中小企业局域网

中小企业局域网（共12篇）

中小企业局域网 篇1

摘要：随着我国信息技术的快速发展, 互联网技术已经走进大众的生活。而对于许多的中小企业来说, 互联网的应用也是企业拓展业务和发展的重要构成部分。这样不但能够节省企业拓展业务所需要的经费, 还能提高员工的工作效率。而无线局域网的出现又给企业的互联网应用注入了新的血液, 企业员工可以通过无线局域网将自己的电脑和手机进行连接以便于数据的传输等工作。随着无线局域网的发展, 许多的电脑和手机都已经拥有无线网络的功能, 这也给无线局域网在中小企业中的应用打下一定的基础。

关键词：互联网,无线局域网,中小企业,应用

随着我国的信息化时代的到来, 无线局域网应用技术已经取得了一些成绩, 但是由于其他原因, 一些企业的应用网络模式仍然是有线网络。企业的网络相关工作人员因为没有建设无线局域网的经验, 更不愿意对无线局域网进行全面的了解, 所以就造成一些企业没有使用无线局域网。

1 有线局域网的局限性

1.1 网络扩展不方便

因为传统的有线局域网是通过路由器和交换机来对有线网络进行分线的, 只有这样, 有线的局域网才会被用户使用, 而有线局域网的网络布线一般采用的都是双绞线的方式, 并且提前布置好, 而对于现代的许多企业为了美观的要求, 线一般都布置在墙内。所以说如果对有限局域网今夕网络扩展就必须对线进行重新布置, 这本身就是一项繁琐的工作。

1.2 有线局域网存在网络死角

即使实现对有线局域网的布线进行周密的规划, 但是有线局域网仍然会存在许多的网络死角。尤其是对于企业来说, 相关的人员可能企业的一些办公区域的布线比较周密, 很少有死角。但是对于企业的一些其他的场合就会出现较多的网络死角, 所以在这些场合的人员的上网条件是无法得到保障的。

1.3 有线网络的维护成本高

有线网络的电缆要进行定期的检查和维护, 电缆的检查工作本身就是耗时耗力的工作, 一旦检查出问题对电缆进行维修还需要投入资金。还有就是如果企业的环境发生改变, 就需要对有线网络的布线进行重新的布置, 这工作中产生的线路费和人工费加在一起也是很高的。有线网络的更改和维护还可能就是路由器和交换机的更换, 这都会给有线网络的维护增加成本。

2 无线局域网技术

2.1 无线局域网的概述

无线局域网和有线局域网最大的不同就是前者不需要借助网线就能实现对网络信息的传递。它主要是通过射频的技术来实现的, 正是因为它的便捷性、移动的灵活性以及成本低使得无线局域网有着很广阔的应用前景。随着无线局域网技术的不断成熟和发展, 现代许多的医院、企业、商店都应用了无线局域网。

2.2 无线局域网的设备

如果一个企业想实现无线局域网的覆盖, 就必须安装无线局域网的设备, 其设备主要包括无线路由器、无线接入点、无线网卡这几种。

2.2.1 无线路由器

无线路由器其实就是把有线的路由器和无线接入设备进行组合而成的, 企业可以通过无线路由器对数据进行共享。无线路由器还可以对无线和有线连接的终端划分到一个区域网络里面, 这个区域网里面的各个设备可以对数据进行共享, 而且非常方便。对于中小型的企业来说, 无线路由器的安装数量很少就可以满足企业的上网需求。

2.2.2 无线接入点

无线接入点就是在无线网和有线网进行沟通的桥梁, 因为无线接入点是以它为圆心向四周扩散的, 所以企业在安装无线接入点时应该将它设置在尽量能满足所有人的一个位置, 一个无线接入点可以让200多个用户同时上网, 如果在人数比较多的情况下, 可以很便捷的增加无线接入点的数量对无线局域网的范围进行扩大。

2.2.3 无线网卡

它就是在有线网卡的基础上延伸出来的, 只不过它是以无线电的方式对网络数据进行接收和发送。

3 中小企业安装无线局域网的优势

3.1 充分利用企业资源

因为电子产品的更新换代的频率较快, 致使台式电脑和手提式电脑的价格的距离在逐渐减少。一些企业员工考虑到笔记本方便携带、省电等一些优点, 在购买电脑是更加倾向于笔记本, 所以随着时间的变迁, 企业的绝大部分电脑都会别笔记本所代替。在这种情况下企业也必须把传统的有线网络改变成无线局域网络, 这样员工在办公时就不必受到线路的限制。

3.2 无线局域网的网络扩展非常便捷

无线局域网的网络拓展可以通过增加无线接入点来完成, 没有了有线网络扩展网络需要重新布线的繁琐工作, 也在一定程度上节约了人工成本。无线局域网的后期维护费用也没有有线网络的维护费用那样高, 维护起来非常方便。

3.3 克服了有线网络死角的问题

只要是无线接入点能够覆盖到的地方都能上网, 没有有线网络受到线路的限制问题。只要企业在安装时对无线路由器或者无线接入点进行合理、科学的布置就能满足整个企业员工的上网, 没有网络死角的问题。

3.4 节省了大量的网络维护成本

没有有线的大量布线就很大程度上节约了布线和人工成本。只需要在企业的各个楼层预留一两个以太局域网接口就可, 不像有线网络, 也节省了后期大量的维护成本。

3.5 可以和原来的网络进行合并

好多的企业因为长期使用有线网络, 因此企业在对有线网络的建设和维护都投入了比较多的资金和精力, 如果因为无线局域网的安装就放弃对有线网络的使用, 这不但会造成资源的浪费, 也会使企业的资金投入没有起到作用, 因此可以将这两者进行合并。无线网作为有线网的一种提升和补充, 在企业员工办公室能够更加便捷, 从而提高工作效率, 为企业创造更多的效益。

3.6 可以给员工的办公带来许多的方便

不管是本企业的员工还是外来的办公人员, 如果想用网络办公只要取得网络官员的授权就可以进行上网办公, 不必要为了上网办公到处找网线。这种方式也成了网络软件的管理, 对于网络管理人员的管理也非常方便。

4 结束语

随着科技的进步和发展, 无线局域网技术会变得越来越成熟, 应用前景也会越来越广泛。相信未来的许多行业都将会应用到无线局域网, 无线局域网也会成为网络的主流。对于中小企业来说, 尽早的将传统的有线局域网络变化成无线局域网是必然, 它可以更加方便企业员工开展日常的工作和拓展企业业务, 也是对中小企业带来更多收益的一个方式。

参考文献

[1]刘晓辉, 杨兴明.中小企业网络管理员实用教程[M].北京:科学出版社, 2004.

[2]段水福, 历晓华, 段炼.无线局域网 (WLAN) 设计与实践[M].杭州:浙江大学出版社, 2007.

中小企业局域网 篇2

随着企业网络管理需求的不断增长，网管软件的也日趋成熟，越来越多的网管软件出现，功能也不尽相同，企业在选择网管软件的时候会更加困难，特别是中小企业在投入上的不足，选择网管软件时更加困难，小草上网行为管理软路由的出现，为众多企业解决了这一问题。

作为企业的网络管理人员，要想使得企业的网络能够正常运转，一套行之有效的网络管理系统不可或缺，它可以帮助网络管理人员及时定位网络管理的问题源，并从根本上防患于未然，将网络管理问题消灭在萌芽状态。那么作为企事业单位的网络管理人员，如何选择控制局域网的软件呢？小草上网行为管理软路由有下面的建议。

要有效的限制网络应用。网络畅通的前提是网络的各项应用应该在一个规范的前提下使用。实际上，企业正常的业务应用对带宽的使用是非常有限的，大部分企业的网络带宽都可以满足企业的业务运转需要。但是我们经常听到网管抱怨企业的网络带宽不能满足企业的需要，究其缘由，实际上很多与企业正常业务不相干的网络应用占据了企业大量的网络资源，比如当前流行的P2P软件、P2P视频和点对点的各种应用，如网络电视、流媒体等等。所以，一套合格的网络管理系统，应该是能够解析这些网络应用的具体行为，如果是与企业业务不相关的应用应该加以封堵和限制。对P2P软件的封堵，将在很大程度上缓解企业的网络带宽占用；同时，对P2P软件的封堵也将很大程度上减少员工不合理使用网络的行为，从而降低对工作时间的占用，有利于员工提升工作效率，净化网络环境。

