網(wǎng)絡(luò)建設(shè)方案項目報告ulti

PAGE16項目編號：20111220 文檔編號：V10臺灣積體電路制造股份有限公司信息基礎(chǔ)設(shè)施建設(shè)項目網(wǎng)絡(luò)實施方案編制： 完成日期：年月日審核： 審核日期：年月日批準(zhǔn)： 批準(zhǔn)日期：年月日張正超羅峻段宇張世杰聯(lián)合信息技術(shù)有限責(zé)任公司2011年12月20日TOC\o"1-9"\h\u一項目概述 3二項目建設(shè)內(nèi)容 41具體說明 42網(wǎng)絡(luò)系統(tǒng)規(guī)劃及設(shè)計方案闡述 4*臺積電公司網(wǎng)絡(luò)規(guī)劃拓?fù)鋱D 516960*臺積電公司綜合布線邏輯圖設(shè)計 57283*臺積電公司外網(wǎng)接入布線物理拓?fù)湓O(shè)計 65844*臺積電公司機房到各辦公區(qū)域布線設(shè)計 67155*臺積電公司機柜布線圖設(shè)計 83IP地址規(guī)劃表設(shè)計 9三技術(shù)白皮書 101核心系統(tǒng)交換機系統(tǒng)分配 102服務(wù)器地址 113出口路由配置 114路由器策略配置 125VPN配置 136交換機配置 137服務(wù)器配置方案 15四網(wǎng)絡(luò)維護(hù)方案設(shè)計 15五設(shè)備清單 16一項目概述臺灣積體電路制造股份有限公司（以下簡稱臺積公司）于1987年在新竹科學(xué)園區(qū)成立，是全臺第一家的專業(yè)集成電路制造服務(wù)公司。身為臺灣業(yè)界的創(chuàng)始者與領(lǐng)導(dǎo)者，臺積公司為業(yè)界提供最先進(jìn)的制程技術(shù)及擁有專業(yè)晶圓制造服務(wù)領(lǐng)域最完備的組件數(shù)據(jù)庫、知識產(chǎn)權(quán)、設(shè)計工具、及設(shè)計流程。當(dāng)今社會，信息化建設(shè)發(fā)展越來越快，科技產(chǎn)業(yè)不斷更新?lián)Q代，尤其是中國大陸，近幾十年發(fā)展飛速，信息量激增，GDP不斷創(chuàng)下新高，吸引世界各地商人們的眼球，TSMC為盡快入主中國市場也于2000年在上海開設(shè)積體電路制造分公司，但是由于網(wǎng)絡(luò)不斷提速、信息量巨增、信息表現(xiàn)形式的多樣化對網(wǎng)絡(luò)基礎(chǔ)設(shè)施提出了新的要求公司需要對網(wǎng)絡(luò)進(jìn)行改進(jìn)。為實現(xiàn)公司“建設(shè)有較強競爭力的國際化積體電路制造公司”的目標(biāo)，努力完成把公司建成“技術(shù)領(lǐng)先、面向中國同時放眼世界的積體電路制造公司”的發(fā)展目標(biāo)，加強信息化建設(shè)，使新竹總公司與上海分公司能更有效率的進(jìn)行信息傳遞，在充滿商機的中國市場中占得一席之地，公司迫切需要對技術(shù)手段進(jìn)行更新以提高總公司與分公司之間的信息業(yè)務(wù)交流。臺積公司現(xiàn)有員工約為200人，在兩個城市中人數(shù)平均化，每個分公司內(nèi)網(wǎng)中都有一個服務(wù)器集群，并經(jīng)常需要安全的交換數(shù)據(jù)，員工希望使用無線接入方式在公司里辦公，但服務(wù)器需要有線，臺灣新竹總公司內(nèi)部放置了web服務(wù)器和mail服務(wù)器，需要外部能夠訪問到公司內(nèi)部，在帶寬和穩(wěn)定性上公司沒有具體要求。二項目建設(shè)內(nèi)容1根據(jù)公司需求，作出如下具體闡述和說明服務(wù)器需求：Web服務(wù)器、數(shù)據(jù)庫服務(wù)器、dhcp、辦公、存儲網(wǎng)絡(luò)需求：（1）WEB。（2）辦公服務(wù)器（辦公系統(tǒng)），內(nèi)網(wǎng)使用。（3）Dhcp內(nèi)網(wǎng)使用和郵件服務(wù)器。（4）存儲服務(wù)器。（5）布線必須不影響公司整個裝修的美觀。詳細(xì)建設(shè)內(nèi)容（1）綜合布線需求主要是價廉、合理、美觀、標(biāo)準(zhǔn)。因此進(jìn)行夾墻內(nèi)、地板下、天花板上布線。（2）網(wǎng)絡(luò)設(shè)備主要放在機房和大廳個辦公區(qū)域頭部柜子內(nèi)。（3）機房內(nèi)使用一個機柜（33U、1.6M），防塵地板，和空調(diào)。（4）Web和數(shù)據(jù)庫服務(wù)器必須7*24不間斷,使用linux操作系統(tǒng)架設(shè)web和ftp。（5）辦公服務(wù)器和主要的網(wǎng)絡(luò)設(shè)備放置機房機柜。