中小型企业网络构建及安全实现措施Word文件下载.docx
《中小型企业网络构建及安全实现措施Word文件下载.docx》由会员分享,可在线阅读,更多相关《中小型企业网络构建及安全实现措施Word文件下载.docx(9页珍藏版)》请在冰豆网上搜索。
第五章.整体结构网络服务功能的组成8
系统架构8
DNS的注册诊断9
安装组件9
第六章.网络布线系统设计10
1、布线系统总体结构设计10
2、工作区子系统设计10
3、水平子系统设计11
4、管理子系统设计11
5、干线子系统设计11
6、设备间子系统设计11
7、建筑群子系统设计12
第七章.结束语12
参考文献:
12
摘要:
由于计算机及网络技术的不断发展,极大地推动了企业网的建设,各企业都在筹备建设企业网,希望通过企业网的建设,增加硬件的投入科研和管理水平,提高办学质量,企业网的建设对于企业来说是一项大的工程,必须精心设计、精心施工,做到经济适用,技术先进、开放性能良好、投资强度合理、与国内外网络互联、能长期、稳定运行的高性能的企业网络。
企业网必须具备教案、管理和通讯三大功能。
企业的管理人员可方便地对教务、行政事务、员工档案、财务、资产等进行综合管理,同时可以实现各级管理层之间的信息数据交换,实现网上信息采集和处理的自动化,实现信息和设备资源的共享,因此,企业网的建设必须有明确的建设目标。
针对企业当前面对的网络安全问题,提出一个网络安全模型,并对网络设计提出建议。
关键词:
局域网网络设备企业规划设计服务器网络安全加密防火墙
第一章.网络构建理论总述
1.序言
随着当前对局域网更大带宽的日益强烈的需求,旧有的交换式10Mbps以太网、共享式100Mbps以太网和交换式100Mpbs快速以太网已经越来越不能满足我们的日常需要了。
因此我们依照客户的需求以及实际情况草拟了千兆位以太网网络系统改造方案。
作为一种先进成熟的网络技术,与以前的局域网络技术相比,千兆网络具备简单,高效、建设成本低等显著的优势。
千兆以太网所用产品也显得非常安全实用,加上其可扩展好,易于使用等特点,千兆以太网已经成为满足我们网络需求的不二选择。
在本千兆以太网网络方案中,我们采用集中布线的方式,构成星型网络结构,以一台3ComSwitch4007作为中心交换机,3ComSuperStack3Switch4950则作为二级主干交换机,选用的3ComSuperStack3Switch4400作为工作组交换机,采用新一代的堆叠技术进行堆叠,堆叠后的工作组交换机可通过1000Base-SX、1000Base-Lx、1000Base-T等各种千兆上连技术上连到中心交换机。
另外,工作组交换机与中心交换机之间还可采用多种高可靠上连技术,如弹性链路(ResilientLink>
、链路聚合(linkaggregation>
、以及快速生成树协议(802.1W>
等实现与中心交换机的连接。
最后,通过10/100Mbps自适应交换连接到桌面,实现每个信息点100Mbps带宽。
采用该千兆位太网解决方案后,企业将获得一种极其先进,并且极具简单性、实用性的解决办法,以缓解由于数据密集型应用不断增加和用户需求不断扩展而带来的网络压力。
充分满足了客户的网络需求,并可在将来根据需要方便的进行升级改造。
一个崭新的千兆以太网的时代即将到来。
第二章.需求分析
由于信息化浪潮风起云涌,企业内部网络的建设已经成为提升企业核心竞争力的关键因素。
企业网已经越来越多地被人们提到,利用网络技术,现代企业可以在供应商、客户、合作伙伴、员工之间实现优化的信息沟通。
这直接关系到企业能否获得关键的竞争优势。
近年来越来越多的企业都在加快构建自身的信息网络,而其中绝大多数都是中小企业。
通过网络建设能够实现企业内部资源的共享,降低企业成本,可以更好的与外界进行沟通,让外部更加了解企业。
