网络建设方案.docx

网络建设方案.docx

《网络建设方案.docx》由会员分享，可在线阅读，更多相关《网络建设方案.docx（8页珍藏版）》请在冰豆网上搜索。

网络建设方案

Companynumber：

【0089WT-8898YT-W8CCB-BUUT-202108】

网络建设方案

网络建设方案

一、前言

XXX集团有限公司旗下有三个分公司：

1#公司、2#公司、3#公司。

由于新厂房的建立，故需要建立一套完整、安全的网络系统。

二、建设需求

1.公司使用2台核心交换机（冗余备份），连接所有网络设备，并把所有服务器连接到该核心交换机上，划分到一个单独的VLAN中。

2.接入层交换机连接所有的终端用户，并把管理层人员和普通的办公人员划分到不同的VLAN中。

3.公司的管理层人员可以访问普通办公人员的计算机，但普通办公人员不能访问管理层人员的计算机。

4.所有用户的计算机都采用DHCP的方法获得IP地址。

5.公司采用Linuxiptables防火墙+路由器上网。

公司申请一条100M带宽光纤上网（分两条线路，一条40M，一条60M；要求：

服务器占用40M，供外网用户访问，局域网用户占用60M出口访问INTERNET）。

6.公司采用微软的域管理方法，对所有用户的账号和权限通过AD来管理。

7.公司内部要有自己的邮件服务器，并可以和INTERNET的邮件服务器实现收发邮件。

8.公司的防病毒采用统一集中的网络管理模式。

9.严格控制上网时间。

10.出差用户能方便的访问公司内部资料。

三、总体架构

1.根据需求所规划出的整个公司网络系统的拓扑结构图如下图所示：

2.根据规划出的网络拓扑图所分配的整个公司网络中VLAN及IP编址方案如下：

VLAN号

子网名称

IP范围

网关

VLAN名称

管理IP

10

办公楼1

0/24

OFFICE1

20

办公楼2

/24

OFFICE2

30

普通人员

/24

LABORIALSTAFF

40

管理层人员

0/24

MANAGER

91

宿舍楼1

.0/24

.254

Dormitory1

.252

92

宿舍楼2

.0/24

Dormitory2

93

宿舍楼3

1

Dormitory3

94

宿舍楼4

Dormitory4

95

宿舍楼5

Dormitory5

.252

96

厂房1

Workshop1

97

厂房2

Workshop2

98

厂房3

Workshop3

99

厂房4

Workshop4

90

厂房5

Workshop5

100

服务器集群

WEB

FTP

EXCHANGE

DHCP

LINUXIPTABLES

内网

电信提供

外网（40M）

四、总体设计

1.配置防火墙：

创建规则，允许内网用户使用客户端邮件，严格控制人员上网权限，启用VPN服务。

2.发布内部邮件服务器和WEB服务器。

3.配置核心交换机，创建VLAN，划分端口，添加路由表，配置接口地址。

4.安装域服务器，创建DC，并在DC服务器上安装DNS服务，建立域账号，

5.安装邮件服务器并加入域，给相应员工创建邮箱，设置邮箱大小为500M，附件20M，启用POP3功能，以便能够使用客户端软件来收发邮件。

6.安装DHCP服务器并加下域，创建地址池，用来给客户机提供DHCP服务，自动获得IP地址。

7.安装配置MCAFEE病毒统一管理服务器并加入域，升级病毒库到最新。

8.配置二层交换机，分配相应端口到相应的VLAN中，配置接口地址。

9.安装文件服务器并加入域，创建用户名和密码，设置相应权限。

10.配置客户机相应权限，管理层人员的计算机权限无限制，设置其IP地址与MAC地址绑定，防止其他人员非法盗用其IP地址，导致局域网内人员ARP冲突。

普通人员的计算机默认只开通邮件系统，并只能用客户端软件，用来收发邮件。

如有工作需要，要开通相应权限，请申请填写开通权限申请表，经总经理签字确认方可开通其权限。

五、服务器选择

服务器是网络上不可缺少的资源，它为网络环境提供共享资源。

所以作为网络应用的核心，服务器必需具有高可靠性、高性能、高吞吐能力、大内存容量等特点，并且具有强大的网络功能友好的人机界面。

根据网络需求，所需的服务器如下：

主服务器：

负责整个公司网络的管理、共享资源的管理等。

包括

1.FTP服务器：

负责公司网内的文件共享和传输。

2.DHCP服务器：

负责所有公司客户机的IP地址自动获取工作。

3.EXCHANGE服务器:

负责公司内所有邮件的管理。

4.WEB服务器：

负责远程服务管理及WEB站点管理。

WEB服务器采用现在比较流行的LAMP环境搭建。

六、主交换机的选择

在企业网络中，采用以太网交换机作为主干，其技术、设计管理简单。

但作为主干的交换机必须满足以下条件：

1.高带宽-------整个网络的带宽需求，满足企业网络中的数量流量。

2.可扩展性------具有良好的可扩展性，满足企业网络不停发展的需要。

3.兼容性-------具有良好的兼容性，满足企业网络设备的多样性。

七、活动目录

1.服务器与客户端系统的建设

主域控制器为公司的核心服务器，使用Windows2003企业版操作系统，并搭建额外的域控制器，以提供核心服务器的冗余。

利用核心服务器对公司所有员工的账户及公司内部的其他计算机实现集中和统一管理，使公司的网络系统管理尽可能集中和简单，并具备一定的扩展能力。

公司的系统管理结构能充分地和公司管理结构相吻合，实现从公司到部门再到员工的管理层次，各部门的网络资源也实现集中管理。

根据不同部门的需求实现不同的安全级别。

公司内所有员工在网络中有唯一的标识，所有员工使用统一的标识，能够方便的使用网络中的计算机。

员工信息按部门集中存储在域控制器上，员工标识的设置和使用满足系统安全的需要，避免账户被盗用和非法使用网络资源。

公司安全规范的实施以部门为对象，避免针对单个员工做具体安全设置。

公司文档管理采用集中管理的方式并实现文件级的安全设置，可以根据公司董事长、部门的不同需求分别设置相应的存储设置。

董事长能够访问并管理所有文档，并且不限制存储容量。

部门主管及员工只能使用本部门的文档，主管能够进行管理。

对部门文档可以做存储容量的限制，避免资源的浪费和滥用。

每个存储位置在活动目录中是可查询的。

员工在客户机上可以方便地连接到需要的网络资源。

2.系统的安全措施与策略

公司整个网络采用统一的安全规则，在域控制器上设置和控制对所有用户和计算机的安全规则。

员工需要设置安全的密码，并能够登录到本部门的计算机。

利用适当的系统策略防止非法用户对密码和账户的攻击。

财务部资源具有更高的安全设置，对于财务部文件的访问和操作，系统将记录操作的用户及时间等信息。

员工的桌面、开始菜单、我的文档、以及其他指定的设置“绑定”到员工的帐户上，使其在域内更换客户机登陆时仍能拥有以前的工作环境。

在部门内实现统一的软件的安装、删除、修复、升级部署。

●用户帐户集中管理

●禁止员工设置的口令少于7位

●防止其他员工盗用帐户

●记录和审计员工登陆和访问公司文档的行为

●按部门管理帐户

●用户在不同客户端享受相同的个人配置

●部门内统一部署软件

3.服务器系统设计

1.域控制器

域控制器作为整个网络的核心服务器，当域控制器失效时，整个域将处于瘫痪状态，因此需要充分保证其可靠性。

我们通过为主域控制器搭建额外的域控制器，为网络提供不间断的域控制器支持，当主域控制器失效时，额外的域控制器会自动升级为主域控并代替其作用。

2.域结构规划

根据网络规模及集中管理和结构简单的原则，整个网络系统目前规划为单域结构，在域内按照部门名称分别建立组织单位（OU），用于存储和管理各部门的用户和共享文件夹。

整个系统结构与公司管理结构相匹配。

最上层的管理单元为域，域名,下层的管理单元是组织单元（OU），各部门的组织单元命名按照部门名称的汉语拼音全拼设置。

根据网络结构的变化和未来公司结构的扩展，此结构可以方便地增加和减少组织单元，为分公司建立新的子域，充分满足了可扩展性和可伸缩性的要求。

