计算机网络技术毕业论文设计

南昌职业学院毕业论文设计南昌职业学院计算机系毕业设计题目校园网规划与设计专业计算机网络技术学号10301090137姓名陈坤指导老师年月日南昌职业学院毕业论文设计I内容摘要自1995年中国教育教研网（CERNET）建成后，校园网的建设已经进入到一个蓬勃发展的阶段。校园网的建成和使用，对于提高教学和科研的质量、改善教学和科研条件、加快学校的信息化进程，开展多媒体教学与研究以及使教学多出人才、科研多出成果有着十分重要而深远的意义。其主要包括各种局域网的技术思想、网络设计方案、网络拓扑结构、布线系统、INTRANET/INTERNET的应用、网络安全，网络系统的维护等内容。各高校及其中小学都在筹备建设校园网，希望通过校园网的建设，改善办学条件，提高教学、科研和管理水平。校园网的建设对于学校来说是一项大的工程，必须精心设计、精心施工，做到经济适用，技术先进、开放性能良好、投资强度合理、与国内外网络互联、能长期、稳定运行的高性能的校园网络。关健词校园网，规划，设计，网络南昌职业学院毕业论文设计IIABSTRACTSINCE1995,CHINAEDUCATIONANDRESEARCHNETWORKCERNETFOLLOWINGTHECOMPLETIONOFTHECAMPUSNETWORKHASENTEREDAPHASEOFVIGOROUSDEVELOPMENTANDTHECOMPLETIONOFTHECAMPUSNETWORK,TOIMPROVETHEQUALITYOFTEACHINGANDRESEARCH,TEACHINGANDRESEARCHTOIMPROVETHECONDITIONSFORSCHOOLSTOSPEEDUPTHEPROCESSOFCARRYINGOUTMULTIMEDIATEACHINGANDRESEARCH,ANDTEACHINGSOTHATMOREPEOPLE,MORERESEARCHRESULTSHAVEIMPORTANTANDFARREACHINGSIGNIFICANCETHEMAINLOCALAREANETWORK,INCLUDINGAVARIETYOFTECHNICALIDEAS,NETWORKDESIGN,NETWORKTOPOLOGY,CABLINGSYSTEM,INTRANET/INTERNETAPPLICATIONS,NETWORKSECURITY,NETWORKMAINTENANCEANDSOONCOLLEGESANDUNIVERSITIESANDPRIMARYANDSECONDARYSCHOOLSINPREPARATIONFORBUILDINGTHECAMPUSNETWORK,ANDHOPESTHATTHECAMPUSNETWORKTOIMPROVETHECONDITIONSFORRUNNINGSCHOOLS,IMPROVETEACHING,RESEARCHANDMANAGEMENTCAMPUSNETWORKFORSCHOOLSISAMAJORPROJECTMUSTBECAREFULLYDESIGNEDANDCONSTRUCTIONWORK,SOAFFORDABLE,TECHNOLOGICALLYADVANCED,OPENGOODSTRENGTHANDREASONABLEINVESTMENT,DOMESTICANDINTERNATIONALNETWORKSANDTHEINTERNET,LONGTERM,STABLEOPERATIONHIGHPERFORMANCECAMPUSNETWORKKEYWORDSCAMPUSNETWORK,THEPLANNING,DESIGN,NETWORKING南昌职业学院毕业论文设计III目录内容摘要IABSTRACTII目录III一校园网络应用需求111存在问题分析112校园网主要解决的问题113建设目标分析214需求分析215本章小结3二校园方案设计421拓扑结构设计422设计思想及原则523系统需求分析724设备选型7三网络总体设计1031校园网络架构设计1032网络三层结构设计1033汇聚层设备选型1234路由器选型1435防火墙设备的选型15四网络地址规划及VLAN应用1841逻辑网路设计24五校园网络管理及安全维护1851威胁网络安全因素分析2452网络安全防范措施2453网络管理2454网络安全策略配置2655拒绝服务的防止2756电源系统2757其校园网基本拓扑结构28六设计总结35参考文献37致谢38南昌职业学院毕业论文设计1一校园网络应用需求11存在问题分析安徽省合肥市长丰县第三初级中学是长丰县直属中学，学校在校生2000余人。学校占地50亩，校园覆盖了校综合办公楼1栋，图书馆1栋，教学楼3栋，男女宿舍各1栋，食堂一处，体育馆（操场处）。学校目前仅图书馆有几十台计算机供图书管理之用，但是目前无网络连接。学生宿舍、教学楼和办公室目前尚未开通校园网络。根据以上对学校现状的分析并通过深入的了解，目前学校无法满足应用发展的需要，在教学、教育资源获取等方面的网络应用比较落后，校园的信息化相当闭塞。为学校未来的发展和保持教学的现代化、信息化带来不便，经校方研究决定，现对学校实现校园网络的初步规划。