【企业局域网搭建及安全维护策略研究（论文）5800字】

企业局域网搭建及安全维护策略研究目录TOC\o"1-2"\h\u8191企业局域网搭建及安全维护策略研究 127172摘要 113865关键词：局域网络；网络规划；网络安全 211566前言 2265131、网络系统设计方案 220491.1局域网主干规划 2281851.2系统功能规划 27752、中小企业局域网络建设规划 2220912.1网络拓扑 2121022.2网络的规划与编址 4207822.3路由协议规划 5136593、网络设备选型 5311913.1交换机 6115923.2路由器 6216273.3接入交换机 635203.4防火墙 6151124、网络安全的设计 6140434.1网络出入口安全 6193444.1中小企业用户终端IP地址安全 6315715、正确维护企业局域网 7202405.1合理设置服务器的硬盘 7257865.2正确使用“桥”式设备 78475.3按规则进行连线 746775.4合理设置交换机 718675结论 820265参考文献 9摘要随着网络技术的发展和中小型企业规模的日益扩大，中小型企业网络规模越来越大，一般的中小型企业都达到了上万信息点或者几万个信息点的规模。当网络规模增大到一定程度，在中小型企业局域网系统面临许多问题。例如中小型企业网骨干结构问题、设备的性能问题、网络的可靠性、网络的安全、可管理性问题。针对以上存在的问题，本文以中小型企业的局域网项目规划设计作为背景，对当前中小型企业的局域网体系结构开展研究，深入研究了当前中小型企业网络建设的需求，探讨和研究对局域网络进行改造的设计方案，提出了一个能适用于较大网络规模的局域网络体系结构方案。在本文中采用路由技术，用于虚拟局域网的VLAN技术、用于地址隐藏的地址转换技术、用于网络结构规划的拓扑技术、网络安全技术。构建一个高效稳定的网络平台，并将本方案应用于中小型企业的局域网络的规划设计中。研究局域网规划和建设，方案可以为其他企业进行局域网建设提供参考的依据。关键词：局域网络；网络规划；网络安全前言本篇论文就中小企业局域网建设，讨论了中小企业园区级网络的类型，论述了中小型企业局域网的特点与要求，进而提出了典型的业务模型与需求定位，按照网络层次的划分的原则，设计了中小型企业网核心到接入交换的两级网络模型，明确了网络的编址方案，考虑了基本的网络安全与流量控制因素。1、网络系统设计方案1.1局域网主干规划主干为千兆主干，设备为CISCO的2层交换机，型号为CISCO2960-24TT。因考虑到以后多媒体数据流在网上的应用于及主干的冗余，因此在主干上采用千兆链路（100Mb/sTrunk），既可扩大主干带宽（200Mb/s或全双工400Mb/s）,又可以起到主干冗余作用及均衡负载。主干采用超5类非屏蔽双绞线（UTP）布线，能承载千兆带宽，可以保证以后网络的扩容与提升。主干所有链路屏蔽层全部接到信号地（主机房地网），防止静电和电磁干扰，地保证数据链路的可靠性。1.2系统功能规划在中小企业局域网中主要起保障网络安全作用，校园中的防火墙不仅要防止外来黑客的攻击，还要防止内部学生的攻击。根据学校的应用类型，划分了实训楼、综合楼、服务器群等三个子网。分VLAN在一定程度上可以提高网络的安全性，防止网段上无效的广播包的传播，还可以增加网络弹性，并降低成本易于管理。在中心交换机上创建3个VLAN，分别为VLAN10、VLAN20和VLAN30。由于二层交换机，无路由功能，无法实现VLAN间通信，但可利用外部的路由器来实现VLAN间的通信。2、中小企业局域网络建设规划本章根据对中小企业的网络规划需求进行分析，制定合理的网络拓扑，并在拓扑的基础上进行IP和VLAN规划、路由协议规划、认证协议规划、WLAN规划。根据实际需求制定合理的出口设计和接入层接入设计。2.1网络拓扑根据第二章内容中对中小企业网络建设的需求分析，初步设计出此局域网的网络拓扑。设备采用锐捷设备。设备清单如表3-1：表3-1局域网设备表核心层设备S86102台分中心设备S86066台次中心设备S76062台汇聚层设备S5750若干接入层设备S26系列和S29系列若干根据网络需求设计的网络拓扑如图3-1：图3-1局域网络拓扑2.1.1网络架构选择由于分层网络结构具有明显的优势，在大型网络中常用的分层网络体系结构的中小企业局域网，按照模块化设计思想，功能。根据全网结构层次化、模块化、功能化的思路，局域网总体网络架构设计为个模块，分别为：核心层、汇聚层、接入层。整个网络采用双核心、汇聚(核心和汇聚层设备物理位置集中在核心机房)、接入三层构架方式，在每个链接到企业宿舍区汇聚交换机楼、企业宿舍楼、办公区，提供千兆供办公区域快速访问。对于链路层的安全可考虑采用不同链路的主备主干光缆方式实现。