1、網(wǎng)絡(luò)項(xiàng)目實(shí)戰(zhàn)網(wǎng)絡(luò)信息工程2012級(jí)第一組2014/12/241.1公司簡(jiǎn)介Thor公司是一家以房地產(chǎn)業(yè)務(wù)為主的大型集團(tuán)公司，集團(tuán)公司由3個(gè)子公司組成，分不位于北京、上海、青島三個(gè)都市。北京Loki公司為Thor集團(tuán)總公司（以下Thor集團(tuán)表示三家公司總稱，而Thor集團(tuán)總部位于北京Loki公司處），北京Loki總公司在北京各地區(qū)建立分銷點(diǎn)及分公司，各分公司獨(dú)立執(zhí)行各地區(qū)的地產(chǎn)收購(gòu)、房屋授首改建、工程實(shí)施等業(yè)務(wù)。公司整體規(guī)模近千人，擁有房地產(chǎn)開發(fā)一級(jí)資源，每年承接的工程項(xiàng)目有幾十億。2004年以來，中國(guó)房地產(chǎn)業(yè)蓬勃進(jìn)展，Thor地產(chǎn)公司不斷融資擴(kuò)張，進(jìn)展迅猛。1.2公司網(wǎng)絡(luò)現(xiàn)狀 公司自成立起，一

2、直由專門的信息工程部門負(fù)責(zé)優(yōu)化和擴(kuò)建網(wǎng)絡(luò)，以適應(yīng)業(yè)務(wù)需求。但由于近幾年房地產(chǎn)行業(yè)進(jìn)展較快，公司專門快在各地區(qū)建起房地產(chǎn)分銷經(jīng)營(yíng)點(diǎn)、售樓處等分支機(jī)構(gòu)，這些分公司之間業(yè)務(wù)信息交流愈發(fā)頻繁、數(shù)據(jù)傳輸也變得特不龐大，而且業(yè)務(wù)本身關(guān)于網(wǎng)絡(luò)的安全性和可靠性要求隨之愈來愈高，目前的網(wǎng)絡(luò)系統(tǒng)差不多無法滿足企業(yè)信息化建設(shè)的需求。如圖1.2所示，由于公司在各地建立分公司時(shí)，業(yè)務(wù)相對(duì)獨(dú)立，而且每個(gè)分公司在設(shè)立初期都在摸索時(shí)期，應(yīng)采納多樣化的經(jīng)營(yíng)模式一邊公司的進(jìn)展，因此業(yè)務(wù)數(shù)據(jù)并沒有和總公司同步，只是在月末定期向總公司匯報(bào)工作。然而這幾年公司業(yè)務(wù)相對(duì)穩(wěn)定，進(jìn)展也進(jìn)入成熟期，董事會(huì)決定下一步的進(jìn)展策略要緊是同化各地的治

3、理模式，同步整個(gè)公司的業(yè)務(wù)數(shù)據(jù)、財(cái)務(wù)數(shù)據(jù)。然而公司的網(wǎng)絡(luò)目前無法滿足這一需求，存在的問題包括。北京地區(qū)的幾家分銷點(diǎn)目前依舊采納ADSL的接入方式，帶寬較低，數(shù)據(jù)傳輸不穩(wěn)定，專門難實(shí)現(xiàn)數(shù)據(jù)同步。各公司間通過Internet傳輸業(yè)務(wù)關(guān)鍵數(shù)據(jù)、業(yè)務(wù)數(shù)據(jù)相當(dāng)不安全。公司的內(nèi)網(wǎng)完全暴露于Internet，沒有安裝任何網(wǎng)絡(luò)安全設(shè)備，專門容易遭受黑客攻擊，給公司造成巨大財(cái)務(wù)損失及信譽(yù)損失。1.3公司網(wǎng)絡(luò)需求由于公司的進(jìn)展歷程，導(dǎo)致公司的網(wǎng)絡(luò)建設(shè)有些“支離破裂”、“各自為政”，因此公司若想同化治理模式、統(tǒng)一業(yè)務(wù)財(cái)務(wù)相關(guān)數(shù)據(jù)，首先就應(yīng)該同化各分公司的網(wǎng)絡(luò)，具體網(wǎng)絡(luò)改造項(xiàng)目的需求如下。盡量節(jié)約成本，最大限度的利用

4、現(xiàn)有網(wǎng)絡(luò)資源。北京總公司內(nèi)網(wǎng)的干線路為千兆以太網(wǎng)，接入線路為百兆位以太網(wǎng)。將北京總公司和各地分公司通過內(nèi)網(wǎng)專線互聯(lián)，實(shí)現(xiàn)網(wǎng)絡(luò)的高可靠性和安全性。統(tǒng)一治理北京各地分公司的Internet訪問，使各分銷點(diǎn)只能通過總公司的網(wǎng)關(guān)訪問Internet，但這種方式又會(huì)導(dǎo)致總公司的核心設(shè)備壓力倍增。因此，在核心鏈路上采納設(shè)備的榮譽(yù)備份，保證網(wǎng)絡(luò)的正常運(yùn)行。假如北京地區(qū)各分公司到總公司E1鏈路帶寬不夠，能夠向總公司申請(qǐng)由本地接入Internet，總公司同意后方可實(shí)施。為了保證重要業(yè)務(wù)的數(shù)據(jù)流量，需要在設(shè)備上部署QoS，因此在選擇設(shè)備時(shí)需要考慮QoS功能。為了有效抵御來自公司外部和內(nèi)部的病毒和攻擊，需要增強(qiáng)北京

