ambow网络架构方案实验.doc

资源描述

项目名称：Ambow网络架构项目编号：NSXZ2023-G104 网络架构方案小组名称：信息学院104班第一小组日期：五月二十九日目录一.项目背景 - 2 - 1.1 ambow公司概况 - 2 - 1.2 网络工程状况 - 2 - 二.需求分析 - 2 - 2．1带宽性能需求 - 3 - 2. 2稳定可靠需求 - 3 - 2.3网络安全需求 - 3 - 2.4应用服务需求 - 3 - 2．5设备规定 - 4 - 三.项目规划 - 4 - 3.1 拓扑图 - 4 - 3.2局域网具体拓扑图： - 4 - 3.3 ip以及vlan规划 - 5 - 3.4 拓扑图分析 - 6 - 四.项目实行 - 6 - 4.1配置ASA防火墙 - 6 - 4.2配置核心层的ospf协议 - 9 - 4.3配置路由安全策略 - 10 - 4.4 AAA服务器的配置 - 12 - 4.5在路由器上配置SSH服务器和AAA的认证 - 15 - 4.6配置三层互换机上的DHCP中继 - 17 - 4.7三层互换机上配置vlan和vtp - 17 - 4.8二层互换机0的配置： - 18 - 4.9二层互换机1上的配置： - 19 - 4.10配置二层的安全 - 20 - 4.11服务器的配置（ftp，dhcp，web） - 21 - 4.12. 网管软件系统安装方法 - 23 - 4.13Norton网络杀毒软件的安装方法 - 30 - 五．设备报价及清单 - 35 - 5.1 二层互换机的选型及参数 - 35 - 5.2 三层互换机的选型及参数 - 36 - 5.3 路由器的选型及参数 - 38 - 5.4 服务器选型及报价 - 39 - 5.5 pc机的选择 - 40 - 5.6 无线设备 - 43 - 5.7 设备清单 - 44 - 一.项目背景 1.1 ambow公司概况 Ambow公司是一家教育服务公司，为了公司未来发展的需要，IFC（国际金融公司和安博公司共同投资1.2亿美金来成立北京实训基地和拓展现有的昆山基地，IFC拟筹资约5000万美金. Ambow规定 1. 采购桌面电脑4000套，服务器100台， 2. 系统桌面电脑采用微软正版系统，服务器系统公司自行考虑 3. 网络设备采购根据我方规定公司自行考虑所要达成的目的 1. 实现公司内部网络的互连 2. 实现网络架构的安全性 3. 设立公司内网各种所需的服务器管理 4. 实现北京基地和安博其他分公司的安全的互联 1.2 网络工程状况 A.公司有一个局域网inside,用于公司的资源共享和信息交流 B.网络中大约有4000台计算机，分别位于不同的vlan下，防止arp病毒广播和广播风暴，提高网络环境的质量 C.计算机的操作系统有Windows Server 2023 和Windows XP professional D.员工一人一机办公 F.公司部署各种办公服务器，为公司员工提供一个良好的办公环境二.需求分析公司需要构建一个综合的公司网，公司有5个部门：教学部、财务部、IT部、网络部、人事部。公司共分3栋楼，1号，2号，3号，每栋楼直线相距100 米。1号楼：2层，为教学楼，10台电脑，分散分布每层5台。2号楼：3层，为IT部，人事部，20台。其中10台集中在3楼的网络部的设计室中，专设一个机房，其他10台分散分布每层5台。3号楼：2层，为财务部。从内网安全考虑，使用VLAN技术将各部门划分到不同的VLAN中；为了提高公司的业务能力和增强公司知名度，将公司的WEB网站以及FTP、Mail服务发布到互联网上；与分公司可采用分组互换（帧中继）网互联；并从ISP那里申请了一段公网IP。16个有效IPv4地址：218.26.174.112.~218.26.174.127，掩码为255.255.255.0（可表达为/28）。其中218.26.174.112和218.26.174.127为网络地址和广播地址，不可用（考虑路由器需要配置NAT功能了）。 2．1带宽性能需求现代公司网络应具有更高的带宽，更强大的性能，以满足用户日益增长的通信需求。随着计算机技术的高速发展，基于网络的各种应用日益增多，今天的公司网络已经发展成为一个多业务承载平台。不仅要继续承载公司的办公自动化，Web浏览等简朴的数据业务，还要承载涉及公司生产运营的各种业务应用系统数据，以及带宽和时延都规定很高的IP电话、视频会议等多媒体业务。因此，数据流量将大大增长，特别是对核心网络的数据互换能力提出了前所未有的规定。此外，随着千兆位端口成本的连续下降，千兆位到桌面的应用会在不久的将来成为公司网的主流。从2023年全球互换机市场分析可以看到，增长最迅速的就是10 Gbps级别机箱式互换机，可见，万兆位的大规模应用已经真正开始。所以，今天的公司网络已经不能再用百兆位到桌面千兆位骨干来作为建网的标准，核心层及骨干层必须具有万兆位级带宽和解决性能，才干构筑一个畅通无阻的"高品质"公司网，从而适应网络规模扩大，业务量日益增长的需要。 2. 2稳定可靠需求现代公司的网络应具有更全面的可靠性设计，以实现网络通信的实时畅通，保障公司生产运营的正常进行。随着公司各种业务应用逐渐转移到计算机网络上来，网络通信的无中断运营已经成为保证公司正常生产运营的关键。现代大型公司网络在可靠性设计方面重要应从以下3个方面考虑： 1、设备的可靠性设计：不仅要考察网络设备是否实现了关键部件的冗余备份，还要从网络设备整体设计架构、解决引擎种类等多方面去考察。 2、业务的可靠性设计：网络设备在故障倒换过程中，是否对业务的正常运营有影响。 