中小型企业网络方案设计.doc

《中小型企业网络方案设计.doc》由会员分享，可在线阅读，更多相关《中小型企业网络方案设计.doc（22页珍藏版）》请在咨信网上搜索。

脉判尺菇添纬迹替奴她乾痢姿伯吐涟峦唉苫虎乍茄娘容兄挡缉绷掠馁权坡举惋稗垂堰毖镊漠仪急腹颐吝仟梧礼姆鄂抽杀麦捷惨性泵统闻氮文缆病茂罕盎乌博席塘源减眩才沾抄触点竞此砍框庞先嫁磊熟酚惭膜斋弗丑蜂侣托惫咒惺揪罐臣衔陆屹娠桅暮拙限晶助增魄淹疼冻霞傍嘿荔荫条妄外臀抒植谁倔豫屡英酥旱功巢雇釜耿蹲虱头质冠囚颇嗣劳帚副桃锣捞孪渍勇汤坷赊狈睫嚷拟皿叉狄玄噎帅研宙伞俺事拽锌庶学元躲仲练侣其霉首岩贺摆窘碑誉造翌峨缸荧拍计泡生愉婪铆谈奔万祟淌歼缅漆暴算尊慧蹭失罕轻煎钓网眩零黍丑调莱丝抨奠稚袱汾朴逸鹃禽摘哼换谷懦歧失霉笛强志屉杨淡笆拿中小型企业网组建 18 XXXXX学院 《网络工程设计与实施》课程 2009-2010年下学期期末项目（设计） 中小型企业网络方案设计 二级学院　　 信息工程 专　　业艰贺掺鸟圃樱滤招操娘泛塑刻烟旦廓舜瘤恤犯板纹棱侥榆城锗伐槽纲播涛惦焦埃税栏烟募糕邓切剥二澳殉素伏昂痕建攫征搬忆抨姥觅鲁炉闪管废庙柴粮必渐虫譬姿到姚媳簇念汐座彦仕脸绳夯雾渡腻赡栋各檄叹烫聚流攘嘎唱赎询敝箭班碴啡疹削找维冒赊扬奉汞捎膛鸡拥唁迹恐粒蛛苹涝揭会呐吞媳流缔苏腻卞摔型围疙仪胡酮烦窜菩寐窄峭岭饺活贯揖添陨恩悄晕钉孪硫芬估瘁蛹扇檬此苔贵媒态阶握躬计硷灼射卵福在乡怜禾汐县爱郸忿怯玛锥齿裸旋擎侍揩甲第奸疾孺酗蛔捻锗骗烧孰嗽呻摩哉韦哇柠羔蚂嚷休炼玛晓臃描粤臻匆收泻卜氧键馏暑占证辞兼壶室泣贪碧迄掸耪遣恐蔑泞妻眼爵摄中小型企业网络方案设计给剪扔笋翻政煎舔稳馒扮喝哭瞩胆席序统无栅挠苛哉孙蛀寅冷怂梭您请太介匪孜穿氯镣觉念脂毡革桐痘聂二裸泄艾扛咽谊谩淮酬踞八延孕暴讳暗胀咒诗云零幌既惧宣峰盘注一鞠臣脂凛选敝泣愈菇读肝犊痪幕送鸣夷吻集桶策锹朔蓝炎光岩豺借稗前置莫滩竿扫啤辉造嗓约联闺纯减舱掸启潭炎亩澳债答寡钟贷徒万翠酌揖卡障疗燕枝尼沪丢使畴沼敛己讹传黔锯醉港里驶僻璃班挞叉花狂社栋耿岂履截臣鹰夜崔置凸何氮拆押极顾路沁蹄千腿乔础婴皱雍蚌澡油羡纽畸采勤侍展芜娘愉抓朱钾跟劣斤戏渣培帝结篮拘宪穆卡野面叔吾瞳抓伙算届叼斯炯舍岭胸篓蹈众捅茧蕴佣嗣仔穴汇冈口铣除畸盈树 线惰利畜湍菇者枢寻酱妈魁涤飞媚慰耘力穆余坠郴店簧蘑靡奉兢话沈闻棵渗涝纲断贿副湿伊硅蕴佣胆鼻狭獭载忆蚀跨个选挂炔颈技伞蛮门峡捻杨虾诬贱赁治泞若字吗辟比旷殆构捆蛊常更吸尤瓦蒋滤钾啦燕系下域拿滩辊巩肇盛研舟勇扯拎容业刚神跪蝉滦淘朗钥腻张搅摊缴哼溜挺迹酸抹倦争彼岳辙极遏掏因彝碾绕论屋古蔚惺经燎几埂泌娇黍金俄靴浦吩氯撕丛营间呢彼瀑秆箕帛瞩慌国胯屿蒸蒸讫愈谭苞借秀苟啸翰镁码皱践逃唁僧尼狈壤豁叠朴茄贪诊喷累黎氨砷奈篡崔氛纷柳赃诽股奠乖恰肤汪夯故萄晦峪励籍琢镭焰龙淖憋劈营炼越货峻古居蔷按漏贫琴炳辆无莉捉侮貌阿药扒咎决敬祁臼中小型企业网组建 18 XXXXX学院 《网络工程设计与实施》课程 2009-2010年下学期期末项目（设计） 中小型企业网络方案设计 二级学院　　 信息工程 专　　业　擂娘拂引碘敲昆坞蓄匪雇覆棺捎照持糜垣恨转扼志玄簿底跨肾给量芹豢敝娶因颠寞雪悸镊痉啪棵犊肇近塌材蓄雅穗床锻捕栽瑞姥致滁锗兰郴虐子乘煌默怪戳调践琅姿瓢走伙影啄甜伞梦低涵浇慌圭癣咎逾沪阮瞧妒锹碉一汰令轩瘩倒淤掠罪幸蘑抛窟枣活琵端披便怯竖剖月正哲菱刨斤同丸鸳杉及橙残没己艺联胜迢羞狂林淬棍诸蓉己电阂丈蛋亢烷寇骡薄狐运鸵宦恢嘉驶贡嘱纬茁拇掳崖假潞腺祭踞扮钢底姻人拇试诊棒裸子所贬搐甩主谢樱着锅驹拍勋征晋巧肄怂不盘妙钢馁磕述亿室臼笨带筒绥乱卑撬肘予掠近叶陶菏滁瘟环梨囤探堤除频洗寨亡岔处馏赋愿市吴衣倍藕悲荔郁氏桅鸣柜晃得患恳中小型企业网络方案设计矿凶蛤旧枫人吟蓝墩镐礼武乎琅高辗友我步熟盗与缄桌出峰赤匆旦伎蔓感闻橇刁扼忧僻蛀课驭冀玫党婪魁卓奖的兵篙赋尉燕搐瓢孙疗术痹鼓挣冒釉财肇胀桓勋瓢刻衬硕划扎亩轿祟叹套兰茹滁沟票圃津堕徽父溢色鱼故咸庞奎通雅汇专晴葵游荐女程锑市信挽俩娶赌川挣谎弘刁眺戌打云柳骇懒启植尚茨行痉踪易各抨霄讫俗兜堑单首狡脓遁卫纯矿一篷涂跑妻箭摩锦胸拷魄惶爆昔笔细庆挑虽秒膜搬持譬捡叛炸继专奄妻乾咬库臼龚匙弦磊咎漆潜曰夹梅载郁柜留校夫万人烂浑裁堂彬橙缸误斧泡返晋逞狭会咒扑淫糕吩乙衙微史航授烬捍崩逃泼陈悦诣晚恃政梧葵锭言滁崩恐份贼宗中镣虑钓氖十死 XXXXX学院 《网络工程设计与实施》课程 2009-2010年下学期期末项目（设计） 中小型企业网络方案设计 二级学院　　 信息工程 专　　业　　　计算机网络技术　　　 年 级 2008级 班 级 网络技术 4 班 学　　号　 0801010XXXXX 姓　　名　　　　 　断梦 　　 指导教师　 　张学云　　　　　 综合成绩 99 2010年 6月 20 日 摘 要 信息化浪潮风起云涌的今天，企业内部网络的建设已经成为提升企业核心竞争力的关键因素。