《嘉佳信息科技有限公司网络规划设计.docx》由会员分享,可在线阅读,更多相关《嘉佳信息科技有限公司网络规划设计.docx(29页珍藏版)》请在taowenge.com淘文阁网|工程机械CAD图纸|机械工程制图|CAD装配图下载|SolidWorks_CaTia_CAD_UG_PROE_设计图分享下载上搜索。
1、嘉佳信息科技有限公司网络规划设计摘要:嘉佳信息科技有限公司成立于2016年,经过三年的发展公司日益壮大,嘉佳信息科技有限公司从创建之初,积极响应国家号召,把信息安全作为公司发展的时代决策,公司主要分成五个部门,研发部,销售部,行业事业部以及管理处。 近年来,因为公司发展势头迅猛,业务增长非常迅速,导致原本公司的场地和网络不足以支撑起内部人员的需求以及管理人员的要求,2019年嘉佳信息科技有限公司在广州南沙区新买下了一栋办公楼中的五个楼层作为主营业务办公楼,现在需要对其进行网络规划设计以满足内部员工迁移过来的业务正常进行,为后续继续扩大公司规模做准备。首要的是做链路冗余,VRRP技术,HRP协议
2、配置,WLAN无线技术可以保证公司网络环境的连通性,为了防止内网的环路产生,需要划分VLAN规划内部网络,提高内网安全性和稳定性。内网互通后就是连接公网,为了保证内外网互通的安全性和连通性,多数企业都会做DHCP,OSPF,ACL控制,VPN保密传输等,除此之外,可以选择增加上网行为管理,防火墙以及无线设备来增强内网的安全性,实质上,一个完整的网络规划设计要考虑的东西很多,必要结合实际情况来对IP地址进行合理的规划,对内部安全进行保护。本论文主要意义就是对嘉佳信息科技公司网络规划项目的建设和实施,紧跟信息化的时代潮流中,使用安全,稳定的网络帮助自身的发展和进步。关键词:VRRP,网络设备,VL
3、AN,DHCP。Network Planning and Design of JiaJiaInformation Technology Co., LTDAbstract: Jiajia Information Technology Co. , Ltd. was established in 2016. After three years of development, Jiajia Information Technology Co. , Ltd. has been growing day by day. Since its inception, Jiajia Information Tech
4、nology Co. , Ltd. has actively responded to the national call and made information security the decision of the Times for the companys Development, the company is mainly divided into five departments, R & D Department, Sales Department, Industry Department and Management Department.In recent years,
5、due to the rapid development of the company and the rapid growth of its business, the companys original site and network is not enough to support the needs of internal personnel and the requirements of management personnel, in 2019, Jiajia Information Technology Co. , Ltd. bought five floors of a ne
