中小型企业网络搭建分析

中小型企业网络搭建分析

毕业设计·中小型企业网络搭建分析

毕业设计任务书

作业名称 学生姓名 课题来源 指导老师 中小型企业网络搭建分析 专业班级 导师布置 学号 1、 中小企业网络需求分析 2、 典型中小企业组网实例 主要内容 3、 网络布线和综合布线 4、 局域网的安全控制和病毒防治 1、 编写前言 进度说明 2、 编写正文 (列几个3、 编写摘要 大点) 4、 编写目录 5、 编写致谢 [1]弗鲁姆(Richard Froom).CCNP学习指南:组建Cisco多层交换网络(BCMSN)(第4版)[M].2007. [2]WilliamStallings.Network Security Essentials Applications and Standards Third Edition[M].2007. 主要参考[3]施敏 、李亚明、王国平.网络管理员之局域网组建与维护超级技资料 巧1000例[M].2007. [4]李晋平.局域网组建和安全管理的实用技术[J].电脑开发与应用.2002,15(10). [5]卫少军.中小企业办公局域网组建方案[J].科技情报开发与经济.2004,14(9)：269~271. 导师审查 意见 指导老师签名: 年 月 日

1

毕业设计·中小型企业网络搭建分析

目录

摘要··················································3 前言··················································4 第一章 中小企业网络需求分析·························5 第二章 典型中小企业组网实例·························5 第三章 网络布线和综合布线··························15 第四章 局域网的安全控制和病毒防治··················20 致谢·················································26

2

毕业设计·中小型企业网络搭建分析

摘要

信息化浪潮风起云涌的今天，企业内部网络的建设已经成为提升企业核心竞争力的关键因素。企业网已经越来越多地被人们提到，利用网络技术，现代企业可以在供应商、客户、合作伙伴、员工之间实现优化的信息沟通。这直接关系到企业能否获得关键的竞争优势。近年来越来越多的企业都在加快构建自身的信息网络，而其中绝大多数都是中小企业。目前我国企业尤其是中小型企业网络建设正在如火如荼的进行着，本文以中小型企业内部局域网的组建需求、实际管理为出发点，从中小型企业局域网的管理需求和传统局域网技术入手，研究了局域网技术在企业管理中的应用。

关键词：中小企业；局域网；组网案例；网络布局；网络安全；

3

毕业设计·中小型企业网络搭建分析

前言

随着计算机及局域网络应用的不断深入，特别是各种计算机应用系统被相继应用在实际工作中，各企业、各单位同外界信息媒体之间的相互交换和共享的要求日益增加。需要使各单位相互间真正做到高效的信息交换、资源的共享，为各单位人员提供准确、可靠、快捷的各种生产数据和信息，充分发挥各单位现有的计算机设备的功能。为加强各公司内各分区的业务和技术联系，提高工作效率，实现资源共享，降低运作及管理成本,公司有必要建立企业内部局域网。局域网要求建设基于TCP/IP协议和WWW技术规范的企业内部非公开的信息管理和交换平台，该平台以WEB为核心，集成WEB、文件共享、信息资源管理等服务功能，实现公司员工在不同地域对内部网的访问。

4

毕业设计·中小型企业网络搭建分析

第一章 中小企业网络需求分析

中小企业局域网通常规模较小，结构相对简单，对性能的要求则因应用的不同而差别较大。许多中小企业网络技术人员较少，因而对网络的依赖性很高，要求网络尽可能简单、可靠、易用，降低网络的使用和维护成本、提高产品的性能价格比就显得尤为重要。基于以上特点，应遵循下列设计原则：

1.把握好技术先进性与应用简易性之间的平衡。 2.具有良好的升级扩展能力。 3.具有较高的可靠性和安全性。

4.产品功能与实际应用需求相匹配。 80%的中小企业用户通常只用到局域网20%的功能。精简功能设计的产品不但可以在满足大多数需求的情况下有效降低成本，而且还能够提高系统的稳定性和易维护性。

