中小企业网络系统集成设计与实现课件

中小企业网络系统集成设计与实现中小企业网络系统集成设计与实现1第一章网络系统集成概述

1.企业概况2.网络系统集成的基本概念

3.网络系统集成的基本过程第一章网络系统集成概述1.企业概况2企业网络系统集成设计企业网络总体设计：采用了核心层和接入层的两层网络体系结构，而且更具安全性和方便管理性。企业网络系统集成设计企业网络总体设计：采用了核心层和接入层的3企业网络系统集成设计企业网络设计方案：企业的组网技术使用以太网技术，以太网发展比较成熟，性能稳定，性价比高，而企业需要一个安全稳定的内部网络进行日常的事务处理，之后采用二层模型星型结构，根据企业的组织架构划分好相应的vlan，最后为保证企业的正常运行。企业网络系统集成设计企业网络设计方案：企业的组网技术使用以4企业网络系统集成设计企业网络实施方案：第一：配置公司接入交换机SW2，创建VLAN、划分接口所属VLAN；第二：配置公司核心交换机SW1，同样的创建VLAN，确保能相互通讯；第三：为两台交换机配置安全措施；第四：通过WEB形式，配置无线AP，创建DHCP地址池、设置SSID号以及采用WEP的加密方式

。企业网络系统集成设计企业网络实施方案：第一：配置公司接入交换5企业网络系统集成设计配置，完善各个部门的机器，并且完成调试。根据IP划分把IP地址配置给各个端口，然后配置端口划分到聚合端口，实现与接入层交换机实现聚合

企业网络系统集成设计配置，完善各个部门的机器，并且完成调试。6企业网络系统集成设计企业网络测试：总经理能访问各个部门，而其他部门不能访问公司财务部，限制公司的财务部不能访问外网。企业网络系统集成设计企业网络测试：总经理能访问各个部门，而7第二章用户需求调研与分析

1.项目背景2.企业网络系统建设目标

3.企业网络系统建设原则第二章用户需求调研与分析1.项目背景8项目背景项目背景：中小企业网络主要是企业内部网络建设，包括企业内部计算机节点的分布与整个网络的物理线路连接合理布局，以及门户网站、电子商务平台的搭建。中小企业的网络系统集成规划、设计和维护越来越需要标准化和规划。建设原则：先进性、标准性、兼容性、可升级和可扩展性、安全性、可靠性、易操作性、可管理性。项目背景项目背景：中小企业网络主要是企业内部网络建设，包括企9需求分析企业现状：满足企业信息化得要求，为各类系统提供便捷的信息通路，能够可靠运行，具有较低的故障率和维护要求，提供网络安全机制，满足企业信息安全的要求，具有较高的性价比，方便以后企业发展，网络的建设全部需要设计和建造需求：通过这个新建的网络，提供一个安全、可靠、可扩展、高效的网络环境。使公司内能够方便快捷的实现网络资源共享、全网接入Internet等目标。企业的组织架构需求分析企业现状：满足企业信息化得要求，为各类系统提供便捷的10需求分析需求分析：网络系统、数据传输、发展需求、性能需求、用户需求、网络需求。（允许用户的访问和限制用户的访问权限。让公司某些部门能够访问外网。）需求分析需求分析：网络系统、数据传输、发展需求、性能需求、用11拓扑结构公司网络采用了交换机用树型（星型的一种特殊结构）集连的拓扑结构，第一级为信息管理控制中心。拓扑结构公司网络采用了交换机用树型（星型的一种特殊结构）集连12建设目标先进性：不仅应该能承载普通的（文件，打印等）网络流量，并且应该支持多样QOS特性。强壮性：应该具有足够的灾难恢复措施，包括电源冗余，设备冗余，主机冗余，数据库冗余，线路冗余，拨号链路冗余。安全性：采取路由器，以及防火墙以及设置DMZ区,防杀病毒、入侵检测、和漏洞扫描与修补系统、网络数据完整、网络安全保护保证内网的绝对安全。建设目标先进性：不仅应该能承载普通的（文件，打印等）网络流量13第三章企业网络的整体设计VLANNAT链路聚合PPP链路冗余第三章企业网络的整体设计VLANNAT链路聚合PPP链路冗余14网络设备采购清单网络设备采购清单15网络系统集成方案设计接入层：为所有的终端用户提供一个接入点。采用的是4台CISCOSLM224G224口交换机，分别通过2条上行链路连接到2台分布交换机。分布层：交换机起着承前启后的作用，用2台CISCOSG92-24交换机为四台接入层交换机做冗余备份，采用链路聚合增加带宽，上连接核心层交换机。核心层：交换机的CISCOSG300-28三层交换机。采用SVI方式实现VLAN之间的路由，采用STP防止冗余链路产生环路，我们以图3-1中的核心层交换机Cisco3560-24PS为例进行介绍。服务器：采用DNZ区管理服务器，安装Mail服务，使公司内部信息得到妥善管理。该服务器安装DNS、Web、FTP、证书等服务。网络系统集成方案设计接入层：为所有的终端用户提供一个接入点16IP地址规划与VLAN划分IP地址规划与VLAN划分17中小企业网络系统集成设计与实现课件18Internet接入方案在本设计中，广域网Internet接入采用PPP进行封装(CHAP)，采取NAT-Pat地址转换使局域网类的私有地址能正常上外网(只配置30网段)，采用静态NAT使外网主机能访问内网的WEB服务，配置命令如下：（1）PPP的CHAP验证：RT：usernameISPpasswordcisco

