中小型企业网组建实训报告Word下载.docx

中小型企业网组建实训报告Word下载.docx

《中小型企业网组建实训报告Word下载.docx》由会员分享，可在线阅读，更多相关《中小型企业网组建实训报告Word下载.docx（28页珍藏版）》请在冰点文库上搜索。

（2）可增值

网络的建设、使用和维护需要投入大量的人力、物力，因此网络的增值性是网络持续发展基础，使网络能适应未来需求，节约各类费用。

确保新建网络在3～5年内的使用价值。

（3）安全保密性

充分考虑整个网络的稳定性，支持网络节点的备份和线路保护，提供网络安全防范措施。

能有效通过软硬件相互联动，有效保证企业网的安全；

选择设备必须具有较高的安全特性，如蠕虫病毒防御、ARP欺骗防御、防代理、防攻击扫描、防私设DHCP等功能，系统采用数字签名,安全认证,密码技术以及超级防火墙软件,代理服务器和VPN（虚拟隧道网络技术）等来确保网内安全。

对员工的上网行为进行实时记录，并保存到日志服务器。

（4）可扩展与成熟性

网络要建设成完整统一、组网灵活、易扩充的弹性网络平台，要具有可扩展性和可升级性。

随着业务的增长和应用水平的提高，网络中的数据和信息流将按指数增长，需要网络有很好的可扩展性，并能随着技术的发展不断升级。

（5）经济性

在满足高性能价格比（高性价比）的前提下,选用物廉价美,经济实用的产品,以减少开支。

（6）开放性

技术选择必须符合相关国际标准及国内标准，避免个别厂家的私有标准或内部协议，确保网络的开放性和互连互通，满足信息准确、安全、可靠、优良交换传送的需要；

开放的接口，支持良好的维护、测量和管理手段，提供网络统一实时监控的遥测、遥控的信息处理功能，实现网络设备的统一管理。

第二章需求分析

2.1业务需求分析

研究所目前的局域网应用包括文件共享服务、打印共享服务和财务管理等，未来将实施Intranet应用，主要面向OA，需要新增Web服务、E-mail服务等，还需要采购专门的OA办公软件，添置防火墙等安全设施。

