网络工程-实习报告及

1、一、项目背景 在当今社会，随着计算机网络技术的飞速发展，信息传输 网络已经成为人们生产生活中不可或缺的重要组成部分。随 着办公单位信息以及各单元自动化需要提高办公效率，从 而进一步满足现代办公的快速，精确要求，需要建立企业办 公与管理一体化的局域网。参与局域网内的组成有很多方 面，首先需要一个适当的设计和规划，然后需要处理的布 线，网络设备的选择和配置，服务器设备的选择和配置，网 络软件的安装等，需要一步一步的执行，并且，还需要日常 的维护。这一切促使了网络技术进一步发展。 1.1用户当前状况 某企业总部共由5栋楼组成，分为管理办公楼1栋（3层）， 生产车间3栋（单层），库房1栋（2层）。其中

2、，管理办公 楼1，2层有8间办公室，每间布设 8个信息点，三楼有 3 间厂长办公室，每间布设 2个信息点，1间会议室布设4个 信息点，1间网络机房布设20个信息点，安装www服务器一一 台用来对外发布产品信息，一台电子邮件服务器，企业管理 服务器2台（1台备份），vpn设备1台，防火墙1台，广域 网接入路由器1台，内部核心交换机1台。生产车间每栋都 要部署20个信息点，安装企业管理服务器1台，并配备无 线局域网。而库房每层布设 4个信息点，安装企业管理服务 1.2项目建设的必要性 总部与外地办事处均用 VPN设备连接，组成了一个虚拟的 局域网，总部通过接入的路由器接入Internet 。必须要

3、安装 企业管理软件系统，便于统筹与管理众多的主机，为避免产 生网络安全问题，而产生较高的网络安全需求。为便于管理 企业内部众多上网的主机，而必须配备有统一的管理软件， 以便于进行统一管理。 二、需求分析 2.1网络建设的目的与原则 便于对局域网内各个主机进行统一的管理，从而加强企业 内部的统一性，对员工的日常工作也能进行很好的协调，必 要的管理软件，也能对内部主机上网进行管理，而企业网络 安全也能得到一定程度的保障。 2.2投资规模 投资规模：一定时期一个国家或一个部门，一个地区， 有关单位在固定资产再生产活动中投入的以货币形态表现 的物化劳动和活劳动的总量。这其中，又分年度投资规模和 在建投

4、资规模。年度投资规模是指一年内一个国家或一个部 门、一个地区、一个单位投入到 固定资产再生产方面的资金 总量，是一个国家或地区在一年内实际完成的固定资产投资 额，反映了一年内投入在固定资产再生产上的人力、物力、 财力的数量。年度投资规模应与当年的国力相适应。在建投 资规模是指一个国家或一个部门、一个地区、一个单位当年 施工的建设项目全部建成交付使用所需的投资额，包括以前 年度已完成的 投资以及本年度和以后年度继续建设所需要 的投资，反映了一定年份全国实际铺开的建设战线的长短。 在建投资规模应与一定时期的国力相适应。企业架设每个信 息点都需要的成本，VPN设备，电子邮件服务器，广域网接 入路由器

5、等设备成本，架设期间雇佣工人，完成内部网络所 开发的软件成本，都在考虑范围之内。 2.3信息点状况及应用程序 信息点管理办公楼中，一层二层每层都要布设160个信息 点，三层布设30个；3个生产车间每个布设20个；库房2层， 每层布设4个。信息流量当属管理办公楼最快，因配备有多 种配套设备。应用程序要适应企业整体的管理要求，在关键 应用与多媒体应用方面也能配套，不致使企业内部系统出现 拥堵的情况。在 QoS方面，尽量采用链路效率机制，用于改 善链路的性能，间接提高企业的QoS着重抓QoS,减少丢 包率，延迟，传输顺序出错以及传输路径出错，在带宽一定 的基础下，对各应用及业务的特点，对网络资源进行

