中小企业网建设方案.docx

1、中小企业网建设方案西安培華學院XI AN PEI HUA XUE YUAN 计算机网络工程期末论文中小企业网建设方案学生姓名：刘威杉学号：7z102214专业：通信技术日期：2012年05月25日1. 引言2. 需求分析3. 逻辑网络设计4. IP地址规划及网络设备配置5. 服务器的组建6. 企业网络安全设计7. 结束语 摘 要 本设计结合一家中小企业网络的实际需求，通过对网络组建方案的设计、基于安全的网络配置方案设计、服务器架设方案设计、企业网络安全设计等方面的仿真研究，详尽的探讨了对该网络进行规划设计时遇到的关键性问题。主要包括需求分析、网络设备选型、逻辑网络设计、IP 地址规划方案设计、

2、服务器架设和网络安全设计等内容。论文针对中小企业网络拓扑进行设计和分析，通过Cisco Packet Tracer 软件进行网络仿真配置和安全设计，给出了网络规划设计解决方案。1. 引言 Cisco Packet Tracer 是由Cisco公司发布的一个网络仿真工具，使用该工具可以搭建网络的模拟环境，对网络进行设计、配置、故障排除等。用户可以在工具的图形用户界面上直接使用拖曳方法建立网络拓扑，并可提供数据包在网络中行进的详细处理过程，观察网络实时运行情况。可以学习IOS的配置、锻炼故障排查能力等。目前最新的版本是Packet Tracer 5.3。 网络改变了人们的生活，地球变成了地球村，全

3、世界的人可以随时进行网络交流。信息资源的共享，带来社会生产力空前提高，互联网与人们生活越来越密切，如网上证券期货交易、远程电子视频会议、网上购物等应用使得人们的生活已经越来越离不开网络，由此，信息高速公路的建设变得十分重要。 企业规模的不断壮大和业务量的不断增加，原有的工作方式已不能满足现代企业的需要，特别是对突发事件的处理能力与速度的需求。现代企业如果没有信息技术的支持，就不能称之为现代企业。随着网络技术的不断成熟、网络产品价格的不断下降，以及对数据传输和信息交换需求的不断增加，现在各企业均正在或已搭建了企业内部局域网，因为，企业网络的建设是企业向信息化发展的必然选择。企业网络为企业的现代化

4、发展、综合信息管理和办公自动化等一系列应用提供了基础平台。本设计结合中小企业实际需求，举例分析、设计、配置、模拟组建了一个典型的中小企业网络。2. 需求分析2.1背景分析 该企业是一家生产研发型企业，主楼是一座四层办公大楼，办公大楼后方是一栋较大的生产车间。整个办公楼有信息点大概100个，企业中心机房设在办公大楼三楼中间。2.2应用需求 WWW服务器，众所周知，WWW服务器主要功能是提供网上信息浏览服务。是 Internet目前发展最快和目前用的最广泛的服务。 FTP服务器，为了在企业内部能够轻松进行文件数据交换，权限分配，FTP服务器十分必要。 文件服务器，企业内部需要大量数据文件的交换，且

5、各部门的资料访问权限不同，文件服务器是最佳选择。 域控制器，由于工作组是一个小型的通过网络相联的计算机组，它允许用户协同工作，但是不支持集中式管理。而域是一组连接在网络上的计算机，它们有一个中央的安全数据库来保存安全信息。管理员能够轻易地管理各个计算机。一个域可以通过统一的方法和规则来进行管理。每个域都有一个唯一的名字，域中的每台计算机也都有一个唯一的名字。因此，使用域管理企业网络是最佳选择。 DNS服务器，计算机网络间的通信首先必须由DNS将域名解析为IP地址，为了公司内部网络之间能够通信，DNS为员工访问内部网络提供域名解析，同时也提高了网络访问的速度和准确度。 邮件服务器，为了通信的安全

6、、快捷，需要为企业架设一台邮件服务器。2.3. 安全需求 中小企业的网络安全指的主要是对各服务器进行授权访问，对所有服务器进行病毒防护，数据备份，对企业内部计算机进行统一集中式的管理，以及远程及移动用户对公司内部网络的安全访问等。2.4. 网络扩展性需求 一方面要确保公司新的部门能够简单地接入现有网络，二要确保公司新的应用能够无缝地在现有网络上运行。2.5 实现目标 首先是资源共享，网络内的各个用户终端可共享文件、打印机、实现办公自动化系统中的各项功能；其次是通信服务，用户可以收发电子邮件、实现Web应用、接入互联网、进行安全的广域网访问；再次是公司网络的统一管理，使用Active Direc

7、tory对企业网络终端进行统一规划管理。3. 逻辑网络设计3.1组网技术选择 众所周知，快速以太网是世界上应用最广泛的组网技术，其强大的灵活性、简便性、传输介质的多样性以及拓扑结构的灵活性，使得其早已成为网络技术的主流。 中小企业行业特点要求网络系统速度快，稳定性好，具有扩展性和开放性。同时，对于组网技术的选择，需要考虑技术产品的成熟稳定性。并且，使用先进且成熟的网络技术，不仅可保护投资，还可以降低网络建设的费用。因此，最终选择快速以太网作为该企业的组网技术方案。3.2. 网络设计原则 首先，实用性和经济性。系统建设应始终贯彻面向应用、注重实效的方针，坚持实用、经济的原则建设企业网络系统。 其