其次要安装使用简单。因为中小企业缺乏专业的IT人才，所以中小企业需要的是只需要在局域网的一台电脑上部署就可以控制局域网的计算机了，部署较为简单，而且对员工的负面影响较小，一般在不知不觉中就被监控了；不受客户端的任何影响。但是需要注意的是，即便是B/S架构的网络管理系统，有些也要求对网络环境做调整，如在交换机做端口镜像、部署代理服务器或者HUB等方式，这样的架构是一种旁路监听的模式，只能对TCP报文、HTTP报文进行控制，无法控制UDP报文和P2P报文，所以对P2P工具的封堵也极为有效，不太适合对上网行为进行有效的管理。

浅谈企业局域网的安全管理 篇3

关键词：计算机；局域网；安全；策略

中图分类号：TU714 文献标识码：A文章编号：1007-9599(2011)07-0000-01

Safety Management of Enterprise LAN

Wang Yu1,Zhou Wuqiang2

(1.Admin Office Plant,Luoyang Institute of Science and Technology,Luoyang471003,China;2.Luoyang Institute of Science and Technology,Luoyang471003,China)

Abstract:The construction of enterprise local area network as the main carrier of information,its security has become the current network management should not be ignored.This paper focuses on a number of enterprise local area network security management strategy to ensure security of enterprise information resources and the safe operation of the internal network.

Keywords:Computer;LAN;Security;Policy

一、概述

随着信息化技术日新月异地发展，企业管理信息化越来越受到企业的重视，企业ERP系统、OA系统、企业邮件系统和企业网站管理系统等先进的管理系统都相继进入企业并成为企业重要的综合管理系统，企业局域网与互联网(Internet)连接，形成一个内、外部信息共享的网络平台。这种连接方式使得企业局域网在给内部用户带来工作便利的同时，也面临着外部环境——互联网的种种安全威胁，如病毒、恶意软件、黑客、垃圾邮件、流氓软件等给企业局域网的安全和性能造成极大地冲击。因此，企业局域网安全与保密的重要性就日渐提到了议事日程上来。

二、企业局域网的不安全因素

（一）人为因素

人为因素是企业局域网安全问题的最主要的因素，一些不法之徒通过互联网潜入企业内部局域网，窃取企业重要数据或篡改系统数据，破坏计算机系统，传播计算机病毒等。此外，还有管理不善，规章制度不健全，或有章不循、安全管理水平偏低、人员技术素质差、操作失误等，都会对局域网的安全造成威胁。

（二）偶发性因素

如高温或低温、电源突然断电或电压突然升高造成网络设备损坏等。

（三）网络设备因素

计算机局域网设备与线路众多且分布广泛，系统硬件的缺陷、通信线路的安全性均对网络的安全构成一定的威胁。

（四）软件因素

接入企业局域网的计算机所安装的大多数操作系统和应用软件都会有各种各样漏洞，而这些漏洞恰恰给黑客进行网络攻击提供了可能，给网络安全带来了巨大的隐患。

三、企业局域网的安全管理方案

（一）物理安全

计算机局域网系统的各种设备的物理安全是整个信息系统安全的前提，要实现局域网的安全，首先要保证网络设备本身或物理线路免遭水灾、火灾等环境事故以及人为操作失误或错误导致的破坏。可采取的措施有：

1.设备安全与保密：主要包括设备的防盗窃、防破坏等。中心机房应采取安全防范措施。拒绝非授权人员进入。如采用有效的电子门禁系统，采用磁卡或生理特征进行身份鉴别，并安装视频监控系统等。

2.应用热备份连接和冗余热备技术：备份连接在主连接失败后立即启动，自动接替主连接的工作。核心设备的冗余热备技术，可以有效地保障网络设备的安全性。

（二）采用技术手段保障局域网安全运行

1.防火墙的应用：在网络中，所谓“防火墙”，是指一种将内部网和公众访问网(如Internet)分开的方法，它实际上是一种隔离技术。它可以建立起一个安全网关，从而保护内部网免受非法用户的侵入。防火墙最基本的功能就是控制在计算机网络中，不同信任程度区域间传送的数据流，它能允许“同意”的人和数据进入网络，同时将“不同意”的人和数据拒之门外，最大限度地阻止网络中的黑客来访问网络。换句话说，如果不通过防火墙，企业内部的人就无法访问Internet，Internet上的人也无法和公司内部的人进行通信。

2.防病毒软件的应用：病毒是在网络应用中最常见、也是造成危害极大的一种网络不安全因素，而且计算机网络使病毒的传播速度更快、扩散面更广、危害更大，因此在网络中，防病毒软件的安装和管理十分关键，它不仅关系到网络维护的效率和质量，而且涉及到网络的安全。选择一个功力高深的网络版杀毒软件是至关重要的。一般而言，查杀病毒是否彻底，界面是否友好和方便，能否实现远程控制和集中管理，是决定一个网络杀毒软件好坏的三大要素。

3.划分VLAN(虚拟局域网)：VLAN，是英文Virtual Local Area Network的缩写，中文名为“虚拟局域网”，VLAN是一种将局域网（LAN）设备从逻辑上划分成一个个网段（或者说是更小的局域网LAN），从而实现虚拟工作组（单元）的数据交换技术。它可以覆盖多个网络设备，允许处于不同地理位置的网络用户加入到一个逻辑子网中。当网络内的计算机、交换机等设备的总量达到30%时，网络的传输效率将会明显下降；网络运行过程中，网络设备故障、终端网卡故障、网络环路，尤其是计算机病毒均可能在广播域中形成广播风暴，使网络通信陷入瘫痪。进一步加强网络管理，提高网络的安全性、增加带宽、降低延时便成了关键问题，虚拟局域网(VLAN)技术为其提供了最佳解决方案。

（三）制度建设

计算机网络的许多安全问题出自于管理制度上的漏洞，因此，加强网络安全管理的制度建设刻不容缓。企业局域网作为企业信息化建设的主要载体，要使它发挥出应有的作用，必须强化管理，根据自身的应用与安全需求，制定安全管理制度并严格执行。安全管理制度是企业局域网安全问题得以实现的重要保证，也是防止内部破坏最有效的方法之一，网络管理机构应制定完整的人员分工管理和培训制度、机房设备管理制度和软件数据管理制度等，并严格执行。

四、总结

综上所述，实施企业局域网络的安全与保密建设是企业发展的重大战略之一，局域网的网络安全关系到局域网内所有用户，是实现企业内部产品数据共享、协作的可靠保障，是确保数据有效和统一管理的基础，是资源调配、节约能源、耗材的重要途径。因此，为了企业适应新形势的需要，更好的为企业产品的开发、设计、制造、销售服务，提高市场的竞争能力和促进企业经济效益的提高，就必须把企业局域网络的安全与保密工作放在重要位置，逐步建立并完善有效管理，最终达到提高企业的经济效益的目的。

参考文献：

[1]王卫国,张伊,李明敏.局域网组建与维护实例教程[J].北京:清华大学出版社,2007

[2]戴宗坤,罗万伯等.信息系统安全[J].北京:电子工业出版社,2002

中小企业局域网 篇4

随着计算机网络的普及，电子商务已经迅速发展并给企业带来了巨大商机，越来越多的中小企业开始建立自己的计算机局域网[1]。企业局域网系统是一个较为复杂的系统，因为技术力量和重视程度等原因，中小企业所有网络设备往往只是简单地接入，一般不进行合理规划和配置，随着各种业务和应用系统的增加，导致网络管理困难、网络系统实际运行效率低，网络设备更新成本高等问题。如何有效地利用现有的网络资源、方便快捷地管理一个日益庞大的局域网络, 这是亟待解决的问题。而随着云计算技术的发展，组建基于云计算的局域网，在成本、安全等方面相对于传统的局域网具有更大的优势[2]。

2、典型设计案例

2.1 企业现状

某企业目前大约200人规模，计算机150台左右。该企业目前建筑和计算机设备分布如下：企业共有4栋楼，分别为1号楼、2号楼、3号楼、4号楼，各楼栋之间的距离皆为100米。其中，1号楼为企业的行政楼，分三层，共有30余台计算机分布在各个办公室中，每层各10台；2号楼为企业产品销售部和客服部，分四层，共50余台计算机，其中销售部在1、2、3层，每层都有10余台，客服部在4层，约有15台；3号楼为企业产品研发部，分三层，共45台计算机，每层各有15台；4号楼为企业产品生产车间，分四层，共20余台计算机，每层约5台。

