资源描述
某公司网络工程
实行方案
目 录
第一章 总体设计 - 1 -
1.1 系统设计原则 - 1 -
1.2 网络拓扑架构 - 2 -
1.3 设计依据和规范 - 2 -
第二章 到货前准备 - 3 -
2.1项目人员的组织结构及分工 - 3 -
2.2工程时间安排、进度安排 - 3 -
第三章 到货,实行前准备 - 4 -
3.1现场检查与到货验收 - 4 -
3.2 IP地址及Vlan分派 - 4 -
3.2.1 总体IP—Vlan划分 - 4 -
3.2.2 服务器集群IP—Vlan100划分 - 5 -
3.3.3 Iptables防火墙—Vlan200划分 - 5 -
第四章 实行 - 6 -
4.1 相关的设备选型 - 6 -
4.2 局域网的相关调试 - 7 -
4.2.1核心H3C S7500互换机的VRRP调试 - 7 -
4.3 广域网的相关调试 - 11 -
4.3.1 IPTABLES防火墙的配置 - 11 -
4.4 Red Hat Linux 5系统上相关服务器的搭建 - 12 -
4.4.1 WEB服务器的安装配置 - 12 -
4.4.2 DNS服务器的安装配置: - 12 -
4.4.3 Exchange服务器 - 17 -
4.4.4 FTP服务器的安装和配置 - 28 -
第五章 测试 - 30 -
5.1系统测试原理和方法 - 30 -
5.2硬件设备测试和验收 - 30 -
5.3系统集成测试 - 31 -
5.3测试相关命令 - 31 -
第六章 项目工程管理 - 34 -
6.1工程的安全管理 - 34 -
6.2工程资料、文档管理 - 34 -
6.3项目的质量控制 - 35 -
第七章 现场培训 - 35 -
第八章 验收 - 36 -
8.1 系统初验 - 36 -
8.1.1中验(试运营验收) - 36 -
8.1.2半年后的优化:由CCIE主持系统终验 - 36 -
第一章 总体设计
1.1 系统设计原则
1) 公司使用2台核心互换机(做冗余备份),连接所有网络设备,并把所有服务器都连接到该核心互换机,放置到一个单独的VLAN中。
2) 接入层互换机连接终端用户,并把管理层人员和普通的办公人员放入不同的VLAN中。
3) 公司的管理人员可以访问普通员工的PC,但普通员工不可以访问管理人员的PC.。
4) 离该公司总部有2公里处,有一个分公司,重要是负责生产活动。和分公司连接采用路由器。而分公司内部使用一个互换机连接所有用户,所有用户都在一个VLAN中;(可采用光纤连接)。
5) 所有的用户都使用DHCP获得IP地址。
6) 总公司采用linux iptables防火墙+路由器上网。公司已经申请了100M城域网宽带上网(分两条线路,一条40M一条60M;规定:服务器占用40M,供外网用户访问,其他用户用60M出口访问internet)。
7) 公司采用微软的域管理方法,对所有用户的帐号和权限通过AD来管理,并要提供99%的可靠。
8) 公司内部要有自己的邮件服务器,并可以和Internet的邮件服务器实现互发邮件。为出差人员提供方便的邮件访问。
9) 该公司有电子商务网站,提供客户在线定购产品,故要发布该WEB服务器,并提供高可靠性。
10) 该公司的防病毒采用统一集中的网络管理模式。
11) 严格限制上网时间。
12) 出差用户要能方便的访问公司内部资料。
1.2 网络拓扑架构
1.3 设计依据和规范
1) 主机和网络设备的选型符合下列国家和组织的技术标准和规范:
2) GB:中华人民共和国国家标准
3) ISO:国际标准组织
4) ITU-T:国际电信联盟
5) IEEE:国际电气与电子工程师协会
6) EIA:电气工业协会
7) IEC:国际电工协会
第二章 到货前准备
2.1项目人员的组织结构及分工
Ø 项目经理:负责项目的总体协调工作
Ø 商务负责:负责以商务相关的工作
Ø 技术负责:负责项目的总体实行
Ø 工程技术人员CCNP、CCNA:CCNP为项目实行的技术把关,CCNA负责项目的具体实行和项目实行文档的制作
Ø 后勤负责:为所有项目实行人员提供后勤保障工作
2.2工程时间安排、进度安排
预计1月初设备所有到货,总预计4到5周时间完毕项目
具体实行如下:
工程安排
签订协议—11.1
11.25-11.30
12.1—12.15
12.16
12.17—1.20
1.30
设备订购
设备到货验收
系统安装工程
现场培训
系统整体测试
系统验收测试
系统安装工程具体分解以下的子任务:
² 中心和汇聚互换机的模拟环境联合调试 天
² 各边沿互换机的调试 天
² 广域网和Quidway S6509的调试 天
² ACL和NAT的设立 天
² 网管软件的安装与调试 天
第三章 到货,实行前准备
3.1现场检查与到货验收
Ø 检查设备的型号及数量是否与设备订货清单一致
Ø 检查到货的设备是否完好
Ø 验收的结果应当提供一份由参与验收的人员和系统集成商署名的硬件清单,并注明好相关的日期
Ø 假如没有可见的设备损坏,那么在验货后,即开始设备的安装和调试,测试是否存一些不可见的硬件损坏。
设备到货,进行设备的验收,规定必须记录设备的序列号,表格如下:
设备名称
型号—序列号
到货时间
签收人员
3.2 IP地址及Vlan分派
3.2.1 总体IP—Vlan划分
VLAN号
子网名称
IP范围
网关
VLAN名称
管理IP
10
办公楼1
