BENET3.0第二學期課程網絡工程實戰課程安排教員講解工程工程實施流程工程案例講解工程需求分析、方案設計、工程實施、驗收竣工等工程案例設計技能點串講工程案例實施即本卷須知按照模擬環境實施工程案例講解模擬環境實施中的本卷須知學員實施準備工程案例網絡環境實施工程案例并進行驗收工程驗收通過后編寫竣工文檔、培訓PPT等案例辯論學員講解工程案例講解工程中出現的問題，指出工程中的缺乏2網絡工程實戰——理論局部本章結構網絡工程實戰公司網絡現狀企業需求分析工程工程實施流程網絡改造需求分析方案設計公司網絡需求工程實施售后支持及相關培訓設備命名及連接廣域網局部設計VLAN、IP地址規劃總公司內部網絡設計路由局部設計網絡平安局部設計編寫竣工報告、培訓PPT工程測試驗收工程測試、驗收4工程工程流程2-1工程實施流程的六個階段工程招投標階段招標書、現場調研、投標書工程啟動階段工程人員安排、第二次現場調研、細化方案設計工程實施階段網絡結構搭建、系統效勞的搭建工程測試階段布線測試、機房系統測試、網絡系統測試、系統效勞測試工程驗收階段初驗、試運行、終驗；最后出具驗收報告和竣工文檔工程售后效勞和培訓階段售后效勞條約，培訓PPT編寫等5工程工程流程2-2工程的招投標階段工程的啟動階段工程的實施階段工程的測試階段工程的驗收階段工程的培訓和售后效勞階段6Benet集團簡介Benet集團公司結構以房地產業務為主的大型集團公司全國有三家公司：北京天時、青島仁和、上海迪利北京天時房產公司為Benet集團總公司北京天時房產有限總公司上海迪利房產有限公司青島仁和房產有限公司Benet集團公司房山分銷點通州分公司昌平分銷點7Benet集團網絡現狀Benet集團網絡拓撲圖Internet10Mb/s專線2Mb/s專線ADSL北京總公司上海分公司青島分公司通州分公司房山分銷點昌平分銷點客戶端客戶端業務信息效勞器客戶端機密信息不平安帶寬低不穩定網關抵御外網攻擊能力差總公司統一管理財務、業務信息困難8網絡建設需求2-19網絡建設需求2-210網絡工程設計原那么與設計思路網絡局部的總體設計要求實用性和集成性標準性和開放性先進性和平安性成熟性和高可靠性可維護性和可管理性可擴充性和兼容性工程實施主要依據原那么按照國家相關工程標準進行實施布線標準、電氣標準、作業平安標準……性能良好，平安可靠易于升級，易于配置良好的售后效勞支持可通過網絡進行管理網管工作站網絡云被管設備業務流量網管流量帶內網管網管工作站網絡云被管設備業務流量帶外網管網管流量11網絡改造方案Benet集團改造方面分為3局部Internet局部北京總公司園區網局部北京各分銷點到總公司專線網局部Internet內網專線上海分公司青島分公司Internet部分北京總公司園區網部分北京各分銷點到總公司專線網部分12網絡改造方案-Internet局部采用IPSecVPN和SSLVPN加密重要數據集團數據、郵件、關鍵業務由總公司統一管理總公司和分公司間建立IPSecVPN，重要數據進行加密傳輸出差員工通過SSLVPN訪問內網效勞器InternetASA5540ASA5510ASA5510SSLVPNIPSecVPN北京天時總公司上海分公司青島分公司13網絡改造方案-總公司園區網局部總公司園區網增強網絡穩定性使用HSRP實現網絡穩定性使用OSPF等值路由實現負載均衡Internet內網專線客戶端會議室內部服務器財務部財務服務器業務服務器14網絡改造方案-內網專線網局部總公司內網北京昌平分銷點北京通州分公司北京房山分銷點Area1Area100Area0InternetE1專線北京總公司北京各分銷點總公司15Benet集團網絡設備選擇2-1設備選型原那么從網絡的穩定性和可靠性考慮從工程預算本錢考慮從網絡擴展性方面考慮16Benet集團網絡設備選擇2-2平安設備選型總公司采用CiscoASA5540上海、青島分公司采用CiscoASA5510交換設備選型北京總公司核心層設備選用Cisco4506原核心設備Cisco4503給上海分公司使用聚集層位Cisco3560，接入層為Cisco2960路由設備選型北京總公司采用Cisco3825分公司和分銷網點統一購置Cisco2811設備型號最高吞吐量（Mbps）最大連接數VPN吞吐量（Mbps）VPN集群和負載均衡CiscoASA5540650400,000