【2017年整理】小型企业局域网组建.doc

《【2017年整理】小型企业局域网组建.doc》由会员分享，可在线阅读，更多相关《【2017年整理】小型企业局域网组建.doc（51页珍藏版）》请在装配图网上搜索。

1、郑州铁路职业技术学院毕业论文郑州铁路职业技术学院毕业论文论文题目： 某中小企业局域网的构建 作者姓名： 班级学号： 090433054 系 部： 信息工程系 专 业： 计算机网络技术09A1 指导教师： 2012年 5 月 15 日摘 要计算机网络在这个时代发挥着它不可估量的作用，对人们的工作、学习、生活、行为和思维方式都产生着重要的影响。随着科学技术的不断进步，计算机技术和网络技术都得到了长足的发展，越来越多的计算机连接到不同的网络中，使得计算机网络不论从结构上还是规模上都发生了很大的变化，随着网络的逐步普及，中小型企业的建设是企业向信息化发展的必然选择，企业网络系统是一个非常庞大而复杂的系

2、统，它不仅为企业现代化、综合信息管理和办公自动化等一系列应用提供基本操作平台，而且能提供多种应用服务，使信息能及时、准确地传送给各个系统。而中小型企业工程建设中主要应用了网络技术中的重要分支局域网技术来建设与管理。关键词：企业网络，安全目 录第一章 需求分析1第二章 典型小企业组网实例22.1 网络技术的选择22.2 网络结构设计32.3 网络设备的选择42.4 网段及VLAN的划分52.5 设备的配置52.6 服务器的配置5第三章 网络布局和综合布线143.1. 网络布局的具体实施要求143.2. 布线系统的规划与设计143.3. 网络布局的规划与设计14第四章 局域网的安全控制与病毒防治1

3、74.1 局域网安全威胁分析174.2 局域网安全控制与病毒防治策略17总 结19参考文献20第一章 需求分析1.1 某中小企业网络特点与要求某中小小企业局域网通常规模较小，结构相对简单，对性能的要求则因应用的不同而差别较大。许多中小企业网络技术人员较少，因而对网络的依赖性很高，要求网络尽可能简单、可靠、易用，降低网络的使用和维护成本、提高产品的性能价格比就显得尤为重要。基于以上特点，应遵循下列设计原则：1.把握好技术先进性与应用简易性之间的平衡。 2.具有良好的升级扩展能力。3.具有较高的可靠性和安全性。4.产品功能与实际应用需求相匹配。 80%的中小企业用户通常只用到局域网20%的功能。精

4、简功能设计的产品不但可以在满足大多数需求的情况下有效降低成本，而且还能够提高系统的稳定性和易维护性。 5.尽可能选择成熟、标准化的技术和产品。恰当运用以太网的不同标准和功能，以太网技术能够在双绞线、多模光纤、单模光纤等介质上传输数据，可以非常简单地升级到百兆、千兆的速率，而且具有很高的稳定性和可管理性。以太网提供了多种标准和功能。比如10Mbps、100Mbps、1000Mbps不同速率的标准，双绞线、光纤等不同介质的标准，以及网络管理、流量控制、VLAN、优先级、链路聚合等功能。性。 1.2 小型企业网的组建背景随着计算机及局域网络应用的不断深入，特别是各种计算机应用系统被相继应用在实际工作

5、中，各企业、各单位同外界信息媒体之间的相互交换和共享的要求日益增加。需要使各单位相互间真正做到高效的信息交换、资源的共享，为各单位人员提供准确、可靠、快捷的各种生产数据和信息，充分发挥各单位现有的计算机设备的功能。为加强各公司内各分区的业务和技术联系，提高工作效率，实现资源共享，降低运作及管理成本,公司有必要建立企业内部局域网。局域网要求建设基于TCP/IP协议和WWW技术规范的企业内部非公开的信息管理和交换平台，该平台以WEB为核心，集成WEB、文件共享、信息资源管理等服务功能，实现公司员工在不同地域对内部网的访问。第二章 典型中小企业组网实例每个公司都有机密文件，为保障这些文件不被窃取，网

6、络组建的主要要求：每个部门之间不能相互访问但可以访问服务器组和打印机图一：环境拓扑图2.1 网络技术的选择 在各种局域网技术中，以太网以其造价低、技术成熟、产品丰富、可靠性高、可扩展性好、传输介质丰富和易于管理等有点而成为建设局域网的主流技术。以太网使用CSMA/CD协议，它是一种基于冲突检测机制的网络协议。2.1.1 拓扑结构需求分析公司共8个办公室处于同一个楼面。针对在技术规格上的特点，我们采用了交换机用星型的拓扑结构，这种拓扑结构的优点是： 1，容易实现：它所采用的传输介质一般都是采用通用的双绞线，这种传输介质相对来说比较便宜，如目前正品五类双绞线每米也仅1.5元左右，而同轴电缆最便宜的

7、也要2.00元左右一米，光缆那更不用说了。这种拓扑结构主要应用于IEEE 802.2、IEEE 802.3标准的以太局域网中。2，节点扩展、移动方便：节点扩展时只需要从集线器或交换机等集中设备中拉一条线即可，而要移动一个节点只需要把相应节点设备移到新节点即可，而不会像环型网络那样“牵其一而动全局”。 3， 便于维护：采用星型结构，网络故障将先以层为单位被定位在不同的交换层面上，随后在被定位的层面上很快就可以找出发生故障的交换机或节点，这种方法把复杂的维护问题简单化。 4，采用广播信息传送方式：任何一个节点发送信息在整个网中的节点都可以收到，这在网络方面存在一定的隐患，但这在局域网中使用影响不大

8、。 5，网络传输数据快：这一点可以从目前最新的1000Mbps到10G以太网接入速度可以看出。2.2 网络结构设计无论企业规模大小,企业的网络层次都应采取核心层（网络的高速交换主干）、汇聚层（提供基于策略的连接）、接入层（将工作站接入网络）三个网络层次的设计理念。使用层次清晰的网络模式,一是方便日后的升级,二是可以减少维护成本。三层交换与VLAN结合三层交换技术，也称多层交换技术或IP交换技术，是相对于二层交换技术提出的，因工作在OSI七层网络标准模型中的第三层而得名。传统的路由器也工作在第三层，它可以处理大量的跨越IP子网的数据包，但是它的转发效率比较低，而三层交换技术在网络标准模型中的第三

