小型企业局域网组建.doc

郑州铁路职业技术学院毕业论文 郑州铁路职业技术学院郑州铁路职业技术学院毕业论文 论文题目 某中小企业局域网的构建 作者姓名 班级学号 090433054 系 部 信息工程系 专 业 计算机网络技术 09A1 指导教师 2012 年 5 月 15 日 郑州铁路职业技术学院毕业论文 摘摘 要要 计算机网络在这个时代发挥着它不可估量的作用 对人们的工作 学习 生活 行 为和思维方式都产生着重要的影响 随着科学技术的不断进步 计算机技术和网络技术 都得到了长足的发展 越来越多的计算机连接到不同的网络中 使得计算机网络不论从 结构上还是规模上都发生了很大的变化 随着网络的逐步普及 中小型企业的建设是企 业向信息化发展的必然选择 企业网络系统是一个非常庞大而复杂的系统 它不仅为企 业现代化 综合信息管理和办公自动化等一系列应用提供基本操作平台 而且能提供多 种应用服务 使信息能及时 准确地传送给各个系统 而中小型企业工程建设中主要应 用了网络技术中的重要分支局域网技术来建设与管理 关键词 企业网络 安全 郑州铁路职业技术学院毕业论文 目 录 第一章第一章 需求分析需求分析 1 1 第二章第二章 典型小企业组网实例典型小企业组网实例 2 2 2 1 网络技术的选择 2 2 2 网络结构设计 3 2 3 网络设备的选择 4 2 4 网段及 VLAN 的划分 5 2 5 设备的配置 5 2 6 服务器的配置 5 第三章第三章 网络布局和综合布线网络布局和综合布线 1414 3 1 网络布局的具体实施要求 14 3 2 布线系统的规划与设计 14 3 3 网络布局的规划与设计 14 第四章第四章 局域网的安全控制与病毒防治局域网的安全控制与病毒防治 1717 4 1 局域网安全威胁分析 17 4 2 局域网安全控制与病毒防治策略 17 总总 结结 1919 参考文献参考文献 2020 郑州铁路职业技术学院毕业论文 1 第一章第一章 需求分析需求分析 1 1 某中小企业网络特点与要求 某中小小企业局域网通常规模较小 结构相对简单 对性能的要求则因应用的不同而差别 较大 许多中小企业网络技术人员较少 因而对网络的依赖性很高 要求网络尽可能简单 可 靠 易用 降低网络的使用和维护成本 提高产品的性能价格比就显得尤为重要 基于以上特点 应遵循下列设计原则 1 把握好技术先进性与应用简易性之间的平衡 2 具有良好的升级扩展能力 3 具有较高的可靠性和安全性 4 产品功能与实际应用需求相匹配 80 的中小企业用户通常只用到局域网 20 的功能 精简功能设计的产品不但可以在满足大 多数需求的情况下有效降低成本 而且还能够提高系统的稳定性和易维护性 5 尽可能选择成熟 标准化的技术和产品 恰当运用以太网的不同标准和功能 以太网技术能够在双绞线 多模光纤 单模光纤等介 质上传输数据 可以非常简单地升级到百兆 千兆的速率 而且具有很高的稳定性和可管理性 以太网提供了多种标准和功能 比如 10Mbps 100Mbps 1000Mbps 不同速率的标准 双绞线 光纤等不同介质的标准 以及网络管理 流量控制 VLAN 优先级 链路聚合等功能 性 1 2 小型企业网的组建背景 随着计算机及局域网络应用的不断深入 特别是各种计算机应用系统被相继应用在实际工 作中 各企业 各单位同外界信息媒体之间的相互交换和共享的要求日益增加 需要使各单位 相互间真正做到高效的信息交换 资源的共享 为各单位人员提供准确 可靠 快捷的各种生 产数据和信息 充分发挥各单位现有的计算机设备的功能 为加强各公司内各分区的业务和技 术联系 提高工作效率 实现资源共享 降低运作及管理成本 公司有必要建立企业内部局域网 局域网要求建设基于 TCP IP 协议和 WWW 技术规范的企业内部非公开的信息管理和交换平台 该 平台以 WEB 为核心 集成 WEB 文件共享 信息资源管理等服务功能 实现公司员工在不同地域 对内部网的访问 郑州铁路职业技术学院毕业论文 2 第二章第二章 典型中小企业组网实例典型中小企业组网实例 每个公司都有机密文件 为保障这些文件不被窃取 网络组建的主要要求 每个部门之间不能相互访问但可以访问服务器组和打印机 图一 环境拓扑图 2 1网络技术的选择网络技术的选择 在各种局域网技术中 以太网以其造价低 技术成熟 产品丰富 可靠性高 可扩展性好 传输介质丰富和易于管理等有点而成为建设局域网的主流技术 以太网使用 CSMA CD 协议 它 