中小型企业局域网的安全设计方案

广州现代信息工程职业技术学院

毕业设计（论文）

课题名称： 中小型企业局域网的安全设计方案

学号 0901231151 姓名 赵健溢 性别 男

专业 计算机网络技术 年级、班级 2009网络技术班

指导教师 肖东升 职称 高级工程师

2012年 4月 13日

页脚内容

版本说明书

摘 要

本设计（论文）主要是对现在中小型的企业局域网，办公网络进行规划和设计。目前国内经济发展迅速，改革开放以来私企和一些中小型的私人企业、股份企业如雨后春笋。尤其在21世纪的十年里，伴随这激烈的竞争各企业不断改进管理模式，加大了在企业信息化和办公自动化方面的投入，使得信息网络产业发展迅速。中小企业网络化能够促进产业的发展，加大工作效率。

关键词：综合布线 WEB

页脚内容

服务器服务器

网络规划设计 网络设备 DHCP版本说明书

目 录

前言

1. 绪论····························································· 6 1.1 项目背景····················································· 6 1.2 中小企业网络概述············································6 2. 需求分析·························································6 2.1 企业描述····················································7 2.2 网络概况····················································8 2.3 公司需求····················································8 2.4 解决方案····················································9 2.5 可行性分析··················································9 3. 网络逻辑方案 ···················································10 3.1 布线逻辑方案···············································10 3.2 网络逻辑方案···············································11 4. 网络详细设计方案··············································· 12 4.1 网络配置方案···············································12 4.2 服务器配置方案············································ 19 5. 项目测试与维护················································· 20 总结·································································21 致谢·································································22

页脚内容

版本说明书

参考文献····························································23

前 言

随着现代网络通信技术的应用和发展，互联网迅速发展起来，世界逐步进入到网络化、共享化，我国已经进入到信息化的新世纪。在整个互联网体系巾，局域网是其巾最重要的部分，公司网、企业网、银行金融机构网、、学校、社区网都属于局域网的范畴。局域网实现了信息的传输和共享，为用户方便访问互联网、提升业务效率和效益提供了有效途径。

（1）建立企业局域网，可以同分利用企业现有的硬件资源。节约公司的开支，实现无纸化办公。提高企业员工的工作效率，由于局域网企业内部的资源可以得到共享，避免了不必要的重复工作也可以提高时间的利用率。

（2）局域网建成后可以节约企业在使用网络资源方面节约更多的开支，便于公司员工查阅和接受网络信息，也可以简化公司对计算机的日常维护和管理，节约维护成本。 （3）建立局域网提高公司在办公自动化水平和企业内部应用电子商务的能力，逐步实现业务级网络应用。更有利于企业获得更快、更准确的市场信息，为公司决策提供更科学的依据等。

（4）建立局域网也可以是外界能更快更好的认识本企业，加强企业知名度。

页脚内容

版本说明书

本研究以在中小企业为背景，多层面探索这些企业在网络规设计碰到的问题和解决方法，供有关部门作为研究、管理决策、规划的参考。

1 绪论

1.1 项目背景

中小企业网络主要是企业内部网络建设，包括企业内部计算机节点的分布与整个网络的物理线路连接合理布局，以及门户网站、电子商务平台的搭建。进入21世纪后我国的中小企业大都进入信息化和办公自动化或者半信息半自动化。网络能够提高整个企业的工作效率，加大市场宣传面，增加业务业务量。因此中小企业网络将在20年内得到高速的发展。

公司追求形象，所以在网络设计和布设方面要求特别高，要求绝对的合理化。另外合理的网络布局使我们企业办公场所环境优良，企业的网络化使得公司工作效率普遍较高，WEB服务器和办公服务器的架设，使得公司对外宣传面扩大，提高了效益。同时网络化办公也使员工能够在网络上找到疑问的答案。网络使得公司各方面都得到了很快的发展。中小企业的网络规划、设计和维护越来越需要标准化和规范化。 1.2 中小企业网络概述

