《中小型公司企业网络构建与安全设计(共12页).doc》由会员分享,可在线阅读,更多相关《中小型公司企业网络构建与安全设计(共12页).doc(12页珍藏版)》请在taowenge.com淘文阁网|工程机械CAD图纸|机械工程制图|CAD装配图下载|SolidWorks_CaTia_CAD_UG_PROE_设计图分享下载上搜索。
1、精选优质文档-倾情为你奉上中小型企业网络构建及安全实现方案目 录一、工程概况1、工程详述企业总部公司有 300 台 PC;公司共有多个部门,不同部门的相互访问要有限制,公司有自己的内部网页与外部网站;公司有自己的 OA 系统;公司中的台机能上互联网;核心技术采用VPN;,企业内共有300多名员工;建筑高7层,都具有一样的内部物理结构。一层设有本建筑的机房,少量的信息点,供未来可能的需求使用,目前并不使用。二层和三层,每层楼布有96个信息点。四层到七层,每层楼布有48个信息点,共400个信息点。每层楼有一个设备间。楼内综合布线的垂直子系统采用多模光纤,每层楼到一层机房有两条12芯室内多模光纤。要
2、求将除一层以外的全部信息点接入网络,但目前不用的信息点关闭。2、项目工期2010年3月24日-2010年5月29日二、需求分析网络上的要求: 稳定,有安全机制,升级扩展容易,用户使用简单,维护容易等。系统要求: 配置简单方便,系统运行有高稳定性,可管理性等。用户要求: 满足基本带宽要求,保留一定的余量供扩展等。设备要求: 技术上具有先进性,易管理,具有良好的性价比。三、网络系统设计规划1、网络设计指导原则网络设计应该遵循开放性和标准化原则、可用性原则、高性能原则 、经济性原则 、可靠性原则、安全第一原则、适度的可扩展性原则、易管理性原则、易维护性原则、最佳的性能价格比原则、QoS保证2、网络设
3、计总体目标灵活性:系统具有较高的适应变化的能力。布线系统且具有一定的扩展能力。实用性:使用方便、简单、易扩展的特点。布线系统应在满足各种需求的情况下尽可能降低材料成本;布线系统具有操作简单、使用方便、易于扩展的特点。安全性:具有高安全性。3、网络通信联网协议TCP/IP :每种网络协议都有自己的优点,但是只有TCP/IP允许与Internet完全的连接。Telnet:远程登录访问协议,使其他跨省区域的用户通过远程访问总部的内外,在远程访问时,会设置相应的ACL认证和相对的权限设置。SNMP网络管理协议:SNMP 用于在 IP 网络管理网络节点(服务器、工作站、路由器、交换机及 HUBS 等)的
4、一种标准协议,它是一种应用层协议。SNMP 使网络管理员能够管理网络效能,发现并解决网络问题以及规划网络增长。通过 SNMP 接收随机消息(及事件报告)网络管理系统获知网络出现问题。路由协议:OSPF。4、网络 IP 地址规划企业园区网计划使用私有的A类IP地址。企业园区网的IP地址分配原则如下:企业使用IPv4地址方案。企业使用私有IP地址空间:10.0.0.0/8。企业使用VLSM(变长子网掩码)技术分配IP地址空间。企业IP地址分配满足集团的利用。 企业IP地址分配满足便于路由汇聚。企业IP地址分配满足分类控制等。企业IP地址分配满足未来公司网络扩容的需要。 5、网络设备方案设计路由器:
5、CISCO 2811 参考价:5200思科2811路由器采用模块化端口结构,传输速率 10/100Mbps 设置一个10/100Mbps固定广域网接口,2个固定局域网接口10/100Mbps,支持4个扩展模块插槽,1个NM插槽和1个Console控制端口,配有RS-232的控制端口。该产品搭载Motorola MPC860 160MHz的处理器,配备最大256MB的Flash闪存和最大760MB的DRAM内存,极大的提高了该产品的安全性能。思科2811支持IEEE 802.3X网络协议以及SNMP网管协议,同时还配备Cisco ClickStart网管软件,支持VPN-虚拟专用网,以及QoS,
6、协议方面支持比较完善。安全方面,2811内置了防火墙,并支持UL 60950:CAN/CSA C22.2 No. 60950、IEC 60950、EN 60950-1、AS/NZS 60950等众多安全标准,为企业用户提供更安全的网络服务。三层交换机:采用友讯网络(D-Link)DES-3326 参考价:6300元DES-3326是友讯网络公司推出的一款可网管、支持千兆的10/100M智能三层交换机,是一款线速第三层交换机,提供了24个10/100BASE-TX端口及1个扩展插槽,可扩展2个可选千兆以太网端口。DES-3326交换机将第二层线速交换及第三层IP路由以及服务质量(QoS)有机集成
