企業網的規劃及組建

企業***網的規劃及組建

需求分析:

某公司位於北京,將該公司大致規劃和實施方案、經驗和大家分享。

一、 ***網路ip位址劃（***改造前提）

目前企業網ip位址分配方案採用的私有網路位址方案，為了使***網路更加符合國際標準的規範，同時也為了更加便於網路管理，在***網路改造的同時，對企業內部網路的ip位址分配方案進行規劃。新的位址分配方案遵循以下原則：

 符合ietf的私有網路位址分配方案，採用20.0.0.0/8的ip位址段；

 結合新的機構編碼方案，力爭ip位址能夠直觀反映主機所屬的機構；

 對各分公司的公用網路裝置（包括路由器、伺服器等）進行統一編址，便於網路管理；

總部位址分配原則

根據的建議，把總部ip劃分為不同的c類網段。

 10.2.0.0網段為網路裝置及伺服器網段

 10.2.1.0網段為工作站網段

集團公司內部位址分配方案

1．集團分公司的公共網路資源包括路由器、***閘道器、各種伺服器、pc等，其確定的位址分配方案見下面的位址規劃表；

2．由於集團分公司下屬二級分公司的數量有很大的不同，而且每個二級分公司所擁有的主機數也不同，所以各分公司網管員需要根據本公司的實際情況為各個二級分公司主機劃分更細緻的子網位址和網路掩碼

二、***技術實現方

（2）在北京總部中心放置兩台***3020b，一台通過中國電信接入internet，另一台通過中國網通接入internet，均需要固定的公網ip位址。這樣中心兩台***3020b就可以實現線路備份、雙機熱備份和負載均衡。同時可以根據客戶需要在中心***閘道器上可以實現電源冗餘備份、隧道備份及配置檔案備份等多種備份方式。這樣如果某台***3020b出了問題，或運營商線路出了問題，都可以迅速切換到另一台***閘道器，從而保證了整個網路的正常執行，也提高了網路效率。

（3）在集團公司部署乙個認證伺服器的註冊客戶端，在總公司的cms上儲存了自己那部分的證書,通過自己的客戶端可以對自己集團內部的證書進行管理和維護.網路管理的詳細描述請參看網路管理規劃部分.

三、網路接入分析

（1）接入網關使用者訪問server：***閘道器之間首先通過自動協商建立隧道；oa、財務系統、檔案系統等pc向接入網關***3010e傳送資料，到達***3010e後進行加密，資料傳到中心***3010eb進行解密，從而訪問內部server；分公司oa、財務系統、檔案系統等pc向接入網關***3010傳送資料，到達***3010後進行128位強加密，資料傳到集團公司***3010e，再由***3010e解密、加密後路由至總部***3020b解密，訪問相應內部伺服器。逆過程相反。

（2） vrc移動使用者訪問server：移動使用者pc上安裝vrc客戶端軟體，通過usbkey雙因子認證後與集團公司中心***3010e或者總部中心***3020b建立隧道，移動使用者傳送資料經pc隧道進行128位強加密，資料傳到***3010e或***3020b進行解密，從而訪問內部server。逆過程相反。

(3) 業務安全性分析:由於司內部有多種業務系統，包括oa辦公平台、檔案系統、人事管理系統、公文傳輸系統和財務系統等，可能還有上internet的需求。這麼多業務資料在一起，通過***連網後怎麼進一步保證安全性？首先在不同交換機或同一臺交換機上，按業務的不同劃為不同的vlan組。比如訪問oa伺服器的pc在乙個交換機上或乙個vlan裡。接入到***閘道器後，在***上通過配置不同的訪問列表控制這些資料的流向，安全閘道器採用網段、ip位址、協議、埠號、時間等多種方式來選擇資料流。這樣通過配置就可以把不同的業務系統隔離開來，某些pc可以訪問oa伺服器，某些pc可以訪問檔案系統伺服器，某些pc則可以訪問財務系統伺服器等等。他們之間都不能互相訪問，這樣進一步確保了公司內部系統之間的安全性。

另外，這次實施過程中使用的安全閘道器還支援多種不同強度的加密演算法，使用者可根據需要對資料流進行指定強度的保護。例如：採用國密辦指定演算法保護重要資料、採用3des演算法來保護普通資料等。

四、應用效果

通過應用本***方案，集團總部與各分公司網點間的網路可以互通，形成乙個區域網。總部與分部之間資料共享，實現實時傳輸。加強了資料管理的即時可靠性、同時提高了工作效率，減少了人工成本，有效確保了傳輸資料的實時與安全，效果尤為突出。

企業網的規劃及組建

企業網的規劃及組建

golang 實戰企業網盤

ACL構建企業網安全

企業 網的規劃及組建

企業 網的規劃及組建

golang 實戰企業網盤

ACL構建企業網安全

相關推薦

企業網的規劃及組建

企業網的規劃及組建