企业网组建及相关技术

第第题目：企业网组建及相关技术姓名：张明哲指导老师：杨英光班级：计算机网络技术摘要全球性的国际计算机Internet的迅速发展和普及，改变了整个信息产业的面貌，使信息技术产业从以计算机为中心发展到以网络为中心，并为计算机技术在工业、商业、教育及科研等领域中的应用提供了一个全新的网络通信环境，也从根本上加强并促进了群体工作成员之间的信息交流、资源共享、科学计算及技术合作等，全面推动了教育事业、科研及生产的发展。Internet是以一系列关键支撑技术为核心发展起来的新兴领域，为人们提供了崭新的网络计算环境。随着互联网的蓬勃发展，其巨大的潜力已经逐渐体现出来，一些互联网企业涉足传统产业已经取得了不菲的业绩，如运用网络概念多次融资，并利用网络优势通过并购的方式切入旅行服务行业的携程；其次，就是互联网在传播和获取信息上的优势；再者，就是企业想利用内部网络进行有效的管理，提高管理效率。因此，企业建网的最终目的和它的经营策略是吻合的，就是通过网络来降低企业的管理成本和交易成本以及通过开展电子商务活动来获得更多的利润。关键词：Internet技术、企业网、子网划分、网络安全、管理绪论企业内部联网实现内部互联互通，办公自动化、信息化，有利于数据交换（方便各部门之间传递业务数据）、资源共享（随时调用企业内部他人开放的数据）、打印共享（随时使用位于他人处的任意打印机）；同时联接Internet，可以一线上网（多台计算机共用一条甚至几条ADSL线路或光纤）极大的降低互联网的接入费用。联网之后，使用系统内置的专业软件，可以实现内部电话，传达内部文本、图形通知，传递文件。在内部电话之外，开辟了一条多媒体、大容量的传输途径。使用QQ等软件与外部沟通，可以实时传递影像、图文、大文件等，具有极强效能优势。本论文主要通过一个中小型企业局域网的组建过程，更加了解企业局域网的原理，主要内容如下：网络需求分析，企业网总体设计，交换路由技术，然后对本次论文做一个总结。第1章网络需求分析1.1公司概述本公司是一个外贸公司，主要向外国人销售房屋装饰品，在企业内部实现资源共享，为了生产、办公、管理提供服务，实现办公自动化，提供公告牌和办公信息查询等服务，提高工作效率和管理水平，及时准确可靠的收集、处理、存储企业的办公、管理信息、完成与国特网的通调和资源共享，实现企业资源和社会资源的有贡趋势。企业内部需要联网的节点数为200，网络中心位于2层，主要有财务部、IT部、业务部、开发部、行政部、人事部6个部门，具体分布如下表1.1.1：表1.1.1公司分布情况楼房层次部门人数1号楼一层开发部20业务部15二层IT部20财务部18三层行政部20人事部201.2网络需求分析目前开展的企业网建设，旨在推动公司信息化建设，其最终建设目标是将建设成为一个借助信息化办分和管理手段的高水平的智能性、数字化的企业网络，最终完成网络和统一软件资源平台的构建，实现统一网络管理、统一安全策略、统一软件资源系统，并实现网络远程办公、管理、资源共享等各种应用；利用现代信息技术从事办公、管理等工作。为确保企业网络建设和应用的成功，对网络方案的设计大致可归纳出以下的需求：高带宽为了支持数据、视像多媒体的传输能力，在技术上要到达当前的国际先进水平。要采用比较先进的网络技术，适应大量数据和多媒体信息的传输，既要满足目前的业需求，又要充分考虑未来的发展。高可靠性和高安全性网络系统应具有高可靠性、高安全性，具体到本项目中，要求采用可靠性较高产品和网络架构，在物理层、数据链路层和网络层等多个层次都有相应的技术，以最大程度的保证网络的正常运转。要充分的保证网络的安全性，应该根据相应的管理制度和网络策略制定一套完善的安全政策，保证系统的安全性。易管理、易维护由于网络系统规模庞大，需要网络系统具有良好的可管理性，网管系统具有监测、故障诊断、故障隔离、过滤设置等功能，发便于系统的管理和维护。