网络设计方案模板

目录TOC\o"1-3"\u摘要 3ABSTRACT 4第1章公司网络方案分析 51.1公司原网络拓扑图 51.2网络拓扑阐明 51.3公司网络现状分析 6第2章网络改造需求分析 72.1网络功效需求分析 72.2网络规模和信息点分布状况 82.3网络性能分析 112.3.1带宽分析 112.3.2可靠性与稳定性 112.3.3可扩展性 11第3章网络构造改善方案 123.1逻辑网络设计 123.2三层构造分析 133.3无线网络覆盖 143.3.1连接方式 143.3.2信息点分布 143.3.3网络拓扑 143.3.4设备选型 153.3.5覆盖范畴及信号强弱 15第4章广域网接入方案 174.1接入技术 174.2ISP供应商 18第5章VLAN设计与IP地址规划 195.1划分VLAN的重要性 195.2划分方案 19第6章布线工程设计 276.1综合布线系统总体方案设计 276.2工作区子系统设计 286.3水平布线子系统设计 296.4管理间子系统设计 296.5设备间子系统设计 296.6垂直干线子系统设计 306.7建筑群子系统设计 30第7章网络设备的选购与配备 317.1网络设备选购 317.1.1路由器 317.1.2防火墙 317.1.3交换机 327.1.4无线接入点 337.2设备配备过程 33第8章网络服务器的选购与配备 418.1各服务器功效介绍 418.1.1AD服务器（同时安装DNS服务） 418.1.2LotusDomino服务器 418.1.3ISA服务器 418.1.4ERP服务器 418.1.5TrendOfficescan服务器 428.2服务器选型 428.2.1AD服务器 428.2.2LotusDomino服务器 428.2.3ISA服务器 438.2.4ERP服务器 438.2.5TrendOfficeScan服务器 44第9章访问控制与安全方法 459.1访问控制 459.2网络安全方法 469.2.1防火墙 469.2.2ISA服务器 469.2.3无线方面的安全 47第10章方案报价清单 49参考文献 50附录 51附录A:外文资料翻译—原文部分 51附录B:外文资料翻译—译文部分 59常信公司网络系统建设方案摘要随着信息技术的迅猛发展，公司的网络运行对于公司的发展起着非常重要的作用。因此公司网络的设计也越加受到人们的重视。本项目，通过对SOHO型网络应用需求的分析，结合对公司实际的需求分析后，决定从下列几方面着手来设计公司网络，涉及公司网络方案分析，网络改造需求分析，网络构造改善拓扑，广域网接入选择，服务器设计，综合步线设计，网络设备的选购与配备，访问控制与安全方法这几大模块，制订一种切合公司实际需要的网络设计方案。在方案最后，有整套方案选用设备的具体报价，有很强的参考性。通过这一改善计划，将基本缓和该公司原有网络存在的缺点，逐步提高公司的网络性能，便于公司网络运行的管理，以最后达成改善公司网络运行的目的。核心词：网络方案；需求分析；网络拓扑；综合布线；网络设备；访问控制

