本科毕业论文计算机网络专业.doc

本科毕业论文计算机网络专业 本科毕业论文论 文 题 目 校园网络设计方案指 导 老 师 学 生 姓 名 学 号 院 系 网络教育学院专 业 计算机写 作 批 次 目录第1章 需求分析311 实施背景312 网络应用需求313 网络性能需求414 信息点统计4第2章 网络总体设计521网络架构分析522 设计思路523 校园网的设计原则524 网络三层结构设计6241 核心交换机设备选型7242 汇聚层设备选型8243 接入层设备选型8244 防火墙选型8245 服务器选型8某园校网络拓扑图825 接入Internet设计826 VLAN的划分及IP地址的分配8261 Vlan号 ID 的分配规划8262 具体VLAN详细表827 IP地址的分配原则828 物理链路层配置原则8第3章 网络安全与管理831 网络安全8311 威胁网络安全因素分析8312 网络安全防范措施832 网络管理8321 网络管理的内容8322 网络管理的手段833 网络安全策略配置8331安全接入和配置8332 拒绝服务的防止8333 访问控制834电源系统8第4章 综合布线设计841 综合布线的设计原则842 信息点分布和环境分析843 结构化综合布线系统的组成及设计8431工作区子系统Work Area及其网络设计8432 配线子系统Horizontal及其网络设计8433干线子系统Backbone及其网络设计8434 设备间子系统Equipment Room及其网络设计8435 管理子系统Administration及其网络设计8436 建筑群子系统Campus Subsystem及其网络设计8437 进线间子系统及其网络设计844防雷系统8441 设计原则8442 防雷8443电源系统防雷8444 通讯线路雷电防护8445 机房内部防雷辅助措施845 接地系统8451机房独立接地要求8452机房接地系统846在施工中注意事项8461 工程施工前准备8462现场施工8463 现场测试8464 施工验收8第5章 扩展性考虑8第6章 总结8第七章 致谢8第一章 引言科学技术的发展日新月异九十年代在计算机技术和通信技术结合下网络技术得到了飞速的发展如今不仅计算机已经和网络紧密结合整个社会都不可能脱离网络而存在网络技术已经成为现代信息技术的主流人们对网络的认识也随着网络应用的逐渐普及而迅速改变在不久的将来网络必将成为和电话一样通用的工具成为人们生活工作学习中必不可少的一部分Internet即国际互联网是现在网络应用的主流从它最初在美国诞生至今已经经历了三十多年这个以TCPIP协议为主体的国际互联网络已经成为覆盖全世界一百五十多个国家和地区的大型数据通信网络最初的Internet是由科研网络形成的主要是由一些大学和研究所等科研教育单位连接而成逐渐发展到今天的规模而进入九十年代后由于各种商业信息进入了Internet使得Internet得到了极大地发展其拥有的主机数连接的网络数以及覆盖面一直呈指数形式上升现在在Internet上可以提供或者获得各种各样的服务比如通过电子邮件进行合同的起草和签订或利用Internet直接挑选商品和购物Internet是一个资源的网络其中拥有的信息资源几乎覆盖所有的领域Internet面向人类的社会世界上数以亿计的人们利用它进行通信和信息共享通过发送和接收电子邮件或和其他人的计算机建立连接参加各种讨论组并免费使用各种信息资源实现信息共享Internet也是一个服务的网络在Internet上许多单位公司和组织提供了各种各样的服务比如World Wide Web全球信息网服务信息查询服务等向网络上的其他用户展示自己各方面的情况并帮助这些用户找到需要的信息将来的网络在Internet基础上进一步发展其功能速度适用范围等必将全面超过现有的Internet对计算机网络的建设投入了大量的人力和物力目前在网络上提供有价值有吸引力的信息对一个单位或学校树立自己的形象提高自己的知名度以及开拓其他学校组织的联系和往来能够起到很显著的作用校园网将实现与校内各部门进行通信校园网将为学校的科研教学管理提供必要的技术手段为培养人才建立平台以此加快学校的发展成为一个具有示范性的学校应用需求校园网要求具有数据图像语音等多媒体实时通讯能力并在主干网上提供足够的带宽和可保证的服务质量满足大量用户对带宽的基本需要并保留一定的余量供突发的数据传输使用最大可能地降低网络传输的延迟系统应提供基本的Web开发和信息制作的平台性能需求有服务效率服务质量网络吞吐率网络响应时间数据传输速度资源利用率可靠性性能价格比等根据本工程的特殊性语音点和数据点使用相同的传输介质即统一使用超5类4对双绞电缆以实现语音数据相互备份的需要对于网络主干数据通信介质全部使用光纤语音通信主干使用大对数电缆光缆和大对数电缆均留有余量对于其他系统数据传输可采用超5类双绞线或专用线缆联网各楼所在位置及信息点分布情况1层2层3层4层5层6层7层8层1号楼2412102号楼103号楼1829425办公楼17131218图书馆210135号楼2181016号楼889237号楼41974实训楼621212121电楼484公卫楼96889138合计501第2章 