中小型企業(yè)的網絡設計

PAGE四川師范大學成都學院移動通信方向課程設計中小型企業(yè)網絡的設計學生姓名XX學號XXXXX所在學院通信工程學院專業(yè)名稱通信工程班級XXXXX指導教師XXX成績四川師范大學成都學院二○一五年六月四川師范大學成都學院課程設計報告PAGEPAGEIV課程設計任務書學生姓名XX學生學號XXX學生專業(yè)通信工程學生班級XXX指導教師XX職稱XX發(fā)題日期2015年4月1日完成日期2015年5月30日設計題目中小型企業(yè)網絡的設計設計目的：1、認識常見的網絡設備。2、了解交換機的工作原理及熟悉其相應配置。3、了解路由器的工作原理及熟悉其相應配置。4、熟悉常見的網絡協(xié)議。具體任務及要求：充分確定用戶需求，并根據(jù)需求繪制出網絡拓撲結構圖。2、為企業(yè)網絡配置VPN。3、根據(jù)企業(yè)部門劃分、配置相應的VLAN。4、配置互聯(lián)網網關，分配合理IP地址。課程設計進度安排：序號內容安排時間1分析題目，查找相關文獻資料。4.5-4.172根據(jù)課題做出需求分析、列出大綱。4.18-4.233列出可行性方案。4.24-4.304完成課題設計初稿。5.1-5.155修改完善論文，并作出總結。5.16-5.30課程設計參考文獻：[1]康瑞鋒：路由器與交換機使用配置教程，東南大學出版社，2008.2,P23-P32[2]袁家政：計算機網絡安全與應用技術，清華大學出版社，2002.6,P56-P59[3]劉曉輝、李劉軍：局域網組網技術大全，人民郵電出版社，2007.3,P43-P51指導教師簽字院長審核簽字

中小型企業(yè)網絡設計內容摘要：互聯(lián)網技術發(fā)展到現(xiàn)在已經相當成熟，當今互聯(lián)網已經成為全世界最大最全的信息中心，越來越多的人利用互聯(lián)網來解放他們的生活，他們利用互聯(lián)網來完成幾乎所有現(xiàn)實生活中的事物。本設計結合一家中小企業(yè)網絡的實際需求，通過對網絡架構組建方案的設計、基于安全的網絡配置方案設計、服務器架設方案設計、企業(yè)網絡高級服務設計等方面的仿真研究，詳盡的探討了對該網絡進行規(guī)劃設計時遇到的關鍵性問題，以及網絡相關的服務。該設計主要包括需求分析、拓撲結構設計、IP地址規(guī)劃方案設計、服務器架設和網絡安全設計等內容。關鍵詞：

網絡配置中小企業(yè)網絡安全Smallandmedium-sizedenterprisenetworkdesignAbstract：IthasbeenquitematureInternettechnologydevelopment,theInternethasbecometheworld'slargestmostcompleteinformationcenter,moreandmorepeopleusetheInternettoliberatetheirlives,theyusetheInternettofinishalmostallthethingsinreallife.Thisdesigncombinedwiththeactualneedsofasmallandmedium-sizedenterprisenetwork,bymeansofnetworkarchitectureconstructionschemeofthedesign,programdesignbasedonthesecurityofnetworkconfiguration,serverdesign,seniorenterprisenetworkservicedesignsimulation,detaileddiscussesonthenetworkplanninganddesignofkeyissues,andthenetworkrelatedservice.Thedesignmainlyincludestheneedsanalysis,topologydesign,IPaddressplanningdesign,designofserverandnetworksecurity,etc.Keywords：ThenetworkconfigurationSmallandmedium-sizedenterprisesNetworksecurity

