网络项目实战.docx

网络项目实战.docx

《网络项目实战.docx》由会员分享，可在线阅读，更多相关《网络项目实战.docx（28页珍藏版）》请在冰豆网上搜索。

网络项目实战

网络项目实战

网络信息工程2012级第一组

2014/12/24

1.1公司简介

Thor公司是一家以房地产业务为主的大型集团公司，集团公司由3个子公司组成，分别位于北京、上海、青岛三个城市。

北京Loki公司为Thor集团总公司（以下Thor集团表示三家公司总称，而Thor集团总部位于北京Loki公司处），北京Loki总公司在北京各地区建立分销点及分公司，各分公司独立执行各地区的地产收购、房屋授首改建、工程实施等业务。

公司整体规模近千人，拥有房地产开发一级资源，每年承接的工程项目有几十亿。

2004年以来，中国房地产业蓬勃发展，Thor地产公司不断融资扩张，发展迅猛。

1.2公司网络现状

公司自成立起，一直由专门的信息工程部门负责优化和扩建网络，以适应业务需求。

但由于近几年房地产行业发展较快，公司很快在各地区建起房地产分销经营点、售楼处等分支机构，这些分公司之间业务信息交流愈发频繁、数据传输也变得非常庞大，而且业务本身对于网络的安全性和可靠性要求随之愈来愈高，目前的网络系统已经无法满足企业信息化建设的需求。

如图1.2所示，由于公司在各地建立分公司时，业务相对独立，而且每个分公司在设立初期都在摸索阶段，应采用多样化的经营模式一边公司的发展，所以业务数据并没有和总公司同步，只是在月末定期向总公司汇报工作。

但是这几年公司业务相对稳定，发展也进入成熟期，董事会决定下一步的发展策略主要是同化各地的管理模式，同步整个公司的业务数据、财务数据。

但是公司的网络目前无法满足这一需求，存在的问题包括。

§北京地区的几家分销点目前依然采用ADSL的接入方式，带宽较低，数据传输不稳定，很难实现数据同步。

§各公司间通过Internet传输业务关键数据、业务数据相当不安全。

§公司的内网完全暴露于Internet，没有安装任何网络安全设备，很容易遭受黑客攻击，给公司造成巨大财务损失及信誉损失。

1.3公司网络需求

由于公司的发展历程，导致公司的网络建设有些“支离破碎”、“各自为政”，所以公司若想同化管理模式、统一业务财务相关数据，首先就应该同化各分公司的网络，具体网络改造项目的需求如下。

