泰普森网络改建实施方案

《泰普森网络改建实施方案》由会员分享，可在线阅读，更多相关《泰普森网络改建实施方案（39页珍藏版）》请在装配图网上搜索。

1、泰普森网络改建 实施方案文档编号TPS-02文档密级商业机密版本编号VERSION 2.0撰写日期2013年3月5日版权声明文中出现的任何文字叙述、文档格式、插图、照片、方法、过程等内容，除另有特别注明，版权均属杭州信网真所有，受到有关产权及版权法保护。任何个人、机构未经杭州信网真的书面授权许可，不得以任何方式复制或引用本文的任何片断。版本变更日期历经版本注释撰写者2013/2/25第一版刘松2013/3/5第二版刘松适用性本模板用于撰写杭州信网真网络科技有限公司各种正式文件，包括方案技术手册、标书、白皮书、会议通知、公司制度等文档使用INT 您身边的网络服务专家 目录第一章需求和预期效果分析

2、71.1需求分析71.2本次改造预期效果7第二章规划方案拓扑以及说明82.1完工后网络结构拓扑8第三章实施和方案说明103.1计算机网络实施方案103.1.1 项目设计指导思想103.1.2 计算机网络建设要求103.1.3网络设备选型要求103.1.4安全性和可靠性保证103.2方案设计113.2.1 网络总体设计113.2.2 设备命名规范和连接规范113.2.3 VLAN划分与IP地址规划123.2.4 交换部分设计123.2.5 路由部分设计133.2.6 网络安全性设计143.2.7 网络可靠性设计14第四章产品清单说明相应技术指标164.1产品清单164.2产品相应参数和技术指标1

3、84.2.1核心设备相应参数和技术指标184.2.2 接入层设备相应参数和技术指标21第五章实施步骤和安排225.1实施总览225.2 具体系统安装工作安排225.3 施工准备清单23第六章测试276.1系统测试原理和方法276.2硬件设备测试和验收276.2.1部件级测试276.2.2设备级测试276.2.3系统级测试276.3系统集成测试276.3.1功能性测试：276.3.2连通性测试：286.3.3稳定性测试：286.3.4重载测试：286.4测试相关命令286.4.1通用测试、诊断命令286.4.2 CDP测试、诊断命令286.4.3 路由和路由协议测试、诊断命令296.4.4 VL

4、AN、VTP测试、诊断命令296.4.5生成树测试、诊断命令296.4.6 NAT 测试、诊断命令296.4.7 ACL测试、诊断命令296.4.8 远程访问测试、诊断命令306.4.9 后期网络测试与诊断30第七章项目工程管理317.1工程的安全管理317.2工程资料、文档管理317.3项目的质量控制31第八章现场培训32第九章售后服务：339.1产品（或货物）质量和售后服务承诺339.2 售后服务网点339.3 维修响应方式339.4 现场培训34第十章公司简介35第一章 需求和预期效果分析1.1需求分析 1.满足企业信息化的要求。为各类应用系统提供方便、快捷的信息通路。2.机构规划清晰，

5、实现各部门分离和协作，按照业务职能分离又互通互访。3.未来几年的高可扩展性。考虑后期网络更新换代的设计。4.良好的性能。能够支持大容量和实时性的各类应用。能够可靠地运行。5.实现高可用性。易于维护管理。提高安全机制，满足保护企业信息安全的要求。6.具有较高的性价比。未来升级扩展容易，保护用户投资。使用简单、维护容易。7.良好的售后服务支持。1.2本次改造预期效果通过本次网络改建，我们将搭建符合信息化建设发展的标准化网络平台基础，架设核心层-汇聚层-接入层的网络结构，提高网络安全性，可靠性，可扩展性。通过模块化的部署可实现今后发展的便利性，只需添加相应模块即可完成网络的扩张与改建，无需推倒重来，

6、保护业主的投资。我们将保障五年内网络的先进性，不会成为今后各业务平台搭建的瓶颈。同时通过更为先进、便捷、智能的管理方式，我们亦能省去维护人员繁琐的排查工作，提高其工作效率。通过行为管理的自动化规则，我们可以更好的优化网络带宽流量，避免网络拥塞，提高网络可靠性，保障正常业务的流畅使用。另外，通过对比分析行为管理的数据报表，可以为今后的网络变更的动作提供相应依据。第二章 规划方案拓扑以及说明2.1完工后网络结构拓扑说明：1、 本次改建将对原有网络进行大规模整改，新网络搭建将由本公司与贵公司技术人员协力完成并测试验收。2、 核心网络各采用一台ASA5520作为网络出接口，承载整个集团的互联网访问，N

7、AT地址转换，阻断互联网上的各类攻击。3、 核心网络各采用一台WS-4507R作为核心交换机，杭州与德清的核心网络通过万兆光缆互联，所有汇聚交换机与核心之间通过千兆光纤互联，所有电脑的网关地址将终结于核心交换机上，因此核心交换机承载了所有局域网内部的数据转发。4、 所有汇聚层交换机以及服务器区交换机皆采用WS-C2960S系列交换机作为接入，全千兆高性能的交换机保障了数据高速转发时的稳定。5、所有总部、分支接入交换机皆可采用WS-C2918系列作为接入交换机，通过光纤与核心交换机互联。局域网内部皆通过划分VLAN，为不同部门/分支单独规划一个IP地址段，组成一个逻辑局域网，避免将内部攻击、冲突

