《中小企业网设计 毕业论文.doc》由会员分享,可在线阅读,更多相关《中小企业网设计 毕业论文.doc(25页珍藏版)》请在三一文库上搜索。
1、 中小企业网设计摘要 当今企业通过internet接入,在整个公司实现数据快速传输,办公自动化,最终实现企业无纸化办公。企业拥有自己的ip地址和域名,在公司主机上建立网站,向外界宣传企业形象,公司各项业务活动及最新成果等。以ip电话的方式来节省企业大部分的长途话费,亦可通过ip网络来实现视频会议。整个公司需要一个运行可靠,费用合理的通信系统实现 telnet他,ftp服务,web服务,e-mail服务,防火墙功能等。 本文主要讨论了企业的内部局域网的建立并实现与internet连接的过程,以及在网络安全方面进行了研究。关键词 内部网 局域网 企业网AbstractInternet access
2、 todays enterprises, in the fast transfer of data across the company, office automation, and ultimately achieve business paperless office; enterprises have their own ip address and domain name, the company hosts a website, promote corporate image to the outside world, companies of all items and the
3、latest results, and other business activities; to ip phone companies a way to save most of the long-distance calls, the network can be achieved by ip video conference; the company needed a reliable and affordable communication system; achieve his telnet, ftp services, web services, e-mail services,
4、firewall functions. This paper discusses the establishment of the enterprises internal LAN and internet connection with the process of implementation; and in the network security aspects of the study. Keywords intranets LAN enterprisenets引言 本文主要研究某中小型企业网络的构建过程和安全防范措施,以及对网络安全方面的知识进行了详细的概述,讨论。 我们知道在网络
5、技术应用如此广泛的今天,企业以网络为办公平台来进行商业化的办公已经成为主流。网络的快速便捷,让企业的办公效率大大提高。而企业内部数据对于企业来讲是不能外流的,我们在构建企业网络的是,既要能让企业与外界进行快速的通信,又要保证企业内部数据与消息的安全,所以网络安全对于当今的企业来讲是非常重要的。 但随着网络技术的不断发展,黑客技术,病毒技术也在不断的进步,这对企业网络的安全维护的技术要求也就在不断的提高。我们在构建企业网络时必须要让网络布局合理,能满足企业办公的合理化要求,还要运用先进的技术让网络高效运行,和维护网络的安全。目录第一章 功能需求分析51.1 企业内部网络组织构架51.2 预期目标
6、相对达到信息化办公5第二章 企业网设计方案概述62.1 设计目标62.2 设计原则62.2.1 先进性62.2.2 安全可靠性62.2.3 实用性62.2.4可扩展性62.2.5开放性6第三章 技术规划73.1 网络拓扑73.2 网络层次划分73.2.1 核心层73.2.2 汇聚层83.2.3 接入层83.3 子网划分网络IP83.4 虚拟交换技术93.5 端口trunk模式103.6 路由协议103.7 OSPF,IP地址,VLAN划分,TRUNK模式配置103.8 网络地址转换173.9 访问控制列表19第四章 软硬件选择、测试214.1 硬件选择214.2 软件系统结构214.4 维护2
7、34.4.1 禁用没用的服务、反病毒监控234.5 建立防火墙244.6 网络保密措施244.6.1 堵住服务器操作系统安全漏洞244.6.2 注意保护系统管理员的密码244.6.3 关闭不必要的服务24结束语25谢辞25参考文献25第一章 功能需求分析1.1 企业内部网络组织构架企业内部分为三个部门:财政部、工程部和人事部。企业内网建立了web服务器、ftp服务器和e-mail服务器, 使企业实现向外部发布信息和提供文件的下载传输服务,以及接收和发送邮件的功能。图-1 内网结构1.2 预期目标相对达到信息化办公 在企业网络内部,输入基本上用鼠标输入,可以用office等办公软件进行无纸化办公
