1、- 1 -目 录第一章 需求分析 11.1 公司部门概况 11.2 网络功能需求 11.3 网络性能需求 1第二章 方案设计 22.1 设计原则 22.2 网络规划 22.2.1 核心层建 设 .22.2.2 接入层建设 .32.2.3 服务器系统 .4第三章 方案实施 63.1 部署活动目录服务,构建域环境 .63.2 部署 DHCP 服务,自动分配 DHCP 选项 .63.3 部署 DNS 服务,响应名字解析请求 .73.4 安装 Internet 信息服务,部署 WEB 站点 .83.5 结合 SMTP 服务和 POP3 服务实现基本邮件功能 - 12 -3.6 部属 NNTP,实现聊天
2、功能 - 14 -3.7 部署 FTP 服务,实现文件共享 .- 16 -3.8 部属分布式文件系统 .- 17 -3.9 安装 CCProxy,实现代理服务 - 19 -3.10 安装路由和远程访问服务,部属 VPN 服务 .193.11 安装 Internet 验证服务 .- 21 -3.12 安装 Windows Media Services- 23 -3.13 安装 Windows Media Encoders - 23 -第四章 网络维护 .- 24 -4.1 更新 .- 24 -4.2 备份 .- 24 -4.3 诊断 .- 24 -4.4 安全 .- 24 -4.5 磁盘整理 .
3、- 24 -结束语 - 25 -致 谢 - 26 -参考文献 .- 27 - 2 -第一章 需求分析1.1 公司部门概况 总部设在福建-福州,两个分公司设在北京-燕郊和福建-厦门。 200 个网络节点分布在技术部、营销部、财务部、决策部。1.2 网络功能需求 共享公司的各种信息资料,发布公司内部刊物的电子版。 实时传递行业政策、市场变化信息;转载、摘编国际国内重大新闻信息。 动态查询产品的生产、销售、库存等实时数据和客户、员工的档案信息。 提供销售、生产、会计、统计等报表供相关人员查阅、分析。 发布电脑方面的文章以提高员工的计算机知识;发布相关业务培训内容。 以 FTP 方式提供大量应用软件和
4、实用工具,供内部员工下载使用。 通过代理服务器使公司的计算机均能以低廉费用接入 Internet。 开通部门间、员工间的 E-mail 服务和论坛增强 Intranet 的娱乐性。1.3 网络性能 需求 经济性 实用性 稳定性 安全性 易管理性 可扩展性- 3 -第二章 方案设计2.1 设计原则 经济性:用性价比较好的网络及设备,以较低廉的投资获取较高性能。 实用性:确保信息加速传递、提高工作效率,节约办公费用。 操作性: 界面图形化、操作按钮化,办公人员在简单培训后能熟练运用。 扩展性: 新增的硬件设备能方便接入网络;软件便于更新、维护、升级。2.2 网络规划局域网分为核心层、接入层、服务器
5、群三个部分来设计拓扑结构如下:- 4 -2.3 核心层建设(1) 核心层作用核心交换机位于网络中心,是整个局域网的灵魂。它对整个网络的性能、可靠性起决定性作用。它连接各个物理子网;负责高速地对端到端设备进行数据包交换;控制 VLAN 间访问;保证信息安全。(2) 核心层网络类型选择作为主干网连接着服务器和楼层交换机,可局部采用千兆以太网。千兆以太网可提供 1Gbps 的通信带宽,具有以太网简易性,比其它类似速率的通信技术价格低廉。千兆以太网还能在当前以太网基础上平滑过渡,这意味着现有的投资可以在合理的初始开销上延续到千兆以太网,不需要对技术支持人员和用户做重新培训,无需另外配置协议、购买中间部
6、件,具有一定的前瞻性。(3) 核心层交换机选择 所选中心交换机首先要具有三层交换功能,能提供 VLAN 间的数据传输。 其次要具有足够数量高速网络接口,提供高速交换带宽和包转发速率。 具有多种信息管理和控制能力和 QoS 功能。(4) 核心层升级方案 购买新功能模块,实现新的网络功能; 添加接口模块数量,实现用户和信息点的扩充; 改用光纤,提高主干带宽; 提高主干带宽、实现主干线路互备份; 增加一台三层交换机,采用多链路千兆以太网连接,消除单点故障。- 5 -2.2.2 接入层建设(1) 接入层作用接入层交换机为楼层工作组级交换机,为每个用户提供 100Mbps 以太接入端口,负责将用户数据馈
