【北京A有限公司办公局域网优化方案设计13000字（论文）】

北京A有限公司办公局域网优化方案设计到提升，并详细规划设计了IP地址，增加了终端网络接□,给以后的网络扩展留 1 11.第一章绪论 3 3 3 4 4 4 5 6 6 6第三章网络设计原则和目标 8网络设计原则 8 8第四章网络方案设计 9网络拓扑结构设计 9IP子网规划设计 9VLAN规划和调整 Internet接入方式调整优化 第五章设备选型及配置 第六章网络方案实施 网络安全配置 升级后网络与升级前的对比 第七章总结 但是，北京A有限公司网络规划与设备现状由于历史的种种原因导致方案(2)在企业内部按部门进行VLAN虚拟局域网划分，采用DHCP服务动态分配IP地址，针对不同的部门类型，制定相应的访问控供隔离区域的安全策略；控制网络广播风暴，方便地(3)建立防止DoS攻击平台。满足日常网络正常业务需求及日常用户上网需求；(4)在企业办公区内部建立适当的光纤连接，每栋建筑内部都有弱电布线，从而(5)远程连接总部或分办事处采用VPN进行连接。提供了简单、安全的链接通第二章现状及新增网络需求原有网络拓扑结构防火墙无线控制器办公计算机核心交换机财务部图2-1原有网络拓扑结构原有网络存在的问题原有网络存在着相对较大的网络运行稳定隐患，物理网络架构主要问题如下：1.网络架构中使用的层级设备有严重误区，比如核心设备用的不是核心交换机而是AC无线控制器，这种链接方式虽然可以正常使用网络，但存在着巨大的稳定性隐患。2.本应该作三层核心交换机的设备却做了汇聚层设备，而且右侧架构只有3.左侧无线网络架构中，不应该把服务器区域也归纳在里面，但实际应用4.网络架构中也没有相关的邮件安全设备及网络流量监控设备，也没有做冗余技术，这样不仅公司邮箱系统没有安全保障，而且一旦被黑客攻击1.虚拟局域网络划分混乱，虽然已划分VLAN功能，但并没有按照统一管理思路进行划分，如同一个VLAN出现在多个不3.硬件防火墙设备只做了简单配置，并没有配置相关的安全策略及区域设置，也没有把内部服务端口，如OA、CRM等应用映射到公网为出差在该企业于2016年实现了业务电子化和办公自动化，基本完成了全公司范围办公大楼主体为1000平米的平层，大部分区域是开放办公区域，副总及总序列无线信息点有线信息点备注旧5新有预留表2-1办公楼信息点分布接入Internet环境进行数据通信。能够与国内相关单位进行数据信息交流。还能可满足公出同事、正式公网IP和企业域名，配置路由器及防火墙，安装服务器(资源存储、共享、Web服务),完成与Internet的连接，整体网络既可以在内部使用，又可与外部(1)在网络运行正常时受到网络攻击的情况下，能够保证网络正常运行。(2)保障网络管理信息及网络部署资料不被窃取。(3)具备完整的入侵检测及追踪体系。(4)访问控制列表：通过对特定网段、服务建立的访问控制列表，将绝大多数攻击阻止在进入内网之前；(5)检查安全漏洞：通过对安全漏洞的检查，即便可被攻击，也可使绝大多数攻击无效；(6)攻击检测：通过对特定网段建立的攻击监控系统，可实时检测出绝大多数的攻击，并采取相应行动(如切开网络连接、记录攻击信息、跟踪攻击源等动(7)加密通讯数据：主动的加密通讯数据，可使攻击者收集不到敏感信息；(8)用户身份认证：良好的认证体系可防止攻击者伪装成合法用户身份；(9)恢复和备份：良好的恢复和备份策略，可在攻击结束后迅速地恢复数据和系统服务功能；(10)多层防御系统：攻击者在突破第一道关卡后，延缓或阻断其到达最终目标；(11)内部信息脱敏：使攻击者就算拿到系统内部的基本信息情况也不能分析出准确信息；(12)设立安全监测中心：为信息系统提供安全管理、监测，维护及紧急服务；网络设计原则性、冗余性、可扩展性、安全性和可靠性等使A公司网络系统更合理、更经济、使企业在第一时间与外界进行交流使企业尽快的掌握行业之内领先的技术和思建设一个能够满足A公司需求的网络。该企业的网络建设包含的每个部门(1)即将部署的网络技术要符合国际标准。能结合网络厂商的设备及功能实现。(2)能够适应公司的机构建制和业务工作流程，适应公司部门多、组织结构复杂(3)使用的技术及设备要具有可扩展性和稳定性。(4)适应公司网络及信息流量大的情况，对信息流量做合理分流，实现高效的安(5)增加网络系统的运行可靠性，降低安全隐患，提供网络的可维护性。