企業網絡設計
一、客戶需求:
1.實現NAT地址專網,達到內網可以訪問外網
2.公司內部的文件服務器和數據庫服務器只允許內網的用戶和出差的員工通過VPN進行訪問
3.本單位的WWW網站服務器(如Server3)允許外網的主機訪問
4.分部可以訪問總部資源
5.實現總部內全網互通
6.具體拓展功能見解決方案中
7.實現安全防護
二、網絡拓補圖
圖一:萬達國際集團網絡總拓撲圖
圖二:局域網拓補
三、設備清單
華爲AR201路由器4臺
華爲交換機9臺
PC機若干至少500臺
服務器若干至少3臺
華爲防火牆USG6000V一臺
圖三:華爲AR路由器參數
圖四:華爲交換機參數
圖五:深信服NGAF參數
表格一:報價總表
四、IP地址規劃
根據網絡供應商分配的地址193.60.30.128/25可以將分配的地址建立一個地址池,當需要上網時,路由器會自動從地址池分配一個地址給用戶進行外網訪問。
項目部有100人,人事部100人,銷售部200人,策劃部20人,財務部20人,技術部50人,上海分部100人,杭州分部100人。
上海、杭州分部內部也是使用私有ip進行通信,通過NAT實現訪問外網。
表二:IP規劃
五、方案設計:
1.在出口使用一臺路由器連接網絡提供商,實現內網和外網互通
在路由器上配置NAT實現內網和外網互通
網絡供應商可以選擇兩家以上,原因就是防止一家網絡供應出問題,可以切換到另外一家供應商,保證業務的連續性。
總部內部使用OSPF進行全網互通
OSPF介紹:OSPF(下稱“協議”或“本協議”)僅在單一自治系統內部路由網際協議(IP)數據包,因此被分類爲內部網關協議。該協議從所有可用的路由器中搜集鏈路狀態(Link-state)信息從而構建該網絡的拓撲圖,由此決定提交給網際層(Internet Layer)的路由表,最終路由器依據在網際 協議數據包中發現的目的IP地址,結合路由表作出轉發決策。OSPF原生支持VLSM與CIDR。
本協議使用Dijkstra算法計算出到達每一網絡的最短路徑,並在檢測鏈路的變化情況(如鏈路失效)時執行該算法快速收斂到新的無環路拓撲。
本協議可以通過調整路由界面的開銷值來管控數據包的流向(也就是說,OSPF通過開銷值來落實管理員所制定的路由策略)。開銷值是RTT、鏈路吞吐量、鏈路可用(可靠)性等衡量因素的無量綱整數表達。
將防火牆和AR2、LSW2所在的區域規劃爲OSPF主幹區域
交換機LSW3、LSW4配置成三層交換機規劃爲OSPF區域1
2.VLAN介紹:
VLAN相當於OSI參考模型的第二層的廣播域,能夠將廣播風暴控制在一個VLAN內部,劃分VLAN後,由於廣播域的縮小,網絡中廣播包消耗帶寬所佔的比例大大降低,網絡的性能得到顯著的提高。不同的VLAN之間的數據傳輸是通過第三層(網絡層)的路由來實現的,因此使用VLAN技術,結合數據鏈路層和網絡層的交換設備可搭建安全可靠的網絡。網絡管理員通過控制交換機的每一個端口來控制網絡用戶對網絡資源的訪問,同時VLAN和第三層第四層的交換結合使用能夠爲網絡提供較好的安全措施。
部門之間通信以及VLAN規劃
項目部:VLAN10
人事部:VLAN20
銷售部:VLAN30
策劃部:VLAN40
財務部:VLAN50
技術部:VLAN60
VLAN之間通信:
在交換機LSW3、LSW4下行接口與二層交換機相連的的接口配置接口類型TRunk接口,並且允許VLAN10——60通過。
圖六:VLAN規劃流程
3.內部PC機的Ip配置
通過DHCP進行動態分配地址
DHCP介紹:
DHCP(Dynamic Host Configuration Protocol,動態主機配置協議)通常被應用在大型的局域網絡環境中,主要作用是集中的管理、分配IP地址,使網絡環境中的主機動態的獲得IP地址、Gateway地址、DNS服務器地址等信息,並能夠提升地址的使用率。
DHCP協議採用客戶端/服務器模型,主機地址的動態分配任務由網絡主機驅動。當DHCP服務器接收到來自網絡主機申請地址的信息時,纔會向網絡主機發送相關的地址配置等信息,以實現網絡主機地址信息的動態配置。DHCP具有以下功能:
- 保證任何IP地址在同一時刻只能由一臺DHCP客戶機所使用。
- DHCP應當可以給用戶分配永久固定的IP地址。
