1、课程安排课程安排教员讲解教员讲解项目工程实施流程项目工程实施流程项目案例讲解项目案例讲解p项目需求分析、方案设计、工程实施、验收竣工等项目需求分析、方案设计、工程实施、验收竣工等p项目案例设计技能点串讲项目案例设计技能点串讲项目案例实施即注意事项项目案例实施即注意事项p按照模拟环境实施项目案例按照模拟环境实施项目案例p讲解模拟环境实施中的注意事项讲解模拟环境实施中的注意事项学员实施学员实施准备项目案例网络环境准备项目案例网络环境 实施项目案例并进行验收实施项目案例并进行验收项目验收通过后编写竣工文档、培训项目验收通过后编写竣工文档、培训PPT等等案例答辩案例答辩学员讲解项目案例学员讲解项目案例
2、讲解工程中出现的问题,指出工程中的不足讲解工程中出现的问题,指出工程中的不足 1BENET3.0第二学期课程网络项目实战 理论部分理论部分本章结构本章结构网络项目实战网络项目实战公司网络现状公司网络现状企业需求分析企业需求分析项目工程实施流程项目工程实施流程网络改造需求分析网络改造需求分析方案设计方案设计公司网络需求公司网络需求项目实施项目实施售后支持及相关培训售后支持及相关培训设备命名及连接设备命名及连接广域网部分设计广域网部分设计VLAN、IP地址规划地址规划总公司内部网络设计总公司内部网络设计路由部分设计路由部分设计网络安全部分设计网络安全部分设计编写竣工报告、培训编写竣工报告、培训PP
3、T项目测试验收项目测试验收项目测试、验收项目测试、验收3项目工程流程项目工程流程2-1项目实施流程的六个阶段项目实施流程的六个阶段项目招投标阶段项目招投标阶段p招标书、现场调研、投标书招标书、现场调研、投标书项目启动阶段项目启动阶段p项目人员安排、第二次现场调研、细化方案设计项目人员安排、第二次现场调研、细化方案设计项目实施阶段项目实施阶段p网络结构搭建、系统服务的搭建网络结构搭建、系统服务的搭建项目测试阶段项目测试阶段p布线测试、机房系统测试、网络系统测试、系统服务测试布线测试、机房系统测试、网络系统测试、系统服务测试项目验收阶段项目验收阶段p初验、试运行、终验;最后出具验收报告和竣工文档初
4、验、试运行、终验;最后出具验收报告和竣工文档项目售后服务和培训阶段项目售后服务和培训阶段p售后服务条约,培训售后服务条约,培训PPT编写等编写等4项目工程流程项目工程流程2-2项目的招投标阶段项目的招投标阶段项目的启动阶段项目的启动阶段项目的实施阶段项目的实施阶段项目的测试阶段项目的测试阶段项目的验收阶段项目的验收阶段项目的培训和项目的培训和售后服务阶段售后服务阶段5Benet集团简介集团简介Benet集团公司结构集团公司结构以房地产业务为主的大型集团公司以房地产业务为主的大型集团公司全国有三家公司:北京天时、青岛仁和、上海迪利全国有三家公司:北京天时、青岛仁和、上海迪利p北京天时房产公司为北
5、京天时房产公司为Benet集团总公司集团总公司北京天时房产有限总公司北京天时房产有限总公司上海迪利房产有限公司上海迪利房产有限公司青岛仁和房产有限公司青岛仁和房产有限公司BenetBenet集团公司集团公司房山分销点房山分销点通州分公司通州分公司昌平分销点昌平分销点6Benet集团网络现状集团网络现状Benet集团网络拓扑图集团网络拓扑图Internet10Mb/s专线专线2Mb/s专线专线ADSL北京总公司北京总公司上海分公司上海分公司青岛分公司青岛分公司通州分公司通州分公司房山分销点房山分销点昌平分销点昌平分销点客户端客户端客户端客户端业务信息服务器业务信息服务器客户端客户端机密信息不安全
6、机密信息不安全带宽低不稳定带宽低不稳定网关抵御外网攻网关抵御外网攻击能力差击能力差总公司统一管理财务、总公司统一管理财务、业务信息困难业务信息困难7网络建设需求网络建设需求2-1Benet集团网络建设需求集团网络建设需求提升总公司骨干网线路带宽,避免网络拥塞提升总公司骨干网线路带宽,避免网络拥塞p将总公司骨干线路升级为千兆位以太网链路将总公司骨干线路升级为千兆位以太网链路使北京地区分销点通过专线直接连接到总公司使北京地区分销点通过专线直接连接到总公司p各分公司通过各分公司通过ISP的的E1链路连接到总公司链路连接到总公司p各分公司通过总公司访问各分公司通过总公司访问Internet当网络拥塞时
