中小型企業(yè)網絡構建畢業(yè)論文.doc
《中小型企業(yè)網絡構建畢業(yè)論文.doc》由會員分享,可在線閱讀,更多相關《中小型企業(yè)網絡構建畢業(yè)論文.doc(44頁珍藏版)》請在裝配圖網上搜索。
Xxxx大學 畢業(yè)設計(論文) 論文題目:中小型企業(yè)網絡構建 論文題目:Small and medium-sized enterprise network design 作者姓名: 王 所在系部: 系 班級名稱: 網 絡 指導教師: 徐 2014 年 4 月 畢業(yè)論文設計書 1. 設計主要任務 該設計主要是要求學生全部運用所學的基礎理論和專業(yè)理論知識,針對目前企業(yè)網絡技術需求,設計某企業(yè)網絡的方案,繪制網絡拓撲結構,完成IP地址的規(guī)劃,通過市場調研完成設備的選型,結合網絡架構的方案以及所選擇的設備,完成該企業(yè) 的網絡方案的實施。 2. 設計(論文)的主要內容 此項畢業(yè)設計要求包括從網絡架構方案的提出一直到網絡架構方案的實施。 (1) 需求分析 根據當前網絡技術的發(fā)展狀況,結合企業(yè)的網絡需求,設計某企業(yè)的網絡需求,設計某企業(yè)的網絡架構方案。 (2) IP地址的規(guī)劃 根據企業(yè)信息點的分布狀況,繪制網絡拓撲結構圖,完成IP地址的規(guī)劃。 (3) 設備選型 通過市場調研結合企業(yè)網絡架構方案,完成設備選型。 (4) 網絡架構方案的實施 根據網絡架構的方案以及選擇的網絡設備,提出一整套網絡實施的方案。 (5) 總結 簡述在企業(yè)網絡架構過程中出現的問題以及解決的方案,對未來網絡發(fā)展的展望。 3.設計(論文)的基本要求 (1)論文格式要符合規(guī)范 (2)提供完整的源程序 (3)至少提供10篇參考文獻(書籍 期刊 網址等) 4.主要參考文獻 王衛(wèi)紅 李小明.計算機網路與互聯網.機械出版社 張福祥.計算機網絡基礎.中國電力出版社 周躍東.計算機網絡工程.西安電子科技大學出版社 5.畢業(yè)設計(論文)時間安排 第一周 資料收集整理 第二周 收集資料 寫初稿 第三周 論文初稿的中級檢查 論文修改 第四周 論文后期修改及完善修改 摘 要 信息化浪潮風起云涌的今天,企業(yè)內部網絡的建設已經成為提升企業(yè)核心競爭力的關鍵因素。企業(yè)網已經越來越多地被人們提到,利用網絡技術,現代企業(yè)可以在供應商、客戶、合作伙伴、員工之間實現優(yōu)化的信息溝通。這直接關系到企業(yè)能否獲得關鍵的競爭優(yōu)勢。近年來越來越多的企業(yè)都在加快構建自身的信息網絡,而其中絕大多數都是中小企業(yè)。目前我國企業(yè)尤其是中小型企業(yè)網絡建設正在如火如荼的進行著,本文以中小型企業(yè)內部局域網的組建需求、實際管理為出發(fā)點,從中小型企業(yè)局域網的管理需求和傳統(tǒng)局域網技術入手,研究了局域網技術在企業(yè)管理中的應用。 關鍵詞:組網;拓撲;設備選型;IP規(guī)劃;配置命令;網絡布局;網絡維護; 網絡安全 Abstract The wave of information surging today, the enterprise network has become the core competitiveness of enterprises to enhance the key factor. Net more and more enterprises have been many people mentioned that the use of network technology, the modern enterprise can be suppliers, customers, partners, employees achieve optimal communication and information. This is directly related to the availability of key enterprise competitive advantage. In recent years more and more and more enterprises are speeding up the information to build their own networks, the vast majority of which are SMEs. Chinas enterprises, especially small and medium-sized construction enterprise network is currently undergoing major regeneration, to small and medium-sized enterprises in this article the formation of the internal local area network needs, the actual management as a starting point, from the management of small and medium-sized enterprise LAN LAN technology needs and the traditional approach to study the local area network technology in the enterprise management applications. Key words: networking;topology;Equipment selection ;IP planning;onfigure command;Network layout ; Network maintenance ;security of network 目 錄 第一章 緒 論 - 3 - 第二章 