第第題目：企業網組建及相關技術姓名：張明哲指導老師：楊英光班級：計算機網絡技術摘要全球性的國際計算機Internet的迅速發展和普及，改變了整個信息產業的面貌，使信息技術產業從以計算機為中心發展到以網絡為中心，并為計算機技術在工業、商業、教育及科研等領域中的應用提供了一個全新的網絡通信環境，也從根本上加強并促進了群體工作成員之間的信息交流、資源共享、科學計算及技術合作等，全面推動了教育事業、科研及生產的發展。Internet是以一系列關鍵支撐技術為核心發展起來的新興領域，為人們提供了嶄新的網絡計算環境。隨著互聯網的蓬勃發展，其巨大的潛力已經逐漸體現出來，一些互聯網企業涉足傳統產業已經取得了不菲的業績，如運用網絡概念多次融資，并利用網絡優勢通過并購的方式切入旅行服務行業的攜程；其次，就是互聯網在傳播和獲取信息上的優勢；再者，就是企業想利用內部網絡進行有效的管理，提高管理效率。因此，企業建網的最終目的和它的經營策略是吻合的，就是通過網絡來降低企業的管理成本和交易成本以及通過開展電子商務活動來獲得更多的利潤。關鍵詞：Internet技術、企業網、子網劃分、網絡安全、管理緒論企業內部聯網實現內部互聯互通，辦公自動化、信息化，有利于數據交換（方便各部門之間傳遞業務數據）、資源共享（隨時調用企業內部他人開放的數據）、打印共享（隨時使用位于他人處的任意打印機）；同時聯接Internet，可以一線上網（多臺計算機共用一條甚至幾條ADSL線路或光纖）極大的降低互聯網的接入費用。聯網之后，使用系統內置的專業軟件，可以實現內部電話，傳達內部文本、圖形通知，傳遞文件。在內部電話之外，開辟了一條多媒體、大容量的傳輸途徑。使用QQ等軟件與外部溝通，可以實時傳遞影像、圖文、大文件等，具有極強效能優勢。本論文主要通過一個中小型企業局域網的組建過程，更加了解企業局域網的原理，主要內容如下：網絡需求分析，企業網總體設計，交換路由技術，然后對本次論文做一個總結。第1章網絡需求分析1.1公司概述本公司是一個外貿公司，主要向外國人銷售房屋裝飾品，在企業內部實現資源共享，為了生產、辦公、管理提供服務，實現辦公自動化，提供公告牌和辦公信息查詢等服務，提高工作效率和管理水平，及時準確可靠的收集、處理、存儲企業的辦公、管理信息、完成與國特網的通調和資源共享，實現企業資源和社會資源的有貢趨勢。企業內部需要聯網的節點數為200，網絡中心位于2層，主要有財務部、IT部、業務部、開發部、行政部、人事部6個部門，具體分布如下表1.1.1：表1.1.1公司分布情況樓房層次部門人數1號樓一層開發部20業務部15二層IT部20財務部18三層行政部20人事部201.2網絡需求分析目前開展的企業網建設，旨在推動公司信息化建設，其最終建設目標是將建設成為一個借助信息化辦分和管理手段的高水平的智能性、數字化的企業網絡，最終完成網絡和統一軟件資源平臺的構建，實現統一網絡管理、統一安全策略、統一軟件資源系統，并實現網絡遠程辦公、管理、資源共享等各種應用；利用現代信息技術從事辦公、管理等工作。為確保企業網絡建設和應用的成功，對網絡方案的設計大致可歸納出以下的需求：高帶寬為了支持數據、視像多媒體的傳輸能力，在技術上要到達當前的國際先進水平。要采用比較先進的網絡技術，適應大量數據和多媒體信息的傳輸，既要滿足目前的業需求，又要充分考慮未來的發展。高可靠性和高安全性網絡系統應具有高可靠性、高安全性，具體到本項目中，要求采用可靠性較高產品和網絡架構，在物理層、數據鏈路層和網絡層等多個層次都有相應的技術，以最大程度的保證網絡的正常運轉。要充分的保證網絡的安全性，應該根據相應的管理制度和網絡策略制定一套完善的安全政策，保證系統的安全性。易管理、易維護由于網絡系統規模龐大，需要網絡系統具有良好的可管理性，網管系統具有監測、故障診斷、故障隔離、過濾設置等功能，發便于系統的管理和維護。