下一代互聯(lián)網(wǎng)（IPv6）搭建與運(yùn)維（初級(jí) ） 課件任務(wù)2企業(yè)IT網(wǎng)絡(luò)實(shí)施方案編寫

單元1網(wǎng)絡(luò)設(shè)備安裝部署與網(wǎng)絡(luò)協(xié)議任務(wù)2企業(yè)IT網(wǎng)絡(luò)實(shí)施方案編寫企業(yè)IT網(wǎng)絡(luò)實(shí)施方案編寫祥云公司現(xiàn)在的規(guī)劃越來越大，原有網(wǎng)絡(luò)跟不上現(xiàn)有企業(yè)發(fā)展的業(yè)務(wù)需要，出現(xiàn)網(wǎng)絡(luò)通訊質(zhì)量不佳、網(wǎng)絡(luò)延遲、網(wǎng)絡(luò)擁堵、網(wǎng)絡(luò)安全等一系列問題，針對(duì)這些問題，該公司想對(duì)網(wǎng)絡(luò)進(jìn)行升級(jí)改造，確保公司的各項(xiàng)工作能夠順利開展。根據(jù)公司的要求，首先需要對(duì)該公司的網(wǎng)絡(luò)進(jìn)行整體規(guī)劃，然后再對(duì)網(wǎng)絡(luò)需求進(jìn)行分析，規(guī)劃網(wǎng)絡(luò)，對(duì)網(wǎng)絡(luò)安全進(jìn)行設(shè)置。了解企IT架構(gòu)包含內(nèi)容了解網(wǎng)絡(luò)系統(tǒng)規(guī)劃了解基礎(chǔ)網(wǎng)絡(luò)規(guī)劃包括內(nèi)容了解網(wǎng)絡(luò)規(guī)劃方案學(xué)習(xí)目標(biāo)預(yù)備知識(shí)一、總體框架一般企業(yè)的IT架構(gòu)包括企業(yè)IT網(wǎng)絡(luò)部分和企業(yè)IT業(yè)務(wù)應(yīng)用系統(tǒng)部分。預(yù)備知識(shí)二、網(wǎng)絡(luò)系統(tǒng)規(guī)劃目前，一般企業(yè)對(duì)于信息化方面投入比較有限。首先，人手不夠，專業(yè)人才不夠，應(yīng)用能力、維護(hù)能力、開發(fā)能力、實(shí)施能力等都比較弱，這就更加需要我們的網(wǎng)絡(luò)架構(gòu)穩(wěn)定、安全、成熟、可靠，盡可能投入少的人力和金錢進(jìn)行維護(hù)；另外，企業(yè)首先考慮的是生存，而不是信息化，因此根本沒有可能先做到“先信息化，后業(yè)務(wù)”，這就導(dǎo)致網(wǎng)絡(luò)實(shí)施要求必須容易，且實(shí)施時(shí)間短，這樣才有可能更好地讓企業(yè)運(yùn)作起來。

一般來講，企業(yè)IT網(wǎng)絡(luò)一般包括局域網(wǎng)、廣域網(wǎng)連接、網(wǎng)絡(luò)管理和安全性三大要素。接下來分別對(duì)每個(gè)要素進(jìn)行分析講解。預(yù)備知識(shí)預(yù)備知識(shí)大企業(yè)網(wǎng)絡(luò)核心層一般采用冗余節(jié)點(diǎn)和冗余線路的拓?fù)浣Y(jié)構(gòu)，小企業(yè)則單線路的連接方式。預(yù)備知識(shí)針對(duì)一般企業(yè)的信息化要求和網(wǎng)絡(luò)規(guī)劃要素進(jìn)行分析，從總體上來看，規(guī)劃實(shí)施方案必須具有如下特點(diǎn)預(yù)備知識(shí)三、安全基礎(chǔ)網(wǎng)絡(luò)規(guī)劃方案根據(jù)對(duì)某企業(yè)的實(shí)際調(diào)研，獲取了企業(yè)的網(wǎng)絡(luò)需求，以此來制定企業(yè)基礎(chǔ)網(wǎng)絡(luò)建設(shè)規(guī)劃方案和網(wǎng)絡(luò)設(shè)備選型參考。1.