網(wǎng)絡(luò)總體拓撲圖

-.z網(wǎng)絡(luò)總體設(shè)計3.1.網(wǎng)絡(luò)總體拓撲圖考慮到總公司的實際需求〔總公司辦公樓三座，員工住宿樓5座公司實際人數(shù)800人〕，因此在進展網(wǎng)絡(luò)設(shè)計是不僅要2021*ingcai./考慮二成的冗余，同時還要進展三層的冗余。在二層冗余建議使用思科的私有協(xié)議每VLAN生成樹協(xié)議，由于總共五個部門，不會因為播送BPDU幀而影響網(wǎng)絡(luò)的正常運行，而且還可以充分利用現(xiàn)有的網(wǎng)絡(luò)資源，防止單臺核心設(shè)備的負載太重而導(dǎo)致的網(wǎng)絡(luò)性能問題。在進展三層冗余時，我們建議采用兩臺CiscoCatalyst3560〔或使用49系列〕做熱備，同時使用Cisco私有熱備份路由協(xié)議技術(shù)〔HSRP〕。CiscoCatalyst35系列交換機是一種價格低廉，有較高轉(zhuǎn)發(fā)速率的三層交換機，同時還是CISCO生產(chǎn)線中適合做HSRP的交換機之一。HSRP是思科的私有協(xié)議，它的優(yōu)點是網(wǎng)絡(luò)的收斂速度快，能夠更好的使用網(wǎng)絡(luò)變化，它可以根據(jù)需求配置成多組HSRP，實現(xiàn)網(wǎng)絡(luò)的冗余容錯等功能，這樣設(shè)計不但保證網(wǎng)絡(luò)的高可用性和穩(wěn)定性，還能夠充分利用現(xiàn)有設(shè)備的資源，以防止單臺核心設(shè)備的負載太重而導(dǎo)致的網(wǎng)絡(luò)性能問題。由于公司的MAIL、DNS效勞器都很少進展配置的更改，我們建議使用高端、穩(wěn)定、具有良好平安性的LINU*操作系統(tǒng)；對于FILE、FTP、WEB2〔由于使用兩臺web，我們建議web1使用liun*操作系統(tǒng)〕作為公司中需要不斷的進展性能改善與配置更改得設(shè)備，我們建議使用易操作、以管理的window操作系統(tǒng)。對于AD的選擇，由于要不斷的進展策略的更改下發(fā)、加上LINU*系統(tǒng)域效勞遠不如WINDOW，我們建議使用window操作系統(tǒng)，這樣便于網(wǎng)絡(luò)管理員進展操作。由于公司有大量的顧客以及公司員工要公司web效勞器，我們將通過在核心路由器上配置輪訓(xùn)，以實現(xiàn)兩臺web效勞器的負載均衡。由于分公司也連接internet，則部網(wǎng)絡(luò)平安問題仍然不能無視。分公司人員只有40-50人，則internet占用的流量不多我們建議使用ISA來做分公司的網(wǎng)絡(luò)防火墻。這樣雖說能夠承載的網(wǎng)絡(luò)流量不如硬件防火墻，但能夠滿足分公司的現(xiàn)在以及未來的網(wǎng)絡(luò)需求。對于外出的工作人員，他需要了解公司的相關(guān)情況，我們建議通過使用廉價、方便、快捷的easyVPN實現(xiàn)外出用戶的遠程撥入，同時這樣還能為公司工作人員實現(xiàn)家庭辦公提供有利的條件。由于總公司與分公司相距較近，且兩公司之間有大量的實時數(shù)據(jù)進展傳遞，同時從平安的角度進展考慮，總公司與分公司之間使用專線連接〔協(xié)議選擇PPP協(xié)議〕是最正確選擇。為保證網(wǎng)路的冗余性如果專線出現(xiàn)問題，我們建議分公司通過IPSECVPN實現(xiàn)與總公司的網(wǎng)絡(luò)。如上圖所示，整體網(wǎng)絡(luò)可以根據(jù)功能劃分為總部核心網(wǎng)絡(luò)hlbeemo./、聯(lián)接入包括辦公網(wǎng)絡(luò)、數(shù)據(jù)中心、分公司接入等，各區(qū)域相對獨立，通過核心網(wǎng)絡(luò)進展數(shù)據(jù)的交互。