中小型企业网络升级改造方案

  • 格式:docx
  • 大小:619.56 KB
  • 文档页数:22

中小型企业网络升级改造方案一、项目需求分析1、当前存在的问题Internet将总部和异地办事处连接起来,各PC及内部的服务器用Hub连接。

在网络建设初期网络的速度还可以满足需要、随着公司的发展,人员越来越多.网络速度越来越低,除此以外还有下列问题。

(1)网络故障不断时常出现网络瘫痪现象。

这一点深圳办事处表现得最为突出,一到夏季雷雨季节,往往下一次雨,ADSL路由器和Hub就会被雷电击坏一次,一旦故障.短者几小时,长者几天都无法正常办公。

(2)病毒泛滥,攻击不断。

特别是从2006年ARP病毒爆发以来,总部及分支机构的网络就没有消停过.不仅仅是病毒,各种木马也很猖狂,一些账号密码常被盗取,使研发的服务器基本不敢连连接内网。

(3)总部同办事处发送信息不安全。

总部同分支机构之间发送的信息不够安全,时常出现机密信息被窃取的现象。

为此,总部和分支机构之间的机密信息全部使用EMS方式快递,不但费用高,而且速度也慢。

(4)一些员工使用P2P工具,不能监管。

自从有了P2P应用以后,采用P2P应用的多媒体资源越来越多,内部员工使用BT、迅雷等工具下载文件的事情时有发生,一旦有人下载原本就速度缓慢的网络变得更慢,基本无法使用。

(5)公司的一些服务器只能托管,不能放在公司内部。

公司有自己的OA及WWW服务器,但因为内网存在安全隐患,且无固定IP地址,这些服务器只能托管在运营商的IDC机房,不能放在公司内部,给管理和维护带来极大不便。

以上是xx公司网络目前出现的一些问题。

对这些问题及网络的重要性,公司的领导层也是深有认识。

为了提高工作效率,降低公司运营成本,公司领导层决定对目前公司的网络进行升级改造。

2、网络升级改造的目标xx公司决定对当前的总部及办事处的办公网络进行升级改造,彻底解决当前网络存在的种种问题提高公司的办公效率,降低公司的运营成本。

为此公司召开了各部门负责人会议,讨论网络的建设目标及其他一些细节,经过深入的讨论,得出了一下建设目标。

⑴网络带宽升级,达到千兆骨干,百兆到桌面。

目前内部网络采用是l00Mbps共享Hub互连,内部各PC之间共享带宽.升级之后变为100Mbps独享到桌面,总部网络骨干升级为1000Mbps(2)增强网络的可靠性及可用性。

升级之后的整个网络要具备高可用性,网络不会因为单点故陣而导致全网瘫痪;设备、拓扑等要有可靠性保障,不会因为雷击而出现故障。

(3)网络要易于管理、升级和扩展。

升级之后的网络要易于管理,要提供图形化的管理界面和故障自动告警措施,另外考虑到公司以后的发展,网络要易于升级和扩展,要满足3~5年内因人员增加、机构增加而扩展网络的需求。

(4)确保内网安全及同办事处之间交互数据的安全。

升级之后的网络要确保总部和分支机构的内网安全,能够彻底解决ARP欺骗的问题,防止外部对内网的攻。

同时要保总部和办事处之间的数据的安全性和可靠性。

另外,要能监控和过滤员工发往外部的邮件及员工访问的网站等。

(5)服务器管理及访问权限控制,并能监管网络中的P2P应用。

网络升级之后要将托管在运营商IDC机房的OA及WWW服务器搬回公司,自行管理和维护。

深圳办事处及上海研究所只能访问总部。

深圳办事处和上海研究所之间不能互问。

能监控网络中的P2P应用,能对P2P应用进行限制,防止网络带宽资源的占用。

二、网络规划1、拓扑规划根据现有网络拓扑结构结合建设目标及实际需求,新规划的拓扑结构如下图所示。

网络拓扑在此拓扑结构中,总部的一台核心交换连接两台接入层交换机和一台服务器区交换机,构成总部内部LAN;总部两台路由器通过专线将深圳办事处、上海研究所连接起来;总部的出口通过互连路由器连接到Internet。

