内容摘要:网络改造实施方案
篇一:网络改造实施方案
网络改造实施方案
供电局办公网整个网络采用星型拓扑结构,以主机房为中心,通过五类非屏蔽双绞线引至各办公室信息模块,通过跳线连至计算机,完成整个办公楼局域网的建设,局域网内的资源可集中共享。整个办公网采用AMP结构化综合布线系统。
由于现在网络已经建成,我们想在原有硬件设备上进行大的改造已经不太可能,而且为了防止病毒破坏我们需要另外增添杀毒服务器和杀毒软件。所以我们需要根据需要来部分改造或者升级部分模块来达到我们的目的。
我们的要求:
一、要求在供电局办公局域网建成后,通过路由器可连接英特网。
二、要实现内部网站的可靠和安全应用,具体的方案需要根据整体网络
格局和各科室的使用要求来斟酌和修改。
三、为了针对内部专用网站的使用,我们需要进行局部的调整和整网的操作系统的更新。
四、保证各区县的营业网点的正常数据申报和防毒软件的自动更新。
在现有的网络基础上,我们要实现以上的功能,我们需要进行局部网络的设备扩展和网络改造,同时针对各用户的不同要求我们要新建不同的网络策略来满足各科室的网络应用。我们不妨更进一步的来构建和升级整个的网络功能,把现有的基础网络改建成网络办公自动化系统。
现今很多企业将宣传推广和精细化管理两者合二为一,不仅达到了预期的目的,而且也节省了很大的开支。
网络办公自动化系统的主要作用
能极大地提高工作效率,不用拿着各种文件、申请、单据在各部门跑来跑去,等候审批、签字、盖章。这些都可在网络上进行。
节省运营成本:包括时间和纸张。
规范单位管理:把一些弹性太大不够规范的工作流程变得井然有序,比如:公文会签、计划日志、用款报销等工作流程审批都可在网上进行。
提高企业竞争力、凝聚力:员工与上级沟通很方便,信息反馈畅通,为发挥员工的智慧和积极性提供了舞台。无疑,企事业的单位的内部的凝聚力将大大增强。
使决策变得迅速科学:高层决策不再是不了解情况,缺乏数据的环境下拍脑袋的事,而是以数据和真相为依据做出的科学的决策。
办公自动化不仅是政府、企业提高办公效率和管理决策水平的重要工具,且已成为国民经济发展水平的重要标志。办公自动化的广泛应用,使得在传统体制中承担信息的搜集、加工、统计的中间管理层次成为多余,为精简机构、真正实现组织结构的扁平化,提供了技术保证。
回顾我国办公自动化的进程,大致可分为三个阶段:
(1)以桌面字处理工具为典型的个人办公工具软件阶段,计算机应用提高了个人工作效率。
(2)基于关系型数据库技术,以C/S体系结构应用为特征阶段,这一阶段基本实现了部门级的数据处理、公文处理等的自动化。
(3)基于符合Internet/Intranet技术标准的平台应用阶段,这一阶段,不仅在技术上有了很大进步,而且应用范围已从部门内部、部门之间扩展到行业/系统内部,乃至跨行业跨系统。
办公自动化是政府、企业信息化的基础。通过完善的办公自动化技术,企业可以更有效地利用自身资源,提高运营效率,完善企业内部的管理机制。
电子政务基础
1.
电子文档信息库的建立
2.
基于Internet/Intranet技术的信息发布
3.
分布式或集中式信息管理
4.
各种电子信息的加工、处理
5.
基于Internet的信息搜集和信息反馈系统
6.
进一步开发对这些电子信息的资源利用(信息
服务、信息交换、安全控制、光盘制作、电子商务、电子政务、决策分析等)
OA办公系统的功能
软件功能
个人事务
客户资源
工作计划
人事机构
信息中心
考勤管理
文档管理
会议管理
公文流转
办公用品
审批登记
用款管理
报销管理
车辆管理
资料管理
资产管理
系统管理
工作计划
报告类别管理
计划类别管理
工作计划管理
新增及编辑工作计划
查看工作计划完成情况
查看计划已发生的费用
计划的分解
填写工作报告
填写工作日志
部门日志查询
全体日志查询
部门计划查询
全部计划查询
日志参数设置
部门日程查询
全部日程查询
文档管理
文档类别管理
文档发布
文档查询
信息中心
信息栏目管理
信息发布管理
信息中心
BBS讨论区
BBS栏目管理
常用链接管理
飞机航班管理
飞机航班查询
邮编区号管理
邮编区号查询
人事机构
人事基本信息管理
人事调动和分配
离职人员管理
部门人事信息查询
全体人事信息查询
人事字典维护
显示当前操作员的个人信息
显示系统当前在线人员情况
考勤管理
请假/销假
销假核准
加班/确认
加班核准
生成考勤统计
考勤统计查询
个人考勤信息查询
全部考勤信息查询
考勤参数维护
休息日设置
请假类别字典维护
公文流转
发文拟制
输入公文相关属性信息
编辑(新增)公文正文
定制工作流程
收文登记
输入公文相关属性信息
编辑(新增)公文正文
定制工作流程
公文办理
公文催办
公文跳转
归档销毁
公文查询
参数设置
密级权限设置
公文模板设置
公文流程模板设置
公文类别设置
公文办理定义
公文日志管理
客户资源管理
销售人员管理
客户信息管理
客户联系记录
订单情况
销售情况
客户联系人
字典维护
产品信息维护
会议管理
会议室管理
会议室查询
会议登记
查询、发送、打印会议列表
会议纪要管理
查询会议信息
办公用品管理
办公用品维护
办公用品采购
办公用品统计
库存报警查询
办公用品类别维护
车辆管理
车辆信息登记
车辆里程补贴查询
车辆维修情况查询
用车情况查询
资产管理
资产信息维护
资产使用管理
全部资产使用查询
资产字典维护
个人桌面
员工代办事宜
办公申请
名片管理
个人日程
个人定时提醒设置
个人理财
离线设置
个人便笺
BBS讨论
飞机航班查询
邮编区号查询
收发短信息
用款管理
用款申请
用款审批
用款登记
用款归还登记
个人用款查询
全部用款查询
用款统计
用款字典维护
报销管理
填写报销单据
审批报销单据
报销领款登记
报销冲抵欠款
个人报销查询
全部报销查询
报销统计
报销字典维护
办公事务审批登记
办公事务审批
办公事务登记
办公事务打印
办公事务类别维护
系统管理
机构配置管理
o
部门机构设置
o
部门职位设置
o
人员设置
o
恢复默认口令
审批流程设置
SMTP设置
邮箱管理
信息中心
信息中心:信息中心包括栏目管理、信息发布、信息浏览三大部分功能。各用户可以根据自己的实际需要自行进行栏目的分级设置。并根据管理规定设定各栏目相关的发布、管理权限,实现内部新闻、公告、规章制度等公用信息的统一上传管理。实现信息发布的统一管理。信息中心中栏目的构主要取决于单位内部信息管理的划分需要。在OA中根据信息类别的区别,提供了两种格式的信息发布——普通类信息、红头文件式信息。可以满足单位对于多样化信息管理的要求。
常用链接:系统中的常用链接可以将单位经常使用的各类相关站点进行设置,方便日常工作中迅速准确的连接。
BBS:可由用户灵活设置栏目、栏目权限、栏目用户范围的BBS,在实现内部员工交流的同时,可以充当日常办公讨论组的功能。大大提高了内部交流的效率。
其它功能:为了便于用户的日常工作,在OA定置版本中还提供了飞机航班、火车时刻、邮编区号等查询管理功能。
工作计划
计划安排:计划安排实现对日常工作计划的安排、下达、负责人员的指定,同时支持进行计划的再分解操作。实现工作由上到下,由总到分的统一安排管理。
跟踪检查:单位领导对于已经安排的工作任务可以跟踪检查,对于提交完成的工作申请进行核准操作。实现对于工作任务时间进度、工时进度、任务进度的多种跟踪检查。方便的穿透查询功能,可以使管理者对于任务进展情况进行直接、准确的监控管理。
报告日志:系统提供的报告日志可以使工作任务负责人方便的进行相关报告的提交,可以细到每人每日的日志提交功能,极大的提高了管理的精确性,实时性。同时也为将来的工作考评提供了准确、翔实的数据。
费用管理:通过与费用报销模块的连接,方便管理者对于相关工作任务的费用投入情况进行直接管理。
公文流转
发文收文:实现了单位内部发文起草、发布来文登记的功能,通过系统提供的在线编辑、附件上传功能可以与其它文档编辑工具进行结合。
公文办理:根据预先设置的公文办理流程,各环节的办理功能定义,可以实现公文的各项办理工作。同时根据各办理节点的权限设置,可以进行相应的加签、退签、修改后续流程等操作。极大的满足了日常公文办理中对于操作灵活性的要求。
催办跳转:对于超过办理期限或需特殊办理的公文,可以进行发送催办通知、邮件,跳转操作等功能实现,对于办理流程的跟踪检查、特殊流转的要求。提高公文流转办理的工作效率。
归档销毁:通过与系统文档管理的连接,对于已完成流转办理的公文,可以进行相应的归档、销毁操作。
文档管理
类别定义:通过对于单位内部文档库的分类定义,权限划分。建立单位内部文档资源库。
文档发布:各相关人员可对在授权范围内的文档目录进行相应的发布管理操作。
文档查询:各相关人员对在授权范围内的文档进行在线查找、浏览。提高了日常工作效率。
客户资源
客户档案:对于发生业务往来的合作伙伴、客户、联系人等各种相关资料进行收集、登记管理。同时可以方便查询到历史交往情况、历史销售情况。便于相关管理人员进行分析、决策。
联系记录:对于与客户交往的历史记录进行准确、翔实的登记管理。为市场销售人员进行客户分析、实现个性化服务打造了坚实基矗
销售管理:对于销售订单进行跟踪管理。对于历史销售情况进行各类查询统计。使管理者对于销售情况了如指掌。
申请审批
类别定义:系统本身提供了8种定制格式的申请审批类型。同时支持用户根据日常办公的实际情况,自定义其它的申请、请示、报告等。通过设置相应的流转路径,实现申请审批的自动化。
提交申请:员工可以通过桌面系统进行各种申请、请示、报告的在线填写、提交及回复审批跟踪。
审批登记:管理者可以对需要自己进行审批回复的各类申请、请示、报告进行相应的审批、回复、填写意见等操作。
人事考勤
人事管理:人事管理包括人员档案管理、调动分配管理、离职管理、及各种查询统计。可以实现对单位员工人事信息、岗位调动变化的管理查询功能。离职管理模块中可以自动检查员工目前未完工作,对人事管理人员进行相应提示。
考勤管理:考勤管理由签到、签退、请假/销假、加班申请、统计查询等模块组成。可以对单位员工的考勤情况一览无余。同时灵活的接口可以实现与其它考勤系统的数据对接(如:打卡式考勤机。。。)
会议管理
会议登记:对于各类会议进行登记,根据参加范围自动发送会议通知邮件。打印会议通知等功能可以降低会议管理人员的工作强度。
会议室管理:对于单位会议室安排进行预约申请,登记。使用情况查询。可以提高对于会议室资源利用的合理性。
