./中型企業(yè)網(wǎng)絡(luò)構(gòu)建及安全實現(xiàn)方案目錄：第一章.網(wǎng)絡(luò)構(gòu)建理論總述31.序言3第二章.需求分析4第三章.網(wǎng)絡(luò)系統(tǒng)設(shè)置規(guī)劃41、網(wǎng)絡(luò)系統(tǒng)設(shè)置原則42、網(wǎng)絡(luò)設(shè)計總體目標53、網(wǎng)絡(luò)通信聯(lián)網(wǎng)協(xié)議54、網(wǎng)絡(luò)IP地址規(guī)劃55、網(wǎng)絡(luò)設(shè)備方案設(shè)計6第四章.網(wǎng)絡(luò)系統(tǒng)安全設(shè)置71、外網(wǎng)安全設(shè)計.72、網(wǎng)安全設(shè)計83、外網(wǎng)安全之間設(shè)計8第五章.整體結(jié)構(gòu)網(wǎng)絡(luò)服務(wù)功能的組成8系統(tǒng)架構(gòu)8DNS的注冊診斷9安裝組件9第六章.網(wǎng)絡(luò)布線系統(tǒng)設(shè)計101、布線系統(tǒng)總體結(jié)構(gòu)設(shè)計102、工作區(qū)子系統(tǒng)設(shè)計103、水平子系統(tǒng)設(shè)計114、管理子系統(tǒng)設(shè)計115、干線子系統(tǒng)設(shè)計116、設(shè)備間子系統(tǒng)設(shè)計117、建筑群子系統(tǒng)設(shè)計12第七章.結(jié)束語12參考文獻：12摘要：由于計算機及網(wǎng)絡(luò)技術(shù)的不斷發(fā)展,極推動了企業(yè)網(wǎng)的建設(shè),各企業(yè)都在籌備建設(shè)企業(yè)網(wǎng),希望通過企業(yè)網(wǎng)的建設(shè),增加硬件的投入科研和管理水平,提高辦學(xué)質(zhì)量,企業(yè)網(wǎng)的建設(shè)對于企業(yè)來說是一項大的工程,必須精心設(shè)計、精心施工,做到經(jīng)濟適用,技術(shù)先進、開放性能良好、投資強度合理、與國外網(wǎng)絡(luò)互聯(lián)、能長期、穩(wěn)定運行的高性能的企業(yè)網(wǎng)絡(luò)。企業(yè)網(wǎng)必須具備教學(xué)、管理和通訊三大功能。企業(yè)的管理人員可方便地對教務(wù)、行政事務(wù)、員工檔案、財務(wù)、資產(chǎn)等進行綜合管理,同時可以實現(xiàn)各級管理層之間的信息數(shù)據(jù)交換,實現(xiàn)網(wǎng)上信息采集和處理的自動化,實現(xiàn)信息和設(shè)備資源的共享,因此,企業(yè)網(wǎng)的建設(shè)必須有明確的建設(shè)目標。針對企業(yè)當前面對的網(wǎng)絡(luò)安全問題,提出一個網(wǎng)絡(luò)安全模型,并對網(wǎng)絡(luò)設(shè)計提出建議。關(guān)鍵詞：局域網(wǎng)網(wǎng)絡(luò)設(shè)備企業(yè)規(guī)劃設(shè)計服務(wù)器網(wǎng)絡(luò)安全加密防火墻網(wǎng)絡(luò)構(gòu)建理論總述序言隨著當前對局域網(wǎng)更大帶寬的日益強烈的需求,舊有的交換式10Mbps以太網(wǎng)、共享式100Mbps以太網(wǎng)和交換式100Mpbs快速以太網(wǎng)已經(jīng)越來越不能滿足我們的日常需要了。因此我們依照客戶的需求以及實際情況草擬了千兆位以太網(wǎng)網(wǎng)絡(luò)系統(tǒng)改造方案。作為一種先進成熟的網(wǎng)絡(luò)技術(shù),與以前的局域網(wǎng)絡(luò)技術(shù)相比,千兆網(wǎng)絡(luò)具備簡單,高效、建設(shè)成本低等顯著的優(yōu)勢。千兆以太網(wǎng)所用產(chǎn)品也顯得非常安全實用,加上其可擴展好,易于使用等特點,千兆以太網(wǎng)已經(jīng)成為滿足我們網(wǎng)絡(luò)需求的不二選擇。