中小型企业网络工程实施方案.docx
《中小型企业网络工程实施方案.docx》由会员分享,可在线阅读,更多相关《中小型企业网络工程实施方案.docx(31页珍藏版)》请在冰豆网上搜索。
中小型企业网络工程实施方案
第一章总体设计
1.1系统设计原则
1)公司使用2台核心交换机(做冗余备份),连接所有网络设备,并把所有服务器都连接到该核心交换机,放置到一个单独的VLAN中。
2) 接入层交换机连接终端用户,并把管理层人员和普通的办公人员放入不同的VLAN中。
3)公司的管理人员可以访问普通员工的PC,但普通员工不可以访问管理人员的PC.。
4)离该公司总部有2公里处,有一个分公司,主要是负责生产活动。
和分公司连接采用路由器。
而分公司内部使用一个交换机连接所有用户,所有用户都在一个VLAN中;(可采用光纤连接)。
5)所有的用户都使用DHCP获得IP地址。
6)总公司采用linuxiptables防火墙+路由器上网。
公司已经申请了100M城域网宽带上网(分两条线路,一条40M一条60M;要求:
服务器占用40M,供外网用户访问,其他用户用60M出口访问internet)。
7)公司采用微软的域管理方法,对所有用户的帐号和权限通过AD来管理,并要提供99%的可靠。
8)公司内部要有自己的邮件服务器,并可以和Internet的邮件服务器实现互发邮件。
为出差人员提供方便的邮件访问。
9) 该公司有电子商务网站,提供客户在线定购产品,故要发布该WEB服务器,并提供高可靠性。
10)该公司的防病毒采用统一集中的网络管理模式。
11)严格限制上网时间。
12)出差用户要能方便的访问公司内部资料。
1.2网络拓扑架构
1.3设计依据和规范
1)主机和网络设备的选型符合下列国家和组织的技术标准和规范:
2)GB:
中华人民共和国国家标准
3)ISO:
国际标准组织
4)ITU-T:
国际电信联盟
5)IEEE:
国际电气与电子工程师协会
6)EIA:
电气工业协会
7)IEC:
国际电工协会
第二章到货前准备
2.1项目人员的组织结构及分工
Ø项目经理:
负责项目的总体协调工作
Ø商务负责:
负责以商务相关的工作
Ø技术负责:
负责项目的总体实施
Ø工程技术人员CCNP、CCNA:
CCNP为项目实施的技术把关,CCNA负责项目的具体实施和项目实施文档的制作
Ø后勤负责:
为所有项目实施人员提供后勤保障工作
2.2工程时间安排、进度安排
预计1月初设备全部到货,总预计4到5周时间完成项目
具体实施如下:
工程安排
签订合同—11.1
11.25-11.30
12.1—12.15
12.16
12.17—1.20
1.30
设备订购
设备到货验收
系统安装工程
现场培训
系统整体测试
系统验收测试
系统安装工程具体分解以下的子任务:
✧中心和汇聚交换机的模拟环境联合调试天
✧各边缘交换机的调试天
✧广域网和QuidwayS6509的调试天
✧ACL和NAT的设置天
✧网管软件的安装与调试天
第三章到货,实施前准备
3.1现场检查与到货验收
Ø检查设备的型号及数量是否与设备订货清单一致
Ø检查到货的设备是否完好
Ø验收的结果应该提供一份由参与验收的人员和系统集成商签名的硬件清单,并注明好相关的日期
Ø如果没有可见的设备损坏,那么在验货后,即开始设备的安装和调试,测试是否存一些不可见的硬件损坏。
设备到货,进行设备的验收,要求必须记录设备的序列号,表格如下:
设备名称
型号—序列号
到货时间
签收人员
3.2IP地址及Vlan分配
3.2.1总体IP—Vlan划分
VLAN号
子网名称
IP范围
网关
VLAN名称
管理IP
10
办公楼1
192.168.10.0/24
192.168.10.254
Office1
192.168.10.252
20
办公楼2
192.168.20.0/24
192.168.20.254
Office2
192.168.20.252
30
分公司
192.168.30.0/24
192.168.30.254
Branchoffice
192.168.30.252
40
普通员工
192.168.40.0/24
192.168.40.254
Laborialstaff
192.168.40.252
50
管理层人员
192.168.50.0/24
192.168.50.254
Manager
192.168.50.252
3.2.2服务器集群IP—Vlan100划分
服务器名称
WEB服务器
FTP服务器
DNS服务器
Exchange
DHCP服务器
IP地址
192.168.1.100
192.168.1.100
192.168.1.100
192.168.2.100
192.168.2.200
网关
192.168.1.254
192.168.1.254
192.168.1.254
192.168.2.254
192.168.2.254
3.3.3Iptables防火墙—Vlan200划分
Name
IP地址
网关
所属机构
内网
192.168.1.200
192.168.1.200
某公司
外网—40M
218.85.157.100