6、w office building in Nansha New Area, Guangzhou as its main business office building, it now needs to be network designed to meet the internal staff of the business migration to the normal, in order to continue to expand the companys scale. The first is to do link redundancy, VRRP technology, HRP pr
7、otocol configuration, WLAN wireless technology can ensure the connectivity of the company network environment, in order to prevent the generation of internal network loop, the need to divide Vlan planning internal network, improve internal network security and stability.In order to ensure the securi
8、ty and connectivity of internal and external networks, most enterprises will do DHCP, OSPF, ACL control, VPN secret transmission, etc. . In addition, they can choose to increase the management of network behavior, firewall and wireless devices to enhance the security of the network, in fact, a compl
9、ete network planning and design to consider a lot of things, it is necessary to combine with the actual situation to carry out reasonable planning of IP address, to protect the internal security.The main significance of this paper is to the construction and implementation of Jiajia Information Techn
10、ology Companys network planning project, keep up with the trend of the information age, use safe and stable network to help its own development and progress.Key words: VRRP, network equipment, VLAN, DHCP.目 录1 绪 论11.1 项目的背景和意义11.1.1 项目背景11.1.2项目的意义11.2 项目的研究的基本内容与方法21.2.1项目的研究方法21.2.2研究的基本内容22 网络建设需求
11、分析32.1 网络建设需求32.2 接入点概况42.3 网络性能需求分析42.4 网络建设目标53 网络建设方案63.1 办公网络总体设计63.1.1 核心网络73.1.2 部门网络73.1.3 服务器/安全设备网络83.2 子网划分83.2.1 主机子网划分83.2.2 无线终端子网划分93.3 设备选型93.3.1核心层93.3.2汇聚层103.3.3接入层113.3.4 防火墙123.3.5 SSL VPN124 项目实施技术配置144.1 VLAN划分144.2 网络DHCP配置144.3 防火墙双机热备154.4 VRRP164.5 NAT地址转换164.6 SSL 协议175 项目