在本千兆以太網(wǎng)網(wǎng)絡(luò)方案中,我們采用集中布線的方式,構(gòu)成星型網(wǎng)絡(luò)結(jié)構(gòu),以一臺3ComSwitch4007作為中心交換機,3ComSuperStack3Switch4950則作為二級主干交換機,選用的3ComSuperStack3Switch4400作為工作組交換機,采用新一代的堆疊技術(shù)進行堆疊,堆疊后的工作組交換機可通過1000Base-SX、1000Base-Lx、1000Base-T等各種千兆上連技術(shù)上連到中心交換機。另外,工作組交換機與中心交換機之間還可采用多種高可靠上連技術(shù),如彈性鏈路<ResilientLink>、鏈路聚合<linkaggregation>、以及快速生成樹協(xié)議<802.1W>等實現(xiàn)與中心交換機的連接。最后,通過10/100Mbps自適應(yīng)交換連接到桌面,實現(xiàn)每個信息點100Mbps帶寬。采用該千兆位太網(wǎng)解決方案后,企業(yè)將獲得一種極其先進,并且極具簡單性、實用性的解決辦法,以緩解由于數(shù)據(jù)密集型應(yīng)用不斷增加和用戶需求不斷擴展而帶來的網(wǎng)絡(luò)壓力。充分滿足了客戶的網(wǎng)絡(luò)需求,并可在將來根據(jù)需要方便的進行升級改造。一個嶄新的千兆以太網(wǎng)的時代即將到來。需求分析由于信息化浪潮風(fēng)起云涌,企業(yè)部網(wǎng)絡(luò)的建設(shè)已經(jīng)成為提升企業(yè)核心競爭力的關(guān)鍵因素。企業(yè)網(wǎng)已經(jīng)越來越多地被人們提到,利用網(wǎng)絡(luò)技術(shù),現(xiàn)代企業(yè)可以在供應(yīng)商、客戶、合作伙伴、員工之間實現(xiàn)優(yōu)化的信息溝通。這直接關(guān)系到企業(yè)能否獲得關(guān)鍵的競爭優(yōu)勢。近年來越來越多的企業(yè)都在加快構(gòu)建自身的信息網(wǎng)絡(luò),而其中絕大多數(shù)都是中小企業(yè)。通過網(wǎng)絡(luò)建設(shè)能夠?qū)崿F(xiàn)企業(yè)部資源的共享,降低企業(yè)成本,可以更好的與外界進行溝通,讓外部更加了解企業(yè)。目前中小型企業(yè)建設(shè)過程中,存在很多問題,如有些中小型企業(yè)不考慮自身需求,一味追求高性能,構(gòu)建的網(wǎng)絡(luò)往往造成不必要的浪費；或另一方面,有些中小型企業(yè)建成的網(wǎng)絡(luò)根本達不到應(yīng)用本身對網(wǎng)絡(luò)的需求。企業(yè)網(wǎng)絡(luò)應(yīng)分為部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)兩個部分,其中還包括在這兩部分上的實際應(yīng)用,中小型企業(yè)在網(wǎng)絡(luò)設(shè)計之初就應(yīng)該充分考慮到自身的需求,通過這些需求來具體設(shè)計適合自己需求的網(wǎng)絡(luò)。因此,在建立局域網(wǎng)時應(yīng)該考慮到網(wǎng)絡(luò)的先進性、可擴展性、高可靠性、穩(wěn)定性、高帶寬、經(jīng)濟性。網(wǎng)絡(luò)系統(tǒng)設(shè)置規(guī)劃1、網(wǎng)絡(luò)系統(tǒng)設(shè)置原則網(wǎng)絡(luò)要求：穩(wěn)定,有安全機制,升級擴展容易,用戶使用簡單,維護容易等。系統(tǒng)要求：配置簡單方便,系統(tǒng)運行有高穩(wěn)定性,可管理性等。用戶要求：滿足基本帶寬要求,保留一定的余量供擴展等。設(shè)備要求：技術(shù)上具有先進性,易管理,具有良好的性價比。2、網(wǎng)絡(luò)設(shè)計總體目標[靈活性]：系統(tǒng)具有較高的適應(yīng)變化的能力。布線系統(tǒng)且具有一定的擴展能力。[實用性]：使用方便、簡單、易擴展的特點。布線系統(tǒng)應(yīng)在滿足各種需求的情況下盡可能降低材料成本；布線系統(tǒng)具有操作簡單、使用方便、易于擴展的特點。