8、次，先进性和成熟性。系统设计既要采用先进的概念、技术和方法，又要注意结构、设备的相对成熟。不但能反映当今的先进水平，而且具有发展潜力，能保证在未来若干年内企业网络仍占领先地位。 第三，可靠性和稳定性。在考虑技术先进性和开放性的同时，还应从系统结构、技术措施、设备性能、系统管理、厂商技术支持及售后服务能力等方面着手，确保系统运行的可靠性和稳定性，达到最大的平均无故障时间。 第四，安全性和保密性。在系统设计中，既要充分考虑信息资源的充分共享，更要注意信息的保护和隔离，因此系统应分别针对不同的应用和不同的网络通信环境，采取不同的措施，包括系统安全机制、数据存取的权限控制等。 最后，可扩展性和易维护性

9、。为了适应系统变化的需求，必须充分考虑以最简便的方法、最低的投资，实现系统的扩展和维护，采用可网管产品，降低了人力资源的费用，提高了网络的易用性。3.3. 网络拓扑结构图设计为了满足企业的需求及长远利益，企业网络应按照上述原则进行网络结构设计与设备选型，在网络拓扑结构上采用星型网络拓扑结构。星型网络拓扑结构具有安全、可靠、易扩展等特点，以交换机为中心，服务器和PC工作站直接连接至交换机，组成网络。通过相应的配置，在不改变网络节点物理位置的情况下，可对网络的逻辑结构进行合理的划分，即建立虚拟网络，以达到网络信息流量的有效控制。本网络分为核心层和汇聚层、接入层三层结构，核心层和汇聚层使用CISCO

10、 3560系列交换机，接入层采用CISCO2960系列交换机（详见网络设备选型一章），出口路由器选用CISCO 1841中小企业级路由器。PC工作站以接入交换机为中心直接连接，组成各子局域网，考虑到网络的可扩展性，配置了6台24口接入交换机、一台汇聚交换机，一台核心交换机、一台出口路由器。4. IP地址规划及网络设备配置4.1IP地址规划4.1.1VLAN规划 企业的公网IP地址范围为：218.22.26.146/29。 企业内部IP地址采用192.168.0.0段的私有IP地址，并且对企业内部局域网进行VLAN划分,其优点是可以减少网络内的广播数据包,提高网络运行效率，区分不同的应用和用户等

11、,且方便网络的管理与维护等。VLAN的详细划分及地址分配如下所示。 VLAN划分表： 部门 VLAN 地址范围 网关地址设备管理地址 VLAN 1 192.168.1.1192.168.1.254 192.168.1.1 总经办 VLAN 2 192.168.2.1192.168.2.254 192.168.2.1 采购部 VLAN 3 192.168.3.1192.168.3.254 192.168.3.1 项目部 VLAN 4 192.168.4.1192.168.4.254 192.168.4.1 生产部 VLAN 5 192.168.5.1192.168.5.254 192.168.5

12、.1 质保部 VLAN 6 192.168.6.1192.168.6.254 192.168.6.1 财务部 VLAN 7 192.168.7.1192.168.7.254 192.168.7.1服务器地址 VLAN 8 192.168.8.1192.168.8.254 192.168.8.1 交换机IP地址规划表： 交换机 管理地址（VLAN1地址） 设备名称（hostname）1号接入交换机 192.168.1.10 jr-sw12号接入交换机 192.168.1.20 jr-sw23号接入交换机 192.168.1.30 jr-sw34号接入交换机 192.168.1.40 jr-sw4

13、5号接入交换机 192.168.1.50 jr-sw56号接入交换机 192.168.1.60 jr-sw6汇聚交换机 192.168.1.100 hj-sw核心交换机 192.168.1.1 hx-sw 所有网络设备的enable 密码（包括enable secret 密码）和线路管理telnet 密码统一配置为：congqianlu。4.1.2网络设备IP规划 服务器IP地址规划表： 服务器名称 IP地址 VLAN 网关 MAC地址 DC、DNS 192.168.8.2 VLAN8 192.168.8.1 00E0-A3CD-3D40 文件服务器 192.168.8.3 VLAN8 192

14、.168.8.1 00E0-E47B-33AB WWW、FTP 192.168.8.4 VLAN8 192.168.8.1 00E0-6EDD4-33D3 MAIL 192.168.8.5 VLAN8 192.168.8.1 00E0-ECC2-7164.1.3核心交换机和路由器端口IP配置 核心交换机和路由器端口IP分配表： 接口名称 IP地址/掩码 备注 MAC地址核心交换机f0/1 172.16.1.2/24 0004-E4E1-8001路由器f0/1 172.16.1.1/24 0001-97E6-C602路由器f0/0 218.22.26.150/29 0001-97E6-C601路