3、链路的可靠性设计：以太网的链路安全来自于多途径选择，所以在公司网络建设时，要考虑网络设备是否可以提供有效的链路自愈手段，以及快速重路由协议的支持。 2.3网络安全需求现代大型公司网络应提供更完善的网络安全解决方案，以阻击病毒和黑客的袭击，减少公司的经济损失。传统公司网络的安全措施重要是通过部署防火墙、IDS、杀毒软件，以及配合互换机或路由器的ACL来实现对病毒和黑客袭击的防御，但实践证明这些被动的防御措施并不能有效地解决公司网络的安全问题。在公司网络已经成为公司生产运营的重要组成部分的今天，现代公司网络必须要有一整套从用户接入控制，病毒报文辨认到积极克制的一系列安全控制手段，这样才干有效地保证公司网络的稳定运营。 2.4应用服务需求现代大型公司网络应具有更智能的网络管理解决方案，以适应网络规模日益扩大，维护工作更加复杂的需要。当前的网络已经发展成为"以应用为中心"的信息基础平台，网络管理能力的规定已经上升到了业务层次，传统的网络设备的智能已经不能有效支持网络管理需求的发展。比如，网络调试期间最消耗人力与物力的线缆故障定位工作，网络运营期间对不同用户灵活的服务策略部署、访问权限控制、以及网络日记审计和病毒控制能力等方面的管理工作，由于受网络设备功能自身的限制，都还属于费时、费力的任务。所以现代的大型公司网络迫切需要网络设备具有支撑"以应用为中心"的智能网络运营维护的能力，并可以有一套智能化的管理软件，将网络管理人员从繁重的工作中解脱出来。 2．5设备规定根据公司现有设备规模，业务需要及发展范围使用的计算机、网络设备重要以联想台式机和CISCO网络产品为主（产品的具体型号将在方案的最后给出）： a）服务器需选择中cisco的刀片式。 b）核心路由器使用cisco的高端设备 c）而互换机使用CISCO中档产品。 d）防火墙为硬件+软件结构。 e）网络布线主干采用光纤，五类双绞线到桌面（100M）。三.项目规划 3.1 拓扑图 3.2局域网具体拓扑图： 3.3 ip以及vlan规划区域 Vlan Vlan接口IP Area 1 Vlan11 172.16.1.62 Vlan12 172.16.1.126 Vlan13 172.16.1.190 Area2 Vlan21 172.16.2.62 Vlan22 172.16.2.126 Vlan23 172.16.2.190 Area3 Vlan31 172.16.3.62 Vlan32 172.16.3.126 Vlan33 172.16.3.190 Area4 Vlan41 172.16.4.62 Vlan42 172.16.4.126 Vlan43 172.16.4.190 Area5 Vlan51 172.16.5.62 Vlan52 172.16.5.126 Vlan53 172.16.5.190 服务器的ip分派：服务器名称 Ip 子网掩码 Web服务器 172.30.1.1 255.255.0.0 Dns服务器 172.30.1.2 255.255.0.0 ftp服务器 172.16.254.1 255.255.255.0 Dhcp 一服务器 172.16.254.250 255.255.255.0 Dhcp 二服务器 172.16.254.251 255.255.255.0 邮件服务器 172.16.254.2 255.255.255.0 3.4 拓扑图分析 3.4.1核心层配置的OSPF路由协议，提供高速的数据互换，每个area区域代表每一个部门（每个部门默认在同一栋楼中） 3.4.2分布层使用三层互换机，配置各种策略 3.4.3接入层使用各自的VLAN进行划分四.项目实行 4.1配置ASA防火墙配置理由：防火墙加强inside区域的安全度，可以阻挡60%的恶意袭击，我们选用cisco的asa防火墙，其one to all的特性，使其可以将NAT，firewall，VPN等功能附加一身 1. 配置ASA的主机名、域名和密码 ciscoasa(config)# hostname asa802 asa802(config)# domain-name asa802(config)# enable password asa802 asa802(config)# passwd cisco 2. 配置接口的区域划分 asa802(config)# int e0/1 asa802(config-if)# nameif inside asa802(config-if)# security-level 100 asa802(config-if)# ip add 172.16.10.254 255.255.255.0 asa802(config-if)# no shutdown asa802(config-if)# exit asa802(config)# int e0/0 asa802(config-if)# nameif outside asa802(config-if)# security-level 0 asa802(config-if)# ip add 200.1.1.1 255.255.255.0 asa802(config-if)# no shutdown asa802(config-if)# exit asa802(config)# int e0/2 asa802(config-if)# nameif dmz asa802(config-if)# security-level 50 asa802(config-if)# ip add 172.30.255.254 255.255.255.0 asa802(config-if)# no shutdown asa802(config-if)# exit 3. 