某中型医药公司网络方案策划书.doc

XX医药企业网络设计方案 策 划 书 一、项目背景 3 二、网络现实状况 3 三、建设目 3 四、建设原则 3 五、企业网设计原则 4 （1）先进性原则 4 （2）可管理性原则 4 （3）安全性原则 4 （4）灵活性和可扩充性原则 4 （5）稳定性和可靠性原则 5 六、设备采购 5 七、访问控制 5 八、详细设计 6 九、方案优势 6 十、详细配置 7 1、TRUNK 7 2、VTP 8 3、STP 9 4、在3560互换机之间配置EtherChannel（port-channel） 9 5、在两台3560互换机上配置HRSP协议 10 6、VOIP 11 十一、网络安全 15 十二、注意事项 15 某中型医药企业网络方案筹划书 一、项目背景 某医药企业建立很快，该医药企业分为两个不一样地区，总部位于某大都市（即A区），工厂位于靠近原材料某小型都市（即B区）。企业管理层约100人，A区拥有四个不一样部门，分别在大楼不一样四层，即市场部、财务部、办公室、人力资源部。B区仅有两个重要部门，即生产部门和研究部门。 二、网络现实状况 企业网络目前没有自己内部局域网，A区与B区不能实现通信，企业发展离不开网络更新，在如今社会需要企业自己主页和企业内部资源和文献下达与执行,实现全自动办公。企业处理效率需要提高，离不开好网络构建。 三、建设目 通过VPN实现A区与B区异地通信，采用容错性拓扑，在某一节点出现故障，可以正常实现网络运行正常。整个网络实现可扩展性，企业规模增大，可实现增长一定数量主机和网络设备。对于网络安全也有一定规定，企业可实现内网访问外网，外网只能访问服务器网页等特定端口。企业局域网实现迅速数据转发，网络性能稳定。整个医药企业采用电信10M光纤接入。 四、建设原则 企业网总体设计方案科学性，应当体目前能否满足如下基本规定方面： （1）整体规划安排； （2）先进性、开放性和原则化相结合； （3） 构造合理，便于维护； （4） 高效实用； （5）支持宽带多媒体业务； （6）可以实现迅速信息交流、协同工作和形象展示。 五、企业网设计原则 （1） 先进性原则 以先进、成熟网络通信技术进行组网，支持数据、语音和等多媒体应用，采用基于互换技术替代老式基于路由技术，并且能保证网络技术和网络产品在几年内基本满足需求。 （2）可管理性原则 网络建设一项重要内容是网络管理，网络建设必须保证网络运行可管理性。在优秀网络管理之下，将大大提高网络运行速率，并可迅速简便地进行网络故障诊断。 （3）安全性原则 信息系统安全问题中心任务是保证信息网络畅通，保证授权实体通过该网络安全地获取信息，并保证该信息完整和可靠。网络系统每一种环节都也许导致安全与可靠性问题。 （4）灵活性和可扩充性原则 选择网络拓扑构造同步还需要考虑未来发展，由于网络中设备不是一成不变，如需要添加或删除一种工作站，对某些设备进行更新换代，或变动设备位置，因此所选用网络拓扑构造应当可以轻易进行配置以满足新需要。 （5）稳定性和可靠性原则 可靠性对于一种网络拓扑构造是至关重要，在局域网中常常发生节点故障或传播介质故障，一种可靠性高网络拓扑构造除了可以使这些故障对整个网络影响尽量小以外，同步还应具有良好故障诊断和故障隔离功能。 六、设备采购 ①、两台思科3560互换机作为关键层； ②、1台Cisco2811语音路由器； ③、6台Cisco2960互换机； ④、3个ip电话； ⑤、1台asa—5505企业级防火墙； ⑦、1台网页服务器； ⑧、主机数量由企业自己决定。 七、访问控制 1 容许从内网访问internet，端口全开放。 2 容许从公网到企业DMZ隔离区访问祈求：WEB服务器只开放 80端口，mail服务器只开放25和110端口。 3 严禁从公网到内部区访问祈求，端口全关闭。 4 容许从内网访问服DMZ隔离区，端口全开放。 5 容许从DMZ隔离区访问internet，端口全开放 。 6 严禁从DMZ隔离区访问内网，端口全关闭。 八、详细设计 Cisco2960互换机将所有主机汇聚到一起，增长ip电话实现与生产部业务往来，Cisco3560互换机作为关键层，实现数据高速转发，一台asa—5505防火墙增强网络安全性，服务器提供企业网页服务，供客户浏览医药企业运行状况和最新动态。 企业重要部门划分为4个VLAN： ①、VLAN10为企业办公室； ②、VLAN20为企业市场部； ③、VLAN30为企业财务部； ④、VLAN40为企业人力资源部。 九、方案优势 采用TRUNK、VTP、STP、Etherchannel(Port-channel)、HSRP、VOIP、VPN 、SSH、NAT、ACL等技术，为整个网络安全性，容错性，稳定性，做了充足保障。 采用HSRP技术高度可靠性，两台三层关键层互换机采用HSRP(热备份冗余协议），来保证两台三层互换机任意一台dawn掉，都会迅速切换到此外一台。 Etherchannel技术不仅增长带宽，并提供了冗余容错能力。 VoIP技术实现了远端通话，以便快捷，同步节省了企业开支。 Stp技术消除了网络中环路，防止由于环路存在而导致广播风暴问题，消耗设备资源。 VPN极大节省了企业成本，并且具有极强安全性，支持扩展，同步可以与合作伙伴联网，实现资源共享。 十、详细配置 1、 TRUNK:将相连互换机之间直连端口设置为trunk模式 3560左： Switch(config)#int f0/2 Switch(config-if)#sw Switch(config-if)#switchport tr Switch(config-if)#switchport trunk en Switch(config-if)#switchport trunk encapsulation do Switch(config-if)#switchport trunk encapsulation dot1q Switch(config-if)#sw Switch(config-if)#sw Switch(config-if)#switchport mo Switch(config-if)#switchport mode tr Switch(config-if)#switchport mode trunk 其他端口类似配置。 2、 VTP （1）、3560左： Switch(config)#vtp domain test Domain name already set to test. Switch(config)#vtp mode serve Device mode already VTP SERVER. Switch(config)#vtp password 123456 Password already set to 123456 （2）、3560右： Switch#vlan database Switch(vlan)#vtp domain test Domain name already set to test. Switch(vlan)#vtp mode server Switch(vlan)#vtp password 123456 Password already set to 123456 （3）、2960左一： Switch(config)#vtp domain test Domain name already set to test. Switch(config)#vtp mode cli Switch(config)#vtp mode client Device mode already VTP CLIENT. Switch(config)#vtp pass Switch(config)#vtp password 123456 Password already set to 123456 其他2960互换机都同样配置。 3、 STP 3560左设置为vlan10和vlan20根网桥 3560右设置为vlan30和vlan40根网桥 （1）、3560左： Switch(config)#spanning-tree vlan 10 root primary Switch(config)#spanning-tree vlan 20 root primary Switch(config)#spanning-tree vlan 30 root secondary Switch(config)#spanning-tree vlan 40 root secondary （2）、3560右： Switch(config)#spanning-tree vlan 10 root secondary Switch(config)#spanning-tree vlan 20 root secondary Switch(config)#spanning-tree vlan 30 root primary Switch(config)#spanning-tree vlan 40 root primary 4、 在3560互换机之间配置EtherChannel（port-channel） Switch(config)#int range f0/4-5 Switch(config-if-range)#channel-group 1 mode on Switch(config-if-range)#ex Switch(config)#int port-channel 1 Switch(config-if)#switchport trunk encapsulation dot1q Switch(config-if)#switchport mode trunk 两台3560互换机都同样配置。 5、 在两台3560互换机上配置HRSP协议 为了实现冗余备份和负载均衡，3560左上设置vlan10，vlan20为active，Vlan30，vlan40为standby。 （1）、3560左： Switch(config)#int vlan 10 Switch(config-if)#ip add 192.168.10.252 255.255.255.0 Switch(config-if)#no sh Switch(config-if)#standby 10 ip 192.168.10.254 Switch(config-if)#standby 10 preempt Switch(config-if)#standby 10 priority 105 Switch(config-if)#standby 10 track f0/1 Valn20和vlan10相似配置 Switch(config)#int vlan 30 Switch(config-if)#ip add 192.168.30.252 255.255.255.0 Switch(config-if)#no sh Switch(config-if)#standby 30 ip 192.168.30.254 Switch(config-if)#standby 30 preempt Switch(config-if)#standby 30 priority 100 %HSRP-6-STATECHANGE: Vlan30 Grp 30 state Speak -> Standby Vlan40和vlan30相似配置 在3560右上也是类似配置。 