需求分析 - 5 - 2.1企業(yè)對網絡的需求情況 - 5 - 2.2用戶需求分析 - 5 - 2.3案例分析 - 6 - 2.3.1 設備選型 - 6 - 2.3.2各設備產品介紹: - 7 - 第三章 網絡布局和綜合布線 - 9 - 3.1 網絡布局的原則 - 9 - 3.2 網絡布局的具體實施要求 - 10 - 3.3 網絡布局的規(guī)劃與設計 - 11 - 第四章 IP規(guī)劃與配置 - 16 - 4.1 IP地址規(guī)劃 - 16 - 4.2網絡拓撲結構圖 - 16 - 4.3 配置需求及解決方案 - 17 - 4.3.1配置路由器 - 17 - 4.3.2配置交換機 - 21 - 4.3.3配置ACL - 23 - 第五章 網絡維護、安全控制 - 27 - 5.1網絡維護 - 27 - 5.2局域網安全威脅分析 - 28 - 5.3局域網安全控制 - 31 - 第六章 結論 - 36 - 參考文獻 - 37 - 致謝 - 38 - 第一章 緒 論 隨著經濟社會的發(fā)展,我國中小企業(yè)數量與日俱增。然而,一個企業(yè)要不斷發(fā)展壯大,除了要有自身產品的優(yōu)化,還需要一個完善的企業(yè)信息管理系統(tǒng)。企業(yè)的信息化,是企業(yè)如何應對瞬息萬變、競爭激烈的國內外市場環(huán)境以及如何利用網絡技術迅速提升企業(yè)核心競爭力為企業(yè)成敗的關鍵。 在本論文中所構建的中小型企業(yè)網最終必須是一個集計算機網絡技術、多項信息管理、辦公自動化和信息發(fā)布等功能于一體的綜合信息平臺,并能夠有效促進現有的管理體制和管理方法,提高企業(yè)辦公質量和效率。中小型企業(yè)的信息化建設工程通常有規(guī)模小、結構簡單的特點,綜合資金投入、專業(yè)人才以及未來發(fā)展等因素,網絡實用性、安全性與拓展性(升級改造能力)是中小型企業(yè)實現信息化建設的主要要求,局域網內進行信息交流包括發(fā)布通知, 安排日程表、工作計劃,提交工作總結,進行信息匯總等也是企業(yè)的要求。加強各公司內各分區(qū)的業(yè)務和技術聯系,提高工作效率,實現資源共享,降低運作及管理成本,公司有必要建立企業(yè)內部局域網。局域網要求建設基于TCP/IP協(xié)議和WWW技術規(guī)范的企業(yè)內部非公開的信息管理和交換平臺,該平臺以WEB為核心,集成WEB、文件共享、信息資源管理等服務功能,實現公司員工在不同地域對內部網的訪問。 因此,成本低廉、可靠、易用,降低網絡的使用和維護成本、提高產品的性能價格比并能滿足業(yè)務運用需要的網絡辦公環(huán)境是這一領域的真正需求。針對絕多數中小型企業(yè)集中辦公這一現實特點,組建一個適合中小企業(yè)需求的高性價比實用的網絡是十分有實際意義的。 第二章 需求分析 2.1企業(yè)對網絡的需求情況 在這信息化社會,網絡是支撐企業(yè)各種業(yè)務的基礎設施。因此構建網絡者在規(guī)劃設計網絡前,首先要清楚企業(yè)的現階段及未來的需求。經過對該企業(yè)的分析,預計企業(yè)在未來幾年的發(fā)展趨勢,適當的預留一定的升級空間方便新用戶的接入,其中包括網絡設備支持升級其他應用設備的接入,全面實現計算機資源共享。對于局域網中的各種資源,通過設置網絡用戶的共享權限,讓他成為網絡共享資源,從而實現企業(yè)的信息化。 2.2用戶需求分析 構建企業(yè)網絡最終是為了實現用戶的需求,用戶的需求主要包括可靠性、可用性、可升級性、安全性、及時性以及響應時間。企業(yè)的用戶群包括管理層,普通用戶群的也用代表,經調查,“快”是多數用戶對網絡響應的要求,其中包括下載速度、連接速度等,我們將為核心設備提供冗余,以盡量保障系統(tǒng)的99.95%的可靠性,同時我們將根據企業(yè)的需求,為用戶提供遠程登錄,文件傳輸服務,在年底企業(yè)統(tǒng)計全年信息時候會出現企業(yè)通訊高峰時間,我們的服務器將以滿足高峰期通訊為基礎選型的。當然我們將提供防火墻等安全設備,保障用戶信息,物理資源的機密性,網整性和確實性,提供一定的數據加密、自動備份、發(fā)生問題的恢復等。當然也包括網絡應提供的服務資源共享、辦公自動化、遠程控制、電子郵件、www應用等。 2.3案例分析 現以南京網亞計算機有限公司為實例,因為一些客觀因素,該公司分布在兩棟樓,并且都在底層,主要分別用來做軟件的售后服務、研發(fā)和財務/人事部門。這些部分分別叫勤業(yè)部、研發(fā)部和行政部。兩棟樓之間距離少于100米,其中研發(fā)部和行政部在同一棟樓中。研發(fā)部占兩層,共有15臺電腦分布在各個辦公室中,具體分布是一層5臺,二層10臺,第三層是行政部,有5臺電腦;勤業(yè)部分兩層,共有30臺電腦,其中在研發(fā)部那棟樓需配置網絡打印機。 2.3.1 設備選型 表2-1 設備選型 序號 設備名稱 規(guī)格 單位 數量 單價(元) 合價(元) 1 核心交換機 DCRS-9808(R3) 臺 1 140,000 140,000 2 交 換 機 DCS-4500-50T(R3) 臺 2 21,120 182,240 3 路 由 器 Cisco DCR 282 臺 1 14,500 196,740 4 網管軟件 LinkManager-50NM-License 臺 1 34,400 231,140 5 防火墻 DCFW-1800S-V2(R3) 臺 1 39,200 270,340 6 機柜 DC-PDU-KLW 臺 3 1,124 273,712 2.3.2各設備產品介紹: 1、DCRS-9808(R3)核心交換機:12插槽多業(yè)務核心路由交換機, 2槽管理引擎(超級模塊)或4槽管理引擎(標準模塊),最大可插8個標準業(yè)務模塊或4個超級業(yè)務模塊或超級標準模塊混合,支持冗余供電,標配1個MRS-9800-AC(R3)電源。 