網(wǎng)絡(luò)建設(shè)方案

1、錯誤 ! 未指定書簽。 錯誤 ! 未指定書簽。 錯誤 ! 未指定書簽。四、總體設(shè)計錯誤 ! 未指定書簽。網(wǎng)絡(luò)建設(shè)方案目錄一、前言 二、建設(shè)需求 三、總體架構(gòu) 錯誤 ! 未指定書簽。 錯誤 ! 未指定書簽。 錯誤 ! 未指定書簽。五、服務(wù)器選擇 六、主交換機(jī)的選擇 七、活動目錄 八、文件服務(wù)器錯誤 ! 未指定書簽。九、防病毒服務(wù)器和服務(wù)器 錯誤 ! 未指定書簽。、八 、亠一、前言集團(tuán)有限公司旗下有三個分公司： 1#公司、 2#公司、 3#公司。由于新廠房的建立，故需 要建立一套完整、安全的網(wǎng)絡(luò)系統(tǒng)。二、建設(shè)需求1. 公司使用 2 臺核心交換機(jī)（冗余備份） ，連接所有網(wǎng)絡(luò)設(shè)備，并把所有服務(wù)器連接到

2、 該核心交換機(jī)上，劃分到一個單獨(dú)的中。2. 接入層交換機(jī)連接所有的終端用戶， 并把管理層人員和普通的辦公人員劃分到不同的 中。3. 公司的管理層人員可以訪問普通辦公人員的計算機(jī)，但普通辦公人員不能訪問管理層人員的計算機(jī)。4. 所有用戶的計算機(jī)都采用的方法獲得地址。5. 公司采用防火墻 +路由器上網(wǎng)。公司申請一條 100M 帶寬光纖上網(wǎng)（分兩條線路，一條 40M ，一條 60M ；要求：服務(wù)器占用 40M ，供外網(wǎng)用戶訪問，局域網(wǎng)用戶占用 60M 出 口訪問）。6. 公司采用微軟的域管理方法，對所有用戶的賬號和權(quán)限通過來管理。7. 公司內(nèi)部要有自己的郵件服務(wù)器，并可以和的郵件服務(wù)器實(shí)現(xiàn)收發(fā)郵件。

3、8. 公司的防病毒采用統(tǒng)一集中的網(wǎng)絡(luò)管理模式。9. 嚴(yán)格控制上網(wǎng)時間。10. 出差用戶能方便的訪問公司內(nèi)部資料。三、總體架構(gòu)1. 根據(jù)需求所規(guī)劃出的整個公司網(wǎng)絡(luò)系統(tǒng)的拓?fù)浣Y(jié)構(gòu)圖如下圖所示：宿舍樓1宿舍樓2宿舍樓3宿舍樓4宿舍樓5廠房1辦公樓2根據(jù)規(guī)劃出的網(wǎng)絡(luò)拓?fù)鋱D所分配的整個公司網(wǎng)絡(luò)中和編址方案如下:號子網(wǎng)名稱范圍網(wǎng)關(guān)名稱管理10辦公樓1120辦公樓2230普通人員40管理層人員91宿舍樓1192宿舍樓2293宿舍樓3394宿舍樓4495宿舍樓5596廠房1197廠房2298廠房3399廠房4490廠房55100服務(wù)器集群內(nèi)網(wǎng)電信提供外網(wǎng)（40M）四、總體設(shè)計1. 配置防火墻：創(chuàng)建規(guī)則，允許內(nèi)

