网络工程课程设计--- 校园网内网设计.doc

信息与电气工程学院课程设计说明书（2011/2012学年第二学期）课程名称 ： 网络工程课程设计题 目 ： 校园网内网设计专业班级 ： 组 长 ： 组 员： 指导教师 ： 设计周数 ：2周设计成绩 ：2012年 6 月 14 日 网络工程项目设计一、前言随着学校教育手段的现代化，很多学校已经逐渐开始将学校的管理和教学过程向电子化方向发展，校园网的有无以及水平的高低也将成为评价学校及学生选择学校的新的标准之一，此时，校园网上的应用系统就显得尤为重要。一方面，学生可以通过它在促进学习的同时掌握丰富的计算机及网络信息知识，毫无疑问，这是学生综合素质中极为重要的一部分；另一方面，基于先进的网络平台和其上的应用系统，将极大的促进学校教育的现代化进程，实现高水平的教学和管理。现代办学条件的学校必须建立完善的服务于教育教学的计算机校园网、信息库。校园网为学校的教学、管理、办公、信息交流和通讯等提供综合的网络环境。校园网的使用，使学校的教育、教学研究和管理工作跨上一个新台阶，我们可以充分利用现有计算机资源，实现信息交流和软硬件资源的共享，实现学校办公、管理、教学的现代化。校园网是当今信息社会发展的必然趋势。它是以现代网络技术、多媒体技术及internet技术等为基础建立起来的计算机网络，一方面连接学校内部子网和分散于校园各处的计算机，另一方面作为沟通校园内外部网络的桥梁。校园网为学校的教学、管理、办公、信息交流和通信等提供综合的网络应用环境。要特别强调的是，不能把校园网简单的理解为一个物理意义上的由一大堆设备组成的计算机硬件网络，而应该把校园网理解为学校信息化、现代化的基础设施和教育生产力的劳动工具，是为学校的教学、管理、办公、信息交流和通信等服务的。要实现这一点，校园网必须有大量先进实用的应用软件来支撑，软硬件的充分结合是校园网发挥作用的前提。一个好的校园网，安全问题是至关重要的。随着互联网的飞速发展，网络安全逐渐成为一个潜在的巨大问题。网络安全性是一个涉及面很广泛的问题，其中也会涉及到是否构成犯罪行为的问题。在其最简单的形式中，它主要关心的是确保无关人员不能读取，更不能修改传送给其他接收者的信息。此时，它关心的对象是那些无权使用，但却试图获得远程服务的人。安全性也处理合法消息被截获和重播的问题，以及发送者是否曾发送过该条消息的问题。二、需求分析1、工作目标某大学具有14个二级学院，分别位于同一城市的4个校区中，其中大学与4个二级学院在一个校区（校区1），另外6个二级学院位于一个校区（校区2），而其他4个学院分别位于校区3和校区4。每个学院都拥有1500台pc。建筑物数量各同学自己确定（一般包括行政楼、图书馆、教学楼、学生宿舍、教工宿舍、体育馆、学生活动中心、饭堂、商业街、大讲堂等）。师生员工数目前20000人，规划人数30000人。大学已从中国教育科研网（cernet）有关机构申请了ipv4地址块/20；申请的带宽是500m，光纤接入。万兆以太网作为整个核心层、千兆构成汇聚层的主干、百兆到lan/主机构成了接入层。大学向因特网发布信息并为全校提供有关的信息化服务，每个学院也自行向因特网发布学院信息并负责学院自己的信息服务。大学下设各行政部门：学校办公室、教务处和学工部。各学院都有自己的行政部门：学院办公室、教学办和学工办。其中相关部门之间联系较多，试设计大学与学院、学院与学院之间的网络设计。2、功能需求设计一个大学校园网内部的网络设计，应充分考虑各部门之间的可达性和安全性，使用vlan进行划分。考虑地址分配中聚合的问题及冗余的规划。在此基础上建设能满足教学、科研和管理工作需要的软硬件环境，开发建设各类教学资源库与应用系统，为教师、学生及家长提供充分的网络信息服务。校园网在信息服务与应用方面应满足以下几个方面的需求：1. 学校主页。学校应建立独立的www服务器，在网上提高学校主页等服务，包括校情简介、学校新闻、校报（电子报）、招生信息以及校内电话号码和电子邮件地址查询等。2. 文件传输服务。考虑到师生之间共享软件，校园网应提供文件传输服务（ftp）。文件传输服务器上存放各种各样自由软件和驱动程序，师生可以根据自己需要随时下载并把它们安装在本机上。3. 校园网站建设（www、ftp、e-mail、dns、proxy代理、拨入访问、流量计费等）；4. 多媒体辅助点播教学兼远程教学：校园网要求具有数据、图像、语音等多媒体实时通讯能力；并在主干网上提供足够的带宽和可保证的服务质量，满足大量用户对带宽的基本需要，并保留一定的余量供突发的数据传输使用，最大可能地降低网络传输的延迟。5. 校园办公管理:包括电子公文传递、电子公文管理、电子邮件、邮件收发等无纸办公自动化功能。6. 每个学院也自行向因特网发布学院信息并负责学院自己的信息服务。7. 学校教务管理；对各部门的管理和通信: 学校办公室对各学院部门的管理、教务处对下属部门的管理；8. 校园通卡应用；一卡通系统的网络布置。9. 网络安全firewall：保证校园网的安全性。10. 图书管理、电子阅览室；11. 上网需求：宿舍、教室的网络布置、应满足上网的稳定性和高速性。12. 学校信息网络系统要保证实用和技术先进，便于非计算机专业人员使用，并能不断满足学校未来业务发展的需要，具有很强的扩展能力。3、 网络性能需求性能需求：有服务效率、服务质量、网络吞吐率、网络响应时间、数据传输速度、资源利用率、可靠性、性能/价格比等；根据本工程的特殊性，语音点和数据点使用相同的传输介质，即统一使用超5类4对双绞电缆，以实现语音、数据相互备份的需要；对于网络主干，数据通信介质全部使用光纤；光缆和大对数电缆均留有余量；对于其他系统数据传输，可采用超5类双绞线或专用线缆。三、逻辑网络设计1、总体网络设计 考虑电信网络及其收费情况，使用帧中继链路作为主校区与各个分校区互联的主链路，使用isdn拨号链路作为其备份链路。在路由的选择上，为了尽量提高可靠性，独立使用一台路由器接入internet，对科教网与主校区ddn、帧中继的链接使用另一台路由器，isdn备份线路的接入使用第三台路由器。这样的好处是安全性较高，对于最不安全的internet进行独立接入，并通过防火墙进行内外网之间的隔离；其次是系统可靠性高，当ddn或帧中继线路出现问题是，isdn拨号线路自动启动，使网络连接不会被中断，而且即使主校路由器出现故障时，网络连接依然不会被中断。 在设备型号选择上可以有多种搭配，可以考虑使用一台cisco 2620xm接入internet，另一台cisco 2620xm作为拨号访问服务器，配置一台cisco 3662-ac作为接入ddn和帧中继的路由器。分小段可以选用带有两个快速以太网接口的cisco2621xm路由器。处于对未来扩展接入能力方面的考虑，每台设备都留有相应的未被使用的插槽。此设计如上图所示。在主校区网域设备中，设备选择如下。选一台cisco3662-ac路由器，加配一个nm-4t，用两根cab-v35mt分别连接帧中继和ddn，加配一个pwr-3660-ac。internet接入路由器选用cisco2620xm,加配一个wic-1t，用一根cab-v35mt连接ddn。远程访问备份路由器cisco2620xm，加配一个nm-8b-s/t用于连接isdn接入。在分校区网域设备中设备类型为：分校接入路由器选用cisco2621加配一个wit-2t，用一根cab-ss-v35mt连接帧中继，一个wic-b1-s/t用于拨号和租用线。这些设备每个分校区一套。 防火墙的选型采用华堂ht2100 该广域网设备特点如下： 远程访问服务器（isdn拨号）由单独的路由器来实现，提高了可用性、容错性和安全性； cisco3662路由器的配置中选择了双电源模块，这是核心设备常用的配置方法。 isdn模块和接口卡选择了s/t接口，这是因为国内通常由电信运营商提供nt设备。 对于分校路由器，选择了cisco2621xm机型，它有两块快速以太网接口，可用于连接局域网内的两个网段，便于以后对系统进行扩展；同时，配置了两端的串行广域网接口卡，为将来接入更多的广域网链路留出一个接口； 在v3.5线缆的配置上，注意分校路由器与主校区路由器的不同，分校区选配的是ss型的线缆，这是与其串行广域网接口卡相匹配的线缆类型。2、校区设计 如上与所示，在教学楼中，每层组建一个虚拟局域网，连接到一台两层的交换机上，每栋教学楼再上连到汇聚层交换机上。在机房中，每个机房组成一个局域网连接到一套交换机上，每个机房再连接到汇聚成交换机上。