企业网络组建

1、摘 要随着网络技术新系统、新领域的长足发展，传统企业也正利用其行业的特点，融合网络技术的优势，发展自身。在信息化生产逐步普及的今天，组建企业内部网络已经是企业必不可少的一部分，建立高速、稳定、安全、智能的办公网，是组建中小型企业局域网的核心。中小型企业局域网建设,必须采取“结构化、系统化”思想做指导。一个良好的、规范的网络开发过程不仅不会成为干扰实际健忘工作的负担，相反会使设计的工作更清晰、更加高效和更令人满意，同时也可以大大减少网络开发成本和提高网络工程质量。本网络设计定位于公司局域网设计，因此配置了比较完备的硬件资源。在内容选择上，一方面以对中小型企业的网络拓扑和所需设备进行了设计；另一方

2、面用很直观的网络拓扑图概述了本次毕业设计相关的网络安全、网络所需设备以及所实现的网络功能和应用等。广东港隆文具有限公司对网络性能和网络安全要求严格。使用业界流行的核心层汇聚层接入层三层结构设计的公司局域网，结合广为使用的通过划分虚拟局域网（VLAN）隔离不同部门，访问控制列表（ACL）控制端口进出数据包，网络地址转换（NAT）节约公有地址、动态分配IP（DHCP）、热备份路由(HSRP)等技术，增强网络的稳定性和安全性。关键词：局域网 网络拓扑 VLAN 网络安全 系统实施、ACL、NAT目 录摘 要I1 概述11.1课题背景11.2项目需求11.3管理需求22原则网络系统设计32.1网络设计

3、要求32.2 网络设计原则32.3 企业网络拓扑设计32.4 IP地址规划43 VLAN划分53.1  基于端口划分的VLAN53.2 基于MAC地址划分VLAN53.3 基于网络层划分VLAN54 网络安全64.1安全需求64.2防火墙64.3 入侵检测65 网络安全管理75.1 局域网安全控制与病毒防治策略75.2局域网安全控制策略75.3 病毒防治86 结论9参考文献9- II -1 概述1.1课题背景目前，我国中小企业数量已超过1 000万家。在国民经济中，60%的总产值来自于中小企业，并为社会提供了70%以上的就业机会。然而，在中国国民经济和社会发展中一直占据着至关重要的战

4、略地位的中小企业，其信息化程度却十分落后。今后如何应对瞬息万变、竞争激烈的国内外市场环境以及如何利用网络技术迅速提升企业核心竞争力为企业成败的关键。中小型企业的信息化建设工程通常有规模小、结构简单的特点，综合资金投入、专业人才以及未来发展等因素，网络实用性、安全性与拓展性（升级改造能力）是中小型企业实现信息化建设的主要要求，局域网内进行信息交流包括发布通知, 安排日程表、工作计划,提交工作总结,进行信息汇总等也是企业的要求。因此，成本低廉、炒作简易、便于维护并能满足业务运用需要的网络办公环境是这一领域的真正需求。针对绝多数中小型企业集中办公这一现实特点，组建一个适合中小企业需求的高性价比实用的

5、网络是十分有实际意义的。港隆文具有限公司创建于一九八九年，是一家专业从事办公文具研发、生产、加工、销售的规模化企业。公司生产设施齐全，以美国、德国生产线及进口原料为主产品种类齐全涵盖面广，主要产品有PP制品，注塑产品、PVC制品，纸制品等多个系列三百多个品种。公司投产二十多年来，本着务实创新的团体创业精神，以品质、诚信享誉业界，以及众多客户不离不弃的鼎力支持公司规模日益壮大。1.2项目需求公司目前开展的企业网建设，旨在推动公司的信息化建设，其最终建设目标是将公司建设成了一个借助信息化办公和管理的高水平的智能化、数字化的企业网络，满足企业信息化的要求，为各类应用系统提供方便，快捷的信息通路，具有

6、良好的性能，能够支持大容量和实时性的各类应用，能够可靠的运行，具有较低的故障率和维护要求。公司的网络系统是建立在高速光纤网的基础上，构建内网相互独立的网络系统，以提供安全的办公局域网和可访问Internet的网络系统。实现各部门内部和各部门之间公共网络化，构建网络信息共享，实现资源共享，为各部门提高办事效率办事透明度以及快速反应提供可靠的保障。网络系统主要是以光纤作为传输媒介、IP和Internet技术为技术主体、核心路由器为交换中心、下属部门信息网络系为分接点的多层结构、提供与各种网络技能相关的、功能齐全、技术先进、资源统一的网络应用系统。网络系统建设主要实现以下功能：1系统主干采用百兆以太

7、网交换，下属子网采用百兆以太网，采用TCP/IP协议，提供标准化的高速度主干网连接，实现100Mb/s交换到桌面的网络。使用三层交换机来代替路由，实现数据的快速转发；2企业网络内部资源的共享，包括文件共享，硬件共享，软件共享等；3文件传输能快速地，在不需要移动存储设备的情况下在各电脑之间进行文件的拷贝；4能通过内部网络高速接入Internet进行工作，浏览网页查找资料；5交换机采用主流、成熟和售后服务均佳的产品，具有较高的性价比。网络中使用的设备和协议应完全符合国际通用的技术标准。1.3管理需求 企业网络系统必需具备有完善的、安全的智能化网络管理功能，其基本需求如下：(1)网络设备支持基于端口

8、的虚拟网（VLAN）划分，利用网络管理软件能动态地调整配置VLAN。这样易于实现网络重组并具备隔离广播风暴的能力；(2)具有基于端口的访问控制模式，有效防止外部或内部对某些重要信息点的访问，达到控制信息流向的目的使划分的各虚网之间既能相互共享所需的信息，又能分别独立运作，增强网络的安全性；(3)加强各虚网之间信息的安全性动态监控登录网络代理用户数，有效及时地防止某些非法访问；(4)对网络故障及时报警，并实现隔离。2原则网络系统设计2.1网络设计要求本网络主要进行路由组织、IP地址、网络安全、VLAN划分和设备具体配置等设计。企业局域网是企业网建设的基础，也是本次企业网络系统组建规划的主要工作，

9、其他所有的建设都是建立在此基础之上的。企业信息网络系统应是一个以宽带 IP 网为目标，建立数据连接为一体化的内部办公网络和外部宽带。网络系统应实现虚拟局域网（VLAN）的功能，以保证全网的良好性能及网络安全性。主干网交换机应具有很高的传输速度，整个网络应具有高速的三层交换功能。2.2 网络设计原则遵循中国公众多媒体通信网技术体制、中国公众多媒体通信网工程实施技术要求、以及其它国家相关标准和技术体制。采用层次化设计，网络结构的不同部分有不同的功能，使网络具有优良的结构。提供有效的安全保密措施，确保整个网络的安全。网络具有较强的可升级性，在将来需要时可以对网络进行必要的扩充。在增加新硬件设备时能方

10、便地接入网络，软件上便于更新、维护、升级。尽量详细准确，减低工程的复杂程度，使系统建设和改造的工作量减至最少，以保证工程的顺利和有效完成。2.3 企业网络层设计物理层：物理层是计算机网络osi模型中最低的一层。它规定：为传输数据所需要的物理链路创建，维持，拆除，而提供具有机械的，电子的，功能的和归范的特性。简单的说，物理层确保原始的数据可在各种物理媒体上传输。局域网和广域网都是第1，2层。物理层虽然是osi的最底层，但是它却是整个开发系统的基础。物理层为设备之间的数据通信提供传输媒体及互连设备，为传输数据提供可靠环境。简单地可把它描述为信号和介质。数据链路层：数据链路层是osi参考模型中的第二

11、层，介乎于物理层和网络层之间。数据链路层在物理层提供的服务上向网络层提供服务，其最基本的服务是将源自网络层的数据可靠的传输到相邻结点的目标机网络层。为完成这一目的，数据链路必须具备一些相应功能，将数据组合成数据快，我们在数据链路层中称这种数据为桢，桢是数据链路层的传送单位；如何控制桢在物理信道上的传输，还有如何处理传输差错，如何调节发送速率以使之与接受方匹配；还有的就是在两个网络实体之间提供数据链路通路的建立，维持和释放的管理。网络层；它是osi参考模型中的第三层，介于传输层和数据链路层之间，它的数据链路层提供的两个相邻端点之间的数据桢的传输功能上，更进一步的管理网络中的数据传输通信，将数据设

12、法从源端经过若干个中间节点传送到目的端，从而向运输层提供最基本的端到端的数据传输服务。主要有：虚电路分组交换和数据报分组交换，路由选择算法，阻塞控制方法，X25协议，综合业务数据网，异步传输模式及国际互连原理与实现。网络层的目的是实现两个端系统之间的数据透明传送，其中包括寻址和路由选择，建立连接，终止和保持等。2.4 IP地址规划绝大多数企业局域网采用TCP/IP协议，因此IP地址规划在组建企业局域网 时至关重要。在企业网网络规划中，好的IP地址方案不仅可以减少网络负荷,还 能为以后的网络扩展打下良好的基础。IP地址规划应考虑：唯一性一个IP网络中不能有两台主机采用相同的IP地址;连续性为同一

