【办公局域网优化方案设计（论文）】

办公局域网优化方案设计目录TOC\o"1-2"\h\u13573办公局域网优化方案设计 131877摘要 115179一、绪论 322297（一）选题背景 329566（二）可行性分析 39810二、现状及新增网络需求 312158（一）网络拓扑结构 316882（二）网络存在的问题 42015（三）网络业务分析 526800（四）接入Internet环境 528451（五）网络安全需求 524325三、网络设计原则和目标 619419（一）网络设计原则 615701（二）网络建设目标 714505四、网络方案设计 712375（一）网络拓扑结构设计 716762（二）IP子网规划设计 817913（三）VLAN规划和调整 928533（四）Internet接入方式调整优化 1029191（五）安全方案调整优化 1016749五、网络方案实施 114445（一）布线方案设计 1123768（二）网络安全配置 1310102数据安全性和完整性措施 1425503（三）网络测试 1412684（四）升级后网络与升级前的对比 1632062总结 17938参考文献 18摘要现代社会是以网络化与数字化为核心的时代。信息技术已经成为信息科学的一个新的分支。企业网络系统为了满足企业的不断发展和员工对信息网络系统的要求，已经成为一个企业走向信息化的必然发展趋势，在满足企业办公和员工使用的同时使办公管理向智能化发展，并承载服务、财务管理、人力资源管理、项目管理、档案管理系统等多种应用。企业网络的规划设计是一项庞大的工程，不同的规划设计方案，将存在较大的性能差异，它不仅体现在网络技术特性上，也体现了不同用户的需求，而企业网络的建设将对企业的信息化的提高起到强有力的推动作用，同时提供高效、便捷的办公环境。目前企业现有网络已不能满足当前的业务需求，因此在原有网络基础上对该网络进行网络优化。本方案重新规划设计了企业网络拓扑结构，使整个网络结构更加规范、合理；更新了核心交换机和新的网络安硬件，核心层采用环形结构，使整个网络性能得到提升，并详细规划设计了IP地址，增加了终端网络接口，给以后的网络扩展留下了空间。同时也对网络安全进行了一些设计。关键字：Intenert、网络规划、IP地址、网络安全一、绪论（一）选题背景有目共睹，IT技术已改变了现在人们的日常生活，它对我们的生活有着极其深刻的影响，尤其是在政府单位、企业公司、教学机构等，局域网的建设和规划尤为重要。在如今全球信息化的时代，近些年ICT发展速度迅猛飞快，电子商务、网络多媒体等应用持续改变着人们的生活。这一切都显示着万物互联时代的来临。但是，许多公司网络规划与设备现状由于历史的种种原因导致方案技术相对陈旧，网络拓扑也存在着隐患，而且目前正在运行的硬件设备及网络结构已经远远不能胜任现在的使用需要。因此，必须对现有的网络环境做出一套针对目前企业发展状况的网络优化升级方案。（二）可行性分析可行性分析如下：（1）在网络设计时通过使用三层网络架构、OSPF路由技术配置。将会解决对核心网络干线的压力，增加了网络的高利用率；（2）在企业内部按部门进行VLAN虚拟局域网划分，采用DHCP服务动态分配IP地址，针对不同的部门类型，制定相应的访问控制权限。针对服务器区域提供隔离区域的安全策略；控制网络广播风暴，方便地址管理和对非法用户访问进行有效控制和管理，增加了网络的安全性；（3）建立防止DoS攻击平台。满足日常网络正常业务需求及日常用户上网需求；（4）在企业办公区内部建立适当的光纤连接，每栋建筑内部都有弱电布线，从而有利于网络的使用和扩展；（5）远程连接总部或分办事处采用VPN进行连接。提供了简单、安全的链接通道。