企業網絡系統集成方案
發布時(shí)間(jiān):2023-05-03 閱讀: 分享

典型企業級基礎網絡的整體(tǐ)邏輯架構可(kě)分為(wèi)核心網絡區(qū)、數(shù)據中心區(qū)、DMZ區(qū)、出口互聯區(qū)和(hé)運維管理(lǐ)區(qū)五部分,網絡系統集成是企業實現無紙化辦公和(hé)即時(shí)通(tōng)訊辦公的基礎建設,在以生(shēng)産效率為(wèi)核心競争力的市場(chǎng)中,企業想要快速獲取信息并有(yǒu)效提高(gāo)企業工作(zuò)效率及業務能力,企業網絡系統集成是必不可(kě)少(shǎo)的。

圖片



雲計(jì)算(suàn)、物聯網和(hé)多(duō)媒體(tǐ)業務的應用使企業網的網絡環境、用戶模型、業務模型都發生(shēng)了巨大(dà)的變化,企業網絡由單純連接PC到PC,轉變成人(rén)與人(rén)、人(rén)與物、物與物(M2M)的連接,網元數(shù)量激增,覆蓋到每一個(gè)角落,成為(wèi)一個(gè)全面的信息感知體(tǐ),用戶對企業網絡的移動性、安全性、業務質量等方面也有(yǒu)了更高(gāo)的要求。


圖片



一.網絡設計(jì)原則
滿足:企業內(nèi)密集型用戶和(hé)終端接入,WLAN移動辦公,IP語音(yīn)、視(shì)訊會(huì)議和(hé)視(shì)頻監控等多(duō)媒體(tǐ)業務的承載,企業外部用戶的互聯訪問,全方位網絡安全保障等
a.實用性。以用戶使用為(wèi)宗旨,需注重其實用性,以适應用戶的使用需求。
b.安全性。方案中計(jì)算(suàn)機網絡系統應以安全為(wèi)主導.
c.可(kě)靠性。需确保系統短(duǎn)期內(nèi)能适應用戶需求,為(wèi)檢修人(rén)員争取時(shí)間(jiān),提升網絡系統的可(kě)靠性。
d.可(kě)擴展性。具有(yǒu)良好的可(kě)擴展性,便于未來(lái)更新與擴展,以适應信息網絡發展及用戶需求。


圖片



二.如何設計(jì)
1. 層次化設計(jì):核心層、彙聚層、接入層,每層功能清晰,架構穩定,易于擴展和(hé)易于維護。
2. 模塊化設計(jì):每一個(gè)模塊一個(gè)部門(mén),部門(mén)內(nèi)部調整涉及範圍小(xiǎo),定位問題也容易。
3. 冗餘性設計(jì):雙節點冗餘性設計(jì),适當的冗餘性提高(gāo)可(kě)靠性,過度的冗餘不便于運行(xíng)維護。
采用總線和(hé)星型結構,根據企業部門(mén)劃分多(duō)個(gè)VLAN網段,并對應IP号段。同時(shí)為(wèi)企業搭建服務器(qì),WEB服務器(qì)提供網絡資源訪問,FTP服務器(qì)提供信息及數(shù)據的傳輸。


圖片



三.如何實現
(1) IP及vlan劃分
建立多(duō)号段IP進行(xíng)管理(lǐ),如192.168.10.0/24、192.168.20.0/24、192.168.30.0/24、192.168.40.0/24。分别設置不同網段VLAN10,VLAN20,VLAN30,VLAN40
(2) 網絡中心基本層
這一部分是系統設計(jì)的中心環節,目前的結構基本上(shàng)都是總線結構與星形結構結合起來(lái)的典型結構,這樣的結構可(kě)以說是當前組網的通(tōng)用形式,它具有(yǒu)結構簡單、可(kě)靠性高(gāo)、系統穩定性好 的特點。包含基本的路由器(qì),交換機和(hé)網線


