科信学院
课程设计说明书 (2011 /2012学年 第一学期)
课程名称 : 网络工程课程设计
题 目 : 教学楼 宿舍楼 教工楼设计
专业班级 : 计算机科学与技术(1) 班
学生姓名 :
学 号: 090212114
指导教师 : 张世虎
设计周数 :设计成绩 :
2012 年 6 月 15日
前 言
21世纪是信息产业的时代,全球电子信息化潮流势不可挡,是知识经济的时代,人们所要求的信息量也越来越大,计算机被广泛应用于企业、政府部门、学校、家庭,给经济和社会带来了深刻的变革。随着信息技术和互联网的发展,信息化已经渗透到人类社会的方方面面,并逐步改变人类的工作、学习和生活方式。校园网作为现在教学技术手段,是全面实施素质教育的重要内容,是教育面向现代化、面向世界、面向未来的物质技术基础,是一流基础教育的重要标志。
校园网网络系统是一个非常庞大而复杂的系统,它不仅为现代化教学、综合信息管理和办公自动化等一系列应用提供基本操作平台,而且能够提供多种应用服务,使信息化及时准确的传送给各个系统,而校园网工程建设主要应用了网络技术中的重要分支局域网技术来建设与管理的。 建设校园网络,创建丰富多彩的校园网络文化对于转变陈旧教育思想和观念、促进教学内容、教学方法、教学结构和教学模式的改革,加快建设教育手段和管理手段的现代化有决定性作用,尤其是对深化基础教育改革,提高教育质量和效益,培养“面向现代化,面向世界,面向未来”的创新人才更具深远意义。因为21世纪既有来自高科技的挑战,又有来自生态系统,道德危机,情感危机等系列全球性重大问题的挑战。
1 设计目的
在现代校园内,学生宿舍楼和教工楼能够上网已经成为必然,而教学楼接入网络也是现代化教务发展的趋势。老师和同学们可以利用网络进行有效的工作、学习和休闲娱乐。现在有一校区约有15栋教学楼、10栋教工住宅楼、24栋学生宿舍需联入网络,综合布线信息点约为4000个(其中学生网约1700个 );整个网络采取三层结构,主干采取千兆光纤接入、汇聚采用百兆光纤接入、百兆交换到桌面;通过中国教育网(Cernet)接入Internet;教务处和图书馆需要可靠连接,需作冗余接入处理。学校已申请到全局IP段:218.197.16.0—218.197.31.255。
2.教学楼、宿舍楼和教工楼设计
2.1需求分析
随着网络的不断发展,校园应用中数据、话音、视像等多媒体传输需要的逐渐增加,校园网建设正向高速化,智能化方向发展。所以在现代校园内,学生宿舍楼和教工楼能够上网已经成为必然,而教学楼接入网络也是现代化教务发展的趋势。
2.2 用户的应用需求
2.2.1 通信需求
广域网的通信主干采用网段间使用已铺好的光纤线路,链路成和网络层采用远程路由结构,这是由于路由技术可处理多种网络协议,管理能力强,可平衡数据流量,对其作优先级处理,易于连接多种通信介质和远程网络,能形成复杂拓扑结构网络。
2.2.2 性能需求
校园网对网络系统的性能需求,可归纳如下:
(1) 先进性(2) 可靠性(3) 可扩展性(4) 安全性(5) 实用性
(6) 易维护性(7) 考性能/价格比
2.3网络管理
网络系统规模的日益扩大和网络应用水平的不断提高,一方面使得网络的维护成为网络管理的重要问题之一,例如排除网络故障困难,维护成本上升等。另一方面也是网络的性能成为人们关注的重点,一般的方案是通过增强网络的静态配置来提高性能,例如增强网络服务器的处理能力,采用高速局域网、网络交换等技术扩展网络带宽等。
2.4 防火墙
在学校计算机网络与外部网络链接处配置防火前是保证系统安全的第一步,也是系统建设时首要考虑的问题。防火墙通过监测、限制、更改通过防火墙的数据流,可以保护内部系统不受来自外部的攻击。
2.5 现有网络分析
目前在学校的各教学楼、图书馆、各党政领导部门都使用网络进行大量统计、分析和管理等工作。为了适应教学、科研和管理工作的需要,加强校内各部门之间的信息交流和共享,提高工作效率和水平,有必要建立一个全校范围内、有效、实用且快速的网络环境。
3 IP地址划分和VLAN的设置
3.1 IP地址划分
教学楼:218.197.16.0到 218.197.18.0;住宅楼:218.197.19.0到 218.197.20.0
宿舍网:218.197.21.0到 218.197.25.0;机房: 218.197.26.0到 218.197.28.0备用:218.197.29.0到218.197.31.0
3.1.1 各网的IP地址分配
3.2 VLAN端口划分及配置
4 网络设计拓扑图
5 教学楼、宿舍楼和教工楼硬件设计
5.1网络综合布线
校园网采用综合布线系统,包括以下六个子系统:
(1)工作区子系统。(2)水平布线子系统。(3)垂直干线子系统。(4)管理子系统。
(5)设备间子系统。(6)建筑群子系统。
5.2 综合布线注意事项
5.2.1放线要点
5.2.2信息端口安装要点:
5.2.3布线工程施工内容
5.3设备选择
核心主交换机:CISO WS-C4948-S
分布层主交换机:CISCO WS-C3560V2-24TS-S
