您的当前位置:首页正文

局域网组建与管理_毕业设计论文

2023-04-19 来源:步旅网
一、企业联网需求分析

1.概述

企业想增强竞争实力,必须随时改进和更新系统和网络,但是机会增加常伴随着安全风险的增加,尤其是机构的数据对更多用户开放的时候——因为技术越先进,安全管理就越复杂。所以企业为了消除安全隐患,下一步就需要对现有的网络、系统、应用进行相应的风险评估,确定在企业的具体环境下到底存在哪些安全漏洞和安全隐患。再次是在此基础上,制定并实施安全策略,完成安全策略的责任分配,设立安全标准:几乎所有企业目前都有信息安全策略,只不过许多策略都没有书面化,只作为完成任务的一种手段。恰当的信息安全策略必须与机构的所有业务需求直接相关。

毋庸置疑,在互联网时代,有效的公司信息安全管理对企业的良好运作至关重要,但在具体的实施过程中,企业安全管理需要从前期安全策略的具体制定、中期信息安全解决方案的选择与实施、后续的安全服务的跟进等多方面、全方位予以重视,并作周到细致的考虑。这既涉及到企业系统如何在应用中实现安全管理,同时又涉及到安全厂商如何提供全方位安全咨询及后续安全服务等方面的问题。

信息技术的迅猛发展极大地促进了网络在企业的普及应用,当今的企业必须采用能够充分利用结合优秀的传统方法及连网计算的新业务模式,来获得竞争优势。对许多企业来讲,问题不在于数据安全是否必要,而在于怎样在预算范围内以安全的方式管理复杂计算机环境、多种计算机平台和众多集成式计算机网络上的数据。各企业必须独立确定需要多高级别的安全,以及哪种安全能最有效地满足其特殊业务需求。这些问题仅靠安全解决方案是无法完成的,而是企业安全管理必须解决的问题。

二、企业局域网总体设计

1.网络建设目标

整合现有网络系统,构建我公司从总公司到一级分公司、二级分公司的

1

基于IP应用的骨干网络通信平台,建立数据、语音、视频一体化网络;按照业务发展的需要,扩展骨干网的网络带宽;建立健全总公司以及各个省公司的数据中心;统一全网的安全控制措施和安全监测手段;集中网络管理,实施分级维护;进一步规范IP地址的应用;积极开展网络综合应用,在全公司逐步开通IP电话业务、视频会议系统以及网上培训业务;为业务发展提供良好的网络环境。

网络建设是一项基础工程,要先于业务发展超前进行,各分公司要根据实际情况逐步开展现有网络的优化工作,优化后的网络应能承载现有的各个业务系统,同时为一级分公司的数据集中和总公司灾备中心的建设提供基础保障,适应未来业务发展的需要。

2.网络规划

针对我公司的网络需求及目前的网络现状,在进行网络设计改造时要综合考虑以下的因素,从而建设一个安全、可靠、功能丰富的网络系统:

1. 广域网络 2. 大楼网

3. 数据中心及备份中心 4. 客户服务中心 5. 语音/视频 6. 网络外联

7. 网络安全 8. 网络管理

3.广域网络

在广域网络设计时,要考虑目前可用的网络资源以及网络拓扑结构。根据目前的网络资源以及地理分布情况,综合考虑网络资源的费用、网上业务情况,以及今后的发展趋势。广域网络采用目前的树型结构,但要扩展网络资源的带宽,使之满足目前的数据、语音业务、客户服务中心业务数据集中业务的需求;同时为了满足将来的视频等其他应用对目前的网络设备应考虑一定的扩展性。

对于从总公司到各个一级分公司之间的网络资源,总公司根据先进性和可靠性选择,要求采用统一的网络资源;对于各个省内的网络资源,各一级分公司根据以上原则决定。

广域网设计将过渡到区域大中心的设计,在全国根据业务以及地理位置考虑建立三个(如北京、上海、广州)或多个区域数据中心,各个数据中心形成环状拓扑结构,各个大区内的省份连接到相应的一个或两个(保证网络的