9、层实现了分组的高速转发，效率大大提高。简单地说，三层交换技术就是“二层交换技术 + 路由转发”。它的出现，解决了二层交换技术不能处理不同IP子网之间的数据交换的缺点，又解决了传统路由器低速、复杂所造成的网络瓶颈问题。 VLAN（Virtual Local Area Network）即虚拟局域网，是一种通过将局域网内的设备逻辑地而不是物理地划分成一个个不同的网段，从而实现虚拟工作组的技术。它不受网络用户的物理位置限制，而是根据用户需求进行网络分段。IEEE于1999年颁布了用以标准化VLAN实现方案的802.1q协议标准草案。不同VLAN之间的数据传输是通过第三层（网络层）的路由来实现的，因此，

10、使用VLAN技术，结合数据链路层和网络层的交换设备，可搭建安全可靠的网络。 划分VLAN的目的：一是提高网络安全性，不同VLAN的数据不能自由交流，需要接受第三层的检验，因此，在一定程度上加强了虚网间的隔离，有效防止外部用户入侵，提高了安全性。二是隔离广播信息，划分VLAN后，广播域缩小，有利于改善网络性能，能够将广播风暴控制在一个VLAN内部，同时使网络管理趋于简单。三是增强网络应用的灵活性，VLAN是在一个有多台交换机的局域网中统一设定的，这使得用户可以不受所连交换机的限制，不论用户节点移动到局域网中哪一台交换机上，只要仍属于原来的虚网，则应用环境没有任何改变。在划分VLAN时，要考虑VL

11、AN对于网络流量的影响，单个VLAN不宜过大。层次化架构三层网络 三层网络架构采用层次化模型设计，即将复杂的网络设计分成几个层次，每个层次着重于某些特定的功能，这样就能够使一个复杂的大问题变成许多简单的小问题。三层网络架构设计的网络有三个层次：核心层（网络的高速交换主干）、汇聚层（提供基于策略的连接）、接入层（将工作站接入网络）。 核心层是网络的高速交换主干，对整个网络的连通起到至关重要的作用。核心层应该具有如下几个特性：可靠性、高效性、冗余性、容错性、可管理性、适应性、低延时性等。在核心层中，应该采用高带宽的千兆以上交换机。因为核心层是网络的枢纽中心，重要性突出。核心层设备采用双机冗余热备份

12、是非常必要的，也可以使用负载均衡功能，来改善网络性能。 汇聚层是网络接入层和核心层的“中介”，就是在工作站接入核心层前先做汇聚，以减轻核心层设备的负荷。汇聚层具有实施策略、安全、工作组接入、虚拟局域网（VLAN）之间的路由、源地址或目的地址过滤等多种功能。在汇聚层中，应该采用支持三层交换技术和VLAN的交换机，以达到网络隔离和分段的目的。 接入层向本地网段提供工作站接入。在接入层中，减少同一网段的工作站数量，能够向工作组提供高速带宽。接入层可以选择不支持VLAN和三层交换技术的普通交换机2.3 网络设备的选择核心层：思科的Cisco Catalyst 3560G-24TS-24-2全千兆三层交

13、换机图二：千兆交换机Cisco Catalyst 3560系列交换机是一个采用快速以太网配置的固定配置、企业级、IEEE 802.3af和思科预标准以太网电源（PoE）的交换机，提供了可用性、安全性和服务质量（QoS）功能，改进了网络运营。Catalyst 3560系列是适用于小型企业布线室或分支机构环境的理想接入层交换机，这些环境将其LAN基础设施用于部署全新产品和应用，如IP电话、无线接入点、视频监视、建筑物管理系统和远程视频信息亭。客户可以部署网络范围的智能服务，如高级QoS、速率限制、访问控制列表、组播管理和高性能IP路由，并保持传统LAN交换的简便性。内嵌在Cisco Catalys

14、t 3560系列交换机中的思科集群管理套件（CMS）让用户可以利用任何一个标准的Web浏览器，同时配置多个Catalyst桌面交换机并对其排障。Cisco CMS软件提供了配置向导，它可以大幅度简化融合网络和智能化网络服务的部署。 Catalyst 3560系列为采用思科IP电话和Cisco Aironet无线LAN接入点，以及任何IEEE 802.3af兼容终端设备的部署，提供了较低的总体拥有成本（TCO）。以太网电源使客户无需再为每台支持PoE的设备提供墙壁电源，免除了在IP电话和无线LAN部署中所必不可少的额外布线。Catalyst 3560 24端口版本可以以支持24个15.4W的同步

15、全供电PoE端口，从而获得了最佳上电设备支持。通过采用Cisco Catalyst智能电源管理，48端口版本可支持24个15.4W端口、48个7.7W端口，或它们的任意组合。当Catalyst 3560交换机与思科冗余电源系统675(RPS 675)共用时，可提供针对内部电源故障的无缝保护，而不间断电源（UPS）系统可防范电源中断情况，从而使融合式语音和数据网络实现最高电源可用性。汇聚层交换机选择：Catalyst 2950-24交换机图三：Catalyst 2950-24 交换机Cisco Catalyst 2950系列智能以太网交换机是一个固定配置、可堆叠的独立设备系列，提供了线速快速以太

16、网和千兆位以太网连接。这是一款最廉价的Cisco交换产品系列，为中型网络和城域接入应用提供了智能服务。作为思科最为廉价的交换产品系列，Cisco Catalyst 2950系列在网络或城域接入边缘实现了智能服务。 主要的中小企业优势 在布线室配线间中实现了智能的服务质量（QoS）、限速、访问控制 列表（ACL）和多播服务 在多种介质上提供了升级到千兆位以太网的强大路径 凭借内置Cisco集群管理套件可出色地管理并轻松地配置第2-4层服务 与Cisco Catalyst 3550系列集中汇聚交换机相结合，用于IP路由至网络核心 主要的城域接入优势 通过高级QoS、限速、语音及多播特性提供广泛的服

