《[毕业论文]计算机网络的管理与规划.doc》由会员分享,可在线阅读,更多相关《[毕业论文]计算机网络的管理与规划.doc(21页珍藏版)》请在三一办公上搜索。
1、毕业设计报告题目:计算机网络的管理与规划班级 计专 姓名 学号 指导教师 二九年九月摘 要随着计算机技术、信息技术的高速发展,网络已被各个单位作为自己获取资源、共享资源的最好工具,局域网作为一种计算机网络,在网络协议上基本符合OSI模型,该网络采用TCP/IP技术,实现数据的传输和处理功能。网络管理是计算机网络发展的必然产物,它随着计算机网络的发展而发展。早期的计算机网络主要是局域网,在一定范围内连接数百台计算机,因此最早的网络管理是局域网管理。由于局域网管理主要保证在局域网内的所有计算机能够顺利传递和共享文件,因此早期的局域网管理系统与网络操作系统密不可分。而Internet的出现打破了网络
2、的地域限制,跨地域的广域网络得到飞速发展,这时的网络管理不再局限于保证文件的传输,而是保障连接网络的网络对象(路由器、交换机、线路等)的正常运转,同时监测网络的运行 性能,优化网络的拓扑结构。网络管理系统也因此越来越独立,越来越复杂,功能也越来越完备,网络管理也发展成为计算机网络中的一个重要分支,国际上各种网络管理的标准也相继制定,网络管理逐步变得规范化、制度化。关键字:局域网、Internet、网络安全、计算机网络、网络规划、网络设计。目 录第一章 局域网的管理与维护11.1 网络管理的内容11.2 网络维护的内容2第二章 校园网的规划与构建32.1 校园网的规划32.2 校园网的构建3第三
3、章 个人计算机安全防范技术与实现53.1 Windos的安装及补丁53.2 用户和密码53.3 Windows服务53.4 个人防火墙及杀毒6第四章 中小型局域网的规划与设计74.1 需求分析74.2 中小型局域网的规划74.3 中小型局域网的设计8第五章 局域网常见故障的诊断与分析9第六章 企业网络安全防范措施11第七章 VPN技术在局域网上的设计与应用13第八章 总结16致 谢17参考文献18第一章 局域网的管理与维护1.1 网络管理的内容一般而言,网络管理应包括故障管理、计费管理、配置管理、性能管理、安全管理等五方面的管理功能。故障管理,用户都希望有一个可靠的计算机网络。当网络中某个部分
4、失效时,网络管理系统必须能够迅速找到故障并及时排除。故障管理包括故障检测、隔离和纠正三个方面。对于网络故障的检测依据对网络组成部件状态的检测。不严重的简单故障通常被记录在错误日志中,并不作特别处理;而严重一些的故障则需要通知网络管理操作员,即所谓的报警。一般网络管理应用应根据有关信息对警报进行处理,当网络故障比较复杂时,网络管理系统应能够执行一些诊断测试来辨别故障原因;计费管理,记录网络资源的使用,目的是控制和检测网络操作的费用和代价。计费管理对一些公共网络尤其重要,它可以估算出用户使用网络资源可能需要付出的费用和代价,以及已经占用了那些资源。网络管理员还可以规定用户可以使用的最大费用,从而控
5、制用户过多占用网络资源,这也从另一个方面提高了网络的效率;配置管理同样相当重要。它初始化网络,并配置网络,以使其提供网络服务。配置管理是一组辨别、定义、控制和监视组成一个通信网络的对象所必需的相关功能,目的是为了实现某个特定功能或使网络性能达到最优;性能管理,统计系统资源的运行状况及通信效率等系统性能。其能力包括监视和分析被管网络及其所提供服务的性能机制。性能分析的结果可能会触发某个诊断测试过程或重新配置网络以维护网络的性能。性能管理收集分析有关被管网络当前状态的数据信息,并维持和分析性能日志;安全管理,安全性一直是网络的薄弱环节之一,而用户对网络安全的要求又相当高,因此网络安全管理非常重要。