4、可擴展性和可升級性系統要有可擴展性和可升級性，隨著業務的增長和應用水平的提高，網絡中的數據和信息流將按指數增長，需要網絡有很好的可擴展性，并能隨著技術的發展不斷的升級。5、符合國際標準選用符合國際標準的系統和產品，可以保證系統具有較長的生命力和擴展能力，滿足將來系統升級的要求。1.3服務器需求分析在企業信息化建設中，服務器的角色舉足輕重。在最常見的C/S網絡結構中，服務器扮演著為網絡中的計算機提供服務的角色，是整個網絡系的核心，服務器的正確選擇也是整個信息化建設的關鍵。在中小企業服務器選購過程中也存在著一些問題，首先是資金比較短缺，在小型企業建設中，初始階段公司規模比較小，業務量不大，信息化建設的需求并不強烈，效果也不明顯，所以在初始階段的信息化建設不會投入太多的資金，采購服務器一般本著少花錢，多辦事的原則，追求資金回報率。其次專門的IT人員較為匱乏，專門的IT人員會增加一筆額外的開支，一般來說，規模不大的小型企業出于成本的考慮，一般只有很少或者沒有專門的IT人員。而在外貿公司中，卻少不了IT部門。雖然前期成本很關鍵，但是企業在選購服務器時也不能一味追求低成本而忽略了服務器的可用性、易管理性和擴展性。初始的采購成本只占企業總體擁有成本的一部分，而后期的硬件升級費用、管理維護費用、人員費用等可能會接近或者超過初始的采購成本。所以，價格低廉，易于管理，穩定可靠的服務器產品才更為適合中小企業，可以為企業降低總體擁有成本。除了要從成本、可用性、管理性和擴展性等幾個方面考慮外，服務器還需要對癥下藥，做好規劃選型，明確企業自身需要提升的方向，做到有的放矢，充分利用資金，避免出現不適用或者資源的閑置浪費現象。從中小企業對服務器的應用方面來看，在初期業務量并不大，需要服務器操作的強度也許不是很大，但是需要應用的種類很多，比如一臺服務器要同時兼備數種角色，這時候一款通用型服務器是最好的選擇。但是隨著網絡規模的不斷擴大，各種業務彼此分開，服務器需要處理的業務量也不斷增大，這時候就有必要根據不同應用選購配置不同的服務器，以獲得更優的性能和穩定性。因此，在公司內備置了FTP服務器和WEB器。第2章企業網總體設計2.1設計原則新建網絡必須滿足公司未來3-5年內的研究、生產、辦公需求，遵循“可靠性、實用性、安全保密性、先進性、經濟性、開放性”的設計原則，以系統生命周期長、管理維護方便、系統集成度高和保護投資為主要技術特色，適應當前應用及后續不斷發展。可管理網絡是一個龐大而且復雜的網絡，為了保障網絡的正常使用以及設備的良好維護需要一個功能強大，具有分級、分權管理能國的網管系統，實現統一的網絡業務調度和管理，降低網絡運營成本。2、可增值網絡的建設、使用和維護需要投入大量的人力、物力，因此網絡的增值性是網絡持續發展基礎，使網絡能適應未來需求，節約各類費用。確保新建網絡在3~5年力的使用價值。3、安全保密性充分考慮整個網絡的穩定性，支持網絡節點的備份和線路保護，提供網絡安全防范措施。能有效通過軟硬件想到聯動，有效保證企業網的安全，選擇設備必須具有較高的安全特性。4、可擴展與成熟性網絡要建設成完整統一、組網靈活、易擴充的彈性網絡平臺，要具有可擴展性和可升級性。隨著業務的增長和應用水平的提高，網絡中的數據和信息流將按指數增長，需要網絡有很好的可擴展性，并能隨著技術的發展不斷升級。5、經濟性在滿足高性能價格比（高性價比）的前提下，選用物廉價美，經濟實用的產品，以減少開支。6、開放性技術選擇必須符合相關國際標準及國內標準，避免個別廠家的私有標準或內部協議，確保網絡的開放性和互連互通，滿足信息準確、安全、可靠、優良交換傳送的需要；開放的接口，支持良好的維護、測量和管理手段，提供網絡統一實時監控的遙測、遙控的信息處理功能，實現網絡設備的統一管理。