计算机网络与安全实践课程设计报告完成版.docx
- 文档编号:29793819
- 上传时间:2023-07-27
- 格式:DOCX
- 页数:20
- 大小:78.02KB
计算机网络与安全实践课程设计报告完成版.docx
《计算机网络与安全实践课程设计报告完成版.docx》由会员分享,可在线阅读,更多相关《计算机网络与安全实践课程设计报告完成版.docx(20页珍藏版)》请在冰豆网上搜索。
计算机网络与安全实践课程设计报告完成版
计算机网络与安全实践设计报告
中国矿业大学(南湖校区)
局域网建设方案
专 业:
计科班级:
小组成员:
指导教师:
职称:
中国矿业大学计算机科学与技术学院
2014年4月徐州
题目
中国矿业大学(南湖校区)校园局域网建设方案
指导教师签字:
年月日
目录
1、引言4
1.1、背景4
1.2、目前现状4
2、网络设计的目标与要求6
2.1、矿业大学南湖网络的建设要求6
3、方案设计与实现7
3.1网络设计原则7
3.2主流组网技术分析与选择8
3.3网络拓扑结构设计9
3.4IP地址划分9
3.4.1IP地址及VLAN划分原则9
3.4.2、IP、VLAN的划分10
3.4.3NAT的实现10
3.5设备选型与配置:
各种路由交换设备、服务器等11
3.6、网络安全设计与管理17
3.6.1安全需求分析17
3.6.2网络安全控制18
3.6.3网络管理设计18
3.7、未来升级与扩展20
4、网络施工与结构化布线21
4.1总布线规划21
4.2网络布局的具体实施要求21
5、结束语22
6.心得23
7、参考文献23
中国矿业大学南湖校区校园网建设方案
1、引言
1.1、背景
计算机网络是计算机技术和通信技术相结合的产物,在信息技术的带动下,计算机网络发展的非常迅速,特别是internet的日益普及,“校园网“就随着各高校计算机网络的建设而引起广泛关注。
建设和使用校园网络已成为一种普遍的趋势,学校对网络的依赖性越来越强,网络应用也是日新月异。
从类型来看,校园网大都属于中小型系统,但它的网络结构和性能要求却又一定的特殊性,因此相应的网络设计和网络维护应有一些特别的考虑。
随着我们学校扩建,规模扩大,设备更新,需要不断健全自己的校园网络来满足日新月异的网络环境,同时目前网络安全越来越成为特别是学校关心的一项,一旦网络瘫痪势必对教学和办公带来不可估量的影响,由此决定拟组建一个校园局域网,并附上校园网的安全已经维护服务。
特此对南湖校区的校园局域网的建设方案做此规划。
1.2、目前现状
矿业大学南湖局域网的建设,最终是通过学校网络中心将网络接入到矿业大学南湖的每个机房,使师生员工可以在机房进行各种活动,有助于提高师生的生活质量,对计算机技术的教学提供了极大的帮助。
因此,建设矿业大学南湖局域网是学校发展的不可或缺的基础硬件设施。
矿业大学南湖拥有一个完整的以太网布局,通过路由器与学校网络中心光纤连接,由两层交换机将各个机房的信息点连通。
矿业大学南湖位于计算机学院楼四楼,每个实验室是一间长方形教室,每个实验室大约有60台计算机。
根据我校学生多、机位少的实际情况,制定如下网络需求:
(1)C类局域网,独立网段,自主分配IP地址;
(2)每台计算机通过URL自由访问Internet网络资源;
(3)支持笔记本移动上网;
(4)高速、稳定、安全、可靠;
(5)布局规范、合理,易于维护;
(6)节约空间,减少噪音污染;
(7)成本最优化原则
建设的局域网要努力克服一些通病,如:
设备种类繁多、机位拥挤不堪、网线密集凌乱、维护困难重重、空气流通不畅、往来人员频繁而中空的防静电地板将每个人脚下的声音传播到整个机房,混合上交换机噪音,产生噪音污染。
此外,在建设实验室局域网过程中还要考虑以下因素:
(1)主干层网落承载能力要求
主干层的功能主要是实现骨干网络之间的优化传输,负责整个网络的网内数据交换。
网络的功能控制最好尽量少在骨干层上实施,主干层设计任务的重点是冗余能力、可靠性和高速的传输。
核心层一直被认为是流量的最终承受者和汇聚者,所以要求主干层交换机拥有较高的可靠性和性能。
(2)汇聚层接点接入要求
汇聚层主要负责连接接入层接点和核心层中心,汇聚分散的接入点,扩大核心层设备的端口密度和种类,汇聚各区域数据流量,实现骨干网络之间的优化传输。
汇聚交换及还负责本区域内的数据交换,汇聚交换机一般与主干层交换机同类型,仍需要较高的性能和比较丰富的功能,但吞吐量较低。
(3)可靠性和自愈能力要求
网络系统的稳定可靠是应用系统正常运行的关键保证,在网络设计中选用高可靠性网络产品,合理设计网络架构,制订可靠的网络备份策略,保证网络具有故障自愈的能力,最大限度地支持系统的正常运行。
