中小型企业局域网的安全方案与对策

.现代信息工程职业技术学院毕业设计论文课题名称：中小型企业局域网的平安设计方案* 0901231151健溢性别 男 专业 计算机网络技术 年级、班级 2009网络技术班 指导教师 肖东升 职称高级工程师2012年 4月 13日摘要本设计论文主要是对现在中小型的企业局域网，办公网络进展规划和设计。目前国经济开展迅速，改革开放以来私企和一些中小型的私人企业、股份企业如雨后春笋。尤其在21世纪的十年里，伴随这剧烈的竞争各企业不断改良管理模式，加大了在企业信息化和办公自动化方面的投入，使得信息网络产业开展迅速。中小企业网络化能够促进产业的开展，加大工作效率。关键词：网络规划设计 综合布线 网络设备 WEB效劳器 DHCP效劳器目 录前言1. 绪论61.1 工程背景 61.2 中小企业网络概述62. 需求分析62.1 企业描述72.2 网络概况82.3公司需求82.4解决方案92.5可行性分析93. 网络逻辑方案103.1 布线逻辑方案103.2 网络逻辑方案114. 网络详细设计方案 12 4.1网络配置方案12 4.2效劳器配置方案 195. 工程测试与维护 20总结21致22参考文献23前 言随着现代网络通信技术的应用和开展，互联网迅速开展起来，世界逐步进入到网络化、共享化，我国已经进入到信息化的新世纪。在整个互联网体系巾，局域网是其巾最重要的局部，公司网、企业网、银行金融机构网、政府、学校、社区网都属于局域网的畴。局域网实现了信息的传输和共享，为用户方便互联网、提升业务效率和效益提供了有效途径。1建立企业局域网，可以同分利用企业现有的硬件资源。节约公司的开支，实现无纸化办公。提高企业员工的工作效率，由于局域网企业部的资源可以得到共享，防止了不必要的重复工作也可以提高时间的利用率。2局域网建成后可以节约企业在使用网络资源方面节约更多的开支，便于公司员工查阅和承受网络信息，也可以简化公司对计算机的日常维护和管理，节约维护本钱。3建立局域网提高公司在办公自动化水平和企业部应用电子商务的能力，逐步实现业务级网络应用。更有利于企业获得更快、更准确的市场信息，为公司决策提供更科学的依据等。4建立局域网也可以是外界能更快更好的认识本企业，加强企业知名度。本研究以在中小企业为背景，多层面探索这些企业在网络规设计碰到的问题和解决方法，供有关部门作为研究、管理决策、规划的参考。1 绪论1.1 工程背景中小企业网络主要是企业部网络建立，包括企业部计算机节点的分布与整个网络的物理线路连接合理布局，以及门户、电子商务平台的搭建。进入21世纪后我国的中小企业大都进入信息化和办公自动化或者半信息半自动化。网络能够提高整个企业的工作效率，加大市场宣传面，增加业务业务量。因此中小企业网络将在20年得到高速的开展。公司追求形象，所以在网络设计和布设方面要求特别高，要求绝对的合理化。另外合理的网络布局使我们企业办公场所环境优良，企业的网络化使得公司工作效率普遍较高，WEB效劳器和办公效劳器的架设，使得公司对外宣传面扩大，提高了效益。同时网络化办公也使员工能够在网络上找到疑问的答案。网络使得公司各方面都得到了很快的开展。中小企业的网络规划、设计和维护越来越需要标准化和规化。1.2 中小企业网络概述中小企业网络主要是企业部网络建立，包括企业部计算机节点的分布与整个网络的物理线路连接合理布局，以及门户、电子商务平台的搭建。进入21世纪后我国的中小企业大都进入信息化和办公自动化或者半信息半自动化。网络能够提高整个企业的工作效率，加大市场宣传面，增加业务业务量。因此中小企业网络将在20年得到高速的开展。2 需求分析2.1 企业描述： 职能描述如图2-1所示：行政主管行政主管业务主管业务主管技术主管技术主管业务总监行政总监技术总监董事长图21 职能描述该公司新购一个办公楼层，需要在目前简易装修的根底上设计企业网络，并且与下面的再次装修根本同步进展，外网接入电信光纤。董事长单独1间办公室；三个总监共3间办公室；技术部1间办公室技术主管在技术部办公；业务部1间办公室业务主管在业务部办公；行政部1间办公室行政主管在行政部办公；公司设一个机房。一个信息技术操作室2.1.2 公司的建筑物理布局如图22所示：业务总监技术总监网管操作机房会议室业务办公区技术部业务办公区前台行政部接待董事长办公室行政总监茶水间洗手间2.2 网络概况电信网络独享百兆接入，由于电信法相关规定，地址转换翻译有特殊规定，使用一个ip为全公司整个网络使用，会导致违反规定，会被误认为是黑网吧之类的节点，因此公司采取使用全部公网。电信分配的ip地址为202.16.100.33掩码：255.255.255.0.另外电信的路由是终结的。 2.3 公司需求节点需求：名称节点数IP分配机房10个调试室2个董事长办公室1个总监办公室共3个技术办公区8个行政办公区6个业务办公区24个前台1个无线1个效劳器需求：Web效劳器、数据库效劳器、dhcp、办公、存储网络需求：（1） WEB需要至少30M的流量上传下载速率：30*128kb，约为3M/S。（2） 数据库效劳器同上。（3） 办公效劳器办公系统，网使用。（4） DHCP网使用和效劳器。（5） 存储效劳器。（6） 董事长办公室、总监办公室各独享3M。（7） 布线必须不影响公司整个装修的美观。2.4 解决方案综合布线需求主要是价廉、合理、美观、标准。因此进展夹墙、地板下、天花板上布线。网络设备主要放在机房和大厅个办公区域头部柜子。机房使用一个机柜33U、1.6M，防尘地板，和空调。Web和数据库效劳器必须7*24不连续,使用linu*操作系统架设web和ftp。