前言:中文期刊网精心挑选了网络安全规划方案范文供你参考和学习,希望我们的参考范文能激发你的文章创作灵感,欢迎阅读。
网络安全规划方案范文1
关键词:电信;网络安全;技术防护
从20世纪90年代至今,我国电信行业取得了跨越式 发展 ,电信固定网和移动网的规模均居世界第一,网络的技术水平也居世界前列。电信已经深入到人类生活的方方面面,和日常生活的结合越来越紧密。电信网的安全状况直接影响这些基础设施的正常运行。加强电信网络的安全防护工作,是一项重要的工作。笔者结合工作实际,就电信网络安全及防护工作做了一些思考。
1 电信网络安全及其现状
狭义的电信网络安全是指电信网络本身的安全性,按照网络对象的不同包括了pstn网络的安全、ip/internet网络安全、传输网络安全、电信运营商内部网络安全等几个方面;广义的网络安全是包括了网络本身安全这个基本层面,在这个基础上还有信息安全和业务安全的层面,几个层面结合在一起才能够为用户提供一个整体的安全体验。
电信运营商都比较重视网络安全的建设,针对网络特点、业务特点建立了系统的网络安全保障体系。我国电信的网络安全保障体系建设起步较早。2000年,原
2.3 运营商之间 网络 规划、建设缺乏协调配合,网络出现重大事故时难以迅速恢复
目前,我国电信领域基本形成了有效的竞争格局。但由于改革的配套措施还不尽完备,电信市场多运营商条件下的监管措施还不配套,给电信网络安全带来了新的威胁。如在网络规划建设方面,原来由行业主管部门对电信网络进行统一规划、统一建设,现在由各运营 企业 承担各自网络的规划、建设,行业主管部门在这方面的监管力度明显弱化。一旦出现大面积的网络瘫痪问题,不同运营商之间的网络能否互相支援配合就存在问题。
2.4 相关法规尚不完善,落实保障措施缺乏力度
当前我国《电信法》还没有出台,《信息安全法》还处于研究过程中,与网络安全相关的 法律 法规还不完备,且缺乏操作性。在规范电信运营企业安全保障建设方面,也缺乏法律依据。运营企业为了在竞争中占据有利地位,更多地关注网络建设、业务开发、市场份额和投资回报,把 经济 效益放在首位,网络安全相关的建设、运行维护管理等相对滞后。
3 电信网络安全防护的对策思考
强化电信网络安全,应做到主动防护与被动监控、全面防护与重点防护相结合,着重考虑以下几方面。
3.1 发散性的技术方案设计思路
在采用电信行业安全解决方案时,首先需要对关键资源进行定位,然后以关键资源为基点,按照发散性的思路进行安全分析和保护,并将方案的目的确定为电信网络系统建立一个统一规范的安全系统,使其具有统一的业务处理和管理流程、统一的接口、统一的协议以及统一的数据格式的规范。
3.2 网络层安全解决方案
网络层安全要基于以下几点考虑:控制不同的访问者对网络和设备的访问;划分并隔离不同安全域;防止内部访问者对无权访问区域的访问和误操作。可以按照网络区域安全级别把网络划分成两大安全区域,即关键服务器区域和外部接入网络区域,在这两大区域之间需要进行安全隔离。同时,应结合网络系统的安全防护和监控需要,与实际应用环境、工作业务流程以及机构组织形式进行密切结合,在系统中建立一个完善的安全体系,包括企业级的网络实时监控、入侵检测和防御,系统访问控制,网络入侵行为取证等,形成综合的和全面的端到端安全管理解决方案,从而大大加强系统的总体可控性。
3.3 网络层方案配置
在电信网络系统核心网段应该利用一台专用的安全工作站安装入侵检测产品,将工作站直接连接到主干交换机的监控端口(spanport),用以监控局域网内各网段间的数据包,并可在关键网段内配置含多个网卡并分别连接到多个子网的入侵检测工作站进行相应的监测。
3.4 主机、操作系统、数据库配置方案
由于电信行业的网络系统基于intranet体系结构,兼呈局域网和广域网的特性,是一个充分利用了intranet技术、范围覆盖广的分布式 计算 机网络,它面临的安全性威胁来自于方方面面。每一个需要保护的关键服务器上都应部署核心防护产品进行防范,并在中央安全管理平台上部署中央管理控制台,对全部的核心防护产品进行中央管理。
3.5 系统、数据库漏洞扫描
系统和数据库的漏洞扫描对电信行业这样的大型网络而言,具有重要的意义。充分利用已有的扫描工具完成这方面的工作,可免去专门购买其他的系统/数据库漏洞扫描工具。
参考 文献
网络安全规划方案范文2
关键词:计算机网络,分类,设计
所谓计算机网络,就是指具有独立功用的、处于不同位置的多台计算机及其相关的外部装置和设备,借助通信线路相连接,由专门的网络管理软件、网络操作系统以及具体的通信协议加以管理和协调,进而实现各个计算机用户之间的信息传递以及数据、资料等信息资源共享的一种计算机系统。随着信息时代的到来,人们的工作、学习和生活对网络通信的依赖程度越来越高,对计算机网络进行深入的分析和研究,进而针对不同用户群的具体需求进行相应的计算机网络规划与设计方案,使其能够为人们的生活带来更多的便利具有重要意义。
1、计算机网络的发展及分类
计算机网络的发展大致可以划分为三个主要阶段:第一阶段是从1968年到1986年的ARPAnet阶段,这是美国的研究以及试用阶段;第二阶段是从1986年到1995年的NSF网络阶段,该阶段是美国互联网科研应用阶段,计算机联网以及互联标准化问题得以解决,开放式系统互联参考模式被提出;第三阶段是从1995年开始至今的计算机网络商业化发展阶段,这也是国际化联网快速高速发展的阶段,网络的影响波及全球。
