安徽职业技术学院毕业论文-企业信息网络系统设计

安徽职业技术学院 毕业设计（论文） 姓名： 班级：高 职 0717 专业： 计 算 机 网络 指导老师： 2011 年 11 月 15 日 安徽职业技术学院 2 摘摘 要要 随着计算机网络的出现和互联网的飞速发展，企业基于网络的 计算机应用也在迅速增加， 基于网络信息系统给企业的经营管理带来 了更大的经济效益， 但随之而来的安全问题也在困扰着用户， 在 2003 年后，木马、蠕虫的传播使企业的信息安全状况进一步恶化。这都对 企业信息安全提出了更高的要求。 许多有远见的企业都认识到依托先进的 IT 技术构建企业自身 的业务和运营平台将极大地提升企业的核心竞争力， 使企业在残酷的 竞争环境中脱颖而出。 面对这瞬息万变的市场， 企业就面临着如何提 高自身核心竞争力的问题，而其内部的管理问题、效率问题、考核问 题、信息传递问题、信息安全问题等，又时刻在制约着自己，企业采 用网络安全技术来解决这些问题已经成为当前众多企业提高自身竞 争力的重要手段。 公司建设企业网络信息系统， 在企业内部实现资源高度共享， 为 生产、办公、管理提供服务；实现办公自动化，提供总部与分部、分 部与分部间通讯的出入口， 提供电子函件、 公告牌和办公信息查询等 服务，提高工作效率和管理水平；及时、准确、可靠地收集、处理、 存储、 传输企业的办公、 管理信息， 完成与因特网的通讯和资源共享， 实现企业资源和社会资源的有机结合。以实现音频数字化资源共享、 集中管理；以及数据的安全,建立企业网管理应用系统。 安徽职业技术学院 3 目录 第一章网络概述5 第二章开发背景6 2.1 开发背景6 2.2 课题开发的目标与期望6 2.3 课题主要研究工作7 第三章 需要分析7 3.1 公司部门概况7 3.2 网络功能需要7 3.3 网络性能需要8 3.4 网络应用需求8 第四章 设计方案9 4.1 设计原理9 4.2网络规划.9 4.2.1 核心层设计10 4.2.2 汇聚层设计10 4.2.3 接入层设计11 4.3 综合布线.12 4.3.1 工作区子系统设计12 4.3.2 水平子系统设计.12 4.3.3 管理子系统设计.12 4.3.4 干线子系统设计.13 4.3.5 设备间子系统设计13 4.3.6 建筑群子系统设计13 4.4IP 地址的设计13 4.5VLAN 的设计.14 第五章 实施方案.15 5.1 部署活动目录服务，构建域环.15 5.2 部署 DHCP 服务，自动分配 DHCP 选项15 5.3 部署 DNS 服务，响应名字解析请求15 5.4 安装 Internt 信息服务，部署 WEB 站点15 5.5 结合 SMTP 服务和 POP3 服务实现基本邮件功能15 5.6 部属 NNTP，实现聊天功能15 5.7 部署 FTP 服务，实现文件共享16 5.8 部属分布式文件系统. 16 5.9 安装 CCProxy,实现代理服务16 5.10 安装路由和远程访问服务，部属 VPN 服务16 安徽职业技术学院 4 5.11 安装 Internet 验证服务17 5.12 安装 Windows Media Services17 5.13 安装 Windows Media Encoders.17 第六章 网络安全.17 6.1 企业网络安全风险状况概述.17 6.2 企业网络安全体系结构的设计和构建18 6.2.1 企业网络安全系统设计目标18 6.2.2 企业防火墙的部署18 6.3 人员角色划分19 6.4 路由认证和保护.19 6.5 用户的安全防护.20 第七章 网络管理.20 7.1 服务器系统管理.20 7.2 关键设备的维护与管理.21 7.3 用户管理.21 7.4 文件系统管理22 7.5 磁盘和数据管理.23 7.6IP 地址的管理24 7.7 安全管理.25 7.8 软件管理.26 7.9 硬件资源的维护与管理.26 7.10 网络打印机的配置和管理27 7.11 网络布线的日常维护27 第八章 网络维护.29 8.1 更新.29 8.2 备份.29 8.3 诊断.29 8.4 安全.29 8.5 磁盘整理.29 第九章 平面设计图. 30 结束语. 30 参考文献31 安徽职业技术学院 5 第一章第一章网络概述网络概述 1.1 计算机网络的发展计算机网络的发展 事实上计算机网络是二十世纪 60 年代起源于美国,原本用于军事通讯,后逐渐进 入民用,经过短短 40 年不断的发展和完善,现已广泛应用于各个领域,并正以高速 向前迈进。20 年前,在我国很少有人接触过网络。现在,计算机通信网络以及 Internet 已成为我们社会结构的一个基本组成部分。网络被应用于工商业的各个 方面,包括电子银行、电子商务、现代化的企业管理、信息服务业等都以计算机 网络系统为基础。从学校远程教育到政府日常办公乃至现在的电子社区,很多方 面都离不开网络技术。可以不夸张地说,网络在当今世界无处不在。 随着计算机网络技术的蓬勃发展,计算机网络的发展大致可划分为 4 个阶段。 第一阶段:诞生阶段 20 世纪 60 年代中期之前的第一代计算机网络是以单个计算机为中心的远 程联机系统。 典型应用是由一台计算机和全美范围内 2 000 多个终端组成的飞机 定票系统。终端是一台计算机的外部设备包括显示器和键盘,无 CPU 和内存。