网络硬件及软件使用、网络架构、线路拓展、设计要求、图纸及前期预算(原创)

贝贝博客 10.04.15 电脑网络 636 0 条(抢沙发)
Foxalt工作室 T4主题

网络硬件及软件使用、网络架构、线路拓展、设计要求、图纸及前期预算(原创)

        此物是贝贝做的一个网络方案,拿出来分享,不一定适合所有的博友,有问题可以交流,但不要照抄,各部分的网络环境及公司要求也不一样的!最少你也得小小修改一下,拿给老板或经理也好看一些,免得以后看到原文!呵呵。

一、内容概要
1.1        *****科技,计算机网络硬件及软件使用、网络架构、线路拓展、设计要求、图纸及前期预算。
1.2        范围
1.2.1        一楼(包括前台、二会议室、联合办公室、第一会议室、客人区)。
1.2.2        二楼(包括财务室、董事长办公室、总经理办公室、副总办公室、人事办公室及无线访问点)。
1.2.3        三楼(其它部门使用后期扩展)。
1.2.4        员工区(***楼)(员工宿舍四层、每层十六个单位间、全64个单位间)。
1.2.5        前期33台电脑、包括服务器二台,办公区一到三楼8台网络交换机(包含防火墙一台、网管型交换机一台),倒班楼四台网络设备(不包含后期扩展一台24口交换机),但包含两台无线接入点。
1.3        方案在节能、环保、易维护、性价比高的前提下展开、方案确定后按PDCA模式处理。
二、前期目标
2.1    硬目标
2.1.1        充分利用现在设备、适量增加设备,选用效果好、价格适中、稳定度好的器材或设备。
2.1.2        主线路采用超五类屏蔽双绞线、终端线路选用五类双绞线,并使用屏蔽正品AMP水晶头、适当使用无法网络,减少有线网络结点。
2.1.3        无线网络采用支持11bgn模式无线路由,最大限度兼容大多数无线客户端连接。
2.1.4        中心交换机到结点交换机采用1000M端口,结点交换机到用户采用100M端口,并按标准结线,级联交换机最多不超过二层、最远不超过100m
2.1.5        服务器(包含域控制器、文件服务器、财务金色蝶服务器、以及后加入ERP服务器)都将实行1000M到交换机100M到用户的网络架构。
2.1.6        对于重要网络服务或应用服务器采用RAID1RAID5磁盘阵列保证网络服务器数据不会丢失。
2.1.7        主干网络线路采用双线交叉连接线法、减少单线故障时网络应用等待时间。
2.1.8        Internet 网络采用4~10M光纤接入,并提供最少一个外网固定IP地址,以满足对外网特殊应用。(HttpMailVPNERPVOIP)。
2.2    软目标
2.2.1        防止ARP
防止掉线、网络病毒。
2.2.2        无线
使用WDS无线桥接、复杂密码加密、定期修改密码。
2.2.3        IP带宽控制
保证最小使用带宽,充分利用剩余带宽。
2.2.4        用户管理
禁用DHCP,MAC+IP绑定,MAC白名单,禁止非法用户进入。
2.2.5        网络病毒控制
ARP过滤、终端权限管理、MAC管理+IP管理、杀毒软件。
三、硬件环境配置
3.1            防火墙(FR5300)一台
 
TL-FR5300是一款具有四LAN口的专业防火墙产品,采用Intel IXP网络专用处理器,主频533MHz,能为防火墙提供强大的数据处理能力,同时也为系统稳定运行提供强力的硬件平台,安全乃一切网络行为的前提与基础,使用TL-FR5300企业防火墙路由器能制定全面的安全策略,有效维护网络信息的完整性与安全性。

TL-FR5300防火墙策略应用:
1)内/外部攻击防范提供扫描类攻击、DoS类攻击、可疑包和含有IP选项的包等攻击保护,能侦测及阻挡IP地址欺骗、源路由攻击、IP/端口扫描、DoS等网络攻击,有效防止Nimda、冲击波等病毒攻击。其深层检测功能支持JavaActiveX等控件检测,可以有选择地过滤掉HTTP夹带的ActiveX控件、Java AppletZIP文件和EXE文件,使企业网络免受应用层攻击。
 
