网络总体拓扑图.docx
《网络总体拓扑图.docx》由会员分享,可在线阅读,更多相关《网络总体拓扑图.docx(11页珍藏版)》请在冰豆网上搜索。
网络总体拓扑图
第3章网络总体设计
3.1.网络总体拓扑图
考虑到总公司的实际需求(总公司办公楼三座,员工住宿楼5座公司实际人数800人),因此在进行网络设计是不仅要考虑二成的冗余,同时还要进行三层的冗余。
在二层冗余建议使用思科的私有协议每VLAN生成树协议,由于总共五个部门,不会因为广播BPDU帧而影响网络的正常运行,而且还可以充分利用现有的网络资源,防止单台核心设备的负载太重而导致的网络性能问题。
在进行三层冗余时,我们建议采用两台CiscoCatalyst3560(或使用49系列)做热备,同时使用Cisco私有热备份路由协议技术(HSRP)。
CiscoCatalyst35系列交换机是一种价格低廉,有较高转发速率的三层交换机,同时还是CISCO生产线中适合做HSRP的交换机之一。
HSRP是思科的私有协议,它的优点是网络的收敛速度快,能够更好的使用网络变化,它可以根据需求配置成多组HSRP,实现网络的冗余容错等功能,这样设计不但保证网络的高可用性和稳定性,还能够充分利用现有设备的资源,以避免单台核心设备的负载太重而导致的网络性能问题。
由于公司的MAIL、DNS服务器都很少进行配置的更改,我们建议使用高端、稳定、具有良好安全性的LINUX操作系统;对于FILE、FTP、WEB2(由于使用两台web,我们建议web1使用liunx操作系统)作为公司中需要不断的进行性能改善与配置更改得设备,我们建议使用易操作、以管理的window操作系统。
对于AD的选择,由于要不断的进行策略的更改下发、加上LINUX系统域服务远不如WINDOW,我们建议使用window操作系统,这样便于网络管理员进行操作。
由于公司有大量的顾客以及公司员工要访问公司web服务器,我们将通过在核心路由器上配置轮训,以实现两台web服务器的负载均衡。
由于分公司也连接internet,那么内部网络安全问题仍然不能忽视。
分公司人员只有40-50人,那么访问internet占用的流量不多我们建议使用ISA来做分公司的网络防火墙。
这样虽说能够承载的网络流量不如硬件防火墙,但能够满足分公司的现在以及未来的网络需求。
对于外出的工作人员,他需要了解公司的相关情况,我们建议通过使用廉价、方便、快捷的easyVPN实现外出用户的远程拨入,同时这样还能为公司工作人员实现家庭办公提供有利的条件。
由于总公司与分公司相距较近,且两公司之间有大量的实时数据进行传递,同时从安全的角度进行考虑,总公司与分公司之间使用专线连接(协议选择PPP协议)是最佳选择。
为保证网路的冗余性如果专线出现问题,我们建议分公司通过IPSECVPN实现与总公司的网络链接。
如上图所示,整体网络可以根据功能划分为总部核心网络、内联接入包括办公网络、数据中心、分公司接入等,各区域相对独立,通过核心网络进行数据的交互。
各区域可以各自建立交换网络、路由接入、网络安全体系,可以有独立的安全策略、数据流量控制等个体的特性,而需要和其他区域的设备进行通讯的时候,则必须遵守核心网络区的策略。
作为总公司,需要向分公司及总公司内的员工进行软件的安全,策略的发布等。
如果通过管理员手动设置的方式进行相关操作,很不现实,通过域模型可以很方便的解决这个问题。
因此我们建议在总公司设立一台域控制器,以便于对公司员工的计算机进行统一的管理。
由于公司员工不仅要上公司内部网络,同时还要能够进Internet网络,而公司内部有自己的DNS服务器,显然使用DNS转发器是一种方便快捷的技术。
3.2网络层次化设计
随着网络技术的迅速发展和网上应用量的增长,分布式的网络服务和交换已经移至用户级,由此形成了一个新的、更适应现代的高速
大型网络的分层设计模型。
这种分级方法被称为“多层设计”。
多层设计有以下一些好处:
1:
多层设计有很好的容错功能.