分布层主交换机:CISCO WS-C2960-24TC-L
路由器:CISCO 2811
服务器 戴尔Power Edge R710
6实验设计图
7 网络安全设计
构建全程网站的访问控制体系是网络安全防范和保护的主要策略,它的主要任务是保证网络资源不被非法使用和访问。它是网络安全最重要的核心策略之一。在此次设计中为路由和交换机配置的密码如下。
1.console口密码配置
Switch>enable
Switch#configure terminal
Switch(config)#line console 0
Switch(config-line)#password 12345
Switch(config-line)#login
Switch(config-line)#exit
2. vty 密码配置
Switch>enable
Switch#configure terminal
Switch(config)#line vty 0 4
Switch(config-line)#password class
Switch(config-line)#login
Switch(config-line)#exit
安全性是指可靠性、保密性和资料一致性。校园网对安全性的要求较高,计算机系统的安全性主要包括以下几个方面。
7.1物理安全
物理安全的目的是保护计算机系统,网络服务器,打印机等硬设备实体和通信链路免受自然灾害,人为破坏和搭线攻击;验证用户的身份和使用权限,防止用户越权操作;确保计算机系统有一个良好的电磁兼容工作坏境;建立完备的安全管理制度,防止非法进入计算机控制室和各种偷窃、破坏活动的发生。物理安全一般包括如下三个方面:环境安全,设备安全以及媒体安全。
为保证网络系统的物理安全。除去在网络规划和场地、环境等要求之外,还要防止系统信息在空间的扩散。通常是在物理上采取一定的防护措施,来减少或干扰扩散出去的空间信号。正常的防护措施主要有以下几个方面。
(1)对主机房及重要信息存储、收发部门进行屏蔽处理,即建设一个具有高效屏蔽效能的屏蔽
室,用它来安装运行设备,以及防止磁鼓、磁带、高辐射等的信号外泄。为提高屏蔽室的效能,在屏蔽室与外界的各项联系、连接中均要采取相应的隔离措施和设计方式,如信号线、电话线、空调和消防控制线,以及通风波导、门的关起等。
(2)本地网、局域网传输线路传导辐射的抑制,由于电缆传输辐射的不可避免性,现均采用了
光缆的传输方式,大多数均在MODEM引出的设备上采用光电转换接口,用光缆接出屏蔽室进行传输。
(3)对终端设备辐射的防范。
7.2 网络安全
7.2.1 计算机系统安全
计算机系统安全从操作系统和应用系统的安全威胁进行分析。计算机系统安全管理主要有以下几个方面。
(1)防止未授权存取。这是计算机安全管理中最重要的问题,指的是防止未被允许使用计算机系
统的人进入系统。用户意识、良好的口令管理、登陆活动记录和报告以及用户和网络活动的周期检查时防止未授权存取的关键。
(2)防止泄密。这是防止已授权和未授权的用户相互存取重要信息,文件系统查账、登陆和报告
以及用户意识。加密是防止信息的关键。
(3)防止用户拒绝系统的管理。这方面的安全应由操作系统来完成。一个系统部应该被一个有意
试图使用过多的资源的用户损害。系统管理员最好定期的检查系统,查出过多占用CPU的进程和大量占用磁盘的文件及其它使用用户,并对它们进行管理。
(4)防止丢失系统的完整性和正确性。包括功能的完整和数据的完整性。做好更新记录、定期备
份等措施是必不可少的。
7.2.2 防火墙
防火墙(Firewall)是通过在网络边界上建立相应的网络通信监控系统来隔离内部和外部网络,以阻挡外部网络的入侵,保护计算机网络安全。
防火墙的选择为华为Quidway SecPath 500F防火墙,支持外部攻击防范、内网安全、流量监控、网页过滤、邮件过滤、应用层过滤等功能,能够有效地保证网络的安全;采用ASPF状态检测技术,可对连接状态过程和异常命令进行检测;提供多种智能分析和管理手段,支持邮件告警,支持多种日志,提供网络管理监控,协助网络管理员完成网络的安全管理;支持AAA、NAT等技术,可以确保在开放的Internet上实现安全的、满足可靠质量要求的网络;支持多种VPN业务,如L2TP
VPN、GRE VPN、IPSec VPN、SSL VPN和华为动态VPN等,可以构建Internet、Intranet、Remote Access等多种形式的VPN;提供基本的路由能力,支持RIP/OSPF/BGP/路由策略及策略路由;支持丰富的QoS特性,提供流量监管、流量整形及多种队列调度策略;提供双机状态热备功能,支持Active/Active和Active/Backup两种工作模式,实现负载分担和业务备份。
7.2.3 入侵检测