6、合理的 规划与分配，最终实现网络资源的高效利用。 2.4其他方面 对于广域网接入问题，为避免员工在工作期间上网休闲， 要对企业内部的局域网进行有效而且统一的管理，可安装管 理监视软件，若发现与工作无关的网络内容，即向管理办公 楼3层主机报告，从而有效的进行管理。广域网一旦接入， 便存在企业内部资料被窃取的可能性，因此，要安装防火墙， 设置加密软件对企业内部资料进行加密，预防黑客的侵袭。 通过上述环节即提高了员工的工作效率，又能很好的协调员 工之间的工作，不使员工产生讨厌工作的心理，而且很好的 进行了统筹管理，可谓一举多得。 三技术调研 3.1主流网络传输技术 传输技术 Transmission

7、 technology指充分利用不同信 道的传输能力构成一个完整的传输系统，使信息得以可靠传 输的技术。传输系统是通信系统的重要组成部分，传输技术 主要依赖于具体信道的传输特性。信道分为有线信道和无线 信道。有线信道又可进一步细分为架空明线（传输能力一般 不超过12个话路），对称电缆（用于载波通信的高频电缆一 对芯线的传输能力可达120个话路），同轴电缆（其传输能力 可达18003600个话路），光缆（单模光纤的传输能力已可达 若干万个话路）等；无线信道又可进一步分为地波传播（如 级长波，超长波，长波，短波等），天波传播（即经电离层 反射传播，如短波），视距传播（如超短波，微波）等。由 于不同

8、信道有各自适用的频率范围，信源的信号必须通过 “调制”到给定的频率范围才能进行传输，故调制技术是传 输技术的关键之一。由于企业房间都是固定的，使用光纤传 输具有稳定性，流畅性。 3.2网络互连技术 包括路由，交换，远程访问3个方面，即通过路由等设备 将网络连通，成为一个整体，具体包括了网络技术基础、IP 编址、路由器基本配置、 路由器安全管理、IP路由原理、RIP 动态路由协议原理与配置、OSPF动态路由协议原理与配置、 交换机原理与基本配置、生成树协议原理与配置、远程访问 技术基础、HDLC及PPP原理与配置。而企业内部，更是需要 这种技术，以便于企业进行统一的管理。 3.3网络接入技术 接

9、入技术要解决的问题是如何将用户连接到各种网络 上。作为网络中与用户相连的最后一段线路上所采用的技 术，接入技术已成为目前网络技术的一大热点，为了提供端 到端的宽带连接，宽带接入是必须要解决的一个问题。其中 具体包括了光纤接入（ 光纤是目前传输速率最高的传输介 质，在主干网中已大量的采用了光纤。如果将光纤应用到用 户环路中，就能满足用户将来各种宽带业务的要求。可以说， 光纤接入是宽带接入网的最终形式，但目前要完全抛弃现有 的用户网络而全部重新铺设光纤，对于大多数国家和地区来 说还是不经济、不现实的。）、同轴接入（同轴电缆也是传输 带宽比较大的一种传输介质，目前的CATV网就是一种混合 光纤铜轴网

10、络，主干部分采用光纤，用同轴电缆经分支器介 入各家各户。混合光纤/铜轴（HFC接入技术的一大优点是 可以利用现有的 CATV网，从而降低网络接入成本。）、铜线 接入（铜线接入是指以现有的电话线为传输介质，利用各种 先进的调制技术和编码技术、数字信号处理技术来提高铜线 的传输速率和传输距离。但是铜线的传输带宽毕竟有限，铜 线接入方式的传输速率和传输距离一直是一对难以调和的 矛盾，从长远的观点来看，铜线接入方式很难适应将来宽带 业务发展的需要。）、无线接入（无线用户环路是指利用无线 技术为固定用户或移动用户提供电信业务，因此无线接入可 分为固定无线接入和移动无线接入，采用的无线技术有微 波、卫星等