2.2 设计目标

设计需要实现以下目标：

(1) 实现安全访问外网、发布企业信息、宣传企业文化、发表意见交流工作、与外界的通信、外地员工可远程访问企业资源、使用FTP服务器存取文档资料等常用企业任务和需求；

(2) 着眼于未来技术的发展, 使现有网络具有较好的扩展性, 并为用户到用户、用户到应用提供速度合理、功能可靠的连接；

(3) 网络运行稳定，提供方便的监测和管理功能, 在较大的程度上实现管理人员解决故障的效率；

(4) 用相对较低费用实现, 并考虑合理应用服务器的带宽, 保证所有资源获得尽量大的效益。

3、设计模型

3.1 网络拓扑结构设计

根据企业目前计算机设备和企业部门分布情况，将企业的每个部门划分成不同的局域网。其中，企业研发部在3号楼，为3层，每层接电脑等设备的台数分配接入层交换机；企业生产车间在4号楼，为4层，每层接电脑等设备的台数分配接入层交换机；企业行政楼在1号楼，为3层，每层接电脑等设备的台数分配接入层交换机；企业销售部和客服部在2号楼，为4层，每层接电脑等设备的台数分配接入层交换机。在每个楼中分配一个汇聚层交换机来连接企业的三层交换机或者路由器来保证企业内部不用局域网之间的数据传递和连接外网。具体如图1所示。

3.2 综合布线设计

该企业各楼层都需要进行综合布线设计，包括企业行政楼、企业销售和客服部、企业研发部、企业生产车间四个楼层。由以上各栋楼层连接成企业局域网，各栋楼间使用光纤连接，并且各楼分别需要网络布线以建设楼内局域网[3][4]。

(1）工作区子系统的设计。该系统是由RJ-45插座和所连接的设备组成。对于当前的企业而言，使用基本型即可。

(2）水平子系统的设计。该系统是从RJ-45插座开始到布线主干的子系统。由4对5类UTP组成，能支持大多数现代化通信设备。在设计水平子系统时用线采用UTP双绞线，并且长度不超过90米，UTP双绞线布线方式采用线槽管道布线方式。

(3）管理子系统的设计。为了管理方便，各层的交换机统一安放在设备间的配线架，故各层交换机只需一条光缆连接即可。管理间的设计及建设应考虑管理间位置、管理间环境要求、配线架排列、跳线管理、系统接地等因素。

(4）干线子系统的设计。干线子系统是结构化布线系统的骨干，包括供干线走缆走线用的垂直通道、设备间与网络接口之间的连接电缆、设备间与建筑群子系统之间的连接电缆、主设备间与计算机中心间的电缆。干线子系统的设计必须能满足当前的需求，同时又能适应今后的发展。

(5）设备间子系统的设计。设备间子系统中的电话、数据、计算机主机设备及其保安配线设备宜设在一个房间内。设备间的位置及大小应根据设备的数量、规模、最佳网络中心等内容综合考虑确定。在设备间子系统的设计和安装过程中还需要考虑配备不间断电源UPS和安全因素。同时，建筑群的线缆进入建筑物时应有过流、过压保护设施，设备间室温保持在10℃～27℃，相对湿度保持在30%～80%。

(6）建筑群子系统的设计。户外电缆在进入大楼时通常在入口处经过一次转接接入户内，为避免因雷击或高压线接触给人类和设备安全带来损失，通常在转接处增加电器保护设备。该企业建筑群子系统布线方式采用地下管道敷设方式，这种方式提供了最佳的机械保护，且电缆的敷设和扩充都很容易，能保持道路和建筑物的外貌整齐。

3.3 网络设备选型

由于是基于公共云计算服务的企业局域网，所以在设备方面企业只需要购买一台路由器用于连接企业与外部网络的连接，再购买一些功能不一的交换机来连接企业内部的电脑即可。

3.4 IP地址划分

结合企业目前状况，为每个部分设置成一个虚拟局域网。IP地址划分如表1所示：

在分配好IP地址后，配置相应的交换机端口，再配置路由器上的IP地址，其中路由器上广域网端口的IP地址为企业申请的外网地址，企业内部电脑可以通过路由器的NAT功能将内部地址转换为申请的外部IP地址，即可访问外部网络。

4、OPNET仿真测试

4.1 OPNET仿真测试

组建企业局域网的方案设计完成后，我们使用opnet仿真软件根据设计方案中使用的技术来进行仿真测试，满足真实环境中组建局域网。Opnet软件测试中，该企业的总体拓扑图如图2所示。

其中，四个红色点代表企业的四个建筑。建筑内布局如图3所示（以企业研发部为例）。

设置完成后，点击运行开始对企业局域网里的数据进行测试，（本次测试使用FTP测试为例）。图4显示了企业局域网中使用FTP服务时上传和下载资源时的服务端的响应时间，及使用FTP服务时接收和发送数据的速率。

5、结束语

该设计方案可大幅减少企业软件配置和相关计算成本，能有效地解决目前网络中出现的一系列安全问题，有较好的现实意义。因为局域网的规模、用途、资金投入等不同，网络设计方案也不尽相同，对于中小型企业来说，由于资金的限制，该设计主要考虑的是保证可行性的条件下做到最大程度的适应性。

摘要：针对中小型企业局域网架构中出现的缺陷问题, 提出在云计算基础上组建局域网, 以组建一个具有代表意义的中小型企业的办公网络为例, 研究其组建规划、综合布线、设备选型、子网划分等过程, 并对关键技术进行了仿真测试。结果显示, 该设计能降低企业成本, 扩充网络接入能力, 提高网络资源利用率。

关键词：云计算,局域网设计,仿真测试

参考文献

[1]沈泓, 范亚芹.企业局域网机密信息传输系统设计.吉林大学学报 (信息科学版) .2009 (3)

[2]李开复.云计算 (Cloud Computing) [R], www2008, 2008.4

[3]华为3Com技术有限公司编著.构建中小企业网络 (第一分册) [M].HCNE认证教材.http://www.huawei-3com.com

[4]华为3Com技术有限公司编著.构建中小企业网络 (第二分册) [M].HCNE认证教材.http://www.huawei-3com.com

[5]王文博, 张金文.OPNET Modeler与网络仿真[M].北京:人民邮电出版社.2003

中小企业局域网 篇5

企业网管都知道，企业局域网的内网管理关系着企业员工的工作效率，最终影响着企业的效益，加强企业局域网内网上网行为管理、流量监控管理，已经成为企业管理的重要组成部分。

其实我们知道局域网监控软件（例如小草上网行为管理软路由）可以实时监控企业局域网内所有员工电脑的所有上网操作，不仅可以规范员工的上网行为，提高工作效率，最为明显的就是它可以有机的将企业管理和企业安全结合起来，让管理更加的简单便捷。

我们就以小草上网行为管理软路由来说明，网络管理软件对企业管理的支持。

小草上网行为管理软路由可以监控员工上网行为，禁止员工在上班期间玩游戏、聊天、下载、看视频等行为。小草上网行为管理软路由可以禁止迅雷、快车、电驴等P2P下载，防止P2P软件下载占用大量带宽，影响工作的流量使用；小草上网行为管理软路由还可以禁止网络游戏、网页游戏等现在主流的游戏，例如魔兽、征途等，防止员工在上班期间内玩游戏；小草上网行为管理软路由对于炒股软件，也能监控。同时也可以根据网络管理需要，自行设定禁止员工访问某些网页，或者禁止员工登陆QQ、MSN、Skype等聊天工具。对于收发邮件也能监控其内容。

对其企业带宽流量，小草上网行为管理软件可以利用DHCP、IP-MAC绑定功能，合理科学的分配使用流量，固定IP防止外来设备接入，占用带宽；分配流量，对于企业对流量需求大的个人或者部分，要保证其带宽流量，可以适当多分配。

中小企业局域网 篇6

关键词：企业无线局域网；硬件维护；安全

中图分类号：TP393.08

无线局域网在日常办公、企业经营扮演着重要的角色，当企业内的员工使用无线局域网络时，不管他们在办公室的任何一个角落，有无线局域网络，就能随意地发电子邮件、分享档案及上网络浏览。

1 无线局域网简介

无线局域网（WLAN）是在有线局域网的基础上通过无线访问节点、无线交换机、无线控制器、无线网桥、无线网卡等设备使无线通信得以实现。Wlan利用电磁波作为传输媒介发送、接受数据，而无需线缆介质.使网络终端设备具有可移动性，满足了企业和员工实现移动办公的梦想.