随 着远程终端的增多,在主 机前增加了前端机(FEP)。当时,人们把计算机网络定义为“以传输信息为目的而 连接起来,实现远程信息处理或进一步达到资源共享的系统”,但这样的通信系统 已具备了网络的雏形。 第二阶段:形成阶段 20 世纪 60 年代中期至 70 年代的第二代计算机网络是以多个主机通过通信 线路互联起来,为用户提供服务,兴起于 60 年代后期,典型代表是美国国防部高级 研究计划局协助开发的 ARPANET。主机之间不是直接用线路相连,而是由接口 报文处理机(IMP)转接后互联的。IMP 和它们之间互联的通信线路一起负责 主机间的通信任务,构成了通信子网。通信子网互联的主机负责运行程序,提供资 源共享,组成了资源子网。 这个时期,网络概念为“以能够相互共享资源为目的互联 起来的具有独立功能的计算机之集合体”,形成了计算机网络的基本概念。 第三阶段:互联互通阶段 20世纪 70年代末至 90年代的第三代计算机网络是具有统一的网络体系结 构并遵循国际标准的开放式和标准化的网络。ARPANET 兴起后,计算机网络发 展迅猛,各大计算机公司相继推出自己的网络体系结构及实现这些结构的软硬件 产品。由于没有统一的标准,不同厂商的产品之间互联很困难,人们迫切需要一种 开放性的标准化实用网络环境,这样应运而生了两种国际通用的最重要的体系结 构,即 TCP/IP 体系结构和国际标准化组织的 OSI 体系结构。 第四阶段:高速网络技术阶段 20世纪90年代末至今的第四代计算机网络,由于局域网技术发展成熟,出现 光纤及高速网络技术,多媒体网络,智能网络,整个网络就像一个对用户透明的大 的计算机系统,发展为以 Internet 为代表的互联网 安徽职业技术学院 6 第二章第二章 开发背景开发背景 2.1 开发背景开发背景 现在网络的发展已呈现商业化、全民化、全球化的趋势1。目前，几乎世界上 所有的公司都在利用网络传递商业信息， 进行商业活动， 从宣传企业、 发布广告、 招聘雇员、传递商业文件乃至拓展市场、网上销售等，无所不能。如今网络已成 为企业进行竞争的战略手段。企业经营的多元化拓展，企业规模的进一步扩大， 对于企业的管理、业务扩展、企业品牌形象等提供了更高的要求。在以信息技术 为支撑的新经济条件下， 越来越多的企业利用起网络这个有效的工具。 网站早已 由论证阶段进入了实质阶段， 尤其为企业提供一个展示自己的舞台、 为消费者创 造一个了解企业的捷径。公司可以通过建立商业平台，实行全天候销售服务，借 助网络推广企业的形象、宣传企业的产品、发布公司新闻，同时通过信息反馈使 公司更加了解顾客的心理和需求， 网站虚拟公司与实体公司的经营运作有机的结 合， 将会有利于公司产品销售渠道的拓展， 并节省大量的广告宣传和经营运营成 本，更好地把握商机。随着全球信息网络的发展，Internet 在世界上已不仅仅是 一 种 技 术 ， 更 重 要 的 是 成 为 一 种 新 的 经 营 模 式 。 从 4C(Connection,Communication,Commerce,Co-operation)层次上彻底改变了人类工 作，学习，生活，娱乐的方式，已成为国家经济和区域经济增长的主要动力。 Internet 正成为世界最大的公共资料信息库，它包含无数的信息资源，所有最新 的信息都可以通过网络搜索获得。更重要的是，大部分信息都是免费的，应用电 子商务可使企业获得在传统模式下所无法获得的巨量商业信息， 在激烈的市场竞 争中领先对手。 2.2 课题开发的目标与期望课题开发的目标与期望 (1) 树立全新企业形象 对于一个以软件开发和安防产品销售为主的小型企业而言， 企业的品牌形象 至关重要。 特别是对于互联网技术高度发展的今天，大多客户都是通过网络来 了解企业产品、企业形象及企业实力，因此，企业网站的形象往往决定了客户对 企业产品的信心。建立具有国际水准的网站能够极大的提升企业的整体形象。 (2) 增强销售能力 销售力指的是产品的综合素质优势在销售上的体现。 现代营销理论认为， 销 售亦即是传播。 销售的成功与否， 除了决定于能否将产品的各项优势充分地传播 出去之外， 还要看目标对象从中得到的有效信息有多少。 由于互联网所具有的“一 对一”的特性，目标对象能自主地选择对自己有用的信息。这本身已经决定了消 费者对信息已经有了一个感兴趣的前提。使信息的传播不在是主观加给消费者， 而是由消费者有选择地主动吸收。 同时，产品信息通过网站的先进设计，既有 报纸信息量大的优点，又结合了电视声、光、电的综合刺激优势，可以牢牢地吸 引住目标对象。因此，产品信息传播的有效性将远远提高，同时亦即是提高了产 安徽职业技术学院 7 品的销售力。 (3) 提高附加值 许多人知道， 购买产品不仅买的是那些看得见的实物， 还有那些看不见的售 后服务。这也就是产品的附加值。产品的附加值越高，在市场上就越有竞争力， 就越受消费者欢迎。因此，企业要赢得市场就要千方百计地提高产品的附加值。 在现阶段， 传统的售后服务手段已经远远不能满足客户的需要， 为消费者提供便 捷、有效、即时的 24 小时网上服务，是一个全新体现项目附加值的方向。世界 各地的客户在任何时刻都可以通过网站下载自己需要的资料， 在线获得疑难的解 答，在线提交自己的问题。 