項(xiàng)目編號(hào)：文檔編號(hào):08

****信息基礎(chǔ)設(shè)施建設(shè)項(xiàng)目

網(wǎng)絡(luò)實(shí)施方案

編制：完成日期：年

月日

審核：審核日期：年

月日

批準(zhǔn)：批準(zhǔn)日期：年

月日

****信息技術(shù)有限責(zé)任公司

2010年4月24日

目錄

-)項(xiàng)目概述----------------------------------------------3

二)項(xiàng)目建設(shè)內(nèi)容------------------------------------------4

(1)總體建設(shè)內(nèi)容..................................................4

(2)網(wǎng)絡(luò)系統(tǒng)規(guī)劃..................................................--5

(3)網(wǎng)絡(luò)連接說明------------------------------------------------------6

(4)施工流程----------------------------------------------------------7

三)網(wǎng)絡(luò)設(shè)計(jì)建設(shè)方案-..................................--9

(1)網(wǎng)絡(luò)設(shè)備命名規(guī)劃--------------------------------------------------9

(2)IP地址劃分原則---------------------------------------------------10

(3)VLAN劃分方案----------------------------------------------------11

(4)HSRP設(shè)計(jì)?......................................................-13

(5)以太通道設(shè)計(jì)..................................................-15

(6)骨干網(wǎng)網(wǎng)設(shè)vb----------------------------------------------------------------------------------15

(7)服務(wù)器區(qū)設(shè)計(jì)-----------------------------------------------------16

(8)DHCP設(shè)計(jì)--------------------------------------------------------16

(9)802.1X設(shè)計(jì)-------------------------------------------------------16

(10)路由協(xié)議選擇----------------------------------------------------18

(11)NAT的設(shè)計(jì)....................................................-19

(12)防火墻的設(shè)計(jì).................................................—19

(13)TELNET設(shè)計(jì)------------------------------------------------------21

四)后期維護(hù)--------------------------------------------22

一）項(xiàng)目概述

****于1985年在在中關(guān)村成立，是全國(guó)第一家專業(yè)殺毒軟件開發(fā)公司。是

國(guó)內(nèi)比較知名的殺毒軟件公司的開發(fā)公司，多年來受到多家知名企業(yè)的好評(píng)，

是企業(yè)網(wǎng)絡(luò)安全的最有力的保障，為了給客戶帶來比較好的體驗(yàn)。身為殺毒軟件

的創(chuàng)始者與領(lǐng)導(dǎo)者，梆**為業(yè)界提供安全的計(jì)算機(jī)保護(hù)及擁有專業(yè)的殺毒軟件

服務(wù)和售后維護(hù)領(lǐng)域最完備的組件數(shù)據(jù)庫(kù)、知識(shí)產(chǎn)權(quán)、設(shè)計(jì)工具、及設(shè)計(jì)流程。

隨著科技的發(fā)展，時(shí)代的進(jìn)步，網(wǎng)絡(luò)成了我們生活不可或缺一個(gè)部門，計(jì)

算機(jī)大大的提高了我們的工作效率，也是工作辦公的必備，然而，我們的計(jì)算

機(jī)卻有隨時(shí)遭到各種病毒的攻擊和感染，對(duì)于一個(gè)公司的損失慘重，比如，公

司的重要文件，重大決策等，都可能在計(jì)算機(jī)遭到攻擊的時(shí)候，泄露出去，對(duì)

于公司的發(fā)展帶來致命的傷害。

為實(shí)現(xiàn)公司“打造國(guó)內(nèi)頂級(jí)的殺毒品牌”的目標(biāo)，努力完成公司2012年的

“站在北京看全國(guó)，站在全國(guó)看世界”的公司規(guī)模，加強(qiáng)信息化建設(shè)，公司迫切

需要對(duì)公司規(guī)模進(jìn)行擴(kuò)大，加強(qiáng)網(wǎng)絡(luò)建設(shè)，以提高總公司與分公司之間的信息

業(yè)務(wù)交流。

公司為了節(jié)約成本，公司要增設(shè)另一個(gè)下屬公司，公司規(guī)模1000人，分

10個(gè)部門，由于公司的規(guī)模較大，為了避免網(wǎng)絡(luò)的運(yùn)行中出現(xiàn)網(wǎng)絡(luò)結(jié)構(gòu)不合理,

未劃分子網(wǎng)，所有服務(wù)器和用戶均在同一網(wǎng)段，網(wǎng)絡(luò)病毒、廣播風(fēng)暴等經(jīng)常導(dǎo)致

系統(tǒng)運(yùn)行不穩(wěn)定；還有其他不安全或者是不必要的重大安全隱患。時(shí)間緊迫，公

司急需建設(shè)一個(gè)完善的網(wǎng)絡(luò)系統(tǒng)，以完成辦公、公司之間的互相交流及公司內(nèi)部

各種文件的轉(zhuǎn)載和查閱，由于公司的需求其對(duì)網(wǎng)絡(luò)的穩(wěn)定性較高，公司內(nèi)網(wǎng)中

需要一個(gè)服務(wù)器集群，為其提供安全的交換數(shù)據(jù)，避免數(shù)據(jù)量過大導(dǎo)致服務(wù)器

集群經(jīng)常出現(xiàn)過我現(xiàn)象?？紤]到公司流量較大，并對(duì)網(wǎng)絡(luò)穩(wěn)定性要求較高、網(wǎng)絡(luò)

