中小型企业网络搭建

-12-第1章前言在信息化社会中，智慧创造是一种不可避免的现象。同时，它还是计算机网络技术和施工技术的密切融合。集成线路是智慧楼宇的“中枢神经”。促进建筑信息化建设和设施管理的发展。所以，如何合理地规划并设计出一套完整的、可靠的、独立的配线体系是非常必要的。该机构具有高度的稳定性和机动性，以适应现代化的行政和安保工作的需要。该决议将该公司的办公大楼改建为一个一体化的电缆项目，并将其已有的千兆光纤传输速率扩大至十兆美金。节约公司通话费用，将常规的通话模式转变成IP通话模式。最好能把红外线检波器装在四周墙壁上。强化企业在园区内的安保工作，以防范不法份子进入园区内从事违法行为。实现了办公自动化、信息化、信息化和视频监控的智能化。

第2章企业网络安全防范系统分析2.1企业网络现状及存在隐患公司现有的网络结构为：核心层采用两套思科WS-C6509-E，并用一道防火墙将其与核心网连接起来，同时使用中国电信和联通的100MB主干线路。F5工作负荷分布与网络使用管理集成了网络使用开关，并与主机相连。每一个商业系统都是由一个内建的开关和一个单一的伺服器组成的一道防火墙与内网相连。有些伺服器与主机相连。公司网站采用外围的防火墙连接到Internet，为用户提供上网服务。共有4,000多个存取点位，多数设在企业办公区域。每个单位都设有一个中心控制室，有些地方还设有一个办公室，一个车间，一个室外操作室。各接入点的地面开关与装置之间采用纤维光缆相连。该综合开关与公司计算机室的主要开关之间采用光缆相连。目前企业网络的拓扑结构如图3.1所示：图3.1改造前网络拓扑公司主干网络是最早建立的。但是，随着科技业务的发展，原来的网络架构也逐渐显现出其不足之处。在这个网路的拓朴上，只有一处瑕疵。这样会造成网络的稳定性下降。并对企业的日常运营产生一定的影响。特别是在服务器整合的结点上，潜在的风险很高。一旦装置发生失灵，其结果将十分严重。现在还没有针对每一个儿童的虚拟局域网板块。办公室电脑，服务器和其它终端的每一台监视装置都位于相同的广播领域。当一个暴风雨波及了整个网路上的播放机时。而且还会对整个网络造成很大的冲击。安定性企业的发展，迫切需要以骨干网为基础的增值服务。尤其是新的网络业务，比如网络业务，它要求更高的带宽。比如：视频监控，高清视频会议，远程教育等；虚拟台式机，云计算等业务的特别需求。然而，在目前千兆以太网无法适应各种流量要求的情况下，对其进行了必要的辅助。同时，还面临着频谱利用率和稳定性的制约因素。2.2需求分析固定现有的企业网路体系结构。对已失效的网络装置及功能不完善的系统进行保护，避免机密资料外泄及处置。在企业网络中，对使用者和管理者的行为进行约束，这一点之前就已经存在并受到了一定的限制。接下来，我们可以检讨并思考将来的改善与更新，现将下列网路更新需求与安全性加强建议如下：(1)三个层次的网络结构和一个单一层次的综合访问。每一个工作空间都是模块化的，其中的主体部分在中央。该系统的体系结构简洁而又富有弹性。高度可用性与灵活性(2)利用装置及连接冗余来改进主要装置与装置伺服器整合的稳定性。把公司主干网络的频宽由原来的吉比特提高到10吉比特，以适应目前的商业需要和将来的发展需要。(3)将VLAN配置到接入层的网络中，以增强业务的安全和避免网络的冲突。(4)一种用于保护网络的装置。加强公司的外部防护。加强对使用者行为的监测与操作的控制。2.3设备选型硬件的可靠性、性能与技术水准是选用装备的两项基本准则，而零件水准与技术水准的更上一层楼，是大型及中等规模公司不可或缺的。其次需要思考的是执行问题。产品的可扩展性，合同性，经济性，即产品的表现及传递方法，与企业的特性及要求相一致。