是一种基于冲突检测机制的网络协议 2 1 1 拓扑结构需求分析 公司共 8 个办公室处于同一个楼面 针对在技术规格上的特点 我们采用了交换机用星型 的拓扑结构 这种拓扑结构的优点是 1 容易实现 它所采用的传输介质一般都是采用通用的双绞线 这种传输介质相对来说比较便 宜 如目前正品五类双绞线每米也仅 1 5 元左右 而同轴电缆最便宜的也要 2 00 元左右一米 光缆那更不用说了 这种拓扑结构主要应用于 IEEE 802 2 IEEE 802 3 标准的以太局域网中 2 节点扩展 移动方便 节点扩展时只需要从集线器或交换机等集中设备中拉一条线即可 而 要移动一个节点只需要把相应节点设备移到新节点即可 而不会像环型网络那样 牵其一而动 全局 3 便于维护 采用星型结构 网络故障将先以层为单位被定位在不同的交换层面上 随后在 被定位的层面上很快就可以找出发生故障的交换机或节点 这种方法把复杂的维护问题简单化 4 采用广播信息传送方式 任何一个节点发送信息在整个网中的节点都可以收到 这在网络方 面存在一定的隐患 但这在局域网中使用影响不大 5 网络传输数据快 这一点可以从目前最新的 1000Mbps 到 10G 以太网接入速度可以看出 郑州铁路职业技术学院毕业论文 3 2 2网络结构设计网络结构设计 无论企业规模大小 企业的网络层次都应采取核心层 网络的高速交换主干 汇聚层 提 供基于策略的连接 接入层 将工作站接入网络 三个网络层次的设计理念 使用层次清晰的 网络模式 一是方便日后的升级 二是可以减少维护成本 三层交换与 VLAN 结合 三层交换技术 也称多层交换技术或 IP 交换技术 是相对于二层交换技术提出的 因工作 在 OSI 七层网络标准模型中的第三层而得名 传统的路由器也工作在第三层 它可以处理大量 的跨越 IP 子网的数据包 但是它的转发效率比较低 而三层交换技术在网络标准模型中的第三 层实现了分组的高速转发 效率大大提高 简单地说 三层交换技术就是 二层交换技术 路 由转发 它的出现 解决了二层交换技术不能处理不同 IP 子网之间的数据交换的缺点 又解 决了传统路由器低速 复杂所造成的网络瓶颈问题 VLAN Virtual Local Area Network 即虚拟局域网 是一种通过将局域网内的设备逻辑 地而不是物理地划分成一个个不同的网段 从而实现虚拟工作组的技术 它不受网络用户的物 理位置限制 而是根据用户需求进行网络分段 IEEE 于 1999 年颁布了用以标准化 VLAN 实现方 案的 802 1q 协议标准草案 不同 VLAN 之间的数据传输是通过第三层 网络层 的路由来实现 的 因此 使用 VLAN 技术 结合数据链路层和网络层的交换设备 可搭建安全可靠的网络 划分 VLAN 的目的 一是提高网络安全性 不同 VLAN 的数据不能自由交流 需要接受第三 层的检验 因此 在一定程度上加强了虚网间的隔离 有效防止外部用户入侵 提高了安全性 二是隔离广播信息 划分 VLAN 后 广播域缩小 有利于改善网络性能 能够将广播风暴控制在 一个 VLAN 内部 同时使网络管理趋于简单 三是增强网络应用的灵活性 VLAN 是在一个有多台 交换机的局域网中统一设定的 这使得用户可以不受所连交换机的限制 不论用户节点移动到 局域网中哪一台交换机上 只要仍属于原来的虚网 则应用环境没有任何改变 在划分 VLAN 时 要考虑 VLAN 对于网络流量的影响 单个 VLAN 不宜过大 层次化架构三层网络 三层网络架构采用层次化模型设计 即将复杂的网络设计分成几个层次 每个层次着重于 某些特定的功能 这样就能够使一个复杂的大问题变成许多简单的小问题 三层网络架构设计 的网络有三个层次 核心层 网络的高速交换主干 汇聚层 提供基于策略的连接 接入层 将工作站接入网络 核心层是网络的高速交换主干 对整个网络的连通起到至关重要的作用 核心层应该具有 如下几个特性 可靠性 高效性 冗余性 容错性 可管理性 适应性 低延时性等 在核心 层中 应该采用高带宽的千兆以上交换机 因为核心层是网络的枢纽中心 重要性突出 核心 层设备采用双机冗余热备份是非常必要的 也可以使用负载均衡功能 来改善网络性能 汇聚层是网络接入层和核心层的 中介 就是在工作站接入核心层前先做汇聚 以减轻核 心层设备的负荷 汇聚层具有实施策略 安全 工作组接入 虚拟局域网 VLAN 之间的路由 源地址或目的地址过滤等多种功能 在汇聚层中 应该采用支持三层交换技术和 VLAN 的交换机 