§尽量节约成本，最大限度的利用现有网络资源。

§北京总公司内网的干线路为千兆以太网，接入线路为百兆位以太网。

§将北京总公司和各地分公司通过内网专线互联，实现网络的高可靠性和安全性。

§统一管理北京各地分公司的Internet访问，使各分销点只能通过总公司的网关访问Internet，但这种方式又会导致总公司的核心设备压力倍增。

因此，在核心链路上采用设备的荣誉备份，保证网络的正常运行。

如果北京地区各分公司到总公司E1链路带宽不够，可以向总公司申请由本地接入Internet，总公司同意后方可实施。

§为了保证重要业务的数据流量，需要在设备上部署QoS，所以在选择设备时需要考虑QoS功能。

§为了有效抵御来自公司外部和内部的病毒和攻击，需要增强北京、上海和青岛各公司内网的安全性，在网关安装防火墙。

§由于北京、上海和青岛三家公司之间相距较远，架设专线的费用较高，需要通过三家公司的网络实现站点到站点的VPN。

1.4网络改造方案需求分析

Thor集团网络改造示意图如图1.3所示。

1.Internet部分

采用Cisco的防火墙配置IPSecVPN和SSLVPN实现Internet数据的加密、认证等，如图1.4所示。

§为了提高广域网环境通信的稳定性，各分公司的Internet接入应尽量选择与总共死相同的服务提供商。

§所有的VPN均为总公司和分公司之间站点到站点的数据加密通信，各分公司之间不建立VPN，也不允许各分公司之间传输机密数据。

§增强总公司的邮件服务器、数据库服务器的各项性能，实现整个Thor集团公司数据库、邮件关键业务文件的统一管理。

§网关防火墙设备支持基于Web的SSLVPN，到外地出差的员工可以通过SSLVPN实时、安全地和总部服务器交换关键业务信息。

2.总公司部分

通过核心及网关设备HSRP技术实现高可靠性，如图1.5所示。

§由于公司要实现Internet访问和内网服务访问的集中管理，总公司将原来的单核心网络改造成双核心网络，并且根据不同的VLAN数据访问量实现负载均衡。

§通过HSRP的端口跟踪技术实现核心设备下行链路以及连接服务器链路的主设备切换，而上行链路通过OSPF协议本身的特性实现即可。

§总公司通过双路由器和公司内部专线网连接，通过OSPF的等值路由实现负载均衡。

3.内网专线部分

通过OSPF路由协议实现网络互连，如图1.6所示。

§北京所有分公司及销售网点都通过E1专线和总公司相连，整个北京地区相当于一个大型局域网，从而可以确保网络的安全性和稳定性。

§北京各分公司及销售网点与总公司之间都使用4条E1专线相连。

4条E1专线分别捆绑成2条4M链路连接到不同的总公司内网路由器。

§网络稳定性、带宽以及通信延迟时间的保证，可以提高公司内网视频会议的通信质量。

§在北京所有公司及销售网点的网络通过OSPF路由协议实现网络互联，并根据网络具体结构将OSPF网络划分成3个区域。

§在专线网络通过QoS技术为视频流量预留一定的带宽，从而优化网络带宽，提高视频会议的通信质量。

1.5设备选型

1.选型的基本原则

§可以对单各文件或者文件夹设置权限。

§从网络的稳定性和可靠性考虑，所有交换、路由以及安全设备统一选用Cisco品牌，采用Cisco的整体解决方案。

§从工程预算成本考虑，尽量使用原有设备，可以适当更换一些性能不够用或不稳定的设备，不要刻意追求高性能、功能强的高端设备。

§从网络的扩展性考虑，设备的接口、模块数量要预留出一定的空间，设备的背板带宽、连接数等关键性能参数也应预留一定的升级空间。

2.安全设备选型

总公司的网关防火墙对于整个Thor集团网络至关重要，它不但担负这整个北京地区所有公司的Internet接入，更肩负这与上海、青岛分公司的VPN通信，所以工程部决定购买Cisco，而上海和青岛俩家分公司采用Cisco设备即可。

如表1-1所示，为两款防火墙的参数对比。

3.交换设备选型

§北京总公司原先使用的核心交换设备为Cisco4530，综合考虑网络的扩展性和设备的性价比，工程部决定购买两台企业级Cisco。

§总公司内网要实现“千兆到骨干，百兆到桌面”，所以原先的接入的交换机如果没有千兆上行口，就必须更换到。

更换后的接入交换机应为Cisco3750，或Cisco2960交换机。

§由于实现对业务的统一管理，所以总公司服务器的访问量将会很大，因此将所有服务器连接到Cisco2960的千兆以太网交换机上，通过交换机的4各SFP千兆上行口两两绑定以太网通道并连接到双核心交换上。

具体Cisco交换机参数见表1-2.

