公司网络规划

1、网络规划模板姓名：xxxxx学号：xxxxx班级：xxxxx日期：2011/6/14目录1.需求分析报告31.1概述31.1.1公司状况31.1.2网络拓扑结构31.2需求分析41.2.1网络需求分析41.2.2设备需求分析51.2.3操作及应用系统需求分析51.2.4AD域需求分析62.IP地址规划62.1概述62.2子网划分72.2.1一级子网划分72.2.2二级子网划分73拓扑图规划设计83.1概述83.2拓扑图设计94操作及应用系统选型与配置94.1概述94.2操作及应用系统选型104.3操作及应用系统配置115设备需求报告115.1概述115.2设备需求125.2.1核心层125.2

2、.2汇聚层135.2.3接入层146AD域规划方案156.1AD域创建156.1.1创建主域156.1.2创建子域176.1.3创建组织单元186.1.4创建用户196.2组策略创建206.2.1安全管理206.2.2软件指派206.2.3软件限制216.2.4打印机共享限制236.2.5储存设备限制256.2.6文件访问限制266.3禁止外来人员使用网络277总结281. 需求分析报告1.1概述随着网络的普及，网络需求越来越重要，公司的发展，员工也不断增加，员工对网络的需求也越来越大，网络的应用能够使得工作更加方便和快捷，为了能够有效管理员工的网络应用，在不损害公司利益的情况下使用网络，也为

3、了能够使电信设备工程服务公司的工作更快捷，提高工作效率，进行规划，规划包括IP地址的规划，拓扑图规划，设备的选型和配置和ad域的搭建等。1.1.1公司状况广东省电信工程服务有限公司成立于1950年，是一家拥有近60年历史的国内大型通信施工企业，是中国通信服务股份有限公司旗下广东省通信产业服务有限公司的专业子公司。成立以来，公司一直是中国通信建设行业的排头兵，也是中国通信建设史上多项纪录的缔造者：全国第一条长途数字微波、通信光缆传输系统和光纤传输系统，第一个分组交换网和移动通信网的主要施工单位。经过多年的沉淀，公司已成为一家专业齐全、技术雄厚、装备精良、管理先进的大型现代化企业，是中国最具实力的

4、通信网络服务商之一。1.1.2网络拓扑结构公司共有4个部门：高级管理层、生产部、采购部、工程部表1 公司状况表部门人群人数（人）楼层数（层）高级管理层高级管理层502工程部主管、一般员工5005采购部主管、一般员工10005生产部主管、一般员工200051.2需求分析1.2.1网络需求分析现在互联网发展日渐加速，网络病毒泛滥，用户网络行为很难控制，公司部门管理无序，管理员每天的工作都忙于维护机器，导致整个公司办公效率非常低下。所以公司要求规划一个完整的网络结构，首先要确保有一个高效和安全的网络环境，设备先进，管理到位，包括IP地址的分配，确保每个员工使用的计算机终端有规定的IP，不会引起IP冲

5、突，同时需要规划出整个公司的设备要求以及选型，具体画出公司的网络结构拓扑图，以及操作系统和应用系统的选型和配置。需要搭建一个完整的AD域，实现集中管理，杜绝以上问题的产生。为员工创建一个高效和统一性的网络环境。1.2.2设备需求分析公司分4个部门，总共使用网络人数高达3500多人，网络流量和网络速度需求大，所以首先公司需要一个100/1000Mbps光钎以太网网络接入口，再配备一些高性能的交换机和路由器等网络设备，为每一个部门每一个楼层配备网络打印机，方便公司员工使用打印机。对设备的需求，也就是对交换机和路由器等网络设备的需求，需要设备能够提供稳定，安全的交换服务，并且能够实施ACL控制的技术

