办公网络系统建设方案

办公网络系统建设方案一、常见企业内网安全技术虚拟局域网技术(vlan)vlan介绍IP地址租赁等30%效率将会明显下降。所以，当局域网内的计算机到达肯定数量后〔通常限制在150~200台以内N的方式将网络分隔开来，将一个大的播送域划分为假设干个小的播送域，以减小播送可能造成的损害。成为一个单独的播送域，子网之间进展通信必需通过三层设备。当VLAN在交换机上划分后，不同VLAN间的设备就如同是被物理地分割。也就是说，连接到同一交换机、然而处于不同VLAN的设备，就如同被物理地连接到两个位于间将无法得知对方的存在，将无法进展任何通信。VLAN的重要意义VLAN不同交换机。降低移动和变更的治理本钱需在交换机上重定义一下VLAN成员即可。尤其是在承受MAC地址动态划分VLAN时，当用户将计算机从一个交换机端口移动到另一个交换机端口，由MACMAC地VLAN中。掌握播送由于全部的播送都只在本VLANVLAN上，的集中。支持多媒体技术和高效组播掌握据传输的实时性，更有效地使用了带宽，降低了网络因拥挤而堵塞的可能性。增加安全性VLANVLAN的VLANVLAN只被授权的用户访问。因此，通访问。VLAN需要的设备VLAN，并且拥有三层交换功能。VLAN划分功能。VLANVLAN和中继协IEEE802.1Q802.3ad网络协议。否则，将无法实现VLAN在不同交换机之间的跨越。不同厂商都执行一样的国际标准和协议，但同时也大量采有独特的协议和技术〔如o的IS，因此，在交换机间实现N中继时，会遇到很多困难，上的便利，应当尽量购置一样品牌的产品。arparp攻击类型仿冒网关ARPIPIPMAC地址为伪造ARPARP表中网关IPMAC地址的对应关系。这样一来，主机访问网关的流量，被重定向到MAC地址，导致该用户无法正常访问外网。哄骗网关ARPIPIP地址，MACMACARPARP表中原合法用户的IP地址与MAC地址的对应关系。这样一来，网关发给该用户的全部数据全部重定向到一个错误的MAC哄骗终端用户ARPIPIP地址，MACMACARP者更自身ARP表中原合法用户的IP地址与MACMAC段内的用户无法正常互访。“中间人”攻击ARPARP1-4所示，HostAHostCSwitch进展通信。此时，假设有恶意攻击者〔HostB〕HostA和HostCARPHostA和HostC用MAC_B更自身ARP映射表中与对方IP地址相应的表项。此后，HostA和HostC之间看似“直接”的通信，实际上都是通过黑客所在的主机HostB担当了“中间人”的角色，可以对信息进展了窃取和篡改。这种攻击方式就称作“中间人〔Man-In-The-Middle〕攻击”。ARP报文泛洪攻击ARPCPU负担过重，造成其他功能无法正常运行甚至设备瘫痪。arp攻击防范DHCPSnooping功能DHCPSnoopingIP地址。IP静态绑定功能DHCPSnoopingDHCPIP地址的客户端信息，IPIPMAC地址等信息将不会被DHCPSnooping表记录。因此，交换机支持手工配置IP静态绑定表的表项，实现用户的IP地址、MAC地址及接入交换机连接该用户的端口之间的绑定关系。这样，ARP入侵检测功能过滤。ARP入侵检测功能ARPIPMACDHCPSnooping表IPARP报文的入端口及其所属VLANIPARP报文，进展转发处理。DHCPSnoopingIP静态绑定表项不匹配，或ARP报文的入端口，入端口所IPARP报文，直接丢弃。ARP报文限速功能H3CARP报文限速功能，使受到攻击的端口临时CPU的冲击。ARPARP报文数量进展统计，假设每秒收到的ARP报文数量超过设定值，则认为该端口处于超速状态〔即受到ARP报文攻击。此时，交换机将关闭该端口，使其不再接收任何报文，从而避开大量ARP报文攻击设备。同时，设备支持配置端口状态自动恢复功能，对于配置了ARP限速功能的端口，在其因超速而被交换机关闭后，经过一段时间可以自动恢复为开启状态。防止伪dhcp哄骗攻击DHCPSnooping的两个主要功能总体来说，DHCPSnooping具有以下两方面功能：DHCPDHCPIP地址DHCPDHCPIP地址，DHCPSnooping安全机制允许将端口分为“信任端口“〔TrustedPort〕和“不信任端口“〔UntrustedPort〕两大类。信任端口正常转发接收到的DHCP报文；而不信任端口接收到DHCP效劳器响应的DHCP-ACK和DHCP-OFFER报文后，丢弃该报文。然后DHCPDHCPSnooping设备的端口设置为信任端口，其他全部端口〔DHCP客户端的端口〕均设置为不信任端口。另外，启用DHCPSnooping功能后，通过监听非信任端口收到的DHCP-REQUESTDHCP-ACKDHCPSnooping表项，其中包括客户端的MAC地址、猎取到的IP地址、与DHCP客户端连接的端口及该端口所属的VLAN等信息。利用这些信息可以帮助实现以下这些其他安全功能〔不是本节介绍的范围：ARP快速应答：依据DHCPSnoopingARP快速应答，从而ARP播送报文。Pn〔P检测PgP报文的ARP攻击。IPePg表项对端口转发的报文进展过滤，防止非法报文通过该端口。ipvlan序号vlan工程网段网关IP序号vlan工程网段网关1vlan101办公/2542vlan102ap/24543vlan103监控/24544vlan104访客/24545vlan105语音/24546vlan106wifiuser/24547vlan107门禁/24548vlan110server/2454二、网络拓扑图三、域控系统域控系统特色对信息资源实现集中共享，对称治理。对全部计算机实现集中、有效治理。对全部电脑帐户实现统一安排，单节点治理。对信息安全需求的无缝满足。使用域控优势资源共享与管控优势资源共享与管控优势“工作组”用户间需要对信息资源进展共享访问时，通常只用临时的方法处息资源没有被一个中心角色去统一安排治理。源共享混乱如麻的局面，不仅便利用户快捷地查找和定位网络资源(网络资源包IT人员工作负担，帮助IT人员节约时间去完成其它更有意义的工作。计算机硬件治理优势工作组”全部计算机之间关系是相互公平，没有主次之分，彼此之间的信息相互孤立，并且任何组员都可以自主选择参加或退出该“工作组”，对“工作组”内种相对严格的组织是“域控系统”。核，因此参加的计算机也就承受了“域控系统”的治理。“域控系统”便利IT资产的统计治理、并依据治理需要对用户的使用习惯进展引导性治理(实时批量统计用户电脑硬件配置详情满足资产报告;定时关机以节约电源、延长设备使用寿命;便利依据岗位需求实现资源统一调配等)。计算机软件治理优势统”上完成，并且可以依据需要对软件进展定制分发。一存档、这样分散的状况无疑给治理和信息资源沟通带来很大的屏障，而“域控现在使用的工作组的治理模式要更加安全有效。(如在全集团公司全部员工使用且每个账户相互隔离，用户的权限和登录账户绑定。)〔密码使用策略、软件安装策略、软件使用策略、桌面环境统一策略、用户权限限制策略等。四、无线网络掩盖系统无线掩盖的优势比照于传统的有线网络，无线局域网的应用价值表达在：可移动性户不管在任何地方都可以实时地访问信息。布线简洁安装简洁，建网时间可大大缩短。的点对点模式扩展到上千用户的根底架构网络。这种优势表达在用户网络需要租用大量的电信专线进展通信的时候，自行组建的WLAN会为用户节约大量的租用费用。在需要频繁移动和变化的动态环境中，无线局域网的投资更有回报。apap数量规划依据如下：按区域划分，ap分布依据办公网络分为大办公区域和领导办公区域。ap30米。apap30人。AcAC需供给纯千兆以太网接入口，poe+供电，同时兼容802.11a/b/g/n协议。VLAN VLAN4094个VLAN〔VLAN-VPNQinQ〕QinQ支持协议VLANGVRPVLANMAC地址学习功能QOS

支持IGMPSnoopingv1/v2/v3VLAN2561024个组播组VLAN支持未知组播丢弃MAC地址支持命令行接口〔CLI〕配置Telnet远程配置Console口配置SNMPRMON告警、大事、历史记录iMC网管系统WEB网管支持系统日志支持分级告警安全治理支持用户分级治理和口令保护AAA认证Radius认证SSH2.0VLAN支持端口隔离支持端口安全MAC地址认证ARP入侵检测IP地址过滤安全防范支持非法ap反制ap检测支持防冒攻击接入掌握支持portal认证802.1x