辦公服務(wù)器采用windows2003操作系統(tǒng)。主要為ftp和辦公系統(tǒng)。（6）公司辦公網(wǎng)上網(wǎng)使用CICSO路由器實現(xiàn)dhcp，調(diào)試室使用靜態(tài)公網(wǎng)ip地址。2網(wǎng)絡(luò)系統(tǒng)規(guī)劃及設(shè)計方案闡述根據(jù)臺積電公司對網(wǎng)絡(luò)建設(shè)的要求，我們把網(wǎng)絡(luò)系統(tǒng)劃分為以下幾個功能區(qū)1)因特網(wǎng)接入節(jié)點；2）匯聚層核心交換網(wǎng)絡(luò);3）服務(wù)器網(wǎng)絡(luò)；4)接入層無線局域網(wǎng)節(jié)點本次項目規(guī)劃網(wǎng)絡(luò)連接、路由設(shè)計、IP分配、VLAN劃分等內(nèi)容，然后制定實施計劃，最后進(jìn)行設(shè)備安裝實施。*臺積電公司網(wǎng)絡(luò)規(guī)劃拓?fù)鋱D*臺積電公司綜合布線邏輯圖設(shè)計布線主要采取外線進(jìn)入公司機房然后星形對外布線，如下圖：各服務(wù)器各領(lǐng)導(dǎo)辦公室各服務(wù)器各領(lǐng)導(dǎo)辦公室交換機無線路由器交換機無線路由器公司路由設(shè)備公司路由設(shè)備INTERNET各辦公區(qū)1辦公區(qū)交換機各辦公區(qū)1辦公區(qū)交換機1辦公區(qū)交換機2各辦公區(qū)2 IP辦公區(qū)交換機2各辦公區(qū)2*臺積電公司外網(wǎng)接入布線物理拓?fù)湓O(shè)計天花板機柜機柜地板光纖走向*臺積電公司機房到各辦公區(qū)域布線設(shè)計（1）北墻無線節(jié)點：機柜機柜地板到辦公區(qū)（2）西墻無線節(jié)點布線圖：（西墻無線節(jié)點，所以主要都是天花板上布線）天花板區(qū)域機無線房西會議室西墻機無線房西會議室西墻墻辦公室西墻（3）南墻無線節(jié)點布線圖：天花板區(qū)域衛(wèi)茶生水間間總監(jiān)辦公室南墻董事長辦公室南墻南南衛(wèi)茶生水間間總監(jiān)辦公室南墻董事長辦公室南墻南南墻墻（4）全公司地板下布線圖：交換機辦公區(qū)1辦公區(qū)2辦公區(qū)3前臺辦公區(qū)1辦公區(qū)2辦公區(qū)3前臺地板下布線主要是調(diào)試室出線到辦公區(qū)2這段線路采用大廳地板下布線，然后是辦公區(qū)2到辦公區(qū)3和辦公區(qū)1的線路也是在地板下布線。在各個辦公區(qū)內(nèi)布線采用直接平鋪在兩排辦公桌組的中間地板上，然后采用線槽遮蓋線纜。*臺積電公司機柜布線圖設(shè)計外網(wǎng)光纖光纖收發(fā)器光纖收發(fā)器Cisco1841路由器f0f1f0f1Cisco2960交換機g0g1g0g1FTP服務(wù)器調(diào)試室WEB服務(wù)器無線網(wǎng)數(shù)據(jù)庫服務(wù)器DHCP服務(wù)器辦公區(qū)無線點MAIL服務(wù)器存儲服務(wù)器（兼容機4g、320*3）機柜布線將網(wǎng)線與電源線分在不同的側(cè)面。3IP地址配置方案 IP地址劃分原則在臺積電公司內(nèi)部網(wǎng)絡(luò)中，雖然需要接入內(nèi)部網(wǎng)絡(luò)的員工人數(shù)規(guī)模比較小，但考慮到公司的長遠(yuǎn)發(fā)展，我們選擇網(wǎng)段規(guī)劃公司內(nèi)部網(wǎng)絡(luò)IP地址?？紤]到公司在臺灣新竹和中國上海兩地辦公的事實，我們將公司答題規(guī)劃IP地址如下：臺灣新竹辦公總部財務(wù)部：研發(fā)部：人事部：銷售部：服務(wù)器區(qū)：中國上海辦公區(qū)財務(wù)部：研發(fā)部：人事部：銷售部：服務(wù)器區(qū)：新竹總部出口路由器接入網(wǎng)絡(luò)運營商IP為臺積電公司IP地址規(guī)劃表設(shè)計三技術(shù)白皮書網(wǎng)絡(luò)詳細(xì)配置設(shè)計核心交換機地址分配IP地址（以上是整個圖的一部分）：路由器：/內(nèi)網(wǎng)使用私有地址：/R0:FA0:MULTIPLESWITCH:FA0/11:Server0作為整個公司的DHCP服務(wù)器，DHCP服務(wù)器的地址是服務(wù)器地址（以下是整個圖的一部分）：SERVER0為dhcp服務(wù)器SERVER1為WEB服務(wù)器SERVER2為MAIL服務(wù)器SERVER3為DNS服務(wù)器SERVER4為數(shù)據(jù)庫服務(wù)器出口路由器配置我們設(shè)計的網(wǎng)絡(luò)是需要將路由器設(shè)置PAT地址轉(zhuǎn)換和VPN功能。