中小型企业网络的配置
与管理
集团标准化工作小组 #Q8QGGQT-GX8G08Q8-GNQGJ8-MHHGN#
XX信息职业技术学院 毕业设计(论文)
论文题目:中小型企业网的配置与管理 系 别:
专 业: 班 级:
学 号:
学生姓名: 指导教师:
目录
中小型企业网的配置与管理
摘要:
随着计算机网络的迅猛发展,internet已经延伸到全球的各个角落,渗透到了人类社会的每个领域以及人们日常生活的方方面面。目前,internet的WWW(网络信息服务)服务更是得到了广泛的应用,许多企业建立网站,通过internet来展示企业形象,发布产品资讯,提供服务以及开展电子商务。各级政府部门也积极开展电子政务,网上办公。
当今中小企业与大企业一样,都广泛使用信息技术,特别是网络技术,以不断提高企业的竞争力。企业信息设施在提高企业效益的同时,也给企业增加了风险隐患。大企业所面临的安全问题也一直困扰着中小企业,关于中小企业网络安全的相关报导也一直层不穷,给中小企业所造成的损失不可估量。由于涉及企业形象的问题,所曝光的事件只是冰山一角。针对中小企业网络安全事故大多不为人所知。由于网络特有的开放性,网络安全问题日益严重。
目前网络易遭受的攻击包括分组监听IP、电子欺骗、拒绝服务攻击、木马等。他们都会严重影响企业的收入、声誉、和客户满意度。网络安全问题将给企业带来巨大的危害,企业将承受巨大的经济损失、降低生产率、并失去业务机会。
关键词:计算机网络、网络安全、网络技术。
1. 概述 企业网络现状
随着中小企业用户市场的不断成熟与需求的日趋稳定,越来越多的安全厂商将加入到中小企业提供广泛的网络安全产品中间来。
目前,中小企业用户占我国企业化主体比重的95%以上,但由于分布较散,购买力相对较弱,中小企业的安全问题似乎一直没有得到安全厂商的足够重视。市场上的安全产品五花八门种类繁多,但是针对中小企业的安全解决方案寥寥无几。产品仅仅是简单的客户端加服务器,不能完全解决中小企业用户所遭受的安全威胁。
目前的中小企业由于人力和资金上的限制,企业网络系统相对简单,有的甚至只是实现简单的互联功能,或者靠简单的分发工具。据了解许多中小企业没有设置专门的网络管理员,一般采用兼职管理方式,重视中小企业的网络管理在安全性方面存在严重漏洞,与大型企业、行业用户相比,他们更容易受到网络病毒的侵害,损失同样严重。另一方面,由于网络维护、运行、升级等实物工作繁重而且成本较高,这也使得善于精打细算的中小企业在防范病毒问题上进退两难。 企业网络建设目标 1.2.1 提高带宽性能
现在大部分的中小型企业,由于带宽有限,加上不必要的带宽消耗,让企业网络的整体网络性能大大减少。随着计算机技术的高速发展,基于网络的各种应用日益增多,今天的企业网络已经发展成为一个多业务承载平台。不仅要继续承载企业的办公自动化,Web浏览等简单的数据业务,还要承载涉及企业生产运营的各种业务应用系统数据,以及带宽和时延都要求很高的IP电话、视频会议等多媒体业务。因此,数据流量将大大增加,尤其是对核心网络的数据交换能力提出了前所未有的要求。
1.2.2让企业网络稳定、可靠
无论是大型企业还是中小型企业都要具备稳定可靠性,以实现网络通信的实时畅通,保障企业生产运营的正常进行。随着企业各种业务应用逐渐转移到计算机网络上来。网络通信的无中断运行已经成为保证企业正常生产运营的关键 1.2.3让企业网络易于管理
目前,许多中小企业没有专门的网络管理员,网络管理在安全性方面存在严重漏洞。设立网管中心有利于企业网络的管理,某种程度上也增加了企业网络的安全性。
2.需求分析 网络功能需求
共享公司的各种信息资料,发布公司内部及时消息。
实时传递行业政策、市场变化信息;及时获取国际国内重大新闻等信息。 动态查询产品的生产、销售、库存等实时数据和客户、员工的档案信息。 提供销售、生产、会计、统计等报表供相关人员查阅、分析。
发布电脑方面的文章以提高员工的计算机知识;发布相关业务培训内容。 以FTP方式提供大量应用软件和实用工具,供内部员工下载使用。 通过代理服务器使公司的计算机均能以低廉费用接入Internet。 网络性能需求
经济性 实用性 稳定性 安全性 易管理性 可扩展性 网络设备需求
中小企业网计划采用10M的光线以太网接入到因特网服务提供商的网络,然后接入到因特网中,使企业实现与外界的信息交换和网络通信。整个企业统一一个出口访问internet。
网络设备必须在技术上具有先进性、通用性、必须便于管理、维护。网络设备应应该具备未来良好的可扩展性、可升级性,保护用户的投资。网络设备必须具有良好的在
满足功能与性能的基础上性能价格比最优。网络设备应该选择拥有足够实力和市场份额的厂商的主流产品,同时设备厂商必须要有良好的市场形象与售后技术支持。 3.方案设计 设计原则
➢ 经济性:用性价比较好的网络及设备,以较低廉的投资获取较高性能。 ➢ 实用性:确保信息加速传递、提高工作效率,节约办公费用。