2.2拓撲圖結構企業網網絡拓撲圖結構如下圖2.1：圖2.1網絡拓撲圖結構2.3IP規劃根據國際互聯網絡技術發展的趨勢，結合外貿公司的現實情況，IP地址規劃遵循如下原則設計：網絡出口、對外服務器群采用電信公網IP地址；企業網所有網絡設備均配置內部管理IP地址，防止非法用戶登錄；各接入點根據現有信息點數，并預留20-30%擴容率，分配連續IP地址段；各核心節點內部根據用戶群體地理位置劃分VLAN，并將VLAN網關IP設置在各核心節點交換機上。IP地址規劃方案見下表2.3.1表2.3.1IP地址規劃設備端口IP地址設備端口IP地址R1S1/0/24PC0F0/10/27F0/001/30PC1F0/114/27F0/105/30PC2F0/106/27R2S1/0/24PC3F0/118/27F0/0/24PC4F0/1030/27Vlan10/27PC5F0/1162/27Vlan203/27PC6F0/0/24Vlan305/27WEBF0/1094/29Vlan407/27DNSF0/1195/29Vlan5029/273S1F0/102/30Vlan6061/273S2F0/106/30Vlan7093/292.4設備選型根據設備的性能價格比、設備的技術先進性、設備對未來新技術的適應能力、設備的使用方便程度、設備的標準化程度和可擴充性等是選型決策的重要考慮因素，代表網絡系統設備的先進水平；具備較強的安全性；具備優良的RAS性能—可靠性、可用性、可維護性；具備優良的可擴充性和升級能力；具備優良的性能價格比，根據現在的需求和可以預見的需求增長情況設計網絡，不追求空洞的技術先進性，避免追求高檔和最新技術花費的巨大代價。因此選用CISCO的產品。CISCO是網絡業界第一品牌和最大的研發廠家，是項目可持續應用的投資保護和規避廠家風險的首選。思科IOS取得廣泛成功的關鍵在于，它的標準化設計中整合了創新網絡技術、關鍵業務IP服務和首屈一指的平如支持能力。我們為外貿公司網絡建設選用CISCO公司的系列產品，以確保網絡實用與性價比。本次企業網設備選型中，我們采用了2臺思科S3560-24PS核心層交換機、4臺思科S2960-24TT接入層交換機，1臺思科2811的路由器、2臺思科server-PT的服務器。其各層設備具體性能參數如下表2.4.1：表2.4.1各設備參數設備企業級交換機千兆以太網交換機模塊化路由器型號思科S3560-24PS思科S2960-24TT思科2811應用層次三層二層傳輸速率10/100/100010/100/100010/100Mbps接口10/100Base-T10/100/100010/100Mbps網管功能SNMP,CLI,WeWeb瀏覽器,SNMPCiscoClickStart,SNMP內存128MB64MB最大Flash內存:256MB最大DRAM內存：760MB包轉發率38.7Mpps6.5Mpps背板帶寬32Gbps16Gbps第3章交換路由技術3.1企業網的路由技術3.1.1OSPF協議由于公司的網絡結構比較復雜，存在環路，為了使網絡更快速、更穩定的運行，因此使用OSPF動態路由，它支持路由驗證，只有互相通過路由驗證的路由器之間才能交換路由信息。并且OSPF可以對不同的區域定義不同的驗證方式，提高網絡的安全性。OSPF路由協議對負載分擔的支持性能較好，所以將內公司內所有的網段都劃分為主干區域0，在同一區域間傳遞路由信息，在經過接入路由器時根據IP包的目的地址，在路由器的路由器由表中查詢，是否有前往目的地的路由，如果有剛根據路由條目來轉發IP包。3.1.2NAT為了節約IP地址，因特網IP地址分配與管理機構將IP地址劃分了一部分出來，規定作為私有地址使用，不同的局域網可重復使用這些私有地址，因特網中的路由器將丟棄源地址或目的地址為私有地址的數據包，以實現局域網間的下互隔離。