中小型企业局域网组建与管理的实现

1、毕业设计论文题目 中小型企业局域网组建与管理的实现姓名 王 玉 学号 09010103007 专业 计算机网络技术 班 级 09级网络3班 指导教师 程 宇 职 称 2021年09月中小型企业局域网组建与管理的实现摘要信息化浪潮风起云涌的今天，企业内部网络的建设已经成为提升企业核心竞争力的关键因素。企业网已经越来越多地被人们提到，利用网络技术，现代企业可以在供给商、客户、合作伙伴、员工之间实现优化的信息沟通。这直接关系到企业能否获得关键的竞争优势。近年来越来越多的企业都在加快构建自身的信息网络，而其中绝大多数都是中小企业。目前我国企业尤其是中小型企业网络建设正在如火如荼的进行着，本文以中小型企

2、业内部局域网的组建需求、实际管理为出发点，从中小型企业局域网的管理需求和传统局域网技术入手，研究了局域网技术在企业管理中的应用。关键字：网络建设，竞争，信息网络，管理需求ABSTRACTSurging wave of information technology today, the construction of the internal network to enhance the core has become a key factor in competitiveness. Enterprise network has increasingly been mentioned, the

3、use of network technology, the modern enterprise can be suppliers, customers, partners, staff communication between optimization. This is directly related to the availability of key competitive advantages. In recent years, more and more companies are speeding up to build their own information networ

4、ks, the vast majority of which are SMEs. At present Chinas enterprises, especially SMEs, network construction is in full swing with this paper to the formation of small and medium enterprises within the local area network needs, the actual management as a starting point, from the management needs of

5、 small and medium sized enterprise local area network LAN technology and traditional start of the local area network technology in the enterprise management applications.Keywords: network construction, competition, information networks, management needs目录 TOC o 1-3 h z u HYPERLINK l _Toc305001814 第一

6、章 绪论 PAGEREF _Toc305001814 h 1 HYPERLINK l _Toc305001815 1.1 引言 PAGEREF _Toc305001815 h 1 HYPERLINK l _Toc305001816 1.2 局域网的运用 PAGEREF _Toc305001816 h 1 HYPERLINK l _Toc305001817 第二章 需求分析 PAGEREF _Toc305001817 h 2 HYPERLINK l _Toc305001818 2.1 用户需求分析 PAGEREF _Toc305001818 h 2 HYPERLINK l _Toc3050018

7、19 2.2 企业局域网络开展现状 PAGEREF _Toc305001819 h 2 HYPERLINK l _Toc305001820 2.2.1 建设公司局域网的必要性 PAGEREF _Toc305001820 h 3 HYPERLINK l _Toc305001821 2.2.3 资金可行性 PAGEREF _Toc305001821 h 3 HYPERLINK l _Toc305001822 2.2.4 设计目标： PAGEREF _Toc305001822 h 3 HYPERLINK l _Toc305001823 第三章 典型中小型企业实例 PAGEREF _Toc305001

8、823 h 4 HYPERLINK l _Toc305001824 3.1 案例描述 PAGEREF _Toc305001824 h 4 HYPERLINK l _Toc305001825 3.2 硬件设备 PAGEREF _Toc305001825 h 4 HYPERLINK l _Toc305001826 3.3 IP地址规划 PAGEREF _Toc305001826 h 4 HYPERLINK l _Toc305001827 3.4 网络拓扑 PAGEREF _Toc305001827 h 5 HYPERLINK l _Toc305001828 3.5 配置需求及解决方案 PAGERE

9、F _Toc305001828 h 6 HYPERLINK l _Toc305001829 第四章 网络布局和综合布线 PAGEREF _Toc305001829 h 13 HYPERLINK l _Toc305001830 4.1 布线标准 PAGEREF _Toc305001830 h 13 HYPERLINK l _Toc305001831 4.2 网络布局的原那么 PAGEREF _Toc305001831 h 13 HYPERLINK l _Toc305001832 4.3 网络布局的具体实施要求 PAGEREF _Toc305001832 h 13 HYPERLINK l _Toc

10、305001833 4.3.1 机房的规划与设计 PAGEREF _Toc305001833 h 14 HYPERLINK l _Toc305001834 4.3.2 布线系统的规划与设计 PAGEREF _Toc305001834 h 14 HYPERLINK l _Toc305001835 4.4 网络布局的规划与设计 PAGEREF _Toc305001835 h 14 HYPERLINK l _Toc305001836 4.5 测试网络的连通性 PAGEREF _Toc305001836 h 16 HYPERLINK l _Toc305001837 4.5.1 ping 命令 PAGE

11、REF _Toc305001837 h 16 HYPERLINK l _Toc305001838 4.5.2 ipconfig命令 PAGEREF _Toc305001838 h 16 HYPERLINK l _Toc305001839 4.5.3 net view命令 PAGEREF _Toc305001839 h 16 HYPERLINK l _Toc305001840 第五章 局域网的平安控制与病毒防治 PAGEREF _Toc305001840 h 18 HYPERLINK l _Toc305001841 5.1 Inerten 平安 PAGEREF _Toc305001841 h 1

