[项目名称]总结.ppt

万 业 通 信 公 司 网 络 设 计 方 案,广为计算机网络工程有限公司,前言,广为计算机网络工程有限公司,成立于1993年是西安市一家高科技公司。公司现有工程技术人员18人，具有计算机网络应用技能和软件开发技能的8人，中级以上职称的10人，其中有三人被国家信息部产业授予于计算机信息系统集成项目经理。 从1995年起本公司在西安地区承接了市委机关大楼、市人大、市政协、市档案馆大楼和市工商银行、西安电力公司、西安检察院、市经贸委、陕西师范大学夜大学等单位的智能化办公楼的PDS网络布线工程、网络系统优化、多媒体语音教室、多媒体会议室及计算机网络系统集成等业务。,项目实施,项目概述 项目设计需求目标 项目设计原则 网络拓扑结构 网络设备配置 网络设备清单 项目测试,项目概述,客户公司简介 用户网络需求描述 用户网络需求分析,客户公司简介,万业通信公司目前大约有200名员工，在新租用的办公环境中，需要组建网络来实现信息化办公。新办公室为一楼层的平面办公环境。办公区的水平布线系统已经具备。,用户网络需求描述,万业通信公司内办公网络建设项目的要求是实现畅通、高效、安全、可扩展的办公网络。各部门共享各种资源，提高办公效率，网络系统运行必须稳定。 用户公司需要连接内部网络，各部门员工的终端能够实现连同。 所有公司员工都能访问远程分支机构，远程分支机构的网络不在此项目内 公司财务部门的数据很重要，不希望其他部门的员工访问到。,用户网络需求分析,根据用户的描述，可以分析出用户公司需要使用交换机连接所有客户端。 需要使用路由器来连接远程分支机构。 需要在交换机上划分VLAN，路由器上做相应的配置实现VLAN之间的互通。 需要使用NAT(网络地址转换)技术，解决所有用户访问Internet的需要。 由于所需的交换机数量多，为了简化网络管理员的管理使用VTP(VLAN Trunking Protocol)技术。 为了公司所有用户更安全、更高效的办公需要使用ACL(Access Control List)技术。,项目设计需求目标,网络内的各个桌面用户可共享数据库，实现办公自动化系统中的各项功能。 最终用户通过广域网连接可以收发电子邮件、实现Web应用、接入互联网、进行安全的广域网访问。,项目设计原则,开放性和标准性化 在公司内采用统一的网络体系结构，统一的网络协议。围绕着统一网络 体系结构，确定网络互连结构，网络操作系统和网络应用。 技术可行性 新的网络应该采用符合公司实际情况的网络设备，技术应用上要求应用成熟稳定的技术。 先进性 选择代表先进水平的技术和设备，不使投资的设备在短时间内落伍。但也要考虑，技术的成熟性、标准性，不采用还未成为标准的技术及设备接口。 兼容性 选用的技术和设备的互操作性强，技术必须是被多家采用的技术，提高必须能和多家产品兼容。但在设备选择上将尽量采用一家产品。 经济性 网络设备的价格不能太高，与设备配套使用的器件、设备及线路的维护费用不能过高。 可扩展性 在设计中，网络及布线的接口要留有一定的余量，为用户今后的发展留出一定的空间。 稳定性 设备要可靠的质量，并支持热插拔特性及线路、电源备份，以保持一个稳定。,网络拓扑结构,本方案设计主要由以下三大部分构成：接入模块，交换模块，广域网接入模块,VLAN和IP地址的规划,网络设备配置,为了实现网络设备的统一，本设计方案中完全采用同一家的网络产品，即Cisco公司的网络设备构建。全网使用同一厂商设备的主要好处在于可以实现各种不同网络设备功能的互相配合和补充。 本方案设计主要由以下三大部分构成： 接 入 模 块 核 心 模 块 广 域网接入模块,接入模块,接入模块为所有的终端用户提供一个接入点，这里我们采用Cisco Catalyst 2950 24口交换机（WS-C2950-24）.该交换机拥24个10/100Mbps自适应以太网口，运行的是Cisco的IOS操作系统。如图,接入模块,交换机的基本参数设置 交换机的端口配置,交换机的基本参数设置,设置交换机名称 设置交换机加密使能密码 设置登陆虚拟终端线路时口令 设置终端超时时间,交换机的基本参数设置,设置禁止IP地址解析特性 设置启用消息同步特性 设置交换机的管理IP、默认网关 设置交换机的VLAN及VTP,交换机的端口配置,端口全双工配置 设置将端口加入VLAN中 设置交换机的主干道端口,接入模块,为了使财务部门的数据更安全，所以使本部门的VLAN不能与其他部门VLAN通信。