第1章网络建设需求分析公司常州的分布图如图1-1所示，公司面积10*20=100平米。图1-1公司分布图1.1网络功效需求分析该公司网络系统具体需求以下：。公司部门内员工能够通过网络互相交流；确保销售部门的员工能够全部接入网络，并且要保障接入交换机的工作效率。确保财务部门接入网络时不因线路问题出现不能访问网络的状况。确保市场推广部高速运用网络传输文献…通过进一步理解客户对网络设计方面的具体规定，以及对网络技术的研究后，具体要在该网络方案中要实现的功效以及办法以下：使用固定IP宽带接入；为了满足生产车间的特殊环境和先进的移动办公方式，配备了无线宽带路由器，使整个公司成了一种有线加无线的多个接入方式的先进网络；为公司配备2台服务器（1台Web/DNS/FTPServer；1台OAServer），服务器组设在中心机房，直接与交换机相连，以充足运用核心交换机的路由，控制和安全的功效，达成服务器资源的有效运用在公司网络出口处设立防火墙，同时在中心机房的一台服务器上配备Anti-Virus和ISA，起到内网防火墙的作用，确保公司内网安全中心机房配有千兆交换机，服务器使用1G接入；确保数据的高速传输无线安全…..总经理办公室能对全部系统进行访问，开发部、测试部只能访问自己FTP的独立空间。WEB能提供外网访问。1.2网络规模和信息点分布状况大楼内的各部门、办公室位置及对应信息点分布状况以下：经理室（共2个接入点）一种电话线、一种网线接入点；前台（共2个接入点）一种电话线、一种网线接入点；办公区：设计部+开发部+运维部+测试部（共10个接入点）现有8个PC，为冗余设计，设计10个网线接入点；机房（共3个接入点）一种电话线接入，两个网线接入点。络性能分析1.3.1带宽分析根据对该公司的需求分析和改造后预期达成的效果，对公司网络带宽具体分派以下：外网与公司路由器间的连接，采用光纤接入，带宽为2M路由器与公司核心层交换机间的连接，采用以太网连接，带宽为1000M核心层交换机与公司网络中心服务器群间的连接，采用以太网（6类UTP）连接，带宽为1000M核心层交换机与各大楼汇聚层交换机间的连接，采用单模光纤，带宽为100M汇聚层交换机与接入层交换机间的连接，采用以太网连接，带宽为1000M接入层交换机与各楼内信息点间的连接，采用以太网（超5类UTP），带宽为100M1.3.2可靠性与稳定性公司网络规定含有高度可靠性与稳定性，在完毕对该公司的需求分析后，总结出网络中有这些地方对可靠性规定最高：1）中心机房内，涉及2台服务器与一台核心层交换机2）外网接入公司路由器处3）….因此，在这些重要地方要考虑到链路或设备冗余的设计。1.3.3可扩展性本次网络改善方案所需达成的效果，除了要满足公司实际网络需要外，还要考虑到满足公司将来3-5年的扩建和网络的升级，需要考虑到下列几点：1）公司规模的扩大2）分公司的建立3）出口带宽的增加4）信息点的增加（已预留了***个信息点）