总结上述几点，网站建设目标可总结如下： (1) 帮助企业建立有效的企业形象宣传、企业风采展示、公司产品宣传。 (2) 充分利用网络快捷、跨地域优势进行信息传递，对公司的新闻进行及时的 报道。 (3) 通过在线供求系统实现网上的供求信息的查询、订购、交易联系，优化信 息的流通渠道。 2.3 课题主要研究工作课题主要研究工作 小型企业网站的制作目的是完成一个有易扩展、 稳定、 安全、 操作简单方便、 界面友好等特点的交易平台，课题主要工作有 (1)设计方案所采用的系统技术、工具和系统的用户、角色、权限管理、资源信 息的管理、各类资料共享、数据库系统的管理等。 (2)制作小型企业网站的设计思想。如数据的采集、学习信息化的思路等等。 第三章第三章 需要分析需要分析 3.1 公司部门情况公司部门情况 企业网络主要涉及到六幢建筑物：行政楼、生产车间、 技术部、营销部、财政部、 运输楼、 。这六幢建筑物之间拟通过光缆连接。网络中心和机房设在行政楼内。 3.2 网络功能需要网络功能需要 （1）共享公司的各种信息资料，发布公司内部刊物的电子版。 （2）实时传递行业政策、市场变化信息；转载、摘编国际国内重大新闻信息。 （3）动态查询产品的生产、销售、库存等实时数据和客户、员工的档案信息。 （4）提供销售、生产、会计、统计等报表供相关人员查阅、分析。 安徽职业技术学院 8 （5）发布电脑方面的文章以提高员工的计算机知识；发布相关业务培训内容。 （6）以 FTP 方式提供大量应用软件和实用工具，供内部员工下载使用。 （7）通过代理服务器使公司的计算机均能以低廉费用接入 Internet。 (8)开通部门间、员工间的 E-mail 服务和论坛增强 Intranet 的娱乐性 3.3 网络性能需求。网络性能需求。 （1）实用性： （2）适度先进性： （3）经济性： （4）安全可靠性： （5）开放性： （6）可扩展性： （7）安全保密性： 3.4 网络应用需求网络应用需求 根据集团用户对操作系统的要求： 操作系统要求选择最新版本， 所选操作 系统需要提供方便的更新与升级方法， 服务器操作系统需要能够提供目录服务功 能，服务器及客户机操作系统都需要支持 TCP/IP 协议，所选操作系统应能够方 便的实现用户和权限的管理， 秘选操作系统应能够运行大多数应用软件， 例如办 公软件、图像处理软件、CAD 财等，我们选择 Linux，它具有极高的稳定性、先 天的安全性、软件安装的便利性、多任务、多使用者、免费或少许费用、有强大 的网络功能、在相关软件的支持下，可实现 WWW、FTP、DNS、DHCP、E-mail 等服 务。 建立 WWW 服务器，实现 Internet 上浏览和查询；建立 FTP 服务器，结合公 司实际和需要逐步建立远程 FTP 服务； 建立服务器把图文信息组织成分布 式的超文本， 并用信息指针指向存有相关信息的服务器， 使用户可以方便地访问 这些信息。当网上用户增多时，网络访问很频繁，通信量很大，随机性强。作为 公司的通讯枢纽， 需要配备高性能的服务器设备， 主要的需求是高性能的、 体系结构、高速通道和网络通道。建立域名服务器，各地 名字服务器管理下属主机和子域， 并由高一级名字服务器监管， 但每个域至少需 要配备一台以上的名字服务器。数据量不大，但访问频繁。建立数据库服 务器能有高效的处理速度、 较大的内存和磁盘空间、 快速的系统和网络界 面，较高的可靠性，完善的系统备份功能和较好的可扩充性能。 安徽职业技术学院 9 第四章第四章设计方案设计方案 4.1 设计原理设计原理 （1）实用性：网络建设从应用实际需求出发，坚持为领导决策服务，为经营管 理服务，为生产建设服务。另外，如果是对现有网络升级改造，还应该充分考虑 如何利用现有资源，尽量发挥设备效益。 （2）适度先进性：规划局域网，不但要满足用户当前的需要，还应该有一定技 术前瞻性和用户需求预见性， 考虑到能够满足未来几年内用户对网络功能和带宽 的需要。 采用成熟的先进技术， 兼顾未来的发展趋势， 即量力而行， 又适当超前， 留有发展余地。 （3）经济性：要求价格适中，设备及耗材要求采用质量过硬，物美价廉，投资 预算不超过 20 万。 （4）安全可靠性：确保网络可靠运行，在网络的关键部分应具有容错能力，提 供公共网络连接、通信链路、服务器等全方位的安全管理系统。 （5）开放性：采用国际标准通信协议、标准操作系统、标准网管软件、采用符 合标准的设备， 保证整个系统具有开放特点， 增强与异机种、 异构网的互联能力。 （6）可扩展性：系统便于扩展，保证前期的投资的有效性与后期投资的连续性 （7）安全保密性：为了保证网上信息的安全和各种应用系统的安全，在规划时 就要为局域网考虑一个周全的安全保密方案。 4.2 网络规划网络规划 局域网分为核心层、接入层、服务器群三个部分来设计 4.2.1 核心层设计核心层设计 核心层主要功能是给下层各业务汇聚节点提供 IP 业务平面高速承载和交换 通道，负责进行数据的高速转发，同时核心层是局域网的骨干，是局域网互连的 关键。 对核心骨干网络设备的部署应为能够提供高带宽、 大容量的核心路由交换 设备，同时应具备极高的可靠性，能够保证 24 小时全天候不间断运行，也就必 须考虑设备及链路的冗余性、 安全性， 而且核心骨干设备同时还应拥有非常好的 扩展能力，以便随着网络的发展而发展。 