➢ 操作性: 界面图形化、操作按钮化,办公人员在简单培训后能熟练运用。 ➢ 扩展性: 新增的硬件设备能方便接入网络;软件便于更新、维护、升级。 网络规划
局域网分为核心层、工作站层、接入层、服务器群四个部分来设计拓扑结构如图1:
图1:企业网络规划图
3.2.1 vlan划分
表1:VLAN划分表 中心交换机 Vlan号 IP地址 接入设备 1 —— 10 —— WWW服务器、DNS服务器 SW1 Vlan号 IP地址 接入部门 1 —— 10 —— 财务部 SW2 20 —— 人事部 20 —— 打印机 30 —— FTP服务器 40 —— Mail服务器 Vlan号 IP地址 接入部门 3.2.2 IP地址分配 表2:IP地址分配表 财务部 人事部 市场营销部 客服部 WWW服务器 DNS服务器 打印机 FTP服务器 Mail服务器 1 —— 30 —— 市场营销部 40 —— 客服部 Router1 F0/0 S1/1 F0/ F0/ F0/ F0/ 核心层建设 3.2.1核心层作用
核心交换机位于网络中心,是整个局域网的灵魂。它对整个网络的性能、可靠性起决定性作用。它连接各个物理子网;负责高速地对端到端设备进行数据包交换;控制VLAN间访问;保证信息安全。
3.2.2核心层网络类型选择
作为主干网连接着服务器和楼层交换机,可局部采用千兆以太网。千兆以太网可提供 1Gbps的通信带宽,具有以太网简易性,比其它类似速率的通信技术价格低廉。千兆以太网还能在当前以太网基础上平滑过渡,这意味着现有的投资可以在合理的初始开销上延续到千兆以太网,不需要对技术支持人员和用户做重新培训,无需另外配置协议、购买中间部件,具有一定的前瞻性。 3.2.3核心层交换机选择
在进行网络规划设计时核心层的设备通常要占大部分投资,为了减少投资,我们选择两层交换。
3.2.4核心层升级方案
➢ 添加接口模块数量,实现用户和信息点的扩充; ➢ 改用光纤,提高主干带宽;
➢ 提高主干带宽、实现主干线路互备份; 接入层建设 3.4.1 接入层作用
入层交换机为楼层工作组级交换机,为每个用户提供100Mbps以太接入端口,负责将用户数据馈入网络。它直接完成本地数据交换,将其它网段数据送到核心层。通过 VLAN 的合理划分,方便用户在网络中移动,保证部门信息安全。 3.4.2接入层网络类型选择
在当今现有的高速局域网技术中,由于快速以太网(100BASE-T)性能优良、价格低廉、升级和维护方便,通常都将它作为首选。快速以太网在过去广泛接的10BASE-T以太网基础之上,提供向100Mbps的平滑、连续性的网络升级。 3.4.3交换机的连接
工作站少的部门只需一台二层交换机,下联用户端上联核心交换机。信息点分布密集的部门采用多台交换机堆叠或者级联。连接介质可以是光纤、双绞线。 3.4.4 VLAN的划分
通过VLAN 实现隔离和限制本地流量的功能:把工作内容相近的PC机、经常共享数据的信息点划分在同一个 VLAN 中可以提高网络效率;设定相应地访问权限可以增强网络安全。根据员工分布情况,二层交换机可以每个独立构成一个VLAN,也可以多个构成一个VLAN。 3.4.5交换机的选择
高端口密度、支持VLAN划分。 服务器系统
3.5.1服务器系统的作用
服务器群的主要功能是为客户端提供各种网络服务,包括:资源共享、Web服务、文件传输、域名解析…… 3.5.2服务器的连接
服务器的连接位置可以很灵活,整个网络用户都公用的服务器直接连到核心交换机上,连接介质可以采用光纤或双绞线。各个部门单独使用的服务器可以连到部门交换机上,提供该部门的特定网络服务。 3.5.3服务器的选择 表3:服务器选择 功 能 域名解析 IP 选项自动配置 服务器名称 DNS服务器 DHCP服务器 资源共享 电子邮件收发管理 浏览网页 FTP服务器 Mail服务器 Web服务器 4.方案实施
公司网络拓扑图,如图2。
图2 公司网络拓扑图
1、在中心交换机上划分4个VLAN,分别为VLAN10、VLAN20、VLAN30、VLAN40,WEB服务器、DNS服务器接入vlan10,打印机、FTP服务器、mail服务器分别接入VLAN20、VLAN30、VLAN40。
2、在SW1上划分两个vlan:vlan10、vlan20。分别作为公司的财务部和人事部。 3、在SW2上划分两个vlan:vlan30、vlan40。分别作为公司的市场营销部和客服部。
4、出于方便,我们在出口路由上做DHCP服务,让市场营销部和客服部的员工能自动学习到IP地址。
5、为了公司不同的部门之间可以互相访问,在出口路由器上做单臂路由。 6、通过在router1上做NAT地址转换,让总公司的用户能快速访问Internet。 7、通过端口映射,是外网能访问内网的WWW服务器
