网络安全课程设计(某中小企业网络规划与设计)

整理文档很辛苦,赏杯茶钱您下走!

免费阅读已结束,点击下载阅读编辑剩下 ...

阅读已结束,您可以下载文档离线阅读编辑

资源描述

1徐州工程学院综合训练报告课程名称计算机网络综合训练专业计算机科学与技术班级学生姓名学号设计题目某中小企业网络规划和设计指导教师设计起止时间:2009年12月7日至2009年12月25日成绩2某中小企业网络规划和设计一需求分析随着经济的飞速发展和社会信息化建设的大力推进,网络平台已经成为企业进行业务拓展、经营管理和进行形象宣传的一个独特的窗口。建立企业网络,早已不再是为了赶潮流或是博取好听的名声,而是把网络技术同企业管理体系、工作流程和商务运作等紧密地联系在了一起,充分利用互联网不受时空限制的信息平台,建立最直接、丰富、快捷的商务沟通平台和管理平台,从而搭建高效的经营管理机制和商务运作平台。1.1企业对信息的需求全球信息网的出现和信息化社会的来临,使得社会的生产方式发生深刻的变化。面对着激烈的市场竞争,公司对信息的收集、传输、加工、存贮、查询以及预测决策等工作量越来越大,原来的电脑只是停留在单机工作的模式,各科室间的数据不能实现共享,致使工作效率大大下降,纯粹手工管理方式和手段已不能适应需求,这将严重妨碍公司的生存和发展。1.2对企业经营的影响它正全方位地改变企业的经营方式:企业可以进行网上广告宣传,可以及时获取重要的有关市场信息和企业间的竞争情报,还可利用网络的电子邮件功能和有业务往来的客户进行方便、快捷的远程通信。另外,企业还可在网上进行人才招聘,通过上网招聘可以引进更优秀的人才。企业通过把因特网技术引进企业内部,建立企业内部管理信息系统(局域网),这样的局域网既具有因特网的功能,又为企业全部拥有。1.3从企业管理和业务发展的角度出发通过网络对网络资源的共用来改善企业内部和企业与客户之间的信息交流方式,满足业务部门对信息存储、检索、处理和共享需求,使企业能迅速掌握瞬息万变的市场行情,使企业信息更有效地发挥效力;提高办公自动化水平,提高工作效率,降低管理成本,提高企业在市场上的竞争力;通过对每项业务的跟踪,企业管理者可以了解业务进展情况,掌握第一手资料,及时掌握市场动态,为企业提供投资导向信息,为领导决策提供数据支持;通过企业内部网建立,企业各业务部门可以有更方便的交流沟通,管理者可随时了解每一位员工的情况,并加强对企业人力资源合理调度,切实做到系统的集成化设计,使原有的设备、投资得到有效利用。二客户的需求某公司部门,由于网络规模不断扩大,信息流量逐渐加大,人员管理变得日益复杂,给企业网的安全、稳定和高效运行带来新的隐患,为了消除这些隐患,公司需要使用以太网交换机来构建内部局域网,而在办公区域有多个业务部门员工。要求同一部门之间能够互相3通信,某些部门之间可以互相通信,而某些不同部门之间不能通信,因此需要在局域网中为每个部门划分VLAN,将同部门所用计算机划分在同一个VLAN内,而不同部门所用计算机在不同的VLAN,从而实现不同部门之间的隔离。划分VLAN之后是为了实现各VLAN之间的三层以上的互通,还需要在三层交换机上配置VLAN接口以实现VLAN之间的互通(即VLANRouting)。而为了保证信息安全以及权限控制,可以在整个网络的出口或入口上通过配置引用ACL访问控制列表来实现。三中小型网络的发展情况在国内行业信息化快速推进之时,中小网络作为网络化建设的一支主体力量,其市场前景得到越来越多的关注。由于我国中小网络市场尚处于培育发展阶段,所以中小网络还停留在物理型的网络水平上。但随着网络应用越来越复杂,物理型网络建设与应用暴露出越来越多的问题,物理型网络的局限与日益丰富的应用需求形成尖锐的矛盾,具体而言表现在以下几个方面:(1)物理型网络只能实现信息共享,但不能保证安全。对于中小企业办公局域网而言,由于以前的网络是封闭的,主要是用做网络资源共享,因而比较容易保护其安全性,简单的非网管交换设备就可以承担其任务。而现在,中小企业不约而同地在建立企业经营信息管理系统,这些系统提供信息是企业核心的机密之一。