基于对核心层的功能及作用，根据用户的实际需求，本方案中对网络系统 中核心层由 CISCO 系列的企业级核心交换机 WS-C3560-48TS-S 组成。 其主要任 务是提供高性能、高安全性的核心数据交换、QoS 和为接入层提供高密度的上 联端口。 为整个大楼宽带办公网提供交换和路由的核心， 完成各个部分数据流的 中央汇集和分流。同时为数据中心的服务器提供千兆高速连接。 根据该企业的建筑分布及网络规模，以行政楼的中心机房作为整个网络系 统的核心节点。 核心节点由 2 台同档次的网络核心设备构成， 它们互为备份且流 量负载均衡。2 台网络核心交换机作为整个网络的核心层设备，为各个汇聚层和 安徽职业技术学院 10 接入层交换机提供上联。同时提供了各个服务器的可靠接入。 由于 WS-C3560-48TS-S 是路由交换机，也即同时具有第二层和第三层的 交换能力，为了充分利用资源，将 WWW 服务器、 Email 服务器、数据库服 务器、文件 VOD 服务器、认证的服务器（Radius server）以及网管设备等通过 千兆直接连人核心交换机，以解决带宽瓶颈，充分利用核心交换机的交换能力。 核心交换机作为信息网络的核心设备， 性能的优劣直接影响到整个网络运行。 在 设备的选型上必须考虑到有足够的背板带宽， 包交换能力， 是否支持设备的冗余， 安全性，扩展性等各种性能。企业级核心交换机 WS-C3560-48TS-S 完全满足上 述的各项要求。 企业级核心路由交换机 WS-C3560-48TS-S 的性能特性及技术指标如下： 交换机类：企业级交换机 应用层级：三层 接口介质：10/100 BASE-T/ 100FX 传输速率：10Mbps/100Mbps 端口数量：48 背板带宽：32Gbps VLAN 支持：支持 网管功能：网管功能 SNMP, CLI, 包转发率：13.1Mpps MAC 地址：12k 网络标准：IEEE 802.3, 802.3u, 端口结构：非模块化 4.2.2 汇聚层设计汇聚层设计 汇聚层主要完成的任务是对各业务接入节点的业务汇聚、管理和分发处理， 是完成网络流量的安全控制机制， 以使核心网和接入访问层环境隔离开来； 同时 汇聚层起着承上启下的作用， 对上连接至核心层， 对下将各种宽带数据业务分配 到各个接入层的业务节点， 汇聚层位于中心机房或下联单位的分配线间， 主要用 于汇聚接入路由器以及接入交换机。 因此对汇聚层的交换机部署时必须考虑交换机必须具有足够的可靠性和冗 余度，防止网络中部分接入层变成孤岛；还必须具有高处理能力，以便完成网络 数据会聚、转发处理；具有灵活、优化的网络路由处理能力，实现网络汇聚的优 化。 而且规划汇聚层时建议汇聚层节点的数量和位置应根据业务和光纤资源情况 来选择； 汇聚层节点可采用星形连接， 每个汇聚层节点保证与两个不同的核心层 节点连接。 根据汇聚层在整个网络中的作用以及用户的实际需求， 本方案中汇聚层共 设计了 3 个节点，即：行政楼、生产车间和运输楼（工段办） 。 汇聚层网络设备全部采用了 CISCO WS-C3560-24TS-S 交换机。该交换机 支持各种高级路由协议，如 BGP4、RIPV1、RIPv2、VRRP、OSPF、IP 组播、 IPX 路由。 汇聚路由交换机 CISCO WS-C3560-24TS-S 的性能特性及技术指标如下： 交换机类：企业级交换机 应用层级：三层 安徽职业技术学院 11 接口介质：10/100 BASE-T/ 100FX 传输速率：10Mbps/100Mbps 端口数量：24 背板带宽：32Gbps VLAN 支持：支持 网管功能：SNMP, CLI, Web, 管理 4.2.3 接入层设计接入层设计 接入层主要用来支撑客户端机器对服务器的访问， 主要是指接入路由器、 交 换机、终端访问用户。它利用多种接入技术，迅速覆盖至用户节点，将不同地理 分布的用户快速有效地接入到信息网的汇聚。 对上连接至汇聚层和核心层， 对下 进行带宽和业务分配，实现用户的接入。 根据我们所借鉴的项目设计经验，汇聚层节点与接入层节点可考虑采用星 形连接，每个接入层节点与两个汇聚层节点连接。当接入层采用其它结构（如环 行）连接到汇聚层时，建议提供两条不同路由通道。 根据接入层处在网络系统中所起的作用以及用户的实际需求，本方案中接 入层部分由 CISCO 公司的 WS-C2918-24TC-C 交换机构成。其主要功能是为该 区域下属各部门的网络用户提供大量性价比极高的 10/100 兆网络接口，并与信 息中心的核心交换机通过 1000 兆光纤链路互联为接入的用户提供高速上联。 接入层楼层交换机 CISCO WS-C2918-24TC-C 的性能特性及技术指标情况如下： 交换机类：快速以太网交换机 应用层级：二层 传输速率：10Mbps/100Mbps/1000M 端口数量：24 背板带宽：16Gbps VLAN 支持：支持 网管功能：Cisco IOS CLI,Web 浏 包转发率：6.5Mpps MAC 地址：8K 网络标准：IEEE 802.1D,IEEE 802 端口结构：非模块化 交换方式：存储-转发 产品内存：64MB 传输模式：支持全双工 网管支持：支持 模块化插：2 安徽职业技术学院 12 4.3 综合布线综合布线 局域网布线设计的依据是网络的分布架构。