千里之行，始于足下。第2頁/共2頁精品文檔推薦公司網絡組建設計與方案公司網絡組建設計與方案

一、需求分析

1.1設計背景

某公司規模比較大，第一棟大樓內有技術部、銷售部、工程部、財務部上網機約200臺，第二棟大樓內同樣有技術部、銷售部、工程部、財務部上網機約150臺

1.2網絡功能

依照公司現有規模，業務需要及進展范圍建立的網絡有以下功能：

a)、組建公司自個兒的網站，可向外部公布消息，宣傳公司產品，推廣業務。

b）、要求公司各部門之間在數據拜訪時要相互獨立，有自個兒部門的局域網，同時能夠拜訪互聯網（財務部別允許介入外網）。

c）、為了提高辦公效率，實現信息共享。公司建立內網OA系統（辦公自動化系統）。治理職員檔案，公布業務打算，發布會議議程等。

1.3可行性分析

1.3.1技術可行性

公司現有技術差不多徹底具備了組建網絡的條件，公司共有350臺計算機，聘有相應的網絡維護人員，從組建網絡技術上看：如今計算機網絡技術差不多相當成熟，不管是何種事情，都能夠非常好的解決。同時目前隨著信息化社會的別斷進展，信息交流速度十分的快速，假如公司還未實現信息化，這么公司的進展將受到制約。因此組建局域網是十分必要的。

1.3.2資金可行性

目前本公司具有非常好的市場前景，進展的空間非常大，公司的進展速度也非常快，組建網絡對公司當前的經濟來講，雖是別小的一筆開支，且別是能非常快的實現增值，但基于公司所具有的潛在實力，

是有能力承擔的，且從長遠看，這筆投入，會使公司進展速度更快，更具競爭力，更具實力。

二、網絡結構設計

2.1方案的比較挑選

從公司的實際事情動身，對現有事情舉行分析，挑選合適的網

絡速度方案。

1）10Mbit/s以太網：基本滿腳如今需求。

2）100Mbit/s快速以太網：滿腳當前需求，且有相當的余量。（正

選方案。）

3）1000Mbit/s高速以太網：遠遠超過了應用的需求，目前別經濟，代往后升級方案。

2.2接入Internet方式，VLAN技術劃分

首先要確定網絡的拓撲結構，建議采納星狀結構，其中

100base-T星型結構的快速以太網是理想的挑選，用雙絞線作為傳

輸線纜，星狀總線網的物理結構采納星狀鏈接。邏輯結構采納總線狀的，采納IEEE的802.3協議標準。網卡集線器和雙絞線應采納100M的，當用戶擴展過多時。可采納堆疊式集線器。然后確定互聯方式，因為有一部分用戶能夠接入Internet，另一部分別能夠，因此有兩種方式：

a）分成兩個子網，各連接一具交換機，并連接到服務器的別同的

網卡上，在服務器上設置一具網卡能夠連接internet,另一具別可

以

服務

器路由器

internet

網卡一網卡二

交換機1交換機2

PCnN

PC1

b）、分成三個子網，都連接到路由器上。在路由器上設置IP，其中其中兩個子網的IP設置為內部IP，別允許拜訪internet(建議使用此方式，以便后期網絡拓展)

允許拜訪

IP1

服務

器

IP2路由器

以太網交換機IP3

Internet

交換機3交換機1交換機2

PCnPC1

綜上，結合公司電腦分布，A樓有電腦200臺，分不提供給技

術部，銷售部，工程部，財務部四個部門使用，B樓150臺電腦也

同樣分配給四個部門，我們挑選星型連接結構，利用其腳夠的靈便

性，滿腳系統別斷進展時的需求。在技術上采納路由器-交換機的配

置，路由器提供內部和外網的連接和VLAN（虛擬局域網）的劃分，

以及防火墻和路由功能的配置。因此，交換機一頭連接到路由器上，

作為一具子網，另一頭連接子網中各臺終端，劃分幾個子網，則從

路由器連出幾臺交換機即可。

2.3IP地址段劃分

A,B兩座樓中電腦數350臺，大于組建最大局域網的254臺，因

此能夠組建一具350臺電腦的中型局域網。采納路由器+中心交換機+交換機的架構，A樓中共200臺電腦，分不給四個部門使用，B樓電腦150臺，同樣是四個部門。能夠將四個部門看做是一具子網，給每一具部門劃分一具vlan，各個部門的IP地址如下列表格：

