网吧一体化解决方案.docx
《网吧一体化解决方案.docx》由会员分享,可在线阅读,更多相关《网吧一体化解决方案.docx(7页珍藏版)》请在冰豆网上搜索。
网吧一体化解决方案
网吧一体化解决方案
篇一:
网络一体化解决方案
网络一体化解决方案
一、中小企业方案
据国家经贸委统计,中国各类中小企业数量超过1000万家;在国民经济中,60%的总产值来自于中小企业,并为社会提供了70%以上的就业机会。
然而,正是在中国国民经济和社会中一直占据着至关重要的战略地位的中小企业,其信息化程度却十分落后。
因此,中国政府对中小企业的信息化建设高度重视,并把1999年定为中国的“中小企业年”。
经过一段时间的实施后,中小企业上网取得了可喜的成绩,但也还有许多企业对于网络的组网方案不熟悉,在这里和大家做写交流。
根据企业规模、网络系统的复杂程度、网络应用的程度,用户对于网络的需求各不相同,从简单的文件共享、办公自动化,到复杂的电子商务、ERP等等,在此对中小企业的一般应用做一些探讨。
最简配置
对于网络最简单的应用,就是将若干个计算机连接起来,组成对等的网络,计算机之间可以相互之间共享资源,如果其中一台计算机安装了打印机、MODEM等,其余计算机可以通过网络系统,共享打印机和MODEM,进行文件打印、上网查询等,利用相应的软件,可以完成定单管理、信息查询、数据统计等。
其网络拓扑图可以表示为:
在PCn上,可以安装PROXY、防火墙等网络管理软件,用以防范外部的攻击、对内部员工进行授权等,而用户数量的增加只是体现端口的增加,可以采用堆叠、级联、使用高密度端口网络节点设备来实现。
如果在工作中需要大量或者实时的数据通讯,可以用以太网交换机替代集线器,例如在工作中需要处理多媒体或进行图形设计等场合。
对于更进一步,在安全、互联网接入方式上有更多要求,可以使用路由器作为连接互联网的设备,具体的拓扑图是:
在这个方案中,可以使用路由器通过DDN专线连接到特定的网络(如互联网、行业内部网)中,提供更高速、安全的连接,也可以使用ISDN/MODEM,通过拨号连接到互联网中。
路由器和集线器之间,可以设置一台安装了两个网卡的服务器,分别连接在路由器和集线器上,作为网关,运行防火墙软件等,进行网络管理和安全防范。
在方案中,用ISDN/MODEM作为统一的出口,避免每台Pc配一个Modem,减少了购买费用,并且容易管理;而使用一台服务器加上网络管理的方法(即图1的方法),在一定程度上节约了费用,但可能造成系统不稳定,在维护和管理上也比较困难,所以在经费可以承担的基础上,最好使用路由器作为连接广域网的接口。
一般性应用
对于已经上了一定规模,在内部已经有了几个部门的企业,如果所有部门的用户无差别地处于对等网中,不仅使许多敏感数据容易被无关人员获取,而且部门内的大量通讯,也会占用大量的网络资源,使整个网络的效率变低,甚至引起崩溃。
为了克服这个问题,需要将经常进行通讯(通常在同一个部门内)的计算机组成一个子网,使大量的内部数据局限在子网内传播,然后将各个子网连接在一起,形成局域网。
具体的拓扑图如图3所示。
对于比较大的应用场合,除了网管服务器外,推荐采用专门的服务器进行数据库管理、文件管理,同时作为网络管理主机,可以进行权限限定、子网划分等,也可以将MIS、ERP,甚至网页等系统放入服务器。
如果采用DDN与广域网连接,还可以装载电子邮件服务程序。
这样做的最大优点在于可以方便地进行管理、维护。
在中心使用交换机,以提高整个网络的性能和速度,各个子网中的计算机用集线器连接。
对于比较重要、日常数据比较敏感的部门,例如财务部门,可以考虑使用部门服务器,存放重要数据,并运行防火墙程序,屏蔽非法的访问。
而普通部门的集线器可以直接与中心的交换机连接。
对于打印机、绘图仪等外部设备,可以根据需要放置在中心或相应部门;而在内部需要大量数据传输的部门,可以采用交换机替代集线器作为部门的网络节点。