8、传播到整体网络中。杭州拓扑结构图德清拓扑结构图第三章 实施和方案说明3.1计算机网络实施方案3.1.1 项目设计指导思想 此次网络建设将将采用先进的计算机、网络设备和软件，实现一个高效的办公网络系统。网络中的各类服务器设备和网络设备以及各种操作系统和应用软件必须考虑技术上的先进性，国内外及各行业的通用性，并且要有良好的市场形象与售后技术支持，便于维护和升级。总体来讲，为了使项目的实施顺利进行，并使系统规划能够满足公司的应用和发展的需求。3.1.2 计算机网络建设要求 建设一个通畅、高效、安全、稳定、可扩展的企业内联网，支撑内各类信息系统的运行，共享各种资源，提高企业的办公效率，降低企业网络的总

9、体运行费用。网络整体具有良好的可扩展性，减轻维护人员的工作量，提高网络系统的运行质量。实现和因特网的高速可靠连接，要求网络连接高效、运行稳定、同时进行必要的安全访问控制。具备良好的可扩展性，能够满足公司未来发展的需求。由于网络中保存了众多数据，而且部分内容涉及商业机密，因此该网络建设要充分的考虑安全的因素，全面保障网络系统和内部数据免受恶意攻击和破坏，同时可以有效的阻止内部网络病毒的传播，建成的网络需要提供全面而完善的安全特性。在项目实施完毕后，工程实施方对相关人员进行培训，并移交全部的项目工程资料，保证网络的正常运行和管理维护。新建的网络能很好地支持视频会议、等多媒体的应用。需要扩展网络与服

10、务器有机结合，为内部网络系统提供良好的应用平台，搭建的平台要求畅通、实用，避免由于数据交换频繁、数据量大而引起的网络拥塞、广播包泛滥问题，并解决各分支（杭州、德清）主机访问的安全性问题。3.1.3网络设备选型要求 为了实现网络设备的统一，也出于兼容性的考虑，此次网络建设计划在交换机和路由器选型方面全部采用思科公司的产品。全网使用同一厂商设备的主要好处在于可以实现各种不同网络设备功能的互相配合和补充。此外，思科公司是全球领先的网络设备提供商，技术先进产品齐全，能够提供完善的支持与服务。 3.1.4安全性和可靠性保证 为了保证单位的办公和生产经营，网络需要安全可靠地运行。因此在项目设计开始时就要采

11、用统一的安全规则，以保证重要信息和网络系统本身的安全，采用的技术包括网络设备的冗余备份和线路与设备的切换机制等。在网络中也会购买和安装防火墙、入侵检测等安全设备，以增加网络的安全性。3.2方案设计 无论是VoIP、IP视频网络，还是各种应用系统（例如办公自动化、电子商务等），都需要构建在有效、可靠及安全的网络基础之上。就像盖房子，如果不大好地基，房屋很容易倒塌，最终将以失败告终。同样，如果企业网络的基础服务并不可靠，则VoIP、IP视频及电子商务等依赖网络服务的应用最终都将遭遇性能及可靠性问题。3.2.1 网络总体设计 按照网络建设规划和总体要求，我们计划利用原有综合布线系统和设备的基础上，重

12、新规划实施，建设企业内联网，以满足网络整体性能的要求，并为各种网络服务和信息系统的使用提供运行良好的网络平台。OSPF与RIP（路由信息协议）等距离矢量路由协议相比，具有快速收敛的优势，能够支持更大型的互联网络，并且不容易受到有害路由选择信息的影响。同时OSPF协议使用子区域的概念，可以有效减少路由选择协议对路由器的CPU和内存的占用，还能降低路由选择协议的通信量，这使得构建一个层次化的互联网络拓扑成为可能。出口处配置防火墙，出入因特网的通信流量都必须通过防火墙的过滤，通过防火墙对网络加以保护，并实现安全的控制。同时网络中也以透明的方式部署上网行为管理，对公司的流量进行规范化管理。LAN部分会

13、启用VTP和STP，实现VLAN的统一配置管理和环路避免。3.2.2 设备命名规范和连接规范 网络设备的命名和连接规范如同综合布线中线缆的标识、记录一样，都非常重要的。良好的设备命名和连接，可以使网络的结构清晰，帮助网络管理员更方便地管理网络，提高网络的可维护性。然而，在实际工作中，这项工作尽管简单却不容易做好，需要格外注意。（1）设备命名规范 设置路由器和交换机的名称，也就是设置路由器和交换机出现在CLI提示符中的名字。一般以地理位置、型号或者用途来为交换机命名。当需要Telnet登陆到若干台设备上以维护一个大型网络时，通过设备名称提示符提示自己所调试的设备是位于哪里的哪一台设备，使很有必要

14、的。（2）设备连接规范 设备连接设计要求统一实施标准的、严格的连接规范，便于工程的实施和运行管理。其基本原则如下：核心交换机与接入或汇聚交换机连接按顺序打上标签，与交换机的命令后的序号尽量一致，接入或汇聚交换机的最后一个端口作为上联接口，并写上描述。 3.2.3 VLAN划分与IP地址规划 （1） 网段细分 在企业网络刚刚兴起时，由于企业网络规模小、应用范围存在局限性、对因特网接入的认识程度较浅、网络安全及管理的贫乏等原因，使得企业网络仅限于交换模式的状态。在这种交换模式下，LAN交换机的每个端口均为自己独立的冲突域，但对于所有处于同一个IP网段的网络设备来说，却同在一个广播域中，当工作站的数

