终极论文终结者..doc_一课资料网ekdoc.com

资源描述

1、第一章企业局域网规划实施计划 1.1了解用户，收集信息网络规划的目的在于收集一线信息的基础上给出合理可行的设计方案，如战场指挥，运筹帷幄，决胜千里，其关键之处在于广泛收集信息，全面合理的规划企业办公局域网需认真考虑三点因素：（1）企业历史网络资源信息，当前网络规划设计计划，领先的技术方向，运营机制和管理办法，满足未来网络的高度扩展计划及其特点（2）了解企业办公局域网的使用者分别是谁？他们各自的知识层次如何？以及他们对计算机的使用观点和使用频率如何？他们对当前的网络态度和看法如何？这一点将为日后安排多少人员进行网络的技术支持和维护起导向作用。（3）明确网络规模：哪些部门，多少网络用户，哪

2、些资源需要上网，采用什么档次的设备而又在资金预算范围内，不同部门之间的信息流向问题，不同时刻网络流量及流量峰值问题，确定网络终端数量及位置，共享数据的存储位置和哪些人要用这些数据等基本状况等（4）找出用户与用户，用户与资源，资源与资源之间的内在关系，相关信息，这是企业局域网设计的前提和依据，是规划的核心思想，作为一个企业办公局域网，如何使得设计的网络便于用户需求和管理应用，这一点尤为重要。 12 分析需求，提出网络设计原则 121 需求分析企业网络有着自身的特殊性，办公局域网对整个网络性能要求相对较高，办公局域网组建需满足对数字，语音，图形图象等多媒体技术的宽泛应用，并能符合多种协议的

3、要求，其体系应当符合国际标准（如TCP/IP协议，Novell IPX协议等），同时能兼容已有的网络环境，因此设计组网前，应对各方面需求总结归纳，做出细致分析：（1）内部光缆主干需求：规划需分析综合布线系统及其子系统，主配线间MDF与二及配线间IDF的位置，不同类别的服务器位置等。（2）应用管理需求：能够让管理人员从繁琐的文字处理中彻底解脱出去，以计算机信息系统交流和日常事物，构建公文系统，日常办公系统，档案系统，电子邮件等功能，且需操作简单，便于使用。满足视频点播，具备基本的Internet访问等。（3）网络流量需求：要求企业办公有足够的网络吞吐量来满足办公需求，保证信息的高质高效率传

4、输，办公局域网涉及到服务器访问，Web浏览，视频点播等，对带宽需求和时延性要求极高。（4）网络安全需求：办公局域网必须有完善的安全管理机制，能够确保网络内部可靠运行，还要防止来自外部的和来自内部的非法访问和入侵，保证关键数据库的存储安全 122 提出设计原则（1）网络可靠性原则：网络设计过程中网络拓扑应采用稳定可靠的形式，如：双路由网络拓扑，星型网络结构。因为它们即可冗余备份，安全性又方便添加新的工作组，核心层交换可采用高端交换设备和光纤技术的主干链路来实现较高的容错性，这样就可以避免单点故障的出现，网络结构使用双链路，双核心交换设备，双路由备份可靠措施，都可以使校园网可靠性和实用性得到

5、大大的提高（2）网络可扩展性原则：校园园区网扩展性包含2层意思（一）：新的办公部门能简单的接入现有网络（二）：升级新技术的应用能够无逢的在现有网络上运行可见，规划校园园区网络时不但要分析当前的技术指标，而且要对未来的网络增长情况做出估计和预算，以满足新的需求，保证网络可靠性，从而保证企业办公正常的秩序。 1.3 作出合理的网络拓扑图14 IP如何划分此局域网100台计算机分5个工作组IP划分、工作组一 192.168.1.1192.168.1.21工作组二 192.168.2.1192.168.2.21工作组三 192.168.3.1192.168.3.21工作组四 192.168.4

6、1192.168.4.21工作组五 192.168.5.1192.168.5.21子网掩码均为 255.255.255.0默认网关都使用工作组第一个IP第二章如何接和设备选用2.1 工作站计算机配置CPUAMDX2 3600+590内存宇瞻 533 512Mb250主板MIS K9N65GM-V499显卡铭宣7300GT449硬盘ST 80G400声卡集成网卡集成键盘与鼠标光鼠套30显示器AOC D7710耳麦外送2.2路由器：TP-LINK TL-R490 数量：1 单价：2400 其具体参数如下路由器类型宽带路由器网络协议TCP/IP、PPPoE、DHCP、ICMP、NAT、SNT