6、，虽然高性能的中心交换机比比皆是，但并不意味着必须购买最好的设备，而应当购买自己所需要的设备。应该选择那些能够满足网络应用需要的，除此之外，还要考虑公司的圹大，网络需求的扩展，所以选择设备的时候要考虑设备的扩展性。除了满足现有需求外，还应当在技术、性能和扩展性等方面适当超前，以适应未来的发展。中心交换机的扩展能力和性能应当略大于未来几年内网络应用和扩展的要求。1.2.3操作及应用系统需求分析操作系统需求：由于WINDOWS操作系统是主流，其操作界面简单，广大员工都能使用，对办公软件有很好的相容性，方便员工日常工作使用，提高办公效率，故此网管员需要采购WINDOWS操作系统来管理公司局域网。因为

7、各部门员工和主管都较熟悉该操作系统，如果以创建AD域的方式来实施管理整个公司的终端的方法，会更好支教员工如何使用域登录的方法来使用电脑等设备。应用系统需求：公司主要接洽网络服务业务，用到的应用系统要提供公司的日常运作的功能，包括电子文档的编辑修改功能，报表的生产，所以需要采购office系统，其中最为重要的是客户信息的管理，公司计算机终端日常维护功能，公司内部邮件服务、管理功能，存储服务功能。企业与企业之间的电子商务将是电子商务业务的主体，电子商务在供货、库存、运输、信息流通等方面大大提高企业的效率。企业和企业之间的交易是通过引入电子商务能够产生大量效益的地方。对于一个处于流通领域的商贸企业来

8、说，由于它没有生产环节，电子商务活动几乎覆盖了整个企业的经营管理活动，是利用电子商务最多的企业。通过电子商务，商贸企业可以更及时、准确地获取消费者信息，从而准确定货、减少库存，并通过网络促进销售，以提高效率、降低成本，获取更大的利益。因此还要应用到企业应用系统(B to B)1.2.4AD域需求分析根据该公司网络拓扑结构图分析，要创建一个主域和3个子域。其中主域拥有管理权限，其他子域只有最基本的权限，域中计算机之间的资源互访，而且确保整个域中的计算机和用户能安全高效的进行日常应用，域包能正常发布软件，限制软件等组策略管理。具体要求如下：（1）管理权限在管理层，分派部分权限（2）管理权限对林中的

9、子域和所有计算机用户进行管理（3）创建，规划活动目录结构（4）通过组策略管理用户和计算机（5）维护好活动目录的复制和活动目录数据库组策略需求：（1）实现组策略管理企业网络安全（2）实现使用GPO应用软件发布（3）实现使用GPO应用软件限制（4）实现使用网络打印机的限制（5）实现使用存储设备的限制2. IP地址规划2.1概述在IP地址规划时， IP地址包括公网和专用（私有）两种类型，公网IP地址又称为可全局路由的IP地址，是在Internet中使用的IP地址，这里是/20这个IP地址，专用（私有）IP地址是企业用于内部的计算机的IP地址，在这里我们要求划分的是专用（私有）I

10、P地址。 如果根据网络中计算机的数量来决定需采用的IP地址，这个方案肯定是行不通的。因为这样做会受到将来网络状况变化的限制，使用人群的增多，整个网络就可能因为选取的IP地址不合适而导致重新设计。要考虑到将来的网络情况，同时要注重它的通用性及其稳定性。 其次，就是IP地址的分配方式了。企业的服务器操作系统采用的是Windows NT/2000/2003 Server系统， 客户器采用Windows 98/me/2000/XP系统；Windows为TCP/IP客户端提供了2种配置IP地址的方法，用于满足Windows用户对网络的不同需求。包括1、手工分配2、DHCP分配。 2.2子网划分2.2.1

11、一级子网划分IP地址为/20,一共分为四个部门，各部门人数与使用人群如表1所示生产部的IP地址段：/2154/21采购部的IP地址段：/2254/22工程部的IP地址段：/2254/22管理层的IP地址段：/2254/222.2.2二级子网划分工程部门下有分开为10个不同的小组，要对工程部下的小组进行二级子网的划分。即IP段/2254/22 ，划分为10个

12、小组，如下表所示：小组IP地址第一小组/263/26第二小组4/2627/26第三小组28/2691/26第四小组92/2654/26第五小组/263/26第六小组4/2627/26第七小组28/2691/26第八小组92/2654/26第九小组1

