论文部分内容阅读
摘要:随着企业信息化建设的深入,建立高速、稳定、安全、智能的企业内部网络已经成为提升企业核心竞争力的关键因素。企业局域网建设,本着“结构化、系统化”的原则,能够有效的实现企业内部的资源共享、信息发布、技术交流、生产组织,并通过网络实现与外界的沟通交流。同时结合企业未来可能的发展要求选择、设计合适的网络结构和网络技术,做到灵活配置,以适应企业办公环境的调整和变化。本文以一家施工企业为背景来论述企业局域网规划建设的过程。
关键词:企业局域网;网络拓扑结构;网络设备选型;网络安全;VLAN
1 企业局域网建设的目标和意义
企业网络建设是企业信息化中一个必不可少的工程,企业局域网建设的目标是为全企业人员提供一个信息交流和合作的平台,实现信息资源和软硬件资源共享。充分利用因特网上的资源,实现对外的信息发布、交流与合作,对企业的发展具有积极的社会意义与经济效益。
2 企业局域网规划设计方案
2.1 网络拓扑结构设计
网络拓扑结构是指网络中通信线路和站点(计算机或设备)相互连接的方式。常见的网络拓扑结构有:总线型拓扑结构、星型拓扑结构、环型拓扑结构。根据公司的实际情况,考虑到总线型结构稳定性差,环型结构扩展性差,同时为降低通信线路的成本,公司网络设计方案决定选择树型网络拓扑结构。
2.2 网络层次设计
2.2.1 网络分层结构选择
1、核心层
核心层主要负责整个网络的网内数据交换,实现骨干网络之间的优化传输。核心层设计任务通常是冗余能力、可靠性和高速的传输,要求核心交换机拥有较高的可靠性和性能。
2、接入层
接入层网络作为二层交换网络,提供计算机等设备的网络接入。对接入层交换机的要求,一是价格合理;二是可管理性好,易于使用和维护;三是有足够的吞吐量;四是稳定性好,能够在比较恶劣的环境下稳定工作。
2.2.2 公司网络拓扑结构图
公司网络拓扑结构图如下:
公司网络拓扑图
2.3 虚拟局域网VLAN 及IP地址分配
VLAN(虚拟局域网)技术是一种新兴的数据交换技术,它通过交换技术能将通信量进行有效分离,还可以将局域网络从逻辑上划分成不同的子网,而各子网之间不能直接互通。
根据公司的发展需求,准备选用北京电信通网络运营商提供的20M光纤接入方案,运营商共分配了32个公网IP地址。同时划分了私网IP地址做为内部访问外网Internet使用,也做为VPN封装数据,通过深信服VPN设备进行安全传输。
2.4 硬件设备的选型
2.4.1 核心网络设备
1、路由器
路由器是互联网的主要节点设备,路由器具有数据通道功能和控制功能。数据通道功能包括转发决定、背板转发以及输出链路调度等,一般由特定的硬件来完成;控制功能一般用软件来实现,包括与相邻路由器之间的信息交换、系统配置、系统管理等。计划使用一台H3C MSR20-20作为公司的核心路由器。
2、核心交换机
核心层作为整个网络系统的核心,需要高速、可靠的设备提供所有区域间的数据交换。计划使用一台华为Quidway5300-28TP作为公司的核心交换机。
3、接入交换机
接入层主要提供用户接入网络的途径,计划使用四台华为H3C 3100-26TP作为公司接入交换机。
2.4.2 防火墙配置
防火墙是目前应用最广、最具代表性的网络安全技术,它是网络的安全卫士,管理者可以通过部署安全策略,维护企业的网络安全。
此次升级改造,公司计划在核心层路由器与Internet之间配置了一台思科ASA5505-SEC-BUN-K9硬件防火墙,它集高安全性和高可扩展性于一身,能够对病毒、间谍软件、垃圾邮件、非授权访问等进行实时监控。
对于防火墙部署采用透明模式,在透明模式下,设备检查通过防火墙的数据包,但并不改变ip报头中的任何源地址和目的地址信息。采用透明模式,使防火墙的服务端口无法被探测到,也就无法对防火墙进行攻击,提高了防火墙的安全性与抗攻击性。通过透明模式能够简化防火墙的设置,提高系统的安全性。
2.4.3 上网行为管理
