企业网网络解决方案调查

小组成员：宁振国20114115 肖旭凌 20114504 邢益韬 20114507 徐虎 20114508

随着我国改革开放的推进，一批批适合信息社会需要并且具有安全、高效、舒适、便利和灵活特点的企业信息网络平地而起，企业信息网络是信息时代的产物，是高科技与现代网络技术的巧妙集成，也是信息经济实力的象征。在企业网络刚刚兴起之时，由于企业网络规模小、应用范围的局限性、对Internet接入的认识程度、网络安全及管理的贫乏等原因，使得企业网仅仅限于交换模式的状态。 交换技术主要有两种方式：基于以太网的帧交换和基于ATM的信元交换，LAN交换机的每一个端口均为自己的碰撞域，但同时对于所有处于一个IP网段或IPX网段的网络设备来说，却同在一个广播域中，当工作站的数量较多、信息流很大的时候，就容易形成广播风暴，甚者造成网络的瘫痪。因此，在建筑物内要建立一个综合集成的计算机网络系统，实现网络集成是实现系统集成和功能集成的第一步。 1、企业信息网络对计算机网络系统的需求 企业内的计算机网络系统包括以下组成部分:

1、 网络平台:为企业内的用户提供统一的Internet接入，提供可以传输数据、语音、视频型号的网络交换平台。

2、 数据中心:建设一个环境良好的数据中心机房，为企业内的用户提供机架资源，用户可以将各自的服务器系统、存储系统放在企业信息网络统一提供的数据中心中。 3、 管理平台:完成整个网络系统的管理功能，提供用户管理功能。 企业信息网络对网络系统的具体要求如下:

·网络结构要合理稳定，网络设备要具有高可靠性和安全性。

·整个网络的网络设备要支持统一的网络管理，便于今后的维护和扩容。

·每个楼层汇聚点要能实现多个VLAN、网段的划分，为企业公司提供内部划分VLAN的需求。

·在企业内部，只有经过认证的企业人员可以使用网络，避免其他非认证人员上网，保证网络安全。

·需要保证公司的用户只能访问本公司的各种业务服务器，包括远程和公司内本企业用户，未经授权的用户不得访问。

·各进驻公司的远程用户可以通过VPN方式访问本企业内部的服务器内容。

·要求公司内部人员可以进行相互访问，不同公司人员之间既不能互访又要考虑特定人员要求建立互访关系。

·进驻企业为同一集团公司，要求对有些高权限人员可以对其他企业的服务器进行访问。 ·所有的网络节点都可以访问Internet，并且在访问Internet之前要经过确认，未经确认的节点不允许访问Internet。

·要求能够统计各公司上网使用Internet的数据总量和时间，并建立使用Internet的日志。

·要求可以方便的配置，管理所有的客户端。

·根据公司内部工作人员非流动的特性，企业信息网络采用了有线接入，并且要考虑有线接入的安全认证问题。

·要充分考虑整体网络的安全性。 2、 组网结构

经典的局域网组网模型将网络结构分为核心层、汇聚层和接入层。企业信息网络的计算机网络系统通常要包含以下部分:

·核心层:核心层通常配置两台核心交换机，保证网络核心的高可靠性。核心层通常还要承担各业务应用子系统服务器群与核心交换机的千兆连接。

·接入层:接入层交换机通常可以提供48端口或者24端口，接入层交换机通过千兆连接到核心层交换机，可以使用堆叠的方式扩展端口密度。 ·Internet接入部分，采用100M光缆专线接入。

·防火墙部分，采用千兆或者百兆防火墙将内网与分离，采用千兆防火墙将服务器群区与核心交换机分离。

·网络防病毒软件:采用企业级网络防病毒软件，确保进驻用户的计算机及服务器群的安全。

·漏洞扫描系统:用于检测网络中存在安全隐患的设备，找出系统中存在的安全漏洞，及时进行修补。

·网络认证系统:用于防止非法用户登陆到网络中，窃取网络数据

·网络管理系统:用于对全网的监控，帮助网络管理员快速准确地定位网络中出现的故障。

网络核心交换机采用华为3Com公司的一台S6506R多业务核心交换机，为保证网络的可靠性，我们在核心交换机上配置了冗余引擎和电源。引擎选用Silence III引擎，交换容量为384Gbps，包转发率为198Mpps。S6506R可以提供万兆接口板，未来可平滑升级到万兆。S6506R采用最长匹配、逐包转发的方式，在保持线速性能和低成本的基础上，性的解决了传统交换机的缺陷，能够有效的抗击网络“红色代码”、“冲击波”等病毒的攻击，更加适合大规模、多业务，复杂流量访问的网络。

