网络建设方案.docx
- 文档编号:10334892
- 上传时间:2023-02-10
- 格式:DOCX
- 页数:11
- 大小:74.01KB
网络建设方案.docx
《网络建设方案.docx》由会员分享,可在线阅读,更多相关《网络建设方案.docx(11页珍藏版)》请在冰豆网上搜索。
网络建设方案
网络建设方案
书目
一、前言
XXX集团有限公司旗下有三个分公司:
1#公司、2#公司、3#公司。
由于新厂房的建立,故须要建立一套完整、平安的网络系统。
二、建设需求
1.公司运用2台核心交换机(冗余备份),连接全部网络设备,并把全部服务器连接到该核心交换机上,划分到一个单独的VLAN中。
2.接入层交换机连接全部的终端用户,并把管理层人员和一般的办公人员划分到不同的VLAN中。
3.公司的管理层人员可以访问一般办公人员的计算机,但一般办公人员不能访问管理层人员的计算机。
4.全部用户的计算机都采纳DHCP的方法获得IP地址。
5.公司采纳Linuxiptables防火墙+路由器上网。
公司申请一条100M带宽光纤上网(分两条线路,一条40M,一条60M;要求:
服务器占用40M,供外网用户访问,局域网用户占用60M出口访问INTERNET)。
6.公司采纳微软的域管理方法,对全部用户的账号和权限通过AD来管理。
7.公司内部要有自己的邮件服务器,并可以和INTERNET的邮件服务器实现收发邮件。
8.公司的防病毒采纳统一集中的网络管理模式。
9.严格限制上网时间。
10.出差用户能便利的访问公司内部资料。
三、总体架构
1.依据需求所规划出的整个公司网络系统的拓扑结构图如下图所示:
2.依据规划出的网络拓扑图所安排的整个公司网络中VLAN及IP编址方案如下:
VLAN号
子网名称
IP范围
网关
VLAN名称
管理IP
10
办公楼1
192.168.10.0/24
OFFICE1
0.252
20
办公楼2
/24
OFFICE2
30
一般人员
/24
LABORIALSTAFF
40
管理层人员
192.168.40.0/24
MANAGER
91
宿舍楼1
.0/24
.254
Dormitory1
.252
92
宿舍楼2
.0/24
192.168.92.254
Dormitory2
93
宿舍楼3
1
Dormitory3
94
宿舍楼4
Dormitory4
95
宿舍楼5
Dormitory5
.252
96
厂房1
Workshop1
97
厂房2
Workshop2
98
厂房3
Workshop3
99
厂房4
Workshop4
90
厂房5
Workshop5
100
服务器集群
WEB
FTP
EXCHANGE
DHCP
LINUXIPTABLES
内网
电信供应
外网(40M)
四、总体设计
1.配置防火墙:
创建规则,允许内网用户运用客户端邮件,严格限制人员上网权限,启用VPN服务。
2.发布内部邮件服务器和WEB服务器。
3.配置核心交换机,创建VLAN,划分端口,添加路由表,配置接口地址。
4.安装域服务器,创建DC,并在DC服务器上安装DNS服务,建立域账号,
5.安装邮件服务器并加入域,给相应员工创建邮箱,设置邮箱大小为500M,附件20M,启用POP3功能,以便能够运用客户端软件来收发邮件。
6.安装DHCP服务器并加下域,创建地址池,用来给客户机供应DHCP服务,自动获得IP地址。
7.安装配置MCAFEE病毒统一管理服务器并加入域,升级病毒库到最新。
8.配置二层交换机,安排相应端口到相应的VLAN中,配置接口地址。
9.安装文件服务器并加入域,创建用户名和密码,设置相应权限。
10.配置客户机相应权限,管理层人员的计算机权限无限制,设置其IP地址和MAC地址绑定,防止其他人员非法盗用其IP地址,导致局域网内人员ARP冲突。
一般人员的计算机默认只开通邮件系统,并只能用客户端软件,用来收发邮件。
如有工作须要,要开通相应权限,请申请填写开通权限申请表,经总经理签字确认方可开通其权限。
五、服务器选择
服务器是网络上不行缺少的资源,它为网络环境供应共享资源。
所以作为网络应用的核心,服务器必需具有高牢靠性、高性能、高吞吐实力、大内存容量等特点,并且具有强大的网络功能友好的人机界面。
依据网络需求,所需的服务器如下:
主服务器:
负责整个公司网络的管理、共享资源的管理等。
包括
1.FTP服务器:
负责公司网内的文件共享和传输。
2.DHCP服务器:
负责全部公司客户机的IP地址自动获得工作。
3.EXCHANGE服务器:
负责公司内全部邮件的管理。
4.WEB服务器:
负责远程服务管理及WEB站点管理。
WEB服务器采纳现在比较流行的LAMP环境搭建。
六、主交换机的选择
在企业网络中,采纳以太网交换机作为主干,其技术、设计管理简洁。
但作为主干的交换机必需满意以下条件:
1.高带宽-------整个网络的带宽需求,满意企业网络中的数量流量。
2.可扩展性------具有良好的可扩展性,满意企业网络不停发展的须要。
3.兼容性-------具有良好的兼容性,满意企业网络设备的多样性。
七、活动书目
1.服务器和客户端系统的建设
1.1主域限制器为公司的核心服务器,运用Windows2003企业版操作系统,并搭建额外的域限制器,以供应核心服务器的冗余。
利用核心服务器对公司全部员工的账户及公司内部的其他计算机实现集中和统一管理,使公司的网络系统管理尽可能集中和简洁,并具备肯定的扩展实力。
公司的系统管理结构能充分地和公司管理结构相吻合,实现从公司到部门再到员工的管理层次,各部门的网络资源也实现集中管理。
依据不同部门的需求实现不同的平安级别。
1.2公司内全部员工在网络中有唯一的标识,全部员工运用统一的标识,能够便利的运用网络中的计算机。
员工信息按部门集中存储在域限制器上,员工标识的设置和运用满意系统平安的须要,避开账户被盗用和非法运用网络资源。
公司平安规范的实施以部门为对象,避开针对单个员工做详细平安设置。
1.3公司文档管理采纳集中管理的方式并实现文件级的平安设置,可以依据公司董事长、部门的不同需求分别设置相应的存储设置。
董事长能够访问并管理全部文档,并且不限制存储容量。
部门主管及员工只能运用本部门的文档,主管能够进行管理。
对部门文档可以做存储容量的限制,避开资源的奢侈和滥用。
每个存储位置在活动书目中是可查询的。
员工在客户机上可以便利地连接到须要的网络资源。
2.系统的平安措施和策略
公司整个网络采纳统一的平安规则,在域限制器上设置和限制对全部用户和计算机的平安规则。
员工须要设置平安的密码,并能够登录到本部门的计算机。
利用适当的系统策略防止非法用户对密码和账户的攻击。
财务部资源具有更高的平安设置,对于财务部文件的访问和操作,系统将记录操作的用户刚好间等信息。
员工的桌面、起先菜单、我的文档、以及其他指定的设置“绑定”到员工的帐户上,使其在域内更换客户机登陆时仍能拥有以前的工作环境。
在部门内实现统一的软件的安装、删除、修复、升级部署。
●用户帐户集中管理
●禁止员工设置的口令少于7位
●防止其他员工盗用帐户
●记录和审计员工登陆和访问公司文档的行为
●按部门管理帐户
●用户在不同客户端享受相同的个人配置
●部门内统一部署软件
3.服务器系统设计
1.域限制器
域限制器作为整个网络的核心服务器,当域限制器失效时,整个域将处于瘫痪状态,因此须要充分保证其牢靠性。
我们通过为主域限制器搭建额外的域限制器,为网络供应不间断的域限制器支持,当主域限制器失效时,额外的域限制器会自动升级为主域控并代替其作用。
2.域结构规划
依据网络规模及集中管理和结构简洁的原则,整个网络系统目前规划为单域结构,在域内依据部门名称分别建立组织单位(OU),用于存储和管理各部门的用户和共享文件夹。
整个系统结构和公司管理结构相匹配。
最上层的管理单元为域,域名zjmhgroup,下层的管理单元是组织单元(OU),各部门的组织单元命名依据部门名称的汉语拼音全拼设置。
依据网络结构的改变和将来公司结构的扩展,此结构可以便利地增加和削减组织单元,为分公司建立新的子域,充分满意了可扩展性和可伸缩性的要求。
3.用户账户规划
3.1依据部门名称创建组织单位(OU),在OU内建立本部门员工的帐户和包括本部门全部帐户的全局组。
3.2依据公司员工的组织结构,为每名员工建立唯一的域用户账户,全部员工账户采纳统一的命名规范。
登陆名为“中文姓氏汉语拼音全拼.中文名字汉语拼音全拼”。
用户全名为员工的中文姓名。
当出现名称相同时,在名称后添加生日的月份来区分。
用户账户描述为该员工的职务。
全部员工账户密码设置采纳初始密码zjmh1234#,并设置策略要求用户在第一次登录时更改密码。
示例:
财务部部门主管张宇
登录名:
zhang.yu
全名:
张宇
描述:
财务部主管
初始密码:
zjmh1234#
建立位置:
OU:
caiwu
为了实现权限管理的简洁化,整个网络系统采纳对用户组安排权限,每个部门的OU设置一个全局组,该组中包含该部门全部员工的用户账户。
除董事长及部门主管外,权限的安排均以各部门的全局组为对象,董事长及部门主管的权限单独安排。
全部用户组采纳统一的命名规范,组名为部门名的汉语拼音全拼。
示例:
财务部
组名:
caiwubu