网络总体设计21网络架构分析现代网络结构化布线工程中多采用星型结构主要用于同一楼层由各个房间的计算机间用集线器或者交换机连接产生的它具有施工简单扩展性高成本低和可管理性好等优点而校园网在分层布线主要采用树型结构每个房间的计算机连接到本层的集线器或交换机然后每层的集线器或交换机在连接到本楼出口的交换机或路由器各个楼的交换机或路由器再连接到校园网的通信网中由此构成了校园网的拓补结构校园网采用星形的网络拓扑结构骨干网为1000M速率具有良好的可运行性可管理性能够满足未来发展和新技术的应用另外作为整个网络的交换中心在保证高性能无阻塞交换的同时还必须保证稳定可靠的运行因此在网络中心的设备选型和结构设计上必须考虑整体网络的高性能和高可靠性我们选择热路由备份可以有效地提高核心交换的可靠性传输介质也要适合建网需要在楼宇之间采用1000M光纤保证了骨干网络的稳定可靠不受外界电磁环境的干扰覆盖距离大能够覆盖全部校园在楼宇内部采用超5类双绞线其连接状态100m的传递距离能够满足室内布线的长度要求22 设计思路 进行校园网总体设计首先要进行对象研究和需求调查明确学校的性质任务和改革发展的特点及系统建设的需求和条件对学校的信息化环境进行准确的描述其次在应用需求分析的基础上确定学校Intranet服务类型进而确定系统建设的具体目标包括网络设施站点设置开发应用和管理等方面的目标第三是确定网络拓扑结构和功能根据应用需求建设目标和学校主要建筑分布特点进行系统分析和设计第四确定技术设计的原则要求如在技术选型布线设计设备选择软件配置等方面的标准和要求第五规划校园网建设的实施步骤 校园网总体设计方案的科学性应该体现在能否满足以下基本要求方面1整体规划安排2先进性开放性和标准化相结合3结构合理便于维护4高效实用5支持宽带多媒体业务6能够实现快速信息交流协同工作和形象展示23 校园网的设计原则1先进性原则以先进成熟的网络通信技术进行组网支持数据语音和视频图像等多媒体应用采用基于交换的技术代替传统的基于路由的技术并且能确保网络技术和网络产品在几年内基本满足需求2开放性原则校园网的建设应遵循国际标准采用大多数厂家支持的标准协议及标准接口从而为异种机异种操作系统的互连提供便利和可能3可管理性原则网络建设的一项重要内容是网络管理网络的建设必须保证网络运行的可管理性在优秀的网络管理之下将大大提高网络的运行速率并可迅速简便地进行网络故障的诊断4安全性原则信息系统安全问题的中心任务是保证信息网络的畅通确保授权实体经过该网络安全地获取信息并保证该信息的完整和可靠网络系统的每一个环节都可能造成安全与可靠性问题5灵活性和可扩充性选择网络拓扑结构的同时还需要考虑将来的发展由于网络中的设备不是一成不变的如需要添加或删除一个工作站对一些设备进行更新换代或变动设备的位置因此所选取的网络拓扑结构应该能够容易的进行配置以满足新的需要6稳定性和可靠性可靠性对于一个网络拓扑结构是至关重要的在局域网中经常发生节点故障或传输介质故障一个可靠性高的网络拓扑结构除了可以使这些故障对整个网络的影响尽可能小以外同时还应具有良好的故障诊断和故障隔离功能24 网络三层结构设计校园网网络整体分为三个层次核心层汇聚层接入层为实现校区内的高速互联核心层由1个核心节点组成包括教学区区域服务器群汇聚层设在每栋楼上每栋楼设置一个汇聚节点汇聚层为高性能小核心型交换机根据各个楼的配线间的数量不同可以分别采用1台或是2台汇聚层交换机进行汇聚为了保证数据传输和交换的效率现在各个楼内设置三层楼内汇聚层楼内汇聚层设备不但分担了核心设备的部分压力同时提高了网络的安全性接入层为每个楼的接入交换机是直接与用户相连的设备本实施方案从网络运行的稳定性安全性及易于维护性出发进行设计以满足客户需求表2-1 网络设备及线缆选型表名称型号单价数量合计路由器7206VXR35万1台35万核心层交换机Quidway S930310万2台20万汇聚层交换机WS-C2960-G-4822万4台88万接入层交换机24口H3C S1216130018台234万接入层交换机48口H3C S155028006台168万防火墙USG30303万1台3万服务器电子邮件服务器eWorld 邮件服务器MeWorld 宽带主机S20NS-G50-2000396万1台代理服务器125001台WEB服务器118万1台UPSC3KVA2100W225012250超五类非屏蔽双脚线安普6-219507-472012芯多模光缆TCL 