的健壯性要強(qiáng)，現(xiàn)進(jìn)行一個(gè)合理，穩(wěn)定、健壯的網(wǎng)絡(luò)已經(jīng)成為公司的當(dāng)務(wù)之急。

二)項(xiàng)目建設(shè)內(nèi)容

(1)總體建設(shè)內(nèi)容

根據(jù)****公司需求并結(jié)合本公司多年來在該領(lǐng)域的設(shè)計(jì)、施工經(jīng)驗(yàn),

****基礎(chǔ)設(shè)施建設(shè)分為三大分項(xiàng)，包括：綜合布線、服務(wù)器和存儲(chǔ)系統(tǒng)、機(jī)房。

綜合布線同傳統(tǒng)的布線相比較，有著許多優(yōu)越性，是傳統(tǒng)布線所無法比及的。其

特點(diǎn)主要表現(xiàn)為它的兼容性、開放性、靈活性、可靠性、先進(jìn)性和經(jīng)濟(jì)性。而且

在設(shè)計(jì)、施工和維護(hù)方面也給人們帶來了許多方便。

詳細(xì)建設(shè)內(nèi)容：

1.建立一套滿足1000個(gè)信息點(diǎn)的綜合布線系統(tǒng)，信息點(diǎn)分布在A座B座的

一二層，網(wǎng)絡(luò)中心設(shè)在A座一層；

2.在A座一樓建一配套核心機(jī)房，B座一樓建一機(jī)房；

3.建設(shè)一個(gè)萬兆主干，部分千兆比特到桌面，和部分百兆比特到桌面的交

換網(wǎng)絡(luò)，大樓主干采用光纖布線；

4.建立一套無線局域網(wǎng)滿足目前日益增加的無線網(wǎng)接入要求，并對(duì)信息點(diǎn)

分布不足的地方進(jìn)行補(bǔ)充；

6.建立一套服務(wù)器群，用于公司內(nèi)部人員資源下載及內(nèi)網(wǎng)訪問，公司郵件

服務(wù)器等，在DMZ區(qū)建立一FTP服務(wù)器用于殺毒軟件客戶端病毒庫(kù)下載和面向外

網(wǎng)的Web服務(wù)器；

5、設(shè)計(jì)雙機(jī)熱備、雙機(jī)冗余、背板容量足夠的交換核心，采用冗余可靠的

網(wǎng)絡(luò)結(jié)構(gòu)方式;