12、8 HYPERLINK l _Toc305001842 5.2 网络提拱的平安效劳 PAGEREF _Toc305001842 h 18 HYPERLINK l _Toc305001843 5.3 网络平安风险分析 PAGEREF _Toc305001843 h 18 HYPERLINK l _Toc305001844 5.4 局域网平安威胁分析 PAGEREF _Toc305001844 h 19 HYPERLINK l _Toc305001845 5.5 局域网平安控制与病毒防治策略 PAGEREF _Toc305001845 h 20 HYPERLINK l _Toc305001846

13、5.5.1 加强人员的网络平安培训 PAGEREF _Toc305001846 h 20 HYPERLINK l _Toc305001847 5.5.2 局域网平安控制策略 PAGEREF _Toc305001847 h 20 HYPERLINK l _Toc305001848 5.5.3 病毒防治 PAGEREF _Toc305001848 h 21 HYPERLINK l _Toc305001849 第六章 总结 PAGEREF _Toc305001849 h 23 HYPERLINK l _Toc305001850 致 谢 PAGEREF _Toc305001850 h 23 HYPER

14、LINK l _Toc305001851 参考文献 PAGEREF _Toc305001851 h 24 HYPERLINK l _Toc305001852 附录 PAGEREF _Toc305001852 h 25 HYPERLINK l _Toc305001853 附表一： PAGEREF _Toc305001853 h 25 HYPERLINK l _Toc305001854 附表二： PAGEREF _Toc305001854 h 25第一章 绪论1.1 引言随着计算机及局域网络应用的不断深入，特别是各种计算机应用系统被相继应用在实际工作中，各企业、各单位同外界信息媒体之间的相互交换和

15、共享的要求日益增加。需要使各单位相互间真正做到高效的信息交换、资源的共享，为各单位人员提供准确、可靠、快捷的各种生产数据和信息，充分发挥各单位现有的计算机设备的功能。为加强各公司内各分区的业务和技术联系，提高工作效率，实现资源共享，降低运作及管理本钱,公司有必要建立企业内部局域网。局域网要求建设基于TCP/IP协议和WWW技术标准的企业内部非公开的信息管理和交换平台，该平台以WEB为核心，集成WEB、文件共享、信息资源管理等效劳功能，实现公司员工在不同地域对内部网的访问。1.2 局域网的运用局域计算机网LAN, Local Area Network通常简称为局域网，它是在有限的地域范围内构成的

16、计算机网络，是把分散在一定范围内的计算机、终端、带大容量存储器的外围设备、控制器、显示器以及用于连接其它网而使用的网间连接器等相互连接起来，进行高速数据通信的手段。局域网在企业办公自动化、企业管理、工业自动化、计算机辅助教学等方面得到广泛的使用，为了在计算机之间进行信息交流、共享数据资源和某些昂贵的硬件如高速打印机等资源，将多台计算机连成一个网络系统，实现分布处理又能互相通信。由于地域范围小，一般不需租用 线路而直接建立专用通信线路，因此数据传输速率高于广域网。从拓扑结构来分，局域网可以分为星型、环形、总线型三种，在此我们采用了最为常用的星型连接方式。对于组网结构来说，局域网可分为客户/效劳器

17、C/S结构和对等结构，我们采用了带有效劳器的C/S结构。第二章 需求分析2.1 用户需求分析中小企业局域网通常规模较小，结构相对简单，对性能的要求那么因应用的不同而差异较大。许多中小企业网络技术人员较少，因而对网络的依赖性很高，要求网络尽可能简单、可靠、易用，降低网络的使用和维护本钱、提高产品的性能价格比就显得尤为重要。基于以上特点，应遵循以下设计原那么：1.把握好技术先进性与应用简易性之间的平衡。 2.具有良好的升级扩展能力。3.具有较高的可靠性和平安性。4.产品功能与实际应用需求相匹配。 80%的中小企业用户通常只用到局域网20%的功能。精简功能设计的产品不但可以在满足大多数需求的情况下有

18、效降低本钱，而且还能够提高系统的稳定性和易维护性。 5.尽可能选择成熟、标准化的技术和产品。恰当运用以太网的不同标准和功能，以太网技术能够在双绞线、多模光纤、单模光纤等介质上传输数据，可以非常简单地升级到百兆、千兆的速率，而且具有很高的稳定性和可管理性。以太网提供了多种标准和功能。比方10Mbps、100Mbps、1000Mbps不同速率的标准，双绞线、光纤等不同介质的标准，以及网络管理、流量控制、VLAN、优先级、链路聚合等功能。2.2 企业局域网络开展现状随着信息技术的不断开展和人们对各种数据形式的信息需求和交流的不断增长，使得当今的计算机网络，特别是Internet从传统的数据处理设备如