[安全性]：具有高安全性。3、網(wǎng)絡(luò)通信聯(lián)網(wǎng)協(xié)議TCP/IP：每種網(wǎng)絡(luò)協(xié)議都有自己的優(yōu)點,但是只有TCP/IP允許與Internet完全的連接。Telnet：遠程登錄訪問協(xié)議,使其他跨省區(qū)域的用戶通過遠程訪問總部的外,在遠程訪問時,會設(shè)置相應(yīng)的ACL認證和相對的權(quán)限設(shè)置。SNMP網(wǎng)絡(luò)管理協(xié)議：SNMP用于在IP網(wǎng)絡(luò)管理網(wǎng)絡(luò)節(jié)點〔服務(wù)器、工作站、路由器、交換機及HUBS等的一種標準協(xié)議,它是一種應(yīng)用層協(xié)議。SNMP使網(wǎng)絡(luò)管理員能夠管理網(wǎng)絡(luò)效能,發(fā)現(xiàn)并解決網(wǎng)絡(luò)問題以及規(guī)劃網(wǎng)絡(luò)增長。通過SNMP接收隨機消息〔及事件報告網(wǎng)絡(luò)管理系統(tǒng)獲知網(wǎng)絡(luò)出現(xiàn)問題。路由協(xié)議：OSPF。4、網(wǎng)絡(luò)IP地址規(guī)劃企業(yè)園區(qū)網(wǎng)計劃使用私有的A類IP地址。企業(yè)園區(qū)網(wǎng)的IP地址分配原則如下：企業(yè)使用IPv4地址方案。企業(yè)使用私有IP地址空間：.0/8。企業(yè)使用VLSM<變長子網(wǎng)掩碼>技術(shù)分配IP地址空間。企業(yè)IP地址分配滿足集團的利用。企業(yè)IP地址分配滿足便于路由匯聚。企業(yè)IP地址分配滿足分類控制等。企業(yè)IP地址分配滿足未來公司網(wǎng)絡(luò)擴容的需要。5、網(wǎng)絡(luò)設(shè)備方案設(shè)計路由器：CISCO2811參考價：5200思科2811路由器采用模塊化端口結(jié)構(gòu),傳輸速率10/100Mbps設(shè)置一個10/100Mbps固定廣域網(wǎng)接口,2個固定局域網(wǎng)接口10/100Mbps,支持4個擴展模塊插槽,1個NM插槽和1個Console控制端口,配有RS-232的控制端口。該產(chǎn)品搭載MotorolaMPC860160MHz的處理器,配備最大256MB的Flash閃存和最大760MB的DRAM存,極大的提高了該產(chǎn)品的安全性能。思科2811支持IEEE802.3X網(wǎng)絡(luò)協(xié)議以及SNMP網(wǎng)管協(xié)議,同時還配備CiscoClickStart網(wǎng)管軟件,支持VPN-虛擬專用網(wǎng),以及QoS,協(xié)議方面支持比較完善。安全方面,2811置了防火墻,并支持UL60950:CAN/CSAC22.2No.60950、IEC60950、EN60950-1、AS/NZS60950等眾多安全標準,為企業(yè)用戶提供更安全的網(wǎng)絡(luò)服務(wù)。三層交換機：采用友訊網(wǎng)絡(luò)〔D-LinkDES-3326參考價：6300元DES-3326是友訊網(wǎng)絡(luò)公司推出的一款可網(wǎng)管、支持千兆的10/100M智能三層交換機,是一款線速第三層交換機,提供了24個10/100BASE-TX端口及1個擴展插槽,可擴展2個可選千兆以太網(wǎng)端口。DES-3326交換機將第二層線速交換及第三層IP路由以及服務(wù)質(zhì)量<QoS>有機集成為一體,并可采用支持SNMP標準的網(wǎng)管系統(tǒng)進行配置、監(jiān)控和管理。DES-3326交換機前面板插槽可選插2口千兆模塊,不同模塊可支持1000BASE-SX、1000BASE-T標準。所有模塊支持流量控制和全雙工,可處理大量數(shù)據(jù)。支持優(yōu)先級隊列和QoS機制,優(yōu)先級隊列功能可以根據(jù)數(shù)據(jù)交換的重要性進行排隊,優(yōu)先交換重要數(shù)據(jù)。