典型企業級基礎網絡的(de)整體邏輯架構可(kě)分為(wèi)核心網絡區、數據中心區、DMZ區、出口互聯區和(hé)運維管理(lǐ)區五部分,網絡系統集成是企業實現無紙化辦公和(hé)即時通訊辦公的(de)基礎建設,在以生産效率為(wèi)核心競争力的(de)市場中,企業想要快速獲取信息并有效提高(gāo)企業工作效率及業務能力,企業網絡系統集成是必不可(kě)少的(de)。
雲計算、物聯網和(hé)多媒體業務的(de)應用使企業網的(de)網絡環境、用戶模型、業務模型都發生了巨大的(de)變化,企業網絡由單純連接PC到PC,轉變成人與人、人與物、物與物(M2M)的(de)連接,網元數量激增,覆蓋到每一(yī)個角落,成為(wèi)一(yī)個全面的(de)信息感知體,用戶對企業網絡的(de)移動性、安全性、業務質量等方面也有了更高(gāo)的(de)要求。
滿足:企業內(nèi)密集型用戶和(hé)終端接入,WLAN移動辦公,IP語音、視(shì)訊會議和(hé)視(shì)頻監控等多媒體業務的(de)承載,企業外部用戶的(de)互聯訪問,全方位網絡安全保障等a.實用性。以用戶使用為(wèi)宗旨,需注重其實用性,以适應用戶的(de)使用需求。b.安全性。方案中計算機網絡系統應以安全為(wèi)主導.c.可(kě)靠性。需确保系統短(duǎn)期內(nèi)能适應用戶需求,為(wèi)檢修人員争取時間,提升網絡系統的(de)可(kě)靠性。d.可(kě)擴展性。具有良好的(de)可(kě)擴展性,便于未來更新與擴展,以适應信息網絡發展及用戶需求。
1. 層次化設計:核心層、彙聚層、接入層,每層功能清晰,架構穩定,易于擴展和(hé)易于維護。2. 模塊化設計:每一(yī)個模塊一(yī)個部門,部門內(nèi)部調整涉及範圍小,定位問題也容易。3. 冗餘性設計:雙節點冗餘性設計,适當的(de)冗餘性提高(gāo)可(kě)靠性,過度的(de)冗餘不便于運行維護。采用總線和(hé)星型結構,根據企業部門劃分多個VLAN網段,并對應IP号段。同時為(wèi)企業搭建服務器,WEB服務器提供網絡資源訪問,FTP服務器提供信息及數據的(de)傳輸。
建立多号段IP進行管理(lǐ),如(rú)192.168.10.0/24、192.168.20.0/24、192.168.30.0/24、192.168.40.0/24。分别設置不同網段VLAN10,VLAN20,VLAN30,VLAN40這一(yī)部分是系統設計的(de)中心環節,目前的(de)結構基本上都是總線結構與星形結構結合起來的(de)典型結構,這樣的(de)結構可(kě)以說是當前組網的(de)通用形式,它具有結構簡單、可(kě)靠性高(gāo)、系統穩定性好 的(de)特點。包含基本的(de)路由器,交換機和(hé)網線
可(kě)利用VLAN技術劃分出無線用戶使用區,并對無線AP配置SSID。不同用戶使用不同認證方式,比如(rú)員工可(kě)以使用工号加密碼的(de)認證方式,訪客可(kě)以使用主頁推送的(de)認證方式,可(kě)以浏覽到公司的(de)網頁信息。
随着互聯網技術的(de)進步,網站已經逐漸成為(wèi)一(yī)個企業形象的(de)象征.以Windows系統搭建WEB服務器,采用IIS信息服務進行管理(lǐ)與維護,搭建步驟:打開IIS管理(lǐ)器,找到側欄“網站”選項右鍵“新建網站”,之後根據創建向導完成搭建。FTP服務器是為(wèi)企業數據上傳和(hé)下載的(de)網絡空間,在FTP服務器上企業員工可(kě)以将個人的(de)工作文件上傳到服務器上進行共享。NAS網絡存儲服務器是一(yī)款特殊設計的(de)文件存儲和(hé)備份的(de)服務器,它能夠将網絡中的(de)數據資料合理(lǐ)有效、安全地(dì)管理(lǐ)起來,并且可(kě)以作為(wèi)備份設備将數據庫和(hé)其它的(de)應用數據時時自(zì)動備份到NAS上。