5、、上海和青島各公司內(nèi)網(wǎng)的安全性，在網(wǎng)關(guān)安裝防火墻。由于北京、上海和青島三家公司之間相距較遠(yuǎn)，架設(shè)專線的費(fèi)用較高，需要通過三家公司的網(wǎng)絡(luò)實(shí)現(xiàn)站點(diǎn)到站點(diǎn)的VPN。1.4網(wǎng)絡(luò)改造方案需求分析 Thor集團(tuán)網(wǎng)絡(luò)改造示意圖如圖1.3所示。Internet部分采納Cisco的防火墻配置IPSec VPN和SSL VPN實(shí)現(xiàn)Internet數(shù)據(jù)的加密、認(rèn)證等，如圖1.4所示。為了提高廣域網(wǎng)環(huán)境通信的穩(wěn)定性，各分公司的Internet接入應(yīng)盡量選擇與總共死相同的服務(wù)提供商。所有的VPN均為總公司和分公司之間站點(diǎn)到站點(diǎn)的數(shù)據(jù)加密通信，各分公司之間不建立VPN，也不同意各分公司之間傳輸機(jī)密數(shù)據(jù)。增強(qiáng)總公司的郵件服

6、務(wù)器、數(shù)據(jù)庫(kù)服務(wù)器的各項(xiàng)性能，實(shí)現(xiàn)整個(gè)Thor集團(tuán)公司數(shù)據(jù)庫(kù)、郵件關(guān)鍵業(yè)務(wù)文件的統(tǒng)一治理。網(wǎng)關(guān)防火墻設(shè)備支持基于Web的SSL VPN，到外地出差的職員能夠通過SSL VPN實(shí)時(shí)、安全地和總部服務(wù)器交換關(guān)鍵業(yè)務(wù)信息。2.總公司部分 通過核心及網(wǎng)關(guān)設(shè)備HSRP技術(shù)實(shí)現(xiàn)高可靠性，如圖1.5所示。由于公司要實(shí)現(xiàn)Internet訪問和內(nèi)網(wǎng)服務(wù)訪問的集中治理，總公司將原來的單核心網(wǎng)絡(luò)改造成雙核心網(wǎng)絡(luò)，同時(shí)依照不同的VLAN數(shù)據(jù)訪問量實(shí)現(xiàn)負(fù)載均衡。通過HSRP的端口跟蹤技術(shù)實(shí)現(xiàn)核心設(shè)備下行鏈路以及連接服務(wù)器鏈路的主設(shè)備切換，而上行鏈路通過OSPF協(xié)議本身的特性實(shí)現(xiàn)即可?？偣就ㄟ^雙路由器和公司內(nèi)部專線網(wǎng)連

7、接，通過OSPF的等值路由實(shí)現(xiàn)負(fù)載均衡。3.內(nèi)網(wǎng)專線部分 通過OSPF路由協(xié)議實(shí)現(xiàn)網(wǎng)絡(luò)互連，如圖1.6所示。 北京所有分公司及銷售網(wǎng)點(diǎn)都通過E1專線和總公司相連，整個(gè)北京地區(qū)相當(dāng)于一個(gè)大型局域網(wǎng)，從而能夠確保網(wǎng)絡(luò)的安全性和穩(wěn)定性。北京各分公司及銷售網(wǎng)點(diǎn)與總公司之間都使用4條E1專線相連。4條E1專線分不捆綁成2條4M鏈路連接到不同的總公司內(nèi)網(wǎng)路由器。網(wǎng)絡(luò)穩(wěn)定性、帶寬以及通信延遲時(shí)刻的保證，能夠提高公司內(nèi)網(wǎng)視頻會(huì)議的通信質(zhì)量。在北京所有公司及銷售網(wǎng)點(diǎn)的網(wǎng)絡(luò)通過OSPF路由協(xié)議實(shí)現(xiàn)網(wǎng)絡(luò)互聯(lián)，并依照網(wǎng)絡(luò)具體結(jié)構(gòu)將OSPF網(wǎng)絡(luò)劃分成3個(gè)區(qū)域。在專線網(wǎng)絡(luò)通過QoS技術(shù)為視頻流量預(yù)留一定的帶寬，從而優(yōu)化網(wǎng)

8、絡(luò)帶寬，提高視頻會(huì)議的通信質(zhì)量。1.5設(shè)備選型1.選型的差不多原則能夠?qū)胃魑募蛘呶募A設(shè)置權(quán)限。從網(wǎng)絡(luò)的穩(wěn)定性和可靠性考慮，所有交換、路由以及安全設(shè)備統(tǒng)一選用Cisco品牌，采納Cisco的整體解決方案。從工程預(yù)算成本考慮，盡量使用原有設(shè)備，能夠適當(dāng)更換一些性能不夠用或不穩(wěn)定的設(shè)備，不要刻意追求高性能、功能強(qiáng)的高端設(shè)備。從網(wǎng)絡(luò)的擴(kuò)展性考慮，設(shè)備的接口、模塊數(shù)量要預(yù)留出一定的空間，設(shè)備的背板帶寬、連接數(shù)等關(guān)鍵性能參數(shù)也應(yīng)預(yù)留一定的升級(jí)空間。2.安全設(shè)備選型 總公司的網(wǎng)關(guān)防火墻關(guān)于整個(gè)Thor集團(tuán)網(wǎng)絡(luò)至關(guān)重要，它不但擔(dān)負(fù)這整個(gè)北京地區(qū)所有公司的Internet接入，更肩負(fù)這與上海、青島分公司的