12、实施195.1 实施前的准备195.2 室内设备安装要求195.3 施工注意事项205.3.1 环境要求205.3.2 机房实施要求215.3.3 现场从属人员注意事项216 总结22参考文献24致谢251 绪 论1.1 项目的背景和意义1.1.1 项目背景网络,计算机的技术和通信的技术两者结合在一起所产生的概念产物,现如今,网络已经是计算机应用系统里面不能替换的一部分。网络规划,是建设一个网络的根本,是面向需求用户的网络应用需求进行分析,然后构思,设计出满足用户日常生产需求的计算机网络的过程,大数据时代的来临更加需要网络相关从业人员重视网络规划,2019年嘉佳信息科技有限公司在广州南沙区新买
13、下了一栋办公楼作为主营业务办公楼,现在需要对其进行网络规划设计以满足内部员工迁移过来的业务正常进行,为后续继续扩大公司规模做准备。1.1.2项目的意义本次网络规划设计要求完成嘉佳信息科技有限公司办公楼各楼层部门办公的划分,实现内部员工可以随时随地的,自由自在的接入互联网,从而开展线上业务,以及同合作单位实现业务系统互访,跟下级单位进行业务通信,完成内部的各种工作业务,可以快速的访问上级下级,合作单位的网络资源。保证在办公楼中角落的无线信号强度高,质量好,业务板块迅速响应,建立起来的VPN业务隧道可以实现不同单位内网到内网互通,提供满意的工作业务速度,提升员工的工作效率,并且对内部网络进行上网行
14、为管理,对内部网络进行公司上层管控。1.2 项目的研究的基本内容与方法1.2.1项目的研究方法本论文在撰写过程中主要运用了以下的研究方法:基本文献查询研究,根据本论文提及的项目范围以及项目预期要达成的目标,以此为基准来查询相关网络规划设计的文献来获取规划信息,从而使得本论文所要表达的研究内容更好的展现出来。调查研究,在论文撰写过程中,往往会有一些突发情况使得原先的计划出现人力不可抗的偏移,此时就需要我们调查研究,通过调查研究来找到问题所在,并相对应的解决它,可以通过询问老师,同事,同学来达到预期需要的效果。以实验为研究,由于嘉佳信息科技有限公司需要的网络建设性较大,对业务板块的可持续性,高可用
15、性,可靠性做了较高的要求,相对应的对于硬件设备的要求也相应的要调整高度可用性,对于不同场景需要的网络强度提出不同的需求。1.2.2研究的基本内容(1)需求分析:需要根据具体的需求为嘉佳信息科技办公楼设计网络拓扑图;(2)调查分析:明确公司业务的范畴和上级领导对内部网络需要达到的要求; (3)结合公司办公楼的实际场景,以此来设计办公内网; (4)根据内部员工特性、要求和安全需要,设计出对应的网络访问规则;(5)根据实施的具体现场情况,提供具体可行的解决方案。2 网络建设需求分析2.1 网络建设需求本次网络系统建设完成后保证能够使用电脑,手机以及移动设备能够安全,便捷的接入公司网络,为了保证公司大
16、楼的无线网络能够稳定高效的提供访问互联网服务,该设计网络必须具有很高的安全,稳定以及快速可管理的特性。需要包含以下几点:(1) 要实现公司的全面无线网络覆盖,便捷的使智能移动设备接入网络;(2) 需要实现网络安全接入:公司的无线网络是实现的空间覆盖,也就是整个大楼可以自动接入,为了保证公司信息的安全和核心技术的防盗防丢失,抵御外部不法黑客入侵盗取机密,恶意攻击,因此公司的无线网络需要具有相应的安全防范手段,以及上网用户审核的技术,以此来保证网络安全高效稳定的运行。(3) 整体的无线网络要遵循高可靠性的原则,预防广播风暴导致的网络链路瘫痪,因此可以采用相关的预防ARP广播风暴技术,以及提供相对应
17、的预防设备链路冗余。(4) 整体网络需要具有可扩展性和扩充原则:考虑到公司未来的发展壮大,规模的变大以及员工的增加,届时原先设计的网络肯定不能继续提供技术支持,此时可以选择扩充当前网络模块,扩展当前网络规模,以此来支持更大规模的人员变动,也对网络没有太大的影响,保护公司现有的资源和财产。(5) 整体的网络设计需要加强安全等级进行公司财产保护,保护公司核心技术不会通过网络泄露,被黑客攻击而窃取公司核心机密,保护公司长期的安全稳定,架设防火墙,实行网关验证,使网络通畅要进行网络负载均衡,为公司人员扩展提供相关的技术支持,为公司的业务保证带来良好的发展前景。(6) 对公司员工上班时间进行网络访问限制
