中小企业网络规划
一、需求分析
此网络方案设计的背景是一集团公司,由1个总部和5个分部组成。公司总部为六层楼,一楼迎宾大厅,二楼市场开发中心,三楼研发中心,四楼为会计部,五楼为网络中心,六楼为会议室(已实现无线网络覆盖)以及公司的高层管理人员办公区。分部1(共有5个分部但本报告中仅举其一为例)分为前台和后台。前台包括服务台和会计部,后台下设有维修部。
该公司需建立自己的公司网站、用以向外发布信息与商谈网络业务。总部与各分部之间需保持联系、共享资源。总部与各分部均各自设有总经理总管业务并保持保密性交流联系,能够进行视频会议。其中各个会计部需有较高的保密性、由各自的总经理直接管辖。公司还应设立有自主的邮件系统、数据库;此外公司网络需有较良好的网络扩展性和保密性。此外,我们设定只有经理有接入INTERNET权限,普通员工不能连接外网。
基于以上需求,我们为该公司做了如下规划:
·将总部按照部门划分子网,以二层交换机集成每层的计算机,再集成汇入该核心交换机(第三层交换机);分部的设置同于总部。将路由作为分部和总部的边际结点以相连形成整个公司的网络。在接入层使用交换机、分布层使用路由,以提高信息交换的效率、减少广播风暴和信息冲突造成的延迟和错误。
·在公司内部,我们应用虚拟局域网(VLAN)技术实现各自会计部、各层经理的保密性需求及权限设置(以第三层交换机上的虚拟子网设置实现分属于不同二层交换机下的经理间的保密性通讯;其中会计部经理与总经理的端口接入方式为Hybrid混合模式以使其能够同时位于会计部VLAN与经理VLAN之中,使得公司高层对公司财务的直接监控与管理)。在与外网连接的部分,设置了防火墙以防止外部网络病毒侵袭公司系统。此外,我们运用ACL访问控制列表限制了公司各数据库服务器的访问权限,以保证公司机要信息的安全;此外我们还利用ACL 访问控制列表拒绝公司除经理以外的员工接入INTERNET,来对公司的网络连接进行控制。
·为公司配备了邮件系统服务器和DNS服务器,会计部特设有独立的会计部数据库满足需要。各层均设有数台共享打印机。总部的会议室应用了无线网络连接技术,方便会议中的数据查询与网络视频会议。
二、硬件配置:
PC机:总部共35台PC,每个部门设有部门经理一名,并有若干名职员
交换机:每个部门一个二层交换机(switch-PT),总公司分公司各配备一个三层交换机(Multilayer Switch)。
路由器:总公司分公司各配备一个路由器用于连接(Router-PT )总公司6层会议室配备一台无线路由器(Linksys-WRT300N ) 服务器:总公司有两台服务器、总公司分公司会计部个配备一台内部服务器 打印机:每层配备若干台公共打印机
三、 网络配置
1、在Packet Tracer5.0中构建该局域网如图所示:
2、传输介质:
本企业属大型企业,网络范围较宽,网络数据传输量比较大,因此需采用光
纤等高速率传输介质来作为总公司与分公司间的主干连接(光缆的电磁绝缘性较好,信号衰变小,频带较宽,传输距离较大,传输速度较快,它可以在6~8km 的距离内不适用中继器实现高速数据传输,在2.5Gbps 的传输速率下,数十公里不需要使用中继器);在企业各公司内部,使用双绞线作为传输介质即可满足需求,同时其相比较价格便宜,可节约企业资金。
各PC 机和服务器与一级交换机间采用双绞线直连连接,一级交换机和二级交换机、二级交换机和路由器以及路由器间采用双绞线交叉连接。
3、子网划分:
总部四层 会计部 总部五层 网络中心 分部1 维修部
·公司总部使用网段192.1.0.0。具体IP地址分配如下:
一层迎宾大厅: pc0:192.1.1.2 pc1:192.1.1.3
二层市场开发中心:pc2:192.1.2.2 pc3:192.1.2.3
市场开发中心经理:192.1.11.2
三层研发部: pc5:192.1.3.2 pc6:192.1.3.3
研发部经理:192.1.11.3
四层会计部: pc8:192.1.4.2 pc9:192.1.4.3
会计部经理:192.1.11.4
五层网络中心:网管:192.1.5.2 pc12:192.1.5.3
网络中心经理:192.1.11.5
六层无线网络—会议室:
pc4:192.168.0.100 pc7:192.168.0.10
总经理:192.1.11.6 其他管理人员:192.168.1.2 ·公司分部1使用网段 192.2.0.0.具体IP地址分配如下:
前台服务部: pc20:192.2.1.2 pc15:192.2.1.3
前台会计部: pc13:192.2.2.2 pc14:192.2.2.3
后台维修部: pc17:192.2.3.2 pc18:192.2.3.3
分公司总经理:192.2.5.2
·虚拟子网:
总部经理间通讯虚拟子网:VLAN 111 - 192.1.11.1
总部会计部虚拟子网: VLAN kuaiji – 192.1.4.1
分部会计部虚拟子网: VLAN 222 – 192.2.2.1
4.路由器配置:
①动态路由设置与路由器端口IP设置:将与路由对应端口相连接的网段网关加入
路由RIP设置中,在数据传输过程中将由路由进行路径选择。具体设置如下例
②无线路由器设置:
·自动分配地址(DHCP):在无线网络覆盖的会议室里,我们应用了DHCP自动分配新接入网的PC机的IP,以更加便利。
·无线路由器密码设置:给无线路由设置密码以保证只有拥有正确密码的PC机用户才能连入该无线网络。
