中小型企业网络构建毕业论文

Xxxx大学

毕业设计（论文）

论文题目：中小型企业网络构建

论文题目：Small and medium-sized enterprise network

design

作者姓名: 王 所在系部: 系 班级名称: 网 络 指导教师: 徐

2014 年 4 月

毕业论文设计书

南京化工职业技术学院毕业设计（论文）

1． 设计主要任务

该设计主要是要求学生全部运用所学的基础理论和专业理论知识,针对目前企业网络技术需求,设计某企业网络的方案,绘制网络拓扑结构,完成IP地址的规划,通过市场调研完成设备的选型,结合网络架构的方案以及所选择的设备,完成该企业 的网络方案的实施。 2. 设计(论文)的主要内容

此项毕业设计要求包括从网络架构方案的提出一直到网络架构方案的实施。 (1) 需求分析

根据当前网络技术的发展状况,结合企业的网络需求,设计某企业的网络需求,设计某企业的网络架构方案。 (2) IP地址的规划

根据企业信息点的分布状况,绘制网络拓扑结构图,完成IP地址的规划。 (3) 设备选型

通过市场调研结合企业网络架构方案,完成设备选型。 (4) 网络架构方案的实施

根据网络架构的方案以及选择的网络设备,提出一整套网络实施的方案。 (5) 总结

简述在企业网络架构过程中出现的问题以及解决的方案,对

2

南京化工职业技术学院毕业设计（论文）

未来网络发展的展望。 3.设计(论文)的基本要求 (1)论文格式要符合规范 (2)提供完整的源程序

(3)至少提供10篇参考文献(书籍 期刊 网址等) 4．主要参考文献

王卫红 李小明.计算机网路与互联网.机械出版社 张福祥.计算机网络基础.中国电力出版社

周跃东.计算机网络工程.西安电子科技大学出版社 5.毕业设计(论文)时间安排 第一周 资料收集整理 第二周 收集资料 写初稿

第三周 论文初稿的中级检查 论文修改 第四周 论文后期修改及完善修改

3

南京化工职业技术学院毕业设计（论文）

摘 要

信息化浪潮风起云涌的今天，企业内部网络的建设已经成为提升企业核心竞争力的关键因素。企业网已经越来越多地被人们提到，利用网络技术，现代企业可以在供应商、客户、合作伙伴、员工之间实现优化的信息沟通。这直接关系到企业能否获得关键的竞争优势。近年来越来越多的企业都在加快构建自身的信息网络，而其中绝大多数都是中小企业。目前我国企业尤其是中小型企业网络建设正在如火如荼的进行着，本文以中小型企业内部局域网的组建需求、实际管理为出发点，从中小型企业局域网的管理需求和传统局域网技术入手，研究了局域网技术在企业管理中的应用。

关键词：组网;拓扑;设备选型;IP规划;配置命令;网络布局;

网络维护; 网络安全

4

Abstract

The wave of information surging today, the enterprise network has become the core competitiveness of enterprises to enhance the key factor. Net more and more enterprises have been many people mentioned that the use of network technology, the modern enterprise can be suppliers, customers, partners, employees achieve optimal communication and information. This is directly related to the availability of key enterprise competitive advantage. In recent years more and more and more enterprises are speeding up the information to build their own networks, the vast majority of which are SMEs. China's enterprises, especially small and medium-sized construction enterprise network is currently undergoing major regeneration, to small and medium-sized enterprises in this article the formation of the internal local area network needs, the actual management as a starting point, from the management of small and medium-sized enterprise LAN LAN technology needs and the traditional approach to study the local area network technology in the enterprise management applications.

Key words： networking;topology;Equipment selection ;IP

planning;onfigure

command;Network

layout

;

Network

maintenance ;security of network

目 录

第一章 绪 论 ................................ - 3 - 第二章 需求分析 .............................. - 5 - 2.1企业对网络的需求情况 .................... - 5 - 2.2用户需求分析 ............................ - 5 - 2.3案例分析 ................................ - 6 - 2.3.1 设备选型 ............................ - 6 - 2.3．2各设备产品介绍： .................... - 7 - 第三章 网络布局和综合布线 .................... - 9 - 3.1 网络布局的原则 .......................... - 9 - 3.2 网络布局的具体实施要求 ................. - 10 - 3.3 网络布局的规划与设计 ................... - 11 - 第四章 IP规划与配置 ......................... - 16 - 4.1 IP地址规划 ............................ - 16 - 4.2网络拓扑结构图 ......................... - 16 - 4.3 配置需求及解决方案 ..................... - 17 - 4.3.1配置路由器 .......................... - 17 - 4.3.2配置交换机 .......................... - 21 - 4.3.3配置ACL ............................ - 23 - 第五章 网络维护、安全控制 .................. - 27 - 5.1网络维护 ............................... - 27 -

南京化工职业技术学院毕业设计（论文）

5.2局域网安全威胁分析 ..................... - 28 - 5.3局域网安全控制 ......................... - 31 - 第六章 结论 ................................. - 36 - 参考文献 .................................... - 37 - 致谢 ........................................ - 38 -

2

南京化工职业技术学院毕业设计（论文）

第一章 绪 论

随着经济社会的发展，我国中小企业数量与日俱增。然而，一个企业要不断发展壮大，除了要有自身产品的优化，还需要一个完善的企业信息管理系统。企业的信息化，是企业如何应对瞬息万变、竞争激烈的国内外市场环境以及如何利用网络技术迅速提升企业核心竞争力为企业成败的关键。

