逻辑网络设计

《网络工程规划与设计》 

      -- 逻辑网络设计

1.网络主要拓补结构图

图1.1  网络拓补图

二、地址及命名模型设计

1.地址

在该网络中，地址分配以核心路由为中心，将不同部分划分不同的网段，地址由DHCP服务器提供，主要是根据核心路由划分的VLAN进行地址分配。

2.命名模型

命名的方式主要是以各个网络设备的所处环境或设备所体现的功能来命名，这样能够做到顾名思义，容易理解，更为以后机器出故障时能够快速的定位及维护修理。

三、交换和路由协议的选择    

1.设备选择

在本网络中，选用了一个核心三层交换机，还有一个防火墙及路由器，同时在内部拥有5个工作组交换机，及多个服务器。在配置现有网络的同时，还做好了未来几年内网络扩展的需求及准备。

2.协议选择

（1）.在网络接入层设置的路由器配置了OSPF协议，    

适应范围广——支持各种规模的网络，最多可支持几百台路由器。

收敛快速——在网络的拓扑结构发生变化后立即发送更新报文，使这一变化在自治系统中同步。

无自环——OSPF根据收集到的链路状态用最短路径树算法计算路由，从算法本身保证了不会生成自环路由。

区域划分管理——允许自治系统的网络被划分成区域来管理，区域间传送的路由信息被进一步抽象，从而减少了占用的网络带宽。

路由分级——使用4类不同等级的路由，按优先顺序来说分别是：区域内路由、区域间路由、第一类外部路由、第二类外部路由。

支持验证。——支持基于接口的报文验证以保证路由计算的安全性。

可以多播发送——在有多播发送能力的链路层上以多播地址收发报文，既达到了广播的作用，又最大程度地减少了对其它网络设备的干扰。

（2）.在三层交换机上配置了VLAN

端口的分隔——在同一个交换机上，处于不同VLAN的端口也是不能通信的。这样一个物理的交换机可以当做多个逻辑的交换机使用。

网络的安全——VLAN不能直接通信，杜绝了广播信息的不安全性。

灵活的管理——用户所属的网络不必换端口和连线，只改软件配置就可以了。

（3）.在三层交换中设置ACL访问控制列表

ACL可以网络流量、提高网络性能。

ACL提供对通信流量的控制手段。 

ACL是提供网络安全访问的基本手段。

ACL可以在路由器端口处决定哪种类型的通信流量被转发或被阻塞。　 

数据包只有在跟第一个判断条件不匹配时，它才被交给ACL中的下一个条件判断语句进行比较。如果匹配（假设为允许发送），则不管是第一条还是最后一条语句，数据都会立即发送到目的接口。如果所有的ACL判断语句都检测完毕，仍没有匹配的语句出口，则该数据包将视为被拒绝而被丢弃。 

四、网络安全策略设计

1.物理安全

顾名思义，物理安全就是物理上的安全。这是在通过物理上设备来达到安全，包括设备存放的位置，还有设备的保密性。这就要求公司必须有专门的房间或场所来存放设备，来保证设备的安全。可想而知，设备放置在封锁的房间与放置在路口的差异所在。

2.逻辑安全

逻辑安全就通过一系列的路由及交换设置来达到安全的目的。在该网络中，核心交换机设置了VLAN，进行网络的分割，同时阻止了广播的横行。

同时，在核心路由中设置了ACL访问控制列表，将经理室的权限扩大，可以访问任意一个网段，同时将研发部门和管理部门设置访问权限各不同，做到权限合理从而达到网络安全的目的。