中小型企业网络的配置及管理.docx

1、中小型企业网络的配置及管理XX信息职业技术学院毕业设计（论文）论文题目：中小型企业网的配置与管理系 别： 专 业： 班 级： 学 号： 学生姓名： 指导教师： 中小型企业网的配置与管理摘要：随着计算机网络的迅猛发展，internet已经延伸到全球的各个角落，渗透到了人类社会的每个领域以及人们日常生活的方方面面。目前，internet的WWW（网络信息服务）服务更是得到了广泛的应用，许多企业建立，通过internet来展示企业形象，发布产品资讯，提供服务以及开展电子商务。各级政府部门也积极开展电子政务，网上办公。当今中小企业与大企业一样，都广泛使用信息技术，特别是网络技术，以不断提高企业的竞争力

2、。企业信息设施在提高企业效益的同时，也给企业增加了风险隐患。大企业所面临的安全问题也一直困扰着中小企业，关于中小企业网络安全的相关报导也一直层不穷，给中小企业所造成的损失不可估量。由于涉及企业形象的问题，所曝光的事件只是冰山一角。针对中小企业网络安全事故大多不为人所知。由于计算机网络特有的开放性，网络安全问题日益严重。目前网络易遭受的攻击包括分组监听IP、电子欺骗、拒绝服务攻击、木马等。他们都会严重影响企业的收入、声誉、和客户满意度。网络安全问题将给企业带来巨大的危害，企业将承受巨大的经济损失、降低生产率、并失去业务机会。关键词：计算机网络、网络安全、网络技术。1 概述1.1企业网络现状随着中

3、小企业用户市场的不断成熟与需求的日趋稳定，越来越多的安全厂商将加入到中小企业提供广泛的网络安全产品中间来。目前，中小企业用户占我国企业化主体比重的95%以上，但由于分布较散，购买力相对较弱，中小企业的安全问题似乎一直没有得到安全厂商的足够重视。市场上的安全产品五花八门种类繁多，但是针对中小企业的安全解决方案寥寥无几。产品仅仅是简单的客户端加服务器，不能完全解决中小企业用户所遭受的安全威胁。目前的中小企业由于人力和资金上的限制，企业网络系统相对简单，有的甚至只是实现简单的互联功能，或者靠简单的分发工具。据了解许多中小企业没有设置专门的网络管理员，一般采用兼职管理方式，重视中小企业的网络管理在安全

4、性方面存在严重漏洞，与大型企业、行业用户相比，他们更容易受到网络病毒的侵害，损失同样严重。另一方面，由于网络维护、运行、升级等实物工作繁重而且成本较高，这也使得善于精打细算的中小企业在防病毒问题上进退两难。1.2 企业网络建设目标1.2.1 提高带宽性能现在大部分的中小型企业，由于带宽有限，加上不必要的带宽消耗，让企业网络的整体网络性能大大减少。随着计算机技术的高速发展，基于网络的各种应用日益增多，今天的企业网络已经发展成为一个多业务承载平台。不仅要继续承载企业的办公自动化，Web浏览等简单的数据业务，还要承载涉及企业生产运营的各种业务应用系统数据，以及带宽和时延都要求很高的IP、视频会议等多

5、媒体业务。因此，数据流量将大大增加，尤其是对核心网络的数据交换能力提出了前所未有的要求。1.2.2让企业网络稳定、可靠无论是大型企业还是中小型企业都要具备稳定可靠性，以实现网络通信的实时畅通，保障企业生产运营的正常进行。随着企业各种业务应用逐渐转移到计算机网络上来。网络通信的无中断运行已经成为保证企业正常生产运营的关键1.2.3让企业网络易于管理目前，许多中小企业没有专门的网络管理员，网络管理在安全性方面存在严重漏洞。设立网管中心有利于企业网络的管理，某种程度上也增加了企业网络的安全性。2需求分析2.1网络功能需求共享公司的各种信息资料，发布公司部及时消息。实时传递行业政策、市场变化信息；及时

