1、 摘要本方案介绍了容氏集团企业网络的规划设计方案,包括项目前期的需求分析、总体设计、网络安全设计、综合布线系统、项目实施步骤以及项目预算等过程。综合分析了企业由传统销售企业到利用电子商务平台进行产品销售的新型企业转型的具体方式。关键字:子网划分 vlan划分 网络安全 服务器 目 录摘要41.前言62.需求分析73.项目设计整体概述83.1项目建设目标83.2项目设计主要原则84.企业IP系统方案设计104.1企业IP系统拓扑图104.2网络基本架构规划104.3活动目录物理架构设计124.4网段划分与IP的分配134.5 DNS部署方案144.6用户与计算机对象命名规范154.7资源共享规划
2、155.文件服务器设计165.1网络系统安全方案规划165.2数据备份和灾难恢复规划176.项目管理与实施计划196.1项目组织结构196.2 项目人员分工196.3项目实施前的准备工作196.4安装前的场地准备工作206.5施工计划及时间安排207.致谢228.参考文献231. 前言随着计算机网络技术的飞速发展,办公信息化和设备数字化的不断普及,企业网络的建设也越来越重要。目前,很多企业都已经搭建了自己的企业网,用于实现办公自动化和网络化,从而提高办公效率、降低成本,为企业创造很多的效率。企业网是连接企业内部各部门并和企业外界相连,为企业的通信、办公自动化、经营治理、生产销售以及自动控制服务
3、的重要基础设施。企业信息化的目的是为了提高企业运作效率、降低成本、进一步提升企业竞争力。而低成本、线速、智能、可管理的中小企业网络解决方案正好满足了企业的信息化。为此我们容氏集团需要建设一个企业信息系统,它以管理信息为主体,连接生产、销售、维护、运营子系统,是一个面向集团的日常业务、立足生产、面向社会,辅助领导决策的计算机信息网络系统。2. 需求分析网络设计需求分析稳定可靠现代企业网络应具有高可靠稳定性,以实现整个企业网络能够实时正常的运行,才能保障企业重要数据不丢失。随着计算机各种应用都是基于网络上,网络通信的无中断运行是保证企业正常运营的关键。目前对可靠性设计的技术是对设备的进行冗余备份,
4、它能保证企业网络在能够正常的运行。网络安全性现代企业的网络应该具有高安全的解决方案,以阻止计算机病毒及黑客的入侵,保证了企业内部的资料不被窃取,减少了企业的经济损失。目前对网络安全方面设计的很多,最常用的方法是部署防火墙、路由器配置ACl、杀毒软件。符合国际标准 选用国际标准的系统和产品,能够保证系统的扩展性满足将来系统升级的需求。地理布局分析根据该集团的地理实际情况,总公司在上海,分公司分别在北京。各个公司的各个部门应能上网且互相通信,且做到合理化,包括节省资金、结构简单、不影响性能等。总投资分析该集团有一个总公司及一个分公司,要对网络整体设计应就实际情况提出相应要求,才可以对网络设备进行合
5、理的选择。3. 项目设计整体概述3.1项目建设目标该项目以集团信息系统主要建设一个以管理信息为主体,连接生产、销售、维护、运营子系统,是一个面向集团的日常业务、立足生产、面向社会,辅助领导决策的计算机信息网络系统。本期项目的目标是建立如下系统:构造一个既能覆盖本地又能与外界进行网络互通、共享信息、展示企业的计算机企业网。选用技术先进、具有容错能力的网络产品,在投资和条件允许的情况下也可采用结构容错的方法完全符合开放性规范,将业界优秀的产品集成于该综合网络平台之中;具有较好的可扩展性,为今后的网络扩容作好准备 设备选型上必须在技术上具有先进性,通用性,且必须便于管理,维护。应具备未来良好的可扩展
6、性,可升级性,保护公司的投资。设备要在满足该项目的功能和性能上还具有良好的性价比。设备在选型上要是拥有足够实力和市场份额的主流产品,同时也要有好的售后服务3.2项目设计主要原则多业务网络系统方案以实现以上功能为基本要求,在设计上力求做到既要采用国际上先进的技术,又要保证系统的安全可靠性和实用性。具体来讲,其设计遵循以下原则:先进性系统的主机系统、网络平台、数据库系统、应用软件均应使用目前国际上较先进、较成熟的技术,符合国际标准和规范;标准性所采用技术的标准化,可以保证网络发展的一致性,增强网络的兼容性,以达到网络的互连与开放。为确保将来不同厂家设备、不同应用、不同协议连接,整个网络从设计、技术