第四章网络方案设计网络拓扑结构设计汇聚交换机汇聚交换机财务服务器接入层无线控制器接入交换机接入交换机接入交换机接入交换机接入交换机接入交换机接入交换机接入交换机图4-1网络拓扑图部也不允许非部门人员可以访问VM虚拟机测试环境和存储服务器，并且DMZ区域除Web服务器可以让外部访问，其他服务器不可以直接被外部访问。IP子网规划设计(1)职能办公区域子网：每个部门都要分一个不同的子网，这样方便后期管理。(2)职能办公区域与独立办公室主大约有200个内网信息点，本次规划多出100个信息点，为日后持续的新进人员预留，每一个职上，每一个部门也只划分为一个VLAN,这样分配不仅物理网络架构清晰可级别(24位)地址范围A办公网络BC4D网络设备1安防设备1办公设备1C服务器(内部)8D211BC部门子网D11CD无线办公网44C1VLAN规划和调整管理网络设备安防设备办公设备服务器(内部)管理部门子网信息管理部财务部无线网络无线办公网无线来宾网络核心网络本次使用DDN专线(数字数据网)接入，DDN专线是针对企业上网的一种较多，可使用双绞线和光纤。DDN将数字通信领域的重要技术有机地结合在一起，提供了高速、高质量、高稳定性的传输环境，可以向用户提供Pto为100M,由于员工人数日益增长，有时还会使用线上会议软件开全员大会，导致100M带宽满载运行情况，所以本次决定把带宽提升为200M来保障后续的办安全方案调整优化(1)内部安全和外部安全(包括网络攻击、物理安全，环境安全、漏电保护等)具体的实施方法：在网络设备上配置ACL访问控击。如有条件还可以加入一台IDS入侵检测设备(2)应用硬件防火墙设备设置代理服务器。(3)如有需要USG防火墙还可以建立VPN连接。(4)按标准实现网络工程的实施(机房标准。三防，三度等)(5)加强企业内人员的安全意识。有效的防止携带计算机病毒进入或机密被泄露。本次我们不仅在功能配置上实现网络安全需求，还在网络物理架构中进行没用采用硬件设备，而是用LINUX系统服务搭建了一套完整的监控平台，在平台中可查看各个设备运行参数和状态，如有异常流测脚本，并键入监控平台，每日网络运维人员会根据日题，不仅安全便捷，也节省了企业成本。同时我们还创有的硬件配置及重要数据信息，实时同步到另一火墙及三层交换机上也做了多层防御配置。这样在相对安全的环境下与外部互联网进行数据交互。当然第五章设备选型及配置本次办公网优化项目预算为62W,因为之前设备有的可以做利旧处理所以本办公网络优化项目预算表序号小计四季度1一、经费支出(合21、设备费需要单独填写明细清单3(1)购置设备费4(2)试制设备费5(3)设备租赁费(或折旧)62、材料费73、测试化验加工费84、燃料动力费95、合作研发外协、外包费合作交流费7、出版/文献/信息费8、职工薪酬审、验收费(会议费、专家咨询费10、租房场地租赁费11、固定资产折旧12、无形资产摊销13、管理费二、经费来源(合1、公司自筹经费2、政府补贴经费表5-1预算表序号采购事由名称型号备注1内部网络核心交换机24内部网络接入交换机62办公网上网行为管理上网行为管理设备13设备15邮件系统前端服务器26邮件系统后端服务器27281表5-2设备明细清单为保证北京A有限公司网络系统稳定高效运行并且符合本年度的采购预算，网络设备明细表序号厂商型号单位数量型端口速率备注1华为台2双电源核心2华为A台2以太网端口，4个千兆SFPT双电源核心表5-3网络设备明细表安全设备明细表序号设备厂商型号单位数量备注1上网行为管理B1190-ET台1性能参数：网络层吞吐量(大包):3Gb,应用层吞吐量：300Mb,带宽性能：加密性能(最高性能):50Mb,支持用率：27Kpps,每秒新建连接数：1600,最大并发连接数：硬件参数：规格：1U,内存大小：4G,单电源，接□:4千兆电□。功能描述：深信服上网行为管理AC拥有专业的用户认证与管理、应用控制、流量管控、行为审计等功能，结合行为感知平台BA,提供行为日志大数据分析能力，有效识别行为风险。含：深信服上网行为管理软件V12.0(*1);升级(*3);产品质保(*3);软件升级(*3);2邮件网关a台1垃圾邮件防御，病毒邮件防御，威胁邮件防御，邮件流控制，邮件审计，支持4~5G日均邮件流量，支持600用户，支持持高可用。