11、。无线接入的优点有：初期投入小，能迅速提供 业务，不需要铺设线路，因而可以省去浦县的大量费用和时 间；比较灵活，可以随时按照需要进行变更、扩容，抗灾难 性比较强）。 3.4网络安全技术 网络安全技术指致力于解决诸如如何有效进行介入控 制，以及如何保证数据传输的安全性的技术手段，主要包括 物理安全分析技术，网络结构安全分析技术，系统安全分析 技术，管理安全分析技术，及其它的安全服务和安全机制策 略。具体分为虚拟网技术（ 虚拟网技术主要基于 局域网交换 技术（ATM和以太网交换）。交换技术将传统的基于广播的 局 域网技术发展为面向连接的技术。因此，网管系统有能力限 制局域网通讯 的范围而无需通过开

12、销很大的 路由器。）、防火 墙技术（网络 防火墙技术是一种用来加强网络之间访问控制 防止外部网络用户以非法手段通过外部网络进入内部网络， 访问内部网络资源，保护内部网络操作环境的特殊网络互联 设备.它对两个或多个网络之间传输的数据包如链接方式按 照一定的安全策略来实施检查，以决定网络之间的通信是否 被允许，并监视网络运行状态.）、病毒防护技术（1）阻止 病毒的传播。在防火墙、代理服务器、SMTP!务器、网络服 务器、群件服务器上安装病毒 过滤软件。在桌面PC安装病 毒监控软件。（2）检查和清除病毒。使用防病毒软件检查和 清除病毒。（3）病毒数据库的升级。病毒数据库应不断更新， 并下发到桌面系统

13、。（4）在防火墙、代理服务器及PC上安 装Java及ActiveX控制扫描软件，禁止未经许可的控件下 载和安装。）、入侵检测技术（入侵检测系统 是新型网络安全 技术，目的是提供实时的入侵检测及采取相应的防护手段， 如记录证据用于跟踪和恢复、断开网络连接等。实时入侵检 测能力之所以重要首先它能够对付来自内部网络的攻击，其 次它能够缩短 hacker入侵的时间。）、安全扫描技术（安全 扫描工具源于 Hacker在入侵网络系统时采用的工具。商品 化的安全扫描工具为网络安全漏洞的发现提供了强大的支 持。安全扫描工具通常也分为基于服务器和基于网络的扫描 器。基于服务器的扫描器主要扫描服务器相关的安全漏洞

14、， 如password文件，目录和文件权限，共享文件系统，敏感 服务，软件，系统漏洞等，并给出相应的解决办法建议。通 常与相应的 服务器操作系统 紧密相关。基于网络的安全扫描 主要扫描设定网络内的服务器、路由器、网桥、变换机、访 问服务器、防火墙等设备的安全漏洞，并可设定模拟攻击， 以测试系统的防御能力。）、认证和数字签名技术（认证技术 主要解决网络通讯过程中通讯双方的身份认可，数字签名作 为身份认证技术 中的一种具体技术，同时数字签名还可用于 通信过程中的不可抵赖要求的实现。）、VPN技术（企业总部 和各分支机构之间采用internet网络进行连接，由于 internet 是公用网络，因此，

15、必须保证其安全性。我们将利 用公共网络实现的私用网络称为虚拟私用网（VPN）。）、应用 系统的安全技术（由于应用系统的复杂性，有关应用平台的 安全问题是整个安全体系中最复杂的部分。下面的几个部分 列出了在Internet/lntranet中主要的应用平台服务的安全 问题及相关技术。 1、域名服务Internet 域名服务为Internet/lntranet 应 用提供了极大的灵活性。几乎所有的网络应用均利用域名服 务。但是，域名服务通常为hacker提供了入侵网络的有用 信息，如服务器的IP、操作系统信息、推导出可能的网络结 构等。同时，新发现的针对BIND-NDS实现的安全漏洞也开 始发现，

16、而绝大多数的 域名系统均存在类似的问题。如由于 DNS查询使用无连接的 UDP协议，利用可预测的查询ID可欺 骗域名服务器给出错误的主机名-IP对应关系。因此，在利 用域名服务时，应该注意到以上的安全问题。主要的措施有： 内部网和外部网使用不同的域名服务器，隐藏内部网络 信息。（2）域名服务器及域名查找应用安装相应的安全补 丁。（3）对付Denial-of-Service攻击，应设计备份域名服 务器。 2、Web Server应用安全 Web Server是企业对外宣传、 开展业务的重要基地。由于其重要性，成为Hacker攻击的 首选目标之一。 Web Server经常成为Internet用户