各區(qū)域可以各自建立交換網(wǎng)絡(luò)、路由接入、網(wǎng)絡(luò)平安體系，可以有獨立的平安策略、數(shù)據(jù)流量控制等個體的特性，而需要和其他區(qū)域的設(shè)備進展通訊的時候，則必須遵守核心網(wǎng)絡(luò)區(qū)的策略。作為總公司，需要向分公司及總公司的員工進展軟件的平安，策略的發(fā)布等。如果通過管理員手動設(shè)置的方式進展相關(guān)操作，很不現(xiàn)實，通過域模型可以很方便的解決這個問題。因此我們建議在總公司設(shè)立一臺域控制器，以便于對公司員工的計算機進展統(tǒng)一的管理。由于公司員工不僅要上公司部網(wǎng)絡(luò)，同時還要能夠進Internet網(wǎng)絡(luò)，而公司部有自己的DNS效勞器，顯然使用DNS轉(zhuǎn)發(fā)器是一種方便快捷的技術(shù)。3.2網(wǎng)絡(luò)層次化設(shè)計隨著網(wǎng)絡(luò)技術(shù)的迅速開展和網(wǎng)上應(yīng)用量的增長，分布式的網(wǎng)絡(luò)效勞和交換已經(jīng)移至用戶級，由此形成了一個新的、更適應(yīng)現(xiàn)代的高速大型網(wǎng)絡(luò)的分層設(shè)計模型。這種分級方法被稱為“多層設(shè)計〞。多層設(shè)計有以下一些好處：1：多層設(shè)計有很好的容錯功能.2：多層設(shè)計是模塊化的，網(wǎng)絡(luò)容量可隨著日后網(wǎng)絡(luò)節(jié)點的增加而不斷增大。3：多層網(wǎng)絡(luò)有很大確實定性，因此在運行和擴展過程中進展故障查找和排除非常簡單。4：多層網(wǎng)絡(luò)系統(tǒng)設(shè)計最有效地利用多種第3層業(yè)務(wù)，包括分段﹑負載分擔(dān)和故障恢復(fù)等。5：多層網(wǎng)絡(luò)中運用智能第3層業(yè)務(wù)可以大大減少因配置不當(dāng)或故障設(shè)備引起的一般問題。6：多層模式使網(wǎng)絡(luò)的移植更為簡單易行，因為它保存了基于路由器和交換機的網(wǎng)絡(luò)原有的尋址方案，對以往的網(wǎng)絡(luò)有很好的兼容性。7：多層構(gòu)造也能夠?qū)W(wǎng)絡(luò)的故障進展很好的隔離。通常pc及無法通過連接多臺交換機實現(xiàn)冗余，但接入層交換機出現(xiàn)故障，連接此臺交換機的pc不能正常運行，其它交換機上的設(shè)備仍能正常工作。9：多層設(shè)計有很好的冗余性。隨著網(wǎng)絡(luò)規(guī)模的不斷擴大，網(wǎng)絡(luò)的可用性變的越來越重要。由于分層設(shè)計的網(wǎng)絡(luò)每臺接入層交換機連接兩臺匯lwczkj./聚層交換機，每臺會聚層交換及連接兩臺核心層交換機，借以確保路徑的冗余性。針對實際情況我們可以采用二層構(gòu)造模型。二層構(gòu)造模型劃分核心層、接入層。每個層次完成不同的功能。核心層核心層作為整個網(wǎng)絡(luò)系統(tǒng)的核心。它的功能主要是實現(xiàn)骨干網(wǎng)絡(luò)之間的優(yōu)化傳輸,核心層一直被認為是所有流量的最終承受者和會聚者，所以對核心層的設(shè)計以及網(wǎng)絡(luò)設(shè)備的要求十分嚴格。核心層設(shè)備將占投資的主要局部，其主要功能是高速、可靠的進展數(shù)據(jù)交換。業(yè)務(wù)會聚層業(yè)務(wù)會聚層重點任務(wù)通常是冗余能力、可靠性、為接入層交換機提供接口和高速的傳輸，同時進展接入層的數(shù)據(jù)流量會聚，并對數(shù)據(jù)流量進展控制〔包括控制列表、VLAN路由等等〕。會聚層是多臺接入層交換機的會聚點，它必須能夠處理來自接入層設(shè)備的所有通信量，并提供到核心層的上行鏈路，因此會聚層交換機與接入層交換機比擬，需要更高的性能，更少的接口和更高的交換速率。接入層接入層主要任務(wù)是為終端用戶提供足量的接口。因此接入層交換機具有低本錢和高端口密度特性。