并且本部门所在交换机不加入VTP，也不创建其他VLAN.,核心模块,核心模块为整个网络提供VLAN间的路由选择的功能。这里我们采用Cisco Catalyst 3550交换机，作为三层交换机Cisco Catalyst 3550拥有24个10/100Mbps自适应快速以太网端口，还有2个1000Mbps的GBIC端口。运行的是Cisco的Integrated IOS操作系统。如图,核心模块,核心模块交换机的基本配置和接入模块的配置类似，以下几点配置不同：,配置交换机的管理IP，默认网关,配置VTP管理域,核心模块,当网络中交换机数量很多时，需要分别在每台交换机上创建很多重复的VLAN。工作量很大，过程很繁琐，并且容易出错。我们采用VLAN中继协议（VLAN Trunking Protocol,VTP ）来解决这个问题,首先将核心交换机设置为VTP服务器,配置VTP管理域,核心模块,在交换机上定义VLAN,启用交换机的路由功能,核心模块,为每个VLAN设置默认的网关,设置每个端口为Trunk模式,核心模块,设置通往InernetRoute路由器的路由,设置对无类别网络和全零子网的支持,广域网接入模块,广域网接入模块的功能是由广域网接入路由器InternetRouter来完成。采用的是Cisco的3640路由器。它通过自己的串行接口serial 0/0使用DDN（128K）技术接入Internet。利用访问控制列表（Access Control List，ACL）来完成流量控制和安全过滤实现一定的安全功能。如图：,广域网接入模块,1.配置接入路由器的基本参数,2.配置接入路由器各种接口参数,广域网接入模块,3.配置接入路由器的路由功能,在接入路由器上定义去往Internet的路由和去往 公司内部的路由,4.设置对无类别网络和全零子网的支持,广域网接入模块,5.配置InternetRouter路由器上的NAT,由于目前IP地址资源非常稀缺，不可能给公司每个员工分配一个公有IP地址。为了解决所有员工访问Internet的需要，必须使用NAT（网络地址转换）技术。,定义NAT内部，外部接口,定义允许进行NAT的公司内部IP地址范围,定义公司PC复用地址转换,广域网接入模块,6.配置接入路由器InternetRouter上的ACL,路由器是外网进入公司内网的第一道关卡，是外网与内网进行通信时的第一道屏障。是网络防御的前沿阵地。路由器上的访问控制列表（Access Control List,ACL）是保护内网安全的有效手段。,对外屏蔽远程登陆协议telnet,对外屏蔽其他不安全的协议或服务,主要有文件共享协议端口：2049，远程执行rsh：512远程登陆rlogin：513，远程命令rcmd端口：514,远程过程调用SUNRPC端口：111,广域网接入模块,针对Dos攻击的配置,Dos攻击（Denial of Service Attack,拒绝服务攻击）是一种非常常见而且极具破坏力的攻击手段，它可以导致服务器，网络设备的正常服务进程停止，严重时会导致服务器系统崩溃。,网络设备清单,网络设备清单,网络设备清单,项目测试,1.物理的连通性,Ping 标准的物理设备连通性测试命令,2.配置文件的测试,Show running-config 用于显示路由器，交换机运行配置 文件的内容,3.ARP测试,Show arp 用于显示ARP缓存的内容 Show ip arp 用于显示ip arp缓存内容,4.接口的测试,Show interface 用于显示接口的状态及参数信息 Show ip interface 用于显示IP接口的状态及配置信息,项目测试,5.路由和路由协议的测试,Show ip route 用于显示当前路由表内容 Show ip protocols 用于显示动态路由协议的配置参数,6.VLAN VTP的测试,Show interface Vlan Vlan-ID 用于显示Vlan是否激活，交换机 MAC地址，接口参数 Show vlan 用于查看vlan创建情况 Show vtp status 用于查看VTP配置情况,项目测试,7.NAT测试,Show ip nat translation 用于显示当前正