1人赞同了该回答
企业网络设计方案篇1
【关键词】中小企业网络组建;策略研究
通过近年来各企业网络组建的效果来看,我们会发现将网络应用到企业的发展过程中,一方面可以使得企业高层可以快速的对公司资源进行整合,优化资源配置。另一方面达到资源共享的效果,办公自动化模式的实现很大程度上提高了工作效率,员工可以随时对资料进行及时准确的传输。可见在不久地将来,网络组建将成为企业发展的新趋势。中小企业在面对来自大公司以及国内外企业的竞争压力下,如何利用网络来提升企业的核心竞争力已经成为企业运行的关键所在。接下来我将从中小企业网络组建的必要性、设计方案、未来发展趋向三方面进行分析,希望能促进企业的改革。
1中小企业网络组建必要性
1.1促进企业信息共享
企业在过去的发展过程中,计算机之间处于独立的模式,并未实现资源共享。但是目前中小企业所面临的是大量的信息传递、资料查询、信息加工等工作,有时总部与分公司之间跨地域的分布格局,增加了工作的难度,因此需要企业不断改革管理模式,实现企业自动化管理的目标。通过网络组建实现跨地域、跨时间信息共享的目标,从而减轻工作量,提高管理水平。
1.2提高企业管理效率
通过企业内部网络组建,可以使工作者可以快速地对业务进行跟踪,掌握瞬息万变的市场情况,为高层领导决策的制定提供数据支持。另一方面部门之间可以通过内部网络进行随时沟通,在避免工作重叠等现象出现的同时,提高人力资源的整合度,充分利用人才的优势使得自身的投资更有益。除此之外电子化办公使得传统的纸质化办公得到了改变,提高了工作效率。
1.3自身发展需要、社会要求
中小企业网络组建不仅是自身发展的需要,也是时展所驱使的。自改革开放以来,企业数量不断增多,而且企业收益的五分之三都来自于中小企业,这就促进国民经济发展、提供社会就业、稳定社会发展方面发挥了重要作用。为了激发企业创造更多社会效益,就需要中小企业不断提高管理效率,将科技的现代化优势不断应用到企业发展过程中。另一方面面对国内外企业激烈的竞争,中小企业要想在复杂的环境中长久立足,就需要加强自身核心竞争力,通过网络组建降低企业经营成本,促进资源贡献,优化资源分配,以获取更多的利益。
2中小企业网络组建设计方案
2.1网络系统的应用
近年来Internet已经被社会各界广泛使用,它可以提供各种类型的浏览器、网络聊天、电子邮箱,并且用于经营企业的时候可以为企业提供及时的、准确的市场信息,将Internet接入企业网络组建也成为企业的最好选择之一。在接入的过程中需要根据自身的资金状况与企业信息的使用频率来对宽带进行选择。除此之外企业可以通过建立Intranet来满足企业自身发展的需要,首先通过ISP的连接通道接入INTRANET,但是该技术在接入过程中所选用的服务器需要有较大的存储容量,百G或1TB以上以及具有足够的内存和较高的运行速度,并且具有良好和可扩展性,以满足将来更新换代的需要。
2.2网络设备的选择
在网络设备的方面需要具备可靠性、安全性、可扩充性等特点,并且在选择的同时不可以盲目的选择过于高档的产品,以免技术成本与后期维护成本过高。因为我对cisco比较熟悉,就从cisco方面进行阐述。设备核心可以采用cisco4507R,可以根据具体的网络需求选择相应的模块光电皆可。现在的设计为单核心如果公司经济能力准许可以再加一台4507做双核心那样网络更加可靠。汇聚设备采用cisco3560G-24全为千兆接口具体数量建议看信息点了(600信息点建议6台3560每2台一组,一组大概200信息点)。接入层交换机用cisco2918-48,此设备上面带有2个10/100/1000自适应上连接口可以用来连接汇聚交换机,具体数量看公司信息点而定。上网行为管理我推荐的是深信服AC5400,接口都为千兆且功能强大,完全可以达到你要求的带宽管理,内容过滤、应用控制等。边界采用的ciscoASA5520具有4个千兆接口1个快速以太口且具有750个ipsecVPN可以满足大多数中小企业的需求。
2.3网络安全管理
现代化的信息技术发展已经被众多大型企业所接受,但是这种管理模式在创造经济效益的同时也存在安全隐患。譬如经常出现的APP中间人攻击、APR报文泛洪攻击等,已经影响了企业业务的正常开展。中小企业在网络组建的过程中,需要吸取经验,做好安全管理工作,建立完整的安全防护系统。在具体实践过程中,禁止工作人员出入与自己工作无关的区域,对系统维护的时间进行明确规定,并且详细记录系统在维护前后的状态。除此之外工作人员在使用使用移动设备时进行病毒的查杀,并且对杀毒软件进行及时升级。
3中小企业网络组建展望
中小企业在发展的过程中,受经济实力以及技术人员的影响,对网络的依赖性较大,为此必须重视企业网络的组建并且在网络组建的过程中需要遵守一定的原则。首先设备的选用应该充分考虑员工的实践能力,保证设备先进与应用简易同步进行。譬如在硬件设施的选择方面,要保持设备具有实用性、安全性、可发展性,以保证网络系统能够为决策部门服务为公司业务服务,与此同时保证后期运行的顺利。对于软件功能的选择,要考虑中小企业的发展状况。譬如服务器要求具备存储力大、速度快、吞吐能力强等特点,只有这样才能促进网络管理性能的提高,保证高负荷工作量的进行。其次后期网络的维护,要避免过分追求网络安全而忽视企业经营成本,网络维护人员需要不断加强对网络的熟悉程度,增加维修频数,以确保网络的安全运行。
4小结
中小企业要想在激烈的竞争中实现可持续发展,就需要顺应时代的发展,充分利用网络的优势。在网络组建的过程中,遵守一定的规则,譬如根据企业的自身情况慎重选择网络系统与网络设备,在选择的同时充分考虑日后的维护难度。与网络维护的相关工作队伍需要得到不断优化,全面掌握与网络管理相关的专业知识。相信在做到这些后企业可以充分利用网络的优势实现自身的发展目标。
参考文献
[1]王艳红.初级小型局域网组建方案[N].内江科技,2006(7).
