中小型企业局域网的组建与管理Word下载.docx
《中小型企业局域网的组建与管理Word下载.docx》由会员分享,可在线阅读,更多相关《中小型企业局域网的组建与管理Word下载.docx(17页珍藏版)》请在冰豆网上搜索。
沈阳职业技术学院毕业论文
作者:
_________________________
沈阳职业技术学院
董凤服
指导教师:
单位:
协助指导教师:
论文提交日期:
2010年10月日
毕业学校:
独 创 性 说 明
本人郑重声明:
所呈交的论文是我个人在导师指导下进行的研究工作及取得的研究成果。
尽我所知,除了文中特别加以标注和致谢的地方外,论文中不包含其他人已经发表或撰写的研究成果,也不包含为获得沈阳职业技术学院或其他教育机构的证书所使用过的材料。
与我一同工作的同志对本研究所做的任何贡献均已在论文中做了明确的说明并表示了谢意。
签名:
___________日期:
____________
关于论文使用授权的说明
本人完全了解沈阳职业技术学院有关保留、使用毕业论文的规定,即:
学校有权保留送交论文的复印件,允许论文被查阅和借阅;
学校可以公布论文的全部或部分内容,可以采用影印、缩印或其他复制手段保存论文。
___________导师签名:
摘要:
随着信息技术的快速发展,小型商用企业的业务将进一步的电子化,与Internet的联系将更加紧密。
他们也需要信息基础平台去支撑业务高速发展。
这样没有信息技术背景的企业也将会对网络建设有主动诉求。
任何决策的科学性和可靠性都是以信息为基础的,信息和决策是同一管理过程中的两个方面,因此行业信息化也就成了人们所讨论并实践着的重要课题,众多行业巨擘纷纷上马各种应用方案且取得了巨大的成功,使信息化建设更具吸引力。
相对于大型应用群体而言,中小型企业的信息化建设工程通常有规模较小,结构简单的特点,综合资金投入、专业人才以及未来发展等因素,网络的实用性、安全性与拓展性(升级改造能力)是中小企业实现信息化建设的主要要求,因此,成本低廉、操作简易、便于维护并能满足业务运作需要的网络办公环境是这一领域的真正需求。
针对绝大多数中小型企业集中办公这一现实特点,我们设计的中小企业信息化常用解决方案,能够较好地发挥企业网的使用效果和水平,具有很强的代表性。
关键字:
应用场景网络方案局域网路由器交换机以太网光纤规划分析
1
需求分析
随着互联网应用的普及,电子商务有了实质性的进展。
对于一个企业来说,产品的介绍、销售、技术服务和售后服务等越来越多地采用网络的形式来完成,最主要的优点是:
方便、快捷和成本低廉。
目前小型企业往往采用在互联网络上申请主页空间或采用网络主机托管的方式,这种方式在应用上很明显有些不方便之处,所能提供的服务类型单一,并且资料数据都是放在别人的计算机上,让别人来管理。
对于大型企业和有机密数据的单位,往往不会采用这种方式,他们会在单位内部建立自己的中心机房,组建自己的局域网,同时申请电信的宽带和固定IP,这样,形成内外两种网络。
如果,企业在异地有分支机构,还可以通过VPN方式进行安全通信。
对企业的需求进行严格的分析,设计出实际可行的网站建设方案,在网站策划阶段,可从以下一些方面考虑定位:
(1)网站硬性指标:
您的网站是否能够让客户很轻松、方便的登录和记住,包括域名种类分布、域名品牌一致、网站语言版本、域名解析时间、请求响应时间、主机连接时间、下载时间、HTML综合质量、图片综合质量、首页布局质量、首页信息类型等。
(2)网站推广指标:
您的网站推广是否能让更多的客户与您往来,包括搜索引擎排名、网站知名度、推广方案设计等。
(3)网站服务指标:
客户是否愿意与您往来,包括:
您的回应时间、目标客户、联系层次、FAQ、帮助导航、服务流程、产品分类、产品描述、产品图片、价格建议等。
(4)网站互动指标:
您与客户的互动效果如何;
包括:
客户回应、解决时间、产品了解、客户社区、客户鉴别、客户忠诚度、深化服务、需求调查等。
2
模块设计
企业局域网可分为两个模块:
企业互联网模块与企业局域网模块。
1)企业互联网模块
企业互联网模块拥有与互联网的连接,同时也端接VPN与公共服务(DNS、HTTP、FTP、SMTP)信息流。
企业互联网模块为内部用户提供了与互联网的连接并使用户能够通过互联网访问公共服务器上的信息,同时还为远程地点和远程工作人员提供了VPN访问能力。
企业互联网模块涉及的关键设备有:
SMTP服务器、DNS服务器、FTP/HTTP服务器、防火墙或防火墙路由器、第2层及以上交换机(支持专用VLAN)。
2)企业局域网模块
企业局域网模块包含第2层及以上交换功能与所有的用户以及管理内部网服务器。
企业局域网模块包含最终用户工作站、公司内部网服务器、管理服务器和支持这些设备所需的相关基础设施、可网管的交换机等。
3
安全分析
拥有公共地址的服务器是最容易被攻击的。
以下是企业互联网模块潜在的威胁:
未授权访问、应用层攻击、病毒与特洛伊马攻击、密码攻击、拒绝服务、IP电子欺骗、分组窃听、网络侦察、信任关系利用、端口重定向等。
在小型VPN网络设计中,该模块堪称为极至。
VPN功能被压缩入一个机箱,但依然执行着路由选择、NAT、IDS和防火墙功能。
在确定如何实施该功能时,我们可使用带防火墙和VPN功能的路由器。
这种选择为小型网络带来了极大的灵活性,因为路由器将支持在当今网络中可能是不可或缺的所有高级服务。
作为一种替代措施,可使用带VPN的专用防火墙来取代路由器。
这种设置给部署造成了一些限制。
首先,防火墙通常都只是以太网,要求对相应的WAN协议进行一些转换。
在目前的环境中,大多数有线和DSL路由器/调制解调器都是由电信服务供应商提供的,可用于连接以太网防火墙。
如果设备要求WAN连接(如电信供应商的DSL电路),那么,就必须使用路由器。
使用专用防火墙不具备轻松配置安全性和VPN服务的优势,当发挥防火墙功能时,可提供改进性能。
无论选用哪种设备,都要考虑一些VPN的因素。
请注意,路由器倾向于允许信息流通过,而防火墙的缺省设置则倾向于阻止信息流通过。
从ISP的客户边缘路由器开始,ISP出口将限制那些超出预定阈值的次要信息流,以便减少DDoS攻击。
同时在ISP路由器的入口处,RFC1918与RFC2827过滤功能将防止针对本地网络及专用地址的源地址电子欺骗。
防火墙为通过防火墙发起的会话提供了连接状态执行操作以及详细的过滤。
拥有公共地址的服务器通过在防火墙上使用半开放连接限制能够防止TCPSYN洪水。
从过滤的角度讲,除了将公共服务区域的信息流限定到相关地址和端口外,在相反的方向上也在进行过滤。
如果某个攻击涉及到一个公共服务器(通过规避防火墙和基于主机的IDS),那么这个服务器应该不会再进一步攻击网络。
为了缓解这种攻击,具体的过滤将防止公共服务器向其他任何地点发出任何未授权请求。
例如,应该对Web服务器进行过滤,以便使其不能自身产生请求,而只能回答来自客户机的请求。
这种设置有助于防止黑客在实施最初的攻击后将更多的应用下载到被破坏的机器。
同时还有助于防止黑客在主攻击过程中触发不受欢迎的会话。
从主机的角度看,公共服务区域内的每个服务器均拥有主机入侵检测软件,用于监控OS级的任何不良活动以及普通服务器应用的活动(HTTP、FTP、SMTP等)。
