中小型企业网络工程实施方案设计.doc

《中小型企业网络工程实施方案设计.doc》由会员分享，可在线阅读，更多相关《中小型企业网络工程实施方案设计.doc（28页珍藏版）》请在taowenge.com淘文阁网|工程机械CAD图纸|机械工程制图|CAD装配图下载|SolidWorks_CaTia_CAD_UG_PROE_设计图分享下载上搜索。

1、【精品文档】如有侵权，请联系网站删除，仅供学习与交流中小型企业网络工程实施方案设计.精品文档.目 录第一章 总体设计- 1 -1.1 系统设计原则- 1 -1.2 网络拓扑架构- 2 -1.3 设计依据和规范- 2 -第二章 到货前准备- 3 -2.1项目人员的组织结构及分工- 3 -2.2工程时间安排、进度安排- 3 -第三章 到货，实施前准备- 4 -3.1现场检查与到货验收- 4 -3.2 IP地址及Vlan分配- 4 -3.2.1 总体IPVlan划分- 4 -3.2.2 服务器集群IPVlan100划分- 5 -3.3.3 Iptables防火墙Vlan200划分- 5 -第四章 实

2、施- 6 -4.1 相关的设备选型- 6 -4.2 局域网的相关调试- 7 -4.2.1核心H3C S7500交换机的VRRP调试- 7 -4.3 广域网的相关调试- 11 -4.3.1 IPTABLES防火墙的配置- 11 -4.4 Red Hat Linux 5系统上相关服务器的搭建- 12 -4.4.1 WEB服务器的安装配置- 12 -4.4.2 DNS服务器的安装配置：- 12 -4.4.3 Exchange服务器- 17 -4.4.4 FTP服务器的安装和配置- 28 -第五章 测试- 30 -5.1系统测试原理和方法- 30 -5.2硬件设备测试和验收- 30 -5.3系统集成测

3、试- 31 -5.3测试相关命令- 31 -第六章 项目工程管理- 34 -6.1工程的安全管理- 34 -6.2工程资料、文档管理- 34 -6.3项目的质量控制- 35 -第七章 现场培训- 35 -第八章 验收- 36 -8.1 系统初验- 36 -8.1.1中验（试运行验收）- 36 -8.1.2半年后的优化：由CCIE主持系统终验- 36 -第一章 总体设计1.1 系统设计原则1) 公司使用2台核心交换机(做冗余备份)，连接所有网络设备，并把所有服务器都连接到该核心交换机，放置到一个单独的VLAN中。2) 接入层交换机连接终端用户，并把管理层人员和普通的办公人员放入不同的VLAN中。

4、3) 公司的管理人员可以访问普通员工的PC，但普通员工不可以访问管理人员的PC.。4) 离该公司总部有2公里处，有一个分公司，主要是负责生产活动。和分公司连接采用路由器。而分公司内部使用一个交换机连接所有用户，所有用户都在一个VLAN中；（可采用光纤连接）。5) 所有的用户都使用DHCP获得IP地址。6) 总公司采用linux iptables防火墙+路由器上网。公司已经申请了100M城域网宽带上网（分两条线路，一条40M一条60M；要求：服务器占用40M，供外网用户访问，其他用户用60M出口访问internet）。7) 公司采用微软的域管理方法，对所有用户的帐号和权限通过AD来管理，并要提供

5、99的可靠。8) 公司内部要有自己的邮件服务器，并可以和Internet的邮件服务器实现互发邮件。为出差人员提供方便的邮件访问。9) 该公司有电子商务网站，提供客户在线定购产品，故要发布该WEB服务器，并提供高可靠性。10) 该公司的防病毒采用统一集中的网络管理模式。11) 严格限制上网时间。12) 出差用户要能方便的访问公司内部资料。1.2 网络拓扑架构1.3 设计依据和规范1) 主机和网络设备的选型符合下列国家和组织的技术标准和规范：2) GB：中华人民共和国国家标准3) ISO：国际标准组织4) ITU-T：国际电信联盟5) IEEE：国际电气与电子工程师协会6) EIA：电气工业协会7