18、,利用上网行为管理对公司大楼的员工进行上网行为限制,定位系统工作,以此来确保公司下面员工的工作完成程度以及个人绩效考核,保护公司的财产不受损失,为管理员工提供相对便捷的方式,做到生产透明化,工作一体化,管理人性化三个要求。2.2 接入点概况公司大楼总共有五个楼层,公司划分为四个大部门:行业事业部,销售部,开发部和管理处。每个部门都划分一个子网网段:办公部在公司大楼5楼,有50个接入点;开发部在公司大楼4楼,有三个开发实验室,每个实验室有50个接入点;销售部在公司大楼2-3层,有八个销售团队,每个团队有20个接入点,1楼是行业事业部负责前台接待以及客户会见安排,总共有100个接入点。公司大楼共计
19、460个网络接入点。2.3 网络性能需求分析1、实用性:实用性首先肯定是要有实用的网络为目的这个原则,在建设过程里面,考虑多一点的是这个网络设计,要满足领导对公司业务的一个需求,然后着手进行构思,不能说设计出来的网络看着好看,其实是个纸老虎,设计了要保证公司业务正常进行,内部网络安全稳定快速,在访问其他合作伙伴公司的内部系统时候高效可行,确保内部网络各个角落无线信号稳定,满足员工需求。2、安全性:肯定要有保密机制,对领导,下级管理人员的权限分配以及对应的权限控制的一种机制,要防止非法入侵,内部人员泄密。3、可管理性:可管理,首先是嘉佳网络规划设计这个方案所设计的网络遵循的是由上至下,权限划分明
20、确,这样管理的人方便快捷,定位到内部局域网故障的时间能缩短很多,让我本身这个网络有非常好的可维护性。 编写网络设计方案时需要考虑下面几个方面:a) 对上网行为进行管理管控,加强安全认证,确保安全策略和访问控制策略的实施。b) 强调对设备的简单使用,加强用户的体验,同时需要对运维管理的操作简化,简单方便可用性高,对整个无线部署不影响公司形象,做出美化调整。c) 对网络要管控到位,明确系统管理员检测,分权安全运维管理员进行管理维护。d) 选用先进的网络管理平台,集中对全网设备的管理。4、可扩展性:在本网络设计的信息系统的内部构造、设备情况、网络运行的处理能力上面,我们有预留更新的,这样的网络布局不
21、仅可以充分保护现有的网络资源,而且有很好的进化性。2.4 网络建设目标嘉佳信息科技有限公司网络建设项目的总体目标:为适应本项目未来3年信息化发展和建设要求,防止组网老化速度快,因此,本项目建设通过各种先进的信息技术手段,建立一个具有高性能、高可靠性、高安全性、高扩展性基础设施平台,满足嘉佳公司网络的稳定,信号全面覆盖,流量单独保障,ap单独管理,用户单独管理。满足嘉佳公司与下属公司日常办公以及对业务系统和信息资源的共享和访问。253 网络建设方案3.1 办公网络总体设计嘉佳信息科技有限公司使用网络三层架构进行网络架构搭建,即接入层、楼宇汇聚层和核心层,该网络架构简单,层次分明,某接入点出现故障
22、不会对其他接入点造成影响。如图3-1,是公司大楼的整体拓扑图,为保障网络的安全稳定地运行,在嘉佳公司大楼无线网络出口处部署华为防火墙,并实现VRRP进行双机热备,并利用其自身的优越性能,承担起无线网络安全的功能。通过深信服上网行为管理设备,规范公司无线网络用户的上网行为,对于内网用户访问的非法网站、占用网络带宽极大的应用等给予制止,也防止外部网络的病毒、木马、攻击等入侵公司无线网络,公司内部网络通过OSPF进行互联互通。不同的部门划分了不同的VLAN进行网段隔离,使用DHCP来对内部主机和终端自动获取IP地址,采用无线控制器AC对内部人员无线AP进行管控,可以很好地对公司安全稳定长期发展作准备
23、,也保护公司内部权益不受不法分子侵害,使得内部员工在日常工作中能够紧密配合,层层相连,对内部员工管控力度加大,有利于公司内部的员工提高自身的竞争力,自强不息。图3-1 公司大楼总体网络拓扑3.1.1 核心网络图3-2 核心网络拓扑图如图3-2所示,核心网络由两台华为防火墙做VRRP主备备份,以此来提供网络灾备能力,其中一台出现故障,另一台会马上接管网络流量,对内网稳定运行提供了强有力的保障,同时采用三层结构,实现网络建设原则的“高内聚,低耦合”的网络建设理念,在建设高可用,可靠的网络结构的同时,对后续网络变动,扩展,和运维人员的管理提供相当高的便利条件。3.1.2 部门网络图3-3 部门网络拓