6、获取国际国重大新闻等信息。动态查询产品的生产、销售、库存等实时数据和客户、员工的档案信息。提供销售、生产、会计、统计等报表供相关人员查阅、分析。发布电脑方面的文章以提高员工的计算机知识；发布相关业务培训容。以FTP方式提供大量应用软件和实用工具，供部员工下载使用。通过代理服务器使公司的计算机均能以低廉费用接入Internet。2.2网络性能需求经济性实用性稳定性安全性易管理性可扩展性2.3网络设备需求中小企业网计划采用10M的光线以太网接入到因特网服务提供商的网络，然后接入到因特网中，使企业实现与外界的信息交换和网络通信。整个企业统一一个出口访问internet。网络设备必须在技术上具有先进性

7、、通用性、必须便于管理、维护。网络设备应应该具备未来良好的可扩展性、可升级性，保护用户的投资。网络设备必须具有良好的在满足功能与性能的基础上性能价格比最优。网络设备应该选择拥有足够实力和市场份额的厂商的主流产品，同时设备厂商必须要有良好的市场形象与售后技术支持。3方案设计3.1设计原则经济性：用性价比较好的网络及设备，以较低廉的投资获取较高性能。实用性：确保信息加速传递、提高工作效率，节约办公费用。操作性： 界面图形化、操作按钮化，办公人员在简单培训后能熟练运用。扩展性： 新增的硬件设备能方便接入网络；软件便于更新、维护、升级。3.2网络规划局域网分为核心层、工作站层、接入层、服务器群四个部分

8、来设计拓扑结构如图1：图1：企业网络规划图3.2.1 vlan划分表1：VLAN划分表中心交换机Vlan号110203040IP地址192.168.1.2接入设备WWW服务器、DNS服务器打印机FTP服务器Mail服务器SW1Vlan号11020IP地址192.168.1.4接入部门财务部人事部SW2Vlan号13040IP地址192.168.1.5接入部门市场营销部客服部3.2.2 IP地址分配表2：IP地址分配表财务部192.168.10.0/24人事部192.168.20.0/24市场营销部192.168.30.0/24客服部192.168.40.0/24WWW服务器192.168.10

9、.0/24DNS服务器192.168.10.0/24打印机192.168.20.0/24FTP服务器192.168.30.0/24Mail服务器192.168.40.0/24Router1F0/0192.168.1.1/24S1/1202.101.2.10/24F0/0.1192.168.10.1/24F0/0.2192.168.20.1/24F0/0.3192.168.30.1/24F0/0.4192.168.40.1/24ISP服务商地址192.168.2.13.3核心层建设3.2.1核心层作用核心交换机位于网络中心，是整个局域网的灵魂。它对整个网络的性能、可靠性起决定性作用。它连接各个物

10、理子网；负责高速地对端到端设备进行数据包交换；控制VLAN间访问；保证信息安全。3.2.2核心层网络类型选择作为主干网连接着服务器和楼层交换机，可局部采用千兆以太网。千兆以太网可提供 1Gbps的通信带宽，具有以太网简易性，比其它类似速率的通信技术价格低廉。千兆以太网还能在当前以太网基础上平滑过渡，这意味着现有的投资可以在合理的初始开销上延续到千兆以太网，不需要对技术支持人员和用户做重新培训，无需另外配置协议、购买中间部件，具有一定的前瞻性。3.2.3核心层交换机选择在进行网络规划设计时核心层的设备通常要占大部分投资，为了减少投资，我们选择两层交换。3.2.4核心层升级方案添加接口模块数量，实

11、现用户和信息点的扩充；改用光纤，提高主干带宽；提高主干带宽、实现主干线路互备份；3.4接入层建设3.4.1 接入层作用入层交换机为楼层工作组级交换机，为每个用户提供100Mbps以太接入端口，负责将用户数据馈入网络。它直接完成本地数据交换，将其它网段数据送到核心层。通过 VLAN 的合理划分，方便用户在网络中移动，保证部门信息安全。3.4.2接入层网络类型选择在当今现有的高速局域网技术中，由于快速以太网（100BASE-T）性能优良、价格低廉、升级和维护方便，通常都将它作为首选。快速以太网在过去广泛接的10BASE-T以太网基础之上，提供向100Mbps的平滑、连续性的网络升级。3.4.3交换

12、机的连接工作站少的部门只需一台二层交换机，下联用户端上联核心交换机。信息点分布密集的部门采用多台交换机堆叠或者级联。连接介质可以是光纤、双绞线。3.4.4 VLAN的划分通过VLAN 实现隔离和限制本地流量的功能：把工作容相近的PC机、经常共享数据的信息点划分在同一个 VLAN 中可以提高网络效率；设定相应地访问权限可以增强网络安全。根据员工分布情况，二层交换机可以每个独立构成一个VLAN，也可以多个构成一个VLAN。3.4.5交换机的选择高端口密度、支持VLAN划分。3.5服务器系统3.5.1服务器系统的作用服务器群的主要功能是为客户端提供各种网络服务，包括：资源共享、Web服务、文件传输、

