中小型企业级网路搭建与安全实现.doc

1、目录一、企业背景和需求11.企业的需求12.该公司的具体环境如下1二、网络系统设计（图1）2三、网络系统实施人员具体分工3四、网络系统集成实施的详细步骤41.试验设备42.本工程项目主要建设内容43.工程建设详细步骤4五、结论21六、致谢22【参考文献】22中小型企业级网路搭建与安全实现设计者：秦珍珠指导教师：*【摘要】通过实施中小企业网络系统集成项目，掌握对中小企业网络系统建设的需求分析，并给出解决方案，以及进行实施的步骤。【关键词】中小企业；网络系统；集成；需求分析；解决方案；实施步骤；网路布局；网络安全【前言】随着计算机网络技术和网络通信技术的飞速发展和普及，使网络在各个行业中的应用越来

2、越广泛，一旦网络出现问题，企业的正常生产办公将会受到很大影响，更严重的将会使企业遭受重大的经济损失。中小型企业计算机网络组建技术已成为计算机网络专业的一门必须掌握的技术。如何科学地组建一个中小型企业网络，使其具有便利、快捷的可维护性是组建网络的重点。一、企业背景和需求1.企业的需求某公司计划建设自己的网络，希望通过这个新建的网络，提供一个安全、可靠、可扩展、高效的网络环境。使公司内能够方便快捷的实现网络资源共享、全网接入Internet等目标。2.该公司的具体环境如下（1）公司有2个部门，财务部、市场部，还有经理办公室； （2）为了确保财务部电脑的安全，不允许市场部访问财务部主机；（3）财务部

3、不能访问外网；（4）公司只申请到了两个公网IP地址（202.100.103.229、202.100.103.329），供企业内网接入使用，其中一个公网地址分配给公司服务器使用，另一个公网地址分给公司员工上网使用。（5）公司内部使用私网地址172.16.0.016，其中三层交换机SW1为财务部、市场部的DHCP服务器，自动为两部门电脑分配IP地址。（6）公司路由器R4和三层交换机SW1上运行RIP路由协议，并SW1上做默认路由指向R4，在R4上做默认路由指向外网；（7）允许外网用户访问公司www、DNS服务器，但不允许访问内网和FTP服务器；（8）配置公司DNS服务器，实现域名和IP地址的转换；

4、（9）确保网络防攻击能力，最大限度的保证内网和服务器的安全。（10）确保公司全天候运作正常。二、网络系统设计（图1）图1公司网络地址规划（如下表所示）设备接口IP地址R4F00172.16.1.130S30202.100.103.229F01172.16.50.124SW1F022172.16.1.230Vlan 10Vlan 10172.16.10.124Vlan 20Vlan 20172.16.20.124Vlan 30Vlan 30172.16.20.124Vlan 40Vlan 40172.16.40.124服务器网卡接口172.16.50.224备份服务器网卡接口172.16.50.

5、324广域网规划如下：R1S30202.100.103.129F0019.1.1.130R2F0019.1.1.230F0119.1.1.530R3F0019.1.1.630F01202.200.20.124外网用户网卡接口202.200.20.224表1三、网络系统实施人员具体分工某某-公司布线系统建设； 公司局域网建设某某-公司与广域网互联建设；公司服务器建设；广域网建设某某-补丁自动更新软件安装某某-软件防火墙与防木马软件的安装某某-硬件防火墙的搭建四、网络系统集成实施的详细步骤1.试验设备2.本工程项目主要建设内容（1）、 公司布线系统建设（2）、 公司局域网建设（3）、 公司与广域网

6、互联建设（4）、 公司服务器建设（5）、 广域网建设（6）、 硬件防火墙的搭建（7）、 软件防火墙与防木马软件的安装（8）、 补丁自动更新软件安装3.工程建设详细步骤第一，局域网建设。（1）SW1和SW2之间做聚合端口为什么要做端口聚合？因为两个交换机之间有多条冗余链路的时候，STP会将其中的几条链路关闭，只保留一条，这样可以避免二层的环路产生。但是，失去了路径冗余的优点，因为STP的链路切换会很慢，在50s左右。使用以太通道的话，交换机会把一组物理端口联合起来，做为一个逻辑的通道，也就是channelgroup，这样交换机会认为这个逻辑通道为一个端口。这样做的优点：A.带宽增加，带宽相当于组