- DHCP應當可以同用其他方法獲得IP地址的主機共存(如手工配置IP地址的主機)。
- DHCP服務器應當向現有的BOOTP客戶端提供服務。
實現方法:在LSW2、LSW3進行配置,創建一個IP地址池,實現Ip地址的動態分配。
4.交換機鏈路聚合
爲了保證網絡的可靠性,我們在交換機LSW2和LWS3中實現鏈路聚合,並且配置主備鏈路,配置兩條線路爲主鏈路一條鏈路爲主鏈路,並且配置主交換機和備用交換機,這樣做是爲了防止一臺交換機出現問題不至於造成網絡的癱瘓,保證業務的連續性與網絡的可靠性。
5.分部網絡與總部網絡之間的連通實現
在分部的出口路由器和總部的入口路由器上使用PPP協議,使用廣域網接口,並且配置CHAP——MD5認證,在驗證成功後可以實現分部可以訪問總部資源。
PPP協議介紹: PPP協議是一種點——點串行通信協議。PPP具有處理錯誤檢測、支持多個協議、允許在連接時刻協商IP地址、允許身份認證等功能,還有其他。PPP提供了3類功能:成幀;鏈路控制協議LCP;網絡控制協議NCP。PPP是面向字符類型的協議。
PPP協議的驗證分爲兩種:一種是PAP,一種是CHAP。相對來說PAP的認證方式安全性沒有CHAP高。PAP在傳輸password是明文的,而CHAP在傳輸過程中不傳輸密碼,取代密碼的是hash(哈希值)。PAP認證是通過兩次握手實現的,而CHAP則是通過3次握手實現的。
6.外出員工訪問公司內網
採用建立虛擬隧道VPN實現員工在外訪問公司內網資源,需要做的是在內網中架設一臺VPN服務區,外地員工只需要連接互聯網後,通過互聯網連接VPN服務器,然後通過VPN服務器連接到公司內網,但是爲了保證數據安全,VPN服務器和客戶機之間需要進行加密處理。
六、服務器規劃
DHCP服務器:用於內網主機分配Ip
根據所需使用子網,實現多個作用域,並將這些作用域加入進一個超級作用域,胃不痛子網內的個戶籍分配相應的IP
實現爲主機分配網關IP,DNS,IP
實現地址配出:將各服務器所使用地址在作用域內排除
保留特定IP,使其可以長期使用
DNS服務器:提供域名解析
實現主要名稱服務器,並建立AD集成區域
實現允許安全動態更新DDNS,使得與DHCP服務器合作,動態更新DNS數據庫
實現轉發器功能,使得內網訪問互聯網時DNS可將解析請求轉發給ISP DNS
實現輔助服務器:提供容錯和減輕負擔的功能
FTP服務器、數據庫服務器
1.只允許公司內部員工訪問,並且拒絕其外部網路的訪問,可以ACL進行限制訪問權限
2.用戶內部員工可以上傳和下載數據,但是限制非核心員工更數據
Web服務器(www服務器)
1.將其發佈到外網上,外部人員可以訪問,但是不能進行更改
VPN服務器
1.實現 VPN,使外出員工、分公司網絡、家庭辦公員工可以訪問內網資源
2.提供僅對域用戶的支持
七、Internet規劃
1.內網用戶一級代理
2.所有內網計算機通過內外網連接的路由器利用NAT功能實現訪問Internet
3.實現ACL初步提供內外網連接的網絡安全性
4.設置防火牆只有自動獲取的IP才能連接Internet
5.禁止員工訪問部分網站
八、安全規劃以及安全策略
表三:二層常見網絡攻擊
防護牆實現如下功能:
訪問控制
地址轉換
網絡環境支持
帶寬管理功能
入侵檢測和攻擊防禦
用戶認證
高可用性
由於這裏要求服務器有部分發布在外網上,所有我們可以採用深信服公司的NGAF進行網絡安全防護,這裏我們採用那個的路由模式,這種模式可以替換現有的防火牆 ,說笑呢對內網用戶和服務器安全防護。
推薦配置的安全防護策略:
殭屍網絡防護、IPS、DOS、DDOS、網頁防篡改、WEB攻擊檢測和防禦技術
九、常見網絡故障排除以及網絡優化
1.分部不能訪問總部網絡
內網服務器上的網關設置有誤。
內網服務器上的服務沒有開啓。
NGFW上的接口和安全區域配置有誤。
NGFW上的路由配置有誤。
NGFW上的安全策略配置有誤。
ISP Router將報文丟棄。
2.網絡優化建議:
硬件優化。
軟件優化。
網絡擴容。
新技術更新。
接入安全優化
網絡監控優化
附件:
價格來源:華爲官網、深信服官網
參考文獻:華爲HCNP R&S、深信服網絡安全、計算機網絡教科書