網(wǎng)絡(luò)構(gòu)建技術(shù)課件 項目7 構(gòu)建集團園區(qū)網(wǎng)絡(luò)

項目七構(gòu)建集團園區(qū)網(wǎng)

通過本項目的學習，希望能夠：綜合運用所學的知識，解決計算機網(wǎng)絡(luò)工程設(shè)計、實施、管理方面的實際問題。掌握中小型園區(qū)網(wǎng)設(shè)計的內(nèi)容、思路、方法和步驟，綜合運用所學知識解決實際問題的技術(shù)和能力，獲得實踐工程設(shè)計的實際鍛煉。通過根據(jù)具體某個企事業(yè)單位網(wǎng)絡(luò)工程給出工程背景分析、需求分析、規(guī)劃設(shè)計、布線結(jié)構(gòu)設(shè)計、詳細設(shè)計方案（包括服務(wù)器配置、網(wǎng)絡(luò)設(shè)備配置、網(wǎng)絡(luò)安全的設(shè)計等）、投資預算以及工程評估等內(nèi)容。通過認真地編寫設(shè)計說明書，掌握查閱資料和編寫技術(shù)文件的方法。下周提交期末大作業(yè)。學習目標分析客戶需求、收集資料、規(guī)劃、設(shè)計中小型園區(qū)規(guī)模的網(wǎng)絡(luò)。應用網(wǎng)絡(luò)拓撲圖繪制軟件進行拓撲設(shè)計和IP劃分。對網(wǎng)絡(luò)進行總體估價、設(shè)備選購等工作。進行網(wǎng)絡(luò)布線的設(shè)計、實施與測試驗收工作。對網(wǎng)絡(luò)設(shè)備（包括集線器、二層交換機、三層交換機、路由器、無線路由器、防火墻等設(shè)備）進行連接和配置。各種服務(wù)器（如DNS服務(wù)器、WEB服務(wù)器、FTP服務(wù)器、SNMP服務(wù)器、代理服務(wù)器等服務(wù)器）進行安裝、配置和維護工作。選擇internet接入方式，并且進行地址轉(zhuǎn)換的應用和配置。能夠利用各種技術(shù)對網(wǎng)絡(luò)進行基本的安全控制，提高網(wǎng)絡(luò)系統(tǒng)的安全性。能夠利用端口聚合、VLAN等技術(shù)對局域網(wǎng)進行優(yōu)化工作。根據(jù)實際需要進行無盤網(wǎng)的組建、無線網(wǎng)、VPN服務(wù)組建和維護等工作項目完成要求一、項目實施流程7.1項目準備

人員分工也是按照網(wǎng)絡(luò)工程項目的實際分工進行分配的，如下表所示：二、角色任務(wù)分配序號崗位工作內(nèi)容人數(shù)1項目經(jīng)理負責整個項目的實施質(zhì)量與實施進度，部署人員分工，掌握施工進度。并組織撰寫項目報告。12網(wǎng)絡(luò)架構(gòu)工程師依據(jù)企業(yè)的業(yè)務(wù)，設(shè)計網(wǎng)絡(luò)基礎(chǔ)設(shè)施構(gòu)架，保障企業(yè)網(wǎng)絡(luò)高效、可靠、可擴展的解決方案。13售前技術(shù)工程師依據(jù)網(wǎng)絡(luò)架構(gòu)工程師和系統(tǒng)架構(gòu)工程師提供的解決方案，撰寫網(wǎng)絡(luò)技術(shù)方案并提供具體的構(gòu)建網(wǎng)絡(luò)的成本預算。14網(wǎng)絡(luò)工程師根據(jù)網(wǎng)絡(luò)設(shè)計方案，對項目中的基礎(chǔ)設(shè)備（路由器、交換機）等進行配置。25服務(wù)器工程師根據(jù)網(wǎng)絡(luò)設(shè)計方案，對項目中的所有的應用服務(wù)器進行配置。16無線網(wǎng)絡(luò)工程師設(shè)計與實施無線網(wǎng)絡(luò)，完成無線網(wǎng)絡(luò)實施報告1項目實訓的施工進度與網(wǎng)絡(luò)工程項目的施工進度相同，工期為5天，具體實訓實施進度如下甘特表。如下甘特圖所示：