17、访问公 司内部资源的通道之一，如Web server通过中间件访问 主 机系统，通过数据库连接部件访问数据库，利用CGI访问本 地文件系统或网络系统中其它资源。但Web服务器越来越复 杂，其被发现的安全漏洞越来越多。为了防止Web服务器成 为攻击的牺牲品或成为进入内部网络的跳板，我们需要给予 更多的关心：（1） Web服务器置于防火墙保护之下。（2）在 Web服务器上安装实时安全监控软件。（3）在通往Web服务 器的网络路径上安装基于网络的实时入侵监控系统。（4）经 常审查Web服务器配置情况及运行日志。（5）运行新的应用 前，先进行安全测试。如新的CGI应用。（6）认证过程采用 加密通讯或使

18、用X.509证书模式。小心设置Web服务器 的访问控制表。 3、电子邮件系统安全电子邮件系统也是网络与外部必须 开放的服务系统。由于电子邮件系统的复杂性，其被发现的 安全漏洞非常多，并且危害很大。加强电子邮件系统的安全 性，通常有如下办法：（1）设置一台位于停火区的电子 邮件 服务器作为内外电子邮件通讯的中转站（或利用防火墙的电 子邮件中转功能）。所有出入的电子邮件均通过该中转站中 转。（2）同样为该服务器安装实施监控系统。（3）该邮件服 务器作为专门的应用服务器，不运行任何其它业务（切断与 内部网的通讯）。（4）升级到最新的安全版本。4、操作系 统安全市场上几乎所有的操作系统均已发现有安全漏

19、洞，并 且越流行的操作系统发现的问题越多。对操作系统的安全， 除了不断地增加安全补丁外，还需要：（1）检查系统设置（敏 感数据的存放方式，访问控制，口令选择/更新）。（2）基于 系统的安全监控系统。）。 3.5网络管理技术 网络管理包括对 硬件、软件和人力的使用、综合与协调， 以便对网络资源进行监视、测试、配置、分析、评价和控制， 这样就能以合理的价格满足网络的一些需求，如实时运行性 能、服务质量等。网络管理常简称为网管。包含SNMF协议， CMIS/CMIP协议、CM01协议、LMMF协议。又分为故障管理（故 障管理是网络管理中最基本的功能之一。用户都希望有一个 可靠的计算机网络。当网络中某

20、个组成失效时，网络管理器 必须迅速查找到故障并及时排除。通常不大可能迅速隔离某 个故障，因为网络故障的产生原因往往相当复杂，特别是当 故障是由多个网络组成共同引起的。在此情况下，一般先将 网络修复，然后再分析网络故障的原因。分析故障原因对于 防止类似故障的再发生相当重要。）、网络配置管理（配置管 理同样相当重要。它初始化网络、并配置网络，以使其提供 网络服务。配置管理 是一组对辨别、定义、控制和监视组成 一个通信网络的对象所必要的相关功能，目的是为了实现 某个特定功能或使网络性能达到最优。）、网络性能管理（性 能管理估价 系统资源的运行状况及通信效率等系统性能。其 能力包括监视和分析被管网络及

21、其所提供服务的性能机制。 性能分析的结果可能会触发某个诊断测试过程或重新配置 网络以维持网络的性能。性能管理收集分析有关被管网络当 前状况的数据信息，并维持和分析性能日志。）、网络计费管 理（计费管理记录网络资源的使用，目的是控制和监测网络 操作的费用和代价。它对一些公共商业网络尤为重要。它可 以估算出用户使用网络资源可能需要的费用和代价，以及已 经使用的资源。 网络管理员 还可规定用户可使用的最大费 用，从而控制用户过多占用和使用网络资源。）、网络安全 管理（网络资源的访问控制，通过管理路由器的访问控制 链表，完成 防火墙的管理功能，即从 网络层（1P ）和传输层 （TCP）控制对网络资源的

