2022年中小型企业局域网的安全设计方案 .pdf

《2022年中小型企业局域网的安全设计方案 .pdf》由会员分享，可在线阅读，更多相关《2022年中小型企业局域网的安全设计方案 .pdf（22页珍藏版）》请在淘文阁 - 分享文档赚钱的网站上搜索。

1、广州现代信息工程职业技术学院毕业设计（论文）课题名称：中小型企业局域网的安全设计方案学号 0901231151 姓名赵健溢性别 男专业 计算机网络技术年级、班级 2009网络技术班指导教师肖东升职称高级工程师2012 年 4 月 13 日名师资料总结-精品资料欢迎下载-名师精心整理-第 1 页，共 22 页 -1 摘要本设计（论文）主要是对现在中小型的企业局域网，办公网络进行规划和设计。目前国内经济发展迅速，改革开放以来私企和一些中小型的私人企业、股份企业如雨后春笋。尤其在 21 世纪的十年里，伴随这激烈的竞争各企业不断改进管理模式，加大了在企业信息化和办公自动化方面的投入，使得信息网络产业发

2、展迅速。中小企业网络化能够促进产业的发展，加大工作效率。关键词：网络规划设计综合布线网络设备 WEB服务器 DHCP服务器名师资料总结-精品资料欢迎下载-名师精心整理-第 2 页，共 22 页 -2 目录前言1.绪论 61.1 项目背景 6 1.2 中小企业网络概述 6 2.需求分析 62.1 企业描述 72.2 网络概况 82.3 公司需求 8 2.4 解决方案 9 2.5 可行性分析 93.网络逻辑方案 103.1 布线逻辑方案 103.2 网络逻辑方案 114.网络详细设计方案 12 4.1 网络配置方案 12 4.2 服务器配置方案 19 5.项目测试与维护 20 总结 21 致谢 2

3、2参考文献 23名师资料总结-精品资料欢迎下载-名师精心整理-第 3 页，共 22 页 -3 前言随着现代网络通信技术的应用和发展，互联网迅速发展起来，世界逐步进入到网络化、共享化，我国已经进入到信息化的新世纪。在整个互联网体系巾，局域网是其巾最重要的部分，公司网、企业网、银行金融机构网、政府、学校、社区网都属于局域网的范畴。局域网实现了信息的传输和共享，为用户方便访问互联网、提升业务效率和效益提供了有效途径。（1）建立企业局域网，可以同分利用企业现有的硬件资源。节约公司的开支，实现无纸化办公。提高企业员工的工作效率，由于局域网企业内部的资源可以得到共享，避免了不必要的重复工作也可以提高时间的

4、利用率。（2）局域网建成后可以节约企业在使用网络资源方面节约更多的开支，便于公司员工查阅和接受网络信息，也可以简化公司对计算机的日常维护和管理，节约维护成本。（3）建立局域网提高公司在办公自动化水平和企业内部应用电子商务的能力，逐步实现业务级网络应用。更有利于企业获得更快、更准确的市场信息，为公司决策提供更科学的依据等。（4）建立局域网也可以是外界能更快更好的认识本企业，加强企业知名度。本研究以在中小企业为背景，多层面探索这些企业在网络规设计碰到的问题和解决方法，供有关部门作为研究、管理决策、规划的参考。名师资料总结-精品资料欢迎下载-名师精心整理-第 4 页，共 22 页 -4 1 绪论1.

5、1 项目背景中小企业网络主要是企业内部网络建设，包括企业内部计算机节点的分布与整个网络的物理线路连接合理布局，以及门户网站、电子商务平台的搭建。进入21 世纪后我国的中小企业大都进入信息化和办公自动化或者半信息半自动化。网络能够提高整个企业的工作效率，加大市场宣传面，增加业务业务量。因此中小企业网络将在20 年内得到高速的发展。公司追求形象，所以在网络设计和布设方面要求特别高，要求绝对的合理化。另外合理的网络布局使我们企业办公场所环境优良，企业的网络化使得公司工作效率普遍较高，WEB 服务器和办公服务器的架设，使得公司对外宣传面扩大，提高了效益。同时网络化办公也使员工能够在网络上找到疑问的答案