17、务 通过生成树协议改进和访问控制参数（ACP）来提供服务可用性和安全性 通过Cisco IE 2100系列智能引擎支持和简单网络管理协议（SNMP）来实现服务管理思科 PIX-501防火墙图四：思科防火墙PIX 501防火墙是一种针对特定需求而设计的安全设备，可以在单独的一个设备中提供丰富的安全服务，包括状态监测防火墙、虚拟专用网（VPN）和入侵防范等。还可以利用其基于标准的互联网密钥交换（IKE）/IP安全（IPSec）VPN功能，确保远程办公机构通过互联网与企业网络之间进行的所有网络通信的安全，故此适合于小型办公室网络或者大型网络中的局部网络使用。2.4 网段及VLAN的划分建筑物部 门所

18、属VLANIP 地 址办公楼经理办公室Vlan11192.168.11.0/24财务部Vlan12192.168.12.0/24技术部Vlan13192.168.13.0/24销售部Vlan14192.168.14.0/24人事部Vlan15192.168.15.0/24服务器组Vlan16192.168.16.0/24共享打印机Vlan17192.168.17.0/24表一：VLAN划分表2.5 设备的配置1.核心层交换机vlan的配置：2. 把访问控制列表12 应用于VLAN 10 OUT方向上，财务部内部可以互访，可以访问服务器网段和网络打印机网段，但不能其他部所在网段。3. 把访问控制

19、列表15 应用于VLAN 10 OUT方向上，人事部内部可以互访，可以访问服务器网段和网络打印机网段，但不能其他部所在网段。4. 把访问控制列表13 应用于VLAN 10 OUT方向上，技术部内部可以互访，可以访问服务器网段和网络打印机网段，但不能其他部所在网段。5. 把访问控制列表14 应用于VLAN 10 OUT方向上，销售部内部可以互访，可以访问服务器网段和网络打印机网段，但不能其他部所在网段。2.6 服务器的配置2.6.1 FTP服务器的作用 在FTP的使用当中，用户经常遇到两个概念：下载（Download）和上载（Upload）。下载文件就是从远程主机拷贝文件至自己的计算机上；上载文

20、件就是将文件从自己的计算机中拷贝至远程主机上。用Internet语言来说，用户可通过客户机程序向（从）远程主机上载（下载）文件。使用FTP时必须首先登录，在远程主机上获得相应的权限以后，方可上传或下载文件。也就是说，要想同哪一台计算机传送文件，就必须具有哪一台计算机的适当授权。换言之，除非有用户ID和口令，否则便无法传送文件。这种情况违背了Internet的开放性，Internet上的FTP主机何止千万，不可能要求每个用户在每一台主机上都拥有帐号。匿名FTP就是为解决这个问题而产生的。匿名FTP是这样一种机制，用户可通过它连接到远程主机上，并从其下载文件，而无需成为其注册用户。系统管理员建立了

21、一个特殊的用户ID，名为anonymous,Internet上的任何人在任何地方都可使用该用户ID。 通过FTP程序连接匿名FTP主机的方式同连接普通FTP主机的方式差不多，只是在要求提供用户标识ID时必须输入anonymous，该用户ID的口令可以是任意的字符串。习惯上，用自己的E-mail地址作为口令，使系统维护程序能够记录下来谁在存取这些文件。 值得注意的是，匿名FTP不适用于所有Internet主机，它只适用于那些提供了这项服务的主机。 当远程主机提供匿名FTP服务时，会指定某些目录向公众开放，允许匿名存取。系统中的其余目录则处于隐匿状态。作为一种安全措施，大多数匿名FTP主机都允许用

22、户从其下载文件，而不允许用户向其上载文件，也就是说，用户可将匿名FTP主机上的所有文件全部拷贝到自己的机器上，但不能将自己机器上的任何一个文件拷贝至匿名FTP主机上。即使有些匿名FTP主机确实允许用户上载文件，用户也只能将文件上载至某一指定上载目录中。随后，系统管理员会去检查这些文件，他会将这些文件移至另一个公共下载目录中，供其他用户下载，利用这种方式，远程主机的用户得到了保护，避免了有人上载有问题的文件，如带病毒的文件。 作为一个Internet用户，可通过FTP在任何两台Internet主机之间拷贝文件。但是，实际上大多数人只有一个Internet帐户，FTP主要用于下载公共文件，例如共享

23、软件、各公司技术支持文件等。 Internet上有成千上万台匿名FTP主机，这些主机上存放着数不清的文件，供用户免费拷贝。实际上，几乎所有类型的信息，所有类型的计算机程序都可以在Internet上找到。这是Internet吸引我们的重要原因之一。 匿名FTP使用户有机会存取到世界上最大的信息库，这个信息库是日积月累起来的，并且还在不断增长，永不关闭，涉及到几乎所有主题。而且，这一切是免费的。 匿名FTP是Internet网上发布软件的常用方法。Internet之所以能延续到今天，是因为人们使用通过标准协议提供标准服务的程序。像这样的程序，有许多就是通过匿名FTP发布的，任何人都可以存取它们。

24、Internet中的有数目巨大的匿名FTP主机以及更多的文件，那么到底怎样才能知道某一特定文件位于哪个匿名FTP主机上的那个目录中呢？这正是 Archie服务器所要完成的工作。Archie将自动在FTP主机中进行搜索，构造一个包含全部文件目录信息的数据库，使你可以直接找到所需文件的位置信息。2.6.2 FTP服务器的配置用IIS架设（IIS只适用于Window NT/2000/XP操作系统）。安装步骤如下：Window XP默认安装时不安装IIS组件，需要手工添加安装。进入控制面板，找到“添加删除程序”，打开后选择“添加删除Window组件”，图五：添加删除Window组件在弹出的“Windo

