《集团网络组建设计分析报告与设计.doc》由会员分享,可在线阅读,更多相关《集团网络组建设计分析报告与设计.doc(20页珍藏版)》请在三一办公上搜索。
1、目录一网络工程实践目的及要求二问题陈述三需求分析四设计原则和总体规划五详细设计六结果及测试七总结及展望一网络工程实践目的及要求网络工程是指按计划进行的网络综合性工作。网络工程实践培养学生掌握网络工程的基本理论与方法以及计算机技术和网络技术等方面的知识,能运用所学知识与技能去分析和解决相关的实际问题。成为可在信息产业以及其他国民经济部门从事各类网络系统和计算机通信系统研究、教学、设计、开发等工作的高级科技人才。通过网络工程实践课程的学习,系统地掌握计算机网络和通信网技术领域的基本理论、基本知识;掌握各类网络系统的组网、规划、设计、评价的理论、方法与技术;获得计算机软硬件和网络与通信系统的设计、开
2、发及应用方面良好的工程实践训练,特别是应获得较大型网络工程开发的初步训练。二问题陈述大明集团是一家高科技股份制企业,成立于1996年,总部位于广东省广州市。主要产品有太阳能热水器、全玻璃真空管、太阳能热水系统、温屏节能玻璃等四大系列。大明集团以其产品的不断创新和过硬的质量,多次获得消费者信得过产品、专利创新奖等国家级奖项。该集团共用系列信息系统:一套oa系统,一套生产管理信息系统,一套财务系统,一个对外宣传的网站。大明集团按照地理位置,分为3块 第一区域:总部,位于广州市天河区,租用某甲级写字楼3层第一层:前台接待处,行政管理经理办公室,行政管理办公室,人力资源办公室;财务部经理办公室,财务部
3、办公室;第二层:营销管理经理办公室,内贸部办公室,外贸部办公室第三册:董事长办公室,总经理办公室,会议室 第二区域:北方销售及售后中心,位于北京市朝阳区,租用某甲级写字楼3第一层:中心销售主任办公室,内贸部办公室,外贸部办公室第二层;中心售后主任办公室,售后办公室,中心财务主任办公室,财务办公室第三层:中心主任办公室,行政办公室,会议室 第三区域:生产中心,位于广州市番禺区大石镇。办公楼:第1层:生产管理部(主任室,管理1,管理2,管理3,管理4)第2层:财务部(主任室,管理会计,成本会计,出纳)第3层:销售部(主任室,内贸部,外贸部),售后部(主任室,售后1部,售后2部)第4层:质管部(主任
4、室,质管1部,质管2部,质管3部,质管4部)第5层:生产中心(总经理室,副总经理1,副总经理2)行政管理部(主任室,行政管理1,行政管理2)科技楼:第1层:研发中心主任室,实验中心主任室,中心机房(总控室)第2层:研发1部,研发2部第3层:研发3部,研发4部第4层:实验1部,实验2部第5层:实验3部,实验4部接待楼:共6层,1-2层产品展示区,3-5层培训住宿,6层会议室第1-2层,分4个产品展示区,每层约200平米第3-5层,每层12个房间,标准双人间,用于培训、接待第6层,大会议室宿舍楼1:共6层,每层12个房间,每个房间4人宿舍楼2:共6层,每层12个房间,每个房间4人宿舍楼3:共6层,
5、1-3层,每层12个房间,每个房间2人 4-6层,每层12个房间,每个房间1人厂房1:共2层,每层面积400平米,每层约80人工作厂房2:共2层,每层面积400平米,每层约80人工作厂房3:共2层,每层面积400平米,每层约80人工作厂房4:共2层,每层面积400平米,每层约80人工作仓库1:共2层,每层面积400平米,每层约20人工作仓库2:共2层,每层面积400平米,每层约20人工作三需求分析*集团网络建设具体需求如下:1)网络应该拥有高速的Internet接入出口;2)网络必须能提供DNS、WWW、FTP、E-mail、等多项Internet服务;3)网络能实现企业范围内的自动办公和管理
6、,以及信息资源的共享;4)只有财务处才可以访问财务系统;5)整个企业主干网络实现千兆传输,而楼内根据需要选择千兆或百兆,做到百兆到桌面;6)网络能够使企业总部园区和各分支机构的网络实现安全可靠的传输;7)网络要求达到一定级别的安全性,确保信息资源的可用性和安全性;8)网络在管理上拥有灵活的、安全的管理模式,做到分级别、分权限、分地点的管理;四设计原则和总体规划1、设计原则*集团的信息化建设是对于各项业务正常稳定进行的保证,信息化网络的设计必须充分考虑企业对使用的技术和设备的要求,要遵循功能性、实用性、兼容性、前瞻性、安全性、扩展性和经济性的原则。1)遵循以企业功能性需求为前提坚持以*集团具体需
7、求为网络方案设计的根本和前提,同时也要注重源于目前需求而又高于目前求的原则,注意用专业化的技术思想进行集团网络的规划与设计,确保网络的实用性、先进性和便于扩展性。2)追求高性价比的原则选择最好的设备不一定是最佳的方案。成本因素也是一个方案设计必须考虑的问题,选择设备时必须考虑性价比,采用性价比高的设备的方案才是一个优秀的方案。3)设备选型兼顾原则设备选型应满足*集团对现代化管理手段的要求;满足集团信息化网络建设的要求;所选设备在国际上保持技术先进性;供应商有良好的商业信誉和优质的售后服务。4)技术应用全面原则在技术应用方面,应全面考虑其实用性、先进性、开放性、可扩充性、可靠性、安全保密性及友好
