网络建设方案项目报告ulti

PAGE16项目编号：20111220 文档编号：V10台湾积体电路制造股份有限公司信息基础设施建设项目网络实施方案编制： 完成日期：年月日审核： 审核日期：年月日批准： 批准日期：年月日张正超罗峻段宇张世杰联合信息技术有限责任公司2011年12月20日TOC\o"1-9"\h\u一项目概述 3二项目建设内容 41具体说明 42网络系统规划及设计方案阐述 4*台积电公司网络规划拓扑图 516960*台积电公司综合布线逻辑图设计 57283*台积电公司外网接入布线物理拓扑设计 65844*台积电公司机房到各办公区域布线设计 67155*台积电公司机柜布线图设计 83IP地址规划表设计 9三技术白皮书 101核心系统交换机系统分配 102服务器地址 113出口路由配置 114路由器策略配置 125VPN配置 136交换机配置 137服务器配置方案 15四网络维护方案设计 15五设备清单 16一项目概述台湾积体电路制造股份有限公司（以下简称台积公司）于1987年在新竹科学园区成立，是全台第一家的专业集成电路制造服务公司。身为台湾业界的创始者与领导者，台积公司为业界提供最先进的制程技术及拥有专业晶圆制造服务领域最完备的组件数据库、知识产权、设计工具、及设计流程。当今社会，信息化建设发展越来越快，科技产业不断更新换代，尤其是中国大陆，近几十年发展飞速，信息量激增，GDP不断创下新高，吸引世界各地商人们的眼球，TSMC为尽快入主中国市场也于2000年在上海开设积体电路制造分公司，但是由于网络不断提速、信息量巨增、信息表现形式的多样化对网络基础设施提出了新的要求公司需要对网络进行改进。为实现公司“建设有较强竞争力的国际化积体电路制造公司”的目标，努力完成把公司建成“技术领先、面向中国同时放眼世界的积体电路制造公司”的发展目标，加强信息化建设，使新竹总公司与上海分公司能更有效率的进行信息传递，在充满商机的中国市场中占得一席之地，公司迫切需要对技术手段进行更新以提高总公司与分公司之间的信息业务交流。台积公司现有员工约为200人，在两个城市中人数平均化，每个分公司内网中都有一个服务器集群，并经常需要安全的交换数据，员工希望使用无线接入方式在公司里办公，但服务器需要有线，台湾新竹总公司内部放置了web服务器和mail服务器，需要外部能够访问到公司内部，在带宽和稳定性上公司没有具体要求。二项目建设内容1根据公司需求，作出如下具体阐述和说明服务器需求：Web服务器、数据库服务器、dhcp、办公、存储网络需求：（1）WEB。（2）办公服务器（办公系统），内网使用。（3）Dhcp内网使用和邮件服务器。（4）存储服务器。（5）布线必须不影响公司整个装修的美观。详细建设内容（1）综合布线需求主要是价廉、合理、美观、标准。因此进行夹墙内、地板下、天花板上布线。（2）网络设备主要放在机房和大厅个办公区域头部柜子内。（3）机房内使用一个机柜（33U、1.6M），防尘地板，和空调。（4）Web和数据库服务器必须7*24不间断,使用linux操作系统架设web和ftp。（5）办公服务器和主要的网络设备放置机房机柜。办公服务器采用windows2003操作系统。主要为ftp和办公系统。（6）公司办公网上网使用CICSO路由器实现dhcp，调试室使用静态公网ip地址。2网络系统规划及设计方案阐述根据台积电公司对网络建设的要求，我们把网络系统划分为以下几个功能区1)因特网接入节点；2）汇聚层核心交换网络;3）服务器网络；4)接入层无线局域网节点本次项目规划网络连接、路由设计、IP分配、VLAN划分等内容，然后制定实施计划，最后进行设备安装实施。*台积电公司网络规划拓扑图*台积电公司综合布线逻辑图设计布线主要采取外线进入公司机房然后星形对外布线，如下图：各服务器各领导办公室各服务器各领导办公室交换机无线路由器交换机无线路由器公司路由设备公司路由设备INTERNET各办公区1办公区交换机各办公区1办公区交换机1办公区交换机2各办公区2 IP办公区交换机2各办公区2*台积电公司外网接入布线物理拓扑设计天花板机柜机柜地板光纤走向*台积电公司机房到各办公区域布线设计（1）北墙无线节点：机柜机柜地板到办公区（2）西墙无线节点布线图：（西墙无线节点，所以主要都是天花板上布线）天花板区域机无线房西会议室西墙机无线房西会议室西墙墙办公室西墙（3）南墙无线节点布线图：天花板区域卫茶生水间间总监办公室南墙董事长办公室南墙南南卫茶生水间间总监办公室南墙董事长办公室南墙南南墙墙（4）全公司地板下布线图：交换机办公区1办公区2办公区3前台办公区1办公区2办公区3前台地板下布线主要是调试室出线到办公区2这段线路采用大厅地板下布线，然后是办公区2到办公区3和办公区1的线路也是在地板下布线。在各个办公区内布线采用直接平铺在两排办公桌组的中间地板上，然后采用线槽遮盖线缆。