摘要隨著網(wǎng)絡技術新系統(tǒng)、新領域的長足發(fā)展，傳統(tǒng)公司也正運用其行業(yè)的特點，融合網(wǎng)絡技術的優(yōu)勢，發(fā)展本身。在信息化生產(chǎn)逐步普及的今天，組建公司內部網(wǎng)絡已經(jīng)是公司必不可少的一部分，建立高速、穩(wěn)定、安全、智能的辦公網(wǎng)，是組建中小型公司局域網(wǎng)的核心。中小型公司局域網(wǎng)建設,必須采用“構造化、系統(tǒng)化”思想做指導。一種良好的、規(guī)范的網(wǎng)絡開發(fā)過程不僅不會成為干擾實際健忘工作的負擔，相反會使設計的工作更清晰、更加高效和更令人滿意，同時也能夠大大減少網(wǎng)絡開發(fā)成本和提高網(wǎng)絡工程質量。本網(wǎng)絡設計定位于公司局域網(wǎng)設計，因此配備了比較完備的硬件資源。在內容選擇上，首先以對中小型公司的網(wǎng)絡拓撲和所需設備進行了設計；另首先用很直觀的網(wǎng)絡拓撲圖概述了本次畢業(yè)設計有關的網(wǎng)絡安全、網(wǎng)絡所需設備以及所實現(xiàn)的網(wǎng)絡功效和應用等。廣東港隆文含有限公司對網(wǎng)絡性能和網(wǎng)絡安全規(guī)定嚴格。使用業(yè)界流行的核心層—匯聚層—接入層三層構造設計的公司局域網(wǎng)，結合廣為使用的通過劃分虛擬局域網(wǎng)（VLAN）隔離不同部門，訪問控制列表（ACL）控制端口進出數(shù)據(jù)包，網(wǎng)絡地址轉換（NAT）節(jié)省公有地址、動態(tài)分派IP（DHCP）、熱備份路由(HSRP)等技術，增強網(wǎng)絡的穩(wěn)定性和安全性。[核心詞]：局域網(wǎng)網(wǎng)絡拓撲VLAN網(wǎng)絡安全系統(tǒng)實施、ACL、NAT目錄摘要 I1概述 11.1課題背景 11.2項目需求 11.3管理需求 22原則網(wǎng)絡系統(tǒng)設計 32.1網(wǎng)絡設計規(guī)定 32.2網(wǎng)絡設計原則 32.3公司網(wǎng)絡拓撲設計 32.4IP地址規(guī)劃 33VLAN劃分 63.1

