中小型企业局域网的安全设计方案

1、广州现代信息工程职业技术学院 毕业设计(论文 课题名称:中小型企业局域网的安全设计方案学号 0901231151 姓名 赵健溢 性别 男 专业 计算机网络技术 年级、班级 2009网络技术班 指导教师 肖东升 职称 高级工程师2012年 4月 13日摘 要本设计(论文主要是对现在中小型的企业局域网,办公网络进行规划和设计。目 前国内经济发展迅速,改革开放以来私企和一些中小型的私人企业、股份企业如雨后春 笋。尤其在 21世纪的十年里,伴随这激烈的竞争各企业不断改进管理模式,加大了在 企业信息化和办公自动化方面的投入,使得信息网络产业发展迅速。中小企业网络化能 够促进产业的发展,加大工作效率。关键

2、词:网络规划设计 综合布线 网络设备 WEB服务器 DHCP服务器目 录前言1. 绪论 ··········································

3、3;··················6 1.1项目背景 ······························

4、·······················61.2中小企业网络概述 ·························

5、;···················62. 需求分析 ·····························&#

6、183;···························6 2.1 企业描述 ····················

7、83;·······························7 2.2 网络概况 ················

8、3;···································8 2.3 公司需求 ·············

9、;·······································8 2.4 解决方案 ·········

10、···········································92.5 可行性分析 ·····&

11、#183;············································93. 网络逻辑方案 ···&#

12、183;···············································10 3.1 布线逻辑方案

13、···············································103.2 网络逻辑方案 ·

14、;··············································114. 网络详细设计方案 ·

15、83;·············································12 4.1 网络配置方案 ··&

16、#183;············································124.2 服务器配置方案 ···

17、;·········································195. 项目测试与维护 ······

18、3;··········································20 总结 ······

19、3;·················································

20、3;········21 致谢 ········································

21、3;························22参考文献 ························

22、83;···································23前 言随着现代网络通信技术的应用和发展, 互联网迅速发展起来, 世界逐步进入到网络化、 共享化,我国已经进入到信息化的新世纪。在整个互联网体系巾,局域网是其巾最重要 的部

23、分, 公司网、企业网、 银行金融机构网、政府、学校、社区网都属于局域网的范畴。 局域网实现了信息的传输和共享,为用户方便访问互联网、提升业务效率和效益提供了 有效途径。(1建立企业局域网,可以同分利用企业现有的硬件资源。节约公司的开支,实现 无纸化办公。提高企业员工的工作效率,由于局域网企业内部的资源可以得到共享,避 免了不必要的重复工作也可以提高时间的利用率。(2局域网建成后可以节约企业在使用网络资源方面节约更多的开支,便于公司员 工查阅和接受网络信息,也可以简化公司对计算机的日常维护和管理,节约维护成本。 (3建立局域网提高公司在办公自动化水平和企业内部应用电子商务的能力,逐步 实现业务级

24、网络应用。更有利于企业获得更快、更准确的市场信息,为公司决策提供更 科学的依据等。(4建立局域网也可以是外界能更快更好的认识本企业,加强企业知名度。本研究以在中小企业为背景,多层面探索这些企业在网络规设计碰到的问题和解决方 法,供有关部门作为研究、管理决策、规划的参考。1 绪论1.1 项目背景中小企业网络主要是企业内部网络建设, 包括企业内部计算机节点的分布与整个网 络的物理线路连接合理布局,以及门户网站、电子商务平台的搭建。进入 21世纪后我 国的中小企业大都进入信息化和办公自动化或者半信息半自动化。 网络能够提高整个企 业的工作效率,加大市场宣传面,增加业务业务量。因此中小企业网络将在 2

25、0年内得 到高速的发展。公司追求形象,所以在网络设计和布设方面要求特别高,要求绝对的合理化。另外 合理的网络布局使我们企业办公场所环境优良, 企业的网络化使得公司工作效率普遍较 高, WEB 服务器和办公服务器的架设,使得公司对外宣传面扩大,提高了效益。同时网 络化办公也使员工能够在网络上找到疑问的答案。 网络使得公司各方面都得到了很快的 发展。中小企业的网络规划、设计和维护越来越需要标准化和规范化。1.2 中小企业网络概述中小企业网络主要是企业内部网络建设,包括企业内部计算机节点的分布与整个网络 的物理线路连接合理布局,以及门户网站、电子商务平台的搭建。进入 21世纪后我国 的中小企业大都进