6、 VOIP telephony-service max-ephones 8 max-dn 8 ip source-address 1.1.1.1 port auto assign 1 to 8 create cnf-files version-stamp Jan 01 00:00:00 ! ephone-dn 1 number 10001 ! ephone-dn 2 number 10002 ! ephone-dn 3 number 10003 ! ephone-dn 4 number 10004 ! ephone 1 device-security-mode none mac-address 0001.C98C.9483 type 7960 button 1:1 ! ephone 2 device-security-mode none mac-address 0002.1655.20E5 type 7960 button 1:2 企业分部ip电话相似配置。 VPN(SITE-TO-SITE) R2: Router(config)#crypto isakmp pol Router(config)#crypto isakmp policy 1 Router(config-isakmp)#au Router(config-isakmp)#authentication pre-s Router(config-isakmp)#authentication pre-share Router(config-isakmp)#ha Router(config-isakmp)#hash md5 Router(config-isakmp)#gr Router(config-isakmp)#group 2 Router(config-isakmp)#en Router(config-isakmp)#encryption de Router(config-isakmp)#encryption des Router(config-isakmp)#ex Router(config)#cr Router(config)#crypto is Router(config)#crypto isakmp ke Router(config)#crypto isakmp key 0 cisco add Router(config)#crypto isakmp key 0 ad Router(config)#crypto isakmp key 0 address 10.10.10.1 Router(config)#cr Router(config)#crypto ip Router(config)#crypto ipsec tr Router(config)#crypto ipsec transform-set myset es Router(config)#crypto ipsec transform-set myset esp Router(config)#crypto ipsec transform-set myset esp-md Router(config)#crypto ipsec transform-set myset esp-md5-hmac Proposal with ESP is missing cipher Router(config)#ac Router(config)#access-list 100 per Router(config)#access-list 100 permit ip 8.8.8.0 0.0.0.255 2.2.2.0 0.0.0.255 Router(config)#cr Router(config)#crypto map mymap 1 i Router(config)#crypto map mymap 1 ipsec-isakmp % NOTE: This new crypto map will remain disabled until a peer and a valid access list have been configured. Router(config-crypto-map)#mat Router(config-crypto-map)#match ad Router(config-crypto-map)#match address 100 Router(config-crypto-map)#set pe Router(config-crypto-map)#set peer 10.10.10.0 Router(config-crypto-map)#set tr Router(config-crypto-map)#set transform-set myset Router(config-crypto-map)#ex Router(config)#int f0/0 Router(config-if)#ip add 12.12.12.2 255.255.255.0 Router(config-if)#cr Router(config-if)#crypto map mymap *Jan 3 07:16:26.785: %CRYPTO-6-ISAKMP_ON_OFF: ISAKMP is ON R4类似配置。 十一、网络安全 通过ssh远程登录管理，在企业网络出现故障后可以第一时间，查看故障，并予以处理。采用VPN进行通信，实现数据从总部到生产部安全通信。同步采用ACL访问列表控制访问，制止不信任网络对企业网络袭击行为。防火墙（作为阻塞点、控制点）能极大地提高一种内部网络安全性，并通过过滤不安全服务而减少风险。由于只有通过精心选择应用协议才能通过防火墙，因此网络环境变得更安全。 十二、注意事项 实行防雷工程重要就是要保证机房设备安全运行，保证计算机网络传播质量，在各点进行不一样等级防雷保护。根据办公楼实际状况，提出如下防雷措施： 1) 对信息中心机房进行全方位防雷接地保护； 2) 对监控机房等进行全方位防雷接地保护； 3) 对室外摄像头进行电源、视频、控制线路进行全面保护； 4) 对其他区域进行一般电源保护。 设计人员：杨旭、涂高强、施昌航、程江伟、 张奔、张超、高腾飞 完毕日期：.11.21