25、w组件向导”窗口中，将“Internet信息服务（IIS）”项选中。在该选项前的“”背景色是灰色的，图六：添加IIS服务器这是因为Window XP默认并不安装FTP服务组件。再点击右下角的“详细信息”，在弹出的“Internet信息服务（IIS）”窗口中，找到“文件传输协议（FTP）服务”，选中后确定即可。图七：添加FTP服务安装完后需要重启。Window NT2000和Window XP的安装方法相同。 电脑重启后，服务器就开始运行了，但还要进行一些设置。点击“开始所有程序管理工具Internet信息服务”，进入“Internet信息服务”窗口后，找到“默认FTP站点”，右击鼠标，在弹出的

26、右键菜单中选择“属性”。在“属性”中，我们可以设置业务主机的名称、IP、端口、访问账户、FTP目录位置、用户进入FTP时接收到的消息等。图八：属性设置1FTP站点基本信息：进入“FTP站点”选项卡，其中的“描述”选项为该FTP站点的名称，用来称呼你的服务器，这里设置名称为 “业务主机”；“IP地址”为服务器的IP，设置为192.168.16.10；“TCP端口”一般仍设为默认的21端口；“连接”选项用来设置允许同时连接服务器的用户最大连接数；“连接超时”用来设置一个等待时间，如果连接到服务器的用户在线的时间超过等待时间而没有任何操作，服务器就会自动断开与该用户的连接。设置账户及其权限：图九：属

27、性设置2很多FTP站点都要求用户输入用户名和密码才能登录，这个用户名和密码就叫账户。不同用户可使用相同的账户访问站点，同一个站点可设置多个账户，每个账户可拥有不同的权限，如有的可以上传和下载，而有的则只允许下载。 安全设定：进入“安全账户”选项卡，有“允许匿名连接”和“仅允许匿名连接”两项，默认为“允许匿名连接”，此时业务主机提供匿名登录。“仅允许匿名连接”是用来防止用户使用有管理权限的账户进行访问，选中后，即使是Administrator（管理员）账号也不能登录，FTP只能通过服务器进行“本地访问”来管理。图十：属性设置3至于“FTP站点操作员”选项，是用来添加或删除本业务主机具有一定权限的

28、账户。与其他专业的业务主机软件不同，它基于Window用户账号进行账户管理，本身并不能随意设定业务主机允许访问的账户，要添加或删除允许访问的账户，必须先在操作系统自带的“管理工具”中的“计算机管理”中去设置Window用户账号，然后再通过“安全账户”选项卡中的“FTP站点操作员”选项添加或删除。但对于Window 2000和Window XP专业版，系统并不提供“FTP站点操作员”账户添加与删除功能，只提供Administrator一个管理账号。最后设置FTP主目录（即用户登录FTP后的初始位置），进入“主目录”选项卡，在“本地路径”中选择好FTP站点的根目录，并设置该目录的读取、写入、目录访

29、问权限。设置完成后，业务主机就算建成了。图十一：主目录设置2.6.2 WEB服务器WEB服务器作用：WEB服务器也称为WWW(WORLD WIDE WEB)服务器，主要功能是提供网上信息浏览服务。(1)应用层使用HTTP协议。 (2)HTML文档格式。 (3)浏览器统一资源定位器(URL)。 WWW代表万维网的意思 WWW 是 Internet 的多媒体信息查询工具，是 Internet 上近年才发展起来的服务，也是发展最快和目前用的最广泛的服务。正是因为有了WWW工具，才使得近年来 Internet 迅速发展，且用户数量飞速增长。web服务器配置1.启动Internet信息服务(IIS)单击

30、Windows开始菜单-所有程序-管理工具-Internet信息服务(IIS)管理器，即可启动“Internet信息服务”管理工具。图十二：信息服务设置2.配置IISIIS安装后，系统自动创建了一个默认的web站点，该站点的主目录默认为C:Inetpubwwwroot。用鼠标右键单击“默认web站点”，在弹出的快捷菜单中选择“属性”，此时就可以打开站点属性设置对话框，在该对话框中，可完成对站点的全部配置。图十三：默认网站属性设置1主目录与启用父路径单击“主目录”标签，切换到主目录设置页面，该页面可实现对主目录的更改或设置。注意检查启用父路径选项是否勾选，如未勾选将对以后的程序运行有部分影响图十

31、四：默认网站属性设置2图十五：应用程序配置设置主页文档单击“文档”标签，可切换到对主页文档的设置页面，主页文档是在浏览器中键入网站域名，而未制定所要访问的网页文件时，系统默认访问的页面文件。常见的主页文件名有index.htm、index.html、index.asp、index.php、index.jap、default.htm、default.html、default.asp等IIS默认的主页文档只有default.htm和default.asp，根据需要，利用“添加”和“删除”按钮，可为站点设置所能解析的主页文档。图十六：设置主页文档IIS默认的主页文档只有default.htm和def

32、ault.asp，根据需要，利用“添加”和“删除”按钮，可为站点设置所能解析的主页文档。2.6.3 DHCP 服务器两台连接到互联网上的电脑相互之间通信，必须有各自的IP地址，但由于现在的IP地址资源有限，宽带接入运营商不能做到给每个报装宽带的用户都能分配一个固定的IP地址（所谓固定IP就是即使在你不上网的时候，别人也不能用这个IP地址，这个资源一直被你所独占），所以要采用DHCP方式对上网的用户进行临时的地址分配。也就是你的电脑连上网，DHCP服务器才从地址池里临时分配一个IP地址给你，每次上网分配的IP地址可能会不一样，这跟当时IP地址资源有关。当你下线的时候，DHCP服务器可能就会把这个

