1、西 安 培 華 學 院XI AN PEI HUA XUE YUA N 计算机网络工程期末论文中小企业网建设方案学生姓名:刘威杉学号:7z102214专业:通信技术日期:2012 年 05月 25日目 录1. 引言2. 需求分析3. 逻辑网络设计4. IP地址规划及网络设备配置5. 服务器的组建6. 企业网络安全设计7. 结束语摘 要本设计结合一家中小企业网络的实际需求,通过对网络组建方案的设计、基于安全的网络配置方案设计、服务器架设方案设计、企业网络安全设计等方面的仿真研究,详尽的探讨了对该网络进行规划设计时遇到的关键性问题。主要包括需求分析、网络设备选型、逻辑网络设计、IP 地址规划方案设计
2、、服务器架设和网络安全设计等内容。论文针对中小企业网络拓扑进行设计和分析,通过Cisco Packet Tracer 软件进行网络仿真配置和安全设计,给出了网络规划设计解决方案。1. 引言Cisco Packet Tracer 是由Cisco公司发布的一个网络仿真工具,使用该工具可以搭建网络的模拟环境,对网络进行设计、配置、故障排除等。用户可以在工具的图形用户界面上直接使用拖曳方法建立网络拓扑,并可提供数据包在网络中行进的详细处理过程,观察网络实时运行情况。可以学习IOS的配置、锻炼故障排查能力等。目前最新的版本是Packet Tracer 5.3。网络改变了人们的生活,地球变成了地球村,全世
3、界的人可以随时进行网络交流。信息资源的共享,带来社会生产力空前提高,互联网与人们生活越来越密切,如网上证券期货交易、远程电子视频会议、网上购物等应用使得人们的生活已经越来越离不开网络,由此,信息高速公路的建设变得十分重要。企业规模的不断壮大和业务量的不断增加,原有的工作方式已不能满足现代企业的需要,特别是对突发事件的处理能力与速度的需求。现代企业如果没有信息技术的支持,就不能称之为现代企业。随着网络技术的不断成熟、网络产品价格的不断下降,以及对数据传输和信息交换需求的不断增加,现在各企业均正在或已搭建了企业内部局域网,因为,企业网络的建设是企业向信息化发展的必然选择。企业网络为企业的现代化发展
4、、综合信息管理和办公自动化等一系列应用提供了基础平台。本设计结合中小企业实际需求,举例分析、设计、配置、模拟组建了一个典型的中小企业网络。2. 需求分析2.1背景分析该企业是一家生产研发型企业,主楼是一座四层办公大楼,办公大楼后方是一栋较大的生产车间。整个办公楼有信息点大概100个,企业中心机房设在办公大楼三楼中间。2.2应用需求WWW服务器,众所周知,WWW服务器主要功能是提供网上信息浏览服务。是 Internet目前发展最快和目前用的最广泛的服务。FTP服务器,为了在企业内部能够轻松进行文件数据交换,权限分配,FTP服务器十分必要。文件服务器,企业内部需要大量数据文件的交换,且各部门的资料
5、访问权限不同,文件服务器是最佳选择。域控制器,由于工作组是一个小型的通过网络相联的计算机组,它允许用户协同工作,但是不支持集中式管理。而域是一组连接在网络上的计算机,它们有一个中央的安全数据库来保存安全信息。管理员能够轻易地管理各个计算机。一个域可以通过统一的方法和规则来进行管理。每个域都有一个唯一的名字,域中的每台计算机也都有一个唯一的名字。因此,使用域管理企业网络是最佳选择。DNS服务器,计算机网络间的通信首先必须由DNS将域名解析为IP地址,为了公司内部网络之间能够通信,DNS为员工访问内部网络提供域名解析,同时也提高了网络访问的速度和准确度。邮件服务器,为了通信的安全、快捷,需要为企业
6、架设一台邮件服务器。2.3. 安全需求中小企业的网络安全指的主要是对各服务器进行授权访问,对所有服务器进行病毒防护,数据备份,对企业内部计算机进行统一集中式的管理,以及远程及移动用户对公司内部网络的安全访问等。2.4. 网络扩展性需求一方面要确保公司新的部门能够简单地接入现有网络,二要确保公司新的应用能够无缝地在现有网络上运行。2.5 实现目标首先是资源共享,网络内的各个用户终端可共享文件、打印机、实现办公自动化系统中的各项功能;其次是通信服务,用户可以收发电子邮件、实现Web应用、接入互联网、进行安全的广域网访问;再次是公司网络的统一管理,使用Active Directory对企业网络终端进
7、行统一规划管理。3. 逻辑网络设计3.1组网技术选择众所周知,快速以太网是世界上应用最广泛的组网技术,其强大的灵活性、简便性、传输介质的多样性以及拓扑结构的灵活性,使得其早已成为网络技术的主流。中小企业行业特点要求网络系统速度快,稳定性好,具有扩展性和开放性。同时,对于组网技术的选择,需要考虑技术产品的成熟稳定性。并且,使用先进且成熟的网络技术,不仅可保护投资,还可以降低网络建设的费用。因此,最终选择快速以太网作为该企业的组网技术方案。3.2. 网络设计原则首先,实用性和经济性。系统建设应始终贯彻面向应用、注重实效的方针,坚持实用、经济的原则建设企业网络系统。其次,先进性和成熟性。系统设计既要
