中小型局域网的部署与安全配置.docx
《中小型局域网的部署与安全配置.docx》由会员分享,可在线阅读,更多相关《中小型局域网的部署与安全配置.docx(22页珍藏版)》请在冰豆网上搜索。
中小型局域网的部署与安全配置
摘要
通过对型企业网络规划和组建现状的分析,结合一个典型的企业网络规划和组建的实际案例,阐述了根据某企业的需求为该企业网络规划和组建制定的设计方案和实施方案,包括:
网络拓扑结构设计、设备选型分析、IP编址方案设计、综合布线设计等方面。
要实现将RIP转换成OSPF的升级,要确保网络正常运行的同时进行逐步转化,就要有网关冗余、RIP和OSPF重分发功能,为公司网络通信保驾护航。
关键字:
企业网、路由冗余、路由策略、网络设备安全性、SMTP
一、需求分析
1.1中小型局域网设计要求
1、由于网络系统对工作的运作与发展具有非常重要的作用,因此网络改造系统的可扩充性,可管理性,安全性,投资保护,易用性等方面均有一定的要求,网络系统对先进性的要求是在计算机技术突飞猛进的今天,提供达几年甚至更长时间的可用性。
网络系统设计必须满足其应用的要求,网络总体设计、建设的要求如下:
(1)可扩充性:
从主干网络设备的选型及其模块、插槽个数、管理软件和网络整体结构,以及技术的开放性和对相关协议的支持等方面,来保证网络系统的可扩充性;
(2)可管理性:
利用图形化的管理界面和简洁的操作方式,合理地网络规划策略,提供强大的网络管理功能;使日常的维护和操作变得直观,便捷和高效;
(3)安全性:
内部网络之间、内部网络与外部公共网之间的互联,利用VLAN、防火墙等对访问进行控制,确保网络的安全;
(4)投资保护:
选用性能价格比高的网络设备和服务器;采用的网络架构和设备充分考虑到易升级换代,并且在升级时可以最大限度地保护原有的硬件设备和软件投资;
(5)易用性:
应用软件系统必须强调易用性,用户界友好,带有帮助和查询功能,用户可以通过Web查询。
1.2功能要求
为企业设计局域网,要求实现网关冗余、认证、路由策略、NAT转换与帧中继等要求,尽量为企业钱少成本,减少广播风暴,保证网络安全,由于部分员工不会配备IP地址,要实现分部自动分配IP地址,要求总部与分布能够有效的沟通,防止计算机受到恶意攻击,设置复杂的密码策略,防止恶意用户空连接和洪水攻击等,确保网络正常运行,及时审核用在电脑上的行为。
加强员工的培训,为企业的正常运行保驾护航。
1.3功能设计
1、S2、S3之间互为备份,配置VRRP,S2为master,优先抢占值为150,并监控f0/3和f0/4接口;S3为blackup,优先抢占值为100。
2、R1、S5之运行OSPF单区域0,S5和S6与S2、S3之间运行单区域1。
3、R1、S6之间运行RIPV2。
4、做RIP和OSPF的路由重分发,保证总部的局域网的连通性。
5、为了能够保证总部和分部的内网可以通过外网接口访问因特网,在R1和R8上配置NAT;同时配置策略路由,确保总部内网Vlan10通过ISP1上因特网,Vlan20通过ISP2上因特网。
6、为了保证总部和分部的通信的备份线路,配置帧中继的相关配置。
7、R1、ISP2之间运行广域网PPP协议,使用CHAP做双向身份验证。
8、分部人员不会配置IP地址,在S10上配置DHCP服务,为分部的电脑自动分配IP地址,地址段为192.168.80.0/24网段。
9、配置S2和S3之间的f0/5和f0/6的链路聚合。
10、确保S2是Vlan10的根桥,S3是Vlan20的根桥。
二、网络规划与设计
2.1拓扑图设计
2.2IP地址规划
设备名称
接口
IP地址
子网掩码
S2
F0/3
192.168.25.2
24
F0/4
192..168.26.2
24
Vlan10(F0/1)
192.168.10.254
24
Vlan20(F0/2)
192.168.20.254
24
S3
F0/3
192.168.35.3
24
F0/4
192..168.36.3
24
Vlan10(F0/1)
192.168.10.253
24
Vlan20(F0/2)
192.168.20.253
24
S5
F0/3
192.168.25.5
24
F0/4
192.168.35.5
24
F0/5
192.168.51.5
24
S6
F0/3
192.168.26.6
24
F0/4
192.168.36.6
24
F0/5
192.168.61.6
24
R1
F1/0
