1、中小型企业网络的规划与设计【摘要】随着信息技术的快速发展,中小型企业的业务进一步的电子化,与Internet的联系也更加紧密。他们也需要信息基础平台去支撑业务高速发展。这样没有信息技术背景的企业也将会对网络建设有主动诉求。任何决策的科学性和可靠性都是以信息为基础的,信息和决策是同一管理过程中的两个方面,因此行业信息化也就成了人们所讨论并实践着的重要课题。众多行业巨头纷纷采取各种应用方案且取得了巨大的成功,使信息化建设更具吸引力。相对于大型应用群体而言,中小型企业的信息化建设工程通常有规模较小,结构简单的特点,综合资金投入、专业人才以及未来发展等因素,网络的实用性、安全性与拓展性是中小企业实现信
2、息化建设的要求。为此,成本低廉、操作简易、便于维护、能满足业务运作需要的网络办公环境是这一领域的真正需求。针对绝大多数中小型企业集中办公这一现实特点,我们设计出了中小型企业信息化常用解决方案,能够较好地发挥企业网的使用效果和水平,具有很强的代表性。本文从企业网络需求开始分析,根据现阶段CISCO公司主流网络设备进行选材,规划最适用于目标网络的拓扑结构,建设合理的网络设计方案,并测试其结果最终验证网络的规划与设计符合企业的需求。【关键词】中小型企业;企业网络;拓扑结构;需求目录1.引言52.需求分析6 2.1背景分析6 2.2应用需求6 2.3安全需求7 2.4网络可扩展需求7 2.5实现目标7
3、3.网络设备的选型8 3.1交换机选型8 3.2路由器选型8 3.3服务器选型9 3.4无线AP选型10 3.5集线器选型10 3.6 PC机选型10 3.7 IP地址划分11 3.8部门VLAN划分及编制方案11 3.8.1企业办公区部门划分11 3.8.2企业生产区部门划分11 3.8.3服务器群地址划分12 3.9设备采购124.方案设计13 4.1网络拓扑设计13 4.2交换机地址规划表13 4.2.1 Multilayer Switch 0地址规划表13 4.2.2 Multilayer Switch 1地址规划表14 4.3路由器地址规划表14 4.3.1 r0地址规划表14 4.
4、3.2 r1地址规划表14 4.3.3 r2地址规划表15 4.4网络设备配置15 4.4.1 Multilayer Switch 0的相关配置15 4.4.2 r 0的相关配置16 4.4.3 r 1的相关配置18 4.4.4 r 2的相关配置19 4.4.5 Multilayer Switch 1的相关配置21 4.5测试与验证225ACL策略下的实现方案25 5.1标准ACL25 5.2扩展ACL25 5.3反向访问控制列表25 5.3.1反向访问控制列表的用途25 5.3.2反向访问控制列表的格式26 5.4基于时间的访问控制列表27 5.4.1基于时间的访问控制列表用途:27 5.4
5、.2基于时间的访问控制列表的格式:276.企业网络安全设计29 6.1 封堵常见病毒端口29 6.2封堵P2P端口29总结31参考文献31致谢321.引言 在21世纪的今天,世界信息化席卷全球,因特网的迅猛发展不仅带动了信息产业和国民经济的增长,也为企业的发展带来了生机勃勃的景象。企业规模的不断壮大和业务量的不断增多,原来的工作方式已经再也不能满足现代企业的发展需要,特别是对突发事件的处理能力的需求。现代企业如果没有信息技术的支持,就不能称之为现代企业。随着信息技术的发展的,网络技术的不断成熟,企业对信息要求越来越高。当今社会人员流动越来越频繁,使得管理工作也变的越来越复杂。如何管理好企业内部
6、的信息,成为企业管理中一个人的问题。如果能实现信息管理的自动化,无疑将给公司带来很人的方便。因此,企业网络的建设是企业向信息化发展的必然选择。企业网络为企业的现代化发展、综合信息管理和办公自动化等一系列应用提供了基础平台。为了适应业务的发展和国际化的需求,积极参与国家信息化的进程,提高管理水平,发展全新的形象,某公司准备组建一个现代化的企业网络,实现信息资源的共享、协作和通讯,并和下属各个部门进行互联。在此基础上,开发建设现代化的企业应用系统,实现智能型、信息化、快节奏、高效率的管理模式。本文从企业网络的需求开始分析,根据现阶段CISCO公司主流网络设备进行选材,结合中小型企业的实际需求,举例
7、分析、设计、配置、模拟组建出一个典型的中小型企业网络。规划出最适用于该公司网络的拓扑结构,建设一个合理的网络设计方案。2.需求分析2.1背景分析目前,在中国中小企业占到全国工业企业的97%以上,已经成为中国企业的主要组成部分。在竞争激烈的市场环境下,许多中小型企业都在追求高效的管理与沟通方法,发展跨地区、跨国业务,促进客户服务,增强企业的市场竞争力。特别在当今信息化的现代社会,企业的运作模式也发生了根本性变化。建设企业网络来提高企业运作效率的做法越来越普及。所以近年来,许多中小型企业都建立了自己的网络,但是,由于许多中小企业的决策者对网络的管理及应用,在认识上存在着一定的局限性,以及现有企业条
