网络工程售后技术初稿

技术支持Page2/21网络拓扑Page3/21实施方案设计项目概述网络建设目标项目设计要求及原则网络拓朴结构IP地址及接口规划VTP、Etherchannel设计MST、HSRP设计路由设计QOS设计NAT设计VPN设计设备管理可扩展性分析项目管理Page4/21项目概述参照售前工程师建设目标实用的基础追求先进性安全的基础追求开放性建设一个！！！！！！！！的大型网络Page5/21项目设计要求及原则实用性和集成性标准性和开放性先进性和安全性成熟性和高可靠性可维护性和可管理性可扩充性和兼容性按照国家相关工程标准进行实施系统软硬件均以适用为第一宗旨，在系统充分适应企业的需求的基础上再考虑其他性能不同厂家的产品在同一网络中共存不能一味地追求实用而忽略先进，只有将当今最先进的技术和我们的实际应用要求紧密结合，才能获得最大的系统性能和效益网络结构体系应能经过较长时间的考验，并能适应未来的发展需要设计和实施时必须充分考虑网络设备应使用方便并便于维护，管理员能方便进行网络管理、维护、修复,在系统万一发生故障时能提供有效并及时的方案进行恢复，尽量减少损失整个网络应具备可扩展性包括网络结构、系统、软硬件、产品支持等方面采用的产品要遵循通用的工业标准，以便兼容其它设备并满足网络扩充要求Page6/21工程实施模拟网络拓扑Page7/21IP地址规划部门地址空间所属北京天时10.10.22.0/2410.10.33.0/2410.10.55.0/2410.10.88.0/2410.10.101.0/2410.20.0.0/2410.30.0.0/2410.40.0.0/24北京本部VLAN22VLAN33VLAN55VLAN88VLAN101昌平分部通州分部房山分部上海迪利10.100.0.0/24上海分公司青岛仁和10.200.0.0/24青岛分公司Page8/21接口规划设备名称接口用途接口类型ASA2Ethernet0/0Ethernet0/1Ethernet0/2Ethernet0/3Ethernet0/4对外接口连接DMZ业务连接DMZ财务连接Inside区域连接Inside区域OutsideYWCWInside0/3Inside0/4SW1、SW2Fastethernet0/0Fastethernet0/1Fastethernet0/2~3Fastethernet0/14~15连接ASAinside2连接R1连接汇聚层链路捆绑Access接口Access接口Access接口Trunk接口SW3Fastethernet0/1~2Fastethernet0/0、0/3Fastethernet0/15连接ASAE及用户连接ASAE及用户连接SW4Access接口，Vlan88Access接口，Vlan55Trunk接口SW4Fastethernet0/0Fastethernet0/15连接SW3连接财务PCTrunk接口Access接口，Vlan88SW5Fastethernet0/1~2Fastethernet0/3连接核心层连接用户PCTrunk接口Access接口，Vlan101SW6Fastethernet0/1~2Fastethernet0/3Fastethernet0/4连接核心层连接用户PC连接用户PCTrunk接口Access接口，Vlan33Access接口，Vlan22Page9/21设备互联地址设备名称接口及地址对端设备接口及地址ASA2E0/0219.44.5.22/30E0/110.10.55.254/24E0/210.10.55.254/24E0/310.10.254.6/30E0/310.10.254.2/30ISPSW3SW3SW2SW1F1/0219.44.5.21/30F0/0交换接口F0/1交换接口F0/010.10.254.5/30F0/010.10.254.1/30SW1F0/110.254.2.1/30R1F0/010.254.2.2/30SW2F0/110.254.2.9/30R1F0/010.254.2.10/30R1S2/010.20.254.1/30R2S1/010.20.254.2/30Page10/21VTP、Etherchannel设计VTP规划SW1、SW2为服务器模拟，其他为客户端模式Etherchannel规划将SW1和SW2之间连接的两条链路捆绑为以太网通道SW1、SW2--------------vlandavlan22vlan33vlan101vtpservtpdomainbenetvtppass123vtpv2vtppruningexitSW5、SW6-------------vlandavtpclientvtpdomainbenetvtppass123vtpv2vtppruningexitSW1、SW2--------------intrangef0/14-15channel-g1modeonPage11/21MST、HSRP设计MST规划规划MST实现STP的负载均衡HSRP规划加强网络冗余SW1、SW2、SW5、SW6------spanning-treemodemstspanmstconfigurationnamethisnamerevision10instance1vlan1,101instance2vlan22,33SW1--------------spanmst1rootprimaryspanmst2rootsecondarySW2--------------spanmst2rootprimaryspanmst1rootsecondarySW1--------------------------intvlan101stan101ip10.10.101.254stan101preemptstan101priority150stan101trackf0/0100intvlan22stan22ip219.44.6.30stan22prestan22pri100intvlan33stan33ip10.10.33.254stan33prestan33pri100SW2------------------------conftintvlan101stan101ip10.10.101.254stan101preemptstan101priority100intvlan22stan22ip219.44.6.30stan22prestan22pri150stan22trackf0/0100intvlan33stan33ip10.10.33.254stan33prestan33pri150stan22trackf0/0100Page12/21路由设计1总公司使用OSPF路由协议Area0为核心交换机和肉网路由器之间OSPF区域Area100为北京总公司内网OSPF区域Area1为北京各分销点OSPF区域Area1Area100Area00.0.0.010.10.0.010.20.0.0总公司北京各分销点核心交换机内网网关路由器分销点网关路由器TotallyStubTotallyStub12SW1--------------------------iproute0.0.0.00.0.0.010.10.254.2routerospf1router-id10.10.1.1net10.10.0.00.0.255.255a100net10.254.2.10.0.0.0a0area100stubno-sudefault-inorSW2--------------------------iproute0.0.0.00.0.0.010.10.254.6routerospf1router-id10.10.2.2net10.10.0.00.0.255.255a100net10.254.2.90.0.0.0a0area100stubno-sudefault-inorR1----------------------------routerospf1router-id1.1.1.1net10.20.254.00.0.0.3a1net10.254.2.00.0.0.3a0net10.254.2.80.0.0.3a0area1stubno-sumR2----------------------------routerospf1router-id2.2.2.2net10.20.0.00.0.255.255a1area1stubPage13/21路由设计2北京公司ASA防火墙规划静态路由以便能控制流量均衡ASA2-------------------------------------routeinside0/410.0.0.0255.0.0.010.10.254.1routeinside0/310.0.0.0255.0.0.010.10.254.550routeinside0/310.10.22.0255.255.255.010.10.254.5routeinside0/310.10.33.0255.255.255.010.10.254.5分析：防火墙DMZ区域规划网关都在防火墙上对于Inside区域，总公司规划都是10.0.0.0网段所以，防火墙静态路由不必明细指向Page14/21QOS设计使用QoS技术保证财务和视频会议流量财务数据流量：占用带宽较小，预留0.2Mb/s带宽视频会议流量：分销点到总公司两台路由器的两路上都需要预留2Mb/s带宽R1、R2-------------------------------------acc101permitiphost10.10.88.1host10.20.10.1acc102permitiphost10.10.33.1host10.20.11.1class-mapclass1matchaccess-g101class-mapclass2matchaccess-g102policy-mappolicy1classclass1bandwidth200classclass2bandwidth2000classclass-defaultfair-queueintS2/0service-policyoutputpolicy1财务数据地址北京总公司10.10.88.1北京分销点10.20.10.1视频会议地址北京总公司10.10.33.1北京分销点10.20.11.1Page15/21NAT设计向isp申请了公网地址219.44.5.22（也用于对外接口）并申请了219.88.88.88/32给vlan22下的web服务器为实现公司内网访问Internet并发布WEB服务器ASA2-------------------------------------nat(inside0/3)100nat(inside0/4)100global(outside)1intstatic(inside0/3,outside)219.88.88.8810.10.22.1access-listnat0permitipany10.10.88.0255.255.255.0access-listnat0permitipany10.10.55.0255.255.255.0nat(inside0/3)0access-listnat0nat(inside0/4)0access-listnat0access-liststatic101pertcpanyho219.44.44.44eq注意：经过防火墙的流量1、访问DMZ区的流量需NAT豁免2、允许外网访问高级别的WEB服务器Page16/21不需要进行NAT转换的流量IPSecVPN流量集团总公司防火墙DMZ区集团总公司防火墙Inside区集团Web等服务器NONAT业务及办公服务器SSLVPN用户NONATIPSec