4、可扩展性和可升级性系统要有可扩展性和可升级性，随着业务的增长和应用水平的提高，网络中的数据和信息流将按指数增长，需要网络有很好的可扩展性，并能随着技术的发展不断的升级。5、符合国际标准选用符合国际标准的系统和产品，可以保证系统具有较长的生命力和扩展能力，满足将来系统升级的要求。1.3服务器需求分析在企业信息化建设中，服务器的角色举足轻重。在最常见的C/S网络结构中，服务器扮演着为网络中的计算机提供服务的角色，是整个网络系的核心，服务器的正确选择也是整个信息化建设的关键。在中小企业服务器选购过程中也存在着一些问题，首先是资金比较短缺，在小型企业建设中，初始阶段公司规模比较小，业务量不大，信息化建设的需求并不强烈，效果也不明显，所以在初始阶段的信息化建设不会投入太多的资金，采购服务器一般本着少花钱，多办事的原则，追求资金回报率。其次专门的IT人员较为匮乏，专门的IT人员会增加一笔额外的开支，一般来说，规模不大的小型企业出于成本的考虑，一般只有很少或者没有专门的IT人员。而在外贸公司中，却少不了IT部门。虽然前期成本很关键，但是企业在选购服务器时也不能一味追求低成本而忽略了服务器的可用性、易管理性和扩展性。初始的采购成本只占企业总体拥有成本的一部分，而后期的硬件升级费用、管理维护费用、人员费用等可能会接近或者超过初始的采购成本。所以，价格低廉，易于管理，稳定可靠的服务器产品才更为适合中小企业，可以为企业降低总体拥有成本。除了要从成本、可用性、管理性和扩展性等几个方面考虑外，服务器还需要对症下药，做好规划选型，明确企业自身需要提升的方向，做到有的放矢，充分利用资金，避免出现不适用或者资源的闲置浪费现象。从中小企业对服务器的应用方面来看，在初期业务量并不大，需要服务器操作的强度也许不是很大，但是需要应用的种类很多，比如一台服务器要同时兼备数种角色，这时候一款通用型服务器是最好的选择。但是随着网络规模的不断扩大，各种业务彼此分开，服务器需要处理的业务量也不断增大，这时候就有必要根据不同应用选购配置不同的服务器，以获得更优的性能和稳定性。因此，在公司内备置了FTP服务器和WEB器。第2章企业网总体设计2.1设计原则新建网络必须满足公司未来3-5年内的研究、生产、办公需求，遵循“可靠性、实用性、安全保密性、先进性、经济性、开放性”的设计原则，以系统生命周期长、管理维护方便、系统集成度高和保护投资为主要技术特色，适应当前应用及后续不断发展。可管理网络是一个庞大而且复杂的网络，为了保障网络的正常使用以及设备的良好维护需要一个功能强大，具有分级、分权管理能国的网管系统，实现统一的网络业务调度和管理，降低网络运营成本。2、可增值网络的建设、使用和维护需要投入大量的人力、物力，因此网络的增值性是网络持续发展基础，使网络能适应未来需求，节约各类费用。确保新建网络在3~5年力的使用价值。3、安全保密性充分考虑整个网络的稳定性，支持网络节点的备份和线路保护，提供网络安全防范措施。能有效通过软硬件想到联动，有效保证企业网的安全，选择设备必须具有较高的安全特性。4、可扩展与成熟性网络要建设成完整统一、组网灵活、易扩充的弹性网络平台，要具有可扩展性和可升级性。随着业务的增长和应用水平的提高，网络中的数据和信息流将按指数增长，需要网络有很好的可扩展性，并能随着技术的发展不断升级。5、经济性在满足高性能价格比（高性价比）的前提下，选用物廉价美，经济实用的产品，以减少开支。6、开放性技术选择必须符合相关国际标准及国内标准，避免个别厂家的私有标准或内部协议，确保网络的开放性和互连互通，满足信息准确、安全、可靠、优良交换传送的需要；开放的接口，支持良好的维护、测量和管理手段，提供网络统一实时监控的遥测、遥控的信息处理功能，实现网络设备的统一管理。