表1-2Cisco交换机参数

产品系列号

设备型号

背板带宽

转发速率

最大vlan数

端口密度

机架单元（RU）

Cisco3750系列

Cisco3750-48TS-S

48

10

128

24-10/100/1000TX

1

Cisco2960系列

Cisco2960-24TT

16

6.5

255

24-10/100；

2-10/100/1000TX

1

4.路由设备

北京Loki公司与各分公司和分销网点通过专线相连，相当于公司的内部网络，所以网关设备没有选用防火墙，而采用Cisco的路由器进行通信。

专线网络的结构明显是一个总部网络和分支网络的互联结构，因此总部的网管设备性能比分校网店的设备要高一些。

工程部规划北京总公司的路由器购买Cisco7200，而分公司和分销点网点统一购买的是Cisco3600。

如表1-3所示为Cisco7200系列和Cisco3600系列。

表1-3CiSCO路由器参数表

设备型号

固话LAN接口

接口卡插槽

网络模块插槽

QoS和VPN的支持

Cisco3600

两个网络插槽

NM-1FE2W;NM-2FE2W;NM-1FE1R2W;NM-2W

支持

Cisco7200

支持

2.1设计目标和原则

Thor集团有限责任公司的信息化建设已经成为整个集团发展的重要组成部分，近几年集团的发展成为整个集团网络信息化建设的驱动力。

虽然Thor集团网络依然可以保证房地产业务的正常进行，但在集团各分公司和分销网点间传输业务信息的可靠性和安全性方面暴露的问题很可能制约集团实体业务的发展速度。

为了适应公司尸体业务的发展需求，并考虑到集团的快速发展给信息化建设带来的压力，网络工程部建议Thor集团信息化建设进入第二期网络改造阶段。

本次Thor集团网络改造项目的设计目标如下。

§根据Thor集团信息化的需求，对网络系统进行总体规划，并纳入所需业务。

部署网络中心节点，提升网络安全系数，加强网络的可靠性和稳定性。

§整改Thor集团北京地区的广域网结构，依据专线网络的部署和设计规范，确定通州、昌平、房山等分销网点接入北京Loki房产公司的互联方式及部署方案。

§根据Loki公司内网的实际业务访问量，并兼顾未来发展，设计出安全、可靠、稳定的公司内网结构。

§实现内网服务器和外网Loki-R3600-05之间的的VPN接入，并实现总公司对这些业务的统一管理。

本着“投资保护、高可靠性、安全性扩展性”的原则，加强在网络通信及系统中的安全管理、技术和产品的全面落实，最终建设一个高校、可靠、安全的网络通信及应用系统。

其中设计原则主要体现在以下几方面。

1.系统的实用性和集成性

系统的软硬件设计和集成，均应以实用为第一宗旨，在系统充分适应应用需求的基础上再考虑其它方面的功能和性能。

Thor集团的网络系统所包含的内容很多，系统设计时必须能将各种先进的软硬件设备有效集成，使系统的各个组成部分能充分发挥作用，协调一致地进行高效工作。

2.标准性和开放性

只有支持标准性和开放性的系统，才能支持与其他开放型系统一起协同工作，在网络中采用的硬件设备及软件产品应支持国际工业标准或是事实上的标准，以便能和不同厂家的开放型产品在一网络中同时共存。

