網路中心內部機構設置報告

A. 組建網路設計報告

公司小型辦公網路設計

此網路設計盡供參考！

摘要：

本網路有兩個模塊：公司互聯網模塊與園區網模塊：公司互聯網模塊擁有與互聯網的連接，同時也端接VPN與公共服務（DNS、HTTP、FTP、SMTP）信息流。園區模塊包含第2層交換功能與所有的用戶以及管理與內部網伺服器。

互聯網模塊為內部用戶提供了與互聯網的連接並使用戶能夠通過互聯網訪問公共伺服器上的信息，同時還為遠程地點和遠程工作人員提供了VPN訪問能力。這種模塊不適用於電子商務類型的應用。

園區網模塊包含最終用戶工作站、公司內部網伺服器、管理伺服器和支持這些設備所需的相關第2層基礎設施。

關鍵字：

VPN；公共服務（DNS、HTTP、FTP、SMTP）信息流；互聯網；遠程；工作站；伺服器

1 目的要求

至少要有兩個LAN

一個WAN

網間設備之間能互通

註：在報告中要有各種設備的詳細配置命令

2 需求分析

小型辦公網路環境一般是的應用需求是作為辦公用途，所以在組建過程中，一般以辦公應用為主，主要實現的功能就是共享文件、列印機等應用。下面我們就為大家介紹如何構建小型辦公網路環境。

2.1費用因素

這是在組建網路時主要考慮的因素之一。一般情況下，費用因素包括：設備的購買費用、寬頻線路租用費用這兩項。其中需要的設備主要是根據自身需求來選擇的。

2.2 應用需求

這是在集成網路之前就需要考慮到的，用戶構建的網路主要是以辦公需求為主，主要是共享文件、列印機之類的需求，所以建議構建一個10/100M的交換乙太網絡就完全能夠滿足這些需求。

在接入線路方面，一般小型辦公網路環境對於流量的需求並不是很多，一般都是些獲取信息、收發電子郵件等流量比較低的應用，所以選擇目前流行的一些寬頻接入方式就已經完全夠用。

目前適合小型辦公網路使用的寬頻主要有ADSL和乙太網接入，這兩種方式用戶可以根據辦公場所的現有線路環境來進行選擇，如果有乙太網接入方式就可以直接向ISP申請服務，而如果沒有隻能申請ADSL線路接入服務。以下是北京網通這兩項的費用比較，用戶可以根據自己的預算需求來選擇。

2.3 管理和安全性因素

在小型辦公網路環境中，可管理性和安全性因素也必不可少，但相對大型網路來說要簡單的多，所以一般有條件的可以配備一名網管，而如果現有人員有對網路管理方面有經驗則不需要，一般需要的網路管理就是一些常用的升級操作，並不復雜。在安全性方面，一般就是安裝和升級防火牆，定期對網路中的病毒進行查殺的工作。

2.4 組網方法

2.4.1 內部網路：

前面我們提到，小型辦公網路可以使用10/100M的交換乙太網來組建內部網路，在這里我們需要的設備包括網路適配器和交換機這兩種設備。

網路適配器就是一般的網卡，在市場上一般的PCI網卡三十元左右就可以買到,網卡需要每台上網的計算機都必須提供，主要有PCI和PCMCIA兩種，PCI網卡用於台式機當中，而PCMCIA卡則用於筆記本電腦當中，價格相應會貴一些。

交換機設備則需要根據網路中的終端數量來進行選擇，目前市場上適合小型辦公網路使用的交換機有5口、8口、16口和24口幾種，在選擇的過程我們需要根據網路中終端數量的多少來選擇，而且在選擇時還應注意要有冗餘和日後網路升級的考慮。