研究所广域网包括将本地网络接入Internet，以及对外地办事处提供远程接入，可以考虑的方案有多种，如DDN专线、ISDN、xDSL等。

研究所年内业务增长规模主要在研发部门，需要引进更多的技术人才，但估计不会超过2倍的增长。

研究所分为总部和办事处两大块，7个办事处分布在全国若干个大城市。

总部只有一幢办公楼，共四层，楼层净高3.5m，其他环境状况依据大楼建筑结构图确定

2.2网络节点需求与分析

综合考虑单位各项业务需求，规划出网络节点数分布如表2-1所示：

表2-1网络节点分布表

部门（楼层）

业务类型

节点数

所长办公室（二楼）

办公自动化

5

秘书处（二楼）

10

文件传输

人事部（一楼）

8

财务部（二楼）

财务管理

15

营销部（一楼）

25

企划部（一楼）

开发一部（三楼）

30

Internet

开发二部（四楼）

远程办事处

2.3广域网需求

总部使用宽带接入Internet，带宽约10Mbit/s，可考虑使用xDSL、以太网接入等方案。

各远程连接节点都申请2Mbit/s以内的宽带方案接入Internet，可以申请ISDN、xDSL等，具体方案参考所在城市的资费标准，建议使用ADSL。

为了保证远程连接的安全性，广域网技术还要在接入设备上能支持VPN技术，构建虚拟专用网络。

移动办公用户也通过VPN接入总部网络。

第三章网络逻辑设计

3.1网络结构设计

网络设计包括逻辑网络设计与物理网络设计。

逻辑网络设计主要包括：

网络拓扑结构的设计、IP地址规划与VLAN的划分、网络管理与网络安全设计等；

物理网络设计是逻辑网络设计的屋里实现，主要包括综合布线系统的设计、网络设备的选型等。

本章主要介绍逻辑网络设计中的网络技术选型、拓扑结构的设计、IP地址规划与VLAN的划分等内容。

网络拓扑结构设计主要是确定网络中所有的节点以什么方式相互连接。

在设计时，要考虑网段和互联点、网络的规模、网络的体系结构、所采用的网络协议，以及组建网络所需的硬件设备（如交换机、路由器和服务器等）类型和数量等各方面的因素。

优良的拓扑结构是网络稳定可靠运行的基础，对于同样数量、同样位置分布、同样用户类型的主机，采用不同的拓扑结构会得到不同的网络性能，因此，要进行科学的拓扑结构设计。

3.2网络技术选型

根据需求，采用千兆以太网技术进行组网，它的主要特点表现在以下的几个方面。

（1）经济、实用且具有较高的性能价格比。

（2）千兆以太网获得广泛支持，尤其是3COM公司的全系列千兆以太网解决方案及产品，使得千兆以太网的互连和设计都极其灵活和方便。

（3）千兆以太网的兼容性。

千兆以太网采用与传统以太网及快速以太网相同的载波监听多路访问/冲突检测（CSMA/CD）机制，从现有的传统以太网与快速以太网可以平滑地度过到千兆以太网。

（4）升级性能。

千兆以太网与另一高性能——ATM技术相比，可以实现传统以太网或快速以太网的平滑升级及无缝连接，并不需要掌握新的配置、管理与故障排除技术，且有很高的性能价格比。

3.3网络拓扑结构

网络拓扑结构采用树型结构和分层设计思想，优点是能够准确定位网络需求，扩展和升级好，便于网络管理。

本网络采用三层结构设计，即核心层、汇聚层、接入层。

核心设备及主干网络技术采用1000Base-T技术，汇聚层设备及线路采用100Base-T技术，接入层设备采用共享式以太网技术。

这样的带宽足以满足企业当前的各种应用，公司未来即使上多媒体业务应用也不会有问题，因此节约了公司的投资。

各层次网络都提供足够的带宽保证网络流量畅通无阻，将丢包率降低到最小，且都属于以太网家族技术，保持了良好的兼容性和升级性。

网络拓扑图如下3-1-1所示：

图3-1-1网络拓扑图

3.4虚拟局域网划分及地址分配方案

在研究所总部划分虚拟局域网，实现逻辑隔离。

为了便于配置和管理，采用按部门划分虚拟局域网的方法，并给每一个虚拟网络制定一个子网号。

本网申请的IP地址是一个C类地址，只能满足254台主机接入Internet，对全研究所300个节点而言，略显不足。

为了解决地址缺乏的问题同时也是为了安全性的需要，采用NAT技术实现内外地址结合使用。

内部地址使用B类私有地址172.16.0.0，使用掩码255.255.255.0，分别给每一部门分配一个254台主机的地址区间，其中由于研发一部和研发二部主机数目较多，相邻的一个254地址区间也留做备用。

公开IP地址除给防火墙、公共Web服务器和代理服务器外，其余全部作为NAT地址池使用。

VLAN地址分配如表3-1所示：

表3-1地址分配表

部门

工作组名

VLAN号

IP地址

掩码

所长办公室

Zjl

Vlan1

172.16.1.0

255.255.255.0

秘书处

Msc

Vlan2

172.16.2.0

人事部

Rsb

Vlan3

172.16.3.0

财务部

Cwb

Vlan4

172.16.4.0

营销部

Yxb

Vlan5

172.16.8.0

企划部

Qhb

Vlan6

172.16.9.0

研发一部

Yfb1

Vlan7

172.16.10.0

研发二部

Yfb2

Vlan8

172.16.12.0

网管处

Wgc

Vlan9

172.16.14.0

3.5广域网设计接入

1、ADSL10Mb/s接入Internet

结合单位自身的业务特点制定了使用ADSL接入Internet的方案。

该方案首先是向本地电信局申请10Mb/sADSL业务。

并且申请一个C类公开网络地址。

2、远程接入ADSL2M

远程接入仍然申请ADSL连接，但带宽选择2Mb/s就够用了，为了保证安全性，应该使用支持VPN连接的终端设备。

第四章网络安全设计

4.1网络安全防范体系层次

作为全方位的、整体的网络安全防范体系也是分层次的，不同层次反映了不同的安全问题，根据网络的应用现状情况和网络的结构，我们将安全防范体系的层次划分为物理层安全、系统层安全、网络层安全、应用层安全和安全管理。

