中小公司局域网的设计、实施及管理论文.doc

硅湖职业技术学院毕业论文（设计）XX职业技术学院毕业论文（设计）题目 中小公司局域网的设计、实施及管理年级 07级 .专业 计算机网络技术 姓名 .学号 .指导老师 2010 年 4 月 30 日目 录1.摘要 32.前言 43.局域网设计方案 5 3.1整体布局设计 53.11）公司组织结构3.12）信息点分布 3.13）管线设计4.14）配线管理系统3.2网络系统设计 7 3.21）网络设备的选择3.22）网络地址的分配3.23）网络拓扑结构设计3.3系统设计 93.31）域控制器设计3.32）域用户账户及用户组规划3.4安全策略设计 113.5文件服务器设计 113.51）文件服务器配置设置3.52）文件服务器共享文件权限设置3.6打印系统设计 133.61）打印服务器配置设计3.62）打印权限设置3.7代理服务器设计 153.8客户端配置设计 154.工程实施 174.1工程实施概况 174.2布线系统实施 174.3系统具体实施 175.网络管理185.1网络管理功能 185.2简单网络管理协议 205.3常用的网络管理工具 216.总结227.主要参考文献或网站资料22中小公司局域网的设计、实施及管理作者：祁宝松摘要：随着计算机技术、信息技术的高速发展，网络已被各个单位作为自己获取资源、共享资源的最好工具，局域网作为一种计算机网络，在网络协议上基本符合OSI模型，该网络采用TCP/IP技术，实现数据的传输和处理功能。本文针对企业局域网在组建和管理中的各种实际问题，从原理和实际应用上进行分析，特别是网络安全方面，列出了一些可能出现的安全因素，并给出解决办法，对将要组建或正在建设局域网的企业具有一定的指导意义。关键字：计算机 局域网 维护The enterprise network sets up the paperAuthor：Qi BaosongAbstract：With the high development of computer and information technology, the network has became the best tool for many organizations to get resources and share resources.Key words: computer network maintenance前言在计算机进入网络的时代，把各自独立的计算机通过通信介质互相连接，并按照一定的协议相互访问，就能实现信息和资源的共享。局域网作为一种计算机网络，在网络协议上基本符合OSI模型，该网络采用TCP/IP技术，实现数据的传输和处理功能。由于局域网短距离、高速率、低延时、低出错等特点，被众多企事业应用。如何根抓实际利用现有的资源，提高维护下作的效率，是每个网络维护管理工作者的职责，科学灵活的运用局域网的理论和技术来规划、设计、管理局域网是网管人员需要研究的内容。中小公司局域网的设计、实施及管理1局域网设计方案一、整体布局设计1）公司组织结构 总经理财务部人事部市场部技术部根据“技术规范”的要求，公司地处大厦5楼，楼层面积越480平方米，基本成长方形，长24M，宽20M。从公司现有的组织结果入手，及房屋实际的够找，在办公区南侧打隔墙，分隔出机房、会议室、经理办公室、财务室、大厅。 办公区结果图1如下： 在办公区的南侧打隔断，分别隔离出机房、会议室、经理办公室和财务室，其他空间作为大厅以及财务办公室中采用办公隔断分割出每个员工的办公室。2）信息点分布 信息点共37个，详细分布如下表：地点大厅机房会议室经理室财务室信息点数2622343）管线设计 根据已有的主干线槽及信息点的分布情况，设计管线如下图:红色槽绿色槽图中红色线槽为土建施工中已经设计安装好的地下暗藏金属线槽。所有线缆集中到机房的标准机柜中，安装到配线架上。大厅以及财务室内的信息点的线缆均从线槽上相应位置设置的分线盒直接进入办公隔断的踢脚板中，通过金属软管到达信息点设计位置。大厅东侧的DT25、DT26，机房中的JF01、JF02，会议室中的HY01、HY02以及经理办公室中的JL01、LL02、JL03的线缆由线槽引出25mm的镀锌铁管（绿色示意），在石膏板隔断墙内行走到信息点位置。该方案符合TIA/EIA 568 商用建筑物电信布线标准！4）配线管理系统 在标准网络机柜中设两个24口配线架。具体信息点位置安排如图所示：第一个配线架管理大厅中的DT01-DT24这24个信息点第二个配线架管理大厅中其余的DT25、DT26和分隔出来的办公室中的信息点大厦提供的Internet接入线缆已通过吊顶中的线槽送入到机房并进入线槽到达机柜位置，将其连接到第二个配线架的24号端口（图中ISP口）。