12校园网主要解决的问题鉴于学校目前状况，校园网建设过程中，主要需要解决的问题如下建立校园网的主干网络，实现千兆主干，百兆到桌面,通过以上实现整个校园全网覆盖；解决好综合办公楼、教学楼、学生宿舍上校园网的问题，将校园网应用推入基层，满足师生员工上网需求；实现校园网的基本应用服务，如WEB服务，DNS服务，VOD点播服务，FTP服务；完善和强化用户访问校内校外资源的权限和策略管理，并进行流量、带宽和日志管理，提高校园网的可管理性；强化校园网的安全策略，有效地提高校园网的安全性；实现无线上网功能，南昌职业学院毕业论文设计213建设目标分析根据对学校的网络覆盖现状分析，对拟建校园网系统建设目标分析如下校园主干满足应用发展的需要考虑到学校校园网络开展视频点播、多媒体教学、远程教学等需要，我认为传输主干应采用的是1000M光纤；网络主机的处理能力强学校校园网络目前开展的网络应用对主机处理能力要求不高，比如WEB服务等是一些低带宽的应用服务，随着用户数量大幅度的增加，网络应用如VOD视频点播、多媒体教学等许多高带宽和需要高处理能力的主机系统。因此，有必要提高网络主机的处理能力；学校的各种PC机、工作站、终端设备和局域网连接起来，并与有关广域网相连，能够获取INTERNET网上的教育资源；容错能力和安全性强，通过技术手段提高网络设备的容错能力；安装硬件防火墙、IDS、服务器防病毒、工作站防病毒软件，实现网络安全；实现网络的易管理性，考虑到网络设备和主机数量的不断增加，方案规划应该能够实现校园网的可扩展性核对整个网络的监控能力。14需求分析学校的整个网络系统以千兆主干、百兆到桌面为总体需求原则。在总体设计方面，带宽为100M的节点的介质传输采用超五类线，音频采用五类线，视频采用同轴电缆。整个校园以计算机网络中心为核心，通过光纤，通过多星级辐射至各个主楼，从而构成整个校园网主干，各信息点的网络带宽将视其应用的性质，进行合理地分配，分为100M以及1000M等量级，也需要能够通过光纤或DDN专线与CERNET连接，以开通全部的INTERNET网络应用服务。从内部校园网到外部INTERNET的访问都要有安全审查和流量管理功能；在功能方面，结合学校的总体发展趋势，拟建立多媒体多功能教学室，图书馆计算机管理系统和电子阅览系统利用网络技术，实现多媒体信息交换、视频点播、网络会议、远程教育，兼容校内有线电视网、广播网、监控等网络系统。实现校园全部范围内的无线上网，全网展开WEB，FTP,DNS服务；在学校设备需求方面，第三初级中学按信息点覆盖情况主要设备需求参数如下南昌职业学院毕业论文设计315本章小结本小节以长丰县第三初级中学校园网络为基础，对网络设备，计算机设备的现状及现有网络的应用情况进行了简要介绍。通过分析发现，学校目前存在多方面急需要解决的问题，包括主干网络的设计，网络的整体覆盖计划，应用功能的实现，用户对外界资源的安全性访问。最后对建设目标和潜在需求做了进一步的分析说明。综合办公楼1台汇聚层交换机；4台接入层交换机；无线AP一台图书馆（网络中心）1核心层交换机；1汇聚层交换机；3接入层交换机；服务器4台；路由器1台教学楼11汇聚层交换机；2台接入层交换机教学楼21汇聚层交换机；2台接入层交换机教学楼31汇聚层交换机；2台接入层交换机男生宿舍楼1汇聚层交换机；4台接入层交换机女生宿舍楼1汇聚层交换机；4台接入层交换机体育场操场无线AP一台南昌职业学院毕业论文设计4二校园方案设计21拓扑结构设计层次型结构的提出层次型网络设计是一种使用分层的、模块化的模型设计校园网的技术。层次型网络设计模型可以按层设计拓扑结构，每层的重点集中于特定的功能上，有利于分配和规划带宽和选择适当的系统和功能。层次型拓扑设计具有如下好处。减轻网络中设备的CPU负载降低网络成本简化每个设计元素并且易于理解容易更改层次结构提高设备的利用率南昌职业学院毕业论文设计522设计思想及原则221设计思想校园网设计方案将从学院的实际应用出发，结合现代信息技术的发展，遵循实用，可靠，先进，安全的设计原则。对于学校，应能够满足日常的学习和教育资源的获取；并能够融合当前的网络的主干技术，使网络能够具备充分的可扩展性，同时满足校园网的易于维护性和安全性的特点。校园网示意图设计原则先进性我校为计算机示范性软件学院，每名学生均配有计算机终端。为了达到最好的教学效果，所以网络速度和稳定性相应要比较高。为了能够达到最加效果，本着最小投资的原则，在本方案中决定采样华为的网络设备。这样可以最大的节约成本和最大限度的提高设备的质量。南昌职业学院毕业论文设计6由于在校园网中存在大量的网络设备，为了保障整个网络的正常运作，学校安装了华为3COM的网管软件来对整个网络的运作进行监控。此网管系统支持SNMP、RMON等网络管理协议，能对网络中的设备进行远程监控，通过探测每台网络设备的工作状态，来保证整个网络的可靠性。一旦网络设备出现问题，网管系统会及时准确地发现问题所在，并发出警告信息。通过此软件不但可以帮助学校网管人员及时排除故障，又能大大降低学校在网络维护费用上的支出。可靠性软件学院校园网是长春工程学院重要的信息化建设工程，所以校园网建设的可靠性是非常重要的，因此在选型时候，明确提出要求网络设备厂商具备“自主研发和自主生产“的能力，这样才能够保证网络产品的可靠运行，同时保证后期设备的维护和升级。考虑到校园网是服务于江西大宇职业学院的广大师生的，因此我校校园网要保证网络247小时不间断工作。