（1）物理环境的安全性（物理层安全）

该层次的安全包括通信线路的安全，物理设备的安全，机房的安全等。

物理层的安全主要体现在通信线路的可靠性（线路备份、网管软件、传输介质），软硬件设备安全性（替换设备、拆卸设备、增加设备），设备的备份，防灾害能力、防干扰能力，设备的运行环境（温度、湿度、烟尘），不间断电源保障，等等。

（2）操作系统的安全性（系统层安全）

该层次的安全问题来自网络内使用的操作系统的安全，如WindowsNT，Windows2000等。

主要表现在三方面，一是操作系统本身的缺陷带来的不安全因素，主要包括身份认证、访问控制、系统漏洞等。

二是对操作系统的安全配置问题。

三是病毒对操作系统的威胁。

（3）网络的安全性（网络层安全）

该层次的安全问题主要体现在网络方面的安全性，包括网络层身份认证，网络资源的访问控制，数据传输的保密与完整性，远程接入的安全，域名系统的安全，路由系统的安全，入侵检测的手段，网络设施防病毒等。

（4）应用的安全性（应用层安全）

该层次的安全问题主要由提供服务所采用的应用软件和数据的安全性产生，包括Web服务、电子邮件系统、DNS等。

此外，还包括病毒对系统的威胁。

（5）管理的安全性（管理层安全）

安全管理包括安全技术和设备的管理、安全管理制度、部门与人员的组织规则等。

管理的制度化极大程度地影响着整个网络的安全，严格的安全管理制度、明确的部门安全职责划分、合理的人员角色配置都可以在很大程度上降低其它层次的安全漏洞。

4.2网络安全措施

（1）VLAN设计为局域网内部提供了最大的安全性

（2）使用公共子网隔离内部网络和外部网络

（3）远程办事处与公司主网络连接均使用支持VPN技术的OfficeconnectDSL网关，创建安全的专用网连接。

（4）允许内部用户通过代理主机访问Internet，降低了内部主机的可跟踪性。

（5）3ComSuperstack3防火墙可有效保护网络免遭XX访问和其他来自因特网的外部威胁和侵袭

第五章网络管理方案

5.1SNMP管理信息结构和安全控制

SNMP为应用层协议，是TCP/IP协议簇的一部分，为了简化和降低通信代价，SNMP一般通过用户数据报协议（UDP）来操作，但SNMP也适用于其它协议。

SNMP通过共同体的概念来定义一个代理和一组管理者之间的认证、访问控制和代理服务的安全性。

SNMPv2和SNMPv3

SNMPv2不仅可以采用集中式模式，也可以采用分布式模式，分散了管理站的处理负担，减少了网络的业务量。

SNMPv3对安全特性进行了改进，具有鉴别、保密和存取控制3种安全功能，SNMPv3提出了全新的体系结构，解决了安全问题，使SNMPv1和SNMP2的实体可与SNMPv3的实体互通。

5.2网络管理系统的选购

由于网络应用和规模在不断扩大，网络管理工作愈来愈繁重，使用网管软件可以加强网络管理，优化现有网络性能，因此如何选购合适的网络管理系统变得非常重要。

选择网络管理系统一般需要满足以下需求。

以业务为中心：

以业务为中心是全面网络管理解决方案最重要的因素。

端到端管理能力：

端到端管理是只网络两端之间的每个操作步骤、整体操作过程和有关设备被同时在线监控。

可扩展性：

当网络的规模扩展以后，当前运行的网管系统是否还能正常工作是选择网管系统时要考虑的。

运行平台：

要选择与网络系统平台一致的网管系统软件，而且通信协议要兼容。

5.3常见网络管理系统软件介绍

1.HPOpenView网管工具采用开放式网络管理标准，不仅OpenView内部各个产品可以相互集成共同操作，而且目前有近几百家网络和软件系统厂商提供在HPOpenView上的集成产品。

