公司网络组建设计与方案

千里之行，始于足下。第2页/共2页精品文档推荐公司网络组建设计与方案公司网络组建设计与方案

一、需求分析

1.1设计背景

某公司规模比较大，第一栋大楼内有技术部、销售部、工程部、财务部上网机约200台，第二栋大楼内同样有技术部、销售部、工程部、财务部上网机约150台

1.2网络功能

依照公司现有规模，业务需要及进展范围建立的网络有以下功能：

a)、组建公司自个儿的网站，可向外部公布消息，宣传公司产品，推广业务。

b）、要求公司各部门之间在数据拜访时要相互独立，有自个儿部门的局域网，同时能够拜访互联网（财务部别允许介入外网）。

c）、为了提高办公效率，实现信息共享。公司建立内网OA系统（办公自动化系统）。治理职员档案，公布业务打算，发布会议议程等。

1.3可行性分析

1.3.1技术可行性

公司现有技术差不多彻底具备了组建网络的条件，公司共有350台计算机，聘有相应的网络维护人员，从组建网络技术上看：如今计算机网络技术差不多相当成熟，不管是何种事情，都能够非常好的解决。同时目前随着信息化社会的别断进展，信息交流速度十分的快速，假如公司还未实现信息化，这么公司的进展将受到制约。因此组建局域网是十分必要的。

1.3.2资金可行性

目前本公司具有非常好的市场前景，进展的空间非常大，公司的进展速度也非常快，组建网络对公司当前的经济来讲，虽是别小的一笔开支，且别是能非常快的实现增值，但基于公司所具有的潜在实力，

是有能力承担的，且从长远看，这笔投入，会使公司进展速度更快，更具竞争力，更具实力。

二、网络结构设计

2.1方案的比较挑选

从公司的实际事情动身，对现有事情举行分析，挑选合适的网

络速度方案。

1）10Mbit/s以太网：基本满脚如今需求。

2）100Mbit/s快速以太网：满脚当前需求，且有相当的余量。（正

选方案。）

3）1000Mbit/s高速以太网：远远超过了应用的需求，目前别经济，代往后升级方案。

2.2接入Internet方式，VLAN技术划分

首先要确定网络的拓扑结构，建议采纳星状结构，其中

100base-T星型结构的快速以太网是理想的挑选，用双绞线作为传

输线缆，星状总线网的物理结构采纳星状链接。逻辑结构采纳总线状的，采纳IEEE的802.3协议标准。网卡集线器和双绞线应采纳100M的，当用户扩展过多时。可采纳堆叠式集线器。然后确定互联方式，因为有一部分用户能够接入Internet，另一部分别能够，因此有两种方式：

a）分成两个子网，各连接一具交换机，并连接到服务器的别同的

网卡上，在服务器上设置一具网卡能够连接internet,另一具别可

以

服务

器路由器

internet

网卡一网卡二

交换机1交换机2

PCnN

PC1

b）、分成三个子网，都连接到路由器上。在路由器上设置IP，其中其中两个子网的IP设置为内部IP，别允许拜访internet(建议使用此方式，以便后期网络拓展)

允许拜访

IP1

服务

器

IP2路由器

以太网交换机IP3

Internet

交换机3交换机1交换机2

PCnPC1

综上，结合公司电脑分布，A楼有电脑200台，分不提供给技

术部，销售部，工程部，财务部四个部门使用，B楼150台电脑也

同样分配给四个部门，我们挑选星型连接结构，利用其脚够的灵便

性，满脚系统别断进展时的需求。在技术上采纳路由器-交换机的配

置，路由器提供内部和外网的连接和VLAN（虚拟局域网）的划分，

以及防火墙和路由功能的配置。因此，交换机一头连接到路由器上，

作为一具子网，另一头连接子网中各台终端，划分几个子网，则从

路由器连出几台交换机即可。

2.3IP地址段划分

A,B两座楼中电脑数350台，大于组建最大局域网的254台，因

此能够组建一具350台电脑的中型局域网。采纳路由器+中心交换机+交换机的架构，A楼中共200台电脑，分不给四个部门使用，B楼电脑150台，同样是四个部门。能够将四个部门看做是一具子网，给每一具部门划分一具vlan，各个部门的IP地址如下列表格：

