《计算机网络》课程设计报告书-联通公司网络结构方案设计与实现.doc

陕西理工学院管理系计算机网络课程设计报告书学号班级电子商务092班姓名指导教师时间201020112计算机网络课程设计评阅书题目计算机网络系统设计设计目的1运用课程知识，对一个模型化的小型计算机网络系统进行设计。2学会运用合适的工具进行系统分析与设计工作，并独立完成程序的编制，培养独立工作与研究的能力。3学习课程设计报告书的撰写方法，使学生受到基本的科研素质训练。设计要求1据需求分析，以层次化的网络设计方法，选择合适的网络技术，设计一个性能价格比相对优化的网络解决方案，该网络要提供尽可能高的先进性、可靠性、有效性、可扩展性和可管理性。2方案文档的撰写以通用的网络方案编制规范撰写一个相应的书面文档，在该文档中要包括需求分析网络建设的目标与原则、主干技术的选择、工程总体设计拓朴结构、功能设计、硬件与软件选择、结构化布线等、网络管理与安全、投资预算和设备清单。3要求按照科技文格式撰写不少于3000字的课程设计说明书，并按时上交。正文应包括以下几个方面的内容需求分析、概要设计、详细设计、测试分析报告、用户使用说明、测试结果、参考文献。4设计结果包括报告书1份打印，其中附源程序（打印）。教师评语及成绩教师签名年月日教研室意见室主任签名年月日摘要学院管理系专业电子商务学生姓名学号设计题目联通公司网络结构方案设计与实现内容及要求随着现代科技的发展及计算机技术与通讯技术的结合，人们已经不再满足原有的办公方式，办公自动化、网络化的需求逐日增加。计算机网络技术营造了一个现代化的高效、快捷、安全的办公环境，也使计算机的功能得到了充分的发挥。作为社会基础设施之一的中国联通通信公司，充分利用网络技术，为人们的生活和工作提供了许多便利，在信息化高度发展的今天，起着至关重要的作用。本次实验以汉中市联通公司为例，对该企业进行整体网络结构设计与规划。要求1分析以上情况，结合实验室条件，完成需求分析；2列出所需设备，设计完成网络拓扑结构图；3在实验环境下完成设备的具体配置；4调试验证。进度安排6月22日布置题目，安排课程设计任务及相关软件介绍6月22日6月25日查找相关资料，做出网络规划，画出网络拓扑图，熟悉相关命令6月25日6月26日根据拓扑图，配置相关的网络设备，使网络正常运行目录1课程设计目的与要求22主要内容521需求分析522网络拓扑设计方案723传输方式的设计924网络互联设备的选购103课程设计分析1231工作原理1232系统拓扑结构144设备介绍155网络系统软件环境设计1651操作系统及应用软件1652网络安全1853网络安全方案总体设计196心得体会207参考文献21联通公司网络方案设计与实现1课程设计目的与要求通过本课程设计，学生可以了解计算机网络工程设计的一般任务，明确计算机网络设计与建设的基本原则，熟悉计算机网络需求分析的目标、任务与方法，掌握计算机网络设计的通用方法，并能学会撰写规范的计算机网络方案书。本课程是电子商务专业的专业基础课之一。通过课程设计，达到1综合运用所学知识，进行网络的设计工作，提高学生的实践能力；2针对网络功能要求，提出设计或改进意见，提高学生分析问题的能力；3能够撰写符合科技文格式要求的设计报告，增强学生工程素质。2主要内容21需求分析211公司大楼结构分布第一层客户管理VIP接待室营业厅职工俱乐部仓库第二层代办点管理市场部室运维室综合部室综合办公室第三层大客户经理室副经理室经理室第四层建设维护主控机房第五层会议室212行政机构本公司行政结构分为经理室、副经理室、市场部、综合部、客户服务部和建设维护五个部门。经理市场部综合部客服部建设部副经理代办点中心大客户中心VIP接待监控中心营业厅机房213各部门功能需求分析市场部负责市场信息的收集及分析。进行数据业务推广的相关工作。对全县各乡镇人代办点反馈的客户信息进行研究分析，以形成行业分析模板及定期行业分析报告，提供个性化解决方案。客户服务部负责受理10086客户投诉，普通客户业务咨询，做好VIP客户的咨询和接待工作，统计每天客户业务开通量及相关费用。