公司网络组建设计及方案

公司网络组建设计与方案一、需求分析1.1设计背景某公司规模比较大，第一栋大楼内有技术部、销售部、工程部、财务部上网机约200台，第二栋大楼内同样有技术部、销售部、工程部、财务部上网机约150台楼宇位置A栋B栋楼宇间距离100米100米楼宇高度3层5层楼层分配分布在各个办公室中，技术部80台，销售部 50台，工程部50台，财务部20台。分布在各个办公室中，技术部60台，销售部 40台，工程部30台，财务部20台。计算机数量200150设置部门技术部、销售部、工程部、财务部技术部、销售部、工程部、财务部1.2 网络功能根据公司现有规模，业务需要及发展范围建立的网络有以下功能：a)、组建公司自己的网站，可向外部发布消息，宣传公司产品，推广业务。b）、要求公司各部门之间在数据访问时要相互独立，有自己部门的局域网，并且可以访问互联网（财务部不允许介入外网）。c）、为了提高办公效率，实现信息共享。公司建立内网OA系统（办公自动化系统）。管理员工档案，发布业务计划，公布会议议程等。1.3 可行性分析1.3.1 技术可行性 公司现有技术已经完全具备了组建网络的条件，公司共有350台计算机，聘有相应的网络维护人员，从组建网络技术上看：现在计算机网络技术已经相当成熟，无论是何种情况，都可以很好的解决。并且目前随着信息化社会的不断发展，信息交流速度十分的快速，如果公司还未实现信息化，那么公司的发展将受到制约。所以组建局域网是十分必要的。1.3.2 资金可行性 目前本公司具有很好的市场前景，发展的空间很大，公司的发展速度也很快，组建网络对公司当前的经济来说，虽是不小的一笔开支，且不是能很快的实现增值，但基于公司所具有的潜在实力，是有能力承担的，且从长远看，这笔投入，会使公司发展速度更快，更具竞争力，更具实力。二、网络结构设计2.1方案的比较选择从公司的实际情况出发，对现有情况进行分析，选择合适的网络速度方案。1）10Mbit/s以太网：基本满足现在需求。2）100Mbit/s快速以太网：满足当前需求，且有相当的余量。（正选方案。）3）1000Mbit/s高速以太网：远远超过了应用的需求，目前不经济，代以后升级方案。2.2 接入Internet方式，VLAN技术划分首先要确定网络的拓扑结构，建议采用星状结构，其中100base-T星型结构的快速以太网是理想的选择，用双绞线作为传输线缆，星状总线网的物理结构采用星状链接。逻辑结构采用总线状的，采用IEEE的802.3协议标准。网卡集线器和双绞线应采用100M的，当用户扩展过多时。可采用堆叠式集线器。然后确定互联方式，因为有一部分用户可以接入Internet，另一部分不可以，所以有两种方式：a）分成两个子网，各连接一个交换机，并连接到服务器的不同的网卡上，在服务器上设置一个网卡可以连接internet,另一个不可以internet服务器路由器网卡一网卡二交换机2交换机1PCnNPC1b）、分成三个子网，都连接到路由器上。在路由器上设置IP，其中其中两个子网的IP 设置为内部IP，不允许访问internet(建议使用此方式，以便后期网络拓展)允许访问IP1IP2IP3服务器以太网交换机路由器交换机1交换机2交换机3InternetPCnPC1综上，结合公司电脑分布，A楼有电脑200台，分别提供给技术部，销售部，工程部，财务部四个部门使用，B楼150台电脑也同样分配给四个部门，我们 选择星型连接结构，利用其足够的灵活性，满足系统不断发展时的需求。在技术上采用路由器-交换机的配置，路由器提供内部和外网的连接和VLAN（虚拟局域网）的划分，以及防火墙和路由功能的配置。所以，交换机一头连接到路由器上，作为一个子网，另一头连接子网中各台终端，划分几个子网，则从路由器连出几台交换机即可。2.3 IP地址段划分 A,B两座楼中电脑数350台，大于组建最大局域网的254台，因此可以组建一个350台电脑的中型局域网。采用路由器+中心交换机+交换机的架构，A楼中共200台电脑，分别给四个部门使用，B楼电脑150台，同样是四个部门。可以将四个部门看做是一个子网，给每一个部门划分一个vlan，各个部门的IP 地址如下列表格：楼号技术部销售部财务部工程部A栋192.168.47.1150192.168.48.1150192.168.49.1150192.168.50.1150B栋192.168.47.151253192.168.48.151253192.168.49.151253192.168.50.151253A,B楼中的子网都采用动态分配IP地址的方式获取。再通过路由器把各个楼层的计算机集中起来，与防火墙相连，最后连接到Internet就可以了。防火墙INTERNET2.4网络连接拓扑图219.247.39.110192.168.2.100出差人员VPN客户端核心交换机192.168.47.1192.168.50.1技术部 财务部 销售部 工程部技术部 财务部 销售部 工程部192.168.47.151192.168.50.1512.5 通过公网实现发布公司的网站a）明确网站内网访问地址端口，确保网站服务正常，在内网可正常访问链接。如我内网网站访问地址是192.168.2.100：80.如本地公司的IP端口被封，可以更换网站端口，或使用net123的映射穿透解决。