5.尽可能选择成熟、标准化的技术和产品。

恰当运用以太网的不同标准和功能，以太网技术能够在双绞线、多模光纤、单模光纤等介质上传输数据，可以非常简单地升级到百兆、千兆的速率，而且具有很高的稳定性和可管理性。

以太网提供了多种标准和功能。比如10Mbps、100Mbps、1000Mbps不同速率的标准，双绞线、光纤等不同介质的标准，以及网络管理、流量控制、VLAN、优先级、链路聚合等功能。

第二章 典型中小企业组网实例

（一）、 案例描述

典型中小企业组网实例，申请一个公网IP和10M带宽，单台路由器，WEB

5

毕业设计·中小型企业网络搭建分析

服务器，通讯机，业务主机等，客户端办公电脑100台左右，多部门划分VLAN，用ACL控制各部门访问权限，配置网络打印机。 （二）、 硬件设备

序号 设备名称 规格 单位 数量 单价（元） 合价（元） 1 交换机 Cisco 4503 台 1 7400

Cisco 2960-48t台 9300

2 路由器 Cisco 2821 台 1 3 防火墙 Nokia IP355 台 1 ······

Cisco Catalyst 4500系列能够为无阻碍的第2/3/4层交换提供集成式弹性，因而能进一步加强对融合网络的控制。可用性高的融合语音/视频/数据网络能够为正在部署基于互联网企业应用的企业和城域以太网客户提供业务弹性。4500系列中提供的集成式弹性增强包括1＋1超级引擎冗余、集成式IP电话电源、基于软件的容错以及1+1电源冗余。硬件和软件中的集成式冗余性能够缩短停机时间，从而提高生产率、利润率和客户成功率。是用于公司企业网络交换机群核心层高性价比的一系列。

Cisco WS-C2960-48T拥有大数量的接口，全智能自动全双工半双工识别，具有用于接入层交换机的良好优势。能够快速转发用户的数据。

Cisco 2821是一台多业务路由器，比较适合中小型企业的需求与应用。 Nokia IP355是一款应用于中小型企业的防火墙产品，能够进行

SNMP,Telnet,FTP,SSHv2(安全Telnet&FTP),HTTP 服务器RFC 2068,SSL/TLS RFC 2246,命令行运用的管理和对流量的过滤，对于中小型的安全问题防护性能比较良好。

（三）IP地址规划

6

14500 34500

毕业设计·中小型企业网络搭建分析

部门 IP地址 公网地址 220.156.66.117 路由器内部 192.168.0.1/30 核心交换外部 192.168.0.2/30 Web服务器

192.168.2.1/24

业务主机 192.168.2.2/24 通讯机 192.168.2.3/24 网络打印机 192.168.30.1/24 财务部 192.168.40.1/24 设计部 192.168.41.1/24 市场部 192.168.42.1/24 （四）网络拓扑

7

毕业设计·中小型企业网络搭建分析

（五）配置需求及解决方案

为了直观方便，配置需求全部在配置命令中加以单点说明，并且配置命令量大反复，这里只列出重点命令。 1.配置Router

接口：

interface fastethernet0/1

ip address 192.168.0.1 255.255.255.252 duplex auto speed auto

8

毕业设计·中小型企业网络搭建分析

ip nat inside no shutdown

interface fastethernet0/2

ip address 220.156.66.117 255.255.255.248 duplex auto speed auto ip nat outside no shutdown 路由：

ip route 0.0.0.0 0.0.0.0 220.156.66.117 过载：

ip nat inside source list 110 interface FastEthernet0/2 overload access-list 110 permit ip 192.168.0.0 0.0.255.255 any 2、配置Core switch

VTP：

VTP Version: 2

Configuration Revision: 7

Maximum VLANs supported locally : 1005 Number of existing VLANs: 9

9

毕业设计·中小型企业网络搭建分析

VTP Operating Mode: Server VTP Domain Name: OA VTP Pruning Mode: Disabled VTP V2 Mode: Enabled