安全性内外网通讯安全考虑到校园内部网络的安全性，在INTERNET入口处加装了华为3COM公司的防火墙，它能自动进行对不明数据包的检测，可拒绝所有未经授权的网络访问尝试，并生成实时报警和报告，避免了未经授权访问和其他来自因特网的外部威胁和黑客侵袭。另外华为公司的防火墙网站过滤功能可限制对12种分类内容的访问，保证了校园内网与因特网之间的通讯安全。网络设备安全整个校园网络所采用的华为3COM产品都具有不同级别的密码保护，网络管理员可以根据不同的需要制定多样的安全级别来保护网络设备自身的安全性，例如指定哪种类型用户可以获得何种级别的权限、对网络设备进行哪些方面的修改等，从而最大程度地保护设备的安全。VLAN划分保证内网访问安全由于整个校园网节点数多达2000多个，从保证内网的访问安全和便于管理的角度考虑，对整个校园网进行了VLAN的划分。网络中的各节点按相同职能部门或者相同的应用划分到同一个VLAN当中，不同VLAN之间的用户是不能互相访问的。譬南昌职业学院毕业论文设计7如学校领导和普通教师之间，由于职能的差异，互相之间数据不能共享，因此将他们划分到不同的VLAN当中，这样不会造成数据的错误传播以及不必要的数据泄漏，并能有效避免广播风暴的形成。23系统需求分析不同应用及数据流所占用贷款分析基础信息服务约占用100MB；视频电话、网络会议、数字音频约占用100600M视频流媒体播放5001000MWWW、FTP、EMAIL服务约占用10M文件传输、INTERNET访问约占用15M由以上数据可以看出如果满足所有应用要求，单个用户所独占的网络带宽必须在10M以上，加上网络上固有的广播风暴，设计目标是使单用户在某一个时间独占的带宽不小于100M。这样就足以实现网络视频播放、计算机网络和各种网络服务合一，而且也符合现今主流的10M/100M自适应网络的要求。24设备选型241核心层设备选型核心层是校园网互联网络的高速交换主干，用来实现远程站点之间的优化传输，对协调校园网的通信非常重要。核心层负责完成网络各汇聚节点之间的互联及高效的数据传输、交换、转发及路由分发。核心层结构有以下特点提供高可靠性和冗余性；提供故障隔离；迅速适应升级；提供较少的滞后和较好的可管理性；具有有限和一致的直径。南昌职业学院毕业论文设计8目前校园网核心层设备一般采用万兆核心以太网交换机，万兆以太网交换机构成了网络的骨干部分。核心交换机还可以下接许多百兆或千兆交换机作为汇聚层交换机，汇聚层交换机在通过100MBPS传输介质连接工作站。一般核心层设备采用高性能的交换网芯片以及高性能的网络处理器芯片，要求有极高的系统总吞吐量和背板容量，可支持多个千兆端口。网络核心层设备的拟态网交换机应具有以下功能高可靠性大容量高密度线速转发性能完善的QOS功能完善的安全机制强大的业务能力242汇聚层及设备的选取汇聚层设备的选取网络汇聚层是网络接入层和核心层之间的分界层，包括园区主干网络及所有连接的路由器。汇聚层负责将各种接入业务集中起来，除了进行局部数据的交换、转发以外，还能通过高速接口将数据传输到核心层，在更大范围内进行数据的路由以及处理。汇聚层多下将接入层交换机的数据进行汇聚，对上通过高速接口将数据传输到核心交换机上，起到承上启下的作用。设计汇聚层时根据汇聚层的主要功能，应考虑到以下几点汇聚层设备要有足够的带宽；具有三层和多层交换特性；具有灵活多样的业务能力；必须具有冗余和负载均衡能力；汇聚层设备要进行VLAN之间的通信，因此一般为支持三层或三层以上的多层交换设备，汇聚层设备的多层以太网交换机应具备以下特点支持三层交换对上连接提供多种千兆端口南昌职业学院毕业论文设计9模块化组网支持丰富的二层协议完善的安全机制丰富的QOS支持实用方便的网管能力接入层设备的选取接入层为用户提供多网络本地网段的访问，它的主要作用事将工作组与汇聚层连接起来，主要完成逻辑网络分段、基于工作组或LAN隔离广播通信量以及在多个CPU之间分布服务。介入层设备位于网络的末端，对下提供对工作站的接入，对上连接到汇聚层交换机。接入层设备提供各种标准接口将数据接入到网络中，完成基于业务系统之间的隔离和安全性控制、认证管理等功能。网络接入层设备应具有如下特点提供各种不同数量的100MBPS端口到用户，提供1000MBPS或1GBPS（电口、光口）上行端口到上层交换机；高性能，低成本，所有端口支持全线速二层交换；支持标准以太网协议，支持丰富的业界标准，充分考虑兼容现有网络设施；网络设备可扩展性好，可平滑升级；支持丰富的业务特性，如VLAN、VLANTRUNK、链路聚合、端口镜像、QOS多播、安全特性等；方便实用的网管。南昌职业学院毕业论文设计10三网络总体设计31校园网络架构设计1校园网的拓补结构基本上是混合型的，它是由星型、总线型等典型拓补结构组成，在现代网络结构化布线工程中多采用星型结构，主要用于同一楼层，由各个房间的计算机间用集线器或者交换机连接产生的，它具有施工简单，扩展性高，成本低和可管理性好等优点；而校园网在分层布线主要采用树型结构；每个房间的计算机连接到本层的集线器或交换机，然后每层的集线器或交换机在连接到本楼出口的交换机或路由器，各个楼的交换机或路由器再连接到校园网的通信网中，由此构成了校园网的拓补结构。当然这其中还有对网络整体结构的设计，如VLAN的划分，各不同区域的细划分都需要根据学校情况来定。