以达到网络隔离和分段的目的 接入层向本地网段提供工作站接入 在接入层中 减少同一网段的工作站数量 能够向工 作组提供高速带宽 接入层可以选择不支持 VLAN 和三层交换技术的普通交换机 2 3网络设备的选择网络设备的选择 核心层 思科的 Cisco Catalyst 3560G 24TS 24 2 全千兆三层交换机 郑州铁路职业技术学院毕业论文 4 图二 千兆交换机 Cisco Catalyst 3560 系列交换机是一个采用快速以太网配置的固定配置 企业级 IEEE 802 3af 和思科预标准以太网电源 PoE 的交换机 提供了可用性 安全性和服务质量 QoS 功能 改进了网络运营 Catalyst 3560 系列是适用于小型企业布线室或分支机构环境的理想接 入层交换机 这些环境将其 LAN 基础设施用于部署全新产品和应用 如 IP 电话 无线接入点 视频监视 建筑物管理系统和远程视频信息亭 客户可以部署网络范围的智能服务 如高级 QoS 速率限制 访问控制列表 组播管理和高性能 IP 路由 并保持传统 LAN 交换的简便性 内嵌在 Cisco Catalyst 3560 系列交换机中的思科集群管理套件 CMS 让用户可以利用任何一 个标准的 Web 浏览器 同时配置多个 Catalyst 桌面交换机并对其排障 Cisco CMS 软件提供了 配置向导 它可以大幅度简化融合网络和智能化网络服务的部署 Catalyst 3560 系列为采用思科 IP 电话和 Cisco Aironet 无线 LAN 接入点 以及任何 IEEE 802 3af 兼容终端设备的部署 提供了较低的总体拥有成本 TCO 以太网电源使客户无需再为 每台支持 PoE 的设备提供墙壁电源 免除了在 IP 电话和无线 LAN 部署中所必不可少的额外布线 Catalyst 3560 24 端口版本可以以支持 24 个 15 4W 的同步全供电 PoE 端口 从而获得了最佳上 电设备支持 通过采用 Cisco Catalyst 智能电源管理 48 端口版本可支持 24 个 15 4W 端口 48 个 7 7W 端口 或它们的任意组合 当 Catalyst 3560 交换机与思科冗余电源系统 675 RPS 675 共用时 可提供针对内部电源故障的无缝保护 而不间断电源 UPS 系统可防范电源中断 情况 从而使融合式语音和数据网络实现最高电源可用性 汇聚层交换机选择 Catalyst 2950 24 交换机 图三 Catalyst 2950 24 交换机 Cisco Catalyst 2950 系列智能以太网交换机是一个固定配置 可堆叠的独立设备系列 提 供了线速快速以太网和千兆位以太网连接 这是一款最廉价的 Cisco 交换产品系列 为中型网 络和城域接入应用提供了智能服务 作为思科最为廉价的交换产品系列 Cisco Catalyst 2950 系列在网络或城域接入边缘实现了智能服务 主要的中小企业优势 在布线室配线间中实现了智能的服务质量 QoS 限速 访问控制 列表 ACL 和多播服务 在多种介质上提供了升级到千兆位以太网的强大路径 凭借内置 Cisco 集群管理套件可出色地管理并轻松地配置第 2 4 层服务 与 Cisco Catalyst 3550 系列集中汇聚交换机相结合 用于 IP 路由至网络核心 主要的城域接入优势 通过高级 QoS 限速 语音及多播特性提供广泛的服务 通过生成树协议改进和访问控制参数 ACP 来提供服务可用性和安全性 通过 Cisco IE 2100 系列智能引擎支持和简单网络管理协议 SNMP 来实现服务管理 思科 PIX 501 防火墙 郑州铁路职业技术学院毕业论文 5 图四 思科防火墙 PIX 501 防火墙是一种针对特定需求而设计的安全设备 可以在单独的一个设备中提供丰富 的安全服务 包括状态监测防火墙 虚拟专用网 VPN 和入侵防范等 还可以利用其基于标准 的互联网密钥交换 IKE IP 安全 IPSec VPN 功能 确保远程办公机构通过互联网与企业网 络之间进行的所有网络通信的安全 故此适合于小型办公室网络或者大型网络中的局部网络使 用 2 4网段及网段及 VLANVLAN 的划分的划分 建筑物建筑物部部 门门所属所属 VLANVLANIPIP 地地 址址 经理办公室 Vlan11192 168 11 0 24192 168 11 0 24 财务部 Vlan12192 168 12 0 24192 168 