192.168.10.0 /24
192.168.10.254
Office1
192.168.10.252
20
办公楼2
192.168.20.0 /24
192.168.20.254
Office2
192.168.20.252
30
分公司
192.168.30.0 /24
192.168.30.254
Branch office
192.168.30.252
40
普通员工
192.168.40.0 /24
192.168.40.254
Laborial staff
192.168.40.252
50
管理层人员
192.168.50.0 /24
192.168.50.254
Manager
192.168.50.252
3.2.2 服务器集群IP—Vlan100划分
服务器名称
WEB服务器
FTP服务器
DNS服务器
Exchange
DHCP服务器
IP地址
192.168.1.100
192.168.1.100
192.168.1.100
192.168.2.100
192.168.2.200
网关
192.168.1.254
192.168.1.254
192.168.1.254
192.168.2.254
192.168.2.254
3.3.3 Iptables防火墙—Vlan200划分
Name
IP地址
网关
所属机构
内网
192.168.1.200
192.168.1.200
某公司
外网—40M
218.85.157.100
218.85.157.254
ISP
外网—60M
218.85.158.100
218.85.158.254
ISP
第四章 实行
4.1 相关的设备选型
H3C S7500 系列以太网互换机
H3C S7500系列互换机作为H3C公司自适应安全网络的核心产品之一,可广泛的合用于IP城域网、大型公司园区网、中小型公司办公网络的核心层和汇聚层,同时其也可以作为以太无源光网络(EPON)的光线路终端(OLT)设备,为用户提供多种业务接入、互换、路由一体化的安全融合网络解决方案。
H3C S7500系列互换机支持高达768G互换容量的高速引擎,涉及以下4款产品:
u S7502:2个业务插槽,主控板与业务板合一;
n S7503:3个业务插槽,1个主控插槽;
n S7506:6个业务插槽,1个主控插槽;
u S7506R:6个业务插槽,2个主控插槽;
H3C S5600 系列以太网互换机
H3C S5600系列全千兆智能弹性互换机是H3C公司为设计和构建高弹性和高智能网络需求而推出的新一代以太网互换机产品。系统采用H3C公司创新的IRF(Intelligent Resilient Framework,智能弹性架构)技术,支持高达96G的堆叠带宽和高密度千兆端口,支持万兆上行。特别适合作为需要高带宽、高性能和高扩展性的中小公司网核心、大型公司网络和园区网的汇聚层以及数据中心的服务器接入设备。
产品系列齐全,每款都支持1端口、2端口万兆接口或8端口SFP千兆光口,最大的堆叠带宽达成96G
l 支持创新的IRF(Intelligent Resilient Framework)智能弹性架构技术,可以实现用户网络的高度弹性智能扩展
l 可通过双绞线向远端下挂PD设备(如IP Phone、WLAN AP、Security、Bluetooth AP等)提供电源,实现PoE功能
l 支持EAD(端点准入防御)功能,配合后台系统可以将终端防病毒、补丁修复等终端安全措施与网络接入控制、访问权限控制等网络安全措施整合为一个联动的安全体系
l 更加多样化的管理和丰富的特性
4.2 局域网的相关调试
4.2.1核心H3C S7500互换机的VRRP调试
SW1
<SW1>sys
[SW1]vlan 10
[SW1-vlan10]vlan 20
[SW1-vlan20]valn 50
[SW1-vlan50]vlan 60
[SW1-vlan60]int vlan 50
[SW1-Vlan-interface50]ip add 192.168.50.1 24
[SW1-Vlan-interface50]int vlan 60
[SW1-Vlan-interface60]ip add 192.168.60.1 24
[SW1-Vlan-interface60]quit
[SW1]ip route-static 0.0.0.0 0.0.0.0 192.168.50.252
[SW1]ip route-static 0.0.0.0 0.0.0.0 192.168.60.253
[SW1]int e0/4/3
[SW1-Ethernet0/4/3]port link-type access
[SW1-Ethernet0/4/3]port access vlan 50
[SW1-Ethernet0/4/3]int e0/4/2
[SW1-Ethernet0/4/2]port link-type access
[SW1-Ethernet0/4/2]port access vlan 60
[SW1-Ethernet0/4/2]quit
[SW1]
SW2
<SW2>sys
[SW2]vlan 10
[SW2-vlan10]vlan 20
[SW2-vlan20]vlan 50
[SW2-vlan50]vlan 60
[SW2-vlan60]int e0/4/3
[SW2-Ethernet0/4/3]port link-type trunk
[SW2-Ethernet0/4/3]port trunk permit vlan all
[SW2-Ethernet0/4/3]int vlan 10
[SW2-Vlan-interface10]ip add 192.168.10.252 24
[SW2-Vlan-interface10]int vlan 20
[SW2-Vlan-interface20]ip add 192.168.20.252 24
[SW2-Vlan-interface20]int vlan 50
[SW2-Vlan-interface50]ip add 192.168.50.252 24
[SW2-Vlan-interface50]quit
[SW2]int vlan 10
[SW2-Vlan-interface10]vrrp vrid 10 virtual-ip 192.168.10.254
[SW2-Vlan-interface10]vrrp vrid 10 priority 120
[SW2-Vlan-interface10]vrrp vrid 10 preempt-mode
[SW2-Vlan-interface10]vrrp vrid 10 track interface Vlan-interface 50 reduced 50
[SW2-Vlan-interface10]int vlan 20
[SW2-Vlan-interface20]vrrp vrid 20 virtual-ip 192.168.20.254
[SW2-Vlan-interface20]vrrp vrid 20 preempt-mode
[SW2-Vlan-interface20]int e0/4/2
[SW2-Ethernet0/4/2]port link-type access
[SW2-Ethernet0/4/2]port access vlan 50
[SW2-Ethernet0/4/2]quit
[SW2]ip route-static 0.0.0.0 0.0.0.0 192.168.50.1
SW3
<SW3>sys
[SW3]int e0/4/4
[SW3]vlan 10
[SW3-vlan10]vlan 20
[SW3-vlan20]vlan 50
[SW3-vlan50]vlan 60
[SW3-vlan60]int e0/4/3
[SW3-Ethernet0/4/3]port link-type trunk
[SW3-Ethernet0/4/3]port trunk permit vlan all
[SW3-Ethernet0/4/3]int vlan 10
[SW3-Vlan-interface10]ip add 192.168.10.253 24
[SW3-Vlan-interface10]int vlan 20
[SW3-Vlan-interface20]ip add 192.168.20.253 24
[SW3-Vlan-interface20]int vlan 60
[SW3-Vlan-interface60]ip add 192.168.60.253 24
[SW3-Vlan-interface60]int vlan 10
[SW3-Vlan-interface10]vrrp vrid 10 virtual-ip 192.168.10.254
[SW3-Vlan-interface10]vrrp vrid 10 preempt-mode
[SW3-Vlan-interface10]�int vlan 20
[SW3-Vlan-interface20]vrrp vrid 20 virtual-ip 192.168.20.254
[SW3-Vlan-interface20]vrrp vrid 20 priority 120
[SW3-Vlan-interface20]vrrp vrid 20 preempt-mode
[SW3-Vlan-interface20]vrrp vrid 20 track interface Vlan-interface 60 reduced 50
[SW3-Vlan-interface20]int e0/4/2
[SW3-Ethernet0/4/2]port link-type access
[SW3-Ethernet0/4/2]port access vlan 60
[SW3-Ethernet0/4/2]�quit
[SW3]ip route-static 0.0.0.0 0.0.0.0 192.168.60.1
4.3 广域网的相关调试
4.3.1 IPTABLES防火墙的配置
[root@localhost ~]# echo 1 >/proc/sys/net/ipv4/ip_forward
[root@localhost ~]# iptables -t nat POSTROUTING -s 192.168.1.0/24 -o eth1 -j SNAT --to 218.85.157.100
[root@localhost ~]# iptables -t nat -A PREROUTING -p tcp --dport 80 -d 218.85.157.100 -j DNAT --to-destination 192.168.1.100
[root@localhost ~]# iptables -p INPUT DROP
[root@localhost ~]# iptables -p OUTPUT ACCEPT
[root@localhost ~]#iptables -p FORWARD DROP
[root@localhost ~]# iptables -A INPUT -p tcp --dport 22 -j ACCEPT
[root@localhost ~]# iptables -A OUTPUT -p tcp --sport 22 -j ACCEPT
[root@localhost ~]# iptables -A OUTPUT -p tcp --sport 80 -j ACCEPT
[root@localhost ~]# iptables -A INPUT -p tcp --dport 80 -j ACCEPT
[root@localhost ~]# iptables -A INPUT -p tcp --dport 110 -j ACCEPT
[root@localhost ~]# iptables -A INPUT -p tcp --dport 25 -j ACCEPT
[root@tp ~]# iptables -A INPUT -p tcp --dport 21 -j ACCEPT
[root@localhost ~]# iptables -A INPUT -p tcp --dport 20 -j ACCEPT
[root@localhost ~]# iptables -A INPUT -p tcp --dport 53 -j ACCEPT
[root@localhost ~]# /etc/init.d/iptables save
[root@localhost ~]# /etc/init.d/iptables restart
4.4 Red Hat Linux 5系统上相关服务器的搭建
4.4.1 WEB服务器的安装配置
WEB服务器的ip地址:192.168.1.100
域名:
[root@localhost ~]# cd /home/wg2023
[root@localhost wg2023]# tar -zxvf httpd-2.0.59.tar.gz –C /tmp
[root@localhost wg2023]# cd /tmp
[root@localhost tmp]# cd httpd-2.0.59/
[]#./configure--prefix=/usr/loacl/apache--sysconfdir=/usr/loacl/apache/conf
[]make
[]make inatall
4.4.2 DNS服务器的安装配置:
DNS服务器ip地址:192.168.1.100
[root@localhost ~]#mount /dev/cdrom /mnt/cdrom
[root@localhost ~]# cd /mnt/cdrom
[m[root@localhost cdrom]# cd Server/
[root@localhost Server]# ls |grep bind
[root@localhost Server]# rpm -ivh bind-9.3.3-10.el5.i386.rpm
[root@localhost Server]# rpm -ivh bind-utils-9.3.3-10.el5.i386.rpm
[root@localhost Server]# ls |grep cach
[root@localhost Server]#rpm -ivh caching-nameserver-9.3.3-10.el5.i386.rpm
[root@localhost Server]# cd /home/wg0803/dns
[root@localhost wg0803]# ls
[m[root@localhost dns]# cp .zone /var/named
[root@localhost dns]# cp .zone /var/named
[root@localhost dns]# cp named.ca /var/named
cp:是否覆盖“/var/named/named.ca”? n
[root@localhost dns]# cp named.conf /etc
[root@localhost dns]# cd /var/named
[root@localhost etc]# vi named.conf
// generated by named-bootconf.pl
options {
directory "/var/named";
/*
* If there is a firewall between you and nameservers you want
* to talk to, you might need to uncomment the query-source
* directive below. Previous versions of BIND always asked
* questions using port 53, but BIND 8.1 uses an unprivileged
* port by default.