6、。网络使得公司各方面都得到了很快的发展。中小企业的网络规划、设计和维护越来越需要标准化和规范化。1.2 中小企业网络概述中小企业网络主要是企业内部网络建设，包括企业内部计算机节点的分布与整个网络的物理线路连接合理布局，以及门户网站、电子商务平台的搭建。进入21 世纪后我国的中小企业大都进入信息化和办公自动化或者半信息半自动化。网络能够提高整个企业的工作效率，加大市场宣传面，增加业务业务量。因此中小企业网络将在20 年内得到高速的发展。名师资料总结-精品资料欢迎下载-名师精心整理-第 5 页，共 22 页 -5 2 需求分析2.1 企业描述：2.1.1 职能描述如图 2-1 所示：图 21 职能

7、描述该公司新购一个办公楼层，需要在目前简易装修的基础上设计企业网络，并且与下面的再次装修基本同步进行，外网接入电信光纤。董事长单独 1 间办公室；三个总监共 3 间办公室；技术部 1 间办公室（技术主管在技术部办公）；业务部 1 间办公室（业务主管在业务部办公）；行政部 1 间办公室（行政主管在行政部办公）；公司内设一个机房。一个信息技术操作室2.1.2 公司的建筑物理布局如图22 所示：董事长技术总监业务总监行政总监技术主管技术主管业务主管业务主管行政主管行政主管机房网管操作技术总监业务总监前台董事长办公室行政总监茶水间洗手间会议室技术部行政部业 务办 公区业 务办 公区接待名师资料总结-精

8、品资料欢迎下载-名师精心整理-第 6 页，共 22 页 -6 2.2网络概况电信网络独享百兆接入，由于电信法相关规定，地址转换翻译有特殊规定，使用一个 ip 为全公司整个网络使用，会导致违反规定，会被误认为是黑网吧之类的节点，因此公司采取使用全部公网。电信分配的ip 地址为 202.16.100.33掩码：255.255.255.0.另外电信的路由是终结的。2.3 公司需求节点需求：名称节点数IP 分配机房10 个192.168.1.236192.168.1.245 调试室2 个192.168.1.234192.168.1.235 董 事 长 办 公室1 个192.168.1.233 总监办公

9、室共 3个192.168.1.230192.168.1.232 技术办公区8 个192.168.2.2192.168.2.9 行政办公区6 个192.168.2.10 192.168.2.15 业务办公区24 个192.168.3.2192.168.3.25 前台1 个192.168.3.26 无线1 个192.168.1.229 服务器需求：Web服务器、数据库服务器、dhcp、办公、存储网络需求：（1）WEB 需要至少 30M 的流量（上传下载速率：30*128kb，约为 3M/S）。（2）数据库服务器同上。（3）办公服务器（办公系统），内网使用。名师资料总结-精品资料欢迎下载-名师精心整

10、理-第 7 页，共 22 页 -7（4）DHCP 内网使用和邮件服务器。（5）存储服务器。（6）董事长办公室、总监办公室各独享3M。（7）布线必须不影响公司整个装修的美观。2.4 解决方案综合布线需求主要是价廉、合理、美观、标准。因此进行夹墙内、地板下、天花板上布线。网络设备主要放在机房和大厅个办公区域头部柜子内。机房内使用一个机柜（33U、1.6M），防尘地板，和空调。Web和数据库服务器必须7*24 不间断,使用 linux操作系统架设 web和 ftp。办公服务器和主要的网络设备放置机房机柜。办公服务器采用 windows 2003 操作系统。主要为 ftp 和办公系统。公司办公网上网使

11、用CICSO 路由器实现 dhcp，调试室使用静态公网ip 地址。2.5 可行性分析通过对该企业写字楼的现场调查和需求分析后，对其可行性进行分析。技术上可行：该系统所需硬件设备，市场上销售且价格较低，操作系统采用linux、Windows 系列操作系统，数据库采用 SQL，这些软件已被大量应用，技术上都比较成熟。因此在技术上是可行的。经济上可行：网络企业主要的是实现办公自动化和信息化。网络是网络企业发展的命脉和根本，没有网络该类型企业无法发展。因此，这项投入是企业必须的。因此经济上没有问题。管理上可行：整个公司的办公资料是通过办公服务器集中存储处理的，整个网络设备都是集中的机房并且具有专人进行

