中小型企业网络工程实施方案.docx

1、中小型企业网络工程实施方案第一章 总体设计1.1 系统设计原则1) 公司使用2台核心交换机(做冗余备份)，连接所有网络设备，并把所有服务器都连接到该核心交换机，放置到一个单独的VLAN中。2) 接入层交换机连接终端用户，并把管理层人员和普通的办公人员放入不同的VLAN中。3) 公司的管理人员可以访问普通员工的PC，但普通员工不可以访问管理人员的PC.。4) 离该公司总部有2公里处，有一个分公司，主要是负责生产活动。和分公司连接采用路由器。而分公司内部使用一个交换机连接所有用户，所有用户都在一个VLAN中；（可采用光纤连接）。5) 所有的用户都使用DHCP获得IP地址。6) 总公司采用linux

2、 iptables防火墙+路由器上网。公司已经申请了100M城域网宽带上网（分两条线路，一条40M一条60M；要求：服务器占用40M，供外网用户访问，其他用户用60M出口访问internet）。7) 公司采用微软的域管理方法，对所有用户的帐号和权限通过AD来管理，并要提供99的可靠。8) 公司内部要有自己的邮件服务器，并可以和Internet的邮件服务器实现互发邮件。为出差人员提供方便的邮件访问。9) 该公司有电子商务网站，提供客户在线定购产品，故要发布该WEB服务器，并提供高可靠性。10) 该公司的防病毒采用统一集中的网络管理模式。11) 严格限制上网时间。12) 出差用户要能方便的访问公司

3、内部资料。1.2 网络拓扑架构1.3 设计依据和规范1) 主机和网络设备的选型符合下列国家和组织的技术标准和规范：2) GB：中华人民共和国国家标准3) ISO：国际标准组织4) ITU-T：国际电信联盟5) IEEE：国际电气与电子工程师协会6) EIA：电气工业协会7) IEC：国际电工协会第二章 到货前准备2.1项目人员的组织结构及分工 项目经理：负责项目的总体协调工作 商务负责：负责以商务相关的工作 技术负责：负责项目的总体实施 工程技术人员CCNP、CCNA：CCNP为项目实施的技术把关，CCNA负责项目的具体实施和项目实施文档的制作 后勤负责：为所有项目实施人员提供后勤保障工作2.

4、2工程时间安排、进度安排预计1月初设备全部到货，总预计4到5周时间完成项目具体实施如下:工程安排签订合同11.111.25-11.3012.112.1512.1612.171.201.30设备订购设备到货验收系统安装工程现场培训系统整体测试系统验收测试系统安装工程具体分解以下的子任务： 中心和汇聚交换机的模拟环境联合调试 天 各边缘交换机的调试 天 广域网和Quidway S6509的调试 天 ACL和NAT的设置 天 网管软件的安装与调试 天第三章 到货，实施前准备3.1现场检查与到货验收 检查设备的型号及数量是否与设备订货清单一致 检查到货的设备是否完好 验收的结果应该提供一份由参与验收的

5、人员和系统集成商签名的硬件清单，并注明好相关的日期 如果没有可见的设备损坏，那么在验货后，即开始设备的安装和调试，测试是否存一些不可见的硬件损坏。设备到货，进行设备的验收，要求必须记录设备的序列号，表格如下：设备名称型号序列号到货时间签收人员3.2 IP地址及Vlan分配3.2.1 总体IPVlan划分VLAN号子网名称IP范围网关VLAN名称管理IP10办公楼1192.168.10.0 /24192.168.10.254Office1192.168.10.25220办公楼2192.168.20.0 /24192.168.20.254Office2192.168.20.25230分公司192.

6、168.30.0 /24192.168.30.254Branch office192.168.30.25240普通员工192.168.40.0 /24192.168.40.254Laborial staff192.168.40.25250管理层人员192.168.50.0 /24192.168.50.254Manager192.168.50.2523.2.2 服务器集群IPVlan100划分服务器名称WEB服务器FTP服务器DNS服务器ExchangeDHCP服务器IP地址192.168.1.100192.168.1.100192.168.1.100192.168.2.100192.168.2

7、.200网关192.168.1.254192.168.1.254192.168.1.254192.168.2.254192.168.2.2543.3.3 Iptables防火墙Vlan200划分NameIP地址网关所属机构内网192.168.1.200192.168.1.200某公司外网40M218.85.157.100218.85.157.254ISP外网60M218.85.158.100218.85.158.254ISP第四章 实施4.1 相关的设备选型H3C S7500 系列以太网交换机H3C S7500系列交换机作为H3C公司自适应安全网络的核心产品之一，可广泛的适用于IP城域网、大型