15、由器Loopback 172.17.17.17/24 0002-4AEE-5B264.2.网络设备配置接入交换机下的PC至出口路由器的连通性测试，测试各vlan下PC间的互通性，用一台接入交换机vlan2下的机器telnet管理6号接入交换机交换机，用一台接入交换机下的客户机telnet管理核心交换机，出口路由器主要做了NAT转换、Loopback接口、RIP协议、默认路由等配置，用一台接入交换机下的客户机telnet管理路由器。5. 服务器搭建5.1. 域控制器（DC）搭建 首先，配置好服务器的网络环境，配置IP地址、掩码等。并将首选DNS服务器地址设置为本服务器地址。然后，在 “运行”对话

16、框中输入：dcpromo，启动域控制器安装向导，由于此DC是网络中的第一台域控，所以选择“新的域控制器”，然后单击“下一步”，选择“在新林中的域”，下一步。接下来是提示数据库和日志文件的存放位置以及DNS注册诊断，同时，因为域控必须通过DNS来查询域名，因为这是第一台DC服务器，所以，同时也要做DNS服务。期间，系统会提示正在安装DNS服务，确定后第一台域控制器搭建完成。在管理工具中，DNS服务器截图如下。在管理工具中，打开Active Directory用户和计算机，在此，可以为各个部门新建组，通过组策略对不同组的成员进行不同权限的管理，同时，新建组后可以继续新建用户，并设置其属性，隶属于不

17、通的部门。5.2. 文件服务器搭建 在添加服务器角色中，选择“文件服务器”，然后单击下一步，接着出现“磁盘配额选项，如果需要则可以在此设置。接着是索引选项的设置，如果企业内部人员经常在文件服务器上搜索文件，则可以启用索引选项，否则，不建议使用，因为索引服务会消耗服务器大量的资源。接着，出现配置共享文件夹的对话框，单击“下一步”选择要共享的文件夹然后单击“下一步”，如选择共享“质保部”文件夹，完成名称、描述等设置后，出现共享权限提示框，由于是文件服务器，权限问题是首要问题，因此，通常选择自定义，在此将“质保部”文件夹共享权限设置为只有quality组有一切权限，其他组和用户全部没有任何权限。同理

18、，设置其他各部门资料的访问权限，至此，文件服务器搭建完成。5.3. WWW服务器搭建在Windows server 2003 中，安装IIS6.0后，打开IIS管理器，进行配置，首先设置该www服务器的IP等信息，其次，设置WWW服务器的网站文件主目录，最后，添加该WWW服务器的默认文档名称。至此，一个初级的WWW服务器就已经配置完成。5.4. FTP服务器由于Server 2003下的FTP服务器功能有限，所以为该企业的FTP服务器，选用目前比较流行，且功能强大的Serv-U FTP搭建工具。运行安装完成后，启动管理员，新建域，输入IP地址和域名，在域中添加用户，并设置相应权限。 同时，Se

19、rv-U还可以对用户进行其他权限设置，如上传/下载速率，会话超时时间，磁盘配额等。6. 企业网络安全设计6.1.物理安全 物理安全主要指的是机房的物理安全，服务器应该安放在安装了监视器的隔离房间内，并且监视器要保留15天以上的摄像记录。另外，机箱，键盘，电脑桌抽屉要上锁，以确保旁人即使进入房间也无法使用电脑，钥匙要放在安全的地方等。6.2.操作系统安全设计 操作系统指的主要是服务器的操作系统：windows server 2003。操作系统安全配置是企业网络安全配置设计中的重要一部分，操作系统的安全是整个企业网络的最后一道防线，因此，其安全性尤为重要。6.2.1.禁用GUEST账号，限制用户数

20、量、管理员用户改名、设置陷阱账号等禁用GUEST账号后，可以为GUEST账号设置一个复杂的密码，并且设置GUEST的属性为禁止远程访问。 同时，还可以设置陷阱账号，所谓的陷阱帐号是创建一个名为“Administrator”的本地帐户，把它的权限设置成最低，加入GUESTS组，什么事也干不了的那种，并且加上一个超过10位的超级复杂密码。 另外，可以将共享文件的权限从“Everyone”组改成“授权用户”。“Everyone”在Windows 2003中意味着任何有权进入你的网络的用户都能够获得这些共享资料。最后，要把服务器的所有分区都改成NTFS格式。NTFS文件系统要比FAT、FAT32的文件系统安全得多。6.2.2安装防火墙、备份重要数据等。 一些好的杀毒软件不仅能杀掉一些著名的病毒，还能查杀大量木马和后门程序。所以，设置了杀毒软件，“黑客”们使用的那些有名的木马就毫无用武之地，同时，应注意要经常升级病毒库。因为是服务器，重要数据的备份相当重要。因此，一旦系统资料被黑客破坏，备份盘将是恢复资料的唯一途径。备份完资料后，把备份盘防在安全的地方。不能把资料备份在同一台服务器上。7. 结束语 在设计过程中，出现过很多的难题，但都在大家的帮助下顺利解决了，遇到的主要问题有以下几点: 拓扑设计问题，主要是网络层次结构选择问题；设备选型问题，详细分析了具体需求和应用后才得以解决。