該款交換機具有端口聚合功能,最大可將8個10/100Mbps端口聚合成一個端口,而聚合之后的這個端口性能非常強大,這項功能主要是幫助那些需要高帶寬端口而又不想投入過多資金的用戶使用,而這項功能最主要的應(yīng)用場合是VLAN劃分,VLAN劃分需要設(shè)置匯聚鏈路,而匯聚鏈路對帶寬要求非常高,通過端口聚合功能可提供一個高帶寬的端口。DES-3326支持SNMP管理和RMON監(jiān)控功能,并且還支持端口鏡像功能,通過這些功能,管理員可對該款交換機進行管理、配置以及對此款交換機所連接的網(wǎng)絡(luò)進行監(jiān)控。DES-3326交換機還提供了流量控制功能,支持VLAN劃分,提供了冗余電源接口等。二層交換機：D-LinkDES-1024D參考價：530它符合百兆以太網(wǎng)標準,提供了24個自適應(yīng)全/半雙工10/100Mbps端口,可自動判斷連入設(shè)備的類型提供相應(yīng)的連接方式和帶寬。另外利用配備的16K的MAC地址表和2.5MB緩存,它可以利用IEEE802.3x流量控制技術(shù)動態(tài)將緩存分配到各個端口,保持網(wǎng)絡(luò)暢通。網(wǎng)絡(luò)系統(tǒng)安全設(shè)置1、外網(wǎng)安全設(shè)計.防火墻系統(tǒng):采用防火墻系統(tǒng)實現(xiàn)對部網(wǎng)和廣域網(wǎng)進行隔離保護。對部網(wǎng)絡(luò)中服務(wù)器子網(wǎng)通過單獨的防火墻設(shè)備進行保護。入侵檢測系統(tǒng):采用入侵檢測設(shè)備,作為防火墻的功能互補,提供對監(jiān)控網(wǎng)段的攻擊的實時報警和積極響應(yīng)。病毒防護系統(tǒng):強化病毒防護系統(tǒng)的應(yīng)用策略和管理策略,增強病毒防護有效性。垃圾過濾系統(tǒng):過濾,阻止垃圾及病毒的入侵。2、網(wǎng)安全設(shè)計訪問控制,通過密碼、口令〔不定期修改、定期保存密碼與口令等禁止非授權(quán)用戶對服務(wù)器的訪問,以及對辦公自動化平臺、的訪問和管理、用戶身份真實性的驗證、部用戶訪問權(quán)限設(shè)置、ARP病毒的防御、數(shù)據(jù)完整、審計記錄、防病毒入侵。對部采用：網(wǎng)絡(luò)管理軟件系統(tǒng):使網(wǎng)管人員對網(wǎng)絡(luò)中的實時數(shù)據(jù)流量情況能夠清晰了解。掌握整個網(wǎng)絡(luò)使用流量的平均標準,定位網(wǎng)絡(luò)流量的基線,及時發(fā)現(xiàn)網(wǎng)絡(luò)是否出現(xiàn)異常流量并控制帶寬。3、外網(wǎng)安全之間設(shè)計采用VPN系統(tǒng):對遠程辦公人員及分支機構(gòu)提供方便的IPSecVPN接入,保護數(shù)據(jù)傳輸過程中的安全,實現(xiàn)用戶對服務(wù)器系統(tǒng)的受控訪問移動用戶管理系統(tǒng):對部筆記本電腦在外出后,接入部網(wǎng)進行安全控制,確保筆記本設(shè)備的安全性。有效防止病毒或黑客程序被攜帶進網(wǎng)。部辦公自動化網(wǎng)絡(luò)根據(jù)不同用戶安全級別或者根據(jù)不同部門的安全訪問需求,可以利用三層交換機來劃分虛擬子網(wǎng)<VLAN>。同時通過在不同VLAN間做限制來實現(xiàn)不同資源的訪問控制。通過虛擬子網(wǎng)的劃分,既方便局域網(wǎng)絡(luò)的互聯(lián),又能夠?qū)崿F(xiàn)訪問控制整體結(jié)構(gòu)網(wǎng)絡(luò)服務(wù)功能的組成系統(tǒng)架構(gòu)1.域控制服務(wù)器/DomainServer〔服務(wù)器端建立域以LENOVO商用機為平臺,通過MICROSOFTWINDOWS2003ADVANCESERVER架設(shè)了名為的域環(huán)境,服務(wù)器角色目前為活動目錄〔AD。在這個基礎(chǔ)上,還開通了文件存儲服務(wù)〔FILESTORAGESERVICE,并細分為按公司部門的文件存儲方式。并安裝有瑞星殺毒軟件及卡卡安全助手,交接時候的病毒特征定義庫號為。