2:
多层设计是模块化的,网络容量可随着日后网络节点的增加而不断增大。
3:
多层网络有很大的确定性,因此在运行和扩展过程中进行故障查找和排除非常简单。
4:
多层网络系统设计最有效地利用多种第3层业务,包括分段﹑负载分担和故障恢复等。
5:
多层网络中运用智能第3层业务可以大大减少因配置不当或故障设备引起的一般问题。
6:
多层模式使网络的移植更为简单易行,因为它保留了基于路由器和交换机的网络原有的寻址方案,对以往的网络有很好的兼容性。
7:
多层结构也能够对网络的故障进行很好的隔离。
通常pc及无法通过连接多台交换机实现冗余,但接入层交换机出现故障,连接此台交换机的pc不能正常运行,其它交换机上的设备仍能正常工作。
9:
多层设计有很好的冗余性。
随着网络规模的不断扩大,网络的可用性变的越来越重要。
由于分层设计的网络每台接入层交换机连接两台汇聚层交换机,每台汇聚层交换及连接两台核心层交换机,借以确保路径的冗余性。
针对实际情况我们可以采用二层结构模型。
二层结构模型划分核心层、接入层。
每个层次完成不同的功能。
核心层
核心层作为整个网络系统的核心。
它的功能主要是实现骨干网络之间的优化传输,核心层一直被认为是所有流量的最终承受者和汇聚者,所以对核心层的设计以及网络设备的要求十分严格。
核心层设备将占投资的主要部分,其主要功能是高速、可靠的进行数据交换。
业务汇聚层
业务汇聚层重点任务通常是冗余能力、可靠性、为接入层交换机提供接口和高速的传输,同时进行接入层的数据流量汇聚,并对数据流量进行访问控制(包括访问控制列表、VLAN路由等等)。
汇聚层是多台接入层交换机的汇聚点,它必须能够处理来自接入层设备的所有通信量,并提供到核心层的上行链路,因此汇聚层交换机与接入层交换机比较,需要更高的性能,更少的接口和更高的交换速率。
接入层
接入层主要任务是为终端用户提供足量的接口。
因此接入层交换机具有低成本和高端口密度特性。
同时,接入层是最终用户与网络的接口,它应该提供即插即用的接口,同时应该非常易于使用和维护。
主要是进行VLAN的划分、与分布层的连接等等。
3.3核心层设计
核心交换机的作用是尽快地提供所有的区域间的数据交换。
我们推荐使用两台CiscoCatalyst3560交换机完成此项功能。
两台3560交换机高性能、可靠性、可用性是我们主要考虑的因素。
本区的安全性可以由边界防火墙提供,如有需要在3560上面可以部署安全策略,使得核心交换区的安全性进一步地增强。
CiscoCatalyst3560系列凭借众多智能服务将控制扩展到网络边缘,其中包括先进的服务质量(QoS)、可预测性能、高级安全性和全面的管理,同时它还支持图形化配置。
它提供带集成永续性的出色控制,将永续性集成到硬件和软件中,缩短了网络停运时间。
CiscoCatalyst3560系列的模块化架构、介质灵活性和可扩展性减少了重复运营开支,提高了投资回报(ROI),从而在延长部署寿命的同时降低了拥有成本。
3.4接入层设计
对于公司连接员工的接入层交换机采用思科的WS-C2960以千兆以太链路和汇聚交换机相连接,并为用户终端提供10/100M自适应的接入,从而形成千兆为骨干,百兆到桌面的以太网三层结构。
办公系统所需的各种服务器如WEB服务器、邮件服务器、FTP服务器、域控制器等组成服务器群,数据中心的多种金融系统应用服务器,连接到汇聚交换机的千兆模块上面,因此,内部的局域网是采用双层结构组建。
对于连接服务器的接入层交换机,建议使用有较高吞吐量的交换机二层交换机来做接入层接入,以满足当前以及未来的网络需求,在这里我们建议使用SR2042系列交换机
3.5内联接入
内联接入的作用是用于连接总公司和分公司之间的网络。
我们推荐总公司是用CISCO2821路由器、分公司是用2811路由器。
CISCO2821自带2个10/100/1000兆自适应端口,可以作为连接两台3560系列交换机是用,是用WIC模块连接广域网接口。