8、件和信息技术力量的局限,往往会在使用网络,尤其是在如何管理好企业的网络、挖掘和整合好企业网络资源的优势上,还存有许多不尽人意的地方,致使不少中小企业的网络系统,从建立网络,到应用网络,再到管理网络,缺乏一定的科学性、有序化和规范化的发展态势,甚至直接影响乃至制约着企业核心业务的持续发展。所以一个良好的中小型网络成为了企业发展好坏的决定性因素。某企业是一家生产研发型企业,为了加快信息化建设,将组建一个以办公自动化、电子商务、业务综合管理、多媒体视频会议、远程通讯、信息发布及查询为核心,以现代网络技术为依托,技术先进、扩展性强的企业内部网络,将企业的各部门办公室、多媒体会议室、PC终端设备和应用系
9、统通过网络连接起来,实现内、外沟通的现代化计算机网络系统。2.2应用需求(1)Web服务器随着企业业务的不断拓展,企业在业界的影响力越来越大,越来越多的商业合作伙伴和客户需要从互联网上了解集团的信息,并希望通过互联网进行商务合作。为了进一步提高企业知名度并在互联网发布集团及子公司的商业信息,企业需要在自己的网络中建立WEB服务器。(2)WWW服务器众所周知,WWW服务器主要功能是提供网上信息浏览服务,是Internet目前发展最快和目前用的最广泛的服务。(3)FTP服务器为了实现企业内部的文件资源的存储、管理和转发,企业计划采用两种方式管理文件资源,总部及各子公司设立自己的文件服务器、上项工作
10、由各单位的系统管理员自行完成。另外,在企业生产区建立自己的FTP服务器,此项工作包含在本项目中,由工程实施单位完成。FTP服务的建立要求具备足够的存储空间用于存储各单位的文档资料及应用软件并能够实现利用FTP客户端软件及WEB浏览器访问。(4)邮件服务器随着企业规模的不断扩大,企业内部的信息交流变得越来越重要,企业迫切的需要建立自己内部的消息传递平台,用于让员工之间方便的传输各种文件、数据和其他消息。企业计划搭建邮件服务器实现企业内部的消息传递平台,需要在企业生产区建立邮件服务器,允许所有员工进行收发电子邮件。通过企业的邮件服务器,员工还可以和外部的用户之间收发电子邮件。(5)DNS服务器计算
11、机网络间的通信首先必须由DNS将域名解析为IP地址,为了公司内部网络之间能够通信,DNS可以为员工访问内部网络提供域名解析,同时也提高了网络访问的速度和准确度。(6)文件服务器企业内部需要大量数据文件进行交换,且各部门的资料访问权限各不相同,有一个文件服务器不仅可以提供大容量的存储空间,还可以设置不同的访问权限,企业内部的一些机密文件会更加安全。2.3安全需求传统企业网络的安全措施主要是通过部署防火墙、IDS 、杀毒软件以及配合交换机或路由器的ACL来实现对于病毒和黑客攻击的防御,而本文主要通过介绍ACL功能和开发应用来探讨信息网络安全中利用交换机或路由器的访问控制列表(ACL)来构建计算机网
12、络安全体系的一种方法。2.4网络可扩展需求网络的拓扑结构应具有可扩展性即网络联结必须在系统结构、系统容量与处理能力、物理接连、产品支持等方面具有可扩充与升级换代的可能,采用的产品要遵循通用的工业标准,以便不同的设备能方便灵活地接入网络并满足系统规模扩充的要求。为了使所实现系统能够在应用发生变化的情况下保护原有的开发投资,在设计系统时,应将系统按功能做成模块化,可根据需要增加和删除功能模块。2.5实现目标某一家生产研发型企业分为生产区和办公区两个区域,现在要对这家企业的网络进行组建。企业的生产区有会议室、员工宿舍楼和车间等需要进行网络布线;办公区有多个部门,分别是经理部、财务部、销售部、客户部、
13、售后服务部。要求实现经理部可以访问财务部,而其他部门不能访问财务部,财务部能够访问其他部门。各个部门间可以进行相互通信。部门和部门之间用不同的VLAN划分。员工在上班期间不能上QQ进行聊天,下班后就可以。只容许192.168.1.0网段的用户在周末访问FTP服务器,并下载FTP资源,其他时间段不能下载该FTP资源。3.网络设备的选型3.1交换机选型中小企业网络通信量不大,并且网络应用不是非常复杂,所以接入层均采用二层固定端口交换机,汇聚层采用三层模块化交换机,考虑到对网络接入和网络安全的管理,所有交换机全部采用可网管交换机。交换机选型时,应该遵循以下原则:接入层交换机全部采用可网管交换机,实现
14、对每台接入计算机的控制,实现VLAN的划分,确保最大限度的网络访问安全。可以选择CISCO 2950系列智能以太网交换机。这一系列的交换机是一个全新的、固定配置的独立设备系列,提供桌面快速以太网和10/100/1000千兆以太网连接。由于CISCO 2950已经停产,我们可以选择CISCO 2960系列交换机代替,当前报价为每台3750元。 图3-1-1 Cisco Catalyst 2960 系列交换机汇聚层交换机采用拥有千兆位端口的可网管交换机,实现VLAN间的快速转发,实现与核心交换机的高速连接,并借助访问控制列表抓制计算机接入和网络服务,避免可能产生的网络瓶颈。可以选择CISCO 35
15、60E系列的交换机。CISCO 3560E系列的交换机具有很好的易用性、可扩展性和很高的IP路由功能,可以提供千兆的以太网速度和智能服务,确保网络的顺畅运行。如今网络上报价为2.1万元。图3-1-2 Cisco Catalyst 3560-E系列接入和汇聚交换机3.2路由器选型思科1841路由器采用模块化架构设计,适用于中小型企业,提供了业界范围最广的安全连接选项以及可用性和可靠性的特性。思科1841路由器专为安全数据连接设计,与前几代思科1700系列路由器相比,提供了五倍以上的性能提高,经由Cisco IOS软件安全镜像支持基硬件的集成加密,能够大大提高了接口卡性能和密度。通过提供集成服务、
