《网络工程中小型企业Intranet建设方案.ppt》由会员分享,可在线阅读,更多相关《网络工程中小型企业Intranet建设方案.ppt(20页珍藏版)》请在三一办公上搜索。
1、中小型企业 Intranet 建设方案,以如下化工企业为例:生产区(分为总厂,橡胶厂,化肥厂,动力厂),办公区,家属区。IP地址分配如下表所示:,起始IP地址从开始。要求:写出详细需求分析报告,逻辑设计报告(含VLAN划分,IP地址分配细节)及安全设计报告。,需求分析,一、背景需求说明 该公司是一家从事化工生产的企业,随着业务规模的不断扩展,传统的办公模式存在办公效率低下,资源浪费,经费居高不下的问题。企业领导决定在企业内部建设网络系统,推行网络自动化办公系统,提高公司整体办公效率,压缩办公经费,并最终提高公司效益。随着企业对网络要求的不断提高,网络系统必然随之不断扩大。因此,目前的网络设计必
2、须为今后的扩充留有一定的余地,以保护企业对网络设施的投资,保证今后三到五年的网络扩充升级能力。,二、业务需求分析,(1)公司的园区网应用包括文件共享服务、打印共享服务和财务管理等,实现的Intranet应用,主要面向OA,需要增加对外Web服务、E-mail服务等,还需要采购专门的OA办公软件,添置防火墙等安全设施。(2)OA系统应该提供的功能包括:信息公告、BBS讨论组、电子邮件群发、文件交换、短信息服务、资源管理、会议管理、考勤管理、办公物品管理、人事管理和通讯簿等服务。,三、管理需求分析,网络管理可以从以下几个方面着手解决:(1)保证数据的机密性;(2)保证访问的可控性:对关键网络、系统
3、和数据的访问必须得到有效的控制,这要求系统能够可靠确认访问者的身份,谨慎授权,并对任何访问进行跟踪记录;(3)保证网络操作的可管理性:对于网络安全系统应具备审计和日志功能,对相关重要的操作提供可靠而方便的可管理和维护功能。,四、安全性需求分析,(1)内部网络使用VLAN分段,隔离广播域,防止网络窃听和非授权的跨网段访问。(2)使用防火墙分割内部网和外部网,不允许外部用户访问内部 Web 服务器、财务数据和OA服务器等。(3)防病毒设置 为每台工作站和服务器安装单机版的防病毒软件,每台计算机定时地下载病毒码信息并进行更新。(4)对网络用户进行网络的安全教育,逻辑结构设计与地址分配,一、网络拓扑结
4、构,网络拓扑结构采用树形结构和分层设计思想,优点是能够准确定位网络需求,扩展性和升级性较好,便于网络管理。核心设备及主干网络采用1000Base-T技术,汇聚层设备及线路采用100Base-T技术,接入层设备采用10Base-T技术。10Mbit/s的桌面带宽足以满足企业当前的各种应用。由于考虑到业务生产流量的重要性,核心层和生产区之间的交换机使用全互连,实现冗余备份的功能,出口使用NAT代理技术实现内外网通信,使用DHCP自动分配IP地址。通常对服务器采用静态模式,而对普通工作站采用动态模式。,网络拓扑结构图,汇聚层,接入层,核心层,网络拓扑结构图(简化),企业有3台内网服务器和一台网管工作
5、站,访问 Web 服务器和财务数据库服务器是网络的主要流量。网络流量符合80/20规律,绝大部分流量需要在核心层,因此将服务器直接接入核心交换机。为了便于集中管理,管理工作站也放置在核心层,直接连入核心交换机的100Mbit/s端口。财务数据库相对于企业业务非常重要,集中存放在机房由管理员专人看管,大大降低了其被盗的可能性。Web 服务器经常要被局域网内的所有用户访问,不属于任何一个部门或网段,所以应该作为公共服务设备放在机房。,二、服务子网设计选择集中式设计的方法,总厂(信息点数量约250)起始IP地址:,子网号:,掩码地址:,CIDR地址:192.168.16.0/24,主机地址范围:19
6、2.168.16.1 192.168.16.254,VLAN号:Vlan 1,192.168.16.XXXXXXXX,虚拟局域网划分及地址分配方案,橡胶厂(信息点数量约150)起始IP地址:192.168.18.0,子网号:,掩码地址:,CIDR地址:192.168.18.0/24,主机地址范围:192.168.18.1 192.168.18.254,VLAN号:Vlan 2,192.168.18.XXXXXXXX,化肥厂(信息点数量约120)起始IP地址:,子网号:,掩码地址:,CIDR地址:192.168.19.0/25,主机地址范围:192.168.19.1 192.168.19.126
7、,VLAN号:Vlan 3,XXXXXXX,动力厂(信息点数量约80)起始IP地址:192.168.19.128,子网号:,掩码地址:,CIDR地址:192.168.19.0/25,主机地址范围:192.168.19.129 192.168.19.254,VLAN号:Vlan 4,192.168.19.1 XXXXXXX,动力厂(信息点数量约40)起始IP地址:,子网号:,掩码地址:,CIDR地址:192.168.20.0/26,主机地址范围:192.168.20.1 192.168.20.63,VLAN号:Vlan 5,192.168.20.00 XXXXXX,VLAN与IP地址分配如下表所
8、示:,网络安全设计,网络安全设计包括以下几个方面:,(1)VLAN设计为局域网提供了最大的安全性。各VLAN网段的主机被限定在本网络内部可以自由访问,跨虚拟网段的访问必须通过核心交换机路由,符合访问规则集的数据包才会被转发。(2)屏蔽路由器也对进出内部网络的所有信息进行分析,并按照一定的安全策略(信息过滤规则)对进出内部网络的信息进行限制。如可以在路由器中实现对内部网络在19:00-24:00屏蔽某些网络服务,也可以对某些特定的黑客、黄色、暴力网站进行屏蔽。,(3)通过防火墙隔离,在企业内部网(Intranet)与外界连接处实施网络访问控制。在Internet与企业内部网之间部署了防火墙,针对存取要求授予不同的权限,保证只有经授权许可的信息才能在客户机和服务器间流通。(4)在中心交换机上架设入侵检测系统,入侵检测能力是衡量一个防御体系是否完整有效的重要因素。许多情况下,由于可以记录和禁止网动,所以入侵监测系统是防火墙的延续。它们可以和防火墙和路由器配合作。(5)漏洞扫描系统。采用先进的漏洞扫描系统定期对工作站、服务器、交换机等进行安全检查,并根据检查结果向系统管理员提供详细可靠的安全性分析报告,为提高网络安全整体水平产生重要依据。要求每台主机系统必须正确配置,为操作系统打够补丁、保护好自己的密码、关闭不需要打开的端口。,Thank you,
