公司网络组建设计与方案.docx

公司网络组建设计与方案 一、需求分析 设计背景 某公司规模比较大,第一栋大楼内有技术部、销售部、工程部、财务部上网机约200台,第二栋大楼内同样有技术部、销售部、工程部、财务部上网机约150台 楼宇位置 A栋 B栋 楼宇间距离 100米 100米 楼宇高度 3层 5层 楼层分配 分布在各个办公室中,技术部80台,销售部 50台,工程部50台,财务部20台. 分布在各个办公室中,技术部60台,销售部 40台,工程部30台,财务部20台.. 计算机数量 200 150 设置部门 技术部、销售部、工程部、财务部 技术部、销售部、工程部、财务部 网络功能 根据公司现有规模,业务需要及发展范围建立(de)网络有以下功能： a)、组建公司自己(de)网站,可向外部发布消息,宣传公司产品,推广业务. b）、要求公司各部门之间在数据访问时要相互独立,有自己部门(de)局域网,并且可以访问互联网（财务部不允许介入外网）. c）、为了提高办公效率,实现信息共享.公司建立内网OA系统（办公自动化系统）.管理员工档案,发布业务计划,公布会议议程等. 可行性分析 技术可行性 公司现有技术已经完全具备了组建网络(de)条件,公司共有350台计算机,聘有相应(de)网络维护人员,从组建网络技术上看：现在计算机网络技术已经相当成熟,无论是何种情况,都可以很好(de)解决.并且目前随着信息化社会(de)不断发展,信息交流速度十分(de)快速,如果公司还未实现信息化,那么公司(de)发展将受到制约.所以组建局域网是十分必要(de). 资金可行性 目前本公司具有很好(de)市场前景,发展(de)空间很大,公司(de)发展速度也很快,组建网络对公司当前(de)经济来说,虽是不小(de)一笔开支,且不是能很快(de)实现增值,但基于公司所具有(de)潜在实力,是有能力承担(de),且从长远看,这笔投入,会使公司发展速度更快,更具竞争力,更具实力. 二、网络结构设计 方案(de)比较选择 从公司(de)实际情况出发,对现有情况进行分析,选择合适(de)网络速度方案. 1）10Mbit/s以太网：基本满足现在需求. 2）100Mbit/s快速以太网：满足当前需求,且有相当(de)余量.（正选方案.） 3）1000Mbit/s高速以太网：远远超过了应用(de)需求,目前不经济,代以后升级方案. 接入Internet方式,VLAN技术划分 首先要确定网络(de)拓扑结构,建议采用星状结构,其中100base-T星型结构(de)快速以太网是理想(de)选择,用双绞线作为传输线缆,星状总线网(de)物理结构采用星状链接.逻辑结构采用总线状(de),采用IEEE(de)协议标准.网卡集线器和双绞线应采用100M(de),当用户扩展过多时.可采用堆叠式集线器.然后确定互联方式,因为有一部分用户可以接入Internet,另一部分不可以,所以有两种方式： a）分成两个子网,各连接一个交换机,并连接到服务器(de)不同(de)网卡上,在服务器上设置一个网卡可以连接internet,另一个不可以 internet 服务器 路由器 网卡一 网卡二 交换机2 交换机1 PCnN PC1 b）、分成三个子网,都连接到路由器上.在路由器上设置IP,其中其中两个子网(de)IP 设置为内部IP,不允许访问internet(建议使用此方式,以便后期网络拓展) 允许访问 IP1 IP2 IP3 服务器 以太网交换机 路由器 交换机1 交换机2 交换机3 Internet PCn PC1 综上,结合公司电脑分布,A楼有电脑200台,分别提供给技术部,销售部,工程部,财务部四个部门使用,B楼150台电脑也同样分配给四个部门,我们 选择星型连接结构,利用其足够(de)灵活性,满足系统不断发展时(de)需求.在技术上采用路由器-交换机(de)配置,路由器提供内部和外网(de)连接和VLAN（虚拟局域网）(de)划分,以及防火墙和路由功能(de)配置.所以,交换机一头连接到路由器上,作为一个子网,另一头连接子网中各台终端,划分几个子网,则从路由器连出几台交换机即可. IP地址段划分 A,B两座楼中电脑数350台,大于组建最大局域网(de)254台,因此可以组建一个350台电脑(de)中型局域网.采用路由器+中心交换机+交换机(de)架构,A楼中共200台电脑,分别给四个部门使用,B楼电脑150台,同样是四个部门.可以将四个部门看做是一个子网,给每一个部门划分一个vlan,各个部门(de) IP 地址如下列表格： 楼号 技术部 销售部 财务部 工程部 A栋 150 150 150 150 B栋 51~253 51~253 51~253 51~253 A,B楼中(de)子网都采用动态分配IP地址(de)方式获取.再通过路由器把各个楼层(de)计算机集中起来,与防火墙相连,最后连接到Internet就可以了. 防火墙 INTERNET 网络连接拓扑图 出差人员VPN客户端 核心交换机 ~ 技术部 财务部 销售部 工程部 技术部 财务部 销售部 工程部 51~ 通过公网实现发布公司(de)网站 a）明确网站内网访问地址端口,确保网站服务正常,在内网可正常访问链接.如我内网网站访问地址是0：80.