7、保证视频会议和访问服务器的流量当网络拥塞时保证视频会议和访问服务器的流量p使用使用QoS技术保证网络拥塞时关键业务数据流量带宽技术保证网络拥塞时关键业务数据流量带宽8网络建设需求网络建设需求2-2Benet集团网络建设需求集团网络建设需求增加北京天时总公司网络稳定性增加北京天时总公司网络稳定性p使用热备份技术(使用热备份技术(HSRP)增加网络稳定性)增加网络稳定性加强各公司网关安全,抵御来自互联网的攻击加强各公司网关安全,抵御来自互联网的攻击p各公司网管添加防火墙设备,增加内网安全各公司网管添加防火墙设备,增加内网安全加强各公司间业务、财务信息传输的安全性加强各公司间业务、财务信息传输的安全
8、性p采用采用VPN技术加密重要数据流量技术加密重要数据流量节约成本,最大限度的利用现有网络资源节约成本,最大限度的利用现有网络资源9网络项目设计原则与设计思路网络项目设计原则与设计思路网络部分的总体设计要求网络部分的总体设计要求实用性和集成性实用性和集成性标准性和开放性标准性和开放性先进性和安全性先进性和安全性成熟性和高可靠性成熟性和高可靠性可维护性和可管理性可维护性和可管理性可扩充性和兼容性可扩充性和兼容性项目实施主要依据原则项目实施主要依据原则按照国家相关工程标准进行实施按照国家相关工程标准进行实施p布线标准、电气标准、作业安全标准布线标准、电气标准、作业安全标准p性能良好,安全可靠性能良
9、好,安全可靠易于升级,易于升级,易于配置易于配置良好的售后服务支持良好的售后服务支持可通过网络进行管理可通过网络进行管理网管工作站网管工作站网络云网络云被管设备被管设备业务流量业务流量网管流量网管流量带内网管带内网管网管工作站网管工作站网络云网络云被管设备被管设备业务流量业务流量带外网管带外网管网管流量网管流量10网络改造方案网络改造方案Benet集团改造方面分为集团改造方面分为3部分部分Internet部分部分北京总公司园区网部分北京总公司园区网部分北京各分销点到总公司专线网部分北京各分销点到总公司专线网部分Internet内网专线内网专线上海分公司上海分公司青岛分公司青岛分公司Intern
10、etInternet部分部分北京总公司北京总公司园区网部分园区网部分北京各分销点到总北京各分销点到总公司专线网部分公司专线网部分11网络改造方案网络改造方案-Internet部分部分采用采用IPSec VPN和和SSL VPN加密重要数据加密重要数据集团数据、邮件、关键业务由总公司统一管理集团数据、邮件、关键业务由总公司统一管理p总公司和分公司间建立总公司和分公司间建立IPSec VPN,重要数据进行加密传输,重要数据进行加密传输p出差员工通过出差员工通过SSL VPN访问内网服务器访问内网服务器InternetASA 5540ASA 5510ASA 5510SSL VPNIPSec VPN北
11、京天时总公司北京天时总公司上海分公司上海分公司青岛分公司青岛分公司12总公司园区网增强网络稳定性总公司园区网增强网络稳定性使用使用HSRP实现网络稳定性实现网络稳定性使用使用OSPF等值路由实现负载均衡等值路由实现负载均衡Internet内网专线内网专线客户端客户端会议室会议室内部服务器内部服务器财务部财务部财务服务器财务服务器业务服务器业务服务器13网络改造方案网络改造方案-内网内网专线网部分专线网部分使用使用OSPF实现网络互通实现网络互通北京各分销点通过北京各分销点通过E1专线接入总公司专线接入总公司使用使用QoS技术保证视频会议和总要业务带宽技术保证视频会议和总要业务带宽总公司总公司内
12、网内网北京昌平北京昌平分销点分销点北京通州北京通州分公司分公司北京房山北京房山分销点分销点Area 1Area 100Area 0InternetE1专线专线北京总公司北京总公司北京各分销点总公司北京各分销点总公司14Benet集团网络设备选择集团网络设备选择2-1设备选型原则设备选型原则从网络的稳定性和可靠性考虑从网络的稳定性和可靠性考虑从工程预算成本考虑从工程预算成本考虑从网络扩展性方面考虑从网络扩展性方面考虑15Benet集团网络设备选择集团网络设备选择2-2安全设备选型安全设备选型总公司采用总公司采用Cisco ASA5540上海、青岛分公司采用上海、青岛分公司采用Cisco ASA5
13、510交换设备选型交换设备选型北京总公司核心层设备选用北京总公司核心层设备选用Cisco 4506p原核心设备原核心设备Cisco 4503 给上海分公司使用给上海分公司使用汇集层位汇集层位Cisco 3560,接入层为,接入层为Cisco 2960路由设备选型路由设备选型北京总公司采用北京总公司采用Cisco 3825分公司和分销网点统一购买分公司和分销网点统一购买Cisco 2811设备型号设备型号最高吞吐量最高吞吐量(MbpsMbps)最大连接数最大连接数VPNVPN吞吐量吞吐量(MbpsMbps)VPNVPN集群和集群和负载均衡负载均衡Cisco ASA5540Cisco ASA554