在学生宿舍每层组建一个虚拟局域网，连接到一台二层交换机上。每栋学生宿舍再连到汇聚层交换机上。行政楼按不同的科室组建虚拟局域网，上联到核心交换机上。图书馆按不同的电子阅览室组建虚拟局域网，连接到核心交换机上。3、ip分配大学已从中国教育科研网（cernet）有关机构申请了ipv4地址块/20，现根据校区和学院进行综合性划分，如下：校区学院网段起始地址终止地址主校区/22学院/2454学院2/2454学院3/2454学院4/2454校区二/21学院5/2454学院6/2454学院7/2454学院8/2454学院9/2454学院10/2454校区三/23学院1/2454学院12/2454校区四/23学院13/2454学院14/2454路由网段/22路由/2454路由/24544、大学与各校区、学院的通信由于大学的各个校区之间通常相距较远，到校园网网络建设不可能为各个校区之间单独搭建线缆。因此，各个校区之间的通信实际上是依赖帧中继技术实现的。帧中继的带宽控制技术既是帧中继技术的特点更是帧中继技术的优点。帧中继的带宽控制通过cir（承诺的信息速率）、bc（承诺的突发大小）和be（超过的突发大小）3个参数设定完成。tc（承诺时间间隔）和eir（超过的信息速率）与此3个参数的关系是：tc=bc/cir；eir=be/tc。在传统的数据通信业务中用户申请了一条64k的电路，那么他只能以64kbit/s的速率来传送数据；而在帧中继技术中，用户向帧中继业务运营商申请的是承诺的信息速率（cir），而实际使用过程中用户可以以高于cir的速率发送数据，却不必承担额外的费用。帧中继是使用光纤作为传输介质，因此误码率极低，能实现近似无差错传输，减少了进行差错校验的开销，提高了网络的吞吐量；帧中继是一种宽带分组交换，使用复用技术时，其传输速率可高达44.6mbps。但是，帧中继不适合于传输诸如话音、电视等实时信息，它仅限于传输数据。帧中继是一个接口规范，它定义了信息如何封装，然后如何通过网络传送到目的地。因此它并不对应于某种特定的设备。帧中继接口可以在多种设备上实现。对于帧中继特别有价值的一点在于，它并不需要投入很多资金，通过对现有设备进行升级就可以实现，因此非常经济。帧中继接口接收本地数据流，而不管它们用的是什么协议然后将数据封装进帧中继数据包中。帧中继使用交换机可以支持的d信道链路接入协议（lapd）来封装本地数据。帧中继是一种用于连接计算机系统的面向分组的通信方法。它主要用在公共或专用网上的局域网互联以及广域网连接。大多数公共电信局都提供帧中继服务，把它作为建立高性能的虚拟广域连接的一种途径。帧中继是进入带宽范围从56kbps到1544mbps的广域分组交换网的用户接口。与帧中继网相连，需要一个路由器和一条从用户场地到交换局帧中继入口的线路。这种线路一般是象t1那样的租用数字线路，但取决于通信量而定。两种可能的广域连接方法，如下面所述：专用网方法在这种方法中，每个场点将需要三条专用（租用）线路和相联的路由器，以便与其它每一个场点相连，这样总共需要6条专线和12个路由器。帧中继方法在这种公共网方法中，每个场点仅需要一条专用（租用）线路和相联的路由器直至帧中继网。这时，在其它网间的交换是在帧中继网内处理的。来自多个用户的分组被多路复用到一条连到帧中继网上的线路，通过帧中继网它们被送到一个或多个目的站。永久虚电路（pvc）是通过帧中继网连接两个端节点的预先确定的通路。帧中继服务的提供者根据客户的要求，在两个指定的节点间分配pvc。这些信道保持连续不间断地运行，并且保证提供一种客户洽商好了的指定级别的服务。在帧中继中，中间节点（交换器）仅仅沿着预定的通路中继帧。在x25中，中间节点必须完整地接收每一个分组，并在转发之前进行检错，如果有错误发生，节点要求发送方重传。使用这种方法，一旦分组丢失，发送方就尽快地重发一个分组。在x25中每个中间节点使用状态表来处理管理、流控和检错，而在帧中继中是不需要的。如果一个分组由于帧中继网的拥塞而被破坏或丢失，检测帧丢失和请求重发是接收系统的工作。帧中继网把自己的所有精力都用来传递分组。在子网中的交换节点不会执行任何纠错，尽管它们能检测出被损坏的分组，一旦检测出，分组就会被丢弃了。为了建立帧中继连接，需要与本地的电信公司联系。