網(wǎng)絡(luò)工程實施方案

網(wǎng)絡(luò)工程實施方案（棋板）1網(wǎng)絡(luò)實施方案棋板網(wǎng)絡(luò)實施方案模板網(wǎng)絡(luò)工程賣施方案一、到貨前準備1、項目人員組織結(jié)構(gòu)及分工項目經(jīng)理：工作容及國：負責(zé)項目的總體協(xié)調(diào)商務(wù)負責(zé)：工作容及國：負責(zé)與商務(wù)相關(guān)的工作技術(shù)負責(zé)：工作容及圖：負責(zé)項目的總體實施工程技術(shù)人員：CCIECCNPCCNA工作容及圍：CCIE和CCNP為項目實施的技術(shù)把關(guān)，CCNA負責(zé)實施方案的制作和項目的具體實施2、工程時間安排、工程進度安排工程時間妾排、預(yù)計9月初設(shè)備全部到貨，總預(yù)計4至5周時間完成工程。具體妾排如下：根據(jù)項目各子任務(wù)的工作量估算以及我們對網(wǎng)絡(luò)工程的經(jīng)驗，制定項目實施進度計劃表格。表1:項目實施進度計劃☆工程妾排設(shè)備訂購設(shè)備到貨驗收系統(tǒng)妾裝工程現(xiàn)場培訓(xùn)系統(tǒng)整體測試系統(tǒng)驗收測試合同簽定——9.269.27-9.289.29—10.710.8系統(tǒng)妾裝工程具體分解以下的子任務(wù)： 中心和匯聚交換機的模擬環(huán)境聯(lián)合調(diào)試4夭-1-主干切換各邊緣交換機的調(diào)試廣域網(wǎng)和CACHE507的調(diào)試VPN和ACS的調(diào)試省專網(wǎng)和衛(wèi)星煙草專網(wǎng)的PIX調(diào)試ACL和QOS的設(shè)置網(wǎng)管軟件的安裝與調(diào)試設(shè)備配置文件與IOS備份3、IP地址的劃分，VLAN的分配地址的劃分，3夭4天3天4天1天2天2夭1天配合計算機中心整理虛網(wǎng)分配，將相同職能部門劃分為同一虛網(wǎng).并制成表格。1）包括三部分：包括三部分：綜合辦公樓：服務(wù)器區(qū)、銷售、領(lǐng)導(dǎo)、技術(shù)、財務(wù)、會議室、各樓層辦公室（待細化）、互聯(lián)網(wǎng)訪問、聯(lián)合工房包括：生活區(qū)右側(cè)、生活區(qū)左側(cè)、能源動力中心、三層中控室、二層備件庫、物流中控室、質(zhì)檢室廠房輔區(qū)包括：機修車間辦公室、機修車間及備件庫、鍋爐房、門衛(wèi)2、煙葉庫A、煙葉庫B、煙葉庫C、煙葉庫D三部分的VLAN要做到各自獨立刻分，IP子網(wǎng)互不重疊。分配有兩種方案：2）IP分配有兩種方案：用戶分配靜態(tài)IP地址或從DHCP服務(wù)器動態(tài)獲得IP本方案采用動、靜態(tài)分配結(jié)合的方法來實現(xiàn)。VLAN的劃分原則：從將來的發(fā)展考慮，要預(yù)留足夠的擴展空間。為VLAN預(yù)留足夠的擴展空間，也可以方便網(wǎng)絡(luò)的優(yōu)化。將VLAN以10為單位分段，取VLAN10、VLAN20、VLAN30作為當(dāng)前使用的VLAN,VLAN11-VLAN19、VLAN21-VLAN29、VLAN31-VLAN39作為預(yù)留。段子網(wǎng)；綜合辦公樓使用/16段子網(wǎng)；段子網(wǎng)。聯(lián)合工房和廠房輔區(qū)使用 /16段子網(wǎng)。VLAN10---VLAN390分昭給綜合辦公樓；綜合辦公樓；綜合辦公樓-2-VLAN400---VLAN590分電給聯(lián)合工房；聯(lián)合工房；聯(lián)合工房VLAN500---VLAN600分電給廠房輔區(qū)。廠房輔區(qū)。