9、VPN通信，因此工程部決定購(gòu)買Cisco，而上海和青島倆家分公司采納Cisco設(shè)備即可。如表1-1所示，為兩款防火墻的參數(shù)對(duì)比。3.交換設(shè)備選型北京總公司原先使用的核心交換設(shè)備為Cisco4530，綜合考慮網(wǎng)絡(luò)的擴(kuò)展性和設(shè)備的性價(jià)比，工程部決定購(gòu)買兩臺(tái)企業(yè)級(jí)Cisco?？偣緝?nèi)網(wǎng)要實(shí)現(xiàn)“千兆到骨干，百兆到桌面”，因此原先的接入的交換機(jī)假如沒有千兆上行口，就必須更換到。更換后的接入交換機(jī)應(yīng)為Cisco3750，或Cisco2960交換機(jī)。由于實(shí)現(xiàn)對(duì)業(yè)務(wù)的統(tǒng)一治理，因此總公司服務(wù)器的訪問量將會(huì)專門大，因此將所有服務(wù)器連接到Cisco2960的千兆以太網(wǎng)交換機(jī)上，通過交換機(jī)的4各SFP千兆上行口兩兩

10、綁定以太網(wǎng)通道并連接到雙核心交換上。具體Cisco交換機(jī)參數(shù)見表1-2.表1-2 Cisco交換機(jī)參數(shù)產(chǎn)品系列號(hào)設(shè)備型號(hào)背板帶寬轉(zhuǎn)發(fā)速率最大vlan 數(shù)端口密度機(jī)架單元（RU）Cisco 3750系列Cisco 3750-48TS-S481012824-10/100/1000TX1Cisco 2960系列Cisco 2960-24TT166.525524-10/100；2-10/100/1000TX14.路由設(shè)備 北京Loki公司與各分公司和分銷網(wǎng)點(diǎn)通過專線相連，相當(dāng)于公司的內(nèi)部網(wǎng)絡(luò)，因此網(wǎng)關(guān)設(shè)備沒有選用防火墻，而采納Cisco的路由器進(jìn)行通信。專線網(wǎng)絡(luò)的結(jié)構(gòu)明顯是一個(gè)總部網(wǎng)絡(luò)和分支網(wǎng)絡(luò)的互聯(lián)

11、結(jié)構(gòu)，因此總部的網(wǎng)管設(shè)備性能比分校網(wǎng)店的設(shè)備要高一些。工程部規(guī)劃北京總公司的路由器購(gòu)買Cisco 7200，而分公司和分銷點(diǎn)網(wǎng)點(diǎn)統(tǒng)一購(gòu)買的是Cisco 3600。如表1-3所示為Cisco7200系列和Cisco3600系列。表1-3CiSCO 路由器參數(shù)表設(shè)備型號(hào)固話LAN接口接口卡插槽網(wǎng)絡(luò)模塊插槽QoS和VPN的支持Cisco 3600兩個(gè)網(wǎng)絡(luò)插槽NM-1FE2W;NM-2FE2W;NM-1FE1R2W;NM-2W支持Cisco 7200支持2.1設(shè)計(jì)目標(biāo)和原則 Thor集團(tuán)有限責(zé)任公司的信息化建設(shè)差不多成為整個(gè)集團(tuán)進(jìn)展的重要組成部分，近幾年集團(tuán)的進(jìn)展成為整個(gè)集團(tuán)網(wǎng)絡(luò)信息化建設(shè)的驅(qū)動(dòng)力。盡

12、管Thor集團(tuán)網(wǎng)絡(luò)依舊能夠保證房地產(chǎn)業(yè)務(wù)的正常進(jìn)行，但在集團(tuán)各分公司和分銷網(wǎng)點(diǎn)間傳輸業(yè)務(wù)信息的可靠性和安全性方面暴露的問題專門可能制約集團(tuán)實(shí)體業(yè)務(wù)的進(jìn)展速度。為了適應(yīng)公司尸體業(yè)務(wù)的進(jìn)展需求，并考慮到集團(tuán)的快速進(jìn)展給信息化建設(shè)帶來的壓力，網(wǎng)絡(luò)工程部建議Thor集團(tuán)信息化建設(shè)進(jìn)入第二期網(wǎng)絡(luò)改造時(shí)期。2.1.1設(shè)計(jì)目標(biāo) 本次Thor集團(tuán)網(wǎng)絡(luò)改造項(xiàng)目的設(shè)計(jì)目標(biāo)如下。依照Thor集團(tuán)信息化的需求，對(duì)網(wǎng)絡(luò)系統(tǒng)進(jìn)行總體規(guī)劃，并納入所需業(yè)務(wù)。部署網(wǎng)絡(luò)中心節(jié)點(diǎn)，提升網(wǎng)絡(luò)安全系數(shù)，加強(qiáng)網(wǎng)絡(luò)的可靠性和穩(wěn)定性。整改Thor集團(tuán)北京地區(qū)的廣域網(wǎng)結(jié)構(gòu)，依據(jù)專線網(wǎng)絡(luò)的部署和設(shè)計(jì)規(guī)范，確定通州、昌平、房山等分銷網(wǎng)點(diǎn)接入北京L

13、oki房產(chǎn)公司的互聯(lián)方式及部署方案。 依照Loki公司內(nèi)網(wǎng)的實(shí)際業(yè)務(wù)訪問量，并兼顧以后進(jìn)展，設(shè)計(jì)出安全、可靠、穩(wěn)定的公司內(nèi)網(wǎng)結(jié)構(gòu)。實(shí)現(xiàn)內(nèi)網(wǎng)服務(wù)器和外網(wǎng)Loki-R3600-05之間的的VPN接入，并實(shí)現(xiàn)總公司對(duì)這些業(yè)務(wù)的統(tǒng)一治理。2.1.1設(shè)計(jì)原則 本著“投資愛護(hù)、高可靠性、安全性擴(kuò)展性”的原則，加強(qiáng)在網(wǎng)絡(luò)通信及系統(tǒng)中的安全治理、技術(shù)和產(chǎn)品的全面落實(shí)，最終建設(shè)一個(gè)高校、可靠、安全的網(wǎng)絡(luò)通信及應(yīng)用系統(tǒng)。其中設(shè)計(jì)原則要緊體現(xiàn)在以下幾方面。系統(tǒng)的有用性和集成性系統(tǒng)的軟硬件設(shè)計(jì)和集成，均應(yīng)以有用為第一宗旨，在系統(tǒng)充分適應(yīng)應(yīng)用需求的基礎(chǔ)上再考慮其它方面的功能和性能。Thor集團(tuán)的網(wǎng)絡(luò)系統(tǒng)所包含的內(nèi)容專門

