中小型企業(yè)事業(yè)單位辦公網(wǎng)改造建議書

1、精選優(yōu)質(zhì)文檔-傾情為你奉上中小型企業(yè)事業(yè)單位辦公網(wǎng)改造建議書2007年1月一、 中小型企事業(yè)單位辦公網(wǎng)的應(yīng)用現(xiàn)狀和主要存在的問題由于信息化建設(shè)的發(fā)展，各政府、機(jī)關(guān)、醫(yī)療、企業(yè)等單位都已經(jīng)完成了電腦單機(jī)普及階段，擁有了自己的辦公局域網(wǎng)絡(luò)，還有互聯(lián)網(wǎng)或?qū)＞W(wǎng)的出口。但是在網(wǎng)絡(luò)的使用中也出現(xiàn)了各種各樣的問題，這些問題影響著用戶放心地使用網(wǎng)絡(luò)工作，也給網(wǎng)絡(luò)維護(hù)人員帶來很多困擾。比較常見的問題包括：1、 IP地址沖突：在正常情況下網(wǎng)絡(luò)中的用戶可以使用本網(wǎng)段內(nèi)的所有IP地址，但這樣一但有人更改了和別人甚至是和網(wǎng)關(guān)相同的IP地址，就會造成互相沖突人的斷網(wǎng)甚至是網(wǎng)關(guān)設(shè)備斷網(wǎng)。2、 互聯(lián)網(wǎng)出口不安全：大部分單位還

2、在采用代理服務(wù)器、簡單型路由等設(shè)備進(jìn)行連接。一但爆發(fā)大規(guī)模的網(wǎng)絡(luò)病毒或惡意攻擊就會使整個(gè)網(wǎng)絡(luò)的出口出現(xiàn)癱瘓狀態(tài)，整網(wǎng)就會出現(xiàn)上不了互聯(lián)網(wǎng)的問題。3、 局域網(wǎng)內(nèi)病毒泛濫：局域網(wǎng)的最基本的功能就是信息共享，在信息共享的同時(shí)就會有病毒信息也在共享。新型的網(wǎng)絡(luò)病毒層出不窮，讓用戶防不勝防。4、 網(wǎng)絡(luò)結(jié)構(gòu)混亂：各單位都有類似的情況，在網(wǎng)絡(luò)剛建設(shè)的時(shí)候可能就幾個(gè)點(diǎn)，在使用中擴(kuò)充到幾十點(diǎn)最后甚至到上百點(diǎn)，這樣在網(wǎng)絡(luò)設(shè)備的搭配連接上就會出現(xiàn)多級級聯(lián)的問題，交換機(jī)也會出現(xiàn)分布在辦公室中的現(xiàn)象而不能集中管理，這樣很容易出現(xiàn)由于錯(cuò)誤連線造成回路連接，在網(wǎng)線出現(xiàn)問題的時(shí)候很難排錯(cuò)的現(xiàn)象。5、 ARP欺騙：由于木馬程序

3、在內(nèi)網(wǎng)進(jìn)行攻擊以后，偽造自己為網(wǎng)關(guān)的MAC地址就會造成網(wǎng)絡(luò)內(nèi)不定時(shí)的掉線的問題。二、 解決問題的必然選擇加強(qiáng)網(wǎng)管有這樣一個(gè)形象的比喻：對于信息化建設(shè)而言，建網(wǎng)絡(luò)是修路，上應(yīng)用系統(tǒng)是跑車，數(shù)據(jù)是車上拉的貨。對于企事業(yè)單位而言，數(shù)據(jù)是重要的資源，應(yīng)用是重要的工具，網(wǎng)絡(luò)呢？網(wǎng)絡(luò)是基礎(chǔ)設(shè)施。隨著信息化建設(shè)的發(fā)展，數(shù)據(jù)對于企事業(yè)而言可能重要到性命憂關(guān)的地步，應(yīng)用系統(tǒng)也可能重要到一刻不能停的地步，作為信息化的基礎(chǔ)設(shè)施網(wǎng)絡(luò)，能否健壯地運(yùn)行，越來越成為困擾負(fù)責(zé)信息化的技術(shù)人員的一個(gè)大問題。怎樣才能擁有一個(gè)健壯的網(wǎng)絡(luò)，不讓網(wǎng)管人員疲于奔命，不讓網(wǎng)絡(luò)成為信息化的短板，加強(qiáng)網(wǎng)管是必然的選擇。沒有網(wǎng)管的網(wǎng)絡(luò)好比沒有紅