8、性。5)坚持标准原则*集团网络的设计和施工,均要严格遵循国际和国家标准。要着眼未来,要与日后技术的发展相适应5)坚持标准原则*集团网络的设计和施工,均要严格遵循国际和国家标准。要着眼未来,要与日后技术的发展相适应。2、总体规划*集团网络建设建议采用企业级网络模型的多层次化结构;1)整体网络规划分为集团园区、下属分支机构区、服务提供商边缘功能区。企业园区网络采用三层结构;服务提供商边缘提供到服务提供商所实施服务的连接,通过使用不同的WAN和ISP,服务提供商边缘功能区能够促成与其他网络的通信。2)网络平台建议采用拥有与外网连接的高速Internet接入;3)服务器及网络服务系统。要实现DNS、W
9、WW、FTP、E-mail、数据库等基本网络应用以及企业应用系统服务。4)全面的系统安全。应对企业网络进行全面的系统安全设计,包括防火墙、网络防病毒、入侵检测、数据的灾难性恢复等。5)综合布线系统应该采用在技术上处于领导地位,产品成熟稳定,具有极佳应用效果的公司的布线系统和材料。五详细设计1、 综合布线1) 总部一楼:100个信息点;二楼:100个信息点;三楼:100个信息点;2) 生产中心办公楼:100个信息点;科技楼:100个信息点;接待楼:100个信息点;宿舍楼:800个信息点厂房:100个信息点;仓库:100个信息点;3) 售后中心一楼:100个信息点;二楼:100个信息点;三楼:10
10、0个信息点;根据上述分析可知,企业园区共有1900个信息点,外加无线WIFI接入。2、网络总体结构图从图中可以看到,企业两个个外部分支机构将通过VPN连接成一个统一的企业内联网,满足企业对网络统一管理的要求。3、层次化的网络模型设计当今网络非常复杂,且对实现组织目标至关重要。商业对网络带宽、可靠性以及功能的要求越来越高。使用清晰的网络分层模型模式,将设计方案划分为模块化组或层。划分为多个层后,每一层都重点提供某些功能,通过这种方式简化了设计,也简化了部署和管理。并采用分布式交换网络设计方案,以达到可拓展、可靠性高、可用性强、响应快、效率高、适应性强以及访问容易,同时安全性高,管理容易等要求。本
11、次网络工程实践我们采用层次化的网络模型设计5、网络技术选择VLAN与TRUNK链路VTP的设计STP的设计 PPP的设计DHCP的设计Ethernet Channel 设计VLAN间路由设计交换机的设置路由协议OSPF区域的划分广域网部分的设计VPN (虚拟专用网)6、网络IP地址与VLAN规划企业园区IP地址段VLAN号默认网关公有地址总部服务器172.16.0.0172.16.0.254202.202.202.1202.202.202.4财务办172.17.0.020172.17.0.254二楼172.23.0.070172.23.0.254三楼172.18.0.010172.10.0.2
12、54生产中心财务部172.19.0.050172.19.0.254202.202.202.2其他172.20.0.030172.20.0.254售后中心财主办172.21.0.060172.21.0.254202.202.202.3其他172.22.0.040172.22.0.2547、网络设备选型核心层交换机核心层的设备选型考虑核心层应采用两个多层交换机作为网络的核心,以提供可扩展性能、出色的智能性和广泛的特性, 要求满足最为严格的中大型企业部署对于构建模块化、永续、可扩展、安全的第二层或第三层解决方案的需求。并凭借千兆以太网或万兆以太网接口、铜线和光纤媒体传输,以及广泛的广域网和城域网接口
13、支持,提供任意网络核心层所需的灵活性。此方案选用思科的WS-C6506-E多层交换机作为核心层交换机。图18 思科 WS-C6506-E多层交换机Cisco Catalyst 6500和6500-E系列使用户可获得最高生产率,增强了运营控制,从而为企业园区和电信运营商网络中的IP通信及应用供应设立了新标准。作为重要的智能、多层模块化思科交换机,Catalyst 6500系列提供了安全、融合的端到端服务,范围涵盖配线间、核心网络、数据中心和WAN边缘。Cisco Catalyst 6500适用于希望降低总拥有成本(TCO)的大型企业和电信运营商,它提供了前所未有的投资保护,并在几种机箱配置和LA
14、N、WAN及城域网(MAN)接口上提供了出色的可扩展性能和端口密度。Catalyst 6500系列具有6插槽机箱,配备了范围最为广泛的集成多业务模块,包括多千兆位网络安全、内容交换、电话和网络分析模块。Cisco Catalyst 6500系列不但能为企业和电信运营商提供市场领先的服务、性能、端口密度和可用性,还能提供无与伦比的投资保护能力,包括:最长的网络正常运行时间利用Cisco IOS软件模块化、平台、电源、交换管理引擎、交换矩阵和集成网络服务冗余性,提供13秒的状态化故障切换,提供应用和服务连续性统一在一起的融合网络环境,减少关键业务数据和服务的中断。全面的网络安全性将切实可行的数千兆
15、位级思科安全解决方案集成到现有网络中,包括入侵检测、防火墙、VPN和SSL。可扩展性能利用分布式转发架构提供高达400mpps的转发性能。能够适应未来发展并保护投资的架构在同一种机箱中支持三代可互换、可热插拔的模块,以提高IT基础设施利用率,增大投资回报,并降低总拥有成本;操作一致性3插槽、6插槽、9插槽和13插槽机箱配置使用相同的模块、Cisco IOS 软件、Cisco Catalyst操作系统软件以及可以部署在网络任意地方的网络管理工具。卓越的服务集成和灵活性将安全、无线局域网服务和内容等高级服务与融合网络集成在一起,提供从10/100和10/100/1000以太网到万兆以太网,从DS0
