广州栋方日化有限公司局域网组建.doc

摘要【摘要】随着公司的不断强大，公司的发展不仅仅限于先进的设备、独步的技术，更为重要的是提高企业资源的管理，不断提升公司的生产效率以提高企业的综合竞争能力。良好的内部资源管理，既能节省大量的企业人力、物力，提高公司的经济效益，而且能够帮助公司内部各部门完善沟通，按照一个良好的方向发展。公司局域网的引入能给公司的发展注入新鲜的血液，能够集中对公司业务、生产、产品技术研发中心、销售、仓储等部门进行合理有效的管理，带动公司一系列新的发展变化，为公司带来更大的经济利益。因此，组建合理的局域网及有效管理是公司的迫切需要。【关键词】局域网，防火墙，服务器，打印机共享，网络管理目录摘 要1第一章 前言11.1公司简介11.2公司组织结构11.3网络组建基本要求22.1用户需求简述22.2业务需求22.3计算机平台需求22.4网络需求3第三章 网络结构规划33.1组网结构方案33.2网络拓扑结构图43.3功能实现43.4 IP地址配置53.5接入方式的选择分析63.6设备的选择分析6第四章 公司数据安全管理74.1防病毒软件74.1.1防毒软件的选择274.1.2防毒软件的功能特点74.2防火墙与入侵检测74.2.1防火墙的选择374.2.2防火墙的部署方案84.2.3入侵检测 484.3域管理的优点8第五章 网络物理结构85.1网络综合布线原则85.2网络物理结构图和布线95.3通信介质的选取95.4设备清单95.5工程预算105.6工程完成的时间以及期限10第六章 软件安装与网络管理维护106.1 软件安装与设置106.2 网络的管理与维护116.2.1网络的统一管理116.2.2网络的维护11致谢12参考文献：13第一章 前言1.1公司简介广州栋方日化有限公司是一家行业内一流的、专业的化妆品代加工（OEM）企业。 公司拥有生产、销售、业务、仓库、技术、品管、行政、财务等多个部门及多个驻外销售网点。随着企业的不断发展和壮大，办公室使用的计算机数目越来越多；而且一些办公设备如打印机、传真机和扫描仪等，在日常办公中应用的频率越来越高。因公司对原有电脑未进行组网及安全有效管理，个人电脑经常随意更改设计及重装，造成重要业务及公司机密经常丢失、销售及仓库数据混乱等现象，给公司经济带来了损失严重。原有的管理及沟通模式已制约了公司的发展，经公司的高层管理人员商议决定，计划在原有的基础上推动公司局域网的组建及安全管理，以理顺内部资源管理，提高办公设备的利用率，节省开支，以提高工作效率，并强化公司市场竞争力，树立良好的公司形象，将企业的日常管理有机融合为一体。1.2公司组织结构部门职能：仓储部企业原材料、成品的储存管理及包装。行政部企业的办公秩序及行政事务管理。业务部企业的业务联系及客户沟通。财务部企业的财物管理。销售部企业产品的销售及营销策划，维护公司网站及客户需求分析。生产部企业产品的生产管理。技术部企业产品工艺的编排，技术解决及研发新产品以满足客户要求。品管部企业产品质量的检验、检测及保证。1.3网络组建基本要求1.3.1从使用需求上分析，企业网络在文件传输和资料下载方面需求较高；对网络游戏、在线电影及语音视频等方面的使用要求较低；要求网络稳定可靠。1.3.2从组网结构上来说，企业网络通过实现分区管理和分区服务，以更好地满足不同员工的不同使用需求，同时便于管理。1.3.3从设备选购上来说，组建企业网络，成本是一个重要的问题，提供质量更高、服务更好的网络的同时要考虑到投入的成本，网络设备更新快，所以也要注重实效的方针，坚持实用、经济的原则，而且设备要具有可扩张性和易维护性。第二章 公司需求分析2.1用户需求简述配有域服务器、WEB服务器、文件服务器并采用域的模式进行各部门分区管理，使系统互通互联，最大限度地实现信息资源共享，用电子信息的传递取代纸面文件，实现无纸化管理。各部门内部打印机，扫描机资源共享，并随时能增加设备及网络功能。上级部门能对下级部门文件资源进行管控，并能指定各部门的资源共享范围。保证处于局域网中的各部门能进行快速的数据交换。只有指定的业务部及销售部才能连接Internet和邮箱发送服务，其余部门不能连接Internet。2.2业务需求业务部需能连接到Internet，实现客户订单的接收下载及传送。