·无线路由会议室通讯测试:
5. 交换机配置:
①核心交换机端口IP设置:在IOS环境下给核心交换机以指令形式给各端口配置IP,以
作为各子网的网关。(下图以总部核心交换机的各端口IP配置情况为例)
例:给核心交换机的f0/1端口配置IP为192.1.1.1:
switch(config)#interface fastEthernet0/1
switch (config-if)#no switchport
switch (config-if)#ip address 192.1.1.1 255.255.255.0
switch (config-if)#no shutdown
②核心交换机(第三层交换机)VLAN配置:
为保证各部门经理间通讯的机密性,我们为经理设置了一个单独的VLAN;该VLAN是由‘基于同一个第三层交换机、分属于不同二层交换机下的PC机’组成的VLAN。具体配置过程如下:
·第一步:设置核心交换机为VTP服务器、创建VTP域:
Multilayer Switch总公司三层交换机:(默认为服务器)
switch(config)#vtp domain cisco —创建VTP,并命名为cisco
switch (config)#inter range f0/1 – 5
switch (config-if-range)#switchport mode trunk —对接口进行封装
·第二步:设置各二层交换机为VTP客户模式、创建VTP域:
Switch0:
Switch0(config)#vtp domain cisco —创建VTP,并命名为cisco
Switch0(config)#vtp mode client —指定为客户模式
Switch0(config)#interface f0/12
Switch0(config-if)#switchport mode trunk —对接口进行封装
·第三步:在核心交换机上创建VLAN 111:
Multilayer Switch -- 总部三层交换机:
3560(config)#vlan 111
·第四步:在VTP服务器(核心交换机)上创建VLAN,各客户机(二层交换机)上也应同步VLAN信息:
Switch0:
Switch0#show vlan brief —查看客户机中是否同步了vlan信息
·第五步:在各二层交换机上将各的经理划入VLAN111:
———例:将PC0划入vlan111中,代码如下
Switch0:
Switch0(config)# int f0/1
Switch0(config-if)#switchport mode access
Switch0(config-if)#switchport access vlan 111
Switch0(config-if)#exit
·第六步:设置核心交换机路由功能——利用SVI技术,利用交换机虚拟接口实现:Multilayer Switch -- 总部交换机:
switch(config)#int vlan 111
switch (config-if)#ip address 192.1.11.1 255.255.255.0 –设置经理虚拟子网的网段为 192.1.11.0
switch (config-if)#exit
③二层交换机的VLAN配置:(如下图所示按照接口划分)
6. 服务器设置:
(1)域名解析(DNS)服务:添加了该功能后,用户可以通过输入域名来进入网站,便于用户更为清晰的记忆域名,并区分不同的组织机构,不同的国家,使登陆网站更为方便。具体设置如图所示:
则公司网络中所有其他PC机均可通过域名访问公司网站(如下图)
(2)E-MAIL服务器:
我们使用了邮局协议(POP)和简单邮件传送协议(SMTP),为公司提供便利的电子邮件服务。
(3)数据库:
7.其他:除第一层外,公司总部的每一层均共享有若干台公共打印机,以供内网内所有计算机调用,提高了公司资源的利用效率。在设置上只需将该打印机的IP设置在该层的网段内即可。Ping连同测试如下:
四、安全设置:
①设置虚拟局域网以保证会计部门的信息安全:如下图所示
②
对该公司设置了三个虚拟局域网:将公司总部与分部的会计部门各自划入一个虚拟局域网(如上图中所示的VLAN4和VLAN222),以免公司极机密信息泄露;将公司的所有经理划入一个VLAN(如图中所示的VLAN111)以保证公司高层的交流的机密性。(其中
会计部经理既在会计部VLAN中又在经理VLAN中,使用了Hybrid混合模式)做了如上述设置之后,使用ping指令测试效果如下:
#公司总部普通员工之间通讯测试:
#公司总部的普通员工不能访问总经理(192.1.11.4):
#公司总部其他部门的员工不能访问会计部(192.1.4.0网段)(保密性要求) :
#公司分部普通员工间通讯:
#公司分部间其他部门员工不能访问会计部:
#公司分部普通员工无法访问分部总经理(192.2.5.2):
③防火墙设置:在进入我公司网的端口设置了防火墙,并且在系统上安装杀毒软件,定期为系统进行杀毒。网络防火墙技术是一种用来加强网络之间访问控制,防止外部网络用户以非法手段通过外部网络进入内部网络,访问内部网络资源,保护内部网络操作环境的特殊网络互联设备.它对两个或多个网络之间传输的数据包如链接方式按照一定的安全策略来实施检查,以决定网络之间的通信是否被允许,并监视网络运行状态.