6、网络中主要有以下几大安全问题:网络数据的私有性(保护网络数据不被侵入者非法获得),授权,访问控制(控制对网络资源的访问)。相应地,网络安全管理应包括授权机制、访问控制、加密和加密关键字的管理,另外还要维护和检查安全日志。1.2 网络维护的内容防御计算机病毒应该从两个方面着手,首先应该加强内部网络管理人员以及使用人员的安全意识,使他们能养成正确上网、安全上网的好习惯。再者,应该加强技术上的防范措施,比如使用高技术防火墙、使用防毒杀毒工具等。软件维护最重要的定期工作就是备份。无论设计得多好的软件,都有可能因为一些意外造成资料的丢失。这些资料一旦丢失而又没有备份,后果是非常可怕的。因此,对于日常性的
7、资料,最好能够每天备份。这样,就算资料流失了,也只是损失一天的资料而已。目前的备份设备有很多可供选择,如CD-ROM, DVD等。有些维护人员只是把工作过程设定在电脑中,然后将备份设备开着就不管了。其实这是不对的,应该每夭确认前一天的备份工作已确实完成了,并且要留多份备份,这样才比较安全。另外,如果备份的资料具有机密的性质,不但要确认每日备份后资料的流向,对过期的备也要进行彻底的销毁。 单位局域网有着自己不同的特点,所以局域网管理员应根据自己网络的特点采取适合自己的维护方法,并不断学习新的网络维护方法,使得局域网速度、安全等得到更大的提高。网络互联系统主要指网络的连接转发设备,包括HUB、交换
8、机、路由器等检测HUB或交换机故障。 HUB 或交换机的状态指示灯如果闪烁或常亮黄灯、 表明数据包在网络上有堵塞情况、 需要检查同一局域网中是否有重复的IP地址分配或局域网IP地址分割有交叉。 如果网线和主机都没有问题、 则应测量网络设备的地线和零线之间的电压、 如果电压超过 3V则表明HUB或交换机的供电系统有问题、 静电不能及时释放、 干扰了数据信号。检测路由器故障。 利用MIB变量浏览器、 用它收集路由器的路由表、端口流量数据、 计费数据、路由器CPU 的温度、负载以及路由器的内存余量等数据。 通常情况下网络管理系统有专门的管理进程不断地检测路由器的关键数据、 并及时给出报警。 另外、如
9、两个路由器直接连接、 应将一台路由器的出口 (或入口)连接另一路由器的入口(或出口)。网络连线是局域网的血管、没有它们、信息就无法流通。网络某条线路突然中断、用 ping或fping 检查线路在网管中心这边是否连通、 若连续几次ping都出现 Request time out信息、 表明网络不通。 连线故障通常包括网络线内部断裂、双绞线和 RJ-45水晶头接触不良以及双绞线是否采用标准线序连接等。第二章 校园网的规划与构建2.1 校园网的规划校园网必须具备教学、管理和通讯三大功能。教师可以方便地浏览和查询网上资源,进行教学和科研工作;学生可以方便地浏览和查询网上资源实现远程学习;通过网上学习学
10、会信息处理能力。学校的管理人员可方便地对教务、行政事务、学生学籍、财务、资产等进行综合管理,同时可以实现各级管理层之间的信息数据交换,实现网上信息采集和处理的自动化,实现信息和设备资源的共享,因此,校园网的建设必须有明确的建设目标。校园网的总体设计原则是:开放性、可扩充性、可管理性、安全性、易用性。2.2 校园网的构建校园网设计主要包括以下部分:校园内部主干网设计、广域网互联设计、拨号网络设计、服务器系统设计、校园网应用系统设计。1、网络设备选型在网络设计时应选用扩充能力和升级能力比较强的网络设备,如Cisco、3COM和INTEL公司的网络设备,国产的交换机、路由器等网络设备有较高的性价比,
11、应该也在选择之列。主要考虑网间网互联技术和产品供应商,能为客户提供可靠、可用、先进、安全而又易于管理的产品。所选用的交换机应支持设备管理、VLAN划分等。2、服务器平台选择SUN服务器和HP服务器或者国产的联想、浪潮服务器都有很好的开放性和互连性,可以作为服务器硬件的选择。在主机系统建设中,选用UNIX与Windows NT相结合的方式:用UNIX服务器作为外部WWW服务器、FTP、PROXY、DNS服务器以及网管工作站;用NT服务器作为数据库服务器和应用服务器,为用户提供友好的界面。校园网的网络拓扑结构:校园主干网采用一台千兆多层交换机作为中心交换机,配置多台二层交换机作为二级交换机;在网络