4、網(wǎng)用戶使用客戶端郵件，嚴(yán)格控制人員上網(wǎng)權(quán)限，啟 用服務(wù)。2. 發(fā)布內(nèi)部郵件服務(wù)器和服務(wù)器。3. 配置核心交換機(jī)，創(chuàng)建，劃分端口，添加路由表，配置接口地址。4. 安裝域服務(wù)器，創(chuàng)建，并在服務(wù)器上安裝服務(wù)，建立域賬號，5. 安裝郵件服務(wù)器并加入域， 給相應(yīng)員工創(chuàng)建郵箱， 設(shè)置郵箱大小為 500M ，附件 20M， 啟用 3 功能，以便能夠使用客戶端軟件來收發(fā)郵件。6. 安裝服務(wù)器并加下域，創(chuàng)建地址池，用來給客戶機(jī)提供服務(wù)，自動獲得地址。7. 安裝配置病毒統(tǒng)一管理服務(wù)器并加入域，升級病毒庫到最新。8. 配置二層交換機(jī)，分配相應(yīng)端口到相應(yīng)的中，配置接口地址。9. 安裝文件服務(wù)器并加入域，創(chuàng)建用戶名和密

5、碼，設(shè)置相應(yīng)權(quán)限。10. 配置客戶機(jī)相應(yīng)權(quán)限，管理層人員的計算機(jī)權(quán)限無限制，設(shè)置其地址與地址綁定， 防止其他人員非法盜用其地址， 導(dǎo)致局域網(wǎng)內(nèi)人員沖突。 普通人員的計算機(jī)默認(rèn)只開通郵件 系統(tǒng)，并只能用客戶端軟件，用來收發(fā)郵件。如有工作需要，要開通相應(yīng)權(quán)限，請申請?zhí)顚?開通權(quán)限申請表，經(jīng)總經(jīng)理簽字確認(rèn)方可開通其權(quán)限。五、服務(wù)器選擇服務(wù)器是網(wǎng)絡(luò)上不可缺少的資源， 它為網(wǎng)絡(luò)環(huán)境提供共享資源。 所以作為網(wǎng)絡(luò)應(yīng)用的核 心，服務(wù)器必需具有高可靠性、高性能、高吞吐能力、大內(nèi)存容量等特點(diǎn)，并且具有強(qiáng)大的 網(wǎng)絡(luò)功能友好的人機(jī)界面。根據(jù)網(wǎng)絡(luò)需求，所需的服務(wù)器如下：主服務(wù)器：負(fù)責(zé)整個公司網(wǎng)絡(luò)的管理、共享資源的管理等

6、。包括1. 服務(wù)器：負(fù)責(zé)公司網(wǎng)內(nèi)的文件共享和傳輸。2. 服務(wù)器：負(fù)責(zé)所有公司客戶機(jī)的地址自動獲取工作。3. 服務(wù)器 :負(fù)責(zé)公司內(nèi)所有郵件的管理。4. 服務(wù)器：負(fù)責(zé)遠(yuǎn)程服務(wù)管理和站點(diǎn)管理。服務(wù)器采用現(xiàn)在比較流行的環(huán)境搭建。六、主交換機(jī)的選擇在企業(yè)網(wǎng)絡(luò)中， 采用以太網(wǎng)交換機(jī)作為主干， 其技術(shù)、設(shè)計管理簡單。 但作為主干的交 換機(jī)必須滿足以下條件：1. 高帶寬整個網(wǎng)絡(luò)的帶寬需求，滿足企業(yè)網(wǎng)絡(luò)中的數(shù)量流量。2. 可擴(kuò)展性具有良好的可擴(kuò)展性，滿足企業(yè)網(wǎng)絡(luò)不停發(fā)展的需要。3. 兼容性具有良好的兼容性，滿足企業(yè)網(wǎng)絡(luò)設(shè)備的多樣性。七、活動目錄1. 服務(wù)器與客戶端系統(tǒng)的建設(shè)1.1 主域控制器為公司的核心服務(wù)器，