2)深层检测提供URL过滤、Web请求控制和Email发送/接收过滤,可据此制定不同的安全策略,比如,是否可以浏览网页,是否允许登陆论坛或外网邮箱,限定收发邮件/附件大小等。
 
3)时间表设置对员工上网时间进行控制,可以制定多组上网时间段以供选择,有效缩减配置工作量。
 
4QoS控制对员工上网权限进行控制。可进行最大/最小带宽的分配,比如限定BT下载占用的最大带宽;可进行优先级设定,保证特殊用户、特殊应用(如VoIP等)的服务质量。5)用户认证可为每一位员工提供用户名和密码设置,防止员工盗用上网权限,从而确保企网机密信息不外泄。
 
3.2            中心交换(一台、二层)
TL-SG2224WEB是全千兆简单网管交换机产品,提供2410/100/1000M自适应RJ45端口及2个千兆SFPmini GBIC)光纤模块扩展插槽,支持链路聚合、VLAN管理、QoS等功能,满足对高性能及智能化管理有需求的网络环境,适合立敦(阿坝州厂)组建经济高效的千兆网络,支持Port VLAN802.1Q VLANMTU VLAN,满足划分和管理网络资源的需求,增强网络的安全性和适应多业务应用的能力。支持端口安全功能,可限制端口学习MAC 地址的数目,解决非法接入问题,支持广播风暴抑制。
 
3.3            交换机
办公楼各单位***楼交换机采用TP-LINKSG-1016GTL-SF1008DTL-SF1024、倒班楼交换机采用TL-SF1048普通交换机。以节约成本及旧设备合理利用。
3.4            配线箱(配线架)
详细规格及安装查看(附加方案一)
3.5            用户端(终端)
在有线无法扩展时优先选用WDS功能无线路由扩展网络,各有线PC接入墙面或桌面模块使用(规格见附加方案一)。
3.6            主线路备份
采用交叉接线法或使用双线备份主要网络线路,以防
3.7            无线(四台AP
采用TP-LINK WR841N 无线路由器,室内最远300m,室外最远800m,支持11N,支持300M速率无线连接,支持WDS无线桥接,支持客户端无线漫游。
四台设备两台办公楼使用(一台办公使用、一台客人使用),两台供***楼员工区无线终端连接,以方便无线终端用户,节约布线成本,美观。
 
3.8            其它
管理人员补充
四、软环境配置
4.1            ARP攻击处理
防止ARP攻击,避免网速受到影响或掉线、个人信息及资料被盗。当电脑遭受ARP攻击时,轻则网速受到影响、掉线,重则公司人员银行帐号、网络服务帐号等个人私密信息被盗。使用支持IP地址+MAC地址绑定(设备型号TP-LINK FR-5300),有效防范ARP攻击,确保内网安全。
 
4.2            无线网络
使用TP-LINK WR841N 11N无线路由器,WPA-PSK/WPA2-PSKWPA/WPA2安全机制,支持最多64个十六进制字符密码,并提高非法用户监听破解的难度,通过测试在使用22位复杂密码的情况且下,暴力破解用户在单机环境下无法破解,并不定时更改密码,防止公司内部人员密码泄露!此外此设备支持WDS无线桥接功能,支持无线漫游,所有无线AP设备(WR841N SSID号可相同,在无线范围内自动切换信号最强AP,且不断线,并可实现两台或多台无线路由器无线桥接,扩展无线覆盖范围,满足大范围无线覆盖的应用需求。
 