（2）網(wǎng)絡(luò)系統(tǒng)規(guī)劃

根據(jù)****公司的需求，我們?cè)O(shè)計(jì)的具體方案主要考

慮到下列原則：先進(jìn)性與實(shí)用性原則；可靠性與安全性原

則；重視應(yīng)用與服務(wù)原則；經(jīng)濟(jì)性和可擴(kuò)充性原則。

本設(shè)計(jì)工程組網(wǎng)方式采用以兩臺(tái)思科6509交換機(jī)（三層交換機(jī)）作為核心

層，三層交換機(jī)的最重要目的是加快大型局域網(wǎng)內(nèi)部的數(shù)據(jù)交換。匯聚層為每一

層樓配置一臺(tái)交換機(jī)，接入層再為每個(gè)部門接入一臺(tái)4507R交換機(jī)，將不同部

門劃分到不同的VLAN中。本次項(xiàng)目?jī)?nèi)容有網(wǎng)絡(luò)連接、路由設(shè)計(jì)、1P分配、VLAN

劃分及進(jìn)行設(shè)備安裝實(shí)施等。

網(wǎng)絡(luò)結(jié)構(gòu)分析：

1、公司使用兩臺(tái)匯聚交換機(jī)（做冗余備份相連），連接接入交換機(jī)，并把

所有接入交換機(jī)連接到核心路由器上；

2、接入層交換機(jī)連接終端用戶，并把不同部門人員規(guī)劃到不同的VLAN中；

3、公司內(nèi)部都使用私網(wǎng)地址，訪問外網(wǎng)時(shí)，采用NAT,實(shí)現(xiàn)員工可以訪問

外網(wǎng)；

4、建立穩(wěn)定可靠的機(jī)房核心網(wǎng)絡(luò)；

5、根據(jù)服務(wù)器功能需求和信息安全要求進(jìn)行服務(wù)器系統(tǒng)區(qū)域劃分，完成服

務(wù)器接入交換機(jī)的安裝和調(diào)試；

6、建立辦公網(wǎng)絡(luò)系統(tǒng)，完成各配線間接入交換機(jī)的安裝和調(diào)試，實(shí)現(xiàn)終端

用戶100/1000M自適應(yīng)桌面接入，萬兆主干上聯(lián)；

7、所有用戶都使月DI1CP獲得IP地址；

建立公共區(qū)域的無線網(wǎng)絡(luò).實(shí)現(xiàn)用戶安全認(rèn)證；

10、增加安全設(shè)備實(shí)現(xiàn)公司網(wǎng)絡(luò)的安全性，且能監(jiān)控來自內(nèi)外部的上網(wǎng)行為，各

部門設(shè)置TELNET,且只有技術(shù)部能TELNET到各設(shè)備。

（3）網(wǎng)絡(luò)連接說明

1.核心層網(wǎng)絡(luò)：A座一樓配線間作為整個(gè)網(wǎng)絡(luò)的邏輯中心，為全網(wǎng)提供高速

數(shù)據(jù)和業(yè)務(wù)交換接入等功能，考慮到核心層網(wǎng)絡(luò)的可靠性和高性能，本項(xiàng)

目采用雙機(jī)熱備（負(fù)載均勻）方式設(shè)計(jì)核心層交換機(jī)，核心交換機(jī)選用兩臺(tái)

思科6509（三層交換機(jī)），兩臺(tái)6509之間通過hsrp協(xié)議實(shí)現(xiàn)雙機(jī)互聯(lián)和冗

余備份，并通過兩對(duì)光纖做portchannel連接，實(shí)現(xiàn)核心設(shè)備連接鏈路的

負(fù)載均衡。

2.匯聚層及接入層網(wǎng)絡(luò)：匯聚層主要為AB兩棟樓一二層核心，接入交換機(jī)

分布在各個(gè)配線間內(nèi)，其中A座一樓放置A座的接入交換機(jī)，每層樓采用一

臺(tái)4507R交換機(jī)，B座一樓放置B座的接入交換機(jī)，同樣每層樓采用一臺(tái)

4507R交換機(jī)，所有接入交換機(jī)通過兩條萬兆光纖連接核心交換機(jī)，兩條鏈

路互為冗余，這樣任何一鏈路出現(xiàn)問題，系統(tǒng)可以在3秒之內(nèi)將數(shù)據(jù)傳輸遷

移到另一條可靠鏈路上，保證整個(gè)網(wǎng)絡(luò)的安全和穩(wěn)定。

3.服務(wù)器區(qū)：針對(duì)****網(wǎng)絡(luò)系統(tǒng)的需求，為保證公司內(nèi)部數(shù)據(jù)安全，及公

司客戶對(duì)公司病毒庫(kù)下載通暢，本項(xiàng)目建立專門的服務(wù)器區(qū)，使用兩臺(tái)思

科4948作為服務(wù)器核心交換機(jī)，連接核心交換機(jī)6509,通過靜態(tài)路由方

式和核心網(wǎng)絡(luò)建立連接，這樣做的好處是隔離2層網(wǎng)絡(luò)的影響，給予服務(wù)器

區(qū)更加安全可靠的網(wǎng)絡(luò)環(huán)境，同時(shí)提供更加明晰、更加容易擴(kuò)展的路由方式,

給維護(hù)帶來了方便。

(4)施工流程

以下是本次工程中網(wǎng)絡(luò)設(shè)備的施工流程圖

開始

三）網(wǎng)絡(luò)設(shè)計(jì)建設(shè)方案

（1）網(wǎng)絡(luò)設(shè)備命名規(guī)劃

兩臺(tái)6509（交換機(jī)）；兩安裝場(chǎng)所設(shè)備命名

臺(tái)4948（交換機(jī)）;4臺(tái)

4570R（交換機(jī)）；若干

2960（交換機(jī)）;一防火

墻模塊；兩臺(tái)接入路由

器，一臺(tái)CiscoPTX520

防火墻。

設(shè)備類型

核心機(jī)房RT3640_l

路由器

核心機(jī)房RT3640_2

防火墻核心機(jī)房PIX520

核心機(jī)房HX_6509_l

核心機(jī)房HX_6509_2

核心層交換機(jī)

核心機(jī)房HX_4948_3

核心機(jī)房HX_4948_4

核心機(jī)房HJHX4507R1

核心機(jī)房HJ_HX_4507R_2

匯聚層交換機(jī)

B座機(jī)房HJBZ4507R1

B座機(jī)房HJ_BZ_45707R_2

A座1FJR_AZ1F_295O_1

A座1FJR_AZ1F_295O_2

A座1FJR—AZ1F—2950—3

A座1FJR_AZ1F_295O_4

A座1FJR_AZ1F_295O_5

A座1FJRAZ1F29506

A座1FJR_AZ1F_295O_7

A座：1FJR_AZ1F_295O_8

A座1FJR_AZ1F_295O_9

接入層交換機(jī)

