【《S广告公司逻辑网络设计案例》4700字】

S广告公司逻辑网络设计案例目录TOC\o"1-3"\h\u25256S广告公司逻辑网络设计案例 1228761.1网络拓扑结构设计 1222281.2IP地址分配方案 311231.2.1IP地址分配方案 3270731.2.2VLAN划分 440221.3网络安全管理方案 5315081.1.1网络冗余设计 5171411.1.2网络安全设计 5103261.1.3网络管理设计 8287651.1.4网络分层设计 81.1网络拓扑结构设计深越广告有限公司企业网将提供给153员工上网，因而使用高密度较高，大量的终端设备和应用都集中在这有限度的空间里。良好的企业网设计同时具备简单安全、易于部署和方便维护等特点。深越广告有限的公司内部网建设和实现以树型三层式的网络拓扑构架来进行，三层式网络包括了核心层、汇聚层、接入层，由于这样就可以实现整个网络系统的冗余性和负载均衡，并且拥有优异的可扩展性，所以原本设计就确定了采用三层分布式网络拓扑结构来构建整个公司内部局域网。三层网络拓扑结构为主，应采用以下策略：（1）层次化。分别为：第一为核心层；第二为汇聚层；第三为接入层。每层都彼此独立，具有清晰的功能，共同构建稳定、合理的结构，维护方便，且具有可扩展性。（2）模块化。按照区域，能够将企业网划分为很多个模块，这样能够保障每个模块内部的调整波及的范围小，出现问题后利于准确进行定位。（3）安全性。企业网应具备有效的安全控制。对特别重要的业务，举例来说，财务系统通过物理方法进行隔离；而且，为了更好地保护企业网安全，还要对企业网的进出流量展开过滤与识别。（4）可持续性管理和可持续维护。为了确保企业网的坚定运转，方便网络管理员的工作，整个企业网该当具有良好的可持续管理和将来的可持续维护。可选择适用于全网的网管软件来对整个企业网络进行管理，方便网络管理员的日常工作。而为了保证企业网的易维护性，应当选取高集成度，可通用于不同模块间的产品。树型拓扑结构具有以下优点：（1）良好的扩展性能。可以轻松的扩展现有的网络。方便未来需求进行扩展。（2）简单的网络维护。能简单而有效地进行网络故障的诊断和定位。缺点:是极度依靠核心交换机，假设核心交换机出现故障，则全部网络不能正常工作。此外，数据之间的传输要经过多级网络设备的转发，导致系统的响应时间可能较长。总体网络拓扑结构设计，如下图1.1所示：图1.1网络拓扑结构Figure1.1networktopology1.2IP地址分配方案1.2.1IP地址分配方案企业网的信息点较多，在实际应用过程中，往往会出现与IP地址产生冲突或者IP地址被盗的局面。而对于服务器区域，因为IP地址比较稳定，所以可以通过静态地址分配的形式对其进行分配,并把IP地址与交换机接口进行捆绑,以防止IP地址的被盗。对某些机密部门(如财务处),除物理隔离之外,也可以通过在交换机设备上分配的IP地址,与MAC地址实现绑定。以至于对剩下的其他业务网段,通过DHCP以动态分配的形式,主动地为对应的VLAN设备调配对应的IP地址。具体的IP地址分配见以下表1.2.1所示。表1.2.1IP地址划分表Table1.21IPaddressdivisiontable分配VLAN管理地址交换机型号部门/地点20172.17.2．2~54华为S5735-L48P4X-A1客户部30172.17.3．2~54华为S5735-L48P4X-A1行政部40172.17.4．2~54华为S6720S-26Q-SI-24S-AC财务部50172.17.5．2~54华为S5735-L48P4X-A1设计部60172.17.6．2~54华为S6720S-26Q-SI-24S-AC媒介部70172.17.7．2~54华为S5735-L48P4X-A1市场部80172.17.8．2~54华为S6720S-26Q-SI-24S-AC创意策划部90172.17.9．2~54华为S5735-L48P4X-A1信息部100172.17.10．2~54华为S5735-L48P4X-A1人力资源部110172.17.11．2~54华为S5735-L48P4X-A1会议室120172.17.12．2~54华为S5735-L48P4X-A1休息室1.2.2VLAN划分

