1、<p><b>　　畢業(yè)論文</b></p><p>　　《中小型企業(yè)局域網組建與管理》</p><p><b>　　摘要</b></p><p>　　在這信息化的時代，企業(yè)內部網絡的建設已經成為提升企業(yè)核心競爭力的關鍵因素。企業(yè)局域網已經越來越多地被人們提及，利用網絡技術，現(xiàn)代企業(yè)可以在供應商、客戶、合作伙伴、

2、員工之間實現(xiàn)優(yōu)化的信息溝通，這直接關系到企業(yè)能否獲得關鍵的競爭優(yōu)勢。近年來越來越多的企業(yè)都在加快構建自身的信息網絡，而其中絕大多數都是中小企業(yè)。</p><p>　　相對于大型應用群體而言，中小型企業(yè)的信息化建設工程通常有規(guī)模較小，結構簡單的特點。綜合資金投入、專業(yè)人才以及未來發(fā)展等因素，局域網的實用性、安全性與拓展性（升級改造能力）是中小企業(yè)實現(xiàn)信息化建設的主要要求，因此，成本低廉、操作簡易、便于管理維護并能滿

3、足業(yè)務運作需要的網絡辦公環(huán)境是這一領域的真正需求。本文以中小型企業(yè)內部局域網的組建需求、實際管理為出發(fā)點，從中小型企業(yè)局域網的管理需求和傳統(tǒng)局域網技術入手，研究了局域網技術組建和管理在中小型企業(yè)中的應用。</p><p>　　關鍵字：中小企業(yè) 組網案例 網絡方案 局域網 網絡布局 網絡安全</p><p><b>　　目 錄</b></p>&

4、lt;p>　　引言………………………………………………………………………………3</p><p>　　一 中小型企業(yè)網絡方案的主要特點與要求…………………………………3</p><p>　　二 中小型企業(yè)局域網需求分析及指標………………………………………………4</p><p>　　三 企業(yè)局域網模塊設計……………………………………………………………5&l

5、t;/p><p>　　四 局域網工程建設原則及軟硬件功能分析…………………………………………5</p><p>　　1建設原則…………………………………………………………5</p><p>　　2 軟硬件功能分析………………………………………………………6</p><p>　　五 網站設計和運行維護中應注意事項 …………………………

6、…………………7</p><p>　　六 典型中小型企業(yè)組網實例……………………………………………8</p><p>　　1 案例描述……………………………………………………………………8</p><p>　　2 硬件設備……………………………………………………………………8</p><p>　　3 IP地址規(guī)劃………………………………………

7、…………………………9</p><p>　　4 網絡拓撲……………………………………………………………………9</p><p>　　5 配置需求及解決方案……………………………………………………10</p><p>　　七 網絡布局和綜合布線…………………………………………………15</p><p>　　1 網絡布局的原則…………………………

8、……………………………15</p><p>　　2 網絡布局的具體實施要求………………………………………………16</p><p>　　3 網絡布局的規(guī)劃與設計…………………………………………………17</p><p>　　八 局域網的安全控制與病毒防治………………………………………19</p><p>　　1局域網安全威脅分析…………………

9、…………………………………19</p><p>　　2局域網的安全控制與病毒防治策略……………………………………21</p><p>　　結論………………………………………………………………………………24</p><p>　　參考文獻………………………………………………………………………24</p><p><b>　　引言<

10、;/b></p><p>　　隨著計算機及局域網絡應用的不斷深入，特別是各種計算機應用系統(tǒng)被相繼應用在實際工作中，各企業(yè)、各單位同外界信息媒體之間的相互交換和共享的要求日益增加。需要使各單位相互間真正做到高效的信息交換、資源的共享，為各單位人員提供準確、可靠、快捷的各種生產數據和信息，充分發(fā)揮各單位現(xiàn)有的計算機設備的功能。為加強各公司內各分區(qū)的業(yè)務和技術聯(lián)系，提高工作效率，實現(xiàn)資源共享，降低運作及管理成本,

11、公司有必要建立企業(yè)內部局域網。局域網要求建設基于TCP/IP協(xié)議和WWW技術規(guī)范的企業(yè)內部非公開的信息管理和交換平臺，該平臺以WEB為核心，集成WEB、文件共享、信息資源管理等服務功能，實現(xiàn)公司員工在不同地域對內部網的訪問。</p><p>　　一 中小型企業(yè)網絡方案的主要特點與要求</p><p>　　中小企業(yè)局域網通常規(guī)模較小，結構相對簡單，對性能的要求則因應用的不同而差別較大。許多

12、中小企業(yè)網絡技術人員較少，因而對網絡的依賴性很高，要求網絡盡可能簡單、可靠、易用，降低網絡的使用和維護成本、提高產品的性能價格比就顯得尤為重要。</p><p>　　基于以上特點，應遵循下列設計原則：</p><p>　　1.把握好技術先進性與應用簡易性之間的平衡。 </p><p>　　2.具有良好的升級擴展能力。</p><p>　　3.

13、具有較高的可靠性和安全性。</p><p>　　4.產品功能與實際應用需求相匹配。 </p><p>　　80%的中小企業(yè)用戶通常只用到局域網20%的功能。精簡功能設計的產品不但可以在滿足大多數需求的情況下有效降低成本，而且還能夠提高系統(tǒng)的穩(wěn)定性和易維護性。 </p><p>　　5.盡可能選擇成熟、標準化的技術和產品。</p><p>　　

14、恰當運用以太網的不同標準和功能，以太網技術能夠在雙絞線、多模光纖、單模光纖等介質上傳輸數據，可以非常簡單地升級到百兆、千兆的速率，而且具有很高的穩(wěn)定性和可管理性。</p><p>　　以太網提供了多種標準和功能。比如10Mbps、100Mbps、1000Mbps不同速率的標準，雙絞線、光纖等不同介質的標準，以及網絡管理、流量控制、VLAN、優(yōu)先級、鏈路聚合等功能。</p><p>　　二