15、量较多、信息流较大的时候，容易形成广播风暴，甚者造成网络的瘫痪。各网络的细分可遵循3个依据：地点、部门和功能。这样可以使网络结构清晰，各个公司和智能部门的隔离也更加安全，降低了日后维护的工作量。（2） VLAN划分 在一个大、中型网络中，VLAN（虚拟专用网）的划分时必不可少的步骤之一。划分虚拟子网可以隔离VLAN内的广播，解决以太网LAN内广播包过多的问题，提高网络的性能。一个VLAN可以根据部门职能、对象组或者应用来将不同地理位置的网络用户划分为一个逻辑网络。对于局域网交换机，其每一个端口只能标记一个VLAN，一个VLAN中的所有端口拥有一个广播域，而处于不同VLAN的端口则共享不同的广播

16、域，这样就避免了广播风暴的产生。可以说，在一个交换网络中，VLAN提供了网段和机构的弹性组合机制，我们按部门把属于相同部门的端口划归同一vlan，这个操作可以跨交换机操作。（3） IP地址规划 考虑到公司的实际情况和网络改建的要求，此处讲对IP地址使用情况统一进行规划和设计。在按照地点、部门和功能划分以后，目前每个子网使用的IP地址都远远超出了现在用户和设备数量的需求，能够满足未来人员增长、设备增加的需求。同时，如果增加新的分公司，只需继续使用后续的C类地址即可，不会对网络IP地址的结构造成影响。（4） IP地址分配 有了IP的规划和VLAN的划分之后，可以确定具体在路由和交换设备上，端口的I

17、P地址、交换机的管理IP、VLAN的网关等应该如何分配。3.2.4 交换部分设计 （1）交换部分总体设计 为了高效、稳定地运行，便于管理与维护，此次各个局域网交换技术的相关方面进行了规划设计，包括VLAN、VTP、STP、Trunk、EthernetChannel、三层交换等。VLAN将广播限制在单个VLAN内部，较少了各VLAN间主机的广播通信对其它VLAN的影响。在VLAN间需要通信的时候，可以利用三层交换技术实现。当网络管理员需要管理的交换机数量较多时，可以使用VLAN中继协议（VTP）简化管理，它只需在单独一台交换机上定义所有VLAN，然后通过VTP协议将VLAN的定义传播到本管理域中

18、的所有交换机上，这样，大大减少了网络管理员的工作负担和工作强度。当网络内交换机数量增多或交换机链路增加时，都有可能因交换网络的复杂性提高而造成交换环路，或者为了提高网络冗余度而有意设置了交换环路，这就需要通过在各个交换机上运行生成树协议（STP）来解决。其中所有的接入交换机采用购买的二层交换设备，核心层交换机采用单台双电源、双引擎交换机。全网交换机配置STP。（2） VTP设计 当网络中交换机数量较多时，需要分别在每台交换机上创建很多重复的VLAN。工作量大、过程繁琐，并且容易出错。由将使用VLAN中继协议（VTP）来解决这个问题。Cisco公司专有的VTP协议能够从一个中心控制点开始，维护整

19、个企业网络上VLAN的添加、删除和重命名工作，确保配置的一致性，可以减少在数量众多的交换机上配置VLAN相关的管理任务，降低认为因素导致的VLAN配置不一致现象（例如，VLAN配置错误、名称不统一等），降低了配置的复杂性。VTP的口令是为了保证VTP域的安全。设置了口令之后，除非交换机设置了正确的口令，否则，新交换机不能自动加入到已存在的管理域中，可以避免VLAN被错误或恶意地增加、删除。（3）STP设计 所有的局域网都采用全冗余结构，在交换网络中造成了大量的交换环境，可能会引起网络中的广播风暴和桥表震荡等问题，所以将在网络中启用生产树协议（STP），用来阻塞冗余链路，而在发生链路故障时，迅速

20、启用被阻塞的冗余链路，启到链路备份的作用。所以，此处的交换部分设计中，也将在各个交换机上启用生成树协议，并且我们将通过调整交换机优先级的方式，来指定性能较高的核心交换机为根网桥。（4） Ethernet Channel 设计 从上面各小节的图中可以看到，核心交换机和接入层交换机按照实际需要把多个端口捆绑成一个。该以太网通道汇聚的骨干链路，使重要的骨干链路带宽达到了2000Mbps。而且核心交换机上有大量保留端口，随时可以扩充通道的带宽，最大可以汇聚8条链路成为一条以太网通道。（5）VLAN间路由设计 在两台核心交换机上各自为VLAN配置IP地址，启用路由转发功能，各个VLAN内的计算机使用该地