第3章网络构造改善方案3.1逻辑网络设计根据对该公司的实际需求分析及对网络系统集成专业知识的调研后，为其设计的网络方案拓扑图如图3-1：图3-1公司网络设计拓扑注：该方案的设计思路是层次化，模块化，安全性和冗余。层次化：在拓扑能够看出，该方案设计模型分为3个层次（核心层，汇聚层和接入层），每一层都有特定的功效。核心层：由两台核心交换机及中心机房构成，并考虑冗余设计。汇聚层：由三台3层交换机构成，分别放置在3幢大楼中，负责汇聚3幢楼中全部的接入层交换机。接入层：由连接顾客的2层交换机或者无线接入点（AP）构成，在该拓扑中，设计为连接到公司的不同部门。冗余：为确保网络的可用性，要有适宜的冗余。在公司核心的网络节点设计了冗余，如核心层的交换机和服务器。同时，在路由器连接到外网的链路上，也设计了冗余，包含两条链路（ISDN和光纤）。模块化：根据该拓扑的3个层次，每个层中都有不同的模块，如核心层中的服务器群模块。安全性：中心机房内配有Anti-Virus服务器端+ISA，起到内网防火墙作用；公司内网连接外网的出口处，设立防火墙，保障公司全网安全。两道防火墙（“硬件外部防火墙”和“软件内部防火墙”之间的建立区域，以更加好的保护内部网络的资源免于受到外部网络攻击）。3.2三层构造分析核心层的任务是高速传输、冗余能力及可靠性。核心层普通都是由高端的路由器或第三层交换机实现。本方案中核心层选用了两台CISCO的核心路由交换机WS-C4948-S，两者通过光纤聚合链路，并放在将中心内，位于2号楼1楼。中心机房中还涉及1台路由器，1台防火墙，2台核心交换机，1台汇聚层交换机4台接入层交换机，5台应用服务器及2台部门应用服务器（人事部，财务部），这些设备分别放置在三个机柜中。中心机房的5台服务器分别与两台核心路由交换机通过多模光纤连接；汇聚层交换机也通过单模光纤连接到两台核心路由交换机；防火墙通过单模光纤分别连接到两台核心路由交换机。真正实现了链路和核心设备的冗余，从而确保了公司网络的强健性和自愈性。汇聚层是网络核心层与接入层之间的分界点，重要任务是提供与流量控制，安全及路由有关的方略。从物理上看，汇聚层交换机属于楼层交换机，或者说是楼层的核心交换机。从逻辑上看，它能够是应用系统的汇聚，汇聚层能够通过两条上行线路连接到核心层，以确保线路的冗余。在该方案中，层采用3台三层交换机，型号为CISCO的WS-C3750G-12S-E，分别位于3幢楼的1层楼中。接入层为顾客提供在本地网络访问互联网络的能力，它是最后顾客的网络接入点。接入层通过接入交换机的上行端口连接到汇聚层，普通通过2层交换机实现。在该方案中，公司各个部门的网络属于接入层，共选用了10台接入层交换机，型号为CISCOWS-C2960-48TC-L。在财务部，配一台小型文献服务器，独立管理财务数据和资料。人事部中，配EHR（电子化管理系统）服务器，统一管理人事部门的数据。该层中的2层交换机与PC间的连接采用百兆双绞线。接入层的生产车间由于特殊的工作规定，需要配备无线网络。因此，在接入层交换机下连接几个AP（点）CiscoAironet1200，覆盖整个生产车间。外连接入层作为公司内网和外网的连接点，选用Cisco的防火墙CISCOPIX-252-R-BUN，路由器选用Cisco2821，通过两条线路（光纤和ISDN）连接到INTERNET，其中ISDN仅用做备份。Cisco2821支持VPN功效，奉贤分部对嘉定总公司的访问通过VPN来实现。3.3无线网络覆盖3.3.1连接方式本次布署无线网络全部在室内进行，在已有局域网的基础上再安装无线局域网，在本方案中，将部门所需的AP点直接连在对应的接入层交换机上。3.3.2信息点分布根据公司对无线网络的需求，为公司会议室配备2个无线接入点，制造部配备9个无线接入点，物流部和质量部各配1个无线接入点，累计13个AP点。其中，2个点位于1号楼1楼，其它的点都位于3号楼1楼。将这些接入点连接到大楼管理配线间接入层的交换机上，使之接入公司网络，并划分在同一种VLAN内。3.3.3网络拓扑为该公司设计的无线网络拓扑如图3-2：图3-2公司无线网络拓扑3.3.4设备选型在设备方面采用Cisco的Aironet1200系列。CiscoAironet1200系列的模块化设计能够在2.4GHz和5GHz这两个不必申请许可的频段使用单频和双频操作，并能够进行现场升级，方便在顾客需求发生变化或者行业进一步发展时更改这些配备。现在，CiscoAironet1200系列的原则版本能够通过一种802.11b无线收发模块支持Wi-Fi客户端。CiscoAironet1200系列AP还为一种802.11a无线收发模块准备了一种专门的插槽。客户能够作为出厂安装选件购置这两种无线收发模块，也能够单独购置这些模块进行现场安装。这些无线收发模块还能够通过升级为将来的技术提供支持，例如802.11g。3.3.5覆盖范畴及信号强弱以制造部的AP点为例，其分布方式如图3-3：图3-3无线信号覆盖范畴AP的布署采用如上图方式，将AP放置于房间的墙面周边，确保整个房间的区域都能接受到无线信号。AP点中心信号最强，边沿处较弱。

第4章广域网接入方案4.1接入技术鉴于公司中型公司的网络规模，终端设备诸多，为了确保每台终端使用到一定的带宽，因此广域网接入采用光纤接入的方式。外连接入层作为公司内网和外网的连接点，选用Cisco的防火墙CISCOPIX-252-R-BUN，路由器选用Cisco2821，通过两条线路（2M光纤和ISDN）连接到INTERNET，其中ISDN仅用做备份。Cisco2821支持VPN功效，奉贤分部对嘉定总公司的访问通过VPN来实现。图4-1广域网接入方案光纤直接接入方式，是为有独享光纤高速上网需求的大企事业单位或集团顾客提供的，传输带宽2M-155M业务特点：可根据顾客群体对不同速率的需求，实现高速上网或公司局域网间的高速互联。同时由于光纤接入方式的上传和下传都有很高的带宽，特别适合开展远程教学、远程医疗、视频会议等对外信息公布量较大的网上应用。适合的顾客群体：居住在已经或便于进行综合布线的住宅、社区和写字楼的较集中的顾客；有独享光纤需求的大企事业单位或集团顾客。ISDN（IntegratedServiceDigitalNetwork），即综合业务数字网。它运用公众电话网向顾客提供了端对端的数字信道连接，用来承载涉及话音和非话音在内的多个电信业务。ISDN是基于公共电话网的全数字网络，运用普通的电话线，可开展多个业务，例如大电话、发传真、上网、局域网互联、开会议电视、专线备份等。即使ISDN的速度不快，但价格便宜，作为公司外网连接路由器的备份链路，比较适宜。4.2ISP供应商选择上海电信作为ISP供应商，具体资费如图4-2：图4-2上海电信宽带资费根据该公司对带宽的实际需求，决定选用2M

