中小型企业网络方案设计

第一章需求分析〔一、中小型企业网络特点与要求价格比就显得尤为重要。基于以上特点，应遵循以下设计原则：把握好技术先进性与应用简易性之间的平衡。具有良好的升级扩展力量。具有较高的牢靠性和安全性。产品功能与实际应用需求相匹配。80%的中小企业用户通常只用到局域网20%的功能。精简功能设计的产品不和易维护性。尽可能选择成熟、标准化的技术和产品。有很高的稳定性和可治理性。以太网供给了多种标准和功能。比方10Mbps、100Mbps、1000Mbps不同速率VLAN、优先级、链路聚合等功能。其次章典型中小企业组网实例〔一IP10M，WEB效劳器，通讯机，业务主机等，客户端办公电脑100VLAN，ACL〔二序号设备名称 规格 1 交换机Cisco4503Cisco2960-48t 台

数量 单价〔元〕合价〔元〕台12 74009300260002 路由器Cisco2821台114500145003 防火墙NokiaIP355 ……2/3/4/视频/数据网络能够为正在部署基于互联网企业应用的企业和城域以太网客户供给业务弹性。45001＋1IP1+1层高性价比的一系列。CiscoWS-C2960-48T具有用于接入层交换机的良好优势。能够快速转发用户的数据。Cisco2821NokiaIP355是一款应用于中小型企业的防火墙产品，能够进展SNMP,Telnet,FTP,SSHv2(安全Telnet&FTP),效劳器RFC2068,SSL/TLSRFC良好。〔三、IP部门IP公网地址 17IP/30Web/24业务主机 通讯机/24网络打印机 财务部/24〔四〔五大反复，这里只列出重点命令。1Router接口：interfacefastethernet0/1ipaddress52duplexautospeedautoipnatinsidenoshutdowninterfacefastethernet0/2ipaddress1748duplexautospeedautoipnatoutsidenoshutdown路由：iproute17过载：ipnatinsidesourcelist110interfaceFastEthernet0/2overloadaccess-list110permitip55any2CoreswitchVTP：VTPVersion:2ConfigurationRevision:7MaximumVLANssupportedlocally:1005NumberofexistingVLANs:9VTPOperatingMode:ServerVTPDomainName:OAVTPPruningMode:DisabledVTPV2Mode:EnabledVTPTrapsGeneration:EnabledVLAN：core-sw#vlandatabasevlancore-sw(vlan)#vtpdomainOAvtpOAcore-sw(vlan)#vtpserver设置交换机为效劳器模式core-sw(vlan)#vlan10nameshichangVLAN10，为市场部core-sw(vlan)#vlan11namecaiwuVLAN10，为财务部core-sw(vlan)#vlan12nameshejiVLAN12，为设计部core-sw(vlan)#vlan13namenetprinterVLAN13，为网络打印机core-sw(vlan)#vlan20nameserverVLAN20，为效劳器组core-sw(config)#interfacevlan10core-sw(config-if)#ipaddress54core-sw(config)#interfacevlan11core-sw(config-if)#ipaddress54core-sw(config)#interfacevlan12core-sw(config-if)#ipaddress54core-sw(config)#interfacevlan13core-sw(config-if)#ipaddress54core-sw(config)#interfacevlan20core-sw(config-if)#ipaddress54SWVLAN3ACLaccess-list10permit55access-list10permit55access-list10deny55access-list10permitanyvlan10ipaccess-group10out10VLAN10OUT方向上，市场部内部可以互访，可以访问效劳器网段和网络打印机网段，但不能访问财务部和设计部所在网段。access-list11permit55access-list11permit55access-list11permit55access-list11deny55access-list11permitanyvlan11ipaccess-group11out11OUT部网段。