企业网络组建

摘要随着网络技术新系统、新领域的长足发展，传统公司也正运用其行业的特点，融合网络技术的优势，发展本身。在信息化生产逐步普及的今天，组建公司内部网络已经是公司必不可少的一部分，建立高速、稳定、安全、智能的办公网，是组建中小型公司局域网的核心。中小型公司局域网建设,必须采用“构造化、系统化”思想做指导。一种良好的、规范的网络开发过程不仅不会成为干扰实际健忘工作的负担，相反会使设计的工作更清晰、更加高效和更令人满意，同时也能够大大减少网络开发成本和提高网络工程质量。本网络设计定位于公司局域网设计，因此配备了比较完备的硬件资源。在内容选择上，首先以对中小型公司的网络拓扑和所需设备进行了设计；另首先用很直观的网络拓扑图概述了本次毕业设计有关的网络安全、网络所需设备以及所实现的网络功效和应用等。广东港隆文含有限公司对网络性能和网络安全规定严格。使用业界流行的核心层—汇聚层—接入层三层构造设计的公司局域网，结合广为使用的通过划分虚拟局域网（VLAN）隔离不同部门，访问控制列表（ACL）控制端口进出数据包，网络地址转换（NAT）节省公有地址、动态分派IP（DHCP）、热备份路由(HSRP)等技术，增强网络的稳定性和安全性。[核心词]：局域网网络拓扑VLAN网络安全系统实施、ACL、NAT目录摘要 I1概述 01.1课题背景 01.2项目需求 11.3管理需求 22原则网络系统设计 22.1网络设计规定 22.2网络设计原则 32.3公司网络层设计 32.4IP地址规划 43VLAN划分 73.1

基于端口划分的VLAN 73.2基于MAC地址划分VLAN 73.3基于网络层划分VLAN 74网络安全 84.1安全需求 84.2防火墙 94.3入侵检测 95网络安全管理 105.1局域网安全控制与病毒防治方略 105.2局域网安全控制方略 105.3病毒防治 116结论 12参考文献 131概述 11.1课题背景 11.2项目需求 11.3管理需求 22原则网络系统设计 32.1网络设计规定 32.2网络设计原则 32.3公司网络拓扑设计 32.4IP地址规划 43VLAN划分 53.1