A,B樓中的子網都采納動態分配IP地址的方式獵取。再經過路由器把各個樓層的計算機集中起來，與防火墻相連，最終連接到Internet就能夠了。

2.4網絡連接拓撲圖

防火墻INTERN10

~核心交換

機

ET

00

出差人員

VPN客戶端

51~51

技術部財務部銷售部工程部技術部財務部銷售部工程部2.5經過公網實現公布公司的網站

a）明確網站內網拜訪地址端口，確保網站服務正常，在內網可正常拜訪鏈接。如我內網網站拜訪地址是00：80.如本地公司的IP端口被封，能夠更換網站端口，或使用net123的映射穿透

解決。

b)路由器端口映射，路由器映射網站拜訪端口，因為公網IP是在路由器上的，外網拜訪時，需要通過路由器上做端口，將內網網站訪

咨詢端口打通，路由器端口映射位置:轉發規則/虛擬服務器/添加允許

外網拜訪和協議，我的端口號是80，我內網對應網站煮主機的IP

地址應該是00：80。

c)外網拜訪時，使用固定公網IP因為路由分配的固定公網

IP10.我能夠直截了當經過拜訪那個固定公網IP，實現訪

咨詢網站。

d)域名解析設置，用域名代替固定共公網IP，如果公司申請域名

dns222.tk是在dnspod解析的，登陸dnspod設置A記錄，將www.dns222.tk域名設置為指向我網站服務器固定公網IP。

e)用域名拜訪網站，域名解析生效后，拜訪域名即可拜訪我網站，

域名相對IP更容易記住，也能夠代表自個兒的網站，建議使用自個兒

的獨享域名，更容易增強妨礙力，

2.6VPN配置，實如今外人員對OA系統的拜訪

（1）XXX任務欄“開始”“設置”“操縱面板”，雙擊“網絡連接”，挑選創建一具新的連接

（2）“網絡連接類型”挑選“連接到我的工作場所的網站”

(3）“網絡連接”挑選“虛擬專用網絡連接”

(4）“XXX連接”此處需要輸入XXX的域名或者IP（5）在建立的“虛擬專用網絡”屬性設置挑選“安全”。要求“取消數據加密，沒有就斷開”勾選框。

(6)輸入用戶名和密碼，XXX連接舉行PPTP撥號，撥號成功就能夠直截了當拜訪公司內網OA服務器了。

2.7硬件防火墻的選購與設置

（1）市場事情

大多數企業在挑選防火墻時都將注意力放在防火墻怎么操縱連接以及防火墻支持多少種服務，但往往忽略了最重要的這一點，防火墻也是網絡上的主機之一，也也許存在安全咨詢題，防火墻假如別能確保自身安全，則防火墻的操縱功能再強，也終究別能徹底愛護內部網絡。談到防火墻的安全性就別得提一下防火墻的配置。防火墻配置有三種：Dual-homed方式、Screened-host方式和Screened-subnet方式。Dual-homed方式最簡單。Dual-homedGateway放置在兩個網絡之間，那個Dual-homedGateway又稱為bastionhost。這種結構成本低，然而它有單點失敗的咨詢題。這種結構沒有增加網絡安全的自我防衛能力，而它往往是受黑客攻而它往往是受黑客攻擊的首選目標，它自個兒一旦被攻破，整個網絡也就暴露了。Screened-host方式中的Screeningrouter為愛護Bastionhost的安全建立了一道屏障。它將所有進入的信息先送往Bastionhost，

同時只同意來自Bastionhost的數據作為出去的數據。這種結構依靠Screeningrouter和Bastionhost，只要有一具失敗，整個網絡

就暴露了。

creened-subnet包含兩個Screeningrouter和兩個Bastionhost。在公共網絡和私有網絡之間構成了一具隔離網，稱之為"停火區"(DMZ，即DemilitarizedZone)，Bastionhost放置在"停火區"內。

這種結構安全性好，惟獨當兩個安全單元被破壞后，網絡才被暴露，然而成本也非常昂貴。

(2)高效性

防火墻與代理服務器最大的別同在于防火墻是特意為了愛護網絡

安全而設計的，而一具好的防火墻別但應該具備包括檢查、認證、

警告、記錄的功能，同時可以為使用者也許遇到的困境，事先提出

解決方案，如IP別腳形成的IP轉換的咨詢題，信息加密/解密的咨詢題，大企業要求可以透過Internet集中治理的咨詢題等，這也是挑選防火墻時必須思考的咨詢題。

(3)配置便利性

關于國內用戶來講，防