《网络安全课程设计(某中小企业网络规划与设计).docx》由会员分享,可在线阅读,更多相关《网络安全课程设计(某中小企业网络规划与设计).docx(13页珍藏版)》请在三一办公上搜索。
1、成绩 徐州工程学院综 合 训 练 报 告 课 程 名 称 计算机网络综合训练 专 业 计算机科学与技术 班 级 学 生 姓 名 学 号 设 计 题 目 某中小企业网络规划和设计指 导 教 师 设计起止时间:2009 年12月7日至 2009年 12月25日 某中小企业网络规划和设计一 需求分析随着经济的飞速发展和社会信息化建设的大力推进,网络平台已经成为企业进行业务拓展、经营管理和进行形象宣传的一个独特的窗口。建立企业网络,早已不再是为了赶潮流或是博取好听的名声,而是把网络技术同企业管理体系、工作流程和商务运作等紧密地联系在了一起,充分利用互联网不受时空限制的信息平台,建立最直接、丰富、快捷的
2、商务沟通平台和管理平台,从而搭建高效的经营管理机制和商务运作平台。1.1企业对信息的需求全球信息网的出现和信息化社会的来临,使得社会的生产方式发生深刻的变化。面对着激烈的市场竞争,公司对信息的收集、传输、加工、存贮、查询以及预测决策等工作量越来越大,原来的电脑只是停留在单机工作的模式,各科室间的数据不能实现共享,致使工作效率大大下降,纯粹手工管理方式和手段已不能适应需求,这将严重妨碍公司的生存和发展。1. 2 对企业经营的影响它正全方位地改变企业的经营方式:企业可以进行网上广告宣传,可以及时获取重要的有关市场信息和企业间的竞争情报,还可利用网络的电子邮件功能和有业务往来的客户进行方便、快捷的远
3、程通信。另外,企业还可在网上进行人才招聘,通过上网招聘可以引进更优秀的人才。企业通过把因特网技术引进企业内部,建立企业内部管理信息系统(局域网),这样的局域网既具有因特网的功能,又为企业全部拥有。1. 3 从企业管理和业务发展的角度出发通过网络对网络资源的共用来改善企业内部和企业与客户之间的信息交流方式,满足业务部门对信息存储、检索、处理和共享需求,使企业能迅速掌握瞬息万变的市场行情,使企业信息更有效地发挥效力;提高办公自动化水平,提高工作效率,降低管理成本,提高企业在市场上的竞争力;通过对每项业务的跟踪,企业管理者可以了解业务进展情况,掌握第一手资料,及时掌握市场动态,为企业提供投资导向信息
4、,为领导决策提供数据支持;通过企业内部网建立,企业各业务部门可以有更方便的交流沟通,管理者可随时了解每一位员工的情况,并加强对企业人力资源合理调度,切实做到系统的集成化设计,使原有的设备、投资得到有效利用。二 客户的需求某公司部门,由于网络规模不断扩大,信息流量逐渐加大,人员管理变得日益复杂,给企业网的安全、稳定和高效运行带来新的隐患,为了消除这些隐患,公司需要使用以太网交换机来构建内部局域网,而在办公区域有多个业务部门员工。要求同一部门之间能够互相通信,某些部门之间可以互相通信,而某些不同部门之间不能通信,因此需要在局域网中为每个部门划分VLAN,将同部门所用计算机划分在同一个VLAN内,而
5、不同部门所用计算机在不同的VLAN,从而实现不同部门之间的隔离。划分VLAN之后是为了实现各VLAN之间的三层以上的互通,还需要在三层交换机上配置VLAN接口以实现VLAN之间的互通(即VLAN Routing) 。而为了保证信息安全以及权限控制,可以在整个网络的出口或入口上通过配置引用ACL访问控制列表来实现。三 中小型网络的发展情况在国内行业信息化快速推进之时,中小网络作为网络化建设的一支主体力量,其市场前景得到越来越多的关注。由于我国中小网络市场尚处于培育发展阶段,所以中小网络还停留在物理型的网络水平上。但随着网络应用越来越复杂,物理型网络建设与应用暴露出越来越多的问题,物理型网络的局限
6、与日益丰富的应用需求形成尖锐的矛盾,具体而言表现在以下几个方面:(1)物理型网络只能实现信息共享,但不能保证安全。对于中小企业办公局域网而言,由于以前的网络是封闭的,主要是用做网络资源共享,因而比较容易保护其安全性,简单的非网管交换设备就可以承担其任务。而现在,中小企业不约而同地在建立企业经营信息管理系统,这些系统提供信息是企业核心的机密之一。为保证这些重要信息,很多企业借助于操作系统和数据库口令机制。但由于这些方法无法真正保证安全,会经常发生由于信息泄露或丢失直接造成重要客户流失、重大项目丢单等巨大损失。同时,由于无法跟踪每个员工究竟使用哪些信息,事先无法做到有效的威慑和防范;而就算事后通过