选用上网行为管理设备,可以实现公司在网页过滤、行为控制、流量管理、防止内网泄密、防范法规风险、互联网访问行为记录、上网安全等多个方面进行全面管理。通过比选,准备选用深信服AC1200行为管理设备对公司内部的互联网访问行为进行管理,公司升级后的网络为20M光纤,准备使用上网行为管理设备将P2P应用、电驴、BT、网络电视等带宽控制在5M以内,将视频会议带宽进行动态分配,在视频会议进行时,数据优先转发,保证15M以上带宽,这样首先保证了所有工作业务的正常使用,也不影响其他互联网应用。
2.4.4 服务器群组
服务器是指网络中能对其它机器提供某些服务的计算机系统,它具备高速的运算能力、长时间的可靠运行、强大的外部数据吞吐能力等性能。
公司办公所需的服务器包括:OA服务器、视频服务器、财务服务器、WEB服务器等,选择了IBM、HP等高性能服务器,以保证系统的可靠运行。
2.5 软件系统的选型
2.5.1 网络操作系统
操作系统是整个网络中不可缺少的组成部分,根据公司网络的应用规模、应用层次选择Windows Server 2003作为网络操作系统。
Windows Server 2003支持高性能服务器,并且可以群集服务器,能够处理更大的负荷,可以实现系统的稳定性、可靠性,且处理数据较快。 2.5.2 数据库软件
企业选择数据库软件时需要考虑以下因素:具备高速的事务处理能力,能够支持分布数据处理,具备联机备份和恢复功能。
根据公司的实际需要,采用Microsoft SQL Server作为公司的数据库。
2.6 局域网综合布线设计
2.6.1 结构化布线的线缆安装准则
安装线缆的质量会影响到局域网的工作性能,在安装线缆时要注意以下方面:首先,考虑到将来的使用,安装的线缆应该足够。其次,安装线缆时应遵循国家和政府在建筑方面的政策方针,安装计划要符合结构化布线安装的条文规定。第三,对于要求线缆经过的外界环境是压力通风系统时,应该用压力通风型的线缆。第四,确保线缆质量,在安装之前对线缆的质量进行测试工作。最后,不要近距离(小于 15-20cm)平行安装铜质电缆和电力线,应该让数据线与电力线保持几米远的距离。
2.6.2 公司结构化布线系统设计
公司需要重新布线的是三层办公楼,布线系统设计为:一层设31个信息点,二层设44个信息点,三层设21个信息点,网络中心机房设在办公楼二层。所有信息点均同时设有三个接口:一个网络接口、一个电话接口和一个电源接口,在三层设立一个机柜,配置一台D-Link1024R,提供45 个 10/100Mb 网络接口。
每个楼层布线均采用标准的结构化布线方法,布线系统由专业的网络集成供应商负责安装。
3 安全策略
3.1 物理安全策略
物理安全包括保护计算机系统、网络设备设施及打印机等办公硬件设备和通信链路免受自然灾害和人为破坏,确保计算机系统有一个良好的电磁兼容工作环境,建立完备的安全管理制度,防止非法人员进入网络中心机房和各种偷窃、破坏活动的发生。
此次对公司的网络中心机房按标准进行重新设计装修,增加防火、防雷系统,并安装门禁系统,对出入机房进行严格的管理和记录。
3.2 网络安全策略
网络安全策略主要包括防病毒系统控制和网络访问控制。
1、针对病毒危害性极大并且传播极为迅速,此次升级方案中配备从单机到服务器的整套防病毒软件,实现公司整个网络的病毒安全防护。
2、网络访问控制是网络安全防范和保护的主要策略,通过入网访问控制、网络权限控制及网络监测来实现。
3.3 信息安全策略
为了防止重要资源信息的泄漏,对于所有信息入口密码都要求使用复杂密码,以防止不法用户使用破译工具软件破译密码,进入信息系统窃取信息。
为了保证信息传输的安全性,在整个公司内部利用VPN专用的信息传输通道,提高信息系统的安全性。
对用户的权限进行详细定义,用户只能访问权限范围内的有关信息。
3.3 局域网安全部署
3.3.1 VLAN设置
对公司内部整个局域网络采用VLAN划分技术,从而有效避免部门间的越权访问及病毒传播,增强系统的安全性、可靠性。
3.3.2 防火墙设置