二、现状及新增网络需求（一）网络拓扑结构图2-1原有网络拓扑结构（二）网络存在的问题网络存在着相对较大的网络运行稳定隐患，物理网络架构主要问题如下：网络架构中使用的层级设备有严重误区，比如核心设备用的不是核心交换机而是AC无线控制器，这种链接方式虽然可以正常使用网络，但存在着巨大的稳定性隐患。本应该作三层核心交换机的设备却做了汇聚层设备，而且右侧架构只有财务部在使用，并无其它部门使用。左侧无线网络架构中，不应该把服务器区域也归纳在里面，但实际应用中服务器确实在此架构中并正常使用网络。网络架构中也没有相关的邮件安全设备及网络流量监控设备，也没有做冗余技术，这样不仅公司邮箱系统没有安全保障，而且一旦被黑客攻击后，会造成网络设备大面宕机，从而使办公网络进入瘫痪状态。上述问题是物理网络架构中我们显而易见的问题，那么此网络架构中逻辑架构也存在着一些配置问题，主要问题如下：（1）虚拟局域网络划分混乱，虽然已划分VLAN功能，但并没有按照统一管理思路进行划分，如同一个VLAN出现在多个不同交换机上。如果早期规划完善这种问题并不会出现。（2）服务器区域并没有做VLAN或IP地址限制，即内网所有人只要知道服务器IP地址就可以登陆到内网服务器中，这无疑是增加了网络安全隐患。（3）硬件防火墙设备只做了简单配置，并没有配置相关的安全策略及区域设置，也没有把内部服务端口，如OA、CRM等应用映射到公网为出差在外的同事提供服务。（三）网络业务分析为了解决现有网络架构中存在的问题及后期网络扩容问题，我们决定在本次优化方案中重新调整网络架构及一些相关的功能配置，并且还会加入相关的网络安全设备及流量控制设备，确保后期公司网络不仅稳定运行，而且还可以保证公司可以持续增加办公网络用户的需求。（四）接入Internet环境对出口网络的连接需求主要是能够与Internet互联网连接，可与办公网内部进行数据通信。能够与国内相关单位进行数据信息交流。还能可满足公出同事、领导及其他公务人员及时与单位保持密切联络。为此应通过虚拟私有网络、无线网等公用或专用数据网络与总部进行连接，然后再将其连接到互联网。对办公楼的网络布线需要按照国际相关计算机网络通信标准进行设计。申请正式公网IP和企业域名，配置路由器及防火墙，安装服务器（资源存储、共享、Web服务），完成与Internet的连接，整体网络既可以在内部使用，又可与外部网络安全互联，从而实现与内外界数据交换。（五）网络安全需求满足基本的网络安全需求，是公司网络成功运行的先决且必须的条件，在网络可正常运行的基础上提供高效的安全保障，是网络安全要求的重要原则。企业网络部署了众多的网络硬件设备及硬件服务器等，保护这些设备正常工作，维护业务系统的安全，是网络的基本安全要求。对于网络攻击和渗透，如何保证在高效的网络通讯下，抵御网络攻击，并且提供跟踪手段。网络安全要求主要表现如下：（1）在网络运行正常时受到网络攻击的情况下，能够保证网络正常运行。（2）保障网络管理信息及网络部署资料不被窃取。（3）具备完整的入侵检测及追踪体系。（4）访问控制列表：通过对特定网段、服务建立的访问控制列表，将绝大多数攻击阻止在进入内网之前；（5）检查安全漏洞：通过对安全漏洞的检查，即便可被攻击，也可使绝大多数攻击无效；（6）攻击检测：通过对特定网段建立的攻击监控系统，可实时检测出绝大多数的攻击，并采取相应行动（如切开网络连接、记录攻击信息、跟踪攻击源等动作）；（7）加密通讯数据：主动的加密通讯数据，可使攻击者收集不到敏感信息；（8）用户身份认证：良好的认证体系可防止攻击者伪装成合法用户身份；（9）恢复和备份：良好的恢复和备份策略，可在攻击结束后迅速地恢复数据和系统服务功能；（10）多层防御系统：攻击者在突破第一道关卡后，延缓或阻断其到达最终目标；（11）内部信息脱敏：使攻击者就算拿到系统内部的基本信息情况也不能分析出准确信息；（12）设立安全监测中心：为信息系统提供安全管理、监测，维护及紧急服务；三、网络设计原则和目标（一）网络设计原则建设公司的计算机网络系统原则上考虑到实用性、先进性、开放性、冗余性、可扩展性、安全性和可靠性等使爱可生公司网络系统更合理、更经济、具有更良好的传输性能。