1、BENET 上海分公司需求分析一、项目概述BENET 公司是一家专业从事网络、存储产品代理销售和信息项目整体方案解决的国家一级系统集成商,总部在北京,拥有上海和广州两家分公司,随着业务的扩大,上海分公司由原来的 10 人增长到 50 人,以前的网络及应用环境已经不能适应实际的需求,所以要求对上海分公司的网络及应用环境对其进行信息化改造。项目建设的目标和原则依然按照开放性、实用性、安全可靠性、先进性、经济性、可管理性、工程建设按照相关国家标准实施。形成结构合理,内外沟通,经济实用的新型企业计算机网络系统。在此基础上建设能满足员工的工作,科研和用户访问需要的软硬件环境,为其他合作企业以及客户提供网
2、络信息服务。二、上海分公司现有状况1、上海分公司现有组织结构:财务、销售、工程三部门,建立了相关的行政管理制度、公文管理制度,但仍缺乏有效监控的机制。2、上海分公司现有的管理概述如下: 上海分公司经理向北京总公司经理负责 上海分公司各部门主管向分公司经理负责 各部门员工向部门经理负责3、公司目前拥有 10 台台式计算机,2 台笔记本计算机,其中 5 台台式机配有 10/100Mbps全双工自适应网络接口卡,5 台台式机配有 10Mbps 半双工网络接口卡,笔记本均自带有10/100Mbps 全双工自适应网络接口卡。所有设备运行良好。4、公司现有的网络规模如下: 需要路由器 1 台,二层交换机
3、2 台,服务器 6 台,Web/FTP 服务器由不得 ISP 托管,客户机 50 台(包括以前的 12 台) 。 分公司所有员工通过路由器能接入并访问互联网同时通过互联网访问总公司。 分公司所有成员工通过代理服务器经路由器访问 ISP 托管的分公司的 Web/FTP 服务器。 分公司所有员工通过路由器访问内部各服务器。5、系统管理在要求如下: 用户安全、账户管理 用户权限管理 网络访问控制 事件日志 系统将涉及以下 3 类用户: 分公司经理 分公司各部门主管 分公司各部门普通员工6、相关系统软件及应用软件的选择原则如下: 主流操作系统:Windows Server 2003 使用 Window
4、s Server 2003 构建以下服务:文件服务、活动目录服务、打印服务 代理服务 CCProxy三、项目建设的要求1、硬件一般性要求:集成商所提供的所有硬件设备应符合国家有关标准及规定,符合国家相关产品质量标准、安全及电磁学规范。2、网络系统整体设计要求:新系统应该完全兼容老设备,网络拓扑采用星型拓扑结构 3、服务系统整体设计要求:要加载文件服务、 WEB/FTP 服务、 打印服务、LINUX 和WINDOWS 客户端访问 INTERNET 、 防病毒服务、代理服务、系统的安全措施与策略。BENET 上海分公司方案设计一 网络拓扑结构设计二 布线系统分析与设计 布线系统概述 结构化布线系统
5、包括工作区子系统、水平子系统、管理子系统、垂直干线子系统、设备间子系统、建筑群子系统 BENET 上海分公司布线系统分析与设计 办公现场家具与隔断的设计 信息点位需求 工作区系统及信息点位布置 水平系统及管线设计 配线管理子系统设计三 IP 地址分配ISP 提供了一个 C 类的公网 IP 地址 202.100.2.254/30,作为 BENET 上海分公司接入路由器 R1 个连端口 F0/0 和 ISP 提供拓路由器端口使用。那么给 BENET 上海分公司接入路由器下连端口 F0/1 分配一个私网地址 192.168.3.1/24, 192.168.3.2/24 分配给交换机 SW1作为其的管
6、理地址,192.168.3.3/24 分配给交换机 SW2 作为其的管理地址,192.168.3.48/24 分配给服务器组使用, 192.168.4.26/24 分配给财务部和分公司经理使用。192.168.5.235/24 分配给工程部使用, 192.168.6.235/24 分配给销售部使用,具体如下表 2-1 所示物理接口IP 地址 子网掩码 对端 IP 地址 子网掩码 网关接入路由器 F0/0 202.100.2.254 255.255.255.252202.100.2.253 255.255.255.252202.100.2.253SW1 交换机 F0/1 192.168.3.2
7、255.255.255.0 192.168.3.1 255.255.255.0 192.168.3.1SW2 交换机 F0/1 192.168.3.3 255.255.255.0 192.168.3.1文件服务器 192.168.3.4 255.255.255.0 192.168.3.1打印服务器 192.168.3.4 255.255.255.0 192.168.3.1域服务器 192.168.3.4 255.255.255.0 192.168.3.1代理服务器 192.168.3.4 255.255.255.0 192.168.3.1财务部及经理 192.168.4.25 255.255.