按照深越广告有限公司的实际状况。企业网内网络用户较多，但用户所属部门比较固定，各个部门所在的地方极少变动，因而按照部门及运用功能进行规划网络相互通信，以便管理员进行网络配置和日后进行维护。关于安全需要极高的部门，如财务部，不仅要对其独自分配VLAN，还必须对其设定通讯限制。此局部的安全控制任务，主要经过访问控制列表(ACL)来完成。信息部既要负责统一管理整个公司的VLAN，同时又要保护整个公司网站和维护。企业的VLAN具体规范如表1.2.2所示。表1.2.2VLAN划分表Table1.22VLANdivisiontableVLAN编号IP地址范围子网掩码网关地点10172.17.2．2~54客户部20172.17.3．2~54行政部30172.17.4．2~54财务部40172.17.5．2~54设计部50172.17.6．2~54媒介部60172.17.7．2~54市场部70172.17.8．2~54创意策划80172.17.9．2~54信息部90172.17.10．2~54人力资源部100172.17.11．2~54会议室110172.17.12．2~54休息室1.3网络安全管理方案1.1.1网络冗余设计网络冗余包设计括软件冗余设计以及硬件冗余设计。软硬件冗余技术结合起来实现两条完全相同互为备份的网络，一条坏了可以快速切换至另一条，从而不影响系统通讯，提高了系统的稳定性。常见的有热备冗余，即一条网络是主侧，另一条网络实时监视主侧网络状态，主侧故障在毫秒级的切换时间里切至从侧[8]。但是本设计中两台核心交换机同时工作，当一条坏了就走另一条因此所以在本设计中三个核心交换机互连可以做VRRP设计，也要留足够的空间保证网络畅通。1.1.2网络安全设计（1）带宽设计现代企业中,网络的流动与信息的实时是非常重要的,而企业中高管人员的决策也都是以信息为根基的。对网络带宽的基本要求为:务必须要满足普通电话、传真机、电子邮件等基础宽带;同时,也要满足文件传输、高质量可视电话、数字化音频、视频会议及基本宽带等基本条件。因此,深越广告有限公司可以采用万兆宽带约1250M/s覆盖至整个骨干网(核心层、汇聚层),而在接入层面上则完全可以被百兆网络约156M/s覆盖至整个桌面,这样就可以适应自身公司内部网络带宽的需求。（1）

防火墙技术防火墙是网络安全防备方法的总称，它的主要功能是对内部网络和外部Internet之间进行隔离。限制内部和外部用户访问不同网络资源的权限，从而完成保护内部网络资源的功能。企业网中的很多用户都是内部用户，所以构成企业网络体系安全的核心内容之一就是企业局域网络内部体系的安全问题。来自外部的攻击可能各种各样，难以事前预测并针对性进行防范。而企业网内部的安全问题则容易进行预测，并可据此安排对应的防范措施。本项目中，深越广告有限公司的网络出口处都部署华为高端的USG6600三台防火墙设备。两台作为出口服务器，一台作为内部服务器防火墙，防火墙使用BFD技术保证对路由器出现故障能及时处理。以及内网和公网之间的地址转换和ACL策略。（2）

防范对DHCP服务器的攻击经过DHCP对IP地址进行动态的分配会导致呈现一系列的麻烦：例如，用户DHCPSmurf。经过软件用户可以对自身MAC地址进行变动，申请大量的IP地址，如此很快就消耗完DHCP地址。为了对DHCPSmurf进行有效的解决，在接入以太网时，按照不同的用户进行有效的划分，从而得到与之对应的VLAN。在VLAN下能够申请IP最多的地址数通过DHCP中继交换机来控制，如果数量达到最高值时，无法再申请新的DHCP地址。（3）防止IP地址盗用和ARP攻击MAC与IP地址之所以被盗用，是因为企业网所应用的是通过DHCP服务器自动获取IP地址和手工配置IP地址相结合的方案，若没有健全的管理措施，用户能够对自己IP地址进行更改。点击网卡属性，然后选择高级选项，就能够对IP地址进行更改。若某个用户的MAC和IP地址发生了变动，则会产生冲突，若和网关地址之间产生冲突，那么相同网段中的其余用户都无法连接到网络；若起歹意的用户将虚假MAC和IP对应关系发送出去，那么就会获取到用户的数据信息，导致APP欺诈攻击。通过深度地对所有ARP报文进行检查与测试,其中的源MAC与源IP之间的安全规则是否与端口一致,如果不同则认为IP被错误修改,那么屏蔽了其数据包,并让其无法正常进入到网络中,这样就抑制了ARP欺骗行为,从而提高了整个网络系统的安全可靠性,使通信工作能够正常有序的进行。（4）

