收藏 分享(赏)
下载资源 加入VIP,免费下载

中小型企业局域网的安全设计方案.doc

上传人:精品资料 文档编号:9853299 上传时间:2019-09-11 格式:DOC 页数:23 大小:251KB
下载 相关 举报
中小型企业局域网的安全设计方案.doc_第1页
第1页 / 共23页
中小型企业局域网的安全设计方案.doc_第2页
第2页 / 共23页
中小型企业局域网的安全设计方案.doc_第3页
第3页 / 共23页
中小型企业局域网的安全设计方案.doc_第4页
第4页 / 共23页
中小型企业局域网的安全设计方案.doc_第5页
第5页 / 共23页
点击查看更多>>
资源描述

1、广州现代信息工程职业技术学院毕业设计(论文)课题名称: 中小型企业局域网的安全设计方案学号 0901231151 姓名 赵健溢 性别 男专业 计算机网络技术 年级、班级 2009 网络技术班 指导教师 肖东升 职称 高级工程师 2012 年 4 月 13 日1摘 要本设计(论文)主要是对现在中小型的企业局域网,办公网络进行规划和设计。目前国内经济发展迅速,改革开放以来私企和一些中小型的私人企业、股份企业如雨后春笋。尤其在 21 世纪的十年里,伴随这激烈的竞争各企业不断改进管理模式,加大了在企业信息化和办公自动化方面的投入,使得信息网络产业发展迅速。中小企业网络化能够促进产业的发展,加大工作效率

2、。关键词:网络规划设计 综合布线 网络设备 WEB 服务器 DHCP 服务器2目 录前言1. 绪论 61.1 项目背景 6 1.2 中小企业网络概述6 2. 需求分析62.1 企业描述72.2 网络概况82.3 公司需求8 2.4 解决方案9 2.5 可行性分析93. 网络逻辑方案 103.1 布线逻辑方3案103.2 网络逻辑方案114. 网络详细设计方案 12 4.1 网络配置方案12 4.2 服务器配置方案 19 5. 项目测试与维护 20 总结21致谢22参考文献23前 言随着现代网络通信技术的应用和发展,互联网迅速发展起来,世界逐步进入到网络化、共享化,我国已经进入到信息化的新世纪。

3、在整个互联网体系巾,局域网是其巾4最重要的部分,公司网、企业网、银行金融机构网、政府、学校、社区网都属于局域网的范畴。局域网实现了信息的传输和共享,为用户方便访问互联网、提升业务效率和效益提供了有效途径。(1)建立企业局域网,可以同分利用企业现有的硬件资源。节约公司的开支,实现无纸化办公。提高企业员工的工作效率,由于局域网企业内部的资源可以得到共享,避免了不必要的重复工作也可以提高时间的利用率。(2)局域网建成后可以节约企业在使用网络资源方面节约更多的开支,便于公司员工查阅和接受网络信息,也可以简化公司对计算机的日常维护和管理,节约维护成本。(3)建立局域网提高公司在办公自动化水平和企业内部应

4、用电子商务的能力,逐步实现业务级网络应用。更有利于企业获得更快、更准确的市场信息,为公司决策提供更科学的依据等。(4)建立局域网也可以是外界能更快更好的认识本企业,加强企业知名度。本研究以在中小企业为背景,多层面探索这些企业在网络规设计碰到的问题和解决方法,供有关部门作为研究、管理决策、规划的参考。1 绪论1.1 项目背景5中小企业网络主要是企业内部网络建设,包括企业内部计算机节点的分布与整个网络的物理线路连接合理布局,以及门户网站、电子商务平台的搭建。进入 21 世纪后我国的中小企业大都进入信息化和办公自动化或者半信息半自动化。网络能够提高整个企业的工作效率,加大市场宣传面,增加业务业务量。

