CCNA课程设计.doc

摘要在当今社会中，信息已成为一种关键的战略资源。为了使信息能准确、高速地在各种型号的计算机、终端机、电话机、传真机等通讯设备之间传递，世界上有不少发达国家正在兴建信息高速公路。21世纪将是Inter-Networking(联网机器)、ClientServer和多媒体整合的年代。现在“联网机器”的概念代替了“机器联网”的传统概念。也就是说，当一个企业或一个政府部门在规划电脑系统时，先从建网开始，在根据具体需求将各种型号的大、中、小型计算机以及微机挂在网上，从根本上避免了“机器联网”造成的开放性不良的被动局面。因此，在新建大楼或旧楼改造的工程中迫切需要一种先进的布线系统来铺设信息高速公路。互联网各种级别的网络中随处都可见到路由器。接入网使得家庭和小型企业可以连接某个互联网服务提供商；企业网中的路由器连接一个校园或企业内成千上万的计算机；骨干网上的路由器终端系统通常是不能直接访问的，它们连接长距离骨干网上的ISP和企业网络。互联网的快速发展无论是对骨干网、企业网还是接入网都带来了快速的发展。关键词：路由器；交换机；服务器；防火墙；目录1.项目概述.11.1概括.11.2建设目标.12.可行性分析报告.13.需求分析.13.1需求概述.13.2网络需求.23.3网络安全体系要求.24.系统配置与实施.34.1网络拓扑结构图.34.2IP地址规划.34.3IP划分一览表.44.4VLAN划分表.44.5服务器规划表.54.6网络配置命令.54.7网络和应用服务.64.8网络安全设计模型.64.8.1外部网络安全.64.8.2内部网络安全.74.8.3广域网通信安全.74.9网络调试.75.工程预算.86.总结.106.1设计中遇到的问题以及解决办法.106.2设计心得.11参考文献.12-1-1.项目概述1.1概括为了推进教育学信息化和现代化，某高校计划在校内建立校园内部网。根据要求，我们按照“统一规划、讲究实效、安全可靠”的原则，进行校园网综合系统设计，以满足校园内计算机网络系统的需要。对于某高校来说，由于将有越来越多的资料信息和管理平台放到校园网上，越来越多的用户使用校园网，校园网的可扩展性和可靠性成为选择合作伙伴的重要标准。1.2建设目标通过建设一个高速、安全、可靠、可扩充的网络系统，实现校内信息的高度共享、传递，教学及管理信息化，并通过与广域网的互联，实现校际间的信息共享及与州TER的连接，实现远程教育，为学校的教学、管理、日常办公、内外交流等各方而提供全面、切实的支持。2.可行性分析报告校园网建设，要为教育教学服务，为促进学校教育现代化服务。本着少花钱办大事的原则，充分利用有限的投资，在保证网络先进性的前提下，选用性能价格比最好的设备的原则，有计划、有重点，分层次，积极稳妥地推迸校园网建设。要严格规范校园网建设及相应的软件开发标准，确保信息化校园的整体建设规划和管理要求的落实。3.需求分析3.1需求概述随着信息时代的到来，校园网己经成为现代教育背景下的必要基础设施，成为学校提高水平的重要途径。校园网络的主干所承担的信息流量很大，校园网络的建设的目标是在校园内实现多媒体教学、教务管理、通信、双向视频点播（VOD）等信息共享功能，能实现办公的自动化、无纸化。能通过与Internet的互联，为全校师生提供国际互联网上的各种服务。教师可以制作多媒体课件以及在网上保存和查询教学资源，能对学生进行多媒体教学和通过网络对学生进行指导与考查等。学生也可以通过在网上浏览和查询网上学习资源，从而可以更好地进行学习，校园网能为学校的信息化建设打下基础。-2-3.2网络需求3.2.1布线结构需求图3.1布线结构3.3网络安全体系要求1、全性和数据完整性：能够防止对网络的非法访问，保护关键的数据不被非法窃取、篡改或泄漏，使数据具有极高的可信性提供了网络数据安全传输功能，消除了通信时的明码传输漏洞通过对物理地址或有效授权用户的控制确保了主机接入的唯一性。2、攻击性：所采用的防火墙技术提高了网络抗攻击能力。3、时性：通过网络监控，能及时对受到的攻击做出反应，产生报警信息，并能够对出现的网络安全问题提供调查的依据和手段。4、管理性：使用AAA的认证、授权和记账方式，对用户进行统一授权、认证，便于网络管理员对各种网络设备进行集中管理。5、定性：具有良好的备份功能，网络设备在出现故障时能及时得以恢复，确保企业业务可靠稳定的运行。-3-4.