6、) IEC：国际电工协会第二章 到货前准备2.1项目人员的组织结构及分工 项目经理：负责项目的总体协调工作 商务负责：负责以商务相关的工作 技术负责：负责项目的总体实施 工程技术人员CCNP、CCNA：CCNP为项目实施的技术把关，CCNA负责项目的具体实施和项目实施文档的制作 后勤负责：为所有项目实施人员提供后勤保障工作2.2工程时间安排、进度安排预计1月初设备全部到货，总预计4到5周时间完成项目具体实施如下:工程安排签订合同11.111.25-11.3012.112.1512.1612.171.201.30设备订购设备到货验收系统安装工程现场培训系统整体测试系统验收测试系统安装工程具体分解

7、以下的子任务： 中心和汇聚交换机的模拟环境联合调试 天 各边缘交换机的调试 天 广域网和Quidway S6509的调试 天 ACL和NAT的设置 天 网管软件的安装与调试 天第三章 到货，实施前准备3.1现场检查与到货验收 检查设备的型号及数量是否与设备订货清单一致 检查到货的设备是否完好 验收的结果应该提供一份由参与验收的人员和系统集成商签名的硬件清单，并注明好相关的日期 如果没有可见的设备损坏，那么在验货后，即开始设备的安装和调试，测试是否存一些不可见的硬件损坏。设备到货，进行设备的验收，要求必须记录设备的序列号，表格如下：设备名称型号序列号到货时间签收人员3.2 IP地址及Vlan分配

8、3.2.1 总体IPVlan划分VLAN号子网名称IP范围网关VLAN名称管理IP10办公楼1192.168.10.0 /24192.168.10.254Office1192.168.10.25220办公楼2192.168.20.0 /24192.168.20.254Office2192.168.20.25230分公司192.168.30.0 /24192.168.30.254Branch office192.168.30.25240普通员工192.168.40.0 /24192.168.40.254Laborial staff192.168.40.25250管理层人员192.168.50.0

9、 /24192.168.50.254Manager192.168.50.2523.2.2 服务器集群IPVlan100划分服务器名称WEB服务器FTP服务器DNS服务器ExchangeDHCP服务器IP地址192.168.1.100192.168.1.100192.168.1.100192.168.2.100192.168.2.200网关192.168.1.254192.168.1.254192.168.1.254192.168.2.254192.168.2.2543.3.3 Iptables防火墙Vlan200划分NameIP地址网关所属机构内网192.168.1.200192.168.1.

10、200某公司外网40M218.85.157.100218.85.157.254ISP外网60M218.85.158.100218.85.158.254ISP第四章 实施4.1 相关的设备选型H3C S7500 系列以太网交换机H3C S7500系列交换机作为H3C公司自适应安全网络的核心产品之一，可广泛的适用于IP城域网、大型企业园区网、中小型企业办公网络的核心层和汇聚层，同时其也可以作为以太无源光网络（EPON）的光线路终端（OLT）设备，为用户提供多种业务接入、交换、路由一体化的安全融合网络解决方案。H3C S7500系列交换机支持高达768G交换容量的高速引擎，包括以下4款产品：u S7

11、502：2个业务插槽，主控板与业务板合一；n S7503：3个业务插槽，1个主控插槽；n S7506：6个业务插槽，1个主控插槽；u S7506R：6个业务插槽，2个主控插槽；H3C S5600 系列以太网交换机H3C S5600系列全千兆智能弹性交换机是H3C公司为设计和构建高弹性和高智能网络需求而推出的新一代以太网交换机产品。系统采用H3C公司创新的IRF（Intelligent Resilient Framework，智能弹性架构)技术，支持高达96G的堆叠带宽和高密度千兆端口，支持万兆上行。特别适合作为需要高带宽、高性能和高扩展性的中小企业网核心、大型企业网络和园区网的汇聚层以及数据中