所有模块和配线架都使用568B的线序接线缆。通过短跳线在配线架和交换机设备端口间跳接，将相应信息点的设备连接到相应的交换机端口，同时可以进行灵活的管理。所有跳线的RJ-45水晶头的线序都采用568B标准。二、网络系统设计1）网络设备的选择由于网络设备是整个系统的基础，因此，应该采用主流的网络产品，以保证整个系统的稳定性和持续性。在该项目中，我公司选择美国Cisco公司的网络设备，Cisco公司是全球领先的网络设备提供商，拥有世界领先的技术水平和齐全的产品线，能够提供完善的售前、售后服务路由器：采用2600系列路由器中的Cisco2611xm这款产品，该款能满足目前系统的需求，以及性能指标，也能方便以后的升级和扩展交换机：采用Cisco Catalyst 2950-24这款产品，该款可满足系统的各项应用需求。2）网络地址的分配 52/30的地址给路由器外端口和大厦路由器端口使用 划分子网/25给本项目其他设备使用 其他IP地址留做备用3）网络拓扑结构设计整个网络的拓扑图如下：三、系统设计1）域控制器设计根据需要，采用一台PC机作为整个系统的域控制器。主要配置如 CPU：P4-2.8G 内存：1GB 硬盘：80GB 网卡：Realtek RTL8139 Family PCI Fast Ethernet NIC 操作系统：Windows Server 2003 主要服务：目录服务、DNS服务、代理服务 文件系统：NTFS 域：bjft.local 计算机名：DC IP地址：1/25 网关： 放置位置：机房 网络连接：直接连交换机2号端口根据网络规模及集中管理和结构简单的原则，整个网络系统规划为单域结构，在域内按照部门名称分别建立组织单元（OU），用于存储和管理各部门的用户、共享文件夹及打印机。整个系统结构与公司管理结构相匹配并可以实现资源的层次管理。最上层的管理单元问域，域名为bjft.local，下层的管理单元是组织单位，各部门的组织单位命名按部门名称的汉语拼音全拼设置。根据网络结构的变化和未来公司结构的扩展，此结构可以方便地增加和减少管理单元，充分满足了可扩展性和可伸缩性。域规划图：BJingli Shichang renshicaiwuJishu 2）用户账户及用户组规划根据员工的组织结构，为每名员工建立唯一的域用户账户，并将员工账户建立在员工所在的组织单位中。A公司全部用户组织结构如图：Bjft.local经理财务人事技术经理财务部员工组财务一财务二人事部员工组人事部经理技术部员工组技术部经理财务部经理市场一市场二技术一技术二技术三技术四技术五市场三市场四市场B 全部员工采用统一的命名规范：登陆名为“中文姓氏汉语拼音全拼.中文名字汉语拼音全拼”用户名为员工的中文姓名用户描述为该员工的职务全部员工账户密码设置采用初始密码”bjft1234#”，并设置策略要求用户在第一次登录时更改密码示例：财务部经理张三登陆名：zhang.san描述：财务部经理初始密码：bjft1234#建立位置：caiwu组织单位C . 为了实现权限管理的简单化，整个网络系统采用用户组完成权限的分配，每个部门设置一个全局组并建立在该部门的组织单位中，该组中包含该部门所有员工的用户账户，除总经理和部门经理外，权限的分配均以各部门的全局组为对象，总经理及部门经理的权限单独分配。所有用户组采用统一的命名规范，组名为部门汉语拼音的简写。示例：财务部组名：CW组的成员：财务部经理、财务一、财务二建立位置：caiwu组织单位 四、安全策略整个公司采用统一的安全策略，安全策略在域级别设置，将会对公司域中所有的用户和计算机生效。根据公司需要，在域安全策略中设置如下的策略1)密码策略启用密码必须符合复杂性要求密码长度最小值为7密码最长存留期为30天帐户锁定策略帐户锁定阀值为5次无效登录2)审核策略启用审核登录事件起用审核对象访问五、文件服务器设计1) 文件服务器配置设置通过设置专用的文件服务器完成公司文档的集中管理，在文件服务器上为部门及用户建立专用的文件夹，分别存储公共文档及员工个人工作文档服务器采用大容量磁盘和Windows系统中特有的NTFS文件系统，实现文件级的安全员工可以通过映射网络驱动器访问服务器上的文档，就像在本地访问资源一样快杰在服务器上使用NTFS文件系统中提供的磁盘配额功能保障存储空间得到有效合理的利用采用一台PC机做为文件服务器。