VLAN12，网络打印机VLAN13，效劳器VLAN20可以访问任意网110inaccess-list110denytcpanyanyeq1068access-list110denytcpanyanyeq2046access-list110denyudpanyanyeq2046access-list110denytcpanyanyeq4444access-list110denyudpanyanyeq4444access-list110denytcpanyanyeq1434access-list110denyudpanyanyeq1434access-list110denytcpanyanyeq5554access-list110denytcpanyanyeq9996access-list110denytcpanyanyeq6881access-list110denytcpanyanyeq6882access-list110denytcpanyanyeq16881access-list110denyudpanyanyeq5554access-list110denyudpanyanyeq9996access-list110denyudpanyanyeq6881access-list110denyudpanyanyeq6882access-list110denyudpanyanyeq16881access-list110permitipanyany可以依据实际需要将此ACL应用于任一接口，或者添加一些屏蔽软件的端并且易于操作。4、配置业务主机IIS〔IISWindowNT/2000/XP。安装：IISWindowWindowInternet〔IIS”项选中。在该选Internet〔IIS”窗口中，找到“文件传输协议〔FTP〕NT／2000WindowXP设置：电脑重启后，业务主机就开头运行了，但还要进展一些设置。点击“开头→“InternetFTPFTP进入“FTP站点”选项卡，其中的“描述”选项为该FTP站点的名称，用来“IPIP，设“TCP21自动断开与该用户的连接。设置账户及其权限：个账户可拥有不同的权限，如有的可以上传和下载，而有的则只允许下载。安全设定：默认为“允许匿名连接WindowWindow号，然后再通过“安全账户”选项卡中的“FTPWindow2000WindowXP“FTPAdministrator设置用户登录名目：FTP〔FTP，进入“主名目”选名目访问权限。设置完成后，业务主机就算建成了。三网络布局和综合布线要考虑周全。〔一有用性布线的特点来发挥网络布局有用性是格外重要的。全面性周全，尽量让各种设备和布线系统处于合理的位置。牢靠性地运行，使得网络能正常运转。便于维护与升级时就应当考虑到便于以后网络的维护与升级操作。〔二〕网络的布局。机房的规划与设计家有关的机房设计规定。防静电安康。防火、防盗动报警系统等等。防雷筑防雷设计尤其重要。计算机通信电缆的芯线，线均应加装避雷器。保湿、保温15℃-35℃摄氏度，安装空调来调整温度是解决此问题最好的方法。布线系统的规划与设计线系统。备，确定首选百兆。最好使用特地的通道，而且不要与电源线，空调线等具有辐射的线路混合布线。一般的超五类非屏蔽双绞线。好能够设计一个设备间，放置网络设备。〔三目前的网络设备大都承受机架式的构造〔多为扁平式，活像个抽屉，如交得干净、美观。机、路由器、防火墙、加密机等以及网络通信设备如光端机、调制解调器等是放19U〔1U=1.75=44.451U，2U，3U，4U22U42UUI/O〔机架效劳器的全部接口也在前方，统一安置在机柜的线槽中，一般贴有标号，便于治理。RJ45RJ45360于调线操作，接下来是效劳器机柜；将网络设备和布线系统进展合理的布局。里留下肯定空间。从机柜内部线缆附设的角度看，机柜配置密度更高，容纳的IT设备更多，能对设备布线进展快速定位。〔电阻性、电感性、电亲热相关。制冷系统〔空调〕涉及到机房的整个物理环境，包括空调、地UPS一个适宜的位置。假设机房空间较大，可以将UPS和空调都放在机房里；假设空间较小，可以把UPS〔包括蓄电池〕放在配电房里。需要留意的是假设大楼里安装有“中心空调”的话，机房里也必需安装独立的空调，由于中心空调不行能24效劳器、网络设备需要正常运行的话，则必需要开机房里的独立空调。〔通常称为散热力量面，机柜内的设备需要温度、湿度适宜并且风量充分的冷风〔冷空气。这些冷〔CPU〕降温。当机柜ITIT〔IT配风风量。另一方面，机柜内的设备需要供电以及与机柜外部进展通信。当机柜内的IT考虑线缆治理及走线空间的问题。第四章局域网的安全掌握与病毒防治〔一〕局域网安全威逼分析通常有以下几类：1.哄骗性的软件使数据安全性降低图引诱收信人给出敏感信息：如用户名、口令、账号ID、ATMPIN2.效劳器区域没有进展独立防护但无法抵抗来自局域网内部的攻击计算机病毒及恶意代码的威逼已退居幕后，成为犯罪软件的助手。2007年，两种软件的结合推动旧有寄生软3200820%。局域网用户安全意识不强Internet使用，造成病毒的传入和信息的泄密。IPIP查找工作就越困难，所以网络治理员必需加以解决。数据安全性低，网内电脑相互感染，病毒屡杀不尽，数据常常丧失。〔二〕加强人员的网络安全培训提高内部治理人员整体素养。同时要加强法制建设，进一步完善关于网络安全训：保证数据信息安全是全部计算机使用者共同的责任。够把握如何备份本地的数据，保证本地数据信息的安全牢靠。IP配置、数据的共享等网络根本学问，树立良好的计算机使用习惯。局域网安全掌握策略安全治理保护网络用户资源与设备以及网络治理系统本身不被未经授权的当前解决局域网安全的关键所在。利用桌面治理系统掌握用户入网。入网访问掌握是保证网络资源不被非算机在屡次警告后阻断其连网。承受防火墙技术。防火墙技术是通常安装在单独的计算机上，与网络的Internet阻应用攻击所承受的技术有〔1〔2〕IP/URLURLRUL，还能检〔3〕TCP/IP数据包和恳求，以查找攻击行为。至少，这需要能够终止传输层协议，并且在整木马、病毒等IP地址，检查访问的IP地址或者端口是否合法，有效的TCP/IP〔4〕访问网络进程跟踪。访问网络进程