26、入信息化和办公自动化或者半信息半自动化。 网络能够提高整个企业 的工作效率,加大市场宣传面,增加业务业务量。因此中小企业网络将在 20年内得到 高速的发展。2 需求分析2.1 企业描述:图 2 1 职能描述该公司新购一个办公楼层,需要在目前简易装修的基础上设计企业网络,并且与下 面的再次装修基本同步进行,外网接入电信光纤。董事长单独 1间办公室;三个总监共 3间办公室;技术部 1间办公室(技术主管在技术部办公 ;业务部 1间办公室(业务主管在业务部办公 ;行政部 1间办公室(行政主管在行政部办公 ;公司内设一个机房。一个信息技术操作室 2.2网络概况2.3 公司需求节点需求: 服务器需求:We

27、b 服务器、数据库服务器、 dhcp 、办公、存储网络需求:(1 WEB 需要至少 30M 的流量(上传下载速率:30*128kb,约为 3M/S 。(2 数据库服务器同上。(3 办公服务器(办公系统 ,内网使用。(4 DHCP 内网使用和邮件服务器。(5 存储服务器。(6 董事长办公室、总监办公室各独享 3M 。(7 布线必须不影响公司整个装修的美观。2.4 解决方案综合布线需求主要是价廉、合理、美观、标准。因此进行夹墙内、地板下、天花 板上布线。网络设备主要放在机房和大厅个办公区域头部柜子内。机房内使用一个机柜(33U 、 1.6M ,防尘地板,和空调。 Web 和数据库服务器必须 7*2

28、4不间断 , 使用 linux 操作系统架设 web 和 ftp 。 办公服务器和主要的网络设备放置机房机柜。 办公服务器采用 windows 2003操 作系统。主要为 ftp 和办公系统。公司办公网上网使用 CICSO 路由器实现 dhcp ,调试室使用静态公网 ip 地址。2.5 可行性分析通过对该企业写字楼的现场调查和需求分析后,对其可行性进行分析。技术上可行:该系统所需硬件设备,市场上销售且价格较低,操作系统采用 linux 、 Windows 系列操作系统, 数据库采用 SQL , 这些软件已被大量应用, 技术上都比较成熟。 因此在技术上是可行的。经济上可行:网络企业主要的是实现办

29、公自动化和信息化。网络是网络企业发展的 命脉和根本,没有网络该类型企业无法发展。因此,这项投入是企业必须的。因此经济 上没有问题。管理上可行:整个公司的办公资料是通过办公服务器集中存储处理的,整个网络设 备都是集中的机房并且具有专人进行维护。 因此可以达到了集中管理。 管理上是可行的。 综上所述,设计建设该网络项目在技术上、经济上、管理上都是可行的。3 网络逻辑方案3.1 布线方案布线主要采取外线进入公司机房然后星形对外布线,如图 3 1所示: 图 3 1 布线逻辑方案公司是光纤接入,然后通过自己的路由器接到交换机,然后接分交换机3.2 网络逻辑方案 4. 网络配置方案为了降低成本,公司采用路

30、由器实现 dhcp 功能。IP 地址分配:(1概述:(2 PAT 地址转换配置如下:由于本操作主要是在公司路由器上,所以以一台路由器模拟电信接入的 INTERNET , 另外一台 R2属于公司内部的路由器,然后接到交换机,并以四台 pc 模拟内网。R1R2配置如下:R1>enR1#conf tR1(config#int f0/0R1(config-if#no shutR1(config-if#endR1#writeBuilding configuration.OKR2>enR2#conf tR2(config#int f0/0R2(config-if#no shutR2(confi