3).網絡設備可(kě)實現零冗餘,充分發揮系統設備的(de)速度;實施辦法:核心設備安裝在一(yī)個大型的(de)立式标準機櫃中,通過綜合布線系統方便對網絡設備的(de)統一(yī)管理(lǐ)。同時采用空調、UPS電源、配電箱、全鋼防靜電地(dì)闆等設備,解決防雷通風問題和(hé)靜電問題。
某企業需要組建一(yī)個安全、穩定、高(gāo)效的(de)辦公網絡環境,企業的(de)詳細需求方案如(rú)下:1. 企業從電信、聯通各辦理(lǐ)100M的(de)光纖寬帶,聯通線路的(de)寬帶接入方式為(wèi)PPPoE撥号,電信線路的(de)寬帶接入方式為(wèi)靜态IP地(dì)址;要求實現"電信走電信,聯通走聯通".2. 企業內(nèi)部有研發、市場、人事三個部門,研發部又分為(wèi)軟件、硬件、測試三個小部門;企業為(wèi)信息安全考慮,要求各部門使用不同的(de)網段,并且不允許相互訪問;市場部、人事部可(kě)全天候訪問外網,研發部隻能在非工作時間訪問外網;企業有兩個服務器群,WEB服務器位于廣域網區(DMZ區),對廣域網、市場部、人事部全天候開放;FTP服務器位于工作區,僅對企業內(nèi)部員工開放;企業要求需要防範來自(zì)企業內(nèi)部的(de)ARP欺騙、DOS等常見攻擊,并禁止企業員工使用P2P類軟件、金融類軟件、視(shì)頻類軟件、遊戲類軟件。3. 為(wèi)方便各地(dì)辦事處、分公司安全的(de)将業務數據實時傳輸到總部服務器,各地(dì)辦事處、分公司需要與總部建立站點到站點的(de)VPN隧道(dào);為(wèi)方便出差員工安全的(de)訪問總部服務器,需要建立PC到站點模式的(de)VPN隧道(dào);4. 為(wèi)合理(lǐ)利用帶寬資源,要求對各個部門所使用的(de)帶寬進行限制;5. 企業服務器中的(de)WEB服務器(80端口),要求實現訪問不同WAN口映射到不同服務器;6.公司使用兩個WIFI網絡,分别設置員工網絡和(hé)訪客網絡,使用不同的(de)認證方式。現對該組網方案需求做(zuò)分析和(hé)規劃:a. 根據該組網方案需求,企業內(nèi)部可(kě)劃分為(wèi)7個區段,分别是電信寬帶區段、聯通寬帶區段、WEB服務器區段、FTP服務器區段、市場部門區段、人事部門區段、研發部門區段.b. 企業內(nèi)部劃分為(wèi)7個網段,通過VLAN實現隔離(lí),分别是DMZ區段網段為(wèi)192.168.10.0/24,Server區段網段為(wèi)192.168.20.0/24,市場部區段網段為(wèi)192.168.30.0/24,人事部區段網段為(wèi)192.168.40.0/24,研發區段有3個網段:研發軟件部門網段為(wèi)192.168.50.0/24,研發硬件部門網段為(wèi)192.168.60.0/24,研發測試部門網段為(wèi)192.168.70.0/24;c. 通過訪問策略實現區段之間、區段內(nèi)各網段之間的(de)訪問權限;e. 通過ARP防護實現防範企業內(nèi)部的(de)ARP欺騙;通過攻擊防護實現防範DOS等常見攻擊;f. 通過應用限制實現禁止企業員工使用P2P類軟件、金融類軟件、視(shì)頻類軟件、遊戲類軟件;g. 各地(dì)辦事處、分公司與總部之間站點到站點的(de)VPN通過建立IPSec隧道(dào)實現,出差員工使用PC到站點的(de)VPN通過開啓PPTP/L2TP服務實現;i. 通過虛拟服務器實現訪問不同WAN口映射到不同服務器;j.網絡中啓用兩個無線網絡名稱,分别用于員工(SSID:Office)和(hé)客人(SSID:Guest);辦公網絡與客人網絡之間不能互訪;辦公網絡通過MAC地(dì)址認證上網,客人網絡通過Portal認證上網。