19、计算机和管理工具中驳离出来，担当一个非常重要的角色信息技术的根底设施与获取、共享和交流信息的主要工具，并成为人们在当今社会生活及工作中不可缺少的组成局部。经过了几年的迅猛开展，计算机网络已经在很多方面改变了人们传统的工作和生活方式Web浏览、Email、QQ上网聊天、VOD视频点悉播、文件传输、远程诊断、电子商务、网络大学及虚拟学校等无一不与计算机网络有着千丝万缕的联系。这些基于网络的各种应用，正在以惊人的速度扩展，几乎渗透到了社会生活的各个方面。因此，在全球信息电子化、网络化迅速开展的大环境下，无论是从大趋势上看，还是从自身商业利益角度考虑，建立企业内部局域网是企业当务之急的任务。2.2.1

20、 建设公司局域网的必要性、建立公司内部局域网，充分利用公司现有的硬件资源。节约公司开支，实现无纸化办公；、提高公司员工的工作效率，由于局域网公司内部的资源可以得到共享，防止了不必要的重复工作；、局域网建成后可以节约公司在使用网络资源方面节约更多的开支，便于公司员工查阅和接受网络信息；、可以简化公司对计算机的日常维护和管理，节约维护本钱；、建立局域网提高公司在办公自动化水平和企业内部应用电子商务的能力，逐步实现业务级网络应用；、有利于企业获得更快、更准确的市场信息，为公司决策提供更科学的依据等。2.2.2 技术可行性公司现有技术已经完全具备了组建网络的条件，聘有相应的网络维护人员，从组建网络技术

21、上看：现在计算机网络技术已经相当成熟，无论是何种情况，都可以很好的解决。并且目前随着信息化社会的不断开展，信息交流速度十分的快速，如果公司还未实现信息化，那么公司的开展将受到制约。所以组建局域网是十分必要的。2.2.3 资金可行性虽然是中小小型企业，起步比拟晚，但仍然具有很好的市场前景，开展的空间还很大，公司的开展速度也很快，虽然组建网络对公司当前的经济来说，是不小的一笔开支，又不是能很快的实现增值，但基于公司所具有的潜在实力，是有能力承当的，且从长远看，这笔投入，会使公司开展速度更快，更具竞争力，更具实力。2.2.4 设计目标：灵活性：各种部件可以根据用户需要自由安放，即不受物理位 置和设备

22、类型的局限。但总体采用综合布线方案。 独立性：各个子系统之间相互联接的同时又不相互影响其它子 系统的正常使用。 高扩展性：用户可增加硬件设备，无论各硬件设备技术如何发 展，都能很方便的连接到系统中去。 先进性：综合布线系统适应广泛的数据通信和应用，从而保护 用户在线缆及网络系统上的投资。 模块化：在布线系统中除去敷设在建筑物内的线缆外其余各接 插部件都是模块化部件，方便管理和使用。 实用性：布线系统能够在将来适应技术开展的支撑。第三章 典型中小型企业实例3.1 案例描述典型中小企业组网实例，申请一个公网IP和10M带宽，单台路由器，WEB效劳器，文件效劳器，FTP效劳器等，客户端办公电脑100

23、台左右，多部门划分VLAN，用ACL控制各部门访问权限，配置网络打印机。3.2 硬件设备表 3-2-1 设备选型详细参数见附表二序号设备名称型号数量单价元合 价元1交换机Cisco 450314800139002CISCOWS-C2960-48TC-S296003路由器CISCO2821-HSEC/K9113700137004防火墙CISCO ASA5510-K8114700147005效劳器IBMSystemx3400M3(7379I01)11280012800总共55100元注：其他设备见 附表1Cisco Catalyst 4500系列能够为无阻碍的第2/3/4层交换提供集成式弹性，因而

24、能进一步加强对融合网络的控制。可用性高的融合语音/视频/数据网络能够为正在部署基于互联网企业应用的企业和城域以太网客户提供业务弹性。4500系列中提供的集成式弹性增强包括11超级引擎冗余、集成式IP 电源、基于软件的容错以及1+1电源冗余。硬件和软件中的集成式冗余性能够缩短停机时间，从而提高生产率、利润率和客户成功率。是用于公司企业网络交换机群核心层高性价比的一系列。Cisco WS-C2960-48TC-S拥有大数量的接口，全智能自动全双工半双工识别，具有用于接入层交换机的良好优势。能够快速转发用户的数据。Cisco 2821-HSEX/K8是一台多业务路由器，比拟适合中小型企业的需求与应用

25、。CISCO ASA5510-K8 性价比高，并发连接数高，价格低廉，重量轻，为企业提供全面的效劳，业内领先的Anti-X效劳。3.3 IP地址规划表3-2-2 IP规划地址表部门IP地址公网地址17续表 3-2-2部门IP地址路由器内部IP/30核心交换外部IP/30Web效劳器/24Ftp效劳器/24文件效劳器/24网络打印机/24财务部/24设计部/24市场部A/243.4 网络拓扑图 3-4-1 网络拓扑图图 3-4-2 网络模拟图3.5 配置需求及解决方案为了直观方便，配置需求全部在配置命令中加以单点说明，并且配置命令量大反复，这里只列出重点命令。1.配置Router ：接口：int