14、0650650400,000400,000325325支持支持Cisco ASA5510Cisco ASA551030030050,000/130,00050,000/130,000170170不支持不支持设备型号设备型号背板带宽背板带宽(GbpsGbps)转发速率转发速率(MppsMpps)最大最大VLANVLAN数数端口密度端口密度机架机架单元单元Cisco4506Cisco450664644848409640962402401010Cisco3560GCisco3560G323238.738.71024102424-10/100/100024-10/100/1000;4-10004-10
15、00(SFPSFP)1 1Cisco3560-48TSCisco3560-48TS13.113.148-10/10048-10/100;4-10004-1000(SFPSFP)Cisco3560-24TSCisco3560-24TS6.66.624-10/10024-10/100;2-10002-1000(SFPSFP)Cisco2960-24TTCisco2960-24TT4.44.43.33.325525524-10/10024-10/100;2-10/100/1000TX2-10/100/1000TX1 1设备型号设备型号固化固化LANLAN接口接口接口卡插槽接口卡插槽网络模块插网络模块
16、插槽槽QoSQoS和和VPNVPN的支的支持持Cisco3825Cisco38252-10/100/10002-10/100/10004 4个个HWICHWIC插槽,支插槽,支持持HWICHWIC、WICWIC、VICVIC及及VWICVWIC模块模块2 2个个NMENME插槽插槽支持支持Cisco2811Cisco28112-10/1002-10/1001 1个个NMENME插槽插槽支持支持16项目方案设计项目方案设计设备命名与连接设备命名与连接VLAN及及IP地址规划地址规划北京总公司园区网设计北京总公司园区网设计防火墙、防火墙、VTP、STP、HSTP、以太网通道、以太网通道、QoS北京
17、总公司即北京地区分销点路由设计北京总公司即北京地区分销点路由设计内网内网OSPF、防火墙路由、防火墙路由广域网通信设计(广域网通信设计(NAT)网络安全部分设计网络安全部分设计设备自身安全、设备自身安全、ACL、IPSec VPN、SSL VPN网络管理设计网络管理设计17Benet集团改造后网络拓扑图集团改造后网络拓扑图Benet集团网络使用设备统计集团网络使用设备统计InternetInternet集团业务、集团业务、财务服务器财务服务器天时办公大厦天时办公大厦天时后勤大厦天时后勤大厦天时会议中心天时会议中心天时公司内、天时公司内、外网服务器外网服务器通州分公司通州分公司昌平分昌平分销点销
18、点房山分房山分销点销点上海迪利上海迪利青岛仁和青岛仁和集团财务部集团财务部接入交换机接入交换机内网专线内网专线北京天时总公司网络拓扑图北京天时总公司网络拓扑图北京地区各销售点网络拓扑图北京地区各销售点网络拓扑图上海、青岛分公司网络拓扑图上海、青岛分公司网络拓扑图设备型号设备型号设备数量设备数量用途用途Cisco ASA 5540Cisco ASA 55401 1天时总公司天时总公司InternetInternet接入设备接入设备Cisco ASA 5510Cisco ASA 55102 2迪利、仁和公司迪利、仁和公司InternetInternet接入设备接入设备Cisco 3825Cisco
19、 38252 2天时总公司专线业务网网关设备天时总公司专线业务网网关设备Cisco 2811Cisco 28113 3天时公司分销网点网关设备天时公司分销网点网关设备Cisco 4506Cisco 45062 2天时总公司内网双核心交换设备天时总公司内网双核心交换设备Cisco 4503Cisco 45031 1迪利公司核心交换设备迪利公司核心交换设备Cisco 3560GCisco 3560G1 1天时公司服务器接入设备天时公司服务器接入设备Cisco 3560Cisco 35607 7分布层交换,汇聚功能,光纤上行核心层分布层交换,汇聚功能,光纤上行核心层Cisco 2960Cisco 2
20、9602525接入层交换接入层交换18设备命名与连接设备命名与连接2-1设备命名设备命名为了方便管理和维护需要对设备进行命名为了方便管理和维护需要对设备进行命名命名规则为:命名规则为:AAAA-BBBB-CC例如:北京天时公司的第一台例如:北京天时公司的第一台Cisco Catalyst 4506EpBJTS-C4506E-01设备所属公司设备所属公司设备型号设备型号设备序号设备序号设备命名设备命名设备型号设备型号描述描述BJTS-ASA5540BJTS-ASA5540ASA5540-BUN-K9ASA5540-BUN-K9北京天时公司外网网关设备北京天时公司外网网关设备SHDL-ASA551
21、0SHDL-ASA5510ASA5510-SEC-BUN-K9ASA5510-SEC-BUN-K9上海迪利公司外网网关设备上海迪利公司外网网关设备BJTS-C3825-01BJTS-C3825-01CISCO3825-SEC/K9CISCO3825-SEC/K9北京天时公司内网网关设备(北京天时公司内网网关设备(1 1)BJTZ-C2811BJTZ-C2811CISCO2811-SEC/K9CISCO2811-SEC/K9通州网关路由设备通州网关路由设备SHDL-C4503ESHDL-C4503ECisco Catalyst 4503ECisco Catalyst 4503E上海迪利核心交换设
22、备上海迪利核心交换设备19设备命名与连接设备命名与连接2-2设备端口连接设备端口连接骨干网络千兆传输骨干网络千兆传输p天时总公司网络,到核心交换机链路均为千兆天时总公司网络,到核心交换机链路均为千兆天时总公司与北京分销点通过天时总公司与北京分销点通过E1接口互联接口互联端口描述端口描述为了便于施工和后期维护需要配置接口描述为了便于施工和后期维护需要配置接口描述p物理端口:连接的对端端口物理端口:连接的对端端口 to 对端设备名称-端口号-功能 to BJTS-C4506E-01-G2/0 uplinkp逻辑端口:功能描述(例:逻辑端口:功能描述(例:caiwu-GW)形成端口连接文档保存形成端
23、口连接文档保存20VLAN及及IP地址规划地址规划为避免为避免IP地址冲突,重新规划地址冲突,重新规划IP地址地址北京天时总公司:北京天时总公司:10.10.0.0/16北京地区各分销点:北京地区各分销点:10.20.0.0/16上海迪利公司:上海迪利公司:10.100.0.0/16青岛仁和公司:青岛仁和公司:10.200.0.0/16互联地址互联地址设备管理设备管理IP地址地址VLAN与与IP地址地址获得的公网地址获得的公网地址使用使用10.XX.254.0/2410.XX.254.0/24网段;网段;OSPFOSPF中中Area0Area0使用使用10.254.2.0/2410.254.2
24、.0/24网网段段使用使用10.XX.1.0/2410.XX.1.0/24网段;网段;路由器使用路由器使用LoopbackLoopback接口接口/32/32掩码;掩码;1 1、VLANVLAN号与号与IPIP地址第地址第3 3个个8 8位字段相对应位字段相对应2 2、同一地点不同部门分配连续的网段、同一地点不同部门分配连续的网段3 3、为日后扩容余量、为日后扩容余量VLANVLAN和和IPIP4 4、分配财务部、视频会议地址、分配财务部、视频会议地址5 5、VLANVLAN命名(除服务器):公司地区命名(除服务器):公司地区-部门名,不分部门可以使用部门名,不分部门可以使用“地区地区-all
25、-all”为外网提供服务的服务器(为外网提供服务的服务器(WebWeb、邮、邮件等)使用公网地址件等)使用公网地址21北京天时总公司园区网设计北京天时总公司园区网设计防火墙过滤内网流量防火墙过滤内网流量 INSIDE区域设计区域设计 VTP设计设计 STP和和HSRP设计设计 以太网通道设计以太网通道设计 QoS设计设计 22防火墙过滤内网流量防火墙过滤内网流量天时总公司内部服务器分为三部分:天时总公司内部服务器分为三部分:天时总公司内部使用服务器(域控、天时总公司内部使用服务器(域控、OA、DNS)为外网提供服务的为外网提供服务的Web、邮件、邮件、FTP等服务器等服务器公司重要数据的服务器
26、(财务、业务)公司重要数据的服务器(财务、业务)p财务、业务服务器网关直接指向防火墙财务、业务服务器网关直接指向防火墙客户端访问财务或业务服务器过程:客户端访问财务或业务服务器过程:两侧均为接入链路两侧均为接入链路默认路由默认路由直连路由直连路由VLANVLAN间间路由路由二层交换二层交换三层路由三层路由指向客户端指向客户端的静态路由的静态路由访问网关访问网关二层交换二层交换访问服务器访问服务器直连路由直连路由业务服务器业务服务器Internet业务服务器业务服务器财务服务器财务服务器公司内网公司内网内部服务器内部服务器对外服务器对外服务器Outsidesecurity-level 0Insi
27、desecurity-level 100YW_svrsecurity-level 50CW_svrsecurity-level 60ASA 554023Inside区域设计区域设计ASA有两个有两个Inside区域连接到两台核心交换机区域连接到两台核心交换机公司内网公司内网Outsidesecurity-level 0Inside1security-level 100YW_svrsecurity-level 50CW_svrsecurity-level 60Inside2security-level 100核心交换机核心交换机1 1核心交换机核心交换机2 2ASA 554024VTP设计设计V
28、TP相关参数规划相关参数规划VTP域名:域名:benetVTP域口令:域口令:ciscoVTP版本:版本:v2VTP修剪:启用修剪:启用VTP Server:两台核心交换:两台核心交换VTP Client:其余所有交换机:其余所有交换机部分交换机手动配置部分交换机手动配置VLAN财务、业务服务器接入交换机财务、业务服务器接入交换机财务部接入交换机手动配置财务部接入交换机手动配置VLANInternet业务服务器业务服务器天时办公大厦天时办公大厦天时后勤大厦天时后勤大厦天时会议中心天时会议中心内网使用服务器内网使用服务器外网访问服务器外网访问服务器财务部接财务部接入交换机入交换机内网专线内网专线
29、财务服务器财务服务器ASA 5540ClientClient模式模式ServerServer模式模式手动配置手动配置25STP与与HSRP设计设计天时总公司通过天时总公司通过HSRP实现设备备份实现设备备份将将VLAN分为两组实现流量负载均衡分为两组实现流量负载均衡两台核心交换机分别在不同两台核心交换机分别在不同HSRP组内承担活跃路由器组内承担活跃路由器外网访问服务器使用公网外网访问服务器使用公网IP地址地址使用使用MST实现线缆冗余实现线缆冗余配置两个配置两个MST实例分别对应实例分别对应HSRP的两组的两组VLANSTP中根网桥的选择和活跃路由器的选择保持一致中根网桥的选择和活跃路由器的
30、选择保持一致HSRPHSRP参数参数活跃设备活跃设备备份设备备份设备IPIP地址地址10.10.X.225/2410.10.X.225/2410.10.X.226/2410.10.X.226/24优先级优先级150150100100占先权占先权是是是是端口跟踪端口跟踪是(优先级降低是(优先级降低100100)否否计时器计时器默认配置默认配置虚拟虚拟IPIP地址地址10.10.X.254/2410.10.X.254/24组号组号VLANVLAN号号Instance1包含的包含的VLANInstance2包含的包含的VLANInstance1包含的包含的VLANInstance2包含的包含的VLA
31、NHSRP:ActiveSTP:rootHSRP:ActiveSTP:root26以太网通道设计以太网通道设计通过以太网通道扩容链路带宽、实现冗余备份通过以太网通道扩容链路带宽、实现冗余备份核心交换机之间链路核心交换机之间链路内网服务器、外网访问服务器接入交换机到核心交换内网服务器、外网访问服务器接入交换机到核心交换机的链路机的链路内网使用服务器内网使用服务器外网访问服务器外网访问服务器27QoS设计设计使用使用QoS技术保证财务和视频会议流量技术保证财务和视频会议流量财务数据流量:占用带宽较小,预留财务数据流量:占用带宽较小,预留0.2Mb/s带宽带宽视频会议流量:分销点到总公司两台路由器的
32、两路上视频会议流量:分销点到总公司两台路由器的两路上都需要预留都需要预留2Mb/s带宽带宽通州分公通州分公司内网司内网天时总公天时总公司内网司内网通州分公通州分公司网关司网关天时总公司天时总公司内网网关内网网关将两条将两条E1E1链路绑定为链路绑定为1 1条条4Mb/s4Mb/s链路链路两条链路各需要为视频两条链路各需要为视频流量预留流量预留2Mb/s2Mb/s带宽带宽28路由设计路由设计2-1OSPF路由规划路由规划 Area100为天时总公司内网为天时总公司内网OSPF区域区域Area1为北京地区各分销点为北京地区各分销点OSPF区域区域Area 1Area 100Area 00.0.0.