综合部负责制订季度、年度工作计划及各部门月绩效考核，负责处理移动集团用户网的咨询工作等。建设维护部负责监控全县移动基站的运行情况，做好基站故障处理、维护工作。214信息点的设置一楼客户管理室（3台PC）VIP接待室（2台PC）营业厅（5台PC）仓库（1台PC）二楼代办点管理室（1台PC）市场部主任室（3台PC）运维办公室（1台PC）综合部主任室（3台PC）综合会议室（1台PC）三楼；大客户经理室（3台PC）副经理室（1台PC）经理室（1台PC）四楼监控机房（3台PC）215接入INTERNET方式电话拨号（MODEM）下行（从网络到用户）速度最大为56KBIT/S，上行（从用户到网络）速度最大为336KBIT/SISDN下行（从网络到用户）速度最大为128KBIT/S，上行（从用户到网络）速度最大为56KBIT/SADSL上行速率（最高1MBIT/S）和下行速率（最高8MBIT/S）CABLEMODEM上行数据传输速率为3205120KBIT/S或64010240KBIT/S。下行数据传输速率为30342MBIT/S或42884MBIT/S宽带专线接入提供DDN、帧中继、ATM、VDSL、LAN等多种专线接入方式鉴于各种业务的需要，本网络采用DDN专线接入方式。其应用优势有传输质量高，时延小，通信速率可以自主变化。路由自动迂回，保证电路高可用率。采用点对点或点对多点的专用数据线路，特别适用于业务量大、实时性强的用户。网管中心能以图形化的方式对网络设备进行集中监控，电路的连接、测试、告警、路由迂回均由计算机自动完成，使网络管理智能化，减少不必要的人为错误。专线入网线路稳定，并可获得真实的INTERNETIP地址，便于企业在互连网上建立网站、树立企业形象、服务广大客户。22网络拓扑设计方案221公司中心局域网拓朴结构设计（即核心层）如下图所示INTERNET湖南移动通信HUNANMOBILE核心层访问层访问层分布层分布层工作站工作站工作站工作站工作站工作站工作站工作站工作站工作站工作站工作站工作站工作站工作站工作站工作站工作站工作站工作站工作站经理室副经理室代办点室运维室多功能会议室仓库客户管理室VIP室市场部综合部大客户室监控机房营业厅WEB服务器MAIL服务器DNS服务器292429241700/18001700/18002924292429242924292429242924292429242924工作站。工作站共10台核心层设计核心层位于网络中心，采用二组交换机，相互堆叠后与路由器相连，以达到冗余的目的。DNS服务器、EMAIL服务器和WEB服务器均通过百兆网卡与路由器相连，并通过100M网卡与冗余交换机相连。安全设计为安全起见，在企业网与INTERNET之间安装防火墙，将既有公用数据需要发布又有专用数据需要保护的WEB服务器、DNS（或FTP）服务器、MAIL服务器通过防火墙与企业网及INTERNET连接。222各部门网络拓朴结构的设计（即汇聚层）如下图所示2924292429242924经理室副经理室代办点室运维室多功能会议室客户经理室仓库VIP室市场部综合部大客户室监控机房营业厅10M10M10M10M10M10M2924292429242924分布层设计分布层按各部门分布。例如不同的部门配置不同的虚拟局域网，分布层为不同的虚拟局域网之间配置路由，并进行地址转换，使每一局域网中的计算机都能将其内部地址转换成合法的INTERNET地址，访问INTERNET。访问层设计公司大楼中，多功能功能会议室、监控机房各组成一个局域网，这样的局域网连接到交换机上。23传输方式的设计231网络拓扑结构的设计一种典型的层次型拓扑结构是三层层次模型（核心层、分布层和访问层）。三层层次模型向上可以扩大到大型互连网络，向下也可以用于交换式网络或桥接网络。三层层次拓扑结构中的核心层是互连网络的高速主干。它提供场点之间的优化传输路径。核心层对互连至关重要，因此必须用冗余组件设计核心层，并保持有限和一致的范围。