12芯室内多模光缆TCL 12芯室内模光缆将网络主干部分称为核心层核心层的主要目的在于通过高速转发通信提供可靠的骨干传输结构因此核心层交换机应拥有更高的可靠性性能和吞吐量华为QuidwayS9303华为Quidway S9303产品外观交换机类型路由交换机应用层级三层传输速率10Mbps100Mbps1000Mbps端口结构模块化交换方式存储-转发背板带宽12Tbps包转发率540MPPSVLAN支持支持QOS支持支持网管支持支持MAC地址表16K模块化插槽数3电源DC384V72VAC90V264V典型功耗 180W整机供电能力350W尺寸 mm 442476175重量 Kg 15价格10万安全特性的华为Quidway S9303将位于接入层和核心层之间的部分称为分布层或汇聚层汇聚层交换层是多台接入层交换机的汇聚点它必须能够处理来自接入层设备的所有通信量并提供到核心层的上行链路因此汇聚层交换机与接入层交换机比较需要更高的性能更少的接口和更高的交换速率CISCO WS-C2960G-48参数CISCO WS-C2960G-48主要参数产品外观交换机类型智能交换机应用层级二层内存64MB传输速率10Mbps100Mbps1000Mbps网络标准IEEE 8023IEEE 8023uIEEE 8021xIEEE 8021QIEEE 8021pIEEE 8021DIEEE 8021sIEEE 8021wIEEE 8023adIEEE 8023zIEEE 8023端口结构非模块化端口数量44接口介质10100Base-T101001000Base-TxSFP传输模式全双工半双工自适应交换方式存储-转发背板带宽32Gbps包转发率39MppsVLAN支持支持QOS支持支持网管支持支持网管功能Web浏览器SNMPCLIMAC地址表8K模块化插槽数4指示面板每端口状态连接完整性禁用活动速度全双工系统状态系统RPS链路状态链路双工链路速度电源100VAC-240VAC50Hz60Hz13-08A环境标准工作温度0-45工作湿度10-85 非冷凝 存储温度-25-70存储湿度10-85 非冷凝 尺寸 mm 32844544重量 Kg 54价格22万243 接入层设备选型通常将网络中直接面向用户连接或访问网络的部分称为接入层接入层目的是允许终端用户连接到网络因此接入层交换机具有低成本和高端口密度特性H3C S155048口参数H3C S1550主要参数产品外观交换机类型网管交换机应用层级接入层传输速率10Mbps100Mbps1000Mbps网络标准IEEE 8023IEEE 8023uIEEE 8023zIEEE 8023abIEEE 8023x端口数量50接口介质10100Base-TX五类双绞线传输距离100m1000Base-LX-SFP9125m单模光纤传输距离10km1000BASE-ZX-LR-SFP9125m单模光纤传输距离40km1000BASE-ZX-VR-SFP9125m单模光纤传输距离70km1000BASE-SX-SFP50125m多模光纤传输距离550m传输模式全双工半双工自适应交换方式存储-转发背板带宽136Gbps包转发率101MppsVLAN支持支持QOS支持支持网管支持支持网管功能支持Web网管MAC地址表8K模块化插槽数1电源AC100-240V 50Hz-60Hz 环境标准工作温度0-40工作湿度20-85无凝结尺寸 mm 44023044重量 Kg 4价格2800H3C S121624口参数H3C S1216主要参数产品外观交换机类型 千兆以太网交换机应用层级接入层内存 2MB传输速率 10Mbps100Mbps1000Mbps网络标准 IEEE 8023IEEE 8023uIEEE 8023ab端口结构 非模块化端口数量 24接口介质 10Base-T345类双绞线支持最大传输距离200m100Base-TX5类双绞线支持最大传输距离100m1000Base-T5类双绞线支持最大传输距离100m传输模式 全双工半双工自适应交换方式 存储-转发背板带宽 32Gbps包转发率 238MppsVLAN支持 不支持QOS支持 不支持网管支持 不支持MAC地址表 8K电源 输入电压220V AC尺寸 mm 33023044价格1250CISCO 7206VXR参数路由器外观路由器类型模块化接入路由器端口结构模块化网络协议IEEE 8023SDN密标准AH MD5 ESP NullDES3DESARC4proprietary fast encodingMD5HMAC-MD5 PPP PAPCHAPLCPIPCPMLPPP 固定的广域网接口可选广域接口WIC卡固定的局域网接口10100Base-TTX其他端口控制端口 RS-232内置防火墙是Qos支持支持支持VPN支持扩展模块6处理器225263或350MHz