16、出色模块化密度和高性能,思科1841路由器为中小型企业、小型企业分支机构和服务供应商客户边缘提供了针对多个应用的安全性、多功能性、可扩展性和灵活性。思科1841路由器为客户提供了业界灵活性、安全性和可适应性最高的基础设施,可满足现在及未来企业对最高投资回报的需要。当前价位为每台3700元。图3-2 Cisco 1841系列路由器3.3服务器选型在选择服务器时,不仅要看当前的性能,还要看生产厂商的服务能力。这种能力包括两个方面,一方面是基本的安装和调试能力,另一方面是开发和升级能力,后一种能力是最为重要的,企业系统的每一次升级换代都可能面临着产品的升级后功能的增减。如果厂商有升级能力,企业的每一
17、次升级都有相应的保障,相反,就会给企业造成很大的浪费和经济损失。服务器是系统中至关重要的核心设备,其作用是为各类应用提供硬件运行平台。对服务器的选择不仅仅是满足当前已开展的各项业务需要,更要着眼于未来。对网络服务器的选择,首先应从系统性能入手,通过客观的分析比较,确定一款或者一系列具有令人满意的主频处理速度和I/0吞吐量的服务器。产品质量要有保证,严格执行国际质量认证体系,确定产品稳定可靠。由十各项业务属十对外开放的,因此作为集中放置数据载体的服务器系统,一旦出现数据丢失或者差错将给用户造成重大经济损失和极坏影响,因此在服务器选型和系统配置时,应该充分考虑到系统可靠性在今后系统运行时的重要地位
18、。戴尔PowerEdge T310是一款塔式四核的服务器。其CPU频率可达2.4GHz,智能加速主频为2.8GHz,内存容量为4GB,DDR3型号的,内存插槽数量为6个,允许扩充的最大内存容量为32GB。硬盘容量为1TB,允许扩充的最大容量为4TB。具有扩展槽:2PCI-E G2 x8插槽(一个具有x16接口),1PCI-E G2 x4插槽(具有x8接口),2PCI-E G2 x1插槽。可扩展性强,符合中小型企业网络服务器的选型。当前价位为每台7800元,性价比高。图3-3 戴尔PowerEdge T310系列服务器3.4无线AP选型TL-WA501G是TP-LINK公司旗下的一款高性价比的无
19、线AP ,提供全中文Web配置界面,可以通过Web浏览器方便的对TL-WA501G进行访问和控制,配置直观、简单、快捷。还可以通过Web界面对TL-WAS501G+进行在线软件升级,以适应将来更高层次和更新要求。这款AP在市场上报价约320元,价位也比较适合中小型企业使用。 图3-4 TL-WA501G系列无线AP3.5集线器选型 集线器B-Link BL-HB24是一款24口双BNC的集线器。适合于以太网的传输,传输速率为10Mbps。有24个RJ45,2个BNC同轴电缆线接口,1个AUI接口,符合IEE802.3,10Bset-T,10Bset-2的网络标准。当前的报价为每台1580元,是
20、一款性能较高的集线器。图3-5 集线器B-Link BL-HB243.6 PC机选型 联想新圆梦F358是一款性价比较高的台式电脑。该电脑市场价格为3450元,以下为这款电脑的一些基本配置。 屏幕尺寸:20英寸 CPU 型号:AMD 闪龙 X2 190 CPU频率:2500MHz 内存容量:2GB DDR3 硬盘容量:500GB 7200转,SAT 显卡芯片:ATI Radeon HD 5450 光驱类型:DVD-ROM 操作系统:Linux 产品类型:家用电脑 显卡类型:独立显卡 声卡描述:集成5.1声卡 网卡描述:1000Mbps以太网卡 图 3-6 联想新圆梦F3583.7 IP地址划分
21、企业申请的公网IP地址为:12.1.1.5/24和12.1.1.6/24。企业生产区内部IP地址采用192.168.0.0段的私有IP地址,企业办公区内部IP地址采用172.16.0.0段的私有IP地址,并目对企业内部局域网进行VLAN划分,其优点是可以减少网络内的广播数据包,提高网络运行效率,区分不同的应用和用户等,方便网络的管理与维护。3.8部门VLAN划分及编制方案3.8.1企业办公区部门划分部门VLAN号IP网段销售部Vlan1172.16.1.0/24客户部Vlan2172.16.2.0/24售后服务部Vlan3172.16.3.0/24打印室Vlan4172.16.0.0/24经理
22、部172.16.5.0/24财务部172.16.4.0/243.8.2企业生产区部门划分部门VLAN号IP网段员工宿舍楼一、二Vlan1192.168.1.0/24车间Vlan2192.168.2.0/24服务器群Vlan3192.168.3.0/24会议室Vlan4192.168.4.0/243.8.3服务器群地址划分服务器名称IP地址VLAN网关Web192.168.3.2Vlan3192.168.3.1/24WWW、FTP192.168.3.3Vlan3192.168.3.1/24邮件服务器192.168.3.4Vlan3192.168.3.1/24DNS192.168.3.5Vlan3