2校园网络中心以及各分校区均通过2ME1光纤或ADSL接入INTERNET。对于我们画定的区域如图书馆、宿舍等，都可以通过100M交换口连入校园网，而各个终端可以采用10/100M共享式端口。目前的校园网大多数是纯三层的交换网络。由于交换机都具有三层功能，汇聚层一般已经可以与接入层归纳为一个层次。各楼层和各楼之间的交换设备都直接上连到核心设备上。32网络三层结构设计校园网网络整体分为三个层次核心层、汇聚层、接入层。为实现校区内的高速互联，核心层由1个核心节点组成，包括教学区区域、服务器群；汇聚层设在每栋楼上，每栋楼设置一个汇聚节点，汇聚层为高性能“小核心”型交换机，根据各个楼的配线间的数量不同，可以分别采用1台或是2台汇聚层交换机进行汇聚，为了保证数据传输和交换的效率，现在各个楼内设置三层楼内汇聚层，楼内汇聚层设备不但分担了核心设备的部分压力，同时提高了网络的安全性；接入层为每个楼的接入交换机，是直接与用户相连的设备。本实施方案从网络运行的稳定性、安全性及易于维护性出发进行设计，以满足客户需求。南昌职业学院毕业论文设计11表21设备及线缆选型名称型号单价数量合计路由器7206VXR35万1台35万核心层交换机QUIDWAYS930310万2台20万分布层交换机WSC2960G4822万4台88万接入层交换机（24口）H3CS1216130013台169万接入层交换机（48口）H3CS155028007台196万防火墙USG30303万1台3万服务器电子邮件服务器EWORLD邮件服务器M57万1台文件传输服务器EWORLD宽带主机S20286万1台计费服务器蓝海卓越NSG502000396万1台代理服务器12501台EEB服务器118万1台UPSC3KVA/2100W225012250调制解调器ATRIEWIRESPAN300E100011000超五类非屏蔽双脚线安普6219507472012芯多模光缆TCL12芯室内多模光缆4012芯单模光缆TCL12芯室内单模光缆33南昌职业学院毕业论文设计1233汇聚层设备选型通常将位于接入层和核心层之间的部分称为分布层或汇聚层，汇聚层交换层是多台接入层交换机的汇聚点，它必须能够处理来自接入层设备的所有通信量，并提供到核心层的上行链路，因此汇聚层交换机与接入层交换机比较，需要更高的性能，更少的接口和更高的交换速率。汇聚层交换机选择华为CISCOWSC2960G48。整个校园共用4台汇聚层交换机，使用千兆光纤与核心交换机相连。表23CISCOWSC2960G48参数CISCOWSC2960G48主要参数产品外观交换机类型智能交换机应用层级二层内存64MB传输速率10MBPS/100MBPS/1000MBPS网络标准IEEE8023、IEEE8023U、IEEE8021X、IEEE8021Q、IEEE8021P、IEEE8021D、IEEE8021S、IEEE8021W、IEEE8023AD、IEEE8023Z、IEEE8023端口结构非模块化端口数量44接口介质10/100BASET,10/100/1000BASETX/SFP传输模式全双工/半双工自适应交换方式存储转发背板带宽32GBPS包转发率39MPPSVLAN支持支持QOS支持支持南昌职业学院毕业论文设计13网管支持支持网管功能WEB浏览器,SNMP,CLIMAC地址表8K模块化插槽数4指示面板每端口状态连接完整性、禁用、活动、速度、全双工,系统状态系统、RPS、链路状态、链路双工、链路速度电源100VAC240VAC、50HZ/60HZ,1308A环境标准工作温度045、工作湿度1085非冷凝、存储温度2570、存储湿度1085非冷凝尺寸MM32844544重量KG54价格22万南昌职业学院毕业论文设计1434路由器选型CISCO7206VXR参数CISCO7206VXR基本参数路由器外观路由器类型模块化接入路由器端口结构模块化网络协议IEEE8023,SDN密标准AHMD5,ESPNULL,DES,3DES,ARC4,PROPRIETARYFASTENCODING,MD5/HMAC,MD5PPPPAP,CHAP,LCP,IPCP,MLPPP固定的广域网接口可选广域接口WIC卡固定的局域网接口10/100BASET/TX其他端口控制端口RS232内置防火墙是QOS支持支持支持VPN支持扩展模块6处理器225、263或350MHZMIPSRISC内存最大512MB网络管理CISCOCLICKSTART，SNMP适用环境工作温度040、工作湿度1090、存储温度2065电源电源电压1认证100240V尺寸431426133重量227KG价格35万南昌职业学院毕业论文设计1535防火墙设备的选型固定接口1个配置口（CON）1个备份口（AUX）2个10/100/1000M以太网口（支持光口或者电口）2个10/100/1000M以太网口（支持电口）插槽2个MIM插槽,可选的接口模块包括1FE/2FE/4FE/1GE/2GEFLASH16MBSDRAM缺省512MB最大1GB外型尺寸（HWD）44X436MMX420MM重量6KG电源模块输入交流主机100240V；50/60HZ直流主机48V60V输出电压12VAAA服务RADIUS认证HWTACACS认证域认证CHAP验证PAP验证南昌职业学院毕业论文设计16防火墙包过滤基础和扩展的访问控制列表基于接口的访问控制