华南理工大学计算中心 计算机科学与技术2008级专升本业余 中小型企业组网方案设计
5.3.2 出口路由器
在此方案中,考虑该企业Internet出口路由器的配置,采用一台CISCO 3640路由器,因为CISCO 3600系列是模块化设备,提供了更多的槽和更高的处理能力,它的用途是支持大型分支机构中的复杂应用,或作为中心路由器为多个远程站点提供连接,它的网络模块最高可支持OC-3的速度,且对大多数企业具有丰富的可提高扩展能力。
CISCO 3640也是CISCO多服务行列中的一员,它支持连接语音线路、电话和专用分组交换机(PBX),提供LAN介质、串行接口、ISDN连接、语音连接及数字MODEM等接口,所以选择CISCO 3600系列还是更高系列,取决于所需支持的不同类型的接口的数目,这些新系列的路由器一般有更强的处理能力、支持更多的可配置接口,然而情况并不总是这样,一些CISCO早期推向市场的拨号访问服务器就不能处理由多个接口同时提供出的多个连接。
5.3.3 服务器群组
服务器是网络服务器用量最大的地方。服务器的选择标准很大程度上取决于中心客户的类型和应用种类。就大部分中小型企业应用而言,Web、ERP应用和数据库应用仍然占整个数据中心的各类应用的主要部分。因此对服务器的网络响应能力在很大程度上体现了服务器的硬件体系结构设计的合理性、CPU或CPU组(SMP)对操作系统的进程或线程的分配能力以及磁盘I/O的性能。以及可行性与稳定性,同时散热、功耗和易安装性也是重点考察和评价的对象。基于以上考虑,所选的服务器必须具有高可靠性,I/O吞吐能力强,数据处理快,可扩展性和可管理性良好的特点。
5.4 接入层设计及设备选型
接入层选用Catalyst 2960可堆叠交换机作为用户的接入,这些交换机通常作为建筑物接入交换机而部署,能够提供固定的端口密度,并且具有与高端交换机相类似的特性,但其成本更低,但它们却支持非常多的高级交换特性,其中包括集成安全、NAC、高级Qos和弹性等;同时这些交换机具有固定的端口配置,具有24个或48个10/100BASE-T或10/100/1000BASE-T端口,以及双目标特以太网上行链路,既可以使用铜或光纤上行链路,也可以使用一个10/100/1000以太网端口和一个SFP吉比特以太网端口的组合。
使用Catalyst 2960作为本方案设计的接入交换机,它支持全线速的二层交换,同时具备如下特性:
完备的安全智能控制策略:支持802.1x认证,还可以通过灵活的MAC、IP、VLAN、PORT任意组合绑定,有效的防止非法用户访问网络。
第 22 页
华南理工大学计算中心 计算机科学与技术2008级专升本业余 中小型企业组网方案设计
支持多种ACL访问控制策略:能够对用户访问网络资源的权限进行设置,保证网络的受控访问。
高可靠性:支持STP/RSTP生成树协议。
丰富的QOS策略:支持基于源MAC地址、目的MAC地址、源IP地址、目的IP地址、端口,支持带宽控制功能。
好的扩展性:提供良好的堆叠功能,同时支持不同设备的混合堆叠,从而保证了网络的平滑升级和降低了扩建成本。
5.5 安全体系设计及设备选型
企业网信息系统是企业网的数字神经中枢,合理的使用不仅能提高企业现代化信息化改革、提高工作效率、改善工作模式及流程,同时通过各企业之间的信息共享及沟通的方便及顺畅,将会极大的提高整体行业的工作效率及工作业绩。
企业网总体上分为企业内网和企业外网。企业内网主要包括研发楼局域网、生产车间局域网、办公自动化局域网等。企业外网主要指企业提供对外服务的服务器群、与电信的接入以及远程移动办公用户的接入等,认真分析可以总结出企业网面临着如下的安全威胁:
(1) 各种操作系统以及应用系统自身的漏洞带来的安全威胁; (2) Internet网络用户对企业网存在非法访问或恶意入侵的威胁;
(3) 来自企业网内外的各种病毒的威胁,外部用户可能通过邮件以及文件传输等将病毒
带入企业内网,内部职工可能由于使用盗版介质将病毒带入企业内;
(4) 内部用户对Internet的非法访问威胁,如浏览黄色、暴力、反动等网站,以及由于
下载文件可能将木马、蠕虫、病毒等程序带入企业内网;
(5) 内外网恶意用户可能利用利用一些工具对网络及服务器发起DOS/DDOS攻击,导
致网络及服务不可用;
(6) 企业网内的职工即时通信工具(比如:OICQ),目前针对该类工具的黑客程序随处
可见;
(7) 可能会因为企业网内管理人员以及全体职工的安全意识不强、管理制度不健全,带
来企业网的威胁。
基于上面的问题,我们将从物理、系统、网络、应用及管理五个层次分析和设计适合于企业网的安全建议方案。
5.5.1 物理层安全
物理层的安全主要包括环境、设备及线路的安全。系统中心或机房的建设应遵照:GB50173-93《电子计算机机房设计规范》、GB2887-89《计算机站场地安全要求》及GB2887-89《计算机站场地技术条件》的要求。在设备集中的管理间安装干扰器防止由于
第 23 页
华南理工大学计算中心 计算机科学与技术2008级专升本业余 中小型企业组网方案设计
设备辐射造成的信息泄漏。同时,要注意保护线路的安全,防止用户的搭线窃听行为。
5.5.2 系统安全
系统层主要解决的是由于各种操作系统、数据库、及相关产品的安全漏洞和病毒造成的威胁。解决的技术手段主要有以下几种:
(1) 加固手段对主机加固,如升级、打补丁、关闭不需要的端口等; (2) 访问控制手段加强对主机的访问控制。
5.5.3 网络层安全
企业网中局域网数目较多,根据需要多个网络可能要互相联接。正是这种多网的互联,使我们对网络层的安全要极度重视。定义一个网络或各网络内不同安全等级的部分为不同的安全域。安全域之间的连接处叫网络边界。下面主要讨论以下几方面的网络层安全防护:
(1) 划分安全子网。如果同一局域网内有不同等级的安全域,可以通过划分子网及VLAN的方法加以访问控制;
(2) 加强网络边界的访问控制。安全等级差别较大的边界需要采用防火墙来控制,如企业内网、企业外网和Internet之间,利用防火墙进行访问控制和内容过滤,可有效地解决需求中提到的多种威胁;
(3) 防止内外的攻击威胁。在每个安全域内或多个安全域之间安装入侵检测系统(IDS),可有效地防止来自网络内外的攻击。
5.5.4 应用层安全
(1) 应用层的安全措施主要有以下几点: (2) 各应用系统自身的加固; (3) 建立身份认证系统; (4) 建立安全审计系统; (5) 建立备份系统。
5.5.5 管理层安全
实现管理层的安全主要注意以下几点:
(1) 建立安全管理平台。主要是指将各种安全系统或设备集中控管、综合分析。 (2) 建立、健全安全管理体制。企业网用户较多,一定要建立一套合理可行的安全管理制度,只有制度和设备的完美结合才能真正提高企业网的安全水平。
第 24 页
华南理工大学计算中心 计算机科学与技术2008级专升本业余 中小型企业组网方案设计
5.6 设计方案优势
5.6.1 高带宽、高性能
相比于传统组网设计方案,该企业网络设计方案是基于标准的二、三层以太网交换技术,技术成熟度非常高。企业网络中心放置路由交换机上行通过GE接至互联网,GE可以是单模或者多模,到时可以按使用的情况进行扩展,使出口不会成为企业网瓶颈。在企业网络中心通过下行使千兆链路连接接入层交换机,百兆交换到桌面,100M的带宽可充分满足用户高速上网、内容下载及多媒体等多种宽带业务。核心交换机拥有1000M出口联接企业网,各层设备全部支持线速交换,给用户提供了真正的高带宽网络,对未来高带宽的宽带业务提供了强大的支撑能力。