12、中心配置多台工作站,一台网管工作站,一台作为连入INTERNET/CERNET的路由器,同时在路由器上配置相应的拨号访问模块供拨号用户访问校园网;二级交换机通过千兆光纤上连到主干交换机上,构成星形的拓扑结构,使得主干网具有较好的可扩展性和可管理性;下属站点采用10/100M接入方式,可以实现100M到桌面。对所有系统内的用户,IP地址规划由网络中心统一规划;对于上公网的用户,需要进行IP地址转换(NAT),即将内部私有地址转换为公有IP地址。这样的好处是既节省了有限的公有IP地址资源,又对外屏蔽了内部的网络,有利于网络的安全管理。第三章 个人计算机安全防范技术与实现3.1 Windos的安装及
13、补丁除非有特别需要,目前个人计算机应使用Windows 2000和Windows XP,这也是目前的主流。其它版本的Windows如Windows 95、Windows 98安全性太差;Windows NT虽然安全性较好,但功能较少且微软已经停止维护;最新的Windows Server 2003是服务器软件,并不适合个人计算机使用。安装完Windows后应立即安装最新的Service Pack。目前Windows 2000最新的Service Pack是SP4,Windows XP是SP2。只安装Service Pack是不够的。一般Service Pack每一到两年发布一次,期间又会发布若干
14、小补丁(微软称之为HotFix),在安装完Service Pack之后,应该立即安装这些小补丁。在所有的补丁安装完毕之前,计算机应断网。从插入光盘开始安装那一刻开始,一直到所有的补丁安装完毕,计算机应始终处于断网状态。因为网络上随时可能有蠕虫如Nimda、冲击波等在活动,一台不打补丁的机器接入网络很容易在短时间内被感染。应事先把补丁刻到光盘上,或复制到移动硬盘上,通过光盘或 移动硬盘安装补丁。3.2 用户和密码最简单的方式往往是最有效的,设置一个不易破解的密码,是保证系统安全的最有效的手段。除了本机Windows的密码以外、还包括电子邮箱的密码、各种网站帐号的密码等。设置密码的基本原则是:密码
15、的长度至少应是6位或6位以上,不要用你的生日、电话号码、任何英文单词作为密码。选择密码的方法很多,可以在英文书中随便找一个句子,用句子中每个单词的首字母作为密码。这样的密码自己不易忘记,别人又很难猜到。在平时上网时,经常需要在网站上注册一些帐号,用于登录论坛、下载软件等,对于一些不太重要的帐号,特别是一些小网站的帐号,其密码应该和自己常用的密码不相同。因为这些小网站很容易被黑客破解,密码很容易泄漏。3.3 Windows服务无论是Windows 2000还是Windows XP,都会自动启动很多我们不需要的服务,停止这些服务并把启动方式设为“手动”,既能提高安全性,又能减少占用的内存。Mess
16、enger 用于传输NET SEND命令发送的消息,是最近新兴的垃圾广告发送方式。Task Scheduler 如果没有什么定时自动执行的任务,就不需要这个服务,容易被入侵者利用。Remote Registry 远程管理注册表,容易被入侵者利用。TCP/IP NetBIOS HelperTelnet还有很多无用的服务,与安全性并无关系,这里不再列出。3.4 个人防火墙及杀毒常用的个人防火墙软件:天网(免费),ZoneAlarm(免费),Outpost Firewall,Norton Internet Security,等。个人防火墙可以比较全面保障个人计算机的安全,以Norton Intern
17、et Security为例,其主要功能有:应用程序Internet访问控制;限制指定网段或IP的访问;限制对本机特定端口的访问;限制Java程序;限制ActiveX控件;入侵检测;防病毒;隐私控制;禁止广告;垃圾邮件警报等。其他防火墙功能不在这里阐述,可以根据个人喜好进行选择。常用的防病毒软件:Norton AntiVirus,金山毒霸,瑞星等。防止病毒感染的若干好习惯:1)打开病毒防火墙;2)下载的软件在运行前一定要扫毒;3)包含附件的邮件,无论来自谁,都要先扫毒;4)文件后缀是.cmd .bat .pif .vbs的附件一定不要打开;5)在MSN/QQ上,打开别人传来的文件之前应先扫毒;6
