2022年网络建设方案 .pdf

网络建设方案目录一、前言 . 2二、建设需求 . 2三、总体架构 . 2四、总体设计 . 5五、服务器选择. 5六、主交换机的选择. 6七、活动目录 . 6八、文件服务器. 8九、防病毒服务器和ERP服务器 . 10 名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 1 页，共 11 页 - - - - - - - - - 一、前言XXX集团有限公司旗下有三个分公司：1#公司、 2#公司、 3#公司。由于新厂房的建立，故需要建立一套完整、安全的网络系统。二、建设需求1.公司使用2 台核心交换机（冗余备份），连接所有网络设备，并把所有服务器连接到该核心交换机上，划分到一个单独的VLAN中。2.接入层交换机连接所有的终端用户，并把管理层人员和普通的办公人员划分到不同的VLAN中。3.公司的管理层人员可以访问普通办公人员的计算机，但普通办公人员不能访问管理层人员的计算机。4.所有用户的计算机都采用DHCP的方法获得IP地址。5.公司采用Linux iptables 防火墙 +路由器上网。 公司申请一条100M 带宽光纤上网 （分两条线路，一条40M，一条 60M；要求：服务器占用40M，供外网用户访问，局域网用户占用 60M 出口访问INTERNET ） 。6.公司采用微软的域管理方法，对所有用户的账号和权限通过AD来管理。7.公司内部要有自己的邮件服务器，并可以和INTERNET 的邮件服务器实现收发邮件。8.公司的防病毒采用统一集中的网络管理模式。9.严格控制上网时间。10.出差用户能方便的访问公司内部资料。三、总体架构1.根据需求所规划出的整个公司网络系统的拓扑结构图如下图所示：名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 2 页，共 11 页 - - - - - - - - - internet宿舍楼1宿舍楼2宿舍楼3宿舍楼4宿舍楼5厂房1厂房2厂房3厂房4厂房5办公楼名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 3 页，共 11 页 - - - - - - - - - 2.根据规划出的网络拓扑图所分配的整个公司网络中VLAN及 IP编址方案如下：VLAN号子网名称IP范围网关VLAN名称管理 IP 10 办公楼 1 192.168.10.0/24 192.168.10.254 OFFICE1 192.168.10.252 20 办公楼 2 192.168.20.0/24 192.168.20.254 OFFICE2 192.168.20.252 30 普通人员192.168.30.0/24 192.168.30.254 LABORIAL STAFF 192.168.30.252 40 管理层人员192.168.40.0/24 192.168.40.254 MANAGER 192.168.40.252 91 宿舍楼 1 192.168.91.0/24 192.168.91.254 Dormitory 1 192.168.91.252 92 宿舍楼 2 192.168.92.0/24 192.168.92.254 Dormitory 2 192.168.92.252 93 宿舍楼 3 192.168.93.0/24 192.168.93.254 Dormitory 3 192.168.93.252 94 宿舍楼 4 192.168.94.0/24 192.168.94.254 Dormitory 4 192.168.94.252 95 宿舍楼 5 192.168.95.0/24 192.168.95.254 Dormitory 5 192.168.95.252 96 厂房 1 192.168.96.0/24 192.168.96.254 Workshop 1 192.168.96.252 97 厂房 2 192.168.97.0/24 192.168.97.254 Workshop 2 192.168.97.252 98 厂房 3 192.168.98.0/24 192.168.98.254 Workshop 3 192.168.98.252 99 