表5-4安全设备明细表设备应该实现高速率及高性能的传输，并且非常可靠，能实现24小时不间断工本次方案选用两台华为S6730交换机作为核心交换机来连接各层接入交换机。华为S6730交换机是专为满足千兆数据和语音集本次方案为汇聚层网络留用旧拓扑中的两台华为S3700-28TP(AC)设备。华为S3700-28TP(AC)产品具有高安全性、便捷管理和集成性，还具有很高的扩展性，支持IP电话和超融合系统。工程师首服务，通过高性能路由功能实现了网络可扩展性，以满足未来的企业使用需求。可以提供多层交换等功能。它可以满足集群的高密度接入需要。这样的网络结构简单便捷，同时可伸缩的网络性能和网络规模为日后的网络环境变更提供了有利接入层网络设备选型接入层是指网络中直接面向用户连接的部分。接入层的目的是允许终端用户根据不同的需求来连接到网络。接入交换机是较为常见的交换机，使用很广，尤其是在常规办公区域、小型机房、多媒体研发中心、Web管理中心等部门。在传输速率上，当今接入层交换机大都提供多个自适应能力接□。本次方案为接入层网络选择华为S5735S-L48T4S-A设备。华为S5735S-L48T4S-A交换机设备，可以为局域网提供高效的传输性能。这些自适应交换机接口能够提供强大的组播管理，可为中小型企业提供相对合理的解决方案，使他们能够利用现有的快速以太网交换机升级到更高性能的千兆位以太网设备。网络安全设备选型为了实现对内外网通讯信息数据安全过滤，本次方案继续沿用之前的HiSecEngineUSG6300E系列AI防火墙(盒式)企业级防火墙。入侵防御、防病毒、数据防泄漏、带宽管理、Anti-DDoS、URL过滤等多种功能于一身，全局配置视图和一体化策略管理，结合强有力的性能优势为终端网络安全提供入侵感知能力。此外，USG6300E企业防火墙安全网关具有低成本优势及部署简单、维护便捷的特点，使它在网络安全与组网方案中有着突出的优势。USG6300E企业防火墙还具有很高的流量吞吐能力，拥有数千个特征库，针对企业网络的实际需求，我们本次继续沿用此款防火墙。上网行为管理和安全邮件网关设备选型在公司领导的强烈要求下，以及公司业务背景下，本次新增深信服的上网行为管理设备及深度的邮件网关设备，行为管理设备主要检测内网使用情况以及异常流量数据，必要时候可以在不影响全网络的情况下阻断单一用户上网或做其它限制，这样不仅没有对全局网络造成影响还有效的控制了用户的危险行为。邮件网关设备主要为以后公司内部建设Exchange邮件系统所用，独立的邮网络配置[Switch1]port-groupgroup-memberEthernet0/0/1toEther[Switch2]port-groupgroup-memberEthernet0/0/1toEther[Switch3]port-groupgroup-memberEthernet0/0/1toEthernet0/0/20[Switch8]port-groupgroup-memberEthernet0/0/1toEthernet0VLAN间路由SVI配置在两台三层核心交换机中配置SVI接口，为了实现VLAN间路由的功能TRUNK配置接入层设备与汇聚成设备的链路要用TRUNK技术相连，同时汇聚层设备与核心层设备也需要TRUNK技术相连，这样可以保证划分VLAN可以顺利路由到portlink-typetrunkporttrunkallow-passvlanXXXXXX#portlink-typetrunkporttrunkallow-passXXXXportlink-typetrunkportlink-typetrunkporttrunkallow-passvlanXXportlink-typetrunkporttrunkallow-passvlanXX[SW1-GigabitEthernet0/0/1]port[SW1-GigabitEthernet0/0/1]port[SW1]interfaceVlanif10SW1交换机在虚拟网关冗余组中为主路由即MASTER,SW2在虚拟网关冗交换机即MASTER,SW2在虚拟网关冗余组中为备份交换机即Backup,需要注DHCP动态IP获取，由于用户及设备数量较多，人工配置IP是不现实的，那么我们就需要设备自行分配IP给需要的用户。