16、到OC-48的各种接口和密度,并能够在任何项目中部署端到端地执行。汇聚层交换机接入层交换机服务器接入和外网接入交换机防火墙设备预算费用列表:名称型号数量(台)单价(元)总价接入层交换机TP-LINK TL-SF1024L136107930汇聚层交换机思科WS-C3560-24TS-S41400056000核心层交换机思科WS-C506-E12100021000外网接入交换机思科WS-C3750G-125-S22200044000服务器接入交换机思科WS-C3750G-125-S12200022000防火墙思科CISCO ASA5510-BUN-K931300039000总价1899309、核心
17、设备配置 1)划分VLANSwitch(vlan)#vlan 10 name zongbuVLAN 10 modified:Name: zongbuSwitch(vlan)#exitSwitch#conf tSwitch(config)#intvlan 10Switch(config-if)#ip add 172.18.0.254 255.255.0.02)三层交换机动态分配ip DHCPSwitch(config)#intvlan 10Switch(config-if)#ipdhcp excluded-address 172.18.0.254Switch(config)#ipdhcp poo
18、l zbSwitch(dhcp-config)#network 172.18.0.0 255.255.0.0Switch(dhcp-config)#default-router 172.18.0.254Switch(dhcp-config)#dns-server 172.16.0.13)将三层交换机端口转换层三层端口Switch#conf tSwitch(config)#interface FastEthernet0/1Switch(config-if)#no switchportSwitch(config-if)#ip address 192.168.1.2 255.255.255.04)
19、Vlan中继协议VTP三层交换机中:Switch#vlan databaseSwitch(vlan)#vtp domain senyaSwitch(vlan)#vtp server二层交换机中:SwitchenSwitch#vlan databaseSwitch(vlan)#vtp domain senyaSwitch(vlan)#vtp client5)双链路聚三层交换机1Switch(config)#interface FastEthernet0/4Switch(config-if)#channel-group 1 mode onSwitch(config-if)#switchport t
20、runk encapsulation dot1qSwitch(config-if)#switchport mode trunkSwitch(config)#interface FastEthernet0/5Switch(config-if)#channel-group 1 mode onSwitch(config-if)#switchport trunk encapsulation dot1qSwitch(config-if)#switchport mode trunkSwitch(config-if)#exitSwitch(config)#vtp domain HSRPSwitch(conf
21、ig)#vtp mode serverSwitch(config)#vtp password zheng三层交换机2Switch(config)#interface FastEthernet0/4Switch(config-if)#channel-group 1 mode onSwitch(config-if)#switchport trunk encapsulation dot1qSwitch(config-if)#switchport mode trunkSwitch(config)#interface FastEthernet0/5Switch(config-if)#channel-gr
22、oup 1 mode onSwitch(config-if)#switchport trunk encapsulation dot1qSwitch(config-if)#switchport mode trunkSwitch(config-if)#exitSwitch(config)#vtp domain HSRPSwitch(config)#vtp mode clientSwitch(config)#vtp password zheng6) STP生成树协议三层交换机1Switch(config)#spanning-tree vlan 10 root primarySwitch(config