18、)怀疑中毒以后,应拔掉网线,及时杀毒,避免传染给更多人。第四章 中小型局域网的规划与设计4.1 需求分析本为了能让公司更好的与现代社会的发展接轨,更快的获取市场信息及为了让外界了解该本公司的相关信息特组建企业网,以实现对“公司档案管理”、“产品信息”、“供求信息”等进行计算机网络化管理。网络功能:根据公司现有规模,业务需要及发展范围建立的网络有如下功能:1. 建立公司自己的网站,可向外界发布信息,并进行网络上的业务。2. 要求供销部可以连接Internet,与各企业保持联络,接受订单及发布本公。3. 司产品信息。其他部门都不能连接Internet,但要求公司内部由网络连接。4. 公司内部网络实
19、现资源共享,以提高工作效率。5. 建立网络时应注意网络的扩展性,以方便日后的网络升级和增加计算机。6. 在公司内部建立公司的数据库,如员工档案,业务计划,会议日程等。4.2 中小型局域网的规划出于对机房使用中的安全管理性,稳定性及网络的扩展性考虑,方案中采用虚拟局域网技术(即VLAN)规划网络。在交换式网络体系结构中,虚拟局域网VLAN是一个重要的组成部分,可以认为虚拟局域网VLAN是此局域网的灵魂。通过VLAN的合理设置,局域网的用户可以方便地在网络中移动,而不需硬件线路的改变。这样,可以从逻辑上对用户和其它网络对象进行分组,并设定相应的安全和访问权限,然后,由计算机自动根据配置形成相应的虚
20、拟网络工作组,充分发挥交换网络的优势,体现交换网络高速、灵活、易管理等特性。采用VLAN具有下述优势:控制网络上的广播风暴、增加网络的安全性、集中化的管理控制。随着网络应用软件的增多及使用者技术的逐渐成熟,LAN中的数据流量越来越大,普通的百兆网已经不能适应如此庞大系统开销的,同时光纤及周边产品价格的降低,我们推荐采用主干千兆的解决方法,立即进入宽带应用。选择WINDOWS 2003做为文件服务器操作系统平台,操作系统是软件平台的核心,网络操作系统所具备的功能和性能决定了网络系统的整体水平,同时也决定了应用及技术的发展方向。Microsoft公司的WINDOWS 2003操作平台是在PC和LA
21、N(局域网)的基础上发展起来的32位操作系统,功能强大且易于使用;且WINDOWS 2003支持当前所有的网络协议,包括TCP/IP、SPX/IPX、NetBUEI、AppleTalk、DLC、PPP、PPTP,可以和NetWare、UNIX等系统协同工作,可以连接DOS、Windows3.x 、Windows NT Workstation、Windows 95/98、OS/2、Macintosh等协同工作;WINDOW 2003内置Iternet服务器(IIS)的网络操作系统,通过数据库联结器(IDC)与数据库系统集成,使用户可以通过浏览器来访问数据库系统。4.3 中小型局域网的设计由于网络
22、系统对工作的运作与发展具有非常重要的作用,因此网络改造系统的先进性、可靠性、安全性、易维护、易升级等方面均有一定的要求,网络系统对先进性的要求是在计算机技术突飞猛进的今天,提供达几年甚至更长时间的可用性。网络系统设计必须满足其应用的要求,网络总体设计、建设的原则如下:1、 开放性2、 标准化3、 简洁性4、 可扩展性5、 安全性6、 技术先进性7、 实用性8、 网络可靠性9、 易维护管理性网络管理应走向科学化,采用先进的网络管理系统,实现“在网络中心即能实时控制、监测整个系统的运行状况,能够自动发现故障点”的目标,并具有良好的人-机操作界面。第五章 局域网常见故障的诊断与分析技术的积累,故障排