7、成组的端口的带宽总和。B.增加冗余，只要组内不是所有的端口都down掉，两个交换机之间仍然可以继续通信。C.负载均衡，可以在组内的端口上配置，使流量可以在这些端口自动进行负载均衡。端口聚合它可将多物理连接当作一个单一的逻辑连接来处理，它允许两个交换器之间通过多个端口并行连接同时传输数据以提供更高的带宽、更大的吞吐量和可恢复性的技术。 一般来说，两个普通交换器连接的最大带宽取决于媒介的连接速度（100BAST-TX双绞线为200M），而使用Trunk技术可以将4个200M的端口捆绑后成为一个高达800M的连接。这一技术的优点是以较低的成本通过捆绑多端口提高带宽，而其增加的开销只是连接用的普通五类

8、网线和多占用的端口，它可以有效地提高子网的上行速度，从而消除网络访问中的瓶颈。另外Trunk还具有自动带宽平衡，即容错功能：即使Trunk只有一个连接存在时，仍然会工作，这无形中增加了系统的可靠性。（2）内网的运行RIPv2路由协议；RIPv2是一种无类别路由协议（Classless Routing Protocol）RIPv2支持路由标记，在路由策略中可根据路由标记对路由进行灵活的控制。报文中携带掩码信息，支持路由聚合和CIDR（Classless Inter-Domain Routing，无类域间路由）。支持指定下一跳，在广播网上可以选择到最优下一跳地址。支持组播路由发送更新报文，减少资源

9、消耗。支持对协议报文进行验证，并提供明文验证和MD5验证两种方式，增强安全性。【说明】RIP-2有两种报文传送方式：广播方式和组播方式，默认将采用组播方式发送报文，使用的组播地址为224.0.0.9。当接口运行RIP-2广播方式时，也可接收RIP-1的报文。（3）财务部pc只能访问内部pc和公司服务器作为全公司最重要的部门，财务部必须公司里部门和服务器里的一些信息，以备更新本部门的信息。（4）市场部不能访问财务部主机因为财务部是掌握全公司的资金的部门，所以不允许其它部门对财务部的访问，所以我们在SW2交换机上做了ACL，禁止市场部对财务部的访问。第二，公司与广域网互联建设（1）内网能访问外网有

10、时候公司员工需要在网上查看一些有用的信息，或者上网玩一下一些休闲的游戏；又或者供公司里的wsus下载最新的补丁、杀毒软件之类的升级。（2）无线网络公司员工由于外出工作或者学习的情况下，公司需要配备一些无线网络供这些人使用，让他们可以实时下载、上传和查看公司里的信息，以保证他们的电脑能及时与公司里的信息能够同步。A.配置无线AP的SSID为vlan40（如下图所示）图1B.配置DHCP功能，地址范围为（172.16.40.10172.16.40.200）C.采用WEP加密方式，加密口令为：123456（如下图所示）图2D.客户机动态获取ip地址（如下图所示）图3第三，公司服务器搭建对于本公司来说

11、，得到外网用户的肯定是必须的，为此我们在公司里设置了一个网页以供外网用户浏览，同时也限制了外网用户除了该网页以外，其它的公司内部资源都禁止访问，这样做主要是防止一些不法用户盗取公司里的机密。（1）服务器用windows server 2003搭建（2）配置DNS服务器，域名和IP地址对应如下（如下表所示）域名IP地址192.168.2.5524Tcp192.168.2.5524表1（3）配置www服务器： 配置一个站点（如下图所示）图1图2（4）FTP服务器搭建：配置一个ftp服务器，域名是tcp ，并创建相应的用户，使用户可以管理自己文件里的文件（如下图所示）图3图4图5图6图7第四，广域网

12、的实施。（1）广域网路由协议配置链路是路由器接口的另一种说法，因此OSPF也称为接口状态路由协议。OSPF通过路由器之间通告网络接口的状态来建立链路状态数据库，生成最短路径树，每个OSPF路由器使用这些最短路径构造路由表。开放最短路径协议(OSPF)协议不仅能计算两个网络结点之间的最短路径，而且能计算通信费用。可根据网络用户的要求来平衡费用和性能，以选择相应的路由。在一个自治系统内可划分出若干个区域，每个区域根据自己的拓扑结构计算最短路径，这减少了OSPF路由实现的工作量；OSPF属动态的自适应协议，对于网络的拓扑结构变化可以迅速地做出反应，进行相应调整，提供短的收敛期，使路由表尽快稳定化。每

