苏ICP备112451047180号-6
雷霆科技有限公司的网络改造与建设
一、项目背景介绍
杭州雷霆科技有限公司成立于2015年,是一家集移动互联网产品研发、发行、互动娱乐为一体的高新技术公司。
该公司在总部设有行政部、财务部、开发部、运营部、人力资源部,其中,行政部有30人,财务部50人,开发部100人,运营部150人,人力资源部80人。分部设有行政部、财务部、开发部、运营部,其中,财务部20人,财政部35人,开发部50人,运营部100人。
为方便总部与分部的信息传递,现需建立一个高可靠性、安全性、可扩展性的互联互通的网络体系,员工能够随时随地自由地访问总部的服务器,以高效率低成本的方式提高员工的办公效率,加强公司间的交流通信,以达到更好的经济发展。
二、项目需求分析
杭州雷霆科技有限公司分为总部和分部,以总部为中心,总部内部的很多服务器需要给企业客户和员工提供服务,所以要求这些客户、分部员工和总部之间要建立高速可靠安全的网络连接。
由于总部和分部的终端过多,使用DHCP技术自动分配IP地址以提高效率,内部网络使用vlan技术进行分段,隔离广播域,防止网络窃取和非授权的跨网段访问。为保证公司合作伙伴的来访体验,专门设立了来宾区vlan,来宾区vlan可访问外网和服务器,但不能访问公司的其他部门。总部和分部内网皆使用ospf路由协议进行内网之间的通信。为了更好的提高公司运作效率,公司内部的各个部门能够相互访问。为了用户能随时通过公网访问公司的资源,采用NAT技术开放服务器资源给与外界访问。
公司数据中心网络平台承载着公司的关键核心业务,保证中心机房网络的高可靠性和稳定性至关重要,故总部三层交换机采用VRRP技术为网关做冗余备份,以保证业务的不中断。为了在有限的空间内提供尽可能多的端口,接入层交换机采取堆叠技术,以此扩展带宽和端口数。汇聚层和核心层都应架设两台及以上设备来负载均衡,核心层设备之间链路聚合,保证网络的高可靠性和可扩展性。
保证内网安全和各服务器的安全是改造网络时必须考虑到的因素。总部分部都加载硬件防火墙,同时由于服务器集群的安全需求较高,服务器接入核心网络的节点上要专门配置防火墙。为了确保企业网络的安全性,必须在边界路由器或防火墙上部署相应的安全策略以防止黑客或恶意代码的攻击。为了财务部的安全,所以财务部不能访问外网,其他部门无法访问财务部,总公司财务部与分公司财务部能够互通。
对于总公司和分公司之间的通信,我们采取IPSec VPN技术进行数据的交换,IPSec方案安全级别高,基于Internet实现多专用网安全连接,IPSec VPN是比较理想的方案,这样不仅能满足分公司大量数据的快速传输,同时可以保证数据的安全性。对于外部用户的访问,我们通过NAT Sever技术,使得内部服务器可以供外部网络访问。
目录
一、项目背景介绍 3
二、项目需求分析 3
三、项目设计方案 4
1.网络拓扑结构设计 4
2. VLAN和IP地址规划 6
(1)公司总部VLAN规划见表1 6
(2)公司分部VLAN规划见表2 6
(3)VLAN接口IP地址规划 7
(4)VRRP IP地址规划 8
(5)互联IP地址规划 8
(6)网络出口与运营商IP地址规划 10
3.设备选型 11
四、项目实施 16
1. 更改设备命名 17
2. 配置接入层VLAN 17
3. 配置汇聚层VLAN 18
4. 配置DHCP功能 18
5. 配置接口IP地址 18
6. 配置LACP模式链路聚合 18
7. 配置VRRP 19
8. 配置OSPF 20
9. 防火墙基本配置(防火墙登录密码设为huawei123) 21
10.防火墙安全策略 21
11.acl配置 23
12.traffic-policy配置 25
13.IPSec VPN配置 26
14.配置静态路由 28
15.NAT配置 28
16.NAT Sever 服务配置 29
五、项目测试 29
1.DHCP服务开启 29
2.IPSec VPN启用 30
3.VRRP启用 31
4.行政部可以访问服务器 32
5.行政部可以访问外网 32
6.行政部可以访问分行政部 32
7.行政部无法访问财务部 32
8.财务部可以访问分财务部 33
9.财务部不能访问行政部 33
10.财务部不能访问分行政部 33
11.财务部不能访问外网 33
12.分行政部可以访问服务器 34
13.分行政部可以访问分开发部 34
14.分财务部不能访问分行政部 34
15.分财务部可以访问财务部 34
16.分财务部可以访问服务器 35
17.分财务部不能访问行政部 35
18.分财务部不能访问外网 35
19.外网不能访问内网 35
20.外网用户可以访问服务器 36
21.来宾区可以访问服务器 36
22.来宾区可以访问外网 36
23.来宾区不能访问其他部门 37
24.分来宾区不能访问分公司其他部门 37
25.分来宾区可以访问服务器 37
26.分来宾区可以访问外网 38
六、附录 38
七、主要参考文献和书目 38
主要参考文献和书目
[1] 谢希仁.计算机网络[M].北京:电子工业出版社,2008.
[2] 王达.深入理解计算机网络[M]. 北京:机械工业出版社,2013.
[3] 叶肇熹. 某医院网络系统的设计与实现[D].广东省:华南理工大学,2013.