VTP Traps Generation: Enabled VLAN：

core-sw#vlan database 进入vlan配置模式 core-sw(vlan)#vtp domain OA 设置vtp管理域名称OA core-sw(vlan)#vtp server 设置交换机为服务器模式 core-sw(vlan)#vlan 10 name shichang 创建VLAN 10，为市场部 core-sw(vlan)#vlan 11 name caiwu 创建VLAN 10，为财务部 core-sw(vlan)#vlan 12 name sheji 创建VLAN 12，为设计部 core-sw(vlan)#vlan 13 name netprinter 创建VLAN 13，为网络打印机 core-sw(vlan)#vlan 20 name server 创建VLAN 20，为服务器组 core-sw(config)#interface vlan 10

core-sw(config-if)#ip address 192.168.42.254 255.255.255.0 core-sw(config)#interface vlan 11

core-sw(config-if)#ip address 192.168.40.254 255.255.255.0 core-sw(config)#interface vlan 12

10

毕业设计·中小型企业网络搭建分析

core-sw(config-if)#ip address 192.168.41.254 255.255.255.0 core-sw(config)#interface vlan 13

core-sw(config-if)#ip address 192.168.30.254 255.255.255.0 core-sw(config)#interface vlan 20

core-sw(config-if)#ip address 192.168.2.254 255.255.255.0 将接入层SW上的端口根据需要划分至各个VLAN 3、配置ACL

配置ACL 应用在各个部门VLAN接口上，控制各部门互访 access-list 10 permit 192.168.2.0 0.0.0.255 access-list 10 permit 192.168.30.0 0.0.0.255 access-list 10 deny 192.168.0.0 0.0.255.255 access-list 10 permit any 进入vlan 10

ip access-group 10 out

把访问控制列表10 应用于VLAN 10 OUT方向上，市场部内部可以互访，可以访问服务器网段和网络打印机网段，但不能访问财务部和设计部所在网段。

access-list 11 permit 192.168.2.0 0.0.0.255 access-list 11 permit 192.168.30.0 0.0.0.255 access-list 11 permit 192.168.42.0 0.0.0.255

11

毕业设计·中小型企业网络搭建分析

access-list 11 deny 192.168.0.0 0.0.255.255 access-list 11 permit any 进入vlan 11

ip access-group 11 out

把访问控制列表11应用在VLAN 11 OUT方向上，财务部内部可以互访问，可以访问服务器网段和网络打印机网络，可以访问市场部网段，但不能访问设计部网段。

设计部VLAN 12 ，网络打印机 VLAN 13，服务器 VLAN 20 可以访问任意网段，应用访问控制列表access-list 110 在in的方向上，封掉常见病毒端口。

access-list 110 deny tcp any any eq 1068 access-list 110 deny tcp any any eq 2046 access-list 110 deny udp any any eq 2046 access-list 110 deny tcp any any eq 4444 access-list 110 deny udp any any eq 4444 access-list 110 deny tcp any any eq 1434 access-list 110 deny udp any any eq 1434 access-list 110 deny tcp any any eq 5554 access-list 110 deny tcp any any eq 9996 access-list 110 deny tcp any any eq 6881 access-list 110 deny tcp any any eq 6882

12

毕业设计·中小型企业网络搭建分析

access-list 110 deny tcp any any eq 16881 access-list 110 deny udp any any eq 5554 access-list 110 deny udp any any eq 9996 access-list 110 deny udp any any eq 6881 access-list 110 deny udp any any eq 6882 access-list 110 deny udp any any eq 16881 access-list 110 permit ip any any

可以根据实际需要将此ACL应用于任一接口，或者添加一些屏蔽软件的端口，达到管理内部员工的目的，也可以用局域网内部的管理软件，更加直接方便，并且易于操作。 4、配置业务主机

用IIS架设（IIS只适用于Window NT/2000/XP操作系统）。 安装：

Window XP默认安装时不安装IIS组件，需要手工添加安装。进入控制面板，找到“添加／删除程序”，打开后选择“添加／删除Window组件”，在弹出的“Window组件向导”窗口中，将“Internet信息服务（IIS）”项选中。在该选项前的“√”背景色是灰色的，这是因为Window XP默认并不安装FTP服务组件。再点击右下角的“详细信息”，在弹出的“Internet信息服务（IIS）”窗口中，找到“文件传输协议（FTP）服务”，选中后确定即可。