12 0 24 技术部 Vlan13192 168 13 0 24192 168 13 0 24 销售部 Vlan14192 168 14 0 24192 168 14 0 24 人事部 Vlan15192 168 15 0 24192 168 15 0 24 服务器组 Vlan16192 168 16 0 24192 168 16 0 24 办公楼办公楼 共享打印机共享打印机 Vlan17Vlan17192 168 17 0 24192 168 17 0 24 表一 VLAN 划分表 2 5设备的配置设备的配置 1 核心层交换机 vlan 的配置 2 把访问控制列表 12 应用于 VLAN 10 OUT 方向上 财务部内部可以互访 可以访问服务器网 段和网络打印机网段 但不能其他部所在网段 3 把访问控制列表 15 应用于 VLAN 10 OUT 方向上 人事部内部可以互访 可以访问服务器网 段和网络打印机网段 但不能其他部所在网段 4 把访问控制列表 13 应用于 VLAN 10 OUT 方向上 技术部内部可以互访 可以访问服务器网 段和网络打印机网段 但不能其他部所在网段 5 把访问控制列表 14 应用于 VLAN 10 OUT 方向上 销售部内部可以互访 可以访问服务器网 段和网络打印机网段 但不能其他部所在网段 2 6服务器的配置服务器的配置 2 6 1 FTP 服务器的作用 郑州铁路职业技术学院毕业论文 6 在 FTP 的使用当中 用户经常遇到两个概念 下载 Download 和 上载 Upload 下载 文件就是从远程主机拷贝文件至自己的计算机上 上载 文件就是将文件从自己的计算机 中拷贝至远程主机上 用 Internet 语言来说 用户可通过客户机程序向 从 远程主机上载 下载 文件 使用 FTP 时必须首先登录 在远程主机上获得相应的权限以后 方可上传或下载文件 也 就是说 要想同哪一台计算机传送文件 就必须具有哪一台计算机的适当授权 换言之 除非 有用户 ID 和口令 否则便无法传送文件 这种情况违背了 Internet 的开放性 Internet 上的 FTP 主机何止千万 不可能要求每个用户在每一台主机上都拥有帐号 匿名 FTP 就是为解决这个 问题而产生的 匿名 FTP 是这样一种机制 用户可通过它连接到远程主机上 并从其下载文件 而无需成 为其注册用户 系统管理员建立了一个特殊的用户 ID 名为 anonymous Internet 上的任何人在 任何地方都可使用该用户 ID 通过 FTP 程序连接匿名 FTP 主机的方式同连接普通 FTP 主机的 方式差不多 只是在要求提供用户标识 ID 时必须输入 anonymous 该用户 ID 的口令可以是任意 的字符串 习惯上 用自己的 E mail 地址作为口令 使系统维护程序能够记录下来谁在存取这 些文件 值得注意的是 匿名 FTP 不适用于所有 Internet 主机 它只适用于那些提供了这项服务的 主机 当远程主机提供匿名 FTP 服务时 会指定某些目录向公众开放 允许匿名存取 系统 中的其余目录则处于隐匿状态 作为一种安全措施 大多数匿名 FTP 主机都允许用户从其下载 文件 而不允许用户向其上载文件 也就是说 用户可将匿名 FTP 主机上的所有文件全部拷贝 到自己的机器上 但不能将自己机器上的任何一个文件拷贝至匿名 FTP 主机上 即使有些匿名 FTP 主机确实允许用户上载文件 用户也只能将文件上载至某一指定上载目录中 随后 系统管 理员会去检查这些文件 他会将这些文件移至另一个公共下载目录中 供其他用户下载 利用 这种方式 远程主机的用户得到了保护 避免了有人上载有问题的文件 如带病毒的文件 作为一个 Internet 用户 可通过 FTP 在任何两台 Internet 主机之间拷贝文件 但是 实 际上大多数人只有一个 Internet 帐户 FTP 主要用于下载公共文件 例如共享软件 各公司技 术支持文件等 Internet 上有成千上万台匿名 FTP 主机 这些主机上存放着数不清的文件 供用户免费拷 贝 实际上 几乎所有类型的信息 所有类型的计算机程序都可以在 Internet 上找到 这是 Internet 吸引我们的重要原因之一 匿名 FTP 使用户有机会存取到世界上最大的信息库 这 个信息库是日积月累起来的 并且还在不断增长 永不关闭 涉及到几乎所有主题 而且 这 一切是免费的 匿名 FTP 是 Internet 