7、和设备的选择,必须支持国际标准的网络接口和协议,以提供高度的开放性。 全面支持IEEE工业标准:802.1d,802.1p,802.1q,802.1x,802.3,802.3u,802.3z;支持路由协议:IP 的RIP V1/2,OSPF,BGP-4;信令标准:H.323,RTP/CRTP. 支持:IPsec、L2TP、GRE、MPLS-VPN规范。 支持多址广播协议:IGMP,DVMRP,PIM-DM,PIM-SM;网络管理协议:SNMP,RMON,RMON2;兼容性跟踪世界科技发展动态,网络规划与现有光纤传输网及将要改造的分配网有良好的兼容,在采用先进技术的前提下,最大可能地保护已有投资
8、,并能在已有的网络上扩展多种业务。可升级和可扩展性随着技术不断发展,新的标准和功能不断增加,网络设备必须可以通过网络进行升级,以提供更先进、更多的功能。在网络建成后,随着应用和用户的增加,核心骨干网络设备的交换能力和容量必须能作出线性的增长。设备应能提供高端口密度、模块化的设计以及多种类接口、技术的选择,以方便未来更灵活的扩展。安全性网络的安全性对网络设计是非常重要的,合理的网络安全控制,可以使应用环境中的信息资源得到有效的保护可以有效的控制网络的访问,灵活的实施网络的安全控制策略。在企业园区网络中,关键应用服务器、核心网络设备,只有系统管理人员才有操作、控制的权力。应用客户端只有访问共享资源
9、的权限,网络应该能够阻止任何的非法操作。在园区网络设备上应该可以进行基于协议、基于Mac地址、基于IP地址的包过滤控制功能。在大规模园区网络的设计上,划分虚拟子网,一方面可以有效的隔离子网内的大量广播,另一方面隔离网络子网间的通讯,控制了资源的访问权限,提高了网络的安全性。在设计园区网的原则上必须强调网络安全控制能力,使网络可以任意连接,又可以从第二层、第三层控制网络的访问。可靠性本系统是7x24小时连续运行系统,从硬件和软件两方面来保证系统的高可靠性。硬件可靠性:系统的主要部件采用冗余结构,如:传输方式的备份,提供备份组网结构;主要的计算机设备(如数据库服务器),采用CLUSTER技术,支持
10、双机或多机高可用结构;配备不间断电源等。软件可靠性:充分考虑异常情况的处理,具有强的容错能力、错误恢复能力、错误记录及预警能力并给用户以提示;并具有进程监控管理功能,保证各进程的可靠运行。网络结构稳定性:当增加/扩充应用子系统时,不影响网络的整体结构以及整体性能,对关键的网络连接采用主备方式,已保证数据的传输的可靠性。本系统应具有较强的容灾容错能力,具有完善的系统恢复和安全机制;易操作性提供中文方式的图形用户界面,简单易学,方便实用。优良的性能价格比。系统应着重考虑和满足以上的设计要求。4. 企业IP系统方案设计4.1企业IP系统拓扑图4.2网络基本架构规划活动目录森林和域结构根据荣氏集团的实
11、际情况,为了实现方便和灵活统一的管理策略,我们将中心的活动目录设计为一林双域架构,其活动目录逻辑架构如下图所示组织单元(OU)规划为方便对企业域用户和计算机进行管理,利用“客户端计算机与用户”组织单元来组织所有的客户机和用户,在其下再建立各部门OU,用来组织本部门的客户端计算机和用户;另外,建立“成员服务器”组织单元来组织所有成员服务器,并在其下建立子OU来存放各种不同角色的成员服务器。4.3活动目录物理架构设计企业分布在上海和北京两个地区,为了优化活动目录的复制流量在每个地区设置为一个站点,每个站点定义相应的子网,站点间采用IP连接作为站点间的数据复制传输方式。4.4网段划分与IP的分配实现
12、IP 地址自动化管理。按地区实现子网划分。在此案例中,服务器手动设置IP地址,客户端实现DHCP自动分配IP地址,上海子网是10.10.0.0 10.10.255.255 网段,上海分支站点是10.20.0.0-10.20.255.255北京是10.30.0.0 10.30.255.255网段,子网掩码均为255.255.0.0。具体规划如下:上海总部网段:10.10.0.010.10.255.255/16上海站点(默认网关:10.10.0.254)计算机名称角色IP地址DNSSH-dc1DC/DNS/DHCP/IAS10.10.0.1/16首选10.10.0.1备用10.10.0.10SH-