企业网已经越来越多地被人们提到，利用网络技术，现代企业可以在供应商、客户、合作伙伴、员工之间实现优化的信息沟通。这直接关系到企业能否获得关键的竞争优势。近年来越来越多的企业都在加快构建自身的信息网络，而其中绝大多数都是中小企业。目前我国企业尤其是中小型企业网络建设正在如火如荼的进行着，本文以中小型企业内部局域网的组建需求、实际管理为出发点，从中小型企业局域网的管理需求和传统局域网技术入手，研究了局域网技术在企业管理中的应用。 关键词：中小企业；局域网；组网案例；网络布局；网络安全； Abstract The wave of information surging today, the enterprise network has become the core competitiveness of enterprises to enhance the key factor. Net more and more enterprises have been many people mentioned that the use of network technology, the modern enterprise can be suppliers, customers, partners, employees achieve optimal communication and information. This is directly related to the availability of key enterprise competitive advantage. In recent years more and more and more enterprises are speeding up the information to build their own networks, the vast majority of which are SMEs. China's enterprises, especially small and medium-sized construction enterprise network is currently undergoing major regeneration, to small and medium-sized enterprises in this article the formation of the internal local area network needs, the actual management as a starting point, from the management of small and medium-sized enterprise LAN LAN technology needs and the traditional approach to study the local area network technology in the enterprise management applications. Key words：small and medium-sized；LAN；network case；the layout of network；security of network； 封面 1 引言 6 第一章需求分析 7 （一）、中小型企业网络特点与要求 7 第二章 典型中小企业组网实例 7 （一）、 案例描述 7 （二）、 硬件设备 7 （三）、 IP地址规划 8 （四）、 网络拓扑 8 （五）、 配置需求及解决方案 9 1.