圖片



(3)無線配置
可(kě)利用VLAN技(jì)術(shù)劃分出無線用戶使用區(qū),并對無線AP配置SSID。不同用戶使用不同認證方式,比如員工可(kě)以使用工号加密碼的認證方式,訪客可(kě)以使用主頁推送的認證方式,可(kě)以浏覽到公司的網頁信息。


圖片



(4)WEB服務器(qì)
随着互聯網技(jì)術(shù)的進步,網站(zhàn)已經逐漸成為(wèi)一個(gè)企業形象的象征.
以Windows系統搭建WEB服務器(qì),采用IIS信息服務進行(xíng)管理(lǐ)與維護,搭建步驟:打開(kāi)IIS管理(lǐ)器(qì),找到側欄“網站(zhàn)”選項右鍵“新建網站(zhàn)”,之後根據創建向導完成搭建。


(5) FTP服務器(qì)或者NAS
FTP服務器(qì)是為(wèi)企業數(shù)據上(shàng)傳和(hé)下載的網絡空(kōng)間(jiān),在FTP服務器(qì)上(shàng)企業員工可(kě)以将個(gè)人(rén)的工作(zuò)文件上(shàng)傳到服務器(qì)上(shàng)進行(xíng)共享。
NAS網絡存儲服務器(qì)是一款特殊設計(jì)的文件存儲和(hé)備份的服務器(qì),它能夠将網絡中的數(shù)據資料合理(lǐ)有(yǒu)效、安全地管理(lǐ)起來(lái),并且可(kě)以作(zuò)為(wèi)備份設備将數(shù)據庫和(hé)其它的應用數(shù)據時(shí)時(shí)自動備份到NAS上(shàng)。


圖片



(6) 中心機房(fáng)要求
1).整齊美觀,易于管理(lǐ)和(hé)維護;
2).易于調整;
3).網絡設備可(kě)實現零冗餘,充分發揮系統設備的速度;
4).系統安全性好。
實施辦法:核心設備安裝在一個(gè)大(dà)型的立式标準機櫃中,通(tōng)過綜合布線系統方便對網絡設備的統一管理(lǐ)。同時(shí)采用空(kōng)調、UPS電(diàn)源、配電(diàn)箱、全鋼防靜電(diàn)地闆等設備,解決防雷通(tōng)風問題和(hé)靜電(diàn)問題。