配置默认静态路由 asa802(config)# route outside 0.0.0.0 0.0.0.0 200.1.1.1 （将内网和DMZ的IP数据包，都通过该默认的静态路由，所有路由到200.1.1.1的下一跳地址上） 4. 配置远程管理的接入 asa802(config)# telnet 172.16.110.110 255.255.255.0 inside asa802(config)# telnet timeout 10 5. 配置ASA上的NAT服务（一）启用内网地址到DMZ和外网的NAT功能 asa802(config)# nat-control （启用NAT服务） asa802(config)# nat (inside) 1 172.16.0.0 255.255.0.0 （指定入接口为内网接口的IP需要进行转换） asa802(config)# global (outside) 1 int （配置出接口为外网接口的ip为全局IP地址） asa802(config)# global (dmz) 1 172.30.255.10-172.30.255.101 （配置出接口为dmz接口的IP为172.30.255.10-172.30.255.101地址池中的一个，任意指定）（二）启用外网到dmz区域的NAT功能 asa802(config)# nat-control （启用NAT服务） asa802(config)# nat (outside) 1 0 0 （指定入接口为外网接口的IP需要进行转换） asa802(config)# global (dmz) 1 172.30.255.10-172.30.255.101 （若出接口为dmz接口，则进行NAT转化，地址范围为： 172.30.255.10-172.30.255.101） 6. 在ASA上配置acl访问控制列表 (1)配置拒绝财务部的员工对外网的访问： asa802(config)# access-list in_caiwu_to_out deny ip 172.16.5.0 255.255.255.0 any asa802(config)# access-list in_caiwu_to_out permit ip any any asa802(config)# access-group in_caiwu _to_out in int inside (2)拒绝外网对内网的访问： asa802(config)# access-list out_to_in deny ip any any asa802(config)# access-list out_to_in permit ip any any asa802(config)# access-group out_to_in in int inside 7. 配置IPsec VPN隧道（这里选择GRE over IP sec）配置理由：总公司和分公司之间的互相访问，同时要保证外网对各个内网的访问的限制，所以配置一个IPsec VPN隧道。先配置各个端口的ip地址，以及将tunnel口的各种配置进行完毕。在配置第一阶段的IKE策略上：（1）Site1(config)#cry isa en Site1(config)#cry isa pol 10 Site1(config-isakmp)#encr 3de Site1(config-isakmp)#hash md5 Site1(config-isakmp)#auth pre-sha Site1(config-isakmp)#group 2 Site1(config-isakmp)#exi Site1(config)#cry isa key 0 121key address 202.1.1.1 Site1(config)# 在配置第二阶段的IKE策略上： (1) 配置感爱好流： Site1(config)#ip access-list extended vpn Site1(config-ext-nacl)#permit ip 10.1.1.0 0.0.0.255 172.16.1.0 0.0.0.255 Site1(config-ext-nacl)#exi (2) 配置IPsec策略 Site1(config)#cry ipsec transform-set trans esp-des esp-md5-hmac (3) 配置crypto map（第二阶段的策略汇总） Site1(cfg-crypto-trans)#cry map cry-map 10 ipsec-isa % NOTE: This new crypto map will remain disabled until a peer and a valid access list have been configured. Site1(config-crypto-map)#match add vpn Site1(config-crypto-map)#set trans Site1(config-crypto-map)#set transform-set trans Site1(config-crypto-map)#set peer 202.1.1.1 Site1(config-crypto-map)#set pfs group2 Site1(config-crypto-map)#set secur Site1(config-crypto-map)#set security-association lifetime sec Site1(config-crypto-map)#set security-association lifetime seconds 1800 （4）在接口上应用crypto map Site1(config)#int e1/0 Site1(config-if)#cry map cry-map Site1(config-if)# 8. 