7、为一体,并可采用支持SNMP标准的网管系统进行配置、监控和管理。DES-3326交换机前面板插槽可选插2口千兆模块,不同模块可支持1000BASE-SX、1000BASE-T标准。所有模块支持流量控制和全双工,可处理大量数据。支持优先级队列和QoS机制,优先级队列功能可以根据数据交换的重要性进行排队,优先交换重要数据。该款交换机具有端口聚合功能,最大可将8个10/100Mbps端口聚合成一个端口,而聚合之后的这个端口性能非常强大,这项功能主要是帮助那些需要高带宽端口而又不想投入过多资金的用户使用,而这项功能最主要的应用场合是VLAN划分,VLAN划分需要设置汇聚链路,而汇聚链路对带宽要求非常高
8、,通过端口聚合功能可提供一个高带宽的端口。DES-3326支持SNMP管理和RMON监控功能,并且还支持端口镜像功能,通过这些功能,管理员可对该款交换机进行管理、配置以及对此款交换机所连接的网络进行监控。DES-3326交换机还提供了流量控制功能,支持VLAN划分,提供了冗余电源接口等。二层交换机:D-Link DES-1024D 参考价:530它符合百兆以太网标准,提供了24个自适应全/半双工10/100Mbps端口,可自动判断连入设备的类型提供相应的连接方式和带宽。另外利用配备的16K的MAC地址表和2.5MB缓存,它可以利用IEEE802.3x流量控制技术动态将缓存分配到各个端口,保持网
9、络畅通。6、网络安全系统设计外网安全设计:采用: 防火墙系统:采用防火墙系统实现对内部网和广域网进行隔离保护。对内部网络中服务器子网通过单独的防火墙设备进行保护。 入侵检测系统:采用入侵检测设备,作为防火墙的功能互补,提供对监控网段的攻击的实时报警和积极响应。病毒防护系统:强化病毒防护系统的应用策略和管理策略,增强病毒防护有效性。垃圾邮件过滤系统:过滤邮件,阻止垃圾邮件及病毒邮件的入侵。并形成如下的网络安全体系模型图为 网络与信息安全防范体系模型内网安全设计:访问控制,通过密码、口令(不定期修改、定期保存密码与口令)等禁止非授权用户对服务器的访问,以及对办公自动化平台、的访问和管理、用户身份真
10、实性的验证、内部用户访问权限设置、ARP病毒的防御、数据完整、审计记录、防病毒入侵。对内部采用:网络管理软件系统:使网管人员对网络中的实时数据流量情况能够清晰了解。掌握整个网络使用流量的平均标准,定位网络流量的基线,及时发现网络是否出现异常流量并控制带宽。采用Cisco Works 网络管理软件。Cisco Works for Windows网络管理软件主要应用在中小型企业的网络环境。它是一个综合的,经济有效的,功能强大的网络管理工具,能够对交换机路由器,访问服务器,集线器等网络设备进行有效的管理。Cisco Works for Windows网络管理软件可以安装在 Windows95/98/
11、NT等 操作系统上。 这个网络管理软件最多可以管理数百个节点。 采用同一厂商的网管能够对设备进行更为详尽细致的管理,Cisco Works for Windows拥有思科全套产品的数据库,能够调出各种产品的直观视图,深入到每个物理端口去查询状态信息,其主要功能包括: 自动发现和显示网络的拓扑结构和设备; 生成和修改网络设备配置参数; 网络状态监控; 设备视图管理; Cisco Works Windows基于流行的Windows操作平台,界面友好,易于掌握,能够满足校园网对网管的功能全面而又要方便操作的要求。 交通部干部管理学院 15号机房拓扑图内外网安全之间设计采用VPN系统:对远程办公人员及
12、分支机构提供方便的 VPN接入,保护数据传输过程中的安全,实现用户对服务器系统的受控访问。移动用户管理系统:对内部笔记本电脑在外出后,接入内部网进行安全控制,确保笔记本设备的安全性。有效防止病毒或黑客程序被携带进内网。内部办公自动化网络根据不同用户安全级别或者根据不同部门的安全访问需求,可以利用三层交换机来划分虚拟子网(VLAN)。同时通过在不同VLAN间做限制来实现不同资源的访问控制。通过虚拟子网的划分,既方便局域网络的互联,又能够实现访问控制。拓扑图 网络构建特点:1. 设备性价比高。在中小企业信息化建设阶段,由于中小企业资金少,所以选择性价比高且能满足需求网络设备是中小型企业的首选。2.