*/
// query-source address * port 53;
};
//
// a caching only nameserver config
//
controls {
inet 127.0.0.1 allow { localhost; } keys { rndckey; };
};
zone "." IN {
type hint;
file "named.ca";
};
zone "localhost" IN {
type master;
file "localhost.zone";
allow-update { none; };
};
zone "0.0.127.in-addr.arpa" IN {
type master;
file "named.local";
allow-update { none; };
};
zone "" IN {
type master;
file " .zone";
};
zone "" IN {
type master;
file " .zone";
};
zone "1.168.192.in-addr.arpa" IN {
type master;
file "1.168.192.in-addr.arpa";
};
include "/etc/rndc.key";
[m[root@localhost named]# vi .zone
$TTL 86400
$ORIGIN .
@ 1D IN SOA . (
42 ; serial (d. adams)
3H ; refresh
15M ; retry
1W ; expiry
1D ) ; minimum
1D IN NS .
IN MX 10 .
www 1D IN A 192.168.1.1100
mail 1D IN A 192.168.1.1100
ftp IN CNAME www
[root@localhost named]# vi .zone
$TTL 86400
$ORIGIN .
@ 1D IN SOA . (
42 ; serial (d. adams)
3H ; refresh
15M ; retry
1W ; expiry
1D ) ; minimum
1D IN NS .
IN MX 10 .
www 1D IN A 192.168.1.1100
mail 1D IN A 192.168.1.1100
ftp IN CNAME www
[root@localhost ~]# service named start
4.4.3 Exchange服务器
安装过程
1. 下图为Exchange Service 2023的安装开始界面,选择“Exchange 部署工具”
2.在下图中,选择“部署第一台Exchange 2023 服务器”
3.选择“安装全新的Exchange 2023”
4.下图为安装Exchange 2023的八大环节,需要逐个的满足才干安装成功
5.服务器的操作系统为Windows service 2023,因此环节1完毕,下图为相关组件和服务的启用
①“控制面板”—“添加/删除Windows组件”,依次启用相关的组件,应用,拟定
②在安装组件的过程中,会出现如下的提醒,规定插入安装光盘,根据提醒选择相关文献即可开始安装组件,直到完毕
6.安装“dcdiag”和“netdiag”工具
①打开系统安装光盘中的内容,打开“SUPPORT”—“Tools”
②双击“SUPTOOLS.MSI”进行安装
③跳出如下安装界面后一直“Next”,直到安装完毕
7.ForestPrep安装
①点击“立即运营ForestPrep”,会出现如下的安全提醒框,点击“继续”
②下图为Forest Prep安装的开始界面
③下一步
④下一步
⑤开始安装ForestPrep,这个过程比较漫长,耐心等待安装完毕
8.DomainPrep的安装
①下图为DomainPrep安装的开始界面
②下一步
③当出现如下提醒框时,点击“拟定”开始安装,直到安装完毕
8.Exchange程序安装
① 下一步
②选择“新建Exchange组织”“下一步”
③输入组织名“kingtcn”“下一步”
④输入简朴管理组织名“kingtcn”“下一步”“下一步”开始安装
二。Exchange的设立
1.打开AD用户和计算机
2.在e/Users中新建用户“test1”和“test2”
3.新建用户完毕之后,打开IE浏览器,在地址栏中输入,出现如下图所示的登入框,输入刚刚创建的用户名和密码
4.下图为Exchange 2023 的OWA界面
5.新建一封电子邮件,发送到:
6.用另一个新建的用户登录
7.在下图中,我们已经可以看到,test2中,有一封从test1中发送过来的邮件,这样,我们的Exchange 2023 就安装成功了。
4.4.4 FTP服务器的安装和配置
ifconfig eth0 192.168.1.100 netmask 255.255.255.0
[root@localhost ~]# service sshd start
启动 sshd:[拟定][root@localhost ~]# mount /dev/cdrom /mnt/cdrom
mount: block device /dev/cdrom is write-protected, mounting read-only
[root@localhost ~]# cd /mnt/cdrom
�[m[root@localhost cdrom]# cd Server/
[root@localhost Server]# rpm -ivh vsftpd-2.0.5-10.el5.i386.rpm
warning: vsftpd-2.0.5-10.el5.i386.rpm: Header V3 DSA signature: NOKEY, key ID 37017186
Preparing... ########################################### [100%]
########################################### [100%]
package vsftpd-2.0.5-10.el5 is already installed
[root@localhost Server]# service vsftpd start
为 vsftpd 启动 vsftpd:[拟定]
[root@localhost Server]# useradd king
[root@localhost Server]# passwd king
Changing password for user king.