列表基于时间段的访问控制列表动态包过滤ASPF应用层报文过滤应用层协议FTP、HTTP、SMTP、RTSP、H323（Q931，H245，RTP/RTCP）传输层协议TCP、UDP防攻击特性LAND、SMURF、FRAGGLE、WINNUKE、PINGOFDEATH、TEARDROP、IPSPOOFING、SYNFLOOD、ICMPFLOOD、UDPFLOOD、ARP欺骗攻击防范ARP主动反向查询TCP报文标志位不合法攻击防范超大ICMP报文攻击防范地址/端口扫描的防范DOS/DDOS攻击防范ICMP重定向或不可达报文控制功能TRACERT报文控制功能带路由记录选项IP报文控制功能静态和动态黑名单功能MAC和IP绑定功能透明防火墙基于MAC的访问控制列表邮件/网页/应用层过滤邮件过滤SMTP邮件地址过滤SMTP邮件标题过滤SMTP邮件内容过滤网页过滤HTTPURL过滤HTTP内容过滤应用层过滤JAVABLOCKINGACTIVEXBLOCKINGSQL注入攻击防范南昌职业学院毕业论文设计17安全管理攻击实时日志黑名单日志地址绑定日志流量告警日志会话日志进制格式日志功能流量统计和分析功能全局/基于安全域连接数率监控全局/基于安全域协议报文比例监控安全事件统计功能EMAIL邮件实时告警功能EMAIL邮件定期信息发布功能南昌职业学院毕业论文设计18四网络地址规划及VLAN应用41主干网设计为了满足应用需求，在本设计方案中使用了万兆核心，主干线路采用了4芯625M多模室内用光缆，汇聚层到接入层采用了6类1000M非屏蔽双交线连接主干网络。42IP地址规划所谓IP地址就是给每一个直接与INTERNET相连的主机分配一个在全世界范围惟一的网络地址。目前，大多使用的是32位的IPV4地址，寻址时路由器先按IP地址中的网络号NETID把网络找到；当找到目的网络后，再用ARP协议用主机号HOSTID找到主机。实际上，由于一台主机可能有多个IP地址，因此IP地址只是标志了一台计算机的某个接口。网络拓扑结构计算机网络拓扑结构一般有总线结构、星型结构、环形结构和网状结构等。在以太网实际布线时，适宜选用树形结构，通过多级的HUB或交换机分级链接。这样，个别网点出现故障不会影响全局。并具有可靠性高、可扩展性好、易于管理等优点。在本次设计中我们采用了B类IPV4网络地址作为校园网私网IP，以便于以后校园网电脑增多，IP需求量也越日增多。校园网内部由教学楼、寝室楼组成，其中教学楼中又分为学生区和办公区两个部分，具体信息点分布如上。为了达到最好的网络质量和方便管理，一共分为五个网段。其中第一网段为网络管理中心、共10个信息点，第二网段为交换机设备、共70个IP，第三网段为教学区、共1354个信息节点，第四网段为学生生活区、共668个信息节点，第五网段为综合办公区、共86个信息节点，IP地址网络号子网淹码网络中心17216011721601001721600/242552552550南昌职业学院毕业论文设计19交换机17216111721612541721610/242552552550路由/交换17216151721616255255255252教学区172169117216152541721690/212552552480生活区17216611721672541721660/222552552520综合办公区172160129172160254172160128/2525525525512843VLAN设计虚拟网络（VLAN，VIRTUALLOCALAREANETWORK）技术在校园网络中起到举足轻重的作用，应为VLAN技术可以提高校园网的效率和安全性，便于对用户的管理。一方面，如果将相互之间通信最多的用户群分配在一个VLAN中，就可以保证通信最多的用户之间使用二层交换协议，而性质不同、通信量较少的用户之间则采用三层交换协议通信，这无疑大大提高了网络的效率；另一方面，一个VLAN就是一个独立的广播域，VLAN之间是互相隔离的，应此确保了网络的安全保密性，可以进行网络用户的分类管理。VLAN可以根据功能、用途、工作组及应用等因素将用户逻辑上划分为一个相对独立的网络，使一个可跨域不同网段、不同网络、不同位置的端到端网络。VLAN的技术优势主要体现在以下几个方面增加了网络连接的灵活性；控制网络上的广播；加强了网络的安全性；网络管理简单、直观；根据VLAN在交换机上的实现方式，VLAN分为基于端口的VLAN、基于MAC地址的VLAN、基于网络地址的VLAN、基于用户的VLAN，其中后三者为动态VLAN。在本方案中我们采用了基于端口的静态VLAN，详细情况请参照图231。