中小企业网建设方案Word格式.docx
《中小企业网建设方案Word格式.docx》由会员分享,可在线阅读,更多相关《中小企业网建设方案Word格式.docx(10页珍藏版)》请在冰点文库上搜索。
5.服务器的组建
6.企业网络安全设计
7.结束语
摘要
本设计结合一家中小企业网络的实际需求,通过对网络组建方案的设计、基于安全的网络配置方案设计、服务器架设方案设计、企业网络安全设计等方面的仿真研究,详尽的探讨了对该网络进行规划设计时遇到的关键性问题。
主要包括需求分析、网络设备选型、逻辑网络设计、IP地址规划方案设计、服务器架设和网络安全设计等内容。
论文针对中小企业网络拓扑进行设计和分析,通过CiscoPacketTracer软件进行网络仿真配置和安全设计,给出了网络规划设计解决方案。
1.引言
CiscoPacketTracer是由Cisco公司发布的一个网络仿真工具,使用该工具可以搭建网络的模拟环境,对网络进行设计、配置、故障排除等。
用户可以在工具的图形用户界面上直接使用拖曳方法建立网络拓扑,并可提供数据包在网络中行进的详细处理过程,观察网络实时运行情况。
可以学习IOS的配置、锻炼故障排查能力等。
目前最新的版本是PacketTracer5.3。
网络改变了人们的生活,地球变成了地球村,全世界的人可以随时进行网络交流。
信息资源的共享,带来社会生产力空前提高,互联网与人们生活越来越密切,如网上证券期货交易、远程电子视频会议、网上购物等应用使得人们的生活已经越来越离不开网络,由此,信息高速公路的建设变得十分重要。
企业规模的不断壮大和业务量的不断增加,原有的工作方式已不能满足现代企业的需要,特别是对突发事件的处理能力与速度的需求。
现代企业如果没有信息技术的支持,就不能称之为现代企业。
随着网络技术的不断成熟、网络产品价格的不断下降,以及对数据传输和信息交换需求的不断增加,现在各企业均正在或已搭建了企业内部局域网,因为,
企业网络的建设是企业向信息化发展的必然选择。
企业网络为企业的现代化发展、综合信息管理和办公自动化等一系列应用提供了基础平台。
本设计结合中小企业实际需求,举例分析、设计、配置、模拟组建了一个典型的中小企业网络。
2.需求分析
2.1.背景分析
该企业是一家生产研发型企业,主楼是一座四层办公大楼,办公大楼后方是一栋较大的生产车间。
整个办公楼有信息点大概100个,企业中心机房设在办公大楼三楼中间。
2.2.应用需求
WWW服务器,众所周知,WWW服务器主要功能是提供网上信息浏览服务。
是Internet目前发展最快和目前用的最广泛的服务。
FTP服务器,为了在企业内部能够轻松进行文件数据交换,权限分配,FTP服务器十分必要。
文件服务器,企业内部需要大量数据文件的交换,且各部门的资料访问权限不同,文件服务器是最佳选择。
域控制器,由于工作组是一个小型的通过网络相联的计算机组,它允许用户协同工作,但是不支持集中式管理。
而域是一组连接在网络上的计算机,它们有一个中央的安全数据库来保存安全信息。
管理员能够轻易地管理各个计算机。
一个域可以通过统一的方法和规则来进行管理。
每个域都有一个唯一的名字,域中的每台计算机也都有一个唯一的名字。
因此,使用域管理企业网络是最佳选择。
DNS服务器,计算机网络间的通信首先必须由DNS将域名解析为IP地址,为了公司内部网络之间能够通信,DNS为员工访问内部网络提供域名解析,同时也提高了网络访问的速度和准确度。
邮件服务器,为了通信的安全、快捷,需要为企业架设一台邮件服务器。
2.3.安全需求
中小企业的网络安全指的主要是对各服务器进行授权访问,对所有服务器进行病毒防护,数据备份,对企业内部计算机进行统一集中式的管理,以及远程及移动用户对公司内部网络的安全访问等。
2.4.网络扩展性需求
一方面要确保公司新的部门能够简单地接入现有网络,二要确保公司新的应用能够无缝地在现有网络上运行。
2.5.实现目标
首先是资源共享,网络内的各个用户终端可共享文件、打印机、实现办公自动化系统中的各项功能;
其次是通信服务,用户可以收发电子邮件、实现Web应用、接入互联网、进行安全的广域网访问;
再次是公司网络的统一管理,使用ActiveDirectory对企业网络终端进行统一规划管理。
3.逻辑网络设计
3.1.组网技术选择
众所周知,快速以太网是世界上应用最广泛的组网技术,其强大的灵活性、简便性、传输介质的多样性以及拓扑结构的灵活性,使得其早已成为网络技术的主流。
中小企业行业特点要求网络系统速度快,稳定性好,具有扩展性和开放性。
同时,对于组网技术的选择,需要考虑技术产品的成熟稳定性。
并且,使用先进且成熟的网络技术,不仅可保护投资,还可以降低网络建设的费用。
因此,最终选择快速以太网作为该企业的组网技术方案。
3.2.网络设计原则
首先,实用性和经济性。
系统建设应始终贯彻面向应用、注重实效的方针,坚持实用、经济的原则建设企业网络系统。