入侵检测技术室一种主动保护自己免受攻击的网络安全技术。作为防火墙的合理补充,入侵 检测技术能够帮助系统对付网络攻击,扩展系统管理员的安全管理能力,提高信息安全基础结构大的完整性。它从计算机网络系统中的若干关键点收集信息,并分析这些信息。入侵检测被认为是防火墙之后的第2道安全门,在不影响网络性能的情况下能对网络进行检测,可以防止或减少上述威胁。
常见的入侵检测系统除了知名的ISS、Axent、NFR、Cisco、CA等公司,国内也有数家公司如中绿联盟、中科网威、启明星等推出了自己相应的产品,在选购的时候在性价比方面进行考虑。
7.2.4 网络防病毒
网络反病毒技术包括预防、检测和杀毒3种技术。
(1) 预防病毒技术。它通过自身常驻系统内存,优先获得系统的控制,监视和判断系统中是否
存在病毒存在,进而阻止计算机病毒进入计算机系统并对系统进行破坏。这类技术有加密可执行程序、引导区保护、系统监控与读写控制等。
(2) 检测病毒技术。它通过对计算机病毒的特征来进行判断的技术。
(3) 杀毒技术。通过对计算机病毒的分析,开发出具有删除病毒程序并恢复文件的软件。
网络反病毒技术的具体实现方法包括对网络服务器中的文件进行频繁的扫描和检测;在工作站上用防止病毒芯片和对网络目录及文件设置访问权限等。
病毒防治软件安全安装位置。工作站是病毒进入网站的主要途径,所以应该在工作站上安装病毒软件。邮件是防病毒软件的第2个着眼点。邮件时重要的病毒来源,在发往其目的地前,首先进入邮件服务并被存放在邮箱内,所以在这里安装病毒软件是十分有效的。备份是用来保护数据的。
7.2.5 网络数据安全
数据性安全可以分为逻辑安全和物理安全两个方面。逻辑安全主要是避免数据由于遭受病毒破坏、黑客入侵而造成的丢失、泄露以及失效,可通过系统安全保护的办法来保护数据逻辑安全。物理安全是避免人为的操作错误或不可抗拒的灾难,需要对数据进行全面、可靠、安全和多层次的备份及恢复技术。
目前主要的备份介质主要有以下几种:光盘、磁带(磁带库)、RAID等。
常用的数据存储备份/容灾技术主要包括:本地备份/容灾、异地备份/容灾。异地备份/容灾主要包括磁盘阵列、镜像、快照等。
7.3 信息安全
信息安全主要涉及信息传输的安全、信息存储的安全以及对网络传输信息内容审计3个方面。
7.3.1 数据传输安全系统
(1)数据传输加密技术。目的是对传输中的数据流加密,以防止通信线路上的窃听、泄露、篡改
和破坏,根据加密实现的通信层次可分成链路加密、结点加密和端到端加密。
(2)数据完整性鉴别技术。目的是对介入的信息的传送、存取、处理的人的身份和相关资料内容
进行验证,达到保密的要求,一般包括口令、密匙、身份、数据等项的鉴别,系统通过对比验证对象输入的特征值是否符合预先设定的参数,实现对数据的安全保护。
(3)防抵赖技术。
7.3.2 数据存储安全技术
在计算机系统中,存储的信息主要包括纯粹的数据信息和各种功能文件信息两大类。对纯粹 数据信息的安全保护,以数据库信息的保护最为典型。而对各种功能文件的保护,终端安全很重要。 包括:数据库安全、终端安全。
7.3.3 信息内容审计系统
对进出内部网络的信息进行实时内容审计,以防止或追查可能的泄密行为。因此,为了满足国家保密法的要求,在某些重要或涉密网络,应该安装使用此系统。
7.4 内网安全解决方案
对于网络安全,一般更多的关注来自外网的威胁,比如病毒、黑客,所以一般使用硬件防火墙。但是即使使用了硬件防火墙,由于外来的笔记本计算机和U盘,病毒仍然大量在局域网存在;信息泄露事件的发生频率不断增加。据统计,信息的流失80%来自企业或组织内部,而黑客攻击之占5%。内网安全受到越来越多的关注。
7.4.1 内网安全存在的问题
内网中存在大量的终端,装有重要的应用服务器,终端是创建和存放重要数据的源头,多数攻击事件都是从终端发起的。终端使用者对信息技术的掌握程度参差不齐,不易管理。服务器上有公司的机密信息,这些信息泄露将会给公司带来经济损失。
数据失窃数据。没有有效的网络访问控制,领导、财务、研发等的重要主机和服务器上数据会被窃取,甚至数据被窃也无法知道是谁干的;
据统计,40%的互联网访问与工作无关;
操作系统和杀毒软件不能及时打补丁,漏洞给病毒和攻击带来更多的机会;
杀毒软件功能是否强大,是否能够应付不断翻新的病毒、间谍、黑客攻击和垃圾邮件的各种威胁;
外来笔记本计算机、U盘,导致病毒在内网泛滥;
7.4.2 内网安全解决方案
可以采用防御-内网行为管理(青鸟网软桌面软件管理)、时候处理-杀毒软件(卡巴斯基杀毒服务)、净化内网环境(城市热点用户身份认证管理系统)的安全解决方案。
青鸟网软桌面管理软件-EasyDesk。EasyDesk桌面管理系统着重于内网的安全管理和监控,以系统网络运营管理为基础,以防内网泄密为目标,其核心功能是设备智能探测器、审计监控客户端、安全管理核心平台(包括内网管理、安全审计)协同完成。
卡巴斯基杀毒服务。卡巴斯基杀毒服务采用中央控管的Server/Client体系结构,由管理员制定防病毒策略后在全网实施。网络中心的防病毒服务器全体24小时为用户提供免费的防病毒支持。用户一旦安装客户端软件成功后,即会自动注册到网络中心的服务器上。