如本地公司(de)IP端口被封,可以更换网站端口,或使用net123(de)映射穿透解决. b)路由器端口映射,路由器映射网站访问端口,因为公网IP是在路由器上(de),外网访问时,需要经过路由器上做端口,将内网网站访问端口打通,路由器端口映射位置:转发规则/虚拟服务器/添加允许外网访问和协议,我(de)端口号是80,我内网对应网站煮主机(de)IP地址应该是10：80. c)外网访问时,使用固定公网IP因为路由分配(de)固定公网,实现访问网站. d)域名解析设置,用域名代替固定共公网IP,假如公司申请域名是在dnspod解析(de),登陆dnspod 设置A记录,将 域名设置为指向我网站服务器固定公网IP. e)用域名访问网站,域名解析生效后,访问域名即可访问我网站,域名相对IP 更容易记住,也可以代表自己(de)网站,建议使用自己(de)独享域名,更容易增强影响力, VPN配置,实现在外人员对OA系统(de)访问 （1）点击任务栏“开始”“设置”“控制面板”,双击“网络连接”,选择创建一个新(de)连接 （2）“网络连接类型”选择“连接到我(de)工作场所(de)网站” (3）“网络连接”选择“虚拟专用网络连接” (4）“VPN服务器连接”此处需要输入VPN服务器(de)域名或者IP （5）在建立(de)“虚拟专用网络”属性设置选择“安全”.要求“取消数据加密,没有就断开”勾选框. (6)输入用户名和密码,点击连接进行PPTP拨号,拨号成功就可以直接访问公司内网OA服务器了. 硬件防火墙(de)选购与设置 （1）市场情况 大多数企业在选择防火墙时都将注意力放在防火墙如何控制连接以及防火墙支持多少种服务,但往往忽略了最重要(de)这一点,防火墙也是网络上(de)主机之一,也可能存在安全问题,防火墙如果不能确保自身安全,则防火墙(de)控制功能再强,也终究不能完全保护内部网络. 谈到防火墙(de)安全性就不得提一下防火墙(de)配置.防火墙配置有三种：Dual-homed方式、Screened-host方式和Screened-subnet方式. Dual-homed方式最简单.Dual-homed Gateway放置在两个网络之间,这个Dual-homed Gateway又称为bastionhost.这种结构成本低,但是它有单点失败(de)问题.这种结构没有增加网络安全(de)自我防卫能力,而它往往是受黑客攻而它往往是受黑客攻击(de)首选目标,它自己一旦被攻破,整个网络也就暴露了.Screened-host方式中(de)Screeningrouter为保护Bastionhost (de)安全建立了一道屏障.它将所有进入(de)信息先送往Bastionhost,并且只接受来自Bastionhost(de)数据作为出去(de)数据.这种结构依赖Screeningrouter和Bastionhost,只要有一个失败,整个网络就暴露了. creened-subnet包含两个Screeningrouter和两个Bastionhost.在公共网络和私有网络之间构成了一个隔离网,称之为"停火区"(DMZ,即DemilitarizedZone),Bastionhost放置在"停火区"内.这种结构安全性好,只有当两个安全单元被破坏后,网络才被暴露,但是成本也很昂贵. (2)高效性 防火墙与代理服务器最大(de)不同在于防火墙是专门为了保护网络安全而设计(de),而一个好(de)防火墙不但应该具备包括检查、认证、警告、记录(de)功能,并且能够为使用者可能遇到(de)困境,事先提出解决方案,如IP不足形成(de)IP转换(de)问题,信息加密/解密(de)问题,大企业要求能够透过Internet集中管理(de)问题等,这也是选择防火墙时必须考虑(de)问题. (3)配置便利性 对于国内用户来说,防火墙最好是具有中文界面,既能支持命令行方式管理,又能支持GUI和集中式管理. (4)可扩展性 对于一个好(de)防火墙系统而言,它(de)规模和功能应该能够适应网络规模和安全策略(de)变化.理想(de)防火墙系统应该是一个可随意伸缩(de)模块化解决方案,包括从最基本(de)包过滤器到带加密功能(de)VPN型包过滤器. 三、硬件及软件清单 品名 规格 单价 数量 备注 ADSL 租用网通线路 3000 1条 每年 服务器 ProliantML370 512MB 19600 1 路由器 Vigor 2100E(ADSL宽带路由器) 路由器类型:接入路由器 固定(de)广域网接口:10Base-T1 固定(de)局域网接口:10/100Base-T/TX4 1500 1 交换机 一个扩展插槽,可以选配GBIC口用于服务器或光纤骨干连接 背板带宽(Gbps): 2700 2 24口 交换机 华为3Com Quidway 2116-SI-ENT-AC10Mbps/100Mbps 1700 2 24口 网卡 D-Link DFE-690TXD 网卡10/100Mbps PCI 200 400 光纤 12芯多模室外非金属防水光缆 25/米 400米 双绞线 五类线 300/包 10包 每包300米 信息模块 TCL 超五类免打线式RJ45信息模块 21 45 水晶头 RJ-45 300 防火墙 联想 网御Smart V-100 防火墙中小型防火墙/网络吞吐量100 Mpps/用户数限制100 25000 1个 合计：159295元 四、设计心得 此次设计是基于一个公司局域网建立其中涉及到VLAN(de)划分,IP地址(de)分配,以及要根据公司需要设计一些网络功能,比如说将公司网站发布,以及为在外员工提供便利,访问内网OA 极大程度上实现了公司高效及时工作(de)目(de).总(de)来说整个设计实现了公司所要求(de)功能,也保证了公司信息(de)安全.在整个设计过程中,遇到了很多问题,也从网络借鉴了很多成功(de)案例,然后根据题目要求,查询书籍,百度.完成了此次作业,收获还是很大(de),更加深刻(de)理解了VLAN划分技术在我们生活中(de)应用,也能够从这次实践中掌握这部分知识,争取以后可以在生活中用到这些. 五、展望 对于这个设计,我觉得我们是否还可以增加一些功能,比如说是否能给每一个部门做一个网页连接到公司(de)总网上,实现公司各部门(de)统一领导,分级管理.增加在线打印功能,提供更多(de)便利.