中小企业局域网组建和维护

【摘要】信息化浪潮风起云涌的今天，企业内部网络的建设已经成为提升企业核心竞争力的关键因素。企业网已经越来越多地被人们提到，利用网络技术，现代企业可以在供应商、客户、合作伙伴、员工之间实现优化的信息沟通。近年来越来越多的企业都在加快构建自身的信息网络，而其中绝大多数都是中小企业。本文以中小型企业内部局域网的组建需求、实际管理为出发点，从中小型企业局域网的管理需求和传统局域网技术入手，研究了局域网技术在企业管理中的应用。

【关键词】中小企业；局域网；组网案例；网络布局；网络维护

【中图分类号】F626.5 【文章标识码】A 【文章编号】1326-3587（2012）03-0125-03

引言

随着计算机及局域网络应用的不断深入，特别是各种计算机应用系统被相继应用在实际工作中，各企业、各单位同外界信息媒体之间的相互交换和共享的要求日益增加。需要使各单位相互间真正做到高效的信息交换、资源的共享，为各单位人员提供准确、可靠、快捷的各种生产数据和信息，充分发挥各单位现有的计算机设备的功能。为加强各公司内各分区的业务和技术联系，提高工作效率，实现资源共享，降低运作及管理成本,公司有必要建立企业内部局域网实现公司员工在不同地域对内部网的访问。

一、中小型企业网络方案的主要特点与要求

中小企业局域网通常规模较小，结构相对简单，对性能的要求则因应用的不同而差别较大。许多中小企业网络技术人员较少，因而对网络的依赖性很高，要求网络尽可能简单、可靠、易用，降低网络的使用和维护成本、提高产品的性能价格比就显得尤为重要。

基于以上特点，应遵循下列设计原则：

1、把握好技术先进性与应用简易性之间的平衡。

2、具有良好的升级扩展能力。

3、具有较高的可靠性和安全性。

4、尽可能选择成熟、标准化的技术和产品。

恰当运用以太网的不同标准和功能，以太网技术能够在双绞线、多模光纤、单模光纤等介质上传输数据，可以非常简单地升级到百兆、千兆的速率，而且具有很高的稳定性和可管理性。

二、典型中小企业组网实例

（一）案例描述。

以一个典型中小企业组网为实例，申请一个公网IP和10M带宽，单台路由器，WEB服务器，文件服务器，FTP服务器等，客户端办公电脑100台左右，多部门划分VLAN，用ACL控制各部门访问权限，配置网络打印机。

（二）硬件设备，如表一。

Cisco Catalyst 4500系列能够为无阻碍的第2/3/4层交换提供集成式弹性，因而能进一步加强对融合网络的控制。可用性高的融合语音/视频/数据网络能够为正在部署基于互联网企业应用的企业和城域以太网客户提供业务弹性。4500系列中提供的集成式弹性增强包括1＋1超级引擎冗余、集成式IP电话电源、基于软件的容错以及1+1电源冗余。硬件和软件中的集成式冗余性能够缩短停机时间，从而提高生产率、利润率和客户成功率。是用于公司企业网络交换机群核心层高性价比的一系列。

Cisco WS-C2960-48T拥有大数量的接口，全智能自动全双工半双工识别，具有用于接入层交换机的良好优势。能够快速转发用户的数据。

Cisco 2821是一台多业务路由器，比较适合中小型企业的需求与应用。

Nokia IP355是一款应用于中小型企业的防火墙产品，能够进行SNMP,Telnet,FTP,SSHv2(安全Telnet&FTP),HTTP 服务器RFC 2068,SSL/TLS RFC 2246,命令行运用的管理和对流量的过滤，对于中小型的安全问题防护性能比较良好。

