《局域网规划与设计毕业设计.doc》由会员分享,可在线阅读,更多相关《局域网规划与设计毕业设计.doc(21页珍藏版)》请在三一办公上搜索。
1、目录摘要3第一章 规划设计概述411 规划设计的意义412 规划设计的任务513 规划设计的基本原则6131 目标原则6132 建设原则7第二章 局域网的特点821 共享传输信道822 范围有限923 传输速率高924 工作可靠9第三章 需求分析1031 总体目标1032 具体目标1033任务分析11第四章 系统集成方案的规划设计1241 主干线类型千兆以太网1242拓扑结构1343网络核心层的设计1344 分布层交换机的设计1545 分布层交换机的设计1746服务器群架构1847广域连接方案18471 Cisco 3660的特性19472 Cisco 3660路由器的功能21第五章 网络安全
2、2251 Cisco PIX防火墙2252安全方案24结束语25参考文献26致 谢27摘要随着现代网络技术的飞速发展,局域网越来越普及,当前的学习、工作和通信方式已经完全实现了网络化。本文首先分析王宫环境对局域网的需求和要求;然后对网络设计方案进行总数,提出设计秒表阐述设计原理;而后对方案进行系统星的分析、规划、选型和论证;最后做了设计总结。关键词:局域网,需求分析,网络规划,方案设计第一章 规划设计概述11 规划设计的意义1. 保证网络系统集成具有完善的功能、叫高的可靠性和安全性,为了一个高质量、高水平的网络系统奠定重要的基础。2. 保证网络系统集成能解决所有解决的问题,而且可使网络系统发挥
3、出更大的潜力,能扩大新的应用范围。3. 保证网络系统集成具有先进的技术支持,并具有足够的扩充能力和灵活的升级能力,使其先进性能保持最长的周期。4. 规划设计是保质保量按时完成系统集成建设的直接保证,也是杜绝浪费、减少失误的第一道屏障。如果网络系统集成的规划设计有缺陷,那将使建立多年的网络迟迟不能正常运作,或发挥不出应有的作用,给国家和单位造成极大的损失,无论是规划设计者,还是网络系统集成建设的决策者,都必须对此给予十分的重视。12 规划设计的任务系统集成的规划是在需求分析的基础上进行技术性论证,把用户提出的问题和要求,用网络方面的术语描述出来,经过技术方面的分析,提出一整套网络系统集成的设想和
4、方案。在这个方案中应包括以下几个方面的内容:对需求分析的技术性论证;系统的先进性、实用性、可靠性等的设想;系统的总体规划;系统难点、关键性问题的估计;经费预算;系统规划的技术文档。要对建立一个什么形式、多大规模、具备哪些功能的系统做出全面科学的论证,并对网络系统集成所需的人力、财力和物力投入等做出一个总体的设计。要完成一个网络系统集成的规划,一般经历以下几个过程:1. 问题的提出与技术化分析;2. 充分调研,做好三个考察;3. 把总体设想具体化;4. 估算网络的负荷和容量;5. 经费概算;6. 编写规划技术文档;7. 方案设计。系统继承的设计是对规划的进一步分析和论证,把规划的总体框架加以充实
5、和具体化。在网络系统集成的生命周期中,设计阶段是最费时的阶段之一。在该阶段主要完成结构和组成设计,如应说明网络系统集成是如何组织、工作的,包括哪些模块、哪些用户接口,用户界面等。网络系统集成的规划和设计并没有明确的任务界限,两者相辅相成,缺一不可,很多情况下规划和设计合二为一。网络系统集成方案的规划设计是网络系统集成工程实施成功的基础和前提。13 规划设计的基本原则网络系统集成的规划和设计是一项非常复杂的技术性活动,为了使整个系统的建设更合理、更经济及性能更良好,规划设计者应遵循目标原则,建设原则,先进性、可靠性、安全性、开放性和实用性相结合的原则,以及功能完善、整体最优性原则。131 目标原
6、则对一项工程来说,按用户的需求,往往是分阶段进行的,有近期目标和远期目标,因此必须非常明确各个阶段的建设目标是什么,网络系统集成的建设到怎样的规模,满足用户怎样的需求。最终目标可能很不具体,但不论怎样,有几个关键目标必须确定:1. 协议集:是TCP/IP,还是选用别的。2. 体系结构:是Intranet,还是非Intranet结构。3. 计算模式:是传统客户用服务器计算模式,还是B/S计算模式,或者两者混合的计算模式4. 网络上最多站点数目(包括远程拨号站点)和网络的最大覆盖范围。5. 网络上必要的应用服务和预期的应用服务。6. 根据应用服务的需求,对整个系统的数据量、数据流量及数据流向有个估