要对计算机网络进行规划与设计,首先要明确网络的分类方式。在此,笔者详细介绍两种网络分类方式:第一种,以网络地理位置为划分标准,可以将网络分为局域网、城域网以及广域网,其中,局域网和广域网是重点,局域网是其他两种网络类型的基础,广域网最具代表性的就是Internet。第二种,按照网络拓扑结构,可以分为星型网络、环形网络以及总线型网络,此外的树型网、簇星型网等类型网络都是建立在以上拓扑结构基础之上的。
2、计算机网络规划与设计重点问题
进行计算机网络的规划与设计要重点考虑以下及方面的问题:
第一,安全。对于广大网络用户而言,网络运行的安全性使其关注的首要问题,因此,社区网络作为提供网络接入服务的管理平台,在保证用户的高速接入的同时,要确保通信的安全性。对于社区用户的内部通信的安全性上,在网络设计时可以考虑使用宽带以太网VCN交换机,各个端口的数据流借助VCN交换机加以隔离,从而保证各用户的数据安全,并且这种方案是借助硬件来实现网络安全,也就不会对网络的整体性能造成影响;至于内部用户在社区外访问社区网络时的安全性,就要借助虚拟私有网络来实现,也就是说,在社区网与公网之间,由PPTP或L2TP提供VPN隧道,由IPSec对网络传输数据进行加密封装,从而实现网络通信的安全性。
第二,认证与计费。建设智能化社区网络以及多功能网络服务平台,不仅需要高速的物理网络,还需要强大的后台系统的支持。在城域网中心集中计费管理,可以在很大程度上降低管理成本,增强网络运营商的竞争优势。
第三,组播。拓扑结构对组播Multicast提供两方面的支持,即路由网络以及二层交换网络。其中,路由网络要支持MOSPF、DVMRP或者PIM;二层交换网络的实现则主要借助IGMPSnooping标准协议。
第四,网络管理。为了保证整个社区大量设备以及网络的正常运作,就要采用专业的网络管理软件监控网络运转情况,完善的网管系统由网络工作站以及网络管理模块组成,主要有三方面的作用,首先是可以保证网络的安全,网管系统通过相关的网络管理协议,监控网络设备运行情况,一旦发现问题,可以及时准确的进行定位,并发出警报;网管系统还可以对网络的运行状态进行记录,以便为合理配置资源提供数据资料;最后就是监测网络数据流量,从而计算出用户应承担的相应费用。
第五,IP地址的分配。全网系NAT地址转换,内网是自编方式,既可以由用户进行静态分配,也可以由VBN Server进行动态分配。对需要访问Internet 网络的用户,借助VBN Server 的网络地址转换功能进行分配。
3、不同密度用户的网络规划与设计方案
笔者是针对的是局域网中以太网技术为基础的,根据密度高低规划网络方案。笔者所谈及的高密度和低密度,主要指的是小区住房的密度。将太网络RJ45信息插座作为借口安装在每个用户家中,连接社区网络,用户就可以获取100M的网络速率。在方案规划与设计中,要注意以下几点:首先,因为方案中采取的是太网技术,所以就要重点考虑到传统太网技术的安全性问题;其次,社区网络是提供网络接入服务的运营平台,将向用户提供包括Internet网在内的各种网络服务,为了有效的实现运营管理,要重点考虑到用户的认证以及计费问题;最后,小区网络包括有大量的设备,因此,网络的维护与管理问题也要引起重视。
对于低密度社区而言,可以借助光纤将接入层网络交换机直接连接到中心交换机上,对于高密度小区来说,各楼内可以采取VCN10/100M交换机作为边缘交换机,采用10/100M到户。
借助高性能宽带接入交换机VCN Switch,网络的安全性问题就可以借助硬件加以解决,这样就不会对用户的网络性能造成影响,这种设计方案中所能实现的网络整体性能与通过VLAN方式、借助软件来保证网络安全性的传统交换机相比,具有明显优势。并且借助物理方式解决网络安全性问题,可以在一定程度上减轻二级交换机的路由负担以及整个网络的VLAN数量,进而保证网络实现高效合理、方便快捷。
一般而言,项目的总体建设的目标和规模是覆盖整个企业各单位;建设以总部为核心,以数据通信传输网络为主干;互联各生产经营单位的计算机局域网络所构成的大型企业综合信息管理网络(即企业内部综合信息网―Intranet)。其目的和功能旨在为企业提供具备现代化生产、经营和管理的硬件技术平台和操作环境。该网络具有与外部Internet 互联的功能通过外部接口以满足企业与外部世界的信息交流。
参考文献:
[1]吴学毅.计算机网络规划与设计.机械工业出版社,2009
[2]段水福,段炼,张元睿.计算机网络规划与设计.浙江大学出版社,2005
网络安全规划方案范文3
【关键词】校园网 规范 培训 建库
要规范地建设好校园网,必须做到:规划、培训、建库,然后建网。
一、规划
要规范地建设校园网络,必须清楚需要什么样的校园网络,需要校园网络来干什么?通常学校对校园网络的要求有以下几种:
1.最简单的校园网络:包括一个微机房、一个教师电脑办公室以及几台教师办公室使用的电脑。这样的配置基本可以应付日常的计算机课程和教师办公、校务管理。学校也可以使用校长管理系统、教师办公系统、学生成绩管理系统、人事档案管理系统、财务管理系统等几个独立的管理系统。