7、P 固定的广域网接口10/100Base-T1 固定的局域网接口10/100Base-T4 其他端口控制端口 Console 内置防火墙是 Qos支持不支持支持VPN支持网管软件网管协议 SNMP 电源220VAC，50Hz 尺寸29415844mm 其他性能安全标准 CE, FCC Class A 2.3防火墙：Juniper NetScreen-25B 数量：1 单价：14500 主要参数如下：设备类型中小型企业级防火墙并发连接数24000网络吞吐量100Mpps安全过滤带宽20MB网络端口4个用户数限制无用户数限制入侵检测DoS安全标准FCC, UL, CE, CUL, C-Tick

8、 VCCI, BSMI, CSA控制端口RS-232管理SNMPVPN支持支持Juniper NetScreen-25B 一般参数防火墙尺寸30042744mmmm防火墙重量3.5kg2.4主交换机：D-Link DES-1226G数量：1 单价：1200 主要参数如下：交换机类型网管交换机传输速率10Mbps/100Mbps/1000Mbps 网络标准IEEE 802.3、IEEE 802.3u、IEEE 802.3ab 1、IEEE 802.3z、ANSI/IEEE 802.3 NWay、IEEE 802.3x 网络协议CSMA/CD 端口数量24个10/100Mbps端口接口介质1

9、0BASE-T、100BASE-TX、1000BASE-T 传输模式全双工/半双工自适应配置形式独立式交换方式存储-转发背板带宽48Gbps VLAN支持支持 MAC地址表6K 模块化插槽数2 指示面板每端口:连接/活动、速率,每设备:电源/CPU 尺寸(mm)44014044mm 重量(Kg)2.125kg 其他技术参数基于端口VLAN,支持VLAN最大数目:26/设备/优先级队列(QoS):标准:802.1p,队列数:2个/安全性:CUL/电磁辐射：FCC Class A，CE Class A/电源功率:16瓦（最大）/RAM缓存:每台设备512KB/MAC地址表:每个设备6K条目

10、特点用于服务器/网络骨干连接的端口干路/基于端口的VLAN加强了网络性能和安全性/802.1p优先级队,基于端口的QoS/基于web的简易配置/标准机架尺寸/以太网:10Mbps（半双工）,20Mbps（全双工）/快速以太网:100Mbps（半双工）,200Mbps（全双工）/千兆以太网:2000Mbps（全双工）/ 2.5 二级交换机：D-Link DES-1016R+ 数量4 单价600 主要参数如下基本参数产品类型快速以太网交换机网络标准IEEE802.3 10Base-T、IEEE802.3u 100Base-TX传输速率（Mbps）10/100交换容量（Gpbs）3.2交换方式存储-

11、转发吞吐率（Mpps）延迟地址表大小网管支持SNMP管理信息库(MIB)II，SNMP MIB扩展，桥接MIB(RFC 1493)端口参数端口数16模块插槽数1端口类型100Base-FX/TX电气参数电压(V)220功率（W）39外观参数重量（Kg）2.6长度（mm）440宽度（mm）207高度（mm）44环境参数工作温度（）0 - 50工作湿度10% - 90%存储温度（）-30 - 60存储湿度5% - 95%其它参数支持全双工是堆叠支持固定式/堆叠式2.6打印机： Epson EPL-6200L 数量2 售价1550打印机服务器配置与工作组电脑配置相同.2.7其他设备：光纤若干，5类

12、双绞线若干，水晶头若干，压线钳1把，千兆位网卡2张 2.8 服务器选择:选用 IBM Sytem x3650 价格 24375RMB数量2(考虑到服务器冗于因此架构2太服务器)2.9具体组网规划：在外网接入内网时选用光纤接入直接到路由器，在路由器到中心交换机和中心交换机到服务器也选用光纤，在中心交换机到二级交换机和二级交换机到工作组选用5类双绞线。做出如上规划原因是在现代网络带宽越来越大的时代，办公也由传统的办公转化为现代的网络办公，为了满足办公需要必须使用能提供快速办公的设施。也许在组建网络初期会感觉花费很大但就整体而言该网络有较大的扩展性和易维护性，方便以后的添加需求。第三章网络安全部

13、分3.1 网络概况分析局域网是一个信息点较为密集的网络系统，为整个网内办公的提供了一个快速、方便的信息交流平台。通过专线与Internet的连接，各个部门可以直接与互联网用户进行交流、查询资料等。通过公开服务器，企业可以直接对外发布信息或者发送电子邮件。高速交换技术的采用、灵活的网络互连方案设计为用户提供快速、方便、灵活通信平台的同时，也为网络的安全带来了更大的风险。因此，当一个局域网组建成功后，最关心的还是局域网的安全问题。局域网内数据是通过线链路进行数据传输，有一些非法用户通过截获链路中的数据给局域网用户带来损失，要解决这一问题，我们就必需使用到加密功能，这项功能能够对传输的数据进行加密，

14、即使非法用户获得这些数据，也无法破译，所以我们组建局域网成功后必需将这项功能开启。3.1.1 网络结构局域网按访问区域可以划分为三个主要的区域：Internet区域、内部网络、公开服务器区域。内部网络又可按照所属的部门、职能、安全重要程度分为许多子网，不同的局域网分属不同的广播域，因此在中心交换机上将这些网段各自划分为一个独立的广播域，而将其他的工作站划分在一个相同的网段。 3.1.2 网络应用局域网可以为用户提供如下主要应用： 1文件共享、办公自动化、WWW服务、电子邮件服务； 2文件数据的统一存储； 3针对特定的应用在数据库服务器上进行二次开发； 4提供与Internet的访问； 5通

15、过公开服务器对外发布信息、发送电子邮件等； 3.1.3 网络结构的特点 1.网络与Internet直接连结，进行安全方案设计时要考虑与Internet连结的有关风险，包括可能通过传播病毒，黑客攻击，来自Internet的非授权访问等。 2.网络中存在公开服务器，由于公开服务器对外必须开放部分业务，因此在进行安全方案设计时应该考虑采用安全服务器网络，避免公开服务器的安全风险扩散到内部。 3.内部网络中存在许多不同的子网，不同的子网有不同的安全性，因此在进行安全方案设计时，应考虑将不同功能和安全级别的网络分割开，这可以通过交换机划分VLAN来实现。 4.网络中有二台应用服务器，在应用程序开发时就应

16、考虑加强用户登录验证，防止非授权的访问。 3.2 网络系统安全风险分析网络安全可以从以下方面来理解：1 网络物理是否安全；2 网络平台是否安全；3 系统是否安全；4 应用是否安全；5 管理是否安全。 3.2.1 物理安全风险分析网络的物理安全主要是指地震、水灾、火灾等环境事故；电源故障；人为操作失误或错误；设备被盗、被毁；电磁干扰；线路截获。以及高可用性的硬件、双机多冗余的设计、机房环境及报警系统、安全意识等。只要制定健全的安全管理制度，做好备份，并且加强网络设备和机房的管理，这些风险是可以避免的。 3.2.2 网络平台的安全风险分析网络结构的安全涉及到网络拓扑结构、网络路由状况及网络的环境

17、等。 3.2.3 公开服务器面临的威胁局域网内公开服务器区（WWW、EMAIL等服务器）作为的信息发布平台，一旦不能运行后者受到攻击，影响巨大。同时公开服务器本身要为外界服务，必须开放相应的服务；黑客容易闯入。有必要将公开服务器、内部网络与外部网络进行隔离，避免网络结构信息外泄；同时还要对外网的服务请求加以过滤，只允许正常通信的数据包到达相应主机，其他的请求服务在到达主机之前就应该遭到拒绝。 3.2.4 路由状况分析安全的应用往往是建立在网络系统之上的。网络系统的成熟与否直接影响安全系统成功的建设。只使用一台路由器，用作与Internet连结的边界路由器，网络结构相对简单，具体配置时可以考虑