13、dc2DC/DNS10.10.0.10/16首选10.10.010备用10.10.0.1SH-exExchange和证书服务器10.10.0.3/16首选10.10.0.1备用10.10.0.10SH-SQL数据库服务器10.10.0.2/16首选10.10.0.1备用10.10.0.10SH-ICS即时通信服务器10.10.0.4/16首选10.10.0.1备用10.10.0.10SH-SMS管理服务器10.10.0.5/16首选10.10.0.1备用10.10.0.10SH-SPS协同办公服务器10.10.0.6/16首选10.10.0.1备用10.10.0.10SH-MMS流媒体服务器1
14、0.10.0.7/16首选10.10.0.1备用10.10.0.10SH-FILE文件打印服务器10.10.0.8/16首选10.10.0.1备用10.10.0.10SH-APP应用程序服务器10.10.0.9/16首选10.10.0.1备用10.10.0.10SH-isaVPN服务器内网:10.10.1.254/16外网:ISP提供SH-client内网客户端动态地址(10.0.0.2110.0.255.253)首选10.10.0.1备用10.10.0.10北京分公司网段:10.30.0.010.30.255.255/16北京站点(默认网关:10.1.0.254)计算机名称角色IP地址DNS
15、BJ-dcDC/DNS/DHCP10.30.0.1/1610.30.0.1BJ-exExchange服务器10.30.0.2/1610.30.0.1BJ-isaVPN服务器内网:10.30.1.0.254/16外网:ISP提供BJ-client内网客户端动态地址(10.30.0.2110.30.255.253)10.30.0.1上海分公司网段:10.20.30.0.010.20.255.255/16 DMZ(默认网关:192.168.0.254)计算机名称角色IP地址DNSRODCRODC10.20.0.5/2410.20.0.54.5 DNS部署方案当用户使用企业内部计算机访问公网各种服务时
16、,需要有DNS服务器进行域名解析,如果让内网机器直接使用公网DNS服务器进行解析,这样不仅存在一定的安全风险而且也给访问域内服务器的解析带来麻烦,所以为内部计算机实现如下安全的DNS解析方案:客户机上的DNS配置为使用企业内网的DNS服务器地址,在ISA Server 2008只需要制定一条是允许内网DNS服务器外部网络进行DNS协议通讯即可。4.6用户与计算机对象命名规范为方便管理,客户机命名按部门标识加编号的方式进行命名,如销售部的客户机:sales01;对于服务器的命名则按照该服务器所承担的角色进行命名,如果相同角色的服务器有多台还可加相应的编号,而对于不同地区相同角色的服务器,还可以加
17、上相应位置前缀进行标识。用户命名实行实名制,即以用户的真实姓名的拼音作为用户账户,如果有重名可加部门或编号标示。4.7资源共享规划4.7.1“我的文档”的管理通过组策略将用户的“我的文档”进行重定向到域控制器上指定的磁盘中。这样可以对用户的数据进行集中管理,并防止用户将数据丢失。4.7.2用户配置文件管理通过漫游用户配置文件将用户配置文件统一存储在域控制器上指定的磁盘中,从而实现域用户无论在域内的任何一台计算机登录时,系统都采用本用户自己的工作环境,方便用户使用自己习惯的桌面设置。4.7.3客户机软件的管理对于客户机都通用的软件通过组策略将软件指派给计算机,从而实现软件的自动安装;对于某些用户
18、特定需求的软件,我们通过组策略将软件发布给用户,从而实现根据用户的需求进行软件安装及使用。所有客户计算机都必须安装ISA客户端软件。4.7.4打印服务的设计由于软工中心只有一台打印机设备,则在打印服务器上创建一台共享打印机,并将该共享打印机发布到AD中,从而实现用户对打印服务器的快捷访问。5. 文件服务器设计在文件服务器下以部门名称为名规划多个共享文件夹,并赋予各部门的用户组相对应的权限,为实现众多共享文件夹的统一管理,通过配置Microsoft Windows Server 2008文件服务器的分布式文件系统(DFS),将各部门的共享文件夹都链接到DFS根目录下,这样可以对用户的数据进行集中