A,B楼中的子网都采纳动态分配IP地址的方式猎取。再经过路由器把各个楼层的计算机集中起来，与防火墙相连，最终连接到Internet就能够了。

2.4网络连接拓扑图

防火墙INTERN10

~核心交换

机

ET

00

出差人员

VPN客户端

51~51

技术部财务部销售部工程部技术部财务部销售部工程部2.5经过公网实现公布公司的网站

a）明确网站内网拜访地址端口，确保网站服务正常，在内网可正常拜访链接。如我内网网站拜访地址是00：80.如本地公司的IP端口被封，能够更换网站端口，或使用net123的映射穿透

解决。

b)路由器端口映射，路由器映射网站拜访端口，因为公网IP是在路由器上的，外网拜访时，需要通过路由器上做端口，将内网网站访

咨询端口打通，路由器端口映射位置:转发规则/虚拟服务器/添加允许

外网拜访和协议，我的端口号是80，我内网对应网站煮主机的IP

地址应该是00：80。

c)外网拜访时，使用固定公网IP因为路由分配的固定公网

IP10.我能够直截了当经过拜访那个固定公网IP，实现访

咨询网站。

d)域名解析设置，用域名代替固定共公网IP，如果公司申请域名

dns222.tk是在dnspod解析的，登陆dnspod设置A记录，将www.dns222.tk域名设置为指向我网站服务器固定公网IP。

e)用域名拜访网站，域名解析生效后，拜访域名即可拜访我网站，

域名相对IP更容易记住，也能够代表自个儿的网站，建议使用自个儿

的独享域名，更容易增强妨碍力，

2.6VPN配置，实如今外人员对OA系统的拜访

（1）XXX任务栏“开始”“设置”“操纵面板”，双击“网络连接”，挑选创建一具新的连接

（2）“网络连接类型”挑选“连接到我的工作场所的网站”

(3）“网络连接”挑选“虚拟专用网络连接”

(4）“XXX连接”此处需要输入XXX的域名或者IP（5）在建立的“虚拟专用网络”属性设置挑选“安全”。要求“取消数据加密，没有就断开”勾选框。

(6)输入用户名和密码，XXX连接举行PPTP拨号，拨号成功就能够直截了当拜访公司内网OA服务器了。

2.7硬件防火墙的选购与设置

（1）市场事情

大多数企业在挑选防火墙时都将注意力放在防火墙怎么操纵连接以及防火墙支持多少种服务，但往往忽略了最重要的这一点，防火墙也是网络上的主机之一，也也许存在安全咨询题，防火墙假如别能确保自身安全，则防火墙的操纵功能再强，也终究别能彻底爱护内部网络。谈到防火墙的安全性就别得提一下防火墙的配置。防火墙配置有三种：Dual-homed方式、Screened-host方式和Screened-subnet方式。Dual-homed方式最简单。Dual-homedGateway放置在两个网络之间，那个Dual-homedGateway又称为bastionhost。这种结构成本低，然而它有单点失败的咨询题。这种结构没有增加网络安全的自我防卫能力，而它往往是受黑客攻而它往往是受黑客攻击的首选目标，它自个儿一旦被攻破，整个网络也就暴露了。Screened-host方式中的Screeningrouter为爱护Bastionhost的安全建立了一道屏障。它将所有进入的信息先送往Bastionhost，

同时只同意来自Bastionhost的数据作为出去的数据。这种结构依靠Screeningrouter和Bastionhost，只要有一具失败，整个网络

就暴露了。

creened-subnet包含两个Screeningrouter和两个Bastionhost。在公共网络和私有网络之间构成了一具隔离网，称之为"停火区"(DMZ，即DemilitarizedZone)，Bastionhost放置在"停火区"内。

这种结构安全性好，惟独当两个安全单元被破坏后，网络才被暴露，然而成本也非常昂贵。

(2)高效性

防火墙与代理服务器最大的别同在于防火墙是特意为了爱护网络

安全而设计的，而一具好的防火墙别但应该具备包括检查、认证、

警告、记录的功能，同时可以为使用者也许遇到的困境，事先提出

解决方案，如IP别脚形成的IP转换的咨询题，信息加密/解密的咨询题，大企业要求可以透过Internet集中治理的咨询题等，这也是挑选防火墙时必须思考的咨询题。

(3)配置便利性

关于国内用户来讲，防