《中小型企业局域网 计算机网络专业毕业论文.doc》由会员分享,可在线阅读,更多相关《中小型企业局域网 计算机网络专业毕业论文.doc(27页珍藏版)》请在三一文库上搜索。
1、目 录前言3第一章 校园局域网概述41.1设计背景概述41.2现状分析5第二章 需求分析62.1企业描述62.2网络概况72.3 公司网络需求72.4解决方案82.5可行性分析9第三章 组网原则及技术选择103.1公司局域网组网的原则103.2网络组网技术选择103.3技术选型及说明11第四章 方案设计124.1整体设计124.2接入互联网的方式124.3 IP/VLAN 的划分134.4 公司网内网 NAT 实现15第五章 布线方案和设备选型185.1概述185.2性能要求195.3 具体布线实施方法205.4 系统施工说明21第六章 项目测试与维护226.1 网络测试和维护226.2 路由
2、策略测试和维护226.3 DHCP功能测试226.4 无线网络测试226.5服务器测试226.6硬件维护22第七章 网络安全247.1 网络安全分析247.2 安全防御24总结26参考文献27前 言 计算机网络技术的发展推动着人类社会进入信息时代,在未来,计算机网络技术使经济结构、就业方向等产生一系列的巨大变化,将成为推动社会生活、经济发展的灵魂。近年来,随着计算机技术的不断更新以及计算机网络技术在办公室以及中小型企业当中应用的日益普及,中小型局域网已成为必不可少的信息基础设施,已成为衡量企业水平与科研综合实力的一个重要标志,企业局域网指企业内计算机及附属设备互联运行的网络,是由计算机、网络技
3、术设备和软件等构成的为工作工具和管理服务的集成应用系统,并可通过与广域网的互联实现远距离信息交流和资源共享。企业局域网应为企业的工作、管理、日常办公、内外交流等各方面提供全面、切实的支持。北京创亿财富企业管理咨询有限公司的统一规划、统一管理,为“数字化办公”提供高可靠性的网络基础和高性能的服务在一个平台上,让整个公司的办公、科研、管理和服务工作都实现信息化和网络化。使管理层、员工和行政管理人员等都可以最方便地实现信息的交流、进行协同工作和资源共享。本论文根据北京创亿财富企业管理咨询有限公司当今的现状,根据各建筑物的分布情况和所拥有的网络设备几个方面进行了阐述。关键字:中小型企业局域网、资源共享
4、、应用管理、网络化、信息化第一章 公司局域网概述1.1设计背景概述 中小企业用户的局域网一般来说网络结构不太复杂,主机数量不太多,服务 器提供的服务相对较少。投入成本比较低,普及速度快。目前像 h3c、cisco 等 网络设备厂商专门开发针对中小企业的产品,使得网络投入成本降低。另外,由 于互联网的发展迅速,电子商务也随之迅速发展,无论什么企业还是个人都纷纷 在网络上寻找能给自己创造价值的信息和资源。尤其是企业想降低生产成本,各企业都知道了网络信息化提高了生产效率。因此也促进了网络产业的网站,尤其是中小企业网络。 目前我们还有一些公司,可以说是近半的工厂和中小企业还处在人工、机械 化阶段。尚不
5、能很快的向网络方面发展。所以建设中小企业规划和设计迫在眉急。 目前我们企业是从事网络这一行的,算网络产业中的中小型企业。2000 后兴起 的 idc 行业,专门从事主机租用、托管、虚拟主机业务的公司,在 2009 年工信 部整治后,各 IDC 企业租用电信的机房也开始慢慢改变向自建机房发展。我通过 网络工程拓扑设计、网络工程建设、综合布线、网络设备架设配置、机房建设 、服务器架设等方面详细阐述我对于企业网络规划和设计的看法。 企业网络建设有利于信息的快速传播,我们公司的员工,除掉机房技术人员 需要进出机房, 其它的都是使用企业网络局域网和 internet 网络相互传播消息, 例如:qq,ms
6、n 传达信息。速度快,效率高!另外企业邮局保证了企业间的对内 和对外的信息交流。并且局域网传输速度快,资料的传输不用再送来送去,直接 共享就可以了。效率高。另外企业 WEB 服务器使外面的客户能够很容易了解我们企业。而且每天网页商务通上来咨询的和购买产品的客户接连不断。所以网络对于我们的企业来说,是生存的根本!公司追求形象,所以在网络设计和布设方面要求特别高,要求绝对的合理化。另外合理的网络布局使我们企业办公场所环境优良,企业的网络化使得公司工作效率普遍较高,WEB 服务器和办公服务器的架设,使得公司对外宣传面扩大,提高了效益。同时网络化办公也使员工能够在网络上找到疑问的答案。网络使得 公司各
