公司网络规划

目录

摘要 .................................................................... 4 一．需求分析 ............................................................ 4

1.1客户实际需求 ..................................................... 4 1.2具体需求分析 ..................................................... 5 二．网络拓扑设计及整体实施方案 .......................................... 7

2.1公司建筑分布图 ................................................... 7 2.2拓扑设计 ......................................................... 7 2.3子网划分与VLAN设定 .............................................. 8 2.4设备选型 ........................................................ 10 三．网络布局和综合布线 ................................................. 11

3.1网络布局的具体实施要求 .......................................... 11 3.2布线系统的规划与设计 ............................................ 11 3.3网络布局的规划与设计 ............................................ 12 四．局域网的安全控制与病毒防治 ......................................... 16

4.1局域网安全威胁分析 .............................................. 16 4.2局域网安全控制与病毒防治策略 .................................... 17 五．网络管理 ........................................................... 20 总结： ................................................................. 21 参考文献： ............................................................. 21

3

公司网络设计说明书

摘要

此次课程设计的主要针对是小型公司网络的设计，它涉及到公司网的需求分析、网络规划设计、设计原则以及设备选型介绍、实施方案等各个方面，对这次设计，还涉及到公司网组建过程中的基本知识和需求分析，要求能结合公司单位的实际情况，作了深入浅出的分析和建议。

中小型公司网络系统的主干及重要的支干链路依据需求在100M和1000M以太网之间选择，网络系统可考虑采用虚拟局域网技术（VLAN），以利于网络管理和提高网络效能，利用管理平台对网络能运行情况进行监视、分析和监控，迅速判断、查找、排除网络故障。

一．需求分析

1.1客户实际需求

某公司在信息化发展浪潮的影响下计划组建本单位局域网。单位情况如下： 1. 生产车间A、B、C三幢楼与办公楼A距离分别为1000米、600米、120米；员工宿舍A、B离办公楼A分别为320米和60米；两幢办公楼间相隔30米。

2. 生产车间A、B、C有网络需求，信息点分别为30、12、25个，三个车间负责不同产品生产，为保机密性，不要求相互访问及上互联网；两幢员工宿舍分别有信息点82和107个，员工不能访问生产车间和办公楼网络，但能上互联网；办公楼A、B分别有信息点160个和60个，相隔30米，办公网络能访问生产车间并能上互联网。

3. 员工在工作时间内在公司内任何地方均可OA平台（B/S模式）、FTP平台和邮件服务器，非工作时间员工在宿舍中不能访问OA服务器和公司内部的邮件服务器。

4. 生产车间数据采集服务器，只允许办公楼能访问，其它的不能访问。 其他要求：

（1）电信给的IP地址为202.96.3.0/27，局域网使用的IP为172.16.0.0/22。

4

（2）OA、邮件服务、FTP三个服务，员工在外出差时能实时访问公司数据。 （3）生产车间数据不允许外网访问。

设计要点：实用性，经济性，先进性，可靠性，稳定性，安全性，可拓展性，可管理性

1.2具体需求分析

1. 具体硬件设备需求有：

服务器，传输介质（光纤、双绞线）、二交换机、三层交换机、路由器等。比如超过100的楼房之间采用光纤连接，小于100米内则采用双绞线，一般是五类双绞线用以千兆以太网连接。

2. 带宽：

千兆以太网是超高速主干网的一种选择方案，它在数据传输、语 音、视频等实时业务方面表现优良。千兆以太网的带频较宽，能克服以太网的弱点，提供服务保证。从网络设备的投资成本与维护成本、技术的先进性与稳定性、应用系统的开发难易程度等诸多方面考虑，应选择基于1000Mb和100Mb相结合的高速以太网技术可作为该中小型公司网络的设备、选型的主要依据之一。

需要应用的技术如下： 1，子网及VLAN的划分：

一个VLAN组成一个逻辑子网，即一个逻辑广播域，它可以覆盖多个网络设备，允许处于不同地理位置的网络用户加入到一个逻辑子网中。可以提高网络的安全性，控制网络广播，方便网络管理，VLAN可划分为基于端口的VLAN和基于MAC地址的VLAN。