纪要管理:对于各类会议精神、决议的登记,相关文件的上传管理。可以使单位会议管理井井有条,便于日后对于会议决议执行情况的跟踪管理。
资产资料
资料管理:通过系统建立资料管理档案,支持用户进行资料借阅的在线申请、回复、借出登记、归还登记等全自动操作。摆脱了传统的手工管理效率低下,查找烦琐等
弊端。方便了单位员工对于各类资料的借阅操作。提高了内部资料的利用率。同时提供的借阅统计、缺库登记等功能,对于资料管理工作提供了有效补充,可以快速准确的了解各类资料的使用情况,获得缺库信息。提升资料管理水平。
资产管理:资产管理由资产档案管理、使用归还管理、查询统计等功能模块组成。可以使管理者随时对单位内部资产分布情况、使用情况做到一目了然。同时,通过资产领用责任到人的设计,可以明确使用责任人,有效杜绝资产流失。
办公用品
采购管理:用户通过系统可在线填写采购申请,相关采购管理人员进行采购登记操作。同时通过为各种办公用品设定库存报警值,方便办公用品管理人员进行相应的提醒查询,有利于保证办公用品的正常库存。
领用管理:对于需要对办公用品进行领用的用户,通过在线查询、提交申请、相关领导审批、出库登记完成对办公用品领用的全流程管理。先进准确的移动库存计算办法,可准确的记录相关费用,自动完成库存增减。
统计查询:各级管理者可通过部门、时间段、类别等不同口径进行相应的统计查询。对于办公用品库存情况、领用情况、采购情况进行管理。有效减少库存浪费、合理监控相关费用。
车辆管理
车辆档案:对于单位内部车辆建立相应的车辆档案,详细记录购买情况,车辆情况。
用车管理:对于出车情况建立申请、审批、登记的流程化管理制度,对车辆使用进行合理安排,可以有效提高车辆的利用率。
补贴管理:对于出车司机的补贴情况进行登记管理。使管理者对于补贴费用情况一目了然。
维修管理:对于车辆维修的情况进行登记管理。便于对于车辆维护情况的了解。同时对于维修费用情况可以做到清晰、准确。
用款报销
用款管理:对于单位内部的各种用款进行在线提交、审批、借出登记、归还登记的管理,降低日常用款管理工作的工作强度,提高工作效率。
报销管理:对于单位内部的各种用款进行在线提交、审批、报销登记的管理,降低日常报销管理工作的工作强度,提高工作效率。系统同时提供的与计划任务模块的接口,可以使报销费用归口管理,为管理者监督计划项目的费用情况提供数据基矗
统计查询:支持用户按部门、款项类别、相关计划进行相应的统计查询。方便管理者进行各种分析决策。
公务接待
接待管理:对于各种来宾接待情况进行相应的登记管理。
个人工具
邮件管理:通过内部邮件功能、实现内部员工通过邮件进行日常工作交流。同时具备的POP3邮件管理功能,可以实现对外部邮箱的管理功能。附加提供的地址簿功能,可实现与OUTLOOK邮件地址簿的相互转换功能。
个人名片夹:员工通过个人名片夹可以方便、快捷的实现对于常用联系人的分类管理、综合查询等功能。
消息管理:实时短消息功能可以实现员工之间在线实时交流,极大的方便了日常办公。目前支持的声音提示、图标提示功能进一步增强了使用友好性。同时支持的提醒闹钟设置功能,可以进行日常按时提示的功能。
日程管理:可以实现对个人日程的安排、提示备忘等功能。便于用户对日常工作计划进行安排、管理。
个人理财:可以实现员工对个人财政情况的登记管理、查询统计等功能。
个人桌面:是员工个人工作处理的平台。友好的界面风格,方便易用的功能。对于个人工作的合理整和,可以极大方便用户的日常工作。
OA集成RTX即时通讯平台简介
OA网络办公自动化系统集成的腾讯通RTX系统(RealTimeeXpert),是腾讯公司推出的企业级实时通信平台,致力于帮助企业提高运作效率、降低沟通成本、拓展商业机会,是一种高度可管理、低成本、易部署的IT平台。RTX集成了丰富的沟通方式,包括文本会话、语音/视频交流、手机短信、文件传输、IP电话、网络会议、以及应用程序共享、电子白板等远程协作方式。
与公众IM相比,公众IM主要是面向个人的,用于个人朋友之间的沟通,是个人通讯手段之一;而企业IM是面向企业的,主要提供企业内部办公沟通、对外商务沟通的服务。其目的是给员工提供更方便的沟通方式,增强团队的信息共享和沟通能力,提高工作效率,减少企业内部通讯费用和出差频次等从而为企业节省开支,同时也能创造一种新型的企业沟通文化。
RTX是腾讯公司应企业IM市场的需要推出的用于企业即时通信的新的核心技术品牌,该品牌从2003年7月份正式开始启用,它的前身是BQQ(BusinessQQ)。
RTX的中文名称是“腾讯通”。
以下大概讲述用户关心的RTX的解决方案。
部署结构
提供服务器和客户端软件,企业自行进行用户管理,分配用户帐号、统一认证、权限管理、信息存档与监控。
客户端界面
RTX服务器端界面
用户可以安装客户端软件进行登录,也可以基于浏览器进行登录;可采用用户ID号码登录,也可以采用用户名登录;可提供IP地址进行登录,也可以采用域名进行登录。
网络方案
可以将RTX安装在企业局域网之内,也可以架设于互联网上,用不同的方式满足分布于不同地点的用户接入。支持客户端代理和突破防火墙。
安全性方案
消息传输、文件传输采用128位加密,达到商业级安全标准;信息存储采用数据库方式,保证个人信息的安全与个人隐私。
内置可与各种网络杀毒软件无缝衔接的安全模块,可针对各种不同规模或不同级别用户分别设置安全管理模式和防御等级。
可管理性方案
可对部门、分组、个人进行严密的权限控制,允许或禁止使用某项功能,保证即时通信的可管理性与服务器和网络资源的合理分配;可设置RTX用户是否对外可见,既保证例如业务人员对外沟通的途径,同时也保证员工不被外界干扰;可对对外信息进行存档与监控,保证企业的商业信息安全。
内部沟通
企业内部用户可进行多种方式的快速沟通;同时提供分支互连方案,分支机构可以自行架设服务器,通过RTX中心服务器进行互连。
多功能会话窗口
企业分支互联
企业互联
企业之间可以通过RTX互联,如下图添加了RTX联系人之后“外部企业联系人”有好友列表。
企业互联&企业与个人互联
企业互联&企业与个人互联
与外部QQ通信
提供RTX与QQ个人用户的互通功能,以及对RTX用户是否可以与QQ互通的权限控制与信息存档,如上图“外部QQ好友”列表。
开放性
为方便广大ISV、自主开发团体和以及个人的需求,RTX提供丰富的二次开发接口SDK,通过简单的二次开发,可以实现与其他应用系统的无缝集成,实现在线状态感知、即时消息收发、文件传输、手机短信、消息提醒、部门和用户的操作等RTX的功能。
支持LDAP轻量级目录访问标准协议,例如可以实现RTX与IBMLotus、MicrosoftExchange共享同一套用户目录,RTX可以直接导入这些用户目录信息。
对短信有需求的企业可以直接利用RTX提供的SDK,实现双向短信、短信群发等功能。手机可以是中国移动、中国联通的所有类型卡。短信发送过程会自动检查是否
发送成功、自动重发,发送不成功的有统计和返回提示。腾讯有覆盖全国短信网关接入,是目前国内短信服务最具优势的SP。
OA系统的基于Web-Server三层结构体系,具备多种灵活的应用模式。
Intranet应用模式:
与Internet相同,都是使用Browser/WebServer构成的企业内部网,称为Intranet。这种模式的特点是WebServer在企业内部,企业外部的访问者必须经过企业的防火墙或代理服务器才能与系统相连。此应用模式是在企业内部安装并使用VOS系统,信息只在企业内部网络系统中发布,外部分支机构或者移动办公用户直接与企业连接,接入系统,而不通过Internet。
此应用模式适合于:对"移动办公"要求不高,以及异地分支机构比较少的企业。所有的系统应用者处于共同的局域网络之中。
此应用模式的优点:这种应用模式实现起来比较方便,可以充分利用企业现有的局域网络系统而不需要做太大的改动。此外,系统数据不在公众网上发布,因而具有较高的安全性。
Extranet应用模式:
Extranet是分布在多个物理地址上的企业内部网络系统(Intranet),通过专用线路或者VPN(虚拟专用网络)服务而相互连通组成一个大的网络系统,称为Extranet。
此应用模式适合于:在各地有固定分支机构的企业,并且这些分支机构规模比较大,业务相对独立、拥有自己的局域网络系统。
此应用模式的优点:在保留了企业各地分支机构网络系统的独立性,实现了全企业的信息互动。可以充分利用企业现有的网络系统,节约了实施的成本。
Web-Server应用模式:
如果企业在总部有自己的Web网站,并通过高速的线路向Internet发布。企业可以使用企业自有Web应用模式进行系统建设。这时,所有的移动办公用户或者异地分支机构直接通过Internet与系统进行连接完成业务操作。
此应用模式适合于:移动办公需求很多的企业,或者在各地拥有较多小规模分支机构而各分支机构与总部的业务联系紧密的企业。
此应用模式的优点:为移动办公和分支机构提供了廉价的接入系统的方式,减少了接入设备和线路维护的费用。
主机托管应用模式:
在主机托管的应用模式中,企业的WebServer至于内部网络之外(企业防火墙以外)的Internet上,这时,所有的系统用户包括总部、各分支机构和移动办公用户,全部通过Internet与OA系统相联接,完成业务操作。
此应用模式适合于:移动办公需求很多,或者在各地拥有众多各种规模的分支机构,并且不希望维护复杂的信息系统的企业。
此应用模式的优点:为移动办公和分支机构提供了廉价的接入系统的方式,减少了接入设备和线路维护的费用。网络安全以及访问控制等信息系统管理工作全部交给专业的服务商完成,减少了企业维护信息系统的费用。
OA运行环境
服务器的硬件配置要求如下:
硬件环境
o
CPU:Pentium42G以上,建议P43.2G以上
o
RAM:1024M以上,建议2048M以上
o
DISK:10G以上的可用硬盘安装空间
软件环境
o
网络操作系统:Windows2003Server简体中文版
o
安装Windows20003ServicePack2.0以上
(IIS5.0)
o
MicrosoftSQLServer7.0以上版本
客户机硬件配置要求如下:
硬件环境
o
CPU:Pentium3800以上,建议Pentium41.6G以上
o
RAM:256M以上,建议512Mo
能正常运行Windows及IE?