MIPS RISC 内存最大512MB网络管理Cisco ClickStartSNMP适用环境工作温度0-40工作湿度10-90存储温度-20-65电源电源电压1认证100-240V尺寸431426133重量227Kg价格35万244 防火墙选型某园校构建该校园网络选用的防火墙是华为赛门铁克USG3030 USG3030 华为赛门铁克USG3030 USG3030 华为赛门铁克USG3030 USG3030 设备外观类型企业级防火墙品牌华为赛门铁克并发连接1000000网络端口3个GE光电互斥接口1个Con网络吞吐量1000安全过滤400Mbps用户数限无用户数限制入侵检测DosDDoS适用环境工作温度040工作湿控制端口Console口其他性能高性能高可靠性功能全面的VPN网关优异的DoSDDoS攻击防范能力对多种协议流量控制丰富的NAT业务能力灵活便捷安全的维护管理高速日志收集功能防火墙尺寸420436444mm电源AC100240VDC-48V-6安全标准FCCCE管理SNMPv1v2v3SSHRADIUS 重量 Kg 6参考价格商家报价3万eWorld 邮件服务器M参数eWorld 邮件服务器参数设备类型 邮件服务器功能 新一代全程服务的高可用性硬件邮件服务器国内首创邮件中继系统可保障邮件不丢失国内外收发邮件顺畅嵌入式linux架构稳定性极高主要功能邮件发送中继邮件接受中继垃圾邮件过滤病毒过滤邮件监控限制本地域Webmail网络磁盘防火墙等WAN连接 101001000Mbps1 可扩展2个WAN LAN连接 101001000Mbps1管理 web远程管理平台 Linux等操作系统接口 RJ-45RS232其他特性 250G2 SATA其他参数电源 220V外观 半长 2U 机架式认证 CEFCC价格57万文件传输服务器eWorld 宽带主机S20参数eWorld 宽带主机S20参数设备类型 功能服务器功能 宽带主机是国际先进国内首创的一体化信息化平台嵌入式linux结构抗病毒抗攻击主要功能防火墙VPN上网行为管理网站邮件邮件监控病毒垃圾邮件过滤FTP文件服务器带宽管理负载均衡等多种功能企业信息化性价比极高整体解决方案WAN连接 101001000Mbps1LAN连接 101001000Mbps1管理 web远程管理平台 嵌入式linux系统接口 10100MbpsRS232其他参数电源 220V外观 半长 2U 机架式认证 CEFCC价格286万计费服务器计费服务器参数产品外观产品名称小区宽带宽带计费软件蓝海卓越Radius认证计费服务器认证计费管理服务器NS-G50-2000计费服务器功能用户管理功能网络管理功能网络记录功能计费及统计管理基于标准的RADIUS协议开发的宽带计费管理服务器它不仅支持PPPOE和SCG的认证计费方式还支持最新的8021X接入控制技术与其他厂商支持相应标准的产品兼容结合蓝海卓越电信级PPPOE网关可提供更加丰富的功能发布时间2009年09月19日更新时间2010年01月19日有效期限1年数量8价格39600代理服务器代理服务器参数产品外观产品名称美国服务器设备类型代理服务器功能共享网络CPUDual Xeon 28G内存1GB硬盘160GB流量4000GB月IP数5价格12500Web服务器Web服务器参数产品外观产品类型WEB服务器功能提供网上信息浏览服务Intel至强 双核心 E3120光驱ComboLan管理PXE其他参数外观1U 高机架式价格11800Ups山特C3KVA2100W标参数山特C3KVA2100W产品外观设备类型 在线式额定输出容量 3kva输入电压范围 115-300V输入频率范围 40-60Hz输出电压范围 22012V输出频率范围 电池模式5002Hz输出电压波形 正弦波电池 阀控式免维护铅酸蓄电池备用时间 半载 11分钟波长 433mm宽高 145mm 318mm重量 28kg价格2250线缆类安普 超五类非屏蔽双绞线6-219507-4安普 超五类非屏蔽双绞线6-219507-4详细参数电缆双绞线类型超五类双绞线适用范围1000Base-T传输速率1000Mbps单段长度100米包装长度305米性能概述是本行业的高性能5e系统 超过目前所有拟议中的5e类和1000BASE-T规范满足综合布线系统设计要求的高速 高性能符合UL认证要求具有优异的传输性能720AMP 4芯室外铠装光缆 50125 AMP 4芯室外铠装光缆 50125 