防止用户误操作形成环路在企业网中，员工是使用企业网的主要用户，大部分员工缺少网络的专业知识，在误操作的情况下，可能会造成企业网出现环路。导致该VLAN的所有用户都不能正常访问企业网。开启接入层交换机的端口环回监测功能可以解决这个问题，当检测到该端口出现环路后，关闭该端口。端口关闭后，这两个信息点将不能再访问企业网，需要联系网络管理员手动开启这两个端口，这样有效地防止某些员工误操作对该网段造成的环路。（5）

定期安装服务器系统补丁程序对服务器系统进行管理主要是对文件服务器以及DHCP等诸多网络服务器进行安装与配置等一系列管理过程，另外还包括了Web、FTP等应用服务器。为了确保各项任务指令能够正常有序的运转，那就需要对服务器的系统实行更新与维护，及时更新补丁以及升级版本，促使系统愈加安全牢靠，正常有序的运转。需要管理员对这些缺陷进行处理，打上“补丁”。比方企业网的服务器运用的操作系统为MicrosoftWindowsSERVER2019数据中心版，由于是微软2018年发布的企业版，也有很多人对该系统进行冲击。微软公司针对此种情况，通过网站列出了对应的多种补丁，下载安装即可使用。（6）

关闭不必要的端口在服务器上装置操作系统时，可能会启动一些与服务器功能无关的系统服务，不只占用较多的系统资源，而且也带来一些肯定隐患。所以，在服务器运行时，就要将这些服务与端口关闭，避免他人利用端口与服务来入侵服务器。同时，在网络出口的硬件防火墙上，开放的端口采取白名单策略，除了开放的端口(如80端口)，其余端口一律不允许通过。（7）设置保存系统日志和定期对服务器进行备份利用系统的运行日志，按期对服务器的系统进行检测。通常来说，系统可以将各个用户的使用情况记录下来。如账户信息等。因此，通过分析日志程度的定期报表，就能够发现是否有问题出现。定期对系统开展安全拷贝存档，主要是为了避免用户非法操作或者系统突发故障。1.1.3网络管理设计企业网结构复杂，涉及的安全技术和安全防范方法很多，而且技术更新速度较快，具有很强的专业性。因此，要提升企业网的安全防备程度，企业必须要对企业局域网管理员和使用企业局域网的员工进行相关技术和使用方法的培训，这是提高企业局域网管理效率和网络安全和重要途径。企业通过制定网络管理人员培训方案，有计划、分阶段地组织和开展各类网络技术、网络安全、等级保护等培训，提高网络管理人员的专业能力和使用企业网的员工的网络安全防范意识，为企业网的平常运维打下坚韧的根基。网络安全的保证离不开技术和组织这两个方面措施，所以只是通过“堵”和“防”两项措施依然无法获得较好的效果，而是需要企业制定出一套完整的规则章程以及制度，从而达到约束部分员工行为的目标。为了实时检测分开安装的诸多设备，需要有效的利用诸多网管软件，从而及时处理发生的问题。创建出成熟完善的企业网络安全管理模式，结合学校具体情况，制订出具有肯定一些综合性的安全管理制度，如机房管理制度等，然后选择有效的办法，确保制度正常有序的执行。1.1.4网络分层设计（1）层次结构设计考虑到深越广告有限公司的网络规模与网络情况不简单，为了方便网络的建立实施与管理，缩小网络设计的复杂性，便于网络体系结构的实现和网络维护，在设计时主要采取三层层次结构设计措施。在深越广告有限公司的企业网设计中采取了典型的“三层层次模型”，便将复杂的网络设计按照一定的功能要求分为三层：核心层、汇聚层和接入层。如下图1.2.2所示：图1.2.SEQ图\*ARABIC1三层层次模型Figure1.21threelevelmodel（2）核心层设计深越广告有限公司核心层的交换机主要采用了OSPF技术，运用了OSPF技术可以使得核心层的交换机的收敛速度能更快，能更快的与路由器和其他交换机进行数据交换。深越广告有限公司主要有两台核心交换机，核心交换机经过防火墙接连外网，在防火墙上还设置了安全域，经过限制外网用户访问企业内部网络，来确保企业内网的信息安全。并把DMZ区