2.中档配置的校园网络:包括若干个微机房、一个网络服务中心、每个教室配备电脑一台、每个教师办公室配备教师办公电脑。这样的配置可以满足管理、办公、教学、辅助教学的大部分要求。学校可以使用校长办公系统、教师办公系统、学生成绩管理系统、人事档案管理系统、财务管理系统、教师备课系统、图书馆管理系统、多媒体教学资源库系统、校园网站等。
3.高档配置的校园网络:包括足够的微机房,一个大型的网络服务中心,每个教室配备微机若干台(甚至学生人手一台微机),每个教师配备办公电脑,这样的配置可以实现所有的自动化校园管理和教育教学信息自动化。WWW.133229.coM学校可以使用各种的管理系统、电子图书馆、网上学校,实现真正的网上教学。
利用校园网络最基本可以做到学校管理自动化,例如:人事档案管理、教师办公、行政管理、学生管理。如果配置允许,还可以实现校内无纸化办公、教师电子备课系统、教师辅助教学系统、网上学校等。所以要建设校园网络前必须先根据自己的需要规划好校园网络。
另外,建设校园网还需要适应学校的长远发展规划,根据具体的情况采取统一的规划,分阶段实施,逐步到位的建网原则。必须认清形势,了解到学校日后的发展规模、学校的发展方向、学校的发展潜力,统一规划好校园网络的架设。
二、培训
校园网的建设,必须先进行全员培训,即先要实现学校教师、技术人员和管理人员的全员培训,再考虑架建网络。如果没有一支技术过硬的教师、技术人员和管理人员队伍,校园网就算是架设好了,也会由于使用人员水平问题而不能正常运行或发挥最佳的运行效果。所以当规划好校园网,找到了合适的硬件厂商和软件公司后,立即要着手做的就是对全校教师和管理系统使用者进行全员培训。教师和管理系统使用者的全员培训可以分成几个部分。
1.全体教师的培训。教师的培训主要着眼于几个方面:第一,对电脑操作的熟悉及常用软件的使用;第二,办公系统的使用;第三,教师电子备课系统的使用;第四,多媒体辅助教学软件的使用;第五,国际互联网的使用;第六,计算机系统的安装和常用软件的安装;第七,常见的软、硬件故障的解决方法。
2.管理系统使用者的培训。管理系统使用者的培训主要着眼于几个方面:第一,对电脑操作的熟悉及常用软件的使用;第二,相应的管理系统的使用,第三,国际互联网的使用;第四,计算机系统的安装和常用软件的安装;第五,常见的软、硬件故障的解决方法。
3.网络管理员的培训。网络管理员是最重要的人,整个校园网络能否正常运行就取决于这个管理员的水平。学校最好是聘请有经验的专职人员来从事这一项工作,网络管理员的培训主要着眼于几个方面:第一,服务器的安装和维护;第二,服务器操作系统的使用;第三,服务器操作系统的安装和维护;第四,互联网技术,第五,网络安全的技术。
4.硬件维修人员的培训。拥有一个校园网络,不可能长期依赖于硬件供应商的售后服务,学校必须拥有一到两个硬件的维修人员来维护学校的网络和硬件以及办公设备。硬件维修人员应该参与到学校的整个网络铺建的工作中,熟悉全校的网络线路的布局。硬件维修人员的培训主要着眼于几个方面:第一,网络的架设技术;第二,微机的安装和保养;第三,微机故障的处理和维修;第四,网络故障的处理和维修。
5.软件维护人员的培训。拥有一个校园网络的管理系统,也不可能长期依赖于软件公司的售后服务,学校必须拥有一到两个软件的维护人员来维护学校管理系统的正常运作。软件维护人员应该参预到学校的管理系统的开发中,熟悉学校管理系统的结构和原理。软件维护人员的培训主要着眼于几个方面:第一,数据库的技术;第二,软件开发平台软件的技术;第三,系统设计的原理;第四,系统故障的处理和维护。
以上五种人员的培训工作都必须走在学校建设校园网络的前面,尤其是第四、第五种人员。教师的培训主要由学校自己找合适的人士来培训;第二、三、五种人员则应该由为学校编写管理系统的软件公司负责培训;第四种人员则应该由为学校铺设校园网络的厂商负责培训。
三、建库
校园数据库内容包括很多的内容,我们都称之为教育教学资源。也就是要建立好校园网络,必须先建立起学校的教育教学资源库。
教育教学资源库包括的内容有:人事档案库、财务档案库、文件档案库、教学信息库、教育信息库、多媒体信息库等。
人事档案库包括:教师档案库、职工档案库、学生档案库。教师档案库中包括了教师的一些基本个人资料、教师在学校的历任和现任职务、教师在学校期间的考核资料、教师在学校期间的奖惩情况等。学生档案库中包括学生的成绩、评语、奖惩、身体发育状况等。
财务档案库包括:校产档案库、工资档案库、收支档案库。校产档案库中包括了常规教学设备资料、电脑电教设备资料、图书资料、水电维修和木工资料、环境保护资料。
文件档案库包括:政府下达文件库、学校下发文件库、学校各种获奖文献库、学校的各种计划和总结文件库。
教学信息库包括:各学科教案库、试题库、教学改革信息库、教学研究信息库。教案库中包括了各学科教师对每一节新授课、复习课的教案,以便日后教学总结及提高教学能力之用。试题库中包括了各种难度、各阶段的练习、测试、考查的试题,而且是每一题试题都已经经过分析并得出其难度的题目,以便从题库找出相应的题目组成一份试题。
多媒体信息库:包括了声音素材库、图像素材库、影视素材库。多媒体信息库是为了教学服务,教师电子备课系统、辅助教学系统、学生学习系统都必须使用到这一类的信息。
网络安全规划方案范文4
关键词 10kV;以下;业扩工程;管理
中图分类号TM6 文献标识码A 文章编号 1674-6708(2014)112-0030-02