厂房 4 192.168.99.0/24 192.168.99.254 Workshop 4 192.168.99.252 90 厂房 5 192.168.90.0/24 192.168.90.254 Workshop 5 192.168.90.252 100 服务器集群192.168.1.1/24 192.168.1.254 WEB 192.168.1.2/24 FTP 192.168.1.3/24 EXCHANGE 192.168.1.4/24 DHCP LINUX IPTABLES 192.168.0.1/24 192.168.1.254 内网电信提供外网（ 40M）名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 4 页，共 11 页 - - - - - - - - - 四、总体设计1.配置防火墙：创建规则，允许内网用户使用客户端邮件，严格控制人员上网权限，启用 VPN服务。2.发布内部邮件服务器和WEB 服务器。3.配置核心交换机，创建VLAN，划分端口，添加路由表，配置接口地址。4.安装域服务器，创建DC，并在 DC服务器上安装DNS服务，建立域账号，5.安装邮件服务器并加入域，给相应员工创建邮箱，设置邮箱大小为500M，附件 20M，启用 POP3功能，以便能够使用客户端软件来收发邮件。6.安装 DHCP服务器并加下域，创建地址池，用来给客户机提供DHCP服务，自动获得IP地址。7.安装配置MCAFEE病毒统一管理服务器并加入域，升级病毒库到最新。8.配置二层交换机，分配相应端口到相应的VLAN中，配置接口地址。9.安装文件服务器并加入域，创建用户名和密码，设置相应权限。10.配置客户机相应权限，管理层人员的计算机权限无限制，设置其 IP地址与 MAC地址绑定，防止其他人员非法盗用其IP地址，导致局域网内人员ARP冲突。普通人员的计算机默认只开通邮件系统，并只能用客户端软件，用来收发邮件。如有工作需要，要开通相应权限，请申请填写开通权限申请表，经总经理签字确认方可开通其权限。五、服务器选择服务器是网络上不可缺少的资源，它为网络环境提供共享资源。所以作为网络应用的核心，服务器必需具有高可靠性、高性能、高吞吐能力、大内存容量等特点，并且具有强大的网络功能友好的人机界面。根据网络需求，所需的服务器如下：主服务器：负责整个公司网络的管理、共享资源的管理等。包括1.FTP服务器：负责公司网内的文件共享和传输。名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 5 页，共 11 页 - - - - - - - - - 2.DHCP服务器：负责所有公司客户机的IP地址自动获取工作。3.EXCHANGE 服务器 :负责公司内所有邮件的管理。4.WEB服务器：负责远程服务管理及WEB站点管理。 WEB服务器采用现在比较流行的 LAMP 环境搭建。六、主交换机的选择在企业网络中，采用以太网交换机作为主干，其技术、设计管理简单。但作为主干的交换机必须满足以下条件：1.高带宽 -整个网络的带宽需求，满足企业网络中的数量流量。2.可扩展性 -具有良好的可扩展性，满足企业网络不停发展的需要。3.兼容性 -具有良好的兼容性，满足企业网络设备的多样性。七、活动目录1. 服务器与客户端系统的建设1.1 主域控制器为公司的核心服务器，使用Windows 2003 企业版操作系统，并搭建额外的域控制器， 以提供核心服务器的冗余。利用核心服务器对公司所有员工的账户及公司内部的其他计算机实现集中和统一管理，使公司的网络系统管理尽可能集中和简单，并具备一定的扩展能力。公司的系统管理结构能充分地和公司管理结构相吻合，实现从公司到部门再到员工的管理层次，各部门的网络资源也实现集中管理。根据不同部门的需求实现不同的安全级别。1.2 公司内所有员工在网络中有唯一的标识，所有员工使用统一的标识，能够方便的使用网络中的计算机。员工信息按部门集中存储在域控制器上，员工标识的设置和使用满足系统安全的需要，避免账户被盗用和非法使用网络资源。公司安全规范的实施以部门为对象，避免针对单个员工做具体安全设置。1.3 公司文档管理采用集中管理的方式并实现文件级的安全设置，可以根据公司董事长、部门的不同需求分别设置相应的存储设置。