计算机网络技术毕业设计(论文)-网科公司网络规划与设计_第1页
计算机网络技术毕业设计(论文)-网科公司网络规划与设计_第2页
计算机网络技术毕业设计(论文)-网科公司网络规划与设计_第3页
计算机网络技术毕业设计(论文)-网科公司网络规划与设计_第4页
计算机网络技术毕业设计(论文)-网科公司网络规划与设计_第5页
已阅读5页,还剩18页未读 继续免费阅读

下载本文档

版权说明:本文档由用户提供并上传,收益归属内容提供方,若内容存在侵权,请进行举报或认领

文档简介

广东岭南职业技术学院毕业设计课题:网科公司网络规划与设计指导教师:李刚广东岭南职业技术学院G广东岭南职业技术学院GuangdongLingnanInstituteofTechnology姓名:专业:计算机网络技术学号:摘要当今世界,网络技术和信息技术的飞速发展,已影响到社会和生活的每一个角落,同时也对各行各业造成了极大的冲击和深远的影响。传统的企业办公和运营模式随着时代的发展进行深刻的改革,特别是企业信息化规划和建设已掀起一股新高潮。办公网络是局域网的典型应用之一,公司或政府机关等利用局域网络进行管理和办公,各办公室之间可以在网络中相互快速地访问共享资源,进行网上办公、视频会议,也可进行网络打印等从面提高工作的效率,方便管理工作事务。企业信息系统应用在办公网络中,其不仅包括可运行的设备和软件,也包括相关的技术资源。未来的企业信息系统,需满足快速变化的、个性化的用户需求,对企业内部与外部关系的各项需求提供全方位的支持,具有通用平台/执行系统寄生结构,模型驱动,用户主导的系统生命周期,基于企业建模技术等新一代技术与标准。未来企业中应用的信息技术,将是一个互相关联、有机结合的集成体系,如同硬件产品一样,可由多种不同来源的产品组合构成,覆盖企业所有业务领域,是企业运作的基础。企业通过网络来发布、获得、交流各种信息将是必然的手段。本方案的主要目标是根据网科公司办公室局域网建设需求为背景,以计算机网络技术和综合布线技术以及常用的网络服务器技术为基础,较详细地设计出了该公司不同部门的组网建设的规划和实施方案,以达到目前大多数同类企业对企业信息化建设的要求。本论文对该企业各部门的组网需求进行了分析,参考了各种组网技术,从实用角度和未来发展进行互联的角度论述了企业整体上组网的规划与实现,各种网络设备的选型,以构建一个“安全可靠、性能卓越、管理方便”的“高品质”企业网络并将其变成企业信息化建设成功的关键基石。关键词:局域网设计规划综合布线企业信息化建设办公网络企业信息化系统目录1.网络综合分析 1企业项目背景 1需求分析 12.网络设计 2设计原则 2设计思路 3网络拓扑图 32.4VLAN及IP地址规划 43.网络系统方案设计 53.1宽带接入方案 53.2通讯子网设计方案 53.3资源子网设计方案: 74.网络设备选取 84.1设备清单 84.2部分网络设备介绍 84.2.1核心层交换机选型 84.2.2二层交换机选型 94.2.4服务器选型 114.网络安全设计 125.1防火墙系统 135.2防病毒方案设计 135.3WindowsServer更新服务 145.4访问控制 15(1)重要部门访问控制 15(2)服务器安全 15(3)设备访问控制 15(4)telnet设置 156.通信测试 16描述网络性能的指标及标准 16(1)网络可用带宽 16(2)网络丢包率 16(3)网络延时 16(4)网络延时抖动 16(5)行业标准中IP网络性能等级的划分 166.2测试网络质量性能的工具 16访问控制测试 17(1)财务部(vlan20)到其他部门与服务器(vlan100)的单向访问. 17(2)财务部不能访问Internet的WEB服务 177.项目总结 17参考文献 19致谢 201.网络综合分析网科公司是一所年轻的小型企业,近两年来,随着公司规模的扩大,无纸化办公的推行,各种大数据量的网络应用日益增多,各种新型的办公设备也不断的接入到网络当中,原有的网络逐渐开始有些不堪负荷,影响到了公司的办公效率。现在公司领导注意到这个问题后,由于原本的办公环境限制了网络升级和办公环境的提升,所以决定搬迁到新写字楼办公,建立高效信息化系统,以此来提高公司的办公效率和提高公司的发展前景。