在本论文中所构建的中小型企业网最终必须是一个集计算机网络技术、多项信息管理、办公自动化和信息发布等功能于一体的综合信息平台,并能够有效促进现有的管理体制和管理方法,提高企业办公质量和效率。中小型企业的信息化建设工程通常有规模小、结构简单的特点，综合资金投入、专业人才以及未来发展等因素，网络实用性、安全性与拓展性（升级改造能力）是中小型企业实现信息化建设的主要要求，局域网内进行信息交流包括发布通知, 安排日程表、工作计划,提交工作总结,进行信息汇总等也是企业的要求。加强各公司内各分区的业务和技术联系，提高工作效率，实现资源共享，降低运作及管理成本,公司有必要建立企业内部局域网。局域网要求建设基于TCP/IP协议和WWW技术规范的企业内部非公开的信息管理和交换平台，该平台以WEB为核心，集成WEB、文件共享、信息资源管理等服务功能，

- 3 -

南京化工职业技术学院毕业设计（论文）

实现公司员工在不同地域对内部网的访问。

因此，成本低廉、可靠、易用，降低网络的使用和维护成本、提高产品的性能价格比并能满足业务运用需要的网络办公环境是这一领域的真正需求。针对绝多数中小型企业集中办公这一现实特点，组建一个适合中小企业需求的高性价比实用的网络是十分有实际意义的。

- 4 -

南京化工职业技术学院毕业设计（论文）

第二章 需求分析

2.1企业对网络的需求情况

在这信息化社会，网络是支撑企业各种业务的基础设施。因此构建网络者在规划设计网络前，首先要清楚企业的现阶段及未来的需求。经过对该企业的分析，预计企业在未来几年的发展趋势，适当的预留一定的升级空间方便新用户的接入，其中包括网络设备支持升级其他应用设备的接入，全面实现计算机资源共享。对于局域网中的各种资源,通过设置网络用户的共享权限,让他成为网络共享资源，从而实现企业的信息化。

2.2用户需求分析

构建企业网络最终是为了实现用户的需求，用户的需求主要包括可靠性、可用性、可升级性、安全性、及时性以及响应时间。企业的用户群包括管理层，普通用户群的也用代表，经调查，“快”是多数用户对网络响应的要求，其中包括下载速度、连接速度等，我们将为核心设备提供冗余，以尽量保障系统的99.95%的可靠性，同时我们将根据企业的需求，为用户提供远程登录，文件传输服务，在年底企业统计全年信息时候会出现企业通讯高峰时间，我们的服务器将以满足高峰期通讯为基础选型的。当然我们将提供防火墙等安全设备，保障用户信息，物理资源的机密性，网整性和确实

- 5 -

南京化工职业技术学院毕业设计（论文）

性，提供一定的数据加密、自动备份、发生问题的恢复等。当然也包括网络应提供的服务资源共享、办公自动化、远程控制、电子邮件、www应用等。

2.3案例分析

现以南京网亚计算机有限公司为实例，因为一些客观因素，该公司分布在两栋楼，并且都在底层，主要分别用来做软件的售后服务、研发和财务/人事部门。这些部分分别叫勤业部、研发部和行政部。两栋楼之间距离少于100米，其中研发部和行政部在同一栋楼中。研发部占两层，共有15台电脑分布在各个办公室中，具体分布是一层5台，二层10台，第三层是行政部，有5台电脑；勤业部分两层，共有30台电脑，其中在研发部那栋楼需配置网络打印机。 2.3.1 设备选型 表2-1 设备选型 序设备名号 称 1 核心交换机 2 交 换 机 3 路 由 器

- 6 -

规格 单数单价合位 量 （元） 价（元） DCRS-9808(R3) 台 1 140，140，000 DCS-4500-50T(R3) 000 台 2 21，182，120 240 196，740 Cisco DCR 282 台 1 14，500 南京化工职业技术学院毕业设计（论文）

4 网管软LinkManager-50NM-L台 1 34,40件 icense 0 231，140 5 防火墙 DCFW-1800S-V2(R3) 台 1 39，270，200 340 6 机柜 DC-PDU-KLW 台 3 1，124 273，712 2.3．2各设备产品介绍：

1、DCRS-9808(R3)核心交换机：12插槽多业务核心路由交换机， 2槽管理引擎（超级模块）或4槽管理引擎(标准模块)，最大可插8个标准业务模块或4个超级业务模块或超级标准模块混合，支持冗余供电,标配1个MRS-9800-AC(R3)电源。

2、DCS-4500-50T(R3)交换机：全千兆智能安全交换机50/10/100/1000Base-T＋4口千兆SFP(Combo)接口【R3版本为黑色风格机箱】。

3、Cisco DCR 282路由器：模块化路由器。6个网络/语音模块插槽, 1个配置口，1个AUX口，2个10/100/1000M以太网端口（RJ45接口），内置硬件加密。

4、LinkManager-50NM-License网管软件：LinkManager网络管理系统V1.0(50NM-50N)。网管专业版平台，50节点。功能：支持网络拓扑发现、资源管理、设备管理、终端管理、性能管理、故障分析、异常流量监测、服务器管理、WEB监