12、维护。因此可以达到了集中管理。管理上是可行的。综上所述，设计建设该网络项目在技术上、经济上、管理上都是可行的。名师资料总结-精品资料欢迎下载-名师精心整理-第 8 页，共 22 页 -8 3 网络逻辑方案3.1 布线方案布线主要采取外线进入公司机房然后星形对外布线，如图31 所示：防火墙INTERNET 图 31 布线逻辑方案公司是光纤接入，然后通过自己的路由器接到交换机，然后接分交换机公司路由设备交换机各服务器各领导办公室无线路由器办公区交换机1 各办公区 1 办公区交换机2 各办公区 2 名师资料总结-精品资料欢迎下载-名师精心整理-第 9 页，共 22 页 -9 3.2 网络逻辑方案名师

13、资料总结-精品资料欢迎下载-名师精心整理-第 10 页，共 22 页 -10 4.网络配置方案4.1.1 配置概述为了降低成本，公司采用路由器实现dhcp 功能。IP 地址分配：路由器：202.16.100.33/255.255.255.0 内网使用私有地址：10.0.0.0/255.0.0.0 网络设备地址：R2:E0:202.16.100.33 E1:192.168.1.1 S1:VLAN1:192.168.1.2 S2:VLAN1:192.168.2.1 S3:VLAN1:192.168.3.1 服务器地址：OA:192.168.1.240 OA备用:192.168.1.241 WEB:

14、192.168.1.242 WEB备：192.168.1.243 备机：192.168.1.244 存储：192.168.1.245 无线路由器：192.168.1.2294.1.2 路由器配置（1）概述：由于电信拉来的专线是终结的，所以我们的路由器只需要设置PAT地址转换和 dhcp功能。另外我们采用路由器作为我们的防火墙，因此需要配置 acl 访问控制。路由器 f0/0为外网进口ip设置为202.16.100.33/255.255.255.0.路由器内网端口ip设置为：192.168.1.1/255.0.0.0也就是说内网采用192.0.0.0/255.0.0.0这个网络。然后设置PAT地

15、址转换。再通过配置ACL来做防火墙。（2）PAT地址转换配置如下：由于本操作主要是在公司路由器上，所以以一台路由器模拟电信接入的INTERNET，另外一台 R2属于公司内部的路由器，然后接到交换机，并以四台pc 模拟内网。R1 E0/0:202.16.100.32/255.255.255.0 R2 名师资料总结-精品资料欢迎下载-名师精心整理-第 11 页，共 22 页 -11 E0/0:202.16.100.33/255.255.255.0 E0/1:192.168.1.1/255.0.0.0 配置如下：R1en R1#conf t R1(config)#int f0/0 R1(config

16、-if)#ip add 202.16.100.32 255.255.255.0 R1(config-if)#no shut R1(config-if)#end R1#write Building configuration.OK R2en R2#conf t R2(config)#int f0/0 R2(config-if)#ip add 202.16.100.33 255.255.255.0 R2(config-if)#no shut R2(config-if)#exit R2(config)#int f0/1 R2(config-if)#ip add 192.168.1.1 255.0.0

17、.0 R2(config-if)#no shut R2(config-if)#exit R2(config)#ip nat pool MYNET 202.16.100.33202.16.100.33netmask 255.255.255.0 R2(config)#ip nat inside source list 1 pool MYNET overload R2(config)#access-list 1 permit 192.0.0.0 0.255.255.255 R2(config)#interface fastEthernet 0/1 R2(config-if)#ip nat insid

18、e R2(config-if)#exit R2(config)#interface fastEthernet 0/0 名师资料总结-精品资料欢迎下载-名师精心整理-第 12 页，共 22 页 -12 R2(config-if)#ip nat outside R2(config-if)#end R2#debug ip nat IP NAT debugging is on R2#write Building configuration.OK pc0 到 pc1 的 ip 地址设置为 192.168.1.10-192.168.1.13 测试结果如下：Packet Tracer PC Command

19、Line 1.0 PC0ping 202.16.100.32 模拟器内可以通PC1ping 202.16.100.32 模拟器内可以通PC2ping 202.16.100.32 模拟器内可以通PC3ping 202.16.100.32 模拟器内可以通查看路由器内 PAT信息：R2#show ip nat translations NAT:s=192.168.1.12-202.16.100.33,d=202.16.100.32 5 NAT*:s=202.16.100.32,d=202.16.100.33-192.168.1.12 44 NAT:s=192.168.1.12-202.16.100.