配置asa高级应用—日记管理 1. 打开日记功能 Asa_server(config)#logging enable Asa_server (config)#logging buffered informational 2. 配置asdm日记 Asa_server（config）#logging enable Asa_server（config）#logging asdm informationa 3. 配置 Asa_server(config)#logging enablel Asa_server(config)#logging trap informational Asa_server(config)#logging host inside 172.168.110.110 4.2配置核心层的ospf协议配置理由：在核心层部分，使用内部路由协议可适应大规模的网络；路由变化收敛速度快；无路由自环；支持变长子网掩码；支持等值路由；支持区域划分；提供路由分级管理；支持验证；支持以组播地址发送协议报文。端口 Ip地址子网掩码 R1的s0/0 172.16.0.1 255.255.255.192 R1的S0/1 172.16.0.193 255.255.255.192 R2的S0/0 172.16.0.62 255.255.255.192 R2的S0/1 172.16.0.65 255.255.255.192 R3的S0/0 172.16.0.129 255.255.255.192 R3的S0/1 172.16.0.126 255.255.255.192 R3的s0/2 172.16.5.62 255.255.255.192 R4的S0/0 172.16.0.190 255.255.255.192 R4的S0/1 172.16.0.254 255.255.255.192 R5的s0/2 172.16.5.1 255.255.255.192 1.将5个路由器都分别命名为r1,r2,r3,r4,r5（全局下配置，hostname r1） 2.将各个端口的ip地址配好，并将端口打开 r3(config)#int s0/1 r3(config-if)#ip address 172.16.0.126 255.255.255.192 r3(config-if)#no shut 3.在路由器中，ospf 1下，对每个网段进行宣告 r3(config)#router ospf 1 r3(config-router)#router-id 3.3.3.3（配置路由器的名称） r3(config-router)#net 172.16.0.64 0.0.0.63 area 0 r3(config-router)#net 172.16.0.128 0.0.0.63 area 0 4.使用sh ip route进行查看，路由条目的学习情况（图中显示，已经学习到各个网段的信息） 5.对r5中的路由进行上述配置（如下图）图中r5已经学习到router ospf协议的网段宣告信息。 6.对r5进行stub区域的配置 R5#conf t R5 (config)#router ospf 5 R5(config-router)#area 5 stub R5 (config-router)#end 将财务部设立成stub区域 7.配置虚链路 R3(config)#router ospf 1 R3(config-router)#area 1 virtual-link 3.3.3.3 R3(config-router)#exit 在r3上配置虚链路： R5(config)#router ospf 1 R5(config-router)#area1 virtual-link 5.5.5.5 R5(config-router)#end 4.3配置路由安全策略配置理由：网络管理不也许长时间的接触到路由器设备，而作为核心层的路由器，必须有较高的安全性。 1.配置console口的密码 r(config)#line con 0 r(config-line)#login local 2.配置aux口的密码(用来猫，电信网的) r(config)#line aux 0 r(config-line)#login local 3.配置远程登录的密码 r(config)#line vty 0 4 r(config-line)#pass ccie r(config-line)#login 4.防止查看R的诊断信息 r(config)#no service tcp-small-servers 5.防止查看路由器当前用户列表 r(config)#no service finger 6.关闭cdp（cisco discovery protocl）服务 r(config)#no cdp running 7.