但這樣一來，局域網用戶就無法直接訪問因特網，位于因特網中的用戶也無法訪問局域網。為了解決局域網用戶訪問因特網的問題，從而采用了網絡地址轉換（NetworkAddressTranslation,NAT）技術，當外網訪問內網的私有IP地址時，如果在訪問請求包離開邊界路由器之前，對數據包中的源地址進行替換修改，將其修改為某一個合法的公有IP地址，這樣數據包就能在因特網中正常的訪問。通過網絡地址轉換操作，局域網用戶能透明地訪問因特網，而且通過配置指定，因特網中的主機還能訪問局域網中的特定主機。通過網絡地址轉換，可實現內外網的隔離，提高內部網張的安全性。3.2企業網的交換技術3.2.1VLAN技術為了防止公司內產生廣播風暴，通過對VLAN的創建，隔離廣播，縮小廣播范圍，控制廣播風暴的產生。通過路由訪問列表和MAC地址分配等VLAN劃分原則，可以控制用戶訪問權限和邏輯網段大小，將每個部門定義一個VLAN，財務部為VLAN10，業務部為VLAN20，IT部為VLAN30，開發部為VLAN40，行政部為VLAN50，人事部為VLAN60，將服務器劃分為VALN70，可以控制廣播風暴的范圍，提高網絡整體安全性，并且使得網絡管理簡單、直觀。從而提高交換式網絡的整體性能和安全性。而對于采用VLAN技術的網絡來說，在不改動網絡物理連接的情況下可以任意地將工作站在工作組或子網之間移動。利用虛擬網絡技術，大大減輕了網絡管理和維護工作的負擔，降低了網絡維護費用。在一個交換網絡中，VLAN提供了網段和機構的彈性組合機制。該公司申請的IP地址為/24，將VLAN與IP分配如下表2.4.1：表2.4.1VLAN與IP網段的劃分VLAN號網段IP網關備注10/27財務部202/273業務部304/275IT部406/277開發部5028/2729行政部6060/2761人事部7092/2993服務器3.2.2TRUNK技術鏈路聚合（Trunk）是一種封裝技術，它是一條點到點的鏈路，鏈路的兩端可以都是交換機，也可以是交換機和路由器，還可以是主機和交換機或路由器。Trunk的主要功能就是僅通過一條鏈路就可以連接多個VLAN。在沒有使用Trunk時，百兆以太網的雙絞線的這種傳輸介質特性決定在兩個互連的普通10/100M交換機的帶寬僅為100M，如果是采用的全雙工模式的話，則傳輸的最大帶寬可以達到最大200M，這樣就形成了網絡主干和服務器瓶頸。要達到更高的數據傳輸率，則需要更換傳輸媒介，使用千兆光纖或升級成為千兆以太網，這樣雖能在帶寬上能夠達到千兆，但成本卻非常昂貴（可能連交換機也需要一塊換掉），更本不適合低成本的中小企業和學校使用。如果使用Trunk技術，把二個端口通過捆綁在一起來達到400M帶寬，這樣可較好的解決了成本和性能的矛盾。Trunk的主要功能就是將多個物理端口綁定為一個邏輯的通道，使其工作起來就像一個通道一樣。將多個物理鏈路捆綁在一起后，不但提升了整個網絡的帶寬，而且數據還可以同時被綁定的多個物理鏈路傳輸，具有鏈路冗余的作用，在網絡出現故障或其他原因斷開其中一條或多條鏈路時，剩下的鏈路還可以工作。3.2.3STP技術STP（Spanningtreeprotocol生成樹協議）定義在IEEE802.1D中，是一種鏈路管理協議，它為網絡提供路徑冗余同時防止產生環路。一旦二層存在環路，會產生廣播風暴、MAC表不穩定和便終端收到同個幀的多個副本等問題。為使以太網更好地工作，兩個工作站之間只能有一條活動路徑。為了避免產生閉合環路，可以用一個生成樹來覆蓋實際的拓撲結構，將兩個工作站之間只能有一條活動路徑，萬一一個鏈路或交換機失敗，會有另一個鏈路或交換機替代。例行每個源地址到目的地址只有唯一的通路。因此需要在接入層交換機上使用STP技術，以便在提供路徑冗余的同時在邏輯上斷開環路，同時提高內部網絡的穩定性。