21、址作为网关，之间便可以实现互通了。三层交换机技术在第三层实现了数据包的高速转发，从而解决了传统路由器低速、复杂所造成的网络瓶颈问题。3.2.5 路由部分设计 对于企业内网而言，可以使用一系列路由协议。选择路由器时需同时考虑网络设计和路由协议的选择。最常见的标准路由协议是RIP和OSPF，但RIP并不适合大型网络。考虑到内联网未来扩展的要求，我们将采用OSPF协议作为网络的路由协议。OSPF路由协议是业界标准的网络协议，许多厂商的网络设备都支持它，因此它受到了广泛的应用。OSPF路由协议能够快速收敛，支持无类路由（Classless）和变长子网掩码（VLSM），可划分区域，适合运行在大中型网络中

22、。设计方案从OSPF区域、指定路由器、路由器ID等方面进行了规划。（1） OSPF区域规划 为了解决最短路由优先（SPF）算法的频繁计算、路由表过大、链路状态数据库过大的问题，OSPF将大型网络分成多个区域。（2）路由器ID规划 路由器的ID是在OSPF区域内唯一标识一台路由器的IP地址。路由器首先会选取所有的Loopback接口上数值最高的IP地址作为路由器的ID，如果路由器没有配置Loopback接口的IP地址，那么它将选取自己所有的物理接口上数值最高的IP地址作为它的Router ID。用作路由器ID的接口不一定要运行OSPF协议。使用Loopback地址作为路由器ID有两个好处：一个是

23、loopback接口比任何其他的物理接口更稳定，因为只要路由器启动，这个环回接口就处于活动状态，只有路由器失效时它才会失效；另一个就是，这样的网络的设计者将具有更好控制路由器的ID的能力。（3） 广域网部分 具体来讲，广域网接入功能是由防火墙实现的。到达公司总部的链路首先连接到防火墙，再经由防火墙连接到核心交换机，实现公司内部和因特网的互联，杭州和德清分别有独立的因特网接入。3.2.6 网络安全性设计 对网络安全而言，一套行之有效的安全管理策略更重要。在网络建设项目中实现网络安全管理是一个动态的系统工程，关系到安全项目规划、安全策略规定、人员职责分工、安全等级评定、网络用户管理、安全规章制度建

24、立等方面，这些在一开始就对网络的规划实施安全性提出了要求。（1） 网络安全建设管理原则 一个网络的安全，首先要有严格和有效执行的管理制度，其次必须具有一定的技术手段来保障网络的安全。技术和管理手段相结合实施，才能够产生良好的效果。（2） 网络一般安全策略 为了使网络中的路由器和交换机更安全，可以配置一些简单的安全策略，并且关闭其上一些不必要开启的默认服务（可能会对网络的安全造成威胁），主要包括以下几点：保护设备的物理安全、包含设备的密码、控制Telnet访问、禁止CDP、关闭HTTP服务等。（3） ACL设计 即使已经在因特网的出口部署了防火墙，出于安全性因素考虑，我们也需要使用访问控制列表（

25、Access Control List，ACL）在路由器上对网络内部、内外网之间的流量进行一些常规的控制，提供第二层的安全防护。因为在网络环境中普遍存在着一些非常重要的、影响服务器群的安全隐患，因此在绝大多数万路过环境的实现中它们都是对外屏蔽的。（4）用户的接入控制 以上安全措施都不是针对网络内部的用户的，但事实上很多安全隐患来自于万路过的内部，所以严格控制用户的接入，可以避免由于非法用户接入带来的潜在的安全隐患。3.2.7 网络可靠性设计 现在，网络系统的高可靠性日益成为设计整个系统的一个关键因素。对于对网络依赖性极高的新型IT公司来说，可靠性尤为重要。网络作为一个整体，在出现故障时，必须依

26、靠能维持正常的网络连接。网络系统的可靠性包括外在的因素和自身的因素。外在因素是指机房、供电、空调等辅助系统必须正常运行，提供适合网络设备运行的环境。自身因素包括网络设备、通信线路的可靠性，以及网络系统的故障自动切换机制。（1） 设备和链路冗余 物理上的安全也就是冗余能力是网络可靠性的保证，即网络的可靠性主要通过线路和设备的冗余来实现。虽然Cisco公司的网络设备产品具有较高的平均无故障工作时间（这也是我们选择Cisco公司产品的另一个主要原因），但是，任何厂商都不能保证其产品不发生故障，而发生故障时能否迅速切换到一个正常设备上，是令人关心的问题。后备电源、后备管理模块、冗余端口等冗余设备就能保

27、证在设备出现故障的情况下，立刻启用后备模块，保证网络的安全运行。本次泰普森方案采用核心4507R双主控方案，在一个核心停止工作时立刻启用后备引擎，保证网络安全运行。（2） HSRP设计 HSRP是Cisco公司特有的一个协议。HSRP向主机提供了默认网关的冗余性，减少了主机维护路由表的任务。第四章 产品清单说明相应技术指标4.1产品清单4.2产品相应参数和技术指标4.2.1核心设备相应参数和技术指标（1）核心交换机 Cisco Catalyst 4500E 系列机箱 高能、移动、安全的用户体验 概述 Cisco Catalyst 4500 系列交换机支持无边界网络，通过 2-4 层交换方面的投