15、 中小型企業(yè)局域網需求分析及指標  </p><p>　　隨著互聯(lián)網應用的普及，電子商務有了實質性的進展。對于一個企業(yè)來說，產品的介紹、銷售、技術服務和售后服務等越來越多地采用網絡的形式來完成，最主要的優(yōu)點是：方便、快捷和成本低廉。   目前中小型企業(yè)往往采用在互聯(lián)網絡上申請主頁空間或采用網絡主機托管的方式，這種方式在應用上很明顯有些不方便之處，所能提供的服務類型單一，

16、并且資料數據都是放在別人的計算機上，讓別人來管理。對于大型企業(yè)和有機密數據的單位，往往不會采用這種方式，他們會在單位內部建立自己的中心機房，組建自己的局域網，同時申請電信的寬帶和固定IP，這樣，形成內外兩種網絡。如果，企業(yè)在異地有分支機構，還可以通過VPN方式進行安全通信。   對企業(yè)的需求進行嚴格的分析，設計出實際可行的網站建設方案，在網站策劃階段，可從以下一些方面考慮定位：   （1）網站

17、硬性指標：您的網站是否能夠讓客戶很輕松、方便的登錄和記住，包括域名種類分布、域名品牌一致、網站語言版本、域名解析時間、請求響應時間、主機連接時間、下載時間、HTML綜合質量、圖片綜合質量、首頁布局質量、首頁信息類型等。   （2）網站推廣指標：您的網站推廣是否能讓更多的客戶與您往來</p><p>　　三 企業(yè)局域網模塊設計   </p><p&

18、gt;　　企業(yè)局域網可分為兩個模塊：企業(yè)互聯(lián)網模塊與企業(yè)局域網模塊。   1) 企業(yè)互聯(lián)網模塊   企業(yè)互聯(lián)網模塊擁有與互聯(lián)網的連接，同時也端接VPN與公共服務（DNS、HTTP、FTP、SMTP）信息流。   企業(yè)互聯(lián)網模塊為內部用戶提供了與互聯(lián)網的連接并使用戶能夠通過互聯(lián)網訪問公共服務器上的信息，同時還為遠程地點和遠程工作人員提供了VPN訪問能力。 

19、60; 企業(yè)互聯(lián)網模塊涉及的關鍵設備有：SMTP服務器、DNS服務器、FTP／HTTP服務器、防火墻或防火墻路由器、第2層及以上交換機（支持專用VLAN）。   2) 企業(yè)局域網模塊   企業(yè)局域網模塊包含第2層及以上交換功能與所有的用戶以及管理內部網服務器。企業(yè)局域網模塊包含最終用戶工作站、公司內部網服務器、管理服務器和支持這些設備所需的相關基礎設施、可網管的交換機等。</p>

20、;<p>　　四 局域網工程建設原則及軟硬件功能分析</p><p>　　1 建設原則   ⑴ 實用性：網絡建設從應用實際需求出發(fā)，堅持為領導決策服務，為經營管理服務，為生產建設服務。   ⑵ 先進性：采用成熟的先進技術，兼顧未來的發(fā)展趨勢，即量力而行，又適當超前，留有發(fā)展余地。   ⑶ 可靠性：確保網絡可靠運行，在網絡的關鍵

21、部分應具有容錯能力。   ⑷ 安全性：提供公共網絡連接、通信鏈路、服務器等全方位的安全管理系統(tǒng)。   ⑸ 開放性：采用國際標準通信協(xié)議、標準操作系統(tǒng)、標準網管軟件、采用符合標準的設備，保證整個系統(tǒng)具有開放特點，增強與異機種、異構網的互聯(lián)能力。   ⑹ 可擴展性：系統(tǒng)便于擴展，保證前期的投資的有效性與后期投資的連續(xù)性。2 軟硬件功能分析   （1)

22、 路由器   就企業(yè)局域網網絡而言，由于大量的數據都發(fā)生在局域網內部，對路由器的性能要求不高，因此，可以選用中低端路由器。低端路由器主要適用中小辦公網絡的應用，考慮的一個主要因素是端口數量，另外還要看包交換能力和NAT轉換能力。中端路由器適用大中型辦公網絡，選用的原則也是考慮端口支持能力、包交換能力和NAT轉換能力。   在這里值得進一步說明的是，如果讓內部計算機直接通過</p>

23、<p>　　五  網站設計和運行維護中應注意事項</p><p>　?。?) 網站僅僅停留在發(fā)布企業(yè)形象和產品信息上   網站架設應從網絡營銷角度出發(fā)。換句話說，是否可以透過網絡，在現(xiàn)有營銷通路以外，提供一個企業(yè)與消費者之間直接接觸與溝通的渠道，提供企業(yè)另一種銷售模式機會。因此，傳統(tǒng)產業(yè)要的網站，應該從營銷主管角度優(yōu)先思索。第二個角度就是從管理角度去思索，例如公司在全省

24、擁有許多營業(yè)網點或分公司，各種網點之間的公文傳遞或資源分配是否可以透過網站，以提高經營績效。</p><p>　?。?) 在頁面中應避免塞滿圖片、Java程序、Flash、音樂等   其實就目前上網速度來看，網頁如果加上太多的FLASH或FLAME，或掛上太多圖片，勢必影響傳輸速度，這樣對普遍缺乏信心的客戶而言，很容易就因為不愿耐心等候下載完畢，而選擇中途跳開。如此一來，再漂亮的網頁也不會有

25、人看！   一個干干凈凈、條理分明的網頁比較容易閱讀，客戶可以在很短時間找到他要的信息，不必被太多視覺污染所干擾。所以企業(yè)的網頁不需要太多美工，因為要看漂亮的圖片，客戶自然有合適網站可以上，不必浪費客戶下載的時間與金錢。（3) 很長時間都不更新一次   如果一個網站的資料幾個月不更新一次，請問誰會有興趣上這個網站？當然資料更新與維護需要成本，因為我們不是在做一個入口網站或專業(yè)網站，也不需要每

26、天更新；如果能做到每周更新或每兩周更新，并在網站上注明更新時間或預告下次更新時間，將有助于告知客戶何時可以上網來取得最新資訊。另外所謂活網站的“活”，系指需具備與客戶互動機制，例如郵件列表系統(tǒng)、留言板或客服系統(tǒng)等。同時對于客戶所提意見的處理，也需及時，不能讓客戶對網站失去信心！</p><p>　　六 典型中小企業(yè)組網實例</p><p><b>　　1 案例描述</

27、b></p><p>　　典型中小企業(yè)組網實例，申請一個公網IP和10M帶寬，單臺路由器，WEB服務器，文件服務器，F(xiàn)TP服務器等，客戶端辦公電腦100臺左右，多部門劃分VLAN，用ACL控制各部門訪問權限，配置網絡打印機。</p><p><b>　　2 硬件設備</b></p><p>　　Cisco Catalyst 4500系

28、列能夠為無阻礙的第2/3/4層交換提供集成式彈性，因而能進一步加強對融合網絡的控制?？捎眯愿叩娜诤险Z音/視頻/數據網絡能夠為正在部署基于互聯(lián)網企業(yè)應用的企業(yè)和城域以太網客戶提供業(yè)務彈性。4500系列中提供的集成式彈性增強包括1＋1超級引擎冗余、集成式IP電話電源、基于軟件的容錯以及1+1電源冗余。硬件和軟件中的集成式冗余性能夠縮短停機時間，從而提高生產率、利潤率和客戶成功率。是用于公司企業(yè)網絡交換機群核心層高性價比的一系列。</p

29、><p>　　Cisco WS-C2960-48T擁有大數量的接口，全智能自動全雙工半雙工識別，具有用于接入層交換機的良好優(yōu)勢。能夠快速轉發(fā)用戶的數據。</p><p>　　Cisco 2821是一臺多業(yè)務路由器，比較適合中小型企業(yè)的需求與應用。</p><p>　　Nokia IP355是一款應用于中小型企業(yè)的防火墻產品，能夠進行SNMP,Telnet,FTP,SSH

30、v2(安全Telnet&FTP),HTTP 服務器RFC 2068,SSL/TLS RFC 2246,命令行運用的管理和對流量的過濾，對于中小型的安全問題防護性能比較良好。</p><p>　　3 IP地址規(guī)劃</p><p><b>　　4 網絡拓撲</b></p><p>　　5 配置需求及解決方案</p>

31、;<p>　　為了直觀方便，配置需求全部在配置命令中加以單點說明，并且配置命令量大反復，這里只列出重點命令。</p><p>　?。?）配置Router ：</p><p><b>　　接口：</b></p><p>　　interface fastethernet0/1</p><p>　　ip addr

32、ess 172.16.0.1 255.255.255.252</p><p>　　duplex auto</p><p>　　speed auto</p><p>　　ip nat inside </p><p>　　no shutdown </p><p>　　interface fastethernet0/2<

33、;/p><p>　　ip address 221.195.66.117 255.255.255.248</p><p>　　duplex auto</p><p>　　speed auto</p><p>　　ip nat outside</p><p>　　no shutdown</p><p>

34、<b>　　路由：</b></p><p>　　ip route 0.0.0.0 0.0.0.0 221.195.66.117</p><p><b>　　過載：</b></p><p>　　ip nat inside source list 110 interface FastEthernet0/2 overload&l

35、t;/p><p>　　access-list 110 permit ip 172.16.0.0 0.0.255.255 any</p><p>　?。?）配置Core switch：</p><p><b>　　VTP：</b></p><p>　　VTP Version: 2</p><p>　　C

36、onfiguration Revision: 7</p><p>　　Maximum VLANs supported locally : 1005</p><p>　　Number of existing VLANs: 9</p><p>　　VTP Operating Mode: Server</p><p>　　VTP Domain Na

37、me: OA</p><p>　　VTP Pruning Mode: Disabled</p><p>　　VTP V2 Mode: Enabled</p><p>　　VTP Traps Generation: Enabled</p><p><b>　　VLAN：</b></p><p>　　

38、core-sw#vlan database 進入vlan配置模式</p><p>　　core-sw(vlan)#vtp domain OA 設置vtp管理域名稱OA</p><p>　　core-sw(vlan)#vtp server 設置交換機為服務器模式</p><p>

39、　　core-sw(vlan)#vlan 10 name shichang 創(chuàng)建VLAN 10，為市場部</p><p>　　core-sw(vlan)#vlan 11 name caiwu 創(chuàng)建VLAN 10，為財務部</p><p>　　core-sw(vlan)#vlan 12 name sheji 創(chuàng)建VLAN 12，為設計部</p>

40、<p>　　core-sw(vlan)#vlan 13 name netprinter 創(chuàng)建VLAN 13，為網絡打印機</p><p>　　core-sw(vlan)#vlan 20 name server 創(chuàng)建VLAN 20，為服務器組</p><p>　　core-sw(config)#interface vlan 10</p><p

41、>　　core-sw(config-if)#ip address 172.16.42.254 255.255.255.0</p><p>　　core-sw(config)#interface vlan 11</p><p>　　core-sw(config-if)#ip address 172.16.40.254 255.255.255.0</p><p>

42、　　core-sw(config)#interface vlan 12</p><p>　　core-sw(config-if)#ip address 172.16.41.254 255.255.255.0</p><p>　　core-sw(config)#interface vlan 13</p><p>　　core-sw(config-if)#ip addr

43、ess 172.16.30.254 255.255.255.0</p><p>　　core-sw(config)#interface vlan 20</p><p>　　core-sw(config-if)#ip address 172.16.2.254 255.255.255.0</p><p>　　將接入層SW上的端口根據需要劃分至各個VLAN </p&

44、gt;<p><b>　?。?）配置ACL：</b></p><p>　　配置ACL 應用在各個部門VLAN接口上，控制各部門互訪</p><p>　　access-list 10 permit 172.16.2.0 0.0.0.255 </p><p>　　access-list 10 permit 172.16.30.0 0.