14、多，系統(tǒng)設(shè)計(jì)時(shí)必須能將各種先進(jìn)的軟硬件設(shè)備有效集成，使系統(tǒng)的各個(gè)組成部分能充分發(fā)揮作用，協(xié)調(diào)一致地進(jìn)行高效工作。標(biāo)準(zhǔn)性和開放性只有支持標(biāo)準(zhǔn)性和開放性的系統(tǒng)，才能支持與其他開放型系統(tǒng)一起協(xié)同工作，在網(wǎng)絡(luò)中采納的硬件設(shè)備及軟件產(chǎn)品應(yīng)支持國(guó)際工業(yè)標(biāo)準(zhǔn)或是事實(shí)上的標(biāo)準(zhǔn)，以便能和不同廠家的開放型產(chǎn)品在一網(wǎng)絡(luò)中同時(shí)共存。先進(jìn)性和安全性系統(tǒng)所有的組成要素均應(yīng)充分地考慮其先進(jìn)性。不要一味地追求有用而忽略先進(jìn)，只有將當(dāng)今最先進(jìn)的技術(shù)和我們的實(shí)際應(yīng)用要求緊密結(jié)合，才能獲得最大的系統(tǒng)性能和效益。另外，網(wǎng)絡(luò)的安全至關(guān)重要的，在某些情況下，寧可犧牲系統(tǒng)的部分功能也必須保證系統(tǒng)的安全。關(guān)于網(wǎng)絡(luò)安全方面要緊需要考慮以下幾方

15、面。在設(shè)備安全方面要緊包括：設(shè)備的物理安全和設(shè)備的訪問安全。數(shù)據(jù)保密。關(guān)于通過Internet傳輸?shù)闹匾獢?shù)據(jù)，能夠使用VPN技術(shù)進(jìn)行加密以保證數(shù)據(jù)的安全性。在公司內(nèi)網(wǎng)不需要進(jìn)行加密。通過防火墻等安全設(shè)備進(jìn)行安全防護(hù)。通過ACL限制，來增強(qiáng)服務(wù)器的安全。成熟性和高可靠性作為信息系統(tǒng)基礎(chǔ)的網(wǎng)絡(luò)結(jié)構(gòu)和網(wǎng)絡(luò)設(shè)備及設(shè)備之間的貸款應(yīng)能充分地滿足網(wǎng)絡(luò)通信的需求。網(wǎng)絡(luò)硬件體系結(jié)構(gòu)在實(shí)際應(yīng)用中能經(jīng)受較長(zhǎng)時(shí)刻的考驗(yàn)，在運(yùn)行速度和性能呢剛上應(yīng)該是穩(wěn)定可靠的，并擁有完善的、使用的解決方案。硬件設(shè)備應(yīng)在全球范圍內(nèi)有廣泛的使用，同時(shí)硬件廠商要有實(shí)力雄厚的售后支持隊(duì)伍。同時(shí)，應(yīng)從長(zhǎng)遠(yuǎn)的技術(shù)進(jìn)展來選擇具有專門好前景的、較為先

16、進(jìn)的技術(shù)和產(chǎn)品，以適應(yīng)系統(tǒng)以后的進(jìn)展需求。 可靠性也是衡量一個(gè)計(jì)算機(jī)應(yīng)用系統(tǒng)的重要標(biāo)準(zhǔn)之一。在確保系統(tǒng)網(wǎng)絡(luò)環(huán)境中單獨(dú)設(shè)備穩(wěn)定、可靠運(yùn)行的前提下，還需要考慮網(wǎng)絡(luò)整體的容錯(cuò)能力、安全性及穩(wěn)定性，在系統(tǒng)出現(xiàn)問題和故障時(shí)能迅速地修復(fù)。因此需要采取一定的預(yù)防措施，如對(duì)關(guān)鍵應(yīng)用和主干設(shè)備考慮適當(dāng)?shù)娜哂?。?yīng)急處理信息系統(tǒng)能夠全天候工作，達(dá)到每周7*24小時(shí)工作的要求。網(wǎng)絡(luò)的可靠性要緊取決于兩方面：設(shè)備的可靠性和網(wǎng)絡(luò)拓?fù)涞娜哂?。設(shè)備可靠性在選擇設(shè)備時(shí)需要從設(shè)備的可靠性、轉(zhuǎn)發(fā)能力、端口類型數(shù)量、價(jià)格等方面進(jìn)行考慮。 設(shè)備的可靠性要緊考慮設(shè)備模塊的冗余，除此之外還需呀考慮設(shè)備的廠商，盡量選擇如Cisco、Huaw