通过将公司网络划分为虚拟子网（VLAN），各个部门单独划分某个VLAN，从而可以强化网络管理和网络安全，控制不必要的数据广播。当广播包的数量占到总量的30%时，网络的传输效率将会明显下降。特别是当某网络设备出现故障后，会不停地向网络发送广播，从而导致网络风暴，使网络通信陷于瘫痪。将一个大的广播域划分成若干个小的广播域。可以有效的隔离广播风暴。分隔广播域的方式有两种，一是物理分隔，即将一个完整网络物理地一分为二或一分为多，然后通过一个能够隔离广播的网

5

络设备将彼此连接起来。二是逻辑分隔，即将一个大的网络划分为若干个小的虚拟子网，也就是VLAN，各虚拟子网间通过路由设备连接实现通讯。

2，访问控制：

使用访问控制列表（ACL），按照需求限制访问，增加安全性。比如用户需求中，车间之间不能互相访问，不可上互联网，员工宿舍不能访问生产车间，和办公楼网络，但是能够访问互联网，办公楼能够访问生产车间并能上互联网，这些都需要应用到ACL技术

3，虚拟专用网VPN

使员公在外也可使用访问公司资源。 4，主要信息服务： OA、邮件服务、FTP。 主要应用程序： 1、系统应用程序：

邮件服务器，FTP服务器，OA服务器等。 3. 网间隔离

根据需求，各个部分应分别隶属于不同的VLAN，便于部门信息安全和管理。这一需求主要通过VLAN的划分策略实现。其次，在Internet与公司内部网络之间应部署防火墙以增强公司内部网络的安全性。其中，E-mail、OA数据库服务器连接在防火墙的DMZ区，与内外网间进行隔离，内网口连接公司网内核心交换机，外网口通过路由器与Internet连接。这样可以实现外来用户只能访问公司对外公开服务如公司网站，公司邮箱。这既保护了内网资源不被外部的非法入侵和破坏，也阻止了内部对外部的不良资源的使用。通过配置防火墙策略，能够对发生的安全事故进行审计和跟踪。及时的发现安全隐患和排除。

此时牵涉到防火墙设置，病毒隔离，因此这个网络系统必须具有高可靠性，和安全性

6

二．网络拓扑设计及整体实施方案

2.1公司建筑分布图

图中数字表示楼房之间距离，方块表示该楼所在地

2.2拓扑设计

主干网的设计是一个网络中心设计的核心所在，主要有两个方面组成，包括主干传输网的方案选择和主干传输网网络拓扑图，在本设计中，我们选择千兆以太网为设计原型

1．主干传输网设计方案

为了满足中小型公司的需求及长远利益，中小型公司网络系统设备应依据上述网络设计原则进行选型，在网络设备方面选用国内领先的网络互联厂商的产品，产品与服务通过智能、安全及可靠的网络将信息设备连为一体，具有很好的可靠性和稳定性。CISCO的高性能、功能全面的千兆网络产品解决方案，利用千兆以太网技术建网，网络中心交换机选用CISCO多功能千兆网管型交换机TL-SG3109，背板带宽达20G，完全满足中小型公司内办公和其他应用的需要。

2．主干传输网网络拓扑图

在本设计中我们选择MS-5103 1口千兆位以太网模块（SX/MM/850nm，0-350m）

7

或MS-5104 1口千兆位以太网模块（LX/SM/1310nm,0-6km）与下面的各个子网通过千兆位的链路相连。

2.3子网划分与VLAN设定

1. VLAN的实现

要完成VLAN的网络配置，需要在路由器和交换机分别设置。

一个VLAN组成一个逻辑子网，即一个逻辑广播域，它可以覆盖多个网络设备，允许处于不同地理位置的网络用户加入到一个逻辑子网中。可以提高网络的安全性，控制网络广播，方便网络管理，VLAN可划分为基于端口的VLAN和基于MAC地址的VLAN。

2. IP划分

由公司接入点数为：生产车间（30,12,25） + 办公楼（160,60） + 员工宿舍（84,107）

需求中给出的IP 172.16.0.0/22可满足要求。 具体分配方案： 汇聚层划分：

网络设置及服务器分配172.16.0.0/24 生产车间分配172.16.1.0/24 办公楼分配172.16.2.0/24 员工宿舍172.16.3.0/24

8

接入层再划分：

生产车间分配172.16.1.0/24 A 172.16.1.0/26 B 172.16.1.64/26 C 172.16.1.128/26 办公楼分配172.16.2.0/24 员工宿舍172.16.3.0/24 A 172.16.3.0/25 B 172.16.3.128/25