2

可靠性)区域中心;对于整个公司的数据来说,可以分布到各个区域中心上,这样既提供了网络的可靠性,又保证了数据的冗余备份(灾难备份) 。

4.数据中心及备份中心

随着数据的集中,公司的数据中心愈来愈重要,要求我们在设计时要考虑到集中的或分散的数据中心的情况;但无论如何,数据中心都要保证数据的安全可靠、数据的高速访问;对数据中心来说,它是整个网络系统的核心,要保证其他系统,包括大楼网系统、广域网系统、客户服务中心、网管中心系统、外联系统的授权用户的高速的访问。

对于目前的情况,数据分散到各个省公司,要求对各个省公司都设计相应的数据中心,由于全公司的数据都会集中备份到总公司,所以总公司的数据中心尤其重要,它是其他所有省公司的备份中心。

将来随着大区中心的建立,可以减少各个省公司的数据中心的建设,而且各个区域中心互相备份,既节省系统投资和维护费用,而且提高整个系统的可靠性。

对于将来的数据的大集中而言,可以逐步考虑存储网络的运用。

5.大楼网

公司的大楼网主要负责公司大楼内的用户的网络连接,为楼内用户提供包括业务处理、办公自动化、互联网访问、电子学习等方面的内容。网络的设计主要考虑网络性能、网络的可靠性、网络的安全。大楼网的建设需要与数据中心一起考虑。

6.客户服务中心

为了更好的为客户提供服务,增加公司的竞争力,建立客户服务中心势在必行。与数据的分布情况相对应,在各个省公司建立相应的客户服务中心(有的省公司的地市也有相应的客户代表)。整个客户服务中心采用基于IP的IPCC方案,支持单点以及多点的客户服务中心结构,同时支持业务代表的网络分布,适应目前的情况以及将来的业务的扩展和重分配。

7.语音/视频

在满足业务运行需要并考虑运行维护成本的前提下,可以考虑语音及视

3

频的应用。其中,网络语音的实现也可以选择电信运营商提供的IP电话业务,而视频应着重于培训学习系统与电视会议。

提供数据、语音和视频的集成是整个网络建设的重要因素,由于技术的进步,在传统的数据网络上提供语音和视频应用也成为可行而普遍的趋势。提供数据、语音和视频的集成一方面可以降低语音通讯的成本,满足整个公司语音的需求,另一方面可以与客户服务中心结合在一起,提供一个以客户为中心的综合服务系统。

全网采用基于IP的语音和视频系统,该系统与客户服务中心的语音系统相同,可以方便的扩展和灵活的布置。通过IP PBX提供对整个语音系统的控制,并把IP电话以及软电话布置到整个公司,在必要的地方可以布置传统的电话,两者无缝地集成在一起。

视频系统的建设采用基于IP的视频广播和视频会议系统。前者提供基于网络的教育学习系统以及实时的广播系统,后者提供视频会议的功能。其中视频广播可以和OA网络建设以及电子培训统一考虑。

8.网络外联

随着公司保险业务种类和业务模式的扩展,与其他网络的连接的需求越来越多,包括银行转帐、互联网保险服务等,要求提供与互联网以及其他网络的连接;在网络建设中,要采用独立的非军事区(DMZ)的把这些业务与内网分开,并通过防火墙建立内网和DMZ,DMZ与外网分开,从而提供安全的网络控制。

9.网络安全

对于我公司而言,网络系统的安全是最重要的因素,应该引起格外的重视;网络的安全应该包括认证、授权和审计(AAA) 。其中认证包括路由认证、拨号备份认证等;授权包括权限控制、访问控制等;审计包括对网络系统的主动扫描和被动记录等。

10.网络管理

随着网络建设的进行,网络规模的扩大,对网络的管理成为一个非常重要的课题;建立整个网络操控中心(NOC),对整个网络进行统一的管理,是网络建设中要考虑的要素之一。

4

11.网络总体设计

公司业务网络系统的核心就是广域网络骨干的建设,如何对现有网络进行改造以及对将来的网络结构进行规划是当前网络改造的首要任务。

当今网络的发展远远超出了单纯追求基本连通历史阶段。我们在网络连通基础上需要更高要求的网络服务内容,它应包括Multiservice(多业务服务)---数据/图象/话音、QoS(网络服务质量)、Security(安全性服务)、Reliability(高可靠性)、Scalability(可扩展性)、Managability(可管理性)。我们必须要有清晰的网络总体设计思路及原则,遵循总体设计、分步实施的原则,用新一代的网络设计思想、最成熟的网络技术对公司网络进行总体设计。