17、ei等知名品牌廠商的設(shè)備。網(wǎng)絡(luò)冗余網(wǎng)絡(luò)拓?fù)涞娜哂喟?，設(shè)備冗余和線路冗余。設(shè)備冗余一般使用備份技術(shù)（HSRP、VRRP等）實(shí)現(xiàn)一臺(tái)設(shè)備出現(xiàn)故障時(shí)，令一臺(tái)設(shè)備能夠保證網(wǎng)絡(luò)的正常運(yùn)行。線路冗余一般為全互聯(lián)或多條連路連接?？删S護(hù)性和可治理性整個(gè)信息網(wǎng)絡(luò)系統(tǒng)中的互連設(shè)備，應(yīng)是使用方便、操作簡(jiǎn)單易學(xué)，并便于維護(hù)和治理。對(duì)復(fù)雜和怕更大的網(wǎng)絡(luò)，要求有強(qiáng)有力的網(wǎng)絡(luò)治理手段，一邊合理地治理網(wǎng)絡(luò)資源，監(jiān)視網(wǎng)絡(luò)狀態(tài)及操縱網(wǎng)絡(luò)的運(yùn)行。因此，所選的網(wǎng)絡(luò)設(shè)備應(yīng)支持SNMP、RMON、SMON等協(xié)議，治理員通過網(wǎng)管工作站就能方便地進(jìn)行網(wǎng)絡(luò)治理、維護(hù)及修復(fù)。在設(shè)計(jì)和實(shí)現(xiàn)計(jì)算機(jī)應(yīng)用系統(tǒng)時(shí)，必須充分考慮整個(gè)系統(tǒng)的便于維護(hù)性，以保

18、證一旦系統(tǒng)發(fā)生故障能夠及時(shí)提供有效手段恢復(fù)業(yè)務(wù)，盡量減少損失。 部署網(wǎng)絡(luò)治理一般分為兩種形式：帶內(nèi)網(wǎng)管和帶外網(wǎng)關(guān)?？蓴U(kuò)充性和兼容性網(wǎng)絡(luò)的拓?fù)浣Y(jié)構(gòu)應(yīng)具有可擴(kuò)展性即網(wǎng)絡(luò)連接必須在系統(tǒng)結(jié)構(gòu)、系統(tǒng)容量與處理能力、物理連接、產(chǎn)品支持等方面具有擴(kuò)充與升級(jí)換代的可能，采納的產(chǎn)品要遵循通用的工業(yè)標(biāo)準(zhǔn)，一邊不同類型的設(shè)備能方便靈活地接入網(wǎng)絡(luò)并滿足系統(tǒng)規(guī)模擴(kuò)充的要求。2.2設(shè)備清單、命名及連接2.2.1設(shè)備使用統(tǒng)計(jì) 2.2.2設(shè)備命名及連接 由于Thor集團(tuán)網(wǎng)絡(luò)使用設(shè)備較多，為了便于治理和維護(hù)需要對(duì)設(shè)備進(jìn)行統(tǒng)一的命名，命名規(guī)則應(yīng)該規(guī)范化，同時(shí)命名規(guī)則應(yīng)該便于理解。Thor公司采納三段式的命名規(guī)則，即AAAA-BB

19、BB-CC。其中AAAA為設(shè)備所屬的公司，使用漢字拼音的首字母縮寫；BBBB表示設(shè)備的型號(hào)；CC表示設(shè)備序號(hào)，假如前兩項(xiàng)相同能夠使用數(shù)字標(biāo)號(hào)標(biāo)識(shí)。具體設(shè)備命名如表2-2所示。Thor集團(tuán)網(wǎng)絡(luò)設(shè)備命名表設(shè)備命名設(shè)備型號(hào)描述Loki-R3600-01R3600Loki公司內(nèi)網(wǎng)專線網(wǎng)關(guān)設(shè)備Loki-R3600-02R3600分公司網(wǎng)關(guān)路由設(shè)備Loki-R3600-03R7200Loki公司外網(wǎng)網(wǎng)關(guān)設(shè)備Loki-R3600-04R3600模擬外網(wǎng)設(shè)備Loki-R3600-05R3600外網(wǎng)驗(yàn)證IPSECVPN設(shè)備Loki-SW3750-01SW3750Loki公司核心交換冗余設(shè)備Loki-SW3750

20、-02SW3750Loki公司核心交換冗余設(shè)備Loki-SW3750-02SW2960Loki公司核心交換設(shè)備2.3VLAN及IP地址的規(guī)劃 本次改造工程接著使用之前的網(wǎng)站地址（），但為了幸免IP地址的沖突，重新對(duì)IP對(duì)峙進(jìn)行規(guī)劃。工程部：/24；市場(chǎng)部：/24；財(cái)務(wù)部：/24；外網(wǎng)網(wǎng)關(guān)：/24；2.3.1網(wǎng)絡(luò)核心設(shè)備互相連接地址 網(wǎng)絡(luò)核心設(shè)備互連地址，如表2-6所示。表2-6 核心網(wǎng)絡(luò)設(shè)備互聯(lián)地址表設(shè)備名稱接口及地址對(duì)端設(shè)備接口及地址連接方式Loki-R7200-03S0/0;/24Loki-R3600-04S0/0;/24VPN連接的Internet鏈路Loki-SW2960-0323Lo

21、ki-SW3750-0222Trunk鏈路24Loki-SW3750-0122Trunk鏈路3Vlan10/24以太網(wǎng)鏈路5Vlan20/24以太網(wǎng)鏈路11Vlan30/24以太網(wǎng)鏈路16Vlan40/24以太網(wǎng)鏈路Loki-SW3750-0112Loki-R3600-04F0/0/24以太網(wǎng)鏈路22Loki-SW2960-0324Trunk鏈路23Loki-SW3750-0223以太網(wǎng)鏈路24Loki-SW3750-0224以太網(wǎng)鏈路Loki-SW3750-0212Loki-R3600-04F0/1 /24以太網(wǎng)鏈路11Loki-R3600-01F0/1/24以太網(wǎng)鏈路23Loki-SW37

