网络建设项目竣工文档.docx
《网络建设项目竣工文档.docx》由会员分享,可在线阅读,更多相关《网络建设项目竣工文档.docx(111页珍藏版)》请在冰点文库上搜索。
网络建设项目竣工文档
中国核工业第二二建设公司
网络系统建设项目
竣工文档
沈阳赛莫网络工程有限公司
2013年11月
前言
沈阳赛莫网络工程有限公司按照《中国核工业第二二建设公司网络系统建设项目设计方案》及中国核工业第二二建设公司网络系统建设项目的实际需求,对网络系统进行集成建设。
通过项目的实施,网络设备方面完成了上网行为管理、防火墙核心交换机、接入交换机、服务器等网络设备的安装调试;,公司内部互相连接和连接Internet,并按需求安装VPN。
下面,对项目实施中的相关文档进行整理总结。
一、网络设备的安装配置文档
1.VLAN及IP地址分配
VLANID
VLAN名称
VLANIP地址段
子网掩码
备注
1
1
10.0.0.0
255.255.255.0
设备管理网段
2
10
10.20.10.0
255.255.255.0
服务器办公
3
20
10.20.20.0
255.255.255.0
办公
4
30
10.20.30.0
255.255.255.0
预留
5-20
10.20.40.0-10.20.200.0预留网段
2.网络设备管理IP
设备名称
管理IP地址
备注
AF1120
10.0.0.1
防火墙
AC1200
10.0.0.2
上网行为管理
H3CS5800
10.0.0.3
核心交换机
H3C-1
10.0.0.4
接入交换机
H3C-2
10.0.0.5
接入交换机
H3C-3
10.0.0.6
接入交换机
H3C-4
10.0.0.7
接入交换机
H3C-5
10.0.0.8
接入交换机
H3C-6
10.0.0.9
接入交换机
H3C-7
10.0.0.10
接入交换机
H3C-8
10.0.0.11
接入交换机
H3C-9
10.0.0.12
接入交换机
H3C-10
10.0.0.13
接入交换机
H3C-11
10.0.0.14
接入交换机
H3C-12
10.0.0.15
接入交换机
H3C-13
10.0.0.16
接入交换机
3.公网IP地址分配
3.1互联IP地址:
由电信运营商分配地址为:
221.202.160.206/255.255.255.252为互连IP地址,设置在深信服AF1120防火墙设备外网口处.(如图):
3.2业务IP地址
可使用业务IP地址段为:
10.20.*.*-10.20.*.*。
4.现网络设备连接图
5.后期规划网络拓扑图
二、网络设备的调试及命令
1.核心交换机命令:
1.1远程登陆交换机:
(1)创建DOS界面
在WINDOWS操作系统,开始菜单→运行(见图1)→提示框内输入cmd回车(见图2)弹出DOS界面(见图3)后可以输入命令操作
图1图2
图3
(2)远程登入命令:
在DOS窗口下输入:
telnet空格设备管理IP地址,回车。
例:
telnet10.1.2.254
登陆成功后会提示输入密码,
输入密码时不会显示任何内容,输入完成后按回车键即可生效。
登陆交换机后:
提示符为<S5800>”需输入:
sys回车进入用户模式,提示符为:
【S5800】后可以使用命令进行操作
1.2.使用displaycur查看配置
(1)[s5800]displaycur查看当前交换机的配置
例:
以下为输入命令后的部分输出,不是完整输出!
只为更方便的介绍显示内容,具体输入见附件,交换机配置备份。
interfaceGigabitEthernet1/0/1………………………………交换机千兆以太网第1口
portlink-modebridge……………………………………….接口模式为bridge
portlink-typetrunk………………………………………….接口方式为trunk
porttrunkpermitvlanall……………………………………允许trunk通过所有VLAN
interfaceVlan-interface10………………………………….进入交换机vlan10
ipaddress10.20.10.254255.255.255.0…………………..该VLAN的IP地址
(2)S5800displayvlan;查看vlan配置信息
disvlan
Total10VLANexist(s).
