公司局域网组建方案

1 前言 ................................................................ 1

2 企业网建设规划 ....................................................... 2

2.1企业内部资料、组织架构 .......................................... 2

2.2 企业局域网的作用 ............................................... 3

2.3网络的体系结构 .................................................. 3

2.4 网络协议 ....................................................... 4

3 网络布局和综合布线 ................................................... 6

3.1 技术规划 ....................................................... 6

3.1.1 网络体系结构[5] ............................................ 6

3.1.2 网络层次划分 .............................................. 6

3.1.3 网络IP子网划分 ........................................... 7

3.1.4 网络流量规划 .............................................. 8

3.1.5 以太网交换技术 ........................................... 10

3.2.1VLAN技术的概述及其优点 ....................................... 13

3.2.2 VLAN的实现 .................................................. 14

4 企业网硬件软件选择及安装 ............................................ 15

4.1 常用网络设备 ................................................. 15

4.1.1 网卡 .................................................... 15

4.1.2 交换机 .................................................. 15

4.1.3 路由器 ................................................... 16

4.1.4 传输介质 ................................................. 16

4.2 服务器 .................................................... 18

4.3硬件系统结构硬件选择 ....................................... 18

4.3.1网络接入层 ............................................... 18

4.3.2网络会聚层 ............................................... 19

4.3.3 网络核心层 ............................................... 20

4.4软件系统结构 ................................................ 21

4.4.1服务器管理软件 ............................................ 21

4.4.2网络服务管理 .............................................. 21

5 局域网的安全控制与病毒防治 .......................................... 24

5.1局域网安全威胁分析 ............................................. 24

5.2局域网安全控制与病毒防治策略 ................................... 25

总结与展望 ............................................................ 29

参考文献 .............................................................. 30 II

摘要

如今，许多公司或企业因为日常办公或经营业务的需要都购买了为数不少的电

脑。随着公司或企业发展，一些单位的领导开始意识到内部构建局域网的现实必要性。但因为经费短缺等关键因素的制约，许多领导都要求本单位的电脑管理人员承担起构建局域网的工作任务。

随着网络的逐步普及，企业网络的建设是企业向信息化发展的必然选择，企业

网络系统是一个非常庞大而复杂的系统，它不仅为现代化企业综合信息管理和办公自动化等一系列应用提供基本操作平台，而且能提供多种应用服务，使信息能及时、准确地传送给各个系统。而企业网工程建设中主要应用了网络技术中的重要分支局域网技术来建设与管理的，因此本毕业设计课题将主要通过对小型企业局域网络建设过程可能用到的各种技术及实施方案的介绍和分析，为企业网的建设提供理论依据和实践指导。

关键词：企业网；网络协议；服务器；防火墙

III

1前言

1 前言

企业想增强竞争实力，必须随时改进和更新系统和网络，但是机会增加常伴随

着安全风险的增加，尤其是机构的数据对更多用户开放的时候——因为技术越先

进，安全管理就越复杂。所以企业为了消除安全隐患，下一步就需要对现有的网络、系统、应用进行相应的风险评估，确定在企业的具体环境下到底存在哪些安全漏洞和安全隐患。再次是在此基础上，制定并实施安全策略，完成安全策略的责任分配，设立安全标准：几乎所有企业目前都有信息安全策略，只不过许多策略都没有书面化，只作为完成任务的一种手段。恰当的信息安全策略必须与机构的所有业务需求直接相关。

毋庸置疑，在互联网时代，有效的公司信息安全管理对企业的良好运作至关重

要，但在具体的实施过程中，企业安全管理需要从前期安全策略的具体制定、中期信息安全解决方案的选择与实施、后续的安全服务的跟进等多方面、全方位予以重视，并作周到细致的考虑。这既涉及到企业系统如何在应用中实现安全管理，同时又涉及到安全厂商如何提供全方位安全咨询及后续安全服务等方面的问题。

信息技术的迅猛发展极大地促进了网络在企业的普及应用，当今的企业必须采

用能够充分利用结合优秀的传统方法及连网计算的新业务模式，来获得竞争优势。对许多企业来讲，问题不在于数据安全是否必要，而在于怎样在预算范围内以安全的方式管理复杂计算机环境、多种计算机平台和众多集成式计算机网络上的数据。各企业必须独立确定需要多高级别的安全，以及哪种安全能最有效地满足其特殊业务需求。这些问题仅靠安全解决方案是无法完成的，而是企业安全管理必须解决的问题。

