XX信息技术职业学院毕业设计 访问公司内部网络。
由于XX企业是从事房地产为主,需要对每一个客户的资料进行一定的保密措施,在企业的背部网络中,保密数据的泄密很可能将直接损害到客户的个人利益和企业的利益,所以企业应该有网络安全系统,从而保证企业内网机密信息在存储与传输是的保密性。 3.3 应用需求
企业网络应该具有QOS机制,除了MAIL服务器、WEB服务器、VOD服务器等应用服务器之外,还应该具备与企业专业有关的信息系统服务器、企业的管理信息系统服务器等系统服务器,还需要有企业网络安全方面及上网行为管理等管理服务器。另外在DMZ区,还放置了一台VPN服务器,VPN服务器将对整个分公司网络和移动办公人员进行有效的验证,以及对网络中VPN信息进行接收和发送。总公司内部网络需要保证安全性,稳定性,从而满足整个企业中的应用需求。上海和绵阳两个地区的分公司将通过VPN隧道IPSec协议与总公司内部网络相连接,而移动办公人员则是通过VPN隧道PPIP协议来与内部网络进行连接。
第8页
XX信息技术职业学院毕业设计 第4章 企业网络工程方案设计
4.1 设计原则
(1)可靠性:网络的安全可靠性是网络的一个重要指标。从网络拓扑结构设计中以及设备的选型中对网络的可靠性做出保证。而合理的网络结构也会带来一定的网络安全性,而在网络设计中也应该要提供一些安全手段。
(2)扩展性:随着网络技术的不断发展,网络用户的数量也在不断增加,而用户对网络带宽的需求也在日益增加。网络系统应该能为用户提供足够的带宽,满足用户的实际的网络需求,并且带宽应该具有可扩展性。在设备的选型中也应该考虑以后网络的升级和扩展。
(3)经济性:在进行企业网络的设计中,应在有效的经济资源下要建立一个完善的网络系统,所以需充分考虑一最简便的方法以及最少的投资,实现系统的扩展和维护。
(4)冗余性:在整个企业网络中,为了今后方便扩展,应该在网络中留有适当的冗余,从而是网络具有较强的可扩充性。
(5)先进性:网络技术的发展非常迅速,在计算机领域中也占有越来越重的地位。所以我们必须认识到在网络的建设中选用较为流行的产品才能在未来的发展中保持技术的领先。[2] 4.2 网络拓扑结构设计 4.2.1 互联网设计
成都XX实业(集团)有限公司的网络分布,主要是以三层星型结构对整个网络进行架构。有内外网之分。内网以XX集团青羊区总公司一楼为中心机房,从而覆盖周边的员工公寓的网络,而总公司与员工公寓是以光纤相连接。外网了根据2个分公司的网络而定,通过VPN隧道和总公司大楼的中心机房的防火墙连接来实现与内网相通信。由于企业的网络要长期有效、安全、稳定的使用,网络中的一定要保持良好的通信状态,核心层两个四层交换机不仅可以使网速提高,还可以提供网络的冗余。电信网络与一个带有路由器功能的防火墙相连接,这样对数据的传输和接收都能有效的进行控制和防护。由于防火墙本身有四个接口,一个接DMZ区,一个接外网,一个接内网,一个接口使用的是VPN隧道的硬件模块。DMZ去包括了对外服务器群,还有一个VPN隧道单独使用的服务器,具体如:企业网络拓扑图4.1所示
第9页
XX信息技术职业学院毕业设计
图4.1企业网络拓扑图
4.2.2 设计说明
本设计方案整体结构主要采用三层星型结构的层次模型,在总公司一楼电梯房旁边的一间房间设计为中心机房,管理公司内所有网络及核心设备,为核心层。公司内部分为两个区,办公区、和员工公寓。各区各设一个汇聚层交换机,负责区域到中心的连接,此为汇聚层(总公司的汇聚层交换机也在中心机房)。余下楼层交换机到桌面为接入层。
整个网络可分为四个区域,服务器区,办公区,员工公寓区,中心机房区,其中中心机房放置在总公司大楼一楼。
在本设计中,考虑到资源的充分利用,总公司到员工公寓大楼比相对较远,所以在宿舍设备间布置一台三层交换机进行汇聚,员工公寓与教学大楼之间采用单模光纤,垂直子系统采用室内多模光纤,以保障主干网络1000M的带宽要求,水平子系统采用超五类UTP,保障100M带宽到桌面。
在和服务器区相连部分采用硬件防火墙,防火墙DMZ区放置对外服务的
第10页
XX信息技术职业学院毕业设计 WEB/FTP服务器,同时兼做外网VPN服务器。并且在两个核心交换机上连接IDS病毒入侵检测系统,对外网访问和内网访问进行审计和检测。 4.2.3 DMZ区设计
DMZ是英文“demilitarized zone”的缩写,中文名称为“隔离区”,也称“非军事化区”。它是为了解决安装防火墙后外部网络不能访问内部网络服务器的问题,而设立的一个非安全系统与安全系统之间的缓冲区,这个缓冲区位于企业内部网络和外部网络之间的小网络区域内,在这个小网络区域内可以放置一些必须公开的服务器设施,如企业WEB服务器、FTP服务器和论坛等。另一方面,通过这样一个DMZ区域,更加有效地保护了内部网络,因为这种网络部署,比起一般的防火墙方案,对攻击者来说又多了一道关卡。DMZ防火墙方案为要保护的内部网络增加了一道安全防线,它通过防火墙的接口从而对VPN隧道和内网进行管理。
外部服务器群主要包括WWW服务器、DNS服务器、FTP服务器、MAIL服务器和VOD服务器,其主要功能是提供外网的访问和一些信息的处理。它与带有路由功能的防火请相连,更加提高了数据传输的安全性和稳定性。外部服务器根据企业的综合情况,从而外部服务器都将选择处理器和缓存等性能较高且硬盘存储量相对较低的服务器。
VPN服务器主要是对上海、绵阳两个分公司和移动办公人员进行对整个内网的访问时实现一个数据的处理和身份的验证,首先分公司和移动办公人员想要访问总公司的内部网络,必须通过VPN连接,请求数据通过防火墙进入DMZ区的VPN服务器,服务器将对请求数据者进行身份验证,合格者才能对内网数据进行访问。 4.2.4 VPN隧道设计
XX企业使用VPN隧道,就是为了能够有效的将远距离的网络和移动办公人员与企业内部网络相连接。VPN英文全称是“Virtual Private Network”,翻译
[7]过来就是“虚拟专用网络”。VPN被定义为通过一个公用网络(通常是因特网)
建立一个临时的、安全的连接,是一条穿过混乱的公用网络的安全、稳定隧道。使用这条隧道可以对数据进行几倍加密达到安全使用互联网的目的。虚拟专用网是对企业内部网的扩展。虚拟专用网可以帮助远程用户、公司分支机构、商业伙伴及供应商同公司的内部网建立可信的安全连接,用于经济有效地连接到商业伙伴和用户的安全外联网虚拟专用网。VPN主要采用隧道技术、加解密技术、密钥管理技术和使用者与设备身份认证技术。这样的连接可以使中心企业和分公司之间更安全和稳定的连接。各个分公司各用了一个防火墙(分公司的路由器带防火墙功能),这样更能保证数据的安全性。[5]
第11页
XX信息技术职业学院毕业设计 4.2.5 核心层设计
核心层的功能主要是实现骨干网络之间的优化传输,骨干层设计任务的重点通常是冗余能力、可靠性和高速的传输。[3]网络的控制功能最好尽量少在骨干层上实施。核心层一直被认为是所有流量的最终承受者和汇聚者,所以对核心层的设计以及网络设备的要求十分严格。我们选择了两台CISCO WS-C6509的四层交换机作为核心层交换机。核心层设备将占投资的主要部分。核心层需要考虑冗余设计,即我们对核心层了两个可堆叠四层交换机之间的连接采用了捆绑技术。核心层连接了管理服务器、数据库服务器和一个内部服务器群,管理服务器将对内网和外网的所有服务和数据传输进行管理,从而提高企业中的网络安全、稳定的运行。数据库服务器,数据库服务器将对企业的所有数据进行存储、控制和管理,由于企业的的安全性和数据相对较多,数据库服务器将对硬盘存储容量较大和安全性能较高的方面来进行选择。内部服务器群主要包括DHCP服务器、信息系统服务器、视频点播服务器等。DHCP服务器将对企业内部的IP地址通过和VLAN想结合进行有效的分配,从而更能节省IP地址。核心层还连接了一个IDS(入侵检测)和一个管理主机,管理主机将对整个核心层的服务器进行一个有效的管理,而IDS(入侵检测)将对企业网络中所以的数据传入进行检测,实现了一个相对安全的办公环境。
核心层交换机我们选择四层交换机实现数据的高速交换同时实现局域网路由。同时选择购买S-X6524-100FX-MMC作为千兆光模块实现与汇聚层的连接依次实现千兆主干网,百兆到桌面。根据公司的实际带宽需求,选择这个设备可以达到线速。
可靠性,适应性用户信息网站应采用大型关系数据库,模块化等先进成熟的技术方法,在给用户提供了极大的灵活性的同时,也有效地保证了系统的可靠性。CISCO的网络设备一直是行业领先者,在这里我们采用CISCO 6500系列的都是比较高端的交换机,保证可靠性。双电源的设计保证了中心交换机的供电的冗余。
可扩展性:网络构造应具有高度的扩展性,以降低系统扩充的投入成本,并满足信息技术高速发展的需要。能适应2-3年内的业务增长和突发性事件的需要,确保各级系统的可扩充性和先进性,并注意设备的冗余设计以及网络的负载均衡。CISCO 6509的交换机高度模块化,提供插槽的可扩展,电源的可扩展,引擎的可扩展。为日后公司的发展扩容打好基础。[4] 4.2.6 汇聚层设计
汇聚层是楼群、企业部门、小区的信息汇聚点,是连接接入层和核心层的网络设备,为接入层提供数据的汇聚、传输、管理、分发处理。汇聚层为接入层提供基于策略的连接,如地址合并,协议过滤,路由服务,认证管理等。通过网段
第12页
百度搜索“77cn”或“免费范文网”即可找到本站免费阅读全部范文。收藏本站方便下次阅读,免费范文网,提供经典小说综合文库XX企业Intranet网络设计及VPN技术的应用(3)在线全文阅读。
相关推荐: