網(wǎng)絡(luò)項(xiàng)目實(shí)戰(zhàn)

網(wǎng)絡(luò)項(xiàng)目實(shí)戰(zhàn)網(wǎng)絡(luò)信息工程 2012級第一組2014/12/241.1公司簡介Thor公司是一家以房地產(chǎn)業(yè)務(wù)為主的大型集團(tuán)公司， 集團(tuán)公司由3個(gè)子公司組成，分別位于北京、上海、青島三個(gè)城市。北京 Loki公司為Thor集團(tuán)總公司（以下Thor集團(tuán)表示三家公司總稱，而 Thor集團(tuán)總部位于北京 Loki公司處），北京 Loki總公司在北京各地區(qū)建立分銷點(diǎn)及分公司，各分公司獨(dú)立執(zhí)行各地區(qū)的地產(chǎn)收購、房屋授首改建、工程實(shí)施等業(yè)務(wù)。公司整體規(guī)模近千人，擁有房地產(chǎn)開發(fā)一級資源，每年承接的工程項(xiàng)目有幾十億。2004年以來，中國房地產(chǎn)業(yè)蓬勃發(fā)展， Thor地產(chǎn)公司不斷融資擴(kuò)張，發(fā)展迅猛。1.2公司網(wǎng)絡(luò)現(xiàn)狀公司自成立起，一直由專門的信息工程部門負(fù)責(zé)優(yōu)化和擴(kuò)建網(wǎng)絡(luò)，以適應(yīng)業(yè)務(wù)需求。但由于近幾年房地產(chǎn)行業(yè)發(fā)展較快，公司很快在各地區(qū)建起房地產(chǎn)分銷經(jīng)營點(diǎn)、售樓處等分支機(jī)構(gòu)，這些分公司之間業(yè)務(wù)信息交流愈發(fā)頻繁、數(shù)據(jù)傳輸也變得非常龐大，而且業(yè)務(wù)本身對于網(wǎng)絡(luò)的安全性和可靠性要求隨之愈來愈高，目前的網(wǎng)絡(luò)系統(tǒng)已經(jīng)無法滿足企業(yè)信息化建設(shè)的需求。 如圖1.2所示，由于公司在各地建立分公司時(shí)，業(yè)務(wù)相對獨(dú)立，而且每個(gè)分公司在設(shè)立初期都在摸索階段，應(yīng)采用多樣化的經(jīng)營模式一邊公司的發(fā)展，所以業(yè)務(wù)數(shù)據(jù)并沒有和總公司同步，只是在月末定期向總公司匯報(bào)工作。但是這幾年公司業(yè)務(wù)相對QoS，所以在選擇設(shè)備時(shí)穩(wěn)定，發(fā)展也進(jìn)入成熟期，董事會決定下一步的發(fā)展策略主要是同化各地的管理模式，同步整個(gè)公司的業(yè)務(wù)數(shù)據(jù)、財(cái)務(wù)數(shù)據(jù)。但是公司的網(wǎng)絡(luò)目前無法滿足這一需求，存在的問題包括?！毂本┑貐^(qū)的幾家分銷點(diǎn)目前依然采用 ADSL的接入方式，帶寬較低，數(shù)據(jù)傳輸不穩(wěn)定，很難實(shí)現(xiàn)數(shù)據(jù)同步?！旄鞴鹃g通過 Internet 傳輸業(yè)務(wù)關(guān)鍵數(shù)據(jù)、業(yè)務(wù)數(shù)據(jù)相當(dāng)不安全。§公司的內(nèi)網(wǎng)完全暴露于 Internet ，沒有安裝任何網(wǎng)絡(luò)安全設(shè)備，很容易遭受黑客攻擊，給公司造成巨大財(cái)務(wù)損失及信譽(yù)損失。1.3公司網(wǎng)絡(luò)需求由于公司的發(fā)展歷程，導(dǎo)致公司的網(wǎng)絡(luò)建設(shè)有些“支離破碎”、“各自為政”，所以公司若想同化管理模式、統(tǒng)一業(yè)務(wù)財(cái)務(wù)相關(guān)數(shù)據(jù)，首先就應(yīng)該同化各分公司的網(wǎng)絡(luò)，具體網(wǎng)絡(luò)改造項(xiàng)目的需求如下?！毂M量節(jié)約成本，最大限度的利用現(xiàn)有網(wǎng)絡(luò)資源?！毂本┛偣緝?nèi)網(wǎng)的干線路為千兆以太網(wǎng)，接入線路為百兆位以太網(wǎng)。§將北京總公司和各地分公司通過內(nèi)網(wǎng)專線互聯(lián)，實(shí)現(xiàn)網(wǎng)絡(luò)的高可靠性和安全性?！旖y(tǒng)一管理北京各地分公司的 Internet 訪問，使各分銷點(diǎn)只能通過總公司的網(wǎng)關(guān)訪問Internet ，但這種方式又會導(dǎo)致總公司的核心設(shè)備壓力倍增。 因此，在核心鏈路上采用設(shè)備的榮譽(yù)備份，保證網(wǎng)絡(luò)的正常運(yùn)行。如果北京地區(qū)各分公司到總公司E1鏈路帶寬不夠，可以向總公司申請由本地接入Internet，總公司同意后方可實(shí)施?！鞛榱吮ＷC重要業(yè)務(wù)的數(shù)據(jù)流量，需要在設(shè)備上部署需要考慮QoS功能。§為了有效抵御來自公司外部和內(nèi)部的病毒和攻擊，需要增強(qiáng)北京、上海和青島各公司內(nèi)網(wǎng)的安全性，在網(wǎng)關(guān)安裝防火墻。§由于北京、上海和青島三家公司之間相距較遠(yuǎn)，架設(shè)專線的費(fèi)用較高，需要通過三家公司的網(wǎng)絡(luò)實(shí)現(xiàn)站點(diǎn)到站點(diǎn)的 VPN。1.4網(wǎng)絡(luò)改造方案需求分析Thor 集團(tuán)網(wǎng)絡(luò)改造示意圖如圖 1.3所示。1.Internet 部分采用Cisco的防火墻配置IPSecVPN和SSLVPN實(shí)現(xiàn)Internet 數(shù)據(jù)的加密、認(rèn)證等，如圖 1.4所示?！鞛榱颂岣邚V域網(wǎng)環(huán)境通信的穩(wěn)定性， 各分公司的Internet 接入應(yīng)盡量選擇與總共死相同的服務(wù)提供商?！