我們還采用路由器作為防火墻。因此需要ACL訪問控制。路由器路由器f0 /0為外網(wǎng)進(jìn)口ip設(shè)置為/.路由器內(nèi)網(wǎng)端口ip設(shè)置為：/也就是說內(nèi)網(wǎng)采用/這個網(wǎng)絡(luò)。然后設(shè)置PAT地址轉(zhuǎn)換。再通過配置ACL來做防火墻。PAT地址轉(zhuǎn)換配置如下：R0：ipnatinsidesourcelist100interfaceFastEthernet0/1overloadipclasslessiproute!!access-list100denyip5555access-list100denyip5555access-list100permitip55anyDHCP配置如下：ROUTER>enROUTER#configureROUTER(config)#ipdhcppoolNETDHCPROUTER(dhcp-config)#networkROUTER(dhcp-config)#default-routerROUTER(dhcp-config)#dns-serverROUTER(dhcp-config)#exitROUTER(config)#ipdhcpexcluded-address0（保留1-10，這個是內(nèi)網(wǎng)路由接口的地址和內(nèi)網(wǎng)各網(wǎng)絡(luò)設(shè)備的地址）ROUTER(config)#ipdhcpexcluded-address4054（保留240-154這些ip）ROUTER(config)#enR2#en測試：在局域網(wǎng)內(nèi)隨便找?guī)着_機器ping外網(wǎng)，本項目中ping通即可將pc機的地址該為自動獲取。路由器策略配置配置口令：R2（config）#enablesecretkbznetR2(config)#linevty04R2(config-line)#passwordkbznettelR2(config-line)#endR2#writeBuildingconfiguration...[OK]配置ACL配置禁止135-445，禁止外網(wǎng)telnet公司路由。R2(config)#access-list120denytcpanyanyeq23R2(config)#access-list120denytcpanyanyeq135R2(config)#access-list120denytcpanyanyeq136R2(config)#access-list120denytcpanyanyeq137R2(config)#access-list120denytcpanyanyeq138R2(config)#access-list120denytcpanyanyeq139R2(config)#access-list120denytcpanyanyeq389R2(config)#access-list120denytcpanyanyeq445R2(config)#access-list120denytcpanyanyeq4444R2(config)#access-list120denyudpanyanyeq69R2(config)#access-list120denyudpanyanyeq135R2(config)#access-list120denyudpanyanyeq136R2(config)#access-list120denyudpanyanyeq137R2(config)#access-list120denyudpanyanyeq138R2(config)#access-list120denyudpanyanyeq139R2(config)#access-list120denyudpanyanyeqsnmpR2(config)#access-list120denyudpanyanyeq389R2(config)#access-list120denyudpanyanyeq445R2(config)#access-list120denyudpanyanyeq1434R2(config)#access-list120denyudpanyanyeq1433R2(config)#access-list120permitipanyanyR2(config)#intf0/0R2(config-if)#ipaccess-group120inR2(config-if)#endR2#writeBuildingconfiguration...