为保证这些重要信息,很多企业借助于操作系统和数据库口令机制。但由于这些方法无法真正保证安全,会经常发生由于信息泄露或丢失直接造成重要客户流失、重大项目丢单等巨大损失。同时,由于无法跟踪每个员工究竟使用哪些信息,事先无法做到有效的威慑和防范;而就算事后通过其它途径得知时,往往没有证据而无法举证。这严重地影响了企业的正常运营。(2)物理型网络非常容易受到广播风暴的侵袭,造成网络拥堵,降低网络性能。目前,网络内部数据交流也越来越频繁,如工作信息共享、内部即时通讯、内部邮件系统等,这往往需要使用广播报文完成查询对方地址等功能。但是这些应用程序也可能因故障错误而发送过量的广播报文;同时,由于网卡故障、病毒发作、交换机故障或交换机产生环路等原因,都可能产生大量的广播报文。事实上,在局域网中广播的存在是合理的,但过多的广播就会形成广播风暴,造成网络中大量数据流的碰撞,拥堵会随之出现,严重时会导致网络崩溃。(3)还有一些应用使得物理型网络与新需求的矛盾更加激化。互联网是获取信息、对外联系、提高工作的重要途径,但是一些企业经常发生员工上班炒股等不良行为。为提高网络服务质量,提高发现计算机设备运行问题,必须对重要服务CPU利用率、硬盘运行情况和网卡流量统计等信息实施监控;同时,由于网络应用复杂,需要通过统一的管理平台对互联网使用情况、不同交换机和路由4器等设备运行情况进行监控。中小网络中应用越来越复杂,这使得网络传输状况变得拥挤不堪,越来越多的用户意识到物理型网络的智能升级的必要性,因此如何提高网络的可管理性和安全性是企业迫在眉睫的重要课题。面对实现功能上的瓶劲,物理型网络与日益复杂的新应用需求产生了尖锐的矛盾,而新应用与新需求的出现与普及使得这样的矛盾进一步激化,中小网络以更强烈的声音呼唤着可管理的应用型网络出现。对于中小网络而言根据不同部门划分不同的虚拟子网(VLAN),进行限制性的访问,而且记录重要信息的访问过程,是保证网络安全最为有效的方法。而且通过配置某个VLAN的广播风暴抑制比,对网络中广播流量进行监控,设置每秒中允许广播的广播包数,当流量的带宽超过这个配置的限度时,过滤该VLAN上超出的流量,有效保证网络业务的正常运行。采用网络管理系统进行远程的监控、管理和配置,有助于及时发现和解决问题,从而降低管理的复杂性,提高管理效率。四网络规划设计4.1中小型企业网的主要功能中小型企业网络主要实现有以下几个方面的功能:(1)资源共享功能。网络内的各个桌面用户可共享数据库、共享打印机,实现办公自动化系统中的各项功能。(2)通信服务功能。最终用户通过广域网连接可以收发电子邮件、实现Web应用、接入互联网、进行安全的广域网访问。(3)多媒体功能。支持多媒体组播,具有卓越的服务质量保证功能。(4)远程VPN拨入访问功能。系统支持远程PPTP接入,外地员工可利用INTERNET远程访问公司资源。4.2中小型企业网设计原则(1)实用性和经济性。系统建设应始终贯彻面向应用,注重实效的方针,坚持实用、经济的原则,建设企业的网络系统。(2)先进性和成熟性。系统设计既要采用先进的概念、技术和方法,又要注意结构、设备、工具的相对成熟。不但能反映当今的先进水平,而且具有发展潜力,能保证在未来若干年内企业网络仍占领先地位。(3)可靠性和稳定性。在考虑技术先进性和开放性的同时,还应从系统结构、技术措施、设备性能、系统管理、厂商技术支持及维修能力等方面着手,确保系统运行的可靠性和稳定性,达到最大的平均无故障时间,TP-LINK网络作为国内知名品牌,网络领5导厂商,其产品的可靠性和稳定性是一流的。(4)安全性和保密性。在系统设计中,既考虑信息资源的充分共享,更要注意信息的保护和隔离,因此系统应分别针对不同的应用和不同的网络通信环境,采取不同的措施,包括系统安全机制、数据存取的权限控制等,TP-LINK网络充分考虑安全性,针对小型企业的各种应用,有多种的保护机制,如划分VLAN、MAC地址绑定、802.1x、802.1d等。(5)可扩展性和易维护性。为了适应系统变化的要求,必须充分考虑以最简便的方法、最低的投资,实现系统的扩展和维护,采用可网管产品,降低了人力资源的费用,提高网络的易用性。4.3中小型企业网的设计为了满足中小型企业的需求及长远利益,中小型企业网络系统设备应依据上述网络设计原则进行选型,在网络设备方面选用国内领先的网络互联厂商TP-LINK的产品,其产品与服务通过智能、安全及可靠的网络将信息设备连为一体,具有很好的可靠性和稳定性。TP-LINK的高性能、功能全面的千兆网络产品解决方案,利用千兆以太网技术建网,网络中心交换机选用TP-LINK多功能千兆网管型交换机TL-SL3226P,背板带宽达8.8G,完全满足中小型企业内办公和其他应用的需要。在TL-SL3226P下方可根据实际情况级联智能型或基本型交换机,来满足不同的中小型企业网用户的不同需要,另外考虑到企业内部存在不方便布线地点或移动性很强的用户接入问题,在某些特定的区域设计了无线信号覆盖,通过TL-WA200无线接入点和TP-LINK系列无线网卡,以11M的带宽高速连上企业网。整个企业网通过TP-LINK宽带路由器TL-R460实现与INTERNET的连接,该产品支持各种常见接入方式,并能支持局域网上网权限限制。由TP-LINK产品组成的中小型企业网,主要使用以下几个方面的技术:(1)带宽聚合技术:在两台交换机间提供链路的聚合,提供并行带宽,将多条物理上的连接组成一条逻辑通路(Trunk)。主要功能包括成倍增加带宽和为线路冗余提供可靠性。实现核心网络连接的线路冗余和平衡负载。(2)灵活的带宽控制技术:以64K为单位,对每个端口的输入和输出带宽根据实际需求进行灵活的控制,达到不让某一台或一组工作站占用网络过多带宽的目的。(3)采用TP-LINK的MAC地址限制技术:最大可以设置256个MAC地址绑定,实现网络PORT接入的安全保护,同时酌情采用802.1X技术,实现对用户接入的访问控制,进一步提高网络安全性。(4)支持VLAN的划分:基于端口VLAN和支持跨交换机802.1Q的VLAN,增强网络的灵活性,提高网络安全,控制广播风暴。(5)支持无线WEP加密技术:对于无线产品的安全性有较好的保障,支持WEP256位的加密,很大程度上杜绝了非法用户在无线覆盖区域内的接入。6五网络拓扑图按组网规则,规划网络要规划到未来的三到五年。并且在未来,公司的电脑会不断增加。比较环形、星形、总线形三种基本拓扑结构,星形连接在将用户接入网络时具有更大的灵活性。当系统不断发展或系统发生重大变化时,这种优点将变得更加突出,所以选择星形网络最好。(1)初步整体网络设计拓扑结构如下页所示:7(2)实际的具体的设计拓扑图如下六企业vlan的设计6.1vlan的划分和地址的分配经理办子网(vlan2):192.168.1.0子网掩码:255.255.255.0网关:192.168.1.1生产子网(vlan3):192.168.2.0子网掩码:255.255.255.0网关:192.168.2.1市场子网(vlan4):192.168.3.0子网掩码:255.255.255.0网关:192.168.3.1财务子网(vlan5):192.168.4.0子网掩码:255.255.255.0网关:192.168.4.1资源子网(vlan6):192.168.5.0子网掩码:255.255.255.0网关:192.168.5.16.2访问权限控制策略(1)经理办VLAN2可以访问其余所有VLAN。(2)财务VLAN5可以访问生产VLAN3、市场VLAN4、资源VLAN6,不可以访问经理办VLAN2。(3)市场VLAN4、生产VLAN3、资源VLAN6都不能访问经理办VLAN2、财务VLAN5。(4)生产VLAN4和销售VLAN3可以互访。6.3具体设备的配置8步骤一:在三层交换机S1上划分vlan,并向vlan中添加端口。S1#configureterminalS1(config)#vlan2S1(config-vlan)#nam

1 / 11
下载文档,编辑使用

©2015-2020 m.777doc.com 三七文档.

备案号:鲁ICP备2024069028号-1 客服联系 QQ:2149211541

×
保存成功