焖械腣PN均為總公司和分公司之間站點(diǎn)到站點(diǎn)的數(shù)據(jù)加密通信，各分公司之間不建立 VPN，也不允許各分公司之間傳輸機(jī)密數(shù)據(jù)?！煸鰪?qiáng)總公司的郵件服務(wù)器、 數(shù)據(jù)庫服務(wù)器的各項(xiàng)性能，實(shí)現(xiàn)整個(gè)Thor集團(tuán)公司數(shù)據(jù)庫、郵件關(guān)鍵業(yè)務(wù)文件的統(tǒng)一管理?！炀W(wǎng)關(guān)防火墻設(shè)備支持基于 Web的SSLVPN，到外地出差的員工可以通過 SSLVPN實(shí)時(shí)、安全地和總部服務(wù)器交換關(guān)鍵業(yè)務(wù)信息?？偣静糠滞ㄟ^核心及網(wǎng)關(guān)設(shè)備 HSRP技術(shù)實(shí)現(xiàn)高可靠性，如圖 1.5所示?！煊捎诠疽獙?shí)現(xiàn) Internet 訪問和內(nèi)網(wǎng)服務(wù)訪問的集中管理，總公司將原來的單核心網(wǎng)絡(luò)改造成雙核心網(wǎng)絡(luò)，并且根據(jù)不同的 VLAN數(shù)據(jù)訪問量實(shí)現(xiàn)負(fù)載均衡。§通過 HSRP的端口跟蹤技術(shù)實(shí)現(xiàn)核心設(shè)備下行鏈路以及連接服務(wù)器鏈路的主設(shè)備切換，而上行鏈路通過 OSPF協(xié)議本身的特性實(shí)現(xiàn)即可?！炜偣就ㄟ^雙路由器和公司內(nèi)部專線網(wǎng)連接， 通過OSPF的等值路由實(shí)現(xiàn)負(fù)載均衡。內(nèi)網(wǎng)專線部分通過OSPF路由協(xié)議實(shí)現(xiàn)網(wǎng)絡(luò)互連，如圖1.6所示?！毂本┧蟹止炯颁N售網(wǎng)點(diǎn)都通過 E1專線和總公司相連，整個(gè)北京地區(qū)相當(dāng)于一個(gè)大型局域網(wǎng)，從而可以確保網(wǎng)絡(luò)的安全性和穩(wěn)定性。§北京各分公司及銷售網(wǎng)點(diǎn)與總公司之間都使用 4條E1專線相連。4條E1專線分別捆綁成2條4M鏈路連接到不同的總公司內(nèi)網(wǎng)路由器。§網(wǎng)絡(luò)穩(wěn)定性、帶寬以及通信延遲時(shí)間的保證，可以提高公司內(nèi)網(wǎng)視頻會議的通信質(zhì)量。§在北京所有公司及銷售網(wǎng)點(diǎn)的網(wǎng)絡(luò)通過 OSPF路由協(xié)議實(shí)現(xiàn)網(wǎng)絡(luò)互聯(lián)，并根據(jù)網(wǎng)絡(luò)具體結(jié)構(gòu)將 OSPF網(wǎng)絡(luò)劃分成3個(gè)區(qū)域。§在專線網(wǎng)絡(luò)通過 QoS技術(shù)為視頻流量預(yù)留一定的帶寬，從而優(yōu)化網(wǎng)絡(luò)帶寬，提高視頻會議的通信質(zhì)量。1.5設(shè)備選型選型的基本原則§可以對單各文件或者文件夾設(shè)置權(quán)限?！鞆木W(wǎng)絡(luò)的穩(wěn)定性和可靠性考慮，所有交換、路由以及安全設(shè)備統(tǒng)一選用 Cisco品牌，采用Cisco的整體解決方案?！鞆墓こ填A(yù)算成本考慮，盡量使用原有設(shè)備，可以適當(dāng)更換一些性能不夠用或不穩(wěn)定的設(shè)備，不要刻意追求高性能、功能強(qiáng)的高端設(shè)備。§從網(wǎng)絡(luò)的擴(kuò)展性考慮，設(shè)備的接口、模塊數(shù)量要預(yù)留出一定的空間，設(shè)備的背板帶寬、連接數(shù)等關(guān)鍵性能參數(shù)也應(yīng)預(yù)留一定的升級空間。安全設(shè)備選型總公司的網(wǎng)關(guān)防火墻對于整個(gè) Thor集團(tuán)網(wǎng)絡(luò)至關(guān)重要，它不但擔(dān)負(fù)這整個(gè)北京地區(qū)所有公司的Internet接入，更肩負(fù)這與上海、青島分公司的VPN通信，所以工程部決定購買Cisco，而上海和青島倆家分公司采用Cisco設(shè)備即可。如表1-1所示，為兩款防火墻的參數(shù)對比。交換設(shè)備選型§北京總公司原先使用的核心交換設(shè)備為 Cisco4530，綜合考慮網(wǎng)絡(luò)的擴(kuò)展性和設(shè)備的性價(jià)比，工程部決定購買兩臺企業(yè)級 Cisco?！炜偣緝?nèi)網(wǎng)要實(shí)現(xiàn)“千兆到骨干，百兆到桌面”，所以原先的接入的交換機(jī)如果沒有千兆上行口，就必須更換到。更換后的接入交換機(jī)應(yīng)為 Cisco3750，或Cisco2960交換機(jī)。§由于實(shí)現(xiàn)對業(yè)務(wù)的統(tǒng)一管理，所以總公司服務(wù)器的訪問量將會很大，因此將所有服務(wù)器連接到Cisco2960的千兆以太網(wǎng)交換機(jī)上，通過交換機(jī)的4各SFP千兆上行口兩兩綁定以太網(wǎng)通道并連接到雙核心交換上。 具體Cisco交換機(jī)參數(shù)見表1-2.表1-2Cisco交換機(jī)參數(shù)產(chǎn)品系列設(shè)備型號背板帶轉(zhuǎn)發(fā)速率最大vlan端口密度機(jī)架單元號寬數(shù)（RU）CiscoCisco481012824-10/100/1000TX13750系列3750-48TS-SCiscoCisco166.525524-10/100；12960系列2960-24TT2-10/100/1000TX路由設(shè)備北京Loki公司與各分公司和分銷網(wǎng)點(diǎn)通過專線相連，相當(dāng)于公司的內(nèi)部網(wǎng)絡(luò)，所以網(wǎng)關(guān)設(shè)備沒有選用防火墻，而采用 Cisco的路由器進(jìn)行通信。