文档库

最新最全的文档下载
当前位置:文档库 > 企业网络功能需求说明

企业网络功能需求说明

某企业网络建设需求说明

一、项目背景

某知名外企步入中国,在北京建设了自己的国内总部。为满足公司经营、管理的需要,现在建立公司信息化网络。总部办公区设有市场部、财务部、人力资源部等3个部门,并在异地设立了一个分部,为了业务的开展需要合作伙伴访问公司内部服务器。

二、网络拓扑:

企业网络功能需求说明

网络拓扑图

根据这个企业的建网的需求,某系统集成公司进行网络规划和部署。为了确保部署

成功,前期进行仿真测试。测试环境包括了3台路由器、3台三层交换机、1台UTM、

2台服务器及2台主机。

根据要求在网络设备上进行实际操作,完成网络物理连接、IP地址规划、VLAN规

划与配置、VPN配置、路由协议、网络安全与可靠性等配置任务。

三、网络功能需求

1、网络设备说明

根据下表为网络设备配置主机名:

设备名称(主机名)说明

SW1 总部二层交换机

SW2 总部三层交换机

SW3 总部三层交换机

UTM 总部防火墙

RT1 公网路由器

RT2 分部路由器

RT3 合作伙伴路由器

2、IP地址规划与配置

北京总部办公区各部门信息点分布如下:

部门信息点

市场部60

财务部30

人力资源部14

规划用户使用192.168.0.0/24地址段。如下表所示:

区域IP地址段网关

市场部192.168.0.64/26 192.168.0.65/26

财务部192.168.0.32/27 192.168.0.33/27

人力资源部192.168.0.16/28 192.168.0.17/28 公司分部共有28个信息点,故规划使用192.168.1.0/29地址段。

为方便公司网络设备管理。公司总部及分部所有三层设备需要管理员使用loopback0地址进行管理。服务器IP地址、网络设备Loopback地址、如下表所示。

请根据下表中地址要求在服务器及网络设备上配置。

IP地址网关

服务器1(windows)192.168.0.1/29 192.168.0.2/29

服务器2(linux)192.168.0.9/29 192.168.0.10/29

PC2(合作伙伴) 172.16.0.0/24 172.16.0.1/24

RT2的loopback0地址9.9.9.1/32

SW2的LoopBack0地址9.9.9.2/32

SW3的LoopBack0地址9.9.9.3/32

UTM的LoopBack0地址9.9.9.4/32

UTM-RT1 202.0.0.0/30

RT1-RT2 202.0.1.0/30

RT1-RT3 202.0.2.0/30

UTM-RT2 10.0.0.0/30 Tunnel 0接口

SW2 -UTM 10.0.0.4/30 使用vlan1000互联

SW3-UTM 10.0.0.8/30 使用vlan1000互联

Sw2-sw3 10.0.0.12/30

3、VLAN配置

为了做到各部门二层隔离,需要在交换机上进行VLAN划分与端口分配。根据下表完成VLAN配置和端口分配。

VLAN编号VLAN名称说明端口映射

VLAN10 Marketing 市场部SW1上的E1/0/3~E1/0/4

VLAN20 Finance 财务部SW1上的E1/0/5~E1/0/8

VLAN30 HR 人力资源部SW1上的E1/0/9~E1/0/12

VLAN100 SW2-SW3 SW2与SW3

间互连用VLAN

VLAN400 WindowsSer

window服务器SW2上的E1/0/23

ver

VLAN500 LinuxServer Linux服务器SW2上的E1/0/24

4、广域网链路配置

RT1--RT3使用广域网串口线连接,使用PPP MP协议。为了安全起见,使用CHAP 验证(用户名+密码的方式),验证口令为123456。

5、接入认证配置

为了确保公司内部网络安全,规划使用802.1x对接入主机进行认证(使用Windows XP设置802.1x客户端)。要求如下:

用户名统一使用“h3c”,口令为123456;采用本地认证方式。

在公司内部交换机SW1上,将财务部一台PC进行port+mac+ip的端口绑定,绑定在E1/0/8接口上。

6、路由配置

在合作伙伴、RT1、UTM、之间使用RIP协议,版本为2,并使用简单明文验证,验证口令为123456。将100.0.0.0 ——100.0.0.15加入黑洞路由后,再引入RIP域。

在总部三层交换机、UTM上使用OSPF协议area0达到全网互通。并要求在utm与RT2间使用ospf area 100达到总部与分部间的通信。使用OSPF协议的简单明文验证,验证口令为123456。

7、网络可靠性实现

在交换机SW1、SW2、SW3上配置MSTP防止二层环路;在三层交换机SW2和SW3上配置VRRP,实现主机的网关冗余。要求如下:

在正常情况下,数据流经由三层交换机SW3---UTM 进行转发(不允许经由SW2转发);当SW3的上行链路发生故障时,主机的数据流切换到经SW2---UTM进行转发;故障恢复后,主机的数据流又能够切换回去。

其中各VRRP组中高优先级设置为120,低优先级设置为100.

8、网络安全实现

在UTM上进行适当配置,实现网络安全,包括如下要求:

1、安全域配置。将接口G0/0 、G0/1加入Trust区域,G0/2加入Untrust区域;

2、域间策略。允许总部用户访问外网、分部及合作伙伴;不允许合作伙伴访问

除服务器外的其他地址。

3、分部通过tunnel访问总部网络。并要求使用ipsec vpn 保护tunnel数据,要

求在UTM和RT2间建立IPSec VPN,采用IKE自动协商方式建立隧道,采用

预共享密钥123456。

4、总部与合作伙伴间建立ipsec vpn 采用野蛮模式并开启NAT穿越。预共享

密钥为123456.

9、网络地址转换规划与配置

在UTM上配置NAT。要求内网的所有私有地址(网络设备除外)均可经地址转换(使用地址池方式)后而访问公网。从ISP处申请到的公网IP地址为100.0.0.0-100.0.0.15 。另外,为了使外部用户能够访问内部服务器上的WWW、DNS和邮件服务,要求在UTM上规划并配置静态NAT。

请按照下表中的服务器地址映射关系在UTM上配置。

设备名称私网地址公网地址

Linux 192.168.0.1 100.0.0.1

Windows server2003 192.168.0.2 100.0.0..2

10、设备安全访问设置

按照下表为网络设备配置相应密码。

设备名称(主机名)远程登录用户名远程登录密码超级用户密码RT1 Admin 000000 123

RT2 Admin 000000123

RT3 Admin000000123 SW1 Admin000000123 SW2 Admin000000123 SW3 Admin000000123