交换协议:
VLAN技术:虚拟局域网
STP技术:生成树协议
VRRP技术:虚拟路由冗余协议
VPN:虚拟专用网络
名词解释
路由协议:http、HTTPS、tcp、ip
静态路由配置
OSPF协议
RIP协议
ACL访问控制
什么是网络?
简单点说:就是两台设备相互连通就能称为网络。
我们构建网络的目的:就是为了相互之间能够通信,而通信的目的就是为了传达信息。
(信息传达和信息接收的安全性。)
网络:被称为计算机网络,它是计算机技术和通信技术相结合的产物。
节点:这里的节点就是一个个的机房以及机房里面的设备(路由器、交换机、防火墙、PC…)
链路:就是有线和无线,有线:网络、光纤、电缆等等…
基于网络的应用有哪些?
我们平时经常用的APP,QQ,微信,游戏,办公应用都是基于网络的应用。
网络的作用:是实现信息数据的交互。
企业网络的作用?
企业网络是企业业务的支撑平台,是企业的信息中枢。
网络的生命周期?
网络的目标是为我们的企业目标和企业业务支撑去做的。
第一步:规划
组织策略:考虑公司的组织架构,就是公司有哪些部门。
业务策略:就是公司当前的业务以及公司未来需要发展的业务。比如教育行业,物流行业等等。
财务决策:公司的财务情况,能拿多少钱出来,预算是多少。
…
简要的网络设计方案。
设计:根据业务需求客户需要规划出网络拓扑图。
需求分析:就是根据组织策略,来考虑不同部门的网络配置情况。
项目计划:考虑项目进度(开始时间、完成时间)、成本多少、质量达到什么标准。
设备选购:需要购买哪些设备。CPU 内存,吞吐量够不够,支持哪些协议,带机数量
不同的接入,他们的流量是不一样的。
…
详细设计的网络方案
满足企业用户现阶段技术和业务上的需求。
实施:根据需求规划网络
新建网络:根据详细设计方案,直接进行落实。
主要点:验证/测试整个网络是否满足企业在业务和技术上需求。
对现有网络的改造:割接
运营:
保障企业网络业务能够持续、健康的运作。
主要是对设备/系统运行进行主动监控。
CPU 内存 带宽 链路带宽比例。
这些指标达到一定的预警范围,我们就需要对它进行处理(80-85%)。
考虑是否进行扩容,
可用性、可靠性、安全性
提升:
主要是围绕规划中的组织策略来的,针对的是企业网络在运营过程中遇到的问题。
为什么要分析用户需求
用户需求:企业需求(这里的用户指的就是企业);
IT应用:实际上就是将给我们的业务需求转换成我们的技术需求。(主要是由架构师和售前做的);
如何分析用户需求
- 识别网络现状:
- 通过查看现有网络的文档;
- 通过咨询相关岗位的负责人;
- 通过网络监听;
- 通过流量分析;
- 定义组织目标:
- 提升客户满意度;
- 扩展业务类型,增加服务项目;
- 增强竞争力;
- 削减开支;
- 组织限制:
- 政策、预算、人力资源、技术资源、时间安排等客观因素;
- 定义技术目标:
- 扩大网络容量;
- 简化网络管理;
- 提升网络安全;
- 增强网络可靠性;
- 定义技术限制:
- 设备限制,设备能否达到技术要求,
网络拓扑设计的原则
- 模块化设计原则:根据所承载的功能区域来划分不同的模块;
- 层次化设计原则:根据企业需求设计网络,选用二层,三层网络模型
- 性价比
- 高性能
- 可靠性
- 安全性
常见的网络拓扑
网络拓扑结构是指网络中通信线路和结点的几何排序,用于表示整个网络的结构外观,反映各结点之间的结构关系。它影响着整个网络的设计、功能、可靠性和通信费用等重要方面,是计算机网络十分重要的要素。常用的网络拓扑结构有总线型、星型、环形、树型和分布式结构等
1、总线型
优点:总线型拓扑结构其特点位置有一条双向通路,便于进行广播式传送信息;总线型拓扑结构属于分布式控制,无需中央处理器,故结构简单;结点的增、删和位置的变动较容易,变动中不影响网络的正常运行,系统扩充性能好;结点的接口通常采用无源线路,系统可靠性高;设备少、价格低、安装使用方便。
缺点:由于电气信息延迟时间不确定,故障隔离和检测困难。
2、星型
在星型结构中,使用中央交换单元以放射状连接到网中的各个结点。中央单元采用电路交换方式以建立所希望通信的两结点间专用的路径。通常用双绞线将结点与中央单元进行连接。
优点:其特点为维护管理容易,重新配置灵话, 故障保离和检测容易;网络延迟时间短;
缺点:各结点与中央交换单元直接连通,各结点之间通信必须经过中央单元转换;网络共享能力差;线路利用率低,中央单元负荷重。
3、环型