系统配置与实施4.1网络拓扑结构图图4.1网络拓扑结构图4.2IP地址规划根据互联网络技术发展的趋势，结合学校网络目前真实IP地址的现实情沉，我们建议IP地址规划遵循如下原则来设计:1服务器区采用私IP地址，NAT后供人员远程访问；2与Internet互联设备IP地址采用真实IP地址；3部分内部互连采用私有IP地址；4而向用户的私有IP地址，由统一出口的边缘设备(路由器、防火墙)进行地址翻译。即出口路由器(防火墙)互联采用合法IP地址；公共服务器如WWWFTPDNS资源服务器等均采用合法地址（或从安全角度考虑采用私有IP)；部分接入用户采用私有保留IP地址相连。这样设计，既可以充分利用己有的公网IP地址，解决了IP地址空间不足的，既可以方便的实现互通互连，而且将地址翻译(NAT)这种耗费设备资源的工作由网络边缘设备分担，提高网络数据传输整体性能。-4-4.3IP划分一览表表4.1IP划分一览表ip划分表区域起始ip子网掩码设备安放带防火墙功能的路由器校园主设备间核心交换机校园主设备间ftp服务器校园主设备间web服务器校园主设备间教务管理系统服务器00校园主设备间图书馆理服务器00图书馆设备间教务处教务处附近设备间党政办公楼党政办公楼设备间图书馆图书馆设备间教学区主交换机校园主设备间化工系交换机化工系设备间外语系交换机外语系设备间计算机系交换机计算机系设备间大楼1主交换机大楼1，3楼设备间大楼2主交换机大楼2，3楼设备间各楼层交换机各楼层设备间4.4vlan划分表表4.2vlan划分表vlan划分表vlan名称起始ip子网掩码说明教学区主交换机vlan1缺省vlanvlan2化工系vlanvlan3外语系vlanvlan4计算机系vlan生活区大楼1主交换机vlan100缺省vlanvlan2大楼1vlanvlan3大楼2vlanvlan4大楼3vlanvlan5大楼4vlanvlan6大楼5vlan生活区大楼2主交换机vlan100缺省vlanvlan2大楼1vlanvlan3大楼2vlan-5-vlan4大楼3vlanvlan5大楼4vlanvlan6大楼5vlan4.5服务器规划表表4.3服务器规划表校园网及相关服务器的设置服务器IP地址子网掩码说明DHCP服务器动态主机设置服务器DNS服务器域名解析服务器FTP服务器文件传输服务器Web服务器网址：教务管理服务器00网址：图书管理服务器00网址：4.6网络配置命令Switchen进入特权视图Switch#conft进入全局配置视图Switch(config)#hostnameS2960设置交换机名称为S3560S2960(config)#vlan1创建vlan1S2960(config-vlan)#exit退出vlan1S2960(config)#vlan2创建vlan2S2960(config-vlan)#exit退出vlan2S2960(config)#intfa010进入交换机fa010端口S2960(config-if)#switchportaccessvlan1将fa010划分到vlan1中S2960(config-if)#exit退出交换机fa010端口S2960(config)#intfa020进入交换机fa020端口S2960(config-if)#switchportaccessvlan2将fa020划分到vlan2中S2960(config-if)#exit退出到特权视图S2960(config)#interfacevlan1进入vlan1S2960(config-if)#ipaddress配置vlan1的虚接口地址S2960(config-if)#noshut开启S2960(config-if)#exit退出S2960(config)#interfacevlan2进入vlan2-6-S2960(config-if)#ipaddress配置vlan2的虚接口地址S2960(config-if)#noshut开启S2960(config-if)end退出到特权视图4.7网络和应用服务网络和应用服务1、Web服务系统:选用WindowsXP的IIS6.0信息服务系统。另外也有许多免费的BBS电子公告、中文论坛、网络聊大软件可以在NT下安全运行。2、TP服务软件:Server-U是一种被广泛运用的FTP服务器端软件，支持9xMENT2K等全Window、系列，设置简单，功能强大，性能稳定。Server-U不仅100%遵从通用FTP标准，也包括众多的独特功能可为每个用户提供文件共享完美解决方案。