《网络系统集成项目实施方案》

网络系统集成某校园网络项目实施方案

第8项目组

2012年12月21日

目录

一到货前准备 (1)

1.1 项目人员组织结构及分工 (1)

1.2工程时间安排、工程进度安排 (1)

1.3 企业需求分析 (2)

1.4拓扑图 (3)

1.5设备需求 (3)

1.6 IP地址的划分，VLAN的分配 (3)

二到货 (6)

2.1现场检查与到货检验 (6)

三实施 (7)

四项目管理 (17)

4.1 工程的安全管理 (17)

4.2 工程资料、文档管理 (17)

4.3项目的质量控制方法 (18)

五现场培训 (18)

六测试 (19)

七验收方法 (20)

7.1系统初验 (20)

7.2中验（试运行验收） (20)

7.3半年后的优化：由CCIE主持系统终验 (21)

一到货前准备

1.1 项目人员组织结构及分工

?项目经理：江建秀

工作内容及范围：负责项目的总体协调

?商务负责：林玫玫

工作内容及范围：负责与商务相关的工作

?技术负责：洪丽卿

工作内容及范围：负责项目的总体实施

?工程技术人员：林玲、支巧珍、杨杰灵

工作内容及范围：林玲和支巧珍为项目实施的技术把关，杨杰灵负责实施方案的制作和项目的具体实施

1.2工程时间安排、工程进度安排

预计9月初设备全部到货，总预计4至5周时间完成工程。

具体安排如下：

根据项目各子任务的工作量估算以及我们对网络工程的经验，制定项目实施进度计划表格。

表1:项目实施进度计划☆

工程安排合同签定

—9.3 9.4-9.30 10.1-10.29 10.29-11.

12

11.13-12.16 12.17

设备订购

设备到货验收

系统安装工程

现场培训

系统整体测试

系统验收测试

系统安装工程具体分解以下的子任务：

●中心和汇聚交换机的模拟环境联合调试7天

●主干切换 7天

●各边缘交换机的调试 7天

●ACL的设置 7天

●DHCP的设置 7天

●无线设备的布施 7天

●VOIP的设置 7天

●网管软件的安装与调试 7天

●设备配置文件与IOS备份 7天

1.3 企业需求分析

1、该网络共有五大部分，分别是财务部和图书馆，教学楼（具体vlan需求见:高校园

网规划.pkt），公寓楼、信息管理中心、internet部分。

2、根据客户需求、部门、拓扑，划分vlan及子网。

3、除财务部不允许和其他网段互访外（但财务部需要能够访问到内网的ftp，并且能

从ftp服务器上下载数据，其他一概不能访问），每一个子网之间实现网络互通，生产车间不允许连接到internet，研发部、后勤管理及行政事业部周一到周五8：00-12：00及13：30-18：00这一时段不允许访问internat的http、QQ、及从internet下载

东西；宿舍区上网需要通过AAA服务器认证才可以连到网络上。

4、所有PC都自动获取ip。服务器的IP地址为固定网段。

5、服务器有对外发布的需求。

6、信息中心人员可以远程管理IDC机房里的所有设备。

7、该学校采用ip电话取代传统的模拟电话。

8、教学大楼需要实现无线网络的覆盖。

1.4拓扑图

1.5设备需求

设备名称设备类型设备数量

汇聚层设备3560-24PS 1台

核心层设备

接入层设备2960-24TT 12台

无线设备ACCESSPOINT-PT-NAP 2台

服务器设备SERVER-PT 1台

路由器2620XM 2台

1.6 IP地址的划分，VLAN的分配

配合计算机中心整理虚网分配,将相同职能部门划分为同一虚网.并制成表格。包括四部分：

1号楼

2号楼

图1.4 3号楼

图1.5

功能单位

DHCP 分配使用区域

VLAN IP 地址

VLAN 地址范围

图书馆、财务部 图书馆 10.1.4.0/27（vlan50）

10.1.4.33

10.1.4.34--10.1.1.62 研发部 10.1.4.0/27 （vlan60） 10.1.4.1

10.1.4.2--10.1.4.30

功能单位 DHCP 分配使用区域 VLAN IP 地址 VLAN 地址范围

教学楼、办公室、教务处 教学楼 10.1.0.0/24 （vlan10） 10.1.0.1 10.1.0.2--10.1.0.30 办公室 10.1.0.0/24 （vlan20） 10.1.0.161 10.1.0.162--10.1.0.190 教务处 10.1.0.0/24 （vlan30）

