1、xxxxxx集团简介集团简介1网络项目实战公司人员介绍公司人员介绍xxxxxx集团公司结构集团公司结构 项项 目目 经经 理:理:xxxxxx 售前工程师:售前工程师:xxxxxx 售后工程师:售后工程师:xxxxxxBenetBenet集团网络现状集团网络现状Benet集团网络拓扑图客户端客户端客户端客户端Internet10Mb/s专线专线2Mb/s专线专线ADSL北京总公司北京总公司上海分公司上海分公司青岛分公司青岛分公司通州分公司通州分公司房山分销点房山分销点昌平分销点昌平分销点客户端客户端业务信息服务业务信息服务器器机密信息不安全机密信息不安全带宽低不稳带宽低不稳定定网关抵御外网网关
2、抵御外网攻击能力差攻击能力差总公司统一管理财务、总公司统一管理财务、业务信息困难业务信息困难网络建设需求网络建设需求-1-1 BenetBenet集集团团网网络络建建设设需求需求 提升提升提升总总总公司骨干网公司骨干网公司骨干网线线线路路路带宽带宽带宽,避免网,避免网,避免网络拥络拥络拥塞塞塞 将将将将将将总总总总总总公司骨干公司骨干公司骨干公司骨干公司骨干公司骨干线线线线线线路升路升路升路升路升路升级为级为级为级为级为级为千兆位以太网千兆位以太网千兆位以太网千兆位以太网千兆位以太网千兆位以太网链链链链链链路路路路路路 使北京地区分使北京地区分使北京地区分销销销点通点通点通过专线过专线过专线直
3、接直接直接连连连接到接到接到总总总公司公司公司 各分公司通各分公司通各分公司通各分公司通各分公司通各分公司通过过过过过过ISPISPISP的的的的的的E1E1E1链链链链链链路路路路路路连连连连连连接到接到接到接到接到接到总总总总总总公司公司公司公司公司公司 各分公司通各分公司通各分公司通各分公司通各分公司通各分公司通过总过总过总过总过总过总公司公司公司公司公司公司访问访问访问访问访问访问InternetInternetInternet 当网当网当网络拥络拥络拥塞塞塞时时时保保保证视频证视频证视频会会会议议议和和和访问访问访问服服服务务务器的流器的流器的流量量量 使用使用使用使用使用使用QoS
4、QoSQoS技技技技技技术术术术术术保保保保保保证证证证证证网网网网网网络拥络拥络拥络拥络拥络拥塞塞塞塞塞塞时时时时时时关关关关关关键业务键业务键业务键业务键业务键业务数据流量数据流量数据流量数据流量数据流量数据流量带带带带带带宽宽宽宽宽宽网络建设需求网络建设需求-2-2Benet集团网络建设需求增加北京天增加北京天时总时总公司网公司网络稳络稳定性定性 使用使用使用使用热备热备热备热备份技份技份技份技术术术术(HSRPHSRP)增加网)增加网)增加网)增加网络稳络稳络稳络稳定性定性定性定性加加强强各公司网关安全,抵御来自互各公司网关安全,抵御来自互联联网的攻网的攻击击 各公司网管添加防火各公司
5、网管添加防火各公司网管添加防火各公司网管添加防火墙设备墙设备墙设备墙设备,增加内网安全,增加内网安全,增加内网安全,增加内网安全加加强强各公司各公司间业务间业务、财务财务信息信息传输传输的安全性的安全性 采用采用采用采用VPNVPN技技技技术术术术加密重要数据流量加密重要数据流量加密重要数据流量加密重要数据流量节约节约成本,最大限度的利用成本,最大限度的利用现现有网有网络资络资源源网络改造方案网络改造方案Benet集团改造方面分为3部分InternetInternet部分部分北京北京总总公司园区网部分公司园区网部分北京各分北京各分销销点到点到总总公司公司专线专线网部分网部分Internet内网
