国雅杰网络有限公司网络构建设计方案.doc

国雅杰网络有限公司网络构建设计方案* 摘要 * 关键字一、引言二、需求分析1域：考虑到公司的规模，需要建立一个域，也就是active directory.它可以让公司用户方便地访问资源，并且同时能有效、合理地管理这些用户。公司不同部门的管理，部门之间的安全保密，员工身份认证，员工信息资料的存放。域既是 windows 网络操作系统的逻辑组织单元，也是internet的逻辑组织单元，在 windows 网络操作系统中，域是安全边界。域管理员只能管理域的内部，除非其他的域显式地赋予他管理权限，他才能够访问或者管理其他的域;每个域都有自己的安全策略，以及它与其他域的安全信任关系。2用户管理、漫游用户配置文件:公司分各个部门，各个部门对网络资源有不同需求，各个部门员工职位不同所需要的管理以及对资料访问的权限都需要设置。财务部的资料只能有总经理，财务部人员查看。控制各个部门帐户的登入时间。用户登录时下载到本地计算机，而用户注销时本地和服务器都进行更新的基于服务器的用户配置文件。用户登录到服务器，服务器的漫游用户配置文件是可用的。登录时，如果本地用户配置文件比服务器上的要新，则用户可以使用该本地文件。3dns:随着公司的规模越来越大网络主机不断增加，ip地址的数量也再增加。目前需要通过友好名称代替难记的ip地址以定位计算机和服务，并采用类似目录树的等级结构，通过去访问域名服务器来登入到远端各种服务器、电脑以及一些网络上的设备。根据公司领导层的决定，域名要求按：所在国家+.+所在省市+.+区县省+.+主机名+.guoyaj列如：china.sh.zhabei.pc_098910039.guoyaj进行建立，并尽可能的访问到公司中所有的网络设备服务器，实现网络设备ip地址和域名称统一的管理，这样做一是为了减轻公司员工对网络设备ip地址的记忆，二是服务器的ip地址一旦变更，就不需要通知到每位员工。4dhcp公司在对ip地址的分配中，希望可以集中为整个公司的互联网指定通用和特定子网的tcpip参数，并且可以定义使用保留地址的客户机的参数。提供安全可信的配置。要求避免在每台计算机上，进行手工输入数值引起的配置错误，还能防止网络上计算机配置ip地址的冲突。还需要减少配置花费的开销和重新配置网络上计算机的时间，服务器可以在指派地址租约时配置所有的附加配置值。公司的电脑不需手工配置tcpip。电脑在子网间移动时，旧的ip地址自动释放以便再次使用，避免ip地址的浪费。在再次启动客户机时，会自动为客户机重新配置tcpip。5web为了推广公司服务内容，要求建立自己公司的网站来完成创建可互操作行、分布式应用程序的新平台。其中网站内容能够动态更新，能合并从多个不同源来的内容，界面要友好方便管理员日常管理和设置要求执行起来能完成从简单的请求到复杂商务处理的任何功能。网站内容要求包括公司简介、产品，文化等在传统环境中的内容。要求在网站上提供音频和视频等管理配置服务。网站上能存储、修改和查询处理大量的数据，同时必须支持跨防火墙的通信，支持多种网站的应用程序集成，多操作平台系统和各种浏览器。网站上还需要增加企业对企业之间的营销关系，提供电子商务服务。6ftp随着公司规模越来越大，项目越来越多，商务流程越来越复杂，资料文件也会随之增加变多。这使得员工不得不使用第三方软件进行文件远程传递的工作，但第三方软件不能进行大容量的数据传输。公司为了节省开支不打算使用专业的文件传输第三方软件，所以希望通过简单的设置，能够在互联网上提供共享的存储空间，使得自己用网络来进行双向文件传输的工作进行资源共享和管理,实现信息共享并对文件进行访问权限有高到低的设置策略。而且还要达到可以跨系统，跨网络的无限制传输文件。不受系统的差异限制，不受网段的限制的要求。7组策略建立好用户和组之后，对于他们的管理就需要用到组策略。建立组策略后，公司的网络管理员就能快速有效的管理整个网络用户帐户。防止公司员工不能下载软件，但网络管理员可以指派软件包让需要的员工安装软件及补丁。保证员工桌面的统一性，桌面，任务栏，开始菜单中只允许有指定的办公软件。公司经理需要在公司内部任何电脑中登录域后得到自己的文档文件便于指派任务。财务和设计部员工用的帐户必须设置安全密码，保证公司资料的安全。8e-mail公司内部需要已邮件的方式分配任务工作，部门之间用邮件的方式来交流配合工作。当销售部获得信息后可直接通过邮件把客户的信息和要求发到设计部。总务部可用邮件方式通知各部门人员调整，日常用品领取，时间调整表等带有word文件的资料。每一位公司员工都需要有个邮箱，用来每周提交周工作报告以及下周的工作安排，让总务可以做考评和出差安排，财务部可通过总务以及各部门的工作报告来结算费用支出等做出财务报表来报告总经理，形成好的公司内部交流体制。