13、网络区域分配连续的网络地址，缩减速路由表的表项，提高路由表的处理效率;可扩充性为一个网络区域分配的IP应有一定的地址冗余，以便于主机数量增加，保证网络的可持续发展;简单性地址分配简单，避免在主干上采用复杂的掩码方式;安全性公司网络内可按不同的部门划分不同的网段，以便进行管理。 公司申请了一个B类公网IP：以下表格为本设计方案的网络地址规划：设备IP地址分配表和部门IP地址分配表有6个部门，2的n次6，所以n的最小值为3。需要3位来划分子网。将 用二进制表示11000000 10101000 00000000 00000000借三位后划分6个子网掩码

14、11000000 10101000 00100000 0000000011000000 10101000 01000000 0000000011000000 10101000 01100000 0000000011000000 10101000 10000000 0000000011000000 10101000 10100000 0000000011000000 10101000 11000000 0000000010- 3 VLAN划分3.1  基于端口划分的VLAN   这种划分VLAN的方法是根据以太网交换机的端口来划分

15、，比如我们可以把交换机的18端口为VLAN ，15为VLAN 11，1624为VLAN22，当然，这些属于同一VLAN的端口可以不连续，如何配置，我们可以单独配置。根据端口划分是目前定义VLAN的最广泛的方法，IEEE802.1Q规定了依据以太网交换机的端口来划分VLAN的国际标准。这种划分的方法的优点是定义VLAN成员时非常简单，只要将所有的端口都定义一下就可以了。它的缺点是如果VLAN A的用户离开了原来的端口，到了一个新的交换机的某个端口，那么就必须重新定义。  3.2 基于MAC地址划分VLAN   基于M

16、AC地址的VLAN分配方案确实可使某些移动、添加和更改操作自动化。如果用户根据MAC地址被分配到一个VLAN或多个VLAN，他们的计算机可以连接交换网络的任何一个端口，所有通信量均能正确无误地到达目的地。显然，管理员要进行VLAN初始分配，但用户移动到不同的物理连接不需要在管理控制台进行人工干预；例如有很多移动用户的站，他们并非总是连接同一端口，或许因为办公室都是临时性的，采用基于MAC地址的VLAN可避免很多麻烦。 3.3 基于网络层划分VLAN   这种划分VLAN的方法是根据每个主机的网络层地址或协议类型(如果支持多协议)划分的，虽然这种划分方法是

17、根据网络地址，它查看每个数据包的IP地址，但由于不是路由，所以，没有RIP，OSPF等路由协议，这样可以减少网络的通信量。 但这种方法效率低，因为检查每一个数据包的网络层地址是需要消耗处理时间的。4 网络安全4.1安全需求可用性： 授权实体有权访问数据。 机密性： 信息不暴露给未授权实体或进程。 完整性： 保证数据不被未授权修改。 可控性： 控制授权范围内的信息流向及操作方式。 可审查性：对出现的安全问题提供依据与手段。 访问控制：需要由防火墙将内部网络与外部不可信任的网络隔离，对与外部网络交换数据的内部

18、网络及其主机、所交换的数据进行严格的访问控制。同样，对内部网络，由于不同的应用业务以及不同的安全级别，也需要使用防火墙将不同的LAN或网段进行隔离，并实现相互的访问控制。 数据加密：数据加密是在数据传输、存储过程中防止非法窃取、篡改信息的有效运用多种技术，如VLAN、防病毒体系等，对各个部门、系所访问进行控制，各单位之间在未授权的情况下不能互相访问，保证系统内部的安全。内网对安全的需求包括VLAN设置需求、防病毒系统需求、网络管理需求和网络系统管理等。4.2防火墙在与Internet相连的每一台电脑上都装上防火墙，成为内外网之间一道牢固的安全屏障。在防火墙设置上按照以下原则配置来提高

19、网络安全性: (1)根据校园网安全策略和安全目标，规划设置正确的安全过滤规则，规则审核IP数据包的内容包括：协议、端口、源地址、目的地址、流向等项目，严格禁止来自公网对校园内部网不必要的、非法的访问。总体上遵从“不被允许的服务就是被禁止”的原则. (2）禁止访问系统级别的服务( 如HTTP , FTP等)。局域网内部的机器只允许访问文件、打印机共享服务。使用动态规则管理，允许授权运行的程序开放的端口服务，比如网络游戏或者视频语音电话软件提供的服务。 4.3 入侵检测入侵检测系统是防火墙的合理补充，帮助系统对付网络攻击。扩展系统管理员的

