網(wǎng)絡(luò)設(shè)計師范文

1、園區(qū)網(wǎng)摘要：本文了 XX 公司二期園區(qū)網(wǎng)規(guī)劃與設(shè)計，該項目投入經(jīng)費 300 萬元，建設(shè)周期 10 個月。我作為公司信息部，參與了整個網(wǎng)絡(luò)建設(shè)方案規(guī)劃、設(shè)計，并組織參與了整個、建設(shè)等工作。該項目是在原公司園區(qū)網(wǎng)的基礎(chǔ)上幾級改造，對網(wǎng)絡(luò)進(jìn)行了全面規(guī)劃，了網(wǎng)絡(luò)性能及用廣資源的便利性。主耍改造包括多出口的升級改造設(shè)備雙機熱備，IP 地址重劃，新辦公區(qū)網(wǎng)絡(luò)建設(shè)，園區(qū)無線網(wǎng)絡(luò)覆蓋等。本工程完工后，立刻投入使用，公司同事普遍反映網(wǎng)速明顯變快，穩(wěn)走性提高。由于資源、投入有限，此園區(qū)網(wǎng)建設(shè)還存在一些，如海外帶寬出口需增大，重要系統(tǒng)需耍 CDN 加速等。針對這些問題提出了先進(jìn)性、可靠性、開放性等方面的改進(jìn)意見 。

2、正文：2015 年 1 月至 2015 年 11 月，我作為 XX 公司園區(qū)網(wǎng)建設(shè)設(shè)信息部，參與了本公司二期園區(qū)網(wǎng)的規(guī)劃、設(shè)計，并組織參與了整個項目的招標(biāo)、工程建設(shè)，且承擔(dān)了該網(wǎng)絡(luò)的運維工作。我公司現(xiàn)有員工 20000 人，分別分布在我公司自有園區(qū)的 5 棟辦公樓內(nèi)，近期公司業(yè)務(wù)逐漸擴大，現(xiàn)有 5 棟辦公樓己經(jīng)不能承載新進(jìn)員工，故需耍增加一棟辦公樓供新員工使用，園區(qū)內(nèi)五棟辦公樓均使用光纖互聯(lián)。隨著公司員工人數(shù)的不斷增多，原來整體網(wǎng)絡(luò)架構(gòu)存在的問題逐步顯現(xiàn)，公司員工普遍反應(yīng)網(wǎng)絡(luò)速度緩慢等。根椐這些問題公司決定對整個園區(qū)網(wǎng)進(jìn)行二期的規(guī)劃與設(shè)計。根裾這一整體規(guī)劃部署，我作為信息部對現(xiàn)有網(wǎng)絡(luò)進(jìn)行評估發(fā)

3、現(xiàn)主耍有以下問題：中心機房位于總部辦公樓內(nèi)，有層 2 臺 cisco6509E 交換機，采取冷備模式，單上聯(lián)，出口有移動網(wǎng) 500M 和400M，交換機根據(jù)目標(biāo)地址做策略路由，通往移動網(wǎng)流量走移動網(wǎng)，其余流量走，通過系統(tǒng)發(fā)現(xiàn)鏈路下行基本飽和且交換機 cpu 在 50%以上，同吋員丄反映上網(wǎng)速度很慢；全校目前使用 18 個 C 類移動公有 IP 和 50 個IP，內(nèi)網(wǎng)采用192.168.0.0/16 段分配地址，由于前期缺乏規(guī)劃，地址分配，匯聚層交換機路由條目太多，且內(nèi)網(wǎng)地址將近耗盡，需對地址重新規(guī)劃；新辦公區(qū)需綜合布線共計 3000 余點；企園區(qū)無線需求越來越大，要求本次二期改造一步到位，實現(xiàn)

4、整個園區(qū)無線網(wǎng)的覆蓋。根據(jù)上述問題，公司網(wǎng)絡(luò)二期工程在建設(shè)方案規(guī)劃過程中我主要進(jìn)行了以下兒個方面的改造、介級、優(yōu)化。一、出口及網(wǎng)絡(luò)結(jié)構(gòu)改造首先對出口鏈路帶寬開級：移動網(wǎng)帶寬不變，開級力 1G, 同時新增一條電信 1G 出口。招標(biāo)兩臺 cisco7609 組成雙熱備模式，兩臺交換機只做高速轉(zhuǎn)發(fā)，不再做策略路由，多出口的路徑選擇交給負(fù)載均衡設(shè)備 Fortinet。出口至拓?fù)錇?3 條出口分別接在三臺 cisco3560X (如再擴容可升級萬兆模塊）上，每臺 3560X 分別連接兩臺 radware，radware 連接 paloAlot PA4060連接城市熱點計費網(wǎng)關(guān)，計費網(wǎng)關(guān)連接交換機，相同設(shè)

