网络改造实施方案

网络改造实施方案

大厦服务部网络改造实施方案

strong部

现状概述

服务部与服务部在大厦五层设有4间办公室508、509、510、511，洽谈室2个，会议室一个。共有网络信息点132个，语音信息点20个，在508房间设有网络设备间一个，H3C5500数据汇聚交换机1台，H3C5120接入交换机2台，华为5300语音接入交换机2台，通过广域网代理服务器访问internet。

网络核心设备放置在六层网络机房，五层数据接入设备通过单模光纤双上连到两台数据核心交换机上，语音接入交换机通过千兆单模光纤连接到语音汇聚交换机上，

五层办公区数据网段为144.0/24，属于Vlan144，IP电话网段为124.0/24，属于Vlan400。

拓扑：

图：1

核心层：

核心层设备包括两台H3C7503交换机，通过单模光纤分别上连至广域网MSR5040路由器，采用VRRP技术将两台核心交换机虚拟为一台，保证链路的稳定性。

H3C7503交换机连接各汇聚交换机的端口采用trunk模式，可以使网络结构简单扩展性灵活，启用STP协议保证网络中没有环路。启用vlan112、vlan123、vlan144、vlan146、vlan147，作为数据Vlan；启用Vlan124作为语音Vlan，配置各vlan的网关地址；启用DHCP协议为终端PC机分配IP地址。

汇聚层：

汇聚层交换机为二层交换机采用单模光纤上连核心交换机，采用多模光纤连接接入交换机，端口模式为trunk模式，启用STP协议。

接入层：

接入层交换机为二层交换机，采用多模光纤上连至汇聚层交换机，端口模式为trunk，启用STP协议。

业务需求

服务部、服务部部分用户由于业务原因禁止访问Internet，但是需要访问内网，另外IP电话接口访问Internet的权限也要取消，只保留508房间和511房间两个洽谈室的Internet访问权限。

在不改变原有拓扑的情况下，可以采用在核心交换机上配置ACL禁止访问代理服务器的方法进行控制，目前大厦所有PC的IP地址均为DHCP自动分配地址，如果要对PC进行访问控制需手动指定IP地址。

针对以上解决方法需要对现有网络做出调整：

?重新分配五层办公区IP地址；

地址类型地址范围掩码网关DNS数量受控地址

非受控地址

?将PC机IP地址获取方法改为手动分配；?在核心交换机上配置Acl，控制五层办公区PC禁止访问代理服务器。

实施步骤一、征得领导同意后，向相关人员下发断网通知；二、在接入交换

机上将上联接口类型改为Access，vlanID为500:

[5500-F5-01-vlan500]quit

[5500-F5-01]interfaceGigatEthernet1/0/49[5500-F5-01-GigatEthernet1/0/52]portlink-typeaccess[5500-F5-01-

GigatEthernet1/0/52]portaccessvlan500三、在数据核心交换机上将连接汇聚交换机的G2/0/6接口类型改为Access，vlanID为500，配置IP地址作为网关：[CORE-DATA-7503E-01]vlan500[CORE-DATA-7503E-01-vlan500]quit[CORE-DATA-7503E-01]interfaceGigatEthernet2/0/6[CORE-DATA-7503E-01-GigatEthernet2/0/6]portlink-typeaccess[CORE-DATA-7503E-01-GigatEthernet2/0/6]portaccessvlan500[CORE-DATA-7503E-01-GigatEthernet2/0/6]quit[CORE-DATA-7503E-01]interfaceVlan-

interface500[CORE-DATA-7503E-01-Vlan-interface500]ipadd1四、在核心交换机上配置Acl源网段为目的地址为代理服务器，达到禁止该网段访问互联网但是可以访问内网的目的，并取消IP电话的DNS分配：

[CORE-DATA-7503E-01]aclnumber3000[CORE-DATA-7503E-01-acl-adv-3000]rule1denyipsource

destination0.0.0.0[CORE-DATA-7503E-01]interfaceGigatEthernet2/0/6[CORE-DATA-7503E-01-

GigatEthernet2/0/6]packet-filterinboundip-group3000[CORE-DATA-7503E-01-GigatEthernet2/0/6]quit[CORE-DATA-7503E-01-

GigatEthernet2/0/6]dhcpserverip-pooltel[CORE-DATA-7503E-01-dhcp-pool-tel]undodns-list

五、测试?在PC上配置IP地址，结果应只能访问内网，无法访问internet。

?将PC连接IP电话，结果应无法获得DNS地址。

存在的问题与建议

此方案不能从根本解决问题，如果员工使用自行搭建的代理服务器将不受ACL控制，需

要增加上网行为管理设备从应用层对终端进行管理才能做到完全控制。

应急预案?保存所有设备的配置并备份；?检查设备的电源情况预防配置过程断电；?测试失败安照原有配置回退。