[OK]如果需要刪除規(guī)則：（config）#noaccess-list120查看規(guī)則可以：R2#showrunning-configVPN配置基于臺積電公司兩地辦公的事實，并且需要經(jīng)常安全的交換數(shù)據(jù)我們配置了site-to-siteVPN，具體配置舉例如下：cryptoisakmppolicy1encr3deshashmd5authenticationpre-sharegroup2!cryptoisakmpkeyzzcaddress!!cryptoipsectransform-setmytransesp-3desesp-md5-hmac!cryptomapmymap1ipsec-isakmpsetpeersettransform-setmytransmatchaddress110access-list110permitip5555交換機配置交換機只做監(jiān)控使用，因此只設(shè)置遠(yuǎn)程管理權(quán)限。交換機權(quán)限配置如下:S0>enS0#confS0(config)#interfacevlanS0(config)#interfacevlan?S0(config)#interfacevlan1S0(config-if)#ipaddS0(config-if)#noshutS0(config-if)#exitS0(config)#enablesecretkbznetS0(config)#linevty04S0(config-line)#passwordkbznetS0(config-line)#endS0#wBuildingconfiguration...[OK]S1>enS1#confS1(config)#interfacevlanS1(config)#interfacevlan?S1(config)#interfacevlan1S1(config-if)#ipaddS1(config-if)#noshutS1(config-if)#exitS1(config)#enablesecretkbznetS1(config)#linevty04S1(config-line)#passwordkbznetS1(config-line)#endS1#wBuildingconfiguration...[OK]S2>enS2#confS2(config)#interfacevlanS2(config)#interfacevlan?S2(config)#interfacevlan1S2(config-if)#ipaddS2(config-if)#noshutS2(config-if)#exitS2(config)#enablesecretkbznetS2(config)#linevty04S2(config-line)#passwordkbznetS2(config-line)#endS2#w服務(wù)器配置方案（1）WEB服務(wù)器采用linux操作系統(tǒng)，apache服務(wù)，mysql數(shù)據(jù)庫，php網(wǎng)站程序并配置FTP用于上傳文件，郵件服務(wù)器用于溝通。a.系統(tǒng)技術(shù)工程師安裝配置apche、mysql、php環(huán)境。b.系統(tǒng)工程師安裝配置郵件服務(wù)器Sendmail。c.系統(tǒng)技術(shù)工程師安裝配置ftp服務(wù)器。d.架設(shè)公司web網(wǎng)站，上傳數(shù)據(jù)庫文件。e.做好備份鏡像辦公系統(tǒng)服務(wù)器。（2）存儲服務(wù)器主要存儲公司主要的軟件，備份公司重要文件和重要數(shù)據(jù)庫，以及各員工的重要項目、進(jìn)度文件。主要采取FTP實現(xiàn)上傳和下載的功能。員工間進(jìn)行隔離。如果需要共享資料，只需要在自己的辦公電腦上開啟共享就好，不用存儲服務(wù)器共享。四網(wǎng)絡(luò)維護(hù)方案設(shè)計網(wǎng)絡(luò)測試和維護(hù)在每個辦公區(qū)和每臺服務(wù)器對外網(wǎng)（定為）進(jìn)行ping測試。在外網(wǎng)，ping公司的網(wǎng)站域名，測試外網(wǎng)對內(nèi)的訪問的連通性。公司服務(wù)器網(wǎng)絡(luò)狀態(tài)由網(wǎng)管隨時檢查，處理相關(guān)問題。公司辦公網(wǎng)采取上報處理。網(wǎng)管必須優(yōu)先保證公司web的帶寬。必要時可以占用辦公帶寬。路由策略測試和維護(hù)在內(nèi)網(wǎng)和外網(wǎng)對路由器設(shè)置的相關(guān)規(guī)則進(jìn)行測試。Ping禁用的端口和除允許之外的域名。根據(jù)路由策略配置文檔，在需要時進(jìn)行刪除增加策略的維護(hù)。DHCP功能測試開啟局域網(wǎng)所有主機，全部開啟DHCP，然后對外ping能通則表示能獲取到ip。無線網(wǎng)絡(luò)測試 將調(diào)試用的筆記本開啟無線網(wǎng)卡，自動獲取ip，開是否獲取i