24、扑图如图3-3,部门网络分为物理主机接入和无线终端接入,物理主机和无线终端分属不同的VLAN划分,这样是为了隔离开两种终端,保障两种用户安全性和独立性。3.1.3 服务器/安全设备网络图3-4 服务器/安全设备网络拓扑图如图3-4这里是图3-4吧,另外每段开始都要空2个字符,你空了三个,所有段落开始地方都认真检查下。,基于信息安全时代的潮流,等保二级中网络安全防护条例规定需要划分专门的服务器/安全设备区域,并添加合理合规的访问控制策略,对内网权限进行划分管理,以此保障内网相对应的边界防护安全,本项目建设方案为服务器/安全设备单独划分了一个网段,直接通过防火墙进行通信,保证内网隔离手段对安全设备
25、进行保护。3.2 子网划分3.2.1 主机子网划分子网网段是内网用户上网所获取的IP地址网段,鉴于嘉佳公司内部人员分布情况,考虑到实际的情况,所以本网络建设方案采用以楼层划分子网网段的形式来为公司内部的物理主机提供有线连接的连接端,划分一个网段到一个楼层,如表3-1所示,这样足够满足内部局域网每个楼层的员工接入需求。表3-1 公司物理主机子网划分公司楼层VLAN子网划分上网网关公司一楼VLAN1410.1.14.110.1.14.25410.1.14.1公司二、三楼VLAN1310.1.13.110.1.13.25410.1.13.1公司三楼VLAN1210.1.12.110.1.12.254
26、10.1.12.1公司四楼VLAN1110.1.11.110.1.11.25410.1.11.1服务器/安全设备VLAN110.1.88.110.1.88.25410.1.88.13.2.2 无线终端子网划分无线网络在当今信息化社会上的作用是巨大的,为了满足嘉佳公司内部局域网的员工移动终端接入需求,如表3-2,本网络建设方案为用户按楼层划分了四个IP地址池来支持用户接入需求。表3-2 无线终端子网划分公司楼层VLAN子网划分上网网关公司一楼Vlan2410.1.24.110.1.24.25410.1.24.1公司二、三楼Vlan2310.1.23.110.1.23.25410.1.23.1公司
27、三楼Vlan2210.1.22.110.1.22.25410.1.22.1公司四楼Vlan2110.1.21.110.1.11.25410.1.21.13.3 设备选型3.3.1核心层核心层网络设备:3台华为S5720-HI系列盒式敏捷企业级核心交换机。网络的控制功能在骨干层上实施,核心层一直被认为是所有流量的最终承受者和汇聚者,所以对核心层的设计以及网络设备的要求十分严格。如图3-5所示,是华为S5720-HI企业级核心交换机的外观,如表3-3,是S5720的设备硬件参数,包括设备型号和网口,包转发率和交换容量,足以满足嘉佳公司内部的网络增长需求。图3-5 S5720核心交换机表3-3 核心
28、层的设备型号配置S5720-56C-HI-AC48个10/100/1000Base-T以太网端口,4个万兆SFP+提供2个接口子卡插槽(其中1个插槽是预留增值扩展插槽)支持1+1电源备份,AC、DC及AC/DC电源混插,默认配置1个600W AC电源包转发率:252Mpps交换容量:598Gbps/5.98Tbps3.3.2汇聚层汇聚层主要作用是用协议过滤,路由服务,认证管理等功能对公司进行网络管理布控。如图3-6,我们选择华为S3700-28TP-SI-AC交换机作为汇聚层交换机,设备硬件参数如表3-4所示。在承上启下的汇聚路程中,汇聚层是汇聚用户的日常数据,通过划分VLAN来跟网络进行隔离
29、以此预防有一些网段的问题传染然后影响到核心层的设备,汇聚层还可以限定下面的接入层对核心层的访问,以此来保证核心层设备的低风险运行。汇聚层是连接接入层的网络节点和核心层中心;因此汇聚层应放在每层楼层的中心点。图3-6 华为S3700-28TP-SI-AC汇聚层交换机表3-4华为S3700-28TP-SI-AC汇聚层交换机参数S3700-28TP-SI-AC24个10/100Base-TX以太网端口,4个千兆SFP,2个复用的10/100/1000Base-T以太网端口Combo分交流供电和直流供电两种机型包转发率:14.1Mpps交换容量:64Gbps汇聚层网络设备:需要5台华为S3700部门级