26、erface fastethernet0/1ip address 52duplex autospeed autoip nat inside no shutdown interface fastethernet0/2ip address 17 48duplex autospeed autoip nat outsideno shutdown路由：ip route 17过载：ip nat inside source list 110 interface FastEthernet0/2 overloadaccess-list 110 permit ip 55 any2.配置Core switch：VT

27、P：VTP Version: 2Configuration Revision: 7Maximum VLANs supported locally : 1005Number of existing VLANs: 9VTP Operating Mode: ServerVTP Domain Name: OAVTP Pruning Mode: DisabledVTP V2 Mode: EnabledVTP Traps Generation: EnabledVLAN：core-sw#vlan database 进入vlan配置模式core-sw(vlan)#vtp domain OA 设置vtp管理域名

28、称OAcore-sw(vlan)#vtp server 设置交换机为效劳器模式core-sw(vlan)#vlan 10 name shichang 创立VLAN 10，为市场部core-sw(vlan)#vlan 11 name caiwu 创立VLAN 10，为财务部core-sw(vlan)#vlan 12 name sheji 创立VLAN 12，为设计部core-sw(vlan)#vlan 13 name netprinter 创立VLAN 13，为网络打印机core-sw(vlan)#vlan 20 name server 创立VLAN 20，为效劳器组core-sw(config

29、)#interface vlan 10core-sw(config-if)#ip address 54 core-sw(config)#interface vlan 11core-sw(config-if)#ip address 54 core-sw(config)#interface vlan 12core-sw(config-if)#ip address 54 core-sw(config)#interface vlan 13core-sw(config-if)#ip address 54 core-sw(config)#interface vlan 20core-sw(config-if

30、)#ip address 54 将接入层SW上的端口根据需要划分至各个VLAN 3.配置ACL：配置ACL 应用在各个部门VLAN接口上，控制各部门互访access-list 10 permit 55 access-list 10 permit 55 access-list 10 deny 55 access-list 10 permit any 进入vlan 10ip access-group 10 out把访问控制列表10 应用于VLAN 10 OUT方向上，市场部内部可以互访，可以访问效劳器网段和网络打印机网段，但不能访问财务部和设计部所在网段。access-list 11 permit

31、 55access-list 11 permit 55access-list 11 permit 55access-list 11 deny 55access-list 11 permit any进入vlan 11ip access-group 11 out把访问控制列表11应用在VLAN 11 OUT方向上，财务部内部可以互访问，可以访问效劳器网段和网络打印机网络，可以访问市场部网段，但不能访问设计部网段。设计部VLAN 12 ，网络打印机 VLAN 13，效劳器 VLAN 20 可以访问任意网段，应用访问控制列表access-list 110 在in的方向上，封掉常见病毒端口。access

32、-list 110 deny tcp any any eq 1068access-list 110 deny tcp any any eq 2046access-list 110 deny udp any any eq 2046access-list 110 deny tcp any any eq 4444access-list 110 deny udp any any eq 4444access-list 110 deny tcp any any eq 1434access-list 110 deny udp any any eq 1434access-list 110 deny tcp a

33、ny any eq 5554access-list 110 deny tcp any any eq 9996access-list 110 deny tcp any any eq 6881access-list 110 deny tcp any any eq 6882access-list 110 deny tcp any any eq 16881access-list 110 deny udp any any eq 5554access-list 110 deny udp any any eq 9996access-list 110 deny udp any any eq 6881acces

34、s-list 110 deny udp any any eq 6882access-list 110 deny udp any any eq 16881access-list 110 permit ip any any可以根据实际需要将此ACL应用于任一接口，或者添加一些屏蔽软件的端口，到达管理内部员工的目的，也可以用局域网内部的管理软件，更加直接方便，并且易于操作。4.配置FTP效劳器：用IIS架设Window Server 2003操作系统。安装：Window Server 2003默认安装时不安装IIS组件，需要手工添加安装。进入控制面板，找到“添加删除程序，翻开后选择“添加删除Wind

35、ow组件，在弹出的“Window组件向导窗口中，将“应用程序效劳器选中点击“Internet信息效劳IIS项选中(如图 3-5-1)，勾上该选项前，再点击右下角的“详细信息，在弹出的“Internet信息效劳IIS窗口中，找到“文件传输协议FTP效劳 (如图 3-5-2)，选中后确定即可。图 3-5-1如图 3-5-2设置：点击“开始所有程序管理工具Internet信息效劳，进入“Internet信息效劳窗口后，找到“默认FTP站点，右击鼠标，在弹出的右键菜单中选择“属性。在“属性中，我们可以设置FTP效劳器的名称、IP、端口、访问账户、FTP目录位置、用户进入FTP时接收到的消息等如图 3-