目前中小型企业建设过程中,存在很多问题,如有些中小型企业不考虑自身需求,一味追求高性能,构建的网络往往造成不必要的浪费;
或另一方面,有些中小型企业建成的网络根本达不到应用本身对网络的需求。
企业网络应分为内部网络和外部网络两个部分,其中还包括在这两部分上的实际应用,中小型企业在网络设计之初就应该充分考虑到自身的需求,通过这些需求来具体设计适合自己需求的网络。
因此,在建立局域网时应该考虑到网络的先进性、可扩展性、高可靠性、稳定性、高带宽、经济性。
第三章.网络系统设置规划
1、网络系统设置原则
网络要求:
稳定,有安全机制,升级扩展容易,用户使用简单,维护容易等。
系统要求:
配置简单方便,系统运行有高稳定性,可管理性等。
用户要求:
满足基本带宽要求,保留一定的余量供扩展等。
设备要求:
技术上具有先进性,易管理,具有良好的性价比。
2、网络设计总体目标
【灵活性】:
系统具有较高的适应变化的能力。
布线系统且具有一定的扩展能力。
【实用性】:
使用方便、简单、易扩展的特点。
布线系统应在满足各种需求的情况下尽可能降低材料成本;
布线系统具有操作简单、使用方便、易于扩展的特点。
【安全性】:
具有高安全性。
3、网络通信联网协议
TCP/IP:
每种网络协议都有自己的优点,但是只有TCP/IP允许与Internet完全的连接。
Telnet:
远程登录访问协议,使其他跨省区域的用户通过远程访问总部的内外,在远程访问时,会设置相应的ACL认证和相对的权限设置。
SNMP网络管理协议:
SNMP用于在IP网络管理网络节点<
服务器、工作站、路由器、交换机及HUBS等)的一种标准协议,它是一种应用层协议。
SNMP使网络管理员能够管理网络效能,发现并解决网络问题以及规划网络增长。
通过SNMP接收随机消息<
及事件报告)网络管理系统获知网络出现问题。
路由协议:
OSPF。
4、网络IP地址规划
企业园区网计划使用私有的A类IP地址。
企业园区网的IP地址分配原则如下:
企业使用IPv4地址方案。
企业使用私有IP地址空间:
10.0.0.0/8。
企业使
用VLSM(变长子网掩码>
技术分配IP地址空间。
企业IP地址分配满足集团的利用。
企业IP地址分配满足便于路由汇聚。
企业IP地址分配满足分类控制等。
企业IP地址分配满足未来公司网络扩容的需要。
5、网络设备方案设计
路由器:
CISCO2811参考价:
5200
思科2811路由器采用模块化端口结构,传输速率10/100Mbps设置一个10/100Mbps固定广域网接口,2个固定局域网接口10/100Mbps,支持4个扩展模块插槽,1个NM插槽和1个Console控制端口,配有RS-232的控制端口。
该产品搭载MotorolaMPC860160MHz的处理器,配备最大256MB的Flash闪存和最大760MB的DRAM内存,极大的提高了该产品的安全性能。
思科2811支持IEEE802.3X网络协议以及SNMP网管协议,同时还配备CiscoClickStart网管软件,支持VPN-虚拟专用网,以及QoS,协议方面支持比较完善。
安全方面,2811内置了防火墙,并支持UL60950:
CAN/CSAC22.2No.60950、IEC60950、EN60950-1、AS/NZS60950等众多安全标准,为企业用户提供更安全的网络服务。
三层交换机:
采用友讯网络<
D-Link)DES-3326参考价:
6300元
DES-3326是友讯网络公司推出的一款可网管、支持千兆的10/100M智能三层交换机,是一款线速第三层交换机,提供了24个10/100BASE-TX端口及1个扩展插槽,可扩展2个可选千兆以太网端口。