2 无线局域网的企业需求

近年来，信息化建设迅猛发展，笔记本电脑、智能手机、平板等带有无线网卡的计算机终端走进了企业，办公形式向网络化、信息化、移动化转变， 便携式办公就显得尤为重要，传统的有线局域网中，企业办公地点往往受建筑设计的局限，员工的工作需求往往得不到满足。以我公司为例，虽然在每个办公房间都已预留网络接口，但仅能满足单台计算机的接入需求.当多个网络设备集中访问网络时（如远程培训、会议等），预留网络接口布局就显得力不从心。另外，楼与楼之间、部门与部门之间需要网络通信，如搭设有线网络，则需要综合布线，无形增加成本和维护费.而无线局域网不需要，不但能实现有线网络功能，而且更便捷，更高效，不受空间移动的限制.因此，“随时随地获取网络信息” 已成为广大企业员工们的新需求。

3 无线局域网设计原则

在企业架设和应用无线局域网，应把握以下原则：

3.1 安全性。网络安全可靠除了包含对人体无害、链路传输稳定之外，最主要的意义就是数据的安全性了。企业网络必须具有高度的保密机制，灵活方便的权限设定和控制机制，已防止各种形式的非法侵入和机密信息的泄露。要保证企业办公网络的安全性，应该从以下几点加以注意：

（1）网络安全准入机制。无线局域网采用多种接入认证方式，如Portal Server、802.1x、AS、OTP、Web认证等，从而满足企业无线网络的安全需求。对于不同的终端设备应采用不同的认证方式；（2）采用可靠的加密方式。现在常用的WLAN安全产品及其方案有很多，如SSID、WEP（Wired Equivalent Privacy）、MAC地址过滤和IEEE 802.1x/EAP认证。此外，有的产品采用WLAN通信与IP路由相结合的方式：IP的过滤、VPN等。网络设备采用先进的Stateful Packet Inspection防火墙技术，可以防护DoS攻击，还可以对可能会出现问题的E-mail发出警告通知。

3.2 信号覆盖范围和强度。无线局域网覆盖区域的确定需要根据终端设备接收到的信号强度来决定，企业网络管理员先设定一个信号强度阈值，例如，为满足某个区域的WLAN终端点播流媒体的需求，通过测量得知信噪比SNR=10dB是能够保证点播流媒体质量稳定的最低信号强度，所以可将10dB作为阈值，凡是信号强度不低于这个阈值的区域就确定为AP的覆盖区域；然后进行实地测量，并记录产生AP的覆盖区域图，最后根据定位原则进行调整，直到满意为止。

3.3 用户数量和传输性能。WLAN的优化设计不仅要从覆盖范围的角度来考虑，还要考虑其负载能力，以保证服务质量。以布置WLAN为例，假设实际的需求是要保证30个员工同时使用公司视频服务器，一个AP不能满足要求，需要在同一办公区域布置两个AP。由于用户需求是动态变化的，AP的实际负载可能会加重或减轻，这些变化可以通过对WLAN监视得知。网络管理员应根据实际变化对AP的数量和分布做出调整。

3.4 设备的稳定性。减少频段干扰，多个AP和多个无线路由器之间只要SSID名和频段不同就不会相互干扰，拒绝DHCP数据包，技术人员完全可以通过手动设置IP地址等网络参数的方法来减少DHCP数据包。保证企业无线局域网设备平均无故障时间（MTBF）应大于60000小时，从而保证无线网络的稳定运行。

4 无线局域网硬件维护

4.1 无线网卡。目前，WiFi较适于办公室中的企业无线网络.Windows XP内置有WLAN支持模块，无线网卡安装完成后，即可实现WLAN连接。通常情况下，可采用默认的“任何可用的网络（首选访问点）”。Windows 7/Me/2000则需要安装随无线网卡附送的客户端应用程序来设置要接入的WLAN。一旦操作系统装载完成后， 就可以安装无线网卡的驱动程序。企业网絡管理员将无线网卡的驱动程序打包成操作系统中的模块，可避免系统崩溃断电后无线网卡驱动程序的缺失。

4.2 AP和网桥。即无线局域网的接入点、无线网关，它相当于有线网络中的集线器。技术人员将企业所有无线AP通过局域网连接起来并连到独立的控制器，以实现所有AP集中调试及检测功能。每日应通过网管系统等各种手段对网管到AP的可达性、AP到AC的可达性、AP的工作状态进行监控、AP覆盖区域场强测试、AP覆盖区域信噪比，发现异常应立即组织进行现场测试和检修。企业多个AP形成的各自的无线信号覆盖区域进行交叉覆盖，促使各覆盖区域之间无缝连接。

4.3 计算机硬盘。作为终端设备运行、操作的核心之一，终端设备要尽量选取运转速度较快、容量较大的硬盘。企业网络管理员要对硬盘接口状况进行合理分析，对硬盘接口数据传输速度进行控制，要注意对硬件传输过程中的静电伤害指数进行把握，从本质上提高网络硬件维护质量效果。

5 无线局域网的安全策略

5.1 无线局域网安全策略设置。企业负责人指定专人管理核心区域的超级用户口令。技术人员定期修改用户口令，并报企业网管中心数据组归档。指定专人保管WLAN核心设备的查看口令。

5.2 实行安全监测制度。WLAN网络的安全维护、故障处理和设备更换情况要有详细记录.对局域网中的源地址、目标地址、原始端口、目标端口等进行安全监测，对可能出现的风险及时进行控制，降低风险发生率.并与原始数据比较，如有异常变化应及时进行网络安全系统进行排查，消除安全隐患。

5.3 集成无线和有线网络安全策略。无线网络安全不是单独的网络架构，它需要各种不同的程序和协议。制定结合有线和无线网络安全的策略能够提高管理水平，降低管理成本。例如，不论用户是通过有线还是无线方式进入网络时，都采用集成化的单一用户ID和密码。

5.4 强化人员管理。企业在进行无线局域网管理的过程中，要对企业人员无线局域网安全意识进行全面提升，对无线局域网中的网络安全及硬件维护措施进行教育，提升员工的管理技能。非专业人员可以在自己的办公室安装无线路由器和接入点设备，但是，他们在安装过程中很少考虑到网络的安全性，只要通过网络探测工具扫描网络就能够给黑客留下攻击的后门。因而，在没有专业系统管理员同意和参与的情况下，要限制无线网络的构建，这样才能保证无线安全。

参考文献：

[1]傅晓锋.局域网组建与维护实用教程[M].北京：清华大学出版社，2009.

[2]刘威.无线网络技术[M].北京：电子工业出版社，2012.

[3]王广才，李大强，刘溢.基于NTP协议的计算机时间同步及监控系统设计 [J].电信快报，2012（03）.

现代企业局域网系统设计 篇7

现代企业特别是大中型企业中, 越来越重视科学管理对企业发展的作用。各个职能部门形成了庞大的规模而且分工明确, 在某种程度上能充分发挥专业化分工的好处, 但从整体上看, 如果没有一套网络硬件和软件做支持, 各部门之间横向协调肯定会出问题, 甚至会产生冲突。如何组建这个起协调作用的网络系统, 已经成为每个企业所面临的一项课题。

二、企业局域网的设计规划

企业局域网的设计规划是以各部门之间更紧密的联系为目的, 通过企业局域网和各种智能软件就可以将单一的组织变为多维式的组织, 共同完成企业发展目标。

1、企业局域网设计原则

根据企业的规模和实际业务需求规划自己的局域网, 避免重复建设、缩短建设的周期;保证网络的标准化, 以支持网络的扩展和互联;保证系统安全和稳定可靠;保证网络的先进性和有效性, 除了满足公司的管理和办公自动化需要外还要为公司的其他业务提供网络服务, 保障网络有足够的带宽和处理能力。下面以某公司企业局域网为例, 详细说明企业局域网组网过程。

2、企业局域网需求分析

该公司为营业性质, 营业地点约3个分布于城区各处, 公司总部位于市中心。要建设该公司企业局域网, 首先对其需求进行分析:

(1) 该公司有自己的门户网站, 可提供客户需要查询的相关业务信息, 并进行网络上的业务。

(2) 公司各营业部需与总部进行联网, 提供营业及财务信息, 并实现资源共享, 视频会议等功能。

(3) 总部设立企划、行政、财务等多个职能部门, 可以连接互联网, 其他各营业厅不能连接互联网。

(4) 公司内部建立公司的数据库, 如员工档案、业务计划、会议日程等。

3、设计网络结构

根据企业局域网需求画出网络拓扑结构图:

作为企业局域网接入Internet, 采用光纤专线接入的方式比较高效、安全。该公司采用星型网络拓扑结构, 以公司总部交换机为中心, 由于一部分用户需要接入互联网, 另一部分不可以, 所以可将网络划分为若干个子网, 都连接到路由器上, 在路由器上设置IP, 其中一个子网IP可以访问互联网。再在公司总部交换机上接入文件服务器、FTP服务器、WEB服务器、邮件服务器、OA服务器、客户管理服务器等, 局域网内部电脑可通过局域网访问这些服务器等等, 当然如果有需要, 也可以在实现部门内部小型局域网、电话网、电视网络、智能安防系统接入, 只要增加相应的服务器和设备即可。

三、企业局域网实施

1、综合布线

当局域网建设目标提出后, 接下来就是如何实施的问题。逐步细化所有网络和系统的功能, 找出系统各元素之间的联系, 接口特性和设计上的限制, 分析他们是否满足需求, 剔除不合理的部分, 增加需要的部分。综合布线需要符合管理自动化、办公自动化、通信自动化、计算机网络化等多功能需求。细化布线要求, 例如:

(1) 确定每个工作区需要几个信息插座, 一般预留两个信息插座即可满足一般办公要求;

(2) 综合布线采用UTP (非屏蔽双绞线) 、STP (屏蔽双绞线) 或者光缆, UTP是目前较成熟、可靠的商用建筑综合布线系统所采用的线缆, 通常情况下可以满足在干扰环境下得使用需求;

(3) 每个工作区的干线电缆至少有3对双绞线

2、安装专业的服务器软件

可以通过安装Windows Server2008、Ser-U、Magic Winmail Server软件来实现架设企业文件服务器、Web服务器、FTP服务器等;还有现代企业最常用的OA (办公自动化) 软件, 可以轻松地实现信息的发布、技术管理、人员管理、工程流程管理的自动化、快捷地实现内部各部门以及人员之间的协同、各种资源的有效组合为员工提供高效的协作工作平台。

四、结束语

工业企业局域网系统建设 篇8

某钢厂于2005年开始进行局域网系统建设。经过近9年的建设初步建立起了一个可靠的局域网系统。以下将从OSPF路由协议、虚拟局域网络及网络资源监视平台几个方面分别介绍。

2 OSPF路由协议

OSPF (Open Shortest Path First) 是一个内部网关协议 (Interior Gateway Protocol, 简称IGP) , 用于在单一自治系统 (autonomous system, AS) 内决策路由。与RIP相对, OSPF是链路状态路由协议, 而RIP是距离向量路由协议。

链路是路由器接口的另一种说法, 因此OSPF也称为接口状态路由协议。OSPF通过路由器之间通告网络接口的状态来建立链路状态数据库, 生成最短路径树, 每个OSPF路由器使用这些最短路径构造路由表。

如图1为某钢厂网络OSPF区域划分示意图, 结合某钢厂原有核心层、汇聚层、接入层的三层网络架构及网络路由现状将公司网络的核心层划分为OSPF网络的主区域, 每个汇聚层的上联接口划分到主区域, 每个汇聚层交换机下属的业务划分到一个区域, 组合成了公司的OSPF区域图。并在每个汇聚层交换机上配置路由汇总以保证OSPF路由表的可读性。

建设后的OSPF网络实现链路自动负载均衡和链路备份, 有效的减少了路由汇聚的时间, 减少了链路故障对网络的影响, 使网络更加智能, 提高了网络的健壮性和网络的联动性。

3 虚拟局域网络

虚拟局域网络技术 (VLAN) 是一种将局域网设备从逻辑上划分成一个个网段, 从而实现虚拟工作组的数据交换技术。IEEE于1999年颁布用以标准化VLAN实现方案的802.1Q协议标准草案。VLAN采用多种方式配置于企业网络中, 打破了传统网络的许多固有观念, 使网络结构变得灵活、方便。但大多数人认为:一个虚拟局域网可以粗略地等同于一个广播域。更确切地说, VLAN可以不考虑用户的物理位置, 而根据功能、应用等因素将用户从逻辑上划分为一个个功能相对独立的工作组, 每个用户主机都连接在一个支持VLAN的交换机端口上并属于一个VLAN。同一个VLAN中的成员都共享广播, 形成一个广播域, 而不同VLAN之间广播信息是相互隔离的。这样, 将整个网络分割成多个不同的广播域。在不同VLAN中的主机是不能直接通讯的, 从某种程度上来说是将不同VLAN中的主机虚拟的隔离开了。

一般来说划分VLAN的方法有基于交换机端口的VLAN、基于MAC地址的VLAN、基于网络层的VLAN几种, 根据某钢厂网络架构的实际情况, 采用的是基于交换机端口的VLAN划分方法。

虚拟局域网络技术 (VLAN) 的使用增加了网络连接的灵活性;控制网络上的广播风暴;增加网络的安全性;增加了集中化的管理控制。同时使网络管理员可以逻辑上迅速、简单、有效地重新配置网络, 轻松自如地增加、删除和修改用户, 而不必从物理上调整网络配置, 大大提高的工作效率。目前, 某钢厂主干网络化分为150多个VLAN, 将公司主干网络化分为小的区域, 既实现了网络的安全性, 又实现了网络的精细化管理。

4 网络资源监视平台

要保证信息化平台的正常运行, 就必须保证分散的网络设备正常运行。网络资源监视平台能够实现对远程网络设备的管理能够提供丰富的应用服务资源、管理手段以及记录工具, 自动从各个角度对信息系统进行全天候的监视和管理, 并拥有远程通知故障告警的功能。主要实现以下几大功能:

(1) 建立以物理拓扑结构图为中心的任务管理。网络资源监视平台能够采用多种算法自动生成与网络真实情况完全吻合的网络物理拓扑图, 充分发挥图形、图象显示直观、形象的特点, 在视图上动态地加载各种设备、网络线路的性能负载数据, 建立面向网络运行维护、网络性能故障预警的网络性能资源视图。在该拓扑图上, 能够动态实时的反映当前设备的CPU负载、链路流量、VLAN部署、广播量和端口连接用户数量, 使网络管理者轻松掌控整个网络的实时运行状态。

(2) 完善的网络安全管理及故障处理机制。网络管理员能够在故障发生前对网络运行状态进行全面监测, 并开展以故障管理为核心的日常运维管理。故障管理是运维管理的重要内容, 通过设置合适的故障告警点、告警方式可以实现机房的无人值守。

(3) 详细的数据统计机制。网络资源监视平台提供设备端口流量记录和设备负载记录, 通过记录各主要网络“干道”的数据流量, 各主要设备的负载状况, 可以了解整个网络的业务运行状况。根据历史记录提供网络分析报告, 得到各时段的数据分析报告。方便网络管理员分析发生网络故障的原因, 避免类似事件的发生。同时为进一步的网络系统改造和调整提供统计数据和依据。

5 结束语

利用业内先进的OSPF路由技术, 实现了链路自动负载均衡和链路备份。虚拟局域网络技术 (VLAN) 的应用将原来规模庞大的广播域分割成了若干个小的广播域。增强了各业务模块之间的相对独立性和安全性, 阻止了广播风暴的发生。通过部署网络资源监视平台对网络进行全面监控。提高了网络的安全级别, 并且对网络中每一台设备都能做到实时监测, 迅速反映, 保证了网络的稳定性。

摘要：企业的局域网系统承载着整个信息化系统, 可靠的局域网系统保障着信息化系统各模块的稳定运行。本文将结合某钢厂信息化建设的实践经验阐述一个工业企业局域网系统建设的解决方案供大家参考。

中小企业局域网 篇9

企业局域网建成时间较早, 但服务器等设备负载不重, 始终能满足企业应用要求, 因此设备一直未更新和升级, 其中AD控制器和Exchange Server 2000邮件服务器仍在使用奔三志强级别的服务器, 功耗高, 效能低;企业不但具有内部邮箱, 在互联网上还拥有被托管的大容量企业邮局, 因此内部邮件服务器的负载并不重。文件共享服务、杀毒软件更新服务和WSUS服务同时位于另一台性能稍好的服务器。该服务器的最主要功能则是为企业局域网内的不到两百台计算机提供杀毒软件更新服务和操作系统补丁更新服务。企业Mis系统投入运行后, 原本独立的工作票, 缺陷管理等系统已全部作废, 因此中心机房的服务器提供的服务仅限于D N S服务, A D服务, WSUS服务, 卡巴斯基杀毒软件升级服务及内部Exchange Server邮件服务, 而WEB服务、IIS服务、FTP服务及企业通知等服务已由Mis系统相关模块实现。