A座1FJR_AZ1F_295O_1O

A座2FJR_AZ2F_2950_l

A座2FJR_AZ2F_295O_2

A座2FJR_AZ2F_2950_3

B座1FJR_BZ1F_295O_1

B座1FJRBZ1F29502

B座:1FJRBZ1F29503

B座:1FJR_BZ1F_295O_4

B座2FJR_BZ2F_295O_1

B座2FJR_BZ2F_2950_2

B座2FJR_BZ2F_2950_3

B座2FJR_BZ2F_2950_4

(2)IP地址劃分原則

因****公司網(wǎng)絡(luò)主干連接的節(jié)點(diǎn)多，因此，要保證網(wǎng)絡(luò)的有效性和可管理性，

網(wǎng)絡(luò)地址的規(guī)劃與分配是十分重要的問題。網(wǎng)絡(luò)地址是一種資源，必須經(jīng)過優(yōu)化

的規(guī)劃和設(shè)計(jì)，因?yàn)楹茈y預(yù)測(cè)網(wǎng)絡(luò)將來的規(guī)模和應(yīng)用情況的發(fā)展，如果規(guī)劃不

當(dāng)，將導(dǎo)致地址資源不夠用，網(wǎng)絡(luò)的擴(kuò)展將受到吸大的限制；如果規(guī)劃過于龐大,

則在現(xiàn)行運(yùn)行過程中，網(wǎng)絡(luò)的路由將會(huì)復(fù)雜，影響網(wǎng)絡(luò)的效率。網(wǎng)絡(luò)地址的分配

應(yīng)遵循以下的原則：

?唯一性：在同一個(gè)互聯(lián)網(wǎng)絡(luò)內(nèi)網(wǎng)絡(luò)地址應(yīng)該保持其唯一性；

?簡(jiǎn)單性：地址的分配應(yīng)該簡(jiǎn)單，避免在主干上采用復(fù)雜的掩碼方式；

?連續(xù)性：為同一個(gè)網(wǎng)絡(luò)區(qū)域分配連續(xù)的網(wǎng)絡(luò)地址，便于縮減路由表的表

項(xiàng)，提高路由器的處理效率，這種技術(shù)稱為地址疊合(Summarization)；

?可擴(kuò)充性：為一個(gè)網(wǎng)絡(luò)區(qū)域分配的網(wǎng)絡(luò)地址應(yīng)該具有一定的容量，便于

主機(jī)數(shù)量增加時(shí)仍然能夠保持地址的連續(xù)性；

?靈活性：地址分配不應(yīng)該基于某個(gè)網(wǎng)絡(luò)路由策略的優(yōu)化方案，應(yīng)該便于多數(shù)路由

策略在該地址分配方案上實(shí)現(xiàn)優(yōu)化；

?可管理性：地址的分配應(yīng)該有層次，某個(gè)局部的變動(dòng)不要影響上層、全局。

在對(duì)一個(gè)具體部門擁有的某個(gè)或幾個(gè)子區(qū)劃分子網(wǎng)時(shí)，要根據(jù)本部門的具

體應(yīng)用需求來合理分配子網(wǎng)資源，并且要留有一定的余地，這要從子網(wǎng)數(shù)和某

一個(gè)子網(wǎng)所擁有的最大主機(jī)數(shù)兩個(gè)方面來考慮。由于合法1P地址的短缺：在

****公司的網(wǎng)絡(luò)建設(shè)中選用了B類的保留地址，分配****公司的地址范圍為

172.16.0.0,前二位(172.16)作為公共網(wǎng)絡(luò)地址，第三位作為各VLAN的地址，

并第四位的(254)作為各VLAN的網(wǎng)關(guān)

樓層部門VLANIDIP地址段終端地址分配網(wǎng)關(guān)子網(wǎng)掩碼

黨支部Vian100-5454

管理部Vian101-5454

A座2層

行政部Vian102-5454

財(cái)務(wù)部Vian103-5454

A座1層銷售部Vian104-5454

策劃部Vian105-5454

B庫(kù)2層人事部Vian106-5454

后勤部Vian107-5454

咨詢部Vian108-5454

B座1.層技術(shù)部Vian109-5454

貴賓區(qū)Vian110-5454

保留Vian111-5454

IP地址劃分

(3)VLAN劃分方案

****公司根據(jù)業(yè)務(wù)功能的不同，可以分為12個(gè)VLAN,12個(gè)VLAN各自獨(dú)立，分別屬于不

同的廣播域，默認(rèn)情況下不同VLAN間可互相訪問，根據(jù)不同安全策略，access-list表可

作訪問控制。當(dāng)數(shù)據(jù)在VLAN間路由時(shí)，出于對(duì)各獨(dú)立系統(tǒng)的安全考慮，在各VLAN路由端口

上應(yīng)用訪問列表，使VLAN之間的數(shù)據(jù)按規(guī)則通過。針對(duì)每個(gè)VLAN的所屬機(jī)構(gòu)將安全規(guī)則量