中小企业网络主要是企业内部网络建设，包括企业内部计算机节点的分布与整个网络的物理线路连接合理布局，以及门户网站、电子商务平台的搭建。进入21世纪后我国

页脚内容

版本说明书

的中小企业大都进入信息化和办公自动化或者半信息半自动化。网络能够提高整个企业的工作效率，加大市场宣传面，增加业务业务量。因此中小企业网络将在20年内得到高速的发展。

2 需求分析

2.1 企业描述：

2.1.1 职能描述如图2-1所示：

图2—1 职能描述

术术务务政政技技业业行行技术总监 业务总监 行政总监 董事长 页脚内容

版本说明书

该公司新购一个办公楼层，需要在目前简易装修的基础上设计企业网络，并且与下面的再次装修基本同步进行，接入电信光纤。 董事长单独1间办公室； 三个总监共3间办公室；

技术部1间办公室（技术主管在技术部办公）； 业务部1间办公室（业务主管在业务部办公）； 行政部1间办公室（行政主管在行政部办公）； 公司内设一个机房。一个信息技术操作室 2.1.2 公司的建筑物理布局如图2—2所示：

机房 网管操作 技术总监 业务总监 会议室 技术部 业务办公业务办公前台 行政部 董事长办公室 行政总监 茶水间 洗手间 接 2.2

网络概况

电信网络独享百兆接入，由于电信法相关规定，地址转换翻译有特殊规定，使用一

个ip为全公司整个网络使用，会导致违反规定，会被误认为是黑网吧之类的节点，因此公司采取使用全部公网。电信分配的ip地址为202.16.100.33掩码：255.255.255.0.另外电信的路由是终结的。 2.3 公司需求

①节点需求： 名称 节点数 IP分配 页脚内容

版本说明书

机房 10个 192.168.1.236～192.168.1.245 调试室 2个 192.168.1.234～192.168.1.235 董事长办公1个 室 总监办公室 共个 技术办公区 8个 3192.168.1.233 192.168.1.230～192.168.1.232 192.168.2.2～192.168.2.9 行政办公区 6个 192.168.2.10～192.168.2.15 业务办公区 24个 192.168.3.2～192.168.3.25 前台 无线 ②服务器需求：

1个 1个 192.168.3.26 192.168.1.229 Web服务器、数据库服务器、dhcp、办公、存储 ③网络需求：

（1） WEB需要至少30M的流量（上传下载速率：30*128kb，约为3M/S）。

页脚内容

版本说明书

（2） 数据库服务器同上。

（3） 办公服务器（办公系统），内网使用。 （4） DHCP内网使用和邮件服务器。 （5） 存储服务器。

（6） 董事长办公室、总监办公室各独享3M。 （7） 布线必须不影响公司整个装修的美观。

2.4 解决方案

①综合布线需求主要是价廉、合理、美观、标准。因此进行夹墙内、地板下、天花板上布线。

②网络设备主要放在机房和大厅个办公区域头部柜子内。 ③机房内使用一个机柜（33U、1.6M），防尘地板，和空调。

④Web和数据库服务器必须7*24不间断,使用linux操作系统架设web和ftp。 ⑤办公服务器和主要的网络设备放置机房机柜。办公服务器采用windows 2003操作系统。主要为ftp和办公系统。

⑥公司办公网上网使用CICSO路由器实现dhcp，调试室使用静态公网ip地址。 2.5 可行性分析

通过对该企业写字楼的现场调查和需求分析后，对其可行性进行分析。

技术上可行：该系统所需硬件设备，市场上销售且价格较低，操作系统采用linux、Windows系列操作系统，数据库采用SQL，这些软件已被大量应用，技术上都比较成熟。因此在技术上是可行的。