软件环境
o
Windows98/ME/2000/XP简体中文版+简体中文IE6.0以上版本
o
或Windows2000Professional/Server/AdvancedServer互联网(Internet)接入配置:
o
Internet接入并不是必须的配置,OA系统支持在局域网内运行。
o
接入Internet后,AO系统将可自动支持远程办公和移动办公。
o
Internet接入支持多种方式,可租用DDN专线,光纤接入,有固定IP的ADSL接入,同时支持服务器托管、服务器租用、虚拟主机等接入方案。
方案设计
网络构成
广域网连接采用路由器,防火墙,通过ADSL专线接至Internet。广域网构建在Internet之上,通过VPN技术联结。
高性能交换机
中心交换机选用友讯网络10/100/1000M交换机。
主服务器与各用户点之间互联采用ADSL专线或VPN接至Internet。
高性能服务器
采用IBM系列服务器和IBM磁盘柜组合,内存为1GB,P4CPU或至强。10/100/1000MB自适应网卡,EIDE光驱,热插拔SCSI(10kRPM)硬盘,133MHz的高速总线频率使系统处理性能,I/O系统性能卓越,高可用性及高可伸缩性更得到了空前的提高。
主服务器运行中心数据库系统,运行Sql2000Server、Oracle9i数据库;从服务器运行WWW服务、EMAIL服务、防火墙服务和相关文件、打印等服务。
以上是我们在扩展网络的功能应用后的实施方案,同时,我们也可以基于控制成本的考虑来选择只使用单一的功能而不加载或选购整个OA自动办公系统。
在使用OA自动办公系统的用户里,有很大的一部分都是使用的Extranet模式的,同时,Extranet模式的应用还可以依托稳定的网络架构来随意增减所需要的功能。
我们可以在使用Extranet模式网络架构的同时,只使用网络安全检测和防杀一体的安防功能模块。同时,对于内网和外网的数据交换都可以交由专门的服务器来进行。这样,我们就可以在安全和高效的环境下放心的工作了。
篇二:网络改造实施方案
学院网络改造项目实施方案word学院网络改造实施方案
学院网络改造实施方案
一、概述
1、工程概况
某某学院本次网络改造主要是对学生宿舍网和学校出口网络进行改造。原有的学生宿舍网没有自己单独的核心设备,并且所有的桌面接入交换机均为不可网管设备,无论是从网络稳定性、安全性、可管理性和可控性上都无法得到保证,而出口位置以前没有专门的安全设备,整个校园网的安全也有缺陷。针对这些问题,本次改造增加了一台H3C的高端路由交换机9505作为学生宿舍网的核心,将楼宇接入设备和桌面接入设备更换成了H3C的可网管交换机,并且增加了基于802.1X技术的cams用户管理系统,对学生上网进行认证和计费。在出口位置,增加了一台高端的防火墙设备,作为校园网访问公网的边界设备。
2、实施原则
网络改造的实施遵循下面三个原则:
以用户需求为指导的原则
由于本次网络改造是对原有网络的升级和扩容,因此,网络的改造首先要深刻理解用户的需求。通过了解目前网络的现状,分析其所存在的缺点,结合用户提出的要求,制定最佳的实施方案,充分发挥出新设备的性能。
先进性的原则
目前,某某学院网络在网络性能、可靠性、安全性和可管理性等方面存在一定的缺点,因此网络改造一定要遵循先进性的原则,弥补现有网络的缺陷,并且能够满足未来3至5年网络应用发展的需求。
合理规划、认真实施的原则
在规划过程中,要充分考虑设备、vlan、地址使用的合理性及扩展性。做到既不浪费、有又良好的可扩展性。同时要做到便于管理。
实施过程中要注意各种细节问题,多余用户进行沟通,真正做到一丝不苟、认真负责。
二、网络改造实施方案
1、新建网络拓扑情况
新建网络将学生宿舍网与办公网在结构上做了分离,学生宿舍网成为一个单独的网络。整个学生宿舍网呈星形结构,分为核心、汇聚和接入三层。在逻辑结构上设计为一个大的交换网络,核心层是一台H3C的9505路由交换机,既汇聚各楼的交换机,又与校园网出口防火墙通过千兆互联。各学生宿舍楼使用一台E328作为楼宇汇聚设备,通过千兆光纤链路与核心设备互联,接入层的桌面接入设备为H3C的E126交换机,通过百兆链路与楼宇汇聚设备互联。学生宿舍网的网关均设置在9605上,Cams用户管理服务器直接连接到核心9505上。
新建网络的出口位置增加了一台千兆防火墙,连接网通提供的Internet链路和教育网某某地区的核心设备Ne40,同时通过千兆连接校园网的9505和6509,此防火墙的主要任务是做校园网访问外网的地址转换,并且抵御外部病毒和攻击。
新建网络拓扑如下图所示:
学生宿舍3#CERNET2学生核心9505Ne40学生宿
舍1#学生宿舍2#学生宿舍4#学生宿舍7#学生宿舍5#学生宿舍6#学生宿舍8#教工宿舍网
潍坊地区各
高校网络
一条链路双栈互联
1000M155M100M教学1#教学3#教学2#教学4#教学5#教学6#教学7#Catalyst2950H3CE328Dr.com2133SecGate3600-G10Cams认证服务器
具体的设备分配见表《设备分配与管理地址表》
2、网络设备管理方案
新建网络使用的均为可网管设备,为了便于管理,需要对网络设备规定统一的命名规则、端口描述规则、端口分配规则以及管理地址分配规则。
(1)设备命名
为了使设备易于管理与维护,对设备进行合理命名是必要的。按以下规则命名:
核心设备命名:9505的设备名命名为S9505-WFU汇聚与接入设备命名:
设备名:ABCD_E_FABCD:设备类型,如接入交换机就命名为E126E:楼宇号;
F:交换机序号
例如:1号楼的第一台桌面接入交换机E126就命名为E126_1_1#
(2)端口描述
为了使用户对网络连接情况更加清晰,对设备接口进行合理描述是必要的。
核心设备端口描述:to_AA为楼宇号或设备号如连接一号楼的端口描述为to_1#汇聚设备端口描述:
汇聚设备的上联端口统一描述为to_9505汇聚设备的下联端口描述:to_E126_BB为该楼E126序号
接入设备端口描述:上联端口描述为to_E328_CC为汇聚设备E328的端口号
(3)核心设备端口分配
核心设备9505的端口众多,建立一个详细的设备端口分配表,再结合端口描述,可以使用户非常方便的进行端口管理。详细的核心设备端口分配见附件《核心设备端口分配表》
3、VLAN和IP地址规划方案
本次网络改造的vlan划分原则是对vlan进行细分。这样设计的原因是:
1)ARP病毒或其它网内病毒呈愈演愈烈之势。一旦一个vlan内部出现了ARP病毒,那么vlan内所有机器都会受到影响,甚至会影响到交换机的性能。而vlan细分可以把影响面缩小,便于排查中毒机器,同时也控制了病毒的传播。
2)随着多媒体的发展,组播流量将占据越来越大的比重。按照组播原理,组播流量到了二
层vlan内部,会向网段内部的所有端口发送,一旦流量过大,会影响vlan内部所有机器的正常网络使用,同样也会影响接入交换机的性能。显而易见,把vlan细分,减少一个vlan内的机器数量,就可以有效地控制vlan内部的组播流量。
3)把vlan细分,便于进行访问控制和服务质量保证。
具体的分配原则是:
1、2号楼各划分9个vlan3号楼划分21个vlan
4号楼划分20个vlan5号楼分为两部分接入到核心设备,一部分划分18个vlan,另一部分划分10个vlan6号楼也分为两部分接入到核心设备,每一部分各划分12个vlan7号楼划分12个vlan8号楼划分17个vlan对于服务器,单独设置一个服务器vlan。
为实现网络可管理的要求,在每一栋学生宿舍楼上增加了一个网络管理VLAN(5、6号楼每部分增加一个管理vlan),它不需要分配端口,只作为网络管理用,可以通过telnet或网管软件等方式远程管理和监控交换机,达到可控制、可管理的目的。
为实现9505交换机与防火墙的互通,需要在9505上设置一个互联VLAN具体的vlan划分见附录《vlan与IP地址划分表》
由于学生宿舍网使用的都是私网IP,通过地址转换访问教育网和公网,所以有充足的IP地址可供分配。为了避免IP地址盗用现象,为每一个vlan分配一个C类的地址;为服务器网段分配一个C的地址;为每一个管理vlan分配64个地址;另外,与防火墙互联的vlan分配一个公网地址。
IP地址的分配目前采用DHCP动态分配的方式。由于学生宿舍网使用的都是私网IP,并且每个VLAN的IP地址很多,因此使用静态分配地址并且在交换机上进行绑定的方式实施起来很困难,也会对交换机的性能造成影响。使用动态DHCP分配地址的优点是配置简单,缺点是不利于进行用户定位和事件追踪,但使用cams系统可以查找到用户名与IP地址的对应关系,并可以查看用户上网日志,从而很容易的进行用户定位,所以建议使用DHCP动态分配地址。由于cams还具备用户名与IP地址绑定的功能,因此今后也可以更改地址分配方式。
具体的IP地址分配见附录《vlan与IP地址划分表》
篇三:网络改造实施方案
文档从互联网中收集,已重新修正排版,word格式支持编辑,如有帮助欢迎下载支持。
XXXXXXXXX网络改造项目
工程实施方案
V1.2010年7月
1-1word格式支持编辑,如有帮助欢迎下载支持。
文档从互联网中收集,已重新修正排版,word格式支持编辑,如有帮助欢迎下载支持。
1客户网络情况调查(可选)
1.1概述
青海黄河鑫业水电网络项目(EAD部分)实施,本次主要实施为IMC平台部署、客户端安装、双机备份部署,以及对用户方的培训工作。
1.2账号情况
此处请检查EAD的license是否够用
客户网络中的帐号数
350(一期)
iMCEAD的license数目
70?
