中小型企业局域网的安全设计方案.docx
《中小型企业局域网的安全设计方案.docx》由会员分享,可在线阅读,更多相关《中小型企业局域网的安全设计方案.docx(20页珍藏版)》请在冰豆网上搜索。
中小型企业局域网的安全设计方案
广州现代信息工程职业技术学院
毕业设计(论文)
课题名称:
中小型企业局域网的安全设计方案
学号0901231151姓名赵健溢性别男
专业计算机网络技术年级、班级2009网络技术班
指导教师肖东升职称高级工程师
2012年4月13日
摘要
本设计(论文)主要是对现在中小型的企业局域网,办公网络进行规划和设计。
目前国内经济发展迅速,改革开放以来私企和一些中小型的私人企业、股份企业如雨后春笋。
尤其在21世纪的十年里,伴随这激烈的竞争各企业不断改进管理模式,加大了在企业信息化和办公自动化方面的投入,使得信息网络产业发展迅速。
中小企业网络化能够促进产业的发展,加大工作效率。
关键词:
网络规划设计综合布线网络设备WEB服务器DHCP服务器
前言
1.绪论·····························································6
1.1项目背景·····················································6
1.2中小企业网络概述············································6
2.需求分析·························································6
2.1企业描述····················································7
2.2网络概况····················································8
2.3公司需求····················································8
2.4解决方案····················································9
2.5可行性分析··················································9
3.网络逻辑方案···················································10
3.1布线逻辑方案
···············································10
3.2网络逻辑方案···············································11
4.网络详细设计方案···············································12
4.1网络配置方案···············································12
4.2服务器配置方案············································19
5.项目测试与维护·················································20
总结·································································21
致谢·································································22
参考文献····························································23
前言
随着现代网络通信技术的应用和发展,互联网迅速发展起来,世界逐步进入到网络化、共享化,我国已经进入到信息化的新世纪。
在整个互联网体系巾,局域网是其巾最重要的部分,公司网、企业网、银行金融机构网、政府、学校、社区网都属于局域网的范畴。
局域网实现了信息的传输和共享,为用户方便访问互联网、提升业务效率和效益提供了有效途径。
(1)建立企业局域网,可以同分利用企业现有的硬件资源。
节约公司的开支,实现无纸化办公。
提高企业员工的工作效率,由于局域网企业内部的资源可以得到共享,避免了不必要的重复工作也可以提高时间的利用率。
(2)局域网建成后可以节约企业在使用网络资源方面节约更多的开支,便于公司员工查阅和接受网络信息,也可以简化公司对计算机的日常维护和管理,节约维护成本。
(3)建立局域网提高公司在办公自动化水平和企业内部应用电子商务的能力,逐步实现业务级网络应用。
更有利于企业获得更快、更准确的市场信息,为公司决策提供更科学的依据等。
(4)建立局域网也可以是外界能更快更好的认识本企业,加强企业知名度。
本研究以在中小企业为背景,多层面探索这些企业在网络规设计碰到的问题和解决方法,供有关部门作为研究、管理决策、规划的参考。
1绪论
1.1项目背景
中小企业网络主要是企业内部网络建设,包括企业内部计算机节点的分布与整个网络的物理线路连接合理布局,以及门户网站、电子商务平台的搭建。
进入21世纪后我国的中小企业大都进入信息化和办公自动化或者半信息半自动化。
网络能够提高整个企业的工作效率,加大市场宣传面,增加业务业务量。
因此中小企业网络将在20年内得到高速的发展。
公司追求形象,所以在网络设计和布设方面要求特别高,要求绝对的合理化。