该公司共有8个部门:董事长办公室、总经理办公室、财务部、商务部、行政人事部、营销客户部、产品和软件开发部、项目工程部,为便于后期管理,大部分部门分别划归一个VLAN中,其中董事办、总经办同属同一个Vlan,机房办公室归行政人事部管但分开两个Vlan。打印机、扫描仪等办公设备需要每个部门均可访问使用。相对于大型应用群体而言,小型企业的信息化建设工程通常有规模较小,结构简单的特点,综合资金投入、专业人才以及未来发展等因素,网络的实用性、安全性与拓展性(升级改造能力)是小企业实现信息化建设的主要要求,因此,成本低廉、操作简易、便于维护并能满足业务运作需要的网络办公环境是这一领域的真正需求。该公司需要为100台左右计算机架设网络,办公地点约1200平米办公空间,为9个办公空间架设信息高速公路。图1.2公司平面图从该项目计算机数量和办公面积来看,属于中小型企业局域网,针对它的现状我们着重考虑以下方面的问题:需求分析如下。(1)性能需求不同厂家乃至同一厂家不同型号的交换机在性能和功能上都有较大差异,有的安全性高、有的稳定性好、有的转发速率快、有的拥有特殊性能。因此,应当慎重考察和分析本网络对性能的根本需求,以便选择相应品牌和型号的交换机;而且设备的可扩张性和易维护性。(2)整个公司网络安全设置整个公司通过网络服务器连接到Internet,网络服务器能够阻挡来自公司外部的对于内部网的非法访问,提供强壮的安全机制。要设置一定的访问控制列表来限制访问相关的部门,证内部数据和信息安全。(3)高带宽用户对数据传输量的需求决定了网络应当采用何种连网设备和布线产品。就目前情况来看,多媒体已经成为局域网络所必须支持的功能之一。基于这种大传输量的需求,以1000Mb/s光纤作为主干和垂直布线,以100Mb/s超五类双绞线作为水平布线,从而实现100Mb/s交换到桌面的网络,已经成为最普通的网络架构。基于这种大传输量的需求,100Mb/s高性能交换机也已逐步从部门走向工作组。(4)可管理整个信息网络系统中的互连设备,应是使用方便、操作简单易学,并便于维护。对复杂和庞大的网络,要求有强有力的网络管理手段,以便合理的管理网络资源,监视网络状态及控制网络的运行,因此,在设计和实现时,必须充分考虑整个系统的便于维护性,以使系统万一发生故障时能提供有效手段及时进行恢复,尽量减少损失。多媒体应用满足网络上的各种多媒体应用(例如视频点播直播、视频会议、IP等);利用多媒体上的网络应用为公司各项业务的开展提供支持。(6)成本减低从整体来说,通过网络主干实现千兆连接、百兆连接到桌面,以尽量少的成本建成性能较好的网络。从设备选购上来说,组建企业网络,提供质量更高、服务更好的网络的同时要考虑到投入的成本,网络设备更新快,所以也要注重实效的方针,坚持实用、经济的原则,并运用系统整合的手段构建网络,(7)功能服务器网络内部设置文件服务器,集中存储需要交换的数据,提供各部门相应数据库服务、FTP文件共享服务。网络内各桌面用户可共享数据、共享打印,实现办公自动化,办公网络化。同时公司还需建设WEB服务器,建立公司自己的网站,可向外界发布信息,并进行网络上的业务。OA办公系统服务器,邮件服务器来处理相应的信息。(8)未来发展网络设计者不仅要考虑到容纳网络中当前的用户,而且还应当为网络保留至少3-5年的可扩展能力,从而使在用户增加时,网络依然能够满足增长的需要。这一点非常重要,因为布线工程一旦完毕,就很难再进行扩充性施工。所以,在埋设网线和信息插座时,一定要有足够的余量,而连网设备则可以在需要时随时购置。在公司办公网络的方案设计及建设过程中,要充分考虑公司目前的具体甚至特殊需求,又要符合公司未来发展的需要。鉴于此,在设计中应遵循以下几项总体原则。(1)实用性和经济性系统建设应始终贯彻面向应用,注重实效的方针,坚持实用、经济的原则,建设企业的网络系统。(2)先进性和成熟性系统设计既要采用先进的概念、技术和方法,又要注意结构、设备、工具的相对成熟。不但能反映当今的先进水平,而且具有发展潜力,能保证在未来若干年内企业网络仍占领先地位。(3)可靠性和稳定性在考虑技术先进性和开放性的同时,还应从系统结构、技术措施、设备性能、系统管理、厂商技术支持及维修能力等方面着手,确保系统运行的可靠性和稳定性,达到最大的平均无故障时间,选取国内知名品牌、网络方面领导的厂商,其产品的可靠性和稳定性是一流的。