设备名 端口 vlan 端口模式 Ip地址 网关 路由wan F 0/0 trunk 202.96,3.1 Switch core Vlan1 172.16.0.1 Vlan1 172.16.0.2 Switch3cg1 Vlan11 172.16.1.1 Vlan12 172.16.1.65 Vlan13 172.16.1129 Switch3cg2 Vlan1 172.16.0.3/24 Vlan20 172.16.2.1/24 Vlan1 172.16.0.4/24 Switch3cg3 Vlan31 172.16.3.1/24 Vlan32 172.16.3.129/ 24 交换机0 Vlan1 172.16.0.5/24 Fa 0/2 Vlan11 access 交换机1 Vlan1 172.16.0.6/24 Fa 0/2 Vlan12 access 交换机2 Vlan1 172.16.0.7/24 Fa 0/2 Vlan13 access 交换机3 Vlan1 172.16.0.8/24 Fa 0/2 Vlan20 access 交换机4 Vlan1 172.16.0.9/24 Fa 0/2 Vlan20 access 交换机5 Vlan1 172.16.0.10/2 4 Fa 0/2 Vlan31 access 交换机6 Vlan1 172.16.0.11/2 4 Fa 0/2 Vlan 32 access 交换机7 Vlan1 172.16.0.12/2 4 OA服务器 Vlan1 172.16.0.13/2 4 9

E-mail服务器 ftp服务器 数据采集服务器 生产车间A 生产车间B 生产车间C 办公楼A 办公楼B 员工宿舍A 员工宿舍B Vlan1 Vlan1 Vlan1 RJ—45 RJ—45 RJ—45 RJ—45 RJ—45 RJ—45 RJ—45 172.16.0.14/24 172.16.0.15/24 172.16.0.16/24 172.16.1.2-62/26 172.16.1.66-126/26 172.16.1.130-190/26 172.16.2.2-254/24 172.16.2.2-254/24 172.16.3.2-126/25 172.16.3.130-254/26 172.16.1.1 172.16.1.65 172.16.1.129 172.16.2.1 172.16.1.1 172.16.3.1 172.16.3.129 2.4设备选型

(1)Cisco 2821路由器1台(1局域网接口)，支持网管协议、 Cisco ClickStart、SNMP等功能。

(2)Cisco WS-C3750中心交换机1台，背板带宽32Gbps。用HSRP技术进行路由备份。

(3)Cisco Catalyst 3524工作组交换机4台，用于各个办公楼内的主机接入,位于各楼的主配线间。

(4)Cisco Catalyst 2924M-XL（24口）交换机8台 （用于建筑物每一工作区楼层,可通过堆叠以获得更多端口数目，位于中间配线间）

网络中心交换机设备为Cisco WS-C3750，它的下联端口为为千兆光纤接入。用Catalyst3524(24口)作为工作组交换机连接到桌面， 3524的千兆上联口连接到中心交换机的千兆口而形成了一个强有力的网络主干；下联10/100M端口为所有教学和办公用PC提供连接，这些端口自适应的特性使PC网卡不论是旧有的10M还是新配备的100M都能应用自如，便于网络的逐步升级。两台交换机之间采用链路聚合技术进行连接,同时提供均衡负载和链路热备的功能。网络核心的冗余设计以及核心于二级节点的聚合链路连接保证了公司应用的可靠运行。强大的网络设备支持保证公司的数据，语音和视频的融合应用，保证关键业务的顺畅运行。

Internet接入路由器为Cisco 2821，2821为两个接口插槽，支持网络中心的热路由备份。保证了网络的稳定。

10

三．网络布局和综合布线

3.1网络布局的具体实施要求

对于有线局域网来说，这是我们目前公司网络建设中，经常会遇到的，需要对机房和办公大楼进行布线。规划网络布局要考虑到机房的设备布局和布线系统的合理搭配。因此我们首先要规划与设计好机房、布线系统，然后再全面地考虑网络的布局。

机房的规划与设计

为了确保网络、计算机系统稳定、安全、可靠地运行，以及保障机房工作人员有良好的工作环境，做到技术先进、经济合理、安全适用、确保质量，符合国家有关的机房设计规定。

(1)防静电

静电不仅会对计算机运行出现随机故障，而且还会导致某些元器件，双级性电路等的击穿和毁坏。此外，还会影响操作人员和维护人员的正常的工作和身心健康。

(2)防火、防盗

计算机房在设计时，重点要考虑机房的消防灭火设计。设计时可以根据消防防火级别来确定机房的设计方案，计算机房火灾报警要求在一楼设有值班室或监控点。机房里应注意防盗设施的安装，具体地可采用防盗门、防盗锁、警卫、自动报警系统等等。