第5章VLAN设计与IP地址规划5.1划分VLAN的重要性在现有的网络中，全部部门在网络上都是相通的。同时，缺少管理的公司网络，很容易造成广播风暴。处在同一台接入层交换机下的计算机，由于没有划分VLAN，都处在一种广播域下，全部信息全部暴露在全部终端端口，容易造成数据被拦截，监听，截取。因此在改造方案中，必须为公司内部划分VLAN，更加好的管理公司网络。VLAN的划分有诸多个，惯用的划分办法是将端口和IP地址结合来划分VLAN，某几个端口为一种VLAN，并为该VLAN配备IP地址，那么该VLAN中的计算机就以这个地址为网关，其它VLAN则不能与该VLAN处在同一子网。在该方案设计中，采用的就是这种办法。5.2划分方案表5-1VLAN划分与IP地址规划表VLAN部门办公室使用点数累计IP子网网关VLAN20管理VLAN(管理全部设备)2020/2454VLAN30中心机房（服务器群）1010/2454VLAN2会议室1#1011248/24541#20451#20553#20382#10222#10322#20352#20452#2124VLAN3IT部2#20188/2454总经办2#206282#20722#20822#2092VLAN4测试部1#102552/24541#10351#104151#201203#1037VLAN5工程部2#2114048/24542#2128VLAN6物流部3#2013033/2454仓库3VLAN7销售部2#2021212/2454VLAN8财务部2#2031616/2454VLAN9采购部2#1012525/2454VLAN10人事部2#1041818/2454VLAN11质量部1#2022078/24541#203203#10253#20230仓库3VLAN12制造部3#101554/24543#104153#105153#10693#20410总计430阐明：由于选用的是思科设备，因此第一种端口写法为f0/0（和RUIJIE设备的第一种端口为f0/1写法不同）。由于设备型号全名过长，在配备时统一将设备名写为“SW-M-N”的形式，SW代表交换机，M代表工作在第几层，N代表第几台设备。如SW-1-1表达核心层的第1台交换机。对应表见表5-2：表5-2设备命名对应表设备类型设备型号设备命名路由器C2821R-1防火墙PIX-525-R-BUNFw-1核心层交换机C4948-1SW-1-1C4948-2SW-1-2汇聚层交换机C3750-1SW-2-1C3750-2SW-2-2C3750-3SW-2-3接入层交换机C2960-1SW-3-1C2960-2SW-3-2C2960-3SW-3-3C2960-4SW-3-4C2960-5SW-3-5C2960-6SW-3-6C2960-7SW-3-7C2960-8SW-3-8C2960-9SW-3-9C2960-10SW-3-10具体VLAN划分如图5-1所示：图5-1VLAN划分图其中，各部门的PC在各幢楼中的具体分布如表5-3，5-4，5-5所示：表5-31号楼信息点与部门分布楼名部门PC数1号楼质量部40测试部45会议室22表5-42号楼信息点与部门分布楼名部门PC数2号楼IT部+总经办16采购部25销售部12财务部16人事部18工程部48会议室18表5-53号楼信息点与部门分布楼名部门PC数3号楼物流部33制造部54测试部7质量部38会议室8各设备端口连线表如图5-2至5-16所示：图5-2SW-1-1连线图图5-3SW-1-2连线图图5-4SW-2-1连线图图5-5SW-2-2连线图图5-6SW-2-3连线图图5-7SW-3-1连线图图5-8SW-3-2连线图图5-9SW-3-3连线图图5-10SW-3-4连线图图5-11SW-3-5连线图图5-12SW-3-6连线图图5-13SW-3-7连线图图5-14SW-3-8连线图图5-15SW-3-9连线图图5-16SW-3-10连线图