④为了加强对重要信息的安全性管理,在三层交换机上连接了侵入检查系统,同时,由系统软件为各个用户分配的权限。
⑤ACL访问控制列表:
·对E-mail服务器进行设置,旨在防止外部网络的病毒或不良信息侵入。(在路由器上进行配置)————该E-mail服务器允许公司所有设备的访问,但拒绝其它流量。
Router(config)#access-list 1 permit tcp any host 192.4.1.2 eq smtp
Router(config)#access-list 1 permit tcp any host 192.4.1.2 eq pop3
·为了为会计部门提供保密地数据库服务,我们为其设置了FTP访问权限,保证只有会计部内部人员有权访问该服务器:对总公司的会计部内部的FTP服务器设置权限(在路由器上进行配置)————会计部内部FTP服务器只允许会计部门内VLAN内的用户使用其FTP服务,拒绝其它流量。
Router(config)#access-list 4 permit tcp 192.1.4.0 0.0.0.255 host 192.1.4.5 eq ftp ·在连入外网的路由上进行了访问控制:只允许公司经理层(网段为192.1.11.0及192.2.5.0)连接外网,其余均为内网访问。因此在路由上做如下设置:Router(config)#access-list 2 permit 192.1.11.0 0.0.0.255
Router(config)#access-list 2 permit 192.2.5.0 0.0.0.255
Router(config)#access-list 2 deny any
应用于端口ethernet1/1:
Router(config)#interface fastethernet0/0
Router(config-if)#ip access-group 1 out
Router(config-if)#exit
五、总结
该局域网的构建基本满足了该公司的需求,基本达到最初的设想。在构建该公司内部局域网过程中,我们着重研究了安全性控制方面的设置。安全性对于一家公司的网络运行是尤为重要的,只有保证了公司信息的保密性与安全性,才能顺利的进行数据传输,才能公司的经营管理和正常运作起到很大的保障作用。
我们对公司的安全保障的硬件基础主要是路由器和交换机。对于交换机,通过对VLAN设置来实现其安全性控制,对未在其VLAN中的PC机不允许其进行通讯,从而实现对公司机密部门(例如会计部)的信息保密;对于路由器,通过设置ACL访问控制列表来阻挡不安全网站的信息传送,以此来实现该网络的网关安全性控制。
在安全性方面,还可通过进程管理、浏览器安全管理等进行控制,这是公司局域网搭建好后的后续加强保障工作,在此不作研究。
这次实验收获很大,通过小组讨论和在模拟环境上进行实践,我们对局域网构建的相关理论知识更加清晰,对IP地址分配、子网划分、路由配置等都加深了理解。特别是在安全性控制方面,我经过询问老师、查阅资料,学习了怎样设立以硬件为基础的安全屏障,主要是通过交换机和路由器的相关配置完成。这两个控制设置都是通过IOS命令行的方式设置,不同于其它界面化的操作,因此也使我印象更加深刻。
在实验过程中,曾出现过IP地址类别混淆或者没有设置网关导致无法连通等错误,经讨论后这些问题得以解决,也加深了我对相关网络配置的理解。这次实验也让我体会到,仅仅学习书本不如进行实际的操作更能理解所学的知识内容,只有通过在实践中遇到问题、讨论研究、解决问题的过程才能使我们的知识更加扎实,达到该课程学习的目的。