[2]马树奇.网络安全从入门到精通[M]北京:电子工业出版社,1999.
[3]中小网络建设一点通[M].清华大学出版社,2002.
[4]钟小平.网络服务器配置与应用[M].北京:人民邮电出版社,2002.
企业网络设计方案篇2
关键词:企业网络安全;内网安全;安全防护管理
中图分类号:TP311 文献标识码:A 文章编号:1674-7712 (2013) 04-0069-01
一、企业网络安全防护信息管理系统的构建意义
据调查统计显示,源于企业外部网络入侵和攻击仅占企业网络安全问题的5%左右,网络安全问题大部分发生在企业内部网络,内部网络也是网络安全防护的关键部分。因此,对企业内部网络信息资源的有效保护极为重要。传统的网络安全防护系统多数都是防止外部网络对内部网络进行入侵和攻击,这种方式只是将企业内部网络当作一个局域网进行安全防护,认为只要能够有效控制进入内部网络的入口,就可以保证整个网络系统的安全,但是,这种网络安全防护方案不能够很好地解决企业内部网络发生的恶意攻击行为,只有不断加强对企业内部网络的安全控制,规范每个用户的行为操作,并对网络操作行为进行实时监控,才能够真正解决企业内部网络信息资源安全防护问题。
二、企业网络安全防护信息管理系统总体设计
(一)内网安全防护模型设计。根据企业内部网络安全防护的实际需求,本文提出企业网络安全防护信息管理系统的安全防护模型,能够对企业内部网络的存在的安全隐患问题进行全面防护。
由图1可知,企业网络安全防护信息管理系统的安全防护模型从五个方面对企业内部网络的信息资源进行全方位、立体式防护,组成了多层次、多结构的企业内部网络安全防护体系,对企业内部网络终端数据信息的窃取、攻击等行为进行安全防范,从而保障了企业内部网络信息资源的整体安全。
(二)系统功能设计。企业网络安全防护信息管理系统功能主要包括六个方面:一是主机登陆控制,主要负责对登录到系统的用户身份进行验证,确认用户是否拥有合法身份;二是网络访问控制,负责对企业内部网络所有用户的网络操作行为进行实时监控和监管,组织内网核心信息资源泄露;三是磁盘安全认证,负责对企业内部网络的计算机终端接入情况进行合法验证;四是磁盘读写控制,负责对企业内部网络计算机终端传输等数据信息流向进行控制;五是系统自防护,负责保障安全防护系统不会随意被用户卸载删除;六是安全审计,负责对企业内部网络用户的操作行为和过程进行实时审计。
(三)系统部署设计。本文提出的企业网络安全防护信息管理系统设计方案采用基于C/S模式的三层体系架构,由安全防护、安全防护管理控制台、安全防护服务器三部分共同构成,实时对企业内部网络进行安全防护,保障内部网络信息资源不会泄露。安全防护将企业内部网络计算机终端状态、动作信息等传递给安全防护服务器,安全防护管理控制台发出指令,由安全防护服务器将指令传送给安全防护完成执行。
三、企业网络安全防护信息管理系统详细设计
(一)安全管理控制台设计。安全管理控制台是为企业网络安全防护信息管理系统的管理员提供服务的平台,能够提供一个界面友好、操作方便的人机交互界面。还可以将安全策略管理、安全日志查询等操作转换为执行命令,再传递给安全防护服务器,通过启动安全防护对企业内部网络计算机终端进行有效控制,制定完善的安全管理策略,完成对系统的日常安全管理工作。
安全管理人员登录管理控制台时,系统首先提示用户输入账号和密码,并将合法的USB Key数字认证设备插入主机,经过合法性验证之后,管理员获得对防护主机的控制权。为了对登录系统用户的操作严格控制,本系统采用用户名和密码登录方式,结合USB Key数字认证方式,有效提高了系统安全登录认证强度。用户采取分级授权管理的方式,系统管理人员的日常维护过程可以自动生成日志记录,由系统审计管理人员进行合法审计。
(二)安全防护服务器设计。安全防护服务器主要负责企业网络安全防护信息管理系统数据信息都交互传递,作为一个信息中转中心,安全防护服务器还承担命令传递、数据处理等功能,其日常运行的稳定性和高效性直接影响到整个系统的运行情况。因此,安全防护服务器的设计不但要实现基本功能,还应该注重提高系统的可用性。
安全防护服务器的主要功能包括:负责将安全管理控制台发出的安全控制信息、安全策略信息和安全信息查询指令传送给安全防护;将安全防护上传到系统中的审计日志进行实时存储,及时响应安全管理控制台的相关命令;将安全防护下达的报警命令存储转发;实时监测安全管理控制台的状态,对其操作行为进行维护。
(三)安全防护设计。安全防护的主要功能包括:当安全防护建立新的网络连接时,需要与安全防护服务器进行双向安全认证。负责接收安全防护服务器发出的安全控制策略命令,包括用户身份信息管理、磁盘信息管理和安全管理策略的修改等。当系统文件已经超过设定的文件长度,或者超过了设定的时间间隔,则由安全防护向安全防护服务器发送违规操作信息;当其与安全防护服务器无法成功建立连接时,将日志信息存储在系统数据库中,等待与网络成功重新建立连接时,再将信息传送到安全防护服务器中。
综上所述,本文对企业内部网络信息安全问题进行了深入研究,构建了企业内部网络安全防护模型,提出了企业网络安全防护信息管理系统设计方案,从多方面、多层次对企业内部网络信息资源的安全进行全面防护,有效解决了企业内部网络日常运行中容易出现的内部信息泄露、内部人员攻击等问题。
参考文献:
[1]王拥军,李建清.浅谈企业网络安全防护体系的建设[J].信息安全与通信保密,2011,12.