化，再依次應(yīng)用在端口上，

Access-list1permitanyany

由于對(duì)于整個(gè)網(wǎng)絡(luò)配置VLAN工作量較大，所以使用VTP協(xié)議，把核心交換機(jī)配

制成VTPServer,其余交換機(jī)配制成VTPClient。并且為核心交換機(jī)配置SVI,使

得不同間VLAN可以通信。

配置舉例：

接入層交換機(jī)配置：

Switch(config)#vtpnodeclient

核心交換機(jī)配置：

Switch(config)#vtpdomainzdy

Switch(config)#vtpnodeserver

Switch(config)#vlan100

Switch(config-vlan)#nameDangzhibu

Switch(config)#intvlan100

Switch(config-if)Sipaddress172.16.0.254255.255.255.0

樓層部門VLANIDVian命名網(wǎng)關(guān)子網(wǎng)掩碼

黨政辦領(lǐng)導(dǎo)Vian100Dangzheng54

教務(wù)處Vian101Jiaowuchu54

行政部Vian102Xingzhengbu54

辦公樓

財(cái)務(wù)部Vian103Caiwubu172.163.254

紀(jì)檢、后勤Vlanl04Jijianhuoqin54

綜合Vlanl05Zonghe54

一層Vian106Yiceng54

二層Vian107Erccng54

三層Vian108Sanceng54

四層Vian109Siceng54

五層Vian110Wuceng54

實(shí)驗(yàn)樓

六層Vian111Liuceng54

七層Vian112Qiceng54

八層Vian113Baceng54

九層Vian114Jiuceng54

十層Vian115Shiceng54

客戶端Vian116Kehu54

圖書館

服務(wù)器Vian117Fuwu54

機(jī)房Vlanll8Jifang54

四層Vlanll9AP_154

北A宿舍五層Vlanl20AP_254

六層Vlanl21AP_354

保留Vian122baoliu54

VLAN劃分

(4)、STP設(shè)計(jì)

由于在設(shè)計(jì)的過程中，為了增加網(wǎng)絡(luò)的可靠性，在核心層交換機(jī)與匯接層交換機(jī)

之間、以及核心應(yīng)用中均設(shè)計(jì)了雙冗余鏈路。為了避免這些冗余鏈路所形成1勺透

明橋接問題，必須使生成樹協(xié)議(STP)有效工作。

配置舉例：

spanning-treemoderapid-pvst

spanning-treevlan1-200priority4096

(4)HSRP設(shè)計(jì)

熱備份路由器協(xié)議(HSRP)的設(shè)計(jì)目標(biāo)是支招特定情況下IP流量失敗轉(zhuǎn)移

不會(huì)引起混亂、并允許主機(jī)使用單路由器，以及即使在實(shí)際第一跳路由器使用失

敗的情形下仍能維護(hù)路由器間的連通性。

****的IISRP建設(shè)，主要是在兩臺(tái)核心交換機(jī)CISC06509的VLAN和互聯(lián)網(wǎng)區(qū)

的兩臺(tái)路由器部署?；ヂ?lián)網(wǎng)區(qū)路由器A對(duì)內(nèi)網(wǎng)為活動(dòng)的路由器，HSRP優(yōu)先級(jí)設(shè)

置為110,高于互聯(lián)網(wǎng)區(qū)路由器B的優(yōu)先級(jí)100。在互聯(lián)網(wǎng)路由器A上面配置HSRP

的搶占功能，使互聯(lián)網(wǎng)路由器A成為主設(shè)備。

當(dāng)在6509上劃分了VLAN以后，就可以根據(jù)不同的需求將接入層交換機(jī)端口

分別加入到對(duì)應(yīng)的VLAN-中去，不同的VLAN的客戶機(jī)就分別屬于不同的廣揩域,

有各自不同的IP地址段，當(dāng)需要跨網(wǎng)段互相訪問時(shí)，就必須通過路由。6509就

可以利用CISCO的HSRP協(xié)議作熱備份，再配置一臺(tái)6509三層交換機(jī)，即當(dāng)核心

A發(fā)生故障時(shí)，另外一塊可以立即接替原來的交換機(jī)繼續(xù)工作，切換時(shí)間很短。

我們可實(shí)現(xiàn)12個(gè)VLAN分別優(yōu)先運(yùn)行在多個(gè)三層路由模塊上，這樣在系統(tǒng)無故障

時(shí)，能到達(dá)路由數(shù)據(jù)負(fù)載分擔(dān)的目的。

核心交換機(jī)A作為活動(dòng)交換機(jī)，HSRP優(yōu)先級(jí)設(shè)置為110,高于核心交換機(jī)B的優(yōu)