2.4.2 外部網路

前面我們也提到小型辦公網路可以選擇ADSL或乙太網兩種接入方式。在這里，我們需要講解的是幾種寬頻共享上網方式。一般我們可以用以下幾種方式來共享一條寬頻線路上網：

<1>代理伺服器方式共享上網

這種方式不需要其他的投資，但需要提供一台主機用作代理上網使用，這台機器需要配備兩塊網卡，不需要如寬頻路由器等共享上網設備。缺點是如果這台機器出現故障或關機時，所有的機器都會受到影響而不能正常上網。

<2>寬頻路由器方式共享上網

這種方式需要投資購買寬頻路由器，優點是不需要過多的維護，只要打開寬頻路由器就可以隨時提供共享上網服務，缺點是寬頻路由器有可能會因為性能、病毒等種種因素造成使用網路的不正常。

3 網路規劃

本網路有兩個模塊：公司互聯網模塊與園區網模塊：如圖1。公司互聯網模塊擁有與互聯網的連接，同時也端接VPN與公共服務（DNS、HTTP、FTP、SMTP）信息流。園區模塊包含第2層交換功能與所有的用戶以及管理與內部網伺服器。關於這種設計的討論的前提是小型網路用作企業的頭端。

圖1

3.1 公司互聯網模塊

互聯網模塊為內部用戶提供了與互聯網的連接並使用戶能夠通過互聯網訪問公共伺服器上的信息，同時還為遠程地點和遠程工作人員提供了VPN訪問能力。這種模塊不適用於電子商務類型的應用。

互聯網模塊涉及的關鍵設備有：SMTP伺服器、DNS伺服器、FTP／HTTP伺服器、防火牆或防火牆路由器、第2層交換機（支持專用VLAN）：如圖2。

擁有公共地址的伺服器是最容易被攻擊的。以下是互聯網模塊潛在的威脅：未授權訪問、應用層攻擊、病毒與特洛伊馬攻擊、密碼攻擊、拒絕服務、IP電子欺騙、分組竊聽、網路偵察、信任關系利用、埠重定向。

設計指南——在小型VPN網路設計中，該模塊堪稱為極至。VPN功能被壓縮入一個機箱，但依然執行著路由選擇、NAT、IDS和防火牆功能。在確定如何實施該功能時，提及了兩種主要替代措施。第一是使用帶防火牆和VPN功能的路由器。這種選擇為小型網路帶來了極大的靈活性，因為路由器將支持在當今網路中可能是不可或缺的所有高級服務。作為一種替代措施，可使用帶VPN的專用防火牆來取代路由器。這種設置給部署造成了一些限制。首先，防火牆通常都只是乙太網，要求對相應的WAN協議進行一些轉換。在目前的環境中，大多數有線和DSL路由器/數據機都是由電信服務供應商提供的，可用於連接乙太網防火牆。如果設備要求WAN連接（如電信供應商的DSL電路），那麼，就必須使用路由器。使用專用防火牆不具備輕松配置安全性和VPN服務的優勢，當發揮防火牆功能時，可提供改進性能。無論選用哪種設備，都要考慮一些VPN的因素。請注意，路由器傾向於允許信息流通過，而防火牆的預設設置則傾向於阻止信息流通過。

從ISP的客戶邊緣路由器開始，ISP出口將限制那些超出預定閾值的次要信息流，以便減少DDoS攻擊。同時在ISP路由器的入口處，RFC1918與RFC 2827過濾功能將防止針對本地網路及專用地址的源地址電子欺騙。

在防火牆的入口，RFC1918與RFC2827將首先被用於驗證ISP的過濾功能。此外，由於零散的分組帶來了極大的安全隱患，因此防火牆將丟棄那些在互聯網上不應被視作標准信息流的零散分組。這種過濾有可能導致某些合格信息流被丟棄，但考慮到允許以上不合格的信息流通過所帶來的風險，上述情況是可以接受的。目的地為防火牆的信息流僅限於IPSec信息流和用於路由的任何必要協議。