基于端口划分的VLAN 53.2基于MAC地址划分VLAN 53.3基于网络层划分VLAN 54网络安全 64.1安全需求 64.2防火墙 64.3入侵检测 65网络安全管理 75.1局域网安全控制与病毒防治方略 75.2局域网安全控制方略 75.3病毒防治 86结论 9参考文献 91概述1.1课题背景现在，我国中小公司数量已超出1000万家。在国民经济中，60%的总产值来自于中小公司，并为社会提供了70%以上的就业机会。然而，在中国国民经济和社会发展中始终占据着至关重要的战略地位的中小公司，其信息化程度却十分落后。此后如何应对瞬息万变、竞争激烈的国内外市场环境以及如何运用网络技术快速提高公司核心竞争力为公司成败的核心。中小型公司的信息化建设工程普通有规模小、构造简朴的特点，综合资金投入、专业人才以及将来发展等因素，网络实用性、安全性与拓展性（升级改造能力）是中小型公司实现信息化建设的重要规定，局域网内进行信息交流涉及公布告知,安排日程表、工作计划,提交工作总结,进行信息汇总等也是公司的规定。因此，成本低廉、炒作简易、便于维护并能满足业务运用需要的网络办公环境是这一领域的真正需求。针对绝多数中小型公司集中办公这一现实特点，组建一种适合中小公司需求的高性价比实用的网络是十分有实际意义的。港隆文含有限公司创立于一九八九年，是一家专业从事办公文具研发、生产、加工、销售的规模化公司。公司生产设施齐全，以美国、德国生产线及进口原料为主．产品种类齐全．涵盖面广，重要产品有PP制品，注塑产品、PVC制品，纸制品等多个系列三百多个品种。公司投产二十数年来，本着务实创新的团体创业精神，以品质、诚信享誉业界，以及众多客户不离不弃的鼎力支持．公司规模日益壮大。1.2项目需求公司现在开展的公司网建设，旨在推动公司的信息化建设，其最后建设目的是将公司建设成了一种借助信息化办公和管理的高水平的智能化、数字化的公司网络，满足公司信息化的规定，为各类应用系统提供方便，快捷的信息通路，含有良好的性能，能够支持大容量和实时性的各类应用，能够可靠的运行，含有较低的故障率和维护规定。公司的网络系统是建立在高速光纤网的基础上，构建内网互相独立的网络系统，以提供安全的办公局域网和可访问Internet的网络系统。实现各部门内部和各部门之间公共网络化，构建网络信息共享，实现资源共享，为各部门提高办事效率办事透明度以及快速反映提供可靠的保障。网络系统重要是以光纤作为传输媒介、IP和Internet技术为技术主体、核心路由器为交换中心、下属部门信息网络系为分接点的多层构造、提供与多个网络技能有关的、功效齐全、技术先进、资源统一的网络应用系统。网络系统建设重要实现下列功效：1．系统主干采用百兆以太网交换，下属子网采用百兆以太网，采用TCP/IP合同，提供原则化的高速度主干网连接，实现100Mb/s交换到桌面的网络。使用三层交换机来替代路由，实现数据的快速转发；2．公司网络内部资源的共享，涉及文献共享，硬件共享，软件共享等；3．文献传输能快速地，在不需要移动存储设备的状况下在各电脑之间进行文献的拷贝；4．能通过内部网络高速接入Internet进行工作，浏览网页查找资料；5．交换机采用主流、成熟和售后服务均佳的产品，含有较高的性价比。网络中使用的设备和合同应完全符合国际通用的技术原则。1.3管理需求公司网络系统必需含有有完善的、安全的智能化网络管理功效，其基本需求以下：(1)网络设备支持基于端口的虚拟网（VLAN）划分，运用网络管理软件能动态地调节配备VLAN。。这样易于实现网络重组并含有隔离广播风暴的能力；(2)含有基于端口的访问控制模式，有效避免外部或内部对某些重要信息点的访问，达成控制信息流向的目的使划分的各虚网之间既能互相共享所需的信息，又能分别独立运作，增强网络的安全性；(3)加强各虚网之间信息的安全性动态监控登录网络代理顾客数，有效及时地避免某些非法访问；(4)对网络故障及时报警，并实现隔离。2原则网络系统设计2.1网络设计规定本网络重要进行路由组织、IP地址、网络安全、VLAN划分和设备具体配备等设计。公司局域网是公司网建设的基础，也是本次公司网络系统组建规划的重要工作，其它全部的建设都是建立在此基础之上的。公司信息网络系统应是一种以宽带IP网为目的，建立数据连接为一体化的内部办公网络和外部宽带。网络系统应实现虚拟局域网（VLAN）的功效，以确保全网的良好性能及网络安全性。主干网交换机应含有很高的传输速度，整个网络应含有高速的三层交换功效。2.2网络设计原则遵照《中国公众多媒体通信网技术体制》、《中国公众多媒体通信网工程实施技术规定》、以及其它国家有关原则和技术体制。采用层次化设计，网络构造的不同部分有不同的功效，使网络含有优良的构造。提供有效的安全保密方法，确保整个网络的安全。网络含有较强的可升级性，在将来需要时能够对网络进行必要的扩充。在增加新硬件设备时能方便地接入网络，软件上便于更新、维护、升级。尽量具体精确，减低工程的复杂程度，使系统建设和改造的工作量减至最少，以确保工程的顺利和有效完毕。2.3公司网络层设计物理层：物理层是计算机网络osi模型中最低的一层。它规定：为传输数据所需要的物理链路创立，维持，拆除，而提供含有机械的，电子的，功效的和归范的特性。简朴的说，物理层确保原始的数据可在多个物理媒体上传输。局域网和广域网都是第1，2层。物理层即使是osi的最底层，但是它却是整个开发系统的基础。物理层为设备之间的数据通信提供传输媒体及互连设备，为传输数据提供可靠环境。简朴地可把它描述为信号和介质。数据链路层：数据链路层是osi参考模型中的第二层，介乎于物理层和网络层之间。数据链路层在物理层提供的服务上向网络层提供服务，其最基本的服务是将源自网络层的数据可靠的传输到相邻结点的目的机网络层。为完毕这一目的，数据链路必须含有某些对应功效，将数据组合成数据快，我们在数据链路层中称这种数据为桢，桢是数据链路层的传送单位；如何控制桢在物理信道上的传输，尚有如何解决传输差错，如何调节发送速率以使之与接受方匹配；尚有的就是在两个网络实体之间提供数据链路通路的建立，维持和释放的管理。网络层；它是osi参考模型中的第三层，介于传输层和数据链路层之间，它的数据链路层提供的两个相邻端点之间的数据桢的传输功效上，更进一步的管理网络中的数据传输通信，将数据设法从源端通过若干个中间节点传送到目的端，从而向运输层提供最基本的端到端的数据传输服务。重要有：虚电路分组交换和数据报分组交换，路由选择算法，阻塞控制办法，X25合同，综合业务数据网，异步传输模式及国际互连原理与实现。网络层的目的是实现两个端系统之间的数据透明传送，其中涉及寻址和路由选择，建立连接，终止和保持等。2.4IP地址规划绝大多数公司局域网采用TCP/IP合同，因此IP地址规划在组建公司局域网时至关重要。在公司网网络规划中，好的IP地址方案不仅能够减少网络负荷,还能为后来的网络扩展打下良好的基础。IP地址规划应考虑：唯一性——一种IP网络中不能有两台主机采用相似的IP地址;持续性——为同一网络区域分派持续的网络地址，缩减速路由表的表项，提高路由表的解决效率;可扩充性——为一种网络区域分派的IP应有一定的地址冗余，方便于主机数量增加，确保网络的可持续发展;简朴性——地址分派简朴，避免在主干上采用复杂的掩码方式;安全性——公司网络内可按不同的部门划分不同的网段，方便进行管理。公司申请了一种B类公网IP：下列表格为本设计方案的网络地址规划：设备IP地址分派表和部门IP地址分派表有6个部门，2的n次≥6，因此n的最小值为3。需要3位来划分子网。将用二进制表达11000000101010000000000000000000借三位后划分6个子网掩码1100000010101000001000000000000011000000101010000100000000000000110000001010100001100000000000001100000010101000100000000000000011000000101010001010000000000000110000001010100011000000000000003VLAN划分3.1