interfaceSerial0/0

encapsulationppp

pppauthenticationchap

iprouteISP：usernameRTpasswordcisco

interfaceSerial0/0

encapsulationppp

pppauthenticationchap

（2）NAT-pat配置(在RT上)：

access-list1permit55

ipnatinsidesourcelist1interfaceserial0/0Overload

interfaceserial0/0

ipnatoutside

interfaceGigabitEthernet1/0

ipnatinside

（3）静态NAT:

ipnatinsidesourcestatictcp8080

interfaceserial0/0

ipnatoutside

interfaceGigabitEthernet2/0

ipnatinsideInternet接入方案在本设计中，广域网Interne19各个子系统交换机典型配置接入层配置VTP（客户端：S1-S4,SW1-SW2）。划分VLAN端口和trunk链路配置（以S1为例）：vtpdomainciscovtpmodeclient vtppasswordciscointerfacerangefastEthernet0/1-10switchportmodeaccessswitchportaccessvlan10interfacerangefastEthernet0/11-20switchportmodeaccessswitchportaccessvlan20interfaceFastEthernet0/24switchportmodetrunkinterfaceFastEthernet0/21switchportmodetrunk分布层主要是链路聚合和本征VLAN的配置（以SW1为例）：interfacePort-channel1switchporttrunknativevlan99switchportmodetrunkinterfacerangefastEthernet0/21-22channel-group1modeonswitchportmodetrunk各个子系统交换机典型配置接入层配置VTP（客户端：S1-S420核心层主要开启路由功能，OSPF，RSTP优先级配置，链路聚合,VTP服务器端,VLAN网关，本征VLAN和端口IP的配置：MS(5)开启路由功能:iprouting(5)OSPF配置：routerospf1network55area0networkarea0(5)链路聚合配置（以MS例）：interfacePort-channel1switchporttrunknativevlan99switchporttrunkencapsulationdot1qswitchportmodetrunkinterfacePort-channel2switchporttrunknativevlan99switchporttrunkencapsulationdot1qswitchportmodetrunkinterfacerangefastEthernet0/21-22channel-group1modeonswitchportmodetrunkinterfacerangefastEthernet0/23-24channel-group2modeonswitchportmodetrunk

(6)接口IP配置：interfaceGigabitEthernet0/1noswitchportipaddress52noshutdown(7)VLAN网关配置：interfaceVlan10ipaddress54interfaceVlan20ipaddress54interfaceVlan30ipaddress54interfaceVlan40ipaddress54(8)RSTP配置:spanning-treevlan10priority4096spanning-treevlan20priority4096spanning-treevlan30priority4096spanning-treevlan40priority4096核心层主要开启路由功能，OSPF，RSTP优先级配置，链路聚21第四章网络综合布线系统设计骨干光缆工程骨干光线主要用于企业从ISP到各子系统的链接，因为光纤传输距离远，却数据传输快，稳定。第四章网络综合布线系统设计骨干光缆工程骨干光线主要用于企业从22楼宇内布线系统工作区子系统

是实现工作区终端设备与水平子系统之间的连接，由终端设备连接到信息插座的连接线缆所组成。水平子系统是实现信息插座和管理子系统（跳线架）间的连接，将用户工作区引至管理子系统，并为用户提供一个符合国际标准，满足语音及高速数据传输要求的信息点出口。楼宇内布线系统工作区子系统23管理间子系统