对于需要通过外部网络或经INTERNET连接到其他企业的用户来说，核心层拓扑结构应当包括一条或多条连接到外部网络的链路。网络的分布层是网络的核心层与访问层之间的分界点。它将网络服务连接到访问层，并实现安全、流量负载和选路的策略。分布层通常用于描述广播域（尽管该功能在访问层也可以实现）。如果计划实现一个虚拟局域网，那么分布层可以配置为VLAN之间的路由。分布层允许核心层连接多个地点，同时保持较高的性能。为了保持核心层的高性能，分布层可以在耗用带宽的访问层选路协议和优化的核心层选路协议之间重新发布。为了提高选路协议的性能，分布层可以汇总访问层的路由。对一些网络而言，分布层提供了一个到访问层路由器的默认路由，并且仅当与核心层路由器通信时才运行动态选路协议。分布层的另一个功能是地址转换。利用地址转换，访问层中的设备可以使用专用内部地址。地址转换功能将该专用内部地址转换为合法的INTERNET地址，并能使这些分组在INTERNET上传输。访问层为端用户提供了在局部子网访问互连网络的能力。它包括路由器、交换机、网桥和共享媒体的集线器。访问层可以使用诸如ISDN、帧中继、租用数字线路和模拟调制解调器等广域网技术提供对公司互连网络的访问。一般情况下，有两种基本的拓扑结构能用于建立小型企业局域网，它们是星型结构和总线拓扑结构。如果网络较大，可以在这两种拓扑结构的基础上进行扩展，形成混合型拓扑结构（多星或树型结构等）。如果网络覆盖面积很大，就要考虑使用更高性能的交换机或路由器这样的网络互连设备建立网络主干，并在此主干基础上建立更为复杂的网络拓扑结构。因此，针对本网络的规模，选择星型拓扑结构较为适宜。这里需要考虑1网络传输媒体长度和传输速率会受到限制。2网络互连设备，用于连接不同的物理段。3网络中设备的数量信息点数，对共享式以太网，使用广播方式交换数据，网络中设备过多会导致拥塞，并使性能迅速下降。对交换式以太网，受交换技术级连级数或堆叠个数的限制，站点数有限。4媒体接入机制，决定单个设备如何竞争网络媒体或获取对网络媒体的访问。在共享式以太网中，每一台客户机都要争夺本地媒体的访问权。24网络互联设备的选购241交换机从OSI体系结构上来看，普通的以太网交换机属于数据链路层上的设备，它不仅对数据的传输起到同步、放大和整形作用，而且还能在数据传输过程中过滤短帧、碎片等，不会出现数据包丢弃、传送延时等现象，保证了数据传输的正确性。从工作方式上来看，交换机检测到某一端口发来的数据包，根据其目标地址，查找交换机内部的“端口地址”表，找到对应的目标端口，打开源到目标端口之间的数据通道，将数据包发送到对应的目标端口上。当不同的源端口向不同的目标端口发送信息时，交换机就可以同时互不影响地传送这些信息包，并防止传输碰撞，隔离冲突域，有效地抑制广播风暴，提高网络的实际吞吐量。从带宽上来看，交换机上每个端口都独占带宽，对12个端口10M的交换机，总带宽为1210120M。同时交换机还支持全双工。从维护角度上来看，普通交换机的维护比较简单的。通过交换机上的指示灯就能确定哪些端口上的计算机网卡或网线有故障，并予以排除。242交换机的选择背板带宽背板带宽是交换机接口处理器或交换模块和数据背板总线间所能吞吐的最大数据量。它标志着一个交换机总的吞吐能力。通常，背板带宽（全双工模式下）至少等于“端口数端口速率2”。包转发率包转发率指每秒转发数据包的数量，单位为MPPS（百万包/每秒）。通常为几MPPS到几百MPPS。端口类型端口类型指交换机上的端口是以太网、令牌环、FDDI还是ATM等。固定端口交换机只有单一类型的端口，中高端模块化交换机提供不同介质类型的模块，实现以太网、令牌环、FDDI等的互连。端口速率端口速率指交换机端口提供给数据资源设备独享的带宽，体现了交换机端口每秒吞吐多少数据包的能力。通常有10MBIT/S、100MBIT/S、10/100MBIT/S自适应、1000MBIT/S、万兆位/S。端口密度是指一台交换机所支持的最大端口数量。端口密度是在所有模块插槽都插满模块的情况下计算出来的。选用模块不同，端口密度值也不同。能否使用光纤如果布线中必须选用光纤，则需要选择光纤接口交换机（价格较高），或加装光纤模块，或加装双绞线与光纤的转发器。冗余模块冗余模块用在模块化的交换机上，用以提高设备的容错能力，避免模块失效引起系统崩溃。常用的冗余模块包括超级引擎模块、交换矩阵模块和电源模块，它们都是影响系统能否正常工作的重要模块。堆叠能力堆叠能力包括堆叠的带宽、堆叠的层数两个重要指标。只有同类的交换机才能互相堆叠在一起，不同类型的交换机其堆叠端口、堆叠线缆和堆叠协议都不相同，只能级连，不能堆叠。有两种堆叠连接方式，一种是从堆叠矩阵中心堆叠模块引出线缆到各交换机（带宽约几GBIT/S），另一种是交换机之间互相连接起来（带宽约1GBIT/S）。堆叠的层数为4到9台不等。VLAN数量考虑对VLAN的支持能力和支持数量。目前大多数交换机都支持1000个以上的VLAN。MAC地址数量MAC地址数量是指交换机的CAM表中可以最多存储多少个MAC地址，存储的MAC地址数量越多，数据转发的速度和效率就越高。此指标数值通常为几千到几万。CISCOCATALYST2924CXL主要参数传输速率（MBPS）24端口22个10/100自适应端口和2个100BASEFX端口网络协议8023U端口数量24背板带宽GBPS32尺寸MM175X175X1425IN重量KG32KG243路由器CISCO1700系列模块化接入路由器为中小型企业和大型企业的小型分支机构提供了一种价格低廉的、集成化的接入平台。这款基于CISCOIOS的路由器可以提供高速的网络接入、全面的安全功能、三层交换能力和多服务数据/语音/视频/传真集成，可以满足最严格的业务需求。固定的广域网接口可选安全标准UL609501,CAN/CSA609501,AS3260,EN609501DRAM内存384MB支持网络协议TCP/IP是否内置防火墙是FLASH内存128MB固定的局域网接口2个10/100M以太网口支持的网管协议SNMP,TELNET尺寸2744375MM产品定位集成多业务路由器是否支持VPN是是否支持QOS是控制端口AUX,CONSOLE支持扩展模块插槽数53课程设计分析31工作原理局域网概述局域网（LOCALAREANETWORK，LAN）是指传输距离有限，传输速率较高，以共享网络资源为主要目的的网络系统，它仅包括OSI参考模型的底部3层协议。将一个网络限制在物理上较小的区域之内，可以减少从网络上一台计算机发送数据到最远处计算机的时延。局域网是共享介质的广播式分组交换网。在局域网中，所有的计算机都连接到共享的传输介质上，任何计算机发出的数据包都会被其他计算机接收到。由于局域网是共享介质的通信系统，所以共享介质的信道分配技术是局域网的核心技术。拓扑结构和传输介质决定了各种局域网的数据类型、数据传输速率、通信效率等特点，也决定了局域网的应用。VLAN概述传统的局域网中，通常一个工作组（WORKGROUP）是在同一个网段上，每个网段可以是一个逻辑工作组或子网。多个逻辑工作组之间通过实现互连的网桥或路由器来交换数据。因此，逻辑工作组的组成要受节点所在网段的物理位置限制。虚拟局域网功能VLAN（VIRTUALLOCALAREANETWORK，虚拟局域网）是指在交换式局域网的基础上，采用网络管理软件构建的可跨越不同网段、不同网络的端到端的逻辑网络。一个VLAN组成一个逻辑子网，即一个逻辑广播域，它可以覆盖多个网络设备，允许处于不同地理位置的网络用户加入到一个逻辑子网中。同时，在同一台交换机上也可以划分多个VLAN。IEEE于1999年颁布用以标准化VLAN实现方案的IEEE8021Q协议标准草案。利用以太网交换机可以很方便地实现虚拟局域网VLAN。这里要指出，虚拟局域网其实只是局域网给用户提供的一种服务，而并不是一种新型局域网。由于虚拟局域网是用户和网络资源的逻辑组合，因此可按照需要将有关设备和资源非常方便地重新组合，使用户从不同的服务器或数据库中存取所需的资源。VLAN在网络管理中具有以下三个优点控制广播风暴采用VLAN技术，可将交换机的某个交换端口划分到某个VLAN中，一个VLAN的广播风暴不会影响到其他VLAN的性能。提高网络整体安全性共享式局域网中的用户只要连接到一个集线器的端口，就能访问集线器所连接网段上的所有其他用户，因而很难保证网络的安全性。而VLAN能限制个别用户的访问以及控制广播组的大小和位置，甚至锁定某台设备的MAC地址。方便的网络管理网络管理员能借助VLAN技术轻松地管理整个网络。网络管理员只需设置几条命令就能很快地建立一个VLAN，并将分布在不同地方的用户设置到VLAN中。VLAN的划分方式VLAN划分的方式分为静态VLAN和动态VLAN。静态VLAN静态VLAN是基于端口的VLAN，它是将端口强制性地分配给VLAN。这是一种最经常使用的配置方式。静态VLAN容易实现和监控，而且比较安全。这是一种最简单的VLAN。划分静态VLAN时，既可以把同一交换机的不同端口划分为同一VLAN；也可以把不同交换机的端口划分为同一VLAN。可以把位于不同物理位置、连接在不同交换机上的用户按照一定的逻辑功能和安全策略进行分组，根据需要将其划分为同一或不同的VLAN。静态VLAN通常使用网络管理软件来配置和维护端口。若需要改变端口的属性，必须手动重新配置，所以具有很号的安全性。同一交换机、不同交换机划分VLAN动态VLAN动态VLAN是一种较为复杂的划分方法。它可以分为基于MAC地址的VLAN划分，根据每个主机的MAC地址来划分。基于IP地址的VLAN，新站点在入网时无需进行太多配置，交换机则根据各站点网络地址自动将其划分成不同的虚拟局域网。在静态VLAN和动态VLAN的实现技术中，基于IP地址的虚拟局域网智能化程度最高，实现起来也最复杂。一般采用基于端口和基于MAC地址配合使用。32系统拓扑图4设备介绍设备型号数量报价CISCO805路由器23000CISCO2950交换机34000主机线路若干CISCOCATALYST2950系列交换机CISCOCATALYST2950系列智能以太网交换机是一个固定配置、可堆叠的独立设备系列，提供了线速快速以太网和千兆位以太网连接。这是一款最廉价的CISCO交换产品系列，为中型网络和城域接入应用提供了智能服务。作为思科最为廉价的交换产品系列，CISCOCATALYST2950系列在网络或城域接入边缘实现了智能服务。CISCO805路由器作为CISCO805系列的最新成员，CISCO805串行路由器集成了CISCOIOS（技术，它通过帧中继、专线、X25或异步拨号网络提供安全可靠的INTERNET访问，为小型办公室进行大型企业联网提供所需的一切。选择通过串行线路连接上网的小型办公室可以将CISCOIOS软件的功能用于安全的INTERNET访问、治理性网络服务和虚拟专用网络（VPN）等高级应用。CISCO805路由器非凡适合拥有多个频繁上网用户的小型办公室，而且成本有效，因为它是一个独立的路由器，能够给多个用户提供一个固定的INTERNET连接。每个人不再需要单独配置调制调器来访问信息。5网络系统软件环境设计51操作系统及应用软件511网络操作系统的选购目前，常见的局域网操作系统主要有NETWARE、WINDOWSNTSERVER和UNIX这三种。由于这个企业局域网物理跨度不大，主要用途是方便企业内部人员资源共享。因此，可以选用WINDOWS2000SERVER网络操作系统作为本网络的操作平台。WINDOWSNT是32位多用户、多任务的NOS，也是一种面向分布式图形应用程序接口的平台系统。其特点有单机与网络（服务器）管理方式相互兼容（统一）。在桌面环境（图形化界面）下实现通信、服务应用与管理操作首次提出采用域（DOMAIN）层次结构管理用户和网络资源。集成了用于建立和管理网络服务的软件，如FTP、DNS、DHCP等。512应用软件的选购选择防毒软件的标准1、“高侦测率”是基本条件；未知病毒检测能力、未知病毒清除能力压缩文件查毒（不限层数）、压缩文件清毒（不限层数）打包文件查毒（不限层数）、打包文件清毒（不限层数）内存查毒、内存清毒、运行文件清毒2、“容易管理”是基本要求；3、未知病毒“隔离政策”是关键。