设计构建中小型企业网络(包括总部与子集团公司)

目录
第一章需求分析1
1.1公司部门概况1
1.2网络功能需求1
1.3网络性能需求1
第二章方案设计2
2.1设计原则2
2.2网络规划2
2.2.1核心层建设2
2.2.2接入层建设3
2.2.3服务器系统4
第三章方案实施6
3.1 部署活动目录服务，构建域环境6
3.2 部署DHCP服务，自动分配DHCP选项6
3.3 部署DNS服务，响应名字解析请求7
3.4 安装Internet信息服务，部署WEB站点8
3.5 结合SMTP服务和POP3服务实现基本功能- 12 -3.6 部属NNTP，实现聊天功能- 14 -
3.7部署FTP服务，实现文件共享- 16 -
3.8部属分布式文件系统- 17 -
3.9安装CCProxy，实现代理服务- 19 -
3.10安装路由和远程访问服务，部属VPN服务19 3.11安装Internet验证服务- 21 -
3.12安装Windows Media Services- 23 -
3.13安装Windows Media Encoders- 23 -
第四章网络维护- 24 -
4.1更新- 24 -
4.2备份- 24 -
4.3诊断- 24 -
4.4安全- 24 -
4.5磁盘整理- 24 -
结束语错误!未定义书签。

致错误!未定义书签。

参考文献错误!未定义书签。

第一章需求分析
1.1公司部门概况
➢总部设在--，两个分公司设在--燕郊和--。

➢200个网络节点分布在技术部、营销部、财务部、决策部。

1.2网络功能需求
➢共享公司的各种信息资料，发布公司部刊物的电子版。

➢实时传递行业政策、市场变化信息；、摘编国际国重大新闻信息。

➢动态查询产品的生产、销售、库存等实时数据和客户、员工的档案信息。

➢提供销售、生产、会计、统计等报表供相关人员查阅、分析。

➢发布电脑方面的文章以提高员工的计算机知识；发布相关业务培训容。

➢以FTP方式提供大量应用软件和实用工具，供部员工下载使用。

➢通过代理服务器使公司的计算机均能以低廉费用接入Internet。

➢开通部门间、员工间的E-mail服务和论坛增强Intranet的娱乐性。

1.3网络性能需求
➢经济性
➢实用性
➢稳定性
➢安全性
➢易管理性
➢可扩展性
第二章方案设计
2.1设计原则
➢经济性：用性价比较好的网络与设备，以较低廉的投资获取较高性能。

➢实用性：确保信息加速传递、提高工作效率，节约办公费用。

➢操作性：界面图形化、操作按钮化，办公人员在简单培训后能熟练运用。

➢扩展性：新增的硬件设备能方便接入网络；软件便于更新、维护、升级。

2.2网络规划
局域网分为核心层、接入层、服务器群三个部分来设计拓扑结构如下：
2.3 核心层建设
(1) 核心层作用
核心交换机位于网络中心，是整个局域网的灵魂。

它对整个网络的性能、可靠性起决定性作用。

它连接各个物理子网；负责高速地对端到端设备进行数据
包交换；控制VLAN间访问；保证信息安全。

(2) 核心层网络类型选择
作为主干网连接着服务器和楼层交换机，可局部采用千兆以太网。

千兆以太网可提供 1Gbps的通信带宽，具有以太网简易性，比其它类似速率的通信技术价格低廉。

千兆以太网还能在当前以太网基础上平滑过渡，这意味着现有的投资可以在合理的初始开销上延续到千兆以太网，不需要对技术支持人员和用户做重新培训，无需另外配置协议、购买中间部件，具有一定的前瞻性。

(3) 核心层交换机选择
➢所选中心交换机首先要具有三层交换功能，能提供 VLAN 间的数据传输。

➢其次要具有足够数量高速网络接口，提供高速交换带宽和包转发速率。

➢具有多种信息管理和控制能力和QoS 功能。

(4) 核心层升级方案
➢购买新功能模块，实现新的网络功能；
➢添加接口模块数量，实现用户和信息点的扩充；
➢改用光纤，提高主干带宽；
➢提高主干带宽、实现主干线路互备份；
➢增加一台三层交换机，采用多链路千兆以太网连接，消除单点故障。

2.2.2 接入层建设
(1) 接入层作用
接入层交换机为楼层工作组级交换机，为每个用户提供100Mbps以太接入端口，负责将用户数据馈入网络。

它直接完成本地数据交换，将其它网段数据送到核心层。

通过 VLAN 的合理划分，方便用户在网络中移动，保证部门信息安全。

(2) 接入层网络类型选择
在当今现有的高速局域网技术中，由于快速以太网（100BASE-T）性能优良、价格低廉、升级和维护方便，通常都将它作为首选。

快速以太网在过去广泛接的
10BASE-T以太网基础之上，提供向100Mbps的平滑、连续性的网络升级。

(3) 交换机的连接
工作站少的部门只需一台二层交换机，下联用户端上联核心交换机。

信息点分布密集的部门采用多台交换机堆叠或者级联。

连接介质可以是光纤、双绞线。

(4) VLAN的划分
通过VLAN 实现隔离和限制本地流量的功能：把工作容相近的PC机、经常共享数据的信息点划分在同一个 VLAN 中可以提高网络效率；设定相应地访问权限可以增强网络安全。

根据员工分布情况，二层交换机可以每个独立构成一个VLAN，也可以多个构成一个VLAN。

(5) 交换机的选择
➢高端口密度
➢支持VLAN划分
2.2.3服务器系统
(1) 服务器系统的作用
服务器群的主要功能是为客户端提供各种网络服务，包括：资源共享、Web 服务、文件传输、服务、代理服务、聊天服务、流媒体服务、身份验证服务……
(2) 服务器的连接
服务器的连接位置可以很灵活，整个网络用户都公用的服务器直接连到核心交换机上，连接介质可以采用光纤或双绞线。