專線網(wǎng)絡(luò)的結(jié)構(gòu)明顯是一個(gè)總部網(wǎng)絡(luò)和分支網(wǎng)絡(luò)的互聯(lián)結(jié)構(gòu)， 因此總部的網(wǎng)管設(shè)備性能比分校網(wǎng)店的設(shè)備要高一些。 工程部規(guī)劃北京總公司的路由器購買Cisco7200，而分公司和分銷點(diǎn)網(wǎng)點(diǎn)統(tǒng)一購買的是Cisco3600。如表1-3所示為Cisco7200系列和Cisco3600系列。表1-3CiSCO路由器參數(shù)表設(shè)備型號固話LAN接接口卡插槽網(wǎng)絡(luò)模塊插槽QoS和VPN口的支持Cisco3600兩個(gè)網(wǎng)絡(luò)插NM-1FE2W;NM-2FE2W;NM-1FE1R2W;NM-2W支持槽Cisco7200支持2.1設(shè)計(jì)目標(biāo)和原則Thor 集團(tuán)有限責(zé)任公司的信息化建設(shè)已經(jīng)成為整個(gè)集團(tuán)發(fā)展的重要組成部分，近幾年集團(tuán)的發(fā)展成為整個(gè)集團(tuán)網(wǎng)絡(luò)信息化建設(shè)的驅(qū)動(dòng)力。雖然Thor集團(tuán)網(wǎng)絡(luò)依然可以保證房地產(chǎn)業(yè)務(wù)的正常進(jìn)行，但在集團(tuán)各分公司和分銷網(wǎng)點(diǎn)間傳輸業(yè)務(wù)信息的可靠性和安全性方面暴露的問題很可能制約集團(tuán)實(shí)體業(yè)務(wù)的發(fā)展速度。為了適應(yīng)公司尸體業(yè)務(wù)的發(fā)展需求，并考慮到集團(tuán)的快速發(fā)展給信息化建設(shè)帶來的壓力，網(wǎng)絡(luò)工程部建議 Thor集團(tuán)信息化建設(shè)進(jìn)入第二期網(wǎng)絡(luò)改造階段。本次Thor集團(tuán)網(wǎng)絡(luò)改造項(xiàng)目的設(shè)計(jì)目標(biāo)如下?！旄鶕?jù)Thor集團(tuán)信息化的需求，對網(wǎng)絡(luò)系統(tǒng)進(jìn)行總體規(guī)劃，并納入所需業(yè)務(wù)。部署網(wǎng)絡(luò)中心節(jié)點(diǎn)，提升網(wǎng)絡(luò)安全系數(shù)，加強(qiáng)網(wǎng)絡(luò)的可靠性和穩(wěn)定性?！煺腡hor集團(tuán)北京地區(qū)的廣域網(wǎng)結(jié)構(gòu)，依據(jù)專線網(wǎng)絡(luò)的部署和設(shè)計(jì)規(guī)范，確定通州、昌平、房山等分銷網(wǎng)點(diǎn)接入北京 Loki房產(chǎn)公司的互聯(lián)方式及部署方案?！旄鶕?jù)Loki 公司內(nèi)網(wǎng)的實(shí)際業(yè)務(wù)訪問量，并兼顧未來發(fā)展，設(shè)計(jì)出安全、可靠、穩(wěn)定的公司內(nèi)網(wǎng)結(jié)構(gòu)。§實(shí)現(xiàn)內(nèi)網(wǎng)服務(wù)器和外網(wǎng) Loki-R3600-05 之間的的VPN接入，并實(shí)現(xiàn)總公司對這些業(yè)務(wù)的統(tǒng)一管理。本著“投資保護(hù)、高可靠性、安全性擴(kuò)展性”的原則，加強(qiáng)在網(wǎng)絡(luò)通信及系統(tǒng)中的安全管理、技術(shù)和產(chǎn)品的全面落實(shí)，最終建設(shè)一個(gè)高校、可靠、安全的網(wǎng)絡(luò)通信及應(yīng)用系統(tǒng)。其中設(shè)計(jì)原則主要體現(xiàn)在以下幾方面。系統(tǒng)的實(shí)用性和集成性系統(tǒng)的軟硬件設(shè)計(jì)和集成，均應(yīng)以實(shí)用為第一宗旨，在系統(tǒng)充分適應(yīng)應(yīng)用需求的基礎(chǔ)上再考慮其它方面的功能和性能。 Thor集團(tuán)的網(wǎng)絡(luò)系統(tǒng)所包含的內(nèi)容很多，系統(tǒng)設(shè)計(jì)時(shí)必須能將各種先進(jìn)的軟硬件設(shè)備有效集成， 使系統(tǒng)的各個(gè)組成部分能充分發(fā)揮作用，協(xié)調(diào)一致地進(jìn)行高效工作。標(biāo)準(zhǔn)性和開放性只有支持標(biāo)準(zhǔn)性和開放性的系統(tǒng)，才能支持與其他開放型系統(tǒng)一起協(xié)同工作，在網(wǎng)絡(luò)中采用的硬件設(shè)備及軟件產(chǎn)品應(yīng)支持國際工業(yè)標(biāo)準(zhǔn)或是事實(shí)上的標(biāo)準(zhǔn)，以便能和不同廠家的開放型產(chǎn)品在一網(wǎng)絡(luò)中同時(shí)共存。先進(jìn)性和安全性系統(tǒng)所有的組成要素均應(yīng)充分地考慮其先進(jìn)性。 不要一味地追求實(shí)用而忽略先進(jìn)，只有將當(dāng)今最先進(jìn)的技術(shù)和我們的實(shí)際應(yīng)用要求緊密結(jié)合， 才能獲得最大的系統(tǒng)性能和效益。另外，網(wǎng)絡(luò)的安全至關(guān)重要的，在某些情況下，寧可犧牲系統(tǒng)的部分功能也必須保證系統(tǒng)的安全。 對于網(wǎng)絡(luò)安全方面主要需要考慮以下幾方面?！煸谠O(shè)備安全方面主要包括：設(shè)備的物理安全和設(shè)備的訪問安全。§數(shù)據(jù)保密。對于通過 Internet 傳輸?shù)闹匾獢?shù)據(jù)，可以使用 VPN技術(shù)進(jìn)行加密以保證數(shù)據(jù)的安全性。