中小型企业内部网Intranet的实现.docx

中小型企业内部网Intranet的实现.docx

《中小型企业内部网Intranet的实现.docx》由会员分享，可在线阅读，更多相关《中小型企业内部网Intranet的实现.docx（33页珍藏版）》请在冰点文库上搜索。

中小型企业内部网Intranet的实现

中小型企业内部网（Intranet）的实现

摘　要

本文以某公司的企业内联网Intranet为例，分析企业内联网Intranet的功能和特点，采用网络规划、VPN技术、应用服务以及安全等多方面的技术来阐述企业内部互联网的构建与实施方案中的一些技术要点和关键问题，并给实现企业内联网Intranet。

【关键词】Intranet VPNWeb服务

Abstract

Toacompany’sIntranetasanexample,analyzethefunctionandcharacteristicofIntranet.UtilizingNetworkplanning,VPN,WebServiceandSecuritytechnologyexpatiateonsometechnicalpointsandkeyofIntranet’sconstruction,andimplementingit.

【Keyword】IntranetVPNWebservice

目录

1.前言-------------------------1

2.企业内网Intranet简介-------------------------2

2.1Internet的简介-------------------------2

2.2　Intranet的概念-------------------------2

2.3　Intranet的特点-------------------------3

3.企业内网Intranet的规划与实施-------------------------4

3.1应用背景与需求分析-------------------------4

3.1.1网络应用分析-------------------------4

3.1.2公司信息点需求及分布-------------------------4

3.1.3网络流量分析-------------------------4

3.2网络拓扑规划-------------------------5

3.3企业内网络架构的实施-------------------------6

2.3.1网络设备的架设-------------------------6

2.3.2防火墙的架设-------------------------8

2.3.3企业内域服务器（DC）的架设-------------------------12

4.VPN技术在企业内网Intranet中的应用-------------------------20

4.1VPN简介-------------------------21

4.2VPN技术应用-------------------------21

5.Web服务技术在企业内网Intranet中的实现与应用-------------------------23

5.1Web应用服务简介-------------------------23

5.2SharePoint站点的建立与应用-------------------------23

6.安全技术-------------------------26

5.1系统容错技术-------------------------26

5.2Web安全策略-------------------------26

7.总结与展望-------------------------27

8.参考文献-------------------------28

9.致谢-------------------------29

1.前言

由于本人在企事业单位从事的是网络管理相关职位，所以论文也与此相关。

如今的企业内联网Intranet在传统局域网的基础上，更多的应用电子商务应用以及为保障数据的安全性和保密性而产生的信息安全。

本论文以一个中小型公司的企业内联网Intranet为例子，讲述了企业内联网Intranet的规划和实现。

第2章讲述了Internet与Intranet的关系，以及Intranet的特点。

第3章着重讲述了Intranet应用背景与需求分析，网络结构、防火墙所采用的技术及其原理以及企业内的活动目录的应用和服务器的架设。

第4章讲述了VPN特点以及在Intranet上的应用。

第5章讲述了Microsoft在Web服务应用上的新产品SharePoint的应用。

第6章简单讲述了Intranet上的安全问题。

2.企业内联网Intranet简介

2.1Internet的简介

Internet是现今世界上最大的规模的计算机网络。

Internet即Interconnectnetwork的

缩写，其是由美国的ARPANET发展而来。

Internet是一个全球的、开放的计算机互联

网络,全世界有超过150多国家和地区与其相联,接入其中的局域网和用户更是难以统计，资源无比丰富，是当今人们获取信息的巨大源泉。

从功能上来讲,Internet是一个庞大的信息资源库,它提供的一系列各具特色的应用程序和服务资源，使得用户能凭借它来实现对网络中包罗万象的信息进行快捷的访问,从而极大地拓展了人们的视野,迅速地改变着人们的生活和工作方式。

从技术上说,Internet是物理上位于不同环境、不同地区、不同类型的多个网络（包括局域网和广域网）互相联接而成的计算机网络,是由路由器（Router）和通信线路将一种结构和方法。