intvlanif10intvlanif20桥网络中的冗余链路形成环路工作，为了确保SW1是根桥port-groupport-ggXXtoXXport-groupport-ggXXtoXX接下来出口配置NAT,并确保所有用户都可以访问百度。内网ospf1路由配置：OSPF技术配置，内部网络要实现VLAN间通讯是需要把自己的IP段告诉给邻居设备的，由于公司部门VLAN和网段较多，手动一条一条的配置路由不现实，我们采用OSPF技术来实现设备自学习路由条目。ospf1最后所有设备功能配置完成后，我们还需要远程管理这些设备，企业所有设备都需要在任何位置都可以被telnet远程管理，所以我们还要再加一条特殊VLAN来做设备访问用管理网段：XXXX/24所有的汇聚和接入层交换机：iproute-static0XXXX给管理流量回包所有的路由器和交换机：ospf1布线方案设计布线施工，针对不同环境，要严格按照综合布线方案有关条款进行施工，提出以下几点要求，如有不达标要求须做返工处理。明线槽铺设：要求在无外力作用的情况下，保证10年以上15年以下的使用期限，因此对不同规格的线槽安装要求有不同的标准：线槽规格(mm)间隔(mm)螺钉标准(个)小于25×301小于50×502(错位安装)小于30×1003(错位安装)表6-1线槽规格表金属明槽安装原则上应使用托架(托架间隔1米至1.5米),不能安装托架若为“S”型“Z”布管，拐弯时均需要安装过线盒，不易拐弯则用软管走线。暗管铺设：摄像头、广播设备、报警设备等此类的线槽均采用暗管铺设。原管能利用的尽最大可能采取利旧措施。垂直干线铺设方式：线缆在弱电系统中不允许打结和交叉，必须保持横平竖直。为了消除线缆受重力作用导致的位移，每间隔1.5米左右需打扎带一次，且使用“U”型夹固定。布线的其它要求：线缆铺设涉及到电源、网线等，对铺设要求：(1)强弱电系统分开铺设；(2)强弱电系统中管路水平方方向走线时，至少保持10至30厘米的距离；(3)强弱电管路交叉垂直时必须套软管；(4)相关线缆的两端均需作线标；(5)网线、电源线中间不允许有续端接点；施工注意事项：(1)仔细查阅施工图纸施工前，须认真查阅其它专业的施工图纸，尤其是结构施工图和通风施工图。为水平子系统找出最合理的线路走向，这样既节省线缆长度，又避免与其它管路发生不必要的冲突。综合布线一般由专业的施工公司负责施工，施工方仅做管路预铺、线缆铺设，如果在施工中不遵循铺设原则，将会增加水平子系统的管线长度，不利于综合布线系统的通信能力、稳定性、传输速率的提高。(2)施工中要满足设计裕量在实际施工中，不可能保证水平线缆一直保持直线方向路由，所以在安装中，需要的线缆总会预计的量大，这就需要电气工程师在设计时考虑一定的裕量。实际线缆平均长度的30%作为裕量。否则将会造成材料的浪费或不足。(3)使用高质量的线缆材料在多数设计方案中，水平子系统是被设计在吊顶、墙体内的，可以认为水平子系统是不可更改的系统。在实施中，应尽量使用质量可靠的管路和线缆，保证用户日后出现不必要的故障。(4)严格遵守弱电布线规范良好的施工质量，可使水平子系统在其正常工作周期内，始终保证良好夫人工作状态和稳定的性能，尤其通信线缆和光纤，施工质量的好坏对弱电系统的影响尤其重要，因此在施工中，要严格遵守弱电施工规范标准。网络安全配置终端用户病毒防御Windows提供了很多服务，我们需要禁止一些不必要的服务。Telnet就是一个比较典型的服务。微软官方这样解释：“允许用户远程登录到系统并可使用命令行控制程序。”建议禁止该服务。NetBIOS。Win系统还有很多服务。可以根据实际使用情况禁止某种服务。此做法可以减少安全隐患。系统补丁Microsofe公司每个一段时间周期就会在官方网站发布相关漏洞补丁。这些企业防火墙USG配置址和源端口号映射为另外一个地址和端□,用这个转换地址与外部网络连接。外(1)服务器安全漏洞(2)管理员密码保护用户密码应使用大小写、数字、特殊字符混合方式设置，不能少于16位，(3)关闭不需要的系统服务端□。很多网络攻击程序是针对特定服务端□发(4)制定完善的系统安全管理制度，定期使用网管软件对整个局域网进行扫描监控，发现问题及时更改。定期使用安全软件扫描端□,发现漏洞及时补救。为了更好的解决上述问题，就必须利用另外一种数字签名安全技术。PKI技术就是利用公钥技术建立的提供安全服务的数字密钥技术。PKI数字密钥技术是信息安全的核心。