网络工程规划与设计任务书.docx
- 文档编号:5995020
- 上传时间:2023-01-02
- 格式:DOCX
- 页数:36
- 大小:395.53KB
网络工程规划与设计任务书.docx
《网络工程规划与设计任务书.docx》由会员分享,可在线阅读,更多相关《网络工程规划与设计任务书.docx(36页珍藏版)》请在冰豆网上搜索。
网络工程规划与设计任务书
网络工程课程设计报告
题目:
白云区第二中学校园网络系统设计
专业:
网络工程_
班级:
081___
设计时间:
2011-1-8__
学号:
080712110204_
学生姓名:
王万_
指导教师:
_张文勇___
计算机科学与信息学院
2012年1月8日
第一章需求分析
1.1建设目标
随着网络的不断发展,校园应用中数据、话音、视像等多媒体传输需要的逐渐增加,校园网建设正向高速化,智能化方向发展。
随之而来的是校园网用户对资源共享,多媒体教学、数据安全保障、高速网络交换以及未来网络扩展等等的需求日益增长,成为新一代高速,安全校园网建设亟待解决的问题。
因此,建设一个满足学校现状和未来应用需求的高效网络,成为提高学校信息化应用水平和整体投资效益的关键。
1.2建设原则
1.实用性:
网络建设的首要原则。
2.先进性:
网络建设要具有超前意识,具有先进的设计思想、网络结构、软硬件设备以及使用先进开发。
3.开放性:
开放的系统才是具有生命的系统。
4.可扩展性:
需求会不断变化,网络系统的建设是逐步进行的,网络将在规和性能两方面进行一定程度上的扩展。
5.安全性:
确保系统内部的数据、数据访问传输信息的安全的,避免非法用户访问和攻击。
6.可靠性:
保证系统不间断为用户提供服务。
7.可管理性:
提供灵活的管理平台能够对各设备进行统一管理。
8.最佳性价比:
从总体上看,网络设计目标的关键在于成本与性能的权衡。
1.3功能需求
用户需求决定了校园网络系统的特性,按照用户的要求,校园网系统应该实现以下基本功能:
强大信息资源的共享。
电子邮件系统。
语音/传真服务。
图书馆查询系统。
文件传输服务。
办公自动化。
多媒体教学、远程教学,视频会议。
VOD视频点播系统。
1.4性能需求
校园网对网络系统的性能需求,可归纳如下:
先进性和成熟性
网络建设设计既要采用先进的概念、技术和方法,又要注意结构、设备、工具的相对成熟。
不但能反映当今的先进水平,而且具有发展潜力,能保证在未来若干年内占主导地位,保证学校网络建设的领先地位。
可靠性和稳定性
在考虑技术先进性和开放性的同时,还应从技术措施、设备性能、系统管理、厂商技术支持及保修能力等方面着手,确保系统运行的可靠性和稳定性,达到最大的平均无故障时间。
可扩展性和可管理性
骨干节点设备的性能具有向上扩展的能力,以备将来更高带宽和应用的需要,同时,整个校园网将采用集中式管理,能够监控网络的运行,并能找出网络节点的故障所在,迅速恢复用户的应用。
安全性
由于整个学院的管理事务都将放在校园网上,不同部门的重要数据将要求绝对安全,可访问与不可访问将严格限制。
校园网和互联网之间的数据流也将严格限制。
1.5服务管理需求
系统要对网络资源的访问提供完善的权限控制,并且具有防止及便于捕杀病毒功能,以保证网络使用安全。
系统要对接入因特网的各网络用户进行权限控制。
1.6安全需求
系统必须具有高度的保密机制,灵活方便的权限设定和控制机制,以使系统具有多种手段来防备各种形式的非法侵入和机密信息的泄露。
采用的系统必须具有安全、高效,开放,不易受病毒感染的优点,以保证系统可靠,安全,高效的运行。
1.6.1网络的基本安全需求
满足基本的安全要求,是该网络成功运行的必要条件,在此基础上提供强有力的安全保障,是网络系统安全的重要原则,网络内部部署了众多的网络设备,服务器,保护这些设备的正常运行,维护主要业务系统的安全,是网络的基本安全需求,网络的基本安全要求主要表现为:
1.网络正常运行,在网络受到攻击的情况下,能够保证网络系统正常运行。
2.网络管理/网络部署的资料不被窃取。
3.具备先进的入侵检测及跟踪体系。
1.6.2应用系统的安全需求
与普通网络应用不同的是,应用系统是网络的核心,对于应用系统应该有最高的网络安全措施,应用系统的安全体系包括:
1.访问控制,通过对特定网段,服务建立的访问控制体系,将绝大多数的攻击阻止在到达攻击目标之前。
2.检测安全漏洞,通过对安全漏洞的周期检查,即使攻击可到达攻击目标,可使绝大多数攻击无效。
3.攻击监控,通过对特定网段,服务建立的攻击监控体系,可实时监测出绝大多数攻击,并采取相应的行动。
4.加密通信主动的加密通信,可使攻击者不能了解,修改敏感信息。
(如财务部门)
5.备份和恢复,良好的备份和恢复体制,可在攻击造成损失时,尽快地恢复数据和系统服务。
6.建立安全监控中心,为信息系统提供安全体系管理,监控,维护及紧急情况服务。
1.7组网技术分析
目前在学校的各教学楼、图书馆、各党政领导部门都使用网络进行大量统计、分析和管理等工作。
为了适应教学、科研和管理工作的需要,加强校内各部门之间的信息交流和共享,提高工作效率和水平,有必要建立一个全校范围内、有效、实用且快速的网络环境。
1.7.1传统以太网络技术
早期局域网技术的关键是如何解决连接在同一总线上的多个网络节点有秩序的共享一个信道的问题,而以太网络正是利用载波监听多路访问/碰撞检测(CSMA/CD)技术成功地提高了局域网络共享信道的传输利用率,从而得以发展和流行的。
特别是近几年交换式以太网和100M快速以太网产生和应用,使以太网络成为当今局域网应用较为广泛的主流技术之一。
然而,以太网络在发展早期所提出的共享带宽、信道争用机制限制了网络后来的发展,即使是近几年发展起来的链路层交换技术(即交换式以太网技术)和提高收发时钟频率(即快速以太网技术)也不能从根本上解决这一问题,具体表现在:
1、不提供服务质量保证(QualityofService)
2、带宽利用率较低
除以上两点以外,以太网传输机制所固有的对网络半径、冗余拓扑和负载平衡能力的限制以及网络的附加服务能力薄弱等等,也都是以太网络的不足之处。
但以太网以成熟的技术、广泛的用户基础和较高的性能价格比,仍是传统数据传输的网络应用中较为优秀的解决方案。
1.7.2千兆以太网络技术
千兆位以太网(GigabitEthernet)是IEEE802.3以太网标准的扩展,传输速度为每秒1000兆位(即1Gbps)。
应用于大型校园网,能把现有的10Mbps以太网和100Mbps快速以太网连接起来。
千兆位以太网支持交换机之间、交换机与终端之间的全双工连接,支持共享网络的半双工连接方式,使用中继器和CSMA/CD冲突检测机制。
千兆位以太网联盟(GEA)为千兆位以太网的应用提出以下几种方案:
1.更新快速以太主干网:
更换核心交换机,全面提高原有网络性能。
2.用于交换机到服务器链路:
服务器使用千兆位以太网卡,直接与千兆位以太网交换机相接,提供每秒百万个包的处理能力。
3.千兆位以太网到桌面台式机。
高性能工作站安装千兆位以太网卡,直接与千兆位以太网相连。
4.用于交换机之间的链路。
千兆位以太网交换机用光纤相接,提供一条高性能主干线路。
5.更新FDDI主干:
保留现有光缆,提高带宽10倍。
1.7.3ATM网络
“ATM(异步传输模式)”这一名词最早就为与电话中继通讯中常用的技术“STM(同步传输模式)”相对应而产生的,它既汲取了话务通讯中电路交换的“有连接”服务和服务质量保证,又保持了以太、FDDI等传统网络中带宽可变、适于突发性传输的灵活性,从而成为迄今为止适用范围最广、技术最先进、传输效果最理想的网络互连手段。
概括起来,ATM技术具有如下特点:
1、实现网络传输有连接服务,实现服务质量保证(QoS);
2、交换吞吐量大;
3、带宽利用率高;
4、具有灵活的组网拓扑结构和负载平衡能力,伸缩性、可靠性极高;
5、局域网与广域网技术统一。
ATM是现今唯一可同时应用于局域网、广域网两种网络应用领域的网络技术,两种技术的统一是网络未来发展的趋势,也是实现宽带综合业务数字网(B-ISDN)这一计算机网络未来的宏远目标,具有广阔的发展前景。
ATM是一个在现有技术水平上已获得成熟的发展、同时兼具有新技术所特有的勃勃生命力的技术。
不过,ATM有一个不足之处就是,采用ATM技术来构建网络主干,需要较高的成本。
其经济可行性较差,对白云区第二中学所建的中等规模偏小的校园网络就更是如此。