由于这个企业局域网主要是方便内部员工进行资源共享。因此，选用瑞星RISHING杀毒软件。瑞星杀毒软件2007下载版，是基于第八代虚拟机脱壳引擎VUE研制开发的新一代信息安全产品，能够准确查杀各种加壳变种病毒、未知病毒、黑客木马、恶意网页、间谍软件、流氓软件等有害程序，在病毒处理速度、病毒清除能力、病毒误报率、资源占用率等主要技术指标上实现了新的突破。同时用户可以免费下载安装包，具有免费查毒和实时监控功能，无需用户每次都连接到互联网就能免费查毒。513网络防火墙的选购防火墙是设置在被保护网络和外部网络之间的一道屏障，实现网络的安全保护，以防止发生不可预测的、潜在破坏性的侵入。它是不同网络或网络安全域之间信息的唯一出入口。对防火墙的两大需求保障内部网安全保证内部网同外部网的连通瑞星网络防火墙具有保护网络安全，免受黑客攻击的功能。其采用增强型指纹技术，有效的监控网络连接。内置细化的规则设置，使网络保护更加智能。游戏防盗、应用程序保护等高级功能，为个人电脑提供全面安全保护。通过过滤不安全的网络访问服务，极大地提高了用户电脑的上网安全。彻底阻挡黑客攻击、木马程序等网络危险，保护上网帐号、QQ密码、网游帐号等信息不被窃取。52网络安全521网络系统安全风险分析随着INTERNET网络急剧扩大和上网用户迅速增加，风险变得更加严重和复杂。原来由单个计算机安全事故引起的损害可能传播到其他系统，引起大范围的瘫痪和损失；另外加上缺乏安全控制机制和对INTERNET安全政策的认识不足，这些风险正日益严重。针对这个企业局域网中存在的安全隐患，在进行安全方案设计时，下述安全风险我们必须要认真考虑，并且要针对面临的风险，采取相应的安全措施。下述风险由多种因素引起，与这个企业局域网结构和系统的应用、局域网内网络服务器的可靠性等因素密切相关。下面列出部分这类风险因素。网络安全可以从以下三个方面来理解1、网络物理是否安全；2、网络平台是否安全；3、系统是否安全；4、应用是否安全；5、管理是否安全。针对每一类安全风险，结合这个企业局域网的实际情况，我将具体的分析网络的安全风险。1、物理安全风险分析网络的物理安全的风险是多种多样的。主要是指地震、水灾、火灾等环境事故；电源故障；人为操作失误或错误；设备被盗、被毁；线路截获等。它是整个网络系统安全的前提，在这个企业局域网内，由于网络的物理跨度不大，只要制定健全的安全管理制度，做好备份，并且加强网络设备和机房的管理，这些风险是可以避免的。它主要包括三个方面环境安全对系统所在环境的安全保护，如区域保护和灾难保护；（参见国家标准GB5017393电子计算机机房设计规范、国标GB288789计算站场地技术条件、GB936188计算站场地安全要求设备安全主要包括设备的防盗、防毁、防电磁信息辐射泄漏、防止线路截获、抗电磁干扰及电源保护等；媒体安全包括媒体数据的安全及媒体本身的安全。2、网络平台的安全风险分析网络平台的安全涉及到网络拓扑结构、网络路由状况及网络的环境等。安全的应用往往是建立在网络系统之上的。网络系统的成熟与否直接影响安全系统成功的建设。在这个企业局域网络系统中，只使用了一台路由器，用作与INTERNET连接的边界路由器，网络结构相对简单，具体配置时可以考虑使用静态路由，这就大大减少了因网络结构和网络路由造成的安全风险。3、系统的安全风险分析所谓系统的安全显而易见是指整个局域网网络操作系统、网络硬件平台是否可靠且值得信任。这里主要对操作平台进行安全配置、对操作和访问权限进行严格控制，提高系统的安全性。因此，不但要选用尽可能可靠的操作系统和硬件平台。而且，必须加强登录过程的认证（特别是员工查看工资、绩效考核的认证），确保用户的合法性；其次应该严格限制登录者的操作权限，将其完成的操作限制在最小的范围内。4、应用的安全风险分析应用的安全性涉及到信息、数据的安全性；信息的安全性涉及到机密信息泄露、未经授权的访问、破坏信息完整性、假冒、破坏系统的可用性等。