网络实用性是建设的首要原则，此网络需要最大化的满足企业的需求，保证网络运行的质量，否则就会影响企业员工日常工作的效率及安全。该网络拓扑应能最大限度的满足公司各项业务的数据传输处理要求。网络先进性主要是对企业网络的设计理念、结构、软硬件设施以及技术等方面。这样才可能够为网络带来更高的性能和稳定性。开放性是指企业内部网络与外部网络的信息交换、技术交流等方面。它可以使企业在第一时间与外界进行交流使企业尽快的掌握行业之内领先的技术和思想。可靠性和完全性是认证整个企业网络系统正常运转的前提条件和基础。安全性是指企业内部商业机密的安全和数据访问以及数据传输的信息安全，使其避免非法访问和攻击。可靠性要保证网络系统能不间断的为企业提供服务，即使系统发生异常也要保证系统内信息的完整、正确和紧急恢复。（二）网络建设目标建设一个能够满足爱可生公司需求的网络。该企业的网络建设包含的每个部门有，生产部、销售部、研发部、系统集成部、采购部、后勤部、宣传部、财务部、人力资源部；本方案在网络系统建设的时候主要能做到以下几点：（1）即将部署的网络技术要符合国际标准。能结合网络厂商的设备及功能实现。（2）能够适应公司的机构建制和业务工作流程，适应公司部门多、组织结构复杂特点，合理有效的进行网络规划。（3）使用的技术及设备要具有可扩展性和稳定性。（4）适应公司网络及信息流量大的情况，对信息流量做合理分流，实现高效的安全访问控制和运行管理体系，并能解决互联网络带来的一系列问题。（5）增加网络系统的运行可靠性，降低安全隐患，提供网络的可维护性。四、网络方案设计（一）网络拓扑结构设计图4-1网络拓扑图在公司的网络建设中，主要分为两个主要区域，分别为员工办公区域和服务器DMZ区域，办公区是一些重要的办公室所在区域。财务办公室是不允许非财务人员访问财务服务器的，系统集成部也不允许非部门人员可以访问VM虚拟机测试环境和存储服务器，并且DMZ区域除Web服务器可以让外部访问，其他服务器不可以直接被外部访问。（二）IP子网规划设计根据第二章的业务需求分析，由于办公室各部门职能不同，将整个公司划分为多个子网。职能办公区域子网：每个部门都要分一个不同的子网，这样方便后期管理。DMZ区域子网：一些服务器不能对外开放，有的服务器可以对外开放。职能办公区域与独立办公室主大约有200个内网信息点，本次规划多出100个信息点，为日后持续的新进人员预留，每一个职能部门将在同一个交换机上，每一个部门也只划分为一个VLAN，这样分配不仅物理网络架构清晰可见，逻辑功能架构也清晰可见，方便日后网络运维同事进行运维工作。办公网络子网划分级别网络地址子网数(24位)主机数地址范围A办公网络25665024/1654B服务管理网络328128/1954C基础设备41016/2254D网络设备1254/2454安防设备1254/2454办公设备1254/2454C服务器(内部)81016/2154DVM服务器2508/2454/2454基础服务1254/2454应用服务1254/2454B客户端网络6416256/1854C部门子网164064/2054D信息管理部1254/2454财务部1254/2454C无线网络164064/2054D无线办公网