与相似价位的前几代思科路由器相比,Cisco2800系列的性能提高了五倍、安全性和话音性能提高了十倍、具有全新内嵌服务选项,且大大提高了插槽性能和密度,同时保持了对目前Cisco1700系列和Cisco2600系列中现有90多种模块中大多数模块的支持,从而提供了极大的性能优势,它是当前CISCO公司唯一种价格低廉,功能完备的路由器,是做内联接入的首选路由器。
由于总部网络和分部机房属于公司的内部网络的一部分,因此可信度很高;接入时主要作用是生产运营系统的数据交换,查询等等和管理以及监控加上CISCO2811,2821都有自带的防火墙设备。
总结以上的原因,内联路由器与核心交换网络间不需要配置额外的防火墙。
第4章路由设计
4.1路由协议选择
为达到路由快速收敛、寻址以及方便网络管理员管理的目的,我们建议采用动态路由协议。
目前较好的动态路由协议是OSPF协议和EIGRP协议。
OSPF以协议标准化强,支持厂家多,受到广泛应用,而EIGRP协议由Cisco公司发明,不便于未来网络扩展,考虑到网络的快速收敛和扩展性、公开性、投资的保护等原因,我们设计采用OSPF路由协ShortestPathFirst开放式最短GatewayProtocol,简称IGP),用于By-gnksguybb在单一自治系统(autonomoussystem,AS)内决策路由。
OSPF的协议管理距离(AD)是110。
优点:
1、OSPF收敛速度快:
能够在最短的时间内将路由变化传递到整个治系统。
2、提出区域(area)划分的概念,将自治系统划分为不同区域后,通过区域之间的对路由信息的摘要,大大减少了需传递的路由信息数量。
也使得路由信息不会随网络规模的扩大而急剧膨胀。
3、将协议自身的开销控制到最小。
4、良好的安全性,ospf支持基于接口的明文及md5验证。
5、OSPF适应各种规模的网络,最多可达数千台。
6、OSPF支持明文以及MD5加密验证,并且提供等价的负载均衡功能,如果计算出到某个目的站有若干条费用相同的路由,OSPF路由器会把通信流量均匀地分配给这几条路由,沿这几条路由把该分组发送出去;
7、OSPF对于网络的拓扑结构变化可以迅速地做出反应,进行相应调整,提供短的收敛期,使路由表尽快稳定化,并且与其它路由协议相比,OSPF能够划分多区域,在对网络拓扑变化的处理过程中仅需要很少的通信流量;
9、OSPF支持CIDR(无类型域间路由)地址和VLSM(可变长子网)。
4.2路由规划拓扑图
4.3IP地址规划
IP地址是用来标识网络中的一个节点。
IP地址空间的分配,要与网络层次结构相适应,既要有效地利用地址空间,又要便于管理员手动配置以及ip地址的扩展性和灵活性,同时能满足路由协议的要求,提高路由算法的效率,加快路由变化的收敛速度。
我们根据以下几个原则来分配IP地址:
唯一性:
一个IP网络中不能有两个主机采用相同的IP地址。
简单性:
地址分配应简单易于管理,降低网络扩展的复杂性,简化路
由表的款项。
连续性:
连续地址在层次结构网络中易于进行路由总结(Route
Summarization),大大缩减路由表,提高路由算法的效率
可扩展性:
地址分配在每一层次上都要留有余量,在网络规模扩展时
能保证地址总结所需的连续性。
以管理、以维护性:
由于网络中需要启用NAT技术,在进行网络规划是我们认为不必要考虑ip地址浪费问题。
我们着重考虑的应该是网络的ip地址配置、子网掩码配置的方便、简单、易操作等问题(我们尽可能的使用主网地址)。
第5章网络安全解决方案
5.1网络边界安全威胁分析
网络的边界隔离着不同功能或地域的多个网络区域,由于职责和功能的不同,相连网络的密级也不同,这样的网络直接相连,必然存在着安全风险,下面我们将对公司网络就网络边界问题做脆弱性和风险的分析。
公司网络主要存在的边界安全风险包括:
1:
公司总网络与各级单位的连接,可能遭到来自各地的越权访问、
2:
恶意攻击和计算机病毒的入侵;
3:
恶意软件或从Internet下载的黑客程序恶意攻击内部站点,致使网络局部或整体瘫痪;
4:
网络拓扑结构设计也直接影响到网络系统的安全性。
假如在外部和内部网络进行通信时,内部网络的机器安全就会受到威胁,同时也影响在同一网络上的许多其他系统。
5:
内部的各个功能网络通过骨干交换相互连接,这样的话,重要的部门或者专网将遭到来自其他部门的越权访问。