参数多模光纤波长1300nm850nm纤芯数量4光特性损耗85035dBkm130010dBkm1550026dBkm其它规格50125625125环境参数工作温度-30-60工作湿度0-90价格26大唐电信12根钢丝铠装8芯多模室外直埋光缆光纤线大唐电信12根钢丝铠装8芯多模室外直埋光缆参数多模光缆波长1300nm850nm纤芯数量8光特性损耗85035dBkm130010dBkm1550026dBkm其它规格50125625125m产品描述光缆由多条光纤组成适应目前网络对长距离传输大容量信息的要求工作温度-40 - 60工作湿度0 - 90价格6TCL 12芯室内多模光缆TCL 12芯室内多模光缆产品类型多模光纤波长1300850nm纤芯数量12光特性损耗850351300101550026dbkm其它规格50125625125环境参数工作温度-3060工作湿度090价格40TCL 12芯室内单模光缆TCL 12芯室内单模光缆产品类型单模光纤波长13001550nm纤芯数量12光特性损耗850351300101550026dbkm其它规格93125环境参数工作温度-3060工作湿度090价格3325 接入Internet设计Internet接入方式主要有以下六种拨号上网方式使用ISDN专线入网使用ADSL宽带入网使用DDN专线入网使用帧中继方式入网局域网接入1拨号上网方式拨号上网方式又称为拨号IP方式因为采用拨号上网方式在上网之后会被动态地分配一个合法的IP地址用拨号方式上网的投资不大但是能使用的功能比拨号仿真终端方法联入要强得多拨号上网就是通过电话拨号的方式接入Internet的但是用户的电脑与接入设备连接时该接入设备不是一般的主机而是称为接入服务Access Server的设备同时在用户电脑与接入设备之间的通信必须用专门的通信协议SLIP或PPP拨号上网的特点投资少适合一般家庭及个人用户使用速度慢因为其受电话线及相关接入设备的硬件条件限制一般在56K左右2ISDN专线接入ISDN专线接入又称为一线通窄带综合业务数字网业务N-ISDN它是在现有电话网上开发的一种集语音数据和图像通信于一体的综合业务形式一线通利用一对普通电话线即可得到综合电信服务边上网边打电话边上网边发传真两部计算机同时上网两部电话同时通话等通过ISDN专线上网的特点方便速度快最高上网速度可达到128KS3ADSL宽带入网ADSL即不对称数字线路技术是一种不对称数字用户线实现宽带接入互联网的技术其作为一种传输层的技术利用铜线资源在一对双绞线上提供上行640kbps下行8Mbps的宽带从而实现了真正意义上的宽带接入ADSL宽带入网特点与拨号上网或ISDN相比减轻了电话交换机的负载不需要拨号属于专线上网不需另缴电话费4DDN专线入网 DDN即数字数据网是利用数字传输通道光纤数字微波卫星和数字交叉复用节点组成的数字数据传输网可以为用户提供各种速率的高质量数字专用电路和其它新业务以满足用户多媒体通信和组建中高速计算机通信网的需要其主要特点传输质量高信道利用率高传输速率高网络时延小数据信息传输透明度高可支持任何规程可传输语音数据传真图象等多种业务适用于数据信息流量大的网络运行管理简便对数据终端的数据传输速率没有特殊要求 其主要优点能提供高性能的点到点通信通信保密性强特别适合金融保险等保密性要求高的客户需要传输质量高网络时延小通信速率可根据用户需要选择信道固定分配充分保证了通信的可靠性保证用户的带宽不会受其他用户的影响用户通过这条高速的国际互联网通道可构筑自己的InternetE-mail等应用系统用户网络的整体接入使局域网内的PC均可共享互联网资源用户可免费得到多个Internet 合法IP地址及域名用户可实现每天24小时全天候的信息发布即用户可建立自己的Web站点向国际互联网发布自己的信息或提供信息服务用户可通过防火墙等技术保护内部网络免受不良侵害用户可通过VPNVirtual Private Network虚拟私用网络功能利用首创网络综 合信息平台实惠安全可靠的企业网的国际网络互联从而构建起企业的国际专用互 联网络 5帧中继方式入网帧中继是在OSI第二层上用简化的方法传送和交换数据单元的一种技术通过帧中继入网需申请帧中继电路配备支持TCPIP协议的路由器用户必须有LAN局域网或IP主机同时需申请IP地址和域名入网后用户网上的所有工作站均可享受Internet的所有服务帧中继上网特点通信效率高租费低适用于LAN之间的远程互联传输速率在9600bps2048kbps之间6局域网接入局域网连接就是把用户的电脑连接到一个与Internet直接相连的局域网LAN上并且获得一个永久属于用户电脑的IP地址不需要Modem和电话线但是需要有网卡才能与LAN通信同时要求用户电脑软件的配置要求比较高一般需要专业人员为用户的电脑进行配置电脑中还应配有TCPIP软件局域网接入的特点传输速率高对电脑配置要求高需要有网卡需要安装配有TCPIP的软件DDN专线入网DDN专线的特点采用数字电路传输质量高信道利用率高数据信息流量大时延小通信速率可根据需要选择电路可以自动迂回可靠性高VLAN提供的安全机制可以限制用户对安全设备的访问例如限制普通用户对计费服务器安全交换机等的访问Vlan控制广播组的大小和位置甚至锁定网络成员的MAC地址这样就限制了未经安全许可的用户和网络成员对网络的使用增强网络管理261 