本子系统由交连、互连配线架组成。管理点为连接其它子系统提供连接手段。垂直干线子系统是实现计算机设备、程控交换机（PBX）、控制中心与各管理子系统间的连接，是建筑物干线电缆的路由。该子系统通常是两个单元之间，特别是在位于中央点的公共系统设备处提供多个线路设施。设备室子系统本子系统主要是由设备间中的电缆、连接器和有关的支撑硬件组成，作用是将计算机、PBX、摄像头、监视器等弱电设备互连起来并连接到主配线架上。建筑群子系统该子系统将一个建筑物的电缆延伸到建筑群的另外一些建筑物中的通信设备和装置上，是结构化布线系统的一部分，支持提供楼群之间通信所需的硬件。管理间子系统24综合布线产品的选型综合布线产品的选型25第五章网络管理与应用系统设计Dell（戴尔）服务器windowsserver2003第五章网络管理与应用系统设计Dell（戴尔）服务器win26四服务器设备的选购硬件四服务器设备的选购硬件27四服务器安装与配置网络管理方案网络采用windows域控制器来管理公司的用户和资源，采用隔离域内FTP进行用户文件共享，用WEB来发布企业信息，采用DNS对web等服务进行域名解析，为了便于信息的管理与安全传输公司安装Mail进行传输四服务器安装与配置网络管理方案28四服务器安装与配置内部服务器规划DC（域控制器）服务器硬件：戴尔PowerEdgeR820操作系统：WindowsServer2003配置：ActiveDirectory作用：集中管理企业用户、增强安全性、提升用户效率、减轻IT管理的负担与成本。策略：用户策略、计算机策略、组策略实现软件分发。FTP服务器服务器硬件：戴尔PowerEdgeR820操作系统：WindowsServer2003作用：提供资源共享、供企业内部员工上传资源和下载资源。策略：共享文件夹卷影副本、脱机文件夹缓存、文件夹重定向、磁盘配额。四服务器安装与配置内部服务器规划29四服务器安装与配置DMZ区服务器规划DNS服务器服务器硬件：戴尔PowerEdgeR820操作系统：RedHatEnterpriseLinuxServer6.0安装配置：bind软件作用：对企业内部和企业外部提供域名、IP地址解析。MAIL服务器服务器硬件：戴尔PowerEdgeR820操作系统：RedHatEnterpriseLinuxServer6.0安装配置：sendmail软件作用：对企业内部和企业外部用户提供邮件服务。四服务器安装与配置DMZ区服务器规划30四服务器规划部署DMZ区服务器规划WEB服务器服务器硬件：戴尔PowerEdgeR820操作系统：RedHatEnterpriseLinuxServer6.0安装配置：wordpress软件作用：供企业内部与外部用户访问。四服务器规划部署DMZ区服务器规划31五网络服务器安全规划设计操作系统安全措施系统服务包和安全补丁限制操作系统用户权限禁止或删除不必要的账户设置增强的密码策略设置账户锁定策略加强管理员账户的安全性服务器用户账户尽可能少严格控制账户特权加固文件系统的安全确保Windows系统使用NTFS文件系统操作系统设置文件系统权限保护文件和目录删除或禁用不必要的组件和服务禁止或删除不必要的系统服务禁止或删除不必要的网络协议尽可能减少不必要的应用程序网络共享控制日志和审核重要文件系统加密五网络服务器安全规划设计操作系统安全措施32五网络服务器安全规划设计病毒防护安装企业版杀毒软件员工PC安装个人版杀毒软件定期更新病毒库定期杀毒屏蔽非法网站WEB服务器安全措施用户控制WEB限制文件系统限制及时修复CGI漏洞设置管理员强口令五网络服务器安全规划设计病毒防护33五网络服务器安全规划设计网络边界安全屏蔽子网阻止试图对企业内部网络进行扫描阻止试图闯入内部网络的活动防止外部进行拒绝服务（Dos）攻击禁止一定范围内黑客利用Internet来探测企业内部网络的行为报文筛选、检查使用网络DMZ区网络地址转换（NAT）访问控制五网络服务器安全规划设计网络边界安全34中小企业网络系统集成设计与实现中小企业网络系统集成设计与实现35第一章网络系统集成概述

1.企业概况2.网络系统集成的基本概念

3.网络系统集成的基本过程第一章网络系统集成概述1.企业概况36企业网络系统集成设计企业网络总体设计：采用了核心层和接入层的两层网络体系结构，而且更具安全性和方便管理性。企业网络系统集成设计企业网络总体设计：采用了核心层和接入层的37企业网络系统集成设计企业网络设计方案：企业的组网技术使用以太网技术，以太网发展比较成熟，性能稳定，性价比高，而企业需要一个安全稳定的内部网络进行日常的事务处理，之后采用二层模型星型结构，根据企业的组织架构划分好相应的vlan，最后为保证企业的正常运行。企业网络系统集成设计企业网络设计方案：企业的组网技术使用以38企业网络系统集成设计企业网络实施方案：第一：配置公司接入交换机SW2，创建VLAN、划分接口所属VLAN；第二：配置公司核心交换机SW1，同样的创建VLAN，确保能相互通讯；第三：为两台交换机配置安全措施；第四：通过WEB形式，配置无线AP，创建DHCP地址池、设置SSID号以及采用WEP的加密方式