- 7 -

南京化工职业技术学院毕业设计（论文）

控等。

5、DCFW-1800S-V2(R3)防火墙：8个10/100/1000M以太网电口；1U标准机箱。

6、DC-PDU-KLW机柜：克莱沃6位PDU，除提供雷电消除器(SPD) 、过载保护器等功能，还具备高载流、防误插、高精度插拔等高可靠电气性能。

- 8 -

南京化工职业技术学院毕业设计（论文）

第三章 网络布局和综合布线

在构建公司网络时，我们根据组网经费的多少来务实地规划与设计网络；在采购好网络设备和服务器等设备后，如何对办公地点进行合理的网络布局与布线，是致关重要的。网络布局主要是指企业网里的网络设备、服务器等设备如何放置，它们又与网络布线如何相处，总之网络布局要考虑周全。

3.1 网络布局的原则

1. 实用性

企业组建的局域网应当根据设备的多少来具体实施，网络布线的特点决定了网络布局实用性。 2. 全面性

组网过程中，网络、服务器等设备放置位置应当统筹兼顾，网络布局要考虑周全，尽量让各种设备和布线系统处于合理的位置。 3. 可靠性

组网无论怎样布局，最终的目的是保证我们的局域网的所有设备能可靠稳定地运行，使得网络能正常运转。 4. 便于维护与升级

网络的组网不是一成不变的，随着IT企业业务的不断发展的需求，原先组建的局域网就需要不断地完善和扩充；在

- 9 -

南京化工职业技术学院毕业设计（论文）

日常的网络运行维护中，规划网络布局时就应该考虑到便于以后网络的维护与升级操作。

3.2 网络布局的具体实施要求

对于有线局域网来说，这是我们目前企业网络建设中，经常会遇到的，需要对研发部、行政部和勤业部进行布线。规划网络布局要考虑到企业设备布局和布线系统的合理搭配。因此我们首先要规划与设计好布线系统，然后再全面地考虑网络的布局。

5. 3.2.1布线系统的规划与设计

有了好的企业网络，网络设备就有了好的“家”，组建的IT网络应当通过布线系统将三个办公区域互联起来，确保网络的正常运行。如果企业的接入点较多，我们可以采取接入层、汇聚层、交换层三个网络层次的设计，在此基础上进行布线系统。

对于接入层来说，选择一个合理的接入设备，是最关键的，而且我们要根据接入设备选择合适的带宽。汇聚层是整个局域网的核心部分，汇聚层网络设备一般支持网络管理功能，方便我们的管理和维护，方便以后我们的网络升级和改造。交换层是整个网络中的中间层，连接着汇聚层和网络节点，是决定我们整体网络传输质量的很重要的一个环节。随着百兆网络设备的普及，我们交换层的网络设备，肯定首选百兆。

- 10 -

南京化工职业技术学院毕业设计（论文）

布线是连接网络接入层、汇聚层、交换层和网络节点的重要环节。在布线时，最好使用专门的通道，而且不要与电源线，空调线等具有辐射的线路混合布线。

接入层与汇聚层之间的双绞线，可以选择超五类屏蔽双绞线，以使网络性能得到最大的提升。汇聚层与交换层之间的双绞线，由于是网络数据传输量最大的一个层次，同样采用超五类屏蔽双绞线。交换层与网络节点之间，我们就可以采用普通的超五类非屏蔽双绞线。

网络设备的放置，最好放在节点的中央位置，这样做，不是为了节约综合布线的成本，而是为了提高网络的整体性能，提高网络传输质量。由于双绞线的传输距离是100米，在95米才能获得最佳的网络传输质量。在做网络布线时，最好能够设计一个设备间，放置网络设备。

3.3 网络布局的规划与设计

目前的网络设备大都采用机架式的结构（多为扁平式，活像个抽屉），如交换机、路由器、硬件防火墙等。这些设备之所以有这样一种结构类型，是因为它们都按国际机柜标准进行设计，这样大家的平面尺寸就基本统一，可把一起安装在一个大型的立式标准机柜中。这样做的好处非常明显：一方面可以使设备占用最小的空间，另一方面则便于与其它网络设备的连接和管理，同时办公室内也会显得整洁、美观。

我们经常接触到的网络布局里有网络机柜、服务器机柜

- 11 -

南京化工职业技术学院毕业设计（论文）

以及综合布线柜，从这三个机柜的名字就可以看出它们各自所起的作用；一般来说，网络设备如交换机、路由器、防火墙、加密机等以及网络通信设备如光端机、调制解调器等是放置在网络机柜的；服务器机柜的宽度为19英寸，高度以U为单位 （1U=1.75英寸=44.45毫米），通常有1U，2U，3U，4U几种标准的服务器。机柜的尺寸也是采用通用的工业标准，通常从22U到42U不等；机柜内按U的高度有可拆卸的滑动拖架，用户可以根据自己服务器的标高灵活调节高度，以存放服务器、集线器、磁盘阵列柜等设备。服务器摆放好后，它的所有I/O线全部从机柜的后方引出（机架服务器的所有接口也在后方），统一安置在机柜的线槽中，一般贴有标号，便于管理。

综合布线柜一般配有前后可移动的安装立柱，自由设定安装空间，可按需要配置隔板、风扇、电源插座等附件。配线架通常安装在机柜里，配线架的一面是RJ45口，并标有编号；另一面是跳线接口，上面也标有编号，这些编号和上面的RJ45口的编号是一一对应的。每一组跳线都标识有棕、蓝、橙、绿的颜色，双绞线的色线要和这些跳线一一对应，这样做不容易接错。配线架不仅仅是便于管理线对，而且可以防止串扰，增加线对的隔离空间，提供360度的线对隔离。