5、因此中小企业网络将在 20 年内得到高速的发展。公司追求形象,所以在网络设计和布设方面要求特别高,要求绝对的合理化。另外合理的网络布局使我们企业办公场所环境优良,企业的网络化使得公司工作效率普遍较高,WEB 服务器和办公服务器的架设,使得公司对外宣传面扩大,提高了效益。同时网络化办公也使员工能够在网络上找到疑问的答案。网络使得公司各方面都得到了很快的发展。中小企业的网络规划、设计和维护越来越需要标准化和规范化。1.2 中小企业网络概述中小企业网络主要是企业内部网络建设,包括企业内部计算机节点的分布与整个网络的物理线路连接合理布局,以及门户网站、电子商务平台的搭建。进入 21 世纪后我国的中小企

6、业大都进入信息化和办公自动化或者半信息半自动化。网络能够提高整个企业的工作效率,加大市场宣传面,增加业务业务量。因此中小企业网络将在 20 年内得到高速的发展。2 需求分析2.1 企业描述:62.1.1 职能描述如图 2-1 所示:图 21 职能描述该公司新购一个办公楼层,需要在目前简易装修的基础上设计企业网络,并且与下面的再次装修基本同步进行,外网接入电信光纤。董事长单独 1 间办公室;三个总监共 3 间办公室;技术部 1 间办公室(技术主管在技术部办公) ;业务部 1 间办公室(业务主管在业务部办公) ;行政部 1 间办公室(行政主管在行政部办公) ;公司内设一个机房。一个信息技术操作室2

7、.1.2 公司的建筑物理布局如图 22 所示:2.2 网络概况电信网络独享百兆接入,由于电信法相关规定,地址转换翻译有特殊规定,使用董事长技术总监 业务总监 行政总监技术主管技术主管业务主管业务主管行政主管行政主管机房 网管操作 技术总监 业务总监前台董事长办公室 行政总监 茶水间 洗手间会议室技术部行政部业务办公区业务办公区接待7一个 ip 为全公司整个网络使用,会导致违反规定,会被误认为是黑网吧之类的节点,因此公司采取使用全部公网。电信分配的 ip 地址为 202.16.100.33 掩码:255.255.255.0.另外电信的路由是终结的。 2.3 公司需求节点需求:名称 节点数IP 分

8、配机房 10 个 192.168.1.236192.168.1.245调试室 2 个 192.168.1.234192.168.1.235董事长办公室1 个 192.168.1.233总监办公室 共 3个192.168.1.230192.168.1.232技术办公区 8 个 192.168.2.2192.168.2.9行政办公区 6 个 192.168.2.10192.168.2.15业务办公区 24 个 192.168.3.2192.168.3.25前台 1 个 192.168.3.26无线 1 个 192.168.1.229服务器需求:Web 服务器、数据库服务器、 dhcp、办公、存储网

9、络需求:(1) WEB 需要至少 30M 的流量(上传下载速率: 30*128kb,约为 3M/S) 。(2) 数据库服务器同上。(3) 办公服务器(办公系统) ,内网使用。(4) DHCP 内网使用和邮件服务器。(5) 存储服务器。8(6) 董事长办公室、总监办公室各独享 3M。(7) 布线必须不影响公司整个装修的美观。2.4 解决方案综合布线需求主要是价廉、合理、美观、标准。因此进行夹墙内、地板下、天花板上布线。网络设备主要放在机房和大厅个办公区域头部柜子内。机房内使用一个机柜(33U、1.6M),防尘地板,和空调。Web 和数据库服务器必须 7*24 不间断,使用 linux 操作系统架

10、设 web 和 ftp。办公服务器和主要的网络设备放置机房机柜。办公服务器采用 windows 2003操作系统。主要为 ftp 和办公系统。公司办公网上网使用 CICSO 路由器实现 dhcp,调试室使用静态公网 ip 地址。2.5 可行性分析通过对该企业写字楼的现场调查和需求分析后,对其可行性进行分析。技术上可行:该系统所需硬件设备,市场上销售且价格较低,操作系统采用linux、Windows 系列操作系统,数据库采用 SQL,这些软件已被大量应用,技术上都比较成熟。因此在技术上是可行的。经济上可行:网络企业主要的是实现办公自动化和信息化。网络是网络企业发展的命脉和根本,没有网络该类型企业

