目錄一《網絡工程實踐》目的及要求二問題陳述三需求分析四設計原則和總體規劃五詳細設計六結果及測試七總結及展望一《網絡工程實踐》目的及要求網絡工程是指按計劃進行的網絡綜合性工作。網絡工程實踐培養學生掌握網絡工程的基本理論與方法以及計算機技術和網絡技術等方面的知識，能運用所學知識與技能去分析和解決相關的實際問題。成為可在信息產業以及其他國民經濟部門從事各類網絡系統和計算機通信系統研究、教學、設計、開發等工作的高級科技人才。通過《網絡工程實踐》課程的學習，系統地掌握計算機網絡和通信網技術領域的基本理論、基本知識；掌握各類網絡系統的組網、規劃、設計、評價的理論、方法與技術；獲得計算機軟硬件和網絡與通信系統的設計、 開發及應用方面良好的工程實踐訓練，特別是應獲得較大型網絡工程開發的初步訓練。二問題陳述大明集團是一家高科技股份制企業，成立于1996年，總部位于廣東省廣州市。主要產品有太陽能熱水器、全玻璃真空管、太陽能熱水系統、溫屏節能玻璃等四大系列。大明集團以其產品的不斷創新和過硬的質量，多次獲得消費者信得過產品、專利創新獎等國家級獎項。該集團共用系列信息系統：一套oa系統，一套生產管理信息系統，一套財務系統，一個對外宣傳的網站。大明集團按照地理位置，分為3塊第一區域：總部，位于廣州市天河區，租用某甲級寫字樓3層第一層：前臺接待處，行政管理經理辦公室，行政管理辦公室，人力資源辦公室；財務部經理辦公室，財務部辦公室；第二層：營銷管理經理辦公室，內貿部辦公室，外貿部辦公室第三冊：董事長辦公室，總經理辦公室，會議室第二區域：北方銷售及售后中心，位于北京市朝陽區，租用某甲級寫字樓3第一層：中心銷售主任辦公室，內貿部辦公室，外貿部辦公室第二層；中心售后主任辦公室，售后辦公室，中心財務主任辦公室，財務辦公室第三層：中心主任辦公室，行政辦公室，會議室第三區域：生產中心，位于廣州市番禺區大石鎮。辦公樓：第1層：生產管理部（主任室，管理 1，管理2，管理3，管理4）第2層：財務部（主任室，管理會計，成本會計，出納）第3層：銷售部（主任室，內貿部，外貿部），售后部（主任室，售后1部，售后2部）第4層：質管部（主任室，質管1部，質管2部，質管3部，質管4部）第5層：生產中心（總經理室，副總經理1，副總經理2）行政管理部（主任室，行政管理1，行政管理2）科技樓：第1層：研發中心主任室，實驗中心主任室，中心機房（總控室）第2層：研發1部，研發2部第3層：研發3部，研發4部第4層：實驗1部，實驗2部第5層：實驗3部，實驗4部接待樓：共6層，1-2層產品展示區，3-5層培訓住宿，6層會議室第1-2層，分4個產品展示區，每層約200平米第3-5層，每層12個房間，標準雙人間，用于培訓、接待第6層，大會議室宿舍樓1：共6層，每層12個房間，每個房間4人宿舍樓2：共6層，每層12個房間，每個房間4人宿舍樓3：共6層，1-3層，每層12個房間，每個房間2人4-6層，每層12個房間，每個房間1人廠房1：共2層，每層面積400平米，每層約80人工作廠房2：共2層，每層面積400平米，每層約80人工作廠房3：共2層，每層面積400平米，每層約80人工作廠房4：共2層，每層面積400平米，每層約80人工作倉庫1：共2層，每層面積400平米，每層約20人工作倉庫2：共2層，每層面積400平米，每層約20人工作三需求分析**集團網絡建設具體需求如下：1）網絡應該擁有高速的Internet接入出口；2）網絡必須能提供 DNS、WWW、FTP、E-mail、等多項Internet服務；3）網絡能實現企業范圍內的自動辦公和管理，以及信息資源的共享；4）只有財務處才可以訪問財務系統；5）整個企業主干網絡實現千兆傳輸，而樓內根據需要選擇千兆或百兆，做到百兆到桌面；6）網絡能夠使企業總部園區和各分支機構的網絡實現安全可靠的傳輸；7）網絡要求達到一定級別的安全性，確保信息資源的可用性和安全性；8）網絡在管理上擁有靈活的、安全的管理模式，做到分級別、分權限、分地點的管理；四設計原則和總體規劃1、設計原則集團的信息化建設是對于各項業務正常穩定進行的保證，信息化網絡的設計必須充分考慮企業對使用的技術和設備的要求，要遵循功能性、實用性、兼容性、前瞻性、安全性、擴展性和經濟性的原則。1）遵循以企業功能性需求為前提堅持以**集團具體需求為網絡方案設計的根本和前提， 同時也要注重源于目前需求而又高于目前求的原則，注意用專業化的技術思想進行集團網絡的規劃與設計，確保網絡的實用性、先進性和便于擴展性。2）追求高性價比的原則選擇最好的設備不一定是最佳的方案。 成本因素也是一個方案設計必須考慮的問題，選擇設備時必須考慮性價比，采用性價比高的設備的方案才是一個優秀的方案。