7、方面都得到了很快的发展。中小企业的网络规划、设计和维护越来越需要 标准化和规范化。1.2现状分析 中小企业网络主要是企业内部网络建设,包括企业内部计算机节点的分布与整个网络的物理线路连接合理布局,以及门户网站、电子商务平台的搭建。进入 21 世纪后我国的中小企业大都进入信息化和办公自动化或者半信息半自动化。网络能够提高整个企业的工作效率,加大市场宣传面,增加业务量。因此中小企 业网络将在 20 年内得到高速的发展。 1.2.1 中小企业网的发展 中小企业网是在 20 世纪末和 21 世纪初开始迅速发挥,网站数量猛增,企业信息化半信息化普及率在 80%以上。在未来的 20 年内,我国的中小企业势
8、必突飞猛进。 1.2.2 中小企业网发展特点 (1)用途广、投入大。(2)发展速度快,质量低。(3)标准化程度较低。(4)涉及专业面广,技术要求高。第二章 需求分析2.1 企业描述:2.1.1 公司背景: 本公司为模具制造公司,为了适应市场需求公司分别在唐山(总公司)、 秦皇岛、邢台建立了分支机构,各分公司的职能、部门大同小异。为适应现代网络 化的发展该公司分别为每个分公司新购一个办公楼层, 需要在目前简易装修的基 础上设计企业网络,并且与下面的再次装修基本同步进行,外网接入电信光纤。 分公司之间通过 VPN(虚拟专用网)建立连接,以便传递数据、资料、交流工作 经验。 公司职能描述如下: 财务
9、部 董事长 行政总监业务总监技术总监销售部管理部客服部公 关 部采购部 董事长单独 1 间办公室; 三个总监共三间办公室; 客服部 1 间办公室(客服主管在客服部办公) ; 公关部 1 间办公室(公关主管在公关部办公) ; 销售部 1 间办公室(销售主管在销售部办公) ; 采购部 1 间办公室(采购主管在采购部办公) ; 管理部 1 间办公室(管理主管在管理部办公) ; 财务部 1 间办公室(财务主管在财务部办公) ; 公司内设一个机房。一个信息技术操作室;22 网络概况: 在实际的应用中,仅靠网络地址来划分网络会有许多的问题,例如 A 类的 地址和 B 类的地址都包含有大量的主机,但是实际上
10、不可能将这么多的主机连接到一个单一的网络中,这样不仅会降低 Internet 地址的利用率,还会给网络的寻址和管理带来很大困难。解决这个问题的方法是在网络中引入子网,也就是将主机地址进一步划分成子网地址和主机地址,通过灵活定义子网的地址和位数,可以控制每个子网的规模。这样,主机属于子网,若干子网共享同一个 IP 网络地址。IP 网络外部不需要知道网络内部子网划分的细节,但 IP 网络内部各个子网独立寻址和管理。子网间通过跨子网的路由器当时连接,便于解决网络寻址、 降低网络流量和网络安全等问题。所以,除了由主机地址和网络类型决定的网络 地址之外,IP 协议这种由用户根据自己网络的实际需要而创建的
11、子网络。子网划分的方法是用 IP 地址的主机号字段中的前若干位作为“子网号字段”,后面剩下的仍为主机号字段。在划分子网时,TCP/IP 使用了子网掩码,子网掩码有两大功能:一是用来 区分 IP 地址中的网络号和主机号;二是将网络分割为多个子网。2 .3 公司需求: 1、名称机房调试室信息中心董事长室 总监室管理部客服部财务部销售部采购部接待总计节点数5个2个10个1个3个 3个 8个2个 12 个12 个1个59 个2、 服务器需求: Web 服务器、数据库服务器、VPN 服务器。3、网络需求。 WEB 需要至少 30M 的流量(上传下载速率:30*128kb,约为 3M/S) 。 数据库服务