36、5-3。 如图 3-5-3FTP站点根本信息：进入“FTP站点选项卡，其中的“描述选项为该FTP站点的名称，用来称呼你的效劳器，这里设置名称为 “FTP效劳器；“IP地址为效劳器的IP，设置为；“TCP端口一般仍设为默认的21端口；“连接选项用来设置允许同时连接效劳器的用户最大连接数；“连接超时用来设置一个等待时间，如果连接到效劳器的用户在线的时间超过等待时间而没有任何操作，效劳器就会自动断开与该用户的连接如图 3-5-4。图 3-5-4设置账户及其权限：很多FTP站点都要求用户输入用户名和密码才能登录，这个用户名和密码就叫账户。不同用户可使用相同的账户访问站点，同一个站点可设置多个账户，每个

37、账户可拥有不同的权限，如：有的可以上传和下载，而有的那么只允许下载如图 3-5-5。 图 3-5-5平安设定：进入“平安账户选项卡，有“允许匿名连接和“仅允许匿名连接两项，默认为“允许匿名连接如图 3-5-6，此时FTP效劳器提供匿名登录。“仅允许匿名连接是用来防止用户使用有管理权限的账户进行访问，选中后，即使是Administrator管理员账号也不能登录，FTP只能通过效劳器进行“本地访问来管理。至于“FTP站点操作员选项，是用来添加或删除本FTP效劳器具有一定权限的账户。IIS与其他专业的FTP效劳器软件不同，它基于Window用户账号进行账户管理，本身并不能随意设定FTP效劳器允许访问

38、的账户，要添加或删除允许访问的账户，必须先在操作系统自带的“管理工具中的“计算机管理中去设置Window用户账号如图 3-5-7，然后再通过“平安账户选项卡中的“FTP站点操作员选项添加或删除。图 3-5-6图 3-5-7设置用户登录目录：最后设置FTP主目录即用户登录FTP后的初始位置，进入“主目录选项卡，在“本地路径中选择好FTP站点的根目录，并设置该目录的读取、写入、目录访问权限如图 3-5-8。设置完成后，FTP效劳器就算建成了。图 3-5-8第四章 网络布局和综合布线公司组网，我们不仅要从企业本身的实际需求出发，根据组网经费的多少来务实地规划与设计网络；在采购好网络设备和效劳器等设备

39、后，如何对机房、办公地点进行合理的网络布局与布线，是致关重要的。网络布局主要是指机房里的网络设备、效劳器等设备如何放置，它们又与网络布线如何相处，总之网络布局要考虑周全。4.1 布线标准网络布线的通用标准采用美国的ANSIA/EIA568A标准。EIA568A标准是“面向办公环境的布线系统，其主要技术要求有发下几个方面：结构化布线子系统、电信布线的最小要求、安装方法和实践经验、连接器和引线分配、电信布线系统的有效寿命10年以上、水平布线和主干布线的介质型与性能指标、连接硬件性能指标、推荐的拓扑结构和距离以及布线要素的定义；包括水平电缆、交叉连接、电信插座等。EIA 568A标准规定，综合布线系

40、统分为下6个子系统：建筑群子系统、主干垂直子系统、配线水平子系统、设备间子系统、管理子系统和工作区子系统。4.2 网络布局的原那么1.实用性企业组建的局域网应当根据机房的大小、设备的多少来具体实施，根据网络布线的特点来发挥网络布局实用性是非常重要的。2.全面性组网过程中，网络、效劳器等设备放置位置应当统筹兼顾，网络布局要考虑周全，尽量让各种设备和布线系统处于合理的位置。3.可靠性组网无论怎样布局，最终的目的是保证我们的局域网的所有设备能可靠稳定地运行，使得网络能正常运转。便于维护与升级网络的组网不是一成不变的，随着IT企业业务的不断开展的需求，原先组建的局域网就需要不断地完善和扩充；在日常的网

41、络运行维护中，规划网络布局时就应该考虑到便于以后网络的维护与升级操作。4.3 网络布局的具体实施要求对于有线局域网来说，这是我们目前企业网络建设中，经常会遇到的，需要对机房和办公大楼进行布线。规划网络布局要考虑到机房的设备布局和布线系统的合理搭配。因此我们首先要规划与设计好机房、布线系统，然后再全面地考虑网络的布局。4.3.1 机房的规划与设计为了确保网络、计算机系统稳定、平安、可靠地运行，以及保障机房工作人员有良好的工作环境，做到技术先进、经济合理、平安适用、确保质量，符合国家有关的机房设计规定。(1)防静电静电不仅会对计算机运行出现随机故障，而且还会导致某些元器件，双级性电路等的击穿和毁坏