(3)防雷

由于机房通信和供电电缆多从室外引入机房，易遭受雷电的侵袭，机房的建筑防雷设计尤其重要。计算机通信电缆的芯线，电话线均应加装避雷器。

(4)保湿、保温

机房里的湿度应保持在20%-80%为宜，机房的温度应保持在15℃-35℃摄氏度，安装空调来调节温度是解决此问题最好的办法。

3.2布线系统的规划与设计

有了好的机房，网络设备就有了好的“家”，组建的IT网络应当通过布线系统将机房和办公地点互联起来，确保网络的正常运行。如果公司的接入点较多，我们可以采取接入层、汇聚层、交换层三个网络层次的设计，在此基础上进行布线系统。

对于接入层来说，选择一个合理的接入设备，是最关键的，而且我们要根据接入

11

设备选择合适的带宽。汇聚层是整个局域网的核心部分，汇聚层网络设备一般支持网络管理功能，方便我们的管理和维护，方便以后我们的网络升级和改造。交换层是整个网络中的中间层，连接着汇聚层和网络节点，是决定我们整体网络传输质量的很重要的一个环节。随着百兆网络设备的普及，我们交换层的网络设备，肯定首选百兆。

布线是连接网络接入层、汇聚层、交换层和网络节点的重要环节。在布线时，最好使用专门的通道，而且不要与电源线，空调线等具有辐射的线路混合布线。

接入层与汇聚层之间的双绞线，可以选择超五类屏蔽双绞线，以使网络性能得到最大的提升。汇聚层与交换层之间的双绞线，由于是网络数据传输量最大的一个层次，同样采用超五类屏蔽双绞线。交换层与网络节点之间，我们就可以采用普通的超五类非屏蔽双绞线。

网络设备的放置，最好放在节点的中央位置，这样做，不是为了节约综合布线的成本，而是为了提高网络的整体性能，提高网络传输质量。由于双绞线的传输距离是100米，在95米才能获得最佳的网络传输质量。在做网络布线时，最好能够设计一个设备间，放置网络设备。

3.3网络布局的规划与设计

目前的网络设备大都采用机架式的结构，如交换机、路由器、硬件防火墙等。这些设备之所以有这样一种结构类型，是因为它们都按国际机柜标准进行设计，这样大家的平面尺寸就基本统一，可把一起安装在一个大型的立式标准机柜中。这样做的好处非常明显：一方面可以使设备占用最小的空间，另一方面则便于与其它网络设备的连接和管理，同时机房内也会显得整洁、美观。

我们经常接触到的放置机房里有网络机柜、服务器机柜以及综合布线柜，从这三个机柜的名字就可以看出它们各自所起的作用；一般来说，网络设备如交换机、路由器、防火墙、加密机等以及网络通信设备如光端机、调制解调器等是放置在网络机柜的；服务器机柜的宽度为19英寸，高度以U为单位 （1U=1.75英寸=44.45毫米），通常有1U，2U，3U，4U几种标准的服务器。机柜的尺寸也是采用通用的工业标准，通常从22U到42U不等；机柜内按U的高度有可拆卸的滑动拖架，用户可以根据自己服务器的标高灵活调节高度，以存放服务器、集线器、磁盘阵列柜等设备。服务器摆放好后，它的所有I/O线全部从机柜的后方引出（机架服务器的所有接口也在后方），

12

统一安置在机柜的线槽中，一般贴有标号，便于管理。

综合布线柜一般配有前后可移动的安装立柱，自由设定安装空间，可按需要配置隔板、风扇、电源插座等附件。配线架通常安装在机柜里，配线架的一面是RJ45口，并标有编号；另一面是跳线接口，上面也标有编号，这些编号和上面的RJ45口的编号是一一对应的。每一组跳线都标识有棕、蓝、橙、绿的颜色，双绞线的色线要和这些跳线一一对应，这样做不容易接错。配线架不仅仅是便于管理线对，而且可以防止串扰，增加线对的隔离空间，提供360度的线对隔离。

在机房中，必须放置交换机、功能服务器群和网络打印设备，以及局域网络连接Internet所需的各种设备，如路由器、防火墙以及网管工作站等；因此机房的网络布局一般至少有三个机柜，综合布线柜和网络机柜应当紧连在一起，便于调线操作，接下来是服务器机柜；将网络设备和布线系统进行合理的布局。