主要配置如下：CPU：P4-2.8G内存：1GB硬盘：120GB网卡：Realtek RTL8139 Family PCI Fast Ethernet NIC操作系统：Windows Server 2003 主要服务：磁盘配额文件系统：NTFS域：bjft.local计算机名：FilesrvIP地址：2/25网关：放置位置：机房网络连接：直接连交换机3号端口 系统配置为：文件服务器硬盘划分为2个区，分别为C盘和D盘，C盘为主分区，安装操作系统，容量为10GB。D盘为扩展分区上建立的逻辑驱动器，用于存储共享文档，容量为110GB。2个分区均采用NTFS文件系统。在D盘上建立文件夹share共享，共享名为share。在share文件夹下根据部门分别建立文件夹并以部门名称命名。在每个部门文件夹根据员工姓名分别为每个员工建立文件夹。文件服务器共享文件夹结构图为：share经理人事部财务部总经理技术部市场部人事经理人事一人事二人事三财务经理财务一财务二技术经理技术一技术二技术三技术四市场经理市场一市场二市场三市场四注：图中部门内员工文件夹在实际应用中以员工中文姓名命名2) 打印权限设置文件服务器利用共享权限及NTFS权限的组合实现文件级安全 总经理对公司所有文档拥有全部权限 部门经理对本部门拥有全部权限 员工只对自己的文档拥有全部权限具体权限设置如图:文件夹名共享权限NTFS权限shareEveryone组完全控制总经理完全控制、部门组只读经理无部门组完全拒绝人事部无部门经理完全控制、其他部门组完全拒绝财务部无部门经理完全控制、其他部门组完全拒绝技术部无部门经理完全控制、其他部门组完全拒绝市场部无部门经理完全控制、其他部门组完全拒绝员工个人文件夹无员工自己完全控制，其他员工（除本部门经理和总经理）完全拒绝文件服务器采用Windows系统提供的磁盘配额功能控制员工文档的存储量，在D盘上激活磁盘配额功能，限制如下： 每名员工总的存储量不能超过1GB，警告级别为800MB，超过配额拒绝写入 总经理不限制配额在域控制器上发布共享文件夹share。保障所有员工能通过目录服务迅速搜索和查询到该公司共享资源六、打印系统利用windows系统提供的打印共享功能，公司全部系统实现网络打印。打印机选择著名厂商HP公司的激光打印机和喷墨打印机产品，所有打印机速度不低于144 PPM，可以实现高速的黑白和彩色打印。全部打印机直接接入网络，培植打印服务器支持全公司员工的打印需求，同时利用打印权限的设置保障打印机的有效合理使用。所有打印机共享后发布在目录服务中，保证用户利用打印机的各种属性可以迅速在网络中查询到所需要的打印机1) 打印服务器配置设计采用一台PC Server机作为打印服务器。主要配置如下：CPU：P4-2.8G内存：512MB硬盘：40GB网卡：Realtek RTL8139 Family PCI Fast Ethernet NIC操作系统：Windows Server 2003 主要服务：磁盘配额文件系统：NTFS域：bjft.local计算机名：printingsrvIP地址：3/25网关：放置位置：机房网络连接：直接连交换机4号端口打印设备如表所示：打印机型号打印机名共享名IP地址信息点位置LaserJet 1200HP Laser Jet 5000Printer-JL1/25JL03经理办公室Business InkJet 2250HP Business InkJet 2250Printer-CW2/25CW03财务室Laser Jet 5000Laser Jet 5000Printer-DT013/25DT25大厅Laser Jet 5000Laser Jet 5000Printer-DT024/25DT26大厅打印服务配置公司所有打印机直接接入网络，每台打印机具有统一的命名和网络地址。打印机名为默认的打印机名称，标识出打印机的厂商、类型和型号，打印服务器放置在公司机房，在打印服务器上安装4台打印机的驱动程序，并将4台打印机共享，共享名为Printer-位置，例如Printer-JL、Printer-DT01。所有员工的计算机作为客户机通过安装网络打印机添加相应的打印机完成打印。在所有客户机的打印机上设置打印优先级，总经理的优先级均为90，部门经理优先级为50，员工优先级为12) 打印权限设置管理员和总经理能够管理所有4台打印机。其他用户均没有管理权限财务部门员工默认具有Printer-CW的打印权限，财务部经理拥有打印权限的同时，还拥有管理文档的权限大厅北侧为技术开发部员工隔断，员工具有Printer-DT01的打印权限，技术开发部门经理拥有管理文档的权限；大厅南侧为人事总务部和市场开发部的办公隔断，两部门员工具有Printer-DT02的打印权限，两部门经理具有管理文档的权限。