網(wǎng)絡(luò)建設(shè)方案

1、錯(cuò)誤 ! 未指定書(shū)簽。 錯(cuò)誤 ! 未指定書(shū)簽。 錯(cuò)誤 ! 未指定書(shū)簽。四、總體設(shè)計(jì)錯(cuò)誤 ! 未指定書(shū)簽。網(wǎng)絡(luò)建設(shè)方案目錄一、前言 二、建設(shè)需求 三、總體架構(gòu) 錯(cuò)誤 ! 未指定書(shū)簽。 錯(cuò)誤 ! 未指定書(shū)簽。 錯(cuò)誤 ! 未指定書(shū)簽。五、服務(wù)器選擇 六、主交換機(jī)的選擇 七、活動(dòng)目錄 八、文件服務(wù)器錯(cuò)誤 ! 未指定書(shū)簽。九、防病毒服務(wù)器和服務(wù)器 錯(cuò)誤 ! 未指定書(shū)簽。、八 、亠一、前言集團(tuán)有限公司旗下有三個(gè)分公司： 1#公司、 2#公司、 3#公司。由于新廠(chǎng)房的建立，故需 要建立一套完整、安全的網(wǎng)絡(luò)系統(tǒng)。二、建設(shè)需求1. 公司使用 2 臺(tái)核心交換機(jī)（冗余備份） ，連接所有網(wǎng)絡(luò)設(shè)備，并把所有服務(wù)器連接到

2、 該核心交換機(jī)上，劃分到一個(gè)單獨(dú)的中。2. 接入層交換機(jī)連接所有的終端用戶(hù)， 并把管理層人員和普通的辦公人員劃分到不同的 中。3. 公司的管理層人員可以訪(fǎng)問(wèn)普通辦公人員的計(jì)算機(jī)，但普通辦公人員不能訪(fǎng)問(wèn)管理層人員的計(jì)算機(jī)。4. 所有用戶(hù)的計(jì)算機(jī)都采用的方法獲得地址。5. 公司采用防火墻 +路由器上網(wǎng)。公司申請(qǐng)一條 100M 帶寬光纖上網(wǎng)（分兩條線(xiàn)路，一條 40M ，一條 60M ；要求：服務(wù)器占用 40M ，供外網(wǎng)用戶(hù)訪(fǎng)問(wèn)，局域網(wǎng)用戶(hù)占用 60M 出 口訪(fǎng)問(wèn)）。6. 公司采用微軟的域管理方法，對(duì)所有用戶(hù)的賬號(hào)和權(quán)限通過(guò)來(lái)管理。7. 公司內(nèi)部要有自己的郵件服務(wù)器，并可以和的郵件服務(wù)器實(shí)現(xiàn)收發(fā)郵件。

3、8. 公司的防病毒采用統(tǒng)一集中的網(wǎng)絡(luò)管理模式。9. 嚴(yán)格控制上網(wǎng)時(shí)間。10. 出差用戶(hù)能方便的訪(fǎng)問(wèn)公司內(nèi)部資料。三、總體架構(gòu)1. 根據(jù)需求所規(guī)劃出的整個(gè)公司網(wǎng)絡(luò)系統(tǒng)的拓?fù)浣Y(jié)構(gòu)圖如下圖所示：宿舍樓1宿舍樓2宿舍樓3宿舍樓4宿舍樓5廠(chǎng)房1辦公樓2根據(jù)規(guī)劃出的網(wǎng)絡(luò)拓?fù)鋱D所分配的整個(gè)公司網(wǎng)絡(luò)中和編址方案如下:號(hào)子網(wǎng)名稱(chēng)范圍網(wǎng)關(guān)名稱(chēng)管理10辦公樓1120辦公樓2230普通人員40管理層人員91宿舍樓1192宿舍樓2293宿舍樓3394宿舍樓4495宿舍樓5596廠(chǎng)房1197廠(chǎng)房2298廠(chǎng)房3399廠(chǎng)房4490廠(chǎng)房55100服務(wù)器集群內(nèi)網(wǎng)電信提供外網(wǎng)（40M）四、總體設(shè)計(jì)1. 配置防火墻：創(chuàng)建規(guī)則，允許內(nèi)