192.168.51.1
24
F2/0
192.168.61.1
24
F0/0
11.11.11.1
24
S3/1(DLCI:
108)
192.168.30.1
24
S3/2
12.12.12.1
24
R8
F0/0
18.18.18.8
24
F1/0
192.168.80.1
24
S3/2(DLCI:
801)
192.168.30.8
24
S3/3
28.28.28.8
24
ISP1
F0/0
11.11.11.2
24
F1/0
18.18.18.1
24
ISP2
S3/2
12.12.12.2
24
S3/3
28.28.28.2
24
2.3设备选型
1、核心层:
思科的CiscoCatalyst3560G-24TS--24-2全千兆三层交换机
(1)CiscoCatalyst3560系列交换机是一个采用快速以太网配置的固定配置、企业级、IEEE802.3af和思科预标准以太网电源(PoE)的交换机,提供了可用性、安全性和服务质量(QoS)功能,改进了网络运营。
Catalyst3560系列是适用于小型企业布线室或分支机构环境的理想接入层交换机,这些环境将其LAN基础设施用于部署全新产品和应用,如IP电话、无线接入点、视频监视、建筑物管理系统和远程视频信息亭。
客户可以部署网络范围的智能服务,如高级QoS、速率限制、访问控制列表、组播管理和高性能IP路由,并保持传统LAN交换的简便性。
内嵌在CiscoCatalyst3560系列交换机中的思科集群管理套件(CMS)让用户可以利用任何一个标准的Web浏览器,同时配置多个Catalyst桌面交换机并对其排障。
CiscoCMS软件提供了配置向导,它可以大幅度简化融合网络和智能化网络服务的部署。
(2)Catalyst3560系列为采用思科IP电话和CiscoAironet无线LAN接入点,以及任何IEEE802.3af兼容终端设备的部署,提供了较低的总体拥有成本(TCO)。
以太网电源使客户无需再为每台支持PoE的设备提供墙壁电源,免除了在IP电话和无线LAN部署中所必不可少的额外布线。
Catalyst356024端口版本可以以支持24个15.4W的同步全供电PoE端口,从而获得了最佳上电设备支持。
通过采用CiscoCatalyst智能电源管理,48端口版本可支持24个15.4W端口、48个7.7W端口,或它们的任意组合。
当Catalyst3560交换机与思科冗余电源系统675(RPS675)共用时,可提供针对内部电源故障的无缝保护,而不间断电源(UPS)系统可防范电源中断情况,从而使融合式语音和数据网络实现最高电源可用性。
2、汇聚层换机选择:
Catalyst2950-24交换机
1、CiscoCatalyst2950系列智能以太网交换机是一个固定配置、可堆叠的独立设备系列,提供了线速快速以太网和千兆位以太网连接。
这是一款最廉价的Cisco交换产品系列,为中型网络和城域接入应用提供了智能服务。
作为思科最为廉价的交换产品系列,CiscoCatalyst2950系列在网络或城域接入边缘实现了智能服务。
2、
(1)主要的中型企业优势
在布线室配线间中实现了智能的服务质量(QoS)、限速、访问控制列表(ACL)和多播服务在多种介质上提供了升级到千兆位以太网的强大路径凭借内置Cisco集群管理套件可出色地管理并轻松地配置第2-4层服务,与CiscoCatalyst3550系列集中汇聚交换机相结合,用于IP路由至网络核心。
(2)主要的城域接入优势
通过高级QoS、限速、语音及多播特性提供广泛的服务,通过生成树协议改进和访问控制参数(ACP)来提供服务可用性和安全性,通过CiscoIE2100系列智能引擎支持和简单网络管理协议(SNMP)来实现服务管理。
3、思科PIX-501防火墙
PIX501防火墙是一种针对特定需求而设计的安全设备,可以在单独的一个设备中提供丰富的安全服务,包括状态监测防火墙、虚拟专用网(VPN)和入侵防范等。
还可以利用其基于标准的互联网密钥交换(IKE)/IP安全(IPSec)VPN功能,确保远程办公机构通过互联网与企业网络之间进行的所有网络通信的安全,故此适合于小型办公室网络或者大型网络中的局部网络使用。
2.4布线系统设计
1.系统设计原则
在进行综合布线系统设计时通常应遵循以下原则。
(1)采用模块化设计,易于在配线上扩充和重新组合。
(2)采用星型拓扑结构,从而使系统扩充和故障分析变得十分容易。