(4)安全性要求
制订统一的骨干网安全策略,整体考虑网络平台的安全性。
可以通过各业务子网隔离,全网统一规划IP地址,根据不同的业务划分不同的子网(subnet),相同物理LAN通过VLAN的方式隔离,不同子网间的互通性由路由策略决定。
(5)性价比要求
建设网络时选用的设备要具有较高的性价比,用最小的成本建设最优质的网络。
2、网络设计的目标与要求
2.1、矿业大学南湖网络的建设要求
第一、经济而实用
灵活的拓扑结构的网络实验室,所提供的实验平台可以适合多种应用实验的需要。
可以实现同一时段多人做实验,也可合并在一起组成大的实验环境,体现网络实验室在拓扑环境组合上的灵活性及整体的经济性。
第二、可扩展和易维护性
由于计算机网络技术发展快速的特点,在网络实验室建设过程中,选择设备时要求其在提供多种冗余保证稳定的情况下,还必须具有超强的扩展能力。
如各种交换机都提供多个扩展插槽和提供足够的背板带宽,同时还采用设备管理软件来解决设备在维护上的问题。
第三、社会实际紧密结合性
所建设的网络实验室是完全结合社会真实的网络进行组建的,所有的实验都是从实际的网络环境中截取的,做到实验和社会实际有机地结合起来,以提高中职院校的综合竞争实力与学生就业能力。
实验教学内容应与社会应用实践密切联系,形成良性互动,实现学与用的有机结合。
要认真考虑设置哪些实验项目、采用何种实验手段才能切实提高学生的动手能力,培养学生的独立性和创造性,保证实验教学的质量。
完善矿业大学南湖局域网基础设施建设,构建技术先进、扩展性强、安全可靠、高速畅通的网络环境。
建立公共信息系统基础平台,提供先进数字化管理手段,提高管理效率;建立功能齐全的教学管理平台;建设内容丰富的教学资源库,实现教学资源共享;提高全校师生信息素养,为培养高技能应用性人才和服务社会搭建公共服务平台。
在网上宣传和获取教育资源;在此基础上建立能满足教学、科研和管理工作需要的软、硬件环境;开发各类信息库和应用系统,为学校各类人员提供充分的网络信息服务;系统总体设计本着总体规划、分布实施的原则,充分体现系统的技术先进性、高度的安全可靠性、良好的开放性、可扩展性,以及建设经济性。
构建南湖校区校园网,我们一组3个人,分别完成各自不同的项目。
3、方案设计与实现
3.1网络设计原则
在充分考虑多应用、易管理的同时,本方案遵循如下原则:
1、高可靠性。
2、标准性及开放性。
通讯协议和接口符合国际标准。
3、灵活性及可扩展性。
4、可管理性。
合理地划分vlan,能够实现vlan连接。
5、采用成熟的技术方案。
6、安全性。
7、综合性和统一性。
最大限度的采用同一厂家的产品。
8、合理的性能价格比。
3.2主流组网技术分析与选择
网络拓扑结构就是网络的形状,或者是它在物理上的连通性。
构成网络的拓扑结构有很多种,通常包括:
星型拓扑、总线拓扑、环型拓扑、树型拓扑、混合型拓扑、网型拓扑。
拓扑结构的选择往往与传输媒体的选择和媒体访问控制方法的确定紧密相关。
在选择网络拓扑结构时,应该考虑的主要因素有下列几点:
1.可靠性 尽可能提高可靠性,保证所有数据流能准确接收。
还要考虑系统的维护,要使故障检测和故障隔离较为方便。
2.费用低 它包括建网时需考虑适合特定应用的费用和安装费用。
3.灵活性 需要考虑系统在今后扩展或改动时,能容易地重新配置网络拓扑结构,能方便地对原有站点的删除和新站点的加入。
4.响应时间和吞吐量 要有尽可能短的响应时间和最大的吞吐量。
经过各方面的综合考虑,我们决定采用下面的建设方案:
中间核心层是一台核心三层交换机,分别连接属于分布层的学生宿舍楼,图书馆,行政楼,公教区。
分布层除了行政楼是三层交换机外,其它的都是二层交换机。
图中所示只说明了核心层和分布层,接入层还有很多二层交换机。
其中宿舍楼还连有一台DHCP服务器,以为学生上网分配IP地址。
核心交换机连接一台内部路由器,该路由器充当NAT作用,连接这电信服务提供商,负责把内网地址转换为外网地址,以实现校园内网络可以访问因特网。
3.3网络拓扑结构设计
3.4IP地址划分
3.4.1IP地址及VLAN划分原则
●简单性:
地址的分配应该简单,避免在主干上采用复杂的掩码方式;
●连续性:
为同一个网络区域分配连续的网络地址,便于采用路由收敛(Summarization)CIDR(ClasslessInter-DomainRouting)技术缩减路由表的表项,提高路由器的处理效率;
●可扩充性:
为一个网络区域分配的网络地址应该具有一定的容量,便于主机数量增加时仍然能够保持地址的连续性;
●灵活性:
地址分配不应该基于某个网络路由策略的优化方案,应该便于多数路由策略在该地址分配方案上实现优化;
●可管理性:
地址的分配应该有层次,某个局部的变动不要影响上层、全局。
●安全性:
网络内应按工作内容划分成不同网段即子网以便进行管理。
3.4.2、IP、VLAN的划分
内网全部使用私有地址,在核心交换机上划分vlan1:
学生宿舍楼:
vlan2,所用网段192.168.1.0/24,网关地址为192.168.1.1/24
图书馆:
vlan3,所用网段192.168.2.0/24,网关地址为192.168.2.1/24.
教学楼:
vlan4,所用网段192.168.3.0/24,网关地址为192.168.3.1/24.
行政楼:
vlan5,所用网段192.168.4.0/24,网关地址为192.168.4.1/24.
3.4.3NAT的实现
NAT,网络地址转换,是通过将专用网络地址转换为公用地址(如互联网Internet),从而对外隐藏了内部管理的IP地址。
这样,通过在内部使用非注册的IP地址,并将它们转换为一小部分外部注册的IP地址,从而减少了IP地址注册的费用以及节省了目前越来越缺乏的地址空间(即IPV4)。
同时,这也隐藏了内部网络结构,从而降低了内部网络受到攻击的风险。
NAT网络地址转换的3种实现方式:
1、静态NAT(一对一)
2、动态NAT(多对多)
3、端口多路复用PAT(多对一)
对于本方案而言,核心交换机与NAT路由器相连网段为172.16.1.0/24
3.5设备选型与配置:
各种路由交换设备、服务器等
设备报价及选择:
我们通过查阅资料得到以下报价表:
设备型号
生产厂家
单价
核心交换机CISCO
WS-C3750E-48PD-E
思科
130000
元/台
二层交换机RG-S6806E
锐捷
180000元/台
ATM交换机CISCO
WS-C3560G-24TS-E
思科
35000元/台
ATM交换机CISCO
WS-C3750-24TS-S
思科
9000元/台
路由器CISCO1841
思科
3700元/台
路由器CISCO2801
思科
5300元/台
交换机CISCO
WS-C3560-24TS-S
思科
6000元/台
交换机CISCORV042
思科
1000元/台
光钎收发机金浪KN-S113SC
Kingnet
280元/台
12芯室外架空多模光缆
汉维(HW810-12MM)
汉维
7元/米
8芯多模室外铠装光缆
立孚
立孚
5元/米
超五类双绞线TCL
TCL
4.6元/米
防火墙华为
赛门铁克USG2110
华为
1800元/台
比较各设备的性能和价格,我们作出如下选择:
(1)分布层的三层设备采用CiscoCatalyst3560系列交换机。
CiscoCatalyst3560系列交换机一个固定配置、企业级、IEEE802.3af和思科预标准以太网供电(PoE)交换机系列,工作在快速以太网和千兆位以太网配置下。
Catalyst3560是一款理想的接入层交换机。
核心交换机为最主要部分,因此需要高端设备。
Catalyst6500系列为企业园区网和电信运营商网络设立了新的IP通信和应用支持标准,它不但能提高用户的生产率,增强操作控制,还能提供无与伦比的投资保护。
所有二层交换机考虑到价格因素选用锐捷RG-S6806E系列交换机。
RG-S6806E系列多业务万兆核心路由交换机提供1.6T/0.8T背板带宽,并支持将来3.2T/1.6T的能力,高达572Mpps/286Mpps的二/三层包转发速率可为用户提供高速无阻塞的数据交换,强大的交换路由功能、安全智能技术可同锐捷各系列交换机配合,为用户提供完整的端到端解决方案,是大型网络核心骨干和大流量节点交换机的理想选择。
(2)关于防火墙的选择:
根据该校园的网络使用状况和实际需求,综合考虑经济性、品牌实力、应用拓展等因素,本方案采用国内防火墙华为赛门铁克USG2110系列产品。
其技术特点是:
●安全功能:
高稳定,高安全,高效率,高扩展,模块化,多平台支持。
●管理功能:
实时监控,实时查看防火墙主机的当前负载情况,包括内存的使用情况和连接状况等;支持同时对多个设备的监控。
支持对各种二层协议的控制;支持进行深层次的应用层过滤。
支持SSN(Service-orientedseeuritynetwork面向服务的安全网络)。
●日志分析:
审计日志分为多个等级;支持日志的自动导出与自动统计分析。
支持高级日志分析系统。