2 企业网建设规划

2.1企业内部资料、组织架构

本企业是生产射频接插件的科技技术型企业。

企业由4个生产中心组成。

每个生产中心由办公楼和生产、装配中心大楼组成。如图1所示：

生产中心1 生产中心2 图1 企业组织结构图

按管理方的要求，一般一个生产中心局域网信息点共有222个。其中办公楼60个，分别分布在3个楼层、生产、装配中心136个分布于5层楼层，平房的26个信息点用于一层的阶梯教室和企业辅助管理部门。各楼之间以光缆连接，构成企业局域网。

企业局域网的中心机房设在办公楼的三层西侧。生产、装配中心的配线间设在三楼东侧的北面。

根据企业安排，信息点的具体分布是：

表1 信息点分布表

为适应企业将来对各种网络应用的需求，另外随着技术和工艺的进步，考虑到目前各类布线材料在价格方面比较接近，因此拟对所有信息点都按超五类UTP标准2

2 企业网建设规划

布线，每个信息点可实现不低于100Mb的带宽，这样不仅可支持一般的企业信息管理应用对网络传输带宽的要求，而且完全支持MPEG-2等格式的多媒体信息传输。

此布线方案只考虑数据信息点布线，不涉及语音信息点及其设备。

2.2 企业局域网的作用

(1)简化作业管理流程,相对达到无纸办公

本企业是生产射频接插件的科技技术型企业，生产全部使用ERP系统[21]。输入由电脑和鼠标完成。输出则基本由联网打印机完成。基本达到了无纸办公。

(2)支持决策,能在短时间内获得信息

高速的内部网各个信息点，及时的传递业务信息，供应信息，生产信息，管理信息。供管理层及时决策。

(3)外出人员与公司沟通

WWW应用是Intranet的标志性应用，最核心的应用服务集中在WWW服务器上完成。因而对于WWW服务器的设计首要考虑的就是服务器性能问题，另外考虑到将来在Intranet平台上做应用开发的可能，对于WWW服务器同数据库互联的问题也应作为重点考虑。

(4)企业网的建设原则

企业网建设是一项综合性非常强的系统工程，它包括了网络系统的总体规划、硬件的选型配置、系统管理软件的应用以及人员培训等诸多方面。因此在企业网的建设工作中必须处理好实用与发展、建设与管理、使用与培训等关系，从而使企业网的建设工作健康稳定地开展。首先，企业网的建设是一个为企业运营活动长期服务的工作，因此在企业网的规划建设过程中，必须从企业长远发展规划出发，以服务于工业为基本点，结合企业当前办公的实际需要，做出科学的规划部署。在企业网的规划建设中，一般企业应遵循“统一规划、整体设计、分步实施”的原则。其次在企业网的建设中必须坚持硬件建设与组织管理协调发展的原则，在重视硬件建设的同时，加强网络的组织管理水平，不断开发网络的功能，从而充分发挥企业网络的功效，提高企业网对企业的服务水平[12]。

2.3网络的体系结构

网络通常按层或级的方式来组织，每一层都建立在它的下层之上。不同的网络，层的名字、数量、内容和功能都不尽相同。但是每一层的目的都是向它的上一层提

供服务，这一点是相同的。层和协议的集合被称为网络体系结构。作为具体的网络体系结构，当前重要的和使用广泛的网络体结构有OSI体系结构[17]和TCP/IP体系结构[1]。

OSI是开放系统互连基本参考模型OSI/RM（Open SysteM Interconnection Reference Model）缩写，它被分成7层，这7个层次分别定义了不同的功能。几乎所有的网络都是基于这种体系结构的模型进行改进并定义的，这些层次从上到下分别是应用层、表示层、会话层、运输层、网络层，数据链路层和物理层，其中物理层是位于体系结构的最低层，它定义了OSI网络中的物理特性和电气特性。

TCP/IP（TransMission Control Protocol/Internet Protocol,传输控制协议和互连网协议）缩写，TCP/IP体系结构是当前应用于Internet网络中的体系结构，它是由OSI结构演变来的，它没有表示层，只有应用层、运输层，网际层和网络接口层。

2.4 网络协议

网络协议是通信双方共同遵守的约定和规范，网络设备必须安装或设置各种网络协议之后才能完成数据的传输和发送，在企业局域网上用到的协议主要有，ICP/IP协议、IPX/SPX协议等。