先級(jí)100o在核心交換機(jī)A上面配置HSRP的搶占功能，使核心交換機(jī)A成為主

設(shè)備。

配置舉例：

主設(shè)備：

interfaceVlanlOO

ipaddress172.16.0.253255.255.255.0

standby100ip172.16.0.254

standby100priority110

standby100preempt

備份設(shè)備：

interfaceVlanlOO

ipaddress172.16.0.252255.255.255.0

standby100ip172.16.0.254

standby100priority100

standby100preempt

部門VLANIDIP地址段SVI接1」地址HSRP優(yōu)先級(jí)網(wǎng)關(guān)子網(wǎng)掩碼

核心A核心B核心A核心B

黨支部Vian100535211010054

管理部Vian1015352110100542S5.2S5.25S.0

行政部Vian102535211010054

財(cái)務(wù)部Vian103172.163.2535211010054

銷售部Vian10453172.16.4,25211010054

策劃部Vian105535211010054

人事部Vian1065352110100S4

后勤部Vian1075352110100S4

咨詢部Vian108535211010054

技術(shù)部Vian109535211010054

貴賓區(qū)Vian110535211010054

保留Vian111535211010054

(5)以太通道設(shè)計(jì)

兩臺(tái)核心交換C1SC06509之間通過兩條萬兆鏈路互聯(lián)，配置成為Trunk,把兩條

萬兆鏈路捆綁成EtherChannelo可以實(shí)現(xiàn)40萬M全雙工的帶寬。

配置舉例：

interfaceGigabitEthernct0/1-2

switchport

switchporttrunkencapsulationdotIq

switchportmodetrunk

channel-group1modedesirable

i

interfacePort-channel1

switchport

switchporttrunkallowedvlan1,100-111

switchporttrunkencapsulationdotIq

switchportmodetrunk

(6)骨干網(wǎng)網(wǎng)設(shè)計(jì)

整個(gè)骨干網(wǎng)絡(luò)采用10GE互聯(lián)，核心交換機(jī)6509之間采用引擎兩個(gè)10GE互

聯(lián)，并采用Ether-Channel方式捆綁增加帶寬和可用性。4507R-E采用SUP6LE

引擎進(jìn)行二層接入，分別與核心6509E采用10GE互聯(lián)，不啟用三層功能。

所有VLAN的網(wǎng)關(guān)都在兩臺(tái)核心交換機(jī)上面，核心交換機(jī)6509E之間采用

CISCOHSRP協(xié)議。核心交換機(jī)A為所有VLAN的主交換機(jī)，所有VLAN的網(wǎng)關(guān)都

在核心交換機(jī)A上面。當(dāng)核心交換機(jī)A故障的時(shí)候，核心交換機(jī)B替換核心交換

機(jī)A成為活動(dòng)交換機(jī)。

6509E之間互聯(lián)采用二層鏈路捆綁方式進(jìn)行，并封裝為Trunk,該條Trunk

鏈路只允許攜帶****的VLAN信息通過。4507R-E與6509E之間均采用二層Trunk

封裝方式，并在相應(yīng)的Trunk鏈路上對(duì)VLAN信息進(jìn)行過濾。

整體二層鏈路采用生成樹協(xié)議進(jìn)行環(huán)路阻止，采用快速生成樹模式。手動(dòng)調(diào)

整核心交換機(jī)A的優(yōu)先級(jí)，把核心交換機(jī)A配置成為生成樹的ROOTo手動(dòng)調(diào)整核

心交換機(jī)B的優(yōu)先級(jí),把核心交換機(jī)B配置成為生成樹的備份ROOTo4507R-E只

作為接入。

(7)服務(wù)器區(qū)設(shè)計(jì)

服務(wù)器區(qū)交換機(jī)采用HSRP冗余協(xié)議，使服務(wù)器區(qū)交換機(jī)a成為主交換機(jī)，b

成為備份交換機(jī)。采用CISCO的快速生成樹來防止二層的廣播環(huán)路。手動(dòng)調(diào)整核

心交換機(jī)a的優(yōu)先級(jí),壬核心交換機(jī)a配置成為生成樹的ROOTo手動(dòng)調(diào)整核心交

換機(jī)b的優(yōu)先級(jí)，把核心交換機(jī)b配置成為牛成樹的備份ROOT。

(8)DHCP設(shè)計(jì)

動(dòng)態(tài)主機(jī)設(shè)置協(xié)議(DHCP),是一個(gè)局域網(wǎng)的網(wǎng)絡(luò)協(xié)議，主要用于給內(nèi)部

網(wǎng)絡(luò)自動(dòng)分配IP地址，木項(xiàng)目把核心交換機(jī)配置為DHCP服務(wù)密，將所有PC

配置為動(dòng)態(tài)獲得ip地

配置舉例：

Router(config)#ipdhcppoolvlanlOO

Router(dhcp-config；#network172.16.0.0255.255.255.0

Router(dhcp-configjSdefault-router172.16.0.254

(9)802.1X設(shè)計(jì)