45、0.0.255 </p><p>　　access-list 10 deny 172.16.0.0 0.0.255.255 </p><p>　　access-list 10 permit any </p><p><b>　　進入vlan 10</b></p><p>　　ip access-group 10 out&

46、lt;/p><p>　　把訪問控制列表10 應用于VLAN 10 OUT方向上，市場部內部可以互訪，可以訪問服務器網段和網絡打印機網段，但不能訪問財務部和設計部所在網段。</p><p>　　access-list 11 permit 172.16.2.0 0.0.0.255</p><p>　　access-list 11 permit 172.16.30.0 0.0

47、.0.255</p><p>　　access-list 11 permit 172.16.42.0 0.0.0.255</p><p>　　access-list 11 deny 172.16.0.0 0.0.255.255</p><p>　　access-list 11 permit any</p><p><b>　　進入v

48、lan 11</b></p><p>　　ip access-group 11 out</p><p>　　把訪問控制列表11應用在VLAN 11 OUT方向上，財務部內部可以互訪問，可以訪問服務器網段和網絡打印機網絡，可以訪問市場部網段，但不能訪問設計部網段。</p><p>　　設計部VLAN 12 ，網絡打印機 VLAN 13，服務器 VLAN 2

49、0 可以訪問任意網段，應用訪問控制列表access-list 110 在in的方向上，封掉常見病毒端口。</p><p>　　access-list 110 deny tcp any any eq 1068</p><p>　　access-list 110 deny tcp any any eq 2046</p><p>　　access-list 110 den

50、y udp any any eq 2046</p><p>　　access-list 110 deny tcp any any eq 4444</p><p>　　access-list 110 deny udp any any eq 4444</p><p>　　access-list 110 deny tcp any any eq 1434</p>

51、<p>　　access-list 110 deny udp any any eq 1434</p><p>　　access-list 110 deny tcp any any eq 5554</p><p>　　access-list 110 deny tcp any any eq 9996</p><p>　　access-list 110 de

52、ny tcp any any eq 6881</p><p>　　access-list 110 deny tcp any any eq 6882</p><p>　　access-list 110 deny tcp any any eq 16881</p><p>　　access-list 110 deny udp any any eq 5554</p&g

53、t;<p>　　access-list 110 deny udp any any eq 9996</p><p>　　access-list 110 deny udp any any eq 6881</p><p>　　access-list 110 deny udp any any eq 6882</p><p>　　access-list 110

54、deny udp any any eq 16881</p><p>　　access-list 110 permit ip any any</p><p>　　可以根據實際需要將此ACL應用于任一接口，或者添加一些屏蔽軟件的端口，達到管理內部員工的目的，也可以用局域網內部的管理軟件，更加直接方便，并且易于操作。</p><p>　　（4）配置FTP服務器：</

55、p><p>　　用IIS架設（IIS只適用于Window NT/2000/XP操作系統(tǒng)）。</p><p><b>　　安裝：</b></p><p>　　Window XP默認安裝時不安裝IIS組件，需要手工添加安裝。進入控制面板，找到“添加／刪除程序”，打開后選擇“添加／刪除Window組件”，在彈出的“Window組件向導”窗口中，將“Int

56、ernet信息服務（IIS）”項選中。在該選項前的“√”背景色是灰色的，這是因為Window XP默認并不安裝FTP服務組件。再點擊右下角的“詳細信息”，在彈出的“Internet信息服務（IIS）”窗口中，找到“文件傳輸協(xié)議（FTP）服務”，選中后確定即可。</p><p>　　安裝完后需要重啟。Window NT／2000和Window XP的安裝方法相同。 </p><p><

57、b>　　設置：</b></p><p>　　電腦重啟后，F(xiàn)TP服務器就開始運行了，但還要進行一些設置。點擊“開始→所有程序→管理工具→Internet信息服務”，進入“Internet信息服務”窗口后，找到“默認FTP站點”，右擊鼠標，在彈出的右鍵菜單中選擇“屬性”。在“屬性”中，我們可以設置FTP服務器的名稱、IP、端口、訪問賬戶、FTP目錄位置、用戶進入FTP時接收到的消息等。 </p

58、><p>　　FTP站點基本信息：</p><p>　　進入“FTP站點”選項卡，其中的“描述”選項為該FTP站點的名稱，用來稱呼你的服務器，這里設置名稱為 “FTP服務器”；“IP地址”為服務器的IP，設置為172.16.2.2；“TCP端口”一般仍設為默認的21端口；“連接”選項用來設置允許同時連接服務器的用戶最大連接數；“連接超時”用來設置一個等待時間，如果連接到服務器的用戶在線的時間超

59、過等待時間而沒有任何操作，服務器就會自動斷開與該用戶的連接。設置賬戶及其權限：</p><p>　　很多FTP站點都要求用戶輸入用戶名和密碼才能登錄，這個用戶名和密碼就叫賬戶。不同用戶可使用相同的賬戶訪問站點，同一個站點可設置多個賬戶，每個賬戶可擁有不同的權限，如有的可以上傳和下載，而有的則只允許下載。 </p><p><b>　　安全設定：</b></p&g

60、t;<p>　　進入“安全賬戶”選項卡，有“允許匿名連接”和“僅允許匿名連接”兩項，默認為“允許匿名連接”，此時FTP服務器提供匿名登錄?！皟H允許匿名連接”是用來防止用戶使用有管理權限的賬戶進行訪問，選中后，即使是Administrator（管理員）賬號也不能登錄，F(xiàn)TP只能通過服務器進行“本地訪問”來管理。至于“FTP站點操作員”選項，是用來添加或刪除本FTP服務器具有一定權限的賬戶。ＩＩＳ與其他專業(yè)的FTP服務器軟件不

61、同，它基于Window用戶賬號進行賬戶管理，本身并不能隨意設定FTP服務器允許訪問的賬戶，要添加或刪除允許訪問的賬戶，必須先在操作系統(tǒng)自帶的“管理工具”中的“計算機管理”中去設置Window用戶賬號，然后再通過“安全賬戶”選項卡中的“FTP站點操作員”選項添加或刪除。但對于Window 2000和Window XP專業(yè)版，系統(tǒng)并不提供“FTP站點操作員”賬戶添加與刪除功能，只提供Administrator一個管理賬號。</p>

62、;<p><b>　　設置用戶登錄目錄：</b></p><p>　　最后設置FTP主目錄（即用戶登錄FTP后的初始位置），進入“主目錄”選項卡，在“本地路徑”中選擇好FTP站點的根目錄，并設置該目錄的讀取、寫入、目錄訪問權限。設置完成后，F(xiàn)TP服務器就算建成了。</p><p>　　七 網絡布局和綜合布線</p><p>　　