部署防火墙系统,制定安全的访问策略,可以有效地保护内部网络系统和数据安全,严格控制进出网络安全区域的访问,明确访问的来源、访问的对象及访问的类型,确保合法访问的正常进行,杜绝非法越权访问;同时有效预防、发现、处理异常的网络访问,确保公司信息网络正常的访问活动。
公司在核心层路由器与Internet之间配置了一台思科的ASA5510-K9硬件防火墙,所有进出网络的数据都要通过防火墙,设定一些安全策略,将已知木马端进行封闭,还可以对一些不规则报文进行过滤,以保证公司网络的安全。
3.3.3 虚拟专用网VPN
虚拟专用网(Virtual Private Network,简称 VPN)可通过公网建立一个临时安全隧道,以实现跨网形式联接。其最大优势是可充分利用现有资源,以很低的运行成本和很高的灵活性来满足要求。它可以保证数据的完整性,使接收到的数据与发送时的一致,有抵抗攻击者纂改数据的能力。同时保证了通道的机密性,提供强有力的加密手段,使偷听者不能破解拦截到的通道数据。
4 总 结
公司网络系统升级改选完成后,增加了以下功能:首先,是通过OA办公系统平台,提高了公司内部信息的交流、共享、实现了无纸化办公。其次,出于网络安全考虑,在防火墙和和核心交换机上都部署了安全策略,限制了内部用户对某些网站的访问权限。利用VPN建立了安全通道,更好的保护公司的机密资料。通过行为管理设备,可以对公司员工的行为控制、流量管理、记录互联网访问行为等方面进行管理。
完成升级后的局域网已经开始在公司运行,测试结果表明,基本满足要求,是一个运行良好可管理的局域网。
参考文献:
[1]全国计算机等级考试命题研究组 著.《全国计算机等级考试专用辅导教程:四级网络工程师》(2012版)———电子工业出版社.2012年
[2]闫书磊 等著.《局域网组建与维护》(第3版)———人民邮电出版社.2012年
[3]郑羽,罗和平,周仲元 著.《中小型局域网组建、管理与维护实战》———电子工业出版社.2012年
[4](美国)海吉 著.《网络安全技术与解决方案》(修订版)———人民邮电出版社.2010年
[5]姜丹丹 等著.《路由与交换技术实战入门与提高》———科学出版社.2012年
[6]谌玺,张洋 著.《企业网络整体安全——攻防技术内幕大剖析》———电子工业出版社.2011年
关键词:企业局域网;网络拓扑结构;网络设备选型;网络安全;VLAN
1 企业局域网建设的目标和意义
企业网络建设是企业信息化中一个必不可少的工程,企业局域网建设的目标是为全企业人员提供一个信息交流和合作的平台,实现信息资源和软硬件资源共享。充分利用因特网上的资源,实现对外的信息发布、交流与合作,对企业的发展具有积极的社会意义与经济效益。
2 企业局域网规划设计方案
2.1 网络拓扑结构设计
网络拓扑结构是指网络中通信线路和站点(计算机或设备)相互连接的方式。常见的网络拓扑结构有:总线型拓扑结构、星型拓扑结构、环型拓扑结构。根据公司的实际情况,考虑到总线型结构稳定性差,环型结构扩展性差,同时为降低通信线路的成本,公司网络设计方案决定选择树型网络拓扑结构。
2.2 网络层次设计
2.2.1 网络分层结构选择
1、核心层
核心层主要负责整个网络的网内数据交换,实现骨干网络之间的优化传输。核心层设计任务通常是冗余能力、可靠性和高速的传输,要求核心交换机拥有较高的可靠性和性能。
2、接入层
接入层网络作为二层交换网络,提供计算机等设备的网络接入。对接入层交换机的要求,一是价格合理;二是可管理性好,易于使用和维护;三是有足够的吞吐量;四是稳定性好,能够在比较恶劣的环境下稳定工作。
2.2.2 公司网络拓扑结构图
公司网络拓扑结构图如下:
公司网络拓扑图
2.3 虚拟局域网VLAN 及IP地址分配
VLAN(虚拟局域网)技术是一种新兴的数据交换技术,它通过交换技术能将通信量进行有效分离,还可以将局域网络从逻辑上划分成不同的子网,而各子网之间不能直接互通。