18、使用静态路由，这就大大减少了因网络结构和网络路由造成的安全风险。 3.2.5 应用的安全风险分析应用系统的安全是动态的、不断变化的跟具体的应用有关它涉及到信息、数据的安全性：信息的安全性涉及到：机密信息泄露、未经授权的访问、破坏信息完整性、假冒、破坏系统的可用性等。由于局域网跨度不大，绝大部分重要信息都在内部传递，因此信息的机密性和完整性是可以保证的。对于有些特别重要的信息需要对内部进行保密的直接在应用系统开发时进行加密。 3.3.1 黑客攻防击黑客们的攻击会利用系统和管理上的一切可能利用的漏洞。这时为了防止黑客，需要设置组特权，不允许任何使用公开服务器的人访问WWW页面文件以外的东西。在这

19、个企业的局域网内我们可以综合采用防火墙技术、Web页面保护技术、入侵检测技术、安全评估技术来保护网络内的信息资源，防止黑客攻击。 3.3. 病毒的攻击计算机病毒一直是计算机安全的主要威胁。能在Internet上传播的新型病毒的种类和传染方式也在增加，国际空间的病毒总数已达上万甚至更多。下载可执行文件和接收来历不明的E-Mail文件需要特别警惕，否则很容易使系统导致严重的破坏。最近的“熊猫烧香”病毒就是可怕的例子。 3.3. 不满的内部员工内部员工可能在站点上开些小玩笑，甚至破坏。对于已经离职的不满员工，这些员工比已经离开的员工能造成更大的损失，例如他们可以传出至关重要的信息、泄露安全重要信息

20、错误地进入数据库、删除数据等等。可以通过定期改变口令和删除系统记录以减少这类风险。 3.4 安全需求与安全实现3.4.1 系统安全策略系统的安全主要是指操作系统、应用系统的安全性以及网络硬件平台的可靠性。对于操作系统的安全防范可以采取如下策略：对操作系统进行安全配置，提高系统的安全性；系统内部调用不对Internet公开；关键性信息不直接公开，尽可能采用安全性高的操作系统。应用系统在开发时，采用规范化的开发过程，尽可能的减少应用系统的漏洞；网络上的服务器和网络设备尽可能不采取同一家的产品；通过专业的安全工具（安全检测系统）定期对网络进行安全评估。3.4. 应用安全主要考虑通信的授权

21、传输的加密和审计记录。这必须加强登录过程的认证，确保用户的合法性；其次应该严格限制登录者的操作权限，将其完成的操作限制在最小的范围内。另外，在加强主机的管理上，还可以采用访问存取控制，对权限进行分割和管理。应用安全平台要加强资源目录管理和授权管理、传输加密、审计记录和安全管理。对应用安全，主要考虑确定不同服务的应用软件并紧密注视其Bug ；对扫描软件不断升级。3.4. Internet防火墙技术在网络中的应用防火墙服务用来防止外界侵入可以防止各种危险(病毒、资源盗用等)传播到网络内部。服务于以下多个目的:1)限定人们从一个特定的控制点进入;2)限定人们从一个特定的点离开;3)防止侵入者接近你

22、的其他防御设施;4)有效地阻止破坏者对你的计算机系统进行破坏。防火墙常常被安装在受保护的内部网络上并接入Internet，所有传输信息或发出的信息都必须经过防火墙。这样,防火墙就起到了保护诸如电子邮件、文件传输、远程登录、在特定的系统间进行信息交换等安全的作用，它由一组硬件设备(包括路由器、服务器)及相应软件构成。但防火墙是防外不防内的因此需要对内部进行管理。3.4. 杀毒软件的应用没有绝对安全的网络它总会中毒或中木马因此查杀也成了局域网组建的关键在此我们选用国产的瑞星企业版杀毒工具主要重以下两方面考虑一）其能快速反映国内最新的病毒还推出针对某个病毒的专杀工具。二）其性价比较高能减少企业的开支

23、第四章管理方案设计安全管理的实现规范 4.1 管理的安全风险分析管理是网络中安全最最重要的部分。责权不明，管理混乱，使得一些员工或管理员随便让一些非本地员工甚至外来人员进入机房重地，或者员工有意无意泄漏他们所知道的一些重要信息，而管理上却没有相应制度来约束。当网络出现攻击行为或网络受到其它一些安全威胁时（如内部人员的违规操作等），无法进行实时的检测、监控、报告与预警。同时，当事故发生后，也无法提供黑客攻击行为的追踪线索及破案依据，即缺乏对网络的可控性与可审查性。这就要求我们必须对站点的访问活动进行多层次的记录，及时发现非法入侵行为。建立全新网络安全机制，必须深刻理解网络并能提供直接的解