销售部需能连接到Internet，实现客户质量反馈跟进及公司网站的维护更新。销售部需能通过公司网站，实现公司最新产品动态的网络更新，并能了解客户对公司产品的反馈和需求。品管部能收发E-Mail，但不能连接到Internet。2.3计算机平台需求总理理办公室：经理共3人需笔记本电脑，其他人员需3台（台式机，配置性能一般）。业务部：主管1台，其他人员需3台（台式机，配置性能一般）。销售部：主管1台，其他人员需2台，各外销售点各1台（台式机，配置性能一般）。行政部：主管1台，其他人员需2台（台式机，配置性能一般）。财务部：主管1台，其他人员需2台（台式机，配置性能一般）。仓储部：主管1台，其他人员需5台（台式机，配置性能一般）。生产部：主管1台，其他人员需3台（台式机，因为加工中心编程使用，CPU处理速度、内存、独立显卡等配置均需较好）技术部：主管1台，其他人员需4台（台式机，因研发设计使用、配置性能需较好）。品管部：主管1台，其他人员需5台（台式机，配置性能一般）服务器：配置要求性能稳定可靠，处理速度快。2.4网络需求安装防火墙及入侵检测以确保公司内部网络具有良好的安全性和保密性。公司内部网络做到资源共享与保护。能利用VPN功能建立专用通道，实现远程用户和销售网点对内部网络资源的访问。所有软硬件产品的选择都必须坚持标准化的原则，采用全部统一的硬、软件平台和基本应用软件，进行统一的软件版本升级管理及帐户管理。能将网络中的应用服务器与外部访问完全隔离开来。第三章 网络结构规划 经考查公司原有网络结构的布置及了解实际使用效果，发现公司原网络结构存在诸多缺陷：未安装防火墙，易受到广域网的网络攻击及木马入侵。办公设备（如：打印机）资源浪费，一个办公室存在多台打印机。整个公司的共享资源在一台电脑内（无服务器），且只有一台集线器连接互访，当访问资源的用户量超过一定数量时，其余用户就不能访问了，远远影响了工作效率。整个公司只能使用一个公用电子邮箱，经常出现员工使用私人邮箱，接发客户邮件，造成客户反馈不及时处理，或客户订单漏处理和乱处理现象，给公司带来了严重的损失。公司共享资源无权限设置，造成了共享资源无故被删，或无关部门人员读取资源泄漏公司机密等现象，给公司带来了严得损失。为此为更好的管理公司资源，并加大工作效益，减少损失及浪费，现对网络结构进行重新规划设计并增加相应办公设备。3.1组网结构方案 为适应公司实际使用的需要，实现网络稳定可靠，分区管理分区服务，提供质量更高、服务更好的网络和可扩张性及易维护性等用户需求，本设计采用星型拓扑结构。星型拓扑结构是指网络中每个结点都由一条单独的通信线路与中心结点连接。所有数据的传送以及信息的交换和管理都通过中央集线设备来实现。3.1.1星型拓扑结构的优点：结构简单，容易实现，连接方便，而且扩展性强，具有先进性。网络延迟时间较小，传输误差低，具有高性能。连接点的故障容易检测和排除，易管理及网络维护，具有可靠性。在同一网段内支持多种传输介质，除非中心结点故障，否则网络不会轻易瘫痪，具有方便性。3.2网络拓扑结构图图3.13.3功能实现内部资源共享的实现：本方案采用星形拓扑结构，方案的中心交换机采用了H3C S5024P交换机，其交换传输速度快，性能稳定。部门之间的连线采用的是5类屏蔽双绞线，传输速率达到100Mb/s，有效保证公司高效率工作及各部门之间资源共享要求。另外，经理办公室计算机组采用域的模式进行管理，为每个部门各计算机分别设置不同的权限，其中还采用了虚拟局域网(VLAN)的组网方法来划分公司各个部门的网络区域，既能实现各个部门之间信息交流又不造成冲突，且具有很高的灵活性，可以根据服务灵活地组建。内、外网络访问限制，电子邮件限制等功能的实现：ISA Server2006防火墙具有过滤进出网络的数据、数据包筛选、控制不安全的服务、集中的安全保护等功能。安装好ISA Server2006防火墙后通过创建网络规则，有效管理内部用户对外部网络的安全访问。通过创建“策略无素”（如：内部、外部的通用协议、结构、邮件、远程终端、Web、身份验证、服务器协议等）便可控制内网、外网的访问条件，能够限制什么身份的用户、使用什么计算机、在什么时间段里，利用什么协议、访问什么目的地上的什么资源1。