在公司內(nèi)網(wǎng)不需要進(jìn)行加密。§通過防火墻等安全設(shè)備進(jìn)行安全防護(hù)。§通過ACL限制，來增強(qiáng)服務(wù)器的安全。成熟性和高可靠性作為信息系統(tǒng)基礎(chǔ)的網(wǎng)絡(luò)結(jié)構(gòu)和網(wǎng)絡(luò)設(shè)備及設(shè)備之間的貸款應(yīng)能充分地滿足網(wǎng)絡(luò)通信的需求。網(wǎng)絡(luò)硬件體系結(jié)構(gòu)在實(shí)際應(yīng)用中能經(jīng)受較長時(shí)間的考驗(yàn)，在運(yùn)行速度和性能呢剛上應(yīng)該是穩(wěn)定可靠的，并擁有完善的、使用的解決方案。硬件設(shè)備應(yīng)在全球范圍內(nèi)有廣泛的使用，并且硬件廠商要有實(shí)力雄厚的售后支持隊(duì)伍。同時(shí)，應(yīng)從長遠(yuǎn)的技術(shù)發(fā)展來選擇具有很好前景的、較為先進(jìn)的技術(shù)和產(chǎn)品，以適應(yīng)系統(tǒng)未來的發(fā)展需求?？煽啃砸彩呛饬恳粋€(gè)計(jì)算機(jī)應(yīng)用系統(tǒng)的重要標(biāo)準(zhǔn)之一。在確保系統(tǒng)網(wǎng)絡(luò)環(huán)境中單獨(dú)設(shè)備穩(wěn)定、可靠運(yùn)行的前提下，還需要考慮網(wǎng)絡(luò)整體的容錯(cuò)能力、安全性及穩(wěn)定性，在系統(tǒng)出現(xiàn)問題和故障時(shí)能迅速地修復(fù)。因此需要采取一定的預(yù)防措施，如對關(guān)鍵應(yīng)用和主干設(shè)備考慮適當(dāng)?shù)娜哂唷?yīng)急處理信息系統(tǒng)能夠全天候工作，達(dá)到每周7*24小時(shí)工作的要求。網(wǎng)絡(luò)的可靠性主要取決于兩方面：設(shè)備的可靠性和網(wǎng)絡(luò)拓?fù)涞娜哂唷?）設(shè)備可靠性在選擇設(shè)備時(shí)需要從設(shè)備的可靠性、轉(zhuǎn)發(fā)能力、端口類型數(shù)量、價(jià)格等方面進(jìn)行考慮。設(shè)備的可靠性主要考慮設(shè)備模塊的冗余，除此之外還需呀考慮設(shè)備的廠商，盡量選擇如 Cisco、Huawei等知名品牌廠商的設(shè)備。2）網(wǎng)絡(luò)冗余網(wǎng)絡(luò)拓?fù)涞娜哂喟ǎO(shè)備冗余和線路冗余。設(shè)備冗余一般使用備份技術(shù)（ HSRP、VRRP等）實(shí)現(xiàn)一臺設(shè)備出現(xiàn)故障時(shí)，令一臺設(shè)備可以保證網(wǎng)絡(luò)的正常運(yùn)行。線路冗余一般為全互聯(lián)或多條連路連接?？删S護(hù)性和可管理性整個(gè)信息網(wǎng)絡(luò)系統(tǒng)中的互連設(shè)備，應(yīng)是使用方便、操作簡單易學(xué)，并便于維護(hù)和管理。對復(fù)雜和怕更大的網(wǎng)絡(luò)，要求有強(qiáng)有力的網(wǎng)絡(luò)管理手段，一邊合理地管理網(wǎng)絡(luò)資源，監(jiān)視網(wǎng)絡(luò)狀態(tài)及控制網(wǎng)絡(luò)的運(yùn)行。因此，所選的網(wǎng)絡(luò)設(shè)備應(yīng)支持SNMP、RMON、SMON等協(xié)議，管理員通過網(wǎng)管工作站就能方便地進(jìn)行網(wǎng)絡(luò)管理、維護(hù)及修復(fù)。在設(shè)計(jì)和實(shí)現(xiàn)計(jì)算機(jī)應(yīng)用系統(tǒng)時(shí)，必須充分考慮整個(gè)系統(tǒng)的便于維護(hù)性，以保證一旦系統(tǒng)發(fā)生故障能夠及時(shí)提供有效手段恢復(fù)業(yè)務(wù)，盡量減少損失。部署網(wǎng)絡(luò)管理一般分為兩種形式：帶內(nèi)網(wǎng)管和帶外網(wǎng)關(guān)?？蓴U(kuò)充性和兼容性網(wǎng)絡(luò)的拓?fù)浣Y(jié)構(gòu)應(yīng)具有可擴(kuò)展性即網(wǎng)絡(luò)連接必須在系統(tǒng)結(jié)構(gòu)、 系統(tǒng)容量與處理能力、物理連接、產(chǎn)品支持等方面具有擴(kuò)充與升級換代的可能， 采用的產(chǎn)品要遵循通用的工業(yè)標(biāo)準(zhǔn)，一邊不同類型的設(shè)備能方便靈活地接入網(wǎng)絡(luò)并滿足系統(tǒng)規(guī)模擴(kuò)充的要求。2.2設(shè)備清單、命名及連接由于Thor集團(tuán)網(wǎng)絡(luò)使用設(shè)備較多，為了便于管理和維護(hù)需要對設(shè)備進(jìn)行統(tǒng)一的命名，命名規(guī)則應(yīng)該規(guī)范化，并且命名規(guī)則應(yīng)該便于理解。 Thor公司采用三段式的命名規(guī)則，即 AAAA-BBBB-CC。其中AAAA為設(shè)備所屬的公司，使用漢字拼音的首字母縮寫； BBBB表示設(shè)備的型號；CC表示設(shè)備序號，如果前兩項(xiàng)相同可以使用數(shù)字標(biāo)號標(biāo)識。 具體設(shè)備命名如表2-2所示。Thor集團(tuán)網(wǎng)絡(luò)設(shè)備命名表設(shè)備命名 設(shè)備型號Loki-R3600-01 R3600Loki-R3600-02 R3600Loki-R3600-03 R7200Loki-R3600-04 R3600Loki-R3600-05 R3600Loki-SW3750-01 SW3750Loki-SW3750-02 SW3750Loki-SW3750-02 SW2960