8、255.0 192.168.3.1工程部 192.168.5.24 255.255.255.0 192.168.5.1销售部 192.168.6.24 255.255.255.0 192.168.6.1四 VLAN 划分将一个 LAN 划分成多个 LAN,这么做主要是减少以太网 LAN 上广播包过多的问题。VLAN 技术很好地缩小了广播范围,减少了广播包的数量。本项目针对 VLAN 划分的原则是:基于职能部门划分,基于物理位置划分和基于应用划分,具体划分如下表:VLAN 划分部门名称 网络地址 子网掩码 网关 VLAN机房(服务器群)和 SW1、SW2192.168.3.2-4 255.255
9、.255.0 192.168.3.1 5财务部和经理室 192.168.4.2-5 255.255.255.0 192.168.4.1 2工程部 192.168.5.23 255.255.255.0 192.168.5.1 3销售部 192.168.6.23 255.255.255.0 192.168.6.1 4五 路由策略 网络设备需求分析 单一路由器连接接入层形成的一个简单局域网 路由策略 单臂路由、默认路由 作用 实现 VLAN 间互访及对互连网的访问 设备厂商的选定 美国 Cisco 公司的网络设备 设备型号的选择 要求 产品性能指标符合系统需求 Catalyst 2950-24 交换
10、机 Cisco 2611xm(或 2621xm)路由器六 域控制器系统的分析与设计(1). 设备选型 采用一台 PC Server 作为系统的域控制器,主要配制如下: CPU:P4-2.0GHz 内存:1GB 硬盘:80GB 网卡:Realtek RTL8139 Family PCI Fast Ethernet NIC 操作系统:Windows Server 2003 主要服务:NTFS 域名: 计算机名:DC IP 地址:192.168.3.4/24 网关:192.168.3.1 放置位置:机房 网络连接:直接连接交换机 SW2 的 2 号端口(2). 域结构规划根据网络规模及集中管理和结构
11、简单的原则,整个网络系统规划为单域结构,在域内按照部门名称分别建立组织单位(OU) ,用于存储和管理各部门的用户、共享文件夹及打印机。整个系统结构与公司管理结构相匹配并可以实现资源的层次管理。最上层的管理单元为域,域名为 ,下层的管理单元是组织单位,各部门的组织单位命名按照部门名称的汉语拼音全拼设置。根据网络结构的变化和未来公司结构的扩展,此结构可以方便地增加和减少管理单元,充分满足了可扩展性和可伸缩性的要求。域规划如下图所示:(3). 用户账户规划SdomainouJingli gongcheng xiaoshou caiwu需要建立用户组和用户账号,把用户账号加入用户组。公司全部用户组织结
12、构如下图所示:S经理部 销售部 财务部 工程部分公司经理 销售部员工 财务部员工 工程部员工财务主管销售主管 工程主管七 文件服务器系统的分析与设计 系统配置 创建一个共享文件夹 d:share,共享名为 share 在 d:share 下按部门文件夹 在每个部门的文件夹下创建每个员工的文件夹 总经理对所有文件夹有完全访问权限 每个部门经理对本部门的文件夹有完全访问权限 每个员工对自己的文件夹有完全访问权限文件服务器划分为两个磁盘分区,分别为 E 盘 D 盘,E 盘为主分区,安装操作系统容量为15GB。D 盘为逻辑分区,用于储存共享文档,容量为 120GB。两个分区都采用 NTFS 文件系统格
13、式。其中在 D 盘上激活磁盘配额功能。文件服务器权限设置文件夹名 共享权限 NTFS 权限D:Share Everyone 组完全控制 分公司经理完全控制,everyone 列出文件夹目录D:Share分公司理 无 分公司经理完全控制D:Share分公司销售部 无 全局组 xiaoshoubu 读取,分公司经理完全控制,销售主管完全控制D:Share分公司财务部 无 全局组 caiwubu 读取,分公司经理完全控制,财务主管完全控制D:Share分公司工程部 无 全局组 gongchengbu 读取,分公司经理完全控制,工程主管完全控制员工个人文件如:d:share财务部某员工文件夹无 全局组
14、 caiwubu 读取,员工自己完全控制,本部门主管和分公司经理完全控制磁盘配额用户或用用户组 警告等级 磁盘空间限制Zongjili 10 G xiaoshou 5 G 8 Gcaiwu 5 G 8 Ggongcheng 5 G 8 G八 代理服务器系统的分析与设计系统配置机名 代理软件 端口协议 IP 地址Proxsrv CCProxy 默认设置 192.168.1.8/24 主要特点 缓存功能提高访问速度 隐藏内部网络细节提高安全性 过滤和禁止某些通讯,提升上网效率 监控用户行为 选择代理服务器 选择代理服务器依据的几个要素 功能 性能 成本 易用性 安全性安装 CCProxy 运行安装
15、文件 安装向导 安装路径 开始菜单文件夹 创建快捷方式 开始安装 安装完成 运行 CCPproxy代理服务设置 “设置”对话框 协议 端口 服务 帐号设置 查看用户连接信息 二级代理 缓存设置 缓存设置 网站过滤 时间安排 日志管理九 打印服务器系统的分析与设计 打印服务配置 打印机服务器上安装 4 台打印机的驱动程序,并将 4 台打印机共享,共享名为 Printer-位置 所有员工的计算机作为客户机通过安装网络打印机添加相应的打印机完成打印 所有客户机的打印机上设置打印优先级 分公司经理的优先级为 90 部门主管的优先级为 50 员工优先级为 1 每台打印机具有统一的命名和网络地址 打印权限
16、设置打印机权限 管理打印机 管理文档 打印 备注Printer-JL 分公司经理管理员分公司经理 分公司经理 管理员分公司经理专用Printer-CW 分公司经理管理员分公司经理财务主管分公司经理 管理员、财务主管财务部员工财务部专用分公司经理可用Printer-xiaoshuo 分公司经理管理员分公司经理销售主管分公司经理 管理员、销售主管销售部员工销售部员工使用打印机Printer-gongcheng分公司经理管理员分公司经理工程主管分公司经理管理员、工程工程部员工使用打印机主管工程部员工十 WINDOWS 客户端分析与设计一个软件如果要实现信息交换,就必须有一个服务端和一个客户端.局域网
17、内部存储工作组名,计算机名以及对象 IP 或 IP 段的数据的一种服务。作为一个低成本的操作系统要实现信息交换,先阶段受到广泛的关注,在本项目中可以实现通过服务器端访问局域网以及互联网的资源.(一):首先要考虑设备选型(二):要进行客户端配置1:设备选型客户机主要配置如下: CPU:P4-1.7GHz 内存:1G 硬盘:80GB 网卡:Realtek RTL8139 Family PCI Fast Ethernet NIC 操作系统:Widows XP Professional 文件系统:Windows 系统采用 FAT32/NTFS 域:Windows 计算机需要加入到域 中 放置位置:分
18、公司经理办公室 ,财务部,销售部,工程部 网络连接:直接连接交换机相应端口 .2:客户端配置客户端计算机基本采用相同主流的 windows xp professional 操作系统, 有一位员工由于工作需要配置了两台电脑,一个做服务器,一个做客户机. 来实现信息交换,那么就必须设置一张配置客户端信息表:1:将客户机加入到域中步骤如下:. 先在服务器端建好域.并设定好域的名称 .(简单说一下,在添加删除里将电脑设为域控制器组件安装上,到控制面板,管理工具里,设定) .右击我的电脑,选择属性,计算机名,更改,隶属于选项框中选择域,中输入域名,然后点确定,其他计算机也依次同样的方法。3:映射网络驱动