4、網(wǎng)用戶(hù)使用客戶(hù)端郵件，嚴(yán)格控制人員上網(wǎng)權(quán)限，啟 用服務(wù)。2. 發(fā)布內(nèi)部郵件服務(wù)器和服務(wù)器。3. 配置核心交換機(jī)，創(chuàng)建，劃分端口，添加路由表，配置接口地址。4. 安裝域服務(wù)器，創(chuàng)建，并在服務(wù)器上安裝服務(wù)，建立域賬號(hào)，5. 安裝郵件服務(wù)器并加入域， 給相應(yīng)員工創(chuàng)建郵箱， 設(shè)置郵箱大小為 500M ，附件 20M， 啟用 3 功能，以便能夠使用客戶(hù)端軟件來(lái)收發(fā)郵件。6. 安裝服務(wù)器并加下域，創(chuàng)建地址池，用來(lái)給客戶(hù)機(jī)提供服務(wù)，自動(dòng)獲得地址。7. 安裝配置病毒統(tǒng)一管理服務(wù)器并加入域，升級(jí)病毒庫(kù)到最新。8. 配置二層交換機(jī)，分配相應(yīng)端口到相應(yīng)的中，配置接口地址。9. 安裝文件服務(wù)器并加入域，創(chuàng)建用戶(hù)名和密

5、碼，設(shè)置相應(yīng)權(quán)限。10. 配置客戶(hù)機(jī)相應(yīng)權(quán)限，管理層人員的計(jì)算機(jī)權(quán)限無(wú)限制，設(shè)置其地址與地址綁定， 防止其他人員非法盜用其地址， 導(dǎo)致局域網(wǎng)內(nèi)人員沖突。 普通人員的計(jì)算機(jī)默認(rèn)只開(kāi)通郵件 系統(tǒng)，并只能用客戶(hù)端軟件，用來(lái)收發(fā)郵件。如有工作需要，要開(kāi)通相應(yīng)權(quán)限，請(qǐng)申請(qǐng)?zhí)顚?xiě) 開(kāi)通權(quán)限申請(qǐng)表，經(jīng)總經(jīng)理簽字確認(rèn)方可開(kāi)通其權(quán)限。五、服務(wù)器選擇服務(wù)器是網(wǎng)絡(luò)上不可缺少的資源， 它為網(wǎng)絡(luò)環(huán)境提供共享資源。 所以作為網(wǎng)絡(luò)應(yīng)用的核 心，服務(wù)器必需具有高可靠性、高性能、高吞吐能力、大內(nèi)存容量等特點(diǎn)，并且具有強(qiáng)大的 網(wǎng)絡(luò)功能友好的人機(jī)界面。根據(jù)網(wǎng)絡(luò)需求，所需的服務(wù)器如下：主服務(wù)器：負(fù)責(zé)整個(gè)公司網(wǎng)絡(luò)的管理、共享資源的管理等

6、。包括1. 服務(wù)器：負(fù)責(zé)公司網(wǎng)內(nèi)的文件共享和傳輸。2. 服務(wù)器：負(fù)責(zé)所有公司客戶(hù)機(jī)的地址自動(dòng)獲取工作。3. 服務(wù)器 :負(fù)責(zé)公司內(nèi)所有郵件的管理。4. 服務(wù)器：負(fù)責(zé)遠(yuǎn)程服務(wù)管理和站點(diǎn)管理。服務(wù)器采用現(xiàn)在比較流行的環(huán)境搭建。六、主交換機(jī)的選擇在企業(yè)網(wǎng)絡(luò)中， 采用以太網(wǎng)交換機(jī)作為主干， 其技術(shù)、設(shè)計(jì)管理簡(jiǎn)單。 但作為主干的交 換機(jī)必須滿(mǎn)足以下條件：1. 高帶寬整個(gè)網(wǎng)絡(luò)的帶寬需求，滿(mǎn)足企業(yè)網(wǎng)絡(luò)中的數(shù)量流量。2. 可擴(kuò)展性具有良好的可擴(kuò)展性，滿(mǎn)足企業(yè)網(wǎng)絡(luò)不停發(fā)展的需要。3. 兼容性具有良好的兼容性，滿(mǎn)足企業(yè)網(wǎng)絡(luò)設(shè)備的多樣性。七、活動(dòng)目錄1. 服務(wù)器與客戶(hù)端系統(tǒng)的建設(shè)1.1 主域控制器為公司的核心服務(wù)器，

7、 使用 2003 企業(yè)版操作系統(tǒng)， 并搭建額外的域控 制器， 以提供核心服務(wù)器的冗余。 利用核心服務(wù)器對(duì)公司所有員工的賬戶(hù)和公司內(nèi)部的 其他計(jì)算機(jī)實(shí)現(xiàn)集中和統(tǒng)一管理， 使公司的網(wǎng)絡(luò)系統(tǒng)管理盡可能集中和簡(jiǎn)單， 并具備一 定的擴(kuò)展能力。 公司的系統(tǒng)管理結(jié)構(gòu)能充分地和公司管理結(jié)構(gòu)相吻合， 實(shí)現(xiàn)從公司到部 門(mén)再到員工的管理層次， 各部門(mén)的網(wǎng)絡(luò)資源也實(shí)現(xiàn)集中管理。 根據(jù)不同部門(mén)的需求實(shí)現(xiàn) 不同的安全級(jí)別。1.2 公司內(nèi)所有員工在網(wǎng)絡(luò)中有唯一的標(biāo)識(shí)，所有員工使用統(tǒng)一的標(biāo)識(shí)，能夠方便的使 用網(wǎng)絡(luò)中的計(jì)算機(jī)。 員工信息按部門(mén)集中存儲(chǔ)在域控制器上， 員工標(biāo)識(shí)的設(shè)置和使用滿(mǎn) 足系統(tǒng)安全的需要， 避免賬戶(hù)被盜用和非

8、法使用網(wǎng)絡(luò)資源。 公司安全規(guī)范的實(shí)施以部門(mén) 為對(duì)象，避免針對(duì)單個(gè)員工做具體安全設(shè)置。1.3 公司文檔管理采用集中管理的方式并實(shí)現(xiàn)文件級(jí)的安全設(shè)置，可以根據(jù)公司董事長(zhǎng)、部門(mén)的不同需求分別設(shè)置相應(yīng)的存儲(chǔ)設(shè)置。 董事長(zhǎng)能夠訪(fǎng)問(wèn)并管理所有文檔， 并且不限 制存儲(chǔ)容量。 部門(mén)主管和員工只能使用本部門(mén)的文檔， 主管能夠進(jìn)行管理。 對(duì)部門(mén)文檔 可以做存儲(chǔ)容量的限制， 避免資源的浪費(fèi)和濫用。 每個(gè)存儲(chǔ)位置在活動(dòng)目錄中是可查詢(xún) 的。員工在客戶(hù)機(jī)上可以方便地連接到需要的網(wǎng)絡(luò)資源。2. 系統(tǒng)的安全措施與策略公司整個(gè)網(wǎng)絡(luò)采用統(tǒng)一的安全規(guī)則，在域控制器上設(shè)置和控制對(duì)所有用戶(hù)和計(jì)算機(jī)的安 全規(guī)則。 員工需要設(shè)置安全的密碼