12.层次化设计

从管理和技术的角度来看,我们都要求采用层次化的网络设计结构,这样既方便了管理,又有利于扩展和灵活布置。

整个广域网骨干系统保留目前的分层结构,也就是目前的三层结构,但对整个网络的资源以及网络的扩展性、可靠性、安全性进行增强,同时提供对语音和视频等新的应用的支持。

总公司-省分公司的网络作为骨干网即一级网;各省分公司-各地市分公司作为二级网;对于地市内的子公司,有两种方式进行联网:第一种方式是各子公司连接到相应的各个子公司,这样整个网络为三层结构;对于服务器来说,网络改造后的服务器不再分布在各个地市分公司,而是集中到省分公司和总公司。

下面是网络拓扑示意图。

图4-1:广域网改造网络拓扑图

为了提供目前及将来扁平化管理的要求,要把某些特定的地市分公司直接连接到总公司的方法,但要求这些地市分公司存在服务器;总公司要求等

5

数据完全集中到总公司后实行扁平化管理。

另外,当数据集中到总公司后,可以考虑数据备份中心,并且采用存储网络实现全公司的数据集中,在两个中心间根据情况通过高速光纤或其他高速网络资源实现互联,要求各个直接和总公司连接的一级分公司同时提供与备份中心的连接。

从长远的规划来看,要求采用大区中心的概念,即根据某种策略把整个公司的数据集中到相应的大区中心里,各个大区中心可以通过网络资源形成环形结构,数据集中到几个大区中心服务器上;各个一级分公司通过网络访问相应的数据,省内的分公司通过省公司的网络访问相应的数据。这样既提供了数据的集中和备份,有满足网络的可靠性要求。整个网络形成由大区中心构成的网络骨干层、各个省公司(以及一些特定的地市分公司)构成的接入层,以及由其他地市分公司构成的基础层三层结构;下面是网络的拓朴图。

核心路由器边界路由器nxE1大区省公司nxE1省公司E1/FR/ISDN地市公司nxE1IP网络骨干(DDN/SDH/ATM)nxE1E1/FR/ISDN地市公司大区大区接入层nxE1省公司基础层nxE1 图4-2:广域网长期规划网络拓扑图 13.支持多业务网络

网络设计采用层次结构,支持数据、语音、视频三网合一,同时支持客户

服务中心及OA的应用。

为了对语音和视频的支持,整个网络要提供良好的服务质量保证(QOS)和优先级控制,这些措施不仅可以保证整个网络关键任务的运行,同时可以根据策

略对不同的应用和业务提供不同的优先级和服务质量保证。

14.网络资源以及网络骨干技术的选择

14.1网络骨干技术介绍

选择合理的网络主干技术对于一个核心网络来说十分重要,它关系到网络的服务品质和可持续发展的特性。网络主干包括主干网设备之间及其与汇聚点核心设备之间的连接,宽带IP网络的主干必须选用相应的宽带主干技术。目前,可供选择的宽带技术包括以下几种:

6

传统电信资源。包括DS0(64Kbps),nX64Kbps,PCM G.703/G.704(2Mbps)、DS3、帧中继(FR)、X.25等。

异步转移模式(ATM技术)。采用信元传输和交换技术,减少处理时延,保障服务质量,使其端口可以支持从E1(2Mbps)到STM-1(155Mbps)、STM-4 (622Mbps)、STM-16(2.5Gbps)、STM-64(10Gbps)的传输速率。

SDH技术(或POS技术)。采用高速光纤传输,以点对点方式提供从STM1到STM64甚至更高的传输速率。其中IP over SDH技术也简称为POS技术,也就是将IP包直接封装到SDH帧中,提高了传输的效率。

传统电信资源、ATM技术、POS技术、DPT技术都各有优点和缺点。 传统电信资源一般用于较低的速率,例如64Kbps(DS0),nX64Kbps,2Mbps PCM(G.703/G.704),45Mbps(DS3),帧中继FR,X.25等。其优点是资源丰富、费用比较低廉等,但速率较低,而且由于是基于TDM技术,网络资源利用率较低。对于公司而言,可以考虑用于接入层及基础层。对于网络骨干层,可以考虑绑定多条低速线路形成高速网络骨干。