12、心的服务器接入设备。产品系列齐全，每款都支持1端口、2端口万兆接口或8端口SFP千兆光口，最大的堆叠带宽达到96Gl 支持创新的IRF（Intelligent Resilient Framework）智能弹性架构技术，能够实现用户网络的高度弹性智能扩展l 可通过双绞线向远端下挂PD设备（如IP Phone、WLAN AP、Security、Bluetooth AP等）提供电源，实现PoE功能l 支持EAD（端点准入防御）功能，配合后台系统可以将终端防病毒、补丁修复等终端安全措施与网络接入控制、访问权限控制等网络安全措施整合为一个联动的安全体系l 更加多样化的管理和丰富的特性4.2 局域网的相关

13、调试4.2.1核心H3C S7500交换机的VRRP调试SW1sysSW1vlan 10SW1-vlan10vlan 20SW1-vlan20valn 50SW1-vlan50vlan 60SW1-vlan60int vlan 50SW1-Vlan-interface50ip add 192.168.50.1 24SW1-Vlan-interface50int vlan 60SW1-Vlan-interface60ip add 192.168.60.1 24SW1-Vlan-interface60quitSW1ip route-static 0.0.0.0 0.0.0.0 192.168.50

14、.252SW1ip route-static 0.0.0.0 0.0.0.0 192.168.60.253SW1int e0/4/3SW1-Ethernet0/4/3port link-type access SW1-Ethernet0/4/3port access vlan 50SW1-Ethernet0/4/3int e0/4/2SW1-Ethernet0/4/2port link-type access SW1-Ethernet0/4/2port access vlan 60SW1-Ethernet0/4/2quitSW1SW2sysSW2vlan 10SW2-vlan10vlan 20

15、SW2-vlan20vlan 50SW2-vlan50vlan 60SW2-vlan60int e0/4/3SW2-Ethernet0/4/3port link-type trunk SW2-Ethernet0/4/3port trunk permit vlan allSW2-Ethernet0/4/3int vlan 10SW2-Vlan-interface10ip add 192.168.10.252 24SW2-Vlan-interface10int vlan 20SW2-Vlan-interface20ip add 192.168.20.252 24SW2-Vlan-interface

16、20int vlan 50SW2-Vlan-interface50ip add 192.168.50.252 24SW2-Vlan-interface50quitSW2int vlan 10SW2-Vlan-interface10vrrp vrid 10 virtual-ip 192.168.10.254SW2-Vlan-interface10vrrp vrid 10 priority 120SW2-Vlan-interface10vrrp vrid 10 preempt-mode SW2-Vlan-interface10vrrp vrid 10 track interface Vlan-in

17、terface 50 reduced 50SW2-Vlan-interface10int vlan 20SW2-Vlan-interface20vrrp vrid 20 virtual-ip 192.168.20.254SW2-Vlan-interface20vrrp vrid 20 preempt-mode SW2-Vlan-interface20int e0/4/2SW2-Ethernet0/4/2port link-type access SW2-Ethernet0/4/2port access vlan 50 SW2-Ethernet0/4/2quitSW2ip route-stati

18、c 0.0.0.0 0.0.0.0 192.168.50.1SW3sysSW3int e0/4/4SW3vlan 10SW3-vlan10vlan 20SW3-vlan20vlan 50SW3-vlan50vlan 60SW3-vlan60int e0/4/3SW3-Ethernet0/4/3port link-type trunk SW3-Ethernet0/4/3port trunk permit vlan allSW3-Ethernet0/4/3int vlan 10SW3-Vlan-interface10ip add 192.168.10.253 24SW3-Vlan-interfac

