【中小型企业网络的设计6000字】

中小型企业网络的设计TOC\o"1-3"\h\u19396一、引言 一、绪论当前，由于网络数据库和相关应用技术的不断发展，特别是随着Internet和Intranet技术的广泛使用，世界正在进入以网络为中心的计算时代。人们互动和工作的传统模式正在发生变化。来自不同地理区域的人们可以交换数据并使用组软件技术进行协作；企业不同部分之间数据的存储，传输和使用不断发展。这些技术的发展改变了企业传统的计算机业务系统，使用户可以更方便，直观地使用该系统，并使系统更加完整，功能强大。为了满足公司当前的需求，已经创建了一个全面的专业系统信息解决方案。它使用先进的网络技术和信息交换软件，将公司的实际应用扩展到企业的最前沿，展示出很高的可用性，并全面提高了企业效率，从而将公司网络和Internet推向了实用阶段。基于此，本文将企业网络升级计划视为研究的内容，并持续研究构建企业网络的基本过程。在对企业网络需求进行分析的基础上，本文专门探讨了诸如企业网络设计，项目实施和网络测试等实际问题，包括实施和构建网络工程项目的总体过程。二、需求分析企业在联网过程中面临的安全问题包括网络系统安全和数据保护、各种计算机病毒，系统陷阱，秘密访问通道，黑客攻击等将导致机密数据泄漏和网站瘫痪等，这些都是对公司网络的外部威胁。如何构建安全的网络体系结构，如何消除非法入侵者以及如何防止内部信息泄漏-所有这些都是公司在网络优化过程中必须解决的问题。当前，只有中小型企业可以使用防火墙在网络边缘安装防火墙和入侵检测系统（IDS），以监视和保护网络入侵，防止外部主机入侵，检测恶意可执行程序并防止网络滥用。但是此解决方案仅旨在防止外部入侵，并不影响企业内部安全性的管理。企业网络的规划分层结构结构如下图2-1所示。图2.1企业网络规划分层结构图本质上，SME网络的安全性是管理要求。目的是使信息工作模式下的生产任务和公司工作的管理安全有效。管理是主要途径。信息处理模式基于计算机和网络技术。在管理过程中，仅依靠人力资源已无法满足网络安全管理的需求，也无法应对未来技术发展带来的巨大安全需求。因此，有必要采取一些技术措施，以提供有效的工具来管理企业网络的安全，降低管理成本，提高管理效率。三、网络系统设计（一）网络系统设计规划1网络设计总体目标网络主干。网络主干是光纤，分支之间通过100m双绞线相连，整个网络的主干都连接到中继通道。内核交换机分为VLAN。分支交换机可以接收VLAN信息。主要的交换设备。在图中，内核交换机使用Cisco4503和Cisco3550交换机提供双系统热备份。这两个内核是相互冗余的，并且热备用冗余协议（HSRP）协议用于确保当任何一个内核不工作时，它可以快速切换到另一个内核，并可以执行负载平衡功能以提高网络可靠性。路由器设备具有总的网络负载。图中的网络吞吐量是30M光纤的末端。在防火墙和内核交换机之间安装在线行为管理设备，并启用透明模式以实现最佳带宽管理和审核网络行为，并限制对高风险网站的访问以提供主动保护[5]。在服务器上安装Intranet管理软件，并通过设置Intranet管理系统来实现对Intranet用户的设备监视，维护和管理。2网络IP地址规划系统监视功能包括监视处理器信息，内存和安全设备的接口数据。CPU信息部分包括有关CPU硬件，最后一秒的CPU利用率，最后五秒的CPU利用率和最后一分钟的CPU利用率的信息。部分内存的信息部分包括系统内存总量，已用内存，可用内存和内存使用率。接口的信息部分主要计算接口收发的报文，包括入接口报文数，入接口字节数，出接口报文数，出接口字节数和错误报文统计信息。安全策略配置安全策略配置主要提供访问控制的报文过滤条件，即访问控制列表，简单地分为IPACL（IP层ACL）和以太网ACL。配置IPACL的配置是指IP级别及更高级别的ACL，包括源IP地址，目标IP地址，源端口，目标端口，协议的配置以及ACL行为。3网络设备方案设计为中小企业开发网络安全解决方案的目标是在此基础上结合纺织企业的现有网络设备，例如路由器，防火墙，IDS和其他设备，以创建用于行为管理和Intranet管理的交互式设备。使用在线行为管理设备提供主动保护，以防止来自外部网络的非法恶意攻击，审核网站和电子邮件安全性，优化带宽和其他功能，使用Intranet管理系统软件执行系统补丁以及检查软件，注册，统一分发和安装功能，Internet行为，共同构建管理系统和Intranet管理，以实现企业的可管理性，审计和网络安全。基于需求分析和可行性研究，已开发出纺织品网络系统的总体轮廓。