由于目前正在运行的服务器都过于老旧, 操作系统和相应的软件也都停留在Windows Server 2000及同时代的产品上, 虽然可以采用服务器迁移的方式将所有现有服务器做成虚拟服务器直接迁移至新物理服务器上, 但是这并不是最合理的方式:首先, 现存服务器上运行的服务和软件对操作系统并无特殊要求, 采用新版操作系统和应用软件, 无论从服务功能和便于管理方面, 都要比采用就版本的系统和软件更有优势。其次, AD和DNS服务是静态IP域环境下最重要的两项服务, 应尽量安装并运行在物理服务器上。通常由于Exchange Server负载过大而不在虚拟服务器上运行, 但实际情况是公司Exchange Server负载较轻, 因此可放入虚拟服务器。杀毒软件升级服务和操作系统升级服务不会占用太多的系统资源, 仅仅可能在某一时刻占用较多的网络带宽而已, 物理服务器需采用双千兆网卡桥接并采用网络流量均衡的方式足以达到所有服务所需的带宽要求。因此将这些服务虚器拟化后放入同一台物理服务器是必要和可行的。

2 硬件和软件选型

选用DELL PowerEdge R710作为物理服务器, 其标配两个四核心Xeon E5504处理器, 36GB DDRIII内存, 两个146GB SAS硬盘, 集成双千兆以太网网卡。需将服务器硬盘扩充至6块15000转146G SAS硬盘, 其中5块组成RAID5列阵, 另外一块作为独立硬盘使用, 以保证足够的容量和可靠性。

物理服务器安装Windows Server 2008X64企业版, 物理服务器提供DNS、AD和文件共享服务, 由于企业采用静态IP地址系统, 因此DHCP服务不开启。虚拟机软件采用成熟度较高的VMware Server。共需安装两台虚拟机:第一台安装Windows Server2008 X64企业版, 配制成第二台AD控制器, 并安装Exchange Server 2007 SP1, 提供企业内部邮件服务功能;第二台安装Windows Server 2003 R2 X86企业版, 安装卡巴斯基控制台, 作为企业版杀毒软件升级服务器, 并安装配制WSUS服务, 为局域网用户提供Windows及Office等微软常用系统及软件的安全补丁升级服务。

3 内存及磁盘分配

物理主机具有36GB内存, 5块146GB硬盘RAID5之后容量约550GB, 另外单独一块146GB硬盘用来备份重要数据。Windows Server系统均能很好地支持4GB以上内存, 因此内存和磁盘容量的分配遵循按需, 按服务分配的基本原则:作为辅助域控制器及Exchange Server邮件控制器的第一台虚拟服务器负荷较重, 故分配16GB内存, 提供企业版杀毒软件及系统升级等服务的第二台虚拟服务器负荷一般, 故分配8GB内存, 其余12GB内存分配给物理服务器使用。

4 物理服务器操作系统安装和配置

由于企业目前运行的AD版本停留在Windows 2000 Server的级别, 因此配置物理服务器的AD时要注意采用Windows2000级别, 并且选择安装为额外的AD服务器, 当现有AD参数及用户信息被自动复制到该服务器并经测试可取代原有AD服务器进行域认证后, 将原有主AD服务器停机, 将新AD服务器IPV4协议的IP地址改成与原AD服务器IP地址一致, 既可保证所有局域网用户无需更该DNS设置。新AD服务器运行一段时间无任何问题后, 可适当提升AD级别至Windows 2003或者Windows 2008的级别。在第三物理磁盘Data分区建立共享文件夹, 存放一些不需要经常更新和备份的资料, 如软件的安装程序镜像, 局域网中用户主机操作系统的Ghost镜像文件, 一些教育资料和培训视频等等, 并且该服务器不允许局域网用户上传私人文件, 不建立私人文件夹, 不启用磁盘配额, 不采用DFS分布式文件系统。

5 安装VMware Server

在主机上安装VMware Server, 安装前需要安装IIS服务、终端服务以及终端服务授权, 然后按照安装提示进行安装, 需要禁用VMwareNAT服务并卸载VMnet8虚拟网卡, 停用VMwareDHCP服务, 并设置虚拟机工作路径为F盘的VMServer-Vms。

6 邮件服务器操作系统安装

在VMwareServer中安装Windows Server 2008 X64企业版, 并提升至AD控制器, 安装Exchange Server 2007 SP1, 邮件服务器仅需提供企业内部的个人邮件服务, 不提供外部邮件功能。

7 杀毒软件和系统补丁升级服务器的安装和配置

在第二台虚拟服务器中安装Windows Server 2003 X86 R2企业版, 作为普通的服务器加入域, 安装卡巴斯基企业版控制台和WSUS服务, 在WSUS服务中选择局域网内正在使用的操作系统和软件的相应版本的补丁, 审批规则按照默认安装高风险安全补丁进行自动审批。当设置完成后, 停用原有升级杀毒软件和系统更新服务器, 将此虚拟服务器的IP地址改为以前更新服务器的IP地址, 可避免局域网用户更改更新服务器设置的麻烦。至此, 所有原服务器上的服务已经全部由新服务器配合两台虚拟服务器接替, 虽然由于物理服务器性能很强, 所有服务完全可以由物理服务器提供, 但是出于对现有局域网客户端设置的考虑, 尽量在不改变用户计算机设置的情况下, 平滑过渡到新服务器, 因此需要结合虚拟化技术, 将邮件服务和杀毒软件升级服务分别由两台虚拟服务器提供, 这样局域网用户就不必更改计算机任何设置, 尤其是不必更改DNS、邮件服务器和系统升级服务器的IP地址设置, 仍能不间断的使用服务。

8 结语

虚拟化技术可为企业的中心机房带来更少的电力消耗和更高的利用效率, 其在大型企业中的应用已相当普遍, 随着虚拟化效率的不断提高和虚拟化产品价格的不断降低, 虚拟化技术必将在中小型企业中得到更多的应用和发展空间。

参考文献

[1]王春海.虚拟机技术与应用.

企业办公局域网的建设分析 篇10

企业办公局域网的主要特点是计算机之间没有主次之分, 可以互相访问和共享资源, 同时它还具有建设成本低、易于操作和维护等优点。在企业办公局域网的建设过程中, 除了要考虑合理布线, 还要兼顾部门的访问权限控制等问题, 施工过程较为复杂, 因此必须对其进行良好的规划。

一、建设企业办公局域网的基本步骤

1、主机房的选建

首先, 企业办公局域网的主机房不能设置在一楼。因为一楼一般都比较潮湿, 并且蚊虫也比较多, 使设备无法在一个稳定的状态下运行。其次, 主机房也不应设置在顶层。因为顶层容易出现漏雨的情况, 且顶层的室内温度也比较高, 这些都不是天天开空调和经常维修所能够彻底解决的。因此, 企业局域网的主机房最好设置在建筑物中部南北开窗的房间或靠近电梯、楼梯两侧弱电井的房间。

局域网主机房的面积应满足全部的机柜、UPS电源和空调所需, 并分为内外两间。其中外间用做办公室, 内间则用来摆放各种网络设备, 并要铺设防静电地板。空调、UPS电源和机柜的摆放要整齐, 所有的电源线路和网络进线都要从防静电地板下走线, 这样一来, 不仅可以使整个机房的布局看起来更加整洁、合理, 还会给网络管理人员的日常管理带来方便。

2、网络硬件设备的选用 (1) 服务器

一般来说, 想要建立一个企业局域网, 至少需要两台服务器。主域服务器本身并不会占用太多的电脑资源和网络资源, 因此对于CPU、主板和硬盘等配置的要求并不是很高, 最重要的是能够全天候稳定工作。而备份服务器还要作为文件服务器使用, 所以容量要大一些, 对于内存和硬盘的要求也更高。在选购服务器时, 要根据不同的用途来选择不同的配置, 以免造成资源的浪费。同时注意对机柜空间的利用, 尽量选用机架式服务器。键盘、鼠标和显示器只需一套即可, 通过显示转换器的切换, 共享给各服务器。