网上发布软件的常用方法 Internet 之所以能延续到今天 是因为人 们使用通过标准协议提供标准服务的程序 像这样的程序 有许多就是通过匿名 FTP 发布的 任何人都可以存取它们 Internet 中的有数目巨大的匿名 FTP 主机以及更多的文件 那么到 底怎样才能知道某一特定文件位于哪个匿名 FTP 主机上的那个目录中呢 这正是 Archie 服务器 所要完成的工作 Archie 将自动在 FTP 主机中进行搜索 构造一个包含全部文件目录信息的数 据库 使你可以直接找到所需文件的位置信息 2 6 2 FTP 服务器的配置 用 IIS 架设 IIS 只适用于 Window NT 2000 XP 操作系统 安装步骤如下 Window XP 默认安装时不安装 IIS 组件 需要手工添加安装 进入控制面板 找到 添加 删除程序 打开后选择 添加 删除 Window 组件 郑州铁路职业技术学院毕业论文 7 图五 添加 删除 Window 组件 在弹出的 Window 组件向导 窗口中 将 Internet 信息服务 IIS 项选中 在该选项 前的 背景色是灰色的 图六 添加 IIS 服务器 这是因为 Window XP 默认并不安装 FTP 服务组件 再点击右下角的 详细信息 在弹出的 Internet 信息服务 IIS 窗口中 找到 文件传输协议 FTP 服务 选中后确定即可 郑州铁路职业技术学院毕业论文 8 图七 添加 FTP 服务 安装完后需要重启 Window NT 2000 和 Window XP 的安装方法相同 电脑重启后 服务器就开始运行了 但还要进行一些设置 点击 开始 所有程序 管理工具 Internet 信息服务 进入 Internet 信息服务 窗口后 找到 默认 FTP 站点 右击鼠标 在弹出的右键菜单中选择 属性 在 属性 中 我们可以设置业务主机的名称 IP 端口 访问账户 FTP 目录位置 用户进入 FTP 时接收到的消息等 图八 属性设置 1 FTP 站点基本信息 郑州铁路职业技术学院毕业论文 9 进入 FTP 站点 选项卡 其中的 描述 选项为该 FTP 站点的名称 用来称呼你的服务器 这里设置名称为 业务主机 IP 地址 为服务器的 IP 设置为 192 168 16 10 TCP 端 口 一般仍设为默认的 21 端口 连接 选项用来设置允许同时连接服务器的用户最大连接数 连接超时 用来设置一个等待时间 如果连接到服务器的用户在线的时间超过等待时间而没 有任何操作 服务器就会自动断开与该用户的连接 设置账户及其权限 图九 属性设置 2 很多 FTP 站点都要求用户输入用户名和密码才能登录 这个用户名和密码就叫账户 不同 用户可使用相同的账户访问站点 同一个站点可设置多个账户 每个账户可拥有不同的权限 如有的可以上传和下载 而有的则只允许下载 安全设定 进入 安全账户 选项卡 有 允许匿名连接 和 仅允许匿名连接 两项 默认为 允许匿 名连接 此时业务主机提供匿名登录 仅允许匿名连接 是用来防止用户使用有管理权限的 账户进行访问 选中后 即使是 Administrator 管理员 账号也不能登录 FTP 只能通过服务 器进行 本地访问 来管理 图十 属性设置 3 郑州铁路职业技术学院毕业论文 10 至于 FTP 站点操作员 选项 是用来添加或删除本业务主机具有一定权限的账户 与其 他专业的业务主机软件不同 它基于 Window 用户账号进行账户管理 本身并不能随意设定业务 主机允许访问的账户 要添加或删除允许访问的账户 必须先在操作系统自带的 管理工具 中的 计算机管理 中去设置 Window 用户账号 然后再通过 安全账户 选项卡中的 FTP 站 点操作员 选项添加或删除 但对于 Window 2000 和 Window XP 专业版 系统并不提供 FTP 站 点操作员 账户添加与删除功能 只提供 Administrator 一个管理账号 最后设置 FTP 主目录 即用户登录 FTP 后的初始位置 进入 主目录 选项卡 在 本地 路径 中选择好 FTP 站点的根目录 并设置该目录的读取 写入 目录访问权限 设置完成后 业务主机就算建成了 图十一 主目录设置 2 6 2 WEB 服务器 WEB 服务器作用 WEB 服务器也称为 WWW WORLD WIDE WEB 服务器 主要功能是提供网上信 息浏览服务 1 应用层使用 HTTP 协议 2 HTML 文档格式 3 浏览器统一资源定位器 URL WWW 