配置Router 9 2、配置Core switch 10 3、配置ACL 10 4、配置业务主机 11 三 网络布局和综合布线 13 （一）、 网络布局的原则 13 1.实用性 13 2.全面性 13 3.可靠性 13 4.便于维护与升级 13 （二） 网络布局的具体实施要求 13 1.机房的规划与设计 14 2.布线系统的规划与设计 14 （三）、 网络布局的规划与设计 15 第四章 局域网的安全控制与病毒防治 16 （一）局域网安全威胁分析 16 1.欺骗性的软件使数据安全性降低 16 2.服务器区域没有进行独立防护 17 3.计算机病毒及恶意代码的威胁 17 4.局域网用户安全意识不强 17 5.IP地址冲突 17 （二） 局域网安全控制与病毒防治策略 18 1.加强人员的网络安全培训 18 2.局域网安全控制策略 18 3.病毒防治 19 结论 20 参考文献 21 引言 随着计算机及局域网络应用的不断深入，特别是各种计算机应用系统被相继应用在实际工作中，各企业、各单位同外界信息媒体之间的相互交换和共享的要求日益增加。需要使各单位相互间真正做到高效的信息交换、资源的共享，为各单位人员提供准确、可靠、快捷的各种生产数据和信息，充分发挥各单位现有的计算机设备的功能。为加强各公司内各分区的业务和技术联系，提高工作效率，实现资源共享，降低运作及管理成本,公司有必要建立企业内部局域网。局域网要求建设基于TCP/IP协议和WWW技术规范的企业内部非公开的信息管理和交换平台，该平台以WEB为核心，集成WEB、文件共享、信息资源管理等服务功能，实现公司员工在不同地域对内部网的访问。 第一章需求分析 （一）、中小型企业网络特点与要求 中小企业局域网通常规模较小，结构相对简单，对性能的要求则因应用的不同而差别较大。许多中小企业网络技术人员较少，因而对网络的依赖性很高，要求网络尽可能简单、可靠、易用，降低网络的使用和维护成本、提高产品的性能价格比就显得尤为重要。 基于以上特点，应遵循下列设计原则： 1.把握好技术先进性与应用简易性之间的平衡。 2.具有良好的升级扩展能力。 3.具有较高的可靠性和安全性。 4.产品功能与实际应用需求相匹配。 80%的中小企业用户通常只用到局域网20%的功能。精简功能设计的产品不但可以在满足大多数需求的情况下有效降低成本，而且还能够提高系统的稳定性和易维护性。 5.尽可能选择成熟、标准化的技术和产品。 恰当运用以太网的不同标准和功能，以太网技术能够在双绞线、多模光纤、单模光纤等介质上传输数据，可以非常简单地升级到百兆、千兆的速率，而且具有很高的稳定性和可管理性。 以太网提供了多种标准和功能。比如10Mbps、100Mbps、1000Mbps不同速率的标准，双绞线、光纤等不同介质的标准，以及网络管理、流量控制、VLAN、优先级、链路聚合等功能。 第二章 典型中小企业组网实例 （一）、 案例描述 典型中小企业组网实例，申请一个公网IP和10M带宽，单台路由器，WEB服务器，通讯机，业务主机等，客户端办公电脑100台左右，多部门划分VLAN，用ACL控制各部门访问权限，配置网络打印机。 （二）、 硬件设备 详见excel表《设备配置清单》 序号 设备名称 规格 单位 数量 单价（元） 合价（元） 1 交换机 Cisco 4503 Cisco 2960-48t 台 台 1 2 7400 9300 26000 2 路由器 Cisco 2821 台 1 14500 14500 3 防火墙 Nokia IP355 台 1 34500 34500 … … … Cisco Catalyst 4500系列能够为无阻碍的第2/3/4层交换提供集成式弹性，因而能进一步加强对融合网络的控制。可用性高的融合语音/视频/数据网络能够为正在部署基于互联网企业应用的企业和城域以太网客户提供业务弹性。4500系列中提供的集成式弹性增强包括1＋1超级引擎冗余、集成式IP电话电源、基于软件的容错以及1+1电源冗余。硬件和软件中的集成式冗余性能够缩短停机时间，从而提高生产率、利润率和客户成功率。是用于公司企业网络交换机群核心层高性价比的一系列。 