确定总体计划后，可以对投资的所有优点和缺点进行宏观分析，并对网络负载平衡和可扩展性进行全面考虑。图3.1是中小企业网络拓扑示意图。图3.1中小企业网络拓扑结构示意图（二）MSTP技术及应用在中小企业网络的组织过程中，MSTP技术通常用于提供分支机构之间的多服务传输。MSTP（多服务传输平台）当前是中小企业多服务传输网络的首选技术。MSTP可以通过SDH传输设备直接提供以太网或ATM接口，以提供对企业专用服务的可靠而灵活的访问。1MSTP技术特点随着全球经济的发展，金融，政府和企业对数据传输通道的带宽需求也在增长。如何灵活配置带宽并降低成本以确保业务质量是每个公司都面临的问题。MSTP（多服务传输平台）己成为构建以城市网络为代表的多服务传输网络的首选技术。MSTP可以通过SDH传输设备直接提供以太网或ATM接口，以提供对私有线路VIP服务的可靠且灵活的访问，具有良好的多服务和Q0S功能，并且得到了运营商和客户的充分认可。MSTP专线服务可以实现诸如以太网访问，动态带宽调整，2-1000m的访问速度和保证的带宽等功能。这是一种满足客户需求的高性价比解决方案。2MSTP业务应用MSTP网络服务有两种类型：点对点和点对多点。点对点服务：客户端的以太网数据帧通过专用的VC通道传输，有关VLAN服务或cos的信息被传输。通过风险投资渠道划分不同的客户。点对点服务：以太网分支数据帧通过专用VC通道传输到客户总部。合并分支机构的客户服务后，它们通过以太网接口连接到客户总部。分行客户无法相互通信。通过风险投资渠道分离不同的客户。3“MSTP网络”业务接入方式以中国电信接入网为例，MSTP设备与电信系统网络之间的接口为SDH-STM-N接口，用户接入方式为标准以太网接口。客户端可以通过光收发器直接访问MSTP客户端设备以及MSTP办公设备。如果拥有最佳机房的客户有能力托管MSTP设备，则他还可以选择直接访问MSIP设备来访问服务。如果客户环境差，无法放置MSTP设备，可以选择通过光模块访问办公室的MSIP设备。客户不需要向运营商提供相关信息，MSTP专线服务将被保留。（三）网络拓扑图面对企业内部的安全威胁，采取必要的安全措施非常重要。但是，目前，尽管许多公司使用大量资金购买防火墙和防病毒软件来防止外部威胁，但他们常常忽略了消除公司网络内部安全威胁的对策。随着Internet访问的日益普及和带宽的增加，员工访问Internet的条件得到了改善，但这也导致了企业风险，复杂性和混乱的增加。内部网员工控制Internet访问的问题变得越来越严重。更重要的是，在办公时间内，内部员工访问网络的行为受到不良控制，而不受控制。在工作时间，他们使用QQ聊天，发送和接收个人电子邮件，浏览不相关的网页，在BBS，论坛上发布等。这不仅导致员工效率低下，而且还可能导致组织内机密信息的泄漏进入公共网络，并可能通过访问非法网站或发表非法言论而违反法律。（四）IP地址规划这主要是通过以各种方式控制计算机和外部设备来实现的。由于高安全性Intranet必须与Internet物理隔离，因此，除了缺乏用户对计算机安全性的意识外，最重要的是管理系统不完善，尤其是计算机设备的管理不当，这会导致频繁的泄漏。特定的安全策略和功能包括监视规则，外围设备管理，过程管理，网络访问控制和补丁分发。智能网络管理模块提供了强大的内部网络管理和维护功能，是系统管理员理想的安全错误管理平台。功能网络管理模块由智能网络管理平台和网络检测器组成。具体功能包括：网络发现机制可准确检测网络信息，自动绘制网络拓扑图并计算网络设备流量。内部网审核模块是基于数据收集，分析，标识和资源审核的软件。（五）网络设备选型1集线器的选型在产品参数方面，北信源Intranet安全管理系统，COPBaoxinPatrol和LanSecSIntranet安全管理系统可以提供客户端网络监视，客户端注册和设备管理，客户端桌面审核和安全监视。补丁分发管理，应用程序资源安全监视，远程帮助管理，警报，统计，报告管理，连接安全管理等功能。在系统要求方面，北新源和宝新对硬件环境的要求很高，这些硬件环境要求用于PC的专用服务器或高性能服务器，P42.4G和更高的处理器，1G和更高的内存以及40G以上的硬盘驱动器，而LanSecS可以在PC上正常工作令人满意。2交换机的选型LanSecSLAN管理系统是基于Win32操作系统的C/S体系结构程序，该程序专注于集成安全管理和Intranet管理，集成Intranet行为的安全审核以及智能网络管理。LanSecSLAN安全管理系统分为四个部分：基本安全管理平台，用于监视和审核的客户端，智能网络检测器和数据库系统。