2、DCS-4500-50T(R3)交換機:全千兆智能安全交換機50/10/100/1000Base-T+4口千兆SFP(Combo)接口【R3版本為黑色風格機箱】。 3、Cisco DCR 282路由器:模塊化路由器。6個網絡/語音模塊插槽, 1個配置口,1個AUX口,2個10/100/1000M以太網端口(RJ45接口),內置硬件加密。 4、LinkManager-50NM-License網管軟件:LinkManager網絡管理系統(tǒng)V1.0(50NM-50N)。網管專業(yè)版平臺,50節(jié)點。功能:支持網絡拓撲發(fā)現、資源管理、設備管理、終端管理、性能管理、故障分析、異常流量監(jiān)測、服務器管理、WEB監(jiān)控等。 5、DCFW-1800S-V2(R3)防火墻:8個10/100/1000M以太網電口;1U標準機箱。 6、DC-PDU-KLW機柜:克萊沃6位PDU,除提供雷電消除器(SPD) 、過載保護器等功能,還具備高載流、防誤插、高精度插拔等高可靠電氣性能。 第三章 網絡布局和綜合布線 在構建公司網絡時,我們根據組網經費的多少來務實地規(guī)劃與設計網絡;在采購好網絡設備和服務器等設備后,如何對辦公地點進行合理的網絡布局與布線,是致關重要的。網絡布局主要是指企業(yè)網里的網絡設備、服務器等設備如何放置,它們又與網絡布線如何相處,總之網絡布局要考慮周全。 3.1 網絡布局的原則 1. 實用性 企業(yè)組建的局域網應當根據設備的多少來具體實施,網絡布線的特點決定了網絡布局實用性。 2. 全面性 組網過程中,網絡、服務器等設備放置位置應當統(tǒng)籌兼顧,網絡布局要考慮周全,盡量讓各種設備和布線系統(tǒng)處于合理的位置。 3. 可靠性 組網無論怎樣布局,最終的目的是保證我們的局域網的所有設備能可靠穩(wěn)定地運行,使得網絡能正常運轉。 4. 便于維護與升級 網絡的組網不是一成不變的,隨著IT企業(yè)業(yè)務的不斷發(fā)展的需求,原先組建的局域網就需要不斷地完善和擴充;在日常的網絡運行維護中,規(guī)劃網絡布局時就應該考慮到便于以后網絡的維護與升級操作。 3.2 網絡布局的具體實施要求 對于有線局域網來說,這是我們目前企業(yè)網絡建設中,經常會遇到的,需要對研發(fā)部、行政部和勤業(yè)部進行布線。規(guī)劃網絡布局要考慮到企業(yè)設備布局和布線系統(tǒng)的合理搭配。因此我們首先要規(guī)劃與設計好布線系統(tǒng),然后再全面地考慮網絡的布局。 5. 3.2.1布線系統(tǒng)的規(guī)劃與設計 有了好的企業(yè)網絡,網絡設備就有了好的“家”,組建的IT網絡應當通過布線系統(tǒng)將三個辦公區(qū)域互聯起來,確保網絡的正常運行。如果企業(yè)的接入點較多,我們可以采取接入層、匯聚層、交換層三個網絡層次的設計,在此基礎上進行布線系統(tǒng)。 對于接入層來說,選擇一個合理的接入設備,是最關鍵的,而且我們要根據接入設備選擇合適的帶寬。匯聚層是整個局域網的核心部分,匯聚層網絡設備一般支持網絡管理功能,方便我們的管理和維護,方便以后我們的網絡升級和改造。交換層是整個網絡中的中間層,連接著匯聚層和網絡節(jié)點,是決定我們整體網絡傳輸質量的很重要的一個環(huán)節(jié)。隨著百兆網絡設備的普及,我們交換層的網絡設備,肯定首選百兆。 布線是連接網絡接入層、匯聚層、交換層和網絡節(jié)點的重要環(huán)節(jié)。在布線時,最好使用專門的通道,而且不要與電源線,空調線等具有輻射的線路混合布線。 接入層與匯聚層之間的雙絞線,可以選擇超五類屏蔽雙絞線,以使網絡性能得到最大的提升。匯聚層與交換層之間的雙絞線,由于是網絡數據傳輸量最大的一個層次,同樣采用超五類屏蔽雙絞線。交換層與網絡節(jié)點之間,我們就可以采用普通的超五類非屏蔽雙絞線。 網絡設備的放置,最好放在節(jié)點的中央位置,這樣做,不是為了節(jié)約綜合布線的成本,而是為了提高網絡的整體性能,提高網絡傳輸質量。由于雙絞線的傳輸距離是100米,在95米才能獲得最佳的網絡傳輸質量。在做網絡布線時,最好能夠設計一個設備間,放置網絡設備。 3.3 網絡布局的規(guī)劃與設計 目前的網絡設備大都采用機架式的結構(多為扁平式,活像個抽屜),如交換機、路由器、硬件防火墻等。這些設備之所以有這樣一種結構類型,是因為它們都按國際機柜標準進行設計,這樣大家的平面尺寸就基本統(tǒng)一,可把一起安裝在一個大型的立式標準機柜中。這樣做的好處非常明顯:一方面可以使設備占用最小的空間,另一方面則便于與其它網絡設備的連接和管理,同時辦公室內也會顯得整潔、美觀。 我們經常接觸到的網絡布局里有網絡機柜、服務器機柜以及綜合布線柜,從這三個機柜的名字就可以看出它們各自所起的作用;一般來說,網絡設備如交換機、路由器、防火墻、加密機等以及網絡通信設備如光端機、調制解調器等是放置在網絡機柜的;服務器機柜的寬度為19英寸,高度以U為單位 (1U=1.75英寸=44.45毫米),通常有1U,2U,3U,4U幾種標準的服務器。機柜的尺寸也是采用通用的工業(yè)標準,通常從22U到42U不等;機柜內按U的高度有可拆卸的滑動拖架,用戶可以根據自己服務器的標高靈活調節(jié)高度,以存放服務器、集線器、磁盤陣列柜等設備。服務器擺放好后,它的所有I/O線全部從機柜的后方引出(機架服務器的所有接口也在后方),統(tǒng)一安置在機柜的線槽中,一般貼有標號,便于管理。 綜合布線柜一般配有前后可移動的安裝立柱,自由設定安裝空間,可按需要配置隔板、風扇、電源插座等附件。配線架通常安裝在機柜里,配線架的一面是RJ45口,并標有編號;另一面是跳線接口,上面也標有編號,這些編號和上面的RJ45口的編號是一一對應的。每一組跳線都標識有棕、藍、橙、綠的顏色,雙絞線的色線要和這些跳線一一對應,這樣做不容易接錯。配線架不僅僅是便于管理線對,而且可以防止串擾,增加線對的隔離空間,提供360度的線對隔離。 