在办公室中，必须放置交换机、功能服务器群和网络打印设备，以及局域网络连接Internet所需的各种设备，如路由

- 12 -

南京化工职业技术学院毕业设计（论文）

器、防火墙以及网管工作站等；因此办公室的网络布局一般至少有三个机柜，综合布线柜和网络机柜应当紧连在一起，便于调线操作，接下来是服务器机柜；将网络设备和布线系统进行合理的布局。

在网络布局中，每个机柜最好留点空间，便于以后网络设备、服务器设备的扩充，综合布线柜里有可能除了网络布线外，还有能布置电话线，所以要在机柜里留下一定空间。

从机柜内部线缆附设的角度看，机柜配置密度更高，容纳的IT设备更多，大量采用冗余配件(如冗余电源、存储阵列等)，机柜内设备配置频繁变换，数据线和电缆随时增减。所以，机柜必须提供充足的线缆通道，能从机柜顶部、底部进出线缆。在机柜内部，线缆的敷设必须方便、有序，与设备的线缆接口靠近，以缩短布线距离；减少线缆的空间占用，保证设备安装、调整、维护过程中，不受到布线的干扰，并保证散热气流不会受到线缆的阻挡；同时，在故障情况下，能对设备布线进行快速定位。

供电系统和制冷系统是办公室的两个重要部分。在供电系统中，一般采用在线的UPS供电方式，蓄电池实际可供使用的容量与蓄电池的放电电流大小、蓄电池的环境工作温度、贮存时间的长短以及负载的性质（电阻性、电感性、电容性）密切相关。制冷系统（空调）涉及到办公室的整个物理环境，包括空调、地板、机柜及房间布局等诸多方面；因

- 13 -

南京化工职业技术学院毕业设计（论文）

此UPS和空调我们也要考虑好将它们放置在一个合适的位置。如果办公室空间较大，可以将UPS和空调都放在办公室里；如果空间较小，可以把UPS（包括蓄电池）放在配电房里。需要注意的是如果大楼里安装有“中央空调”的话，办公室里也必须安装独立的空调，因为中央空调不可能24小时都开着，上班的时间可以利用中央空调，下班和星期节假日的时候，如果服务器、网络设备需要正常运行的话，则必须要开办公室里的独立空调。

机柜的扩展性表现在机柜内设备密度的扩展和机柜数量的扩展，因此网络布局时必须将机柜的配风能力（通常称为散热能力）以及配电能力考虑在内。一方面，机柜内的设备需要温度、湿度适宜并且风量充足的冷风（冷空气）。这些冷风被机柜内的IT设备吸入，从而为设备内的部件（尤其是CPU）降温。当机柜内设备增加到一定数量时，由地板出风口送出的冷风风量将不能满足所有设备的需求，从而形成部分IT设备配风不足而过热。

解决机柜内设备密度扩展时遇到的这种局部热点问题可以采用调配IT设备位置的方式来解决。例如，把热负荷最大的设备安装在机柜中部位置，以便获得最大的配风风量。另外的解决方法是，在机柜的上部或下部位置安装轴向水平的强排风扇，增强上部或下部的吸入能力（即减小IT设备的入口静压），从而增加配风风量。

- 14 -

南京化工职业技术学院毕业设计（论文）

另一方面，机柜内的设备需要供电以及与机柜外部进行通信。当机柜内的IT设备数量增加时，这些线缆、连接端子同时成倍地增加，从而对机架式电源排插的容量、插口数量都提出了扩展要求。机柜内的布线空间也是需要提前考虑的，因为当机柜内的功率密度提高时，设备后部的线缆将明显增加风阻，所以必须考虑线缆管理及走线空间的问题。

- 15 -

南京化工职业技术学院毕业设计（论文）

第四章 IP规划与配置

4.1 IP地址规划

表4-1 IP地址规划 部门 公网地址 IP地址 部门 IP地址 220.156.66.110 路由器内部 192.168.0.1/30 核心交换外192.168.0.2/30 Web服务器 192.168.2.1/24 部 网络打印机 研发部 192.168.30.1/24 行政部 192.168.41.1/24 勤业部 192.168.40.1/24 192.168.42.1/24 4.2网络拓扑结构图

图4-1 网络拓扑图

- 16 -

南京化工职业技术学院毕业设计（论文）

图解：

由案例分析可知：南京网亚计算机发展有限公司分布在两栋楼并且都在底层，所以将这两栋楼分别划分，每栋楼放置一台交换机。又有两栋楼之间距离少于100米，所以直接用双绞线连接这两台交换机即可，这两天交换机再通过一台核心交换机连接，再通过核心交换机连接防火墙、服务器、路由器和网管软件，再通过ip规划、valn的划分，这样一个完整的企业局域网就构建成功了。

4.3 配置需求及解决方案

为了直观方便，配置需求全部在配置命令中加以单点说明，并且配置命令量大反复，这里只列出重点命令。 4.3.1配置路由器

router> router> enable router# router#config router（config）#

router（config）# interface type port router（config-if）# interface fastethernet0/1

router（config-if）#ip address 192.168.0.1 255.255.255.252 router（config-if）#duplex auto router（config-if）#speed auto

