中小型企业网络构建及安全实现方案.docx

1、中小型企业网络构建及安全实现方案中型企业网络构建及安全实现方案目 录：第一章. 网络构建理论总述 31. 序言 3第二章. 需求分析 4第三章. 网络系统设置规划 41、网络系统设置原则 42、网络设计总体目标 53、网络通信联网协议 54、网络 IP 地址规划 55、网络设备方案设计 6第四章. 网络系统安全设置 71、外网安全设计. 72、内网安全设计 83、内外网安全之间设计 8第五章. 整体结构网络服务功能的组成 8系统架构 8DNS的注册诊断 9安装组件 9第六章. 网络布线系统设计 101、布线系统总体结构设计 102、工作区子系统设计 103、水平子系统设计 114、管理子系统设

2、计 115、干线子系统设计 116、设备间子系统设计 117、建筑群子系统设计 12第七章.结束语 12参考文献： 12 摘要： 由于计算机及网络技术的不断发展，极大地推动了企业网的建设，各企业都在筹备建设企业网，希望通过企业网的建设，增加硬件的投入科研和管理水平，提高办学质量，企业网的建设对于企业来说是一项大的工程，必须精心设计、精心施工，做到经济适用，技术先进、开放性能良好、投资强度合理、与国内外网络互联、能长期、稳定运行的高性能的企业网络。 企业网必须具备教学、管理和通讯三大功能。企业的管理人员可方便地对教务、行政事务、员工档案、财务、资产等进行综合管理，同时可以实现各级管理层之间的信息

3、数据交换，实现网上信息采集和处理的自动化，实现信息和设备资源的共享，因此，企业网的建设必须有明确的建设目标。 针对企业 当前面对的网络安全问题，提出一个网络安全模型，并对网络设计提出建议。 关键词：局域网 网络设备 企业 规划设计 服务器 网络安全 加密 防火墙第一章. 网络构建理论总述1. 序言随着当前对局域网更大带宽的日益强烈的需求，旧有的交换式10Mbps以太网、共享式100Mbps以太网和交换式100Mpbs快速以太网已经越来越不能满足我们的日常需要了。因此我们依照客户的需求以及实际情况草拟了千兆位以太网网络系统改造方案。 作为一种先进成熟的网络技术，与以前的局域网络技术相比，千兆网络

4、具备简单，高效、建设成本低等显著的优势。千兆以太网所用产品也显得非常安全实用，加上其可扩展好，易于使用等特点，千兆以太网已经成为满足我们网络需求的不二选择。 在本千兆以太网网络方案中，我们采用集中布线的方式，构成星型网络结构，以一台3Com Switch 4007作为中心交换机，3Com SuperStack 3 Switch 4950则作为二级主干交换机，选用的3Com SuperStack 3 Switch 4400作为工作组交换机，采用新一代的堆叠技术进行堆叠，堆叠后的工作组交换机可通过1000Base-SX 、1000Base-Lx 、1000Base-T 等各种千兆上连技术上连到中心

5、交换机。另外，工作组交换机与中心交换机之间还可采用多种高可靠上连技术，如弹性链路(Resilient Link) 、 链路聚合(link aggregation) 、以及快速生成树协议(802.1W)等实现与中心交换机的连接。最后，通过10/100Mbps自适应交换连接到桌面，实现每个信息点100Mbps带宽。 采用该千兆位太网解决方案后，企业将获得一种极其先进，并且极具简单性、实用性的解决办法，以缓解由于数据密集型应用不断增加和用户需求不断扩展而带来的网络压力。 充分满足了客户的网络需求，并可在将来根据需要方便的进行升级改造。一个崭新的千兆以太网的时代即将到来。第二章. 需求分析由于信息化浪

6、潮风起云涌，企业内部网络的建设已经成为提升企业核心竞争力的关键因素。企业网已经越来越多地被人们提到，利用网络技术，现代企业可以在供应商、客户、合作伙伴、员工之间实现优化的信息沟通。这直接关系到企业能否获得关键的竞争优势。近年来越来越多的企业都在加快构建自身的信息网络，而其中绝大多数都是中小企业。 通过网络建设能够实现企业内部资源的共享，降低企业成本，可以更好的与外界进行沟通，让外部更加了解企业。目前中小型企业建设过程中，存在很多问题，如有些中小型企业不考虑自身需求，一味追求高性能，构建的网络往往造成不必要的浪费；或另一方面，有些中小型企业建成的网络根本达不到应用本身对网络的需求。企业网络应分为