在辦公室中,必須放置交換機、功能服務器群和網絡打印設備,以及局域網絡連接Internet所需的各種設備,如路由器、防火墻以及網管工作站等;因此辦公室的網絡布局一般至少有三個機柜,綜合布線柜和網絡機柜應當緊連在一起,便于調線操作,接下來是服務器機柜;將網絡設備和布線系統(tǒng)進行合理的布局。 在網絡布局中,每個機柜最好留點空間,便于以后網絡設備、服務器設備的擴充,綜合布線柜里有可能除了網絡布線外,還有能布置電話線,所以要在機柜里留下一定空間。 從機柜內部線纜附設的角度看,機柜配置密度更高,容納的IT設備更多,大量采用冗余配件(如冗余電源、存儲陣列等),機柜內設備配置頻繁變換,數據線和電纜隨時增減。所以,機柜必須提供充足的線纜通道,能從機柜頂部、底部進出線纜。在機柜內部,線纜的敷設必須方便、有序,與設備的線纜接口靠近,以縮短布線距離;減少線纜的空間占用,保證設備安裝、調整、維護過程中,不受到布線的干擾,并保證散熱氣流不會受到線纜的阻擋;同時,在故障情況下,能對設備布線進行快速定位。 供電系統(tǒng)和制冷系統(tǒng)是辦公室的兩個重要部分。在供電系統(tǒng)中,一般采用在線的UPS供電方式,蓄電池實際可供使用的容量與蓄電池的放電電流大小、蓄電池的環(huán)境工作溫度、貯存時間的長短以及負載的性質(電阻性、電感性、電容性)密切相關。制冷系統(tǒng)(空調)涉及到辦公室的整個物理環(huán)境,包括空調、地板、機柜及房間布局等諸多方面;因此UPS和空調我們也要考慮好將它們放置在一個合適的位置。如果辦公室空間較大,可以將UPS和空調都放在辦公室里;如果空間較小,可以把UPS(包括蓄電池)放在配電房里。需要注意的是如果大樓里安裝有“中央空調”的話,辦公室里也必須安裝獨立的空調,因為中央空調不可能24小時都開著,上班的時間可以利用中央空調,下班和星期節(jié)假日的時候,如果服務器、網絡設備需要正常運行的話,則必須要開辦公室里的獨立空調。 機柜的擴展性表現在機柜內設備密度的擴展和機柜數量的擴展,因此網絡布局時必須將機柜的配風能力(通常稱為散熱能力)以及配電能力考慮在內。一方面,機柜內的設備需要溫度、濕度適宜并且風量充足的冷風(冷空氣)。這些冷風被機柜內的IT設備吸入,從而為設備內的部件(尤其是CPU)降溫。當機柜內設備增加到一定數量時,由地板出風口送出的冷風風量將不能滿足所有設備的需求,從而形成部分IT設備配風不足而過熱。 解決機柜內設備密度擴展時遇到的這種局部熱點問題可以采用調配IT設備位置的方式來解決。例如,把熱負荷最大的設備安裝在機柜中部位置,以便獲得最大的配風風量。另外的解決方法是,在機柜的上部或下部位置安裝軸向水平的強排風扇,增強上部或下部的吸入能力(即減小IT設備的入口靜壓),從而增加配風風量。 另一方面,機柜內的設備需要供電以及與機柜外部進行通信。當機柜內的IT設備數量增加時,這些線纜、連接端子同時成倍地增加,從而對機架式電源排插的容量、插口數量都提出了擴展要求。機柜內的布線空間也是需要提前考慮的,因為當機柜內的功率密度提高時,設備后部的線纜將明顯增加風阻,所以必須考慮線纜管理及走線空間的問題。 第四章 IP規(guī)劃與配置 4.1 IP地址規(guī)劃 表4-1 IP地址規(guī)劃 部門 IP地址 部門 IP地址 公網地址 220.156.66.110 路由器內部 192.168.0.1/30 核心交換外部 192.168.0.2/30 Web服務器 192.168.2.1/24 網絡打印機 192.168.30.1/24 行政部 192.168.40.1/24 研發(fā)部 192.168.41.1/24 勤業(yè)部 192.168.42.1/24 4.2網絡拓撲結構圖 圖4-1 網絡拓撲圖 圖解: 由案例分析可知:南京網亞計算機發(fā)展有限公司分布在兩棟樓并且都在底層,所以將這兩棟樓分別劃分,每棟樓放置一臺交換機。又有兩棟樓之間距離少于100米,所以直接用雙絞線連接這兩臺交換機即可,這兩天交換機再通過一臺核心交換機連接,再通過核心交換機連接防火墻、服務器、路由器和網管軟件,再通過ip規(guī)劃、valn的劃分,這樣一個完整的企業(yè)局域網就構建成功了。 4.3 配置需求及解決方案 為了直觀方便,配置需求全部在配置命令中加以單點說明,并且配置命令量大反復,這里只列出重點命令。 4.3.1配置路由器 router> router> enable router# router#config router(config)# router(config)# interface type port router(config-if)# interface fastethernet0/1 router(config-if)#ip address 192.168.0.1 255.255.255.252 router(config-if)#duplex auto router(config-if)#speed auto router(config-if)#ip nat inside router(config-if)#no shutdown router(config-if)#interface fastethernet0/2 router(config-if)#ip address 220.156.66.117 255.255.255.248 router(config-if)#duplex auto router(config-if)#speed auto router(config-if)#ip nat outside router(config-if)#no shutdown router(config-if)# ^z router> router> enable router# router#config router(config)# router(config)#radius scheme system router(config)#domain system router(config)#acl number 2000/配置允許進行NAT轉換的內網地址段/ router(config)rule 0 