公司網(wǎng)絡(luò)組建設(shè)計(jì)與專項(xiàng)方案

企業(yè)網(wǎng)絡(luò)組建設(shè)計(jì)和方案一、需求分析1.1設(shè)計(jì)背景某企業(yè)規(guī)模比較大，第一棟大樓內(nèi)有技術(shù)部、銷售部、工程部、財(cái)務(wù)部上網(wǎng)機(jī)約200臺(tái)，第二棟大樓內(nèi)一樣有技術(shù)部、銷售部、工程部、財(cái)務(wù)部上網(wǎng)機(jī)約150臺(tái)樓宇位置A棟B棟樓宇間距離100米100米樓宇高度3層5層樓層分配分布在各個(gè)辦公室中，技術(shù)部80臺(tái)，銷售部50臺(tái)，工程部50臺(tái)，財(cái)務(wù)部20臺(tái)。分布在各個(gè)辦公室中，技術(shù)部60臺(tái)，銷售部40臺(tái)，工程部30臺(tái)，財(cái)務(wù)部20臺(tái)。。計(jì)算機(jī)數(shù)量200150設(shè)置部門技術(shù)部、銷售部、工程部、財(cái)務(wù)部技術(shù)部、銷售部、工程部、財(cái)務(wù)部1.2網(wǎng)絡(luò)功效依據(jù)企業(yè)現(xiàn)有規(guī)模，業(yè)務(wù)需要及發(fā)展范圍建立網(wǎng)絡(luò)有以下功效：a)、組建企業(yè)自己網(wǎng)站，可向外部公布消息，宣傳企業(yè)產(chǎn)品，推廣業(yè)務(wù)。b）、要求企業(yè)各部門之間在數(shù)據(jù)訪問時(shí)要相互獨(dú)立，有自己部門局域網(wǎng)，而且能夠訪問互聯(lián)網(wǎng)（財(cái)務(wù)部不許可介入外網(wǎng)）。c）、為了提升辦公效率，實(shí)現(xiàn)信息共享。企業(yè)建立內(nèi)網(wǎng)OA系統(tǒng)（辦公自動(dòng)化系統(tǒng)）。管理職員檔案，公布業(yè)務(wù)計(jì)劃，公布會(huì)議議程等。1.3可行性分析1.3.1技術(shù)可行性企業(yè)現(xiàn)有技術(shù)已經(jīng)完全含有了組建網(wǎng)絡(luò)條件，企業(yè)共有350臺(tái)計(jì)算機(jī)，聘有對(duì)應(yīng)網(wǎng)絡(luò)維護(hù)人員，從組建網(wǎng)絡(luò)技術(shù)上看：現(xiàn)在計(jì)算機(jī)網(wǎng)絡(luò)技術(shù)已經(jīng)相當(dāng)成熟，不管是何種情況，全部能夠很好處理。而且現(xiàn)在伴隨信息化社會(huì)不停發(fā)展，信息交流速度十分快速，假如企業(yè)還未實(shí)現(xiàn)信息化，那么企業(yè)發(fā)展將受到制約。所以組建局域網(wǎng)是十分必需。1.3.2資金可行性現(xiàn)在本企業(yè)含有很好市場(chǎng)前景，發(fā)展空間很大，企業(yè)發(fā)展速度也很快，組建網(wǎng)絡(luò)對(duì)企業(yè)目前經(jīng)濟(jì)來說，雖是不小一筆開支，且不是能很快實(shí)現(xiàn)增值，但基于企業(yè)所含有潛在實(shí)力，是有能力負(fù)擔(dān)，且從長(zhǎng)遠(yuǎn)看，這筆投入，會(huì)使企業(yè)發(fā)展速度愈加快，更具競(jìng)爭(zhēng)力，更具實(shí)力。二、網(wǎng)絡(luò)結(jié)構(gòu)設(shè)計(jì)2.1方案比較選擇從企業(yè)實(shí)際情況出發(fā)，對(duì)現(xiàn)有情況進(jìn)行分析，選擇適宜網(wǎng)絡(luò)速度方案。1）10Mbit/s以太網(wǎng)：基礎(chǔ)滿足現(xiàn)在需求。2）100Mbit/s快速以太網(wǎng)：滿足目前需求，且有相當(dāng)余量。（正選方案。）3）1000Mbit/s高速以太網(wǎng)：遠(yuǎn)遠(yuǎn)超出了應(yīng)用需求，現(xiàn)在不經(jīng)濟(jì)，代以后升級(jí)方案。