19、管理,并防止用户将数据丢失,同时方便用户访问,然后再通过启用卷影副本来对共享文件夹进行版本管理。5.1网络系统安全方案规划5.1.1网络边界逻辑架构荣氏集团公司网络边界通过ISA Server防火墙将企业内网与外部网络隔离,各站点到站点用的VPN来连接。5.1.2站点之间网络链接的建立为了保护企业数据安全,需要使各站点之间的所有数据传送都必须加密而且通过VPN站点的方式进行连接,所以我们利用ISA SERVER搭建VPN服务器,并使用L2TP协议进行VPN的站点与站点的连接。5.1.3域密码安全策略配置公司需要通过组策略来管理企业内部所有用户的密码策略。上海总公司需要一般性的密码策略;北京分公
20、司由于进行产品研发,需要更强的密码策略;同时公司要求在所有的服务器上使用最强的密码策略,以保护服务器的安全。具体策略设置如下: 上海总公司需要应用如下组策略: 强制密码历史 2 最大密码时长 60 天 最小密码长度 7个字符 密码必须符合复杂性需求 可用 使用可逆加密算法存储密码 不可用 北京分公司需要应用如下组策略: 强制密码历史 5 最大密码时长 40天 最小密码长度 9个字符 密码必须符合复杂性需求 可用 使用可逆加密算法存储密码 不可用 上海分支北京分公司需要应用如下组策略:强制密码历史 5 最大密码时长 40天 最小密码长度 9个字符 密码必须符合复杂性需求 可用 使用可逆加密算法存
21、储密码 不可用 上海总公司和北京分公司及上海分支公司所有的服务器需要应用最强的策略,如下: 强制密码历史 24 最大密码时长 30天 最小密码长度 14个字符 密码必须符合复杂性需求 可用 使用可逆加密算法存储密码 不可用 5.2数据备份和灾难恢复规划5.2.1AD的日常数据备份 使用2008新功能Windows Server Backup来进行计划备份,创建第一个完整备份后,可以讲Windows Server Backup配置为自动运行增量备份,以为增量备份近保存 自上次备份以后发生更改的数据。定期对AD数据库进行脱机碎片整理,回收数据库空闲的空间,增加磁盘空间,提高DC性能。文件服务器日常
22、备份在文件服务器上开启计划任务,使用NTBACKUP工具对敏感的数据进行备份。备份方式为星期一至星期五的深夜进行增量备份,星期六或星期天进行一次完整备份(可根据需要自定)。将备份的数据设定在指定的磁盘上。定期清理文件服务器上的一些不必要的数据,以便回收空闲的空间,增加磁盘空间。5.2.2企业敏感数据保护方案假设每个部门都有自己比较敏感的数据需要通过EFS来加密保护,每个部门需要有自己的数据恢复代理人;各部门的敏感数据统一保存在文件服务器上,各部门在文件服务器上都有相应的文件夹来实现本部门敏感数据的安全共享;为了防止数据的丢失,所有数据恢复代理人的私钥需要存档。请为每部门建立至少三个用户帐号,一
23、个为数据恢复代理,两个普通帐号,用以测试在远程文件服务器上实现的EFS加密文件的共享。请为EFS加密文件安全地在客户机与文件服务器之间的安全传输提供解决方案。请测试数据恢复代理人的私钥是可恢复的。5.2.3系统补丁更新方案随着微软不断努力减少代码漏洞,软件更新也在不断进行并成为了企业系统管理和安全战略的重要部分。有效的补丁更新方案可以给企业网络带来以下好处:减少停机时间:系统遭受由于病毒或黑客攻击所造成的损害和死机的可能性大大减少。减少停机成本:网络管理员可以花更少的时间部署更新和更快地响应安全事故。增加了对知识产权的保护:机密的企业信息、商业秘密和个人数据将保持更高的机密性。通过部署WSUS
24、,利用WSUS实现统一软件更新方案,确保能对所有计算机及时进行最新,以保护确保补丁更新的可控性,并优化网络流量。5.2.4备份计划表为了发生灾难时能在最短时间内还原和恢复,本方案采用完全备份和差异备份相结合的方式,为集团的所有域控制器系统状态执行定期自动备份。集团公司关键数据备份时间备份类型存储位置上海总部DC系统状态每周日完全备份磁盘阵列柜每周一到周六差异备份北京分部DC系统状态每周日完全备份DC上的附加磁盘每周一到周六差异备份6. 项目管理与实施计划6.1项目组织结构人员组织在整个项目的进行中,我们主要分为需求分析、人员分工、总体设计、实施前准备、工程安装实施和测试联调环节进行项目。为确保
25、网络系统的设计和建设顺利进行,需要建立一个专业的、完整的人员管理体系,组成一支高效的项目设计、实施、测试维护队伍。6.2 项目人员分工建设方参与本项目的人员:姓名所属部门岗位与职责施工方参与本项目的人员:姓名所属部门岗位与职责集成事业部集成工程师集成事业部集成经理集成事业部集成工程师6.3项目实施前的准备工作(1)项目经理带领项目网络实施小组进行实施前分析,对可能遇到的问题和所需要解决的详细问题做总结、记录。(2)项目领导小组、项目经理、项目实施小组、物资保障小组以及资料文档小组一起召开项目实施准备会议,讨论项目的各项实施细节,明确分工、职责,并由各组组长出具各项计划和监督落实。(3)项目实施