配置路由器仅允许172.16.0.0源网段的IP数据包通过路由器 R(config)#access-list 1 permit 172.16.0.0 0.0.255.255 R(config-if)#ip access-group 1 in（在各个端口上都进行该配置） 8.在路由器上配置同步时间NTP （1）在r1上配置： Router(config)#no ip domain-lo Router(config)#line c 0 Router(config-line)#exec-t 10 10 Router(config-line)#logg s Router(config-line)#end Router(config)#int s1/1 Router(config-if)#ip add 1.1.1.1 255.0.0.0 Router(config-if)#no shu Router(config)#hos ntpserver （2）各个相邻的路由器上配置 Router(config)#no ip domain-lo Router(config)#line c 0 Router(config-line)#exec-t 10 10 Router(config-line)#logg s Router(config-line)#end Router(config)#int s1/1 Router(config-if)#ip add 1.1.1.2 255.0.0.0 Router(config-if)#no shu Router(config)#ntpclient ntpclient(config)#ntp server 1.1.1.1 ntpclient(config)#end 4.4 AAA服务器的配置配置理由：aaa服务器将可以，配上ssh使用，将任何尝试访问路由器和互换机的记录都进行认证和审核 1.ACS的安装和配置前提：必须要有ACS文献和一个小的java文献 2.在安装的过程中，按照安装的向导进行，一步一步的设立 3.安装完毕之后，在桌面上出现ACS Admin的图标快捷方式 4.双击快捷方式，并在IE浏览器中，更改“安全设立”，将其改为安全级别为中，不然在IE浏览器中，将无法打开ACS的服务器。点击拟定。 5.添加用户名为wolf和密码为wolf （点击Submit） 6.添加AAAclient ，如下图所示： 7查看，配置信息，是否如下所示： 8.在路由器上启用AAA服务器 9测试配置（配置成功） 4.5在路由器上配置SSH服务器和AAA的认证（配置因素：为了方便在后期的网络维护和管理，网络管理员将要远程控制设备，而一般的TELNET的远程登录为明文显示用户名密码，所以安全措施使用SSH远程登录设备，并且配上AAA的认证措施。） Router(config)#no ip domain-lo Router(config)#no ip domain-lookup Router(config)#line console 0 Router(config-line)#exec-t 10 10 Router(config-line)#logg s Router(config)#end Router#conf t Enter configuration commands, one per line. End with CNTL/Z. Router(config)# *Mar 1 00:06:55.895: %SYS-5-CONFIG_I: Configured from console by console Router(config)# Router(config)# Router(config)# 1.定义主机名 Router(config)#hos sshrouter 2.创建一个的域 sshrouter(config)#ip domain name 3.为ssh定义密钥的长度为1024 sshrouter(config)#crypto key generate rsa The name for the keys will be: Choose the size of the key modulus in the range of 360 to 2048 for your General Purpose Keys. Choosing a key modulus greater than 512 may take a few minutes How many bits in the modulus [512]: 1024 % Generating 1024 bit RSA keys, keys will be non-exportable...[OK] 4.启用AAA服务，设立在本地服务器上进行认证 sshrouter(config)# sshrouter(config)#aaa new sshrouter(config)#aaa new-model 5.配置一个用户名和密码 sshrouter(config)#username rout pass routpassword privilege 15 6设立ssh的时间为120秒 sshrouter(config)#ip ssh ti sshrouter(config)#ip ssh time-out 120 7.设立ssh认证反复次数为4，可以在0-5之间选择 sshrouter(config)#ip ssh au sshrouter(config)#ip ssh authentication-retries 4 8.