22、50-0123以太網(wǎng)鏈路24Loki-SW3750-0124以太網(wǎng)鏈路22Loki-R720023Trunk鏈路2.3.2設(shè)備治理IP地址 具體設(shè)備治理地址，如表2-7所示。表2-7 網(wǎng)絡(luò)設(shè)備治理地址表設(shè)備名稱治理IP描述Loki-PC-011ACS代理服務(wù)器Loki-PC-020http服務(wù)器Loki-PC-030工程部Loki-PC-040市場(chǎng)部Loki-PC-050財(cái)務(wù)部2.3.3 集團(tuán)公司用戶VLAN與IP地址 要求為該公司每個(gè)部門劃分單獨(dú)的VLAN，以減少不必要的廣播并增強(qiáng)網(wǎng)絡(luò)安全性。具體劃分如表2-5所示。表2-8 用戶VLAN及IP所在公司功能VLAN IDIP地址網(wǎng)段總部總部服

23、務(wù)器VLAN 10/24工程部VLAN 20/24市場(chǎng)部VLAN 30/24財(cái)務(wù)部VLAN 40/242.4具體配置總公司核心交換部分的配置由于此次改造工程北京Loki公司的內(nèi)網(wǎng)VLAN數(shù)量較多，因此采納MSTP技術(shù)將所有的vlan按照流量大小等分為兩組實(shí)例（instance 1和instance 2），針對(duì)這兩組實(shí)例實(shí)現(xiàn)生成樹的負(fù)載均衡。Instance 1Instance 2Loki-SW3750-01VLAN10 VLAN20VLAN30 VLAN40Loki-SW3750-02VLAN10 VLAN20VLAN30 VLAN402.4.1Loki-SW3750-01的配置：hostna

24、me Loki-SW3750-01no aaa new-modelswitch 1 provision ws-c3750-24tssystem mtu routing 1546ip subnet-zeroip routing配置MSTPspanning-tree mode mstspanning-tree extend system-idspanning-tree mst configurationname xilinrevision 1instance 1 vlan 1, 10, 20 /將vlan10,20劃分到實(shí)例1，作為SW1_3750A的主根instance 2 vlan 30, 4

25、0/將vlan30,40劃分到實(shí)例2，作為SW1_3750A的備根spanning-tree mst 1 priority 24576spanning-tree mst 2 priority 28672vlan internal allocation policy ascendinginterface Port-channel1switchport trunk encapsulation dot1qswitchport mode trunkinterface FastEthernet1/0/1interface FastEthernet1/0/2interface FastEthernet1/

26、0/3interface FastEthernet1/0/4interface FastEthernet1/0/5interface FastEthernet1/0/6interface FastEthernet1/0/7interface FastEthernet1/0/8interface FastEthernet1/0/9interface FastEthernet1/0/10interface FastEthernet1/0/11interface FastEthernet1/0/12no switchportip address speed 100duplex fullinterfa

27、ce FastEthernet1/0/13interface FastEthernet1/0/14interface FastEthernet1/0/15interface FastEthernet1/0/16interface FastEthernet1/0/17interface FastEthernet1/0/18interface FastEthernet1/0/19interface FastEthernet1/0/20interface FastEthernet1/0/21interface FastEthernet1/0/22switchport trunk encapsulat

28、ion dot1qswitchport mode trunkinterface FastEthernet1/0/23switchport trunk encapsulation dot1qswitchport mode trunkchannel-group 1 mode oninterface FastEthernet1/0/24switchport trunk encapsulation dot1qswitchport mode trunkchannel-group 1 mode oninterface GigabitEthernet1/0/1interface GigabitEtherne

29、t1/0/2interface Vlan1no ip address24.1.2HSRP的配置interface Vlan10ip address ip ospf flood-reduction/使LSA的更新失去作用ip ospf mtu-ignore/禁用開放OSPF最大傳輸單元(MTU)接收數(shù)據(jù)描述符不匹配檢測(cè)standby 10 ip 54standby 10 priority 150standby 10 preemptstandby 10 track FastEthernet1/0/12 70interface Vlan20ip address ip access-group v10

30、 inip ospf flood-reductionip ospf mtu-ignorestandby 20 ip 54standby 20 priority 150standby 20 preemptstandby 20 track FastEthernet1/0/12 70interface Vlan30ip address ip access-group v20 inip ospf cost 65535ip ospf flood-reductionip ospf mtu-ignorestandby 30 ip 54standby 30 preemptinterface Vlan40ip

31、address ip ospf cost 65535ip ospf flood-reductionip ospf mtu-ignorestandby 40 ip 54standby 40 preemptrouter ospf 110router-id log-adjacency-changesnetwork 55 area 0network 55 area 0network 55 area 0network 55 area 0network 55 area 0ip classlessip route FastEthernet1/0/12ip http serverip http secure-

32、serverip access-list extended v20permit ip any 55permit ospf any anyip access-list extended v30permit ip any 55permit ospf any anyline con 0line vty 0 4password ciscologinline vty 5 15loginend2.4.2 Loki-SW3750-02的配置：hostname Loki-SW3750-02spanning-tree mode mstspanning-tree extend system-idspanning-

33、tree mst configuration name xilin revision 1/將vlan10，20劃分到實(shí)例1，作為SW2_3750B的備根，將vlan30，40劃分到實(shí)例2，作為SW2_3750B的主根 instance 1 vlan 10, 20 instance 2 vlan 30, 40 MSTP的配置spanning-tree mst 1 priority 28672spanning-tree mst 2 priority 24576vlan internal allocation policy ascendinginterface Port-channel1switch

34、port trunk encapsulation dot1qswitchport mode trunkinterface FastEthernet1/0/1interface FastEthernet1/0/2interface FastEthernet1/0/3interface FastEthernet1/0/4interface FastEthernet1/0/5interface FastEthernet1/0/6interface FastEthernet1/0/7interface FastEthernet1/0/8interface FastEthernet1/0/9interf