第6章布线工程设计6.1综合布线系统总体方案设计构造化布线系统重要由工作区子系统、水平布线子系统、垂直干线子系统、设备间子系统、管理子系统和建筑群子系统这六个子系统构成，布线系统构造如图6-1所示。图6-1布线系统构造图本方案采用构造化综合布线原则布线。在楼群间采用千兆单模光纤链路连接，即从2号楼网络中心到1号楼、3号楼采用单模光纤连接。汇聚层到接入层之间采用双绞线连接。1号楼1楼管理间有两个小型机柜，放有3台接入层交换机和1台汇聚层交换机。3号楼1楼管理间同样有两个小型机柜，放有3台接入层交换机和1台汇聚层交换机。2号楼1楼，即中心机房，选用三台大机柜，放余下的设备，1号机柜从下到上分别放财务部server，人事部server，TrendOfficescan，ERPServer，ISA，LotusDomain，ActiveDirectory；2号机柜从下到上分别放4台接入层交换机和1台汇聚层交换机；3号机柜从下到上分别放防火墙，路由器以及核心层交换机。图6-2公司步线设计图在本方案的设计中，该公司有3幢大楼，楼与楼间采用单模光纤连接。6.2工作区子系统设计工作区是工作人员运用终端设备进行工作的地方。如图6.2.1所示，为财务部办公室，即为一种工作区。图6-3工作区子系统信息点由原则RJ45插座构成，每个信息面板包含一种信息点和语音点，不同型号的微机终端通过RJ45原则跳线可方便的连接到数据信息插座上；连接电话机的RJ11连接线插在语音信息口上。连接至终端和电话的介质选用超5类UTP。图6-4信息插座图6.3水平布线子系统设计如图6-5所示，水平子系统由四对UTP(非屏蔽双绞线)构成，是信息插座和管理子系统间连接的桥梁。下图为2号楼2楼，水平子系统的走线图。图6-5水平布线子系统6.4管理间子系统设计管理间子系统由交连、互连和I/O构成，如图6-6所示为1号楼的管理间，位于1楼内。管理间为连接其它子系统提供手段，它是连接垂直干线子系统和水平干线子系统的设备。其重要设备有配线架、交换机和机柜、电源等。图6-6管理间子系统6.5设备间子系统设计设备间子系统由电缆、连接器和有关支撑硬件构成。它把多个公共系统设备的多个不同设备互连起来，其中涉及电信部门的光缆、同轴电缆和程控交换机等。在该方案中，由于公司楼层不高，故将管理间和设备间放在一间。3幢大楼的管理间和设备间都位于底楼中间。6.6垂直干线子系统设计干线子系统是整个建筑物综合布线系统的一部分，它提供建筑物的干线电缆，负责连接管理子系统到设备间子系统，普通使用光缆进行布线。如图6-7所示。图6-7垂直干线子系统6.7建筑群子系统设计规模较大或性质重要的机构普通是由几座建筑物构成。在该方案中，公司有3幢大楼，各大楼间由于距离较远，采用单模光纤连接。图6-8为大楼光纤走向图。图6-8大楼光纤走向图

