【文章內(nèi)容簡介】 結(jié)構(gòu)、技術(shù)及產(chǎn)品。信息接入點分布合理、靈活、充足并有擴展空間。 　　 穩(wěn)定、可靠的網(wǎng)絡系統(tǒng)：網(wǎng)絡中單點故障不會使局部網(wǎng)絡失去與整個網(wǎng)絡的連接，多點故障不會造成整個網(wǎng)絡被分成幾個互不相連的部分。網(wǎng)絡主干的傳輸介質(zhì)采用容錯冗余設計。 　　 注重經(jīng)濟實用性的網(wǎng)絡系統(tǒng)：根據(jù)目前的需求和可預見的需求增長情況設.9計網(wǎng)絡，不追求空洞的技術(shù)先進，避免追求高檔和最新技術(shù)花費巨大代價。 　　 易管理和易維護的網(wǎng)絡系統(tǒng)：全網(wǎng)可進行統(tǒng)一或分布管理，網(wǎng)絡維護簡單有效。 　　 高安全性的網(wǎng)絡系統(tǒng)：系統(tǒng)的各環(huán)節(jié)均必須具有良好的抗電磁干擾特性，整個系統(tǒng)與外界的防火墻功能包括防火墻技術(shù)、PPP 技術(shù)及地址轉(zhuǎn)換、硬件加密、備份中心、Callback 等技術(shù)。 綜合布線系統(tǒng)設計與實施一次到位；網(wǎng)絡系統(tǒng)一次規(guī)劃、分步實施，網(wǎng)絡設備先按開通率 30％配置，并具有方便擴展功能。 網(wǎng)絡及系統(tǒng)建設內(nèi)容及要求建設內(nèi)容：1．公司網(wǎng)絡的現(xiàn)在只適應于小型公司的發(fā)展，拓撲需要重新的規(guī)劃。2．在外出差的員工通過公網(wǎng)訪問內(nèi)部資源，安全性不高3. 公司內(nèi)部一臺三層交換掌控著所有的部門，如果一旦 down 則不能給全公司創(chuàng)造服務影響公司的正常運行4．總公司已經(jīng)建立了郵件系統(tǒng)、web 系統(tǒng)、erp 系統(tǒng)等應用系統(tǒng)，郵件系統(tǒng)、web 系統(tǒng)等對互聯(lián)網(wǎng)提供相應的服務，面臨著來自互聯(lián)網(wǎng)的各種威脅。要求：、采用結(jié)構(gòu)化網(wǎng)絡根據(jù)企業(yè)的需求，把網(wǎng)絡設計成有層次和有結(jié)構(gòu)的同一體，即結(jié)構(gòu)化網(wǎng)絡。(1)、網(wǎng)絡的層次和結(jié)構(gòu)依據(jù)企業(yè)的結(jié)構(gòu)性應用將網(wǎng)絡分為三個層次（以至企業(yè)級網(wǎng)絡，而且每個層次上網(wǎng)絡結(jié)構(gòu)化也是明確的，表現(xiàn)在每級的構(gòu)成的界限是明確的，是通過上一層次的網(wǎng)絡來完成的。這樣的網(wǎng)絡結(jié)構(gòu)性強，層次清晰，整個系統(tǒng)的運行和應用既有各自的相對獨立性，又具有合理的數(shù)據(jù)流向、有層次和有結(jié)構(gòu)的統(tǒng)一體。按照客戶/服務器的體系建立各層次的網(wǎng)絡應用。(2)、網(wǎng)絡的可伸縮性和虛擬化網(wǎng)絡的虛擬化對于解決網(wǎng)絡中用戶應隸屬于哪個小組級網(wǎng)絡、用戶應經(jīng)常訪問哪些資源等問題提供了靈活的方法，使得用戶所在的物理位置和邏輯位置可以相互獨立。在網(wǎng)絡的規(guī)模方面采用結(jié)構(gòu)化原則來實現(xiàn)網(wǎng)絡的可伸縮性，采用虛擬化原則來實現(xiàn)網(wǎng)絡的業(yè)務變化要求。.