(4)安全性和保密性在系统设计中,既考虑信息资源的充分共享,更要注意信息的保护和隔离,因此系统应分别针对不同的应用和不同的网络通信环境,采取不同的措施,包括系统安全机制、数据存取的权限控制等,充分考虑到安全性,针对小型企业的各种应用,有多种的保护机制,如划分VLAN、MAC地址绑定等。(5)可扩展性和易维护性为了适应系统变化的要求,必须充分考虑以最简便的方法、最低的投资,实现系统的扩展和维护,采用可网管产品,降低了人力资源的费用,提高网络的易用性。针对上述设计原则,设计思路有如下所述。(1)采用标准化的设计规范,合理的进行网络设计,达到节约成本和高效网络的目的。(2)本网络分为核心层和边缘层两层结构,它们之间由千兆三层交换式以太网为主构成网络主干,边缘交换机选用10/100M自适应交换机。(3)为了提高安全性和方便管理,把服务器集群和机房办公室所在区域接入到核心层交换机上,把其他部门所在区域接入到边缘层交换机上。(4)把汇聚层交换和核心层交换之间进行链路聚合,来提高网络带宽。(5)规模较大的网络(数百点)广播信息很多,会降低网络性能,严重时会产生广播风暴使网络瘫痪。通过划分VLAN可以将大型的网络分为多个子网,广播信息被限制在子网内部传播,限制广播域,可以提高网络性能。基于安全性考虑,不同的部门间需要数据保密,采用VLAN进行隔离。(6)服务器所在的接入层交换机进行MAC绑定,来提高服务器的安全性。(7)用动态OSPF协议和静态路由相结合,来实现外网访问服务器和内网访问服务器、以及内网访问外网所走的不同路径,提高网络效率,同时做到一个链路冗余的作用。(8)采用访问控制等技术,提高了企业内部网络的安全性,同时对财务部进行访问控制。使用层次化模型有许多好处,列举如下:(1)节省成本在采用层次模型之后,各层次各司其职,不再在同一个平台上考虑所有的事情。层次模型模块化的特性使网络中的每一层都能够很好地利用带宽,减少了对系统资源的浪费。(2)易于理解层次化设计使得网络结构清晰明了,可以在不同的层次实施不同难度的管理,降低了管理成本。(3)易于扩展在网络设计中,模块化具有的特性使得网络增长时网络的复杂性能够限制在子网中,而不会蔓延到网络的其他地方。而如果采用扁平化和网状设计,任何一个节点的变动都将对整个网络产生很大影响。(4)易于排错层次化设计能够使网络拓扑结构分解为易于理解的子网,网络管理者能够轻易地确定网络故障的范围,从而简化了排错过程。(5)网络拓扑图图2.3网络拓扑图(说明:大部分部门分别划归一个VLAN中,其中董事办、总经办同属同一个Vlan,机房办公室归行政人事部管但分开两个Vlan,交换机设置时根据此划分Vlan。)VLAN及IP地址规划表VLAN规划VLAN号VLAN名称IP网段默认网关说明VLAN1-管理VLANVLAN10ZJDJ总经董经办VLANVLAN20CWB财务部VLANVLAN30SWB商务部VLANVLAN40CRB192.产品软件开发部VLANVLAN50KYB客户营销部VLANVLAN60XZB行政人事部VLANVLAN70XGB项目工程部VLANVLAN100FWQQ服务器群VLAN表网络设备IP地址规划服务器名称IP地址VLAN网关备注AD、DNS、DHCP、WSUSVLAN100内网服务器FileSERVERVLAN100文件服务器MAILVLAN100邮件服务器ISASERVERVLAN100/防火墙服务器OASERVERVLAN100办公系统服务器WEBSERVERVLAN100网络服务器网络系统方案设计3.1宽带接入方案(1)宽带接入仍然是企业接入方式的热门选择,但这就不仅仅是一条线光纤或者两条ADSL引入这么简单,因为一两条宽带难以满足企业的带宽需要,对于一般规模的企业来说,选择双光纤接入,或者是多条ADSL接入应该可以满足客户的使用需求;但是对于规模更大、定位更高的企业来说,采用一吧多网(也就是说采用多种接入方式组合的形式)可以获得更理想的效果,这样一来不但可以很好的起到线路备援的作用,而且还可以合理的调用不同ISP(网络运营商)所提供了服务,更有利于企业实现分区服务,让消费者体验到不同服务区的不同享受。(2)南电信,北网通,根据企业对不同网络资源的访问,为求高速稳定可采取电信网通同时接入的方式。