24、决方案，因此，最可行的做法是管理制度和管理解决方案的结合。防火墙担当网络防黑的作用，虽然网络中心的路由器也具有防火墙功能，不过路由器的防火墙功能一般都不够强大，因此，校园网中使用防火墙还是有必要。校园网中的防火墙与普通防火墙有些不同，它不但要防止外来黑客的攻击，还要防止内部员工的恶作剧和限制员工访问非法站点。防火墙不进行设置，是无法抵御黑客的攻击。 4. 选用内部网络管理工具二、INTRAVIEW（内网监控）标准版： InTraView(内网监控）软件是一款企业级的内网监控管理系统。用于监视计算机开机后的所有操作情况，能够全程管理和控制内网电脑的全部过程；需要在被监视电脑上安装控制软件，特别

25、适合于需要内网监控管理的单位使用；主要功能有：（一）实时操作日志（1）实时详细地记录所有工作站的操作日志。包括工作站上窗口标题的变换、程序的启动关闭、浏览的网址、收发的邮件标题、创建删除文件等。（2）窗口标题变化时实时截图屏幕，并实时上传到服务器。（二）屏幕快照、屏幕追踪、屏幕回放（1）屏幕快照抓取员工计算机当前的工作屏幕；（2）屏幕追踪能定时连续不断地追踪员工计算机的工作屏幕；屏幕截取的最短时间间隔为1秒；（3）窗口切换，同时系统定时截取屏幕数据，可供日后的查询取证。采用先进的数据压缩技术存储屏幕图像数据。（三）应用程序使用记录、使用限制、使用统计（1）详细记录各个应用程序的开启关闭的时间

26、运行时间，活动时间等信息；（2）提供应用程序白名单和黑名单功能，方便地限制员工可以运行哪些程序，不能运行哪些程序；（3）以图表的方式列出一定时间内员工使用应用程序的分析报告，精确地反应出员工工作态度。（四）窗口变化记录（1）详细记录员工计算机窗口变化情况，真实反应出工作情况。（2）窗口变化时，自动记录屏幕数据，可以在屏幕回放时，清楚地了解员工对计算机的使用情况。（五）文件及目录操作记录（1）详细记录文件创建、重命名、删除的情况；（2）详细记录文件夹（目录）创建、重命名、删除等情况。（六）打印机操作记录（1）记录员工的打印机使用情况，包括打印的文档名、页数、打印时间等。（七）硬件使用限制（1）

27、限制使用USB设备、USB存储设备、光驱、软驱的使用。（2）减少计算机受外界病毒的侵入，防止企业机密信息外泄。（八）软硬件清单、变化记录（1）远程列出员工计算机的软件和硬件清单；（2）可以方便企业的计算机资产管理；（3）可以方便企业了解员工计算机内安装软件的情况。（九）MSN/MSN shell/新浪UC/ICQ/AOL/SKYPE/E话通/YAHOO通/贸易通/google talk/淘宝旺旺/TM/QQ聊天记录监视能够详细记录被监视电脑的MSN/MSN shell/新浪UC/ICQ/AOL/SKYPE/E话通/YAHOO通/贸易通/google talk/淘宝旺旺/TM/QQ聊天记录；能

28、够导出、打印、查询。下图可以看出此管理工具有着强大的管理功能：在和该软件供应商联系后得知需花费4530元就可有为企业办公的100台机器安装上述的管理工具。第五章服务器架构方案设计5.1服务器安装什么样的操作系统？考虑到系统的安全性决定选用微软的Server 2003企业版作为服务器的操作系统，其自生有着强大的管理功能，和系统自带的服务能够满足企业所需求的服务。5.2 一个办公局域网该有的服务5.2.1 WEB 服务什么是WEB服务器?Web服务器是指驻留于因特网上某种类型计算机的程序。当Web浏览器（客户端）连到服务器上并请求文件时，服务器将处理该请求并将文件发送到该浏览器上，附带的信息会