5、備用心跳線連接，保證設(shè)備或鏈路出現(xiàn)故障時快速切換。對原有兩臺 6509 下放到各分部中心機房保證密集區(qū)（公司總部、銷售樓）都有 2 臺匯聚交換機，匯聚交換機與交換機之間采用全互聯(lián)模式，同樓內(nèi)兩臺匯聚交換機之間使用 vrrp (虛擬冗余網(wǎng)關(guān)協(xié)議），選用性能較高的設(shè)備作為主設(shè)備，啟用端口，發(fā)現(xiàn)鏈路中斷時可直接切換到備用設(shè)備。因出口帶寬己超過 1G，所有樓宇間交換機都成萬兆板卡及模塊。與匯聚交換機間運行 OSPF 路由協(xié)議，公司總部為骨干區(qū)域 area0。整個園區(qū)為 3 層網(wǎng)絡(luò)結(jié)構(gòu)，每個單獨辦公樓均為二層結(jié)構(gòu)，一些樓宇雖因接入層設(shè)備多，其機機房使用（如 4507R)三層設(shè)備匯聚上聯(lián)但其一般僅跑 tr

6、unk 模式。此項目 4 月底完成設(shè)計、招標(biāo)、采購及互聯(lián)試驗，5 至 8 月份部署實施，10 月底前驗收使用。二、地址段規(guī)劃由于前期規(guī)劃,內(nèi)網(wǎng)只有 192.168.0.0/16 一段,由于公司員工人數(shù)增多,個人電腦普及,公共機房建設(shè),到 14 年這段地址基本耗盡,且分配雜亂無章,無法做到路由匯總,公有地址分配也沒有計劃性,因此趁這次網(wǎng)絡(luò)大規(guī)模升級改造機會對地址重劃。地址主要按辦公樓劃分:因公司總部人數(shù)眾多且固定 IP 較多,故總部繼續(xù)沿用192.168.0.0/16 段,其余 5 個辦公區(qū)使用 172.X.0.0/16 段(X=OSPF 區(qū)域),每個辦公區(qū)一個 B 類地址,其中 172.16.

7、0.0/16 網(wǎng)段作為全園區(qū)設(shè)備地址。同時使用 10.X.0.0/16 段作為全園區(qū)無線網(wǎng)絡(luò)地址,劃分方法與有線類似。移動網(wǎng)公有地址 18 個C 類地址前 8 個作為公司服務(wù)器和NAT 使用,每個辦公樓分配一個C 類地址作為辦公樓服務(wù)器使用,其余備用。和電信公有地址不分配,留作服務(wù)器一對一和 NAT 使用。三、新辦公區(qū)網(wǎng)絡(luò)建設(shè)新辦公區(qū)在本園區(qū)附近,建設(shè)初期了 12 芯光纖資源,所以至公司總部機房采用光纜互聯(lián),選用 XFP-LH70 萬兆 70KM 模塊。機房到總部匯聚機房使用單模 12 芯光纖。經(jīng)理4 個信息點、其余8 個信息點,公共機房鋪設(shè)靜電地板在下面走線匯聚于本室機柜,信息點數(shù)在 150

8、-230 之間。每個房間天花板上根據(jù)容納人數(shù)(每多 100人加一個)預(yù)留無線信息點。大廳預(yù)留 1 個無線信息點。新辦公區(qū)每層設(shè)一個設(shè)備間,每房間4 個信息點和一個無線信息點,每層40 個房間。每個設(shè)備間通過多模光纖匯聚于一層,由一層通過單模光纖匯聚于公司總部匯聚機房。本次招標(biāo)因支產(chǎn)全部采用 H3C 設(shè)備,分區(qū)匯聚為 2 臺 7605E,設(shè)備間上聯(lián)為 5500-28F,接入為 e126A。四、無線規(guī)劃與設(shè)計無線使用兩臺 CISCO4507R 交換機與交換機互聯(lián),運行OSPF 協(xié)議，Area16,分別與各辦公區(qū)匯聚交換機相連,一般為 3560X。匯聚交換機直接連接各設(shè)備間的接入交換機,接入交換機全

9、部支持POE,新辦公區(qū)為 H3C5500-52-P。接入交換機為無線 AP 供電。辦公區(qū)、員工宿舍使用支持 8-16 人的墻插式 AP;公共機房室、所使用支持 128 人的吸頂式 AP,室外空曠地帶在樓宇屋頂架設(shè)室外 AP。所有 AP 均為瘦AP 由AC 控制器管理,下發(fā)用戶地址段。所有 AP 要支持 802.11n 協(xié)議、支持智能錯頻技術(shù)、POE 供電、無縫漫游等。最終選擇了 ruckus 的產(chǎn)品,分別為墻插 7055、吸頂 7372 和室外 7782。AP 和接入交換機打開用戶和端口防止廣播風(fēng)暴。用戶通過 web portal 的方式認(rèn)證互聯(lián)網(wǎng),無線控制器與城市熱點計費系統(tǒng)聯(lián)動彈出登陸界面

10、。以上工程均于 10 月底前完成驗收和測試。新網(wǎng)絡(luò)升級、改造上線以后,廣大員工普遍感覺網(wǎng)絡(luò)明顯變快了,滿意度顯著提高。但我知道隨著網(wǎng)絡(luò)質(zhì)量變好,流量必然大幅上升,也存在,同時我公司海外業(yè)務(wù)逐步擴大,需海外用戶公司相關(guān)資源的速度,所以下一階段主要有以下幾方面需：1.對流控設(shè)備、設(shè)備進(jìn)行升級,保障網(wǎng)絡(luò)管理。2 加入 IDS 和行為審計系統(tǒng),對交換機啟動 AAA 認(rèn)證管理,保證系統(tǒng)安全3.所有匯聚層以上交換機都已升級,可支持雙棧協(xié)議,我公司已申請到 IPV6 地址,應(yīng)盡快開通 IPV6。4.目前很多辦公樓服務(wù)器無人管理,泛濫,應(yīng)制定管理規(guī)定,同時考慮應(yīng)由公司出面開通托度,將管理權(quán)歸于公司管理5、增加