账号数不是指在线用户数,而是在iMC
EAD中开户的数量
如果账号是从LDAP服务器中同步过来的,需要确保同步的LDAP服务器中的用户数小于iMCEAD的license数。
iMCEAD的license数目以客户实际购买数量为准。
1.3网络设备情况
此处仅统计与EAD相关做身份认证的设备情况
厂家
H3C
设备型号
5120EI
版本
5.202202P06备注
24台(一期)
1.4终端操作系统情况
此处仅统计需要安装iNode客户端做EAD认证的用户。
操作系统
版本
备注
1-2word格式支持编辑,如有帮助欢迎下载支持。
文档从互联网中收集,已重新修正排版,word格式支持编辑,如有帮助欢迎下载支持。
WindowsWindsows
XPSP27.?
常见的操作系统有:widnows,linux,MacOS等
1.5终端操作系统杀毒软件情况
厂家
卡巴斯基
产品型号
卡巴斯基(网络版)
版本
V6.0加强
备注
1.6服务器情况
编号
服务器1
厂家
IBM365CPUE55202.27G
内存
4G
磁盘空间
300G
RaidRAID1备注
如果有多个服务器,请添加多行
Raid请填写该服务器是否有Raid卡,radi卡大小是多少。
1.7操作系统及数据库情况
项目
操作系统版本及补丁
内容
Windowsserver2008备注
1-3word格式支持编辑,如有帮助欢迎下载支持。
文档从互联网中收集,已重新修正排版,word格式支持编辑,如有帮助欢迎下载支持。
操作系统是否正版本
数据库版本及补丁
数据库是否正版
产品是否安装在虚拟机上
产品是否专机专用
正版
SQLserver2008正版
否
是
为了保障业务软件产品的正常运行,请确保现场的操作系统及数据库为正版
常见的虚拟机有Vmware等
为了保障业务软件产品的正常运行,要求服务器服务器专机专用,除了业务软件产品及必要杀毒软件外,不能安排其它厂家的软件产品。
2EAD组网方案选择
根据客户的网络情况,选择合适的EAD组网方案。
2-4word格式支持编辑,如有帮助欢迎下载支持。
文档从互联网中收集,已重新修正排版,word格式支持编辑,如有帮助欢迎下载支持。
2.1802.1xEAD典型组网
2.1.1推荐的组网:
1.接入层交换机二次acl下发方式
组网说明:
802.1x认证起在接入层交换机上
采用二次ACL下发的方式(隔离acl,安全acl)来实现对安全检查不合格的用户进行隔离,对安全检查合格的用户放行
由于是二次acl下发的方式,要求接入层交换机为H3C交换机(具体的交换机型号请参考EAD的产品版本配套表)
控制点低,控制严格(采用802.1x认证方式,接入用户未通过认证前无法访问任何网络资源)
由于802.1x控制非常严格,非通过认证的用户无法访问任何网络资源,但有些场景下用户需要用户未认证前能访问一些服务器,如DHCP,DNS,AD(activedirectory域控),此时可以通过H3C交换机的EAD快速部署物性来实现,关于该特性的具体描述请参考:
/kms/search/view.html?id=14452?
为确保性能,iMCEAD一般要求分布式部署
2.客户端acl方式
对于不支持二次acl下发的交换机(我司部分设备及所有第三方厂家交换机),可以通过使用iNode的客户端acl功能来实现隔离区的构造,即将原本下发到设备上的acl下发到iNode客户端上。
2-5word格式支持编辑,如有帮助欢迎下载支持。
文档从互联网中收集,已重新修正排版,word格式支持编辑,如有帮助欢迎下载支持。
组网说明:
802.1x认证起在接入层交换机上(要求接入层交换机对802.1x协议有很好的支持),控制点低,控制严格
终端用户DHCP或静态IP地址均可
二次acl下发到iNode客户端上,隔离区构造方便。
二次acl下发需要iNode定制“客户端acl特性”,该特性需要iNode安装额外的驱动,对终端操作系统的稳定性有较高的要求。
对于802.1x起在第三方厂家交换机上的场景,要求客户能提供或协调提供第三方厂家能的技术支持。
3.下线+不安全提示阈值方式
在接入层设备不是H3C交换机的情况下,由于设备不支持二次acl下发无法采用二次acl下发的方式来构造隔离区,此时可以通过下线+不安全提示阈值的方式来模拟构造隔离区,实现EAD功能。具体实现为:用户安全检查不合格时,EAD不立即将终端用户下线而是给出一定的修复时间(不安全提示阈值),终端用户可以如果在该时间内完成的安全策略修复则可以正常通过EAD认证访问网络,如果在该时间内未完成安全策略修复则被下线。
2-6word格式支持编辑,如有帮助欢迎下载支持。
文档从互联网中收集,已重新修正排版,word格式支持编辑,如有帮助欢迎下载支持。
组网说明:
802.1x认证起在接入层交换机上(要求接入层交换机对802.1x协议有很好的支持),控制点低,控制严格
终端用户DHCP或静态IP地址均可
采用下线+不安全提示阈值方式认证过程简单,稳定。
由于终端用户在不安全时在“不安全提示阈值”时间内与安全用户访问网络的权限是一样的,安全性上不如二次acl下发方式好。
2.1.2不推荐的组网
1.汇聚层802.1xEAD在下面的场景中,由于网络中的接入层交换机不支持802.1x认证,而H3C交换机又是基于MAC来认证的,于是容易产生如下图所示的将一台支持802.1xEAD的H3C交换机放到汇聚层,下面接不支持802.1x认证的交换机或hub的方案,这种方案在实际使用中是不推荐的,主要原因如下:
802.1x本身是一个接入层的概念,H3C交换机做EAD的acl资源多是基于接入层设计的,如果把交换机放在汇聚层,下面接的用户过多,很容易出现acl资源不足导致用户无法上线的问题
终端用户认证通过后需要与认证交换机维护802.1x握手(eap报文),由交换机在汇聚层与终端用户隔了一层或几层的第三方厂家交换机,这些厂家的交换机不支持802.1x,容易将eap报文过滤掉从而造成终端用户认证后掉线
认证交换机放在汇聚层,终端用户与认证交换机之间是共享域,在其中往往充斥着大量的广播报文,802.1x是eap报文,无论是PC的网卡还是交换机对其处理的优先级都不高,在流量大的时候容易被网卡或交换机丢弃从而造成用户认证后掉线。
2-7word格式支持编辑,如有帮助欢迎下载支持。
文档从互联网中收集,已重新修正排版,word格式支持编辑,如有帮助欢迎下载支持。
下面的场景建议使用portalEAD方式.(需要增加portal设备)
2.guest-vlan方式
guest-vlan技术简介:由于802.1x协议控制非常严格,用户认证前无法访问任何网络资源。如果客户在未通过802.1x认证前也需要访问一些网络资源,可以通过guest-vlan来实现。端口配置了guest-vlan后,用户默认属于guest-vlan,可以访问guest-vlan的资源,用户802.1x认证后用户切换到正常vlan,可以访问正常vlan的资源,一般情况下在guest-vlan下会放置文件服务器,DHCP服务器等提供基本的网络服务。
由于guest-vlan是一个天然的隔离区,技术上可以通过guest-vlan+下线的方式来实现EAD,即用户安全检查合格后切换到正常vlan,如果安全检查不合格则将用户下线,用户切换回guest-vlan,只能访问guest-vlan能的相关病毒、补丁服务器来修复安全策略。
guest-vlan一个突出的优点是用户认证前即可以访问部分网络资源,可以完成下载认证客户端等操作.但限制也较大,实际使用中建议优先采用portal方式或下线+不安全提示阈值的方式来实现EAD。
由于用户认证前属于guest-vlan,认证后需要切换到正常vlan,要求终端用户地址采用DHCP方式,不能采用静态IP?