（三）IP地址规划，如表二。

（四）配置需求及解决方案。

为了直观方便，配置需求全部在配置命令中加以单点说明，并且配置命令量大反复，这里只列出重点命令。

1、配置Router ：

接口：

interface fastethernet0/1

ip address 172.16.0.1 255.255.255.252

duplex auto

speed auto

ip nat inside

no shutdown

interface fastethernet0/2

ip address 221.195.66.117 255.255.255.248

duplex auto

speed auto

ip nat outside

no shutdown

路由：

ip route 0.0.0.0 0.0.0.0 221.195.66.117

过载：

ip nat inside source list 110 interface FastEthernet0/2 overload

access-list 110 permit ip 172.16.0.0 0.0.255.255 any

2、配置Core switch：

VTP：

VTP Version: 2

Configuration Revision: 7

Maximum VLANs supported locally : 1005

Number of existing VLANs: 9

VTP Operating Mode: Server

VTP Domain Name: OA

VTP Pruning Mode: Disabled

VTP V2 Mode: Enabled

VTP Traps Generation: Enabled

VLAN：

core-sw#vlan database 进入vlan配置模式

core-sw(vlan)#vtp domain OA 设置vtp管理域名称OA

core-sw(vlan)#vtp server 设置交换机为服务器模式

core-sw(vlan)#vlan 10 name shichang 创建VLAN 10，为市场部

core-sw(vlan)#vlan 11 name caiwu 创建VLAN 10，为财务部

core-sw(vlan)#vlan 12 name sheji 创建VLAN 12，为设计部

core-sw(vlan)#vlan 13 name netprinter 创建VLAN 13，为网络打印机

core-sw(vlan)#vlan 20 name server 创建VLAN 20，为服务器组

core-sw(config)#interface vlan 10

core-sw(config-if)#ip address 172.16.42.254 255.255.255.0

core-sw(config)#interface vlan 11

core-sw(config-if)#ip address 172.16.40.254 255.255.255.0

core-sw(config)#interface vlan 12

core-sw(config-if)#ip address 172.16.41.254 255.255.255.0

core-sw(config)#interface vlan 13

core-sw(config-if)#ip address 172.16.30.254 255.255.255.0

core-sw(config)#interface vlan 20

core-sw(config-if)#ip address 172.16.2.254 255.255.255.0

将接入层SW上的端口根据需要划分至各个VLAN

3、配置ACL：

配置ACL 应用在各个部门VLAN接口上，控制各部门互访

access-list 10 permit 172.16.2.0 0.0.0.255

access-list 10 permit 172.16.30.0 0.0.0.255

access-list 10 deny 172.16.0.0 0.0.255.255

access-list 10 permit any

进入vlan 10

ip access-group 10 out

把访问控制列表10 应用于VLAN 10 OUT方向上，市场部内部可以互访，可以访问服务器网段和网络打印机网段，但不能访问财务部和设计部所在网段。

access-list 11 permit 172.16.2.0 0.0.0.255

access-list 11 permit 172.16.30.0 0.0.0.255

access-list 11 permit 172.16.42.0 0.0.0.255

access-list 11 deny 172.16.0.0 0.0.255.255

access-list 11 permit any

进入vlan 11

ip access-group 11 out

把访问控制列表11应用在VLAN 11 OUT方向上，财务部内部可以互访问，可以访问服务器网段和网络打印机网络，可以访问市场部网段，但不能访问设计部网段。

设计部VLAN 12 ，网络打印机 VLAN 13，服务器 VLAN 20 可以访问任意网段，应用访问控制列表access-list 110 在in的方向上，封掉常见病毒端口。

可以根据实际需要将此ACL应用于任一接口，或者添加一些屏蔽软件的端口，达到管理内部员工的目的，也可以用局域网内部的管理软件，更加直接方便，并且易于操作。

4、配置FTP服务器：

用IIS架设（IIS只适用于Window NT/2000/XP操作系统）。

安装：

Window XP默认安装时不安装IIS组件，需要手工添加安装。进入控制面板，找到“添加／删除程序”，打开后选择“添加／删除Window组件”，在弹出的“Window组件向导”窗口中，将“Internet信息服务（IIS）”项选中。在该选项前的“√”背景色是灰色的，这是因为Window XP默认并不安装FTP服务组件。再点击右下角的“详细信息”，在弹出的“Internet信息服务（IIS）”窗口中，找到“文件传输协议（FTP）服务”，选中后确定即可。

安装完后需要重启。Window NT／2000和Window XP的安装方法相同。

设置：

电脑重启后，FTP服务器就开始运行了，但还要进行一些设置。点击“开始所有程序管理工具Internet信息服务”，进入“Internet信息服务”窗口后，找到“默认FTP站点”，右击鼠标，在弹出的右键菜单中选择“属性”。在“属性”中，我们可以设置FTP服务器的名称、IP、端口、访问账户、FTP目录位置、用户进入FTP时接收到的消息等。

FTP站点基本信息：

进入“FTP站点”选项卡，其中的“描述”选项为该FTP站点的名称，用来称呼你的服务器，这里设置名称为 “FTP服务器”；“IP地址”为服务器的IP，设置为172.16.2.2；“TCP端口”一般仍设为默认的21端口；“连接”选项用来设置允许同时连接服务器的用户最大连接数；“连接超时”用来设置一个等待时间，如果连接到服务器的用户在线的时间超过等待时间而没有任何操作，服务器就会自动断开与该用户的连接。设置账户及其权限：