11、海外帶寬出口,新增一條 100M 的海外帶寬6、對公司重要業(yè)務(wù)系統(tǒng),增加 CDN 全球加速功能,以方便全球我公司業(yè)務(wù)系統(tǒng)的高效性和連續(xù)性。企業(yè)容災(zāi)摘要:本文了 XX 公司數(shù)據(jù)中心容災(zāi)備份系統(tǒng)的規(guī)劃與設(shè)計,該項目投資 1000 萬,建設(shè)周期 15 個月。我作為公司信息部,參與了公司數(shù)據(jù)中心整體建設(shè)方案規(guī)劃、設(shè)計,并組織參與了整個工程招標(biāo)、建設(shè)等工作。該項目基于公司業(yè)務(wù)規(guī)模逐漸擴大,數(shù)據(jù)量增長迅猛,數(shù)據(jù)安全被提到了公司未來發(fā)展新高度。為了切實保障公司數(shù)據(jù)安全,本項目在同城建設(shè)了災(zāi)備機房,按照數(shù)據(jù)級災(zāi)備的要求建設(shè)了異地暖備數(shù)據(jù)中心。本工程完工后,經(jīng)過多次的災(zāi)備演練。有效的保障了企業(yè)數(shù)據(jù)的安全性。由于

12、方面的限制,本方案還有一些需要提高的地方:如建立異地災(zāi)備數(shù)據(jù)中心,建造數(shù)據(jù)中心融合方案等。正文:2015 年 1 月至 2016 年 3 月,我作為XX 公司數(shù)據(jù)中心容災(zāi)備份解決方案,參與了本公司數(shù)據(jù)中心容災(zāi)備份方案的規(guī)劃、設(shè)計,并組織參與了整個項目的招標(biāo)、工程建設(shè),且承擔(dān)了后期的災(zāi)備演練工作。我公司主要業(yè)務(wù)范圍是在全球范圍內(nèi)進(jìn)行鋼鐵的制造,銷售,服務(wù)等。公司自 2013 年逐步從線下的實體鋼廠至線上的電子商務(wù)大。公司對公司業(yè)務(wù)的定位也從線下轉(zhuǎn)到了線上。所以公司電子數(shù)據(jù)的安全性成為了現(xiàn)階段公司最寶貴的無形資產(chǎn)。為了有效的保障數(shù)據(jù)的安全性,公司決定 2015 年 1 月開始建立自己的容災(zāi)備份數(shù)據(jù)

13、中心。根據(jù)目前業(yè)務(wù)系統(tǒng)及使用需求考慮,日前災(zāi)備中心考慮為國標(biāo)第 4級災(zāi)備級別(第 4 級,電子傳輸和完整設(shè)備支持。數(shù)據(jù)定時批量傳送,網(wǎng)絡(luò)/系統(tǒng)始終就緒。溫備中心模式。),做到數(shù)據(jù)中心災(zāi)備的暖備模式。暖備技術(shù)是在主備數(shù)據(jù)中心的基礎(chǔ)上實現(xiàn)的,前提是擁有兩個一主一備的數(shù)據(jù)中心。備用數(shù)據(jù)中心為暖備部署,應(yīng)用業(yè)務(wù)由主用數(shù)據(jù)中心響應(yīng),當(dāng)主用數(shù)據(jù)中心出現(xiàn)故障造成該業(yè)務(wù)不可用時,需要在規(guī)定的 RTO( Recover time objective,即發(fā)生后,信息系統(tǒng)從停頓到恢復(fù)正常的時間要求)時間以內(nèi),實現(xiàn)數(shù)據(jù)中心的整體切換。在具體實現(xiàn)上,主備數(shù)據(jù)中心的兩套業(yè)務(wù)系統(tǒng)網(wǎng)絡(luò)配置完全一樣,備用數(shù)據(jù)中心路由平時不對外

14、發(fā)布。當(dāng)實現(xiàn)主備數(shù)據(jù)中心切換時,需要斷開主用數(shù)據(jù)中心路由鏈路,并連接備用數(shù)據(jù)中心路由鏈路,保證同一時間只有一個數(shù)據(jù)中心。暖備技術(shù)還是手工方式,從知道主用數(shù)據(jù)中心故障到備用數(shù)據(jù)中心工作需要有人值守才能完成。同城雙數(shù)據(jù)中心之間采用光纖連接,保證雙中心之間較大的帶寬,以響應(yīng)實時的業(yè)務(wù)數(shù)據(jù)需求。災(zāi)備數(shù)據(jù)中心網(wǎng)絡(luò)米用二層架構(gòu),分為:層、接入層,具體建設(shè)規(guī)劃如下層設(shè)計層是災(zāi)備數(shù)據(jù)中心網(wǎng)絡(luò)的,需滿足數(shù)據(jù)中心大流量的業(yè)務(wù)數(shù)據(jù)交互,對設(shè)備的選擇要求較高,不僅要求能提供大容量、無阻塞的,還需具備持續(xù)擴展的能力,支持高密度的萬兆接口、分布式緩存機制、精細(xì)化 QoS 等。交換架構(gòu)是網(wǎng)絡(luò)設(shè)備的,就像人的心臟一樣重要,決