7、 使用 2003 企業(yè)版操作系統(tǒng)， 并搭建額外的域控 制器， 以提供核心服務(wù)器的冗余。 利用核心服務(wù)器對公司所有員工的賬戶和公司內(nèi)部的 其他計算機(jī)實(shí)現(xiàn)集中和統(tǒng)一管理， 使公司的網(wǎng)絡(luò)系統(tǒng)管理盡可能集中和簡單， 并具備一 定的擴(kuò)展能力。 公司的系統(tǒng)管理結(jié)構(gòu)能充分地和公司管理結(jié)構(gòu)相吻合， 實(shí)現(xiàn)從公司到部 門再到員工的管理層次， 各部門的網(wǎng)絡(luò)資源也實(shí)現(xiàn)集中管理。 根據(jù)不同部門的需求實(shí)現(xiàn) 不同的安全級別。1.2 公司內(nèi)所有員工在網(wǎng)絡(luò)中有唯一的標(biāo)識，所有員工使用統(tǒng)一的標(biāo)識，能夠方便的使 用網(wǎng)絡(luò)中的計算機(jī)。 員工信息按部門集中存儲在域控制器上， 員工標(biāo)識的設(shè)置和使用滿 足系統(tǒng)安全的需要， 避免賬戶被盜用和非

8、法使用網(wǎng)絡(luò)資源。 公司安全規(guī)范的實(shí)施以部門 為對象，避免針對單個員工做具體安全設(shè)置。1.3 公司文檔管理采用集中管理的方式并實(shí)現(xiàn)文件級的安全設(shè)置，可以根據(jù)公司董事長、部門的不同需求分別設(shè)置相應(yīng)的存儲設(shè)置。 董事長能夠訪問并管理所有文檔， 并且不限 制存儲容量。 部門主管和員工只能使用本部門的文檔， 主管能夠進(jìn)行管理。 對部門文檔 可以做存儲容量的限制， 避免資源的浪費(fèi)和濫用。 每個存儲位置在活動目錄中是可查詢 的。員工在客戶機(jī)上可以方便地連接到需要的網(wǎng)絡(luò)資源。2. 系統(tǒng)的安全措施與策略公司整個網(wǎng)絡(luò)采用統(tǒng)一的安全規(guī)則，在域控制器上設(shè)置和控制對所有用戶和計算機(jī)的安 全規(guī)則。 員工需要設(shè)置安全的密碼

9、， 并能夠登錄到本部門的計算機(jī)。 利用適當(dāng)?shù)南到y(tǒng)策略防 止非法用戶對密碼和賬戶的攻擊。 財務(wù)部資源具有更高的安全設(shè)置， 對于財務(wù)部文件的訪問 和操作，系統(tǒng)將記錄操作的用戶和時間等信息。員工的桌面、開始菜單、我的文檔、以和其 他指定的設(shè)置 “綁定” 到員工的帳戶上， 使其在域內(nèi)更換客戶機(jī)登陸時仍能擁有以前的工作 環(huán)境。在部門內(nèi)實(shí)現(xiàn)統(tǒng)一的軟件的安裝、刪除、修復(fù)、升級部署。用戶帳戶集中管理禁止員工設(shè)置的口令少于 7 位防止其他員工盜用帳戶記錄和審計員工登陸和訪問公司文檔的行為按部門管理帳戶用戶在不同客戶端享受相同的個人配置部門內(nèi)統(tǒng)一部署軟件3. 服務(wù)器系統(tǒng)設(shè)計1. 域控制器域控制器作為整個網(wǎng)絡(luò)的核心