根据公司的发展需求,准备选用北京电信通网络运营商提供的20M光纤接入方案,运营商共分配了32个公网IP地址。同时划分了私网IP地址做为内部访问外网Internet使用,也做为VPN封装数据,通过深信服VPN设备进行安全传输。
2.4 硬件设备的选型
2.4.1 核心网络设备
1、路由器
路由器是互联网的主要节点设备,路由器具有数据通道功能和控制功能。数据通道功能包括转发决定、背板转发以及输出链路调度等,一般由特定的硬件来完成;控制功能一般用软件来实现,包括与相邻路由器之间的信息交换、系统配置、系统管理等。计划使用一台H3C MSR20-20作为公司的核心路由器。
2、核心交换机
核心层作为整个网络系统的核心,需要高速、可靠的设备提供所有区域间的数据交换。计划使用一台华为Quidway5300-28TP作为公司的核心交换机。
3、接入交换机
接入层主要提供用户接入网络的途径,计划使用四台华为H3C 3100-26TP作为公司接入交换机。
2.4.2 防火墙配置
防火墙是目前应用最广、最具代表性的网络安全技术,它是网络的安全卫士,管理者可以通过部署安全策略,维护企业的网络安全。
此次升级改造,公司计划在核心层路由器与Internet之间配置了一台思科ASA5505-SEC-BUN-K9硬件防火墙,它集高安全性和高可扩展性于一身,能够对病毒、间谍软件、垃圾邮件、非授权访问等进行实时监控。
对于防火墙部署采用透明模式,在透明模式下,设备检查通过防火墙的数据包,但并不改变ip报头中的任何源地址和目的地址信息。采用透明模式,使防火墙的服务端口无法被探测到,也就无法对防火墙进行攻击,提高了防火墙的安全性与抗攻击性。通过透明模式能够简化防火墙的设置,提高系统的安全性。
2.4.3 上网行为管理
选用上网行为管理设备,可以实现公司在网页过滤、行为控制、流量管理、防止内网泄密、防范法规风险、互联网访问行为记录、上网安全等多个方面进行全面管理。通过比选,准备选用深信服AC1200行为管理设备对公司内部的互联网访问行为进行管理,公司升级后的网络为20M光纤,准备使用上网行为管理设备将P2P应用、电驴、BT、网络电视等带宽控制在5M以内,将视频会议带宽进行动态分配,在视频会议进行时,数据优先转发,保证15M以上带宽,这样首先保证了所有工作业务的正常使用,也不影响其他互联网应用。
2.4.4 服务器群组
服务器是指网络中能对其它机器提供某些服务的计算机系统,它具备高速的运算能力、长时间的可靠运行、强大的外部数据吞吐能力等性能。
公司办公所需的服务器包括:OA服务器、视频服务器、财务服务器、WEB服务器等,选择了IBM、HP等高性能服务器,以保证系统的可靠运行。
2.5 软件系统的选型
2.5.1 网络操作系统
操作系统是整个网络中不可缺少的组成部分,根据公司网络的应用规模、应用层次选择Windows Server 2003作为网络操作系统。
Windows Server 2003支持高性能服务器,并且可以群集服务器,能够处理更大的负荷,可以实现系统的稳定性、可靠性,且处理数据较快。 2.5.2 数据库软件
企业选择数据库软件时需要考虑以下因素:具备高速的事务处理能力,能够支持分布数据处理,具备联机备份和恢复功能。
根据公司的实际需要,采用Microsoft SQL Server作为公司的数据库。
2.6 局域网综合布线设计
2.6.1 结构化布线的线缆安装准则
安装线缆的质量会影响到局域网的工作性能,在安装线缆时要注意以下方面:首先,考虑到将来的使用,安装的线缆应该足够。其次,安装线缆时应遵循国家和政府在建筑方面的政策方针,安装计划要符合结构化布线安装的条文规定。第三,对于要求线缆经过的外界环境是压力通风系统时,应该用压力通风型的线缆。第四,确保线缆质量,在安装之前对线缆的质量进行测试工作。最后,不要近距离(小于 15-20cm)平行安装铜质电缆和电力线,应该让数据线与电力线保持几米远的距离。
2.6.2 公司结构化布线系统设计