网络布线必须有较长远的考虑。 对于大型局域网，连接公司院内各个建筑物的网络通常选择光纤，统一规划，冗 余设计，使用线缆保护管道并且埋入地下。 建筑物内又分为连接各个楼层的垂直布线子系统和连接同一楼层各个房间 入网计算机的水平布线子系统。 如果设有信息中心网络机房，还应该考虑机房的特殊布线需求。在局域网 布线时， 应该充分考虑到将来网络扩展可能需要的最大接入节点数量、 接入位置 的分布和用户使用的方便性。 若整座建筑物接入局域网的节点计算机不多， 可以 采用从一个接入层节点直接连接所有入网节点的设计。 若建筑物的每个楼层都分 布有大量接入节点， 就需要设计垂直布线子系统和水平布线子系统， 并且在每层 楼设置专门的配线间，安置该楼层的接入层节点网络设备和配线装置。 水平布线子系统通常采用非屏蔽双绞线或屏蔽双绞线，如何选择线缆类型 和带宽根据应用需求决定。连接各个楼层交换机的垂直布线子系统通常采用光 纤。 企业综合布线系统由工作区子系统、水平布线子系统、垂直干线子系统、 设备间子系统.管理子系统和建筑群子系统组成 4.3.1 工作区子系统设计工作区子系统设计 工作区子系统由各个单元区域构成，是计算机、电话和信息插座的连接部分，包 括连接跳线和信息插座。信息插座面板具备：通用、超薄、简易、防尘等特点； 信息插座的模块采用类 RJ-45 模块；线缆采用超五类双绞线；水晶头采用 RJ-45 标准水晶头。 为降低成本和结合客户终端的位置多变的特点， 跳线可采用原装跳 线与自制跳线相结合的方式，中心机房内设备之间、楼宇机柜内设备之间、服务 器、重点客户终端的跳线采用原装成品跳线，其余采用自制跳线。跳线制作统一 采用 EIA/TIA 568B 标准，以使系统具有更好的兼容性 4.3.2 水平子系统设计水平子系统设计 水平子系统主要是实现信息插座和管理子系统，即中间配线架（IDF） 间的连接。 水平子系统为星形拓扑。 在水平子系统中采用超五类非屏蔽双绞线。 双绞线水平 布线链路中，水平双绞线的最大长度均不超过 90m。为了网络系统的稳定性和 扩展性超五类非屏蔽双绞线。 4.3.3 管理子系统设计管理子系统设计 管理子系统设计由配线间构成。 由各种规格的配线架实现水平、 垂直主干线缆的 端接及分配；由各种规格的跳线实现布线系统与各种网络、通讯设备的连接，并 提供灵活方便的线路管理能力。 分配线间是各治理子系统的安装场所， 可安装配 线架和计算机网络通信设备。对于信息点不是很多，使用功能近似的楼层，为便 于治理，仅设置一个共用的子配线间;对于信息点较多的楼层则在该层设立配线 间。 安徽职业技术学院 13 4.3.4 干线子系统设计干线子系统设计 干线子系统设计由连接主设备间与各治理子系统的室内干线电缆构成。 数据主要 从网络配线间向各个子配线间敷设 12 芯单模室内多模光纤。 4.3.5 设备间子系统设计设备间子系统设计 设备间子系统设计由设备间中的电缆、 连接器和相关支撑硬件组成， 把公共系统 （通讯系统，计算机系统和建筑自动化系统等）设备的各种不同设备互连起来。 使用 12 芯单模室内多模光纤将其连接。 4.3.6 建筑群子系统设计建筑群子系统设计 建筑群子系统是将一栋建筑物内的电缆延伸到建筑群中的另外一些建筑物内的 通信设备和装置上， 采用光缆布线是目前主要的建筑间布线方式。 建筑间的主干 光缆采用 12 芯单模。 4.4 IP 地址的设计地址的设计 4.4.1IP 地址规划和分配原则地址规划和分配原则 （1）根据目前网络结构和以后扩展，遵循以下原则进行 IP 地址分配。 唯一性：IP 地址必须唯一，一个 IP 地址对应一台数据通讯设备； 连续性：为同一网络区域分配连续的网络地址，便于规划，同时提高路由器 寻径效率； 可管理性： 地址的分配应该有层次性， 某个局部的变动不影响网络的其它部 分； 高效性：采用可变长子网掩码技术，要求采用支持可变长子网掩码技术的 TCP/IP 协议族； 可汇聚性：方便路由汇总，缩减路由表条目，提高路由器处理效率。 可扩展性：既要考虑到 IP 地址的使用现状，又要考虑到未来信息网络的发 展，为各单位分配合理的地址空间，在网络上尽可能少地做 NAT，减少网络设 备 CPU 处理负担和加快网络访问速度。 （2）业务地址的划分可以按照两个原则来分配： 按照部门规划，每个部门一个独立的网段；这种方案适合业务种类单一的情况， 管理方便。 按照业务规划，每种业务一个网段，所有的地市同一业务使用同一网段， 这种方案适合业务之间互访的控制。 安徽职业技术学院 14 4.5CLAN 的设计的设计 4.5.1VLAN 的划分的作用及原则的划分的作用及原则 VLAN（Virtual Local Area Network）是虚拟局域网的英文缩写，它最简明 的描述就是可以实现将连接在同一个物理网络上面的主机分组， 使它们看起来就 象连接在不同的网络上一样。我们可以通过 VLAN 为网络分段，各个网段可以 共用同一套网络设备， 节约了网络硬件的开销， 同时在迁移中所需的工作量也大 幅度降低了，从而降低了连网成本。 在用户的企业局域网系统中， 我们建议基于 IEEE 802.1Q 标准实现 VLAN， 在 VLAN 设计中，我们使用 VLAN 达到两个目的： 第一，不同业务部门之间的隔离和通信控制； 第二，广播范围抑制。 