企业网络设计方案篇3
【关键词】 VLAN;MAC;ATM;单播;组播
1.引言
划分虚拟局域网是整个网络系统的重要技术之一。企业网络内部的环境复杂、分布区域广、网络用户多,以至于企业内部网络用户的可靠性得不到完全的保证。通过划分虚拟局域网,隔离不同部门,可以增强企业网络安全性,本文将详细论述虚拟局域网的技术及在网络系统中的必要性和设计方案。
2.VLAN方案设计
目前,VLAN技术可以使用以下方式组建:基于交换机端口的VLAN、基于MAC地址的VLAN和基于应用协议的VLAN:
基于端口的VLAN,即静态VLAN,特点是技术简单,容易配置且维护工作量小,缺点是终端设备移动时需要更改设备配置。
基于MAC地址的VLAN,即动态VLAN,基于Vlan策略服务组建,特点是终端设备可以在整个局域网中移动而不用改变配置,适合于移动办公型的网络环境,缺点是配置工作量大、繁琐。
由于交换机为二层设备,所以基于应用协议的VLAN对于交换机来说没有任何意义,反而会造成交换机性能的下降。
考虑到本系统的特点,节点在网络中内移动的可能性较小,基于易维护、易管理方面的考虑,使用基于交换机端口的VLAN进行配置。各个VLAN间由ACL控制,限制互访。其中VLAN10~31为部门VLAN,禁止互访,VLAN 51为文件服务器区,能被任何部门访问,VLAN 52为网管区,能单向访问各个部门。
3 第三层交换技术设计方案
第三层交换器就是将第二层的交换器与第三层的路由器合二为一,使路由器根据第二层的地址转发数据包以达到快速通讯,这就形成了第三层交换器。
第三层交换出现因于ATM与交换器的技术背景,因为传统的网络是由路由器作为中心的。使用第二层交换器使网络速度提升,可是在网络中使用过多的交换器,所有交换器所架构的网络可能会形成广播风暴,所以需要路由器来隔离可能会形成的广播风暴,为了使路由器不会形成网络的瓶颈,就形成了第三层交换。VLAN将广播域进行分割,但透过VLAN进行通讯则必须通过路由器进行转发。所有核心层交换机均为三层交换,可手动打开 ip routing。
4 IP multicast技术方案设计
传统的点对点单播通信,在发送方和每一接收方需要单独的数据通道。在这种通信方式下,源IP主机向指定的目标IP主机发送信息包。IP信息包中的目标地址就是IP网络中惟一的主机地址。从一台主机送出的每个数据包只能传送给一个目标主机,通过路由器或交换机将这些IP信息包从源主机发送到目标主机。在源主机和目标主机之间的路径上的每一个路由器都维护由单播路由协议生成的单播路由信息库,并根据数据包中的IP目标地址在单播路由信息库中查找单播包转发路径。在单播方式下,如果有另外的多个用户希望同时获得这个数据包的拷贝是不可能的。发送信息的主机必须向每个希望接收此数据包的用户发送一份单独的数据包拷贝。这种巨大的冗余会带来很大的代价,首先,会给发送数据的源主机带来沉重的负担,因为它必须对每个要求都做出响应,这使得负担过于沉重主机的响应会大大延长。其次对路由器和交换机的性能也提出了更高的要求,管理人员被迫购买本来不必要的硬件和带宽来保证一定的服务质量。
组播路由与IP单播路由有一个本质的区别就是,IP单播路由是根据网络的拓扑结构而不是实际的会话来建立路径,而IP组播路由则是根据网络的会话来动态地建立投递路径;因此,IP组播路由比IP单播路由更具有动态性。
关于组播路由设计,可在企业网络核心交换机和汇聚交换机上运行PIM-DM组播协议对业务及服务进行支持,并提供优秀的可扩展性;在边缘交换机上运行IGMP Snooping组播管理协议对业务及服务进行支持。
用户通过运行组播客户端软件的PC运行IGMP协议,用户可通过IGMP协议加入某个组播组,建立成员关系。对于组播业务的具体实施及管理需根据不同的业务类型及厂家提供设备的特点具体进行分析。目前经常被采用的稀疏分布模型的域内组播路由协议是PIM-SM,因此,使用PIM-SM作为域内组播路由协议。
每个部门VLAN划入一个多播地址:
Vlan10:224.1.1.1 Vlan11:224.1.1.2
Vlan20:224.1.1.3 Vlan21:224.1.1.4
Vlan30:224.1.1.5 Vlan31:224.1.1.6
在核心交换机和PIX上启用多播,命令如下:
ip multicast-routing
int interface #
ip pim sparse-dense-mode
ip igmp join-group 224.1.1.X
配置PIX为RP的命令如下:
ip pim send-rp-announce Loopback0 scope 3 group-list 50
ip pim send-rp-discovery Loopback0 scope 3
access-list 50 permit 224.1.1.1
access-list 50 permit 224.1.1.2