可扩充的意思是这个装置可以顺利地运转。将来还可以进一步完善，比如地图，地图，界面，纹理等等。节约就是要达到最严格的标准。要想办法备份，备份并节约资金。其中包含了能源，维护，以及后端的其它成本。从安全性、效率、效能、系统品质等角度来看，一台装备是否完备，将会影响到整个组织的安全性、网络安全性和安全性。这是由于保安装置倾向于放置在公司的内部。所以，预计将会有重大的资源。国产保安装备精良。金星公司，星辰公司，田荣鑫公司等公司的产品系列相对完整。而且，他们有强大的机密和机密方面的产品，比如She.nco.ng，他们可以用来做VPN，也可以用来做行为管理。生产线是很简单的。重点应放在建立侵入和防卫体系上。提供下列服务，服务及技术支援将是最佳选择。对泄露，漏洞和其它产品进行扫描。所以，需要入侵防御，防卫和塔式防御体系，以提高电脑网络的安全覆盖率。采用NSFO.CUS公司的产品.2.3.1网络交换机选型（一）核心层交换机在主干网层中继网路讯息。对于无堵塞的网络通信，主要开关需要有很好的表现。所以，在10Gb的数据率下，背片的带宽是以分组转发率为主要衡量因素来选取装置。要实现全网体系结构的柔性、可扩充性，就要求主机能够支撑不同种类、不同数目的可扩充的模组，以适应将来网路扩充与更新的需求。主要的开关要有很高的后台带宽。在综合考虑了高传输速率、高可扩展性等多种因素后，最终选择了华为S12712作为该系统的核心部件。具体参数见表3.1：表3.1核心层设备选型设备型号华为S12712产品类型企业级交换机应用层级三层传输速率支持万兆交换方式存储-转发背板带宽37.28Tbps包转发率12960Mpps端口结构模块化扩展模块2个主控板槽位数4个交换网板槽位数12个业务板槽位数电源功率6600W（二）汇聚层交换机半网路网路、架构、汇合与交换层面，负责从存取层面发出的全部讯息，并且为其父层面提供上行链路。按照网路更新程式的需求，整合层与转换器需要支援10G字节的能力，并且具有不同的高效能介面。包含了华为S77.06交换器的收集层与装置的放大器及对比。具体参.数见表.3.2.：表3.2汇聚层设备选型设备型号华为S7706产品类型企业级交换机应用层级三层传输速率支持万兆交换方式存储-转发背板带宽22.4Tbps包转发率9600Mpps端口结构模块化扩展模块6个模块化插槽电源功率1600W（三）服务器汇聚交换机在该机构内，服务器合并并转换所有的服务器。这不但是因为其强大的性能，同时也是因为其高度的能量密度，才能支撑更多的重量。访问需求应充分考虑到可扩充性，并且选用了S.970.6型网络交换机，网络内核，类设备的首部。其具.体参数.见表.3.3.：表3.3服务器汇聚设备选型设备型号华为S9706产品类型企业级交换机应用层级三层传输速率10/100/1000/10000Mbps交换方式存储-转发背板带宽38.4Tbps包转发率14400Mpps端口结构模块化扩展模块6个模块化插槽电源功率2200W2.3.2网络安全设备选型（一）入侵防御系统该公司的传统网路并不具备防范侵入的功能。要注意联结的冗余性和随后的扩充。其中，服务界面中最少要有4个以上的光学界面，才能适应一个比较复杂的网络环境。当前，由于各种种类的界面，由于IDS是串行连接的，所以，这种装置一定要具备软硬件分流的功能。如果发生故障，可以迅速地将连接重新建立起来，避免影响到公司的整体网络。