26、小组内部开讨论会,明确综合布线工程师、网络工程师、系统工程师、安全工程师、测试工程师的人员名单及其职责,对设计方案的细节作施工论证,做好施工准备。(4)与建设方联络、交流,协商、确认与安排实施项目的工作,告知实施人员名单,准备项目实施工作。6.4安装前的场地准备工作6.4.1场地划分根据项目的情况,在总部大楼安排一个施工总部,各个分部公司有一个项目实施地。施工总部负责对各分部公司的工作区情况跟进和对随时遇到的问题进行会议商讨、解决,把握项目实施的最新情况和对项目设计方案在实施中遇到困难做出决策。6.4.2施工场地的详细准备施工场地的功能区域划分明确,包括休息区与材料存放区以及施工区。休息区放置
27、适当的消遣用品例如报纸等,材料区对各种工具的存放和使用进行规范严格的标志,对施工区制定一定的管理手段。对施工现场的环境、建筑物特性、硬件设备安装的位置、空间、供电要求等做现场勘察与评估,确认施工与设计方案一致。6.5施工计划及时间安排在此次项目工程实施过程,主要分为以下六个阶段,如表1-1所示工程阶段工程内容阶段目标时间安排第一阶段物理网络的搭建和网络设备的安装、配置按设计规范完成物理网络的布线以及网络设备硬件的安装、配置,形成一个联通、稳定、可靠的物理网络20141.8.12014.9.1第二阶段网络的测试对各网络设备、节点和客户端进行测试,确保用户之间的顺利通信和正常上网20149.120
28、14.10第三阶段网络服务的部署在上一阶段确认网络正常后对网路服务架构进行部署20149.11201410.1地四阶段网络的试运行对网络进行试运行,观察网络的运行,寻找网络的问题,确保网络无重大问题存在201410.1201410.7第五阶段网络优化针对第四阶段的试运行结果,对网络存在的问题和不足解决处理和优化201410.8201410.16第六阶段项目验收如果之前的测试顺利通过,对项目进行验收201410.172014.0.20表1-1:项目工程实施过程7. 致谢毕业设计做完了,同时也代表着大学生活就要结束了。在这里对我们的指导老师,班主任,以及各科老师表示衷心的感谢。你们所教的知识对我们
29、现在的工作非常有帮助,也许在学校的时候还没察觉到,现在出来实习了才发现了这一点。同时在完成毕业设计之际,我们要感谢我们的指导老师程庆华老师热心关怀和悉心指导。在这次的毕业设计中,是他指出我们所遇到的问题才让我们能够完成这次的毕业设计。在他的指导下我们能够很好的解决所遇到的问题使我们受益匪浅,在此表示真诚地感谢和深深的谢意。谨以此致谢最后,我们要向百忙之中抽时间对本文进行审阅的各位老师表示衷心的感谢。8. 参考文献(1) 多伊尔. TCP/IP路由技术第一卷M.葛建立.北京:人民邮电出版社 2007.23.(2) 杰克. 思科CCNP公版教材BCMSN M.魏巍 等译.北京:电子工业出版社,2004.5(3) 陈向阳.网络工程规划与设计.M.北京:清华大学出版社,2007.2(4) 刘晓晓.网络系统集成M.清华大学出版社,2012(5) 崔慧男.局域风规划建设与维护M.北京.航空工业出版社,2004(6) 李鹏.谭成兵.边用边学-局域网组建M.清华大学出版社,2006(7) 陈向阳.网络工程规划与设计.M.清华大学出版社,2007.2(8) 任晓. IPSec网络安全体系结构与VPN的安全性C. 上海微型计算机,2000.9(9) 计算机网络安全技术.M.宋西军 北京大学出版社2006(10) 计算机网络教程(第3版) .M谢希仁,谢钧 人民邮电出版社200420
版权声明:以上文章中所选用的图片及文字来源于网络以及用户投稿,由于未联系到知识产权人或未发现有关知识产权的登记,如有知识产权人并不愿意我们使用,如有侵权请立即联系:2622162128@qq.com ,我们立即下架或删除。
Copyright© 2022-2024 www.wodocx.com ,All Rights Reserved |陕ICP备19002583号-1
陕公网安备 61072602000132号 违法和不良信息举报:0916-4228922