随着我国经济建设的高速发展,社会的用电需求越来越大,10KV及以下业扩工程的建设数量也在不断提高,可是近些年来,我国对电力的体制不断改革,电力企业已经不完全处于垄断地位,企业在未来的发展过程中即将面临着巨大的竞争压力和挑战。为了能够给用电客户提供高品质的供电服务以及安全稳定的电力资源,电力企业需要进一步加强和优化10kV及以下业扩工程的管理工作,从而提高企业在电力市场上的综合竞争力。
1业扩工程管理的流程
业扩工程管理的流程主要有以下几点:第一,受理工程业务。由供电部门的报装员指导用电客户填好用电申请表;第二,勘察好工程现场。相关工作人员要记录好工程现场的勘察结果,根据用电客户的具体需要,初步做好业扩工程供电计费的方案;第三,详细策划好供电的方案。主要是根据现场实际的勘测结果来制定供电方案;第四,对供电方案的审批。供电的方案确定下来以后需要由相关部门领导的签字才能生效;第五,对供电方案的答复。供电方案审批过后,报装员需要给用电客户下发通知书;第六,审查工程设计方案。相关部门按照国家的相关规定来审核用电客户的工程设计方案,并要求在规定时间内回复审核的结果;第七,对整个施工过程做好监督检查工作,如果出现不符合标准的情况,及时做好整改工作;第八,对业扩工程的验收。当收到用电客户的工程验收要求时,需要相关部门审核好各种报上来的材料,确定齐全后通知验收部门准备验收;第九,用电合同的签订。用电前必须与用电客户签订好用电合同以及一些其他的相关用电协议;第十,给用电客户安装好配电箱;第十一,供电开始后将各种相关的供电资料归档;第十二,做好对供电客户的回访工作。
2 业扩工程管理分析
2.1业扩工程的招投标管理
在业扩工程招投标的管理方面,建设单位要严格按照相关法律法规进行招投标。招投标过程中一定要做好竞标商的资质审查工作,尽量选择那些管理上比较规范、成绩优异、服务水平高的承包商来参加业扩工程建设。
2.2业扩工程的合同管理
招投标工作结束后,建筑企业要根据合同法的有关规定与承包商签订合同,明确合同甲乙双方在业扩工程建设过程中所要承担的权利、义务和责任。合同格式需要参照主管部门提供的合同范本。
各相关施工单位要严格按照合同的条款来进行业扩工程建设,电力企业相关部门要在项目建设过程中随时监督管理施工人员,检查好施工的设备以及施工设计的方案是否与业扩工程合同相一致。
2.3对施工进度的监督和管理
建设企业在施工前要做出工程项目进度的计划方案以及施工管理的具体方法,并在建设施工过程中严格的执行。施工过程中,一定要确保有足够的管理人员在现场进行监督检查,一旦出现问题可以及时协调处理,从而保证工程进度的顺利进行。
2.4业扩工程的物料管理
物料的采购要按流程,有计划的进行。如果项目在建设过程中一旦发生变化,对物料的采购计划要作出及时的调整,以免出现物料浪费或者积压的现象。在物料使用前,使用人员或部门要提前做好物料申请表,之后经过物料管理部门确认后才能领取,等工程项目结束后,各部门要退回剩余的物料。
2.5业扩工程的验收
业扩工程结束后,建设单位和电力部门会进行工程验收。验收过程中一定要按照国家有关工程项目验收的标准来执行,仔细审核项目工程的计划,设计的方案,工程的质量以及遗留下来的安全问题等等。
2.6对施工安全的管理
在项目建设的整个过程中,安全工作时刻都不能放松。一定要按照施工安全的相关规定以及相关措施去严格执行。项目开始前,要及时考察好施工现场,掌握容易出现安全事故的区域,并对该区域做好施工前期的防御工作,同时还要与施工的相关人员做好交底工作。
3 10KV及以下配电网络的规划与设计
3.1配电网络的规划部署
配电网络规划的目标是要建设一个安全性强,机构比较合理,能充分满足社会经济发展需要的电力网络构架。配电网络的规划一般由以下几个环节构成:第一,做好配电网络数据资料的收集,并做好有效的整理工作;第二,提前预测好配电网络的负荷量,这项工作对配电网络的整体规划部署影响很大,因此对该项工作要给予充分的重视;第三,配电网络的规划部署要适应建设地区未来的整体发展,也就是说10kV及以下的配电网络规划要与低高压配电网协调发展,并从多方面去综合分析配电网络的建设;第四,提前确定好配电网络项目建设的设计方案。
3.2配电网络的设计
在对10kV及以下业扩工程配电网络进行设计时,一般主要考虑以下几点:第一,把一些结构不够合理的配电网络进行改变,运用“网格式”的配电结构,采取分区域供电,从而减少配电网络的重复性,同时要保证不同线路之间的联络,从而对互供能力给与保障;第二,对电源线路的供电半径给予控制,同时保证分段开关的合理化设置;第三,对配电网络的电源支持点进行合理化的设置,从而提高电网的供电能力;第四,配电网络线路要尽量采用电缆布线、这样绝缘性好。可是一般情况下,电缆布线的资金投入比较大、建议建设单位可以根据自身的实力逐步实行整改;第五,对环网点进行科学性规划,保证环网设备的质量,从而提高配电网络的安全性能;第六,通过提高配电线路的自动化水平来减少停电次数。当配电网络出现问题时,线路上的自动化设备就会隔离问题区域,及时恢复供电。
4结论
综上所述,随着10kV及以下业扩工程的建设数量不断增多,供电企业及建设单位对业扩工程的管理能力也需要不断的提高。这样不但能为用电客户提供更好的供电服务,确保工程建设的质量和安全,保证工程项目的顺利进行,同时还能为供电企业带来更大的经济效益,从而提高供电企业在供电市场上的综合竞争力。
参考文献
[1]杨晓敏.电力系统继电保护原理及应用.北京:中国电力出版社,2011.