POpenView网管系统中的各个产品都采用一致操作方式的图形界面，并且可以自动或根据用户设置动态反映网络拓扑结构和监测系统资源。

2.sunnetmanager是基于分布式的管理结构，它为用户提供了管理来自不同厂商的、规模和复杂程序可变的网络及系统的能力。

sunnetmanager结构的伸缩性体贤在它将管理处理的负载分散到网络上。

3.CiscoWorksforWindows网络管理软件主要应用在中小型企业的网络环境。

它是一个综合的，经济有效的，公能强大的网络管理工具，能够对交换机路由器，访问服务器，集线器等网络设备进行有效的管理。

4.CabletronNetSight管理解决方案可以最大限度地提高网络的可控制性及可用性，应用带宽管理特性通过为对带宽敏感的应用（VoIP、SAP和数据仓库）分配优先级和QoS来确保企业客户和在线客户可以获得所需的带宽，策略管理可以针对不同用户分配规则而不仅仅是网络设备来进行，从而使用户可以根据业务需求管理网络而不是根据网络情况来规划业务。

第六章综合布线设计

6.1综合布线系统设计

工作区子系统：

每个工作区布设两个信息点，实际使用过程中只使用一个信息点，另一个备用。

每个办公室配置一台16口的100Mb/s有源集线器，用户电脑直接连接到集线器，集线器Uplink口连接信息插座。

垂直干线子系统：

选用2根62.5μm6芯室内多模光纤布线和6根超5类UTP双绞线引入楼层交换机。

水平布线子系统：

全部选用AMP超5类双绞线，预留15%作备用。

设备间子系统：

设置在4楼东侧机房，防盗、通风、湿度合适。

设备间离楼梯较近，便于搬运设备。

在楼层东侧选择一间通风良好的房间作为小机房。

管理子系统：

使用壁挂式机柜即可。

各子系统如下图6-1-1所示：

图6-1-1综合布线系统示意图

6.2综合布线系统描述

综合布线系统演示如下图6-2-1所示：

6.3布线设备清单

布线设备的清单如下表6-1所示：

表6-1布线设备清单表

序号

产品名称

型号

单价/元

数量

1

AMP超5类4对非屏蔽双绞线

219507-4

450/箱

2

AMP6芯室内多模光纤

769509-2

26/米

120

3

AMP超5类平行跳线

406483-5

4.50/根

320

4

MDVO嵌装插座、双孔、白色

A0405262

13.50/个

24

BIX标示条、白色

A0270169

3/条

60

6

Optimax2光纤工具

AX100947

5930/个

7

MicroScannerPro便携包

MT-8202-04

240/个

AMPRJ45水晶头

60/盒

9

光纤耦合器，多模，装有6个SC单个耦合器，灰色

AX100093

250/个

墙挂式机柜（600*450）

F500418

1821/个

11

标准型机柜（800*900）

F50028942

8800/个

第七章网络设备选型

7.1设备选择的基本原则

1、选择路由器的基本原则

实用性原则：

采用成熟的、经实践证明其实实用性的技术。

这能满足现行业务的管理，又能适应3~5年的业务发展的要求；

可靠性原则：

设计详细的故障处理及紧急事故处理方案，保证系统运行的稳定性和可靠性；

标准性和开放性原则：

网络系统的设计符合国际标准和工业标准，采用开放式系统体系结构；

先进性原则：

所使用的设备应支持VLAN划分技术、HSRP（热备份路由协议）技术、OSPF等协议，保证网络的传输性能和路由快速改敛性，抑制局域网内广播风暴，减少数据传输延时；

安全性原则：

系统具有多层次的安全保护措施，可以满足用户身份鉴别、访问控制、数据完整性、可审核性和保密性传输等要求；

扩展性原则：

在业务不断发展的情况下，路由系统可以不断升级和扩充，并保证系统的稳定运行；

性价比：

不盲目追求高性能产品，要购买适合自身需求的产品。

2、选择交换机的基本原则

适用性与先进性相结合的原则：

不同品牌的交换机产品价格差异较大，功能也不一样，因此选择时不能只看品牌或追求高价，也不能只看价钱低的，应该根据应用的实际情况，选择性能价格比高，既能满足目前需要，又能适应未来几年网络发展的交换机。

