网络项目实战Word下载.docx
《网络项目实战Word下载.docx》由会员分享,可在线阅读,更多相关《网络项目实战Word下载.docx(13页珍藏版)》请在冰豆网上搜索。
为了提高广域网环境通信的稳定性,各分公司的Internet接入应尽量选择与总共死相同的服务提供商。
所有的VPN均为总公司和分公司之间站点到站点的数据加密通信,各分公司之间不建立vpn也不允许各分公司之间传输机密数据。
增强总公司的邮件服务器、数据库服务器的各项性能,实现整个Thor集
团公司数据库、邮件关键业务文件的统一管理。
网关防火墙设备支持基于Web勺SSLVPN到外地出差的员工可以通过SSLVPN实时、安全地和总部服务器交换关键业务信息。
2.总公司部分
通过核心及网关设备HSRP技术实现高可靠性,如图所示。
由于公司要实现Internet访问和内网服务访问的集中管理,总公司将原
来的单核心网络改造成双核心网络,并且根据不同的VLAN数据访问量实现负载均衡。
通过HSRP的端口跟踪技术实现核心设备下行链路以及连接服务器链路的主设备切换,而上行链路通过OSPF协议本身的特性实现即可。
总公司通过双路由器和公司内部专线网连接,通过OSPF勺等值路由实现负载均衡。
3.内网专线部分
通过OSPF路由协议实现网络互连,如图所示。
北京所有分公司及销售网点都通过E1专线和总公司相连,整个北京地区相当于一个大型局域网,从而可以确保网络的安全性和稳定性。
北京各分公司及销售网点与总公司之间都使用4条E1专线相连。
4条E1专线分别捆绑成2条4M链路连接到不同的总公司内网路由器。
网络稳定性、带宽以及通信延迟时间的保证,可以提高公司内网视频会议的通信质量。
在北京所有公司及销售网点的网络通过OSPF路由协议实现网络互联,并根据网络具体结构将OSPF网络划分成3个区域。
在专线网络通过QoS技术为视频流量预留一定的带宽,从而优化网络带宽,提高视频会议的通信质量。
设备选型
1.选型的基本原则§
可以对单各文件或者文件夹设置权限。
从网络的稳定性和可靠性考虑,所有交换、路由以及安全设备统一选用
Cisco品牌,采用Cisco的整体解决方案。
从工程预算成本考虑,尽量使用原有设备,可以适当更换一些性能不够用
或不稳定的设备,不要刻意追求高性能、功能强的高端设备。
从网络的扩展性考虑,设备的接口、模块数量要预留出一定的空间,设备
的背板带宽、连接数等关键性能参数也应预留一定的升级空间。
2.安全设备选型
总公司的网关防火墙对于整个Thor集团网络至关重要,它不但担负这整
个北京地区所有公司的Internet接入,更肩负这与上海、青岛分公司的VPN通信,所以工程部决定购买Cisco,而上海和青岛俩家分公司采用Cisco
设备即可。
如表1-1所示,为两款防火墙的参数对比。
3.交换设备选型
北京总公司原先使用的核心交换设备为Cisco4530,综合考虑网络的扩展性
和设备的性价比,工程部决定购买两台企业级Cisco。
总公司内网要实现“千兆到骨干,百兆到桌面”,所以原先的接入的交换机
如果没有千兆上行口,就必须更换到。
更换后的接入交换机应为Cisco3750,或Cisco2960交换机。
由于实现对业务的统一管理,所以总公司服务器的访问量将会很大,因此将所有服务器连接到Cisco2960的千兆以太网交换机上,通过交换机的4
各SFP千兆上行口两两绑定以太网通道并连接到双核心交换上。
具体Cisco
交换机参数见表1-2.
