温州少儿图书馆网络设计.docx

温州科技职业学院毕业论文（设计）毕业设计（论文）题目：温州少儿图书馆网络设计系部：信息技术系专业：网络技术专业学号：120307151学生姓名：周志强导师姓名：李余党导师职称：讲师二一四年十二月36【摘要】处于信息化大发展时代，、为了迎合学校加强信息化教育的规划与建设。作为课余时间最重要的学习场所图书馆肩负了重要的使命。为了适应教育发展的需要，我们将推进图书馆信息化建设，其最终建设目标是将建设成为一个借助信息化教育和管理手段的高水平的智能化、数字化的图书馆网络，最终完成统一软件资源平台的构建，实现统一网络管理、统一软件资源系统，并实现网络远程教学、在线服务、教育资源共享等各种应用；利用现代信息技术从事管理、教学和科学研究等工作。最终达到在网络方面，更好的对众多网络使用及数据资源的安全控制，同时具有高性能，高效率，不间断的服务，方便的对网络中所有设备和应用进行有效的时事控制和管理。【关键词】网络设计；IP规划；以太网 ；VLAN目录引言1第1章网络的设计原则与目标21.1图书馆网络的设计原则21.2图书馆网络的设计目标3第2章图书馆需求分析32.1总体需求32.2用户需求42.3功能需求42.4运行环境需求5第3章图书馆网络设计方案63.1温州少儿图书馆网简介63.2图书馆网络系统概括73.3图书馆改造设计规划83.4图书馆改造后的网络拓扑图8第4章图书馆网络具体的设计与规划104.1涉及到的一些关键技术104.2具体的配置命令13第5章硬件设备、软件系统和存储技术选择285.1硬件设备选择285.2软件系统选择295.3存储技术选择29第6章图书馆网络安全设计306.1防火墙306.2入侵检测系统316.3通过划分VLAN来防止绝大部分对校园网的侦听316.4交换机端口安全性设置316.5计算机病毒的防治32第7章总结与展望337.1总结337.2展望34致 谢35参考文献36引言为了最大限度实现信息资源共享，为用户提供更加丰富的网络信息服务，推动教学、科研与管理高效准确地工作，建设图书馆网络已经成为新世纪图书馆发展的必然趋势。建成后的图书馆网是数字图书馆网是数字图书馆的物理基础。数字图书馆馆是以信息技术为基石，以海量知识为核心，以软件管理为框架构建的虚拟图书馆。数字图书馆通过海量资源、管理系统和网络发布系统的有机结合。为学校构建了拥有丰富的教育资源、适合学生自主探索式学习、不受时间空间束缚随时随地学习的环境，为培养学生获取信息和利用信息的能力提供先进手段。所以，图书馆网络的应用，它将改变传统的工作模式、工作方法、工作手段，拓展教师和学生的视野，培养学生的创造性思维，提高学生获取信息、分析信息、处理信息的能力和适应现代社会的能力。图书馆网络要实现的功能归纳起来有电子书刊阅览，信息发布，音乐欣赏，影视节目欣赏，网上检索和浏览，收发Email等方面的功能。第1章 网络的设计原则与目标由图书馆的性质和实现的功能用途，决定了图书馆网必须是一个支持大容量、高速交换、安全管理的、便于管理和扩充的综合性能的网络。从网络传输的数据角度考虑图书馆网是一个满足数字。语音。视频等多种媒体信息的运载的物理基础，从功能考虑他是一个综合教学、科研和行政管理的信息传输和处理需要的综合业务数据网，建成后的网络本身支持多种网络协议，体系结构符合国际标准或事实上的国际工业标准。基于这些考虑图书馆网建设要满足如下原则和目标：1.1 图书馆网络的设计原则1.高可靠性和高性能网络系统稳定可靠是整个系统正常运行的重中之重,在设备选型时，充分考虑冗余能力；制定可靠的备份策略，保证网络系统的正常运行。出现故障时，可以快速的排除。网络在建设时必须保证设备和网络的高吞吐能力，保证信息的传输质量，尽可能采用高性能的网络设备，才能使网络不成为正常使用时的瓶颈。2.先进性和实用性网络系统的设计的实用性体现在性能价格比方面，既要采取先进的技术，又能在经费允许的条件下实现建网目标，还要考虑利用和保护现有资源，充分发挥设备的效益。按照层次化、模块化设计网络，具有较好的伸缩性，可以不断吸收新方法、新技术，在可以满足应用系统业务和图书馆业务的同时，还要体现出网络的安全性。3.安全性图书馆拥有众多教学和档案管理的重要数据，无论是被损坏、丢弃还是窃取，都会带来重大损失。所以，内部网络之间、内部网络与外部共网之间的互联，利用VLAN/ELAN、防火墙等对访问进行控制，确保网络的安全。提供多层次安全控制手段，建立完善的安全管理体系，防止数据收到入侵和破坏，有可靠的防病毒措施。4.灵活性和可扩展性系统网络应以开放性为基础，具有广泛的适应性和可扩充性。从主干网络设备的选型及模块、插槽个数和网络的整体构架，以及技术的开放性和对相关协议的支持等方面都要考虑网络系统的扩充性。因为对于图书馆来说，经常更换网络设备将是一笔非常大的开支，在组建图书馆网络的过程中，应当考虑到网络的可持续扩展性。采用三层交换机既可以满足当今图书馆网络的需求，也可以满足未来网络的升级和改良，可以应用于千兆链路与万兆链路。5.易于管理和维护利用图形化的管理界面和简洁的操作方式，合理的网络规划策略，提供强大的网络管理功能。网络日常的维护和操作要直观，便捷和高效。设备尽可能选取集成度高。模块化、可通用的产品，以便于管理和维护。6.开放性系统设计应采用开放技术。开放结构。开放系统组件和开放用户接口，以利于网络的维护、扩展升级和外界信息的沟通。1.2 图书馆网络的设计目标图书馆网络系统设计应该考虑到网络的总体框架设计、网络管理设计、网络应用设计、网络安全设计等，要求达到的目标有以下几点：第一，系统的兼容性好，实用性强，开放性好，符合国际标准，支持TCP/IP、IPX/SPX协议。第二，掌握现代信息技术发展，采用先进技术，选用技术成熟的网络产品。系统软硬件配置时需要考虑性能需求和当前技术水平，兼顾系统的现实性和技术领先。第三，整体设计最优原则，在进行设计的时候，需要根据合理性的原则，综合考虑，这种选择，充分顾及到：安全性、可靠性、实用性和经济性。第四，系统安全可靠，便于维护和管理。第五，适应现代化技术的发展，与中国教育科研网(CERNET)等国内和国际互联网相连，实现真正的国际、国内网际互联。第2章 图书馆需求分析2.1 总体需求图书馆网络系统建设包括图书馆局域网建设及与政府外网和市民卡外网互联。图书馆局域网以交换式千兆以太网为主干，网络不仅支持传送文件，还要支持语音、视频等信息量大的流媒体应用，对网络的响应和带宽要求较高，这就要求网络设备的要有较大的交换容量；同时还要加强网络安全策略，对内防止病毒侵扰、对外防止外部的网络攻击；针对图书馆资源的访问方式，故采用有线网络为主，无线网络为辅的接入方式。信息点的主要分布一楼接待大厅（20个信息点），二楼读者区（50个信息点），三楼读者区（50个信息点），四楼培训区（100个信息点），五楼办公区（50个信息点）。模拟信息图如下：图2-1 模拟信息图2.2 用户需求网络在图书馆资源管理中起着至关重要的作用，图书馆网的运作模式会带来大量动态的www应用数据传输，会有相当一部分应用的主服务器有高速接入网络的需求，目前为100/1000Mbps。这就要求网络有足够的主干带宽和扩展能力。同时，一些新的应用类型，如网络教学、视频直播/广播等，也对网络提出了支持多点广播和宽带高速接入的要求。除上述考虑外，还要注意到由于逻辑上业务网和管理网必须分开，所以建成后图书馆网应能提供多个网段的划分和隔离，并能做到灵活改变配置，以适应教学办公环境的调整和变化，及实现移动教学办公的要求。按目前通常的考虑，建议数据信息点的接入以交换10/100Mbps自适应以太网端口接入为主，以供带宽需求较高用户或应用使用。整个方案设计的目的是建设一个集数据传输和备份、多媒体应用、语音传输、OA应用和Internet访问等于一体的高可靠、高性能的宽带多媒体图书馆网络。2.3 功能需求(1) 组网需求采用成熟的组网技术，保证最优性价比。采用简单、清晰的网络拓扑结构，保证网络的稳定和高性能。(2) 设备需求可扩展性强，通过增加新的模块和设备解决网络需求的增长，实现网络的平滑扩容。设备稳定可靠，性能高，能耐受一定程度的大数据量的冲击和安全问题干扰。设备具备多功能支持，要求能够采用较少的投资实现较多的功能。(3) 网络安全需求针对图书馆网学生比较活跃，易发生IP地址盗用、账号盗用、计算机入侵等安全问题，要求能够实现端到端的网络安全解决方案。(4) 网络管理需求采用方便、灵活的管理方式、支持分层次的IP管理。（5）网络通信需求具有远程通信能力，借助电话网等通信手段，方便地实现远程互联满足图书馆要求，加强各单位之间的业务联系和信息资源共享。（6）数据查找需求具有收集、分析、处理、整合、统计各类信息资源的能力，充分利用最新的数据资源，为图书馆领导提供最为准确和快捷的数字信息，实现数据化管理的科学化决策。（7）安全需求楼层交换机使用双链路分别连接到2台核心设备，互为备份。是信息更加安全可靠。2.4 运行环境需求1 硬件平台（1）开放性：具有良好的可操作性、可互连性和相应的高速数据处理能力和数据交换能力。（2）可扩充性：可根据体制、机构的变动而调整。（3）可靠性：保证网络和应用系统安全稳定运行。2 软件环境（1）对操作系统的要求：较高的性能价格比。易于安装、维护、使用。优异的连网能力 。具有高度的安全性。（2）对数据库要求：开放性，基于标准的，可与不同数据库、开发工具互连。可靠性，具有自动备份和自动恢复功能。安全性，对系统提供多种权限控制 。分布式，具有分布式和集中式处理能力。支持联机分析处理。支持WEB技术并具有多媒体处理技术。具有较高的性能价格比。（3）对开发环境和工具的要求：基于客户机/服务器环境、分布式环境、Internet环境。支持分布式、组件式的应用体系结构。支持WEB的应用开发 。具有开放性，支持不同的使用平台、数据库、事务处理器。第3章 图书馆网络设计方案3.1 温州少儿图书馆网简介1图书馆主干网选择图书馆主干网是整个图书馆网络的核心，是图书馆网络中所有子网正常运行的基础。该馆的主干网络选择千兆以太网，千兆以太网技术是高速的以太网技术，它的优点是象传统以太网一样价格便宜，同时还具有可靠性、易扩展、简易性、易管理和广泛使用性等特点将。千兆以太网作为整个区域网络或者图书馆网络的骨干，是非常合适的，它可以把多个100Mbps的以太网联结起来，组成一个高带宽的区域网。千兆以太网不光能够提供比快速以太网快10倍的速度，还能够兼容10/100M以太网标准，可以提供迁移途径，充分保护现有基础设施上的投资。千兆以太网相对于快速以太网、ATM、FDDI等主干网络，改善交换机之间骨干连接和交换机与服务器的连接的经济、可靠的途径。因此根据实际情况，考虑到所采用的交换技术、结构互布线以及便于向ATM过度等因素，所以，在图书馆系统中采用了易于布线、维护和管理的星型结构千兆以太网的连接方式。2图书馆原有网络拓扑图图3-1 原有网络拓扑图3.2 图书馆网络系统概括1温州少儿图书馆简介温州市少年儿童图书馆现有馆藏约30万册(件)，主要的服务对象是0-18岁的少年儿童以及家长、教育工作者、儿童工作者等，全年对外开放，实行无证阅览，凭证外借。馆内设有幼儿天地、小学借阅室、中学借阅室、教参借阅室、动漫馆、益智馆、ihouse等对外服务窗口，收藏图书、报刊、非书资料等各类文献，实行藏、借、阅、导读、活动、咨询一体化，面向不同年龄层读者，开展文献阅览外借、阅读指导、读书活动、参考咨询等各类服务。2图书馆原有网络概括核心三层交换机作为支撑整个少儿图书馆网络的核心部件，在性能上具有满足现有网络及以后扩展的需要，但单台核心设备存在着单点故障，即这台设备出现故障后，整个图书馆的网络将不能正常运行；现有网络规划中，服务器并未使用独立的网段（/24），而是与其他终端设备共用一个网段，存在着遭受内部网络攻击的可能，因为任意一台计算机终端感染病毒，比如蠕虫、木马，关键服务器首当其冲便会受到攻击；关键业务服务器使用单网卡接入，存在物理线路故障导致服务器不能对外提供服务的隐患；楼层交换机使用单链路上联，在物理上，比如光纤模块，光纤跳线，出现问题，该楼层将不能正常访问网络。少儿图书馆除了满足网络系统的需求外，还需提供资源共享等服务，特别是新建阅览室对网络系统提出了更高要求。基于图书馆现状，除了建立完整的硬件系统外，还要有软件系统提供更好的服务。高性能的硬件系统和优良的软件系统组建成为完整的图书馆网络系统。3.3 图书馆改造设计规划1现状分析主要对少图馆的网络现状进行分析，指出现有网络存在的问题，并结合实际情况进行规划，引进新设备，满足服务升级需求，进而提出解决现有网络存在的隐患，提升现有计算机网络的网络质量，同时兼顾关键业务服务器的网络可用性的解决方案。2新建改造设计新建：添加深信服应用防火墙（SanforAF）、核心交换机H3C7506E改造：核心交换机虚拟网关冗余配置VRRP，防火墙集成的IPS作服务器防御外部网络攻击，部署NOD32防病毒软件，关键服务器双网卡捆绑。3网络设计规划AF 采用透明部署模式，设计上，只要上行口跟下行口在同一个VLAN即可，即将上行口跟两个下行口设置成access口，并属于同一VLAN。 VRRP可以监视链路的状态。当主路由器的链路出现故障时，备份组中优先级较低的路由器3次接收不到VRRP报文，此时备份路由器主动成为Master路由器，并发送VRRP报文，以避免流量转发失败。按照少图馆的现有网络情况，设计如下：在VLAN27、VLAN100上设置VRRP；H3C7503E在备份组中的优先级较高（100）；H3C7506E在备份组中的优先级为默认（=100）；楼层交换机增加线路到H3C7506E上；核心业务服务器增加线路到H3C7506E上。H3C7503和H3C7506之间的链路采用聚合链路，以提高心跳线的可靠性。STP将环路网络结构修剪成无环路的树型网络结构，从而防止报文在环路网络中不断增生和无限循环，避免设备由于重复接收相同报文而造成报文处理能力的下降；同时，它还具备链路备份的功能。与STP相比，MSTP可以实现网络拓扑的快速收敛，也能使不同VLAN的流量沿各自的路径转发，从而为冗余链路提供了更好的负载分担机制。但现有设备华为S1700并不支持MSTP，所以此次设计还是选择STP进行二层环路控制。3.4 图书馆改造后的网络拓扑图温州少儿图书馆网络采用层次化的星型网络拓扑结构。网络分为两层：接入层与核心层。图书馆的核心层设备又是校园网的汇聚层设备。将五楼配线间作为中心机房，放置各个楼层的接入层交换机和中心交换机以及各种服务器。主配线间与楼层配线间使用光纤连接，接入层交换机均安放在个配线间中。图书馆网络结构拓扑图： 图2图书馆改造拓扑图1网络设备互联规划互联调整图：图3-4 互联调整图1.两台核心设备上行链路都连接到NGAF，互为备份。2.核心之间使用两条聚合心跳线检测VRRP报文。3.楼层交换机使用双链路分别连接到2台核心设备，互为备份。第4章 图书馆网络具体的设计与规划4.1 涉及到的一些关键技术 1 VLAN技术VLAN(Virtual Local Area Network，虚拟局域网)，是网络设备上连接的不受物理位置限制的用户的一个逻辑组。在一个VLAN上的设备或用户可以按功能、部门、应用等分类，而不管他们的物理位置。VLAN创建了不限于物理段的单一广播域，并可以像一个子网一样对待。VLAN技术允许网络管理者将一个物理的局域网逻辑地划分成不同的广播域，每一个VLAN都包含一组有着相同需求的计算机工作站，与物理上形成的局域网有着相同的属性。VLAN的主要功能：广播抑制功能带宽利用功能网络安全功能减少延迟功能VLAN的主要特征：所有成员组成一个VLAN，成员间收发广播包的特点是同一个VLAN中的所有成员均能收到由同一个VLAN中的其他成员发送来的每一个广播包，但收不到其他VLAN中成员发来的广播包。成员间通信的特点是同一个VLAN中的所有成员之间的通信通过VLAN交换机可以直接进行，不需要路由支持：不同VLAN成员之间不能直接通信，无论采用传统路由方式还是虚拟路由方式，均需要通过路由支持才能进行。1.1VLAN具体划分(1)图书馆的网络结构图书馆网络结构大致分为：互联地址段、办公系统、培训系统、读者系统、无线系统、业务系统、市民卡互联地址、政府外网。(2)图书馆的VLAN划分根据图书馆的结构和需求，采用基于端口的VLAN划分方式，把网络划分为9个VLAN。1.互联地址段：为了保证连接防火墙的的安全性，把它划分为一个VLAN。2.办公系统： 作为整个图书馆的工作系统，为了工作的安全性和工作的正常开展，把他划分为一个VLAN。3. 培训系统：图书馆经常举办一些培训教育工作，不单单是对于青少年而言，还有些教职工及家长，因此担负重要的职责。因此专门划分一个VLAN。4. 读者系统：该系统为读者提供免费、开放的检索咨询服务。由于开放和免费，所以读者流动性较大，安全性较低。所以，把给系统分为一个VLAN，出现问题不影响其他系统，保护整个网络的安全。5.无线系统：随着互联网和手机等移动设备的发展，无线作为一个重要角色，人们越来越离不开他。流动性较大，安全性较低。所以，把他分为2个VLAN，出现问题不影响其他系统，保护整个网络的安全。6业务系统：随着近几年来，图书馆的不断发展，所面临的问题越来越多，越来越重要，开展了各项业务，因此专门划分一个VLAN给他，避免业务因网络方面出现问题。7. 市民卡互联地址：温州少儿图书馆与温州市人力资源和社会保障局合作，保障局的市民卡如果开通图书借阅功能后可以直接前往图书馆进行借阅书籍。因此需要另外划分一个VLAN保障其工作的正常性，不受其他系统的干预。8. 政府外网：温州市少儿图书馆事业单位，受温州市市政府管辖，内部需要划分一个专门的VLAN与政府外网进行联系和沟通。1.2 IP地址的规划1.2.1 IP地址规划基本原则简单性：地址分配应清晰明了易于实施，降低网络扩展的复杂性，简化路由表的条目。连续性：连续地址在层次结构网络中易于进行路径叠合，大大缩减路由表，提高路由算法的效率。可扩展性：地址分配在每一层次上都要留有余量，在网络规模扩展时能保证地址叠合所需的连续性。灵活性：地址分配应具有灵活性，以满足多种路由策略的优化，充分利用地址空间。安全性：保证内部地址的不泄漏，外联业务的对外的地址与内部地址的网段不同。1.2.2 IP地址总设计思想1.根据国际互联网RFC1918地址使用标准，中国汶州少儿图书馆网络将采用标准的私有IP地址。55（16个B类地址，含220 = 1,048,576个地址）作为终端用户地址范围。55 （1个B类地址，216 = 65,536个地址）作为网络设备互联和网络设备标识地址范围。1.2联网地址规划广域网地址使用ISP(因特网服务提供商)所分配范围内地址，合理利用掩码长度满足充分和必要的IP地址分配。1.3 STP冗余链路生成树协议最主要的应用是为了避免局域网中的单点故障、网络回环，解决成环以太网网络的“广播风暴”问题，从某种意义上说是一种网络保护技术，可以消除由于失误或者意外带来的循环连接。STP也提供了为网络提供备份连接的可能，可与SDH保护配合构成以太环网的双重保护。新型以太单板支持符合IEEE802.1d标准的生成树协议STP及IEEE802.1w规定的快速生成树协议RSTP,收敛速度可达到1s。对二层以太网来说，两个VLAN间只能有一条活动着的通路，否则就会产生广播风暴。但是为了加强一个局域网的可靠性，建立冗余链路又是必要的，其中的一些通路必须处于备份状态，如果当网络发生故障，另一条链路失效时，冗余链路就必须被提升为活动状态。手工控制这样的过程显然是一项非常艰苦的工作，STP 协议就自动的完成这项工作。它能使一个局域网中的交换机起下面作用：1.4聚合链路链路聚合（Link Aggregation），是指将多个物理端口捆绑在一起，以实现出/入流量在各成员端口中的符合分担，交换机根据用户配置的端口负荷分担策略决定报文从哪个成员端口发送带对端的交换机。当交换机检测到其中一个成员端口的链路发生故障时，就停止在此端口上发送报文，并根据负荷分担策略在剩下链路中重新计算报文发送的端口，故障端口恢复后再次重新计算报文发送端口。1.5DHCP DHCP协议被广泛的应用在局域网环境里来动态分配IP地址。DHCP Client发出目的IP地址为55的DHCP请求报文来找寻DHCP Server，并请求获取IP。DHCP Server收到后DHCP请求报文后，根据一定的策略来给Client分配IP，发出DHCP响应报文。一旦DHCP Client收到确认的响应报文后，就认为自己获得了一个合法的IP地址，以后就绑定这个IP地址开始正常的网络通讯。1.6VRRPVRRP用来为网关设备提供冗余备份。VRRP将可以承担网关功能的一组设备加入到备份组中，形成一台虚拟路由器，局域网内的主机将此虚拟路由器设置为缺省网关。VRRP根据优先级从备份组中选举出一台网关设备作为Master，负责转发局域网内主机与外部通信的流量，其他网关设备作为Backup。当Master出现故障后，VRRP重新选举新的Master，保证流量转发不会中断。1.7MSTPMSTP 是在STP 的基础上发展而来的，用于在局域网中消除数据链路层的物理环路。作为一种二层管理协议，MSTP 通过选择性地阻塞网络中的冗余链路来消除二层环路，将环路网络结构修剪成无环路的树型网络结构，从而防止报文在环路网络中不断增生和无限循环，避免设备由于重复接收相同报文而造成报文处理能力的下降；同时，它还具备链路备份的功能。与STP 相比，MSTP 可以实现网络拓扑的快速收敛，也能使不同VLAN 的流量沿各自的路径转发，从而为冗余链路提供了更好的负载分担机制。4.2 具体的配置命令1 VALN具体规划和IP地址描述VLan IDIP互联地址段2/24办公3/24培训4/24读者5/24无线16/24无线27/24业务100/24市民卡互联地址10006/30市民卡业务地址NAT-200政务外网20024/28NAT25-126图4-2IP资源划分表1.1 各设备的IP规划前提条件：所有Vlan都要经过现场扫描，确认IP的使用情况，参见IP资源统计对DHCP中排除的地址重新进行设置，已确认所有地址不被重复使用。目前楼层只需透传Vlan3、Vlan5、Vlan6、Vlan100无线AC中配置了Vlan6、Vlan7VLAN IDVLAN描述IP当前设置IPH3C75032连接防火墙543办公544培训545读者546无线54754100业务52图4-3 H3C 7503IP资源划分表VLAN IDVLAN描述IPH3C75062连接防火墙533办公534培训535读者536无线53753100业务53图4-4H3C 7506P资源划分表VLAN IDVRRP虚拟地址备注2所有终端的网关345671002设备部署规划SanforAF配置为透明模式，串在M3600-SG和两台核心交换机之间，以尽量减少变动现有网络架构；H3C7506E核心交换机作为VRRP备份组中的一员；NOD32网络杀毒软件部署在7服务器上。3设备命名规则按设备型号命名，如：H3c7503EH3C7506E-SH3CWX3010H3C31004端口描述规则描述格式为：“Link XXXX”，即连接到哪里，如Link M3600-SGLan3，即连接到M3600-SG的第三个网口上。5 互联地址关键设备互联地址说明图：图4-5 关键设备互联地址说明图6关键技术实现1.核心设备配置原H3C7503上重要线路在H3C7506上的冷备份:政务外网线路nat address-group 1 25 26#acl number 3000rule 0 permit ip destination 55#interface Vlan-interface200ip address 24 40nat outbound 3000 address-group 1#interface GigabitEthernet1/0/20port access vlan 200#ip route-static 13市民卡线路nat address-group 2 00#acl number 3001rule 0 permit ip source 55 destination 55rule 10 permit ip source 56 0 destination 55rule 15 permit ip source 1 0 destination 55#interface Vlan-interface1000ip address 6 52nat outbound 3001 address-group 2#interface GigabitEthernet0/0/31port access vlan 1000#ip route-static 5H3C 7503E确定保存原先的配置VRRP配置#配置上行接口Track项1，监视上行接口的物理状态#track 1 interface vlan-interface 2#服务器网段备份组#创建VRRP备份组100，配置7503在备份组1中的优先级为110（master）interfacevlan-interface100ip address 52vrrpvrid100 virtual-ip vrrpvrid100 priority 110 /优先级110vrrpvrid 1 preempt-mode timer delay 3 /抢占时延迟3秒#vrrpvrid100 track 1 reduced 20/备份组1监视Track 1的状态，状态为Negative（物理状态down）时，优先级降低20#这里创建2、3、4、5、6、7多个备份组#创建VRRP备份组，配置7503在备份组中的优先级为110（7503对于这些VLAN为Master路由器）如VLAN3：interfacevlan-interface3ip address 54vrrpvrid3 virtual-ip vrrpvrid 3 priority 110 /优先级110vrrpvrid3 preempt-mode timer delay 3 /设置抢占模式的延迟，避免出现2个主设备#vrrpvrid 3 track 1 reduced 20#其他VLAN同样配置#如果是华为的设备请参考如下命令：interface Vlanif100ip address 54 vrrpvrid 100 virtual-ip vrrpvrid 100 priority 110vrrpvrid 100 track interface GigabitEthernet0/0/5 reduced 20#MSTP配置（仅作参考） /华为S1700不支持MSTP，这里使用STPstp region-configurationregion-name vrrp /设置设备的MST 域名instance 1 vlan 100instance 2 vlan3 to 7active region-configurationquitstp instance 1 root primarystp instance 2 root secondarystp enableSTP配置：stp enable /默认设置# 在上行接口上关闭STP 功能。interfaceGE0/0/26undo stp enablequit创建二层聚合interface bridge-aggregation 1quit# 分别将端口GE1/0/1和GE1/0/2加入到聚合组1 中。Interface ge1/0/1port link-aggregation group 1quit# 配置二层聚合接口1 为Trunk 端口，并允许VLAN 3-7,100的报文通过。interface bridge-aggregation 1port link-type trunkport trunk permit vlan2 to 7,100undo port trunk permit vlan 1 /确认排除VLAN1quit路由配置ip route-static /默认路由出外网H3C 7506EVRRP配置由于7506是备份VRRP，所以不需要监视上行接口的物理状态#服务器网段备份组#创建VRRP备份组100，配置7506在备份组1中的优先级为默认（backup）interfacevlan-interface 100ip address 53vrrpvrid 100 virtual-ip vrrpvrid100 preempt-mode timer delay 3#这里创建2、3、4、5、6、7多个备份组#创建VRRP备份组，配置7506在备份组中的优先级为默认（7506对于这些VLAN为backup路由器）如VLAN 3：interfacevlan-interface 3ip address 53vrrpvrid 3 virtual-ip vrrpvrid3 preempt-mode timer delay 3#其他VLAN同样配置/MSTP配置 #华为S1700不支持MSTP，所以这里只采用STPstp region-configurationregion-name vrrp /设置设备的MST 域名instance 1 vlan 100instance 2 vlan 3 to 7active region-configurationquitstp instance 2 root primarystp instance 1 root secondarystp enableSTP配置Stp enable创建二层聚合interface bridge-aggregation 1quit# 分别将端口GE1/0/5和GE1/0/6加入到聚合组1 中。interfacege1/0/5port link-aggregation group 1quit# 配置二层聚合接口1 为Trunk 端口，并允许VLAN 3-7,100 的报文通过。interface bridge-aggregation 1port link-type trunkport trunk permit vlan 3 to 7,100undo port trunk permit vlan 1/确认排除VLAN1quit路由配置ip route-static 楼层交换机华为S1700所有楼层交换机管理IP段，尝试通过软件扫描IP信息默认管理IP：53；默认管理口只有48端口修改后的管理IP：2楼：023楼：034楼：045楼：05通过48端口，web登录图形配置STP：S1700默认用户名和密码分别为admin、admin。展开左侧的导航树，选择业务管理-STP在STP全局参数配置中使能STP增加端口(Trunk)上联新增上联端口51端口，连接H3C7506E-S，具体连接端口参见温州市少儿图书馆设备互联表SanforM3600-SG取消ARP防御保证学习到VRRP虚MAC地址：保持其余配置不变/H3C WX3010，由于华为的楼层交换机不支持MSTP，所以这里只做STPMSTP配置stp region-configurationregion-namevrrpinstance 1 vlan 100instance 2 vlan 3 to 7active region-configurationquitSTP配置：Stp enableSangorAF配置笔记本通过网线直接连接管理口Eth0：51，配置笔记本IP段地址或则通过内网访问用户名：admin 密码：！（*#2011（CHQ）接入模式配置点击物理接口，将会打开物理接口的配置页面，将接口类型配置成透明接口，其中连接上行链路的接口选择WAN口属性，这样可以识别上下行的流量。点击区域管理，将会打开区域的配置页面，将网口划分到不同的区域。点击IP组管理（参照M3600的配置，划分3、4、5、6、7、100网段用户），将会打开对象定义IP组配置页面。完成上述配置后，还需要新增内容安全应用控制策略，否则数据无法通过设备。点击内容安全应用控制策略进入应用控制策略设置界面，在此界面可以对应用控制策略进行新增、删除、启用、禁用以及搜索。设备默认存在一条拒绝所有服务/应用的控制策略。IPS配置：深信服防火墙NGAF 设备内置IPS规则，直接调用即可对服务器进行漏洞防护，配置界面如下：点击新增，则弹出【新增IPS】的编辑框，配置勾选启用则启用该IPS规则。名称：定义该IPS规则的名称。描述：定义对该IPS规则的描述。源区域：从该区域进入的数据，才匹配该规则，即防御的数据来源。如选择公网区域，则可以检测公网用户针对服务器的漏洞攻击。目的区域、目的IP组：选择访问的目的区域和目标地址，只有是属于该区域的IP组里面的IP才匹配该规则。此处一般选择防御的保护对象。IPS选项：设置保护的内容，勾选保护服务器，同时点击已选：worm、network_device、database 弹出【选择服务器漏洞】编辑框，根据服务器发布的服务类型，勾选相应的漏洞名称，则设备会对这一种服务类型的相关漏洞进行入侵防护：勾选保护客户端，同时点击已选：worm、file、backdoor，trojan 弹出【选择客户端漏洞】编辑框，勾选相应的漏洞名称，则设备会对这种类型的客户端相关漏洞进行入侵防护：检测攻击后操作：用于定义发现保护的目标对象出现IPS攻击后，该数据包是放行还是拒绝以及该行为是否记录到内置数据中心。动作：勾选“允许”则放行该数据报；勾选“拒绝”则丢弃数据包。封锁IP：勾选“联动封锁源IP后”则IPS规则、WAF规则或者是数据防泄密模块，这三者的任何一个模块检测到攻击后，即会封锁攻击的源IP地址。日志：勾选“记录”，则会记录IPS攻击包的攻击行为到内置数据中心里面。WEB服务器应用防护WEB应用防护是专门针对客户内网的WEB服务器设计的防攻击策略，可以防止OS命令注入、SQL注入、XSS攻击等各种针对WEB应用的攻击行为，以及针对WEB服务器进行防泄密设置等界面如下：安全配置：所有的配置针对内网服务器进行单独设置HP服务器双链路捆绑设计服务器双链路列表：本项目中，采用HP Proliant服务器 - Network Configuration Utility （NCU）网络工具进行双链路配置。前提：必须是HP服务器且安装了NCU网络工具配置过程中，采用如下Team type：Automatic - 自动（建议）“自动”组类型不是一个真正的组类型。“自动”组决定是作为网络容错(NFT)组、传输负载平(TLB)组还是802.3ad 动态组进行操作。如果所有分组的端口都连接到支持IEEE 802.3ad 链路聚合协议(LACP) 的交换机上，而且所有分组的端口都能够与该交换机协商802.3ad 操作，那么该组将选择作为802.3ad 动态组运行。但是，如果交换机不支持LACP 或者组中的任何端口未能与交换机进行成功的LACP 协商，那么该组将选择作为TLB 组运行。随着网络和服务器配置的更改，“自动”组类型可以确保HP ProLiant服务器智能选择TLB 组或802.3ad 动态组，以最小化服务器重新配置。第5章 硬件设备、软件系统和存储技术选择5.1 硬件设备选择1.核心路由器选择核心路由器是整个企业网络中的中枢设备，是企业数据路由、对外界进行数据交流的主要通道，其性能优劣将直接影响整个网络通信的效率。选购核心路由器时应注意产品的整体性能、稳定性、安全性以及可管理性等多个方面因素。基于上述需求，选择华三的H3C7506e路由器作为图书馆的核心路由器。华三的H3C7506e路由器，采用模块化设计，包转发率达到1920Mpps，同时提供各种类型的广域网接口，如百兆以太网接口、千兆以太网接口、光纤接口、ATM接口、POS接口等，以满足不同环境下的接口需求。2.接入层交换机选择为完成各个楼层工作站的接入，需要选择合适的接入层交换机，接入层交换机与核心交换机连接，为楼层工作站提供合适的接口，使各工作站有效的接入网络。选择华为S1700交换机，华为S1700是一款理想的接入层交换机，此设备与同类设备相比具有相当好的稳定性。采用无风扇静音设计，静音节能，支持24个10/100/1000Mbps自适应以太网电口，提供便捷的管理维护手段，优异的安全性能，强大的组网和带宽扩展能力，性能稳定，快速。3.服务器选择服务器的价格动则几万元、十几万甚至几十万，几乎是整个网络中最昂贵的设备，而且直接决定着网络服务能否被正常、稳定、高速地提供。因此，在选择时必须十分慎重，并遵循以下选购原则。稳定压倒一切需求决定一切最佳性价比知名品牌优先本网络采用惠普BladeSystemc7000 服务器以6个主动响应式热插拔电源、8个I/0插槽、集成独立处理器和端口的OA管理模块、有16个半高服务器刀箱槽