组的成员:
财务部主管、财务一、财务二
建立位置:
OU:
caiwu
八、文件服务器
通过设置专用的文件服务器完成公司文档的集中管理,在文件服务器上为部门建立专用的文件夹,以部门名字的汉语拼音全拼,存储部门文档。
服务器采纳大容量磁盘和Windows系统特有的NTFS文件系统,实现文件级的平安。
员工可以通过映射网络驱动器访问服务器上的文档,就像在本地访问资源一样简洁快捷。
在服务器上运用NTFS文件系统中供应的磁盘配额功能可保障存储空间得到有效合理的利用。
计算机名:
Filesrv
系统配置:
文件服务器硬盘至少划分为两个分区,分别为C盘和D盘,C盘为主分区,安装操作系统,容量10G以上。
D盘为逻辑分区,用于存储共享文档。
两个分区均采纳NTFS文件系统。
在D盘上建立文件夹share并共享,共享名为share。
在share文件夹下依据部门分别建立文件夹并以部门名称命名。
文件服务器利用共享权限和NTFS权限实现文件级平安,董事长对全部文件拥有全部权限,部门主管只对本部门文件拥有全部权限,一般员工只对本部门文件夹拥有读写权限。
董事长能够访问全部文件夹和文档,部门员工和主管无法访问其他部门的文件夹。
详细权限设置见表:
文件夹名
共享权限
NTFS权限
D:
\share
everyone组完全限制
董事长完全限制,everyone列出文件夹书目
D:
\share\董事长
无
董事长完全限制
D:
\share\财务部
无
全局组caiwubu读写、董事长完全限制、财务主管完全限制
D:
\share\行政部
无
全局组xingzhengbu读写、董事长完全限制、行政主管完全限制
D:
\share\人事部
无
全局组renshibu读写、董事长完全限制、人事主管完全限制
文件服务器可以采纳Windows系统供应的磁盘配额功能来限制各文件夹空间占用。
可以在D盘启用磁盘配额,依据须要分别限制4个部门文件夹最大磁盘运用量和警告级别,例如将每个部门的存储空间都限制为10G,当占用空间达到9.5G时发出警告。
董事长的文件夹不受限制。
在活动书目中发布share共享文件夹,员工即使不知道资源位于哪台服务器上,也能通过书目服务搜寻和查询到所需的资源。
九、防病毒服务器和ERP服务器
将已有的Mcafee防病毒服务器和ERP服务器加入域中。
客户端计算机采纳主流的WindowsXPProfessional操作系统,全部员工运用的计算机配置各种客户端角色,包括域客户机、文件服务客户机、打印服务客户机、防病毒客户机等。
将客户机加入域,相应的计算机帐户放置在对应部门的OU中,然后添加用户运用的打印机并设置相应的优先级。
各员工以自己本部门的打印机为默认打印机。
在每台客户机上为员工映射网络驱动器,将共享文件夹\\filesvr\share映射为本地驱动器,完成全部的配置。
客户机属于域的成员,可以查询和运用域中的网络资源,可以访问和运用共享文件夹及打印机,同时实现病毒码自动分发和更新和刚好扫描功能。
采纳整个公司统一管理和分部门管理相结合的方法,可以简洁便利地同时完成整个网络的平安策略设置,而不须要对每个用户进行单独设置,大大降低了网络的管理成本;又可以依据部门的特别须要,敏捷地在本部门应用特别的策略,满意工作要求。
整个公司统一的平安策略在域级别设置,建议启用如下策略:
●启用密码必需符合困难性要求
●密码长度最小值为7
●密码最长存留期为30天
●帐户锁定策略
●帐户锁定阈值为5次无效登陆
在组织单元内设置软件安装策略,帮助管理员布置本部门的软件,以避开重复操作和削减出错的可能。
软件安装策略功能特别敏捷和丰富,可以实现以下功能:
a.分发软件
●指派:
可设置将软件分发给OU内的某用户,此用户在登陆随意一台计算机时起先安装,并可运用。
亦可设置分发给某台计算机,使登陆到此计算机的用户都可运用该软件。
●发布:
将软件发布给某用户,此软件出现在用户所登陆计算机的限制面板的安装删除程序面板中,用户自己确定是否安装。
指派比安装更具强制意味。
b.修复软件
假如用户的软件发生文件丢失或损坏时,用户端系统会自动检测到这一错误,并从原来的软件分发点重新复制正确的文件来修复。
c.删除软件
当某软件不须要分发后,管理员可以限制已分发软件的删除,删除可分为马上自动删除和用户手动删除两种。
d.升级软件
管理员可以限制已分发软件升级换代,升级可分为卸载软件包并安装新软件包,和允许用户同时运用一个应用程序两个版本这两种方案。
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 网络 建设 方案