permit source 192.168.0.0 0.0.0.255 router(config)rule 1 deny router(config)#interface Ethernet0/0 router(config)ip address 202.1.1.2 255.255.255.248 router(config)nat outbound 2000 router(config)#interface Ethernet0/1 router(config)ip address 192.168.0.1 255.255.255.0 /內網網關/ router(config)#interface NULL0 router(config)#ip route-static 0.0.0.0 0.0.0.0 202.1.1.1 preference 60 /配置默認路由/ router(config)#user-interface con 0 router(config)user-interface vty 0 4 router(config-if)# ^z router> router> enable router# router#config router(config)# router(config)#nat address-group 0 202.1.1.3 202.1.1.6 /用戶NAT的地址池/ router(config)#radius scheme system router(config)#domain system router(config)#acl number 2000/配置允許進行NAT轉換的內網地址段/ router(config)#rule 0 permit source 192.168.0.0 0.0.0.255 router(config)#rule 1 deny router(config)#interface Ethernet0/0 router(config)#ip address 202.1.1.2 255.255.255.248 router(config)#nat outbound 2000 address-group 0 /在出接口上進行NAT轉換/ router(config)#interface Ethernet0/1 router(config)#ip address 192.168.0.1 255.255.255.0 /內網網關/ router(config)#interface NULL0 router(config)#ip route-static 0.0.0.0 0.0.0.0 202.1.1.1 preference 60 /配置默認路由/ router(config)##user-interface con 0 router(config)#user-interface vty 0 4 router(config)#^z router(config)# router(config)#ip route 0.0.0.0 0.0.0.0 220.156.66.117(路由) router(config)# ip nat inside source list 110 interface FastEthernet0/2 overload router(config)#access-list 110 permit ip 192.168.0.0 0.0.255.255 any(過載) router(config)# ^z 4.3.2配置交換機 switch> switch > enable switch # switch# vlan database switch(vlan)# VTP Version: 2 switch(vlan)# Configuration Revision: 7 switch(vlan)# Maximum VLANs supported locally : 1005 switch(vlan)# Number of existing VLANs: 9 switch(vlan)# VTP Operating Mode: Server switch(vlan)# VTP Domain Name: OA switch(vlan)# VTP Pruning Mode: Disabled switch(vlan)# VTP V2 Mode: Enabled switch(vlan)# VTP Traps Generation: Enabled switch(vlan)#^z switch> switch > enable switch # switch #vlan database 進入vlan配置模式 switch # (vlan)#vtp domain OA 設置vtp管理域名稱OA switch # (vlan)#vtp server 設置交換機為服務器模式 switch # (vlan)#vlan 1 name qinye 創(chuàng)建VLAN 1,為勤業(yè)部 switch # (vlan)#vlan 2 name xingzheng 創(chuàng)建VLAN 2,為行政部 switch # (vlan)#vlan 3 name yanfa 創(chuàng)建VLAN 3,為研發(fā)部 switch # (vlan)#vlan 4 name netprinter 創(chuàng)建VLAN 4,為網絡打印機 switch # (vlan)#vlan 5 name server 創(chuàng)建VLAN 5,為服務器組 switch # (config)#interface vlan 1 switch # (config-if)#ip address 192.168.42.254 255.255.255.0 switch # (config)#interface vlan 1 switch # (config-if)#ip address 192.168.40.254 