小型局域网建设方案Word文档下载推荐.docx

1、2.具有良好的升级扩展能力。3.具有较高的可靠性和安全性。4.产品功能与实际应用需求相匹配。80%的中小企业用户通常只用到局域网20%的功能。精简功能设计的产品不但可以在满足大多数需求的情况下有效降低成本，而且还能够提高系统的稳定性和易维护性。5.尽可能选择成熟、标准化的技术和产品。恰当运用以太网的不同标准和功能，以太网技术能够在双绞线、多模光纤、单模光纤等介质上传输数据，可以非常简单地升级到百兆、千兆的速率，而且具有很高的稳定性和可管理性。以太网提供了多种标准和功能。比如10Mbps、100Mbps、1000Mbps不同速率的标准，双绞线、光纤等不同介质的标准，以及网络管理、流量控制、VLA

2、N、优先级、链路聚合等功能。二 典型中小企业组网实例（一） 案例描述典型中小企业组网实例，申请一个公网IP和10M带宽，单台路由器，WEB服务器，文件服务器，FTP服务器等，客户端办公电脑100台左右，多部门划分VLAN，用ACL控制各部门访问权限，配置网络打印机。（二） 硬件设备序号设备名称规格单位数量单价（元）合价（元）1交换机Cisco 4503Cisco 2960-48t台27400930026000路由器Cisco 2821145003防火墙Nokia IP35534500总计75000Cisco Catalyst 4500系列能够为无阻碍的第2/3/4层交换提供集成式弹性，因而能进

3、一步加强对融合网络的控制。可用性高的融合语音/视频/数据网络能够为正在部署基于互联网企业应用的企业和城域以太网客户提供业务弹性。4500系列中提供的集成式弹性增强包括11超级引擎冗余、集成式IP电话电源、基于软件的容错以及1+1电源冗余。硬件和软件中的集成式冗余性能够缩短停机时间，从而提高生产率、利润率和客户成功率。是用于公司企业网络交换机群核心层高性价比的一系列。Cisco WS-C2960-48T拥有大数量的接口，全智能自动全双工半双工识别，具有用于接入层交换机的良好优势。能够快速转发用户的数据。Cisco 2821是一台多业务路由器，比较适合中小型企业的需求与应用。Nokia IP355

4、是一款应用于中小型企业的防火墙产品，能够进行SNMP,Telnet,FTP,SSHv2（安全Telnet&FTP）,HTTP 服务器RFC 2068,SSL/TLS RFC 2246,命令行运用的管理和对流量的过滤，对于中小型的安全问题防护性能比较良好。（三） IP地址规划部门IP地址公网地址221.195.66.117路由器内部IP172.16.0.1/30核心交换外部IP172.16.0.2/30Web服务器172.16.2.1/24Ftp服务器172.16.2.2/24文件服务器172.16.2.3/24网络打印机172.16.30.1/24财务部172.16.40.1/24设计部172

5、.16.41.1/24市场部172.16.42.1/24（四） 网络拓扑（五） 配置需求及解决方案为了直观方便，配置需求全部在配置命令中加以单点说明，并且配置命令量大反复，这里只列出重点命令。1.配置Router ：接口：interface fastethernet0/1ip address 172.16.0.1 255.255.255.252duplex autospeed autoip nat inside no shutdown interface fastethernet0/2ip address 221.195.66.117 255.255.255.248ip nat outside

6、no shutdown路由：ip route 0.0.0.0 0.0.0.0 221.195.66.117过载：ip nat inside source list 110 interface FastEthernet0/2 overloadaccess-list 110 permit ip 172.16.0.0 0.0.255.255 any2.配置Core switch：VTP：VTP Version: 2Configuration Revision: 7Maximum VLANs supported locally : 1005Number of existing VLANs: 9VTP

7、Operating Mode: ServerVTP Domain Name: OAVTP Pruning Mode: DisabledVTP V2 Mode: EnabledVTP Traps Generation:VLAN：core-sw#vlan database 进入vlan配置模式core-sw（vlan）#vtp domain OA 设置vtp管理域名称OAcore-sw（vlan）#vtp server 设置交换机为服务器模式core-sw（vlan）#vlan 10 name shichang 创建VLAN 10，为市场部core-sw（vlan）#vlan 11 name ca

8、iwu 创建VLAN 10，为财务部core-sw（vlan）#vlan 12 name sheji 创建VLAN 12，为设计部core-sw（vlan）#vlan 13 name netprinter 创建VLAN 13，为网络打印机core-sw（vlan）#vlan 20 name server 创建VLAN 20，为服务器组core-sw（config）#interface vlan 10core-sw（config-if）#ip address 172.16.42.254 255.255.255.0core-sw（config）#interface vlan 11core-sw（c

9、onfig-if）#ip address 172.16.40.254 255.255.255.0core-sw（config）#interface vlan 12core-sw（config-if）#ip address 172.16.41.254 255.255.255.0core-sw（config）#interface vlan 13core-sw（config-if）#ip address 172.16.30.254 255.255.255.0core-sw（config）#interface vlan 20core-sw（config-if）#ip address 172.16.2.

10、254 255.255.255.0将接入层SW上的端口根据需要划分至各个VLAN 3.配置ACL：配置ACL 应用在各个部门VLAN接口上，控制各部门互访access-list 10 permit 172.16.2.0 0.0.0.255 access-list 10 permit 172.16.30.0 0.0.0.255 access-list 10 deny 172.16.0.0 0.0.255.255 access-list 10 permit any 进入vlan 10ip access-group 10 out把访问控制列表10 应用于VLAN 10 OUT方向上，市场部内部可以互

11、访，可以访问服务器网段和网络打印机网段，但不能访问财务部和设计部所在网段。access-list 11 permit 172.16.2.0 0.0.0.255access-list 11 permit 172.16.30.0 0.0.0.255access-list 11 permit 172.16.42.0 0.0.0.255access-list 11 deny 172.16.0.0 0.0.255.255access-list 11 permit any进入vlan 11ip access-group 11 out把访问控制列表11应用在VLAN 11 OUT方向上，财务部内部可以互访问

12、，可以访问服务器网段和网络打印机网络，可以访问市场部网段，但不能访问设计部网段。设计部VLAN 12 ，网络打印机 VLAN 13，服务器 VLAN 20 可以访问任意网段，应用访问控制列表access-list 110 在in的方向上，封掉常见病毒端口。access-list 110 deny tcp any any eq 1068access-list 110 deny tcp any any eq 2046access-list 110 deny udp any any eq 2046access-list 110 deny tcp any any eq 4444access-list

13、110 deny udp any any eq 4444access-list 110 deny tcp any any eq 1434access-list 110 deny udp any any eq 1434access-list 110 deny tcp any any eq 5554access-list 110 deny tcp any any eq 9996access-list 110 deny tcp any any eq 6881access-list 110 deny tcp any any eq 6882access-list 110 deny tcp any any

14、 eq 16881access-list 110 deny udp any any eq 5554access-list 110 deny udp any any eq 9996access-list 110 deny udp any any eq 6881access-list 110 deny udp any any eq 6882access-list 110 deny udp any any eq 16881access-list 110 permit ip any any可以根据实际需要将此ACL应用于任一接口，或者添加一些屏蔽软件的端口，达到管理内部员工的目的，也可以用局域网内部的

15、管理软件，更加直接方便，并且易于操作。4.配置FTP服务器：用IIS架设（IIS只适用于Window NT/2000/XP操作系统）。安装：Window XP默认安装时不安装IIS组件，需要手工添加安装。进入控制面板，找到“添加删除程序”，打开后选择“添加删除Window组件”，在弹出的“Window组件向导”窗口中，将“Internet信息服务（IIS）”项选中。在该选项前的“”背景色是灰色的，这是因为Window XP默认并不安装FTP服务组件。再点击右下角的“详细信息”，在弹出的“Internet信息服务（IIS）”窗口中，找到“文件传输协议（FTP）服务”，选中后确定即可。安装完后需要

16、重启。Window NT2000和Window XP的安装方法相同。设置：电脑重启后，FTP服务器就开始运行了，但还要进行一些设置。点击“开始所有程序管理工具Internet信息服务”，进入“Internet信息服务”窗口后，找到“默认FTP站点”，右击鼠标，在弹出的右键菜单中选择“属性”。在“属性”中，我们可以设置FTP服务器的名称、IP、端口、访问账户、FTP目录位置、用户进入FTP时接收到的消息等。FTP站点基本信息：进入“FTP站点”选项卡，其中的“描述”选项为该FTP站点的名称，用来称呼你的服务器，这里设置名称为 “FTP服务器”；“IP地址”为服务器的IP，设置为172.16.2.

17、2；“TCP端口”一般仍设为默认的21端口；“连接”选项用来设置允许同时连接服务器的用户最大连接数；“连接超时”用来设置一个等待时间，如果连接到服务器的用户在线的时间超过等待时间而没有任何操作，服务器就会自动断开与该用户的连接。设置账户及其权限：很多FTP站点都要求用户输入用户名和密码才能登录，这个用户名和密码就叫账户。不同用户可使用相同的账户访问站点，同一个站点可设置多个账户，每个账户可拥有不同的权限，如有的可以上传和下载，而有的则只允许下载。安全设定：进入“安全账户”选项卡，有“允许匿名连接”和“仅允许匿名连接”两项，默认为“允许匿名连接”，此时FTP服务器提供匿名登录。“仅允许匿名连接”

18、是用来防止用户使用有管理权限的账户进行访问，选中后，即使是Administrator（管理员）账号也不能登录，FTP只能通过服务器进行“本地访问”来管理。至于“FTP站点操作员”选项，是用来添加或删除本FTP服务器具有一定权限的账户。与其他专业的FTP服务器软件不同，它基于Window用户账号进行账户管理，本身并不能随意设定FTP服务器允许访问的账户，要添加或删除允许访问的账户，必须先在操作系统自带的“管理工具”中的“计算机管理”中去设置Window用户账号，然后再通过“安全账户”选项卡中的“FTP站点操作员”选项添加或删除。但对于Window 2000和Window XP专业版，系统并不提供

19、“FTP站点操作员”账户添加与删除功能，只提供Administrator一个管理账号。设置用户登录目录：最后设置FTP主目录（即用户登录FTP后的初始位置），进入“主目录”选项卡，在“本地路径”中选择好FTP站点的根目录，并设置该目录的读取、写入、目录访问权限。设置完成后，FTP服务器就算建成了。三 网络布局和综合布线公司组网，我们不仅要从企业本身的实际需求出发，根据组网经费的多少来务实地规划与设计网络；在采购好网络设备和服务器等设备后，如何对机房、办公地点进行合理的网络布局与布线，是致关重要的。网络布局主要是指机房里的网络设备、服务器等设备如何放置，它们又与网络布线如何相处，总之网络布局要考

20、虑周全。（一） 网络布局的原则1.实用性企业组建的局域网应当根据机房的大小、设备的多少来具体实施，根据网络布线的特点来发挥网络布局实用性是非常重要的。2.全面性组网过程中，网络、服务器等设备放置位置应当统筹兼顾，网络布局要考虑周全，尽量让各种设备和布线系统处于合理的位置。3.可靠性组网无论怎样布局，最终的目的是保证我们的局域网的所有设备能可靠稳定地运行，使得网络能正常运转。4.便于维护与升级网络的组网不是一成不变的，随着IT企业业务的不断发展的需求，原先组建的局域网就需要不断地完善和扩充；在日常的网络运行维护中，规划网络布局时就应该考虑到便于以后网络的维护与升级操作。（二） 网络布局的具体实施

21、要求对于有线局域网来说，这是我们目前企业网络建设中，经常会遇到的，需要对机房和办公大楼进行布线。规划网络布局要考虑到机房的设备布局和布线系统的合理搭配。因此我们首先要规划与设计好机房、布线系统，然后再全面地考虑网络的布局。1.机房的规划与设计为了确保网络、计算机系统稳定、安全、可靠地运行，以及保障机房工作人员有良好的工作环境，做到技术先进、经济合理、安全适用、确保质量，符合国家有关的机房设计规定。（1）防静电静电不仅会对计算机运行出现随机故障，而且还会导致某些元器件，双级性电路等的击穿和毁坏。此外，还会影响操作人员和维护人员的正常的工作和身心健康。（2）防火、防盗计算机房在设计时，重点要考虑机

22、房的消防灭火设计。设计时可以根据消防防火级别来确定机房的设计方案，计算机房火灾报警要求在一楼设有值班室或监控点。机房里应注意防盗设施的安装，具体地可采用防盗门、防盗锁、警卫、自动报警系统等等。（3）防雷由于机房通信和供电电缆多从室外引入机房，易遭受雷电的侵袭，机房的建筑防雷设计尤其重要。计算机通信电缆的芯线，电话线均应加装避雷器。（4）保湿、保温机房里的湿度应保持在20%-80%为宜，机房的温度应保持在15-35摄氏度，安装空调来调节温度是解决此问题最好的办法。2.布线系统的规划与设计有了好的机房，网络设备就有了好的“家”，组建的IT网络应当通过布线系统将机房和办公地点互联起来，确保网络的正常

23、运行。如果企业的接入点较多，我们可以采取接入层、汇聚层、交换层三个网络层次的设计，在此基础上进行布线系统。对于接入层来说，选择一个合理的接入设备，是最关键的，而且我们要根据接入设备选择合适的带宽。汇聚层是整个局域网的核心部分，汇聚层网络设备一般支持网络管理功能，方便我们的管理和维护，方便以后我们的网络升级和改造。交换层是整个网络中的中间层，连接着汇聚层和网络节点，是决定我们整体网络传输质量的很重要的一个环节。随着百兆网络设备的普及，我们交换层的网络设备，肯定首选百兆。布线是连接网络接入层、汇聚层、交换层和网络节点的重要环节。在布线时，最好使用专门的通道，而且不要与电源线，空调线等具有辐射的线路

24、混合布线。接入层与汇聚层之间的双绞线，可以选择超五类屏蔽双绞线，以使网络性能得到最大的提升。汇聚层与交换层之间的双绞线，由于是网络数据传输量最大的一个层次，同样采用超五类屏蔽双绞线。交换层与网络节点之间，我们就可以采用普通的超五类非屏蔽双绞线。网络设备的放置，最好放在节点的中央位置，这样做，不是为了节约综合布线的成本，而是为了提高网络的整体性能，提高网络传输质量。由于双绞线的传输距离是100米，在95米才能获得最佳的网络传输质量。在做网络布线时，最好能够设计一个设备间，放置网络设备。（三） 网络布局的规划与设计目前的网络设备大都采用机架式的结构（多为扁平式，活像个抽屉），如交换机、路由器、硬件

25、防火墙等。这些设备之所以有这样一种结构类型，是因为它们都按国际机柜标准进行设计，这样大家的平面尺寸就基本统一，可把一起安装在一个大型的立式标准机柜中。这样做的好处非常明显：一方面可以使设备占用最小的空间，另一方面则便于与其它网络设备的连接和管理，同时机房内也会显得整洁、美观。我们经常接触到的放置机房里有网络机柜、服务器机柜以及综合布线柜，从这三个机柜的名字就可以看出它们各自所起的作用；一般来说，网络设备如交换机、路由器、防火墙、加密机等以及网络通信设备如光端机、调制解调器等是放置在网络机柜的；服务器机柜的宽度为19英寸，高度以U为单位 （1U=1.75英寸=44.45毫米），通常有1U，2U，

26、3U，4U几种标准的服务器。机柜的尺寸也是采用通用的工业标准，通常从22U到42U不等；机柜内按U的高度有可拆卸的滑动拖架，用户可以根据自己服务器的标高灵活调节高度，以存放服务器、集线器、磁盘阵列柜等设备。服务器摆放好后，它的所有I/O线全部从机柜的后方引出（机架服务器的所有接口也在后方），统一安置在机柜的线槽中，一般贴有标号，便于管理。综合布线柜一般配有前后可移动的安装立柱，自由设定安装空间，可按需要配置隔板、风扇、电源插座等附件。配线架通常安装在机柜里，配线架的一面是RJ45口，并标有编号；另一面是跳线接口，上面也标有编号，这些编号和上面的RJ45口的编号是一一对应的。每一组跳线都标识有棕

27、、蓝、橙、绿的颜色，双绞线的色线要和这些跳线一一对应，这样做不容易接错。配线架不仅仅是便于管理线对，而且可以防止串扰，增加线对的隔离空间，提供360度的线对隔离。在机房中，必须放置交换机、功能服务器群和网络打印设备，以及局域网络连接Internet所需的各种设备，如路由器、防火墙以及网管工作站等；因此机房的网络布局一般至少有三个机柜，综合布线柜和网络机柜应当紧连在一起，便于调线操作，接下来是服务器机柜；将网络设备和布线系统进行合理的布局。在网络布局中，每个机柜最好留点空间，便于以后网络设备、服务器设备的扩充，综合布线柜里有可能除了网络布线外，还有能布置电话线，所以要在机柜里留下一定空间。从机柜内部线缆附设的角度看，机柜配置密度更高，容纳的IT设备更多，大量采用冗余配件（如冗余电源、存储阵列等），机柜内设备配置频繁变换，数据线和电缆随时增减。所以，机柜必须提供充足的线缆通道，能从机柜顶部、底部进出线缆。在机柜内部，线缆的敷设必须方便、有序，与设备的线缆接口靠近，以缩短布线距离；减少线缆的空间占用，保证设备安装、调整、维护过程中，不受到布线的干扰，并保证散热气流不会受到线缆的阻挡；同时，在故障情况下，能对设备布线进行快速定位。供电系统和制冷系统是计算机机房的两个重要部分。在供电系统中，一般采用在线的UPS供电方式，蓄电池实际可