4、綠燈、沒有標(biāo)志線的道路，路上跑的又都是沒牌照的車，修多寬也一樣會堵車。那怎樣實(shí)現(xiàn)網(wǎng)管呢？其實(shí)迅速發(fā)展的網(wǎng)絡(luò)技術(shù)已經(jīng)做出了解答，網(wǎng)絡(luò)管理主要是通過設(shè)備管理和用戶管理兩方面來實(shí)現(xiàn)的。三、 網(wǎng)管手段之一對網(wǎng)絡(luò)設(shè)備的管理網(wǎng)絡(luò)是由線纜、連接件和網(wǎng)絡(luò)設(shè)備構(gòu)成的?？删W(wǎng)管的網(wǎng)絡(luò)設(shè)備是網(wǎng)絡(luò)管理的基礎(chǔ)。現(xiàn)在許多企事業(yè)單位的網(wǎng)絡(luò)設(shè)備還都是早期的非網(wǎng)管設(shè)備，非網(wǎng)管的設(shè)備是無法實(shí)現(xiàn)管理功能的。更換成可網(wǎng)管的網(wǎng)絡(luò)設(shè)備是必須的。信息化建設(shè)是個(gè)花錢的事，為了達(dá)到盡量少的投入獲得最好的效果這一目的，一般的建設(shè)原則是總體規(guī)劃，分步實(shí)施。所以下面我們也分四步來談怎樣把一個(gè)不可網(wǎng)管的網(wǎng)絡(luò)改造成可管理的網(wǎng)絡(luò)。我們可以一次性投入，也可以

5、分步投入。但網(wǎng)絡(luò)的建設(shè)是必須有一個(gè)總體規(guī)劃為前提的。1、 把接入交換機(jī)更換為可網(wǎng)管的交換機(jī)可網(wǎng)管的接入交換機(jī)一般都具備這些網(wǎng)管功能： VLAN劃分    企業(yè)級網(wǎng)絡(luò)往往會按照網(wǎng)絡(luò)規(guī)模、部門設(shè)置、用戶權(quán)限、網(wǎng)絡(luò)廣播風(fēng)暴嚴(yán)重性等標(biāo)準(zhǔn)，將局域網(wǎng)內(nèi)用戶劃分在較多不同的VLAN（虛擬局域網(wǎng)）內(nèi)，從而實(shí)現(xiàn)網(wǎng)絡(luò)用戶按照一定的規(guī)則來訪問網(wǎng)絡(luò)，比如財(cái)務(wù)科我們可以不讓它訪問任何地方，也不讓別人訪問它。這樣就把財(cái)務(wù)科的網(wǎng)絡(luò)獨(dú)立了起來，在其他虛擬網(wǎng)內(nèi)有病毒爆發(fā)、惡意攻擊時(shí)不會影響到財(cái)務(wù)網(wǎng)絡(luò)。同時(shí)我們還可以讓部分VLAN的用戶可以上網(wǎng)，部分VLAN用戶不可以上網(wǎng)，以上這些功能部署

6、完成后可以把網(wǎng)絡(luò)做成一個(gè)彈性的可管理的靈活的網(wǎng)絡(luò)。 QOS服務(wù)質(zhì)量保證    可網(wǎng)管交換機(jī)一般都能支持IEEE 802.1P 優(yōu)先級標(biāo)記，可根據(jù)不同的應(yīng)用區(qū)別數(shù)據(jù)傳輸?shù)膬?yōu)先順序，保障企業(yè)網(wǎng)絡(luò)中重要業(yè)務(wù)應(yīng)用可以優(yōu)先得到穩(wěn)定的帶寬及傳輸保證，避免網(wǎng)絡(luò)資源因多種業(yè)務(wù)的資源無序占用而出現(xiàn)擁塞或癱瘓，協(xié)調(diào)整網(wǎng)資源的合理配置。 生成樹協(xié)議提供網(wǎng)絡(luò)高可靠性    規(guī)模較大的企業(yè)級網(wǎng)絡(luò)往往會因?yàn)榫W(wǎng)絡(luò)結(jié)構(gòu)的部署問題，而存在環(huán)路問題，由此產(chǎn)生的大量環(huán)路風(fēng)暴會給整個(gè)網(wǎng)絡(luò)帶來災(zāi)難性的影響甚至癱瘓。    可網(wǎng)