接入交换机选用华为3Com公司的S3000系列。接入交换机放置在各楼汇聚层的弱电配线间机柜内。各汇聚层交换机采用48端口和24端口两种二层交换机，具有可管理到端口的能力。华为3Com公司的S3000系列交换机硬件能够识别、处理四到七层的应用业务流，所有端口都具有单独的数据包过滤、区分不同应用流，并根据不同的流进行不同的管理和控制，对网络中有病毒特征的计算机，可以直接封堵其端口，使有病毒的设备与网络断开，防止病毒在网络中的传播。

我们在企业信息网络设置的数据中心。数据中心交换机使用华为3Com公司的S6502。S6502的交换引擎内置于接口板中，交换容量可达192Gbps。在S6502上配置10/100/1000M RJ45千兆电接口板，用于连接网卡为100M或1000M接口的服务器，随着服务器数量的增加，可以灵活的扩充响应的板卡，以适应各进驻公司业务的发展。为了保证数据中心的安全性，在数据中心前部署一台千兆防火墙。

Internet出口路由器选用华为3Com公司的AR40。AR40采用双总线结构，包转发能力可达350Kpps，如果使用增强引擎，包转发性能可提升到1Mpps。 3、 网络安全设计

为了保证网络系统的安全性，除了部署传统的防火墙、IDS、漏洞扫描等系统之外，对终端的接入进行控制越来越成为一种重要的安全控制手段。企业信息网络的网络安全解决方案应该从多方面出手，进行立体防御。

防火墙是网络系统的核心基础防护设备，它可以对整个网络进行网络区域分割，提供基于IP地址和TCP/IP服务端口等的访问控制，防火墙的部署从以下几个方面考虑: 1、 在Internet出口部署防火墙:

在整个局域网的Internet出口部署华为3Com公司的Secpath100F防火墙。 对外的服务器，如Web、Email服务器放在防火墙的DMZ区。

2、端点准入防御

利用华为3Com端点准入防御(EAD，Endpoint Admission Control)模块，从用户终端准入控制入手，整合网络接入控制与终端安全产品，通过安全客户端、安全策略服务器、网络设备以及第三方软件的联动，对接入网络的用户终端强制实施企业安全策略，严格控制终端用户的网络使用行为，可以加强用户终端的主动防御能力，大幅度提高网络安全。 EAD在用户接入网络前，通过统一管理的安全策略强制检查用户终端的安全状态，并根据对用户终端安全状态的检查结果实施接入控制策略，对不符合企业安全标准的用户进行“隔离”并强制用户进行病毒库升级、系统补丁安装等操作;在保证用户终端具备自防御能力并安全接入的前提下，通过动态分配ACL、VLAN合理控制用户的网络权限，提升整网的安全防御能力。

EAD的应用是从信息安全角度出发，基于现有的网络环境，通过软硬件设备对网络安全进行加固，基本思想是认证-检查 — 隔离 — 加固 — 管理的安全闭环管理。

·认证:对接入网络的用户身份进行分析，根据用户身份动态分配用户使用网络的权限; ·检查:根据需求制定安全策略和防病毒策略，根据安全策略对接入网络的用户终端进行安全检查和病毒扫描;

·隔离:对有安全问题和安全隐患的用户终端进行隔离，以免其感染网络域中的其它用户终端和整个网络;

·加固:帮助有安全问题和安全隐患的用户终端进行安全修补和加固，以便其能够正常进入网络，使用网络资源;

·管理:提供对有安全问题的终端定位统计功能，提供用户日志查询功能，提供安全策略编辑、修改功能等。通过制定新的安全策略，持续保障网络的安全。 4、 移动办公解决方案