2.2接入Internet方法，VLAN技術(shù)劃分首先要確定網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)，提議采取星狀結(jié)構(gòu)，其中100base-T星型結(jié)構(gòu)快速以太網(wǎng)是理想選擇，用雙絞線作為傳輸線纜，星狀總線網(wǎng)物理結(jié)構(gòu)采取星狀鏈接。邏輯結(jié)構(gòu)采取總線狀，采取IEEE802.3協(xié)議標(biāo)準(zhǔn)。網(wǎng)卡集線器和雙絞線應(yīng)采取100M，當(dāng)用戶擴(kuò)展過多時(shí)?？刹扇《询B式集線器。然后確定互聯(lián)方法，因?yàn)橛幸徊糠钟脩裟軌蚪尤隝nternet，另一部分不能夠，所以有兩種方法：a）分成兩個(gè)子網(wǎng)，各連接一個(gè)交換機(jī)，并連接到服務(wù)器不一樣網(wǎng)卡上，在服務(wù)器上設(shè)置一個(gè)網(wǎng)卡能夠連接internet,另一個(gè)不能夠internet服務(wù)器路由器internet服務(wù)器路由器網(wǎng)卡一網(wǎng)卡二交換機(jī)2交換機(jī)2交換機(jī)1PCnNPC1PCnNPC1b）、分成三個(gè)子網(wǎng)，全部連接到路由器上。在路由器上設(shè)置IP，其中其中兩個(gè)子網(wǎng)IP設(shè)置為內(nèi)部IP，不許可訪問internet(提議使用此方法，方便后期網(wǎng)絡(luò)拓展)許可訪問許可訪問IP1IP2IP3服務(wù)器服務(wù)器以太網(wǎng)交換機(jī)路由器以太網(wǎng)交換機(jī)路由器交換機(jī)1交換機(jī)2交換機(jī)3Internet交換機(jī)1交換機(jī)2交換機(jī)3InternetPCnPCnPC1PC1綜上，結(jié)合企業(yè)電腦分布，A樓有電腦200臺(tái)，分別提供給技術(shù)部，銷售部，工程部，財(cái)務(wù)部四個(gè)部門使用，B樓150臺(tái)電腦也一樣分配給四個(gè)部門，我們選擇星型連接結(jié)構(gòu)，利用其足夠靈活性，滿足系統(tǒng)不停發(fā)展時(shí)需求。在技術(shù)上采取路由器-交換機(jī)配置，路由器提供內(nèi)部和外網(wǎng)連接和VLAN（虛擬局域網(wǎng)）劃分，和防火墻和路由功效配置。所以，交換機(jī)一頭連接到路由器上，作為一個(gè)子網(wǎng)，另一頭連接子網(wǎng)中各臺(tái)終端，劃分多個(gè)子網(wǎng)，則從路由器連出幾臺(tái)交換機(jī)即可。2.3IP地址段劃分A,B兩座樓中電腦數(shù)350臺(tái)，大于組建最大局域網(wǎng)254臺(tái)，所以能夠組建一個(gè)350臺(tái)電腦中型局域網(wǎng)。采取路由器+中心交換機(jī)+交換機(jī)架構(gòu)，A樓中共200臺(tái)電腦，分別給四個(gè)部門使用，B樓電腦150臺(tái)，一樣是四個(gè)部門。能夠?qū)⑺膫€(gè)部門看做是一個(gè)子網(wǎng)，給每一個(gè)部門劃分一個(gè)vlan，各個(gè)部門 IP地址以下列表格：樓號(hào)技術(shù)部銷售部財(cái)務(wù)部工程部A棟~150~150~150~150B棟51~25351~25351~25351~253A,B樓中子網(wǎng)全部采取動(dòng)態(tài)分配IP地址方法獲取。再經(jīng)過路由器把各個(gè)樓層計(jì)算機(jī)集中起來，和防火墻相連，最終連接到Internet就能夠了。防火墻INTERNET2.4網(wǎng)絡(luò)連接拓?fù)鋱D 防火墻INTERNET101000出差人員VPN用戶端00出差人員VPN用戶端關(guān)鍵交換機(jī)關(guān)鍵交換機(jī)~技術(shù)部財(cái)務(wù)部銷售部工程部技術(shù)部財(cái)務(wù)部~技術(shù)部財(cái)務(wù)部銷售部工程部技術(shù)部財(cái)務(wù)部銷售部工程部51~51 51~512.5經(jīng)過公網(wǎng)實(shí)現(xiàn)公布企業(yè)網(wǎng)站a）明確網(wǎng)站內(nèi)網(wǎng)訪問地址端口，確保網(wǎng)站服務(wù)正常，在內(nèi)網(wǎng)可正常訪問鏈接。