4.5.2VLAN 划分划分 我们建议根据各个办公室的地理位置来划分 VLAN， 如果同一栋楼内包含很多 部门， 而这些部门的职能和工作内容又有很大的区别， 我们就可以在楼内按照部 门来划分 VLAN。 另外， 如果某个部门需要跨越很多建筑物， 分布范围比较广， 例如部门 A 分 布的很散，在很多交换机上都预留了部门 A 的信息点，我们则可以按照交换机 的位置来设置 VLAN，这样，部门 A 就可能对应多个 VLAN，如果部门 A 所对 应的 VLAN 之间需要通信的话，我们可以通过 VLAN 间的路由来实现。这样做 的好处是：可以减少广播数据包对网络主干的影响。因为如果将部门 A 全部划 分到一个 VLAN 中，而这些 VLAN 又跨越了网络主干，分布在众多不同的交 换机上，这样如果有广播包时，这些广播包必然会在网络的主干上传输，然后到 达相应的交换机上，也就占用了网络主干的带宽，容易造成其他业务的时延。 为了减少传输冲突，提高系统整体性能和网络处理能力，另外，还考虑到 网络良好的管理性， 易于维护和安全策略的实施， 针对用户网络系统的实际情况， 可以把功能（应用）相近的设备群组划分到同一 VLAN，不同部门的设备划分 到不同 VLAN 中去，这样就能够通过访问控制列表技术实施安全策略。限制未 授权的用户访问重要的服务器和数据库 4.5.3 VLAN 之间安全控制之间安全控制 在用户网络系统中，由于在中心使用了三层核心交换机，因此所有的 VLAN 之 间的访问都需要通过三层核心交换机进行，因此可以通过 ACL（访问控制列表） 控制 VLAN 之间的流量，这样就可以允许高优先级的 VLAN 段访问低优先级的 VLAN 段，而低优先级的 VLAN 段不能访问或有限的访问高优先级 VLAN 段。 安徽职业技术学院 15 第五章第五章 实施方案实施方案 5.1 部署活动目录服务，构建域环境部署活动目录服务，构建域环境 安装目录服务的同时安装 DNS 服务确保名字解析的正确性 5.2 部署部署 DHCP 服务，自动分配服务，自动分配 DHCP 选项选项 配置 DHCP 选项(子网掩码，默认网关、DNS 服务器 IP 地址) 确认客户端自动获得正确的 IP 地址和 DNS 服务器 IP 地址后加入域 5.3部署部署 DNS 服务，响应名字解析请求服务，响应名字解析请求 5.45.4 安装安装 Internet 信息服务，部署信息服务，部署 WEB 站点站点 Web 服务器向 CA 申请证书 Web 服务器安装证书并配置启用 SSL 5.5结合结合 SMTP 服务和服务和 POP3 服务实现基本邮件功能服务实现基本邮件功能 安装 POP3，添加邮箱，自动会创建登陆使用的关联帐户 Outlook 客户端配置 指向 SMTP 服务器， 用从 CA 申请的用户证书配置签名 用从 CA 申请的用户证书配置加密 5.65.6部属部属 NNTP，实现聊天功能，实现聊天功能 默认 NNTP 服务器上新建新闻组 OUTLOOK 客户端预定新闻组 OUTLOOK 客户端同步所有邮件 新闻组下载到本地 安徽职业技术学院 16 5.7 部署部署 FTP 服务，实现文件共享服务，实现文件共享 新建 FTP 站点 FTP 服务器上对每个用户启用 NTFS 权限 5.85.8 部属分布式文件系统部属分布式文件系统 新建根目录文件夹，设置共享权限和 NTFS 权限 新建根目录，根目录下新建链接，链接下新建目标 配置链接属性 它最主要的作用是集中管理文件共享。它提供一个标准的共享接入点 5.9 安装安装 CCProxy，实现代理服务，实现代理服务 设置 CCProxy (1) 禁止员工工作时玩游戏、聊 QQ (2) 根据用户名、IP、MAC、设置限制最大连接数、带宽、网站、可用时间 客户端设置 IE 代理 客户端设置 OUTLOOK 代理 5.105.10 安装路由和远程访问服务，部属安装路由和远程访问服务，部属 VPN 服务服务 把 VPN 服务器 (RADIUS 客户端)改用 RADIUS 身份验证，RADIUS 记帐 设置记帐日志的属性 安徽职业技术学院 17 5.115.11 安装安装 Internet 验证服务验证服务 添加 RADIUS 客户端（VPN 服务器），授权 RADIUS 服务器进行身份验证同时管理 多台 RADIUS 客户端上的远程访问策略的条件、权限、配置文件对远程访问启用 IPSE (1) 禁止 PING (2) 禁用易被攻击的端口 (3) 确保 TCP 传输安全 5.125.12 安装安装 Windows Media Services 以获取新功能 Windows Media 用于 Windows Server 2008, 服务中可您必须获 取并运行适当流媒体服务角色 Microsoft 更新独立包 (MSU) 文件。 您必须运 行该文件更新平台上。 5.135.13 安装安装 Windows Media Encoders Windows Media 管理器是一系列运行于 Microsoft Internet Explorer 5 浏览 器窗口的 Web 页， 用来管理 Windows Media 组件服务。 通过 Windows Media 管 理器您可以控制本地服务器，也可以控制一个或多个远程 Windows Media 服务 器。