access-list 50 permit 224.1.1.3
access-list 50 permit 224.1.1.4
access-list 50 permit 224.1.1.5
access-list 50 permit 224.1.1.6
ip pim rp-address 3.3.3.3
根据企业的实际情况,总结出一个健全的企业局域网计算机网络,应当具备如下需求:
企业VLAN构建,其优越性远远超出传统LAN的构建,本文又通过对第三层交换技术和基于第三层交换技术进一步阐述了虚拟局域网的优势,而在企业网络系统中,为了体现经济实用可靠性,易采用交换式以太网方案,并采用内部IP地址。网络采用两极交换结构,中心交换机采用三层交换机,构成千兆主干,中心交换机应留有插槽便于扩展,光纤端口依实际应用提供,电源应有冗余;每个分配线间各放置若干台24口交换机作为二级交换机,用千兆光纤口用于上连,可以为用户提供交换式100Mbps带宽,彼此间采用堆叠连接。是为入住企业的单位提供宽带国际互联网络接入服务、内部网络通讯平台、计算机应用服务的综合性专用计算机数据通信网络。
参考文献:
[1]刘晓辉《局域网方案与故障速查手册》内蒙古科技出版社.2005年3月
[2]陶再平、吕侃徽《局域网组建与管理实训教程》.大连理工大学出版社.2010年11月
[3]苗凤君.《局域网技术与组网工程》清华大学出版社.2010年2月
企业网络设计方案篇4
近两年来,我系邀请了一些知名IT企业人员来校进行课程设计指导,其中,先后两次邀请了长沙“蓝狐网络技术培训中心”人员来校协助指导2007级、2008级网络工程专业学生“计算机网络工程”课程设计,公司派来了项目经理和技术人员,与我系的任课教师一起进行为期2周的课程设计指导工作。课程设计以“CDIO”(Conceive构思、Design设计、Implement实施、Operate运作)工程教育理念为指导[2],主要包括以下三个环节:课程设计题目的确定、课程设计的教学过程和课程设计的成绩评定。课程设计题目的确定。随着网络技术的发展,计算机网络工程课的内容不断更新和完善,内容很“泛”,且与其他课交叉的内容较多,不同的教材其内容大不一样[3-5]。我们目前使用的是石炎生主编、电子工业出版社出版的《计算机网络工程实用教程》(第2版)。
在选题时我们重点考虑了以下几方面:一是要体现“目标性”,从网络工程专业的培养目标上整体考虑该课程要培养学生哪些素质和能力;二是要体现“工程性”,计算机网络工程是名副其实的工程性质的课程,是需要在实验室动手操作的;三是要体现“可行性”,包括实验条件的可行性和学生知识能力的可行性;四是要体现“自主性”,对课程设计题目教师只划定一个大致框架,要求学生自主确定设计题目。最后,我们确定此次课程设计的主题是“XX公司/学校网络设计方案”,可以是一个校园网设计,也可以是一个企业网的设计。要完成该课题的设计任务需要综合运用所学的计算机网络原理知识和计算机网络工程知识,如网络需求分析、网络规划、设备选型、交换机/路由器的配置、网络安全、网络管理等。课程设计的教学过程。计算机网络工程课程设计教学过程包括选题、专题讲座、项目实验、规划方案撰写、答辩等几个环节。(在确定选题后,由公司人员进行5个专题讲座,每个讲座3~4课时,内容包括:①网络技术行业分析与企业网络规划,②企业远程接入网络解决方案,③企业分支本地网络解决方案,④企业总部本地网络解决方案,⑤广域网数据链路层协议HDLC与PPP。每一讲均有精致的PPT,图文并茂,站在企业的角度讲解,介绍大量工作经验和案例,传播企业文化。专题讲座并非理论课的重复,而是进一步扩展了教材内容,更加贴近社会实际,学生听了之后收获很大,初步了解了公司在做什么,社会需要什么样的人才,进而知道自己应该具备什么样的知识结构和能力素质。
(每一专题讲座之后,要进行1~2个项目实验。蓝狐网络技术培训中心结合实际编写了较详细的网络工程实验指南,还开发了用于实验的模拟器。每一专题讲座之后,需要在模拟器上完成1~2个项目实验,如“小型企业局域网项目实验”、“企业分支局域网项目实验”、“企业总部局域网项目实验”、“小型企业广域网项目实验”、“小型企业网OSPF项目实验”、“企业网Internet接入与NAT项目实验”等[6]。所有实验(包括模拟实验和真实实验)全部安排在网络工程实验室进行。学生可以在实验室的电脑上做模拟实验,也可以用真实的网络设备来做实验。在实验时我们加强了实验指导力量,公司技术人员和任课教师、实验教师一起来指导实验,保证了实验效果。如果课堂上没有完成实验任务或者需要巩固实验内容,学生还可以回寝室在自己的电脑上安装模拟器,继续做实验。(学生完成专题项目实验后,基本上掌握了构建企业网的技术要领,可以进行网络方案设计了。教师给学生提供几个网络设计案例参考,并简述其基本框架,使学生明了设计方案从结构上应包含哪些模块。我们按学号顺序分组,每4人一组,按学号顺序分组可避免成绩优秀的学生集中在几个组而成绩差的集中在另几个组。