7、入网络。它直接完成本地数据交换,将其它网段数据送到核心层。通过 VLAN 的合理划分,方便用户在网络中移动,保证部门信息安全。(2) 接入层网络类型选择在当今现有的高速局域网技术中,由于快速以太网(100BASE-T)性能优良、价格低廉、升级和维护方便,通常都将它作为首选。快速以太网在过去广泛接的 10BASE-T 以太网基础之上,提供向 100Mbps 的平滑、连续性的网络升级。(3) 交换机的连接工作站少的部门只需一台二层交换机,下联用户端上联核心交换机。信息点分布密集的部门采用多台交换机堆叠或者级联。连接介质可以是光纤、双绞线。(4) VLAN 的划分通过 VLAN 实现隔离和限制本地流
8、量的功能:把工作内容相近的 PC 机、经常共享数据的信息点划分在同一个 VLAN 中可以提高网络效率;设定相应地访问权限可以增强网络安全。根据员工分布情况,二层交换机可以每个独立构成一个 VLAN,也可以多个构成一个 VLAN。(5) 交换机的选择 高端口密度 支持 VLAN 划分- 6 -2.2.3 服务器系统(1) 服务器系统的作用服务器群的主要功能是为客户端提供各种网络服务,包括:资源共享、Web 服务、文件传输、邮件服务、代理服务、聊天服务、流媒体服务、身份验证服务(2) 服务器的连接服务器的连接位置可以很灵活,整个网络用户都公用的服务器直接连到核心交换机上,连接介质可以采用光纤或双绞
9、线。各个部门单独使用的服务器可以连到部门交换机上,提供该部门的特定网络服务。(3) 服务器软件的选择选用 Windows 的产品其优点是:Windows Server 2003 集成多种功能且对硬件要求不高,总体成本较低。工作站普遍使用 Windows 操作系统,服务器与客户端兼容性更好。Windows 服务器系统提供图形化界面,减少配置和维护的工作量。服务功能及应用软件如下表:功 能 软 件名字解析 DNS 服务IP 选项自动配置 DHCP 服务 资源共享 分布式文件系统、Internet 信息服务FTP 服务邮件收发 Internet 信息服务SMTP 服务;POP3浏览网页 Intern
10、et 信息服务网站聊天、论坛 Internet 信息服务NNTP 服务身份验证 活动目录、证书服务、Internet 验证服务远程访问 路由和远程访问组件代理、防火墙 Ccproxy流媒体资源下载 流媒体服务- 7 -第三章 方案实施3.1 部署活动目录服务,构建域环境3.1.1 安装目录服务的同时安装 DNS 服务确保名字解析的正确性- 8 -3.2 部署 DHCP 服务,自动分配 DHCP 选项3.2.1 配置 DHCP 选项(子网掩码,默认网关、DNS 服务器 IP 地址)3.2.2 确认客户端自动获得正确的 IP 地址和 DNS 服务器 IP 地址后加入域3.3 部署 DNS 服务,响
11、应名字解析请求3.3.1 建立正向 AD 集成区域- 9 -3.3.2 客户端获得正向自动更新3.3.3 客户端获得反向自动更新3.4 安装 Internet 信息服务,部署 WEB 站点3.4.1 主机头实现一台主机上运行多站点- 10 -3.4.2 DNS 解析主机头3.4.3 测试3.4.4 Web 服务器向 CA 申请证书(1) CA 在线,直接提交证书请求- 11 -(2) Ca 不在线或联系不到,提交证书请求文本文件3.4.5 Web 服务器获得证书,查看证书3.4.6 Web 服务器安装证书并配置启用 SSL3.4.7 测试- 12 -(1) 客户端计算机不信任颁发 Web 服务
12、器证书的根 CA,产生安全警报(2) 下载根 CA 证书,导入客户端计算机“受信任的根证书颁发机构”3.5 结合 SMTP 服务和 POP3 服务实现基本邮件功能3.5.1 SMTP 服务器配置(1) 允许/拒绝某个 IP 使用 SMTP 发送电子邮件(2) 允许/拒绝某个 IP 使用该 SMTP 中继电子邮件- 13 -3.5.2 安装 POP3,添加邮箱,自动会创建登陆使用的关联帐户3.5.3 Outlook 客户端配置(1) 指向 SMTP 服务器, (2) 用从 CA 申请的用户证书配置签名- 14 -(3) 用从 CA 申请的用户证书配置加密3.5.4 测试(1) 发送加密和签名的邮