10.1.0.65

10.1.0.66--10.1.0.94

功能单位

DHCP 分配使用区域

VLAN IP 地址

VLAN 地址范围

一号公寓楼 一号公寓楼 10.1.1.0/26 （vlan40） 10.1.1.1

10.1.1.2-10.1.162

功能单位 DHCP 分配使用区域 VLAN IP 地址

VLAN 地址范围

IP 分配有两种方案：用户分配静态IP 地址或从DHCP 服务器动态获得IP 本方案采用动、静态分配结合的方法来实现。 本园区的的ip 除服务器以外都采用DHCP 分配ip 地址 具体实现如下表： VLAN 、IP 分配表：

对DHCP SERVER 放置位置的建议：

DHCP SERVER 功能可以做在1台主交换机上，也可以做在1台专用的服务器上。在交换机上启用DHCP 功能后，在该交换机重启时，所有的DHCP CLIENT 均会同时再次申请DHCP 延期服务，这样会造成交换机拥塞甚至死机。所以，将DHCP 做在1台专用的服务器上，是最优的做法。

二号公寓楼 二号公寓楼

10.1.2.0/26 （vlan90）

10.1.2.1

10.1.2.2-10.1.2.62

功能单位 DHCP 分配使用区域 VLAN IP 地址 VLAN 地址范围

三号公寓楼 三号公寓楼

10.1.3.0/26 （vlan100） 10.1.3.1

10.1.3.2-10.1.3.62

功能单位 DHCP 分配使用区域 VLAN IP 地址 VLAN 地址范围

网络中心 网络中心

10.1.5.0/27 （vlan80） 10.1.5.1-30

10.1.5.2-10.1.5.30

二到货

2.1现场检查与到货检验

●检验到的硬件设备的货号及数量是否与设备订货清单一致。

●检验到货的设备是否完好无损。

●验收的结果应该提供一份由参与验收的用户和系统集成商签名的硬件验收清单，并注

明日期。

●如果没有可见的设备损害，那么在验货后，即开始设备的安装和调试。

●设备到货，进行设备验收，记录设备的序列号，表格如下：

序

号

产品描述数量报价

1 3560-24PS

背板带宽：32Gbps

网络标准：IEEE802.3 IEEE802.3U

传输速度：10Mbps/100 Mbps /1000 Mbps

端口数：26

1 10000

2 2620xm 路由器类型：模块化路由器

广域网接口：可选广域接口WIC卡

局域网接口：10/100Base-T/TX

处理器：Motorola MPC860 40 MHz

2 10000

3 2960-24TT

传输速率

10Mbps/100Mbps/1000Mbps

端口数量24

接口介质10/100Base-T、

10/100/1000Base-Tx

传输模式全双工/半双工自适应

交换方式存储-转发

背板带宽16Gbps

VLAN支持支持

MAC地址表 8K

模块化插槽数 2

12 5000

4 SERVER-PT 具有独立的双PCI通道和内存扩展板 1 10000

设计，具有高内存带宽、大容量热插

拔硬盘和热插拔电源、超强的数据处

理能力和群集性能等。这种企业级服

务器的机箱就更大了，一般为机柜式

的，有的还由几个机柜来组成，像大

型机一样。

三实施

在2950T-24 switch1二层交换机中配置：

开启生成树协议

spanning-tree mode pvst

加入到vlan 50

interface FastEthernet0/1

switchport access vlan 50

switchport mode access

interface FastEthernet0/2

switchport access vlan 50

switchport mode access

在2950T-24 switch0二层交换机中配置：

spanning-tree mode pvst

加入到vlan 60

interface FastEthernet0/1

switchport mode trunk

interface FastEthernet0/2

switchport access vlan 60

switchport mode access

interface FastEthernet0/3

switchport access vlan 60

switchport mode access

在2950T-24 switch2二层交换机中配置：spanning-tree mode pvst

spanning-tree portfast default

加入到vlan 10

interface FastEthernet0/1

switchport access vlan 10

switchport mode access

interface FastEthernet0/2

interface FastEthernet0/3

switchport access vlan 10

switchport mode access

interface FastEthernet0/4

switchport access vlan 10

switchport mode access

在2950T-24 switch3二层交换机中配置：spanning-tree mode pvst

加入到vlan 10

interface FastEthernet0/1

switchport access vlan 10

switchport mode access

interface FastEthernet0/2

switchport access vlan 10

switchport mode access

interface FastEthernet0/23

switchport mode trunk

interface FastEthernet0/24

switchport mode trunk

在2950T-24 switch4二层交换机中配置：spanning-tree mode pvst

加入到vlan 20

interface FastEthernet0/1

switchport access vlan 20

switchport mode access

interface FastEthernet0/2

switchport access vlan 20

switchport mode access

interface FastEthernet0/3

switchport access vlan 30

switchport mode access

在2950T-24 switch5二层交换机中配置：spanning-tree mode pvst

加入到vlan 40

interface FastEthernet0/1

switchport access vlan 40

switchport mode access

interface FastEthernet0/3

switchport mode trunk

interface FastEthernet0/24

switchport mode trunk

在2950T-24 switch6二层交换机中配置：spanning-tree mode pvst