7、计。从而可以大至确定网络的规模及其上的主干设备(包括主干交换器和主干服务器)的规模和选型,还包括确定最终建设目标所使用的主要系统软件(例如网络操作系统及数据库管理系统)。对于近期建设目标,一般比较具体,容易实现,但必须注意以下几点:1. 近期建设目标所确定的网络方案必须有利于升级和扩展到最终建设目标。2. 在升级和扩展到最终建设目标的过程中,尽可能保护近期建设目标的投资。132 建设原则网络系统集成的建设原则主要有如下几点:1. 以用户的应用服务需求为依据。2. 采用成熟的先进技术,兼顾未来发展趋势。一般应采用如下的主要技术路线:1) 必须考虑个中约束条件,主要是性能需求和当前技术水平,兼顾现
8、实性和技术领先性:2) 要保证整个系统具有足够的带宽、网络节点具有足够的通信处理能力,以确保网络用户的响应时间:3) 统一技术规范和标准,统一设备选型:4) 基于TCP/IP协议集的Intranet体系结构保证了系统的开放性:5) 系统具有足够的服务质量保证。3. 保护原有投资,尽可能使用已有的设备。4. 统筹规划,滚动发展。5. 严格遵循国际标准和国家标准。6. 采取必要的安全措施,确保系统和信息的安全性。7. 系统是可管理的和可维护的。整个系统应具有良好的可维护性。不仅要保证整个网络系统集成规划设计的合理性,还应配制相关的检测设备和管理设施。8. 重视售前及售后的培训和维护工作。9.第二章
9、 局域网的特点从功能上讲,局域网有以下特点: 21 共享传输信道 在局域网中,各系统设备连接到共享的通信设备中。 22 范围有限 小的为一个房间或数个房间,如学生宿舍中搭建的局域网,大的也不过在几千米或十几千米范围内,如学校或公司的局域网。 23 传输速率高 电话数字线路最大传输速率仅为56Kbps,局域网采用的是基带传输,传输速率从最初的10Mbps,经过100Mbps,到目前的1000Mbps,速率为万兆的局域网技术也已经问世。24 工作可靠误码率低。局域网多采用分布式控制和广播通信方式,通信误码率可低于 甚至 。从网络体系结构和传输控制规程来看,计算机局域网的特点是: 底层协议简单,由于
10、局域网距离短、时延小、传输速率高、误码率低,相对而言信道的利用率不再是考虑的主要问题,因而底层协议比较简单,允许报文有较大的报头尺寸。 小型的计算机局域网不需要中间转接,不单独设置网络层,但是如果局域网通过交换机、路由器等连接起来,并需要提供各种服务,则需要网络层,一般局域网的体系结构相当于OSI模型中的最低两层。 采用多种访问控制方式。由于可以采用的传输介质多样化,局域网有多种媒体访问控制方式,包括载波监听多路访问/冲突检测技术、令牌环控制技术、令牌总线控制技术、光纤分布式数据接口技术等。第三章 需求分析31 总体目标从网络中心开始,对内用多模光纤连接楼内个房间,并与各个房间局域网互联;对外
11、与Internet互联,形成一个高速、高性能、开放的局域网系统,为全体员工提供一个先进、快捷、方便的信息交流、资源共享、科学计算和科研合作的基础环境,促进公司科研和行政管理工作的全方面提高与发展。32 具体目标1. 主要采用主干子网用户的三级结构,首先建成连接楼内1层、2层、3层的主干网。2. 主干网采用具有第三层交换功能的千兆位以太网技术和GEC技术相结合的方式与二级子网互联。3. 采用以TCP/IP协议为主,兼顾其他标准的网络体系结构。4. 可同时传输数据、声音、图像、图形及视频信息。5. 提供广泛的资源共享和综合的网络服务。6. 开发符合该单位实际需求、具有该单位特色的网络应用系统。33
12、任务分析某单位要建立符合本单位办公需要的局域网,因此需要建设高性能的局域网,实现数据管理、电子邮件、多媒体通信、数据库管理信息系统及实现内部局域网的互联,并且和Internet互联。其局域网应是一个以宽带IP网为目标,建立数据、语音、视频三网合一的一体化网络。为提高网络可靠性及安全性,需要在主干网采用光纤布线。局域网应实现虚拟局域网(VLAN)的功能,以确保全网的良好性能及网络安全性。主干网交换机应具有很高的包交换速度,整个网络应具有三层交换功能。主干网络应该采用成熟的、可靠的千兆位以太网技术作为网络的主干。局域网应选用先进的网管软件,建立完善的网络管理体系。在设备方面,应该选择有成功案例的网