網(wǎng)絡架構(gòu)的綜合分析：(1)、考慮整個方案的安全性和穩(wěn)定性，可管理型和維護性以及能夠滿足未來網(wǎng)絡發(fā)展的需求。(2)、建立一個投資成本低、高寬帶，高可靠性，高安全性以及靈活可擴展性的 PPP 鏈路，消除地區(qū)差異，實現(xiàn)移動員工的網(wǎng)絡互聯(lián)及基于 inter 上內(nèi)部移動用戶的安全接入。(3)、實現(xiàn)公司電信、網(wǎng)通的雙出口的網(wǎng)絡提供線路負責均衡，同時為服務器開啟負載均衡功能，提高服務器的處理性能。(4)、建立 PPP 鏈路，采用認證方式（pap、chap、ppoe、ppoa、 、 、 ） 。這種鏈路提供全雙工操作，并按照順序傳遞數(shù)據(jù)包。設計目的主要是用來通過撥號或?qū)＞€方式建立點對點連接發(fā)送數(shù)據(jù)，使其成為各種主機、網(wǎng)橋和路由器之間簡單連接的一種共通的解決方案。 網(wǎng)絡設計原則作為一家優(yōu)秀的系統(tǒng)集成商，向用戶提供的不僅僅是設備，而是整套的技術(shù)與服務。我們將嚴格遵循以下設計原則：——對一個網(wǎng)絡要進行實際的研究(包括任務、性能、結(jié)構(gòu)、可靠性、可維護性等)，并對網(wǎng)絡面臨的威脅及可能承擔的風險進行定性與定量相結(jié)合的分析，然后制定規(guī)范和措施，確定系統(tǒng)的安全策略。并且安全措施能隨著網(wǎng)絡性能及安全需求的變化而變化，要容易適應、容易修改和升級。建立一個多重保護系統(tǒng)，各層保護相互補充，當一層保護被攻破時，其它層保護仍可保護信息的安全?！踩胧┬枰救藛T去完成，如果措施過于復雜，對員工的要求過高，本身就降低了安全性措施的采用不影響系統(tǒng)的正常運行。安全措施能隨著網(wǎng)絡性能及安全需求的變化而變化，要容易適應、容易修改和升級?！覀儗⒊浞挚紤]到公司網(wǎng)絡應用的現(xiàn)狀和未來發(fā)展趨勢，我們將建立一個可拓展的網(wǎng)絡，既滿足公司目前的使用，又能為未來公司的發(fā)展提供支持。4. 靈活性——安全措施必須能隨著網(wǎng)絡性能及安全需求的變化而變化，要容易適應、容易修改和升級5. 可評價性——如何預先評價一個安全設計并驗證其網(wǎng)絡的安全性，這需要通過國家有關(guān)網(wǎng)絡信息安全測評認證機構(gòu)的評估來實現(xiàn)。針對安全體系的特性，我們可以采用統(tǒng)一規(guī)劃、分步實施的原則。具體而言，我.11們可以先對網(wǎng)絡做一個比較全面的安全體系規(guī)劃，然后，根據(jù)我們網(wǎng)絡的實際應用狀況，建立一個基礎的安全防護體系，保證基本的、應有的安全性是十分必要的。網(wǎng)絡安全防范體系包含：物理層安全、系統(tǒng)層安全、網(wǎng)絡層安全、應用層安全和安全管理。1．物理環(huán)境的安全性（物理層安全） 　　該層次的安全包括通信線路的安全，物理設備的安全，機房的安全等。物理層的安全主要體現(xiàn)在通信線路的可靠性（線路備份、網(wǎng)管軟件、傳輸介質(zhì)） ，軟硬件設備安全性（替換設備、拆卸設備、增加設備） ，設備的備份，防災害能力、防干擾能力，設備的運行環(huán)境（溫度、濕度、煙塵） ，不間斷電源保障，等等。 　2．操作系統(tǒng)的安全性（系統(tǒng)層安全） 　　該層次的安全問題來自網(wǎng)絡內(nèi)使用的操作系統(tǒng)的安全，如 Windows NT，Windows 2022 等。