认识网络、几种常用的网络拓扑图
交换协议:
VLAN技术:虚拟局域网
STP技术:生成树协议
VRRP技术:虚拟路由冗余协议
VPN:虚拟专用网络
名词解释
路由协议:http、HTTPS、tcp、ip
静态路由配置
OSPF协议
RIP协议
ACL访问控制
什么是网络?
简单点说:就是两台设备相互连通就能称为网络。
我们构建网络的目的:就是为了相互之间能够通信,而通信的目的就是为了传达信息。
(信息传达和信息接收的安全性。)
网络:被称为计算机网络,它是计算机技术和通信技术相结合的产物。
节点:这里的节点就是一个个的机房以及机房里面的设备(路由器、交换机、防火墙、PC…)
链路:就是有线和无线,有线:网络、光纤、电缆等等…
基于网络的应用有哪些?
我们平时经常用的APP,QQ,微信,游戏,办公应用都是基于网络的应用。
网络的作用:是实现信息数据的交互。
企业网络的作用?
企业网络是企业业务的支撑平台,是企业的信息中枢。
网络的生命周期?
网络的目标是为我们的企业目标和企业业务支撑去做的。
第一步:规划
组织策略:考虑公司的组织架构,就是公司有哪些部门。
业务策略:就是公司当前的业务以及公司未来需要发展的业务。比如教育行业,物流行业等等。
财务决策:公司的财务情况,能拿多少钱出来,预算是多少。
…
简要的网络设计方案。
设计:根据业务需求客户需要规划出网络拓扑图。
需求分析:就是根据组织策略,来考虑不同部门的网络配置情况。
项目计划:考虑项目进度(开始时间、完成时间)、成本多少、质量达到什么标准。
设备选购:需要购买哪些设备。CPU 内存,吞吐量够不够,支持哪些协议,带机数量
不同的接入,他们的流量是不一样的。
…
详细设计的网络方案
满足企业用户现阶段技术和业务上的需求。
实施:根据需求规划网络
新建网络:根据详细设计方案,直接进行落实。
主要点:验证/测试整个网络是否满足企业在业务和技术上需求。
对现有网络的改造:割接
运营:
保障企业网络业务能够持续、健康的运作。
主要是对设备/系统运行进行主动监控。
CPU 内存 带宽 链路带宽比例。
这些指标达到一定的预警范围,我们就需要对它进行处理(80-85%)。
考虑是否进行扩容,
可用性、可靠性、安全性
提升:
主要是围绕规划中的组织策略来的,针对的是企业网络在运营过程中遇到的问题。
为什么要分析用户需求
用户需求:企业需求(这里的用户指的就是企业);
IT应用:实际上就是将给我们的业务需求转换成我们的技术需求。(主要是由架构师和售前做的);
如何分析用户需求
- 识别网络现状:
- 通过查看现有网络的文档;
- 通过咨询相关岗位的负责人;
- 通过网络监听;
- 通过流量分析;
- 定义组织目标:
- 提升客户满意度;
- 扩展业务类型,增加服务项目;
- 增强竞争力;
- 削减开支;
- 组织限制:
- 政策、预算、人力资源、技术资源、时间安排等客观因素;
- 定义技术目标:
- 扩大网络容量;
- 简化网络管理;
- 提升网络安全;
- 增强网络可靠性;
- 定义技术限制:
- 设备限制,设备能否达到技术要求,
网络拓扑设计的原则
- 模块化设计原则:根据所承载的功能区域来划分不同的模块;
- 层次化设计原则:根据企业需求设计网络,选用二层,三层网络模型
- 性价比
- 高性能
- 可靠性
- 安全性
常见的网络拓扑
网络拓扑结构是指网络中通信线路和结点的几何排序,用于表示整个网络的结构外观,反映各结点之间的结构关系。它影响着整个网络的设计、功能、可靠性和通信费用等重要方面,是计算机网络十分重要的要素。常用的网络拓扑结构有总线型、星型、环形、树型和分布式结构等
1、总线型
优点:总线型拓扑结构其特点位置有一条双向通路,便于进行广播式传送信息;总线型拓扑结构属于分布式控制,无需*处理器,故结构简单;结点的增、删和位置的变动较容易,变动中不影响网络的正常运行,系统扩充性能好;结点的接口通常采用无源线路,系统可靠性高;设备少、价格低、安装使用方便。
缺点:由于电气信息延迟时间不确定,故障隔离和检测困难。
2、星型
在星型结构中,使用*交换单元以放射状连接到网中的各个结点。*单元采用电路交换方式以建立所希望通信的两结点间专用的路径。通常用双绞线将结点与*单元进行连接。
优点:其特点为维护管理容易,重新配置灵话, 故障保离和检测容易;网络延迟时间短;
缺点:各结点与*交换单元直接连通,各结点之间通信必须经过*单元转换;网络共享能力差;线路利用率低,*单元负荷重。
3、环型
环型结构的信息传输线路构成个封闭的环型, 各结点通过中继器连入网内,各中继器间首尾相接,信息单向沿环路连点传送。