20、33,d=202.16.100.32 11 NAT*:s=202.16.100.32,d=202.16.100.33-192.168.1.12 50 NAT*:s=202.16.100.32-202.16.100.32,d=202.16.100.33 52 NAT*:s=202.16.100.32,d=202.16.100.33-192.168.1.11 52 NAT:s=192.168.1.11-202.16.100.33,d=202.16.100.32 6 NAT:s=202.16.100.33,d=202.16.100.32-202.16.100.32 6 NAT*:s=202.16.1

21、00.32,d=202.16.100.33-192.168.1.10 60 NAT:s=192.168.1.10-202.16.100.33,d=202.16.100.32 12 NAT:s=202.16.100.33,d=202.16.100.32-202.16.100.32 12 NAT*:s=202.16.100.32-202.16.100.32,d=202.16.100.33 61 名师资料总结-精品资料欢迎下载-名师精心整理-第 13 页，共 22 页 -13 NAT*:s=202.16.100.32,d=202.16.100.33-192.168.1.10 62 NAT:s=192

22、.168.1.13-202.16.100.33,d=202.16.100.32 5 NAT*:s=202.16.100.32,d=202.16.100.33-192.168.1.13 64 NAT:s=192.168.1.13-202.16.100.33,d=202.16.100.32 6 NAT*:s=202.16.100.32,d=202.16.100.33-192.168.1.13 65 NAT:expiring 202.16.100.33(192.168.1.12)icmp 5(5)NAT:expiring 202.16.100.33(192.168.1.12)icmp 6(6)NAT

23、:expiring 202.16.100.33(192.168.1.11)icmp 1024(5)NAT:expiring 202.16.100.33(192.168.1.11)icmp 1029(10)NAT:expiring 202.16.100.33(192.168.1.10)icmp 1032(11)NAT:expiring 202.16.100.33(192.168.1.10)icmp 1033(12)NAT:expiring 202.16.100.33(192.168.1.13)icmp 5(5)NAT:expiring 202.16.100.33(192.168.1.13)icm

24、p 6(6)（以上返回信息直接在模拟器上拷贝的，并且将部分重复的删除掉了，主机ping 202.16.100.32路由器会出现以上信息）（3）路由器实现 DHCP 配置如下：R2en R2#configure R2(config)#ip dhcp pool NETDHCP R2(dhcp-config)#network 192.0.0.0 255.0.0.0 R2(dhcp-config)#default-router 192.168.1.1 R2(dhcp-config)#dns-server 192.168.1.240 R2(dhcp-config)#exit R2(config)#ip

25、dhcp excluded-address 192.168.1.1 192.168.1.10（保留 1-10，这个是内网路由接口的地址和内网各网络设备的地址）R2(config)#ip dhcp excluded-address 192.168.1.240 192.168.1.254（保留 240-154 这些 ip）R2(config)#en R2#en 测试：名师资料总结-精品资料欢迎下载-名师精心整理-第 14 页，共 22 页 -14 在局域网内随便找几台机器ping 外网，本项目中ping 通 202.16.100.32即可将 pc 机的地址该为自动获取。以上是模拟器中测试的结果，是

26、没有问题的。（4）路由器安全设置：配置口令：R2（config）#enable secret cisco R2(config)#line vty 0 4 R2 config-line)#password cisco R2(config-line)#end R2#write Building configuration.OK 配置 ACL配置禁止 135-445，禁止外网 telnet公司路由。R2(config)#access-list 120 deny tcp any any eq 23 R2(config)#access-list 120 deny tcp any any eq 135R2

