企业网络设计
企业网络设计
一、客户需求:
1.实现NAT地址专网,达到内网可以访问外网
2.公司内部的文件服务器和数据库服务器只允许内网的用户和出差的员工通过v*n进行访问
3.本单位的WWW网站服务器(如Server3)允许外网的主机访问
4.分部可以访问总部资源
5.实现总部内全网互通
6.具体拓展功能见解决方案中
7.实现安全防护
二、网络拓补图
图一:万达国际集团网络总拓扑图
图二:局域网拓补
三、设备清单
华为AR201路由器4台
华为交换机9台
PC机若干至少500台
服务器若干至少3台
华为防火墙USG6000V一台
图三:华为AR路由器参数
图四:华为交换机参数
图五:深信服NGAF参数
表格一:报价总表
四、IP地址规划
根据网络供应商分配的地址193.60.30.128/25可以将分配的地址建立一个地址池,当需要上网时,路由器会自动从地址池分配一个地址给用户进行外网访问。
项目部有100人,人事部100人,销售部200人,策划部20人,财务部20人,技术部50人,上海分部100人,杭州分部100人。
上海、杭州分部内部也是使用私有ip进行通信,通过NAT实现访问外网。
表二:IP规划
五、方案设计:
1.在出口使用一台路由器连接网络提供商,实现内网和外网互通
在路由器上配置NAT实现内网和外网互通
网络供应商可以选择两家以上,原因就是防止一家网络供应出问题,可以切换到另外一家供应商,保证业务的连续性。
总部内部使用OSPF进行全网互通
OSPF介绍:OSPF(下称“协议”或“本协议”)仅在单一自治系统内部路由网际协议(IP)数据包,因此被分类为内部网关协议。该协议从所有可用的路由器中搜集链路状态(Link-state)信息从而构建该网络的拓扑图,由此决定提交给网际层(Internet Layer)的路由表,最终路由器依据在网际 协议数据包中发现的目的IP地址,结合路由表作出转发决策。OSPF原生支持VLSM与CIDR。
本协议使用Dijkstra算法计算出到达每一网络的最短路径,并在检测链路的变化情况(如链路失效)时执行该算法快速收敛到新的无环路拓扑。
本协议可以通过调整路由界面的开销值来管控数据包的流向(也就是说,OSPF通过开销值来落实管理员所制定的路由策略)。开销值是RTT、链路吞吐量、链路可用(可靠)性等衡量因素的无量纲整数表达。
将防火墙和AR2、LSW2所在的区域规划为OSPF主干区域
交换机LSW3、LSW4配置成三层交换机规划为OSPF区域1
2.VLAN介绍:
VLAN相当于OSI参考模型的第二层的广播域,能够将广播风暴控制在一个VLAN内部,划分VLAN后,由于广播域的缩小,网络中广播包消耗带宽所占的比例大大降低,网络的性能得到显著的提高。不同的VLAN之间的数据传输是通过第三层(网络层)的路由来实现的,因此使用VLAN技术,结合数据链路层和网络层的交换设备可搭建安全可靠的网络。网络管理员通过控制交换机的每一个端口来控制网络用户对网络资源的访问,同时VLAN和第三层第四层的交换结合使用能够为网络提供较好的安全措施。
部门之间通信以及VLAN规划
项目部:VLAN10
人事部:VLAN20
销售部:VLAN30
策划部:VLAN40
财务部:VLAN50
技术部:VLAN60
VLAN之间通信:
在交换机LSW3、LSW4下行接口与二层交换机相连的的接口配置接口类型TRunk接口,并且允许VLAN10——60通过。
图六:VLAN规划流程
3.内部PC机的Ip配置
通过DHCP进行动态分配地址
DHCP介绍:
DHCP(Dynamic Host Configuration Protocol,动态主机配置协议)通常被应用在大型的局域网络环境中,主要作用是集中的管理、分配IP地址,使网络环境中的主机动态的获得IP地址、Gateway地址、DNS服务器地址等信息,并能够提升地址的使用率。
DHCP协议采用客户端/服务器模型,主机地址的动态分配任务由网络主机驱动。当DHCP服务器接收到来自网络主机申请地址的信息时,才会向网络主机发送相关的地址配置等信息,以实现网络主机地址信息的动态配置。DHCP具有以下功能:
- 保证任何IP地址在同一时刻只能由一台DHCP客户机所使用。