基本的安全管理平台基本上作为重要部分存在，同时它可以控制审核客户端并与数据库进行交互。客户根据管理平台制定的策略来管理和控制终端设备。作为网络管理的组成部分，网络检测器在收集网络信息和实施网络管理中起着重要的作用。3路由器的选型得益于获得专利的多行多路复用技术来控制在线行为，控制在线行为的网关可以同时连接到公共网络的四条线路，从而扩展了Internet访问的带宽，并且多条线路相互支持以提高可靠性，而在线行为管理多线程智能路由和负载均衡技术可以智能地在线路之间分配Intranet员工的流量，解决了运营商之间的带宽瓶颈问题。网络管理员需要详细了解带宽资源的当前使用，这可以通过访问数据中心来对行为进行操作控制来实现，例如，查看应用程序流量分布，用户流量分布以及一段时间内的排名。4服务器的选型对于Intranet员工访问不同网页的行为，Internet行为控制由内置的URL库，关键字过滤等控制。对于具有SSL加密的网页，例如网络钓鱼网站，黑色和用于在线行为管理中验证证书的链接的白名单。技术也可以控制。安全网关不仅可以控制使用共享服务（例如Web，FTP，电子邮件等）的员工，而且可以使用技术实现诸如QQ，MSN，Skype等的实时聊天工具。根据四到七个级别的应用程序数据包的功能代码进行深度内容发现。四、网络安全的方案设计（一）安全层次体系了解每个部门的功能要求和要求后，合理划分您的Intranet管理部署策略。总经理：自动分发补丁，管理Intranet系统配置以及提供远程服务。人力资源：要求自动分发系统补丁，触发警报并检测非法访问的设备，并管理内部网络系统的配置。财务部门：分发自动修复程序，检查和控制输入和输出设备（例如U盘，软盘，光盘驱动器，打印机等）的使用，监视服务和过程更新，分析应用程序的安装和删除以防止访问非法计算机进入内部网络，检查PC资源（包括处理器，内存，硬盘，视频卡，网卡等）。生产技术部：要求自动分发补丁程序，以防止非法访问未知计算机网络，审计和监视输入和输出设备（例如U盘，软盘，光盘驱动器，打印机等），更新和监视服务和流程审核应用程序的安装和删除；检查您的PC资源（包括处理器，内存，硬盘驱动器，图形卡，网卡等）。计划和市场部：要求自动分发系统补丁，通知和检测被非法访问的设备，并管理内部网络系统的配置。内部网络安全策略的制定主要考虑补丁管理，地址绑定，访问控制，内部网络系统的配置管理，监视内部网络终端的行为以及打印控制等方面。以下总结了这六项政策的目的和步骤。（二）安全体系设计主要原因是阻止非法计算机访问网络。监视监视非法访问：根据注册信息与未知IP地址和mac地址列表的比较，它会自动检测对未知设备的Intranet的访问行为，从而使管理员可以快速检测到非法入侵者。②非法阻止访问：可以立即阻止非法访问设备，以确保未授权设备无法访问内部网络。策略上的更改可以防止外部计算机意外访问内部网络，并防止不受信任的访问设备进入网络。网络构成安全风险。收集有关终端资源的信息，每次打开设备时自动扫描60分钟，然后根据已建立的扫描周期扫描有关主机资源（硬件和软件）的信息并进行收集。获得回应的方法是记录。必须从操作系统驱动程序级别控制外部终端设备。例如，断开USB驱动器，光盘驱动器，蓝牙，红外线和其他设备的连接。（三）安全产品的配置与应用在对测试内容进行分析的基础上，得出网络行为管理应用管理功能和网页拦截功能如下：测试1：网络行为管理设备具有良好的拦截效果，可以有效拦截软件，游戏，股票等的P2P下载。在线视频和QQ聊天。测试2：行为网络产品可以有效地阻止色情，暴力，反动和其他不良网站，病毒木马和其他危险网站，在线商店，在线约会，股市金融和其他非工作网站，降低网络内部病毒感染的风险并提高工作效率，以避免法律风险。从两个测试设备的性能可以看出，网络行为控制设备的CPU利用率和CPU利用率通常小于10%。此外，测试设备实际运行时间为16天。在此期间没有异常情况，例如崩溃和重新启动。在原始的SME网络中，用于在线行为管理的设备的创建可能会得出结论，在有效期内，用于在线行为管理的设备的策略发挥了以下作用。（1）优化网络访问速度，减少P2P对网络带宽的影响，提供重要服务器的带宽，并成功地将网络带宽的使用减少到最佳值。（2）这限制了员工在工作时间使用Internet进行非工作活动，并提高了员工提高工作效率的意识。（3）用病毒木马封锁大量网站，降低内网用户感染风险，确保内网安全。总结随着业务的发展和信息建设的加速，互联网已成为生活中必不可少的工具。但是，在人们享受生活