廠房輔區(qū)具體賣現(xiàn)如下表：具體實現(xiàn)如下表：VLAN、分昭表：VLAN.IP分電表：-3-功能單位IP地址圍VLANIP地址管理預(yù)留綜合辦公樓應(yīng)用預(yù)留VLANIDVLAN名稱-4-VPN遠程接入/249-9-930VLAN1900-30VLAN20030VLAN210VLAN240vpnother1wxhszwxjchl綜合辦公樓其/24他衛(wèi)星和省專網(wǎng)/24新舊廠互連（包括辦公室和備件庫）煙葉庫/24/24930Vlan600yyk（包括A、C、B、D）廠房輔區(qū)其他/24-90-30Vlan610other3DHCP分電表：（DHCP服務(wù)器IP：53）功能單位子網(wǎng)部設(shè)備預(yù)留DHCP分電使用區(qū)域DHCP分昭使用區(qū)域綜合辦公樓管理預(yù)留應(yīng)用預(yù)留VLANIP地址信息技術(shù)部財務(wù)部領(lǐng)導(dǎo)技術(shù)中心物資供應(yīng)部人力資源部妾全保衛(wèi)部25431-25431-25425431-25431-2542542301-2301-230230 1-230 1-2302309-9-9-99-9-930 0-30 0-3030 0-30 0-3030 后勤保障部質(zhì)量管理部技改辦組織宣傳部監(jiān)察審計部產(chǎn)品銷售部營銷策劃部營銷服務(wù)部會議室辦公室25431-2542301-2309-9300-302541-230-930 31-254230 -9 0-3031-254 1-2309 0-30 254 1-230 -930 31-25431-254 1-2309 0-30 254 1-230 -930 31-254230 -9 0-30綜合辦公樓其他31-2541-23090-30-6-Word資料對DHCPSERVER放置位置的建議：DHCPSERVER功能可以做在1臺主交換機上，也可以做在1臺專用的服務(wù)器上。在交換機上啟用DHCP功能后，在該交換機重啟時，所有的DHCPCLIENT均會同時再次申請DHCP延期服務(wù)，這樣會造成交換機擁塞甚至死機。所以，將DHCP做在1臺專用的服務(wù)器上，是最優(yōu)的做法。二、到貨、實施前準備到貨、1、現(xiàn)場檢查與到貨驗收檢驗到的硬件設(shè)備的貨號及數(shù)量是否與設(shè)備訂貨清單一致。檢驗到貨的設(shè)備是否完好無損。驗收的結(jié)果應(yīng)該提供一份由參與驗收的用戶和系統(tǒng)集成商簽名的硬件驗收清單，并注明日期。如果沒有可見的設(shè)備損害，那么在驗貨后，即開始設(shè)備的安裝和調(diào)試。設(shè)備到貨，進行設(shè)備驗收，記錄設(shè)備的序列號，表格如下：ItemNo.1-1NameofGoods（產(chǎn)品名稱）CatalystCISCOCatalystMainSpecification（產(chǎn)品性能）Quantity（數(shù)量）2S/NNO.（序列號）1-2CiscoCatalyst2、設(shè)備定位，標簽標明設(shè)備放置的物理位置設(shè)備定位，制作標簽貼于交換機的上面機殼的顯眼處， 標明該交換機將放置在廠區(qū)的具體位置， 例如：制絲車間、管理IP：1，該IP為交換機上可以激活的一個VLAN的IP地址（該IP地址用于交換機的遠程管理）。如果在2950邊緣交換機上，可以設(shè)置多個VLAN,但只有1個VLAN所賦予的IP地址可以和外界通訊。在規(guī)劃完設(shè)備位置后，按計劃標識網(wǎng)絡(luò)名稱、主干電纜（光纖）標簽、和主干連接的的具體端口位置，并繪制網(wǎng)絡(luò)設(shè)備詳細表。設(shè)備/名稱軟件版本端口數(shù)IP地址具體位置電纜連接標識-8--9-三、實施、中心和匯聚交換機模擬環(huán)境聯(lián)合調(diào)試一）中心和匯聚交換機模擬環(huán)境聯(lián)合調(diào)試、準備:1、準備：兩臺6509中心交換機依下圖上好模塊：WS-X6816-GBIC空、擴展用WS-X6816-GBIC空、擴展用WS-SUP720引擎WS-SUP720引擎（冗余）空、擴展用WS-6148-RJ-45空、擴展用WS-X6816-GBIC空、擴展用WS-X6816-GBIC空、擴展用WS-SUP720引擎WS-SUP720引擎（冗余）空、擴展用WS-6148-GE-TX空、擴展用電源電源電源電源4507R匯聚交換機依下圖上好模塊：第一臺匯聚4507R第二臺匯聚4507R電源電源電源電源WS-X4515引擎空、冗余引擎擴展用WS-X4148-RJWS-X4232-GB-RJWS-X4306-GBIC空、擴展用空、擴展用WS-X4515引擎空、冗余引擎擴展用WS-X4148-RJWS-X4232-GB-RJWS-X4306-GBIC空、擴展用空、擴展用-10-連接2臺6509間引擎的光纖口2臺6509交換機的用四條光纖跳線連接相互的引擎光纖上聯(lián)口2臺6509交換機上的2個超級引擎上的光纖端口均可同時使用，在其中一臺6509交換機的主引擎出故障的時候，冗余引擎替代主引擎發(fā)揮作用，該冗余引擎與另一臺6509交換機的冗余引擎的中繼線替代原來的兩臺主引擎的中繼線發(fā)揮作用，保證網(wǎng)絡(luò)主干的正常使用。