3.用户账户规划

根据部门名称创建组织单位（OU），在OU内建立本部门员工的帐户和包括本部门所有帐户的全局组。

根据公司员工的组织结构，为每名员工建立唯一的域用户账户，全部员工账户采用统一的命名规范。

登陆名为“中文姓氏汉语拼音全拼．中文名字汉语拼音全拼”。

用户全名为员工的中文姓名。

当出现名称相同时，在名称后添加生日的月份来区分。

用户账户描述为该员工的职务。

全部员工账户密码设置采用初始密码zjmh1234#，并设置策略要求用户在第一次登录时更改密码。

示例：

财务部部门主管张宇

登录名：

全名：

张宇

描述：

财务部主管

初始密码：

zjmh1234#

建立位置：

OU:

caiwu

为了实现权限管理的简单化，整个网络系统采用对用户组分配权限，每个部门的OU设置一个全局组，该组中包含该部门所有员工的用户账户。

除董事长及部门主管外，权限的分配均以各部门的全局组为对象，董事长及部门主管的权限单独分配。

所有用户组采用统一的命名规范，组名为部门名的汉语拼音全拼。

示例：

财务部

组名：

caiwubu

组的成员：

财务部主管、财务一、财务二

建立位置：

OU:

caiwu

八、文件服务器

通过设置专用的文件服务器完成公司文档的集中管理，在文件服务器上为部门建立专用的文件夹，以部门名字的汉语拼音全拼，存储部门文档。

服务器采用大容量磁盘和Windows系统特有的NTFS文件系统，实现文件级的安全。

员工可以通过映射网络驱动器访问服务器上的文档，就像在本地访问资源一样简单快捷。

在服务器上使用NTFS文件系统中提供的磁盘配额功能可保障存储空间得到有效合理的利用。

计算机名：

Filesrv

系统配置：

文件服务器硬盘至少划分为两个分区，分别为C盘和D盘，C盘为主分区，安装操作系统，容量10G以上。

D盘为逻辑分区，用于存储共享文档。

两个分区均采用NTFS文件系统。

在D盘上建立文件夹share并共享，共享名为share。

在share文件夹下根据部门分别建立文件夹并以部门名称命名。

文件服务器利用共享权限和NTFS权限实现文件级安全，董事长对所有文件拥有全部权限，部门主管只对本部门文件拥有全部权限，普通员工只对本部门文件夹拥有读写权限。

董事长能够访问所有文件夹和文档，部门员工和主管无法访问其他部门的文件夹。

具体权限设置见表：

文件夹名

共享权限

NTFS权限

D:

\share

everyone组完全控制

董事长完全控制，everyone列出文件夹目录

D:

\share\董事长

无

董事长完全控制

D:

\share\财务部

无

全局组caiwubu读写、董事长完全控制、财务主管完全控制

D:

\share\行政部

无

全局组xingzhengbu读写、董事长完全控制、行政主管完全控制

D:

\share\人事部

无

全局组renshibu读写、董事长完全控制、人事主管完全控制

文件服务器可以采用Windows系统提供的磁盘配额功能来控制各文件夹空间占用。

可以在D盘启用磁盘配额，根据需要分别限制4个部门文件夹最大磁盘使用量和警告级别，例如将每个部门的存储空间都限制为10G，当占用空间达到9.5G时发出警告。

董事长的文件夹不受限制。

在活动目录中发布share共享文件夹，员工即使不知道资源位于哪台服务器上，也能通过目录服务搜索和查询到所需的资源。

九、防病毒服务器和ERP服务器

将已有的Mcafee防病毒服务器和ERP服务器加入域中。

客户端计算机采用主流的WindowsXPP