15、定了一臺設(shè)備的容量、性能、擴展性以及QoS 等諸多關(guān)鍵屬性?？紤]網(wǎng)絡(luò)的高擴展性及高性能,需釆用 CLOS多級交換架構(gòu)的交換機作為數(shù)據(jù)中心交換機。在設(shè)備的選擇上,每個數(shù)據(jù)中心各使用兩臺高性能的數(shù)據(jù)中心交換機,采用虛擬化技術(shù)進(jìn)行均衡熱備作為數(shù)據(jù)中心,每臺配置單引擎、冗余電源、多塊塊交換網(wǎng)板,保證設(shè)備級的可靠性。根據(jù)目前業(yè)務(wù)的需要及考慮后期業(yè)務(wù)的擴展,數(shù)據(jù)中心交換機需提供 8 個以上業(yè)務(wù)擴展插槽,本次兩個數(shù)據(jù)中心根椐實際業(yè)務(wù)需要配置相應(yīng)萬兆、千兆接口板,配置及 IPS防御業(yè)務(wù)板,滿足現(xiàn)有業(yè)務(wù)需求及安全防護(hù)的要求,并為后期業(yè)務(wù)擴展預(yù)留擴展空間。數(shù)據(jù)中心接入交換機釆用萬兆多模光纖與兩臺交換機進(jìn)行雙歸屬連

16、接,提高網(wǎng)絡(luò)主干速率及鏈路的可靠性。為保證數(shù)據(jù)中心業(yè)務(wù)的安全性,在交換機上部署與防御業(yè)務(wù)板卡,擴展交換機的安全防護(hù)能力,通過虛擬技術(shù),實現(xiàn)數(shù)據(jù)中心與園區(qū)網(wǎng)間、不同業(yè)務(wù)分區(qū)間的安全和可控互訪。部署兩臺出口路由器,用于與主中心數(shù)據(jù)中心進(jìn)行連接,路由器采用分布式架構(gòu),考慮后期的業(yè)務(wù)擴展,預(yù)留一定的業(yè)務(wù)槽位。2 臺路由器進(jìn)行備份,通過兩條不同運營商的出口鏈路連接到廣域網(wǎng)。接入層設(shè)計接入層主要用于接入服務(wù)器,設(shè)備,計算與的融合是目前數(shù)據(jù)中心建設(shè)的必然趨勢,通過融合接入交換機接入計算與設(shè)備,減少了服務(wù)器與前端網(wǎng)絡(luò)交換機和后端交換機連接的復(fù)雜性,布線簡單,更方便。為保證服務(wù)器接入的高性能和高可靠性,部署一臺

17、 48 端口全千兆/4 萬兆接口接入交換機,釆用萬兆光纖與兩臺交換機進(jìn)行雙歸屬互聯(lián)。部署一臺融合接入交換機 48 個Uport 融合端口,設(shè)備端口可在 FC/FCOE/ Ethernet 三種形態(tài)之間靈活切換,采用萬兆光纖與兩臺交換機進(jìn)行雙歸屬互聯(lián)。災(zāi)備中心數(shù)據(jù)備份設(shè)計數(shù)據(jù)是容災(zāi)中的,一般分為同步和異步。同步可以保證兩地數(shù)據(jù)的完全一致性,但同步容災(zāi)過程中本地系統(tǒng)必須等到數(shù)據(jù)成功寫入異地系統(tǒng),才能進(jìn)行下一個 1/操作,同步容災(zāi)數(shù)據(jù)一般只在較短距離或同城范圍部署(10km80km)。超過 80 公里以上一般采用異步方式進(jìn)行容災(zāi),異步中,本地 IO 操作完成后直接返回,而不需等待異地 IO 的返回,

18、甚至,異步復(fù)制并非針對每個IO 進(jìn)行,而是根據(jù)數(shù)據(jù)的增量或時間等方式進(jìn)行。由于此次災(zāi)備中心距離主數(shù)據(jù)中心距離較近,所以此次方案實施選擇了同步的方式。在同城災(zāi)備中心建立一個更新的數(shù)據(jù)副本。當(dāng)有數(shù)據(jù)下發(fā)到生中心陣列時,陣列間的同步都會同時將數(shù)據(jù)一份到同城災(zāi)備中心。災(zāi)備演練:為了保障整個方案的安全平穩(wěn)的實施,切實保障公司數(shù)據(jù)的安仝性,在方案設(shè)計初期制定了嚴(yán)格的災(zāi)備演流程。從 2016 年 1月開始做了多次的災(zāi)備演練:通過停止節(jié)點的服務(wù)、切斷數(shù)據(jù)鏈路、建立數(shù)據(jù)睿災(zāi)基線、啟動容災(zāi)節(jié)點的服務(wù)、通知前端設(shè)備進(jìn)行業(yè)務(wù)網(wǎng)絡(luò)切換等多種不同的方式檢驗了災(zāi)備機房數(shù)據(jù)的時效性,及業(yè)務(wù)的連續(xù)性。以上工程均于 2016 年