8、企业园区网、中小型企业办公网络的核心层和汇聚层，同时其也可以作为以太无源光网络（EPON）的光线路终端（OLT）设备，为用户提供多种业务接入、交换、路由一体化的安全融合网络解决方案。H3C S7500系列交换机支持高达768G交换容量的高速引擎，包括以下4款产品： S7502：2个业务插槽，主控板与业务板合一； S7503：3个业务插槽，1个主控插槽； S7506：6个业务插槽，1个主控插槽； S7506R：6个业务插槽，2个主控插槽；H3C S5600 系列以太网交换机H3C S5600系列全千兆智能弹性交换机是H3C公司为设计和构建高弹性和高智能网络需求而推出的新一代以太网交换机产品。系统

9、采用H3C公司创新的IRF（Intelligent Resilient Framework，智能弹性架构)技术，支持高达96G的堆叠带宽和高密度千兆端口，支持万兆上行。特别适合作为需要高带宽、高性能和高扩展性的中小企业网核心、大型企业网络和园区网的汇聚层以及数据中心的服务器接入设备。产品系列齐全，每款都支持1端口、2端口万兆接口或8端口SFP千兆光口，最大的堆叠带宽达到96G 支持创新的IRF（Intelligent Resilient Framework）智能弹性架构技术，能够实现用户网络的高度弹性智能扩展 可通过双绞线向远端下挂PD设备（如IP Phone、WLAN AP、Security

10、、Bluetooth AP等）提供电源，实现PoE功能 支持EAD（端点准入防御）功能，配合后台系统可以将终端防病毒、补丁修复等终端安全措施与网络接入控制、访问权限控制等网络安全措施整合为一个联动的安全体系 更加多样化的管理和丰富的特性4.2 局域网的相关调试4.2.1核心H3C S7500交换机的VRRP调试SW1sysSW1vlan 10SW1-vlan10vlan 20SW1-vlan20valn 50SW1-vlan50vlan 60SW1-vlan60int vlan 50SW1-Vlan-interface50ip add 192.168.50.1 24SW1-Vlan-inter

11、face50int vlan 60SW1-Vlan-interface60ip add 192.168.60.1 24SW1-Vlan-interface60quitSW1ip route-static 0.0.0.0 0.0.0.0 192.168.50.252SW1ip route-static 0.0.0.0 0.0.0.0 192.168.60.253SW1int e0/4/3 SW1-Ethernet0/4/3port link-type access SW1-Ethernet0/4/3port access vlan 50SW1-Ethernet0/4/3int e0/4/2SW1

12、-Ethernet0/4/2port link-type access SW1-Ethernet0/4/2port access vlan 60SW1-Ethernet0/4/2quitSW1SW2sysSW2vlan 10SW2-vlan10vlan 20SW2-vlan20vlan 50SW2-vlan50vlan 60SW2-vlan60int e0/4/3 SW2-Ethernet0/4/3port link-type trunk SW2-Ethernet0/4/3port trunk permit vlan allSW2-Ethernet0/4/3int vlan 10SW2-Vla

13、n-interface10ip add 192.168.10.252 24SW2-Vlan-interface10int vlan 20SW2-Vlan-interface20ip add 192.168.20.252 24SW2-Vlan-interface20int vlan 50SW2-Vlan-interface50ip add 192.168.50.252 24SW2-Vlan-interface50quitSW2int vlan 10 SW2-Vlan-interface10vrrp vrid 10 virtual-ip 192.168.10.254SW2-Vlan-interfa

14、ce10vrrp vrid 10 priority 120 SW2-Vlan-interface10vrrp vrid 10 preempt-mode SW2-Vlan-interface10vrrp vrid 10 track interface Vlan-interface 50 reduced 50SW2-Vlan-interface10int vlan 20 SW2-Vlan-interface20vrrp vrid 20 virtual-ip 192.168.20.254SW2-Vlan-interface20vrrp vrid 20 preempt-mode SW2-Vlan-in

15、terface20int e0/4/2SW2-Ethernet0/4/2port link-type access SW2-Ethernet0/4/2port access vlan 50 SW2-Ethernet0/4/2quitSW2ip route-static 0.0.0.0 0.0.0.0 192.168.50.1SW3sysSW3int e0/4/4SW3vlan 10SW3-vlan10vlan 20SW3-vlan20vlan 50SW3-vlan50vlan 60SW3-vlan60int e0/4/3 SW3-Ethernet0/4/3port link-type trun

16、k SW3-Ethernet0/4/3port trunk permit vlan allSW3-Ethernet0/4/3int vlan 10SW3-Vlan-interface10ip add 192.168.10.253 24SW3-Vlan-interface10int vlan 20SW3-Vlan-interface20ip add 192.168.20.253 24SW3-Vlan-interface20int vlan 60SW3-Vlan-interface60ip add 192.168.60.253 24SW3-Vlan-interface60int vlan 10SW

17、3-Vlan-interface10vrrp vrid 10 virtual-ip 192.168.10.254SW3-Vlan-interface10vrrp vrid 10 preempt-mode SW3-Vlan-interface10int vlan 20SW3-Vlan-interface20vrrp vrid 20 virtual-ip 192.168.20.254SW3-Vlan-interface20vrrp vrid 20 priority 120SW3-Vlan-interface20vrrp vrid 20 preempt-mode SW3-Vlan-interface