3.2.4三層交換第三層交換的實質是路由，類似于IP子網間的數據交換機制。當網絡內數據流量的分布偏離80/20規則，而且流量必須大量跨越子網邊界時，傳統的路由器就成了交通中的瓶頸，第三層交換技術的提出就是試圖消除這個瓶頸。第三層交換設備可以保證在不改IP編址方式和網絡連接方式的前提下消除網絡中的路由瓶頸，并且實現第二層交換無法提供的第三層包轉發和過濾能力。系統劃分VLAN一方面隔離了廣播，從而有效利用系統帶寬，另一方面也提離了系統的安全性，但劃分了VLAN之后各個子網之間需要路由，用傳統的路由器可以解決這一問題，但即使性能再高的路由器也會成為系統性能的瓶頸，而只有三層交換才能最好的解決這一問題，它以二層交換的性能實現三層交換的功能。3.3廣域網接入技術當內部網絡和外部網絡進行通信時，為了能夠控制網絡流量和流向，而且在很大程度上保護網絡設備、服務器，提高安全性、穩定性。作為外網進入企業內網的第一道關卡，采用了快速以太網光纖（100M）與外網相連，并且在路由器上采用了ACL訪問控制列表作為保護內網的安全。為了防止公司以外的人員了解公司內部的一些私密文件，通過擴展訪問列表，允許公司內部人員能訪問外網，并且公司內部人員相互之間能防問，而對不是本公司人員，只允許外部的人員訪問服務器，禁止公司以外的人訪問內網，以達到公司的安全性。3.4網絡安全企業網內的用戶數量較大，局域網絡數目較多，經過分析可以總結出河天科技企業網面臨著如下的安全威脅：各種操作系統以及應用系統自身的漏洞帶來的安全威脅；Internet網絡用戶對企業網存在非法訪問或惡意入侵的威脅；來自企業網內外的各種病毒的威脅，外部用戶可能通過郵件以及文件傳輸等將病毒帶入企業內網。內部職工可能由于使用盜版介質將病毒帶入內網；內部用戶對Internet的非法訪問威脅，如瀏覽黃色、暴力、反動等網站，以及由于下載文件可能將木馬、蠕蟲、病毒等程序帶入企業內網；內外網惡意用戶可能利用利用一些工具對網絡及服務器發起DOS/DDOS攻擊，導致網絡及服務不可用；可能會因為企業網內管理人員以及全體職工的安全意識不強、管理制度不健全，帶來企業網的威脅；上述分析的幾點是當今企業網普遍面臨的安全隱患。企業網絡的應用水平也在不斷提高。規模的壯大和運用水平的提高就決定了網絡面臨的隱患也相應加劇。那么就及上述分析我們應從物理、系統、網絡、應用及管理五個層設計適合于天河科技網絡的安全方案。

1．物理層安全物理層的安全主要包括環境、設備及線路的安全。系統中心或機房的建設應遵照：GB50173-93《電子計算機機房設計規范》、GB2887-89《計算機站場地安全要求》及GB2887-89《計算機站場地技術條件》的要求。在設備集中的管理間安裝干擾器防止由于設備輻射造成的信息泄漏。同時，要注意保護線路的安全，防止用戶的搭線竊聽行為。2．系統安全系統層主要解決的是由于各種操作系統及相關產品的安全漏洞和病毒造成的威脅。我們主要采用主機加固手段加固主機，如升級、及時打補丁、關閉不需要的端口和服務等；并對系統重要文件進行及時備份、加密來保障系統文件的安全；及時更新殺毒軟件，定時掃描漏洞保障系統安全；嚴格控制權限加強對主機的訪問控制的安全來解決。3．網絡層安全網絡中局域網數目較多，根據需要多個網絡可能要互相聯接。正是這種多網的互聯，使我們對網絡層的安全要極度重視。定義一個網絡或各網絡內不同安全等級的部分為不同的安全域。安全域之間的連接處叫網絡邊界。主要采取了劃分安全子網、加強網絡邊界的訪問控制、防止內外的攻擊威脅、定期的網絡安全性檢測實現持續安全、建立網絡防病毒系統等網絡層安全防護。4．應用層安全應用層的安全措施主要有以下幾點：加載郵件過濾系統，過濾垃圾郵件；各應用系統自身的加固；建立身份認證系統，對各用戶進行嚴格身份認證