其次,先进性和成熟性。
系统设计既要采用先进的概念、技术和方法,又要注意结构、设备的相对成熟。
不但能反映当今的先进水平,而且具有发展潜力,能保证在未来若干年内企业网络仍占领先地位。
第三,可靠性和稳定性。
在考虑技术先进性和开放性的同时,还应从系统结构、技术措施、设备性能、系统管理、厂商技术支持及售后服务能力等方面着手,确保系统运行的可靠性和稳定性,达到最大的平均无故障时间。
第四,安全性和保密性。
在系统设计中,既要充分考虑信息资源的充分共享,更要注意信息的保护和隔离,因此系统应分别针对不同的应用和不同的网络通信环境,采取不同的措施,包括系统安全机制、数据存取的权限控制等。
最后,可扩展性和易维护性。
为了适应系统变化的需求,必须充分考虑以最简便的方法、最低的投资,实现系统的扩展和维护,采用可网管产品,降低了人力资源的费用,提高了网络的易用性。
3.3.网络拓扑结构图设计
为了满足企业的需求及长远利益,企业网络应按照上述原则进行网络结构设计与设备选型,在网络拓扑结构上采用星型网络拓扑结构。
星型网络拓扑结构具有安全、可靠、易扩展等特点,以交换机为中心,服务器和PC工作站直接连接至交换机,组成网络。
通过相应的配置,在不改变网络节点物理位置的情况下,可对网络的逻辑结构进行合理的划分,即建立虚拟网络,以达到网络信息流量的有效控制。
本网络分为核心层和汇聚层、接入层三层结构,核心层和汇聚层使用CISCO3560系列交换机,接入层采用CISCO2960系列交换机(详见网络设备选型一章),出口路由器选用CISCO1841中小企业级路由器。
PC工作站以接入交换机为中心直接连接,组成各子局域网,考虑到网络的可扩展性,配置了6台24口接入交换机、一台汇聚交换机,一台核心交换机、一台出口路由器。
4.IP地址规划及网络设备配置
4.1.IP地址规划
4.1.1.VLAN规划
企业的公网IP地址范围为:
218.22.26.146/29。
企业内部IP地址采用192.168.0.0段的私有IP地址,并且对企业内部局域网进行VLAN划分,其优点是可以减少网络内的广播数据包,提高网络运行效率,区分不同的应用和用户等,且方便网络的管理与维护等。
VLAN的详细划分及地址分配如下所示。
VLAN划分表:
部门VLAN地址范围网关地址
设备管理地址VLAN1192.168.1.1——192.168.1.254192.168.1.1
总经办VLAN2192.168.2.1——192.168.2.254192.168.2.1
采购部VLAN3192.168.3.1——192.168.3.254192.168.3.1
项目部VLAN4192.168.4.1——192.168.4.254192.168.4.1
生产部VLAN5192.168.5.1——192.168.5.254192.168.5.1
质保部VLAN6192.168.6.1——192.168.6.254192.168.6.1
财务部VLAN7192.168.7.1——192.168.7.254192.168.7.1
服务器地址VLAN8192.168.8.1——192.168.8.254192.168.8.1
交换机IP地址规划表:
交换机管理地址(VLAN1地址)设备名称(hostname)
1号接入交换机192.168.1.10jr-sw1
2号接入交换机192.168.1.20jr-sw2
3号接入交换机192.168.1.30jr-sw3
4号接入交换机192.168.1.40jr-sw4
5号接入交换机192.168.1.50jr-sw5
6号接入交换机192.168.1.60jr-sw6
汇聚交换机192.168.1.100hj-sw
核心交换机192.168.1.1hx-sw
所有网络设备的enable密码(包括enablesecret密码)和线路管理telnet密码统一配置为:
congqianlu。
4.1.2.网络设备IP规划
服务器IP地址规划表:
服务器名称IP地址VLAN网关MAC地址
DC、DNS192.168.8.2VLAN8192.168.8.100E0-A3CD-3D40
文件服务器192.168.8.3VLAN8192.168.8.100E0-E47B-33AB
WWW、FTP192.168.8.4VLAN8192.168.8.100E0-6EDD4-33D3
MAIL192.168.8.5VLAN8192.168.8.100E0-ECC2-716
4.1.3.核心交换机和路由器端口IP配置
核心交换机和路由器端口IP分配表:
接口名称IP地址/掩码备注MAC地址
核心交换机f0/1172.16.1.2/240004-E4E1-8001
路由器f0/1172.16.1.1/240001-97E6-C602
路由器f0/0218.22.26.150/290001-97E6-C601
路由器Loopback172.17.17.17/240002-4AEE-5B26