基于端口劃分的VLAN 63.2基于MAC地址劃分VLAN 63.3基于網(wǎng)絡層劃分VLAN 64網(wǎng)絡安全 74.1安全需求 74.2防火墻 74.3入侵檢測 75網(wǎng)絡安全管理 85.1局域網(wǎng)安全控制與病毒防治方略 85.2局域網(wǎng)安全控制方略 85.3病毒防治 96結論 10參考文獻 101概述1.1課題背景現(xiàn)在，我國中小公司數(shù)量已超出1000萬家。在國民經(jīng)濟中，60%的總產(chǎn)值來自于中小公司，并為社會提供了70%以上的就業(yè)機會。然而，在中國國民經(jīng)濟和社會發(fā)展中始終占據(jù)著至關重要的戰(zhàn)略地位的中小公司，其信息化程度卻十分落后。此后如何應對瞬息萬變、競爭激烈的國內外市場環(huán)境以及如何運用網(wǎng)絡技術快速提高公司核心競爭力為公司成敗的核心。中小型公司的信息化建設工程普通有規(guī)模小、構造簡樸的特點，綜合資金投入、專業(yè)人才以及將來發(fā)展等因素，網(wǎng)絡實用性、安全性與拓展性（升級改造能力）是中小型公司實現(xiàn)信息化建設的重要規(guī)定，局域網(wǎng)內進行信息交流涉及公布告知,安排日程表、工作計劃,提交工作總結,進行信息匯總等也是公司的規(guī)定。因此，成本低廉、炒作簡易、便于維護并能滿足業(yè)務運用需要的網(wǎng)絡辦公環(huán)境是這一領域的真正需求。針對絕多數(shù)中小型公司集中辦公這一現(xiàn)實特點，組建一種適合中小公司需求的高性價比實用的網(wǎng)絡是十分有實際意義的。港隆文含有限公司創(chuàng)立于一九八九年，是一家專業(yè)從事辦公文具研發(fā)、生產(chǎn)、加工、銷售的規(guī)?；?。公司生產(chǎn)設施齊全，以美國、德國生產(chǎn)線及進口原料為主．產(chǎn)品種類齊全．涵蓋面廣，重要產(chǎn)品有PP制品，注塑產(chǎn)品、PVC制品，紙制品等多個系列三百多個品種。公司投產(chǎn)二十數(shù)年來，本著務實創(chuàng)新的團體創(chuàng)業(yè)精神，以品質、誠信享譽業(yè)界，以及眾多客戶不離不棄的鼎力支持．公司規(guī)模日益壯大。1.2項目需求公司現(xiàn)在開展的公司網(wǎng)建設，旨在推動公司的信息化建設，其最后建設目的是將公司建設成了一種借助信息化辦公和管理的高水平的智能化、數(shù)字化的公司網(wǎng)絡，滿足公司信息化的規(guī)定，為各類應用系統(tǒng)提供方便，快捷的信息通路，含有良好的性能，能夠支持大容量和實時性的各類應用，能夠可靠的運行，含有較低的故障率和維護規(guī)定。公司的網(wǎng)絡系統(tǒng)是建立在高速光纖網(wǎng)的基礎上，構建內網(wǎng)互相獨立的網(wǎng)絡系統(tǒng)，以提供安全的辦公局域網(wǎng)和可訪問Internet的網(wǎng)絡系統(tǒng)。實現(xiàn)各部門內部和各部門之間公共網(wǎng)絡化，構建網(wǎng)絡信息共享，實現(xiàn)資源共享，為各部門提高辦事效率辦事透明度以及快速反映提供可靠的保障。網(wǎng)絡系統(tǒng)重要是以光纖作為傳輸媒介、IP和Internet技術為技術主體、核心路由器為交換中心、下屬部門信息網(wǎng)絡系為分接點的多層構造、提供與多個網(wǎng)絡技能有關的、功效齊全、技術先進、資源統(tǒng)一的網(wǎng)絡應用系統(tǒng)。網(wǎng)絡系統(tǒng)建設重要實現(xiàn)下列功效：1．系統(tǒng)主干采用百兆以太網(wǎng)交換，下屬子網(wǎng)采用百兆以太網(wǎng)，采用TCP/IP合同，提供原則化的高速度主干網(wǎng)連接，實現(xiàn)100Mb/s交換到桌面的網(wǎng)絡。使用三層交換機來替代路由，實現(xiàn)數(shù)據(jù)的快速轉發(fā)；2．公司網(wǎng)絡內部資源的共享，涉及文獻共享，硬件共享，軟件共享等；3．文獻傳輸能快速地，在不需要移動存儲設備的狀況下在各電腦之間進行文獻的拷貝；4．能通過內部網(wǎng)絡高速接入Internet進行工作，瀏覽網(wǎng)頁查找資料；5．交換機采用主流、成熟和售后服務均佳的產(chǎn)品，含有較高的性價比。網(wǎng)絡中使用的設備和合同應完全符合國際通用的技術原則。1.3管理需求公司網(wǎng)絡系統(tǒng)必需含有有完善的、安全的智能化網(wǎng)絡管理功效，其基本需求以下：(1)網(wǎng)絡設備支持基于端口的虛擬網(wǎng)（VLAN）劃分，運用網(wǎng)絡管理軟件能動態(tài)地調節(jié)配備VLAN。。這樣易于實現(xiàn)網(wǎng)絡重組并含有隔離廣播風暴的能力；(2)含有基于端口的訪問控制模式，有效避免外部或內部對某些重要信息點的訪問，達成控制信息流向的目的使劃分的各虛網(wǎng)之間既能互相共享所需的信息，又能分別獨立運作，增強網(wǎng)絡的安全性；(3)加強各虛網(wǎng)之間信息的安全性動態(tài)監(jiān)控登錄網(wǎng)絡代理顧客數(shù)，有效及時地避免某些非法訪問；(4)對網(wǎng)絡故障及時報警，并實現(xiàn)隔離。有6個部門，2的n次≥6，因此n的最小值為3。需要3位來劃分子網(wǎng)。將用二進制表達11000000101010000000000000000000借三位后劃分6個子網(wǎng)掩碼1100000010101000001000000000000011000000101010000100000000000000110000001010100001100000000000001100000010101000100000000000000011000000101010001010000000000000110000001010100011000000000000003VLAN劃分3.1

