中小企業(yè)網(wǎng)絡(luò)規(guī)劃

1、中小企業(yè)網(wǎng)絡(luò)規(guī)劃 一、 需求分析此網(wǎng)絡(luò)方案設(shè)計(jì)的背景是一集團(tuán)公司，由1個(gè)總部和5個(gè)分部組成。公司總部為六層樓，一樓迎賓大廳，二樓市場(chǎng)開(kāi)發(fā)中心，三樓研發(fā)中心，四樓為會(huì)計(jì)部，五樓為網(wǎng)絡(luò)中心,六樓為會(huì)議室（已實(shí)現(xiàn)無(wú)線網(wǎng)絡(luò)覆蓋）以及公司的高層管理人員辦公區(qū)。分部1（共有5個(gè)分部但本報(bào)告中僅舉其一為例）分為前臺(tái)和后臺(tái)。前臺(tái)包括服務(wù)臺(tái)和會(huì)計(jì)部，后臺(tái)下設(shè)有維修部。該公司需建立自己的公司網(wǎng)站、用以向外發(fā)布信息與商談網(wǎng)絡(luò)業(yè)務(wù)。總部與各分部之間需保持聯(lián)系、共享資源?？偛颗c各分部均各自設(shè)有總經(jīng)理總管業(yè)務(wù)并保持保密性交流聯(lián)系，能夠進(jìn)行視頻會(huì)議。其中各個(gè)會(huì)計(jì)部需有較高的保密性、由各自的總經(jīng)理直接管轄。公司還應(yīng)設(shè)立有自主

2、的郵件系統(tǒng)、數(shù)據(jù)庫(kù)；此外公司網(wǎng)絡(luò)需有較良好的網(wǎng)絡(luò)擴(kuò)展性和保密性。此外，我們?cè)O(shè)定只有經(jīng)理有接入INTERNET權(quán)限，普通員工不能連接外網(wǎng)?；谝陨闲枨螅覀?yōu)樵摴咀隽巳缦乱?guī)劃：將總部按照部門劃分子網(wǎng)，以二層交換機(jī)集成每層的計(jì)算機(jī)，再集成匯入該核心交換機(jī)（第三層交換機(jī)）；分部的設(shè)置同于總部。將路由作為分部和總部的邊際結(jié)點(diǎn)以相連形成整個(gè)公司的網(wǎng)絡(luò)。在接入層使用交換機(jī)、分布層使用路由，以提高信息交換的效率、減少?gòu)V播風(fēng)暴和信息沖突造成的延遲和錯(cuò)誤。在公司內(nèi)部，我們應(yīng)用虛擬局域網(wǎng)（VLAN）技術(shù)實(shí)現(xiàn)各自會(huì)計(jì)部、各層經(jīng)理的保密性需求及權(quán)限設(shè)置（以第三層交換機(jī)上的虛擬子網(wǎng)設(shè)置實(shí)現(xiàn)分屬于不同二層交換機(jī)下的經(jīng)理

3、間的保密性通訊；其中會(huì)計(jì)部經(jīng)理與總經(jīng)理的端口接入方式為Hybrid混合模式以使其能夠同時(shí)位于會(huì)計(jì)部VLAN與經(jīng)理VLAN之中，使得公司高層對(duì)公司財(cái)務(wù)的直接監(jiān)控與管理）。在與外網(wǎng)連接的部分，設(shè)置了防火墻以防止外部網(wǎng)絡(luò)病毒侵襲公司系統(tǒng)。此外，我們運(yùn)用ACL訪問(wèn)控制列表限制了公司各數(shù)據(jù)庫(kù)服務(wù)器的訪問(wèn)權(quán)限，以保證公司機(jī)要信息的安全；此外我們還利用ACL訪問(wèn)控制列表拒絕公司除經(jīng)理以外的員工接入INTERNET，來(lái)對(duì)公司的網(wǎng)絡(luò)連接進(jìn)行控制。為公司配備了郵件系統(tǒng)服務(wù)器和DNS服務(wù)器，會(huì)計(jì)部特設(shè)有獨(dú)立的會(huì)計(jì)部數(shù)據(jù)庫(kù)滿足需要。各層均設(shè)有數(shù)臺(tái)共享打印機(jī)?？偛康臅?huì)議室應(yīng)用了無(wú)線網(wǎng)絡(luò)連接技術(shù)，方便會(huì)議中的數(shù)據(jù)查詢與網(wǎng)