南昌职业学院毕业论文设计20VLAN分配表VLAN1各层交换机设备（详细参阅拓扑图）A103A105A107A108A110A204A205A206VLAN2A207A209A305A306A307A308A309A403A405A406A407A408A302A402A602A101A102A104A201A202A203A301A303A304A404A106A109A111A211A213A311VLAN3A313A401A409A411A601A103A105A107A108A110A204A205A206A207A209A305A306A307A308A309A403A405A406A407A408A302A402A602B101B102B103B104B105B106B107B108B109B110B111B112B113B115B117B201B202B203B204B205B206B207B208B209B210B211B212B213B215B217B219VLAN4B301B302B303B304B305B306B307B308B309B310B311B312B313B315B317B319B401B402B403B404B405B406B407B408B409B410B411B412B413B415B417B419B501B502B503B504B505B506B507B508B509B510B511B513B515B516B517B518B519B520B521B522B523B524B525B526B527B528B529B530B531B532B534B536B538B540南昌职业学院毕业论文设计2145校园网接入INTERNET在信息化飞速发展的今天需要考虑校园网与互联网的连接问题。一但接入互联网，就会涉及到很多管理、安全等方面的问题，校园网除了接入CERNET以外，还同时选择了中国网通作为出口接入点，校园网有两条出口，一个是光纤接入教育网，另一个是中国网通100MBPS专线。考虑到IP地址匮乏的原因校园网内部采用NAT地址装换方式提供INTERNET访问服务。NAT的主要功能包括以下几个方面转换内部局部地址。在内部局部地址和内部全局地址之间建立映射关系；内部全局地址复用。可以通过润许TCP连接或UDP会话中的原端口进行转换而节省内部全局地址，用各个内部主机的TCP或UDP端口号区别；TCP负载均衡。对于某些外部网络发起的与内部网络的通信数据流，可以为其配置一种目的地址转换得动态形式。南昌职业学院毕业论文设计22五校园网络管理及安全维护校园网的安全威胁主要来源于两大块，一块是来自于网内，一块来自于网外。来源于网内的威胁主要是病毒攻击和黑客行为攻击。根据统计，威胁校园网安全的攻击行为大概有40左右是来自于网络内部，如何防范来自于内部的攻击是校园网网络安全防护体系需要重点关注的地方。51威胁网络安全因素分析计算机网络安全受到的威胁包括1“黑客”的攻击；2计算机病毒；3拒绝服务攻击（DENIALOFSERVICEATTACK）。安全威胁的类型1、非授权访问。指对网络设备及信息资源进行非正常使用或越权使用等。如操作员安全配置不当造成的安全漏洞，用户安全意识不强，用户口令选择不慎，用户将自己的账号随意转借他人或与别人共享。2、冒充合法用户。主要指利用各种假冒或欺骗的手段非法获得合法用户的使用权限，以达到占用合法用户资源的目的。3、破坏数据的完整性。指使用非法手段，删除、修改、重发某些重要信息，以干扰用户的正常使用。4、干扰系统正常运行，破坏网络系统的可用性。指改变系统的正常运行方法，减慢系统的响应时间等手段。这会使合法用户不能正常访问网络资源，使有严格响应时间要求的服务不能及时得到响应。5、病毒与恶意攻击。指通过网络传播病毒或恶意JAVA、ACTIVEX等，其破坏性非常高，而且用户很难防范。6、软件的漏洞和“后门”。软件不可能没有安全漏洞和设计缺陷，这些漏洞和缺陷最易受到黑客的利用。另外，软件的“后门”都是软件编程人员为了方便而设置的，一般不为外人所知，可是一旦“后门”被发现，网络信息将没有什么安全可言。如WINDOWS的安全漏洞便有很多。南昌职业学院毕业论文设计237、电磁辐射。电磁辐射对网络信息安全有两方面影响。一方面，电磁辐射能够破坏网络中的数据和软件，这种辐射的来源主要是网络周围电子电气设备产生的电磁辐射和试图破坏数据传输而预谋的干扰辐射源。另一方面，电磁泄漏可以导致信息泄露。52网络安全防范措施在不改变原有网络结构的基础上实现多种信息安全，保障校园内部网络安全，我们选购了一套网络安全防范设备。1瑞星杀毒软件网络版1超强病毒查杀2智能主动防御3增强型全网漏洞管理4强大的网络管理能力是网络安全的基础部署、控制、执行、升级、报告和日志、二次开发。5兼容多种平台6一体化智能服务体系2瑞星企业级防火墙瑞星全功能NP防火墙是一款整合多种安全防护功能的智能网络安全防火墙，它是瑞星公司针对中小企业级用户定制的一款高端防火墙，型号为RFWSME。瑞星全功能NP防火墙整合了多种安全防护功能，是建构中小型企业网络的最佳选择。RFWSME拥有通用防火墙功能、网络地址转换（NAT）、主动式入侵检测（IDS）、虚拟专网（VPN）、带宽管理、内容过滤、以及策略管理等功能。通过架设瑞星全功能NP防火墙，可以保护用户的网络免于黑客的攻击，同时也帮助用户利用因特网的资源建构网络安全机制及虚拟专网服务，还提供了不同等级的网络带宽管理，让一些特殊的应用服务可以确保使用带宽。3瑞星入侵检测系统作为一种防火墙的合理补充，入侵检测技术能够帮助系统对付网络攻击，扩展了系统管理员的安全管理能力（包括安全审计、监视、攻击识别和响应），提高了信息安全基础结构的完整性。瑞星RIDS100入侵检测系统能实时捕获内外网之间传输的南昌职业学院毕业论文设计24所有数据，利用内置的攻击特征库，使用模式匹配和智能分析的方法，检测网络上发生的入侵行为和异常现象，并在数据库中记录有关事件，另外RIDS100入侵检测系统可以与防火墙联动，自动配置防火墙策略，配合防火墙系统使用，可以全面保障网络的安全，组成完整的网络安全解决方案。