使用USB Key构建虚拟专用网主要实现网络终端的身份识别以及实现网络数据交互的完整和不可否认性，有效的保证了数据传输的安全。以下从这两方面阐述。 基于公开密钥体系（PKI）的认证

PKI即Public Key Infrastruction的缩写，也就是所谓“公开密钥体系”，是一种利用现代密码学的公钥密码技术在公开的网络环境中提供数据加密以及数字签名服务的，统一的技术框架。使用公开的密钥算法（也称非对称加密算法）的用户同时拥有匹配的公钥和私钥。私钥由用户保存，且不能泄露，公钥则要广泛公开的发布。私钥无法通过公钥计算获得。公开密钥体系的作用不仅可用于安全密钥交换，还可用于鉴别用户的身份，下面将就如何鉴别用户身份进行描述。

当服务器端需要验证客户端的身份时，服务器端产生一个随机数，发送给客户端，客户端通过USB接口，把随机数R传送入USB KEY中，使用自己的私钥对随机数进行加密，并把加密结果传给服务器端，服务器端通过使用客户的公钥对接收到的加密数据进行解密，对比解密后的数是否和随机数R一致，一致就通过验证。

基于冲击/响应服务的应用

当需要在网络上验证用户身份时，先由客户端向服务器发出一个验证请求。服务器接到此请求后生成一个随机数并通过网络传输给客户端（此为冲击）。客户端将收到的随机数通过USB接口提供给USB Key，由USB Key使用该随机数与存储在USB Key中的密钥进行MD5-HMAC运算并得到一个结果作为认证证据传给服务器（此为响应）。与此同时，服务器也使用该随机数与存储在服务器数据库中的该客户密钥进行MD5-HMAC运算，如果服务器的运算结果与客户端传回的响应结果相同，则认为客户端是一个合法用户。

密钥运算分别在USB Key硬件和服务器中运行，不出现在客户端内存中，也不在网络上传输，由于MD5-HMAC算法是一个不可逆的算法，就是说知道密钥和运算用随机数就可以得到运算结果，而知道随机数和运算结果却无法计算出密钥，从而保护了密钥的安全，也就保护了用户身份的安全。

应用安全

基于CA认证技术日趋成熟，许多应用中开始使用数字证书进行身份认证与数字加密。数字证书是由权威公正的第三方机构即CA中心签发的，以数字证书为核心的加密技术，可以对网络上传输的信息进行加密和解密、数字签名和签名验证，确保网上传递信息的机密性、完整性，以及交易实体身份的真实性，签名信息的不可否认性，从而保障网络应用的安全性。

数字证书采用公钥密码，即利用一对互相匹配的密钥进行加密、解密。每个用户拥有一把仅为本人所掌握的私有密钥（私钥），用它进行解密和签名；同时拥有一把公共密钥（公钥）并可以对外公开，用于加密和验证签名。当发送一份保密文件时，发送方使用接收方的公钥对数据加密，而接收方则使用自己的私钥解密，这样，信息就可以安全无误地到达目的地了，即使被第三方截获，由于没有相应的私钥，也无法进行解密。通过数字的手段保证加密过程是一个不可逆过程，即只有用私有密钥才能解密。在公开密钥密码中，常用的一种是RSA。

用户也可以采用自己的私钥对信息加以处理，由于密钥仅为本人所有，这样就产生了别人无法生成的文件，也就形成了数字签名。采用数字签名，能够确认以下两点： （1）保证信息是由签名者自己签名发送的，签名者不能否认或难以否认；

（2）保证信息自签发后到收到为止未曾作过任何修改，签发的文件是真实文件。

虚拟专网(VPN-Virtual Private Network)指的是在公用网络上建立专用网络的技术。之所以称为虚拟网主要是因为整个VPN网络的任意两个节点之间的连接并没有传统专网所需的端到端的物理链路， 而是架构在公用网络服务商所提供的网络平台(如Internet, ATM, Frame Relay等)之上的逻辑网络，用户数据在逻辑链路中传输。