安装完后需要重启。Window NT／2000和Window XP的安装方法相同。 设置：

13

毕业设计·中小型企业网络搭建分析

电脑重启后，业务主机就开始运行了，但还要进行一些设置。点击“开始→所有程序→管理工具→Internet信息服务”，进入“Internet信息服务”窗口后，找到“默认FTP站点”，右击鼠标，在弹出的右键菜单中选择“属性”。在“属性”中，我们可以设置业务主机的名称、IP、端口、访问账户、FTP目录位置、用户进入FTP时接收到的消息等。

FTP站点基本信息：

进入“FTP站点”选项卡，其中的“描述”选项为该FTP站点的名称，用来称呼你的服务器，这里设置名称为 “业务主机”；“IP地址”为服务器的IP，设置为192.168.2.2；“TCP端口”一般仍设为默认的21端口；“连接”选项用来设置允许同时连接服务器的用户最大连接数；“连接超时”用来设置一个等待时间，如果连接到服务器的用户在线的时间超过等待时间而没有任何操作，服务器就会自动断开与该用户的连接。设置账户及其权限：

很多FTP站点都要求用户输入用户名和密码才能登录，这个用户名和密码就叫账户。不同用户可使用相同的账户访问站点，同一个站点可设置多个账户，每个账户可拥有不同的权限，如有的可以上传和下载，而有的则只允许下载。

安全设定：

进入“安全账户”选项卡，有“允许匿名连接”和“仅允许匿名连接”两项，默认为“允许匿名连接”，此时业务主机提供匿名登录。“仅允许匿名连接”是用来防止用户使用有管理权限的账户进行访问，选中后，即使是Administrator（管理员）账号也不能登录，FTP只能通过服务器进行“本地访问”来管理。至于“FTP站点操作员”选项，是用来添加或删除本业务主机具有一定权限的账户。ＩＩＳ与其他专业的业务主机软件不同，它基于Window用户账号进行账户管理，本身并不能随意设定业务主机允许访问的账户，要添加或删除允许访问的账户，必须先在操作系统自带的“管理工具”中的“计算机管理”中去设置Window用户账号，然后再通过“安全账户”选项卡中的“FTP站点操作员”选项添加或删除。但对于Window 2000和Window XP专业版，系统并不提供“FTP站点操作员”账户添加与删除功能，只提供Administrator一个管理账号。

14

毕业设计·中小型企业网络搭建分析

设置用户登录目录：

最后设置FTP主目录（即用户登录FTP后的初始位置），进入“主目录”选项卡，在“本地路径”中选择好FTP站点的根目录，并设置该目录的读取、写入、目录访问权限。设置完成后，业务主机就算建成了。

第三章 网络布局和综合布线

公司组网，我们不仅要从企业本身的实际需求出发，根据组网经费的多少来务实地规划与设计网络；在采购好网络设备和服务器等设备后，如何对机房、办公地点进行合理的网络布局与布线，是致关重要的。网络布局主要是指机房里的网络设备、服务器等设备如何放置，它们又与网络布线如何相处，总之网络布局要考虑周全。

（一） 网络布局的原则 1.实用性

企业组建的局域网应当根据机房的大小、设备的多少来具体实施，根据网络布线的特点来发挥网络布局实用性是非常重要的。 2.全面性

组网过程中，网络、服务器等设备放置位置应当统筹兼顾，网络布局要考虑周全，尽量让各种设备和布线系统处于合理的位置。 3.可靠性

组网无论怎样布局，最终的目的是保证我们的局域网的所有设备能可靠稳定地运行，使得网络能正常运转。 4.便于维护与升级

15

毕业设计·中小型企业网络搭建分析

网络的组网不是一成不变的，随着IT企业业务的不断发展的需求，原先组建的局域网就需要不断地完善和扩充；在日常的网络运行维护中，规划网络布局时就应该考虑到便于以后网络的维护与升级操作。 （二） 网络布局的具体实施要求