7、内部网络和外部网络两个部分，其中还包括在这两部分上的实际应用，中小型企业在网络设计之初就应该充分考虑到自身的需求，通过这些需求来具体设计适合自己需求的网络。因此，在建立局域网时应该考虑到网络的先进性、可扩展性、高可靠性、稳定性、高带宽、经济性。第三章. 网络系统设置规划1、网络系统设置原则网络要求： 稳定，有安全机制，升级扩展容易，用户使用简单，维护容易等。系统要求： 配置简单方便，系统运行有高稳定性，可管理性等。用户要求： 满足基本带宽要求，保留一定的余量供扩展等。设备要求： 技术上具有先进性，易管理，具有良好的性价比。2、网络设计总体目标【灵活性】：系统具有较高的适应变化的能力。布线系统且

8、具有一定的扩展能力。【实用性】：使用方便、简单、易扩展的特点。布线系统应在满足各种需求的情况下尽可能降低材料成本；布线系统具有操作简单、使用方便、易于扩展的特点。【安全性】：具有高安全性。3、网络通信联网协议TCP/IP ：每种网络协议都有自己的优点，但是只有TCP/IP允许与Internet完全的连接。Telnet：远程登录访问协议，使其他跨省区域的用户通过远程访问总部的内外，在远程访问时，会设置相应的ACL认证和相对的权限设置。SNMP网络管理协议：SNMP 用于在 IP 网络管理网络节点（服务器、工作站、路由器、交换机及 HUBS 等）的一种标准协议，它是一种应用层协议。SNMP 使网络

9、管理员能够管理网络效能，发现并解决网络问题以及规划网络增长。通过 SNMP 接收随机消息（及事件报告）网络管理系统获知网络出现问题。路由协议：OSPF。4、网络 IP 地址规划企业园区网计划使用私有的A类IP地址。企业园区网的IP地址分配原则如下：企业使用IPv4地址方案。企业使用私有IP地址空间：10.0.0.0/8。企业使用VLSM(变长子网掩码)技术分配IP地址空间。企业IP地址分配满足集团的利用。 企业IP地址分配满足便于路由汇聚。企业IP地址分配满足分类控制等。企业IP地址分配满足未来公司网络扩容的需要。 5、网络设备方案设计路由器：CISCO 2811 参考价：5200思科2811

10、路由器采用模块化端口结构，传输速率 10/100Mbps 设置一个10/100Mbps固定广域网接口，2个固定局域网接口10/100Mbps，支持4个扩展模块插槽，1个NM插槽和1个Console控制端口，配有RS-232的控制端口。该产品搭载Motorola MPC860 160MHz的处理器，配备最大256MB的Flash闪存和最大760MB的DRAM内存，极大的提高了该产品的安全性能。思科2811支持IEEE 802.3X网络协议以及SNMP网管协议，同时还配备Cisco ClickStart网管软件，支持VPN-虚拟专用网，以及QoS，协议方面支持比较完善。安全方面，2811内置了防火

11、墙，并支持UL 60950:CAN/CSA C22.2 No. 60950、IEC 60950、EN 60950-1、AS/NZS 60950等众多安全标准，为企业用户提供更安全的网络服务。三层交换机：采用友讯网络（D-Link）DES-3326 参考价：6300元DES-3326是友讯网络公司推出的一款可网管、支持千兆的10/100M智能三层交换机，是一款线速第三层交换机，提供了24个10/100BASE-TX端口及1个扩展插槽，可扩展2个可选千兆以太网端口。DES-3326交换机将第二层线速交换及第三层IP路由以及服务质量(QoS)有机集成为一体，并可采用支持SNMP标准的网管系统进行配置

12、、监控和管理。DES-3326交换机前面板插槽可选插2口千兆模块，不同模块可支持1000BASE-SX、1000BASE-T标准。所有模块支持流量控制和全双工，可处理大量数据。支持优先级队列和QoS机制，优先级队列功能可以根据数据交换的重要性进行排队，优先交换重要数据。该款交换机具有端口聚合功能，最大可将8个10/100Mbps端口聚合成一个端口，而聚合之后的这个端口性能非常强大，这项功能主要是帮助那些需要高带宽端口而又不想投入过多资金的用户使用，而这项功能最主要的应用场合是VLAN划分，VLAN划分需要设置汇聚链路，而汇聚链路对带宽要求非常高，通过端口聚合功能可提供一个高带宽的端口。DES-