3.先进性和安全性

系统所有的组成要素均应充分地考虑其先进性。

不要一味地追求实用而忽略先进，只有将当今最先进的技术和我们的实际应用要求紧密结合，才能获得最大的系统性能和效益。

另外，网络的安全至关重要的，在某些情况下，宁可牺牲系统的部分功能也必须保证系统的安全。

对于网络安全方面主要需要考虑以下几方面。

§在设备安全方面主要包括：

设备的物理安全和设备的访问安全。

§数据保密。

对于通过Internet传输的重要数据，可以使用VPN技术进行加密以保证数据的安全性。

在公司内网不需要进行加密。

§通过防火墙等安全设备进行安全防护。

§通过ACL限制，来增强服务器的安全。

4.成熟性和高可靠性

作为信息系统基础的网络结构和网络设备及设备之间的贷款应能充分地满足网络通信的需求。

网络硬件体系结构在实际应用中能经受较长时间的考验，在运行速度和性能呢刚上应该是稳定可靠的，并拥有完善的、使用的解决方案。

硬件设备应在全球范围内有广泛的使用，并且硬件厂商要有实力雄厚的售后支持队伍。

同时，应从长远的技术发展来选择具有很好前景的、较为先进的技术和产品，以适应系统未来的发展需求。

可靠性也是衡量一个计算机应用系统的重要标准之一。

在确保系统网络环境中单独设备稳定、可靠运行的前提下，还需要考虑网络整体的容错能力、安全性及稳定性，在系统出现问题和故障时能迅速地修复。

因此需要采取一定的预防措施，如对关键应用和主干设备考虑适当的冗余。

应急处理信息系统能够全天候工作，达到每周7*24小时工作的要求。

网络的可靠性主要取决于两方面：

设备的可靠性和网络拓扑的冗余。

1）设备可靠性

在选择设备时需要从设备的可靠性、转发能力、端口类型数量、价格等方面进行考虑。

设备的可靠性主要考虑设备模块的冗余，除此之外还需呀考虑设备的厂商，尽量选择如Cisco、Huawei等知名品牌厂商的设备。

2）网络冗余

网络拓扑的冗余包括，设备冗余和线路冗余。

设备冗余一般使用备份技术（HSRP、VRRP等）实现一台设备出现故障时，令一台设备可以保证网络的正常运行。

线路冗余一般为全互联或多条连路连接。

5.可维护性和可管理性

整个信息网络系统中的互连设备，应是使用方便、操作简单易学，并便于维护和管理。

对复杂和怕更大的网络，要求有强有力的网络管理手段，一边合理地管理网络资源，监视网络状态及控制网络的运行。

因此，所选的网络设备应支持SNMP、RMON、SMON等协议，管理员通过网管工作站就能方便地进行网络管理、维护及修复。

在设计和实现计算机应用系统时，必须充分考虑整个系统的便于维护性，以保证一旦系统发生故障能够及时提供有效手段恢复业务，尽量减少损失。

部署网络管理一般分为两种形式：

带内网管和带外网关。

6.可扩充性和兼容性

网络的拓扑结构应具有可扩展性即网络连接必须在系统结构、系统容量与处理能力、物理连接、产品支持等方面具有扩充与升级换代的可能，采用的产品要遵循通用的工业标准，一边不同类型的设备能方便灵活地接入网络并满足系统规模扩充的要求。

