投標書xxx集團簡介2網絡工程實戰公司人員介紹xxx集團公司結構

項目經理：xxx售前工程師：xxx售后工程師：xxxBenet集團網絡現狀Benet集團網絡拓撲圖客戶端客戶端Internet10Mb/s專線2Mb/s專線ADSL北京總公司上海分公司青島分公司通州分公司房山分銷點昌平分銷點客戶端業務信息服務器機密信息不安全帶寬低不穩定網關抵御外網攻擊能力差總公司統一管理財務、業務信息困難網絡建設需求-1Benet集團網絡建設需求提升總公司骨干網線路帶寬，防止網絡擁塞將總公司骨干線路升級為千兆位以太網鏈路使北京地區分銷點通過專線直接連接到總公司各分公司通過ISP的E1鏈路連接到總公司各分公司通過總公司訪問Internet當網絡擁塞時保證視頻會議和訪問效勞器的流量使用QoS技術保證網絡擁塞時關鍵業務數據流量帶寬網絡建設需求-2Benet集團網絡建設需求增加北京天時總公司網絡穩定性使用熱備份技術〔HSRP〕增加網絡穩定性加強各公司網關平安，抵御來自互聯網的攻擊各公司網管添加防火墻設備，增加內網平安加強各公司間業務、財務信息傳輸的平安性采用VPN技術加密重要數據流量節約本錢，最大限度的利用現有網絡資源網絡改造方案Benet集團改造方面分為3局部Internet局部北京總公司園區網局部北京各分銷點到總公司專線網局部Internet內網專線上海分公司青島分公司Internet部分北京總公司園區網部分北京各分銷點到總公司專線網部分網絡改造方案-Internet局部采用IPSecVPN和SSLVPN加密重要數據集團數據、郵件、關鍵業務由總公司統一管理總公司和分公司間建立IPSecVPN，重要數據進行加密傳輸出差員工通過SSLVPN訪問內網效勞器InternetASA5540ASA5510ASA5510SSLVPNIPSecVPN北京天時總公司上海分公司青島分公司網絡改造方案-總公司園區網局部總公司園區網增強網絡穩定性使用HSRP實現網絡穩定性使用OSPF等值路由實現負載均衡Internet內網專線客戶端會議室內部服務器財務部財務服務器業務服務器網絡改造方案-內網專線網局部使用OSPF實現網絡互通北京各分銷點通過E1專線接入總公司使用QoS技術保證視頻會議和總要業務帶寬總公司內網北京昌平分銷點北京通州分公司北京房山分銷點Area1Area100Area0InternetE1專線北京總公司北京各分銷點總公司Benet集團網絡設備選擇平安設備選型總公司采用CiscoASA5540上海、青島分公司采用CiscoASA5510交換設備選型北京總公司核心層設備選用Cisco4506原核心設備Cisco4503給上海分公司使用聚集層位Cisco3560，接入層為Cisco2960路由設備選型北京總公司采用Cisco3825分公司和分銷網點統一購置Cisco2811工程方案設計北京總公司園區網設計防火墻、VTP、STP、HSTP、以太網通道、QoS……北京總公司即北京地區分銷點路由設計內網OSPF、防火墻路由廣域網通信設計〔NAT〕網絡平安局部設計設備自身平安、ACL、IPSecVPN、SSLVPN……網絡管理設計Benet集團改造后網絡拓撲圖Benet集團網絡使用設備統計Internet集團業務、財務服務器天時辦公大廈天時后勤大廈天時會議中心天時公司內、外網服務器通州分公司昌平分銷點房山分銷點上海迪利青島仁和……集團財務部接入交換機內網專線北京天時總公司網絡拓撲圖北京地區各銷售點網絡拓撲圖上海、青島分公司網絡拓撲圖VLAN及IP地址規劃為防止IP地址沖突，重新規劃IP地址北京天時總公司：北京地區各分銷點：上海迪利公司：青島仁和公司：互聯地址設備管理IP地址VLAN與IP地址獲得的公網地址使用網段；OSPF中Area0使用網段使用網段；路由器使用Loopback接口/32掩碼；1、VLAN號與IP地址第3個8位字段相對應2、同一地點不同部門分配連續的網段3、為日后擴容余量VLAN和IP4、分配財務部、視頻會議地址5、VLAN命名〔除效勞器〕：公司地區-部門名，不分部門可以使用“地區-all〞為外網提供效勞的效勞器〔Web、郵件等〕使用公網地址北京天時總公司園區網設計防火墻過濾內網流量INSIDE區域設計VTP設計STP和HSRP設計以太網通道設計QoS設計15防火墻過濾內網流量天時總公司內部效勞器分為三局部：天時總公司內部使用效勞器〔域控、OA、DNS……〕為外網提供效勞的Web、郵件、FTP等效勞器公司重要數據的效勞器〔財務、業務〕財務、業務效勞器網關直接指向防火墻客戶端訪問財務或業務效勞器過程：兩側均為接入鏈路默認路由直連路由VLAN間路由二層交換三層路由指向客戶端的靜態路由訪問網關二層交換訪問服務器直連路由業務服務器Internet業務服務器財務服務器公司內網內部服務器對外服務器Outsidesecurity-level0Insidesecurity-level100YW_svrsecurity-level50CW_svrsecurity-level60ASA5540Inside區域設計ASA有兩個Inside區域連接到