23、除将变得越来越快,越来越简单。严格的网络管理,是减少网络故障的重要手段;完善的技术档案,是排除故障的重要参考;有效的测试和监视工具(修改注册表、优化软件等)是排除故障的有力助手。虽然故障原因多种多样,但总的来讲不外乎就是硬件问题和软件问题,说得再确切一些,这些问题就是网络连接性问题、配置文件选项问题及网络协议问题。处理完问题后,作为网络管理员,还必须搞清楚故障是如何发生的,是什么原因导致了故障的发生,以后如何避免类似故障的发生,拟定相应的对策,采取必要的措施,制定严格的规章制度。1、为什么Windows的网上邻居中找不到域以及服务器,但可找到其他的工作站? 答:在“控制面板网络Microsof
24、t网络客户”中,将登录时Windows与网络的连接由慢速改为快速连接。 2、为什么在查看“网上邻居”时,会出现“无法浏览网络。网络不可访问。想得到更多信息,请查看帮助索引中的网络疑难解答专题。”的错误提示? 答:(1)在Windows启动后,要求输入Microsoft网络用户登录口令时,点了“取消”按钮所造成的,如果是要登录NT服务器,必须以合法的用户登录,并且输入正确口令。 (2)与其它的硬件起冲突。打开“控制面板系统设备管理”。查看硬件的前面是否有黄色的问号、感叹号或者红色的问号。如果有,必须手工更改这些设备的中断和I/O地址设置。 3、为什么在“网上邻居”或“资源管理器”中只能找到本机的
25、机器名? 答:网络通信错误,一般是网线断路或者与网卡的接确不良,还有可能是Hub有问题。 4、为什么可以访问服务器,也可以访问Internet,但却无法访问其他工作站? 答:(1)如果使用了WINS解析,可能是WINS服务器地址设置不当。 (2)检查网关设置,若双方分属不同的子网而网关设置有误,则不能看到其他工作站。 (3)检查子网掩码设置。 5、为什么可以Ping通IP地址,但Ping不通域名? 答:TCP/IP协议中的DNS设置不正确,请检查其中的配置。对于对等网,“主机”应该填自己机器本身的名字,“域”不需填写,DNS服务器应该填自己的IP。对于服务器/工作站网,“主机”应该填服务器的名
26、字,“域”填局域网服务器设置的域,DNS服务器应该填服务器的IP。 6、为什么网络上的其他计算机无法与我的计算机连接? 答:(1)确认是否安装了该网络使用的网络协议?如果要登录NT/Server域,还必须安装NetBEUI协议。 (2)是否安装并启用了文件和打印共享服务? (3)如果是要登录NT服务器网络,在“网络”属性的“主网络登录”中,应该选择“Microsoft网络用户”。 (4)如果是要登录NT/Server服务器网络,在“网络”属性框的“配置”选项卡中,双击列表中的“Microsoft网络用户”组件,检查是否已选中“登录到Windows域”复选框,以及“Windows域”下的域名是否
27、正确。 7、为什么在网络邻居中看不到任何计算机? 答:主要原因可能是网卡的驱动程序工作不正常。请检查网卡的驱动程序,必要时重新安装驱动程序。 8、为什么无法登录到网络上? 答:(1)检查计算机上是否安装了网络适配器,该网络适配器工作是否正常。 (2)确保网络通信正常,即网线等连接设备完好。 (3)确认网络适配器的中断和I/O地址没有与其他硬件冲突。 (4)网络设置可能有问题。第六章 企业网络安全防范措施1、严格管理,制定完善制度。根据具体情况制定出合理安全的网络结构,加强培训,提高网管和工作人员素质。在网络迅速发展的今天,由于操作人员的失误,特别是企业或单位内部拥有高速的网络环境下,给各种威胁
28、的扩散与转移提供了可能。通过各类嵌入攻击代码的网页,在浏览者毫不知情的情况下,后台进驻到操作系统中,修改注册表和系统设置,种植后门程序,收集用户信息和资料等。这一切都会给工作站造成无法估量的安全风险。一旦工作站遭到攻击与控制,就很可能威胁到整个内部网络和核心区域,所以说保护好工作站的安全,是企业或单位网络安全的一个重要部分。2、防火墙与IDS(入侵检测系统)。本着经济、高效的原则,有必要将键主机和关键网段用防火墙隔离,形成级防护体系,以实现对系统的访问控制和安全的集中管理。在企业网出口处放置火墙,防止Internet或者本企业外的用攻击企业网;在安全性要求高的部门(财务部门)与企业网接口处放置
