大型企业网络设计方案书

大型企业网络设计方案书内容摘要：

网络维护管理等，这些管理不仅在本地网络上可以操作，而且能够在远程网络间进行互操作。 网络的兼容性 当一个已有的网络在采用新技术或新的网络设备进行改进、扩充和升级时，这些新的网络设施 (软、硬件 )是否能与原有的或其他的网络设施兼容是非常重要的。 兼容性好可以保护原有的投资，可使新投资与原有的投资同时发挥效益。 网络的可用性 建成后网络的可用性高低是网络用户最为关心的，它也是对网络质量和网络性能的综合衡量。 可用性是网络本身很多物理特性的总体体现，如网络的带宽、网络带宽效 率、网络时延、网络负载、网络故障频率等状况。 同时也是网络系统环境、网络应用环境和网络应用的支持能力、水平和质量的总体反映。 网络的 扩展 缩性 网络的可伸缩性不只是一种网络设施在构造网络时，在规模上可依据需要扩大或减小，而且还应体现在网络的模块化和结构化方面。 网络体系结构的模块化、结构化是现代化网络技术产品的标志和趋势，为今后党政网络体系的构成注入新的活力。 网络管 理的任意性和网络配置的简便性等是网络可伸缩性的另一重要方面。 网络的经济性 一个好的网络并不是高价网络设备的简单堆积，并不是网络设备越好，网络就越好。 衡量一个网络的好坏和它的经济性，不能单看所用的投资的多少，而应以网络所具 有的功能和网络可承担的负荷，如网上的用户数、数据流量等参数去综合衡量。 以 “ 少花钱，多办事 ”的原则，获得更大的经济效益和社会效益。 网络设计 网络拓扑图 IP 地址设计 设计原则： 简单性；地址的分配应该简单，避免在小区内采用复杂的掩码方式。 连续性；为同一个楼内区域分配连续的网络地 址，便于管理，易于维护。 可扩充性；为整个小区或楼内区域分配的网络地址应该具有一定的容量，便于主机数量增加时仍然能够保持地址的连续性。 灵活性；地址分配不应该基于某个网络路由策略的优化方案，应该便于多数路由策略在该地址分配方案上实现优化。 可管理性；地址的分配应该有层次，某个局部的变动不要影响上层、全局。 安全性；小区内应按工作内容划分成不同网段即子网以便进行管理。 设计方案： 1． 公司对外只有一个公网 IP，所以采用内网采用内网地址 到。 边界路由进行 NAT 转换。 2． 全网根据个部门的分工，及职能进行子网的划分。 以及 VLAN 的划分。 3． 同一建筑物进行连续的网络地址划分。 4． 进行层次化的划分方式。 5． 考虑全局的路由策略。 6． 考虑网络的可扩展性。 无类别域间路由和路由汇聚 无类别域间路由（ CIDR） CIDR 是开发用于帮助减缓 IP 地址和路由表增大问题的一项技术。 CIDR（ Classless InterDomain Routing，无类域间路由）的基本思想是取消 IP 地址的分类结构，将多个地址块聚合在一起生成一个更大的网络，以包含更多的主机。 CIDR 支持路由聚合，能够将路由表中的许多路 由条目合并为成更少的数目，因此可以限制路由器中路由表的增大，减少路由通告。 同时， CIDR有助于 IPv4 地址的充分利用。 CIDR 叫做无类域间路由 ,ISP 常用这样的方法给客户分配地址 ,ISP 提供给客户 1 个块 (block size),类似这样 :,这排数字告诉你你的子网掩码是多少 ,/28 代表多少位为 1,最大 /的 1 点是 :不管是 A 类还是 B 类还是其他类地址 ,最大可用的只能为 30/,即保留 2位给主机位。 安全体系设计 物理安全 网络的物理安全是整个网络系统安全的前提。 在 校园网工程建设中，由于网络系统属于弱电工程，耐压值很低。 因此，在网络工程的设计和施工中，必须优先考虑保护人和网络设备不受电、火灾和雷击的侵害；考虑布线系统与照明电线、动力电线、通信线路、暖气管道及冷热空气管道之间的距离；考虑布线系统和绝缘线、裸体线以及接地与焊接的安全；必须建设防雷系统，防雷系统不仅考虑建筑物防雷，还必须考虑计算机及其他弱电耐压设备的防雷。 总体来说物理安全的风险主要有，地震、水灾、火灾等环境事故；电源故障；人为操作失误或错误；设备被盗、被毁； 电磁干扰；线路截获；高可用性的硬件；双机多冗余的设 计；机房环境及报警系统、安全意识等，因此要尽量避免网络的物理安全风险。 网络传输安全  网络传输数据保护； 由安装在网络上的 VPN 设备实现各内部网络之间的数据传输加密保护，并可同时采取加密或隧道的方式进行传输  网络隔离保护； 与 INTERNET 进行隔离，控制内网与 INTERNET 的相互访问  集中统一管理，提高网络安全性；  降低成本（设备成本和维护成本）； 访问控制  控制外部合法用户对内部网络的网络访问；  控制外部合法用户对服务器的访问；  禁止外部非法用户对内部网络的访问；  控制内部用户对外部网络的网络；  阻 止外部用户对内部的网络攻击；  防止内部主机的 IP 欺骗；  对外隐藏内部 IP 地址和网络拓扑结构；  网络监控；  网络日志审计； 入侵检测 网络安全不可能完全依靠单一产品来实现，网络安全是个整体的，必须配相应的安全产品。 作为必要的补充，入侵检测系统（ IDS）可与安全 VPN 系统形成互补。 入侵检测系统是根据已有的、最新的和可预见的攻击手段的信息代码对进出网络的所有操作行为进行实时监控、记录，并按制定的策略实行响应（阻断、报警、发送 Email）。 从而防止针对网络的攻击与犯罪行为。 入侵检测系统一般包括控制台和探测器（网络引擎）。 控制台用作制定及管理所有探测器（网络引擎）。 探测器（网络引擎）用作监听进出网络的访问行为，根据控制台的指令执行相应行为。 由于 探测器采取的是监听而不是过滤数据包，因此，入侵检测系统的应用不会对网络系统性能造成多大影响。 漏洞扫描 作为一个完善的通用安全系统，应当包含完善的安全措施，定期的安全评估及安 全分析同样相当重要。 由于网络安全系统在建立后并不是长期保持很高的安全性，而是随着时间的推移和技术的发展而不断下降的，同时，在使用过程中会出现新的安全问题，因此，作为安全系统建设的补充，采取相应的措施也是必然。 本方案中，采用漏洞扫描设备对网络系统进行定期扫描，对存在的系统漏洞、网络漏洞、应用程序漏洞、操作系统漏洞等进行探测、扫描，发现相 应的漏洞并告警，自动提出解决措施，或参考意见，提醒网络安全管理员作好相应调整。 病毒防护 因为病毒在网络中存储、传播、感染的方式各异且途径多种多样，相应地企业在构建网络防病毒系统时，应利用全方位的企业防毒产品，实施“层层设防、集中控制、以防为主、防杀结合”的策略。 具体而言，就是针对网络中所有可能的病毒攻击设置对应的防毒软件，通过全方位、多层次的防毒系统配置，使网络没有薄弱环节成为病毒入侵的缺口。 本方案中在选择杀毒软件时应当注意几个方面的要求：具有卓越的病毒防治技术、程序内核安全可靠、对付国产和国外病毒能力超 群、全中文产品，系统资源占用低，性能优越、可管理性高，易于使用、产品集成度高、高可靠性、可调配系统资源占用率、便捷的网络化自动升级等优点。 病毒对信息系统的正常工作运行产生很大影响，据统计，信息系统的 60%瘫痪是由于感染。