此服務(wù)器硬件配置主要為Pentium43.0Ghz/1GRam/80GHardDisk。IP地址為：00,DomainAdministrator口令為：123456。A、選擇開始菜單中的運行命令,輸入dcpromo彈出活動目錄的配置框,進入活動上當安裝向?qū)、點擊下一步若圖片無法顯示請聯(lián)系QQ3249114A、下一步,選擇"新域的域控制器"下一步,選擇"在新林中的域"下一步,為新域鍵入一個DNS全名A、下一步,為新域鍵入一個Netbios名A、指定數(shù)據(jù)庫和日志文件和文件夾的存放位置A、指定共享的系統(tǒng)卷DNS的注冊診斷A、選擇用戶和組對象的默認權(quán)限B、設(shè)置目錄服務(wù)還原模式的管理員密碼C、復(fù)查并確認選定的選項D、配置活動目錄E、配置組件,提示插入2003光盤安裝組件客戶端加入到域；以LENOVO商用機為平臺,通過MICROSOFTWINDOWSXP-HOMEEDITION、MICROSOFTOFFICE2003、OutlookExpress等軟件架設(shè)了日常辦公平臺。工作組為WORKGROUP,IP地址為自動獲得。在網(wǎng)上鄰居中右擊鼠標,選擇屬性,打開本地連接屬性,雙擊TCP/IP協(xié)議。將首選DNS地址改為域服務(wù)器的地址在桌面上選擇我的電腦右擊鼠標,選擇屬性,彈出面板,單擊網(wǎng)絡(luò)標識選項卡,單擊屬性。在跳出的標識更改選項卡中的隸屬于改為域,輸入Hy2.輸入服務(wù)器上的管理員密碼加入域成功漫游用戶配置文件一、用戶的建立a.在域服務(wù)器上添加一個jack的域賬號,單擊活動目錄用戶和計算機右擊user—新建—用戶新建對象中輸入相應(yīng)的jack信息,單擊下一步。輸入賬號的密碼,〔輸入的密碼要滿足密碼策略。Jack建立成功。一、配置文件的共享目錄與用戶配置文件位置的定義：在域服務(wù)器上新建一個文件夾,然后共享,用于存放jack的用戶配置文件〔可以是空的。在該文件夾的共享權(quán)限中添加域jack〔或everyone,權(quán)限設(shè)完全控制,右擊屬性,在jack屬性的配置文件選項卡設(shè)置配置文件路徑為：\\服務(wù)器名或IP地址\Jack共享目錄名列\(zhòng)\5\jackshare第一臺客戶機登錄形成配置文件并修改工作環(huán)境：然后使用1臺客戶機登陸,用戶名為jack,登陸到選域Hy2,登陸后在桌面上新建一些快捷方式和文件夾,注銷退出。此時,在域服務(wù)器得jack共享文件夾就可以看到,新建的快捷方式和文件夾第二臺客戶機登錄,工作環(huán)境〔用戶配置文件漫游到第二臺機器：當我們用JACK在第二臺客戶機上登錄,會發(fā)現(xiàn),先前在第一臺客戶機中做的快捷方式和文件夾,會被自動調(diào)用過來。網(wǎng)絡(luò)布線系統(tǒng)設(shè)計1、布線系統(tǒng)總體結(jié)構(gòu)設(shè)計總體1棟建筑,從總部機房用十二芯單模光纖與另筑的設(shè)備間|BD|相連,每個設(shè)備間也設(shè)用十二芯多模光纖與每層的電信間|FD|,并用五類非屏蔽雙絞線從電信間與工作站相連接,集團園區(qū)網(wǎng)采用10M的光纖以太網(wǎng)接入到因特網(wǎng)服務(wù)提供商的網(wǎng)絡(luò),然后接入到因特網(wǎng)中,使集團實現(xiàn)與外界的信息交換和網(wǎng)絡(luò)通信。集團統(tǒng)一由總部機房的一個出口訪問Internet,集團能夠控制網(wǎng)絡(luò)的安全。在服務(wù)器和核心交換機間：使用UTP電纜來將服務(wù)器連接到核心交換機。2、工作區(qū)子系統(tǒng)設(shè)計工作區(qū)子系統(tǒng)由各個單元區(qū)域構(gòu)成,是計算機、和信息插座的連接部分,包括連接跳線和信息插座。信息插座面板具備：通用、超薄、簡易、防塵等特點；信息插座的模塊采用類RJ-45模塊；線纜采用超五類雙絞線；水晶頭采用RJ-45標準水晶頭。為降低成本和結(jié)合客戶終端的位置多變的特點,跳線可采用原裝跳線與自制跳線相結(jié)合的方式,中心機房設(shè)