同時，接入層是最終用戶與網(wǎng)絡(luò)的接口，它應(yīng)該提供即插即用的接口，同時應(yīng)該非常易于使用和維護。主要是進展VLAN的劃分、與分布層的連接等等。3.3核心層設(shè)計核心交換機的作用是盡快地提供所有的區(qū)域間的數(shù)據(jù)交換。我們推薦使用兩臺CiscoCatalyst3560交換機完成此項功能。兩臺3560交換機高性能、可靠性、可用性是我們主要考慮的因素。本區(qū)的平安性可以由邊界防火墻提供，如有需要在3560上面可以部署平安策略，使得核心交換區(qū)的平安性進一步地增強。CiscoCatalyst3560系列憑借眾多智能效勞將控制擴展到網(wǎng)絡(luò)邊緣，其中包括先進的效勞質(zhì)量(QoS)、可預(yù)測性能、高級平安性和全面的管理，同時它還支持圖形化配置。它提供帶集成永續(xù)性的出色控制，將永續(xù)性集成到硬件和軟件中，縮短了網(wǎng)絡(luò)停運時間。CiscoCatalyst3560系列的模塊化架構(gòu)、介質(zhì)靈活性和可擴展性減少了重復(fù)by*qyj./運營開支，提高了投資回報〔ROI〕，從而在延長部署壽命的同時降低了擁有本錢。3.4接入層設(shè)計對于公司連接員工的接入層交換機采用思科的WS-C2960以千兆以太鏈路和會聚交換機相連接，并為用戶終端提供10/100M自適應(yīng)的接入，從而形成千兆為骨干，百兆到桌面的以太網(wǎng)三層構(gòu)造。辦公系統(tǒng)所需的各種效勞器如WEB效勞器、效勞器、FTP效勞器、域控制器等組成效勞器群，數(shù)據(jù)中心的多種金融系統(tǒng)應(yīng)用效勞器,連接到會聚交換機的千兆模塊上面,因此，部的局域網(wǎng)是采用雙層構(gòu)造組建。對于連接效勞器的接入層交換機，建議使用有較高吞吐量的交換機二層交換機來做接入層接入，以滿足當(dāng)前以及未來的網(wǎng)絡(luò)需求，在這里我們建議使用SR2042系列交換機3.5聯(lián)接入聯(lián)接入的作用是用于連接總公司和分公司之間的網(wǎng)絡(luò)。我們推薦總公司是用CISCO2821路由器、分公司是用2811路由器。CISCO2821自帶2個10/100/1000兆自適應(yīng)端口，可以作為連接兩臺3560系列交換機是用，是用WIC模塊連接廣域網(wǎng)接口。與相似價位的前幾代思科路由器相比，Cisco2800系列的性能提高了五倍、平安性和話音性能提高了十倍、具有全新嵌效勞選項，且大大提高了插槽性能和密度，同時保持了對目前Cisco1700系列和Cisco2600系列中現(xiàn)有90多種模塊多數(shù)模塊的支持，從而提供了極大的性能優(yōu)勢，它是當(dāng)前CISCO公司唯一種價格低廉，功能完備的路由器，是做聯(lián)接入的首選路由器。由于總部網(wǎng)絡(luò)和分部機房屬于公司的部網(wǎng)絡(luò)的一局部，因此可信度很高；接入時主要作用是生產(chǎn)運營系統(tǒng)的數(shù)據(jù)交換，查詢等等和管理以及監(jiān)控加上CISCO2811，2821都有自帶的防火墻設(shè)備。總結(jié)以上的原因，聯(lián)路由器與核心交換網(wǎng)絡(luò)間不需要配置額外的防火墻。路由設(shè)計4.1路由協(xié)議選擇為到達路由快速收斂、尋址以及方便網(wǎng)絡(luò)管理員管理的目的，我們建議采用動態(tài)路由協(xié)議。目前較好的動態(tài)路由協(xié)議是OSPF協(xié)議和EIGRP協(xié)議。OSPF以協(xié)議標(biāo)準(zhǔn)化強，支持廠家多，受到廣泛應(yīng)用，而EIGRP協(xié)議由Cisco公司創(chuàng)造，不便于未來網(wǎng)絡(luò)擴展，考慮到網(wǎng)絡(luò)的快速收斂和擴展性、公開性、投資的保護等原因，我們設(shè)計采用OSPF路由協(xié)hywhsc./88yulecheng/議和靜態(tài)路由相結(jié)合的路由方式。