思科设备在中型企业中的应用Word格式文档下载.docx
《思科设备在中型企业中的应用Word格式文档下载.docx》由会员分享,可在线阅读,更多相关《思科设备在中型企业中的应用Word格式文档下载.docx(36页珍藏版)》请在冰豆网上搜索。
4.2.2路由器的选型18
4.3PIX防火墙21
4.3.1PIX防火墙的选型21
5思科网络设备的配置26
5.1交换机的配置26
5.1.1VLAN的功能特点26
5.1.2VLAN的划分26
5.1.3VLAN的配置27
5.2CISCO3725路由器的配置30
5.3PIX515-UR防火墙的配置33
5.3.1防火墙配置策略33
5.3.2PIX515-UR的配置33
6网络安全的防护34
6.1硬件系统的安全防护35
6.2软件系统的安全防护35
7总结37
参考文献37
致谢38
摘要:
本文通过对中型企业的局域网的需求和设计,进行一个整体的架构。
从它的需求,经济状况和实现的功能,规划出整个企业局域网的安全策略,及设计出合理的网络拓扑图,对思科公司各个网络产品(路由器、交换机、PIX防火墙)的技术特点来进行合理的选型,使整个网络的需求得到实现,并达到最高的性价比,同时进行一些合理的配置。
来实现思科网络设备(路由器,交换机,PIX防火墙)在中型企业中的应用。
关键字:
思科网络设备;
局域网;
应用
TheapplicationofCISCOnetworkequipmentinMID-SIZEDBUSINESSES
Abstract:
ThisarticleanalysisandstructurethroughtheneedsandtheoveralldesignfortheLANmedium-sizedenterprises.Fromitsrequirement,theeconomicalconditionandthecarryoutthefunction,designofthesecuritypolicyandpropernetworktopologyfortheentireenterp-riseLocalAreaNetwork.ComestotheCiscocompany'
seachnetworkproduct(therouter,theswitch,thePIXfirewall)thetechnicalcharacteristiccarriesontheproperchoice,enabletheentirenetworkobtainsrealization,andachievedthehighestnaturalpriceratio,meanwhilemakesomesimpleconfigure,whichrealizestheCisconetworkequipment(therouter,theswitch,thePIXfirewall)inthemedium-sizedenterprise'
sapplication.
Keywords:
CiscoNetworkEquipment;
LAN;
Application
1前言
当今时代,是一个网络信息时代,以Internet为中心的计算机网络正时刻影响,改变着人们的生活方式和整个世界。
计算机网络的发展已经超出人们的想象,在短短十多年间遍布世界各地。
与之伴随的网络技术发展也非常迅速。
“网络就是计算机”,不会使用网络就不能使用计算机的全部功能。
计算机网络的普及应用,使人们的眼界更宽,生活空间也更广阔。
而如今因特网的发展是网络领域最令人感兴趣的现象之一。
十多年前,因特网仅仅是一个小范围的研究项目,而今天已成为一个连接全球亿万人的通信系统。
在我国因特网已连接了很多企业,大学。
另外,许多个人也能通过拔号网络与因特网相连。
如今各种新技术正在提供更高带宽的连接服务。
同时因特网对社会造成的冲击已不可忽视,并且日益成为主流传媒。
人们的生活越来越离不开网络,网络技术必将改变人们的生活,学习,工作乃至思维方式,并对科学,技术,政治,经济乃至整个社会产生巨大的影响。
每个国家的经济建设,社会发展,国家乃至政府的高效运转都将越来越依赖于计算机网络。
可见我国的网络建设事业正处于日新月异飞速发展的大好时机,大量的网络应用已逐步进入各行各业的企事业单位并取代了陈旧的办公方式,如用办公软件处理日常办公以实现无纸化办公的自动化、企业职能管理(如财务管理、劳动人事管理、办公管理等)、网络(视频)会议、内部Intranet系统(包括电子邮件、内部Web浏览、文件服务等)、Internet接入服务及通过互连网进行的Web访问及发布等。