分支机构
当企业进一步发展,可能需要建立分支机构,在地理上具有一定距离的分公司,依然需要在企业内部进行信息共享,实现办公自动化。
分支机构与总部连接有许多方式,但形式基本相似,以图4举例说明。
在方案中,分支机构通过路由器,与总部的路由器建立点到点的连接,连接方式可以采用DDN,也可以采用ISDN/MODEM通过拨号连接,此时总部的路由器作为拨入端使用。
如果分支机构采用DDN与总部连接,虽然两个网在地理上有距离,但在网络中可以看成是一个网络,同时分支机构也可以通过ISDN/MODEM直接访问互联网;如果采用ISDN/MODEM与总部连接,则无法同时通过ISDN/MODEM连接互联网。
总部的路由器除使用一个广域网端口或备份接口与分支机构连接外,还可以同时使用另一个广域网接口连接广域网,为整个企业提供对外接口。
如果分支结构与总部在一个城市,则采用ISDN/MODM,甚至DDN,都可以为许多企业所接受;如果分布在两个城市,则分支机构也可以连到互联网上,与总部通过VPN方式进行连接,可以节省许多费用,也能保证安全性,但在实时性上有所降低。
总结
对于中小企业,组网的方式、网络的结构、网络设备可以千差万别,重要的是根据企业的实际需求,确定网络的应用和功能,同时良好的网络拓扑结构、优秀的产品可以为数据传输提供坚实的保障。
二、校园网方案
实达全线网络产品可组成全线解决方案,应用在政府、银行、金融、保险、邮储、企业、学校等各行各业。
下面,以学校网络方案为例,剖析实达全系列网络产品在方案中的应用。
校园网的功能
组建校园网,就是组建一个基本能覆盖整个校园范围的计算机网络,将学校内各种计算机、服务器、终端设备连接起来,并通过一定接口连接到广域网。
在这些网络基础上,形成在校园内部、校园与外部进行信息沟通的体系,建立满足教学、科研和管理需求的计算机环境,为学校各种人员提供充分的网络信息服务,在网络环境中进行教学、研究、收集信息等工作。
校园需要的基本功能有:
1.电子邮件系统:
主要进行与同行交往、开展技术合作、学术交流等活动;
2.文件传输FTP:
主要利用FTP服务获取重要的科技资料和技术文挡;
3.INTERNET服务:
学校可以建立自己的主页,利用外部网页进行学校宣传,提供各类咨询
信息等,利用内部网页进行管理,例如发布通知、收集学生意见等。
4.计算机教学,包括多媒体教学和远程教学;
5.图书馆访问系统,用于计算机查询、计算机检索、计算机阅读等;
6.其他应用,如大型分布式数据库系统、超性能计算资源共享、管理系统、视频会议等。
校园网设计要求
作为一个先进的多媒体校园网,需要完成包括图书情报信息、学校行政办公等综合业务信息管理系统,为广大教职工、科研人员和学生提供一个在网络环境下进行教学和科研工作的先进平台。
校园网覆盖整个学校园区,在网络性能上应该考虑以下几个要求:
1.数据处理、通信处理能力强,响应速度快;
2.网络运行安全性、可靠性高;
3.系统易扩充,易管理,便于用户的增加;
4.主干网支持多媒体、群体、图象接口应用,支持高性能数据库软件包的持续增长;5.系统开放性、互连性好;
6.局域网既能方便远程用户的拨号接入,又能满足特殊用户高效地连入广域网,使用灵活;7.具有很强的分布式数据处理能力。
同时,在组建中,对网络产品还有以下要求:
1.坚持开放性,采用国际标准和通用标准;
2.采用先进而成熟的技术;
3.易于技术更新及网络扩展;
4.实用,性价比高;
方案设计
校园网网络主要包括校园办公系统、校园内部主页、内部电子邮件、多媒体教室、电子图书馆系统、校园IC卡管理系统、内部信息服务系统等;
1、概述
篇二:
网吧网络解决方案报告
网吧网络解决方案报告
以最根据目前许多地区的公安部门对网吧营业规模提出了要求,如场地和电脑的台数都有所规定,不同地区规定营业网吧电脑台数的要求不同,象在上海规定至少50台电脑,其他地区有些要求20台电脑的网吧才允许营业.
以最针对此类网吧网络,其网吧营业面积相对较小,计算机数量相对较少,电脑摆设比较集中。
虽然电脑台数不多,但网络的应用及性能需求却一点也不会少.NETGEAR对小于50台电脑的小型网吧网络做如下设计:
①以2台NETGEAR非网管机架式百兆交换机JFS524为中心。
JFS524非网管机架式交换机具有线速的交换性能。
提供24个10/100M端口接入,多达4K的MAC地址表,每端口工作在10M或100M时,包转发速率为/秒;最大延迟仅为20u/秒;真正达到快速以太网所需的性能。
以最另外JFS524还具有每端口连接线正/反线自识别功能,方便了电脑网卡的连接;简明的LED状态显示,方便网管直观的查看交换机运行状况。
2)网吧的广域网接口设备:
我们推荐采用NETGEARFR114P
篇三:
网吧网络实施解决方案
目录
第一部分配置原则概述...................................................................................................................2
1需要注意的配置事项...................................................................................................................2
配置ACL对非法报文进行过滤...................................................................................................2
进行源IP和目的IP过滤..................................................................................................2
限制ICMP报文...............................................................................................................4
限制netbios协议端口.....................................................................................................4
限制常见病毒使用的端口..............................................................................................4
关闭没有使用的端口......................................................................................................5
NAT配置注意事项....................................................................................................................6
路由配置注意事项....................................................................................................................6
进行IP-MAC地址绑定...............................................................................................................7
限制P2P应用(根据实际情况可选)........................................................................................7
通过ACL限制端口.........................................................................................................7
结合QOS和ACL限制端口流量......................................................................................7
限制单机的NAT会话数..................................................................................................9
在客户机上通过软件限制..............................................................................................9
2附:
限制常见P2P软件端口的ACL............................................................................................10
第二部分典型配置实例.................................................................................................................11
1单出口典型配置........................................................................................................................11
局域网内的主机地址是私网IP地址.........................................................................................11
局域网内的主机地址是公网IP地址.........................................................................................18
2双出口链路备份典型配置..........................................................................................................24
两条链路都是以太网链路的情况.............................................................................................24