13、 安全性高。采用安全防护体系结构,更安全。3. 管理容易。由于人才缺乏,所以中小型企业的管理能力显得相对薄弱,这时应选择易管理,又经济适用的管理软件是符合中小企业的要求的。 4采用QOS机制,使网络更稳定。四、网络布线系统设计1、布线系统总体结构设计总体1栋建筑,从总部机房用十二芯单模光纤与另一建筑的设备间|BD|相连,每个设备间也设用十二芯多模光纤与每层的电信间|FD|,并用五类非屏蔽双绞线从电信间与工作站相连接,集团园区网采用10M的光纤以太网接入到因特网服务提供商的网络,然后接入到因特网中,使集团实现与外界的信息交换和网络通信。集团统一由总部机房的一个出口访问Internet,集团能够控
14、制网络的安全。在服务器和核心交换机间:使用UTP电缆来将服务器连接到核心交换机。2、工作区子系统设计工作区子系统由各个单元区域构成,是计算机、电话和信息插座的连接部分,包括连接跳线和信息插座。信息插座面板具备:通用、超薄、简易、防尘等特点;信息插座的模块采用类RJ-45模块;线缆采用超五类双绞线;水晶头采用RJ-45标准水晶头。为降低成本和结合客户终端的位置多变的特点,跳线可采用原装跳线与自制跳线相结合的方式,中心机房内设备之间、楼宇机柜内设备之间、服务器、重点客户终端的跳线采用原装成品跳线,其余采用自制跳线。跳线制作统一采用EIA/TIA 568B标准,以使系统具有更好的兼容性3、水平子系统
15、设计水平子系统主要是实现信息插座和管理子系统,即中间配线架(IDF)间的连接。水平子系统为星形拓扑。在水平子系统中采用超五类非屏蔽双绞线。双绞线水平布线链路中,水平双绞线的最大长度均不超过90m。为了网络系统的稳定性和扩展性超五类非屏蔽双绞线。4、管理子系统设计管理子系统设计由配线间构成。由各种规格的配线架实现水平、垂直主干线缆的端接及分配;由各种规格的跳线实现布线系统与各种网络、通讯设备的连接,并提供灵活方便的线路管理能力。分配线间是各治理子系统的安装场所,可安装配线架和计算机网络通信设备。对于信息点不是很多,使用功能近似的楼层,为便于治理,仅设置一个共用的子配线间;对于信息点较多的楼层则在该层设立配线间。5、干线子系统设计干线子系统设计由连接主设备间与各治理子系统的室内干线电缆构成。数据主要从网络配线间向各个子配线间敷设12芯单模室内多模光纤。6、设备间子系统设计设备间子系统设计由设备间中的电缆、连接器和相关支撑硬件组成,把公共系统(通讯系统,计算机系统和建筑自动化系统等)设备的各种不同设备互连起来。使用12芯单模室内多模光纤将其连接。7、建筑群子系统设计建筑群子系统是将一栋建筑物内的电缆延伸到建筑群中的另外一些建筑物内的通信设备和装置上,采用光缆布线是目前主要的建筑间布线方式。建筑间的主干光缆采用12芯单模。专心-专注-专业