基于端口劃分的VLAN

這種劃分VLAN的辦法是根據(jù)以太網(wǎng)交換機的端口來劃分，例如我們能夠把交換機的1~8端口為VLAN

４，９~15為VLAN

11，16~24為VLAN22，固然，這些屬于同一VLAN的端口能夠不持續(xù)，如何配備，我們能夠單獨配備。根據(jù)端口劃分是現(xiàn)在定義VLAN的最廣泛的辦法，IEEE802.1Q規(guī)定了根據(jù)以太網(wǎng)交換機的端口來劃分VLAN的國際原則。這種劃分的辦法的優(yōu)點是定義VLAN組員時非常簡樸，只要將全部的端口都定義一下就能夠了。它的缺點是如果VLAN

A的顧客離開了原來的端口，到了一種新的交換機的某個端口，那么就必須重新定義。

3.2基于MAC地址劃分VLAN

基于MAC地址的VLAN分派方案確實可使某些移動、添加和更改操作自動化。如果顧客根據(jù)MAC地址被分派到一種VLAN或多個VLAN，他們的計算機能夠連接交換網(wǎng)絡的任何一種端口，全部通信量均能對的無誤地達成目的地。顯然，管理員要進行VLAN初始分派，但顧客移動到不同的物理連接不需要在管理控制臺進行人工干預；例如有諸多移動顧客的站，他們并非總是連接同一端口，或許由于辦公室都是臨時性的，采用基于MAC地址的VLAN可避免諸多麻煩。

3.3基于網(wǎng)絡層劃分VLAN

這種劃分VLAN的辦法是根據(jù)每個主機的網(wǎng)絡層地址或合同類型(如果支持多合同)劃分的，即使這種劃分辦法是根據(jù)網(wǎng)絡地址，它查看每個數(shù)據(jù)包的IP地址，但由于不是路由，因此，沒有RIP，OSPF等路由合同，這樣能夠減少網(wǎng)絡的通信量。但這種辦法效率低，由于檢查每一種數(shù)據(jù)包的網(wǎng)絡層地址是需要消耗解決時間的。4網(wǎng)絡安全4.1安全需求可用性：

授權實體有權訪問數(shù)據(jù)。

機密性：

信息不暴露給未授權實體或進程。

完整性：

確保數(shù)據(jù)不被未授權修改。

可控性：

控制授權范疇內的信息流向及操作方式。

可審查性：對出現(xiàn)的安全問題提供根據(jù)與手段。

訪問控制：需要由防火墻將內部網(wǎng)絡與外部不可信任的網(wǎng)絡隔離，對與外部網(wǎng)絡交換數(shù)據(jù)的內部網(wǎng)絡及其主機、所交換的數(shù)據(jù)進行嚴格的訪問控制。同樣，對內部網(wǎng)絡，由于不同的應用業(yè)務以及不同的安全級別，也需要使用防火墻將不同的LAN或網(wǎng)段進行隔離，并實現(xiàn)互相的訪問控制。