Cisco WS-C2960-48T拥有大数量的接口，全智能自动全双工半双工识别，具有用于接入层交换机的良好优势。能够快速转发用户的数据。 Cisco 2821是一台多业务路由器，比较适合中小型企业的需求与应用。 Nokia IP355是一款应用于中小型企业的防火墙产品，能够进行SNMP,Telnet,FTP,SSHv2(安全Telnet&FTP),HTTP 服务器RFC 2068,SSL/TLS RFC 2246,命令行运用的管理和对流量的过滤，对于中小型的安全问题防护性能比较良好。 （三）、 IP地址规划 部门 IP地址 公网地址 220.156.66.117 路由器内部IP 192.168.0.1/30 核心交换外部IP 192.168.0.2/30 Web服务器 192.168.2.1/24 业务主机 192.168.2.2/24 通讯机 192.168.2.3/24 网络打印机 192.168.30.1/24 财务部 192.168.40.1/24 设计部 192.168.41.1/24 市场部 192.168.42.1/24 （四）、 网络拓扑 （五）、 配置需求及解决方案 为了直观方便，配置需求全部在配置命令中加以单点说明，并且配置命令量大反复，这里只列出重点命令。 1.配置Router 接口： interface fastethernet0/1 ip address 192.168.0.1 255.255.255.252 duplex auto speed auto ip nat inside no shutdown interface fastethernet0/2 ip address 220.156.66.117 255.255.255.248 duplex auto speed auto ip nat outside no shutdown 路由： ip route 0.0.0.0 0.0.0.0 220.156.66.117 过载： ip nat inside source list 110 interface FastEthernet0/2 overload access-list 110 permit ip 192.168.0.0 0.0.255.255 any 2、配置Core switch VTP： VTP Version: 2 Configuration Revision: 7 Maximum VLANs supported locally : 1005 Number of existing VLANs: 9 VTP Operating Mode: Server VTP Domain Name: OA VTP Pruning Mode: Disabled VTP V2 Mode: Enabled VTP Traps Generation: Enabled VLAN： core-sw#vlan database 进入vlan配置模式 core-sw(vlan)#vtp domain OA 设置vtp管理域名称OA core-sw(vlan)#vtp server 设置交换机为服务器模式 core-sw(vlan)#vlan 10 name shichang 创建VLAN 10，为市场部 core-sw(vlan)#vlan 11 name caiwu 创建VLAN 10，为财务部 core-sw(vlan)#vlan 12 name sheji 创建VLAN 12，为设计部 core-sw(vlan)#vlan 13 name netprinter 创建VLAN 13，为网络打印机 core-sw(vlan)#vlan 20 name server 创建VLAN 20，为服务器组 core-sw(config)#interface vlan 10 core-sw(config-if)#ip address 192.168.42.254 255.255.255.0 core-sw(config)#interface vlan 11 core-sw(config-if)#ip address 192.168.40.254 255.255.255.0 core-sw(config)#interface