典型企業級基礎網絡的整體邏輯架構可分爲核心網絡區(qū)、數據中心區(qū)、DMZ區(qū)、出口互聯區(qū)和(hé)運維管理(lǐ)區(qū)五部分,網絡系統集成是企業實現(xiàn)無紙(zhǐ)化辦公和(hé)即時(shí)通訊辦公的基礎建設,在以生産效率爲核心競争力的市場中,企業想要快(kuài)速獲取信息并有效提高(gāo)企業工(gōng)作(zuò)效率及業務能(néng)力,企業網絡系統集成是必不可少的。
雲計(jì)算(suàn)、物聯網和(hé)多媒體業務的應用(yòng)使企業網的網絡環境、用(yòng)戶模型、業務模型都發生了(le)巨大(dà)的變化,企業網絡由單純連接PC到(dào)PC,轉變成人與人、人與物、物與物(M2M)的連接,網元數量激增,覆蓋到(dào)每一個角落,成爲一個全面的信息感知(zhī)體,用(yòng)戶對(duì)企業網絡的移動性、安全性、業務質量等方面也(yě)有了(le)更高(gāo)的要求。
滿足:企業内密集型用(yòng)戶和(hé)終端接入,WLAN移動辦公,IP語音(yīn)、視(shì)訊會(huì)議(yì)和(hé)視(shì)頻監控等多媒體業務的承載,企業外(wài)部用(yòng)戶的互聯訪問,全方位網絡安全保障等a.實用(yòng)性。以用(yòng)戶使用(yòng)爲宗旨,需注重其實用(yòng)性,以适應用(yòng)戶的使用(yòng)需求。b.安全性。方案中計(jì)算(suàn)機網絡系統應以安全爲主導.c.可靠性。需确保系統短期内能(néng)适應用(yòng)戶需求,爲檢修人員争取時(shí)間,提升網絡系統的可靠性。d.可擴展性。具有良好(hǎo)的可擴展性,便于未來(lái)更新與擴展,以适應信息網絡發展及用(yòng)戶需求。
1. 層次化設計(jì):核心層、彙聚層、接入層,每層功能(néng)清晰,架構穩定,易于擴展和(hé)易于維護。2. 模塊化設計(jì):每一個模塊一個部門(mén),部門(mén)内部調整涉及範圍小(xiǎo),定位問題也(yě)容易。3. 冗餘性設計(jì):雙節點冗餘性設計(jì),适當的冗餘性提高(gāo)可靠性,過度的冗餘不便于運行維護。采用(yòng)總線和(hé)星型結構,根據企業部門(mén)劃分多個VLAN網段,并對(duì)應IP号段。同時(shí)爲企業搭建服務器,WEB服務器提供網絡資源訪問,FTP服務器提供信息及數據的傳輸。
建立多号段IP進行管理(lǐ),如192.168.10.0/24、192.168.20.0/24、192.168.30.0/24、192.168.40.0/24。分别設置不同網段VLAN10,VLAN20,VLAN30,VLAN40這(zhè)一部分是系統設計(jì)的中心環節,目前的結構基本上(shàng)都是總線結構與星形結構結合起來(lái)的典型結構,這(zhè)樣的結構可以說是當前組網的通用(yòng)形式,它具有結構簡單、可靠性高(gāo)、系統穩定性好(hǎo) 的特點。包含基本的路由器,交換機和(hé)網線
可利用(yòng)VLAN技術劃分出無線用(yòng)戶使用(yòng)區(qū),并對(duì)無線AP配置SSID。不同用(yòng)戶使用(yòng)不同認證方式,比如員工(gōng)可以使用(yòng)工(gōng)号加密碼的認證方式,訪客可以使用(yòng)主頁推送的認證方式,可以浏覽到(dào)公司的網頁信息。
随着互聯網技術的進步,網站(zhàn)已經逐漸成爲一個企業形象的象征.以Windows系統搭建WEB服務器,采用(yòng)IIS信息服務進行管理(lǐ)與維護,搭建步驟:打開(kāi)IIS管理(lǐ)器,找到(dào)側欄“網站(zhàn)”選項右鍵“新建網站(zhàn)”,之後根據創建向導完成搭建。FTP服務器是爲企業數據上(shàng)傳和(hé)下(xià)載的網絡空(kōng)間,在FTP服務器上(shàng)企業員工(gōng)可以将個人的工(gōng)作(zuò)文(wén)件上(shàng)傳到(dào)服務器上(shàng)進行共享。NAS網絡存儲服務器是一款特殊設計(jì)的文(wén)件存儲和(hé)備份的服務器,它能(néng)夠将網絡中的數據資料合理(lǐ)有效、安全地管理(lǐ)起來(lái),并且可以作(zuò)爲備份設備将數據庫和(hé)其它的應用(yòng)數據時(shí)時(shí)自(zì)動備份到(dào)NAS上(shàng)。