这一切的发展都离不开高性能的网络设备,而目前世界上一流的网络设备产品就是思科。
而在国内主要的网络产品公司主要是华为,D-Link,TP-LINK,锐捷。
其技术也不断的发展和完善。
但思科公司毕竟是全球领先的互联网设备供应商。
它的网络设备和应用方案将世界各地的人、计算设备以及网络联结起来,使人们能够随时随地利用各种设备传送信息。
思科公司向客户提供端到端的网络方案,使客户能够建立起其自己的统一信息基础设施或者与其他网络相连。
到目前为止,思科已公布了八个高新技术领域——数字视频、企业IP通信、家庭网络、小型企业托管解决方案、光网、安全、存储局域网和无线技术。
应用网络服务是高新技术系列的最新成员。
可以看见思科公司是以技术和服务来推广公司的产品和企业文化。
因此,以某信息网公司的网络组建来说明目前市面上比较流行的思
科公司的网络产品在局域网中的应用。
2中型企业局域网的需求分析
2.1局域网的特点
局域网(LAN)是当今计算机网络技术应用与发展非常活越的一个领域。
公司,企业,政府部门及至住宅小区内的计算机都在通过LAN连接起来,以达到资源共享,信息传递和数据通信的目的。
而信息化进程的加快,更是刺激了通过LAN进行网络互连需求的剧增。
目前,局域网在速度,带宽等指标方面有了更大进展,并且在局域网的访问,服务,管理,安全和保密等方面有了进一步的改善。
其特点如下:
(1)网络所覆盖的地理范围比较小。
通常不超过几十公里,甚至只在一幢建筑或一个房间内。
(2)数据传输的速率比较高,从最初的1Mpbs到后来的10Mpbs,100Mpbs,近年来以达到1000Mpbs,10000Mpbs。
(3)具有较低的延迟和误码率,其误码率一般为10-8~10-11。
(4)局域网的经营权和管理权属于某个单位所有,与广域网通常由服务商提供形成鲜明的对照。
(5)便于安装,维护和扩充,建网成本低,周期短。
尽管局域网地理位置覆盖面积小,但这并不意味着它们必定是小型的或简单的网络。
局域网可以扩展到很大或者成千上万用户的局域网也是很常见的事,同时局域网的应用范围极广,可应用于办公自动化,生产自动化,企事业单位的管理,银行业务处理,军事指挥控制,商业管理等方面。
局域网的主要功能是为了实现资源共享,其次是为了更好地实现数据通信与交换以及数据的分布处理。
2.2局域网设计的原则
对于网络的设计主要要考虑到它的先进性、可靠性、开放性、安全性和可管理性。
设计要立足先进技术,采用最新科技,以适应大量数据传输以及多媒体信息的传输。
使整个系统在国内三到五年内保持领先的水平,并具有长足的发展能力,以适应未来网络技术的发展。
网络的建设是以日常事务为核心的,大量的办公和业务数据以及其他信息不断地在网络上传输。
所以,网络系统的可靠性就显得尤为重要。
包括:
(1)实用性原则:
采用系统总体集成设计、分步实施的技术方案,稳步向全面计算机化应用过渡;
全部人机操作设计均应充分考虑电子商务工作的具体情况和实际需要;
用户接口和界面设计将充分考虑人体结构特征及视觉特征进行优化设计,界面尽可能美观大方,操作简便实用。
(2)先进性原则:
从目前国内发展来看,系统总体设计的先进性原则主要体现在以下几个方面:
采用的系统结构应当是先进的、开放的体系结构;
采用的计算机技术应当是先进的,如双机热备份技术、双机互为备份技术、共享阵列磁盘技术等。
(3)可扩展、可维护原则:
系统将充分考虑在结构、容量、通信能力、产品升级、处理能力、数据库、软件开发等方面具备良好的可扩展性和灵活性。
(4)安全保密原则:
某信息网是以物流为运营平台且具有一定的经济实力,那么其安全问题处于优先考虑的位置。
所以整体的系统安全性、可靠性必然成为重点要求。
同时还要确保网络技术、数据库等方面的技术可靠。
在主机系统与网络的选型及设计中安全、可靠将作为第一要素。
系统建设符合国家安全及保密部门的要求,利用网络系统、数据库系统和应用系统的安全机制设置,拒绝非法用户进入系统和合法用户的越权操作,避免系统遭到破坏,防止系统数据被窃取和篡改。
在内部设置严格的信息访问权限控制;
切实做到内部网和外部网的严格分开;
相互独立的部门应考虑采用技术手段将网络隔开,确保只有经过授权的用户才能跨网络访问;