- 17 -

南京化工职业技术学院毕业设计（论文）

router（config-if）#ip nat inside router（config-if）#no shutdown

router（config-if）#interface fastethernet0/2 router（config-if）#ip 255.255.255.248

router（config-if）#duplex auto router（config-if）#speed auto router（config-if）#ip nat outside router（config-if）#no shutdown router（config-if）# ＾z router> router> enable router# router#config router（config）#

router（config）#radius scheme system router（config）#domain system

router（config）#acl number 2000/配置允许进行NAT转换的内网地址段/

router（config）rule 0 permit source 192.168.0.0 0.0.0.255 router（config）rule 1 deny

router（config）#interface Ethernet0/0

- 18 -

address 220.156.66.117

南京化工职业技术学院毕业设计（论文）

router（config）ip address 202.1.1.2 255.255.255.248 router（config）nat outbound 2000

router（config）#interface Ethernet0/1 router（config）ip address 192.168.0.1 255.255.255.0 /内网网关/

router（config）#interface NULL0

router（config）#ip route-static 0.0.0.0 0.0.0.0 202.1.1.1

preference 60 /配置默认路由/

router（config）#user-interface con 0 router（config）user-interface vty 0 4 router（config-if）# ＾z router> router> enable router# router#config router（config）#

router（config）#nat address-group 0 202.1.1.3 202.1.1.6 /

用户NAT的地址池/

router（config）#radius scheme system router（config）#domain system

router（config）#acl number 2000/配置允许进行NAT转换的内网地址段/

- 19 -

南京化工职业技术学院毕业设计（论文）

router（config）#rule 0 permit source 192.168.0.0 0.0.0.255 router（config）#rule 1 deny router（config）#interface Ethernet0/0

router（config）#ip address 202.1.1.2 255.255.255.248 router（config）#nat outbound 2000 address-group 0 /

在出接口上进行NAT转换/

router（config）#interface Ethernet0/1

router（config）#ip address 192.168.0.1 255.255.255.0 /内网网关/

router（config）#interface NULL0

router（config）#ip route-static 0.0.0.0 0.0.0.0 202.1.1.1

preference 60 /配置默认路由/

router（config）##user-interface con 0 router（config）#user-interface vty 0 4 router（config）#＾z router（config）#

router（config）#ip route 0.0.0.0 0.0.0.0 220.156.66.117（路由）

router(config)# ip nat inside source list 110 interface

FastEthernet0/2 overload

router（config）#access-list 110 permit ip 192.168.0.0

0.0.255.255 any（过载）

- 20 -

南京化工职业技术学院毕业设计（论文）

router（config）# ＾z 4.3.2配置交换机

switch> switch > enable switch #

switch# vlan database switch(vlan)# VTP Version: 2

switch(vlan)# Configuration Revision: 7

switch(vlan)# Maximum VLANs supported locally : 1005 switch(vlan)# Number of existing VLANs: 9 switch(vlan)# VTP Operating Mode: Server switch(vlan)# VTP Domain Name: OA switch(vlan)# VTP Pruning Mode: Disabled switch(vlan)# VTP V2 Mode: Enabled switch(vlan)# VTP Traps Generation: Enabled switch(vlan)#＾z switch> switch > enable switch #

switch #vlan database 进入vlan配置模式

switch # (vlan)#vtp domain OA 设置vtp管

- 21 -

南京化工职业技术学院毕业设计（论文）

理域名称OA

switch # (vlan)#vtp server 设置交换机为服务器模式

switch # (vlan)#vlan 1 name qinye 创建VLAN 1，为勤业部

switch # (vlan)#vlan 2 name xingzheng 2，为行政部

switch # (vlan)#vlan 3 name yanfa 3，为研发部

switch # (vlan)#vlan 4 name netprinter 为网络打印机

switch # (vlan)#vlan 5 name server 为服务器组

switch # (config)#interface vlan 1 switch # (config-if)#ip address 255.255.255.0

switch # (config)#interface vlan 1 switch # (config-if)#ip address 255.255.255.0

switch # (config)#interface vlan 3 switch # (config-if)#ip address 255.255.255.0

- 22 -

创建VLAN 创建VLAN 创建VLAN 4，创建VLAN 5，192.168.42.254

192.168.40.254

192.168.41.254

南京化工职业技术学院毕业设计（论文）

switch # (config)#interface vlan 4 switch 255.255.255.0

switch # (config)#interface vlan 5 switch 255.255.255.0

将接入层交换机上的端口根据需要划分至各个VLAN switch # (config-if)#exit 4.3.3配置ACL

配置ACL 应用在各个部门VLAN接口上，控制各部门互访

switch> switch > enable switch #config

switch(config)#access-list 10 permit 192.168.2.0 0.0.0.255 switch(config)#access-list 0.0.0.255

switch(config)#access-list 10 deny 192.168.0.0 0.0.255.255 switch(config)#access-list 10 permit any 进入vlan 10

switch(config)# vlan 10

switch(config-vlan)#ip access-group 10 out

- 23 -

# (config-if)#ip address 192.168.30.254

# (config-if)#ip address 192.168.2.254

10 permit 192.168.30.0

南京化工职业技术学院毕业设计（论文）

把访问控制列表10 应用于VLAN 10 OUT方向上，市场部内部可以互访，可以访问服务器网段和网络打印机网段，但不能访问财务部和设计部所在网段。

switch(config-vlan)#access-list 11 permit 192.168.2.0 0.0.0.255

switch(config-vlan)#access-list 11 permit 192.168.30.0 0.0.0.255

switch(config-vlan)#access-list 11 permit 192.168.42.0 0.0.0.255

switch(config-vlan)#access-list 0.0.255.255

switch(config-vlan)#access-list 11 permit any switch(config-vlan)#exit 进入vlan 11

switch(config-vlan)#switch(config)# vlan 11 switch(config-vlan)#ip access-group 11 out

