中小型企业网络的配置与管理.docx
《中小型企业网络的配置与管理.docx》由会员分享,可在线阅读,更多相关《中小型企业网络的配置与管理.docx(18页珍藏版)》请在冰点文库上搜索。
中小型企业网络的配置与管理
集团标准化工作小组#Q8QGGQT-GX8G08Q8-GNQGJ8-MHHGN#
中小型企业网络的配置与管理
XX信息职业技术学院
毕业设计(论文)
论文题目:
中小型企业网的配置与管理
系别:
专业:
班级:
学号:
学生姓名:
指导教师:
中小型企业网的配置与管理
摘要:
随着计算机网络的迅猛发展,internet已经延伸到全球的各个角落,渗透到了人类社会的每个领域以及人们日常生活的方方面面。
目前,internet的WWW(网络信息服务)服务更是得到了广泛的应用,许多企业建立网站,通过internet来展示企业形象,发布产品资讯,提供服务以及开展电子商务。
各级政府部门也积极开展电子政务,网上办公。
当今中小企业与大企业一样,都广泛使用信息技术,特别是网络技术,以不断提高企业的竞争力。
企业信息设施在提高企业效益的同时,也给企业增加了风险隐患。
大企业所面临的安全问题也一直困扰着中小企业,关于中小企业网络安全的相关报导也一直层不穷,给中小企业所造成的损失不可估量。
由于涉及企业形象的问题,所曝光的事件只是冰山一角。
针对中小企业网络安全事故大多不为人所知。
由于网络特有的开放性,网络安全问题日益严重。
目前网络易遭受的攻击包括分组监听IP、电子欺骗、拒绝服务攻击、木马等。
他们都会严重影响企业的收入、声誉、和客户满意度。
网络安全问题将给企业带来巨大的危害,企业将承受巨大的经济损失、降低生产率、并失去业务机会。
关键词:
计算机网络、网络安全、网络技术。
1.概述
企业网络现状
随着中小企业用户市场的不断成熟与需求的日趋稳定,越来越多的安全厂商将加入到中小企业提供广泛的网络安全产品中间来。
目前,中小企业用户占我国企业化主体比重的95%以上,但由于分布较散,购买力相对较弱,中小企业的安全问题似乎一直没有得到安全厂商的足够重视。
市场上的安全产品五花八门种类繁多,但是针对中小企业的安全解决方案寥寥无几。
产品仅仅是简单的客户端加服务器,不能完全解决中小企业用户所遭受的安全威胁。
目前的中小企业由于人力和资金上的限制,企业网络系统相对简单,有的甚至只是实现简单的互联功能,或者靠简单的分发工具。
据了解许多中小企业没有设置专门的网络管理员,一般采用兼职管理方式,重视中小企业的网络管理在安全性方面存在严重漏洞,与大型企业、行业用户相比,他们更容易受到网络病毒的侵害,损失同样严重。
另一方面,由于网络维护、运行、升级等实物工作繁重而且成本较高,这也使得善于精打细算的中小企业在防范病毒问题上进退两难。
企业网络建设目标
1.2.1提高带宽性能
现在大部分的中小型企业,由于带宽有限,加上不必要的带宽消耗,让企业网络的整体网络性能大大减少。
随着计算机技术的高速发展,基于网络的各种应用日益增多,今天的企业网络已经发展成为一个多业务承载平台。
不仅要继续承载企业的办公自动化,Web浏览等简单的数据业务,还要承载涉及企业生产运营的各种业务应用系统数据,以及带宽和时延都要求很高的IP电话、视频会议等多媒体业务。
因此,数据流量将大大增加,尤其是对核心网络的数据交换能力提出了前所未有的要求。
1.2.2让企业网络稳定、可靠
无论是大型企业还是中小型企业都要具备稳定可靠性,以实现网络通信的实时畅通,保障企业生产运营的正常进行。
随着企业各种业务应用逐渐转移到计算机网络上来。
网络通信的无中断运行已经成为保证企业正常生产运营的关键
1.2.3让企业网络易于管理
目前,许多中小企业没有专门的网络管理员,网络管理在安全性方面存在严重漏洞。
设立网管中心有利于企业网络的管理,某种程度上也增加了企业网络的安全性。
2.需求分析
网络功能需求
◆共享公司的各种信息资料,发布公司内部及时消息。
◆实时传递行业政策、市场变化信息;及时获取国际国内重大新闻等信息。
◆动态查询产品的生产、销售、库存等实时数据和客户、员工的档案信息。
◆提供销售、生产、会计、统计等报表供相关人员查阅、分析。
◆发布电脑方面的文章以提高员工的计算机知识;发布相关业务培训内容。
◆以FTP方式提供大量应用软件和实用工具,供内部员工下载使用。
◆通过代理服务器使公司的计算机均能以低廉费用接入Internet。
网络性能需求
◆经济性
◆实用性
◆稳定性
◆安全性
◆易管理性
◆可扩展性
网络设备需求
中小企业网计划采用10M的光线以太网接入到因特网服务提供商的网络,然后接入到因特网中,使企业实现与外界的信息交换和网络通信。
整个企业统一一个出口访问internet。
网络设备必须在技术上具有先进性、通用性、必须便于管理、维护。
网络设备应应该具备未来良好的可扩展性、可升级性,保护用户的投资。
网络设备必须具有良好的在
满足功能与性能的基础上性能价格比最优。
网络设备应该选择拥有足够实力和市场份额的厂商的主流产品,同时设备厂商必须要有良好的市场形象与售后技术支持。
3.方案设计
设计原则
Ø经济性:
用性价比较好的网络及设备,以较低廉的投资获取较高性能。
Ø实用性:
确保信息加速传递、提高工作效率,节约办公费用。
Ø操作性:
界面图形化、操作按钮化,办公人员在简单培训后能熟练运用。
Ø扩展性:
新增的硬件设备能方便接入网络;软件便于更新、维护、升级。
网络规划
局域网分为核心层、工作站层、接入层、服务器群四个部分来设计拓扑结构如图1:
图1:
企业网络规划图
