局域网设计方案 可靠安全实验室设计

1、一需求分析：80台计算机，每40台一个VLAN ，每10台PC 连接到百兆交换机上，交换机之间互连，VLAN 间通信通过三层交换机，80台计算机共享如下服务如FTP 、代理和www 服务器等，通过三层交换机的上端千兆口连接到网络中心，通过网络中心实现外网的连接。二、网络拓扑图：下图是使用cisco packet tracer软件作成的拓扑图： 三、设计方案(1服务器设计：1.FTP 服务器:网络实验室需要该服务器提供文件传输功能，即网络用户可以从特定的服务器上下载文件或者向该服务器上传数据，此时需要配置支持文件传输的FTP 服务器。FTP 服务的配置需要安装IIS 服务组件，FTP 服务器安装

2、好之后，在服务器上有专门的目录供网络用户访问、存储下载文件、接收上传文件，合理配置站点以有利于提供安全、方便的服务。对于FTP 服务器的使用主要是分两个部分：第一步：设置IIS 默认的FTP站点，建立FTP 最快的方法就是直接利用IIS 默认建立的FTP 站点，把可供下载的相关文件，分门别类地放在FTP 相应的根目录下；第二步：添加或者删除站点，IIS 允许在同一部计算机上同时构架多个FTP 站点。2.www 服务器：Web 服务器的配置同样分为两个步骤：首先，使用IIS 默认站点；其次，添加新的Web 站点。 3. 代理的配置：(2交换机设计与配置：单臂路由和Trunk 的配置：路由器需要配

3、置两个子接口的封装和ip （物理口和子接口都需要配置IP ），交换机需要配置两个VLAN ，把两个接口放进vlan ，把与路由器连接接口配置成trunk ，交换机上的三个接口和两个相关vlan ；pc1/pc2,配置网关，配置默认路由。 VLAN 的配置： 配置环境参数SwitchA 端口E0/1属于VLAN2，E0/2属于VLAN3 组网需求把交换机端口E0/1加入到VLAN2 ，E0/2加入到VLAN3 2 数据配置步骤 VLAN 配置流程1. 缺省情况下所有端口都属于VLAN 1，并且端口是access 端口，一个access 端口只能属于一个vlan ；2. 如果端口是access 端

4、口，则把端口加入到另外一个vlan 的同时，系统自动把该端口从原来的vlan 中删除掉；3. 除了VLAN1，如果VLAN XX 不存在，在系统视图下键入VLAN XX ，则创建VLAN XX 并进入VLAN 视图；如果VLAN XX已经存在，则进入VLAN 视图。1. 需求分析首先，在网络实验室方案设计的基础上，做更进一步的技术改进；网络实验室办公楼到网络中心办公楼要求高传输率和高可靠性，传输方案采用千兆到交换机，百兆到桌面的相应方案，采用双交换机互为备份的连网方案，服务期间互为数据备份，设置DMZ 区确保代理、FTP 、www 服务器的安全。2. 给出网络拓扑图下图是使用cisco pac

5、ket tracer软件作成的拓扑图： 3. 给出详细设计方案首先，要设立DMZ 区，在DMZ 区和Internet 相连的区域设置相应的防火墙，并加入IDS 检测器1在DMZ 区中放入IDS 检测器2和千兆交换机，千兆交换机把Web 服务器、DNS 服务器和Mail 服务器连接起来，DMZ 区外再另加一个IDS 检测器以增强网络整体的安全程度，之后连入路由器，接入内部网络。其次，路由器连接一个千兆交换机，并由此交换机连接两个直通入楼宇的摆百兆交换机，再由此连入桌面主机。1. 需求分析：(1学校有18个学院，3个校区，其中网络中心、亚太楼、国教在北区，软件学院在西区，其余学院在南区。(2网络中

6、心提供各种标准化信息服务，各个学院也自行向互联网发布学院信息，每个学院大概有1500台PC 。2. 给出网络拓扑图： 3. 给出详细的设计方案： 1.IP 地址方案：对于学生宿舍，通过锐捷身份认证系统对学生连网进行身份认证和计费管理，在认证前统一动态分配私有IP 地址，认证后分配共有IP 地址。通过NAT 转换实现认证前可以通过私有IP 访问校内外部分服务。对于学校信息中心机房，由于各机房机器众多，所以对各机房均采用静态分配私有IP 地址，通过代理服务器上NAT 转换连接Internet 网络，并且各个机房被划分为单独的VLAN 以利于管理和安全。2. 互联网接入方案：由于互联网应用对于日常生

7、活的重要性，其Internet 接入方案必须在接入带宽、访问速度、网络可靠性、网络安全性等方面都得到切实、可靠的保障。根据用户对互联网专线的电路品质和可靠性的需求，我们建议如下接入方案：采用专线接入方式，目前采用CERNET300M 线路+两条CNC100M 线路，共计500M ，以专线方式连入Internet ，并提供防火墙、计费管理等功能。鉴于我国网络的实际情况，web 服务器有多置于电信线路，因此应添加一条电信的线路，不仅增加带宽。同时使我校网络拥有三线接入，使网络利用更为充分。安全方案安全策略越来越成为学校计算机网络的关键因素。特别是随着多协议新业务的发展、电子商务、网上办公、各种中间

8、业务的应用，学校网络不再是一个封闭的网络，极大地扩展了学校的业务，提高了学校的竞争力，但同时也带来网络安全的风险。网络设计中必须制定网络安全策略，保证内部网络的完整性和安全性。VLAN 的划分以北区为例： 可靠、安全网络实验室局域网的设计 一、 （1） （2） （3） 二、 实验目的 掌握设计高可靠性网络技能与方法。 掌握设计网络安全方案的基本技能和方法，并掌握防火墙原理。 用 visco 绘制可靠、安全网络拓扑图 实验内容 （1） 网络实验室办公楼到网络中心办公楼要求具备高传输速率，而且要求高可靠性。 （2） 采用千兆到交换机，百兆到桌面的传输方案。 （3） 采用双交换机互为高速备份的联网方

9、案，采用服务器间的数据备份 （4） 通过设置 DMZ 区确保代理、ftp、www 服务器的安全。其中只允许外网访问 www 服 务器。 三、 实验原理 1. DMZ 的定义 DMZ 是英文“demilitarized zone”的缩写，中文名称为“隔离区” ，也称“非军事 化区” 。它是为了解决安装防火墙后外部网络不能访问内部网络服务器的问题，而设立的 一个非安全系统与安全系统之间的缓冲区，这个缓冲区位于企业内部网络和外部网络之 间的小网络区域内，在这个小网络区域内可以放置一些必须公开的服务器设施，如企业 Web 服务器、FTP 服务器和论坛等。另一方面，通过这样一个 DMZ 区域，更加有效地

10、保护 了内部网络，因为这种网络部署，比起一般的防火墙方案，对攻击者来说又多了一道关 卡。这样来自外网的访问者可以访问 DMZ 中的服务，但不可能接触到存放在内网中的公 司机密或私人信息等，即使 DMZ 中服务器受到破坏，也不会对内网中的机密信息造成影 响。 2. STP 协议 Spanning Tree Protocol(STP是一种二层链路协议，又称生成树协议，该协议在 IEEE802.1D 文档中定义。该协议的原理是按照树的结构来构造网络拓扑，消除网络中的 环路， 避免由于环路的存在而造成广播风暴问题。 该协议使用 BPDU 报文传递生成树信息。 STP 的基本原理是，通过在交换机之间传递

11、一种特殊的协议报文（在 IEEE 802.1D 中 这种协议报文被称为“配置消息” ）来确定网络的拓扑结构。配置消息中包含了足够的信 息来保证交换机完成生成树计算。 3. 链路聚合 链路聚合是将两个或更多数据信道结合成一个单个的信道,该信道以一个单个的更 高带宽的逻辑链路出现。链路聚合一般用来连接一个或多个带宽需求大的设备，例如连 接骨干网络的服务器或服务器群。 4. 可靠性 网络的安全可靠性是网络的一个重要的指标。计算机网络系统必须绝对可靠，网络 设计必须可靠性重点考虑。从结构设计、产品选择以及网络管理上要对网络的可靠性作 出保证。安全性与可靠性同样重要，除了系统提供多种安全控制的手段外，网

12、络设计也 要提供保障其安全的手段。 四、 实验环境与网络拓扑 五、 实验步骤 （1） 步骤 1：需求分析 1）网络实验室办公楼到网络中心办公楼要求具备高传输速率，而且要求高可靠性。 2）确保代理、ftp、www 服务器的安全。 3）允许外网访问 www 服务器。 4）确保交换机和服务器上数据的安全。 根据以上四点要求，可采用以下设计方案：采用千兆到交换机，百兆到桌面的传输 方案；采用服务器间的数据备份保证服务质量以及数据可靠性；通过设置 DMZ 区和 防火墙确保代理、ftp、www 服务器的安全。为了交换机提高可靠性和可用性，可采 用双交换机联网到网络中心的方案；为提高速度和可用性，三层交换机采用 UPS 供 电和端口链路聚合技术，服务器设置在三层交换机上，以便提高访问速度和充分利 用带宽等，同时提供数据备份。服务器与交换机连接可采用两个百兆链路聚合的措 施，争强访问服务器的能力。 （2） 步骤 2：给出网络拓扑图 网络中关键节点使用两个三层交换机连接到网络中心，确保网络实验楼到网