如我內(nèi)網(wǎng)網(wǎng)站訪問地址是00：80.如當(dāng)?shù)仄髽I(yè)IP端口被封，能夠更換網(wǎng)站端口，或使用net123映射穿透處理。b)路由器端口映射，路由器映射網(wǎng)站訪問端口，因?yàn)楣W(wǎng)IP是在路由器上，外網(wǎng)訪問時(shí)，需要經(jīng)過路由器上做端口，將內(nèi)網(wǎng)網(wǎng)站訪問端口打通，路由器端口映射位置:轉(zhuǎn)發(fā)規(guī)則/虛擬服務(wù)器/添加許可外網(wǎng)訪問和協(xié)議，我端口號(hào)是80，我內(nèi)網(wǎng)對(duì)應(yīng)網(wǎng)站煮主機(jī)IP地址應(yīng)該是00：80。c)外網(wǎng)訪問時(shí)，使用固定公網(wǎng)IP因?yàn)槁酚煞峙涔潭üW(wǎng)IP10.我能夠直接經(jīng)過訪問這個(gè)固定公網(wǎng)IP，實(shí)現(xiàn)訪問網(wǎng)站。d)域名解析設(shè)置，用域名替換固定共公網(wǎng)IP，假如企業(yè)申請(qǐng)域名dns222.tk是在dnspod解析，登陸dnspod設(shè)置A統(tǒng)計(jì)，將www.dns222.tk域名設(shè)置為指向我網(wǎng)站服務(wù)器固定公網(wǎng)IP。e)用域名訪問網(wǎng)站，域名解析生效后，訪問域名即可訪問我網(wǎng)站，域名相對(duì)IP 更輕易記住，也能夠代表自己網(wǎng)站，提議使用自己獨(dú)享域名，更輕易增強(qiáng)影響力，2.6 VPN配置，實(shí)現(xiàn)在外人員對(duì)OA系統(tǒng)訪問（1）點(diǎn)擊任務(wù)欄“開始”“設(shè)置”“控制面板”，雙擊“網(wǎng)絡(luò)連接”，選擇創(chuàng)建一個(gè)新連接（2）“網(wǎng)絡(luò)連接類型”選擇“連接到我工作場(chǎng)所網(wǎng)站”(3）“網(wǎng)絡(luò)連接”選擇“虛擬專用網(wǎng)絡(luò)連接”(4）“VPN服務(wù)器連接”此處需要輸入VPN服務(wù)器域名或IP（5）在建立“虛擬專用網(wǎng)絡(luò)”屬性設(shè)置選擇“安全”。要求“取消數(shù)據(jù)加密，沒有就斷開”勾選框。(6)輸入用戶名和密碼，點(diǎn)擊連接進(jìn)行PPTP撥號(hào)，撥號(hào)成功就能夠直接訪問企業(yè)內(nèi)網(wǎng)OA服務(wù)器了。2.7硬件防火墻選購和設(shè)置（1）市場(chǎng)情況大多數(shù)企業(yè)在選擇防火墻時(shí)全部將注意力放在防火墻怎樣控制連接和防火墻支持多少種服務(wù)，但往往忽略了最關(guān)鍵這一點(diǎn)，防火墻也是網(wǎng)絡(luò)上主機(jī)之一，也可能存在安全問題，防火墻假如不能確保本身安全，則防火墻控制功效再強(qiáng)，也終究不能完全保護(hù)內(nèi)部網(wǎng)絡(luò)。談到防火墻安全性就不得提一下防火墻配置。防火墻配置有三種：Dual-homed方法、Screened-host方法和Screened-subnet方法。Dual-homed方法最簡(jiǎn)單。Dual-homedGateway放置在兩個(gè)網(wǎng)絡(luò)之間，這個(gè)Dual-homedGateway又稱為bastionhost。這種結(jié)組成本低，不過它有單點(diǎn)失敗問題。這種結(jié)構(gòu)沒有增加網(wǎng)絡(luò)安全自我防衛(wèi)能力，而它往往是受黑客攻而它往往是受黑客攻擊首選目標(biāo)，它自己一旦被攻破，整個(gè)網(wǎng)絡(luò)也就暴露了。Screened-host方法中Screeningrouter為保護(hù)Bastionhost