13、域名解析3.5.2服务器的连接服务器的连接位置可以很灵活，整个网络用户都公用的服务器直接连到核心交换机上，连接介质可以采用光纤或双绞线。各个部门单独使用的服务器可以连到部门交换机上，提供该部门的特定网络服务。3.5.3服务器的选择表3：服务器选择功 能服务器名称域名解析DNS服务器IP 选项自动配置DHCP服务器 资源共享FTP服务器电子收发管理Mail服务器浏览网页Web服务器4方案实施公司网络拓扑图，如图2。图2 公司网络拓扑图1、在中心交换机上划分4个VLAN，分别为VLAN10、VLAN20、VLAN30、VLAN40，WEB服务器、DNS服务器接入vlan10，打印机、FTP服务器、

14、mail服务器分别接入VLAN20、VLAN30、VLAN40。2、在SW1上划分两个vlan：vlan10、vlan20。分别作为公司的财务部和人事部。3、在SW2上划分两个vlan：vlan30、vlan40。分别作为公司的市场营销部和客服部。4、出于方便，我们在出口路由上做DHCP服务，让市场营销部和客服部的员工能自动学习到IP地址。5、为了公司不同的部门之间可以互相访问，在出口路由器上做单臂路由。6、通过在router1上做NAT地址转换，让总公司的用户能快速访问Internet。7、通过端口映射，是外网能访问网的WWW服务器8、公司除了中心网管，所有用户都能正常访问网WWW服务器。9

15、、禁止中心网管访问外网。10、打印机只供财务部和人事部使用。11、全网设备开启TELNET，让管理服务器可以登陆进行管理。4.1各设备配置4.1.1 核心交换机配置Switchenable 进入特权配置模式Switch#configure 进入全局配置模式Switch(config)#vlan 10 创建vlan10Switch(config-vlan)#exit 退出Switch(config)#int r f0/3-8 Switch(config-if-range)#switchport access vlan 10 把相应接口加入vlan10Switch(config-if-range)

16、#exitSwitch(config)#vlan 20Switch(config-vlan)#exitSwitch(config)#int r f0/9-11Switch(config-if-range)#switchport access vlan 20Switch(config-if-range)#exitSwitch(config)#vlan 30Switch(config-vlan)#exitSwitch(config)#int r f0/12-14Switch(config-if-range)#switchport access vlan 30Switch(config-if-ran

17、ge)#exitSwitch(config)#vlan 40Switch(config-vlan)#exitSwitch(config)#int r f0/15-18Switch(config-if-range)#switchport access vlan 40Switch(config-if-range)#exitSwitch(config)#int r f0/21-24Switch(config-if-range)#switchport mode trunk 把相应接口打trunkSwitch(config-if-range)#exitSwitch(config)#interface v

18、lan 1 进入vlan1Switch(config-if)#ip address 192.168.1.2 255.255.255.0 配置IP地址Switch(config-if)#no shutdown 启用该vlanSwitch(config-if)#exitSwitch(config)#int f0/1 进入f0/1口Switch(config-if)#switchport mode access 把接口模式改为ACCESS口Switch(config-if)#switchport port-security 启用端口安全措施Switch(config-if)#switchport p

19、ort-security violation protect 指出出现安全违规时应该发生的事Switch(config-if)#switchport port-security mac-address 0001.970C.7AE9 端口和MAC地址绑定Switch(config-if)#exitSwitch(config)#enable password 123 设置登入特权模式密码Switch(config)#line vty 0 1 开启telnet功能Switch(config-line)#password admin 321 设置telnet登入密码Switch(config-line

20、)#login 允许telnet登入Switch(config-line)#exit4.1.2 工作站交换机SW1配置SwitchenableSwitch#configureSwitch(config)#vlan 10Switch(config-vlan)#exitSwitch(config)#int r f0/1-10Switch(config-if-range)#switchport access vlan 10Switch(config-if-range)#exitSwitch(config)#vlan 20Switch(config-vlan)#exitSwitch(config)#i