22、访问，保护网络内部的设备和应用 服务，防止外来的攻击。告警事件分析，接收网络对象所 发出的告警事件，分析员安全相关的信息（如路由器登录信 息、SNMP认证失败信息），实时地向管理员告警，并提供历 史安全事件的检索与分析机制，及时地发现正在进行的攻击 或可疑的攻击迹象。 主机系统的安全漏洞 检测，实时的监 测主机系统的重要服务（如WWWDNS等）的状态，提供安 全监测工具，以搜索系统可能存在的安全漏洞或安全隐患， 并给出弥补的措施）五大功能。 S7600系列路由交换机的主要特性 S7602-S S7602 S7603-S S7603 S7606-S S7606 S7606- V S7610 交换

23、容 量 双向 192Gbps 双向 320Gbps 双向 480Gbps 双向 800Gbps 双向 768Gbps 双向 800Gbps 双向 800Gbp s 双向 1152G bps 包转发率 142Mpps 60Mpps 274 Mpps 90 Mpps 488Mpps 180Mpps 180Mpp s 773Mp ps 槽位数量 4 4 4 5 8 8 8 12 业务槽位 数量 2 2 3 3 6 6 6 10 冗余设计 电源、主 控冗余 电源、主 控冗余 电源冗余 电源、主 控冗余 电源冗余 电源、主控 冗余 电源、 主控冗 余 电源、 主控 冗余 二层特性 支持IEEE 802.

24、1P（CoS优先级） 支持 IEEE 802.1Q （VLAN 支持 IEEE 802.1d（ STP） /802.1w （ RSTP /802.1s（ MSTP 支持 IEEE 802.1ad（ QinQ），灵活 QinQ 和 Vian mapping 广播/组播/未知单播报文的抑制功能 静态端口聚合/LACP/跨板聚合 Jumbo Frame（ 9K） 802.3X流控支持，支持反压方式流控 Loopback Dection 为满足高效，安全，多业务的下一代企业需求， 开发出如下: 产品型号 RG-S3760-24 RG-S3760-48 RG-S3760-12SFP/GT 固定端口 24

25、端口 10/100M自适应 端口，4个SFP接口，4 个复用的10/100/1000M 电口 48端口 10/100M自适应 端口，4个SFP接口，4 个复用的10/100/1000M 电口 12个SFP接口和12个 10/100/1000BASE-T 的 RJ45 接口，光口和电口复用 可用SFP 模块 Mini-GBIC-SX :单口 1000BASE-SX mini GBIC 转换模块（LC接口）； Mini-GBIC-LX :单口 1000BASE-LX mini GBIC 转换模块（LC接口）； Mini-GBIC-LH40 :单口 1000BASE-LH mini GBIC 转换模

26、块（LC接口），40km； Mini-GBIC-ZX50 :单口 1000BASE-ZX mini GBIC 转换模块（LC接口），50km； Mini-GBIC-ZX80 :单口 1000BASE-ZX mini GBIC 转换模块（LC接口），80km 背板 37.6Gbps 37.6Gbps 48Gbps IPv4包转发速率 L2:线速（9.6Mpps） L2:线速（13.2Mpps） L2:线速（18Mpps） L3:线速（9.6Mpps） L3:线速（13.2Mpps） L3:线速（18Mpps） IPv6包转发速率 L2:线速（9.6Mpps） L2:线速（13.2Mpps） L2

27、:线速（18Mpps） L3:线速（9.6Mpps） L3:线速（13.2Mpps） L3:线速（18 Mpps） MAC 16K 802.1q VLAN 4K IPv4 ACL 支持灵活多样的硬件 ACL，如标准IP ACL （基于IP地址的硬件ACL）、 扩展IP ACL （基于IP地址、TCP/UDP端口号的硬件 ACL）、 MACT展ACL（基于源MAC地址、目的 MAC地址和可选的以太网类型的硬件ACL）、 专家级ACL （可同时基于 VLAN号、以太网类型、MAC地址、IP地址、TCP/UDP端口 号、协议类型、时间等灵活组合的硬件ACL）、时间ACL等，提高对各种网络病毒 和网络