把访问控制列表11应用在VLAN 11 OUT方向上，财务部内部可以互访问，可以访问服务器网段和网络打印机网络，可以访问市场部网段，但不能访问设计部网段。

设计部VLAN 12 ，网络打印机 VLAN 13，服务器 VLAN 20 可以访问任意网段，应用访问控制列表access-list 110 在in的方向上，封掉常见病毒端口。

- 24 -

11 deny 192.168.0.0

南京化工职业技术学院毕业设计（论文）

switch(config-vlan)#access-list 110 deny tcp any any eq 1068

switch(config-vlan)#access-list 110 deny tcp any any eq 2046

switch(config-vlan)#access-list 110 deny udp any any eq 2046

switch(config-vlan)#access-list 110 deny tcp any any eq 4444

switch(config-vlan)#access-list 110 deny udp any any eq 4444

switch(config-vlan)#access-list 110 deny tcp any any eq 1434

switch(config-vlan)#access-list 110 deny udp any any eq 1434

switch(config-vlan)#vaccess-list 110 deny tcp any any eq 5554

switch(config-vlan)#vaccess-list 110 deny tcp any any eq 9996

switch(config-vlan)#access-list 110 deny tcp any any eq 6881

switch(config-vlan)#access-list 110 deny tcp any any eq 6882

- 25 -

南京化工职业技术学院毕业设计（论文）

switch(config-vlan)#access-list 110 deny tcp any any eq 16881

switch(config-vlan)#access-list 110 deny udp any any eq 5554

switch(config-vlan)#access-list 110 deny udp any any eq 9996

switch(config-vlan)#access-list 110 deny udp any any eq 6881

switch(config-vlan)#access-list 110 deny udp any any eq 6882

switch(config-vlan)#vaccess-list 110 deny udp any any eq 16881

switch(config-vlan)#access-list 110 permit ip any any 可以根据实际需要将此ACL应用于任一接口，或者添加一些屏蔽软件的端口，达到管理内部员工的目的，也可以用局域网内部的管理软件，更加直接方便，并且易于操作。

- 26 -

南京化工职业技术学院毕业设计（论文）

第五章 网络维护、安全控制

5.1网络维护

1. 更新

更新包括WEB页面的版面、样式、内容的更新；公司共享资料的更新；网络教室、软件下载内容的更新；各种报表、数据库更新，这些信息发布由各部门管理员在本地登录服务器进行。 2. 备份

由于网络的特殊性，备份信息是保证公司数据安全的重

- 27 -

南京化工职业技术学院毕业设计（论文）

要保障。考虑最低投资，未采用磁带机备份，而使用磁盘镜像技术容错，这样不但得到完整的数据备份，而且还提高了系统的性能。 3. 诊断

INTRANET采用TCP/IP协议,在网络的调试中主要采用了以下几个诊断程序:

Ping;Ipconfig;Nbtstat;Netstat;Hostname。网络管理员运用这些程序有利于及时发现错误，并加以纠正。 4. 安全

利用代理服务器的防火墙功能可以阻挡Internet上的系统或使用者直接进入 Intranet。网络管理员的密码和各用户的密码均利用AD组策略统一进行管理，并利用其“组策略”功能统一部署密码策略：包括密码最长/最短有效期、密码的长度、唯一性和帐户锁定等项目。域用户权限也利用“域用户容器”统一管理。 5. 磁盘整理

虽然Windows系统自身包括磁盘碎片整理程序,建议采用第三方的程序Diskeeper定期整理磁盘碎片。这样有利于优化系统，节约磁盘空间。

5.2局域网安全威胁分析

局域网由于通过交换机和服务器连接网内每一台电脑，因此局域网内信息的传输速率比较高，同时局域网采用的技

- 28 -

南京化工职业技术学院毕业设计（论文）

术比较简单，安全措施较少，同样也给病毒传播提供了有效的通道和数据信息的安全埋下了隐患。局域网的网络安全威胁通常有以下几类：

1. 欺骗性的软件使数据安全性降低

由于局域网很大的一部分用处是资源共享，而正是由于共享资源的“数据开放性”，导致数据信息容易被篡改和删除，数据安全性较低。例如“网络钓鱼攻击”，钓鱼工具是通过大量发送声称来自于一些知名机构的欺骗性垃圾邮件，意图引诱收信人给出敏感信息：如用户名、口令、账号ID、ATM PIN码或信用卡详细信息等的一种攻击方式。最常用的手法是冒充一些真正的网站来骗取用户的敏感的数据。以往此类攻击的冒名的多是大型或著名的网站，但由于大型网站反应比较迅速，而且所提供的安全功能不断增强，网络钓鱼已越来越多地把目光对准了较小的网站。同时由于用户缺乏数据备份等数据安全方面的知识和手段，因此会造成经常性的信息丢失等现象发生。 2. 服务器区域没有进行独立防护