另外合理的网络布局使我们企业办公场所环境优良,企业的网络化使得公司工作效率普遍较高,WEB服务器和办公服务器的架设,使得公司对外宣传面扩大,提高了效益。
同时网络化办公也使员工能够在网络上找到疑问的答案。
网络使得公司各方面都得到了很快的发展。
中小企业的网络规划、设计和维护越来越需要标准化和规范化。
1.2中小企业网络概述
中小企业网络主要是企业内部网络建设,包括企业内部计算机节点的分布与整个网络的物理线路连接合理布局,以及门户网站、电子商务平台的搭建。
进入21世纪后我国的中小企业大都进入信息化和办公自动化或者半信息半自动化。
网络能够提高整个企业的工作效率,加大市场宣传面,增加业务业务量。
因此中小企业网络将在20年内得到高速的发展。
2需求分析
2.1企业描述:
2.1.1职能描述如图2-1所示:
图2—1职能描述
该公司新购一个办公楼层,需要在目前简易装修的基础上设计企业网络,并且与下面的再次装修基本同步进行,外网接入电信光纤。
董事长单独1间办公室;
三个总监共3间办公室;
技术部1间办公室(技术主管在技术部办公);
业务部1间办公室(业务主管在业务部办公);
行政部1间办公室(行政主管在行政部办公);
公司内设一个机房。
一个信息技术操作室
2.1.2公司的建筑物理布局如图2—2所示:
2.2网络概况
电信网络独享百兆接入,由于电信法相关规定,地址转换翻译有特殊规定,使用一个ip为全公司整个网络使用,会导致违反规定,会被误认为是黑网吧之类的节点,因此公司采取使用全部公网。
电信分配的ip地址为2
02.16.100.33掩码:
255.255.255.0.另外电信的路由是终结的。
2.3公司需求
①节点需求:
名称
节点数
IP分配
机房
10个
192.168.1.236~192.168.1.245
调试室
2个
192.168.1.234~192.168.1.235
董事长办公室
1个
192.168.1.233
总监办公室
共3个
192.168.1.230~192.168.1.232
技术办公区
8个
192.168.2.2~192.168.2.9
行政办公区
6个
192.168.2.10~192.168.2.15
业务办公区
24个
192.168.3.2~192.168.3.25
前台
1个
192.168.3.26
无线
1个
192.168.1.229
②服务器需求:
Web服务器、数据库服务器、dhcp、办公、存储
③网络需求:
(1)WEB需要至少30M的流量(上传下载速率:
30*128kb,约为3M/S)。
(2)数据库服务器同上。
(3)办公服务器(办公系统),内网使用。
(4)DHCP内网使用和邮件服务器。
(5)存储服务器。
(6)董事长办公室、总监办公室各独享3M。
(7)布线必须不影响公司整个装修的美观。
2.4解决方案
①综合布线需求主要是价廉、合理、美观、标准。
因此进行夹墙内、地板下、天花板上布线。
②网络设备主要放在机房和大厅个办公区域头部柜子内。
③机房内使用一个机柜(33U、1.6M),防尘地板,和空调。
④Web和数据库服务器必须7*24不间断,使用linux操作系统架设web和ftp。
⑤办公服务器和主要的网络设备放置机房机柜。
办公服务器采用windows2003操作系统。
主要为ftp和办公系统。
⑥公司办公网上网使用CICSO路由器实现dhcp,调试室使用静态公网ip地址。
2.5可行性分析
通过对该企业写字楼的现场调查和需求分析后,对其可行性进行分析。
技术上可行:
该系统所需硬件设备,市场上销售且价格较低,操作系统采用linux、Windows系列操作系统,数据库采用SQL,这些软件已被大量应用,技术上都比较成熟。
因此在技术上是可行的。
经济上可行:
网络企业主要的是实现办公自动化和信息化。
网络是网络企业发展的命脉和根本,没有网络该类型企业无法发展。
因此,这项投入是企业必须的。
因此经济上没有问题。
管理上可行:
整个公司的办公资料是通过办公服务器集中存储处理的,整个网络设备都是集中的机房并且具有专人进行维护。
因此可以达到了集中管理。
管理上是可行的。
综上所述,设计建设该网络项目在技术上、经济上、管理上都是可行的。
3网络逻辑方案
3.1布线方案
布线主要采取外线进入公司机房然后星形对外布线,如图3—1所示:
防火墙
INTERNET
图3—1布线逻辑方案
公司是光纤接入,然后通过自己的路由器接到交换机,然后接分交换机
3.2网络逻辑方案
4.网络配置方案
4.1.1配置概述
为了降低成本,公司采用路由器实现dhcp功能。
IP地址分配:
路由器:
202.16.100.33/255.255.255.0
内网使用私有地址:
10.0.0.0/255.0.0.0
网络设备地址:
R2:
E0:
202.16.100.33E1:
192.168.1.1
S1:
VLAN1:
192.168.1.2
S2:
VLAN1:
192.168.2.1
S3:
VLAN1:
192.168.3.1
服务器地址:
OA:
192.168.1.240
OA备用:
192.168.1.241
WEB:
192.168.1.242
WEB备:
192.168.1.243
备机:
192.168.1.244
存储:
192.168.1.245
无线路由器:
192.168.1.229
4.1.2路由器配置
(1)概述:
由于电信拉来的专线是终结的,所以我们的路由器只需要设置PAT地址转换和dhcp功能。