描述Loki公司內(nèi)網(wǎng)專線網(wǎng)關(guān)設(shè)備分公司網(wǎng)關(guān)路由設(shè)備Loki公司外網(wǎng)網(wǎng)關(guān)設(shè)備模擬外網(wǎng)設(shè)備外網(wǎng)驗(yàn)證 IPSECVPN設(shè)備Loki公司核心交換冗余設(shè)備Loki公司核心交換冗余設(shè)備Loki公司核心交換設(shè)備2.3VLAN及IP地址的規(guī)劃本次改造工程繼續(xù)使用之前的網(wǎng)站地址（ ），但為了避免 IP地址的沖突，重新對 IP對峙進(jìn)行規(guī)劃。網(wǎng)絡(luò)核心設(shè)備互連地址，如表 2-6所示。表2-6核心網(wǎng)絡(luò)設(shè)備互聯(lián)地址表設(shè)備名稱接口及地址對端設(shè)備接口及地址連接方式Loki-R7200-03S0/Loki-R3600-04S0/0/24VPN連接的Internet鏈路Loki-SW2960-0323Loki-SW3750-0222Trunk鏈路24Loki-SW3750-0122Trunk鏈路3Vlan10以太網(wǎng)鏈路5Vlan20以太網(wǎng)鏈路11Vlan30以太網(wǎng)鏈路16Vlan40以太網(wǎng)鏈路Loki-SW3750-0112Loki-R3600-04以太網(wǎng)鏈路22Loki-SW2960-0324Trunk鏈路23Loki-SW3750-0223以太網(wǎng)鏈路24Loki-SW3750-0224以太網(wǎng)鏈路Loki-SW3750-0212Loki-R3600-04以太網(wǎng)鏈路11Loki-R3600-01F0/1以太網(wǎng)鏈路23 Loki-SW3750-01 23 以太網(wǎng)鏈路24 Loki-SW3750-01 24 以太網(wǎng)鏈路22 Loki-R7200 23 Trunk鏈路具體設(shè)備管理地址，如表 2-7所示。表2-7 網(wǎng)絡(luò)設(shè)備管理地址表設(shè)備名稱 管理IP 描述Loki-PC-01 ACS代理服務(wù)器Loki-PC-02 http服務(wù)器Loki-PC-03 工程部Loki-PC-04 市場部Loki-PC-05 財(cái)務(wù)部 集團(tuán)公司用戶 VLAN與IP地址要求為該公司每個(gè)部門劃分單獨(dú)的 VLAN，以減少不必要的廣播并增強(qiáng)網(wǎng)絡(luò)安全性。具體劃分如表2-5所示。表2-8用戶VLAN及IP所在公司功能VLANIDIP地址網(wǎng)段總部總部服務(wù)器VLAN10工程部VLAN20市場部VLAN30財(cái)務(wù)部VLAN402.4具體配置Instance1Instance2VLAN10VLAN20VLAN30VLAN40VLAN10VLAN20VLAN30VLAN40總公司核心交換部分的配置由于此次改造工程北京 Loki公司的內(nèi)網(wǎng)VLAN數(shù)量較多，因此采用 MSTP技術(shù)將所有的vlan按照流量大小等分為兩組實(shí)例（instance1和針對這兩組實(shí)例實(shí)現(xiàn)生成樹的負(fù)載均衡。