3.2.1vlan划分
表1:
VLAN划分表
中心交换机
Vlan号
1
10
20
30
40
IP地址
——
——
——
——
接入设备
——
WWW服务器、DNS服务器
打印机
FTP服务器
Mail服务器
SW1
Vlan号
1
10
20
IP地址
——
——
接入部门
——
财务部
人事部
SW2
Vlan号
1
30
40
IP地址
——
——
接入部门
——
市场营销部
客服部
3.2.2IP地址分配
表2:
IP地址分配表
财务部
人事部
市场营销部
客服部
WWW服务器
DNS服务器
打印机
FTP服务器
Mail服务器
Router1
F0/0
S1/1
F0/
F0/
F0/
F0/
核心层建设
3.2.1核心层作用
核心交换机位于网络中心,是整个局域网的灵魂。
它对整个网络的性能、可靠性起决定性作用。
它连接各个物理子网;负责高速地对端到端设备进行数据包交换;控制VLAN间访问;保证信息安全。
3.2.2核心层网络类型选择
作为主干网连接着服务器和楼层交换机,可局部采用千兆以太网。
千兆以太网可提供1Gbps的通信带宽,具有以太网简易性,比其它类似速率的通信技术价格低廉。
千兆以太网还能在当前以太网基础上平滑过渡,这意味着现有的投资可以在合理的初始开销上延续到千兆以太网,不需要对技术支持人员和用户做重新培训,无需另外配置协议、购买中间部件,具有一定的前瞻性。
3.2.3核心层交换机选择
在进行网络规划设计时核心层的设备通常要占大部分投资,为了减少投资,我们选择两层交换。
3.2.4核心层升级方案
Ø添加接口模块数量,实现用户和信息点的扩充;
Ø改用光纤,提高主干带宽;
Ø提高主干带宽、实现主干线路互备份;
接入层建设
3.4.1接入层作用
入层交换机为楼层工作组级交换机,为每个用户提供100Mbps以太接入端口,负责将用户数据馈入网络。
它直接完成本地数据交换,将其它网段数据送到核心层。
通过VLAN的合理划分,方便用户在网络中移动,保证部门信息安全。
3.4.2接入层网络类型选择
在当今现有的高速局域网技术中,由于快速以太网(100BASE-T)性能优良、价格低廉、升级和维护方便,通常都将它作为首选。
快速以太网在过去广泛接的10BASE-T以太网基础之上,提供向100Mbps的平滑、连续性的网络升级。
3.4.3交换机的连接
工作站少的部门只需一台二层交换机,下联用户端上联核心交换机。
信息点分布密集的部门采用多台交换机堆叠或者级联。
连接介质可以是光纤、双绞线。
3.4.4VLAN的划分
通过VLAN实现隔离和限制本地流量的功能:
把工作内容相近的PC机、经常共享数据的信息点划分在同一个VLAN中可以提高网络效率;设定相应地访问权限可以增强网络安全。
根据员工分布情况,二层交换机可以每个独立构成一个VLAN,也可以多个构成一个VLAN。
3.4.5交换机的选择
高端口密度、支持VLAN划分。
服务器系统
3.5.1服务器系统的作用
服务器群的主要功能是为客户端提供各种网络服务,包括:
资源共享、Web服务、文件传输、域名解析……
3.5.2服务器的连接
服务器的连接位置可以很灵活,整个网络用户都公用的服务器直接连到核心交换机上,连接介质可以采用光纤或双绞线。
各个部门单独使用的服务器可以连到部门交换机上,提供该部门的特定网络服务。
3.5.3服务器的选择
表3:
服务器选择
功能
服务器名称
域名解析
DNS服务器
IP选项自动配置
DHCP服务器
资源共享
FTP服务器
电子邮件收发管理
Mail服务器
浏览网页
Web服务器
4.方案实施
公司网络拓扑图,如图2。
图2公司网络拓扑图
1、在中心交换机上划分4个VLAN,分别为VLAN10、VLAN20、VLAN30、VLAN40,WEB服务器、DNS服务器接入vlan10,打印机、FTP服务器、mail服务器分别接入VLAN20、VLAN30、VLAN40。
2、在SW1上划分两个vlan:
vlan10、vlan20。
分别作为公司的财务部和人事部。
3、在SW2上划分两个vlan:
vlan30、vlan40。
分别作为公司的市场营销部和客服部。
4、出于方便,我们在出口路由上做DHCP服务,让市场营销部和客服部的员工能自动学习到IP地址。
5、为了公司不同的部门之间可以互相访问,在出口路由器上做单臂路由。
6、通过在router1上做NAT地址转换,让总公司的用户能快速访问Internet。
7、通过端口映射,是外网能访问内网的WWW服务器
8、公司除了中心网管,所有用户都能正常访问内网WWW服务器。
9、禁止中心网管访问外网。
10、打印机只供财务部和人事部使用。
11、全网设备开启TELNET,让管理服务器可以登陆进行管理。
各设备配置
4.1.1核心交换机配置
Switch>enable进入特权配置模式
Switch#configure进入全局配置模式
Switch(config)#vlan10创建vlan10
Switch(config-vlan)#exit退出
Switch(config)#intrf0/3-8
Switch(config-if-range)#switchportaccessvlan10把相应接口加入vlan10
Switch(config-if-range)#exit
Switch(config)#vlan20
Switch(config-vlan)#exit
Switch(config)#intrf0/9-11
Switch(config-if-range)#switchportaccessvlan20