各个部门单独使用的服务器可以连到部门交换机上，提供该部门的特定网络服务。

(3) 服务器软件的选择
选用Windows的产品其优点是：Windows Server 2003集成多种功能且对硬件要求不高，总体成本较低。

工作站普遍使用Windows操作系统，服务器与客户端兼容性更好。

Windows服务器系统提供图形化界面，减少配置和维护的工作量。

服务功能与应用软件如下表：
第三章方案实施
3.1 部署活动目录服务，构建域环境
3.1.1安装目录服务的同时安装DNS服务确保名字解析的正确性
3.2 部署DHCP服务，自动分配DHCP选项
3.2.1配置DHCP选项(子网掩码，默认网关、DNS服务器IP地址)
3.2.2确认客户端自动获得正确的IP地址和DNS服务器IP地址后加入域
3.3 部署DNS服务，响应名字解析请求
3.3.1建立正向AD集成区域
3.3.2客户端获得正向自动更新
3.3.3客户端获得反向自动更新
3.4 安装Internet信息服务，部署WEB站点
3.4.1主机头实现一台主机上运行多站点3.4.2DNS解析主机头
3.4.3测试
3.4.4Web服务器向CA申请证书
(1) CA在线,直接提交证书请求
(2) Ca不在线或联系不到，提交证书请求文本文件
3.4.5Web服务器获得证书,查看证书
3.4.6Web服务器安装证书并配置启用SSL
3.4.7测试
(1) 客户端计算机不信任颁发Web服务器证书的根CA，产生安全警报
(2) 下载根CA证书，导入客户端计算机“受信任的根证书颁发机构”
3.5 结合SMTP服务和POP3服务实现基本功能3.5.1SMTP服务器配置
(1) 允许/拒绝某个IP使用SMTP发送电子
(2) 允许/拒绝某个IP使用该SMTP中继电子
3.5.2安装POP3，添加，自动会创建登陆使用的关联
3.5.3Outlook客户端配置
(1)指向SMTP服务器，
(2)用从CA申请的用户证书配置签名
(3)用从CA申请的用户证书配置加密
3.5.4测试
(1) 发送加密和签名的
(2) 接收加密和签名的
(3) 发送给本域和其他域的
3.6 部属NNTP，实现聊天功能3.6.1默认NNTP服务器上新建新闻组
3.6.2OUTLOOK客户端预定新闻组
3.6.3OUTLOOK客户端同步所有3.6.4测试
3.6.5新闻组下载到本地
3.7部署FTP服务，实现文件共享3.7.1新建FTP站点
3.7.2FTP服务器上对每个用户启用NTFS权限3.7.3测试
3.8部属分布式文件系统
3.8.1新建根目录文件夹，设置共享权限和NTFS权限3.8.2 新建根目录，根目录下新建，下新建目标
3.8.3 配置属性
(1) 设置复制计划（复制时间、复制优先级）
(2) 设置复制拓扑
3.8.4活动目录中发布DFS根目录，用关键字在AD中搜索已发布DFS根目录
3.9安装CCProxy，实现代理服务
3.9.1 设置CCProxy
(1) 禁止员工工作时玩游戏、聊
(2) 根据用户名、IP、MAC、设置限制最接数、带宽、、可用时间
3.9.2客户端设置IE代理
3.9.3客户端设置OUTLOOK代理
3.10安装路由和远程访问服务，部属VPN服务
3.10.1 把VPN服务器 (RADIUS客户端)改用RADIUS身份验证，RADIUS记帐
3.10.2 设置记帐日志的属性
3.11安装Internet验证服务
3.11.1 添加RADIUS客户端（VPN服务器），授权RADIUS服务器进行身份验证3.11.2 同时管理多台RADIUS客户端上的远程访问策略的条件、权限、配置文件
3.11.3 对远程访问启用IPSEC (1) 禁止PING
(2) 禁用易被攻击的端口
(3) 确保TCP传输安全
3.12安装Windows Media Services 3.12.1 新建发布点
3.13安装Windows Media Encoders 3.13.1 新建会话
3.13.2 测试
第四章网络维护
4.1更新
WEB页面的版面、样式、容的更新；公司共享资料的更新；网络教室、软件下载容的更新；聊天室与电子论坛的维护等工作由管理员进行。

各种报表、数据库更新，信息发布由各部门管理员从本地登录服务器进行。

4.2备份
由于考虑最低投资，未采用磁带机备份，而使用磁盘镜像技术容错，这样不但得到完整的数据备份，而且还提高了系统的性能。

4.3诊断
INTRANET采用TCP/IP协议,在网络的调试中主要采用了以下几个诊断程序:
Ping;Ipconfig;Nbtstat;Netstat;Hostname
4.4安全
利用代理服务器Ccproxy的防火墙功能可以阻挡Internet上的系统或使用者直接进入Intranet。

网络管理员的密码和各用户的密码均利用AD组策略统一进行管理，并利用其“组策略”功能统一部署密码策略：包括密码最长/最短有效期、密码的长度、唯一性和锁定等项目。

域用户权限也利用“域用户容器”统一管理。

4.5磁盘整理
虽然Windows系统自身包括磁盘碎片整理程序,建议采用第三方的程序Diskeeper定期整理磁盘碎片。

参考文献
黎连业著网络综合布线系统与施工技术机械工业 2005.4 Microsoft 著网络基本架构的实现和管理高等教育 2003.8 Microsoft 著网络安全基础和网络安全配置高等教育 2003.8 Microsoft 著网络服务操作系统安装配置和管理高等教育 2003.8。