中小型企业局域网的安全设计方案.docx

1、中小型企业局域网的安全设计方案广州现代信息工程职业技术学院毕业设计（论文）课题名称： 中小型企业局域网的安全设计方案学号 0901231151 姓名 赵健溢 性别 男 专业 计算机网络技术 年级、班级 2009网络技术班 指导教师 肖东升 职称 高级工程师 2012年 4月 13日摘 要本设计（论文）主要是对现在中小型的企业局域网，办公网络进行规划和设计。目前国内经济发展迅速，改革开放以来私企和一些中小型的私人企业、股份企业如雨后春笋。尤其在21世纪的十年里，伴随这激烈的竞争各企业不断改进管理模式，加大了在企业信息化和办公自动化方面的投入，使得信息网络产业发展迅速。中小企业网络化能够促进产业的

2、发展，加大工作效率。关键词：网络规划设计 综合布线 网络设备 WEB服务器 DHCP服务器前言1.绪论 61.1项目背景 6 1.2中小企业网络概述6 2.需求分析6 2.1 企业描述7 2.2 网络概况8 2.3 公司需求8 2.4 解决方案9 2.5 可行性分析93.网络逻辑方案 103.1 布线逻辑方案103.2 网络逻辑方案114.网络详细设计方案 12 4.1 网络配置方案12 4.2 服务器配置方案 19 5.项目测试与维护 20 总结21致谢22参考文献23前 言随着现代网络通信技术的应用和发展，互联网迅速发展起来，世界逐步进入到网络化、共享化，我国已经进入到信息化的新世纪。在整

3、个互联网体系巾，局域网是其巾最重要的部分，公司网、企业网、银行金融机构网、政府、学校、社区网都属于局域网的范畴。局域网实现了信息的传输和共享，为用户方便访问互联网、提升业务效率和效益提供了有效途径。（1）建立企业局域网，可以同分利用企业现有的硬件资源。节约公司的开支，实现无纸化办公。提高企业员工的工作效率，由于局域网企业内部的资源可以得到共享，避免了不必要的重复工作也可以提高时间的利用率。（2）局域网建成后可以节约企业在使用网络资源方面节约更多的开支，便于公司员工查阅和接受网络信息，也可以简化公司对计算机的日常维护和管理，节约维护成本。（3）建立局域网提高公司在办公自动化水平和企业内部应用电子

4、商务的能力，逐步实现业务级网络应用。更有利于企业获得更快、更准确的市场信息，为公司决策提供更科学的依据等。（4）建立局域网也可以是外界能更快更好的认识本企业，加强企业知名度。本研究以在中小企业为背景，多层面探索这些企业在网络规设计碰到的问题和解决方法，供有关部门作为研究、管理决策、规划的参考。 1 绪论1.1 项目背景中小企业网络主要是企业内部网络建设，包括企业内部计算机节点的分布与整个网络的物理线路连接合理布局，以及门户网站、电子商务平台的搭建。进入21世纪后我国的中小企业大都进入信息化和办公自动化或者半信息半自动化。网络能够提高整个企业的工作效率，加大市场宣传面，增加业务业务量。因此中小企

5、业网络将在20年内得到高速的发展。公司追求形象，所以在网络设计和布设方面要求特别高，要求绝对的合理化。另外合理的网络布局使我们企业办公场所环境优良，企业的网络化使得公司工作效率普遍较高，WEB服务器和办公服务器的架设，使得公司对外宣传面扩大，提高了效益。同时网络化办公也使员工能够在网络上找到疑问的答案。网络使得公司各方面都得到了很快的发展。中小企业的网络规划、设计和维护越来越需要标准化和规范化。1.2 中小企业网络概述中小企业网络主要是企业内部网络建设，包括企业内部计算机节点的分布与整个网络的物理线路连接合理布局，以及门户网站、电子商务平台的搭建。进入21世纪后我国的中小企业大都进入信息化和办