采用如下的連線方式：Sup720Sup720Sup720Sup720因SUP720采用SFP光纖接口，在沒有購置該接口摸塊的情況下，兩臺6509中心交換機間可通過6816摸塊上的GBIC口實現(xiàn)交換機間的冗余連接和通訊。通過在兩臺6509交換機的第一塊6816模塊的第15.16光纖端口互相連接，做TRUNK+CHANNEL,實現(xiàn)如下圖：68166816該連接可以保證任何時候，2臺6509交換機間的活動引擎可以正常連接，避免活動引擎連接冗余引擎，導(dǎo)致數(shù)據(jù)無法在2臺6509交換機間傳遞。連接2臺4507R間引擎的光纖口X4515X4515-11-用超5類跳線連接2臺3550-12G間的1000Base-T口3550-12G3550-12G各交換機間的連接示意圖：第一臺中心交換機6509與各匯聚及邊緣接入的連接端口示意圖與各匯聚及邊緣接入的連接端口示意圖第一臺中心交換機匯聚4507_2的gi1/1匯聚4507_1的gi1/1匯聚3550_1的gi0/1匯聚3550_2的gi0/16509_2的gi1/156509_2的gi1/166509_1上第一塊上第一塊6816上第一塊6509_1上第二塊上第二塊6816上第二塊1

23456789101112

131415161234567910111213141516會議室1的gi0/1會議室2的gi0/1綜合樓1層的gi0/1綜合樓2層的gi0/1綜合樓3層的換1/1綜合樓4層的gi0/1綜合樓5層的gi0/1綜合樓6層的gi0/1門衛(wèi)1的gi0/1能源動力中心的制絲中控的gi1/1綜合樓11層的綜合樓10層的綜合樓9層的gi0/1綜合樓8層的伊0/1綜合樓7層的伊0/1-12-第二臺中心交換機6509與各匯聚及邊緣接入的連接端口示意圖第二臺中心交換機與各匯聚及邊緣接入的連接端口示意圖匯聚4507_2的gi1/2匯聚4507_1的gi1/2匯聚3550_1的gi0/2匯聚3550_2的gi0/26509_1的gi1/156509_1的gi1/166509_2上第一塊上第一塊6816上第一塊6509_2上第二塊上第二塊6816上第二塊1234

56789101112131415

1612345678910111213141516會議室1的gi0/2會議室2的gi0/2綜合樓1層的gi0/2綜合樓2層的gi0/2綜合樓3層的gi1/2綜合樓4層的gi0/2綜合樓5層的gi0/2綜合樓6層的gi0/2門衛(wèi)1的gi0/2能源動力中心的制絲中控的gi1/2綜合樓11層的綜合樓10層的綜合樓9層的印0/2綜合樓8層的gi0/2綜合模7層的gi0/2-13-Word資料中心交換機和各匯聚交換機的連接端口示意圖6509_112341516126509_2341516空、擴展用WS-X6816-GBIC空、擴展用WS-SUP720引擎WS-SUP720引擎空、擴展用WS-6148-GE-TX空、擴展用12121212空、擴展用WS-X6816-GBIC空、擴展用WS-SUP720引擎WS-SUP720引擎空、擴展用WS-6148-GE-TX空、擴展用電源

電源電源電源123456783550_1

9101112123456791011123550_2電源WS-X4515引擎引擎電源12電源12電源LzoLn寸耍嘿矣，刮時曝矣，刮UEOIS^X.§ZLZIZOLn寸安咚4期雯咚矣，則UEO.S^X.§2.mo.^^^x.§206寸6x,sa配咚冬琳-E^y，則ZL200寸&><53配咚4琳由^?