35、ace FastEthernet1/0/10interface FastEthernet1/0/11interface FastEthernet1/0/12no switchportip address speed 100duplex fullinterface FastEthernet1/0/13interface FastEthernet1/0/14interface FastEthernet1/0/15interface FastEthernet1/0/16interface FastEthernet1/0/17interface FastEthernet1/0/18interface

36、FastEthernet1/0/19interface FastEthernet1/0/20interface FastEthernet1/0/21interface FastEthernet1/0/22switchport trunk encapsulation dot1q /協(xié)議封裝switchport mode trunkinterface FastEthernet1/0/23switchport trunk encapsulation dot1qswitchport mode trunkchannel-group 1 mode oninterface FastEthernet1/0/2

37、4switchport trunk encapsulation dot1qswitchport mode trunk 以太通道綁定channel-group 1 mode oninterface GigabitEthernet1/0/1interface GigabitEthernet1/0/2interface Vlan1no ip addressinterface Vlan10ip address ip ospf cost 65535ip ospf flood-reductionip ospf mtu-ignorestandby 10 ip 54standby 10 preemptinte

38、rface Vlan20ip address ip access-group v20 inip ospf cost 65535ip ospf flood-reductionip ospf mtu-ignorestandby 20 ip 54standby 20 preemptinterface Vlan30ip address ip access-group v30 inip ospf flood-reductionip ospf mtu-ignorestandby 30 ip 54standby 30 priority 150standby 30 preemptstandby 30 trac

39、k FastEthernet1/0/12 70interface Vlan40ip address ip ospf flood-reductionip ospf mtu-ignorestandby 40 ip 54standby 40 priority 150standby 40 preemptstandby 40 track FastEthernet1/0/12 702.4.2 .3 配置OSPFrouter ospf 110router-id log-adjacency-changes /激活OSPF鄰接關(guān)系network 55 area 0network 55 area 0network

40、 55 area 0network 55 area 0network 55 area 0ip classlessip route FastEthernet1/0/12ip http serverip http secure-serverip access-list extended v20permit ip any 55permit ospf any anyip access-list extended v30permit ip any 55permit ospf any anyline con 0line vty 0 4password ciscologinline vty 5 15logi

41、nend2.4.3. Loki-SW2960-03的配置：MSTP的配置hostname Loki-SW2960-03spanning-tree mode pvstspanning-tree extend system-idvlan internal allocation policy ascendinginterface GigabitEthernet0/1 switchport access vlan 10 switchport mode accessinterface GigabitEthernet0/2switchport access vlan 10switchport mode a

42、ccessinterface GigabitEthernet0/3switchport access vlan 10switchport mode accessinterface GigabitEthernet0/4interface GigabitEthernet0/5switchport access vlan 20switchport mode accessinterface GigabitEthernet0/6interface GigabitEthernet0/7interface GigabitEthernet0/8interface GigabitEthernet0/9inter

43、face GigabitEthernet0/10interface GigabitEthernet0/11switchport access vlan 30switchport mode accessinterface GigabitEthernet0/12interface GigabitEthernet0/13interface GigabitEthernet0/14interface GigabitEthernet0/15interface GigabitEthernet0/16switchport access vlan 40switchport mode accessinterfac

44、e GigabitEthernet0/17interface GigabitEthernet0/18interface GigabitEthernet0/19interface GigabitEthernet0/20interface GigabitEthernet0/21interface GigabitEthernet0/22interface GigabitEthernet0/23switchport trunk encapsulation dot1qswitchport mode trunkinterface GigabitEthernet0/24switchport trunk en

45、capsulation dot1qswitchport mode trunkinterface GigabitEthernet0/25interface GigabitEthernet0/26interface GigabitEthernet0/27interface GigabitEthernet0/28interface Vlan1no ip addressno ip route-cacheshutdowninterface Vlan10ip address no ip route-cacheip default-gateway 54ip http serverline con 0line

46、 vty 0 4no loginline vty 515no loginEndLoki公司的專線鏈路配置：1.Loki-R3600-01的配置：hostname Loki-R7200-01int f0/0ip add no shutint f0/1ip add no shutrouter ospf 110router-id network 55 area 0network 55 area 12.Loki-R3600-02的配置：hostname Loki-R7200-02int f0/0ip add no shutint f0/1ip add no shutLoki公司核心路由器Loki-R7

47、200-03的配置：1.1 配置IPSec VPNhostname Loki-R7200-03crypto isakmp policy 10 /建立IKE協(xié)商策略，策略號(hào)為10Encr 3des /3des加密算法hash md5 /采納hash密鑰認(rèn)證算法authentication pre-share /采納預(yù)先共享的密鑰group 2crypto isakmp key cisco address /密碼為cisco 對(duì)端IP為crypto ipsec transform-set Trans esp-des esp-md5-hmac /傳輸模式的名稱為Trans,后面的為其采納的驗(yàn)證和加密

48、參數(shù)crypto map cry-map 10 ipsec-isakmp /此IPSec鏈接采納IKE自動(dòng)協(xié)商set peer /指定VPN鏈路set transform-set Trans /設(shè)置傳輸模式的名稱為Transmatch address vpn /ACL列表名為vpninterface FastEthernet0/0ip address ip nat insideip virtual-reassemblyip ospf mtu-ignorespeed 100full-duplexinterface Serial0/0ip address ip nat outsideip virt

49、ual-reassemblyno fair-queuecrypto map cry-mapinterface FastEthernet0/1ip address ip nat insideip virtual-reassemblyip ospf mtu-ignorespeed 100full-duplexinterface Serial0/1no ip addressShutdown1. 2 OSPF的配置router ospf 110router-id log-adjacency-changesnetwork 55 area 0network 55 area 01.3 內(nèi)網(wǎng)與外網(wǎng)之間的RIP