卡巴斯基杀毒软件客户端安装下载工具下载地址:212.121.241.104,页面提供卡巴斯基杀毒软件客户端和青鸟桌面软件客户端两种选择,其中在卡巴斯基杀毒软件客户端的下载过程中,如客户端机器为Server版的操作系统,则要下载服务器版本软件,为Professional版的,则要下载客户端软件。
城市热点用户身份认证管理系统。使用该系统具有较高的性能和可靠性,更重要的是城市热点产品提供了更适合校园的管理需求的功能,如P2P限流、防盗用IP/MAC地址,实时在线监控、 802.1x等。
8 网络运行及维护
8.1. 运行状况记录
监测网络运行情况,保证网络正常安全运行。主要包括:查看各交换机、路由器、终端设备、线路等网络设备运行情况出现问题,及时处理;查看各服务器运行日志,并做异常记录监测校园网出口数据流量及各网段、终端流量情况,发现流量异常,立即处理解决。定时检查网络运行机房温度、湿度及电源况,保证设备安全、稳定运行。
8.2. 网络故障维护
8. 2.1网络故障的现象包括网络不通、网络性能严重降低、无法访问指定的网络资源、网络时通时断、重复认证等;
8.2.2 网络不通的原因包括:设备故障、埠故障、线路故障、端口分配错误、地址绑定错误、路由错误、IP地址冲突、终端本身的故障等;性能下降的原因可能是网络异常流量、网络拥塞、设备故障、线路通信质量等;无法访问指定的网络资源可能是网络不通、域名解析问题、资源本身的问题等;
8.2.3 网络故障的来源包括:用户投诉、网管系统报警、日常网络检查、定期巡检等;
8.2.4 故障记录,建立网络故障日志数据库,对发现的各种故障现象进行详细的记录,记录内容包括:故障发生的时间、故障现象、故障位置、故障来源、故障记录人员等;
8.2.5 故障分析与定位:根据故障现象和故障位置,对故障进行分析,找出故障的原因和发生的具体位置,并记录到故障日志中;
8.2.6 故障处理:根据故障的具体情况,尽量采取备用资源尽快恢复网络通讯,对不同的故障类型,制定不同故障处理响应时间,对网络运行人员不能处理的故障(如电源、空调、线路等),应尽快以书面或邮件通知相关部门,自己保留通知存档。对故障的处理情况也应记录到故障日志中;
8.2.7 故障恢复,对于用户投诉的故障,在故障处理后应通过相应的途径给用户回馈处理结果,并对故障恢复的结果、时间记录到日志中。对于不能及时恢复的故障应通知用户,说明情况和原因;
8.2.8 故障设备报修,对确定存在故障的设备,记录详细的故障信息,以书面或邮件的形式报办公室处理,具体规定参见《网络设备管理规范》。
8.3 维护人员的培训
这包括网络管理人员、维护人员及普通用户的培训,这对于以后正确地使用网络、管理好网络非常重要。
只注重有形的网络的建设而忽略了无形的文化的建设是校园网失败的最关键的原因。这里所指"无形的文化"是指人们的观念、工作方式、利益结构、学校的管理运作模式等看不见、摸不着的东西。从某种意义上讲,校园网的建设绝不仅仅只是涉及到技术问题,而是会引起更深层次的变革,也就是说信息技术所带来的一场变革会彻底改变我们的生活方式和工作方式,对一这一点对我们应用清醒的认识。
8.4 维护人员的分配方案
在当前计算机特别是微机迅速普及的情况下,各个办公室基本都配置了计算机,利用计算机实现了信息的高速畅通,实现办公的高效性。文件的编辑打印,办公软件的普及,电子邮件的收发,学习软件的下载等在微机、网络普及下变的不在“高贵”微机时刻方便我们,我们也越来越离不开微机。
9 实验总结
本课程设计从校园网的建设思想、目标、可以选用的网络技术以及对网络设备的介绍和选择等多方面的论述,使我对校园网建设工程有了一个比较深入的了解,校园网络建设作为一项重要的系统工程,它的所用到的各种技术是多方面的,即有网络技术及管理制度等各个方面的知识。网络技术的发展是永无止境的,在前进的过程中必将有更多的知识需要我去学习与研究,并能将其应用到实际的网络工程建设之中。
由于校园网功能齐全,技术含量高,接触面广,在网络设计、规划和建设中都非常复杂,在论述中不可能面面具到,同时也由于本人的知识水平有限,文中的不足和错误在所难免,敬请各位老师多多指点和更正。
一个设计方案的好坏,特别是校园组网。与设计人员对其电脑硬件的方方面面地掌握程度息息相关。在本组网过程中,由于对网络知识的掌握有限,可以说整个的组网过程是一边摸索一边实践出来的。但令人高兴的是,通过这样一个边学习边应用的过程,本组完成了校园网的组网的工作。
参考文献
[1] 谢希仁.计算机网络. 电子工业出版社.2008
[2] 王竹林.校园网组建与管理.上海:华东理工大学出版社. 2003
[3] 顾红.网络工程的规划和设计.科学出版社.2000年
[4] 张辉.Cisco 高可用性组网技术.北京:电子工业出版社. 2002
[5] 叶丹.网络安全实用技术.北京:清华大学出版社. 2003
[6] David Hucaby、Steve McQuerry. Cisco现场手册:Catalyst交换机手册.北京:人民邮电出版社.2004
注:此表必须在同一页面。
