千里之行，始于足下。第2頁/共2頁精品文檔推薦公司網(wǎng)絡(luò)組建設(shè)計(jì)與方案公司網(wǎng)絡(luò)組建設(shè)計(jì)與方案

一、需求分析

1.1設(shè)計(jì)背景

某公司規(guī)模比較大，第一棟大樓內(nèi)有技術(shù)部、銷售部、工程部、財(cái)務(wù)部上網(wǎng)機(jī)約200臺，第二棟大樓內(nèi)同樣有技術(shù)部、銷售部、工程部、財(cái)務(wù)部上網(wǎng)機(jī)約150臺

1.2網(wǎng)絡(luò)功能

依照公司現(xiàn)有規(guī)模，業(yè)務(wù)需要及進(jìn)展范圍建立的網(wǎng)絡(luò)有以下功能：

a)、組建公司自個(gè)兒的網(wǎng)站，可向外部公布消息，宣傳公司產(chǎn)品，推廣業(yè)務(wù)。

b）、要求公司各部門之間在數(shù)據(jù)拜訪時(shí)要相互獨(dú)立，有自個(gè)兒部門的局域網(wǎng)，同時(shí)能夠拜訪互聯(lián)網(wǎng)（財(cái)務(wù)部別允許介入外網(wǎng)）。

c）、為了提高辦公效率，實(shí)現(xiàn)信息共享。公司建立內(nèi)網(wǎng)OA系統(tǒng)（辦公自動化系統(tǒng)）。治理職員檔案，公布業(yè)務(wù)打算，發(fā)布會議議程等。

1.3可行性分析

1.3.1技術(shù)可行性

公司現(xiàn)有技術(shù)差不多徹底具備了組建網(wǎng)絡(luò)的條件，公司共有350臺計(jì)算機(jī)，聘有相應(yīng)的網(wǎng)絡(luò)維護(hù)人員，從組建網(wǎng)絡(luò)技術(shù)上看：如今計(jì)算機(jī)網(wǎng)絡(luò)技術(shù)差不多相當(dāng)成熟，不管是何種事情，都能夠非常好的解決。同時(shí)目前隨著信息化社會的別斷進(jìn)展，信息交流速度十分的快速，假如公司還未實(shí)現(xiàn)信息化，這么公司的進(jìn)展將受到制約。因此組建局域網(wǎng)是十分必要的。

1.3.2資金可行性

目前本公司具有非常好的市場前景，進(jìn)展的空間非常大，公司的進(jìn)展速度也非?？?，組建網(wǎng)絡(luò)對公司當(dāng)前的經(jīng)濟(jì)來講，雖是別小的一筆開支，且別是能非常快的實(shí)現(xiàn)增值，但基于公司所具有的潛在實(shí)力，

是有能力承擔(dān)的，且從長遠(yuǎn)看，這筆投入，會使公司進(jìn)展速度更快，更具競爭力，更具實(shí)力。

二、網(wǎng)絡(luò)結(jié)構(gòu)設(shè)計(jì)

2.1方案的比較挑選

從公司的實(shí)際事情動身，對現(xiàn)有事情舉行分析，挑選合適的網(wǎng)

絡(luò)速度方案。

1）10Mbit/s以太網(wǎng)：基本滿腳如今需求。

2）100Mbit/s快速以太網(wǎng)：滿腳當(dāng)前需求，且有相當(dāng)?shù)挠嗔?。（?/p>

選方案。）

3）1000Mbit/s高速以太網(wǎng)：遠(yuǎn)遠(yuǎn)超過了應(yīng)用的需求，目前別經(jīng)濟(jì)，代往后升級方案。

2.2接入Internet方式，VLAN技術(shù)劃分

首先要確定網(wǎng)絡(luò)的拓?fù)浣Y(jié)構(gòu)，建議采納星狀結(jié)構(gòu)，其中

100base-T星型結(jié)構(gòu)的快速以太網(wǎng)是理想的挑選，用雙絞線作為傳

輸線纜，星狀總線網(wǎng)的物理結(jié)構(gòu)采納星狀鏈接。邏輯結(jié)構(gòu)采納總線狀的，采納IEEE的802.3協(xié)議標(biāo)準(zhǔn)。網(wǎng)卡集線器和雙絞線應(yīng)采納100M的，當(dāng)用戶擴(kuò)展過多時(shí)。可采納堆疊式集線器。然后確定互聯(lián)方式，因?yàn)橛幸徊糠钟脩裟軌蚪尤隝nternet，另一部分別能夠，因此有兩種方式：

a）分成兩個(gè)子網(wǎng)，各連接一具交換機(jī)，并連接到服務(wù)器的別同的

網(wǎng)卡上，在服務(wù)器上設(shè)置一具網(wǎng)卡能夠連接internet,另一具別可

以

服務(wù)