第7章网络设备的选购与配备在该方案中，需要用到的网络设备有1台路由器，1台防火墙，2台核心层交换机，3台汇聚层交换机，10台接入层交换机。在对网络设备配备之前，先进行设备的选购。本次设计全部选用思科的网络设备。7.1网络设备选购7.1.1路由器图7-1路由器表7-1具体参数路由器型号固定配备增加模块(涉及用途)如何上连如何下连模块化路由器Cisco2821固定LAN端口：10/100/1000Mbps×2固定WAN端口：可选广域接口卡（4个HWIC,WIC,VIC或VWIC）4个HWIC插槽+1EVM插槽+1个NME插槽，分别用于广域网接入，扩展话音模块，接入IP电话或提高网络模块性能2M光纤接入ISDN接入千兆以太网连接到防火墙其它参数以下：最大Flash内存：256MB；最大DRAM内存：1024MB；路由器网络合同：IEEE802.3X；支持VPN注：HWIC指高密度广域网接口卡。WIC为广域网接口卡。而VWIC是Voice/WANInterface的缩写，是指语音/广域网接口卡。7.1.2防火墙图7-2防火墙表7-2具体参数防火墙型号固定配备增加模块(涉及用途)如何上连如何下连公司级防火墙PIX-525-R-BUN解决器：600MHzIntelPentiumIII；随机读写内存：高达256MB；闪存：16MB,接口：双集成10Base-T快速以太网，RJ45PCI插槽：3个无千兆以太网连接至路由器千兆以太网连接至两台核心层交换机7.1.3交换机图7-3核心层交换机表7-3具体参数交换机千兆交换机所在三层构造中的位置核心层型号WS-C4948-S固定配备背板带宽(Gbps):96Gbps/端口数:48个10/100/1000M；支持VLAN增加模块4个，光纤模块，插mini头的光纤模块的插槽如何上连千兆以太网连至防火墙如何下连光纤连到各交换机；以太网连到服务器群图7-4汇聚层交换机表7-4具体参数交换机千兆交换机所在三层构造中的位置汇聚层型号WS-C3750G-12S-E固定配备背板带宽(Gbps):48Gbps/端口数:12个+4个SFP端口端口类型：10/100Base-TX,1000Base-FX/SX;支持VLAN增加模块12个如何上连光纤连至核心层交换机如何下连千兆以太网连至接入层交换机图7-5接入层交换机表7-5具体参数交换机公司级交换机所在三层构造中的位置接入层交换机型号WS-C2960-48TC-L固定配备背板带宽(Gbps):13.6Gbps/端口数:48个；端口类型：10/100Base-T,10/100/1000Base-Tx/SFP;支持VLAN增加模块2个如何上连千兆以太网连至汇聚层交换机如何下连百兆以太网连至各信息点7.1.4无线接入点图7-6无线设备表7-6具体参数其它设备型号固定配备增加模块如何上连如何下连无线接入点Aironet1200200MHz的PowerPC解决器支持两个54Mbps的无线收发操作和一种10/100以太网接口2个，无线收发模块（802.11a&b）可现场升级百兆以太网连至接入层交换机无7.2设备配备过程为实现公司网络改造后的功效，对对应设备进行以下配备，图7-7为模拟器的拓扑：图7-7模拟器拓扑先配备路由器的端口：设立路由器的S0口连到光纤，S1口连到ISDN，F0/0口连到防火墙R2821#conftR2821(config)#ints0R2821(config-if)#ipadd52R2821(config-if)#noshutR2821(config-if)#endR2821(config)#ints1R2821(config-if)#ipadd52R2821(config-if)#noshutR2821(config-if)#endR2821(config)#inte0R2821(config-if)#ipadd54R2821(config-if)#noshutR2821(config-if)#end图7-7配备截图端口配备后，showrun,显示以下：R2821#shrunBuildingconfiguration...!servicetimestampsdebuguptimeservicetimestampsloguptimenoservicepassword-encryption!hostnameR2821!ipsubnet-zero!interfaceSerial0ipaddress52noipdirected-broadcast!interfaceSerial1ipaddress52noipdirected-broadcast!interfaceEthernet0ipaddress54noipdirected-broadcast!ipclasslessnoiphttpserver!linecon0transportinputnonelineaux0linevty04!noschedulerallocateendR2821#路由器备份链路的配备：在该方案中，公司通过路由器连接到外网有两条链路（光纤和ISDN）。光纤作为主链路连接到INTRANET，而ISDN作为备份链路，一旦主链路断开后，启用ISDN线路继续保持网络的畅通。设立路由器的S0口连到光纤，S1口连到ISDN，F0/0口连到防火墙R2821#conftR2821(config)#ints0R2821(config-if)#backupinterfaces1/配备备份线路/R2821(config-if)#exitR2821(config)#ints1R2821(config-if)#backupdelay01/配备备份延迟/注：Router(config-if)#backupdelay{enable-delay|never}{disable-delay|never}