经济上可行：网络企业主要的是实现办公自动化和信息化。网络是网络企业发展的命脉和根本，没有网络该类型企业无法发展。因此，这项投入是企业必须的。因此经济上没有问题。

管理上可行：整个公司的办公资料是通过办公服务器集中存储处理的，整个网络设备都是集中的机房并且具有专人进行维护。因此可以达到了集中管理。管理上是可行的。

综上所述，设计建设该网络项目在技术上、经济上、管理上都是可行的。

页脚内容

版本说明书

3 网络逻辑方案

3.1 布线方案

布线主要采取外线进入公司机房然后星形对外布线，如图3—1所示： 各服务器 各领导办公室 防火墙 INTERNET

办公区交换机1 各办公区1 公司路由设备 交换机 无线路由器

办公区交换机2 各办公区2

图3—1 布线逻辑方案

公司是光纤接入，然后通过自己的路由器接到交换机，然后接分交换机

页脚内容

版本说明书

3.2 网络逻辑方案

页脚内容

版本说明书

4. 网络配置方案

4.1.1 配置概述

为了降低成本，公司采用路由器实现dhcp功能。 IP地址分配：

路由器：202.16.100.33/255.255.255.0 内网使用私有地址：10.0.0.0/255.0.0.0

网络设备地址：R2: E0: 202.16.100.33 E1:192.168.1.1 S1: VLAN1:192.168.1.2 S2: VLAN1: 192.168.2.1 S3: VLAN1: 192.168.3.1

服务器地址：OA: 192.168.1.240 OA备用: 192.168.1.241 WEB: 192.168.1.242 WEB备：192.168.1.243 备机：192.168.1.244 存储：192.168.1.245 无线路由器：192.168.1.229 4.1.2 路由器配置

（1）概述：

由于电信拉来的专线是终结的，所以我们的路由器只需要设置PAT地址转换和dhcp功能。另外我们采用路由器作为我们的防火墙，因此需要配置acl访问控制。路由器f0/0为进口ip设置为202.16.100.33/255.255.255.0 .路由器内网端口ip设置为：192.168.1.1/255.0.0.0也就是说内网采用192.0.0.0 /255.0.0.0这个网络。然后设置PAT地址转换。再通过配置ACL来做防火墙。

（2）PAT地址转换配置如下：

由于本操作主要是在公司路由器上，所以以一台路由器模拟电信接入的

INTERNET，另外一台R2属于公司内部的路由器，然后接到交换机，并以四台pc模拟内网。

R1

页脚内容

版本说明书

E0/0: 202.16.100.32/255.255.255.0 R2

E0/0: 202.16.100.33/255.255.255.0 E0/1:192.168.1.1/255.0.0.0 配置如下： R1>en R1#conf t

R1(config)#int f0/0

R1(config-if)#ip add 202.16.100.32 255.255.255.0 R1(config-if)#no shut R1(config-if)#end R1#write

Building configuration... [OK]

R2>en R2#conf t

R2(config)#int f0/0

R2(config-if)#ip add 202.16.100.33 255.255.255.0 R2(config-if)#no shut R2(config-if)#exit R2(config)#int f0/1

R2(config-if)#ip add 192.168.1.1 255.0.0.0 R2(config-if)#no shut R2(config-if)#exit

R2(config)#ip nat pool MYNET 202.16.100.33 202.16.100.33 netmask 255.255.255.0

R2(config)#ip nat inside source list 1 pool MYNET overload R2(config)#access-list 1 permit 192.0.0.0 0.255.255.255 R2(config)#interface fastEthernet 0/1 R2(config-if)#ip nat inside R2(config-if)#exit

R2(config)#interface fastEthernet 0/0

页脚内容

版本说明书

R2(config-if)#ip nat outside R2(config-if)#end R2#debug ip nat IP NAT debugging is on R2#write

Building configuration... [OK]

pc0到pc1的ip地址设置为192.168.1.10-192.168.1.13 测试结果如下：

Packet Tracer PC Command Line 1.0 PC0>ping 202.16.100.32 模拟器内可以通 PC1>ping 202.16.100.32 模拟器内可以通 PC2>ping 202.16.100.32 模拟器内可以通 PC3>ping 202.16.100.32 模拟器内可以通