10、服務(wù)器， 當(dāng)域控制器失效時， 整個域?qū)⑻幱诎c瘓狀態(tài)， 因此需要充分保證其可靠性。 我們通過為主域控制器搭建額外的域控制器， 為網(wǎng)絡(luò)提供 不間斷的域控制器支持， 當(dāng)主域控制器失效時， 額外的域控制器會自動升級為主域控并 代替其作用。2. 域結(jié)構(gòu)規(guī)劃 根據(jù)網(wǎng)絡(luò)規(guī)模和集中管理和結(jié)構(gòu)簡單的原則，整個網(wǎng)絡(luò)系統(tǒng)目前規(guī)劃為單域結(jié)構(gòu)， 在域內(nèi)按照部門名稱分別建立組織單位（） ，用于存儲和管理各部門的用戶和共享文件 夾。整個系統(tǒng)結(jié)構(gòu)與公司管理結(jié)構(gòu)相匹配。最上層的管理單元為域，域名,下層的管理單元是組織單元（） ，各部門的組織單元命名按照部門名稱的漢語拼音全拼設(shè)置。根據(jù) 網(wǎng)絡(luò)結(jié)構(gòu)的變化和未來公司結(jié)構(gòu)的擴(kuò)展， 此結(jié)

11、構(gòu)可以方便地增加和減少組織單元， 為分 公司建立新的子域，充分滿足了可擴(kuò)展性和可伸縮性的要求。3. 用戶賬戶規(guī)劃3.1 根據(jù)部門名稱創(chuàng)建組織單位（） ，在內(nèi)建立本部門員工的帳戶和包括本部門所 有帳戶的全局組。3.2 根據(jù)公司員工的組織結(jié)構(gòu)，為每名員工建立唯一的域用戶賬戶，全部員工賬戶采用統(tǒng)一的命名規(guī)范。登陸名為 “中文姓氏漢語拼音全拼中文名字漢語拼音全拼” 。用 戶全名為員工的中文姓名。當(dāng)出現(xiàn)名稱相同時，在名稱后添加生日的月份來區(qū)分。用戶 賬戶描述為該員工的職務(wù)。全部員工賬戶密碼設(shè)置采用初始密碼 1234# ，并設(shè)置策略要 求用戶在第一次登錄時更改密碼。示例：財務(wù)部部門主管張宇登錄名：全名：張

12、宇描述：財務(wù)部主管初始密碼： 1234#建立位置： : 為了實(shí)現(xiàn)權(quán)限管理的簡單化，整個網(wǎng)絡(luò)系統(tǒng)采用對用戶組分配權(quán)限，每個部門的設(shè)置 一個全局組， 該組中包含該部門所有員工的用戶賬戶。 除董事長和部門主管外， 權(quán)限的分配 均以各部門的全局組為對象， 董事長和部門主管的權(quán)限單獨(dú)分配。 所有用戶組采用統(tǒng)一的命 名規(guī)范，組名為部門名的漢語拼音全拼。示例：財務(wù)部組名： 組的成員：財務(wù)部主管、財務(wù)一、財務(wù)二 建立位置： :八、文件服務(wù)器通過設(shè)置專用的文件服務(wù)器完成公司文檔的集中管理， 在文件服務(wù)器上為部門建立專用 的文件夾， 以部門名字的漢語拼音全拼， 存儲部門文檔。 服務(wù)器采用大容量磁盤和系統(tǒng)特有 的文

13、件系統(tǒng)， 實(shí)現(xiàn)文件級的安全。 員工可以通過映射網(wǎng)絡(luò)驅(qū)動器訪問服務(wù)器上的文檔， 就像 在本地訪問資源一樣簡單快捷。 在服務(wù)器上使用文件系統(tǒng)中提供的磁盤配額功能可保障存儲 空間得到有效合理的利用。計算機(jī)名：系統(tǒng)配置：文件服務(wù)器硬盤至少劃分為兩個分區(qū)，分別為C盤和D盤，C盤為主分區(qū)，安裝操作系 統(tǒng)，容量10G以上。D盤為邏輯分區(qū)，用于存儲共享文檔。兩個分區(qū)均采用文件系統(tǒng)。在 D 盤上建立文件夾并共享，共享名為。在文件夾下根據(jù)部門分別建立文件夾并以部 門名稱命名。文件服務(wù)器利用共享權(quán)限和權(quán)限實(shí)現(xiàn)文件級安全， 董事長對所有文件擁有全部權(quán)限， 部 門主管只對本部門文件擁有全部權(quán)限， 普通員工只對本部門文件