目錄前言 11.需求分析 11.1公司部門概況 11.2網絡功能需求 11.3網絡性能需求 22.方案設計 22.1設計原則 22.2網絡規(guī)劃 22.3核心層建設 32.3.1核心層作用 32.3.2核心層網絡類型選擇 32.3.3核心層交換機選擇 32.3.4核心層升級方案 32.4接入層建設 32.5服務器系統(tǒng) 43.方案實施 53.1部署活動目錄服務，構建域環(huán)境 53.2部署DHCP服務，自動分配DHCP選項 53.3部署DNS服務，響應名字解析請求 53.4安裝Internet信息服務，部署WEB站點 63.5結合SMTP服務和POP3服務實現(xiàn)基本郵件功能 93.6部屬NNTP，實現(xiàn)聊天功能 113.7部署FTP服務，實現(xiàn)文件共享 133.8部屬分布式文件系統(tǒng) 133.9安裝CCProxy實現(xiàn)代理服務 163.10安裝路由和遠程訪問服務，部屬VPN服務 173.11安裝Internet驗證服務 183.12安裝WindowsMediaServices 203.13安裝WindowsMediaEncoders 204.網絡維護 214.1更新 214.2備份 214.3診斷 214.4安全 214.5磁盤整理 215結束語 21附錄 23附錄1：常見網絡拓撲結構： 23參考文獻 24PAGE23中小型企業(yè)網絡設計前言中小企業(yè)用戶的局域網一般來說網絡結構不太復雜，主機數(shù)量不太多，服務器提供的服務相對較少。投入成本比較低，普及速度快。目前像h3c、cisco等網絡設備廠商專門開發(fā)針對中小企業(yè)的產品，使得網絡投入成本降低。另外，由于互聯(lián)網的發(fā)展迅速，電子商務也隨之迅速發(fā)展，無論什么企業(yè)還是個人都紛紛在網絡上尋找能給自己創(chuàng)造價值的信息和資源。尤其是企業(yè)想降低生產成本，各企業(yè)都知道了網絡信息化提高了生產效率。因此也促進了網絡產業(yè)的網站，尤其是中小企業(yè)網絡。1.需求分析1.1公司部門概況假設在總公司在成都，兩個分公司設在德陽和綿陽。200個網絡節(jié)點分布在技術部、營銷部、財務部、決策部。1.2網絡功能需求共享公司的各種信息資料，發(fā)布公司內部刊物的電子版。實時傳遞行業(yè)政策、市場變化信息；轉載、摘編國際國內重大新聞信息。動態(tài)查詢產品的生產、銷售、庫存等實時數(shù)據(jù)和客戶、員工的檔案信息。發(fā)布電腦方面的文章以提高員工的計算機知識；發(fā)布相關業(yè)務培訓內容。以FTP方式提供大量應用軟件和實用工具，供內部員工下載使用。通過代理服務器使公司的計算機均能以低廉費用接入Internet。開通部門間、員工間的E-mail服務和論壇增強Intranet的娛樂性。1.3網絡性能需求經濟性實用性穩(wěn)定性安全性易管理性可擴展性2.方案設計2.1設計原則經濟性：用性價比較好的網絡及設備，以較低廉的投資獲取較高性能。

實用性：確保信息加速傳遞、提高工作效率，節(jié)約辦公費用。操作性：界面圖形化、操作按鈕化，辦公人員在簡單培訓后能熟練運用。