安全建立了一道屏障。它將全部進(jìn)入信息先送往Bastionhost，而且只接收來自Bastionhost數(shù)據(jù)作為出去數(shù)據(jù)。這種結(jié)構(gòu)依靠Screeningrouter和Bastionhost，只要有一個(gè)失敗，整個(gè)網(wǎng)絡(luò)就暴露了。

creened-subnet包含兩個(gè)Screeningrouter和兩個(gè)Bastionhost。在公共網(wǎng)絡(luò)和私有網(wǎng)絡(luò)之間組成了一個(gè)隔離網(wǎng)，稱之為"?；饏^(qū)"(DMZ，即DemilitarizedZone)，Bastionhost放置在"?；饏^(qū)"內(nèi)。這種結(jié)構(gòu)安全性好，只有當(dāng)兩個(gè)安全單元被破壞后，網(wǎng)絡(luò)才被暴露，不過成本也很昂貴。

(2)高效性

防火墻和代理服務(wù)器最大不一樣在于防火墻是專門為了保護(hù)網(wǎng)絡(luò)安全而設(shè)計(jì)，而一個(gè)好防火墻不僅應(yīng)該含有包含檢驗(yàn)、認(rèn)證、警告、統(tǒng)計(jì)功效，而且能夠?yàn)槭褂谜呖赡芘龅嚼Ь?，事先提出處理方案，如IP不足形成IP轉(zhuǎn)換問題，信息加密/解密問題，大企業(yè)要求能夠透過Internet集中管理問題等，這也是選擇防火墻時(shí)必需考慮問題。

(3)配置便利性

對(duì)于中國(guó)用戶來說，防火墻最好是含有漢字界面，既能支持命令行方法管理，又能支持GUI和集中式管理。

(4)可擴(kuò)展性

對(duì)于一個(gè)好防火墻系統(tǒng)而言，它規(guī)模和功效應(yīng)該能夠適應(yīng)網(wǎng)絡(luò)規(guī)模和安全策略改變。理想防火墻系統(tǒng)應(yīng)該是一個(gè)可隨意伸縮模塊化處理方案，包含從最基礎(chǔ)包過濾器到帶加密功效VPN型包過濾器。三、硬件及軟件清單品名規(guī)格單價(jià)數(shù)量備注ADSL租用網(wǎng)通線路30001條每十二個(gè)月服務(wù)器ProliantML370Xeon2.8GHz512MB196001路由器Vigor2100E(ADSL寬帶路由器)路由器類型:接入路由器固定廣域網(wǎng)接口:10Base-T*1固定局域網(wǎng)接口:10/100Base-T/TX*415001交換機(jī)一個(gè)擴(kuò)展插槽，能夠選配GBIC口用于服務(wù)器或光纖骨干連接背板帶寬(Gbps):8.8Gbps2700224口交換機(jī)華為3ComQuidway2116-SI-ENT-AC10Mbps/100Mbps1700224口網(wǎng)卡D-LinkDFE-690TXD網(wǎng)卡10/100MbpsPCI200400光纖12芯多模62.5室外非金屬防水光纜25/米400米雙絞線五類線300/包10包每包300米信息模塊TCL超五類免打線式RJ45信息模塊2145水晶頭RJ-451.5300防火墻聯(lián)想網(wǎng)御SmartV-100防火墻中小型防火墻/網(wǎng)絡(luò)吞吐量100Mpps/用戶數(shù)限制100250001個(gè)累計(jì)：159295元四、設(shè)計(jì)心得此次設(shè)計(jì)是基于一個(gè)企業(yè)局域網(wǎng)建立其中包含到VLAN劃分，IP地址分配，和要依據(jù)企業(yè)需要設(shè)計(jì)部分網(wǎng)絡(luò)功效，比如說將企業(yè)網(wǎng)站公布，和為在外職員提供便利，訪問內(nèi)網(wǎng)OA極大程度上實(shí)現(xiàn)了企業(yè)高效立即工作目標(biāo)?？倎碚f整個(gè)設(shè)計(jì)實(shí)現(xiàn)了