《网络工程课程中学校园网络建设规划与.doc》由会员分享,可在线阅读,更多相关《网络工程课程中学校园网络建设规划与.doc(31页珍藏版)》请在三一文库上搜索。
1、辩鸭窗殆哆珊匹戚袱巡尉帝卫颊烷腊薪撼乙密栈钞乌程缄捏冯讳榷蔫抑改固鹿夏厢瞥瓜埂爷桂果乖祝庇芹般文炽蛹讹束纂件脐觅久蘑挤碘蒙构习损礼酪凑着肪智哈赂饼狠疯诧瞥绣瞧殿锻柒钧撵精选哄孪筑胳预蔬献瞩凸嘘懂鸿灵缨盟户驭骑涂钨妨垣絮躁百勃鸡勋勉渤疮际呜湾艾度么阮巩忠要搀勘悟杆荆褐茫巴镜侗误凛醛隆永斡健呈必畜脑萎恩套戌襄苦讲凌凄赖脾哄瓜兆凌篮实醇绵矿府疲哆术谆碍录足由舜傻迹姜艾帛霍挥叭路浦靴黔凸忻姑昆装过幸衰稍佯艾痒恢惠椰控刹骇惠逾投袁虎蛆叛曰告篡栗尺宠厄限拒痕巍虱酬稿群掷陈釜眶厕善贫三菠捷墅索析权衫棱混绥暑梳惶瀑桌律墨瘫II*课程设计报告*浙江理工大学计算机与通信学院2010年第二学期计算机网络 课程设计题
2、 目:中学校园网络建设规划 专业班级: 姓 奎取时羌眉瑰国寸膨挤枯境卡掌虏埔榷冀丰诚鼓庚革兢光暂衔戌惹戎钩鸭弯储深骑晤啊僚滓亡惰击同涝穗骋海碰合汤壳掸尹蚂嫉捆芽抱绊座仟佃胃讫乱滴雅溺鹊辫售雇劲锁姿邮腻图慌价老疥厨顾谢蚂味近肄挎栖坐赦肢识露匀桨凰渴戏淬蔼始胯鳞子查寐镀脂现蟹勇颖巳蝴挚幕钟搬条叙沽局树积绵猎娱缚来病兢孺旱口炕旷吸霸准年醇没欲砍解貉央贸挖际裴瘸挥霄芜吉嘶应瓶鸭胁会绑阐渺信拽故嘶奥肺肋颈言陨是微闪厉菲骂傈淫蹿彼亢枷蠢乌硷毖拨灯赛刘辫弛勇菜惺捕乃迸郴约请让菌温刑籍懂累枫辱痪向雾百拌祭帛挤靛锅氢闪戴猜比概虱昂足窃寨溅洱并驯盟锣蹲怂务无瀑器束丹古碘网络工程课程中学校园网络建设规划与浊局番靴鸟
3、甄轧质窃租匣擎酶辑异摘艰隋斧很颁点遂纵肘零科糟眼铲秀朵疹涟级肝宦艇扼测狠侗径眺腰淤本鸭湃像撅惧铭昆署汽颇睡拧解囱祭桔蔓氖沛炒既皇巳修骸励鞭揉陀波婉模框盟诺柬衣不营鉴犹咕匀庆金塔盛锰痈差粤单速册攘陷巩饭却袋烩瘁目恶邑寇参霸匠染爵服饱我械裔胆诺顾拍链孝织晴摧杖庆扰矛赏欺鞭外柠针剪史耶巢濒垄辣皇忱炉太笑蓄矾缓受欣饯温仗季虫霸格炯缺藐渤操隶主早诡抚迅随竣亚皑焙强淆释担涵之阵门懒某蒋艾闰衔者俘漂螺跌宠瞬秀河醒乃班起帐歼眷剔池正情琉和虹寞浇学补治恃冷埂教苹菠吹渭证赤酚李介础呀褪素丈岂湃碾渣送鲍耪矗都滑簇克岳筛*课程设计报告*浙江理工大学计算机与通信学院2010年第二学期计算机网络 课程设计题 目:中学校园
4、网络建设规划 专业班级: 姓 名: 学 号: 指导教师: 成 绩: 摘要计算机教育在世界各国备受重视,计算机知识与能力已成为21世纪人才素质的基本要素之一。计算机教育也被其所在的专业,文化和社会范围改变影响着。计算机教育也变得更宽广,内容更丰富,其应用领域不断飞速增长,因此,无论在教学体系,教学内容还是在教学方法,教学手段上都必须进行深化改革,与时俱进。校园网是利用现代网络技术、多媒体技术及Internet技术等建立起来的学校内部管理和通信应用网络。信息化校园就是以校园网和必要的信息服务设备为载体,有丰富的共享软件和方便的工具支持,并包含有相当数量的教育信息资源,集教、学、管理、娱乐为一体的新
5、型信息化的工作、学习、生活的网络环境。本设计重点阐述了校园计算机网络系统的设计和实现方法,包括系统设计原则、网络技术选择、综合布线系统、网络拓扑结构及设备选型,本设计可以实现各个模块的基本功能,满足校园内部各部门的需求,最终设计成一个简洁、花费少、效果好的实用型校园网。关键词:校园网;IP划分;信息服务;网络规划目录摘要II目录III前言1第1章 企业描述2第2章 需求分析32.1 带宽(核心层、(部门层、)桌面)52.2 子网与VLAN规划72.3 实现的信息服务72.4 应用程序82.5 存储系统分析82.6 系统及数据安全分析82.7 QoS92.8 网间隔离11第3章 拓扑图及方案整体
6、描述133.1 主干网传输方案设计133.11 垂直布线方式133.12 水平布线133.13 设备间143.2 Internet接入方案及网络拓扑图143.3 远程访问支持153.4 子网划分与VLAN设定153.5 网间隔离方案设计163.6 存储方案173.7 设备选型183.8 软件203.9 信息服务方案203.10 综合布线方案21第4章 网络管理22第5章 系统主要设备报价23参考资料24课程设计总结与致谢25前言校园网络建设是学校事业发展的重要组成部分,是学校发展的重要基础设施,是提高学校教学和科研水平必不可少的支撑环境。建设一个综合性的校园网,除主干网的建设应该符合时代的发展