它提供了各网络间互联和传导的规则与设施,使得不同网络间信息可方便、自由和安全地交换。

Internet强大的网际间通信能力,不断发展增长的庞大信息资源、费用低廉、检索便捷等优点,使它得以迅猛发展。

人们利用它可以进行全世界范围内的资料查询、信息交流、多媒体通信、商务恰谈、气象预报、科研合作等等。

Internet早期只为军队、政府、科研及教育服务的,但是发展至今已延伸到企业、商务和家庭等各个方面,开创了全新的经营服务方式,如电子银行、电子报刊、电子商场、远程教育、远程工作、电子广告、远程医疗等。

正是Internet诸多的优越性,人们才把它的一些相关的技术引入企业，实现内部信息资源的共享,于是出现了Intranet。

2.2　Intranet的概念

Intranet是建立在企业内部的Internet，把Internet上技术运用与企业内部的管理信息系统。

Intranet通过Internet技术的开放性及建置的弹性,达到提升企业整体效益的效果。

Intranet是利用Internet的技术和设备,为某一行业或企业提供综合性服务的计算机信息网络,是一个组织机构中的信息和数据得以交换的一个系统。

正如Internet是在不同的组织机构中传输信息和数据的系统那样,它包括了在一个企业内部交换信息所涉及的各个方面,如工具、程序和协议等。

Intranet在提供内部网应用的同时,还能提供更灵活的信息发布形式。

Intranet一般可在传输控制协议/互联协议TCP/IP的网络上提供文件传输FTP、远程登录Telnet、邮件E-Mail以及万维网ＷＷＷ（WorldWideWeb）、新闻News、布告栏BBS等形式的客户/服务器（Client/Server）方式的服务;在与Intranet互联时,采用防火墙技术进行安全隔离和管理。

2.3　Intranet的特点

和传统企业网比较,Intranet开发工具易于使用,应用程序的开发周期短;系统的分散管理使其维护费用低,开发后劲足,软件的可靠性大大提高;由于Web浏览器的使用,其信息共享的效率及信息访问的质量明显提高,每个用户都可通过Web服务器将自己的信息提供给网络中的其它用户,而无须MIS人员的参与;通过和Internet方便的连接,可直接利用Internet上不断推出的优秀软件,节省软件开发的费用。

较之Internet,Intranet是封闭的、企业所单独拥有的,网上存储有企业大量的数据,对企业的运作至关重要;它要求高的安全性,不接受XX的访问;它内部是可控的,为内部管理的。

Intranet基于InternetTCP/IP通信协议和环球网WWW技术规范,通过简单的浏览器界面,实现资源共享和信息交流,免去了客户端的操作界面不统一和烦琐的编程工作,并方便地集成各类已有系统;它采用防止外界侵入的安全措施,为企业内部服务,并有连接Internet的功能。

（1）Intranet是根据企业的需要而设置的,其规模和功能是根据企业经营和发展的需要确定的。

（2）Intranet不是一个孤岛,它能够方便地和外界连接,尤其是和Internet的连接。

（3）Intranet采用TCP/IP协议及相应的技术和工具,是一个开放的系统。

（4）Intranet根据企业的安全要求,设置有防火墙、安全代理等,以保护企业的内部信息,防止外界的侵入。

（5）Intranet广泛使用环球网ＷＷＷ的工具,使企业员工和用户能方便地浏览和采掘企业内部信息及Internet的丰富资源。

这些工具包括超文本标记语言HTML（HyperTextMakeupLanguage）、公共网关接口CGI（CommonGatewayInterface）以及编程语言Java等。

（6）Intranet客户/服务器方式的体系结构的先进性、开放性和信息交流方式的简单而统一,使Intranet型的信息系统开发和运行真正能够做到与硬件系统无关,能保证MIS系统在开发、扩展和升级上、在资金的投入上,都可由小而大循序渐进,使企业的MIS系统在有效的控制和管理下具备自我完善和不断发展的能力,而不是被束缚在任何一个软件商固有的模式里。