(3)应满足通信自动化与办公自动化的需要,即满足语音与数据网络的广泛要求。
(4)确保任何插座互连主网络,尽量提供多个冗余互连信息点插座。
(5)适应各种符合标准的品牌设备互联入网,满足当前和将来网络的要求。
(6)电缆的铺设与管理应符合综合布线系统的设计要求。
2.工作区子系统设计
工作区子系统提供从水平子系统的信息插座到用户工作站设备之间的连接,它包括工作站连线、适配器和扩展线等。
一部电话机或一台计算机终端设备的服务面积可按8~10m2设置,也可按用户要求设置。
采用标准信息插座,型号为RJ-45,采用8芯连线,全部按标准制造,符合ISDN标准。
在RJ-45插座内不仅可以插入数据通信通用的RJ-45接头,也可以插入电话机专用的RJ-12插头。
信息插座通常有3种安装形式:
信息插座安装于地面上,信息插座安装于分隔板上,信息插座安装于墙上。
如果安装于墙上,信息插座应放置在距地面30~50cm处。
3.水平子系统设计
水平子系统是将垂直子系统线路延伸到用户工作区,由工作区的信息插座、信息插座至楼层配线设备(FD)的配线电缆或光纤、楼层配线设备和跳线等组成。
水平子系统的设计应按以下要求进行。
(1)水平子系统一般应使用20年左右,通常采用管线敷设,这也对双绞线的性能和质量提出了更高的要求。
(2)进行网络布线时应考虑未来的发展(信息点冗余及网络带宽的需求)。
(3)水平子系统采用4对双绞线,通常在超5类和6类之间选择,在高速率应用场合宜采用光缆。
(4)根据整个综合布线系统的要求,应在交换间或设备间的配线设备上进行连接,以构成电话、数据传输设备并进行管理,配线电缆宜采用双绞线。
电缆长度应在90m以内。
4.垂直子系统设计
垂直子系统主要用于连接各层配线室,并连接主配线室。
设计要求如下。
(1)为安装和固定垂直子系统的电缆,要求建筑物竖井中应立有金属线槽,且每隔2m焊一根粗钢筋。
(2)竖井中的线糟与各层配线室之间应有金属线槽连通。
(3)垂直子系统采用的介质大多数为双绞线电缆和光纤。
5.管理子系统设计
管理子系统由交连、互连配线架组成,为连接其他子系统提供手段。
设计要求如下。
(1)根据信息点的数量,对于信息点不是很多的楼层,为便于管理,几个楼层可共用一个子配线间;对于有较多信息点的楼层,一个楼层设置一个配线间。
(2)配线间的位置可选在弱电井附近的房间内。
配线室设标准机柜,用于安装配线架(双绞线、光纤)和计算机网络通信设备。
6.设备间子系统设计
设备间子系统(主配线间)由设备间中的电缆、连接器和相关支撑硬件组成,它把公共系统设备的各种不同设备互连起来。
该子系统将中继线交叉连接处和布线交叉处与公共系统设备(如PBX)连接起来。
设计要求如下。
(1)通常主配架设置在程控机房内,用于垂直光缆和PABX的连接。
建议采用QCBIX系列配线架,可充分满足语音通信的要求。
(2)通常计算机网络主配线架设在网管中心,使用光纤配线架,用来连接来自各分配线间的光纤,并通过光纤跳线和计算机网络中心交换机相连。
光纤配线架可直接安装在标准的19in机柜内,用于主干光纤和网络设备的连接,十分易于管理。
(3)对于设备间的建设应满足一定的要求,如室温、湿度、地板负重能力、消防、电源及UPS等。
7.建筑群子系统设计
建筑群子系统应由连接各建筑物之间的综合布线缆线、建筑群配线设备(CD)和跳线等组成。
设计要求如下。
(1)建筑物间的缆线宜采用地下管道或电缆沟的铺设方式。
(2)建筑物群干线电缆、光缆、公用网和专用网电缆、光缆(包括天线馈线)进入建筑物时,都应设置引入设备,并在适当位置转换为室内电缆、光纤。
引入设备还包括必要的保护装置。
引入设备宜单独设置房间,如条件合适也可与BD或CD合设。
引入设备的安装应符合相关规定。
(3)建筑群和建筑物的干线电缆、主干光缆布线的交接不应多于两次。
(4)从楼层配线架(FD)到建筑群配线架之间只应通过一个建筑物配线架(BD)。
8.管线设计
综合布线系统中管线设计通常采用两种方案:
装配式槽形电缆桥架、地面线槽走线。
9.电气防护、接地及防火设计
综合布线系统应根据环境条件选用相应的缆线和配线设备,或采取防护措施,并应符合下列规定。
(1)当综合布线区域内存在干扰或用户对电磁兼容性有较高要求时,宜采用屏蔽缆线和屏蔽配线设备进行布线,也可采用光纤系统。
采用屏蔽布线系统时,所有屏蔽层应保持连续性。
(2)综合布线系统采用屏蔽措施时,必须有良好的接地系统。