VLAN号 ID 的分配规划VLAN划分原则便于管理VLAN划分理念将几个楼划分在同一VLAN便于操作管理VLAN详细划分1号楼2号楼和3号楼即北U字楼在同一VLAN 也就是VLAN10办公楼和图书馆在VLAN205号楼6号楼和7号楼即南U字楼在VLAN30实训楼为VLAN 40公共卫生楼为VLAN 50电教楼为VLAN 60服务器集群在vlan99中262 具体VLAN详细表表2-3 VLAN详细表楼ID及名称VLAN ID1号楼VLAN 102号楼3号楼办公楼VLAN 20图书馆5号楼VLAN 306号楼7号楼实训楼VLAN 40公共卫生楼VLAN 50电教楼VLAN 60服务器集群VLAN 9927 IP地址的分配原则IP地址的统一合理规划以及整个网络向IPv6的演进是关系到整体分层网络稳定快速收敛的关键也是某职业技术学院校园网网络设计中的重要一环IP地址规划的好坏不仅影响到网络路由协议算法的效率更影响到网络的性能和稳定以及网络的扩展和管理也必将直接影响到相关新业务的开拓和网络应用的进一步可持续性发展划分时注意使用VLAN充分节约IP地址使路由交换机上能够采用聚合进行路由的合并减少路由表的大小出口到互联网可以采用NAT防火墙上做地址转换实现校区内接入到同一汇聚层交换机的区域建议采用连续IP地址段以便做路由汇聚IP地址的分配原则如下1给三层交换机设备互连的点对点IP地址分配1个C类地址提供足够的扩展性2考虑到以后的网络扩展规模二层交换机设备的管理IP地址分配1个C类IP地址3可以考虑为学校校园网分配若干个C类私有地址段 服务器集群和办公楼的IP获取方式为手动分配其他的均为通过DHCP获取上网方式均采用NAT方式表2-4 IP地址分配表网络单元地址段地址范围网关上网方式Ip获取方式1号楼 共有28个信息点1号楼1层192168002811419216801NATdhcp1号楼2层192168016281730192168017NATdhcp1号楼3层192168032283346192168033NATdhcp1号楼4层192168048284962192168049NATdhcp2号楼共有10个信息点2号楼2层192168102811419216811NATdhcp3号楼共有94个信息点3号楼1层192168202713019216821NATdhcp3号楼2层192168232273362192168233NATDhcp3号楼3层1921682642665126192168265NATDhcp3号楼4层1921682128291291341921682129NATDhcp办公楼共有60个信息点办公楼1层192168302713019216831NAT手动分配办公楼2层192168332283346192168333NAT手动分配办公楼3层192168348284962192168349NAT手动分配办公楼4层1921683642765944192168365NAT手动分配图书馆共有25个信息点图书馆1层19216840291619216841NATdhcp图书馆2层192168482892219216849NATDhcp图书馆3层192168424282538192168425NATDhcp5号楼共有31个信息点5号楼1层19216850291619216851NATDhcp5号楼2层192168582793819216859NATDhcp5号楼3层192168540284154192168541NATDhcp5号楼4层192168556305758192168557NATDhcp6号楼共有48个信息点6号楼1层192168602811419216861NATDhcp6号楼2层192168616281730192168617NATDhcp6号楼3层192168632283346192168633NATDhcp6号楼4层192168648274978192168649NATDhcp7号楼共有34个信息点7号楼1层19216870291619216871NATDhcp7号楼2层192168782793819216879NATdhcp7号楼3层192168740284154192168741NATDhcp7号楼4层192168756295762192168757NATDhcp实训楼共有90个信息点实训楼1层19216880291619216881NATDhcp实训楼2层192168882793819216889NATDhcp实训楼3层192168840274170192168841NATDhcp实训楼4层1921688722773102192168873NATDhcp实训楼5层1921688104271051341921688105NATDhcp电教楼共有20个信息点电教楼1层19216890291619216891NATDhcp电教楼2层192168982892219216899NATDhcp电教楼3层192168924292530192168925NATDhcp电教楼4层192168932293338192168933NATDhcp公共卫生楼共有61个信息点公卫楼2层19216810028114192168101NATDhcp公卫楼3层19216810162917221921681017NATDhcp公卫楼4层19216810242825381921681025NATDhcp公卫楼5层19216810402841541921681041NATdhcp公卫楼6层19216810562857701921681057NATDhcp公卫楼7层19216810722873861921681073NATDhcp公卫楼8层192168108828891021921681089NATdhcp服务器集群108002811410801NAT手动分配连接点S1中11081030S1中21081430S2中11081830S2中210811230S3中110811630S3中210812030S4中110812430S4中210812830中1防10813230中2防10813630防路1081403028 物理链路层配置原则物理链路层配置遵循下面的原则1 网络设备互连的物理端口都应该绑定端口的速率和全双工模式2 建议所有的Vlan都不要穿透核心层所有的Vlan都将在汇聚层交换机上终结3 本实施方案建议不要启用STP生成树协议由于所有的Vlan都已在汇聚层交换机终结在二层上并没有环路存在故无必要启用如果开启基于每个Vlan的生成树协议广播报文将会很多影响核心交换机性能和网络收敛时间4 所有核心层和汇聚层交换机之间的互连端口均设置为Trunk模式但目前只容许互连Vlan通过以应付将来有Vlan穿越核心层这种情况5 汇聚层交换机和接入交换机之间的互连端口设置为Trunk模式 第3章 网络安全与管理31 网络安全校园网的安全威胁主要来源于两大块一块是来自于网内一块来自于网外来源于网内的威胁主要是病毒攻击和黑客行为攻击根据统计威胁校园网安全的攻击行为大概有40左右是来自于网络内部如何防范来自于内部的攻击是校园网网络安全防护体系需要重点关注的地方在不改变原有网络结构的基础上实现多种信息安全保障内部网络安全瑞星杀毒软件网络版超强病毒查杀智能主动防御增强型全网漏洞管理强大的网络管理能力是网络安全的基础部署控制执行升级报告和日志二次开发兼容多种平台一体化智能服务体系瑞星全功能NP防火墙是一款整合多种安全防护功能的智能网络安全防火墙它是瑞星公司针对中小企业级用户定制的一款高端防火墙型号为RFW-SME 瑞星全功能NP防火墙整合了多种安全防护功能是建构中小型企业网络的最佳选择RFW-SME拥有通用防火墙功能网络地址转换NAT主动式入侵检测IDS虚拟专网VPN带宽管理内容过滤以及策略管理等功能通过架设瑞星全功能NP防火墙可以保护用户的网络免于黑客的攻击同时也帮助用户利用因特网的资源建构网络安全机制及虚拟专网服务还提供了不同等级的网络带宽管理让一些特殊的应用服务可以确保使用带宽 瑞星入侵检测系统作为一种防火墙的合理补充入侵检测技术能够帮助系统对付网络攻击扩展了系统管理员的安全管理能力包括安全审计监视攻击识别和响应提高了信息安全基础结构的完整性瑞星RIDS-100入侵检测系统能实时捕获内外网之间传输的所有数据利用内置的攻击特征库使用模式匹配和智能分析的方法检测网络上发生的入侵行为和异常现象并在数据库中记录有关事件另外RIDS-100入侵检测系统可以与防火墙联动自动配置防火墙策略配合防火墙系统使用可以全面保障网络的安全组成完整的网络安全解决方案为了加强对引擎进行访问的用户的管理RIDS-100系统设计了一套完善的用户管理机制每个管理用户配有一把电子钥匙串口或USB接口内装有该用户的密钥和加密算法用户在对系统进行管理时必须插入自己的钥匙并输入正确的口令检测引擎的接入对被保护网络是透明的它对被保护网络的任何流量和请求均不做反应不影响被保护网络的性能 清扬网络交换机管理软件网络运行管理产品从单位局域网运维管理的需求出发将网络中最活跃的元素-交换机终端PC机和用户等信息集中展示在一个管理平台具有普通网管功能计算机户籍式管理功能计算机的网络属性变化监控功能外来主机接入管理功能计算机定位查询统计功能和计算机补丁检查和下载未打补丁功能等能够辅助运维人员对网络实施用户级全网监控在维护网络及其主机的正常运行的基础上进一步提升管理水平主要功能1树状拓扑结构 