4.2.网络设备配置
接入交换机下的PC至出口路由器的连通性测试,测试各vlan下PC间的互通性,用一台接入交换机vlan2下的机器telnet管理6号接入交换机交换机,用一台接入交换机下的客户机telnet管理核心交换机,出口路由器主要做了NAT转换、Loopback接口、RIP协议、默认路由等配置,用一台接入交换机下的客户机telnet管理路由器。
5.服务器搭建
5.1.域控制器(DC)搭建
首先,配置好服务器的网络环境,配置IP地址、掩码等。
并将首选DNS服务器地址设置为本服务器地址。
然后,在“运行”对话框中输入:
dcpromo,启动域控制器安装向导,由于此DC是网络中的第一台域控,所以选择“新的域控制器”,然后单击“下一步”,选择“在新林中的域”,下一步。
接下来是提示数据库和日志文件的存放位置以及DNS注册诊断,同时,因为域控必须通过DNS来查询域名,因为这是第一台DC服务器,所以,同时也要做DNS服务。
期间,系统会提示正在安装DNS服务,确定后第一台域控制器搭建完成。
在管理工具中,DNS服务器截图如下。
在管理工具中,打开ActiveDirectory用户和计算机,在此,可以为各个部门新建组,通过组策略对不同组的成员进行不同权限的管理,同时,新建组后可以继续新建用户,并设置其属性,隶属于不通的部门。
5.2.文件服务器搭建
在添加服务器角色中,选择“文件服务器”,然后单击下一步,接着出现“磁盘配额’选项,如果需要则可以在此设置。
接着是索引选项的设置,如果企业内部人员经常在文件服务器上搜索文件,则可以启用索引选项,否则,不建议使用,因为索引服务会消耗服务器大量的资源。
接着,出现配置共享文件夹的对话框,单击“下一步”选择要共享的文件夹然后单击“下一步”,如选择共享“质保部”文件夹,完成名称、描述等设置后,出现共享权限提示框,由于是文件服务器,权限问题是首要问题,因此,通常选择自定义,在此将“质保部”文件夹共享权限设置为只有quality组有一切权限,其他组和用户全部没有任何权限。
同理,设置其他各部门资料的访问权限,至此,文件服务器搭建完成。
5.3.WWW服务器搭建
在Windowsserver2003中,安装IIS6.0后,打开IIS管理器,进行配置,首先设置该www服务器的IP等信息,其次,设置WWW服务器的网站文件主目录,最后,添加该WWW服务器的默认文档名称。
至此,一个初级的WWW服务器就已经配置完成。
5.4.FTP服务器
由于Server2003下的FTP服务器功能有限,所以为该企业的FTP服务器,选用目前比较流行,且功能强大的Serv-UFTP搭建工具。
运行安装完成后,启动管理员,新建域,输入IP地址和域名,在域中添加用户,并设置相应权限。
同时,Serv-U还可以对用户进行其他权限设置,如上传/下载速率,会话超时时间,磁盘配额等。
6.企业网络安全设计
6.1.物理安全
物理安全主要指的是机房的物理安全,服务器应该安放在安装了监视器的隔离房间内,并且监视器要保留15天以上的摄像记录。
另外,机箱,键盘,电脑桌抽屉要上锁,以确保旁人即使进入房间也无法使用电脑,钥匙要放在安全的地方等。
6.2.操作系统安全设计
操作系统指的主要是服务器的操作系统:
windowsserver2003。
操作系统安全配置是企业网络安全配置设计中的重要一部分,操作系统的安全是整个企业网络的最后一道防线,因此,其安全性尤为重要。
6.2.1.禁用GUEST账号,限制用户数量、管理员用户改名、设置陷阱账号等
禁用GUEST账号后,可以为GUEST账号设置一个复杂的密码,并且设置GUEST的属性为禁止远程访问。
同时,还可以设置陷阱账号,所谓的陷阱帐号是创建一个名为“Administrator”的本地帐户,把它的权限设置成最低,加入GUESTS组,什么事也干不了的那种,并且加上一个超过10位的超级复杂密码。
另外,可以将共享文件的权限从“Everyone”组改成“授权用户”。
“Everyone”在Windows2003中意味着任何有权进入你的网络的用户都能够获得这些共享资料。
最后,要把服务器的所有分区都改成NTFS格式。
NTFS文件系统要比FAT、FAT32的文件系统安全得多。
6.2.2.安装防火墙、备份重要数据等。
一些好的杀毒软件不仅能杀掉一些著名的病毒,还能查杀大量木马和后门程序。
所以,设置了杀毒软件,“黑客”们使用的那些有名的木马就毫无用武之地,同时,应注意要经常升级病毒库。
因为是服务器,重要数据的备份相当重要。
因此,一旦系统资料被黑客破坏,备份盘将是恢复资料的唯一途径。
备份完资料后,把备份盘防在安全的地方。
不能把资料备份在同一台服务器上。
7.结束语
在设计过程中,出现过很多的难题,但都在大家的帮助下顺利解决了,遇到的主要问题有以下几点:
拓扑设计问题,主要是网络层次结构选择问题;
设备选型问题,详细分析了具体需求和应用后才得以解决。