网络安全综合实习报告.docx
- 文档编号:5214528
- 上传时间:2022-12-14
- 格式:DOCX
- 页数:21
- 大小:207.54KB
网络安全综合实习报告.docx
《网络安全综合实习报告.docx》由会员分享,可在线阅读,更多相关《网络安全综合实习报告.docx(21页珍藏版)》请在冰豆网上搜索。
网络安全综合实习报告
网络工程专业综合实习报告
题目:
XX学校学生宿舍楼网络设计(楼群)
小组成员:
指导教师:
计算机科学与应用系
2010-06-05
目录
第1章引言1
第2章投标方概况1
第3章计算机网络系统技术方案2
3.1网络总体要求2
3.2网络设计方案2
3.2.1网络总体方案介绍2
3.2.2网络核心层3
3.2.3网络汇聚层4
3.2.4接入层4
3.2.5与广域网的连接4
3.2.6IP分配及虚拟网方案4
3.2.7网络系统冗余6
3.2.8网络管理7
3.2.9网络安全7
3.2.10操作系统、数据库和服务器8
3.3综合布线方案8
3.3.1设计范围及要求9
3.3.2设计目标的确定9
3.3.3布线要求10
3.3.4系统组成10
3.3.5布线系统设计10
3.3.5.1工作区子系统设计10
3.3.5.2水平子系统设计11
3.3.5.3楼间建筑群系统设计11
3.3.5.4设备间系统设计11
3.3.5.5设备安装与线路铺设建议11
第4章应用管理软件12
4.1服务器选择12
4.2防火墙选择12
第5章项目实施组织及进度计划13
5.1项目实施组织13
5.2进度计划13
第6章关于培训、技术支持及售后服务13
6.1人员培训13
6.2技术支持及售后服务13
第7章验收标准及技术文档14
7.1验收标准14
7.2技术文档14
7.2.1传输介质要求14
7.2.2网络系统的性能测试15
7.2.3网络验收15
7.2.4需要的测试设备16
第8章设备清单及报价17
成员分工17
第1章引言
网络工程综合实验是网络工程及计算机相关专业的重要实践环节之一,该内容可以培养我们理论联系实际的设计思想,训练我们综合运用所学的计算机网络基础理论知识的能力,结合实际网络设备,解决在设计、安装、调试网络中所遇到的问题,从而使基础理论知识得到巩固和加深。
我们通过综合实验学习和掌握网络设计中的一般设计过程和方法,熟悉并掌握二层交换机、三层交换机、路由器和防火墙的配置和使用。
另外通过实验,可以掌握组建计算机网络工程的基本技术,特别是网络规划、交换机、路由器等网络设备的基本功能与选型以及网络应用服务器的基本配置,同时提高我们的应用能力和动手实践能力。
确立校园网建设的目标,不仅要考虑技术方面,而且还要考虑环境、应用和管理等方面,必须与学校各方面改革、建设长远发展相结合,科学的论证和决策。
根据这一要求建设一个技术先进、扩展性强、能覆盖全校主要楼宇的校园主干网络,将学校的各种PC机、工作站、终端设备和局域网连接起来,并与有关广域网相连,形成结构合理、内外沟通的校园计算机网络系统。
第2章投标方概况
本公司聚集IT界的精英,由造诣资深的网络工程师、电脑程序员、销售顾问及专业客服团队人员等组成。
是专业从事网络产品分销、计算机系统集成和网络综合布线的高科技公司。
作为一家网络信息的高新技术公司,力求将网络系统集成与国内国际最优秀的网络产品相结合,致力于成为网络终端设备的领先者和创新者。
公司力推以超五类、六类布线系统、光纤布线系统及机房设备系统等全系列产品,提供通信主干、局域网、城域网、企业网及小区智能化网络的全方位解决方案。
公司拥有先进的光缆穿线、熔接安装工具及光缆线路测试仪,公司凭借领先技术、可靠的质量及完善的售后服务能力广大客户提供先进的网络解决方案。
业务涉及机关、部队、学校、邮电、银行、企业及广大网络系统集成商,是规模和实力较大的专业网络产品供应商之一。
为确保用户百分百满意、使与我们合作的销售商获取合理的销售利润及最佳的服务,我们不断引进市场中最具竞争力的商品,使其价格、性能、质量和服务在市场同类产品中都极具竞争力。
我们秉承诚信为本、客户至上的经营理念,以卓越的网络服务品质、专业的技术服务实力、职业的客户服务团队保障您在21世纪的信息高速路上驰骋,又以锐意进取、求实创新的精神,尊重人才、注重技术,使用户在享受信息科技发展最新成果的同时不断获得最大的收益。
我们的使命:
我们的产品与服务以性能稳定与快捷优质著称,与广大客户携手并进,共谋发展!