11、无法发展。因此,这项投入是企业必须的。因此经济上没有问题。管理上可行:整个公司的办公资料是通过办公服务器集中存储处理的,整个网络设备都是集中的机房并且具有专人进行维护。因此可以达到了集中管理。管理上是可行的。综上所述,设计建设该网络项目在技术上、经济上、管理上都是可行的。3 网络逻辑方案93.1 布线方案布线主要采取外线进入公司机房然后星形对外布线,如图 31 所示:防火墙INTERNET图 31 布线逻辑方案公司是光纤接入,然后通过自己的路由器接到交换机,然后接分交换机3.2 网络逻辑方案公司路由设备 交换机各服务器各领导办公室无线路由器办公区交换机 1 各办公区 1办公区交换机 2 各办公

12、区 2104. 网络配置方案114.1.1 配置概述为了降低成本,公司采用路由器实现 dhcp 功能。IP 地址分配:路由器:202.16.100.33/255.255.255.0内网使用私有地址:10.0.0.0/255.0.0.0网络设备地址:R2: E0: 202.16.100.33 E1:192.168.1.1S1: VLAN1:192.168.1.2S2: VLAN1: 192.168.2.1S3: VLAN1: 192.168.3.1服务器地址:OA: 192.168.1.240 OA 备用: 192.168.1.241 WEB: 192.168.1.242 WEB 备:192.1

13、68.1.243 备机:192.168.1.244 存储:192.168.1.245 无线路由器:192.168.1.2294.1.2 路由器配置(1)概述:由于电信拉来的专线是终结的,所以我们的路由器只需要设置 PAT 地址转换和dhcp 功能。另外我们采用路由器作为我们的防火墙,因此需要配置 acl 访问控制。路由器 f0/0 为外网进口 ip 设置为 202.16.100.33/255.255.255.0 .路由器内网端口 ip 设置为:192.168.1.1/255.0.0.0 也就是说内网采用 192.0.0.0 /255.0.0.0 这个网络。然后设置 PAT 地址转换。再通过配置

14、 ACL 来做防火墙。(2)PAT 地址转换配置如下:由于本操作主要是在公司路由器上,所以以一台路由器模拟电信接入的INTERNET,另外一台 R2 属于公司内部的路由器,然后接到交换机,并以四台 pc 模拟内网。R1 E0/0: 202.16.100.32/255.255.255.0R212E0/0: 202.16.100.33/255.255.255.0E0/1:192.168.1.1/255.0.0.0配置如下:R1enR1#conf tR1(config)#int f0/0R1(config-if)#ip add 202.16.100.32 255.255.255.0R1(config

15、-if)#no shutR1(config-if)#endR1#writeBuilding configuration.OKR2enR2#conf tR2(config)#int f0/0R2(config-if)#ip add 202.16.100.33 255.255.255.0R2(config-if)#no shut R2(config-if)#exitR2(config)#int f0/1R2(config-if)#ip add 192.168.1.1 255.0.0.0R2(config-if)#no shutR2(config-if)#exitR2(config)#ip nat

16、pool MYNET 202.16.100.33 202.16.100.33 netmask 255.255.255.0R2(config)#ip nat inside source list 1 pool MYNET overloadR2(config)#access-list 1 permit 192.0.0.0 0.255.255.255R2(config)#interface fastEthernet 0/1R2(config-if)#ip nat insideR2(config-if)#exit13R2(config)#interface fastEthernet 0/0R2(con

17、fig-if)#ip nat outsideR2(config-if)#endR2#debug ip nat IP NAT debugging is onR2#writeBuilding configuration.OKpc0 到 pc1 的 ip 地址设置为 192.168.1.10-192.168.1.13测试结果如下:Packet Tracer PC Command Line 1.0PC0ping 202.16.100.32 模拟器内可以通PC1ping 202.16.100.32 模拟器内可以通PC2ping 202.16.100.32 模拟器内可以通PC3ping 202.16.10