數(shù)據(jù)加密：數(shù)據(jù)加密是在數(shù)據(jù)傳輸、存儲過程中避免非法竊取、篡改信息的有效運用多個技術，如VLAN、防病毒體系等，對各個部門、系所訪問進行控制，各單位之間在未授權的狀況下不能互相訪問，確保系統(tǒng)內部的安全。內網(wǎng)對安全的需求涉及VLAN設立需求、防病毒系統(tǒng)需求、網(wǎng)絡管理需求和網(wǎng)絡系統(tǒng)管理等。4.2防火墻在與Internet相連的每一臺電腦上都裝上防火墻，成為內外網(wǎng)之間一道牢固的安全屏障。在防火墻設立上按照下列原則配備來提高網(wǎng)絡安全性:

(1)根據(jù)校園網(wǎng)安全方略和安全目的，規(guī)劃設立對的的安全過濾規(guī)則，規(guī)則審核IP數(shù)據(jù)包的內容涉及：合同、端口、源地址、目的地址、流向等項目，嚴格嚴禁來自公網(wǎng)對校園內部網(wǎng)不必要的、非法的訪問?？傮w上遵從“不被允許的服務就是被嚴禁”的原則.

(2）嚴禁訪問系統(tǒng)級別的服務(

如HTTP

,

FTP等)。局域網(wǎng)內部的機器只允許訪問文獻、打印機共享服務。使用動態(tài)規(guī)則管理，允許授權運行的程序開放的端口服務，例如網(wǎng)絡游戲或者視頻語音電話軟件提供的服務。