63、公司組網，我們不僅要從企業(yè)本身的實際需求出發(fā)，根據組網經費的多少來務實地規(guī)劃與設計網絡；在采購好網絡設備和服務器等設備后，如何對機房、辦公地點進行合理的網絡布局與布線，是致關重要的。網絡布局主要是指機房里的網絡設備、服務器等設備如何放置，它們又與網絡布線如何相處，總之網絡布局要考慮周全。</p><p>　　1 網絡布局的原則</p><p><b>　　（1）實用性<

64、/b></p><p>　　企業(yè)組建的局域網應當根據機房的大小、設備的多少來具體實施，根據網絡布線的特點來發(fā)揮網絡布局實用性是非常重要的。</p><p><b>　?。?）全面性</b></p><p>　　組網過程中，網絡、服務器等設備放置位置應當統(tǒng)籌兼顧，網絡布局要考慮周全，盡量讓各種設備和布線系統(tǒng)處于合理的位置。</p>

65、;<p><b>　　（3）可靠性</b></p><p>　　組網無論怎樣布局，最終的目的是保證我們的局域網的所有設備能可靠穩(wěn)定地運行，使得網絡能正常運轉。</p><p>　?。?）便于維護與升級</p><p>　　網絡的組網不是一成不變的，隨著IT企業(yè)業(yè)務的不斷發(fā)展的需求，原先組建的局域網就需要不斷地完善和擴充；在日常的網

66、絡運行維護中，規(guī)劃網絡布局時就應該考慮到便于以后網絡的維護與升級操作。</p><p>　　2 網絡布局的具體實施要求</p><p>　　對于有線局域網來說，這是我們目前企業(yè)網絡建設中，經常會遇到的，需要對機房和辦公大樓進行布線。規(guī)劃網絡布局要考慮到機房的設備布局和布線系統(tǒng)的合理搭配。因此我們首先要規(guī)劃與設計好機房、布線系統(tǒng)，然后再全面地考慮網絡的布局。</p>&l

67、t;p>　　（1）機房的規(guī)劃與設計</p><p>　　為了確保網絡、計算機系統(tǒng)穩(wěn)定、安全、可靠地運行，以及保障機房工作人員有良好的工作環(huán)境，做到技術先進、經濟合理、安全適用、確保質量，符合國家有關的機房設計規(guī)定。</p><p><b>　　a防靜電</b></p><p>　　靜電不僅會對計算機運行出現(xiàn)隨機故障，而且還會導致某些元器件

68、，雙級性電路等的擊穿和毀壞。此外，還會影響操作人員和維護人員的正常的工作和身心健康。</p><p><b>　　b防火、防盜</b></p><p>　　計算機房在設計時，重點要考慮機房的消防滅火設計。設計時可以根據消防防火級別來確定機房的設計方案，計算機房火災報警要求在一樓設有值班室或監(jiān)控點。機房里應注意防盜設施的安裝，具體地可采用防盜門、防盜鎖、警衛(wèi)、自動報警系

69、統(tǒng)等等。</p><p><b>　　c防雷</b></p><p>　　由于機房通信和供電電纜多從室外引入機房，易遭受雷電的侵襲，機房的建筑防雷設計尤其重要。計算機通信電纜的芯線，電話線均應加裝避雷器。</p><p><b>　　d保濕、保溫</b></p><p>　　機房里的濕度應保持在20

70、%-80%為宜，機房的溫度應保持在15℃-35℃攝氏度，安裝空調來調節(jié)溫度是解決此問題最好的辦法。</p><p>　?。?）布線系統(tǒng)的規(guī)劃與設計</p><p>　　有了好的機房，網絡設備就有了好的“家”，組建的IT網絡應當通過布線系統(tǒng)將機房和辦公地點互聯(lián)起來，確保網絡的正常運行。如果企業(yè)的接入點較多，我們可以采取接入層、匯聚層、交換層三個網絡層次的設計，在此基礎上進行布線系統(tǒng)。<

71、/p><p>　　對于接入層來說，選擇一個合理的接入設備，是最關鍵的，而且我們要根據接入設備選擇合適的帶寬。匯聚層是整個局域網的核心部分，匯聚層網絡設備一般支持網絡管理功能，方便我們的管理和維護，方便以后我們的網絡升級和改造。交換層是整個網絡中的中間層，連接著匯聚層和網絡節(jié)點，是決定我們整體網絡傳輸質量的很重要的一個環(huán)節(jié)。隨著百兆網絡設備的普及，我們交換層的網絡設備，肯定首選百兆。</p><p&

72、gt;　　布線是連接網絡接入層、匯聚層、交換層和網絡節(jié)點的重要環(huán)節(jié)。在布線時，最好使用專門的通道，而且不要與電源線，空調線等具有輻射的線路混合布線。</p><p>　　接入層與匯聚層之間的雙絞線，可以選擇超五類屏蔽雙絞線，以使網絡性能得到最大的提升。匯聚層與交換層之間的雙絞線，由于是網絡數據傳輸量最大的一個層次，同樣采用超五類屏蔽雙絞線。交換層與網絡節(jié)點之間，我們就可以采用普通的超五類非屏蔽雙絞線。</p

73、><p>　　網絡設備的放置，最好放在節(jié)點的中央位置，這樣做，不是為了節(jié)約綜合布線的成本，而是為了提高網絡的整體性能，提高網絡傳輸質量。由于雙絞線的傳輸距離是100米，在95米才能獲得最佳的網絡傳輸質量。在做網絡布線時，最好能夠設計一個設備間，放置網絡設備。</p><p>　　3 網絡布局的規(guī)劃與設計</p><p>　　目前的網絡設備大都采用機架式的結構（多為扁

74、平式，活像個抽屜），如交換機、路由器、硬件防火墻等。這些設備之所以有這樣一種結構類型，是因為它們都按國際機柜標準進行設計，這樣大家的平面尺寸就基本統(tǒng)一，可把一起安裝在一個大型的立式標準機柜中。這樣做的好處非常明顯：一方面可以使設備占用最小的空間，另一方面則便于與其它網絡設備的連接和管理，同時機房內也會顯得整潔、美觀。</p><p>　　我們經常接觸到的放置機房里有網絡機柜、服務器機柜以及綜合布線柜，從這三個機柜