28、资提供高能、移动、安全的用户体验。对于支持恢复能力、虚拟化和自动化的基础架构，它可以提供安全性、移动性、应用程序性能、视频和节能功能。Cisco Catalyst 4500 系列交换机提供无边界功能、可扩展性和服务，不但能够降低总拥有成本，而且还能够提供卓越的投资保护。Cisco Catalyst 4500拥有集中转发架构，支持通过简化的操作实现协作、虚拟化和运营易管理性。全新 Cisco Catalyst 4500E 系列可以跨多代向前和向后兼容，提供卓越的投资保护和部署灵活性，可满足各种规模企业不断变化的需求。Cisco Catalyst 4500E 系列平台具有万兆以太网 (GE) 上行

29、链路，支持 PoEP，使客户网络能够适应未来发展。 E 系列机箱有四种不同的外形规格：3 插槽 (4503-E)、6 插槽 (4506-E)、7 插槽 (4507R+E/4507R-E) 和 10 插槽 (4510R+E/4510R-E)。4503-E、4506-E、4507R+E 和 4510R+E 机箱极其灵活，支持每线路卡插槽 6 Gbps、24 Gbps 或 48 Gbps。4507R-E 和 4510R-E 机箱只支持每线路卡插槽 6 Gbps 和 24 Gbps。Cisco Catalyst 4500E 系列的集成恢复能力包括 1+1 管理引擎冗余（仅限 10 插槽和 7 插槽）、

30、冗余风扇、基于软件的容错能力和 1+1 电源冗余。硬件和软件的集成恢复能力可以最大限度地减少网络停机，帮助确保工作效率、盈利能力和客户成功。方案选用WS-C4507R-E 项目描述交换容量280 Gbps吞吐量225 Mpps IPv4110 Mpps IPv6光口数量24个1000Mbps 接口电口数量48个10/100/1000Mbps 接口IPv4路由条目57,000IPv6 路由条目30,000内存512-MB DRAM （可升级 1 GB）安全Qos条目64,000 (32,000单向)VLAN数4096虚拟接口2048（2）防火墙Cisco ASA 5500 系列自适应安全设备提供

31、“艺术级”的安全技术。该设备具灵活性以满足您的公司成长和变化的需求。Cisco ASA 5500 系列自适应安全设备支持：用户化：根据公司政策和具体接入需要，个性化安全系统。灵活性：随着公司的成长和变化，您能方便地添加新功能或从一台设备升级至另一台设备。高级安全性：充分利用内容安全、加密、身份验证、授权和入侵防御等方面的最新技术。简单易行：使用一台设备即可轻松进行安装、管理和监控。高级网络功能：设置虚拟专用网络 (VPN)，以确保移动和远程工作人员安全的访问公司资源，或基于职责在合作伙伴及其它办事处之间创建 VPN。确保网络安全性和可靠性的主要目的是让员工实时信赖它。Cisco ASA 550

32、0 系列自适应安全设备是你的第一道和最佳防线。方案选用型号：ASA5520-K8项目描述防火墙吞吐量Up to 450 MbpsIPS性能 Up to 225 Mbps with AIP SSM-10 Up to 375 Mbps with AIP SSM-20 Up to 450 Mbps with AIP SSM-40VPN性能225 Mbps并发连接数280,000IPsec VPN 数量750虚拟防火墙数量20接口类型4个千兆以太网口和 1个快速以太网口VLAN数150可扩展性VPN clustering 和 load balancing高可用性Active/Active, Activ

33、e/Standby（3）行为管理网关 深信服管理网管优点：提升带宽利用率，提升网络访问速度深信服上网优化网关通过丰富的报表工具向IT人员直观展现互联网流量构成、带宽使用情况等信息；再借助上网优化网关的上网加速特性，减少冗余数据反复传输浪费带宽的频率；同时当内网用户访问相同互联网资源时，可直接从网关处提取传输，大幅提升上网速度。合理规划带宽，使用高效、合理深信服上网优化网关以丰富的报表工具向IT人员直观展示各应用、各用户的带宽使用情况后，深信服上网优化网关针对应用类型、网站类别、文件类型、用户/用户组、时间段等细致划分和分配带宽资源，既可有效限制P2P、在线影音、大文件下载等不良应用对带宽的大量

34、占用，同时又保障领导等关键用户、ERP等关键应用的带宽需求，进而提升上网速度。代理内网上网，有效隔离保护深信服上网优化网关在实现上网加速功效的同时，还提供硬件Proxy代理功能，为大型组织提供性能更强劲、更稳定可靠的硬件Proxy代理方案。借助Proxy代理将帮助组织实现内网与互联网的隔离保护，增强组织网络安全性，同时代理内网数万用户上网。安全防护内网，稳定上网有保障深信服上网优化网关能主动清理流量中的恶意插件、危险脚本、病毒、木马等威胁，并封堵色情、反动等不良网站。即使内网用户不幸感染间谍软件、被黑客远程控制、甚至沦为僵尸网络等，深信服上网优化网关亦可识别、封堵、并向管理员报警。同时还可防御

35、DoS攻击、ARP欺骗等恶意威胁。最后还将终端安全状况与其上网权限关联，终端不安全的就禁止上网。多手段、全方位确保组织上网环境的稳定、可靠与安全，为上网加速奠定坚实基础。方案选用型号：AC-1600-F项目描述AC-1600-F吞吐量500Mb并发会话数500,000用户规模1200人设备接口6个千兆电口1个RJ45串口硬盘250GB内存1GBBYPASS支持电源单电源尺寸标准1U架构4.2.2 接入层设备相应参数和技术指标思科 Catalyst 2960 交换机支持语音、视频、数据和安全访问。它们还提供视贵公司需求变化的升级管理。优点Catalyst 2960 系列交换机支持以下功能：一体化