13、个路由器都维护一个相同的、完整的全网链路状态数据库。这个数据库很庞大，寻径时， 该路由器以自己为根，构造最短路径树，然后再根据最短路径构造路由表。路由器彼此交换，并保存整个网络的链路信息，从而掌握全网的拓扑结构，并独立计算路由。（2）广域网OSPF区域md5认证这样做的目的是为了保密，MD5将任意长度的“字节串”变换成一个128bit的大整数，并且它是一个不可逆的字符串变换算法，换句话说就是，即使你看到源程序和算法描述，也无法将一个MD5的值变换回原始的字符串，从数学原理上说，是因为原始的字符串有无穷多个，这有点象不存在反函数的数学函数。MD5的典型应用是对一段Message(字节串)产生fi

14、ngerprint(指纹)，以防止被“篡改”。举个例子，你将一段话写在一个叫 readme.txt文件中，并对这个readme.txt产生一个MD5的值并记录在案，然后你可以传播这个文件给别人，别人如果修改了文件中的任何内容，你对这个文件重新计算MD5时就会发现（两个MD5值不相同）。如果再有一个第三方的认证机构，用MD5还可以防止文件作者的“抵赖”，这就是所谓的数字签名应用。第五，补丁自动更新。为了有效提高个人计算机的免疫力，防止病毒在内网进行传播，本企业内部安装了WSUS微软补丁服务器。局域网安装的WSUS就像是微软升级网站WindowsUpdate的复制品一样，可以在不连接外网的情况下为

15、Windows 2000XP、Windows Server 2003及时提供重要补丁更新服务，只要用户计算机上进行简单的客户端设置，就可以接受WSUS服务器的管理，自动进行系统和应用软件的补丁更新，修复漏洞，避免了因用户疏忽给系统打补丁而引起的病毒感染，保护了计算机安全。软件要求：要使用默认选项安装 WSUS，必须在计算机上安装以下软件。Microsoft Internet 信息服务 (IIS) 6.0。用于 Windows Server 2003 的 Microsoft .NET Framework 1.1 Service Pack 1。Background Intelligent Tran

16、sfer Service (BITS) 2.0。磁盘要求：系统分区和安装 WSUS 的分区都必须使用 NTFS 文件系统进行格式化。系统分区至少需要 1 GB 的可用空间。WSUS 用于存储内容的卷至少需要 6 GB 的可用空间，建议预留空间为 30 GB。WSUS 安装程序用于安装 Windows SQL Server 2000 Desktop Engine (WMSDE) 的卷至少需要 2 GB 的可用空间。WSUS安装配置（如下图所示）图1图2自动更新要求自动更新是 WSUS 的客户端组件。除了需要连接到网络外，自动更新没有其他的硬件要求。您可以针对运行以下任一操作系统的计算机上的 WS

17、US 使用自动更新：带有 Service Pack 3 (SP3) 或 Service Pack 4 (SP4) 的 Microsoft Windows 2000 Professional、带有 SP3 或 SP4 的 Windows 2000 Server 或带有 SP3 或 SP4 的 Windows 2000 Advanced Server。带有或不带 Service Pack 1 或 Service Pack 2 的 Microsoft Windows XP Professional。Microsoft Windows Server 2003 Standard Edition、Wind

18、ows Server 2003 Enterprise Edition、Windows Server 2003 Datacenter Edition 或 Windows Server 2003 Web Edition。第六，防火墙软件和防木马软件的使用。经调查发现，80%的网络攻击、蠕虫攻击都是来自局域网的内部。由于病毒和木马大都具备自我复制的特征，所以中毒的计算机往往会连累到局域网中其他用户，并且现在有很多反弹木马，它能够主动向外连接客户端，发布有害信息。经过长期的应用实践，我们发现单机防火墙软件和防木马软件结合使用，可有效的保护桌面计算机的安全。所以，本公司大部分计算机除了启用本机的防火墙软

19、件之外，都安装了天网防-火墙单机版和AVG Anti-Spyware7.5的正式版软件，有效地防止了个人计算机遭受病毒，特洛伊木马等恶性代码的威胁以及非法用户的入侵，使个人计算机受到了更加安全的保护(1)、天网防火墙软件安装完后要重启，重启后打开天网防火墙就能起到作用了。默认情况下，它的作用就很强大了。但有时它苛刻的IP规则也带来了很多不便，所以，如果没什么特殊要求的，就设置为默认就OK了，安全级别为中就好。A.防火墙普通应用（如下图所示）图1图2图3B.防火墙开放端口应用（如下图所示）图1图2C.打开端口实例图1(2)、AVG Anti-Spyware7.5致力于确保数据安全,保护您的隐私,