8、采用先进的概念、技术和方法,又要注意结构、设备的相对成熟。不但能反映当今的先进水平,而且具有发展潜力,能保证在未来若干年内企业网络仍占领先地位。第三,可靠性和稳定性。在考虑技术先进性和开放性的同时,还应从系统结构、技术措施、设备性能、系统管理、厂商技术支持及售后服务能力等方面着手,确保系统运行的可靠性和稳定性,达到最大的平均无故障时间。第四,安全性和保密性。在系统设计中,既要充分考虑信息资源的充分共享,更要注意信息的保护和隔离,因此系统应分别针对不同的应用和不同的网络通信环境,采取不同的措施,包括系统安全机制、数据存取的权限控制等。最后,可扩展性和易维护性。为了适应系统变化的需求,必须充分考虑
9、以最简便的方法、最低的投资,实现系统的扩展和维护,采用可网管产品,降低了人力资源的费用,提高了网络的易用性。3.3. 网络拓扑结构图设计为了满足企业的需求及长远利益,企业网络应按照上述原则进行网络结构设计与设备选型,在网络拓扑结构上采用星型网络拓扑结构。星型网络拓扑结构具有安全、可靠、易扩展等特点,以交换机为中心,服务器和PC工作站直接连接至交换机,组成网络。通过相应的配置,在不改变网络节点物理位置的情况下,可对网络的逻辑结构进行合理的划分,即建立虚拟网络,以达到网络信息流量的有效控制。本网络分为核心层和汇聚层、接入层三层结构,核心层和汇聚层使用CISCO 3560系列交换机,接入层采用CIS
10、CO2960系列交换机(详见网络设备选型一章) ,出口路由器选用CISCO 1841中小企业级路由器。PC工作站以接入交换机为中心直接连接,组成各子局域网,考虑到网络的可扩展性,配置了6台24口接入交换机、一台汇聚交换机,一台核心交换机、一台出口路由器。4. IP地址规划及网络设备配置4.1IP地址规划4.1.1VLAN规划企业的公网IP地址范围为:218.22.26.146/29。企业内部IP地址采用192.168.0.0段的私有IP地址,并且对企业内部局域网进行VLAN划分,其优点是可以减少网络内的广播数据包,提高网络运行效率,区分不同的应用和用户等,且方便网络的管理与维护等。VLAN的详
11、细划分及地址分配如下所示。VLAN划分表:部门 VLAN 地址范围 网关地址设备管理地址 VLAN 1 192.168.1.1192.168.1.254 192.168.1.1总经办 VLAN 2 192.168.2.1192.168.2.254 192.168.2.1采购部 VLAN 3 192.168.3.1192.168.3.254 192.168.3.1项目部 VLAN 4 192.168.4.1192.168.4.254 192.168.4.1生产部 VLAN 5 192.168.5.1192.168.5.254 192.168.5.1质保部 VLAN 6 192.168.6.119
12、2.168.6.254 192.168.6.1财务部 VLAN 7 192.168.7.1192.168.7.254 192.168.7.1服务器地址 VLAN 8 192.168.8.1192.168.8.254 192.168.8.1交换机IP地址规划表:交换机 管理地址(VLAN1地址) 设备名称(hostname)1号接入交换机 192.168.1.10 jr-sw12号接入交换机 192.168.1.20 jr-sw23号接入交换机 192.168.1.30 jr-sw34号接入交换机 192.168.1.40 jr-sw45号接入交换机 192.168.1.50 jr-sw56号接
13、入交换机 192.168.1.60 jr-sw6汇聚交换机 192.168.1.100 hj-sw核心交换机 192.168.1.1 hx-sw所有网络设备的enable 密码(包括enable secret 密码)和线路管理telnet 密码统一配置为:congqianlu。4.1.2网络设备IP规划服务器IP地址规划表:服务器名称 IP地址 VLAN 网关 MAC地址DC、DNS 192.168.8.2 VLAN8 192.168.8.1 00E0-A3CD-3D40文件服务器 192.168.8.3 VLAN8 192.168.8.1 00E0-E47B-33ABWWW、FTP 192.
