企业局域网搭建及安全维护策略研究论文5800字.docx

《企业局域网搭建及安全维护策略研究论文5800字.docx》由会员分享，可在线阅读，更多相关《企业局域网搭建及安全维护策略研究论文5800字.docx（8页珍藏版）》请在第一文库网上搜索。

1、企业局域网搭建及安全维护策略研究目录企业局域网搭建及安全维护策略研究1摘要1关键词：局域网络；网络规划；网络安全2前言21、网络系统设计方案21局域网主干规划21.2系统功能规划22、中小企业局域网络建设规划22.1 网络拓扑22.2 网络的规划与编址42.3 路由协议规划53、网络设备选型61.1 换机61.2 路由器61.3 接入交换机634防火墙64、网络安全的设计64.1 网络出入口安全64.2 中小企业用户终端IP地址安全65、正确维护企业局域网75.1 合理设置服务器的硬盘752正确使用“桥”式设备75.3 按规则进行连线75.4 合理设置交换机7结论8参考文献9摘要随着网络技术的

2、发展和中小型企业规模的日益扩大，中小型企业网络规模越来越大，一般的中小型企业都达到了上万信息点或者几万个信息点的规模。当网络规模增大到一定程度，在中小型企业局域网系统面临许多问题。例如中小型企业网骨干结构问题、设备的性能同题、网络的可靠性、网络的安全、可管理性问题。针对以上存在的问题，本文以中小型企业的局域网项目规划设计作为背景，对当前中小型企业的局域网体系结构开展研究，深入研究了当前中小型企业网络建设的需求，探讨和研究对局域网络进行改造的设计方案,提出了一个能适用于较大网络规模的局域网络体系结构方案。在本文中采用路由技术，用于虚拟局域网的V1AN技术、用于地址隐藏的地址转换技术、用于网络结构

3、规划的拓扑技术、网络安全技术。构建一个高效稳定的网络平台，并将本方案应用于中小型企业的局域网络的规划设计中。研究局域网规划和建设，方案可以为其他企业进行局域网建设提供参考的依据。关键词：局域网络；网络规划；网络安全前言本篇论文就中小企业局域网建设，讨论了中小企业园区级网络的类型，论述了中小型企业局域网的特点与要求，进而提出了典型的业务模型与需求定位，按照网络层次的划分的原则，设计了中小型企业网核心到接入交换的两级网络模型，明确了网络的编址方案，考虑了基本的网络安全与流量控制因素。1、网络系统设计方案11局域网主干规划主干为千兆主干，设备为C1SCo的2层交换机，型号为CISCo2960-24T

4、To因考虑到以后多媒体数据流在网上的应用于及主干的冗余，因此在主干上采用千兆链路（IOOMbZsTrunk）,既可扩大主干带宽（200Mb/s或全双工400Mbs）,又可以起到主干冗余作用及均衡负载。主干采用超5类非屏蔽双绞线（UTP）布线，能承载千兆带宽，可以保证以后网络的扩容与提升。主干所有链路屏蔽层全部接到信号地（主机房地网），防止静电和电磁干扰，地保证数据链路的可靠性。1.2系统功能规划在中小企业局域网中主要起保障网络安全作用，校园中的防火墙不仅要防止外来黑客的攻击，还要防止内部学生的攻击。根据学校的应用类型，划分了实训楼、综合楼、服务器群等三个子网。分V1AN在一定程度上可以提高网络

5、的安全性，防止网段上无效的广播包的传播，还可以增加网络弹性，并降低成本易于管理。在中心交换机上创建3个V1AN,分别为V1AN10、V1AN20WV1AN30o由于二层交换机，无路由功能，无法实现V1AN间通信，但可利用外部的路由器来实现V1AN间的通信。2、中小企业局域网络建设规划本章根据对中小企业的网络规划需求进行分析，制定合理的网络拓扑，并在拓扑的基础上进行IP和V1AN规划、路由协议规划、认证协议规划、W1AN规划。根据实际需求制定合理的出口设计和接入层接入设计。2.1 网络拓扑根据第二章内容中对中小企业网络建设的需求分析，初步设计出此局域网的网络拓扑。设备采用锐捷设备。设备清单如表3

6、-1:根据网络需求设计的网络拓扑如图3-1图3-1局域网络拓扑S57表3-1局域网设备表核心层设备S86102台分中心设备S86066台次中心设备S76062台汇聚层设备S5750若干接入层设备S26系列和S29系列若干2.1.1 网络架构选择由于分层网络结构具有明显的优势，在大型网络中常用的分层网络体系结构的中小企业局域网，按照模块化设计思想，功能。根据全网结构层次化、模块化、功能化的思路，局域网总体网络架构设计为个模块，分别为：核心层、汇聚层、接入层。整个网络采用双核心、汇聚（核心和汇聚层设备物理位置集中在核心机房）、接入三层构架方式，在每个链接到企业宿舍区汇聚交换机楼、企业宿舍楼、办公区

7、，提供千兆供办公区域快速访问。对于链路层的安全可考虑采用不同链路的主备主干光缆方式实现。2.1.2 核心层设计中小企业网核心层采用双核心设计，两台核心设备之间通过高带宽的千兆以上交换机互联，实现链路的冗余备份，提高网络的稳定性。为了防止开启虚拟交换功能对设备的影响,虚拟交换机技术建议采用独立硬件板卡的方式实现。核心层选用的设备为华为S1700-24GRo2.1.3 汇聚层设计区域汇聚层设计为连接本地的逻辑中心，汇聚交换机负责本区域内的数据交换，众多策略的实施，将不要的流量隔离在区域汇聚层以下，从而大大减轻核心层设备的数据交换负担,因此仍需要较高的性能和比较强的策略实施能力。考虑到每个区域涉及的