19、器各户端配置:工具菜单上,单击映射网络驱动器:在驱动器框中单击驱动器号:在文件夹框中,以 服务器名称 共享名称的形式健入服务器和共享资源的 UNC 路径单击浏览以查看计算机和共享资源.4:添加并设置网络打印机 CPU:P4-2.0GHz 内存:1GB 硬盘:80GB 网卡:Realtek RTL8139 Family PCI Fast Ethernet NIC 操作系统:windows xp 文件系统:NTFS 域: 计算机名:administrator IP 地址:192.168.3.4/24 网关:192.168.3.1 放置位置:机房表 2-4 打印设备表打印机型号 打印机名 共享名 I
20、P 地址 信息点 位置LaserJet 1200 HP1200 Printer1 192.168.4.2/24 01 分公司经理LaserJet 5000 HP5000-01 Printer2 192.168.4.3/24 02 财务部LaserJet 5000 HP5000-02 Printer3 192.168.6.2/24 03 销售部LaserJet 5000 HP5000-03 Printer4 192.168.5.2/24 04 工程部:打印服务器配置4:代理服务的客户端设置 Internet 选项 连接 局域网(LAN)设置 地址 端口 代理服务器设置 类型 地址 端口十一 安全
21、策略分析与设计整个公司采用统一的安全策略,安全策略在域级别设置,将会对公司域中所的用户和计算机生效。使用域安全策略,可以简单方便地完成整个网络的安全策略设置,不需要对每个用户进行单独设置,大大降低了网络的管理成本。根据公司需要,在域安全策略中设置如下的策略。1 密码和账号策略启用密码必须符合复杂性要求密码长度最效值为 7密码最长村留期为 30 天帐户锁定策略帐户锁定阈值为 5 次无效登陆2 审核策略启用审核登陆事件启用审核对象访问启用设置的密码策略后,公司所有员工必须使用复杂了密码,并且密码最少不能少于7 个字符,每个密码最多使用 30 天,员工需要在期限内修改密码,充分地保护了用户和密码的安
22、全。帐户锁定的启用可以避免非法用户盗用其他用户帐户,员工每次登陆时,如果连续 5次输入错误的密码,帐户将被锁定,即使使用正确的密码,在一段事件内也无法登陆,避免了非法用户或非法程序多次攻击用户帐户公司利用审核策略对用户的登陆事件成功和失败进行记录,用于检查是否有过多的非法登陆尝试。在文件服务器上对关键文件文件夹的访问做审核记录进日志十二 防病毒系统分析与设计在服务器组中任选一台服务器让其作为防病毒服务器,利用 Symantec AntiVirus 企业版的防病毒软件,可以为企业范围内的工作站和网络服务器提供可伸缩的跨平台的病毒防护,通过 Symantec 系统中心管理控制台为工作站和网络服务集中部署病毒定义和产品更新。第一,需要安装一组模块在所选的防病毒服务器上,第二安装 Symantec Antirus 企业版到客户端,第三,管理 Symantec Antevirus 网络防病毒系统。由于 Symantec Antevirus 企业版的防病毒软件对系统要求比较低,现在服务器和客户端都能满足要求,所以可以自由定义现有的服务器为一服务器组,来实现防病毒服务器端的管理。十三 BNETT 人事安排 项目经理:熊攀 网络工程师:宋希 岳维 综合布线师:龙键 系统调试师:蔡华 龙艳春 李岳峰 售后服务员:宋希 岳维 蔡华 龙艳春 李岳峰 龙键