设计方案完成后,学生需要进行公开答辩,4位同学分别扮演不同的角色,以模拟网络公司的形式设计一个网络规划竞标方案,并设“总经理”、“售前工程师”、“项目经理/技术总监”和“售后工程师”4个角色,每个同学扮演一个角色在讲台上演讲,并现场回答提问。学生充当上述角色时感到兴奋且有压力。他们积极性非常高,小组人员既分工又合作;既发挥各自的聪明才智,又发挥集体的力量,共同攻克难关,认认真真讨论技术要点,加班加点写设计方案。(方案初稿形成后,指导教师进行审阅,经反复修改后打印成册,参加课程设计答辩。每个小组答辩时间在20分钟以内,均要做好答辩PPT,4个人分别扮演不同的角色陈述各自的内容,并现场回答答辩组的提问,评委根据答辩情况给出答辩成绩。课程设计的成绩评定。课程设计的成绩是根据出勤、实验和规划方案撰写及答辩情况综合评定的。其中出勤占30%,实验情况占30%,网络规划方案的撰写及答辩情况占40%。成绩评定客观合理,较好地反映了学生课程设计的情况。
基于校企联合的计算机网络工程课程
设计的特色上面是我校基于校企联合的计算机网络工程课程设计的一些做法,从两届课程设计的实施过程来看,它体现了一些特色——“二一一”特色,即“二合”、“一作”、“一演”。“二合”是指“校企联合”和“虚实结合”,“一作”是指“小组协作”,“一演”是指“角色扮演”。校企联合,互利多赢。我系已在多门课程中实施校企联合式的课程设计,并取得了很好的效果。高校必须紧跟社会需求,请IT行业的公司来校指导课程设计,以达到校企双方多赢的目的。首先,它确保了课程设计的质量,切切实实使学生的知识、能力和素质得到提升,这是我们开展校企联合式课程设计的初衷。其次,学生足不出门就了解到IT行业的行情,了解项目开发的最新技术,从而能早一点看到自己存在的差距,明确该往哪些方面去努力。第三,高校教师有高学历高职称,但不一定有高技能。对于地方本科院校来说,需要一批“双师型”(“教师”和“工程师”)师资,像网络工程这样的工程型专业,需要教师具有工程能力,我们通过“走出去,请进来”提高这种能力。
#p#分页标题#e# 请企业人员协助指导课程设计也可以帮助我们的教师了解行情,改进教法,提高项目开发能力。第四,公司派人协助指导大学课程设计是一次宣传自己公司的好机会,公司可以物色优秀学生,也可以吸引学生去公司实习实训,带动经济效益。虚实结合,实验为本。计算机网络工程课程设计需要一个良好的实验环境。建一个中档次的网络工程实验室一般需要40~60万元,而且台件数受经费的限制不会太多。进行网络工程课程设计,需要用到大量的网络设备,建设多个网络工程实验室成本高。为此,我们通常采取“虚实结合”的办法来解决,“虚”是指用仿真软件来进行虚拟实验,“实”就是用真实设备来进行真实实验,两者结合可以构建出良好的实验环境。通过“虚”来解决台件数不够的问题,节约投资成本;通过“实”来解决一个真实可信的问题,使学生眼见为实。如Cisco公司的PacketTracer是一个很好仿真软件[7]。蓝狐网络技术培训中心也开发了一款很优秀的虚拟软件,在课程设计时我们用这款虚拟软件进行了专题项目实验,效果很好,由此构成的虚实结合的网络实验环境为课程设计的顺利开展创造了良好的条件。
小组协作,共同攻关。前面讲到,计算机网络工程课程设计是分组进行的,按学号顺序每4人一组,每组一个设计课题。小组同学之间共同探讨、取长补短,共同攻克难关。IT行业本身需要团队协作精神,而这种协作的机会在平时的学习中是不多的。课程设计的任务比较艰巨,要解决的问题比较多,需要小组成员一起协作,与个别化学习相比,协作学习有利于促进学生高级认知能力的发展,并有利于同学们健康情感的形成。从实施效果看,小组成员之间团结友爱,互相帮助,确实营造出了一种良好的协作学习的氛围。特别是平时学习积极性不高的同学,在课程设计中不甘示弱,热情高涨,以一种崭新的姿态参与课程设计。角色扮演,各显神通。课程设计结束时需要进行答辩,答辩时每个同学将扮演不同的角色,小组成员需要全程参与方案的形成过程,并从不同的角度进行讲解。“总经理”、“售前工程师”、“项目经理/技术总监”和“售后工程师”4个角色,小组成员可以“因人择岗”,选择一个更适合自己的角色,以便充分发挥各自的潜能。实践表明,尽管各组成员素质参差不齐,但每位同学都表现得相当突出,尽情施展自己的才华,过了一把“总经理瘾”,尝了一次“工程师味”,也长一次见识。
结语
企业网络设计方案篇5
【关键词】制药企业 网络系统 网络安全架构 网络设计
随着数字化和信息化进程的不断加速,企业网络规模和应用范围日益扩大。制药企业作为技术密集型企业,多以精深工艺、提升品质、加强管理为目的,建立了由ERP、电子商务、Web网站、OA构成的网络系统。目前,网络已应用于制药企业各个事务层面,因此网络安全尤为重要,必须建立多层次的安全体系架构,作为企业网络系统的基础保障。
一、安全架构设计要点