20、安全管理能力提高信息安全基础结构的完整性。入侵检测系统能实时捕获内外网之间传输的数据，利用内置的攻击特征库，使用模式匹配和智能分析的方法，检测网络上发生的入侵行为和异常现象，并记录有关事件。入侵检测系统还可以发出实时报警，使网络管理员能够及时采取应对措施。5 网络安全管理5.1 局域网安全控制与病毒防治策略要确保信息安全工作的顺利进行，必须注重把每个环节落实到每个层次上，而进行这种具体操作的是人，人正是网络安全中最薄弱的环节，然而这个环节的加固又是见效最快的。所以必须加强对使用网络的人员的管理，注意管理方式和实现方法。从而加强工作人员的安全培训。增强内部人员的安全防范意识，提高内部管理人员整体

21、素质。同时要加强法制建设， 进一步完善关于网络安全的法律，以便更有利地打击不法分子。对局域网内部人员，从下面几方面进行培训： (1)加强安全意识培训，让每个工作人员明白数据信息安全的重要性，理解保证数据信息安全是所有计算机使用者共同的责任。 (2)加强安全知识培训，使每个计算机使用者掌握一定的安全知识，至少能够掌握如何备份本地的数据，保证本地数据信息的安全可靠。 (3)加强网络知识培训，通过培训掌握一定的网络知识，能够掌握IP地址的配置、数据的共享等网络基本知识，树立良好的计算机使用习惯。5.2局域网安全控制策略安全管理保护网络用户资源与设备以及网络管理系统本身不被未经授权的用户访问。目前网络

22、管理工作量最大的部分是客户端安全部分，对网络的安全运行威胁最大的也同样是客户端安全管理。只有解决网络内部的安全问题，才可以排除网络中最大的安全隐患，对于内部网络终端安全管理主要从终端状态、行为、事件三个方面进行防御。利用现有的安全管理软件加强对以上三个方面的管理是当前解决局域网安全的关键所在。(1)利用桌面管理系统控制用户入网。(2)采用防火墙技术。采用防火墙技术发现及封阻应用攻击所采用的技术有： 深度数据包处理。 IP/URL过滤。 TCP/IP终止。 访问网络进程跟踪。 (3)属性安全控制。5.3 病毒防治病毒的侵入必将对系统资源构成威胁，影响系统的正常运行。特别是通过网络传播的计算机病毒

23、，能在很短的时间内使整个计算机网络处于瘫痪状态，从而造成巨大的损失。因此，防止病毒的侵入要比发现和消除病毒更重要。防毒的重点是控制病毒的传染。防毒的关键是对病毒行为的判断，如何有效辨别病毒行为与正常程序行为是防毒成功与否的重要因素。防病毒体系是建立在每个局域网的防病毒系统上的，主要从以下几个方面制定有针对性的防病毒策略： (1)增加安全意识和安全知识，对工作人员定期培训。首先明确病毒的危害，文件共享的时候尽量控制权限和增加密码，对来历不明的文件运行前进行查杀等，都可以很好地防止病毒在网络中的传播。这些措施对杜绝病毒，主观能动性起到很重要的作用。 (2)小心使用移动存储设备。在使用移动存储设备之

24、前进行病毒的扫描和查杀，也可把病毒拒绝在外。 (3)挑选网络版杀毒软件。一般而言，查杀是否彻底，界面是否友好、方便，能否实现远程控制、集中管理是决定一个网络杀毒软件的三大要素。 通过以上策略的设置，能够及时发现网络运行中存在的问题，快速有效的定位网络中病毒、蠕虫等网络安全威胁的切入点，及时、准确的切断安全事件发生点和网络。 局域网安全控制与病毒防治是一项长期而艰巨的任务，需要不断的探索。随着网络应用的发展计算机病毒形式及传播途径日趋多样化，安全问题日益复杂化，网络安全建设已不再像单台计算安全防护那样简单。计算机网络安全需要建立多层次的、立体的防护体系，要具备完善的管理系统来设置和维护对安全的防护策略。6 结论本网络设计从企业网的建设思想、目标、可以选用的网络技术以及网络设备的介绍和选择等多方面进行论述，在此之前我们所学的都是一些关于网络方面的理论知识，很少用于实践中去，通过此次对该企业网的组建规划，是对网络理论知识的又一次系统的学习，也是一次更完整的学习。在设计期间我学到了很多实际应用的知识，。在以后的规划中以建立网络教学，办公为目标，从经济性、实用性、扩展性的原则来设计网络。整个规划基本做到量体设计，并且对以后的