网络技术毕业设计论文.docx
《网络技术毕业设计论文.docx》由会员分享,可在线阅读,更多相关《网络技术毕业设计论文.docx(17页珍藏版)》请在冰豆网上搜索。
网络技术毕业设计论文
中小型企业局域网的组建与管理
2010网络技术
毕业论文
论文题目:
中小型企业局域网的组建与管理
王园
0803090324
08网络技术03
学 号:
_________________________
沈阳职业技术学院
王园
班 级:
_________________________
网络技术
作 者:
_________________________
学科名称:
_________________________
2010年10月26日
沈阳职业技术学院毕业论文
中小型企业局域网的组建与管理
论文题目:
王园
作者:
_________________________
沈阳职业技术学院
董凤服
沈阳职业技术学院
指导教师:
单位:
协助指导教师:
单位:
论文提交日期:
2010年10月日
毕业学校:
沈阳职业技术学院
独 创 性 说 明
本人郑重声明:
所呈交的论文是我个人在导师指导下进行的研究工作及取得的研究成果。
尽我所知,除了文中特别加以标注和致谢的地方外,论文中不包含其他人已经发表或撰写的研究成果,也不包含为获得沈阳职业技术学院或其他教育机构的证书所使用过的材料。
与我一同工作的同志对本研究所做的任何贡献均已在论文中做了明确的说明并表示了谢意。
签名:
___________日期:
____________
关于论文使用授权的说明
本人完全了解沈阳职业技术学院有关保留、使用毕业论文的规定,即:
学校有权保留送交论文的复印件,允许论文被查阅和借阅;学校可以公布论文的全部或部分内容,可以采用影印、缩印或其他复制手段保存论文。
签名:
___________导师签名:
___________日期:
____________
摘要:
随着信息技术的快速发展,小型商用企业的业务将进一步的电子化,与Internet的联系将更加紧密。
他们也需要信息基础平台去支撑业务高速发展。
这样没有信息技术背景的企业也将会对网络建设有主动诉求。
任何决策的科学性和可靠性都是以信息为基础的,信息和决策是同一管理过程中的两个方面,因此行业信息化也就成了人们所讨论并实践着的重要课题,众多行业巨擘纷纷上马各种应用方案且取得了巨大的成功,使信息化建设更具吸引力。
相对于大型应用群体而言,中小型企业的信息化建设工程通常有规模较小,结构简单的特点,综合资金投入、专业人才以及未来发展等因素,网络的实用性、安全性与拓展性(升级改造能力)是中小企业实现信息化建设的主要要求,因此,成本低廉、操作简易、便于维护并能满足业务运作需要的网络办公环境是这一领域的真正需求。
针对绝大多数中小型企业集中办公这一现实特点,我们设计的中小企业信息化常用解决方案,能够较好地发挥企业网的使用效果和水平,具有很强的代表性。
关键字:
应用场景网络方案局域网路由器交换机以太网光纤规划分析
1 需求分析
随着互联网应用的普及,电子商务有了实质性的进展。
对于一个企业来说,产品的介绍、销售、技术服务和售后服务等越来越多地采用网络的形式来完成,最主要的优点是:
方便、快捷和成本低廉。
目前小型企业往往采用在互联网络上申请主页空间或采用网络主机托管的方式,这种方式在应用上很明显有些不方便之处,所能提供的服务类型单一,并且资料数据都是放在别人的计算机上,让别人来管理。