选择市场主流产品的原则：

选择交换机时，应选择在国内市场上有相当的份额，具有高性能、高可靠性、高安全性、高可扩展性、高可维护性的产品，如中兴、3Com、华为的产品市场份额较大。

安全可靠的原则：

交换机的安全决定了网络系统的安全，选择交换机时这一点是非常重要的，交换机的安全主要表现在VLAN的划分、交换机的过滤技术。

3、选择防火墙的基本原则

总拥有成本和价格：

防火墙产品作为网络系统的安全屏障，其总拥有的成本不应该超过受保护网络系统可靠遭受最大损失的成本，防火墙的最终功能将是管理的结果，而非工程上的决策。

明确系统需求：

即用户需要什么样的网络监视、冗余度以及控制水平，可以列出一个必须监测怎样的传输、必须允许怎样的传输流通性，以及应当拒绝什么传输的清单。

应满足企业特殊要求：

企业安全政策中的某些特殊需求并不是每种防火墙都能提供的，这常会成为选择防火墙时需考虑的因素之一，比如：

加密控制标准，访问控制，特殊防御功能等。

防火墙的安全性：

防火墙产品最难评估的方面是防火墙的安全性能，普通用户通常无法判断。

用户在选择防火墙产品时，应该尽量选择占市场份额较大同时又通过了国家权威认证机构认证测试的产品。

防火墙产品主要需求：

企业级用户对防火墙产品主要需求是：

内网安全性需求，细度访问控制能力需求，VPN需求，统计、计费功能需求，带宽管理能力需求等，这些都是选择防火墙时侧重考虑的方面。

管理与培训：

管理和培训是评价一个防火墙好坏的重要方面。

人员的培训和日常维护费用通常会占据较大的比例。

一家优秀的安全产品供应商必须为其用户提供良好的培训和售后服务。

可扩充性：

网络的扩容和网络应用都有可能随着新技术的出现而增加，网络的风险成本也会急剧上升，因此便需要增加具有更高安全性的防火墙产品。

4、服务器选购原则

稳定性原则。

对于服务器而言，稳定性是最为重要的。

为了保证网络的正常运转，首先要确保服务器的稳定运行，如果无法保证正常工作，将造成无法弥补的损失。

针对性原则。

不同的网络服务对服务器配置的要求并不相同。

例如，文件服务器、FTP服务器和视频点播服务器要求拥有大内存、大容量和高读取速率的磁盘，以及充足的网络带宽，单独CPU的主频要求并不高；

数据库服务器则要求高性能的CPU和大容量的内存，而且采用多CPU架构，但对硬盘容量没有太高要求；

Web服务器也要求大容量的内存，对硬盘容量和CPU主频均没有太高要求。

因此，用户应当针对不同的网络应用选择不同的服务器配置。

小型化原则。

第一，服务器的性能越高，价格越昂贵，性价比也就越差；

第二，尽管服务器拥有一定的稳定性，但是，一旦服务器发生故障，就将导致所有服务的中断；

第三，当多种服务的并发访问数量较大时，会严重影响响应速度，导致系统瘫痪。

因此，建议为每种网络服务都配置不同的服务器，以分散访问压力。

够用原则。

服务器的配置在不断提升而价格在不断下降，因此，只要能满足当前的服务需要并适当超前即可。

当现有的服务器无法满足网络需求是，可以将它该作为其他对性能要求较低的服务器，或者进行适当充当，或者采用集群的方式提升性能，然后，再为新的网络需求购置新型服务器。

机架原则。

当网络内需要较多服务器时，建议考虑采用机架式服务器。

机架式服务器可统一安装在标准机柜内，既减少对空间的占用，又无需重复购置显示器和键盘。

更重要的是便于进行电源管理和集群操作。

7.2设备选型

1、路由器选型

由于采用ADSL接入方案，远程分支结构接入Internet选用3COM公司的OfficeconnectCable/DSL安全网关。

该路由器不仅能够提供分支机构内部的工作站共享带宽的Internet接入，还可以提供VPN连接，与总部公司网络构成虚拟专用网，具有价格低廉、安全性较高、带宽足够等优点。

其主要性能如下：

支持缆线或DSL调制解调器，提供配置灵活性。

能让最多253个用户利用ISP单用户定价模式共享Internet。

动态数据包检查防火墙可针对黑客和病毒提供保护。

VPN启动/终止及业界标准IPSec。

带有PPTP的VPN终止，与MicrosoftPPTP兼容。

IP功能可提供广域网性能，增强寻址隐私保护和经济性。

黑客模式检测防火墙功能