50、配置router ripversion 2network no auto-summaryip forward-protocol ndip route ip http serverno ip http secure-serverip nat inside source list pat interface Serial0/0 overloadip access-list extended patdeny ip host 0 anypermit ip host 1 anyip access-list extended vpn/同意服務(wù)器0訪問permit ip host 0 55control-p

51、laneline con 0exec-timeout 0 0line aux 0line vty 0 4password ciscologinend1.4配置SSL VPNinterface Serial0/0access sslvpn /配置接口，開啟SSLVPNaccess httpsuser access cisco local cisco /創(chuàng)建本地認(rèn)證用戶usergroup cisco sslvpn mode all /創(chuàng)建本地認(rèn)證用戶組user access cisco group 2 /用戶與用戶組關(guān)聯(lián)sslvpnresource-group 3resource-group 3

52、group 2resource web server 0 prot 80 type web enableresource web group 3ensble(模擬外網(wǎng))Loki-R3600-04的配置：hostname Loki-R3600-04username cisco password 0 ciscointerface Loopback0ip address interface Ethernet0/0no ip addressshutdownhalf-duplexinterface Serial0/0ip address clockrate 2000000interface Ethern

53、et0/1ip address no shutdownhalf-duplexinterface Serial0/1ip address clockrate 2000000router ripversion 2network network network no auto-summaryip classlessip http serverip pim bidir-enableline con 0line aux 0line vty 0 4password ciscologinendLoki-R3600-05的配置：hostname Loki-R3600-05 no ip domain looku

54、pcrypto isakmp policy 10encr 3deshash md5authentication pre-sharegroup 2crypto isakmp key cisco address crypto ipsec transform-set cisco esp-des esp-md5-hmac crypto map cisco 10 ipsec-isakmp set peer set transform-set cisco match address vpninterface FastEthernet0/0ip address duplex autospeed autoin

55、terface Serial0/0no ip addressshutdownno fair-queueinterface FastEthernet0/1no ip addressshutdownduplex autospeed autointerface Serial0/1ip address crypto map ciscointerface Serial0/2no ip addressshutdowninterface Serial0/3no ip addressshutdownrouter ripversion 2network no auto-summaryip forward-pro

56、tocol ndip route ip http serverno ip http secure-serverip access-list extended vpnpermit ip 55 host 0control-planeline con 0exec-timeout 0 0logging synchronousline aux 0line vty 0 4password ciscologinEnd4.1測(cè)試驗(yàn)收測(cè)試驗(yàn)收的相關(guān)規(guī)范如下。 確認(rèn)設(shè)備、環(huán)境等條件是否為正常運(yùn)行后的情況，是否符合測(cè)試驗(yàn)收要求。在測(cè)試驗(yàn)收過程中填寫測(cè)試報(bào)告，并簽字或蓋章。假如測(cè)試中發(fā)生問題，應(yīng)及時(shí)通知相關(guān)責(zé)任人，進(jìn)

57、行故障處理。測(cè)試驗(yàn)收問題包括相關(guān)功能沒有實(shí)現(xiàn)、配置錯(cuò)誤、設(shè)備缺損、環(huán)境不滿足要求等。所有測(cè)試驗(yàn)收數(shù)據(jù)均應(yīng)認(rèn)真記錄，最終測(cè)試報(bào)告應(yīng)由測(cè)試人及確認(rèn)人簽字。4.1.1測(cè)試結(jié)果 總公司內(nèi)網(wǎng)部分：工程部、市場(chǎng)部、財(cái)務(wù)部之間不可互相訪問?？偣緝?nèi)網(wǎng)部分：VLAN 10和工程部、市場(chǎng)部、財(cái)務(wù)部之間能夠互相訪問 。4個(gè)VLAN都能夠訪問外網(wǎng)，然而工程部、市場(chǎng)部、財(cái)務(wù)部需要通過VLAN10中的ACS服務(wù)代理訪問外網(wǎng)。專線和內(nèi)網(wǎng)之間能夠互相訪問。5.1 Linux服務(wù)搭建部分需求分析DNS服務(wù)，對(duì)內(nèi)外網(wǎng)提供域名解析FTP服務(wù)HTTP服務(wù)SMTP服務(wù)問題分析在搭建的DNS服務(wù)的時(shí)候，配置文件差不多寫好，但正向或反向

58、解析出錯(cuò)匿名用戶能夠登錄，但實(shí)名用戶無法登錄實(shí)施步驟搭建DNS服務(wù)建立一個(gè)yum容器 vim /etc/yum.repo.d/test.repo編輯test.reponame111111name=111111baseurl=file:/mnt/dvd(檢查mnt目錄下有無dvd沒有的話建立一個(gè))enabled=1gpgcheck=0保存ii.掛載 mount dev/sr1 mnt/dvdiii.裝包 yum install -y bind正向解析：iv.文件配置 named.conf文件配置1.vim /etc/named.cof2.listen-on port 53any;3.allow-

59、query(any;);named.rfc1912.zones配置vim /etc/named.rfc1912.zonesZone “” INtype master;file named.swfu;Allow-updatenone;cp named.localhost named.swfu更改name.swfu的權(quán)限chgrp named /var/named/named.swfu配置named.swfu文件 vim /var/named/named.swfu$TTL1D IN SOA . root(0 ;serial1D ;refresh1H ;retry1W ;expire3H );miniumNS .dns A 28 /正向解析 域名-IPwww A 28重啟服務(wù)/etc/init.d/named restartchkconfig named onvim /etc/resolv.conf search nameserver 28反向解析Vim /etc named.rfc1912.zoneszone 70.168.192. IN type master; file named.192; allow-update none; ;