36、通信系统：将数据、无线及语音支持集成在一起，当您准备部署时，只需一个网络即可满足公司的所有需求。智能化：确定语音流量或数据交换的优先权，以便根据公司的需要传送信息。强化安全功能：保护重要信息；阻止未经授权的用户接入网络；保持不间断的操作。可靠性：利用标准方法来提高可靠性并且迅速从发生的问题中恢复过来。此外，您也可以增加冗余电源以便进一步提高可靠性。便捷配置：利用思科网络助理来简化设置、升级和故障排除过程。方案选用型号：WS-C2960S-24TS-L和 WS-C2960S-24TS-S 已用两型号对比项目Cisco Catalyst 2960S-24TS-LCisco Catalyst 296

37、0S-24TS-S包转发率88Gbps50 Gbps交换容量176 Gbps100 Gbps接口数量24个千兆电口, 4个千兆光口 24个千兆电口, 2个千兆光口 活动的VLAN 数25564VLAN ID数40004000最大传输单元9198 bytes9198 bytes巨型以太帧9216 bytes9216 bytes转发速率L3 41.7 mpps38.7 mpps第五章 实施步骤和安排5.1实施总览项目人员的组织结构及分工 项目经理：负责项目的总体协调工作 商务负责：负责以商务相关的工作 技术负责：负责项目的总体实施 工程技术人员CCIE、CCNP：CCIE为项目实施的技术把关，CC

38、NP负责项目的具体实施和项目实施文档的制作 后勤负责：为所有项目实施人员提供后勤保障工作工程时间安排、进度安排具体实施如下:工程安排预计七到九个工作日一天预计三天二天一天一天设备订购设备到货验收系统安装工程现场培训系统整体测试系统验收测试系统安装工程具体分解以下的子任务： 中心和汇聚交换机的模拟环境联合调试 1 天 各边缘交换机的调试 1 天ACL和NAT等的设置 5.2 具体系统安装工作安排此次改建分两处施工，每处分三步进行：Step1规划准备，预计工时一天（施工前施工方提前准备，不耽误正式施工时间）1. IP地址规划，VLAN规划，动态路由OSPF规划。分配给每个部门及分支IP地址段，且规

39、划好相互之间是否需要逻辑隔离，是否需要开启DHCP，是否需要做IP/MAC地址绑定。2. 拟定行为管理，流量策略等具体实施方法。3. 拟定防火墙应用防护策略。Step2 配置基础网络，预计工时一天（鉴于需要影响原有网络，施工方需与业主商榷施工时间，选择非工作日进行施工）1. 配置ASA5520防火墙，包括：管理配置、接口地址、安全区域、ACL、NAT、路由，使得互联网能够正常通信，配置基本防护策略。2. 配置核心交换机，包括：管理配置、VLAN划分、ACL规划、接口地址分配、路由。3. 配置汇聚、接入交换机，包括：管理配置、VLAN接口分配。Step3 配置行为管理，预计工时半天(在完成基础网

40、络配置后测试通信没问题，开始配置行为管理)1. 配置深信服行为管理设备，包括认证、应用控制、审计、流量控制。在两地全部施工完成检测无误之后进入观察期，预计一周，网络正式上线，用户体验满意之后进行培训与验收工作。5.3 施工准备清单1、设备、配件等确认表（格式）设备清单设备数量备注是否已到现场模块清单模块接口类型、用途数量备注是否已到现场光纤跳线清单互联设备跳线类型数量备注是否已到现场网线跳线清单（总部）互联设备跳线类型数量备注是否已到现场网线1网线1网线1网线1网线12、改建涉及IP清单VLAN IDVLAN网络段网关IP地址分布备注1机房设备管理地址2杭州服务器杭州3德清服务器德清4乐富杭州

41、5各销售部杭州6人事、行政、财务中心杭州7研发设计中心杭州8帐篷研发杭州9东区办公楼德清东区办公楼所有部门电脑10东区厂房德清除办公楼外所有电脑11西区办公楼德清西区办公楼所有部门电脑12西区厂房德清除办公楼外所有电脑13户外包袋厂区德清户包厂区所有电脑14渔具五金厂区德清渔具五金厂区所有电脑 15椅面厂区德清椅面厂区所有电脑16物流部无线AP和RF枪德清物流部无线AP与RF枪及办公电脑17一卡通设备德清所有消费考勤系统18视频监控设备德清所有监控主机19泰丰典当德清泰丰典当公司3、设备管理地址表设备名称管理地址登陆方式用户名/密码4、 核心交换机接口对照表杭州WS-C4507R接口序号对端设

42、备接口序号对端设备德清WS-C4507R接口序号对端设备接口序号对端设备第六章 测试6.1系统测试原理和方法从实施阶段可分成：（1）单个系统或相对独立部件的测试，例如单个路由器的自检等等；（2）子系统的测试，例如中心网络的测试等等；（3）整个网络系统的测试。测试的目标是为了保证用户能够科学而公正地验收供应商提供的设备和软件，系统集成商提供的整套系统，也是为了保证供应商和系统集成商能够准确无误地提供合同所要求的设备和系统。所以，测试的目的对用户而言是为了验收。测试应该由供应商和系统集成商、用户及用户聘请的技术顾问共同参与。6.2硬件设备测试和验收6.2.1部件级测试部件级测试指对设备中各个部件的