器路由器

internet

網(wǎng)卡一網(wǎng)卡二

交換機(jī)1交換機(jī)2

PCnN

PC1

b）、分成三個(gè)子網(wǎng)，都連接到路由器上。在路由器上設(shè)置IP，其中其中兩個(gè)子網(wǎng)的IP設(shè)置為內(nèi)部IP，別允許拜訪internet(建議使用此方式，以便后期網(wǎng)絡(luò)拓展)

允許拜訪

IP1

服務(wù)

器

IP2路由器

以太網(wǎng)交換機(jī)IP3

Internet

交換機(jī)3交換機(jī)1交換機(jī)2

PCnPC1

綜上，結(jié)合公司電腦分布，A樓有電腦200臺，分不提供給技

術(shù)部，銷售部，工程部，財(cái)務(wù)部四個(gè)部門使用，B樓150臺電腦也

同樣分配給四個(gè)部門，我們挑選星型連接結(jié)構(gòu)，利用其腳夠的靈便

性，滿腳系統(tǒng)別斷進(jìn)展時(shí)的需求。在技術(shù)上采納路由器-交換機(jī)的配

置，路由器提供內(nèi)部和外網(wǎng)的連接和VLAN（虛擬局域網(wǎng)）的劃分，

以及防火墻和路由功能的配置。因此，交換機(jī)一頭連接到路由器上，

作為一具子網(wǎng)，另一頭連接子網(wǎng)中各臺終端，劃分幾個(gè)子網(wǎng)，則從

路由器連出幾臺交換機(jī)即可。

2.3IP地址段劃分

A,B兩座樓中電腦數(shù)350臺，大于組建最大局域網(wǎng)的254臺，因

此能夠組建一具350臺電腦的中型局域網(wǎng)。采納路由器+中心交換機(jī)+交換機(jī)的架構(gòu)，A樓中共200臺電腦，分不給四個(gè)部門使用，B樓電腦150臺，同樣是四個(gè)部門。能夠?qū)⑺膫€(gè)部門看做是一具子網(wǎng)，給每一具部門劃分一具vlan，各個(gè)部門的IP地址如下列表格：

A,B樓中的子網(wǎng)都采納動態(tài)分配IP地址的方式獵取。再經(jīng)過路由器把各個(gè)樓層的計(jì)算機(jī)集中起來，與防火墻相連，最終連接到Internet就能夠了。

2.4網(wǎng)絡(luò)連接拓?fù)鋱D

防火墻INTERN10

~核心交換

機(jī)

ET

00

出差人員

VPN客戶端

51~51

技術(shù)部財(cái)務(wù)部銷售部工程部技術(shù)部財(cái)務(wù)部銷售部工程部2.5經(jīng)過公網(wǎng)實(shí)現(xiàn)公布公司的網(wǎng)站

a）明確網(wǎng)站內(nèi)網(wǎng)拜訪地址端口，確保網(wǎng)站服務(wù)正常，在內(nèi)網(wǎng)可正常拜訪鏈接。如我內(nèi)網(wǎng)網(wǎng)站拜訪地址是00：80.如本地公司的IP端口被封，能夠更換網(wǎng)站端口，或使用net123的映射穿透

解決。

b)路由器端口映射，路由器映射網(wǎng)站拜訪端口，因?yàn)楣W(wǎng)IP是在路由器上的，外網(wǎng)拜訪時(shí)，需要通過路由器上做端口，將內(nèi)網(wǎng)網(wǎng)站訪

咨詢端口打通，路由器端口映射位置:轉(zhuǎn)發(fā)規(guī)則/虛擬服務(wù)器/添加允許

外網(wǎng)拜訪和協(xié)議，我的端口號是80，我內(nèi)網(wǎng)對應(yīng)網(wǎng)站煮主機(jī)的IP

地址應(yīng)該是00：80。

c)外網(wǎng)拜訪時(shí)，使用固定公網(wǎng)IP因?yàn)槁酚煞峙涞墓潭üW(wǎng)