12、器同上。 VPN 服务器,内网使用。 董事长办公室、总监办公室各独享 3M。布线必须不影响公司整个装修的美观。2.4 解决方案1、综合布线需求主要是价廉、合理、美观、标准。因此进行夹墙内、地板下、天花板上布线。 2、 网络设备主要放在机房和大厅个办公区域头部柜子内。 3、 机房内使用一个机柜(33U、1.6M),防尘地板,和空调。4、Web 和数据库服务器必须 7*24 不间断,使用 linux 操作系统架设 WEB 和 FTP。5、VPN 服务器和主要的网络设备放置机房机柜。VPN 服务器采用 windows 操作系统。主要为虚拟专用网。6、公司办公网上网使用 CICSO 路由器实现 DHC
13、P,调试室使用静态公网 IP 地址。25 可行性分析 通过对该企业写字楼的现场调查和需求分析后,对其可行性进行分析。技术上可行:该系统所需硬件设备,市场上销售且价格较低,操作系统采用 linux、Windows 系列操作系统,数据库采用 sql2003,这些软件已被大量应用,技术上都比较成熟。因此在技术上是可行的。 经济上可行:网络企业主要的是实现办公自动化和信息化。网络是网络企业发展的命脉和根本,没有网络该类型企业无法发展。因此,这项投入是企业必须的。因此经济上没有问题。管理上可行:整个公司的办公资料是通过办公服务器集中存储处理的,整个网络设备都是集中的机房并且具有专人进行维护。因此可以达到
14、了集中管理。管理上是可行的。综上所述,设计建设该网络项目在技术上、经济上、管理上都是可行的。第3章 组网原则及技术选择3.1 公司局域网组网的原则 中小企业局域网组网要遵循“依据需求、统筹规划、分步实施、成熟可靠”的原则。 1局域网的建设要充分考虑公司的需求,首先要满足管理需求,把方便管理作为公司局域网建设的初衷。 2公司局域网建设方案要符合公司长远发展目标。 3公司局域网建设方案的制订要具有可行性,同时又能满足前沿的先进技术。3.2网络组网技术选择目前,可用于小型企业局域网的组网技术有以太网、快速以太网、令牌环网、光纤分布式数据接口、异步传输模式。从网络应用、维护、安全和扩展方面而言,千兆位
15、以太网和ATM在实际应用中得到了广泛的采用。在本设计方案中选择使用千兆位以太网技术,主干为千兆网,10M/100M自适应或10M交换到桌面。3.2.1 技术方案设计 结构化布线设计应该满足相应的目标。满足公司主要工作的需求,且兼顾未来目标;布线系统设计遵从建筑与装修综合布线系统工程设计规范GB/T50311-2000的相关标准;布线系统采用国际标准建议的星型扩扑图结构;布线系统将支持语音、数据等综合信息的高质量传输,并适应各种不同类型不同厂商的电脑及网络产品;布线系统的信息出口采用RJ45插座;使用统一规格和接口设备,使任意信息点都能连接不同类型的终端设备。 网络规划设计是一个系统的建立和优化
16、的过程,建设网络的根本目的是资源共享与在线通信。要充分发挥投资网络的效益,需求设计成了网络规划设计中的重要内容,它提供了网络设计应到达的目标,并有助于设计者更好的理解网络应该具有的性能;结合公司的规模、各项需求和管理层、员工对工作的需要,公司基本的配套设施,确立一个性能较高的网络综合应用平台。应用系统中包括硬件需求和系统需求。硬件需求主要是对更方便的工作提供,为了更统一的管理和办公需要;系统需求主要是对网络操作系统的选择,目前优先选用Windows2000 Server、WindowsXP等系列的主流操作系统产品。公司局域网由多种完成不同功能的网络设备组成,包括路由器、交换机、Internet
17、接入设备、防火墙等以及各种服务器,如:网管服务器。公司内部采用共享或交换式以太网,同时采取相应的措施,确保通讯数据的安全、保密、系统安全、可靠。 根据公司的建筑物的分布,把公司局域网的主节点放置在网络中心,管理区和办公区的使用量相对较大,但销售区的使用量其次,所以采用的扩扑结构为星型,即以网络中心为核心,向其他区域辐射,建筑物之间使用多模光纤连接。3.3技术选型及说明技术特点 采用模块化星型拓扑结构,主干段相互独立,互不干扰,一旦网络出现故障,便于网络维护和扩充,对网络当中的其他用户不会产生影响。 光纤主干采用单模光缆,有利于千兆网及今后更高速率网络的升级。而且通过跳线的不同跳接,组网方式也十