當(dāng)用戶有上網(wǎng)需求時(shí)打開802.IX客戶端程序，輸入已經(jīng)申請(qǐng)、登記過的用

戶名和口令，發(fā)起連接請(qǐng)求。此時(shí)，客戶端程序?qū)l(fā)出請(qǐng)求認(rèn)證的報(bào)文給交換機(jī),

開始啟動(dòng)一次認(rèn)證過程。

交換機(jī)收到請(qǐng)求認(rèn)證的數(shù)據(jù)幀后，將發(fā)出一個(gè)請(qǐng)求幀要求用戶的客戶端程

序?qū)⑤斎氲挠脩裘蜕蟻怼?/p>

客戶端程序響應(yīng)交換機(jī)發(fā)出的請(qǐng)求，將用戶名信息通過數(shù)據(jù)幀送給交換機(jī)。交換

機(jī)將客戶端送上來的數(shù)據(jù)幀經(jīng)過封包處理后送給認(rèn)證服務(wù)器進(jìn)行處理。

認(rèn)證服務(wù)器收到交換機(jī)轉(zhuǎn)發(fā)上來的用戶名信息后，將該信息與數(shù)據(jù)庫(kù)中的用戶

名表相比對(duì)，找到該用戶名對(duì)應(yīng)的口令信息，用隨機(jī)生成的一個(gè)加密字對(duì)它進(jìn)

行加密處理，同時(shí)也將此加密字傳送給交換機(jī)，由交換機(jī)傳給客戶端程序。

客戶端程序收到由交換機(jī)傳來的加密字后，用該加密字對(duì)口令部分進(jìn)行加

密處理（此種加密算法通常是不可逆的），并通過交換機(jī)傳給認(rèn)證服務(wù)器。

認(rèn)證服務(wù)器將送上來的加密后的口令信息和其自己經(jīng)過加密運(yùn)算后的口令

信息進(jìn)行對(duì)比，如果相同，則認(rèn)為該用戶為合法用戶，反饋認(rèn)證通過的消息,

并向交換機(jī)發(fā)出打開端口的指令，允許用戶的業(yè)務(wù)流通過端口訪問網(wǎng)絡(luò)C否則，

反饋認(rèn)證失敗的消息，并保持交換機(jī)端口的關(guān)閉狀態(tài)，只允許認(rèn)證信息數(shù)據(jù)通

過而不允許業(yè)務(wù)數(shù)據(jù)通過。

為了提高經(jīng)研院的二層接入的安全，采用802.IX端口認(rèn)證。802.IX端口認(rèn)

證，把認(rèn)證請(qǐng)求通過Radius協(xié)議發(fā)送給CISCO認(rèn)證服務(wù)器，認(rèn)證服務(wù)器調(diào)用

WindowsAD的數(shù)據(jù)庫(kù)認(rèn)證，當(dāng)認(rèn)證成功后認(rèn)證服務(wù)器返回給交換機(jī)。

在交換機(jī)上啟用AAA功能，并制定ACS服務(wù)器地址。接入客戶端網(wǎng)卡需要

打開802.1X客戶端程序，交換機(jī)提示認(rèn)證信息，認(rèn)證成功后才可以進(jìn)行ip地址

及其它配置。

配置舉例：

aaanew-model

aaaauthenticationdotlxdefaultgroupradius

!

dotlxsystem-auth-control

j

interfacerangeG0/1-48

switchportaccessvlan100

switchportmodeaccess

dotlxpacauthenticator

dotlxport-controlauto

dotlxmax-reauth-req5

spanning-treeportfast

radius-serverhost1.1.1.1auth-port1645acct-port1646keycisco

radius-serversource-ports1645-1646

(10)路由協(xié)議選擇

由于對(duì)網(wǎng)絡(luò)穩(wěn)定性的考慮，****公司網(wǎng)絡(luò)連接將即采用靜態(tài)路由協(xié)議乂采用

動(dòng)態(tài)路由協(xié)議進(jìn)行配置。采用EIGRP動(dòng)態(tài)路由協(xié)議進(jìn)行網(wǎng)絡(luò)配置，原因主

要是EIGRP是Cisco公司的專有網(wǎng)絡(luò)協(xié)議，它綜合了距離矢量和鏈路狀態(tài)2

者的優(yōu)點(diǎn)，其特點(diǎn)有:

A.快速收斂;

B.減小帶寬占用;

C.支持多種網(wǎng)絡(luò)層協(xié)議：

D.無縫連接數(shù)據(jù)鏈路層協(xié)議和拓?fù)浣Y(jié)構(gòu)

核心交換機(jī)和服務(wù)器區(qū)交換機(jī)之間使用動(dòng)態(tài)路由EIGRP。核心交換機(jī)到互聯(lián)網(wǎng)

區(qū)路由器使用的默認(rèn)路由，互聯(lián)網(wǎng)區(qū)路由器到互聯(lián)網(wǎng)區(qū)防火墻使用默認(rèn)路由，到

