局域网设计方案可靠安全实验室设计

8.8.1网络实验室设计一．需求分析：80台计算机，每40台一种VLAN，每10台PC连接到百兆交换机上，交换机之间互连，VLAN间通信通过三层交换机，80台计算机共享以下服务如FTP、代理和www服务器等，通过三层交换机的上端千兆口连接到网络中心，通过网络中心实现外网的连接。二、网络拓扑图：下图是使用ciscopackettracer软件作成的拓扑图：三、设计方案(1)服务器设计：1.FTP服务器:网络实验室需要该服务器提供文献传输功效，即网络顾客能够从特定的服务器上下载文献或者向该服务器上传数据，此时需要配备支持文献传输的FTP服务器。FTP服务的配备需要安装IIS服务组件，FTP服务器安装好之后，在服务器上有专门的目录供网络顾客访问、存储下载文献、接受上传文献，合理配备站点以有助于提供安全、方便的服务。对于FTP服务器的使用重要是分两个部分：第一步：设立IIS默认的FTP站点，建立FTP最快的办法就是直接运用IIS默认建立的FTP站点，把可供下载的有关文献，分门别类地放在FTP对应的根目录下；第二步：添加或者删除站点，IIS允许在同一部计算机上同时构架多个FTP站点。2.www服务器：Web服务器的配备同样分为两个环节：首先，使用IIS默认站点；另首先，添加新的Web站点。3.代理的配备：(2)交换机设计与配备：单臂路由和Trunk的配备：路由器需要配备两个子接口的封装和ip（物理口和子接口都需要配备IP），交换机需要配备两个VLAN，把两个接口放进vlan，把与路由器连接接口配备成trunk，交换机上的三个接口和两个有关vlan；pc1/pc2,配备网关，配备默认路由。VLAN的配备：『配备环境参数』SwitchA端口E0/1属于VLAN2，E0/2属于VLAN3『组网需求』把交换机端口E0/1加入到VLAN2，E0/2加入到VLAN32数据配备环节『VLAN配备流程』1.缺省状况下全部端口都属于VLAN1，并且端口是access端口，一种access端口只能属于一种vlan；2.如果端口是access端口，则把端口加入到另外一种vlan的同时，系统自动把该端口从原来的vlan中删除掉；3.除了VLAN1，如果VLANXX不存在，在系统视图下键入VLANXX，则创立VLANXX并进入VLAN视图；如果VLANXX已经存在，则进入VLAN视图。8.8.2可靠、安全网络实验室方案1.需求分析首先，在网络实验室方案设计的基础上，做更进一步的技术改善；网络实验室办公楼到网络中心办公楼规定高传输率和高可靠性，传输方案采用千兆到交换机，百兆到桌面的对应方案，采用双交换机互为备份的连网方案，服务期间互为数据备份，设立DMZ区确保代理、FTP、www服务器的安全。2.给出网络拓扑图下图是使用ciscopackettracer软件作成的拓扑图：3.给出具体设计方案首先，要设立DMZ区，在DMZ区和Internet相连的区域设立对应的防火墙，并加入IDS检测器1在DMZ区中放入IDS检测器2和千兆交换机，千兆交换机把Web服务器、DNS服务器和Mail服务器连接起来，DMZ区外再另加一种IDS检测器以增强网络整体的安全程度，之后连入路由器，接入内部网络。另首先，路由器连接一种千兆交换机，并由此交换机连接两个直通入楼宇的摆百兆交换机，再由此连入桌面主机。8.8.3校园网方案的撰写1.需求分析：(1)学校有18个学院，3个校区，其中网络中心、亚太楼、国教在北区，软件学院在西区，其它学院在南区。(2)网络中心提供多个原则化信息服务，各个学院也自行向互联网公布学院信息，，每个学院大概有1500台PC。(3)学校拥有从CERNET申请的一段IPv4地址/18,从CNC申请一段IPv4地址/21。(4)采用三层架构设计，连接三个校区选用万兆网，各校区主干网络采用千兆网，作为园区汇聚层，另选用百兆网接入桌面。(5)校园网通过统一接口接入CERNET和CNC。2.给出网络拓扑图：3.给出具体的设计方案：1.IP地址方案：对于学生宿舍，通过锐捷身份认证系统对学生连网进行身份认证和计费管理，在认证前统一动态分派私有IP地址，认证后分派共有IP地址。通过NAT转换实现认证前能够通过私有IP访问校内外部分服务。对于学校信息中心机房，由于各机房机器众多，因此对各机房均采用静态分派私有IP地址，通过代理服务器上NAT转换连接Internet网络，并且各个机房被划分为单独的VLAN以利于管理和安全。2.互联网接入方案：由于互联网应用对于日常生活的重要性，其Internet接入方案必须在接入带宽、访问速度、网络可靠性、网络安全性等方面都得到切实、可靠的保障。根据顾客对互联网专线的电路品质和可靠性的需求，我们建议以下接入方案：采用专线接入方式，现在采用CERNET300M线路+两条CNC100M线路，累计500M，以专线方式连入Internet，并提供防火墙、计费管理等功效。鉴于我国网络的实际状况，web服务器有多置于电信线路，因此应添加一条电信的线路，不仅增加带宽。同时使我校网络拥有三线接入，使网络运用更为充足。３．安全方案安全方略越来越成为学校计算机网络的核心因素。特别是随着多合同新业务的发展、电子商务、网上办公、多个中间业务的应用，学校网络不再是一种封闭的网络，极大地扩展了学校的业务，提高了学校的竞争力，但同时也带来网络安全的风险。网络设计中必须制订网络安全方略，确保内部网络的完整性和安全性。４．VLAN的划分以北区为例：InternetInternetROUTEFilewailVPN,FTP,DNS,mail,nat服务器172.1615.124Dmz区核心switch亚太vlan2网络中心Vlan3国教vlan41,2,3,4,5,6,号宿舍楼主教学楼Vlan6图书馆Vlan5DHCP.sam服务器Vlan71号，vlan82号，vlan93号，vlan104号，vlan115号，vlan126号，vlan13可靠、安全网络实验室局域网的设计一、 实验目的（1） 掌握设计高可靠性网络技能与办法。（2） 掌握设计网络安全方案的基本技能和办法，并掌握防火墙原理。（3） 用visco绘制可靠、安全网络拓扑图二、 实验内容（1） 网络实验室办公楼到网络中心办公楼规定含有高传输速率，并且规定高可靠性。（2） 采用千兆到交换机，百兆到桌面的传输方案。（3） 采用双交换机互为高速备份的联网方案，采用服务器间的数据备份（4） 通过设立DMZ区确保代理、ftp、www服务器的安全。其中只允许外网访问www服务器。实验原理DMZ的定义DMZ是英文“demilitarizedzone”的缩写，中文名称为“隔离区”，也称“非军事化区”。它是为理解决安装防火墙后外部网络不能访问内部网络服务器的问题，而设立的一种非安全系统与安全系统之间的缓冲区，这个缓冲区位于公司内部网络和外部网络之间的小网络区域内，在这个小网络区域内能够放置某些必须公开的服务器设施，如公司Web服务器、FTP服务器和论坛等。另首先，通过这样一种DMZ区域，更加有效地保护了内部网络，由于这种网络布署，比起普通的防火墙方案，对攻击者来说又多了一道关卡。这样来自外网的访问者能够访问DMZ中的服务，但不可能接触到寄存在内网中的公司机密或私人信息等，即使DMZ中服务器受到破坏，也不会对内网中的机密信息造成影响。STP合同SpanningTreeProtocol(STP)是一种二层链路合同，又称生成树合同，该合同在IEEE802.1D文档中定义。该合同的原理是按照树的构造来构造网络拓扑，消除网络中的环路，避免由于环路的存在而造成广播风暴问题。该合同使用BPDU报文传递生成树信息。STP的基本原理是，通过在交换机之间传递一种特殊的合同报文（在IEEE802.1D中这种合同报文被称为“配备消息”）来拟定网络的拓扑构造。配备消息中包含了足够的信息来确保交换机完一生成树计算。链路聚合链路聚合是将两个或更多数据信道结合成一种单个的信道,该信道以一种单个的更高带宽的逻辑链路出现。链路聚合普通用来连接一种或多个带宽需求大的设备，例如连接骨干网络的服务器或服务器群。可靠性网络的安全可靠性是网络的一种重要的指标。计算机网络系统必须绝对可靠，网络设计必须可靠性重点考虑。从构造设计、产品选择以及网络管理上要对网络的可靠性作出确保。安全性与可靠性同样重要，除了系统提供多个安全控制的手段外，网络设计也要提供保障其安全的手段。实验环境与网络拓扑五、 实验环节（1） 环节1：需求分析1）网络实验室办公楼到网络中心办公楼规定含有高传输速率，并且规定高可靠性。2）确保代理、ftp、www服务器的安全。3）允许外网访问www服务器。4）确保交换机和服务器上数据的安全。根据以上四点规定，可采用下列设计方案：采用千兆到交换机，百兆到桌面的传输方案；采用服务器间的数据备份确保服务质量以及数据可靠性；通过设立DMZ区和防火墙确保代理、ftp、www服务器的安全。为了交换机提高可靠性和可用性，可采用双交换机联网到网络中心的方案；为提高速度和可用性，三层交换机采用UPS供电和端口链路聚合技术，服务器设立在三层交换机上，方便提高访问速度和充足运用带宽等，同时提供数据备份。服务器与交换机连接可采用两个百兆链路聚合的方法，争强访问服务器的能力。（2） 环节2：给出网络拓扑图网络中核心节点使用两个三层交换机连接到网络中心，确保网络实验楼到网络中心的连接。另外，三层交换机采用UPS供电和端口链路聚合技术，链路聚合在两个核心交换机到网络中心的链路上均需实现。服务器连接在网络中心的三层交换机上，以确保访问速度和充足运用带宽。同时，对服务器的数据通过备份软件进行远程备份。（3） 环节3：给出具体的设计方案1.交换机设计与配备在汇聚交换机上进行STP的配备和链路聚合。STP配备：switch#configswitch(Config)#hostnameswitchAswitchA(Config)#interfacevlan1switchA(Config-If-Vlan1)#ipaddressxxxxxswitchA(Config-If-Vlan1)#noshutdownswitchA(Config-If-Vlan1)#exitswitchA(Config)#spanning-treeMSTPisstartingnow,pleasewait...........MSTPisenabledsuccessfully.链路聚合配备：switchA(Config)#port-group1switchA(Config)#interfaceethernet0/0/1-2switchA(Config-Port-Range)#port-group1modeonswitchA(Config-Port-Range)#exitswitchA(Config)#interfaceethernet0/0/1-2switchA(Conifg-Port-Range)#port-group1modeactive2.DMZ的设计、防火墙的配备（可通过ACL实现）使用DMZ区确保外网对服务器的访问，同时又确保内部网络的安全。防火墙上配备ACL，只允许外网访问www服务器：Firewall(config)#conduitpermittcphostx.x.x.xeqwwwanyFirewall(config)#conduitpermiticmpanyany五、 实验故障排除与调试可能出现的问题链路聚合配备不当首先检查每台交换机上的链路聚合配备，修