13、3326支持SNMP管理和RMON监控功能，并且还支持端口镜像功能，通过这些功能，管理员可对该款交换机进行管理、配置以及对此款交换机所连接的网络进行监控。DES-3326交换机还提供了流量控制功能，支持VLAN划分，提供了冗余电源接口等。二层交换机：D-Link DES-1024D 参考价：530它符合百兆以太网标准，提供了24个自适应全/半双工10/100Mbps端口，可自动判断连入设备的类型提供相应的连接方式和带宽。另外利用配备的16K的MAC地址表和2.5MB缓存，它可以利用IEEE802.3x流量控制技术动态将缓存分配到各个端口，保持网络畅通。第四章. 网络系统安全设置1、外网安全设计

14、.防火墙系统:采用防火墙系统实现对内部网和广域网进行隔离保护。对内部网络中服务器子网通过单独的防火墙设备进行保护。 入侵检测系统:采用入侵检测设备，作为防火墙的功能互补，提供对监控网段的攻击的实时报警和积极响应。 病毒防护系统:强化病毒防护系统的应用策略和管理策略，增强病毒防护有效性。 垃圾邮件过滤系统:过滤邮件，阻止垃圾邮件及病毒邮件的入侵。 2、内网安全设计 访问控制，通过密码、口令（不定期修改、定期保存密码与口令）等禁止非授权用户对服务器的访问，以及对办公自动化平台、的访问和管理、用户身份真实性的验证、内部用户访问权限设置、ARP病毒的防御、数据完整、审计记录、防病毒入侵。 对内部采用：

15、网络管理软件系统:使网管人员对网络中的实时数据流量情况能够清晰了解。掌握整个网络使用流量的平均标准，定位网络流量的基线，及时发现网络是否出现异常流量并控制带宽。3、内外网安全之间设计 采用 VPN系统:对远程办公人员及分支机构提供方便的IPSec VPN接入，保护数据传输过程中的安全，实现用户对服务器系统的受控访问移动用户管理系统:对内部笔记本电脑在外出后，接入内部网进行安全控制，确保笔记本设备的安全性。有效防止病毒或黑客程序被携带进内网。 内部办公自动化网络根据不同用户安全级别或者根据不同部门的安全访问需求，可以利用三层交换机来划分虚拟子网(VLAN)。同时通过在不同VLAN间做限制来实现不

16、同资源的访问控制。通过虚拟子网的划分，既方便局域网络的互联，又能够实现访问控制第五章. 整体结构网络服务功能的组成系统架构1.域控制服务器/Domain Server（服务器端建立域） 以LENOVO商用机为平台，通过MICROSOFT WINDOWS 2003 ADVANCE SERVER架设了名为的域环境，服务器角色目前为活动目录（AD）。在这个基础上，还开通了文件存储服务（FILE STORAGE SERVICE），并细分为按公司部门的文件存储方式。并安装有瑞星杀毒软件及卡卡安全助手，交接时候的病毒特征定义库号为20.22.01。 此服务器硬件配置主要为Pentium4 3.0Ghz/1

17、G Ram/80G HardDisk。 IP地址为：192.168.1.100，Domain Administrator口令为：123456。 A、 选择开始菜单中的运行命令，输入dcpromo 弹出活动目录的配置框，进入活动上当安装向导 A、 点击下一步 若图片无法显示请联系QQ3249114 A、 下一步，选择 “新域的域控制器” 下一步，选择“在新林中的域” 下一步，为新域键入一个DNS全名 A、 下一步，为新域键入一个Netbios名 A、 指定数据库和日志文件和文件夹的存放位置 A、 指定共享的系统卷DNS的注册诊断 A、 选择用户和组对象的默认权限 B、 设置目录服务还原模式的管理

18、员密码C、 复查并确认选定的选项 D、 配置活动目录 E、 配置组件，提示插入2003光盘安装组件 客户端加入到域； 以LENOVO商用机为平台，通过MICROSOFT WINDOWS XP-HOME EDITION、MICROSOFT OFFICE 2003、Outlook Express等软件架设了日常办公平台。工作组为WORKGROUP，IP地址为自动获得。 在网上邻居中右击鼠标，选择属性，打开本地连接属性，双击TCP/IP协议。将首选DNS地址改为域服务器的地址 在桌面上选择我的电脑右击鼠标，选择属性，弹出面板，单击网络标识选项卡，单击属性。在跳出的标识更改选项卡中的隶属于改为域，输入