33、地址分配给之后上线的其他电脑。这样就可以有效节约IP地址，既保证了你的通信，又提高IP地址的使用率。 在一个使用TCP/IP协议的网络中，每一台计算机都必须至少有一个IP地址，才能与其他计算机连接通信。为了便于统一规划和管理网络中的IP地址，DHCP（Dynamic Host Configure Protocol，动态主机配置协议）应运而生了。这种网络服务有利于对校园网络中的客户机IP地址进行有效管理，而不需要一个一个手动指定IP地址。 DHCP服务器适用的范围它是TCPIP协议簇中的一种，主要是用来给局域网客户机分配动态的IP地址。缺点：DHCP存在较多的广播开销，对于用户量较多的城域网会造

34、成网络运行效率下降和配置困难；另一方面，仍然无法解决用户自行配置IP地址的问题。 公有ip地址的动态分配主要通过PPPoE。第三章 网络布局和综合布线3.1. 网络布局的具体实施要求对于有线局域网来说，这是我们目前企业网络建设中，经常会遇到的，需要对机房和办公大楼进行布线。规划网络布局要考虑到机房的设备布局和布线系统的合理搭配。因此我们首先要规划与设计好机房、布线系统，然后再全面地考虑网络的布局。为了确保网络、计算机系统稳定、安全、可靠地运行，以及保障机房工作人员有良好的工作环境，做到技术先进、经济合理、安全适用、确保质量，符合国家有关的机房设计规定。机房的规划与设计如下：(1)防静电静电不仅

35、会对计算机运行出现随机故障，而且还会导致某些元器件，双级性电路等的击穿和毁坏。此外，还会影响操作人员和维护人员的正常的工作和身心健康。(2)防火、防盗计算机房在设计时，重点要考虑机房的消防灭火设计。设计时可以根据消防防火级别来确定机房的设计方案，计算机房火灾报警要求在一楼设有值班室或监控点。机房里应注意防盗设施的安装，具体地可采用防盗门、防盗锁、警卫、自动报警系统等等。(3)防雷由于机房通信和供电电缆多从室外引入机房，易遭受雷电的侵袭，机房的建筑防雷设计尤其重要。计算机通信电缆的芯线，电话线均应加装避雷器。(4)保湿、保温机房里的湿度应保持在20%-80%为宜，机房的温度应保持在15-35摄氏

36、度，安装空调来调节温度是解决此问题最好的办法。3.2. 布线系统的规划与设计有了好的机房，网络设备就有了好的“家”，组建的IT网络应当通过布线系统将机房和办公地点互联起来，确保网络的正常运行。如果企业的接入点较多，我们可以采取接入层、汇聚层、交换层三个网络层次的设计，在此基础上进行布线系统。对于接入层来说，选择一个合理的接入设备，是最关键的，而且我们要根据接入设备选择合适的带宽。汇聚层是整个局域网的核心部分，汇聚层网络设备一般支持网络管理功能，方便我们的管理和维护，方便以后我们的网络升级和改造。交换层是整个网络中的中间层，连接着汇聚层和网络节点，是决定我们整体网络传输质量的很重要的一个环节。随

37、着百兆网络设备的普及，我们交换层的网络设备，肯定首选百兆。布线是连接网络接入层、汇聚层、交换层和网络节点的重要环节。在布线时，最好使用专门的通道，而且不要与电源线，空调线等具有辐射的线路混合布线。接入层与汇聚层之间的双绞线，可以选择超五类屏蔽双绞线，以使网络性能得到最大的提升。汇聚层与交换层之间的双绞线，由于是网络数据传输量最大的一个层次，同样采用超五类屏蔽双绞线。交换层与网络节点之间，我们就可以采用普通的超五类非屏蔽双绞线。网络设备的放置，最好放在节点的中央位置，这样做，不是为了节约综合布线的成本，而是为了提高网络的整体性能，提高网络传输质量。由于双绞线的传输距离是100米，在95米才能获得

38、最佳的网络传输质量。在做网络布线时，最好能够设计一个设备间，放置网络设备。3.3. 网络布局的规划与设计目前的网络设备大都采用机架式的结构，如交换机、路由器、硬件防火墙等。这些设备之所以有这样一种结构类型，是因为它们都按国际机柜标准进行设计，这样大家的平面尺寸就基本统一，可把一起安装在一个大型的立式标准机柜中。这样做的好处非常明显：一方面可以使设备占用最小的空间，另一方面则便于与其它网络设备的连接和管理，同时机房内也会显得整洁、美观。我们经常接触到的放置机房里有网络机柜、服务器机柜以及综合布线柜，从这三个机柜的名字就可以看出它们各自所起的作用；一般来说，网络设备如交换机、路由器、防火墙、加密机

39、等以及网络通信设备如光端机、调制解调器等是放置在网络机柜的；服务器机柜的宽度为19英寸，高度以U为单位 （1U=1.75英寸=44.45毫米），通常有1U，2U，3U，4U几种标准的服务器。机柜的尺寸也是采用通用的工业标准，通常从22U到42U不等；机柜内按U的高度有可拆卸的滑动拖架，用户可以根据自己服务器的标高灵活调节高度，以存放服务器、集线器、磁盘阵列柜等设备。服务器摆放好后，它的所有I/O线全部从机柜的后方引出（机架服务器的所有接口也在后方），统一安置在机柜的线槽中，一般贴有标号，便于管理。综合布线柜一般配有前后可移动的安装立柱，自由设定安装空间，可按需要配置隔板、风扇、电源插座等附件。

40、配线架通常安装在机柜里，配线架的一面是RJ45口，并标有编号；另一面是跳线接口，上面也标有编号，这些编号和上面的RJ45口的编号是一一对应的。每一组跳线都标识有棕、蓝、橙、绿的颜色，双绞线的色线要和这些跳线一一对应，这样做不容易接错。配线架不仅仅是便于管理线对，而且可以防止串扰，增加线对的隔离空间，提供360度的线对隔离。在机房中，必须放置交换机、功能服务器群和网络打印设备，以及局域网络连接Internet所需的各种设备，如路由器、防火墙以及网管工作站等；因此机房的网络布局一般至少有三个机柜，综合布线柜和网络机柜应当紧连在一起，便于调线操作，接下来是服务器机柜；将网络设备和布线系统进行合理的布