7、管交換機(jī)支持標(biāo)準(zhǔn)的802.1d生成樹協(xié)議，避免網(wǎng)絡(luò)冗余鏈路下的環(huán)路風(fēng)暴隱患，提高系統(tǒng)容錯(cuò)能力，保證網(wǎng)絡(luò)的穩(wěn)定運(yùn)行。2、 采用智能型交換機(jī)作為接入交換機(jī)接入交換機(jī)是直接面對用戶的電腦，是網(wǎng)絡(luò)管理的第一道防線，也是許多網(wǎng)管功能實(shí)現(xiàn)的關(guān)鍵環(huán)節(jié)。所以在有條件的情況下，盡量使用功能更完善的接入交換機(jī)，是提高網(wǎng)管能力的首選。因此，也就出現(xiàn)了智能可網(wǎng)管交換機(jī)。所謂智能型的交換機(jī)實(shí)際是指具備部分三層功能的交換機(jī)，主要是指訪問控制列表功能（ACL）和增強(qiáng)的802.1X支持，利用訪問控制列表功能我們可以把最近的網(wǎng)絡(luò)病毒的特征端口直接下發(fā)到端口這樣就可以把病毒直接控制在單點(diǎn)用戶；利用增強(qiáng)的802.1X協(xié)議，并配合S

8、AM管理軟件可以靈活實(shí)現(xiàn)對用戶賬號、用戶IP、MAC、接入交換機(jī)IP、接入端口、Vlan ID六元素的復(fù)合綁定，同時(shí)支持六元素嚴(yán)格綁定下的賬號漫游。并且智能交換機(jī)可以實(shí)現(xiàn)純硬件的端口與MAC地址及用戶IP地址進(jìn)行綁定。3、 采用三層交換機(jī)做為網(wǎng)絡(luò)的核心交換設(shè)備三層交換機(jī)中的“三層”指的是OSI（開放系統(tǒng)互連）七層參考模型的下面三層。簡單地說，三層交換技術(shù)就是：二層交換技術(shù)三層轉(zhuǎn)發(fā)技術(shù)。它解決了局域網(wǎng)中網(wǎng)段劃分之后，網(wǎng)段中子網(wǎng)必須依賴路由器進(jìn)行管理的局面，解決了傳統(tǒng)路由器低速、復(fù)雜所造成的網(wǎng)絡(luò)瓶頸問題。在一些規(guī)模較大的網(wǎng)絡(luò)中（一般指信息點(diǎn)超過100個(gè)的網(wǎng)絡(luò)）必須需要采用三層交換機(jī)來做VLAN間路

9、由，控制策略的部署，從而大大提高了網(wǎng)絡(luò)的升級彈性和可管理性。4、 網(wǎng)絡(luò)出口配備安全設(shè)備防火墻原是指建筑物大廈用來防止火災(zāi)蔓延的隔斷墻。從理論上講,Internet防火墻服務(wù)也屬于類似的用來防止外界侵入的。它可以防止Internet上的各種危險(xiǎn)(病毒、資源盜用等)傳播到你的網(wǎng)絡(luò)內(nèi)部。而事實(shí)上,防火墻并不像現(xiàn)實(shí)生活中的防火墻,它有點(diǎn)像古代守護(hù)城池用的護(hù)城河,服務(wù)于以下多個(gè)目的:     1)限定人們從一個(gè)特定的控制點(diǎn)進(jìn)入;     2)限定人們從一個(gè)特定的點(diǎn)離開;     3)防止侵入者接近你的其他防御設(shè)施;

10、     4)有效地阻止破壞者對你的計(jì)算機(jī)系統(tǒng)進(jìn)行破壞。     在現(xiàn)實(shí)生活中,Internet防火墻常常被安裝在受保護(hù)的內(nèi)部網(wǎng)絡(luò)上并接入Internet。 ,防火墻是加強(qiáng)Internet(內(nèi)部網(wǎng))之間安全防御的一個(gè)或一組系統(tǒng),它由一組硬件設(shè)備(包括路由器、服務(wù)器)及相應(yīng)軟件構(gòu)成。    防火墻是網(wǎng)絡(luò)安全策略的有機(jī)組成部分,它通過控制和監(jiān)測網(wǎng)絡(luò)之間的信息交換和訪問行為來實(shí)現(xiàn)對網(wǎng)絡(luò)安全的有效管理。從總體上看,防火墻應(yīng)該具有以下五大基本功能:     過濾進(jìn)、出網(wǎng)絡(luò)的數(shù)據(jù); &#