核心使用靜態(tài)路由?；ヂ?lián)網(wǎng)區(qū)防火墻向內(nèi)、外部網(wǎng)設(shè)置缺省路由。

配置舉例：核心A

Router(config)#routereigrp100

Router(config-router)^network172.16.0.0?0.0.0.255

Router(config-router)#nctwork172.16.1.0?0.0.0.255

Router(config-router)^network172.16.2.0?0.0.0.255

Router(config-router)#network172.16.3.0?0.0.0.255

Router(config-router)^network172.16.4.0?0.0.0.255

Router(config-router)Snetwork172.16.5.0?0.0.0.255

Router(config-router)^network172.16.6.0?0.0.0.255

Router(config-router)8network172.16.7.0?0.0.0.255

Router(config-router)^network172.16.8.0?0.0.0.255

Router(config-router)^network172.16.9.0?0.0.0.255

Router(config-router)^network172.16.10.0'0.0.0.255

Router(config-router)^network172.16.11.0'0.0.0.255

Router(config-router)#network172.16.20.0>0.0.0.255

Router(config-router)Snetwork172.16.21.0'0.0.0.255

Router(config-router)^network172.16.22.010.0.0.255

Router(config-router)#network172.16.23.010.0.0.255

Router(config-router)#noauto-summary

(11)NAT的設(shè)計(jì)

在防火墻PTX520的outside端口設(shè)置NAT

設(shè)置靜態(tài)的地址轉(zhuǎn)換，將真實(shí)地址與提供服務(wù)的私有地址綁定

static(dmz,outside)210.32.32.1210.32.32.1netmask255.255.255.2550

0

static(dmz,outside)210.32.32.21210.32.32.21netmask255.255.255,255

0

static(dmz,outside)210.32.32.18210.32.32.18netmask255.255.255.255

0

static(dmz,outside)210.32.32.10210.32.32.10netmask255.255.255,255

0

static(dmz,outside)210.32.32.32210.32.32.32netmask255.255.255,255

0

static(dmz,outside)210.32.32.23210.32.32.23netmask255.255.255,255

0

static(dmz,outside；210.32.32.150210.32.32.150netmask255.255.255.255

0

static(dmz,outside)210.32.32.20210.32.32.20netmask255.255.255,255

0

static(dmz,outside；210.32.32.229210.32.32.229netmask255.255.255,255

00

static(dmz,outside)210.32.32.50210.32.32.50nermask255.255.255.255

00

指定要進(jìn)行靜態(tài)轉(zhuǎn)換的IP地址能夠通過的協(xié)議

conduitpermitiempanyany允許所有ICMP通信

conduitpermittephost210.32.32.21rangeftpwwwany

conduitpermittephost210.32.32.10rangeftpwwwany

conduitpermitudphost210.32.32.1eqdonainany

conduitpermittephost210.32.32.150eqwwwany

conduitpermittephost210.32.32.18rangesmtppop3any

conduitpermittephost210.32.32.20eqwwany

conduitpermittephost210.32.32.229any

conduitpermittephost210.32.32.50eqtelnetany

conduitpermittephost210.32.32.23eqwwwany

(12)防火墻的設(shè)計(jì)

配置Cisco防火墻

將PIX安放至機(jī)架，經(jīng)檢測(cè)電源系統(tǒng)后接上電源，并加電主機(jī)。WCONSOLE

口連接到PC的串口上，從CONSOLE口進(jìn)入PIX系統(tǒng)；此時(shí)系統(tǒng)提示

pixfircwall>

輸入命令：enable,進(jìn)入特權(quán)模式，此時(shí)系統(tǒng)提示為

pixfirewall#

輸入命令：configureterminal,對(duì)系統(tǒng)進(jìn)行初始化設(shè)置。

配置以太口參數(shù)：

interfaceethernetOauto(auto選項(xiàng)表明系統(tǒng)自適應(yīng)網(wǎng)卡類型)

interfaceethernetlauto

interfaceethernet2auto

配置各功能段的安全級(jí)別：

nameifethernetOoutsidesecurityO

nameifethernetlinsidesecurity100

nameifethernet2dmzsecurity50

配置各網(wǎng)卡的IP地址：

ipaddressoutside210.32.39.253255.255.255.0

ipaddressinside10.0.0.254255.255.255.0

ipaddressdmz54255.255.255.0

指定外部地址范圍：

global(outside)1210.32.38.254

global(dmz)1192.168.1.1-192.168.1.253

global(dmz)1192.168.1.254

指定要進(jìn)行轉(zhuǎn)換的內(nèi)部地址：

nat(inside)10.0.0.00.0.0.000

nat(dmz)00.0.0.00.0.0.000

設(shè)置靜態(tài)的地址轉(zhuǎn)換，將真實(shí)地址與提供服務(wù)的私有地址綁定

static(dmz,outside)210.32.32.1210.32.32.1netmask255.255.255.2550

0

static(dmz,outside)210.32.32.21210.32.32.21netmask255.255.255.255

0

static(dmz,outside)210.32.32.18210.32.32.18netmask255.255.255,255

0

static(dmz,outside)210.32.32.10210.32.32.10netmask255.255.255,255

0

static(dmz,outside)210.32.32.32210.32.32.32netmask255.255.255,255

0

static(dmz,outside)210.32.32.23210.32.32.23netmask255.255.255,255

0

static(dmz,outsidej210.32.32.150210.32.32.150netmask255.255.255,255

0

static(dmz,outside)210.32.32.20210.32.32.20n