办公效劳器和主要的网络设备放置机房机柜。办公效劳器采用windows 2003操作系统。主要为ftp和办公系统。公司办公网上网使用CICSO路由器实现dhcp，调试室使用静态公网ip地址。2.5 可行性分析通过对该企业写字楼的现场调查和需求分析后，对其可行性进展分析。技术上可行：该系统所需硬件设备，市场上销售且价格较低，操作系统采用linu*、Windows系列操作系统，数据库采用SQL，这些软件已被大量应用，技术上都比拟成熟。因此在技术上是可行的。经济上可行：网络企业主要的是实现办公自动化和信息化。网络是网络企业开展的命脉和根本，没有网络该类型企业无法开展。因此，这项投入是企业必须的。因此经济上没有问题。管理上可行：整个公司的办公资料是通过办公效劳器集中存储处理的，整个网络设备都是集中的机房并且具有专人进展维护。因此可以到达了集中管理。管理上是可行的。综上所述，设计建立该网络工程在技术上、经济上、管理上都是可行的。3 网络逻辑方案3.1 布线方案布线主要采取外线进入公司机房然后星形对外布线，如图31所示：各领导办公室各效劳器 防火墙无线路由器交换机公司路由设备INTERNET各办公区1办公区交换机1各办公区2办公区交换机2图31 布线逻辑方案公司是光纤接入，然后通过自己的路由器接到交换机，然后接分交换机3.2 网络逻辑方案4. 网络配置方案4.1.1 配置概述为了降低本钱，公司采用路由器实现dhcp功能。IP地址分配：网使用私有地址：效劳器地址：OA: 192.168.1.240 OA备用: 192.168.1.241 WEB: 192.168.1.242 WEB备：192.168.1.243 备机：192.168.1.244 存储：192.168.1.245 4.1.2 路由器配置1概述：由于电信拉来的专线是终结的，所以我们的路由器只需要设置PAT地址转换和dhcp功能。另外我们采用路由器作为我们的防火墙，因此需要配置acl控制。路由器f0/0为外网进口ip设置为202.16.100.33/255.255.255.0 .路由器网端口ip设置为：192.168.1.1/255.0.0.0也就是说网采用192.0.0.0 /255.0.0.0这个网络。然后设置PAT地址转换。再通过配置ACL来做防火墙。2PAT地址转换配置如下：由于本操作主要是在公司路由器上，所以以一台路由器模拟电信接入的INTERNET，另外一台R2属于公司部的路由器，然后接到交换机，并以四台pc模拟网。R1 R2配置如下：R1enR1#conf tR1(config)#int f0/0RR1(config-if)#no shutR1(config-if)#endR1#writeBuilding configuration.OKR2enR2#conf tR2(config)#int f0/0RR2(config-if)#no shut R2(config-if)#e*itR2(config)#int f0/1RR2(config-if)#no shutR2(config-if)#e*itRR2(config)#ip nat inside source list 1 pool MYNET overloadR2(config)#access-list 1 permit 192R2(config)#interface fastEthernet 0/1R2(config-if)#ip nat insideR2(config-if)#e*itR2(config)#interface fastEthernet 0/0R2(config-if)#ip nat outsideR2(config-if)#endR2#debug ip nat IP NAT debugging is onR2#writeBuilding configuration.OK测试结果如下：Packet Tracer PC mand Line 1.0PC0ping 202.16.100.32 模拟器可以通PC1ping 202.16.100.32 模拟器可以通PC2ping 202.16.100.32 模拟器可以通PC3ping 202.16.100.32 模拟器可以通查看路由器PAT信息：R2#show ip nat translationsNAT: s=192.168.1.12-, d= 5NAT*: s=, d=-192.168.1.12 44NAT: s=192.168.1.12-, d= 11NAT*: s=, d=-192.168.1.12 50NAT*: s=-, d= 52NAT*: s=, d=-192.168.1.11 52NAT: s=192.168.1.11-, d= 6NAT: s=, d=- 6NAT*: s=, d=-192.168.1.10 60NAT: s=192.168.1.10-, d= 12NAT: s=, d=- 12NAT*: s=-, d= 61NAT*: s=, d=-192.168.1.10 62NAT: s=192.168.1.13-, d= 5NAT*: s=, d=-192.168.1.13 64NAT: s=192.168.1.13-, d= 6NAT*: s=, d=-192.168.1.13 65NAT: e*piring (192.168.1.12) icmp 5 (5)NAT: e*piring (192.168.1.12) icmp 6 (6)NAT: e*piring (192.168.1.11) icmp 1024 (5)NAT: e*piring (192.168.1.11) icmp 1029 (10)NAT: e*piring (192.168.1.10) icmp 1032 (11)NAT: e*piring (192.168.1.10) icmp 1033 (12)NAT: e*piring (192.168.1.13) icmp 5 (5)NAT: e*piring (192.168.1.13) icmp 6 (6)以上返回信息直接在模拟器上拷贝的，并且将局部重复的删除掉了，主机ping 202.16.100.32路由器会出现以上信息3路由器实现DHCP配置如下：R2enR2#configureR2(config)#ip dhcp pool NETDHCPR2(dhcp-config)#network 192R2(dhcp-config)#default-router 192.168.1.1R2(dhcp-config)#dns-server 192.168.1.240R2(dhcp-config)#e*itR2(config)#ip dhcp e*cluded-address 192.168.1.11保存1-10，这个是网路由接口的地址和网各网络设备的地址R2(config)#ip dhcp e*cluded-address 192.168.1.240 192.168.1.254保存240-154这些ipR2(config)#enR2#en测试：在局域网随便找几台机器ping外网，本工程中ping通202.16.100.32即可将pc机的地址该为自动获取。 以上是模拟器中测试的结果，是没有问题的。4路由器平安设置：配置口令：R2config#enable secret ciscoR2 (config) #line vty 0 4 R2 config-line)#password ciscoR2 (config-line)#endR2 #writeBuilding configuration.OK配置ACL配置制止135-445，制止外网telnet公司路由。R2(config)#access-list 120 deny tcp any any eq 23R2(config)#access-list 120 deny tcp any any eq 135R2(config)#access-list 120 deny tcp any any eq 136R2(config)#access-list 120 deny tcp any any eq 137R2(config)#access-list 120 deny tcp any any eq 138R2(config)#access-list 120 deny tcp any any eq 139R2(config)#access-list 120 deny tcp any any eq 389R2(config)#access-list 120 deny tcp any any eq 445R2(config)#access-list 120 deny tcp any any eq 4444R2(config)#access-list 120 deny udp any any eq 69 R2(config)#access-list 120 deny udp any any eq 135R2(config)#access-list 120 deny udp any any eq 136R2(config)#access-list 120 deny udp any any eq 137R2(config)#access-list 120 deny udp any any eq 138R2(config)#access-list 120 deny udp any any eq 139R2(config)#access-list 120 deny udp any any eq snmpR2(config)#access-list 120 deny udp any any eq 389R2(config)#access-list 120 deny udp any any eq 445R2(config)#access-list 120 deny udp any any eq 1434R2(config)#access-list 120 deny udp any any eq 1433R2(config)#access-list 120 permit ip any anyR2(config)#int f0/0R2(config-if)#ip access-group 120 in2(config-if)#endR2#writeBuilding configuration.OK如果需要删除规则：config#no access-list 120查看规则可以：R2#show running-config4.1.3 交换机配置概述：交换机只做监控使用，因此只设置远程管理权限。