19、e10int vlan 20SW3-Vlan-interface20ip add 192.168.20.253 24SW3-Vlan-interface20int vlan 60SW3-Vlan-interface60ip add 192.168.60.253 24SW3-Vlan-interface60int vlan 10SW3-Vlan-interface10vrrp vrid 10 virtual-ip 192.168.10.254SW3-Vlan-interface10vrrp vrid 10 preempt-mode SW3-Vlan-interface10int vlan 20S

20、W3-Vlan-interface20vrrp vrid 20 virtual-ip 192.168.20.254SW3-Vlan-interface20vrrp vrid 20 priority 120SW3-Vlan-interface20vrrp vrid 20 preempt-mode SW3-Vlan-interface20vrrp vrid 20 track interface Vlan-interface 60 reduced 50SW3-Vlan-interface20int e0/4/2SW3-Ethernet0/4/2port link-type access SW3-Et

21、hernet0/4/2port access vlan 60SW3-Ethernet0/4/2quitSW3ip route-static 0.0.0.0 0.0.0.0 192.168.60.14.3 广域网的相关调试4.3.1 IPTABLES防火墙的配置rootlocalhost # echo 1 /proc/sys/net/ipv4/ip_forwardrootlocalhost # iptables -t nat POSTROUTING -s 192.168.1.0/24 -o eth1 -j SNAT -to 218.85.157.100 rootlocalhost # iptab

22、les -t nat -A PREROUTING -p tcp -dport 80 -d 218.85.157.100 -j DNAT -to-destination 192.168.1.100rootlocalhost # iptables -p INPUT DROProotlocalhost # iptables -p OUTPUT ACCEPTrootlocalhost #iptables -p FORWARD DROProotlocalhost # iptables -A INPUT -p tcp -dport 22 -j ACCEPTrootlocalhost # iptables

23、-A OUTPUT -p tcp -sport 22 -j ACCEPTrootlocalhost # iptables -A OUTPUT -p tcp -sport 80 -j ACCEPTrootlocalhost # iptables -A INPUT -p tcp -dport 80 -j ACCEPTrootlocalhost # iptables -A INPUT -p tcp -dport 110 -j ACCEPTrootlocalhost # iptables -A INPUT -p tcp -dport 25 -j ACCEPTroottp # iptables -A I

24、NPUT -p tcp -dport 21 -j ACCEPTrootlocalhost # iptables -A INPUT -p tcp -dport 20 -j ACCEPTrootlocalhost # iptables -A INPUT -p tcp -dport 53 -j ACCEPTrootlocalhost # /etc/init.d/iptables saverootlocalhost # /etc/init.d/iptables restart4.4 Red Hat Linux 5系统上相关服务器的搭建 4.4.1 WEB服务器的安装配置 WEB服务器的ip地址：192

25、.168.1.100 域名： rootlocalhost # cd /home/wg2010rootlocalhost wg2010# tar -zxvf httpd-2.0.59.tar.gz C /tmprootlocalhost wg2010# cd /tmprootlocalhost tmp# cd httpd-2.0.59/rootlocalhosthttpd-2.0.59#./configure-prefix=/usr/loacl/apache-sysconfdir=/usr/loacl/apache/confrootlocalhosthttpd-2.0.59makerootloc

26、alhosthttpd-2.0.59make inatall4.4.2 DNS服务器的安装配置：DNS服务器ip地址:192.168.1.100rootlocalhost #mount /dev/cdrom /mnt/cdromrootlocalhost # cd /mnt/cdrommrootlocalhost cdrom# cd Server/rootlocalhost Server# ls |grep bindrootlocalhost Server# rpm -ivh bind-9.3.3-10.el5.i386.rpm rootlocalhost Server# rpm -ivh b

27、ind-utils-9.3.3-10.el5.i386.rpm rootlocalhost Server# ls |grep cachrootlocalhost Server#rpm -ivh caching-nameserver-9.3.3-10.el5.i386.rpm rootlocalhost Server# cd /home/wg0803/dnsrootlocalhost wg0803# lsmrootlocalhost dns# cp .zone /var/namedrootlocalhost dns# cp .zone /var/namedrootlocalhost dns# c

28、p named.ca /var/namedcp：是否覆盖“/var/named/named.ca”? nrootlocalhost dns# cp named.conf /etcrootlocalhost dns# cd /var/namedrootlocalhost etc# vi named.conf/ generated by named-bootconf.ploptions directory /var/named; * If there is a firewall between you and nameservers you want * to talk to, you might

29、 need to uncomment the query-source * directive below. Previous versions of BIND always asked * questions using port 53, but BIND 8.1 uses an unprivileged * port by default./ query-source address * port 53;/ a caching only nameserver configcontrols inet 127.0.0.1 allow localhost; keys rndckey; ;zone

30、 . IN type hint;file named.ca;zone localhost IN type master;file localhost.zone;allow-update none; ;zone 0.0.127.in-addr.arpa IN type master;file named.local;allow-update none; ;zone IN type master;file .zone;zone IN type master;file .zone;zone 1.168.192.in-addr.arpa IN type master;file 1.168.192.in

31、-addr.arpa;include /etc/rndc.key;mrootlocalhost named# vi .zone $TTL86400$ORIGIN .1D IN SOA. (42; serial (d. adams)3H; refresh15M; retry1W; expiry1D ); minimum 1D IN NS . IN MX 10 .www 1D IN A 192.168.1.1100mail 1D IN A 192.168.1.1100ftp IN CNAME wwwrootlocalhost named# vi .zone $TTL86400$ORIGIN .1D

32、 IN SOA. (42; serial (d. adams)3H; refresh15M; retry1W; expiry1D ); minimum 1D IN NS . IN MX 10 .www 1D IN A 192.168.1.1100mail 1D IN A 192.168.1.1100ftp IN CNAME wwwrootlocalhost # service named start4.4.3 Exchange服务器 安装过程1. 下图为Exchange Service 2003的安装开始界面，选择“Exchange 部署工具”2.在下图中，选择“部署第一台Exchange 2

33、003 服务器”3.选择“安装全新的Exchange 2003”4.下图为安装Exchange 2003的八大步骤，需要逐一的满足才能安装成功5.服务器的操作系统为Windows service 2003，因此步骤1完成，下图为相关组件和服务的启用“控制面板”“添加/删除Windows组件”，依次启用相关的组件，应用，确定在安装组件的过程中，会出现如下的提示，要求插入安装光盘，根据提示选择相关文件即可开始安装组件，直到完成6.安装“dcdiag”和“netdiag”工具打开系统安装光盘中的内容，打开“SUPPORT”“Tools”双击“SUPTOOLS.MSI”进行安装跳出如下安装界面后一直“

34、Next”，直到安装完成7.ForestPrep安装点击“立即运行ForestPrep”，会出现如下的安全提示框，点击“继续”下图为Forest Prep安装的开始界面下一步下一步开始安装ForestPrep，这个过程比较漫长，耐心等待安装完成8.DomainPrep的安装下图为DomainPrep安装的开始界面下一步当出现如下提示框时，点击“确定”开始安装，直到安装完成8.Exchange程序安装 下一步选择“新建Exchange组织”“下一步”输入组织名“kingtcn”“下一步”输入简单管理组织名“kingtcn”“下一步”“下一步”开始安装二。Exchange的设置1.打开AD用户和计

35、算机2.在e/Users中新建用户“test1”和“test2”3.新建用户完成之后，打开IE浏览器，在地址栏中输入http:/10.10.10.1/exchange，出现如下图所示的登入框，输入刚刚创建的用户名和密码4.下图为Exchange 2003 的OWA界面5.新建一封电子邮件，发送到：test26.用另一个新建的用户登录7.在下图中，我们已经可以看到，test2中，有一封从test1中发送过来的邮件，这样，我们的Exchange 2003 就安装成功了。4.4.4 FTP服务器的安装和配置ifconfig eth0 192.168.1.100 netmask 255.255.255

