《毕业设计(论文)洪湖市职业培训学院网络设计.doc》由会员分享,可在线阅读,更多相关《毕业设计(论文)洪湖市职业培训学院网络设计.doc(31页珍藏版)》请在三一办公上搜索。
1、湖北经济学院管理技术学院毕业论文(设计)题 目: 洪湖市职业培训学院网络设计 系 部: 计算机科学系 专 业: 计算机应用技术 学 号: 学生姓名: 指导教师: 职 称: 讲师 二 一一 年 十二 月 二十五 日洪湖市职业培训学院网络设计绪论二十一世纪是知识经济时代。随着现代科学技术的飞速发展,全球信息化浪潮势不可挡,已经迅速延伸至国防、科研、经济、教育等各个领域,也不可避免地改变着传统的企业人事的工作模式,利用当前蓬勃发展的以计算机和网络为主导的现代信息技术则是企业实现现代化工作的必不可少的技术基础。我国的信息起步晚,本可以高起点,高标准的建设我国的信息高速公路,但由于我国经济能力和幅员辽阔
2、,建设成本压力很大,因此发展较为缓慢。学校,尤其是各大高校,作为知识基地和人才基地,它理应成为代表信息产业技术发展的最前沿,然而现状是工业水平高于学术水平。即使这样,1994年中国教育科研网 (CERNET)正式启动以来,已与国内几百所学校相连,2000年该网“二期工程”完成时,除达到连接1000所大学的目标外,对有条件的中小学也将提供上网接入服务。但实际情况是我国大多数校园网却因应用水平的低下而造成资源的极大浪费。如何利用当前先进的计算机技术与校园网资源,实现学校各项业务系统的集成,提高应用水平成为学校校园网建设的工作重点。校园网在国内发展还不成熟,学校、媒体甚至计算机业界,对校园网都缺乏全
3、面、深入的理解和认识,带有一定的盲目性和偏见。建设校园网要经过周密的论证、谨慎的决策和紧张的施工。目前存在的一些情况是,网建成了,问题也出现了:设计目标无法实现;应用软件缺乏,阻碍了设想实施;维护费用不堪承受等等。这就需要在网络建设实施前确定明确的设计目标,是技术和成本找到最佳点,并考虑到日后的升级,既可扩展性。n 需求分析二、需求分析:一个良好的设计方案除体现出网络的优越性能之外,还体现在应用的实用性、网络的安全性、易于管理性和未来的可扩展性。因此,设计时要考虑以下问题: 要适应未来网络的扩展和拓扑结构的变化。 要能为特定的师生用户或用户组提供访问路径。 要保证网络能不间断地运行。 当网络扩
4、大和应用增加时,变化的网络结构要能应付相应的带宽要求。 使用频率较高的应用能够支持网上大多数的师生用户。 能合理地分配用户对网内、网外的信息流量。 能支持较多的网络协议,扩大网络的应用范围。 支持IP的单点传送和多点广播数据流。基于本学校北区的具体情况,结合以上理论,我们总结出了以下一个商业目标和技术目标。1、商业目标主要用于多媒体教学、行政办公、学籍和人事管理、图书管理、财务管理、信息共享、视频点播、WEB服务、电子公告、科研和技术交流以及Internet应用等。提高教员的效率,允许教员和其他学院的同仁一起参与更多的项目研究,提高学生的效率,消除交作业难的问题,允许访问者使用他们的无线笔记本
5、电脑从园区网络访问互连网络,保护网络防止入侵。2、技术目标整个校园网应达到以下目标:1)、实现全院教师机联网,提供电子邮件服务、WWW服务、Telnet服务、FTP服务、VOD视频服务、网络电视直播服务、DNS和BBS等2)、建立一个国内外联网的高速数据通信系统,满足学院内外,国内外学术交流,图书资料查询3)、建立一个功能齐全,处理能力强的事务处理系统,支持学院的教学科研和行政管理。4)、建立起一个能实现资源共享和协同工作的分布式教师机系统,满足科学研究和学科建设需要。5)、建立具有多媒体功能的CAI系统,便于教学体制改革,丰富教学内容,改进教学方法。6)、建立一个教师和学生能自由使用网上综合
6、资源的分布式上机环境。3、网络应用(通过表格来实现)应用名称应用类型新的引用关键性评价洪湖职院电子邮件电子邮件否是教职工间传输数据洪湖职院OA办公自动化否是教职工办公文件发放洪湖职院FTP文件共享否是对内提供教学资料院系各专业主页WEB服务否是宣传查询平台在线视频VOD服务否是对内学习娱乐图书馆藏电子阅览否否对内提供电子阅览财务管理电子账务否是管理整个学校财务信息网上发布电子公告否否学校对内发布公告网上讨论技术交流是否校内外师生交流平台教工/学生上网Intenet服务否是最基本的服务无线上网无线接入是否未来发展的趋势4、用户团体(通过表格来实现)主要用户团体所处位置主要应用类型学生学生宿舍楼综
7、合型教职工及其家属教职工宿舍楼综合型教职工综合楼电子办公教师多媒体教室网络资源下载研究人员实验室学术交流教师学生东教上课教学5、数据存储位置(通过表格来实现)数据类别存储位置访问对象所处网络位置Web数据网络中心整个Internet核心层学生学籍信息网络中心全校学生核心层财务数据财务处财务人员接入层教学资源网络中心全校师生核心层考试信息教学部教学员工接入层视频数据网络中心全校师生核心层OA及Email网络中心全体教职工核心层n 现有互连网络的特征我校现有网络状况介绍:学校多年来一直非常重视校园网建设。2007年,学校就制订了校园网设规划方案。2008年,我院申请了16个C类的IPv4地址段(共
8、4096个IP地址),2009年8月校园网一期工程开通,上联到中国教育和科研计算机网CERNET,是湖北省职业院校接入中国教育和科研网的用户之一。 2010年我院又向CERNET申请了16个C类IPv4地址段,公网IP地址总数扩展为32个C类IPv4地址段(共8192个IP地址)。 目前,校园网运行各类网站30余个,共有各类服务器30余台,总存储空间约10TB,存储各类软件数万个(套),音视频内容上千部,为广大用户提供了WWW浏览、文件下载、电子邮件、信息及图书资料查询、视频点播、教务管理系统、办公自动化系统等网络服务,为广大教师的教学、科研活动和行政管理提供了极大的方便。为了开展基于IPv6
9、的下一代互联网的应用研究,2011年8月我院申请了IPv6地址,目前已通过隧道技术连接到中国的下一代互联网CERNET2,进而与国际INTERNET2相连。一、现有网络性能参数1、带宽:带宽表示运输数据的电路容量,用于单位实践内传输比特的能力。通常指定为比特/秒现况:千兆主干网,百兆到桌面。2、吞吐量:吞吐量是指单位时间无错误传送的数据量 以 bps, Bps,或分组/秒(pps)度量吞吐量=G*P发送成功G:网络负载P发送成功:发送成功的概率带宽 吞吐量 负载:3、丢包率:指在一定的时段内在两点间传输中丢失分组与发送的比率4、时延抖动:指从源到目的地的连续到达时间的波动5、可用性: 可用性是
10、一个系统的可以使用时间的比率,是指这个系统实际可使用的时间,这个比率是用MTTF和MTTR计算出来的:可用性 = MTTF / (MTTF + MTTR)可用性=MTBF/(MTBF+MTTR) MTBF:平均故障间隔时间MTTR:平均修复时间二、现有网络流量特征:2010 年 月 17 日 ,星期天 , 12:40的网络流量监控图如下:三、现有的协议:Ethernet IIIPTCPDHCPHTTP主要服务器:电子邮件文件传输WEB浏览器地址转换校园网拓扑图:负载分析主干网的流量负载:1、8512到7606干线流量:最大约800M(1)、7606到1#楼:最大约180M(2)、7606到2#
11、楼:最大约108M(3)、7606到3#楼:最大约88M(4)、7606到4#楼:最大约106M(5)、7606到5#楼:最大约104M(6)、7606到6#楼:最大约104M2、8512到计算机中心流量:最大约800M3、8512到图书馆流量:最大约200M4、8512到主教流量:最大约200M5、8512到基础实验楼流量:最大约600M6、8512到东教流量:最大约40M四、主要设备(防火墙、交换机、路由的)状态:受季节、天气状况、和室温影响比较大,夏季由于温度偏高,容易出现断线或者线路不通登状况出现。打雷闪电等产生静电,对主要设备工作都会有一定的影响。八、 网络应用常见网络应用见下表:应
12、用基本带宽需求备注PC连接14.4kb/s以上远程连接FTP、HTIP文件传输100kb/s以上局域网内文件共享、C/S应用压缩视频256kb/s以上Mps、rm等流媒体传输非压缩视频2Mb/s以上Vod视频点播、视频会议等其中主要应用有:1、 电子邮件功能及OA: 校园网信息平台应有功能强大的邮件系统和OA系统,可以为每个使用者建立自己的信箱,和OA账号,安全保密又极大地方便了通信。许多事务处理均可以通过邮件和OA提醒,高效便利。 2 讨论和交流功能: 校园网信息平台具有讨论的功能,可以允许所有人就一个问题发表自己的意见,而这种讨论的好处在于它可以保留讨论的过程,并且不受时间和空间的限制,如
13、教学研讨、经验交流等均是以讨论的形式出现。3、 学校网站: 学校有许多信息需要向老师、学生或社会公布,如学校的规章制度、招生信息、教学信息等,它们共同的特点是只许看不能改,校园网信息平台的安全体系应保证这一点。4、科研环境应用系统: 科研环境应用系统多集中在各实验室和多功能竞赛及多功能报告厅,主要是实验的环境和课外学习的环境,这类网络应用可能需要较高的带宽以满足多媒体实验环境。 5、 电子教学: 电子教学是搭建校园网的首要目标,这部分应用复杂多样,且有很大一部分多媒体数据的传递,因此对网络性能和传输质量有较高的要求,可以用高速以太网连接来实现。电子教学的具体形式有: 6、多媒体教学 在教室中教
14、师拥有计算机和多媒体演示设备,如投影仪等。教师将多媒体教学的图形、视频、音频等信息通过演示设备反映到投影屏上,把许多枯燥、难以理解的内容生动地表现出来,从而大大改善学习效果。 7、教学机房 多媒体教室中应保证学生人手一台计算机,教师则拥有计算机和多媒体演示设备,如投影仪等,教室内各计算机通过网络互联。这样多媒体教学的图形、视频、音频等信息不仅要通过演示设备反映到投影屏上,还应能通过网络和特定软件系统向各 PC 传递出去,发送到每个学生面前;同样通过网络,学生还能对所学内容做出反映回馈教师,实现交互式教学,而不仅是被动地接收。这样可以极大地激发学生的学习兴趣和创造力,老师也能及时了解学生对知识的
15、掌握情况,做到因材施教,从而大大改善学习效果。 8、电子图书馆 传统图书馆的资料管理通常是一项很繁琐的工作,图书管理员不仅要随时整理和更新库中资料,而且每本资料只能由一人借阅。有了电子图书馆以后,所有资料可以以电子文档形式存入大容量服务器中,通过网络向图书馆内、甚至教室、办公室或宿舍内的客户机开放,这样师生们可以不受时间、空间限制随时查阅所需资料,同时实现了同一资源的多人共享;资料包含的内容不仅为文字,还可以是图像、声音等多媒体信息,甚至还能是一段电影,可谓丰富多彩;当然这样的开放也不是无条件的,每人都有的电子借书证(网络帐号),凭此在许可范围内借阅;同时,图书管理工作也由机器来完成,除了提供
16、方便快捷的检索工具外,还可以跟踪每人的借阅记录,了解各类信息的受关注程度。 9、多媒体教育资源库 教育部的多次会议强调学校要建立内容丰富的教育资源库,包括电子图书、教育论文、教案、课件、图片、视频、音效、电影等学校日常教学、教师进修、学生自学的教育资源,教师可以备课、制作课件,学生可以自主学习、探索式学习。 10、 内部信息共享 内部信息共享是指比多媒体教室和电子图书馆更为灵活的教学应用:它既不局限于单一的教室,但也不一定面向全校,而是可以在或大或小的范围内进行。例如教师可以把作业、试题库或一些辅导材料留在特定的计算机中由本班学生下载,教师之间也可以通过网络相互交流经验,共同设计最佳的教学方案
17、内部信息共享的程度取决于校园网的覆盖范围和应用软件的功能。 11、 职能管理: 除电子教学外,学校的各项管理工作的现代化也势必要通过网络来实现。相对教学而言,这部分数据较为简单,以文字、图形为主,因此对网络性能要求不高,却将系统的安全、可靠、经济等特性列为考察重点。学校的管理工作包括:校长决策、总务管理、教务管理、财务管理、档案管理、图书管理、体卫管理、校产管理、办公管理等,各学校可根据机构设置和实际需要作相应取舍。各项管理的结果不仅是将各部分数据作电子存档,更应在全校范围内真正实现共享,做到准确、及时、方便的信息交流,它一般可以采用界面友好的浏览器形式来操作。 12、 远程教育: 远程教育和
18、互联网的引入也可称为通讯服务,它突破了局域网对地域的限制,用路由器来实现与其它教育机构或ISP(Internet 服务提供商)的广域网连接。它要求网络具备更高的安全性、灵活性、可扩展性,同时还需考虑广域网链路的经济性。远程教育既可以是学校内部分支的连接(Intranet),也可以面向在家的师生,还可以面向当地信息港、中国教育科研网和互联网。而互联网的接入将具有更广阔的商业前景。远程教育建起了一座跨越地域、不受规模限制的虚拟学校,将教学信息通过网络向更远处传播,对学校而言引进了更多的事业和机会,对学习者而言也提供了更多的选择。13、 无线网络: 随着校园网应用的普及和应用水平的不断提高,网络与工
19、作和生活的关系越来越密切,而学校中的网络终端资源却很有限,越来越难以满足师生的需求。无线局域网技术的日趋成熟可以为此提供更加高效灵活的解决方案,可以用较少的投资获得空前的应用灵活性。随着国家对中国教育行业的更加重视并加大投入,中国教育网的建设得到了国家更大的支持并得到了更加广泛的应用,并已经成为一种其它方式不能代替的获得资源的重要手段,因此教师和学生对网络的依赖也越来越强,随时随地能够从网络获得相要的资源成为教育用户追求的目标。一般来说,如教室、图书馆、会议室、操场、食堂、校园园区等地方一般是不可能布设太多信息点的,但是随着学生中笔记本电脑的普及和现代化教学的普及,上述场所往往在同一时刻有大量
20、的电脑,而目前的有线校园网没有办法使学生们在这些区域都能够上网。采用无线方式,在有限的信息点上连接无线接入器,就可以轻松从一个信息点扩展到成百上千个信息点的应用。 国际上已经把拥有无线校园网作为现代化校园的一个标志,中国的大学无线校园网的建设已经如火如荼的展开了,我们中原工学院也应在这点做好先前的准备,迎战未来。14、 视频点播 : VOD(Video on Demand)是视频点播技术的简称,也称为交互式电视点播系统,意即根据用户的需要播放相应的视频节目,从根本上改变了用户过去被动式看电视的不足。当您打开电视,您可以不看广告,不为某个节目赶时间,随时直接点播希望收看的内容,就好像播放刚刚放进
21、自己家里录像机或 VCD机中的一部新片子,但是您又不需要购买录像带或者 VCD盘,也不需要录像机或者 VCD 机。这就是信息技术带给您的梦想,它通过多媒体网络将视频节目按照个人的意愿送到千家万户。对于校园网的用户,学校可以开展多媒体视频点播教学服务。通过把好的课件放到 VOD服务器上,让学生们进行点播,可以灵活的开展教学服务,把枯燥的课堂教学转变成为丰富的媒体服务。15、 宽带上网 : 在信息化的今天,人们已经把网络当成获取信息的重要的源泉,而 WEB 应用则起到了举 足轻重的作用。绝大多数的人都是通过浏览 WEB页面来获取新知。校园网应该是宽带上网的 前沿阵地,学生们可以通过网络获取丰富的知
22、识,增加与其他学校学生,甚至其他国家学生 交流的机会。宽带的网络相比窄带的拨号有着非常大的优势,通过宽带上网就能够真正实现 网上冲浪。九、 建筑物之间的距离和环境因素校园内各个建筑物采用的是光纤连接的,而这里只以建筑物之间实际距离为准。包括:建筑物之间的水平距离和垂直距离。水平距离是就是建筑物之间水平相聚多远,如:基础实验楼到综合楼大概是50M;垂直距离是某一建筑物的一楼到顶楼之间的距离,如:基础实验楼一楼到九楼的垂直距离大概是24Mn 网络设计原则与目标网络设计目标与原则:开放性原则:通过采用结构化、模块化、标准化的设计形式,满足系统及用户各种不同的需求,适应不断变革中的要求。以满足系统与功
23、能为目标,保证总体方案的设计合理,满足用户的需求,同时便于系统使用过程中的维护,以及今后系统的二次开发与移植。1、可扩展性原则系统要有可扩展性和可升级性,随着学院不断的扩招,业务的增长和应用水平的提高,网络中的数据和信息流将按指数级增长,需要网络有很好的可扩展性,并能随着技术的发展不断升级。设备应选用符合国际标准的系统和产品,以保证系统具有较长的生命力和扩展能力,满足将来系统升级的要求。2、先进性与实用性原则当前计算机网络技术发展很快,设备更新淘汰也很快。这就要求校园网建设在系统设计时既要采用先进的概念、技术和方法,又要注意结构、设备、工具的相对成熟。只有采用当前符合国际标准的成熟先进的技术和
24、设备,才能确保校园网络能够适应将来网络技术发展的需要,保证在未来若干年内占主导地位。同时由于学校资金并不是很充足,不可能一步到位。另一方面,学校的应用水平参差不齐,某些系统即使安装了也利用不起来,因此,在校园网的建设过程中,系统建设应该在先进性的指导下终贯彻面向应用,注重实效的方针,坚持实用、经济的原则。3、安全性与可靠性原则网络系统应具有良好的安全性。由于校园骨干网络为多个用户内部网提供互联并支持多种业务,要求不仅能进行灵活有效的安全控制,同时还应支持虚拟局域网、虚拟专用网,以提供多层次的安全选择。 在系统设计中,既考虑信息资源的充分共享,更要注意信息的保护和隔离,因此系统应分别针对不同的应
25、用和不同的网络通信环境,采取不同的措施,包括系统安全机制、数据存取的权限控制等。同时网络必须是可靠的,包括网络物理级的可靠性,如服务器、风扇、电源、线路等;以及网络逻辑的可靠性,如路由、交换的汇聚,链路冗余,负载均衡,QoS等。由于大学中IPv6,流媒体,视频点播,VoIP等视频和语音项目经常走在社会前列,因此网络必须具有足够高的性能,满足业务的需要。4、可维护性原则由于校园骨干网络系统规模庞大,应用丰富而复杂,需要网络系统具有良好的可管理性,网管系统具有监测、故障诊断、故障隔离、过滤设置等功能,以便于系统的管理和维护。同时应尽可能选取集成度高、模块可通用的产品,以便于管理和维护。由于学校资金
26、并不是很充足,不可能一步到位。另一方面,学校的应用水平参差不齐,某些系统即使安装了也利用不起来,因此,在校园网的建设过程中,系统建设应始终贯彻面向应用,注重实效的方针,坚持实用、经济的原则。网络设计目标:校园网络系统基本可分为校园网络中心、教学子网、办公子网、图书馆子网、宿舍子网及后勤子网等。 1、校园网络中心的设计l网络中心设计主要包括主干网络的设计、校园网与Internet的互连等。2、主干网络的设计主干网络采用NE40交换机作为校园网的中心路由器,它适用于大型主干网络和高速率、高端口密度、多端口类型的复杂网络,并采用8512中心交换机用于校园网内部的汇聚,并通过防火墙连接NE40。3、校
27、园网与Internet的互连:采用专线接入方式,目前采用CERNET300M线路+两条CNC100M线路,共计500M,以专线方式连入Internet,并提供防火墙、计费管理等功能。教学子网的设计l校园网建网的目的之一,是利用网络实现多媒体教学,如:交互式多媒体课堂、电子阅览室、教师培训等。多媒体教学的难点在于实现视频信号的传送(如VOD视频点播)。目前在局域网上实时传送高质量的视频数据还未成熟,但传送压缩后的视频数据确是可行的。通过2150直接连接学校核心交换机8512。4、办公子网的设计:办公子网主要面向学校的各级领导及各职能部门,能够实现对网络数据的查询、修改、添加、删除等操作,同时,应
28、该能够满足支持视频传送的要求。并满足教师的办公自动化,既OA。通过2150本子网直接连接学校核心交换机8512。OA软件采用清华大学的软件。5、图书馆子网的设计:图书馆是一个相对独立的系统,无论再用户和带宽需求上面均比较低,因此可选择较为便宜的交换机。 图书馆管理系统的应用软件产品较多而且相对成熟,目前学校采用的是学校教师自己开发的软件。 6、宿舍区子网及后勤子网等的设计:宿舍区子网即在学生宿舍内部连网,用以直接浏览学校发布的信息及查阅一些电子文档资料;并能通过认证访问Internet。由于宿舍楼宇较多,因此每楼宇主要采用rg-2126的级联满足多用户的端口需求,进行汇聚,并通过882接入85
29、12。学生认证采用锐捷的认证计费系统。 后勤子网覆盖范围不大,主要用途有食堂IC卡计费系统等。由于宿后勤子网对带宽的要求并不高,因此学校唯一一个尚未改造的集线器,提供16个集线器端口,能够自动适应所接设备的速度 (10/100Mbps),就在这里服役。综上所述,高端设备主要采用华为网络产品,一般设备采用锐捷的设备,即可构建一个完整、先进、可靠的校园网络硬件平台,从而有利于校园网信息系统的使用、维护、扩充、升级,并能有效控制资金。n 网络逻辑结构设计网络逻辑结构设计1、网络拓扑结构设计由于原有设备已考虑的很先进,可以提基本保持原状,在主要上网密集地方添加无线上网设备,并增加一根电信的线路,增加总
30、带宽。同时,在8512上增加一个流量监控,限制BT和迅雷的速度,给web应用提供更多的带宽。2、Ip地址方案 具体各建筑物、各部门网络IP地址分配如下表:部门IP地址段分配机制所处建筑物多媒体教室222.22.36.33/27静态东教学楼信息中心222.22.35.33/27静态综合楼 1服务器群222.22.32.0 /24静态综合楼 2信商学院办公222.22.34.0 /24动态综合楼 1亚太学院222.22.46.0 /24静态/动态综合楼 21号学生宿舍222.22.41.0 /24动态1号学生宿舍楼2号学生宿舍222.22.42.0 /24动态2号学生宿舍楼3号学生宿舍222.22
31、.43.0 /24动态3号学生宿舍楼4号学生宿舍222.22.44.0 /24动态4号学生宿舍楼5号学生宿舍222.22.45.0 /25动态5号学生宿舍楼6号学生宿舍222.22.45.128 /25动态6号学生宿舍楼图书馆222.22.36.128 /25静态图书馆楼对于学生宿舍,通过锐捷身份认证系统对学生连网进行身份认证和计费管理,在认证前统一动态分配私有IP 地址,认证后分配共有IP地址。通过NAT转换实现认证前可以通过私有IP访问校内外部分服务。身份认证前分配给各宿舍楼的私有IP地址段见下表:学生宿舍楼 1学生宿舍楼 2学生宿舍楼 3学生宿舍楼 4学生宿舍楼 5学生宿舍楼 6192.
32、168.40.0 /23192.168.42.0 /23192.168.44.0 /23192.168.46.0 /23192.168.48.0 /23192.168.50.0 /23对于学校信息中心机房,由于各机房机器众多,所以对各机房均采用静态分配私有IP 地址,通过代理服务器上NAT转换连接Internet网络,并且各个机房被划分为单独的VLAN 以利于管理和安全。3、VLAN的划分InternetROUTEFile wailVPN,FTP,DNS,mail ,nat服务器172.1615.124Dmz区核心switch亚太实验室vlan2172.16.2.0计算机中心Vlan3172.
33、16.3.0东教学楼vlan4172.16.4.01,2,3,4,5,6,号宿舍楼主教学楼Vlan6172.16.6.0图书馆Vlan5172.16.5.0DHCP.sam服务器Vlan7172.16.7.01号,vlan8172.16.8.02号,vlan9172.16.9.03号,vlan10172.16.10.04号,vlan11172.16.11.05号,vlan12172.16.12.06号,vlan13172.16.12.04、互联网接入方案由于互联网应用对于日常生活的重要性,其Internet接入方案必须在接入带宽、访问速度、网络可靠性、网络安全性等方面都得到切实、可靠的保障。根
34、据用户对互联网专线的电路品质和可靠性的需求,我们建议如下接入方案:采用专线接入方式,目前采用CERNET300M线路+两条CNC100M线路,共计500M,以专线方式连入Internet,并提供防火墙、计费管理等功能。鉴于我国网络的实际情况,web服务器有多置于电信线路,因此应添加一条电信的线路,不仅增加带宽。同时使我校网络拥有三线接入,使网络利用更为充分。5、安全方案安全策略越来越成为学校计算机网络的关键因素。特别是随着多协议新业务的发展、电子商务、网上办公、各种中间业务的应用,学校网络不再是一个封闭的网络,极大地扩展了学校的业务,提高了学校的竞争力,但同时也带来网络安全的风险。网络设计中必
35、须制定网络安全策略,保证内部网络的完整性和安全性。 所谓安全威胁,就是未经授权,对位于服务器、网络和桌面的数据和资源进行访问,甚至破坏或者篡改这些数据/资源。从安全威胁的对象来看,可以分为网络传送过程、网络服务过程和软件应用过程三类。网络传送过程主要针对数据链路层和网络层协议特征中存在的漏洞进行攻击,如常见的监听、ip地址欺骗、路由协议攻击、ICMP Smurf攻击等;网络服务过程主要是针对TCP/UDP以及局域其上的应用层协议进行,如常见的UDP/TCP欺骗、TCP流量劫持、TCP Dos、FTP反弹、DNS欺骗等等;软件应用过程则针对位于服务器/主机上的操作系统以及其上的应用程序,甚至是基
36、于WEB的软件系统发起攻击。从安全威胁的手法来看,蠕虫、拒绝服务、舰艇、木马、病毒都是常见的攻击工具。(1)路由器和交换机的安全功能 路由器实现的网络安全技术有: VPN技术:IPSec、GRE;包过滤技术;日志功能;NAT网络地址转换;PPP协议PAP、CHAP认证;PPP协议Callback技术;IP地址MAC地址绑定技术;路由信息认证技术; IEEE 802.1Q VLAN技术(2)安全措施a.基于包过滤的防火墙技术 路由器支持基于包过滤的防火墙技术,防火墙访问列表根据IP报文的IP报头及所承载的上层协议(如TCP)报头中的每一个域包含了可以由路由器进行处理的信息。包过滤通常用到的IP报
37、文的以下属性: IP的源、目的地址及协议类型 TCP或UDP的源、目的端口 ICMP码、ICMP的类型码 TCP的标志域 服务类型TOS IP报文的优先级(precedence)b.日志功能 日志(log)功能用于将路由器产生的各种信息以日志形式记录到具备Syslog功能的主机上(如Unix主机或运行Syslogd的主机)。日志功能与访问列表功能相结合可以任意定义所要记录的信息,以备查用,如跟踪记录黑客攻击报文等。c.NAT网络地址转换技术 网络地址转换,用来实现内部网络私有地址和外部网络公共地址的相互转换,它的优点在于避免了内部非法地址和外部公共地址间的冲突,屏蔽了内部网络的实际地址,隐藏了
38、内部网络的结构,增强了对外部网络访问的可控性,也增强了外部网络对内部网络访问的可控性。 选择路由器支持静态地址翻译(SNAT)、端口地址翻译(PAT)、动态地址翻译(DNAT)。可以支持带访问列表的地址转换,用来限定可以进行地址转换的内部主机地址,有效地控制内部主机对外部网络的访问;同时还可以根据地址池,进行多对多的地址转换,合理地利用公共的合法IP地址资源;利用网络地址转换,可以在屏蔽内部地址的同时,确保了对外的各种网络服务的安全性。d.IP地址MAC地址绑定技术 MAC地址绑定技术是通过在路由器中静态配置IP地址和MAC地址的映射关系来完成ARP应答来实现的.e动态路由协议认证技术 路由器
39、是根据路由信息来发送报文的,而路由信息恰恰又是通过网络在不同的路由器间转发的。所以,在接受任何路由信息之前,有必要对该信息的发送方进行认证,以确保收到的路由信息是合法的。我们学校校园网配置OSPF协议。f.访问控制 也可以在核心交换机或者汇聚交换机上设置访问控制,比如限制不同网段之间的互访,但是允许这两个网段对中心服务器的访问。设置允许两个网段上特定的主机可以访问外网和Internet等。 在核心交换机上可以设置ACL访问控制列表,端口监控等,控制和管理特定服务,如允许http、Mail、Ftp等服务,而禁止其他不需要的服务和端口,如禁止外部发起的ICMP报文等;采用NAT地址转换技术,实现上
40、网。可以采用静态、动态NAT,PAT等多种方式,对于内部某些对外的服务器,如Web服务器、Mail服务器、DNS服务器、FTP服务器等,可以采用静态NAT方式建立内外网地址和特定端口之间的静态映射。而一般用户可以采用动态地址池,端口地址转换等方式实现上网。g. 防arp攻击防arp攻击这项功能,在统计周期和吞吐量的设定上最好使用默认配,只需要在全局和端口下开启此功能即可。我们可拥有内建的防制ARP功能,借助自动检视封包的机制,侦测过滤可疑的封包,做为防制ARP攻击的第一道防线。当然如果网管人员可搭配IP /MAC双向绑定,在路由器端以及各个系所或是宿舍内的PC端进行IP/MAC绑定,即可达到防
41、堵ARP无漏洞的效果。另外一方面,由于网络信息包罗万象,有许多不当应用或网站例如BT下载等,对于校园学子风气有不良的影响,应透过防火墙Access Rule存取规则或网页内容管制设定,针对特定的网域或关键词搜寻予以封锁服务。(3)主机的安全主机是最可能被攻击的目标之一,同时从安全方面也有最多的困难。学校网中有很多不同的硬件平台、操作系统、和应用程序。因为主机要向网络中其他机器提供服务,所以主机在网络中必须是可见的,因此主机是最可能被尝试侵入的。为保证主机的安全,需要注意到系统中的每一部件。保持操作系统和防毒软件的及时的更新;安装适当的经过测试的补丁程序。虽然强效防火墙,可防止一般的攻击,但目前
42、许多病毒与攻击层出不穷,校园网络又如此庞大,因此万一不幸中毒,也希望可以尽量缩小感染的范围,不致扩散到整体网络。因此,各个系所以及学生宿舍都必须建置基础的VLAN隔离,才不会导致某一层宿舍里某个学员中毒,造成整个学生宿舍网络全面感染中毒的状况。 VLAN的概念是让网管依据不同网段,划分出不同的局域网,比如宿舍区可区分为一楼、二楼、三楼等不同VLAN,再使用VLAN功能将一楼、二楼、三楼不同局域网区分为VLAN1、VLAN2、VLAN3作为隔离。如此一来不同VLAN的局域网便不能互相访问,便可限制病毒与无用信息流通。也就是说,当一个VLAN中(例如:一楼)有人不幸中毒,只会影响同一个VLAN(一
43、楼)内的VLAN,不会扩散到整个学生宿舍,可有效避免广播及病毒封包迅速扩散全网,大大降低感染区域。6. 管理方案添加流量管理设备,更换其他流量监控软件,计费管理仍可使用ruijie。7. WLAN的设计WLAN 通信系统作为有线 LAN 以外的另一种选择一般用在同一座建筑内。WLAN 使用 ISM (Industrial、Scientific、Medical) 无线电广播频段通信。WLAN 的 802.11a 标准使用 5 GHz 频段,支持的最大速度为 54 Mbps,而 802.11b 和 802.11g 标准使用 2.4 GHz 频段,分别支持最大 11 Mbps 和 54 Mbps 的
44、速度。建议在主教楼,东教楼,图书馆,及学校操场安装虚拟局域网设备,满足绝大多数用户的上网需求,把我校的无线上网提升到先进水平。本方案采用千兆干线,百兆交换到桌面”的设计思路,各骨干线路均为1000M光纤。所采用的骨干产品都支持802.1Q标准VLAN和IGMP组播协议,全部支持网管到桌面。网络建成后,能很好地满足网吧的各项业务应用需求,达到了预期目的。n 网络物理结构设计网络物理结构设计1、网络物理技术的选择和设备的选择本部分于网络设计目标部分相辅相成,建议采用如下设备:网络中心:网络中心作为全校的信息核心,采用华为8512高端多层交换机,边界采用华为NE40路由器。主教楼:主教学楼主要对办公
45、用户提供网络服务,该楼网络流量并不大,主要用于OA。采用锐捷21系列可管理接入交换机即可满足需求。东教学楼:由于节点数目仅仅有20个,并且平时基本上没有什么网络流量,故采用一台锐捷21系列24口交换机即可满足需求。计算中心:计算中心是全校区的计算机实验中心,节点数目多,网络访问量大。采用锐捷37系列三层交换机作为汇聚层,在各个机房采用二层可管理交换机21系列接入。37系列交换机上连接NAT服务器提供计算中心的网络访问。基础实验楼:基础实验楼为办公和教学以及试验的综合教学大楼,节点数目较多,流量较大。采用锐捷的21系列可管理交换机。宿舍楼:宿舍楼人数多,流量大。在这里采用接入层交换机。考虑到安全
46、和方便管理,在次采用可管理的二层交换机。并在接入层交换机上开启计费认证功能,配合认证服务器,和DHCP服务器的OPTION 82功能使得认证前用户为192.168.x.x的私有地址,可以访问校园网的服务器。认证过后重新分配为222.22.x.x的公有ip,可以访问Internet。结合此特点,可以采用锐捷的21系列可管理交换机。后勤楼:本部分流量及节点数均不大,因此保持原有的集线器也可满足正常使用。2、综合布线设计方案(含介质的选择和布线的铺设)从洪湖职院实际情况出发,校园网工程分为三个阶段完成。第一阶段实现校园网基本连接,第二阶段校园网将覆盖校园所有建筑,第三阶段完成校园网应用系统的开发。学院校园网建设的一