6、专线内网专线上海分公司上海分公司青岛分公司青岛分公司InternetInternet部分部分北京总公司北京总公司园区网部分园区网部分北京各分销点到总北京各分销点到总公司专线网部分公司专线网部分网络改造方案网络改造方案-Internet-Internet部分部分采用IPSec VPN和SSL VPN加密重要数据集集团团数据、数据、邮邮件、关件、关键业务键业务由由总总公司公司统统一管理一管理总总公司和分公司公司和分公司间间建立建立IPSec VPNIPSec VPN,重要数,重要数据据进进行加密行加密传输传输出差出差员员工通工通过过SSL VPNSSL VPN访问访问内网服内网服务务器器Inter
7、netASA 5540ASA 5510ASA 5510SSL VPNIPSec VPN北京天时总公北京天时总公司司上海分公上海分公司司青岛分公青岛分公司司网络改造方案网络改造方案-总公司园区网部分总公司园区网部分总公司园区网增强网络稳定性使用使用HSRPHSRP实现实现网网络稳络稳定性定性使用使用OSPFOSPF等等值值路由路由实现负载实现负载均衡均衡Internet内网专线内网专线客客户户端端会议室会议室内部服务器内部服务器财财务务部部财务服务器财务服务器业务服务器业务服务器网络改造方案网络改造方案-内网专线网部分内网专线网部分使用OSPF实现网络互通北京各分北京各分销销点通点通过过E1E1
8、专线专线接入接入总总公司公司使用使用QoSQoS技技术术保保证视频证视频会会议议和和总总要要业务带宽业务带宽总公司总公司内网内网北京昌平北京昌平分销点分销点北京通州北京通州分公司分公司北京房山北京房山分销点分销点Area 1Area 100Area 0InternetE1专线专线北京总公司北京总公司北京各分销点总公司北京各分销点总公司BenetBenet集团网络设备选择集团网络设备选择安全设备选型总公司采用Cisco ASA5540上海、青岛分公司采用Cisco ASA5510交换设备选型北京总公司核心层设备选用Cisco 4506原核心设备Cisco 4503 给上海分公司使用汇集层位Cis
9、co 3560,接入层为Cisco 2960路由设备选型北京总公司采用Cisco 3825分公司和分销网点统一购买Cisco 2811项目方案设计项目方案设计北京总公司园区网设计防火防火墙墙、VTPVTP、STPSTP、HSTPHSTP、以太网通道、以太网通道、QoSQoS北京总公司即北京地区分销点路由设计内网内网OSPFOSPF、防火、防火墙墙路由路由广域网通信设计(NAT)网络安全部分设计设备设备自身安全、自身安全、ACLACL、IPSec VPNIPSec VPN、SSL SSL VPNVPN网络管理设计BenetBenet集团改造后网络拓扑图集团改造后网络拓扑图Benet集团网络使用设
10、备统计InternetInternet集团业务、集团业务、财务服务器财务服务器天时办公大厦天时办公大厦天时后勤大厦天时后勤大厦天时会议中心天时会议中心天时公司内、天时公司内、外网服务器外网服务器通州分公司通州分公司昌平分昌平分销点销点房山分房山分销点销点上海迪利上海迪利青岛仁和青岛仁和集团财务部集团财务部接入交换机接入交换机内网专线内网专线北京天时总公司网络拓扑图北京天时总公司网络拓扑图北京地区各销售点网络拓扑图北京地区各销售点网络拓扑图上海、青岛分公司网络拓扑图上海、青岛分公司网络拓扑图VLANVLAN及及IPIP地址规划地址规划为避免IP地址冲突,重新规划IP地址北京天北京天时总时总公司:
11、公司:10.10.0.0/1610.10.0.0/16北京地区各分北京地区各分销销点:点:10.20.0.0/1610.20.0.0/16上海迪利公司:上海迪利公司:10.100.0.0/1610.100.0.0/16青青岛岛仁和公司:仁和公司:10.200.0.0/1610.200.0.0/16互联地址设备管理IP地址VLAN与IP地址获得的公网地址使用使用10.XX.254.0/2410.XX.254.0/24网段;网段;OSPFOSPF中中Area0Area0使用使用10.254.2.0/2410.254.2.0/24网段网段使用使用10.XX.1.0/2410.XX.1.0/24网段;