1主交换机端口分配：机柜和调试室使用端口14-22分给机柜，23-24备用；领导网络端口分配：1-4，5-6备用；行政和技术部端口分配：7，8备用；业务部和前台端口分配：9，10备用；无线路由端口分配：11，12备用；2交换机权限配置：S1enS1#confS1 (config)#interface vlan 1S1 (config-if)#ip add 192.168S1 (config-if)#no shutS1 (config-if)#e*itS1 (config)#enable secret ciscoS1 (config)#line vty 0 4S1 (config-line)#password ciscoS1 (config-line)#endS1#wBuilding configuration.OKS2enS2#conf tS2 (config)#interface vlan 1S2 (config-if)#ip add 192.168.1.3S2 (config-if)#no shutS2 (config-if)#e*itS2 (config)#enable secret ciscoS2 (config)#line vty 0 4S2 (config-line)#password ciscoS2 (config-line)#endS1#wBuilding configuration.OKS3enS3#conf tS3 (config)#interface vlan 1S3 (config-if)#ip add 192.168.1.4S3 (config-if)#no shutS3 (config-if)#e*itS3 (config)#enable secret ciscoS3 (config)#line vty 0 4S3 (config-line)#password ciscoS3 (config-line)#endS3#wr4.1.4 金盾防火墙配置选用金盾防火墙的原因就是他具有防止DDOS攻击功能，可以限制局域网的ip地址的速度。还有人性化的web图形管理界面。只允许.mynet.这个域名。在金盾防火墙白里允许该域名，并且制止其它域名指向我们的ip，这个是防止恶意指向，致使我们出现未备案被查情况的发生。 将相应的节点限制速度即可，具体要求如下：总经理和总监办公室网速限制为4M/节点;技术部和调试室限制为6M/节点；业务部和行政部限制为2M/节点；Web效劳器限制为40M； 设置方法：选择主机列表选择所有主机然后找到特定ip设置流量和规则。局域网的主机是防火墙自动识别的4.2 效劳器配置方案4.2.1 WEB效劳器采用linu*操作系统，apache效劳，sql数据库，asp程序，并配置FTP用于上传文件，效劳器用于沟通。1系统技术工程师安装配置apche、sql、asp环境。2系统工程师安装配置效劳器Sendmail。3系统技术工程师安装配置ftp效劳器。4架设公司web，上传数据库文件。5做好备份镜像办公系统效劳器。4.2.2 OA办公系统公司软件技术人员在windows 2003下架设OA系统，采用sql 数据库。做好备份镜像办公系统效劳器。4.2.3 存储效劳器存储效劳器主要存储公司主要的软件，备份公司重要文件和重要数据库，以及各员工的重要工程、进度文件。主要采取FTP实现上传和下载的功能。员工间进展隔离。如果需要共享资料，只需要在自己的办公电脑上开启共享就好，不用存储效劳器共享。5 工程测试与维护 网络测试和维护在每个办公区和每台效劳器对外网定为 baidu.进展ping测试。在外网，ping公司的域名，测试外网队的的连通性。公司效劳器网络状态由网管随时检查，处理相关问题。公司办公网采取上报处理。网管必须优先保证公司web的带宽。必要时可以占用办公带宽。 路由策略测试和维护 在网和外网对路由器设置的相关规则进展测试。Ping 禁用的端口和除允许之外的域名。根据路由策略配置文档，在需要时进展删除增加策略的维护。 DHCP功能测试开启局域网所有主机，全部开启DHCP，然后对外ping .baidu. 能通则表示能获取到ip。 无线网络测试将调试用的笔记本开启无线网卡，自动获取ip，开是否获取ip，是否能连上外网。无线傻瓜路由器自动获取的主机和路由器dhcp功能分配的地址是不一样。 效劳器测试首先效劳器试运行3天，检查机房温度适度和防尘情况。其次在系统日记中查看和日常进系统观察系统的正常性。最后选择不同的时间段在效劳器ping外网和在外网ping效劳器，查看是否有严重丢包和延迟过大的情况 硬件维护由于IT硬件随着时间的推移和网络的影响会经常出现一些故障，要保证网络畅通，是很有必要对硬件进展定时检查，测试。对于老化和问题设备要及时维修更换。6 总结通过这次毕业设计让我更加熟悉了从理论到实践的跨越，也发现在课本中学习到是缺乏以应付实际发生的问题，这也需要我们树立起不断学习，终身学习的概念。本论文是关于小型企业网络设计的，设计的过程中一局部用到了我们在学校里学的知识，像上文涉及到的综合布线问题，还有一局部是用到了一些命令，像上文中的工程测试和维护，这些命令我们可以通过看相应设备的参考书，或者cisco/h3c教程可以实现的。本论文写到的一些命令就是通过教程中的解释，再根据实际情况配置而成。但是万事万物总会有自己的缺点，在我的论文中不乏有些错误和缺点，请教师指正致 本论文是由我的导师肖东升的亲切关心和悉心指导下完成的。他严肃的科学态度，严谨的治学精神，精益求精的工作作风，深深地感染和鼓励着我。从课题的选择到工程的最终完成，肖教师都始终给予我细心的指导和不懈的支持。两年多来，肖教师不仅在学业上给我以精心指导，同时还在思想、生活上给我以无微不至的关心，在此谨向肖教师致以诚挚的意和崇高的敬意。参考文献1美W.Richard Stevens.TCP/IP详解卷1:协议M.机械工业.20002美理查德,巴拉基,艾然.CP SWITCH学习指南M.人民邮电.20113美冉杰贝,夏俊杰.CP ROUTE学习指南M.人民邮电.20114陆锦军 计算机网络工程 中国铁道5国清 网络设备配置与调试工程实训 电子工业.