很多FTP站点都要求用户输入用户名和密码才能登录，这个用户名和密码就叫账户。不同用户可使用相同的账户访问站点，同一个站点可设置多个账户，每个账户可拥有不同的权限，如有的可以上传和下载，而有的则只允许下载。

安全设定：

进入“安全账户”选项卡，有“允许匿名连接”和“仅允许匿名连接”两项，默认为“允许匿名连接”，此时FTP服务器提供匿名登录。“仅允许匿名连接”是用来防止用户使用有管理权限的账户进行访问，选中后，即使是Administrator（管理员）账号也不能登录，FTP只能通过服务器进行“本地访问”来管理。至于“FTP站点操作员”选项，是用来添加或删除本FTP服务器具有一定权限的账户。ＩＩＳ与其他专业的FTP服务器软件不同，它基于Window用户账号进行账户管理，本身并不能随意设定FTP服务器允许访问的账户，要添加或删除允许访问的账户，必须先在操作系统自带的“管理工具”中的“计算机管理”中去设置Window用户账号，然后再通过“安全账户”选项卡中的“FTP站点操作员”选项添加或删除。但对于Window 2000和Window XP专业版，系统并不提供“FTP站点操作员”账户添加与删除功能，只提供Administrator一个管理账号。

设置用户登录目录：

最后设置FTP主目录（即用户登录FTP后的初始位置），进入“主目录”选项卡，在“本地路径”中选择好FTP站点的根目录，并设置该目录的读取、写入、目录访问权限。设置完成后，FTP服务器就算建成了。

三、网络布局和综合布线

公司组网，我们不仅要从企业本身的实际需求出发，根据组网经费的多少来务实地规划与设计网络；在采购好网络设备和服务器等设备后，如何对机房、办公地点进行合理的网络布局与布线，是致关重要的。

（一）网络布局的原则

1、实用性。

企业组建的局域网应当根据机房的大小、设备的多少来具体实施，根据网络布线的特点来发挥网络布局实用性是非常重要的。

2、全面性。

组网过程中，网络、服务器等设备放置位置应当统筹兼顾，网络布局要考虑周全，尽量让各种设备和布线系统处于合理的位置。

3.可靠性。

组网无论怎样布局，最终的目的是保证我们的局域网的所有设备能可靠稳定地运行，使得网络能正常运转。

4、便于维护与升级。

网络的组网不是一成不变的，随着IT企业业务的不断发展的需求，原先组建的局域网就需要不断地完善和扩充；规划网络布局时就应该考虑到便于以后网络的维护与升级操作。

（二）网络布局的具体实施要求

规划网络布局要考虑到机房的设备布局和布线系统的合理搭配。因此我们首先要规划与设计好机房、布线系统，然后再全面地考虑网络的布局。

1、机房的规划与设计

为了确保网络、计算机系统稳定、安全、可靠地运行，以及保障机房工作人员有良好的工作环境，做到技术先进、经济合理、安全适用、确保质量，符合国家有关的机房设计规定。

(1)防静电。

静电不仅会对计算机运行出现随机故障，而且还会导致某些元器件，双级性电路等的击穿和毁坏。此外，还会影响操作人员和维护人员的正常的工作和身心健康。

(2)防火、防盗。

计算机房在设计时，重点要考虑机房的消防灭火设计。设计时可以根据消防防火级别来确定机房的设计方案，计算机房火灾报警要求在一楼设有值班室或监控点。

(3)防雷。

由于机房通信和供电电缆多从室外引入机房，易遭受雷电的侵袭，机房的建筑防雷设计尤其重要。计算机通信电缆的芯线，电话线均应加装避雷器。

(4)保湿、保温。

机房里的湿度应保持在20%-80%为宜，机房的温度应保持在15℃-35℃摄氏度，安装空调来调节温度是解决此问题最好的办法。

2、布线系统的规划与设计。

有了好的机房，网络设备就有了好的“家”，组建的IT网络应当通过布线系统将机房和办公地点互联起来，确保网络的正常运行。如果接入点较多，我们可以采取接入层、汇聚层、交换层三个网络层次的设计，在此基础上进行布线系统。

对于接入层来说，选择一个合理的接入设备，是最关键的，而且我们要根据接入设备选择合适的带宽。汇聚层是整个局域网的核心部分，汇聚层网络设备一般支持网络管理功能，方便我们的管理和维护，方便以后我们的网络升级和改造。交换层是整个网络中的中间层，连接着汇聚层和网络节点，是决定我们整体网络传输质量的很重要的一个环节。随着百兆网络设备的普及，我们交换层的网络设备，肯定首选百兆。