可以设定多个FTP服务器、限定登录用户的权限、登录主目录及空间大小等，功能非常完备，具有非常完备的安全特性，支持SSLFTP传输，支持在多个Server-U和FTP客户端通过SSL加密连接保护您的数据交全等。3、E-mail服务系统:MuseMailSerer邮件系统完全自主开发，不依赖其他软件，支持POP3ESMTPIMAPFTPSSL等协议和标准，提供Webmail、证书服务、基本HTTP、FTP协议的网络硬盘、邮件数字水印和加密、远程管理、多域、反垃圾邮件、邮件防病毒、智能屏蔽动态攻击、多级地址簿、邮件过滤、自动回复、邮件监控和自定义签名，收取外部邮件等众多功能。4、代理服务软件:SuperProxy:提供了账号管理方式，可有效管理上网用户。经多年发展和完善，SuperProxy可以说是众多代理软件中最稳定的，全中文操作界面，功能强人，速度快，稳定性和安全性较高的成熟产品，设置简单，界面直观，各不同层次的用户都较容易掌握，几乎不用任何设置可以正常工作，支持各种Windows、平台运行，支持Ftp、Smtp、Dns、Pop3、Socks、Http等协议的代理。5、工作站其它应用软件:文字处理、数据表格、图形处理、浏览器、电子邮件等都有许多人家熟悉并经常使用的软件。4.8网络安全设计模型4.8.1外部网络安全1在外部网络中，包括Internet、外单位等和本企业业务网络的互连以及移动用户与办公自动化网络的连接。业务网和办公自动化网分别通过路由器提供外部用户的接入，利用防火墙(如CiscoPIXFirewall、CheckPointFirewall等)保证内部网络不被外界探测的同时又不影响业务数据的传输。-7-2利用CiscoSecureACSforNT进行AAA的认证、授权和记帐功能，中心对用户进行统一的授权、认证。3在用户认证方面，则采用RSA公司的ACE进行一次性密码认证，确保用户密码的安全性。4.8.2内部网络安全1在内部网络中，分业务网和办公自动化网。业务网和办公自动化网均采用两台三层中心交换机，他们互为备份网内所有核心服务器直接接入中心交换机中。采用虚拟网络(VLAN)和三层交换技术，保证了物理端口、IP地址与MAC地址的一一对应。2在业务网络中所有的业务服务器都使用ACE进行动态密码保护。对于登录网络设备(包括路由器、交换机和PIX)都需要经过ACS进行授权与记帐，并且在ACS中限制只有授权的主机可以登录到中心网络设备。3使用入侵检测系统(如CiscoIDS、CAIntrusionDetection和iS-OneRealSecure等)对业务网中的数据进行实时监控，一旦发现有非法入侵，立即切断该TCP连接并记录。4定期使用安全扫描软件(如CiscoSecureScanner、iS-OneSystemScanner、iS-OneInternetScanner、NAICyberCopScanner等)对整个网络、主机进行扫描，一旦发现网络安全漏洞，立即进行补救。5利用网络级防病毒软件(如Symentic、熊猫卫士等)定期更新病毒库、定期扫描企业网的病毒。6业务网和办公自动化网之间通过PIX防火墙进行隔离，进一步保护了业务网络的安全性。4.8.3广域网通信安全企业广域网一般是由租用中国电信、广电公司的光纤、DDN线路组建的DDN或帧中继专网。考虑到广域网通信有可能被窃听、数据被篡改和非法设备的接入等安全隐患，我们采用VPN(如CiscoVPN、SVPN等)提供网络数据安全传输功能，消除了通信时的明码传输漏洞，同时保证了网络设备之间的互为认证，保证了网络设备接入的唯一性。4.9网络调试网络调试过程就是测试网络设备、网络系统以及网络对应的支持进行检测，以展开和证明网络系统是否满足用户性能、安全性、易用性、可管理性等方而需求的测试。可以通过调试软件完成对网络的调试、测试工作，如:网络调试工具网络调试助手，此工具是在实际工程应用中，根据实际的普遍的-8-需求而开发的网络调试工具。界面精致美观，实用性也强。支持DUPTCP协议、单播广播、集成TCP服务器和客户端，支持ASCII、Hex发送，发送和接收的数据可以在16进制和ASCII码之间进行任意转换，可以自动发送校验位，支持多种校验格式。支持间隔发送，循环发送，批处理发送，输入数据可以从外部文件导入。网络测试工具ToolKit套件中包括:Ping、Finger、TraceRoute、switchport等基本的网络测试命令。5.