14、168.8.4 VLAN8 192.168.8.1 00E0-6EDD4-33D3MAIL 192.168.8.5 VLAN8 192.168.8.1 00E0-ECC2-7164.1.3核心交换机和路由器端口IP配置核心交换机和路由器端口IP分配表:接口名称 IP地址/掩码 备注 MAC地址核心交换机f0/1 172.16.1.2/24 0004-E4E1-8001路由器f0/1 172.16.1.1/24 0001-97E6-C602路由器f0/0 218.22.26.150/29 0001-97E6-C601路由器Loopback 172.17.17.17/24 0002-4AEE-5B
15、264.2.网络设备配置接入交换机下的PC至出口路由器的连通性测试,测试各vlan下PC间的互通性,用一台接入交换机vlan2下的机器telnet管理6号接入交换机交换机,用一台接入交换机下的客户机telnet管理核心交换机,出口路由器主要做了NAT转换、Loopback接口、RIP协议、默认路由等配置,用一台接入交换机下的客户机telnet管理路由器。5. 服务器搭建5.1. 域控制器(DC)搭建首先,配置好服务器的网络环境,配置IP地址、掩码等。并将首选DNS服务器地址设置为本服务器地址。然后,在 “运行”对话框中输入:dcpromo,启动域控制器安装向导,由于此DC是网络中的第一台域控,
16、所以选择“新的域控制器” ,然后单击“下一步” ,选择“在新林中的域” ,下一步。接下来是提示数据库和日志文件的存放位置以及DNS注册诊断,同时,因为域控必须通过DNS来查询域名,因为这是第一台DC服务器,所以,同时也要做DNS服务。期间,系统会提示正在安装DNS服务,确定后第一台域控制器搭建完成。在管理工具中,DNS服务器截图如下。在管理工具中,打开Active Directory用户和计算机,在此,可以为各个部门新建组,通过组策略对不同组的成员进行不同权限的管理,同时,新建组后可以继续新建用户,并设置其属性,隶属于不通的部门。5.2. 文件服务器搭建在添加服务器角色中,选择“文件服务器”
17、,然后单击下一步,接着出现“磁盘配额选项,如果需要则可以在此设置。接着是索引选项的设置,如果企业内部人员经常在文件服务器上搜索文件,则可以启用索引选项,否则,不建议使用,因为索引服务会消耗服务器大量的资源。接着,出现配置共享文件夹的对话框,单击“下一步”选择要共享的文件夹然后单击“下一步” ,如选择共享“质保部”文件夹,完成名称、描述等设置后,出现共享权限提示框,由于是文件服务器,权限问题是首要问题,因此,通常选择自定义,在此将“质保部”文件夹共享权限设置为只有quality组有一切权限,其他组和用户全部没有任何权限。同理,设置其他各部门资料的访问权限,至此,文件服务器搭建完成。5.3. WW
18、W服务器搭建在Windows server 2003 中,安装IIS6.0后,打开IIS管理器,进行配置,首先设置该www服务器的IP等信息,其次,设置WWW服务器的网站文件主目录,最后,添加该WWW服务器的默认文档名称。至此,一个初级的WWW服务器就已经配置完成。5.4. FTP服务器由于Server 2003下的FTP服务器功能有限,所以为该企业的FTP服务器,选用目前比较流行,且功能强大的Serv-U FTP搭建工具。运行安装完成后,启动管理员,新建域,输入IP地址和域名,在域中添加用户,并设置相应权限。同时,Serv-U还可以对用户进行其他权限设置,如上传/下载速率,会话超时时间,磁盘
19、配额等。6. 企业网络安全设计6.1.物理安全物理安全主要指的是机房的物理安全,服务器应该安放在安装了监视器的隔离房间内,并且监视器要保留15天以上的摄像记录。另外,机箱,键盘,电脑桌抽屉要上锁,以确保旁人即使进入房间也无法使用电脑,钥匙要放在安全的地方等。6.2.操作系统安全设计操作系统指的主要是服务器的操作系统:windows server 2003。操作系统安全配置是企业网络安全配置设计中的重要一部分,操作系统的安全是整个企业网络的最后一道防线,因此,其安全性尤为重要。6.2.1.禁用GUEST账号,限制用户数量、管理员用户改名、设置陷阱账号等禁用GUEST账号后,可以为GUEST账号设
20、置一个复杂的密码,并且设置GUEST的属性为禁止远程访问。同时,还可以设置陷阱账号,所谓的陷阱帐号是创建一个名为“Administrator”的本地帐户,把它的权限设置成最低,加入GUESTS组,什么事也干不了的那种,并且加上一个超过10位的超级复杂密码。另外,可以将共享文件的权限从“Everyone”组改成“授权用户” 。“Everyone”在Windows 2003中意味着任何有权进入你的网络的用户都能够获得这些共享资料。最后,要把服务器的所有分区都改成NTFS格式。NTFS文件系统要比FAT、FAT32的文件系统安全得多。6.2.2安装防火墙、备份重要数据等。一些好的杀毒软件不仅能杀掉一些著名的病毒,还能查杀大量木马和后门程序。所以,设置了杀毒软件, “黑客”们使用的那些有名的木马就毫无用武之地,同时,应注意要经常升级病毒库。因为是服务器,重要数据的备份相当重要。因此,一旦系统资料被黑客破坏,备份盘将是恢复资料的唯一途径。备份完资料后,把备份盘防在安全的地方。不能把资料备份在同一台服务器上。7. 结束语在设计过程中,出现过很多的难题,但都在大家的帮助下顺利解决了,遇到的主要问题有以下几点:拓扑设计问题,主要是网络层次结构选择问题;设备选型问题,详细分析了具体需求和应用后才得以解决。