具体如表：七、代理服务器根据需求，整个系统采用代理服务器软件实现Internet的接入，根据公司员工人数及网络设备的数量，代理服务器软件采用共享软件CCProxy，采用该软件不仅可以实现代理上网、网站过滤、上网监控、日志记录等功能，同时最大程度的降低了成本。代理服务器软件直接安装在域控制器上，代理的协议和端口均按默认设置配置。八、客户端配置设计1）客户机主要配置如下：CPU：P4-2.8G内存：512MB硬盘：40GB网卡：Realtek RTL8139 Family PCI Fast Ethernet NIC操作系统：Windows 2003 Professional 文件系统：FAT32/NTFS域：bjft.local计算机名：Filesrv放置位置：总经理办公室、财务部、大厅网络连接：直接连交换机相应端口2）客户端配置所有客户端计算机采用相同的主流的Windows 2000 Professional 操作系统，所在信息点位置、计算机名和IP地址的分配如表：客户端配置信息表使用信息点计算机名IP地址经理JL01bjft-jl011/25财务经理CW01bjft-cw011/25财务一CW02bjft-cw022/25财务二CW04bjft-cw043/25人事经理DT22bjft-dt221/25人事一DT20bjft-dt202/25人事二DT18bjft-dt183/25人事三DT16bjft-dt164/25人事四DT14bjft-dt145/25市场经理DT23bjft-dt231/25市场一DT21bjft-dt212/25市场二DT19bjft-dt193/25市场三DT17bjft-dt174/25市场四DT15bjft-dt155/25市场五DT13bjft-dt136/25技术经理DT01bjft-dt011/25技术一DT02bjft-dt022/25技术二DT03bjft-dt033/25技术三DT04bjft-dt044/25技术四DT05bjft-dt055/25技术五DT06bjft-dt066/25(1)客户机硬件配置为原有设备中有5台配有10/100M全双工自适应网络接口卡的台式机分配给技术开发部员工使用5台配有10M半双工网络接口卡的台式机分配给市场销售部员工使用2台带有10/100全双工自适应网络接口卡的笔记本分配给技术部经理和市场部经理使用其余办公室单位均采购新的计算机，所有计算机应该培植10/100M全双工自适应网络接口卡(2)客户机的详细配置为：所有员工使用的计算机配置各种客户端角色，包括域客户机、文件服务客户机|打印服务客户机代理服务客户。所有客户端安装好操作系统后加入域，相应的计算机账户放置在对应部门的组织单位中，然后添加用户使用的打印机并设置相应的优先级。各员工以自己本部门的打印机为默认打印机。在每台客户机上为员工映射网络驱动器，将共享文件夹filesvrshare 映射为本地驱动器。在客户端配置Internet选项，设置代理服务器的地址及端口信息，使每台客户机通过代理服务器接入Internet。(3)完成所有的配置。客户机属于域的成员，可以查询和使用域中的网络资源，可以访问和使用共享文件夹及打印机并能通过代理服务器上网2工程实施一、工程实施概述依据本项目的特点，本公司将调集本公司内最优秀的技术力量组成网络工程综合布线项目组，从组织上保证此项目从施工、安装、调试、试运行到维护保障、技术支持、技术培训、售后服务等各个环节有强大的技术力量进行支持并落实到人。项目组内责任明确，分工合作，协调配合。该项目组将保持技术队伍的稳定，直到该项目维护期结束后才撤消。工程实施过程主要分两个阶段：1) 随装修一起进行的布线系统实施过程2) 系统具体实施过程二、布线系统实施布线系统实施的前期部分因为和装修有很大关联，所有要根据装修工程的进度进行相应进行。在主干线槽以及分支铁管施工完成后，可以进行放线部分工作，由于系统结构比较简单，要求在一天内完成，根据现场实际情况，对暴露在线槽外的线缆进行相应的保护。完成后，相应的土建施工可以继续进行。墙面插座的安装和强电墙面插座同步进行，因为数量少，要求在2个小时内完成。办公隔断内的布线施工以及插座模块的安装与家具安装同步进行。在办公隔断安装顺利的情况下，在一天内完成。网络机柜内线缆的整理和配线架的安装在装修完成后进行，由于信息点数量不大，要求在一天内完成。配线架安装在机柜上部。所有线缆上应该按照设计做好标记，插座面板和配线架上按照设计标记信息点编号，以方便日后的管理维护。