8、公司除了中心网管,所有用户都能正常访问内网WWW服务器。 9、禁止中心网管访问外网。
10、 打印机只供财务部和人事部使用。
11、 全网设备开启TELNET,让管理服务器可以登陆进行管理。
各设备配置
4.1.1 核心交换机配置
Switch>enable 进入特权配置模式 Switch#configure 进入全局配置模式 Switch(config)#vlan 10 创建vlan10 Switch(config-vlan)#exit 退出 Switch(config)#int r f0/3-8
Switch(config-if-range)#switchport access vlan 10 把相应接口加入vlan10 Switch(config-if-range)#exit Switch(config)#vlan 20 Switch(config-vlan)#exit Switch(config)#int r f0/9-11
Switch(config-if-range)#switchport access vlan 20 Switch(config-if-range)#exit Switch(config)#vlan 30 Switch(config-vlan)#exit Switch(config)#int r f0/12-14
Switch(config-if-range)#switchport access vlan 30 Switch(config-if-range)#exit Switch(config)#vlan 40 Switch(config-vlan)#exit Switch(config)#int r f0/15-18
Switch(config-if-range)#switchport access vlan 40 Switch(config-if-range)#exit Switch(config)#int r f0/21-24
Switch(config-if-range)#switchport mode trunk 把相应接口打trunk Switch(config-if-range)#exit
Switch(config)#interface vlan 1 进入vlan1
配置IP地址
Switch(config-if)#no shutdown 启用该vlan Switch(config-if)#exit
Switch(config)#int f0/1 进入f0/1口
Switch(config-if)#switchport mode access 把接口模式改为ACCESS口 Switch(config-if)#switchport port-security 启用端口安全措施
Switch(config-if)#switchport port-security violation protect 指出出现安全违规时应该发生的事
Switch(config-if)#switchport port-security mac-address 0001.970C.7AE9 端口和MAC地址绑定 Switch(config-if)#exit
Switch(config)#enable password 123 设置登入特权模式密码 Switch(config)#line vty 0 1 开启telnet功能
Switch(config-line)#password admin 321 设置telnet登入密码 Switch(config-line)#login 允许telnet登入 Switch(config-line)#exit 4.1.2 工作站交换机SW1配置 Switch>enable Switch#configure Switch(config)#vlan 10 Switch(config-vlan)#exit Switch(config)#int r f0/1-10
Switch(config-if-range)#switchport access vlan 10 Switch(config-if-range)#exit Switch(config)#vlan 20 Switch(config-vlan)#exit Switch(config)#int r f0/11-20
Switch(config-if-range)#switchport access vlan 20
Switch(config-if-range)#exit Switch(config)#int r f0/23-24
Switch(config-if-range)#switchport mode trunk Switch(config-if-range)#exit Switch(config)#interface vlan 1 4