41016/2254无线来宾网络41016/2254C核心网络1254/2454表4-1IP子网规划（三）VLAN规划和调整办公网络VLAN规划和调整表VLAN网络地址备注100-490服务管理网络管理VLAN/19200基础设备策略LVAN/22200-290网络设备业务VLAN/24安防设备业务VLAN/24办公设备业务VLAN/24300服务器(内部)策略LVAN/21300-490VM服务器业务VLAN/24/24基础服务业务VLAN/24应用服务业务VLAN/24500-900客户端网络管理VLAN/18500部门子网策略LVAN/20500-650信息管理部业务VLAN/24财务部业务VLAN/24660无线网络策略LVAN/20660-740无线办公网业务VLAN/22无线来宾网络业务VLAN/22750核心网络策略LVAN/24表4-2VLAN规划设计表（四）Internet接入方式调整优化本次使用DDN专线（数字数据网）接入，DDN专线是针对企业上网的一种Internet接入方式。它是随着当今通讯业务的发展而飞快发展起来的一种专用数字隧道网络系统。DDN的主干网传输介质主要是微波、光纤、信道等，如用户端较多，可使用双绞线和光纤。DDN将数字通信领域的重要技术有机地结合在一起，提供了高速、高质量、高稳定性的传输环境，可以向用户提供PtoP、PtoMP透明传输的数据专线线路。DDN的通信速率可根据用户实际需求在Nx64之间进行选择。本次接入方式与以往相同，只在带宽方面有所调整，之前用的专线网络带宽为100M，由于员工人数日益增长，有时还会使用线上会议软件开全员大会，导致100M带宽满载运行情况，所以本次决定把带宽提升为200M来保障后续的办公需求。（五）安全方案调整优化企业防火墙被应用于内外部网络连接之间，用虚拟局域网技术，外部互联网对内部网络的访问首先要经过企业防火墙，企业防火墙对进入内部网络的数据内容进行各层次检查、控制、过滤和即时报警，从而确保网络的安全。HuaWei的USG系列的企业防火墙向企业网络提供配置简单的特性和全方位的网络安全性。USG企业防火墙的核心是一种基于安全算法的保护方案，高效快速的对黑客隐藏客户端相应地址。USG的防火墙还具有执行速度快、操作简单的优点，同时也能有效改善地址不够用问题。企业网络的安全非常重要它作为企业向内外实现业务交流的重要窗口。代表着企业的文化和形象，更重要是的一些重要信息关系到企业的发展和稳定等。所以必须具有很高的安全性能。它的具体表现为：（1）内部安全和外部安全（包括网络攻击、物理安全，环境安全、漏电保护等）具体的实施方法：在网络设备上配置ACL访问控制列表来防止 DOS的攻击。如有条件还可以加入一台IDS入侵检测设备（2）应用硬件防火墙设备设置代理服务器。（3）如有需要USG防火墙还可以建立VPN连接。（4）按标准实现网络工程的实施（机房标准。三防，三度等） （5）加强企业内人员的安全意识。有效的防止携带计算机病毒进入或机密被泄露。增强信息安全性。本次我们不仅在功能配置上实现网络安全需求，还在网络物理架构中进行冗余配置。入侵检测及硬件设备信息运行数据监控体系我们在本次优化中并没用采用硬件设备，而是用LINUX系统服务搭建了一套完整的监控平台，在平台中可查看各个设备运行参数和状态，如有异常流量出现平台将会发送告警信息。安排网络安全工程师编辑针对公司业务的安全漏洞检查和攻击检测脚本，并键入监控平台，每日网络运维人员会根据日常运维项来检查平台日志与系统日志。数据加密通讯及用户身份认证，我们采用防火墙VPN方式来解决这两个问题，不仅安全便捷，也节省了企业成本。同时我们还创建了备份脚本，把所有的硬件配置及重要数据信息，实时同步到另一个数据中心中。