33、010.10.0.010.20.0.0北京总公司北京总公司北京各分销点总公司北京各分销点总公司核心交换机核心交换机内网网关路由器内网网关路由器分销点网关路由器分销点网关路由器Totally Stub NSSA290.0.0.0Area 1Area 100Area 0北京总公司北京总公司北京各分销点总公司北京各分销点总公司Totally Stub NSSA路由设计路由设计2-2在在ABR上配置汇总路由上配置汇总路由配置配置Null0接口的黑洞路由接口的黑洞路由配置指向防火墙的默认路由和指向服务器的静态路由配置指向防火墙的默认路由和指向服务器的静态路由10.10.0.010.20.0.030天时总
34、公司天时总公司ASA防火墙路由设计防火墙路由设计配置默认路由实现访问互联网配置默认路由实现访问互联网配置浮动静态路由实现冗余备份配置浮动静态路由实现冗余备份指向活跃路由器的静态路由管理距离为指向活跃路由器的静态路由管理距离为1指向备份路由器的静态路由管理距离为指向备份路由器的静态路由管理距离为100通州网段与房山、昌平网段分为两组通州网段与房山、昌平网段分为两组p分别使用不同的管理距离指向不同核心交换机分别使用不同的管理距离指向不同核心交换机外网访问对外提供服务的服务器的流程外网访问对外提供服务的服务器的流程静态路由静态路由直连路由直连路由二层交换二层交换ASA默认路由默认路由访问网关访问网关
35、ISP路由路由防火墙默认防火墙默认路由路由Internet三层交换三层交换31广域网设计(广域网设计(NAT)不需要进行不需要进行NAT转换的流量转换的流量财务服务器财务服务器Benet集团所有公司财务部集团所有公司财务部NO NAT业务服务器业务服务器Benet集团所有公司人员集团所有公司人员NO NATBenet集团总公司内网集团总公司内网Benet集团总公司内网集团总公司内网NO NAT业务服务器业务服务器SSL VPN用户用户NO NATBenet集团总公司内部服务器集团总公司内部服务器Benet集团总公司财务部集团总公司财务部NO NATBenet集团集团Web等服务器等服务器Int
36、ernetInternetBenet集团公司内网集团公司内网NATNO NAT32安全部分设计安全部分设计4-1设备安全性增强设计设备安全性增强设计增强设备服务安全增强设备服务安全杜绝明文密码杜绝明文密码设置设置AAA实现登录认证实现登录认证配置配置Telnet远程访问远程访问配置配置SSH远程访问远程访问配置线路配置线路input/output协议协议设备开放的许多服务都可能成设备开放的许多服务都可能成为被攻击的对象,所以关闭不为被攻击的对象,所以关闭不使用的服务可以增强设备安全使用的服务可以增强设备安全配置配置AAAAAA认证本地和远程访问认证本地和远程访问服务,可以设置本地认证也可服务,
37、可以设置本地认证也可以通过服务器进行认证。使用以通过服务器进行认证。使用服务器认证便于集中管理。服务器认证便于集中管理。配置无动作自动断开时间为配置无动作自动断开时间为5 5分钟,对于支持分钟,对于支持SSHSSH的设备应的设备应该禁止通过该禁止通过TelnetTelnet登陆设备,登陆设备,而使用而使用SSHSSH。对于支持对于支持SSHSSH的设备,应该使的设备,应该使用用SSHSSH登录设备进行管理。登录设备进行管理。所有线路只允许所有线路只允许TelentTelent和和SSHSSH登录设备。登录设备。33安全部分设计安全部分设计4-2ACL设计设计运行访问服务器开发的端口运行访问服务
38、器开发的端口p根据服务器提供服务的端口和服务器管理端口进行配置根据服务器提供服务的端口和服务器管理端口进行配置限制访问设备的限制访问设备的IP地址段地址段p屏蔽除网管外的所有屏蔽除网管外的所有IP地址段地址段北京地区各分销点直接不能互访北京地区各分销点直接不能互访只有财务部能访问财务服务器只有财务部能访问财务服务器关闭病毒、攻击常用端口关闭病毒、攻击常用端口34安全部分设计安全部分设计4-3IPSec VPN设计设计总公司和分公司之间通过总公司和分公司之间通过IPSec VPN传输机密数据传输机密数据p财务数据、业务数据等属于机密数据财务数据、业务数据等属于机密数据IPSec VPN参数参数p