防火牆為通過防火牆發起的會話提供了連接狀態執行操作以及詳細的過濾。擁有公共地址的伺服器通過在防火牆上使用半開放連接限制能夠防止TCP SYN洪水。從過濾的角度講，除了將公共服務區域的信息流限定到相關地址和埠外，在相反的方向上也在進行過濾。如果某個攻擊涉及到一個公共伺服器（通過規避防火牆和基於主機的IDS），那麼這個伺服器應該不會再進一步攻擊網路。為了緩解這種攻擊，具體的過濾將防止公共伺服器向其他任何地點發出任何未授權請求。例如，應該對Web伺服器進行過濾，以便使其不能自身產生請求，而只能回答來自客戶機的請求。這種設置有助於防止黑客在實施最初的攻擊後將更多的應用下載到被破壞的機器。同時還有助於防止黑客在主攻擊過程中觸發不受歡迎的會話。這種攻擊的例子是從Web伺服器生成一個xterm，再通過防火牆將其傳送到黑客的機器。此外，DMI上的專用VLAN可以防止一個被破壞的公共伺服器攻擊同一區域的其他伺服器。這種信息流甚至不能被防火牆發現，由此可以證明專用VLAN的重要性。
從主機的角度看，公共服務區域內的每個伺服器均擁有主機入侵檢測軟體，用於監控OS級的任何不良活動以及普通伺服器應用的活動（HTTP、FTP、SMTP等）。DNS主機應該只響應必要的命令，同時消除任何可能有助於黑客的網路偵察攻擊的不必要響應。這包括防止從任何地點進行zone傳輸（合格的二級DNS伺服器除外）。在郵件服務方面，防火牆在第7層過濾SMTP信息，以便只允許必要的命令到達郵件伺服器。

防火牆與防火牆路由器的安全功能中通常包括一些有限的NIDS功能。這種功能會影響設備的性能，但在您遭受攻擊的情況下卻能提供一些關於攻擊的信息。您是犧牲部分性能換取了攻擊透明度。如果不使用IDS，許多攻擊將被放棄，但監控站不會知道發生了什麼具體攻擊。VPN連通性是通過防火牆或防火牆／路由器實現的。遠程地點用預共享的密鑰進行彼此驗證，遠程用戶則通過園區模塊中的訪問控制伺服器得到驗證。

與上述設計不同的設計將是為了提高網路容量或將各種不同的安全功能分配給不同的設備。這樣這種設計就越來越象本文後面要討論的中型網路設計。在完全採用中型網路設計之前可以先添加專用的遠程訪問VPN集中器，以提高遠程用戶群的可管理性。

圖2

3.2 園區網模塊

園區網模塊包含最終用戶工作站、公司內部網伺服器、管理伺服器和支持這些設備所需的相關第2層基礎設施：如圖3。在小型網路設計中，這種第2層功能已被並入單個交換機中。

設計指南——園區交換機的主要功能是交換生產與管理信息流並為公司和管理伺服器以及用戶提供連接。在交換機內部可以實施VLAN，以減少設備間的信任關系利用攻擊。例如，公司用戶可能需要與公司伺服器通信但彼此之間可能沒有必要通信。
由於園區模塊中沒有第3層服務，因此必須注意，由於內部網路的開放性，這種設計越來越注重應用和主機的安全性。因此，園區中的關鍵系統上也安裝了HIDS，包括公司伺服器與管理系統。

在管理站與網路其餘部分之間設置一個小型過濾路由器或防火牆能夠提高總體安全性。這種設置將使管理流量只沿著管理員認為必要的方向傳輸。如果機構內部的信任水平高，那麼可以取消HIDS（盡管我們不建議這樣做）。

圖3

3.3 分支機構與獨立式配置

在分支機構中不要求配備遠程訪問VPN功能，因為公司總部通常會提供這種功能。此外，管理主機一般位於中央地點，這種設置要求管理信息流穿過地點到地點VPN連接回到公司總部。