用户认证属要从guest-vlan切换到正常vlan,下线后又要从正常vlan切换到guest-vlan.整个过程涉及到两次IP地址的release及renew,比较复杂,容易出现地址获取不正确等不稳定问题。
guest-vlan要求第三方厂家设备对guest-vlan有很好的支持,由于guest-vlan应用不多,各个厂家各个版本实现不一致,实施过程中出了问题很难得到有效技术支持。
2-8word格式支持编辑,如有帮助欢迎下载支持。
文档从互联网中收集,已重新修正排版,word格式支持编辑,如有帮助欢迎下载支持。
2.2PortalEAD典型组网
Portal本身就是一个天然的隔离区,即未通过认证的用户访问的网络资源是受限的,通过认证的用户可以正常的访问网络。同于portal的这种特性,实际使用中往往采用下线+不安全提示阈值的方案,对于安全检查不合格的用户通过下线将其放入“隔离区”。
下面介绍一下portalEAD的常用组网。
2.2.1二层portalEAD如图所示,所谓二层portal即到portal设备的报文为带vlan-tag的二层报文。
2-9word格式支持编辑,如有帮助欢迎下载支持。
文档从互联网中收集,已重新修正排版,word格式支持编辑,如有帮助欢迎下载支持。
身份认证采用portal认证
一般采用下线的方式即可实现将终端用户放入隔离区来实现EAD?
Portal设备的具体型号请参考EAD的版本说明书
2.2.2三层PortalEAD三层Portal即到Portal设备做认证的流量是IP报文,三层portal主要有如下两种组网:
1.策略路由方式
如下图所示,Portal设备侧挂在网关上,由网关将需要portalEAD认证的流量策略路由到Portal设备上做EAD认证,这种组网方式对现场改动小,策略灵活(仅将需要认证的流量策略路由到portal设备上,不需要认证的流量可以正常通过网关转发)
2-10word格式支持编辑,如有帮助欢迎下载支持。
文档从互联网中收集,已重新修正排版,word格式支持编辑,如有帮助欢迎下载支持。
组网说明
身份认证采用portal认证
一般采用下线的方式即可实现将终端用户放入隔离区来实现EAD?
Portal设备的具体型号请参考EAD的版本说明书
网关设备需要支持策略路由
终端用户与iMC之间不能有NAT?
终端用户到iMC的流量一定要经过portal设备,不能出现终端用户不经过portal设备直接访问iMC的情况,否则portal认证会异常。
2.串接方式
如果网关设备不支持策略路由,可以将Portal设备串接在网关与出口路由器之间。
2-11word格式支持编辑,如有帮助欢迎下载支持。
文档从互联网中收集,已重新修正排版,word格式支持编辑,如有帮助欢迎下载支持。
组网说明:
身份认证采用portal认证
一般采用下线的方式即可实现将终端用户放入隔离区来实现EAD?
Portal设备的具体型号请参考EAD的版本说明书
终端用户与iMC之间不能有NAT?
终端用户到iMC的流量一定要经过portal设备,不能出现终端用户不经过portal设备直接访问iMC的情况,否则portal认证会异常。
2.3L2TPVPNEAD终端用户身份认证采用l2tp方式,EAD通过二次acl下发到安全联动网关来实现EAD。
2-12word格式支持编辑,如有帮助欢迎下载支持。
文档从互联网中收集,已重新修正排版,word格式支持编辑,如有帮助欢迎下载支持。
组网说明:
终端用户采用l2tp方式做身份认证
如果需要安全性防护可以采用l2tpoverIPSec的方案
二次acl下发均下发到安全联动VPN网关上,网关的具体型号请参考EAD版本说明书
2.4无线EAD无线EAD目前只支持Portal方式的EAD,不支持基于802.1x认证方式的EAD。
2-13word格式支持编辑,如有帮助欢迎下载支持。
文档从互联网中收集,已重新修正排版,word格式支持编辑,如有帮助欢迎下载支持。
组网说明:
AC除了完成AP的注册及控制外,同时起用portal认证
一般采用下线的方式即可实现将终端用户放入隔离区来实现EAD?
支持EAD
AC的具体型号请参考EAD的版本说明书
终端用户与iMC之间不能有NAT?
终端用户到iMC的流量一定要经过portal设备,不能出现终端用户不经过portal设备直接访问iMC的情况,否则portal认证会异常。
由于AC转发性能的考虑,用户的网关不要设在AC上
3工程界面说明
一个典型的EAD解决方案实施包含如下四部分内容,由于涉及到客户的具体业务及第三方的产品,有些内容需要客户配合完成。此处对EAD各部分内容部署时的工程分工界面说明如下:
3-14word格式支持编辑,如有帮助欢迎下载支持。
文档从互联网中收集,已重新修正排版,word格式支持编辑,如有帮助欢迎下载支持。
iMC服务器安装及调试
第三方厂家产品对接
安全联动设备调试
iNode客户端部署
3.1实施方负责完成的工作:
1.服务器操作系统及数据库安装
2.iMC平台及各组件的安装及部署
3.账号方案建议
4.EAD解决方案安全策略建议
5.与第三方厂家产品对接时iMC侧调试工作
6.安全联动设备EAD相关的配置及调试
7.iNode部署方案建议
8.部署过程中问题解决
9.EAD解决方案业务培训
3-15word格式支持编辑,如有帮助欢迎下载支持。
文档从互联网中收集,已重新修正排版,word格式支持编辑,如有帮助欢迎下载支持。
3.2客户方负责完成的工作
1.提供符合EAD要求的服务器
2.提供正版的操作系统及数据库软件
3.提供开通EAD业务相关的资料,如账号信息,桌面资产编号。
4.在与非H3C设备配合实现EAD时,对非H3C设备能协调提供必要的技术支持
5.在与第三方厂家产品如LDAP服务器对接时,提供这些产品的技术支持
6.配合完成iNode客户端的安装
7.具体业务(如开户,桌面资产管理、可控软件定义、软件补丁定义)的执行。
4测试方案
为了保证业务软件产品安装后正常稳定的运行,需要进行相关的测试,测试的内容包括:
4.1iMC进程情况
测试目的遵循标准
测试设计
测试条件
测试过程
验证H3CiMC各进程启动后是否正常
无
通过iMC部署监控代理各进程的运行情况
1、iMC服务器平台及相关组件已正常安装并部署;
1、登陆iMC服务器
2、在“开始”-“程序”-“H3C智能管理中心”-“H3C部署监控代理”中启动H3C部署监控代理
3、在“监控”tab页面上点击“启动iMC”
4、在进程而面观察所有进程是否都正常启动
预期结果
其它说明和注意事项
实测结果
1、所有进程启动正常
无
?OK
?POK
?NG
?NT
4.2iMC配置管理台
测试目的遵循标准
测试设计
测试条件
验证H3CiMC配置管理台能否正常登陆
无
通过web网页能否正常访问iMC配置管理台并进行相关配置
1、iMC服务器平台及相关组件已正常安装并部署
2、web浏览器所在的PC机与iMC服务器路由可达
4-16word格式支持编辑,如有帮助欢迎下载支持。
文档从互联网中收集,已重新修正排版,word格式支持编辑,如有帮助欢迎下载支持。
测试过程
1、在web浏览器中输入http://iMC_iP:80802、使用默认的admin/admin用户名及密码进行登陆
预期结果
1、可以正常的登陆iMC的配置管理台
2、可以配置相关的功能,无报错。
其它说明和注意事项
1、iMC默认的前台登陆端口为8080,此端口可以在安装时更改,请以实际的端口为准。
2、如果该web浏览器第一次登陆,部分功能需要安装javaTM才能实现。
实测结果
?OK
?POK
?NG
?NT
4.3iMC版本及license情况
测试目的遵循标准
测试设计
测试条件
验证H3CiMC版本及license数量是否正确
无
在系统的“帮助”-“关于”中已正确显示iMC的版本及license数量
1、iMC服务器平台及相关组件已正常安装并部署
2、web浏览器所在的PC机与iMC服务器路由可达
测试过程
1、使用管理员(默认为admin/admin)用户名及密码登陆iMC2、点击“帮助”-“关于”察看iMC的版本及license情况
预期结果
1、已安装了正确的iMC版本
2、已注册了正确的license及数量、有效期。
其它说明和注意事项
实测结果
无
?OK
?POK
?NG
?NT
以下测试例仅EAD使用
4.4EAD身份认证
测试目的遵循标准
测试设计
测试条件
验证EAD身份认证是否正常
无
EAD身份认证功能正常使用
1、iMC服务器平台及UAM,EAD组件已正常安装并部署
2、iMC中创建了相关的账号并申请了服务
3、设备身份认证协议(802.1x/portal/l2tp)相关配置正确
4、iNode客户端已安装
测试过程
预期结果
其它说明和注意事项
实测结果
1、在iNode客户端中创建相关的认证连接并认证
1、身份认证成功
无
?OK
?POK
?NG
?NT
4-17word格式支持编辑,如有帮助欢迎下载支持。
文档从互联网中收集,已重新修正排版,word格式支持编辑,如有帮助欢迎下载支持。
4.5EAD安全检查
测试目的遵循标准
测试设计
测试条件
验证EAD安全检查是否正常
无
EAD安全检查功能正常使用
1、iMC服务器平台及UAM,EAD组件已正常安装并部署
2、iMC中创建了相关的账号并申请了服务,服务中含有安全策略
3、设备身份认证协议(802.1x/portal/l2tp)相关配置正确
4、iNode客户端已安装
测试过程
预期结果
1、在iNode客户端中创建相关的认证连接并认证
1、身份认证成功
2、身份认证后iNode开始按iMC服务器上是策略进行安全检查。
其它说明和注意事项
实测结果
无
?OK
?POK
?NG
?NT
注:验收结论说明:
OK:验收结果全部正确
POK:验收结果大部分正确
NG:验收结果有较大的错误
NT:由于各种原因本次无法验收
4-18word格式支持编辑,如有帮助欢迎下载支持。
篇四:网络改造实施方案
网络改造实施方案
一.网络物理连接图
二.