兩臺核心交換機公司內網Outsidesecurity-level0Inside1security-level100YW_svrsecurity-level50CW_svrsecurity-level60Inside2security-level100核心交換機1核心交換機2ASA5540VTP設計VTP相關參數規劃VTP域名：benetVTP域口令：ciscoVTP版本：v2VTP修剪：啟用VTPServer：兩臺核心交換VTPClient：其余所有交換機局部交換機手動配置VLAN財務、業務效勞器接入交換機財務部接入交換機手動配置VLANInternet業務服務器天時辦公大廈天時后勤大廈天時會議中心內網使用服務器外網訪問服務器……財務部接入交換機內網專線財務服務器ASA5540Client模式Server模式手動配置STP與HSRP設計天時總公司通過HSRP實現設備備份將VLAN分為兩組實現流量負載均衡兩臺核心交換機分別在不同HSRP組內承擔活潑路由器外網訪問效勞器使用公網IP地址使用MST實現線纜冗余配置兩個MST實例分別對應HSRP的兩組VLANSTP中根網橋的選擇和活潑路由器的選擇保持一致Instance1包含的VLANInstance2包含的VLANInstance1包含的VLANInstance2包含的VLANHSRP：ActiveSTP：rootHSRP：ActiveSTP：root以太網通道設計通過以太網通道擴容鏈路帶寬、實現冗余備份核心交換機之間鏈路內網效勞器、外網訪問效勞器接入交換機到核心交換機的鏈路內網使用效勞器外網訪問效勞器20QoS設計使用QoS技術保證財務和視頻會議流量財務數據流量：占用帶寬較小，預留0.2Mb/s帶寬視頻會議流量：分銷點到總公司兩臺路由器的兩路上都需要預留2Mb/s帶寬通州分公司內網天時總公司內網通州分公司網關天時總公司內網網關將兩條E1鏈路綁定為1條4Mb/s鏈路兩條鏈路各需要為視頻流量預留2Mb/s帶寬天時總公司ASA防火墻路由設計配置默認路由實現訪問互聯網配置浮動靜態路由實現冗余備份指向活潑路由器的靜態路由管理距離為1指向備份路由器的靜態路由管理距離為100通州網段與房山、昌平網段分為兩組分別使用不同的管理距離指向不同核心交換機外網訪問對外提供效勞的效勞器的流程靜態路由直連路由二層交換ASA默認路由訪問網關ISP路由防火墻默認路由Internet三層交換廣域網設計〔NAT〕不需要進行NAT轉換的流量財務服務器Benet集團所有公司財務部NONAT業務服務器Benet集團所有公司人員NONATBenet集團總公司內網Benet集團總公司內網NONAT業務服務器SSLVPN用戶NONATBenet集團總公司內部服務器Benet集團總公司財務部NONATBenet集團Web等服務器InternetInternetBenet集團公司內網NATNONAT平安局部設計-1IPSecVPN設計總公司和分公司之間通過IPSecVPN傳輸機密數據財務數據、業務數據等屬于機密數據IPSecVPN參數階段2傳輸集：esp-3des和esp-sha-hmac階段1協商參數：sha、3des、共享密鑰為benet、密鑰組group2、生存時間86400秒CryptoMap參數：pfsgroup2Internet北京總公司ASA5540青島分公司ASA5510上海分公司ASA5510IPSecVPN平安局部設計-2SSLVPN設計出差員工通過SSLVPN平安的訪問業務效勞器也可以訪問OA等內網使用的效勞器SSLVPN參數使用HTTPS的8003端口登錄SSLVPN地址池為Internet北京總公司ASA5540SSLVPN工程模擬實施拓撲圖F0/15F0/15F0/14F0/14F0/15F0/4F0/3IPSecVPNSSLVPNISP總公司路由器北京分公司網關路由器SW5SW6SW1SW2ASA1ASA2E0/0F1/0E0/0E0/2E0/1F0/0F0/0F0/0S1/0S2/0F0/3F0/2F0/3F0/2F0/1F0/2F0/1PC4OA_svrF0/3F0/1F0/1E0/3E0/4PC2SW4CW_svrYW_svrPC5F0/2SW3PC3F0/0R2E0/1PC1F2/0F0/0F1/0F0/15F0/0F0/0F0/1F0/2F0/3R1Web_svroutside區域inside1區域inside2區域CW_svr區域YW_svr區域模擬工程規劃配置信息根底規劃設備互聯地址用戶、效勞器IP地址及VLAN管理IP地址一臺PC模擬多個網段時需要更改主機及設備相應配置配置PVST+，不配置MST交換局部規劃以太網通道VTPVLAN與TRUNKSTP與HSRP路由局部規劃QoS規劃平安局部規劃設備效勞平安設備密碼遠程訪問ACL規劃廣域網局部規劃NAT規劃ASA2路由設計IPSecVPN規劃SSLVPN規劃只進行配置，不進行驗證采用ping命令測試是否能夠訪問效勞器測試驗收連通性測試主要使用ping命令查看連通性和時延VPN測試驗證訪問效勞器是否正常冗余性測試