2.1.2核心层设计中小企业网核心层采用双核心设计，两台核心设备之间通过高带宽的千兆以上交换机互联，实现链路的冗余备份，提高网络的稳定性。为了防止开启虚拟交换功能对设备的影响,虚拟交换机技术建议采用独立硬件板卡的方式实现。核心层选用的设备为华为S1700-24GR。2.1.3汇聚层设计区域汇聚层设计为连接本地的逻辑中心，汇聚交换机负责本区域内的数据交换，众多策略的实施，将不要的流量隔离在区域汇聚层以下，从而大大减轻核心层设备的数据交换负担，因此仍需要较高的性能和比较强的策略实施能力。考虑到每个区域涉及的用户量大，需要对区域配置汇聚设备。汇聚设备具备安全防御能力。2.1.4接入层设计办公区域接入部署：该区域的所有接入点采用千兆到桌面的方式。在该区域部署全千兆接入交换机，通过6类双绞线上联到楼宇汇聚交换机。宿舍区接入部暑：该区域的接入点釆用百兆到桌面的方式。在该区域部署支持千兆上行的百兆交换机，所有接入交换机采用48口接入交换机。2.2网络的规划与编址2.2.1宿舍区用户IP/VLAN规划中小企业宿舍区均采用私有IP，本次设计规划采用/16网段。具体规划如表3-2：表3-2宿舍区IP划分表区域IP地址段C类地址个数备注1#宿舍楼-558静态地址2#宿舍楼-558静态地址3#宿舍楼-558静态地址4#宿舍楼-558静态地址5#宿舍楼-558静态地址每栋宿舍楼划分8个C类IP地址。以一号宿舍楼IP与VLAN的对应关系详细说明划分的依据，如表3-3：表3-3一号宿舍楼IP和VLAN对应关系楼宇VLANIDVLAN用途IP网段用户IP网关交换机管理网关交换机网关宿舍1管理/245454楼101层用户/24545354一栋宿舍楼划分8个C类IP地址，其中六个分别划分给每层的用户；一个用作管理IP地址，方便管理员的管理；一个用作保留地址，用于后期的扩展。VLAN划分了8个，其中VLAN10—VLAN60分别对应每层宿舍楼；VLAN1用作管理VLAN。2.2.2办公区用户IP/VLAN规划办公区采用教育网地址-55。具体IP规划如表3-4：表3-4办公区IP规划区域IP地址段C类地址个数备注服务器区-541动态IP办公楼-544动态IP食堂楼-544动态IP图书馆-542动态IP办公区VLAN规划与宿舍VLAN规划一致，根据楼层规划VLAN。例如：办公楼一楼划分为VLAN10，二楼划分为VLAN20。2.2.3路由设备互联IP地址规划核心层与汇聚层术语路由互联设备，需要配置互连IP。一部分IP规划如表3-5：表3-5路由互联IP地址规划举例互连IP网段本地地址本地设备对端地址对端设备/30/30NPE/30ACE/30/30ACE/30S8610-/30/30ACE0/30S8610-2/303/30S8610-4/30S8610-6/307/30S8610-8/30S7606-0/301/30S8610-2/30S7606-4/305/30S8610-6/30S7606-1由于篇幅有限，仅列出一部分互联IP的规划。2.3路由协议规划局域网内部采用OSPF动态路由协议。OSPF布局在路由互联的设备之间。OSPF支持区域的划分。划分区域有利于减少了需要传递的路由信息数量。OSPF区域划分如表3-6：表3-6OSPF的区域划分学校楼宇类型OSPF区域号宿舍楼办公楼Area100食堂楼Area110会议楼Area130图书馆Area140根据表3-6OSPF区域的划分，得到的OSPF区域划分拓扑图如图3-2：图3-2OSPF区域划分拓扑图通过OSPF区域划分，将各个不同功能的楼宇划分到不同区域，可以减少OSPF的LSA数据包的泛洪，从而减少网络开销。其次，划分不同区域，可以减少网络故障的影响，一个区域出现故障，不会影响其他区域的网络状态。3、网络设备选型3.1交换机本文选用了D-LinkDES-3024中心路由交换机担当网络主干交换机。在本方案设计接入需要2台D-LinkDES-3024中心交换机，楼道内采用综合布线方式，利用五类线接入到用户，实现了即插即用。中小企业的中心交换机我们选择用堆叠连接技术，方法是将随机所附堆叠电缆的一端插入第一台的中心交换机堆叠模块的“DOWN”端口，另一端插入第二台的中心交换机堆叠模块的“UP”端口。这两台交换机堆叠在一起之后就像一个模块化交换机一样，当作一个单元设备来进行管理，这样就可以非常方便地实现对网络的扩充。3.2路由器HillstoneSR-560路由器是具有高性能安全的，针对多用户数、多接入点、多种应用等市场需求而设计的产品。根据预约时间自动断线和启用备用链路，每个WAN口支持多达8条ADSL链路；独创分区管理技术，为设备每个LAN端口可划分到6-24个独立分区中，内建DHCP服务器，为每个LAN分区获取不同的IP地址段，内建一个千兆DMZ接口，支持对外开放服务器功能和端口映射功能。