1).整齊美(měi)觀,易于管理(lǐ)和(hé)維護;3).網絡設備可實現(xiàn)零冗餘,充分發揮系統設備的速度;實施辦法:核心設備安裝在一個大(dà)型的立式标準機櫃中,通過綜合布線系統方便對(duì)網絡設備的統一管理(lǐ)。同時(shí)采用(yòng)空(kōng)調、UPS電源、配電箱、全鋼防靜電地闆等設備,解決防雷通風(fēng)問題和(hé)靜電問題。
某企業需要組建一個安全、穩定、高(gāo)效的辦公網絡環境,企業的詳細需求方案如下(xià):1. 企業從(cóng)電信、聯通各辦理(lǐ)100M的光纖寬帶,聯通線路的寬帶接入方式爲PPPoE撥号,電信線路的寬帶接入方式爲靜态IP地址;要求實現(xiàn)"電信走電信,聯通走聯通".2. 企業内部有研發、市場、人事(shì)三個部門(mén),研發部又分爲軟件、硬件、測試三個小(xiǎo)部門(mén);企業爲信息安全考慮,要求各部門(mén)使用(yòng)不同的網段,并且不允許相互訪問;市場部、人事(shì)部可全天候訪問外(wài)網,研發部隻能(néng)在非工(gōng)作(zuò)時(shí)間訪問外(wài)網;企業有兩個服務器群,WEB服務器位于廣域網區(qū)(DMZ區(qū)),對(duì)廣域網、市場部、人事(shì)部全天候開(kāi)放(fàng);FTP服務器位于工(gōng)作(zuò)區(qū),僅對(duì)企業内部員工(gōng)開(kāi)放(fàng);企業要求需要防範來(lái)自(zì)企業内部的ARP欺騙、DOS等常見攻擊,并禁止企業員工(gōng)使用(yòng)P2P類軟件、金(jīn)融類軟件、視(shì)頻類軟件、遊戲類軟件。3. 爲方便各地辦事(shì)處、分公司安全的将業務數據實時(shí)傳輸到(dào)總部服務器,各地辦事(shì)處、分公司需要與總部建立站(zhàn)點到(dào)站(zhàn)點的VPN隧道(dào);爲方便出差員工(gōng)安全的訪問總部服務器,需要建立PC到(dào)站(zhàn)點模式的VPN隧道(dào);4. 爲合理(lǐ)利用(yòng)帶寬資源,要求對(duì)各個部門(mén)所使用(yòng)的帶寬進行限制;5. 企業服務器中的WEB服務器(80端口),要求實現(xiàn)訪問不同WAN口映射到(dào)不同服務器;6.公司使用(yòng)兩個WIFI網絡,分别設置員工(gōng)網絡和(hé)訪客網絡,使用(yòng)不同的認證方式。現(xiàn)對(duì)該組網方案需求做分析和(hé)規劃:a. 根據該組網方案需求,企業内部可劃分爲7個區(qū)段,分别是電信寬帶區(qū)段、聯通寬帶區(qū)段、WEB服務器區(qū)段、FTP服務器區(qū)段、市場部門(mén)區(qū)段、人事(shì)部門(mén)區(qū)段、研發部門(mén)區(qū)段.b. 企業内部劃分爲7個網段,通過VLAN實現(xiàn)隔離,分别是DMZ區(qū)段網段爲192.168.10.0/24,Server區(qū)段網段爲192.168.20.0/24,市場部區(qū)段網段爲192.168.30.0/24,人事(shì)部區(qū)段網段爲192.168.40.0/24,研發區(qū)段有3個網段:研發軟件部門(mén)網段爲192.168.50.0/24,研發硬件部門(mén)網段爲192.168.60.0/24,研發測試部門(mén)網段爲192.168.70.0/24;c. 通過訪問策略實現(xiàn)區(qū)段之間、區(qū)段内各網段之間的訪問權限;d. 通過流量均衡實現(xiàn)"電信走電信、聯通走聯通"e. 通過ARP防護實現(xiàn)防範企業内部的ARP欺騙;通過攻擊防護實現(xiàn)防範DOS等常見攻擊;f. 通過應用(yòng)限制實現(xiàn)禁止企業員工(gōng)使用(yòng)P2P類軟件、金(jīn)融類軟件、視(shì)頻類軟件、遊戲類軟件;g. 各地辦事(shì)處、分公司與總部之間站(zhàn)點到(dào)站(zhàn)點的VPN通過建立IPSec隧道(dào)實現(xiàn),出差員工(gōng)使用(yòng)PC到(dào)站(zhàn)點的VPN通過開(kāi)啓PPTP/L2TP服務實現(xiàn);h. 通過帶寬控制實現(xiàn)合理(lǐ)利用(yòng)帶寬資源;i. 通過虛拟服務器實現(xiàn)訪問不同WAN口映射到(dào)不同服務器;j.網絡中啓用(yòng)兩個無線網絡名稱,分别用(yòng)于員工(gōng)(SSID:Office)和(hé)客人(SSID:Guest);辦公網絡與客人網絡之間不能(néng)互訪;辦公網絡通過MAC地址認證上(shàng)網,客人網絡通過Portal認證上(shàng)網。