(2) 交换机

主域服务器和各二级楼层交换机是通过主交换机连接在一起的, 因此在购买时要选择那些带VLAN功能的交换机, 这样一来, 网络管理员就可以充分的掌握各交换机之间的通断和连接状况, 方便对故障的快速排查。

由交换机引起的局域网故障主要有两种:一是因网络接口接触不良而导致的网络时断时续。这种情况只需更换网络接口或新的交换机即可解决;二是由于交换机长时间工作产生大量网络冗余而造成的网络时快时慢。出现这种情况只需将交换机断电5~10分钟再重新启动即可解决。如无特殊原因, 交换机最好选用同一品牌, 这样既能为日常的调试和管理带来方便, 又能得到很好的互换和兼容性。另外, 二级楼层交换机与主交换机的连线一定要做好标识, 以便在日常维护时进行分辨。

3、安装局域网软件

企业局域网的软件主要分为系统软件和应用软件, 系统软件的作用是管理和控制网络运行, 提供通讯服务。应用软件则是为用户提供某一实际用途。

(1) Windows域控制网络系统

该软件安装在主域服务器中, 通过“域用户管理器”来实现对用户名和密码的分配, 从而实现对局域网用户的管理。

(2) 上网管理软件

上网管理软件的主要作用有三:一是实现共享宽带, 使具有权限的用户可以自由登陆互联网;二是对用户的上网时间、带宽和范围进行统计和监督;三是对用户的网上操作进行记录, 从而进行网络带宽的分配。

(3) 防病毒软件

无论是黑客攻击还是病毒传播, 都会对企业局域网的网络安全和数据安全造成严重威胁, 因此必须安装防病毒软件和网络防火墙对其进行保障。现阶段企业办公局域网安装的防病毒软件多为网络版, 它可以通过网络的服务器端对授权用户进行自动检测, 当有新的病毒库时还可自动升级。这样一来, 企业局域网的在线用户就可以享受防病毒软件的自动安装和升级的服务, 既不影响正常工作, 又免去了定期升级的麻烦。

4、完善布线系统

在完成主机房的选建和网络软硬件设备的安装测试后, 就要开始对网络布线系统的完善工作。一般来说, 建筑公司在完成办公楼建设时都会提供一份网络综合布线图, 上面标明了各楼层交换机的接口线路、各房间内的网络接口线路和电脑机房接口线路。但建筑公司并不是专业的网络设计公司, 难免会出现设计不合理的现象。因此, IT人员在对此图进行充分了解的基础上, 应根据相关标准和实际要求对其进行适当调整, 从而保证布线系统的合理性。

二、结语

企业局域网的建设过程并不是十分复杂, 但仍需要工作人员细致入微的进行权限划分、合理布线等工作, 使其既能安全、稳定的为企业提供服务, 又不会因为频繁的故障而给企业带来不必要的损失。

摘要：随着信息时代的到来, 企业办公局域网逐渐成为了企业日常工作中不可或缺的重要组成部分, 为企业加强对内部信息的管理、提升市场竞争力提供了有力的支持。本文就如何建设企业局域网进行了简要的分析。

关键词：企业内部网络,办公局域网,局域网建设

参考文献

[1]李保华、李敏:《局域网组建与维护》, 清华大学出版社, 2009.3。

[2]杨威:《局域网组建、管理与维护》, 电子工业出版社, 2010.5。

中小企业局域网 篇11

一、问题的提出

铁西区现有中小学77所，基本实现了“校校通”、“班班通”，55所学校及教育局直属单位通过自建光纤与区教育网络中心实现互联，其余学校通过租用联通公司裸纤与区教育网络中心实现互联。但随着网络应用的增加，一些问题随之而来。已经影响到网络的正常运行。主要表现在以下几个方面：城域网接人不可控，出现安全事件时很难定位最终用户，用户网络行为无法控制，无法提供差异化的服务，多个应用系统登录存在问题。特别是多个应用系统登录问题，铁西区现有教育网站和视频点播两套应用系统，还将陆续引进流媒体广播、数字图书馆、基础教育电子期刊库、教育资源中心等应用系统，这些分属不同厂商的系统都有各自独立的用户身份识别系统，且互不兼容，要多次输入账户和密码，非常不方便。

二、解决方案

要想解决上述问题，必须解决网络行为审计和用户实名制登录两个关键问题，还城域网一个安全和绿色的本来面目。通过对国内网络安全产品的调研，初步选定了锐捷RG-EGl000系列易网关和RG－SMP统一身份认证系统。即每所中小学在出口部署一台RG－EG1000系列易网关，区教育网络管理中心部署RG-SMP统一身份认证系统。具体架构见图1。在对这套方案的论证过程中。发现存在一些不足：

第一，学校规模不同。有的学校上网计算机数量接近400台，有的学校上网计算机数量仅为20多台，而且同一学校不同时间上网的计算机数量也会发生变化，这就要求选择不同配置的产品。第二，学校的信息技术专业人员的能力和水平参差不齐，对设备的使用和管理千差万别。第三，不排除个别学校会擅自摘掉该设备，脱离监管。

为解决这些不足。我们提出了集中进行网络管理的思路，即将所有的RG-EG1000系列易网关与RG-SMP统一身份认证系统全部部署在区教育网络管理中心。具体架构见图2。在这套方案中，若干学校为一组，共同接入一台二层全千兆交换机，每台交换机连接一台RG-EGl000系列易网关。这套方案既实现了网络集中管理，又合理利用了设备。在具体实施过程中，有几个问题需要进行考虑。

(1)学校如何分组。应把握这么几个原则：第一，根据学校上网计算机数量分组，即多少搭配；第二，根据近几年的流量监控分组，即大小搭配；第三，根据学校的性质分组，即中小学搭配。对于一些规模大的学校或重要部门，应单独设为一组。

(2)交换机的选择。国内外可供选择的产品非常多，指标千差万别，质量参差不齐，选择时应把握这么几个原则：第一，应支持IPv6协议；第二，普通的二层交换机即可；第三，至少应提供16个全千兆电口；第四，能够划分VLAN；第五，背板带宽尽可能高；第六，功耗尽可能小，最好是无风扇设计。通过比较，我们选择了锐捷RG-S2928G-E交换机。

(3)易网关的选择。选择时应把握几个原则：第一，高性能转发；第二，集成丰富的防火墙功能；第三，专业流控功能：第四，丰富并能实时更新的中文URL数据库；第五，深层次内容审计，本地化日志记录，基于用户身份的审计功能；第六，设备软、硬件高可靠性；第七，可快速部署。通过比较，我们选择了锐捷RG-EG1000S易网关。

(4)统一身份认证系统的选择。锐捷RG-SMP统一身份认证系统具备的身份认证功能、主机端点防护功能、基于客户端和基于Web认证的安全域管理、客户机进程列表获取功能、主机硬件变动日志功能、用户端软硬件信息学习和统计功能,ARP攻击三重立体防御功能、基于网络攻击的自动隔离和阻断功能等特征是业界很多产品所不具备的，能够较好地服务于教育城域网的集中管理。在这套方案中，通过锐捷RG-EGl000S易网关与RG-SMP统一身份认证系统的组合，实现了实名制的访问权限控制、实名制的流量控制、实名制的行为管理及日志审计。

此外，为解决多个应用系统重复输入账户和密码的问题，我们选择了锐捷的RG-SSO组件来实现单点登录问题，真正做到了“统一身份，统一认证，统一登录，统一入口”。

由于城域网用户数众多，所以必须利用分布式身份认证去满足城域网用户的高速进网认证的实名制上网需求：同时，安全策略却正好相反，需要一套统一的安全管理中心实现安全策略的快速部署与执行，并能够有机地将城域网的各种安全手段充分调动起来，实现基于用户身份的安全控制。

企业局域网病毒防护体系探讨 篇12

与传统病毒的以个人用户为攻击目标不同，计算机网络病毒的攻击目标多是针对企业用户和局域网。它们利用系统漏洞，主动进行攻击，其爆发具有一定的突然性，极易对整个互联网造成瘫痪性的后果。对企业用户而言，如何在局域网内建立一个完备的计算机网络病毒攻击防御系统，及时响应病毒攻击，减少入侵所造成的损失，成为一个极待解决的问题。

