层交换机上配置上行速链路和速端口 用来提高网络的收敛速度和减少网络系统故障切换的时间 主机之间ping 验证各主机之间是否连通查看各交换机上的VLAN信息 验证VLAN学习是否正确查看交换机上的STP信息 验证STP根网桥是否正确主机之间长ping时 断开上连链路 验证数据是否负载分担分公司访问因特网必须通过总公司 工程测试与验收 测试方法 测试完成后 由施工单位提出工程初步验收申请 由建设方和第三方审核 审核通过后 三方召开现场协调会来确定验收的时间 地点 三方到场由技术人员一句测试文档和测试报告再进行综合测试 核对测试结果 工程测试与验收 工程验收 时间 周六 周日9 00 11 30地点 贵公司一楼多媒体会议室02室人数 25人 次方式 现场对象 普通员工与网络管