18、0.32 模拟器内可以通查看路由器内 PAT 信息:R2# show ip nat translationsNAT: s=192.168.1.12- 202.16.100.33, d=202.16.100.32 5NAT*: s=202.16.100.32, d= 202.16.100.33-192.168.1.12 44NAT: s=192.168.1.12- 202.16.100.33, d=202.16.100.32 11NAT*: s=202.16.100.32, d= 202.16.100.33-192.168.1.12 50NAT*: s=202.16.100.32-202.16.

19、100.32, d= 202.16.100.33 52NAT*: s=202.16.100.32, d= 202.16.100.33-192.168.1.11 52NAT: s=192.168.1.11- 202.16.100.33, d=202.16.100.32 6NAT: s= 202.16.100.33, d=202.16.100.32-202.16.100.32 6NAT*: s=202.16.100.32, d= 202.16.100.33-192.168.1.10 60NAT: s=192.168.1.10- 202.16.100.33, d=202.16.100.32 12NA

20、T: s= 202.16.100.33, d=202.16.100.32-202.16.100.32 1214NAT*: s=202.16.100.32-202.16.100.32, d= 202.16.100.33 61NAT*: s=202.16.100.32, d= 202.16.100.33-192.168.1.10 62NAT: s=192.168.1.13- 202.16.100.33, d= 202.16.100.32 5NAT*: s=202.16.100.32, d= 202.16.100.33-192.168.1.13 64NAT: s=192.168.1.13- 202.

21、16.100.33, d=202.16.100.32 6NAT*: s=202.16.100.32, d=202.16.100.33-192.168.1.13 65NAT: expiring 202.16.100.33 (192.168.1.12) icmp 5 (5)NAT: expiring 202.16.100.33 (192.168.1.12) icmp 6 (6)NAT: expiring 202.16.100.33 (192.168.1.11) icmp 1024 (5)NAT: expiring 202.16.100.33 (192.168.1.11) icmp 1029 (10

22、)NAT: expiring 202.16.100.33 (192.168.1.10) icmp 1032 (11)NAT: expiring 202.16.100.33 (192.168.1.10) icmp 1033 (12)NAT: expiring 202.16.100.33 (192.168.1.13) icmp 5 (5)NAT: expiring 202.16.100.33 (192.168.1.13) icmp 6 (6)(以上返回信息直接在模拟器上拷贝的,并且将部分重复的删除掉了,主机 ping 202.16.100.32 路由器会出现以上信息)(3)路由器实现 DHCP 配

23、置如下:R2enR2#configureR2(config)#ip dhcp pool NETDHCPR2(dhcp-config)#network 192.0.0.0 255.0.0.0R2(dhcp-config)#default-router 192.168.1.1R2(dhcp-config)#dns-server 192.168.1.240R2(dhcp-config)#exitR2(config)#ip dhcp excluded-address 192.168.1.1 192.168.1.10(保留 1-10,这个是内网路由接口的地址和内网各网络设备的地址)R2(config)#

24、ip dhcp excluded-address 192.168.1.240 192.168.1.254(保留 240-154 这些 ip)R2(config)#enR2#en15测试:在局域网内随便找几台机器 ping 外网,本项目中 ping 通 202.16.100.32 即可将 pc 机的地址该为自动获取。以上是模拟器中测试的结果,是没有问题的。(4)路由器安全设置:配置口令:R2(config)#enable secret ciscoR2 (config) #line vty 0 4 R2 config-line)#password ciscoR2 (config-line)#end

25、R2 #writeBuilding configuration.OK配置 ACL 配置禁止 135-445,禁止外网 telnet 公司路由。R2(config)#access-list 120 deny tcp any any eq 23R2(config)#access-list 120 deny tcp any any eq 135R2(config)#access-list 120 deny tcp any any eq 136R2(config)#access-list 120 deny tcp any any eq 137R2(config)#access-list 120 den