27、(config)#access-list 120 deny tcp any any eq 136 R2(config)#access-list 120 deny tcp any any eq 137 R2(config)#access-list 120 deny tcp any any eq 138 R2(config)#access-list 120 deny tcp any any eq 139 R2(config)#access-list 120 deny tcp any any eq 389 R2(config)#access-list 120 deny tcp any any eq

28、445 R2(config)#access-list 120 deny tcp any any eq 4444 R2(config)#access-list 120 deny udp any any eq 69 R2(config)#access-list 120 deny udp any any eq 135 R2(config)#access-list 120 deny udp any any eq 136 R2(config)#access-list 120 deny udp any any eq 137R2(config)#access-list 120 deny udp any an

29、y eq 138 R2(config)#access-list 120 deny udp any any eq 139 R2(config)#access-list 120 deny udp any any eq snmp 名师资料总结-精品资料欢迎下载-名师精心整理-第 15 页，共 22 页 -15 R2(config)#access-list 120 deny udp any any eq 389 R2(config)#access-list 120 deny udp any any eq 445 R2(config)#access-list 120 deny udp any any e

30、q 1434 R2(config)#access-list 120 deny udp any any eq 1433 R2(config)#access-list 120 permit ip any any R2(config)#int f0/0 R2(config-if)#ip access-group 120 in 2(config-if)#end R2#write Building configuration.OK 如果需要删除规则：（config）#no access-list 120 查看规则可以：R2#show running-config 4.1.3 交换机配置概述：交换机只做监

31、控使用，因此只设置远程管理权限。（1）主交换机端口分配：机柜和调试室使用端口14-22 分给机柜，23-24 备用；领导网络端口分配：1-4，5-6 备用；行政和技术部端口分配：7，8 备用；业务部和前台端口分配：9，10 备用；无线路由端口分配：11，12 备用；（2）交换机权限配置：S1en S1#conf S1(config)#interface vlan 1 S1(config-if)#ip add 192.168.1.2 255.0.0.0 S1(config-if)#no shut S1(config-if)#exit S1(config)#enable secret cisco

32、S1(config)#line vty 0 4 名师资料总结-精品资料欢迎下载-名师精心整理-第 16 页，共 22 页 -16 S1(config-line)#password cisco S1(config-line)#end S1#w Building configuration.OK S2en S2#conf t S2(config)#interface vlan 1 S2(config-if)#ip add 192.168.1.3 255.0.0.0 S2(config-if)#no shut S2(config-if)#exit S2(config)#enable secret c

33、isco S2(config)#line vty 0 4 S2(config-line)#password cisco S2(config-line)#end S1#w Building configuration.OK S3en S3#conf t S3(config)#interface vlan 1 S3(config-if)#ip add 192.168.1.4 255.0.0.0 S3(config-if)#no shut S3(config-if)#exit S3(config)#enable secret cisco S3(config)#line vty 0 4 S3(conf

34、ig-line)#password cisco S3(config-line)#end 名师资料总结-精品资料欢迎下载-名师精心整理-第 17 页，共 22 页 -17 S3#wr 4.1.4 金盾防火墙配置选用金盾防火墙的原因就是他具有防止DDOS 攻击功能，可以限制局域网的ip地址的速度。还有人性化的 web图形管理界面。只允许访问这个域名。在金盾防火墙白名单里允许该域名访问，并且禁止其它域名指向我们的ip，这个是防止恶意指向，致使我们出现未备案被查情况的发生。将相应的节点限制速度即可，具体要求如下：总经理和总监办公室网速限制为4M/节点;技术部和调试室限制为6M/节点；业务部和行政部限制

35、为2M/节点；Web服务器限制为 40M；设置方法：选择主机列表选择所有主机然后找到特定ip 设置流量和规则。（局域网的主机是防火墙自动识别的）4.2 服务器配置方案4.2.1 WEB 服务器采用 linux操作系统，apache 服务，sql 数据库，asp 网站程序，并配置 FTP用于上传文件，邮件服务器用于沟通。（1）系统技术工程师安装配置apche、sql、asp环境。（2）系统工程师安装配置邮件服务器Sendmail。（3）系统技术工程师安装配置ftp 服务器。（4）架设公司 web 网站，上传数据库文件。（5）做好备份镜像办公系统服务器。4.2.2 OA办公系统公司软件技术人员在w