优点:其特点为信息的流动方向是固定的,两个结点仅有一条通路, 路径控制简单;有旁路设备,结点一旦发生战障,系统自动旁路,可靠性高。
缺点:信息要串行穿过多个结点,在网中结占过多时传输效率低,系统响应速度慢;由于环路封闭,扩充较难。
4、树型
树型结构是总线型结构的扩充形式,传输介质是不封闭的分支电缆,他主要用于多个网络组成的分级结构中,其特点同总线型网。
5、分布式
分布式结构无严格的布点规定和形状,个结点之间有多条线路相连。
优点:其特点为有较高的可靠性,当一条线路有故障时,不会影响整个系统工作;资源共享方便,网络响应时间短。
缺点:由于结点也多个结点连接,故结点的路由选择由选择和流量控制难度大,管理软件复杂,硬件成本高。
广域网与局域网所使用的网络拓扑结构有所不同。广域网多采用分布式或树型结构,局域网常用总线型、环型、星型或树型结构
网络设计的基本原则
可靠性:要求网络在发生一定的故障时,仍然能够保证承载的业务不中断
可扩展性:要求网络能够支持不断增加的业务量。
可运营性:保证网络的运行和维护
可管理性:要求网络提供标准的管理手段,便于监控和维护
成本问题:综合考虑,选择性价比高的网络设计方案。
企业网络设计的基本流程是什么
对于小型企业来说,一般参照到IP连通这个步骤。
大型企业基本上就可以参照这个流程来。
网络设计的方法和思路
模块化的设计方法、层次化的设计方法 —要求掌握、理解
自上而下的设计思路和自下而上的设计思路 —了解
优缺点
网络架构
三层网络架构:接入层–>汇聚层–>核心层;
适用场景–通常用于大型网络的构建,需要通过IP路由实现跨网段的通讯;
二层网络架构:接入层–>汇聚层或者核心层;
它的组网能力是非常有限的,一般用于中小型局域网;
层次化设计的优点:
- 节约成本
- 容易理解
- 有利于模块化
- 有利于故障隔离
模块化设计:将一个企业网络按照功能的不同,分为了不同的模块,不同的模块有不同的需求和特点;
一般企业网络使用三层网络结构:
接入层:终端的接入、访问控制;
汇聚层:路由汇聚、流量收敛;
核心层:高速数据转发、要求高可靠性。
层次化设计:
自上而下:从应用层入手考虑,因为网络最终是要支持上层应用的。
DMZ:非军事区域(官方称呼),互联网服务区或者互联网隔离区(民间称呼);
模块的安全等级:
安全等级由低到高:
陌生访客–>分支机构–>DMZ–>数据中心/服务器群–>管理中心;
分支机构一般有固定的地址;
管理中心存储着高权限的账号,一旦被入侵,对整个网络危害最大;
模块化设计的好处:
1.每一个模块相对独立,可以单独构建这个模块里面需要的一些结构,模块之间相互没有影响;
2.便于扩容;
3.便于管理,不同模块有不同的安全策略;
安全域和边界:
企业网络的经典结构就是基于安全域的网络结构,一般包括企业数据中心,企业办公内网,DMZ区,广域网和Internet几个部分。基本结构如下图所示。
企业网络各个区域之间通信受到限制,区域内部通信多不进行限制。
为了保障企业的信息安全,我们应该从哪几个方面入手?
1、终端计算机
2、互联网出入口
3、广域网出入口
4、公司对外发布服务的DMZ服务器
5、VPN和类似远程连接设备。
上述五个方面,基本涵盖了公司网络边界的几个方面。
对公司网络边界进行防护,仅仅是做好公司信息安全防护工作的第一步。
那么接下来我们应该考虑什么呢?
当然是如果上述五个方面被黑客攻陷了,那么我们还拿什么进行防护?
这就涉及到了黑客攻击的几个步骤,黑客提权或者拿到设备权限之后,第一件事就是想知道我们的内网是什么样子的。
那么,他们一定会进行内网扫描。而网络扫描这种事情,又是一种特征非常明显的网络攻击行为,非常易于识别。
这就要求我们企业安全管理人员要重点关注内网扫描,做好被攻击后的进一步防护工作。
由于上述5个方面易于被黑客攻陷,易于产生信息安全问题,那么我们就不能让这些区域可直接访问我们的核心资源。因此,需要进行安全域划分。同时,我们也要在各个高风险安全域的核心交换机上部署IDS,做好网络安全监控,并且在安全域出入口处部署防火墙,针对IDS产生的报警及时切断相关网络访问路径,保障损失的最小化。
于是,企业网络安全的基本中的基本要求就是根据面临的风险,划分安全域,在安全域之间部署防火墙,在每个安全域内部署IDS。这也是我个人理解的网络安全域划分的本质安全需要。
本文地址:https://blog.csdn.net/tryheart/article/details/107471119