网络安全规划方案范文5
design and implementation of small campus network
gu xin-yan1, meng qing-wei2
(1. city college, xi’an jiaotong university, xi’an 710016, china; 2. zte corporation, xi’an 710065, china)
abstract: the simple data-sharing networks of the enterprises in previous period have been developed into the internal source sharing networks of the modern enterprises. that is, the single location networks have been evolved into interconnect branch networks around the world. therefore, the technology requirements for the design and implementation of small campus networks have become increasingly critical. proceeding from the analysis of the demands of networking in all aspects, based on the use ofthe idea of establishing the modern small campus network is proposed with the scientific ip planning based on the deep comprehension and application of vlan in essence. the network has a number of advantages of high security, high reliability, easy maintenance and scalability.keywords: network; ip; vlan; campus network
对于现代办公的场所,智能化必不可少,包括综合布线、视频监控、会议电视、智能门禁、一卡通消费、安防报警、自动oa等弱电集成,而信息化业务正是智能建筑的要素之一,本方案主要就在办公大楼内部署信息化网络的方案进行描述。
拟订某公司的新建办公大楼作为局域网建设的模型。设定大楼共5层高,每层建设有弱电间一个,整个大楼设中心机房一间,规划信息接入点共150个(即150台计算机终端)。大楼的局域网建设自己的内网,办公业务内网是新大楼及后勤服务配套设施内各单位数据通信的主要平台,为各种办公应用系统提供高效、可靠、安全的通信途径。向楼内用户提供内部办公、内部办公商务、部署各类内网服务器等,同时,可灵活设置大楼内用户权限,限定用户访问互联网的权限。
假设此办公大楼的内部网络又可按照所属的部门、职能、安全重要程度分为许多子网(即vlan),包括:财务子网、领导子网、办公室子网、市场部子网、各类服务器子网等。通过vlan技术的应用可以将这些用户区分开来。
1 建设效果
1.1 先进性
新建办公楼的信息网络必须满足日新月异的信息化发展及新业务的开展,要求所用设备支持所有国际通用标准,良好的售后服务。数据网络设备须选用具有国际的的先进水平,均为业界领先并且应用广泛的高性能交换机。
1.2 安全性
由于以太网的广播特性,某台计算机感染病毒后会在局域网中散播,因此在设备选择上须重视设备对病毒包的抑制过滤能力、acl能力、对用户终端的控制手段等。所选用的数据网络设备均支持丰富的acl访问控制列表,对用户进行线速的数据包过滤。此外,根据客户需求还可以在用户侧进行port-mac地址捆绑、mac地址-ip地址捆绑等功能,有效得对网络内部的用户、地址进行控制和管理。
1.3 高可用性/可靠性
网络设备具有良好的可靠性保证,可热插拔的模块,快速的恢复机制,冗余及负载均衡的电源系统,控制模块的冗余等。
通过vrrp与stp技术实现网络结构的冗余,确保不因为单条线路的故障而导致整个网络系统的失效,并且确保在某条线路故障时对系统性能的影响也能最小。
1.4 可扩展性和可升级性
实施的网络具有良好的扩展性(拓扑结构、线卡等),整个网络可以在各层扩充设备,并通过网管系统进行统一管理。为今后的网络扩展留有足够的空间,必须具有高度的可扩充性,可有效地对用户提供投资保护。
1.5 易管理和易维护性
通过网管软件的安装对整个网络提供实时端口级的管理,拓扑管理、lan的配置和管理,并提供各种管理策略,有效地对整个网络进行管理、控制和维护。为网络提供完善的管理、配置、故障、性能、统计管理。可选择结合业界领先的集群管理技术,做到交换机即插即用,大大简化了配置过程,为日后扩容提供了便利。
2 建设方案
2.1 方案概述
既然内部网络可按照所属的部门、职能、安全重要程度分为许多vlan子网,包括:财务子网、领导子网、办公室子网、市场部子网、各类服务器子网等。在方案设计中,基于安全的重要程度和要保护的对象,可以在交换机上划分为4个虚拟局域网(vlan),即:各类服务器子网、财务子网、领导子网、其他子网。不同的局域网分属不同的广播域,由于财务子网、领导子网、中心服务器子网属于重要网段,因此在中心交换机上将这些网段各自划分为一个独立的广播域,而将其他的工作站划分在一个相同的网段。
2.2 设计思想
设计思想为:采用高速、高性能的网络主干;网络根据需要划分不同的虚拟网;虚拟网之间的数据交换通过集中的路由功能实现;网络主干应有极强的扩充能力,网络性能不会因为网络的扩充而降低;与广域的路由器和主机配合实现广域上网络资源的备份和数据分流;保障局域网上的安全性;