IP10.我能夠直截了當(dāng)經(jīng)過拜訪那個(gè)固定公網(wǎng)IP，實(shí)現(xiàn)訪

咨詢網(wǎng)站。

d)域名解析設(shè)置，用域名代替固定共公網(wǎng)IP，如果公司申請域名

dns222.tk是在dnspod解析的，登陸dnspod設(shè)置A記錄，將www.dns222.tk域名設(shè)置為指向我網(wǎng)站服務(wù)器固定公網(wǎng)IP。

e)用域名拜訪網(wǎng)站，域名解析生效后，拜訪域名即可拜訪我網(wǎng)站，

域名相對IP更容易記住，也能夠代表自個(gè)兒的網(wǎng)站，建議使用自個(gè)兒

的獨(dú)享域名，更容易增強(qiáng)妨礙力，

2.6VPN配置，實(shí)如今外人員對OA系統(tǒng)的拜訪

（1）XXX任務(wù)欄“開始”“設(shè)置”“操縱面板”，雙擊“網(wǎng)絡(luò)連接”，挑選創(chuàng)建一具新的連接

（2）“網(wǎng)絡(luò)連接類型”挑選“連接到我的工作場所的網(wǎng)站”

(3）“網(wǎng)絡(luò)連接”挑選“虛擬專用網(wǎng)絡(luò)連接”

(4）“XXX連接”此處需要輸入XXX的域名或者IP（5）在建立的“虛擬專用網(wǎng)絡(luò)”屬性設(shè)置挑選“安全”。要求“取消數(shù)據(jù)加密，沒有就斷開”勾選框。

(6)輸入用戶名和密碼，XXX連接舉行PPTP撥號，撥號成功就能夠直截了當(dāng)拜訪公司內(nèi)網(wǎng)OA服務(wù)器了。

2.7硬件防火墻的選購與設(shè)置

（1）市場事情

大多數(shù)企業(yè)在挑選防火墻時(shí)都將注意力放在防火墻怎么操縱連接以及防火墻支持多少種服務(wù)，但往往忽略了最重要的這一點(diǎn)，防火墻也是網(wǎng)絡(luò)上的主機(jī)之一，也也許存在安全咨詢題，防火墻假如別能確保自身安全，則防火墻的操縱功能再強(qiáng)，也終究別能徹底愛護(hù)內(nèi)部網(wǎng)絡(luò)。談到防火墻的安全性就別得提一下防火墻的配置。防火墻配置有三種：Dual-homed方式、Screened-host方式和Screened-subnet方式。Dual-homed方式最簡單。Dual-homedGateway放置在兩個(gè)網(wǎng)絡(luò)之間，那個(gè)Dual-homedGateway又稱為bastionhost。這種結(jié)構(gòu)成本低，然而它有單點(diǎn)失敗的咨詢題。這種結(jié)構(gòu)沒有增加網(wǎng)絡(luò)安全的自我防衛(wèi)能力，而它往往是受黑客攻而它往往是受黑客攻擊的首選目標(biāo)，它自個(gè)兒一旦被攻破，整個(gè)網(wǎng)絡(luò)也就暴露了。Screened-host方式中的Screeningrouter為愛護(hù)Bastionhost的安全建立了一道屏障。它將所有進(jìn)入的信息先送往Bastionhost，

同時(shí)只同意來自Bastionhost的數(shù)據(jù)作為出去的數(shù)據(jù)。這種結(jié)構(gòu)依靠Screeningrouter和Bastionhost，只要有一具失敗，整個(gè)網(wǎng)絡(luò)

就暴露了。

creened-subnet包含兩個(gè)Screeningrouter和兩個(gè)Bastionhost。在公共網(wǎng)絡(luò)和私有網(wǎng)絡(luò)之間構(gòu)成了一具隔離網(wǎng)，稱之為"停火區(qū)"(DMZ，即DemilitarizedZone)，Bastionhost放置在"?；饏^(qū)"內(nèi)。

這種結(jié)構(gòu)安全性好，惟獨(dú)當(dāng)兩個(gè)安全單元被破壞后，網(wǎng)絡(luò)才被暴露，然而成本也非常昂貴。

(2)高效性

防火墻與代理服務(wù)器最大的別同在于防火墻是特意為了愛護(hù)網(wǎng)絡(luò)

安全而設(shè)計(jì)的，而一具好的防火墻別但應(yīng)該具備包括檢查、認(rèn)證、

警告、記錄的功能，同時(shí)可以為使用者也許遇到的困境，事先提出

解決方案，如IP別腳形成的IP轉(zhuǎn)換的咨詢題，信息加密/解密的咨詢題，大企業(yè)要求可以透過Internet集中治理的咨詢題等，這也是挑選防火墻時(shí)必須思考的咨詢題。

(3)配置便利性

關(guān)于國內(nèi)用戶來講，防