12、网段;路由器使用路由器使用LoopbackLoopback接口接口/32/32掩码;掩码;1 1、VLANVLAN号与号与IPIP地址第地址第3 3个个8 8位字段相对应位字段相对应2 2、同一地点不同部门分配连续的网段、同一地点不同部门分配连续的网段3 3、为日后扩容余量、为日后扩容余量VLANVLAN和和IPIP4 4、分配财务部、视频会议地址、分配财务部、视频会议地址5 5、VLANVLAN命名(除服务器):公司地区命名(除服务器):公司地区-部部门名,不分部门可以使用门名,不分部门可以使用“地区地区-all-all”为外网提供服务的服务器(为外网提供服务的服务器(WebWeb、邮、邮件
13、等)使用公网地址件等)使用公网地址北京天时总公司园区网设计北京天时总公司园区网设计防火墙过滤内网流量 INSIDE区域设计 VTP设计 STP和HSRP设计 以太网通道设计 QoS设计 14防火墙过滤内网流量防火墙过滤内网流量天天时总时总公司内部服公司内部服务务器分器分为为三部分:三部分:天天时总时总公司内部使用服公司内部使用服务务器(域控、器(域控、OAOA、DNSDNS)为为外网提供服外网提供服务务的的WebWeb、邮邮件、件、FTPFTP等服等服务务器器公司重要数据的服公司重要数据的服务务器(器(财务财务、业务业务)财务财务、业务业务服服务务器网关直接指向防火器网关直接指向防火墙墙客客户
14、户端端访问财务访问财务或或业务业务服服务务器器过过程:程:两侧均为接入链路两侧均为接入链路默认路由默认路由直连路由直连路由VLANVLAN间间路由路由二层交换二层交换三层路由三层路由指向客户端指向客户端的静态路由的静态路由访问网关访问网关二层交换二层交换访问服务器访问服务器直连路由直连路由业务服务器业务服务器Internet业务服务业务服务器器财务服务财务服务器器公司内网公司内网内部服务器内部服务器对外服务器对外服务器Outsidesecurity-level 0Insidesecurity-level 100YW_svrsecurity-level 50CW_svrsecurity-leve
15、l 60ASA 5540InsideInside区域设计区域设计ASA有两个Inside区域连接到两台核心交换机公司内网公司内网Outsidesecurity-level 0Inside1security-level 100YW_svrsecurity-level 50CW_svrsecurity-level 60Inside2security-level 100核心交换机核心交换机1 1核心交换机核心交换机2 2ASA 5540VTPVTP设计设计VTP相关参数规划VTPVTP域名:域名:benetbenetVTPVTP域口令:域口令:ciscociscoVTPVTP版本:版本:v2v2VT
16、PVTP修剪:启用修剪:启用VTP ServerVTP Server:两台核心交:两台核心交换换VTP ClientVTP Client:其余所有交:其余所有交换换机机部分交换机手动配置VLAN财务财务、业务业务服服务务器接入交器接入交换换机机财务财务部接入交部接入交换换机手机手动动配置配置VLANVLANInternet业务服务器业务服务器天时办公大厦天时办公大厦天时后勤大厦天时后勤大厦天时会议中心天时会议中心内网使用服务器内网使用服务器外网访问服务器外网访问服务器财务部接财务部接入交换机入交换机内网专线内网专线财务服务器财务服务器ASA 5540ClientClient模式模式Server
