中小企业局域网组建和维护引言随着计算机及局域网络应用的不断深入,特别是各种计算机应用系统被相继应用在实际工作中,各企业、各单位同外界信息媒体之间的相互交换和共享的要求日益增加。需要使各单位相互间真正做到高效的信息交换、资源的共享,为各单位人员提供准确、可靠、快捷的各种生产数据和信息,充分发挥各单位现有的计算机设备的功能。为加强各公司内各分区的业务和技术联系,提高工作效率,实现资源共享,降低运作及管理成本,公司有必要建立企业内部局域网实现公司员工在不同地域对内部网的访问。一、中小型企业网络方案的主要特点与要求中小企业局域网通常规模较小,结构相对简单,对性能的要求则因应用的不同而差别较大。许多中小企业网络技术人员较少,因而对网络的依赖性很高,要求网络尽可能简单、可靠、易用,降低网络的使用和维护成本、提高产品的性能价格比就显得尤为重要。基于以上特点,应遵循下列设计原则:1、把握好技术先进性与应用简易性之间的平衡。2、具有良好的升级扩展能力。3、具有较高的可靠性和安全性。4、尽可能选择成熟、标准化的技术和产品。恰当运用以太网的不同标准和功能,以太网技术能够在双绞线、多模光纤、单模光纤等介质上传输数据,可以非常简单地升级到百兆、千兆的速率,而且具有很高的稳定性和可管理性。二、典型中小企业组网实例(一)案例描述。以一个典型中小企业组网为实例,申请一个公网IP和10M带宽,单台路由器,WEB服务器,文件服务器,FTP服务器等,客户端办公电脑100台左右,多部门划分VLAN,用ACL控制各部门访问权限,配置网络打印机。(二)硬件设备,如表一。CiscoCatalyst4500系列能够为无阻碍的第2/3/4层交换提供集成式弹性,因而能进一步加强对融合网络的控制。可用性高的融合语音/视频/数据网络能够为正在部署基于互联网企业应用的企业和城域以太网客户提供业务弹性。4500系列中提供的集成式弹性增强包括1+1超级引擎冗余、集成式IP电话电源、基于软件的容错以及1+1电源冗余。硬件和软件中的集成式冗余性能够缩短停机时间,从而提高生产率、利润率和客户成功率。是用于公司企业网络交换机群核心层高性价比的一系列。CiscoWS-C2960-48T拥有大数量的接口,全智能自动全双工半双工识别,具有用于接入层交换机的良好优势。能够快速转发用户的数据。Cisco2821是一台多业务路由器,比较适合中小型企业的需求与应用。NokiaIP355是一款应用于中小型企业的防火墙产品,能够进行SNMP,Telnet,FTP,SSHv2(安全Telnet&FTP),HTTP服务器RFC2068,SSL/TLSRFC2246,命令行运用的管理和对流量的过滤,对于中小型的安全问题防护性能比较良好。(三)IP地址规划,如表二。(四)配置需求及解决方案。为了直观方便,配置需求全部在配置命令中加以单点说明,并且配置命令量大反复,这里只列出重点命令。1、配置Router:接口:interfacefastethernet0/1ipaddress172.16.0.1255.255.255.252duplexautospeedautoipnatinsidenoshutdowninterfacefastethernet0/2ipaddress221.195.66.117255.255.255.248duplexautospeedautoipnatoutsidenoshutdown路由:iproute0.0.0.00.0.0.0221.195.66.117过载:ipnatinsidesourcelist110interfaceFastEthernet0/2overloadaccess-list110permitip172.16.0.00.0.255.255any2、配置Coreswitch:VTP:VTPVersion:2ConfigurationRevision:7MaximumVLANssupportedlocally:1005NumberofexistingVLANs:9VTPOperatingMode:ServerVTPDomainName:OAVTPPruningMode:DisabledVTPV2Mode:EnabledVTPTrapsGeneration:EnabledVLAN:core-sw#vlandatabase进入vlan配置模式core-sw(vlan)#vtpdomainOA设置vtp管理域名称OAcore-sw(vlan)#vtpserver设置交换机为服务器模式core-sw(vlan)#vlan10nameshichang创建VLAN10,为市场部core-sw(vlan)#vlan11namecaiwu创建VLAN10,为财务部core-sw(vlan)#vlan12namesheji创建VLAN12,为设计部core-sw(vlan)#vlan13namenetprinter创建VLAN13,为网络打印机core-sw(vlan)#vlan20nameserver创建VLAN20,为服务器组core-sw(config)#interfacevlan10core-sw(config-if)#ipaddress172.16.42.254255.255.255.0core-sw(config)#interfacevlan11core-sw(config-if)#ipaddress172.16.40.254255.255.255.0core-sw(config)#interfacevlan12core-sw(config-if)#ipaddress172.16.41.254255.255.255.0core-sw(config)#interfacevlan13core-sw(config-if)#ipaddress172.16.30.254255.255.255.0core-sw(config)#interfacevlan20core-sw(config-if)#ipaddress172.16.2.254255.255.255.0将接入层SW上的端口根据需要划分至各个VLAN3、配置ACL:配置ACL应用在各个部门VLAN接口上,控制各部门互访access-list10permit172.16.2.00.0.0.255access-list10permit172.16.30.00.0.0.255access-list10deny172.16.0.00.0.255.255access-list10permitany进入vlan10ipaccess-group10out把访问控制列表10应用于VLAN10OUT方向上,市场部内部可以互访,可以访问服务器网段和网络打印机网段,但不能访问财务部和设计部所在网段。