19、 3 月底前完成驗收和測試。新的災(zāi)備數(shù)據(jù)中心上線后切實保障了我數(shù)據(jù)中心的安全性。但是隨著公司業(yè)務(wù)未來的迅猛發(fā)展及兩地三中心更高安全性的要求,后續(xù)我公司還需要在以下幾個方面加以完善,以更加保障數(shù)據(jù)的安全性:1、按照兩地三中心災(zāi)備方案,建立我公司異地災(zāi)備中心。用于本地雙數(shù)據(jù)中心的數(shù)據(jù)備份,當(dāng)雙中心出現(xiàn)自然等原因而發(fā)生故障時,異地災(zāi)備中心可以用備份數(shù)據(jù)進(jìn)行業(yè)務(wù)的恢復(fù)。2、使用計算、岡絡(luò)、虛擬化融合技術(shù),本次災(zāi)備數(shù)據(jù)中心建設(shè)還是使用了傳統(tǒng)的方式進(jìn)行了搭建?？紤]未來技術(shù)發(fā)展的方向,后續(xù)可以使用虛擬化技術(shù)實現(xiàn)硬件設(shè)備的虛擬化。保證基礎(chǔ)架構(gòu)系統(tǒng)設(shè)備的高可靠,任何臺設(shè)備宕機都不會影響業(yè)務(wù)的正常運行和數(shù)據(jù)丟失。

20、并且通過在一個管理上實現(xiàn)對服務(wù)器、網(wǎng)絡(luò)、虛擬機、虛擬網(wǎng)絡(luò)設(shè)備等進(jìn)行管理,簡化管理工作摘要:我作為國內(nèi)大型的國有企業(yè),主要從事石油化工方面的業(yè)務(wù)。2015 年接通知對我公司及下屬子公司上線運行的業(yè)務(wù)系統(tǒng)進(jìn)行等保工作。按照工作實施進(jìn)展,我公司有 8 個業(yè)務(wù)系統(tǒng)定級為國家三級等保的業(yè)務(wù)系統(tǒng)小組對我公司整體防護(hù)體系建設(shè)提出了更高的要求。我作為公司總部信息部門,按照國家等保三級的要求分別從網(wǎng)絡(luò)層、系統(tǒng)層、應(yīng)用層、安全管理等多個方面進(jìn)行了防護(hù)體系的建設(shè)。該項目投資 500 萬,建設(shè)周期為 8 個月,有效的保障了業(yè)務(wù)系統(tǒng)的安全。由于一期投入方面的原因,本方案還有一些需要提高的地方:如引入外部安全服務(wù)團隊定期

21、對我公司業(yè)務(wù)系統(tǒng)進(jìn)行滲透測試以發(fā)現(xiàn)的安全等。正文:2015 年 5 月,我公司接部門通知需對我信息系統(tǒng)進(jìn)行等保工作。按照的進(jìn)展,我8 個業(yè)務(wù)子系統(tǒng)被定級為等保三級。按照要求,我作為公司總部信息部門,按照等保三級的要求分別從網(wǎng)絡(luò)層、系統(tǒng)層、應(yīng)用層、安全管理等多個方面進(jìn)行了防護(hù)體系的建設(shè)。該項目從 2015 年 8 月份至2016 年 4 月份正式實施。按照等保的建議及參照國家等保三級的要求,我作為發(fā)現(xiàn),公司網(wǎng)絡(luò)、信息系統(tǒng)存在多個層面的安全問題。在網(wǎng)絡(luò)層存在網(wǎng)絡(luò)設(shè)備配置方面,岡絡(luò)準(zhǔn)入機制及數(shù)據(jù)傳輸。在主機系統(tǒng)層面存在操作系統(tǒng)的安全風(fēng)險。在應(yīng)用層存在 web 服務(wù)器、文件服務(wù)器、業(yè)務(wù)應(yīng)用服務(wù)器、數(shù)據(jù)

22、庫服務(wù)器的風(fēng)險。在管理層面存在了一定的管理不規(guī)范的現(xiàn)象。為了全方位的保障公司業(yè)務(wù)系統(tǒng)的安全性,公司決定至 2015 年 8 月份,歷時 8 個月,投資 500 萬元,對公司全網(wǎng)進(jìn)行安全防護(hù)體系建設(shè)。網(wǎng)絡(luò)層安全:根據(jù)我公司網(wǎng)絡(luò)拓?fù)涞膶嶋H情況,現(xiàn)將公司安全域重新劃分為:外部接入域、外部服務(wù)域、服務(wù)域和接入域。外部接入域:負(fù)責(zé)連接管理外部接入的網(wǎng)絡(luò),各分支網(wǎng)絡(luò)、互聯(lián)網(wǎng)等。外部服務(wù)域:放置對外服務(wù)的服務(wù)器,服務(wù)器等。服務(wù)域:放置的應(yīng)用服務(wù)器、文件服務(wù)器、數(shù)據(jù)庫服務(wù)器等接入域:供給辦公終端接入網(wǎng)絡(luò),各樓層辦公均由此域連接到信息系統(tǒng)。當(dāng)公司的數(shù)據(jù)和網(wǎng)絡(luò)設(shè)施給時,越來越關(guān)心網(wǎng)絡(luò)的安全。為了提供所需級別的保護(hù)

