毕业论文-设计构建中小型企业网络(包括总部及子集团公.doc

目 录第一章 需求分析11.1公司部门概况11.2网络功能需求11.3网络性能需求1第二章 方案设计22.1设计原则22.2网络规划22.2.1核心层建设22.2.2接入层建设32.2.3服务器系统4第三章 方案实施63.1 部署活动目录服务，构建域环境63.2 部署DHCP服务，自动分配DHCP选项63.3 部署DNS服务，响应名字解析请求73.4 安装Internet信息服务，部署WEB站点83.5 结合SMTP服务和POP3服务实现基本邮件功能- 12 -3.6 部属NNTP，实现聊天功能- 14 -3.7部署FTP服务，实现文件共享- 16 -3.8部属分布式文件系统- 17 -3.9安装CCProxy，实现代理服务- 19 -3.10安装路由和远程访问服务，部属VPN服务193.11安装Internet验证服务- 21 -3.12安装Windows Media Services- 23 -3.13安装Windows Media Encoders- 23 -第四章 网络维护- 24 -4.1更新- 24 -4.2备份- 24 -4.3诊断- 24 -4.4安全- 24 -4.5磁盘整理- 24 -结束语- 25 -致 谢- 26 -参考文献- 27 -第一章 需求分析1.1公司部门概况 总部设在福建-福州，两个分公司设在北京-燕郊和福建-厦门。 200个网络节点分布在技术部、营销部、财务部、决策部。1.2网络功能需求 共享公司的各种信息资料，发布公司内部刊物的电子版。 实时传递行业政策、市场变化信息；转载、摘编国际国内重大新闻信息。 动态查询产品的生产、销售、库存等实时数据和客户、员工的档案信息。 提供销售、生产、会计、统计等报表供相关人员查阅、分析。 发布电脑方面的文章以提高员工的计算机知识；发布相关业务培训内容。 以FTP方式提供大量应用软件和实用工具，供内部员工下载使用。 通过代理服务器使公司的计算机均能以低廉费用接入Internet。 开通部门间、员工间的E-mail服务和论坛增强Intranet的娱乐性。1.3网络性能需求 经济性 实用性 稳定性 安全性 易管理性 可扩展性第二章 方案设计2.1设计原则 经济性：用性价比较好的网络及设备，以较低廉的投资获取较高性能。 实用性：确保信息加速传递、提高工作效率，节约办公费用。 操作性： 界面图形化、操作按钮化，办公人员在简单培训后能熟练运用。 扩展性： 新增的硬件设备能方便接入网络；软件便于更新、维护、升级。2.2网络规划局域网分为核心层、接入层、服务器群三个部分来设计拓扑结构如下：2.3 核心层建设(1) 核心层作用核心交换机位于网络中心，是整个局域网的灵魂。它对整个网络的性能、可靠性起决定性作用。它连接各个物理子网；负责高速地对端到端设备进行数据包交换；控制VLAN间访问；保证信息安全。(2) 核心层网络类型选择作为主干网连接着服务器和楼层交换机，可局部采用千兆以太网。千兆以太网可提供 1Gbps的通信带宽，具有以太网简易性，比其它类似速率的通信技术价格低廉。千兆以太网还能在当前以太网基础上平滑过渡，这意味着现有的投资可以在合理的初始开销上延续到千兆以太网，不需要对技术支持人员和用户做重新培训，无需另外配置协议、购买中间部件，具有一定的前瞻性。(3) 核心层交换机选择 所选中心交换机首先要具有三层交换功能，能提供 VLAN 间的数据传输。 其次要具有足够数量高速网络接口，提供高速交换带宽和包转发速率。 具有多种信息管理和控制能力和QoS 功能。(4) 核心层升级方案 购买新功能模块，实现新的网络功能； 添加接口模块数量，实现用户和信息点的扩充； 改用光纤，提高主干带宽； 提高主干带宽、实现主干线路互备份； 增加一台三层交换机，采用多链路千兆以太网连接，消除单点故障。2.2.2 接入层建设(1) 接入层作用接入层交换机为楼层工作组级交换机，为每个用户提供100Mbps以太接入端口，负责将用户数据馈入网络。它直接完成本地数据交换，将其它网段数据送到核心层。通过 VLAN 的合理划分，方便用户在网络中移动，保证部门信息安全。(2) 接入层网络类型选择在当今现有的高速局域网技术中，由于快速以太网（100BASE-T）性能优良、价格低廉、升级和维护方便，通常都将它作为首选。快速以太网在过去广泛接的10BASE-T以太网基础之上，提供向100Mbps的平滑、连续性的网络升级。(3) 交换机的连接工作站少的部门只需一台二层交换机，下联用户端上联核心交换机。信息点分布密集的部门采用多台交换机堆叠或者级联。连接介质可以是光纤、双绞线。(4) VLAN的划分通过VLAN 实现隔离和限制本地流量的功能：把工作内容相近的PC机、经常共享数据的信息点划分在同一个 VLAN 中可以提高网络效率；设定相应地访问权限可以增强网络安全。根据员工分布情况，二层交换机可以每个独立构成一个VLAN，也可以多个构成一个VLAN。(5) 交换机的选择 高端口密度 支持VLAN划分2.2.3服务器系统(1) 服务器系统的作用服务器群的主要功能是为客户端提供各种网络服务，包括：资源共享、Web服务、文件传输、邮件服务、代理服务、聊天服务、流媒体服务、身份验证服务(2) 服务器的连接服务器的连接位置可以很灵活，整个网络用户都公用的服务器直接连到核心交换机上，连接介质可以采用光纤或双绞线。