30、三层交换机。3.3.3接入层接入交换机是最常见的一种网络交换机的设备,尤其是在中小型企业当中和那些学校宿舍,部门等场所中。根据嘉佳公司的网络概览,本设计方案给公司选择华为S3700足以支持公司内部局域网的运行速度符合要求。设备概览如图3-7,基本设备硬件参数如表3-5, 图3-7 华为S3700-52P-PWR-EI接入层交换机表3-5 接入层交换机配置型号S3700-52P-PWR-EI接入层交换机48个10/100Base-TX,2个100/1000Base-X SFP,2个1000Base-X SFP,支持PoE+双电源,可插拔, 交流供电包转发率:17.7Mpps交换容量:64Gbps
31、接入层网络设备:5台华为接入交换机。3.3.4 防火墙防火墙是能根据本企业的安全策略控制(允许,拒绝,监测)出入网络的信息流,并且本身具有很强的防恶意代码入侵攻击能力。如图3-8,是华为USG6000防火墙,以嘉佳公司的网络分布原则,对公司大楼安置两个硬件防火墙,做一个VRRP备份,通过网线连接到外部的网络接口与内部服务器企业网络之间,这样就可以把进来的数据流量进行分析操作后,转发到位于防火墙内部的局域网网络中。这样防止外部入侵内部公司网络,造成公司财产,知识产权,核心技术的泄漏丢失。考虑到嘉佳公司大楼,在防火墙选购的时候还要再加一个IPS,以此来渗透到网络的每一台主机,对整个网络的主机实时保
32、护,这样可以更好地保护公司内部网络的安全,监测公司内部人员的上网违规行为,使得公司能够更好地管理。图3-8 华为6000E防火墙3.3.5 SSL VPN考虑到嘉佳公司未来的发展,现有网络的各个核心部分随着业务量的提高,访问量和数据流量的快速增长,需要访问的业务量增多,外出办公的员工有时需要内网的环境来访问公司内部的服务器进行办公,也要在意外事故发生无法返回公司的时候远程办公,为此,增加一台深信服的SSL VPN设备,能解决远程用户访问公司数据最简单安全的一项解决技术来的,直接可以通过浏览器进行连接SSL协议,可以实现有网就能办公的需求,深信服SSL VPN还可以建立IPsec VPN隧道,以
33、此来实现跟下级单位公司的数据隧道传输,保障业务互通的同时也保证了数据的安全性,嘉佳公司员工在内网就可以直接通过IPsec VPN隧道访问下级公司业务,在外网的话就通过接入SSL客户端来获取内网环境,访问内部服务和网络资源,简单方便,快捷又不失安全。如图3-9所示,深信服EasyConnect远程应用发布解决方案通过SSL VPN和企业内网部署的终端服务器,将企业应用程序界面用图形的方式呈现于智能终端之上。在部署过程中,无需对现网结构和应用程序做任何改变,轻松实现跨平台访问图3-9 深信服SSL VPN工作原理4 项目实施技术配置4.1 VLAN划分VLAN中文叫虚拟局域网,是将一个物理的网络在
34、逻辑上划分成多个广播域的通信技术。同一个VLAN的主机终端可以互相通信,而不同VLAN间的主机终端不能直接通信,从而限制在一个VLAN内当作一个网络隔离手段。主要配置(LSW1为例):vlan batch 10 to 14 21 to 24 68 111 to 112 /划分vlaninterface GigabitEthernet0/0/1 port link-type access /配置接口为access口 port default vlan 111 /划分接口为vlan111interface GigabitEthernet0/0/3 port link-type trunk /配置接
35、口为trunk口 undo port trunk allow-pass vlan 1 /不允许vlan1通过 port trunk allow-pass vlan 2 to 4094 /接口允许vlan2-4094通过4.2 网络DHCP配置由于公司内部接入终端数量过多,如果配置静态IP的话费时费力,网络建设方案采用DHCP配置,对内网终端达成自动获取IP的作用,自动分配IP地址,能够提高内网用户的网络体验度。很多非技术人员不懂网络,他们就不知道如何配置静态IP来进行上网,而在网络上设置DHCP使用户能自动获取IP地址来进行上网无疑是符合客户本身的需求,也能方便网络管理员进行配置,使得运维人员