做好Internet访问权限的管理,以减少不必要的开支,以及防止违规操作造成泄密;
为确保安全应做好拨入号码的保密工作,远程拨入的身份认证也需十分严格。
(5)可靠性原则:
从信息处理的角度上来看,电子商务工作的特色就是数据量大、时效性强、处理复杂。
因此,在系统的实施工作将采用以下做法:
采用具有容错功能的服务器,选用双机热备份,出现故障时能够迅速恢复并有适当的应急措施;
采用数据备份恢复、数据日志、故障处理等系统故障对策功能;
选择合适的网络管理软件进行网络管理。
(6)经济性原则:
根据电子商务的实际需求,以及电子商务工作的发展趋势,设备选型一方面要考虑安全、可靠、先进,同时,要考虑经济实用,要易于扩展升级、易于操作、易于管理维护、易于用户掌握和学习使用。
在完成系统目标的基础上,力争用最少的钱办最多的事,保护投资。
2.3中型企业网络需求
2.3.1网络设计思想
网络系统是作为某信息网的基础,只有建立了高性能的网络系统,才能满足
将来的各种应用需求。
因此,在信息网的设计中,网络系统的设计显得尤为重要。
要设计一个具有技术先进、最优结构和最好性能价格比的网络系统,就必须有好的设计思想作为指导,因为设计思想决定了设计方法,而网络的结构,网络技术以及厂商和产品的选择皆源于设计方法,从而在根本上影响网络设计的成败。
其设计思想是:
(1)从技术的角度出发:
网络技术迅猛发展、日新月异,各类网络技术不断革新,新的网络技术层出不穷,因此,选择何种网络技术极为重要,在网络设计时应该站在一个较高的角度,选择最为先进的主流网络技术来进行网络建设,确保网络系统的技术先进性。
(2)从用户的角度出发:
现在提供网络设备的厂商有很多、每个厂商的网络设备都有各自的特点,存在相应的适应范围,我们只有从用户的角度出发,才能公正地处理各厂商的产品的特点,提出适合用户需求的网络设备。
(3)从应用出发:
网络系统建设的目的是为了建立应用系统,在本方案中,将根据用户的应用需求,采用自顶向下的分析方法,分析网络系统如何满足用户的应用需求,然后确定网络系统的设备选型。
采用这种方法,不仅保证网络系统能完全满足用户的应用需求,而相互可以设计出具有良好性能价格比、扩展性能好的网络系统。
2.3.2中型企业的网络需求
本企业是一个以物流为主的信息网络公司,其整个网络架构的需求如下:
(1)建立一个全企业的信息管理和应用的网络系统,建立企业内部的Intranet,并提供相应的各种服务。
(2)能够有序地共享网络上的各种软、硬件资源,各种信息能够在网络上快速、稳定地传输,并提供有效的网络信息管理手段。
(3)整个系统采用开放式、标准化的结构,以利于功能扩充和技术升级。
(4)能够与外界进行广域网的连接,提供、享用各种信息服务。
(5)具有完善的网络安全机制。
3中型企业网络的总体设计
3.1设计目标
信息网络系统的设计目标为:
(1)建立高速信息交换网络。
(2)实现办公自动化、现代化和无纸化。
(3)建立物流信息发布系统。
(4)实现信息网络与上下级职能单位的可靠连接。
(5)建立安全的信息系统,防止机密数据的非法获取。
(6)实现网络的高可靠性、可用性及良好的管理性。
3.2网络安全策略设计
随着计算机网络的不断发展,全球信息化已成为人类发展的大趋势。
但只要向外界开放了网络服务,就必然存在安全隐患。
由于计算机网络具有联结形式多样性、终端分布不均匀性和网络的开放性、互连性等特征,致使网络易受黑客、恶意软件和其他不轨的攻击,所以网上信息的安全和保密是一个至关重要的问题。
无论是在局域网还是在广域网中,都存在着自然和人为等诸多因素的脆弱性和潜在威胁。
因此,网络的安全措施应是能全方位地针对各种不同的威胁和脆弱性,这样才能确保网络信息的保密性、完整性和可用性。
企业网络系统安全规则的策略如下:
(1)通过路由器访问控制列表实现安全控制:
通过访问控制列表限制Internet对信息网的访问类型,如只允许WWW、DNS和邮件访问。
(2)采用基于应用层网关技术的防火墙,全面保护信息网,即在信息网的服务器上、安装多功能防火墙产品、如天融信、scoPIX,NovellFirewallforNT4.0等、通过防火墙隐蔽信息网的内部结构,通过地址转换技术(NAT)隐藏信息网内部结构。
以及指定信息网内部用户访问Internet的访问策略:
包括允许某些内部用户访问Internet某些站点,允许某些内部用户通过何种方式(WWW/FTP/Mail)访问Internet。