18、20vrrp vrid 20 track interface Vlan-interface 60 reduced 50SW3-Vlan-interface20int e0/4/2 SW3-Ethernet0/4/2port link-type access SW3-Ethernet0/4/2port access vlan 60SW3-Ethernet0/4/2quit SW3ip route-static 0.0.0.0 0.0.0.0 192.168.60.14.3 广域网的相关调试4.3.1 IPTABLES防火墙的配置rootlocalhost # echo 1 /proc/sys/n

19、et/ipv4/ip_forwardrootlocalhost # iptables -t nat POSTROUTING -s 192.168.1.0/24 -o eth1 -j SNAT -to 218.85.157.100 rootlocalhost # iptables -t nat -A PREROUTING -p tcp -dport 80 -d 218.85.157.100 -j DNAT -to-destination 192.168.1.100rootlocalhost # iptables -p INPUT DROProotlocalhost # iptables -p O

20、UTPUT ACCEPTrootlocalhost #iptables -p FORWARD DROProotlocalhost # iptables -A INPUT -p tcp -dport 22 -j ACCEPTrootlocalhost # iptables -A OUTPUT -p tcp -sport 22 -j ACCEPTrootlocalhost # iptables -A OUTPUT -p tcp -sport 80 -j ACCEPTrootlocalhost # iptables -A INPUT -p tcp -dport 80 -j ACCEPTrootloc

21、alhost # iptables -A INPUT -p tcp -dport 110 -j ACCEPTrootlocalhost # iptables -A INPUT -p tcp -dport 25 -j ACCEPTroottp # iptables -A INPUT -p tcp -dport 21 -j ACCEPTrootlocalhost # iptables -A INPUT -p tcp -dport 20 -j ACCEPTrootlocalhost # iptables -A INPUT -p tcp -dport 53 -j ACCEPTrootlocalhost

22、 # /etc/init.d/iptables saverootlocalhost # /etc/init.d/iptables restart4.4 Red Hat Linux 5系统上相关服务器的搭建 4.4.1 WEB服务器的安装配置 WEB服务器的ip地址：192.168.1.100 域名： rootlocalhost # cd /home/wg2010rootlocalhost wg2010# tar -zxvf httpd-2.0.59.tar.gz C /tmprootlocalhost wg2010# cd /tmprootlocalhost tmp# cd httpd-2.0

23、.59/rootlocalhosthttpd-2.0.59#./configure-prefix=/usr/loacl/apache-sysconfdir=/usr/loacl/apache/confrootlocalhosthttpd-2.0.59makerootlocalhosthttpd-2.0.59make inatall4.4.2 DNS服务器的安装配置：DNS服务器ip地址:192.168.1.100rootlocalhost #mount /dev/cdrom /mnt/cdromrootlocalhost # cd /mnt/cdrommrootlocalhost cdrom#

24、 cd Server/rootlocalhost Server# ls |grep bindrootlocalhost Server# rpm -ivh bind-9.3.3-10.el5.i386.rpm rootlocalhost Server# rpm -ivh bind-utils-9.3.3-10.el5.i386.rpm rootlocalhost Server# ls |grep cachrootlocalhost Server#rpm -ivh caching-nameserver-9.3.3-10.el5.i386.rpm rootlocalhost Server# cd /

25、home/wg0803/dnsrootlocalhost wg0803# lsmrootlocalhost dns# cp .zone /var/namedrootlocalhost dns# cp .zone /var/namedrootlocalhost dns# cp named.ca /var/namedcp：是否覆盖“/var/named/named.ca”? nrootlocalhost dns# cp named.conf /etcrootlocalhost dns# cd /var/namedrootlocalhost etc# vi named.conf/ generated

26、 by named-bootconf.ploptions directory /var/named; /* * If there is a firewall between you and nameservers you want * to talk to, you might need to uncomment the query-source * directive below. Previous versions of BIND always asked * questions using port 53, but BIND 8.1 uses an unprivileged * port

27、 by default. */ / query-source address * port 53;/ / a caching only nameserver config/ controls inet 127.0.0.1 allow localhost; keys rndckey; ;zone . IN type hint; file named.ca;zone localhost IN type master; file localhost.zone; allow-update none; ;zone 0.0.127.in-addr.arpa IN type master; file nam

28、ed.local; allow-update none; ;zone IN type master; file .zone;zone IN type master; file .zone;zone 1.168.192.in-addr.arpa IN type master; file 1.168.192.in-addr.arpa;include /etc/rndc.key;mrootlocalhost named# vi .zone $TTL 86400$ORIGIN . 1D IN SOA . ( 42 ; serial (d. adams) 3H ; refresh 15M ; retry 1W ; expiry 1D ) ; minimum 1D IN NS . IN MX 10 .www 1D IN A 192.168.1.1100mail 1D IN A 192.168.1.11