对于有线局域网来说，这是我们目前企业网络建设中，经常会遇到的，需要对机房和办公大楼进行布线。规划网络布局要考虑到机房的设备布局和布线系统的合理搭配。因此我们首先要规划与设计好机房、布线系统，然后再全面地考虑网络的布局。 1. 机房的规划与设计

为了确保网络、计算机系统稳定、安全、可靠地运行，以及保障机房工作人员有良好的工作环境，做到技术先进、经济合理、安全适用、确保质量，符合国家有关的机房设计规定。 (1) 防静电

静电不仅会对计算机运行出现随机故障，而且还会导致某些元器件，双级性电路等的击穿和毁坏。此外，还会影响操作人员和维护人员的正常的工作和身心健康。 (2)防火、防盗

计算机房在设计时，重点要考虑机房的消防灭火设计。设计时可以根据消防防火级别来确定机房的设计方案，计算机房火灾报警要求在一楼设有值班室或监控点。机房里应注意防盗设施的安装，具体地可采用防盗门、防盗锁、警卫、自动报警系统等等。 (3)防雷

由于机房通信和供电电缆多从室外引入机房，易遭受雷电的侵袭，机房的建筑防雷设计尤其重要。计算机通信电缆的芯线，电话线均应加装避雷器。

16

毕业设计·中小型企业网络搭建分析

(4)保湿、保温

机房里的湿度应保持在20%-80%为宜，机房的温度应保持在15℃-35℃摄氏度，安装空调来调节温度是解决此问题最好的办法。 2.布线系统的规划与设计

有了好的机房，网络设备就有了好的“家”，组建的IT网络应当通过布线系统将机房和办公地点互联起来，确保网络的正常运行。如果企业的接入点较多，我们可以采取接入层、汇聚层、交换层三个网络层次的设计，在此基础上进行布线系统。

对于接入层来说，选择一个合理的接入设备，是最关键的，而且我们要根据接入设备选择合适的带宽。汇聚层是整个局域网的核心部分，汇聚层网络设备一般支持网络管理功能，方便我们的管理和维护，方便以后我们的网络升级和改造。交换层是整个网络中的中间层，连接着汇聚层和网络节点，是决定我们整体网络传输质量的很重要的一个环节。随着百兆网络设备的普及，我们交换层的网络设备，肯定首选百兆。

布线是连接网络接入层、汇聚层、交换层和网络节点的重要环节。在布线时，最好使用专门的通道，而且不要与电源线，空调线等具有辐射的线路混合布线。

接入层与汇聚层之间的双绞线，可以选择超五类屏蔽双绞线，以使网络性能得到最大的提升。汇聚层与交换层之间的双绞线，由于是网络数据传输量最大的一个层次，同样采用超五类屏蔽双绞线。交换层与网络节点之间，我们就可以采用普通的超五类非屏蔽双绞线。

网络设备的放置，最好放在节点的中央位置，这样做，不是为了节约综合布线的成本，而是为了提高网络的整体性能，提高网络传输质量。由于双绞线的传输距离是100米，在95米才能获得最佳的网络传输质量。在做网络布线时，最好能够设计一个设备间，放置网络设备。 （三）网络布局的规划与设计

17

毕业设计·中小型企业网络搭建分析

目前的网络设备大都采用机架式的结构（多为扁平式，活像个抽屉），如交换机、路由器、硬件防火墙等。这些设备之所以有这样一种结构类型，是因为它们都按国际机柜标准进行设计，这样大家的平面尺寸就基本统一，可把一起安装在一个大型的立式标准机柜中。这样做的好处非常明显：一方面可以使设备占用最小的空间，另一方面则便于与其它网络设备的连接和管理，同时机房内也会显得整洁、美观。