以便实现业务部、销售部能够访问Internt网及接收电子邮件，品质部能够接收电子邮件，而其余部门其不能访问Internt网等功能要求。远程客户的VPN访问的实现：本方案利用防火墙的VPN功能与防火墙的安全筛选功能有机地集成在一起来实现安全的远程访问。远程客户机利用VPN服务器上的一个特定本机用户帐户或者企业内部Windows域中的一个特定用户帐户（这些用户帐户必须具有“允许访问”的拨入权限）向远程访问服务器（即VPN服务器）发出建立点到点、虚拟的、加密的VPN通信通道，然后就可以安全地访问内部网络中的资源了。通过VPN方式，公司外各直销网络点（分支机构）可以利用现有的网络资源实现远程用户对内部网络资源的访问，不但节省了了大量的资金，而且具有很高的安全性。Web服务（公司网页访问）及电子邮箱服务（SMTP）的实现：在服务器内安装好软件后，使用IIS搭建Web网站，并配置好相关防火墙访问的安全规则，使客户通过网络能访问公司网站更方便的了解公司最新产品动态，拓展公司业务。配置好域服务器及DNS服务器后，使用WInmail Mail server搭建公司局域网邮件服务器，并配好公司各部门下用户的用户名及密码，可使公司相关文件很方便的通过邮件进行沟通和传递，大大的提高工作效率，节约办公用纸，实现办公无纸化管理，节约了管理成本。文件服务功能的实现：在服务器内安装软件后需配置好文件服务器，并升级成域管理器配置在办公室的网络中，通过千兆光纤交换机连接域服务器和文件服务器，为进行文件的拟、收、发、存的办公程序工作提供效率的保障，并能及时更新和收集同类产品成本、同业情况、客户基本情况及与产品有关的数据资料，同业务部及销售部达成紧密合作。3.4 IP地址配置为管理方便及防止各部门TP地址冲突，需给公司各部门分配固定IP地址，并通过ISA Server2006防火墙对各部门及工作组配置好访问内部网络和外部网络的访问规则，详细配置见下表：部门名称IP地址子网掩码默认网关IP地址范围服务器外网卡131.107.1.200255.255.0.0131.107.1.1服务器内网卡192.168.1.200255.255.255.0192.168.1.1DNS服务器192.168.3.0255.255.255.0192.168.1.200总经理办公室192.168.3.1255.255.255.0192.168.3.0192.168.3.119财务部192.168.3.20255.255.255.0192.168.3.0192.168.3.2039行政部192.168.3.40255.255.255.0192.168.3.0192.168.3.4059销售部192.168.3.60255.255.255.0192.168.3.0192.168.3.6079业务部192.168.3.80255.255.255.0192.168.3.0192.168.3.8099技术部192.168.3.100255.255.255.0192.168.3.0192.168.3.100119品管部192.168.3.120255.255.255.0192.168.3.0192.168.3.120139生产部192.168.3.140255.255.255.0192.168.3.0192.168.3.140159仓储部192.168.3.160255.255.255.0192.168.3.0192.168.3.160179VPN远程10.0.0.1255.255.255.0192.168.3.010.0.0.1200表3.4.13.5接入方式的选择分析本设计选择的接入方式是光纤接入方式，采用光纤接入中心交换机，局域网采用屏蔽双绞线连接。光纤连接具有：传输速率最快，不受电磁干扰，安全性和保密性都极高等特点，基于公司业务量大，需时刻满足客户的访问需要并能起到资源传递的保密、快速等要求，所以选择光纤接入是满足公司网络需求的。屏蔽双绞线具有：价格低、全双工、有很好的抗干扰性能和较高的传输速度等特点，完全能满足公司内部资源交换的速度要求，从降减安装成本要求着想，局域网的屏蔽双绞线接入方式合乎公司网络的需要。3.6设备的选择分析路由器：本方案采用TP-LINK TL-R4299G，它属于中端路由器，用于实现中型网络的Internet连接，它具有丰富的软件特性，支持VPN、QOS等功能，有内置防火墙，是企业用户的理想选择。