*台积电公司机柜布线图设计外网光纤光纤收发器光纤收发器Cisco1841路由器f0f1f0f1Cisco2960交换机g0g1g0g1FTP服务器调试室WEB服务器无线网数据库服务器DHCP服务器办公区无线点MAIL服务器存储服务器（兼容机4g、320*3）机柜布线将网线与电源线分在不同的侧面。3IP地址配置方案 IP地址划分原则在台积电公司内部网络中，虽然需要接入内部网络的员工人数规模比较小，但考虑到公司的长远发展，我们选择网段规划公司内部网络IP地址。考虑到公司在台湾新竹和中国上海两地办公的事实，我们将公司答题规划IP地址如下：台湾新竹办公总部财务部：研发部：人事部：销售部：服务器区：中国上海办公区财务部：研发部：人事部：销售部：服务器区：新竹总部出口路由器接入网络运营商IP为台积电公司IP地址规划表设计三技术白皮书网络详细配置设计核心交换机地址分配IP地址（以上是整个图的一部分）：路由器：/内网使用私有地址：/R0:FA0:MULTIPLESWITCH:FA0/11:Server0作为整个公司的DHCP服务器，DHCP服务器的地址是服务器地址（以下是整个图的一部分）：SERVER0为dhcp服务器SERVER1为WEB服务器SERVER2为MAIL服务器SERVER3为DNS服务器SERVER4为数据库服务器出口路由器配置我们设计的网络是需要将路由器设置PAT地址转换和VPN功能。我们还采用路由器作为防火墙。因此需要ACL访问控制。路由器路由器f0 /0为外网进口ip设置为/.路由器内网端口ip设置为：/也就是说内网采用/这个网络。然后设置PAT地址转换。再通过配置ACL来做防火墙。PAT地址转换配置如下：R0：ipnatinsidesourcelist100interfaceFastEthernet0/1overloadipclasslessiproute!!access-list100denyip5555access-list100denyip5555access-list100permitip55anyDHCP配置如下：ROUTER>enROUTER#configureROUTER(config)#ipdhcppoolNETDHCPROUTER(dhcp-config)#networkROUTER(dhcp-config)#default-routerROUTER(dhcp-config)#dns-serverROUTER(dhcp-config)#exitROUTER(config)#ipdhcpexcluded-address0（保留1-10，这个是内网路由接口的地址和内网各网络设备的地址）ROUTER(config)#ipdhcpexcluded-address4054（保留240-154这些ip）ROUTER(config)#enR2#en测试：在局域网内随便找几台机器ping外网，本项目中ping通即可将pc机的地址该为自动获取。路由器策略配置配置口令：R2（config）#enablesecretkbznetR2(config)#linevty04R2(config-line)#passwordkbznettelR2(config-line)#endR2#writeBuildingconfiguration...[OK]配置ACL配置禁止135-445，禁止外网telnet公司路由。R2(config)#access-list120denytcpanyanyeq23R2(config)#access-list120denytcpanyanyeq135R2(config)#access-list120denytcpanyanyeq136R2(config)#access-list120denytcpanyanyeq137R2(config)#access-list120denytcpanyanyeq138R2(config)#access-list120denytcpanyanyeq139R2(config)#access-list120denytcpanyanyeq389R2(config)#access-list120denytcpanyanyeq445R2(config)#access-list120denytcpanyanyeq4444R2(config)#access-list120denyudpanyanyeq69R2(config)#access-list120denyudpanyanyeq135R2(config)#access-list120denyudpanyanyeq136R2(config)#access-list120denyudpanyanyeq137R2(config)#access-list120denyudpanyanyeq138R2(config)#access-list120denyudpanyanyeq139R2(config)#access-list120denyudpanyanyeqsnmpR2(config)#access-list120denyudpanyanyeq389R2(config)#access-list120denyudpanyanyeq445R2(config)#access-list120denyudpanyanyeq1434R2(config)#access-list120denyudpanyanyeq1433R2(config)#access-list120permitipanyanyR2(config)#intf0/0R2(config-if)#ipaccess-group120inR2(config-if)#endR2#writeBuildingconfiguration...