在网络布局中，每个机柜最好留点空间，便于以后网络设备、服务器设备的扩充，综合布线柜里有可能除了网络布线外，还有能布置电话线，所以要在机柜里留下一定空间。

从机柜内部线缆附设的角度看，机柜配置密度更高，容纳的IT设备更多，大量采用冗余配件(如冗余电源、存储阵列等)，机柜内设备配置频繁变换，数据线和电缆随时增减。所以，机柜必须提供充足的线缆通道，能从机柜顶部、底部进出线缆。在机柜内部，线缆的敷设必须方便、有序，与设备的线缆接口靠近，以缩短布线距离；减少线缆的空间占用，保证设备安装、调整、维护过程中，不受到布线的干扰，并保证散热气流不会受到线缆的阻挡；同时，在故障情况下，能对设备布线进行快速定位。

供电系统和制冷系统是计算机机房的两个重要部分。在供电系统中，一般采用在线的UPS供电方式，蓄电池实际可供使用的容量与蓄电池的放电电流大小、蓄电池的环境工作温度、贮存时间的长短以及负载的性质（电阻性、电感性、电容性）密切相关。制冷系统（空调）涉及到机房的整个物理环境，包括空调、地板、机柜及房间布局等诸多方面；因此UPS和空调我们也要考虑好将它们放置在一个合适的位置。如果机房空间较大，可以将UPS和空调都放在机房里；如果空间较小，可以把UPS（包括蓄电池）放在配电房里。需要注意的是如果大楼里安装有“中央空调”的话，机房里也必须安装独立的空调，因为中央空调不可能24小时都开着，上班的时间可以利用中央空调，下班和星期节假日的时候，如果服务器、网络设备需要正常运行的话，则必须要开机房里的独立空调。机柜的扩展性表现在机柜内设备密度的扩展和机柜数量

13

的扩展，因此网络布局时必须将机柜的配风能力（通常称为散热能力）以及配电能力考虑在内。一方面，机柜内的设备需要温度、湿度适宜并且风量充足的冷风（冷空气）。这些冷风被机柜内的IT设备吸入，从而为设备内的部件（尤其是CPU）降温。当机柜内设备增加到一定数量时，由地板出风口送出的冷风风量将不能满足所有设备的需求，从而形成部分IT设备配风不足而过热。

解决机柜内设备密度扩展时遇到的这种局部热点问题可以采用调配IT设备位置的方式来解决。例如，把热负荷最大的设备安装在机柜中部位置，以便获得最大的配风风量。另外的解决方法是，在机柜的上部或下部位置安装轴向水平的强排风扇，增强上部或下部的吸入能力（即减小IT设备的入口静压），从而增加配风风量。

另一方面，机柜内的设备需要供电以及与机柜外部进行通信。当机柜内的IT设备数量增加时，这些线缆、连接端子同时成倍地增加，从而对机架式电源排插的容量、插口数量都提出了扩展要求。机柜内的布线空间也是需要提前考虑的，因为当机柜内的功率密度提高时，设备后部的线缆将明显增加风阻，所以必须考虑线缆管理及走线空间的问题。

综合布线系统图如下：

14

水平区子系统 管理间子系统 工作区子系统 垂直干线子系统 建筑群子系统 管理间子系统 设备间子系统 办公楼A 办公楼B

综合布线图，此只取办公楼B的系统布线做介绍。楼群间子系统采用光缆连接，可提供千兆位的带宽，有充分的扩展余地。垂直子系统则位于高层建筑物的竖井内，可采用多模光缆或大对数双绞线。楼内布线包括水平布线和主干布线。一般水平系统采用超五类双绞线，新的楼宇采用暗装墙内的方式，旧的楼宇采用PVC线槽明装的方式。

15

四．局域网的安全控制与病毒防治

4.1局域网安全威胁分析

局域网由于通过交换机和服务器连接网内每一台电脑，因此局域网内信息的传输速率比较高，同时局域网采用的技术比较简单，安全措施较少，同样也给病毒传播提供了有效的通道和数据信息的安全埋下了隐患。局域网的网络安全威胁通常有以下几类：