255.255.255.0 switch # (config)#interface vlan 3 switch # (config-if)#ip address 192.168.41.254 255.255.255.0 switch # (config)#interface vlan 4 switch # (config-if)#ip address 192.168.30.254 255.255.255.0 switch # (config)#interface vlan 5 switch # (config-if)#ip address 192.168.2.254 255.255.255.0 將接入層交換機上的端口根據需要劃分至各個VLAN switch # (config-if)#exit 4.3.3配置ACL 配置ACL 應用在各個部門VLAN接口上,控制各部門互訪 switch> switch > enable switch #config switch(config)#access-list 10 permit 192.168.2.0 0.0.0.255 switch(config)#access-list 10 permit 192.168.30.0 0.0.0.255 switch(config)#access-list 10 deny 192.168.0.0 0.0.255.255 switch(config)#access-list 10 permit any 進入vlan 10 switch(config)# vlan 10 switch(config-vlan)#ip access-group 10 out 把訪問控制列表10 應用于VLAN 10 OUT方向上,市場部內部可以互訪,可以訪問服務器網段和網絡打印機網段,但不能訪問財務部和設計部所在網段。 switch(config-vlan)#access-list 11 permit 192.168.2.0 0.0.0.255 switch(config-vlan)#access-list 11 permit 192.168.30.0 0.0.0.255 switch(config-vlan)#access-list 11 permit 192.168.42.0 0.0.0.255 switch(config-vlan)#access-list 11 deny 192.168.0.0 0.0.255.255 switch(config-vlan)#access-list 11 permit any switch(config-vlan)#exit 進入vlan 11 switch(config-vlan)#switch(config)# vlan 11 switch(config-vlan)#ip access-group 11 out 把訪問控制列表11應用在VLAN 11 OUT方向上,財務部內部可以互訪問,可以訪問服務器網段和網絡打印機網絡,可以訪問市場部網段,但不能訪問設計部網段。 設計部VLAN 12 ,網絡打印機 VLAN 13,服務器 VLAN 20 可以訪問任意網段,應用訪問控制列表access-list 110 在in的方向上,封掉常見病毒端口。 switch(config-vlan)#access-list 110 deny tcp any any eq 1068 switch(config-vlan)#access-list 110 deny tcp any any eq 2046 switch(config-vlan)#access-list 110 deny udp any any eq 2046 switch(config-vlan)#access-list 110 deny tcp any any eq 4444 switch(config-vlan)#access-list 110 deny udp any any eq 4444 switch(config-vlan)#access-list 110 deny tcp any any eq 1434 switch(config-vlan)#access-list 110 deny udp any any eq 1434 switch(config-vlan)#vaccess-list 110 deny tcp any any eq 5554 switch(config-vlan)#vaccess-list 110 deny tcp any any eq 9996 switch(config-vlan)#access-list 110 deny tcp any any eq 6881 switch(config-vlan)#access-list 110 deny tcp any any eq 6882 switch(config-vlan)#access-list 110 deny tcp any any eq 16881 switch(config-vlan)#access-list 110 deny udp any any eq 5554 switch(config-vlan)#access-list 110 deny udp any any eq 9996 switch(config-vlan)#access-list 110 deny udp any any eq 6881 switch(config-vlan)#access-list 110 deny udp any any eq 6882 switch(config-vlan)#vaccess-list 110 deny udp any any eq 16881 switch(config-vlan)#access-list 110 permit ip any any 可以根據實際需要將此ACL應用于任一接口,或者添加一些屏蔽軟件的端口,達到管理內部員工的目的,也可以用局域網內部的管理軟件,更加直接方便,并且易于操作。 第五章 網絡維護、安全控制 5.1網絡維護 1. 