中小型企业网络方案设计.docx
《中小型企业网络方案设计.docx》由会员分享,可在线阅读,更多相关《中小型企业网络方案设计.docx(22页珍藏版)》请在冰点文库上搜索。
中小型企业网络方案设计
XXXXX学院
《网络工程设计与实施》课程
2009-2010年下学期期末项目(设计)
中小型企业网络方案设计
二级学院 信息工程
专 业 计算机网络技术
年级2008级
班级网络技术4班
学 号
姓 名
指导教师
综合成绩
摘要
信息化浪潮风起云涌的今天,企业内部网络的建设已经成为提升企业核心竞争力的关键因素。
企业网已经越来越多地被人们提到,利用网络技术,现代企业可以在供应商、客户、合作伙伴、员工之间实现优化的信息沟通。
这直接关系到企业能否获得关键的竞争优势。
近年来越来越多的企业都在加快构建自身的信息网络,而其中绝大多数都是中小企业。
目前我国企业尤其是中小型企业网络建设正在如火如荼的进行着,本文以中小型企业内部局域网的组建需求、实际管理为出发点,从中小型企业局域网的管理需求和传统局域网技术入手,研究了局域网技术在企业管理中的应用。
关键词:
中小企业;局域网;组网案例;网络布局;网络安全;
Abstract
Thewaveofinformationsurgingtoday,theenterprisenetworkhasbecomethecorecompetitivenessofenterprisestoenhancethekeyfactor.Netmoreandmoreenterpriseshavebeenmanypeoplementionedthattheuseofnetworktechnology,themodernenterprisecanbesuppliers,customers,partners,employeesachieveoptimalcommunicationandinformation.Thisisdirectlyrelatedtotheavailabilityofkeyenterprisecompetitiveadvantage.Inrecentyearsmoreandmoreandmoreenterprisesarespeedinguptheinformationtobuildtheirownnetworks,thevastmajorityofwhichareSMEs.China'senterprises,especiallysmallandmedium-sizedconstructionenterprisenetworkiscurrentlyundergoingmajorregeneration,tosmallandmedium-sizedenterprisesinthisarticletheformationoftheinternallocalareanetworkneeds,theactualmanagementasastartingpoint,fromthemanagementofsmallandmedium-sizedenterpriseLANLANtechnologyneedsandthetraditionalapproachtostudythelocalareanetworktechnologyintheenterprisemanagementapplications.
Keywords:
smallandmedium-sized;LAN;networkcase;thelayoutofnetwork;securityofnetwork;
引言
随着计算机及局域网络应用的不断深入,特别是各种计算机应用系统被相继应用在实际工作中,各企业、各单位同外界信息媒体之间的相互交换和共享的要求日益增加。
需要使各单位相互间真正做到高效的信息交换、资源的共享,为各单位人员提供准确、可靠、快捷的各种生产数据和信息,充分发挥各单位现有的计算机设备的功能。
为加强各公司内各分区的业务和技术联系,提高工作效率,实现资源共享,降低运作及管理成本,公司有必要建立企业内部局域网。
局域网要求建设基于TCP/IP协议和WWW技术规范的企业内部非公开的信息管理和交换平台,该平台以WEB为核心,集成WEB、文件共享、信息资源管理等服务功能,实现公司员工在不同地域对内部网的访问。
第一章需求分析
(一)、中小型企业网络特点与要求
中小企业局域网通常规模较小,结构相对简单,对性能的要求则因应用的不同而差别较大。
许多中小企业网络技术人员较少,因而对网络的依赖性很高,要求网络尽可能简单、可靠、易用,降低网络的使用和维护成本、提高产品的性能价格比就显得尤为重要。
基于以上特点,应遵循下列设计原则:
1.把握好技术先进性与应用简易性之间的平衡。
2.具有良好的升级扩展能力。
3.具有较高的可靠性和安全性。
4.产品功能与实际应用需求相匹配。
80%的中小企业用户通常只用到局域网20%的功能。
精简功能设计的产品不但可以在满足大多数需求的情况下有效降低成本,而且还能够提高系统的稳定性和易维护性。
5.尽可能选择成熟、标准化的技术和产品。
恰当运用以太网的不同标准和功能,以太网技术能够在双绞线、多模光纤、单模光纤等介质上传输数据,可以非常简单地升级到百兆、千兆的速率,而且具有很高的稳定性和可管理性。
以太网提供了多种标准和功能。
比如10Mbps、100Mbps、1000Mbps不同速率的标准,双绞线、光纤等不同介质的标准,以及网络管理、流量控制、VLAN、优先级、链路聚合等功能。
第二章典型中小企业组网实例
(一)、案例描述
典型中小企业组网实例,申请一个公网IP和10M带宽,单台路由器,WEB服务器,通讯机,业务主机等,客户端办公电脑100台左右,多部门划分VLAN,用ACL控制各部门访问权限,配置网络打印机。
(二)、硬件设备
详见excel表《设备配置清单》
序号设备名称规格单位数量单价(元)合价(元)
1交换机Cisco4503
Cisco2960-48t台
台1
27400
930026000
2路由器Cisco2821台11450014500
3防火墙NokiaIP355台13450034500
………
CiscoCatalyst4500系列能够为无阻碍的第2/3/4层交换提供集成式弹性,因而能进一步加强对融合网络的控制。
可用性高的融合语音/视频/数据网络能够为正在部署基于互联网企业应用的企业和城域以太网客户提供业务弹性。
4500系列中提供的集成式弹性增强包括1+1超级引擎冗余、集成式IP电话电源、基于软件的容错以及1+1电源冗余。
硬件和软件中的集成式冗余性能够缩短停机时间,从而提高生产率、利润率和客户成功率。
是用于公司企业网络交换机群核心层高性价比的一系列。
CiscoWS-C2960-48T拥有大数量的接口,全智能自动全双工半双工识别,具有用于接入层交换机的良好优势。
能够快速转发用户的数据。
Cisco2821是一台多业务路由器,比较适合中小型企业的需求与应用。
NokiaIP355是一款应用于中小型企业的防火墙产品,能够进行SNMP,Telnet,FTP,SSHv2(安全Telnet&FTP),HTTP服务器RFC2068,SSL/TLSRFC2246,命令行运用的管理和对流量的过滤,对于中小型的安全问题防护性能比较良好。
(三)、IP地址规划
部门IP地址
公网地址220.156.66.117
路由器内部IP192.168.0.1/30
核心交换外部IP192.168.0.2/30
Web服务器192.168.2.1/24
业务主机192.168.2.2/24
通讯机192.168.2.3/24
网络打印机192.168.30.1/24
财务部192.168.40.1/24
设计部192.168.41.1/24
市场部192.168.42.1/24
(四)、网络拓扑
(五)、配置需求及解决方案
为了直观方便,配置需求全部在配置命令中加以单点说明,并且配置命令量大反复,这里只列出重点命令。
1.配置Router
接口:
interfacefastethernet0/1
ipaddress192.168.0.1255.255.255.252
duplexauto
speedauto
ipnatinside
noshutdown
interfacefastethernet0/2
ipaddress220.156.66.117255.255.255.248
duplexauto
speedauto
ipnatoutside
noshutdown
路由:
iproute0.0.0.00.0.0.0220.156.66.117
过载:
ipnatinsidesourcelist110interfaceFastEthernet0/2overload
access-list110permitip192.168.0.00.0.255.255any
2、配置Coreswitch
VTP:
VTPVersion:
2
ConfigurationRevision:
7
MaximumVLANssupportedlocally:
1005
NumberofexistingVLANs:
9
VTPOperatingMode:
Server
VTPDomainName:
OA
VTPPruningMode:
Disabled
VTPV2Mode:
Enabled
VTPTrapsGeneration:
Enabled
VLAN:
core-sw#vlandatabase进入vlan配置模式
core-sw(vlan)#vtpdomainOA设置vtp管理域名称OA
core-sw(vlan)#vtpserver设置交换机为服务器模式
core-sw(vlan)#vlan10nameshichang创建VLAN10,为市场部
core-sw(vlan)#vlan11namecaiwu创建VLAN10,为财务部
core-sw(vlan)#vlan12namesheji创建VLAN12,为设计部
core-sw(vlan)#vlan13namenetprinter创建VLAN13,为网络打印机
core-sw(vlan)#vlan20nameserver创建VLAN20,为服务器组
core-sw(config)#interfacevlan10
core-sw(config-if)#ipaddress192.168.42.254255.255.255.0
core-sw(config)#interfacevlan11
core-sw(config-if)#ipaddress192.168.40.254255.255.255.0
core-sw(config)#interfacevlan12
core-sw(config-if)#ipaddress192.168.41.254255.255.255.0
core-sw(config)#interfacevlan13
core-sw(config-if)#ipaddress192.168.30.254255.255.255.0
core-sw(config)#interfacevlan20
core-sw(config-if)#ipaddress192.168.2.254255.255.255.0
将接入层SW上的端口根据需要划分至各个VLAN
3、配置ACL
配置ACL应用在各个部门VLAN接口上,控制各部门互访
access-list10permit192.168.2.00.0.0.255
access-list10permit192.168.30.00.0.0.255
access-list10deny192.168.0.00.0.255.255
access-list10permitany
进入vlan10
ipaccess-group10out
把访问控制列表10应用于VLAN10OUT方向上,市场部内部可以互访,可以访问服务器网段和网络打印机网段,但不能访问财务部和设计部所在网段。
access-list11permit192.168.2.00.0.0.255
access-list11permit192.168.30.00.0.0.255
access-list11permit192.168.42.00.0.0.255
access-list11deny192.168.0.00.0.255.255
access-list11permitany
进入vlan11
ipaccess-group11out
把访问控制列表11应用在VLAN11OUT方向上,财务部内部可以互访问,可以访问服务器网段和网络打印机网络,可以访问市场部网段,但不能访问设计部网段。
设计部VLAN12,网络打印机VLAN13,服务器VLAN20可以访问任意网段,应用访问控制列表access-list110在in的方向上,封掉常见病毒端口。
access-list110denytcpanyanyeq1068
access-list110denytcpanyanyeq2046
access-list110denyudpanyanyeq2046
access-list110denytcpanyanyeq4444
access-list110denyudpanyanyeq4444