在保证内外网络数据互通的同时，我们把数据进行了脱敏处理并且在硬件设备上，如防火墙及三层交换机上也做了多层防御配置。这样以来内部网络环境及数据会在相对安全的环境下与外部互联网进行数据交互。当然这套初期方案并不是最完美的，后期根据公司业务及公司发展需要仍会继续优化。五、网络方案实施（一）布线方案设计布线施工，针对不同环境，要严格按照综合布线方案有关条款进行施工，提出以下几点要求，如有不达标要求须做返工处理。明线槽铺设：要求在无外力作用的情况下，保证10年以上15年以下的使用期限，因此对不同规格的线槽安装要求有不同的标准：线槽规格（mm）间隔（mm）螺钉标准（个）小于25×3015-251小于50×5015-302（错位安装）小于30×10015-303（错位安装）表6-1线槽规格表金属明槽安装原则上应使用托架（托架间隔1米至1.5米），不能安装托架的地段，每间隔15㎝-30㎝距离,安装三个固定螺钉,且要求错位安装；若为“S”型“Z”布管，拐弯时均需要安装过线盒，不易拐弯则用软管走线。暗管铺设：摄像头、广播设备、报警设备等此类的线槽均采用暗管铺设。原管能利用的尽最大可能采取利旧措施。垂直干线铺设方式：线缆在弱电系统中不允许打结和交叉，必须保持横平竖直。为了消除线缆受重力作用导致的位移，每间隔1.5米左右需打扎带一次，且使用“U”型夹固定。 布线的其它要求：线缆铺设涉及到电源、网线等，对铺设要求：（1）强弱电系统分开铺设；（2）强弱电系统中管路水平方方向走线时，至少保持10至30厘米的距离；（3）强弱电管路交叉垂直时必须套软管；（4）相关线缆的两端均需作线标；（5）网线、电源线中间不允许有续端接点；  施工注意事项：（1）仔细查阅施工图纸施工前，须认真查阅其它专业的施工图纸，尤其是结构施工图和通风施工图。为水平子系统找出最合理的线路走向，这样既节省线缆长度，又避免与其它管路发生不必要的冲突。综合布线一般由专业的施工公司负责施工，施工方仅做管路预铺、线缆铺设，如果在施工中不遵循铺设原则，将会增加水平子系统的管线长度，不利于综合布线系统的通信能力、稳定性、传输速率的提高。 （2）施工中要满足设计裕量在实际施工中，不可能保证水平线缆一直保持直线方向路由，所以在安装中，需要的线缆总会预计的量大，这就需要电气工程师在设计时考虑一定的裕量。实际线缆平均长度的30%作为裕量。否则将会造成材料的浪费或不足。（3）使用高质量的线缆材料 在多数设计方案中，水平子系统是被设计在吊顶、墙体内的，可以认为水平子系统是不可更改的系统。在实施中，应尽量使用质量可靠的管路和线缆，保证用户日后出现不必要的故障。（4）严格遵守弱电布线规范 良好的施工质量，可使水平子系统在其正常工作周期内，始终保证良好夫人工作状态和稳定的性能，尤其通信线缆和光纤，施工质量的好坏对弱电系统的影响尤其重要，因此在施工中，要严格遵守弱电施工规范标准。（二）网络安全配置终端用户病毒防御Windows提供了很多服务，我们需要禁止一些不必要的服务。Telnet就是一个比较典型的服务。微软官方这样解释：“允许用户远程登录到系统并可使用命令行控制程序。”建议禁止该服务。NetBIOSWin系统还有很多服务。可以根据实际使用情况禁止某种服务。此做法可以减少安全隐患。系统补丁Microsofe公司每个一段时间周期就会在官方网站发布相关漏洞补丁。这些漏洞补丁除了可以增强兼容性外，更重要的是修复已发现的安全漏洞。企业防火墙USG配置网络地址转换是把内网地址转换成临时的外网地址。它允许内部私有IP地址访问外部网络。在内外部网络互相访问时，会产生一条映射记录。网络地址转换技术将源地址和源端口号映射为另外一个地址和端口，用这个转换地址与外部网络连接。