网络组建与管理
成都航空职业技术学院
《网络组建与管理》
报 告
专 业: 计算机网络技术 班 级: 60931 学 号: 090050 姓 名: 张朦朦 指导教师: 王津
2011-6-30
一、 企业联网需求分析
企业想增强竞争实力,必须随时改进和更新系统和网络,但是机会增加常伴随着安全风险的增加,尤其是机构的数据对更多用户开放的时候——因为技术越先进,安全管理就越复杂。所以企业为了消除安全隐患,下一步就需要对现有的网络、系统、应用进行相应的风险评估,确定在企业的具体环境下到底存在哪些安全漏洞和安全隐患。再次是在此基础上,制定并实施安全策略,完成安全策略的责任分配,设立安全标准:几乎所有企业目前都有信息安全策略,只不过许多策略都没有书面化,只作为完成任务的一种手段。恰当的信息安全策略必须与机构的所有业务需求直接相关。
毋庸置疑,在互联网时代,有效的公司信息安全管理对企业的良好运作至关重要,但在具体的实施过程中,企业安全管理需要从前期安全策略的具体制定、中期信息安全解决方案的选择与实施、后续的安全服务的跟进等多方面、全方位予以重视,并作周到细致的考虑。这既涉及到企业系统如何在应用中实现安全管理,同时又涉及到安全厂商如何提供全方位安全咨询及后续安全服务等方面的问题。
信息技术的迅猛发展极大地促进了网络在企业的普及应用,当今的企业必须采用能够充分利用结合优秀的传统方法及连网计算的新业务模式,来获得竞争优势。对许多企业来讲,问题不在于数据安全是否必要,而在于怎样在预算范围内以安全的方式管理复杂计算机环境、多种计算机平台和众多集成式计算机网络上的数据。各企业必须独立确定需要多高级别的安全,以及哪种安全能最有效地满足其特殊业务需求。这些问题仅靠安全解决方案是无法完成的,而是企业安全管理必须解决的问题。
二、企业局域网总体设计
1、网络建设目标
整合现有网络系统,构建公司从总公司到一级分公司、二级分公司的基于IP 应用的骨干网络通信平台,建立数据、语音、视频一体化网络;按照业务发展的需要,扩展骨干网的网络带宽;建立健全总公司以及各个省公司的数据中心;统一全网的安全控制措施和安全监测手段;集中网络管理,实施分级维护;进一步规范IP 地址的应用;积极开展网络综合应用,在全公司逐步开通IP 电话业务、视频会议系统以及网上培训业务;为业务发展提供良好的网络环境。
网络建设是一项基础工程,要先于业务发展超前进行,各分公司要根据实际情况逐步开展现有网络的优化工作,优化后的网络应能承载现有的各个业务系统,同时为一级分公司的数据集中和总公司灾备中心的建设提供基础保障,适应未来业务发展的需要。 2、网络规划
针对公司的网络需求及目前的网络现状,在进行网络设计改造时要综合考虑以下的因素,从而建设一个安全、可靠、功能丰富的网络系统:广域网络、大楼网、数据中心及备份中心、客户服务中心、语言/视频、网络外联、网络安全、网络管理。 3、广域网络
在广域网络设计时,要考虑目前可用的网络资源以及网络拓扑结构。根据目前的网络资源以及地理分布情况,综合考虑网络资源的费用、网上业务情况,以及今后的发展趋势。广域网络采用目前的树型结构,但要扩展网络资源的带宽,使之满足目前的数据、语音业务、
客户服务中心业务数据集中业务的需求;同时为了满足将来的视频等其他应用对目前的网络设备应考虑一定的扩展性
对于从总公司到各个一级分公司之间的网络资源,总公司根据先进性和可靠性选择,要求采用统一的网络资源;对于各个省内的网络资源,各一级分公司根据以上原则决定
广域网设计将过渡到区域大中心的设计,在全国根据业务以及地理位置考虑建立三个(如北京、上海、广州) 或多个区域数据中心,各个数据中心形成环状拓扑结构,各个大区内的省份连接到相应的一个或两个(保证网络的可靠性) 区域中心;对于整个公司的数据来说,可以分布到各个区域中心上,这样既提供了网络的可靠性,又保证了数据的冗余备份(灾难备份) 。
4、数据中心及备份中心
随着数据的集中,公司的数据中心愈来愈重要,要求我们在设计时要考虑到集中的或分散的数据中心的情况;但无论如何,数据中心都要保证数据的安全可靠、数据的高速访问;对数据中心来说,它是整个网络系统的核心,要保证其他系统,包括大楼网系统、广域网系统、客户服务中心、网管中心系统、外联系统的授权用户的高速的访问。
对于目前的情况,数据分散到各个省公司,要求对各个省公司都设计相应的数据中心,由于全公司的数据都会集中备份到总公司,所以总公司的数据中心尤其重要,它是其他所有省公司的备份中心。
将来随着大区中心的建立,可以减少各个省公司的数据中心的建设,而且各个区域中心互相备份,既节省系统投资和维护费用,而且提高整个系统的可靠性。
对于将来的数据的大集中而言,可以逐步考虑存储网络的运用。 5、大楼网