更新 更新包括WEB頁面的版面、樣式、內容的更新;公司共享資料的更新;網絡教室、軟件下載內容的更新;各種報表、數據庫更新,這些信息發(fā)布由各部門管理員在本地登錄服務器進行。 2. 備份 由于網絡的特殊性,備份信息是保證公司數據安全的重要保障??紤]最低投資,未采用磁帶機備份,而使用磁盤鏡像技術容錯,這樣不但得到完整的數據備份,而且還提高了系統(tǒng)的性能。 3. 診斷 INTRANET采用TCP/IP協(xié)議,在網絡的調試中主要采用了以下幾個診斷程序: Ping;Ipconfig;Nbtstat;Netstat;Hostname。網絡管理員運用這些程序有利于及時發(fā)現錯誤,并加以糾正。 4. 安全 利用代理服務器的防火墻功能可以阻擋Internet上的系統(tǒng)或使用者直接進入Intranet。網絡管理員的密碼和各用戶的密碼均利用AD組策略統(tǒng)一進行管理,并利用其“組策略”功能統(tǒng)一部署密碼策略:包括密碼最長/最短有效期、密碼的長度、唯一性和帳戶鎖定等項目。域用戶權限也利用“域用戶容器”統(tǒng)一管理。 5. 磁盤整理 雖然Windows系統(tǒng)自身包括磁盤碎片整理程序,建議采用第三方的程序Diskeeper定期整理磁盤碎片。這樣有利于優(yōu)化系統(tǒng),節(jié)約磁盤空間。 5.2局域網安全威脅分析 局域網由于通過交換機和服務器連接網內每一臺電腦,因此局域網內信息的傳輸速率比較高,同時局域網采用的技術比較簡單,安全措施較少,同樣也給病毒傳播提供了有效的通道和數據信息的安全埋下了隱患。局域網的網絡安全威脅通常有以下幾類: 1. 欺騙性的軟件使數據安全性降低 由于局域網很大的一部分用處是資源共享,而正是由于共享資源的“數據開放性”,導致數據信息容易被篡改和刪除,數據安全性較低。例如“網絡釣魚攻擊”,釣魚工具是通過大量發(fā)送聲稱來自于一些知名機構的欺騙性垃圾郵件,意圖引誘收信人給出敏感信息:如用戶名、口令、賬號ID、ATM PIN碼或信用卡詳細信息等的一種攻擊方式。最常用的手法是冒充一些真正的網站來騙取用戶的敏感的數據。以往此類攻擊的冒名的多是大型或著名的網站,但由于大型網站反應比較迅速,而且所提供的安全功能不斷增強,網絡釣魚已越來越多地把目光對準了較小的網站。同時由于用戶缺乏數據備份等數據安全方面的知識和手段,因此會造成經常性的信息丟失等現象發(fā)生。 2. 服務器區(qū)域沒有進行獨立防護 局域網內計算機的數據快速、便捷的傳遞,造就了病毒感染的直接性和快速性,如果局域網中服務器區(qū)域不進行獨立保護,其中一臺電腦感染病毒,并且通過服務器進行信息傳遞,就會感染服務器,這樣局域網中任何一臺通過服務器信息傳遞的電腦,就有可能會感染病毒。雖然在網絡出口有防火墻阻斷對外來攻擊,但無法抵擋來自局域網內部的攻擊。 3. 計算機病毒及惡意代碼的威脅 由于網絡用戶不及時安裝防病毒軟件和操作系統(tǒng)補丁,或未及時更新防病毒軟件的病毒庫而造成計算機病毒的入侵。許多網絡寄生犯罪軟件的攻擊,正是利用了用戶的這個弱點。寄生軟件可以修改磁盤上現有的軟件,在自己寄生的文件中注入新的代碼。最近幾年,隨著犯罪軟件(crime ware)洶涌而至,寄生軟件已退居幕后,成為犯罪軟件的助手。2007年,兩種軟件的結合推動舊有寄生軟件變種增長3倍之多。2008年,預計犯罪軟件社區(qū)對寄生軟件的興趣將繼續(xù)增長,寄生軟件的總量預計將增長20%。 4. 局域網用戶安全意識不強 許多用戶使用移動存儲設備來進行數據的傳遞,經常將外部數據不經過必要的安全檢查通過移動存儲設備帶入內部局域網,同時將內部數據帶出局域網,這給木馬、蠕蟲等病毒的進入提供了方便同時增加了數據泄密的可能性。另外一機兩用甚至多用情況普遍,筆記本電腦在內外網之間平凡切換使用,許多用戶將在Internet網上使用過的筆記本電腦在未經許可的情況下擅自接入內部局域網絡使用,造成病毒的傳入和信息的泄密。 5. IP地址沖突 局域網用戶在同一個網段內,經常造成IP地址沖突,造成部分計算機無法上網。對于局域網來講,此類IP地址沖突的問題會經常出現,用戶規(guī)模越大,查找工作就越困難,所以網絡管理員必須加以解決。 正是由于局域網內應用上這些獨特的特點,造成局域網內的病毒快速傳遞,數據安全性低,網內電腦相互感染,病毒屢殺不盡,數據經常丟失。 5.3局域網安全控制 1. 加強人員的網絡安全培訓 安全是個過程,它是一個匯集了硬件、軟件、網絡、人員以及他們之間互相關系和接口的系統(tǒng)。從行業(yè)和組織的業(yè)務角度看,主要涉及管理、技術和應用三個層面。要確保信息安全工作的順利進行,必須注重把每個環(huán)節(jié)落實到每個層次上,而進行這種具體操作的是人,人正是網絡安全中最薄弱的環(huán)節(jié),然而這個環(huán)節(jié)的加固又是見效最快的。所以必須加強對使用網絡的人員的管理,注意管理方式和實現方法。從而加強工作人員的安全培訓。增強內部人員的安全防范意識,提高內部管理人員整體素質。同時要加強法制建設, 進一步完善關于網絡安全的法律,以便更有利地打擊不法分子。對局域網內部人員,從下面幾方面進行培訓: (1)加強安全意識培訓,讓每個工作人員明白數據信息安全的重要性,理解保證數據信息安全是所有計算機使用者共同的責任。 (2)加強安全知識培訓,使每個計算機使用者掌握一定的安全知識,至少能夠掌握如何備份本地的數據,保證本地數據信息的安全可靠。 (3)加強網絡知識培訓,通過培訓掌握一定的網絡知識,能夠掌握IP地址的配置、數據的共享等網絡基本知識,樹立良好的計算機使用習慣。 2. 局域網安全控制策略 安全管理保護網絡用戶資源與設備以及網絡管理系統(tǒng)本身不被未經授權的用戶訪問。目前網絡管理工作量最大的部分是客戶端安全部分,對網絡的安全運行威脅最大的也同樣是客戶端安全管理。只有解決網絡內部的安全問題,才可以排除網絡中最大的安全隱患,對于內部網絡終端安全管理主要從終端狀態(tài)、行為、事件三個方面進行防御。