准备工作
1.
机房环境准备
机房装修完成后,网络的实施才能够开展进行,所以在我们开展准备和实施工作以定,机房装修一定要完成
机房空调、温度、灯光照明应能满足机房需求,安装完空调设备后应该能满足
温度和湿度的需求
机柜给设备供电的电源接口应该为中国国家标准接口,该PDU提供至少为2台Ciscocatalyst3750G、2台ASA5520、5台Ciscocatalyst、1台Cisco3845、2台Cisco2821、1台Cisco1831提供2000W电源容量
机柜空间,需要提供800X600长度的网络机柜,所有网络设备需要至少20U,设备与设备中间留有1U散热空间,一共需要30U网络机柜空间
机房机柜、电源应按国家防雷接地标准做好防雷接地工作,如果没有做防雷接地工作可能会对我们上线的设备造成破坏
2.
线路准备
在装修机房的同时,我们可以同步进行申请网络专线,包括2MPrimaryInternet、TelecomISDNPRI、8MMPLS线路,在机房装修完成的同时,专线也应该进入机房内,并做好连通测试
3.
设备加电测试
在实施方案之前需要对新购的网络硬件进行可用性测试,包括新设备Cisco3845、Cisco2821、Cisco1841、ASA5520防火墙、CiscoCataylst3750G、CiscoCataylst2960交换机及其Vwic-2MFT-E1、NM-1T3/E3模块等硬件的加电测试,确认正式实施时这些设备能正常上线使用。
4.
光纤和跳线
准备好交换机与交换机、交换机与路由器、专线线路的光端机到配线架的光纤跳线等等。
主干线路核心交换机3750G—2960、3750G—路由器之间要准备6类双绞线。
根据配线架的上光纤接口准备专线线路的光端机到配线架的光纤跳线。
5.
其它环境准备
其它应该在实施前准备好的工作还包括DHCP服务器、IP地址规划、路由规划、网络管理电脑等等准备工作。
三.时间安排
根据我们的方案和客户需要网络规模,我们将按如下安排时间和进度,如果所有条件都能准备好,我们估计需要10个工作日完成整个实施方案,具体工作时间视用户机房等条件而定。
网络实施方案讨论
准备工作
(0.5天)
(3天)
(0.5天)
(1.5天)
(1天)
(0.5天)
(0.5天)
(0.5天)
(2天)
网络交换机物理连通
网络设备整合配置
全功能测试、故障排除
进行网络性能测试
进行网络安全性测试
网络优化、管理软件安装
管理员培训
三.
实施步骤
1.网络切换方案讨论
在进行切换之前,我们将会进行切换前的全面讨论以确定最终的切换方案是否可行,我们需要对如下几个方面的内容进行讨论:
准备工作是否完成
网络物理连接图及设备上架安装位置
确定IP地址规划和路由
交换机设备端口分配
方案实施人员安排,包本地和远方其它点的人员安排
网络切换中可能遇到的问题和替代方案
其它未考虑周详和有疑问的地方
讨论时间安排是否得当
及其它网络安全策略等等
2.网络设备硬件上架加电
本阶段的主要工作是把网络设备按客户要求安装在指定机柜的位置上,并能正常通电工作。
将NM-1T3/E3安装到Cisco3845NM网络插槽
将VWIC-2MFT-E1安装到Cisco3845VWIC接口
将两台Cisco3750G-48TS-S做堆叠连接
按用户要求将交换机、路由器、防火墙安装到指定机柜的位置
做好个个网络硬件设备的防雷接地
按规划好的IP地址方案配置设备接口、管理IP地址、管理员密码、用户名
做基本的连通测试,测试端口模块是否是能正常使用
3.网络设备整合配置
配置Cisco3750与Cisco2960的TRUNK、VTP、划分VLAN、接入端口、路由
配置ASA5520防火墙的配置策略、访问权限控制、主/备双机冗余的配置
配置Cisco3845与其它点的MPLS-VPN配置、路由配置
配置Cisco2821上网策略、路由配置、权限控制
配置Cisco1841上网策略、路由配置、权限控制、与其它点的VPN?
配置Cisco2821VOIP配置、路由配置
4.系统测试
a)功能测试
全网络完成上架配置实施后,我们首先进行的是全网的功能性测试,保证我们实施的网络方案按客户需要完成,我们要进行的功能性测试包括以下方面:
测试局域网络是否正常访问,包括访问内部网络、正常打印、VOIP正常通话、共享文件
测试广域网络是否正常访问,包括访问内部网络、正常打印、VOIP正常通话、共享文件
Cisco3845与Cisco2821的Internet线路互为备份测试
Cisco3845与Cisco2821的专线路互为备份测试
ASA5520防火墙A/S冗余测试,测试两台是否能正常做双机热备切换,模拟当一台故障时能否切换到另外一台
测试能否按客户的需要访问Internet,以及测试访问Internet的质量
测试网络设备是否远程监控和远程管理
路由收敛测试,测试个个测试之间的路由收敛时间,保证网络产生变化时能在最短的时候内恢复正常通讯
稳定性测试,对设备进行多次关机/断电,保证设备能在正常和非正常断电的情况下能恢复到正常工作状态
b)性能测试
我们实施的方案在完成客户需求的功能同时,必须保证网络的性能。目前网络互联设备的性能测试主要集中在设备网络层面的性能测试,测试的标准通常采用业界较广泛认可的RFC标准,包括RFC1242,RFC2544,RFC2885,RFC2889等,其中RFC2544定义了网络互联设备最基本的基准性能测试指标,主要测试内容包括:
测试局域网丢包率(Framelossrate),广域网络丢包率,在一定负载下,被测设备丢失数据包的比例
测试局域网时延(Latency),MPLS广域网络时延,测试数据包通过被测设备所需要的时间
测试局域网的吞吐量(Throughput),在不发生数据包丢失情况下,被测设备能够支持的最大传输速率。利用一台服务器共享文件,其余电脑到这台服务器上拷贝文件,测试局域网内达到的带宽
测试广域网的吞吐量(Throughput),在美国或者其它地方利用一台服务器共享文件,其余电脑到这台服务器上拷贝文件,测试广域网内达到的带宽
错误包测试,利用抓数据包工具捕捉访问网络的数据包,并分析这些数据是否正常有无丢包重新传输的情况,分析数据包的正确性
网络广播包测试,利用抓数据包工具捕捉访问网络的数据包,分析局域网内广播数据包的数据是否正常
测试突发数据包,在最大速率下,在不发生数据包丢失前提下被测设备可以接收的最大突发数据包(Burst)的数目
除了上述基准性能测试外,在IP网络环境中,如果要考察网络互联设备的交换性能、路由性能还需要参照RFC2889,RFC1771,RFC2328等标准进行测试。
c)
网络安全性测试
测试网络设备的安全性,为了提高网络设备的安全性,利用漏洞扫描和密码破解程序对网络设备进行扫描,确保网络设备无安全隐患
测试网络的安全性,为了提高网络的安全性,利用漏洞扫描在局域网和Internet对网络设备进行漏洞扫描,确保网络无安全隐患
测试MPLS的安全性,采用交叉互ping的方法测试。在未禁止ICMP流量和防火墙的条件下,轮流地在两地的各个网段上ping对方的各个网段,利用返回的ICMP包验证两异地的连通性。测试的显示信息均为“Requesttimedout”,说明两异地之间的数据是隔离的?
在两地的各个网段上ping骨干网路由器P。测试显示信息均为“Requesttimedout”,说明MPLSVPN的私网信息在骨干网上是透明传输的,从而保证了用户数据不会外泄
在P路由器上只有全局路由信息,用于保证骨干网的通信,而没有VPN私网路由信息,不和CE直接通信
5.网络优化、管理软件安装
在全功能测试通过以后,我们会对上海西文的网络进行全面优化,保证网络的性能是最佳最优的。
改进不合理的节点和连接设备;
个性化设置,网络访问控制等等;
网络安全检查;
优化上网控制;
优化交换机性能;
安装网络管理软件;
安装网络故障排查工具;
对设备做好标识;
对网络设备接口、物理连接线路做好标识。
五.网络管理培训
网络按方案全部实施完成并且通过测试以后,我们将会对网络管理人员进行系统培训,以后管理员将可自行管理网络中的交换机和故障排查,主要培训内容包括:
网络通讯原理
网络的分类
网络互联的硬件、线路
网络中的设备和线路实现冗余备份,路由器、交换机的热备份
规划IP地址
路由器的功能
交换机的功能
提升网络性能、优化网络、安全性
管理配置路由器、交换机
网络故障排除、常用工具使用
网络配置实验,包括路由器、交换机、防火墙的配置
六.完整的设备配置
1.核心交换机CiscoCataylst3750G配置
3750G_Captial#Buildingconfiguration...Currentconfiguration:7108bytes!!Lastconfigurationchangeat10:33:57GMTSunJun212009bycisco!NVRAMconfiglastupdatedat18:45:53GMTFriJun192009bycisco!
version12.2noservicepadservicetimestampsdebuguptimeservicetimestampslogdatetimenoservicepassword-encryption!hostname3750_30F_A/B!boot-start-markerboot-end-marker!enablesecret5$1$zHgD$eqqeUkSFvl6LnEjS7dVfN1!usernameciscopassword0ciscoaaanew-model!!aaaauthenticationlogindefaultlocalaaaauthenticationdot1xdefaultgroupradiusaaaauthorizationnetworkdefaultgroupradius
!!!aaasession-idcommonclocktimezoneGMT8switch1provisionws-c3750g-48tsswitch2provisionws-c3750g-48tssystemmturouting1500ipsubnet-zero!