4 網路實現

4.1 應用BOSSON軟體畫出公司小型辦公網路拓補圖

網路拓補圖

4.2 配置路由器

相關程序如下：

配置路由器基本參數

通過 Boson NetSim 中的工具欄按鈕「 eRouters」選擇「 R1」並按照下面的 過程進行路由器基本參數的配置

Router>enable

Router#conf t

Router(config)#host ISP

ISP (config)#ena se c1

ISP (config)#line vty 0 4

ISP (config-line)#pass c2

ISP (config-line)#int eth 0

ISP (config-if)#ip add 192.168.1.1 255.255.255.0

ISP (config-if)#no shut

ISP (config-if)#int se 0

ISP (config-if)#ip add 10.0.0.1 255.0.0.0

ISP (config-if)#clock rate 64000

ISP (config-if)#no shut

ISP (config-if)#end

ISP # run start

通過 Boson NetSim 中的工具欄按鈕「 eRouters」選擇「 R2」並按照下面的 過程進行路由器基本參數的配置：

Router>enable

Router#conf t

Router(config)#host R2

R2(config)#ena se c1

R2(config)#line vty 0 4

R2(config-line)#pass c2

R2(config-line)#int eth 0

R2(config-if)#ip add 192.168.2.1 255.255.255.0

R2(config-if)#no shut

R2(config-if)#int se 0

R2(config-if)#ip add 10.0.0.2 255.0.0.0

R2(config-if)#no shut

R2(config-if)#end

R2# run start

配置、測試靜態路由選擇路由器 R1 並配置相關的靜態路由信息，如下所示：

ISP #conf t

ISP (config)#ip route 192.168.2.0 255.255.255.0 10.0.0.2

ISP (config)#end

ISP # run start

選擇路由器 R2 並配置相關的靜態路由信息，如下所示：

R2#conf t

R2(config)#ip route 192.168.1.0 255.255.255.0 10.0.0.1

R2(config)#end

R2# run start

選擇路由器 R1 並按照下面的步驟測試靜態路由配置結果：

ISP #show ip route

選擇路由器 R2 並按照下面的步驟測試靜態路由配置結果：

R2#show ip route

4.3 配置交換機

相關程序如下：

Switch>enable

Switch#conf t

Switch(config)#host SW1

SW1(config)#ena se c1

SW1(config)#line vty 0 15

SW1(config-line)#pass c2

SW1(config-line)#int fe 0/1

SW1(config-if)#switchport mode access

SW1(config-if)#int fe 0/2

SW1(config-if)#switchport mode access

SW1(config-if)#int vlan 1

SW1(config-if)#ip add 192.168.0.1 255.255.255.0

SW1(config-if)#no shut

SW1(config-if)#end

SW1# run start

通過 Boson NetSim 中的工具欄按鈕 「 eSwitches」選 擇「 SW2」 並 按照下面 的過程進行交換機基本參數的配置：

Switch>enable

Switch#conf t

Switch(config)#host SW2

SW2(config)#ena se c1

SW2(config)#line vty 0 15

SW2(config-line)#pass c2

SW2(config-line)#int fe 0/1

SW2(config-if)#switchport mode access