43、功能、可靠性、耐用性和可维性的测试，升档能力的衡量等。该类测试一般已在原厂的生产过程中完成，用户只需在使用过程中加以观测即可。6.2.2设备级测试设备级测试主要包括对设备的处理能力、可靠性、可扩充性、开放性等方面进行测试。设备级测试需用有关的测试工具、仪器或软件来进行，也可在实际应用中对其某些性能加以测试。6.2.3系统级测试系统级测试主要包括网络的连通性测试，系统的可靠性测试，系统的响应时间，系统的抗干扰测试，系统的安全保密性测试等。这一类测试可借助于某些网络测试工具或网络管理和测试软件来完成。6.3系统集成测试6.3.1功能性测试：测试系统应提供的每一个功能和安全性限制，检查系统是否已正常

44、实现所有功能。6.3.2连通性测试：测试网络上任意站点间是否能够相互传输数据，测试各个终端能否登录中心服务器，并访问数据库，对数据库进行正常的操作；6.3.3稳定性测试：在不间断运行的一段时间内，系统有无异常现象发生，如有异常，是由系统自动处理还是系统管理员人工干预处理，不间断的测试时间以一周(7天)为限；6.3.4重载测试：在系统处于重载工作状况时，通过计算机系统的监控软件，以及网络系统的管理软件监测计算机系统和网络系统的性能指标；6.4测试相关命令6.4.1通用测试、诊断命令ping x.x.x.x标准ping- -用于测试设备间的物理连通性。扩展ping- -用于测试设备间的物理连通性（

45、扩展ping命令还支持灵活定义ping参数，如ping数据包的大小，发送包的个数，等待响应数据包的超时时间等）。traceroute x.x.x.x - -用于跟踪、显示路由信息。display current-configuration -用于显示路由器、交换机运行配置文件的内容。display sessions-用于显示从当前设备发出的所有呼出会话。disconnect-用于断开与远程目标主机的Telnet会话。clear line-用于断开远程主机的呼入Telnet连接。shutdown-用于临时将某个接口关闭。un shut -用于手动启动（激活）处于管理性关闭的接口。display

46、arp -用于显示ARP缓存（ARP表）的内容。display interface -用于显示各接口的状态及参数信息。dir flash: -用于显示闪存中的文件清单。dir nvram: -:用于显示非易失性内存中的文件清单。show debugging-用于显示正在进行的诊断过程清单。undebug all-用于停止所有诊断过程。6.4.2 CDP测试、诊断命令show cdp-用于显示CDP全局参数信息。show cdp neighbors-用于显示CDP邻居设备的摘要信息。show cdp neighbors detail-l用于显示CDP邻居设备的详细信息，包括：邻居设备名称、邻居设

47、备接口IP地址、邻居设备软件版本信息、设备性能、设备平台、本地设备接口、邻居设备接口、CDP缓存条目保持时间、CDP广播版本、接口双工方式等。show cdp entry-用于显示指定邻居设备的相关信息。show cdp interface-用于显示本地设备各个接口的状态、接口封装格式、CDP包的周期发送时间以及CDP保持时间等。show cdp traffic-用于显示和CDP相关的流量统计信息，包括接收和发送的CDP包数量、包括头部错误、校验错误、封装错误等在内的错误数量等。6.4.3 路由和路由测试、诊断命令display ip routing-table -用于显示当前路由表内容。6.

48、4.4 VLAN、VTP测试、诊断命令Dis vlan all-用于查看VLAN创建情况。该命令可以显示系统所有的VLAN信息，包括VLAN编号、VLAN名称、VLAN状态、VLAN成员等信息。show vtp status-用于检查VTP配置情况。6.4.5生成树测试、诊断命令show spanning-tree-用于显示生成树协议中交换机及其端口的情况。show spanning-tree blockedports-用于显示处于阻塞状态的端口。show spanning-tree detail-用于显示生成树详细信息。show spanning-tree interface-用于显示生成树

49、中某端口相关状态。show spanning-tree vlan-当有多个VLAN时，Catalyst交换机会为每个VLAN运行一个生成树实例。此命令用于显示指定VLAN的生成树内容。show spanning-tree summary-用于显示生成树总结，包括本交换机是哪些VLAN的根网桥、端口快速特性是否启用、处于生成树各个端口状态的端口数量等信息。6.4.6 NAT 测试、诊断命令show ip nat translation-用于显示并观察当前正在进行的NAT情况。show ip nat translation verbose-用于显示并观察当前正在进行的NAT更为详细的情况。show

50、 ip nat statistics-用于显示NAT运行情况统计。debug ip nat-用于打开对NAT的诊断。6.4.7 ACL测试、诊断命令display access-lists-用于显示所有已定义的列表内容及命中情况。display ip access-lists-用于显示所有已定义的IP访问控制列表内容及命中情况。6.4.8 远程访问测试、诊断命令show line-用于当前系统所有的线路及其状态。show modemcap-用于显示了当前路由器可以自动配置的Modem列表。debug ppp negotiation-用于打开对PPP协议参数协商的诊断。debug ppp aut