我们经常接触到的放置机房里有网络机柜、服务器机柜以及综合布线柜，从这三个机柜的名字就可以看出它们各自所起的作用；一般来说，网络设备如交换机、路由器、防火墙、加密机等以及网络通信设备如光端机、调制解调器等是放置在网络机柜的；服务器机柜的宽度为19英寸，高度以U为单位 （1U=1.75英寸=44.45毫米），通常有1U，2U，3U，4U几种标准的服务器。机柜的尺寸也是采用通用的工业标准，通常从22U到42U不等；机柜内按U的高度有可拆卸的滑动拖架，用户可以根据自己服务器的标高灵活调节高度，以存放服务器、集线器、磁盘阵列柜等设备。服务器摆放好后，它的所有I/O线全部从机柜的后方引出（机架服务器的所有接口也在后方），统一安置在机柜的线槽中，一般贴有标号，便于管理。

综合布线柜一般配有前后可移动的安装立柱，自由设定安装空间，可按需要配置隔板、风扇、电源插座等附件。配线架通常安装在机柜里，配线架的一面是RJ45口，并标有编号；另一面是跳线接口，上面也标有编号，这些编号和上面的RJ45口的编号是一一对应的。每一组跳线都标识有棕、蓝、橙、绿的颜色，双绞线的色线要和这些跳线一一对应，这样做不容易接错。配线架不仅仅是便于管理线对，而且可以防止串扰，增加线对的隔离空间，提供360度的线对隔离。

在机房中，必须放置交换机、功能服务器群和网络打印设备，以及局域网络连接Internet所需的各种设备，如路由器、防火墙以及网管工作站等；因此机房的网络布局一般至少有三个机柜，综合布线柜和网络机柜应当紧连在一起，便于调线操作，接下来是服务器机柜；将网络设备和布线系统进行合理的布局。

在网络布局中，每个机柜最好留点空间，便于以后网络设备、服务器设备的

18

毕业设计·中小型企业网络搭建分析

扩充，综合布线柜里有可能除了网络布线外，还有能布置电话线，所以要在机柜里留下一定空间。

从机柜内部线缆附设的角度看，机柜配置密度更高，容纳的IT设备更多，大量采用冗余配件(如冗余电源、存储阵列等)，机柜内设备配置频繁变换，数据线和电缆随时增减。所以，机柜必须提供充足的线缆通道，能从机柜顶部、底部进出线缆。在机柜内部，线缆的敷设必须方便、有序，与设备的线缆接口靠近，以缩短布线距离；减少线缆的空间占用，保证设备安装、调整、维护过程中，不受到布线的干扰，并保证散热气流不会受到线缆的阻挡；同时，在故障情况下，能对设备布线进行快速定位。

供电系统和制冷系统是计算机机房的两个重要部分。在供电系统中，一般采用在线的UPS供电方式，蓄电池实际可供使用的容量与蓄电池的放电电流大小、蓄电池的环境工作温度、贮存时间的长短以及负载的性质（电阻性、电感性、电容性）密切相关。制冷系统（空调）涉及到机房的整个物理环境，包括空调、地板、机柜及房间布局等诸多方面；因此UPS和空调我们也要考虑好将它们放置在一个合适的位置。如果机房空间较大，可以将UPS和空调都放在机房里；如果空间较小，可以把UPS（包括蓄电池）放在配电房里。需要注意的是如果大楼里安装有“中央空调”的话，机房里也必须安装独立的空调，因为中央空调不可能24小时都开着，上班的时间可以利用中央空调，下班和星期节假日的时候，如果服务器、网络设备需要正常运行的话，则必须要开机房里的独立空调。

机柜的扩展性表现在机柜内设备密度的扩展和机柜数量的扩展，因此网络布局时必须将机柜的配风能力（通常称为散热能力）以及配电能力考虑在内。一方面，机柜内的设备需要温度、湿度适宜并且风量充足的冷风（冷空气）。这些冷风被机柜内的IT设备吸入，从而为设备内的部件（尤其是CPU）降温。当机柜内设备增加到一定数量时，由地板出风口送出的冷风风量将不能满足所有设备的需求，从而形成部分IT设备配风不足而过热。

解决机柜内设备密度扩展时遇到的这种局部热点问题可以采用调配IT设备位置的方式来解决。例如，把热负荷最大的设备安装在机柜中部位置，以便获得

19

本文来源：https://www.bwwdw.com/article/p1mp.html