1.欺骗性的软件使数据安全性降低

由于局域网很大的一部分用处是资源共享，而正是由于共享资源的“数据开放性”，导致数据信息容易被篡改和删除，数据安全性较低。例如“网络钓鱼攻击”，钓鱼工具是通过大量发送声称来自于一些知名机构的欺骗性垃圾邮件，意图引诱收信人给出敏感信息：如用户名、口令、账号ID、ATM PIN码或信用卡详细信息等的一种攻击方式。最常用的手法是冒充一些真正的网站来骗取用户的敏感的数据。以往此类攻击的冒名的多是大型或著名的网站，但由于大型网站反应比较迅速，而且所提供的安全功能不断增强，网络钓鱼已越来越多地把目光对准了较小的网站。同时由于用户缺乏数据备份等数据安全方面的知识和手段，因此会造成经常性的信息丢失等现象发生。

2.服务器区域没有进行独立防护

局域网内计算机的数据快速、便捷的传递，造就了病毒感染的直接性和快速性，如果局域网中服务器区域不进行独立保护，其中一台电脑感染病毒，并且通过服务器进行信息传递，就会感染服务器，这样局域网中任何一台通过服务器信息传递的电脑，就有可能会感染病毒。虽然在网络出口有防火墙阻断对外来攻击，但无法抵挡来自局域网内部的攻击

3.计算机病毒及恶意代码的威胁

由于网络用户不及时安装防病毒软件和操作系统补丁，或未及时更新防病毒软件的病毒库而造成计算机病毒的入侵。许多网络寄生犯罪软件的攻击，正是利用了用户的这个弱点。寄生软件可以修改磁盘上现有的软件，在自己寄生的文件中注入新的代码。最近几年，随着犯罪软件（crime ware）汹涌而至，寄生软件已退居幕后，成为犯罪软件的助手。2007年，两种软件的结合推动旧有寄生软件变种增长3倍之多。2008

16

年，预计犯罪软件社区对寄生软件的兴趣将继续增长，寄生软件的总量预计将增长20%。

4.局域网用户安全意识不强

许多用户使用移动存储设备来进行数据的传递，经常将外部数据不经过必要的安全检查通过移动存储设备带入内部局域网，同时将内部数据带出局域网，这给木马、蠕虫等病毒的进入提供了方便同时增加了数据泄密的可能性。另外一机两用甚至多用情况普遍，笔记本电脑在内外网之间平凡切换使用，许多用户将在Internet网上使用过的笔记本电脑在未经许可的情况下擅自接入内部局域网络使用，造成病毒的传入和信息的泄密。

5.IP地址冲突

局域网用户在同一个网段内，经常造成IP地址冲突，造成部分计算机无法上网。对于局域网来讲，此类IP地址冲突的问题会经常出现，用户规模越大，查找工作就越困难，所以网络管理员必须加以解决。

正是由于局域网内应用上这些独特的特点，造成局域网内的病毒快速传递，数据安全性低，网内电脑相互感染，病毒屡杀不尽，数据经常丢失。

4.2局域网安全控制与病毒防治策略

1.加强人员的网络安全培训

安全是个过程，它是一个汇集了硬件、软件、网络、人员以及他们之间互相关系和接口的系统。从行业和组织的业务角度看，主要涉及管理、技术和应用三个层面。要确保信息安全工作的顺利进行，必须注重把每个环节落实到每个层次上，而进行这种具体操作的是人，人正是网络安全中最薄弱的环节，然而这个环节的加固又是见效最快的。所以必须加强对使用网络的人员的管理，注意管理方式和实现方法。从而加强工作人员的安全培训。增强内部人员的安全防范意识，提高内部管理人员整体素质。同时要加强法制建设， 进一步完善关于网络安全的法律，以便更有利地打击不法分子。对局域网内部人员，从下面几方面进行培训：

(1)加强安全意识培训，让每个工作人员明白数据信息安全的重要性，理解保证数据信息安全是所有计算机使用者共同的责任。

(2)加强安全知识培训，使每个计算机使用者掌握一定的安全知识，至少能够掌握如何备份本地的数据，保证本地数据信息的安全可靠。

17

(3)加强网络知识培训，通过培训掌握一定的网络知识，能够掌握IP地址的配置、数据的共享等网络基本知识，树立良好的计算机使用习惯。

2.局域网安全控制策略

安全管理保护网络用户资源与设备以及网络管理系统本身不被未经授权的用户访问。目前网络管理工作量最大的部分是客户端安全部分，对网络的安全运行威胁最大的也同样是客户端安全管理。只有解决网络内部的安全问题，才可以排除网络中最大的安全隐患，对于内部网络终端安全管理主要从终端状态、行为、事件三个方面进行防御。利用现有的安全管理软件加强对以上三个方面的管理是当前解决局域网安全的关键所在。