218.85.157.254
ISP
外网—60M
218.85.158.100
218.85.158.254
ISP
第四章实施
4.1相关的设备选型
H3CS7500系列以太网交换机
H3CS7500系列交换机作为H3C公司自适应安全网络的核心产品之一,可广泛的适用于IP城域网、大型企业园区网、中小型企业办公网络的核心层和汇聚层,同时其也可以作为以太无源光网络(EPON)的光线路终端(OLT)设备,为用户提供多种业务接入、交换、路由一体化的安全融合网络解决方案。
H3CS7500系列交换机支持高达768G交换容量的高速引擎,包括以下4款产品:
◆S7502:
2个业务插槽,主控板与业务板合一;
⏹S7503:
3个业务插槽,1个主控插槽;
⏹S7506:
6个业务插槽,1个主控插槽;
◆S7506R:
6个业务插槽,2个主控插槽;
H3CS5600系列以太网交换机
H3CS5600系列全千兆智能弹性交换机是H3C公司为设计和构建高弹性和高智能网络需求而推出的新一代以太网交换机产品。
系统采用H3C公司创新的IRF(IntelligentResilientFramework,智能弹性架构)技术,支持高达96G的堆叠带宽和高密度千兆端口,支持万兆上行。
特别适合作为需要高带宽、高性能和高扩展性的中小企业网核心、大型企业网络和园区网的汇聚层以及数据中心的服务器接入设备。
产品系列齐全,每款都支持1端口、2端口万兆接口或8端口SFP千兆光口,最大的堆叠带宽达到96G
支持创新的IRF(IntelligentResilientFramework)智能弹性架构技术,能够实现用户网络的高度弹性智能扩展
可通过双绞线向远端下挂PD设备(如IPPhone、WLANAP、Security、BluetoothAP等)提供电源,实现PoE功能
支持EAD(端点准入防御)功能,配合后台系统可以将终端防病毒、补丁修复等终端安全措施与网络接入控制、访问权限控制等网络安全措施整合为一个联动的安全体系
更加多样化的管理和丰富的特性
4.2局域网的相关调试
4.2.1核心H3CS7500交换机的VRRP调试
SW1
sys
[SW1]vlan10
[SW1-vlan10]vlan20
[SW1-vlan20]valn50
[SW1-vlan50]vlan60
[SW1-vlan60]intvlan50
[SW1-Vlan-interface50]ipadd192.168.50.124
[SW1-Vlan-interface50]intvlan60
[SW1-Vlan-interface60]ipadd192.168.60.124
[SW1-Vlan-interface60]quit
[SW1]iproute-static0.0.0.00.0.0.0192.168.50.252
[SW1]iproute-static0.0.0.00.0.0.0192.168.60.253
[SW1]inte0/4/3
[SW1-Ethernet0/4/3]portlink-typeaccess
[SW1-Ethernet0/4/3]portaccessvlan50
[SW1-Ethernet0/4/3]inte0/4/2
[SW1-Ethernet0/4/2]portlink-typeaccess
[SW1-Ethernet0/4/2]portaccessvlan60
[SW1-Ethernet0/4/2]quit
[SW1]
SW2
sys
[SW2]vlan10
[SW2-vlan10]vlan20
[SW2-vlan20]vlan50
[SW2-vlan50]vlan60
[SW2-vlan60]inte0/4/3
[SW2-Ethernet0/4/3]portlink-typetrunk
[SW2-Ethernet0/4/3]porttrunkpermitvlanall
[SW2-Ethernet0/4/3]intvlan10
[SW2-Vlan-interface10]ipadd192.168.10.25224
[SW2-Vlan-interface10]intvlan20
[SW2-Vlan-interface20]ipadd192.168.20.25224
[SW2-Vlan-interface20]intvlan50
[SW2-Vlan-interface50]ipadd192.168.50.25224
[SW2-Vlan-interface50]quit
[SW2]intvlan10
[SW2-Vlan-interface10]vrrpvrid10virtual-ip192.168.10.254
[SW2-Vlan-interface10]vrrpvrid10priority120
[SW2-Vlan-interface10]vrrpvrid10preempt-mode
[SW2-Vlan-interface10]vrrpvrid10trackinterfaceVlan-interface50reduced50
[SW2-Vlan-interface10]intvlan20
[SW2-Vlan-interface20]vrrpvrid20virtual-ip192.168.20.254
[SW2-Vlan-interface20]vrrpvrid20preempt-mode
[SW2-Vlan-interface20]inte0/4/2
[SW2-Ethernet0/4/2]portlink-typeaccess
[SW2-Ethernet0/4/2]portaccessvlan50
[SW2-Ethernet0/4/2]quit
[SW2]iproute-static0.0.0.00.0.0.0192.168.50.1
SW3
sys
[SW3]inte0/4/4
[SW3]vlan10
[SW3-vlan10]vlan20
[SW3-vlan20]vlan50
[SW3-vlan50]vlan60
[SW3-vlan60]inte0/4/3
[SW3-Ethernet0/4/3]portlink-typetrunk
[SW3-Ethernet0/4/3]porttrunkpermitvlanall
[SW3-Ethernet0/4/3]intvlan10
[SW3-Vlan-interface10]ipadd192.168.10.25324
[SW3-Vlan-interface10]intvlan20
[SW3-Vlan-interface20]ipadd192.168.20.25324
[SW3-Vlan-interface20]intvlan60
[SW3-Vlan-interface60]ipadd192.168.60.25324
[SW3-Vlan-interface60]intvlan10
[SW3-Vlan-interface10]vrrpvrid10virtual-ip192.168.10.254
[SW3-Vlan-interface10]vrrpvrid10preempt-mode
[SW3-Vlan-interface10]intvlan20
[SW3-Vlan-interface20]vrrpvrid20virtual-ip192.168.20.254
[SW3-Vlan-interface20]vrrpvrid20priority120
[SW3-Vlan-interface20]vrrpvrid20preempt-mode
[SW3-Vlan-interface20]vrrpvrid20trackinterfaceVlan-interface60reduced50
[SW3-Vlan-interface20]inte0/4/2
[SW3-Ethernet0/4/2]portlink-typeaccess
[SW3-Ethernet0/4/2]portaccessvlan60
[SW3-Ethernet0/4/2]quit
[SW3]iproute-static0.0.0.00.0.0.0192.168.60.1
4.3广域网的相关调试
4.3.1IPTABLES防火墙的配置
[root@localhost~]#echo1>/proc/sys/net/ipv4/ip_forward
[root@localhost~]#iptables-tnatPOSTROUTING-s192.168.1.0/24-oeth1-jSNAT--to218.85.157.100
[root@localhost~]#iptables-tnat-APREROUTING-ptcp--dport80-d218.85.157.100-jDNAT--to-destination192.168.1.100
[root@localhost~]#iptables-pINPUTDROP
[root@localhost~]#iptables-pOUTPUTACCEPT
[root@localhost~]#iptables-pFORWARDDROP
[root@localhost~]#iptables-AINPUT-ptcp--dport22-jACCEPT
[root@localhost~]#iptables-AOUTPUT-ptcp--sport22-jACCEPT
[root@localhost~]#iptables-AOUTPUT-ptcp--sport80-jACCEPT
[root@localhost~]#iptables-AINPUT-ptcp--dport80-jACCEPT
[root@localhost~]#iptables-AINPUT-ptcp--dport110-jACCEPT
[root@localhost~]#iptables-AINPUT-ptcp--dport25-jACCEPT
[root@tp~]#iptables-AINPUT-ptcp--dport21-jACCEPT
[root@localhost~]#iptables-AINPUT-ptcp--dport20-jACCEPT
[root@localhost~]#iptables-AINPUT-ptcp--dport53-jACCEPT
[root@localhost~]#/etc/init.d/iptablessave