網(wǎng)絡(luò)需求目前，企業(yè)規(guī)劃的網(wǎng)絡(luò)節(jié)點(diǎn)為200個(gè)，主要的網(wǎng)絡(luò)需求有：第一，資源共享，網(wǎng)絡(luò)內(nèi)的各個(gè)桌面用戶可以實(shí)現(xiàn)共享文件、共享打印機(jī)，實(shí)現(xiàn)辦公自動(dòng)化系統(tǒng)中的各項(xiàng)功能；第二，網(wǎng)絡(luò)通信服務(wù)，用戶能夠通過廣域網(wǎng)連接可以實(shí)現(xiàn)收發(fā)電子郵件，實(shí)現(xiàn)Web應(yīng)用、接入互聯(lián)網(wǎng)、進(jìn)行安全的互聯(lián)網(wǎng)訪問；第三，企業(yè)門戶網(wǎng)站和網(wǎng)絡(luò)通信系統(tǒng)的建立（企業(yè)郵箱、企業(yè)即時(shí)通信和企業(yè)短信平臺(tái)等）。企業(yè)目前擁有的設(shè)備有：PC數(shù)量約250臺(tái)；路由器、交換機(jī)等網(wǎng)絡(luò)設(shè)備；網(wǎng)絡(luò)帶寬為電信的10M專線；無線網(wǎng)信息較穩(wěn)定。2.基礎(chǔ)規(guī)劃網(wǎng)絡(luò)本方案適用于200~300臺(tái)電腦聯(lián)網(wǎng)，核心采用DCRS-7604E交換機(jī)，通過千兆雙絞線/光纖下連匯聚交換機(jī)(CS6200系列)及應(yīng)用服務(wù)器連接；用戶接入層采用S4600系列交換機(jī)，通過光纖上連匯聚交換機(jī)。出口防火墻采用DCFW-1800E系列防火墻。辦公區(qū)WIFI6覆蓋。預(yù)備知識(shí)三、核心層1.概念核心層是網(wǎng)絡(luò)的高速交換主干，對(duì)整個(gè)網(wǎng)絡(luò)的連通起到至關(guān)重要的作用。核心層應(yīng)該具有如下幾個(gè)特性：可靠性、高效性、冗余性、容錯(cuò)性、可管理性、適應(yīng)性、低延時(shí)性等。在核心層中，應(yīng)該采用高帶寬的千兆以上交換機(jī)。核心層是網(wǎng)絡(luò)的樞紐中心，重要性突出。核心層設(shè)備采用雙機(jī)冗余熱備份是非常必要的，也可以使用負(fù)載均衡功能，來改善網(wǎng)絡(luò)性能。預(yù)備知識(shí)預(yù)備知識(shí)業(yè)務(wù)設(shè)備選型配置說明數(shù)量部署位置出口防火墻DCFW-1800E系列5個(gè)10/100/1000M以太網(wǎng)電口,4個(gè)千兆Combo接口，雙電源冗余設(shè)計(jì)。1核心機(jī)房核心交換機(jī)DCRS-7604E系列DCRS-7604E（R2.0）機(jī)箱式路由交換機(jī)主機(jī)（4個(gè)業(yè)務(wù)插槽，前兩個(gè)業(yè)務(wù)插槽可插管理引擎模塊，交流電源1+1冗余）8個(gè)千兆以太網(wǎng)電口（RJ45）+12個(gè)千兆SFP光接口+12個(gè)萬兆SFP+光接口+2個(gè)40GQSFP光接口1核心機(jī)房匯聚交換機(jī)CS6200系列CS6200路由交換機(jī)（24個(gè)千兆以太網(wǎng)電口+4個(gè)復(fù)用千兆SFP光口+4個(gè)10GSFP+光口），主機(jī)內(nèi)置雙AC電源1各樓層弱電間接入交換機(jī)S4600系列千兆以太網(wǎng)交換機(jī)，（48個(gè)千兆以太網(wǎng)電口+4個(gè)千兆SFP光口）8各樓層弱電間無線控制器DCWS-6028系列有線無線一體化智能控制器，26個(gè)千兆電口，2個(gè)復(fù)用的千兆光口，2個(gè)萬兆SFP+光口；默認(rèn)含16臺(tái)AP管理許可1核心機(jī)房無線APWL8200系列WiFi6室內(nèi)雙頻放裝型無線接入點(diǎn)，內(nèi)置天線，整機(jī)接入速率2975Mbps，2個(gè)射頻，6條空間流，2個(gè)2.5Gbps以太網(wǎng)接口，支持雙PoE端口，1個(gè)Console接口，2個(gè)USB接口，1個(gè)藍(lán)牙接口，支持標(biāo)準(zhǔn)802.3atPoE供電和本地DC12V/2A供電。5各樓層（2）設(shè)備選型和部署參考見表0-2-1所示。