42、。此外，还会影响操作人员和维护人员的正常的工作和身心健康。(2)防火、防盗计算机房在设计时，重点要考虑机房的消防灭火设计。设计时可以根据消防防火级别来确定机房的设计方案，计算机房火灾报警要求在一楼设有值班室或监控点。机房里应注意防盗设施的安装，具体地可采用防盗门、防盗锁、警卫、自动报警系统等等。(3)防雷由于机房通信和供电电缆多从室外引入机房，易遭受雷电的侵袭，机房的建筑防雷设计尤其重要。计算机通信电缆的芯线， 线均应加装避雷器。(4)保湿、保温机房里的湿度应保持在20%-80%为宜，机房的温度应保持在15-35摄氏度，安装空调来调节温度是解决此问题最好的方法。4.3.2 布线系统的规划与设计

43、有了好的机房，网络设备就有了好的“家，组建的IT网络应当通过布线系统将机房和办公地点互联起来，确保网络的正常运行。如果企业的接入点较多，我们可以采取接入层、会聚层、交换层三个网络层次的设计，在此根底上进行布线系统。对于接入层来说，选择一个合理的接入设备，是最关键的，而且我们要根据接入设备选择适宜的带宽。会聚层是整个局域网的核心局部，会聚层网络设备一般支持网络管理功能，方便我们的管理和维护，方便以后我们的网络升级和改造。交换层是整个网络中的中间层，连接着会聚层和网络节点，是决定我们整体网络传输质量的很重要的一个环节。随着百兆网络设备的普及，我们交换层的网络设备，肯定首选百兆。布线是连接网络接入层

44、、会聚层、交换层和网络节点的重要环节。在布线时，最好使用专门的通道，而且不要与电源线，空调线等具有辐射的线路混合布线。接入层与会聚层之间的双绞线，可以选择超五类屏蔽双绞线，以使网络性能得到最大的提升。会聚层与交换层之间的双绞线，由于是网络数据传输量最大的一个层次，同样采用超五类屏蔽双绞线。交换层与网络节点之间，我们就可以采用普通的超五类非屏蔽双绞线。网络设备的放置，最好放在节点的中央位置，这样做，不是为了节约综合布线的本钱，而是为了提高网络的整体性能，提高网络传输质量。由于双绞线的传输距离是100米，在90米才能获得最正确的网络传输质量。在做网络布线时，最好能够设计一个设备间，放置网络设备。4

45、.4 网络布局的规划与设计目前的网络设备大都采用机架式的结构多为扁平式，活像个抽屉，如交换机、路由器、硬件防火墙等。这些设备之所以有这样一种结构类型，是因为它们都按国际机柜标准进行设计，这样大家的平面尺寸就根本统一，可把一起安装在一个大型的立式标准机柜中。这样做的好处非常明显：一方面可以使设备占用最小的空间，另一方面那么便于与其它网络设备的连接和管理，同时机房内也会显得整洁、美观。我们经常接触到的放置机房里有网络机柜、效劳器机柜以及综合布线柜，从这三个机柜的名字就可以看出它们各自所起的作用；一般来说，网络设备如交换机、路由器、防火墙、加密机等以及网络通信设备如光端机、调制解调器等是放置在网络机

46、柜的；效劳器机柜的宽度为19英寸，高度以U为单位 1U=1.75英寸=44.45毫米，通常有1U，2U，3U，4U几种标准的效劳器。机柜的尺寸也是采用通用的工业标准，通常从22U到42U不等；机柜内按U的高度有可拆卸的滑动拖架，用户可以根据自己效劳器的标高灵活调节高度，以存放效劳器、集线器、磁盘阵列柜等设备。效劳器摆放好后，它的所有I/O线全部从机柜的前方引出机架效劳器的所有接口也在前方，统一安置在机柜的线槽中，一般贴有标号，便于管理。综合布线柜一般配有前后可移动的安装立柱，自由设定安装空间，可按需要配置隔板、风扇、电源插座等附件。配线架通常安装在机柜里，配线架的一面是RJ45口，并标有编号；

47、另一面是跳线接口，上面也标有编号，这些编号和上面的RJ45口的编号是一一对应的。每一组跳线都标识有棕、蓝、橙、绿的颜色，双绞线的色线要和这些跳线一一对应，这样做不容易接错。配线架不仅仅是便于管理线对，而且可以防止串扰，增加线对的隔离空间，提供360度的线对隔离。在机房中，必须放置交换机、功能效劳器群和网络打印设备，以及局域网络连接Internet所需的各种设备，如路由器、防火墙以及网管工作站等；因此机房的网络布局一般至少有三个机柜，综合布线柜和网络机柜应当紧连在一起，便于调线操作，接下来是效劳器机柜；将网络设备和布线系统进行合理的布局。在网络布局中，每个机柜最好留点空间，便于以后网络设备、效劳