据IDC发布的报告《2006年中国用户IT安全现状与发展趋势》(文档号#CN326205)显示[1]：包括病毒、蠕虫、木马、垃圾邮件等的“安全内容”相关的问题已经成为网络安全首要的威胁，造成的经济损失也占有最大的比例。Internet蠕虫是目前网络威胁的主力，几乎每次蠕虫发作都会因其造成的巨大经济损失而给人们留下深刻印象。其中包括2001年的Nimda蠕虫病毒、2003年的“冲击波”以及2004年5月的“震荡波”。所以本文以蠕虫病毒作为研究对象。

2 计算机蠕虫病毒技术分析

蠕虫病毒作为一个Internet高速发展的产物，其历史比传统的病毒要短，但是蠕虫的破坏力却比传统病毒要大得多，这得益于它传播的“自动性”。由于计算机用户在被蠕虫和传统病毒感染后表现形式上较为相像，特别是在蠕虫结合了病毒技术之后，从计算机使用者的角度很难区分蠕虫和传统病毒，但是在本质上，蠕虫和传统病毒还是有很大的区别的。

2.1 蠕虫病毒的传播机制

蠕虫利用系统漏洞进行传播首先要进行主机探测。良好的探测扫描策略能够加速蠕虫传播，理想化的扫描策略能够使蠕虫在最短时间内找到互联网上全部可以感染的主机。按照蠕虫对目标地址空间的选择方式进行分类，扫描策略包括：选择性随机扫描、顺序扫描、基于目标列表的扫描、分治扫描、基于路由的扫描、基于DNS扫描等。

2.2 蠕虫病毒的攻击机制

随着网络的普及和蠕虫编写资料的大量涌现，编写蠕虫所需的门槛逐渐降低，越来越多的蠕虫在互联网中涌现出来，纵观蠕虫历史，不同的蠕虫所利用的具体漏洞也十分不同，但归纳一下，不难发现，网络蠕虫常用的攻击手段主要有以下三种：缓冲区溢出攻击、DOS攻击和DDOS攻击和弱密码攻击[2]。

缓冲区溢出攻击是通过往程序的缓冲区写超出其长度的内容，造成缓冲区的溢出，从而破坏程序的堆栈，使程序转而执行其它指令，以达到攻击目的的攻击方式。

DoS是Denial of Service的简称，即拒绝服务，造成DoS的攻击行为被称为DoS攻击，其目的是使计算机或网络无法提供正常的服务。最常见的DoS攻击有计算机网络带宽攻击和连通性攻击。分布式拒绝服务(DDoS:Distributed Denial of Service)攻击指借助于客户/服务器技术，将多个计算机联合起来作为攻击平台，对一个或多个目标发动DoS攻击，从而成倍地提高拒绝服务攻击的威力。

弱密码攻击是利用了用户密码简单甚至为空密码这个漏洞，这类蠕虫正是利用了用户贪图方便、安全意识薄弱的弱点进行攻击。它们往往自身携带一个弱密码字典，字典中包括常用的用户名和密码，攻击时蠕虫将用户名和密码进行组合，然后进行尝试，一旦成功就与远程系统建立连接将自身传给远程系统，并开始新一轮的攻击。

3 网络防治现状分析

从网络病毒来源来分析，公司内部计算机第一大传统来源为电子邮件，很多用户在接收外部邮件后没有对附件进行病毒查杀就直接打开，造成病毒感染。第二大传统来源为U盘。随着科技发展，U盘的成本在不断下降，而容量在不断上涨，U盘的使用率大大增加，成为第三大病毒来源，并开始逐步超越软盘。很多公司国内部使用即时通信软件，如QQ、MSN、SKYPE等软件业都有不同规模的使用率，因此成为第四大病毒来源。

现在普遍公司所使用的防病毒软件类型、版本众多，整体防护能力高低不等，响应处理方式各式各样;对于同一种病毒，各家厂商在病毒定义代码中给其的命名也不尽相同，在维护人员处理病毒时无所是从：对于公司内部病毒的整体感染情况，常常是无法做出精确有效的统计;防毒软件无法确定病毒源，难以提高防治效果[3]。

4 企业防病毒体系

4.1 目标

个人计算机在企业网络中所具有的多重角色与属性，决定了企业信息安全模型从单机使用者角度的“自愿安全”需求，到企业信息资产角度的“强制安全”需求的转变。企业可能已经制订了安全策略，但如果缺乏强制执行的手段，最终将导致安全策略形同虚设。本系统设计主要是针对计算机网络病毒泛滥的现状，着眼于企业网络边界和终端的安全，从保护企业边界和终端安全为出发点，实现以集中管理为基础的安全防护。设计核心思想是集中管理和强制策略管理实施，提供了基于browser/server和client/server相结合的网络边界和终端安全管理解决方案。

4.2 总体体系

本预警系统主要由以下主要的部分组成：安全代理、中心策略管理服务器、访问控制服务器、日志服务器、数据库。总体体系如图1所示：

局域网内计算机通过交换机连接路由器，在交换机和路由器直接放置一个集线器(HUB)，预警系统接集线器的一端，这样就能使预警系统所在的计算机能够接收到所有局域网内的数据包。

4.3 主要功能模块

管理员控制台是管理员的图形操作界面，它与后台策略管理模块通信，完成各种管理与操作功能。管理员通过浏览器登录到系统后，可以方便地对系统进行代理管理、系统管理和策略管理。管理控制台中对蠕虫病毒的监控是用模式匹配的方法来实现的，效率比较高的有KMP算法(Knuth-Morris-Pratt algorithm)，它是由D.E.Knuth、J.H.Morris和V.R.Pratt三人提出的一种快速串匹配算法[4]。该算法可以在O(n+m)的时间数量级上完成串的模式匹配操作。该算法充分利用在一次失败匹配过程中获得的信息，避免重复比较已经知道的字符，在一定程度上提高了匹配的效率。KMP算法的流程如下：

数组next[j]表示当模式中第j个字符与主串中相应字符匹配失败时，在模式中需重新和主串中该字符进行比较的字符的位置，该数组称为失败链接数组[4]。

后台策略管理模块通过心跳通信从安全代理实现强制认证，并且获得用户、应用程序和网络操作等信息，从而对企业内的终端进行管理，为系统管理员提供最新的信息。

安全代理运行在每台个人计算机上，是企业信息安全策略所定义的各项强制措施的具体执行者。它集成了病毒检测、主机防御等功能。安全代理从中心策略管理服务器获取当前安全策略，再根据下载的安全策略，执行各项强制安全措施，检查本机的安全状态并报告给中心策略管理服务器。监视本机行为，发送各类日志和告警到日志服务器，与中心策略管理服务器进行补丁查询。

访问控制服务器主要对企业内网中终端的网络访问进行控制。它作为外部的安全强制手段，保证被保护信息资产的安全。它根据安全代理提供的安全状态、被访问的地址和服务，以及中心策略管理服务器提供的验证信息决定采取通过或组织网络连接的动作。

日志服务器是用来收集来自于安全代理的所有服务的日志信息，并根据选项进行查选和报表生成。日志是指系统或软件生成的记录文件，通常是多用户可读的，对于安全来说，非常重要，它记录了用户的登录、分析故障、检查软件运行状况和调试软件等过程。

数据库存储着安全事件和日志、报告数据、状态信息、主机完整性检查信息。

5 结语

总体来说，本系统对于企业局域网内部的病毒类型、感染范围、发作频率等情况能够有效地监控，包括蠕虫病毒。但是防病毒工作只是信息安全工作中的必要组成部分，它还需要别的组成部分的支持。信息安全工作的各个组成部分是不能互相割裂的，必须整体考虑。如何全面抓好信息安全建设，是企业信息化建设工作需要进一步深入研究的课题。

摘要：通过比较蠕虫病毒与一般病毒的区别,分析了蠕虫病毒的传播、攻击机制和目前企业的防治现状,介绍了一种企业局域网病毒防治方案。

关键词：局域网,病毒防护,强制安全

参考文献

[1]Cliff Changchun Zou,Gong Don Towsley.Code Red Worm Propagation Modeling and Analysis[J].Computer and com-munications security Nov,2007:p138-147.

[2]Moheeb Abu Rajab,PFabian Monrose,Andreas Terzis.On the effectiveness of distributed worm monitoring[J].In Proceed-ings of the14th conference USENIX Security Symposium Aug.2005:p15.

[3]贾学东等.新型网络蠕虫特征分析及防御策略[J].信息工程大学学报,2004,5(3):p42-45.