5.6.2 网络管理
企业网在为员工提供便捷、高效的学习、工作环境的同时,也在宽带管理、权限控制等方面存在许多问题:
? 对带宽资源的大量占用导致重要应用无法进行
对于企业来说,它的带宽资源都是有限的。由于没有带宽限制和优先级设置,一些重要用户和重要应用得不到必要的带宽保证而影响了工作。
? 访问权限难以控制
随着使用互联网资源、各部门之间不同员工间的保密资源可以随意获取,将导致企业秘密级资料或是自主知识产权被竞争对手抄袭,引起经济损失。
? 异常网络事件的审计和追查
当异常网络事件发生后,如何尽快的追根溯源,找出幕后“黑手”,防止事件的再 次发生,成了网络维护人员不得不面对的棘手问题。
? 带宽的限定和业务优先级的设定
系统能对每个客户上下行的带宽上限加以限定,防止个别客户占用过多网络资源。还能对不同的用户数据设定业务优先级以保证重要数据能得到更好的服务。
? 快捷实现全网管理
全网拓扑发现功能可以对全网设备、网络节点以及事件、性能、日志进行实时监控,统一管理。
? 强大的事件追查功能
系统中丰富的日志信息和便捷的追查工具能使网络管理员在面对异常事件时,能及时作出反应,迅速找出幕后“黑手”。
第 25 页
华南理工大学计算中心 计算机科学与技术2008级专升本业余 中小型企业组网方案设计
5.6.3 完善的安全机制
该企业各楼宇交换机通过内在的多种安全机制可有效防止和控制病毒传播和网络流量攻击, 控制非法用户使用网络,保证合法用户合理化使用网络,如端口安全、端口隔离、专家级ACL、时间ACL、端口ARP 报文合法性检查、基于数据流的带宽限速等等, 满足企业网加强对访问者进行控制、限制非授权用户通信的需求;在汇聚、核心交 换设备设置由硬件实现 ACL,对病毒进行过滤。
? ? ?
硬件实现端口与 MAC 地址和用户 IP 地址的绑定,严格限定端口上用户接入; 通过将端口设为保护端口即可简单方便地隔离用户之间信息互通,不必占用VLAN资源;
通过Private VLAN 可以在交换机的同一 VLAN 中提供端口之间的通讯或安全隔离, 确保数据流进入有效端口,而不会被发送到其它端口,即解决了因传统802.1QVLAN造成全网VID资源不够的问题,同时又无需利用安全规则资源即能达到隔离不同用户以及不同组用户之间通讯的功能,充分保护用户隐私; ?
提供极为有效的 Port Blocking 功能,避免端口受到其它端口发送的广播包、多播包等报文的干扰,有效减轻端口负载负担,提高端口带宽,保护用户PC更高效安全地运行; ? ? ? ?
基于源 IP 地址控制的 Telnet 和 Web 设备访问控制,增强了设备网管的安全性,避免黑客恶意攻击和控制设备;
提供加密传输的 Secure Shell(SSH),保证管理设备信息的安全性,防止黑客攻击和控制设备; 病毒、蠕虫等多元化发展
控制网络病毒。 统一对接入层交换机做动态下发安全策略,轻松有效的控制网络病毒,使网络保持畅通。
5.6.4 易维护
CISCO网络交换机都经过独特设计具备防尘、防潮、防静电等多种适于在楼道安装和使用的特点。 而且具有强大的运行维护能力,能有效降低运营商的运维成本。支持 RS-232 本地管理口及 Telnet、WEB、SNMP 代理,远程监控(RMON 1~3,9 组)可根据运营商的不同要求,使用不同的管理方案,支持 SNMP 协议的全网集中网管。提供了故障告警和日志功能,可通过机箱面板上指示灯直观地了解设备的运行状态。
第 26 页