加入到vlan 40

interface FastEthernet0/1

switchport access vlan 40

switchport mode access

interface FastEthernet0/24

switchport mode trunk

在2950T-24 switch7二层交换机中配置：spanning-tree mode pvst

加入到vlan 90

interface FastEthernet0/1

switchport access vlan 90

switchport mode access

interface FastEthernet0/4

switchport mode trunk

interface FastEthernet0/24

switchport mode trunk

在2950T-24 switch8二层交换机中配置：spanning-tree mode pvst

加入到vlan 90

interface FastEthernet0/1

switchport access vlan 90

switchport mode access

interface FastEthernet0/24

switchport mode trunk

在2950T-24 switch9二层交换机中配置：spanning-tree mode pvst

加入到vlan 100

interface FastEthernet0/1

switchport access vlan 100

switchport mode access

interface FastEthernet0/5

switchport mode trunk

interface FastEthernet0/24

switchport mode trunk

在2950T-24 switch10二层交换机中配置：spanning-tree mode pvst

加入到vlan 100

interface FastEthernet0/1

switchport access vlan 100

switchport mode access

interface FastEthernet0/24

switchport mode trunk

在2950T-24 switch11二层交换机中配置：开启生成树协议

spanning-tree mode pvst

加入到vlan 80

interface FastEthernet0/1

switchport access vlan 80

switchport mode access

interface FastEthernet0/2

switchport access vlan 80

switchport mode access

interface FastEthernet0/3

switchport access vlan 80

switchport mode access

interface FastEthernet0/6

switchport mode trunk

3560交换机上电（两个电源模块均需上电），启动进入配置模式：配置端口模式

开启生成树协议

spanning-tree mode pvst

interface FastEthernet0/1

switchport trunk encapsulation dot1q switchport mode trunk

interface FastEthernet0/2

switchport trunk encapsulation dot1q switchport mode trunk

interface FastEthernet0/3

switchport trunk encapsulation dot1q switchport mode trunk

interface FastEthernet0/4

switchport trunk encapsulation dot1q switchport mode trunk

interface FastEthernet0/5

switchport trunk encapsulation dot1q switchport mode trunk

interface FastEthernet0/6

switchport trunk encapsulation dot1q switchport mode trunk

interface FastEthernet0/7

switchport trunk encapsulation dot1q switchport mode trunk

配置 vlan ip地址

interface Vlan10

ip address 10.1.0.1 255.255.255.224 ip helper-address 10.1.5.4

interface Vlan20

ip address 10.1.0.65 255.255.255.224 ip helper-address 10.1.5.4

interface Vlan30

ip address 10.1.0.161 255.255.255.224 ip helper-address 10.1.5.4

interface Vlan40

ip address 10.1.1.1 255.255.255.192 ip helper-address 10.1.5.4

interface Vlan50

ip address 10.1.4.33 255.255.255.224

ip helper-address 10.1.5.4

ip access-group 110 in

interface Vlan60

ip address 10.1.4.1 255.255.255.224

ip helper-address 10.1.5.4

ip access-group 100 in

interface Vlan80

ip address 10.1.5.1 255.255.255.0

ip helper-address 10.1.5.4

interface Vlan90

ip address 10.1.2.1 255.255.255.192

ip helper-address 10.1.5.4

interface Vlan100

ip address 10.1.3.1 255.255.255.192

ip helper-address 10.1.5.4

静态路由

ip classless

ip route 192.168.0.0 255.255.0.0 192.168.3.1

access-list 100 permit tcp 10.1.4.0 0.0.0.255 host 10.1.5.4 eq ftp access-list 100 deny icmp 10.1.4.0 0.0.0.255 any

access-list 100 permit ip any any

access-list 110 deny icmp 10.1.4.0 0.0.0.255 192.168.0.0 0.0.255.255 access-list 110 permit ip any any

