XX公司网络解决方案
(一)网络问题
XX公司目前网络环境大致为,双外网4M ADSL带宽接入,利用多WAN口路由实现和信内部约64台计算机以及约30IPAD及若干手机的共享上网。
目前网络出现的问题有:1.无线路由负载大,无线路由的散热及连接数大,无线路由上的数据流量过大的话就会DOWN机,这也是家用无线路由的瓶颈;2.ADSL上行速率的瓶颈,×××慢;3.链路不够优化,故障点定位困难,故障排除时间长;4.工位网络端口和电话端口不足。5.带宽不足,上网慢。
桌面系统方面:软件版本不统一,出现老版本不能兼容新版本文件的情况,以及使用老版本导致的信息滞后,不利于企业信息化,也不利于个人技能的提升和企业整体技术水平的提升,个人桌面系统缺少必要的系统补丁更新,杀毒软件没有合理使用,软件安装乱,出现很多不必要的应用软件,影响机器的整体性能;
应用系统方面:资源分配不合理,安装不规范,数据和应用没有合理的规划,分散,不利于集中控制和维护。文件资源分享不规范,不能快速定位需要的日常办公常用文件;
网络安全方面:密码设置不规范,帐户和数据库密码短且易猜不安全,甚至帐户无密码保护,数据库和系统需定时备份。
所以,针对以上情况,给出大致的网络完善拓扑图,拓扑图如下,
(二)网络方案
一、项目背景
I 公司简介:XX公司,通过合理的运营和管理,发展迅速,员工人数已有64人左右,为了满足公司未来的发展和企业运营的需求,公司决定重新部署企业网络。
公司由技术部,产品部,市场合作部,财务部,综合管理部5个大部门组成。
II IT概况:公司已有一个局域网,运行约64台计算机以及约30IPAD及若干手机的共享上网,服务器操作系统是windows server 2003和linux,客户机的操作系统是windows xp,windows 7,苹果pad,pad工作在工作组模式下,员工一人一机办公。公司从ISP申请了2条4M ADSL宽带。采用多WAN口路由方式共享上网。由于计算机比较多,管理上缺乏层次,希望能够利用windows域环境管理所有网络资源,提高办公效率,加强内部网络安全,规范计算机使用。
二、需求分析
I 带宽需求:
公司带宽需求如下:
u 向大楼物业所在工程部申请带宽为10M的电信联通双线A级接入的光纤。
II 网络布线/电话布线/电话需求:
公司对网络布线/电话布线需求的需求如下:
u 网络布线,增加工位RG45以太网接口。
u 电话布线,增加工位RG11 电话接口。
u 新增电话交换机,电话机。
III 访问internet
u 员工可以上网查资料
u 监控员工上网行为
三、项目规划
I 规划IP地址
本项目中IP地址采用192.168.10.0/24网段。 计算机的默认网关为 192.168.10.1,客户机占用192.168.10.11以上的IP。具体分配方案见下表。
IP地址分配表
计算机名称
| IP地址
| 子网掩码
| 首选DNS服务器地址
|
PDC hxqf1 | 192.168.10.x | 255.255.255.0 | 192.168.10.4 |
BDC hxqf2 | 192.168.10.x | 255.255.255.0 | 192.168.10.4 |
Filesvr/HP QC | 192.168.10.x | 255.255.255.0 | 192.168.10.4 |
Exchange | 192.168.10.x | 255.255.255.0 | 192.168.10.4 |
Linux1 | 192.168.10.x | 255.255.255.0 | 192.168.10.4 |
Linux2 | 192.168.10.x | 255.255.255.0 | 192.168.10.4 |
RTX | 192.168.10.x | 255.255.255.0 | 192.168.10.4 |
财务 | 192.168.10.x | 255.255.255.0 | 192.168.10.4 |
版本服务 | 192.168.10.x | 255.255.255.0 | 192.168.10.4 |
客户机 | 192.168.10.y | 255.255.255.0 | 192.168.10.4 |
II 规划域
根据网络规模及集中管理和结构简单原则采用单域结构,域名为xx.me。实现网络资源集中管理,并保障管理上的简单性和低成本。
在域内按照部门名称划分组织单位(OU),即创建5个组织单位,分别是技术部,产品部,市场合作部,财务部,综合管理部,用于存储和管理各部门的用户帐户、组等资源。
域控制器作为整个域的核心服务器,完成对公司所有员工的帐户管理和安全策略的实施,为保证其可靠性,需要安装2台域控制器。
III 规划用户帐户和组
在各部门的OU中分别为该部门员工创建唯一的域用户帐户,帐户名为员工姓名的英文名,例如“xin.fang”。初始密码为“123.com”,并要求域用户帐户在首次登陆时更改密码。密码最小长度为8,并且符合复杂性要求。
为每个部门创建全局组,命名见下表
用户组规划表
部门
| 全局组
|
技术部 | Research |
产品部 | Product |
市场合作部 | Marketing |
综合管理部 | Administration |
财务部 | Finance |
将同部门的员工帐户分别加入各部门的全局组。
IIII 规划文件服务器
通过一台专用文件服务器存储公共文件以及员工的工作文档。文件服务器的C盘容量为30G(安装操作系统和软件),D盘容量大于100GB,并采用NTFS文件系统。在D盘的一个文件夹“software”存放公共文件,如常用软件、规章制度等。另一个文件夹“share”,存放部门和员工的工作文档。
在D:\share下为每个部门建立文件夹,部门文件夹下创建每个员工的文件夹。配置共享权限和NTFS权限,保障文件只被授权的用户访问。权限的配置应遵循AGDLP规则。避免直接为用户授权,除非该文件夹只有一个员工访问。文件服务器权限设置见下表。
文件夹权限设置
文件夹名
| 共享权限
| NTFS权限
|
D:\software | Everyone读取
| Everyone读取
|
D:\share | Everyone完全控制
| Everyone列出文件夹目录,总经理完全控制
|
D:\share\技术部
| 无
| 全局组Research读取、本部门经理和总经理完全控制
|
D:\share\产品部
| 无
| 全局组Product读取、本部门经理和总经理完全控制
|
D:\share\市场合作部
| 无
| 全局组Marketing读取、本部门经理和总经理完全控制
|
D:\share\综合管理部
| 无
| 全局组Administration读取、本部门经理和总经理完全控制
|
D:\share\财务部
| 无
| 全局组Finance读取、本部门经理和总经理完全控制
|
在文件服务器上,普通员工最大使用空间为1000MB,部门总监(经理)最大使用空间为2000MB,总经理的使用空间不限制。
在文件上传类型上限制只允许上传.doc .xls .ppt .wps .txt .zip .rar 这些办公文件类型。
对于重要的文件夹要制定备份策略,可以采用常规备份+差异备份的策略,按任务计划自动执行。
IIIII 规划上网方式
公司从ISP申请10M光纤,经多WAN口路由器,实现共享上网和上网行为管控,使用域策略完成客户端的统一配置,实现共享上网。并启用路由器上的防火墙策略和上网行为策略对用户上网行为进行监控并阻绝一切不使用的网络通信。
注:本方案参考了宋杨老师的一篇方案
转载于:https://blog.51cto.com/fangxin/774447