经营理念“专注才能成功”,专业务实,以踏实的态度专注于本业,集中资源,累积经验做到最好。
我们具有远见的管理层和具有奉献精神的员工,我们拥有以组建创新务实为导向的团队和企业文化。
我公司与经销商和客户建立广泛对等的合作伙伴关系,积极探索在互利基础上的多种合作形式,并以以真诚的态度对待员工、客户、经销商及社会。
企业文化“专业、创新、务实、热情、团队合作”是我们所尊崇的工作态度,我们相信产品化的网络科技对社会的贡献比科技本身更重要。
“以人为本,信任人才”,我们的员工拥有充分的尊重与授权。
我们因相同的信念与目标而共聚,彼此关怀、互相激励,在这里获得肯定、成长与无限潜力的发挥,共同打造充满竞争力的氛围。
我们相信我们绝对有实力完成贵校的宿舍楼网络设计,并令贵校满意。
第3章计算机网络系统技术方案
3.1网络总体要求
●该系统是基于郑州航院学生宿舍系统,采用Internet和intranet技术组成一个由网络,信息管理和办公自动化组成的综合应用系统。
●共享网络上各种软、硬件资源,快速、稳定地传输各种信息,并提供有效的网络信息管理手段。
●采用开放式、标准化的系统结构,以利于功能扩充和技术升级。
●能够与外界进行广域网的连接,提供、享用各种信息服务(与各级教育信息中心相连、与国内外著名站点相连……)。
●具有完善的网络安全机制。
●能够与原有的计算机局域网络和应用系统平滑地连接,调用原有各种计算机系统的信息。
3.2网络设计方案
3.2.1网络总体方案介绍
根据郑州航院宿舍楼群的实际情况,在网络系统的设计中,将采用模块化的网络体系结构根据网络系统中不同的功能,将整个网络系统分为功能相对独立的模块。
整体网络功能通过增加或删除模块来进行调整,模块划分以逻辑上的功能相近为原则。
模块可独立扩展,也可以在网上方便的添加不同的模块,同时不影响其他模块的网络互联。
具体模块为:
网络中心模块、宿舍学生接入模块。
●网络中心模块:
包含管理系统的服务器群以及内部DNS、数据库服务器、备份服务器、内部www服务器、email服务器、网络打印机、文件服务器、打印机服务器等的连接,通过中心骨干交换机千兆汇聚层与核心交换机连接
●宿舍学生接入模块:
实现宿舍楼群内普通用户的接入,将宿舍群化为不同的vlan模块
网络拓扑结构图如图3-1所示:
图3-1网络拓扑图
按照这样的层次划分有以下特点:
结构清晰,易于设计和管理,大大提高了网络的扩充能力;网络结构和实际应用的组织结构相一致,便于安全管理,减轻网络的数据流量;根据不同层次和实际经济承受能力,选择相应的网络设备和硬件设备,使投资更合理。
3.2.2网络核心层
核心层是整个网络的心脏,不同部门,不同业务之间的信息传递都要经过核心层。
核心层主要承担高速数据的交换任务,同时要为各汇聚节点提供最佳传输通道,因此对中心交换机的性能要求很高。
在核心层设计2个节点,分别为网络中心加点、普通用户节点,分别安装各种服务器及三层交换机,选择核心交换机Catalyst6509,每台配置冗余电源和冗余引擎,配置24个千兆光纤接口板。
3.2.3网络汇聚层
汇聚层有6个节点,分别设置在各栋楼层交换机中,用于各栋学生宿舍楼的汇聚。
选用6台12//24个100M交换端口的交换机作为楼宇之间的连接,每台配置冗余电源和24个千兆光纤接口板。
每台汇聚层交换机通过100M光纤接口,以不同的路由分别连接到核心交换机上。
3.2.4接入层
接入层主要为各个宿舍楼用户提供网络服务,每栋楼6层,每层划分为1个vlan,那么3栋楼共有18个vlan,把这18个vlan接入到一个汇聚层交换机,实现不同楼层间计算机之间的通信,每层的计算机选用集线器堆叠的方式来实现互联。
3.2.5与广域网的连接