NX3-N2000A入侵防御系统及其专用软硬件功能参数如表3.4所示：表3.4入侵防御系统设备选型设备名称入侵防御系统产品型号绿盟NX3-N2000A硬件管理功能支持本地和分布式管理，在单台或小规模部署时，通过入侵防御系统内置的Web界面进行图形化管理；在大规模或多种安全设备同时部署的情况下，可通过绿盟安全中心——ESPC进行统一监控、分析与策略管理软件功能描述绿盟入侵防御系统需要串联部署在网络的关键路径上，对经过的数据流进行深度分析，能够及时精确地识别、阻断或限制黑客、蠕虫、病毒、木马、DoS/DDoS、扫描、间谍软件、协议异常、网络钓鱼、P2P、IM、网游等网络攻击或网络滥用，还具有实用的带宽管理和URL过滤功能，可提供最全面的深度防御接口类型固定业务口：4×10/100/1000M以太网电口扩展业务口：4×10/100/1000M以太网电口或4×1000MSFP光口管理接口：2×10/100M以太网电口;1个配置口(CON);2个USB口额定功率120W（二）堡垒机在企业的整个系统中，要对所涉及到的开关、网络设备、服务器等进行管理，所涉及到的主要是各运行单位。以及人员协定：要塞的管理者可以设定关于部门，角色和责任的准则。并提供了各种登陆方法，如网络登陆和终端机登陆两种。在进行了全面的试验之后，我们选择了绿盟公司的SAS-H系列转换器，软硬件具体功能参数见表3.5：表3.5堡垒机设备选型设备名称堡垒机产品型号绿盟SAS-HSeries硬件管理功能支持本地和分布式管理，在单台或小规模部署时，通过堡垒机内置的Web界面进行图形化管理或者通过终端软件如SecureCRT、Xshell登录；在大规模或多种安全设备同时部署的情况下，可通过绿盟安全中心——ESPC进行统一监控、分析与策略管理软件功能描述可管理设备数量：500个；支持部门分级，角色分权以及多部门之间设备资源的交叉管理接口类型固定业务口：4×10/100/1000M以太网电口管理接口:1×10/100M以太网电口;1个配置口(CON);2个USB口额定功率120W第3章网络升级的设计与实施3.1总体设计这一次的网路更新一定要提高主干网路的效能。一个备用的机构，其配置了一个备用的装置，并与下属的部分相连。这家公司的状况更为复杂。而虚拟局域网之间的隔离则需要将虚拟局域网进行分区才能完成。升级后的网路，应具备支援各类高通讯强度及高通讯强度之能力。根据企业的实际需求及发展情况。本工程的整体设计目的是：(1)装备升级：更换装备，包括2个主要的交换机，1个服务器汇聚交换机，27个汇聚交换机，将原来的千兆网升级到10G的源网，解决了老化，拆卸，退出等问题；解决设备失效率问题，减少系统维修费用。(2)向总厂输出的主设备进行备份：以达到对内部控制的需求。满足总部通讯，网络视频会议及其它一些新的资讯系统对网络通讯品质及稳定的需求。电讯教育咨询(3)为装置提供了备份。服务端与网络端的整合：在服务端完成设备与网络的整合。而与主机端装置直接相连的伺服器则转换为伺服器整合装置。并且做了很好的防护。3.1.1网络逻辑架构根据企业网络现状，结合当前需求与后续扩展进行研究分析，改造后的网络逻辑架构将包含九个部分，如图4.1所示：图4.1改造后逻辑拓扑(1)终端机（terminallayer)：包括多种终端机。与诸如台式电脑，手提电脑，打印机之类的网络相连；传真机，IP电话，视频会议等.以及探测装置(2)访问层：在网络访问层中，以两级开关为主体，对在不同的物理地点上的终端进行联接。在家用网中，诸如工业用的台式计算机等特定的终端装置，要求增加WLAN-AP等网络访问装置。(3)收集层：收集层将大量的终端用于收集层的收集层。接着，对主要层进行访问，增加对主要层的访问的终端数目。在主干收集层，也是为各部门和分公司的用户提供三个层次的主要网关。作为边缘设备，L2/L3用户管理，安全管理，以及QoS计划，为用户和企业提供了一个重要的组成部分。