Switch(config-if-range)#exit
Switch(config)#vlan30
Switch(config-vlan)#exit
Switch(config)#intrf0/12-14
Switch(config-if-range)#switchportaccessvlan30
Switch(config-if-range)#exit
Switch(config)#vlan40
Switch(config-vlan)#exit
Switch(config)#intrf0/15-18
Switch(config-if-range)#switchportaccessvlan40
Switch(config-if-range)#exit
Switch(config)#intrf0/21-24
Switch(config-if-range)#switchportmodetrunk把相应接口打trunk
Switch(config-if-range)#exit
Switch(config)#interfacevlan1进入vlan1
配置IP地址
Switch(config-if)#noshutdown启用该vlan
Switch(config-if)#exit
Switch(config)#intf0/1进入f0/1口
Switch(config-if)#switchportmodeaccess把接口模式改为ACCESS口
Switch(config-if)#switchportport-security启用端口安全措施
Switch(config-if)#switchportport-securityviolationprotect指出出现安全违规时应该发生的事
Switch(config-if)#switchportport-securitymac-address0001.970C.7AE9端口和MAC地址绑定
Switch(config-if)#exit
Switch(config)#enablepassword123设置登入特权模式密码
Switch(config)#linevty01开启telnet功能
Switch(config-line)#passwordadmin321设置telnet登入密码
Switch(config-line)#login允许telnet登入
Switch(config-line)#exit
4.1.2工作站交换机SW1配置
Switch>enable
Switch#configure
Switch(config)#vlan10
Switch(config-vlan)#exit
Switch(config)#intrf0/1-10
Switch(config-if-range)#switchportaccessvlan10
Switch(config-if-range)#exit
Switch(config)#vlan20
Switch(config-vlan)#exit
Switch(config)#intrf0/11-20
Switch(config-if-range)#switchportaccessvlan20
Switch(config-if-range)#exit
Switch(config)#intrf0/23-24
Switch(config-if-range)#switchportmodetrunk
Switch(config-if-range)#exit
Switch(config)#interfacevlan1
4
Switch(config-if)#noshutdown
Switch(config-if)#exit
Switch(config)#enablepassword123
Switch(config)#linevty01
Switch(config-line)#passwordadmin321
Switch(config-line)#login
4.1.3工作站交换机SW2配置
Switch>enable
Switch#configure
Switch(config)#vlan30
Switch(config-vlan)#exit
Switch(config)#intrf0/1-10
Switch(config-if-range)#switchportaccessvlan30
Switch(config-if-range)#exit
Switch(config)#vlan40
Switch(config-vlan)#exit
Switch(config)#intrf0/11-20
Switch(config-if-range)#switchportaccessvlan40
Switch(config-if-range)#exit
Switch(config)#intrf0/23-24
Switch(config-if-range)#switchportmodetrunk
Switch(config-if-range)#exit
Switch(config)#interfacevlan1
5
Switch(config-if)#noshutdown
Switch(config-if)#exit
Switch(config)#enablepassword123
Switch(config)#linevty01
Switch(config-line)#passwordadmin321
Switch(config-line)#login