其中：enable-delay表达当主接口Down之后，发起备份的时间间隔；disable-delay表达主链路恢复后，关闭备份链路的时间间隔。在该方案中，当主接口S0断开0秒后，备份接口S1就开始工作维护网络畅通。当主链路恢复工作1秒后，备份链路就自动关闭。图7-8配备截图配备路由器静态路由图7-9配备截图配备完毕后，showrun成果以下：R2821#showrunBuildingconfiguration...!servicetimestampsdebuguptimeservicetimestampsloguptimenoservicepassword-encryption!hostnameR2821!ipsubnet-zero!interfaceSerial0ipaddress52noipdirected-broadcastbackupinterfaceSerial1!interfaceSerial1ipaddress52noipdirected-broadcast!interfaceEthernet0ipaddress54noipdirected-broadcast!ipclasslessnoiphttpserver!iproutes0!linecon0transportinputnonelineaux0linevty04!noschedulerallocateend在路由器上配备NAT，实现网络地址转换：图7-10模拟器截图配备静态NAT：R2821(config)#ipnatinsidesourcestaticR2821(config)#ints0R2821(config-if)#ipnatoutsideR2821(config-if)#inte0R2821(config-if)#ipnatinsidePC为公司一部门主机，IP为，网关为54，配备该PC的截图以下：图7-11配备截图为路由器配备NAT，使公司内部PC通过路由器能够访问外网，配备截图以下：图7-12配备截图

第8章网络服务器的选购与配备8.1各服务器功效介绍公司中心机房内有5台服务器，AD服务器，LotusDomino服务器，ISA服务器，ERP服务器，TrendOfficescan服务器。各台服务器提供的功效介绍以下：8.1.1AD服务器（同时安装DNS服务）活动目录，Windows服务器版操作系统的一种新的目录服务，只能运在域控制器上，它除了能够提供存储信息的场合，提供服务以使信息可用外，还能够保护网络对象不被非授权顾客进入，通过网络复制对象方便在域控制器崩溃时数据不会丢失。8.1.2LotusDomino服务器Domino是LotusDevelopment公司集成群件产品。它提供的功效涉及电子邮件、基于工作流的计算、以及构造化和非构造化数据的集成和管理。Domino是运行于多个平台上的服务器产品。它是以邮件为基础，以“群集”为核心，提供了某些基本的应用模块。公司用该服务器作为邮件服务器。8.1.3ISA服务器Microsoft®InternetSecurityandAcceleration(ISA)Server

提供安全、快速、可管理的Internet连接。ISA服务器集成了可识别应用程序层且功效完善的多层公司防火墙和高性能的Web缓存。它构建在MicrosoftWindowsServer™

和Windows®

Server安全和目录上，以实现网际互联的安全性（基于方略）、加速和管理。用该服务器作为公司的内网防火墙。8.1.4ERP服务器ERP是一种能够提供跨地区、跨部门、甚至跨公司整合实时信息的公司管理信息系统。它在公司资源最优化配备的前提下，整合公司内部重要或全部的经营活动，涉及财务会计、管理睬计、生产计划及管理、物料管理、销售与分销等重要功效模块，以达成效率化经营的目的。ERP服务器能起到统计和方便管理该公司全部生产经营活动的作用，是制造型公司不可缺少的。8.1.5TrendOfficescan服务器针对公司网络上的桌面PC和服务器的综合性信息安全解决方案趋势科技防毒墙网络版OfficeScan是一套集成了多个安全功效的综合性信息安全管理系统，能够全方面保护公司网络免受病毒、特洛伊木马、蠕虫、网络黑客、网络病毒、间谍软件及混合攻击的威胁。该服务器作为公司全网杀毒软件使用。8.2服务器选型8.2.1AD服务器选用DELLPowerEdgeR200图8-1AD服务器技术参数以下：解决器：单核英特尔®

酷睿2双核解决器®

E4000系列内存：4个ECCDDR-2667/800SDRAM1DIMM插槽，支持高达8GB内存硬盘：400GB310KSAS硬盘驱动器，146GB3和300GB315KSAS硬盘驱动器通信：2个嵌入式千兆位2网卡端口：背面：2个USB2.0端口、1个视频端口、1个串行连接器、1个PS/2鼠标接口、1个PS/2键盘接口；前面：2个USB2.0端口、1个视频接口显卡：集成ATI®

ES1000VGA控制器，含有32MB内存8.2.2LotusDomino服务器选用DellPowerEdgeSC1435图8-2LOTUS服务器技术参数以下：解决器：AMD皓龙TM