48、器设备的扩充，综合布线柜里有可能除了网络布线外，还有能布置 线，所以要在机柜里留下一定空间。从机柜内部线缆附设的角度看，机柜配置密度更高，容纳的IT设备更多，大量采用冗余配件(如冗余电源、存储阵列等)，机柜内设备配置频繁变换，数据线和电缆随时增减。所以，机柜必须提供充足的线缆通道，能从机柜顶部、底部进出线缆。在机柜内部，线缆的敷设必须方便、有序，与设备的线缆接口靠近，以缩短布线距离；减少线缆的空间占用，保证设备安装、调整、维护过程中，不受到布线的干扰，并保证散热气流不会受到线缆的阻挡；同时，在故障情况下，能对设备布线进行快速定位。供电系统和制冷系统是计算机机房的两个重要局部。在供电系统中，一般

49、采用在线的UPS供电方式，蓄电池实际可供使用的容量与蓄电池的放电电流大小、蓄电池的环境工作温度、贮存时间的长短以及负载的性质电阻性、电感性、电容性密切相关。制冷系统空调涉及到机房的整个物理环境，包括空调、地板、机柜及房间布局等诸多方面；因此UPS和空调我们也要考虑好将它们放置在一个适宜的位置。如果机房空间较大，可以将UPS和空调都放在机房里；如果空间较小，可以把UPS包括蓄电池放在配电房里。需要注意的是如果大楼里安装有“中央空调的话，机房里也必须安装独立的空调，因为中央空调不可能24小时都开着，上班的时间可以利用中央空调，下班和星期节假日的时候，如果效劳器、网络设备需要正常运行的话，那么必须要

50、开机房里的独立空调。机柜的扩展性表现在机柜内设备密度的扩展和机柜数量的扩展，因此网络布局时必须将机柜的配风能力通常称为散热能力以及配电能力考虑在内。一方面，机柜内的设备需要温度、湿度适宜并且风量充足的冷风冷空气。这些冷风被机柜内的IT设备吸入，从而为设备内的部件尤其是CPU降温。当机柜内设备增加到一定数量时，由地板出风口送出的冷风风量将不能满足所有设备的需求，从而形成局部IT设备配风缺乏而过热。解决机柜内设备密度扩展时遇到的这种局部热点问题可以采用调配IT设备位置的方式来解决。例如，把热负荷最大的设备安装在机柜中部位置，以便获得最大的配风风量。另外的解决方法是，在机柜的上部或下部位置安装轴向水

51、平的强排风扇，增强上部或下部的吸入能力即减小IT设备的入口静压，从而增加配风风量。另一方面，机柜内的设备需要供电以及与机柜外部进行通信。当机柜内的IT设备数量增加时，这些线缆、连接端子同时成倍地增加，从而对机架式电源排插的容量、插口数量都提出了扩展要求。机柜内的布线空间也是需要提前考虑的，因为当机柜内的功率密度提高时，设备后部的线缆将明显增加风阻，所以必须考虑线缆管理及走线空间的问题。4.5 测试网络的连通性对等网设置完成后，都要测试网络的连通性。所谓连通性，就是测试网络通不通，网络中的两台计算机之间是否能够通信。这里主要指的是从一台计算机向网络中的其他计算机发送信号，看对方是否能够收到信号并

52、做回应。对于刚组建的网络，检查网络的连通性是对网络组成资力量的考察。Window 操作系统内置了多个网络测试命令，最常用的有ping 、ipconfig、net view等。4.5.1 ping 命令1、使用软盘启动计算机进入DOS状态，输入ping主机地址，然后按回车键2、在Windows系统下，单击开始/运行，在运行对话框中输入ping命令3、单击开始/程序/附件/命令提示符如果ping 不到所要连接的计算机，那么需要分析网络故障出现的原因，一般可以可查如下几点：1、网络中是否有这台计算机，或者被测试计算机是否正在运行，2、接各台计算机间的网线几集线器是否连通并正常运行。3、该计算机的网卡

53、是否安装正确，工作是否正常。4、该计算机是否正确地安装和设置了TCP/IP协议5、测试计算机的网络配置是否正确，使用ping本机IP测试本机网络配置。4.5.2 ipconfig命令ipconfig命令用于测试当前所有的TCP/IP网络配置值、刷新动态主机配置协议DHCP和域名系统DNS设置。使用不带参数的ipconfig/？命令可查看ipconfig的所有参数，执行ipconfig/ALL命令后，屏幕将详细显示TCP/IP协议的相关配置信息。4.5.3 net view命令net view命令用于显示域、计算机或指定计算机共享资源的列表。如果执行该命令不带任何参数，那么显示当前域中计算机列表

54、。在命令提示符窗口中执行net view？命令，将显示该命令的语法，直接运行net view命令，将显示工作组中当前正在运行的计算机，没有连通的原因可能是未开机或网络出现故障。如果执行该命令带“share参数，将显示网络中所有提供共享的盘符和文件夹等信息第五章 局域网的平安控制与病毒防治5.1 Inerten 平安网络平安是网络的一个薄弱环节,一直没有受到足够的重视。人们在当初设计TCP/IP互联网时并没有考虑它的平安问题，直到电子商务等网络应用逐步开展之后，平安才受到越来越多的关注。平安是一个很广泛的题目，国际标准化组织ISO于1974年提出开放系统互连参考模型OSI/RM之后，也在1989