325支持CiscoASA551030050,000/130,000170不支持設備型號背板帶寬（Gbps）轉發速率（Mpps）最大VLAN數端口密度機架單元Cisco45066448409624010Cisco3560G3238.7102424-10/100/1000；4-1000（SFP）1Cisco3560-48TS13.148-10/100；4-1000（SFP）Cisco3560-24TS6.624-10/100；2-1000（SFP）Cisco2960-24TT4.43.325524-10/100；2-10/100/1000TX1設備型號固化LAN接口接口卡插槽網絡模塊插槽QoS和VPN的支持Cisco38252-10/100/10004個HWIC插槽，支持HWIC、WIC、VIC及VWIC模塊2個NME插槽支持Cisco28112-10/1001個NME插槽支持17工程方案設計18Benet集團改造后網絡拓撲圖Benet集團網絡使用設備統計Internet集團業務、財務服務器天時辦公大廈天時后勤大廈天時會議中心天時公司內、外網服務器通州分公司昌平分銷點房山分銷點上海迪利青島仁和……集團財務部接入交換機內網專線北京天時總公司網絡拓撲圖北京地區各銷售點網絡拓撲圖上海、青島分公司網絡拓撲圖設備型號設備數量用途CiscoASA55401天時總公司Internet接入設備CiscoASA55102迪利、仁和公司Internet接入設備Cisco38252天時總公司專線業務網網關設備Cisco28113天時公司分銷網點網關設備Cisco45062天時總公司內網雙核心交換設備Cisco45031迪利公司核心交換設備Cisco3560G1天時公司服務器接入設備Cisco35607分布層交換，匯聚功能，光纖上行核心層Cisco296025接入層交換19設備命名與連接2-1設備命名為了方便管理和維護需要對設備進行命名命名規那么為：AAAA-BBBB-CC例如：北京天時公司的第一臺CiscoCatalyst4506EBJTS-C4506E-01設備所屬公司設備型號設備序號設備命名設備型號描述BJTS-ASA5540ASA5540-BUN-K9北京天時公司外網網關設備SHDL-ASA5510ASA5510-SEC-BUN-K9上海迪利公司外網網關設備BJTS-C3825-01CISCO3825-SEC/K9北京天時公司內網網關設備（1）BJTZ-C2811CISCO2811-SEC/K9通州網關路由設備SHDL-C4503ECiscoCatalyst4503E上海迪利核心交換設備20設備命名與連接2-2設備端口連接骨干網絡千兆傳輸天時總公司網絡，到核心交換機鏈路均為千兆天時總公司與北京分銷點通過E1接口互聯端口描述為了便于施工和后期維護需要配置接口描述物理端口：連接的對端端口to對端設備名稱-端口號-功能toBJTS-C4506E-01-G2/0uplink邏輯端口：功能描述〔例：caiwu-GW〕形成端口連接文檔保存21VLAN及IP地址規劃為防止IP地址沖突，重新規劃IP地址北京天時總公司：北京地區各分銷點：上海迪利公司：青島仁和公司：互聯地址設備管理IP地址VLAN與IP地址獲得的公網地址使用網段；OSPF中Area0使用網段使用網段；路由器使用Loopback接口/32掩碼；1、VLAN號與IP地址第3個8位字段相對應2、同一地點不同部門分配連續的網段3、為日后擴容余量VLAN和IP4、分配財務部、視頻會議地址5、VLAN命名〔除效勞器〕：公司地區-部門名，不分部門可以使用“地區-all〞為外網提供效勞的效勞器〔Web、郵件等〕使用公網地址22北京天時總公司園區網設計23兩側均為接入鏈路默認路由直連路由VLAN間路由二層交換三層路由指向客戶端的靜態路由訪問網關二層交換訪問服務器直連路由業務服務器Internet業務服務器財務服務器公司內網內部服務器對外服務器Outsidesecurity-level0Insidesecurity-level100YW_svrsecurity-level50CW_svrsecurity-level60ASA554024Inside區域設計ASA有兩個Inside區域連接到兩臺核心交換機公司內網Outsidesecurity-level0Inside