项目需求及项目分析

项目需求

1、公司共有员工300人左右，人员分布在八个楼层，每楼层最多人数不超过50人，但只需做三个楼层；

2、公司分财务、人资、总经、后勤、信息、工程、审计、公会、总工等十个部门分散在各楼层；注：部门所在楼层不定，且存在跨楼层部门。

3、总部分内、外两个服务器区：

内服务器区提供FTP、多业务数据库等服务。内服务器区不仅为总部用户提供服务，还为广域网其他分支机构提供服务。为保障其服务稳定和安全性，要求其区域独立于总部用户区；

4、外服务器区提供DNS、WEB网站服务；

要求用户（含广域网用户）与内服务器区安全互访；用户安全访问internet;

注：只需做财务、人资、总经三个部门；服务器区只需实现FTP、DNS、WEB服务；

5、总部通过FW双路上联至互联网，要求实现负载均衡；

6、总部通过FW双路上联至广域网，要求总部与分支安全互访；

需求补充

        1、总部用户区与内服务区二层结构分离；

        2、公司共有信息点400个，各科室在三层中均有分布；

        3、设备放置：

一层为机房：放置配线架、网络设备、服务器；

二三层为配线间：放置配线架、网络设备；

        4、员工访问Internet流量，只需满足正常浏览网页即可；

           员工访问内部FTP服务器，互相传文件，限并发40人，每人限5M带宽；

        5、公司WEB服务器，对外提供公司简介与公司新闻等内容，可满足20人次同时并发打开，WEB服务器不设视频、动画等内容，以文字内容为主，内容量中等；

        6、公司DNS服务器，对外提供公司域名解析；

        7、安全主要考虑终端防护（使用360配套软件）和internet出口防火墙；防火墙对外只放行DNS/WEB服务器相应IP及应用。

网络设计方案

一、需求分析以及信息提取

1、首先看接入层，每层楼的人数不超过50人，而Cisco Catalyst接入层交换机最多有48个口，因此，为了避免接入点不够的情况，可以在每层楼内加装一台Cisco小型无线路由器；

2、在该项目中FTP服务器是比较关键的，安全级别较高，而且要求独立于总部用户区；因此，考虑为FTP单独分配两台汇聚层交换机，上联到核心交换机；

       为了保证总部内网用户可以安全的访问FTP，在内服务器区汇聚层上联链路上分别加装一台防火墙；

    而且用户对FTP服务器的访问流量很大，因此考虑使用传输速率更高的六类非屏蔽双绞线连接服务器；

       这样就保证了总部用户和广域网用户可以安全可靠的访问FTP；

3、DNS和WEB服务器需要为Internet用户提供服务，安全级别相对内网低，将其放于外服务器区；

4、总部通过 FW 双路上联至互联网，要求实现负载均衡。 internet 出口实现冗余，并正常情况下实现用户访问 internet 负载均衡。

5、总部通过 FW 双路上联至广域网，要求总部与分支安全互访。

6、防火墙对外只放行 DNS/WED 服务器相应 IP 及应用。

7、员工访问 internet 流量，只需满足正常浏览网页即可

公司 WEB 服务器，对外提供公司简介与公司新闻等内容，可满足 20 人次

同时并发打开，WEB 服务器不设视频、动画等内容，以文字内容为主，内容量中等；

     公司 DNS 服务器，对外提供公司域名解析；

由于公司的WEB服务器主要对外提供以文字为主，内容量中等并可满足20人同时并发打开的服务，根据此来选择租用的上行线路带宽与交换机的端口型号，如果按正常访问流量如每人提供100k则20人为2M。

而公司内部员工访问internet流量只需满足正常浏览网页，根据此来选择租用的下行线路总带宽与二层交换机端口型号.如有300人则每人提供100k则为30M。

公司FTP服务器对内提供正常访问流量，并发40人，每人限5M即上下行限200M，所以要加多ACL设置流量上线5M。

             在总盘考虑到公司规模，由于数据流量不小，所以建议在核心交换上加入一对核心路由器，用以专门处理三层的包流量转发，这样就不会造成核心交换的处理能力瓶颈，毕竟三层核心交换处理三层的能力有一定的限度。

 

二、设备选型

1、网络设备

（1）接入层：在终端用户区，每个楼层放置一台48口的Cisco Catalyst2906交换机，对于超出的用户先用Cisco的无线路由器来扩展接入；在服务器区，选用一台Cisco Catalyst3560交换机连接服务器（是否妥当？）；

（2）汇聚层：终端用户区和服务器区均采用两台Cisco Catalyst 4507R+E交换机；

（3）核心层：采用两台Cisco Catalyst 6509R+E核心交换机；

（4）防火墙：服务器区防火墙采用两台天融信。。。。；

             去往Internet的防火墙取用两台Cisco ASA5510；

             连接分支机构的防火墙采用两台天融信。。。。；

（5）Internet出口路由器选用两台Cisco 3800路由器；（有待商榷？？？）

（6）连接广域网的路由器选用两台Cisco 3800路由器；（有待商榷？？？）

（7）DMZ服务器区：选用一台Cisco Catalyst 6503核心交换机；

2、线缆选型

     （1）汇聚层交换机、核心层交换机之间互联均使用多模光纤；

     （2）FTP服务器连接接入层交换机使用六类非屏蔽双绞线；

     （3）跨楼层连接汇聚层交换机的线缆使用光纤；

     （4）水平布线使用超五类非屏蔽双绞线；

1、用户区和内服务器区

项目中服务器区不仅为总部用户提供服务，还为广域网其他分支机构提供服务，需要极高的稳定性和安全性，并且要求其区域独立于总部用户区，因此将汇聚层和接入层分为两部分，分为用户汇聚层、用户接入层与内服务器汇聚层、内服务器接入层；并且在内服务器汇聚层上联核心层交换机的链路上安放防火墙以提供安全性保障；

两个区域接入层分别双路上联至对应汇聚层交换机以提供冗余；

汇聚层两台交换机之间用两根光纤启Etherchannel，其中一根光纤出现故障另一根仍然可以正常工作；

2、核心层

汇聚层交换机双路上联至两台核心交换机；核心交换机之间采用四条光纤互联，并启Etherchannel,或作冗余备份；

3、Internet出口及DMZ外服务器区

Internet出口采用双ISP，以保证网络用户可以可靠得访问服务器；出口边界放两台路由器互联，并且分别连接两个ISP，为内网用户访问Internet提供冗余；

为保障内外网访问的安全性，在Internet边界路由器与核心路由器之间架设两台防火墙；并在两台防火墙上划分DMZ区域以连接外服务器区；

4、分支机构出口（分支结构是都连在出口路由器？还是每个分支机构出口都要单独加两台路由器？？）

分支机构出口安放两台边界路由器，并且两台路由器互联；

为保证安全性，在边界路由器与核心层互联的链路上安放两台防火墙；