局域网内部的网络安全性,在公网和局域网连接处部署了一台防火墙,用于对公网方向的网络攻击和非授权访问进行隔离和控制,同时也保护公网服务器。同时考虑到公网服务器容易受到来自公网的非法攻击,本设计在公网dmz区域部署一台公网入侵检测系统(IDS),以便对来自公网的访问流量进行监控和隔离。
3.3.校园办公网络
校园办公网络(包括综合楼、东西教学楼办公室部分、后勤食堂等场所)主要为在学校工作人员提供局域网基础设施和上网服务。具体需求分为:
1、普通用户:需要一个能够承载内部数据、语音、视频应用的高速局域网,能够高速访问校园网、集团公司网络。并保证网络的安全和独立。
2、VIP用户使用:在普通用户的基础上,需要访问校园广域网和internet。
3、下属的部门:与原设计的其他部门一致,作为校园总部局域网的一部分,按照部门相应的权限访问集团应用,广域网和internet。
同时考虑方案的经济性,并尽量减少对总部局域网络的影响。
因此本次设计网络为:
将现有的网络平行迁移到新的双联核心网络交换机上。
各楼及楼层交换机之间通过千兆光口互连。在隔离防火墙上进行设置,允许普通用户以共享方式访问internet,由此可以满足用户的基本需求。
3.4.公寓及公共网络
公寓各房间网络和公共场所如图书馆、教室等场所网络主要为在学校参加培训和学习的学员提供局域网基础设施和上网服务。具体需求分为:
4、普通学员用户:需要一个能够承载内部数据、语音、视频应用的高速局域网。能够高速访问internet。并保证网络的安全和独立。
同时集团需要将普通学员用户与校园总部局域网络隔离。
5、VIP用户使用:在普通用户的基础上,需要访问校园广域网。
6、下属的部门:与原设计的其他部门一致,作为校园总部局域网的一部分,按照部门相应的权限访问集团应用,广域网和internet。
同时考虑方案的经济性,并尽量减少对总部局域网络的影响。
因此本次设计网络为:
在中心机房增加千兆隔离防火墙一台,双归上联核心交换机。
通过光纤,将现有的各公寓楼的网络接入到公寓B座的会聚交换机上,然后接入核心交换机。
各楼及楼层交换机之间通过千兆光口互连。在隔离防火墙上进行设置,允许普通用户以共享方式访问internet,由此可以满足用户的基本需求。
3.5.与广域网和internet的连接
校园将扩建现有广域网系统,在保留通过与集团公司的2M专线连接外,增加10M与internet直接通过运营商连接的通道,实现校园内部的数据、语音及多媒体信息的传输及共享。本次设计在校园总机房建设1台核心路由器设备,系统配置要求满足未来几年内的与集团公司或其他兄弟公司的接入。核心路由器通过广域网防火墙实现与核心交换机的连接。
3.6.各楼及楼层设备配置
根据各楼的综合布线点数,进行相应的设备配置设计,同时保证校园整体网络的可靠性、安全性。
本次的楼层交换机主要使用现有的设备,对部分有必要和需要扩充的楼及楼层预留部分备用交换机。
四、IP地址规划与设备命名
针对校园的网络实际情况,对除WWW服务器、邮件服务器和其它必须配置公网地址的设备外,内部终端设备一律采用私网IP地址。为了保证校园总部网络建设的完整性和延续性,将视频会议、部门、临时员工区域、学员公寓、公用区域等IP地址统一规划。
4.1.IP地址的分类
按照IETF相关建议的规定,IP地址被分成公有地址和私有地址两大类。公有地址由全球互联网信息中心负责统一的规划,在各个大洲,各个国家有专门的机构负责分配,在我国通常是由CNNIC负责分配的。采用公有地址的数据包可以在整个互联网上得到传递。私有地址是仅限于企业内部使用的地址,任何一个企业都可以自由的使用,但是携带这些地址的IP包是不能在互联网上传递的。IETF规定了三个私有地址段:10.0.0.0—10.255.255.255;172.16.0.0—172.31.255.255;192.168.0.0—192.168.255.255。
公有地址还是私有地址,主要根据用户的业务需求来确定。校园网络系统的建设主要用于内部数据的传递,所以网间地址和核心交换机的内部地址口可以采用私有地址,但需要进行外部访问时可以转换成公有地址,而对外提供服务的服务器地址可以采用一一映射的静态转换方式,实现外部用户对公网DMZ区服务器的访问。
使用公有地址对外连接进行访问,不必进行地址转换。但是因为公网用户也容易访问这些地址,所以安全危险性也比较大,而且公有地址比较少,规划分配都不太方便,地址不够时,还必须重新申请;而私有地址,尽管对外访问或由外对内访问都需要进行地址转换,但是因为它们的所含的资源很丰富,可以比较灵活地分配,网络扩展比较容易,另外,使用私有地址的网络,有一定的隐蔽性,外部用户不容易访问。