代表万维网的意思 WWW 是 Internet 的多媒体信息查询工具 是 Internet 上近年才发展起来的服务 也是 发展最快和目前用的最广泛的服务 正是因为有了 WWW 工具 才使得近年来 Internet 迅速发 展 且用户数量飞速增长 web 服务器配置 1 启动 Internet 信息服务 IIS 单击 Windows 开始菜单 所有程序 管理工具 Internet 信息服务 IIS 管理器 即可 启动 Internet 信息服务 管理工具 郑州铁路职业技术学院毕业论文 11 图十二 信息服务设置 2 配置 IIS IIS 安装后 系统自动创建了一个默认的 web 站点 该站点的主目录默认为 C Inetpub wwwroot 用鼠标右键单击 默认 web 站点 在弹出的快捷菜单中选择 属性 此时就可以打开站 点属性设置对话框 在该对话框中 可完成对站点的全部配置 图十三 默认网站属性设置 1 主目录与启用父路径 单击 主目录 标签 切换到主目录设置页面 该页面可实现对主目录的更改或设置 注 意检查启用父路径选项是否勾选 如未勾选将对以后的程序运行有部分影响 郑州铁路职业技术学院毕业论文 12 图十四 默认网站属性设置 2 图十五 应用程序配置 设置主页文档 单击 文档 标签 可切换到对主页文档的设置页面 主页文档是在浏览器中键入网站域名 而未制定所要访问的网页文件时 系统默认访问的页面文件 常见的主页文件名有 index htm index html index asp index php index jap default htm default html default asp 等 IIS 默认的主页文档只有 default htm 和 default asp 根据需要 利用 添加 和 删除 按钮 可为站点设置所能解析的主页文档 郑州铁路职业技术学院毕业论文 13 图十六 设置主页文档 IIS 默认的主页文档只有 default htm 和 default asp 根据需要 利用 添加 和 删除 按 钮 可为站点设置所能解析的主页文档 2 6 3 DHCP 服务器 两台连接到互联网上的电脑相互之间通信 必须有各自的IP 地址 但由于现在的 IP 地址资源有限 宽带接入运营商不能做到给每个报装宽带的用户都能分配一个固定的IP 地址 所谓固定 IP 就是即使在你不上网的时候 别人也不能用这个IP 地址 这个资源一 直被你所独占 所以要采用 DHCP 方式对上网的用户进行临时的地址分配 也就是你的电 脑连上网 DHCP 服务器才从地址池里临时分配一个IP 地址给你 每次上网分配的 IP 地 址可能会不一样 这跟当时 IP 地址资源有关 当你下线的时候 DHCP 服务器可能就会把 这个地址分配给之后上线的其他电脑 这样就可以有效节约IP 地址 既保证了你的通信 又提高 IP 地址的使用率 在一个使用 TCP IP 协议的网络中 每一台计算机都必须至少有一个IP 地址 才能与 其他计算机连接通信 为了便于统一规划和管理网络中的IP 地址 DHCP Dynamic Host Configure Protocol 动态主机配置协议 应运而生了 这种网络服务有利于对校园网络 中的客户机 IP 地址进行有效管理 而不需要一个一个手动指定IP 地址 DHCP 服务器适用的范围 它是 TCP IP 协议簇中的一种 主要是用来给局域网客户机分配动态的IP 地址 缺 点 DHCP 存在较多的广播开销 对于用户量较多的城域网会造成网络运行效率下降和配置 困难 另一方面 仍然无法解决用户自行配置IP 地址的问题 公有 ip 地址的动态分配主要通过 PPPoE 郑州铁路职业技术学院毕业论文 14 第三章第三章 网络布局和综合布线网络布局和综合布线 3 1 网络布局的具体实施要求网络布局的具体实施要求 对于有线局域网来说 这是我们目前企业网络建设中 经常会遇到的 需要对机房和办公 大楼进行布线 规划网络布局要考虑到机房的设备布局和布线系统的合理搭配 因此我们首先 要规划与设计好机房 布线系统 然后再全面地考虑网络的布局 为了确保网络 计算机系统稳定 安全 可靠地运行 以及保障机房工作人员有良好的工 作环境 做到技术先进 经济合理 安全适用 确保质量 符合国家有关的机房设计规定 机 房的规划与设计如下 1 防静电 静电不仅会对计算机运行出现随机故障 而且还会导致某些元器件 双级性电路等的击穿 和毁坏 此外 还会影响操作人员和维护人员的正常的工作和身心健康 