14、夾擁有讀寫權(quán)限。 董事長能 夠訪問所有文件夾和文檔， 部門員工和主管無法訪問其他部門的文件夾。 具體權(quán)限設(shè)置見表：文件夾名共享權(quán)限權(quán)限D(zhuǎn):組完全控制董事長完全控制，列出文件夾目錄董事長無董事長完全控制財務(wù)部無全局組讀寫、董事長完全控制、財務(wù)主管完全控制行政部無全局組讀寫、董事長完全控制、行政主管完全控制人事部無全局組讀寫、董事長完全控制、人事主管完全控制文件服務(wù)器可以采用系統(tǒng)提供的磁盤配額功能來控制各文件夾空間占用?？梢栽贒 盤啟用磁盤配額， 根據(jù)需要分別限制 4 個部門文件夾最大磁盤使用量和警告級別， 例如將每個 部門的存儲空間都限制為 10G，當(dāng)占用空間達(dá)到 9.5G時發(fā)出警告。董事長的文

15、件夾不受限 制。在活動目錄中發(fā)布共享文件夾， 員工即使不知道資源位于哪臺服務(wù)器上， 也能通過目錄 服務(wù)搜索和查詢到所需的資源。九、防病毒服務(wù)器和服務(wù)器將已有的防病毒服務(wù)器和服務(wù)器加入域中。客戶端計算機(jī)采用主流的 操作系統(tǒng)，所有員工使用的計算機(jī)配置各種客戶端角色， 包括域客戶機(jī)、文件服務(wù)客戶機(jī)、打印服務(wù)客戶機(jī)、防病毒客戶機(jī)等。將客戶機(jī)加入域，相 應(yīng)的計算機(jī)帳戶放置在對應(yīng)部門的中， 然后添加用戶使用的打印機(jī)并設(shè)置相應(yīng)的優(yōu)先級。 各 員工以自己本部門的打印機(jī)為默認(rèn)打印機(jī)。 在每臺客戶機(jī)上為員工映射網(wǎng)絡(luò)驅(qū)動器， 將共享 文件夾 映射為本地驅(qū)動器，完成所有的配置?？蛻魴C(jī)屬于域的成員，可以查詢和使用域 中

16、的網(wǎng)絡(luò)資源， 可以訪問和使用共享文件夾和打印機(jī)， 同時實(shí)現(xiàn)病毒碼自動分發(fā)與更新和和 時掃描功能。采用整個公司統(tǒng)一管理與分部門管理相結(jié)合的方法， 可以簡單方便地同時完成整個網(wǎng)絡(luò) 的安全策略設(shè)置， 而不需要對每個用戶進(jìn)行單獨(dú)設(shè)置， 大大降低了網(wǎng)絡(luò)的管理成本； 又可以 根據(jù)部門的特殊需要，靈活地在本部門應(yīng)用特殊的策略，滿足工作要求。整個公司統(tǒng)一的安全策略在域級別設(shè)置，建議啟用如下策略：啟用密碼必須符合復(fù)雜性要求密碼長度最小值為 7密碼最長存留期為 30 天帳戶鎖定策略帳戶鎖定閾值為 5 次無效登陸在組織單元內(nèi)設(shè)置軟件安裝策略， 幫助管理員布置本部門的軟件， 以避免重復(fù)操作和減少出錯的可能。軟件安裝策略功能非常靈活和豐富，可以實(shí)現(xiàn)以下功能：a. 分發(fā)軟件指派：可設(shè)置將軟件分發(fā)給內(nèi)的某用戶， 此用戶在登陸任意一臺計算機(jī)時開始安裝， 并可使用。亦可設(shè)置分發(fā)給某臺計算機(jī)， 使登陸到此計算機(jī)的用戶都可使用該軟件。 發(fā)布：