New UNIX password:
BAD PASSWORD: it is too simplistic/systematic
Retype new UNIX password:
passwd: all authentication tokens updated successfully.
[root@localhost Server]# ftp 192.168.1.100
Connected to 192.168.1.100.
220 (vsFTPd 2.0.5)
530 Please login with USER and PASS.
530 Please login with USER and PASS.
KERBEROS_V4 rejected as an authentication type
Name (192.168.1.100:root): king
331 Please specify the password.
Password:
230 Login successful.
Remote system type is UNIX.
Using binary mode to transfer files.
ftp>
第五章 测试
5.1系统测试原理和方法
从实行阶段可提成:
l 单个系统或相对独立部件的测试,例如单个路由器的自检等等;
l 子系统的测试,例如中心网络的测试等等;
l 整个网络系统的测试。
测试的目的是为了保证用户可以科学而公正地验收供应商提供的设备和软件,系统集成商提供的整套系统,也是为了保证供应商和系统集成商可以准确无误地提供协议所规定的设备和系统。所以,测试的目的对用户而言是为了验收。
测试应当由供应商和系统集成商、用户及用户聘请的技术顾问共同参与。
5.2硬件设备测试和验收
l 部件级测试
部件级测试指对设备中各个部件的功能、可靠性、耐用性和可维性的测试,升档能力的衡量等。该类测试一般已在原厂的生产过程中完毕,用户只需在使用过程中加以观测即可。
l 设备级测试
设备级测试重要涉及对设备的解决能力、可靠性、可扩充性、开放性等方面进行测试。设备级测试需用有关的测试工具、仪器或软件来进行,也可在实际应用中对其某些性能加以测试。
l 系统级测试
系统级测试重要涉及网络的连通性测试,系统的可靠性测试,系统的响应时间,系统的抗干扰测试,系统的安全保密性测试等。这一类测试可借助于某些网络测试工具或网络管理和测试软件来完毕。
5.3系统集成测试
l 功能性测试:
测试系统应提供的每一个功能和安全性限制,检查系统是否已正常实现所有功能。
l 连通性测试:
测试网络上任意站点间是否可以互相传输数据,测试各个终端能否登录中心服务器,并访问数据库,对数据库进行正常的操作;
l 稳定性测试:
在不间断运营的一段时间内,系统有无异常现象发生,如有异常,是由系统自动解决还是系统管理员人工干预解决,不间断的测试时间以一周(7天)为限;
l 重载测试:
在系统处在重载工作状况时,通过计算机系统的监控软件,以及网络系统的管理软件监测计算机系统和网络系统的性能指标;
5.3测试相关命令
5.3.1通用测试、诊断命令
ping x.x.x.x
标准ping------------ -用于测试设备间的物理连通性。
扩展ping------------ -用于测试设备间的物理连通性(扩展ping命令还支持灵活定义ping参数,如ping数据包的大小,发送包的个数,等待响应数据包的超时时间等)。
traceroute x.x.x.x ------------ -用于跟踪、显示路由信息。
display current-configuration ------------用于显示路由器、互换机运营配置文献的内容。
display sessions--------------用于显示从当前设备发出的所有呼出Telnet会话。
disconnect--------------用于断开与远程目的主机的Telnet会话。
clear line--------------用于断开远程主机的呼入Telnet连接。
shutdown---------
展开阅读全文
浙ICP备2021020529号-1 | 浙B2-20240490 