表1-2Cisco交换机参数
产品系列
号
设备型号
背板带宽
转发速率
最大
vian数
端口密度
机架单元
(RU
Cisco
48
10
128
24-10/100/1000TX
1
3750系列
3750-48TS-S
2960系列
2960-24TT
16
255
24-10/100;
2-10/100/1000TX
4.路由设备
北京Loki公司与各分公司和分销网点通过专线相连,相当于公司的内部
网络,所以网关设备没有选用防火墙,而采用Cisco的路由器进行通信。
专线网络的结构明显是一个总部网络和分支网络的互联结构,因此总部的网管设备性能比分校网店的设备要高一些。
工程部规划北京总公司的路由器购买Cisco7200,而分公司和分销点网点统一购买的是Cisco3600。
如
表1-3所示为Cisco7200系列和Cisco3600系列。
表1-3CiSCO路由器参数表
固话LAN接口
接口卡插槽
网络模块插槽
QoS和VPN的
支持
Cisco3600
两个网络插槽
NM-1FE2W;
NM-2FE2W;
NM-1FE1R2W;
NM-
2支持
Cisco7200
设计目标和原贝U
Thor集团有限责任公司的信息化建设已经成为整个集团发展的重要
组成部分,近几年集团的发展成为整个集团网络信息化建设的驱动力。
虽然Thor集团网络依然可以保证房地产业务的正常进行,但在集团各分
公司和分销网点间传输业务信息的可靠性和安全性方面暴露的问题很可能制约集团实体业务的发展速度。
为了适应公司尸体业务的发展需求,并考虑到集团的快速发展给信息化建设带来的压力,网络工程部建议Thor集团信息化
建设进入第二期网络改造阶段。
设计目标
本次Thor集团网络改造项目的设计目标如下
根据Thor集团信息化的需求,对网络系统进行总体规划,并纳入所需业务。
部署网络中心节点,提升网络安全系数,加强网络的可靠性和稳定性。
整改Thor集团北京地区的广域网结构,依据专线网络的部署和设计规范,确定通州、昌平、房山等分销网点接入北京Loki房产公司的互联方式及部署方案。
根据Loki公司内网的实际业务访问量,并兼顾未来发展,设计出安全、可靠、稳定的公司内网结构。
实现内网服务器和外网Loki-R3600-05之间的的VPN接入,并实现总公司对这些业务的统一管理。
设计原则本着“投资保护、高可靠性、安全性扩展性”的原则,加强在网络通信及系统中的安全管理、技术和产品的全面落实,最终建设一个高校、可靠、安全的网络通信及应用系统。
其中设计原则主要体现在以下几方面。
1.系统的实用性和集成性
系统的软硬件设计和集成,均应以实用为第一宗旨,在系统充分适应应用需求的基础上再考虑其它方面的功能和性能。
Thor集团的网络系统所包含的内容很多,系统设计时必须能将各种先进的软硬件设备有效集成,使系统的各个组成部分能充分发挥作用,协调一致地进行高效工作。
2.标准性和开放性
只有支持标准性和开放性的系统,才能支持与其他开放型系统一起协同工作,在网络中采用的硬件设备及软件产品应支持国际工业标准或是事实上的标准,以便能和不同厂家的开放型产品在一网络中同时共存。
3.先进性和安全性
系统所有的组成要素均应充分地考虑其先进性。
不要一味地追求实用而
忽略先进,只有将当今最先进的技术和我们的实际应用要求紧密结合,才能获得最大的系统性能和效益。
另外,网络的安全至关重要的,在某些情况下,宁可牺牲系统的部分功能也必须保证系统的安全。
对于网络安全方面主要需要考虑以下几方面。
在设备安全方面主要包括:
设备的物理安全和设备的访问安全。
数据保密。
对于通过Internet传输的重要数据,可以使用VPN技术进行加密以保证数据的安全性。
在公司内网不需要进行加密。
通过防火墙等安全设备进行安全防护。
通过ACL限制,来增强服务器的安全。
4.成熟性和高可靠性作为信息系统基础的网络结构和网络设备及设备之间的贷款应能充分地满足网络通信的需求。
网络硬件体系结构在实际应用中能经受较长时间的考验,在运行速度和性能呢刚上应该是稳定可靠的,并拥有完善的、使用的解决方案。
硬件设备应在全球范围内有广泛的使用,并且硬件厂商要有实力雄厚的售后支持队伍。
同时,应从长远的技术发展来选择具有很好前景的、较为先进的技术和产品,以适应系统未来的发展需求。
可靠性也是衡量一个计算机应用系统的重要标准之一。
在确保系统网络环境中单独设备稳定、可靠运行的前提下,还需要考虑网络整体的容错能力、安全性及稳定性,在系统出现问题和故障时能迅速地修复。
因此需要采取一定的预防措施,如对关键应用和主干设备考虑适当的冗余。
应急处理信息系统能够全天候工作,达到每周7*24小时工作的要求。
网络的可靠性主要取决于两方面:
设备的可靠性和网络拓扑的冗余。
1)设备可靠性
在选择设备时需要从设备的可靠性、转发能力、端口类型数量、价格等方面进行考虑。
设备的可靠性主要考虑设备模块的冗余,除此之外还需呀考虑设备的厂商,尽量选择如Cisco、Huawei等知名品牌厂商的设备。
2)网络冗余
网络拓扑的冗余包括,设备冗余和线路冗余。
设备冗余一般使用备份技术(HSRPVRRP等)实现一台设备出现故
障时,令一台设备可以保证网络的正常运行。
线路冗余一般为全互联或多条连路连接。
5.可维护性和可管理性整个信息网络系统中的互连设备,应是使用方便、操作简单易学,并便于维护和管理。
对复杂和怕更大的网络,要求有强有力的网络管理手段,一边合理地管理网络资源,监视网络状态及控制网络的运行。
因此,所选的网络设备应支持SNMPRMOMSMOI等协议,管理员通过网管工作站就能方便地进行网络管理、维护及修复。
在设计和实现计算机应用系统时,必须充分考虑整个系统的便于维护性,以保证一旦系统发生故障能够及时提供有效手段恢复业务,尽量减少损失。
部署网络管理一般分为两种形式:
带内网管和带外网关。