(3)我们可以选择多种不同的接入方式,比较常见的接入方式有,“4×ADSL”、“1×网通光纤+1×电信光纤”双光纤接入,还有的就是“1×网通光纤+1×电信光纤+2×ADSL”组合接入的方式,第二种方式就比较适合一般规模的企业选用,第三种方式就比较适合超企业使用,当然,如果企业继续扩大的话,可以扩展到多。(4)其中的双光纤接入又有两种方式可以选择,一种是采用光纤收发器实现光纤与多WAN口路由器的连接,这种方式最大的特点是投入成本低,选择光纤收发器时,性能当然重要,不过更需要注意的是接入光纤介质的类型,如果是单模光纤,那么就要用到单模光纤收发器;如果是多模光纤,则要用多模光纤收发器。另一种是直接采用双WAN口路由器提供的光纤模块,但这种光纤模块需要另外花钱购买,成本也比光纤收发器高。处于成本的考虑,建议采用第一种方式。这种接入方式采用双光纤接入Internet,这个方案比较可靠、高效,代表了现在企业信息化发展的趋势,服务器各尽其责,可以提高了信息化的运行效率和网络架构的稳定性,同时对日益泛滥的病毒起到了很好的监控和防治。使网络构架具有很强的健壮性,是当前和以后流行的网络框架结构。相比较这个方案可能花费比纯ADSL接入大些,但是对于以后企业发展和网络的扩展来说那就轻松得多并且花费较小,而纯ADSL方案在扩充就不那么容易了,很可能随着业务的发展不能满足企业自身的需要而重新建设网络,那样不但耽误了企业的正常运营也会重新增加和本方案一样的开支,总的看来本方案代表网络的发展趋势10兆的带宽100M到桌面的流量足以满足一个中型企业现在和以后的需要。网通接入Internet的10M的带宽大约要2400元/月左右,并且还要使用路由器/放火墙接入internet,从安全方面讲这一方案比上述两个方案安全得多,他可以过滤不安全数据包控制流量和网络隔离。3.2通讯子网设计方案(1)企业组网在组网方式上选择比较多,设备比较多元化,所以组网方案也比较灵活。首先,在全千兆网络中,分成三个服务区,分别是日常办公服务区、机房服务区、无线网络服务区,采用全千兆的三层交换机作为主干交换机连接多WAN口宽带路由器和服务器,下连接入层交换机,这样连接就可以很好地实现分区管理和实现多元化服务。(2)宽带路由器:在选择企业网络路由器的时候,应该根据企业网络自身的双光纤应用模式,选择相适应的产品和型号;技术指标要实用,路由器主要关注的是CPU类型,选择处理能力强劲的;选择闪存和内存较大的;安全性能很关键,为了让企业网络能够在安全的网络环境中运行,选择的路由器产品必须具备完善的安全性能;可管理性不容忽视,在企业网络中,管理几百台电脑并非是一件轻松的工作,网络中一旦有病毒开始发作,维护起来会非常麻烦,所以在选购路由器的时候特别要注意产品的可管理性。(3)主干交换机:企业网络的计算机节点有很多,所以组网时需要在路由器后连接一个三层交换机,才能满足于大规模计算机数据交换的需要,因为这里的介绍的是全千兆网络,所以采用全千兆三层交换机作为网络核心,这样可以实现当前企业网络大数据量的本地高速交换,同时,核心交换机还能提供基于硬件的线速转发,在速度上比传统的基于CPU的路由快许多倍,大大提高了网络的运行效率和稳定性。(4)接入层交换机:对于连接日常办公区和机房服务区的客户机,对带宽的要求比较高,所以选择千兆交换机作接入交换机。在机房服务区又由于计算机数量较多,分布较为密集故需采用交换机堆叠的方式来扩充交换机的端口数量,以满足需求。在交换器堆叠的时候应尽量考虑堆叠层数对交换机性能的影响建议层数为四层。(5)无线路由器:企业网络中由于办公场所的分散性和楼体结构的特殊性应该采用信号强,穿强能力好的无线路由器。(6)因为这是千兆的网络,所以各设备之间实现网络的互连,建议采用超五类或以上的非屏蔽双绞线。(7)网络相关技术:①使用VALN技术进行业务隔离,减少广播域的范围②使用TRUNK技术实现VLAN跨交换机进行访问③STP技术防止二层环路,避免广播风暴,提高转发效率我设计的中小企业信息化常用解决方案(如下图),能够较好地发挥企业网的使用效果和水平,具有很强的代表性。图3.2中小企业信息化常用解决方案图3.3资源子网设计方案:(1)建立文件(FTP)服务器为了在企业内部能够轻松进行文件数据交换,ftp是重要的一种方式。