ThefollowingVLANsexist:
1(default),5,10,15,20,30,40,50,60,70,………….该交换机已经建立哪些vlan
Disvlan1……………………………………………………….查看具体某个vlan
VLANID:
1
VLANType:
static
RouteInterface:
configured
IPAddress:
10.0.0.3
SubnetMask:
255.255.255.0
Description:
VLAN0001
Name:
VLAN0001
TaggedPorts:
none
UntaggedPorts:
……………………………………............该vlan包含的端口
Bridge-Aggregation1
GigabitEthernet2/0/1GigabitEthernet2/0/2GigabitEthernet2/0/3
GigabitEthernet2/0/4GigabitEthernet2/0/5GigabitEthernet2/0/6
GigabitEthernet2/0/7GigabitEthernet2/0/8GigabitEthernet2/0/9
GigabitEthernet2/0/10GigabitEthernet2/0/11GigabitEthernet2/0/12
GigabitEthernet2/0/13GigabitEthernet2/0/14GigabitEthernet2/0/15
GigabitEthernet2/0/16GigabitEthernet2/0/17GigabitEthernet2/0/18
GigabitEthernet2/0/19GigabitEthernet2/0/20GigabitEthernet2/0/21
GigabitEthernet2/0/22GigabitEthernet2/0/23GigabitEthernet2/0/24
GigabitEthernet2/0/25GigabitEthernet2/0/26GigabitEthernet2/0/27
GigabitEthernet2/0/28GigabitEthernet2/0/29GigabitEthernet2/0/30
GigabitEthernet2/0/31GigabitEthernet2/0/32GigabitEthernet3/0/1
GigabitEthernet3/0/2GigabitEthernet3/0/3GigabitEthernet3/0/4
GigabitEthernet3/0/5GigabitEthernet3/0/6GigabitEthernet3/0/7
GigabitEthernet3/0/8GigabitEthernet3/0/9GigabitEthernet3/0/10
GigabitEthernet3/0/17GigabitEthernet3/0/18GigabitEthernet3/0/19
GigabitEthernet3/0/20
1.3交换机配置命令
(1)创建vlan
sys………………………………………………………….进入用户模式
[S5800]vlan10……………………………………………………..建立vlan10
(2)将端口划入Vlan
[S5800]vlan10
[S5800-S-vlan10]portg1/0/1tog1/0/24……………………….把1到24口划入该vlan
(3)改变交换机名称
sys
[H3C]sysnameS5800……………………………………………..定义交换机名称
[S5800]
(4)指定VLANInterfaceIP地址
[S5800]interfaceVlan-interface30…………………………………………..进入vlan30
[S5800-S-Vlan-interface30]ipaddress10.20.30.254255.255.255.0……更改VLANIP地址
2.接入交换机命令
2.1交换机远程登入:
(1)创建DOS界面
在WINDOWS操作系统,开始菜单→运行(见图1)→提示框内输入cmd回车(见图2)弹出DOS界面(见图3)后可以输入命令操作
图1图2
图3
(2)远程登入命令:
在DOS窗口下输入:
telnet空格设备管理IP地址,回车。
如下图:
登陆成功后会提示输入密码,
输入密码时不会显示任何内容,输入完成后按回车键即可生效。
如下图:
登陆交换机后:
提示符为“super回车后提示输入密码,登陆后进入管理模式并提示拥有3级权限、可以所有配置命令。
如需具体配置交换机需要输入system-view进入配置模式,提示符变为[H3C-1]后才可配置交换机如图:
2.2使用Display查看配置
(1)[H3C-1]displaycurrent-configuration查看交换机配置:
例:
以下为输入命令后的部分输出,不是完整输出!