对于大型企业和有机密数据的单位,往往不会采用这种方式,他们会在单位内部建立自己的中心机房,组建自己的局域网,同时申请电信的宽带和固定IP,这样,形成内外两种网络。
如果,企业在异地有分支机构,还可以通过VPN方式进行安全通信。
对企业的需求进行严格的分析,设计出实际可行的网站建设方案,在网站策划阶段,可从以下一些方面考虑定位:
(1)网站硬性指标:
您的网站是否能够让客户很轻松、方便的登录和记住,包括域名种类分布、域名品牌一致、网站语言版本、域名解析时间、请求响应时间、主机连接时间、下载时间、HTML综合质量、图片综合质量、首页布局质量、首页信息类型等。
(2)网站推广指标:
您的网站推广是否能让更多的客户与您往来,包括搜索引擎排名、网站知名度、推广方案设计等。
(3)网站服务指标:
客户是否愿意与您往来,包括:
您的回应时间、目标客户、联系层次、FAQ、帮助导航、服务流程、产品分类、产品描述、产品图片、价格建议等。
(4)网站互动指标:
您与客户的互动效果如何;包括:
客户回应、解决时间、产品了解、客户社区、客户鉴别、客户忠诚度、深化服务、需求调查等。
2 模块设计
企业局域网可分为两个模块:
企业互联网模块与企业局域网模块。
1)企业互联网模块
企业互联网模块拥有与互联网的连接,同时也端接VPN与公共服务(DNS、HTTP、FTP、SMTP)信息流。
企业互联网模块为内部用户提供了与互联网的连接并使用户能够通过互联网访问公共服务器上的信息,同时还为远程地点和远程工作人员提供了VPN访问能力。
企业互联网模块涉及的关键设备有:
SMTP服务器、DNS服务器、FTP/HTTP服务器、防火墙或防火墙路由器、第2层及以上交换机(支持专用VLAN)。
2)企业局域网模块
企业局域网模块包含第2层及以上交换功能与所有的用户以及管理内部网服务器。
企业局域网模块包含最终用户工作站、公司内部网服务器、管理服务器和支持这些设备所需的相关基础设施、可网管的交换机等。
3 安全分析
1)企业互联网模块
拥有公共地址的服务器是最容易被攻击的。
以下是企业互联网模块潜在的威胁:
未授权访问、应用层攻击、病毒与特洛伊马攻击、密码攻击、拒绝服务、IP电子欺骗、分组窃听、网络侦察、信任关系利用、端口重定向等。
在小型VPN网络设计中,该模块堪称为极至。
VPN功能被压缩入一个机箱,但依然执行着路由选择、NAT、IDS和防火墙功能。
在确定如何实施该功能时,我们可使用带防火墙和VPN功能的路由器。
这种选择为小型网络带来了极大的灵活性,因为路由器将支持在当今网络中可能是不可或缺的所有高级服务。
作为一种替代措施,可使用带VPN的专用防火墙来取代路由器。
这种设置给部署造成了一些限制。
首先,防火墙通常都只是以太网,要求对相应的WAN协议进行一些转换。
在目前的环境中,大多数有线和DSL路由器/调制解调器都是由电信服务供应商提供的,可用于连接以太网防火墙。
如果设备要求WAN连接(如电信供应商的DSL电路),那么,就必须使用路由器。
使用专用防火墙不具备轻松配置安全性和VPN服务的优势,当发挥防火墙功能时,可提供改进性能。
无论选用哪种设备,都要考虑一些VPN的因素。
请注意,路由器倾向于允许信息流通过,而防火墙的缺省设置则倾向于阻止信息流通过。
从ISP的客户边缘路由器开始,ISP出口将限制那些超出预定阈值的次要信息流,以便减少DDoS攻击。
同时在ISP路由器的入口处,RFC1918与RFC2827过滤功能将防止针对本地网络及专用地址的源地址电子欺骗。
防火墙为通过防火墙发起的会话提供了连接状态执行操作以及详细的过滤。
拥有公共地址的服务器通过在防火墙上使用半开放连接限制能够防止TCPSYN洪水。
从过滤的角度讲,除了将公共服务区域的信息流限定到相关地址和端口外,在相反的方向上也在进行过滤。
如果某个攻击涉及到一个公共服务器(通过规避防火墙和基于主机的IDS),那么这个服务器应该不会再进一步攻击网络。
为了缓解这种攻击,具体的过滤将防止公共服务器向其他任何地点发出任何未授权请求。
例如,应该对Web服务器进行过滤,以便使其不能自身产生请求,而只能回答来自客户机的请求。
这种设置有助于防止黑客在实施最初的攻击后将更多的应用下载到被破坏的机器。
同时还有助于防止黑客在主攻击过程中触发不受欢迎的会话。
从主机的角度看,公共服务区域内的每个服务器均拥有主机入侵检测软件,用于监控OS级的任何不良活动以及普通服务器应用的活动(HTTP、FTP、SMTP等)。
DNS主机应该只响应必要的命令,同时消除任何可能有助于黑客的网络侦察攻击的不必要响应。
这包括防止从任何地点进行zone传输(合格的二级DNS服务器除外)。
在邮件服务方面,防火墙在第7层过滤SMTP信息,以便只允许必要的命令到达邮件服务器。
2)企业局域网模块
交换机的主要功能是交换生产与管理信息流并为公司和管理服务器以及用户提供连接。
在交换机内部可以实施VLAN,以减少设备间的信任关系利用攻击。
例如,公司用户可能需要与公司服务器通信但彼此之间可能没有必要通信。
在管理站与网络其余部分之间设置一个小型过滤路由器或防火墙能够提高总体安全性。
这种设置将使管理流量只沿着管理员认为必要的方向传输。
如果机构内部的信任水平不高,我们建议在关键系统上安装了HIDS。
对于各工作站上的安全可靠,还特别值得提出的是病毒和网站木马,可考虑企业版的病毒防火墙。
在各分支机构中不要求配备远程访问VPN功能,因为公司总部通常会提供这种功能。
此外,管理主机一般位于中央地点,这种设置要求管理信息流穿过地点到地点VPN连接回到公司总部。
4 局域网工程建设原则
⑴实用性:
网络建设从应用实际需求出发,坚持为领导决策服务,为经营管理服务,为生产建设服务。
⑵先进性:
采用成熟的先进技术,兼顾未来的发展趋势,即量力而行,又适当超前,留有发展余地。
⑶可靠性:
确保网络可靠运行,在网络的关键部分应具有容错能力。
⑷安全性:
提供公共网络连接、通信链路、服务器等全方位的安全管理系统。
⑸开放性:
采用国际标准通信协议、标准操作系统、标准网管软件、采用符合标准的设备,保证整个系统具有开放特点,增强与异机种、异构网的互联能力。
⑹可扩展性:
系统便于扩展,保证前期的投资的有效性与后期投资的连续性。
5 软硬件功能分析
1)路由器
就企业局域网网络而言,由于大量的数据都发生在局域网内部,对路由器的性能要求不高,因此,可以选用中低端路由器。
低端路由器主要适用中小办公网络的应用,考虑的一个主要因素是端口数量,另外还要看包交换能力和NAT转换能力。
中端路由器适用大中型办公网络,选用的原则也是考虑端口支持能力、包交换能力和NAT转换能力。
在这里值得进一步说明的是,如果让内部计算机直接通过路由器访问外部网络,必须做NAT转换,当并发连接较大时,做NAT转换非常占资源,最好考虑有带NAT模块的路由器或专门的NAT设备。
2)交换机
工作组交换机采用可网管交换机,实现对每台接入计算机的控制,实现VLAN(虚拟网)的划分,确保最大限度的网络访问安全。
骨干交换机采用拥有千兆端口的可网管交换机实现与中心交换机的高速连接,避免可能产生的网络瓶颈。
中心交换机采用三层交换机,实现VLAN间的线速转发,并借助访问列表控制计算机接入和网络服务,搭建高安全性和可用性网络。
3)防火墙
防火墙有软件防火墙和硬件防火墙两种。
软件防火墙是安装在计算机平台的软件产品,它通过在操作系统底层工作来实现网络管理和防御功能的优化。
硬件防火墙的硬件和软件都单独进行设计,有专用网络芯片处理数据包。
同时,采用专门的操作系统平台,从而避免通用操作系统的安全性漏洞。
并且对软硬件的特殊要求使硬件防火墙的实际带宽与理论值基本一致,有着高吞吐量、安全与速度兼顾的优点。
4)服务器
服务器应该具备速度高、存储容量大、吞吐能力强、性能可靠、扩展性强、连网和管理功能强等特点。
WWW服务器:
是网络运行的核心服务器,通常兼作域名服务器、FTP服务器。
访问量大,根据企业规模大小,采用适合自己规模的服务器。
一般对于800个信息点以下的企业,通常可采用支持多CPU的顶级PC服务器和低端专业服务器。
邮件服务器:
可采用跟WWW服务器性能相当的服务器就行了。
OA办公服务器或内部视频会议服务器:
必须根据各种系统由软件提供商来定,包括服务器档次、操作系统种类等。
数据服务器:
应根据数据量的多少、数据的重要程度和访问的频繁程度,可采用带Raid功能的双硬盘服务器或专门的数据存储设备。
5)公网IP地址数
由于对外服务器要求有固定的公网IP地址,路由器也要求有固定的公网IP地址,以及NAT地址池也需要有固定的公网IP地址,因此,必须向ISP提供商申请一定数量的公网IP地址,对于小型网络来讲,8个勉强可以,对于中大型局域网来说,要求16个以上才能够用。
6 网站设计和运行维护中应注意的问题
1)网站仅仅停留在发布企业形象和产品信息上
网站架设应从网络营销角度出发。
换句话说,是否可以透过网络,在现有营销通路以外,提供一个企业与消费者之间直接接触与沟通的渠道,提供企业另一种销售模式机会。
因此,传统产业要的网站,应该从营销主管角度优先思索。
第二个角度就是从管理角度去思索,例如公司在全省拥有许多营业网点或分公司,各种网点之间的公文传递或资源分配是否可以透过网站,以提高经营绩效。
2)在页面中应避免塞满图片、Java程序、Flash、音乐等
其实就目前上网速度来看,网页如果加上太多的FLASH或FLAME,或挂上太多图片,势必影响传输速度,这样对普遍缺乏信心的客户而言,很容易就因为不愿耐心等候下载完毕,而选择中途跳开。
如此一来,再漂亮的网页也不会有人看!
一个干干净净、条理分明的网页比较容易阅读,客户可以在很短时间找到他要的信息,不必被太多视觉污染所干扰。
所以企业的网页不需要太多美工,因为要看漂亮的图片,客户自然有合适网站可以上,不必浪费客户下载的时间与金钱。
如果你在经营自己的在线商务,你的网站最重要的任务就是销售你的产品或服务,其他任何脱离这个基本原则的东西都是垃圾。
3)很长时间都不更新一次
如果一个网站的资料几个月不更新一次,请问谁会有兴趣上这个网站?
当然资料更新与维护需要成本,因为我们不是在做一个入口网站或专业网站,也不需要每天更新;如果能做到每周更新或每两周更新,并在网站上注明更新时间或预告下次更新时间,将有助于告知客户何时可以上网来取得最新资讯。
另外所谓活网站的“活”,系指需具备与客户互动机制,例如邮件列表系统、留言板或客服系统等。
同时对于客户所提意见的处理,也需及时,不能让客户对网站失去信心!
4)人家有什么我也要有的观念
网站不只是做来好看的,也绝对不是什么内容都要有的!
关键在于你希望网站能提供哪些实用的功能?
只要做出来的网站能够满足公司的需要,能帮企业缩短作业流程的时间或提高工作效率,能带来更大的利润,这就是一个有用的网站。
最好的网站要有自己的特色,要适合网站的用户群。
(1)应用场景:
小型局域网需要什么样的网络,通常它们的建网需求也大部分还停留在能上网,共享办公设备资源,共享文件资源,能运行OA(办公自动化)软件协同工作上;只有少部分将业务流程移植到INTERNET上来运行(这得有能力开发自己的WEB后台程序)。
但还有一些有敏感数据的电脑(如:
财务,合同方案文档,发展战略计划),这些公司是拒绝它们连入网络,而宁愿这些电脑成为信息孤岛。
一个原因是实现安全的成本过高,企业无法承受;一个原因是对安全措施不信任。
对于网络应用单纯,结构相对简单的小型局域网络。
有些用户可能还不需要高性能的网络,但对网络有较多了解的IT型小企业可能就喜欢接受最新的网络技术,但都寻求成本较低。
一般应用于小型的IT公司,广告、装饰设计公司,咨询公司,会计师、律师事务所,小型商业流通企业等应用环境。
(2)小型企业网络方案:
主要采用国内最常见的两种宽带接入类型——ADSL,光纤以太网来展开。
我们都知道最容易实现而且带宽可以接受的接入类型是ADSL,分别有中国电信,中国网通,中国铁通提供。
普遍是1M至2M的出口速率,资费会越来越低。
而光纤以太网针对于小区,写字楼等集团用户,采用的模式是光纤到小区或建筑物,然后以太网至用户。
用户内部局域网出去的还是营运商的本地局域网,这段的速度是10-100M,但从营运商的局域网接光纤至营运商的城域网(中心机房)可能是2-10M。
所以会常有一个现象,当同时上网用户数较少时,网络速度会飞快,但较多时又会慢下来。
这种方式开户时会比ADSL贵,而资费差不多。
用户应因地制宜选择合适的接入类型,但若想在本地建自己企业的网站和FTP,实现语音和视频,方便INTERNET上用户访问,建议还是选择ADSL。
因为若选择光纤以太网方式,您的局域网将处在运营商的内网之内(因为绝大多数的运营商给它的内网分配的是“私有地址”),无法实现INTERNET的访问。
两种较低成本的共享上网方案类型:
宽带路由器共享代理,代理服务器共享代理。
下面分别介绍:
方案一:
ADSL/光纤以太网+宽带路由器+交换机
本方案最关键的设备是宽带路由器,处于小型企业局域网的核心。
宽带路由器是针对家庭级、SOHO级及小型企业应用的网关设备。
它集成了路由、交换、安全防火墙等功能于一体,针对于小型用户简单而又实用的需求特点,价格远远低于用作网关的服务器和传统路由器,完全可以在家用到小型企业的应用中代替这些网关设备。
宽带路由器一般特性:
·广域网端口(WAN):
标准是提供1个10/100M的自适应WAN端口。
少数产品甚至有2个WAN口。
有两个WAN口的宽带路由器能接两路宽带,如两路512K的ADSL,或两条宽带运营商的LAN,这样的连接将成倍地接高接入的速率,实现接入的相互备份和负载均衡,使小企业局域网与外面网络的连接更稳健。
·共享Internet访问:
所有局域网计算机可以通过地址翻译(NAT)共享一条宽带线路连接上互联网。
·支持LAN接入:
支持在使用以太网接入(FTTx+LAN)时,使用固定或动态的IP地址。
·支持DSL:
持在使用ADSL时,使用固定或动态的IP地址(PPPoE拨号方式)。
·支持路由:
静态和动态路由(RIPI,RIPII)
·局域网端口(LAN):
集成了4端口交换机,每个端口10/100M自适应。
·DHCP服务器:
可以作为局域网的DHCP服务器为网内计算机提供DHCP服务。
DHCP(动态主机分配协议)可以给局域网中的计算机动态分配IP地址以及网关地址、DNS服务器等信息。
宽带路由器高级特性:
·虚拟服务器(DMZ):
支持虚拟服务器设置,既方便了Internet用户访问内部开放的计算机,如对外的www服务器、Email服务器等,又同时保障着本地网络的安全。
·特殊应用支持:
支持一些特殊的Internet应用,例如QQ、网络游戏、视频程序、音频程序、NetMeeting等的使用。
·防火墙保护:
利用NAT功能,可以监控所有来自Internet的包,过滤所有对局域网内计算机的请求,过滤黑客软件对局域网IP地址和端口的扫描,以防止外来的恶意攻击。
·访问控制:
可以限制局域网用户对某些不良网站的访问,规避不必要的风险。
·日志记录:
通过完整地记录局域网用户对Internet的访问,确保用户行为的可控性。
日志记录的内容,可以利用Email发送报表来查看。
本方案我们选用NETGEAR的RP614(见图1)宽带路由器。
由于宽带路由器一般都具有上述提到的特性,一般都能胜任最基本的共享上网要求,但对于企业级的应用来说,我们还要在网络安全性方面有较多考虑,所以我们应选购价位在600-700元的中档产品。
NETGEARRP614宽带路由器在安全性方面提供真正的防火墙保护,它的动态数据包检查(SPI)通过扫描入站文件和信息请求消除了潜在的网络威胁。
RP614设备具备非常有优势的防病毒软件,可保证家庭内或公司中的电脑不受来自外界病毒的侵犯,可免费升级,长期受益。
同类产品的还有Vigor2100和SercommIP518H。
本方案的另一网络设备是交换机,我们采用全交换星形网络拓朴结构,所以可以选购快速以太网24口交换机。
现在市面上见到的这类交换机的牌子是最多的了,技术已经非常成熟。
所以一般都能胜任方案的需要。
本案例中我们选择在低端交换机市场较有名气的D-LINK的产品DES-1024D交换机(见图2)。
背板带宽4.8Gbps,百兆包转发率148,800pps,VLAN支持。
方案一的网络拓朴图如下:
(见图3ADSL方式,图4LAN方式)。
我们可以看到除了宽带接入类型不同外(一个是ADSL,另一个是LAN),也就是广域网部分不同,企业的局域网部分完全相同。
在这里我们把提供WEB、FTP等互联网服务的服务器接到NetgearRP614宽带路由器的LAN口上,并设置相应的虚拟服务器(DMZ)。
其他大部分的企业内网计算机(包括OA服务器)则连至D-LinkDES-1024D交换机,并通过交换机连至NetgearRP614宽带路由器的其他LAN口。
另外就是根据手册的指示在宽带路由器上做ADSL拨号用户密码的设置或者LAN的动态或者静态IP设置;进行访问控制、安全防火墙设置。
方案二:
ADSL/光纤以太网+代理服务器+交换机
用代理服务器来作为网关设备执行INTERNET代理共享在以前一直是小型企业普遍采用的方案。
因为可以轻易地用网关软件(WINGATE,SYSGATE,WINROUTE)来实现这一点。
但这里我们介绍利用WINDOWSSERVER2000的系统所带的代理软件来实现。
这样我们既可以实现共享代理,又可在代理服务器上实现WEB,FTP,MAIL服务器的功能。
这种方案的安全性较低,您可能还需要在这个服务器上安装防火墙软件(比如:
MicrosoftISA)。
本方案的网络拓朴图如下:
(图5ADSL方式和图6LAN方式)
使用Windows2000来实现Internet连接共享(ICS)功能,可以按以下步骤设置:
1.在控制面板中,双击网络和拨号连接。
2.右键单击要共享的连接(也就是接入外线路的那张网卡),然后单击属性。
3.在共享选项卡上,单击选中启用此连接的Internet连接共享复选框。
Internet连接共享功能,专用于小型办公网络或家庭网络,在这些网络中,网络配置和Internet连接由共享连接由所在的Windows2000计算机进行管理。
此计算机是唯一的Internet连接、唯一的Internet网关,并由它建立所有内部网络地址。
在启用ICS之后,不要修改默认网络配置。
包括分发的专用IP地址范围(DHCP分配符)、启用或禁用DNS、配置公用IP地址的范围,以及配置入站映射等项目。
连接向外的那张网卡要配置网络提供商分配的IP地址,所以这种共享方式不适合于ADSL拨号宽带接入,而只适合有固定IP的宽带接入类型。
另外WindowsServer2000中GUEST用户必须有,而且“帐号永不过期”,要不然,客户机就无法访问服务器的共享资源。
对于10-20人的小企业的有线组网,我们仍推荐使用宽带路由器,因为优点显而易见。
表现在不用传统路由器或代理网关服务器,节省大笔费用;相对于代理网关服务器而言,网络更稳定,受网络病毒侵害的机会较小。
方案三:
光纤+路由器/防火墙+各种应用服务器
这种接入方式采用网通的10M光纤接入Internet,这个方案与上述两个方案相比可靠,高效,代表了现在企业信息化发展的趋势,服务器各尽其责,可以提高了信息化的运行效率和网络架构的稳定性,同时对日益泛滥的病毒起到了很好的监控和防治。
使网络构架具有很强
升级会员 