2300系列四核解决器，2350，2.0GHz，4x512KB二级高速缓存，95W内存：高达32GB(8DIMM插槽)：每内存支持规格：512MB/1GB/2GB/4GBECCDDR-2667MHzSDRAM硬盘：3.5英寸SATA(7.2Krpm)：80GB，160GB，250GB，500GB，750GB3和1TB1(SATA)通信：双内置Broadcom千兆网卡，含故障恢复和负载平衡功效显卡：内置ATIES1000，含16MB专用DDR内存，频率为200MHz8.2.3ISA服务器选用DELLPowerEdge1950图8-3ISA服务器技术参数以下：解决器：配备二颗主频高达3.0GHz的英特尔至强5100系列双核解决器内存：667MHz，8个插槽，最高支持32GB硬盘：3.5英寸SAS(10krpm)：146GB4和300GB4和400GB4通信：双嵌入式Broadcom®

ExtremeIITM

5708千兆以太网卡，具故障恢复和负载平衡功效显卡：集成ATIES1000控制器，含16MBSDRAM8.2.4ERP服务器选用DELLPowerEdgeR900图8-4ERP服务器技术参数以下：解决器：配备4颗英特尔®

至强®

7300系列四核解决器，X7350：2.93GHz，1066MHz前端总线，8MB高速缓存，E7330：2.40GHz，1066MHz前端总线，6MB高速缓存，E7320：2.13GHz，1066MHz前端总线，4MB高速缓存，E7310：1.60GHz，1066MHz前端总线，4MB高速缓存内存：高达128GB(32个DIMM插槽)：512MB/1GB/2GB/4GBFBD，667MHz，可选的高可用性功效涉及内存，备用和镜像硬盘：1.5TB1热插拔SAS硬盘(5X300GB)通信：英特尔PRO/1000VT四端口服务器适配器，千兆，铜线，PCI-Ex8显卡：ATI-RadeonES1000集成显卡，含32MBSDRAM8.2.5TrendOfficeScan服务器选用DELLPowerEdgeR300图8-5OfficeScan服务器技术参数以下：解决器：单个英特尔至强四核解决器3300系列，高达2.83GHz内存：6个ECCDDR-2667SDRAMDIMM插槽，支持高达24GB3内存硬盘：400GB10KSAS硬盘驱动器通信：2个嵌入式千兆位网卡显卡：集成ATI®

ES1000VGA控制器，含有32MB内存

第9章访问控制与安全方法9.1访问控制配备扩展ACL，满足不同部门之间访问的需要总经理办公室和IT部能对全部系统进行访问FTP服务仅工程部能够访问ERP服务器除人事部外都能访问人事部的E-HR服务器也仅限人事和财务部门能够访问财务部数据，仅财务部能够访问1．在SW-3-4,SW-3-5上配备扩展ACL，使总经办和IT部能对全部系统进行访问；财务部数据，仅财务部能访问SW-3-4(config)#access-list101permittcp55anySW-3-4(config)#intf0SW-3-4(config-if)#ipaccess-group101outSW-3-5(config)#access-list101permittcp5555eqwwwSW-3-5(config)#access-list101denyipanyanySW-3-5(config)#ints0SW-3-5(config-if)#ipaccess-group101in2．在SW-3-5，SW-3-6上配备扩展ACL，使FTP服务仅工程部能访问SW-3-5(config)#access-list102permittcp55eq21SW-3-5(config)#access-list102permittcp55eq20SW-3-5(config)#access-list102denyipanyanySW-3-5(config)#intf0SW-3-5(config-if)#ipaccess-group102outSW-3-6(config)#access-list102permittcp55eq21SW-3-6(config)#access-list102permittcp55eq20SW-3-6(config)#access-list102denyipanyanySW-3-6(config)#intf0SW-3-6(config-if)#ipaccess-group102out3.在SW-1-1，SW-1-2上配备扩展ACL，使ERP服务器除人事部外都能访问SW-1-1(config)#access-list103denytcp55hosteq80SW-1-1(config)#access-list103permitipanyanySW-1-1(config)#intf0/9SW-1-1(config-if)#ipaccess-group103outSW-1-2(config)#access-list103denytcp55hosteq80SW-1-2(config)#access-list103permitipanyanySW-1-2(config)#intf0/9SW-1-2(config-if)#ipaccess-group103out4．在SW-3-5上配备扩展ACL，使人事部E-HR服务器仅人事部和财务部能访问（即E-HR服务器仅财务部能访问）SW-3-5(config)#access-list103permittcp55hostSW-3-5(config)#access-list103de