DHCP中继地址

ip helper-address 10.1.5.4

在服务器上增加DHCP

池名称默认网关起始IP地址子网掩码最大用户数

Vlan10 10.1.0.1 10.1.0.2 255.255.255.224 28

Vlan20 10.1.0.65 10.1.0.66 255.255.255.224 28

Vlan30 10.1.0.161 10.1.0.162 255.255.255.224 28

Vlan50 10.1.4.33 10.1.4.34 255.255.255.224 28

Vlan60 10.1.4.1 10.1.4.2 255.255.255.224 28

Vlan40 10.1.1.1 10.1.1.2 255.255.255.192 60

Vlan90 10.1.2.1 10.1.2.2 255.255.255.192 60

Vlan100 10.1.3.1 10.1.3.2 255.255.255.192 60

配置路由器2620XM router0

interface FastEthernet0/0

ip address 192.168.3.1 255.255.255.0

ip nat inside

duplex auto

speed auto

interface Serial0/0

ip address 192.168.2.2 255.255.255.0

ip nat outside

clock rate 64000

interface Serial0/1

no ip address

clock rate 2000000

shutdown

router ospf 1

log-adjacency-changes

network 0.0.0.0 0.0.0.0 area 0

network 192.168.2.0 0.0.0.255 area 0

network 192.168.3.0 0.0.0.255 area 0

ip nat inside source list 10 interface Serial0/0 overload ip classless

ip route 10.0.0.0 255.0.0.0 192.168.3.3

access-list 10 permit any

no cdp run

line con 0

line vty 0 4

配置2620XM router1

interface FastEthernet0/0

ip address 192.168.1.1 255.255.255.0

duplex auto

speed auto

interface Serial0/0

ip address 192.168.2.1 255.255.255.0

interface Serial0/1

no ip address

clock rate 2000000

shutdown

router ospf 1

log-adjacency-changes

network 192.168.1.0 0.0.0.255 area 0

network 192.168.2.0 0.0.0.255 area 0

配置无线

加入两台AccwssPoint-PT分别加入到switch3和switch5旁边，用交叉线相连Switch3的配置

int f0/5

switchport mode trunk

switchport access vlan 10

switchport mode access

Switch5的配置

int f0/5

switchport mode trunk

switchport access vlan 40

switchport mode access

四项目管理

4.1 工程的安全管理

在对信息网络安全方面的需求主要包含：

（1）业务系统与其它信息系统充分隔离。

（2）企业局域网与互联的其它网络充分隔离。

（3）全面的病毒防御体系，恢复已被病毒感染的设备及数据。

（4）关键业务数据必须进行备份，具有完善的灾难恢复功能。

（5）管理员必须对校园信息网络系统的安全状况和安全漏洞进行周期性评估，并根据评估结果采用相应措施。

（6）关键业务数据和敏感数据在公网上的传输必须加密，防止非法获取和篡改。

（7）加强内部人员操作的技术监控，采用强有力的认证系统，代替一些不安全的用户名/口令系统授权模式。

（8）建立完善的入侵审计和监控措施，监视和记录外部或者内部人员可能发起的攻击。

（9）对整个信息系统进行安全审计，可预见管理和总拥有成本控制。

2.2 校园信息网络安全内容

从校园整体考虑，它的信息网络安全包括以下六个方面：

（1）校园信息网络安全策略建设，它是安全系统执行的安全策略建设的依据。

（2）校园信息网络管理体系建设，它是安全系统的安全控制策略和安全系统体系结构建设的依据。

（3）校园信息网络资源管理体系建设，它是安全系统体系结构规划的依据。

（4）校园信息网络人员管理建设，它是保障安全系统可靠建设、维护和应用的前提。

（5）校园信息网络工程管理体系建设，信息安全系统工程必须与它统一规划和管理。

（6）校园信息网络事务持续性保障规划，它是信息安全事件处理和安全恢复系统建设的依据。

4.2 工程资料、文档管理

及时保存调试好的配置文档。

将进度中要进行的操作以书面形式提交使用方，征求使用方的同意和配合。一式两份，使用方保留一份，己方备份一份。

4.3项目的质量控制方法

质量检验是指那些测量、检验和测试等用于保证工作结果与质量要求相一致的质量控制方法项目正式实施前，完善项目实施方案，使项目的实施能够按部就班。

方法：

1、核检清单法

2、质量检验法

3、控制图法

4、帕累斯图法

5、统计样本法

6、流程图法

7、趋势分析法

对在网络中，质量进行了修改，得到更好的校园的网络需求。

其一是指项目质量控制人员根据项目质量标准对已完成的项目结果进行检验后对该项结果所做出的接受和认可，其二是指项目业主/客户或其代理人根据项目总体质量标准对已完成项目工作结果进行检验后做出的接受和认可。一旦做出了接受项目质量的决定，就表示一项项目工作或一个项目已经完成并达到了项目质量要求，如果做出不接受的决定就应要求项目返工和恢复并达到项目质量要求。

五现场培训

在工程实施过程中，信息技术部的技术负责人员与我方技术人员一起进行设备的安装、调试和配置，给予信息技术部的技术负责人员一个最直观的学习方法。

在调试完后，黄新华老师将所调试的内容讲解给我们听，使我们能及时明白所调试的内容。

在我们同学对配置中有疑问的地方，应给予现场解答，以免问题积压、遗漏，给予同学们个满意的答复。

具体的培训内容由黄新华老师主持，内容如下：

交换机的结构分析10天

园区网的构成和实现15天

网络管理软件的基本使用方法10天

答疑10天