4.3            IP带宽控制(FR5300
4.3.1依使用者或主机加以管制
可针对特定局域网或外部的主机进行管制。例如不允许PC-01主机上网、或只允许PC-01主机上网或不允许联机外部那个网站或服务等。这样的作法都是通过限制某个使用者或主机的方式进行管制。
4.3.2依应用加以管制
可以利用网络应用的端口加以管制。由于常见的应用往往都有特定的端口,因此只要找出对应的端口,在访问规则设定中进行允许或限制即可。
4.3.3依内容加以管制
针对传送内容进行管制,例如,在一些管制设定页面中,可以对网页内容进行管制设定,依网页内容所包含的字符串进行管制。
4.3.4WAN口加以管制
对于多WAN口路由器或有VPN连接,可根据不同应用,走那一个端口,或那条线路,并每个规则可设定指定的时间,例如公司资讯人员可设定上班时间启动管制,在下班及休息时间不做管制。
 
使用FR5300 对用户带宽及权限的管制方式:
FR5300防火墙路由器,具基于IP地址或IP地址组限速的功能,可以给整个公司内部的所有PC进行速度限制,可以分别限制上传和下载速度,既可以统一限制内部所有PC的速度,也可以分别设置内部某台指定PC的速度。根据不同用户上网需求分配每台电脑的上网带宽,避免个别用户使用BT、迅雷等软件占用过多带宽影响其它用户正常的网络使用。以***位置预算拉4M光纤计算
五个用户组(各组可使用时间管控)
4.3.1              全功能用户组
全功能用户组下行最低保证1/4总带宽(即1Mbps),最大带宽为总带宽的3/4(即3Mbps)。邮件上行为最小512Kbps最大2Mbps,其它应用上行256Kbps~512Kbps.
4.3.2              MAIL用户组
Mail用户组无权浏览网页、但可接收邮件,及DNS查询,上行为最小256Kbps最大2Mbps,上下行一样。
 
4.3.3              HTTP及邮件用户组
网页浏览或邮件下行最小512Kbps,最大1.5Mbps,上行最小256Kbps~最大512Kbps,视情况可调开。
 
4.3.4              特殊应用组
4.3.4.1        skype网络电话
保证其通话基本清晰即可(上下行最高128Kbps~384Kbps)
4.3.4.2        关务报关软件
FR5300上打开端口7001/7002,并映射内网主机,以使其正常使用。
4.3.4.3        其它应用
后期解决。
4.3.5              无权限用户组。
禁止与外网连接、但可与内网服务器连接,下载系统升级文件。
 
4.4            网络用户管理
4.4.1              分配给各PC一个固定IP地址,并采用MAC绑定方式。
4.4.2              禁用DHCP服务,可适当避免初级用户无授权情况下进入。
4.4.3              使用MAC白名单功能,使其未授权用户无法访问外网。
4.4.4              网络访问公共资料夹需用户名及密码,各终端计算机禁用网络共享。
4.4.5              各打印机尽量使用网络打印机,或使用网络打印服务器,对网络打印机集中管理,无需接入计算机共享,并因此而产生的访问权限问题。
 
4.5            病毒控制
4.5.1              使用IP+MAC绑定方式,适量防止ARP病毒的攻击。
4.5.2              对各计算机登录用户进行权限管控,以少的权限确保用户能运行及写入指定位置应用程序或文件,保护系统。
4.5.3              安装杀毒软件,禁用不必要的系统功能,并设置密码,禁用驱动程序自动安装功能,禁用自动播放功能。
4.5.4              定期网络抓包分析数据,避免此类事情发生。
 
五、附属设备
测线器一个、水晶头3盒、网线钳一把、扎带、线路标签。
六、人员配置
两人一个小组、配带对讲机及测线器。
七、供电
UPS后备电源(附加方案一)。
八、前期预算
九、附件一网络拓扑图-机房
十、附件二网络拓扑图-办公楼-一到三楼
十一、    附件三 网络拓扑图-倒班楼
十二、    附件四 标线记录单
十三、    附件五 网络设备设置记录单

相关文章

Foxalt工作室 T4主题

(¬_¬) 还不快点抢沙发!!!

联络贝贝