网络建设方案

网络建设方案

目录

一、前言.......................................................

二、建设需求...................................................

三、总体架构...................................................

四、总体设计...................................................

五、服务器选择.................................................

六、主交换机的选择.............................................

七、活动目录...................................................

八、文件服务器.................................................

九、防病毒服务器和ERP服务器................................... 一、前言

XXX集团有限公司旗下有三个分公司：1#公司、2#公司、3#公司。由于新厂房的建立，故需要建立一套完整、安全的网络系统。

二、建设需求

1.公司使用2台核心交换机（冗余备份），连接所有网络设备，并把所有服务器连接到该核心交换机上，划分到一个单独的VLAN中。

2.接入层交换机连接所有的终端用户，并把管理层人员和普通的办公人员划分到不同的VLAN中。

3.公司的管理层人员可以访问普通办公人员的计算机，但普通办公人员不能访问管理层人员的计算机。

4.所有用户的计算机都采用DHCP的方法获得IP地址。

5.公司采用Linux iptables 防火墙+路由器上网。公司申请一条100M带宽光纤上网（分两条线路，一条40M，一条60M；要求：服务器占用40M，供外网用户访问，局域网用户占用60M出口访问INTERNET）。

6.公司采用微软的域管理方法，对所有用户的账号和权限通过AD来管理。

7.公司内部要有自己的邮件服务器，并可以和INTERNET的邮件服务器实现收发邮件。

8.公司的防病毒采用统一集中的网络管理模式。

9.严格控制上网时间。

10.出差用户能方便的访问公司内部资料。

三、总体架构

1.根据需求所规划出的整个公司网络系统的拓扑结构图如下图所示：

2.根据规划出的网络拓扑图所分配的整个公司网络中VLAN及IP编址方案如下：

四、总体设计

1.配置防火墙：创建规则，允许内网用户使用客户端邮件，严格控制人员上网权限，启用VPN服务。

2.发布内部邮件服务器和WEB服务器。

3.配置核心交换机，创建VLAN，划分端口，添加路由表，配置接口地址。

4.安装域服务器，创建DC，并在DC服务器上安装DNS服务，建立域账号，

5.安装邮件服务器并加入域，给相应员工创建邮箱，设置邮箱大小为500M，附件20M，启用POP3功能，以便能够使用客户端软件来收发邮件。

6.安装DHCP服务器并加下域，创建地址池，用来给客户机提供DHCP服务，自动获得IP地址。

7.安装配置MCAFEE病毒统一管理服务器并加入域，升级病毒库到最新。

8.配置二层交换机，分配相应端口到相应的VLAN中，配置接口地址。

9.安装文件服务器并加入域，创建用户名和密码，设置相应权限。

10.配置客户机相应权限，管理层人员的计算机权限无限制，设置其IP地址与MAC地址绑定，防止其他人员非法盗用其IP地址，导致局域网内人员ARP冲突。普通人员的计算机默认只开通邮件系统，并只能用客户端软件，用来收发邮件。如有工作需要，要开通相应权限，请申请填写开通权限申请表，经总经理签字确认方可开通其权限。

五、服务器选择

服务器是网络上不可缺少的资源，它为网络环境提供共享资源。所以作为网络

应用的核心，服务器必需具有高可靠性、高性能、高吞吐能力、大内存容量等特点，并且具有强大的网络功能友好的人机界面。根据网络需求，所需的服务器如下：

主服务器：负责整个公司网络的管理、共享资源的管理等。包括

1.FTP服务器：负责公司网内的文件共享和传输。

2.DHCP服务器：负责所有公司客户机的IP地址自动获取工作。

3.EXCHANGE服务器:负责公司内所有邮件的管理。

4.WEB服务器：负责远程服务管理及WEB站点管理。WEB服务器采用现在比较

流行的LAMP环境搭建。

六、主交换机的选择

在企业网络中，采用以太网交换机作为主干，其技术、设计管理简单。但作为主干的交换机必须满足以下条件：

1.高带宽-------整个网络的带宽需求，满足企业网络中的数量流量。

2.可扩展性------具有良好的可扩展性，满足企业网络不停发展的需要。

3.兼容性-------具有良好的兼容性，满足企业网络设备的多样性。

七、活动目录

1. 服务器与客户端系统的建设

1.1 主域控制器为公司的核心服务器，使用Windows 2003 企业版操作系统，

并搭建额外的域控制器，以提供核心服务器的冗余。利用核心服务器对公司所有员工的账户及公司内部的其他计算机实现集中和统一管理，使公司的网络系

统管理尽可能集中和简单，并具备一定的扩展能力。公司的系统管理结构能充分地和公司管理结构相吻合，实现从公司到部门再到员工的管理层次，各部门的网络资源也实现集中管理。根据不同部门的需求实现不同的安全级别。

1.2公司内所有员工在网络中有唯一的标识，所有员工使用统一的标识，能够

方便的使用网络中的计算机。员工信息按部门集中存储在域控制器上，员工标识的设置和使用满足系统安全的需要，避免账户被盗用和非法使用网络资源。

公司安全规范的实施以部门为对象，避免针对单个员工做具体安全设置。

1.3公司文档管理采用集中管理的方式并实现文件级的安全设置，可以根据公

司董事长、部门的不同需求分别设置相应的存储设置。董事长能够访问并管理所有文档，并且不限制存储容量。部门主管及员工只能使用本部门的文档，主管能够进行管理。对部门文档可以做存储容量的限制，避免资源的浪费和滥用。

每个存储位置在活动目录中是可查询的。员工在客户机上可以方便地连接到需要的网络资源。

2. 系统的安全措施与策略

公司整个网络采用统一的安全规则，在域控制器上设置和控制对所有用户和计算机的安全规则。员工需要设置安全的密码，并能够登录到本部门的计算机。利用适当的系统策略防止非法用户对密码和账户的攻击。财务部资源具有更高的安全设置，对于财务部文件的访问和操作，系统将记录操作的用户及时间等信息。员工的桌面、开始菜单、我的文档、以及其他指定的设置“绑定”到员工的帐户上，使其在域内更换客户机登陆时仍能拥有以前的工作环境。在部门内实现统一的软件的安装、删除、修复、升级部署。

用户帐户集中管理