基于端口划分的VLAN

这种划分VLAN的办法是根据以太网交换机的端口来划分，例如我们能够把交换机的1~8端口为VLAN

４，９~15为VLAN

11，16~24为VLAN22，固然，这些属于同一VLAN的端口能够不持续，如何配备，我们能够单独配备。根据端口划分是现在定义VLAN的最广泛的办法，IEEE802.1Q规定了根据以太网交换机的端口来划分VLAN的国际原则。这种划分的办法的优点是定义VLAN组员时非常简朴，只要将全部的端口都定义一下就能够了。它的缺点是如果VLAN

A的顾客离开了原来的端口，到了一种新的交换机的某个端口，那么就必须重新定义。

3.2基于MAC地址划分VLAN

基于MAC地址的VLAN分派方案确实可使某些移动、添加和更改操作自动化。如果顾客根据MAC地址被分派到一种VLAN或多个VLAN，他们的计算机能够连接交换网络的任何一种端口，全部通信量均能对的无误地达成目的地。显然，管理员要进行VLAN初始分派，但顾客移动到不同的物理连接不需要在管理控制台进行人工干预；例如有诸多移动顾客的站，他们并非总是连接同一端口，或许由于办公室都是临时性的，采用基于MAC地址的VLAN可避免诸多麻烦。3.3基于网络层划分VLAN

这种划分VLAN的办法是根据每个主机的网络层地址或合同类型(如果支持多合同)划分的，即使这种划分办法是根据网络地址，它查看每个数据包的IP地址，但由于不是路由，因此，没有RIP，OSPF等路由合同，这样能够减少网络的通信量。但这种办法效率低，由于检查每一种数据包的网络层地址是需要消耗解决时间的。4网络安全4.1安全需求可用性：

授权实体有权访问数据。

机密性：

信息不暴露给未授权实体或进程。

完整性：

确保数据不被未授权修改。

可控性：

控制授权范畴内的信息流向及操作方式。

可审查性：对出现的安全问题提供根据与手段。

访问控制：需要由防火墙将内部网络与外部不可信任的网络隔离，对与外部网络交换数据的内部网络及其主机、所交换的数据进行严格的访问控制。同样，对内部网络，由于不同的应用业务以及不同的安全级别，也需要使用防火墙将不同的LAN或网段进行隔离，并实现互相的访问控制。

数据加密：数据加密是在数据传输、存储过程中避免非法窃取、篡改信息的有效运用多个技术，如VLAN、防病毒体系等，对各个部门、系所访问进行控制，各单位之间在未授权的状况下不能互相访问，确保系统内部的安全。内网对安全的需求涉及VLAN设立需求、防病毒系统需求、网络管理需求和网络系统管理等。4.2防火墙在与Internet相连的每一台电脑上都装上防火墙，成为内外网之间一道牢固的安全屏障。在防火墙设立上按照下列原则配备来提高网络安全性:

(1)根据校园网安全方略和安全目的，规划设立对的的安全过滤规则，规则审核IP数据包的内容涉及：合同、端口、源地址、目的地址、流向等项目，严格严禁来自公网对校园内部网不必要的、非法的访问。总体上遵从“不被允许的服务就是被严禁”的原则.