18、分灵活。可以实现:(1)点对点网络。在两台计算机之间建立起高速通道。传输速率为几个Mbps至几百个Mbps。(2)逻辑星型网络。通过光纤网络设备建立起星型网络拓扑结构的快速以太网或ATM网。(3)环形网络。由光纤把信号再生器连接,形成环路,组成FDDI主干网。交换是在第二层进行,真正支持即插即用工作,无需人工干预。第四章 网络详细设计方案4.1 整体设计 根据之前的需求分析,整体设计要简单而且容易,全部采用星形设计,并且配置网络比较便捷,维护的时候更加方便。4.2接入互联网的方式 本方案最关键的设备是宽带路由器,处于小型企业局域网的核心。宽带路由器是针对小型企业应用的网关设备。它集成了路由、交
19、换、安全防火墙等功能于 一体,针对于小型企业用户简单而又实用的需求特点,价格远远低于用作网关的服务器和传统路由器,完全可以在应用中代替这些网关设备。宽带路由器一般特性:宽带路由器一般特性:广域网端口(WAN):标准是提供 1 个 10/100M 的自适应 WAN 端口。少数产品 甚至有 2 个 WAN 口。有两个WAN口的宽带路由器能接两路宽带,如两路512K 的 ADSL,或两条宽带运营商的LAN,这样的连接将成倍地接高接入的速率,实现接入的相互备份和负载均衡,使小企业局域网与外面网络的连接更稳健。共享 Internet 访问:所有局域网计算机可以通过地址翻译(NAT)共享一条 宽带线路连接
20、上互联网。 支持 LAN 接入:支持在使用以太网接入(FTTx+LAN)时,使用固定或动态的 IP 地址。 支持 DSL: 持在使用 ADSL 时, 使用固定或动态的 IP 地址 (PPPoE 拨号方式) 。 支持路由:静态和动态路由(RIP I,RIP II) 局域网端口(LAN):集成了 4 端口交换机,每个端口 10/100M 自适应。 DHCP 服务器:可以作为局域网的 DHCP 服务器为网内计算机提供 DHCP 服务。 DHCP(动态主机分配协议)可以给局域网中的计算机动态分配 IP 地址以及网关地址、DNS 服务器等信息。宽带路由器高级特性:虚拟服务器(DMZ):支持虚拟服务器设置
21、,既方便了 Internet 用户访问内 部开放的计算机,如对外的 www 服务器、Email 服务器等,又同时保障着本地网 络的安全。特殊应用支持:支持一些特殊的 Internet 应用,例如 QQ、网络游戏、视 频程序、音频程序、NetMeeting 等的使用。防火墙保护:利用 NAT 功能,可以监控所有来自 Internet 的包,过滤所有 对局域网内计算机的请求,过滤黑客软件对局域网 IP 地址和端口的扫描,以防止外来的恶意攻击。 访问控制:可以限制局域网用户对某些不良网站的访问,规避不必要的风险。日志记录:通过完整地记录局域网用户对 Internet 的访问,确保用户行为的可控性。日
22、志记录的内容,可以利用 Email 发送报表来查看。4.3 IP/VLAN 的划分4.3.1 确定公司网内网1)IP 地址的类型 2)考虑到公司以后的发展需要在申请的 IP 地址资源不足的情况下, 可以为公司网内网分配 RFC1918 中定义的非 Internet 连接的网络地址,也称为专用 Internet 地址。由 Internet 地址授权机构(IANA)控制的 IP 地址分配方案中,留出了三类网络地址,给不连到 Internet 上的专用网使用; 3)IANA 保证这些网络号不会分配给连到 Internet 上的任何网络,因此任何人都可以自由地选择这些网络地址作为自己的私有网络地址。在
23、申请的合法 IP 不足的情况下,公司网内网可以采用私有 IP 地址的网络地址分配方案,公司网外网、DMZ 区使用合法 IP 地址; 4.3.2 规划主交换机端口 VLAN 及网络设备 IP 根据原有的公司网络中的主交换机提供了到各模块二级交换机的连接,因此为主交换机的端口重新指定 VLAN 是规划整个内部网的关键。 4.3.3 规划虚拟局域网 IP 地址 本方案按模块划分虚拟局域网(VLAN),如销售部、采购部、财务部、管理部、客服部、信息中心、机房等。VLAN 成员可以不受地理位置的限制;VLAN 划 分分为两类,董事长、总监、调试室根据接入层交换机的端口划分为静态 VLAN 划分方式,为了