13、/263/26第十小组4/2627/263拓扑图规划设计3.1概述该网络的拓扑图规划有四个部门，分别是管理部门，生产部，采购部，工程部，管理部门是两层的楼房，其余的三个部门是五层的楼房，在每层有一个汇聚层的交换机，每层楼层都配置独立打印机，打印机只为该楼层服务。3.2拓扑图设计4操作及应用系统选型与配置4.1概述计划采用Windows的网络操作系统，这是全球最大的软件开发商Microsoft公司开发的。微软公司的Windows系统不仅在个人操作系统中占有绝对优势，它在网络操作系统中也是具有非常强劲的力量。这类

14、操作系统配置在整个局域网配置中是最常见的，但由于它对服务器的硬件要求较高，且稳定性能不是很高，所以微软的网络操作系统一般只是用在中低档服务器中，在局域网中，微软的网络操作系统主要有：Windows NT 4.0 Serve、Windows 2000 Server/Advance Server，以及最新的Windows 2003 Server/ Windows 2008 Server/Advance Server等，Windows的网络操作系统的最大的优点是可视界面操作，能够更方便网管人员的工作，而且兼容性较好。 4.2操作及应用系统选型一、服务器可以选择WINDOWS 2003 SERVER操

15、作系统，该系统提供域名服务DNS域名服务、WWW服务、FTP服务、E-mail服务。而员工的桌面操作系统可以选择WINDOWS XP。WINDOWS 2003 SERVE与WINDOWS XP有较高的相容性。Windows Server 2003还能为用户提供五大有价值的好处： 1、便于部署、管理和使用。熟悉的Windows界面，让Windows Server 2003的使用容易上手。有效的新向导简化了特定服务器角色的安装和日常服务器管理任务，即便是没有专职的系统管理员，也一样容易管理。2、安全的基础结构。Windows Server 2003使企业可以利用现有 IT投资的优势，并通过部署关键

16、功能，如Active Directory服务中的交叉林信任以及.NET Passport集成等，将这些优势扩展到合作伙伴、顾客和供应商。Active Directory中标识管理的范围跨越整个网络，有助于确保整个企业的安全。3、企业级可靠性、可用性、可伸缩性和性能。通过一连串的新功能和改进功能，包括内存镜像、热添加内存以及 Internet 信息服务（IIS）6.0 中的状态检测等，增强了可靠性。为了寻求更高的可用性，Microsoft 群集服务目前支持高达八节点的群集以及地理散布的节点，并支持从单处理器到 32 路系统的多种系统。4、采用新技术，降低了TCO。Windows Server 2

17、003提供许多技术，以帮助企业降低拥有总成本 (TCO)。例如，Windows资源管理器使管理员可以设置服务器应用程序的资源使用情况（处理器和内存），并通过组策略设置来管理。5、便于创建动态 Intranet 和 Internet Web 站点。IIS 6.0 是 Windows Server 2003 中内置的 Web 服务器，它提供增强的安全性和可靠的结构。该结构提供对应用程序的隔离，并极大地提高了性能。二、应用系统根据公司的需求分析来看，可以选择微软旗下的Microsoft office办公套件，包括Microsoft Word文档 、Microsoft Excel报表、 Microso

18、ft PowerPoint演绎文档、Microsoft Office Access数据库管理。4.3操作及应用系统配置操作系统：安装一个域需要计算机运行 Windows 2000 Server / Advanced Server / Datacenter Server ,Windows Server 2003 Standard / Enterprise / Datacenter等操作系统。其中该操作系统需要NTFS分区,而且磁盘空间不少于250MB，其次要安装好TCP/IP 协议(静态的IP地址)及 DNS(指向自己的IP地址)，适当的权限(管理员的身份)，确认计算机和名称原安装光盘