29、防火墙,将该部门与企业网隔离,防止企业内对该部门的攻击。防火墙针对非法访问攻击进行限制,对进出防火墙的攻击进行检测并防御,而网络内部用户之间的攻击不经过防火墙,防火墙没有办法去防止。而IDS(人侵检测系统)作为旁路监听设备,放置在需要保护的网络之中,针对合法访问形成的攻击进行检测。当网络内部有攻击出现时,ID提供实时的人侵检测,将信息交给防火墙,由防火墙对这些攻击进行控制、隔离或断开。所以对于一个安全的网络,IDS是必不可少的。3、对内部网络的保密。当内部主机与因特网上其它主机进行通信时,为了保证内部网络的安全,可以通过配置IPSec网关实现。因为IPSec作为IPv6的扩展报头不能被中间路由
30、器而只能被目的节点解析处理,因此IPSec网关可以通过IPSec隧道的方式实现,也可以通过IPv6扩展头中提供的路由头和逐跳选项头结合应用层网关技术实现。后者的实现方式更加灵活,有利于提供完善的内部网络安全,但是比较复杂。4、通过安全隧道构建安全的VPN。该VPN通过IPv6的IPSec隧道实现。在路由器之间建立IPSec的安全隧道以构成安全的VPN是最常用的安全网络组建方式。IPSec网关的路由器实际上是IPSec隧道的终点和起点,为了满足转发性能的要求,该路由器需要专用的加密板卡。5、漏洞扫描系统。很多时候,我们必须通过修补操作系统漏洞来彻底消除利用漏洞传播的蠕虫影响。众所周知Micros
31、oft有专门的Update站点来发布最新的漏洞补丁,我们所需要做的是下载补丁,安装并重新启动。如何在蠕虫和黑客还没有渗透到网络之前修补这些漏洞,如何将部署这些补丁对企业的运行影响减小到最低呢?那就是选择一套高效安全的桌面管理软件,来进行完善企业或单位的IT管理。又如何解决网络层安全问题呢?首先要清楚网络中存在哪些安全隐患、脆弱点。面对大型网络的复杂性和不断变化的情况,仅仅依靠网管员的技术和经验寻找安全漏洞、做出风险评估,显然是不现实的。解决的方案是,寻找一种能查找网络安全漏洞、评估并提出修改建议的网络安全扫描工具,利用优化系统配置和打补丁等各种方式最大可能地弥补最新的安全漏洞和消除安全隐患。在
32、要求安全程度不高的情况下,可以利用各种黑客工具,对网络模拟攻击从而暴露出网络的漏洞。第七章 VPN技术在局域网上的设计与应用在规划 VPN 方案时,我们首先对客户应用需求进行分析。由于客户的需求是将所有防疫站的局域网络进行互联,并在这个内联网中运行疫情备案通报系统(基于 B/S 结构的应用服务系统),以及实现终端之间的点对点访问,即网上邻居访问,所以我们提出基本方案为:1. 在县防疫站的局域网出口处安置一个 VPN 网关,并作为 VPN 通讯服务器;2. 在各基层防疫站的局域网出口处同样安置一个VPN 网关,并作为VPN 通讯客户端;3. 在县防疫站的 VPN 网关配置一条隧道策略,用于接受基
33、层防疫站 VPN 网关的隧道连接请求;4. 在基层防疫站的 VPN 网关分别配置一条隧道策略,用于向县防疫站 VPN 网关发起隧道连接请求;5. 通过隧道策略保证各基层防疫站之间的通讯能够通过县防疫站的 VPN 网关进行路由转发。对于县防疫站,其 VPN 网关需要作为 VPN 通讯服务器使用,所以这个 VPN 网关必须是可寻址的,但目前县防疫站使用的宽带路由不具备地址 / 端口映射功能,且没有额外的公共 IP 资源,所以必须放弃使用现有宽带路由,而将 VPN 网关直接接入 Internet ;考虑在此案中 VPN 通讯带宽不高(受限于 ADSL 的速率),且用户运行疫情备案通报系统的服务器性能
34、很高,所以建议用户在此服务器上安装安联防火墙 /VPN 系统软件,使其同时作为防火墙 /VPN 网关;此外,由于 ADSL 拨号没有固定公共 IP ,为保证 VPN 网关是可寻址的,还需要申请 DDNS 服务并在 VPN 网关运行 DDNS 客户端软件。对于各个基层防疫站所使用的 VPN 网关,我们提出两种建议:第一,使用低端硬件防火墙 /VPN 网关;第二,在一台使用率不高的工作终端上安装安联防火墙 /VPN 系统软件,使其作为防火墙 /VPN 网关。考虑到低端硬件防火墙 /VPN 产品的功能和性能都十分有限,所以最终选择第二种方案,同时,将现有的 ADSL Modem 的工作模式改为 PP