ATM技术的最大问题是协议过于复杂和太多的信头开销,但对于目前国内的用户来说,ATM是电信公司能提供的少数的高速网络资源之一,对于中国公司而言,可以考虑利用ATM技术建立网络骨干。

SONET/SDH是一种在当前电信网络中普遍采用的一种传输技术,它可以支持高达OC-48c/STM-16c、OC-192/STM-64c的速率,具有性能监视、APS(Automatic protection switching)网络自愈的功能。目前,国内的一些运营商也提供SDH线路,譬如网通公司、连通公司、有线电视公司等。对于中国公司而言,可以考虑利用SONET/SDH技术建立网络骨干。为了更好的支持高速的数据传输,Cisco公司通过Packet Over SONET的技术,支持在SONET/SDH上直接传输IP包,(避免IP+ATM+SDH的方式),提高了IP在网络上传输的效率。虽然POS技术虽然具有很多的优点,是一种相当不错的宽带主干网技术,但它的最大缺点是带宽分配不够灵活(基于点对点传输,且最低速率为155M),对于中国公司而言,可以考虑利用该连接方式建立网络骨干。

14.2网络骨干技术的选择

公司租用电信运营商的SDH(155Mbps)或一条E1/FR(2Mbps)构成一级网络骨干(当建设大区中心后建议租用SDH构成环形结构,采用POS技术建设公司网络骨干,提供高速、可靠、支持多业务的网络核心)。对于接入层与骨干层以及基础层与接入层的的连接,可以租用ATM或传统电信资源(PCM 2Mbps, DS0,nX64Kbps,FR等)。

考虑到数据集中后对网络可靠性要求的大幅提升,要求在主要网络资源外申请备份资源,一级网和二级网由于数据流量大,承载的业务影响面大,应该申请

7

ATM/DDN/FR作为目前SDH的备份线路,两条线路可以进行负载均衡、互为备份,为了进一步提高网络的可靠性,可以考虑把拨号备份技术作为第三线路;三级网由于数据量较小,建议考虑采用拨号备份(PSTN/ISDN等)作为主线路的备份线路,只有当主线路发生故障时或者主线路负载超过设定范围是,拨号备份线路才启用,即保证了网络的可靠性,又节省一定的费用。

对于网络带宽,任何两个节点之间的带宽都需要满足整个公司关键和重要业务的运行,同时提供对附加业务的支持。关键业务包括保险业务处理、数据备份和同步、语音、客户服务等,附加业务可以包括视频、电子学习等,这些业务的划分要根据公司统一的策略来决定。

随着灾备中心的建设,各个一级分公司的广域网资源要有和公司灾备中心的连接。

14.3总体结构

广域网目前拟采用三层结构,由总公司、省公司、地市公司及地市内分公司构成树型结构,如下图所示。

图4-3:广域网网络拓扑图

14.4一级网 14.4.1物理结构

一级网指从总公司到各个省公司和直接管理的地市公司(以后统称一级节点)之间的网络,是整个网络的骨干,承载的数据量也最大,因此对性能和可靠性要求也最高。要求采用两条物理线路进行连接,并在可能的情况下提供第三条拨号线路备份,两条骨干线路可以根据负载均衡和互为备份,也可以根据策略进行业务分担,第三条拨号备份线路提供备份线路,当两条骨干线路同时发生故障时启用。对于两条骨干线路,可以考虑租用不同的运营商的线路,以保证更高的

8

可靠性。

一级节点应根据业务情况或某种策略进行分类,可以分成大型、中型、小型三类,三类公司的数据流量有所区别;三类公司租用的网络线路的情况应有所不同,所配备的网络设备也应有所区别,包括路由器和交换机都有所区别。下面是总公司一级网结构图。 拨号备份高端路由器 路由器 大型省公司中型省公司中端拨号份路由器A运营商SDH/DDN/FR/ATMB运营商SDH/DDN/FR/ATMISDN/PSTN小型省公司中端拨号份路由器 高端路由器中端拨号份路由器高端路由器中高端路由器15.服务器群(Server Farm)局域网 服务器群网络提供整个数据中心的服务器连接,包括保险业务服务器、财务服务器、网上业务数据库服务器、OA服务器、安全审计服务器等各种公司服务器;该区域是整个公司数据核心,保证其安全可靠的运行是整个数据中心设计的核心任务。服务器群的局域网主要作用是保证业务数据可靠、高速的进出数据中心的业务主机,因此需要采用两种常用技术:访问控制、负载均衡。

在该区域配备两台高速内容交换机,要求支持VLAN、VLAN访问控制、第三层功能、智能负载均衡等,通过把不同的服务器组划分到不同的VLAN里面,通过VLAN访问控制提供可调节的可控制的服务器相互访问;另外,由于随着业务的增加服务器的不断增加,对服务器的智能负载均衡,支持从第三层到第七层的负载均衡,可以采用不同的策略对访问进行动态分配,从而保证最快的响应时间。 在该区域还需要配备安全监控设备,动态实时监控特定的端口,也可以实时的监控某一VLAN等,通过定义特定的策略来监控整个服务器的安全情况;对于负载均衡,可以定义多个虚拟的IP地址(VIP)来制定多个服务器组,并通过自动负载均衡在一组服务器里面分配负载,提供给其他网络的访问地址是各个VIP。

下面是逻辑拓扑图:

9

服务器区 拨号认证服务器物理连接图服务器区VLAN-A逻辑连接图VLAN-B保险业务数据库主机VLAN-C企业网主机保险业务数据库主机企业网主机Catalyst 6006防火墙PIX 535Catalyst 6006防火墙PIX 535安全保护区Catalyst 6506Catalyst 6506服务接入区 CSM-A VIP-A IDS 防火墙PIX 535 Catalyst 6506拨号认证服务器CSM-BVIP-BCSM-CVIP-CIDS防火墙PIX 535安全保护区Catalyst 6506服务接入区 15.1网络带宽及网络资源

一级节点和总公司之间采用SDH作为主要连接,每个一级节点到总公司的带宽为2Mbps,则可以满足目前的应用要求。同时采用ATM作为备份连接,总公司到各个一级节点开一条2Mbps的永久虚电路。 15.2网络设备

三类二级节点配备的路由器是不同的,主要是配备的数量以及模块不同。 一类二级节点配备两台中端路由器,分别连接两条骨干线路,同时其中一台通过拨号备份线路与相应的一级节点连接;两台路由器分别配备一些向下连接的模块,与下属的三级节点连接,其中一台同时为下属三级节点提供拨号备份连接。

二类二级节点配备两台中端路由器,但与一级节点有一条骨干线路和一条拨号备份线路连接;两台路由器可以分工协作,也可以一台是另一台的冷备份;在前一种情况下,一台路由器向上连接,另一台路由器向下连接,或者把所有的连接分担到两台路由器上,在后一种情况下,其中一台负责所有(包括向上和向下)的连接,另一台完全作为冷备份使用。

三类节点配备一台中端路由器,申请一条骨干线路和一条拨号备份线路。该路由器负责整个节点的上连和下连的任务;可以配备相应的同步模块和异步模块。

以上三类节点中,一类和二类节点由于配备了两台路由器,保证了设备的备份,提高了网络的可靠性,对第三类二级节点,由于只配备一台路由器,存在单故障点的问题,可以考虑在相对应的一级节点配备N+M备份设备,即在相应的省公司配备M个路由器作为全省的备份,在具体实施时,可以把各个二级节点的配置拷贝到省公司,需要的时候在省公司先配置好相应的路由器。

10

15.2.1路由器基本配置要求如下: 两个RJ-45 100Mbps端口 双电源配置(可选) 支持PSTN/ISDN端口 15.2.2支持标准协议如下:

网络协议(TCP/IP等)

广域网协议(PPP; FR; ATM;SDLC等) 支持标准的动态路由协议(BGP、OSPF) Multicast

支持基于策略的路由 QoS管理机制

三、数据中心设计

下面是总公司数据中心网络物理拓扑图:

网络管理中心 客户服务中心服务接入区服务器区拨号认证服务器保险业务数据库主机企业网主机楼内其它楼层用户楼层交换机网上业务客户交换机交换机网上业务区防火墙Internet防火墙防火墙安全保护区网上业务交换机交换机交换机网上业务服务器 PSTN/ISDNFR 图连全国5-2:公司数据中心物理示意图 机房用户广域网网络骨干拨号系统语音系统 11