!!!cryptopkitrustpointTP-self-signed-296165184enrollmentselfsigned
subject-namecn=IOS-Self-Signed-Certificate-296165184revocation-checknone
rsakeypairTP-self-signed-2961651840!!cryptopkicertificatechainTP-self-signed-296165184certificateself-signed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
5812036BC9096C6CD6ACCF67781D60B684A2AF4FBE3E513BA6221591906BC50B
DA250203010001A36D306B300F0603551D130101FF040530030101FF
30180603551D110411300F820D333735305F3330465F412F422E301F0603551D230418316801451656587E867DCD49CDFDA47210BE9BDDA7F0BAA301D0603551D0E0416041451656587E867DCD49CDFDA47210BE9BDDA7F0BAA300D06092A864886F70D
01010405000381810076135A5C1E2E4693489915550DF3B56C8266169D5CA9EE
77F7B10281A0497A5B37EBA4601330B0AEE11FDCBDF23D4B91F01859C64D9512F87A3C8CA77D8DF7BED7DA4F75D53D5A5BB11BB8EC86B91D56713C09E6BFFEBE
6267497CDE91DA0A5135FF7D8FD0FB730E67C42E2E1507332CF911E5A3C03CA4755E36A1BF86E69EA
quitdot1xsystem-auth-control!!!!!spanning-treemodepvstspanning-treeextendsystem-id!vlaninternalallocationpolicyascending!ipsshversion1!!
interfaceGigabitEthernet1/0/1!interfaceGigabitEthernet1/0/2!interfaceGigabitEthernet1/0/3!
interfaceGigabitEthernet1/0/4!interfaceGigabitEthernet1/0/5!interfaceGigabitEthernet1/0/6!interfaceGigabitEthernet1/0/7!interfaceGigabitEthernet1/0/8!interfaceGigabitEthernet1/0/9!interfaceGigabitEthernet1/0/10!interfaceGigabitEthernet1/0/11!interfaceGigabitEthernet1/0/12!interfaceGigabitEthernet1/0/13!interfaceGigabitEthernet1/0/14!interfaceGigabitEthernet1/0/15!
11interfaceGigabitEthernet1/0/16!interfaceGigabitEthernet1/0/17!interfaceGigabitEthernet1/0/18!interfaceGigabitEthernet1/0/19!interfaceGigabitEthernet1/0/20!interfaceGigabitEthernet1/0/21!interfaceGigabitEthernet1/0/22!interfaceGigabitEthernet1/0/23!interfaceGigabitEthernet1/0/24!interfaceGigabitEthernet1/0/25!interfaceGigabitEthernet1/0/26!interfaceGigabitEthernet1/0/27!interfaceGigabitEthernet1/0/28!interfaceGigabitEthernet1/0/29!interfaceGigabitEthernet1/0/30!
12interfaceGigabitEthernet1/0/31!interfaceGigabitEthernet1/0/32!interfaceGigabitEthernet1/0/33!interfaceGigabitEthernet1/0/34!interfaceGigabitEthernet1/0/35!interfaceGigabitEthernet1/0/36!interfaceGigabitEthernet1/0/37!interfaceGigabitEthernet1/0/38!interfaceGigabitEthernet1/0/39!interfaceGigabitEthernet1/0/40!interfaceGigabitEthernet1/0/41!interfaceGigabitEthernet1/0/42!interfaceGigabitEthernet1/0/43!interfaceGigabitEthernet1/0/44!interfaceGigabitEthernet1/0/45!
13interfaceGigabitEthernet1/0/46!interfaceGigabitEthernet1/0/47!interfaceGigabitEthernet1/0/48!interfaceGigabitEthernet1/0/4switchporttrunkencapsulationdot1q
switchportmodetrunk
channel-group3modeon!interfaceGigabitEthernet1/0/5switchporttrunkencapsulationdot1q
switchportmodetrunk!interfaceGigabitEthernet1/0/51switchporttrunkencapsulationdot1q
switchportmodetrunk!interfaceGigabitEthernet1/0/52switchporttrunkencapsulationdot1q
switchportmodetrunk!interfaceGigabitEthernet2/0/1!interfaceGigabitEthernet2/0/2!interfaceGigabitEthernet2/0/3!interfaceGigabitEthernet2/0/414!interfaceGigabitEthernet2/0/5!interfaceGigabitEthernet2/0/6!interfaceGigabitEthernet2/0/7!interfaceGigabitEthernet2/0/8!interfaceGigabitEthernet2/0/9!interfaceGigabitEthernet2/0/10!interfaceGigabitEthernet2/0/11!interfaceGigabitEthernet2/0/12!interfaceGigabitEthernet2/0/13!interfaceGigabitEthernet2/0/14!interfaceGigabitEthernet2/0/15!
interfaceGigabitEthernet2/0/16!interfaceGigabitEthernet2/0/17!interfaceGigabitEthernet2/0/18!interfaceGigabitEthernet2/0/115!interfaceGigabitEthernet2/0/20!interfaceGigabitEthernet2/0/21!interfaceGigabitEthernet2/0/22!interfaceGigabitEthernet2/0/23!interfaceGigabitEthernet2/0/24!interfaceGigabitEthernet2/0/25!interfaceGigabitEthernet2/0/26!interfaceGigabitEthernet2/0/27!interfaceGigabitEthernet2/0/28!interfaceGigabitEthernet2/0/29!interfaceGigabitEthernet2/0/30!interfaceGigabitEthernet2/0/31!interfaceGigabitEthernet2/0/32!interfaceGigabitEthernet2/0/33!interfaceGigabitEthernet2/0/3416!interfaceGigabitEthernet2/0/35!interfaceGigabitEthernet2/0/36!interfaceGigabitEthernet2/0/37!interfaceGigabitEthernet2/0/38!interfaceGigabitEthernet2/0/39!interfaceGigabitEthernet2/0/40!interfaceGigabitEthernet2/0/41!interfaceGigabitEthernet2/0/42!interfaceGigabitEthernet2/0/43!interfaceGigabitEthernet2/0/44!interfaceGigabitEthernet2/0/45!interfaceGigabitEthernet2/0/46!interfaceGigabitEthernet2/0/47!interfaceGigabitEthernet2/0/48!interfaceGigabitEthernet2/0/41switchporttrunkencapsulationdot1q
switchportmodetrunk!interfaceGigabitEthernet2/0/50switchporttrunkencapsulationdot1q
switchportmodetrunk!interfaceGigabitEthernet2/0/51switchporttrunkencapsulationdot1q
switchportmodetrunk!interfaceGigabitEthernet2/0/52switchporttrunkencapsulationdot1q
switchportmodetrunk!interfaceVlan1ipaddress192.168.1.1255.255.255.0!interfaceVlan2ipaddress192.168.2.1255.255.255.0!interfaceVlan3ipaddress192.168.3.1255.255.255.0!ipclasslessiphttpserveriphttpsecure-server!!loggingtrapdebugging
1logging192.168.1.100control-plane!!linecon0linevty04passwordciscolinevty515passwordcisco!ntpclock-period36029081ntpserver10.1.1.1end
2.路由器Cisco3845配置
3845#shrunBuildingconfiguration...
Currentconfiguration:12100bytes!version12.4noparsercacheservicetimestampsdebuguptimeservicetimestampsloguptimeservicepassword-encryption!hostnamesz3845!boot-start-markerboot-end-marker
1!loggingbuffered4096informationalenablepasswordcisco!noaaanew-modelnonetwork-clock-participateslot4voice-cardnodspfarm!voice-card4dspfarm!ipcef!!!!ipauth-proxymax-nodata-conns3ipadmissionmax-nodata-conns3!isdnswitch-typeprimary-qsig!!!!!
!!!!2!!!!cryptopkitrustpointTP-self-signed-3862081882enrollmentselfsigned
subject-namecn=IOS-Self-Signed-Certificate-3862081882revocation-checknone
rsakeypairTP-self-signed-3862081882!!cryptopkicertificatechainTP-self-signed-3862081882certificateself-signed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
A70F6ECBC4C0F378F630491A60C2B41E716E91BE8C9E4641FC49CBD8A9F163B68BCD9449895618368AA1452A82A6A2166D2CD5F8D552CBEEF5AAA7C8CE82E004125F0203010001A371306F300F0603551D130101FF040530030101FF301C060321551D11041530138211737A333834352E626F736572612E636F6D301F0603551D
23041830168014DA29FDC3BEF58A79BD8E2D7467A044DB27D6FB2E301D0603551D0E04160414DA29FDC3BEF58A79BD8E2D7467A044DB27D6FB2E300D06092A864886F70D0101040500038181003B5D0763D8C8D4D5CD597E07771D6A07933C1A
8C37C36D4CBDCE27DA8F061668FF9D0D61D01D7FA0B5C9A9CAE683C600CBBC339B89D7328F07FB4121191F9296460B59B75D639E2CC2670C5946E38E002E4C76551AFC6854CF5B73F59127778ADD0BA44B13D2447987B33E834343BD0F80B0AE
9C1C72123FAF57868AEAFCAE6quit!!cardtypee31controllerE31/0!!interfaceGigabitEthernet0/descriptionLAN-SZ$ETH-LAN$
ipaddress192.168.1.10255.255.255.duplexauto
speedauto
media-typerj45!interfaceGigabitEthernet0/122descriptionToMpls_VPN
ipaddress211.139.168.186255.255.255.252ipflowingress
ipflowegress
duplexauto
speedauto
media-typerj45!interfaceSerial1/ipaddress10.0.0.6255.255.255.encapsulationppp
nokeepalive
dsubandwidth3401nocdpenable!routereigrp10network192.168.1.noauto-summary
noeigrplog-neighbor-changes!
iproute211.139.144.201255.255.255.255211.139.168.185!ipflow-top-talkers
top2sort-bybytes!noiphttpserveriphttpauthenticationlocaliphttpsecure-server
23!