DNS主机应该只响应必要的命令,同时消除任何可能有助于黑客的网络侦察攻击的不必要响应。
这包括防止从任何地点进行zone传输(合格的二级DNS服务器除外)。
在邮件服务方面,防火墙在第7层过滤SMTP信息,以便只允许必要的命令到达邮件服务器。
交换机的主要功能是交换生产与管理信息流并为公司和管理服务器以及用户提供连接。
在交换机内部可以实施VLAN,以减少设备间的信任关系利用攻击。
例如,公司用户可能需要与公司服务器通信但彼此之间可能没有必要通信。
在管理站与网络其余部分之间设置一个小型过滤路由器或防火墙能够提高总体安全性。
这种设置将使管理流量只沿着管理员认为必要的方向传输。
如果机构内部的信任水平不高,我们建议在关键系统上安装了HIDS。
对于各工作站上的安全可靠,还特别值得提出的是病毒和网站木马,可考虑企业版的病毒防火墙。
在各分支机构中不要求配备远程访问VPN功能,因为公司总部通常会提供这种功能。
此外,管理主机一般位于中央地点,这种设置要求管理信息流穿过地点到地点VPN连接回到公司总部。
4
局域网工程建设原则
⑴实用性:
网络建设从应用实际需求出发,坚持为领导决策服务,为经营管理服务,为生产建设服务。
⑵先进性:
采用成熟的先进技术,兼顾未来的发展趋势,即量力而行,又适当超前,留有发展余地。
⑶可靠性:
确保网络可靠运行,在网络的关键部分应具有容错能力。
⑷安全性:
提供公共网络连接、通信链路、服务器等全方位的安全管理系统。
⑸开放性:
采用国际标准通信协议、标准操作系统、标准网管软件、采用符合标准的设备,保证整个系统具有开放特点,增强与异机种、异构网的互联能力。
⑹可扩展性:
系统便于扩展,保证前期的投资的有效性与后期投资的连续性。
5
软硬件功能分析
1)路由器
就企业局域网网络而言,由于大量的数据都发生在局域网内部,对路由器的性能要求不高,因此,可以选用中低端路由器。
低端路由器主要适用中小办公网络的应用,考虑的一个主要因素是端口数量,另外还要看包交换能力和NAT转换能力。
中端路由器适用大中型办公网络,选用的原则也是考虑端口支持能力、包交换能力和NAT转换能力。
在这里值得进一步说明的是,如果让内部计算机直接通过路由器访问外部网络,必须做NAT转换,当并发连接较大时,做NAT转换非常占资源,最好考虑有带NAT模块的路由器或专门的NAT设备。
2)交换机
工作组交换机采用可网管交换机,实现对每台接入计算机的控制,实现VLAN(虚拟网)的划分,确保最大限度的网络访问安全。
骨干交换机采用拥有千兆端口的可网管交换机实现与中心交换机的高速连接,避免可能产生的网络瓶颈。
中心交换机采用三层交换机,实现VLAN间的线速转发,并借助访问列表控制计算机接入和网络服务,搭建高安全性和可用性网络。
3)防火墙
防火墙有软件防火墙和硬件防火墙两种。
软件防火墙是安装在计算机平台的软件产品,它通过在操作系统底层工作来实现网络管理和防御功能的优化。
硬件防火墙的硬件和软件都单独进行设计,有专用网络芯片处理数据包。
同时,采用专门的操作系统平台,从而避免通用操作系统的安全性漏洞。
并且对软硬件的特殊要求使硬件防火墙的实际带宽与理论值基本一致,有着高吞吐量、安全与速度兼顾的优点。
4)服务器
服务器应该具备速度高、存储容量大、吞吐能力强、性能可靠、扩展性强、连网和管理功能强等特点。
WWW服务器:
是网络运行的核心服务器,通常兼作域名服务器、FTP服务器。
访问量大,根据企业规模大小,采用适合自己规模的服务器。
一般对于800个信息点以下
升级会员 