41、局。在网络布局中，每个机柜最好留点空间，便于以后网络设备、服务器设备的扩充，综合布线柜里有可能除了网络布线外，还有能布置电话线，所以要在机柜里留下一定空间。从机柜内部线缆附设的角度看，机柜配置密度更高，容纳的IT设备更多，大量采用冗余配件(如冗余电源、存储阵列等)，机柜内设备配置频繁变换，数据线和电缆随时增减。所以，机柜必须提供充足的线缆通道，能从机柜顶部、底部进出线缆。在机柜内部，线缆的敷设必须方便、有序，与设备的线缆接口靠近，以缩短布线距离；减少线缆的空间占用，保证设备安装、调整、维护过程中，不受到布线的干扰，并保证散热气流不会受到线缆的阻挡；同时，在故障情况下，能对设备布线进行快速定位。

42、供电系统和制冷系统是计算机机房的两个重要部分。在供电系统中，一般采用在线的UPS供电方式，蓄电池实际可供使用的容量与蓄电池的放电电流大小、蓄电池的环境工作温度、贮存时间的长短以及负载的性质（电阻性、电感性、电容性）密切相关。制冷系统（空调）涉及到机房的整个物理环境，包括空调、地板、机柜及房间布局等诸多方面；因此UPS和空调我们也要考虑好将它们放置在一个合适的位置。如果机房空间较大，可以将UPS和空调都放在机房里；如果空间较小，可以把UPS（包括蓄电池）放在配电房里。需要注意的是如果大楼里安装有“中央空调”的话，机房里也必须安装独立的空调，因为中央空调不可能24小时都开着，上班的时间可以利用中央

43、空调，下班和星期节假日的时候，如果服务器、网络设备需要正常运行的话，则必须要开机房里的独立空调。机柜的扩展性表现在机柜内设备密度的扩展和机柜数量的扩展，因此网络布局时必须将机柜的配风能力（通常称为散热能力）以及配电能力考虑在内。一方面，机柜内的设备需要温度、湿度适宜并且风量充足的冷风（冷空气）。这些冷风被机柜内的IT设备吸入，从而为设备内的部件（尤其是CPU）降温。当机柜内设备增加到一定数量时，由地板出风口送出的冷风风量将不能满足所有设备的需求，从而形成部分IT设备配风不足而过热。解决机柜内设备密度扩展时遇到的这种局部热点问题可以采用调配IT设备位置的方式来解决。例如，把热负荷最大的设备安装在

44、机柜中部位置，以便获得最大的配风风量。另外的解决方法是，在机柜的上部或下部位置安装轴向水平的强排风扇，增强上部或下部的吸入能力（即减小IT设备的入口静压），从而增加配风风量。另一方面，机柜内的设备需要供电以及与机柜外部进行通信。当机柜内的IT设备数量增加时，这些线缆、连接端子同时成倍地增加，从而对机架式电源排插的容量、插口数量都提出了扩展要求。机柜内的布线空间也是需要提前考虑的，因为当机柜内的功率密度提高时，设备后部的线缆将明显增加风阻，所以必须考虑线缆管理及走线空间的问题。第四章 局域网的安全控制与病毒防治4.1 局域网安全威胁分析 局域网由于通过交换机和服务器连接网内每一台电脑，因此局域网

45、内信息的传输速率比较高，同时局域网采用的技术比较简单，安全措施较少，同样也给病毒传播提供了有效的通道和数据信息的安全埋下了隐患。局域网的网络安全威胁通常有以下几类： 1.欺骗性的软件使数据安全性降低 由于局域网很大的一部分用处是资源共享，而正是由于共享资源的“数据开放性”，导致数据信息容易被篡改和删除，数据安全性较低。例如“网络钓鱼攻击”，钓鱼工具是通过大量发送声称来自于一些知名机构的欺骗性垃圾邮件，意图引诱收信人给出敏感信息：如用户名、口令、账号ID、ATM PIN码或信用卡详细信息等的一种攻击方式。最常用的手法是冒充一些真正的网站来骗取用户的敏感的数据。以往此类攻击的冒名的多是大型或著名的

46、网站，但由于大型网站反应比较迅速，而且所提供的安全功能不断增强，网络钓鱼已越来越多地把目光对准了较小的网站。同时由于用户缺乏数据备份等数据安全方面的知识和手段，因此会造成经常性的信息丢失等现象发生。 2.服务器区域没有进行独立防护局域网内计算机的数据快速、便捷的传递，造就了病毒感染的直接性和快速性，如果局域网中服务器区域不进行独立保护，其中一台电脑感染病毒，并且通过服务器进行信息传递，就会感染服务器，这样局域网中任何一台通过服务器信息传递的电脑，就有可能会感染病毒。虽然在网络出口有防火墙阻断对外来攻击，但无法抵挡来自局域网内部的攻击3.计算机病毒及恶意代码的威胁由于网络用户不及时安装防病毒软件

47、和操作系统补丁，或未及时更新防病毒软件的病毒库而造成计算机病毒的入侵。许多网络寄生犯罪软件的攻击，正是利用了用户的这个弱点。寄生软件可以修改磁盘上现有的软件，在自己寄生的文件中注入新的代码。最近几年，随着犯罪软件（crime ware）汹涌而至，寄生软件已退居幕后，成为犯罪软件的助手。2007年，两种软件的结合推动旧有寄生软件变种增长3倍之多。2008年，预计犯罪软件社区对寄生软件的兴趣将继续增长，寄生软件的总量预计将增长20%。 4.局域网用户安全意识不强许多用户使用移动存储设备来进行数据的传递，经常将外部数据不经过必要的安全检查通过移动存储设备带入内部局域网，同时将内部数据带出局域网，这给