7、其它途径得知时,往往没有证据而无法举证。这严重地影响了企业的正常运营。(2)物理型网络非常容易受到广播风暴的侵袭,造成网络拥堵,降低网络性能。目前,网络内部数据交流也越来越频繁,如工作信息共享、内部即时通讯、内部邮件系统等,这往往需要使用广播报文完成查询对方地址等功能。但是这些应用程序也可能因故障错误而发送过量的广播报文;同时,由于网卡故障、病毒发作、交换机故障或交换机产生环路等原因,都可能产生大量的广播报文。事实上,在局域网中广播的存在是合理的,但过多的广播就会形成广播风暴,造成网络中大量数据流的碰撞,拥堵会随之出现,严重时会导致网络崩溃。 (3)还有一些应用使得物理型网络与新需求的矛盾更加
8、激化。互联网是获取信息、对外联系、提高工作的重要途径,但是一些企业经常发生员工上班炒股等不良行为。为提高网络服务质量,提高发现计算机设备运行问题,必须对重要服务CPU利用率、硬盘运行情况和网卡流量统计等信息实施监控;同时,由于网络应用复杂,需要通过统一的管理平台对互联网使用情况、不同交换机和路由器等设备运行情况进行监控。 中小网络中应用越来越复杂,这使得网络传输状况变得拥挤不堪,越来越多的用户意识到物理型网络的智能升级的必要性,因此如何提高网络的可管理性和安全性是企业迫在眉睫的重要课题。面对实现功能上的瓶劲,物理型网络与日益复杂的新应用需求产生了尖锐的矛盾,而新应用与新需求的出现与普及使得这样
9、的矛盾进一步激化,中小网络以更强烈的声音呼唤着可管理的应用型网络出现。对于中小网络而言根据不同部门划分不同的虚拟子网(VLAN),进行限制性的访问,而且记录重要信息的访问过程,是保证网络安全最为有效的方法。而且通过配置某个VLAN的广播风暴抑制比,对网络中广播流量进行监控,设置每秒中允许广播的广播包数,当流量的带宽超过这个配置的限度时,过滤该VLAN上超出的流量,有效保证网络业务的正常运行。采用网络管理系统进行远程的监控、管理和配置,有助于及时发现和解决问题,从而降低管理的复杂性,提高管理效率。四 网络规划设计 4.1 中小型企业网的主要功能 中小型企业网络主要实现有以下几个方面的功能:(1)
10、 资源共享功能。网络内的各个桌面用户可共享数据库、共享打印机,实现办公自动化系统中的各项功能。(2) 通信服务功能。最终用户通过广域网连接可以收发电子邮件、实现Web应用、接入互联网、进行安全的广域网访问。(3) 多媒体功能。支持多媒体组播,具有卓越的服务质量保证功能。(4) 远程VPN拨入访问功能。系统支持远程PPTP接入,外地员工可利用INTERNET远程访问公司资源。 4.2 中小型企业网设计原则 (1)实用性和经济性。系统建设应始终贯彻面向应用,注重实效的方针,坚持实用、经济的原则,建设企业的网络系统。 (2)先进性和成熟性。系统设计既要采用先进的概念、技术和方法,又要注意结构、设备、
11、工具的相对成熟。不但能反映当今的先进水平,而且具有发展潜力,能保证在未来若干年内企业网络仍占领先地位。 (3) 可靠性和稳定性。在考虑技术先进性和开放性的同时,还应从系统结构、技术措施、设备性能、系统管理、厂商技术支持及维修能力等方面着手,确保系统运行的可靠性和稳定性,达到最大的平均无故障时间,TP-LINK网络作为国内知名品牌,网络领导厂商,其产品的可靠性和稳定性是一流的。 (4) 安全性和保密性。在系统设计中,既考虑信息资源的充分共享,更要注意信息的保护和隔离,因此系统应分别针对不同的应用和不同的网络通信环境,采取不同的措施,包括系统安全机制、数据存取的权限控制等,TP-LINK网络充分考
12、虑安全性,针对小型企业的各种应用,有多种的保护机制,如划分VLAN、MAC地址绑定、802.1x、802.1d等。 (5) 可扩展性和易维护性。为了适应系统变化的要求,必须充分考虑以最简便的方法、最低的投资,实现系统的扩展和维护,采用可网管产品,降低了人力资源的费用,提高网络的易用性。 4.3中小型企业网的设计为了满足中小型企业的需求及长远利益,中小型企业网络系统设备应依据上述网络设计原则进行选型,在网络设备方面选用国内领先的网络互联厂商TP-LINK的产品,其产品与服务通过智能、安全及可靠的网络将信息设备连为一体,具有很好的可靠性和稳定性。TP-LINK的高性能、功能全面的千兆网络产品解决方
13、案,利用千兆以太网技术建网,网络中心交换机选用TP-LINK多功能千兆网管型交换机TL-SL3226P,背板带宽达8.8G,完全满足中小型企业内办公和其他应用的需要。在TL-SL3226P下方可根据实际情况级联智能型或基本型交换机,来满足不同的中小型企业网用户的不同需要,另外考虑到企业内部存在不方便布线地点或移动性很强的用户接入问题,在某些特定的区域设计了无线信号覆盖,通过TL-WA200无线接入点和TP-LINK系列无线网卡,以11M的带宽高速连上企业网。整个企业网通过TP-LINK宽带路由器TL-R460实现与INTERNET的连接,该产品支持各种常见接入方式,并能支持局域网上网权限限制。