(1) TCP/IP协议

TCP/IP协议是目前在网络中应用得最广泛的协议，ICP/IP实际上是一个关于Internet的标准，并随着的Internet广泛应用而风靡全球，它也成为局域网的首选协议。TCP/IP是一种分层协议，它共被分为个4层次，大约包含近期100个非专有协议，通过这些协议，可以高效和可靠地实现计算机系统之间的互连。TCP/IP协议中的核心协议有TCP（传输控制协议）、UDP（用户数据报协议）和IP（因特网协议）[6]。

TCP协议可以在网络用户启动的软件应用进程之间建立通信会话，并实现数据流量控制和错误检测，这样就可以在不可靠的网络上提供可靠的端到端数据传输。UDP协议是一种无连接的协议，它在传输数据之前不建立连接，也不提供良好的可靠性和差错检查，只仅仅依赖于校验来保证可靠性。

IP协议的基本功能是提供数据传输、数据包编址、数据包路由，分段等。通过IP编址约定，可以成功地将数据通过路由传输到正确的网络或者子网。每个网络站点具有一个32位的IP地址，它和48位MAC地址一起协作，完成网络通信，IP协4

2 企业网建设规划

议也是一种无连接的协议。

（2）超文本传输协议(HTTP)

HTTP(HyperText Transfer Protocol ),超文本传输协议)是WWW浏览器和WWW服务器之间的应用层协议，是用于分布式协作超文本信息系统的、通用的、面向对象的协议，HTTP协议还是基于TCP/IP协议之上的应用层协[7]。

（3）文件传输协议(FTP)

FTP(File Transfer Protocol ,文件传输协议)是由支持Internet文件传输的各种规则所组成的集合。这些规则能使网络用户把文件从一个主机拷贝到另一个主机上，FTP是采客户/服务器方式服务的[8]。

（4）远程登录协议（Telnet）[18]

远程登录协议的目的是提供一个全面的、双向的、面向8个比特字节的通信工具，其主要目标是提供终端设备与面向进程接口的标准方法，Telnet是应用层的协议，采用客户/服务器模式工作的，Telnet不仅允许用户登录到远端主机上，还允许用执行远端主机的命令，这样用户就能以极小的网络资源代价完成大型的网络应用。

3 网络布局和综合布线

3.1 技术规划

3.1.1 网络体系结构[5]

图2 办公大楼总拓扑图

3.1.2 网络层次划分

核心层[20]：核心层配置设备承担的任务主要是通过核心层设备与汇聚层间信息的交流、分发与管理，因此核心层设备是整个网络的中心枢纽，应具有强大的交换能力，保证不会发生信息拥塞；强大的安全防护能力，保证不会因单点故障而影响整个系统的正常运行；有效的故障恢复能力,保证任何一种单点故障都能在短时间内迅速予以恢复。

汇聚层[20]：汇聚层设备承担的任务，一是构造本地网络核心，二是通过核心设备实现与其他部分大量信息交换。汇聚层设备具备较高的吞吐能力和上连带宽，同时还具备强有力的用户访问控制能力（即三、四层交换能力、虚网功能）。

接入层[20]：接入层的功能在于将各种媒体、各种速度、任何地方的最终用户接入IP网络。这一层主要实现各单位终端节点设备的接入，并上连到网络汇聚层。这一层网络建设可以根据各节点的具体情况分期分批建设。

3网络布局和综合布线

3.1.3 网络IP子网划分

根据企业安排，信息点的具体分布如表1：

表2 信息点分布表

把一个大网缩小为若干小网，叫子网（作动词），而要把一个或几个小网扩大为一个大网，叫超网，后者一般应用于电信等其它领域[16]，我们不作讨论。

划分IP子网，有利于我们搞好系统维护，合理配置系统资源，减少资源浪费，企业信息点以楼层划分[2]。

根据192.168.0.0的保留地址划分企业内部局域网，属于C类地址，子网掩码255.255.255.0。

根据结构分析，生产、装配中心一层，数量最大，30台，为每个楼层划分单独的网段

公式：2N-2=Hosts

2N-2=30

N=5

N代表掩码中0的个数，5个零则意味着二进制掩码为11100000，即十进制的224．加上前面24个1，1 的总数为27个。

子网掩码255.255.255.224

确定掩码规则以后，就要确认每一个子网的具体地址段[16]。

当前的IP地址192.168.1.0的最后一位是0，二进制表示为00000000；而我们已经算出的掩码255.255.255.224的最后一位是224，二进制表示为11100000

