《中小型企业网络构建及安全实现方案14879.pdf》由会员分享,可在线阅读,更多相关《中小型企业网络构建及安全实现方案14879.pdf(13页珍藏版)》请在taowenge.com淘文阁网|工程机械CAD图纸|机械工程制图|CAD装配图下载|SolidWorks_CaTia_CAD_UG_PROE_设计图分享下载上搜索。
1、 中型企业网络构建及安全实现方案 目 录:第一章.网络构建理论总述.4 1.序言.4 第二章.需求分析.5 第三章.网络系统设置规划.5 1、网络系统设置原则.5 2、网络设计总体目标.6 3、网络通信联网协议.6 4、网络 IP 地址规划.6 5、网络设备方案设计.7 第四章.网络系统安全设置.8 1、外网安全设计.8 2、网安全设计.9 3、外网安全之间设计.9 第五章.整体结构网络服务功能的组成.9 系统架构.9 DNS 的注册诊断.10 安装组件.10 第六章.网络布线系统设计.11 1、布线系统总体结构设计.11 2、工作区子系统设计.12 3、水平子系统设计.12 4、管理子系统设
2、计.12 5、干线子系统设计.12 6、设备间子系统设计.13 7、建筑群子系统设计.13 第七章.结束语.13 参考文献:.错误!未定义书签。摘要:由于计算机及网络技术的不断发展,极推动了企业网的建设,各企业都在筹备建设企业网,希望通过企业网的建设,增加硬件的投入科研和管理水平,提高办学质量,企业网的建设对于企业来说是一项大的工程,必须精心设计、精心施工,做到经济适用,技术先进、开放性能良好、投资强度合理、与国外网络互联、能长期、稳定运行的高性能的企业网络。企业网必须具备教学、管理和通讯三大功能。企业的管理人员可方便地对教务、行政事务、员工档案、财务、资产等进行综合管理,同时可以实现各级管理
3、层之间的信息数据交换,实现网上信息采集和处理的自动化,实现信息和设备资源的共享,因此,企业网的建设必须有明确的建设目标。针对企业 当前面对的网络安全问题,提出一个网络安全模型,并对网络设计提出建议。关键词:局域网 网络设备 企业 规划设计 服务器 网络安全 加密 防火墙 第一章.网络构建理论总述 1.序言 随着当前对局域网更大带宽的日益强烈的需求,旧有的交换式10Mbps 以太网、共享式 100Mbps以太网和交换式100Mpbs快速以太网已经越来越不能满足我们的日常需要了。因此我们依照客户的需求以及实际情况草拟了千兆位以太网网络系统改造方案。作为一种先进成熟的网络技术,与以前的局域网络技术相
4、比,千兆网络具备简单,高效、建设成本低等显著的优势。千兆以太网所用产品也显得非常安全实用,加上其可扩展好,易于使用等特点,千兆以太网已经成为满足我们网络需求的不二选择。在本千兆以太网网络方案中,我们采用集中布线的方式,构成星型网络结构,以一台 3Com Switch 4007 作为中心交换机,3Com SuperStack 3 Switch 4950则作为二级主干交换机,选用的 3Com SuperStack 3 Switch 4400 作为工作组交换机,采用新一代的堆叠技术进行堆叠,堆叠后的工作组交换机可通过1000Base-SX、1000Base-Lx、1000Base-T 等各种千兆上连
5、技术上连到中心交换机。另外,工作组交换机与中心交换机之间还可采用多种高可靠上连技术,如弹性链路(Resilient Link)、链路聚合(link aggregation)、以及快速生成树协议(802.1W)等实现与中心交换机的连接。最后,通过10/100Mbps 自适应交换连接到桌面,实现每个信息点100Mbps 带宽。采用该千兆位太网解决方案后,企业将获得一种极其先进,并且极具简单性、实用性的解决办法,以缓解由于数据密集型应用不断增加和用户需求不断扩展而带来的网络压力。充分满足了客户的网络需求,并可在将来根据需要方便的进行升级改造。一个崭新的千兆以太网的时代即将到来。第二章.需求分析 由于
6、信息化浪潮风起云涌,企业部网络的建设已经成为提升企业核心竞争力的关键因素。企业网已经越来越多地被人们提到,利用网络技术,现代企业可以在供应商、客户、合作伙伴、员工之间实现优化的信息沟通。这直接关系到企业能否获得关键的竞争优势。近年来越来越多的企业都在加快构建自身的信息网络,而其中绝大多数都是中小企业。通过网络建设能够实现企业部资源的共享,降低企业成本,可以更好的与外界进行沟通,让外部更加了解企业。目前中小型企业建设过程中,存在很多问题,如有些中小型企业不考虑自身需求,一味追求高性能,构建的网络往往造成不必要的浪费;或另一方面,有些中小型企业建成的网络根本达不到应用本身对网络的需求。企业网络应分