19、H 输入服务器上的管理员密码 加入域成功 漫游用户配置文件 一、用户帐号的建立 a.在域服务器上添加一个jack的域账号，单击活动目录用户和计算机右击user新建用户 新建对象中输入相应的jack信息，单击下一步。 输入账号的密码，（输入的密码要满足密码策略。） Jack帐号建立成功。 一、配置文件的共享目录与用户配置文件位置的定义： 在域服务器上新建一个文件夹，然后共享，用于存放jack的用户配置文件（可以是空的）。 在该文件夹的共享权限中添加域帐号jack（或everyone），权限设完全控制， 右击属性，在jack属性的配置文件选项卡设置配置文件路径为： 服务器名或IP地址Jack共享目

20、录名 列 192.168.1.25jackshare 第一台客户机登录形成配置文件并修改工作环境： 然后使用1台客户机登陆，用户名为jack，登陆到选域Hy2， 登陆后在桌面上新建一些快捷方式和文件夹，注销退出。 此时，在域服务器得jack共享文件夹内就可以看到，新建的快捷方式和文件夹 第二台客户机登录，工作环境（用户配置文件）漫游到第二台机器： 当我们用JACK在第二台客户机上登录，会发现，先前在第一台客户机中做的快捷方式和文件夹，会被自动调用过来。第六章. 网络布线系统设计1、布线系统总体结构设计总体1栋建筑，从总部机房用十二芯单模光纤与另一建筑的设备间|BD|相连，每个设备间也设用十二芯

21、多模光纤与每层的电信间|FD|，并用五类非屏蔽双绞线从电信间与工作站相连接，集团园区网采用10M的光纤以太网接入到因特网服务提供商的网络，然后接入到因特网中，使集团实现与外界的信息交换和网络通信。集团统一由总部机房的一个出口访问Internet，集团能够控制网络的安全。在服务器和核心交换机间：使用UTP电缆来将服务器连接到核心交换机。2、工作区子系统设计工作区子系统由各个单元区域构成，是计算机、电话和信息插座的连接部分，包括连接跳线和信息插座。信息插座面板具备：通用、超薄、简易、防尘等特点；信息插座的模块采用类RJ-45模块；线缆采用超五类双绞线；水晶头采用RJ-45标准水晶头。为降低成本和结

22、合客户终端的位置多变的特点，跳线可采用原装跳线与自制跳线相结合的方式，中心机房内设备之间、楼宇机柜内设备之间、服务器、重点客户终端的跳线采用原装成品跳线，其余采用自制跳线。跳线制作统一采用EIA/TIA 568B标准，以使系统具有更好的兼容性。3、水平子系统设计水平子系统主要是实现信息插座和管理子系统，即中间配线架（IDF）间的连接。水平子系统为星形拓扑。在水平子系统中采用超五类非屏蔽双绞线。双绞线水平布线链路中，水平双绞线的最大长度均不超过90m。为了网络系统的稳定性和扩展性超五类非屏蔽双绞线。4、管理子系统设计管理子系统设计由配线间构成。由各种规格的配线架实现水平、垂直主干线缆的端接及分配

23、；由各种规格的跳线实现布线系统与各种网络、通讯设备的连接，并提供灵活方便的线路管理能力。分配线间是各治理子系统的安装场所，可安装配线架和计算机网络通信设备。对于信息点不是很多，使用功能近似的楼层，为便于治理，仅设置一个共用的子配线间;对于信息点较多的楼层则在该层设立配线间。5、干线子系统设计干线子系统设计由连接主设备间与各治理子系统的室内干线电缆构成。数据主要从网络配线间向各个子配线间敷设12芯单模室内多模光纤。6、设备间子系统设计设备间子系统设计由设备间中的电缆、连接器和相关支撑硬件组成，把公共系统（通讯系统，计算机系统和建筑自动化系统等）设备的各种不同设备互连起来。使用12芯单模室内多模光纤将其连接。7、建筑群子系统设计建筑群子系统是将一栋建筑物内的电缆延伸到建筑群中的另外一些建筑物内的通信设备和装置上，采用光缆布线是目前主要的建筑间布线方式。建筑间的主干光缆采用12芯单模。第七章. 结束语通过这次对中小型企业网络构建及安全实现方案应用，让我更了解对网络构建与课程设计原理与应用。