劇琳-E琳-EUKwsa粱蝎PJOMI寸7各交換機聞連接端口分配表6509中心交換機端口接入交換機位置交換機名稱對應(yīng)連接光纖類接入交換機管端口型理IP-15-gi1/16gi1/163550-12G_1gi0/123550-12G_2gi0/122、2臺6509中心交換機間的調(diào)試初調(diào)第一臺6509中心交換機調(diào)試PC通過串口配置線連接第一塊720引擎6509交換機上電（兩個電源模塊均需上電），啟動進入配置模式命名該交換機：hostname6509_1采用統(tǒng)一的命名方式：交換機型號_位置，如：2950G48_nydl分配管理IP:interfacevlan250ipaddressstandby1priority150preemptstandby1ipnoshutdown設(shè)置ENABLE密碼：enablepasswordcisco設(shè)置TELNET密碼：linevty04passwordciscologin配置VTP信息：信息：vtpmodeservervtpversion2vtpdomainxmyc創(chuàng)建VLAN信息全局培植模式下：vlan250namewlgllvlan220nameserver1vlan230nameserver2修改VLAN名字如果對所輸入的VLAN信息不滿意的話，可以通過以下命令進行修改：vlan250name新的VLAN的名字配置與兩臺6509交換機的中繼線的會聚和TRUNKinterfacePort-channel1switchportswitchporttrunkencapsulationdot1qswitchportmodetrunkinterfaceGigabitEthernet1/15switchportswitchporttrunkencapsulationdot1qswitchportmodetrunkchannel-group1modedesirableinterfaceGigabitEthernet1/16switchportswitchportmodetrunkswitchporttrunkencapsulationdot1qchannel-group1modedesirableChannel有3種模式：auto、desirable、on其中能讓Channel正常運作的配置方法有3種：desirable與desirable；desirable與auto；on與on，其中desirable與desirable是最優(yōu)的做法。on模式并不攜帶PAGP信息，auto只能被動進行鏈路協(xié)商，desirable能主動進行鏈路協(xié)商。三層路由口的配置-17-將中心交換機和匯聚交換機之間所連接的2條光纖的GBIC口作為三層路由口，用于中心交換機和匯聚交換機的IP通訊。主干三層路由口IP分電表：gi1/16509_1gi1/2gi1/3gi1/4gi1/16509_1gi1/2gi1/3gi1/4371594507_1gi4/14507_2gi4/13550-12G_1gi0/13550-12G_2gi0/14507_1gi4/24507_2gi4/23550-12G_1gi0/23550-12G_2gi0/2048260具體做法如下，全局配置模式下：defaultinterfacegi1/1defaultinterfacegi1/2defaultinterfacegi1/3defaultinterfacegi1/4/***初始化gi1/1-4GBIC口，在端口無法設(shè)置IP時特別有用***/interfacegi1/1noswitchport/***使用該命令可去掉端口的2層特性，使該端口成為3層路由口***/ipaddress52interfacegi1/2noswitchportipaddress52interfacegi1/3noswitchportipaddress 52interfacegi1/4noswitchportipaddress352其中1、2口用于和2臺4507R交換機通訊；3、4口用于和2臺3550-12G交換機通訊。-18-初調(diào)第二臺6509中心交換機調(diào)試PC通過串口配置線連接第一塊720引擎6509交換機上電，啟動進入配置模式命名該交換機： hostname6509_2分配管理IP：interfacevlan250ipaddressstandby1ipnoshutdown設(shè)置ENABLE密碼:enablepasswordcisco設(shè)置TELNET密碼：linevty04passwordciscologin配置與另一臺6509交換機的四條中繼線的會聚和TRUNKinterfacePort-channel1switchportswitchporttrunkencapsulationdot1qswitchportmodetrunkinterfaceGigabitEthernet1/15switchportswitchporttrunkencapsulationdot1qswitchportmodetrunkchannel-group1modedesirableinterfaceGigabitEthernet1/16switchportswitchporttrunkencapsulationdot1qswitchportmodetrunkchannel-group1modedesirable-19-Word資料設(shè)置VTP為SERVER模式：vtpmodeservervtpversion2vtpdomainxmyc三層路由口的配置將中心交換機和匯聚交換機之間所連接的2條光纖的GBIC口作為三層路由口，用于中心交換機和匯聚交換機的IP通訊。具體做法如下，全局配置模式下：defaultinterfacegi1/1defaultinterfacegi1/2defaultinterfacegi1/3defaultinterfacegi1/4interfacegi1/1noswitchportipaddress752interfacegi1/2noswitchportipaddress152interfacegi1/3noswitchportipaddress552interfacegi1/4noswitchportipaddress952其中1、2口用于和2臺4507R交換機通訊；3、4口用于和2臺3550-12G交換機通訊。信息、設(shè)置VLAN信息、啟用交換機間的熱備份路由協(xié)議HSRP在中心交換機和匯聚交換機上分別設(shè)置所需的VLAN信息，中心交換機和匯聚交換機各有獨立維護自己的一套VLAN信息。在主干和匯聚交換機上分別啟用HSRP協(xié)議，保證在中心6509交換機聞或匯聚交換機間有1臺故障的情況下，VLAN間仍能正常的通^L。-20-在2臺中心6509交換機進行維護的特殊情況下，匯聚交換機仍能正常地工作，保證生產(chǎn)的不間新性。中心交換機和匯聚交換機上的VLAN劃分：6509中心交換機上負責(zé)接入綜合辦公樓的VLAN；4507R匯聚交換機負責(zé)接入聯(lián)合工房的VLAN；3550-12G匯聚交換機接入負責(zé)廠房輔區(qū)的VALN。將分布在中心交換機上的VLAN分成兩部分，在2臺6509上分別設(shè)置不同的VLAN網(wǎng)關(guān)的優(yōu)先級，奇數(shù)VLAN在第一臺6509上激活，偶數(shù)VLAN在另一臺6509上激活，達到每臺6509上分別負擔(dān)一半的VLAN通訊，實現(xiàn)負載均衡目的。在第二臺6509上，VLAN10處于備份狀態(tài)，在第一臺6509上，VLAN10是激活的：第一臺6509配置如下：interfaceVlan250ipaddressstandby25priority150preemptstandby25ipinterfaceVlan220ipaddress6standby22ip5interfaceVlan230ipaddressstandby23priority150preemptstandby23ipinterfaceVlan10ipaddressstandby1priority150preemptstandby1ip第二臺6509配置如下：interfaceVlan250ipaddressstandby25ipinterfaceVlan220-21-ipaddress7standby22priority150preemptstandby22ip5EIGRP，設(shè)置動態(tài)路由協(xié)議EIGRP，使中心和匯聚交換機之間的各IP子網(wǎng)可以通訊在2臺中心交換機上配置EIGRP協(xié)議：routereigrp100networknetworknetworknoautosummaryroutereigrp168networknetworknetworknoautosummaryEIGRP協(xié)議缺省的負載均衡線路可以達到6條， 如果多于6條，可以用命令maxium-path設(shè)置； ThereisnoneedconfigEIGRPAUTO-SUMMARYinthisscenario.Ifyouwanttherouterdosummary,youmustconfigIPSUMMARYEIGRPininterfacemode.