51、hentication-用于打开对PPP身份认证过程的诊断。6.4.9 后期网络测试与诊断网络完整构建后，预期用两个月进行测试，测试过程结合测试诊断命令，对问题进行记录，发现并解决相关问题，最后使网络达到稳定运行的目的。第七章 项目工程管理7.1工程的安全管理 在厂区，严格遵守厂区的安全规定 在有稳压电源和UPS的环境下，须先将稳压电源或UPS启动，硬件设备连接于稳压电源或UPS上，尽量避免将设备直接接在市电插座上，保证设备的安全。7.2工程资料、文档管理 及时保存调试好的配置文档。 将进度中要进行的操作以书面形式提交使用方，征求使用方的同意和配合。一式两份，使用方保留一份，己方备份一份。 写

52、详细网络施工文档：根据文档计划要求对网络进行整体调试和配置工作，准备施工日志，对具体情况所进行的改动填写施工日志。 工作联系单详见附件。7.3项目的质量控制 项目正式实施前，完善项目实施方案，使项目的实施能够按部就班； 项目进行中如遇不确定问题，及时与用户进行沟通； 项目进行中定期向用户做阶段性沟通； 测试报告经客户确认后，项目正式完成； 项目完成后，负责项目有关内容的解释工作第八章 现场培训在工程实施过程中，信息技术部的技术负责人员与我方技术人员一起进行设备的安装、调试和配置，给予信息技术部的技术负责人员一个最直观的学习方法。在调试完后，我方现场技术人员应及时将所调试的内容讲解给信息技术部技

53、术负责人员听，使他们能及时明白所调试的内容。在信息技术部技术负责人员对配置中有疑问的地方，应给予现场解答，以免问题积压、遗漏，在我方现场技术人员无法解答的时候，应尽快与上级技术支持人员联系，给予信息技术部技术负责人员一个满意的答复。具体的培训内容由 主持，内容如下（可应客户要求增减）： 交换机的结构分析 0.5 天 厂房网的构成和实现 0.5 天 网络管理的基本使用方法 0.5天 答疑 0.5 天第九章 售后服务：技术培训、维保服务、应急响应服务。9.1产品（或货物）质量和售后服务承诺（1）保修年限、范围、保修条件保修年限：所有硬件设备（含部件）提供原厂商免费保修。 保修条件：非人为损坏（2）

54、解决问题、排除故障的速度7 x 24 x 365电话响应，并提供解决方案。（3）设备使用的培训、指导提供所有硬件设备的现场培训和集中培训提供所有软件的现场培训和集中培训（4）售后服务方面的其他承诺（安装、定期巡检等）提供1年4次的巡检服务，并提供1年2次的故障模拟演练。（5）售后服务联系方式（联系人、联系电话、维修点等）联系电话：0571-56025096联系人：王真震9.2 售后服务网点为充分体现本地化的售后服务优势，杭州信网真网络设备有限公司专门成立项目支持组，做好此项网络工程的服务工作。项目售后服务点如下，如遇紧急情况，可随时选用以下联系方式。公司所在地：浙江省杭州市文三路华星科技大厦5

55、69-571室联系电话：0571-56025090（六线）联系人：周学清（杭州信网真网络技术部经理，资深网络产品工程师）组长：周学清 成员：昝星伟 徐舜华 谢军9.3 维修响应方式杭州信网真本着用户至上的原则，凭借雄厚的技术实力及遍布全省的服务网络，承诺给需方提供及时、高效、可靠的售后服务。（1）保修期限a、设备和硬件质量免费保修期为设备验收合格后三年；之后按照与用户达成的续保协议或承诺的收费标准执行终身保修服务。b、软件的质量保证期为验收合格后三年。之后按照与用户达成的续保协议或承诺的收费标准执行终身升级维护服务。（2）服务范围a、故障电路及其它损坏设备的修理；b、备板备件的购买；c、对系统

56、问题的咨询服务；d、重大故障或特殊故障的紧急远端或现场抢修；e、其它必须的技术服务（例如定期或专门的软件、硬件的版本升级）；f、新版本技术资料、产品手册的提供。（3）保修期内产品质量保证在保修期内，需方应安排受过培训的合格人员按照用户手册对设备进行维护操作。由于供方提供的设备或软件有缺陷，供方负责免费更换或升级有缺陷的设备和软件。若由于火灾、水灾、磁电串入、强雷击、强电等不可抗拒原因造成产品设备损坏，供方负责维修，费用由需方承担。（4）保修期内售后服务：a、在保修期内，本公司将免费提供设备维修、硬件材料更换、软件更换等售后服务内容。在保修期或维保期内，同等功能软件进行升级时，将免费进行。b、保修期内如机器因人为、自然（如水灾、火灾、雷电、战争、地震等）不可抗力的因素而损坏，本公司将适当收取维修费用。9.4 现场培训在设备安装调测时，根据现场实施情况，具有针对性的对现场（至少2名）局方人员进行培训，培训内容将完全能够满足系统维护人员顺利完成日常的维护工作并由卖方在工程实施前书面提供并经局方确认，在培训完成后由现场（至少2名）局方人员书面确认，否则局方可对该现场的工程实施不予确认，因此而造成的工程延误由卖方负全部责任。在工程实施结束后1个月之内