9、， 并能夠登錄到本部門(mén)的計(jì)算機(jī)。 利用適當(dāng)?shù)南到y(tǒng)策略防 止非法用戶(hù)對(duì)密碼和賬戶(hù)的攻擊。 財(cái)務(wù)部資源具有更高的安全設(shè)置， 對(duì)于財(cái)務(wù)部文件的訪(fǎng)問(wèn) 和操作，系統(tǒng)將記錄操作的用戶(hù)和時(shí)間等信息。員工的桌面、開(kāi)始菜單、我的文檔、以和其 他指定的設(shè)置 “綁定” 到員工的帳戶(hù)上， 使其在域內(nèi)更換客戶(hù)機(jī)登陸時(shí)仍能擁有以前的工作 環(huán)境。在部門(mén)內(nèi)實(shí)現(xiàn)統(tǒng)一的軟件的安裝、刪除、修復(fù)、升級(jí)部署。用戶(hù)帳戶(hù)集中管理禁止員工設(shè)置的口令少于 7 位防止其他員工盜用帳戶(hù)記錄和審計(jì)員工登陸和訪(fǎng)問(wèn)公司文檔的行為按部門(mén)管理帳戶(hù)用戶(hù)在不同客戶(hù)端享受相同的個(gè)人配置部門(mén)內(nèi)統(tǒng)一部署軟件3. 服務(wù)器系統(tǒng)設(shè)計(jì)1. 域控制器域控制器作為整個(gè)網(wǎng)絡(luò)的核心

10、服務(wù)器， 當(dāng)域控制器失效時(shí)， 整個(gè)域?qū)⑻幱诎c瘓狀態(tài)， 因此需要充分保證其可靠性。 我們通過(guò)為主域控制器搭建額外的域控制器， 為網(wǎng)絡(luò)提供 不間斷的域控制器支持， 當(dāng)主域控制器失效時(shí)， 額外的域控制器會(huì)自動(dòng)升級(jí)為主域控并 代替其作用。2. 域結(jié)構(gòu)規(guī)劃 根據(jù)網(wǎng)絡(luò)規(guī)模和集中管理和結(jié)構(gòu)簡(jiǎn)單的原則，整個(gè)網(wǎng)絡(luò)系統(tǒng)目前規(guī)劃為單域結(jié)構(gòu)， 在域內(nèi)按照部門(mén)名稱(chēng)分別建立組織單位（） ，用于存儲(chǔ)和管理各部門(mén)的用戶(hù)和共享文件 夾。整個(gè)系統(tǒng)結(jié)構(gòu)與公司管理結(jié)構(gòu)相匹配。最上層的管理單元為域，域名,下層的管理單元是組織單元（） ，各部門(mén)的組織單元命名按照部門(mén)名稱(chēng)的漢語(yǔ)拼音全拼設(shè)置。根據(jù) 網(wǎng)絡(luò)結(jié)構(gòu)的變化和未來(lái)公司結(jié)構(gòu)的擴(kuò)展， 此結(jié)

11、構(gòu)可以方便地增加和減少組織單元， 為分 公司建立新的子域，充分滿(mǎn)足了可擴(kuò)展性和可伸縮性的要求。3. 用戶(hù)賬戶(hù)規(guī)劃3.1 根據(jù)部門(mén)名稱(chēng)創(chuàng)建組織單位（） ，在內(nèi)建立本部門(mén)員工的帳戶(hù)和包括本部門(mén)所 有帳戶(hù)的全局組。3.2 根據(jù)公司員工的組織結(jié)構(gòu)，為每名員工建立唯一的域用戶(hù)賬戶(hù)，全部員工賬戶(hù)采用統(tǒng)一的命名規(guī)范。登陸名為 “中文姓氏漢語(yǔ)拼音全拼中文名字漢語(yǔ)拼音全拼” 。用 戶(hù)全名為員工的中文姓名。當(dāng)出現(xiàn)名稱(chēng)相同時(shí)，在名稱(chēng)后添加生日的月份來(lái)區(qū)分。用戶(hù) 賬戶(hù)描述為該員工的職務(wù)。全部員工賬戶(hù)密碼設(shè)置采用初始密碼 1234# ，并設(shè)置策略要 求用戶(hù)在第一次登錄時(shí)更改密碼。示例：財(cái)務(wù)部部門(mén)主管張宇登錄名：全名：張

