项目需求及项目分析

项目需求

1、公司共有员工300人左右，人员分布在八个楼层，每楼层最多人数不超过50人，但只需做三个楼层；

2、公司分财务、人资、总经、后勤、信息、工程、审计、公会、总工等十个部门分散在各楼层；注：部门所在楼层不定，且存在跨楼层部门。

3、总部分内、外两个服务器区：

内服务器区提供FTP、多业务数据库等服务。内服务器区不仅为总部用户提供服务，还为广域网其他分支机构提供服务。为保障其服务稳定和安全性，要求其区域独立于总部用户区；

4、外服务器区提供DNS、WEB网站服务；

要求用户（含广域网用户）与内服务器区安全互访；用户安全访问internet;

注：只需做财务、人资、总经三个部门；服务器区只需实现FTP、DNS、WEB服务；

5、总部通过FW双路上联至互联网，要求实现负载均衡；

6、总部通过FW双路上联至广域网，要求总部与分支安全互访；

需求补充

        1、总部用户区与内服务区二层结构分离；

        2、公司共有信息点400个，各科室在三层中均有分布；

        3、设备放置：

一层为机房：放置配线架、网络设备、服务器；

二三层为配线间：放置配线架、网络设备；

        4、员工访问Internet流量，只需满足正常浏览网页即可；

           员工访问内部FTP服务器，互相传文件，限并发40人，每人限5M带宽；

        5、公司WEB服务器，对外提供公司简介与公司新闻等内容，可满足20人次同时并发打开，WEB服务器不设视频、动画等内容，以文字内容为主，内容量中等；

        6、公司DNS服务器，对外提供公司域名解析；

        7、安全主要考虑终端防护（使用360配套软件）和internet出口防火墙；防火墙对外只放行DNS/WEB服务器相应IP及应用。

网络设计方案

一、需求分析以及信息提取

1、首先看接入层，每层楼的人数不超过50人，而Cisco Catalyst接入层交换机最多有48个口，因此，为了避免接入点不够的情况，可以在每层楼内加装一台Cisco小型无线路由器；

2、在该项目中FTP服务器是比较关键的，安全级别较高，而且要求独立于总部用户区；因此，考虑为FTP单独分配两台汇聚层交换机，上联到核心交换机；

       为了保证总部内网用户可以安全的访问FTP，在内服务器区汇聚层上联链路上分别加装一台防火墙；

    而且用户对FTP服务器的访问流量很大，因此考虑使用传输速率更高的六类非屏蔽双绞线连接服务器；

       这样就保证了总部用户和广域网用户可以安全可靠的访问FTP；

3、DNS和WEB服务器需要为Internet用户提供服务，安全级别相对内网低，将其放于外服务器区；

4、总部通过 FW 双路上联至互联网，要求实现负载均衡。 internet 出口实现冗余，并正常情况下实现用户访问 internet 负载均衡。

5、总部通过 FW 双路上联至广域网，要求总部与分支安全互访。

6、防火墙对外只放行 DNS/WED 服务器相应 IP 及应用。

7、员工访问 internet 流量，只需满足正常浏览网页即可

公司 WEB 服务器，对外提供公司简介与公司新闻等内容，可满足 20 人次

同时并发打开，WEB 服务器不设视频、动画等内容，以文字内容为主，内容量中等；

     公司 DNS 服务器，对外提供公司域名解析；

由于公司的WEB服务器主要对外提供以文字为主，内容量中等并可满足20人同时并发打开的服务，根据此来选择租用的上行线路带宽与交换机的端口型号，如果按正常访问流量如每人提供100k则20人为2M。

而公司内部员工访问internet流量只需满足正常浏览网页，根据此来选择租用的下行线路总带宽与二层交换机端口型号.如有300人则每人提供100k则为30M。

公司FTP服务器对内提供正常访问流量，并发40人，每人限5M即上下行限200M，所以要加多ACL设置流量上线5M。

             在总盘考虑到公司规模，由于数据流量不小，所以建议在核心交换上加入一对核心路由器，用以专门处理三层的包流量转发，这样就不会造成核心交换的处理能力瓶颈，毕竟三层核心交换处理三层的能力有一定的限度。

二、设备选型

1、网络设备

（1）接入层：在终端用户区，每个楼层放置一台48口的Cisco Catalyst2906交换机，对于超出的用户先用Cisco的无线路由器来扩展接入；在服务器区，选用一台Cisco Catalyst3560交换机连接服务器（是否妥当？）；

（2）汇聚层：终端用户区和服务器区均采用两台Cisco Catalyst 4507R+E交换机；

（3）核心层：采用两台Cisco Catalyst 6509R+E核心交换机；

（4）防火墙：服务器区防火墙采用两台天融信。。。。；

             去往Internet的防火墙取用两台Cisco ASA5510；

             连接分支机构的防火墙采用两台天融信。。。。；

（5）Internet出口路由器选用两台Cisco 3800路由器；（有待商榷？？？）

（6）连接广域网的路由器选用两台Cisco 3800路由器；（有待商榷？？？）

（7）DMZ服务器区：选用一台Cisco Catalyst 6503核心交换机；

2、线缆选型

     （1）汇聚层交换机、核心层交换机之间互联均使用多模光纤；

     （2）FTP服务器连接接入层交换机使用六类非屏蔽双绞线；

     （3）跨楼层连接汇聚层交换机的线缆使用光纤；

     （4）水平布线使用超五类非屏蔽双绞线；