、交換機上架、二）交換機上架、全部交換機統(tǒng)調(diào)、交換機上架保持現(xiàn)有的網(wǎng)絡(luò)不動，使用現(xiàn)有多余的光纖線路連接新的中心交換機和匯聚交換機， 保持現(xiàn)有的網(wǎng)絡(luò)不動，使用現(xiàn)有多余的光纖線路連接新的中心交換機和匯聚交換機，組成第二個網(wǎng)絡(luò)，進行測試。組成第二個網(wǎng)絡(luò)，進行測試。在測試成功后，再進行新舊網(wǎng)絡(luò)的切換。在測試成功后，再進行新舊網(wǎng)絡(luò)的切換。需要利用煙廠停產(chǎn)的時間進行切換以保證煙廠生產(chǎn)系統(tǒng)數(shù)據(jù)的完整性需要利用煙廠停產(chǎn)的時間進行切換以保證煙廠生產(chǎn)系統(tǒng)數(shù)據(jù)的完整性、安全性1、綜合辦公樓網(wǎng)絡(luò)部分切換邊緣交換機的初始配置命名，在配置模式下使用如下命令：hostnamexmyc_c2950G_bg01-22-分配管理IP,在配置模式下命令如下：interfacevlan250ipaddress1noshutdownENABLE密碼設(shè)置，在全局配置模式下：EnablepasswordciscoTELNET管理密碼，在全局配置模式下：Linevty04Passwordciscologin設(shè)置VTP模式，在全局配置模式下：vtpmodeclientvtpversion2vtpdomainxmyc配置中繼端口（TRUNK）interfacerangegi0/1-2switchportmodetrunkswitchporttrunkallowvlanall設(shè)置缺省網(wǎng)關(guān)：ipdefault-gateway為加快端口的啟用速度，為加快端口的啟用速度，2950邊緣交換機上啟用PORTFASTinterfacerangefa0/1-23spanning-treeportfast為加快生成樹的收斂速度，4006、為加快生成樹的收斂速度，所有的2950邊緣交換機和接入位置的4006、4503交換機上全部啟用UPLINKFASTspanning-treeuplinkfast中心交換機和匯聚交換機相對獨立，通過路由方式通訊， 中心交換機和匯聚交換機相對獨立，通過路由方式通訊，設(shè)置BACKBONEFAST意義不大在本實施方案中不對所有交換機設(shè)置BACKBONEFAST根據(jù)具體情況分配VLAN給各個端口-23-賦予具體端口具體的VLAN,在全局配置模式下使用命令如下：對于一組相同性質(zhì)的端口：interfacerangefa0/1-24switchportmodeaccessswitchportaccessvlan3對于一個具體的端口：interfacefa0/10switchportmodeaccessswitchportaccessvlan4、廣域網(wǎng)絡(luò)的調(diào)試：三）廣城網(wǎng)絡(luò)的調(diào)試：、廣城網(wǎng)絡(luò)的調(diào)試Internet接入配置采用靜態(tài)路由的方式連接互聯(lián)網(wǎng)專線Internet接入配置Internet服務(wù)器群網(wǎng)絡(luò)中心Internet拓撲圖拓撲圖說明WEB服務(wù)器-24-Word資料申請電信10M光纖寬帶接入，分配一定數(shù)量的合法的INTERNETIP地址以供路由器、防火墻、WEB服務(wù)器和MAIL服務(wù)器使用。光纖寬帶轉(zhuǎn)成五類網(wǎng)線，接入SmartHammer硬件防火墻的外口上，SmartHammer硬件防火墻的口接FlexHammer5210的Ethernet1/24口上。SmartHammer硬件防火墻上共有3個以太口，其中兩個是快速以太口，ge3設(shè)置為外口，優(yōu)先級最低，優(yōu)先級設(shè)為20；ge0設(shè)置為口，接部網(wǎng)，優(yōu)先級最高，優(yōu)先級設(shè)為80；ge1為DMZ口，接對外發(fā)布的WEB、MAIL服務(wù)器，優(yōu)先級位于、外口之間，優(yōu)先級設(shè)為50o具體表達如下：interfacege0ipaddress/30descriptiontoxiaoyuanipsecurity-level80ipnatnatl!interfacegelipaddress/26descriptionDMZipsecurity-level50ipnatnat2!interfacege2!interfacege3ipaddress/26descriptiontowanipsecurity-level20ipnatnat1WEB、防火墻上WEB、MAIL服務(wù)器的發(fā)布-25-Word資料WEB服務(wù)器通常使用HTTP:80端口作為服務(wù)端口，MAIL服務(wù)器常用的有微軟的EXCHANGE2000SERVER、通常采用SMTP:25端口和POP3:110端口作為服務(wù)端口。