13、件(2) 接收加密和签名的邮件(3) 发送给本域和其他域的邮件- 15 -3.6 部属 NNTP,实现聊天功能3.6.1 默认 NNTP 服务器上新建新闻组3.6.2 OUTLOOK 客户端预定新闻组3.6.3 OUTLOOK 客户端同步所有邮件- 16 -3.6.4 测试3.6.5 新闻组下载到本地3.7 部署 FTP 服务,实现文件共享3.7.1 新建 FTP 站点- 17 -3.7.2 FTP 服务器上对每个用户启用 NTFS 权限3.7.3 测试3.8 部属分布式文件系统3.8.1 新建根目录文件夹,设置共享权限和 NTFS 权限- 18 -3.8.2 新建根目录,根目录下新建链接,链
14、接下新建目标3.8.3 配置链接属性(1) 设置复制计划(复制时间、复制优先级)- 19 -(2) 设置复制拓扑3.8.4 活动目录中发布 DFS 根目录,用关键字在 AD 中搜索已发布 DFS 根目录3.9 安装 CCProxy,实现代理服务3.9.1 设置 CCProxy- 20 -(1) 禁止员工工作时玩游戏、聊 QQ(2) 根据用户名、IP、MAC、设置限制最大连接数、带宽、网站、可用时间- 21 -3.9.2 客户端设置 IE 代理3.9.3 客户端设置 OUTLOOK 代理3.10 安装路由和远程访问服务,部属 VPN 服务3.10.1 把 VPN 服务器 (RADIUS 客户端)
15、改用 RADIUS 身份验证,RADIUS 记帐- 22 -3.10.2 设置记帐日志的属性3.11 安装 Internet 验证服务3.11.1 添加 RADIUS 客户端(VPN 服务器),授权 RADIUS 服务器进行身份验证3.11.2 同时管理多台 RADIUS 客户端上的远程访问策略的条件、权限、配置文件- 23 -3.11.3 对远程访问启用 IPSEC(1) 禁止 PING(2) 禁用易被攻击的端口(3) 确保 TCP 传输安全- 24 -3.12 安装 Windows Media Services3.12.1 新建发布点3.13 安装 Windows Media Encode
16、rs3.13.1 新建会话3.13.2 测试- 25 -第四章 网络维护4.1 更新WEB 页面的版面、样式、内容的更新;公司共享资料的更新;网络教室、软件下载内容的更新;聊天室及电子论坛的维护等工作由管理员进行。各种报表、数据库更新,信息发布由各部门管理员从本地登录服务器进行。4.2 备份由于考虑最低投资,未采用磁带机备份,而使用磁盘镜像技术容错,这样不但得到完整的数据备份,而且还提高了系统的性能。4.3 诊断INTRANET 采用 TCP/IP 协议,在网络的调试中主要采用了以下几个诊断程序:Ping;Ipconfig;Nbtstat;Netstat;Hostname4.4 安全利用代理服
17、务器 Ccproxy 的防火墙功能可以阻挡 Internet 上的系统或使用者直接进入 Intranet。网络管理员的密码和各用户的密码均利用 AD 组策略统一进行管理,并利用其“组策略”功能统一部署密码策略:包括密码最长/最短有效期、密码的长度、唯一性和帐户锁定等项目。域用户权限也利用“域用户容器”统一管理。- 26 -4.5 磁盘整理虽然 Windows 系统自身包括磁盘碎片整理程序,建议采用第三方的程序Diskeeper 定期整理磁盘碎片。参考文献黎连业 著 网络综合布线系统与施工技术 机械工业出版社 2005.4Microsoft 著 网络基本架构的实现和管理 高等教育出版社 2003.8Microsoft 著 网络安全基础和网络安全配置 高等教育出版社 2003.8 Microsoft 著 网络服务操作系统安装配置和管理 高等教育出版社 2003.8http:/