在办事处和研究所的路由器各下挂一台24口的交换机构成其内部网络。

2、设备选型根据网升级改造的目标,结合拓扑结构以及我院实训室现有H3C设备,公司总部、深圳办事处及上海研究所具体设备明细如表所示。

3、设备命名及端口描述(1)设备命名规则及设备命名明细表。

设备所在地AA-BB-CC(2)端口描述规则及端口描述明细表4、WAN规划根据前面的需求分析在总部及分支机构之间使用专线连接,考虑到上海研究所的业务数据相对较多,对带宽需求较高,总部与上海研究所之间采用2条Serial线路,总部与深圳办事处之间采用1条Serial线路。

所以在为设备选用广域网模块时,公司总部的两台路由器均选择2SA模块,深圳办事处的路由器同样选择2SA模块,而上海研究所选择1SA模块。

5、LAN规划局域网规划包含VLAN规划、端口聚合以及端口隔离、地址捆绑规划几个部分。

(1) VLAN划分深圳办事处及上海研究所因员工数较少,不会出现广播风暴现象,所以不划分VLAN, 北京总部员工数量多,而且部门之间需要访问控制,所以要进行VLAN划分。

人事行政部、财务商务部、产品研发部和技术支持部在业务上相对独立,而且产品研发部还有访问控制要求,故将四个部门各自划分一个VLAN。

为了便于服务器区的管理,也将服务器区划分为一个VLAN。

部门、VLAN号、交换机端口之间的关系如下表所示。

(2)端口聚合由于公司分部和总部各部门均需要访问服务器,所以配置端口聚合,以增加网络带宽减少访问延时。

端口聚合配置为动态聚合。

(3)端口隔离由于产品研发部的特殊性,所以为该部门配置端口隔离,使该部分内不得相互访问,但该部门可以访问服务器和其他部门。

6、IP地址规划(1)、业务IP为了便于IP地址分配和管理,采用DHCP地址分配方式。

使用核心交换机ZB-3610-1作为DHCP服务器。

(2)设备互连IP(3)管理IP7、路由规划公司内网使用OSPF路由协议。

在公司内网的出口使用缺省路由。

8、安全规划(1)地址转换(NAT、NAT Server)深圳办事处不允许访问公网。

上海研究所只有周一至周五8:00-19:00允许访问公网。

公司总部随时可以访问公网。

(2)访问控制人事行政部(总部)和办事处(深圳)只可以访问服务器区。

研究所(上海)、财务商务部(总部)只可以访问服务器区和技术支持部。

产品研发部内部彼此不能相互通信,但都可以访问访问服务器区、技术支持部和研究所(上海)。

9、网管规划在公司总部能够远程登录各台网络设备三、网络配置1、端口隔离[ZB-3610-1]Port-group manual group1Group-member Ethernet1/0/5 to Ethernet1/0/24 Port access vlan 40Port-isolate enable2、链路聚合[ZB-3610-1]Interface Bridge-Aggregation1Port link-type trunkPort trunk permit vlan allLink-aggregation mode dynamicInterface Ethernet1/0/3Port link-type trunkPort trunk permit vlan allPort link-aggregation group 1Interface Ethernet1/0/4Port link-type trunkPort trunk permit vlan allPort link-aggregation group 1[ZB-3610-2]Interface Bridge-Aggregation1Port link-type trunkPort trunk permit vlan allLink-aggregation mode dynamicInterface Ethernet1/0/3Port link-type trunkPort trunk permit vlan allPort link-aggregation group 1Interface Ethernet1/0/4Port link-type trunkPort trunk permit vlan allPort link-aggregation group 13、链路捆绑[ZB-3020-2]Interface MP-Group 1Interface Serial6/0PPP MP MP-Group 1Interface Serial6/1PPP MP MP-Group 1[YJ-3020-1]Interface MP-Group 1Interface Serial6/0PPP MP MP-group 1Interface Serial6/1PPP MP MP-Group 14、DHCP[ZB-3610-1]DHCP enableDHCP server forbidden-ip 192.168.1.254 DHCP server forbidden-ip 192.168.2.254 DHCP server forbidden-ip 192.168.3.254 DHCP server forbidden-ip 192.168.4.254 DHCP server ip-pool 1Network 192.168.1.0 mask 255.255.255.0Gateway-list 192.168.1.254DHCP server ip-pool 2Network 192.168.2.0 mask 255.255.255.0Gateway-list 192.168.2.254DHCP server ip-pool 3Network 192.168.3.0 mask 255.255.255.0Gateway-list 192.168.3.254DHCP server ip-pool 4Network 192.168.4.0 mask 255.255.255.0Gateway-list 192.168.4.2545、路由配置[ZB-3020-1]OSPF 1 router-id 1.1.1.1Area 0.0.0.0Network 192.168.0.0 0.0.0.255[ZB-3020-2]OSPF 1 router-id 2.2.2.2Area 0.0.0.0Network 192.168.0.0 0.0.0.255[ZB-3020-3]Ip route-static 0.0.0.0 0.0.0.0 117.10.100.1 OSPF 1 router-id 3.3.3.3Default-route-advertiseArea 0.0.0.0Network 192.168.0.0 0.0.0.255[ZB-3610-1]OSPF 1 router-id 4.4.4.4Area 0.0.0.0Network 192.168.0.0 0.0.255.255[YJ-3020-1]OSPF 1 router-id 10.10.10.10Area 0.0.0.0Network 192.168.0.0 0.0.0.255Area 0.0.0.1Network 192.168.7.0 0.0.0.255[BS-3011-1]OSPF 1 router-id 11.11.11.11Area 0.0.0.0Network 192.168.0.0 0.0.0.255Area 0.0.0.2Network 192.168.6.0 0.0.0.2556、Nap和Nat ServerNat address-group 1 117.10.100.8 117.10.100.11Time-range Time1 08:00 to 19:00 working-dayAcl number 2000Rule 0 permit source 192.168.1.0 0.0.0.255Rule 5 permit source 192.168.2.0 0.0.0.255Rule 10 permit source 192.168.3.0 0.0.0.255Rule 15 permit source 192.168.4.0 0.0.0.255Rule 20 permit source 192.168.5.0 0.0.0.255Rule 25 permit source 192.168.7.0 0.0.0.255 time-range Time1 Interface Serial6/0Nat outbound 2000 address-group 1Nat server protocol tcp global 117.10.100.10 80 inside 192.168.5.1 80Nat server protocol tcp global 117.10.100.11 8080 inside 192.168.5.2 8080 7、访问控制[ZB-3610-1]Acl number 3001Rule 00 permit ip source 192.168.1.0 0.0.0.255 destination 192.168.5.0 0.0.0.255 Rule 05 permit ip source 192.168.2.0 0.0.0.255 destination 192.168.3.0 0.0.0.255 Rule 10 permit ip source 192.168.2.0 0.0.0.255 destination 192.168.5.0 0.0.0.255 Rule 15 permit ip source 192.168.3.0 0.0.0.255Rule 20 permit ip source 192.168.4.0 0.0.0.255 destination 192.168.3.0 0.0.0.255 Rule 25 permit ip source 192.168.4.0 0.0.0.255 destination 192.168.5.0 0.0.0.255 Rule 30 permit ip source 192.168.4.0 0.0.0.255 destination 192.168.7.0 0.0.0.255 Rule 35 permit ip source 192.168.1.0 0.0.0.255 destination 192.168.1.0 0.0.0.255 Rule 40 permit ip source 192.168.2.0 0.0.0.255 destination 192.168.2.0 0.0.0.255 Rule 45 permit ip source 192.168.3.0 0.0.0.255 destination 192.168.3.0 0.0.0.255 Rule 50 permit ip source 192.168.4.0 0.0.0.255 destination 192.168.4.0 0.0.0.255 Rule 55 permit ip source 192.168.0.0 0.0.0.255Rule 60 permit ip destination 192.168.0.0 0.0.0.255Acl number 3999Rule 0 deny ip destination 192.168.0.0 0.0.255.255Traffic behavior discardFilter denyTraffic behavior passFilter permitTraffic classifier 1If-match acl 3001Traffic classifier 2If-match acl 3999Qos policy 1Classifier 1 behavior passClassifier 2 behavior discardInterface Ethernet1/0/2Qos apply policy 1 inboundPort-group manual group1Qos apply policy 1 inbound[BS-3011-1]Acl number 3001Rule 0 permit ip source 192.168.6.0 0.0.0.255 destination 192.168.5.0 0.0.0.255 Rule 5 deny ip destination 192.168.0.0 0.0.255.255Firewall enableInterface S0/0Firewall packet-filter 3001 outbound[YJ-3020-1]Acl number 3001Rule 00 permit ip source 192.168.7.0 0.0.0.255 destination 192.168.3.0 0.0.0.255 Rule 05 permit ip source 192.168.7.0 0.0.0.255 destination 192.168.4.0 0.0.0.255 Rule 10 permit ip source 192.168.7.0 0.0.0.255 destination 192.168.5.0 0.0.0.255 Rule 15 deny ip destination 192.168.0.0 0.0.255.255Firewall enableInterface MP-group 1Firewall packet-filter 3001 outbound8、远程登录[ZB-3020-1]Telnet server enableLocal-user ZB-3020-1Password cipher adminService-type telnetAuthorization-attribute level 3User-interface vty 0 4Authentication-mode scheme[ZB-3020-2]Telnet server enableLocal-user ZB-3020-2Password cipher adminService-type telnetAuthorization-attribute level 3 User-interface