DES-3326交换机将第二层线速交换及第三层IP路由以及服务质量(QoS>
有机集成为一体,并可采用支持SNMP标准的网管系统进行配置、监控和管理。
DES-3326交换机前面板插槽可选插2口千兆模块,不同模块可支持1000BASE-SX、1000BASE-T标准。
所有模块支持流量控制和全双工,可处理大量数据。
支持优先级队列和QoS机制,优先级队列功能可以根据数据交换的重要性进行排队,优先交换重要数据。
该款交换机具有端口聚合功能,最大可将8个10/100Mbps端口聚合成一个端口,而聚合之后的这个端口性能非常强大,这项
功能主要是帮助那些需要高带宽端口而又不想投入过多资金的用户使用,而这项功能最主要的应用场合是VLAN划分,VLAN划分需要设置汇聚链路,而汇聚链路对带宽要求非常高,通过端口聚合功能可提供一个高带宽的端口。
DES-3326支持SNMP管理和RMON监控功能,并且还支持端口镜像功能,通过这些功能,管理员可对该款交换机进行管理、配置以及对此款交换机所连接的网络进行监控。
DES-3326交换机还提供了流量控制功能,支持VLAN划分,提供了冗余电源接口等。
二层交换机:
D-LinkDES-1024D参考价:
530
它符合百兆以太网标准,提供了24个自适应全/半双工10/100Mbps端口,可自动判断连入设备的类型提供相应的连接方式和带宽。
另外利用配备的16K的MAC地址表和2.5MB缓存,它可以利用IEEE802.3x流量控制技术动态将缓存分配到各个端口,保持网络畅通。
第四章.网络系统安全设置
1、外网安全设计.
防火墙系统:
采用防火墙系统实现对内部网和广域网进行隔离保护。
对内部网络中服务器子网通过单独的防火墙设备进行保护。
入侵检测系统:
采用入侵检测设备,作为防火墙的功能互补,提供对监控网段的攻击的实时报警和积极响应。
病毒防护系统:
强化病毒防护系统的应用策略和管理策略,增强病毒防护有效性。
垃圾邮件过滤系统:
过滤邮件,阻止垃圾邮件及病毒邮件的入侵。
2、内网安全设计
访问控制,通过密码、口令<
不定期修改、定期保存密码与口令)等禁止非授权用户对服务器的访问,以及对办公自动化平台、的访问和管理、用户身份真实性的验证、内部用户访问权限设置、ARP病毒的防御、数据完整、审计记录、防病毒入侵。
对内部采用:
网络管理软件系统:
使网管人员对网络中的实时数据流量情况能够清晰了解。
掌握整个网络使用流量的平均标准,定位网络流量的基线,及时发现网络是否出现异常流量并控制带宽。
3、内外网安全之间设计
采用VPN系统:
对远程办公人员及分支机构提供方便的IPSecVPN接入,保护数据传输过程中的安全,实现用户对服务器系统的受控访问
移动用户管理系统:
对内部笔记本电脑在外出后,接入内部网进行安全控制,确保笔记本设备的安全性。
有效防止病毒或黑客程序被携带进内网。
内部办公自动化网络根据不同用户安全级别或者根据不同部门的安全访问需求,可以利用三层交换机来划分虚拟子网(VLAN>
。
同时通过在不同VLAN间做限制来实现不同资源的访问控制。
通过虚拟子网的划分,既方便局域网络的互联,又能够实现访问控制
第五章.整体结构网络服务功能的组成
系统架构
1.域控制服务器/DomainServer<
服务器端建立域)以LENOVO商用机为平台,通过MICROSOFTWINDOWS2003ADVANCESERVER架设了名为的域环境,服务器角色目前为活动目录<
AD)。
在这个基础上,还开通了文件存储服务<
FILESTORAGESERVICE),并细分为按公司部门的文件存储方式。
并安装有瑞星杀毒软件及卡卡安全助手,交接时候的病毒特征定义库号为20.22.01。
此服务器硬件配置主要为Pentium43.0Ghz
升级会员 