若要管理多个服务器，需将这些服务器添加到服务器清单，并连接到您想要 管理的服务器 第六章第六章 网络安全网络安全 6.1 企业网络安全风险状况概述企业网络安全风险状况概述 企业网络是在企业范围内，在一定的思想和理论指导下，为企业提供资源 共享、 信息交流和协同工作的计算机网络。 随着我国各地企业网数量的迅速增加， 安徽职业技术学院 18 如何实现企业网之间资源共享、 信息交流和协同工作以及保证企业网络安全的要 求是越来越强烈。 与其它网络一样， 企业网也同样面临着各种各样的网络安全问 题。但是在企业网络建设的过程中，由于对技术的偏好和运营意识的不足，普遍 都存在”重技术、轻安全、轻管理”的倾向，随着网络规模的急剧膨胀，网络用户 的快速增长， 关键性应用的普及和深入， 企业网络在企业的信息化建设中已经在 扮演了至关重要的角色， 作为数字化信息的最重要传输载体， 如何保证企业网络 能正常的运行不受各种网络黑客的侵害就成为各个企业不可回避的一个紧迫问 题，解决网络安全问题刻不容缓，并且逐渐引起了各方面的重视。 由于 Internet 上存在各种各样不可预知的风险，网络入侵者可以通过多种方 式攻击内部网络。此外,由于企业网用户网络安全尚欠缺，很少考虑实际存在的 风险和低效率，很少学习防范病毒、漏洞修复、密码管理、信息保密的必备知识 以及防止人为破坏系统和篡改敏感数据的有关技术。 因此，在设计时有必要将公开服务器和外网及内部其它业务网络进行必要的 隔离，避免网络结构信息外泄；同时还要对网络通讯进行有效的过滤，使必要的 服务请求到达主机，对不必要的访问请求加以拒绝。 6.2企业网络安全体系结构的设计与构建企业网络安全体系结构的设计与构建 网络安全系统的构建实际上是入侵者与反入侵者之间的持久的对抗过程。网 络安全体系不是一劳永逸地能够防范任何攻击的完美系统。 人们力图建立的是一 个网络安全的动态防护体系， 是动态加静态的防御， 是被动加主动的防御甚至抗 击， 是管理加技术的完整安全观念。 但企业网络安全问题不是在网络中加一个防 火墙就能解决的问题，需要有一个科学、系统、全面的网络安全结构体系。 6.2.1企业网络安全系统设计目标企业网络安全系统设计目标 企业网络系统安全设计的目标是使在企业网络中信息的采集、存储、处理、 传播和运用过程中，信息的自由性、秘密性、完整性、共享性等都能得到良好保 护的一种状态。 在网络上传递的信息没有被故意的或偶然的非法授权泄露、 更改、 破坏或使信息被非法系统辨识、控制，网络信息的保密性、完整性、可用性、可 控性得到良好保护的状态。 6.2.2企业网防火墙的部署企业网防火墙的部署 （1）安全策略。所有的数据包都必须经过防火墙;只有被允许的数据包才能 通过防火墙;防火墙本身要有预防入侵的功能;默认禁止所有的服务，除非是必须 的服务才被允许。 （2）系统设计。在互联网与企业网内网之间部署了一台硬件防火墙，在内外 网之间建立一道安全屏障。其中 WEB、E 一 mail、FTP 等服务器放置在防火墙 的 DMZ 区(即“非军事区”， 是为不信任系统提供服务的孤立网段， 它阻止内网和 外网直接通信以保证内网安全)，与内网和外网间进行隔离，内网口连接企业网， 外网口通过电信网络与互联网连接。 （3）入侵检测系统的设计和部署。入侵检测系统主要检测对网络系统各主要 运营环节的实时入侵， 在企业网网络与互联网之间设置瑞星 RIDS 一 100 入侵检 安徽职业技术学院 19 测系统， 与防火墙并行的接入网络中， 监测来自互联网、 企业网内部的攻击行为。 发现入侵行为时，及时通知防火墙阻断攻击源。 （4）企业网络安全体系实施阶段。第一阶段:基本安全需求。第一阶段的目 标是利用已有的技术， 首先满足企业网最迫切的安全需求， 所涉及到的安全内容 有: 满足设备物理安全 VLAN 与 IP 地址的规划与实施 制定相关安全策略 内外网隔离与访问控制 内网自身病毒防护 系统自身安全 相关制度的完善 第二阶段:较高的安全需求。这一阶段的目标是在完成第一阶段安全需求的前 提下，全面实现整个企业网络的安全需求。所涉及的安全内容有: 入侵检测与保护 身份认证与安全审计 流量控制 内外网病毒防护与控制 动态调整安全策略 第三阶段:后续动态的安全系统调整与完善。相关安全策略的调整与完善以及 数据备份与灾难恢复等。 6.3 人员角色划分人员角色划分 要对用户网络进行有效的安全管理， 必须对系统的使用人员和管理人员的不同角 色进行清晰的划分，不同的角色拥有不同的权限和职责，互相制约，共同保障整 个系统的安全性。 对于用户网络系统涉及的各类人员，我们建议划分如下角色： 决策专家。 安全管理员。 审计员。 系统管理员。 6.4 路由认证与保护路由认证与保护 路由认证（RoutingAuthentication） ，就是运行于不同设备的相同的动态路由协议 之间， 对相互传递的路由刷新报文进行的确认， 以便使得设备能够接受真正而安 全的路由刷新报文。 任何运行一个不支持路由认证的路由协议， 都存在着巨大的安全隐患。 某些恶意 的攻击者可以利用这些漏洞， 向网络发送不正确或者不一致的路由刷新， 由于设 备无法证实这些刷新，而使得设备被欺骗，最终导致网络的瘫痪。 目前，多数路由协议支持路由认证，并且实现的方式大体相同。