23、192.168.3.1/24文件服务器192.168.3.6Vlan3192.168.3.1/243.9设备采购设备名称数量资金(元)CISCO 1841系列路由器3台3*3700=11100CISCO 2960系列交换机4台4*3750=15000CISCO 3560E系列交换机2台2*21000=42000服务器5台5*7800=39000无线AP1台1*320=320集线器1台1*1580=1580PC机300台300*3450=1035000总计1144004.方案设计4.1网络拓扑设计4.2交换机地址规划表4.2.1 Multilayer Switch 0地址规划表4.2.2 Mul
24、tilayer Switch 1地址规划表4.3路由器地址规划表4.3.1 r0地址规划表4.3.2 r1地址规划表4.3.3 r2地址规划表4.4网络设备配置4.4.1 Multilayer Switch 0的相关配置SwitchenSwitch#vlan database% Warning: It is recommended to configure VLAN from config mode,as VLAN database mode is being deprecated. Please consult userdocumentation for configuring VTP/VL
25、AN in config mode.Switch(vlan)#vlan 2 /创建vlan2VLAN 2 added: Name: VLAN0002Switch(vlan)#vlan 3 /创建vlan3VLAN 3 added: Name: VLAN0003Switch(vlan)#vlan 4 /创建vlan4 VLAN 4 added: Name: VLAN0004Switch(vlan)#exit APPLY completed.Exiting.Switch#config tEnter configuration commands, one per line. End with CNT
26、L/Z.Switch(config)#int f0/5 /进入f0/5口Switch(config-if)#switchport mode accessSwitch(config-if)#switchport access vlan 2 /划分到vlan 2Switch(config-if)#exitSwitch(config)#int f0/2 /进入f0/2口Switch(config-if)#switchport access vlan 3 /划分到vlan 3Switch(config-if)#exitSwitch(config)#int f0/4 /进入f0/4口Switch(con
27、fig-if)#switchport access vlan 4 /划分到vlan 4Switch(config-if)#exitSwitch(config)#exitSwitch# %SYS-5-CONFIG_I: Configured from console by consoleSwitch#config tEnter configuration commands, one per line. End with CNTL/Z.Switch(config)#ip routing /启用routing功能Switch(config)#int f0/1 /进入f0/1口Switch(confi
28、g-if)#switchport mode trunk /与路由器连接的f0/1口设置为trunk口Switch(config-if)#endSwitch#%SYS-5-CONFIG_I: Configured from console by consoleSwitch#config tEnter configuration commands, one per line. End with CNTL/Z.Switch(config)#int vlan 4 /进入vlan 4%LINK-5-CHANGED: Interface Vlan4, changed state to up%LINEPRO
29、TO-5-UPDOWN: Line protocol on Interface Vlan4, changed state to upSwitch(config-if)#Switch(config-if)#ip address 192.168.4.2 255.255.255.0 /设置IP地址和子网掩码Switch(config-if)#no shut /将vlan 4开启Switch(config-if)#exitSwitch(config)#ip dhcp pool vlan4 /创建一个IP地址池vlan4Switch(dhcp-config)#network 192.168.4.0 25