另外我们采用路由器作为我们的防火墙,因此需要配置acl访问控制。
路由器f0/0为外网进口ip设置为202.16.100.33/255.255.255.0.路由器内网端口ip设置为:
192.168.1.1/255.0.0.0也就是说内网采用192.0.0.0/255.0.0.0这个网络。
然后设置PAT地址转换。
再通过配置ACL来做防火墙。
(2)PAT地址转换配置如下:
由于本操作主要是在公司路由器上,所以以一台路由器模拟电信接入的INTERNET,另外一台R2属于公司内部的路由器,然后接到交换机,并以四台pc模拟内网。
R1
E0/0:
202.16.100.32/255.255.255.0
R2
E0/0:
202.16.100.33/255.255.255.0
E0/1:
192.168.1.1/255.0.0.0
配置如下:
R1>en
R1#conft
R1(config)#intf0/0
R1(config-if)#ipadd202.16.100.32255.255.255.0
R1(config-if)#noshut
R1(config-if)#end
R1#write
Buildingconfiguration...
[OK]
R2>en
R2#conft
R2(config)#intf0/0
R2(config-if)#ipadd202.16.100.33255.255.255.0
R2(config-if)#noshut
R2(config-if)#exit
R2(config)#intf0/1
R2(config-if)#ipadd192.168.1.1255.0.0.0
R2(config-if)#noshut
R2(config-if)#exit
R2(config)#ipnatpoolMYNET202.16.100.33202.16.100.33netmask255.255.255.0
R2(config)#ipnatinsidesourcelist1poolMYNEToverload
R2(config)#access-list1permit192.0.0.00.255.255.255
R2(config)#interfacefastEthernet0/1
R2(config-if)#ipnatinside
R2(config-if)#exit
R2(config)#interfacefastEthernet0/0
R2(config-if)#ipnatoutside
R2(config-if)#end
R2#debugipnat
IPNATdebuggingison
R2#write
Buildingconfiguration...
[OK]
pc0到pc1的ip地址设置为192.168.1.10-192.168.1.13
测试结果如下:
PacketTracerPCCommandLine1.0
PC0>ping202.16.100.32模拟器内可以通
PC1>ping202.16.100.32模拟器内可以通
PC2>ping202.16.100.32模拟器内可以通
PC3>ping202.16.100.32模拟器内可以通
查看路由器内PAT信息:
R2#showipnattranslations
NAT:
s=192.168.1.12->202.16.100.33,d=202.16.100.32[5]
NAT*:
s=202.16.100.32,d=202.16.100.33->192.168.1.12[44]
NAT:
s=192.168.1.12->202.16.100.33,d=202.16.100.32[11]
NAT*:
s=202.16.100.32,d=202.16.100.33->192.168.1.12[50]
NAT*:
s=202.16.100.32->202.16.100.32,d=202.16.100.33[52]
NAT*:
s=202.16.100.32,d=202.16.100.33->192.168.1.11[52]
NAT:
s=192.168.1.11->202.16.100.33,d=202.16.100.32[6]
NAT:
s=202.16.100.33,d=202.16.100.32->202.16.100.32[6]
NAT*:
s=202.16.100.32,d=202.16.100.33->192.168.1.10[60]
NAT:
s=192.168.1.10->202.16.100.33,d=202.16.100.32[12]
NAT:
s=202.16.100.33,d=202.16.100.32->202.16.100.32[12]
NAT*:
s=202.16.100.32->202.16.100.32,d=202.16.100.33[61]
NAT*:
s=202.16.100.32,d=202.16.100.33->192.168.1.10[62]
NAT:
s=192.168.1.13->202.16.100.33,d=202.16.100.32[5]
NAT*:
s=202.16.100.32,d=202.16.100.33->192.168.1.13[64]
NAT:
s=192.168.1.13->202.16.100.33,d=202.16.100.32[6]
NAT*:
s=202.16.100.32,d=202.16.100.33->192.168.1.13[65]
NAT:
expiring202.16.100.33(192.168.1.12)icmp5(5)
NAT:
expiring202.16.100.33(192.168.1.12)icmp6(6)
NAT:
expiring202.16.100.33(192.168.1.11)icmp1024(5)
NAT:
expiring202.16.100.33(192.168.1.11)icmp1029(10)
NAT:
expiring202.16.100.33(192.168.1.10)icmp1032(11)
NAT:
expiring202.16.100.33(192.168.1.10)icmp1033(12)
NAT:
expiring202.16.100.33(192.168.1.13)icmp5(5)
NAT:
expiring202.16.100.33(192.168.1.13)icmp6(6)
(以上返回信息直接在模拟器上拷贝的,并且将部分重复的删除掉了,主机ping202.16.100.32路由器会出现以上信息)
(3)路由器实现DHCP配置如下:
R2>en
R2#configure
R2(config)#ipdhcppoolNETDHCP
R2(dhcp-config)#network192.0.0.0255.0.0.0
R2(dhcp-config)#default-router192.168.1.1
R2(dhcp-config)#dns-server192.168.1.240
R2(dhcp-config)#exit
R2(config)#ipdhcpexcluded-address192.168.1.1192.168.1.10
(保留1-10,这个是内网路由接口的地址和内网各网络设备的地址)
R2(config)#ipdhcpexcluded-address192.168.1.240192.168.1.254
(保留240-154这些ip)
R2(config)#en
R2#en
测试:
在局域网内随便找几台机器ping外网,本项目中ping通202.16.100.32即可
将pc机的地址该为自动获取。
以上是模拟器中测试的结果,是没有问题的。
(4)路由器安全设置:
配置口令:
R2(config)#enablesecretcisco
R2(config)#linevty04
R2config-line)#passwordcisco
R2(config-line)#end
R2#write
Buildingconfiguration...
[OK]
配置ACL配置禁止135-445,禁止外网telnet公司路由。
R2(config)#access-list120denytcpanyanyeq23
R2(config)#access-list120denytcpanyanyeq135
R2(config)#access-list120denytcpanyanyeq136
R2(config)#access-list120denytcpanyanyeq137
R2(config)#access-list120denytcpanyanyeq138
R2(config)#access-list120denytcpanyanyeq139
R2(config)#access-list120denytcpanyanyeq389
R2(config)#access-list120denytcpanyanyeq445
R2(config)#access-list120denytcpanyanyeq4444
R2(config)#access-list120denyudpanyanyeq69
R2(config)#access-list120denyudpanyanyeq135
R2(config)#access-list120denyudpanyanyeq136
R2(config)#access-list120denyudpanyanyeq137
R2(config)#access-list120denyudpanyanyeq138
R2(config)#access-list120denyudpanyanyeq139
R2(config)#access-list120denyudpanyanyeqsnmp
R2(config)#access-list120denyudpanyanyeq389
R2(config)#access-list120denyudpanyanyeq445
R2(config)#access-list120denyudpanyanyeq1434
R2(config)#access-list120denyudpanyanyeq1433
R2(config)#access-list120permitipanyany
R2(config)#intf0/0
R2(config-if)#ipaccess-group120in
2(config-if)#end
R2#write
Buildingconfiguration...
[OK]
如果需要删除规则:
(config)#noaccess-list120
查看规则可以:
R2#showrunning-config
4.1.3交换机配置
概述:
交换机只做监控使用,因此只设置远程管理权限。
(1)主交换机端口分配:
机柜和调试室使用端口14-22分给机柜,23-24备用;
领导网络端口分配:
1-4,5-6备用;
行
升级会员 