局域网内计算机的数据快速、便捷的传递，造就了病毒感染的直接性和快速性，如果局域网中服务器区域不进行独立保护，其中一台电脑感染病毒，并且通过服务器进行信息传递，就会感染服务器，这样局域网中任何一台通过服务器信息传递的电脑，就有可能会感染病毒。虽然在网络出口有

- 29 -

南京化工职业技术学院毕业设计（论文）

防火墙阻断对外来攻击，但无法抵挡来自局域网内部的攻击。

3. 计算机病毒及恶意代码的威胁

由于网络用户不及时安装防病毒软件和操作系统补丁，或未及时更新防病毒软件的病毒库而造成计算机病毒的入侵。许多网络寄生犯罪软件的攻击，正是利用了用户的这个弱点。寄生软件可以修改磁盘上现有的软件，在自己寄生的文件中注入新的代码。最近几年，随着犯罪软件（crime ware）汹涌而至，寄生软件已退居幕后，成为犯罪软件的助手。2007年，两种软件的结合推动旧有寄生软件变种增长3倍之多。2008年，预计犯罪软件社区对寄生软件的兴趣将继续增长，寄生软件的总量预计将增长20%。 4. 局域网用户安全意识不强

许多用户使用移动存储设备来进行数据的传递，经常将外部数据不经过必要的安全检查通过移动存储设备带入内部局域网，同时将内部数据带出局域网，这给木马、蠕虫等病毒的进入提供了方便同时增加了数据泄密的可能性。另外一机两用甚至多用情况普遍，笔记本电脑在内外网之间平凡切换使用，许多用户将在Internet网上使用过的笔记本电脑在未经许可的情况下擅自接入内部局域网络使用，造成病毒的传入和信息的泄密。 5. IP地址冲突

- 30 -

南京化工职业技术学院毕业设计（论文）

局域网用户在同一个网段内，经常造成IP地址冲突，造成部分计算机无法上网。对于局域网来讲，此类IP地址冲突的问题会经常出现，用户规模越大，查找工作就越困难，所以网络管理员必须加以解决。

正是由于局域网内应用上这些独特的特点，造成局域网内的病毒快速传递，数据安全性低，网内电脑相互感染，病毒屡杀不尽，数据经常丢失。

5.3局域网安全控制

1. 加强人员的网络安全培训

安全是个过程，它是一个汇集了硬件、软件、网络、人员以及他们之间互相关系和接口的系统。从行业和组织的业务角度看，主要涉及管理、技术和应用三个层面。要确保信息安全工作的顺利进行，必须注重把每个环节落实到每个层次上，而进行这种具体操作的是人，人正是网络安全中最薄弱的环节，然而这个环节的加固又是见效最快的。所以必须加强对使用网络的人员的管理，注意管理方式和实现方法。从而加强工作人员的安全培训。增强内部人员的安全防范意识，提高内部管理人员整体素质。同时要加强法制建设， 进一步完善关于网络安全的法律，以便更有利地打击不法分子。对局域网内部人员，从下面几方面进行培训：

(1)加强安全意识培训，让每个工作人员明白数据信息安全的重要性，理解保证数据信息安全是所有计算机使用者

- 31 -

南京化工职业技术学院毕业设计（论文）

共同的责任。

(2)加强安全知识培训，使每个计算机使用者掌握一定的安全知识，至少能够掌握如何备份本地的数据，保证本地数据信息的安全可靠。

(3)加强网络知识培训，通过培训掌握一定的网络知识，能够掌握IP地址的配置、数据的共享等网络基本知识，树立良好的计算机使用习惯。 2. 局域网安全控制策略

安全管理保护网络用户资源与设备以及网络管理系统本身不被未经授权的用户访问。目前网络管理工作量最大的部分是客户端安全部分，对网络的安全运行威胁最大的也同样是客户端安全管理。只有解决网络内部的安全问题，才可以排除网络中最大的安全隐患，对于内部网络终端安全管理主要从终端状态、行为、事件三个方面进行防御。利用现有的安全管理软件加强对以上三个方面的管理是当前解决局域网安全的关键所在。

(1)利用桌面管理系统控制用户入网。入网访问控制是保证网络资源不被非法使用，是网络安全防范和保护的主要策略。它为网络访问提供了第一层访问控制。它控制哪些用户能够登录到服务器并获取网络资源，控制用户入网的时间和在哪台工作站入网。用户和用户组被赋予一定的权限，网络控制用户和用户组可以访问的目录、文件和其他资源，可

- 32 -

南京化工职业技术学院毕业设计（论文）

以指定用户对这些文件、目录、设备能够执行的操作。启用密码策略，强制计算机用户设置符合安全要求的密码，包括设置口令锁定服务器控制台，以防止非法用户修改。设定服务器登录时间限制、检测非法访问。删除重要信息或破坏数据，提高系统安全行，对密码不符合要求的计算机在多次警告后阻断其连网。