6、公自动化或者半信息半自动化。网络能够提高整个企业的工作效率，加大市场宣传面，增加业务业务量。因此中小企业网络将在20年内得到高速的发展。2 需求分析2.1 企业描述：2.1.1 职能描述如图2-1所示：图21 职能描述该公司新购一个办公楼层，需要在目前简易装修的基础上设计企业网络，并且与下面的再次装修基本同步进行，外网接入电信光纤。董事长单独1间办公室；三个总监共3间办公室；技术部1间办公室（技术主管在技术部办公）；业务部1间办公室（业务主管在业务部办公）；行政部1间办公室（行政主管在行政部办公）；公司内设一个机房。一个信息技术操作室2.1.2 公司的建筑物理布局如图22所示： 2.2 网络概

7、况电信网络独享百兆接入，由于电信法相关规定，地址转换翻译有特殊规定，使用一个ip为全公司整个网络使用，会导致违反规定，会被误认为是黑网吧之类的节点，因此公司采取使用全部公网。电信分配的ip地址为202.16.100.33掩码：255.255.255.0.另外电信的路由是终结的。 2.3 公司需求节点需求：名称节点数IP分配机房10个192.168.1.236192.168.1.245调试室2个192.168.1.234192.168.1.235董事长办公室1个192.168.1.233总监办公室共3个192.168.1.230192.168.1.232技术办公区8个192.168.2.2192

8、.168.2.9行政办公区6个192.168.2.10192.168.2.15业务办公区24个192.168.3.2192.168.3.25前台1个192.168.3.26无线1个192.168.1.229服务器需求：Web服务器、数据库服务器、dhcp、办公、存储网络需求：（1）WEB需要至少30M的流量（上传下载速率：30*128kb，约为3M/S）。（2）数据库服务器同上。（3）办公服务器（办公系统），内网使用。（4）DHCP内网使用和邮件服务器。（5）存储服务器。（6）董事长办公室、总监办公室各独享3M。（7）布线必须不影响公司整个装修的美观。2.4 解决方案综合布线需求主要是价廉、合

9、理、美观、标准。因此进行夹墙内、地板下、天花板上布线。网络设备主要放在机房和大厅个办公区域头部柜子内。机房内使用一个机柜（33U、1.6M），防尘地板，和空调。Web和数据库服务器必须7*24不间断,使用linux操作系统架设web和ftp。办公服务器和主要的网络设备放置机房机柜。办公服务器采用windows 2003操作系统。主要为ftp和办公系统。公司办公网上网使用CICSO路由器实现dhcp，调试室使用静态公网ip地址。2.5 可行性分析通过对该企业写字楼的现场调查和需求分析后，对其可行性进行分析。技术上可行：该系统所需硬件设备，市场上销售且价格较低，操作系统采用linux、Window

10、s系列操作系统，数据库采用SQL，这些软件已被大量应用，技术上都比较成熟。因此在技术上是可行的。经济上可行：网络企业主要的是实现办公自动化和信息化。网络是网络企业发展的命脉和根本，没有网络该类型企业无法发展。因此，这项投入是企业必须的。因此经济上没有问题。管理上可行：整个公司的办公资料是通过办公服务器集中存储处理的，整个网络设备都是集中的机房并且具有专人进行维护。因此可以达到了集中管理。管理上是可行的。综上所述，设计建设该网络项目在技术上、经济上、管理上都是可行的。3 网络逻辑方案3.1 布线方案布线主要采取外线进入公司机房然后星形对外布线，如图31所示： 防火墙INTERNET图31 布线逻

11、辑方案公司是光纤接入，然后通过自己的路由器接到交换机，然后接分交换机3.2 网络逻辑方案4. 网络配置方案4.1.1 配置概述为了降低成本，公司采用路由器实现dhcp功能。IP地址分配：路由器：202.16.100.33/255.255.255.0内网使用私有地址：10.0.0.0/255.0.0.0网络设备地址：R2: E0: 202.16.100.33 E1:192.168.1.1 S1: VLAN1:192.168.1.2 S2: VLAN1: 192.168.2.1 S3: VLAN1: 192.168.3.1服务器地址：OA: 192.168.1.240 OA备用: 192.168.

12、1.241 WEB: 192.168.1.242 WEB备：192.168.1.243 备机：192.168.1.244 存储：192.168.1.245 无线路由器：192.168.1.2294.1.2 路由器配置（1）概述：由于电信拉来的专线是终结的，所以我们的路由器只需要设置PAT地址转换和dhcp功能。另外我们采用路由器作为我们的防火墙，因此需要配置acl访问控制。路由器f0/0为外网进口ip设置为202.16.100.33/255.255.255.0 .路由器内网端口ip设置为：192.168.1.1/255.0.0.0也就是说内网采用192.0.0.0 /255.0.0.0这个网络

13、。然后设置PAT地址转换。再通过配置ACL来做防火墙。（2）PAT地址转换配置如下：由于本操作主要是在公司路由器上，所以以一台路由器模拟电信接入的INTERNET，另外一台R2属于公司内部的路由器，然后接到交换机，并以四台pc模拟内网。R1 E0/0: 202.16.100.32/255.255.255.0R2E0/0: 202.16.100.33/255.255.255.0E0/1:192.168.1.1/255.0.0.0配置如下：R1enR1#conf tR1(config)#int f0/0R1(config-if)#ip add 202.16.100.32 255.255.255.0

14、R1(config-if)#no shutR1(config-if)#endR1#writeBuilding configuration.OKR2enR2#conf tR2(config)#int f0/0R2(config-if)#ip add 202.16.100.33 255.255.255.0R2(config-if)#no shut R2(config-if)#exitR2(config)#int f0/1R2(config-if)#ip add 192.168.1.1 255.0.0.0R2(config-if)#no shutR2(config-if)#exitR2(config

15、)#ip nat pool MYNET 202.16.100.33 202.16.100.33 netmask 255.255.255.0R2(config)#ip nat inside source list 1 pool MYNET overloadR2(config)#access-list 1 permit 192.0.0.0 0.255.255.255R2(config)#interface fastEthernet 0/1R2(config-if)#ip nat insideR2(config-if)#exitR2(config)#interface fastEthernet 0/

16、0R2(config-if)#ip nat outsideR2(config-if)#endR2#debug ip nat IP NAT debugging is onR2#writeBuilding configuration.OKpc0到pc1的ip地址设置为192.168.1.10-192.168.1.13测试结果如下：Packet Tracer PC Command Line 1.0PC0ping 202.16.100.32 模拟器内可以通PC1ping 202.16.100.32 模拟器内可以通PC2ping 202.16.100.32 模拟器内可以通PC3ping 202.16.1

17、00.32 模拟器内可以通查看路由器内PAT信息：R2# show ip nat translationsNAT: s=192.168.1.12- 202.16.100.33, d=202.16.100.32 5NAT*: s=202.16.100.32, d= 202.16.100.33-192.168.1.12 44NAT: s=192.168.1.12- 202.16.100.33, d=202.16.100.32 11NAT*: s=202.16.100.32, d= 202.16.100.33-192.168.1.12 50NAT*: s=202.16.100.32-202.16.1

18、00.32, d= 202.16.100.33 52NAT*: s=202.16.100.32, d= 202.16.100.33-192.168.1.11 52NAT: s=192.168.1.11- 202.16.100.33, d=202.16.100.32 6NAT: s= 202.16.100.33, d=202.16.100.32-202.16.100.32 6NAT*: s=202.16.100.32, d= 202.16.100.33-192.168.1.10 60NAT: s=192.168.1.10- 202.16.100.33, d=202.16.100.32 12NAT

19、: s= 202.16.100.33, d=202.16.100.32-202.16.100.32 12NAT*: s=202.16.100.32-202.16.100.32, d= 202.16.100.33 61NAT*: s=202.16.100.32, d= 202.16.100.33-192.168.1.10 62NAT: s=192.168.1.13- 202.16.100.33, d= 202.16.100.32 5NAT*: s=202.16.100.32, d= 202.16.100.33-192.168.1.13 64NAT: s=192.168.1.13- 202.16.

20、100.33, d=202.16.100.32 6NAT*: s=202.16.100.32, d=202.16.100.33-192.168.1.13 65NAT: expiring 202.16.100.33 (192.168.1.12) icmp 5 (5)NAT: expiring 202.16.100.33 (192.168.1.12) icmp 6 (6)NAT: expiring 202.16.100.33 (192.168.1.11) icmp 1024 (5)NAT: expiring 202.16.100.33 (192.168.1.11) icmp 1029 (10)NA

21、T: expiring 202.16.100.33 (192.168.1.10) icmp 1032 (11)NAT: expiring 202.16.100.33 (192.168.1.10) icmp 1033 (12)NAT: expiring 202.16.100.33 (192.168.1.13) icmp 5 (5)NAT: expiring 202.16.100.33 (192.168.1.13) icmp 6 (6)（以上返回信息直接在模拟器上拷贝的，并且将部分重复的删除掉了，主机 ping 202.16.100.32路由器会出现以上信息）（3）路由器实现DHCP配置如下：R2

22、enR2#configureR2(config)#ip dhcp pool NETDHCPR2(dhcp-config)#network 192.0.0.0 255.0.0.0R2(dhcp-config)#default-router 192.168.1.1R2(dhcp-config)#dns-server 192.168.1.240R2(dhcp-config)#exitR2(config)#ip dhcp excluded-address 192.168.1.1 192.168.1.10（保留1-10，这个是内网路由接口的地址和内网各网络设备的地址）R2(config)#ip dhcp

23、 excluded-address 192.168.1.240 192.168.1.254（保留240-154这些ip）R2(config)#enR2#en测试：在局域网内随便找几台机器ping外网，本项目中ping通202.16.100.32即可将pc机的地址该为自动获取。 以上是模拟器中测试的结果，是没有问题的。（4）路由器安全设置：配置口令：R2（config）#enable secret ciscoR2 (config) #line vty 0 4 R2 config-line)#password ciscoR2 (config-line)#endR2 #writeBuilding c

24、onfiguration.OK配置ACL配置禁止135-445，禁止外网telnet公司路由。R2(config)#access-list 120 deny tcp any any eq 23R2(config)#access-list 120 deny tcp any any eq 135R2(config)#access-list 120 deny tcp any any eq 136R2(config)#access-list 120 deny tcp any any eq 137R2(config)#access-list 120 deny tcp any any eq 138R2(c

25、onfig)#access-list 120 deny tcp any any eq 139R2(config)#access-list 120 deny tcp any any eq 389R2(config)#access-list 120 deny tcp any any eq 445R2(config)#access-list 120 deny tcp any any eq 4444R2(config)#access-list 120 deny udp any any eq 69 R2(config)#access-list 120 deny udp any any eq 135R2(

26、config)#access-list 120 deny udp any any eq 136R2(config)#access-list 120 deny udp any any eq 137R2(config)#access-list 120 deny udp any any eq 138R2(config)#access-list 120 deny udp any any eq 139R2(config)#access-list 120 deny udp any any eq snmpR2(config)#access-list 120 deny udp any any eq 389R2

27、(config)#access-list 120 deny udp any any eq 445R2(config)#access-list 120 deny udp any any eq 1434R2(config)#access-list 120 deny udp any any eq 1433R2(config)#access-list 120 permit ip any anyR2(config)#int f0/0R2(config-if)#ip access-group 120 in2(config-if)#endR2#writeBuilding configuration.OK如果需要删除规则：（config）#no access-list 120查看规则可以：R2#show running-config4.1.3 交换机配置概述：交换机只做监控使用，因此只设置远程管理权限。（1）主交换机端口分配：机柜和调试室使用端口14-22分给机柜，23-24备用；领导网络端口分配：1-4，5-6备用；行