弓I 言 ..
典型中小型企业组网实例……
案例描述 ...... 硬件设备 ......
IP 地址规划……
局域网安全威胁分析……
局域网的安全控制与病毒防治策略……
?…12 中小型企业网络方案的主要特点与要求
-? (1)
(2)
(四) 网络拓扑……
?…3 (五)
配置需求及解决方案...... (3)
网络布局和综合布线治 ........
? ? ? ^7 网络布局的原则……
? ? ? ^7
网络布局的具体实施要求…… ?…8 网络布局的规划与设计……
?…9 局域网的安全控制与病毒防治 ..........
?...11 ?...11 ....15 . (16)
结论....
参考文献......
引言
随着计算机及局域网络应用的不断深入,特别是各种计算机应用系统被相继应用在实际工作中,各企业、各单位同外界信息媒体之间的相互交换和共享的要求日益增加。需要使各单位相互间真正做到高效的信息交换、资源的共享,为各单位人员提供准确、可靠、快捷的各种生产数据和信息,充分发挥各单位现有的计算机设备的功能。为加强各公司内各分区的业务和技术联系,提高工作效率,实现资源共享,降低运作及管理成本,公司有必要建立企业内部局域网。局域网要求建设基于TCP/IP协议和WWW技术规范的企业内部非公开的信息管理和交换平台,该平台以WEB为核心,集成WEB文件共享、信息资源管理等服务功能,实现公司员工在不同地域对内部网的访问。
中小型企业网络方案的主要特点与要求
中小企业局域网通常规模较小,结构相对简单,对性能的要求则因应用的不同而差别较大。许
多中小企业网络技术人员较少,因而对网络的依赖性很高,要求网络尽可能简单、可靠、易用,降
低网络的使用和维护成本、提高产品的性能价格比就显得尤为重要。基于以上特点,应遵循下列设
计原则:
1.把握好技术先进性与应用简易性之间的平衡。
2.具有良好的升级扩展能力。
3.具有较高的可靠性和安全性。
4.产品功能与实际应用需求相匹配。
80%勺中小企业用户通常只用到局域网20%勺功能。精简功能设计的产品不但可以在满足大多数
需求的情况下有效降低成本,而且还能够提高系统的稳定性和易维护性。
5.尽可能选择成熟、标准化的技术和产品。
恰当运用以太网的不同标准和功能,以太网技术能够在双绞线、多模光纤、单模光纤等介质上
传输数据,可以非常简单地升级到百兆、千兆的速率,而且具有很高的稳定性和可管理性。
以太网提供了多种标准和功能。比如10Mb ps 100Mb ps 1000Mb ps不同速率的标准,双绞线、光
纤等不同介质的标准,以及网络管理、流量控制、VLAN优先级、链路聚合等功能。
典型中小企业组网实例
(一)案例描述
典型中小企业组网实例,申请一个公网IP和10M带宽,单台路由器,WE曲艮务器,文
件服务器,FTP服务器等,客户端办公电脑100台左右,多部门划分VLAN用ACL g制各部门访问权限,配置网络打印机。
(二)硬件设备
Cisco Catalyst 4500 系列能够为无阻碍的第2/3/4层交换提供集成式弹性,因而能
进一步加强对融合网络的控制。可用性高的融合语音/视频/数据网络能够为正在部署基于
互联网企业应用的企业和城域以太网客户提供业务弹性。4500系列中提供的集成式弹性增强包括1 + 1超级引擎冗余、集成式IP电话电源、基于软件的容错以及1+1电源冗余。硬件和软件中的集成式冗余性能够缩短停机时间,从而提高生产率、利润率和客户成功率。是用于公司企业网络交换机群核心层高性价比的一系列。
Cisco WS-C2960-48T拥有大数量的接口,全智能自动全双工半双工识别,具有用于接入层交换机的良好优势。能够快速转发用户的数据。
Cisco 2821是一台多业务路由器,比较适合中小型企业的需求与应用。
Nokia IP355是一款应用于中小型企业的防火墙产品,能够进行SNMP,Telnet,FTP,SSHv2(安全Telnet&FTP),HTTP 服务器RFC 2068,SSL/TLS RFC 2246,命令行运用的管理和对流量的过滤,对于中小型的安全问题防护性能比较良好。
(三)IP地址规划
(四)网络拓扑
(五)配置需求及解决方案
为了直观方便,配置需求全部在配置命令中加以单点说明, 量大反复,这里只列出重点命令。
1. 配置 Router : 接口: in terface fastethemetO/1
ip address 172.16.0.1 255.255.255.252 dup lex auto sp eed auto ip nat in side no shutdow n
in terface fastethernet0/2
市场部
172.16.42.1/24
172.16.2.3/^
GiOA P: 172.16.0.2/^
t 忙1」:选山
F FTP
并且配置命令
niemet
hii'
Ruulvr
RO/S IP ;221.156..66.117
FSO/L IP ; 172.16.0.1/50 Ml [
Ciire switch 172.16-254.25^
172.16.2.1/24
172.16.2.2/^
SWI 172.16.254.3
世讣部也脑
L72.16.41.1
帀场誌电弐A
172-16.43.1
172.16.40.1
11 了场「喘1
筋虫
期结打卬机
L72.16.30.1
Core switch 祀押 i VTP Version 2 VTP m 口血 server
VTP domain nams; OA
ip address 221.195.66.117 255.255.255.248 dup
lex auto sp eed auto ip nat outside no shutdow n 路由: ip route 0.0.0.0 0.0.0.0 221.195.66.117 过载: ip nat in side source list 110 in terface FastEthernetO/2 overload access-list 110 permit ip 172.16.0.0 0.0.255.255 any 2.配置 Core switch : VTP VTP Versio n: 2 Con figurati on Revisi on: 7 Maximum VLANs supported locally : 1005 Number of existi ng VLANs: 9 VTP Op erati ng Mode: Server VTP Domai n Name: OA VTP Pruning Mode: Disabled VTP V2 Mode: En abled VTP Traps Gen erati on: En abled VLAN core-sw#vla n database core-sw(vla n)#vtp domai n OA core-sw(vla n)#vtp server core-sw(vla n)#vla n 10 n ame shicha ng core-sw(vla n)#vla n 11 n ame caiwu core-sw(vla n)#vla n 12 n ame sheji core-sw(vla n)#vla n 13 n ame netprin ter core-sw(vla n)#vla n 20 n ame server core-sw(co nfig)#i nterface vla n 10 core-sw(co nfig-if)#ip address 172.16.42.254 255.255.255.0 core-sw(co nfig)#i nterface vla n 11 core-sw(co nfig-if)#ip address 172.16.40.254 255.255.255.0 进入vlan 配置模式 设置vtp 管理域名称OA 设置交换机为服务器模式 创建VLAN 10 创建VLAN 10