3.企业内联网Intranet的规划与实施

3.1应用背景与需求分析

3.1.1网络应用分析

根据公司业务类型和员工数量，公司网络应用需求可归结为以下几个方面：

（1）信息的共享。

公司员工以及部门信息的处理和共享。

（2）应用服务（SAP、Email等）和网络管理系统的应用。

（3）办公自动化（OA）。

（4）远程访问（VPN）。

（6）交互式通讯。

（7）对Internet的访问。

3.1.2公司信息点需求及分布

公司总部与国内各分公司和办事处通过MPLSVPN的方式互联达到信息共享。

总公司：

100个信息点

分公司：

国内分公司2个，共90个信息点

办事处：

国内分公司5个，共110个信息点

3.1.3网络流量分析

目前公司总部的员工有100多人，计划发展到150人。

初步估计上网高峰时约有90多台计算机需同时上Internet网。

其主要应用为内部对文件服务器和SAP数据库的访问，对外浏览网页，收发邮件以及国内各地办事处和分公司需要访问SAP的数据。

所以设计计算机网络系统应充分考虑每个用户的带宽和系统的响应时间。

其计算机网络的建设应达到：

内部网络传输速度高，信息处理效率高，系统响应时间短。

连接Internet的带宽要足够，要求稳定。

根据要求，按照峰值90X30KB/s＝2700KB/s来计算，Internet接入带宽为3MB/s的中国电信企业宽带接入。

3.2网络拓扑规划

企业建立Intranet 的目的是为满足企业自身发展的需要，因此应根据企业的实际情况和要求来确立所建立的Intranet 所应具有那些具体功能以及如何去实现这样一个Intranet 。

所以不同的企业构建Intranet 可能会有不同的方法。

在规划Intranet 的网络拓扑结构时，应根据企业规模的大小、分布、对多媒体的需求等实际情况加以确定。

一般可按以下原则来确立：

✧应采用先进、成熟和标准的网络软、硬件技术，以降低系统开发风险。

✧网络的结构应该合理，便于日后的系统维护与扩展。

✧能满足当前和今后一段时间的应用要求。

✧确保系统的标准化和开放性，便于与其它网络进行互连。

✧网络信息流量应分布合理，不会产生瓶颈。

✧网络具有良好的保密性与安全性，不易受到攻击。

对于企业内部局域网的建立，目前被广泛使用的是星型局域网。

在星型局域网中，利用超5类或6类双绞线，将路由器、交换机、服务器、客户机以及其他网络资源以星型拓扑结构连接形成的一个局域网络。

同时，为获取Internet上的各种资源及Internet所提供的各种服务，规划Intranet时还应考虑接入Internet。

目前，接入Internet方式主要有：

通过公共分组网接入、通过帧中继接入、通过ISDN接入或通过光纤接入，及远程连接技术ASDL。

在选择以何种方式接入Internet时应根据Intranet的规模、对数据传输速率的要求及企业的经济实力来确定。

光纤方式可提供较高的带宽和较高的数据传输质量，但是费用昂贵。

公共分组网方式数据传输质量较高，费用也较低，但数据传输量较小。

由于不同的网络操作系统会有不同的Intranet结构，不同应用领域的Intranet结构也有所不同。

因此Intranet的结构目前尚无强制规定或统一规定。

作为一个内部网络，在Intranet中首先需要配置一台或多台应用服务器（如WebServer、FTP、EmailServer、数据库服务器等）；如果要与Internet连接，属于异构网的互联，需要安装一个路由器；从安全的角度考虑，还应安装防火墙。

下图是我以某公司的拥有一百位左右员工的总公司A为例，为该企业的的互联以及Intranet的构建做一个前期设计，并在以后章节中对这个设计加以补充与实施。

图2-1

3.3企业内网络架构的实施

3.3.1网络设备的架设

网络硬件设备通常有路由器（Router）、交换机（Switch）、集线器（Hub）、网卡（NIC）和传输介质等。

所选择的这些设备应具有良好的性能、稳定性、可扩展性和先进性。

此外，在此前提下，还应遵循经济性的原则。

在对公司的网络设计中，考虑到员工有将近100人和IT架构服务器的数量，可以选择以Cisco2800系列作为路由器，Cisco3750作为核心交换机，下接6个24口普通交换机，足可以支持大于144台客户端计算机。

当然在设计中也应根据实际需求做相应的变更，比如对于小型企业可以选择Cisco2800系列路由器与Cisco2900系列交换机或其他品牌的相同级别的产品。

中型企业可以选择Cisco2800系列路由器与Cisco3700系列作为核心交换机，大型企业可以选择Cisco4000系列路由器和6000系列三层交换机作为核心交换机。

219.235.13.208（mask255.255.255.240）开始的16个IP地址是ISP提供给公司的公网地址。

由于考虑公司需要有公共的WebServer和FTPServer发布，因此划分成两个子网。

219.235.13.208（mask255.255.255.248），可用IP地址209~214用于路由到防火墙这一网段，219.235.13.216（mask255.255.255.248），可用IP地址217~222用于DMZ网段。

内网用192.168.216.0（mask255.255.255.0）作为内网网段，具体配置如下：

首先，我们先登陆Cisco2811，输入密码，进入普通模式，因为需要做配置，必须进入特权模式。

在Cisco设备里，进入特权模式的命令是Enable。

因此键入Enable，再输入特权模式密码。

图2-2

在特权模式下输入ConfigureTerminal进入全局配置模式，输入interfacefastethernet0/0进入端口配置模式，配置该端口的IP地址为第一个子网段中的第一个IP地址219.235.13.209/29。

图2-3

再以同样方式把另一端口配好，由于此端口接入Internet，只需把从ISP那里得到的IP地址分配上去即可，在这里，公司被分配到的是192.168.213.78

图2-4

在配完每一个端口后，需要输入noshutdown命令来开启端口。

端口全部配好后，退出到全局配置模式，接下来制定静态路由。

在全局模式下输入iproute0.0.0.00.0.0.0192.168.213.73,此命令的意思是把从ISP那里得到的边缘路由的IP地址192.168.213.73作为缺省路由。

由于公司还有DMZ区域，因此，还需加一条路由在Cisco2811，命令为iproute219.235.13.216255.255.255.248219.235.13.211。

图2-5

3.3.2防火墙的架设

防火墙（Firewall）是在外部和内部两个网络之间执行安全控制策略的系统。

防火墙综合采用了网络每个层次上的适当技术，通过对网络做连接和服务器类型上的隔离，在被保护的内部网络周围建立起一个安全的隔离带。

防火墙常用于内部网络Intranet与外部网络Internet互联的环境中，要求被保护对象在网络拓扑上有确定闭合的边界。

防火墙的构成是指防火墙在网络中的物理位置和他与网络中其他设备的关系。

只有合理的选用和配置防火墙的拓扑，才能使之具有最佳的安全性能。

通常，防火墙的构成方式可分为双宿主机结构、带有屏蔽路由器的带网段防火墙结构、带DMZ防火墙结构、双DMZ防火墙结构几种。

防火墙的安全体现，可以用软件或者使用硬件实现，但很多情况下是二者的结合。

当然防火墙也存在一定程度的局限性，因为它只是整个网络安全防护体系的一部分，而且防火墙并非万无一失：

（1）只能防范经过其本身的非法访问和攻击，对绕过防火墙的访问和攻击无能为力；

（2）不能解决来自内部网络的攻击和安全问题；

（3）不能防止受病毒感染的文件的传输；

（4）不能防止策略配置不当或错误配置引起的安全威胁；

（5）不能防止自然或人为的故意破坏；不能防止本身安全漏洞的威胁。

基于多方面考虑，在为A企业设计防火墙时，使用了CiscoASA5100，因为它不但具有普通硬件防火墙的功能，而且还集成了VPN的功能，能够很方便、灵活地配置和管理。

登陆ASA5100后，点击Configuration页，再选择左侧的Interfaces，就可以方便的设置各个端口了。

图2-6

如图（2-7、2-8）在右边有一个Add键，可以添加端口，在此，我们根据之前设计的拓扑结构，把防火墙的WAN端口设为219.235.13.211,这个IP必须是第一个子网段中的有效IP地址。

把接内网交换机的LAN端口设为147.183.216.1,同时这个IP地址也将作为公司内所有计算机的默认网关。

最后，添加一个DMZ的端口，用于连接公司的DMZ区域，从第二个子网IP段中选择第一个IP219.235.13.217/29作为它的端口IP。

配置完成后，将C2811路由器上的FastEthernet0/0端口与防火墙的WAN口用超5类或6类线相连，把防火墙的LAN口与内网的核心交换机相连，最后把DMZ口和DMZ区域的交换机连接，这样整个网络架构基本已经完成并能够正常工作了。

图2-7

图2-8

接下来，我们需要开启防火墙的网络地址转换（NAT）功能，使所有的私网IP地址能够访问Internet资源。

NAT的主要作用有两个，一个是隐藏内部网络的IP地址；另一个作用是解决IP地址紧缺的问题。

但要注意，NAT本身并不是一种有安全保证的方案，它仅仅在包的最外层改变IP地址，所以通常要把NAT集成在防火墙系统中。

NAT是基于网络层的应用，按照不同的理解角度（实现方式/数据流向）分类也不同。

基本可分为SNAT和DNAT

（1）静态（static）网络地址转换和动态（dynamic）网络地址转换

（2）源（source）网络地址转换和目标（destination）网络地址转换

静态网络地址转换：

内部网络中的每个主机都被永久映射成外部网络中的某个合法的地址。

动态网络地址转换：

可用的合法IP地址是一个范围，而内部网络地址的范围大于合法IP的范围，在做地址转换时，如果合法IP都被占用，此时从内部网络的新的请求会由于没有合法地址可以分配而失败。

由于SNAT和DNAT可能无法满足实际的应用需求，于是就有了PAT（端口地址转换/翻译）

技术来弥补。

PAT是把内部地址映射到外部网络的一个IP地址的不同端口上。

在进行地址翻译时，优先还是NAT，当合法IP地址分配完后，对于新发起的连接会重复使用已分配过的合法IP，要区别此次NAT与上次NAT的数据包，就要通过端口地址加以区分。

在CiscoASA5100防火墙中，我们可以通过点击左边工具栏里的NAT图标进行NAT的设置。

具体配置如图2-9，将源网络设置为公司内网网段，并在WAN端口上做PAT，使所有的私网IP地址能够通过一个公网地址访问Internet资源。

图2-9

设置好后，将会有一条规则记录在NAT配置模块下，点击确定后立即生效。

（图2-10）

图2-10

3.3.3企业内域服务器（DC）的架设

在选择Intranet里的服务器时 ，应着重考虑与需求相对应的服务器级别的选择。

由于服务器在网络中运行网络操作系统、进行网络管理或是提供网络上可用共享资源，因此对服务器的选择显然不同于一般的普通客户机，同时应该按照服务器的不同类型，如WWW服务器、数据库服务器、打印服务器等而应该有所侧重。

一般要求所选用的服务器具有大的存储容量，数百GB或几TB，以及具有足够的内存和较高的运行速度，内存1G或4G以上，CPU主频在500MHz或以上，而且可为多个CPU处理器，并且具有良好和可扩展性，以满足将来更新换代的需要，保证当前的投资不至于在短时间内便被消耗掉。

对于公司的来说，在以Windows操作系统为基础的网络环境中，首先需要架设的是域控制器（DomainController），并升级到活动目录（ActiveDirectory）。

AD可以起到一个为整个公司的员工帐号提供基于Windows的身份验证，这样当员工登陆客户端或访问公司域内各服务器资源时，可以进行相应的鉴权，避免不安全的访问以及帐号的集中管理。

Active Directory，即目录服务，是一种分布式数据库，用于存储与网络资源有关的信息，以便于查找和管理。

其实早在Novell网络中便已经出现了Directory服务，而后微软将其借鉴，在Windows NT Server时代开始使用这一强大功能，但当时的可操作性等方面做的在现在看起来还是挺差的，而后的Windows 2000 Server时代AD便作为微软服务器平台最大的一个卖点来宣传。

到了Windows Server 2003时代，随着AD中的新功能、新技术的添加，其功能进一步强