- DHCP应当可以给用户分配永久固定的IP地址。
- DHCP应当可以同用其他方法获得IP地址的主机共存(如手工配置IP地址的主机)。
- DHCP服务器应当向现有的BOOTP客户端提供服务。
实现方法:在LSW2、LSW3进行配置,创建一个IP地址池,实现Ip地址的动态分配。
4.交换机链路聚合
为了保证网络的可靠性,我们在交换机LSW2和LWS3中实现链路聚合,并且配置主备链路,配置两条线路为主链路一条链路为主链路,并且配置主交换机和备用交换机,这样做是为了防止一台交换机出现问题不至于造成网络的瘫痪,保证业务的连续性与网络的可靠性。
5.分部网络与总部网络之间的连通实现
在分部的出口路由器和总部的入口路由器上使用PPP协议,使用广域网接口,并且配置CHAP——MD5认证,在验证成功后可以实现分部可以访问总部资源。
PPP协议介绍: PPP协议是一种点——点串行通信协议。PPP具有处理错误检测、支持多个协议、允许在连接时刻协商IP地址、允许身份认证等功能,还有其他。PPP提供了3类功能:成帧;链路控制协议LCP;网络控制协议NCP。PPP是面向字符类型的协议。
PPP协议的验证分为两种:一种是PAP,一种是CHAP。相对来说PAP的认证方式安全性没有CHAP高。PAP在传输password是明文的,而CHAP在传输过程中不传输密码,取代密码的是hash(哈希值)。PAP认证是通过两次握手实现的,而CHAP则是通过3次握手实现的。
6.外出员工访问公司内网
采用建立虚拟隧道v*n实现员工在外访问公司内网资源,需要做的是在内网中架设一台v*n服务区,外地员工只需要连接互联网后,通过互联网连接v*n服务器,然后通过v*n服务器连接到公司内网,但是为了保证数据安全,v*n服务器和客户机之间需要进行加密处理。
六、服务器规划
DHCP服务器:用于内网主机分配Ip
根据所需使用子网,实现多个作用域,并将这些作用域加入进一个超级作用域,胃不痛子网内的个户籍分配相应的IP
实现为主机分配网关IP,DNS,IP
实现地址配出:将各服务器所使用地址在作用域内排除
保留特定IP,使其可以长期使用
DNS服务器:提供域名解析
实现主要名称服务器,并建立AD集成区域
实现允许安全动态更新DDNS,使得与DHCP服务器合作,动态更新DNS数据库
实现转发器功能,使得内网访问互联网时DNS可将解析请求转发给ISP DNS
实现辅助服务器:提供容错和减轻负担的功能
FTP服务器、数据库服务器
1.只允许公司内部员工访问,并且拒绝其外部网路的访问,可以ACL进行限制访问权限
2.用户内部员工可以上传和下载数据,但是限制非核心员工更数据
Web服务器(www服务器)
1.将其发布到外网上,外部人员可以访问,但是不能进行更改
v*n服务器
1.实现 v*n,使外出员工、分公司网络、家庭办公员工可以访问内网资源
2.提供仅对域用户的支持
七、Internet规划
1.内网用户一级代理
2.所有内网计算机通过内外网连接的路由器利用NAT功能实现访问Internet
3.实现ACL初步提供内外网连接的网络安全性
4.设置防火墙只有自动获取的IP才能连接Internet
5.禁止员工访问部分网站
八、安全规划以及安全策略
表三:二层常见网络攻击
防护墙实现如下功能:
访问控制
地址转换
网络环境支持
带宽管理功能
入侵检测和攻击防御
用户认证
高可用性
由于这里要求服务器有部分发布在外网上,所有我们可以采用深信服公司的NGAF进行网络安全防护,这里我们采用那个的路由模式,这种模式可以替换现有的防火墙 ,说笑呢对内网用户和服务器安全防护。
推荐配置的安全防护策略:
僵尸网络防护、IPS、DOS、DDOS、网页防篡改、WEB攻击检测和防御技术
九、常见网络故障排除以及网络优化
1.分部不能访问总部网络
内网服务器上的网关设置有误。
内网服务器上的服务没有开启。
NGFW上的接口和安全区域配置有误。
NGFW上的路由配置有误。
NGFW上的安全策略配置有误。
ISP Router将报文丢弃。
2.网络优化建议:
硬件优化。
软件优化。
网络扩容。
新技术更新。
接入安全优化
网络监控优化
附件:
价格来源:华为官网、深信服官网
参考文献:华为HCNP R&S、深信服网络安全、计算机网络教科书