28、攻击的防御能力 IPv6 ACL 支持源/目的IPv6地址、源/目的端口、IPv6报文头的流量类型（Traffic class八 时间选项的硬件IPv6 ACL 四、网络设计方案 确器A 月艮务器B （& 用） V P 生产车间3栋 企 理 服 务 器 业 管 在企业内部网络中，只能使用专用（私有） IP地址段。在选 择专用（私有）IP地址时，应当注意以下几点: （1）为每个网段都分配一个C类IP地址段，建议使用 192.16820-段IP地址。由于某些网络设 备（如宽带路由器或无线路由器）或应用程序（如ICS ）拥 有自动分配IP地址功能，而且默认的IP地址池往往位

29、于 和 段，因此，在采用该IP 地址段 时，往往容易导致IP地址冲突或其他故障。所以，除非必 要，应当尽量避免使用上述两个 C类地址段。 （2）可采用C类地址的子网掩码，如果有必要，可以采 用变长子网掩码。通常情况下，不要采用过大的子网掩码， 每个网段的计算机数量都不要超过250台计算机。同一网段 的计算机数量越多，广播包的数量越大，有效带宽就损失得 越多，网络传输效率也越低。 （3）即 使选用 -54 或 -54 段 IP 地址，也建议采用 255.255.25

30、5.0作为子网掩码，以获取更多的IP网段，并使 每个子网中所容纳的计算机数量都较少。当然，如果必要， 可以采用变长子网掩码，适当增加可容纳的计算机数量。 4、为网络设备的管理 WLAN分配一个独立的IP地址段， 以避免发生与网络设备管理IP的地址冲突，从而影响远程 管理的实现。基于同样的原因，也要将所有的服务器划分至 一个独立的网段。 需要注意的是，不要以为同一网络的计算机分配不同的 IP地址，就可以提高网络传输效率。事实上，同一网络内的 计算机仍然处于同一广播域，广播包的数量不会由于IP地 址的不同而减少，所以，仅仅是为计算机指定不同网段，并 不能实现划分广播域的目的。若欲减少广播域，最根本

31、的解 决办法就是划分 VLAN然后为每个 VLAN分别指定不同的IP 网段。 交换机 如上图所示，需1个3层管网交换机，5个2层管网交换机， 共需要大概5000+2000=7000元 路由器 使用T-Link 4孔的话，每个100元左右，管理办公楼中，1 层2层共需要32个，3层的话，厂长办公室每个1个，会议室1 个，机房需要5个，管理办公楼共需要39个。生产车间的话， 每个车间5个，3个需要15个。库房的话，2层，每层1个，共 需2个。共 56*100=5600 元。 防火墙 防火墙（英文：firewall）是一项协助确保信息安全的设备， 会依照特定的规则，允许或是限制传输的数据通过。防火墙

32、 可以是一台专属的硬件也可以是架设在一般硬件上的一套 软件。需要1个，中型企业，大概在1W元左右。 VPN设备 使用领航vpn性价比在国内是比较高的，价格是目前国 内品牌中最便宜的，性能相当稳定，大概30元每月。 5. VLAN划分 使用端口划分 VLAN 许多VLAN厂商都利用交换机的端口来划分 VLAN成员。被设 定的端口都在同一个广播域中。例如，一个交换机的1，2, 3, 4, 5端口被定义为虚拟网 AAA同一交换机的6, 7, 8端 口组成虚拟网 BBB这样做允许各端口之间的通讯，并允许 共享型网络的升级。但是，这种划分模式将虚拟网限制在了 一台交换机上。 第二代端口 VLAN技术允许跨越多个交换机的多个不同端 口划分VLAN不同交换机上的若干个端口可以组成同一个虚 拟网。 以交换机端口来划分网络成员， 其配置过程简单明了。 因 此，从目前来看，这种根据端口来划分 VLAN的方式仍然是 最常用的一种方式。 6. 软件系统 软件系统是由系统软件，应用软件，支撑软件组成的。它 包括操作系统、语言处理系统、数据库系统、分布式软件系 统和人机交互系统等