36、对内部网络进行维护工作的时候,能够快速的接入网络对内部网络进行维护。主要配置(以vlan11为例):dhcp enable /开启dhcpip pool vlan11 /地址池命名 gateway-list 10.1.11.1 /网关配置 network 10.1.11.1 mask 255.255.255.0 /地址池配置 dns-list 8.8.8.8 114.114.114.114 /dns配置接入交换机中:interface Vlanif11 ip address 10.1.11.3 255.255.255.0 dhcp select global /dhcp应用地址池4.3 防火墙
37、双机热备防火墙通常部署在企业内部网络的出口处,等保二级中有规定边界防护,一般来说防火墙就可以用于划分网络边界,以起到对内网的防护作用,内外网的业务都会通过防火墙来转发数据,如果防火墙出现故障,就会导致企业内部的网络业务瘫痪中断,因此,为了防止此类情况发生在嘉佳公司内部,制定网络规划方案的时候,我们在其关键网络位置部署两台华为USG6000防火墙来做网络层面的双机热备,以此项技术来提高内部网络的可靠性,当其中一台华为USG6000防火墙出现故障的时候,另外一台防火墙就会接管原本网络中的流量,并将其接到本身链路上进行数据转发,这样对内网的业务有一个很高的保障性,也可以提升内网的可靠性。两台防火墙上
38、下面接的接口工作在三层网络里面,防火墙要连接我们的路由器,防火墙跟路由器之间本设计方案选择运行OSPF协议,嘉佳公司的网络规划设计方案选择使用HRP协议来配置实现两个防火墙双机热备功能,为了实现主用设备防火墙出现故障的时候,备用设备防火墙可以很快速、稳定的接替它的工作,我们要在主备防火墙配置相关的配置。为此HRP协议,实现防火墙两台机子中间的动态变化的相关状态和相关数据,以及那些核心的配置,命令的数据备份。在主备设备备份组网的情况下,这个配置的命令和相关的状态信息都是主用设备,然后再备份到备用设备里面的。主要配置:hrp adjust ospf-cost enable /配置自动调整Cost值
39、功能hrp track interface GigabitEthernet0/0/0 /配置业务口hrp track interface GigabitEthernet1/0/1hrp track interface GigabitEthernet1/0/2hrp interface GigabitEthernet 1/0/0 remote 1.1.1.2 /配置心跳口为GigabitEthernet 1/0/0hrp enable /启用双机备份功能4.4 VRRP为了使内部网络趋于更稳定的状态,嘉佳公司网络建设方案设置了VRRP协议和HRP协议联动来解决备份问题,VRRP是一种网络里面的容
40、错协议,工作原理就是保证嘉佳公司内部局域网主机的默认网关出现故障的时候,网络上会由备份的网络设备自动来接替那台出现了故障的主网络设备以此来完成数据转发功能,从而保证局域网内部的连续性和可靠性。VRRP备份组里面的很多个目标可以根据我们特指定的VRRP备份组的优先级,根据这个来确定它们的VRRP备份组的状态。那个优先级最高的VRRP备份组状态为主备份组(Master),其余VRRP备份组状态为备备份组(Backup)。 主要配置:interface Vlanif11 ip address 10.1.11.1 255.255.255.0 vrrp vrid 1 virtual-ip 10.1.11
41、.1 /网关备份,加入备份组14.5 NAT地址转换NAT,也就是网络技术里面所说的地址转换,这个技术可以解决现如今公共网络里面IP地址不足的问题,内网的用户通过地址转换变成公网的IP进行公网的网络通信,不仅如此,因为访问公网的IP是经过转换的IP,而不是内部主机IP,这样能很好的对IP地址进行伪装,从而达到对内部主机的保护和隐藏的作用,避免外部人员发起的攻击等。静态NAT,是指在进行IP地址的转换时,我们嘉佳公司内部局域网的网络物理主机的IP地址和公网的IP地址是一对一静态绑定的,静态的地址转换中的公网IP地址只会给到局域网里面唯一而且是已经固定了的内部局域网网络物理的主机,让它转换地址使用