擴展性：新增的硬件設備能方便接入網絡；軟件便于更新、維護、升級。2.2網絡規(guī)劃局域網分為核心層、接入層、服務器群三個部分來設計拓撲結構如下：圖2-1拓撲結構2.3核心層建設2.3.1核心層作用核心交換機位于網絡中心，是整個局域網的靈魂。它對整個網絡的性能、可靠性起決定性作用。它連接各個物理子網；負責高速地對端到端設備進行數(shù)據(jù)包交換；控制VLAN間訪問；保證信息安全。2.3.2核心層網絡類型選擇作為主干網連接著服務器和樓層交換機，可局部采用千兆以太網。千兆以太網可提供1Gbps的通信帶寬，具有以太網簡易性，比其它類似速率的通信技術價格低廉。千兆以太網還能在當前以太網基礎上平滑過渡，這意味著現(xiàn)有的投資可以在合理的初始開銷上延續(xù)到千兆以太網，不需要對技術支持人員和用戶做重新培訓，無需另外配置協(xié)議、購買中間部件，具有一定的前瞻性。2.3.3核心層交換機選擇所選中心交換機首先要具有三層交換功能，能提供VLAN間的數(shù)據(jù)傳輸。其次要具有足夠數(shù)量高速網絡接口，提供高速交換帶寬和包轉發(fā)速率。具有多種信息管理和控制能力和QoS功能。2.3.4核心層升級方案購買新功能模塊，實現(xiàn)新的網絡功能；添加接口模塊數(shù)量，實現(xiàn)用戶和信息點的擴充；改用光纖，提高主干帶寬；提高主干帶寬、實現(xiàn)主干線路互備份；增加一臺三層交換機，采用多鏈路千兆以太網連接，消除單點故障。2.4接入層建設（1）接入層作用接入層交換機為樓層工作組級交換機，為每個用戶提供100Mbps以太接入端口，負責將用戶數(shù)據(jù)饋入網絡。它直接完成本地數(shù)據(jù)交換，將其它網段數(shù)據(jù)送到核心層。通過VLAN的合理劃分，方便用戶在網絡中移動，保證部門信息安全。（2）接入層網絡類型選擇在當今現(xiàn)有的高速局域網技術中，由于快速以太網（100BASE-T）性能優(yōu)良、價格低廉、升級和維護方便，通常都將它作為首選?？焖僖蕴W在過去廣泛接的10BASE-T以太網基礎之上，提供向100Mbps的平滑、連續(xù)性的網絡升級。（3）交換機的連接工作站少的部門只需一臺二層交換機，下聯(lián)用戶端上聯(lián)核心交換機。信息點分布密集的部門采用多臺交換機堆疊或者級聯(lián)。連接介質可以是光纖、雙絞線。（4）VLAN的劃分通過VLAN實現(xiàn)隔離和限制本地流量的功能：把工作內容相近的PC機、經常共享數(shù)據(jù)的信息點劃分在同一個VLAN中可以提高網絡效率；設定相應地訪問權限可以增強網絡安全。根據(jù)員工分布情況，二層交換機可以每個獨立構成一個VLAN，也可以多個構成一個VLAN。（5）交換機的選擇高端口密度支持VLAN劃分2.5服務器系統(tǒng)服務器系統(tǒng)的作用服務器群的主要功能是為客戶端提供各種網絡服務，包括：資源共享、Web服務器的連接服務器的連接位置可以很靈活，整個網絡用戶都公用的服務器直接連到核心交換機上，連接介質可以采用光纖或雙絞線。各個部門單獨使用的服務器可以連到部門交換機上，提供該部門的特定網絡服務。服務器軟件的選擇選用Windows的產品其優(yōu)點是：WindowsServer2003集成多種功能且對硬件要求不高，總體成本較低。工作站普遍使用Windows操作系統(tǒng)，服務器與客戶端兼容性更好。Windows服務器系統(tǒng)提供圖形化界面，減少配置和維護的工作量。服務功能及應用軟件如下表：表2-1服務功能及應用軟件功能軟件名字解析DNS服務IP選項自動配置DHCP服務資源共享分布式文件系統(tǒng)、Internet信息服務——FTP服務郵件收發(fā)Internet信息服務——SMTP服務；POP3瀏覽網頁Internet信息服務——網站聊天、論壇Internet信息服務——NNTP服務身份驗證活動目錄、證書服務、Internet驗證服務遠程訪問路由和遠程訪問組件代理、防火墻Ccproxy流媒體資源下載流媒體服務3.方案實施3.1部署活動目錄服務，構建域環(huán)境安裝目錄服務的同時安裝DNS服務確保名字解析的正確性圖3-1ActiveBirectery安裝3.2部署DHCP服務，自動分配DHCP選項配置DHCP選項(子網掩碼，默認網關、DNS服務器IP地址)。確認客戶端自動獲得正確的IP地址和DNS服務器IP地址后加入域。