20、抵御间谍软件,广告软件,木马,拨号程序,键盘记录程序和蠕虫的威胁，软件安装完毕后（如下图所示）第七，硬件防火墙的使用。防火墙的主要作用是保障内部网络和服务器不受外界的攻击，企业局域网一般都需要在其核internet的连接处安装防火墙，来控制外界对局域网的访问。而且在局域网内部，一些比较重要的，保密的区块，最好也和局域网中的普通应用隔离，以保证其数据的安全。整个企业分为外网区、内网区、和服务器区（一共架设了四个硬件防火墙，和防火墙软件形成了双层保护）外网区：过滤对本公司有害的信息的进入（服务器、内网的第一层保护）服务器区：保护了公司服务器的安全，免受攻击（服务器的第二层保护）内网区：公司里的财务

21、部主机里包含着公司里的多有资金的信息，所以在sw2之间架设了一台硬件防火墙（对财务部进行第二层保护）因为经理室里的主机往往记录了许多公司里的机密，所以除了安装软件防火墙之外，还得安装一个硬件防火墙（对经理室进行第二层保护）（1）由于企业可以与外网访问，所以在R4与外网路由之间设置一个防火墙（如下图所示）图1（2）由于外网用户可以访问服务器所以在服务器与R4路由之间使用一个防火墙（如下图所示）图2（3）财务部与SW2之间放一个防火墙（如下图所示）图3（4）经理办公室与SW1之间放一个防火墙（如下图所示）图4五、结论经过了实习期间的网络配置，我们组终于完成了，在本次配置中，本小组主要对该网络进行了

22、如下设计：（1）、对本公司使用了四个硬件防火墙（充分保护了网络中数据的流通安全性，有效制止一些攻击）（2）、除了架设了硬件防火墙之外，在每一台机子上都安装了相应的防火墙软件和防木马软件（防止不法用户恶意破坏公司里的计算机）（3）、为了使外网用户不能进行非法地进行访问其它内部计算机，我们做了ACL和OSPF，外网用户只能访问www，限制了外网用户访问内部计算机和FTP。（4）、市场部不能访问财务部主机。（5）、财务部只能访问内部计算机和公司服务器。（6）、内网能访问外网。本来想加上网络流量控制，使得限制本公司日常流量，有效地控制带宽，考虑到控制流量就要新增一个部门（作为日常维护公司网络），因为本

23、技术人员技术有限所以目前正在改进。还有服务器备份也是技术有限，所以还只是个设想。本网络主要限制了外网用访问本公司内部计算机，只能访问www却不能访问ftp，过滤了所有不法的信息的流通，保证财务部与经理部计算机的安全。改进：进行限制流量设计，限制日常流量，有效控制带宽。架设备份服务器。六、致谢 在实训过程中非常感谢刘少坤老师的指导，在这段时间里我学到了很多项目设计的知识，获取了一定的项目经验，提高了我的动手操作的能力，更重要的是我从老师这里学会了如何去自行解决问题，这对我将来走向工作岗位提供了很大的帮助，甚至会影响我的一生。【参考文献】1.陈少荣.利用分组网实现信息网络的远程访问方案.北京：科技

24、情报开发与经济，2006 2.钟小平.网络服务器配置与应用GBH.北京:人民邮电出版社，20053.马树奇.网络安全从入门到精通GBH.北京:电子工业出版社，20044.卫少军.中小企业办公局域网组建方案.北京:科技情报开发与经济，20045.深圳市龙伯电子有限公司,计算机网络世界,2004,4 ,P236.李春山.中小企业局域网组建和管理的实践.哈尔滨:信息技术，2002，67.丁明.中小型局域网组建.杭州：江苏电器，2004，68. 肖晓梅,小型局域网的组建方案.南昌: 科技广场，2005.19.凌船繁,涂保东,计算机网络技术于应用(第四版),上海交通大学出版社,200310.毛汉书.网络技术基础(第六版),北京人民邮电出版社,200311.柏松.计算机网络组建与管理，上海科学普及出版社,200412.郭秋萍.计算机网络实用教程（第2版）北京:北京航空航天大学出版社,2003,913.郭秋萍.计算机网络实验教程.北京:北京航空航天大学出版社,2003,9第14页（共22页）