为了加强对引擎进行访问的用户的管理，RIDS100系统设计了一套完善的用户管理机制，每个管理用户配有一把电子钥匙（串口或USB接口），内装有该用户的密钥和加密算法。用户在对系统进行管理时必须插入自己的钥匙并输入正确的口令。检测引擎的接入对被保护网络是透明的，它对被保护网络的任何流量和请求均不做反应，不影响被保护网络的性能。53网络管理网络管理就是指监督、组织和控制网络通信服务以及信息处理所必需的各种活动的总称。531网络管理的内容1）网络故障管理；2网络配置管理；3网络性能管理；4网络计费管理；5网络安全管理。532网络管理的手段在校园网络管理方面，为了便于校园网络管理人员的管理及维护，我们选购QUIDVIEW网络管理软件。QUIDVIEW网络管理软件基于灵活的组件化结构，用户可以根据自己的管理需要和网络情况灵活选择自己需要的组件，真正实现“按需建构”。QUIDVIEW网络管理软件采用组件化结构设计，通过安装不同的业务组件实现了设备管理、VPN监视与部署、软件升级管理、配置文件管理、告警和性能管理等功能。支持多种操作系统平台，并能够与多种通用网管平台集成，实现从设备级到网络级全方位的网络管理。1网络集中监视南昌职业学院毕业论文设计25QUIDVIEW网络管理软件提供统一拓扑发现功能，实现全网监控，可以实时监控所有设备的运行状况，并根据网络运行环境变化提供合适的方式对网络参数进行配置修改，保证网络以最优性能正常运行。2故障管理故障管理主要功能是对全网设备的告警信息和运行信息进行实时监控，查询和统计设备的告警信息。3性能监控QUIDVIEW网管系统提供丰富的性能管理功能，同时以直观的方式显示给用户。通过性能任务的配置，可自动获得网络的各种当前性能数据，并支持设置性能的门限，当性能超过门限时，可以以告警的方式通知网管系统。通过统计不同线路、不同资源的利用情况，为优化或扩充网络提供依据。4服务器监视管理服务器是企业IP架构中的重要组成部分，通过QUIDVIEW，可实现服务器与设备的统一管理。5设备配置文件管理当网络规模较大时，网络管理员的配置文件管理工作将十分繁重，如果没有好的配置文件维护工具，网络管理员就只能手动备份配置文件。这样就给网络管理员管理、维护网络带来一定的困难。QUIDVIEW网络配置中心支持对设备配置文件的集中管理，包括配置文件的备份、恢复以及批量更新等操作，同时还实现了配置文件的基线化管理，可以对配置文件的变化进行比较跟踪。6设备软件升级管理QUIDVIEW提供完善的设备软件备份升级控制机制。使用QUIDVIEW，管理员可以方便地查询设备上运行的软件版本，并利用升级分析功能来确定设备运行软件是否需要升级。当升级软件版本时，可以利用QUIDVIEW集中备份设备运行软件，然后进行批量升级。升级之后，可以使用QUIDVIEW进行升级结果验证，确保升级操作万无一失。7集群管理南昌职业学院毕业论文设计26针对大量二层交换机设备的应用环境，QUIDVIEW网络管理软件提供集群管理功能，通过一个指定公网IP的设备（称作命令交换机）对网络进行管理。8堆叠管理QUIDVIEW网络管理软件通过堆叠管理，可以集中管理较大量的低端设备，并且为用户提供统一的网管界面，方便用户对大量设备的统一管理维护。9故障定位与地址反查针对最为常见的端口故障，QUIDVIEW网络管理软件提供了便捷的定位检测工具路径跟踪和端口环回测试；当用户报告网络端口使用异常时，网络管理员可以通过网管对指定用户端口做环回测试，直接定位端口故障。10RMON管理RMON管理根据RFC1757定义的标准RMONMIB及华为3COM自定义告警扩展MIB对主机设备进行远程监视管理。54网络安全策略配置541安全接入和配置安全接入和配置是指在物理控制台或逻辑TELNET端口接入网络基础设施设备前必须通过认证和授权限制，从而为网络基础设施提供安全性。限制远程访问的安全设置方法如下表19安全接入和配置方法访问方式保证网络设备安全的方法备注CONSOLE控制接口的访问设置密码和超时限制建议超时限制设成5分钟进入特权EXEC和设备配置级别的命令行配置RADIUS来记录LOGON/LOGOUT时间和操作活动；配置至少一个本地账户作应急之用TELNET访问采用ACL限制，指定从特定的IP地址来进行TELNET访问；配置RADIUS安全纪录方案；设置超时限制南昌职业学院毕业论文设计27SSH访问激活SSH访问，从而允许操作员从网络的外部环境进行设备安全登陆WEB管理访问取消WEB管理功能SNMP访问常规的SNMP访问是用ACL限制从特定IP地址来进行SNMP访问；记录非授权的SNMP访问并禁止非授权的SNMP企图和攻击为增加安全,建议更改缺省的SNMPCOMMUTIY子串设置不同账号通过设置不同的账号的访问权限，提高安全性55拒绝服务的防止网络设备拒绝服务攻击的防止主要是防止出现TCPSYN泛滥攻击、SMURF攻击等；网络设备的防TCPSYN的方法主要是配置网络设备TCPSYN临界值，若多于这个临界值，则丢弃多余的TCPSYN数据包；防SMURF攻击主要是配置网络设备不转发ICMPECHO请求DIRECTEDBROADCAST和设置ICMP包临界值，避免成为一个SMURF攻击的转发者、受害者。