这些越权访问可能包括恶意的攻击、误操作等等,但是它们的后果都将导致重要信息的泄漏或者是网络的瘫痪。
5.2网络内部安全威胁分析
公司内部网络的风险分析主要针对整个内网的安全风险,主要表现为以下几个方面:
1、内部用户的非授权访问;内部的资源也不是对任何的员工都开放的,也需要有相应的访问权限。
内部用户的非授权的访问,更容易造成资源和重要信息的泄漏。
2、内部用户的误操作;由于内部用户的计算机造作的水平参差不
齐,对于应用软件的理解也各不相同,如果一部分软件没有相应的对
误操作的防范措施,极容易给服务系统和其他主机造成危害。
3、内部用户的恶意攻击;就网络安全来说,据统计约有70%左右
的攻击来自内部用户,相比外部攻击来说,内部用户具有更得天独厚
的优势,因此,对内部用户攻击的防范也很重要。
4:
设备自身安全性也会直接关系到各种系统和各种网络应用的正常运转。
例如,路由设备存在路由信息泄漏、交换机和路由器设备配置风险等。
5、重要服务器或操作系统自身存在安全的漏洞,如果管理员没有及时的发现并且进行修复,将会为网络的安全带来很多不安定的因素。
6、重要服务器的当机或者重要数据的意外丢失,都将会造成内部的业务无法正常运行。
如断电、硬盘损坏等问题。
7、安全管理的困难,对于众多的网络设备和网络安全设备,安全策略的配置和安全事件管理的难度很大。
8:
所谓系统的安全是指整个网络操作系统和网络硬件平台是否可靠且值得信任。
目前恐怕没有绝对安全的操作系统可以选择。
因此不但要选用尽可能可靠的操作系统和硬件平台,并对操作系统进行安全配置。
而且,必须加强登录过程的认证(特别是在到达服务器主机之前的认证),确保用户的合法性;其次应该严格限制登录者的操作权限,将其完成的操作限制在最小的范围内。
5.3管理的安全威胁分析
管理是网络中安全最最重要的部分。
责权不明,安全管理制度不健全及缺乏可操作性等都可能引起管理安全的风险。
当网络出现攻击行为或网络受到其它一些安全威胁时(如内部人员的违规操作等),无法进行实时的检测、监控、报告与预警。
建立全新网络安全机制,必须深刻理解网络并能提供直接的解决方案。
因此,最可行的做法是制定健全的管理制度和严格管理相结合。
保障网络的安全运行,使其成为一个具有良好的安全性、可扩充性和易管理性的信息网络便成为了首要任务。
一旦上述的安全隐患成为事实,所造成的对整个网络的损失都是难以估计的。
因此,管理中责任的划分建设是旭日公司网络建设过程中重要的一环。
5.4安全产品选型原则
公司网络属于一个行业的专用网络,因此在安全产品的选型上,必须慎重,选型的原则包括:
1、安全保密产品的接入应不明显影响网络系统运行效率,并且满足工作的要求,不影响正常的业务;
2、安全保密产品必须满足上面提出的安全需求,保证整个公司企业网络的安全性。
3、安全保密产品必须通过国家主管部门指定的测评机构的检测;
安全保密产品必须具备自我保护能力;
4、安全保密产品必须符合国家和国际上的相关标准;
5、适用原则。
绝对的安全是不存在的,因此公司必须具有“安全风险”意识。
信息安全产品的安装不一定意味信息系统不发生安全事故。
所有的安全产品只是降低安全事件发生的可能性,减小安全事件所造成的损失,提供弥补损失的手段。
6、结合实际原则:
企业应考虑清楚自己信息系统最大的安全威胁来自何处,信息系统中最有价值的是什么,信息系统造成的哪些损失是自己无法忍受的。
安全产品只要为企业提供足够的手段应对主要的安全威胁,将可能的损失减小到可以接受的范围之内。
7、不降低信息系统综合服务品质的原则。
目前中国许多企业往往是在信息系统规划(或建设)完成之后才考虑信息安全,即所谓的“打安全补丁”。
这种“补丁”做法往往会给信息安全产品的选型带来很多困难,因为很多时候,信息安全与系统的使用便利性和效率往往是一对矛盾。
8、企业需要在考虑安全性的前提下,综合系统的其它性能,结合评估系统的服务品质,定下系统综合服务品质参数,在此基础上,以不降低综合服务品质为原则,对信息安全产品进行选型。
9、安全产品必须操作简单易用,便于简单部署和集中管理。