基本参数硬件参数软件参数型号：TL-R4299G处理器64位双核533MHzNAT支持支持传输速率：10/100MbpsDRAM内存64MB支持协议DHCPE服务器，DHCP客户端, PPPoE,DDNS,NTP,NAPT,VPN(PPTP,L2TP,IPsec)等广域网接口：2个控制端口一个Console局域网接口：8个表：3.6.1防火墙：本方案采用ISA Server2006企业级防火墙，它具有防火墙、VPN服务、WEB缓存等功能，是一款符合现代企业安全需求的多功能产品。它能够让企业内部用户既安全又快速地访问Internt资源，能够很好的满足企业用户的需要。交换机：本方案采用TL-SG1024T为中心交换机，24口，支持全双工，具有网管功能，价格适中，效率高等特点。特别适合作为需要高带宽、高性能和高扩展性的中型企业网核心、大型企业网络和园区网的汇聚层以及数据中心的服务器接入设备。采用TL-SF1024为域服务器及文件服务器交换机，它价格低廉，效率高。有10M和100M两种接入端口。工作组交换机：本方案采用TL-SF108D交换机，它具有价格便宜，功能较强等优点，本公司中现阶段部门中最大PC机使用量为5台，故选用8口交换机，即满足了公司现阶段的要求，又为以后网络扩展留下一定空间。服务器电脑及办公电脑的选择：服务器电脑要求性能稳定、可靠、功能强大等特点，故选用品牌高性能IBM System x3850 X5(7145I19),办公电脑仍延用现阶段公司内各办公电脑，无须更换，即能满足办公要求。第四章 公司数据安全管理公司的数据安全管理，均通过防病毒软件防杀毒及防火墙防护来实现安全，入侵检测以防范外部用户对公司内部用户的攻击，起到报警及时作用。对于内部安全管理，均通过域管理，实现各用户、各计算机访问权限的设置，以实现安全可靠的访问管理。4.1防病毒软件4.1.1防毒软件的选择2当前，在计算机网络中充斥着各中各样的病毒，它们给用户带来了巨大的危害，因此在一个局域网中，部署防毒软件是十分必要的。但是，网络中的计算机往往数量众多，如果采用单机版本的杀毒软件，就要面临客户端独立安装部署与升级病毒库的麻烦，而且一旦有部分客户端计算机感染病毒也有可能造成速个网络的瘫痪。因此网络版的杀毒软件无疑是更好的选择，通过它们，管理员可以轻轻松松也完成局域网内查杀病毒的操作，所以根据公司的网络需要，本设计选择了金山杀毒软件网络版。4.1.2防毒软件的功能特点 金山杀毒软件网络版采用了金山新一代病毒扫描引擎技术，可以更全面地处理各种病毒和黑客程序。杀毒软件网络版具有“远程化管理，自动化管理，功能强大，操作简单，集中式管理、分布式杀毒”等优点，使公司网络管理员可以在任意地点清楚地掌握公司整个网络中所有金山杀毒软件客户端的病毒检测状态，并调用每个节点各自的杀毒软件对该计算机上的所有文件进行全面病毒查杀，方便对公司网络进行远程集中式安全管理以及大大提高了全网查杀病毒的效率。4.2防火墙与入侵检测4.2.1防火墙的选择3防火墙是一种将内部网络与外部网络分开的方法，是在内部网络和外部网络之间所施加的安全防范系统，它既是一种隔离技术，也是一种访问控制机制。防火墙能够“同意”特定的用户功数据进入指定网络，也能够将“不同意”的用户或数据拒之门外，因此为使东方制品公司的网络更加安全，需加装防火墙。防火墙可以分为硬件防火墙和软件防火墙两类。其中硬件防火寺价格较贵，但效果较好；软件防火墙价格相对便宜，但是只能依赖软件规则来达到限制访问的目的。结合公司的实际情况，本设计选择的是Microsoft ISA Server 2006防火墙，该防火墙提供了防火墙、VPN服务和网页缓存等多项优异功能，是网络安全防护的绝佳选择。4.2.2防火墙的部署方案正确的防火墙部署方案是保证网络安全的有效途径之一，由于企业内部不希望被外界访问的资源与希望被外界访问的资源都放置在同一个内部网络中，使得公司网络管理员难以有效地对它们进行分别管量，为了解决这个问题，本设计采用“三向防火墙”的部署方案。该方案中，ISA Server计算机具有3个网络接口，一个网络接口连接内部网络，这个网络用于放置公司内部不希望被外部用户访问的资源：另一个网络