26、y tcp any any eq 138R2(config)#access-list 120 deny tcp any any eq 139R2(config)#access-list 120 deny tcp any any eq 389R2(config)#access-list 120 deny tcp any any eq 445R2(config)#access-list 120 deny tcp any any eq 4444R2(config)#access-list 120 deny udp any any eq 69 R2(config)#access-list 120 de

27、ny udp any any eq 135R2(config)#access-list 120 deny udp any any eq 136R2(config)#access-list 120 deny udp any any eq 137R2(config)#access-list 120 deny udp any any eq 138R2(config)#access-list 120 deny udp any any eq 13916R2(config)#access-list 120 deny udp any any eq snmpR2(config)#access-list 120

28、 deny udp any any eq 389R2(config)#access-list 120 deny udp any any eq 445R2(config)#access-list 120 deny udp any any eq 1434R2(config)#access-list 120 deny udp any any eq 1433R2(config)#access-list 120 permit ip any anyR2(config)#int f0/0R2(config-if)#ip access-group 120 in2(config-if)#endR2#writeB

29、uilding configuration.OK如果需要删除规则:(config)#no access-list 120查看规则可以:R2#show running-config4.1.3 交换机配置概述:交换机只做监控使用,因此只设置远程管理权限。(1)主交换机端口分配:机柜和调试室使用端口 14-22 分给机柜,23-24 备用;领导网络端口分配:1-4,5-6 备用;行政和技术部端口分配:7,8 备用;业务部和前台端口分配:9,10 备用;无线路由端口分配:11,12 备用;(2)交换机权限配置:S1enS1#confS1 (config)#interface vlan 1S1 (con

30、fig-if)#ip add 192.168.1.2 255.0.0.0S1 (config-if)#no shutS1 (config-if)#exitS1 (config)#enable secret cisco17S1 (config)#line vty 0 4S1 (config-line)#password ciscoS1 (config-line)#endS1#wBuilding configuration.OKS2enS2#conf tS2 (config)#interface vlan 1S2 (config-if)#ip add 192.168.1.3 255.0.0.0S2

31、 (config-if)#no shutS2 (config-if)#exitS2 (config)#enable secret ciscoS2 (config)#line vty 0 4S2 (config-line)#password ciscoS2 (config-line)#endS1#wBuilding configuration.OKS3enS3#conf tS3 (config)#interface vlan 1S3 (config-if)#ip add 192.168.1.4 255.0.0.0S3 (config-if)#no shutS3 (config-if)#exitS

32、3 (config)#enable secret ciscoS3 (config)#line vty 0 4S3 (config-line)#password cisco18S3 (config-line)#endS3#wr4.1.4 金盾防火墙配置选用金盾防火墙的原因就是他具有防止 DDOS 攻击功能,可以限制局域网的 ip地址的速度。还有人性化的 web 图形管理界面。只允许访问 这个域名。在金盾防火墙白名单里允许该域名访问,并且禁止其它域名指向我们的 ip,这个是防止恶意指向,致使我们出现未备案被查情况的发生。将相应的节点限制速度即可,具体要求如下:总经理和总监办公室网速限制为 4M/

33、节点;技术部和调试室限制为 6M/节点;业务部和行政部限制为 2M/节点;Web 服务器限制为 40M;设置方法:选择主机列表选择所有主机然后找到特定 ip 设置流量和规则。(局域网的主机是防火墙自动识别的)4.2 服务器配置方案4.2.1 WEB 服务器采用 linux 操作系统,apache 服务,sql 数据库,asp 网站程序,并配置 FTP 用于上传文件,邮件服务器用于沟通。(1)系统技术工程师安装配置 apche、sql、asp 环境。(2)系统工程师安装配置邮件服务器 Sendmail。(3)系统技术工程师安装配置 ftp 服务器。(4)架设公司 web 网站,上传数据库文件。(