数字密钥技术是一种适合电子商务、电子政务的密码技术，它能够有效地解决系统应用中的密码机密性、完整性和存取控制等安全问题。一个实用的数字密钥技术体系应该是安全易用的。它必须充分考虑操作性和扩展性。认证机构CA的部署CA是确保信任度的权威实体服务器，它的主要职责是颁发证书、验证用户身份的真实性。由认证机构签发的网络用户电子证书，具有三方权威性，应当相信持有电子身份证明的用户。认证机构也要采取相应的措施来防止电子证书被伪造或篡改，构建一个具有较强安全性的认证机构是相当重要的。网络测试此次网络拓扑方案的测试结果是在HuaWeieNSP模拟器上模拟真实环境进行的，所以本次测试只测试一些基本设备的连通性。在模拟器eNSP上，选用一台客户机并设置IP地址为办公区域内的任意一个IP地址，如00/24。使用另一台PC机做其它VLAN,并设置其IP地址为其它VLAN内的任意一台PC的IP地址，如54/24。测试这两台PC之间的连通性。Ping54:32databytes,PressFrom54:bytes=32seq=2tt1=12From54:bytes=32From54:bytes=32round-tripmin/avg/max=0/90/125ms图6-1办公区域不同VLAN间通信测试从测试结果上可看出，VLAN10内的PC是可以pingVLAN30内的PC,说明不同VLAN间可以通信。在模拟器eNSP上，使用一台客户机做办公区域的PC机，并设置IP地址为器，并设置其IP地址为breakseq=1tt1=254seq=2tt1=254seq=3tt1=254seq=4tt1=254timseq=5tt1=254round-tripmin/avg/max=78/90/图6-2相关办公区域与内网服务器连通性测试在模拟器eNSP上，使用一台客户机做办公区域的PC机，并设置IP地址为作为外网服务器，并设置其IP地址为/24,测试它们PingPing:32databytes,PressFrom:bytes=32seq=2tt1=252time=47msFrom:bytes=32seq=3tt1=252From:bytes=32seq=4tt1=252time=78msFrom:bytes=32seq=5tt1=252time=round-tripmin/avg/max=47/78/94m图6-3办公区域与外网的连通性测试从测试结果上可看出，相关办公区域与外部网络可以ping通的，说明可以访升级后网络与升级前的对比本次公司网络优化方案主要围绕着物理网络架构优化及逻辑网络优化开展，旧的网络拓扑无论在物理架构上还是逻辑功能上都不能很好的为公司提供较高质量的服务，尤其是用AC控制器作核心交换机，AC设备是针对于无线网络而言，它并不能做主干链路上的核心设备，这样无疑是加大了网络运行隐患。首先我们先来看下物理层架构升级前后的对比：防火墙图6-4升级前网络拓扑架构防火墙防火墙图6-5升级后网络拓扑架构然后我们再来看下逻辑架构部署完的吞吐量和使用率，要针对网络架构的优化，所以并没有选测太多的流量数据在150人全员使用线上会议时才会跑满200M的带宽，其余时间网络流量并没有出现满载的情况，新的架构优化后全员同时线WANO/0/0currentWANO/0/0currentLastlineprotocolDescription:Huawei,uSG6315Eseries,WANO/0/0IPsendingFrames'Formatis_PKTFMT_ETHNT_2,HardwareaIPsendingFrames'Formatis_PKTFMT_ETHNT_2,Hardwarea100OMb/s-speedmode,fu11-duplexmo100OMb/s-speedmode,fu11-duplexmoMediatype_istwistedpair,loopback_notLastphysicalLastphysicalupMax-bandwidth:1000oo0Currentsystemtime:Currentsystemtime:Lastphysicai_downtime:2021-05Top3inputbitrate:Top3outputbitrate:26Top3outputbitrate:26Top3inputpacketTop3