公司的大楼网主要负责公司大楼内的用户的网络连接,为楼内用户提供包括业务处理、办公自动化、互联网访问、电子学习等方面的内容。网络的设计主要考虑网络性能、网络的可靠性、网络的安全。大楼网的建设需要与数据中心一起考虑。 6、客户服务中心
为了更好的为客户提供服务,增加公司的竞争力,建立客户服务中心势在必行。与数据的分布情况相对应,在各个省公司建立相应的客户服务中心(有的省公司的地市也有相应的客户代表)。整个客户服务中心采用基于IP 的IPCC 方案,支持单点以及多点的客户服务中心结构,同时支持业务代表的网络分布,适应目前的情况以及将来的业务的扩展和重分配。 7、语音/视频
在满足业务运行需要并考虑运行维护成本的前提下,可以考虑语音及视频的应用。其中,网络语音的实现也可以选择电信运营商提供的IP 电话业务,而视频应着重于培训学习系统与电视会议。
提供数据、语音和视频的集成是整个网络建设的重要因素,由于技术的进步,在传统的数据网络上提供语音和视频应用也成为可行而普遍的趋势。提供数据、语音和视频的集成一方面可以降低语音通讯的成本,满足整个公司语音的需求,另一方面可以与客户服务中心结
合在一起,提供一个以客户为中心的综合服务系统。
全网采用基于IP 的语音和视频系统,该系统与客户服务中心的语音系统相同,可以方便的扩展和灵活的布置。通过IP PBX 提供对整个语音系统的控制,并把IP 电话以及软电话布置到整个公司,在必要的地方可以布置传统的电话,两者无缝地集成在一起。
视频系统的建设采用基于IP 的视频广播和视频会议系统。前者提供基于网络的教育学习系统以及实时的广播系统,后者提供视频会议的功能。其中视频广播可以和OA 网络建设以及电子培训统一考虑。 8、网络外联
随着公司保险业务种类和业务模式的扩展,与其他网络的连接的需求越来越多,包括银行转帐、互联网保险服务等,要求提供与互联网以及其他网络的连接;在网络建设中,要采用独立的非军事区(DMZ)的把这些业务与内网分开,并通过防火墙建立内网和DMZ ,DMZ 与外网分开,从而提供安全的网络控制。 9、网络安全
对于我公司而言,网络系统的安全是最重要的因素,应该引起格外的重视;网络的安全应该包括认证、授权和审计(AAA) 。其中认证包括路由认证、拨号备份认证等;授权包括权限控制、访问控制等;审计包括对网络系统的主动扫描和被动记录等。 10、网络管理
随着网络建设的进行,网络规模的扩大,对网络的管理成为一个非常重要的课题;建立整个网络操控中心(NOC),对整个网络进行统一的管理,是网络建设中要考虑的要素之一。 11、网络整体设计
公司业务网络系统的核心就是广域网络骨干的建设,如何对现有网络进行改造以及对将来的网络结构进行规划是当前网络改造的首要任务。
当今网络的发展远远超出了单纯追求基本连通历史阶段。我们在网络连通基础上需要更高要求的网络服务内容,它应包括Multiservice (多业务服务)---数据/图象/话音、QoS (网络服务质量)、Security (安全性服务)、Reliability (高可靠性)、Scalability (可扩展性)、Managability (可管理性)。我们必须要有清晰的网络总体设计思路及原则,遵循总体设计、分步实施的原则,用新一代的网络设计思想、最成熟的网络技术对公司网络进行总体设计。 12、层次化设计
从管理和技术的角度来看,我们都要求采用层次化的网络设计结构,这样既方便了管理,又有利于扩展和灵活布置。
整个广域网骨干系统保留目前的分层结构,也就是目前的三层结构,但对整个网络的资源以及网络的扩展性、可靠性、安全性进行增强,同时提供对语音和视频等新的应用的支持。
总公司-省分公司的网络作为骨干网即一级网;各省分公司-各地市分公司作为二级网;对于地市内的子公司,有两种方式进行联网:第一种方式是各子公司连接到相应的各个子公
司,这样整个网络为三层结构;对于服务器来说,网络改造后的服务器不再分布在各个地市分公司,而是集中到省分公司和总公司。
下面是网络拓扑示意图:
为了提供目前及将来扁平化管理的要求,要把某些特定的地市分公司直接连接到总公司的方法,但要求这些地市分公司存在服务器;总公司要求等数据完全集中到总公司后实行扁平化管理。
另外,当数据集中到总公司后,可以考虑数据备份中心,并且采用存储网络实现全公司的数据集中,在两个中心间根据情况通过高速光纤或其他高速网络资源实现互联,要求各个直接和总公司连接的一级分公司同时提供与备份中心的连接。