(4)核心网络：核心网络中的核心网络，其任务是实现公司主干网络中的信息高速传送。而不需要某些业务时，为用户提供可靠的数据流架构，以达到较高的带宽使用效率，以及对错误的迅速收敛性，是目前核心网研究的重点和难点。(5)内部网络和外部网络的界限：内部网络和外部网络的界限被用来使企业的LAN与Internet相连。一个局域网的使用者可以透过网路通讯埠与公用网路连结，存取网路资源。而诸如远程办公室，合作伙伴，客户以及开发人员等的外界使用者也可以经由VPN存取企业内部网路。(6)DMZ区域：向外部世界配置我公司自带的伺服器，例如B公司网站的主页，移动办公，论坛等。3.1.2总体拓扑架构对应逻辑架构，改造后的企业主干网络的物理架构如图4.2所示：图4.2改造后网络拓扑该组网结构具有如下特点：(1)一种星形拓扑，其中主要装置是一个中央结点。为将来的扩充与维持提供了可靠的网络结构。(2)在该网络体系中，每个工作部分都有各自的责任和任务。其受到的内调节范围很少。而且，当有一个问题发生的时候，也很好找出来。(3)双重硬件备份，主要是对主干设备进行联接，利用链接聚集技术实现主干设备联接，以确保系统的可靠运行。(4)对IP网中的多种业务以及对终端进行全面的通信的访问。3.2分层规划3.2.1核心层规划在此基础上，提出了一种基于虚拟现实技术的虚拟虚拟现实技术。将各个区域的网络连接起来。一个企业的内网应当提供并汇集了内外交通。而在DesignCentral的高可用和高安全性的设计中，则需要高带宽，高吞吐量，高可靠度。高效的转送功能，如：支持企业内外的各种通信。主干网络是一个完全连通的架构，所以它的装置设置应该尽量简化。在网络中，主要通过两种方法对网络中的装置进行保护并保证网络的安全性：(1)装置后备：在装置发生失效时，可防止因装置失效而导致的严重的网路失效。为了保证每一个地点的安全，必须有两套备用装置。并采用了一套控制系统与一套控制系统。同时，为保证高可靠性，设计了一种双重备份的供电方式。(2)联接防护：由两套8根特殊的干线组成的两套主控开关，确保联接的联接是完整的。3.2.2汇聚层规划其中，中心网络中的收集层起着关键作用。这是每一个部门，每一个部门的中心。和“横向”的通信在各行业的使用者中传递。同时，它也将“垂直”的通信传递到了父层。L2/L3的约束层起到了边界效应，L2/L3的父级对访问层的隐蔽性较强。在网络体系结构中，这是一个分散的框架。增加与主要装置相连的使用者数目。在不同的部门，分支机构和企业的核心层次上，有很多的主干终端可以确保网络传输的品质。汇聚层对传输性能提出了更高的要求。较高的带宽与较高的港口密度随着网络的改变，核心层面所采用的设备与服务器的整合将会成为整个工程的一大投入。在系统整合层面上实现了可靠与经济的同步。所以，我们选择了为每一个整合层结点上的器件。这个装置有两个主要的控制板，通过10Gb的线路和两个插座与网络相连。作为一个主要的交换机，确定他已经被传送出去了。施工效率高、稳定性好，节约了项目资金。3.3网络虚拟化规划应用了已有的分公司布点方案及工业子系统进行了网络化设计。在此核心网络的设计中，已逐步暴露出一些缺点，例如：在收集层与父节点之间进行冗余度的设计，能够有效地改善系统的可靠性。这也使得网路的拓朴与装置的连通性变得更加复杂。二结点的冗余度构造成一个树型的回路。为了防止回圈，你需要对虚拟路由进行一些配置，比如生成树、备份等。随着服务体系的迅速发展，网络覆盖的面积越来越大。该系统的通信规则十分复杂。这会提高出现软件故障的危险。针对以上问题，提出了将虚拟网技术与企业主干网相结合的方案。