2.2设备清单、命名及连接

由于Thor集团网络使用设备较多，为了便于管理和维护需要对设备进行统一的命名，命名规则应该规范化，并且命名规则应该便于理解。

Thor公司采用三段式的命名规则，即AAAA-BBBB-CC。

其中AAAA为设备所属的公司，使用汉字拼音的首字母缩写；BBBB表示设备的型号；CC表示设备序号，如果前两项相同可以使用数字标号标识。

具体设备命名如表2-2所示。

Thor集团网络设备命名表

设备命名

设备型号

描述

Loki-R3600-01

R3600

Loki公司内网专线网关设备

Loki-R3600-02

R3600

分公司网关路由设备

Loki-R3600-03

R7200

Loki公司外网网关设备

Loki-R3600-04

R3600

模拟外网设备

Loki-R3600-05

R3600

外网验证IPSECVPN设备

Loki-SW3750-01

SW3750

Loki公司核心交换冗余设备

Loki-SW3750-02

SW3750

Loki公司核心交换冗余设备

Loki-SW3750-02

SW2960

Loki公司核心交换设备

2.3VLAN及IP地址的规划

本次改造工程继续使用之前的网站地址（10.1.10.0），但为了避免IP地址的冲突，重新对IP对峙进行规划。

网络核心设备互连地址，如表2-6所示。

表2-6核心网络设备互联地址表

设备名称

接口及地址

对端设备

接口及地址

连接方式

Loki-R7200-03

S0/

Loki-R3600-04

S0/0/24

VPN连接的Internet链路

Loki-SW2960-03

23

Loki-SW3750-02

22

Trunk链路

24

Loki-SW3750-01

22

Trunk链路

3

Vlan10

以太网链路

5

Vlan20

以太网链路

11

Vlan30

以太网链路

16

Vlan40

以太网链路

Loki-SW3750-01

12

Loki-R3600-04

以太网链路

22

Loki-SW2960-03

24

Trunk链路

23

Loki-SW3750-02

23

以太网链路

24

Loki-SW3750-02

24

以太网链路

Loki-SW3750-02

12

Loki-R3600-04

以太网链路

11

Loki-R3600-01

F0/1

以太网链路

23

Loki-SW3750-01

23

以太网链路

24

Loki-SW3750-01

24

以太网链路

22

Loki-R7200

23

Trunk链路

具体设备管理地址，如表2-7所示。

表2-7网络设备管理地址表

设备名称

管理IP

描述

Loki-PC-01

ACS代理服务器

Loki-PC-02

http服务器

Loki-PC-03

工程部

Loki-PC-04

市场部

Loki-PC-05

财务部

2.3.3集团公司用户VLAN与IP地址

要求为该公司每个部门划分单独的VLAN，以减少不必要的广播并增强网络安全性。

具体划分如表2-5所示。

表2-8用户VLAN及IP

所在公司

功能

VLANID

IP地址网段

总部

总部服务器

VLAN10

工程部

VLAN20

市场部

VLAN30

财务部

VLAN40

2.4具体配置

总公司核心交换部分的配置

由于此次改造工程北京Loki公司的内网VLAN数量较多，因此采用MSTP技术将所有的vlan按照流量大小等分为两组实例（instance1和instance2），针对这两组实例实现生成树的负载均衡。

Instance1

Instance2

Loki-SW3750-01

VLAN10VLAN20

VLAN30VLAN40

Loki-SW3750-02

VLAN10VLAN20

VLAN30VLAN40

hostnameLoki-SW3750-01

noaaanew-model

switch1provisionws-c3750-24ts

systemmturouting1546

ipsubnet-zero

iprouting

spanning-treemodemst

spanning-treeextendsystem-id

spanning-treemstconfiguration

namexilin

revision1

instance1vlan1,10,20

//将vlan10,20划分到实例1，作为SW1_3750A的主根

instance2vlan30,40

//将vlan30,40划分到实例2，作为SW1_3750A的备根

spanning-treemst1priority24576

spanning-treemst2priority28672

vlaninternalallocationpolicyascending

interfacePort-channel1

switchporttrunkencapsulationdot1q

switchportmodetrunk

interfaceFastEthernet1/0/1

interfaceFastEthernet1/0/2

interfaceFastEthernet1/0/3

interfaceFastEthernet1/0/4

interfaceFastEthernet1/0/5

interfaceFastEthernet1/0/6

interfaceFastEthernet1/0/7

interfaceFastEthernet1/0/8

interfaceFastEthernet1/0/9

interfaceFastEthernet1/0/10

interfaceFastEthernet1/0/11

interfaceFastEthernet1/0/12

noswitchport

speed100

duplexfull

interfaceFastEthernet1/0/13

interfaceFastEthernet1/0/14

interfaceFastEthernet1/0/15

interfaceFastEthernet1/0/16

interfaceFastEthernet1/0/17

interfaceFastEthernet1/0/18

interfaceFastEthernet1/0/19

interfaceFastEthernet1/0/20

interfaceFastEthernet1/0/21

interfaceFastEthernet1/0/22

switchporttrunkencapsulationdot1q

switchportmodetrunk

interfaceFastEthernet1/0/23

switchporttrunkencapsulationdot1q

switchportmodetrunk

channel-group1modeon

interfaceFastEthernet1/0/24

switchporttrunkencapsulationdot1q

switchportmodetrunk

channel-group1modeon

interfaceGigabitEthernet1/0/1

interfaceGigabitEthernet1/0/2

interfaceVlan1

noipaddress

2．4.1.2HSRP的配置

interfaceVlan10

ipospfflood-reduction//使LSA的更新失去作用

ipospfmtu-ignore

//禁用开放OSPF最大传输单元（MTU）接收数据描述符不匹配检测

standby10priority150

standby10preempt

standby10trackFastEthernet1/0/1270

interfaceVlan20

ipaccess-groupv10in

ipospfflood-reduction

ipospfmtu-ignore

standby20priority150

standby20preempt

standby20trackFastEthernet1/0/1270

interfaceVlan30

ipaccess-groupv20in

ipospfcost65535

ipospfflood-reduction

ipospfmtu-ignore

standby30preempt

interfaceVlan40

ipospfcost65535

ipospfflood-reduction

ipospfmtu-ignore

standby40preempt

routerospf110

log-adjacency-changes

ipclassless

iphttpserver

iphttpsecure-server

ipaccess-listextendedv20

permitospfanyany

ipaccess-listextendedv30

permitospfanyany

linecon0

linevty04

passwordcisco

login

linevty515

login

end

2.4.2Loki-SW3750-02的配置：

hostnameLoki-SW3750-02