1security-level100YW_svrsecurity-level50CW_svrsecurity-level60Inside2security-level100核心交換機1核心交換機2ASA554025VTP設計VTP相關參數規劃VTP域名：benetVTP域口令：ciscoVTP版本：v2VTP修剪：啟用VTPServer：兩臺核心交換VTPClient：其余所有交換機局部交換機手動配置VLAN財務、業務效勞器接入交換機財務部接入交換機手動配置VLANInternet業務服務器天時辦公大廈天時后勤大廈天時會議中心內網使用服務器外網訪問服務器……財務部接入交換機內網專線財務服務器ASA5540Client模式Server模式手動配置26STP與HSRP設計天時總公司通過HSRP實現設備備份將VLAN分為兩組實現流量負載均衡兩臺核心交換機分別在不同HSRP組內承擔活潑路由器外網訪問效勞器使用公網IP地址使用MST實現線纜冗余配置兩個MST實例分別對應HSRP的兩組VLANSTP中根網橋的選擇和活潑路由器的選擇保持一致HSRP參數活躍設備備份設備IP地址10.10.X.225/2410.10.X.226/24優先級150100占先權是是端口跟蹤是（優先級降低100）否計時器默認配置虛擬IP地址10.10.X.254/24組號VLAN號Instance1包含的VLANInstance2包含的VLANInstance1包含的VLANInstance2包含的VLANHSRP：ActiveSTP：rootHSRP：ActiveSTP：root27以太網通道設計通過以太網通道擴容鏈路帶寬、實現冗余備份核心交換機之間鏈路內網效勞器、外網訪問效勞器接入交換機到核心交換機的鏈路內網使用效勞器外網訪問效勞器28QoS設計通州分公司內網天時總公司內網通州分公司網關天時總公司內網網關將兩條E1鏈路綁定為1條4Mb/s鏈路兩條鏈路各需要為視頻流量預留2Mb/s帶寬29路由設計2-1OSPF路由規劃Area100為天時總公司內網OSPF區域Area1為北京地區各分銷點OSPF區域Area1Area100Area0北京總公司北京各分銷點總公司核心交換機內網網關路由器分銷點網關路由器TotallyStubNSSA30Area1Area100Area0北京總公司北京各分銷點總公司TotallyStubNSSA路由設計2-231配置默認路由實現訪問互聯網配置浮動靜態路由實現冗余備份指向活潑路由器的靜態路由管理距離為1指向備份路由器的靜態路由管理距離為100通州網段與房山、昌平網段分為兩組分別使用不同的管理距離指向不同核心交換機外網訪問對外提供效勞的效勞器的流程靜態路由直連路由二層交換ASA默認路由訪問網關ISP路由防火墻默認路由Internet三層交換32廣域網設計〔NAT〕不需要進行NAT轉換的流量財務服務器Benet集團所有公司財務部NONAT業務服務器Benet集團所有公司人員NONATBenet集團總公司內網Benet集團總公司內網NONAT業務服務器SSLVPN用戶NONATBenet集團總公司內部服務器Benet集團總公司財務部NONATBenet集團Web等服務器InternetInternetBenet集團公司內網NATNONAT33平安局部設計4-1設備平安性增強設計增強設備效勞平安杜絕明文密碼設置AAA實現登錄認證配置Telnet遠程訪問配置SSH遠程訪問配置線路input/output協議設備開放的許多效勞都可能成為被攻擊的對象，所以關閉不使用的效勞可以增強設備平安配置AAA認證本地和遠程訪問效勞，可以設置本地認證也可以通過效勞器進行認證。使用效勞器認證便于集中管理。配置無動作自動斷開時間為5分鐘，對于支持SSH的設備應該禁止通過Telnet登陸設備，而使用SSH。對于支持SSH的設備，應該使用SSH登錄設備進行管理。所有線路只允許Telent和SSH登錄設備。