3）設備選型兼顧原則設備選型應滿足**集團對現代化管理手段的要求；滿足集團信息化網絡建設的要求；所選設備在國際上保持技術先進性； 供應商有良好的商業信譽和優質的售后服務。4）技術應用全面原則在技術應用方面，應全面考慮其實用性、先進性、開放性、可擴充性、可靠性、安全保密性及友好性。堅持標準原則集團網絡的設計和施工，均要嚴格遵循國際和國家標準。要著眼未來，要與日后技術的發展相適應堅持標準原則集團網絡的設計和施工，均要嚴格遵循國際和國家標準。要著眼未來，要與日后技術的發展相適應。2、總體規劃集團網絡建設建議采用企業級網絡模型的多層次化結構；整體網絡規劃分為集團園區、下屬分支機構區、服務提供商邊緣功能區。企業園區網絡采用三層結構；服務提供商邊緣提供到服務提供商所實施服務的連接，通過使用不同的WAN和ISP，服務提供商邊緣功能區能夠促成與其他網絡的通信。網絡平臺建議采用擁有與外網連接的高速Internet接入；服務器及網絡服務系統。要實現DNS、WWW、FTP、E-mail、數據庫等基本網絡應用以及企業應用系統服務。全面的系統安全。應對企業網絡進行全面的系統安全設計，包括防火墻、網絡防病毒、入侵檢測、數據的災難性恢復等。綜合布線系統應該采用在技術上處于領導地位，產品成熟穩定，具有極佳應用效果的公司的布線系統和材料。五詳細設計1、 綜合布線1）總部一樓：100個信息點；二樓：100個信息點；三樓：100個信息點；2）生產中心辦公樓：100個信息點；科技樓：100個信息點；接待樓：100個信息點；宿舍樓：800個信息點廠房：100個信息點；倉庫：100個信息點；3）售后中心一樓：100個信息點；二樓：100個信息點；三樓：100個信息點；根據上述分析可知，企業園區共有 1900個信息點，外加無線 WIFI接入。2、網絡總體結構圖從圖中可以看到，企業兩個個外部分支機構將通過 VPN連接成一個統一的企業內聯網，滿足企業對網絡統一管理的要求。3、層次化的網絡模型設計當今網絡非常復雜，且對實現組織目標至關重要。商業對網絡帶寬、可靠性以及功能的要求越來越高。使用清晰的網絡分層模型模式，將設計方案劃分為模塊化組或層。劃分為多個層后，每一層都重點提供某些功能，通過這種方式簡化了設計，也簡化了部署和管理。并采用分布式交換網絡設計方案，以達到可拓展、可靠性高、可用性強、響應快、效率高、適應性強以及訪問容易，同時安全性高，管理容易等要求。本次《網絡工程實踐》我們采用層次化的網絡模型設計5、網絡技術選擇VLAN與TRUNK鏈路VTP的設計STP的設計的設計DHCP的設計EthernetChannel 設計VLAN間路由設計交換機的設置路由協議OSPF區域的劃分廣域網部分的設計VPN(虛擬專用網)6、網絡IP地址與VLAN規劃企業園區IP地址段VLAN默認網關公有地址號服務54總器部財務2054辦二樓7054三樓1054生財務5054產部中其他3054心售財主6054后辦中其他4054心7、網絡設備選型核心層交換機核心層的設備選型考慮核心層應采用兩個多層交換機作為網絡的核心，以提供可擴展性能、出色的智能性和廣泛的特性，要求滿足最為嚴格的中大型企業部署對于構建模塊化、永續、可擴展、安全的第二層或第三層解決方案的需求。并憑借千兆以太網或萬兆以太網接口、銅線和光纖媒體傳輸，以及廣泛的廣域網和城域網接口支持，提供任意網絡核心層所需的靈活性。此方案選用思科的WS-C6506-E多層交換機作為核心層交換機。圖18思科WS-C6506-E多層交換機CiscoCatalyst6500 和6500-E系列使用戶可獲得最高生產率，增強了運營控制，從而為企業園區和電信運營商網絡中的 IP通信及應用供應設立了新標準。作為重要的智能、多層模塊化思科交換機，Catalyst 6500系列提供了安全、融合的端到端服務，范圍涵蓋配線間、核心網絡、數據中心和 WAN邊緣。CiscoCatalyst6500 適用于希望降低總擁有成本（ TCO）的大型企業和電信運營商，它提供了前所未有的投資保護，并在幾種機箱配置和 LAN、WAN及城域網（MAN）接口上提供了出色的可擴展性能和端口密度。

Catalyst6500

系列具有

6插槽機箱，配備了范圍最為廣泛的集成多業務模塊，

