中小企业网络系统集成设计与实现课件.ppt

1、中小企业网络系统集成设计与实现第一章 网络系统集成概述 1.企业概况 2.网络系统集成的基本概念 3.网络系统集成的基本过程 企业网络系统集成设计企业网络系统集成设计企业网络总体设计：采用了核心层和接入层的两层网络体系结构，而且更具安全性和方便管理性。企业网络系统集成设计企业网络系统集成设计企业网络设计方案：企业的组网技术使用以太网技术，以太网发展比较成熟，性能稳定，性价比高，而企业需要一个安全稳定的内部网络进行日常的事务处理，之后采用二层模型星型结构，根据企业的组织架构划分好相应的vlan，最后为保证企业的正常运行。企业网络系统集成设计企业网络系统集成设计企业网络实施方案：第一：配置公司接入

2、交换机SW2，创建VLAN、划分接口所属VLAN；第二：配置公司核心交换机SW1，同样的创建VLAN，确保能相互通讯；第三：为两台交换机配置安全措施；第四：通过WEB形式，配置无线AP，创建DHCP地址池、设置SSID号以及采用WEP的加密方式。企业网络系统集成设计企业网络系统集成设计配置，完善各个部门的机器，并且完成调试。根据IP划分把IP地址配置给各个端口，然后配置端口划分到聚合端口，实现与接入层交换机实现聚合 企业网络系统集成设计企业网络系统集成设计企业网络测试：总经理能访问各个部门，而其他部门不能访问公司财务部，限制公司的财务部不能访问外网。第二章 用户需求调研与分析 1.项目背景 2

3、.企业网络系统建设目标 3.企业网络系统建设原则 项目背景项目背景：中小企业网络主要是企业内部网络建设，包括企业内部计算机节点的分布与整个网络的物理线路连接合理布局，以及门户网站、电子商务平台的搭建。中小企业的网络系统集成规划、设计和维护越来越需要标准化和规划。建设原则：先进性、标准性、兼容性、可升级和可扩展性、安全性、可靠性、易操作性、可管理性。需求分析企业现状：满足企业信息化得要求，为各类系统提供便捷的信息通路，能够可靠运行，具有较低的故障率和维护要求，提供网络安全机制，满足企业信息安全的要求，具有较高的性价比，方便以后企业发展，网络的建设全部需要设计和建造需求：通过这个新建的网络，提供一

4、个安全、可靠、可扩展、高效的网络环境。使公司内能够方便快捷的实现网络资源共享、全网接入Internet等目标。企业的组织架构 需求分析需求分析：网络系统、数据传输、发展需求、性能需求、用户需求、网络需求。（允许用户的访问和限制用户的访问权限。让公司某些部门能够访问外网。）拓扑结构公司网络采用了交换机用树型（星型的一种特殊结构）集连的拓扑结构，第一级为信息管理控制中心。建设目标先进性：不仅应该能承载普通的（文件，打印等）网络流量，并且应该支持多样QOS特性。强壮性：应该具有足够的灾难恢复措施，包括电源冗余，设备冗余，主机冗余，数据库冗余，线路冗余，拨号链路冗余。安全性：采取路由器，以及防火墙以及

5、设置DMZ区,防杀病毒、入侵检测、和漏洞扫描与修补系统、网络数据完整、网络安全保护保证内网的绝对安全。第三章企业网络的整体设计VLANNAT链路聚合PPP链路冗余网络设备采购清单网络系统集成方案设计 接入层：接入层：为所有的终端用户提供一个接入点。采用的是4台 CISCO SLM224G2 24 口交换机，分别通过 2 条上行链路连接到 2 台分布交换机。分布层：分布层：交换机起着承前启后的作用，用2 台CISCO SG92-24 交 换机为四台接入层交换机做冗余备份，采用链路聚合增加带宽，上连接核心层交换机。核心层：核心层：交换机的CISCO SG300-28 三层交换机。采用SVI 方式实

6、现 VLAN 之间的路由，采用STP防止冗余链路产生环路，我们以图 3-1 中的核心层交 换机 Cisco3560-24PS 为例进行介绍。服务器：服务器：采用DNZ区管理服务器，安装 Mail 服务，使公司内部信息得到 妥善管理。该服务器安装 DNS、Web、FTP、证书等服务。IP地址规划与VLAN划分Internet接入方案在本设计中，广域网Internet接入采用PPP进行封装(CHAP)，采取 NAT-Pat 地址转换使局域网类的私有地址能正常上外网(只配置30网段)，采用静态NAT使外网主机能访问内网的WEB服务，配置命令如下：（1 1）PPPPPP的的CHAPCHAP验证：验证：