通过ADSL方式和VPN技术接入Internet,具体是以FTTB构架来连接Internet,其优点如下:
●以光纤取代传统铜揽,可避免干扰,传输质量佳。
●服务不中断,网络构架简单,障碍少。
●具有客户带宽管理功能,可依照客户的要求提供更弹性、更高带宽。
●除了可以高速上网外,还提供企业VPN、城域网、校园项目及交互式多媒体(MOD)等多样带宽服务。
3.2.6IP分配及虚拟网方案
C3750提供划分VLAN(虚拟局域网)的功能,网络管理员可以根据需要将用户划分为几个不同的组。
这样既便于管理,又可以提高安全性。
虚拟局域网不受设备物理位置的限制,灵活性较大。
Cisco的VLAN实现通常是以端口为中心的,与节点相连的端口将确定它所驻留的VLAN。
将端口分配给VLAN的方式有两种,分别是静态的和动态的。
静态VLAN是将端口强制性地分配给VLAN的过程。
即我们先在VTP(VLANTrunkingProtocol)Server上建立VLAN,然后将每个端口分配给相应的VLAN的过程。
这是我们创建VLAN最常用的方法。
动态VLAN形成很简单,由端口决定自己属于哪个VLAN。
即我们先建立一个VMPS(VLANMembershipPolicyServer)VLAN管理策略服务器,里面包含一个文本文件,文件中存有与VLAN映射的MAC地址表。
交换机根据这个映射表决定将端口分配给何种VLAN。
这种方法有很大的优势,但是利用这种方法创建数据库是一项非常艰苦而且非常繁琐的工作。
郑州航院宿舍楼群的vlan划分是基于IP地址的,具体划分如表3-1所示:
(这里假设校园内部采用私有IP地址划分方式。
如果动态分配IP地址,则设网络上的DHCP服务器IP地址为172.16.1.11。
)
表3-1IP分配表
楼层
第1栋
(1#)
每楼层数
Ip地址
网络地址
所属vlan
第一层
172.16.58.1/24
172.16.58.0
Vlan2
第二层
172.16.59.1/24
172.16.59.0
Vlan3
第三层
172.16.60.1/24
172.16.60.0
Vlan4
第四层
172.16.61.1/24
172.16.61.0
Vlan5
第五层
172.16.62.1/24
172.16.62.0
Vlan6
第六层
172.16.63.1/24
172.16.63.0
Vlan7
。
。
。
。
。
。
。
。
。
。
。
。
。
。
。
。
。
。
。
。
。
。
。
。
。
。
。
。
。
。
其它楼层的IP地址及vlan的划分采用相同的方式。
具体vlan的配置如下:
(1)给VLAN所有的节点分配静态IP地址
首先在核心交换机上分别设置各VLAN的接口IP地址,如下所示:
COM(config)#interfacevlan2
COM(config-if)#ipaddress172.16.58.1255.255.255.0//VLAN2接口IP
COM(config)#interfacevlan3
COM(config-if)#ipaddress172.16.59.1255.255.255.0//VLAN3接口IP
COM(config)#interfacevlan4
COM(config-if)#ipaddress172.16.60.1255.255.255.0//VLAN4接口IP
……
再在各接入VLAN的计算机上设置与所属VLAN的网络地址一致的IP地址,并且把默
认网关设置为该VLAN的接口地址。
这样,所有的VLAN就可以互访了。
(2)给VLAN所有的节点分配动态IP地址
首先在核心交换机上分别设置各VLAN的接口IP地址和DHCP服务器的IP地址,如下所示:
COM(config)#interfacevlan2
COM(config-if)#ipaddress172.16.58.1255.255.255.0//VLAN2接口IP
COM(config-if)#iphelper-address172.16.1.11DHCPServerIP
COM(config)#interfacevlan3
COM(config-if)#ipaddress172.16.59.1255.255.255.0//VLAN3接口IP
COM(config-if)#iphelper-address172.16.1.11DHCPServerIP
COM(config)#interfacevlan4
COM(config-if)#ipaddress172.16.60.1255.255.255.0//VLAN4接口IP
COM(config-if)#iphelper-address172.16.1.11DHCPServerIP
……
然后在DHCP服务器上设置网络地址分别为172.16.58.0、172.16.59.0、172.16.60.0……的作用域,并将这些作用域的“路由器”选项设置为对应VLAN的接口IP地址。
这样,就可以保证所有的VLAN也可以互访了。
最后在各接入VLAN的计算机进行网络设置,将IP地址选项设置为自动获得IP地址方式即可。
3.2.7网络系统冗余
冗余技术是计算机系统可靠性设计中常采用的一种技术,是提高计算机系统可靠性的最有效方法之一。
为了达到高可靠性和低失效率相统一的目的,我们通常会在控制系统的设计和应用中采用冗余技术。
合理的冗余设计将大大提高系统的可靠性。
1) 电源系统冗余
电源是整个控制系统得以正常工作的动力源泉,一旦电源单元发生故障,往往会使整个控制系统的工作中断,造成严重后果。
要使控制系统能够安全、可靠、长期、稳定地运行,首先稳定的供电必须得到保证。
该系统采用可热插拔的冗余电源,正常工作时,两台电源各输出一半功率,从而使每一台电源都工作在轻负载状态,这样有利于电源稳定工作。
当其中一台发生故障,短时之内由另一台接替其工作,并报警。
设计为可热插拔的冗余电源,这样系统维护时可以在不影响系统正常运行的情况下更换发生故障的电源。
2) 网络系统冗余
采用冗余网卡和冗余网络接口。
正常工作时,冗余的两条数据高速通路同时并行运行,自动分摊网络流量,并考虑了负载均衡的冗余设计,用以提高系统网络通信带宽。
当其中一路故障(网卡损坏或出现线路故障)时,另一路自动地承担全部通信负载,保证通信的正常进行。
本系统预留了一个拓展交换机。
3)冷却系统冗余
利用控制柜内可自动切换的冗余风扇,对风扇和机柜内温度进行实时监测,发现工作风扇故障或柜内温度过高时都会自动报警,并自动启动备用风扇。
4) 信息冗余
除了硬件部件的冗余,整个系统也采用了信息冗余技术,这也是提高系统可靠性的一个重要手段。
信息冗余技术是指在通信过程中或存放组态信息(重要信息)时,利用增加的多余信息位提供检错甚至纠错的能力。
该系统中SBUS总线采用循环冗余码校验(CRC)方法。
3.2.8网络管理
设备必须配合先进的管理和维护方法,才能够发挥最大的作用。
所以,我们选择的设备必须能够支持现有的、常用的网络管理协议和多种网络管理软件,便于管理人员的维护。
采用网管软件NMS100管理交换机,采用VPN技术,VPN可以通过特殊的加密的通讯协议同连接在Internet上的位于不同地方的两个或多个企业内部网之间建立一条专有的通讯线路,就好比是架设了一条专线一样,但是它并不需要真正的去铺设光缆之类的物理线路,而是通过SoftEther软件来实现。