三、系统整体实施装修工作完成，家具到位后开始系统的实施工作。系统实施分两部分同时进行。1) 网络和服务器的安装：将交换机和路由器安装到标准机柜中。由于重量比较大，为了不提高机柜的重心，3台服务器依次安装在机柜下部，配线架安装在机柜上部，路由器和交换机安装在配线架和服务器之间。3台服务器的显示器和鼠标键盘用延长线连接到机房办公桌上，然后通过短跳线连接到交换机相应端口。首先对路由器和交换机进行配置调试，然后安装并配置好4台打印机的网络接口卡，连接到系统中。安装服务器的操作系统，根据系统设计方案配置服务器。2) 客户端的安装：按照设计方案安装配置所有的客户端计算机，连接到系统中本项目组计划有由项目经理1名、计划与质量管理经理1名、项目协调经理1名、项目施工经理1名、安装调试工程师和施工技术人员若干名组成。以保证整个项目的顺利实施。3网络管理(1)网络管理功能网络管理系统应当能对网络设备及其应用加以规划、监控和管理，并跟踪、记录、分析网络的异常情况，使网管人员能即时处理问题。国际标准化组织(ISO)在ISO/IEC 7498-4文档中定义了网络管理的5大功能：配置管理、故障管理、性能管理、安全管理和计费管理，并被广泛接受。1. 配置管理 l 设置开发系统中有关路由操作的参数。l 被管对象和被管对象组名字的管理。l 初始化或关闭被管对象。l 根据需要收集系统当前状态的有关信息。l 获取系统最重要变化的信息。l 更改系统的配置。2. 故障管理 故障管理指的是管理功能中的监测设备故障以及与故障设备的监测、恢复或故障排除等措施有关的网络管理功能，其目的是保证网络能够提供可靠的服务。 故障管理是网络管理中最基本的功能之一。用户都希望有一个可靠的计算机网络。当网络中某个网元出现故障时，网络管理系统必须迅速查找到故障并能及时报告网络管理员，同时给予排除。不过，通常不大可能迅速隔离某个故障，因为网络故障的产生原因往往相当复杂，特别是由多个网络共同引起故障的时候。在这种情况下，首先将网络进行修复，然后再分析网络故障的原因。分析故障原因对于防止类似故障的再次发生相当重要。网络故障管理包括故障检测、隔离和纠正3个方面，网络故障管理主要有以下典型功能： l 维护并检查错误日志。l 接受错误检测报告并作出响应。l 跟踪、辨认错误。l 执行诊断测试。l 纠正错误。对网络故障的检测，是基于对网络组成部件状态的检测，不严重的简单故障通常被记录在错误日志中，并不作特别处理。而严重的故障则需要通过网络管理器，即所谓的“报警”。网络管理器应当根据有关信息对报警进行处理并排除故障。当故障比较复杂时，网络管理器应能执行一些诊断测试来辨别故障原因。 3. 性能管理 性能管理用于对系统运行和通信效率等系统性能进行评价，包括从被管理设备中收集与网络性能有关的数据，分析和统计历史数据，建立性能分析模型，预测网络性能的长期趋势，并根据分析和预测结果对网络拓扑结构和参数进行调整。性能管理保证了网络资源的最优化利用。 性能管理所涉及到的参数通常包括网络负载、吞吐率和网络响应时间，其过程通常包括性能监视、性能控制和性能分析。其分析的结果可能会触发某个诊断测试过程或重新配置网络以维持网络的性能。 4. 安全管理 安全管理涉及的问题包括保证网络管理工作可靠进行的安全问题，保护网络用户个人隐私和保护网络管理对象的问题。 安全管理一直是网络系统的薄弱环节之一，而用户对网络安全的要求往往又相当高，因此，网络安全管理就显得非常重要。网络中主要存在以下几大安全问题：l 网络数据的私有性(保护网络数据不被侵入者非法获取)。l 授权(防止侵入者在网络上发送错误信息)。l 访问控制(控制对网络资源的访问)。l 相应地，网络安全管理包括对授权机制、访问机制、加密和加密关键字的管理，另外还要维护和检查安全日志，包括以下几个方面：l 创建、删除、控制安全服务和机制。l 与安全相关信息的分布。l 与安全相关事件的报告。(2)简单网络管理协议网络管理系统的概念模型主要由管理者、管理代理和被管对象等实体及其相互作用组成，根据这些实体的功能和相互作用方式的不同，主要可分为基于SNMP的网络管理系统和基于CMIP的网络管理系统两种。l 基于SNMP的网络管理系统是由IETF提出，并广泛应用于Internet，它的主要标准由一系列RFC组成，其特点是面向功能、集中控制、协议简单和支持广泛。这是目前应用最广泛的一种网络管理系统。l 基于CMIP的网络管理系统由ISO提出并被ITU-T的TMN所采用。通用管理信息协议(Common Management Information Proto