Switch(config-if)#no shutdown Switch(config-if)#exit
Switch(config)#enable password 123 Switch(config)#line vty 0 1
Switch(config-line)#password admin 321 Switch(config-line)#login 4.1.3工作站交换机SW2配置 Switch>enable Switch#configure Switch(config)#vlan 30 Switch(config-vlan)#exit Switch(config)#int r f0/1-10
Switch(config-if-range)#switchport access vlan 30 Switch(config-if-range)#exit Switch(config)#vlan 40 Switch(config-vlan)#exit Switch(config)#int r f0/11-20
Switch(config-if-range)#switchport access vlan 40 Switch(config-if-range)#exit Switch(config)#int r f0/23-24
Switch(config-if-range)#switchport mode trunk Switch(config-if-range)#exit Switch(config)#interface vlan 1
5
Switch(config-if)#no shutdown Switch(config-if)#exit
Switch(config)#enable password 123 Switch(config)#line vty 0 1
Switch(config-line)#password admin 321 Switch(config-line)#login 4.1.4出口路由配置
Router>enable 进入特权配置模式
Router#configure terminal 进入全局配置模式 Router(config)#interface f0/0 进入f0/0接口 Router(config-if)#ip address 配置接口IP地址 Router(config-if)#no shutdown Router(config-if)#exit
Router(config)#int f0/ 进入f0/0下的子接口
Router(config-subif)#encapsulation dot1Q 10 绑定vlan中继协议 配置子接口IP
Router(config-subif)#no shutdown 激活该子接口 Router(config-subif)#exit
Router(config)#int f0/ 进入f0/0下的相应子接口
Router(config-subif)#encapsulation dot1Q 20 绑定vlan中继协议 Router(config-subif)#ip address 配置子接口IP Router(config-subif)#no shutdown Router(config-subif)#exit Router(config)#int f0/
Router(config-subif)#encapsulation dot1Q 30 Router(config-subif)#ip address shutdown Router(config-subif)#exit
Router(config)#int f0/
Router(config-subif)#encapsulation dot1Q 40 Router(config-subif)#ip address shutdown Router(config-subif)#exit Router(config)#
Router(config)#int s1/1 进入s1/1口 Router(config-if)# 配置IP地址
Router(config-if)#clock rate 9600 设置时钟频率 Router(config-if)#no shutdown 激活该接口 Router(config-if)#exit 0.0.03
Router(config)#access-list 101 permit ip any any 控制访问列表101允许其他IP 0.0.0
Router(config)#access-list 102 permit ip any any Router(config)#access-list 103 deny ip 0.0.0.255 Router(config)#access-list 103 deny ip 0.0.0.255 Router(config)#access-list 103 permit ip any any