23、,公司需要有安全策略來防止非法用戶網(wǎng)絡(luò)上的資源和向外傳遞信息。即使公司內(nèi)網(wǎng)和個別部門沒有連接到ernet 上,它也需要建立的安全策略來管理用戶對部分網(wǎng)絡(luò)的并對敏感或數(shù)據(jù)提供保護(hù)我公司總部網(wǎng)絡(luò)與所管理的分支機構(gòu)局域網(wǎng)絡(luò)連接,不同的安全域有著不同的需求,因此需要釆用邊界控制設(shè)備實現(xiàn)不同安全域之間的邏輯。把絕大部分來自網(wǎng)絡(luò)外部的拒外。任何一個分支機構(gòu)對于其他任何分支機構(gòu)都屬于非區(qū)域,因此在每一個分支機構(gòu)的網(wǎng)絡(luò)出口邊界都需部署邊界控制設(shè)備。系統(tǒng)層安全:操作系統(tǒng)安全是計算機網(wǎng)絡(luò)系統(tǒng)安全的基礎(chǔ)。而服務(wù)器以及業(yè)務(wù)數(shù)據(jù)又是被的最終目標(biāo)。因此,部署服務(wù)器安全加固產(chǎn)品,加強對關(guān)鍵服務(wù)器的安全控制,是增強系統(tǒng)總體性

24、的一環(huán)。通過部署網(wǎng)神的 SECSSM 系統(tǒng),采用“三權(quán)分立”原則,將超級用戶權(quán)限弱化,即超級用戶也無法網(wǎng)神 SECSSM 的安全屏障去授權(quán)的文件。這樣既可以防止敏感數(shù)據(jù)(如財務(wù)、人事等),也可以防止由于超級用戶誤操作而給系統(tǒng)帶來的損失京經(jīng)測試發(fā)現(xiàn)網(wǎng)絡(luò)中的端點、尤其是終端,經(jīng)常處于一種高風(fēng)險的狀態(tài),終端安全防護(hù)尤顯重要。一方面,只要網(wǎng)絡(luò)的一個終端被,整個網(wǎng)絡(luò)都將處于之中。而隨著邊界的模糊化,終端的可能性大大增加。故本次安全體系建設(shè)在服務(wù)域的一臺PC 服務(wù)器上部署安裝服務(wù)器終端安全管理系統(tǒng)服務(wù)端,在外部接入域的每臺計算杋終端部署安裝服務(wù)器終端安全管理系統(tǒng)客戶端,由服務(wù)端制定并下發(fā)終端安全管理策略給

25、客戶端 PC,保障終端的安全性。應(yīng)用層安全:為了有效提供主動的、實時的防護(hù),在準(zhǔn)確監(jiān)測網(wǎng)絡(luò)異常流量,自動對各類性的流量,尤其是應(yīng)用層的進(jìn)行實時阻斷,本次方案實施中在網(wǎng)絡(luò)出口邊界處部署了保護(hù)系統(tǒng)。在交換機上旁路部署一臺 SSL-系統(tǒng),在接入邊界上制定允許外部網(wǎng)絡(luò)用戶SSL-系統(tǒng)的指定服務(wù)端口,外部用戶業(yè)務(wù)系統(tǒng)的安全策略;在服務(wù)域邊界上制定允許 SSL-系統(tǒng)業(yè)務(wù)系統(tǒng),外部用戶業(yè)務(wù)系統(tǒng)的安全策略。外部用戶如果需要業(yè)務(wù)系統(tǒng)必須通過 SSL-系統(tǒng)的認(rèn)證和才能業(yè)務(wù)系統(tǒng)。在互聯(lián)網(wǎng)出口與服務(wù)器之間部署一臺 Web應(yīng)用系統(tǒng),實時阻斷針對 Web 應(yīng)用層的,如 SQL 注入、跨站、DDOS等。網(wǎng)站服務(wù)器上部署一套

26、網(wǎng)頁防篡改系統(tǒng),防止電子南務(wù)岡站的網(wǎng)頁被篡改。管理層安全:本方案在管理區(qū)的一臺PC 服務(wù)器上部署安裝了安全管理系統(tǒng)- Secfox-UMS。該產(chǎn)品面向整個企業(yè)和組織的集網(wǎng)絡(luò)管理、安全管理于一體的集中管理解決方案,具有非常好的效果。實現(xiàn)了安全信息的集中管理,包括對 IT 運行的、IT 安全的和運維,有助于安全策略、實現(xiàn)企業(yè)和組織的安全目標(biāo)。該產(chǎn)品對于安全管理,有助于建立一套可行的安全策略的執(zhí)行方針,并通過 Secfox-MS 真正。通過持續(xù)有效的安全事件分析識別安全事故、策略、行為和操作行為,通過安全事件分析有助于進(jìn)行審計和取證分析、支持、建立基線,以及進(jìn)行安全運行趨勢,確保企業(yè)和組織的業(yè)務(wù)的持