只为更方便的介绍显示内容,具体输入见附件,交换机配置备份。
sysnameH3C-1……………………………………………………………交换机名称
#
vlan1……………………………………………………………………VLANID号
nameFuWuQi……………………………………………………………VLAN名称
#
interfaceVlan-interface2…………………………………………………VLAN2(管理VLAN)
ipaddress10.1.2.1255.255.255.0………………………………VLAN2地址(管理地址)
#
interfaceEthernet1/0/1………………………………………………物理接口ID号(Ethernet1/0/1)
portaccessvlan23…………………………………………………………端口归属与VLAN23
loopback-detectionenable…………………………………………………环路检测打开
#
interfaceGigabitEthernet1/1/1……………………………………物理ID号(GIgabiEthernet1/1/1)
portlink-typetrunk……………………………………………………端口类型为trunk(中继模式)
porttrunkpermitvlanall…………………………………………………允许所有VLAN通过
descriptionConnet-to-HX-4506E-1……………………………………描述为连接到HX-4506E-1
#
management-vlan2………………………………………………规定交换机管理VLAN为VLAN2
#
iproute-static0.0.0.00.0.0.010.1.2.254preference60…………………交换机默认路由指像网关
#
user-interfacevty04………………………………………………远程连接用户目录(0-4为数量)
setauthenticationpasswordsimple********………………认证模式为密码认证,密码为:
*********
(2)[H3C-1]displayvlanall查看VLAN信息及端口所归属VLAN信息
VLANID:
1
VLANType:
static
RouteInterface:
notconfigured
Description:
VLAN0001
Name:
FuWuQi、
TaggedPorts:
none、
UntaggedPorts:
、
GigabitEthernet1/1/1GigabitEthernet1/1/2GigabitEthernet1/2/1
GigabitEthernet1/2/2
#
VLANID:
2
VLANType:
static
Route
Interface:
configured
IPAddress:
10.1.2.1
SubnetMask:
255.255.255.0
Description:
VLAN0002
Name:
SheBeiGuanLi
TaggedPorts:
GigabitEthernet1/1/1GigabitEthernet1/1/2
UntaggedPorts:
none
(3)[H3C-1]displaybriefinterfaceEthernet查看物理接口状态
displaybriefinterfaceEthernet
Interface:
Eth-EthernetGE-GigabitEthernetTENGE-tenGigabitEthernet
Loop-LoopBackVlan-Vlan-interfaceCas-Cascade
Speed/Duplex:
A-auto-negotiation
InterfaceLinkSpeedDuplexTypePVIDDescription
---------------------------------------------------------------------------
Eth1/0/1DOWNAAaccess23
Eth1/0/2DOWNAAaccess23
Eth1/0/3DOWNAAaccess23
Eth1/0/4DOWNAAaccess23
Eth1/0/5DOWNAAaccess23
Eth1/0/6DOWNAAaccess23
Eth1/0/7DOWNAAaccess23
Eth1/0/8DOWNAAaccess23
Eth1/0/9DOWNAAaccess23
Eth1/0/10DOWNAAaccess23
Eth1/0/11DOWNAAaccess23
Eth1/0/12DOWNAAaccess23
Eth1/0/13DOWNAAaccess23
Eth1/0/14DOWNAAaccess23
Eth1/0/15DOWNAAaccess23
Eth1/0/16DOWNAAaccess23
Eth1/0/17DOWNAAaccess23
Eth1/0/18DOWNAAaccess23
Eth1/0/19DOWNAAaccess23
Eth1/0/20UPA100MAfullaccess23
Eth1/0/21DOWNAAaccess23
Eth1/0/22UPA100MAfullaccess23
Eth1/0/23DOWNAAaccess23
Eth1/0/24UPA100MAfullaccess23
Eth1/0/25DOWNAAaccess23
Eth1/0/26DOWNAAaccess23
Eth1/0/27DOWNAAaccess23
Eth1/0/28DOWNAAaccess23
Eth1/0/29DOWNAAaccess23
Eth1/0/30DOWNAAaccess23
Eth1/0/31DOWNAAaccess23
Eth1/0/32DOWNAAaccess23
Eth1/0/33DOWNAAaccess23
Eth1/0/34DOWNAAaccess23
Eth1/0/35DOWNAAaccess23
Eth1/0/36DOWNAAaccess23
Eth1/0/37DOWNAAaccess23
Eth1/0/38DOWNAAaccess23
Eth1/0/39DOWNAAaccess23
Eth1/0/40DOWNAAaccess23
Eth1/0/41DOWNAAaccess23
Eth1/0/42DOWNAAaccess23
Eth1/0/43DOWNAAaccess23
Eth1/0/44DOWNAAaccess23
Eth1/0/45DOWNAAaccess23
Eth1/0/46DOWNAAaccess23
Eth1/0/47DOWNAAaccess23
Eth1/0/48DOWNAAaccess23
2.3交换机配置命令
(1)创建vlan
super
system-view
SystemView:
returntoUserViewwithCtrl+Z.