24、方便日后的维护管理,VLAN 与 IP 子网之间一般是一一对应的关 系;而销售部、采购部、财务部、管理部、客服部、信息中心、机房根据接入层交换机的端口划分为动态 VLAN 划分方式。使用 VPN 技术将分公司与主公司互联 成内网。 Vlan 的划分: 唐山驻地公司网: 董事长总监(VLAN2):192.168.1.3-192.168.1.6/28 调试室(VLAN3):192.168.1.7192.168.1.8/30 接待(VLAN4): 192.168.1.10/30 服务器(VLAN5):192.168.1.240192.168.1.242/29 秦皇岛驻地公司网: 经理总监(VLAN2
25、):192.168.2.3192.168.2.6/28 调试室(VLAN3):192.168.2.7192.168.2.8/30 接待(VLAN4): 192.168.2.10/30 服务器(VLAN5):192.168.2.240192.168.2.242/29 邢台驻地公司网: 经理总监(VLAN2):192.168.3.3192.168.3.6/28 调试室(VLAN3):192.168.3.7192.168.3.8/30 接待(VLAN4): 192.168.3.10/30服务器(VLAN5):192.168.3.240192.168.3.242/294.3.4规划公司网内网用户的 I
26、P 地址 公司针对公司高层领导比较集中、信息点位置相对固定的情况,本方案建议使用 静态 IP。这对于日后的管理、维护、故障排查非常重要,管理员可以根据 IP 地 址迅速确定主机所在位置。使用静态 IP,公司网用户与联接交换机的端口处于 同一 VLAN。为方便新的用户 IP 地址的分配,应做好现有用户 IP 地址的记录;而公司各部门分部相对比较分散,所以适合使用动态 IP,以便员工可以随时上网。使用 WCDMA 技术架构无线网络,使公司有无线网络供给员工随时上网络查资料。4.4 公司网内网 NAT 实现 当公司网的 IP/VLAN 规划基本完成后,要采用网络地址转换(NAT)技术,即通过 1 个
27、或几个外部 IP 地址来实现公司网内网用户访问 Internet。 本方案将使用软件来进行 NAT 转换。使用虚拟专用网(VPN)通过因特网建立一个临时的、安全的连接,是一条穿过混乱的公用网络的安全、稳定的隧道。虚拟专用网是对公司内部网的扩展。虚拟专用网可以帮助三个公司内部网建立可信的安全连接,并保证数据的安全传输。虚拟专用网可用于不断增长的移动用户的全球因特网接入,以实现安全连接;可用于实现校园网站之间安全通信的虚拟专用线路,用于经济有效地连接到安全外联网虚拟专用网。 4.4.1 VPN 技术原理 所谓VPN (Virtual Private Network, 虚拟专用网络) 是指将物理上分
28、布在不同地点的网络、主机通过Internet互联起来,并且提供安全的端到端的数据通信的一种广域网。在Internet上提供安全的端到端的数据通信需要许多的协议、技术支持,但其具体实现一般采用隧道技术, 将企业网的数据封装在隧道中进行传输。其中IPSec是目前采用较多的主流技术。IPSEC的工作原理 IPSEC的工作原理 IPSEC提供三种不同的形式来保护通过Internet来传送的私有数据。 (1) 认证 可以确定所接受的数据与所发送的数据是一致的, 同时可以确定申请发送者在实际上是真实发送者, 而不是伪装的。(2) 数据完整 保证数据从原发地到目的地的传送过程中没有任何不可检测的数据丢失与改
29、变。 (3) 机密性 使相应的接收者能获取发送的真正内容,而无意获取数据的接收者无法获知数据 的真正内容。在IPSEC由三个基本要素来提供以上三种保护形式: 认证协议头 (AH) 、安全加载封装(ESP) 和互联网密匙管理协议( IKMP) 。认证协议头和安全加载封装可以通过分开或组合使用来达到所希望的保护等级。认证协议头(AH) 是在所有数据包头加入一个数字签名。AH通过这个数字签名来对用户进行认证。同时AH 还能维持数据的完整性,因为在传输过程中无论多小的变化被加载, 数据包头的数字签名都能把它检测出来。不过由于AH不能加密数据包所加载的内容,因而它不保证任何的机密性。两个最普遍的AH标准