12、宇描述：財(cái)務(wù)部主管初始密碼： 1234#建立位置： : 為了實(shí)現(xiàn)權(quán)限管理的簡(jiǎn)單化，整個(gè)網(wǎng)絡(luò)系統(tǒng)采用對(duì)用戶(hù)組分配權(quán)限，每個(gè)部門(mén)的設(shè)置 一個(gè)全局組， 該組中包含該部門(mén)所有員工的用戶(hù)賬戶(hù)。 除董事長(zhǎng)和部門(mén)主管外， 權(quán)限的分配 均以各部門(mén)的全局組為對(duì)象， 董事長(zhǎng)和部門(mén)主管的權(quán)限單獨(dú)分配。 所有用戶(hù)組采用統(tǒng)一的命 名規(guī)范，組名為部門(mén)名的漢語(yǔ)拼音全拼。示例：財(cái)務(wù)部組名： 組的成員：財(cái)務(wù)部主管、財(cái)務(wù)一、財(cái)務(wù)二 建立位置： :八、文件服務(wù)器通過(guò)設(shè)置專(zhuān)用的文件服務(wù)器完成公司文檔的集中管理， 在文件服務(wù)器上為部門(mén)建立專(zhuān)用 的文件夾， 以部門(mén)名字的漢語(yǔ)拼音全拼， 存儲(chǔ)部門(mén)文檔。 服務(wù)器采用大容量磁盤(pán)和系統(tǒng)特有 的文

13、件系統(tǒng)， 實(shí)現(xiàn)文件級(jí)的安全。 員工可以通過(guò)映射網(wǎng)絡(luò)驅(qū)動(dòng)器訪(fǎng)問(wèn)服務(wù)器上的文檔， 就像 在本地訪(fǎng)問(wèn)資源一樣簡(jiǎn)單快捷。 在服務(wù)器上使用文件系統(tǒng)中提供的磁盤(pán)配額功能可保障存儲(chǔ) 空間得到有效合理的利用。計(jì)算機(jī)名：系統(tǒng)配置：文件服務(wù)器硬盤(pán)至少劃分為兩個(gè)分區(qū)，分別為C盤(pán)和D盤(pán)，C盤(pán)為主分區(qū)，安裝操作系 統(tǒng)，容量10G以上。D盤(pán)為邏輯分區(qū)，用于存儲(chǔ)共享文檔。兩個(gè)分區(qū)均采用文件系統(tǒng)。在 D 盤(pán)上建立文件夾并共享，共享名為。在文件夾下根據(jù)部門(mén)分別建立文件夾并以部 門(mén)名稱(chēng)命名。文件服務(wù)器利用共享權(quán)限和權(quán)限實(shí)現(xiàn)文件級(jí)安全， 董事長(zhǎng)對(duì)所有文件擁有全部權(quán)限， 部 門(mén)主管只對(duì)本部門(mén)文件擁有全部權(quán)限， 普通員工只對(duì)本部門(mén)文件

14、夾擁有讀寫(xiě)權(quán)限。 董事長(zhǎng)能 夠訪(fǎng)問(wèn)所有文件夾和文檔， 部門(mén)員工和主管無(wú)法訪(fǎng)問(wèn)其他部門(mén)的文件夾。 具體權(quán)限設(shè)置見(jiàn)表：文件夾名共享權(quán)限權(quán)限D(zhuǎn):組完全控制董事長(zhǎng)完全控制，列出文件夾目錄董事長(zhǎng)無(wú)董事長(zhǎng)完全控制財(cái)務(wù)部無(wú)全局組讀寫(xiě)、董事長(zhǎng)完全控制、財(cái)務(wù)主管完全控制行政部無(wú)全局組讀寫(xiě)、董事長(zhǎng)完全控制、行政主管完全控制人事部無(wú)全局組讀寫(xiě)、董事長(zhǎng)完全控制、人事主管完全控制文件服務(wù)器可以采用系統(tǒng)提供的磁盤(pán)配額功能來(lái)控制各文件夾空間占用。可以在D 盤(pán)啟用磁盤(pán)配額， 根據(jù)需要分別限制 4 個(gè)部門(mén)文件夾最大磁盤(pán)使用量和警告級(jí)別， 例如將每個(gè) 部門(mén)的存儲(chǔ)空間都限制為 10G，當(dāng)占用空間達(dá)到 9.5G時(shí)發(fā)出警告。董事長(zhǎng)的文