8、,建立电子文件,输出用打印机完成。数据可以通过企业内部网络在各部门之间传输,方便快捷,而且发布信息便捷快速。第二章 企业网设计方案概述2.1 设计目标 建立企业内部局域网络及服务器并连接外网INTERNET,实现内网的连通且可以安全的访问外网。企业网内部通信级别要求禁止其它部门随意访问财务部。2.2 设计原则2.2.1 先进性系统的设计既要采用先进的概念、技术和方法,又要注意结构、设备、工具的相对成熟。不但能反映当今的先进水平,而且具有发展潜力,能保证在未来若干年内企业网络仍占领先地位。2.2.2 安全可靠性在考虑技术先进性和开放性的同时,还应从系统结构、技术措施、设备性能、系统管理、厂商技术
9、支持及维修能力等方面着手。确保系统运行的可靠性和稳定性,达到最大平均无故障时间。TP-LINK网络作为国内知名品牌、网络领导商,机器产品的可靠性及稳定性是一流的。2.2.3 实用性系统建设应该始终贯彻面向应用,注重实效的方针,坚持实用,经济性原则建设企业的网络系统。2.2.4可扩展性为了适应系统变化的要求,必须充分考虑以最简单的方法,最低的投资,实现系统的扩展和维护。采用可网管产品,降低了人力资源的费用,提高网络的实用性。2.2.5开放性网络体系应该能够随着技术的发展,留有一些设备冗余和空间冗余。第三章 技术规划3.1 网络拓扑图-2 企业网络拓扑结构3.2 网络层次划分3.2.1 核心层核心
10、层主要承担高速数据交换功能。核心层将多个汇聚层连接起来,为汇聚层的网络提供高速分组转发,实现与主干网络连接提供宽带Ip数据出口,为用户访问INTETNET提供路由服务。3.2.2 汇聚层 汇聚层主要承担路由与流量汇聚的功能。汇聚层处于核心层的边缘,它的主要功能是汇聚接入层的用户流量,进行数据分组传输的汇聚,转发与交换。根据接入层的用户流量,进行本地路由、过滤、流量均衡以及安全控制等。3.2.3 接入层接入层主要承担用户接入与本地流量控制的功能。它通过各种接入技术,连接最终用户,为它所覆盖的范围内的用户提供访问INTERNET以及其它服务。 核心层 汇聚层 接入层图-3 层次3.3 子网划分网络
11、IP表-1 端口及IP地址表设备VLAN或interfaceIP地址子网掩码三层交换机(左上)vlan70f0/1f0/2f0/3f0/4f0/7192.168.70.1/24trunk192.168.1.2192.168.7.1192.168.4.1192.168.3.2255.255.255.0255.255.255.0255.255.255.0255.255.255.0255.255.255.0三层交换机(左下)Vlan10Vlan20Vlan30F0/1F0/2F0/3f0/4f0/6f0/9trunktrunktrunktrunktrunktrunk192.168.4.2192.16
12、8.8.2192.168.9.1255.255.255.0255.255.255.0255.255.255.0255.255.255.0255.255.255.0255.255.255.0255.255.255.0255.255.255.0255.255.255.0三层交换机(右上)f0/1f0/3f0/5f0/7192.168.2.2192.168.8.1192.168.5.1192.168.3.1255.255.255.0255.255.255.0255.255.255.0255.255.255.0三层交换机(右下)Vlan10Vlan20Vlan30F0/1F0/2F0/3F0/5F0/
13、6192.168.10.1192.168.20.1192.168.30.1trunktrunktrunk192.168.5.2192.168.7.2255.255.255.0255.255.255.0255.255.255.0255.255.255.0255.255.255.0255.255.255.0255.255.255.0255.255.255.0接入层交换机Vlan10 vlan20 Van30无无出口路由器(右)f0/1f0/0202.198.196.2192.168.2.1255.255.255.252255.255.255.0出口路由器(左)f0/0f0/1192.1681.1
14、202.198.196.1255.255.255.0 255.255.255.252Web服务器无 192.168.70.2255.255.255.0ftp服务器无 202.198.70.3255.255.255.0e-mail服务器无192.168.70.4255.255.255.03.4 虚拟交换技术 近年来,随着交换是局域网技术的飞速发展,交换式局域网逐渐取代传统共享介质局域网。交换技术的发展为虚拟局域网的实现提供了技术基础。 虚拟交换技术建立在交换技术的基础上。如果将局域网上的结点按工作性质与需要划分成若干个“逻辑工作组”则一个了逻辑工作组就是用虚拟交换技术建立的虚拟网络。 在传统的局
15、域网中,通常一个工作组是在同一个网段上。多个工作组之间通过实现互连的网桥或路由器交换数据。当一个工作组中的结点要转移到另一个工作组,就需要将结点计算机从一个网段撤出,连接到另一个网段上,甚至需要重新布线。因此,工作组的组成收到结点所在物理位置的限制。 虚拟局域网建立在局域网交换机的基础上,它以软件方式实现逻辑工作组的划分与管理工作组不受物理位置的限制。相同工作组的成员不一定连接在相同的物理网段,它们可以连接在相同的交换机上,也可以连接在不同的交换机上。只要这些交换机互连即可。当结点从一个工作组转移到另一个工作组时,只需要简单地通过软件设定,而无需改变在网络中的物理位置。 本网络的设计采用虚拟交