42、。静态NAPT指的是一个局域网,它的内部网络的主机IP地址和端口号对应的是公网的IP地址和端口号,这些是一对一绑定的,静态NAPT中的那一个唯一的公网的IP地址可以给许多个内部局域网的IP地址使用。这样可以很好的解决公网IP地址不足的现状。静态NAT/NAPT还支持将指定的私网范围的主机的IP地址转换为特定的公网IP。当嘉佳公司内部的物理主机来访问外部的网络的时候,如果这一台物理主机的IP地址所在,是在本设计方案所特指的内部主机IP地址范围内的话,那么它的IP地址就会被转换为我们设计的内部网络所对应的公网的IP地址;我们主要采用此种技术对公网进行访问。 主要配置:nat-policy /进入N
43、AT策略视图rule name out /规则命名source-zone trust /源区域destination-zone untrust /目的区域source-address 10.1.0.0 mask 255.255.0.0 /转换的源地址范围action source-nat easy-ip /直接借用FW的公网IP地址来访问外网4.6 SSL 协议随着互联网技术的不断发展,传统的主机已经不能满足当下办公人员对网络接入的安全、高效、便捷的接入方式了,而嘉佳公司作为一家销售为主的公司,在网络远程接入,以此来访问内网达到自身办公资料传递,信息交互的目的的话,传统的IPSec VPN已经
44、不能满足现在的网络需求了。而现在一种新的技术SSL VPN,作为一种新型组网技术来对远程办公这一功能进行了新的定义和提供解决方案,因此,现在SSL VPN技术在实际的远程接入案例中的应用十分广泛,其特点如下:1、作为一种新型技术,SSL VPN工作在应用层和传输层之间,并不会影响原有的网络结构,就是本身嘉佳公司现有的组网拓扑也不会有所改动,只不过基于网络建设方案中部署了华为防火墙,需要在防火墙中放通443端口使其正常工作。2、SSLVPN是基于B/S架构,所以根本无需安装什么客户端之类的软件来引导启动此类服务,公司外出员工远程仅需使用普通的浏览器;例如:谷歌,火狐,360之类的浏览器都可以实现
45、远程接入内部网络访问。3、最为重要的是SSL VPN的访问以及控制的话,都是基于应用层的,可以大大提升企业内部网络被远程接入时的安全性和安全级别,在等保二级中有规定企业需要加密的传输方式,SSL VPN是一个不错的选择。5 项目实施为满足用户构建一个高速、稳定、安全、可靠、易于管理的无线接入网络需求,项目实施过程中需要注意的事项是实施人员所须知的,以提高客户的体验和体现我们工程师的专业性。5.1 实施前的准备1. 机房的网络设备实施工程师安装要在机房内装修工作全部完成后。2. 实施工程师要对机房进行检查,确保机房的设计、温度与环境那些要满足本次网络建设实施的机房的环境要求。3. 那些建设初期的
46、部件和电线那些,要符合本次设计的要求,机房其他的各项设施建设要建设完成,达到嘉佳公司本次网络规划设计的物理环境的要求。4. 设备安装前工程师要对电线、网线、光纤线进行疏理,更要准备好电线、网线、光纤线这些嘉佳公司局域网需要用到的线缆需要的安装工具。5.2 室内设备安装要求(1)设备的安装位置及走线方式应严格按照相关的标准、规范中的有关说明进行。(2)对于本设计方案提供的所有设备,其安装流程应该做到标准,正确,标签贴的位置要明确,外观不能损坏,清洁工作要做好。(3) 设备上面的电源线及信号传输线要分开铺设,粘贴上不容易去除的标识物,排序要整齐,看起来舒服,作用也不会小,固定好长度这样可以帮助后面
47、的工程布线,不能把所以用量使用,为后面工程预留一部分。(4)网线,电线要安全可靠,不能扭成一团、也不要拿重物下面导致网线压扁和电线保护层断裂的现象。(5)当设备之间的电源线和信号线铺设完成后,要对所有的本设计方案部署的设备进行线路连接测试,设备稳定性测试,测试过程如下:单设备测试对某个设备进行安全性,连通性进行测试。全网络测试把所有设备连接完成,接电进行运行性能测试,测试所有的设备的接口是否有传输阻碍。可行性测试测试本网络设计方案所上线的设备,其上所部署的软件的机动性和传输速率是不是符合预期的要求。(6)与本设计有关的设备、其内、外接口都要符合嘉佳公司建设初期的性能要求。5.3 施工注意事项5.3.1 环境要求等保二级中对企业内部物理部分的机房有非常明确的要求:1. 机房所在地要选择在防地震破坏、防台风破坏和防暴雨破坏的相对能力的自建建筑或租赁建筑里面。2. 机房所在地不应该在这些建筑物的顶楼或者地下室里面,嘉佳