(一)多元线程。安全架构分为“预防”、“治理”、“巩固”三个线程。“预防”是通过Windows Server Update Services更新服务,及时修补内网终端与服务器的系统漏洞。“治理”是针对不同的安全威胁进行防护。对于病毒威胁和黑客入侵,进行软硬件联合防御。“巩固”是保存完整网络日志,有科学的备份策略,对终端计算机的严格管理,保证终端安全。
(二)立体布局。安全架构设计要兼顾物理层、链路层、网络层和应用层,形成立体化的防护布局。以安全域来划分为主线,同一安全域共享公用的信息资源、安全基础设施、网络基础设施等。
(三)系统管理。安全架构包括技术层和管理层两方面,必须建立安全管理系统与安全技术相适应。管理系统要求严密的岗位分工,以及日常维护管理制度。一个合理的管理系统能够明确网络边界,增强网络的可控性,实现有计划的访问控制,有效阻止渗透式网络攻击。
二、安全架构设计方案
(一)网络平台方案设计
1.网络结构设计。制药企业的网络设置采用拓扑结构,根据药品的生产、销售、组织、管理等部门分成多个子网,共同构建企业网络平台。在各VLAN之间布置路由,实现各VLAN间的自由互访。但各子网间互访需要进行网络验证,避免某子网的安全威胁获得扩大性传播。
2.域管理设计。为实现集中式管理,应在制药企业网络平台布局域管理。域管理可以实现单一账户登录,单节点管理,具有安全便捷的优点。企业内网络终端设备较多,因此要进行网络标签设置,具体规则如下:XX――X――XX,字符分别代表了一定含义,第一段字符代表所属网关,第二段代表部门,第三段代表姓名全拼,唯一的网络标签可以保证定位的速度与精度。
3.入侵检测设计。网络入侵检测是通过防火墙和专用软件(IDS)实现的。配置企业级防火墙,可以杜绝内外网间的病毒威胁,提供相对安全的网络环境。而网康、绿盟、安全胄甲等专业入侵检测软件(IDS)则是对防火墙的合理补充,IDS从企业网络中采集关键信息,分析总流量、上传量、ERP等数据变化,自主判断网络中违反安全策略的行为。联合应用防火墙与IDS,可以实时、动态地保护网络平台,扩展系统管理员的安全管理能力,形成完整的网络安全平台结构。
(二)防治病毒方案设计
1.分布式部署。一般而言,制药企业规模庞大且机构复杂,由多个服务器构成子网,因此在防毒软件的安装方面,要采用分布部署的方法,分地域、分工段、分部门进行配置,并根据企业现有的网络构架,设立多级病毒防治管理中心,负责各自网段的病毒查杀工作。
2.网络边缘防护。网络边缘是靠近用户端的网络层面,对其进行病毒防护的方法是在部署好防病毒网关后再连接外网,全面扫描网络后安置硬件防毒墙。建议使用网神、驱逐舰、趋势,瑞星、 MacAfee等品牌防毒墙,针对HTTP、FTP协议进行查杀病毒。再配置一套符合企业网络应用需要的安全策略,控制多项网络端口,填补边缘防护缺口,建立起软硬件相结合的安全屏障。
3.防病毒管理。防毒技术是网络安全架构的技术保障,而技术需要管理制度作为保障才能发挥最大效用。制药企业防毒管理制度应包括:强制实施防病毒策略,严肃工作纪律;定期检查硬件防毒墙运行状态,调整工作参数,避免过热过劳运行;定期升级防毒软件病毒库,如有大规模病毒爆发需进行专项治理;加强移动存储介质管理,不使用来源不明的存储介质。
(三)数据备份和审计方案设计
数据备份和审计是制药企业网络安全架构的重要组件。数据备份的作用是记录各类网络信息,为查找漏洞、排除问题、安全设置提供参考。考虑到制药企业数据备份的规模及对数据安全的要求,可利用IBM公司开发的iSCSI接口,将现有SCSI接口与以太网络结合,实现服务器与IP网络储存装置的资料交换。由于备份管理软件对存储性能有重要影响,应用符合一定技术标准的备份软件,具备快速存取能力、极简管理能力和灾难恢复能力。另外,备份软件要适应当前的网络条件,能同时支持64位和32位WINDOWS系统、UNIX、IOS系统,能在常用系统平台进行主动式备份。建议采用FileGee等备份软件,实现自动备份文件,并可进行多介质服务器管理,提供集中管理备份策略。
数据备份的目的是进行数据审计,通过检索备份数据,分析数据特征和变化趋势,对企业内服务器和终端设备进行安全审计。终端设备审计方案是:调取网络数据,对各种网络应用进行识别、记录和控制,在此基础上判断网络行为正当与否,如存在安全隐患则采取紧急策略,对问题网络端口进行控制。服务器审计方案是:在数据库中提取记录企业服务器运行信息,包括网络设备、安全设备、主机、数据库和应用系统日志,作出勘察、判断与决策,防止误操作和不当操作行为,预防各种潜在的违规操作行为。
三、总结
本文立足于制药企业的网络管理实际,拟定了三项网络系统安全架构的设计要点,提出安全规划,明确建设目标。网络安全架构设计以平台安全、防治病毒、数据备份和审计为基点,兼顾了整体性和可操作性,设计出符合线程化、立体化、系统化要求的安全架构,为制药企业网络安全应用和管理提供了技术支持。
参考文献:
[1] 熊芳芳.浅谈计算机网络安全问题及其对策.电子世界.2012(11).