27、續(xù)性和可靠性,通過設(shè)備和系統(tǒng)的日志以及安全事件的,符合企業(yè)和組織的需要,符合國家和行業(yè)的,自動產(chǎn)生各種分析報表和,隨時掌控整個企業(yè)和組織的安全狀況。以上工程均于 2016 年 4 月底前完成驗收和測試防護(hù)體系搭建完成后我公司啟動了多輪的滲透測試工作,均未能攻破相關(guān)業(yè)務(wù)系統(tǒng),本方案有效的保障了信息系統(tǒng)的整體安全。但是隨著新的安全的不斷出現(xiàn),0Day層出不窮,后續(xù)我公司還需要在以下幾個方面加以完善,以更加保障公司網(wǎng)絡(luò)、信息的安全性1、引入外部安全服務(wù)團隊定期對我公司業(yè)務(wù)系統(tǒng)進(jìn)行滲透測試以發(fā)現(xiàn)的安全,在第一時間進(jìn)行的相應(yīng)修補2、定期組織安全攻防演練,加強應(yīng)急處置流程。保證在出現(xiàn)安全問題后能夠按照一定

28、的有效的解決相應(yīng)無線網(wǎng)摘要:隨著的發(fā)展,校園網(wǎng)成為校園生活的重要組成部分,師生對校園網(wǎng)的依賴程度也越來越高。摒除網(wǎng)絡(luò)盲點、突破教室和的限制、享受網(wǎng)絡(luò)無處不在的生活,已是廣大師生迫切的心聲。WLAN 技術(shù)以其安裝快速、部署靈活、數(shù)據(jù)速率高、綜本較低、網(wǎng)絡(luò)擴展能力強、終端普及性好等優(yōu)點成為無線校園的首選技術(shù)。本人于 2015 年 3 月參與了某師范大學(xué)的園區(qū)無線網(wǎng)建設(shè),并擔(dān)任項目小組組長。本文在充分考慮學(xué)校對于無線網(wǎng)絡(luò)的要求,以網(wǎng)絡(luò)可靠性、先進(jìn)性、兼容性和安全性為目標(biāo),從網(wǎng)絡(luò)建設(shè)要求入手,分別從無線網(wǎng)絡(luò)的總體架構(gòu)、無線技術(shù)、無線網(wǎng)安全防護(hù)等方面進(jìn)行論述。聞述了網(wǎng)絡(luò)規(guī)劃中采用的方法及相關(guān)技術(shù)。該完工

29、后,進(jìn)一步了網(wǎng)絡(luò)環(huán)境,提高了管理水平和工作效率,推動了學(xué)校的信息化建設(shè),得到學(xué)校和師生的一致好評。正文:隨著學(xué)校的快速發(fā)展,迫切需要將應(yīng)用系統(tǒng)擴展到整個校園。原有的校園網(wǎng)終已不能滿足高速發(fā)展的校園信息化,改變校園網(wǎng)絡(luò)迫在眉睫。無線局域網(wǎng)以其安裝快速、部署靈活、數(shù)據(jù)速率高、綜本較低、網(wǎng)絡(luò)擴展能力強、終端普及性好等優(yōu)點成為無線校園的首選技術(shù)。2015 年我公司承接了師范大學(xué)園區(qū)無線局域?qū)慕ㄔO(shè)項目,校方想利用無線網(wǎng)絡(luò)技術(shù)進(jìn)一步擴展校園網(wǎng)的覆蓋范圍,使仝校師生能夠隨時隨地、方便高效地使用校園網(wǎng)絡(luò);同時為促進(jìn)教學(xué)發(fā)展進(jìn)一步拓展應(yīng)用,校園網(wǎng)絡(luò)環(huán)境,提高管理水平和工作效率,推動學(xué)校信息化建設(shè)。我作為項目經(jīng)

30、理,負(fù)責(zé)該項目的網(wǎng)絡(luò)規(guī)劃及熱點部署工作。在師范校園無線網(wǎng)的設(shè)計上,在充分考慮學(xué)校使用需要的基礎(chǔ)上,力求滿足整個校園的可靠性、先進(jìn)性、兼容性和安全性來完成此項工作。1、網(wǎng)絡(luò)建設(shè)要求(1)建設(shè)覆蓋公共教學(xué)和活動區(qū)域的無線網(wǎng)。利用有線網(wǎng)絡(luò)的基礎(chǔ)結(jié)構(gòu),采用高速以太網(wǎng)和 802.11n 無線網(wǎng)絡(luò)技術(shù),建設(shè)相對獨立的,覆蓋園區(qū)的無線網(wǎng)。提供個人各類終端無線網(wǎng)接入服務(wù),滿足工作學(xué)習(xí)和生活的互聯(lián)網(wǎng)需求。要求LAN 可以滿足教職工及學(xué)生筆記本無線上網(wǎng)(2)建設(shè)無線網(wǎng)安全防護(hù)體系。采用成熟可靠的無線通信加密技術(shù),建設(shè)無線網(wǎng)通信防護(hù)體系;與相關(guān)廠商合作研制符合安全需求的無線網(wǎng)安全防護(hù)品,并與園區(qū)網(wǎng)準(zhǔn)入認(rèn)證系統(tǒng)結(jié)合,