34、5)做好备份镜像办公系统服务器。4.2.2 OA 办公系统公司软件技术人员在 windows 2003 下架设 OA 系统,采用 sql 数据库。做好备份镜像办公系统服务器。4.2.3 存储服务器存储服务器主要存储公司主要的软件,备份公司重要文件和重要数据库,以及各员工的重要项目、进度文件。主要采取 FTP 实现上传和下载的功能。员工间进行隔离。19如果需要共享资料,只需要在自己的办公电脑上开启共享就好,不用存储服务器共享。5 项目测试与维护 网络测试和维护在每个办公区和每台服务器对外网(定为 )进行 ping 测试。在外网,ping 公司的网站域名,测试外网队内的访问的连通性。公司服务器网络

35、状态由网管随时检查,处理相关问题。公司办公网采取上报处理。网管必须优先保证公司 web的带宽。必要时可以占用办公带宽。 路由策略测试和维护 在内网和外网对路由器设置的相关规则进行测试。Ping 禁用的端口和除允许之外的域名。根据路由策略配置文档,在需要时进行删除增加策略的维护。 DHCP 功能测试开启局域网所有主机,全部开启 DHCP,然后对外 ping 能通则表示能获取到 ip。 无线网络测试将调试用的笔记本开启无线网卡,自动获取 ip,开是否获取 ip,是否能连上外网。无线傻瓜路由器自动获取的主机和路由器 dhcp 功能分配的地址是不一样。 服务器测试首先服务器试运行 3 天,检查机房温

36、度适度和防尘情况。其次在系统日记中查看和日常进系统观察系统的正常性。最后选择不同的时间段在服务器内 ping 外网和在外网 ping 服务器,查看是否有严重丢包和延迟过大的情况 硬件维护由于 IT 硬件随着时间的推移和网络的影响会经常出现一些故障,要保证网络畅通,是很有必要对硬件进行定时检查,测试。对于老化和问题设备要及时维修更换。206 总结通过这次毕业设计让我更加熟悉了从理论到实践的跨越,也发现在课本中学习到是不足以应付实际发生的问题,这也需要我们树立起不断学习,终身学习的概念。本论文是关于小型企业网络设计的,设计的过程中一部分用到了我们在学校里学的知识,像上文涉及到的综合布线问题,还有一

37、部分是用到了一些命令,像上文中的项目测试和维护,这些命令我们可以通过看相应设备的参考书,或者 cisco/h3c 教程可以实现的。本论文写到的一些命令就是通过教程中的解释,再根据实际情况配置而成。但是万事万物总会有自己的缺点,在我的论文中不乏有些错误和缺点,请老师指正21致 谢本论文是由我的导师肖东升的亲切关怀和悉心指导下完成的。他严肃的科学态度,严谨的治学精神,精益求精的工作作风,深深地感染和激励着我。从课题的选择到项目的最终完成,肖老师都始终给予我细心的指导和不懈的支持。两年多来,肖老师不仅在学业上给我以精心指导,同时还在思想、生活上给我以无微不至的关怀,在此谨向肖老师致以诚挚的谢意和崇高的敬意。22参考文献(1) (美)W.Richard Stevens.TCP/IP 详解卷 1:协议M.机械工业出版社.2000(2) (美)理查德,巴拉基,艾然.CCNP SWITCH 学习指南M.人民邮电出版社.2011(3) (美)冉杰贝,夏俊杰.CCNP ROUTE 学习指南M.人民邮电出版社.2011(4)陆锦军 计算机网络工程 中国铁道出版社(5)张国清 网络设备配置与调试项目实训 电子工业出版社

展开阅读全文
相关资源
猜你喜欢
相关搜索

当前位置:首页 > 企业管理 > 管理学资料

本站链接:文库   一言   我酷   合作

客服QQ:2549714901微博号:道客多多官方知乎号:道客多多

经营许可证编号: 粤ICP备2021046453号世界地图

道客多多©版权所有2020-2025营业执照举报