access-list110denytcpanyanyeq1434
access-list110denyudpanyanyeq1434
access-list110denytcpanyanyeq5554
access-list110denytcpanyanyeq9996
access-list110denytcpanyanyeq6881
access-list110denytcpanyanyeq6882
access-list110denytcpanyanyeq16881
access-list110denyudpanyanyeq5554
access-list110denyudpanyanyeq9996
access-list110denyudpanyanyeq6881
access-list110denyudpanyanyeq6882
access-list110denyudpanyanyeq16881
access-list110permitipanyany
可以根据实际需要将此ACL应用于任一接口,或者添加一些屏蔽软件的端口,达到管理内部员工的目的,也可以用局域网内部的管理软件,更加直接方便,并且易于操作。
4、配置业务主机
用IIS架设(IIS只适用于WindowNT/2000/XP操作系统)。
安装:
WindowXP默认安装时不安装IIS组件,需要手工添加安装。
进入控制面板,找到“添加/删除程序”,打开后选择“添加/删除Window组件”,在弹出的“Window组件向导”窗口中,将“Internet信息服务(IIS)”项选中。
在该选项前的“√”背景色是灰色的,这是因为WindowXP默认并不安装FTP服务组件。
再点击右下角的“详细信息”,在弹出的“Internet信息服务(IIS)”窗口中,找到“文件传输协议(FTP)服务”,选中后确定即可。
安装完后需要重启。
WindowNT/2000和WindowXP的安装方法相同。
设置:
电脑重启后,业务主机就开始运行了,但还要进行一些设置。
点击“开始→所有程序→管理工具→Internet信息服务”,进入“Internet信息服务”窗口后,找到“默认FTP站点”,右击鼠标,在弹出的右键菜单中选择“属性”。
在“属性”中,我们可以设置业务主机的名称、IP、端口、访问账户、FTP目录位置、用户进入FTP时接收到的消息等。
FTP站点基本信息:
进入“FTP站点”选项卡,其中的“描述”选项为该FTP站点的名称,用来称呼你的服务器,这里设置名称为“业务主机”;“IP地址”为服务器的IP,设置为192.168.2.2;“TCP端口”一般仍设为默认的21端口;“连接”选项用来设置允许同时连接服务器的用户最大连接数;“连接超时”用来设置一个等待时间,如果连接到服务器的用户在线的时间超过等待时间而没有任何操作,服务器就会自动断开与该用户的连接。
设置账户及其权限:
很多FTP站点都要求用户输入用户名和密码才能登录,这个用户名和密码就叫账户。
不同用户可使用相同的账户访问站点,同一个站点可设置多个账户,每个账户可拥有不同的权限,如有的可以上传和下载,而有的则只允许下载。
安全设定:
进入“安全账户”选项卡,有“允许匿名连接”和“仅允许匿名连接”两项,默认为“允许匿名连接”,此时业务主机提供匿名登录。
“仅允许匿名连接”是用来防止用户使用有管理权限的账户进行访问,选中后,即使是Administrator(管理员)账号也不能登录,FTP只能通过服务器进行“本地访问”来管理。
至于“FTP站点操作员”选项,是用来添加或删除本业务主机具有一定权限的账户。
IIS与其他专业的业务主机软件不同,它基于Window用户账号进行账户管理,本身并不能随意设定业务主机允许访问的账户,要添加或删除允许访问的账户,必须先在操作系统自带的“管理工具”中的“计算机管理”中去设置Window用户账号,然后再通过“安全账户”选项卡中的“FTP站点操作员”选项添加或删除。
但对于Window2000和WindowXP专业版,系统并不提供“FTP站点操作员”账户添加与删除功能,只提供Administrator一个管理账号。
设置用户登录目录:
最后设置FTP主目录(即用户登录FTP后的初始位置),进入“主目录”选项卡,在“本地路径”中选择好FTP站点的根目录,并设置该目录的读取、写入、目录访问权限。
设置完成后,业务主机就算建成了。
三网络布局和综合布线