3.2.9网络安全
VPN主要采用隧道技术、加解密技术、密钥管理技术和使用者与设备身份认证技术,因而可以使用的方法有如下两种:
1)便携网帐号申请开通(校园先锋)
租用一批便携网使用帐号(即校园先锋的网卡)上网,由校园先锋自行管理分配帐号。
管理员可以根据需要使用便携网的各个部门的情况,成立不同的VCN域,即不同的工作组,同一工作组内的成员可以互相通讯。
这种方法既加强了成员之间的联络,又保证了数据的安全。
同时各个工作组之间的不能互相通讯,保证了企业内部数据的安全。
2)便携网客户端安装(宽带我世界)
在个人机上安装有MicrosoftWindows操作系统的计算机上安装便携网络客户端软件(CNCMAX)。
应用系统尽可能分布在不同的主机上,关闭不必要的端口,减少入侵途径,在当前情况下,应本着对内对外服务分开、关键和非关键的应用分开的原则,将应用系统合理地配置在主机系统上。
按应用需求划分虚网,控制校内用户和各部门之间的访问权限;按校领导、教师、学生等多个用户层次设置访问权限,加强安全管理。
备份与容错技术对于校园网的安全有效运行是至关重要的,为了确保系统在故障发生后能及时恢复,必须采取相应的技术措施。
本系统采用防火墙技术,防火墙是隔离在本地网络与外界网络之间的一道防御系统。
通过它可以隔离风险区域(Internet或有一定网风险的网络)与安全区域(局域网)的连接,同时不会妨碍安全区域对风险区域的访问。
另外,本系统还采用了入侵检测技术,它用来作为内网的安全保障机制。
入侵检测系统IDS指的是一种硬件或者软件系统,该系统对系统资源的非授权使用能够做出及时的判断,记录及报警,从而减轻外部入侵者和内部入侵者所造成的威胁。
3.2.10操作系统、数据库和服务器
操作系统:
Unix系统、Windows操作系统;
数据库:
sqlserver2000;
服务器:
将选用一台小型机作为网络管理服务器,数据库服务器,备份服务器,内部www服务器,email服务器,网络打印机,文件服务器,打印机服务器。
3.3综合布线方案
布线系统的拓扑图如图3-2所示:
图3-2楼层布线拓扑图
布线系统的连接图如图3-3所示:
E:
设备C:
连接点T:
终端设备
图3-3布线系统的连接图
3.3.1设计范围及要求
郑州航院的网络管理中心位于图书馆大楼的1楼,目前有教工及学生宿舍、多媒体教室、教师办公大楼、图书馆大楼以及教学楼等需要与中心连接成校园网,并且各楼分别需要网络布线以建设楼内局域网。
本方案只是针对学生宿舍楼群设计。
3.3.2设计目标的确定
我们为该校园网设计的综合布线系统将基于以下目标:
1)符合当前和长远的信息传输要求。
2)布线系统设计遵从国际(ISO/CEI11801)标准。
3)布线系统采用国际标准建议的星形拓扑结构。
4)考虑电脑网络的速度向100Mbps发展的需要。
5)布线系统的信息出口采用国际标准的RJ45插座。
6)布线系统符合综合业务数据网的要求。
7)布线系统要立足开放原则。
3.3.3布线要求
网络中心位于图书馆一层。
然后通过光缆分别连到校内的18幢宿舍楼,在各建筑内部采用五类4对UTP电缆连接到设备间的配线架上。
3.3.4系统组成
综合布线系统由建筑群干线系统、设备间系统、水平系统、管理子系统以及工作区系统组成。
(1)工作区选择原则
全部选用五类MAX系列信息模块,性能全部超过国际标准ISOIS11801的指标。
(2)水平线缆选择原则
采用5类UTP线缆,配合相应的连接硬件产品可以支持多媒体、语音、数据、图形图象等所有标准应用。
所有产品均获得UL认证,满足ANSI/TIA/EIA-568A及ISO/IEC11801等标准。
(3)主干线缆选择原则