由于通过公用网来建立VPN，就可以节省大量的通信费用，而不必投入大量的人力和物力去安装和维护WAN设备和远程访问设备； VPN产品均采用加密及身份验证等安全技术，保证连接用户的可靠性及传输数据的安全/保密性；连接方便灵活；并且VPN使用户可以利用ISP的设施和服务，同时又完全掌握着自己网络的控制权。用户只利用ISP提供的网络资源，对于其他的安全设置、网络管理变化可由自己管理。在企业内部也可以自己建立VPN。因此，VPN广泛地应用在、企事业单位与分支机构内部联网(Intranet-VPN)和商业合作伙伴之间的网络互联（Extranet-VPN）。 随着社会各行业全面的信息化，ＶＰＮ建设也如雨后春笋，由此带来的信息安全也成为了当今不可忽视的课题。为了保证信息安全，决策者在VPN网络建设之初，常常就会不惜重金花在购买防火墙，防病毒软件，等相关的软硬件设施。这一切措施旨在保护信息系统的数据安全。何谓安全呢，就是指有相应权限的人员可以接触和操作相应的数据，任何人无法接触到未被授权给他的数据。然而，信息系统中的数据终归要为人所用，如果有人伪造了相应

权限人的身份，那么投入再多的安全防护体系一样形同虚设。因此用户身份认证系统是VPN安全体系的第一道关。

另外在应用中的数据传输，如何保障数据的完整性和不可否认性，这也是衡量VPN建设成败的关键因素之一。 USB KEY的技术介绍

USＢKey 的产生不过短短四五年，这主要是网络的发展，基于网络的各种应用不断改变着我们的生活，但由此提出的网上身份安全如何有效识别，由此诞生了USB Key，有效地解决了身份识别的问题。

USB Key是一种USB接口的秘密数据存储设备，它具有以下特点：

具有硬件PIN码保护

每一个USB Key都具有硬件PIN码保护，PIN码和硬件构成了用户使用USB Key的两个必要因素，即所谓“双因子认证”。用户只有同时取得了USB Key和用户PIN码，才可以登录网上银行系统。即使用户的PIN码被泄漏，只要用户持有的USB Key不被盗取，合法用户的身份就不会被仿冒；如果用户的USB Key遗失，拾到者由于不知道用户PIN码，也无法仿冒合法用户的身份。

带有安全存储空间

USB Key具有8K-K的安全数据存储空间，可以存储数字证书、用户密钥等秘密数据，对该存储空间的读写操作必须通过程序实现，用户无法直接读取，其中用户私钥是不可导出的，杜绝了复制用户数字证书或身份信息的可能性

硬件实现加密算法 USB Key 内置CPU或智能卡芯片，可以实现PKI体系中使用的数据摘要、数据加解密和签名的各种算法，加解密运算在USB Key内进行，保证了用户密钥不会出现在计算机内存中，从而杜绝了用户密钥被黑客截取的可能性。

北京飞天诚信科技有限公司作为专业生产USB KEY的提供商，公司始终以技术为核心，引领USB KEY 的发展，是国内第一个推出USB KEY的厂商，通过几年来的发展和积累，形成了以自主知识产权的高中低端的KEY，几个月前推出了全国第一款32位大容量无驱型高速KEY。使得VPN的构建无论是采用何种认证方式，飞天诚信都有相应的产品满足VPN安全的需要。

5、VLAN的划分与子网的管理

在一个规模较大的企业中，其下属有多个二级单位，在各单位的孤立网络进行互连时，出于对不同职能部门的管理、安全和整体网络的稳定运行，我们进行了VLAN的划分。

第一步 子网分析

该网络系统由三部分组成：公司、二级单位1、二级单位2，初始为三部分各自，

未形成统一的网络环境，故各网络系统的运行采用的是以交换技术为主的方式。

现三部分应公司的要求联网，网络的互连仍采用千兆带宽，但因三网均采用了千兆以太网技术，为了不在主干形成瓶颈，因此各子网的互连采用Trunk技术，即双千兆技术，使网络带宽达到4G，如此既增加了带宽，又提供了链路的冗余，提高了整体网络的高速、稳定、安全运行性能。