进入vty模式，并设立vty的登录模式为ssh，默认情况为all即允许所有登录 sshrouter(config)#line vty 0 4 sshrouter(config-line)#transport input ssh 9.在clientPC客户端192.168.1.1中，远程连接router 4.6配置三层互换机上的DHCP中继配置理由：在网络中架构2台DHCP服务器，但是DHCP的广播报文不能穿越路由器，所以，必须在三层互换机上配置DHCP中继器。 1.在三层互换机上配置命令 ip dhcp-server 172.16.254.6 interface Vlan11 ip address 172.16.1.62 255.255.255.192 ip helper-address 172.16.254.6 DHCP Server IP interface Vlan12 ip address 172.16.1.126 255.255.255.192 ip helper-address 172.16.254.6 DHCP Server IP interface Vlan13 ip address 172.16.1.190 255.255.255.192 ip helper-address 172.16.254.6 DHCP Server IP 2.在dhcp服务器上设立网络地址分别为172.16.1.0/26，172.16.1.64/26和172.16.1.128/26的作用域区域 Vlan Vlan接口IP 在DHCP服务器上配置的作用域 Area 1 Vlan11 172.16.1.62 172.16.1.0/26 Vlan12 172.16.1.126 172.16.1.64/26 Vlan13 172.16.1.190 172.16.1.128/26 Area2 Vlan21 172.16.2.62 172.16.2.0/26 Vlan22 172.16.2.126 172.16.2.64/26 Vlan23 172.16.2.190 172.16.2.128/26 Area3 Vlan31 172.16.3.62 172.16.3.0/26 Vlan32 172.16.3.126 172.16.3.64/26 Vlan33 172.16.3.190 172.16.3.128/26 Area4 Vlan41 172.16.4.62 172.16.4.0/26 Vlan42 172.16.4.126 172.16.4.64/26 Vlan43 172.16.4.190 172.16.4.128/26 Area5 Vlan51 172.16.5.62 172.16.5.0/26 Vlan52 172.16.5.126 172.16.5.64/26 Vlan53 172.16.5.190 172.16.5.128/26 4.7三层互换机上配置vlan和vtp 1.配置与互换机0和1的trunk。 Switch>enable Switch#config t Switch(config)#hostname core core(config)#interface gigabitethernet 0/1 core(config-if)#switchport mode trunk core(config-if)#exit core(config)#interface gigabitethernet 0/2 core(config-if)#switchport mode trunk core(config-if)#exit 2. 配置vtp，以及在server上建立vlan。。。 core(config)#vtp do core(config)#vtp domain timothy Changing VTP domain name from NULL to timothy core(config)#vtp mode server Device mode already VTP SERVER. core(config)#vlan 11 core(config-vlan)#vlan 12 core(config-vlan)#vlan 12 core(config-vlan)#exit 3.设立vlan网关。。。 core(config)#interface vlan 11 core(config-if)#ip address 172.16.1.0 255.255.255.129 core(config-if)#no shut core(config-if)#exit core(config)#interface vlan 12 core(config-if)#ip address 172.16.0.64 255.255.255.19 core(config-if)#no shut core(config-if)#exit core(config)#interface vlan 13 core(config-if)#ip address 172.16. 0.128 255.255.255.129 core(config-if)#no shut core(config-if)#exit 4. 保存。把running-config写入nvram成为startup-config core(config)#exit cor

展开阅读全文