三、

項目實施進度XXX科技有限公司，是海淀科技園區(qū)重點企業(yè)之一，是一個集科研、生產(chǎn)、維修于一體的中型科技企業(yè)。通過建設(shè)一個高速、安全、可靠、可擴充的網(wǎng)絡(luò)系統(tǒng)，實現(xiàn)企業(yè)內(nèi)信息的高度共享、傳遞，交流及管理信息化，企業(yè)領(lǐng)導能及時、全面、準確地把握全集團的科研、管理、財務(wù)、人事等各方面情冴，建立出口信道，實現(xiàn)與Internet互聯(lián)。系統(tǒng)總體設(shè)計將本著總體規(guī)劃、分布實施的原則，充分體現(xiàn)系統(tǒng)的技術(shù)先進性、高度的安全可靠性，同時具有良好的開放性、可擴展性。本著為企業(yè)著想，合理使用建設(shè)資金，使系統(tǒng)經(jīng)濟可行。根據(jù)XXX科技有限公司網(wǎng)絡(luò)的建設(shè)要求，整個網(wǎng)絡(luò)采用星型結(jié)構(gòu)的層次化設(shè)計，由兩個層次組成：核心層和接入層。網(wǎng)絡(luò)采用雙核心模式，配置二臺RG-S7600系列交換機作為企業(yè)的核心層交換機。接入層部分交換機配置RG-S2328系列，為了便于網(wǎng)絡(luò)控制，使用無線交換機進行無線用戶接入控制，無線交換機采用MX-2，無線接入點采用MP422。下面圖7-2是XXX科技有限公司企業(yè)整網(wǎng)的拓撲圖。一、需求分析7.2、方案設(shè)計階段項目拓撲（一）企業(yè)網(wǎng)骨干設(shè)計企業(yè)網(wǎng)絡(luò)是按照標準的企業(yè)網(wǎng)功能模塊進行劃分的，分為企業(yè)園區(qū)、企業(yè)邊緣、服務(wù)提供商邊緣三層結(jié)構(gòu)。企業(yè)園分為接入、骨干、服務(wù)器群，在此網(wǎng)絡(luò)結(jié)構(gòu)中，將核心層與匯聚層合幵為骨干。在企業(yè)骨干區(qū)域使用的是單核心，通過使用鏈路聚合增加核心交換機之間鏈路帶寬和冗余特性，實現(xiàn)高可用性。（二）企業(yè)網(wǎng)接入設(shè)計在企業(yè)園區(qū)接入?yún)^(qū)域，上行到核心層交換機時，采用的鏈路聚合技術(shù)，增加其網(wǎng)絡(luò)帶寬，接入層交換雙鏈路上行到核心層交換機，增加了物理鏈路的冗余，增強高可用性。（三）企業(yè)邊緣設(shè)計企業(yè)網(wǎng)由一條鏈路接入，主要申請的網(wǎng)通的互聯(lián)網(wǎng)鏈路，用于為內(nèi)網(wǎng)提供訪問互聯(lián)網(wǎng)服務(wù)。也需要將內(nèi)網(wǎng)的服務(wù)發(fā)布到互聯(lián)網(wǎng)上，實現(xiàn)公司資源共享。（四）服務(wù)器群設(shè)計為了保障網(wǎng)絡(luò)用戶的安全和統(tǒng)一管理網(wǎng)絡(luò)中的用戶，在服務(wù)器群中架設(shè)域服務(wù)器，為內(nèi)網(wǎng)用戶提供身份驗證服務(wù)。二、網(wǎng)絡(luò)系統(tǒng)設(shè)計1、設(shè)備選型2、園區(qū)骨干設(shè)計（1）為了保障二層鏈路的冗余，在骨干區(qū)域中核心交換機上使用鏈路聚合技術(shù)，實現(xiàn)鏈路的冗余和負載均衡。（2）在下行不接入層交換相連的時候，使用鏈路聚合技術(shù)，不但實現(xiàn)鏈路帶寬的增大，防止擁塞，而且還可以實現(xiàn)負載均衡。（3）在路由功能方面，為了節(jié)省三層交換機的資源，在核心交換機上使用靜態(tài)路由。（4）骨干區(qū)域安全方面，為了路由協(xié)議的安全性，采用風暴控制技術(shù)、ARP檢測技術(shù)和系統(tǒng)防護措施保障骨干區(qū)域數(shù)據(jù)流不設(shè)備的安全。（一）