根据白云区第二中学的网络建设资金以及网络应用信息流量的实际情况,我们设计了一套基于千兆以太网主干技术的校园网方案,它以1000Mbps以太网交换技术为主干,可以做到1000Mbps全光缆到二级交换机,100Mbps到桌面。
它能很好地支持白云区第二中学的校园内部的网络通信以及与CERNET其它节点的信息交互,而且在性能有很大的优势,而且价格上并不贵多少,是一种比较先进的校园网络解决方案。
第二章逻辑设计
2.1网络拓扑规划
根据对白云区第二中学的校园实际情况,以及项目的需求分析,对白云区第二中学校园进行网络拓扑规划。
要求基本符合需求分析,符合进行设备的布局。
2.1.1物理分布图
图2.1白云区第二中学校园平面图
2.1.2网络拓扑
图2.2白云区第二中学校园网络拓扑图
2.2IP规划
2.2.1网络地址分配
各部门的设备的IP地址在网络拓扑图上已经标出,下面做简略介绍,如表2-1。
2.2.2IP规划及VLAN划分
而在综合楼中有着多个部门间的关系需要划分vlan,这是工作部门属性的需要。
VLAN划分采用接入层基于物理端口,把综合楼中的网络划分成9个VLAN,每个VLAN对应一个子网,把相应的综合楼内的交换机改为一下几个vlan:
办公室,教务处,教研处,思教处,团委,工会,总务处,保卫科,年级部。
设备
型号
数目
IP地址
代理服务器
IBMX2358685-11X
1台
S0199.16.110.6/24
E0195.26.120.8/24
DNS服务器
IBMX2358671-21X
1台
198.66.97.17/24
FTP服务器
IBMX2358671-21X
1台
198.66.97.49/24
WEB服务器
IBMX2358685-11X
1台
198.66.97.30/24
中心交换机
CISOWS-C4948-S
1台
S0195.26.120.9/24
VLAN用交换机
CISCOWS-C2960-48T
多台
具体看表
防火墙
DCFW-1800S-L
1个
S0211.69.10.3/24
E1198.66.76.8/24
E0199.16.110.5/24
DMZ区交换机
CISCOWS-C3750-24TS-E
1台
S0198.66.76.10/24
E0198.66.97.18/24
E1198.66.97.50/24
E2198.66.97.66/24
路由器
CISCO2851
1台
E0211.69.10.1/24
S0216.22.78.2/24
表2-1网络地址分配
信息点
VLAN
网络号
IP子网
1
管理
办公室
2
192.168.1/24
192.168.1.1~254
教务处
3
192.168.2/24
192.168.2.1~254
教研处
4
192.168.3/24
192.168.3.1~254
思教处
5
192.168.4/24
192.168.4.1~254
团委
6
192.168.5/24
192.168.5.1~254
工会
7
192.168.6/24
192.168.6.1~254
总务处
8
192.168.7/24
192.168.7.1~254
保卫科
9
192.168.8/24
192.168.8.1~254
年级部
10
192.168.9/24
192.168.9.1~254
表1:
vlan及ip
2.3交换和路由协议设计规划
2.3.1交换协议的选择
根据我们对白云区第二中学的需求分析和网络拓扑设计,我们对校园网络进行Vlan的划分,并使用Vlan中继协议即VTP来实现交换机之间交换信息。
采用VTP(VLANTrunkingProtocol)协议可以简化配置。
VTP有三种三种工作模式:
服务器模式、客户端模式和透明模式,默认是服务器模式。
2.3.2路由协议选择
在小规模的网络互联情况下,可以使用静态建立路由表的方法来指定每一个可达目的网络的路由。
但把这种方法用到较大规模的网络互联显然是不可行的。
路由器一般都能够配置动态路由协议,通过与相邻的路由器交换网络信息而动态建立路由表。
路由协议定义了路由器之间相互交换网络信息的规范。
路由器之间通过路由协议相互交换网络的可达性信息,然后每个路由器据此计算出大道各个目的网络的路由。
路由协议能够用一下标准的几种或全部来决定到目的网络的最优路径:
路径长度、可靠程度、延迟(Delay)、带宽、负载和代价(Cost)。