主要表現(xiàn)在三方面，一是操作系統(tǒng)本身的缺陷帶來的不安全因素，主要包括身份認證、訪問控制、系統(tǒng)漏洞等。二是對操作系統(tǒng)的安全配置問題。三是病毒對操作系統(tǒng)的威脅。3．網(wǎng)絡的安全性（網(wǎng)絡層安全） 　　該層次的安全問題主要體現(xiàn)在網(wǎng)絡方面的安全性，包括網(wǎng)絡層身份認證，網(wǎng)絡資源的訪問控制，數(shù)據(jù)傳輸?shù)谋Ｃ芘c完整性，遠程接入的安全，域名系統(tǒng)的安全，路由系統(tǒng)的安全，入侵檢測的手段，網(wǎng)絡設施防病毒等。4．應用的安全性（應用層安全） 　　該層次的安全問題主要由提供服務所采用的應用軟件和數(shù)據(jù)的安全性產(chǎn)生，包括 Web服務、電子郵件系統(tǒng)、DNS 等。此外，還包括病毒對系統(tǒng)的威脅。5．管理的安全性（管理層安全） 　　安全管理包括安全技術(shù)和設備的管理、安全管理制度、部門與人員的組織規(guī)則等。管理的制度化極大程度地影響著整個網(wǎng)絡的安全，嚴格的安全管理制度、明確的部門安全職責劃分、合理的人員角色配置都可以在很大程度上降低其它層次的安全漏洞。網(wǎng)絡安全是整體的、動態(tài)的。網(wǎng)絡安全的整體性是指一個安全系統(tǒng)的建立，即包括采用相應的安全設備，又包括相應的管理手段。安全設備不是指單一的某種安全設備，而是指幾種安全設備的綜合。網(wǎng)絡安全的動態(tài)性是指網(wǎng)絡安全是隨著環(huán)境、時間的變化而變化的，在一定環(huán)境下是安全的系統(tǒng)，環(huán)境發(fā)生變化了（如更換了某個機器） ，原來安全的系統(tǒng)就變的不安全了；在一段時間里安全的系統(tǒng)，時間發(fā)生變化了（如今天是安全的系統(tǒng)，可能因為黑客發(fā)現(xiàn)了某種系統(tǒng)的漏洞，明天就會變的不安全了） ，原來的系統(tǒng)就.12會變的不安全。所以，建立網(wǎng)絡安全系統(tǒng)不是一勞永逸的事情。對于企業(yè)行業(yè)網(wǎng)絡安全體系的建立，我們建議采取以上的原則，先對整個網(wǎng)絡進行整體的安全規(guī)劃，然后，根據(jù)實際狀況建立一個從防護檢測響應的基礎的安全防護體系，提高整個網(wǎng)絡基礎的安全性，保證應用系統(tǒng)的安全性。第 3 章 網(wǎng)絡總體設計 網(wǎng)絡總體拓撲圖由于考慮到總公司的實際需求，我們給貴公司設計的方案是采用兩臺路由雙線接入負載均衡，都在路由端口上做nat轉(zhuǎn)換節(jié)約ip地址。四臺CISCO WSC3750G24TSS 做雙機熱備（兩臺總部兩臺分部，可擴展），根據(jù)當前貴公司的人數(shù)需求，我們用四臺WSC296048TTL二層交換機（可擴展）做vlan劃分。用Cisco 專有熱備份路由協(xié)議技術(shù)，根據(jù)需求配置成多組HSRP；同時雙機還可以做負載均衡。這樣設計不但保證網(wǎng)絡的高可用性和穩(wěn)定性，還能夠充分利用現(xiàn)有設備的資源，以避免單臺核心設備的負載太重而導致的網(wǎng)絡性能問題。如上圖所示，這是總部內(nèi)網(wǎng)的架構(gòu)，整體網(wǎng)絡可以根據(jù)功能劃分為總部核心網(wǎng)絡、內(nèi)聯(lián)接入包括辦公網(wǎng)絡，各部門相對獨立，通過核心網(wǎng)絡進行數(shù)據(jù)的交互。