instance2

），hostnameLoki-SW3750-01Loki-SW3750-02Loki-SW3750-01noaaanew-modelswitch1provisionws-c3750-24tssystemmturouting1546ipsubnet-zeroiproutingspanning-treemodemstspanning-treeextendsystem-idspanning-treemstconfigurationnamexilinrevision1instance1vlan1,10,20//將vlan10,20劃分到實(shí)例1，作為SW1_3750A的主根instance2vlan30,40//將vlan30,40劃分到實(shí)例2，作為SW1_3750A的備根spanning-treemst1priority24576spanning-treemst2priority28672vlaninternalallocationpolicyascendinginterfacePort-channel1switchporttrunkencapsulationdot1qswitchportmodetrunkinterfaceFastEthernet1/0/1interfaceFastEthernet1/0/2interfaceFastEthernet1/0/3interfaceFastEthernet1/0/4interfaceFastEthernet1/0/5interfaceFastEthernet1/0/6interfaceFastEthernet1/0/7interfaceFastEthernet1/0/8interfaceFastEthernet1/0/9interfaceFastEthernet1/0/10interfaceFastEthernet1/0/11interfaceFastEthernet1/0/12noswitchportspeed100duplexfullinterfaceFastEthernet1/0/13interfaceFastEthernet1/0/14interfaceFastEthernet1/0/15interfaceFastEthernet1/0/16interfaceFastEthernet1/0/17interfaceFastEthernet1/0/18interfaceFastEthernet1/0/19interfaceFastEthernet1/0/20interfaceFastEthernet1/0/21interfaceFastEthernet1/0/22switchporttrunkencapsulationdot1qswitchportmodetrunkinterfaceFastEthernet1/0/23switchporttrunkencapsulationdot1qswitchportmodetrunkchannel-group1modeoninterfaceFastEthernet1/0/24switchporttrunkencapsulationdot1qswitchportmodetrunkchannel-group1modeoninterfaceGigabitEthernet1/0/1interfaceGigabitEthernet1/0/2interfaceVlan1noipaddress2．的配置interfaceVlan10ipospfflood-reduction//使LSA的更新失去作用ipospfmtu-ignore禁用開放OSPF最大傳輸單元(MTU)接收數(shù)據(jù)描述符不匹配檢測standby10priority150standby10preemptstandby10trackFastEthernet1/0/1270interfaceVlan20ipaccess-groupv10inipospfflood-reductionipospfmtu-ignorestandby20priority150standby20preemptstandby20trackFastEthernet1/0/1270interfaceVlan30ipaccess-groupv20inipospfcost65535ipospfflood-reductionipospfmtu-ignorestandby30preemptinterfaceVlan40ipospfcost65535ipospfflood-reductionipospfmtu-ignorestandby40preemptrouterospf110log-adjacency-changesipclasslessiphttpserveriphttpsecure-serveripaccess-listextendedv20permitospfanyanyipaccess-listextendedv30permitospfanyanylinecon0linevty04passwordciscologinlinevty515loginend 的配置：hostnameLoki-SW3750-02spanning-treemodemstspanning-treeextendsystem-idspanning-treemstconfigurationnamexilinrevision1將vlan10，20劃分到實(shí)例1，作為SW2_3750B的備根，將vlan30，40劃分到實(shí)例2，作為SW2_3750B的主根instance1vlan10,20instance2vlan30,40spanning-treemst1priority28672spanning-treemst2priority24576vlaninternalallocationpolicyascendinginterfacePort-channel1switchporttrunkencapsulationdot1qswitchportmodetrunkinterfaceFastEthernet1/0/1interfaceFastEthernet1/0/2interfaceFastEthernet1/0/3interfaceFastEthernet1/0/4interfaceFastEthernet1/0/5interfaceFastEthernet1/0/6interfaceFastEthernet1/0/7interfaceFastEthernet1/0/8interfaceFastEthernet1/0/9interfaceFastEthernet1/0/10interfaceFastEthernet1/0/11interfaceFastEthernet1/0/12noswitchportspeed100duplexfullinterfaceFastEthernet1/0/13interfaceFastEthernet1/0/14interfaceFastEthernet1/0/15interfaceFastEthernet1/0/16interfaceFastEthernet1/0/17interfaceFastEthernet1/0/18interfaceFastEthernet1/0/19interfaceFastEthernet1/0/20interfaceFastEthernet1/0/21interfaceFastEthernet1/0/22switchporttrunkencapsulationdot1q // 