董事长能够访问并管理所有文档，并且不限制存储容量。 部门主管及员工只能使用本部门的文档，主管能够进行管理。对部门文档名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 6 页，共 11 页 - - - - - - - - - 可以做存储容量的限制，避免资源的浪费和滥用。每个存储位置在活动目录中是可查询的。员工在客户机上可以方便地连接到需要的网络资源。2. 系统的安全措施与策略公司整个网络采用统一的安全规则，在域控制器上设置和控制对所有用户和计算机的安全规则。 员工需要设置安全的密码，并能够登录到本部门的计算机。利用适当的系统策略防止非法用户对密码和账户的攻击。财务部资源具有更高的安全设置，对于财务部文件的访问和操作，系统将记录操作的用户及时间等信息。员工的桌面、开始菜单、我的文档、以及其他指定的设置 “绑定” 到员工的帐户上，使其在域内更换客户机登陆时仍能拥有以前的工作环境。在部门内实现统一的软件的安装、删除、修复、升级部署。用户帐户集中管理禁止员工设置的口令少于7 位防止其他员工盗用帐户记录和审计员工登陆和访问公司文档的行为按部门管理帐户用户在不同客户端享受相同的个人配置部门内统一部署软件3.服务器系统设计1.域控制器域控制器作为整个网络的核心服务器，当域控制器失效时， 整个域将处于瘫痪状态，因此需要充分保证其可靠性。我们通过为主域控制器搭建额外的域控制器，为网络提供不间断的域控制器支持，当主域控制器失效时，额外的域控制器会自动升级为主域控并代替其作用。2. 域结构规划根据网络规模及集中管理和结构简单的原则，整个网络系统目前规划为单域结构，在域内按照部门名称分别建立组织单位（OU） ，用于存储和管理各部门的用户和共享文件 夹 。 整 个 系 统 结 构 与 公 司 管 理 结 构 相 匹 配 。 最 上 层 的 管 理 单 元 为 域 ， 域 名, 下层的管理单元是组织单元（OU） ，各部门的组织单元命名按照部门名称的汉语拼音全拼设置。根据网络结构的变化和未来公司结构的扩展，此结构可以方便地增加和减少组织单元，为分公司建立新的子域，充分满足了可扩展性和可伸缩性的要求。名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 7 页，共 11 页 - - - - - - - - - 3.用户账户规划3.1 根据部门名称创建组织单位（OU） ，在 OU 内建立本部门员工的帐户和包括本部门所有帐户的全局组。3.2 根据公司员工的组织结构，为每名员工建立唯一的域用户账户，全部员工账户采用统一的命名规范。登陆名为“中文姓氏汉语拼音全拼中文名字汉语拼音全拼”。用户全名为员工的中文姓名。当出现名称相同时，在名称后添加生日的月份来区分。用户账户描述为该员工的职务。全部员工账户密码设置采用初始密码zjmh1234#，并设置策略要求用户在第一次登录时更改密码。示例：财务部部门主管张宇登录名： zhang.yu 全名：张宇描述：财务部主管初始密码： zjmh1234# 建立位置： OU: caiwu 为了实现权限管理的简单化，整个网络系统采用对用户组分配权限，每个部门的OU设置一个全局组，该组中包含该部门所有员工的用户账户。除董事长及部门主管外，权限的分配均以各部门的全局组为对象，董事长及部门主管的权限单独分配。所有用户组采用统一的命名规范，组名为部门名的汉语拼音全拼。示例：财务部组名： caiwubu 组的成员：财务部主管、财务一、财务二建立位置： OU: caiwu 八、文件服务器通过设置专用的文件服务器完成公司文档的集中管理，在文件服务器上为部门建立专用的文件夹， 以部门名字的汉语拼音全拼，存储部门文档。 服务器采用大容量磁盘和Windows系统特有的NTFS文件系统，实现文件级的安全。员工可以通过映射网络驱动器访问服务器上的文档，就像在本地访问资源一样简单快捷。在服务器上使用NTFS文件系统中提供的磁名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 8 页，共 11 页 - - - - - - - - - 盘配额功能可保障存储空间得到有效合理的利用。