(3)根据信息网公司的职能划分,通过虚拟网划分技术,制定信息网的访问控制策略,通过虚拟网技术实现信息网内的访问控制,对外的访问控制可以通过路由器来进行控制。
(4)设置NAT模式,能保护内部的网络结构,防止非法用户入侵内部网络,造成破坏和损失。
(5)对网络带宽速率不能有任何的影响。
因为企业网站提供大量设计图片和视频服务,防火墙对带宽的质量应有保障。
(6)通过在企业的各部门网络前端设置防火墙,保护其内部资料数据的可靠,防止内部数据被非法窃取。
(7)设置认证功能,通过对用户的身份认证,控制用户对服务器进行访问。
(8)有完整的历史记录,能查看每一个经过防火墙的连接,包括日期、源地址、目的地址等,并有识别并阻断攻击功能。
(9)能提供集中的、图形化的安全管理功能和系统状态查看器,方便管理人员进行定义、修改,尽量减少维护工作量。
(10)设计的网络安全解决方案能提供网络入侵检测、识别、记录和自动响应报警功能,同时能够防止从内网和外网发起的攻击、尤其是孺虫病毒对网络的危险。
3.3网络技术的选择
主干网络技术、是指以光纤通信和新的数据封装技术为核心的高速、大容量计算机网络技术,实现在局域网网络之间提供快速高带宽通信信道,彻底消除低速信道对计算机网络的制约,使计算机网络形成一个完整的有机体。
主干网络技术基于交换和虚拟网络技术。
交换技术将现有网络技术的共享介质改为独占介质,从而提高了网络速度。
虚拟网络技术打破地理环境的制约,在
不改动网络物理连接的情况下,可以任意将工作组或在不同网段之间进行移动,新增的工作站可以在最合理的物理连接点接入网,从而按数据相关性原则将工作站组成逻辑工作组或虚拟子网,提高信息系统的运作性能,均衡网络数据流量,合理利用硬件及信息资源。
同时,利用虚拟网络技术,可以大大减轻网络管理和维护工作的费用,降低网络系统的维护费用。
在此为满足信息网的需求采用千兆以太网技术构建网络骨干,并对外提供Internet应用及Web服务。
整个信息网从逻辑结构分,可分为三个层次:
广域网接入层、网络核心层、用户访问层。
每个层次各有分工,层次分明。
信息网络中心交换机应采用具有多层交换性能、高吞吐量、高数据包转发率,且具有服务质量保证的路由交换机,作为整个网络的核心部分放置在网络控制中心机房。
中心交换机与分支交换机通过千兆以太网连接,百兆交换速度到桌面。
3.4服务器的选择
服务器系统承担着整个信息网络电子商务内部日常公文流转系统和业务处理系统关键性业务;
在Intranet/Internet中提供邮件服务、数据库服务、防火墙/代理服务等重要任务,其数据流量大、要求极快的响应速度和强大的处理能力。
因此,在服务器的选型上应遵循下列原则:
(1)良好的性能价格比。
(2)优秀的I/O能力。
(3)良好可扩展性。
(4)具有良好的可维护性。
针对该信息网络的情况,本次工程的服务器推荐选HP、Compaq品牌,他们能够提供优秀的产品和解决方案。
HP系列的服务器,它的设计能满足从最小的办公室到大型跨国公司所有的要求。
特定的设计和测试表明,HP服务器能够在最严格的环境中运行,高性能和高实用性特点的结合使其能够满足网络的需要。
并且能够提供最好的性能价格比。
本网络系统共由5台服务器提供内外所需的服务。
分别为数据库服务器、文件服务器、邮件服务器、DNS服务器和WEB服务器。
所有服务器目前准备通过100M的双网卡与主交换机连接。
3.5网络拓扑图的设计及特点
3.5.1网络拓扑图设计原则
网络拓扑结构是对整个网络的运行效率,技术性能发挥,可靠性和费用等方面都有着重要的影响,确立网络的拓扑结构是整个网络规划设计的基础。
拓扑结构的选择往往和和地理环境分布,传输介质,介质访问控制方法,甚至网络设备选型等因素紧密相关,在设计拓扑结构时应该考虑的主要因素有:
(1)费用。
不同的拓扑结构所配置的网络设备不同,设计施工安装工程的费用也不同。
同时还要对传输介质,传输距离进行分析。
(2)灵活性。
在设计网络时,考虑到设备和用户需求的变化,拓扑结构必须有一定的灵活性,能容易的重新配置。
(3)可靠性。
网络设备损坏,光缆被挖断,连接器松动等等这类问题都有可能发生,网络拓扑图结构设计应避免因个别节点损坏而影响整个网络的正常运行。
3.5.2网络拓扑图
根据信息网的需求,其网络拓扑图设计如下:
图1信息网网络拓扑图
FiglInformationNetworkCompanynetworktopology
3.5.3网络拓扑图的特点