各部門可以各自建立相互通訊，各部門的網(wǎng)絡安全體系，可以有獨立的安全策略、數(shù)據(jù)流量控制等個體的特性，而需要和其他區(qū)域的設備進行通訊的時候，則必須遵守核心網(wǎng)絡區(qū)的策略。.13在這里，我們對總公司的實際情況考慮，在總公司和分公司之間建立PPP專線連接，讓分公司和總司可以進行安全的數(shù)據(jù)交換，對于虛擬分部（可擴展），我們根據(jù)距離和施工的情況建立PPP專線或者VPN，來進行對數(shù)據(jù)的保護和有效傳輸，對于在外出差員工我們用easyVPN的方式來讓外部員工進行內(nèi)部連接 網(wǎng)絡層次化設計隨著網(wǎng)絡技術(shù)的迅速發(fā)展和網(wǎng)絡需求量的不斷增長，分布式的網(wǎng)絡服務和交換已經(jīng)移至用戶級，由此形成了一個新的、更適應現(xiàn)代的高速大型網(wǎng)絡的分層設計模型。我們將采用層次化網(wǎng)絡設計，構(gòu)建高效、可靠、安全的網(wǎng)絡。多層網(wǎng)絡系統(tǒng)設計能最有效地利用多種業(yè)務，包括負載分擔和故障恢復等。在多層網(wǎng)絡中運用智能多業(yè)務可以大大減少因配置不當或故障設備引起的一般問題。多層模式使網(wǎng)絡的移植更為簡單易行，因為它保留了基于路由器和交換機的網(wǎng)絡原有的尋址方案，對以往的網(wǎng)絡有很好的兼容性。另外分層結(jié)構(gòu)也能夠?qū)W(wǎng)絡的故障進行很好的隔離。 核心層為網(wǎng)絡提供骨干組件或高速交換組件，高效速度傳輸是核心層的目標。核心層的功能主要是實現(xiàn)骨干網(wǎng)絡之間的優(yōu)化傳輸,骨干層設計任務的重點通常是冗余能力、可靠性和高速的傳輸。核心層具有如下幾個特性：高可靠性、提供冗余、提供容錯、能夠迅速適應網(wǎng)絡變化、低延時、可管理性良好、網(wǎng)絡直徑限定和網(wǎng)絡直徑一致。當網(wǎng)絡中使用路由器時，從網(wǎng)絡中的一個終端到另一個終端經(jīng)過的路由器的數(shù)目稱為網(wǎng)絡的“直徑”。在一個層次化網(wǎng)絡中，應該具有一致的網(wǎng)絡直徑。也就是說，通過網(wǎng)絡主干從任意一個終端到另一個終端經(jīng)過的路由器的數(shù)目是一樣的，從網(wǎng)絡上任一終端到主干上的服務器的距離也應該是一樣的。限定網(wǎng)絡的直徑，能夠提供可預見的性能，.14排除故障也容易一些。分布層路由器和相連接的局域網(wǎng)可以在不增加網(wǎng)絡直徑的前提下加入網(wǎng)絡，因為它們不影響原有的站點的通信。在核心層中，網(wǎng)絡的控制功能最好盡量少在骨干層上實施。核心層一直被認為是所有流量的最終承受者和匯聚者，所以我們對核心層的設計以及網(wǎng)絡設備的要求十分嚴格。核心層設備將占投資的主要部分。我們將采用高帶寬的千兆級交換機，充當核心層設備。因為核心層是網(wǎng)絡的樞紐部分，網(wǎng)絡流量最大，因此需要提供高帶寬。 匯聚層是核心層和終端用戶接入層的分界面，訪問層的匯接點，用于分隔訪問層的不同網(wǎng)絡拓撲，并實現(xiàn)網(wǎng)絡的聚合與流量的收斂。匯聚層完成網(wǎng)絡訪問的策略控制、廣播域的定義、VLAN間的路由、數(shù)據(jù)包處理、過濾尋址及其他數(shù)據(jù)處理的任務。一般采用中端設備。 