29、告诉浏览器如何查看该文件（即文件类型）。服务器使用HTTP（超文本传输协议）进行信息交流，这就是人们常把它们称为HTTPD服务器的原因。Web服务器不仅能够存储信息，还能在用户通过Web浏览器提供的信息的基础上运行脚本和程序。 WEB服务器也称为WWW(WORLD WIDE WEB)服务器，主要功能是提供网上信息浏览服务。 WWW 采用的是客户/服务器结构，其作用是整理和储存各种WWW资源，并响应客户端软件的请求，把客户所需的资源传送到 Windows 2000（或Windows2003）、UNIX 或 Linux 等平台上。 5.2.2 FTP服务 FTP是File Transfer Pro

30、tocol（文件传输协议）的缩写，用来在两台计算机之间互相传送文件。相比于HTTP，FTP协议要复杂得多。复杂的原因，是因为FTP协议要用到两个TCP连接，一个是命令链路，用来在FTP客户端与服务器之间传递命令；另一个是数据链路，用来上传或下载数据。FTP服务器是互联网上提供FTP 提供一定存储空间的计算机，它可以是专用服务器，也可以是个人计算机。当它提供这项服务后，用户可以连接到服务器下载文件，也允许用户把自己的文件传输到FTP服务器当中。 FTP服务器可以以两种方式登录，一种是匿名登录，另一种是使用授权账号与密码登录。 1）一般匿名登录只能下载FTP服务器的文件，且传输速度相对要慢一些，当

31、然，这需要在FTP服务器上进行设置，对这类用户，FTP需要加以限制，不宜开启过高的权限，在带宽方面也尽可有的小。 2）而需要授权账号与密码登录，他需要管理员将账号与密码告诉网友，管理员对这些账号进行设置，比如他们能访问到哪些资源，下载与上载速度等，同样管理员需要对此类账号进行限制，并尽可能的把权限调低，如没十分必要，一定不要赋予账号有管理员的权限5.2.3 流媒体服务随着越来网络传输的带宽越来越大，许多的公司会有网络视频会议或传输一些视频文件，而与其密切相关的“流媒体(Streaming Media)”也成了许多人谈论的热门话题，因为“流媒体”正是实现这些宽频应用的技术动力。目前，在网络上传输

32、音/视频等多媒体信息有两种解决方案，即http或ftp下载以及流式传输。http或ftp下载使用标准的http和ftp协议，但由于多媒体信息个头巨大，下载一个多媒体文件一般需要几分钟或几小时的时间，这就造成为了看一个并不知道内容的视频，首先需要耗费可能比整个视频都要长的时间来完成下载。这些被下载的文件还必须在下载前制作完成，放在网络服务器上，这样造成的直接后果就是：网络带宽不断提高，人们下载的等待时间越来越少，但最终还是不能观看网上现场直播。流式传输时，声音、影像或动画等多媒体信息由流媒体服务器向用户计算机连续、实时传送，它首先在使用者端的电脑上创建一个缓冲区，于播放前预先下载一段资料作为缓

33、冲，用户不必等到整个文件全部下载完毕，而只需经过几秒或十数秒的启动延时即可进行观看。当多媒体信息在客户机上播放时，文件的剩余部分将在后台从服务器内继续下载。如果网络连接速度小于播放的多媒体信息需要的速度时，播放程序就会取用先前建立的一小段缓冲区内的资料，避免播放的中断，使得播放品质得以维持流式传输除了能够发送已经制作完成的文件外，还可以通过采集服务器实时采集现场音视频，推送到流媒体服务器端，实时提供给用户。因此，流媒体除了能够更好的承担如下载一样的多媒体点播服务外，更能够应用在现场直播、电视转播、突发事件报道等多种对实时性传输要求.结束语在紧张的小型办公局域网组建中,我得到了多位老师精心的指导和同学无私的帮助,在他们的大力支持下,我较好地完成了毕业设计任务,基本达到了论文大纲的要求,但由于时间仓促,所作论文还存在许多不妥之处,请多见谅。感谢我的指导老师王老师，在整个系统的设计过程中，他提出了许多宝贵的指导意见。另外，借此机会感谢我身边的同学，是在他们的热情帮助与深入探讨中解决了许多困难。在此一并致谢！参考文献新编局域网组建与管理编著：博振书苑机械工业出版社网管员必读-网络组建作者：王达电子工业出版社电子局域网全面上手作者：王宏春海洋出版社22

展开阅读全文