在防火墻上，主要做地址映射和端口訪問允許來實現(xiàn)WEB和MAIL服務(wù)器的對外發(fā)布。1、為了使外部用戶可以訪問DMZ的WEB服務(wù)器，賣現(xiàn)方法如下：ipnatnat2destinationtcp80ipnatnat2destinationtcp2121/*將WEB月艮務(wù)器的IP：與外口虛擬IP：4做地址映射*/access-list111permittcpanyanyhttp/*允許外部用戶訪問虛擬IP的80端口*/2、為了使外部用戶可以訪問dmz的ftp服務(wù)器，實現(xiàn)方法如下：ipnatnat2destinationtcp2121/*將ftp服務(wù)器的IP：與外口虛擬IP：做地址映射*/access-list111permittcpanyanyftp/*允許外部用戶訪問虛擬IP的21端口*/安全性考慮，妾全性考慮，對部網(wǎng)用戶訪問INTERNET的控制1、在SmartHammer硬件防火墻上配置訪問控制列表(ACL)限制能夠連入INTERNET的用戶IP訪問控制上，具體實現(xiàn)如下：網(wǎng)允許訪問外網(wǎng)外網(wǎng)允許訪問DMZ的MAIL和Http網(wǎng)允許訪問DMZ的MAIL和Http外網(wǎng)不允許訪問網(wǎng)DMZ不允許訪問網(wǎng)2、在SmartHammer硬件防火墻上配置防攻擊：ipdefendping-deathipdefendtear-dropipdefendjolt2ipdefendland-basedipdefendsyn-frag-26-ipdefendwinnukeipdefendping-sweepipdefendtcp-scanipdefendudp-scan3、在SmartHammer硬件防火墻上配置限制BT下載，以防其大量占用帶寬。blockbittorrenttimeout65535。、各交換機配置文件和三）各交換機配置文件和IOS的備價、設(shè)備配置文件和IOS映像文件的備價載超級終端方式下，配置主機運行TFTP服務(wù)器，配置主機通過網(wǎng)絡(luò)線連接交換機，運行命令：copystartup-configtftp://命令各份交換機上的配置文件copyflashtftp://命令備份交換機上的IOS映像文件。四、項目管理1、工程的妾全管理在廠區(qū)，嚴格遵守廠區(qū)的安全規(guī)定在有穩(wěn)壓電源和UPS的環(huán)境下，須先將穩(wěn)壓電源或UPS啟動，硬件設(shè)備連接于穩(wěn)壓電源或UPS上，盡量避免將設(shè)備直接接在市電插座上，保證設(shè)備的妾全。2、工程資料、文檔管理工程資料、及時保存調(diào)試好的配置文檔。將進度中要進行的操作以書面形式提交使用方,征求使用方的同意和配合。一式兩份，使用方保留一份，己方備份一份。寫詳細網(wǎng)絡(luò)施工文檔：根據(jù)文檔計劃要求對網(wǎng)絡(luò)進行整體調(diào)試和配置工作，準備施工日志，對具體情況所進行的改動填寫施工日志。工作聯(lián)系單詳見附件。-27-3、項目的質(zhì)量控制方法項目正式實施前，完善項目實施方案，使項目的實施能夠按部就班； 項目進行中如遇不確定問題，及時與用戶進行溝通；項目進行中定期向用戶做階段性溝通；測試報告經(jīng)客戶確認后，項目正式完成；項目完成后，負責(zé)項目有關(guān)容的解釋工作五、現(xiàn)場培訓(xùn)在工程賣施過程中，信息技術(shù)部的技術(shù)負責(zé)人員與我方技術(shù)人員一起進行設(shè)備的安裝、調(diào)試和配置，給予信息技術(shù)部的技術(shù)負責(zé)人員一個最直觀的學(xué)習(xí)方法。