认证过程有基于 明文的，也有基于更安全的 MD5 校验。 安徽职业技术学院 20 MD5 认证与明文认证的过程类似，只不过密钥不在网络上以明文方式直接传 送。 路由器将使用 MD5 算法产生一个密钥的“消息摘要”。 这个消息摘要将代替 密钥本身发送出去。 这样可以保证没有人可以在密钥传输的过程中窃取到密钥信 息。 6.5 用户的安全防护用户的安全防护 用户验证是实现用户安全防护的基础功能。 只有对用户进行识别和区分， 才能有 效的对其进行保护。 经过验证的用户可以享受服务， 而未经验证的用户则被拒绝。 用户验证一般都与用户流量参数的配置结合在一起。 用户的流量合同从业务服务 器下载到业务接入节点，作为对用户提供服务的依据。用户验证的手段包括： PPP 验证、WEB 验证和端口验证、以及 802.1x 的验证。 第七章第七章 网络管理网络管理 7.1 服务器系统管理服务器系统管理. 总体来说， 服务器系统的管理是整个网络管理工作中的重中之重， 特别是在 小型单位网络中，单位的网 络规模比较小，网络设备比较简单，基本上是属于傻瓜式的。 这里的服务器系统包括网络服务器和应用服务器系统两个方面。 服务器系统 的管理是整个网络管理工作 中最重要的部分，因为它是整个网络的核心所在，无论是网络操作系统本身，还 是各种网络服务器和应用服 务器。 具体来说，服务器系统管理主要是安装、配置和管理网络操作系统、文件服 务器、DNS、WINS、DHCP 等网 络服务器，以及像 Web、FTP、E-mail、RAS、NAT 等应用服务器。服务器系统 管理的最终目标，就是要确保服 务器各种协议和服务工作正常，确保服务器的各项性能指标正常发挥。另外，还 需要及时地更新服务器系统 的版本或补丁程序， 这不仅关系到服务器的性能发挥， 而且还关系到整个网络系 统的安全性，因为现在的操 作系统不断有新的安全漏洞被发现， 及时安装补丁可以有效地阻止、 填补这些安 全漏洞。 目前在服务器系统管理方面的重点与难点当然是各种网络操作系统的管理 了。在这其中又包括各种不同 版本的主流 Windows、Linux 和 UNIX 网络操作系统的管理了。而每个系统中所 包括的具体管理工作又非常多， 安徽职业技术学院 21 非常复杂， 但这些又是网络管理员所必须掌握的。 至少， 在大多数中小型企业中， 网络管理员应该掌握主流 的 Windows 和 Linux 网络操作系统的管理了。在一些较大企业，或者一些特殊 行业（如金融、证券和保险等） 中，UNIX、Linux 系统又是最普遍采用的，所以 UNIX 和 Linux 系统管理对于 专业网络管理员来说，又是必须要 掌握的。当然，像其他应用服务器的管理也是非常重要，而且必须掌握。 7.2 关键设备的维护与管理关键设备的维护与管理 这也是整个网络管理中的重点之一， 同时也是非常重要的工作， 特别是在网 络规模比较大，网络设备比 较高档的单位网络中。因为单位网络系统更依赖这些关键设备的正常工作。 计算机网络的关键设备一般包括网络的核心交换机、核心路由器和服务器， 它们是网络中的“节点”。 对这些节点的维护和管理， 除了需要经验积累外， 还可以通过一些专门的网络管 理系统来监视其工作状态， 以便及时发现问题，及时进行维护和故障排除。 另外， 为了提高网络的可用性， 对一些关键设备进行冗余配置也是必不可少 的。冗余包括两层含义，一 是从端口角度进行， 如对关键设备 （如服务器、 核心交换机） 采取冗余链路连接， 这样当其中一个端口出现 故障时， 另一个冗余链路就可以接替故障链路继续保持正常工作状态； 另一层含 义是对配置双份的设备或部 件，如服务器中的电源、风扇、网卡，甚至内存等，核心交换机和路由器也可以 配置两个。在正常工作时， 这些冗余设备或部件起到负载均衡的作用， 而在某部分出现故障时， 则又起备份 的作用。 在关键设备维护与管理中， 服务器和网络总体性能的监控与管理是个技术重 点和难点。要用到各种监控 和管理工具，如流量监控工具 MRTG、网络性能和通信监控的 Sniffer 类工具， 带宽性能监控的 Qcheck 和 IxChariot 工具等。服务器性能方面的监控与管理还可利用操作系统自带的性能 和监控管理工具进行。 当然， 网络设备的配置与管理是整个关键设备维护与管理的重点与难点， 这 一点几乎是所有从事网络管 理，甚至网络工程技术人员的共识。目前在关键设备方面，主要是以 Cisco、华 为 3COM 等品牌为主，掌握这两 个主要品牌设备的配置与管理方法是网络管理员所必需的。 7.3 用户管理用户管理 用户管理是网络管理中的一个重点和难点， 所涉及到的方面非常多， 如用户 账户、密码、文件和网络访 安徽职业技术学院 22 问权限、用户权利、用户配置文件及用户安全策略等。既要保证各用户的正常工 作不受影响，同时又要避免 分配过高权限而给网络安全和管理带来不必要的安全隐患。 在网络管理中， 网络管理员要求在保证网络安全可靠运行的前提条件下， 根 据单位人员的工作职权和人 员变动情况，为每个用户设置账户、密码和分配不同的网络访问权限；设置 Web 服务器、VPN 等远程访问服务 器中用户的访问权限等；限制 Web 服务器可登录的账号数量，及时注销过期用 户和已挂断的拨号用户，关闭不 用的网络服务等。