13、络厂商的设备,同时为Internet、拨号用户和移动用户提供接口,网络应具有良好的扩展性。根据实际需求及用户的投资承受力,对楼内网络系统的需求分析如下:1. 主干线采用具有第三层交换功能的千兆以太网(Gigabit Ethernet)以满足网上多媒体和远程教育应用的展开及广大用户的各种要求。真正做到高效的信息交换、资源的共享,为各部门、各级领导提供准确、可靠、快捷的各种生产数据和信息,充分发挥各部门现有计算机设备的功能2. 主干设备应能满足300个用户接入访问的要求。3. 应能支持IP多播(Multicast)与服务质量(QoS)或服务类型(CoS),满足远程播放的需求。4. 支持虚拟网络(V
14、LAN)。5. 网管软件应具备对接入层交换设备进行远程可操作的能力(如在网络中心对接入交换机进行针对端口IP过滤条件的远程设置)。6. 网络设备选型:网络设备全部采用Cisco系列产品。7.第四章 系统集成方案的规划设计41 主干线类型千兆以太网从目前的情况来看,网络主要的性能受到交换机包交换能力的影响。如果选用ATM方案,则需要采用局域网仿真(ELAN),这样就会造成ATM的端到端控制的优势和QoS的优势仅仅体现在主干上,终端的QoS并没有真正实现,而且价格上面也不占优势:如果全部换成ATM到桌面的纯ATM方案,ATM的优势能够体现出来,但是费用又高得难以接受。而千兆以太网具有性能可靠、符合
15、国家标准、可支持设备多、易扩充等特点,因此采用千兆以太网作为光纤主干是性价比最高的选择。千兆以太网继承了传统以太网的特点,并极大地拓宽了带宽,保持了良好的兼容性,作到了以往的10Mbit/s/100Mbit/s以太网应用程序能无缝运行在千兆位网上。千兆以太网增加了对QoS支持,以高带宽和流量控制双管齐下的策略来满足应用的需要。随着标准的通过,网络设备的价格也大幅度下降,对于选择千兆以太网又增添了一个有利条件。选用千兆以太网,既能满足视频、多媒体应用的需求,又能兼顾以往的投资,并且有一定的前瞻性,能在一定的时间内保持网络技术的先进性。最后公司决定千兆以太网为主干、百兆交换到桌面的网络结构。42拓
16、扑结构整个网络的拓扑结构为树状分层拓扑结构,分为三级。1. 第一级是网络的千兆主干网络,属核心层。主干千兆位交换机的任务是将各个子网分布路由的信息简洁快速地交换到目的地址,起到信息快速通道的作用。网络主干上连接着对带宽和可靠性有很高要求的设备,如服务器群、交换机、路由器等,放置在公司1楼的网管中心。2. 第二级是防止在单位各层的分布层交换机,它通过多模光纤上联到核心计算机,通过超5类双绞线向下级联到三级交换机。一般地,一个楼层组成一个单独的子网。3. 第三级交换机直接连接拥护的计算机,属接入层。按照这个样的层次划分有以下特点:结构清晰,易于设计和管理,大大提高了网络的扩充能力;网络结构和实际应
17、用的组织结构相一致,便于安全管理,减轻网络的数据流量;根据不同层次和实际经济承受能力,选择相应的网络设备和硬件设备,使投资更合理。总之,采用层次化的网络设计,其优点是便于网络管理,优化网络性能,增强网络的扩展性。43网络核心层的设计网络核心层是网络的中心,其功能是实现高性能的交换和传输。因此核心层设备应该是高性能的交换机,可实现高速度的交换传输,以连接服务器等核心设备;并且非常可靠,实现不简断工作。考虑网络应用的复杂性和多样性,需要提供最佳的性能、可管理性和灵活性及无与伦比的投资保护,因此,网络主干采用一台Cisco Catalyst 6509路由交换机作为核心交换机来连接各级交换机。Cisc
18、o Catalyst 6509交换机为网络提供了一组高性能、多层交换的解决方案,专为需要千兆扩展、高度适用、多层交换的主从分布而服务器集中的应用环境设计。结合Cisco IOS广阔服务功能,Catalyst 6509具备强大的网络管理性,用户机动性,安全性,高度应用性和对多媒体的支持。其产品特性如下:1. 多层交换功能卡(MSFC)。可实现以线速进行IP(RIP、RIP2、OSPF、EIGRP、PIM、HSRP),IPX和IP-Multicast路由,同时支持AppleTalk,DecNet,Vines和Ccahe Engine。2. 完备的IOS功能(ACL、TACACS+、QoS-WRR)