三、设计环境与技术分析域中的那些信息需要放在一个专用的域控制器（domain controller）上。让员工在同一个域中，只要有一个域帐户，用该帐户登入后取得一个身份，在域中就能访问域中的任何一台服务器上的资源。员工只需在域中拥有一个域帐户，只需登录一次域就可以访问域中的资源。域控制器中包含了由这个域的账户、密码、属于这个域的计算机等信息构成的数据库。只要在权限设置信任的情况下，员工就能应用域用户使用网络资源，网络打印等，实现网络资源的共享和管理。部门分别为：财务部，设计开发部，销售部，总务部，特殊的员工帐户独自创建用户分配权限。在域控制器上创建组织单元，设置各部门的权限。在创建帐户的过程中，以公司人员的名单依此建立好员工帐户，并且规划到他们的部门里。让用户在第一次登录域用户时更改密码，使每个用户的密码保证安全。用户通过域帐户和密码来标识，通过域控制器验证后，就可以共享域中的网络资源。漫游用户配置文件使用户能够登录到域中的计算机，而同时保留其用户配置文件的设置。用户配置文件存储在由管理员指定的服务器位置。当用户进行登录并已在目录服务中进行了身份验证时，用户配置文件（包括用户设置和文档）将复制到本地计算机上。dns是指：域名服务器(domain name server)。在internet上域名与ip地址之间是一一对应的，域名虽然便于人们记忆，但机器之间只能互相认识ip地址，它们之间的转换工作称为域名解析，域名解析需要由专门的域名解析服务器来完成，dns就是进行域名解析的服务器。有了dns后，可以自己为域名作解析,或增设子域名。dns系统采用类似目录树的等级结构。域名服务器为客户机/服务器模式中的服务器方，它主要有两种形式：主服务器和转发服务器。将域名映射为ip地址的过程就称为“域名解析”。这样做的好处是技术实现比较灵活、方便，简单易行，成本低，适用于大多数tcp/ip应用。不需要网络专家来对之进行设定，或在出现问题时对之进行维护。动态主机配置协议(dhcp)是rfc1541（由rfc2131替代）定义的标准协议，该协议允许服务器向客户端动态分配ip地址和配置信息。使用udp协议工作，主要有两个用途：给内部网络或网络服务供应商自动分配ip地址给用户给内部网络管理员作为对所有计算机作中央管理的手段。dhcp使服务器能够动态地为网络中的其他服务器提供ip地址，通过使用dhcp，就可以不给intranet网中除dhcp、dns和wins服务器外的任何服务器设置和维护静态ip地址。使用dhcp可以大大简化配置客户机的tcpip的工作，尤其是当某些tcpip参数改变时，如网络的大规模重建而引起的ip地址和子网掩码的更改。web服务是一种面向服务的架构的技术，通过标准的web协议提供服务，目的是保证不同平台的应用服务可以互操作。根据w3c的定义，web服务（web service）应当是一个软件系统，用以支持网络间不同机器的互动操作。网络服务通常是许多应用程序接口（api）所组成的，它们通过网络，例如国际互联网（internet）的远程服务器端，执行客户所提交服务的请求。web service是构建互联网分布式系统的基本部件。web services 正成为企业应用集成（enterprise application integration）的有效平台。web service的作用在于web service通过标准通信协议，在互联网上发布有用的程序模块（以服务的方式），目前大部分是用soap来作通信协议。web service提供应用程序接口，来帮助用户构建应用程序。通常已发布的web service要注册到管理服务器，这样便于使用者查询和使用。这个是通过uddi来完成的。web servcie最主要的优点是，使用不同程序和在不同系统平台上开发出来的程序，都可以相互通信。ftp 是file transfer protocol（文件传输协议）的英文简称，而中文简称为“文传协议”。用于internet上的控制文件的双向传输。同时，它也是一个应用程序（application）。用户可以通过它把自己的pc机与世界各地所有运行ftp协议的服务器相连，访问服务器上的大量程序和信息。ftp的主要作用，就是让用户连接上一个远程计算机（这些计算机上运行着ftp服务器程序）察看远程计算机有哪些文件，然后把文件从远程计算机上拷到本地计算机，或把本地计算机的文件送到远程计算机去。ftp的优点在于完全基于网络，具有网络文件的上传与下载特性。如支持断点续传，不受工作组与ip地址限制等。拥有完善的用户权限管理系统，比起网络共享来说，可以详细设置每个用户的权限。如只能上传，不能修改或删除等。安全性高，可以进行数据的加密传输。更好保护个人隐私。windows server 2003组策略是一种在用户或计算机集合上强制使用一些配置的方法，组策略定义了用户的桌面环境等多种设置。使用组策略可以给同组的计算机或用户强加一套统一的标准，包括菜单启动项、软件设置，这样计算机或用户可以有相同的菜单等各种配置。组策略配置包含在一个一个组策略对象中gpo，该对象又与选定的ad服务容器，如站点、域或组织单元ou等相关联，不会影响没有加域的计算机和用户。改善网络管理员的管理方式。e-mail服务它是种用电子手段提供信息交换的通信方式。是应用最广的服务：通过网络的电子邮件系统，用户可以用非常低廉的价格（不管发送到哪里，都只需负担电话费和网费即可），以非常快速的方式（几秒钟之内可以发送到世界上任何你指定的目的地），与世界上任何一个角落的网络用户联系，这些电子邮件可以是文字、图像、声音等各种方式。同时，用户可以得到大量免费的新闻、专题邮件，并实现轻松的信息搜索。需要的服务smtp/pop3。四、整体结构与网络服务功能的组成在一台服务器上安装windowsserver2003网络操作系统，用这台服务器做域控服务器（dc），在新的域林中建立一个新域，在安装域的过程中进行相应设置。公司的域名为：xxxx.com并且利用此台服务器做dns服务器，dns名：xxxx.com。分配给此台服务器的ip地址为：maskgate00 dns为公网地址0。这样，在这台服务器中就有了活动目录ad，可以在这个创建的域中进行用户配置，服务权限，安全策略的管理。在activedirectory的用户和计算机里建立组织单元：财务部，设计开发部，销售部，总务部，再按照员工名单添加各个部门的员工，建立他们的用户，初始密码123456，在用户登陆时须更改密码。让员工设置自己的密码。在员工的属性-帐户-登录时间里选择相应员工可以登录的时间段就能控制登录时间。然后在他的隶属于中选择对应的权限组中（关系到组策略）。创建漫游配置文件，复制用户配置文件，将用户配置文件路径更新为指向新的配置文件，这样在用户成功登录之后，会将配置文件作为漫游配置文件保存在服务器上，并且会将任何配置文件更改保存到该服务器中。以windows server 2003系统环境的电脑作为dns服务器，通过控制面板的添加删除程序中的添加删除windows组件安装dns服务。打开dns服务添加正向查找区域选择主要区域建立如guoyaj域名并创建.dns文件进行允许非安全和安全动态更新。新建主机输入域名如www.china.sh.zhabei.pc_098910039.guoyaj和对应的ip地址。建立域名的时候，可以通过测试正向查询的命令如：ipconfig、ping进行测试。如ping www.china.sh.zhabei.pc_098910039.guoyaj，只要出现ping statistics for+ip地址的字样就算连接成功了。在windows server 2003服务器上安装和配置dhcp服务。通过控制面板添加/删除程序中添加/删除windows组件的网络服务里的动态主机配置协议(dhcp)进行安装。安装完后启动dhcp就行配置，首先创建ip作用域,对dhcp客户端进行设置并创建新的 dhcp 用户,使用dhcp服务器添加ip地址范围并对ip地址与mac地址进行绑定策略。经过上述设置，dhcp服务已经正式启动，我们需要在客户机上进行测试。只需把客户机的ip地址选项设为“自动获取ip地址”，随后重新启动客户机。在客户机的“运行”对话框中键入“ipconfig/all”，即可看到客户机分配到的动态ip地址。在windows server 2003服务器上安装和配置web服务。控制面板添加或删除程序的添加/删除 windows 组件中的应用程序服务器internet 信息服务(iis)从中选择万维网服务。 万维网服务中选择“active server pages” 及“万维网服务”等。安装好iis后，接着设置web服务器，具体做法为: 打开internet信息服务(iis)管理器”。右击网站，在弹出菜单中选择新建网站，打开网站创建向导。依次填写“网站描述”、“ip 地址”、“端口号”、“路径”和“网站访问权限”等。最后，为了便于访问还应设置默认文档(index.asp、index.htm)。在internet 信息服务(iis)管理器的web服务扩展中选择允许“active server pages”。另外，还应注意如果web服务主目录所在分区是ntfs格式，而asp网页有写入操作时(如用到新闻后台管理功能的)，要注意设置写入及修改权限。在windows server 2003上配置和安装ftp服务。安装控制面板添加或删除程序的添加/删除windows组件里的应用程序服务internat信息服务（iis）其中的选文件传输协议（ftp）服务。创建ftp用户隔离，设置ftp站点主目录，勾选ftp站点访问权限。建立系统账户，用于用户访问ftp。在主ftp目录下建立相应文件夹