75、的名字就可以看出它們各自所起的作用；一般來說，網絡設備如交換機、路由器、防火墻、加密機等以及網絡通信設備如光端機、調制解調器等是放置在網絡機柜的；服務器機柜的寬度為19英寸，高度以U為單位 （1U=1.75英寸=44.45毫米），通常有1U，2U，3U，4U幾種標準的服務器。機柜的尺寸也是采用通用的工業(yè)標準，通常從22U到42U不等；機柜內按U的高度有可拆卸的滑動拖架，用戶可以根據自己服務器的標高靈活調節(jié)高度，以存放服務器、集線器、磁盤

76、陣列柜等設備。服務器擺放好后，它的所有I/O線全部從機柜的后方引出（機架服務器的所有接口也在后方），統(tǒng)一安置在機柜的線槽中，一般貼有標號，便于管理。</p><p>　　綜合布線柜一般配有前后可移動的安裝立柱，自由設定安裝空間，可按需要配置隔板、風扇、電源插座等附件。配線架通常安裝在機柜里，配線架的一面是RJ45口，并標有編號；另一面是跳線接口，上面也標有編號，這些編號和上面的RJ45口的編號是一一對應的。每一組

77、跳線都標識有棕、藍、橙、綠的顏色，雙絞線的色線要和這些跳線一一對應，這樣做不容易接錯。配線架不僅僅是便于管理線對，而且可以防止串擾，增加線對的隔離空間，提供360度的線對隔離。</p><p>　　在機房中，必須放置交換機、功能服務器群和網絡打印設備，以及局域網絡連接Internet所需的各種設備，如路由器、防火墻以及網管工作站等；因此機房的網絡布局一般至少有三個機柜，綜合布線柜和網絡機柜應當緊連在一起，便于調線

78、操作，接下來是服務器機柜；將網絡設備和布線系統(tǒng)進行合理的布局。</p><p>　　在網絡布局中，每個機柜最好留點空間，便于以后網絡設備、服務器設備的擴充，綜合布線柜里有可能除了網絡布線外，還有能布置電話線，所以要在機柜里留下一定空間。</p><p>　　從機柜內部線纜附設的角度看，機柜配置密度更高，容納的IT設備更多，大量采用冗余配件(如冗余電源、存儲陣列等)，機柜內設備配置頻繁變換，

79、數據線和電纜隨時增減。所以，機柜必須提供充足的線纜通道，能從機柜頂部、底部進出線纜。在機柜內部，線纜的敷設必須方便、有序，與設備的線纜接口靠近，以縮短布線距離；減少線纜的空間占用，保證設備安裝、調整、維護過程中，不受到布線的干擾，并保證散熱氣流不會受到線纜的阻擋；同時，在故障情況下，能對設備布線進行快速定位。</p><p>　　供電系統(tǒng)和制冷系統(tǒng)是計算機機房的兩個重要部分。在供電系統(tǒng)中，一般采用在線的UPS供電

80、方式，蓄電池實際可供使用的容量與蓄電池的放電電流大小、蓄電池的環(huán)境工作溫度、貯存時間的長短以及負載的性質（電阻性、電感性、電容性）密切相關。制冷系統(tǒng)（空調）涉及到機房的整個物理環(huán)境，包括空調、地板、機柜及房間布局等諸多方面；因此UPS和空調我們也要考慮好將它們放置在一個合適的位置。如果機房空間較大，可以將UPS和空調都放在機房里；如果空間較小，可以把UPS（包括蓄電池）放在配電房里。需要注意的是如果大樓里安裝有“中央空調”的話，機房里也

81、必須安裝獨立的空調，因為中央空調不可能24小時都開著，上班的時間可以利用中央空調，下班和星期節(jié)假日的時候，如果服務器、網絡設備需要正常運行的話，則必須要開機房里的獨立空調。</p><p>　　機柜的擴展性表現(xiàn)在機柜內設備密度的擴展和機柜數量的擴展，因此網絡布局時必須將機柜的配風能力（通常稱為散熱能力）以及配電能力考慮在內。一方面，機柜內的設備需要溫度、濕度適宜并且風量充足的冷風（冷空氣）。這些冷風被機柜內的IT

82、設備吸入，從而為設備內的部件（尤其是CPU）降溫。當機柜內設備增加到一定數量時，由地板出風口送出的冷風風量將不能滿足所有設備的需求，從而形成部分IT設備配風不足而過熱。</p><p>　　解決機柜內設備密度擴展時遇到的這種局部熱點問題可以采用調配IT設備位置的方式來解決。例如，把熱負荷最大的設備安裝在機柜中部位置，以便獲得最大的配風風量。另外的解決方法是，在機柜的上部或下部位置安裝軸向水平的強排風扇，增強上部或

83、下部的吸入能力（即減小IT設備的入口靜壓），從而增加配風風量。</p><p>　　另一方面，機柜內的設備需要供電以及與機柜外部進行通信。當機柜內的IT設備數量增加時，這些線纜、連接端子同時成倍地增加，從而對機架式電源排插的容量、插口數量都提出了擴展要求。機柜內的布線空間也是需要提前考慮的，因為當機柜內的功率密度提高時，設備后部的線纜將明顯增加風阻，所以必須考慮線纜管理及走線空間的問題。</p>&

84、lt;p>　　八 局域網的安全控制與病毒防治</p><p>　　1 局域網安全威脅分析 </p><p>　　局域網由于通過交換機和服務器連接網內每一臺電腦，因此局域網內信息的傳輸速率比較高，同時局域網采用的技術比較簡單，安全措施較少，同樣也給病毒傳播提供了有效的通道和數據信息的安全埋下了隱患。局域網的網絡安全威脅通常有以下幾類： </p><p>　　

85、（1）欺騙性的軟件使數據安全性降低 </p><p>　　由于局域網很大的一部分用處是資源共享，而正是由于共享資源的“數據開放性”，導致數據信息容易被篡改和刪除，數據安全性較低。例如“網絡釣魚攻擊”，釣魚工具是通過大量發(fā)送聲稱來自于一些知名機構的欺騙性垃圾郵件，意圖引誘收信人給出敏感信息：如用戶名、口令、賬號ID、ATM PIN碼或信用卡詳細信息等的一種攻擊方式。最常用的手法是冒充一些真正的網站來騙取用戶的敏感的