3.3部署DNS服務，響應名字解析請求建立正向AD集成區(qū)域圖3-2新建區(qū)域客戶端獲得正向自動更新圖3-3正向自動更新客戶端獲得反向自動更新圖3-4反向自動更新3.4安裝Internet信息服務，部署WEB站點主機頭實現(xiàn)一臺主機上運行多站點圖3-5DNS解析主機頭圖3-6測試CA在線,直接提交證書請求圖3-7提交證書Ca不在線或聯(lián)系不到，提交證書請求文本文件圖3-8提交證書過程圖3-9獲取并查看證書圖3-10安裝證書并配置啟用SSL客戶端計算機不信任頒發(fā)Web服務器證書的根CA，產生安全警報圖3-11測試下載根CA證書，導入客戶端計算機“受信任的根證書頒發(fā)機構”圖3-12把CA證書導入計算機3.5結合SMTP服務和POP3服務實現(xiàn)基本郵件功能SMTP服務器配置允許/拒絕某個IP使用SMTP發(fā)送電子郵件允許/拒絕某個IP使用該SMTP中繼電子郵件圖3-13SMTP服務器配置安裝POP3，添加郵箱，自動會創(chuàng)建登陸使用的關聯(lián)帳戶圖3-14關聯(lián)賬戶Outlook客戶端配置指向SMTP服務器，圖3-15指向服務器用從CA申請的用戶證書配置簽名圖3-16配置簽名用從CA申請的用戶證書配置加密圖3-17配置加密測試發(fā)送加密和簽名的郵件圖3-18發(fā)送加密和簽名的郵件接收加密和簽名的郵件圖3-19接受郵件發(fā)送給本域和其他域的郵件圖3-20發(fā)送郵件3.6部屬NNTP，實現(xiàn)聊天功能默認NNTP服務器上新建新聞組圖3-21新建新聞組OUTLOOK客戶端預定新聞組圖3-22預定新聞組OUTLOOK客戶端同步所有郵件圖3-23同步郵件測試圖3-24測試新聞組下載到本地圖3-25新聞組下載3.7部署FTP服務，實現(xiàn)文件共享新建FTP站點FTP服務器上對每個用戶啟用NTFS權限圖3-26啟用NTFS權限測試3.8部屬分布式文件系統(tǒng)新建根目錄文件夾，設置共享權限和NTFS權限圖3-27共享NTFS權限3.8.2新建根目錄，根目錄下新建鏈接，鏈接下新建目標圖3-28新建目標3.8.3配置鏈接屬性設置復制計劃（復制時間、復制優(yōu)先級）圖3-29設置復制計劃設置復制拓撲圖3-30設置復制拓撲活動目錄中發(fā)布DFS根目錄，用關鍵字在AD中搜索已發(fā)布DFS根目錄圖3-31搜索DFS根目錄3.9安裝CCProxy實現(xiàn)代理服務3.9.1設置CCProxy禁止員工工作時玩游戲、聊QQ圖3-32禁止玩游戲等根據(jù)用戶名、IP、MAC、設置限制最大連接數(shù)、帶寬、網站、可用時間圖3-33限制帶寬等客戶端設置IE代理圖3-34設置IE代理客戶端設置OUTLOOK代理圖3-35設置OUTLOOK代理3.10安裝路由和遠程訪問服務，部屬VPN服務把VPN服務器(RADIUS客戶端)改用RADIUS身份驗證，RADIUS記帳圖3-36改為RADIUS記賬設置記帳日志的屬性圖3-37設置記賬屬性3.11安裝Internet驗證服務添加RADIUS客戶端（VPN服務器），授權RADIUS服務器身份驗證圖3-38添加RADIUS客戶端管理多臺RADIUS客戶端上的遠程訪問策略的條件、權限、配置文件圖3-39管理多臺客戶端3.11.3對遠程訪問啟用IPSEC禁止PING圖3-40禁止PING禁用易被攻擊的端口圖3-41禁止端口確保TCP傳輸安全圖3-42TCP安全3.12安裝WindowsMediaServices圖3-43安裝3.13安裝WindowsMediaEncoders新建會話圖3-44新建會話測試圖3-45測試4.網絡維護4.1更新WEB頁面的版面、樣式、內容的更新；公司共享資料的更新；網絡教室、軟件下載內容的更新；聊天室及電子論壇的維護等工作由管理員進行。各種報表、數(shù)據(jù)庫更新，信息發(fā)布由各部門管理員從本地登錄服務器進行。4.2備份由于考慮最低投資，未采用磁帶機備份，而使用磁盤鏡像技術容錯，這樣不但得到完整的數(shù)據(jù)備份，而且還提高了系