企业案例(21)上海企树集团北京办(策研院)办公区无线改造.doc

企业案例 H3C高性能园区网 所在系别： 计算机技术系 所属专业： 计算机网络技术 指导教师： 董科鹏 专业负责人： 孙志成 上海企树企业北京办（策研院）办公区无线改造方案 一、项目本源 上海企树企业北京办（策研院）办公区无线改造 二、项目主要内容 上海企树企业将在金融街太平洋保险大厦建立一个新的策研院办公区。该办 公区网络与合租单位办公网络共用，而该单位互联网网络带宽较低，设备型号老 旧，下载速率只有每秒几KB严重影响策研院现场办公人员工作效率。办公网络 与其他企业共用简单以致计算机病毒互相感染、文件数据被偷取等网络安全问 题。 基于上述原因，为保障策研院办公区的平常工作顺利睁开，急需对该办公区 网络进行有线、无线网络及互联网宽带引入改造. 本次建设拟将有线、无线分开，有线的网关及DHCP均放置于核心交换机 上，无线的网关及DHCP均放置于无线控制器上，其中无线guest用户只赞同 接见公网资源。 三、项目知识点 1、网络设计原则 本方案将设计骨干网负责各个子网和应用服务的连接，网络协议采用 TCP/IP协议，核心交换机采用三层交换机，能较好解决突发数据量和密集服务 央求的实时响应问题，数据交换时交换引擎不会出现过载现象和数据包碰撞、丢 失的现象。 2、AAA服务 3、VPN 4、整天记及统计 5、IPSec/IKE 6、IP路由 7、IPv6应 四、项目技术点 1、IP地址正确配置 VLAN规划 地址 地址段 网关 VLAN1000 AP注册地址 VLAN1100 guest 地址 VLAN1200 office 地址 VLAN1300 youxian地址 sslVPN sslVPN JTCYY-16#-F1020-1 VLAN100 FW及CORE互联地址 JTCYY-16#-S5130-C1 JTCYY-16#-S5130-C1 VLAN200 JTCYY-16#-WX3010E AC及CORE互联地址 -AC1 五、附录： 2.路由  （注：接见外网）  （注：接见  VPN）  (注：接见内网  97的网段)  （注：接见内网  98的网段） 6.3.接见控制策略 (注：第一条相关IPSECVPN的建立，赞同接见当地的地址； 第二条放通内网至设备，使内网终端可以接见并管理设备； 第三条赞同trust地域内，不同样网段之间可以互相接见； 第四条赞同trust地域内的网段可以上网并赞同深度检测；) 规划 AdvancedIPv4ACL3010,1rule, rule1permitipsourcedestination （注：IPSEC需要保护的内部数据流） ikeprofileprofile1 keychainkeychain1 exchange-modeaggressive（野蛮模式） local-identityfqdnceyanyuan matchremoteidentityfqdnceyanyuan matchlocaladdressGigabitEthernet1/0/12 proposal1 # ikeproposal1 encryption-algorithm3des-cbc（加密算法） dhgroup2 authentication-algorithmmd5（考据算法） # ikekeychainkeychain # ikekeychainkeychain1 matchlocaladdressGigabitEthernet1/0/12 pre-shared-keyaddresskeycipher $c$3$BzJmy8yCmxtot4dLthHelbVlKohTrG6EUHqLsQBdN0g= （注：IKE协商的内容） ipsectransform-settran1 espencryption-algorithm3des-cbc（加密算法） espauthentication-algorithmmd5（考据算法） pfsdh-group2（前向考据） ipsecpolicypolicy110isakmp transform-settran1 securityacl3010 ike-profileprofile1 （注：IPSEC策略部分） 规划 SSL网关地址池用户名+密码权限 LVC+lipx赞同接见内部所有资源 核心交换机 7.1.物理接口及VLan分配 设备功 序号设备名称端口所属Vlan 能 1 GE1/0/1 Vlan1300 JTCYY-16#-S5130- 核心交 2 GE1/0/2 Vlan1300 C1 换 3 GE1/0/3 Vlan1300 4 GE1/0/4 Vlan1300 5 GE1/0/5 Vlan1300 6 GE1/0/6 Vlan1300 7 GE1/