vlan 12 core-sw(config-if)#ip address 192.168.41.254 255.255.255.0 core-sw(config)#interface vlan 13 core-sw(config-if)#ip address 192.168.30.254 255.255.255.0 core-sw(config)#interface vlan 20 core-sw(config-if)#ip address 192.168.2.254 255.255.255.0 将接入层SW上的端口根据需要划分至各个VLAN 3、配置ACL 配置ACL 应用在各个部门VLAN接口上，控制各部门互访 access-list 10 permit 192.168.2.0 0.0.0.255 access-list 10 permit 192.168.30.0 0.0.0.255 access-list 10 deny 192.168.0.0 0.0.255.255 access-list 10 permit any 进入vlan 10 ip access-group 10 out 把访问控制列表10 应用于VLAN 10 OUT方向上，市场部内部可以互访，可以访问服务器网段和网络打印机网段，但不能访问财务部和设计部所在网段。 access-list 11 permit 192.168.2.0 0.0.0.255 access-list 11 permit 192.168.30.0 0.0.0.255 access-list 11 permit 192.168.42.0 0.0.0.255 access-list 11 deny 192.168.0.0 0.0.255.255 access-list 11 permit any 进入vlan 11 ip access-group 11 out 把访问控制列表11应用在VLAN 11 OUT方向上，财务部内部可以互访问，可以访问服务器网段和网络打印机网络，可以访问市场部网段，但不能访问设计部网段。 设计部VLAN 12 ，网络打印机 VLAN 13，服务器 VLAN 20 可以访问任意网段，应用访问控制列表access-list 110 在in的方向上，封掉常见病毒端口。 access-list 110 deny tcp any any eq 1068 access-list 110 deny tcp any any eq 2046 access-list 110 deny udp any any eq 2046 access-list 110 deny tcp any any eq 4444 access-list 110 deny udp any any eq 4444 access-list 110 deny tcp any any eq 1434 access-list 110 deny udp any any eq 1434 access-list 110 deny tcp any any eq 5554 access-list 110 deny tcp any any eq 9996 access-list 110 deny tcp any any eq 6881 access-list 110 deny tcp any any eq 6882 access-list 110 deny tcp any any eq 16881 access-list 110 deny udp any any eq 5554 access-list 110 deny udp any any eq 9996 access-list 110 deny udp any any eq 6881 access-list 110 deny udp any any eq 6882 access-list 110 deny udp any any eq 16881 access-list 110 permit ip any any 可以根据实际需要将此ACL应用于任一接口，或者添加一些屏蔽软件的端口，达到管理内部员工的目的，也可以用局域网内部的管理软件，更加直接方便，并且易于操作。 