(1)利用桌面管理系统控制用户入网。入网访问控制是保证网络资源不被非法使用，是网络安全防范和保护的主要策略。它为网络访问提供了第一层访问控制。它控制哪些用户能够登录到服务器并获取网络资源，控制用户入网的时间和在哪台工作站入网。用户和用户组被赋予一定的权限，网络控制用户和用户组可以访问的目录、文件和其他资源，可以指定用户对这些文件、目录、设备能够执行的操作。启用密码策略，强制计算机用户设置符合安全要求的密码，包括设置口令锁定服务器控制台，以防止非法用户修改。设定服务器登录时间限制、检测非法访问。删除重要信息或破坏数据，提高系统安全行，对密码不符合要求的计算机在多次警告后阻断其连网。

(2)采用防火墙技术。防火墙技术是通常安装在单独的计算机上，与网络的其余部分隔开，它使内部网络与Internet之间或与其他外部网络互相隔离，限制网络互访，用来保护内部网络资源免遭非法使用者的侵入，执行安全管制措施，记录所有可疑事件。它是在两个网络之间实行控制策略的系统，是建立在现代通信网络技术和信息安全技术基础上的应用性安全技术。采用防火墙技术发现及封阻应用攻击所采用的技术有：（1）深度数据包处理。深度数据包处理在一个数据流当中有多个数据包，在寻找攻击异常行为的同时，保持整个数据流的状态。深度数据包处理要求以极高的速度分析、检测及重新组装应用流量，以避免应用时带来时延。（2）IP/URL过滤。一旦应用流量是明文格式，就必须检测HTTP请求的URL部分，寻找恶意攻击的迹象，这就需要一种方案不仅能检查RUL，还能检查请求的其余部分。其实，如果把应用响应考虑进来，可以大大提高检测攻击的准确性。虽然URL过滤是一项重要的操作，可以阻止通常的脚本类型的攻击。（3）TCP/IP终止。应用层攻击涉及多种数据包，并且常常涉及不同的数据流。流量分析系统要发挥功效，就必须在用户与应用保持互动

18

的整个会话期间，能够检测数据包和请求，以寻找攻击行为。至少，这需要能够终止传输层协议，并且在整个数据流而不是仅仅在单个数据包中寻找恶意模式。系统中存着一些访问网络的木马、病毒等IP地址，检查访问的IP地址或者端口是否合法，有效的TCP/IP终止，并有效地扼杀木马。时等。（4）访问网络进程跟踪。访问网络进程跟踪。这是防火墙技术的最基本部分，判断进程访问网络的合法性，进行有效拦截。这项功能通常借助于TDI层的网络数据拦截，得到操作网络数据报的进程的详细信息加以实现。

封存所有空闲的IP地址，启动IP地址绑定，采用上网计算机IP地址与MAC地址唯一对应，网络没有空闲IP地址的策略。由于采用了无空闲IP地址策略，可以有效防止IP地址引起的网络中断和移动计算机随意上内部局域网络造成病毒传播和数据泄密。

(3)属性安全控制。它能控制以下几个方面的权限：防止用户对目录和文件的误删除、执行修改、查看目录和文件、显示向某个文件写数据、拷贝、删除目录或文件、执行文件、隐含文件、共享、系统属性等。网络的属性可以保护重要的目录和文件。

启用杀毒软件强制安装策略，监测所有运行在局域网络上的计算机，对没有安装杀毒软件的计算机采用警告和阻断的方式强制使用人安装杀毒软件。

3.病毒防治

病毒的侵入必将对系统资源构成威胁，影响系统的正常运行。特别是通过网络传播的计算机病毒，能在很短的时间内使整个计算机网络处于瘫痪状态，从而造成巨大的损失。因此，防止病毒的侵入要比发现和消除病毒更重要。防毒的重点是控制病毒的传染。防毒的关键是对病毒行为的判断，如何有效辨别病毒行为与正常程序行为是防毒成功与否的重要因素。防病毒体系是建立在每个局域网的防病毒系统上的，主要从以下几个方面制定有针对性的防病毒策略：