各个部门单独使用的服务器可以连到部门交换机上，提供该部门的特定网络服务。(3) 服务器软件的选择选用Windows的产品其优点是：Windows Server 2003集成多种功能且对硬件要求不高，总体成本较低。工作站普遍使用Windows操作系统，服务器与客户端兼容性更好。Windows服务器系统提供图形化界面，减少配置和维护的工作量。服务功能及应用软件如下表：功 能软 件名字解析DNS服务IP 选项自动配置DHCP服务 资源共享分布式文件系统、Internet信息服务FTP服务邮件收发Internet信息服务SMTP服务；POP3浏览网页Internet信息服务网站聊天、论坛Internet信息服务NNTP服务身份验证活动目录、证书服务、Internet验证服务远程访问路由和远程访问组件代理、防火墙Ccproxy流媒体资源下载流媒体服务第三章 方案实施3.1 部署活动目录服务，构建域环境3.1.1 安装目录服务的同时安装DNS服务确保名字解析的正确性3.2 部署DHCP服务，自动分配DHCP选项3.2.1 配置DHCP选项(子网掩码，默认网关、DNS服务器IP地址)3.2.2 确认客户端自动获得正确的IP地址和DNS服务器IP地址后加入域3.3 部署DNS服务，响应名字解析请求3.3.1 建立正向AD集成区域3.3.2 客户端获得正向自动更新3.3.3 客户端获得反向自动更新3.4 安装Internet信息服务，部署WEB站点3.4.1 主机头实现一台主机上运行多站点3.4.2 DNS解析主机头3.4.3 测试3.4.4 Web服务器向CA申请证书(1) CA在线,直接提交证书请求(2) Ca不在线或联系不到，提交证书请求文本文件3.4.5 Web服务器获得证书,查看证书3.4.6 Web服务器安装证书并配置启用SSL3.4.7 测试(1) 客户端计算机不信任颁发Web服务器证书的根CA，产生安全警报(2) 下载根CA证书，导入客户端计算机“受信任的根证书颁发机构”3.5 结合SMTP服务和POP3服务实现基本邮件功能3.5.1 SMTP服务器配置(1) 允许/拒绝某个IP使用SMTP发送电子邮件(2) 允许/拒绝某个IP使用该SMTP中继电子邮件3.5.2 安装POP3，添加邮箱，自动会创建登陆使用的关联帐户3.5.3 Outlook客户端配置(1) 指向SMTP服务器， (2) 用从CA申请的用户证书配置签名(3) 用从CA申请的用户证书配置加密3.5.4 测试(1) 发送加密和签名的邮件(2) 接收加密和签名的邮件(3) 发送给本域和其他域的邮件3.6 部属NNTP，实现聊天功能3.6.1 默认NNTP服务器上新建新闻组3.6.2 OUTLOOK客户端预定新闻组3.6.3 OUTLOOK客户端同步所有邮件3.6.4 测试3.6.5 新闻组下载到本地3.7 部署FTP服务，实现文件共享3.7.1 新建FTP站点3.7.2 FTP服务器上对每个用户启用NTFS权限3.7.3 测试3.8 部属分布式文件系统3.8.1 新建根目录文件夹，设置共享权限和NTFS权限3.8.2 新建根目录，根目录下新建链接，链接下新建目标3.8.3 配置链接属性(1) 设置复制计划（复制时间、复制优先级）(2) 设置复制拓扑3.8.4 活动目录中发布DFS根目录，用关键字在AD中搜索已发布DFS根目录3.9 安装CCProxy，实现代理服务3.9.1 设置CCProxy(1) 禁止员工工作时玩游戏、聊QQ(2) 根据用户名、IP、MAC、设置限制最大连接数、带宽、网站、可用时间3.9.2 客户端设置IE代理3.9.3 客户端设置OUTLOOK代理3.10 安装路由和远程访问服务，部属VPN服务3.10.1 把VPN服务器 (RADIUS客户端)改用RADIUS身份验证，RADIUS记帐3.10.2 设置记帐日志的属性3.11 安装Internet验证服务3.11.1 添加RADIUS客户端（VPN服务器），授权RADIUS服务器进行身份验证3.11.2 同时管理多台RADIUS客户端上的远程访问策略的条件、权限、配置文件3.11.3 对远程访问启用IPSEC(1) 禁止PING(2) 禁用易被攻击的端口(3) 确保TCP传输安全3.12 安装Windows Media Services3.12.1 新建发布点3.13 安装Windows Media Encoders3.13.1 新建会话3.13.2 测试第四章 网络维护4.1 更新WEB页面的版面、样式、内容的更新；公司共享资料的更新；网络教室、软件下载内容的更新；聊天室及电子论坛的维护等工作由管理员进行。各种报表、数据库更新，信息发布由各部门管理员从本地登录服务器进行。4.2 备份由于考虑最低投资，未采用磁带机备份，而使用磁盘镜像技术容错，这样不但得到完整的数据备份，而且还提高了系统的性能。4.3 诊断INTRANET采用TCP/IP协议,在网络的调试中主要采用了以下几个诊断程序:Ping;Ipconfig;Nbtstat;Netstat;Hostname4.4 安全利用代理服务器Ccproxy的防火墙功能可以阻挡Internet上的系统或使用者直接进入Intranet。网络管理员的密码和各用户的密码均利用AD组策略统一进行管理，并利用其“组策略”功能统一部署密码策略：包括密码最长/最短有效期、密码的长度、唯一性和帐户锁定等项目。域用户权限也利用