。企业网络系统集成设计企业网络实施方案：第一：配置公司接入交换39企业网络系统集成设计配置，完善各个部门的机器，并且完成调试。根据IP划分把IP地址配置给各个端口，然后配置端口划分到聚合端口，实现与接入层交换机实现聚合

企业网络系统集成设计配置，完善各个部门的机器，并且完成调试。40企业网络系统集成设计企业网络测试：总经理能访问各个部门，而其他部门不能访问公司财务部，限制公司的财务部不能访问外网。企业网络系统集成设计企业网络测试：总经理能访问各个部门，而41第二章用户需求调研与分析

1.项目背景2.企业网络系统建设目标

3.企业网络系统建设原则第二章用户需求调研与分析1.项目背景42项目背景项目背景：中小企业网络主要是企业内部网络建设，包括企业内部计算机节点的分布与整个网络的物理线路连接合理布局，以及门户网站、电子商务平台的搭建。中小企业的网络系统集成规划、设计和维护越来越需要标准化和规划。建设原则：先进性、标准性、兼容性、可升级和可扩展性、安全性、可靠性、易操作性、可管理性。项目背景项目背景：中小企业网络主要是企业内部网络建设，包括企43需求分析企业现状：满足企业信息化得要求，为各类系统提供便捷的信息通路，能够可靠运行，具有较低的故障率和维护要求，提供网络安全机制，满足企业信息安全的要求，具有较高的性价比，方便以后企业发展，网络的建设全部需要设计和建造需求：通过这个新建的网络，提供一个安全、可靠、可扩展、高效的网络环境。使公司内能够方便快捷的实现网络资源共享、全网接入Internet等目标。企业的组织架构需求分析企业现状：满足企业信息化得要求，为各类系统提供便捷的44需求分析需求分析：网络系统、数据传输、发展需求、性能需求、用户需求、网络需求。（允许用户的访问和限制用户的访问权限。让公司某些部门能够访问外网。）需求分析需求分析：网络系统、数据传输、发展需求、性能需求、用45拓扑结构公司网络采用了交换机用树型（星型的一种特殊结构）集连的拓扑结构，第一级为信息管理控制中心。拓扑结构公司网络采用了交换机用树型（星型的一种特殊结构）集连46建设目标先进性：不仅应该能承载普通的（文件，打印等）网络流量，并且应该支持多样QOS特性。强壮性：应该具有足够的灾难恢复措施，包括电源冗余，设备冗余，主机冗余，数据库冗余，线路冗余，拨号链路冗余。安全性：采取路由器，以及防火墙以及设置DMZ区,防杀病毒、入侵检测、和漏洞扫描与修补系统、网络数据完整、网络安全保护保证内网的绝对安全。建设目标先进性：不仅应该能承载普通的（文件，打印等）网络流量47第三章企业网络的整体设计VLANNAT链路聚合PPP链路冗余第三章企业网络的整体设计VLANNAT链路聚合PPP链路冗余48网络设备采购清单网络设备采购清单49网络系统集成方案设计接入层：为所有的终端用户提供一个接入点。采用的是4台CISCOSLM224G224口交换机，分别通过2条上行链路连接到2台分布交换机。分布层：交换机起着承前启后的作用，用2台CISCOSG92-24交换机为四台接入层交换机做冗余备份，采用链路聚合增加带宽，上连接核心层交换机。核心层：交换机的CISCOSG300-28三层交换机。采用SVI方式实现VLAN之间的路由，采用STP防止冗余链路产生环路，我们以图3-1中的核心层交换机Cisco3560-24PS为例进行介绍。服务器：采用DNZ区管理服务器，安装Mail服务，使公司内部信息得到妥善管理。该服务器安装DNS、Web、FTP、证书等服务。网络系统集成方案设计接入层：为所有的终端用户提供一个接入点50IP地址规划与VLAN划分IP地址规划与VLAN划分51中小企业网络系统集成设计与实现课件52Internet接入方案在本设计中，广域网Internet接入采用PPP进行封装(CHAP)，采取NAT-Pat地址转换使局域网类的私有地址能正常上外网(只配置30网段)，采用静态NAT使外网主机能访问内网的WEB服务，配置命令如下：（1）PPP的CHAP验证：RT：usernameISPpasswordcisco