15、件夾不受限 制。在活動(dòng)目錄中發(fā)布共享文件夾， 員工即使不知道資源位于哪臺(tái)服務(wù)器上， 也能通過(guò)目錄 服務(wù)搜索和查詢(xún)到所需的資源。九、防病毒服務(wù)器和服務(wù)器將已有的防病毒服務(wù)器和服務(wù)器加入域中。客戶(hù)端計(jì)算機(jī)采用主流的 操作系統(tǒng)，所有員工使用的計(jì)算機(jī)配置各種客戶(hù)端角色， 包括域客戶(hù)機(jī)、文件服務(wù)客戶(hù)機(jī)、打印服務(wù)客戶(hù)機(jī)、防病毒客戶(hù)機(jī)等。將客戶(hù)機(jī)加入域，相 應(yīng)的計(jì)算機(jī)帳戶(hù)放置在對(duì)應(yīng)部門(mén)的中， 然后添加用戶(hù)使用的打印機(jī)并設(shè)置相應(yīng)的優(yōu)先級(jí)。 各 員工以自己本部門(mén)的打印機(jī)為默認(rèn)打印機(jī)。 在每臺(tái)客戶(hù)機(jī)上為員工映射網(wǎng)絡(luò)驅(qū)動(dòng)器， 將共享 文件夾 映射為本地驅(qū)動(dòng)器，完成所有的配置?？蛻?hù)機(jī)屬于域的成員，可以查詢(xún)和使用域 中

16、的網(wǎng)絡(luò)資源， 可以訪(fǎng)問(wèn)和使用共享文件夾和打印機(jī)， 同時(shí)實(shí)現(xiàn)病毒碼自動(dòng)分發(fā)與更新和和 時(shí)掃描功能。采用整個(gè)公司統(tǒng)一管理與分部門(mén)管理相結(jié)合的方法， 可以簡(jiǎn)單方便地同時(shí)完成整個(gè)網(wǎng)絡(luò) 的安全策略設(shè)置， 而不需要對(duì)每個(gè)用戶(hù)進(jìn)行單獨(dú)設(shè)置， 大大降低了網(wǎng)絡(luò)的管理成本； 又可以 根據(jù)部門(mén)的特殊需要，靈活地在本部門(mén)應(yīng)用特殊的策略，滿(mǎn)足工作要求。整個(gè)公司統(tǒng)一的安全策略在域級(jí)別設(shè)置，建議啟用如下策略：?jiǎn)⒂妹艽a必須符合復(fù)雜性要求密碼長(zhǎng)度最小值為 7密碼最長(zhǎng)存留期為 30 天帳戶(hù)鎖定策略帳戶(hù)鎖定閾值為 5 次無(wú)效登陸在組織單元內(nèi)設(shè)置軟件安裝策略， 幫助管理員布置本部門(mén)的軟件， 以避免重復(fù)操作和減少出錯(cuò)的可能。軟件安裝策略功能非常靈活和豐富，可以實(shí)現(xiàn)以下功能：a. 分發(fā)軟件指派：可設(shè)置將軟件分發(fā)給內(nèi)的某用戶(hù)， 此用戶(hù)在登陸任意一臺(tái)計(jì)算機(jī)時(shí)開(kāi)始安裝， 并可使用。亦可設(shè)置分發(fā)給某臺(tái)計(jì)算機(jī)， 使登陸到此計(jì)算機(jī)的用戶(hù)都可使用該軟件。 發(fā)布：