48、木马、蠕虫等病毒的进入提供了方便同时增加了数据泄密的可能性。另外一机两用甚至多用情况普遍，笔记本电脑在内外网之间平凡切换使用，许多用户将在Internet网上使用过的笔记本电脑在未经许可的情况下擅自接入内部局域网络使用，造成病毒的传入和信息的泄密。 5.IP地址冲突局域网用户在同一个网段内，经常造成IP地址冲突，造成部分计算机无法上网。对于局域网来讲，此类IP地址冲突的问题会经常出现，用户规模越大，查找工作就越困难，所以网络管理员必须加以解决。 正是由于局域网内应用上这些独特的特点，造成局域网内的病毒快速传递，数据安全性低，网内电脑相互感染，病毒屡杀不尽，数据经常丢失。4.2 局域网安全控制与

49、病毒防治策略 1.加强人员的网络安全培训(1)加强安全意识培训，让每个工作人员明白数据信息安全的重要性，理解保证数据信息安全是所有计算机使用者共同的责任。 (2)加强安全知识培训，使每个计算机使用者掌握一定的安全知识，至少能够掌握如何备份本地的数据，保证本地数据信息的安全可靠。 (3)加强网络知识培训，通过培训掌握一定的网络知识，能够掌握IP地址的配置、数据的共享等网络基本知识，树立良好的计算机使用习惯。 2.局域网安全控制策略(1)利用桌面管理系统控制用户入网。(2)采用防火墙技术。 (3)属性安全控制。3.病毒防治(1)增加安全意识和安全知识，对工作人员定期培训。(2)小心使用移动存储设备

50、。(3)挑选网络版杀毒软件。总 结现代社会是一个信息化的社会，人们对信息的需求越来越大，对信息的传递速度要求越来越快，因此现代化的办公网络应具有先进的信息检索、快速的传输方式及完备的信息管理手段。而宽带业务的产生，Internet技术的发展给我们带来一个这样的新机遇。同时，Internet的发展也给我们带来了一个新的名词-Internet，它在局域网中采用Internet的技术，使得局域网也能获得Internet的种种好处。例如可以让频道的员工无需复杂的培训便能使用统一的浏览界面查看频道发布的各种信息；频道的信息发布可以实现集中式管理，24小时发布，并可以实现无纸化、低成本；频道各部门及各员工

51、之间可以更加方便地相互通讯；在Intranet上为员工提供技术培训具有方便、快捷的特点；此外，通过Web进行数据库检索，可以使频道人员更加方便地查找到所需要的信息。本设计以中小型企业局域网的组建实现了，信息的传递和信息安全，满足企业内部之间的办公需要。通过对中小企业局域网的构建，可以方便企业的办公，简化企业的工作，企业内部通信，文件传输更加方便，企业可以做的更强。 参考文献1 卫少军. 中小企业办公局域网组建方案 J 北京:科技情报开发与经济 2004.12倪玉兴.计算机网络技术基础第二章课件.20073 陈少荣. 利用分组网实现信息网络的远程访问方案 J 北京：科技情报开发与经济 2006.

52、74 金刚善. 局域网组网案例精编 M 北京：中国水利水电出版社 2005.65 钟小平. 网络服务器配置与应用 M 北京:人民邮电出版社 2005.36 马树奇. 网络安全从入门到精通 M 北京:电子工业出版社 2004.5- 20 -2008级五年制眼科复习资料使用说明：1：为上课时老师划的重点和ppt上留的问题，以及其他资料中重点。2：为历年考卷上出现的试题。3：没标记的为潜在重点，大家有时间的话再看。4：本资料大篇幅的借鉴了往届学长学姐总结的资料，在此鸣谢。5：最后附上一页07年预防专业的眼科考卷，以供大家参考相关题型！第一章：【绪论】眼科是研究视觉器官疾病的发生、表现、诊断、治疗和预

53、防的医学科学。第二章：【眼科学基础】眼的组织解剖：眼作为视觉器官是由眼球、视路和眼附属器组成。正常成人眼球：前后径：24mm;垂直径：23mm;水平径：23.5mm眼球向前方平视时，突出与外侧眶缘：1214mm,两眼间差不超过2mm眼球分为眼球壁和眼球内容两部分。眼前段：晶状体（含）平面以前；眼后段：晶状体平面以后眼 球 壁外层 - 由坚韧的纤维组织所组成。前1/6为透明的角膜，后5/6为瓷白色的巩膜。两者移行处为角巩膜缘作用：保护眼球内组织，维持眼球形状。中层 - 血管膜,又称葡萄膜。前到后依次为：虹膜、睫状体、脉络膜。作用：遮光及营养眼内组织。内层 - 视网膜，是一层透明的膜，位于脉络膜的

54、内侧。后界位于视乳头周围，前界位于锯齿缘。外层-角膜位置：位于眼球前极中央形状：略向前凸的透明横椭圆形组织大小：成年男性：横径 11.512mm 纵径 10.511mm，女性较男性略小。 直径小于10mm，病理性小角膜；直径大于13mm，病理性大角膜。曲率半径 ：前面 7.8mm， 后面 6.8mm；中央厚度 0.5-0.55mm ， 周边厚度约 1mm特点：无血管、透明、感觉敏锐功能: 保护眼内容物、屈光间质角膜功能屈光作用：相当于43D凸透镜。透明性:组织排列非常有序，具有透明性。自我保护：含有丰富感觉神经，感觉十分敏锐，具有良好的自我保护和修复特性。角膜缘处角膜上皮的基底细胞层含有角膜缘

55、干细胞，在角膜上皮的更新修复过程中起重要作用。角膜组织结构（注意：具有再生功能的是第一层和第四层。）上皮层-占角膜厚度的110，损伤后可以再生，不留瘢痕。 前弹力层-上皮细胞基底膜附着的基础，无细胞。不能再生基质层-约占角膜厚度的910，由许多平行排列的胶原纤维束板层构成、损伤后由瘢痕组织修复填补。最透明组织后弹力层-富有弹性，受损后可以由内皮细胞分泌再生。内皮层-为单层内皮细胞，角膜房水屏障，从出生直到死亡，细胞不能再生。巩膜质地坚韧，呈乳白色，由致密而相互交错的纤维组成;前方与角膜相接，后方外2/3移行于视神经鞘膜，内1/3呈网眼状，称为巩膜筛板，视神经纤维由此穿出眼球;厚度为0.31 m