3.3接入交换机接入交换机在网络中的作用仅次于中心交换机,接入交换机就是图2.1中的楼道交换机。本中小企业方案设计中采用的接入交换机是D-LinkDGS1224T交换机，除了考虑D-LinkDGS1224T交换机功能外，性能在同类交换机中比较突出，当然选择它不只是价格和性能方面的原因，同时还结合了中小企业网络综合因素。3.4防火墙Cisco公司的PIX防火墙允许已经存在的私人或企业网络安全的访问Internet，因为它采用了一种称为NAT的技术，方便大型的企业网络接入Internet，并且可于五分钟内完成配置。透明的支持通用的TCP／IPInternet服务，如：WorldWideWeb，FTP，TelnetArchie，Gopher和Rlogin等等。所以防火墙选择思科PIX-515E-FO-BUN。4、网络安全的设计4.1网络出入口安全中小企业的宽带网接入中我们安装了防火墙、DefensePro3020。在上述网络规划中我们选用的防火墙可以实时探测与阻止病毒、间谍软件、蠕虫及应用程序漏洞对来自网络中的威胁起到一个实时防范作用，同时也能控制网络活动。DefensePro3020部署在中小企业网络的核心交换机上，具有最大化的吞吐率和先进的安全智能，能够从中小企业宽带接入网处实时隔离、拦截和防止攻击。4.1中小企业用户终端IP地址安全为了防止中小企业用户使用DHCP服务器造成网络管理的混乱，我们可以在接入交换机中选用支持DHCPSnooping功能的交换机，这样中小企业用户的IP地址只能由我们选定的中心交换机和服务器设备来自动分配，也可以防止广播域的冲突，同时也能阻止来自非法的IP地址提供和各个用户信息的安全不被泄露，也避免用户之间不必要的共享。同时，在网络中的路由器或交换机上使用访问控制列表(ACL)，让网管员用来制定网络策略，对个别用户或特定数据流进行控制；加强网络的安全屏蔽作用。5、正确维护企业局域网5.1合理设置服务器的硬盘使用局域网办公的用户，经常会使用网络来打印材料和访问文件。由于某种原因，网络访问的速度可能会不正常，这时我们往往会错误地认为导致网速降低的原因可能是网络中的某些设备发生了瓶颈，例如网卡、交换机、集线器等，其实对网速影响最大的还是服务器硬盘的速度。因此正确地配置好局域网中服务器的硬盘，将对整个局域网中的网络性能有很大的改善。通常，我们在设置硬盘时需要考虑以下几个因素：1.服务器中的硬盘应尽量选择转速快，容量大的那种，因为硬盘转速快，通过网络访问服务器上的数据的速度也越快；2.服务器中的硬盘接口最好是SCSI型号的，因为该接口比IDE或EIDE接口传输数据时速度要快，它采用并行传输数据的模式来发送和接受数据的；如果条件允许的话，我们可以给网络服务器安装硬盘阵列卡，因为硬盘阵列卡能较大幅度地提升硬盘的读写性能和安全性；当然在这里大家还要注意的是，在同一SCSI通道，不要将低速SCSI设备(如CD)与硬盘共用，否则硬盘的SCSI接口高速传输数据的性能将得不到发挥。5.2正确使用“桥”式设备“桥”式设备通常是用于同一网段的网络设备，而路由器则是用于不同区段的网络设备。笔者所在单位，曾经安装一套微波联网设备，物理设备联通以后，上网调试，服务器上老是提示当前网段号应是对方的网段号。将服务器的网段号与对方改为一致后，服务器的报警消失了。啊！原来这是一套具有桥接性质的设备。后来与另外一个地点安装微波联网设备，换用了其他一家厂商的产品，在连接以前我们就将两边的网段号改为一致，可当装上设备以后，服务器又出现了报警：当前路由错误。修改了一边的网段以后，报警消失了。由此可见，正确区分“路由”设备和“桥式”设备，在设置网络参数方面是很重要的。5.3按规则进行连线连接局域网中的每台计算机都是用双绞线来实现的，但是并不是用双绞线把两台计算机简单地相互连接起来，就能实现通信目的的，我们必须按照一定的连线规则来进行连线。笔者曾经试图把两台相距100米以外的计算机用双绞线连接起来，从而实现通信，但无论怎么努力都没有连接成功，后来经行家指点，双绞线的连接距离不能超过100米。另外，我们如果需要连接超过100米的两台计算机时，必须使用转换设备，在连接转换设备和交换机时，我们还必须进行跳线。这是因为以太网中，一般是使用两对双绞线，排列在1、2、3、6的位置，如果使用的不是两对线，而是将原配对使用的线分开使用，就会形成串绕，从而产生较大的串扰(NEXT)。对网络性能有较大影响。10M网络环境这种情况不明显，100M的网络环境下如果流量大或者距离长，网络就会无法联通。5.4合理设置交换机交换机是局域网中的一个重要的数据交换设备，正确合理地使用交换机也能很好地改善网络中的数据传输性能。笔者曾经将交换机端口配置为100M全双工，而服务器上安装了一块型号为Intel100MEISA网卡，安装以后一切正常，但在大流量负荷数据传输时，速度变得极慢，最后发现这款网