4.1.4出口路由配置
Router>enable进入特权配置模式
Router#configureterminal进入全局配置模式
Router(config)#interfacef0/0进入f0/0接口
Router(config-if)#ipaddress配置接口IP地址
Router(config-if)#noshutdown
Router(config-if)#exit
Router(config)#intf0/进入f0/0下的子接口
Router(config-subif)#encapsulationdot1Q10绑定vlan中继协议
配置子接口IP
Router(config-subif)#noshutdown激活该子接口
Router(config-subif)#exit
Router(config)#intf0/进入f0/0下的相应子接口
Router(config-subif)#encapsulationdot1Q20绑定vlan中继协议
Router(config-subif)#ipaddress配置子接口IP
Router(config-subif)#noshutdown
Router(config-subif)#exit
Router(config)#intf0/
Router(config-subif)#encapsulationdot1Q30
Router(config-subif)#ipaddressshutdown
Router(config-subif)#exit
Router(config)#intf0/
Router(config-subif)#encapsulationdot1Q40
Router(config-subif)#ipaddressshutdown
Router(config-subif)#exit
Router(config)#
Router(config)#ints1/1进入s1/1口
Router(config-if)#配置IP地址
Router(config-if)#clockrate9600设置时钟频率
Router(config-if)#noshutdown激活该接口
Router(config-if)#exit
0.0.03
Router(config)#access-list101permitipanyany控制访问列表101允许其他IP
0.0.0
Router(config)#access-list102permitipanyany
Router(config)#access-list103denyip0.0.0.255
Router(config)#access-list103denyip0.0.0.255
Router(config)#access-list103permitipanyany
Router(config)#ipnatinsidesourcelist1pool1overload将ACL1允许的原地转转换成POOL1中的地址
Router(config)ipdhcppoolvlan30定义名为vlan30的地址池
定义该地址池的地址段
定义分配给PC的网关
Router(config)ipdhcppoolvlan40
Router(config)#enablepassword123
Router(config)#linevty01
Router(config-line)#passwordadmin321
Switch(config-line)#login
Router(config)#interfacef0/0
Router(config-if)#ipaccess-group101in该接口为NAT内部接口
Router(config-if)#ipaccess-group102in
Router(config-if)#ipnatinside
Router(config-if)#exit
Router(config)#intf0/
Router(config-subif)#ipnatinside
Router(config-subif)#exit
Router(config)#intf0/
Router(config-subif)#ipnatinside
Router(config-subif)#exit
Router(config)#intf0/
Router(config-subif)#ipnatinside
Router(config-subif)#ipaccess-group103in
Router(config-subif)#exit
Router(config)#intf0/
Router(config-subif)#ipnatinside
Router(config-subif)#ipaccess-group103in
Router(config-subif)#exit
Router(config)#intS1/1
Router(config-if)#ipnatoutside该接口为NAT外部网络
5.测试
做了单臂路由后,内网全网通信。
以客服部主机做测试PC。
与WWW服务器通信,见图3
图3与WWW服务器通信测试图
与FTP服务器通信,见图4
图4与FTP服务器通信测试图
与打印机通信,见图5
图5与打印机通信测试图
与财务部通信,见图6
图6与财务部通信测试图
做了NAT后,实现内网与外网通信。
中心网管主机做测试PC,见图7
图7与外网通信测试图
做控制访问列表相关
升级会员 