31、實現(xiàn)無線終端準(zhǔn)入控制和實名制認(rèn)證;準(zhǔn)入系統(tǒng)客戶端實現(xiàn)入網(wǎng)終端安全管控和行為審計。2、無線校園網(wǎng)總體架構(gòu)中心杋房部署無線控制器與現(xiàn)有校園交換機采用 10GB 互聯(lián),安裝無線網(wǎng)絡(luò)管理,并利用用戶鑒權(quán)系統(tǒng)實現(xiàn)無線和有線入網(wǎng)終端及用戶的管理。中心機房至教學(xué)樓釆用 10GB 光纖互連,架設(shè)無線接入點(AP),實現(xiàn)這些區(qū)域的無線信號。宿舍樓內(nèi)采用匯聚和接入兩層架構(gòu)。匯聚層 1GB 上連層交換機,1GB 下連接入層交換機,提供在宿舍內(nèi) 100/1000MB 桌面接入速率,實現(xiàn)數(shù)據(jù)的大容量交換和高速轉(zhuǎn)發(fā)。全網(wǎng)選用支持 IPV4/IPV6 雙協(xié)議棧網(wǎng)絡(luò)設(shè)備,并具備 IPV6和組播功能,提供 IPV6 新興應(yīng)用的

32、基礎(chǔ)支撐平臺。3、無線組網(wǎng)技術(shù)方案以校園網(wǎng)交換機為中心,購置一臺無線控制器(AC)與交換機萬兆互聯(lián),實現(xiàn)對 AP 設(shè)備的集中管控和數(shù)據(jù)智能轉(zhuǎn)發(fā)。交換機千兆連接教學(xué)樓、館、宿舍等區(qū)域。在教學(xué)樓公共教室、樓層走廊,館閱覽室,大廳以及宿舍樓層走廊,室外等位置部署支持 FT/FAT 的雙膜 AP 設(shè)備,提供這些場所的高速無線接入。無線網(wǎng)接入層米用多點到多點的無線網(wǎng)狀 Mesh 拓?fù)浣Y(jié)構(gòu),在這種結(jié)構(gòu)中,各網(wǎng)絡(luò)節(jié)點通過相鄰其他網(wǎng)絡(luò)節(jié)點,以無線多跳方式相聯(lián)。4、用戶安全接入認(rèn)證規(guī)劃為了安全地使用無線網(wǎng)絡(luò),需要解決三個問題,(1)確定無線網(wǎng)絡(luò)的使用者是被允許的。(2)數(shù)據(jù)傳輸時需要。(3)防止無線網(wǎng)絡(luò)臺連上網(wǎng)

33、絡(luò)。無線網(wǎng)絡(luò)的安全措施一般有、WAP 等。必須提供與無線接入點設(shè)定一致的才能與其通信,這樣可以區(qū)分不同群組的用戶接入;是安全加密協(xié)議,主要用于實現(xiàn)控制、數(shù)據(jù)性和數(shù)據(jù)完整性三個安全目標(biāo)。但對于大規(guī)模部署無線網(wǎng)絡(luò)的環(huán)境,最合適的入網(wǎng)方式是基于 Web 的認(rèn)證方式,無線網(wǎng)絡(luò)的認(rèn)證需要能夠與有線網(wǎng)絡(luò)相融合。此項目中采用的無線控制器本身就能很好的支持基于 WEB 的認(rèn)證功能,其可以作為全網(wǎng) Web 認(rèn)證的分布式認(rèn)證,針對無線用戶 web 認(rèn)證,將有線網(wǎng)絡(luò)的 Web 認(rèn)證網(wǎng)關(guān)作為 Radius 服務(wù)器進(jìn)行聯(lián)動,就可以保證全網(wǎng)用戶有線與無線的賬號,而此過程中,用戶無需安裝任何客戶端產(chǎn)品,利用標(biāo)準(zhǔn)的瀏覽器即可

34、完成上網(wǎng)。本次在匯聚交換機處接入認(rèn)證服務(wù)器,在服務(wù)器組里增加一臺Radius 服務(wù)器,以便于接入用戶信息。當(dāng)用戶要求網(wǎng)絡(luò)時,在通過認(rèn)證前都強制認(rèn)認(rèn)證服務(wù)器的 web 界面,要求輸入用戶名和,用戶輸入賬號和后,點擊登錄,認(rèn)證服務(wù)器會將用戶給 Radus 服務(wù)器, Radius 服務(wù)器將用戶名、與數(shù)據(jù)庫中的進(jìn)行比對,當(dāng)一致時, Radius 服務(wù)器會給認(rèn)證服務(wù)器發(fā)送一個認(rèn)證通過的響應(yīng)。認(rèn)證服務(wù)器就會給用戶打開頁面的權(quán)限,否則關(guān)閉用戶的權(quán)限。這樣就保障了無線網(wǎng)絡(luò)的安全,避免用戶的,保護(hù)數(shù)據(jù)不被用戶盜取,同時還可以對不同用戶的權(quán)限加以區(qū)別,限定他們的權(quán)限。校園是無線寬帶網(wǎng)絡(luò)重要的載體,學(xué)生群體將是未來潛在的客戶群主力,因此校園無線寬帶的推廣勢在必行。從長遠(yuǎn)角度看,大力建設(shè)高校LAN 網(wǎng)絡(luò)