帧中继端口一般用pvc连接。pvc是逻辑链路，它具有特定的端接点和服务特性。它们在网状拓扑结构上提供逻辑连接，且在使用前为交换局提供一种确定服务特性和速率的方法。它们也在端接点之间提供快速连接。在得到提供者的服务时，可以为pvc规定一些服务特性， 5、学院通信学校设有教务处、学工办、办公室，各个学院也设有上述机构，在校教务、学工办、办公室与各学院教务处、学工办、办公室之间和各个学院教务处、学工办、办公室之间会有大量的数据交流，而上述机构有没有划分在一个局域网路。为了减轻核心网络的带宽压力，应采用vlan技术将上述机构分别划分在各自的vlan里，即：将校教务处与各个学院的院教务处划分在同一个vlan中，将校学工办和各个院学工办划分在同一个vlan中，将校办公室和各个院办公室划分在同一个vlan中。在校园网络的整个网络规划当中，vlan 的划分是非常重要的部分，很好的利用vlan技术的功能，能起到事半功倍的效果，对整个网络的性能也是事关重要的。主要突出为以下几点：vlan 划分，可以避免广播风暴，在骨干网络中尤为突出，在多媒体、视频点播等很容易引起广播信息；划分之后，vlan 是广播只在子网中进行，不会做无意义的广播，消除了广播风暴产生的条件。vlan 划分，可以增加网络的安全性，在不同的vlan之间不能随意通讯，只限与本子网间通讯，不会对其他的子网产生干扰。要进行访问，需要通过三层交换，这样信息流就得到相当好的控制。网络管理系统采用完全独立的ip子网和vlan，实现更加安全的对所有网络设备进行管理。建立vlan 和ip 子网的对应关系。提高管理效率，实现虚拟的工作组，减少站点的移动和改变的开销。vlan 间的子网访问，可以在三层交换机上实现，子网间的通讯也可以在汇聚设备上实行，分流核心交换机的三层交换，优化了组网。 根据以往网络管理经验和骨干网络网络建设的实际情况，方案建议在骨干网络vlan划分规划以“灵活划分、方便管理”为基本原则，以不同的使用群体为vlan范围划分。这样划分vlan的好处有：1、方便管理。为了更好的进行vlan规划的实施，因此在网络实施前期，要对网络中不同区域的vlan设置进行详细的规划，细化到接入层网络，这样在骨干网络这样大型的校园网络中如果以用户群体来划分vlan的话，避免由于前期配置设备时复杂烦琐，而且由于相同的用户群体可能在不同的物理位置，导致造成整个校园网络中vlan划分复杂，减轻管理和后期维护。所以方案建议骨干网络划分vlan方式前进行详尽规划，这样既可以减少广播域，又达到划分vlan，方便管理的效果，对于后期网络维护和升级具有十分现实的意义。2、易于实施。按群体划分vlan在工程实施中就十分的方便，不会造成vlan划分复杂失误而使得网络出现不通的现象，便于工程快速实施和网络中心整体规划。3、vlan间路由采用三层交换设备进行vlan路由。以便不同vlan间进行访问，对于学校重要网络资源，需要进行权限访问的时候，建议采用专家级acl（可同时基于vlan号、以太网类型、mac地址、ip地址、tcp/udp端口号、时间灵活组合限定的硬件acl）来进行访问权限设定，保障重要资料不被非法访问。四、网络安全1、威胁网络安全因素分析计算机网络安全受到的威胁包括：1.“黑客”的攻击；2. 计算机病毒；3. 拒绝服务攻击（denial of service attack）。安全威胁的类型：1、非授权访问。指对网络设备及信息资源进行非正常使用或越权使用等。如操作员安全配置不当造成的安全漏洞，用户安全意识不强，用户口令选择不慎，用户将自己的账号随意转借他人或与别人共享。2、冒充合法用户。主要指利用各种假冒或欺骗的手段非法获得合法用户的使用权限，以达到占用合法用户资源的目的。3、破坏数据的完整性。指使用非法手段，删除、修改、重发某些重要信息，以干扰用户的正常使用。4、干扰系统正常运行，破坏网络系统的可用性。指改变系统的正常运行方法，减慢系统的响应时间等手段。这会使合法用户不能正常访问网络资源，使有严格响应时间要求的服务不能及时得到响应。5、病毒与恶意攻击。指通过网络传播病毒或恶意java、active x等，其破坏性非常高，而且用户很难防范。6、软件的漏洞和“后门”。软件不可能没有安全漏洞和设计缺陷，这些漏洞和缺陷最易受到黑客的利用。