30、是MD5和SHA - 1, MD5使用最高到128位的密匙,而SHA - 1 通过最高到160位密匙提供更强的保护。安全加载封装( ESP)通过对数据包的全部数据和加载内容进行全加密来严格保证传输信息的机密性,这样可以避免其他用户通过监听来打开信息交换的内容,因为只有受信任的用户拥有密匙打开内容。ESP也能提供认证和维持数据的完整性。最主要的ESP标准是数据加密标准(DES),DES最高支持56位的密匙。由于ESP实际上加密所有的数据,因而它比AH需要更多的处理时间,从而导致性能下降。密匙管理包括密匙确定和密匙分发两个方面,最多需要四个密匙: AH 和ESP各两个发送和接收密匙。密匙管理包括手
31、工和自动两种方式,使用手工管理系统,密匙由管理站点确定然后分发到所有的远程用户。真实的密匙可以用随机数字生成器或简单的任意拼凑计算出来, 每一个密匙可以根据总公司的安全政策进行修改。使用自动管理系统, 可以动态地确定和分发密匙,也更加安全,能最大限度的发挥IPSEC的效用。IPSEC的实现方式IPSEC的实现方式 IPSEC的一个最基本的优点是它可以在路由器、防火墙,甚至是一般的主机和服务器上完全实现, 这为升级提供了很大的方便。同时ESP(安全加载封装)也通过两种模式(传送模式和隧道模式)在应用上提供了更多的弹性。传送模式通常当ESP在一台主机(客户机或服务器)上实现时使用,它利用原始明文I
32、P头, 并且只加密数据, 包括它的TCP 和UDP头。这种模式用于移动办公、家庭办公和总公司之间的连接。隧道模式被用在两端或是一端是VPN网关的架构中, 例如装有 IPSec的路由器或防火墙。使用了隧道模式, 防火墙内很多主机不需要安装IPSec 也能安全地通信。这些主机所生成的未加保护的数据包, 经过外网时,使用隧道模式进行传输。例如在图2中, 某分公司网络的主机A生成一个IP包,目的地址是 总公司网络中的主机B。这个包被发送到主机A 的网络边缘的VPN网关。VPN网关把所有出去的包过滤, 判断有哪些包需要进行IPSec的处理。如果这个从A到B的 包需要使用IPSec, VPN网关就进行IP
33、2Sec的处理,对该包进行封装,添加外层IP包头。这个外层包头的源地址是VPN网关,而目的地址可能是主机B 的网络边缘的VPN 网关。现在这个包被传送到主机B的VPN网关,中途的路由器只检查外层的IP包头。主机B网络的VPN网关会把外层IP包头除掉,把IP内层发送到主机B去。第五章 布线方案和设备选型 5.1逻辑布线方案方案的实施:布线主要采取外线进入公司机房然后星形对外布线,简单分布如下图: 公司是光纤接入,然后通过自己的路由器接到交换机,然后接分交换机 。5.2 设备要求及报价 选择需要的网络设备,首先要符合 CERNet、Internet 等国内、国际联网标准;其实要能 支持多种网络协议
34、,如 TCP/IP、IPX、DECnet 等常用网络协议,具有良好的可靠性、可扩充 性和可管理性;第三,价格在预算范围内,有良好的性能价格比;第四,应选择信誉高的网络产品公司的优质产品,其国内外有成功的使用经验,有良好的售后服务。 组成公司网的硬件主要有以下四类:一是网络服务器;二是网络工作站、三是网络适配 器,主要是交换机;四是连接线,主要是双绞线、光纤。 本方案主要交换网络设备如下:产品名称:路由器产品描述:路由器类型:宽带 路由器 路由器网管:中文 WEB 配置管理和监控支持 SNMPv1/v2 . 广域网接口:2 个 10/100M 自适应 RJ45 端口 局域网接口:4 个 10/1
35、00M 自适应 RJ45 端口。传输速率: 10/100/1000Mbps 防火墙功能:内置 端口结构:模块化 安全标准:彻底。ARP 防攻击防机器狗病毒 防内网攻击。 VPN 功能:是 Qos 功能:支持其他控制端口:标准 RS-232 异步串口 路由器网络协议: 静态路由, RIP(V1/V2), DHCP Relay , 最大 Flash 内存:8MB 最DRAM 内存:64MB核心交换机交换机类: 企业级交换机 传输速率:10Mbps/100Mbps/1 000Mbps 网络标准: IEEE 802.3,IEEE 802.3u,I 端口数量: 26 传输模式: 全双工/半双工自 适应