[H3C-1]vlan10
[H3C-1-vlan10]
[H3C-1-vlan10]quit
[H3C-1]save
Theconfigurationwillbewrittentothedevice.
Areyousure?
[Y/N]y
Pleaseinputthefilename(*.cfg)(Toleavetheexistingfilename
unchangedpresstheenterkey):
Nowsavingcurrentconfigurationtothedevice.
Savingconfiguration.Pleasewait...
......
Unit1saveconfigurationflash:
/config.cfgsuccessfully
[H3C-1]
%Apr1403:
20:
19:
1042000H3C-1CFM/3/CFM_LOG:
-1-Unit1savedconfigurationsuc
cessfully.
(2)将端口划入Vlan
[H3C-1]vlan23
[H3C-1-vlan23]portEthernet1/0/48
[H3C-1]save
(3)改变交换机名称
[H3C-1]sysnameH3C-1
[H3C-1]save
3.深信服防火墙登陆及配置
(1)登陆防火墙
如下图:
在浏览器地址栏内输入https:
//10.0.0.1后出现登陆界面输入用户名密码后点击”登录”登陆到防火墙主页
(2)查看及修改物理端口
在防火墙主页面内点击网络配置→接口/区域可以看到所有物理。
如下图
:
需看具体点击“具体接口”查看具体内容。
如下图(比如点击ETH1)
(3)查看及创建路由
在左侧点击“网络配置”→“路由”→“静态路由”查看或修改目的路由
(4)VPN建立
点击左侧“VPN”“连接管理”“新增”可建立新的VPN隧道如下图:
点击“本地子网列表”将内网网段添加到VPN子网。
如下图:
4.上网行为管理
(1)登陆设备
在浏览器地址栏内输入IP地址:
10.0.0.2后出现用户、密码登陆框输入后可进入界面。
如下图:
登陆后主界面如下图:
(2)查看及创建物理端口IP地址
“网络配置”→“网口配置”如下图:
进入界面后如下图可查看IP地址及所在物理端口:
点击“网络配置”→“部署模式”来配置设备。
如下图:
点击“开始配置”
选择部署模式点击下一步,本设备应选择网桥模式部署:
选择网桥模式,本设备为多网桥:
在此页面选择网桥接口,可任意选择,建议选择ETH2及ETH0作为网桥接口,此接口也为默认接口点击下一步配置网桥信息:
完成设备部署:
点击提交则设备重启配置生效。
(3)组与用户建立
点击“用户与策略管理”
点击“上网策略”→“新增”建立上网策略。
如下图:
做行为管理点击上网权限策略、做审计点击上网审计策略。
如下图
上网权限策略点击新增
在右侧选择相对应用与时间段
上网设计策略点击新增点击添加选择需要审计的项目
两种策略建立完成均有选择使用组及用户选项
来按照需求对相应组及用户下发策略。
(4)流量贷款控制
点击“流量管理”→“线路带宽配置”设置总带宽
点击“通道配置”→“新增一级通道”来做流量控制。
如下图:
点击左侧“通道使用范围”选择使用的组、用户及应用:
5.1H3C-1配置:
sys
#
sysnameH3C
#
loopback-detectionenable
#
radiusschemesystem
#
domainsystem
#
local-useradmin
passwordsimpleadmin
service-typetelnetterminal
level3
#
vlan1to200
#
interfaceVlan-interface1
ipaddress10.0.0.4255.255.255.0
#
interfaceAux1/0/0
#
interfaceEthernet1/0/1
portaccessvlan20
loopback-detectionenable
#
interfaceEthernet1/0/2
portaccessvlan20
loopback-detectionenable
#
interfaceEthernet1/0/3
portaccessvlan20
loopback-detectionenable
#
interfaceEthernet1/0/4
portaccessvlan20
loopback-detectionenable
#
interfaceEthernet1/0/5
升级会员 