“千硕光传集团”企业组建及安全对策毕业设计答辩.pptVIP

* 本科毕业设计答辩 “千硕光传集团”企业网组建及安全对策 * 项目背景 随着近年来企业信息化建设的深入，企业的运作越来越依赖计算机网络。千硕光传集团为了迎合公司业务发展需求、提高企业内部核心竞争力，需在原有网络基础上建立一个更加方便快捷安全的通信网络综合信息系统。 * 需求分析 由于信息化建设新的战略需要，对现有网络进行了全面的改造，基本实现了网络 的重新部署，以实现以要需要： 1. 为了实现分级管理与网络构建的扩展性，将网络分为三层（接入层、汇聚层和核心层）； 2. 通过光纤和万兆传输速率标准来搭建集团骨干网，为了部署与维护的简单、高效性，骨干网的核心设备都重新采用多功能、高转发性能和运行可靠、稳定的路由/交换设备； 3. 网络分为四个部分：财务部与信息管理区、集团中心办公区与骨干网、生产区和海外分部。其中：生产区有8 个连续的子网段、集团中心办公区有4 个连续的网段、海外分部四个4 段，其它每个部门分别一个网段。 * 需求分析 4. 集团中心办公区与骨干网、财务部与信息管理区位于集团办公楼，生产区位于一公里外的生产车间，海外分部位于美国加州，通过专线将集团网与海外分部局域网进行互联； 5. 出于管理的安全考虑，将财务部与信息管理区从骨干网中分离出来，故将整个集团网分成四个部分； 6. 出于信息安全的考虑，以实现对集团所有人员外网访问的控制，集团内所有人员通过骨干网路由器一个出口100M 光纤访问Internet； 7. 骨干网中架设一台 WEBServer 服务器，一方面为集团员工提供对内的WEB服务，另一方面为外部办公人员提供对外的WEB 服务； 8. 位于财务部与信息管理区的存储服务器主要存储重要的财务机密数据，所以只能让特定的人访问； * 网络拓扑 网络拓扑： * 网络技术应用 本方案主要应用网络技术： NAT ACL TRUNK VLAN PAT 路由协议为OSPF * 需求细节 一． IP 地址规划需求 1. 通过 A 类私有地址：/8 进行子网划分进行IP 地址分配置； 2. 每个子网至少预留 20%以上的IP； 3. 设备管理地址需要独立的 IP 子网； 4. 设备互联地址也需要有预留 IP； 5. 不同服务器区服务器需规划 IP 子网，并预留地址； 二． 交换部分需求 1. 通过 VLAN 技术划分不同的网段，不同部门划分到不同的网段内； 2. 通过 VTP 实现对VLAN 的管理； 3. 通过 STP 实现二层链路的备份； 4. 通过以太通道实现骨干网带宽的增加，和链路的容错； 三． 路由部分需求 1. 海外分部网络已建多年，运行的是 RIPV2； 2. 通过 OSPF 协议和重分布实现集团网路由的收敛； 3. 通过划分多个区域来实现集团网各部分的互联，以实现更好的管理； 4. 通过汇总技术实现路由条目和设备性能的优化； 5. 通过重分布默认路由来让集团网内所有设备通过 R1-GW 路由器访问Internet ； * 需求细节 四．服务访问控制部分需求 1. WEB Server 的IIS 服务一方面为在Internet 的公司移动办工人员提供服务，由特殊的端口号9527 提供服务访问端口号；另一方面用80 号端口为集团内员工提供服务； 2. 存储服务器只能让财务部、人力资源部经理访问； 3. 各路由、交换和服和器设备只能让信息管理区的管理员进行远程登陆，同时三层核心交换机和服务器用安全远程登陆（SSH）访问； 4. 不同部门的员工不能相互访问，同时普通员工只能访问 WEBServer 的HTTP 服务，经理以上的管理层可访问WEBServer 的其他服务。 五．Internet访问控制 1. 财务部限时访问 Internet，工作日（周一到周五）每天上午的10 点到11 点20 分能访问Internet； 2. 信息管理员，集团中心办公区和海外分部可访问 Internet； 3. 通过 PAT 实现集团内网到Internet 的访问； * 区域规划 * IP地址划分 财务部与信息管理区子网规划：/16 存储服务器网段：/24 网关：54 vlan100 网管工作站网络：/24 网关：54 vlan3 财务部网络：/24 网关：54 vlan2 二层交换机管理子网：/24 网关：54 vlan1 其中：PC7 为网管工作站PC，在VLAN3 中，IP 为 .200，存储服务器IP 为.110。 集团中心办公区与骨干网子网规划：/16 WEB