16、换技术,按部门划分子网。表-2 子网划分场所所属子网人事部vlan10工程部vlan20财务部vlan30服务器Vlan703.5 端口trunk模式为了满足不同子网之间的通信,须将交换机上的某些公共端口通信模式改成Trunk模式。3.6 路由协议 为了保证网络的正常通信,还需要在路由器和交换机上配置路由协议。本文给网络设备配置的是动态路由OSPF协议。3.7 OSPF,IP地址,VLAN划分,TRUNK模式配置三层交换机(左上)三层交换机(右上)三层交换机(左下)三层交换机(右下)出口路由器(左)出口路由器(右)图-4配置过程3.8 网络地址转换 目前IPv4地址资源非常稀缺,不可能给园区网
17、内部的所有工作站都分配一个公有(Internet)IP地址。为了满足所有工作站访问INTERENT的需要,必须使用网络地址转换(NAT)技术。 NAT技术的实质是改写原IP地址的技术,即将原来Internet不可路由的IP地址(也常被称为私有网IP)转换为INTERNET可路由的IP地址(也常被为公网IP),为web服务器做NAT。NAT配置过程如下:出口路由器(右上)出口路由器(左上)图-6网络地址转换配置3.9 访问控制列表根据公司内部办公需要,要求其它部门不能随意和财务部随便通信。因此我们采用在汇聚层交换机上配置访问控制列表来实现。配置命令如下:配置访问控制列表(右下三层)配置访问控制列
18、表(左下三层):图-7访问控制列表配置第四章 软硬件选择、测试4.1 硬件选择在企业网络的接入层我们采用思科的为2950-24的二层交换机来接入各子网的客户机,汇聚层采用思科型号为3560-24PS的三层交换机来汇聚接入层各子网的流量,核心层采用思科型号为1841的路由器来连接外网,进行NAT地址转换。4.2 软件系统结构服务器安装Windows2003操作系统,并在Windows2003 下安装DNS服务器,FTP服务器,Email服务器,Web服务器。客户机采用Windows XP操作系统。4.3 通信测试图-8通信测试1(财务部和其他部门不能通信)图-9通信测试2(其他部门之间可通信)4
19、.4 维护4.4.1 禁用没用的服务、反病毒监控在Windows2003的服务中是这么解释的:“允许远程用户登录到系统并且使用命令运行控制台程序。”建议禁止该服务。 Windows还有许多服务,在此不做过多地介绍。可以根据自己的实际情况禁止某些服务。禁用不必要的服务,可以减少安全隐患。 Microsoft公司时不时就会在网上免费提供一些补丁。选择打补丁,除了可以增强兼容性外,更重要的是堵上已发现的安全漏洞。 选择国产反病毒软件,用反病毒软件的根本目的是防病毒。另外,安装反病毒软件后必须对其进行必要的设置和时刻开启反病毒监控。这样才能发挥其最大的威力。4.5 建立防火墙为了保证企业内网的安全我们
20、采用在网络出口处布置防火墙,并制定一些安全访问的规则。当符合规则时,防火墙认为访问是安全的,可以接受访问请求。当防火墙认为访问是不安全的,不能被接受,防火墙将屏蔽外部的连接请求。图-10防火墙4.6 网络保密措施4.6.1 堵住服务器操作系统安全漏洞 任何网络操作系统的安全性都是相对的,无论是UNIX还是NT都存在安全漏洞。他们的站点会不定期发布系统补丁,系统管理员应该定期下载,及时堵住系统漏洞。4.6.2 注意保护系统管理员的密码 用户名和密码应当设置合理,口令应大小写混合,最好加上特殊字符和数字,至少不能少于16位,同时应定期修改; 口令不得以明文方式存在系统中; 建立账号锁定机制,当同一
21、账号的密码校验错误若干次时,自动断开连接并锁定改账号。4.6.3 关闭不必要的服务 开放缺乏安全保障的埠。很多黑客攻击程序是针对特定服务和特定服务埠的。常用的服务埠有:WEB:80,SMTP:25,POP3:110,可以根据情况选择关闭。比较危险(很可能存在系统漏洞)的服务端口:TELNET:23,FINGER:79,建议关闭掉。结束语中小型企业Intranet建设不仅需要一个良好科学的规划设计、技术分析和实施维护过程,而且需要企业领导的重视和参与,这样才能将Intranet技术与中小型企业的计算机应用、相结合,使企业能够高效运行。 过中小型企业的Intranet,实现高效灵活、使用方便、功能
22、先进的办公自动化系统。此办公自动化系统,不仅可以为企业决策机关提高工作效率、提高重要的技术基础,有助于不同部门之间、不同区域之间的信息交流,同时可以使世界各国更好地了解企业,加强企业与世界的交流。 迅速发展的Internet正在对整个世界的信息产业带来巨大的变革和深远的影响。国内越来越多的企业、国家单位也已经或正在考虑使用Internet/Intranet技术,以建设其规范化的信息处理系统。谢辞在此对曾经给过我们意见和帮助的老师同学表示感谢。参考文献网络互连技术 主编:张宝通 安志远 中国水利水电出版社网络安全管理与维护 主编:付忠勇 清华大学出版社网络综合项目试验指导书 主编:张国清 电子工业出版社计算机四级网络工程师 主编:计算机教育中心 高等教育出版社24