[2] 李健宏.网络安全综合评价方法的应用研究.计算机仿真.2011(7).
企业网络设计方案篇6
关键词:项目教学;探索;实践;项目实施
中图分类号:G642 文献标识码:B
1引言
为推动我国职业教育的改革和发展,提高我国职业院校服务经济、服务企业和就业的能力。国家教育部组织相关行业、企业专家、生产一线的技术人员及职教专家,以相关行业人力资源需求预测为基本依据,以就业为导向,以能力为本位,按照工作流程和岗位需要共同开发了以“核心课程与训练项目”为主要架构的教学指导方案,突破了职业教育以课程讲授和原理验证为主的传统教学模式,充分考虑到用人单位的需求,赢得了行业、企业的认同和支持。
笔者结合自身多年的实践教学经验,在“中小型网络构建与管理”课程的教学过程设计中,通过一系列来自生产实践和服务一线的实际工作项目组织和开展教学,将需求分析、方案设计、项目实施等环节贯穿每个项目学习中,围绕中小型网络管理人才所需的各项职业能力,精心设计和构建了多种工作环境,不但为学生提供了真实的网络环境,而且可以让学生亲身经历项目工作过程,积累必要的工作经验,从而从根本上提高解决问题的能力。
2项目教学法概述
项目教学法,是师生通过共同实施一个完整的项目工作而进行的教学活动。是将整个学习过程分解为一个个具体的工程或事件,设计出一个个项目教学方案,按行动回路设计教学思路。项目教学不仅给学生传授理论知识和操作技能,更注重培养学生的综合职业能力(知识能力、专业能力、解决问题的能力、再学习的能力、沟通能力、合作能力及生存能力)。在项目教学中,学生是教学活动的主体,占居着整个教学活动中的主导地位,而教师只是学生学习过程中的引导者、指导者和监督者。
项目教学法与传统教学法相比,主要区别表现在三个中心的转变。即由“以教师为中心转变为以学生为中心”,由“以课本为中心转变为以‘项目’为中心”,由“以课堂为中心转变为以实际经验为中心”。项目教学法与传统教学法并不是相互对立,而是有机结合、相互补充。
3项目教学的设计与实施
下面以“构建中小企业园区网”为例,简述项目教学的设计与实施。
3.1项目教学的设计
【教学设计】
网络基础知识
项目背景介绍
知识准备
项目实施
项目考核
【学习目标】
掌握网络基础知识
了解中小型企业的网络建设需求
了解如何对企业网络进行需求分析
掌握路由交换网络常用技术
掌握如何实施企业网络项目
3.2项目教学的实施
【项目名称】
构建中小企业园区网
【项目背景】
某企业计划建设自己的企业园区网络,并希望通过新建的网络,为企业提供一个安全、可靠、可扩展、高效的 网络环境,将两个办公地点连接到一起,使企业内部能够方便快捷地实现网络资源共享、全网接入Internet等目标,同时实现公司内部的信息保密隔离,并对公网进行安全访问。为确保企业网络应用系统的正常运行、安全和发展,新建的企业网络应该具备以下特性:
企业网络特性:
(1) 采用先进的网络通信技术完成企业网络的建设,连接两个相距较远的办公地点。
(2) 为了提高数据的传输效率,在整个企业网络内控制广播域的范围。
(3) 在整个企业集团内实现资源共享,确保骨干网络的高可靠性。
(4) 企业内部网络中实现高效的路由选择。
(5) 在企业网络出口对数据流量进行一定的控制。
(6) 使用较少的公网IP接入Internet。
企业网络环境:
(1) 企业具有两个办公地点,且相距较远。
(2)A办公地点部门较多,包括业务部、财务部、综合部等,为主要办公场所,因此,A办公场所的交换网络对可用性和可靠性要求较高。
(3)B办公地点只有较少办公人员,此处是Internet接入点。
(4) 公司已经申请到了若干公网IP地址,供企业内网接入使用。
(5) 公司内部使用内网地址。
【项目需求】
在接入层采用二层交换机,并且要采取一定方式分隔广播域。
核心交换机采用高性能三层交换机,且采用双核心互为备份的形式,接入层交换机分别通过2条上行链路连接到2台核心交换机,由三层交换机实现VLAN之间的路由。
2台核心交换机之间也采用双链路连接,并提高核心交换机之间的链路带宽。
接入交换机的access端口上实现对允许连接数量的控制,以提高网络的安全性。
为了提高网络的可靠性,整个网络中存在大量环路,要避免环路可能造成的广播风暴等。
三层交换机配置路由接口,与RA、RB之间实现全网互通。
RA和B办公地点的路由器RB之间通过广域网链路连接,并提供一定的安全性。
RB配置静态路由连接到Internet。
在RB上用少量公网IP地址实现企业内网到互联网的访问。
在RB上对内网到外网的访问进行一定控制,要求不允许财务部访问互联网,业务部只能访问WWW和FTP服务,而综合部只能访问WWW服务,其余访问不受控制。
【项目拓扑】
SW-A: F0/24:10.1.1.2/24
VLAN10:192.168.10.1/24
VLAN20:192.168.20.1/24
VLAN30:192.168.30.1/24
SW-B: F0/24:20.2.2.2/24
VLAN10:192.168.10.2/24
VLAN20:192.168.20.2/24
VLAN30:192.168.30.2/24
RA: F0/0:10.1.1.1/24
F0/1:20.2.2.1/24
S2/0:192.168.1.1/32