21、nt r f0/11-20Switch(config-if-range)#switchport access vlan 20Switch(config-if-range)#exitSwitch(config)#int r f0/23-24Switch(config-if-range)#switchport mode trunkSwitch(config-if-range)#exitSwitch(config)#interface vlan 1Switch(config-if)#ip address 192.168.1.4 255.255.255.0Switch(config-if)#no sh

22、utdownSwitch(config-if)#exitSwitch(config)#enable password 123Switch(config)#line vty 0 1Switch(config-line)#password admin 321Switch(config-line)#login4.1.3工作站交换机SW2配置SwitchenableSwitch#configureSwitch(config)#vlan 30Switch(config-vlan)#exitSwitch(config)#int r f0/1-10Switch(config-if-range)#switch

23、port access vlan 30Switch(config-if-range)#exitSwitch(config)#vlan 40Switch(config-vlan)#exitSwitch(config)#int r f0/11-20Switch(config-if-range)#switchport access vlan 40Switch(config-if-range)#exitSwitch(config)#int r f0/23-24Switch(config-if-range)#switchport mode trunkSwitch(config-if-range)#exi

24、tSwitch(config)#interface vlan 1Switch(config-if)#ip address 192.168.1.5 255.255.255.0Switch(config-if)#no shutdownSwitch(config-if)#exitSwitch(config)#enable password 123Switch(config)#line vty 0 1Switch(config-line)#password admin 321Switch(config-line)#login4.1.4出口路由配置Routerenable 进入特权配置模式Router#

25、configure terminal 进入全局配置模式Router(config)#interface f0/0 进入f0/0接口Router(config-if)#ip address 192.168.1.1 255.255.255.0 配置接口IP地址Router(config-if)#no shutdownRouter(config-if)#exitRouter(config)#int f0/0.1 进入f0/0下的子接口Router(config-subif)#encapsulation dot1Q 10 绑定vlan中继协议Router(config-subif)#ip addres

26、s 192.168.10.1 255.255.255.0 配置子接口IPRouter(config-subif)#no shutdown 激活该子接口Router(config-subif)#exitRouter(config)#int f0/0.2 进入f0/0下的相应子接口Router(config-subif)#encapsulation dot1Q 20 绑定vlan中继协议Router(config-subif)#ip address 192.168.20.1 255.255.255.0 配置子接口IPRouter(config-subif)#no shutdownRouter(co

27、nfig-subif)#exitRouter(config)#int f0/0.3Router(config-subif)#encapsulation dot1Q 30Router(config-subif)#ip address 192.168.30.1 255.255.255.0Router(config-subif)#no shutdownRouter(config-subif)#exitRouter(config)#int f0/0.4Router(config-subif)#encapsulation dot1Q 40Router(config-subif)#ip address 1

28、92.168.40.1 255.255.255.0Router(config-subif)#no shutdownRouter(config-subif)#exitRouter(config)#Router(config)#int s1/1 进入s1/1口Router(config-if)#ip address 202.101.2.10 255.255.255.0 配置IP地址Router(config-if)#clock rate 9600 设置时钟频率Router(config-if)#no shutdown 激活该接口Router(config-if)#exit Router(confi

29、g)#access-list 1 permit 192.168.0.0 0.0.255.255 允许192.168.0.0网段的数据包Router(config)#access-list 101 deny tcp 192.168.1.0 0.0.0.255 192.168.10.3 0.0.0.255 eq 拒绝192.168.1.0网段的所有主机通过WWW访问192.168.10.3主机Router(config)#access-list 101 permit ip any any 控制访问列表101允许其他IPRouter(config)#access-list 102 deny ip 1

30、92.168.1.0 0.0.0.255 202.101.2.0 0.0.0.255 将192.168.1.0网段的数据包丢弃Router(config)#access-list 102 permit ip any anyRouter(config)#access-list 103 deny ip 192.168.30.0 0.0.0.255 host 192.168.20.3 拒绝192.168.30.0网段的主机访问地址为192.168.20.3的主机Router(config)#access-list 103 deny ip 192.168.40.0 0.0.0.255 host 192.168.20.3Router(config)#access-list 103 permit ip any anyRouter(config)#ip nat pool 1 202.101.2.100 202.101.2.200 netmask 255.255.255.0Router(config)#ip nat inside source list 1 pool 1 overload 将ACL1