但亦由于网络规模的扩大化，信息流量的加大，人员的复杂化等原因，为企业网络的安全性、稳定性、高效率运行带来了新的隐患。由此引发了VLAN的划分。

对于VLAN的划分，应公司的需求，我们对各VLAN的IP地址分配为：

经理办子网：192.168.1.0——192.168.2.0/22 网关：192.168.1.1；

财务子网： 192.168.3.0——192.168.5.0/22 网关：192.168.3.1；

供销子网： 192.168.6.0——192.168.8.0/22 网关：192.168.6.1；

信息中心子网：192.168.7.0/24 网关：192.168.7.1；

服务器子网：192.168.100.0/24 网关：192.168.100.1

其余子网： 192.168.8.0——192.168.9.0/22 网关：192.168.8.1；

技术资料

VLAN的实现

VLAN是英文Virtual Local Area Network的缩写，即虚拟局域网。VLAN允许处于不同地理位置的网络用户加入一个逻辑子网中，共享一个广播域。通过对VLAN的创建可以控制广播风暴的产生，从而提高交换式网络的整体性能和安全性。

VLAN对于网络用户来说是完全透明的，用户感觉不到使用中与交换式网络有任何的差别，但对于网络管理人员则有很大的不同，因为这主要取决于VLAN的几点优势：

对网络中的广播风暴的控制；

提高网络的整体安全性，通过路由访问列表、MAC地址分配等VLAN划分原则，可以控制用户的访问权限和逻辑网段的大小；

网络管理的简单、直观。

而对于VLAN的划分则有以下四种策略：

1. 基于端口的VLAN

基于端口的VLAN的划分是最简单、最有效的VLAN划分方法。该方法只需网络管理员针对于网络设备的交换端口进行重新分配组合在不同的逻辑网段中即可。而不用考虑该端口所连接的设备是什么。

2. 基于MAC地址的VLAN

MAC地址其实就是指网卡的标识符，每一块网卡的MAC地址都是唯一的。基于MAC地址的VLAN划分其实就是基于工作站、服务器的VLAN的组合。在网络规模较小时，该方案亦不失为一个好的方法，但随着网络规模的扩大，网络设备、用户的增加，则会在很大程度上加大管理的难度。

3. 基于路由的VLAN

路由协议工作在七层协议的第三层：网络层，即基于IP和IPX协议的转发。这类设备包括路由器和路由交换机。该方式允许一个VLAN跨越多个交换机，或一个端口位于多个VLAN中。

4. 基于策略的VLAN

基于策略的VLAN的划分是一种比较有效而直接的方式。这主要取决于在VLAN的划分中所采用的策略。

就目前来说，对于VLAN的划分主要采用1、3两种模式，对于方案2则为辅助性的方案。VLAN的划分设计之后，再所涉及的就是VLAN划分的最后一步：VLAN间的互连。

6、 方案特点

在本网络建设应用方案中，设备选型是以国内排名前三名的设备厂家为招标对象，降低了设备采购成本，实现了高档交换机作为核心交换机，建立以千兆为主干的先进的以太交换网络。

1、高性能和可靠性

核心交换机采用双交换引擎和冗余电源方式，替代双机热备份方式，减少了网络总体投资，同时确保了交换机工作的可靠性。

接入交换机千兆光纤上联到核心交换机，满足了网络中数据、语音、视频传输时的主干带宽要求。

服务器区交换机采用插槽式可扩充的三层百兆/千兆自适应交换机，可以针对服务器的数量灵活地扩充板卡，达到各进驻公司应用的要求。 2、安全性

先进的安全性: 所选接入交换机端口采用了ACL技术，保证了对接入端口的控制。 通过使用硬件防火墙，实现网络的安全隔离。

通过部署华为3Com公司的EAD解决方案，确保只有合法用户才能接入到网络中来，从而保证接入用户的安全性。

通过网络防病毒软件，对网络中服务器提供防病毒保护。

使用漏洞扫描设备，对网络中存在安全漏洞的设备进行安全提示，预防病毒对存在漏洞的设备进行攻击。