RB: F0/0:201.10.8.1/24
S2/0:192.168.1.2/32
Internet:F0/0:201.10.8.2/24
【解决方案】
(1) 在接入层交换机上划分VLAN可以实现对广播域的分隔。
(2) 划分业务部VLAN10、财务部VLAN20、综合部VLAN30,并分配接口。
(3) 交换机之间的链路配置为Trunk链路。
(4) 三层交换机上采用SVI方式(Switch Virtual Interface)实现VLAN之间的路由。
(5) 在2台三层交换机之间配置端口聚合,以提高带宽。
(6) 采用端口安全的方式实现。
(7) 整个交换网络内实现RSTP,以避免环路带来的影响。
(8) 两台三层交换机上配置路由接口,连接A办公地点的路由器RA。
(9)RA和RB分别配置接口IP地址。
(10) 在三层交换机的路由接口和RA,以及RB的内网接口上启用RIP路由协议,实现全网互通。
(11)RA和RB的广域网接口上配置PPP(点到点)协议,并用PAP认证提高安全性。
(12) 两台三层交换上配置缺省路由指向RA。
(13)RA上配置缺省路由指向RB。
(14)RB上配置缺省路由指向连接到互联网的下一跳地址。
(15) 用NAT(网络地址转换)方式,实现企业内网仅用少量公网IP地址到互联网的访问。
(16) 通过ACL(访问控制列表)实现。
【项目实施】
【任务1】在核心交换机(S3750)与接入交换机(S2126)上分别创建相应的VLAN。
【任务2】在S3750与S2126设备之间建立TRUNK链路。
【任务3】将两台S3750通过双链路相连,实现端口聚合。
【任务4】在全部交换机上配置RSTP,并指定两台三层交换机分别为根网桥和备份根网桥。
【任务5】在接入交换机的access链路上实现端口安全。
【任务6】配置三层交换机的VLAN间路由功能。
【任务7】在三层交换机的路由端口、RA和RB上配置接口IP地址。
【任务8】对RA和RB配置广域网链路,启用PPP协议和配置PAP认证。
【任务9】运用RIPV2路由协议配置企业内网的路由,用静态路由实现企业内网到互联网的访问。
【任务10】在路由器B上做NAT实现内网对外网的访问。
【任务11】为控制内网对互联网的访问,在路由器B上作访问控制列表。
3.3项目考核
3.3.1考核方式
(1) 平时考核
平时考核主要是对每个学生的到课情况、行为习惯、完成作业情况、技能测试等进行量化考核。
(2) 项目考核
小组考核
小组考核主要是对各项目小组完成每个项目任务的情况进行量化考核。
个人考核
个人考核,主要是对各项目小组的每个队员在整个项
目实施过程中,自己所承担的具体项目任务完成情况进行量化考核。
3.3.2考核内容
(1) 课程目标完成情况
课程目标:
充分掌握完成项目所必备的知识与技能
熟练掌握中小型网络的构建与管理
(2) 项目完成情况
项目设计方案
项目实施情况
项目设计报告
3.3.3考核评定
(1) 平时考核(30%)
(2) 项目考核(70%)
小组考核(50%)
项目设计方案(20%)
项目实施情况(30%)
人个考核(20%)
项目任务完成情况(10%)
项目设计报告(10%)
本项目教学模式,是以项目学习小组和实验小组为单位进行的。各项目小组的组合是良莠搭配,自由组合。各项目组长由项目小组推荐产生。在项目实施过程中,主要由项目组长按项目中的不同角色分配项目任务。通过项目小组的学习和实验,形成了“组员之间互帮互学、相互协调、相互沟通、团队合作、共同提高;各项目小组之间比学赶帮,互相竞争”的良好局面。
本项目教学内容,是按知识模块进行划分。每个知识模块都通过一个实际的项目任务来驱动。首先,对每个项目任务进行需求分析,并按照完成项目的需求安排“知识准备”环节。每个模块本着“实用够用”的理论支撑为度,“突出实践教学”环节,力求项目解决方案的设计与实施。在整个项目教学过程中,注重学生团队合作,相互协调,互相沟通,继续学习等综合能力的训练与提高。
4结束语
针对网络技术发展和现代工作实践的需求,打破传统的学科体系,开发与企业实践密切联系、理论学习与技能训练高度统一的课程,不论从理论还是实践上,对于职业教育工作者来说都是一次巨大的挑战。这不仅需要引入先进的职业教育理念,具备丰富的专业实践经验,同时,还需将实际项目解决方案与传统教学有机结合起来,以更好地培养社会需求的实用型人才。
参考文献:
[1] 汪双顶,韩立凡. 中小型网络构建与管理[M]. 高等教育出版社,2006.
企业网络设计方案篇7
关键词:网络安全技术 企业网络 解决方案
中图分类号:TN711文献标识码: A 文章编号:
随着计算机网络技术的飞速发展,自由的、开放的、国际化的Internet给政府机构、企事业单位带来了前所未有的变革,使得企事业单位能够利用Internet提高办事效率和市场反应能力,进而提高竞争力。另外,网络安全问题也随着网络技术的发展而真多,凡是有网络的地方就存在着安全隐患。在2007年1月举行的达沃斯世界经济论坛上,与会者首次触及了互联网安全问题,表明网络安全已经成为影响互联网发展的重要问题。由于因特网所具有的开放性、国际性和自由性在增加应用自由度的同时,网络安全隐患也越来越大,如何针对企业
发布于2023-05-23