36、交换方式: 存储-转发 背板带宽: 32Gbps MAC 地址表: 16k 模块化插: 2 电源: 100 240VAC,50/60Hz( 内置 环境标准: 工作温度:0 50;工作湿度 尺寸(mm): 440*171.2*43二层交换机交换机类: SOHO 交换机 应用层级: 二层 传输速率: 10Mbps/100Mbps/1 000Mbps 。网络标准: IEEE802.3、 IEEE802.3u、I 网络协议:CSMA/CD 、端口结构:非模块化、 端口数量:26 、接口介质:10Base-T、3/4/5 类双绞线:10 、传输模式:支持全双工 、交换方式:存储-转发 、背板带宽:32G
37、bps、 包转发率:23.8Mpps MAC 地址表:8K 电源:100-240V AC 环境标准:工作温度:10-40、 芯室外多模光纤 (GYXS-4A1B) 服务器类型:机架式、 服务器级别:企业级服务器 、处理器类型:Intel Xeon E5530内存容量:2GB*3 内存类型:ECC DDR3 网络控制器:带有 TCP/IP 卸载引擎的 HP NC382i 服务器处理器主频:2.4GHz 存储控制:惠普智能阵列 P410i/256MB 控制器光纤熔接 超五类双绞线 4 对 超五类非屏蔽双绞线 24 根、配线架 多模光纤跳线 水晶头 5.3 金盾防火墙配置选用金盾防火墙的原因就是他具
38、有防止 DDOS 攻击功能,可以限制局域网的 ip 地址的速度。 还有人性化的 web 图形管理界面。只允许访问 这个域名。在金盾 防火墙白名单里允许该域名访问,并且禁止其它域名指向我们的 ip,这个是防 止恶意指向,致使我们出现未备案被查情况的发生。 将相应的节点限制速度即可,具体要求如下: 总经理和总监办公室网速限制为 4M/节点; 制造部和调试室限制为 6M/节点; 销售部、采购部和管理部限制为 2M/节点; Web 服务器限制为 40M; 设置方法:选择主机列表选择所有主机然后找到特定 ip 设置流量和规 则。 (局域网的主机是防火墙自动识别的)5.4 系统施工说明5.4.1服务器配
39、置方案 WEB 服务器:采用 linux 操作系统,apache 服务,mysql 数据库,php 网站程序,并配置 FTP 用于上传文件,邮件服务器用于沟通。(1)系统技术工程师安装配置 apche、mysql、php 环境。(2)系统工程师安装配置邮件服务器 Sendmail。(3)系统技术工程师安装配置 ftp 服务器。(4)架设公司 web 网站,上传数据库文件。(5)做好备份镜像办公系统服务器。5.4.2 OA 办公系统 公司软件技术人员在 windows 2003 下架设 OA 系统,采用 sql 2005 数据库。做 好备份镜像办公系统服务器。5.4.3 存储服务器 存储服务器主
40、要存储公司主要的软件,备份公司重要文件和重要数据库,以及各员工的重要项目、进度文件。主要采取FTP实现上传和下载的功能。员工间进行隔离。如果需要共享资料只需要自己的办公电脑上开启共享就好,不用存储服务器共享。 第六章 项目测试与维护6.1 网络测试和维护 在每个办公区和每台服务器对外网(定为 )进行 ping 测试。在外网,ping 公司的网站域名,测试外网队内的访问的连通性。公司服务器网络状态由网管随时检查,处理相关问题。公司办公网采取上报处理。网管必须优先保证公司 web 的带宽。必要时可以占用办公带宽。6.2 路由策略测试和维护 在内网和外网对路由器设置的相关规则进行测试Ping 禁用的
41、端口和除允许之 外的域名。根据路由策略配置文档,在需要时进行删除增加策略的维护。6.3 DHCP 功能测试 开启局域网所有主机,全部开启 DHCP,然后对外 ping 能通则表示能获取到 ip。6.4 无线网络测试 将调试用的笔记本开启无线网卡,自动获取 ip,开是否获取ip,是否能连上外网。无线傻瓜路由器自动获取的主机和路由器 dhcp 功能分配的地址是不一样。 6.5 服务器测试 首先服务器试运行 3 天,检查机房温度适度和防尘情况。其次在系统日记中查看和日常进系统观察系统的正常性。最后选择不同的时间段在服务器内 ping 外网和在外网 ping 服务器,查看是否有严重丢包和延迟过大的情