根据交换的路由信息的不同,路由协议可分为距离向量(DistanceVector)、链路状态(LinkState)和混合路由(HybridRouting)三种类型。
常用的内部网关路由协议有RIP、IGRP、EIGRP和OSPF。
根据白云区第二中学的校园网络建设要求,我们选用RIP协议作为该校园网的内部网关协议。
RIP认为跳数少的路径为最优路径。
路由器收集所有可达目的网络的路径,从中选择去往同一个网络所用跳数最少的路径信息,生成路由表;然后把所能收集到的路由(路径)信息中的跳数加1后生成路由更新信息通告,发送给相邻路由器:
最后依次逐渐扩散到全网。
RIP每30s发送一次路由信息更新。
RIP最多支持的跳数为15.在白云区第二中学的网络建设中,我们选用RIP协议的第二版即RIPv2,RIPv2不同于RIP之处:
支持可用可变长子网掩码、多播式更新路由。
在实现与外网相同时候,我们需要在路由器上使用路由在发布技术。
2.4安全策略设计
2.4.1通信网络安全
在外网与内网之间使用了防火墙,这可以使得外网不能随便访问内网,同时也可以达到是内网不能随意访问服务器。
而在终端与终端之间,采用了划分vlan的方式来使得部门间不能相互共享信息,除非在经过路由选路之后。
2.4.2服务器安全
防火墙出了可以保证内外网正确接通时,同样也保证了内网访问服务器的安全。
2.4.3应用安全
应用安全,顾名思义就是保障应用程序使用过程和结果的安全。
简言之,就是针对应用程序或工具在使用过程中可能出现计算、传输数据的泄露和失窃,通过其他安全工具或策略来消除隐患。
用户安全策略用于极通EWEBS2008虚拟应用接入平台权限设置。
它确定用户身份权限设置,例如:
能访问服务器的那个磁盘,此用户身份能运行那个业务程序等设置。
在EWEBS2008中,管理员可以通过访问控制策略来限定用户和客户端计算机以及时间等因素的绑定来实现用户安全访问应用程序的设置。
2.4.4接入安全
有线传输接入包括拨号接入、ISDN接入、ADSL接入和CableModem接入、软件接入、VPN接入、SDH接入;无线传输接入包括802.11b、WiFi和BlueTooth等。
远程接入技术允许家庭用户、移动用户和远程办公用户访问一个公司网络或在ISP情况下的因特网上的资源。
远程接入方法应该允许远程用户就像直接连接到网络上一样并使用相同的协议访问某个网络。
2.5应用服务设计
稳定可靠的网络,只有运行稳定的网络才是可靠的网络,而网络的可靠运行取决于诸多因素,如网络的设计,产品的可靠,而选择一个具有运营此类网络规模经验的网络合作厂商则更为重要。
要求有物理层、数据链路层和网络层的备份技术。
易扩展的网络系统要有可扩展性和可升级性,随着业务的增长和应用水平的提高,网络中的数据和信息流将按指数增长,需要网络有很好的可扩展性,并能随着技术的发展不断升级。
易扩展不仅仅指设备端口的扩展,还指网络结构的易扩展性:
即只有在网络结构设计合理的情况下,新的网络节点才能方便地加入已有网络;网络协议的易扩展,QoS是网络的一种安全机制,是用来解决网络延迟和阻塞等问题的一种技术。
保证随着网络中多媒体的应用越来越多,这类应用对服务质量的要求较高,本网络系统应能保证QoS,以支持这类应用。
安全性网络系统应具有良好的安全性,由于网络连接园区内部所有用户,安全管理十分重要。
应支持VLAN的划分,以保证系统的安全性。
容易控制管理因为上网用户很多,如何管理好他们的通信,做到既保证一定的用户通信质量,又合理的利用网络资源,是建好一个网络所面临的首要问题。
第三章物理设计
3.1网络设备选型
3.1.1硬件
核心主交换机:
CISOWS-C4948-S,主要参数如下:
分布层主交换机:
CISCOWS-C3750-24TS-E,主要参数如下:
工作组交换机:
CISCOWS-C2960-48T,主要参数如下:
路由器:
CISCO2851,主要参数如下:
服务器:
IBMSystemx3850M2(7141I03),主要参数如下:
3.1.2软件
正版网络操作系统Windos2000/NT,杀毒软件以及网络管理软件等。
网络结构采用分层式设计,共分两层:
核心层,桌面接入层。
分层设计可以使整个网络自上而下具有很大的弹性,便于策略的维护和实施。