(2）严禁访问系统级别的服务(

如HTTP

,

FTP等)。局域网内部的机器只允许访问文献、打印机共享服务。使用动态规则管理，允许授权运行的程序开放的端口服务，例如网络游戏或者视频语音电话软件提供的服务。

4.3入侵检测入侵检测系统是防火墙的合理补充，协助系统对付网络攻击。扩展系统管理员的安全管理能力．提高信息安全基础构造的完整性。入侵检测系统能实时捕获内外网之间传输的数据，运用内置的攻击特性库，使用模式匹配和智能分析的办法，检测网络上发生的入侵行为和异常现象，并统计有关事件。入侵检测系统还能够发出实时报警，使网络管理员能够及时采用应对方法。5网络安全管理5.1局域网安全控制与病毒防治方略要确保信息安全工作的顺利进行，必须重视把每个环节贯彻到每个层次上，而进行这种具体操作的是人，人正是网络安全中最单薄的环节，然而这个环节的加固又是见效最快的。因此必须加强对使用网络的人员的管理，注意管理方式和实现办法。从而加强工作人员的安全培训。增强内部人员的安全防备意识，提高内部管理人员整体素质。同时要加强法制建设，进一步完善有关网络安全的法律，方便更有利地打击不法分子。对局域网内部人员，从下面几方面进行培训：(1)加强安全意识培训，让每个工作人员明白数据信息安全的重要性，理解确保数据信息安全是全部计算机使用者共同的责任。(2)加强安全知识培训，使每个计算机使用者掌握一定的安全知识，最少能够掌握如何备份本地的数据，确保本地数据信息的安全可靠。(3)加强网络知识培训，通过培训掌握一定的网络知识，能够掌握IP地址的配备、数据的共享等网络基本知识，树立良好的计算机使用习惯。5.2局域网安全控制方略安全管理保护网络顾客资源与设备以及网络管理系统本身不被未经授权的顾客访问。现在网络管理工作量最大的部分是客户端安全部分，对网络的安全运行威胁最大的也同样是客户端安全管理。只有解决网络内部的安全问题，才能够排除网络中最大的安全隐患，对于内部网络终端安全管理重要从终端状态、行为、事件三个方面进行防御。运用现有的安全管理软件加强对以上三个方面的管理是现在解决局域网安全的核心所在。(1)运用桌面管理系统控制顾客入网。(2)采用防火墙技术。采用防火墙技术发现及封阻应用攻击所采用的技术有：①深度数据包解决。②IP/URL过滤。②TCP/IP终止。④访问网络进程跟踪。(3)属性安全控制。5.3病毒防治病毒的侵入必将对系统资源构成威胁，影响系统的正常运行。特别是通过网络传输的计算机病毒，能在很短的时间内使整个计算机网络处在瘫痪状态，从而造成巨大的损失。因此，避免病毒的侵入要比发现和消除病毒更重要。防毒的重点是控制病毒的传染。防毒的核心是对病毒行为的判断，如何有效分辨病毒行为与正常程序行为是防毒成功与否的重要因素。防病毒体系是建立在每个局域网的防病毒系统上的，重要从下列几个方面制订有针对性的防病毒方略：(1)增加安全意识和安全知识，对工作人员定时培训。首先明确病毒的危害，文献共享的时候尽量控制权限和增加密码，对来历不明的文献运行迈进行查杀等，都能够较好地避免病毒在网络中的传输。这些方法对杜绝病毒，主观能动性起到很重要的作用。(2)小心使用移动存储设备。在使用移动存储设备之迈进行病毒的扫描和查杀，也可把病毒回绝在外。(3)挑选网络版杀毒软件。普通而言，查杀与否彻底，界面与否和谐、方便，能否实现远程控制、集中管理是决定一种网络杀毒软件的三大要素。通过以上方略的设立，能够及时发现网络运行中存在的问题，快速有效的定位网络中病毒、蠕虫等网络安全威胁的切入点，及时、精确的切断安全事件发生点和网络。局域网安全控制与病毒防治是一项长久而艰巨的任务，需要不停的探索。随着网络应用的发展计算机病毒形式及传输途径日趋多样化，安全问题日益复杂化，网络安全建设已不再像单台计算安全防护那样简朴。计算机网络安全需要建立多层次的、立体的防护体系，要含有完善的管理系统来设立和维护对安全的防护方略。6结论本网络设计