86、數據。以往此類攻擊的冒名的多是大型或著名的網站，但由于大型網站反應比較迅速，而且所提供的安全功能不斷增強，網絡釣魚已越來越多地把目光對準了較小的網站。同時由于用戶缺乏數據備份等數據安全方面的知識和手段，因此會造成經常性的信息丟失等現(xiàn)象發(fā)生。 </p><p>　　（2）服務器區(qū)域沒有進行獨立防護</p><p>　　局域網內計算機的數據快速、便捷的傳遞，造就了病毒感染的直接性和快速性，如果

87、局域網中服務器區(qū)域不進行獨立保護，其中一臺電腦感染病毒，并且通過服務器進行信息傳遞，就會感染服務器，這樣局域網中任何一臺通過服務器信息傳遞的電腦，就有可能會感染病毒。雖然在網絡出口有防火墻阻斷對外來攻擊，但無法抵擋來自局域網內部的攻擊</p><p>　?。?）計算機病毒及惡意代碼的威脅</p><p>　　由于網絡用戶不及時安裝防病毒軟件和操作系統(tǒng)補丁，或未及時更新防病毒軟件的病毒庫而造

88、成計算機病毒的入侵。許多網絡寄生犯罪軟件的攻擊，正是利用了用戶的這個弱點。寄生軟件可以修改磁盤上現(xiàn)有的軟件，在自己寄生的文件中注入新的代碼。最近幾年，隨著犯罪軟件（crime ware）洶涌而至，寄生軟件已退居幕后，成為犯罪軟件的助手。2007年，兩種軟件的結合推動舊有寄生軟件變種增長3倍之多。2008年，預計犯罪軟件社區(qū)對寄生軟件的興趣將繼續(xù)增長，寄生軟件的總量預計將增長20%。 </p><p>　?。?）局

89、域網用戶安全意識不強</p><p>　　許多用戶使用移動存儲設備來進行數據的傳遞，經常將外部數據不經過必要的安全檢查通過移動存儲設備帶入內部局域網，同時將內部數據帶出局域網，這給木馬、蠕蟲等病毒的進入提供了方便同時增加了數據泄密的可能性。另外一機兩用甚至多用情況普遍，筆記本電腦在內外網之間平凡切換使用，許多用戶將在Internet網上使用過的筆記本電腦在未經許可的情況下擅自接入內部局域網絡使用，造成病毒的傳入和

90、信息的泄密。 </p><p><b>　　（5）IP地址沖突</b></p><p>　　局域網用戶在同一個網段內，經常造成IP地址沖突，造成部分計算機無法上網。對于局域網來講，此類IP地址沖突的問題會經常出現(xiàn)，用戶規(guī)模越大，查找工作就越困難，所以網絡管理員必須加以解決。 </p><p>　　正是由于局域網內應用上這些獨特的特點，造成局域網

91、內的病毒快速傳遞，數據安全性低，網內電腦相互感染，病毒屢殺不盡，數據經常丟失。</p><p>　　2 局域網安全控制與病毒防治策略 </p><p>　?。?）加強人員的網絡安全培訓</p><p>　　安全是個過程，它是一個匯集了硬件、軟件、網絡、人員以及他們之間互相關系和接口的系統(tǒng)。從行業(yè)和組織的業(yè)務角度看，主要涉及管理、技術和應用三個層面。要確保信息安全工

92、作的順利進行，必須注重把每個環(huán)節(jié)落實到每個層次上，而進行這種具體操作的是人，人正是網絡安全中最薄弱的環(huán)節(jié)，然而這個環(huán)節(jié)的加固又是見效最快的。所以必須加強對使用網絡的人員的管理，注意管理方式和實現(xiàn)方法。從而加強工作人員的安全培訓。增強內部人員的安全防范意識，提高內部管理人員整體素質。同時要加強法制建設， 進一步完善關于網絡安全的法律，以便更有利地打擊不法分子。對局域網內部人員，從下面幾方面進行培訓： </p><p&g

93、t;　　a加強安全意識培訓，讓每個工作人員明白數據信息安全的重要性，理解保證數據信息安全是所有計算機使用者共同的責任。 </p><p>　　b加強安全知識培訓，使每個計算機使用者掌握一定的安全知識，至少能夠掌握如何備份本地的數據，保證本地數據信息的安全可靠。 </p><p>　　c加強網絡知識培訓，通過培訓掌握一定的網絡知識，能夠掌握IP地址的配置、數據的共享等網絡基本知識，樹立良好的

94、計算機使用習慣。 </p><p>　　（2）局域網安全控制策略</p><p>　　安全管理保護網絡用戶資源與設備以及網絡管理系統(tǒng)本身不被未經授權的用戶訪問。目前網絡管理工作量最大的部分是客戶端安全部分，對網絡的安全運行威脅最大的也同樣是客戶端安全管理。只有解決網絡內部的安全問題，才可以排除網絡中最大的安全隱患，對于內部網絡終端安全管理主要從終端狀態(tài)、行為、事件三個方面進行防御。利用現(xiàn)有

95、的安全管理軟件加強對以上三個方面的管理是當前解決局域網安全的關鍵所在。</p><p>　　a 利用桌面管理系統(tǒng)控制用戶入網。入網訪問控制是保證網絡資源不被非法使用，是網絡安全防范和保護的主要策略。它為網絡訪問提供了第一層訪問控制。它控制哪些用戶能夠登錄到服務器并獲取網絡資源，控制用戶入網的時間和在哪臺工作站入網。用戶和用戶組被賦予一定的權限，網絡控制用戶和用戶組可以訪問的目錄、文件和其他資源，可以指定用戶對這

96、些文件、目錄、設備能夠執(zhí)行的操作。啟用密碼策略，強制計算機用戶設置符合安全要求的密碼，包括設置口令鎖定服務器控制臺，以防止非法用戶修改。設定服務器登錄時間限制、檢測非法訪問。刪除重要信息或破壞數據，提高系統(tǒng)安全性，對密碼不符合要求的計算機在多次警告后阻斷其連網。 </p><p>　　b 采用防火墻技術。防火墻技術是通常安裝在單獨的計算機上，與網絡的其余部分隔開，它使內部網絡與Internet之間或與其他外部網