vty 0 4Authentication-mode scheme [ZB-3020-3]Telnet server enableLocal-user zb-3020-3Password cipher adminService-type telnetAuthorization-attribute level 3 User-interface vty 0 4Authentication-mode scheme [ZB-3610-1]Telnet server enableLocal-user ZB-3610-1Password cipher adminService-type telnetAuthorization-attribute level 3 User-interface vty 0 4Authentication-mode scheme [ZB-3610-2]Telnet server enableLocal-user ZB-3610-2Password cipher adminService-type telnetAuthorization-attribute level 3 User-interface vty 0 4Authentication-mode scheme [ZB-3100-1]Local-user ZB-3100-1Password cipher adminService-type telnetlevel 3User-interface vty 0 4Authentication-mode scheme [ZB-3100-2]Local-user ZB-3100-2Password cipher adminService-type telnetlevel 3User-interface vty 0 4Authentication-mode scheme[YJ-3020-1]Telnet server enableLocal-user YJ-3020-1Password cipher adminService-type telnetAuthorization-attribute level 3 User-interface vty 0 4Authentication-mode scheme[YJ-3100-1]Local-user YJ-3100-1Password cipher adminService-type telnetlevel 3User-interface vty 0 4Authentication-mode scheme [BS-3011-1]Telnet server enableLocal-user BS-3011-1Password cipher adminService-type telnetAuthorization-attribute level 3User-interface vty 0 4Authentication-mode scheme[BS-3100-1]Local-user BS-3100-1Password cipher adminService-type telnetlevel 3User-interface vty 0 4Authentication-mode scheme9、攻击防范[ZB-3020-3]Acl number 3001Rule 0 deny tcp source-port eq 3127Rule 1 deny tcp source-port eq 1025Rule 2 deny tcp source-port eq 5554Rule 3 deny tcp source-port eq 9996Rule 4 deny tcp source-port eq 1068Rule 5 deny tcp source-port eq 135Rule 6 deny udp source-port eq 135Rule 7 deny tcp source-port eq 137Rule 8 deny udp source-port eq NetBIOS-nsRule 9 deny tcp source-port eq 138Rule 10 deny udp source-port eq NetBIOS-dgm Rule 11 deny tcp source-port eq 139Rule 12 deny udp source-port eq NetBIOS-ssnRule 13 deny tcp source-port eq 593Rule 14 deny udp source-port eq 4444Rule 15 deny tcp source-port eq 5800Rule 16 deny tcp source-port eq 5900Rule 18 deny tcp source-port eq 8998Rule 19 deny tcp source-port eq 445Rule 20 deny udp source-port eq 445Rule 21 deny udp source-port eq 1434Rule 30 deny tcp destination-port eq 3127Rule 31 deny tcp destination-port eq 1025Rule 32 deny tcp destination-port eq 5554Rule 33 deny tcp destination-port eq 9996Rule 34 deny tcp destination-port eq 1068Rule 35 deny tcp destination-port eq 135Rule 36 deny udp destination-port eq 135Rule 37 deny tcp destination-port eq 137Rule 38 deny udp destination-port eq NetBIOS-ns Rule 39 deny tcp destination-port eq 138Rule 40 deny udp destination-port eq NetBIOS-dgm Rule 41 deny tcp destination-port eq 139Rule 42 deny udp destination-port eq NetBIOS-ssn Rule 43 deny tcp destination-port eq 593Rule 44 deny tcp destination-port eq 4444Rule 45 deny tcp destination-port eq 5800Rule 46 deny tcp destination-port eq 5900Rule 48 deny tcp destination-port eq 8998Rule 49 deny tcp destination-port eq 445Rule 50 deny udp destination-port eq 445Rule 51 