项目实战：大型企业网络与系统安全

记录网络信息
制定相关的表格记录：设备的VLAN分配情况、IP地址分 配情况等 根据工程方案以及变动情况，记录网络规划和实际的施 工连接情况
第三部分：方案设计—系统设计(二)4-1
Windows系统设计
根据公司需求选择部署软件
操作系统和软件 Windows2008 Exchange2007 Windows 7 版本 企业版 企业版 企业版 用途 服务器操作系统 邮件服务 客户端操作系统 应用范围 Windows服务器 公司内部 所有客户机
从事在线教育的IT公司 现在员工300多名
公司组织架构图
青鸟在线教育有限公司
财务部
行政部
市场部
…….
第一部分:企业需求分析7-2
公司现有网络拓扑
Internet Exchange
Client
VLAN1.VLAN2
服务器
客户端
DC
FileServer
…..
WEB
DNS
第一部分:企业需求分析7-3
移交相关资料 售后服务与培训
本章总结
需求分析
网络部分
方案设计 企业级网项目实战 系统部分(Windows) 系统部分（Linux）
项目实施
竣工测试ห้องสมุดไป่ตู้
项目实战：大型企业网络
—— 上机部分
上机实验 –网络部分2-1
网络部分
配置设备基本信息 配置以太网通道、设备的IP地址 配置VTP、VLAN、STP、三层交换 配置HSRP 配置OSPF路由 配置DHCP服务 配置ACL、NAT 验证配置
第三部分：方案设计—系统设计(二) 4-2
整体IP地址规划
服务器名称 DC01 DC02 FileServer Mail WEB CA IP地址 192.168.10.100 192.168.10.3 192.168.10.7 192.168.10.66 192.168.10.10 192.168.10.11 作用 域控制器 额外域控制器 文件服务器 邮件服务器 网页服务器 证书服务器
第二部分：方案设计--网络设计(一) 8-7
冗余备份技术的规划设计
在三层交换机上配置HSRP，为所有VLAN提供网关备份 配置VLAN负载均衡，单数VLAN中活跃路由器为核心交 换机1；双数VLAN中活跃路由器为核心交换机2 开启占先权 配置端口跟踪，监控下一跳接口
接入层到汇聚层互联链路规划
第二部分：方案设计--网络设计(一) 8-3
设备与型号的选择
设备 三层交换机 三层交换机 二层交换机 路由器 设备型号
WS-C4506
背板带宽
（Gbps）
100Gbps
转发速率
（Mbps）
75Mbps
最大VLAN个数
4096
机架单元
（RU）
8
WS-C3750-24-TS-S
32Gbps
6.5Mbps
安装CA 颁发证书
邮件服务器设计
统一地址规范 加密邮件
WEB服务器设计
部署内网网站
为内网网站申请证书
第二部分：方案设计—系统设计(三)3-1
Linux系统设计
服务器类型及应用规划
磁盘存储及容量 系统及网站平台 应用系统部署 Internet带宽租用
第四部分：方案设计—系统设计(三)3-2
第三部分：方案设计—系统设计(二) 4-3
域控制器设计
配置OU
根据组织结构图设置OU 销售部 行政部 ..
配置域用户 配置组账户 配置组策略
AGDLP规则
辅助域控制器设计
第三部分：方案设计—系统设计(二) 4-4
文件服务器设计
设置文件访问权限
证书服务器设计
现在公司存在的问题
内部网络安全性、稳定性差 原有带宽已经无法满足现有网络流量 文件权限管理混乱 内网IP管理混乱
手动设置IP地址，IP地址冲突
经常收到来自外网的病毒邮件
第一部分:企业需求分析7-4
公司总体需求
提高邮件收发安全等级
使用证书签名、加密方式
提高共享文件夹安全等级
实验案例：网络部分2-2
学员练习1
2课时完成
实验案例2：系统部分(Windows)2-1
系统部分
准备网络环境 构建域控制器 构建辅助域控制器 构建文件服务器 构建邮件服务器 构建WEB服务器 构建证书服务器
实验案例2：系统部分(Windows)2-2
学员练习2
配置SW1、SW2，实现VLAN间通信 配置Ethernetchannel 配置VTP，简化VLAN管理 配置HSRP，并配置PVST+实现VLAN负载均衡 配置ACL，增加网络安全性
第五部分：项目实施规划4-3
部署网络服务
安装操作系统
设置管理架构
OU 组策略 用户和组账户
IDC服务器设计
服务器名称 IDC 网关 文件系统 网站域名 200.200.200.127 200.200.200.124 EXT3 study.qnzx.com course.qnzx.com IP地址
第四部分：方案设计—系统设计(三)3-3
系统安装说明
设备配置清单 平台部署情况 应用部署情况 备份设置情况 安全设置情况 技术实施过程
配置各项服务器
域服务器 CA服务器 WEB服务器 邮件服务器 …..