利用現有的安全管理軟件加強對以上三個方面的管理是當前解決局域網安全的關鍵所在。 (1)利用桌面管理系統(tǒng)控制用戶入網。入網訪問控制是保證網絡資源不被非法使用,是網絡安全防范和保護的主要策略。它為網絡訪問提供了第一層訪問控制。它控制哪些用戶能夠登錄到服務器并獲取網絡資源,控制用戶入網的時間和在哪臺工作站入網。用戶和用戶組被賦予一定的權限,網絡控制用戶和用戶組可以訪問的目錄、文件和其他資源,可以指定用戶對這些文件、目錄、設備能夠執(zhí)行的操作。啟用密碼策略,強制計算機用戶設置符合安全要求的密碼,包括設置口令鎖定服務器控制臺,以防止非法用戶修改。設定服務器登錄時間限制、檢測非法訪問。刪除重要信息或破壞數據,提高系統(tǒng)安全行,對密碼不符合要求的計算機在多次警告后阻斷其連網。 (2)采用防火墻技術。防火墻技術是通常安裝在單獨的計算機上,與網絡的其余部分隔開,它使內部網絡與Internet之間或與其他外部網絡互相隔離,限制網絡互訪,用來保護內部網絡資源免遭非法使用者的侵入,執(zhí)行安全管制措施,記錄所有可疑事件。它是在兩個網絡之間實行控制策略的系統(tǒng),是建立在現代通信網絡技術和信息安全技術基礎上的應用性安全技術。采用防火墻技術發(fā)現及封阻應用攻擊所采用的技術有:(1)深度數據包處理。深度數據包處理在一個數據流當中有多個數據包,在尋找攻擊異常行為的同時,保持整個數據流的狀態(tài)。深度數據包處理要求以極高的速度分析、檢測及重新組裝應用流量,以避免應用時帶來時延。(2)IP/URL過濾。一旦應用流量是明文格式,就必須檢測HTTP請求的URL部分,尋找惡意攻擊的跡象,這就需要一種方案不僅能檢查RUL,還能檢查請求的其余部分。其實,如果把應用響應考慮進來,可以大大提高檢測攻擊的準確性。雖然URL過濾是一項重要的操作,可以阻止通常的腳本類型的攻擊。(3)TCP/IP終止。應用層攻擊涉及多種數據包,并且常常涉及不同的數據流。流量分析系統(tǒng)要發(fā)揮功效,就必須在用戶與應用保持互動的整個會話期間,能夠檢測數據包和請求,以尋找攻擊行為。至少,這需要能夠終止傳輸層協(xié)議,并且在整個數據流而不是僅僅在單個數據包中尋找惡意模式。系統(tǒng)中存著一些訪問網絡的木馬、病毒等IP地址,檢查訪問的IP地址或者端口是否合法,有效的TCP/IP終止,并有效地扼殺木馬。時等。(4)訪問網絡進程跟蹤。訪問網絡進程跟蹤。這是防火墻技術的最基本部分,判斷進程訪問網絡的合法性,進行有效攔截。這項功能通常借助于TDI層的網絡數據攔截,得到操作網絡數據報的進程的詳細信息加以實現。 封存所有空閑的IP地址,啟動IP地址綁定,采用上網計算機IP地址與MAC地址唯一對應,網絡沒有空閑IP地址的策略。由于采用了無空閑IP地址策略,可以有效防止IP地址引起的網絡中斷和移動計算機隨意上內部局域網絡造成病毒傳播和數據泄密。 (3)屬性安全控制。它能控制以下幾個方面的權限:防止用戶對目錄和文件的誤刪除、執(zhí)行修改、查看目錄和文件、顯示向某個文件寫數據、拷貝、刪除目錄或文件、執(zhí)行文件、隱含文件、共享、系統(tǒng)屬性等。網絡的屬性可以保護重要的目錄和文件。 啟用殺毒軟件強制安裝策略,監(jiān)測所有運行在局域網絡上的計算機,對沒有安裝殺毒軟件的計算機采用警告和阻斷的方式強制使用人安裝殺毒軟件。 第六章 結論 當今世界是個信息化社會,世界與日俱進,要求現代企業(yè)的發(fā)展跟上信息化的步伐。企業(yè)網絡的構建與完善不僅為企業(yè)員工提供了全新的工作環(huán)境,利用計算機和網絡進行工作、交流,而且改變了傳統(tǒng)的工作方式,極大的提高了工作的質量和效率。企業(yè)網絡的構建不僅提升了企業(yè)的發(fā)展空間,而且企業(yè)的網絡安全得到保障。 本文通過南京網亞計算機有限公司組網這一案例,將組網所需的設備選型、IP規(guī)劃、具體交換機等的配置、網絡布線等必備步驟一一羅列,闡述了現在社會企業(yè)信息化的必要性。一個企業(yè)局域網的高性能、高穩(wěn)定、高管理性、靈活性、安全性、經濟性是影響企業(yè)在這一信息化社會立足的關鍵。 參考文獻 [1] 弗魯姆(Richard Froom).CCNP學習指南.組建Cisco多層交換網絡(BCMSN)(第4版)[M],2007. [2] WilliamStallings.Network Security Essentials Applications and Standards Third Edition[M],2007. [3] 施敏 、李亞明、王國平.網絡管理員之局域網組建與維護超級技巧1000例[M],2007. [4] 李晉平.局域網組建和安全管理的實用技術[J].電腦開發(fā)與應用,2002,15(10). [5] 衛(wèi)少軍.中小企業(yè)辦公局域網組建方案[J].科技情報開發(fā)與經濟,2004,14(9). [6] 金剛善.局域網組網案例精編GBH.北京:中國水利水電出版社,2004. [7] 鐘小平.網絡服務器配置與應用GBH.北京:人民郵電出版社,2005. [8] 衛(wèi)少軍.中小企業(yè)辦公局域網組建方案.北京:科技情報開發(fā)與經濟,2004. [9] 張萍,張偉.濱論企業(yè)組建局域網的方案.哈爾濱:自動化技術與應用,2005. [10] 李春山.中小企業(yè)局域網組建和管理的實踐.哈爾濱:信息技術,20- 配套講稿:
如PPT文件的首頁顯示word圖標,表示該PPT已包含配套word講稿。雙擊word圖標可打開word文檔。
- 特殊限制:
部分文檔作品中含有的國旗、國徽等圖片,僅作為作品整體效果示例展示,禁止商用。設計者僅對作品中獨創(chuàng)性部分享有著作權。
- 關 鍵 詞:
- 中小型企業(yè) 網絡 構建 畢業(yè)論文
裝配圖網所有資源均是用戶自行上傳分享,僅供網友學習交流,未經上傳用戶書面授權,請勿作他用。
鏈接地址:http://ioszen.com/p-6669148.html