OSPF(OpenShortestPathFirst開放式最短btslss./ttyulecheng/路徑優(yōu)先)是一個部關(guān)協(xié)議(InteriorGatewayProtocol,簡稱IGP)，用于By-gnksguybb在單一自治系統(tǒng)(autonomoussystem,AS)決策路由。OSPF的協(xié)議管理距離〔AD〕是110。優(yōu)點：1、OSPF收斂速度快：能夠在最短的時間將路由變化傳遞到整個治系統(tǒng)。2、提出區(qū)域〔area〕劃分的概念，將自治系統(tǒng)劃分為不同區(qū)域后，通過區(qū)域之間的對路由信息的摘要，大大減少了需傳遞的路由信息數(shù)量。也使得路由信息不會隨網(wǎng)絡(luò)規(guī)模的擴大而急劇膨脹。3、將協(xié)議自身的開銷控制到最小。4、良好的平安性，ospf支持基于接口的明文及md5驗證。5、OSPF適應(yīng)各種規(guī)模的網(wǎng)絡(luò)，最多可達數(shù)千臺。6、OSPF支持明文以及MD5加密驗證，并且提供等價的負載均衡功能，如果計算出到*個目的站有假設(shè)干條費用一樣的路由，OSPF路由器會把通信流量均勻地分配給這幾條路由，沿這幾條路由把該分組發(fā)送出去；7、OSPF對于網(wǎng)絡(luò)的拓撲構(gòu)造變化可以迅速地做出反響，進展相應(yīng)調(diào)整，提供短的收斂期，使路由表盡快穩(wěn)定化，并且與其它路由協(xié)議相比，OSPF能夠劃分多區(qū)域，在對網(wǎng)絡(luò)拓撲變化的處理過程中僅需要很少的通信流量；9、OSPF支持CIDR〔無類型域間路由〕地址和VLSM(可變長子網(wǎng))。4.2路由規(guī)劃拓撲圖4.3IP地址規(guī)劃IP地址是用來標(biāo)識網(wǎng)絡(luò)中的一個節(jié)點。IP地址空間的分配，要與網(wǎng)絡(luò)層次構(gòu)造相適應(yīng)，既要有效地利用地址空間，又要便于管理員手動配置以及ip地址的擴展性和靈活性，同時能滿足路由協(xié)議的要求，提高路由算法的效率，加快路由變化的收斂速度。我們根據(jù)以下幾個原則來分配IP地址：唯一性：一個IP網(wǎng)絡(luò)中不能有兩個主機采用一樣的IP地址。簡單性：地址分配應(yīng)簡單易于管理，降低網(wǎng)絡(luò)擴展的復(fù)雜性，簡化路由表的款項。連續(xù)性：連續(xù)地址在層次構(gòu)造網(wǎng)絡(luò)中易于進展路由總結(jié)(RouteSummarization)，大大縮減路由表，提高路由算法的效率可擴展性：地址分配在每一層次上都要留有余量，在網(wǎng)絡(luò)規(guī)模擴展時能保證地址總結(jié)所需的連續(xù)性。以管理、以維護性：由于網(wǎng)絡(luò)中需要啟用NAT技術(shù)，在進展網(wǎng)絡(luò)規(guī)劃是我們認為不必要考慮ip地址浪費問題。我們著重考慮的應(yīng)該是網(wǎng)絡(luò)的ip地址配置、子網(wǎng)掩碼配置的方便、簡單、易操作等問題〔我們盡可能的使用主網(wǎng)地址〕。網(wǎng)絡(luò)平安解決方案5.1網(wǎng)絡(luò)邊界平安威脅分析網(wǎng)絡(luò)的邊界隔離著不同功能或地域的多個網(wǎng)絡(luò)區(qū)域，由于職責(zé)和功能的不同，相連網(wǎng)絡(luò)的也不同，這樣的網(wǎng)絡(luò)直接相連，必然存在著平安風(fēng)險，下面我們將對公司網(wǎng)絡(luò)就網(wǎng)絡(luò)邊界問題做脆弱性和風(fēng)險的分析。