在調(diào)試完后，我方現(xiàn)場技術(shù)人員應(yīng)及時將所調(diào)試的容講解給信息技術(shù)部技術(shù)負責(zé)人員聽，使他們能及時明白所調(diào)試的容。在信息技術(shù)部技術(shù)負責(zé)人員對配置中有疑問的地方，應(yīng)給予現(xiàn)場解答，以免問題積壓、遺漏，在我方現(xiàn)場技術(shù)人員無法解答的時候，應(yīng)盡快與上級技術(shù)支持人員聯(lián)系，給予信息技術(shù)部技術(shù)負責(zé)人員一個滿意的答復(fù)。具體的培訓(xùn)容由CCIE馬奔主持，容如下：交換機的結(jié)構(gòu)分析園區(qū)網(wǎng)的構(gòu)成和實現(xiàn)網(wǎng)絡(luò)管理軟件的基本使用方法答疑0.5夭0.5夭0?5夭0?5天六、測試系統(tǒng)測試原理與方法從實施階段可分成：單個系統(tǒng)或相對獨立部件的測試，例如單個路由器的有檢等等；子系統(tǒng)的測試，例如中心網(wǎng)絡(luò)的測試等等；整個網(wǎng)絡(luò)系統(tǒng)的測試。測試的目標是為了保證用戶能夠科學(xué)而公正地驗收供應(yīng)商提供的設(shè)備和軟件，系統(tǒng)集成商提供的整套系統(tǒng)，也是為了保證供應(yīng)商和系統(tǒng)集成商能夠準確無誤地提供合同所要求的設(shè)-28-備和系統(tǒng)。所以，測試的目的對用戶而言是為了驗收。測試應(yīng)該由供應(yīng)商和系統(tǒng)集成商、用戶及用戶聘請的技術(shù)顧問共同參與。硬件設(shè)備測試與驗收部件級測試部件級測試指對設(shè)備中各個部件的功能、可靠性、耐用性和可維性的測試，升檔能力的衡量等。該類測試一般巳在原廠的生產(chǎn)過程中完成，用戶只需在使用過程中加以觀測即可。設(shè)備級測試設(shè)備級測試主要包括對設(shè)備的處理能力、可靠性、可擴充性、開放性等方面進行測試。設(shè)備級測試需用有關(guān)的測試工具、儀器或軟件來進行，也可在實際應(yīng)用中對其某些性能加以測試。系統(tǒng)級測試系統(tǒng)級測試主要包括網(wǎng)絡(luò)的連通性測試，系統(tǒng)的可靠性測試，系統(tǒng)的響應(yīng)時間，系統(tǒng)的抗干擾測試，系統(tǒng)的安全性測試等。這一類測試可借助于某些網(wǎng)絡(luò)測試工具或網(wǎng)絡(luò)管理和測試軟件來完成。系統(tǒng)集成測試功能性測試：功能性測試：測試系統(tǒng)應(yīng)提供的每一個功能和安全性限制，檢查系統(tǒng)是否已正常實現(xiàn)所有功能。連通性測試：連通性測試：測試網(wǎng)絡(luò)上任意站點間是否能夠相互傳輸數(shù)據(jù)，測試各個終端能否登錄中心服務(wù)器，并訪問數(shù)據(jù)庫，對數(shù)據(jù)庫進行正常的操作；穩(wěn)定性測試：穩(wěn)定性測試：在不間新運行的一段時間，系統(tǒng)有無異?，F(xiàn)象發(fā)生，如有異常，是由系統(tǒng)自動處理還是系統(tǒng)管理員人工干預(yù)處理，不間新的測試時間以一周（7天）為限；重載測試：重載測試：在系統(tǒng)處于重載工作狀況時，通過計算機系統(tǒng)的監(jiān)控軟件，以及網(wǎng)絡(luò)系統(tǒng)的管理軟件監(jiān)測計算機系統(tǒng)和網(wǎng)絡(luò)系統(tǒng)的性能指標；-29-異常測試：異常測試：通過人為制造故障，測試系統(tǒng)的故障恢復(fù)能力及響應(yīng)速度；但異常測試要以不損壞設(shè)備為前提，凡是硬件設(shè)備或系統(tǒng)軟件手冊中警告的不允許的誤操作，不可作為異常測試項目。在各交換機關(guān)鍵部分連接測試PC,對網(wǎng)絡(luò)中心服務(wù)器使用PING命令查看網(wǎng)絡(luò)各次變動中的通斷以及網(wǎng)絡(luò)響應(yīng)情況。冗余鏈路需測試以下各個部分：2臺6509中心交換機和2臺匯聚交換機4507R人為拔出其中1個電源模塊或1塊超級引擎，測試網(wǎng)絡(luò)通訊是否正常2臺6509中心交換機間4條會聚光纖鏈路人為端掉1條，查看網(wǎng)絡(luò)的反映情況2臺6509中心交換機人為使其中1臺新電，查看網(wǎng)絡(luò)的反映情況2臺6509中心交換機和2臺4507R會聚交換機、