xx网络项目实施方案.docVIP

xxxxxx网络项目 实 施 方 案 文件状态： [√] 草稿 [ ] 正式发布 [ ] 正在修改 文件标识： Delteq-Project-telecom 当前版本： 0.9 作 者： 完成日期： ******技术有限公司 目 录 第一部分 工程描述 3 第二部分 网络拓扑图 4 第三部分 设备清单 8 第四部分 网络设备机柜布局图 9 第五部分 技术规划 11 5.1核心交换机Catalyst6509和Catalyst4506 11 5.2汇聚层Catalyst2970和接入层 Catalyst2950 12 5.3 Cisco3845安全路由器 12 5.4 防火墙模块FWSM 13 5.5 入侵检测模块IDSM 14 5.6 趋势防病毒产品 15 5.7 网强网管软件及PCMAIN资产管理软件 18 5.8 网络安全规划 19 5.9 路由协议规划 21 5.10 VLAN及IP地址规划 21 5.11 网络管理设置 25 5.12 设备名和口令设置 25 5.13 设备连线 26 第六部分 项目组及项目进度安排 27 第七部分 网络应急方案 31 第八部分 参考配置 34 8.1 Trunk协议的配置 34 8.2 安全VTP域的配置 34 8.3 二层VLAN的配置 34 8.4 三层VLAN的配置 34 8.5 浮动静态路由的配置 34 8.6 安全策略的配置 34 8.7 HSPR协议的配置 35 8.8 CBAC配置 35 附表1：设备连线表 37 实施方案认可表： 45 第一部分 工程描述 宁波xxxxx（集团）股份有限公司是一家以铜加工为主的全国大型企业。xxxxx集团网络系统项目建设的总体目标是利用各种先进成熟的网络技术和通信技术，建设一个技术先进、扩展性强、安全性高的数据中心及主干网络。数据中心包括中心服务器和中心存储系统，同时通过网络系统将公司各种PC机、工作站、终端设备和局域网连接起来，并与原有的网络系统、广域网相连，形成结构合理、内外沟通的企业网络系统，并在此基础上建立能满足企业办公、指挥协调和管理需要的软硬件环境，开发各类信息库和应用系统，为集团公司内工作的各类工作人员提供充分的网络信息服务。xxxxx建设一个主干网络 第二部分 网络拓扑图 由于xxxxx网络较为复杂，且设备之间有多种的组合，我们设计了2种网络方案，其中方案1拓扑图如下： 主楼放置2台核心交换机Catalyst6509和Catalyst4506，两台核心交换机之间捆绑两条1000M光纤线路互联，配置HSRP互为热备来实现主交换之间的冗余，同时通过ACL来保证VLAN之间的安全互访，主楼中分布7台接入层交换机Catalyst2950，分别通过trunk链路连接到Catalyst6509和Catalyst4506，实现接入层到核心层交换之间冗余，在2个侧楼各分布了1台Catalyst2970和2台Catalyst2950，Catalyst2970通过光纤线路分别连接到Catalyst6509和Catalyst4506，实现汇聚层到核心层交换之间冗余，原老大楼网络主交换为一台avaya三层交换机，通过光纤线路连接到核心交换机，按照整体设计，老大楼需要拉两根光纤线路到中心机房，以达到新老大楼线路连接冗余，另有4个点通过改动后的光纤线路连接到核心交换机，需要安装共4台cisco2950交换机。 网络的主出口设备为cisco3845，同时连接电信和网通的线路，内部网络通过cisco3845做NAT地址转换来访问公网，在cisco3845上对两条线路做策略路由通过合理的分配流量来实现线路的负载均衡，同时cisco3845作为VPN服务器，各个分公司用户及移动用户通过VPN安全接入到内部网络，对内网服务器进行访问。在cisco3845后面是PCMAIN行为监控设备，对内网上网的异常行为进行监控，拦截和限制非法收发的邮件，对内部网络上网的带宽进行限制，趋势防毒墙NVW1200接在PCMAIN后面，为透明模式，对所有经过这条链路的流量进行监测，防止网络病毒进入内部网络，在NVW后面是Catalyst6509的防火墙模块FWSM，这是网络中最重要的一道防护，我们将会配置严格的访问控制来保证网络的安全，FWSM将配置为透明模式，以降低网络的复杂程度，Catalyst6509上的IDS模块IDSM对网络中的重要流量进行监控。 与方案1中不同的是网络出口设计为两条链路，一条为主链路，作为内部网络上网的出口，一条链路作为VPN拨入接入，主链路出口为电信线路，下面接趋势防毒墙NVW1200---PCMAIN---FWSM，其中上网通过FWSM做NAT地址转换，并在FWSM进行出入流量的状态检测，VPN链路出口为网