56、m，直肌附着点最薄，视神经周围最厚;巩膜组织学巩膜表层：富含弹力纤维及小血管巩膜基质层：基本不含血管，不透明；棕黑板层：大量色素细胞。角膜缘是角膜与巩膜的移行区。前界为角膜前弹力层和后弹力层止端的平面，后界为经过房角内的巩膜突或虹膜根部并垂直于眼表的平面，宽度约1.5mm-2.5mm解剖结构上，是前房角及房水引流系统所在部位，临床上，是许多内眼手术切口的标志部位中层-葡萄膜又呈血管膜、色素膜，富含黑色素及血管 由三部分组成：虹膜、睫状体、脉络膜在巩膜突、涡静脉出口和视神经三个部位与巩膜牢固附着，其余处均为潜在腔隙，称睫状体脉络膜上腔虹膜形状：中间带有孔的盘状膜； 位置：位于晶状体前面特点：表面

57、由辐射状凹凸不平的皱褶形成虹膜纹理；中央有直径2.5-4mm大小的圆孔为瞳孔。瞳孔开大: 瞳孔开大肌, 交感神经支配瞳孔缩小: 瞳孔括约肌, 副交感神经支配；虹膜组织学基质层：疏松的结缔组织和色素细胞组成的框架网，瞳孔括约肌呈环形分布（基质内色素细胞内色素含量多少决定虹膜的颜色）色素上皮层：分为前后两层，均含致密黑色素前层形成瞳孔开大肌，后层色素上皮在瞳孔缘可向前翻转呈一条窄环形黑色花边，称瞳孔领睫状体形状：宽约6-7mm的环状组织；位置： 位于虹膜与脉络膜之间。前1/3肥厚称睫状冠，宽约2mm；内表面有7080放射状突起称睫状突。后2/3薄而扁平，称睫状体平部。 血管少，玻璃体手术在此切口；

58、 扁平部与脉络膜连结处呈锯齿状，称锯齿缘，为睫状体后界。无色素睫状上皮，与视网膜的感觉部分相连接色素睫状上皮，色素较多睫状肌：纵行、放射状、环形虹膜睫状体虹膜功能：根据外界光线通过瞳孔反射路，使瞳孔缩小或扩大，以调节进入眼内光线。睫状体功能：分泌房水，营养眼内组织，并维持眼压，调节晶状体，葡萄膜巩膜途径排除房水。虹膜睫状体：光反射：直接对光反射间接对光反射：光瞳孔视网膜黄斑纤维视神经视交叉（鼻侧神经纤维交叉，颞侧神经纤维不交叉）视束上丘臂上丘和顶盖前区同侧和对侧的第三神经核节状神经节瞳孔括约肌。近反射： 注视近处物体时瞳孔变小，同时发生调节和辐辏作用。脉络膜位置：前起锯齿缘，后止于视乳头周围，

59、介于视网膜与巩膜之间; 特点：有丰富的血管和色素细胞；血管主要来自睫状后短动脉，占眼球血液总量的65%;脉络膜上腔 睫状后长、短动脉及睫状神经于此经过大血管层和中血管层：视神经附近的脉络膜动脉发出分支，这些分支在视神经周围形成血管环称为inn环脉络膜毛细血管层： 脉络膜毛细血管玻璃膜视网膜色素上皮复合体Bruch膜作用：供应视网膜外层营养，眼部温度调节，眼球遮光和暗房的作用内层-视网膜位置：前界位于锯齿缘，后界位于视乳头周围，外面为脉络膜，内面为玻璃体；特点：视乳头 ：1.5mm1.75mm 黄斑部凹部： 黄斑中心凹的底 150200m中央小凹 ：350 m中心凹 ：1500 m旁中心凹 ：环

60、绕黄斑边缘的一条宽0.5mm的带中心凹周围 ：围绕超中心凹的一条宽1.5mm的带黄斑：位于后极部视网膜直径约2mm浅漏斗状小凹陷区, 其中央有一小凹黄斑中心凹，视觉最敏锐部位。黄斑区无血管，色素上皮细胞含有较多色素视网膜由胚胎时期神经外胚叶形成的视杯发育而来。视杯外层形成单一的视网膜色素上皮层，视杯内层分化为视网膜神经感觉层；二者之间有一潜在间隙，临床上视网膜脱离即由此处分离视网膜分层视网膜共十层：分色素上皮层和神经感觉层，神经感觉层分九层从外向内依次为：视细胞层 外界摸 外颗粒层（外核层） 外丛状层 内颗粒层（内核层） 内丛状层神经节细胞层 神经纤维层 内界膜光感受器视锥细胞：集中在黄斑区，

61、感强光和色觉。锥细胞中缺少某一种感光色素，则发生色觉障碍，色盲。视杆细胞：在中心凹处缺乏，距中心凹0.13mm开始出现并逐渐增多增多，在5mm左右最多，再向周边有减少，感弱光和无色视觉。周边部视网膜病变时，视杆细胞受损则发生夜盲。眼球内容眼内腔：包括前房、后房和玻璃体腔眼内容：包括房水、晶状体和玻璃体，与角膜一并称为眼的屈光间质房水为眼内透明液体，充满前房与后房，0.15-0.3ml。房水具有维持眼内组织的代谢和调节眼压的作用前房：角膜后面、虹膜、瞳孔区晶状体前面共同围成的腔隙，容积约0.2ml。前房中央深度2.5-3mm，周边部渐浅。后房：为虹膜后面、晶状体悬韧带前面、晶状体前侧面、睫状体内面之间形成的一个不规则的腔隙，容积：0.06ml房水总量约占眼内容积的4%，处于动态循环中。房水的循环途径：小梁途径（压力依赖途径）：睫状突上皮后房瞳孔前房前房角小梁网Schlemm管巩膜内集合管房水静脉巩膜表层睫状体前静脉体循环葡萄巩膜途径（非压力依赖途径）：后房前房睫状肌束睫状体上腔脉络膜上腔巩膜