19、。应用系统：（1）各个部门使用officeOffice（全称：Microsoft Office），是一套由微软公司开发的办公软件，它为Microsoft Windows和Apple Macintosh操作系统而开发。与办公室应用程序一样，它包括联合的服务器和基于互联网的服务。（2）工程部需要用到Office VisioOffice Visio 2010 便于 IT 和商务专业人员就复杂信息、系统和流程进行可视化处理、分析和交流。使用具有专业外观的 Office Visio 2010 图表，可以促进对系统和流程的了解，深入了解复杂信息并利用这些知识做出更好的业务决策。（3）采购部需要用到数据库软

20、件Microsoft SQL Server 2008SQL是高级的非过程化编程语言，是沟通数据库服务器和客户端的重要工具，允许用户在高层数据结构上工作。它不要求用户指定对数据的存放方法，也不需要用户了解具体的数据存放方式，所以，具有完全不同底层结构的不同数据库系统，可以使用相同的SQL语言作为数据输入与管理。5设备需求报告5.1概述核心层：是所有流量的最终承受者和汇聚者，所以对核心层的设计以及网络设备的要求十分严格。核心层设备将占投资的主要部分。 核心层需要考虑冗余设计。汇聚层：主要是连接接入层节点和核心层中心。汇聚层设计为连接本地的逻辑中心，仍需要较高的性能和比较丰富的功能。接入层：用于直接

21、连接电脑，具有低成本和高端口密度特性。接入层交换机端口的input 指服务器向交换机端口发送的数据，即是服务器发送出去的数据。接入层交换机端口的output 指交换机端口向服务器传输的数据，即是服务器收到的数据。5.2设备需求5.2.1核心层核心层的功能主要是实现骨干网络之间的优化传输,骨干层设计任务的重点通常是冗余能力、可靠性和高速的传输。网络的控制功能最好尽量少在骨干层上实施。核心层一直被认为是所有流量的最终承受者和汇聚者，所以对核心层的设计以及网络设备的要求十分严格。核心层设备将占投资的主要部分。 核心层需要考虑冗余设计。根据公司的情况，信息交换量较大。5.2.2汇聚层汇聚层是楼群或小区

22、的信息汇聚点，是连接接入层和核心层的网络设备，为接入层提供数据的汇聚传输管理分发处理。汇聚层为接入层提供基于策略的连接，如地址合并，协议过滤,路由服务，认证管理等。通过网段划分(如VLAN)与网络隔离可以防止某些网段的问题蔓延和影响到核心层。汇聚层同时也可以提供接入层虚拟网之间的互连，控制和限制接入层对核心层的访问，保证核心层的安全和稳定。 汇聚层的功能主要是连接接入层节点和核心层中心。汇聚层设计为连接本地的逻辑中心，仍需要较高的性能和比较丰富的功能。根据公司情况，汇聚层采用思科三层交换机（WS-C3750G-24TS-E1U）5.2.3接入层接入层通常指网络中直接面向用户连接或访问的部分。接

23、入层目的是允许终端用户连接到网络，因此接入层交换机具有低成本和高端口密度特性。接入交换机是最常见的交换机，它直接与外网联系，使用最广泛，尤其是在一般办公室、小型机房和业务受理较为集中的业务部门、多媒体制作中心、网站管理中心等部门。在传输速度上，现代接入交换机大都提供多个具有10M/100M/1000M自适应能力的端口。接入层交换机一般用于直接连接电脑，具有低成本和高端口密度特性。接入层交换机端口的input 指服务器向交换机端口发送的数据，即是服务器发送出去的数据。接入层交换机端口的output 指交换机端口向服务器传输的数据，即是服务器收到的数据。根据公司情况，采用思科二层交换机（WS-C2

24、960G-24TC-L）6AD域规划方案6.1AD域创建6.1.1创建主域先点击“开始运行”，输入“Dcpromo”，然后回车就可以看到“Active Directory安装向导”在这里由于这是第一台域控制器，所以选择第一项:“新域的域控制器”，然后点“下一步”:需要为公司指定一个域名，如到此，主域已经创建完毕了。6.1.2创建子域先点击“开始运行”，输入“Dcpromo”，然后回车就可以看到“Active Directory安装向导”安装步骤跟主域差不多。选择“在现有域树中的子域”，输入主域的管理员用户与密码后再输入子域的名称。例如：建立shengchan的子域作为生产部的子域。到此就子域建