布线是连接网络接入层、汇聚层、交换层和网络节点的重要环节。在布线时，最好使用专门的通道，而且不要与电源线，空调线等具有辐射的线路混合布线。

四、局域网的维护

随着办公自动化的深入，中小企业办公网络的维护也随之成为一个热点问题。笔者根据维护网络的经验，谈谈自己对这方面的看法。

1、在单位局域网的使用过程中，常常会出现“不通”现象，也许是其中几台机器无法连通（通信），也许是整个网络无法工作。当然，这也要看你的网络的拓朴结构是什么类型的。

当出现网络不通的现象时,首先检查各连入网络的机器中网卡设置是否正常，这通过检查“控制面板”、“系统”、“设备管理”、“网络适配器”有无中断号及I/O地址冲突（最好将各台机器的中断设为相同，以便于对比），直到网络适配器的属性中出现“该设备运转正常”，并且在“网上邻居”中至少能找到自己，这说明网卡的配置没有问题。

2、当某台机器无法上网时,第一步要确定网线没有问题。这可以通过替代的方法来解决。然后使用替代的方法确定网卡是不是有问题。在网线和网卡本身都没有问题的情况下，再看一看是不是软件设置方面的原因。

另外，再检查驱动程序本身是否损坏，如果没有损坏，看看安装是否正确。如果这些可以判断正常，设备也没有冲突，就是不能连入网络，这时候可以将网络适配器在系统配置中删除，然后重新启动计算机，系统就会检测到新硬件的存在，然后自动寻找驱动程序再进行安装，笔者在安装Windows98对等网过程中曾多次运用此方法解决“上不了网的问题”。

3、防火墙的设置是中小企业办公网络维护中关键的一个环节。内、外网间的屏障方案：当单位内部网与公共网络连接时，内部网络将直接暴露在来自世界各个角落的黑客的攻击之下。这种情况下必须使用防火墙对内部网络进行保护。防火墙的功能是隐藏内部网络结构；限制外部网络用户对内部主机的访问；限制内部用户对Internet的访问。建立局部安全区方案：网络安全的隐患不仅仅来自外部网络，事实上在对企业或政府部门中数据的丢失或服务器的破坏多数是由内部人员造成的，因此即使用户的网络没有连接到Internet，也应该对内部的关键业务部门的网络进行保护。单一主机防护方案：在企业或政府部门中，某一个别服务器系统往往具有特别重要的地位，保存大量关键数据或资料。这些服务器上的数据发生丢失或系统被破坏，将对用户造成无法挽回的损失。因此利用防火墙对关键主机进行隔离和保护，并对出入该服务器的数据进行监控。

4、随着企业信息化建设的深入,企业内部网上的信息将越来越丰富，企业数据对领导决策及企业发展将起到越来越重要的作用，一旦由于意外而丢失数据，将给企业造成巨大的损失。

5、灾难恢复措施在整个备份制度中占有相当重要的地位。因为它关系到系统在经历灾难后能否迅速恢复。灾难恢复操作通常可以分为两类:第一类是全盘恢复，第二类是个别文件恢复，还有一种是重定向恢复。为了防备数据丢失，我们需要做好详细的灾难恢复计划，同时还要定期进行灾难演练，以熟练灾难恢复的操作过程，并检验所生成的灾难恢复软盘和灾难恢复备份是否可靠。

结论：

Internet技术的迅速发展，各行业信息化网络的快速膨胀，企业网内部网络由于需求也得到了空前的发展，它为员工提供了全新的工作环境，利用计算机和网络进行工作、交流，改变了传统的工作方式，极大的提高了工作的质量和效率。采用交换式局域网技术的企业网络，可以运用VLAN技术来加强内部网络管理。根据不同的应用业务以及不同的安全级别，将网络分段并进行隔离，实现相互间的访问控制，可以达到限制用户非法访问的目的。

本文通过对传统局域网的分析与比较，利用实际的局域网案例来具体模拟现实当中可能存在的问题，并且加以防范与解决，以达到有备无患，实现企业局域网的高性能、高稳定、高管理性、灵活性、安全性、经济性，网络性能得到了充分的保证，使得企业局域网运行稳定，性能可靠，达到我们预期的效果，并且不断完善。

【参考文献】

1、弗鲁姆(Richard Froom).CCNP学习指南:组建Cisco多层交换网络(BCMSN)(第4版) M 2007

2、work Security Essentials Applications and Standards Third Edition[M]2007

3、施敏、李亚明、王国平，网络管理员之局域网组建与维护超级技巧1000例、M、2007

4、李晋平.局域网组建和安全管理的实用技术[J]电脑开发与应用 2002,15(10)

5、卫少军，中小企业办公局域网组建方案[J]科技情报开发与经济 2004,14(9)：269~271