企業(yè)網(wǎng)骨干設(shè)計1、設(shè)備選型2、園區(qū)接入設(shè)計（1）為了保障二層鏈路的冗余和防止環(huán)路的存在，在接入層交換機啟用STP技術(shù)，幵使用802.1s技術(shù)實現(xiàn)接入層交換機接入終端時，快速轉(zhuǎn)發(fā)數(shù)據(jù)。（2）在上行不核心層交換相連的時候，使用鏈路聚合技術(shù)，不但實現(xiàn)鏈路帶寬的增大，防止擁塞，而丏迓可以實現(xiàn)負載均衡。（3）接入?yún)^(qū)域安全方面，為了保障生成樹協(xié)議安全運行，需要使用BPDUFilter、BPDUGUARD等技術(shù)。（4）采用風暴控制技術(shù)、ARP檢測技術(shù)和系統(tǒng)防護措施保障骨干區(qū)域數(shù)據(jù)流不設(shè)備的安全，使用端口安全技術(shù)保障接入終端安全。使用訪問控制技術(shù)實現(xiàn)數(shù)據(jù)流量的限制。（5）接入層接入終端時，需要使用802.1X技術(shù)保障終端接入的合法性。（二）

園區(qū)接入設(shè)計1、設(shè)備選型2、園區(qū)邊緣設(shè)計（1）使用NAT技術(shù)保障內(nèi)部用戶可以正常訪問互聯(lián)網(wǎng)，并且需要使用NAT技術(shù)將內(nèi)網(wǎng)的資源發(fā)布到互聯(lián)網(wǎng)，比如WEB服務(wù)器、FTP服務(wù)器。（2）在網(wǎng)絡(luò)出口路由器使用訪問控制技術(shù)，防止沖擊波和震蕩波等病毒入侵。（三）企業(yè)邊緣設(shè)計（三）企業(yè)邊緣設(shè)計為了保障網(wǎng)絡(luò)用戶的安全和統(tǒng)一管理網(wǎng)絡(luò)中的用戶，在服務(wù)器群中架設(shè)域服務(wù)器，為內(nèi)網(wǎng)用戶提供身仹驗證服務(wù)。在服務(wù)器群中架設(shè)DHCP服務(wù)器，為內(nèi)網(wǎng)主機提供勱態(tài)的IP地址，采用的微軟服務(wù)器版本。在服務(wù)器群中的Web服務(wù)器用來提供集團公司的門戶服務(wù)，實現(xiàn)信息的發(fā)布。在服務(wù)器群中的FTP服務(wù)器采用的Linux操作系統(tǒng)，在Linux操作系統(tǒng)上安裝VSFTP服務(wù)，因為VSFPT軟件安全性更高，為了保障FTP服務(wù)的安全性使用虛擬用戶登陸。（四）服務(wù)器群設(shè)計三、總體規(guī)劃設(shè)計網(wǎng)絡(luò)設(shè)備功能網(wǎng)絡(luò)設(shè)備IP規(guī)劃區(qū)域名稱VLAN劃分子網(wǎng)網(wǎng)段生產(chǎn)部1010.0.2.0/24市場部20/24行政部30/24銷售部40/24財務(wù)部50/24營銷部60/24無線AP61/24無線交換機62/24服務(wù)器群70/24接口IP表服務(wù)器IP表項目實施階段一、部署園區(qū)骨干網(wǎng)二、部署園區(qū)接入三、部署園區(qū)邊緣四、部署無線網(wǎng)絡(luò)五、部署應用服務(wù)具體實施過程見實訓指導書7.3

項目實施階段一、測試方案（一）網(wǎng)絡(luò)系統(tǒng)