SW2(config-if)#int fe 0/2

SW2(config-if)#switchport mode access

SW2(config-if)#int vlan 1

SW2(config-if)#ip add 192.168.0.2 255.255.255.0

SW2(config-if)#no shut

SW2(config-if)#end

SW2# run start

通過 Boson NetSim 中的工具欄按鈕「 eStations」選 擇「 Host 1」並按照下面 的步驟配置 Host 1 的相關參數

4.4 給相應網路PC配置IP地址

通過 Boson NetSim 中的工具欄按鈕「 eStations」選 擇「 Host 1」並按照下面 的步驟配置 Host 1 的相關參數：

鍵入「回車鍵」繼續。

在 Host 1 的命令提示符下鍵入 ipconfig /ip 192.168.0.11 為 Host 1 設置 IP 地址、子網掩 碼。

在 Host 2 的命令提示符下鍵入 ipconfig /ip 192.168.0.22 為 Host 2 設置 IP 地址、子網掩 碼。

在 Host 3 的命令提示符下鍵入 ipconfig /ip 192.168.0.33 為 Host 3 設置 IP 地址、子網掩 碼。

在 Host 4 的命令提示符下鍵入 ipconfig /ip 192.168.0.44 為 Host 4 設置 IP 地址、子網掩 碼。

4.5 檢測網路暢通性

在 Host 1 的命令提示符下鍵入 ping 192.168.0.1 測試到交換機 SW1 的管理 IP 的連通性。

在 Host 1 的命令提示符下鍵入 ping 192.168.0.2 測試到交換機 SW2 的管理 IP 的連通性。

在 Host 1 的命令提示符下鍵入 ping 192.168.0.22 測試到 PC 機 Host 2 的連通性。

在 Host 1 的命令提示符下鍵入 ping 192.168.0.33 測試到 PC 機 Host 3 的連通性。 在 Host 1 的命令提示符下鍵入 ping 192.168.0.44 測試到 PC 機 Host 4 的連通性。

5 結論

小型辦公網路環境一般是的應用需求是作為辦公用途，所以在組建過程中，一般以辦公應用為主，主要實現的功能就是共享文件、列印機等應用。

6 心得體會

通過本次計算機網路課程設計，我更加充分的理解了課本上的知識，並能夠加以擴展，從而應用於實踐當中，在BOSON軟體中虛擬實現一個小型辦公網路，畫出網路簡單模塊拓補圖，對其內部器件進行相應的正確配置。達到網路暢通、功能齊全、安全可靠的目的，並符合公司對網路的要求水平。

通過本網路的設計，我基本掌握了路由器、交換機、網路適配器以及SMTP伺服器、DNS伺服器、FTP／HTTP伺服器的用途及配置維護方法，了解了防火牆對網路的重要性，從而對我的網路知識有了更深一步的加深與延拓，是今後學習和工作中的一次寶貴經驗。

7 參考文獻：

[1]《計算機網路》（第四版） 謝希仁編 大連理工大學出版社 2004-2

[2] Cisco Networking Academy Program《思科網路技術學院教程網路安全基礎》

人民郵電出版社 2005年4月

[3] Cisco Networking Academy Program

《思科網路技術學院教程CCNP1高級路由（第二版）》

人民郵電出版社 2005年3月

[4] Cisco Networking Academy Program

《思科網路技術學院教程CCNP 2遠程接入（第二版）》

人民郵電出版社 2005年2月

[5]圓網—無線區域網安全技術

B. 吉林大學網路中心的機構設置

主任 王德民
負責網路中心全面工作；主管研發部、南嶺校區用戶部
副主任 劉群
主管辦公室、工程部、前衛校區用戶部、南湖校區用戶部
副主任 玄光哲
主管技術部、信息部、朝陽校區用戶部、新民校區用戶部
辦公室 劉 昕 范清源 黃靜雪
日常事務協調處理
研發部 王 喆
程序維護與開發
信息部 李 紅 萬 吉 孔垂禹
網路信息平台管理與維護
技術部 吳 旗 於洪梅 範文波 張宗升
核心設備調試與維護
工程部 王利豐 王勇剛 常 亮
網路工程設計與施工
用戶部
前衛南區 薛秀華 範文波(兼)
孔垂禹(兼)黃靜雪(兼) 常 亮(兼) 李仲緣 姜山
前衛北區 張遠明 韓征服 楊玉芬
南嶺校區 符太東 王 喆(兼) 李明明
新民校區 栗 強 王海強 趙甪
朝陽校區 李文印 周 斌
南湖校區 李天博 李振建 楊秀華
用戶管理、網路設備運行維護