从长远的规划来看,要求采用大区中心的概念,即根据某种策略把整个公司的数据集中到相应的大区中心里,各个大区中心可以通过网络资源形成环形结构,数据集中到几个大区中心服务器上;各个一级分公司通过网络访问相应的数据,省内的分公司通过省公司的网络访问相应的数据。这样既提供了数据的集中和备份,有满足网络的可靠性要求。整个网络形成由大区中心构成的网络骨干层、各个省公司(以及一些特定的地市分公司)构成的接入层,以及由其他地市分公司构成的基础层三层结构。
13
网络设计采用层次结构,支持数据、语音、视频三网合一,同时支持客户服务中心及OA 的应用。
为了对语音和视频的支持,整个网络要提供良好的服务质量保证(QOS )和优先级控制,这些措施不仅可以保证整个网络关键任务的运行,同时可以根据策略对不同的应用和业务提供不同的优先级和服务质量保证。 14、网络资源以及网络骨干技术的选择
公司租用电信运营商的SDH (155Mbps )或一条E1/FR(2Mbps)构成一级网络骨干(当建设大区中心后建议租用SDH 构成环形结构,采用POS 技术建设公司网络骨干,提供高速、可靠、支持多业务的网络核心) 。对于接入层与骨干层以及基础层与接入层的的连接,可以租用ATM 或传统电信资源(PCM 2Mbps, DS0,nX64Kbps ,FR 等)。
考虑到数据集中后对网络可靠性要求的大幅提升,要求在主要网络资源外申请备份资源,一级网和二级网由于数据流量大,承载的业务影响面大,应该申请ATM/DDN/FR作为目前SDH 的备份线路,两条线路可以进行负载均衡、互为备份,为了进一步提高网络的可靠性,可以考虑把拨号备份技术作为第三线路;三级网由于数据量较小,建议考虑采用拨号备份(PSTN/ISDN等)作为主线路的备份线路,只有当主线路发生故障时或者主线路负载超过设定范围是,拨号备份线路才启用,即保证了网络的可靠性,又节省一定的费用。
对于网络带宽,任何两个节点之间的带宽都需要满足整个公司关键和重要业务的运行,同时提供对附加业务的支持。关键业务包括保险业务处理、数据备份和同步、语音、客户服务等,附加业务可以包括视频、电子学习等,这些业务的划分要根据公司统一的策略来决定。
随着灾备中心的建设,各个一级分公司的广域网资源要有和公司灾备中心的连接。 15、服务器群(Server Farm)局域网
服务器群网络提供整个数据中心的服务器连接,包括保险业务服务器、财务服务器、网上业务数据库服务器、OA 服务器、安全审计服务器等各种公司服务器;该区域是整个公司数据核心,保证其安全可靠的运行是整个数据中心设计的核心任务。服务器群的局域网主要作用是保证业务数据可靠、高速的进出数据中心的业务主机,因此需要采用两种常用技术:访问控制、负载均衡。
在该区域配备两台高速内容交换机, 要求支持VLAN 、VLAN 访问控制、第三层功能、智能负载均衡等,通过把不同的服务器组划分到不同的VLAN 里面,通过VLAN 访问控制提供可调节的可控制的服务器相互访问;另外,由于随着业务的增加服务器的不断增加,对服务器的智能负载均衡,支持从第三层到第七层的负载均衡,可以采用不同的策略对访问进行动态分配,从而保证最快的响应时间。
在该区域还需要配备安全监控设备,动态实时监控特定的端口,也可以实时的监控某一VLAN 等,通过定义特定的策略来监控整个服务器的安全情况;对于负载均衡,可以定义多个虚拟的IP 地址(VIP )来制定多个服务器组,并通过自动负载均衡在一组服务器里面分配负载,提供给其他网络的访问地址是各个VIP 。
下面是逻辑拓扑图:
下面是总公司数据中心网络物理拓扑图:
务四、 网络安全及维护系统
1. 方案设计
根据我公司的网络状况,在与Internet/Extranet等外网的接入、PSTN/ISDN的拨号接入、局域网接入控制等几个方面的安全问题是需要着重考虑的,此外在内部的局域网也应有一定的安全措施以保护某些关键的信息。下面针对这几个方面做相应的设计: 2. Internet/Extranet接入的安全设计
公司业务上需要与其它一些企业的信息网络相连接,而且这一类互联的应用将会越来越多,因此对该内外网的安全访问控制和隔离是网络安全的一个重要的方面。
由于内外网接入点是公司的企业内部网络与Internet/Extranet外部网络的连接处,
该点承受着多种可能的对内部网络的攻击威胁,但由于业务的需要,又必须对外部网络开通部分的网络服务,针对这种情况,要求采用目前常用的设计方法,采用防火墙这一安全隔离设备,将网络隔离为三个安全等级不同的区域,即安全级别最高的内部网络、安全级别最低的外部网络和非军事化区。
总公司与各分公司配备防火墙,用于对公司与外网的通讯进行访问控制与隔离。 下面是内外网隔离的系统示意图:
3. 对应用系统的保护
营业类网段不允许其他网段访问;营业类网段中不允许FTP 、Telnet 、Rlogin 等访问;对其他网段的保护根据具体情况所需设置。