计算机网络技术毕业论文设计2.doc

计算机网络技术专业毕业设计 论文 计算机网络技术专业毕业设计 论文 校园网规划与设计 中 小学校园网规划与设计 作 者 机关电大 省级机关电大 专 业 计算机网络技术 年 级 2011 年秋 学 号 1151001457154 指导老师 刘德学 I 内容摘要内容摘要 自 1995 年中国教育教研网 CERNET 建成后 校园网的建设已经进入到一个蓬 勃发展的阶段 校园网的建成和使用 对于提高教学和科研的质量 改善教学和科 研条件 加快学校的信息化进程 开展多媒体教学与研究以及使教学多出人才 科 研多出成果有着十分重要而深远的意义 其主要包括各种局域网的技术思想 网络 设计方案 网络拓扑结构 布线系统 Intranet Internet 的应用 网络安全 网 络系统的维护等内容 各高校及其中小学都在筹备建设校园网 希望通过校园网的 建设 改善办学条件 提高教学 科研和管理水平 校园网的建设对于学校来说是 一项大的工程 必须精心设计 精心施工 做到经济适用 技术先进 开放性能良 好 投资强度合理 与国内外网络互联 能长期 稳定运行的高性能的校园网络 关健词 关健词 校园网 规划 设计 网络 II 目目 录录 内容摘要内容摘要 I 目目 录录 II 一一 校园网络应用需求校园网络应用需求 1 1 1 存在问题分析存在问题分析 1 1 2 校园网主要解决的问题校园网主要解决的问题 1 1 3 建设目标分析建设目标分析 1 1 4 需求分析需求分析 2 1 5 本章小结本章小结 3 二二 校园方案设计校园方案设计 4 2 1 拓扑结构设计拓扑结构设计 4 2 2设计思想及原则设计思想及原则 4 2 3系统需求分析系统需求分析 6 2 4设备选型设备选型 7 三三 网络总体设计网络总体设计 10 3 1校园网络架构设计 校园网络架构设计 10 3 2网络三层结构设计网络三层结构设计 10 3 3汇聚层设备选型汇聚层设备选型 10 3 4路由器选型路由器选型 12 3 5防火墙设备的选型防火墙设备的选型 13 四四 网络地址规划及网络地址规划及 VLAN 应用应用 15 4 1 主干网设计主干网设计 15 4 2 IP地址规划地址规划 15 4 3 VLAN设计设计 16 4 4校园网接入校园网接入Internet 17 五五 校园网络管理及安全维护校园网络管理及安全维护 18 5 1 威胁网络安全因素分析威胁网络安全因素分析 18 5 2 网络安全防范措施网络安全防范措施 19 5 3 网络管理网络管理 19 5 4网络安全策略配置网络安全策略配置 21 5 5 拒绝服务的防止拒绝服务的防止 22 5 6电源系统电源系统 22 5 7其校园网基本拓扑结构 其校园网基本拓扑结构 22 六六 设计总结设计总结 30 参考文献参考文献 32 1 一一 校园网络应用需求校园网络应用需求 1 11 1 存在问题分析存在问题分析 河北省邯郸市魏县车往镇第一中学是魏县直属中学 学校在校生 1900 余人 学 校占地 70 亩 校园覆盖了校综合办公楼 1 栋 图书馆 1 栋 教学楼 2 栋 男女宿舍 各 1 栋 食堂一处 体育馆 操场处 学校目前仅图书馆有二十台计算机供图书管 理之用 但是目前无网络连接 学生宿舍 教学楼和办公室目前尚未开通校园网络 根据以上对学校现状的分析并通过深入的了解 目前学校无法满足应用发展的需要 在教学 教育资源获取等方面的网络应用比较落后 校园的信息化相当闭塞 为学 校未来的发展和保持教学的现代化 信息化带来不便 经校方研究决定 现对学校 实现校园网络的初步规划 1 21 2 校园网主要解决的问题校园网主要解决的问题 鉴于学校目前状况 校园网建设过程中 主要需要解决的问题如下 鉴于学校目前状况 校园网建设过程中 主要需要解决的问题如下 建立校园网的主干网络 实现千兆主干 百兆到桌面 通过以上实现整个校 园全网覆盖 解决好综合办公楼 教学楼 学生宿舍上校园网的问题 将校园网应用推入 基层 满足师生员工上网需求 实现校园网的基本应用服务 如WEB服务 DNS服务 VOD点播服务 FTP服务 完善和强化用户访问校内校外资源的权限和策略管理 并进行流量 带宽和 日志管理 提高校园网的可管理性 强化校园网的安全策略 有效地提高校园网的安全性 实现无线上网功能 1 31 3 建设目标分析建设目标分析 根据对学校的网络覆盖现状分析 对拟建校园网系统建设目标分析如下 校园主干满足应用发展的需要 考虑到学校校园网络开展视频点播 多媒体 教学 远程教学等需要 我认为传输主干应采用的是 1000M 光纤 2 网络主机的处理能力强 学校校园网络目前开展的网络应用对主机处理能力 要求不高 比如 WEB 服务等是一些低带宽的应用服务 随着用户数量大幅度的增加 网络应用如 VOD 视频点播 多媒体教学等许多高带宽和需要高处理能力的主机系统 因此 有必要提高网络主机的处理能力 学校的各种 PC 机 工作站 终端设备和局域网连接起来 并与有关广域网 相连 能够获取 Internet 网上的教育资源 容错能力和安全性强 通过技术手段提高网络设备的容错能力 安装硬件防 火墙 IDS 服务器防病毒 工作站防病毒软件 实现网络安全 实现网络的易管理性 考虑到网络设备和主机数量的不断增加 方案规划应 