(1)增加安全意识和安全知识，对工作人员定期培训。首先明确病毒的危害，文件共享的时候尽量控制权限和增加密码，对来历不明的文件运行前进行查杀等，都可以很好地防止病毒在网络中的传播。这些措施对杜绝病毒，主观能动性起到很重要的作用。

(2)小心使用移动存储设备。在使用移动存储设备之前进行病毒的扫描和查杀，也可把病毒拒绝在外。

(3)挑选网络版杀毒软件。一般而言，查杀是否彻底，界面是否友好、方便，能

19

否实现远程控制、集中管理是决定一个网络杀毒软件的三大要素。瑞星杀毒软件在这些方面都相当不错，能够熟练掌握瑞星杀毒软件使用，及时升级杀毒软件病毒库，有效使用杀毒软件是防毒杀毒的关键。

通过以上策略的设置，能够及时发现网络运行中存在的问题，快速有效的定位网络中病毒、蠕虫等网络安全威胁的切入点，及时、准确的切断安全事件发生点和网络。

局域网安全控制与病毒防治是一项长期而艰巨的任务，需要不断的探索。随着网络应用的发展计算机病毒形式及传播途径日趋多样化，安全问题日益复杂化，网络安全建设已不再像单台计算安全防护那样简单。计算机网络安全需要建立多层次的、立体的防护体系，要具备完善的管理系统来设置和维护对安全的防护策略。

五．网络管理

该网络采用分层的拓扑结构，因此网络的安全防护也需采用分层次的拓扑防护措施。整个网络信息安全解决方案应该覆盖网络的各个层次，并且与安全管理相结合。

网络信息安全系统设计原则

（1）大幅度地提高系统的安全性和保密性；

（2）保持网络原有的性能特点，即对网络的协议和传输具有很好的透明性； （3）易于操作、维护，并便于自动化管理，而不增加或少增加附加操作； （4）尽量不影响原网络拓扑结构，便于系统及系统功能的扩展；

（5）安全保密系统具有较好的性能价格比，一次性投资，可以长期使用； （6）安全与密码产品具有合法性，并便于安全管理单位与密码管理单位的检查与监督。

基于上述思想，网络信息安全系统应遵循如下设计原则：

满足因特网的分级管理需求根据Internet网络规模大、用户众多的特点，对Internet/Intranet信息安全实施分级管理的解决方案，将对它的控制点分为三级实施安全管理。

第一级：中心级网络，主要实现防火墙控制的内外网隔离；内外网用户的访问控制；内部网的监控；内部网传输数据的备份与稽查。

第二级：部门级，主要实现内部网与外部网用户的访问控制；同级部门间的访问控制；部门网内部的安全审计。

20

第三级：终端/个人用户级，实现部门网内部主机的访问控制；数据库及终端信息资源的安全保护。

分步实施原则：分级管理分步实施由于网络系统及其应用扩展范围广阔，随着网络规模的扩大及应用的增加，网络脆弱性也会不断增加。一劳永逸地解决网络安全问题是不现实的。同时由于实施信息安全措施需相当的费用支出。因此分步实施，即可满足网络系统及信息安全的基本需求，亦可节省费用开支。

设备报价单 设备名称 路由器 交换机 交换机 交换机 型号 Cisco 2821 CiscoWS-C3750 Cisco Catalyst 3524 Cisco Catalyst 2924M-XL 单价（元） 数量（台） 8300 12000 4000 2000 1 1 4 8 合计（元） 8300 24000 16000 20000 总结：

该实验实现了小型局域网的组建，通过一系列技术，实现了足不出户进行对生产车间的管理，遥控车间生产，管理员工和办公，已经形成一个略微完善的网络系统，现代社会信息化已成为主流，但是该网络系统仍然有不完善之处，比如扩展性差等，尚需努力完善，由于搞实验所涉及的技术手段丰富，所以较为复杂，由于能力有限，尚不能达到一个完美系统设计的需求。

参考文献：

[1]《网络工程与组网技术》 清华大学出版社，北京交通大学出版社； [2]《组网技术与网络管理》 第二版，清华大学出版社；

[3]《组网技术试验实训教程》 湖南科技学院内部教材 段国云，张新林等著； [4]丁龙刚，王高亮．《综合布线与弱电工程》．北京：机械工业出版社，2007 [5]程控，金文光．《综合布线系统工程》．北京：清华大学出版社，2005

21

本文来源：https://www.bwwdw.com/article/0fq6.html