利用文件服务器软件,可以限定登录用户的权限、登录主目录及空间大小等,能有效的保护公司的机密文件不被外泄。资源实现信息内部共享,方便公司内部查阅。集中存储需要交换的数据,提供数据库服务、文件共享服务、打印服务。网络内各桌面用户可共享数据、共享打印,实现办公自动化。(2)建立公司邮件(Mail)系统可以建立公司域名下的互联网邮件服务器,可以任意给员工分配电子邮箱,收发互联网电子邮件。可以对公司内部所有员工的互联网电子邮件进行统一管理,统一由邮件服务器来接收和发送,邮件帐号管理功能可以防止公司的商务机密外泄。公司内部可以通过邮件服务器方便的进行邮件交流、电子通讯、文件申报和传输,完全实现无纸化。邮件通知功能和邮件组功能可以方便公司及时发布内部通知。邮件杀毒功能可以对所有收发的邮件进行后台在线杀毒,大大提高了工作效率和公司内部网络安全性。(3)建立内网(AD、DNS、DHCP、WSUS)服务器AD活动目录,使用户可以方便访问任何资源(例如打印机),不需知道该资源的位置以及设置。为了公司内部网络之间能够通信,并为员工访问外部网络提供域名解析提高网络访问的速度和准确度,DNS服务器是必不可少的。为方便管理,建立DHCP服务器,终端计算机自动获得服务器分配的IP地址和子网掩码。任何操作系统都有漏洞,通过在服务器上部署WSUS,定期对用户端进行补丁的更新。建立网络(WEB)服务器随着公司业务的不断拓展,企业规模越来越大,越来越多的商业合作伙伴和客户需要从互联网上了解公司的信息,并希望通过互联网进行商务合作。为了进一步提高企业知名度并在互联网发布公司的商业信息,公司在网络中计划建立WEB服务器,所有的网站内容已经制作完毕。详细方案如下所述:①公司WEB服务器放置在总部机房。②WEB服务应和操作系统具有良好的兼容性。③避免由于服务的不兼容影响性能和稳定性。④WEB服务器具有固定的IP地址配置。⑤WEB网站允许匿名访问网站的文件。⑥允许互联网及集团内部的用户可以通过域名访问公司网站。(5)建立办公系统(OA)服务器OA的运行不仅兼顾个人办公效率的提高,减轻工作人员的工作负担,更重要的是可以实现群体信息的交流,实现信息快捷交换和高集成度的工作协同。通过模块功能的定制可以实现将诸如信息采集、查询、统计等功能与具体业务密切关联,高管只须点击按钮就可以得到想要的结果,从而极大、极快地方便了公司的管理和决策,为走向电子政务和电子商务打下良好基础。图3.3服务器群设计图所有的服务器硬件平台、操作系统以及服务软件的选型表:表3.3选型表编号服务器名称硬件平台操作系统服务软件Ser1内网服务器IBMSystemx3400M3Windows2003Server系统自带Ser2FTP文件服务器IBMSystemx3400M3Windows2003ServerSERV-USer3邮件服务器IBMSystemx3400M3Windows2003ServerExchangeServerSer4防火墙服务器IBMSystemx3400M3Windows2003ServerISA2004Ser5办公系统服务器IBMSystemx3400M3Windows2003ServerPOBA大OA平台Ser6WEB服务器IBMSystemx3400M3Windows2003ServerIIS6.4.网络设备选取4.1设备清单表4.1设备清单设备名称具体型号单价数量总价备注三层交换机H3CS5500-28C-SI12,6001个12,600核心层使用二层交换机H3CS16261,9006个11,400边缘层交换机,用户端路由器CISCO28219,7001个9,700宽带路由器服务器IBMSystemx3400M38,9006个5,3400各功能服务器光纤收发器DINTEK70014个9,800光纤转换设备光纤跳线/10014条1,400光纤收发器跳线4.2部分网络设备介绍本方案属于网络结构化布线采用纯双绞线系统的平面型局域网络用户。所谓平面型局域网,就是整个网络在一个楼层,甚至在一个办公室中。这是一个典型的中小型企业局域网,整个网络层次结构非常简单、分明,通常只有两层,即核心层和边缘层。核心层采用H3CS5500-28C-SI三层交换机,而边缘层则采用H3CS1626交换机。