30、5.255.255.0 /设置网段范围Switch(dhcp-config)#default-route 192.168.4.1 /设置网关Switch(dhcp-config)#dns-server 218.85.157.99 /设置dnsSwitch(dhcp-config)#exitSwitch(config)#ip dhcp excluded-address 192.168.4.1 192.168.4.1 /设置无线AP的地址范围Switch(config)#ip dhcp excluded-address 192.168.4.254 192.168.4.254Switch(confi
31、g)#exit Switch#%SYS-5-CONFIG_I: Configured from console by console4.4.2 r 0的相关配置RouterenRouter#config tEnter configuration commands, one per line. End with CNTL/Z.Router(config)#host r0 /将路由器命名为r0r0(config)#int f0/0r0(config-if)#no ip address /进入f0/0口设置为无IP地址r0(config-if)#no shut%LINK-5-CHANGED: Int
32、erface FastEthernet0/0, changed state to up%LINEPROTO-5-UPDOWN: Line protocol on Interface FastEthernet0/0, changed state to upr0(config-if)#int f0/0.1 /设置f0/0子端口f0/0.1%LINK-5-CHANGED: Interface FastEthernet0/0.1, changed state to upr0(config-subif)#%LINEPROTO-5-UPDOWN: Line protocol on Interface Fa
33、stEthernet0/0.1, changed state to upr0(config-subif)#encar0(config-subif)#encapsulation dot1q 1r0(config-subif)#ip address 192.168.1.1 255.255.255.0 /在子端口上配置IP地址r0(config-subif)#no shut /将子端口打开r0(config-subif)#exitr0(config)#int f0/0.2r0(config-subif)#%LINK-5-CHANGED: Interface FastEthernet0/0.2, ch
34、anged state to up%LINEPROTO-5-UPDOWN: Line protocol on Interface FastEthernet0/0.2, changed state to upr0(config-subif)#encapsulation dot1q 2r0(config-subif)#ip address 192.168.2.1 255.255.255.0r0(config-subif)#no shutr0(config-subif)#exitr0(config)#int f0/0.3%LINK-5-CHANGED: Interface FastEthernet0
35、/0.3, changed state to up%LINEPROTO-5-UPDOWN: Line protocol on Interface FastEthernet0/0.3, changed state to upr0(config-subif)#r0(config-subif)#encapsulation dot1q 3r0(config-subif)#ip address 192.168.3.1 255.255.255.0r0(config-subif)#no shutr0(config-subif)#exitr0(config)#int f0/0.4%LINK-5-CHANGED
36、: Interface FastEthernet0/0.4, changed state to up%LINEPROTO-5-UPDOWN: Line protocol on Interface FastEthernet0/0.4, changed state to upr0(config-subif)#r0(config-subif)#encapsulation dot1q 4r0(config-subif)#ip address 192.168.4.1 255.255.255.0r0(config-subif)#no shutr0(config-subif)#exitr0(config)#