b)路由器端口映射，路由器映射网站访问端口，因为公网IP是在路由器上的，外网访问时，需要经过路由器上做端口，将内网网站访问端口打通，路由器端口映射位置:转发规则/虚拟服务器/添加允许外网访问和协议，我的端口号是80，我内网对应网站煮主机的IP地址应该是192.168.2.100：80。c)外网访问时，使用固定公网IP因为路由分配的固定公网IP219.247.39.110.我可以直接通过访问这个固定公网IP，实现访问网站。d)域名解析设置，用域名代替固定共公网IP，假如公司申请域名dns222.tk是在dnspod解析的，登陆dnspod 设置A记录，将www. dns222.tk域名设置为指向我网站服务器固定公网IP。e)用域名访问网站，域名解析生效后，访问域名即可访问我网站，域名相对IP更容易记住，也可以代表自己的网站，建议使用自己的独享域名，更容易增强影响力，2.6 VPN配置，实现在外人员对OA系统的访问（1）点击任务栏“开始”“设置”“控制面板”，双击“网络连接”，选择创建一个新的连接（2）“网络连接类型”选择“连接到我的工作场所的网站” (3）“网络连接”选择“虚拟专用网络连接” (4）“VPN服务器连接”此处需要输入VPN服务器的域名或者IP（5）在建立的“虚拟专用网络”属性设置选择“安全”。要求“取消数据加密，没有就断开”勾选框。(6)输入用户名和密码，点击连接进行PPTP拨号，拨号成功就可以直接访问公司内网OA服务器了。2.7硬件防火墙的选购与设置（1）市场情况 大多数企业在选择防火墙时都将注意力放在防火墙如何控制连接以及防火墙支持多少种服务，但往往忽略了最重要的这一点，防火墙也是网络上的主机之一，也可能存在安全问题，防火墙如果不能确保自身安全，则防火墙的控制功能再强，也终究不能完全保护内部网络。 谈到防火墙的安全性就不得提一下防火墙的配置。防火墙配置有三种：Dual-homed方式、Screened-host方式和Screened-subnet方式。 Dual-homed方式最简单。Dual-homed Gateway放置在两个网络之间，这个Dual-homed Gateway又称为bastionhost。这种结构成本低，但是它有单点失败的问题。这种结构没有增加网络安全的自我防卫能力，而它往往是受黑客攻而它往往是受黑客攻击的首选目标，它自己一旦被攻破，整个网络也就暴露了。Screened-host方式中的Screeningrouter为保护Bastionhost 的安全建立了一道屏障。它将所有进入的信息先送往Bastionhost，并且只接受来自Bastionhost的数据作为出去的数据。这种结构依赖Screeningrouter和Bastionhost，只要有一个失败，整个网络就暴露了。 creened-subnet包含两个Screeningrouter和两个Bastionhost。在公共网络和私有网络之间构成了一个隔离网，称之为"停火区"(DMZ，即DemilitarizedZone)，Bastionhost放置在"停火区"内。这种结构安全性好，只有当两个安全单元被破坏后，网络才被暴露，但是成本也很昂贵。 (2)高效性   防火墙与代理服务器最大的不同在于防火墙是专门为了保护网络安全而设计的，而一个好的防火墙不但应该具备包括检查、认证、警告、记录的功能，并且能够为使用者可能遇到的困境，事先提出解决方案，如IP不足形成的IP转换的问题，信息加密/解密的问题，大企业要求能够透过Internet集中管理的问题等，这也是选择防火墙时必须考虑的问题。  (3)配置便利性 对于国内用户来说，防火墙最好是具有中文界面，既能支持命令行方式管理，又能支持GUI和集中式管理。   (4)可扩展性   对于一个好的防火墙系统而言，它的规模和功能应该能够适应网络规模和安全策略的变化。理想的防火墙系统应该是一个可随意伸缩的模块化解决方案，包括从最基本的包过滤器到带加密功能的VPN型包过滤器。三、硬件及软件清单品名规格单价数量备注ADSL租用网通线路30001条每年服务器ProliantML370 Xeon2.8GHz 512MB196001路由器Vigor 2100E(ADSL宽带路由器) 路由器类型:接入路由器 固定的广域网接口:10Base-T*1 固定的局域网接口:10/100Base-T/TX*415001交换机一个扩展插槽，可以选配GBIC口用于服务器或光纤骨干连接 背板带宽(Gbps):8.8Gbps2700224口交换机华为3Com Quidway 2116-SI-ENT-AC10Mbps/100Mbps1700224口网卡D-Link DFE-690TXD 网卡10/100Mbps PCI200400光纤12芯多模62.5室外非金属防水光缆25/米400米双绞线五类线300/包10包每包300米信息模块TCL 超五类免打线式RJ45信息模块2145水晶头RJ-451.5300防火墙联想 网御Smart V-100 防火墙中小型防火墙/网络吞吐量100 Mpps/用户数限制100250001个合计：159295元四、设计心得此次设计是基于一个公司局域网建立其中涉及到VLAN的划分，IP地址的分配，以及要根据公司需要设计一些网络功能，比如说将公司网站发布，以及为在外员工提供便利，访问内网OA 极大程度上实现了公司高效及时工作的目的。总的来说整个设计实现了公司所要求的功能