外部网络访问企业内部网络时，外部网络并不知道内部网络的地址情况。USG企业防火墙会根据预配置好的映射规则来判断这个访问是否合法。当条件符合规则时，将放行此次访问否则将拒绝此次访问。网络地址转换的过程对于用户来说是透明的，不需要终端用户进行设置。网络系统的保密措施配置（1）服务器安全漏洞任何网络中安全性都不是绝对的，无论是Linux系统还是Windows系统都存在系统安全漏洞，官方会不定期发布系统漏洞补丁，系统管理员应定期下载并及时安装系统漏洞补丁。（2）管理员密码保护用户密码应使用大小写、数字、特殊字符混合方式设置，不能少于16位，同时要定期修改； 建立用户帐号锁定规则，当帐号密码校验错误若干次时，自动断开连接并锁定该帐号，如需解封需要管理员介入；（3）关闭不需要的系统服务端口。很多网络攻击程序是针对特定服务端口发起的。常用的系统服务端口有：HTTP80端口，Telnet23端口，FTP20、21端口，这些端口可根据情况选择更改或关闭端口。（4）制定完善的系统安全管理制度，定期使用网管软件对整个局域网进行扫描监控，发现问题及时更改。定期使用安全软件扫描端口，发现漏洞及时补救。数据安全性和完整性措施为了更好的解决上述问题，就必须利用另外一种数字签名安全技术。PKI技术就是利用公钥技术建立的提供安全服务的数字密钥技术。PKI数字密钥技术是信息安全的核心。数字密钥技术是一种适合电子商务、电子政务的密码技术，它能够有效地解决系统应用中的密码机密性、完整性和存取控制等安全问题。一个实用的数字密钥技术体系应该是安全易用的。它必须充分考虑操作性和扩展性。认证机构CA的部署CA是确保信任度的权威实体服务器，它的主要职责是颁发证书、验证用户身份的真实性。由认证机构签发的网络用户电子证书，具有三方权威性，应当相信持有电子身份证明的用户。认证机构也要采取相应的措施来防止电子证书被伪造或篡改，构建一个具有较强安全性的认证机构是相当重要的。（三）网络测试此次网络拓扑方案的测试结果是在HuaWeieNSP模拟器上模拟真实环境进行的，所以本次测试只测试一些基本设备的连通性。办公区域不同VLAN间通信测试在模拟器eNSP上，选用一台客户机并设置IP地址为办公区域内的任意一个IP地址，如00/24。使用另一台PC机做其它VLAN，并设置其IP地址为其它VLAN内的任意一台PC的IP地址，如54/24。测试这两台PC之间的连通性。图5-1办公区域不同VLAN间通信测试从测试结果上可看出，VLAN10内的PC是可以pingVLAN30内的PC，说明不同VLAN间可以通信。 在模拟器eNSP上，使用一台客户机做办公区域的PC机，并设置IP地址为办公区域内的任意一台客户机的IP地址，如10/24。使用一台服务器，并设置其IP地址为0/24，测试它们之间的连通性。图5-2相关办公区域与内网服务器连通性测试从测试结果上可看出，相关办公区域与服务器之间是可以ping通的，说明可以访问服务器。在模拟器eNSP上，使用一台客户机做办公区域的PC机，并设置IP地址为办公区域内的任意一台客户机的IP地址，如20/24。使用一台服务器作为外网服务器，并设置其IP地址为/24，测试它们之间的连通性。图5-3办公区域与外网的连通性测试从测试结果上可看出，相关办公区域与外部网络可以ping通的，说明可以访问Internet。（四）升级后网络与升级前的对比本次公司网络优化方案主要围绕着物理网络架构优化及逻辑网络优化开展，旧的网络拓扑无论在物理架构上还是逻辑功能上都不能很好的为公司提供较高质量的服务，尤其是用AC控制器作核心交换机，AC设备是针对于无线网络而言，它并不能做主干链路上的核心设备