7、为部网络和外部网络两个部分,其中还包括在这两部分上的实际应用,中小型企业在网络设计之初就应该充分考虑到自身的需求,通过这些需求来具体设计适合自己需求的网络。因此,在建立局域网时应该考虑到网络的先进性、可扩展性、高可靠性、稳定性、高带宽、经济性。第三章.网络系统设置规划 1、网络系统设置原则 网络要求:稳定,有安全机制,升级扩展容易,用户使用简单,维护容易等。系统要求:配置简单方便,系统运行有高稳定性,可管理性等。用户要求:满足基本带宽要求,保留一定的余量供扩展等。设备要求:技术上具有先进性,易管理,具有良好的性价比。2、网络设计总体目标【灵活性】:系统具有较高的适应变化的能力。布线系统且具有一
8、定的扩展能力。【实用性】:使用方便、简单、易扩展的特点。布线系统应在满足各种需求的情况下尽可能降低材料成本;布线系统具有操作简单、使用方便、易于扩展的特点。【安全性】:具有高安全性。3、网络通信联网协议 TCP/IP:每种网络协议都有自己的优点,但是只有TCP/IP 允许与 Internet完全的连接。Telnet:远程登录访问协议,使其他跨省区域的用户通过远程访问总部的外,在远程访问时,会设置相应的 ACL 认证和相对的权限设置。SNMP 网络管理协议:SNMP 用于在 IP 网络管理网络节点(服务器、工作站、路由器、交换机及 HUBS 等)的一种标准协议,它是一种应用层协议。SNMP 使网
9、络管理员能够管理网络效能,发现并解决网络问题以及规划网络增长。通过 SNMP 接收随机消息(及事件报告)网络管理系统获知网络出现问题。路由协议:OSPF。4、网络 IP 地址规划 企业园区网计划使用私有的 A 类 IP 地址。企业园区网的 IP 地址分配原则如下:企业使用IPv4 地址方案。企业使用私有 IP 地址空间:10.0.0.0/8。企业使 用 VLSM(变长子网掩码)技术分配 IP 地址空间。企业 IP 地址分配满足集团的利用。企业 IP 地址分配满足便于路由汇聚。企业 IP 地址分配满足分类控制等。企业 IP 地址分配满足未来公司网络扩容的需要。5、网络设备方案设计 路由器:CIS
10、CO 2811 参考价:5200 思科 2811 路由器采用模块化端口结构,传输速率 10/100Mbps 设置一个10/100Mbps固定广域网接口,2 个固定局域网接口10/100Mbps,支持 4 个扩展模块插槽,1 个 NM 插槽和 1 个 Console控制端口,配有 RS-232 的控制端口。该产品搭载 Motorola MPC860 160MHz 的处理器,配备最大 256MB 的 Flash 闪存和最大 760MB 的 DRAM 存,极大的提高了该产品的安全性能。思科 2811 支持 IEEE 802.3X 网络协议以及 SNMP 网管协议,同时还配备 Cisco ClickS
11、tart 网管软件,支持 VPN-虚拟专用网,以及 QoS,协议方面支持比较完善。安全方面,2811 置了防火墙,并支持 UL 60950:CAN/CSA C22.2 No.60950、IEC 60950、EN 60950-1、AS/NZS 60950 等众多安全标准,为企业用户提供更安全的网络服务。三层交换机:采用友讯网络(D-Link)DES-3326 参考价:6300 元 DES-3326 是友讯网络公司推出的一款可网管、支持千兆的 10/100M 智能三层交换机,是一款线速第三层交换机,提供了 24 个 10/100BASE-TX 端口及 1 个扩展插槽,可扩展 2 个可选千兆以太网端
12、口。DES-3326 交换机将第二层线速交换及第三层 IP 路由以及服务质量(QoS)有机集成为一体,并可采用支持 SNMP 标准的网管系统进行配置、监控和管理。DES-3326 交换机前面板插槽可选插 2 口千兆模块,不同模块可支持1000BASE-SX、1000BASE-T 标准。所有模块支持流量控制和全双工,可处理大量数据。支持优先级队列和 QoS 机制,优先级队列功能可以根据数据交换的重要性进行排队,优先交换重要数据。该款交换机具有端口聚合功能,最大可将 8 个10/100Mbps 端口聚合成一个端口,而聚合之后的这个端口性能非常强大,这项 功能主要是帮助那些需要高带宽端口而又不想投入