[OK]如果需要删除规则：（config）#noaccess-list120查看规则可以：R2#showrunning-configVPN配置基于台积电公司两地办公的事实，并且需要经常安全的交换数据我们配置了site-to-siteVPN，具体配置举例如下：cryptoisakmppolicy1encr3deshashmd5authenticationpre-sharegroup2!cryptoisakmpkeyzzcaddress!!cryptoipsectransform-setmytransesp-3desesp-md5-hmac!cryptomapmymap1ipsec-isakmpsetpeersettransform-setmytransmatchaddress110access-list110permitip5555交换机配置交换机只做监控使用，因此只设置远程管理权限。交换机权限配置如下:S0>enS0#confS0(config)#interfacevlanS0(config)#interfacevlan?S0(config)#interfacevlan1S0(config-if)#ipaddS0(config-if)#noshutS0(config-if)#exitS0(config)#enablesecretkbznetS0(config)#linevty04S0(config-line)#passwordkbznetS0(config-line)#endS0#wBuildingconfiguration...[OK]S1>enS1#confS1(config)#interfacevlanS1(config)#interfacevlan?S1(config)#interfacevlan1S1(config-if)#ipaddS1(config-if)#noshutS1(config-if)#exitS1(config)#enablesecretkbznetS1(config)#linevty04S1(config-line)#passwordkbznetS1(config-line)#endS1#wBuildingconfiguration...[OK]S2>enS2#confS2(config)#interfacevlanS2(config)#interfacevlan?S2(config)#interfacevlan1S2(config-if)#ipaddS2(config-if)#noshutS2(config-if)#exitS2(config)#enablesecretkbznetS2(config)#linevty04S2(config-line)#passwordkbznetS2(config-line)#endS2#w服务器配置方案（1）WEB服务器采用linux操作系统，apache服务，mysql数据库，php网站程序并配置FTP用于上传文件，邮件服务器用于沟通。a.系统技术工程师安装配置apche、mysql、php环境。b.系统工程师安装配置邮件服务器Sendmail。c.系统技术工程师安装配置ftp服务器。d.架设公司web网站，上传数据库文件。e.做好备份镜像办公系统服务器。（2）存储服务器主要存储公司主要的软件，备份公司重要文件和重要数据库，以及各员工的重要项目、进度文件。主要采取FTP实现上传和下载的功能。员工间进行隔离。如果需要共享资料，只需要在自己的办公电脑上开启共享就好，不用存储服务器共享。四网络维护方案设计网络测试和维护在每个办公区和每台服务器对外网（定为）进行ping测试。在外网，ping公司的网站域名，测试外网对内的访问的连通性。公司服务器网络状态由网管随时检查，处理相关问题。公司办公网采取上报处理。网管必须优先保证公司web的带宽。必要时可以占用办公带宽。路由策略测试和维护在内网和外网对路由器设置的相关规则进行测试。Ping禁用的端口和除允许之外的域名。根据路由策略配置文档，在需要时进行删除增加策略的维护。DHCP功能测试开启局域网所有主机，全部开启DHCP，然后对外ping能通则表示能获取到ip。无线网络测试 将调试用的笔记本开启无线网卡，自动获取ip，开是否获取i