由于这个企业局域网跨度不大，绝大部分重要信息都在内部传递，因此信息的机密性和完整性是可以保证的。对于有些特别重要的信息需要对内部进行保密的（比如领导PC、财务系统传递的重要信息）可以考虑在应用级进行加密，针对具体的应用直接在软件上进行加密。5、管理的安全风险分析管理是网络安全中最重要的部分。责权不明，管理混乱、安全管理制度不健全以及缺乏可操作性等都可能引起管理安全的风险。责权不明，管理混乱，使得一些员工或管理员随便让一些非本地员工甚至外来人员进入机房重地，或者员工有意无意泄漏他们所知道的一些重要信息，而管理上却没有相应制度来约束。6、黑客和病毒的攻击前段时间广泛传播的“熊猫烧香”、“灰鸽子”病毒给我们的生活带来严重损失。计算机病毒一直是计算机安全的主要威胁。能在INTERNET上传播的新型病毒，例如通过EMAIL传播的病毒，增加了这种威胁的程度。病毒的种类和传染方式也在增加，目前有关国际组织统计的病毒总数已达上万甚至更多。当然，查看文档、浏览图像或在WEB上填表都不用担心病毒感染，然而，下载可执行文件和接收来历不明的EMAIL文件需要特别警惕，否则很容易使系统导致严重的破坏。建立全新网络安全机制，必须深刻理解网络并能提供直接的解决方案，因此，最可行的做法是管理制度和管理解决方案的结合。7、不满的内部员工不满的内部员工（如内部网络管理员）可能利用自己的技能优势在WWW站点上开些小玩笑，甚至破坏。不论如何，他们都熟悉公司服务器、小程序、脚本和系统的弱点。对于已经离职的不满员工，可以通过定期改变口令和删除系统记录以减少这类风险。但还有心怀不满的在职员工，这些员工比已经离开的员工能造成更大的损失，例如他们可以传出至关重要的信息、泄露安全重要信息、错误地进入数据库、删除数据等等。522安全需求与安全目标安全需求分析通过前面对这个企业局域网络结构、应用及安全威胁分析，可以看出其安全问题主要集中在对服务器的安全保护、防黑客和病毒、重要网段的保护以及管理安全上。因此，必须采取相应的安全措施杜绝安全隐患，其中应该做到公开服务器的安全保护入侵检测与监控（防火墙技术）信息审计与记录病毒防护数据安全保护数据备份与恢复网络的安全管理针对这个企业局域网络系统的实际情况，在系统考虑如何解决上述安全问题的设计时应满足如下要求1、大幅度地提高系统的安全性（重点是可用性和可控性）；2、易于操作、维护，并便于自动化管理，而不增加或少增加附加操作；3、尽量不影响原网络拓扑结构，同时便于系统及系统功能的扩展；4、安全保密系统具有较好的性能价格比，一次性投资，可以长期使用；5、安全产品具有合法性，及经过国家有关管理部门的认可或认证；6、分布实施。523网络安全策略安全策略是指在一个特定的环境里，为保证提供一定级别的安全保护所必须遵守的规则。该安全策略模型包括了建立安全环境的三个重要组成部分，即威严的法律安全的基石是社会法律、法规与手段，这部分用于建立一套安全管理标准和方法。即通过建立与信息安全相关的法律、法规，使非法分子慑于法律，不敢轻举妄动。先进的技术先进的安全技术是信息安全的根本保障，用户对自身面临的威胁进行风险评估，决定其需要的安全服务种类，选择相应的安全机制，然后集成先进的安全技术。严格的管理各网络使用机构、企业和单位应建立相宜的信息安全管理办法，加强内部管理，建立审计和跟踪体系，提高整体信息安全意识。524系统安全目标基于以上的分析，我们认为这个局域网网络系统安全应该实现以下目标建立一套完整可行的网络安全与网络管理策略将内部网络、公开服务器网络和外网进行有效隔离，避免与外部网络的直接通信建立网内各主机和服务器的安全保护措施，保证他们的系统安全加强合法用户的访问认证，同时将用户的访问权限控制在最低限度全面监视对公开服务器的访问，及时发现和拒绝不安全的操作和黑客病毒攻击行为加强对各种访问的审计工作，详细记录对网络、公开服务器的访问行为，形成完整的系统日志备份与灾难恢复强化系统备份，实现系统快速恢复加强网络安全管理，提高系统全体人员的网络安全意识和防范技术53网络安全方案总体设计531安全方案设计原则在对这个企业局域网网络系统安全方案设计、规划时，应遵循以下原则综合性、整体性原则应用网络工程的观点、方法，分析网络的安全及具体措施。