1.服务接入局域网

服务接入局域网主要提供服务器群局域网与总公司其他网络的可靠连接,是整个数据中心的核心设备,要求提供最大的性能、安全性、可靠性和扩展性能。配置两台高端局域网交换机,配上相关的千兆网或10/100M局域网模块连接广域骨干网、语音系统、视频系统、网络管理中心、外联系统、楼内用户、客户服务中心系统;并且通过千兆以太网透过防火墙与服务器群(Server Farm)局域网相连。

整个服务接入区域提供对所有其他区域的连接,下面是系统逻辑图: 逻辑连接图服务器区 网络管理中心 客户服务中心 语音系统 VLAN-A拨号认证服务器VLAN-B保险业务数据库主机VLAN-C企业网主机网上业务区防火墙Internet网上业务交换机CSM-AVIP-AIDS防火墙PIX 535CSM-BVIP-BCSM-CVIP-CIDS防火墙PIX 535网上业务服务器楼内其它楼层用户安全保护区Catalyst 6506服务接入区机房用户 Catalyst 6506IP WAN广域网网络骨干1.1服务接入交换机基本配置要求如下: 双处理器 双电源配置 支持热插拔

不少于48个的10/100Mbps以太网端口 提供千兆连接

第三层交换的能力 1.2支持标准协议如下:

VLAN Trunking 协议802.1q Spanning Tree协议 冗余备份协议

12

具有QoS管理功能。 2.安全保护区

为保护整个公司的服务器资源,在服务接入区和服务器群之间安置了安全保护区,该区提供服务器与其他部分的安全隔离作用;在该区配备高性能防火墙来隔离服务器与服务接入区。两台防火墙为主动/备份方式工作,当主防火墙发生故障时,备份防火墙自动工作,保证整个网络的高效运行。

四.网络安全及维护系统

1.方案设计

根据我公司的网络状况,在与Internet/Extranet等外网的接入、PSTN/ISDN的拨号接入、局域网接入控制等几个方面的安全问题是需要着重考虑的,此外在内部的局域网也应有一定的安全措施以保护某些关键的信息。下面针对这几个方面做相应的设计。

2. Internet/Extranet接入的安全设计

我公司业务上需要与其它一些企业的信息网络相连接,而且这一类互联的应用将会越来越多,因此对该内外网的安全访问控制和隔离是网络安全的一个重要的方面。

由于内外网接入点是公司的企业内部网络与Internet/Extranet外部网络的连接处,该点承受着多种可能的对内部网络的攻击威胁,但由于业务的需要,又必须对外部网络开通部分的网络服务,针对这种情况,要求采用目前常用的设计方法,采用防火墙这一安全隔离设备,将网络隔离为三个安全等级不同的区域,即安全级别最高的内部网络、安全级别最低的外部网络和非军事化区。

总公司与各分公司配备防火墙,用于对公司与外网的通讯进行访问控制与隔离。

下面是内外网隔离的系统示意图:

13

3.对网络设备和服务的保护

包括:

* 在所有路由器上设置控制台口令; * 在所有路由器上设置特权用户口令; * 在所有路由器上设置远程登录口令; * 在所有路由器上设置分级用户名和口令; * 在所有路由器上设置日志记录, 建立单独日志服务器;

* 在拨号接入路由器上为远程拨号访问设置不同的用户和口令,而且要求CHAP验证;

* 所有口令加密;

* 在所有路由器上只允许从网管远程登录到网络设备,而且及各分公司不能越级登录; 4.对应用系统的保护

* 营业类网段不允许其他网段访问;

* 营业类网段中不允许FTP、Telnet、Rlogin等访问; * 对其他网段的保护根据具体情况所需设置;

这些规则最好在连接局域网的三层交换机上进行,如果交换机不支持访问控制,可以在路由器上实现。

14

致谢

本设计XX老师的悉心指导下完成,在三年的学习生活中,始终感受着导师的精

15

心指导和无私的关怀,我受益匪浅,在次向XX学校全体老师表示深深的感谢和崇高的敬意

16

因篇幅问题不能全部显示,请点此查看更多更全内容