主干线缆选用6芯多模光缆,可以支持ATM或千兆以太网主干,体现了经济实用的原则。
(4)配线架选择原则
1、考虑今后的校园网的发展,保证连接端口的扩充性以及先进性。
2、配线架具有独特的电抗平衡性,可以确保五类线缆的传输性能。
3.3.5布线系统设计
3.3.5.1工作区子系统设计
校园内各大楼工作区信息点选择RJ45接口的单孔形式。
楼层的信息点统计如下表3-2及表3-3所示:
表3-2宿舍楼群种类
楼名
房间
信息点
学生宿舍
双人房
6
单人房
4
合计
10
表3-3每栋楼层信息点
楼名
楼层
信息点
宿舍楼
(1#)
1
34
2
34
3
34
4
34
5
34
6
34
合计
204
3.3.5.2水平子系统设计
信息点全部采用CAT54对UTP五类优质非屏蔽双绞线。
根据我们的工程经验,结合办公大楼的各楼层的平面图,计算出线缆的平均长度为60米,每箱CAT54对UTP线缆长度为305米。
3.3.5.3楼间建筑群系统设计
楼间连接选用6芯多模光纤,从校园平面图可以大致估算出实际距离,部分可利用原有的管道,其余采用架空方式或重新铺设地下管道。
3.3.5.4设备间系统设计
有两种类型的配线架,分别连接光纤和铜缆。
其中光纤配线架1台,铜缆配线架1台。
设备间应尽量保持室内无尘土、通风良好,照明不低于150Lx、载重量不小于100磅每平方米;应符合有关消防规范、配置有关消防系统设施;室内应提供UPS电源配电盘以保证网络设备运行及维护的供电;每个电源插座的容量不小于300W。
3.3.5.5设备安装与线路铺设建议
1、工作区:
可选择壁型或地板型信息插座,提供标准的RJ-45接口。
2、水平线缆走向建议
水平布线可采用桥架、配管及地下线槽等走线方式。
可在每层配电间设一个分配线架(IDF),通过水平桥架将水平线缆由各房间的信息点引至IDF。
3、垂直线缆及IDF的铺放建议
由各层配线间内的垂直线缆经过配线间内的竖井,并根据各信号线用途的不同,分别引至不同的MDF。
4、配线架放置建议
配线架均安装在各层配线间,建议将配线架安装在19"标准机架内或配线架机柜中。
第4章应用管理软件
4.1服务器选择
针对现在市场上的多种服务器管理软件,多方比较性价比,决定选用HPOpenView作为网管软件,该产品是惠普公司出品的电子业务管理工具程序,被称为“全球20大软件公司必备产品”,面向HP9000和HPe3000系列服务器的用户群。
客户可以利用OpenView来管理服务器的应用程序、硬件设备、网络配置和状态,系统性能、业务以及程序维护,还能进行存储管理。
4.2防火墙选择
针对校园网的特点,选择包过滤型的防火墙。
经过多方比较产品的性价比,我们决定选择防火墙厂商中的Checkpoint品牌。
其特点如下:
第一点:
安全性好:
访问控制,包括用户认证、客户认证,及会话认证,并用安全的VPNs加密方法。
第二点:
管理和记账:
集中式管理、路由器安全管理,具有日志、报警、记账等功能。
第三点:
连接控制:
负载均衡及高可靠性。
第5章项目实施组织及进度计划
5.1项目实施组织
DIY团队主要人员:
071007212李莉莉071007214刘万霞071007215柳晓霞
071007330文雯071007331徐林林
其他施工人员
5.2进度计划
任务名称
xxxx年第一季度
xxxx年第二季度
xxxx年第三季度
xxxx年第四季度
xxxx年第一季度
1
2
3
4
5
6
7
8
9
10
11
12
1
2
3
供货周期
100%
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 网络安全 综合 实习 报告