deny udp destination-port eq 1434Firewall enableInterface S6/0Firewall packet-filter 3001 inbound四、测试Nat/Nat Server[ZB-3020-3-Serial6/0]dis nat serverNAT server in private network information:There are currently 2 internal server(s)Interface: Serial6/0, Protocol: 6(tcp)Global: 117.10.100.10 : 80(www)Local : 192.168.5.1 : 80(www)Interface: Serial6/0, Protocol: 6(tcp)Global: 117.10.100.11 : 8080Local : 192.168.5.2 : 8080[ZB-3020-3-Serial6/0]dis nat sessionThere are currently 1 NAT session:Protocol GlobalAddr Port InsideAddr Port DestAddr PortICMP 117.10.100.10 12288 192.168.3.2 512 117.10.100.1 512VPN: 0, status: 8b00, TTL: 00:00:10, Left: 00:00:03 Telnet<ZB-3020-1>telnet 192.168.0.10Trying 192.168.0.10 ...Press CTRL+K to abortConnected to 192.168.0.10 ...****************************************************************************** * Copyright (c) 2004-2010 Hangzhou H3C Tech. Co., Ltd. All rights reserved. ** Without the owner's prior written consent, * * no decompiling or reverse-engineering shall be allowed. * ******************************************************************************Login authenticationUsername:ZB-3610-1Password:<ZB-3610-1>MP-groupdis link-aggregation summaryAggregation Interface Type:BAGG -- Bridge-Aggregation, RAGG -- Route-AggregationAggregation Mode: S -- Static, D -- DynamicLoadsharing Type: Shar -- Loadsharing, NonS -- Non-LoadsharingActor System ID: 0x8000, 0023-8953-37a0AGG AGG Partner ID Select Unselect Share Interface Mode Ports Ports Type------------------------------------------------------------------------------- BAGG1 D 0x8000, 0023-8953-3410 2 0 Shar Aggregationdis link-aggregation summaryAggregation Interface Type:BAGG -- Bridge-Aggregation, RAGG -- Route-AggregationAggregation Mode: S -- Static, D -- DynamicLoadsharing Type: Shar -- Loadsharing, NonS -- Non-LoadsharingActor System ID: 0x8000, 0023-8953-37a0AGG AGG Partner ID Select Unselect Share Interface Mode Ports Ports Type------------------------------------------------------------------------------- BAGG1 D 0x8000, 0023-8953-3410 2 0 SharFirewall[YJ-3020-1]dis firewall-statistics allFirewall is enable, default filtering method is 'permit'.Interface: Mp-group1Out-bound Policy: acl 3001Fragments matched normallyFrom 2014-06-05 15:17:55 to 2014-06-05 15:58:0928 packets, 2352 bytes, 10% permitted,4 packets, 336 bytes, 1% denied,262 packets, 17880 bytes, 89% permitted default,0 packets, 0 bytes, 0% denied default,Totally 290 packets, 20232 bytes, 99% permitted,Totally 4 packets, 336 bytes, 1% denied.Qos[ZB-3610-1]dis qos policy user-definedUser Defined QoS Policy Information:Policy: 1Classifier: 1Behavior: passFilter enable : permitClassifier: 2Behavior: discardFilter enable : deny[ZB-3610-1]dis qos policy interface Interface: Ethernet1/0/2Direction: InboundPolicy: 1Classifier: 1Operator: ANDRule(s) : If-match acl 3001Behavior: passFilter Enable: permitClassifier: 2Operator: ANDRule(s) : If-match acl 3999Behavior: discardFilter Enable: denyInterface: Ethernet1/0/5Direction: InboundPolicy: 1。