查看路由器内PAT信息：

R2# show ip nat translations

NAT: s=192.168.1.12-> 202.16.100.33, d=202.16.100.32 [5] NAT*: s=202.16.100.32, d= 202.16.100.33->192.168.1.12 [44] NAT: s=192.168.1.12-> 202.16.100.33, d=202.16.100.32 [11] NAT*: s=202.16.100.32, d= 202.16.100.33->192.168.1.12 [50] NAT*: s=202.16.100.32->202.16.100.32, d= 202.16.100.33 [52] NAT*: s=202.16.100.32, d= 202.16.100.33->192.168.1.11 [52] NAT: s=192.168.1.11-> 202.16.100.33, d=202.16.100.32 [6] NAT: s= 202.16.100.33, d=202.16.100.32->202.16.100.32 [6] NAT*: s=202.16.100.32, d= 202.16.100.33->192.168.1.10 [60] NAT: s=192.168.1.10-> 202.16.100.33, d=202.16.100.32 [12] NAT: s= 202.16.100.33, d=202.16.100.32->202.16.100.32 [12] NAT*: s=202.16.100.32->202.16.100.32, d= 202.16.100.33 [61] NAT*: s=202.16.100.32, d= 202.16.100.33->192.168.1.10 [62] NAT: s=192.168.1.13-> 202.16.100.33, d= 202.16.100.32 [5] NAT*: s=202.16.100.32, d= 202.16.100.33->192.168.1.13 []

页脚内容

版本说明书

NAT: s=192.168.1.13-> 202.16.100.33, d=202.16.100.32 [6] NAT*: s=202.16.100.32, d=202.16.100.33->192.168.1.13 [65] NAT: expiring 202.16.100.33 (192.168.1.12) icmp 5 (5) NAT: expiring 202.16.100.33 (192.168.1.12) icmp 6 (6) NAT: expiring 202.16.100.33 (192.168.1.11) icmp 1024 (5) NAT: expiring 202.16.100.33 (192.168.1.11) icmp 1029 (10) NAT: expiring 202.16.100.33 (192.168.1.10) icmp 1032 (11) NAT: expiring 202.16.100.33 (192.168.1.10) icmp 1033 (12) NAT: expiring 202.16.100.33 (192.168.1.13) icmp 5 (5) NAT: expiring 202.16.100.33 (192.168.1.13) icmp 6 (6) （以上返回信息直接在模拟器上拷贝的，并且将部分重复的删除掉了，主机 ping 202.16.100.32路由器会出现以上信息）

（3）路由器实现DHCP配置如下： R2>en

R2#configure

R2(config)#ip dhcp pool NETDHCP

R2(dhcp-config)#network 192.0.0.0 255.0.0.0 R2(dhcp-config)#default-router 192.168.1.1 R2(dhcp-config)#dns-server 192.168.1.240 R2(dhcp-config)#exit

R2(config)#ip dhcp excluded-address 192.168.1.1 192.168.1.10 （保留1-10，这个是内网路由接口的地址和内网各网络设备的地址） R2(config)#ip dhcp excluded-address 192.168.1.240 192.168.1.254

（保留240-154这些ip） R2(config)#en R2#en 测试：

在局域网内随便找几台机器ping，本项目中ping通202.16.100.32即可

将pc机的地址该为自动获取。

以上是模拟器中测试的结果，是没有问题的。 （4）路由器安全设置：

页脚内容

版本说明书

配置口令：

R2（config）#enable secret cisco R2 (config) #line vty 0 4 R2 config-line)#password cisco R2 (config-line)#end R2 #write

Building configuration... [OK]