17、Server模式模式手动配置手动配置STPSTP与与HSRPHSRP设计设计天时总公司通过HSRP实现设备备份将将VLANVLAN分分为为两两组实现组实现流量流量负载负载均衡均衡两台核心交两台核心交换换机分机分别别在不同在不同HSRPHSRP组组内承担活内承担活跃跃路由器路由器外网外网访问访问服服务务器使用公网器使用公网IPIP地址地址使用MST实现线缆冗余配置两个配置两个MSTMST实实例分例分别对应别对应HSRPHSRP的两的两组组VLANVLANSTPSTP中根网中根网桥桥的的选择选择和活和活跃跃路由器的路由器的选择选择保持保持一致一致Instance1包含的包含的VLANInstanc
18、e2包含的包含的VLANInstance1包含的包含的VLANInstance2包含的包含的VLANHSRP:ActiveSTP:rootHSRP:ActiveSTP:root以太网通道设计以太网通道设计通过以太网通道扩容链路带宽、实现冗余备份核心交核心交换换机之机之间链间链路路内网服内网服务务器、外网器、外网访问访问服服务务器接入交器接入交换换机到核机到核心交心交换换机的机的链链路路内网使用服务器内网使用服务器外网访问服务器外网访问服务器19QoSQoS设计设计使用QoS技术保证财务和视频会议流量财务财务数据流量:占用数据流量:占用带宽较带宽较小,小,预预留留0.2Mb/s0.2Mb/s带宽
19、带宽视频视频会会议议流量:分流量:分销销点到点到总总公司两台路由器的公司两台路由器的两路上都需要两路上都需要预预留留2Mb/s2Mb/s带宽带宽通州分公通州分公司内网司内网天时总公天时总公司内网司内网通州分公通州分公司网关司网关天时总公司天时总公司内网网关内网网关将两条将两条E1E1链路绑定为链路绑定为1 1条条4Mb/s4Mb/s链路链路两条链路各需要为视频两条链路各需要为视频流量预留流量预留2Mb/s2Mb/s带宽带宽天时总公司天时总公司ASAASA防火墙路由设计防火墙路由设计配置默认路由实现访问互联网配置浮动静态路由实现冗余备份指向活指向活跃跃路由器的静路由器的静态态路由管理距离路由管理
20、距离为为1 1指向指向备备份路由器的静份路由器的静态态路由管理距离路由管理距离为为100100通州网段与房山、昌平网段分通州网段与房山、昌平网段分为为两两组组分分别别使用不同的管理距离指向不同核心交使用不同的管理距离指向不同核心交换换机机外网访问对外提供服务的服务器的流程静态路由静态路由直连路由直连路由二层交换二层交换ASA默认路由默认路由访问网关访问网关ISP路由路由防火墙默认防火墙默认路由路由Internet三层交换三层交换广域网设计(广域网设计(NATNAT)不需要进行NAT转换的流量财务服务器财务服务器Benet集团所有公司财务部集团所有公司财务部NO NAT业务服务器业务服务器Ben
21、et集团所有公司人员集团所有公司人员NO NATBenet集团总公司内网集团总公司内网Benet集团总公司内网集团总公司内网NO NAT业务服务器业务服务器SSL VPN用户用户NO NATBenet集团总公司内部服务器集团总公司内部服务器Benet集团总公司财务部集团总公司财务部NO NATBenet集团集团Web等服务器等服务器InternetInternetBenet集团公司内网集团公司内网NATNO NAT安全部分设计安全部分设计-1-1IPSec VPN设计总总公司和分公司之公司和分公司之间间通通过过IPSec VPNIPSec VPN传输传输机密机密数据数据财务财务数据、数据、业务
22、业务数据等属于机密数据数据等属于机密数据IPSec VPNIPSec VPN参数参数阶阶段段2 2传输传输集:集:esp-3desesp-3des和和esp-sha-hmacesp-sha-hmac阶阶段段1 1协协商参数:商参数:shasha、3des3des、共享密、共享密钥为钥为benetbenet、密、密钥组钥组group2group2、生存、生存时间时间8640086400秒秒Crypto MapCrypto Map参数:参数:pfs group2pfs group2Internet北京总公司北京总公司ASA 5540青岛分公司青岛分公司ASA 5510上海分公司上海分公司ASA 5
23、510IPSec VPN安全部分设计安全部分设计-2 2SSL VPN设计出差出差员员工通工通过过SSL VPNSSL VPN安全的安全的访问业务访问业务服服务务器器也可以也可以访问访问OAOA等内网使用的服等内网使用的服务务器器SSL VPNSSL VPN参数参数使用使用HTTPSHTTPS的的80038003端口登端口登录录SSL VPNSSL VPN地址池地址池为为10.10.10.101-10.10.10.101-10.10.10.20010.10.10.200Internet北京总公司北京总公司ASA 5540SSL VPN项目模拟实施拓扑图项目模拟实施拓扑图F0/15F0/15F0
24、/14 F0/14F0/15F0/4F0/3IPSec VPNSSL VPNISP总公司路由器总公司路由器北京分公司北京分公司网关路由器网关路由器SW5SW6SW1SW2ASA1ASA2E0/0F1/0E0/0E0/2E0/1F0/0F0/0F0/0S1/0S2/0F0/3F0/2F0/3F0/2F0/1F0/2F0/1PC4OA_svrF0/3F0/1F0/1E0/3E0/4PC2SW4CW_svrYW_svrPC5F0/2SW3PC3F0/0R2E0/1PC1F2/0F0/0F1/0F0/15F0/0F0/0F0/1F0/2F0/3R1Web_svroutsideoutside区域区域in
25、side1inside1区域区域inside2inside2区域区域CW_svrCW_svr区域区域YW_svrYW_svr区域区域模拟项目规划配置信息模拟项目规划配置信息基础规划 设备设备互互联联地址地址用用户户、服、服务务器器IPIP地址及地址及VLANVLAN管理管理IPIP地址地址一台一台PCPC模拟多个网段时需要模拟多个网段时需要更改主机及设备相应配置更改主机及设备相应配置配置配置PVST+PVST+,不配置,不配置MSTMST交换部分规划交换部分规划以太网通道以太网通道 VTP VLAN与与TRUNK STP与与HSRP 路由部分规划路由部分规划QoS规划规划安全部分规划安全部分规
26、划 设备服务安全设备服务安全设备密码设备密码远程访问远程访问ACL规划规划广域网部分规划广域网部分规划NAT规划规划ASA2路由设计路由设计 IPSec VPN规划规划SSL VPN规划规划只进行配置,不进行验证只进行配置,不进行验证采用采用pingping命令测试是命令测试是否能够访问服务器否能够访问服务器测试验收测试验收连通性测试主要使用主要使用pingping命令命令查查看看连连通性和通性和时时延延VPN测试验证访问验证访问服服务务器是否正常器是否正常冗余性测试HSRPHSRP和和负载负载均衡路由均衡路由测试测试设备访问权限测试远远程管理程管理设备设备是否正常是否正常售售 后后 支支 持
27、持-1-1项目项目培培训训售售 后后 支支 持持-2-2免免费费保修期保修期 我公司我公司为为本工程提免本工程提免费费保修期保修期为为三年,三年,自自设备设备(网(网络络系系统统)验验收移交之日起开始收移交之日起开始计计算。保修期内算。保修期内设备设备出出现现故障,保故障,保证证在在2个个小小时时内作出响内作出响应应。(不包括用。(不包括用户违户违反操作反操作规规定、人定、人为损为损坏的情况)。坏的情况)。维护维护服服务务 保修期后,由本公司供五年保修期后,由本公司供五年维护维护服服务务。保保证证在在2个小个小时时内做反内做反应应.用用户户可以可以协议协议的方的方式全面委托式全面委托XX集集团对团对整个网整个网络络系系统统的日常的日常管理、管理、维护维护工作工作。愿与贵公司合作愉快愿与贵公司合作愉快