39、阶段阶段2传输集:传输集:esp-3des和和esp-sha-hmacp阶段阶段1协商参数:协商参数:sha、3des、共享密钥为、共享密钥为benet、密钥组、密钥组group2、生存时间、生存时间86400秒秒pCrypto Map参数:参数:pfs group2Internet北京总公司北京总公司ASA 5540青岛分公司青岛分公司ASA 5510上海分公司上海分公司ASA 5510IPSec VPN35安全部分设计安全部分设计4-4SSL VPN设计设计出差员工通过出差员工通过SSL VPN安全的访问业务服务器安全的访问业务服务器p也可以访问也可以访问OA等内网使用的服务器等内网使用的
40、服务器SSL VPN参数参数p使用使用HTTPS的的8003端口登录端口登录pSSL VPN地址池为地址池为10.10.10.101-10.10.10.200Internet北京总公司北京总公司ASA 5540SSL VPN36网络管理设计网络管理设计配置只读团体名配置只读团体名benetro配置端口配置端口UP/DOWN事件的事件的Trap陷阱陷阱配置配置ACL屏蔽内部服务器外屏蔽内部服务器外IP网段的网段的SNMP操作操作37项目实施项目实施工程总体进度工程总体进度工程进度表,人员配置表,施工日志等工程进度表,人员配置表,施工日志等布线工程验收布线工程验收设备的验收设备的验收p设备的数量、
41、型号、板卡等设备的数量、型号、板卡等p设备所带的附件等设备所带的附件等p加电检查设备的加电检查设备的IOS,功能等,功能等p检查设备的来源检查设备的来源38项目模拟实施拓扑图项目模拟实施拓扑图F0/15F0/15F0/14 F0/14F0/15F0/4F0/3IPSec VPNSSL VPNISP总公司路由器总公司路由器北京分公司北京分公司网关路由器网关路由器SW5SW6SW1SW2ASA1ASA2E0/0F1/0E0/0E0/2E0/1F0/0F0/0F0/0S1/0S2/0F0/3F0/2F0/3F0/2F0/1F0/2F0/1PC4OA_svrF0/3F0/1F0/1E0/3E0/4PC
42、2SW4CW_svrYW_svrPC5F0/2SW3PC3F0/0R2E0/1PC1F2/0F0/0F1/0F0/15F0/0F0/0F0/1F0/2F0/3R1Web_svroutsideoutside区域区域inside1inside1区域区域inside2inside2区域区域CW_svrCW_svr区域区域YW_svrYW_svr区域区域39模拟项目规划配置信息模拟项目规划配置信息基础规划基础规划 设备互联地址设备互联地址用户、服务器用户、服务器IP地址及地址及VLAN管理管理IP地址地址一台一台PCPC模拟多个网段时需要模拟多个网段时需要更改主机及设备相应配置更改主机及设备相应配置配
43、置配置PVST+PVST+,不配置,不配置MSTMST交换部分规划交换部分规划以太网通道以太网通道 VTP VLAN与与TRUNK STP与与HSRP 路由部分规划路由部分规划QoS规划规划安全部分规划安全部分规划 设备服务安全设备服务安全设备密码设备密码远程访问远程访问ACL规划规划广域网部分规划广域网部分规划NAT规划规划ASA2路由设计路由设计 IPSec VPN规划规划SSL VPN规划规划只进行配置,不进行验证只进行配置,不进行验证采用采用pingping命令测试是命令测试是否能够访问服务器否能够访问服务器40测试验收测试验收连通性测试连通性测试主要使用主要使用ping命令查看连通性
44、和时延命令查看连通性和时延VPN测试测试验证访问服务器是否正常验证访问服务器是否正常冗余性测试冗余性测试HSRP和负载均衡路由测试和负载均衡路由测试设备访问权限测试设备访问权限测试远程管理设备是否正常远程管理设备是否正常41竣工报告与售后支持竣工报告与售后支持编写竣工报告编写竣工报告验收完成后编写竣工报告验收完成后编写竣工报告售后支持售后支持编写编写PPT,安排培训,安排培训售后技术服务承诺售后技术服务承诺42本章结构本章结构网络项目实战网络项目实战公司网络现状公司网络现状企业需求分析企业需求分析项目工程实施流程项目工程实施流程网络改造需求分析网络改造需求分析方案设计方案设计公司网络需求公司网