工程预算表5.1设备外观参数采购数量单价合计CISCO1841-HSECK9端口结构：模块化局域网接口：2个传输速率：10100Mbps网络管理：SNMPtelnet防火墙：内置防火墙网络协议：TCPIPQos支持：支持VPN支持：支持产品内存：最大DRAM内存：384MB最大FLASH其它端口：1个板载USB端口扩展模块：2个模块化插槽+2个WAN接入的模块2750015000CISCOWS-C3560V2-24PS-S产品类型：快速以太网交换机应用层级：三层传输速率：10100Mbps端口数量：26个网络标准：IIEEE802.3，IEEE802.3u，IEEE802.3ab，IEEE802.1p，IEEE802.3af，IEEE802.1Q，IEEE802.1D，IEEE802.1p，IEEE802.3，adIEEE802.1x，IEEE802.1w，IEEE802.1z传输模式：支持全双工11350013500-9-CISCOWS-C2960S-48TS-S产品类型：智能交换机应用层级：二层传输速率：101001000Mbps产品内存：DRAM内存：128MBMAC地址表：8K端口数量：50个传输模式：全双工半双工自适应317400229400CISCOWS-C2960-24PC-L产品类型：智能交换机应用层级：二层传输速率：101001000Mbps产品内存：DRAM内存：64MBFLASH内存：32MB交换方式：存储-转发纠错背板带宽：16Gbps包转发率：6.5MppsMAC地址表：8K端口结构：非模块化端口数量：26个端口描述：24个以太网10100MbpsPoE端口，2个两用上行端口传输模式：支持全双工8720057600IBMSystemx3650M4(7915I51)(服务器)CPU类型：Intel至强E5-2600CPU频率：2GHz智能加速主频：2.8GHz扩展槽：2PCI-E3.01PCI-X（可选）内存类型：ECCDDR3内存容量：8GB内存插槽数量：24最大内存容量：768GB硬盘接口类型：SATASAS最大硬盘容量：9TB12600026000戴尔PowerEdge12GR720(XeonE5-26092GB300GB)产品类别：机架式CPU类型：Intel至强E5-2600CPU型号：XeonE5-2609主板芯片组：IntelC600扩展槽：1全高全长PCI-Ex16插槽内存插槽数量：24最大内存容量：768GB标配硬盘容量：300GB最大硬盘容量：24TB内部硬盘架数：最大支持8块3.5英寸硬盘16块2.5英寸硬盘纠错21200024000-10-磁盘控制器：PERCH310网络控制器：Intel四端口千兆网卡双端口万兆网卡系统管理：符合IPMI2.0标准大唐保镖工程超五类非屏蔽电缆产品类型：超五类双绞线产品特性：高性能的超5类非屏蔽电缆，性能成熟稳定，满足用户的多方面性能要求，安普布线高品质的最佳代表。性能超过TIAEIA568B和ISO超五类标准；经独立机构ETLSEMKO测试和认证；获UL认证依情况而定480元100米0总计3655006.总结6.1设计中遇到的问题以及解决办法在课程设计过程中，遇到问题时在组员的共同努力下，以及老师的指导下，我们解决了这些问题。1、在IP地址规划方面，我们通过划分VLAN的方法解决了多设备连接情况下的IP问题。2、后期设备维护以及管理方面，本组采用核心交换机，下设各个区域的主交换机，主交换机又下设分交换机，在主交换机上划分VLAN解决了日后方便维护等等问题，同时VLAN络上的广播，将网络划分为多个VLAN可减少参与广播风暴的设备数量。LAN分段可以防止广播风暴波及整个网络。VLAN可以提供建立防火墙的机制，防止交换网络的过量广播。使用VLAN，可以将某个交换端口或用户赋予某一个特定的VLAN组，该VLAN组可以在一个交换网中或跨接多个交换机，在一个VLAN中的广播不会送到VLAN之外。同样，相邻的端口不会收到其他VLAN产生的广播。这样可以减少广播流量，释放带宽给用户应用，减少广播的产生。3、考虑到缺省VLAN；在所有的网络中比如校园网或者是企业网中，用户在通过802.1x认证之前属于一个缺省VLAN，用户访问该VLAN内的资源不需要认证，只能访问有限的网络资源，但此时不能够访问其他网络资源。这个VLAN就是缺省VLAN。没有通过认证的客户端计算机处于这个VLAN中，它们只能访问到缺省VLAN服务器的资源，用户从处于缺省VLAN的服务器上可以获取802.1x客户端-11-