虽然3CS5500-28C-SI交换机可以提供光纤接入,但由于边缘层的H3CS1626交换机均只支持10/100Mb/s的双绞线接入,所以在局域网内部只能采用双绞线接入,但核心层仍可提供千兆位接入端口,为那些应用较复杂的服务器、边缘层交换机或者高级用户提供高速率接入。核心层交换机选型H3CS5500-28C-SI以太网交换机是H3C公司自主开发的三层全千兆多协议以太网交换产品,是为要求具备高性能、较大端口密度且易于安装的网络环境而设计的智能型可网管交换机。H3CS5510系列以太网交换机主要面向企业网、城域网汇聚或接入层的需求,同时硬件支持IPv4和IPv6双栈,可为客户提供丰富的业务特性和路由功能。此外,也可以通过H3CS5500-28C-SI的扩展槽,扩展光纤上边端口,完成与其它网络的互连。图H3CS5500-28C-SI外观表H3CS5500-28C-SI的参数应用类型千兆以太网交换机应用层级三层交换方式存储-转发背板带宽(Gbps)128Gbps包转发率96MppsVLAN支持支持MAC地址表16K网络标准传输速率(Mbps)10/100/1000端口类型10/100/1000Base-T以太网端口、1000Base-X千兆SFP端口端口结构固定端口固定端口数24扩展模块2是否支持全双工支持全双工网管支持网管型网管功能支持命令行接口(CLI),Telnet,Console口进行配置,支持RMON(RemoteMonitoring)告警、事件、历史记录,支持iMC智能管理中心,支持SNMPv1/v2/v3,WEB网管,支持系统日志,分级告警,调试信息输出堆叠支持二层交换机选型H3CS1626以太网交换机是华三公司秉承IToIP理念设计的二层智能型可网管以太网交换机产品,具有百兆光电灵活上行、完备的安全和Qos控制策略等特点,接口丰富、密集、安全性能高、功能较多、支持网管功能、操作简便,满足企业用户多业务融合、高安全、可扩展、易管理的建网需求,适合行业、企业网、宽带小区的接入和中小企业、分支机构汇聚交换机。图H3CS1626的外观表H3CS1626的参数交换机类型智能网管交换机交换方式存储-转发背板带宽8.8Gbps包转发率MAC地址表8k传输速率10/100Mbps网络标准IEEE802.3,IEEE802.3u,IEEE802.3ab,IEEE802.3z,IEEE802.3x接口数量26个接口类型24个10/100BASE-T、2个10/100/1000BASE-T自协商的以太网端口控制端口1个Console端口网管功能支持通过Console口的命令行配置,支持SNMPv2c,支持WEB网管,支持IGMPSnooping,支持四元绑定宽带路由器选型思科2821多业务路由器在众多用户中有着相当不错的口碑,它与前几代思科路由相比,在性能、安全性能和话音性能上都有了很大的提高,性能上有着极大的优势。思科2821集成多业务路由器支持全套传输协议、服务质量(QoS)工具,以及先进的安全和话音应用,将高应用性与高可靠性相结合,可满足中小型分支机构和中小型企业对于目前和未来应用日益提高的需求。图思科2821的外观表思科2821的参数路由器类型多业务路由器端口结构模块化网络协议传输速率10/100/1000MbpsMAC地址表8k固定的局域网接口2个控制端口Console包转发率接口类型24个10/100BASE-T、2个10/100/1000BASE-T自协商的以太网端口控制端口1个Console端口扩展模块4网络管理网管协议CiscoClickStart,SNMP其他功能内置防火墙,支持Qos,支持VPN其他性能安全标准UL60950:CAN/CSAC22.2No.60950,IEC60950,EN60950-1,AS/NZS60950服务器选型服务器是一种高性能计算机,作为网络的节点,存储、处理网络上80%的数据、信息,因此也被称为网络的灵魂。做一个形象的比喻:服务器就像是邮局的交换机,而微机、笔记本、PDA、等固定或移动的网络终端,就如散落在家庭、各种办公场所、公共场所等处的机。我们与外界日常的生活、工作中的交流、沟通,必须经过交换机,才能到达目标;同样如此,网络终端设备如家庭、企业中的微机上网,获取资讯,与外界沟通、娱乐等,也必须经过服务器,因此也可以说是服务器在“组织”和“领导”这些设备。