另外，软件的“后门”都是软件编程人员为了方便而设置的，一般不为外人所知，可是一旦“后门”被发现，网络信息将没有什么安全可言。如windows的安全漏洞便有很多。7、电磁辐射。电磁辐射对网络信息安全有两方面影响。一方面，电磁辐射能够破坏网络中的数据和软件，这种辐射的来源主要是网络周围电子电气设备产生的电磁辐射和试图破坏数据传输而预谋的干扰辐射源。另一方面，电磁泄漏可以导致信息泄露。2、应对措施采用防火墙技术，在内网与外网的环节中间添加防火墙，以保证校园网的安全。内网外网1、内部网络和外部网络之间的所有网络数据流都必须经过防火墙这是防火墙所处网络位置特性，同时也是一个前提。因为只有当防火墙是内、外部网络之间通信的唯一通道，才可以全面、有效地保护企业网内部网络不受侵害。2、只有符合安全策略的数据流才能通过防火墙防火墙最基本的功能是确保网络流量的合法性，并在此前提下将网络的流量快速的从一条链路转发到另外的链路上去。防火墙将网络上的流量通过相应的网络接口接收上来，按照osi协议栈的七层结构顺序上传，在适当的协议层进行访问规则和安全审查，然后将符合通过条件的报文从相应的网络接口送出，而对于那些不符合通过条件的报文则予以阻断。因此，从这个角度上来说，防火墙是一个类似于桥接或路由器的、多端口的（网络接口=2）转发设备，它跨接于多个分离的物理网段之间，并在报文转发过程之中完成对报文的审查工作。3、防火墙自身应具有非常强的抗攻击免疫力这是防火墙之所以能担当企业内部网络安全防护重任的先决条件。防火墙处于网络边缘，它就像一个边界卫士一样，每时每刻都要面对黑客的入侵，这样就要求防火墙自身要具有非常强的抗击入侵本领。它之所以具有这么强的本领防火墙操作系统本身是关键，只有自身具有完整信任关系的操作系统才可以谈论系统的安全性。其次就是防火墙自身具有非常低的服务功能，除了专门的防火墙嵌入系统外，再没有其它应用程序在防火墙上运行。当然这些安全性也只能说是相对的。五、虚拟模拟路由器配置：router0routerenablerouter#config terimialrouter(config)#interface fastethernet0/0router(config-if)#ip address router(config-if)#exitrouter(config)#interface fastethernet0/1router(config-if)#no shutdownrouter(config-if)#ip address router(config-if)#exitrouter(config)#interface serial1/0router(config-if)#no shutdownrouter(config-if)#ip address router(config-if)#exitrouterenablerouter#configure terminalenter configuration commands, one per line. end with cntl/z.router(config)#router riprouter(config-router)#network router(config-router)#network router(config-router)#network router(config-router)#exit同理配置route1利用交换机划分vlan,对路由器的配置：switch#vlan databaseswitch(vlan)#vlan 2switch(vlan)#vlan 3switch(vlan)#vtp domain jkxswitch(vlan)#vtp serverswitch(vlan)#exitswitchenableswitch#configure terminalenter configuration commands, one per line. end with cntl/z.switch(config)#vlan 2switch(config-vlan)#name vlan02switch(config-vlan)#exitswitch(config)#vlan 3sw