預(yù)備知識(shí)預(yù)備知識(shí)四、廣域網(wǎng)互聯(lián)VPN規(guī)劃方案伴隨企業(yè)和公司的不斷擴(kuò)張，公司分支機(jī)構(gòu)及客戶群分布日益分散，合作伙伴日益增多，越來越多的現(xiàn)代企業(yè)迫切需要利用公共Internet資源來進(jìn)行促銷、銷售、售后服務(wù)、培訓(xùn)、合作及其它咨詢活動(dòng)，這為VPN的應(yīng)用奠定了廣闊市場。在VPN方式下，VPN客戶端和設(shè)置在內(nèi)部網(wǎng)絡(luò)邊界的VPN網(wǎng)關(guān)使用隧道協(xié)議，利用Internet或公用網(wǎng)絡(luò)建立一條“隧道”作為傳輸通道，同時(shí)VPN連接采用身份認(rèn)證和數(shù)據(jù)加密等技術(shù)避免數(shù)據(jù)在傳輸過程中受到偵聽和篡改，從而保證數(shù)據(jù)的完整性、機(jī)密性和合法性。通過VPN方式，企業(yè)可以利用現(xiàn)有的網(wǎng)絡(luò)資源實(shí)現(xiàn)遠(yuǎn)程用戶和分支機(jī)構(gòu)對(duì)內(nèi)部網(wǎng)絡(luò)資源的訪問，不但節(jié)省了大量的資金，而且具有很高的安全性。另外，隨著企業(yè)規(guī)模的擴(kuò)大，分散辦公也越來越普遍，如何實(shí)現(xiàn)小型分支、出差員工、合作伙伴的遠(yuǎn)程網(wǎng)絡(luò)訪問也被越來越多的企業(yè)關(guān)注。從成本、易用性、易管理等多方面綜合考慮，SSLVPN無疑是一種最合適的方案：只需要在總部部署一臺(tái)設(shè)備，成本更低，管理維護(hù)也很容易；無需安裝客戶端、無需配置，登錄網(wǎng)頁就能使用。預(yù)備知識(shí)1.網(wǎng)絡(luò)需求IPSecVPN和SSLVPN各有所長，功能互補(bǔ)，對(duì)企業(yè)來說都是需要的：IPSecVPN用于總部和中大型分支互聯(lián)，SSLVPN用于為小型分支、合作伙伴、出差人員提供遠(yuǎn)程網(wǎng)絡(luò)訪問。但傳統(tǒng)方法下，企業(yè)總部需要采購兩臺(tái)設(shè)備來支持兩種VPN，不僅成本更高，而且可能存在VPN策略沖突，導(dǎo)致性能下降、管理困難。預(yù)備知識(shí)2.規(guī)劃方案VPN設(shè)備針對(duì)企業(yè)的實(shí)際需要，一臺(tái)設(shè)備融合IPSec/SSL兩種VPN，只需部署在總部，既可以用于為合作伙伴、出差人員提供遠(yuǎn)程網(wǎng)絡(luò)訪問，也可以和分支機(jī)構(gòu)進(jìn)行IPSecVPN互連，幫助企業(yè)降低采購、部署、維護(hù)三方面成本。VPN網(wǎng)關(guān)選擇方面，防火墻、路由器都能夠?qū)崿F(xiàn)VPN，提供給企業(yè)更加靈活的選擇。例如，如果企業(yè)非常強(qiáng)調(diào)網(wǎng)絡(luò)安全、VPN性能，就選擇防火墻；如果企業(yè)更注重多業(yè)務(wù)處理能力，如IP語音通信、3G上網(wǎng)、無線接入等，推薦選擇路由器。在總部局域網(wǎng)Internet邊界防火墻后面配置一臺(tái)或兩臺(tái)雙機(jī)熱備的VPN網(wǎng)關(guān)，在分支機(jī)構(gòu)Internet邊界防火墻后面配置一臺(tái)VPN網(wǎng)關(guān)，由此兩端的VPN網(wǎng)關(guān)建立IPSecVPN隧道，進(jìn)行數(shù)據(jù)封裝、加密和傳輸；另外，通過總部的VPN網(wǎng)關(guān)提供SSLVPN接入業(yè)務(wù)預(yù)備知識(shí)預(yù)備知識(shí)3.網(wǎng)絡(luò)安全規(guī)則網(wǎng)絡(luò)安全是整個(gè)系統(tǒng)安全運(yùn)行的基礎(chǔ)，是保證系統(tǒng)安全運(yùn)行的關(guān)鍵。網(wǎng)絡(luò)系統(tǒng)的安全需求包括以下幾個(gè)方面：網(wǎng)絡(luò)邊界安全需求入侵監(jiān)測與實(shí)時(shí)監(jiān)控需求安全事件的響應(yīng)和處理需求分析這些需求在各個(gè)應(yīng)用系統(tǒng)上的不同組合就要求把網(wǎng)絡(luò)分成不同的安全層次。