!!linecon0lineaux0linevty015passwordcisco!end3.
路由器Cisco2821配置
Cisco_2821#shrunBuildingconfiguration...
Currentconfiguration:12100bytes!version12.4noparsercacheservicetimestampsdebuguptimeservicetimestampsloguptimeservicepassword-encryption!hostnameCisco_2821!boot-start-markerboot-end-marker!loggingbuffered4096informationalenablepasswordcisco24!noaaanew-modelnonetwork-clock-participateslot4voice-cardnodspfarm!voice-card4dspfarm!ipcef!!!!ipauth-proxymax-nodata-conns3ipadmissionmax-nodata-conns3!isdnswitch-typeprimary-qsig!!!!!cryptopkitrustpointTP-self-signed-3862081882enrollmentselfsigned
subject-namecn=IOS-Self-Signed-Certificate-3862081882revocation-checknone
rsakeypairTP-self-signed-3862081882!!
25cryptopkicertificatechainTP-self-signed-3862081882certificateself-signed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
A70F6ECBC4C0F378F630491A60C2B41E716E91BE8C9E4641FC49CBD8A9F163B68BCD9449895618368AA1452A82A6A2166D2CD5F8D552CBEEF5AAA7C8CE82E004125F0203010001A371306F300F0603551D130101FF040530030101FF301C0603551D11041530138211737A333834352E626F736572612E636F6D301F0603551D
23041830168014DA29FDC3BEF58A79BD8E2D7467A044DB27D6FB2E301D0603551D0E04160414DA29FDC3BEF58A79BD8E2D7467A044DB27D6FB2E300D06092A864886F70D0101040500038181003B5D0763D8C8D4D5CD597E07771D6A07933C1A
8C37C36D4CBDCE27DA8F061668FF9D0D61D01D7FA0B5C9A9CAE683C600CBBC339B89D7328F07FB4121191F9296460B59B75D639E2CC2670C5946E38E
26002E4C76551AFC6854CF5B73F59127778ADD0BA44B13D2447987B33E834343BD0F80B0AE
9C1C72123FAF57868AEAFCAE6quit!!!interfaceGigabitEthernet0/descriptionTo_ASA552ipaddress172.16.0.1255.255.255.duplexauto
speedauto
media-typerj45!interfaceGigabitEthernet0/1descriptionToInternet
ipaddress202.111.133.133ipflowingress
ipflowegress
duplexauto
speedauto
media-typerj45!routereigrp10network172.16.0.0255.255.255.noauto-summary
noeigrplog-neighbor-changes!
2iproute0.0.0.00.0.0.0211.111.133.132!ipflow-top-talkers
top2sort-bybytes!noiphttpserveriphttpauthenticationlocaliphttpsecure-server!
!!linecon0lineaux0linevty015passwordcisco!end
4.
ASA5520防火墙配置
ASA5540ACT#shrun:Saved:ASAVersion8.0(4)
!hostnameASA5540ACTdomain-nameXXX.captial.comenablepasswordcisco2passwdcisco
names!interfaceGigabitEthernet0/nameifoutside
security-levelipaddress172.16.0.2255.255.255.0!interfaceGigabitEthernet0/1nameifinside
security-level10ipaddress192.168.1.9255.255.255.!interfaceGigabitEthernet0/2nameifdmz
security-level5ipaddress172.16.1.1255.255.255.!interfaceGigabitEthernet0/3descriptionLANFailoverInterface!interfaceManagement0/descriptionSTATEFailoverInterface!bootsystemdisk0:/asa804-k8.binftpmodepassiveclocktimezonegmt8dnsserver-groupDefaultDNS
domain-namebosera.comaccess-listtraffic_for_ipsextendedpermitipanyany
2pagerlines24loggingenableloggingbufferederrorsloggingtrapdebuggingmtuoutside1500mtuinside1500mtudmz1500failoverfailoverlanunitprimaryfailoverlaninterfacefailoverGigabitEthernet0/3failoverlinkstateManagement0/0failoverinterfaceipfailover1.1.1.1255.255.255.0standby1.1.1.2failoverinterfaceipstate2.2.2.1255.255.255.0standby2.2.2.2icmpunreachablerate-limit1burst-size1icmppermithost192.168.100.254outsideasdmimagedisk0:/asdm-615.binnoasdmhistoryenablearptimeout14400global(outside)1192.168.1.9global(dmz)1interfacenat(inside)10.0.0.00.0.0.0nat(dmz)10.0.0.00.0.0.0!routereigrp10noauto-summary
network192.168.1.0255.255.255.redistributestatic!
routeoutside0.0.0.00.0.0.0202.111.134.100timeoutxlate3:00:03timeoutconn1:00:00half-closed0:10:00udp0:02:00icmp0:00:02timeoutsunrpc0:10:00h3230:05:00h2251:00:00mgcp0:05:00mgcp-pat0:05:00timeoutsip0:30:00sip_media0:02:00sip-invite0:03:00sip-disconnect0:02:00timeoutsip-provisional-media0:02:00uauth0:05:00absolutedynamic-access-policy-recordDfltAccessPolicynac-policyDfltGrpPolicy-nac-framework-createnac-framework
reval-period3600sq-period300aaaauthenticationhttpconsoleLOCAL
aaaauthenticationsshconsoleLOCAL
httpserverenablenosnmp-serverlocationnosnmp-servercontactsnmp-serverenabletrapssnmpauthenticationlinkuplinkdowncoldstartserviceresetoutsidecryptoipsecsecurity-associationlifetimeseconds28800cryptoipsecsecurity-associationlifetimekilobytes4608000telnettimeout5sshtimeout10sshversion1consoletimeout0threat-detectionbasic-threatthreat-detectionstatisticsaccess-listnothreat-detectionstatisticstcp-interceptntpserver10.1.1.1usernameadminpasswordcisco!class-mapinspection_default
matchdefault-inspection-trafficclass-mapips_class_map
31matchaccess-listtraffic_for_ips!!policy-maptypeinspectdnspreset_dns_map
parameters
message-lengthmaximum512policy-mapglobal_policy
classinspection_default
inspectdnspreset_dns_map
inspectftp
inspecth323h225inspecth323ras
inspectnetbios
inspectrsh
inspectrtsp
inspectskinny
inspectesmtp
inspectsqlnet
inspectsunrpc
inspecttftp
inspectsip
inspectxdmcp
classips_class_map
ipsinlinefail-open!service-policyglobal_policyglobalprompthostnamecontext
Cryptochecksum:8163681d30499a353aa6a93de1ea58d4:end
32SZASA5540_Sec#shrun:Saved:ASAVersion8.0(4)
!hostnameASA5540_Secenablepasswordciscopasswdcisco
namesdns-guard!interfaceGigabitEthernet0/nonameif
nosecurity-level
noipaddress!interfaceGigabitEthernet0/1nonameif
nosecurity-level
noipaddress!interfaceGigabitEthernet0/2nonameif
nosecurity-level
noipaddress!interfaceGigabitEthernet0/3descriptionLANFailoverInterface!
33interfaceManagement0/descriptionSTATEFailoverInterface!ftpmodepassivepagerlines24loggingasdminformationalfailoverfailoverlanunitsecondaryfailoverlaninterfacefailoverGigabitEthernet0/3failoverlinkstateManagement0/0failoverinterfaceipfailover1.1.1.1255.255.255.0standby1.1.1.2failoverinterfaceipstate2.2.2.1255.255.255.0standby2.2.2.2icmpunreachablerate-limit1burst-size1noasdmhistoryenablearptimeout14400timeoutxlate3:00:00timeoutconn1:00:00half-closed0:10:00udp0:02:00icmp0:00:02timeoutsunrpc0:10:00h3230:05:00h2251:00:00mgcp0:05:00mgcp-pat0:05:00timeoutsip0:30:00sip_media0:02:00sip-invite0:03:00sip-disconnect0:02:00timeoutsip-provisional-media0:02:00uauth0:05:00absolutedynamic-access-policy-recordDfltAccessPolicyhttpserverenablenosnmp-serverlocationnosnmp-servercontactsnmp-serverenabletrapssnmpauthenticationlinkuplinkdowncoldstartcryptoipsecsecurity-associationlifetimeseconds28800cryptoipsecsecurity-associationlifetimekilobytes4608000telnettimeout5sshtimeout5consoletimeout34threat-detectionbasic-threatthreat-detectionstatisticsaccess-listnothreat-detectionstatisticstcp-intercept!class-mapinspection_default
matchdefault-inspection-traffic!!policy-maptypeinspectdnsmigrated_dns_map_1parameters
message-lengthmaximum512policy-mapglobal_policy
classinspection_default
inspectdnsmigrated_dns_map_1inspectftp
inspecth323h225inspecth323ras
inspectrsh
inspectrtsp
inspectesmtp
inspectsqlnet
inspectskinny
inspectsunrpc
inspectxdmcp
inspectsip
inspectnetbios
inspecttftp
!service-policyglobal_policyglobalprompthostnamecontext
35Cryptochecksum:a87e5177e75682a2b179f0fc17ec8823:end
36
- 相关文章
-