4.3入侵檢測入侵檢測系統(tǒng)是防火墻的合理補充，協(xié)助系統(tǒng)對付網(wǎng)絡攻擊。擴展系統(tǒng)管理員的安全管理能力．提高信息安全基礎構造的完整性。入侵檢測系統(tǒng)能實時捕獲內外網(wǎng)之間傳輸?shù)臄?shù)據(jù)，運用內置的攻擊特性庫，使用模式匹配和智能分析的辦法，檢測網(wǎng)絡上發(fā)生的入侵行為和異?，F(xiàn)象，并統(tǒng)計有關事件。入侵檢測系統(tǒng)還能夠發(fā)出實時報警，使網(wǎng)絡管理員能夠及時采用應對方法。5網(wǎng)絡安全管理5.1局域網(wǎng)安全控制與病毒防治方略要確保信息安全工作的順利進行，必須重視把每個環(huán)節(jié)貫徹到每個層次上，而進行這種具體操作的是人，人正是網(wǎng)絡安全中最單薄的環(huán)節(jié)，然而這個環(huán)節(jié)的加固又是見效最快的。因此必須加強對使用網(wǎng)絡的人員的管理，注意管理方式和實現(xiàn)辦法。從而加強工作人員的安全培訓。增強內部人員的安全防備意識，提高內部管理人員整體素質。同時要加強法制建設，進一步完善有關網(wǎng)絡安全的法律，方便更有利地打擊不法分子。對局域網(wǎng)內部人員，從下面幾方面進行培訓：(1)加強安全意識培訓，讓每個工作人員明白數(shù)據(jù)信息安全的重要性，理解確保數(shù)據(jù)信息安全是全部計算機使用者共同的責任。(2)加強安全知識培訓，使每個計算機使用者掌握一定的安全知識，最少能夠掌握如何備份本地的數(shù)據(jù)，確保本地數(shù)據(jù)信息的安全可靠。(3)加強網(wǎng)絡知識培訓，通過培訓掌握一定的網(wǎng)絡知識，能夠掌握IP地址的配備、數(shù)據(jù)的共享等網(wǎng)絡基本知識，樹立良好的計算機使用習慣。5.2局域網(wǎng)安全控制方略安全管理保護網(wǎng)絡顧客資源與設備以及網(wǎng)絡管理系統(tǒng)本身不被未經(jīng)授權的顧客訪問?，F(xiàn)在網(wǎng)絡管理工作量最大的部分是客戶端安全部分，對網(wǎng)絡的安全運行威脅最大的也同樣是客戶端安全管理。只有解決網(wǎng)絡內部的安全問題，才能夠排除網(wǎng)絡中最大的安全隱患，對于內部網(wǎng)絡終端安全管理重要從終端狀態(tài)、行為、事件三個方面進行防御。運用現(xiàn)有的安全管理軟件加強對以上三個方面的管理是現(xiàn)在解決局域網(wǎng)安全的核心所在。(1)運用桌面管理系統(tǒng)控制顧客入網(wǎng)。(2)采用防火墻技術。采用防火墻技術發(fā)現(xiàn)及封阻應用攻擊所采用的技術有：①深度數(shù)據(jù)包解決。②IP/URL過濾。②TCP/IP終止。④訪問網(wǎng)絡進程跟蹤。(3)屬性安全控制。5.3病毒防治病毒的侵入必將對系統(tǒng)資源構成威脅，影響系統(tǒng)的正常運行。特別是通過網(wǎng)絡傳輸?shù)挠嬎銠C病毒，能在很短的時間內使整個計算機網(wǎng)絡處在癱瘓狀態(tài)，從而造成巨大的損失。因此，避免病毒的侵入要比發(fā)現(xiàn)和消除病毒更重要。防毒的重點是控制病毒的傳染。防毒的核心是對病毒行為的判斷，如何有效分辨病毒行為與正常程序行為是防毒成功與否的重要因素。防病毒體系是建立在每個局域網(wǎng)的防病毒系統(tǒng)上的，重要從下列幾個方面制訂有針對性的防病毒方略：(1)增加安全意識和安全知識，對工作人員定時培訓。首先明確病毒的危害，文獻共享的時候盡量控制權限和增加密碼，對來歷不明的文獻運行邁進行查殺等，都能夠較好地避免病毒在網(wǎng)絡中的傳輸。這些方法對杜絕病毒，主觀能動性起到很重要的作用。(2)小心使用移動存儲設備。在使用移動存儲設備之邁進行病毒的掃描和查殺，也可把病毒回絕在外。(3)挑選網(wǎng)絡版殺毒軟件。普通而言，查殺與否徹底，界面與否和諧、方便，能否實現(xiàn)遠程控制、集中管理是決定一種網(wǎng)絡殺毒軟件的三大要素。通過以上方略的設立，能夠及時發(fā)現(xiàn)網(wǎng)絡運行中存在的問題，快速有效的定位網(wǎng)絡中病毒、蠕蟲等網(wǎng)絡安全威脅的切入點，及時、精確的切斷安全事件發(fā)生點和網(wǎng)絡。局域網(wǎng)安全控制與病毒防治是一項長久而艱巨的任務，需要不停的探索。隨著網(wǎng)絡應用的發(fā)展計算機病毒形式及傳輸途徑日趨多樣化，安全問題日益復雜化，網(wǎng)絡安全建設已不再像單臺計算安全防護那樣簡樸。計算機網(wǎng)絡安全需要建立多層次的、立體的防護體系，要含有完善的管理系統(tǒng)來設立和維護對安全的防護方略。6結論本網(wǎng)絡設計從公司網(wǎng)的建設思想、目的、能夠選用的網(wǎng)絡技術以及網(wǎng)絡設備的介紹和選擇等多方面進行敘述，在此之前我們所學的都是某些有關網(wǎng)絡方面的理論知識，極少用于實踐中去，通過本次對該公司網(wǎng)的組建規(guī)劃，是對網(wǎng)絡理論知識的又一次系統(tǒng)的學習，也是一次更完整的學習。在設計期間我學到了諸多實際應用的知識，。在后來的規(guī)劃中以建立網(wǎng)絡教學，辦公為目的，從經(jīng)濟性、實用性、擴展性的原則來設計網(wǎng)