31、g-if#exitR2(config#int f0/1R2(config-if#no shutR2(config-if#exitR2(config#interface fastEthernet 0/1R2(config-if#ip nat insideR2(config-if#exitR2(config#interface fastEthernet 0/0R2(config-if#ip nat outsideR2(config-if#endR2#debug ip natIP NAT debugging is onR2#writeBuilding configuration.OKPacket T

32、racer PC Command Line 1.0查看路由器内 PAT 信息:R2#show ip nat translations(3路由器实现 DHCP 配置如下:R2>enR2#configureR2(config#ip dhcp pool NETDHCPR2(dhcp-config#exitR2(config#enR2#en测试:以上是模拟器中测试的结果,是没有问题的。(4路由器安全设置:配置口令:R2(config #enable secret ciscoR2 (config #line vty 0 4R2 config-line#password ciscoR2 (confi

33、g-line#endR2 #writeBuilding configuration.OK配置 ACL 配置禁止 135-445,禁止外网 telnet 公司路由。R2(config#access-list 120 deny tcp any any eq 23R2(config#access-list 120 deny tcp any any eq 135R2(config#access-list 120 deny tcp any any eq 136R2(config#access-list 120 deny tcp any any eq 137R2(config#access-list 12

34、0 deny tcp any any eq 138R2(config#access-list 120 deny tcp any any eq 139R2(config#access-list 120 deny tcp any any eq 389R2(config#access-list 120 deny tcp any any eq 445R2(config#access-list 120 deny tcp any any eq 4444R2(config#access-list 120 deny udp any any eq 69R2(config#access-list 120 deny

35、 udp any any eq 135R2(config#access-list 120 deny udp any any eq 136R2(config#access-list 120 deny udp any any eq 137R2(config#access-list 120 deny udp any any eq 138R2(config#access-list 120 deny udp any any eq 139R2(config#access-list 120 deny udp any any eq snmpR2(config#access-list 120 deny udp

36、any any eq 389 R2(config#access-list 120 deny udp any any eq 445 R2(config#access-list 120 deny udp any any eq 1434 R2(config#access-list 120 deny udp any any eq 1433 R2(config#access-list 120 permit ip any anyR2(config#int f0/0R2(config-if#ip access-group 120 in2(config-if#endR2#writeBuilding confi

37、guration.OK如果需要删除规则:(config #no access-list 120 查看规则可以:R2#show running-config概述:交换机只做监控使用,因此只设置远程管理权限。 (1主交换机端口分配:机柜和调试室使用端口 14-22分给机柜, 23-24备用; 领导网络端口分配:1-4, 5-6备用;行政和技术部端口分配:7, 8备用;业务部和前台端口分配:9, 10备用;无线路由端口分配:11, 12备用;(2交换机权限配置:S1>enS1#confS1 (config#interface vlan 1S1 (config-if#no shutS1 (con

38、fig-if#exitS1 (config#enable secret ciscoS1 (config#line vty 0 4S1 (config-line#password ciscoS1 (config-line#endS1#wBuilding configuration.OKS2>enS2#conf tS2 (config#interface vlan 1S2 (config-if#exitS2 (config#enable secret ciscoS2 (config#line vty 0 4S2 (config-line#password ciscoS2 (config-li

39、ne#endS1#wBuilding configuration.OKS3>enS3#conf tS3 (config#interface vlan 1S3 (config-if#exitS3 (config#enable secret ciscoS3 (config#line vty 0 4S3 (config-line#password ciscoS3 (config-line#endS3#wr选用金盾防火墙的原因就是他具有防止 DDOS 攻击功能,可以限制局域网的 ip 地址的速度。将相应的节点限制速度即可,具体要求如下:总经理和总监办公室网速限制为 4M/节点 ;技术部和调试室限制为 6M/节点;业务部和行政部限制为 2M/节点;Web 服务器限制为 40M ;设置方法:选择主机列表选择所有主机然后找到特定 ip 设置流量和规则。 (局域网的主机是防火墙自动识别的4.2 服务器配置方案采用 linux 操作系统, apache 服务, sql 数据库, asp 网站程序,并配置 FTP 用于 上传文件,邮件服务器用于沟通。(1系统技术工程师安装配置 ap