interfaceSerial0/0

encapsulationppp

pppauthenticationchap

iprouteISP：usernameRTpasswordcisco

interfaceSerial0/0

encapsulationppp

pppauthenticationchap

（2）NAT-pat配置(在RT上)：

access-list1permit55

ipnatinsidesourcelist1interfaceserial0/0Overload

interfaceserial0/0

ipnatoutside

interfaceGigabitEthernet1/0

ipnatinside

（3）静态NAT:

ipnatinsidesourcestatictcp8080

interfaceserial0/0

ipnatoutside

interfaceGigabitEthernet2/0

ipnatinsideInternet接入方案在本设计中，广域网Interne53各个子系统交换机典型配置接入层配置VTP（客户端：S1-S4,SW1-SW2）。划分VLAN端口和trunk链路配置（以S1为例）：vtpdomainciscovtpmodeclient vtppasswordciscointerfacerangefastEthernet0/1-10switchportmodeaccessswitchportaccessvlan10interfacerangefastEthernet0/11-20switchportmodeaccessswitchportaccessvlan20interfaceFastEthernet0/24switchportmodetrunkinterfaceFastEthernet0/21switchportmodetrunk分布层主要是链路聚合和本征VLAN的配置（以SW1为例）：interfacePort-channel1switchporttrunknativevlan99switchportmodetrunkinterfacerangefastEthernet0/21-22channel-group1modeonswitchportmodetrunk各个子系统交换机典型配置接入层配置VTP（客户端：S1-S454核心层主要开启路由功能，OSPF，RSTP优先级配置，链路聚合,VTP服务器端,VLAN网关，本征VLAN和端口IP的配置：MS(5)开启路由功能:iprouting(5)OSPF配置：routerospf1network55area0networkarea0(5)链路聚合配置（以MS例）：interfacePort-channel1switchporttrunknativevlan99switchporttrunkencapsulationdot1qswitchportmodetrunkinterfacePort-channel2switchporttrunknativevlan99switchporttrunkencapsulationdot1qswitchportmodetrunkinterfacerangefastEthernet0/21-22channel-group1modeonswitchportmodetrunkinterfacerangefastEthernet0/23-24channel-group2modeonswitchportmodetrunk

(6)接口IP配置：interfaceGigabitEthernet0/1noswitchportipaddress52noshutdown(7)VLAN网关配置：interfaceVlan10ipaddress54interfaceVlan20ipaddress54interfaceVlan30ipaddress54interfaceVlan40ipaddress54(8)RSTP配置:spanning-treevlan10priority4096spanning-treevlan20priority4096spanning-treevlan30priority4096spanning-treevlan40priority4096核心层主要开启路由功能，OSPF，RSTP优先级配置，链路聚55第四章网络综合布线系统设计骨干光缆工程骨干光线主要用于企业从ISP到各子系统的链接，因为光纤传输距离远，却数据传输快，稳定。第四章网络综合布线系统设计骨干光缆工程骨干光线主要用于企业从56楼宇内布线系统工作区子系统

是实现工作区终端设备与水平子系统之间的连接，由终端设备连接到信息插座的连接线缆所组成。水平子系统是实现信息插座和管理子系统（跳线架）间的连接，将用户工作区引至管理子系统，并为用户提供一个符合国际标准，满足语音及高速数据传输要求的信息点出口。楼宇内布线系统工作区子系统57管理间子系统

本子系统由交连、互连配线架组成。管理点为连接其它子系统提供连接手段。垂直干线子系统是实现计算机设备、程控交换机（PBX）、控制中心与各管理子系统间的连接，是建筑物干线电缆的路由。该子系统通常是两个单元之间，特别是在位于中央点的公共系统设备处提供多个线路设施。设备室子系统本子系统主要是由设备间中的电缆、连接器和有关的支撑硬件组成，作用是将计算机、PBX、摄像头、监视器等弱电设备互连起来并连接到主配线架上。建筑群子系统该子系统将一个建筑物的电缆延伸到建筑群的另外一些建筑物中的通信设备和装置上，是结构化布线系统的一部分，支持提供楼群之间通信所需的硬件。管理间子系统58综合布线产品的选型综合布线产品的选型59第五章网络管理与应用系统设计Dell（戴尔）服务器windowsserver2003第五章网络管理与应用系统设计Dell（戴尔）服务器win60四服务器设备的选购硬件四服务器设备的选购硬件61四服务器安装与配置网络管理方案网络采用windows域控制器来管理公司的用户和资源，采用隔离