科信学院
课程设计说明书 (2011 /2012学年 第一学期)
课程名称 : 网络工程课程设计
题 目 : 教学楼 宿舍楼 教工楼设计
专业班级 : 计算机科学与技术(1) 班
学生姓名 :
学 号: 090212114
指导教师 : 张世虎
设计周数 :设计成绩 :
2012 年 6 月 15日
前 言
21世纪是信息产业的时代,全球电子信息化潮流势不可挡,是知识经济的时代,人们所要求的信息量也越来越大,计算机被广泛应用于企业、政府部门、学校、家庭,给经济和社会带来了深刻的变革。随着信息技术和互联网的发展,信息化已经渗透到人类社会的方方面面,并逐步改变人类的工作、学习和生活方式。校园网作为现在教学技术手段,是全面实施素质教育的重要内容,是教育面向现代化、面向世界、面向未来的物质技术基础,是一流基础教育的重要标志。
校园网网络系统是一个非常庞大而复杂的系统,它不仅为现代化教学、综合信息管理和办公自动化等一系列应用提供基本操作平台,而且能够提供多种应用服务,使信息化及时准确的传送给各个系统,而校园网工程建设主要应用了网络技术中的重要分支局域网技术来建设与管理的。 建设校园网络,创建丰富多彩的校园网络文化对于转变陈旧教育思想和观念、促进教学内容、教学方法、教学结构和教学模式的改革,加快建设教育手段和管理手段的现代化有决定性作用,尤其是对深化基础教育改革,提高教育质量和效益,培养“面向现代化,面向世界,面向未来”的创新人才更具深远意义。因为21世纪既有来自高科技的挑战,又有来自生态系统,道德危机,情感危机等系列全球性重大问题的挑战。
1 设计目的
在现代校园内,学生宿舍楼和教工楼能够上网已经成为必然,而教学楼接入网络也是现代化教务发展的趋势。老师和同学们可以利用网络进行有效的工作、学习和休闲娱乐。现在有一校区约有15栋教学楼、10栋教工住宅楼、24栋学生宿舍需联入网络,综合布线信息点约为4000个(其中学生网约1700个 );整个网络采取三层结构,主干采取千兆光纤接入、汇聚采用百兆光纤接入、百兆交换到桌面;通过中国教育网(Cernet)接入Internet;教务处和图书馆需要可靠连接,需作冗余接入处理。学校已申请到全局IP段:218.197.16.0—218.197.31.255。
2.教学楼、宿舍楼和教工楼设计
2.1需求分析
随着网络的不断发展,校园应用中数据、话音、视像等多媒体传输需要的逐渐增加,校园网建设正向高速化,智能化方向发展。所以在现代校园内,学生宿舍楼和教工楼能够上网已经成为必然,而教学楼接入网络也是现代化教务发展的趋势。
2.2 用户的应用需求
2.2.1 通信需求
广域网的通信主干采用网段间使用已铺好的光纤线路,链路成和网络层采用远程路由结构,这是由于路由技术可处理多种网络协议,管理能力强,可平衡数据流量,对其作优先级处理,易于连接多种通信介质和远程网络,能形成复杂拓扑结构网络。
2.2.2 性能需求
校园网对网络系统的性能需求,可归纳如下:
(1) 先进性(2) 可靠性(3) 可扩展性(4) 安全性(5) 实用性
(6) 易维护性(7) 考性能/价格比
2.3网络管理
网络系统规模的日益扩大和网络应用水平的不断提高,一方面使得网络的维护成为网络管理的重要问题之一,例如排除网络故障困难,维护成本上升等。另一方面也是网络的性能成为人们关注的重点,一般的方案是通过增强网络的静态配置来提高性能,例如增强网络服务器的处理能力,采用高速局域网、网络交换等技术扩展网络带宽等。
2.4 防火墙
在学校计算机网络与外部网络链接处配置防火前是保证系统安全的第一步,也是系统建设时首要考虑的问题。防火墙通过监测、限制、更改通过防火墙的数据流,可以保护内部系统不受来自外部的攻击。
2.5 现有网络分析
目前在学校的各教学楼、图书馆、各党政领导部门都使用网络进行大量统计、分析和管理等工作。为了适应教学、科研和管理工作的需要,加强校内各部门之间的信息交流和共享,提高工作效率和水平,有必要建立一个全校范围内、有效、实用且快速的网络环境。
3 IP地址划分和VLAN的设置
3.1 IP地址划分
教学楼:218.197.16.0到 218.197.18.0;住宅楼:218.197.19.0到 218.197.20.0
宿舍网:218.197.21.0到 218.197.25.0;机房: 218.197.26.0到 218.197.28.0备用:218.197.29.0到218.197.31.0
3.1.1 各网的IP地址分配
3.2 VLAN端口划分及配置
4 网络设计拓扑图
5 教学楼、宿舍楼和教工楼硬件设计
5.1网络综合布线
校园网采用综合布线系统,包括以下六个子系统:
(1)工作区子系统。(2)水平布线子系统。(3)垂直干线子系统。(4)管理子系统。
(5)设备间子系统。(6)建筑群子系统。
5.2 综合布线注意事项
5.2.1放线要点
5.2.2信息端口安装要点:
5.2.3布线工程施工内容
5.3设备选择
核心主交换机:CISO WS-C4948-S