23、)#spanning-tree vlan 20 root primarySwitch(config)#spanning-tree vlan 70 root primary三层交换机2Switch(config)#spanning-tree vlan 10 root secondarySwitch(config)#spanning-tree vlan 20 root secondarySwitch(config)#spanning-tree vlan 70 root secondary7) ospf配置Switch(config)#router ospf 1Switch(config-route
24、r)#network 172.18.0.0 0.0.255.255 area 1Switch(config-router)#network 172.17.0.0 0.0.255.255 area 1Switch(config-router)#network 172.23.0.0 0.0.255.255 area 1Switch(config-router)#network 192.168.1.0 0.0.0.255 area 18) ACL配置Switch(config)#access-list 101 deny icmp 172.18.0.0 0.0.255.255 host 172.16.
25、0.3Switch(config)#access-list 101 deny icmp 172.23.0.0 0.0.255.255 host 172.16.0.3Switch(config)#access-list 101 deny icmp 172.20.0.0 0.0.255.255 host 172.16.0.3Switch(config)#access-list 101 deny icmp 172.22.0.0 0.0.255.255 host 172.16.0.3Switch(config)#access-list 101 permit ip any anySwitch(confi
26、g)#int g0/1Switch(config-if)#ip access-group 101 out9)动态NAT配置(防火墙)Router(config)#interface FastEthernet0/0Router(config-if)#ipnat insideRouter(config)#interface Serial0/1/1Router(config-if)#ipnat outsideRouter(config-if)#interface Serial0/1/0Router(config-if)#ipnat outsideRouter(config-if)#ipnat poo
27、l zong 202.202.202.1 202.202.202.1 netmask 255.255.255.0Router(config)#ipnat inside source list 1 pool zongRouter(config)#ipnat inside source static 172.16.0.1 202.202.202.1 Router(config)#ipnat inside source static 172.16.0.3 202.202.202.1Router(config)#ipnat inside source static 172.16.0.4 202.202
28、.202.1Router(config)#ipnat inside source static 172.16.0.5 202.202.202.1静态NAT配置Router(config)#ipnat inside source static 172.16.0.2 202.202.202.410)PPP数据链路层协议配置路由器zongbuzongbu(config)#interface Serial0/1/0zongbu(config-if)#encapsulation pppzongbu(config-if)#ppp authentication chapzongbu(config-if)#n
29、o shutzongbu(config-if)#exitzongbu(config)#username shengcha password zheng路由器shengchazongbu(config)#interface Serial0/1/0zongbu(config-if)#encapsulation pppzongbu(config-if)#ppp authentication chapzongbu(config-if)#no shutzongbu(config-if)#exitzongbu(config)#username zongbu password zheng11) VPN配置z
30、ongbu(config)#aaa new-modelzongbu(config)#aaa authentication login VPNAUTH group radius localzongbu(config)#aaa authorization network VPNAUTH localzongbu(config)#crypto isakmp policy 10zongbu(config-isakmp)#encraes 256zongbu(config-isakmp)#authentication pre-sharezongbu(config-isakmp)#group 2zongbu(