创建VLAN 12
创建VLAN 13 创建VLAN 20
为市场部 为财务部 为设计部 为网络打印机 为服务器组
core-sw(co nfig)#i nterface via n 12
core-sw(co nfig-if)#ip address 172.16.41.254 255.255.255.0
core-sw(co nfig)#i nterface vla n 13
core-sw(co nfig-if)#ip address 172.16.30.254 255.255.255.0
core-sw(co nfig)#i nterface vla n 20
core-sw(co nfig-if)#ip address 172.16.2.254 255.255.255.0
将接入层SW上的端口根据需要划分至各个VLAN
3.配置ACL
配置ACL应用在各个部门VLAN接口上,控制各部门互访
access-list 10 permit 172.16.2.0 0.0.0.255
access-list 10 permit 172.16.30.0 0.0.0.255
access-list 10 deny 172.16.0.0 0.0.255.255
access-list 10 p ermit any
进入vlan 10
ip access-gro up 10 out
把访问控制列表10应用于VLAN 10 OUT方向上,市场部内部可以互访,可以访问服务器网段和网络打印机网段,但不能访问财务部和设计部所在网段。
access-list 11 permit 172.16.2.0 0.0.0.255
access-list 11 permit 172.16.30.0 0.0.0.255
access-list 11 p ermit 172.16.42.0 0.0.0.255
access-list 11 deny 172.16.0.0 0.0.255.255
access-list 11 p ermit any
进入vlan 11
ip access-gro up 11 out
把访问控制列表11应用在VLAN11 OUT方向上,财务部内部可以互访问,可以访问服务器网段和网络打印机网络,可以访问市场部网段,但不能访问设计部网段。
设计部VLAN 12,网络打印机VLAN 13,服务器VLAN 20可以访问任意网段,应用访问控制列表access-list 110 在in的方向上,圭寸掉常见病毒端口。
access-list 110 deny tcp any any eq 1068
access-list 110 deny tcp any any eq 2046
access-list 110 deny udp any any eq 2046
access-list 110 deny tcp any any eq 4444
access-list 110 deny udp any any eq 4444
access-list 110 deny tcp any any eq 1434
access-list 110 deny udp any any eq 1434
access-list 110 deny tcp any any eq 5554
access-list 110 deny tcp any any eq 9996
access-list 110 deny tcp any any eq 6881
access-list 110 deny tcp any any eq 6882
access-list 110 deny tcp any any eq 16881
access-list 110 deny udp any any eq 5554
access-list 110 deny udp any any eq 9996
access-list 110 deny udp any any eq 6881
access-list 110 deny udp any any eq 6882
access-list 110 deny udp any any eq 16881
access-list 110 p ermit ip any any
可以根据实际需要将此ACL应用于任一接口,或者添加一些屏蔽软件的端口,达到管理内部员工
的目的,也可以用局域网内部的管理软件,更加直接方便,并且易于操作。
4.配置FTP服务器:
用IIS架设(IIS只适用于Window NT/2000/XP操作系统)。
安装:
WindowXP默认安装时不安装IIS组件,需要手工添加安装。进入控制面板,找到“添加/删除程序”,打开后选择“添加/删除Window组件”,在弹出的“ Window组件向导”
窗口中,将“ In ternet信息服务(IIS )”项选中。在该选项前的“2”背景色是灰色的,这是因为Window XP默认并不安装FTP服务组件。再点击右下角的“详细信息”,在弹出的“Internet信息服
务(IIS )”窗口中,找到“文件传输协议(FTP)服务”,选中后确定即可。
安装完后需要重启。Window N"/2000和Window XP的安装方法相同。
设置:
电脑重启后,FTP服务器就开始运行了,但还要进行一些设置。点击“开始-所有程序f管理工具f In ternet信息服务”,进入“ In ternet信息服务”窗口后,找到“默认FTP站点”,右击鼠标,
在弹出的右键菜单中选择“属性”。在“属性”中,我们可以设置FTP服务器的名称、IP、端口、访
问账户、FTP目录位置、用户进入FTP时接收到的消息等。
FTP站点基本信息:
进入“FTP站点”选项卡,其中的“描述”选项为该FTP站点的名称,用来称呼你的
服务器,这里设置名称为“FTP服务器” ;“IP地址”为服务器的IP,设置为172.1622 ;
“ TCP端口”一般仍设为默认的21端口;“连接”选项用来设置允许同时连接服务器的用户最大连
接数;“连接超时”用来设置一个等待时间,如果连接到服务器的用户在线的时间超过等待时间而没
有任何操作,服务器就会自动断开与该用户的连接。设置账户及其权限: