200用户小企业的网络设计
摘 要:本设计结合创建一个200人的高新企业网络的实际需求,通过对网络组建方案的
设计、基于安全的网络配置方案设计、服务器架设方案设计、企业网络安全设计等方面的模拟和思考,比较详细地思考和探讨了较为理想的网络安全环境的设计方案。主要包括需求分析、网络设备选型、逻辑网络设计、IP地址规划方案设计、服务器架设和网络安全设计等内容。针对企业网络拓扑进行设计和分析,通过模拟器软件进行网络仿真配置和安全设计,给出了网络规划设计解决方案。
关键字::网络拓扑规划;网络安全设计;网络组建 案例背景
企业现有200个结点,需要建设一个小型网络以实现该企业内部的相互通信和与外部的联系,通过该网络提高企业的发展和企业内部办公的信息化、办公自动化。
该企业有6个部门,则需要让这6个部门部分用户,能够通过该网络访问互联网,并能实现部门之间信息化的合作。
另外包含无线AP网络,一、二期宿舍网络2部分,所以该网络的必须体现办公的方便性、迅速性、高效性、可靠性、资源共享、相互通信、信息发布及查询等功能,以作为支持企业内部办公自动化、供应链管理以及各应用系统运行的基础设施,同时还需要满足宿舍休息时间的休闲娱乐需求。
需求分析
该网络是一个单核心的网络结构(拓扑结构如图1所示),采用典型的三层结构,核心、汇聚、接入。各部门成区域,防止个别区域发生问题,影响整个网的稳定运行,若某汇聚交换机发生问题只会影响到某几个部门,该网络使用vlan进行隔离。
核心交换机连接三台汇聚交换机对所有数据进行接收并分流,所以该设备必须是高质量、功能具全,责任重大,通过高速转发通信,提高优化的,可靠的传输结构。核心层应该尽快地交换分组。该设备不承担访问列表检查、数据加密、地址翻译或者其他影响的最快速率分组的任务。
汇聚层交换机位于接入层和核心层之间,该网络有三台汇聚层交换机分担6个部门,能帮助定义和分离核心。该层的设备主要目的是提供一个边界的定义,以在其内进行分组处理。该层将网络分段为多个广播域。该问控制列表可以实施策略并过滤分组。汇聚层将网络问题在发生问题的工作组内,防止这些问题影响到核心层。该层的交换机运行在第二层和第三层上。
接入层为网络提供通信,并且实现网络入口控制。最终用户通过接入层访问网络的。作为网络的“前门”,接入层交换机使用访问列表以阻止非授权的用户进入网络。
1
拓扑结构
如图1所示为理想的企业内部的网络拓扑结构图。
图1 网络拓扑结构图
组网设备
出口设备:ForeFront TMG防火墙服务器1台;
核心设备:H3C S500-24P-SI三层交换机1台,配置千兆光缆接口2块; 汇聚设备:H3C S500-24P-SI三层交换机1台,配置千兆光缆接口2块; 接入设备:H3C S1650接入交换机9台。
无线AP: D-LINK DIR-605无线路由器【配置为AP使用】 3台 PC: 200台
IP地址规划
企业内部IP地址采用192.168.0.0段私有IP地址,并且对企业内部局域网进行VLAN划分,其优点是可以减少网络内的广播数据包,提高网络运行效率,区分不同的应用和用户等,且方便网络的管理与维护等。
2
如表1所示为各设备的IP地址配置表。 部门 服务器IP地址 工程部 营业部 管理部 财务部 生产部 品保部 一、二期宿舍 无线AP VLAN VLAN 1 VLAN 3 VLAN 4 VLAN 5 VLAN 6 VLAN 7 VLAN 8 VLAN 9 VLAN 10 IP地址范围 接口IP地址 192.168.0.0/24 192.168.0.254 192.168.1.0/24 192.168.1.1 192.168.2.0/24 192.168.2.254 192.168.3.0/24 192.168.3.254 192.168.4.0/24 192.168.4.254 192.168.5.0/24 192.168.5.254 192.168.6.0/24 192.168.6.254 192.168.7.0/24 192.168.7.254 192.168.8.0/24 192.168.8.254 192.168.9.0/24 192.168.9.254 设备管理IP地址 VLAN 2
网络设备IP地址规划:
服务器名称 DBCHT MAIL ISA SERVER File SERVER DBCHS 交换机 工程部接入交换机 营业部接入交换机 管理部接入交换机 财务部接入交换机 生产部接入交换机 品保部接入交换机 一二期宿舍交换机 无线AP接入 汇聚交换机 核心交换机
管理地址(VLAN 2) 192.168.1.10 192.168.1.20 192.168.1.30 192.168.1.40 192.168.1.50 192.168.1.60 192.168.1.70 192.168.1.80 192.168.1.90 192.168.1.1 设备名称 ENG-SW SALES-SW MAN-SW FINN-SW PROD-SW QA-SW Drom-SW AP-wireless H3C-HJ H3C-core IP地址 VLAN 网关 192.168.0.4 192.168.0.4 192.168.0.4 / 192.168.0.4 192.168.0.4 备注 繁体资料库 邮件服务器 防火墙服务器 文件服务器 简体服务器 AD、DNS、DHCP、WSUS 192.168.0.1 VLAN 1 192.168.0.2 VLAN 1 192.168.0.3 VLAN 1 192.168.0.4 VLAN 1 192.168.0.5 VLAN 1 192.168.0.6 VLAN 1
3
方案实施
图2所示为根据网络应用和功能,模拟搭建的企业内部拓扑网络环境。
网络设备费用情况: 设备名称 三层交换机 二层交换机 光纤收发器 光纤跳线 多模光纤 无线AP 施工费用 总计
具体型号 H3C S5500-24P-SI H3C S1650 DINTEK / / D-LINK / 单价 12,000 1000 3,500 700 100 5 200 5,000 数量 2个 4个 7个 16个 16条 500米 3个 1次 总价 24,000 4,000 24,500 11,200 1,600 2,500 600 5,000 备注 核心、汇聚层使用 核心和汇聚层4SFP光口TRUNK用 接入层交换机,用户端 光纤转换设备 光纤收发器跳线 楼宇之间连接 办公1-2F等无线覆盖 光纤布线,光纤熔接等 SFP光模块及跳线 / 73,400 不含服务器费用及其他软件费用
4
配置步骤:
1、网络设备基本配置(略) 2、网络服务器的配置与使用
1)、Windows 2008 server R2的安装与配置 2)、DNS服务器的配置 3)、DHCP服务器的配置
4)、MAIL邮件服务器的配置 5)、DB简体及繁体服务器安装与配置 6)、安装网络杀毒软件 7)、硬件方面的安全防护
硬件的安全问题也可以分为两种,一种是物理安全,一种是设置安全。 A、物理安全:
物理安全是指防止意外事件或人为破坏具体的物理设备,如服务器、交换机、路由器、机柜、线路等。机房和机柜的钥匙一定要管理好,不要让无关人员随意进入机房,尤其是网络中心机房,防止人为的蓄意破坏。 B、设置安全
设置安全是指在设备上进行必要的设置(如服务器、交换机的密码等),防止黑客取得硬件设备的远程控制权。比如许多网管往往没有在服务器或可网管的交换机上设置必要的密码,懂网络设备管理技术的人可以通过网络来取得服务器或交换机的控制权,这是非常危险的。因为路由器属于接入设备,必然要暴露在互联网黑客攻击的视野之中,因此需要采取更为严格的安全管理措施,比如口令加密、加载严格的访问列表等。 C、软件系统的安全防护
同硬件系统相比,软件系统的安全问题是最多的,也是最复杂的。现在TCP/IP协议广泛用于各种网络。但是TCP/IP协议起源于Internet,而Internet在其早期是一个开放的为研究人员服务的网际网,是完全非赢利性的信息共享载体,所以几乎所有的Internet协议都没有考虑安全机制。网络不安全的另一个因素是因为人们很容易从Internet上获得相关的核心技术资料,特别是有关Internet自身的技术资料及各类黑客软件,很容易造成网络安全问题 8)、软件方面的安全防护
面对层出不穷的网络安全问题我们也并非无计可施,可从多个方面着手,就能够做到防患于未然。
安全防护的措施:
A、安装补丁程序-WSUS服务器部署
任何操作系统都有漏洞,作为网络系统管理员就有责任及时地将“补丁”(Patch)打上。大部分服务器发现的Bug特别多,为了弥补操作系统的安全漏洞,在其官方网站上提供了许多补丁,可以到网上下载并安装相关升级包。可以下载下来进行升级维护。
公司可以通过在服务器上部署WSUS,定期对用户端进行补丁的更新。 B、安装和设置防火墙-安装ForeFront TMG防火墙软件
现在有许多基于硬件或软件的防火墙,如华为、神州数码、联想、瑞星等厂商的产品。对于企业来说,安装防火墙是非常必要的。防火墙对于非法访问具有很好的预防作用,但是并不是安装了防火墙之后就万事大吉了,而是需要进行适当的设置才能起作用。
所以通过安装ForeFront TMG,对不同的用户,配置不同的访问规则,用户访问不合法的网络资源等。
C、安装网络杀毒软件--Symante Endpoint Protection (SEP)
5
现在网络上的病毒非常猖獗,这就需要在网络服务器上安装网络版的杀毒软件来控制病毒的传播,目前,大多数反病毒厂商(如瑞星、趋势、赛门铁克、卡巴斯基等)都已经推出了网络版的杀毒软件;同时,在网络版的杀毒软件使用中,必须要定期或及时升级杀毒软件。
如部署Symante Endpoint Protection服务端及客户端,服务器定期对用户端进行病毒库的推送升级。
为防止不能预料的系统故障或用户不小心的非法操作,必须对系统进行安全备份。除了对全系统进行每半年一次的备份外,还应对修改过的数据进行每周一次的备份。同时,应该将修改过的重要系统文件存放在不同的服务器上,以便出现系统崩溃时(通常是硬盘出错),可及时地将系统恢复到正常状态。
D、账号和密码保护
账号和密码保护可以说是系统的第一道防线,目前网上的大部分对系统的攻击都是从截获或猜测密码开始的。一旦黑客进入了系统,那么前面的防卫措施几乎就没有作用,所以对服务器系统管理员的账号和密码进行管理是保证系统安全非常重要的措施。 系统管理员密码的位数一定要多,至少应该在8位以上,而且不要设置成容易猜测的密码,如自己的名字、出生日期等。对于普通用户,设置一定的账号管理策略,如强制用户每个月更改一次密码。对于一些不常用的账户要关闭,比如匿名登录账号。 E、定期对服务器进行备份
为防止不能预料的系统故障或用户不小心的非法操作,必须对系统进行安全备份。除了对全系统进行每月一次的备份外,还应对修改过的数据进行每周一次的备份。同时,应该将修改过的重要系统文件存放在不同的服务器上,以便出现系统崩溃时(通常是硬盘出错),可及时地将系统恢复到正常状态。
9)、双WAN接入的ForeFront TMG的实现
通过双线:中国电信ISP、中国联通ISP的接入,以及TMG的负载均衡配置,可以保证网络的正常,稳定高效运作。任何一条线路出现故障,均不影响正常的办公需求。
总结
本次的设计是针对200用户企业,通过模拟方式完成的设计。由于时间上的原因,具体的配置过程在此省略。
6