31、config-isakmp)#crypto isakmp client configuration group DAMINGzongbu(config-isakmp-group)#key DAMINGA key already exists for groupDAMINGzongbu(config-isakmp-group)#pool VPNCLIENTSzongbu(config-isakmp-group)#netmask 255.255.255.0zongbu(config-isakmp-group)#crypto ipsec transform-set mytrans esp-3des
32、esp-sha-hmaczongbu(config)#crypto dynamic-map mymap 10zongbu(config-crypto-map)#set transform-set mytranszongbu(config-crypto-map)#reverse-routezongbu(config-crypto-map)#crypto map mymap client authentication list VPNAUTHzongbu(config)#crypto map mymapisakmp authorization list VPNAUTHzongbu(config)#
33、crypto map mymap client configuration address respondzongbu(config)#crypto map mymap 10 ipsec-isakmp dynamic mymapzongbu(config)#ipssh version 1Please create RSA keys (of at least 768 bits size) to enable SSH v2.zongbu(config)#int s0/1/0zongbu(config-if)#crypto map mymapzongbu(config-if)#ip local po
34、ol VPNCLIENTS 10.2.1.100 10.2.1.200%IP address range overlaps with pool: VPNCLIENTSzongbu(config)#radius-server host 172.16.0.3 auth-port 1645 key zhengzongbu(config)#int s0/1/1zongbu(config-if)#crypto map mymapzongbu(config-if)#ip local pool VPNCLIENTS 10.2.1.100 10.2.1.200zongbu(config)#radius-ser
35、ver host 172.16.0.3 auth-port 1645 key zhengzongbu(config)#line con 0zongbu(config-line)#loginzongbu(config-line)#line vty 0 4zongbu(config-line)#login六结果及测试1. 动态获取ip2.财办的电脑可以访问财务系统,其他的不可以访问3,外网不能访问内网(防火墙)4,WLAN功能(密码设为12345678)5.VPN功能七总结及展望本次网络实训课程中,我们遇到许多不同的问题和困难,但也从中学到许多知识,和学习,交流,合作的方法。如实现ACL的过程中由
36、于其中deny与permit语句的一些操作的失败,我们一开始总是实现不了ACL,经过反复的尝试,上网查询有关资料,向其他组的同学请教,最终发现我们deny与permit语句顺序搞错了。因为这个小小的错误使我们忙了几乎一天多。由此得到的教训是以后要注重细节,不可马虎。实现防火墙功能,划分VLAN,IP规划一开始也有类似情况。另一方面,多与与其他组的同学交流也是很有必要的。例如,我们在与其他组同学的交流中知道Cisco Packet Tracer中的File中的 Open Samples有不少有用的例子,并且可以将其代码在Config的Global Settings可通过Export导出。这无疑是
37、非常有用的,但我们是比较晚才知道由此功能,所以这也是一种遗憾。另外,组内成员的频繁讨论是非常重要的。不同的思路,建议的相互交织,碰撞,都是解决问题和发现问题的好方法。本次实训最大的缺点就是我们开始的时间相对较迟,使得原先可以实现或完善的功能不能在老师检查时呈现出来。所以,今后若有类似的大作业,要早点开始动工。还有,对原来基础理论知识的掌握的不够扎实也是我们的一个不足之处,以后也要打好书本的理论基础,使得进行项目设计时不会常常出现回头翻看某些基本概念的事。总之,在今后的其他课程的学习中要以此次实训中的不足为教训,要先学好书本的基础理论知识,辨析清楚一些容易混淆的概念;多与同学交流,探讨,相互促进学习;不可忽视细节;提高查阅资料的能力;多从其他新的角度思考问题,勇于尝试与创新。