(3)当电缆从建筑物外面进入建筑物时,电缆的金属护套或光纤的金属件均应有良好的接地,同时要采用过压、过流保护措施,并符合相关规定。
(4)根据建筑物的防火等级和对材料的耐火要求,综合布线应采取相应的措施。
(5)当综合布线线路上存在干扰源,且不能满足最小净距要求时,宜采用金属管线进行屏蔽。
综合布线电缆与附近可能产生高平电磁干扰的电动机、电力变压器等电气设备之间应保持必要的间距。
墙上铺设的综合布线电缆、光纤及管线与其他管线应保持适当的间距。
2.5网络安全设计
1、切实加强网络系统的组织领导和各业务部门之间的协调配合,安全工作从每个工作站、每个终端做起,牢牢控制人为因素。
加强用户的培训,健全用户操作网络安全的各项制度。
加强对磁介质尤其是软盘、光盘、磁带的保管,放置于干燥、洁净的环境,注意防磁、防潮、防尘。
重视软件和数据库管理维护工作,加强对用户操作、口令、授权管理。
如:
设置口令失效限期,要求使用者定期更改口令等。
2、在服务器上进行系统配置参数更改时,必须先将原配置参数记录下来,然后再进行更改。
需要对文件改动或删除时,要先进行备份,然后执行操作,以避免出现因误删而导致服务终止的情况发现。
严禁往服务器上备份不可靠的软件和数据,以保证在用的数据和软件不受病毒和其他破坏程序的攻击。
对于网络服务的启动和终止,必须严格按照标准的规范和步骤进行。
关闭网络服务器必须等待所有数据正常保存、服务全部终止后方可进行。
网络服务器上系统软件和应用服务软件的升级,要根据需求确定,升级操作严格按照说明进行。
3、完善系统安全
(1)选择NTFS格式来分区
(2)优化组件的定制
(3)管理好系统和资源权限
(4)用户帐户的安全设置
(5)安装杀毒软件
(6)安装防火墙侦听外界对本机所采取的攻击,及早提醒用户采取防范措施。
(7)安装系统补丁
(8)停止不必要的服务
(9)使用备份和还原机制
(10)使用组策略
三、网络配置与部署
3.1设备的配置
1、链路聚合
配置S2和S3之间的FA0/5和FA0/6的链路聚合。
S2(config)#interfacerangefa0/5-6
S2(config-if-range)#channel-protooclpagp
S2(config-if-range)#channel-group1modeon
S3(config)#interfacerangefa0/5-6
S3(config-if-range)#channel-protooclpagp
S3(config-if-range)#channel-group1modeon
2、确定根桥
配置确保S2是VLAN10的根桥,S3是VLAN10的根桥。
S2(config)#interfacefa0/1
S2(config-if)#switchportaccessvlan10
S2(config)interfacefa0/2
S2(config-if)#switchportaccessvlan20
S2(config-if)#exi
S2(config)#interfacevlan10
S2(config-if)#ipaddress192.168.10.254255.255.255.0
S2(config-if)#noshutdown
S2(config-if)exi
S2(config)interfacevlan20
S2(config-if)ipaddress192.168.20.254255.255.255.0
S2(config-if)noshutdown
S2(config)spanning-treevlan10priority4096
S2(config)spanning-treevlan20priority8192
S3是VLAN20的根桥
S3(config)#interfacefa0/1
S3(config-if)#switchportaccessvlan10
S3(config)interfacefa0/2
S3(config-if)#switchportaccessvlan20
S3(config-if)#exi
S3(config)#interfacevlan10
S3(config-if)#ipaddress192.168.10.253255.255.255.0
S3(config-if)#noshutdown
S3(config-if)exi
S3(config)interfacevlan20
S3(config-if)ipaddress192.168.20.253255.255.255.0
S3(config-if)noshutdown
S3(config)spanning-treevlan10priority8192
S3(config)spanning-treevlan20priority4096
3、VRRP
配置S2s3之间互为备份,配置VRRP,S2为master,优先级抢占值150,并监控fa0/3和fa0/4接口;S3为BLACKUP,优先级抢占值为100。
S2(config)#track10interfaceFastEthernet0/3line-protocol
S2(config)#track20interfaceFastEthernet0/4line-protocol
S2(config)#interfaceVlan10
S2(config-if)#vrrp10ip192.168.10.252
S2(config-if)#vrrp10priority150
S2(config-if)#vrrp10preempt
S2(config-if)#vrrp10track10decrement30
S2(config-if)#vrrp10track20decrement30
S2(config)#interfaceVlan20
S2(config-if)#vrrp20priority100
S2(config-if)#vrrp2ip192.168.10.252
S2(config-if)#vrrp2preempt
S3(config)#interfaceVlan10
S3(config-if)#vrrp10ip192.168.10.252
S3(config-if)#vrrp10priority100
S3(config)#interfaceVlan20
S3(config-if)#vrrp20priority150
S3(config-if)#vrrp20ip192.168.20.252
S3(config-if)#vrrp20preempt
4、PPP协议与CHAP认证配置
ISP2(config)#UsernameR1passwordsrb
ISP2(config)#Interfaces3/2
ISP2(config-if)#Encapsulationchap
ISP2(config-if)#pppauthenticationchap
usernameISP2passwordsrb
interfaces3/2
R1(config-if)#Encapsulationchap
R(config-if)#pppauthenticationchap
5、路由重分发
6、R1、S5之运行OSPF单区域0,S5和S6与S2、S3之间运行单区域1,
R1、S6之间运行RIPV2;做RIP和OSPF的路由重分发,保证总部的局域网的连通性。
S1(config)#router1
S1(config-router)#Network192.168.51.00.0.0.255area0
S1(config-router)#Exi
S1(config-router)#Routerrip
S1(config-router)#Version2
S1(config-router)#Network192.168.61.0
S1(config-router)#Noauto-summary
S5(config)#Routerospf1
S5(config-router)#Network192.168.51.00.0.0.255area0
S5(config-router)#Network192.168.25.00.0.0.255area1
S5(config-router)#Network192.168.35.00.0.0.255area1
Exi
S6(config)#Routerrip
S6(config-router)#Version2
S6(config-router)#network192.168.61.0
S6(config-router)#noauto-summary
S6(config-router)#exi
S6(config)#ospf1
S6(config-router)#network192.168.26.00.0.0.255area1
S6(config-router)#network192.168.36.00.0.0.255area1
S6(config-router)#exi
S2的配置
S2(con