11、160;   管理進(jìn)、出網(wǎng)絡(luò)的訪問行為;     封堵某些禁止行為;     記錄通過防火墻的信息內(nèi)容和活動;     對網(wǎng)絡(luò)攻擊進(jìn)行檢測和告警。 四、 網(wǎng)管手段之二對上網(wǎng)用戶的管理對上網(wǎng)用戶的管理的前提是上網(wǎng)認(rèn)證。在目前多種對上網(wǎng)用戶進(jìn)行認(rèn)證的協(xié)議中，IEEE組織的802.1x協(xié)議是被認(rèn)可度最高的協(xié)議。基于802.1x協(xié)議的上網(wǎng)認(rèn)證系統(tǒng)具有高安全性和易管理性的特點(diǎn)。 高安全性包括：安全認(rèn)證到桌面。采用六元素的自動綁定、靜態(tài)綁定、動態(tài)綁定相結(jié)合，可以確保用戶入網(wǎng)時(shí)身份唯一，并且避免了I

12、P沖突。管理分級授權(quán)。使得不同職能的管理者使用同一套系統(tǒng)時(shí)得到不同的操作界面以及使用權(quán)限，避免了管理的安全隱患?？刂凭W(wǎng)絡(luò)病毒。統(tǒng)一對接入層交換機(jī)做動態(tài)下發(fā)安全策略，可以輕松有效的控制網(wǎng)絡(luò)病毒，使網(wǎng)絡(luò)保持暢通。抵御網(wǎng)絡(luò)攻擊。結(jié)合網(wǎng)絡(luò)攻擊的檢測系統(tǒng)，可以抵御日益增多的內(nèi)部網(wǎng)絡(luò)攻擊，并且自動對用戶做出相應(yīng)的控制動作，保證網(wǎng)絡(luò)安全。易管理性包括：1、全網(wǎng)設(shè)備統(tǒng)一管理。全網(wǎng)拓?fù)浒l(fā)現(xiàn)以及對事件、性能、日志的統(tǒng)一管理，可以方便的對全網(wǎng)設(shè)備統(tǒng)一管理，運(yùn)籌帷幄決勝千里之外。2、AGTS的用戶管理模式。將大量的信息轉(zhuǎn)化為少量的信息做對應(yīng)，可以在設(shè)置的時(shí)候使用最少量的對應(yīng)關(guān)系，從而大大提高用戶管理的效率。3、接入時(shí)

13、段管理。通過對日常、周末以及節(jié)日的一次性設(shè)置，可以輕松靈活的管理用戶能夠使用網(wǎng)絡(luò)的時(shí)段，提高用戶管理的力度。4、自動升級客戶端?？梢酝ㄟ^統(tǒng)一的一次性配置，使得所有用戶的客戶端自動進(jìn)行升級，大大簡化了管理者及使用者的負(fù)擔(dān)，使得上網(wǎng)更為輕松。上網(wǎng)認(rèn)證系統(tǒng)是基于這樣的理念，只有經(jīng)過系統(tǒng)認(rèn)證的用戶才被允許使用網(wǎng)絡(luò)，否則他就只是一個(gè)單機(jī)用戶。這種辦法類似于只有配發(fā)合法牌照的汽車才可以上路。當(dāng)然允許上網(wǎng)只是第一步，認(rèn)證上網(wǎng)的同時(shí)，系統(tǒng)也開始了對該用戶上網(wǎng)行為的記錄，那就是用戶上網(wǎng)日志。并且系統(tǒng)管理員可以對用戶進(jìn)行各種管理與限制。比如對有病毒的電腦，對進(jìn)行了非法使用的用戶（如BT下載）可以限制不允許上網(wǎng)；

14、要求他對本機(jī)病毒清除或停止非法應(yīng)用后，再允許他上網(wǎng)。上網(wǎng)認(rèn)證系統(tǒng)的操作是用戶在打開IE時(shí)都會彈出一個(gè)菜單，只有填寫合法的用戶名和密碼后才能進(jìn)行進(jìn)一步的操作。認(rèn)證通過后，不會對以后的其他任何操作產(chǎn)生影響。上網(wǎng)認(rèn)證系統(tǒng)使得網(wǎng)絡(luò)成為一個(gè)有身份證的社會，正因?yàn)橛猩矸葑C才能進(jìn)行管理。五、 實(shí)現(xiàn)網(wǎng)絡(luò)管理功能的網(wǎng)絡(luò)改造建議方案100點(diǎn)以下的中小規(guī)模網(wǎng)絡(luò)：方案一：出口配置路由器、接入采用普通可網(wǎng)管交換機(jī)。方案二：出口配置路由器、接入采用智能增強(qiáng)型可網(wǎng)管交換機(jī)。方案三：出口配置路由器、安全設(shè)備采用硬件防火墻、接入采用智能增強(qiáng)型可網(wǎng)管交換機(jī)、起用上網(wǎng)認(rèn)證系統(tǒng)。100點(diǎn)以上的大中規(guī)模網(wǎng)絡(luò)：方案一：出口配置硬件防火墻