圖片



四.應用舉例
某企業需要組建一個(gè)安全、穩定、高(gāo)效的辦公網絡環境,企業的詳細需求方案如下:
1. 企業從電(diàn)信、聯通(tōng)各辦理(lǐ)100M的光纖寬帶,聯通(tōng)線路的寬帶接入方式為(wèi)PPPoE撥号,電(diàn)信線路的寬帶接入方式為(wèi)靜态IP地址;要求實現"電(diàn)信走電(diàn)信,聯通(tōng)走聯通(tōng)".
2. 企業內(nèi)部有(yǒu)研發、市場(chǎng)、人(rén)事三個(gè)部門(mén),研發部又分為(wèi)軟件、硬件、測試三個(gè)小(xiǎo)部門(mén);企業為(wèi)信息安全考慮,要求各部門(mén)使用不同的網段,并且不允許相互訪問;市場(chǎng)部、人(rén)事部可(kě)全天候訪問外網,研發部隻能在非工作(zuò)時(shí)間(jiān)訪問外網;企業有(yǒu)兩個(gè)服務器(qì)群,WEB服務器(qì)位于廣域網區(qū)(DMZ區(qū)),對廣域網、市場(chǎng)部、人(rén)事部全天候開(kāi)放;FTP服務器(qì)位于工作(zuò)區(qū),僅對企業內(nèi)部員工開(kāi)放;企業要求需要防範來(lái)自企業內(nèi)部的ARP欺騙、DOS等常見攻擊,并禁止企業員工使用P2P類軟件、金融類軟件、視(shì)頻類軟件、遊戲類軟件。
3. 為(wèi)方便各地辦事處、分公司安全的将業務數(shù)據實時(shí)傳輸到總部服務器(qì),各地辦事處、分公司需要與總部建立站(zhàn)點到站(zhàn)點的VPN隧道(dào);為(wèi)方便出差員工安全的訪問總部服務器(qì),需要建立PC到站(zhàn)點模式的VPN隧道(dào);
4. 為(wèi)合理(lǐ)利用帶寬資源,要求對各個(gè)部門(mén)所使用的帶寬進行(xíng)限制(zhì);
5. 企業服務器(qì)中的WEB服務器(qì)(80端口),要求實現訪問不同WAN口映射到不同服務器(qì);
6.公司使用兩個(gè)WIFI網絡,分别設置員工網絡和(hé)訪客網絡,使用不同的認證方式。
需求分析
現對該組網方案需求做(zuò)分析和(hé)規劃:
a. 根據該組網方案需求,企業內(nèi)部可(kě)劃分為(wèi)7個(gè)區(qū)段,分别是電(diàn)信寬帶區(qū)段、聯通(tōng)寬帶區(qū)段、WEB服務器(qì)區(qū)段、FTP服務器(qì)區(qū)段、市場(chǎng)部門(mén)區(qū)段、人(rén)事部門(mén)區(qū)段、研發部門(mén)區(qū)段.
b. 企業內(nèi)部劃分為(wèi)7個(gè)網段,通(tōng)過VLAN實現隔離,分别是DMZ區(qū)段網段為(wèi)192.168.10.0/24,Server區(qū)段網段為(wèi)192.168.20.0/24,市場(chǎng)部區(qū)段網段為(wèi)192.168.30.0/24,人(rén)事部區(qū)段網段為(wèi)192.168.40.0/24,研發區(qū)段有(yǒu)3個(gè)網段:研發軟件部門(mén)網段為(wèi)192.168.50.0/24,研發硬件部門(mén)網段為(wèi)192.168.60.0/24,研發測試部門(mén)網段為(wèi)192.168.70.0/24;
c. 通(tōng)過訪問策略實現區(qū)段之間(jiān)、區(qū)段內(nèi)各網段之間(jiān)的訪問權限;
d. 通(tōng)過流量均衡實現"電(diàn)信走電(diàn)信、聯通(tōng)走聯通(tōng)"
e. 通(tōng)過ARP防護實現防範企業內(nèi)部的ARP欺騙;通(tōng)過攻擊防護實現防範DOS等常見攻擊;
f. 通(tōng)過應用限制(zhì)實現禁止企業員工使用P2P類軟件、金融類軟件、視(shì)頻類軟件、遊戲類軟件;
g. 各地辦事處、分公司與總部之間(jiān)站(zhàn)點到站(zhàn)點的VPN通(tōng)過建立IPSec隧道(dào)實現,出差員工使用PC到站(zhàn)點的VPN通(tōng)過開(kāi)啓PPTP/L2TP服務實現;
h. 通(tōng)過帶寬控制(zhì)實現合理(lǐ)利用帶寬資源;
i. 通(tōng)過虛拟服務器(qì)實現訪問不同WAN口映射到不同服務器(qì);
j.網絡中啓用兩個(gè)無線網絡名稱,分别用于員工(SSID:Office)和(hé)客人(rén)(SSID:Guest);辦公網絡與客人(rén)網絡之間(jiān)不能互訪;辦公網絡通(tōng)過MAC地址認證上(shàng)網,客人(rén)網絡通(tōng)過Portal認證上(shàng)網。

網絡拓撲圖


圖片


13905190502 南京市玄武區(qū)洪武北路188号長發數(shù)碼大(dà)廈11樓E座
友(yǒu)情鏈接
百度 網絡安全和(hé)信息化委員會(huì) FreeBuf網絡安全行(xíng)業門(mén)戶

分享:
Copyright © 2020-2022 南京斯萊克斯網絡科技有限公司 版權所有(yǒu)  
技(jì)術(shù)支持:飛酷網絡