45、络需求项目实施项目实施售后支持及相关培训售后支持及相关培训设备命名及连接设备命名及连接广域网部分设计广域网部分设计VLAN、IP地址规划地址规划总公司内部网络设计总公司内部网络设计路由部分设计路由部分设计网络安全部分设计网络安全部分设计编写竣工报告、培训编写竣工报告、培训PPT项目测试验收项目测试验收项目测试、验收项目测试、验收43BENET3.0第二学期课程 上机部分上机部分网络项目实战工程项目实施工程项目实施4-1分组方案分组方案组员任务组员任务交换部分交换部分 pVLAN、以太通道、以太通道、VTP、STP、HSRP路由部分路由部分pOSPF、ASA路由、路由、ASA过滤内网流量、过滤内
46、网流量、QoS广域网部分广域网部分pIPSec VPN、SSL VPN、ACL、NAT45工程项目实施工程项目实施4-2交换部分交换部分F0/15SW4CW_svrYW_svrPC5SW3F0/15F0/0F0/2F0/3F0/15F0/14F0/14F0/15F0/4F0/3SW5SW6SW1SW2F0/3F0/2F0/3F0/2F0/1F0/2F0/1PC4OA_svrF0/3F0/2Web_svr北京总公司园区网北京总公司园区网交换部分交换部分北京总公司业务、北京总公司业务、财务网部分财务网部分46工程项目实施工程项目实施4-3路由部分路由部分F0/15F0/14F0/14F0/15IS
47、P总公司路由器总公司路由器北京分公司北京分公司网关路由器网关路由器SW1SW2ASA1ASA2E0/0F1/0E0/0E0/2E0/1F0/0F0/0F0/0S1/0S2/0F0/1F0/1E0/3E0/4PC2SW3PC3F0/0R2E0/1PC1F2/0F0/0F1/0F0/0F0/1R147工程项目实施工程项目实施4-4广域网部分广域网部分F0/15IPSec VPNSSL VPNISPASA1ASA2E0/0F1/0E0/0E0/2E0/1F0/0PC2SW4CW_svrYW_svrPC5SW3E0/1PC1F2/0F0/15F0/0F0/0F0/1F0/2F0/348工程项目实施阶段
48、划分工程项目实施阶段划分2-1实施实施14学时,分为学时,分为5个阶段个阶段第一阶段:第一阶段:1学时学时p搭建网络环境,小组进行分工,熟悉网络基础规划搭建网络环境,小组进行分工,熟悉网络基础规划第二阶段:第二阶段:3学时学时p配置配置IP地址实现邻近设备互通地址实现邻近设备互通p交换部分:配置交换部分:配置VLAN、Trunk、VTP和以太网通道和以太网通道p路由部分:配置路由部分:配置OSPF实现网络互通实现网络互通p广域网部分:配置广域网部分:配置ASA外网路由、外网路由、ISP路由和路由和NAT第三阶段:第三阶段:4学时学时p交换部分:配置交换部分:配置STP、HSRPp路由部分:配置
49、路由部分:配置ASA内网路由、内网路由、QoS和和ASA过滤内网流量过滤内网流量p广域网部分:配置广域网部分:配置IPSec VPN、SSL VPN和和ACL49工程项目实施阶段划分工程项目实施阶段划分2-2实施实施14学时,分为学时,分为5个阶段个阶段第四阶段:第四阶段:1学时学时p交换部分:检查交换配置,协助广域网配置交换部分:检查交换配置,协助广域网配置p路由部分:检查路由配置,协助广域网配置路由部分:检查路由配置,协助广域网配置p广域网部分:继续未完成的配置,检查广域网配置广域网部分:继续未完成的配置,检查广域网配置第五阶段:第五阶段:3学时学时p将各部分配置整合到一起,组长负责各组员
50、配合将各部分配置整合到一起,组长负责各组员配合p进行功能测试和验收进行功能测试和验收第六阶段:第六阶段:2学时学时p编写竣工文档和培训编写竣工文档和培训PPT50阶段一:完成实验环境的搭建阶段一:完成实验环境的搭建实现思路实现思路搭建工程项目实施环境搭建工程项目实施环境pPC2使用宿主机使用宿主机小组内部进行分工小组内部进行分工熟悉项目基础规划熟悉项目基础规划pIP、VLAN、网络环境等、网络环境等学员练习学员练习1课时完成51阶段二:项目配置实施阶段二:项目配置实施1实现思路实现思路熟悉整个工程的实施设计熟悉整个工程的实施设计配置配置IP地址实现邻近设备互通地址实现邻近设备互通交换部分:配置