42、况 。6.6 硬件维护 由于 IT 硬件随着时间的推移和网络的影响会经常出现一些故障,要保证网络畅通,是很有必要对硬件进行定时检查、测试。对于老化和问题设备要及时维修更换。第七章 网络安全7.1 网络安全分析 计算机网络的发展使计算机应用更加广泛与深人,同时也使网络的安全问题日益突出和复杂。从理论上讲,一旦主机连接到网络上,它就面临来自网络上的安全威胁,这些威胁主要有:非授权访问、冒充合法用户、破坏数据完整性,干扰系统正常运行、特洛伊木马、线路窃听等。为了有效防御和抑制这些威胁,现在最常用的技术手段有:身份验证、访问控制、加密、防火墙等。上述是当今校园网普遍面临的安全隐患。对此,一套安全的防护
43、体系显得十分重要。 7.2 安全防御 根据以上分析。可以确定以下几个必须考虑的安全防护要点:安全隔离、监控运行、漏洞扫描、病毒防范等等。 1防火墙部署 防火墙是网络安全的屏障。一个防火墙(作为阻塞点、控制点)能极大地提高一个内部网络的安全性,并通过过滤不安全的服务而降低风险。在防火墙设置上我们按照以下原则配置来提高网络安全性: (1)根据企业网安全策略和安全目标,规划设置正确的安全过滤规则,严格禁止各类非法的访问。总体上遵从“不被允许的服务就是被禁止”的原则。 (2)在防火墙上建立内网计算机的IP地址和MAC地址的对应表,防止IP地址被盗用。 (3)将防火墙配置成过滤掉以内部网络地址进入路由器
44、的IP包,这样可以防范源地址假冒和源路由类型的攻击;过滤掉以非法IP地址离开内部网络的IP包,防止内部网络发起的对外攻击。(4)定期查看防火墙访问日志,及时发现各类威胁。2架设入侵监测系统(IDS) 架设一个入侵监测系统(IDS)是非常必要的,处于防火墙之后对网络活动进行实时检测,它们可以和你的防火墙和路由器配合工作。IDS扫描当前网络的活动,监视和记录网络的流量,根据定义好的规则来过滤从主机网卡到网线上的流量,提供实时报警。IDS是被动的,它监测你的网络上所有的数据包。其目的就是扑捉危险或有恶意动作的信息包。IDS能够帮助系统对付网络攻击,扩展了系统管理员的安全管理能力(包括安全审计、监视、
45、攻击识别和响应),提高了信息安全基础结构的完整性。 3漏洞扫描系统 采用先进的漏洞扫描系统定期进行安全检查,并根据检查结果提供详细可靠的安全性分析报告,为提高网络安全整体水平产生重要依据。 4部署网络版杀毒软件 最理想的状况是在整个局域网内杜绝病毒的感染、传播和发作,为了实现这 一点,应该在整个网络内可能感染和传播病毒的地方采取相应的防病毒手段。同时为了有效、快捷地实施和管理整个网络的防病毒体系,应能实现远程安装、智能升级、远程报警、集中管理、分布查杀等多种功能。 在公司网络中心配置一台高效的Windows2000服务器安装一个网络版杀毒软件系统中心,负责管理公司网内所有主机网点的计算机。在各
46、主机节点分别安装网络版杀毒软件的客户端。 安全防范体系的建立不是一劳永逸的,公司网络自身的情况不断变化,新的安全问题不断涌现,必须根据情况的变化和现有体系中暴露出的一些问题,不断对此体系进行及时的维护和更新,保证网络安全防范体系的良性发展,确保它的有效性和先进性。 总结 在本次毕业设计中,我首先要感谢的是我的指导老师,还有就是帮助我的同学,在他们身上我学会了很多东西。他们严谨、认真、逻辑思维清楚、负责的工作态度给我留下深刻印象。其次我要感谢我所在公司的实习朋友,他们的帮助让我有了充分的信心搞此次毕业设计;最后我要感谢我的爸爸妈妈,因为我每次回家,他们都鼓励我,让我有不放弃的勇气,使我能克服一切的网络规划与设计的困难。通过本次的毕业设计,让我又一次学到了许多的网 络知识,真是受益匪浅。在老师和同学的帮助下,使我得到了很大的提高,即使他们在做设计的情况下也帮我解决我在设计中出现的问题,并且给我提出了不少规划与设计的建议,同时使我更加的努力,所以在这样的情况下我的设计在不断的完善,并且使我对网络有了更深层的认识和了解。这次设计对我以后 的学习与工作起到了相当大的奠基作用,深深的感谢他们耐心的辅导!参考文献1.局域网组建与维护李保华主编