我們針對(duì)企業(yè)網(wǎng)絡(luò)層的安全策略采用硬件保護(hù)與軟件保護(hù)，靜態(tài)防護(hù)與動(dòng)態(tài)防護(hù)相結(jié)合，由外向內(nèi)多級(jí)防護(hù)的總體策略。根據(jù)安全需求和應(yīng)用系統(tǒng)的目的，整個(gè)網(wǎng)絡(luò)可劃分為六個(gè)不同的安全層次。核心層：核心數(shù)據(jù)庫。安全層：應(yīng)用信息系統(tǒng)中間件服務(wù)器等應(yīng)用。基本安全層：內(nèi)部局域網(wǎng)用戶。可信任層：公司本部與營業(yè)部網(wǎng)絡(luò)訪問接口。危險(xiǎn)層：Internet。預(yù)備知識(shí)4.網(wǎng)絡(luò)安全策略信息系統(tǒng)各安全域中的安全需求和安全級(jí)別不同，網(wǎng)絡(luò)層的安全主要是在各安全區(qū)域間建立有效的安全控制措施，使網(wǎng)間的訪問具有可控性。（1）核心數(shù)據(jù)庫采用物理隔離策略應(yīng)用系統(tǒng)采用分層架構(gòu)方式，客戶端只需要訪問中間件服務(wù)器即可進(jìn)行日常業(yè)務(wù)處理，從物理上不能直接訪問數(shù)據(jù)庫服務(wù)器，保障了核心層數(shù)據(jù)的高度安全。（2）應(yīng)用系統(tǒng)中間件服務(wù)器采取綜合安全策略應(yīng)用系統(tǒng)中間件的安全隱患主要來自局域網(wǎng)內(nèi)部，為了保障應(yīng)用系統(tǒng)中間件服務(wù)的安全，在局域網(wǎng)中可通過劃分虛擬子網(wǎng)對(duì)各安全區(qū)域、用戶和安全域間實(shí)施安全隔離，提供子網(wǎng)間的訪問控制能力。同時(shí)，中間件服務(wù)器本身可以通過配置相應(yīng)的安全策略，限定經(jīng)過授權(quán)的工作站、用戶方能訪問系統(tǒng)服務(wù)，保障了中間件服務(wù)器的安全性。預(yù)備知識(shí)（3）內(nèi)部局域網(wǎng)采取信息安全策略公司本部及營業(yè)部內(nèi)部局域網(wǎng)處于基本安全層的網(wǎng)絡(luò)，主要是對(duì)于安全防護(hù)能力較弱的終端用戶在使用，因此考慮的重點(diǎn)在于兩個(gè)方面，一個(gè)是客戶端的病毒防護(hù)，另一個(gè)是防止內(nèi)部敏感信息的對(duì)外泄露。因此，通過選用網(wǎng)絡(luò)殺毒軟件達(dá)到內(nèi)部局域網(wǎng)的病毒防護(hù)，同時(shí)，使用專用網(wǎng)絡(luò)安全設(shè)備如硬件防火墻）建立起有效的安全防護(hù)，通過訪問控制ACL等安全策略的配置，有效地控制內(nèi)部終端用戶和外部網(wǎng)絡(luò)的信息交換，實(shí)現(xiàn)內(nèi)部局域網(wǎng)的信息安全。（4）公司本部與下屬機(jī)構(gòu)之間網(wǎng)絡(luò)接口采取通信安全策略處于可信任層的網(wǎng)絡(luò)，其安全主要考慮各下屬單位上傳的業(yè)務(wù)數(shù)據(jù)的保密安全，因此，可采用數(shù)據(jù)層加密方式，通過硬件防火墻提供的VPN隧道進(jìn)行加密，實(shí)現(xiàn)關(guān)鍵敏感性信息在廣域網(wǎng)通信信道上的安全傳輸。（5）Internet采取通信加密策略Internet屬于非安全層和危險(xiǎn)層，由于Internet存在著大量的惡意攻擊，因此考慮的重點(diǎn)是要避免涉密信息在該層次中的流動(dòng)。通過硬件防火墻提供專業(yè)的網(wǎng)絡(luò)防護(hù)能力，并對(duì)所有訪問請求進(jìn)行嚴(yán)格控制，對(duì)所有的數(shù)據(jù)通訊進(jìn)行加密后傳輸。同時(shí)，建議設(shè)置嚴(yán)格的機(jī)房管理制度，嚴(yán)禁非授權(quán)的人員進(jìn)入機(jī)房，也能夠進(jìn)一步提升整個(gè)網(wǎng)絡(luò)系統(tǒng)的安全。