2.3 方案描述
由于局域网中存在多个不同安全级别的网络用户,例如财务系统和普通的一般工作机器,因此从安全的角度看应该将这些用户进行隔离。一个最基本的工具就是vlan,对不同的网络用户进行隔离。更复杂一些的方案是通过vpn等。在目前的技术情况下,一般是使用vlan进行隔离居多。
为使得用户可以访问公司内部,或者外部的一些公共资源,虽然通过vlan可以进行物理层面的隔离,但是希望他们在ip层是互通的,为此需要对不同的用户/主机分配ip地址。
对大型网络,可以通过不同的楼层为单位进行ip地址的分配,这样可以获得比较好的地址汇聚能力,可以减少对路由表的需求。另外一种比较可行的方案是使用dhcp自动地址分配策略,减少网络使用的复杂度。
根据以上对网络的分析以及方便扩容的原则,规划整个网络分为核心层和接入层两级架构:
(1) 在办公楼的中心机房选用配置1台中兴通讯的zxr10 ger02作为出口路由器,上联至防火墙实现百兆接入internet;
(2) 选用1台中兴通讯的zxr10 t40g作为核心层路由交换机,通过高密度的千兆光接口板汇聚接入交换机设备,通过百兆电接口板连接各类服务器;
(3)在每个楼层部署1台中兴通讯zxr10 2852s作为接入层交换机,通过千兆光纤上联至核心交换机,通过百兆双绞线下联用户计算机终端;网络拓扑图如图1所示。
图1 网络拓扑结构
中兴通讯的接入级以太网交换机支持4k个标准vlan,可基于端口、mac地址、各种策略来划分vlan,能提供48个固定的10m/100m 以太网口和2个固定的1 000 m光口和2个固定的10 m/100 m/1 000 m自适应电口。本方案中采用在接入交换机2852s上基于端口划分vlan的方式,使各类用户都可以接入网络,vlan号和vlan名称规划如表1所示。
在核心交换机zxr10 t40g上建立各个子网的vlan网关,各子网内可以相互通信,但子网间的通信必须通过网关实现,网管人员可以通过访问控制列表acl来灵活调整vlan间的互访关系,从而达到限制用户行为的目的。
在给不同的用户群划分完vlan之后,还需要为不同的vlan内的用户分配不同的ip地址,不同的子网ip地址也是不同的,局域网内的ip地址一般选用私网ip(关于ip地址的内容详见后面章节),考虑到以后的扩容,本次为每个网段分配1个c类地址,即每个子网的可用ip地址数为254个。各子网的ip地址规划如表2所示。
出口路由器ger采用先进的crossbar交换结构以及高性能的网络处理器技术,以中小型路由器的体积,提供32 gb/s的大容量交换能力,支持多个2.5 gb/s pos、ge、fe、155m pos等高速端口以及高密度的e1接口,支持灵活的组网方式。可以提供2个用户接口插槽供用户选择,充分满足用户分步建设的需求,zxr10 ger路由器具有良好的扩展性,可充分保护用户的投资。ger采用硬件实现强大的nat功能,nat并发会话数高达1m,可以作为高性能的nat网关产品。
表1 vlan号和vlan名称规划
vlan 编号vlan名实现功能
2server各类服务器子网
3leader领导子网
4finance财务子网
5other其他子网
表2 各子网的ip地址规划
vlan编号vlan名实现功能地址划分掩码网关
2server各类服务器子网192.168.2.1-192.168.2.254255.255.255.0192.168.2.1
3leader领导子网192.168.3.1-192.168.3.254255.255.255.0192.168.3.1
4finance财务子网192.168.4.1-192.168.4.254255.255.255.0192.168.4.1
5other其他子网192.168.5.1-192.168.5.254255.255.255.0192.168.5.1
整个网络采用了先进的以太交换网络技术、高速的桌面接入能力实现了网络数据传输的高效性,同时整个网络具有开放性、标准化的网络体系,支持各种异构计算机网络之间的互连。另外,该网络方案还具有以下特点:
(1) 整个系统具有较高的性能价格比,并能够很好地保护用户投资。对于入驻的业主也可以有所选择,根据业主需求构建内部网络;
(2) 具有前瞻性、先进性和可扩展性, 要满足未来10年业务的需求,具备软件可升级、端口可支持万兆、设备支持mpls等扩展性;
(3) 具有开展业务的灵活性,适应业务模式和业务量的变化要求,网络设备支持各种路由协议,并具备平滑升级的能力;
(4) 具备很高可靠性和安全性,在多个层次上实现安全访问控制;能够对根据需要对不同用户、不同应用、不同接入方式统一进行认证;可以对关键应用系统进行隔离和访问控制;对外网(互联网和合作伙伴)进行隔离和访问控制;具有dos和ddos防护能力等深层防御能力;
(5) 选择的软硬件产品应具有一定的通用性,采用标准的技术、结构、系统组件和用户接口。
3 ip地址规划原则
网络地址、域名统一规划:由于ip地址及域名尚未确定,本次方案中只简要提出ip分配及域名规划的原则。域名规划要注意层次性和一致性。内部域名、外部域名要分别设置,能体现组织结构并易于管理。
地址分配要遵循原则:简单性。地址的分配应该简单,避免在主干上采用复杂的掩码方式;连续性。为同一个网络区域分配连续的网络地址,便于采用summarization及cidr(classless inter-doma in routing)技术缩减路由表的表项,提高路由器的处理效率;可扩充性。为一个网络区域分配的网络地址应该具有一定的容量,便于主机数量增加时仍然能够保持地址的连续性;灵活性。地址分配不应该基于某个网络路由策略的优化方案,应该便于多数路由策略在该地址分配方案上实现优化;可管理性。地址的分配应该有层次,某个局部的变动不要影响上层、全局;安全性。网络内应按工作内容划分成不同网段即子网以便进行管理。
3.1 地址规划
ip地址的总体划分规则如下:
(1)技术方案上讲,采用vlsm变长子网掩码创建分层的子网,利用cidr减少路由器中路由表中路由数量,提高总体网络性能。
(2)根据ip网络的应用领域不同和网络层次的位置不同,采用不同的ip地址规划策略。
子网划分允许系统管理员更好的利用现有的地址空间。例如:有8个网络,每个网络有30个主机。原来需要8个class c地址,现在用子网划分,一个class c地址就够了。因为子网在internet上是不可见的,所以:路由表会减少,内部网根据需求可以划分多个子网,不需要浪费地址空间和增加internet路由表;子网的震荡不会影响internet,ripv1只允许一个子网掩码,rfc1009允许在一个路由域内有多个子网掩码。当有多个子网掩码备用,就称为可变长子网掩码。
没有vlsm,一个子网掩码只能提供给一个网络。这样就限制了子网上的主机数。举一个vlsm的例子:
① 假设有一个c类地址:192.214.11.0,需要把它分成3个子网,其中一个子网要求有100台主机。另外两个子网各50台主机。
②理论上你可以使用256个地址,从192.214.11.0到192.214.11.255。但是如果没有vlsm,很难完成期望的划分。如果没有vlsm,可有两种选择:使用255.255.255.128把地址划分为各有128台主机的2个子网,或者用掩码255.255.255.192把网络划分成有64台主机的4个子网。难以满足上面提出的需求。
③如果使用vlsm,可以使用掩码128把地址分成128台主机的两个子网,再用掩码192进一步把第2个地址分成各64台主机两个子网。
vlsm允许设计者为特定的需求分割地址空间。每个站点传送一个聚合的子网地址到其他的站点。
同样,一个supernet是用一个普通的网络前缀和掩码来表示一组网络。一个supernet的地址是由一对地址/掩码组成的,前缀指的是相邻网络地址组中的第一个ip地址,掩码是要小于自然掩码长度。
例如,一组连续的地址:192.32.0.0到192.32.3.0。supernet的地址是192.32.0.0(第一个ip地址),掩码是255.255.252.0。在rfc1517-1520文档中,class interdomain routing (cidr)是一种地址规划。cidr脱离了传统的a/b/c类地址。在cidr中,一个ip网络由一个前缀表示,这个前缀是一个ip地址中的最左边的相邻有效位的表示。cidr可以把相邻的具体路由集中在一个通告中,被称为“聚合”。
cidr允许路由器更充分聚合路由选择信息。路由表中的一条纪录可以代表许多网络。这大大减小路由表的规模,并且直接转化为地址空间的可扩展性。
地址规划的基本思想:通常合理的地址规划是使连续的地址尽量集中在一个区域内。因此,整个核心层应象一个区域或一个省一样,被分配一段连续的地址。更进一步,连接进某一区域的省的ip地址范围应集中在该区域的地址范围附近。
广域网连接:如果广域网连接采用路由协议,则应使用30位掩码。点对点的连接只需两个主机地址,因此不需更大的地址空间。具体设计实施规则:
第一层:以网络汇接区域来划分。
根据网络汇接分布的地理区域来划分大块连续的ip地址空间;有利于路由协议的计算和地址汇聚。
在首期网络工程内的地址划分需要考虑网络的接入层的扩展;需要为网络的扩展预留地址空间。
第二层:在区域接入网内,以网络功能来划分。
可以根据不同的应用和网络功能来划分,如:用户网络接入地址;数据服务器地址空间和网络管理操作。可以从号码上识别出应用和功能;
根据具体地址空间,可以给出每个区域和接入层的地址空间。在地址分配中需要的从地址的应用类型上给出规则:路由器 loopback 地址,每台路由器需要一个30位掩码的ip地址;点到点的广域网链路,需要30位最小的子网;局域网地址按照主机接入数量和设备数量来分配子网空间;根据网络ip地址的应用类型,从总体上将可利用的ip地址划分成如下4种类型,划分方案如表3所示。
表3 划分方案
应用类型ip地址子网掩码
网间网互连192.168.x.x255.255. 255.0
带内管理192.168.x.x255.255. 255.0
数据服务器172.16.1.x255.255. 255.0
网络用户10.x. x.x255.255. 0.0
(1) 网间网互连网络。
由于网间网互连网络是负责ip网络核心、汇聚以及接入3层设备的互连,属于机密性的管理网络,所以要和用户ip地址有严格的区分,该部分网络采用192.168.x.x的30位子网掩码的点到点连接的子网,以增加网络的安全性、可管理性和ip地址的利用率。
(2) 带内管理网络。
由于带内管理网络是负责全部网络连接设备的管理,也属于机密性的管理网络,所以要和网间网互连网络一样,要和用户ip地址有严格的区分,该部分网络也采用192.168.x.x的24位子网掩码的c类子网,同时,以结合3层分层结构进行带内管理地址的分配。
(3) 数据服务器网络。
数据服务器网络是全网的应用数据服务核心,所以采用从172.16.x.x中拿出一段作为数据服务器网络地址,该部分的地址规划要和应用的模式和分布情况进一步设计。
(4) 用户网络。
用户网络的ip地址是整个网络用户的终端ip地址,是整个网络ip地址划分中的核心部分,该部分ip地址要严格按照网络的分层结构划分出分层子网,同时,要预留网络的扩展网段,以利于网络规模的扩展。
3.2 地址分配
地址划分是优化路由处理的重要组成部分。在宽带ip网络中,初步设计采用保留的地址(10.x.x.x,172.x.x.x,192.168.x.x),地址按区域划分。
在地址分配过程中,各节点的保留ip地址应尽量保持连续性以便于内部路由管理,同样,整个网络内部也应尽量保持cidr(无级域间路由)地址块的连续性,保留ip地址的使用应为将来网络发展留有余地,以便于网络的统一规划。ip的地址分配主要考虑:合法的ip地址应由统一的网管中心分配使用;地址分配方案应与原有网络地址分配方案统一考虑,原有网络地址分配尽量保持不变; 地址分配应本着简化路由选择,充分利用地址空间,兼顾今后网络发展,便于业务管理等原则进行;地址分配方案可以考虑可变长子网掩码技术;充分考虑未来在若干节点的系统可扩充性;充分反映ip网络的拓扑层次结构;有利于路由协议的配置,地址归纳和自治域的设定;方便网络管理;在各个层次都预留地址以适应不同层次的扩容。