2 防火 防盗 计算机房在设计时 重点要考虑机房的消防灭火设计 设计时可以根据消防防火级别来确 定机房的设计方案 计算机房火灾报警要求在一楼设有值班室或监控点 机房里应注意防盗设 施的安装 具体地可采用防盗门 防盗锁 警卫 自动报警系统等等 3 防雷 由于机房通信和供电电缆多从室外引入机房 易遭受雷电的侵袭 机房的建筑防雷设计尤 其重要 计算机通信电缆的芯线 电话线均应加装避雷器 4 保湿 保温 机房里的湿度应保持在 20 80 为宜 机房的温度应保持在 15 35 摄氏度 安装空调来 调节温度是解决此问题最好的办法 3 2 布线系统的规划与设计布线系统的规划与设计 有了好的机房 网络设备就有了好的 家 组建的 IT 网络应当通过布线系统将机房和办 公地点互联起来 确保网络的正常运行 如果企业的接入点较多 我们可以采取接入层 汇聚 层 交换层三个网络层次的设计 在此基础上进行布线系统 对于接入层来说 选择一个合理的接入设备 是最关键的 而且我们要根据接入设备选择 合适的带宽 汇聚层是整个局域网的核心部分 汇聚层网络设备一般支持网络管理功能 方便 我们的管理和维护 方便以后我们的网络升级和改造 交换层是整个网络中的中间层 连接着 汇聚层和网络节点 是决定我们整体网络传输质量的很重要的一个环节 随着百兆网络设备的 普及 我们交换层的网络设备 肯定首选百兆 布线是连接网络接入层 汇聚层 交换层和网络节点的重要环节 在布线时 最好使用专 门的通道 而且不要与电源线 空调线等具有辐射的线路混合布线 接入层与汇聚层之间的双绞线 可以选择超五类屏蔽双绞线 以使网络性能得到最大的提升 汇聚层与交换层之间的双绞线 由于是网络数据传输量最大的一个层次 同样采用超五类屏蔽 双绞线 交换层与网络节点之间 我们就可以采用普通的超五类非屏蔽双绞线 网络设备的放置 最好放在节点的中央位置 这样做 不是为了节约综合布线的成本 而 是为了提高网络的整体性能 提高网络传输质量 由于双绞线的传输距离是 100 米 在 95 米才 能获得最佳的网络传输质量 在做网络布线时 最好能够设计一个设备间 放置网络设备 3 3 网络布局的规划与设计网络布局的规划与设计 目前的网络设备大都采用机架式的结构 如交换机 路由器 硬件防火墙等 这些设备之 所以有这样一种结构类型 是因为它们都按国际机柜标准进行设计 这样大家的平面尺寸就基 郑州铁路职业技术学院毕业论文 15 本统一 可把一起安装在一个大型的立式标准机柜中 这样做的好处非常明显 一方面可以使 设备占用最小的空间 另一方面则便于与其它网络设备的连接和管理 同时机房内也会显得整 洁 美观 我们经常接触到的放置机房里有网络机柜 服务器机柜以及综合布线柜 从这三个机柜的名字 就可以看出它们各自所起的作用 一般来说 网络设备如交换机 路由器 防火墙 加密机等 以及网络通信设备如光端机 调制解调器等是放置在网络机柜的 服务器机柜的宽度为 19 英寸 高度以 U 为单位 1U 1 75 英寸 44 45 毫米 通常有 1U 2U 3U 4U 几种标准的服务器 机 柜的尺寸也是采用通用的工业标准 通常从 22U 到 42U 不等 机柜内按 U 的高度有可拆卸的滑 动拖架 用户可以根据自己服务器的标高灵活调节高度 以存放服务器 集线器 磁盘阵列柜 等设备 服务器摆放好后 它的所有 I O 线全部从机柜的后方引出 机架服务器的所有接口也 在后方 统一安置在机柜的线槽中 一般贴有标号 便于管理 综合布线柜一般配有前后可移动的安装立柱 自由设定安装空间 可按需要配置隔板 风 扇 电源插座等附件 配线架通常安装在机柜里 配线架的一面是 RJ45 口 并标有编号 另一 面是跳线接口 上面也标有编号 这些编号和上面的 RJ45 口的编号是一一对应的 每一组跳线 都标识有棕 蓝 橙 绿的颜色 双绞线的色线要和这些跳线一一对应 这样做不容易接错 配线架不仅仅是便于管理线对 而且可以防止串扰 增加线对的隔离空间 提供 360 度的线对 隔离 在机房中 必须放置交换机 功能服务器群和网络打印设备 以及局域网络连接 Internet 所需 的各种设备 如路由器 防火墙以及网管工作站等 因此机房的网络布局一般至少有三个机柜 综合布线柜和网络机柜应当紧连在一起 便于调线操作 接下来是服务器机柜 将网络设备和 布线系统进行合理的布局 在网络布局中 每个机柜最好留点空间 便于以后网络设备 服务器设备的扩充 综合布 线柜里有可能除了网络布线外 还有能布置电话线 所以要在机柜里留下一定空间 从机柜内部线缆附设的角度看 机柜配置密度更高 容纳的 IT 设备更多 大量采用冗余配件 如冗余电源 存储阵列等 机柜内设备配置频繁变换 数据线和电缆随时增减 所以 机柜 必须提供充足的线缆通道 能从机柜顶部 底部进出线缆 在机柜内部 线缆的敷设必须方便 有序 与设备的线缆接口靠近 以缩短布线距离 减少线缆的空间占用 保证设备安装 调整 维护过程中 不受到布线的干扰 并保证散热气流不会受到线缆的阻挡 同时 在故障情况下 能对设备布线进行快速定位 供电系统和制冷系统是计算机机房的两个重要部分 在供电系统中 一般采用在线的 UPS 供电方式 蓄电池实际可供使用的容量与蓄电池的放电电流大小 蓄电池的环境工作温度 贮 存时间的长短以及负载的性质 电阻性 电感性 电容性 密切相关 制冷系统 空调 涉及 到机房的整个物理环境 包括空调 地板 机柜及房间布局等诸多方面 因此 UPS 和空调我们 也要考虑好将它们放置在一个合适的位置 如果机房空间较大 可以将 UPS 和空调都放在机房 里 如果空间较小 可以把 UPS 包括蓄电池 放在配电房里 需要注意的是如果大楼里安装有 中央空调 的话 机房里也必须安装独立的空调 因为中央空调不可能 24 小时都开着 上班 的时间可以利用中央空调 下班和星期节假日的时候 如果服务器 网络设备需要正常运行的 话 则必须要开机房里的独立空调 机柜的扩展性表现在机柜内设备密度的扩展和机柜数量的 扩展 因此网络布局时必须将机柜的配风能力 通常称为散热能力 以及配电能力考虑在内 一方面 机柜内的设备需要温度 湿度适宜并且风量充足的冷风 冷空气 这些冷风被机柜内 的 IT 设备吸入 从而为设备内的部件 尤其是 CPU 降温 当机柜内设备增加到一定数量时 由地板出风口送出的冷风风量将不能满足所有设备的需求 从而形成部分 IT 设备配风不足而过 热 解决机柜内设备密度扩展时遇到的这种局部热点问题可以采用调配 IT 设备位置的方式来解决 例如 把热负荷最大的设备安装在机柜中部位置 以便获得最大的配风风量 另外的解决方法 郑州铁路职业技术学院毕业论文 16 是 在机柜的上部或下部位置安装轴向水平的强排风扇 增强上部或下部的吸入能力 即减小 IT 设备的入口静压 从而增加配风风量 另一方面 机柜内的设备需要供电以及与机柜外部进行通信 当机柜内的 IT 设备数量增加 时 这些线缆 连接端子同时成倍地增加 从而对机架式电源排插的容量 插口数量都提出了 扩展要求 机柜内的布线空间也是需要提前考虑的 因为当机柜内的功率密度提高时 设备后 部的线缆将明显增加风阻 所以必须考虑线缆管理及走线空间的问题 郑州铁路职业技术学院毕业论文 17 第四章第四章 局域网的安全控制与病毒防治局域网的安全控制与病毒防治 4 1 局域网安全威胁分析局域网安全威胁分析 局域网由于通过交换机和服务器连接网内每一台电脑 因此局域网内信息的传输速率比较 高 同时局域网采用的技术比较简单 安全措施较少 同样也给病毒传播提供了有效的通道和 数据信息的安全埋下了隐患 局域网的网络安全威胁通常有以下几类 1 欺骗性的软件使数据安全性降低 由于局域网很大的一部分用处是资源共享 而正是由于共享资源的 数据开放性 导致数 据信息容易被篡改和删除 数据安全性较低 例如 网络钓鱼攻击 钓鱼工具是通过大量发送 声称来自于一些知名机构的欺骗性垃圾邮件 意图引诱收信人给出敏感信息 如用户名 口令 账号 ID ATM PIN 码或信用卡详细信息等的一种攻击方式 最常用的手法是冒充一些真正的网 站来骗取用户的敏感的数据 以往此类攻击的冒名的多是大型或著名的网站 但由于大型网站 反应比较迅速 而且所提供的安全功能不断增强 网络钓鱼已越来越多地把目光对准了较小的 网站 同时由于用户缺乏数据备份等数据安全方面的知识和手段 因此会造成经常性的信息丢 失等现象发生 2 服务器区域没有进行独立防护 局域网内计算机的数据快速 便捷的传递 造就了病毒感染的直接性和快速性 如果局域 网中服务器区域不进行独立保护 其中一台电脑感染病毒 并且通过服务器进行信息传递 就 会感染服务器 这样局域网中任何一台通过服务器信息传递的电脑 就有可能会感染病毒 虽 然在网络出口有防火墙阻断对外来攻击 但无法抵挡来自局域网内部的攻击 3 计算机病毒及恶意代码的威胁 由于网络用户不及时安装防病毒软件和操作系统补丁 或未及时更新防病毒软件的病毒库 而造成计算机病毒的入侵 许多网络