37、int s0/0/0r0(config-if)#ip address 12.1.1.6 255.255.255.0r0(config-if)#clock rate 56000r0(config-if)#no shut /先用命令r0#show controller s0/0/0查看为DCE 口,所以需要配置clock。%LINK-5-CHANGED: Interface Serial0/0/0, changed state to downr0(config-if)#exitr0(config)#router rip /启用rip协议r0(config-router)#net 12.1.1.0
38、/声明12.1.1.0网段r0(config-router)#net 192.168.1.0r0(config-router)#net 192.168.2.0r0(config-router)#net 192.168.3.0r0(config-router)#net 192.168.4.0r0(config-router)#endr0#%SYS-5-CONFIG_I: Configured from console by consoler0#config tEnter configuration commands, one per line. End with CNTL/Z.r0(config
39、)#ip nat pool nat 12.1.1.1 12.1.1.3 netmask 255.255.255.0 /设置外网IP地址r0(config)#access-list 1 permit 192.168.0.0 0.0.255.255r0(config)#ip nat inside source list 1 pool nat overload /将访问控制列表与地址池进行关联 r0(config)#int f0/0r0(config-if)#ip nat inside /指定连接网络的内部端口r0(config-if)#exitr0(config)#int s0/0/0r0(con
40、fig-if)#ip nat outside /指定连接外部网络的外部端口r0(config-if)#exitr0(config)# 4.4.3 r 1的相关配置RouterenRouter#Router#config tEnter configuration commands, one per line. End with CNTL/Z.Router(config)#host r1r1(config)#int s0/0/0r1(config-if)#ip address 12.1.1.5 255.255.255.0r1(config-if)#no shut%LINK-5-CHANGED: I
41、nterface Serial0/0/0, changed state to upr1(config-if)#exit%LINEPROTO-5-UPDOWN: Line protocol on Interface Serial0/0/0, changed state to upr1(config)#int s0/0/1r1(config-if)#ip address 172.16.85.2 255.255.255.0r1(config-if)#clock rate 56000r1(config-if)#no shut%LINK-5-CHANGED: Interface Serial0/0/1,
42、 changed state to downr1(config-if)#exitr1(config)#int f0/0r1(config-if)#ip address 172.16.4.1 255.255.255.0r1(config-if)#no shut%LINK-5-CHANGED: Interface FastEthernet0/0, changed state to up%LINEPROTO-5-UPDOWN: Line protocol on Interface FastEthernet0/0, changed state to upr1(config-if)#exitr1(con
43、fig)#router ripr1(config-router)#net 172.16.1.0r1(config-router)#net 172.16.2.0r1(config-router)#net 172.16.3.0r1(config-router)#net 172.16.0.0r1(config-router)#net 12.1.1.0r1(config-router)#net 192.168.1.0r1(config-router)#net 192.168.2.0r1(config-router)#net 192.168.3.0r1(config-router)#net 192.168.4.0r1(config-router)#exitr1(config)# r1(config)#ip access-list standard cw /以下为配置标准ACL使经理部能和财r1(config-std-nacl)#permit 172.16.5.0 0.0.0.255 务部通信,其他部门不能访问财务部