现在100个左右的节点的办公网络逐渐流行,使用合适的设备,不仅可以节约构建网络的费用,同时可以保持网络的稳定,更方便日后升级。在此,介绍如何组建一个100个左右的节点的办公网络。
在这里,首先简单说说路由器和防火墙的主要区别。一般来说,防火墙的主要功能是访问控制,它可以管到OSI第七层,在进行访问控制的时候还能阻挡攻击,比如当时的冲击波、震荡波,通过封掉其端口可以阻挡这些病毒攻击。而路由器的主要优势体现为访问提供路由,它工作在第三层,也能进行访问控制,但是使用比较繁琐,对路由器的性能影响比较大,一般不建议在路由器上做访问控制。另外,比如做nat,一般使用防火墙实现地址转换,而用路由器做地址转换的数量一般较少,且对其性能影响也是比较大的。所以现在有一种说法,就是城市已经开始使用防火墙了,而农村才开始使用路由器。当然这种说法并不确切,不过就是反映了在网络设计中,防火墙已经可以替代传统的路由器了。
说这么多,主要就是在这个100个节点的办公网络环境中,推荐使用防火墙来替代路由器。
再次,推荐使用神州数码DCFW-1800s防火墙。在100个节点的办公网络中,网络应用比较简单。直接使用1800s做nat转换网络即可运行。假如对访问控制有要求,如封锁某些游戏端口,也可以在此实现。而1800s可实现nat数量大概在300左右,方便以后办公环境扩充。性能较高的防火墙做nat也达不到300。
神州数码DCFW-1800s防火墙是一款功能强大、性能卓越的的网络安全设备。DCFW-1800s基于高速稳定的硬件平台,并采用经过安全加固的专用操作系统,因此具备极高的安全性和可靠性。此款防火墙性价比极高,将高速的数据处理能力、高度的安全性及简单易用等特性有机地结合在一起,为用户网络提供坚实可靠的保护,当然假如网络的应用部要求很复杂的话,只要做nat转换即可。
DCFW-1800S系统提供多种网络接口,标准配置的三个接口分别为:LAN(内部网)、DMZ(Demilitarized Zone)以及外部网。其中LAN 是不对外开放的区域,外部用户检测不到它的ip 地址,难以对它进行攻击,DMZ 区又称为停火区,或安全网络(SSN),它对外提供服务,系统的开放信息都放在该区(如HTTP、SMTP、DNS、FTP 等)。由于DMZ 和内部网是互相隔离的,所以即使受到攻击也不会危及内部网。这种安全的体系结构使得LAN、DMZ 和外部网分工明确,界限分明,防止因其中一部分瘫痪而影响整个网络。
DCFW-1800S有以下基本功能:(1)基于状态检查的包过滤(2)透明代理和应用代理(3)网络地址转换:DCFW-1800S支持多种方式的网络地址转换,包括静态地址转换(1:1即将一个内网ip转换为1个公网ip)、动态地址转换(N:1,N:N多个内网ip转换为1个或多个公网ip)、DMZ 区的非凡地址转换、负载均衡。网络中,为满足多节点上网要求一般都使用动态地址转换;而开放服务器等则使用静态地址转换(4)用户认证(5)内容过滤(6)日志、审计(7)告警(8)统计(9)命令行:DCFW-1800S提供专业人员熟悉和喜欢的命令行配置界面(10)多种配置治理界面(11)图形界面配置治理(12)透明网桥功能(13)时间对象:在防火墙的过滤规则中的时间对象,是指在时间对象规定的时间段内规则生效,在其他时间段规则无效(14)配置向导:通过分步界面引导用户如何配置防火墙基本信息(15)许可证(license)(16)内网复杂结构的简单配置(17)抵御DoS 攻击(18)带宽治理:防止某些用户或通讯大量占用带宽,既能避免造成网络阻塞甚至瘫痪,又能保证系统即使在网络繁忙时也可以正常工作(19)流探测(20)WeBTrends 接收syslog(21)ssh远程登录治理的功能(22)DHCP 及PPPoE(23)网口别名(24)接口固定功能(25)多级治理用户:神州数码防火墙支持多级用户治理,将治理用户的操作权限分为三种:只读、读写、无权限。
交换机主要是为了实现信息帧的转发。在此,可以使用二层交换机,也可以使用非网管交换机。友迅低端网络产品在国内是有口皆碑的。另外,也为了使用简单且为了节省费用,在100个节点的网络环境中选用了友迅傻瓜交换机D-Link DES-1024DG。
DSE-1024DG是高端口密度10/100Mbps桌面型交换机,能够为台式机提供低成本的千兆上行服务器连接。它可以提供22口的10/100BASE-TX以太网端口和2个1000BASE-T千兆铜缆端口,这些端口可检测到网络速率并可在10BASE-T和100BASE-TX之间以及全双工和半双工之间自适应。此外,所有端口均支持流量控制。当接收缓冲区已满的情况下,通过发出“冲突”信号使失效包减到最小。
这款交换机是来自PC连接的理想选择。将5台D-Link DES-1024DG级联起来,便可以满足100多台的办公PC接入。
使用神州数码DCFW-1800S防火墙以及5台级联的D-Link DES-1024DG便可实现一个稳定方便升级的办公网络了,该网络能满足100个以上的PC同时上网的需求。
大概设置如下:
(1) 将1800S的外网口设为所申请到的合法的公网ip,内网口设一个私有ip,直接接一台交换机。
(2) 所以交换机所带的节点设为和内网口ip同一网段,网关指向内网口ip。
(3) 在防火墙上做,将所有私网ip用动态地址转换转换为合法的公网ip。
一个满足最简单的上网要求的100个左右节点的办公网络即设计成功,该网络也可以扩充到更多个节点。希望此文对各位网友设计这 样的网络有所帮助。