匯聚層是連接接入層和核心層的網(wǎng)絡設備,為接入層提供數(shù)據(jù)的匯聚\傳輸\管理\分,如地址合并,協(xié)議過濾,路由服務,認證管理(如VLAN)聚層同時也可以提供接入層虛擬網(wǎng)之間的互連,控制和限制接入層對核心層的訪問,保證核心層的安全和穩(wěn)定。匯聚層設計為連接本地的邏輯中心，仍需要較高的性能和比較豐富的功能。 匯聚層設備一般采用可管理的三層交換機或堆疊式交換機以達到帶寬和傳輸性能的要求。其設備性能較好，但價格高于接入層設備，而且對環(huán)境的要求也較高，對電磁輻射、溫度、濕度和空氣潔凈度等都有一定的要求。匯聚層設備之間以及匯聚層設備與核心層設備之間多采用光纖互聯(lián)，以提高系統(tǒng)的傳輸性能和吞吐量。一般來說，用戶訪問控制會安排在接入層，但這并非絕對，也可以安排在匯聚層進行。在匯聚層實現(xiàn)安全控制和身份認證時，采用的是集中式的管理模式。 當網(wǎng)絡規(guī)模較大時，可以設計綜合安全管理策略，例如在接入層實現(xiàn)身份認證和MAC地址綁定，在匯聚層實現(xiàn)流量控制和訪問權(quán)限約束。 接入層向本地網(wǎng)段提供用戶接入、主要提供網(wǎng)絡分段、廣播能力、多播能力、介質(zhì)訪問的安全性、MAC地址的過濾和路由發(fā)現(xiàn)等任務。接入層通常指網(wǎng)絡中直接面向用戶連接或訪問的部分。接入層目的是允許終端用戶連接到網(wǎng)絡，因此在接入層我們將采用具有低成本和高端口密度特性的交換機。接入交換機是最常見的交換機，它直接與外網(wǎng)聯(lián)系，使用最廣泛，尤其是在一般辦公室、小型機房和業(yè)務受理較為集中的業(yè)務部門、多媒體制作中心、網(wǎng)站管理中心等部門。在傳輸.15速度上，現(xiàn)代接入交換機大都提供多個具有10M/100M/1000M自適應能力的端口。 　　在接入層是最終用戶(員工) 與網(wǎng)絡的接口，它應該提供即插即用的特性，同時應該非常易于使用和維護。當然我們也應該考慮端口密度的問題接入層由無線網(wǎng)卡、AP和L2Switch組成，按照寬帶網(wǎng)絡的定義，接入層的主要功能是完成用戶流量的接入和隔離。對于無線局域網(wǎng)WLAN用戶，用戶終端通過無線網(wǎng)卡和無線接入點AP完成用戶接入?！　〗尤雽咏粨Q機一般用于直接連接電腦，具有低成本和高端口密度特性。接入層交換機端口的input 指服務器向交換機端口發(fā)送的數(shù)據(jù)，即是服務器發(fā)送出去的數(shù)據(jù)。接入層交換機端口的output 指交換機端口向服務器傳輸?shù)臄?shù)據(jù)，即是服務器收到的數(shù)據(jù)。 核心層設計核心交換區(qū)的作用是高效速度傳輸數(shù)據(jù)，是所有流量的最終承受者和匯聚者，推薦使用高端設備。我們推薦使用Cisco Catalyst 3750三臺三層交換機為網(wǎng)絡提供可靠、高速、安全的服務。3750系列交換機是一個創(chuàng)新的產(chǎn)品系列，它結(jié)合業(yè)界領(lǐng)先的易用性和最高的冗余性，里程碑地提升了堆疊式交換機在局域網(wǎng)中的工作效率。這個產(chǎn)品系列采用了最新的思科StackWise智能堆疊技術(shù)，不但實現(xiàn)高達32Gbps的堆疊互聯(lián)，還從物理上到邏輯上使若干獨立交換機在堆疊時集成在一起，便于用戶建立一個統(tǒng)一、高度靈活的交換系統(tǒng) 就好像是一整臺交換機一樣。這代表了堆疊式交換機