分布层主交换机:CISCO WS-C3560V2-24TS-S
分布层主交换机:CISCO WS-C2960-24TC-L
路由器:CISCO 2811
服务器 戴尔Power Edge R710
6实验设计图
7 网络安全设计
构建全程网站的访问控制体系是网络安全防范和保护的主要策略,它的主要任务是保证网络资源不被非法使用和访问。它是网络安全最重要的核心策略之一。在此次设计中为路由和交换机配置的密码如下。
1.console口密码配置
Switch>enable
Switch#configure terminal
Switch(config)#line console 0
Switch(config-line)#password 12345
Switch(config-line)#login
Switch(config-line)#exit
2. vty 密码配置
Switch>enable
Switch#configure terminal
Switch(config)#line vty 0 4
Switch(config-line)#password class
Switch(config-line)#login
Switch(config-line)#exit
安全性是指可靠性、保密性和资料一致性。校园网对安全性的要求较高,计算机系统的安全性主要包括以下几个方面。
7.1物理安全
物理安全的目的是保护计算机系统,网络服务器,打印机等硬设备实体和通信链路免受自然灾害,人为破坏和搭线攻击;验证用户的身份和使用权限,防止用户越权操作;确保计算机系统有一个良好的电磁兼容工作坏境;建立完备的安全管理制度,防止非法进入计算机控制室和各种偷窃、破坏活动的发生。物理安全一般包括如下三个方面:环境安全,设备安全以及媒体安全。
为保证网络系统的物理安全。除去在网络规划和场地、环境等要求之外,还要防止系统信息在空间的扩散。通常是在物理上采取一定的防护措施,来减少或干扰扩散出去的空间信号。正常的防护措施主要有以下几个方面。
(1)对主机房及重要信息存储、收发部门进行屏蔽处理,即建设一个具有高效屏蔽效能的屏蔽
室,用它来安装运行设备,以及防止磁鼓、磁带、高辐射等的信号外泄。为提高屏蔽室的效能,在屏蔽室与外界的各项联系、连接中均要采取相应的隔离措施和设计方式,如信号线、电话线、空调和消防控制线,以及通风波导、门的关起等。
(2)本地网、局域网传输线路传导辐射的抑制,由于电缆传输辐射的不可避免性,现均采用了
光缆的传输方式,大多数均在MODEM引出的设备上采用光电转换接口,用光缆接出屏蔽室进行传输。
(3)对终端设备辐射的防范。
7.2 网络安全
7.2.1 计算机系统安全
计算机系统安全从操作系统和应用系统的安全威胁进行分析。计算机系统安全管理主要有以下几个方面。
(1)防止未授权存取。这是计算机安全管理中最重要的问题,指的是防止未被允许使用计算机系
统的人进入系统。用户意识、良好的口令管理、登陆活动记录和报告以及用户和网络活动的周期检查时防止未授权存取的关键。
(2)防止泄密。这是防止已授权和未授权的用户相互存取重要信息,文件系统查账、登陆和报告
以及用户意识。加密是防止信息的关键。
(3)防止用户拒绝系统的管理。这方面的安全应由操作系统来完成。一个系统部应该被一个有意
试图使用过多的资源的用户损害。系统管理员最好定期的检查系统,查出过多占用CPU的进程和大量占用磁盘的文件及其它使用用户,并对它们进行管理。
(4)防止丢失系统的完整性和正确性。包括功能的完整和数据的完整性。做好更新记录、定期备
份等措施是必不可少的。
7.2.2 防火墙
防火墙(Firewall)是通过在网络边界上建立相应的网络通信监控系统来隔离内部和外部网络,以阻挡外部网络的入侵,保护计算机网络安全。
防火墙的选择为华为Quidway SecPath 500F防火墙,支持外部攻击防范、内网安全、流量监控、网页过滤、邮件过滤、应用层过滤等功能,能够有效地保证网络的安全;采用ASPF状态检测技术,可对连接状态过程和异常命令进行检测;提供多种智能分析和管理手段,支持邮件告警,支持多种日志,提供网络管理监控,协助网络管理员完成网络的安全管理;支持AAA、NAT等技术,可以确保在开放的Internet上实现安全的、满足可靠质量要求的网络;支持多种VPN业务,如L2TP
VPN、GRE VPN、IPSec VPN、SSL VPN和华为动态VPN等,可以构建Internet、Intranet、Remote Access等多种形式的VPN;提供基本的路由能力,支持RIP/OSPF/BGP/路由策略及策略路由;支持丰富的QoS特性,提供流量监管、流量整形及多种队列调度策略;提供双机状态热备功能,支持Active/Active和Active/Backup两种工作模式,实现负载分担和业务备份。
7.2.3 入侵检测