6.可扩充性和兼容性网络的拓扑结构应具有可扩展性即网络连接必须在系统结构、系统容量与处理能力、物理连接、产品支持等方面具有扩充与升级换代的可能,采用的产品要遵循通用的工业标准,一边不同类型的设备能方便灵活地接入
网络并满足系统规模扩充的要求。
设备清单、命名及连接
设备使用统计
设备命名及连接
由于Thor集团网络使用设备较多,为了便于管理和维护需要对设备进行统一的命名,命名规则应该规范化,并且命名规则应该便于理解。
Thor公
司采用三段式的命名规则,即AAAA-BBBB-CC
其中AAAA为设备所属的公司,使用汉字拼音的首字母缩写;
BBBB表示设备的型号;
CC表示设备序号,如果前两项相同可以使用数字标号标识。
具体设备命名如表2-2所示
Thor集团网络设备命名表
设备命名
描述
Loki-R3600-01
R3600
Loki公司内网专线网关设备「
Loki-R3600-02
分公司网关路由设备
Loki-R3600-03
R7200
Loki公司外网网关设备
Loki-R3600-04
模拟外网设备
Loki-R3600-05
外网验证IPSECVPN设备
Loki-SW3750-01
SW3750
Loki公司核心交换冗余设备
Loki-SW3750-02
SW2960
Loki公司核心交换设备
及IP地址的规划
本次改造工程继续使用之前的网站地址(),但为了避免IP地址的冲突,重新对IP对峙进行规划。
工程部:
;
市场部:
财务部:
外网网关:
;
网络核心设备互相连接地址
网络核心设备互连地址,如表2-6所示。
表2-6核心网络设备互联地址表
设备名称
接口及地址
对端设备
连接方式
Loki-R7200-03
S0/0;
连接的
Internet
链路
Loki-SW2960-03
23
22
Trunk链
路
24
3
Vian10
以太网链
5
Vian20
11
Vian30
Vian40
12
F0/
FO/1
Loki-R7200
设备管理IP地址
具体设备管理地址,如表2-7所示。
表2-7网络设备管理地址表
管理IP
Loki-PC-01
代理服务器
Loki-PC-02
服务器
Loki-PC-03
工程部
Loki-PC-04
市场部
Loki-PC-05
财务部
集团公司用户VLAN与IP地址
要求为该公司每个部门划分单独的VLAN以减少不必要的广播并增强网络
安全性。
具体划分如表2-5所示。
表2-8用户VLAN及IP
所在公司
功能
VLANID
IP地址网段
总部
总部服务器
VLAN10
VLAN20
VLAN30
VLAN40
具体配置
总公司核心交换部分的配置
由于此次改造工程北京Loki公司的内网VLAN数量较多,因此采用MSTP技术将所有的vlan按照流量大小等分为两组实例(instanee1和instanee2),针对这两组实例实现生成树的负载均衡。
Loki-SW3750-01noaaanew-model
switch1provisionws-c3750-24ts
systemmturouting1546
ipsubnet-zero
iprouting
配置MSTP
spanning-treemodemstspanning-treeextendsystem-idspanning-treemstconfigurationnamexilinrevision1instance1vlan1,10,20
配置OSPFrouterospf110
router-id2OSPF的配置routerospf110router-idarea0networkarea0
内网与外网之间的RIP配置
routerripversion2networkauto-summaryipforward-protocolndiproutehttpservernoiphttpsecure-serveripnatinsidesourcelistpatinterfaceSerial0/0overloadipaccess-listextendedpatdenyiphostany
permitiphostanyipaccess-listextendedvpn
包yuminstall-ybind
正向解析:
iv.文件配置
文件配置
/etc/
port53{any;
};
(any;
);
配置
2.vim/etc/“IN{typemaster;
file;
Allow-update{none;
}
cp
更改的权限
chgrpnamed/var/named/
配置文件
vim/var/named/
$TTL1D@INSOAroot(
0;
serial
1D;
refresh1H;
retry
1W;
expire
3H);
minium
NSA?
essage)中的内容。
message_file=.message?
?
?
..<
/Directory>
访问位置设置:
<
LocationURL>
....<
/Location>
虚拟机设置:
virtualHost*:
80>
/virtualHost>
serverName本站点的FQDNm名称网页文档的根目录:
缺省
/var/www/html
DirectoryIndex默认索引页/首页文件:
一般设为
ErrorLog错误日志文件的位置
CustomLog访问日志文件的位置
Listen监听服务的IP地址、端口号
ServerRoot服务目录:
/etc/hpptd/
Timeout网络连接超时,默认300秒
KeepAlive是否保持连接,可选On或Of
MaxKeepAliveRequests每次连接最多处理的请教数
KeepAliveTimeout保持连接的超时时限
Include可包含其他子配置文件:
Orderallow,deny..
Denyfrom地址1地址2....创建网页进行测试:
Vim/var/www/html/
h1>
Thisisatestpage!
!
/h1>