(2)采用防火墙技术。防火墙技术是通常安装在单独的计算机上，与网络的其余部分隔开，它使内部网络与Internet之间或与其他外部网络互相隔离，限制网络互访，用来保护内部网络资源免遭非法使用者的侵入，执行安全管制措施，记录所有可疑事件。它是在两个网络之间实行控制策略的系统，是建立在现代通信网络技术和信息安全技术基础上的应用性安全技术。采用防火墙技术发现及封阻应用攻击所采用的技术有：（1）深度数据包处理。深度数据包处理在一个数据流当中有多个数据包，在寻找攻击异常行为的同时，保持整个数据流的状态。深度数据包处理要求以极高的速度分析、检测及重新组装应用流量，以避免应用时带来时延。（2）IP/URL过滤。一旦应用流量是明文格式，就必须检测HTTP请求的URL部分，寻找恶意攻击的迹象，这就需要一种方案不仅能检查RUL，还能检查请求的其余部分。其实，如果把应用响应考虑进来，可以大大提高检测攻击的准确性。虽然URL过滤是一项重要的操作，可以阻止通常的脚本类型的攻击。

- 33 -

南京化工职业技术学院毕业设计（论文）

（3）TCP/IP终止。应用层攻击涉及多种数据包，并且常常涉及不同的数据流。流量分析系统要发挥功效，就必须在用户与应用保持互动的整个会话期间，能够检测数据包和请求，以寻找攻击行为。至少，这需要能够终止传输层协议，并且在整个数据流而不是仅仅在单个数据包中寻找恶意模式。系统中存着一些访问网络的木马、病毒等IP地址，检查访问的IP地址或者端口是否合法，有效的TCP/IP终止，并有效地扼杀木马。时等。（4）访问网络进程跟踪。访问网络进程跟踪。这是防火墙技术的最基本部分，判断进程访问网络的合法性，进行有效拦截。这项功能通常借助于TDI层的网络数据拦截，得到操作网络数据报的进程的详细信息加以实现。

封存所有空闲的IP地址，启动IP地址绑定，采用上网计算机IP地址与MAC地址唯一对应，网络没有空闲IP地址的策略。由于采用了无空闲IP地址策略，可以有效防止IP地址引起的网络中断和移动计算机随意上内部局域网络造成病毒传播和数据泄密。

(3)属性安全控制。它能控制以下几个方面的权限：防止用户对目录和文件的误删除、执行修改、查看目录和文件、显示向某个文件写数据、拷贝、删除目录或文件、执行文件、隐含文件、共享、系统属性等。网络的属性可以保护重要的目录和文件。

- 34 -

南京化工职业技术学院毕业设计（论文）

启用杀毒软件强制安装策略，监测所有运行在局域网络上的计算机，对没有安装杀毒软件的计算机采用警告和阻断的方式强制使用人安装杀毒软件。

- 35 -

南京化工职业技术学院毕业设计（论文）

第六章 结论

当今世界是个信息化社会，世界与日俱进，要求现代企业的发展跟上信息化的步伐。企业网络的构建与完善不仅为企业员工提供了全新的工作环境，利用计算机和网络进行工作、交流，而且改变了传统的工作方式，极大的提高了工作的质量和效率。企业网络的构建不仅提升了企业的发展空间，而且企业的网络安全得到保障。

本文通过南京网亚计算机有限公司组网这一案例，将组网所需的设备选型、IP规划、具体交换机等的配置、网络布线等必备步骤一一罗列，阐述了现在社会企业信息化的必要性。一个企业局域网的高性能、高稳定、高管理性、灵活性、安全性、经济性是影响企业在这一信息化社会立足的关键。

- 36 -

南京化工职业技术学院毕业设计（论文）

参考文献

[1] 弗鲁姆(Richard Froom).CCNP学习指南.组建Cisco多层交换网络(BCMSN)(第4版)[M],2007.

[2] WilliamStallings.Network Security Essentials Applications and Standards Third Edition[M],2007.

[3] 施敏 、李亚明、王国平.网络管理员之局域网组建与维护超级技巧1000例[M],2007.

[4] 李晋平.局域网组建和安全管理的实用技术[J].电脑开发与应用,2002,15(10).

[5] 卫少军.中小企业办公局域网组建方案[J].科技情报开发与经济,2004,14(9).

[6] 金刚善.局域网组网案例精编GBH.北京:中国水利水电出版社,2004.

[7] 钟小平.网络服务器配置与应用GBH.北京:人民邮电出版社,2005.

[8] 卫少军.中小企业办公局域网组建方案.北京:科技情报开发与经济,2004.

[9] 张萍,张伟.滨论企业组建局域网的方案.哈尔滨:自动化技术与应用,2005.

[10] 李春山.中小企业局域网组建和管理的实践.哈尔滨:信息技术,2006.

[11] 郭秋萍.计算机网络实用教程（第2版）.北京:北京航空航天大学出版社, 2007.

- 37 -

南京化工职业技术学院毕业设计（论文）

致谢

在论文完成之际，我要特别感谢我的指导老师徐大大老师的关怀和悉心指导。在我撰写论文的过程中，徐老师倾注了大量的心血和汗水，无论是在论文的选题、构思和资料的收集方面，还是在论文的研究方法以及成文定稿方面，我都得到了徐老师悉心细致的教诲和无私的帮助，特别是他广博的学识、深厚的学术素养、严谨的治学精神和一丝不苟的工作作风使我终生受益，在此表示真诚地感谢和深深的谢意。

在论文的写作过程中，也得到了许多同学的宝贵建议，同时因为本次实例就是本人现在实习的单位，所以我还到公司许多同事的支持和帮助，在此一并致以诚挚的谢意。感谢所有关心、支持、帮助过我的良师益友。

最后，向在百忙中抽出时间对本文进行评审并提出宝贵意见的各位老师表示衷心地感谢！

- 38 -

本文来源：https://www.bwwdw.com/article/mv28.html