包括多千兆位網絡安全、內容交換、電話和網絡分析模塊。CiscoCatalyst6500 系列不但能為企業和電信運營商提供市場領先的服務、性能、端口密度和可用性，還能提供無與倫比的投資保護能力，包括：最長的網絡正常運行時間－－利用 CiscoIOS軟件模塊化、平臺、電源、交換管理引擎、交換矩陣和集成網絡服務冗余性，提供1～3秒的狀態化故障切換，提供應用和服務連續性統一在一起的融合網絡環境， 減少關鍵業務數據和服務的中斷。全面的網絡安全性－－將切實可行的數千兆位級思科安全解決方案集成到現有網絡中，包括入侵檢測、防火墻、 VPN和SSL。可擴展性能－－利用分布式轉發架構提供高達 400mpps的轉發性能。能夠適應未來發展并保護投資的架構－－在同一種機箱中支持三代可互換、可熱插拔的模塊，以提高 IT基礎設施利用率，增大投資回報，并降低總擁有成本；操作一致性－－3插槽、6插槽、9插槽和13插槽機箱配置使用相同的模塊、CiscoIOS軟件、CiscoCatalyst操作系統軟件以及可以部署在網絡任意地方的網絡管理工具。卓越的服務集成和靈活性－－將安全、無線局域網服務和內容等高級服務與融合網絡集成在一起，提供從10/100和10/100/1000以太網到萬兆以太網，從DS0到OC-48的各種接口和密度，并能夠在任何項目中部署端到端地執行。匯聚層交換機接入層交換機服務器接入和外網接入交換機防火墻設備預算費用列表：名稱型號數量單價總價（臺）（元）接入層交換機TP-LINKTL-SF1024L136107930匯聚層交換機思科WS-C3560-24TS-S41400056000核心層交換機思科WS-C506-E12100021000外網接入交換思科WS-C3750G-125-S22200044000機服務器接入交思科WS-C3750G-125-S12200022000換機防火墻思科CISCOASA5510-BUN-K931300039000總價1899309、核心設備配置1）劃分VLANSwitch(vlan)#vlan10namezongbuVLAN10modified:Name:zongbuSwitch(vlan)#exitSwitch#conftSwitch(config)#intvlan102）三層交換機動態分配 ip DHCPSwitch(config)#intvlan10Switch(config)#ipdhcppoolzb3）將三層交換機端口轉換層三層端口Switch#conftSwitch(config)#interfaceFastEthernet0/1Switch(config-if)#noswitchportVlan中繼協議VTP三層交換機中：Switch#vlandatabaseSwitch(vlan)#vtpdomainsenyaSwitch(vlan)#vtpserver二層交換機中：Switch>enSwitch#vlandatabaseSwitch(vlan)#vtpdomainsenyaSwitch(vlan)#vtpclient5）雙鏈路聚三層交換機 1Switch(config)#interfaceFastEthernet0/4Switch(config-if)#channel-group1modeonSwitch(config-if)#switchporttrunkencapsulationdot1qSwitch(config-if)#switchportmodetrunkSwitch(config)#interfaceFastEthernet0/5Switch(config-if)#channel-group1modeonSwitch(config-if)#switchporttrunkencapsulationdot1qSwitch(config-if)#switchportmodetrunkSwitch(config-if)#exitSwitch(config)#vtpdomainHSRPSwitch(config)#vtpmodeserverSwitch(config)#vtppasswordzheng三層交換機 2Switch(config)#interfaceFastEthernet0/4Switch(config-if)#channel-group1modeonSwitch(config-if)#switchporttrunkencapsulationdot1qSwitch(config-if)#switchportmodetrunkSwitch(config)#interfaceFastEthernet0/5Switch(config-if)#channel-group1modeonSwitch(config-if)#switchporttrunkencapsulationdot1qSwitch(config-if)#switchportmodetrunkSwitch(config-if)#exitSwitch(config)#vtpdomainHSRPSwitch(config)#vtpmodeclientSwitch(config)#vtppasswordzhengSTP生成樹協議三層交換機1Switch(config)#spanning-treevlan10rootprimarySwitch(config)#spanning-treevlan20rootprimarySwitch(config)#spanning-treevlan70rootprimary三層交換機 2Switch(config)#spanning-treevlan10rootsecondarySwitch(config)#spanning-treevlan20rootsecondarySwitch(config)#spanning-treevlan70rootsecondary7)ospf配置Switch(config)#routerospf1ACL配置Switch(config)#access-list101permitipanyanySwitch(config)#intg0/1Switch(config-if)#ipaccess-group101out9）動態NAT配置（防火墻）Router(config)#interfaceFastEthernet0/0Router(config-if)#ipnatinsideRouter(config)#interfaceSerial0/1/1Router(config-if)#ipnatoutsideRouter(config-if)#interfaceSerial0/1/0Router(config-if)#ipnatoutside靜態NAT配置10）PPP數據鏈路層協議配置路由器zongbuzongbu(config)#interfaceSerial0/1/0zongbu(config-if)#encapsulationpppzongbu(config-if)#pppauthenticationchapzongbu(config-if)#noshutzongbu(config-if)#exitzongbu(config)#usernameshengchapasswordzheng路由器shengchazongbu(config)#interfaceSerial0/1/0zongbu(config-if)#encapsulationpppzongbu(config-if)#pppauthenticationchapzongbu(config-if)#noshutzongbu(config-if)#exitzongbu(config)#usernamezongbupasswordzhengVPN配置zongbu(config)#aaanew-modelzongbu(config)#aaaauthenticationloginVPNAUTHgroupradiuslocalzongbu(config)#aaaauthorizationnetworkVPNAUTHlocalzongbu(config)#cryptoisakmppolicy10zongbu(config-isakmp)#encraes256zongbu(config-isakmp)#authenticationpre-sharezongbu(config-isakmp)#group2zongbu(config-isakmp)#cryptoisakmpclientconfigurationgroupDAMINGzongbu(config-isakmp-group)#keyDAMINGAkeyalreadyexistsforgroupDAMINGzongbu(config-isakmp-group)#poolVPNCLIENTSzongbu(config-isakmp-group)#cryptoipsectransform-setmytransesp-3desesp-sha-hmaczongbu(config)#cryptodynamic-mapmymap10zongbu(config-crypto-map)#settransform-setmytranszongbu(config-crypto-map)#reverse-routezongbu(config-crypto-map)#cryptomapmymapclientauthenticationlistVPNAUTHzongbu(config)#cryptomapmymapisakmpauthorizationlistVPNAUTHzongbu(config)#cryptomapmymapclientconfigurationaddressrespondzongbu(config)#cryptomapmymap10ipsec-isakmpdynamicmymapzongbu(config)#ipsshversion1PleasecreateRSAkeys(ofatleast768bitssize)toenableSSHv2.zongbu(config)#