35、PoE 网桥模式,即上网时由安联防火墙 /VPN 系统软件进行拨号并获得公共 IP 。规划 VPN 方案的第三步是对县防疫站和各基层防疫站的网络地址进行规划。根据 VPN 隧道及 TCP/IP 路由原则,结合基本的 VPN 方案,我们提出如下地址配置原则:1. 县防疫站和各基层防疫站,以及各基层防疫站所使用的网段之间必须彼此独立;2. 县防疫站和各基层防疫站所使用的网段属于同一个上级网段。具体地址分配如下:在下面的拓扑图中,我们仅绘制出县防疫站和两个基层防疫站的网络结构。在上面的拓扑图中可以看到县防疫站的 VPN 网关是一台双网卡主机,而基层防疫站的 VPN 网关则只是在一台单网卡终端上安装安
36、联 VPN 系统软件,这样的配置方法可以实现网关作用吗?答案是肯定的,由于该终端的网卡本身绑定了一个内部 IP (如: 10.10.2 .1 ),而在 PPPoE 拨号之后,还将获得一个公共 IP ,安联防火墙 /VPN 系统软件即可利用这两个 IP 实现网关功能,保证内部其它终端共享上网(其它终端的默认网关指向该终端的私有 IP ,如: 10.10.2.1 ),同时实现 VPN 处理。VPN 隧道配置在本案中,为了实现所有局域网之间都能相互访问,我们分别在县防疫站 VPN 网关和各个基层防疫站 VPN 网关上配置一条隧道策略,具体隧道策略说明如下:1. 县防疫站 VPN 网关能够接受来自任何
37、 IP 的隧道协商,并将隧道策略中的本地网络参数设为 10.10.0 .0/16 ;2. 各个基层防疫站 VPN 网关主动向总部 VPN 网关发起隧道协商,协商的目标地址是县防疫站 VPN 网关使用的动态域名。同时在隧道策略中将本地网络参数设为自己的局域网网段,如 10.10.2 .0/24 ;并将远程网络参数设为 10.10.0 .0/16我们通过 VPN 将多个异地局域网组合成一个统一的内联网,与普通的多网段局域网一样,这个内联网对于上层应用程序是完全透明的,即可以运行绝大多数 TCP/IP 应用服务(除了基于广播方式的应用服务)第八章 总结随着网络规模和复杂性的增加,网络管理在未来网络系
38、统中的地位将愈来愈重要。本文在介绍网络管理及其有关协议的基础上,阐述了网络管理技术的主要发展方向和发展趋势。由于Internet和全球信息高速公路的推动,网络管理的新思想、新技术将会层出不穷,当前网络系统所面临的各种问题也必将能够最终获得圆满解决。 计算机信息网络规划与设计属于工程技术类项目。该项目已经成功地为大型企业开发和建设计算机信息网络提供了服务。其特点是针对大中型企业构建现代计算机信息网络系统的需求与目标,按照系统工程的方法、现代管理科学和计算机通信技术为企业进行信息网络总体规划与设计,目的在于给企业开发建设现代化计算机信息网络提供实施纲领与工程指导。致 谢在此感谢 中国IT实验室 提
39、供的一些技术信息以及文章。IT实验室网()国内最早最大的IT专家门户,2004年进入“中国商业网站100强”,2006年主办深圳互联网英雄大会,七年耕耘,海内外受众用户超过2000万,注册用户200多万,拥有国内最具人气的技术社区(),伴随着国内第一批网络专家、软件专家的成长。 IT实验室网为用户提供一条完整的IT职业服务链及海量IT技术学习资源,包括:Cisco、Microsoft等国际认证频道;Java、Dotnet、Oracle、等软件开发及数据库频道;Windows、Linux等操作系统频道;网页设计、平面设计、多媒体等IT基础频道;电子书、教学视频等下载频道;技术专题以及论坛、博客等社区。参考文献1 重庆金税工程网络结构设计2 新型网络安全防护技术网络安全隔离与信息交换技术的研究3 网络工程规划与设计 清华大学出版社4 计算机网络规划设计及实施方案 刘清玉5 网络规划设计师论文 范文 第一波 16篇6 计算机局域网.清华大学出版社,胡道元编著.1996