2.2拓扑图结构企业网网络拓扑图结构如下图2.1：图2.1网络拓扑图结构2.3IP规划根据国际互联网络技术发展的趋势，结合外贸公司的现实情况，IP地址规划遵循如下原则设计：网络出口、对外服务器群采用电信公网IP地址；企业网所有网络设备均配置内部管理IP地址，防止非法用户登录；各接入点根据现有信息点数，并预留20-30%扩容率，分配连续IP地址段；各核心节点内部根据用户群体地理位置划分VLAN，并将VLAN网关IP设置在各核心节点交换机上。IP地址规划方案见下表2.3.1表2.3.1IP地址规划设备端口IP地址设备端口IP地址R1S1/0/24PC0F0/10/27F0/001/30PC1F0/114/27F0/105/30PC2F0/106/27R2S1/0/24PC3F0/118/27F0/0/24PC4F0/1030/27Vlan10/27PC5F0/1162/27Vlan203/27PC6F0/0/24Vlan305/27WEBF0/1094/29Vlan407/27DNSF0/1195/29Vlan5029/273S1F0/102/30Vlan6061/273S2F0/106/30Vlan7093/292.4设备选型根据设备的性能价格比、设备的技术先进性、设备对未来新技术的适应能力、设备的使用方便程度、设备的标准化程度和可扩充性等是选型决策的重要考虑因素，代表网络系统设备的先进水平；具备较强的安全性；具备优良的RAS性能—可靠性、可用性、可维护性；具备优良的可扩充性和升级能力；具备优良的性能价格比，根据现在的需求和可以预见的需求增长情况设计网络，不追求空洞的技术先进性，避免追求高档和最新技术花费的巨大代价。因此选用CISCO的产品。CISCO是网络业界第一品牌和最大的研发厂家，是项目可持续应用的投资保护和规避厂家风险的首选。思科IOS取得广泛成功的关键在于，它的标准化设计中整合了创新网络技术、关键业务IP服务和首屈一指的平如支持能力。我们为外贸公司网络建设选用CISCO公司的系列产品，以确保网络实用与性价比。本次企业网设备选型中，我们采用了2台思科S3560-24PS核心层交换机、4台思科S2960-24TT接入层交换机，1台思科2811的路由器、2台思科server-PT的服务器。其各层设备具体性能参数如下表2.4.1：表2.4.1各设备参数设备企业级交换机千兆以太网交换机模块化路由器型号思科S3560-24PS思科S2960-24TT思科2811应用层次三层二层传输速率10/100/100010/100/100010/100Mbps接口10/100Base-T10/100/100010/100Mbps网管功能SNMP,CLI,WeWeb浏览器,SNMPCiscoClickStart,SNMP内存128MB64MB最大Flash内存:256MB最大DRAM内存：760MB包转发率38.7Mpps6.5Mpps背板带宽32Gbps16Gbps第3章交换路由技术3.1企业网的路由技术3.1.1OSPF协议由于公司的网络结构比较复杂，存在环路，为了使网络更快速、更稳定的运行，因此使用OSPF动态路由，它支持路由验证，只有互相通过路由验证的路由器之间才能交换路由信息。并且OSPF可以对不同的区域定义不同的验证方式，提高网络的安全性。OSPF路由协议对负载分担的支持性能较好，所以将内公司内所有的网段都划分为主干区域0，在同一区域间传递路由信息，在经过接入路由器时根据IP包的目的地址，在路由器的路由器由表中查询，是否有前往目的地的路由，如果有刚根据路由条目来转发IP包。3.1.2NAT为了节约IP地址，因特网IP地址分配与管理机构将IP地址划分了一部分出来，规定作为私有地址使用，不同的局域网可重复使用这些私有地址，因特网中的路由器将丢弃源地址或目的地址为私有地址的数据包，以实现局域网间的下互隔离。