计算机名： Filesrv 系统配置：文件服务器硬盘至少划分为两个分区，分别为 C 盘和 D 盘，C盘为主分区， 安装操作系统，容量 10G以上。 D盘为逻辑分区，用于存储共享文档。两个分区均采用NTFS文件系统。在 D 盘上建立文件夹share 并共享， 共享名为share。在 share 文件夹下根据部门分别建立文件夹并以部门名称命名。文件服务器利用共享权限和NTFS权限实现文件级安全，董事长对所有文件拥有全部权限，部门主管只对本部门文件拥有全部权限，普通员工只对本部门文件夹拥有读写权限。董事长能够访问所有文件夹和文档，部门员工和主管无法访问其他部门的文件夹。具体权限设置见表：文件夹名共享权限NTFS权限D:share everyone 组完全控制董事长完全控制，everyone 列出文件夹目录董事长无董事长完全控制财务部无全局组 caiwubu 读写、 董事长完全控制、财务主管完全控制行政部无全局组 xingzhengbu读写、 董事长完全控制、行政主管完全控制人事部无全局组 renshibu读写、董事长完全控制、人事主管完全控制文件服务器可以采用Windows 系统提供的磁盘配额功能来控制各文件夹空间占用。可以在 D 盘启用磁盘配额，根据需要分别限制4 个部门文件夹最大磁盘使用量和警告级别，例如将每个部门的存储空间都限制为10G，当占用空间达到9.5G 时发出警告。董事长的文件夹不受限制。在活动目录中发布share 共享文件夹，员工即使不知道资源位于哪台服务器上，也能通过目录服务搜索和查询到所需的资源。名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 9 页，共 11 页 - - - - - - - - - 九、防病毒服务器和ERP服务器将已有的Mcafee 防病毒服务器和ERP服务器加入域中。客户端计算机采用主流的Windows XP Professional 操作系统，所有员工使用的计算机配置各种客户端角色，包括域客户机、文件服务客户机、打印服务客户机、防病毒客户机等。将客户机加入域，相应的计算机帐户放置在对应部门的OU 中，然后添加用户使用的打印机并设置相应的优先级。各员工以自己本部门的打印机为默认打印机。在每台客户机上为员工映射网络驱动器，将共享文件夹filesvrshare 映射为本地驱动器，完成所有的配置。客户机属于域的成员，可以查询和使用域中的网络资源，可以访问和使用共享文件夹及打印机，同时实现病毒码自动分发与更新和及时扫描功能。采用整个公司统一管理与分部门管理相结合的方法，可以简单方便地同时完成整个网络的安全策略设置，而不需要对每个用户进行单独设置，大大降低了网络的管理成本；又可以根据部门的特殊需要，灵活地在本部门应用特殊的策略，满足工作要求。整个公司统一的安全策略在域级别设置，建议启用如下策略：启用密码必须符合复杂性要求密码长度最小值为7 密码最长存留期为30 天帐户锁定策略帐户锁定阈值为5 次无效登陆在组织单元内设置软件安装策略，帮助管理员布置本部门的软件，以避免重复操作和减少出错的可能。软件安装策略功能非常灵活和丰富，可以实现以下功能：a. 分发软件指派：可设置将软件分发给OU内的某用户，此用户在登陆任意一台计算机时开始安装， 并可使用。 亦可设置分发给某台计算机，使登陆到此计算机的用户都可使用该软件。发布：将软件发布给某用户，此软件出现在用户所登陆计算机的控制面板的安装删除程序面板中，用户自己决定是否安装。指派比安装更具强制意味。名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 10 页，共 11 页 - - - - - - - - - b修复软件如果用户的软件发生文件丢失或损坏时，用户端系统会自动检测到这一错误，并从原来的软件分发点重新复制正确的文件来修复。c删除软件当某软件不需要分发后，管理员可以控制已分发软件的删除，删除可分为立即自动删除和用户手动删除两种。d升级软件管理员可以控制已分发软件升级换代，升级可分为卸载软件包并安装新软件包，和允许用户同时使用一个应用程序两个版本这两种方案。名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 11 页，共 11 页 - - - - - - - - -