預(yù)備知識(shí)7.廣域網(wǎng)安全規(guī)劃企業(yè)廣域網(wǎng)安全，主要是通過防火墻和VPN等設(shè)備或技術(shù)來保障。防火墻對(duì)流經(jīng)它的網(wǎng)絡(luò)通信進(jìn)行掃描，能夠過濾掉一些攻擊，防火墻還可以關(guān)閉不使用的端口，防火墻具有很好的保護(hù)作用，入侵者必須首先穿越防火墻的安全防線，才能接觸目標(biāo)計(jì)算機(jī)，所以出于安全考慮，企業(yè)必須購置防火墻以保證其服務(wù)器安全，將應(yīng)用系統(tǒng)服務(wù)器放置在防火墻內(nèi)部專門區(qū)域。一般硬件防火墻比軟件防火墻的性能更好，建議選擇企業(yè)級(jí)的硬件防火墻，硬件防火墻市場知名度高的品牌有CISCO、CheckPoint、Juniper、H3C、天融信、華為賽門鐵克、聯(lián)想網(wǎng)御等，用戶應(yīng)根據(jù)應(yīng)用情況選擇合適的防火墻。VPN即虛擬專用網(wǎng)（VirtualPrivateNetworks）提供了一種通過公共非安全介質(zhì)如Internet）建立安全專用連接的技術(shù)。使用VPN技術(shù)，甚至機(jī)密信息都可以通過公共非安全的介質(zhì)進(jìn)行安全傳送。VPN技術(shù)的發(fā)展與成熟，可為企業(yè)的商業(yè)運(yùn)作提供一個(gè)無處不在的、可靠的、安全的數(shù)據(jù)傳輸網(wǎng)絡(luò)。VPN通過安全隧道建立一個(gè)安全的連接通道，將分支機(jī)構(gòu)、遠(yuǎn)程用戶、合作伙伴等和企業(yè)網(wǎng)絡(luò)互聯(lián)，形成一個(gè)擴(kuò)展的企業(yè)網(wǎng)絡(luò)。預(yù)備知識(shí)（1）VPN基本特征如圖0-2-8所示使企業(yè)享受到在專用網(wǎng)中可獲得的相同安全性、可靠性和可管理性。網(wǎng)絡(luò)架構(gòu)彈性大——無縫地將Intranet延伸到遠(yuǎn)端辦事處、移動(dòng)用戶和遠(yuǎn)程工作者?？梢酝ㄟ^Extranet連接企業(yè)合作伙伴、供應(yīng)商和主要客戶（建立綠色信息通道），以提高客戶滿意度、降低經(jīng)營成本。預(yù)備知識(shí)預(yù)備知識(shí)任務(wù)總結(jié)通過本節(jié)的學(xué)習(xí)，學(xué)生基本上了解一般企業(yè)的IT架構(gòu)包括哪幾部分，了解網(wǎng)絡(luò)系統(tǒng)規(guī)劃需要從考慮哪些方面，了解安全基礎(chǔ)網(wǎng)絡(luò)規(guī)劃方案包括哪些內(nèi)容，了解廣域網(wǎng)互聯(lián)VPN規(guī)劃方案從考慮哪些方面。任務(wù)評(píng)價(jià)*合計(jì)=學(xué)生自評(píng)40%+教師評(píng)價(jià)60%評(píng)價(jià)內(nèi)容評(píng)價(jià)目的標(biāo)準(zhǔn)方式學(xué)生自評(píng)教師評(píng)價(jià)說出一般企業(yè)的IT架構(gòu)包括哪幾部分學(xué)生掌握知識(shí)和技能的程度正確（2分）錯(cuò)誤（0分）滿分為10分，根據(jù)學(xué)生任務(wù)完成情況評(píng)分。

說出基礎(chǔ)網(wǎng)絡(luò)規(guī)劃包括哪些內(nèi)容正確（2分）錯(cuò)誤（0分）

說出VPN規(guī)劃方案可以從哪些方面考慮。完成（3分）未完成（0分）

個(gè)人表現(xiàn)學(xué)生參與學(xué)習(xí)的態(tài)度與能力，團(tuán)隊(duì)合作的情況等。3分

合計(jì)

知識(shí)小測單選題1、以下對(duì)計(jì)算機(jī)網(wǎng)絡(luò)體系結(jié)構(gòu)中協(xié)議的描述錯(cuò)誤的是（）。A、協(xié)議是控制兩個(gè)對(duì)等實(shí)體間通信的規(guī)則的集合B、網(wǎng)絡(luò)協(xié)議的三要素