公司组网,我们不仅要从企业本身的实际需求出发,根据组网经费的多少来务实地规划与设计网络;在采购好网络设备和服务器等设备后,如何对机房、办公地点进行合理的网络布局与布线,是致关重要的。
网络布局主要是指机房里的网络设备、服务器等设备如何放置,它们又与网络布线如何相处,总之网络布局要考虑周全。
(一)、网络布局的原则
1.实用性
企业组建的局域网应当根据机房的大小、设备的多少来具体实施,根据网络布线的特点来发挥网络布局实用性是非常重要的。
2.全面性
组网过程中,网络、服务器等设备放置位置应当统筹兼顾,网络布局要考虑周全,尽量让各种设备和布线系统处于合理的位置。
3.可靠性
组网无论怎样布局,最终的目的是保证我们的局域网的所有设备能可靠稳定地运行,使得网络能正常运转。
4.便于维护与升级
网络的组网不是一成不变的,随着IT企业业务的不断发展的需求,原先组建的局域网就需要不断地完善和扩充;在日常的网络运行维护中,规划网络布局时就应该考虑到便于以后网络的维护与升级操作。
(二)网络布局的具体实施要求
对于有线局域网来说,这是我们目前企业网络建设中,经常会遇到的,需要对机房和办公大楼进行布线。
规划网络布局要考虑到机房的设备布局和布线系统的合理搭配。
因此我们首先要规划与设计好机房、布线系统,然后再全面地考虑网络的布局。
1.机房的规划与设计
为了确保网络、计算机系统稳定、安全、可靠地运行,以及保障机房工作人员有良好的工作环境,做到技术先进、经济合理、安全适用、确保质量,符合国家有关的机房设计规定。
(1)防静电
静电不仅会对计算机运行出现随机故障,而且还会导致某些元器件,双级性电路等的击穿和毁坏。
此外,还会影响操作人员和维护人员的正常的工作和身心健康。
(2)防火、防盗
计算机房在设计时,重点要考虑机房的消防灭火设计。
设计时可以根据消防防火级别来确定机房的设计方案,计算机房火灾报警要求在一楼设有值班室或监控点。
机房里应注意防盗设施的安装,具体地可采用防盗门、防盗锁、警卫、自动报警系统等等。
(3)防雷
由于机房通信和供电电缆多从室外引入机房,易遭受雷电的侵袭,机房的建筑防雷设计尤其重要。
计算机通信电缆的芯线,电话线均应加装避雷器。
(4)保湿、保温
机房里的湿度应保持在20%-80%为宜,机房的温度应保持在15℃-35℃摄氏度,安装空调来调节温度是解决此问题最好的办法。
2.布线系统的规划与设计
有了好的机房,网络设备就有了好的“家”,组建的IT网络应当通过布线系统将机房和办公地点互联起来,确保网络的正常运行。
如果企业的接入点较多,我们可以采取接入层、汇聚层、交换层三个网络层次的设计,在此基础上进行布线系统。
对于接入层来说,选择一个合理的接入设备,是最关键的,而且我们要根据接入设备选择合适的带宽。
汇聚层是整个局域网的核心部分,汇聚层网络设备一般支持网络管理功能,方便我们的管理和维护,方便以后我们的网络升级和改造。
交换层是整个网络中的中间层,连接着汇聚层和网络节点,是决定我们整体网络传输质量的很重要的一个环节。
随着百兆网络设备的普及,我们交换层的网络设备,肯定首选百兆。
布线是连接网络接入层、汇聚层、交换层和网络节点的重要环节。
在布线时,最好使用专门的通道,而且不要与电源线,空调线等具有辐射的线路混合布线。
接入层与汇聚层之间的双绞线,可以选择超五类屏蔽双绞线,以使网络性能得到最大的提升。
汇聚层与交换层之间的双绞线,由于是网络数据传输量最大的一个层次,同样采用超五类屏蔽双绞线。
交换层与网络节点之间,我们就可以采用普通的超五类非屏蔽双绞线。
网络设备的放置,最好放在节点的中央位置,这样做,不是为了节约综合布线的成本,而是为了提高网络的整体性能,提高网络传输质量。
由于双绞线的传输距离是100米,在95米才能获得最佳的网络传输质量。
在做网络布线时,最好能够设计一个设备间,放置网络设备。
(三)、网络布局的规划与设计
目前的网络设备大都采用机架式的结构(多为扁平式,活像个抽屉),如交换机、路由器、硬件防火墙等。
这些设备之所以有这样一种结构类型,是因为它们都按国际机柜标准进行设计,这样大家的平面尺寸就基本统一,可把一起安装在一个大型的立式标准机柜中。
这样做的好处非常明显:
一方面可以使设备占用最小的空间,另一方面则便于与其它网络设备的连接和管理,同时机房内也会显得整洁、美观。
我们经常接触到的放置机房里有网络机柜、服务器机柜以及综合布线柜,
升级会员 