除防火墙外,还支持路由器、交换机、OS和应用系统的日志分析。
●可靠性:
支持报文调试功能。
支持运行黑匣子功能,并能导出设备健康运行记录。
(3)关于DHCP服务器
局域网中每台计算机都要有自己的IP地址,但静态的去给每台机子输入,由于校园网的计算机很多,会很麻烦而且容易导致IP冲突,不易管理。
所以用DHCP服务器将IP地址数据库中的IP地址动态的分配给局域网中的客户机,这时只需在客户机上选择“自动获取IP地址”即可。
客户机通过广播信息包的方式向DHCP服务器提出申请,服务器收到信息后会向客户机提供一个合适的IP地址,每台客户机将选择一个IP地址而拒绝其他的,而且DHCP服务器在提供IP地址时会设置一定的租用期限,当客户机的租约到期后会释放IP地址而重新获得服务器提供的其他IP地址。
DHCP服务器还可以通过保留设置,给其它服务器提供一个永久不过期的IP地址,例如给DNS服务器保留IP192.168.6.2,就相当于有了一个静态容易访问的IP地址。
也就是你的电脑连上网,DHCP服务器才从地址池里临时分配一个IP地址给你,每次上网分配的IP地址可能会不一样,这跟当时IP地址资源有关。
当你下线的时候,DHCP服务器可能就会把这个地址分配给之后上线的其他电脑。
这样就可以有效节约IP地址,既保证了你的通信,又提高IP地址的使用率。
因为之前划分vlan时,学生宿舍楼属于vlan2,可用地址空间为192.168.1.0/24,所以在DHCP服务器的地址池中只能宣告这个范围的地址供同学们使用。
通过更改三层交换机的优先级,使其成为生成树协议(STP)中的根交换机。
为了交换机与交换机之间能够传递不同vlan,需要在交换机相连接口之间配成802.1Qtrunk模式。
还需要在每台交换机上配置VTP,用于传递和同步vlan信息,其中把三层交换机配置成VTP的server端。
在内部接入主机的交换机接口都配成portfast接口,此功能可以使该接口跳过生成树的监听和学习状态,直接进入转发状态,实现生成树的快速收敛。
为了不让在配置了portfast接口上错误地连接交换机导致STP重新计算,配置了portfast的同时要配置bpduguard,此功能可以让配置了portfast的接口在接收BPDU的时候进入err-disable状态,从而解决不小心把交换机错误地接入。
配置DHCP:
Router(config)#servicedhcp
Router(config)#ipdhcppoolSTUDENT
Router(dhcp-config)#network192.168.1.0255.255.255.0
Router(dhcp-config)#exit
Router(config)#ipdhcpexcluded-address192.168.1.1
配置vlan:
SW(config)#vlan2
SW(config-vlan)#namestu
SW(config-vlan)#exit
SW(config)#vlan3
SW(config-vlan)#namelib
SW(config-vlan)#exit
SW(config)#vlan4
SW(config-vlan)#nametech
SW(config-vlan)#exit
SW(config)#intf1/0//交换机上连接主机的接口
SW(config-if)#switchportmodeaccess
SW(config-if)#switchportaccessvlan2
SW(config)#spanning-treeportfastdefault
SW(config)#spanning-treeportfastbpduguarddefault
SW(config)#interfacef1/2//交换机之间互联接口配trunk
SW(config-if)#switchporttrunkencapsulationdot1q
SW(config-if)#switchportmodetrunk
SW(config)#spanning-treevlan1-4096priority0//核心交换机上配置优先级使其成为根交换机。
SW(config)#vtpdomaincisco//配置所有交换机相同域名和密码。
SW(config)#vtppasswordccie
SW(config)#vtpmodeserver//核心交换机为server端
SW(config)#vtpmodeclient//其它交换机为client端
核心交换机创建SVI接口,并且运行OSPF协议:
SW(config)#interfacevlan3
SW(config-if)#ipaddress192.168.2.1255.255.255.0
SW(config)#interfacef1/1
SW(config-if)#noswitchport//开启交换机三层接口
SW(config-if)#ipaddress172.16.1.1255.255.255.0
SW(config)#routerospf1
SW(config-router)#router-id1.1.1.1
SW(config-router)#network192.168.1.00.0.0.255area1
SW(config-router)#network192.168.2.00.0.0.255area2
SW(config-router)#network192.168.3.00.0.0.255area3
SW(config-router)#network192.168.4.00.0.0.255area4
SW(config-router)#network172.16.1.10.0.0.0area0//用于NAT路由建立邻居关系
(4)路由选择与配置
思科cisco2800系列路由器可以用于中小型企业的网络接入,实现NAT转换,共享公网地址,支持各种专线接入。
NAT路由器的设计
网络地址转换(NAT,NetworkAddressTranslation)属接入广域网(WAN)技术,是一种将私有(保留)地址转化为合法IP地址的转换技术,它被广泛应用于各种类型Internet接入方式和各种类型的网络中。
NAT不仅解决了lP地址不足的问题,而且还能够有效地避免来自网络外部的攻击,隐藏并保护网络内部的计算机。
因此NAT是这个校园网络不可缺少的一部分。
NAT可以将多个地址同时映射到单个地址,该功能称为PAT。
PAT会同时转换IP地址和端口号,来自不同地址的数据包可以被转换为同一个地址,但相应的端口号不相同,这样就可以共享同一个地址了。
NAT连接核心交换机的地址采用私有地址,连接ISP的接口采用共有地址,该地址必须要向ISP申请。
配置NAT:
Router(config)#interfacef0/0
Router(config-if)#ipaddress172.16.1.2255.255.255.0
Router(config-if)#ipnatinside
Router(config-if)#noshutdown
Router(config)#interfacef1/0
Router(config-if)#ipaddress197.168.1.2255.255.255.0
Router(config-if)#ipnatoutside
Router(config-if)#noshutdown
Router(config)#ipnatinsidesourcelist1interfacef1/0overload
Router(config)#access-list1permit192.168.0.00.0.255.255
配置OSPF:
Router(config)#routerospf1
Router(config-router)#router-id2.2.2.2
Router(config-router)#network172.16.1.20.0.0.0area0
3.6、网络安全设计与管理
3.6.1安全需求分析
(1)、网络病毒的防范
(2)、防止IP、MAC地址的盗用
(3)、安全事故发生时候,需要准确定位到用户
(4)、用户上网时间的控制
(5)、用户网络权限的控制
(6)、各种网络攻击的有效屏蔽
3.6.2网络安全控制
(1)对端口ARP检查防止ARP攻击;
(2)对端口安全:
MAC动态地址锁,MAC地址静态绑定;
(3)交换设备BPDUGuard功能,过滤非法BPDU报文,防止STP攻击交换机;
(4)端口安全:
端口静态绑定,自动绑定IP和MAC地址防止DOS攻击;
(5)智能安全到边缘:
多种ACL,满足不同网络应用,过滤病毒
(6)SSH密文传输,限制管理IP等措施保证设备管理可靠;
(7)对网络病毒的防范:
采用设置ACL,对病毒进行过滤;我们使用的汇聚、核心交换机都支持SPOH,通过端口独立的FFP进行ACL处理,网络设备性能不受设置ACL数目影响;
3.6.3网络管理设计
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 计算机网络 安全 实践 课程设计 报告 完成