但这样一来，局域网用户就无法直接访问因特网，位于因特网中的用户也无法访问局域网。为了解决局域网用户访问因特网的问题，从而采用了网络地址转换（NetworkAddressTranslation,NAT）技术，当外网访问内网的私有IP地址时，如果在访问请求包离开边界路由器之前，对数据包中的源地址进行替换修改，将其修改为某一个合法的公有IP地址，这样数据包就能在因特网中正常的访问。通过网络地址转换操作，局域网用户能透明地访问因特网，而且通过配置指定，因特网中的主机还能访问局域网中的特定主机。通过网络地址转换，可实现内外网的隔离，提高内部网张的安全性。3.2企业网的交换技术3.2.1VLAN技术为了防止公司内产生广播风暴，通过对VLAN的创建，隔离广播，缩小广播范围，控制广播风暴的产生。通过路由访问列表和MAC地址分配等VLAN划分原则，可以控制用户访问权限和逻辑网段大小，将每个部门定义一个VLAN，财务部为VLAN10，业务部为VLAN20，IT部为VLAN30，开发部为VLAN40，行政部为VLAN50，人事部为VLAN60，将服务器划分为VALN70，可以控制广播风暴的范围，提高网络整体安全性，并且使得网络管理简单、直观。从而提高交换式网络的整体性能和安全性。而对于采用VLAN技术的网络来说，在不改动网络物理连接的情况下可以任意地将工作站在工作组或子网之间移动。利用虚拟网络技术，大大减轻了网络管理和维护工作的负担，降低了网络维护费用。在一个交换网络中，VLAN提供了网段和机构的弹性组合机制。该公司申请的IP地址为/24，将VLAN与IP分配如下表2.4.1：表2.4.1VLAN与IP网段的划分VLAN号网段IP网关备注10/27财务部202/273业务部304/275IT部406/277开发部5028/2729行政部6060/2761人事部7092/2993服务器3.2.2TRUNK技术链路聚合（Trunk）是一种封装技术，它是一条点到点的链路，链路的两端可以都是交换机，也可以是交换机和路由器，还可以是主机和交换机或路由器。Trunk的主要功能就是仅通过一条链路就可以连接多个VLAN。在没有使用Trunk时，百兆以太网的双绞线的这种传输介质特性决定在两个互连的普通10/100M交换机的带宽仅为100M，如果是采用的全双工模式的话，则传输的最大带宽可以达到最大200M，这样就形成了网络主干和服务器瓶颈。要达到更高的数据传输率，则需要更换传输媒介，使用千兆光纤或升级成为千兆以太网，这样虽能在带宽上能够达到千兆，但成本却非常昂贵（可能连交换机也需要一块换掉），更本不适合低成本的中小企业和学校使用。如果使用Trunk技术，把二个端口通过捆绑在一起来达到400M带宽，这样可较好的解决了成本和性能的矛盾。Trunk的主要功能就是将多个物理端口绑定为一个逻辑的通道，使其工作起来就像一个通道一样。将多个物理链路捆绑在一起后，不但提升了整个网络的带宽，而且数据还可以同时被绑定的多个物理链路传输，具有链路冗余的作用，在网络出现故障或其他原因断开其中一条或多条链路时，剩下的链路还可以工作。3.2.3STP技术STP（Spanningtreeprotocol生成树协议）定义在IEEE802.1D中，是一种链路管理协议，它为网络提供路径冗余同时防止产生环路。一旦二层存在环路，会产生广播风暴、MAC表不稳定和便终端收到同个帧的多个副本等问题。为使以太网更好地工作，两个工作站之间只能有一条活动路径。为了避免产生闭合环路，可以用一个生成树来覆盖实际的拓扑结构，将两个工作站之间只能有一条活动路径，万一一个链路或交换机失败，会有另一个链路或交换机替代。例行每个源地址到目的地址只有唯一的通路。因此需要在接入层交换机上使用STP技术，以便在提供路径冗余的同时在逻辑上断开环路，同时提高内部网络的稳定性。3.2.4三层交换第三层交换的实质是路由，类似于IP子网间的数据交换机制。当网络内数据流量的分布偏离80/20规则，而且流量必须大量跨越子网边界时，传统的路由器就成了交通中的瓶颈，第三层交换技术的提出就是试图消除这个瓶颈。第三层交换设备可以保证在不改IP编址方式和网络连接方式的前提下消除网络中的路由瓶颈，并且实现第二层交换无法提供的第三层包转发和过滤能力。系统划分VLAN一方面隔离了广播，从而有效利用系统带宽，另一方面也提离了系统的安全性，但划分了VLAN之后各个子网之间需要路由，用传统的路由器可以解决这一问题，但即使性能再高的路由器也会成为系统性能的瓶颈，而只有三层交换才能最好的解决这一问题，它以二层交换的性能实现三层交换的功能。3.3广域网接入技术当内部网络和外部网络进行通信时，为了能够控制网络流量和流向，而且在很大程度上保护网络设备、服务器，提高安全性、稳定性。作为外网进入企业内网的第一道关卡，采用了快速以太网光纤（100M）与外网相连，并且在路由器上采用了ACL访问控制列表作为保护内网的安全。为了防止公司以外的人员了解公司内部的一些私密文件，通过扩展访问列表，允许公司内部人员能访问外网，并且公司内部人员相互之间能防问，而对不是本公司人员，只允许外部的人员访问服务器，禁止公司以外的人访问内网，以达到公司的安全性。3.4网络安全企业网内的用户数量较大，局域网络数目较多，经过分析可以总结出河天科技企业网面临着如下的安全威胁：各种操作系统以及应用系统自身的漏洞带来的安全威胁；Internet网络用户对企业网存在非法访问或恶意入侵的威胁；来自企业网内外的各种病毒的威胁，外部用户可能通过邮件以及文件传输等将病毒带入企业内网。内部职工可能由于使用盗版介质将病毒带入内网；内部用户对Internet的非法访问威胁，如浏览黄色、暴力、反动等网站，以及由于下载文件可能将木马、蠕虫、病毒等程序带入企业内网；内外网恶意用户可能利用利用一些工具对网络及服务器发起DOS/DDOS攻击，导致网络及服务不可用；可能会因为企业网内管理人员以及全体职工的安全意识不强、管理制度不健全，带来企业网的威胁；上述分析的几点是当今企业网普遍面临的安全隐患。企业网络的应用水平也在不断提高。规模的壮大和运用水平的提高就决定了网络面临的隐患也相应加剧。那么就及上述分析我们应从物理、系统、网络、应用及管理五个层设计适合于天河科技网络的安全方案。

1．物理层安全物理层的安全主要包括环境、设备及线路的安全。系统中心或机房的建设应遵照：GB50173-93《电子计算机机房设计规范》、GB2887-89《计算机站场地安全要求》及GB2887-89《计算机站场地技术条件》的要求。在设备集中的管理间安装干扰器防止由于设备辐射造成的信息泄漏。同时，要注意保护线路的安全，防止用户的搭线窃听行为。2．系统安全系统层主要解决的是由于各种操作系统及相关产品的安全漏洞和病毒造成的威胁。我们主要采用主机加固手段加固主机，如升级、及时打补丁、关闭不需要的端口和服务等；并对系统重要文件进行及时备份、加密来保障系统文件的安全；及时更新杀毒软件，定时扫描漏洞保障系统安全；严格控制权限加强对主机的访问控制的安全来解决。3．网络层安全网络中局域网数目较多，根据需要多个网络可能要互相联接。正是这种多网的互联，使我们对网络层的安全要极度重视。定义一个网络或各网络内不同安全等级的部分为不同的安全域。安全域之间的连接处叫网络边界。主要采取了划分安全子网、加强网络边界的访问控制、防止内外的攻击威胁、定期的网络安全性检测实现持续安全、建立网络防病毒系统等网络层安全防护。4．应用层安全应用层的安全措施主要有以下几点：加载邮件过滤系统，过滤垃圾邮件；各应用系统自身的加固；建立身份认证系统，对各用户进行严格身份认证