551访问控制1允许从内网访问INTERNET，端口全开放。2允许从公网到DMZ（非军事）区的访问请求WEB服务器只开放80端口，MAIL服务器只开放25和110端口。禁止从公网到内部区的访问请求，端口全关闭。4允许从内网访问DMZ（非军事）区，端口全开放5允许从DMZ（非军事）区访问INTERNET，端口全开放6禁止从DMZ（非军事）区访问内网，端口全关闭。56电源系统为保证网络系统的安全运转及电源发生故障时重要数据的储存,须配置具有高可靠性的UPS电源。为此,在网络中心配置了一套山特C3KVA/2100W的UPS电源。南昌职业学院毕业论文设计2857其校园网基本拓扑结构设备配置方案1路由器F1端口接外网端口（1721646252/24），F0端口接内网端口（19216811/24）。CONFIGTHOSTNAME2624ENABLESECRETLEVEL150STARLINEVTY04设置TELNET密码LOGINPASSSTAREXITINTERFACEF1IPADDRESS17216462522552552550NOSHUTIPNATOUTSIDE定义外部接口EXITINTFACEF0南昌职业学院毕业论文设计29IPADDRESS192168112552552550NOSHUTIPNATINSIDE定义内部接口EXITACCESSLIST1PERMITTED1921680000255255IPNATINSIDESOURCELIST1INTF1OVER应用NAT协议IPROUTINGIPROUTE000000001721646254IPROUTE192168100255255255019216812IPROUTE192168200255255255019216812IPROUTE192168300255255255019216812IPROUTE192168400255255255019216812IPROUTE192168500255255255019216812ENDWRITE（2）核心交换机F1/14分别与汇聚层交换机相连，F1/8与路由器相连。CONFIGTENABLESECRETLEVEL150STAR设置特权密码ENABLESECRETLEVEL10STAR设置TELNET密码HOSTNAME4909INTERFACEVLAN1IPADDRESS1921681012552552550NOSHUTEXITINTFACEF1/8NOSWITCH启用3层端口南昌职业学院毕业论文设计30IPADDRESS192168122552552550NOSHUTINTERFACERANGEF1/14SWITCHMODETRUNKNOSHUTEXITIPROUTINGIPROUTE0000000019216811IPROUTE1921682002552552550192168102IPROUTE1921683002552552550192168103IPROUTE1921684002552552550192168104IPROUTE1921685002552552550192168105ENDWRITE（3）汇聚层交换机35502交换机配置F0/24与核心交换机相连，F0/15与接入层交换机相连。CONFIGTHOSTNAME35502ENABLESECRETLEVEL150STAR设置特权密码ENABLESECRETLEVEL10STAR设置TELNET密码INTERFACEVLAN1IPADDRESS1921681022552552550NOSHUTEXITVLAN20INTFACEVLAN20创建3层虚拟端口IPADDRESS1921682012552552550南昌职业学院毕业论文设计31NOSHUTINTERFACERANGEF0/15SWITCHMODETRUNKEXITINTERFACEF0/24SWITCHMODETRUNKEXITIPROUTINGIPROUTE00000000192168101IPROUTE1921683002552552550192168103ENDWRITE35503交换机配置F0/24与核心交换机相连，F0/15与接入层交换机相连。CONFIGTHOSTNAME35503ENABLESECRETLEVEL150STAR设置特权密码ENABLESECRETLEVEL10STAR设置TELNET密码INTERFACEVLAN1IPADDRESS1921681032552552550NOSHUTEXITVLAN30EXITINTFACEVLAN30创建3层虚拟端口IPADDRESS1921683012552552550NOSHUTINTERFACERANGEF0/15SWITCHMODETRUNK南昌职业学院毕业论文设计32EXITINTERFACEF0/24SWITCHMODETRUNKEXITIPROUTINGIPROUTE00000000192168101IPROUTE1921682002552552550192168102ENDWRITE35504交换机配置F0/24与核心交换机相连，F0/1与接入层交换机相连。CONFIGTHOSTNAME35504ENABLESECRETLEVEL150STAR设置特权密码ENABLESECRETLEVEL10STAR设置TELNET