第五部分：项目实施规划4-4
构建IDC网站
准备相关素材 安装操作系统 构建网站服务平台 构建相关服务器
第六部分：竣工与测试
项目测试与验收
网络设备测试 系统测试
项目巡检与售后服务
F0/4 F0/2
F0/4 F0/4 F0/3 F0/7 F0/5 F0/6 Web CA File VLAN30
SW3
F0/1 VLAN10 Exchange DC/DNS BDC Ser1
SW4
Ser2
CWSer
PC1
PC2
Server
VLAN20
Client
第五部分：项目实施规划4-2
网络部分
竣工检测
1. 项目竣工并编写竣工 报告 2. 项目巡检，解决巡检 中发现的问题
第1部分
第2-5部分
第6部分
项目实战：大型企业网络
—— 理论部分
本章结构
需求分析
网络部分
方案设计 企业级网项目实战 系统部分(Windows) 系统部分（Linux）
项目实施
竣工测试
第一部分:企业需求分析7-1
公司现有网络状况
192.168.14.0/24 192.168.15.0/24
192.168.13.254
192.168.14.254 192.168.15.254
第二部分：方案设计--网络设计(一) 8-5
设备互联地址表设置
路由器 10.10.10.1 10.10.10.5 核心交换机1 10.10.10.2 10.10.10.6 核心交换机2
按部门设计访问权限
财务部需设置网络安全访问
第一部分:企业需求分析7-5
网络部分需求 使用HSRP进行备份，增强网络稳定性 在核心设备和网关启用动态路由协议 搭建高效、安全、稳定的企业内网 最大限度利用现有资源
第一部分:企业需求分析7-6
系统部分需求
易于配置
所有的客户端和服务器系统应该是易于配置和管理的 保障客户端的方便使用
第二部分：方案设计--网络设计(一) 8-6
ACL规划要求
公司其他部门不允许访问财务部、总裁办的计算机资源 不允许外网用户Ping网关
VTP规划要求
在所有交换机上启用VTP 核心层交换机为server模式，接入层交换机为client模式 VTP域名为qnzx，密码为test，启用修剪
项目实战：大型企业网络
课程目标
了解大型企业需求并进行分析 掌握大型企业网络设计思路与实施方法 掌握证书服务器的部署 掌握邮件服务器的部署 掌握IDC服务器的部署
课程结构
需求分析
1. 了解企业现有网络和 服务部署的情况 2. 明确企业实际需求目 标
方案设计和项目实施
1. 2. 3. 4. 整个方案部署目标 网络部分部署设计 系统部分部署设计 实施项目中的各项模 块
IP地址
192.168.10.0/24 192.168.11.0/24 192.168.12.0/24
网关
192.168.10.254 192.168.11.254 192.168.12.254
市场部
产品研发部 总裁办
13
14 15
Shichang
Yanfa Zongcai
192.168.13.0/24
网络整体设计
网络的实用性和集成性 可扩展要求 IP地址和VLAN的规划使用 网络安全配置 成熟性和高可靠性
设备可靠性 网络冗余
网络管理要求
第二部分：方案设计--网络设计(一) 8-2
网络架构设计
网络设计方案内容
项目概述 用户需求描述与分析 项目设计目标 网络拓扑结构 网络功能介绍 网络可扩展性介绍 设备选择与设备功能性能介绍 设备清单及报价 售后服务条款
1024
1
WS-2960-48-TT-L
6.8Gbps
6.4Mbps
256
1
Cisco3845-HSEC/K9
______
1.488Gbps
____
2
第二部分：方案设计--网络设计(一) 8-4
VLAN与IP地址的规划
部门 服务器区 财务部 行政部 VLAN ID
10 11 12
VLAN名称
Fuwu Caiwu Xingzheng
用户使用手册
账号密码清单 应用访问方法 安全操作方法
第五部分：项目实施规划4-1
网络部分
实际网络搭建拓扑
F1/0 F0/10 F0/1 F0/1
R1
F0/0 F2/0 F0/10
Internet
ser3
IDC
SW1
F0/3 F0/3
Si
Si
SW2
F0/3
F0/2 F0/2
F0/4
8课时完成
实验案例3：系统部分(Linux)2-1
系统部分
准备系统环境 配置IDC服务
实验案例3：系统部分(Linux)2-2
学员练习3
8课时完成
成就你的梦想！
可管理性
便于管理员在任何位置都可方便地对整个系统进行管理
更广泛的设备支持
所有操作系统及服务应广泛地支持各种硬件设备
高稳定性及高可靠性
系统的运行应具有高稳定性，能够实现高性能运行
更低的成本
尽量降低整个系统的总体成本
第一部分:企业需求分析7-7
改造后的拓扑图
第二部分：方案设计--网络设计(一)8-1
在接入层和核心层配置以太网通道进行连接
第二部分：方案设计--网络设计(一) 8-8
路由规划
配置OSPF单区域，实现全网互通 在网关路由器上重新发布默认路由，实现Internet访问
测试验收
验证各不同VLAN是否能够访问特定的服务器 验证VTP配置，各交换机的VLAN信息是否正确 验证热备份配置，断开链路验证备份切换