配置ACL配置禁止135-445，禁止telnet公司路由。 R2(config)#access-list 120 deny tcp any any eq 23 R2(config)#access-list 120 deny tcp any any eq 135 R2(config)#access-list 120 deny tcp any any eq 136 R2(config)#access-list 120 deny tcp any any eq 137 R2(config)#access-list 120 deny tcp any any eq 138 R2(config)#access-list 120 deny tcp any any eq 139 R2(config)#access-list 120 deny tcp any any eq 3 R2(config)#access-list 120 deny tcp any any eq 445 R2(config)#access-list 120 deny tcp any any eq 4444 R2(config)#access-list 120 deny udp any any eq 69 R2(config)#access-list 120 deny udp any any eq 135 R2(config)#access-list 120 deny udp any any eq 136 R2(config)#access-list 120 deny udp any any eq 137 R2(config)#access-list 120 deny udp any any eq 138 R2(config)#access-list 120 deny udp any any eq 139 R2(config)#access-list 120 deny udp any any eq snmp R2(config)#access-list 120 deny udp any any eq 3 R2(config)#access-list 120 deny udp any any eq 445 R2(config)#access-list 120 deny udp any any eq 1434 R2(config)#access-list 120 deny udp any any eq 1433 R2(config)#access-list 120 permit ip any any R2(config)#int f0/0

R2(config-if)#ip access-group 120 in

页脚内容

版本说明书

2(config-if)#end R2#write

Building configuration... [OK]

如果需要删除规则：（config）#no access-list 120 查看规则可以：R2#show running-config 4.1.3 交换机配置

概述：交换机只做监控使用，因此只设置远程管理权限。 （1）主交换机端口分配：

机柜和调试室使用端口14-22分给机柜，23-24备用； 领导网络端口分配：1-4，5-6备用； 行政和技术部端口分配：7，8备用； 业务部和前台端口分配：9，10备用； 无线路由端口分配：11，12备用； （2）交换机权限配置： S1>en S1#conf

S1 (config)#interface vlan 1

S1 (config-if)#ip add 192.168.1.2 255.0.0.0 S1 (config-if)#no shut S1 (config-if)#exit

S1 (config)#enable secret cisco S1 (config)#line vty 0 4

S1 (config-line)#password cisco S1 (config-line)#end S1#w

Building configuration... [OK]

S2>en S2#conf t

S2 (config)#interface vlan 1

S2 (config-if)#ip add 192.168.1.3 255.0.0.0

页脚内容

版本说明书

S2 (config-if)#no shut S2 (config-if)#exit

S2 (config)#enable secret cisco S2 (config)#line vty 0 4

S2 (config-line)#password cisco S2 (config-line)#end S1#w

Building configuration... [OK]

S3>en S3#conf t

S3 (config)#interface vlan 1

S3 (config-if)#ip add 192.168.1.4 255.0.0.0 S3 (config-if)#no shut S3 (config-if)#exit

S3 (config)#enable secret cisco S3 (config)#line vty 0 4

S3 (config-line)#password cisco S3 (config-line)#end S3#wr

4.1.4 金盾防火墙配置

选用金盾防火墙的原因就是他具有防止DDOS 攻击功能，可以局域网的ip地址的速度。

还有人性化的web图形管理界面。只允许访问www.mynet.com这个域名。在金盾防火墙白名单里允许该域名访问，并且禁止其它域名指向我们的ip，这个是防止恶意指向，致使我们出现未备案被查情况的发生。 将相应的节点速度即可，具体要求如下：

总经理和总监办公室网速为4M/节点; 技术部和调试室为6M/节点； 业务部和行政部为2M/节点； Web服务器为40M；

设置方法：选择主机列表——选择所有主机——然后找到特定ip设置流量和规

页脚内容

版本说明书

则。（局域网的主机是防火墙自动识别的） 4.2 服务器配置方案 4.2.1 WEB服务器

采用linux操作系统，apache服务，sql数据库，asp网站程序，并配置FTP用于上传文件，邮件服务器用于沟通。

（1）系统技术工程师安装配置apche、sql、asp环境。 （2）系统工程师安装配置邮件服务器Sendmail。 （3）系统技术工程师安装配置ftp服务器。 （4）架设公司web网站，上传数据库文件。 （5）做好备份镜像办公系统服务器。 4.2.2 OA办公系统