两条链路是以太网链路+PPPOE链路的情况..........................................................................33
3双出口同时实现负载分和链路备份典型配置.............................................................................42
第一部分配置原则概述
随着网络建设和应用的不断深入,网络安全问题正逐渐成为一个突出的管理问题。
AR18系列路由器通过多种手段和配置可以控制和管理网络的流量,能够有效地实施各种防攻击策略。
尤其在网吧这种复杂的网络环境中,全面合理的配置能够大大提高网络的稳定性和可靠性。
由于网吧上网人员数量多、构成复杂、流动性大,因此网络流量具有流量大、协议种类多、流量复杂等特点。
一般网吧局域网内均有一定程度主机感染病毒,同时也很容易被用来发起网络攻击,或者被他人攻击,这就对网吧中的核心设备――网关提出了较高的要求。
本文以AR18系列路由器为例讲解网关在网吧应用中需要注意的配置事项,同时给出了各种组网情况下的典型配置。
1需要注意的配置事项
配置ACL对非法报文进行过滤
ACL是每个安全策略的组成部份,控制和监视什么数据包进入和离开网络几乎是网络安全的定义。
尽管路由器的工作是进行数据包的转发而不是阻止它。
但是有些数据包我们必须阻止它。
进行源IP和目的IP过滤
至少应该在所有的接口上对入方向的报文进行过滤。
在RFC2827/BCP38中高度建议使用入口过滤,这不仅可以使你的网络安全,而且可以使其它的网
络不会被来自你的网络的伪装的源IP给攻击。
许多的网络攻击者使用伪装的源IP地址来隐藏它们的身份,在网络使用了入口过滤功能后,也更加容易定位网络攻击者,因为攻击者必须使用真实的源IP地址。
例如:
假设局域网接口的IP地址为/24,广域网接口的IP地址为/30,在
局域网接口可以设置:
aclnumber3003
rule20XXpermitipsource
rule3000denyip
在广域网接口可以设置:
aclnumber3001
rule20XXpermitipdestination
rule20XXpermitipdestination
rule3000denyip
在广域网接口也可以通过静态包过滤结合ASPF进行更精确的包过滤和攻击防范。
例如:
#
aclnumber3011
rule160permiticmpicmp-typeecho
rule161permiticmpicmp-typeecho-reply
rule162permiticmpicmp-typettl-exceeded
rule206permittcpdestination-porteqtelnet
rule3000denyip
#
interfaceEthernet1/0
ipaddress
firewallpacket-filter3011inbound
firewallaspf1outbound
#
注意事项:
由于目前ASPF对内存和性能的影响较大,网吧应用环境中不建议在AR18系列路由器上进行配置。
在所有的出报文都需要进行NAT的情况下一般也没有必要配置ASPF。
限制ICMP报文
ICMP报文是另一种我们需要关心的数据包。
大量的攻击和病毒使用ICMP报文作为攻击手段。
但实际上internet是使用的ICMP绝大部分是ping和traceroute。
大量的其它icmp类型并不使用。
因此,实际上我们可以仅允许ICMP的pingecho和pingreply及traceroute所需要的TTL开放。
其它的均可以关闭。
例如:
aclnumber3001
rule160permiticmpicmp-typeecho
rule161permiticmpicmp-typeecho-reply
rule162permiticmpicmp-typettl-exceeded
rule165denyicmp
限制netbios协议端口
在现今的网络上,充斥着大量的网络扫描。
基于UDP137,138端口的扫描是常见的扫描,UDP137和UDP138是netbios的数据报和名字服务。
通常情况下,进入到路由器的137和138包是广播包,而路由器在默认情况下是不转发这些广播包的。
但在某些情况下,一些扫描工具扫描UDP137和UDP138的端口,以图找出主机上的共享文件夹。
这种情况下,进入路由器的数据包会是unicast的137和138,而且通常目的地址不停变化。
因此我们可以将这些UDP138和138的数据包通过ACL挡断。
保护用户和网络的安全。
例如:
aclnumber3001
rule31denyudpdestination-porteqnetbios-ns
rule41denyudpdestination-porteqnetbios-dgm
rule51denyudpdestination-porteqnetbios-ssn
限制常见病毒使用的端口
一般网吧中存在大量的“冲击波”、“震荡波”等病毒,这类病毒会不断地变化源IP或目的IP进行扫描和发送攻击数据,这会极大地消耗网络设备的资源。
笔者曾在一个网吧的实际环境中发现56%的上行报文都是“震荡波”病毒的扫描报文。
这些病毒一般使用固定的
端口,比如TCP/135、TCP/4444、UDP/1434、TCP/5554、TCP/9996等,通过ACL对匹配这些目的端口的报文进行过滤会大大提高网络设备的安全性。
例如:
aclnumber3001
rule10denytcpdestination-porteq445/
rule11denyudpdestination-porteq445/
rule20denytcpdestination-porteq135/
rule21denyudpdestination-porteq135/
rule30denytcpdestination-porteq137
rule40denytcpdestination-porteq138
rule50denytcpdestination-porteq139/
rule61denyudpdestination-porteqtftp/
rule70denytcpdestination-porteq593/
rule80denytcpdestination-porteq4444/
rule90denytcpdestination-porteq707/NachiBlaster-D
rule100denytcpdestination-porteq1433
rule101denyudpdestination-porteq1433
rule110denytcpdestination-porteq1434
rule111denyudpdestination-porteq1434/SQLSlammer
rule120denytcpdestination-porteq5554/Sasser