13、过多资金的用户使用,而这项功能最主要的应用场合是 VLAN 划分,VLAN 划分需要设置汇聚链路,而汇聚链路对带宽要求非常高,通过端口聚合功能可提供一个高带宽的端口。DES-3326 支持 SNMP 管理和 RMON 监控功能,并且还支持端口镜像功能,通过这些功能,管理员可对该款交换机进行管理、配置以及对此款交换机所连接的网络进行监控。DES-3326 交换机还提供了流量控制功能,支持 VLAN 划分,提供了冗余电源接口等。二层交换机:D-Link DES-1024D 参考价:530 它符合百兆以太网标准,提供了 24 个自适应全/半双工 10/100Mbps 端口,可自动判断连入设备的类型提
14、供相应的连接方式和带宽。另外利用配备的 16K 的 MAC地址表和 2.5MB 缓存,它可以利用 IEEE802.3x 流量控制技术动态将缓存分配到各个端口,保持网络畅通。第四章.网络系统安全设置 1、外网安全设计.防火墙系统:采用防火墙系统实现对部网和广域网进行隔离保护。对部网络中服务器子网通过单独的防火墙设备进行保护。入侵检测系统:采用入侵检测设备,作为防火墙的功能互补,提供对监控网段的攻击的实时报警和积极响应。病毒防护系统:强化病毒防护系统的应用策略和管理策略,增强病毒防护有效性。垃圾过滤系统:过滤,阻止垃圾及病毒的入侵。2、网安全设计 访问控制,通过密码、口令(不定期修改、定期保存密码
15、与口令)等禁止非授权用户对服务器的访问,以及对办公自动化平台、的访问和管理、用户身份真实性的验证、部用户访问权限设置、ARP 病毒的防御、数据完整、审计记录、防病毒入侵。对部采用:网络管理软件系统:使网管人员对网络中的实时数据流量情况能够清晰了解。掌握整个网络使用流量的平均标准,定位网络流量的基线,及时发现网络是否出现异常流量并控制带宽。3、外网安全之间设计 采用 VPN 系统:对远程办公人员及分支机构提供方便的 IPSec VPN 接入,保护数据传输过程中的安全,实现用户对服务器系统的受控访问 移动用户管理系统:对部笔记本电脑在外出后,接入部网进行安全控制,确保笔记本设备的安全性。有效防止病
16、毒或黑客程序被携带进网。部办公自动化网络根据不同用户安全级别或者根据不同部门的安全访问需求,可以利用三层交换机来划分虚拟子网(VLAN)。同时通过在不同 VLAN 间做限制来实现不同资源的访问控制。通过虚拟子网的划分,既方便局域网络的互联,又能够实现访问控制 第五章.整体结构网络服务功能的组成 系统架构 1.域控制服务器/Domain Server(服务器端建立域)以 LENOVO 商用机为平台,通过 MICROSOFT WINDOWS 2003 ADVANCE SERVER 架设了名为 的域环境,服务器角色目前为活动目录(AD)。在这个基础上,还开通了文件存储服务(FILE STORAGE
17、SERVICE),并细分为按公司部门的文件存储方式。并安装有瑞星杀毒软件及卡卡安全助手,交接时候的病毒特征定义库号为 20.22.01。此服务器硬件配置主要为 Pentium4 3.0Ghz/1G Ram/80G HardDisk。IP 地址为:192.168.1.100,Domain Administrator 口令为:123456。A、选择开始菜单中的运行命令,输入dcpromo 弹出活动目录的配置框,进入活动上当安装向导 A、点击下一步 若图片无法显示请联系 QQ3249114 A、下一步,选择“新域的域控制器”下一步,选择“在新林中的域”下一步,为新域键入一个 DNS 全名 A、下一步
18、,为新域键入一个 Netbios 名 A、指定数据库和日志文件和文件夹的存放位置 A、指定共享的系统卷 DNS 的注册诊断 A、选择用户和组对象的默认权限 B、设置目录服务还原模式的管理员密码 C、复查并确认选定的选项 D、配置活动目录 E、配置组件,提示插入 2003 光盘 安装组件 客户端加入到域;以 LENOVO 商用机为平台,通过 MICROSOFT WINDOWS XP-HOME EDITION、MICROSOFT OFFICE 2003、Outlook Express 等软件架设了日常办公平台。工作组为 WORKGROUP,IP 地址为自动获得。在网上邻居中右击鼠标,选择属性,打开