8、用户量大，需要对区域配置汇聚设备。汇聚设备具备安全防御能力。2.1.4 接入层设计办公区域接入部署：该区域的所有接入点采用千兆到桌面的方式。在该区域部署全干兆接入交换机，通过6类双绞线上联到楼宇汇聚交换机。宿舍区接入部署：该区域的接入点采用百兆到桌面的方式。在该区域部署支持千兆上行的百兆交换机，所有接入交换机采用48口接入交换机。2.2 网络的规划与编址2.2.1 宿舍区用户IP/V1AN规划中小企业宿舍区均采用私有IP,本次设计规划采用172.160.0/16网段。具体规划如表3-2:表3-2宿舍区IP划分表区域IP地址段C类地址个数备注1#宿舍楼172.16.0.0-172.16.7.25

9、58静态地址2#宿舍楼172.16.8.0-172.16.15.2558静态地址3#宿舍楼172.16.16.0-172.16.23.2558静态地址4#宿舍楼172.16.24.0-172.16.31.2558静态地址5#宿舍楼172.16.32.0-172.16.39.2558静态地址每栋宿舍楼划分8个C类IP地址。以一号宿舍楼IP与V1AN的对应关系详细说明划分的依据，如表3-3:表3-3一号宿舍楼IP和V1AN对应关系楼宇V1ANIDV1AN用途IP网段用户IP网关交换机管理网关交换机网关宿舍楼1管理172.16.7.0/24172.16.7.254172.16.7.254101层用户

10、172.16.0.0/24172.16.0.254172.16.7.253172.16.7.254一栋宿舍楼划分8个C类IP地址，其中六个分别划分给每层的用户；一个用作管理IP地址，方便管理员的管理；一个用作保留地址，用于后期的扩展。V1AN划分了8个，其中V1AN1o-V1AN60分别对应每层宿舍楼；V1AN1用作管理V1ANo2.2.2 办公区用户IP/V1AN规划办公区采用教育网地址211.69.16.0-211.69.31.255o具体IP规划如表3-4:表3办公区IP规划区域IP地址段C类地址个数备注服务器区211.69.16.0-211.69.16.2541动态IP办公楼211.6

11、9.17.0-211.69.20.2544动态IP食堂楼211.69.21.0-211.69.24.2544动态IP图书馆211.69.25.0-211.69.26.2542动态IP办公区V1AN规划与宿舍V1AN规划一致，根据楼层规划V1AN。例如：办公楼一楼划分为V1AN10,二楼划分为V1AN20o223路由设备互联IP地址规划核心层与汇聚层术语路由互联设备，需要配置互连1P。一部分IP规划如表3-5:表3-5路由互联IP地址规划举例互连IP网段本地地址本地设备对端地址对端设备10.0.0.0/3010.0.0.1/30NPE10.0.0.2/30ACE10.0.0.4/3010.0.0

12、.5/30ACE10.0.0.6/30S8610-110.0.0.8/3010.0.0.9/30ACE10.0.0.10/30S8610-210.0.0.12/3010.0.0.13/30S8610-110.0.0.14/30S8610-210.0.0.16/3010.0.0.17/30S8610-110.0.0.18/30S7606-110.0.0.20/3010.0.0.21/30S8610-210.0.0.22/30S7606-110.0.0.24/3010.0.0.25/30S8610-110.0.0.26/30S7606-12.3 由于篇幅有限，仅列出一部分互联IP的规划。2.4 路

13、由协议规划局域网内部采用OSPF动态路由协议。OSPF布局在路由互联的设备之间。OSPF支持区域的划分。划分区域有利于减少了需要传递的路由信息数量。OSPF区域划分如表3-6:表3-6OSPF的区域划分学校楼宇类型OSPF区域号宿舍楼办公楼Area1OO食堂楼Area11O会议楼Area130图书馆Area140根据表3-6OSPF区域的划分，得到的OSPF区域划分拓扑图如图3-2:图3-2OSPF区域划分拓扑图通过OSPF区域划分，将各个不同功能的楼宇划分到不同区域，可以减少OSPF的1SA数据包的泛洪，从而减少网络开销。其次，划分不同区域，可以减少网络故障的影响，一个区域出现故障，不会影响

14、其他区域的网络状态。3、网络设备选型31交换机本文选用了D-1inkDES-3024中心路由交换机担当网络主干交换机。在本方案设计接入需要2台D-1inkDES-3024中心交换机，楼道内采用综合布线方式，利用五类线接入到用户，实现了即插即用。中小企业的中心交换机我们选择用堆叠连接技术，方法是将随机所附堆叠电缆的一端插入第一台的中心交换机堆叠模块的“DOWN”端口,另一端插入第二台的中心交换机堆叠模块的“UP”端口。这两台交换机堆叠在一起之后就像一个模块化交换机一样，当作一个单元设备来进行管理，这样就可以非常方便地实现对网络的扩充。3.2 路由器HiIIS1OneSR-560路由器是具有高性能

15、安全的，针对多用户数、多接入点、多种应用等市场需求而设计的产品。根据预约时间自动断线和启用备用链路，每个WAN口支持多达8条ADS1链路；独创分区管理技术，为设备每个1AN端口可划分到6-24个独立分区中，内建DHCP服务器，为每个1AN分区获取不同的IP地址段，内建一个千兆DMZ接口,支持对外开放服务器功能和端口映射功能。3.3 接入交换机接入交换机在网络中的作用仅次于中心交换机,接入交换机就是图2.1中的楼道交换机。本中小企业方案设计中采用的接入交换机是D-1inkDGS1224T交换机，除了考虑D-1inkDGS1224T交换机功能外，性能在同类交换机中比较突出，当然选择它不只是价格和性能方面的原因，同时还结合了中小企业网络综合因素。3.4