access-list11permit172.16.2.00.0.0.255access-list11permit172.16.30.00.0.0.255access-list11permit172.16.42.00.0.0.255access-list11deny172.16.0.00.0.255.255access-list11permitany进入vlan11ipaccess-group11out把访问控制列表11应用在VLAN11OUT方向上,财务部内部可以互访问,可以访问服务器网段和网络打印机网络,可以访问市场部网段,但不能访问设计部网段。设计部VLAN12,网络打印机VLAN13,服务器VLAN20可以访问任意网段,应用访问控制列表access-list110在in的方向上,封掉常见病毒端口。可以根据实际需要将此ACL应用于任一接口,或者添加一些屏蔽软件的端口,达到管理内部员工的目的,也可以用局域网内部的管理软件,更加直接方便,并且易于操作。4、配置FTP服务器:用IIS架设(IIS只适用于WindowNT/2000/XP操作系统)。安装:WindowXP默认安装时不安装IIS组件,需要手工添加安装。进入控制面板,找到“添加/删除程序”,打开后选择“添加/删除Window组件”,在弹出的“Window组件向导”窗口中,将“Internet信息服务(IIS)”项选中。在该选项前的“√”背景色是灰色的,这是因为WindowXP默认并不安装FTP服务组件。再点击右下角的“详细信息”,在弹出的“Internet信息服务(IIS)”窗口中,找到“文件传输协议(FTP)服务”,选中后确定即可。安装完后需要重启。WindowNT/2000和WindowXP的安装方法相同。设置:电脑重启后,FTP服务器就开始运行了,但还要进行一些设置。点击“开始→所有程序→管理工具→Internet信息服务”,进入“Internet信息服务”窗口后,找到“默认FTP站点”,右击鼠标,在弹出的右键菜单中选择“属性”。在“属性”中,我们可以设置FTP服务器的名称、IP、端口、访问账户、FTP目录位置、用户进入FTP时接收到的消息等。FTP站点基本信息:进入“FTP站点”选项卡,其中的“描述”选项为该FTP站点的名称,用来称呼你的服务器,这里设置名称为“FTP服务器”;“IP地址”为服务器的IP,设置为172.16.2.2;“TCP端口”一般仍设为默认的21端口;“连接”选项用来设置允许同时连接服务器的用户最大连接数;“连接超时”用来设置一个等待时间,如果连接到服务器的用户在线的时间超过等待时间而没有任何操作,服务器就会自动断开与该用户的连接。设置账户及其权限:很多FTP站点都要求用户输入用户名和密码才能登录,这个用户名和密码就叫账户。不同用户可使用相同的账户访问站点,同一个站点可设置多个账户,每个账户可拥有不同的权限,如有的可以上传和下载,而有的则只允许下载。安全设定:进入“安全账户”选项卡,有“允许匿名连接”和“仅允许匿名连接”两项,默认为“允许匿名连接”,此时FTP服务器提供匿名登录。“仅允许匿名连接”是用来防止用户使用有管理权限的账户进行访问,选中后,即使是Administrator(管理员)账号也不能登录,FTP只能通过服务器进行“本地访问”来管理。至于“FTP站点操作员”选项,是用来添加或删除本FTP服务器具有一定权限的账户。IIS与其他专业的FTP服务器软件不同,它基于Window用户账号进行账户管理,本身并不能随意设定FTP服务器允许访问的账户,要添加或删除允许访问的账户,必须先在操作系统自带的“管理工具”中的“计算机管理”中去设置Window用户账号,然后再通过“安全账户”选项卡中的“FTP站点操作员”选项添加或删除。但对于Window2000和WindowXP专业版,系统并不提供“FTP站点操作员”账户添加与删除功能,只提供Administrator一个管理账号。设置用户登录目录:最后设置FTP主目录(即用户登录FTP后的初始位置),进入“主目录”选项卡,在“本地路径”中选择好FTP站点的根目录,并设置该目录的读取、写入、目录访问权限。设置完成后,FTP服务器就算建成了。三、网络布局和综合布线公司组网,我们不仅要从企业本身的实际需求出发,根据组网经费的多少来务实地规划与设计网络;在采购好网络设备和服务器等设备后,如何对机房、办公地点进行合理的网络布局与布线,是致关重要的。(一)网络布局的原则1、实用性。企业组建的局域网应当根据机房的大小、设备的多少来具体实施,根据网络布线的特点来发挥网络布局实用性是非常重要的。2、全面性。组网过程中,网络、服务器等设备放置位置应当统筹兼顾,网络布局要考虑周全,尽量让各种设备和布线系统处于合理的位置。3.可靠性。组网无论怎样布局,最终的目的是保证我们的局域网的所有设备能可靠稳定地运行,使得网络能正常运转。4、便于维护与升级。网络的组网不是一成不变的,随着IT企业业务的不断发展的需求,原先组建的局域网就需要不断地完善和扩充;规划网络布局时就应该考虑到便于以后网络的维护与升级操作。(二)网络布局的具体实施要求规划网络布局要考虑到机房