服务器的构成与微机基本相似,有处理器、硬盘、内存、系统总线等,它们是针对具体的网络应用特别制定的,因而服务器与微机在处理能力、稳定性、可靠性、安全性、可扩展性、可管理性等方面存在差异很大。尤其是随着信息技术的进步,网络的作用越来越明显,对自己信息系统的数据处理能力、安全性等的要求也越来越高,如果您在进行电子商务的过程中被黑客窃走密码、损失关键商业数据;如果您在自动取款机上不能正常的存取,您应该考虑在这些设备系统的幕后指挥者——服务器,而不是埋怨工作人员的素质和其他客观条件的限制。这里我选用了IBMSystemx3400M3服务器。图IBMSystemx3400M3的外观表IBMSystemx3400M3的参数类别塔式结构5UCPU类型XeonE5506CPU频率(MHz)标配CPU数量1颗最大CPU数量2颗CPU缓存(二级/三级)1MB/4MBCPU核心四核四线程总线规格制程工艺45nm扩展槽5×PCI-E、2个PCI-X和1个PCI内存类型DDR3内存大小2GB内存插槽数量16内存带宽/描述1×2GB1.5VDDR3RDIMM内存最大内存容量128GB硬盘大小标配不提供硬盘类型SATA/SAS硬盘最大容量8TB最大热插拔硬盘数支持热插拔内部硬盘架数最大支持4块易插拔SATA或8块热插拔SAS/SATA硬盘或16块热插拔SAS硬盘磁盘阵列卡RAID0,1(可选5)IDE控制器集成串行ATA光驱DVD网络控制器集成双端口千兆以太网显示芯片MatroxG200eV,16MB显存管理工具集成系统管理处理器安全性加电口令、Remote-controlpassword、可选引导顺序、无人干预启动系统支持WindowsServer2008R2RedHatLinuxSUSELinuxVMwareESXServer网络安全设计网络系统使计算机资源在广泛的地理区域内共享,具有分布广域性、体系结构开放性、资源共享性、通信信道的共同性等特点。这些特点增强了系统的实用性,同时也带来了系统的脆弱性,网络上的许多敏感信息和保密数据难免受到各种主动的或被动的人为攻击,如信息泄露、窃取、数据篡改及计算机病毒感染等。因此,在网络上构筑一系列完善的安全策略是必不可少的。安全,通常是指这样一种机制,即只有那些被授权的人才能使用其相应的资源。网络的安全性主要包括网络路由的安全性和网络信息的安全性。对应的,网络系统安全保障的方法可以分为二大类:即以“防火墙”技术为代表的防卫型和建立在数据加密、用户授权确认机制上的主动型网络安全保障系统。前者的特征是通过在网络路由上建立相应的网络通讯监控系统(即“防火墙”)来达到安全控制的目的;而后者的特征是通过对网络数据(包括用户数据和保证网络正常运行所需的数据)的可靠加密和用户确认,实现对网络的安全保护。内外网安全机制设计:内网安全设计:访问控制,通过密码、口令(不定期修改、定期保存密码与口令)等禁止非授权用户对服务器的访问,以及对办公自动化平台的访问和管理、用户身份真实性的验证、内部用户访问权限设置、ARP病毒的防御、数据完整、审计记录、防病毒入侵。外网安全设计:安装软件、硬件、防火墙,网络防病毒软件,客户端防病毒软件;利用代理服务器提供Internet与Intranet之间的防火墙功能;通过网管实时记录网络的运行状态。设置远程访问身份认证,防止垃圾邮件等。网络安全策略:在设计网络安全策略时,需要考虑在初建费用、网络安全的扩展性、灵活性、维护费用等方面进行综合考虑,采取适当的策略。包括:网络系统的安全性,通过网络管理软件等实现网络安全控制;通过设置防火墙、系统漏洞更新、杀毒软件等实现网络网络安全;通过访问控制等手段实现网络安全;5.1防火墙系统由于公司网络系统需要接入Internet。因此考虑防火墙建设。我们选择是微软公司的ISA(ernetSecurityandAcceleration)作为公司的防火墙软件,微软公司是世界PC机软件开发的先导,ISA作为它的企业防火墙产品,是在国内外安全市场具有知相当名度、安全功能齐全的防火墙产品。ISA服务器旨在满足当前通过Internet开展业务的公司的需要,通过建设ISA服务器可提供了多层企业防火墙,来帮助防止网络资源受到病毒、黑客的攻击以及未经授权的访问。ISA防火墙是基于WindowsServer2003的防火墙:

基于策略的网际访问控制、加速和管理;

提供了多层企业防火墙;

具备简化安全和访问管理的统一管理控制台;

支持强力的用户认证设备;

保护网络免受未经授权的访问;

保护Web和电子邮件服务器防御外来攻击;

检查传入和传出的网络通讯以确保安全性;

接收可疑活动警报。ISA防火墙特点:

确保Internet连接的安全性;

快速的Web访问;

统一管理;

可扩展的平台。5.2防病毒方案设计我们利用美国NAI公司的McAfee软件(TVD)来为网络提供防病毒设计方案。McAfeeTotalVirusDefense(TVD)NAI是全球反病毒解决方案的领导者,McAfeeTVD在一个集中控制的软件包里为您提供从桌面到服务器到Internet网关的一整套防病毒安全解决方案,使企业范围的防病毒管理成现实。桌面防病毒产品VirusScan和WebScanX;服务器防病毒产品Netshield和GroupShield;网关防病毒产品Webshield;防病毒系统网管ME(ManagementEdition);Internet上升级数据推送产品SecureCast;TVD及其组件已通过VSUM、VirusBulletin、SecureComputing、NCSA等多所独立测试机构的重复检测,并且已经通过国内公安部的检测,许可在国内销售。1、桌面保护产品TVD中的VirusScan为所有的桌面计算机提供所能获得的、最为全面的跨平台病毒保护。VirusScan还集成了一些功能强大的辅助技术,可以自动地保护系统免于崩溃和数据的意外丢失。2、NetShield服务器保护套件Netshield套件从一个直观的控制台保护整个企业的文件、应用程序和群件服务器。Netshield支持NT、Netware、UNIX、LotusNotes、MicrosoftExchange等多种服务器的保护,可以方便地从本地服务器或工作站监测、配置和执行远程服务。集中化管理可以实现对警告传送的控制、问题票卷的生成和活动日志的自主选择。Netshield套件提供了所能获得的最为全面的基于服务器的病毒防护。3、网关保护套件Internet的发展大大加快了病毒在世界范围内的传播速度并使很多公司陷于瘫痪。TVD在Internet网关上对任何一个可能的病毒进入点提供全面的病毒保护。4、管理控制台ME(ManagementEdition)ME(ManagementEdition)是NAI的实时的软件分发系统,在网络上远程安装、配置、管理、升级和删除防病毒软件,通过集中地升级网络上的防病毒软件、集中地报警检测到的病毒攻击来保护网络免受病毒破坏。利用它,可以在大的网络中,减少安装和管理防病毒软件的时间,保证网络和业务运行的不间断,实现及时、有效和高效的企业范围内防病毒软件的分发,并维持整个企业防病毒软件策略和安装的一致性。ME目前能管理和分发的防病毒软件有:VirusScan:支持Windows95、Windows98、Windows3.x、WindowsNT、Windows2000、WindowsXP;Netshield:支持WindowsNT、Windows2000;ME管理防病毒软件时,维护一个软件库。软件库中包括各种不同版本、不同语种、不同操作系统的防病毒软件,控制台将软件库中的防病毒软件分发到防病毒域中的机器。另外ME也可以管理Zip文件、紧急救援磁盘。ME由下列组件组成:管理控制台(ManagementConsole):配置、管理和安装防病毒软件到防病毒域中的主机;管理服务器(ManagementServer):协调病毒扫描调度、接收报警、产生整个防病毒的报告,管理服务器运行调度器、管理代理、报警管理器等;软件仓库(Repository):存放需分发的防病毒软件、升级代码等;管理代理(ManagementAgent):通过调度启动病毒扫描,向管理服务器发送病毒报警;报警管理(AlertManager):配置报警通知设置;这些组件集成到一起提供防病毒域中机器的管理,每个组件都可以通过控制台来管理和配置。5.3WindowsServer更新服务面对层出不穷的网络网络我们也并非也只有防病毒软件,我们还可以做到防患于未然。由于任何操作系统都有漏洞,作为网络系统管理员就有责任及时地将“补丁”(Patch)打上。大部分服务器发现的Bug特别多,为了弥补操作系统的安全漏洞,在其官方网站上提供了许多补丁,可以到网上下载并安装相关升级包。可以下载下来进行升级维护。为方便管理,公司可以通过在服务器上部署WSUS,定期对用户端进行补丁的更新。图5.3安装更新界面5.4访问控制重要部门访问控制根据企业要求,财务部和其它部门进行访问控制,只允许财务部到其他部门的单向访问,同时不允许财务部访问外网,能访问内网服务器。同时也只允许商务部到其他部门的单向访问,但能访问内网外网服务器。(2)服务器安全考虑到服务器的安全性,在交换机进行服务器MAC地址的绑定,可以拒绝其他设备的接入。(3)设备访问控制为交换机和路由器等网络设备配置访问密码,一定程度上能提高网络设备的安全性。(4)telnet设置为网络设配配置telnet,可以实现远程访问,为网络设配的管理和维护带来了便捷性。信息系统的安全保护是一个复杂而艰巨的课题,网络安全控制仅仅是策略之一;从设备的物理保护一直到操作系统、数据库、应用软件,各个层次都有一系列的安全控制手段。而且安全管理不只是一个技术问

温馨提示

  • 1. 本站所有资源如无特殊说明,都需要本地电脑安装OFFICE2007和PDF阅读器。图纸软件为CAD,CAXA,PROE,UG,SolidWorks等.压缩文件请下载最新的WinRAR软件解压。
  • 2. 本站的文档不包含任何第三方提供的附件图纸等,如果需要附件,请联系上传者。文件的所有权益归上传用户所有。
  • 3. 本站RAR压缩包中若带图纸,网页内容里面会有图纸预览,若没有图纸预览就没有图纸。
  • 4. 未经权益所有人同意不得将文件中的内容挪作商业或盈利用途。
  • 5. 人人文库网仅提供信息存储空间,仅对用户上传内容的表现方式做保护处理,对用户上传分享的文档内容本身不做任何修改或编辑,并不能对任何下载内容负责。
  • 6. 下载文件中如有侵权或不适当内容,请与我们联系,我们立即纠正。
  • 7. 本站不保证下载资源的准确性、安全性和完整性, 同时也不承担用户因使用这些下载资源对自己和他人造成任何形式的伤害或损失。

评论

0/150

提交评论