協(xié)議封裝switchportmodetrunkinterfaceFastEthernet1/0/23switchporttrunkencapsulationdot1qswitchportmodetrunkchannel-group1modeoninterfaceFastEthernet1/0/24switchporttrunkencapsulationdot1qswitchportmodetrunkchannel-group1modeoninterfaceGigabitEthernet1/0/1interfaceGigabitEthernet1/0/2interfaceVlan1noipaddressinterfaceVlan10ipospfcost65535ipospfflood-reductionipospfmtu-ignorestandby10preemptinterfaceVlan20ipaccess-groupv20inipospfcost65535ipospfflood-reductionipospfmtu-ignorestandby20preemptinterfaceVlan30ipaccess-groupv30inipospfflood-reductionipospfmtu-ignorestandby30priority150standby30preemptstandby30trackFastEthernet1/0/1270interfaceVlan40ipospfflood-reductionipospfmtu-ignorestandby40priority150standby40preemptstandby40trackFastEthernet1/0/1270 .3配置OSPFrouterospf110log-adjacency-changes // 激活OSPF鄰接關(guān)系ipclasslessiphttpserveriphttpsecure-serveripaccess-listextendedv20permitospfanyanyipaccess-listextendedv30permitospfanyanylinecon0linevty04passwordciscologinlinevty515loginend 的配置：的配置hostnameLoki-SW2960-03spanning-treemodepvstspanning-treeextendsystem-idvlaninternalallocationpolicyascendinginterfaceGigabitEthernet0/1switchportaccessvlan10switchportmodeaccessinterfaceGigabitEthernet0/2switchportaccessvlan10switchportmodeaccessinterfaceGigabitEthernet0/3switchportaccessvlan10switchportmodeaccessinterfaceGigabitEthernet0/4interfaceGigabitEthernet0/5switchportaccessvlan20switchportmodeaccessinterfaceGigabitEthernet0/6interfaceGigabitEthernet0/7interfaceGigabitEthernet0/8interfaceGigabitEthernet0/9interfaceGigabitEthernet0/10interfaceGigabitEthernet0/11switchportaccessvlan30switchportmodeaccessinterfaceGigabitEthernet0/12interfaceGigabitEthernet0/13interfaceGigabitEthernet0/14interfaceGigabitEthernet0/15interfaceGigabitEthernet0/16switchportaccessvlan40switchportmodeaccessinterfaceGigabitEthernet0/17interfaceGigabitEthernet0/18interfaceGigabitEthernet0/19interfaceGigabitEthernet0/20interfaceGigabitEthernet0/21interfaceGigabitEthernet0/22interfaceGigabitEthernet0/23switchporttrunkencapsulationdot1qswitchportmodetrunkinterfaceGigabitEthernet0/24switchporttrunkencapsulationdot1qswitchportmodetrunkinterfaceGigabitEthernet0/25interfaceGigabitEthernet0/26interfaceGigabitEthernet0/27interfaceGigabitEthernet0/28interfaceVlan1noipaddressnoiproute-cacheshutdowninterfaceVlan10noiproute-cacheiphttpserverlinecon0linevty04nologinlinevty515nologinEndLoki公司的專線鏈路配置：1.Loki-R3600-01 的配置：hostnameLoki-R7200-01intf0/0noshutintf0/1noshutrouterospf1102.Loki-R3600-02 的配置：hostnameLoki-R7200-02intf0/0noshutintf0/1noshutLoki公司核心路由器 Loki-R7200-03的配置：1.1配置IPSecVPNhostnameLoki-R7200-03cryptoisakmppolicy10 // 建立IKE協(xié)商策略，策略號為Encr3des //3des 加密算法hashmd5 // 采用hash密鑰認(rèn)證算法

10authenticationpre-share//采用預(yù)先共享的密鑰group2cryptoipsectransform-setTransesp-desesp-md5-hmac傳輸模式的名稱為Trans,后面的為其采用的驗(yàn)證和加密參數(shù)cryptomapcry-map10ipsec-isakmp此IPSec鏈接采用IKE自動(dòng)協(xié)商指定VPN鏈路settransform-setTrans//

設(shè)置傳輸模式的名稱為

Transmatchaddressvpn //ACL

列表名為

vpninterfaceFastEthernet0/0ipnatinsideipvirtual-reassemblyipospfmtu-ignorespeed100full-duplexinterfaceSerial0/0ipnatoutsideipvirtual-reassemblynofair-queuecryptomapcry-mapinterfaceFastEthernet0/1ipnatinsideipvirtual-reassemblyipospfmtu-ignorespeed100full-duplexinterfaceSerial0/1noipaddressShutdown1.2OSPF的配置routerospf110log-adjacency-changes1.3內(nèi)網(wǎng)與外網(wǎng)之間的 RIP配置routerripversion2noauto-summaryipforward-protocolndiphttpservernoiphttpsecure-serveripnatinsidesourcelistpatinterfaceSerial0/0overloadipaccess-listextendedpatipaccess-listextendedvpncontrol-planelinecon0exec-timeout00lineaux0linevty04passwordciscologinend1.4配置SSLVPNinterfaceSerial0/0accesssslvpn//配置接口，開啟SSLVPNaccesshttpsuseraccessciscolocalcisco//