去除网络回环地址，广播地址

依次类推

办公楼一层 192.168.1.32

办公楼二层 192.168.1.64

办公楼三层 192.168.1.96

生产、装配中心一层 192.168.1.128

生产、装配中心二层 192.168.1.160

生产、装配中心三层 192.168.1.192

生产、装配中心四层 192.168.1.224

结果：0 结果：32 3.1.4 网络流量规划

一个设计成功的企业网，其网络流量合理，系统各部分负载均衡。那么什么是网络流量呢？网络流量简而言之就是网络上传输的数据量。就像要根据来往车辆的多少和流向来设计道路的宽度和连接方式一样，根据网络流量设计企业网络是十分必要的。

在传统网络中，一般将使用相同应用程序的用户放到同一工作组中，他们经常使用的服务器也放在一起。工作组位于同一物理网段或VLAN（虚拟局域网）中。这

3网络布局和综合布线

样做的目的是将网络上客户机与服务器之间产生的数据流量限制在同一网段中。在同一网段，可以使用带宽相对高的交换机连接客户机和服务器，而不必使用带宽相对较低的路由器[12]。

将大部分网络流量控制在本地的这种网络设计模式，被称为“80/20规则”，即80%的网络流量是本地流量（采用交换机交换数据），在同一网段中传输；只有20%的网络流量才需要通过网络主干（路由器或三层交换机）[3]。

“80/20”规则中的“80”和“20”不能简单地理解为数字，应该理解为网络流量分布的方式，即大部分网络流量局限在本地工作组，小部分流量通过网络主干。因此在实际网络设计中，只要大部分网络流量在本地、小部分网络流量通过主干，就认为它符合了“80/20”规则，而不管实际的数字比例是多少。后面谈及的“20/80”规则也是如此。

按照“80/20”规则，分支交换机可以使用不支持VLAN的交换机，如全向的QS-6924交换机，这样能够大大降低不必要的开支。当然使用支持VLAN的交换机产品就更好了，如果以后想划分子网也比较方便，全向系列交换机中，带有“V”的型号具有VLAN功能，如QS-532V交换机、QS-516V交换机等。

随着网络应用的逐渐丰富，“80/20”规则已经不能完全满足网络设计的需要。而一种被称为“集中存储、分布计算”的模式逐渐得到推广。集中存储，就是数据集中在网络中心存储，如已经得到普遍使用的Web服务、电子邮件系统和逐渐流行的VOD（视频点播）、多媒体资源库等；分布计算，就是数据被下载到各个工作站上处理，如使用网络上的多媒体资源库制作多媒体课件等。

在“集中存储、分布计算”的网络应用模式下，对网络流量的要求已经大大偏离了“80/20”规则，一种新的规则应运而生，这就是“20/80”规则。在符合“20/80”规则的网络中，只有大约20%的网络流量局限在本地工作组，而大约80%网络流量经过网络主干传输。

这种网络流量模式的转变，给企业网主干交换机带来了很大的负荷。因此理想状态下主干交换机应该能够提供与下面连接的支干交换机相匹配的性能，即提供线速三层交换[20]，也就是说，下面的支干交换机能够跑多快，上面的主干交换机也应该能够跑多快。

同样，如果网络中有许多按功能划分的VLAN，这些VLAN也很难管理。在以往的“80/20”规则中，服务器往往分布在VLAN中，因此对于各工作组来说，访问起来比较快。但是在“20/80”规则中，服务器往往集中在网络中心，因此对于各工

作组，必须实现跨VLAN的访问。

没有三层交换机，VLAN之间无法通信，VLAN类似于硬盘的逻辑分区，可以简单地理解为把同一硬盘划分成不同的硬盘盘符。但是与逻辑盘不同的是，VLAN之间通信可不像把文件从一个逻辑盘复制到另一个逻辑盘那样简单，而是必须依靠路由器才能使VLAN之间相互通信。