19、。3. 支持多达8个物理的快速/千兆以太网口。利用以太网通道技术(FEC或GEC)连接,在逻辑上可实现达到16Gbit/s端口连接,同时可以跨模块端口聚合实现高效能连接。4. 通过FlexWAN(WAN扩展)模块可提供与7200/7500系列相同的WAN接口。5. 全面提供业界领先的基于Cisco互联网操作系统(IOS)的各项网络特性:可靠的网络安全性管理,增强的服务质量(QoS)管理,提供增值的网络弹性管理,为网管软件Cisco Work2000和Cisco Resource Essentials提供接口管理框架。6. 支持多层次的网络弹性和服务功能,设备级的故障容错性能,包括冗余超级引擎、
20、冗余负载共享的电源(AC&DC)、冗余负载共享的风扇、冗余的系统时钟、冗余上连、冗余交换背板等选项。7. 策略功能卡(PFC)能够以线速实现IOS的流量控制功能,并可对不同三层交换路径实现负载均衡。8. 通过Console/Auxiliary端口在本地或远程对交换机进行连接设置。Cisco Catalyst 6509的特性描述见表:插槽数9可配制模块数8背板带宽(Gbit/s)可扩展到256三层交换速度(Mpps)可扩展到150最大100Mbit/s端口密度384最大1000Mbit/s端口密度130热插拔电源数2MAC地址数32000VLAN数10248021Q支持是ISL支持是44 分布层
21、交换机的设计分布层交换机既各个楼层的主交换机,他通过1000Mbit/s光纤与千兆以太网主干连接,形成网络的高速骨干。分布层高速交换机具有第三层交换能力,采用分布式路由交换体系,楼层间主干线路压力较小。楼层间主干线路均采用千兆位连接,各个楼层通过各自的一台Cisco Catalyst 4908G-L3或者Cisco Catalyst 4006交换机组成自己的子网,可以根据各自的安全管理需要和信息需要通过分布层交换机内置的三层交换技术,将子网内外的信息安全有效地进行过滤交换,互联到千兆位交换机,完成分布式路由。Cisco Catalyst 4006和4908G-L3交换机为数据中心提供高性能、中
22、等密度的、10/100/1000Mbit/s以太网模块交换平台。Catalyst 4006系统为经济有效的模块化6插槽机箱,其功能高阔可伸缩的交换、多达240个端口的10/100Mbit/s密度、多协议第三层IP、IPX和IP多点传送交换。Catalyst 4908G-L3交换机,在一个固定配置产品包中提供园区主干网所需的高性能第三层。其功能包括:带有千兆位接口转换器(GBIC)支持的1000BASEX千兆位以太网的8个端口。服务质量(QoS)带有WRR(加权循环)调度的多个队列,12Mpps第三层交换以及IP、IPX和IP Multicast的路由。其产品特性如下:1. 使用业界领先的550
23、0/5000系列的软件代码库。2. 完备的IOS功能(ACL、TACACS+、QoS-WRR)3. 第三层交换功能包括IP路由(RIP、RIP2、OSPF、EIGRP、PIM、HSRP)、IPX路由、IP Multicast路由。4. 4006的引擎上带有2个1000Mbit/s上联GBIC插槽。5. 使用快速以太网通道(FEC)及千兆以太网通道(GBC)技术为网络提供更高的主干带宽(800Mbit/s或8000Mbit/s)。6. 4006只有在WS-X4232-L3模块上支持三层交换和LSL。7. 4908G-L3的每一个端口均支持三层交换。Cisco Catalyst 4006和4908
24、G-L3的特性描述见表:特性Cisco Catalyst 4006Cisco Catalyst 4908G-L3机箱、电源及引擎Catalyst 4006 S-2交换机,6个扩展插槽(其中1个已用于Supervisor),2个GBIC上联模块插槽,双电源Catalyst 4908G-L3交换机,8个1000BASEX(GBIC)插槽,支持IP,IP multicast及bridging协议固定端口数2(在引擎上)8最大10/100Mbit/s端口密度240-最大1000Mbit/s端口密度928三层交换端口数模块8三层交换速度(Mpps)1812插槽数6-可配置模块数5-背板带宽60Gbit/
25、s22Gbit/s热插拔电源数3-VLAN数102410248021Q支持是是ISL支持L3模块是考虑到分布层交换机作为整个网络的枢纽,承担了楼层之间网络的全部通信业务量,负责整个网络的日常维护、配置和管理,它是否安全可靠关系到整个网络的可靠性和可用性。分布层交换机配制了容错而又负载均衡的双电源,备份三层交换模块和时钟控制模块。分布层交换机同Cisco接入层交换机配合使用,网络管理者能构造无缝的100Mbps以太交换网络系统,为整个网络系统提供统一的网络服务。这样的网络系统结构简单,同时融合了可伸缩的网络速率、性能、网络规模和基于策略的QoS服务,提供策划VLAN(虚拟局域网)的功能,使网络管
26、理员可以根据需要将用户划分为几个不同的组。这样既便于管理,又可以提高安全性。被划分的同一组的用户可以在VLAN组内部共享网络资源,并保证各组之间访问的独立性。分布层交换机最大支持1024个基于端口或802.1Q标记的VLAN。45 分布层交换机的设计每4办公室配置1个24口10/100BASE-TX自适应桌面交换机,型号为Cisco Catalyst系列的C2924-XL。实现用户信息点100Mbit/s到桌面的接入。交换技术避免了使用集线器时多个用户共享造成的冲突和拥塞,大大提升了网络的性能。C2924-XL是一种10/100Mbit/s自适应快速以太网交换机,提供卓越的性能、简化的操作以及
27、最大的应用灵活性。其产品特性如下:1. 最多达32个10/100Mbit/s端口,使网络速度大规模提高,解决网络拥塞。2. 背板速度高达3.2Gbit/s,所有端口均支持全双工通讯,高达200Mbit/s的端口网络速度,使桌面接入的速度大大提高,使网络性能更加出色。3. 10/100Mbit/s自适应端口,使用户原有10Mbit/s网络轻松接入,同时可以利用千兆上联模块平滑过渡到千兆主干,既简化网络设计,又可保护投资,降低成本。4. UTP、光纤两种网络连接方式,便于与主干网络连接。5. 16K MAC地址支持,满足大型网络建设要求。6. 灵活的VLAN设置,多达1024个VLAN的划分,以及
28、对ISL Trunking、动态ISL、VLAN Trunk Protocol支持,满足拥护队网络安全性的要求。7. 支持Fast EtherChannel。C2924-XL作为用户级交换机,使组网简单灵活,性能卓越,既提升了校园网的性能,又证明了充分的端口利用率,是通信量及网络用户数不断增加的局域网的最佳选择。46服务器群架构服务器全部选用SUN公司的Enterprise Server 450、Ultra10,运行UNIX网络操作系统。其中主服务器上运行内网的WWW、FTP、DNS和BBS服务;另外还配备了电子邮件和数据库服务器、代理服务器、电子邮件及WWW服务器。所有服务器都带有RAID卡
29、和可插拔硬盘,极大提高了系统的冗余和可靠性,并且配备磁带机进行数据备份。WWW服务器根据情况在中心采用了Netscape的Enterprise Server 2.0(for Solaris)。Enterprise Server是一个功能较强的WWW服务器软件,可以在网络整体安全策略的要求下进行相应的管理和控制。考虑到一些特殊应用如为软的ASP只能在为软的系列WWW服务器运行,同时由于微软产品的流行性,在各个楼层采用了为软的IIS系列作为WWW服务器,以便与WWW应用的开发和推广。为了充分发挥主服务器群的作用,所有服务器和网管工作站采用高速线路与千兆核心交换机相连,从而保证了服务器具有足够的带宽
30、为网络上的用户提供良好的服务性能。47广域连接方案局域网系统采用Cisco 3660路由器经过Cisco PIX515E防火墙通过DDN专线上联广域网,实现内网到Internet的高速接入。Cisco 3660是一个适合大中型企业和Internet服务供应商的模块化、多功能访问平台,拥有70多个模块化接口选项,提高语音/数据集成、虚拟专网(VPN)、拨号访问和多协议数据路由解决方案。适合于超高速密度广域网和拨号连接、高密度局域网连接、数据上的中度语音及中密度ATM等方面的连接。本方案中选用Cisco 3662-AC-CO路由器机箱,为ACW/Telco SW结构的双10/100E Cisco
31、3660的6插槽模块化路由器。471 Cisco 3660的特性Cisco 3660系列是世界第一个真正的多功能应用支持平台,在单独一个服务器上广泛支持分支机构/企业拨号访问应用,LAN到LAN或者路由选择应用及多服务应用。它提供前所未有的模块化选项,可使用多种不同的网络模块,它还具有强大的灵活性,可针对客户的不同应用环境,提供各种配置选项,而且最重要的是,它具有支持所有这些应用的优质的运行性能。Csico 3660通过利用Cisco的语音/传真网络模块,允许客户在单个网络上合并语音、传真和数据流量;还提供多协议拨号连接。Cisco IOS软件包含许多可提供安全性、可靠性及WAN优化的功能,在
32、任何应用环境中,都可以使用Cisco IOS功能来控制不断上升的WAN费用。高性能的模块化体系结构保护了客户的网络技术投资,并将多个设备的功能集成到一个可管理的解决方案之中,其关键特性如下:1. 在一个平台中结合了拨号访问、先进的局域网到局域网路由服务、ATM连接,以及语音、视频和数据的多种业务集成;2. 模块化、可伸缩的设计提供性能、可伸缩性、灵活性和投资保护;3. 高密度ISDN PRI功能;4. 预配置的BRI和PRI雕制解调器捆绑;5. 支持Modem-over-BRI功能性;6. 集成了Cisco IOS软件(产品定价中包括IP IOS软件);7. 完全支持VPN;8. Cisco
33、IOS防火墙特性集提供防止网络入侵的安全保护。Cisco 3660的具体特性如下表所示。固定端口10/100以太网网络模块插槽6先进的集成模块(AIM)2LAN/Combo模块1端口10BASE-T模块、4端口10BASE-T模块、1端口10BASE-T,2个WIC插槽、2端口10BASE-T,2个WIC插槽、1端口10BASE-T,1端口令牌环网,2个WIC插槽、1端口10/100BASE-TX模块、1端口10/100BASE-FX模块、NM-IFEIR2W、NM-2W、NM-1/2FE2W、1端口10/100TX,1端口信道化T1/ISDN-PRI、1端口10/100TX,2端口信道化T1
34、/ISDN-PRI、1端口10/100TX,2端口信道化T1/ISDN-PRI、1端口10/100TX,1端口信道化T1/ISDN-PRIw/CSU、1端口10/100TX,2端口信道化T1/ISDN-PRIw/CSU、1端口10/100TX,1端口信道化E1/PRI,不平衡、1端口10/100TX,2端口信道化E1/PRI,不平衡、1端口10/100TX,1端口信道化E1/PRI,平衡、1端口10/100TX,2端口信道化E1/PRI,平衡广域网模块4和8端口BRI(S/T)、4和8端口BRI(U)w/NT1、4端口串行、4和8端口异步/同步串行、16和32端口异步、1个端口HSSI压缩、T
35、1/ISDN=PRI、1和2端口通信化、T1/ISDN-PRIw/CSU、NM-ICEI B/U、NM-2CEI B/U语音/传真模块1或2插槽语音/传真、1端口T1 24通道语音/传真、1端口T1 24增强型通道语音/传真、2端口T1 48通道语音/传真广域网网卡(WIC)模块1端口ISDN BRI(S/T)、1端口ISDN BRI(U)、1端口同步串行、1端口4线56Kbps CSU/DSU、1端口T1/FT1 CSU/DSU语音接口卡(VIC)模块2端口语音-FXS、2端口语音-E&M、2端口语音FXO、2端口语音BRI(S/T-TE)调制解调器模块6、12、18、24和30端口数字调制