(1)由于本公司对于信息和数据的处理的可靠性的稳定性的要求比较高,因此使用双主干网络设计,保证主交换机网络的容错。
在一台交换机出现故障的时候不会出现网络工作不能进行的问题。
也不用手工切换和维护,保证网络的可靠性及稳定性。
(2)根据需求满足百兆到客户端及千兆网速交易的实时性。
(3)使用了FEC/GEC技术实现网络带宽的扩展,适应今后公司的扩容及网络不断扩展的要求,同时对新技术的使用。
4思科网络设备的选型
为了保证网络系统高度的安全性、稳定性,使信息网具有当今世界计算机网络先进的技术水准,同时在构建一个集团企业内部网系统,还要本着以下原则:
实用性,先进性,可靠性,网络安全性,易于管理和维护,支持多媒体,符合国际标准,可扩展性,高性能和可管理性等性能都要同时具备。
且容纳300到500个用户规模。
在此选用业界最著名的网络设备厂商--美国思科公司。
思科是历史最悠久、产品最广泛的最大的网络设备厂商之一。
在网络产品市场上占有相当大的份额,拥有超过两亿用户。
产品在设计上考虑用户投资,降低拥有者成本是思科的产品战略。
思科交换机在硬件设计上的优势在于ASIC采用定制的可编程芯片,用户的软件设计,完全不需要进行硬件的更换。
4.1交换机的选型
4.1.1交换机的性能指标
对于交换机的选择主要考虑以下几个方面:
(1)背板带宽:
也叫背板吞吐量,是交换机处理接口或接口卡和数据总线间所能吞吐的最大数据量,一台交换机的背板带宽越高,所能处理的数据的能力也就越强,但同时价格也就上去。
(2)端口速率和端口数:
交换机的端口速率一般有10Mbps,10/100Mbps,100Mbps,1000Mbps,甚至10Gbps,一般来说,在考虑端口速率的同时还要考虑所选择的交换机其端口的可用数目是否满足要求。
(3)是否带网管功能:
网管是指网络管理员通过管理程序对网络上的资源进行集中化管理的操作,包括配置管理,性能和记帐管理,问题管理,操作管理和变化管理等。
一台设备所能支持的管理程序反映了该设备的可管理性及可操作性,不带网管功能的交换机价格较便宜,而带网管功能的交换机相应的则价格要贵。
4.1.2交换机的功能需求
对于核心交换机是整个网络的核心部分,它性能的好坏直接影响到企业的需求及对网络的总体投入,因此在对核心交换机的选择上要考虑以下功能的满足:
(1)组播
组播不同于单播(点对点通信)和广播,可以跨网段将数据发给网络中的一组节点,在视频点播、视频会议、多媒体通信中的意义特别重大,而这些应用又是信息网中最常使用的功能,因此需要加以重视。
(2)QoS(服务质量)
“QoS”是“QualityofService”(服务质量)的缩写,是一个专用的网络通信术语。
QoS机制具有能够识别通过交换机的数据包的特征(如端口、VLAN成员、TOS、MAC地址、IP地址或子网、TCP带宽等),可根据流量的不同类别采取不同的传输策略。
QoS对于多媒体传输的意义也很重大,三层交换机具有的QoS(服务质量)控制功能,可以给不同的应用程序分配不同的带宽。
(3)支持过滤
三层交换机应做到根据端口号、IP地址、MAC地址对帧和包进行过滤,能够实现安全机制。
(4)广播抑制功能
在有些情况下,三层交换机需要转发广播包(比如DHCP客户机发送的BootP数据包),但是不能任由广播包任意广播,而是在广播包超过一定数量的时候予以限制。
除了广播风暴之外,还有其他类型的风暴,如对多点传送风暴和不明目的的MAC地址(单点传送)风暴,三层交换机也应有抑制功能。
(5)支持端口干路(PortTrunking)功能
“端口干路”指的是若干个端口可以捆绑在一起工作,看起来就像是一个端口一样。
比如1个1000Mbps端口可以提供2000Mbps的带宽(双向),4个1000Mbps端口如果设置成端口干路模式,就可以提供高达8000Mbps的带宽,这种方法实现了在不增加设备的情况下,提高了上行链路的带宽。
(6)支持802.1d协议
802.1d协议指的是生成树(SpanningTree)协议,也是必不可缺的。
在大型网络中,往往采用冗余链路的方式保证网络的连通,也就是说,为了防止网络中断,一个子网连接到网络主干的路径有多个。
但是这样就会形成环路,使数据总是在网络中循环,从而阻塞网络。
采用生成树协议之后,交换机就能够检测并且消除网络中出现的逻辑环路,既不破坏冗余同时也保证了网络的性能。
(7)有划分VLAN功能
能够划分VLAN
升级会员 