36、.0rootlocalhost # service sshd start启动 sshd：确定rootlocalhost # mount /dev/cdrom /mnt/cdrommount: block device /dev/cdrom is write-protected, mounting read-onlyrootlocalhost # cd /mnt/cdrommrootlocalhost cdrom# cd Server/rootlocalhost Server# rpm -ivh vsftpd-2.0.5-10.el5.i386.rpm warning: vsftpd-2.0.5

37、-10.el5.i386.rpm: Header V3 DSA signature: NOKEY, key ID 37017186Preparing. # 100%# 100%package vsftpd-2.0.5-10.el5 is already installedrootlocalhost Server# service vsftpd start为 vsftpd 启动 vsftpd：确定rootlocalhost Server# useradd king rootlocalhost Server# passwd kingChanging password for user king.N

38、ew UNIX password: BAD PASSWORD: it is too simplistic/systematicRetype new UNIX password: passwd: all authentication tokens updated successfully.rootlocalhost Server# ftp 192.168.1.100Connected to 192.168.1.100.220 (vsFTPd 2.0.5)530 Please login with USER and PASS.530 Please login with USER and PASS.

39、KERBEROS_V4 rejected as an authentication typeName (192.168.1.100:root): king331 Please specify the password.Password:230 Login successful.Remote system type is UNIX.Using binary mode to transfer files.ftp第五章 测试5.1系统测试原理和方法从实施阶段可分成：l 单个系统或相对独立部件的测试，例如单个路由器的自检等等；l 子系统的测试，例如中心网络的测试等等；l 整个网络系统的测试。测试的目标

40、是为了保证用户能够科学而公正地验收供应商提供的设备和软件，系统集成商提供的整套系统，也是为了保证供应商和系统集成商能够准确无误地提供合同所要求的设备和系统。所以，测试的目的对用户而言是为了验收。测试应该由供应商和系统集成商、用户及用户聘请的技术顾问共同参与。5.2硬件设备测试和验收l 部件级测试部件级测试指对设备中各个部件的功能、可靠性、耐用性和可维性的测试，升档能力的衡量等。该类测试一般已在原厂的生产过程中完成，用户只需在使用过程中加以观测即可。l 设备级测试设备级测试主要包括对设备的处理能力、可靠性、可扩充性、开放性等方面进行测试。设备级测试需用有关的测试工具、仪器或软件来进行，也可在实际

41、应用中对其某些性能加以测试。l 系统级测试系统级测试主要包括网络的连通性测试，系统的可靠性测试，系统的响应时间，系统的抗干扰测试，系统的安全保密性测试等。这一类测试可借助于某些网络测试工具或网络管理和测试软件来完成。5.3系统集成测试l 功能性测试：测试系统应提供的每一个功能和安全性限制，检查系统是否已正常实现所有功能。l 连通性测试：测试网络上任意站点间是否能够相互传输数据，测试各个终端能否登录中心服务器，并访问数据库，对数据库进行正常的操作；l 稳定性测试：在不间断运行的一段时间内，系统有无异常现象发生，如有异常，是由系统自动处理还是系统管理员人工干预处理，不间断的测试时间以一周(7天)为

42、限；l 重载测试：在系统处于重载工作状况时，通过计算机系统的监控软件，以及网络系统的管理软件监测计算机系统和网络系统的性能指标；5.3测试相关命令5.3.1通用测试、诊断命令ping x.x.x.x标准ping- -用于测试设备间的物理连通性。扩展ping- -用于测试设备间的物理连通性（扩展ping命令还支持灵活定义ping参数，如ping数据包的大小，发送包的个数，等待响应数据包的超时时间等）。traceroute x.x.x.x - -用于跟踪、显示路由信息。display current-configuration -用于显示路由器、交换机运行配置文件的内容。display sessions-用于显示从当前设备发出的所有呼出Telnet会话。disconnect-用于断开与远程目标主机的Telnet会话。clear line-用于断开远程主