36、解调器、8和16端口模拟调制解调器处理器速度(类型)225MHz(QED RM5271 RISC)内存8MB Enterprise model、16MB teuo model、最大64MBDRAM32MB(默认) 、256MB(最大)电源单或双AC/DC规格(高长宽)8.717.511.8英寸Digital Voice/WAN Interface CardsVWIC-1MFT-E1、VWIC-2MFT-E1、VWIC-2MFT-E1-D1、VWIC-1MFT-T1、VWIC-2MFT-T1-D1、VWIC=2MFT-T1压缩模块不支持472 Cisco 3660路由器的功能1. 全功能的Cis
37、co IOSCisco 3660是Cisco整套端到端拨号连接解决方案中的一部分,能够通过数据压缩等带宽优化技术来节省开支,并且可以布置高质量的网络安全防火墙和数据加密功能。2. 安全性安全已成为今天大多数网络管理者关心的主要问题,Cisco 3660配合广为流行、功能强大的Cisco IOS软件,可以为客户核心网络提供全面的安全保障。对于远程用户环境,Cisco 3660将有效的核心安全技术扩展到混合介质拨入站点。Cisco IOS软件支持的安全功能包括访问列表、侵入事件纪录、远程访问拨入用户服务(RADIUS)、KerberosV,以及具有验证、授权和记账(AAA)的TACACS+。3.
38、管理Cisco 3660提供一套称为Cisco Works的完善的图形用户界面(GUI)管理工具,可对Cisco 3600机箱及其相关网络模块进行图形化的配置、监控和调试。Cisco配置管理功能向网络管理者提供队网络统计数据的完全控制及在一个中央控制中心配置和调节网络操作的能力。Cisco IOS软件包含全面的鼓掌分析工具,可以大大减少问题隔离和恢复所需的时间和费用。4. 可扩展性Cisco采用了多机箱多链路点对点协议(MMP),MMP使称呼能够被“链接”起来,而不管每个呼叫被置于哪个物理机箱,从而能将Cisco 3660机箱堆放起来并视为一个拨入池。第五章 网络安全51 Cisco PIX防
39、火墙1. Cisco PIX的特点作为一种硬件防火墙,Cisco PIX的优势有两点:第一,网络性能相当不错,Cisco PIX可以提供2-6个100Mbit/s快速以太网接口,能够满足大部分的应用需求。与软件防火墙相比,它的包处理速度和转发速度要快的多。第二,Cisco PIX中包含了丰富的基于Ipsec的VPN服务软件,VPN能够提供站点到站点之间和远程客户端到站点之间的安全访问,不过需要另外的一台认证服务器。Cisco PIX的不足之处是管理完全基于命令行方式,如果用户需要图形化的管理界面,就必须到Cisco网站上下载一个管理软件;另外,Cisco PIX的监视和日志功能有限,为了纪录日
40、志,还必须下载一个基于Windows NT的PIX Firewall Syslog Server才行。Cisco PIX无法根据用户名或工作组来进行安全策略管理,而只能通过IP地址进行管理,而且实施安全策略管理还需要购买另一个软件包CSPM(Cisco Security Policy Manager)。2. Cisco PIX 515E的性能Cisco PIX 515E是被广泛采用的Cisco PIX 515E平台的增强版本,它可以提供业界领先的状态防火墙和IP安全(IPSec)虚拟专用网服务。Cisco PIX 515E针对中小型企业和企业远程办公室机构而设计,具有更强的处理能力和集成化的、
41、基于硬件的IPSec加速功能。Cisco PIX 安装2个网络接口,一个连接外部网段,另一个连接内部网段,在外部网段上运行的主要是DNS服务器,在内部网段上运行的有WWW服务器和电子邮件服务器,通过Cisco PIX,希望达到的效果是:对内部网络的所有机器进行保护,WWW服务器对外只开放80端口,电子邮件服务器对外只开放25端口。Cisco PIX 515E多功能的单机架单元(1RU)机箱可以支持六个接口,使之成为那些需要一个具有DMZ支持的、成本低廉的安全解决方案的企业的理想选择。作为全球领先的Cisco PIX防火墙系列的一部分,它可以为今天的网络用户提供无与伦比的安全性、可靠性和性能。C
42、isco PIX 515E是一个针对特定需求而设计的防火墙设备,可以提供前所未有的安全性。它可以与Cisco PIX 操作系统(OS)紧密集成,该操作系统是一个专用的、强化的系统,可以消除在通用的操作环境中经常出现的安全漏洞和性能损耗。该系统的核心是一种基于自适应安全算法(ASA)的保护机制,可以提供针对状态的、面向连接的防火墙功能,同时阻截常见的拒绝服务(DoS)攻击。Cisco PIX 515E还是一个全功能的VPN网关,可以在公共网络上安全的传输数据。它可以通过56位数据加密标准(DES)或者168位三重DES(3DES)支持站点间和远程接入VPN应用。根据所选择的Cisco PIX 5
43、15E型号的不同,VPN功能可以作为Cisco PIX OS的一项服务提供,也可以通过一个集成的、基于硬件的VPN加速卡(VAC)提供,这种加速卡最多可以提供63Mbit/s的吞吐量和2000个IPSec隧道。Cisco PIX 515E通过部署一个冗余的热备份单元可以实现对高可用性的支持,确保了即使在系统发生故障的情况下,进程也会得以保持,而整个切换过程对于网络用户来说是完全通明的。其性能综述见下表:明文吞吐量188Mbit/s168位3DES IPSec VPN吞吐量63Mbit/s并发VPN隧道2000PCI总线两个32位/33MHz PCI集成化网络接口两个10/100快速以太网(RJ
44、-45)控制台端口RS-232(RJ-45)9600波特故障恢复端口RS232(DB-15)115Kbit/s(需要Cisco指定的电缆)安全认证UL1950,CSAC22.2 NO.950,EN60950,IEC60950,AS/NZS3260,TS001,IEC60825,EN60825,21CFR1040EMI认证CFR47Part 15 Class a (FCC),ICES 003 Class A with UTP,EN55022 Class A with UTP, CISPR 22 Class A with UTP,AS/NZ 3548 Class A with UTP, VCCI
45、Class A with UTP, EN55024, EN50082-1(1997),CE marking,EN55022 Class B with FTP,Cispr 22 Class B with FTP, AS/NZ 3548 Class B with FTP, VCCI Class B with FTP52安全方案网络在实现时重点考虑了信息系统整体的安全控制策略和重要设备的安全控制,在服务器上同时运行Cisco Secure ACS for UNIX软件,保证需要访问交换机、路由器等关键设备的用户能通过TACACS+进行认证,并纪录该用户的访问行为;在各个路由器上进行ARP控制、通过启
46、动路由器的各种控制防止源路由攻击、SYN流攻击和网络号诈骗等;启动关键设备的SYSLOG功能;通过网管进行相应管理和跟踪,在主服务器(Enterprise Server 450)上运行Xinetd等软件,限定和控制主机提供的服务。信息系统的安全主要通过应用信息系统本身的安全控制机制及通过路由器上的访问控制列表来实现,并从Internet上免费获得Netscape Certificate Server安全认证系统,为邮件和自行开发的信息系统提供数字签名、密钥分配管理、加密解密等功能。为了增强网络的安全,网络中引入了Cisco特有的网络安全工具NetSonar软件。该软件可对网络的安全性进行主动性
47、审计、进行安全性监测、设置定期检查、跟踪不安全因素,并及时向网络管理人员发出警告。结束语网络建成连通以后,剩下的便是对网络的管理。管理包括计算机的日常维护,如清洁卫生、关机开机、硬盘整理、软件的卸载安装。以上就是某单位的网络规划。参考文献1. 陈鸣 网络工程设计教程:系统集成方法 北京希望电子出版社2. 蔡立军 计算机网络安全技术 中国水利水电出版社3. 黎连业 网络综合布线系统与施工技术 机械工业出版社4. 张彝 网络综合布线工程设计 人民邮电出版社5. 蔡立军 网络系统集成技术 清华大学出版社6.致 谢本论文是在丁喜纲老师直接指导下完成的,在论文的写作思路上丁喜纲老师多次给予我指导。当完成了这篇论文的初稿之后,丁喜纲老师不顾炎热,在百忙中挤出时间,仔细地阅读了论文初稿,出了许多珍贵的修改意见。在本次毕业论文的编写过程中,能得到丁喜纲老师的指导使我感到非常的荣幸,