公司软件技术人员在windows 2003下架设OA系统，采用sql 数据库。做好备份镜像办公系统服务器。 4.2.3 存储服务器

存储服务器主要存储公司主要的软件，备份公司重要文件和重要数据库，以及各员工的重要项目、进度文件。主要采取FTP实现上传和下载的功能。员工间进行隔离。如果需要共享资料，只需要在自己的办公电脑上开启共享就好，不用存储服务器共享。

5 项目测试与维护

① 网络测试和维护

在每个办公区和每台服务器对（定为www.baidu.com）进行ping测试。在，ping公司的网站域名，测试队内的访问的连通性。公司服务器网络状态由网管随时检查，处理相关问题。公司办公网采取上报处理。网管必须优先保证公司web的带宽。必要时可以占用办公带宽。

② 路由策略测试和维护

在内网和对路由器设置的相关规则进行测试。Ping 禁用的端口和除允许之外的域名。根据路由策略配置文档，在需要时进行删除增加策略的维护。

③ DHCP功能测试

开启局域网所有主机，全部开启DHCP，然后对外ping www.baidu.com 能通则表示能获取到ip。

④ 无线网络测试

将调试用的笔记本开启无线网卡，自动获取ip，开是否获取ip，是否能连上。无线傻瓜路由器自动获取的主机和路由器dhcp功能分配的地址是不一样。

⑤ 服务器测试

页脚内容

版本说明书

首先服务器试运行3天，检查机房温度适度和防尘情况。 其次在系统日记中查看和日常进系统观察系统的正常性。

最后选择不同的时间段在服务器内ping和在ping服务器，查看是否有严重丢包和延迟过大的情况

⑥ 硬件维护

由于IT硬件随着时间的推移和网络的影响会经常出现一些故障，要保证网络畅通，是很有必要对硬件进行定时检查，测试。对于老化和问题设备要及时维修更换。

6 总结

通过这次毕业设计让我更加熟悉了从理论到实践的跨越，也发现在课本中学习到是不足以应付实际发生的问题，这也需要我们树立起不断学习，终身学习的概念。本论文是关于小型企业网络设计的，设计的过程中一部分用到了我们在学校里学的知识，像上文涉及到的综合布线问题，还有一部分是用到了一些命令，像上文中的项目测试和维护，这些命令我们可以通过看相应设备的参考书，或者cisco/h3c教程可以实现的。本论文写到的一些命令就是通过教程中的解释，再根据实际情况配置而成。但是万事万物总会有自己的缺点，在我的论文中不乏有些错误和缺点，请老师指正

页脚内容

版本说明书

致 谢

本论文是由我的导师肖东升的亲切关怀和悉心指导下完成的。他严肃的科学态度，严谨的治学精神，精益求精的工作作风，深深地感染和激励着我。从课题的选择到项目的最终完成，肖老师都始终给予我细心的指导和不懈的支持。两年多来，肖老师不仅在学业上给我以精心指导，同时还在思想、生活上给我以无微不至的关怀，在此谨向肖老师致以诚挚的谢意和崇高的敬意。

页脚内容

版本说明书

参考文献

（1）（美）W.Richard Stevens.TCP/IP详解卷1:协议[M].机械工业出版社.2000 （2）（美）理查德,巴拉基,艾然.CCNP SWITCH学习指南[M].人民邮电出版社.2011 （3）（美）冉杰贝,夏俊杰.CCNP ROUTE学习指南[M].人民邮电出版社.2011

页脚内容

版本说明书

（4）陆锦军 计算机网络工程 中国铁道出版社

（5）张国清 网络设备配置与调试项目实训 电子工业出版社

页脚内容