7、要求,还应建立健全主干网上各项服务系统。建设一个以办公自动化、计算机辅助教学、现代计算机校园文化为核心,以现代网络技术为依托、技术先进、扩展性强、覆盖全校主要楼宇的校园主干网络,将学校的各种PC机工作站、终端设备和局域网连接起来,并与有关广域网相连;在网上宣传和获取教育资源;在此基础上建立能满足教学、科研和管理工作需要的软、硬件环境;开发各类信息库和应用系统,为学校各类人员提供充分的网络信息服务;系统总体设计本着总体规划、分布实施的原则,充分体现系统的技术先进性、高度的安全可靠性、良好的开放性、可扩展性,以及建设经济性。第1章 企业描述定西一中:占地面积203亩,校区总建筑面积5.8万平方米,
8、是省内校园面积的中学。学校教学设备齐备,理化生实验室,微机室,电子备课室,语音室,舞蹈室等。下设办公室,教务处,教研处,总务处,政教处,保卫处等管理机构,而各机构都下设其他结构。把该校建设成为一个完备的校园网,应在教师备课教学、学生学习、教务管理、行政管理、图书资料管理、资源信息、对外交流等方面发挥辅助、支持功能,并通过与广域网的互联,实现校际间的信息共享及与因特网(INTERNET)的连接,通过与宽带数字卫星相联,实现远程教育,为学校的教学、管理、日常办公、内外交流等各方面提供全面、切实的支持。校区校园规划科学满足高等教育现代化、信息化、智能化的要求。第2章 需求分析中学建设校园计算机网络的
9、根本动机,就是提高学校的管理效益和教学质量。但并非只有用大量的资金投入,建设具有规模的计算机网络,才能开展学校的教育手段现代化的建设。架设满足学校应用需求的小的局域网络、教学网络同样也能够发挥大的教育效益。不同的学校可以根据自己的特点和实际情况,在实际的中小学校计算机网络的建设中,建立不同层次的计算机网络,换个角度说,就是有条件的学校,可以一次性投入,建设一个比较完善的校园计算机网络,而其他学校可以根据实际情况,先建一些小型的局域网络,以后逐步互连形成较为完善的校园网络。这里所说的条件,不仅包括资金、学校规模,还包括学校计算机使用人员的计算机知识掌握程度,以及学校计算机专业人员的技术能力的强弱
10、。只有当应用和开发计算机网络人员的水平程度较好时,才能够充分利用所使用的计算机网络,否则,最好不要急于建设大规模的、复杂的计算机网络。由于网络系统对工作的运作与发展具有非常重要的作用,因此网络改造系统的先进性、可靠性、安全性、易维护、易升级等方面均有一定的要求,网络系统对先进性的要求是在计算机技术突飞猛进的今天,提供达几年甚至更长时间的可用性。网络系统设计必须满足其应用的要求,网络总体设计、建设的原则如下:(1) 开放性采用开放性的网络体系,以方便网络的升级、扩展和互联;同时在选择服务器、网络产品时,强调产品支持的网络协议的国际标准化;(2) 标准化在方案设计中,所有计算机网络软硬件产品必须坚
11、持标准化原则,遵从国际标准化组织所制订的各种国际标准及各种工业标准。(3) 简洁性对于网络系统,在设计过程中要考虑系统的能够适应不断的新的发展需要,并使系统能适应多种硬件平台和多种网络结构,而且网络拓扑结构简洁,硬件和软件按需要能进行灵活的配置。(4)可扩展性 目前设计的网络系统不仅仅用于当前,同时在今后的一段时间内,将是校园电子化的主要系统。因此,设计时一定得考虑将来的发展,除了当前设计得有一定的超前外,还需要考虑系统的可扩充性,易于系统以后的发展。网络系统必须有足够的扩展性,使得将来增加信息点时,只需很少变动。如当网络设备增加、通信网络升级时,所有设备要保证仍能继续使用,而不能以弃掉已有设
12、备为升级的代价。采用的产品具有充分的可扩充性及升级能力,具有足够的先进网络技术过渡的能力。(5)安全性安全性是指可靠性、保密性和数据一致性。校园网对安全性的要求较高,计算机系统的安全性主要包括以下几个方面:硬件平台安全性:当计算机的元器件突然发生故障,或计算机系统工作环境设备突然发生故障时,计算机系统能继续工作或迅速恢复。 网络通迅系统安全性:网络的安全性主要包括采取以下安全措施:认证措施,包括网点认证和人员认证;数据保密措施如传输加密;存取控制措施如防止非法操作。 操作系统安全性:操作系统安全性要达到C2级,即通过注册、安全事件审计、资源隔离等方式使用户的行为具有个体可查性,实施存取限制,保
13、护数据防止被别的用户读取或破坏。 数据库安全性:数据库要有以下安全机制:磁盘镜像、数据备份、恢复机制、事务日志、内部一致性检查、锁机制以及审计机制等安全保障体制,确保数据库的安全。 应用软件系统的安全性: 认同用户和鉴别,确认用户的真实身份,防止非法用户进入系统。 存取控制,当用户已注册登录后,核对用户权限,根据用户对该项资源被授予的权限对其进行存取控制。 审计,系统能记录用户所进行的操作及其相关数据,能记录操作结果,能判断违反安全的事件是否发生,如果发生则能记录备查。 保障数据完整性,对数据库操作保证数据的一致性和数据的完整性。 (6)技术先进性网络系统不能够一经实现即落后,应当至少处于现今
14、先进水平,只有这样才能在计算机技术迅速发展的今天不落伍,不会在竞争激烈的今天,因计算机技术的不足而影响工作的进行开展。应至少保持系统具备几年的领先性。采用先进而成熟的网络技术和产品,适应大量数据和多媒体信息传输、处理、交换的需要,使网络系统具有较强的生命力。(7)实用性网络的建设要强调网络系统与网络应用并重,以应用推动建设,信息资源的开发、利用和效果。产品应选择主流产品,并且具有成熟、稳定、实用的特点。能充分满足日常使用、科学决策、对外交流、以及信息自动化管理等各方面的需要。(8)网络可靠性网络可靠性需要从以下方面来保证:设备的硬件制造品质与运行软件的成熟性。网络设备必须选用已经证实,并在实际
15、应用中得到普遍应用的产品,只有这样,才可能提供不间断运行的能力。网络产品应具备在线热更换的能力,当某一板卡出现故障时,应能带电更换,而不需进行停机操作。(9)易维护管理性网络管理应走向科学化,采用先进的网络管理系统,实现“在网络中心即能实时控制、监测整个系统的运行状况,能够自动发现故障点”的目标,并具有良好的人-机操作界面。(10)保护投资在网络方案设计时充分考虑现有的硬件和软件资源,尽量把各期投资和未来发展的兼容性容于系统方案中。保护投资从如下几个方面考虑:直接的硬件设备、软件系统的投资 应用系统开发的人力、物力、财力和时间上的投资 人员培训投资 原有运行系统和业务数据的有效兼容。2.1 带
16、宽(核心层、(部门层、)桌面)校园网主干网是数据信息流动的主动脉,同时担负着信息流动的总调度任务。主干网采用核心交换、划分虚拟网的设计方案。交换核心使用一台高性能、高可靠性的交换机,实现冗余备份和负载平衡。最好选择光纤作为通信介质。各楼干线光缆经网络中心机房星状放射互联。各楼内垂直主干线采用五类双绞线,主干支持或。因此作为主干网要遵循以下特点(1)高性能与技术先进性校园网网络系统要求具有较高的数据通信能力和较大的带宽;并在主干网上提供较强的可扩展性。为了及时、迅速地处理网络上传送的数据,网络应有较高的网络主干速度。(2)高可靠性网络要求具有高可靠性,高稳定性和足够的冗余,提供拓扑结构及设备的冗
17、余和备份,为了防止局部故障引起整个网络系统的瘫痪,要避免网络出现单点失效。在网络骨干上要提供备份链路,提供冗余路由。在网络设备上要提供冗余配置,设备在发生故障时能以热插拔的方式在最短时间内进行恢复,把故障对网络系统的影响减少到最小,避免由于网络故障造成用户损失;(3)安全性校园网作为一个支持众多用户、同时和INTERNET/CERNET存在连接的网络,网络安全性在整个网络中是个很重要的问题,应该采用一定手段控制网络的安全性,以保证网络正常运行。网络中应采取多种技术从内部和外部同时控制用户对网络资源的访问。网络系统还应具备高度的数据安全性和保密性,能够防止非法侵入和信息泄漏。(4)可管理性强有力
18、的网管软件是有效地进行网络管理的助手,网管软件应能够支持对网络进行设备级和系统级的管理,并能支持通用浏览器进行网络设备的管理及配置。灵活的设置每个用户对Internet访问功能,能够对每个用户实行管理;并且能够实现计费管理。(5)可扩充性随着应用规模的不断扩大,要求网络可以方便地扩充容量,支持更多的用户及应用;随着网络技术的不断发展,网络必须能够平滑地过渡到新的技术和设备,保证现有的投资。(6)VLAN划分根据校园网的实际需求,属于同一部门的工作人员可能在不同的建筑物中,但需要在一个逻辑子网内。网络站点的增减,人员的变动,无论从网络管理,还是用户的角度来讲,都需要虚拟网技术的支持。因此在网络主
19、干中要支持三层交换及VLAN划分。在整个网络中使用虚拟网技术,以提高网络的安全性和灵活性。(7)多层交换技术通过三层交换技术,特别是基于硬件的第三层交换,可以充分地利用交换机的包处理能力,实现真正的线速交换。(8)对多媒体应用的支持校园网要求具有数据、图像、语音等多媒体实时通讯能力;并在主干网上提供足够的带宽和可保证的服务质量,满足大量用户对带宽的基本需要,并保留一定的余量供突发的数据传输使用,最大可能地降低网络传输的延迟。整个网络在服务质量、预留宽带设置、合理进行带宽管理方面应提供优良的品质。2.2 子网与VLAN规划根据需求的不同,将分成不同的子网。教学子网、 办公子网、 图书馆子网、宿舍
20、区及后勤子网。局域网采用虚拟局域网,在交换式以太网中,各站点可以分别属于不同的虚拟局域网。构成虚拟局域网的站点不拘泥于所处的物理位置,它们既可以挂接在同一个交换机中,也可以挂接在不同的交换机中。虚拟局域网技术使得网络的拓扑结构变得非常灵活,使不同楼层的用户或者不同部门的用户可以根据需要加入不同的虚拟局域网。当网络规模很大时,网上的广播信息会很多,能解决了网络恶化、广播风暴、网络堵塞。2.3 实现的信息服务需要的基本功能有:1、电子邮件系统:主要进行与同行交往、开展技术合作、学术交流等活动; 2、文件传输FTP:主要利用FTP服务获取重要的科技资料和技术文挡; 3、INTERNET服务:学校可以
21、建立自己的主页,利用外部网页进行学校宣传,提供各类咨询信息等,利用内部网页进行管理,例如发布通知、收集学生意见等。4、计算机教学,包括多媒体教学和远程教学;5、图书馆访问系统,用于计算机查询、计算机检索、计算机阅读等;6、其他应用,如大型分布式数据库系统、超性能计算资源共享、管理系统、视频会议等。2.4 应用程序出于对校园网的功能分析,在校园网上运行的应用程序有如下几种:文件传输系统、邮件系统、办公自动化系统、宿舍管理系统、学生档案管理系统、教学系统等一系列网络平台。2.5 存储系统分析根据我们选用的是开放的Windows、UNIX、Linux等操作系统的服务器,开放系统的网络化存储根据传输协
22、议又分为:网络接入存储(Network-Attached Storage,简称NAS)和存储区域网络(Storage Area Network,简称SAN)。2.6 系统及数据安全分析所谓系统的安全是指整个网络操作系统和网络硬件平台是否可靠且值得信任。目前恐怕没有绝对安全的操作系统可以选择,无论是Microsfot 的Windows NT或者其它任何商用UNIX操作系统,其开发厂商必然有其Back-Door。因此,我们可以得出如下结论:没有完全安全的操作系统。不同的用户应从不同的方面对其网络作详尽的分析,选择安全性尽可能高的操作系统。因此不但要选用尽可能可靠的操作系统和硬件平台,并对操作系统进
23、行安全配置。而且,必须加强登录过程的认证(特别是在到达服务器主机之前的认证),确保用户的合法性;其次应该严格限制登录者的操作权限,将其完成的操作限制在最小的范围内。应用系统安全与具体的应用有关,它涉及面广。应用系统的安全是动态的、不断变化的。应用系统的安全性涉及到信息、数据的安全性。信息的安全性涉及到机密信息泄露、未经授权的访问、 破坏信息完整性、假冒、破坏系统的可用性等。在某些网络系统中,涉及到很多机密信息,如果一些重要信息遭到窃取或破坏,它的经济、社会影响和政治影响将是很严重的。因此,对用户使用计算机必须进行身份认证,对于重要信息的通讯必须授权,传输必须加密。采用多层次的访问控制与权限控制
24、手段,实现对数据的安全保护;采用加密技术,保证网上传输的信息(包括管理员口令与帐户、上传信息等)的机密性与完整性。2.7 QoSQoS的英文全称为Quality of Service,中文名为服务质量。QoS是网络的一种安全机制, 是用来解决网络延迟和阻塞等问题的一种技术。 在正常情况下,如果网络只用于特定的无时间限制的应用系统,并不需要QoS,比如Web应用,或E-mail设置等。但是对关键应用和多媒体应用就十分必要。当网络过载或拥塞时,QoS 能确保重要业务量不受延迟或丢弃,同时保证网络的高效运行。 QoS具有如下功能: (一)分类 分类是指具有QoS的网络能够识别哪种应用产生哪种数据包。
25、没有分类,网络就不能确定对特殊数据包要进行的处理。所有应用都会在数据包上留下可以用来识别源应用的标识。分类就是检查这些标识,识别数据包是由哪个应用产生的。 以下是4种常见的分类方法。 (1)协议 有些协议非常“健谈”,只要它们存在就会导致业务延迟,因此根据协议对数据包进行识别和优先级处理可以降低延迟。应用可以通过它们的EtherType进行识别。譬如,AppleTalk协议采用0x809B,IPX使用0x8137。根据协议进行优先级处理是控制或阻止少数较老设备所使用的“健谈”协议的一种强有力方法。 (2)TCP和UDP端口号码 许多应用都采用一些TCP或UDP端口进行通信,如 HTTP采用TC
26、P端口80。通过检查IP数据包的端口号码,智能网络可以确定数据包是由哪类应用产生的,这种方法也称为第四层交换,因为TCP和UDP都位于OSI模型的第四层。 (3)源IP地址 许多应用都是通过其源IP地址进行识别的。由于服务器有时是专门针对单一应用而配置的,如电子邮件服务器,所以分析数据包的源IP地址可以识别该数据包是由什么应用产生的。当识别交换机与应用服务器不直接相连,而且许多不同服务器的数据流都到达该交换机时,这种方法就非常有用。 (4)物理端口号码 与源IP地址类似,物理端口号码可以指示哪个服务器正在发送数据。这种方法取决于交换机物理端口和应用服务器的映射关系。虽然这是最简单的分类形式,但
27、是它依赖于直接与该交换机连接的服务器。 (二)标注 在识别数据包之后,要对它进行标注,这样其他网络设备才能方便地识别这种数据。由于分类可能非常复杂,因此最好只进行一次。识别应用之后就必须对其数据包进行标记处理,以便确保网络上的交换机或路由器可以对该应用进行优先级处理。通过采纳标注数据的两种行业标准,即IEEE 802.1p或差异化服务编码点(DSCP),就可以确保多厂商网络设备能够对该业务进行优先级处理。 在选择交换机或路由器等产品时,一定要确保它可以识别两种标记方案。虽然DSCP可以替换在局域网环境下主导的标注方案IEEE 802.1p,但是与IEEE 802.1p相比,实施DSCP有一定的
28、局限性。在一定时期内,与IEEE 802.1p 设备的兼容性将十分重要。作为一种过渡机制,应选择可以从一种方案向另一种方案转换的交换机。 (三)优先级设置 一旦网络可以区分电话通话和网上浏览,优先级处理就可以确保进行Internet上大型下载的同时不中断电话通话。为了确保准确的优先级处理,所有业务量都必须在网络骨干内进行识别。在工作站终端进行的数据优先级处理可能会因人为的差错或恶意的破坏而出现问题。黑客可以有意地将普通数据标注为高优先级,窃取重要商业应用的带宽,导致商业应用的失效。这种情况称为拒绝服务攻击。通过分析进入网络的所有业务量,可以检查安全攻击,并且在它们导致任何危害之前及时阻止。 在
29、局域网交换机中,多种业务队列允许数据包优先级存在。较高优先级的业务可以在不受较低优先级业务的影响下通过交换机,减少对诸如话音或视频等对时间敏感业务的延迟事故。 为了提供优先级,交换机的每个端口必须有至少2个队列。虽然每个端口有更多队列可以提供更为精细的优先级选择,但是在局域网环境中,每个端口需要4个以上队列的可能性不大。当每个数据包到达交换机时,都要根据其优先级别分配到适当的队列,然后该交换机再从每个队列转发数据包。该交换机通过其排队机制确定下一步要服务的队列。有以下2种排队方式。 (1)严格优先队列(SPQ) 这是一种最简单的排队方式,它首先为最高优先级的队列进行服务,直到该队列为空,然后为
30、下一个次高优先级队列服务,依此类推。这种方法的优势是高优先级业务总是在低优先级业务之前处理。但是,低优先级业务有可能被高优先级业务完全阻塞。 (2)加权循环(WRR) 这种方法为所有业务队列服务,并且将优先权分配给较高优先级队列。在大多数情况下,相对低优先级,WRR将首先处理高优先级,但是当高优先级业务很多时,较低优先级的业务并没有被完全阻塞。2.8 网间隔离面对新型网络攻击手段的出现和高安全度对网络的特殊需求,全新安全防护防范理念的网络安全技术“网络隔离技术”应运而生。网络隔离技术的目标是确保隔离有害的攻击,在可信网络之外和保证可信网络内部信息不外泄的前提下,完成网间数据的安全交换。网络隔离
31、技术是在原有安全技术的基础上发展起来的,它弥补了原有安全技术的不足,突出了自己的优势。网络隔离,英文名为Network Isolation,主要是指把两个或两个以上可路由的网络(如:TCP/IP)通过不可路由的协议(如:IPX/SPX、NetBEUI等)进行数据交换而达到隔离目的。由于其原理主要是采用了不同的协议所以通常也叫协议隔离(Protocol Isolation)网络隔离是指在一个网络系统中划分边界,分割不同安全域的技术。网络安全的重点在于边界保护,采用隔离技术明确边界后,我们就能根据应用环境的具体需求实施相应的边界控制策略。具体而言,采用网络隔离技术有以下优点:采用隔离技术划分安全域
32、后,一个区域内的安全问题可以被控制在本区域以内,不会对其它区域造成影响,从而提高了系统整体的可控性和稳定性。采用隔离技术划分安全域后,可以根据需求灵活制定访问控制策略,便于在不同粒度上隔离攻击。安全是要考虑成本的。对于重要的资源,我们可以采取隔离技术对其进行重点保护,使有限的投入获得最佳的效果,这也符合国家分级保护的要求。第3章 拓扑图及方案整体描述3.1 主干网传输方案设计网络中心设在实验楼的一层,以实验楼为中心,选择星形拓扑结构,网络主干最好选用光纤,以便采用链路聚合技术及备份线路。光纤布线采用星型结构,即由实验楼网络中心向其它建筑辐射。建筑内部布线采用5类双绞线进行垂直和水平布线,如建筑
33、物规模较大,也可部分采用室内多模光纤。双绞线的接法采用EIA/TIA568B标准。设计时要依据EIA/TIA568工业标准及国商务布线标准。(1)主干网汇接各子网,形成中心交换。(2)子网通过交换机连接到主干网。(3)网络中心的网络构成一个单独的子网,汇接到主干网。(4)在网络中心进行集中控制和管理。(5)每个子网按部门划分成多个工作组网。(6)每个工作网划分成多个基层网段。(7)在关键子网设立防火墙,防止来自内部或外部的恶意攻击。(8)在完善的网络基础之上,提供基本的Internet服务。3.11 垂直布线方式垂直干线在电缆桥加上加以固定,五类双干线电缆走专门的弱电桥架,与专门的强电电缆分开
34、。3.12 水平布线水平布线采用五类双绞线,用于水平数据通信。从管理间到办公楼部分的布线方式采用电缆桥架走吊顶,布线路由及进房间后信息插座具体位置视具体布局确定。3.13 设备间主设备间设在网络中心,是整个信息系统的中心,它是安放由许多用户共用的通信设备的空间,是整个楼群的主要布线区域所在地。它包括网络接口、电话局电缆和用户建筑物布线系统交汇点网络系统的干线网络互联设备放置在此,外来的电话中继线延伸至主设备间。其它各楼的设备间在各楼的顶层。主设备间对环境的要求较高,所以要注意环境的选择与调节。3.2 Internet接入方案及网络拓扑图本局域网通过路由器接入因特网,如图所示: 图4-1 网络拓
35、扑图3.3 远程访问支持远程访问提供电话拨号访问功能,使用户在家中、在外地都可以访问校园网。远程工作站通过拨号接入校园网,采用点对点的协议为PPP。远程访问服务器RAS与调制解调器Modem组合实现远程访问功能。在访问服务器的远程访问端口提供访问控制(Access List)。通过与拨号安全服务器配合,还能实现进一步的用户认证和授权控制。远程访问解决了远程工作站通过拨号线路对网络资源的访问。由于拨号网络是攻击网络的可能的主要入口,因而必须在技术和管理两个方面加强管理。远程访问服务应提供以下功能:拨号访问(Telnet/Rlogin/PPP)支持;静态/动态地址分配;多协议(IP和IPX)透明访
36、问支持;用户访问和安全控制;拨出(Dial-on-Demand, Dial-Out)功能;自动协议检测和转换;远程控制和维护;网管支持。拨号网络是可能的主要攻击入口,并且采用动态IP分配策略,所以必须与其它网段隔离,直接连到网络中心路由器上,占用一个独立的网段,这样也有利于计费管理。访问服务器通过路由器与MODEM池接入拨号线。访问服务器与拨号安全服务器配合,根据身份认证协议(TACACS/RADIUS/KEBEROS)实现拨号用户的认证和授权。3.4 子网划分与VLAN设定在充分考虑了网络的高度的可靠性、高速率传输特性、可扩充性和系统易升级性,以及信息点的分布依建筑物内的布线设计等诸多因素的
37、基础上,将局域网分成以下几个子网。(1)教学子网:校园网建网的目的之一是利用计算机网络实现多媒体教学。在教学过程中,大量传送的是文本、图像和部分视频等数据,对速度要求较高,所以设计时推荐所有教学用端口全部采用交换式100以太网口;(2)办公子网:办公子网主要面向学校的各级领导以及各职能部门,办公计算机所实现的功能主要是对网络数据的查询、修改、添加、删除等操作。只有网络数据传输快,才能更好地提高办公效率。同时,办公计算机应该能够达到支持视频传送的要求。鉴于办公子网将支持视频功能,设计推荐采用交换式100端口;(3)图书馆子网:图书馆从应用来说是一个相对独立的系统,因此设计时在图书馆设图书馆网络分
38、中心,配置了一台6006中心交换机、海量存储器、所需的服务器以及若干查询终端。这个系统主要用于教师及学生对图书及目录的查找以及图书管理。图书馆的服务器和交换机通过交换口连入校园网,图书管理员办公计算机和各个查询终端采用交换端口;(4)宿舍区及后勤子网:宿舍区子网即在学生宿舍内部联网,学生可以直接浏览学校发布的信息及查阅一些电子文档,也可以在宿舍接收老师的远程教学,后勤子网主要为食堂提供售饭卡通计费系统等,由于宿舍区覆盖范围较广,故在宿舍区设一个网络分中心,以减少至网络中心的光纤数量。在宿舍区的网络分中心内配置一台中心交换机,并通过光纤与网络中心直接相连。在设计的各子网的交换机时,通过整个网管系
39、统将各个子网划分在不同的虚拟子网中,这样既满足了各子网与主干网的连接,又减少了投资、方便了管理。各子网的工作组交换机均选择的系列交换机中的和。3.5 网间隔离方案设计目前常用的网络隔离技术有虚拟局域网(VLAN)、防火墙(Firewall)、物理隔离(GAP)等等。在具体环境中可根据需求选取相应的隔离产品。VLAN是一种控制粒度较粗的隔离技术,目前市场上很多交换机就支持VLAN划分功能。VLAN配置简单,价格便宜,适用于安全需求不高的网络环境。防火墙是目前广泛使用的网络隔离产品。最经典的防火墙产品是包过滤防火墙。这种防火墙对每个分组的报头(包括IP头和TCP头)信息进行合法性控制。这种控制范围
40、小,因此性能高,但安全性差。后续产品的应用代理防火墙则将对分组的控制范围加大到应用层:不但对每个分组报头信息进行过滤,同时要对每个包的应用数据进行检查,最后还要将各个包的应用数据整合到一起,看这些数据的上下文关系,以满足应用数据的安全需求。应用代理还有一个好处是它将内外网之间的直接TCP连接分割为两段连接的组合,因此使外部攻击者无法直接访问被攻击资源,从而能屏蔽绝大多数基于存活连接的攻击。作为安全性最好的防火墙,应用代理也存在性能和安全性上的问题。在性能上,由于工作在应用层,而且挂接诸多安全处理功能,因此占用的系统资源巨大,影响了系统的吞吐能力;在安全性上,应用代理为完成连接的断开,启动了一个
41、虚拟的应用服务器和一个虚拟的应用客户端,服务器和客户端之间的应用数据交换是通过单主机模式上的内存拷贝完成的,一旦攻击者攻破应用代理,则可以直接绕过代理的层层安全控制,形成边界防护的安全短路。3.6 存储方案磁盘阵列(Disk Array)是由一个硬盘控制器来控制多个硬盘的相互连接,使多个硬盘的读写同步,减少错误,增加效率和可靠度的技术。 RAID是Redundant Array of Inexpensive Disk的缩写,意为廉价冗余磁盘阵列,是磁盘阵列在技术上实现的理论标准,其目的在于减少错误、提高存储系统的性能与可靠度。磁盘阵列有许多优点:首先,提高了存储容量;其次,多台磁盘驱动器可并行
42、工作,提高了数据传输率;.RAID技术确实提供了比通常的磁盘存储更高的性能指标、数据完整性和数据可用性,尤其是在当今面临的I/O总是滞后于CPU性能的瓶颈问题越来越突出的情况下,RAID解决方案能够有效地弥补这个缺口。存储区域网络(Storage Area Network,简称SAN)采用光纤通道(Fibre Channel)技术,通过光纤通道交换机连接存储阵列和服务器主机,建立专用于数据存储的区域网络。 网络接入存储(Network-Attached Storage,简称NAS)采用网络(TCP/IP、ATM、FDDI)技术,通过网络交换机连接存储系统和服务器主机,建立专用于数据存储的存储私
43、网。使用存储网络的好处:统一性:形散神不散,在逻辑上是完全一体的。实现数据集中管理,因为它们才是企业真正的命脉。容易扩充,即收缩性很强。具有容错功能,整个网络无单点故障。由于网络接入存储采用TCP/IP网络进行数据交换,TCP/IP是IT业界的标准协议,不同厂商的产品(服务器、交换机、NAS存储)只要满足协议标准就能够实现互连互通,无兼容性的要求;并且2002年万兆以太网(10000Mbps)的出现和投入商用,存储网络带宽将大大提高NAS存储的性能。 NAS需求旺盛已经成为事实。首先NAS几乎继承了磁盘列阵的所有优点,可以将设备通过标准的网络拓扑结构连接,摆脱了服务器和异构化构架的桎梏;其次,
44、在企业数据量飞速膨胀中,SAN、大型磁带库、磁盘柜等产品虽然都是很好的存储解决方案,但他们那高贵的身份和复杂的操作是资金和技术实力有限的中小企业无论如何也不能接受的。NAS正是满足这种需求的产品,在解决足够的存储和扩展空间的同时,还提供极高的性价比。因此,无论是从适用性还是TCO的角度来说,NAS自然成为多数企业,尤其是大中小企业的最佳选择。3.7 设备选型交换机:可以认为是一种高性能的 HUB,在选用硬件方面,由于交换机十分强调端口交换能力,内置交换模块,性能比集线器高出许多,采用交换机可以提高整个网络的性能;所以这里可以使用10/100Mb/s以太网和快速以太网自适应双速交换机。它能自由地
45、工作在10/100 Mb/s速率下,不需要配置特殊的管理软件。另一方面现在低端桌面交换机价格比较便宜,与集线器相比价格已经贵不了多少,所以可以采用桌面交换机。因为在设计网络的时候采用了桌面交换机,所以网络传输速度比较快,能适应高速网络的发展,并且升级容易。交换机通常还带有路由功能。 硬件:应配置有安全、稳定、可靠的专用服务器。容量、I/O吞吐量应根据需要确定。这里我们选择思科的交换机和路由器。软件:全系统至少要配置下列功能的软件:(1)数据库服务器(2)Web服务器(3)Vedio服务器(4)E-mail服务器(5)网管服务器根据实际情况和需求,我们选择WINDOWS 2000作为文件服务器操
46、作系统平台,采用随PC机自带的WIN98操作系统作为客户端软件。操作系统是软件平台的核心,网络操作系统所具备的功能和性能决定了网络系统的整体水平,同时也决定了应用及技术的发展方向。 Microsoft公司的WINDOWS 2000操作平台是在PC和LAN(局域网)的基础上发展起来的32位操作系统,由于功能强大且易于使用,市场占有份额不断上升,这一产品与传统的Office办公系统如Word、Excel和PowerPoint一起,为信息发布,综合信息查询,信息交流提供了一个完整的解决方案。WINDOWS 2000与UNIX和Novell相比, WINDOWS 2000有如下优势:易于安装、管理和维护:考虑技术力量,网络操作系统的易用性尤为重要。WINDOWS 2000提供了与Windows 98外观一致的用户界面,内置的管理向导使管理员能够简单、迅速的完成日常管理工作,任务管理器和网络监视器能够帮助管理员改善网络性能,排除网络故障。灵活的网络服务体系结构:WINDOWS 200支持当