环型结构的信息传输线路构成个封闭的环型, 各结点通过中继器连入网内,各中继器间首尾相接,信息单向沿环路连点传送。
优点:其特点为信息的流动方向是固定的,两个结点仅有一条通路, 路径控制简单;有旁路设备,结点一旦发生战障,系统自动旁路,可靠性高。
缺点:信息要串行穿过多个结点,在网中结占过多时传输效率低,系统响应速度慢;由于环路封闭,扩充较难。
4、树型
树型结构是总线型结构的扩充形式,传输介质是不封闭的分支电缆,他主要用于多个网络组成的分级结构中,其特点同总线型网。
5、分布式
分布式结构无严格的布点规定和形状,个结点之间有多条线路相连。
优点:其特点为有较高的可靠性,当一条线路有故障时,不会影响整个系统工作;资源共享方便,网络响应时间短。
缺点:由于结点也多个结点连接,故结点的路由选择由选择和流量控制难度大,管理软件复杂,硬件成本高。
广域网与局域网所使用的网络拓扑结构有所不同。广域网多采用分布式或树型结构,局域网常用总线型、环型、星型或树型结构
网络设计的基本原则
可靠性:要求网络在发生一定的故障时,仍然能够保证承载的业务不中断
可扩展性:要求网络能够支持不断增加的业务量。
可运营性:保证网络的运行和维护
可管理性:要求网络提供标准的管理手段,便于监控和维护
成本问题:综合考虑,选择性价比高的网络设计方案。
企业网络设计的基本流程是什么
对于小型企业来说,一般参照到IP连通这个步骤。
大型企业基本上就可以参照这个流程来。
网络设计的方法和思路
模块化的设计方法、层次化的设计方法 —要求掌握、理解
自上而下的设计思路和自下而上的设计思路 —了解
优缺点
网络架构
三层网络架构:接入层–>汇聚层–>核心层;
适用场景–通常用于大型网络的构建,需要通过IP路由实现跨网段的通讯;
二层网络架构:接入层–>汇聚层或者核心层;
它的组网能力是非常有限的,一般用于中小型局域网;
层次化设计的优点:
- 节约成本
- 容易理解
- 有利于模块化
- 有利于故障隔离
模块化设计:将一个企业网络按照功能的不同,分为了不同的模块,不同的模块有不同的需求和特点;
一般企业网络使用三层网络结构:
接入层:终端的接入、访问控制;
汇聚层:路由汇聚、流量收敛;
核心层:高速数据转发、要求高可靠性。
层次化设计:
自上而下:从应用层入手考虑,因为网络最终是要支持上层应用的。
DMZ:非军事区域(官方称呼),互联网服务区或者互联网隔离区(民间称呼);
模块的安全等级:
安全等级由低到高:
陌生访客–>分支机构–>DMZ–>数据中心/服务器群–>管理中心;
分支机构一般有固定的地址;
管理中心存储着高权限的账号,一旦被入侵,对整个网络危害最大;
模块化设计的好处:
1.每一个模块相对独立,可以单独构建这个模块里面需要的一些结构,模块之间相互没有影响;
2.便于扩容;
3.便于管理,不同模块有不同的安全策略;
安全域和边界:
企业网络的经典结构就是基于安全域的网络结构,一般包括企业数据中心,企业办公内网,DMZ区,广域网和Internet几个部分。基本结构如下图所示。
企业网络各个区域之间通信受到限制,区域内部通信多不进行限制。
为了保障企业的信息安全,我们应该从哪几个方面入手?
1、终端计算机
2、互联网出入口
3、广域网出入口
4、公司对外发布服务的DMZ服务器
5、VPN和类似远程连接设备。
上述五个方面,基本涵盖了公司网络边界的几个方面。
对公司网络边界进行防护,仅仅是做好公司信息安全防护工作的第一步。
那么接下来我们应该考虑什么呢?
当然是如果上述五个方面被黑客攻陷了,那么我们还拿什么进行防护?
这就涉及到了黑客攻击的几个步骤,黑客提权或者拿到设备权限之后,第一件事就是想知道我们的内网是什么样子的。
那么,他们一定会进行内网扫描。而网络扫描这种事情,又是一种特征非常明显的网络攻击行为,非常易于识别。
这就要求我们企业安全管理人员要重点关注内网扫描,做好被攻击后的进一步防护工作。
由于上述5个方面易于被黑客攻陷,易于产生信息安全问题,那么我们就不能让这些区域可直接访问我们的核心资源。因此,需要进行安全域划分。同时,我们也要在各个高风险安全域的核心交换机上部署IDS,做好网络安全监控,并且在安全域出入口处部署防火墙,针对IDS产生的报警及时切断相关网络访问路径,保障损失的最小化。
于是,企业网络安全的基本中的基本要求就是根据面临的风险,划分安全域,在安全域之间部署防火墙,在每个安全域内部署IDS。这也是我个人理解的网络安全域划分的本质安全需要。