4 结 语
现代办公模式较传统办公室模式的革命性变化促进了企业网的形成。随着经济的飞速发展,中小型企业在整个国民经济中占有越来越重要的地位,但是中小型企业的信息技术水平却相对较弱。本文对中小型园区网建设的各个要素进行分析,提出了一套完整的中小型园区网的建网方案。该方案兼顾了安全性、可靠性、可用性、易维护性等各个方面,很好地满足了现代办公模式对整个企业网的功能需求,并对设备选择和ip地址划分给出了常用分配原则和参考方法。
参考文献
网络安全规划方案范文6
一、行业动态:无线网络技术的发展趋势
目前无线应用已经深入到了企业当中,虽然它不会取代传统的有线网络,但它已经成为传统有线网络灵活扩展的重要技术,企业业务应用模式也由原来单一的局域网络共享式通讯发展到采用无线网络技术和虚拟专用网技术的多分支机构分布式通讯。随着信息化建设的发展,虽然企业在业务应用模式和工作方式上都有了本质的变化。但是其最终还是要依托基础网络架构的传输与运营商之间的互联来实现。不管是云计算服务商还是大中小企业基础网络传输架构大部分还是采用以太网技术,美国施乐公司75年研制成功的一种电缆连接网络“以太网”经过20多年的发展,到20世纪90年代后期,以太网在局域网市场中取得了垄断地位,并且几乎成为局域网的代名词。如今的以太网技术已经发展到千兆以太网,万兆以太网以及光纤接入网络技术。85%以上的局域网都是采用以太网技术。针对基础网络传输架构(企业局域网)的维护以及对有线与无线网络的融合及优化部署工作还是非常巨大的。
根据我校实行的三学期制教学特点,培养中高级网络运维工程师,适应当今社会,企事业单位对综合型网络专业人才的普遍需求,另一方面我们可以根据不同学生的学习情况,因地制宜,有针对性的培养数据中心运维管理方面的人才。
二、基于人才培养的课程体系设计
课程大致分为专业基础课,专业核心课和专业综合能力课三种类型。
1.专业基础课大致分为以下课程:
计算机网络技术:该课程主要目的是培养学生的学习兴趣,所教授课程的主要内容是计算机系统的结构组成,网络的概念,日常的维护等。
JAVA/C++ 编程语言:让学生掌握基础编程语言知识,对于软件知识的了解和掌握可以帮助毕业生顺利地进入职业生涯。
Linux操作系统:这一操作系统在日常生活工作中应用相当广泛,该课程主要为使学生熟练掌握其特点,可以根握需要合理配置,应用到服务器中。
TCP/IP卷一:主要讲述TCP/IP协议方面的内容,结合大量实例讲述TCP/IP协议包的定义原因,以动态的方式讲述TCP/IP的知识,使学生可以轻松掌握TCP/IP的知识:路由协议,寻址协议,组控制协议,简单邮件传输协议等。为后续课程奠定学习基础。
2.专业核心课大致分为以下课程:
(1)CCNA-助理网络工程师:使学生通过对局域网相关知识的学习,可以实现初步安装,配置和操作等。
(2)实践网络排错技术1:目的是通过学习基础理论知识 ,并结合实践,让学生可以独立完成网络故障的排错。
(3)CCNP-路由交换机1: 学生通过对路由和交换技术的学习,可以增强学生对大中型企业的组网能力,独自对大中型企业局域网和广域网完成规划,实施等操作。
(4)CCNP-路由交换机2:为了更好的发挥网络的高效作用,很多企业都会对现有的网络进行优化处理,通过这门课程 的学习使学生掌握有关网络规划设计和网络优化处理的技巧。
(6)虚拟化技术Vmware:学生通过对桌面虚拟化,服务器虚拟化等虚拟化知识的学习,掌握虚拟化方案的设计和部署,为学习云计算和资源整合打下良好基础。
(7)网络实践排错技术2:使学生提高排错能力。
(8)Nexus数据中心课程(经典以太网):学习Nexus数据中心的架构体系,产品特性及先进技术可以帮助学生在日常工作中独立规划设计项目方案。
(9)计算Nexus数据中心课程UCS统一:使学生掌握有关云计算数据中心知识。
(10)安全技术VPN:使学生掌握各种VPN及安全技术,便于工作中对企业内网的安全部署和安全策略的了解。
(11)无线网络技术:主要讲述企业局域网中如何设计,部署及实施无线网络,并对无线网络加以安全策略。使学生了解并掌握无线安全网络在企业中具体部署,实施的基本原则及技巧
(12)运营商技术:主要讲述运营商所使用的技术及广域网的部署方案,通过课程学习让学生了解并掌握运营商的网络架构以及运营商与企业边界网络的设计,部署及实施。
(13)华为,H3C产品技术:帮助学生解决在实际工作中,多厂商间设备互联时遇到的设备兼容性的问题
(14)FC存储技术:主要讲述服务器集群,存储网络所使用的技术,通过课程学习让学生真正理解什么是FC网络及FC存储技术
(15)网络工程项目:通过大量实例网络项目方案的分析,使学生了解并掌握项目方案的具体流程。具备撰写项目计划书的能力
3.专业综合能力课大致分为以下课程:
(1)网络拓扑结构分析:主要引导和组织学生针对具体项目方案的网络拓扑进行分析讨论,进而熟练掌握网络拓扑架构,通过更多实例分析和讨论,逐步积累对网络规划和优化的的实战经验。
(2)企业集团网项目方案制作:通过本课程讲述具体项目的整体流程,包括项目的整体策划,前期调研,设备选型,拓扑规划,实施方案等。使学生了解和掌握撰写项目方案对于工程项目的重要性
(3)企业无线网络部署项目制作:据需无线网络的求,规划设计企业无线网络使学生能够掌握根据不同网络架构,安全部署企业无线网络。讲授企业局域网中,部署规则和技巧
(4)大中型企业数据中心设计部署方的能力:了解Nexus3.0云统一计算方案的架构体系。针对不同企业网络结构及需求,合理规划,部署企业数据中心网络架构, 通过本课程讲授,使学生灵活运用所学知识,具备独立设计,规划数据中心网络架构