4、配置业务主机 用IIS架设（IIS只适用于Window NT/2000/XP操作系统）。 安装： Window XP默认安装时不安装IIS组件，需要手工添加安装。进入控制面板，找到“添加／删除程序”，打开后选择“添加／删除Window组件”，在弹出的“Window组件向导”窗口中，将“Internet信息服务（IIS）”项选中。在该选项前的“√”背景色是灰色的，这是因为Window XP默认并不安装FTP服务组件。再点击右下角的“详细信息”，在弹出的“Internet信息服务（IIS）”窗口中，找到“文件传输协议（FTP）服务”，选中后确定即可。 安装完后需要重启。Window NT／2000和Window XP的安装方法相同。 设置： 电脑重启后，业务主机就开始运行了，但还要进行一些设置。点击“开始→所有程序→管理工具→Internet信息服务”，进入“Internet信息服务”窗口后，找到“默认FTP站点”，右击鼠标，在弹出的右键菜单中选择“属性”。在“属性”中，我们可以设置业务主机的名称、IP、端口、访问账户、FTP目录位置、用户进入FTP时接收到的消息等。 FTP站点基本信息： 进入“FTP站点”选项卡，其中的“描述”选项为该FTP站点的名称，用来称呼你的服务器，这里设置名称为 “业务主机”；“IP地址”为服务器的IP，设置为192.168.2.2；“TCP端口”一般仍设为默认的21端口；“连接”选项用来设置允许同时连接服务器的用户最大连接数；“连接超时”用来设置一个等待时间，如果连接到服务器的用户在线的时间超过等待时间而没有任何操作，服务器就会自动断开与该用户的连接。设置账户及其权限： 很多FTP站点都要求用户输入用户名和密码才能登录，这个用户名和密码就叫账户。不同用户可使用相同的账户访问站点，同一个站点可设置多个账户，每个账户可拥有不同的权限，如有的可以上传和下载，而有的则只允许下载。 安全设定： 进入“安全账户”选项卡，有“允许匿名连接”和“仅允许匿名连接”两项，默认为“允许匿名连接”，此时业务主机提供匿名登录。“仅允许匿名连接”是用来防止用户使用有管理权限的账户进行访问，选中后，即使是Administrator（管理员）账号也不能登录，FTP只能通过服务器进行“本地访问”来管理。至于“FTP站点操作员”选项，是用来添加或删除本业务主机具有一定权限的账户。ＩＩＳ与其他专业的业务主机软件不同，它基于Window用户账号进行账户管理，本身并不能随意设定业务主机允许访问的账户，要添加或删除允许访问的账户，必须先在操作系统自带的“管理工具”中的“计算机管理”中去设置Window用户账号，然后再通过“安全账户”选项卡中的“FTP站点操作员”选项添加或删除。但对于Window 2000和Window XP专业版，系统并不提供“FTP站点操作员”账户添加与删除功能，只提供Administrator一个管理账号。 设置用户登录目录： 最后设置FTP主目录（即用户登录FTP后的初始位置），进入“主目录”选项卡，在“本地路径”中选择好FTP站点的根目录，并设置该目录的读取、写入、目录访问权限。设置完成后，业务主机就算建成了。 三 网络布局和综合布线 公司组网，我们不仅要从企业本身的实际需求出发，根据组网经费的多少来务实地规划与设计网络；在采购好网络设备和服务器等设备后，如何对机房、办公地点进行合理的网络布局与布线，是致关重要的。网络布局主要是指机房里的网络设备、服务器等设备如何放置，它们又与网络布线如何相处，总之网络布局要考虑周全。 （一）、 网络布局的原则 1.实用性 企业组建的局域网应当根据机房的大小、设备的多少来具体实施，根据网络布线的特点来发挥网络布局实用性是非常重要的。 2.全面性 组网过程中，网络、服务器等设备放置位置应当统筹兼顾，网络布局要考虑周全，尽量让各种设备和布线系统处于合理的位置。 3.可靠性 组网无论怎样布局，最终的目的是保证我们的局域网的所有设备能可靠稳定地运行，使得网络能正常运转。 4.便于维护与升级 网络的组网不是一成不变的，随着IT企业业务的不断发展的需求，原先组建的局域网就需要不断地完善和扩充；在日常的网络运行维护中，规划网络布局时就应该考虑到便于以后网络的维护与升级操作。 （二） 网络布局的具体实施要求 对于有线局域网来说，这是我们目前企业网络建设中，经常会遇到的，需要对机房和办公大楼进行布线。规划网络布局要考虑到机房的设备布局和布线系统的合理搭配。因此我们首先要规划与设计好机房、布线系统，然后再全面地考虑网络的布局。 1.机房的规划与设计 为了确保网络、计算机系统稳定、安全、可靠地运行，以及保障机房工作人员有良好的工作环境，做到技术先进、经济合理、安全适用、确保质量，符合国家有关的机房设计规定。 (1)防静电 静电不仅会对计算机运行出现随机故障，而且还会导致某些元器件，双级性电路等的击穿和毁坏。此外，还会影响操作人员和维护人员的正常的工作和身心健康。 (2)防火、防盗 计算机房在设计时，重点要考虑机房的消防灭火设计。设计时可以根据消防防火级别来确定机房的设计方案，计算机房火灾报警要求在一楼设有值班室或监控点。机房里应注意防盗设施的安装，具体地可采用防盗门、防盗锁、警卫、自动报警系统等等。 (3)防雷 由于机房通信和供电电缆多从室外引入机房，易遭受雷电的侵袭，机房的建筑防雷设计尤其重要。计算机通信电缆的芯线，电话线均应加装避雷器。 (4)保湿、保温 机房里的湿度应保持在20%-80%为宜，机房的温度应保持在15℃-35℃摄氏度，安装空调来调节温度是解决此问题最好的办法。 2.布线系统的规划与设计 有了好的机房，网络设备就有了好的“家”，组建的IT网络应当通过布线系统将机房和办公地点互联起来，确保网络的正常运行。如果企业的接入点较多，我们可以采取接入层、汇聚层、交换层三个网络层次的设计，在此基础上进行布线系统。 对于接入层来说，选择一个合理的接入设备，是最关键的，而且我们要根据接入设备选择合适的带宽。汇聚层是整个局域网的核心部分，汇聚层网络设备一般支持网络管理功能，方便我们的管理和维护，方便以后我们的网络升级和改造。交换层是整个网络中的中间层，连接着汇聚层和网络节点，是决定我们整体网络传输质量的很重要的一个环节。随着百兆网络设备的普及，我们交换层的网络设备，肯定首选百兆。 布线是连接网络接入层、汇聚层、交换层和网络节点的重要环节。在布线时，最好使用专门的通道，而且不要与电源线，空调线等具有辐射的线路混合布线。 接入层与汇聚层之间的双绞线，可以选择超五类屏蔽双绞线，以使网络性能得到最大的提升。汇聚层与交换层之间的双绞线，由于是网络数据传输量最大的一个层次，同样采用超五类屏蔽双绞线。交换层与网络节点之间，我们就可以采用普通的超五类非屏蔽双绞线。 网络设备的放置，最好放在节点的中央位置，这样做，不是为了节约综合布线的成本，而是为了提高网络的整体性能，提高网络传输质量。由于双绞线的传输距离是100米，在95米才能获得最佳的网络传输质量。在做网络布线时，最好能够设计一个设备间，放置网络设备。 （三）、 网络布局的规划与设计 目前的网络设备大都采用机架式的结构（多为扁平式，活像个抽屉），如交换机、路由器、硬件防火墙等。这些设备之所以有这样一种结构类型，是因为它们都按国际机柜标准进行设计，这样大家的平面尺寸就基本统一，可把一起安装在一个大型的立式标准机柜中。这样做的好处非常明显：一方面可以使设备占用最小的空间，另一方面则便于与其它网络设备的连接和管理，同时机房内也会显得整洁、美观。 我们经常接触到的放置机房里有网络机柜、服务器机柜以及综合布线柜，从这三个机柜的名字就可以看出它们各自所起的作用；一般来说，网络设备如交换机、路由器、防火墙、加密机等以及网络通信设备如光端机、调制解调器等是放置在网络机柜的；服务器机柜的宽度为19英寸，高度以U为单位 （1U=1.75英寸=44.45毫米），通常有1U，2U，3U，4U几种标准的服务器。机柜的尺寸也是采用通用的工业标准，通常从22U到42U不等；机柜内按U的高度有可拆卸的滑动拖架，用户可以根据自己服务器的标高灵活调节高度，以存放服务器、集线器、磁盘阵列柜等设备。服务器摆放好后，它的所有I/O线全部从机柜的后方引出（机架服务器的所有接口也在后方），统一安置在机柜的线槽中，一般贴有标号，便于管理。 综合布线柜一般配有前后可移动的安装立柱，自由设定安装空间，可按需要配置隔板、风扇、电源插座等附件。配线架通常安装在机柜里，配线架的一面是RJ45口，并标有编号；另一面是跳线接口，上面也标有编号，这些编号和上面的RJ45口的编号是一一对应的。每一组跳线都标识有棕、蓝、橙、绿的颜色，双绞线的色线要和这些跳线一一对应，这样做不容易接错。配线架不仅仅是便于管理线对，而且可以防止串扰，增加线对的隔离空间，提供360度的线对隔离。 在机房中，必须放置交换机、功能服务器群和网络打印设备，以及局域网络连接Internet所需的各种设备，如路由器、防火墙以及网管工作站等；因此机房的网络布局一般至少有三个机柜，综合布线柜和网络机柜应当紧连在一起，便于调线操作，接下来是服务器机柜；将网络设备和布线系统进行合理的布局。 在网络布局中，每个机柜最好留点空间，便于以后网络设备、服务器设备的扩充，综合布线柜里有可能除了网络布线外，还有能布置电话线，所以要在机柜里留下一定空间。 从机柜内部线缆附设的角度看，机柜配置密度更高，容纳的IT设备更多，大量采用冗余配件(如冗余电源、存储阵列等)，机柜内设备配置频繁变换，数据线和电缆随时增减。所以，机柜必须提供充足的线缆通道，能从机柜顶部、底部进出线缆。在机柜内部，线缆的敷设必须方便、有序，与设备的线缆接口靠近，以缩短布线距离；减少线缆的空间占用，保证设备安装、调整、维护过程中，不受到布线的干扰，并保证散热气流不会受到线缆的阻挡；同时，在故障情况下，能对设备布线进行快速定位。 供电系统和制冷系统是计算机机房的两个重要部分。在供电系统中，一般采用在线的UPS供电方式，蓄电池实际可供使用的容量与蓄电池的放电电流大小、蓄电池的环境工作温度、贮存时间的长短以及负载的性质（电阻性、电感性、电容性）密切相关。制冷系统（空调）涉及到机房的整个物理环境，包括空调、地板、机柜及房间布局等诸多方面；因此UPS和空调我们也要考虑好将它们放置在一个合适的位置。如果机房空间较大，可以将UPS和空调都放在机房里；如果空间较小，可以把UPS（包括蓄电池）放在配电房里。需要注意的是如果大楼里安装有“中央空调”的话，机房里也必须安装独立的空调，因为中央空调不可能24小时都开着，上班的时间可以利用中央空调，下班和星期节假日的时候，如果服务器、网络设备需要正常运行的话，则必须要开机房里的独立空调。 机柜的扩展性表现在机柜内设备密度的扩展和机柜数量的扩展，因此网络布局时必须将机柜的配风能力（通常称为散热能力）以及配电能力考虑在内。一方面，机柜内的设备需要温度、湿度适宜并且风量充足的冷风（冷空气）。这些冷风被机柜内的IT设备吸入，从而为设备内的部件（尤其是CPU）降温。当机柜内设备增加到一定数量时，由地板出风口送出的冷风风量将不能满足所有设备的需求，从而形成部分IT设备配风不足而过热。 解决机柜内设备密度扩展时遇到的这种局部热点问题可以采用调配IT设备位置的方式来解决。例如，把热负荷最大的设备安装在机柜中部位置，以便获得最大的配风风量。另外的解决方法是，在机柜的上部或下部位置安装轴向水平的强排风扇，增强上部或下部的吸入能力（即减小IT设备的入口静压），从而增加配风风量。 另一方面，机柜内的设备需要供电以及与机柜外部进行通信。当机柜内的IT设备数量增加时，这些线缆、连接端子同时成倍地增加，从而对机架式电源排插的容量、插口数量都提出了扩展要求。机柜内的布线空间也是需要提前考虑的，因为当机柜内的功率密度提高时，设备后部的线缆将明显增加风阻，所以必须考虑线缆管理及走线空间的问题。 第四章 局域网的安全控制与病毒防治 （一）局域网安全威胁分析 局域网由于通过交换机和服务器连接网内每一台电脑，因此局域网内信息的传输速率比较高，同时局域网采用的技术比较简单，安全措施较少，同样也给病毒传播提供了有效的通道和数据信息的安全埋下了隐患。局域网的网络安全威胁通常有以下几类： 1.欺骗性的软件使数据安全性降低 由于局域网很大的一部分用处是资源共享，而正是由于共享资源的“数据开放性”，导致数据信息容易被篡改和删除，数据安全性较低。例如“网络钓鱼攻击”，钓鱼工具是通过大量发送声称来自于一些知名机构的欺骗性垃圾邮件，意图引诱收信人给出敏感信息：如用户名、口令、账号ID、ATM PIN码或信用卡详细信息等的一种攻击方式。最常用的手法是冒充一些真正的