公司需要重新布线的是三层办公楼,布线系统设计为:一层设31个信息点,二层设44个信息点,三层设21个信息点,网络中心机房设在办公楼二层。所有信息点均同时设有三个接口:一个网络接口、一个电话接口和一个电源接口,在三层设立一个机柜,配置一台D-Link1024R,提供45 个 10/100Mb 网络接口。
每个楼层布线均采用标准的结构化布线方法,布线系统由专业的网络集成供应商负责安装。
3 安全策略
3.1 物理安全策略
物理安全包括保护计算机系统、网络设备设施及打印机等办公硬件设备和通信链路免受自然灾害和人为破坏,确保计算机系统有一个良好的电磁兼容工作环境,建立完备的安全管理制度,防止非法人员进入网络中心机房和各种偷窃、破坏活动的发生。
此次对公司的网络中心机房按标准进行重新设计装修,增加防火、防雷系统,并安装门禁系统,对出入机房进行严格的管理和记录。
3.2 网络安全策略
网络安全策略主要包括防病毒系统控制和网络访问控制。
1、针对病毒危害性极大并且传播极为迅速,此次升级方案中配备从单机到服务器的整套防病毒软件,实现公司整个网络的病毒安全防护。
2、网络访问控制是网络安全防范和保护的主要策略,通过入网访问控制、网络权限控制及网络监测来实现。
3.3 信息安全策略
为了防止重要资源信息的泄漏,对于所有信息入口密码都要求使用复杂密码,以防止不法用户使用破译工具软件破译密码,进入信息系统窃取信息。
为了保证信息传输的安全性,在整个公司内部利用VPN专用的信息传输通道,提高信息系统的安全性。
对用户的权限进行详细定义,用户只能访问权限范围内的有关信息。
3.3 局域网安全部署
3.3.1 VLAN设置
对公司内部整个局域网络采用VLAN划分技术,从而有效避免部门间的越权访问及病毒传播,增强系统的安全性、可靠性。
3.3.2 防火墙设置
部署防火墙系统,制定安全的访问策略,可以有效地保护内部网络系统和数据安全,严格控制进出网络安全区域的访问,明确访问的来源、访问的对象及访问的类型,确保合法访问的正常进行,杜绝非法越权访问;同时有效预防、发现、处理异常的网络访问,确保公司信息网络正常的访问活动。
公司在核心层路由器与Internet之间配置了一台思科的ASA5510-K9硬件防火墙,所有进出网络的数据都要通过防火墙,设定一些安全策略,将已知木马端进行封闭,还可以对一些不规则报文进行过滤,以保证公司网络的安全。
3.3.3 虚拟专用网VPN
虚拟专用网(Virtual Private Network,简称 VPN)可通过公网建立一个临时安全隧道,以实现跨网形式联接。其最大优势是可充分利用现有资源,以很低的运行成本和很高的灵活性来满足要求。它可以保证数据的完整性,使接收到的数据与发送时的一致,有抵抗攻击者纂改数据的能力。同时保证了通道的机密性,提供强有力的加密手段,使偷听者不能破解拦截到的通道数据。
4 总 结
公司网络系统升级改选完成后,增加了以下功能:首先,是通过OA办公系统平台,提高了公司内部信息的交流、共享、实现了无纸化办公。其次,出于网络安全考虑,在防火墙和和核心交换机上都部署了安全策略,限制了内部用户对某些网站的访问权限。利用VPN建立了安全通道,更好的保护公司的机密资料。通过行为管理设备,可以对公司员工的行为控制、流量管理、记录互联网访问行为等方面进行管理。
完成升级后的局域网已经开始在公司运行,测试结果表明,基本满足要求,是一个运行良好可管理的局域网。
参考文献:
[1]全国计算机等级考试命题研究组 著.《全国计算机等级考试专用辅导教程:四级网络工程师》(2012版)———电子工业出版社.2012年
[2]闫书磊 等著.《局域网组建与维护》(第3版)———人民邮电出版社.2012年
[3]郑羽,罗和平,周仲元 著.《中小型局域网组建、管理与维护实战》———电子工业出版社.2012年
[4](美国)海吉 著.《网络安全技术与解决方案》(修订版)———人民邮电出版社.2010年
[5]姜丹丹 等著.《路由与交换技术实战入门与提高》———科学出版社.2012年
[6]谌玺,张洋 著.《企业网络整体安全——攻防技术内幕大剖析》———电子工业出版社.2011年