入侵检测技术室一种主动保护自己免受攻击的网络安全技术。作为防火墙的合理补充,入侵 检测技术能够帮助系统对付网络攻击,扩展系统管理员的安全管理能力,提高信息安全基础结构大的完整性。它从计算机网络系统中的若干关键点收集信息,并分析这些信息。入侵检测被认为是防火墙之后的第2道安全门,在不影响网络性能的情况下能对网络进行检测,可以防止或减少上述威胁。
常见的入侵检测系统除了知名的ISS、Axent、NFR、Cisco、CA等公司,国内也有数家公司如中绿联盟、中科网威、启明星等推出了自己相应的产品,在选购的时候在性价比方面进行考虑。
7.2.4 网络防病毒
网络反病毒技术包括预防、检测和杀毒3种技术。
(1) 预防病毒技术。它通过自身常驻系统内存,优先获得系统的控制,监视和判断系统中是否
存在病毒存在,进而阻止计算机病毒进入计算机系统并对系统进行破坏。这类技术有加密可执行程序、引导区保护、系统监控与读写控制等。
(2) 检测病毒技术。它通过对计算机病毒的特征来进行判断的技术。
(3) 杀毒技术。通过对计算机病毒的分析,开发出具有删除病毒程序并恢复文件的软件。
网络反病毒技术的具体实现方法包括对网络服务器中的文件进行频繁的扫描和检测;在工作站上用防止病毒芯片和对网络目录及文件设置访问权限等。
病毒防治软件安全安装位置。工作站是病毒进入网站的主要途径,所以应该在工作站上安装病毒软件。邮件是防病毒软件的第2个着眼点。邮件时重要的病毒来源,在发往其目的地前,首先进入邮件服务并被存放在邮箱内,所以在这里安装病毒软件是十分有效的。备份是用来保护数据的。
7.2.5 网络数据安全
数据性安全可以分为逻辑安全和物理安全两个方面。逻辑安全主要是避免数据由于遭受病毒破坏、黑客入侵而造成的丢失、泄露以及失效,可通过系统安全保护的办法来保护数据逻辑安全。物理安全是避免人为的操作错误或不可抗拒的灾难,需要对数据进行全面、可靠、安全和多层次的备份及恢复技术。
目前主要的备份介质主要有以下几种:光盘、磁带(磁带库)、RAID等。
常用的数据存储备份/容灾技术主要包括:本地备份/容灾、异地备份/容灾。异地备份/容灾主要包括磁盘阵列、镜像、快照等。
7.3 信息安全
信息安全主要涉及信息传输的安全、信息存储的安全以及对网络传输信息内容审计3个方面。
7.3.1 数据传输安全系统
(1)数据传输加密技术。目的是对传输中的数据流加密,以防止通信线路上的窃听、泄露、篡改
和破坏,根据加密实现的通信层次可分成链路加密、结点加密和端到端加密。
(2)数据完整性鉴别技术。目的是对介入的信息的传送、存取、处理的人的身份和相关资料内容
进行验证,达到保密的要求,一般包括口令、密匙、身份、数据等项的鉴别,系统通过对比验证对象输入的特征值是否符合预先设定的参数,实现对数据的安全保护。
(3)防抵赖技术。
7.3.2 数据存储安全技术
在计算机系统中,存储的信息主要包括纯粹的数据信息和各种功能文件信息两大类。对纯粹 数据信息的安全保护,以数据库信息的保护最为典型。而对各种功能文件的保护,终端安全很重要。 包括:数据库安全、终端安全。
7.3.3 信息内容审计系统
对进出内部网络的信息进行实时内容审计,以防止或追查可能的泄密行为。因此,为了满足国家保密法的要求,在某些重要或涉密网络,应该安装使用此系统。
7.4 内网安全解决方案
对于网络安全,一般更多的关注来自外网的威胁,比如病毒、黑客,所以一般使用硬件防火墙。但是即使使用了硬件防火墙,由于外来的笔记本计算机和U盘,病毒仍然大量在局域网存在;信息泄露事件的发生频率不断增加。据统计,信息的流失80%来自企业或组织内部,而黑客攻击之占5%。内网安全受到越来越多的关注。
7.4.1 内网安全存在的问题
内网中存在大量的终端,装有重要的应用服务器,终端是创建和存放重要数据的源头,多数攻击事件都是从终端发起的。终端使用者对信息技术的掌握程度参差不齐,不易管理。服务器上有公司的机密信息,这些信息泄露将会给公司带来经济损失。
数据失窃数据。没有有效的网络访问控制,领导、财务、研发等的重要主机和服务器上数据会被窃取,甚至数据被窃也无法知道是谁干的;
据统计,40%的互联网访问与工作无关;
操作系统和杀毒软件不能及时打补丁,漏洞给病毒和攻击带来更多的机会;
杀毒软件功能是否强大,是否能够应付不断翻新的病毒、间谍、黑客攻击和垃圾邮件的各种威胁;
外来笔记本计算机、U盘,导致病毒在内网泛滥;
7.4.2 内网安全解决方案
可以采用防御-内网行为管理(青鸟网软桌面软件管理)、时候处理-杀毒软件(卡巴斯基杀毒服务)、净化内网环境(城市热点用户身份认证管理系统)的安全解决方案。
青鸟网软桌面管理软件-EasyDesk。EasyDesk桌面管理系统着重于内网的安全管理和监控,以系统网络运营管理为基础,以防内网泄密为目标,其核心功能是设备智能探测器、审计监控客户端、安全管理核心平台(包括内网管理、安全审计)协同完成。
卡巴斯基杀毒服务。卡巴斯基杀毒服务采用中央控管的Server/Client体系结构,由管理员制定防病毒策略后在全网实施。网络中心的防病毒服务器全体24小时为用户提供免费的防病毒支持。用户一旦安装客户端软件成功后,即会自动注册到网络中心的服务器上。