该能够实现校园网的可扩展性核对整个网络的监控能力 1 41 4 需求分析需求分析 学校的整个网络系统以千兆主干 百兆到桌面为总体需求原则 在总体设计方面 带宽为 100M 的节点的介质传输采用超五类线 音频采用五类 线 视频采用同轴电缆 整个校园以计算机网络中心为核心 通过光纤 通过多星 级辐射至各个主楼 从而构成整个校园网主干 各信息点的网络带宽将视其应用的 性质 进行合理地分配 分为 100M 以及 1000M 等量级 也需要能够通过光纤或 DDN 专线与 CERNET 连接 以开通全部的 Internet 网络应用服务 从内部校园网到外部 Internet 的访问都要有安全审查和流量管理功能 在功能方面 结合学校的总体发展趋势 拟建立多媒体多功能教学室 图书馆 计算机管理系统和电子阅览系统利用网络技术 实现多媒体信息交换 视频点播 网络会议 远程教育 兼容校内有线电视网 广播网 监控等网络系统 实现校园全部范围内的无线上网 全网展开 WEB FTP DNS 服务 在学校设备需求方面 第三初级中学按信息点覆盖情况主要设备需求参数如下 3 1 51 5 本章小结本章小结 本小节以魏县第一中学校园网络为基础 对网络设备 计算机设备的现状及现 有网络的应用情况进行了简要介绍 通过分析发现 学校目前存在多方面急需要解 决的问题 包括 主干网络的设计 网络的整体覆盖计划 应用功能的实现 用户 对外界资源的安全性访问 最后对建设目标和潜在需求做了进一步的分析说明 综合办公楼1 台汇聚层交换机 4 台接入层交换机 无线 AP 一台 图书馆 网络中 心 1 核心层交换机 1 汇聚层交换机 3 接入层交换机 服务 器 2 台 路由器 1 台 教学楼 11 汇聚层交换机 2 台接入层交换机 教学楼 21 汇聚层交换机 2 台接入层交换机 教学楼 31 汇聚层交换机 2 台接入层交换机 男生宿舍楼1 汇聚层交换机 4 台接入层交换机 女生宿舍楼1 汇聚层交换机 4 台接入层交换机 体育场 操场 无线 AP 一台 4 二二 校园方案设计校园方案设计 2 12 1 拓扑结构设计拓扑结构设计 层次型结构的提出 层次型网络设计是一种使用分层的 模块化的模型设计校园网的技术 层次型 网络设计模型可以按层设计拓扑结构 每层的重点集中于特定的功能上 有利于分 配和规划带宽和选择适当的系统和功能 层次型拓扑设计具有如下好处 减轻网络中设备的 CPU 负载 降低网络成本 简化每个设计元素并且易于理解 容易更改层次结构 提高设备的利用率 2 22 2 设计思想及原则设计思想及原则 2 2 12 2 1 设计思想设计思想 校园网设计方案将从学院的实际应用出发 结合现代信息技术的发展 遵循实 5 用 可靠 先进 安全的设计原则 对于学校 应能够满足日常的学习和教育资源 的获取 并能够融合当前的网络的主干技术 使网络能够具备充分的可扩展性 同 时满足校园网的易于维护性和安全性的特点 校园网示意图 2 2 22 2 2 设计原则设计原则 先进性先进性 我校为计算机示范性软件学院 每名学生均配有计算机终端 为了达到最好的 教学效果 所以网络速度和稳定性相应要比较高 为了能够达到最加效果 本着最 小投资的原则 在本方案中决定采样华为的网络设备 这样可以最大的节约成本和 最大限度的提高设备的质量 由于在校园网中存在大量的网络设备 为了保障整个网络的正常运作 学校安 装了华为 3Com 的网管软件来对整个网络的运作进行监控 此网管系统支持 SNMP RMON 等网络管理协议 能对网络中的设备进行远程监控 通过探测每台网络 设备的工作状态 来保证整个网络的可靠性 一旦网络设备出现问题 网管系统会 及时准确地发现问题所在 并发出警告信息 通过此软件不但可以帮助学校网管人 员及时排除故障 又能大大降低学校在网络维护费用上的支出 6 可靠性可靠性 软件学院校园网是长春工程学院重要的信息化建设工程 所以校园网建设的可 靠性是非常重要的 因此在选型时候 明确提出要求网络设备厂商具备 自主研发和 自主生产 的能力 这样才能够保证网络产品的可靠运行 同时保证后期设备的维护 和升级 考虑到校园网是服务于江西大宇职业学院的广大师生的 因此我校校园网 要保证网络 24 7 小时不间断工作 安全性安全性 内外网通讯安全 考虑到校园内部网络的安全性 在 Internet 入口处加装了华为 3Com 公司的防 火墙 它能自动进行对不明数据包的检测 可拒绝所有未经授权的网络访问尝试 并生成实时报警和报告 避免了未经授权访问和其他来自因特网的外部威胁和黑客 侵袭 另外华为公司的 防火墙网站过滤功能可限制对 12 种分类内容的访问 保证 了校园内网与因特网之间的通讯安全 网络设备安全 整个校园网络所采用的华为 3Com 产品都具有不同级别的密码保护 网络管理 员可以根据不同的需要制定多样的安全级别来保护网络设备自身的安全性 例如指 定哪种类型用户可以获得何种级别的权限 对网络设备进行哪些方面的修改等 从 而最大程度地保护设备的安全 VLAN 划分保证内网访问安全 由于整个校园网节点数多达 2000 多个 从保证内网的访问安全和便于管理的 角度考虑 对整个校园网进行了 VLAN 的划分 网络中的各节点按相同职能部门或者 相同的应用划分到同一个 VLAN 当中 不同 VLAN 之间的用户是不能互相访问的 譬 如学校领导和普通教师之间 由于职能的差异 互相之间数据不能共享 因此将他 们划分到不同的 VLAN 当中 这样不会造成数据的错误传播以及不必要的数据泄漏 并能有效避免广播风暴的形成 2 32 3 系统需求分析系统需求分析 不同应用及数据流所占用贷款分析 基础信息服务约占用 100MB 视频电话 网络会议 数字音频约占用 100 600M 7 视频流媒体播放 500 1000M WWW FTP E Mail 服务约占用 10M 文件传输 Internet 访问约占用 15M 由以上数据可以看出如果满足所有应用要求 单个用户所独占的网络带宽必须 在 10M 以上 加上网络上固有的广播风暴 设计目标是使单用户在某一个时间独 占的带宽不小于 100M 这样就足以实现网络视频播放 计算机网络和各种网络服 务合一 而且也符合现今主流的 10M 100M 自适应网络的要求 2 42 4 设备选型设备选型 2 4 12 4 1 核心层设备选型核心层设备选型 核心层是校园网互联网络的高速交换主干 用来实现远程站点之间的优化传输 对协调校园网的通信非常重要 核心层负责完成网络各汇聚节点之间的互联及高效 的数据传输 交换 转发及路由分发 核心层结构有以下特点 提供高可靠性和冗余性 提供故障隔离 迅速适应升级 提供较少的滞后和较好的可管理性 具有有限和一致的直径 目前校园网核心层设备一般采用万兆核心以太网交换机 万兆以太网交换机构 成了网络的骨干部分 核心交换机还可以下接许多百兆或千兆交换机作为汇聚层交 换机 汇聚层交换机在通过 100Mbps 传输介质连接工作站 一般核心层设备采用高性能的交换网芯片以及高性能的网络处理器芯片 要求 有极高的系统总吞吐量和背板容量 可支持多个千兆端口 网络核心层设备的拟态网交换机应具有以下功能 高可靠性 大容量高密度 线速转发性能 完善的 QoS 功能 完善的安全机制 强大的业务能力 8 2 4 22 4 2 汇聚层及设备的选取汇聚层及设备的选取 汇聚层设备的选取 汇聚层设备的选取 网络汇聚层是网络接入层和核心层之间的分界层 包括园区主干网络及所有连 接的路由器 汇聚层负责将各种接入业务集中起来 除了进行局部数据的交换 转 发以外 还能通过高速接口将数据传输到核心层 在更大范围内进行数据的路由以 及处理 汇聚层多下将接入层交换机的数据进行汇聚 对上通过高速接口将数据传输到 核心交换机上 起到承上启下的作用 设计汇聚层时根据汇聚层的主要功能 应考 虑到以下几点 汇聚层设备要有足够的带宽 具有三层和多层交换特性 具有灵活多样的业务能力 必须具有冗余和负载均衡能力 汇聚层设备要进行 VLAN 之间的通信 因此一般为支持三层或三层以上的多层交 换设备 汇聚层设备的多层以太网交换机应具备以下特点 支持三层交换 对上连接提供多种千兆端口 模块化组网 支持丰富的二层协议 完善的安全机制 丰富的 QoS 支持 实用方便的网管能力 接入层设备的选取 接入层设备的选取 接入层为用户提供多网络本地网段的访问 它的主要作用事将工作组与汇聚层 连接起来 主要完成逻辑网络分段 基于工作组或 LAN 隔离广播通信量以及在多个 CPU 之间分布服务 9 介入层设备位于网络的末端 对下提供对工作站的接入 对上连接到汇聚层交 换机 接入层设备提供各种标准接口将数据接入到网络中 完成基于业务系统之间 的隔离和安全性控制 认证管理等功能 网络接入层设备应具有如下特点 提供各种不同数量的 100Mbps 端口到用户 提供 1000Mbps 或 1Gbps 电口 光口 上行端口到上层交换机 高性能 低成本 所有端口支持全线速二层交换 支持标准以太网协议 支持丰富的业界标准 充分考虑兼容现有网络设施 网络设备可扩展性好 可平滑升级 支持丰富的业务特性 如 VLAN VLAN Trunk 链路聚合 端口镜像 QOS 多播 安全特性等 方便实用的网管 10 三三 网络总体设计网络总体设计 3 13 1 校园网络架构设计 校园网络架构设计 1 校园网的拓补结构基本上是混合型的 它是由星型 总线型等典型拓补结构 组成 在现代网络结构化布线工程中多采用星型结构 主要用于同一楼层 由各个 房间的计算机间用集线器或者交换机连接产生的 它具有施工简单 扩展性高 成 本低和可管理性好等优点 而校园网在分层布线主要采用树型结构 每个房间的计 算机连接到本层的集线器或交换机 然后每层的集线器或交换机在连接到本楼出口 的交换机或路由器 各个楼的交换机或路由器再连接到校园网的通信网中 由此构 成了校园网的拓补结构 当然这其中还有对网络整体结构的设计 如 vlan 的划分 各不同区域的细划分都需要根据学校情况来定 2 校园网络中心以及各分校区均通过 2M E1 光纤或 ADSL 接入 Internet 对于 我们画定的区域如图书馆 宿舍等 都可以通过 100M 交换口连入校园网 而各个终 端可以采用 10 100M 共享式端口 目前的校园网大多数是纯三层的交换网络 由于交换机都具有三层功能 汇聚 层一般已经可以与接入层归纳为一个层次 各楼层和各楼之间的交换设备都直接上 连到核心设备上 3 23 2 网络三层结构设计网络三层结构设计 校园网网络整体分为三个层次 核心层 汇聚层 接入层 为实现校区内的高 速互联 核心层由 1 个核心节点组成 包括教学区区域 服务器群 汇聚层设在每 栋楼上 每栋楼设置一个汇聚节点 汇聚层为高性能 小核心 型交换机 根据各 个楼的配线间的数量不同 可以分别采用 1 台或是 2 台汇聚层交换机进行汇聚 为 了保证数据传输和交换的效率 现在各个楼内设置三层楼内汇聚层 楼内汇聚层设 备不但分担了核心设备的部分压力 同时提高了网络的安全性 接入层为每个楼的 接入交换机 是直接与用户相连的设备 本实施方案从网络运行的稳定性 安全性 及易于维护性出发进行设计 以满足需求 3 33 3 汇聚层设备选型汇聚层设备选型 11 通常将位于接入层和核心层之间的部分称为分布层或汇聚层 汇聚层交换层是 多台接入层交换机的汇聚点 它必须能够处理来自接入层设备的所有通信量 并提 供到核心层的上行链路 因此汇聚层交换机与接入层交换机比较 需要更高的性能 更少的接口和更高的交换速率 汇聚层交换机选择华为 CISCO WS C2960G 48 整个校园共用 4 台汇聚层交换 机 使用千兆光纤与核心交换机相连 表 2 3 CISCO WS C2960G 48 参数 CISCOCISCO WS C2960G 48WS C2960G 48 主要参数主要参数 产品外观 交换机类型智能交换机 应用层级二层 内存 64MB 传输速率 10Mbps 100Mbps 1000Mbps 网络标准 IEEE 802 3 IEEE 802 3u IEEE 802 1x IEEE 802 1Q IEEE 802 1p IEEE 802 1D IEEE 802 1s IEEE 802 1w IEEE 802 3ad IEEE 802 3z IEEE 802 3 端口结构非模块化 端口数量 44 接口介质 10 100Base T 10 100 1000Base Tx SFP 传输模式全双工 半双工自适应 交换方式存储 转发 背板带宽 32Gbps 包转发率 39Mpps VLAN 支持支持 QOS 支持支持 网管支持支持 网管功能Web 浏览器 SNMP CLI 12 MAC 地址表 8K 模块化插槽 数 4 指示面板 每端口状态 连接完整性 禁用 活动 速度 全双工 系统状态 系统 RPS 链路状态 链路双工 链路速度 电源100VAC 240VAC 50Hz 60Hz 1 3 0 8A 环境标准 工作温度 0 45 工作湿度 10 85 非冷凝 存储温度 25 70 存储湿度 10 85 非冷凝 尺寸 mm 328 445 44 重量 Kg 5 4 价格 2 2 万 3 43 4 路由器选型路由器选型 CISCO 7206VXR 参数参数 CISCOCISCO 7206VXR7206VXR 基本参数基本参数 路由器外观 路由器类型模块化接入路由器 端口结构模块化 网络协议 IEEE 802 3 SDN 密标准 AH MD5 ESP Null DES 3DES ARC4 proprietary fast encoding MD5 HMAC MD5 PPP PAP CHAP LCP IPCP MLPPP 固定的广域网接口可选广域接口 WIC 卡 固定的局域网接口 10 100Base T TX 其他端口控制端口 RS 232 内置防火墙是 Qos 支持支持 支持 VPN支持 扩展模块 6 处理器225 263 或 350MHz MIPS RISC 内存最大 512MB 网络管理Cisco ClickStart SNMP 13 适用环境工作温度 0 40 工作湿度 10 90 存储温度 20 65 电源电源电压 1 认证 100 240V 尺寸 431 426 133 重量 22 7Kg 价格 3 5 万 3 53 5 防火墙设备的选型防火墙设备的选型 固定接口 1 个配置口 CON 1 个备份口 AUX 2 个 10 100 1000M 以太网口 支持光口或者电口 2 个 10 100 1000M 以太网口 支持电口 插槽 2 个 MIM 插槽 可选的接口模块包括 1FE 2FE 4FE 1GE 2GE FLASH16MB SDRAM 缺省 512MB 最大 1GB 外型尺寸 H W D 44 x 436mm x420mm 重量 6kg 输入 交流主机 100 240V 50 60Hz 直流主机 48V 60V电源模块 输出电压 12V 14 AAA 服务 RADIUS 认证 HWTACACS 认证 域认证 CHAP 验证 PAP 验证 防火墙 包过滤 基础和扩展的访问控制列表 基于接口的访问控制列表 基于时间段的访问控制列表 动态包过滤 ASPF 应用层报文过滤 应用层协议 FTP HTTP SMTP RTSP H 323 Q 931 H 245 RTP RTCP 传输层协议 TCP UDP 防攻击特性 Land Smurf Fraggle WinNuke Ping of Death Tear Drop IP Spoofing SYN Flood ICMP Flood UDP Flood ARP 欺骗攻击防范 ARP 主动反向查询 TCP 报文标志位不合法攻击防范 超大 ICMP 报文攻击防范 地址 端口扫描的防范 DoS DDoS 攻击防范 ICMP 重定向或不可达报文控制功能 Tracert 报文控制功能 带路由记录选项 IP 报文控制功能 静态和动态黑名单功能 MAC 和 IP 绑定功能 透明防火墙 基于 MAC 的访问控制列表 邮件 网页 应 用层过滤 邮件过滤 SMTP 邮件地址过滤 SMTP 邮件标题过滤 SMTP 邮件内容过滤 网页过滤 HTTP URL 过滤 HTTP 内容过滤 应用层过滤 Java Blocking ActiveX Blocking SQL 注入攻击防范 15 四四 网络地址规划及网络地址规划及 VLANVLAN 应用应用 4 1 4 1 主干网设计主干网设计 为了满足应用需求 在本设计方案中使用了万兆核心 主干线路采用了 4 芯 62 5 m 多模室内用光缆 汇聚层到接入层采用了 6 类 1000M 非屏蔽双交线连接主 干网络 4 24 2 IPIP 地址规划地址规划 所谓 IP 地址就是给每一个直接与 Internet 相连的主机分配一个在全世界范围 惟一的网络地址 目前 大多使用的是 32 位的 IPv4 地址 寻址时路由器先按 IP 地 址中的网络号 net id 把网络找到 当找到目的网络后 再用 ARP 协议用主机号 host id 找到主机 实际上 由于一台主机可能有多个 IP 地址 因此 IP 地址只是 标志了一台计算机的某个接口 网络拓扑结构 计算机网络拓扑结构一般有总线结构 星型结构 环形结构和 网状结构等 在以太网实际布线时 适宜选用树形结构 通过多级的 HUB 或交换机 分级链接 这样 个别网点出现故障不会影响全局 并具有可靠性高 可扩展性好 易于管理等优点 在本次设计中我们采用了 B 类 IPV4 网络地址作为校园网私网 IP 以便于以后 校园网电脑增多 IP 需求量也越日增多 校园网内部由教学楼 寝室楼组成 其中 教学楼中又分为学生区和办公区两个部分 具体信息点分布如上 为了达到最好的 网络质量和方便管理 一共分为五个网段 其中第一网段为网络管理中心 共 10 个 信息点 第二网段为交换机设备 共 70 个 IP 第三网段为教学区 共 1354 个信息 节点 第四网段为学生生活区 共 668 个信息节点 第五网段为综合办公区 共 86 个信息节点 IP 地址网络号 子网淹码 网络中心 172 16 0 1 172 16 0 100172 16 0 0 24255 255 255 0 交换机 172 16 1 1 172 16 1 254172 16 1 0 24255 255 255 0 16 路由 交换 172 16 1 5 172 16 1 6 255 255 255 25 2 教学区 172 16 9 1 172 16 15 25 4 172 16 9 0 21255 255 248 0 生活区 172 16 6 1 172 16 7 254172 16 6 0 22255 255 252 0 综合办公区 172 16 0 129 172 16 0 2 54 172 16 0 128 2 5 255 255 255 12 8 4 34 3 VLANVLAN 设计设计 虚拟网络 VLAN Virtual Local Area Network 技术在校园网络中起到举足 轻重的作用 应为 VLAN 技术可以提高校园网的效率和安全性 便于对用户的管理 一方面 如果将相互之间通信最多的用户群分配在一个 VLAN 中 就可以保证通信最 多的用户之间使用二层交换协议 而性质不同 通信量较少的用户之间则采用三层 交换协议通信 这无疑大大提高了网络的效率 另一方面 一个 VLAN 就是一个独立 的广播域 VLAN 之间是互相隔离的 应此确保了网络的安全保密性 可以进行网络 用户的分类管理 VLAN 可以根据功能 用途 工作组及应用等因素将用户逻辑上划分为一个相对 独立的网络 使一个可跨域不同网段 不同网络 不同位置的端到端网络 VLAN 的 技术优势主要体现在以下几个方面 增加了网络连接的灵活性 控制网络上的广播 加强了网络的安全性 网络管理简单 直观 根据 VLAN 在交换机上的实现方式 VLAN 分为基于端口的 VLAN 基于 MAC 地址 的 VLAN 基于网络地址的 VLAN 基于用户的 VLAN 其中后三者为动态 VLAN 在本 方案中我们采用了基于端口的静态 VLAN 详细情况请参照图 2 3 1 S5624P S3050C S3026TS3026T VLAN2 VLAN3 VLAN4 教学区办公区公寓区 图图2 3 1 核心层 4 44 4 校园网接入校园网接入 InternetInternet 17 在信息化飞速发展的今天需要考虑校园网与互联网的连接问题 一但接入互联 网 就会涉及到很多管理 安全等方面的问题 校园网除了接入 CERNET 以外 还同 时选择了中国网通作为出口接入点 校园网有两条出口 一个是光纤接入教育网 另一个是中国网通 100Mbps 专线 考虑到 IP 地址匮乏的原因校园网内部采用 NAT 地址装换方式提供 Internet 访问服 务 NAT 的主要功能包括以下几个方面 转换内部局部地址 在内部局部地址和内部全局地址之间建立映射关系 内部全局地址复用 可以通过润许 TCP 连接或 UDP 会话中的原端口进行转换而节省 内部全局地址 用各个内部主机的 TCP 或 UDP 端口号区别 TCP 负载均衡 对于某 些外部网络发起的与内部网络的通信数据流 可以为其配置一种目的地址转换得动 态形式 五五 校园网络管理及安全维护校园网络管理及安全维护 校园网的安全威胁主要来源于两大块 一块是来自于网内 一块来自于网外 来源于网内的威胁主要是病毒攻击和黑客行为攻击 根据统计 威胁校园网安全的 攻击行为大概有 40 左右是来自于网络内部 如何防范来自于内部的攻击是校园网 网络安全防护体系需要重点关注的地方 5 1 5 1 威胁网络安全因素分析威胁网络安全因素分析 计算机网络安全受到的威胁包括 1 黑客 的攻击 2 计算机病毒 3 拒绝服务攻击 Denial of Service Attack 安全威胁的类型 1 非授权访问 指对网络设备及信息资源进行非正常使用或越权使用等 如操 作员安全配置不当造成的安全漏洞 用户安全意识不强 用户口令选择不慎 用户 将自己的账号随意转借他人或与别人共享 18 2 冒充合法用户 主要指利用各种假冒或欺骗的手段非法获得合法用户的使用 权限 以达到占用合法用户资源的目的 3 破坏数据的完整性 指使用非法手段 删除 修改 重发某些重要信息 以 干扰用户的正常使用 4 干扰系统正常运行 破坏网络系统的可用性 指改变系统的正常运行方法 减慢系统的响应时间等手段 这会使合法用户不能正常访问网络资源 使有严格响 应时间要求的服务不能及时得到响应 5 病毒与恶意攻击 指通过网络传播病毒或恶意 Java active X 等 其破坏 性非常高 而且用户很难防范 6 软件的漏洞和 后门 软件不可能没有安全漏洞和设计缺陷 这些漏洞和 缺陷最易受到黑客的利用 另外 软件的 后门 都是软件编程人员为了方便而设 置的 一般不为外人所知 可是一旦 后门 被发现 网络信息将没有什么安全可 言 如 Windows 的安全漏洞便有很多 7 电磁辐射 电磁辐射对网络信息安全有两方面影响 一方面 电磁辐射能够 破坏网络中的数据和软件 这种辐射的来源主要是网络周围电子电气设备产生的电 磁辐射和试图破坏数据传输而预谋的干扰辐射源 另一方面 电磁泄漏可以导致信 息泄露 5 25 2 网络安全防范措施网络安全防范措施 在不改变原有网络结构的基础上实现多种信息安全 保障校园内部网络安全 我们选购了一套网络安全防范设备 1 瑞星杀毒软件网络版 1 360 超强病毒查杀 2 智能主动防御 3 增强型全网漏洞管理 4 强大的网络管理能力是网络安全的基础部署 控制 执行 升级 报告和日 志 二次开发 5 兼容多种平台 6 一体化智能服务体系 5 35 3 网络管理网络管理 19 网络管理就是指监督 组织和控制网络通信服务以及信息处理所必需的各种活 动的总称 网络管理的内容 1 网络故障管理 2 网络配置管理 3 网络性能管理 4 网络计费管理 5 网络安全管理 网络管理的手段 在校园网络管理方面 为了便于校园网络管理人员的管理及维护 我们选购 Quidview 网络管理软件 Quidview 网络管理软件基于灵活的组件化结构 用户可以 根据自己的管理需要和网络情况灵活选择自己需要的组件 真正实现 按需建构 Quidview 网络管理软件采用组件化结构设计 通过安装不同的业务组件实现了 设备管理 VPN 监视与部署 软件升级管理 配置文件管理 告警和性能管理等功 能 支持多种操作系统平台 并能够与多种通用网管平台集成 实现从设备级到网 络级全方位的网络管理 1 网络集中监视 Quidview 网络管理软件提供统一拓扑发现功能 实现全网监控 可以实时监控 所有设备的运行状况 并根据网络运行环境变化提供合适的方式对网络参数进行配 置修改 保证网络以最优性能正常运行 2 故障管理 故障管理主要功能是对全网设备的告警信息和运行信息进行实时监控 查询和 统计设备的告警信息 3 性能监控 Quidview 网管系统提供丰富的性能管理功能 同时以直观的方式显示给用户 通过性能任务的配置 可自动获得网络的各种当前性能数据 并支持设置性能的门 限 当性能超过门限时 可以以告警的方式通知网管系统 通过统计不同线路 不 同资源的利用情况 为优化或扩充网络提供依据 4 服务器监视管理 服务器是企业 IP 架构中的重要组成部分 通过 Quidview 可实现服务器与设 备的统一管理 20 5 设备配置文件管理 当网络规模较大时 网络管理员的配置文件管理工作将十分繁重 如果没有好 的配置文件维护工具 网络管理员就只能手动备份配置文件 这样就给网络管理员 管理 维护网络带来一定的困难 Quidview 网络配置中心支持对设备配置文件的集中管理 包括配置文件的备份 恢复以及批量更新等操作 同时还实现了配置文件的基线化管理 可以对配置文件 的变化进行比较跟踪 6 设备软件升级管理 Quidview 提供完善的设备软件备份升级控制机制 使用 Quidview 管理员可以 方便地查询设备上运行的软件版本 并利用升级分析功能来确定设备运行软件是否 需要升级 当升级软件版本时 可以利用 Quidview 集中备份设备运行软件 然后进 行批量升级 升级之后 可以使用 Quidview 进行升级结果验证 确保升级操作万无 一失 7 集群管理 针对大量二层交换机设备的应用环境 Quidview 网络管理软件提供集群管理功 能 通过一个指定公网 IP 的设备 称作命令交换机 对网络进行管理 8 堆叠管理 Quidview 网络管理软件通过堆叠管理 可以集中管理较大量的低端设备 并且 为用户提供统一的网管界面 方便用户对大量设备的统一管理维护 9 故障定位与地址反查 针对最为常见的端口故障 Quidview 网络管理软件提供了便捷的定位检测工具 路径跟踪和端口环回测试 当用户报告网络端口使用异常时 网络管理员可以 通过网管对指定用户端口做环回测试 直接定位端口故障 10 RMON 管理 RMON 管理根据 RFC1757 定义的标准 RMON MIB 及华为 3Com 自定义告警扩展 MIB 对主机设备进行远程监视管理 5 45 4 网络安全策略配置网络安全策略配置 安全接入和配置 21 安全接入和配置是指在物理 控制台 或逻辑 telnet 端口接入网络基础设施设 备前必须通过认证和授权限制 从而为网络基础设施提供安全性 限制远程访问的 安全设置方法如下表 19 安全接入和配置方法 访问方式保证网络设备安全的方法备注 Console 控制接口 的访问 设置密码和超时限制 建议超时限制设 成 5 分钟 进入特权 exec 和 设备配置级别的 命令行 配置 Radius 来记录 logon logout 时间和操作 活动 配置至少一个本地账户作应急之用 telnet 访问 采用 ACL 限制 指定从特定的 IP 地址来进行 telnet 访问 配置 Radius 安全纪录方案 设 置超时限制 SSH 访问 激活 SSH 访问 从而允许操作员从网络的外部 环境进行设备安全登陆 WEB 管理访问取消 Web 管理功能 SNMP 访问 常规的 SNMP 访问是用 ACL 限制从特定 IP 地址 来进行 SNMP 访问 记录非授权的 SNMP 访问并 禁止非授权的 SNMP 企图和攻击 为增加安全 建 议更改缺省的 SNMP Commutiy 子串 设置不同账号通过设置不同的账号的访问权限 提高安全性 5 55 5 拒绝服务的防止拒绝服务的防止 网络设备拒绝服务攻击的防止主要是防止出现 TCP SYN 泛滥攻击 Smurf 攻击 等 网络设备的防 TCP SYN 的方法主要是配置网络设备 TCP SYN 临界值 若多于这 个临界值 则丢弃多余的 TCP SYN 数据包 防 Smurf 攻击主要是配置网络设备不转 发 ICMP echo 请求 directed broadcast 和设置 ICMP 包临界值 避免成为一个 Smurf 攻击的转发者 受害者 访问控制 22 1 允许从内网访问 internet 端口全开放 2 允许从公网到 DMZ 非军事 区的访问请求 WEB 服务器只开放 80 端口 mail 服务器只开放 25 和 110 端口 4 禁止从公网到内部区的访问请求 端口全关闭 5 允许从内网访问 DMZ 非军事 区 端口全开放 6 允许从 DMZ 非军事 区访问 internet 端口全开放 7 禁止从 DMZ 非军事 区访问内网 端口全关闭 5 65 6 电源系统电源系统 为保证网络系统的安全运转及电源发生故障时重要数据的储存 须配置具有高可 靠性的 UPS 电源 为此 在网络中心配置了一套山特 C3KVA 2100W 的 UPS 电源 5 75 7 其校园网基本拓扑结构 其校园网基本拓扑结构 设备配置方案设备配置方案 1 1 路由器路由器 f1 端口接外网端口 172 16 46 252 24 f 0 端口接内网端口 192 168 1 1 24 Config t Hostname 2624 23 Enable secret level 15 0 star Line vty 0 4 设置 Telnet 密码 Login Pass star Exit Interface f 1 Ip address 172 16 46 252 255 255 255 0 No shut Ip nat outside 定义外部接口 Exit Intface f 0 Ip address 192 168 1 1 255 255 255 0 No shut Ip nat inside 定义内部接口 Exit Access list1 permitted 192 168 0 0 0 0 255 255 Ip nat inside source list 1 int f1 over 应用 nat 协议 Ip routing Ip route 0 0 0 0 0 0 0 0 172 16 46 254 Ip route 192 168 10 0 255 255 255 0 192 168 1 2 Ip route 192 168 20 0 255 255 255 0 192 168 1 2 Ip route 192 168 30 0 255 255 255 0 192 168 1 2 Ip route 192 168 40 0 255 255 255 0 192 168 1 2 Ip route 192 168 50 0 255 255 255 0 192 168 1 2 End Write 2 2 核心交换机 核心交换机 24 F1 1 4 分别与汇聚层交换机相连 f1 8 与路由器相连 Config t Enable secret level 15 0 star 设置特权密码 Enable secret level 1 0 star 设置 Telnet 密码 Hostname 4909 Interface vlan 1 Ip address 192 168 10 1 255 255 255 0 No shut Exit Intface f1 8 No switch 启用 3 层端口 Ip address 192 168 1 2 255 255 255 0 No shut Interface range f1 1 4 Switch mode trunk No shut Exit Ip routing Ip route 0 0 0 0 0 0 0 0 192 168 1 1 Ip route 192 168 20 0 255 255 255 0 192 168 10 2 Ip route 192 168 30 0 255 255 255 0 192 168 10 3 Ip route 192 168 40 0 255 255 255 0 192 168 10 4 Ip route 192 168 50 0 255 255 255 0 192 168 10 5 End Write 3 3 汇聚层交换机 汇聚层交换机 3550 2 3550 2 交换机配置交换机配置 F0 24 与核心交换机相连 F0 1 5 与接入层交换机相连 25 Config t Hostname 3550 2 Enable secret level 15 0 star 设置特权密码 Enable secret level 1 0 star 设置 Telnet 密码 Interface vlan 1 Ip address 192 168 10 2 255 255 255 0 No shut Exit Vlan 20 Intface Vlan 20 创建 3 层虚拟端口 Ip address 192 168 20 1 255 255 255 0 No shut Interface range f0 1 5 Switch mode trunk Exit Interface f0 24 Switch mode trunk Exit Ip routing Ip route 0 0 0 0 0 0 0 0 192 168 10 1 Ip route 192 168 30 0 255 255 255 0 192 168 10 3 End Write 3550 3 3550 3 交换机配置交换机配置 F0 24 与核心交换机相连 F0 1 5 与接入层交换机相连 Config t Hostname 3550 3 Enable secret level 15 0 star 设置特权密码 Enable secret level 1 0 star 设置 Telnet 密码 26 Interface vlan 1 Ip address 192 168 10 3 255 255 255 0 No shut Exit Vlan 30 Exit Intface Vlan 30 创建 3 层虚拟端口 Ip address 192 168 30 1 255 255 255 0 No shut Interface range f0 1 5 Switch mode trunk Exit Interface f0 24 Switch mode trunk Exit Ip routing Ip route 0 0 0 0 0 0 0 0 192 168 10 1 Ip route 192 168 20 0 255 255 255 0 192 168 10 2 End Write 3550 4 3550 4 交换机配置交换机配置 F0 24 与核心交换机相连 F0 1 与接入层交换机相连 Config t Hostname 3550 4 Enable secret level 15 0 star 设置特权密码 Enable secret level 1 0 star 设置 Telnet 密码 Interface vlan 1 Ip address 192 168 10 4 255 255 255 0 No shut 27 Exit Vlan 40 Intface Vlan 40 创建 3 层虚拟端口 Ip address 192 168 40 1 255 255 255 0 No shut Interface range f0 1 Switch mode trunk Exit Interface f0 24 Switch mode trunk Exit Ip routing Ip route 0 0 0 0 0 0 0 0 192 168 10 1 End Write 3550 5 3550 5 交换机配置交换机配置 F0 24 与核心交换机相连 F0 1 7 与接入层交换机相连 Config t Hostname 3550 5 Enable secret level 15 0 star 设置特权密码 Enable secret level 1 0 star 设置 Telnet 密码 Interface vlan 1 Ip address 192 168 10 5 255 255 255 0 No shut Exit Vlan 50 Intface Vlan 50 创建 3 层虚拟端口 Ip address 192 168 50 1 255 255 255 0 No shut 28 exit Interface range f0 1 7 Switch mode trunk Exit Interface f0 24 Switch