14、 由TP-LINK产品组成的中小型企业网,主要使用以下几个方面的技术:(1) 带宽聚合技术:在两台交换机间提供链路的聚合,提供并行带宽,将多条物理上的连接组成一条逻辑通路(Trunk)。主要功能包括成倍增加带宽和为线路冗余提供可靠性。实现核心网络连接的线路冗余和平衡负载。 (2)灵活的带宽控制技术:以64K为单位,对每个端口的输入和输出带宽根据实际需求进行灵活的控制,达到不让某一台或一组工作站占用网络过多带宽的目的。 (3)采用TP-LINK的MAC地址限制技术:最大可以设置256个MAC地址绑定,实现网络PORT接入的安全保护,同时酌情采用802.1X技术,实现对用户接入的访问控制,进一步提
15、高网络安全性。(4)支持VLAN的划分:基于端口VLAN和支持跨交换机802.1Q 的VLAN,增强网络的灵活性,提高网络安全,控制广播风暴。(5) 支持无线WEP加密技术:对于无线产品的安全性有较好的保障,支持WEP 256位的加密,很大程度上杜绝了非法用户在无线覆盖区域内的接入。五 网络拓扑图按组网规则,规划网络要规划到未来的三到五年。并且在未来,公司的电脑会不断增加。比较环形、星形、总线形三种基本拓扑结构,星形连接在将用户接入网络时具有更大的灵活性。当系统不断发展或系统发生重大变化时,这种优点将变得更加突出,所以选择星形网络最好。(1)初步整体网络设计拓扑结构如下页所示:(2)实际的具体
16、的设计拓扑图如下六 企业vlan的设计6.1 vlan的划分和地址的分配经理办子网(vlan2): 192.168.1.0 子网掩码: 255.255.255.0 网关:192.168.1.1生产子网(vlan3):192.168.2.0 子网掩码: 255.255.255.0 网关:192.168.2.1市场子网(vlan4):192.168.3.0 子网掩码: 255.255.255.0 网关:192.168.3.1 财务子网(vlan5):192.168.4.0 子网掩码: 255.255.255.0 网关:192.168.4.1 资源子网(vlan6):192.168.5.0 子网掩码
17、: 255.255.255.0 网关:192.168.5.16.2 访问权限控制策略(1)经理办VLAN2可以访问其余所有VLAN。(2)财务VLAN5可以访问生产VLAN3、市场VLAN4、资源VLAN6,不可以访问经理办VLAN2。(3)市场VLAN4、生产VLAN3、资源VLAN6都不能访问经理办VLAN2、财务VLAN5。(4)生产VLAN4和销售VLAN3可以互访。6.3 具体设备的配置 步骤一:在三层交换机S1上划分vlan,并向vlan中添加端口。S1#configure terminalS1(config)#vlan 2S1(config-vlan)#name vlan2S1(
18、config-vlan)#exitS1(config)#vlan 3S1(config-vlan)#name vlan3S1(config-vlan)#exit1(config)#vlan 4S1(config-vlan)#name vlan4S1(config-vlan)#exit1(config)#vlan 5S1(config-vlan)#name vlan5S1(config-vlan)#exitS1(config)#vlan 6S1(config-vlan)#name vlan6S1(config-vlan)#exitS1(config)#int f0/1S1(congig-if)#
19、switchport access vlan 2S1(config-vlan)#exitS1(config)#int f0/2S1(congig-if)#switchport access vlan 3 S1(config-vlan)#exitS1(config)#int f0/3S1(congig-if)#switchport access vlan 4S1(config-vlan)#exitS1(config)#int f0/4S1(congig-if)#switchport access vlan 5S1(config-vlan)#exitS1(config)#int f0/5S1(co
20、ngig-if)#switchport access vlan 6步骤二:给vlan分配IP地址,此时vlan作“虚接口”处理。S1(config)#interface vlan 2S1(config-if)#ipaddress 192.168.1.1 255.255.255.0S1(config-if)#no shutS1(config)#interface vlan 3S1(config-if)#ipaddress 192.168.2.1 255.255.255.0S1(config-if)#no shutS1(config)#interface vlan 4S1(config-if)#i