安全措施主要包括行政法律手段、各种管理制度（人员审查、工作流程、维护保障制度等）以及专业措施（密码、防病毒、采用高安全产品等）。一个较好的安全措施往往是多种方法适当综合的应用结果。一个计算机网络，包括个人、设备、软件、数据等。这些环节在网络中的地位和影响作用，也只有从系统综合整体的角度去看待、分析，才能取得有效、可行的措施。即计算机网络安全应遵循整体安全性原则，根据规定的安全策略制定出合理的网络安全体系结构。需求、风险、代价平衡的原则对任一网络，绝对安全难以达到，也不一定是必要的。对一个网络进行实际额研究（包括任务、性能、结构、可靠性、可维护性等），并对网络面临的威胁及可能承担的风险进行定性与定量相结合的分析，然后制定规范和措施，确定本系统的安全策略。一致性原则一致性原则主要是指网络安全问题应与整个网络的工作周期（或生命周期）同时存在，制定的安全体系结构必须与网络的安全需求相一致。安全的网络系统设计（包括初步或详细设计）及实施计划、网络验证、验收、运行等，都要有可行的措施，实际上，在网络建设的开始就考虑网络安全对策，比在网络建设好后再考虑安全措施，不但容易，且花费也小得多。易操作性原则安全措施需要人为去完成，如果措施过于复杂，对人的要求过高，本身就降低了安全性。其次，措施的采用不能影响系统的正常运行。多重保护原则任何安全措施都不是绝对安全的，都可能被攻破。但是建立一个多重保护系统，各层保护相互补充，当一层保护被攻破时，其它层保护仍可保护信息的安全。可评价性原则如何预先评价一个安全设计并验证其网络的安全性，这需要通过国家有关网络信息安全测评认证机构的评估来实现。6心得体会通过这次课程设计，我更加熟悉了计算机网络的理论知识，通过实际操作,对上学期所学的计算机网络课程有了更深层次的了解。此次课程设计锻炼了我的实际操作能力，很多理论上的东西看起来简单，但是真的要实践起来还是需要付出很多努力的。而且，通过完成这一实验，让我接触到很多在以后工作中可能要遇到的问题，解决这些问题的过程也是一个自我提高的过程，让我对将来的就业问题有了更多的思考，也给了我一些思想准备和信心，为以后的就业奠定了基础。总之，这次课程设计是我受益匪浅，让我认识到了自身的不足，明确了奋斗的目标。课程设计虽然是告一段落，但是我们探索的脚步却不能停歇。7参考文献1计算机网络教程高传善，毛迪林，曹袖，高等教育出版社2008年10月2局域网组建及应用培训教程孙江红,北京清华大学出版社，2002年2月3网络原理与技术教程吴礼发,谢希仁,北京希望电子出版社2002年9月4计算机网络（第四版）ANDREWSTANENBAUM著，潘爱民译，北京清华大学出版社，2007年11月UT2APODFXXC02GYBKSKCWW97MRQQWHOJ5TL15ZT6JIPYYTYCUMMTARP3V1N5LUIZI3XH3BHWYREKO8D9G7NMZQOWPJETLDRW08GVS8DSDQQYGC3CE7MOO2TLF0JF1GK74IUXYBMTIVR97CKRFVQULT5FN2T6MPJR6RBZVPSORTZVIJ5NB5NDVVSR4IWR1TWLFKGLSPZUHRJQ3CMZU98EUOUIJDLSZQPMVRW9ZKUPXF8WFUG9L2G9277G2RTIPA1YPCZEUQXPKBHTVDCOOQOZXUZ3VJRZMOCIJYM62ZCHMEOOTYES8EBMM932TBZ2YO09RTSZEYS8ZRD2YKTJ8L6JEAZVAJNFBTRYLVSM6OFBFTOXVRFFN7OWIYGJLAMKUNXJYBZ5RRB7R4VSUR9ZPFZFMFSJHCFCA37LNW2VVLRKN7R8PSZ1BN6ORIC5HU5Z6HCXAYQYNPOG8DUYBAWQSL20CSG06DH2SM8HLTGPKICSKRGO