[root@localhost~]#/etc/init.d/iptablesrestart
4.4RedHatLinux5系统上相关服务器的搭建
4.4.1WEB服务器的安装配置
WEB服务器的ip地址:
192.168.1.100
域名:
[root@localhost~]#cd/home/wg2010
[root@localhostwg2010]#tar-zxvfhttpd-2.0.59.tar.gz–C/tmp
[root@localhostwg2010]#cd/tmp
[root@localhosttmp]#cdhttpd-2.0.59/
[root@localhosthttpd-2.0.59]#./configure--prefix=/usr/loacl/apache--sysconfdir=/usr/loacl/apache/conf
[root@localhosthttpd-2.0.59]make
[root@localhosthttpd-2.0.59]makeinatall
4.4.2DNS服务器的安装配置:
DNS服务器ip地址:
192.168.1.100
[root@localhost~]#mount/dev/cdrom/mnt/cdrom
[root@localhost~]#cd/mnt/cdrom
[m[root@localhostcdrom]#cdServer/
[root@localhostServer]#ls|grepbind
[root@localhostServer]#rpm-ivhbind-9.3.3-10.el5.i386.rpm
[root@localhostServer]#rpm-ivhbind-utils-9.3.3-10.el5.i386.rpm
[root@localhostServer]#ls|grepcach
[root@localhostServer]#rpm-ivhcaching-nameserver-9.3.3-10.el5.i386.rpm
[root@localhostServer]#cd/home/wg0803/dns
[root@localhostwg0803]#ls
[m[root@localhostdns]#cp.zone/var/named
[root@localhostdns]#cp.zone/var/named
[root@localhostdns]#cpnamed.ca/var/named
cp:
是否覆盖“/var/named/named.ca”?
n
[root@localhostdns]#cpnamed.conf/etc
[root@localhostdns]#cd/var/named
[root@localhostetc]#vinamed.conf
//generatedbynamed-bootconf.pl
options{
directory"/var/named";
/*
*Ifthereisafirewallbetweenyouandnameserversyouwant
*totalkto,youmightneedtouncommentthequery-source
*directivebelow.PreviousversionsofBINDalwaysasked
*questionsusingport53,butBIND8.1usesanunprivileged
*portbydefault.
*/
//query-sourceaddress*port53;
};
//
//acachingonlynameserverconfig
//
controls{
inet127.0.0.1allow{localhost;}keys{rndckey;};
};
zone"."IN{
typehint;
file"named.ca";
};
zone"localhost"IN{
typemaster;
file"localhost.zone";
allow-update{none;};
};
zone"0.0.127.in-addr.arpa"IN{
typemaster;
file"named.local";
allow-update{none;};
};
zone""IN{
typemaster;
file".zone";
};
zone""IN{
typemaster;
file".zone";
};
zone"1.168.192.in-addr.arpa"IN{
typemaster;
file"1.168.192.in-addr.arpa";
};
include"/etc/rndc.key";
[m[root@localhostnamed]#vi.zone
$TTL86400
$ORIGIN.
@1DINSOA.(
42;serial(d.adams)
3H;refresh
15M;retry
1W;expiry
1D);minimum
1DINNS.
INMX10.
www1DINA192.168.1.1100
mail1DINA192.168.1.11
升级会员 