中小型企业局域网的组建与维护1 企业基本网络方案 按照网络的规模

1 摘要信息化浪潮风起云涌的今天，企业内部网络的建设已经成为提升企业核心竞争力的关键因素。企业网已经越来越多地被人们提到，利用网络技术，现代企业可以在供应商、客户、合作伙伴、员工之间实现优化的信息沟通。这直接关系到企业能否获得关键的竞争优势。近年来越来越多的企业都在加快构建自身的信息网络，而其中绝大多数都是中小企业。目前我国企业尤其是中小型企业网络建设正在如火如荼的进行着，本文以中小型企业内部局域网的组建需求、实际管理为出发点，从中小型企业局域网的管理需求和传统局域网技术入手，研究了局域网技术在企业管理中的应用。关键词：中小企业；局域网；组网案例；网络布局；网络安全目录引言………………………………………………………………………………1 一中小型企业网络方案的主要特点与要求…………………………………1 二典型中小型企业组网实例……………………………………………1 （一）案例描述……………………………………………………………………1 （二）硬件设备……………………………………………………………………

2 （三）IP 地址规划…………………………………………………………………2 （四）网络拓扑……………………………………………………………………

3 （五）配置需求及解决方案………………………………………………………3 三网络布局和综合布线治…………………………………………………7 （一）网络布局的原则……………………………………………………………7 （二）网络布局的具体实施要求………………………………………………8 （三）网络布局的规划与设计…………………………………………………9 2 四局域网的安全控制与病毒防治………………………………………11 （一）局域网安全威胁分析……………………………………………………11 （二）局域网的安全控制与病毒防治策略……………………………………12 结论………………………………………………………………………………15 参考文献………………………………………………………………………16 引言随着计算机及局域网络应用的不断深入，特别是各种计算机应用系统被相继应用在实际工作中，各企业、各单位同外界信息媒体之间的相互交换和共享的要求日益增加。需要使各单位相互间真正做到高效的信息交换、资源的共享，为各单位人员提供准确、可靠、快捷的各种生产数据和信息，充分发挥各单位现有的计算机设备的功能。为加强各公司内各分区的业务和技术联系，提高工作效率，实现资源共享，降低运作及管理成本,公司有必要建立企业内部局域网。局域网要求建设基于TCP/IP 协议和WWW 技术规范的企业内部非公开的信息管理和交换平台，该平台以WEB 为核心，集成WEB、文件共享、信息资源管理等服务功能，实现公司员工在不同地域对内部网的访问。一中小型企业网络方案的主要特点与要求中小企业局域网通常规模较小，结构相对简单，对性能的要求则因应用的不同而差别较大。许多中小企业网络技术人员较少，因而对网络的依赖性很高，要求网络尽可能简单、可靠、易用，降低网络的使用和维护成本、提高产品的性能价格比就显得尤为重要。基于以上特点，应遵循下列设计原则：1.把握好技术先进性与应用简易性之间的平衡。 2.具有良好的升级扩展能力。

3.具有较高的可靠性和安全性。

4.产品功能与实际应用需求相匹配。80%的中小企业用户通常只用到局域网20%的功能。精简功能设计的产品不但可以在满足大多数需求的情况下有效降低成本，而且还能够提高系统的稳定性和易维护性。3

5.尽可能选择成熟、标准化的技术和产品。恰当运用以太网的不同标准和功能，以太网技术能够在双绞线、多模光纤、单模光纤等介质上传输数据，可以非常简单地升级到百兆、千兆的速率，而且具有很高的稳定性和可管理性。以太网提供了多种标准和功能。比如10Mbps、100Mbps、1000Mbps 不同速率的标准，双绞线、光纤等不同介质的标准，以及网络管理、流量控制、VLAN、优