7、RT：username ISP password ciscousername ISP password cisco interface Serial0/0 interface Serial0/0 encapsulation ppp encapsulation ppp ppp authentication chap ppp authentication chap ip route 0.0.0.0 0.0.0.0 111.111.111.1 ip route 0.0.0.0 0.0.0.0 111.111.111.1ISP：username RT password ciscousername RT

8、 password cisco interface Serial0/0 interface Serial0/0 encapsulation ppp encapsulation ppp ppp authentication chap ppp authentication chap （2 2）NAT-patNAT-pat配置配置(在在RTRT上上)：access-list 1 permit 192.168.30.0 0.0.0.255 access-list 1 permit 192.168.30.0 0.0.0.255 ip nat inside source list 1 interface

9、serial 0/0 Overload ip nat inside source list 1 interface serial 0/0 Overload interface serial 0/0 interface serial 0/0 ip nat outside ip nat outside interface GigabitEthernet1/0 interface GigabitEthernet1/0 ip nat inside ip nat inside （3 3）静态）静态NAT:NAT:ip nat inside source static tcp 172.16.8.1 80

10、111.111.111.2 80 ip nat inside source static tcp 172.16.8.1 80 111.111.111.2 80 interface serial 0/0 interface serial 0/0 ip nat outside ip nat outside interface GigabitEthernet2/0 interface GigabitEthernet2/0 ip nat inside ip nat inside各个子系统交换机典型配置接入层配置VTP（客户端：S1-S4,SW1-SW2）。划分VLAN端口和trunk链路配置（以S1为

11、例）：vtp domain ciscovtp mode clientvtp password ciscointerface range fastEthernet 0/1-10switchport mode accessswitchport access vlan 10interface range fastEthernet 0/11-20switchport mode accessswitchport access vlan 20interface FastEthernet0/24switchport mode trunkinterface FastEthernet0/21switchport

12、 mode trunk分布层主要是链路聚合和本征分布层主要是链路聚合和本征VLANVLAN的配置（以的配置（以SW1SW1为例）：为例）：interface Port-channel 1switchport trunk native vlan 99switchport mode trunkinterface range fastEthernet 0/21-22channel-group 1 mode onswitchport mode trunk核心层主要开启路由功能，核心层主要开启路由功能，OSPF，RSTP优先级优先级配置，链路聚合配置，链路聚合,VTP服务器端服务器端,VLAN网关，本网

13、关，本征征VLAN和端口和端口IP的配置：的配置：MS(5)开启路由功能:ip routing(5)OSPF配置：router ospf 1network 192.168.0.0 0.0.255.255 area 0network 172.16.1.0 0.0.0.3 area 0(5)链路聚合配置（以MS例）：interface Port-channel 1 switchport trunk native vlan 99 switchport trunk encapsulation dot1q switchport mode trunkinterface Port-channel 2 swi

14、tchport trunk native vlan 99 switchport trunk encapsulation dot1q switchport mode trunkinterface range fastEthernet 0/21-22channel-group 1 mode onswitchport mode trunkinterface range fastEthernet 0/23-24channel-group2 mode onswitchport mode trunk (6)接口IP配置：interface GigabitEthernet0/1no switchportip

15、 address 172.16.1.2 255.255.255.252no shutdown(7)VLAN网关配置：interface Vlan10ip address 192.168.10.254 255.255.255.0interface Vlan20ip address 192.168.20.254 255.255.255.0interface Vlan30ip address 192.168.30.254 255.255.255.0interface Vlan40ip address 192.168.40.254 255.255.255.0(8)RSTP配置:spanning-tre

16、e vlan 10 priority 4096spanning-tree vlan 20 priority 4096spanning-tree vlan 30 priority 4096spanning-tree vlan 40 priority 4096第四章网络综合布线系统设计 骨干光缆工程骨干光线主要用于企业从骨干光线主要用于企业从ISPISP到各子系统的链接，因为光纤传输距离远，到各子系统的链接，因为光纤传输距离远，却数据传输快，稳定。却数据传输快，稳定。楼宇内布线系统工作区子系统 是实现工作区终端设备与水平子系统之间的连接，由终端设备连接到信息插座的连接线缆所组成。水平子系统是实现信

17、息插座和管理子系统（跳线架）间的连接，将用户工作区引至管理子系统，并为用户提供一个符合国际标准，满足语音及高速数据传输要求的信息点出口。管理间子系统 本子系统由交连、互连配线架组成。管理点为连接其它子系统提供连接手段。垂直干线子系统是实现计算机设备、程控交换机（PBX）、控制中心与各管理子系统间的连接，是建筑物干线电缆的路由。该子系统通常是两个单元之间，特别是在位于中央点的公共系统设备处提供多个线路设施。设备室子系统本子系统主要是由设备间中的电缆、连接器和有关的支撑硬件组成，作用是将计算机、PBX、摄像头、监视器等弱电设备互连起来并连接到主配线架上。建筑群子系统建筑群子系统该子系统将一个建筑物

18、的电缆延伸到建该子系统将一个建筑物的电缆延伸到建筑群的另外一些建筑物中的通信设备和筑群的另外一些建筑物中的通信设备和装置上，是结构化布线系统的一部分，装置上，是结构化布线系统的一部分，支持提供楼群之间通信所需的硬件。支持提供楼群之间通信所需的硬件。综合布线产品的选型综合布线产品的选型 第五章 网络管理与应用系统设计Dell（戴尔）服务器windows server2003 四 服务器设备的选购l硬件品牌Dell（戴尔）型号戴尔PowerEdge R820 基本参数产品类别机架式产品结构2U 处理器 CPU类型Intel至强E5-4600CPU型号Xeon E5-4603CPU频率2.00GHz

19、标配CPU数量2颗最大CPU数量4颗三级缓存10MB总线规格QPI 6.4GT/s主板主板芯片组Intel C600 内存 内存类型DDR3内存容量32GB内存描述48GB RDIMM 1333MHz内存插槽数量48最大内存容量1.5TB 存储 硬盘接口类型SAS标配硬盘容量300GB最大硬盘容量16TB内部硬盘架数最大支持16块2.5英寸SATA/SAS/SSD硬盘热插拔盘位支持热插拔光驱DVD 四 服务器安装与配置 网络管理方案 网络采用windows域控制器来管理公司的用户和资源，采用隔离域内 FTP进行用户文件共享，用WEB来发布企业信息，采用DNS对web等服务进行域名解析，为了便于

20、信息的管理与安全传输公司安装Mail进行传输 四 服务器安装与配置l内部服务器规划DC（域控制器）服务器硬件：戴尔PowerEdge R820操作系统：Windows Server 2003配置：Active Directory作用：集中管理企业用户、增强安全性、提升用户效率、减轻IT管理的负担与成本。策略：用户策略、计算机策略、组策略实现软件分发。FTP服务器服务器硬件：戴尔PowerEdge R820操作系统：Windows Server 2003作用：提供资源共享、供企业内部员工上传资源和下载资源。策略：共享文件夹卷影副本、脱机文件夹缓存、文件夹重定向、磁盘配额。四 服务器安装与配置lD

21、MZ区服务器规划DNS服务器服务器硬件：戴尔PowerEdge R820操作系统：Red Hat Enterprise Linux Server 6.0安装配置：bind软件作用：对企业内部和企业外部提供域名、IP地址解析。MAIL服务器服务器硬件：戴尔PowerEdge R820操作系统：Red Hat Enterprise Linux Server 6.0安装配置：sendmail软件作用：对企业内部和企业外部用户提供邮件服务。四 服务器规划部署lDMZ区服务器规划WEB服务器服务器硬件：戴尔PowerEdge R820操作系统：Red Hat Enterprise Linux Serve

22、r 6.0安装配置：wordpress软件作用：供企业内部与外部用户访问。五 网络服务器安全规划设计l操作系统安全措施l系统服务包和安全补丁l限制操作系统用户权限禁止或删除不必要的账户设置增强的密码策略设置账户锁定策略加强管理员账户的安全性服务器用户账户尽可能少严格控制账户特权l加固文件系统的安全确保Windows系统使用NTFS文件系统操作系统设置文件系统权限保护文件和目录l删除或禁用不必要的组件和服务禁止或删除不必要的系统服务禁止或删除不必要的网络协议尽可能减少不必要的应用程序网络共享控制l日志和审核l重要文件系统加密五 网络服务器安全规划设计l病毒防护安装企业版杀毒软件员工PC安装个人版杀毒软件定期更新病毒库定期杀毒屏蔽非法网站lWEB服务器安全措施用户控制WEB限制文件系统限制及时修复CGI漏洞设置管理员强口令五 网络服务器安全规划设计l网络边界安全l屏蔽子网阻止试图对企业内部网络进行扫描阻止试图闯入内部网络的活动防止外部进行拒绝服务（Dos）攻击禁止一定范围内黑客利用Internet来探测企业内部网络的行为报文筛选、检查l使用网络DMZ区l网络地址转换（NAT）l访问控制