15、、核心交換機(jī)采用百兆三層交換機(jī)、接入交換機(jī)采用普通可網(wǎng)管交換機(jī)。方案二：出口配置硬件防火墻、核心交換機(jī)采用百兆三層交換機(jī)、接入交換機(jī)采用智能增強(qiáng)型二層交換機(jī)、起用上網(wǎng)認(rèn)證系統(tǒng)。方案三：出口配置硬件防火墻、核心交換機(jī)采用千兆三層交換機(jī)、接入交換機(jī)采用智能增強(qiáng)型二層交換機(jī)、起用上網(wǎng)認(rèn)證系統(tǒng)。改造案例一 天津海事局秦皇島航標(biāo)處網(wǎng)絡(luò)改造工程網(wǎng)絡(luò)現(xiàn)狀：100個(gè)信息點(diǎn)左右，應(yīng)用有OA，視頻會議、網(wǎng)站等。原有問題：IP地址沖突、網(wǎng)絡(luò)病毒泛濫、外網(wǎng)攻擊多、網(wǎng)絡(luò)不穩(wěn)定。所改造的設(shè)備：出口采用CISCO PIX515E防火墻，核心交換機(jī)采用銳捷RG-S3750-24，接入交換機(jī)采用智能增強(qiáng)型交換機(jī)RG-S2126

16、G，全網(wǎng)采用SAMII 802.1X認(rèn)證接入網(wǎng)絡(luò)。達(dá)到的效果：每個(gè)網(wǎng)絡(luò)用戶必須經(jīng)過認(rèn)證后才可以使用網(wǎng)絡(luò)，利用SAMII及智能增強(qiáng)交換機(jī)的強(qiáng)大功能實(shí)現(xiàn)IP地址、用戶名、密碼、端口、MAC地址、NAS設(shè)備六大元素的綁定，從根本上解決了IP地址沖突的問題，防止了非法用戶的接入。由于采用了三層交換機(jī)技術(shù)，利用ACL功能控制了各部門之間的網(wǎng)絡(luò)訪問，并限制通信端口的通信。改造案例二 河北衡信會計(jì)師事務(wù)所網(wǎng)絡(luò)狀況：80個(gè)信息點(diǎn)左右，有預(yù)算軟件、造價(jià)軟件等重要應(yīng)用。改造方案：選用了銳捷的RG-S3550-24千兆智能三層交換機(jī)做為主交換機(jī)，來轉(zhuǎn)發(fā)合控制各VLAN間的數(shù)據(jù)交換。各接入交換機(jī)我們選用了銳捷的STA

17、R-S1926F+網(wǎng)管交換機(jī)。出口選用NBR路由器。改造目標(biāo)：1、對網(wǎng)絡(luò)進(jìn)行基于部門的虛擬網(wǎng)劃分，在劃分虛擬網(wǎng)的同時(shí)還可以通過主交換機(jī)的三層路由功能來具體控制虛擬網(wǎng)之間、互聯(lián)網(wǎng)之間的訪問權(quán)限。辦公區(qū)域是業(yè)務(wù)保證的重點(diǎn)，安全性、QoS保證必不可少。考慮各單位信息的安全，可在核心交換機(jī)上采用訪問控制列表ACL的方式進(jìn)行權(quán)限控制，可允許或拒絕特定的單位或部門訪問。2、病毒的控制：通過主交換機(jī)的擴(kuò)展訪問控制列表功能，我們可以輕松的來控制整個(gè)網(wǎng)絡(luò)病毒傳播速度，可以把病毒傳播控制在一個(gè)虛擬網(wǎng)以內(nèi)。3、可管理性：根據(jù)各職能部門的不同，分配不同的IP網(wǎng)段，在核心交換機(jī)和底層交換機(jī)上都設(shè)置ACL并給每個(gè)交換機(jī)上的每個(gè)端口都劃分Vlan（對于并不重要的部門可以不用每個(gè)端口都劃分Vlan，但重要部門必須如此）。這樣，就可以完全隔離各部門之間的網(wǎng)絡(luò)，保證不同業(yè)務(wù)網(wǎng)絡(luò)架構(gòu)于同一個(gè)物理網(wǎng)絡(luò)。通過