先级、链路聚合等功能。二典型中小企业组网实例（一）案例描述典型中小企业组网实例，申请一个公网IP 和10M 带宽，单台路由器，WEB 服务器，文件服务器，FTP 服务器等，客户端办公电脑100 台左右，多部门划分VLAN，用ACL 控制各部门访问权限，配置网络打印机。（二）硬件设备序号设备名称规格单位数量单价（元）合价（元）1 交换机Cisco 4503 Cisco 2960-48t 台台1 2 7400 9300 26000 2 路由器Cisco 2821 台1 14500 14500 3 防火墙Nokia IP355 台1 34500 34500 总计75000 Cisco Catalyst 4500 系列能够为无阻碍的第2/3/4 层交换提供集成式弹性，因而能进一步加强对融合网络的控制。可用性高的融合语音/视频/数据网络能够为正在部署基于互联网企业应用的企业和城域以太网客户提供业务弹性。4500 系列中提供的集成式弹性增强包括1＋1 超级引擎冗余、集成式IP 电话电源、基于软件的容错以及1+1 电源冗余。硬件和软件中的集成式冗余性能够缩短停机时间，从而提高生产率、利润率和客户成功率。是用于公司企业网络交换机群核心层高性价比的一系列。Cisco WS-C2960-48T 拥有大数量的接口，全智能自动全双工半双工识别，具有用于接入层交换机的良好优势。能够快速转发用户的数据。Cisco 2821 是一台多业务路由器，比较适合中小型企业的需求与应用。Nokia IP355 是一款应用于中小型企业的防火墙产品，能够进行SNMP,Telnet,FTP,SSHv2(安全Telnet&FTP),HTTP 服务器RFC 2068,SSL/TLS RFC 2246,命令行运用的管理和对流量的过滤，对于中小型的安全问题防护性能比较良好。 4 （三）IP 地址规划部门IP 地址公网地址221.195.66.117 路由器内部IP 172.16.0.1/30 核心交换外部IP 172.16.0.2/30 Web 服务器172.16.2.1/24 Ftp 服务器172.16.2.2/24 文件服务器172.16.2.3/24 网络打印机172.16.30.1/24 财务部172.16.40.1/24 设计部172.16.41.1/24 市场部172.16.42.1/24 （四）网络拓扑5 （五）配置需求及解决方案为了直观方便，配置需求全部在配置命令中加以单点说明，并且配置命令量大反复，这里只列出重点命令。1.配置Router ：接口：interface fastethernet0/1 ip address 172.16.0.1 255.255.255.252 duplex auto speed auto ip nat inside no shutdown interface fastethernet0/2 ip address 221.195.66.117 255.255.255.248 duplex auto 6 speed auto ip nat outside no shutdown 路由：ip route 0.0.0.0 0.0.0.0 221.195.66.117 过载：ip nat inside source list 110 interface FastEthernet0/2 overload access-list 110 permit ip 172.16.0.0 0.0.255.255 any 2.配置Core switch：VTP：VTP V ersion: 2 Configuration Revision: 7 Maximum VLANs supported locally : 1005 Number of existing VLANs: 9 VTP Operating Mode: Server VTP Domain Name: OA VTP Pruning Mode: Disabled VTP V2 Mode: Enabled VTP Traps Generation: Enabled VLAN：core-sw#vlan database 进入vlan 配置模式core-sw(vlan)#vtp domain OA 设置vtp 管理域名称OA core-sw(vlan)#vtp server 设置交换机为服务器模式core-sw(vlan)#vlan 10 name shichang 创建VLAN 10，为市场部core-sw(vlan)#vlan 11 name caiwu 创建VLAN 10，为财务部core-sw(vlan)#vlan 12 name sheji 创建VLAN 12，为设计部core-sw(vlan)#vlan 13 name netprinter 创建VLAN 13，为网络打印机core-sw(vlan)#vlan 20 name server 创建VLAN 20，为服务器组core-sw(config)#interface vlan 10 core-sw(config-if)#ip address 172.16.42.254 255.255.255.0 core-sw(config)#interface vlan 11 core-sw(config-if)#ip address 172.16.40.254 255.255.255.0 core-sw(config)#interface vlan 12 core-sw(config-if)#ip address 172.16.41.254 255.255.255.0 7 core-sw(config)#interface vlan 13 core-sw(config-if)#ip address 172.16.30.254 255.255.255.0 core-sw(config)#interface vlan 20 core-sw(config-if)#ip address 172.16.2.254 255.255.255.0 将接入层SW 上的端口根据需要划分至各个VLAN 3.配置ACL：配置ACL 应用在各个部门VLAN 接口上，控制各部门互访access-list 10 permit 172.16.2.0 0.0.0.255 access-list 10 permit 172.16.30.0 0.0.0.255 access-list 10 deny 172.16.0.0 0.0.255.255 access-list 10 permit any 进入vlan 10 ip access-group 10 out 把访问控制列表10 应用于VLAN 10 OUT 方向上，市场部内部可以互访，可以访问服务器