34平安局部設計4-2ACL設計運行訪問效勞器開發的端口根據效勞器提供效勞的端口和效勞器管理端口進行配置限制訪問設備的IP地址段屏蔽除網管外的所有IP地址段北京地區各分銷點直接不能互訪只有財務部能訪問財務效勞器關閉病毒、攻擊常用端口35平安局部設計4-3IPSecVPN設計總公司和分公司之間通過IPSecVPN傳輸機密數據財務數據、業務數據等屬于機密數據IPSecVPN參數階段2傳輸集：esp-3des和esp-sha-hmac階段1協商參數：sha、3des、共享密鑰為benet、密鑰組group2、生存時間86400秒CryptoMap參數：pfsgroup2Internet北京總公司ASA5540青島分公司ASA5510上海分公司ASA5510IPSecVPN36平安局部設計4-4SSLVPN設計出差員工通過SSLVPN平安的訪問業務效勞器也可以訪問OA等內網使用的效勞器SSLVPN參數使用HTTPS的8003端口登錄SSLVPN地址池為Internet北京總公司ASA5540SSLVPN37網絡管理設計配置只讀團體名benetro配置端口UP/DOWN事件的Trap陷阱配置ACL屏蔽內部效勞器外IP網段的SNMP操作38工程實施工程總體進度工程進度表，人員配置表，施工日志等布線工程驗收設備的驗收設備的數量、型號、板卡等設備所帶的附件等加電檢查設備的IOS，功能等檢查設備的來源39工程模擬實施拓撲圖F0/15F0/15F0/14F0/14F0/15F0/4F0/3IPSecVPNSSLVPNISP總公司路由器北京分公司網關路由器SW5SW6SW1SW2ASA1ASA2E0/0F1/0E0/0E0/2E0/1F0/0F0/0F0/0S1/0S2/0F0/3F0/2F0/3F0/2F0/1F0/2F0/1PC4OA_svrF0/3F0/1F0/1E0/3E0/4PC2SW4CW_svrYW_svrPC5F0/2SW3PC3F0/0R2E0/1PC1F2/0F0/0F1/0F0/15F0/0F0/0F0/1F0/2F0/3R1Web_svroutside區域inside1區域inside2區域CW_svr區域YW_svr區域40模擬工程規劃配置信息根底規劃設備互聯地址用戶、效勞器IP地址及VLAN管理IP地址一臺PC模擬多個網段時需要更改主機及設備相應配置配置PVST+，不配置MST交換局部規劃以太網通道VTPVLAN與TRUNKSTP與HSRP路由局部規劃QoS規劃平安局部規劃設備效勞平安設備密碼遠程訪問ACL規劃廣域網局部規劃NAT規劃ASA2路由設計IPSecVPN規劃SSLVPN規劃只進行配置，不進行驗證采用ping命令測試是否能夠訪問效勞器41測試驗收連通性測試主要使用ping命令查看連通性和時延VPN測試驗證訪問效勞器是否正常冗余性測試HSRP和負載均衡路由測試設備訪問權限測試遠程管理設備是否正常……42竣工報告與售后支持43本章結構網絡工程實戰公司網絡現狀企業需求分析工程工程實施流程網絡改造需求分析方案設計公司網絡需求工程實施售后支持及相關培訓設備命名及連接廣域網局部設計VLAN、IP地址規劃總公司內部網絡設計路由局部設計網絡平安局部設計編寫竣工報告、培訓PPT工程測試驗收工程測試、驗收44——上機局部網絡工程實戰工程工程實施4-1分組方案組員任務交換局部VLAN、以太通道、VTP、STP、HSRP路由局部OSPF、ASA路由、ASA過濾內網流量、QoS廣域網局部IPSecVPN、SSLVPN、ACL、NAT46工程工程實施4-2交換局部F0/15SW4CW_svrYW_svrPC5SW3F0/15F0/0F0/2F0/3F0/15F0/14F0/14F0/15F0/4F0/3SW5SW6SW1SW2F0/3F0/2F0/3F0/2F0/1F0/2F0/1PC4OA_svrF0/3F0/2Web_svr北京總公司園區網交換局部北京總公司業務、財務網局部47工程工程實施4-3路由局部F0/15F0/14F0/14F0/15ISP總公司路由器北京分公司網關路由器SW1SW2ASA1ASA2E0/0F1/0E0/0E0/2E0/1F0/0F0/0F0/0S1/0S2/0F0/1F0/1E0/3E0/4PC2SW3PC3F0/0R2E0/1PC1F2/0F0/0F1/0F0/0F0/1R148工程工程實施4-4廣域網局部F0/15IPSecVPNSSLVPNISPASA1ASA2E0/0F1/0E0/0E0/2E0/1F0/0PC2SW4CW_svrYW_svrPC5SW3E0/1PC1F2/0F0/15F0/0F0/0F0/1F0/2F0/349工程工程實施階段劃分2-1實施14學時，分為5