創(chuàng)建本地認(rèn)證用戶usergroupciscosslvpnmodeall//

創(chuàng)建本地認(rèn)證用戶組useraccessciscogroup2

//

用戶與用戶組關(guān)聯(lián)sslvpnresource-group3resource-group3group2resourcewebgroup3ensble(模擬外網(wǎng)

)Loki-R3600-04

的配置：hostnameLoki-R3600-04usernameciscopassword0ciscointerfaceLoopback0interfaceEthernet0/0noipaddressshutdownhalf-duplexinterfaceSerial0/0clockrate2000000interfaceEthernet0/1noshutdownhalf-duplexinterfaceSerial0/1clockrate2000000routerripversion2noauto-summaryipclasslessiphttpserverippimbidir-enablelinecon0lineaux0linevty04passwordciscologinendLoki-R3600-05 的配置：hostnameLoki-R3600-05noipdomainlookupcryptoisakmppolicy10encr3deshashmd5authenticationpre-sharegroup2cryptoipsectransform-setciscoesp-desesp-md5-hmaccryptomapcisco10ipsec-isakmpsettransform-setciscomatchaddressvpninterfaceFastEthernet0/0duplexautospeedautointerfaceSerial0/0noipaddressshutdownnofair-queueinterfaceFastEthernet0/1noipaddressshutdownduplexautospeedautointerfaceSerial0/1cryptomapciscointerfaceSerial0/2noipaddressshutdowninterfaceSerial0/3noipaddressshutdownrouterripversion2noauto-summaryipforward-protocolndiphttpservernoiphttpsecure-serveripaccess-listextendedvpncontrol-planelinecon0exec-timeout00loggingsynchronouslineaux0linevty04passwordciscologinEnd4.1測試驗(yàn)收測試驗(yàn)收的相關(guān)規(guī)范如下?！齑_認(rèn)設(shè)備、環(huán)境等條件是否為正常運(yùn)行后的情況，是否符合測試驗(yàn)收要求。§在測試驗(yàn)收過程中填寫測試報(bào)告，并簽字或蓋章?！烊绻麥y試中發(fā)生問題，應(yīng)及時(shí)通知相關(guān)責(zé)任人，進(jìn)行故障處理。測試驗(yàn)收問題包括相關(guān)功能沒有實(shí)現(xiàn)、配置錯(cuò)誤、設(shè)備缺損、環(huán)境不滿足要求等?！焖袦y試驗(yàn)收數(shù)據(jù)均應(yīng)認(rèn)真記錄，最終測試報(bào)告應(yīng)由測試人及確認(rèn)人簽字?！炜偣緝?nèi)網(wǎng)部分：工程部、市場部、財(cái)務(wù)部之間不可互相訪問?！炜偣緝?nèi)網(wǎng)部分：VLAN10和工程部、市場部、財(cái)務(wù)部之間可以互相訪問?！?個(gè)VLAN都可以訪問外網(wǎng)，但是工程部、市場部、財(cái)務(wù)部需要通過VLAN10中的ACS服務(wù)代理訪問外網(wǎng)?！鞂＞€和內(nèi)網(wǎng)之間可以互相訪問。5.1 Linux服務(wù)搭建部分需求分析DNS服務(wù)，對內(nèi)外網(wǎng)提供域名解析FTP服務(wù)HTTP服務(wù)SMTP服務(wù)問題分析在搭建的DNS服務(wù)的時(shí)候，配置文件已經(jīng)寫好，但正向或反向解析出錯(cuò)匿名用戶可以登錄，但實(shí)名用戶無法登錄實(shí)施步驟搭建DNS服務(wù)建立一個(gè)yum容器編輯test.repo[name111111]name=111111enabled=1gpgcheck=0保存掛載mountdev/sr1mnt/dvd裝包yuminstall-ybind正向解析：文件配置named.conf文件配置1.vim/etc/named.cof2.listen-onport53{any;};3.allow-query(any;);Zone“”IN{typemaster;filenamed.swfu;Allow-update{none;};}cpnamed.localhostnamed.swfu更改name.swfu的權(quán)限chgrpnamed/var/named/named.swfu配置named.swfu文件vim/var/named/named.swfu$TTL1D0;serial1D;refresh1H;retry1W;expire3H);minium重啟服務(wù)/etc/init.d/namedrestartchkconfignamedonvim/etc/resolv.conf反向解析typemaster;file"named.192";allow-update{none;};};cp/var/named/named.loopback/var/named/named.192更改文件named.192的權(quán)限chgrpnamed/var/named/named.192vim/var/named/named.192$TTL1D;serial1D;refresh1H ;retry1W ;expir3H);minimum128 PTR // 反向解析IP-域名/etc/init.d/namedrestart // 重啟服務(wù)b)搭建FTP服務(wù)一、安裝 vsftpd 服務(wù)。匿名用戶就是 ftp，默認(rèn)可訪問， ftp 的家目錄/var/ftpyuminstall