21、paddress 192.168.3.1 255.255.255.0S1(config-if)#no shutS1(config)#interface vlan 5S1(config-if)#ipaddress 192.168.4.1 255.255.255.0S1(config-if)#no shutS1(config)#interface vlan 6S1(config-if)#ipaddress 192.168.5.1 255.255.255.0S1(config-if)#no shut步骤三:配置三层交换机和二层交换机之间的trunk口例如:三层交换机S1和总经理办子网处的二层交换机S
22、2之间的配置S1(config)#int f0/1S1(config-if)#switchport mode trunkS2 (config)#int f0/1S2 (config-if)#switchport mode trunk同理配置三层交换机S1与其他4台二层交换机之间的trunk口的配置。步骤四:完成三层交换机S1和路由器R1上的路由配置S1(config)# ip route 0.0.0.0 0.0.0.0 192.168.10.1R1(config)#ip route 0.0.0.0 0.0.0.0 192.168.0.0步骤五:在三层换机上实现访问控制配置S1(config)#
23、access-list 101 permit ip 192.168.1.0 0.0.0.255 anyS1(config)#access-list 101 deny ip any 192.168.1.0 0.0.0.255S1(config)#access-list 101 deny ip any 192.168.4.0 0.0.0.255S1(config)#access-list 101 permit ip any any七 系统测试与评价7.1系统测试配置生效后,经理办VLAN2中的PC分别ping网络中的其它PC,都可以ping通,反之则不能。在实际应用中,公司权限最高的经理办可以访问
24、其余所有部门子网,并且不被其余所有子网访问,保证了公司经理办对整个企业的集中管理和信息安全。 生产子网、市场子网、资源子网中的PC分别ping财务子网中的PC,都ping不通,只有经理办VLAN2中PC 可以ping通财务子网中的PC。在实际应用中,保证了公司权限仅次于经理办的财务部对经理办以外的其它部门的管理与财务信息安全。生产子网、市场子网、资源子网中的任意两台PC都可以相互ping通。7.2 系统评价(1)信息共享 。做到了信息统一存放、统一管理、各个业务共享。减少重复录入、避免信息不一致,提高工作效率。(2)系统维护功能强 。可以方便地设置、添加和随时调整各管理部门的相关业务处理,机构
25、的变化,方便地设置各部门、人员的管理权限和业务处理权限增强了系统的通用性和灵活性。(3)提高竞争能力。信息化浪潮风起云涌的今天,企业内部网络的建设已经成为提升企业核心竞争力的关键因素。企业网已经越来越多地被人们提到,利用网络技术,现代企业可以在供应商、客户、合作伙伴、员工之间实现优化的信息沟通。这直接关系到企业能否获得关键的竞争优势。近年来越来越多的企业都在加快构建自身的信息网络,而其中绝大多数都是中小企业。目前我国企业尤其是中小企业网络建设正在如火如荼地开展着,据IDC预测:在下个5年中,中小企业的网络建设将以每年15%的速度增长。八 课程设计总结通过这次课程设计,使我认识到企业网络建设是一
26、项涉及面广、技术复杂、周期比较长的系统工程。它既是建设一个集计算机网络技术与各类信息的收集、传递、处理、加工为一体的信息枢纽中心,又是一项为企业的生产、经营、产品开发及领导决策服务的综合工程。 这次课程设计,加强了自己掌握和理解计算机网络理论原理的能力,培养了自己的实际动手能力与综合设计能力,并提高了自己的技术素质。基本达到了了解计算机网络规划和实施的一般任务,明确了计算机网络设计与组建的基本原则,掌握了计算机网络需求分析的任务、目标和网络设计的通用方法,加深了对网络协议体系、局域网技术、网络互联技术与网络应用服务等理论知识的理解。在这次课程设计中,通过查找相关书籍和相关资料,使得自己增长了不少相关知识。也充分认识到自己相关网络知识的缺乏,使得这次课程设计步步为艰,设计出的方案比较粗糙。参考文献 1 韩正波.用VLAN构建企业网的分析与设计J 武汉软件导刊,2006,(8) 2 张海琦大庆师范学院校园网VLAN设计J 大庆师范学院学报,2006(4) 3 华为3Com技术有限公司路由交换基础实验手册 4 李树仁,蒋同海企业网络系统的设计与实施方案J 计算机系统应用,1999 (9) :50-52 5 谢希仁 计算机网络M.电子工业出版社2007 指导教师签字: 年 月 日13