卡巴斯基杀毒软件客户端安装下载工具下载地址:212.121.241.104,页面提供卡巴斯基杀毒软件客户端和青鸟桌面软件客户端两种选择,其中在卡巴斯基杀毒软件客户端的下载过程中,如客户端机器为Server版的操作系统,则要下载服务器版本软件,为Professional版的,则要下载客户端软件。
城市热点用户身份认证管理系统。使用该系统具有较高的性能和可靠性,更重要的是城市热点产品提供了更适合校园的管理需求的功能,如P2P限流、防盗用IP/MAC地址,实时在线监控、 802.1x等。
8 网络运行及维护
8.1. 运行状况记录
监测网络运行情况,保证网络正常安全运行。主要包括:查看各交换机、路由器、终端设备、线路等网络设备运行情况出现问题,及时处理;查看各服务器运行日志,并做异常记录监测校园网出口数据流量及各网段、终端流量情况,发现流量异常,立即处理解决。定时检查网络运行机房温度、湿度及电源况,保证设备安全、稳定运行。
8.2. 网络故障维护
8. 2.1网络故障的现象包括网络不通、网络性能严重降低、无法访问指定的网络资源、网络时通时断、重复认证等;
8.2.2 网络不通的原因包括:设备故障、埠故障、线路故障、端口分配错误、地址绑定错误、路由错误、IP地址冲突、终端本身的故障等;性能下降的原因可能是网络异常流量、网络拥塞、设备故障、线路通信质量等;无法访问指定的网络资源可能是网络不通、域名解析问题、资源本身的问题等;
8.2.3 网络故障的来源包括:用户投诉、网管系统报警、日常网络检查、定期巡检等;
8.2.4 故障记录,建立网络故障日志数据库,对发现的各种故障现象进行详细的记录,记录内容包括:故障发生的时间、故障现象、故障位置、故障来源、故障记录人员等;
8.2.5 故障分析与定位:根据故障现象和故障位置,对故障进行分析,找出故障的原因和发生的具体位置,并记录到故障日志中;
8.2.6 故障处理:根据故障的具体情况,尽量采取备用资源尽快恢复网络通讯,对不同的故障类型,制定不同故障处理响应时间,对网络运行人员不能处理的故障(如电源、空调、线路等),应尽快以书面或邮件通知相关部门,自己保留通知存档。对故障的处理情况也应记录到故障日志中;
8.2.7 故障恢复,对于用户投诉的故障,在故障处理后应通过相应的途径给用户回馈处理结果,并对故障恢复的结果、时间记录到日志中。对于不能及时恢复的故障应通知用户,说明情况和原因;
8.2.8 故障设备报修,对确定存在故障的设备,记录详细的故障信息,以书面或邮件的形式报办公室处理,具体规定参见《网络设备管理规范》。
8.3 维护人员的培训
这包括网络管理人员、维护人员及普通用户的培训,这对于以后正确地使用网络、管理好网络非常重要。
只注重有形的网络的建设而忽略了无形的文化的建设是校园网失败的最关键的原因。这里所指"无形的文化"是指人们的观念、工作方式、利益结构、学校的管理运作模式等看不见、摸不着的东西。从某种意义上讲,校园网的建设绝不仅仅只是涉及到技术问题,而是会引起更深层次的变革,也就是说信息技术所带来的一场变革会彻底改变我们的生活方式和工作方式,对一这一点对我们应用清醒的认识。
8.4 维护人员的分配方案
在当前计算机特别是微机迅速普及的情况下,各个办公室基本都配置了计算机,利用计算机实现了信息的高速畅通,实现办公的高效性。文件的编辑打印,办公软件的普及,电子邮件的收发,学习软件的下载等在微机、网络普及下变的不在“高贵”微机时刻方便我们,我们也越来越离不开微机。
9 实验总结
本课程设计从校园网的建设思想、目标、可以选用的网络技术以及对网络设备的介绍和选择等多方面的论述,使我对校园网建设工程有了一个比较深入的了解,校园网络建设作为一项重要的系统工程,它的所用到的各种技术是多方面的,即有网络技术及管理制度等各个方面的知识。网络技术的发展是永无止境的,在前进的过程中必将有更多的知识需要我去学习与研究,并能将其应用到实际的网络工程建设之中。
由于校园网功能齐全,技术含量高,接触面广,在网络设计、规划和建设中都非常复杂,在论述中不可能面面具到,同时也由于本人的知识水平有限,文中的不足和错误在所难免,敬请各位老师多多指点和更正。
一个设计方案的好坏,特别是校园组网。与设计人员对其电脑硬件的方方面面地掌握程度息息相关。在本组网过程中,由于对网络知识的掌握有限,可以说整个的组网过程是一边摸索一边实践出来的。但令人高兴的是,通过这样一个边学习边应用的过程,本组完成了校园网的组网的工作。
参考文献
[1] 谢希仁.计算机网络. 电子工业出版社.2008
[2] 王竹林.校园网组建与管理.上海:华东理工大学出版社. 2003
[3] 顾红.网络工程的规划和设计.科学出版社.2000年
[4] 张辉.Cisco 高可用性组网技术.北京:电子工业出版社. 2002
[5] 叶丹.网络安全实用技术.北京:清华大学出版社. 2003
[6] David Hucaby、Steve McQuerry. Cisco现场手册:Catalyst交换机手册.北京:人民邮电出版社.2004
注:此表必须在同一页面。