Router(config)#ip nat inside source list 1 pool 1 overload 将ACL1允许的原地转转换成POOL 1中的地址
Router(config)ip dhcp pool vlan30 定义名为vlan30的地址池 定义该地址池的地址段 定义分配给PC的网关
Router(config)ip dhcp pool vlan40 Router(config)#enable password 123 Router(config)#line vty 0 1
Router(config-line)# password admin 321 Switch(config-line)#login Router(config)#interface f0/0
Router(config-if)#ip access-group 101 in 该接口为NAT内部接口 Router(config-if)#ip access-group 102 in Router(config-if)# ip nat inside Router(config-if)#exit Router(config)#int f0/
Router(config-subif)# ip nat inside Router(config-subif)#exit Router(config)#int f0/
Router(config-subif)#ip nat inside Router(config-subif)#exit Router(config)#int f0/
Router(config-subif)#ip nat inside
Router(config-subif)#ip access-group 103 in Router(config-subif)#exit Router(config)#int f0/
Router(config-subif)#ip nat inside
Router(config-subif)#ip access-group 103 in Router(config-subif)#exit Router(config)#int S1/1
Router(config-if)#ip nat outside 该接口为NAT外部网络
5.测试
做了单臂路由后,内网全网通信。 以客服部主机做测试PC。 与WWW服务器通信,见图3
图3 与WWW服务器通信测试图
与FTP服务器通信,见图4
图4 与FTP服务器通信测试图
与打印机通信,见图5
图5 与打印机通信测试图
与财务部通信,见图6
图6 与财务部通信测试图
做了NAT后,实现内网与外网通信。 中心网管主机做测试PC,见图7
图7 与外网通信测试图
做控制访问列表相关主机测试
中心网管不能通过WWW访问web服务器,见图图8 访问WEB服务器测试图
中心网管无法与外网通信,见图9.
图9 与外网通信测试图
市场营销部不能使用打印机,见图10
图10 与打印机通信测试图
客服部不能使用打印机,见图11
图11 与打印机通信测试图
远程登入管理测试 以中心网管主机做测试PC 远程管理router1,见图12 图12 远程管理router1测试图
8:
远程管理核心交换机,见图13 图13 远程管理核心交换机测试图 远程管理SW1,见图14 图14 远程管理SW1测试图 远程管理SW2,见图15 图15 远程管理SW2测试图
小结
3年的大专生活即将结束,此时此刻我要特别感谢我的指导老师,在张尚韬老师的悉心指导和严格要求下,我顺利完成了毕业论文。从课题选择、方案论证到具体设计和调试,无不凝聚着张尚韬老师的心血和汗水,在校学习和生活期间,也始终感受着导师的精心指导和无私的关怀,这让我受益匪浅。在此向张尚韬老师及学校的所有老师表示深深的感谢和崇高的敬意。
致谢
经过这段时间的努力毕业论文终于完成了。论文过程当中,我遇到不少的问题。从中,我得到了导师的帮助,也得到了同学的帮助。感谢XX老师对我的细心的帮助,也感谢帮助我的同学的无私帮助。
感谢我三年的大专生活中,教育过我的各位老师, 有了你们的指导,我学习到了很多专业方面的知识;感谢各位领导,有了你们对同学们的戏言细语,让我们学习到了如何为人处事;感谢我的同学,有了你们的陪伴,让我在这即将结束的大专生活中增添许多的欢声笑语。
最后,祝各位老师们工作美好,生活美好!祝所有同学们工作顺利、事业有成!
参考文献:
[1] 罗贤春.我国中小企业信息化建设对策研究(EB/OL) [2] 王达等.金牌网管师(M). 北京市:水利水电出版社. [3] 网络互联技术与网络设备 甘刚 孙继军 主编
因篇幅问题不能全部显示,请点此查看更多更全内容