97、絡互相隔離，限制網絡互訪，用來保護內部網絡資源免遭非法使用者的侵入，執(zhí)行安全管制措施，記錄所有可疑事件。它是在兩個網絡之間實行控制策略的系統(tǒng)，是建立在現(xiàn)代通信網絡技術和信息安全技術基礎上的應用性安全技術。采用防火墻技術發(fā)現(xiàn)及封阻應用攻擊所采用的技術有：1）深度數據包處理。深度數據包處理在一個數據流當中有多個數據包，在尋找攻擊異常行為的同時，保持整個數據流的狀態(tài)。深度數據包處理要求以極高的速度分析、檢測及重新組裝應用流量，以避免應用時帶來

98、時延。2）IP/URL過濾。一旦應用流量是明文格式，就必須檢測HTTP請求的URL部分，尋找惡意攻擊的跡象，這就需要一種方案不僅能檢查RUL，還能檢查請求的其余部分。其實，如果把應用響應考慮進來，可以大大提高檢測攻擊的準確性。雖然URL過濾是一項重要的操作，可以阻止通常的腳本類型的攻擊。3）TCP/IP終止。應用層攻擊涉及多種數據包，并且常常涉及不同的數據流。流量分析系統(tǒng)要發(fā)揮功效，就必須在用戶與應用保持互動的整個會話期間，能</

99、p><p>　　封存所有空閑的IP地址，啟動IP地址綁定，采用上網計算機IP地址與MAC地址唯一對應，網絡沒有空閑IP地址的策略。由于采用了無空閑IP地址策略，可以有效防止IP地址引起的網絡中斷和移動計算機隨意上內部局域網絡造成病毒傳播和數據泄密。 </p><p>　　c 屬性安全控制。它能控制以下幾個方面的權限：防止用戶對目錄和文件的誤刪除、執(zhí)行修改、查看目錄和文件、顯示向某個文件寫數據

100、、拷貝、刪除目錄或文件、執(zhí)行文件、隱含文件、共享、系統(tǒng)屬性等。網絡的屬性可以保護重要的目錄和文件。</p><p>　　啟用殺毒軟件強制安裝策略，監(jiān)測所有運行在局域網絡上的計算機，對沒有安裝殺毒軟件的計算機采用警告和阻斷的方式強制使用人安裝殺毒軟件。</p><p><b>　　（3）病毒防治</b></p><p>　　病毒的侵入必將對系統(tǒng)資

101、源構成威脅，影響系統(tǒng)的正常運行。特別是通過網絡傳播的計算機病毒，能在很短的時間內使整個計算機網絡處于癱瘓狀態(tài)，從而造成巨大的損失。因此，防止病毒的侵入要比發(fā)現(xiàn)和消除病毒更重要。防毒的重點是控制病毒的傳染。防毒的關鍵是對病毒行為的判斷，如何有效辨別病毒行為與正常程序行為是防毒成功與否的重要因素。防病毒體系是建立在每個局域網的防病毒系統(tǒng)上的，主要從以下幾個方面制定有針對性的防病毒策略： </p><p>　　a增加安

102、全意識和安全知識，對工作人員定期培訓。首先明確病毒的危害，文件共享的時候盡量控制權限和增加密碼，對來歷不明的文件運行前進行查殺等，都可以很好地防止病毒在網絡中的傳播。這些措施對杜絕病毒，主觀能動性起到很重要的作用。 </p><p>　　b小心使用移動存儲設備。在使用移動存儲設備之前進行病毒的掃描和查殺，也可把病毒拒絕在外。</p><p>　　c挑選網絡版殺毒軟件。一般而言，查殺是否徹底

103、，界面是否友好、方便，能否實現(xiàn)遠程控制、集中管理是決定一個網絡殺毒軟件的三大要素。瑞星殺毒軟件在這些方面都相當不錯，能夠熟練掌握瑞星殺毒軟件使用，及時升級殺毒軟件病毒庫，有效使用殺毒軟件是防毒殺毒的關鍵。</p><p>　　通過以上策略的設置，能夠及時發(fā)現(xiàn)網絡運行中存在的問題，快速有效的定位網絡中病毒、蠕蟲等網絡安全威脅的切入點，及時、準確的切斷安全事件發(fā)生點和網絡。</p><p>　

104、　局域網安全控制與病毒防治是一項長期而艱巨的任務，需要不斷的探索。隨著網絡應用的發(fā)展計算機病毒形式及傳播途徑日趨多樣化，安全問題日益復雜化，網絡安全建設已不再像單臺計算安全防護那樣簡單。計算機網絡安全需要建立多層次的、立體的防護體系，要具備完善的管理系統(tǒng)來設置和維護對安全的防護策略。</p><p><b>　　結論</b></p><p>　　Internet技術的

105、迅速發(fā)展，各行業(yè)信息化網絡的快速膨脹，中小型企業(yè)局域網由于需求也得到了空前的發(fā)展，它為員工提供了全新的工作環(huán)境，利用計算機和網絡進行工作、交流，改變了傳統(tǒng)的工作方式，極大的提高了工作的質量和效率。采用交換式局域網技術的企業(yè)網絡，可以運用VLAN技術來加強內部網絡管理。根據不同的應用業(yè)務以及不同的安全級別，將網絡分段并進行隔離，實現(xiàn)相互間的訪問控制，可以達到限制用戶非法訪問的目的。</p><p>　　本文通過對傳

106、統(tǒng)局域網的分析與比較，介紹了中小型企業(yè)局域網組建和管理的軟硬件需求和注意事項，利用實際的局域網案例來具體模擬現(xiàn)實當中可能存在的問題，并且加以防范與解決，以達到有備無患，實現(xiàn)企業(yè)局域網的高性能、高穩(wěn)定、高管理性、靈活性、安全性、經濟性，網絡性能得到了充分的保證，使得企業(yè)局域網運行穩(wěn)定，性能可靠，達到我們預期的效果，并且不斷完善。</p><p><b>　　參考文獻</b></p>

107、<p>　　[1] 弗魯姆(Richard Froom).CCNP學習指南:組建Cisco多層交換網絡(BCMSN)(第4版)[M].2007.</p><p>　　[2] WilliamStallings.Network Security Essentials Applications and Standards Third Edition[M].2007.</p><p&