能够实时扫描出入网络的设备终端主机扫描出入网络的字节数和网络流量描绘网络联接状况和运行状况为网络管理提供直观有效的数据和视图2接入认证 能够将网络中的终端用户主机主机接入端口和网络设备进行四位一体的对应记录其中任何一项因素的变化为网络计算机实名制管理提供了较完善的技术实现并通过实名制进一步实现了接入认证3网络违规管理 能够对多种网络违规事件提供报警如私自修改IP陌生笔记本接入伪造MAC私自调换交换机端口偷偷增加终端主机和违规接Hub等从技术上管理和防范内部人员的网络违规行为4流量管理 能够基于流量阈值的流量异常控制流量异常报警和流量异常端口自动阻断通过设置端口流量阈值对异常流量进行报警支持弹出式报警和声音报警能够端口流量异常自动阻断允许基于交换机的流量异常阻断策略设定也支持基于交换机端口的流量异常阻断策略5防止外来接入 通过接入认证实现计算机MAC地址与交换机端口的绑定没有经过认证的计算机接入立即就被阻断防止陌生的计算机接入一旦MAC地址与端口绑定内部计算机从绑定端口任意插入到另一个端口该计算机将被阻断但是计算机接回原来的绑定端口时可继续使用避免了人为随意调换交换机端口6网络故障管理 能够一目了然地显示网络故障网络设备非正常运行主机离线端口故障等为排除故障提供了第一手资料和线索7网络安全管理 能够对多种安全应用系统例如防火墙入侵检测等出现的事件日志进行协同查证提供MACIP的查询和端口定位找到出事的终端主机从而发现内部人员的违规痕迹8接入报表 能够显示所有接入交换机或其它网络设备的计算机的信息这些信息包括单位部门使用人计算机名计算机IPMAC接入哪个网络设备的哪个端口所生成的接入列表信息可以导出打印9支持多厂家网络设备 产品能够检测交换机路由器等诸如cisco华为华为3com凯创avaya北电SMC等等多厂家多种类网络设备网络管理就是指监督组织和控制网络通信服务以及信息处理所必需的各种活动的总称根据OSI管理模型国际标准化组织在ISOIEC7498-4中定义了网络管理的五大功能这五大管理功能分别是故障管理计费管理配置管理性能管理和安全管理故障管理是网络管理的最基本功能指系统出现异常情况下的管理操作计算机网络服务发生意外中断是常见的这种意外中断在某些重要时可能会对系统带来很大的影响异常情况通常由网络中设备损坏或环境的影响所引起一旦故障出现可以根据网络管理数据库中的信息确定其原因和位置然后采取措施进行修复保障网络正常运行网络故障管理包括故障检测修复及隔离等内容对网络故障的检测依赖于对网络设备的状态监测简单的故障通常被记录在错误日志中由网管人员通过网络设备本身具有的故障检测诊断和恢复措施予以解决对于严重的或者无法恢复的故障应当向网络管理中心报警同时对故障设备进行隔离和分析排除故障网络管理中心也可定期地轮询设备部件和线路的工作状态及时地发现问题并通过诊断测试来辨别故障原因解决问题计费管理负责记录系统资源的使用情况并统计相应的使用费通过计费系统对于需核算网络费用的单位可以统计实际费用的发生情况而对于免费使用网络资源的单位也可以限制用户对网络资源的过度使用通过计费系统对网络使用情况的统计分析可以评价网络的性能及使用效率作为网络改造的依据计费管理系统记录网络运行情况和用户使用资源的信息网络管理中心据此计算用户应付的费用为了保证计费功能的实现网络管理中心必须具有用户管理的能力包括用户费用限制增加删除用户和修改用户参数等配置管理就是设定收集监测和管理网络设备配置数据使得网络性能达到最优配置管理的数据包括网络设备的容量和属性以及它们之间的关系配置管理的内容包括设置系统参数初始化和关闭系统资源根据请求向用户开放系统的特定资源等此外随着网络系统中用户设备以及应用的变化对相关参数进行动态调整性能管理主要是通过收集和统计网络运行数据对网络资源的运行状况和通信效率等进行评价网络性能的好坏是网络中各种因子综合影响的结果对网络性能的评价结果是进行网络配置调整的基本依据网络安全管理是目前的热点它直接影响用户对网络系统的可信程度和网络应用的发展趋势网络安全管理的主要任务包括保护网络数据不被非法用户获取保持网络数据的保密性通过授权控制防止非法用户向网络上发送错误的信息或非法访问受限的网络资源因此网络安全管理的主要内容包括授权管理访问控制管理审计检查跟踪和事件处理加密管理等 Quidview网络管理软件Quidview网络管理软件基于灵活的组件化结构用户可以根据自己的管理需要和网络情况灵活选择自己需要的组件真正实现按需建构Quidview网络管理软件采用组件化结构设计通过安装不同的业务组件实现了设备管理VPN监视与部署软件升级管理配置文件管理告警和性能管理等功能支持多种操作系统平台并能够与多种通用网管平台集成实现从设备级到网络级全方位的网络管理网络集中监视Quidview网络管理软件提供统一拓扑发现功能