因此符合“20/80”规则的大中型网络必须使用三层交换机，如神州数码D-Link的 DES-6706交换机。

在企业网络环境中，有的地方“80/20”规则适用，数据流量一般局限在本地子网中，如果将专用的服务器架设在网络中心，必将大大增加网络主干的负担。有的地方“20/80”规则适用，比如电子邮件服务器、Web服务器等，是任何网络用户都会使用的，就应当放置在网络主干上，如果放在某一个子网中，不仅增加该子网的负担，其他子网的用户访问起来也会很慢。

3.1.5 以太网交换技术

以太网交换技术具有许多类型，各自宣传其具有不同的优点；通过简单的鼠标即可增加、移动和改变往来落的结构；比网桥和路由器更为有效地进行网络分段；为高性能工作站或服务器提供高宽带。网络管理者渴望采用这些技术，但是首先他们想了解各种以太网交换技术。当前有两种以太网交换技术：静态以太网交换和动态以太网交换[3]。

（1）静态以太网交换

静态以太网交换是为网络管理者通过软件来完成网络配置的增加、移动及改变而设计的。静态以太网交换工作与传统的共享式网络环境。所以称为“静态”是由于需要网络管理员的人工干预，既每次网络节点的移动和增加，网络管理员必须通过网络管理软件进行操作[11]。一旦一次静态交换操作完成，用户或工作站将被移到一个新的共享网段，并且一直呆在那里直到另一次新的操作。静态交换允许网络管理员在一个ＨＵＢ内将用户容易地从一个共享局域网总线移到另外一个共享局域网总线。集线器的以太网总线１是由工程部８台工作站共享的以太网网段。而以太网总线４是由市场部的工作站所共享）的网段，以上两个网段都是传统的共享局域网。当工程部某位工程师调至市场部，希望将其工作站连至市场部局域网段（以太网总线４）时，该如何操作？

对静态以太网交换，网络管理员只需通过网络管理工作站的集线器图形界面，10

3网络布局和综合布线

用鼠标将调离的工程师工作站所对应的端口从总线１拉至总线４即可。这种改变只需几秒钟的时间。而传统的方法，则需网络管理员通过查线、拨号、重新布线等一系列的工作才能完成。显然，在网络结构需经常改变的场合，静态交换以太网极为适宜。静态交换不能改变带宽(性能), 用户唯一可以提高网络性能的方法是将工作站从拥挤的网段移到空闲的网段。只有动态以太网交换才可以增加标准以太网的带宽(性能) [20]。

（2）动态以太网交换

动态以太网交换最初设计思路来源于电话网, 即在一个系统内同时按需存在许多点-点会话.动态以太网交换可以在不改变标准以太网节点设备的同时( 即工作站和服务器采用标准的以太网卡,驱动程序,电缆和应用程序),极大地提高网络的带宽.其工作过程如下:交换机检查来自PC的数据包; 交换机识别该数据包的源地址和目的地址;交换机动态打开一专用的10Mbps链路,将包由源地址端口传送至目的地址端口。

动态交换检查由A工作站发往B工作站的数据包,在A与B 之间动态建立一专用的10Mbps链路.显然,不象传统的共享以太网, 数据包不是发往网络上的所有工作站,而是对每一数据传输产生专用的10Mbps链路.而连接到动态交换上的工作站及服务器仍使用标准的以太网卡,驱动程序,电缆及应用程序。

在动态交换的内部,标准以太网的冲突式网络存取机制(CSMA/CD)不再存在, 与以太网相依存的"冲突"显著变小或不复存在, 每一用户昀可独立享受局域网的全部带宽(以太网10Mbps),所有的数据包都通过专用的点对点10Mbps链路进行交换,因此以太网交换为诸如客户机/服务器应用,分布式数据库,图像处理,CAD,甚至多媒体等数据密集型网络应用提供了足够的带宽。因为数据不昌传送到所有的端口,网络也难以被窃听,所以动态交换环境比共享式以太网更加安全动态交换同时检查所有数据包,同时开辟许多的10Mbps 专用链路以完成并行的数据通信。这样在任何时间内可以存在许多专用的源-目的以太网。动态交换以太网的这种并行的,点对点特性与电话网相似,同时也与FTM相近。一旦一个独立的端口通信完成,动态交换释放此链路。因此,动态交换的带宽流量是按需的,这种按需带宽特性是ATM网的另一特性.但因动态以太网交换是建立在标准以太网基础上( 标准接口卡,驱动,电缆和应用) , 用户可以保留其在原有以太网上的投资和基础上, 获得像ATM一样的专用带宽及安全保密性[11]。

（3）以太网交换技术分类