55、年提出了网络平安体系结构。网络平安是指保护数字信息资源，防止偶然的或未授权者的恶意泄露、窃取、破坏，从而导致信息的不可靠和无法处理，包括物理平安和逻辑平安。5.2 网络提拱的平安效劳对于一个平安的网络，它应该为用户提供如下平安效劳：身份认证：验证某个通信参加者的身份与其所申明的一致，确保该通信参加者身份不是冒名顶替的。访问控制：保证网络资源不被末经援权的用户访问和使用。数据加密：防止信息被末授权用户获知。数据完整：确保收到的信息在传递的过程中没有被修改、插入、删除等。不可否认：防止通信参与者事后否认参与通信。5.3 网络平安风险分析 由于网络存在的平安漏洞，入侵者所制造的各类新型的网络风险将会

56、不断产生，这些风险由多种因素引起。依照信息平安分层理论，由下至上可分为五层，即物理平安、网络平安、系统平安、应用平安及人员管理平安。下面对其进行分类描述： 1、物理平安一般认为网络物理平安是整个网络系统平安的前提。物理平安问题主要包含主机、网络设备硬件、线路和存储设备等造成的信息丧失或效劳中断。产生的原因主要有：电源故障造成设备断电以至操作系统引导失败或数据库信息丧失 ，电磁辐射可能造成数据信息被窃取或偷阅 ，硬件故障，超负荷。2、网络平安一台计算机连网后，就要面临新的危险，安装了网络软件，也就引入了新的平安问题。网络平安问题主要有：非授权访问，假冒用户，假冒主机，IP盗用，IP诈骗。3、系统

57、的平安系统平安是指主机操作系统本身的平安，如系统中用户帐号和口令设置、文件和目录存取权限设置、系统平安管理、效劳程序使用管理等。主要问题有：系统本身平安性缺乏，末授权的存取，越权使用。4、应用的平安应用平安问题通常是指主机上所安装的应用软件的平安问题，应用系统软件的引入会产生一系列的平安问题。例如，有的Web效劳器的HTTP协议就有平安漏洞，在使用自己编写的应用程序时，可能因为程序员对系统平安漏洞认识缺乏，设计与开发中对平安问题无视，造本钱身平安问题。另外，如从网上不可靠站点下载末经严格过滤的应用软件会带入特洛伊木马或病毒。5、人员管理平安分析信息系统本身无论做怎样的平安，总要人去运行、去操作

58、，如果系统管理员不能严格执行规定的网络平安策略及人员管理策略，整个网络系统就相当于没有平安保护。制定平安策略时，要考虑防止外部对内部的攻击，同时也要考虑如何防止内部人员的攻击。某种程度上，对内部人员的管理其复杂性和难度远远超过对外部网络入侵者。所以，应该对人员平安问题给予足够的重视，通常的做法是，法律+经常的思想教育+严格的管理规章制度+及时的监测和检查。5.4 局域网平安威胁分析 局域网由于通过交换机和效劳器连接网内每一台电脑，因此局域网内信息的传输速率比拟高，同时局域网采用的技术比拟简单，平安措施较少，同样也给病毒传播提供了有效的通道和数据信息的平安埋下了隐患。局域网的网络平安威胁通常有以

59、下几类： 1.欺骗性的软件使数据平安性降低 由于局域网很大的一局部用处是资源共享，而正是由于共享资源的“数据开放性，导致数据信息容易被篡改和删除，数据平安性较低。例如“网络钓鱼攻击，钓鱼工具是通过大量发送声称来自于一些知名机构的欺骗性垃圾邮件，意图引诱收信人给出敏感信息：如用户名、口令、账号ID、ATM PIN码或信用卡详细信息等的一种攻击方式。最常用的手法是冒充一些真正的网站来骗取用户的敏感的数据。以往此类攻击的冒名的多是大型或著名的网站，但由于大型网站反响比拟迅速，而且所提供的平安功能不断增强，网络钓鱼已越来越多地把目光对准了较小的网站。同时由于用户缺乏数据备份等数据平安方面的知识和手段，

60、因此会造成经常性的信息丧失等现象发生。 2.效劳器区域没有进行独立防护局域网内计算机的数据快速、便捷的传递，造就了病毒感染的直接性和快速性，如果局域网中效劳器区域不进行独立保护，其中一台电脑感染病毒，并且通过效劳器进行信息传递，就会感染效劳器，这样局域网中任何一台通过效劳器信息传递的电脑，就有可能会感染病毒。虽然在网络出口有防火墙阻断对外来攻击，但无法抵挡来自局域网内部的攻击3.计算机病毒及恶意代码的威胁由于网络用户不及时安装防病毒软件和操作系统补丁，或未及时更新防病毒软件的病毒库而造成计算机病毒的入侵。许多网络寄生犯罪软件的攻击，正是利用了用户的这个弱点。寄生软件可以修改磁盘上现有的软件，在