19、本地连接属性,双击 TCP/IP 协议。将首选 DNS 地址改为域服务器的地址 在桌面上选择我的电脑右击鼠标,选择属性,弹出面板,单击网络标识选项卡,单击属性。在跳出的标识更改选项卡中的隶属于改为域,输入 Hy2.输入服务器上的管理员密码 加入域成功 漫游用户配置文件 一、用户的建立 a.在域服务器上添加一个jack 的域账号,单击活动目录用户和计算机右击 user新建用户 新建对象中输入相应的 jack 信息,单击下一步。输入账号的密码,(输入的密码要满足密码策略。)Jack 建立成功。一、配置文件的共享目录与用户配置文件位置的定义:在域服务器上新建一个文件夹,然后共享,用于存放 jack
20、的用户配置文件(可以是空的)。在该文件夹的共享权限中添加域 jack(或 everyone),权限设完全控制,右击属性,在 jack 属性的配置文件选项卡设置配置文件路径为:服务器名或 IP 地址Jack 共享目录名 列 192.168.1.25jackshare 第一台客户机登录形成配置文件并修改工作环境:然后使用 1 台客户机登陆,用户名为 jack,登陆到选域 Hy2,登陆后在桌面上新建一些快捷方式和文件夹,注销退出。此时,在域服务器得 jack 共享文件夹就可以看到,新建的快捷方式和文件夹 第二台客户机登录,工作环境(用户配置文件)漫游到第二台机器:当我们用 JACK 在第二台客户机上
21、登录,会发现,先前在第一台客户机中做的快捷方式和文件夹,会被自动调用过来。第六章.网络布线系统设计 1、布线系统总体结构设计 总体 1 栋建筑,从总部机房用十二芯单模光纤与另筑的设备间|BD|相连,每个设备间也设用十二芯多模光纤与每层的电信间|FD|,并用五类非屏蔽双绞线从电信间与工作站相连接,集团园区网采用10M 的光纤以太网接入到因特网服务提供商的网络,然后接入到因特网中,使集团实现与外界的信息交换和网络通信。集团统一由总部机房的一个出口访问Internet,集团能够控制网络的安全。在服务器和核心交换机间:使用UTP 电缆来将服务器连接到核心交换机。2、工作区子系统设计 工作区子系统由各个
22、单元区域构成,是计算机、和信息插座的连接部分,包括连接跳线和信息插座。信息插座面板具备:通用、超薄、简易、防尘等特点;信息插座的模块采用类 RJ-45 模块;线缆采用超五类双绞线;水晶头采用 RJ-45标准水晶头。为降低成本和结合客户终端的位置多变的特点,跳线可采用原装跳线与自制跳线相结合的方式,中心机房设备之间、楼宇机柜设备之间、服务器、重点客户终端的跳线采用原装成品跳线,其余采用自制跳线。跳线制作统一采用EIA/TIA 568B 标准,以使系统具有更好的兼容性。3、水平子系统设计 水平子系统主要是实现信息插座和管理子系统,即中间配线架(IDF)间的连接。水平子系统为星形拓扑。在水平子系统中
23、采用超五类非屏蔽双绞线。双绞线水平布线链路中,水平双绞线的最大长度均不超过 90m。为了网络系统的稳定性和扩展性超五类非屏蔽双绞线。4、管理子系统设计 管理子系统设计由配线间构成。由各种规格的配线架实现水平、垂直主干线缆的端接及分配;由各种规格的跳线实现布线系统与各种网络、通讯设备的连接,并提供灵活方便的线路管理能力。分配线间是各治理子系统的安装场所,可安装配线架和计算机网络通信设备。对于信息点不是很多,使用功能近似的楼层,为便于治理,仅设置一个共用的子配线间;对于信息点较多的楼层则在该层设立配线间。5、干线子系统设计 干线子系统设计由连接主设备间与各治理子系统的室干线电缆构成。数据主要从网络配线间向各个子配线间敷设 12 芯单模室多模光纤。6、设备间子系统设计 设备间子系统设计由设备间中的电缆、连接器和相关支撑硬件组成,把公共系统(通讯系统,计算机系统和建筑自动化系统等)设备的各种不同设备互连起来。使用 12 芯单模室多模光纤将其连接。7、建筑群子系统设计 建筑群子系统是将一栋建筑物的电缆延伸到建筑群中的另外一些建筑物的通信设备和装置上,采用光缆布线是目前主要的建筑间布线方式。建筑间的主干光缆采用12 芯单模。第七章.结束语 通过这次对中小型企业网络构建及安全实现方案应用,让我更了解对网络构建与课程设计原理与应用。