一个对两个开关的横向虚拟化，它能够实现一个簇的功能，并且与其他开关在逻辑上进行整合。链接聚集技术提高了带宽和装置连接的冗余度（参见图4.3）。但是，这也导致了网络带宽的增大，并且带来了大量的冗余度。同时，也使网路的架构与组态变得简单。图4.3网络虚拟化目前，市面上众多的通信终端厂商已经提出了多种基于机群和堆叠技术的水平式网络虚拟技术，如：华为CSS,CSS2，思科VSS，华山IRF，以及EthintegratedTrunk（链接代理）等。下面的作用可以通过采用虚拟网技术来达到：(1)易于操作：在系统中，我们先使用了装置的成包技术和层压技术。本发明能够有效地降低所需对所述网络装置的节点数目。二是它不需要像STP/SmartLink/VRRP那样的复杂的通信协议的任何一种。而与之相对应的树状结构将会更加方便地组成一个十分精密的网络体系结构。利用链接融合技术，将两种实体链接融合成一种逻辑链接。这样就可以避开周期了(2)构造简便，可形成无环、树型、辐射型的网络结构。而且，通过这个网络，消息的流向也会变得很清楚。这使得运行和维修变得简单。接着，扩大了公司的经营范围。该装置的提升和降低都不会影响整个系统的逻辑架构。该方法对各网络层次的通信协议没有任何影响。(3)误差快速收敛：该方法解决了一般的算法较慢的收敛性和在复杂的网络中存在的不稳定的问题。若能将失效的链路收敛率控制在10ms以下，则可大幅减少链路连通/结点失效带来的数据损失。

第4章结论本文从企业电脑网路之保安制度之角度，分析了目前企业电脑网路保安制度之发展与发展趋势，提出了企业电脑网路保安制度之概念。通过对虚拟私有网技术及其它技术手段的分析，确定一种科学可靠的防护措施。网络安全性的动态优化方案具有一定的借鉴意义。构造典型的电脑网路与网路安全之最佳化方案。这篇文章是关于公司网路的更新及安全性加强的一篇文章。并能为客户提供可靠的产品设计及解决方法。构建一个有效的、安全的、有保障的、有很强的可伸缩性和实用性。同时，运用了一些比较成熟的技术，采取了一些行之有效的措施来保证公司的计算机网络的正常运转。并能根据将来的需求和改变做出相应的调整。论文首先对企业的网络结构进行了详尽的分析。同时参考大量的德国、国外文献，以更好的理解企业的网路状况，以及网路安全的发展方向。同时也包含了核心网的结构，设备，以及连接。并对内外防护进行改善。首先，明确了两个层次的安保需求，即：“监管”和“强化”。为了实现中小型企业的网络搭建，需要按照以下步骤进行局域网的配置和实现：1.选择适合的网络设备：包括交换机、路由器和网关等设备，以满足企业的网络需求。2.为企业内部配置私有IP地址段：对于中小型企业，一般可按照RFC1918范围内的IP地址段进行划分和分配。4.配置VLAN：可以根据企业内不同的部门或功能性质，设计不同的VLAN划分和配置。5.设置ACL和安全策略：可以通过设置ACL、ARP保护等安全策略来进行数据包过滤和网络访问控制，保障企业网络的安全性。6.配置链路聚合和QoS：可以通过配置链路聚合和QoS等功能来提高企业网络的带宽利用率和性能表现。综上所述，对于中小型企业来说，网络搭建的关键在于选择适合的网络设备、合理划分和配置局域网、设置安全策略以及提高网络性能和可靠性。参考文献[1]吴国城,左文涛.浅析中小企业网络规划方案设计——以广州园心园林景观设计有限公司为例[J].电脑知识与技术,2020,16(08):282-283.[2]GuanshuangJiang,QiWang,KeWang,QianyuZhang,JianZhou.ANovelClosed-LoopSupplyChainNetworkDesignConsideringEnterpris