25、立完毕。其他几个部门的子域建立步骤一样。6.1.3创建组织单元为主域和子域都分别创建组织单元，主域2个组织单元，其他3个子域都创建5个组织单元因为管理层为2个楼层，其他3个部门为5个楼层。以123为例6.1.4创建用户根据公司员工人数创建员工帐号，生产部、采购部、工程部都创建一个主管帐号。以创建123用户为例：6.2组策略创建6.2.1安全管理点击开始è管理工具è域安全策略对现有的默认域策略做编辑找到密码策略选项，公司根据自身需要设置密码策略，提高公司的安全性。6.2.2软件指派右击组织单元属性è新建GPO并取一个容易辨别的名称è编辑GPOè在

26、软件安装属性页输入公司的网络共享文件夹è右击软件安装è新建程序包6.2.3软件限制右击软件限制策略è新建软件限制策略è右击其他规则è新建哈希规则公司按照自身需要创建软件限制规则如果软件被限制使用，而且使用的哈希规则，用户更改文件名，文件路径等，都无法突破此限制6.2.4打印机共享限制首先打印机先设着共享，然后在想打印的机子上安装网上打印机 1、进入控制面板- 打印机-添加打印机-下一步-网络打印机或连接到其他计算机的打印机-浏览打印机。 然后点下一步后就会出来共享的打印机，选中之后点下一步，确认，会自动安装的。 2、在需要打印的机子上讲安装的这

27、个网络打印机设为默认打印机。 3、关闭打印机共享 如此，安装过网络打印机的机子就能打印，没安装过的打印机就不能打印。当然，前提是打印机开着，以及和打印机相连的电脑也开着。1.限制打印时间为了防止用在下班后打印私人资料，我们可以通过限制打印机的使用时间来达到目的。在打印机的属性对话框中，在“高级”选项卡中选择“使用时间从”选项，并指定起止时间，就可以完成设置了。2.禁止打印网页为了防止打印网页上的资料，减少打印成本的支出，我们可以用组策略来实现这个功能。在“组策略”中，依次展开“计算机配置管理模板打印机”，将右侧的“基于Web的打印”选项设置为“已禁用”。这样，在IE浏览器中就不能直接打印了。3

28、.使用分隔页当多人使用一台打印机时，可能就很难马上找到自己打印的文件了。此时，可以使用分隔页功能来方便的帮助用户找到自己的文件。其实现方法是：在打印机属性对话框中，依次单击“高级分隔页浏览”，将系统提供的分隔页选中即可。根据公司要求，每楼层都分别安装了网络打印机 而且只为本楼层工作，组策略添加用户的时候添加对应的部门的用户。限制打印机得使用楼层（1）在每个部门的组织单元下为每个部门楼层创建一个独立的组织单元，用于打印机限制（2）在组策略页面è管理模板è打印机è指定计算机（3）输入该楼层打印机的名称（4）在打印机专用组织单元下添加该楼层的用户，保证打印机的专用6.2

29、.5储存设备限制根据公司要求，工程部不能使用外加存储设备、工程部及管理层有权使用外部邮件。外加储存设备绝大多数为USB接口，只要限制USB接口的使用，就限制了储存设备的使用1、创建一个针对USB的GPO，并点击编辑，打开组策略编辑器；2、进入组策略编辑器，依次展开“计算机配置”、“Windows设置”、“安全设置“、”文件系统”；3、右键点击“添加文件”，弹出“添加文件和文件夹”，在“文件夹”栏输入“%systemroot%infusbstor.inf“，确定；4、右键点击“添加文件”，弹出“添加文件和文件夹”，在“文件夹”栏输入“%systemroot%infusbstor.PNF “，确定；6.2.6文件访问限制各部门主管可以查看修改本部门文件（本部门1，3）及2 文件 一般员工只能查看本部门文件3 ；高级管理人员可查看修改所有文件（1）为各个部门在子域下建立专用