36、indows 2003 下架设 OA 系统，采用 sql 数据库。做好备份镜像办公系统服务器。4.2.3 存储服务器存储服务器主要存储公司主要的软件，备份公司重要文件和重要数据库，以及各员工的重要项目、进度文件。主要采取FTP实现上传和下载的功能。员工间进行隔离。如果需要共享资料，只需要在自己的办公电脑上开启共享就好，不用存储服务器共享。名师资料总结-精品资料欢迎下载-名师精心整理-第 18 页，共 22 页 -18 5 项目测试与维护网络测试和维护在每个办公区和每台服务器对外网（定为 ）进行 ping 测试。在外网，ping 公司的网站域名，测试外网队内的访问的连通性。公司服务器网络状态由网

37、管随时检查，处理相关问题。公司办公网采取上报处理。网管必须优先保证公司web的带宽。必要时可以占用办公带宽。路由策略测试和维护在内网和外网对路由器设置的相关规则进行测试。Ping 禁用的端口和除允许之外的域名。根据路由策略配置文档，在需要时进行删除增加策略的维护。DHCP 功能测试开启局域网所有主机，全部开启DHCP，然后对外 ping 能通则表示能获取到 ip。无线网络测试将调试用的笔记本开启无线网卡，自动获取ip，开是否获取 ip，是否能连上外网。无线傻瓜路由器自动获取的主机和路由器dhcp 功能分配的地址是不一样。服务器测试首先服务器试运行3 天，检查机房温度适度和防尘情况。其次在系统日

38、记中查看和日常进系统观察系统的正常性。最后选择不同的时间段在服务器内ping 外网和在外网 ping 服务器，查看是否有严重丢包和延迟过大的情况硬件维护由于 IT 硬件随着时间的推移和网络的影响会经常出现一些故障，要保证网络畅通，是很有必要对硬件进行定时检查，测试。对于老化和问题设备要及时维修更换。名师资料总结-精品资料欢迎下载-名师精心整理-第 19 页，共 22 页 -19 6 总结通过这次毕业设计让我更加熟悉了从理论到实践的跨越，也发现在课本中学习到是不足以应付实际发生的问题，这也需要我们树立起不断学习，终身学习的概念。本论文是关于小型企业网络设计的，设计的过程中一部分用到了我们在学校里

39、学的知识，像上文涉及到的综合布线问题，还有一部分是用到了一些命令，像上文中的项目测试和维护，这些命令我们可以通过看相应设备的参考书，或者cisco/h3c教程可以实现的。本论文写到的一些命令就是通过教程中的解释，再根据实际情况配置而成。但是万事万物总会有自己的缺点，在我的论文中不乏有些错误和缺点，请老师指正名师资料总结-精品资料欢迎下载-名师精心整理-第 20 页，共 22 页 -20 致谢本论文是由我的导师肖东升的亲切关怀和悉心指导下完成的。他严肃的科学态度，严谨的治学精神，精益求精的工作作风，深深地感染和激励着我。从课题的选择到项目的最终完成，肖老师都始终给予我细心的指导和不懈的支持。两年

40、多来，肖老师不仅在学业上给我以精心指导，同时还在思想、生活上给我以无微不至的关怀，在此谨向肖老师致以诚挚的谢意和崇高的敬意。名师资料总结-精品资料欢迎下载-名师精心整理-第 21 页，共 22 页 -21 参考文献（1）（美）W.Richard Stevens.TCP/IP详解卷 1:协议M.机械工业出版社.2000（2）（美）理查德,巴拉基,艾然.CCNP SWITCH 学习指南 M.人民邮电出版社.2011（3）（美）冉杰贝,夏俊杰.CCNP ROUTE 学习指南 M.人民邮电出版社.2011（4）陆锦军计算机网络工程中国铁道出版社（5）张国清网络设备配置与调试项目实训电子工业出版社名师资料总结-精品资料欢迎下载-名师精心整理-第 22 页，共 22 页 -