公司網(wǎng)絡(luò)主要存在的邊界平安風(fēng)險包括：1:公司總網(wǎng)絡(luò)與各級單位的連接，可能遭到來自各地的越權(quán)、2:惡意攻擊和計算機病毒的入侵；3：惡意軟件或從Internet下載的黑客程序惡意攻擊部站點，致使網(wǎng)絡(luò)局部或整體癱瘓；4：網(wǎng)絡(luò)拓撲構(gòu)造設(shè)計也直接影響到網(wǎng)絡(luò)系統(tǒng)的平安性。假設(shè)在外部和部網(wǎng)絡(luò)進展通信時，部網(wǎng)絡(luò)的機器平安就會受到威脅，同時也影響在同一網(wǎng)絡(luò)上的許多其他系統(tǒng)。5:部的各個功能網(wǎng)絡(luò)通過骨干交換相互連接，這樣的話，重要的部門或者專網(wǎng)將遭到來自其他部門的越權(quán)。這些越權(quán)可能包括惡意的攻擊、誤操作等等，但是它們的后果都將導(dǎo)致重要信息的泄漏或者是網(wǎng)絡(luò)的癱瘓。5.2網(wǎng)絡(luò)部平安威脅分析公司部網(wǎng)絡(luò)的風(fēng)險分析主要針對整個網(wǎng)的平安風(fēng)險，主要表現(xiàn)為以下幾個方面：1、部用戶的非授權(quán)；部的資源也不是對任何的員工都開放的，也需要有相應(yīng)的權(quán)限。部用戶的非授權(quán)的，更容易造成資源和重要信息的泄漏。2、部用戶的誤操作；由于部用戶的計算機造作的水平參差不齊，對于應(yīng)用軟件的理解也各不一樣，如果一局部軟件沒有相應(yīng)的對誤操作的防措施，極容易給效勞系統(tǒng)和其他主機造成危害。3、部用戶的惡意攻擊；就網(wǎng)絡(luò)平安來說，據(jù)統(tǒng)計約有70％左右的攻擊來自部用戶，相比外部攻擊來說，部用戶具有更得天獨厚的優(yōu)勢，因此，對部用戶攻擊的防也很重要。4:設(shè)備自身平安性也會直接關(guān)系到各種系統(tǒng)和各種網(wǎng)絡(luò)應(yīng)用的正常運轉(zhuǎn)。例如，路由設(shè)備存在路由信息泄漏、交換機和路由器設(shè)備配置風(fēng)險等。5、重要效勞器或操作系統(tǒng)自身存在平安的漏洞，如果管理員沒有及時的發(fā)現(xiàn)并且進展修復(fù)，將會為網(wǎng)絡(luò)的平安帶來很多不安定的因素。6、重要效勞器的當(dāng)機或者重要數(shù)據(jù)的意外喪失，都將會造成部的業(yè)務(wù)無常運行。如斷電、硬盤損壞等問題。7、平安管理的困難，對于眾多的網(wǎng)絡(luò)設(shè)備和網(wǎng)絡(luò)平安設(shè)備，平安策略的配置和平安事件管理的難度很大。8：所謂系統(tǒng)的平安是指整個網(wǎng)絡(luò)操作系統(tǒng)和網(wǎng)絡(luò)硬件平臺是否可靠且值得信任。目前恐怕沒有絕對平安的操作系統(tǒng)可以選擇。因此不但要選用盡可能可靠的操作系統(tǒng)和硬件平臺，并對操作系統(tǒng)進展平安配置。而且，必須加強登錄過程的認證〔特別是在到達效勞器主機之前的認證〕，確保用戶的合法性；其次應(yīng)該嚴格限制登錄者的操作權(quán)限，將其完成的操作限制在最小的圍。5.3管理的平安威脅分析管理是網(wǎng)絡(luò)中平安最最重要的局部。責(zé)權(quán)不明，平安管理制度不健全及缺乏可操作性等都可能引起管理平安的風(fēng)險。當(dāng)網(wǎng)絡(luò)出現(xiàn)攻擊行為或網(wǎng)絡(luò)受到其它一些平安威脅時〔如部人員的違規(guī)操作等〕，無法進展實時的檢測、監(jiān)控、報告與預(yù)警。建立全新網(wǎng)絡(luò)平安機制，必須深刻理解網(wǎng)絡(luò)并能提供直接的解決方案。因此，最可行的做法是制定健全的管理制度和嚴格管理相結(jié)合。保障網(wǎng)絡(luò)的平安運行，使其成為一個具有良好的平安性、可擴大性和易管理性的信息網(wǎng)絡(luò)便成為了首要任務(wù)。一旦上述的平安隱患成為事實，所造成的對整個網(wǎng)絡(luò)的損