4、絡(luò)視頻會(huì)議。二、 硬件配置：PC機(jī)：總部共35臺(tái)PC，每個(gè)部門設(shè)有部門經(jīng)理一名，并有若干名職員交換機(jī)：每個(gè)部門一個(gè)二層交換機(jī)（switch-PT），總公司分公司各配備一個(gè)三層交換機(jī)（Multilayer Switch）。路由器：總公司分公司各配備一個(gè)路由器用于連接（Router-PT）總公司6層會(huì)議室配備一臺(tái)無(wú)線路由器（Linksys-WRT300N）服務(wù)器：總公司有兩臺(tái)服務(wù)器、總公司分公司會(huì)計(jì)部個(gè)配備一臺(tái)內(nèi)部服務(wù)器打印機(jī)：每層配備若干臺(tái)公共打印機(jī)三、 網(wǎng)絡(luò)配置1、在Packet Tracer5.0中構(gòu)建該局域網(wǎng)如圖所示：分部1會(huì)計(jì)部分部1服務(wù)部總部二層市場(chǎng)研發(fā)中心總部一層迎賓大廳分部1維修部

5、總部三層研發(fā)中心總部五層網(wǎng)絡(luò)中心總部四層會(huì)計(jì)部2、傳輸介質(zhì)：本企業(yè)屬大型企業(yè)，網(wǎng)絡(luò)范圍較寬，網(wǎng)絡(luò)數(shù)據(jù)傳輸量比較大，因此需采用光纖等高速率傳輸介質(zhì)來(lái)作為總公司與分公司間的主干連接（光纜的電磁絕緣性較好，信號(hào)衰變小，頻帶較寬，傳輸距離較大，傳輸速度較快，它可以在68km的距離內(nèi)不適用中繼器實(shí)現(xiàn)高速數(shù)據(jù)傳輸，在2.5Gbps的傳輸速率下，數(shù)十公里不需要使用中繼器）；在企業(yè)各公司內(nèi)部，使用雙絞線作為傳輸介質(zhì)即可滿足需求，同時(shí)其相比較價(jià)格便宜，可節(jié)約企業(yè)資金。各PC機(jī)和服務(wù)器與一級(jí)交換機(jī)間采用雙絞線直連連接，一級(jí)交換機(jī)和二級(jí)交換機(jī)、二級(jí)交換機(jī)和路由器以及路由器間采用雙絞線交叉連接。3、子網(wǎng)劃分：公司總部

6、使用網(wǎng)段。具體IP地址分配如下：一層迎賓大廳： pc0: pc1:二層市場(chǎng)開(kāi)發(fā)中心：pc2: pc3: 市場(chǎng)開(kāi)發(fā)中心經(jīng)理：三層研發(fā)部： pc5: pc6: 研發(fā)部經(jīng)理：四層會(huì)計(jì)部： pc8： pc9: 會(huì)計(jì)部經(jīng)理：五層網(wǎng)絡(luò)中心： 網(wǎng)管： pc12: 網(wǎng)絡(luò)中心經(jīng)理：六層無(wú)線網(wǎng)絡(luò)會(huì)議室:pc4:00 p

7、c7:0 總經(jīng)理: 其他管理人員：公司分部1使用網(wǎng)段 .具體IP地址分配如下：前臺(tái)服務(wù)部： pc20: pc15:前臺(tái)會(huì)計(jì)部： pc13: pc14:后臺(tái)維修部： pc17: pc18:分公司總經(jīng)理：虛擬子網(wǎng)：總部經(jīng)理間通訊虛擬子網(wǎng)：VLAN 111 - 總部會(huì)計(jì)部虛擬子網(wǎng)： VLAN kuaiji 分部會(huì)計(jì)部虛擬子網(wǎng)： VLAN 222 192.2.

8、2.14路由器配置：動(dòng)態(tài)路由設(shè)置與路由器端口IP設(shè)置：將與路由對(duì)應(yīng)端口相連接的網(wǎng)段網(wǎng)關(guān)加入路由RIP設(shè)置中，在數(shù)據(jù)傳輸過(guò)程中將由路由進(jìn)行路徑選擇。具體設(shè)置如下例無(wú)線路由器設(shè)置：自動(dòng)分配地址（DHCP）：在無(wú)線網(wǎng)絡(luò)覆蓋的會(huì)議室里，我們應(yīng)用了DHCP自動(dòng)分配新接入網(wǎng)的PC機(jī)的IP，以更加便利。無(wú)線路由器密碼設(shè)置：給無(wú)線路由設(shè)置密碼以保證只有擁有正確密碼的PC機(jī)用戶才能連入該無(wú)線網(wǎng)絡(luò)。無(wú)線路由會(huì)議室通訊測(cè)試：5. 交換機(jī)配置： 核心交換機(jī)端口IP設(shè)置：在IOS環(huán)境下給核心交換機(jī)以指令形式給各端口配置IP，以作為各子網(wǎng)的網(wǎng)關(guān)。（下圖以總部核心交換機(jī)的各端口IP配置情況為例）例：給核心交換機(jī)的f0/1端

9、口配置為：switch(config)#interface fastEthernet0/1switch (config-if)#no switchportswitch (config-if)#ip address switch (config-if)#no shutdown 核心交換機(jī)（第三層交換機(jī)）VLAN配置： 為保證各部門經(jīng)理間通訊的機(jī)密性，我們?yōu)榻?jīng)理設(shè)置了一個(gè)單獨(dú)的VLAN；該VLAN是由基于同一個(gè)第三層交換機(jī)、分屬于不同二層交換機(jī)下的PC機(jī)組成的VLAN。具體配置過(guò)程如下：第一步：設(shè)置核心交換機(jī)為VTP服務(wù)器、創(chuàng)建VTP

10、域：Multilayer Switch總公司三層交換機(jī):（默認(rèn)為服務(wù)器）switch(config)#vtp domain cisco 創(chuàng)建VTP，并命名為ciscoswitch (config)#inter range f0/1 5switch (config-if-range)#switchport mode trunk 對(duì)接口進(jìn)行封裝第二步：設(shè)置各二層交換機(jī)為VTP客戶模式、創(chuàng)建VTP域：Switch0：Switch0(config)#vtp domain cisco 創(chuàng)建VTP，并命名為ciscoSwitch0(config)#vtp mode client 指定為客戶模式Switch

11、0(config)#interface f0/12 Switch0(config-if)#switchport mode trunk 對(duì)接口進(jìn)行封裝第三步：在核心交換機(jī)上創(chuàng)建VLAN 111：Multilayer Switch - 總部三層交換機(jī):3560(config)#vlan 111第四步：在VTP服務(wù)器（核心交換機(jī)）上創(chuàng)建VLAN，各客戶機(jī)（二層交換機(jī)）上也應(yīng)同步VLAN信息：Switch0:Switch0#show vlan brief 查看客戶機(jī)中是否同步了vlan信息第五步：在各二層交換機(jī)上將各的經(jīng)理劃入VLAN111：例：將PC0劃入vlan111中，代碼如下Switch0:S

12、witch0(config)# int f0/1 Switch0(config-if)#switchport mode accessSwitch0(config-if)#switchport access vlan 111Switch0(config-if)#exit第六步：設(shè)置核心交換機(jī)路由功能利用SVI技術(shù)，利用交換機(jī)虛擬接口實(shí)現(xiàn)：Multilayer Switch - 總部交換機(jī):switch(config)#int vlan 111switch (config-if)#ip address 設(shè)置經(jīng)理虛擬子網(wǎng)的網(wǎng)段為

13、switch (config-if)#exit 二層交換機(jī)的VLAN配置：(如下圖所示按照接口劃分)6. 服務(wù)器設(shè)置：（1）域名解析（DNS）服務(wù)：添加了該功能后，用戶可以通過(guò)輸入域名來(lái)進(jìn)入網(wǎng)站，便于用戶更為清晰的記憶域名，并區(qū)分不同的組織機(jī)構(gòu)，不同的國(guó)家，使登陸網(wǎng)站更為方便。具體設(shè)置如圖所示：則公司網(wǎng)絡(luò)中所有其他PC機(jī)均可通過(guò)域名訪問(wèn)公司網(wǎng)站（如下圖）（2）E-MAIL服務(wù)器： 我們使用了郵局協(xié)議（POP）和簡(jiǎn)單郵件傳送協(xié)議（SMTP），為公司提供便利的電子郵件服務(wù)。（3）數(shù)據(jù)庫(kù)：7.其他： 除第一層外，公司總部的每一層均共享有若干臺(tái)公共打印機(jī)，以供內(nèi)網(wǎng)內(nèi)所

14、有計(jì)算機(jī)調(diào)用，提高了公司資源的利用效率。在設(shè)置上只需將該打印機(jī)的IP設(shè)置在該層的網(wǎng)段內(nèi)即可。Ping連同測(cè)試如下：四、 安全設(shè)置： 設(shè)置虛擬局域網(wǎng)以保證會(huì)計(jì)部門的信息安全：如下圖所示對(duì)該公司設(shè)置了三個(gè)虛擬局域網(wǎng)：將公司總部與分部的會(huì)計(jì)部門各自劃入一個(gè)虛擬局域網(wǎng)（如上圖中所示的VLAN4和VLAN222），以免公司極機(jī)密信息泄露；將公司的所有經(jīng)理劃入一個(gè)VLAN（如圖中所示的VLAN111）以保證公司高層的交流的機(jī)密性。（其中會(huì)計(jì)部經(jīng)理既在會(huì)計(jì)部VLAN中又在經(jīng)理VLAN中，使用了Hybrid混合模式）做了如上述設(shè)置之后，使用ping指令測(cè)試效果如下：#公司總部普通員工之間通訊測(cè)試：#公司總部的

15、普通員工不能訪問(wèn)總經(jīng)理（）：#公司總部其他部門的員工不能訪問(wèn)會(huì)計(jì)部（網(wǎng)段） (保密性要求) ：#公司分部普通員工間通訊：#公司分部間其他部門員工不能訪問(wèn)會(huì)計(jì)部：#公司分部普通員工無(wú)法訪問(wèn)分部總經(jīng)理（）：防火墻設(shè)置：在進(jìn)入我公司網(wǎng)的端口設(shè)置了防火墻，并且在系統(tǒng)上安裝殺毒軟件，定期為系統(tǒng)進(jìn)行殺毒。網(wǎng)絡(luò)防火墻技術(shù)是一種用來(lái)加強(qiáng)網(wǎng)絡(luò)之間訪問(wèn)控制,防止外部網(wǎng)絡(luò)用戶以非法手段通過(guò)外部網(wǎng)絡(luò)進(jìn)入內(nèi)部網(wǎng)絡(luò),訪問(wèn)內(nèi)部網(wǎng)絡(luò)資源,保護(hù)內(nèi)部網(wǎng)絡(luò)操作環(huán)境的特殊網(wǎng)絡(luò)互聯(lián)設(shè)備.它對(duì)兩個(gè)或多個(gè)網(wǎng)絡(luò)之間傳輸?shù)臄?shù)據(jù)包如鏈接方式按照一定的安全策略來(lái)實(shí)施檢查,以決定網(wǎng)絡(luò)之間的通信

16、是否被允許,并監(jiān)視網(wǎng)絡(luò)運(yùn)行狀態(tài).為了加強(qiáng)對(duì)重要信息的安全性管理，在三層交換機(jī)上連接了侵入檢查系統(tǒng)，同時(shí)，由系統(tǒng)軟件為各個(gè)用戶分配的權(quán)限。 ACL訪問(wèn)控制列表：對(duì)E-mail服務(wù)器進(jìn)行設(shè)置，旨在防止外部網(wǎng)絡(luò)的病毒或不良信息侵入。（在路由器上進(jìn)行配置）該E-mail服務(wù)器允許公司所有設(shè)備的訪問(wèn)，但拒絕其它流量。Router(config)#access-list 1 permit tcp any host eq smtpRouter(config)#access-list 1 permit tcp any host eq pop3為了為會(huì)計(jì)部門提供保密地?cái)?shù)據(jù)

17、庫(kù)服務(wù)，我們?yōu)槠湓O(shè)置了FTP訪問(wèn)權(quán)限，保證只有會(huì)計(jì)部?jī)?nèi)部人員有權(quán)訪問(wèn)該服務(wù)器：對(duì)總公司的會(huì)計(jì)部?jī)?nèi)部的FTP服務(wù)器設(shè)置權(quán)限（在路由器上進(jìn)行配置）會(huì)計(jì)部?jī)?nèi)部FTP服務(wù)器只允許會(huì)計(jì)部門內(nèi)VLAN內(nèi)的用戶使用其FTP服務(wù)，拒絕其它流量。Router(config)#access-list 4 permit tcp 55 host eq ftp在連入外網(wǎng)的路由上進(jìn)行了訪問(wèn)控制：只允許公司經(jīng)理層（網(wǎng)段為及）連接外網(wǎng)，其余均為內(nèi)網(wǎng)訪問(wèn)。因此在路由上做如下設(shè)置：Router(config)#access-list 2

18、permit 55 Router(config)#access-list 2 permit 55 Router(config)#access-list 2 deny any應(yīng)用于端口ethernet1/1：Router(config)#interface fastethernet0/0Router(config-if)#ip access-group 1 outRouter(config-if)#exit五、 總結(jié)該局域網(wǎng)的構(gòu)建基本滿足了該公司的需求，基本達(dá)到最初的設(shè)想。在構(gòu)建該公司內(nèi)部局域網(wǎng)過(guò)程中，我們著重研究了安全性控制方面的設(shè)置。安全性對(duì)于一家公司的網(wǎng)絡(luò)運(yùn)