为了实现以上网络设计原则,使公司网络具有良好的扩展性能力和灵活的便于管理,易于维护,在网络设计上采用了一下策略。
3.2网络设备配置
以下给出相关设备的配备命令模板,而具体复杂的IP则根据表格中给出的数据或者临时设定给出,例如192.168.1.1/24等类似的网段是可以在根据具体情况而定的。
3.2.1路由器及交换机的配置
Router>*用户模式,只能执行简单的查看命令*
Router>?
*显示当前模式下的所有命令及解释*
Router>enable*进入特权模式*
Router#?
*显示特权模式下所有命令*
Router#con?
*显示以con为首的命令*
Router#conf(按tab键)*tab键补全以conf为首的命令*
Router#confter*进入全局配置模式,路由器、交换机配置支持命令简写*
Router(config)#hostnamer1*设置路由器名称*
Router(config)#enablepassword密码字符串,*设置明文显示的进入特权模式的密码*
Router(config)#enablesecret密码字符串*设置mds加密的进入特权模式的密码,如果同时设置明文及加密密码,则加密密码生效*
Router(config)#lineconsole0*进入控制台端口线路模式*
Router(config-line)#password密码字符串*设置通过控制台端口登录进入用户模式的密码*
Router(config-line)#login*通过console登录时需要密码,如果不输入login,则上一步所设密码不会生效*
Router(config-line)#exit*退到前一级模式end命令或ctrl+z键直接退回到特权模式*
Router(config)#linevty04*进入0-4五个虚拟控制台线终端模式*
Router(config-line)#password密码字符串*设置通过telnet登录用户模式的密码*
Router(config-line)#login
Router(config)#interfaceethernet0*进入以太0口配置模式*不同的接口有不同的接口表示
Router(config-if)#ipaddress192.168.1.254255.255.255.0*为接口配置ip地址*
Router(config-if)#noshutdow*接口必须激活才能作用*
Router(config)#interfaceserlal0*进入串口配置模式*
Router(config-if)#ipaddress10.1.1.10255.255.255.0
Router(config-if)#clockrate64000*此命令为DCE接口指定时钟,频率为64000,一般从在实验环境的路由器见背靠背连接中,在路由器DCE端口为另一台路由器DCE接口一端提供时钟同步信号*
Router(config)#lineconsole0
Router(config-line)#loggingsynchronous(光标跟随)
Router(config-line)#exec–timeout00(永不退出)
Router(config)#noipdomain-lookup(关闭域名解析)
在pc上设置ip地址192.168.1.1默认网关192.168.1.254
在pc上ping192.168.1.254测试路由器与pc的连通性
在路由器特权模式下Router#showrunning-config*查看路由器当前配置*
Router#showstartup-config*查看路由器初始配置文件*
Router#copyrunning-configstartup-config*拷贝Ram中的运行配置文件到nvRam中的startup-config
Router#showstartup-config
3.2.2交换机基本配置及vlan划分
Sw2950a(配置)
Switch>enable
Switch#configterminal
Switch(config)#hostnamesw2950a
Sw2950a#(config)exit
Sw2950a#vlandatabase(进入vlan数据库模示)
Sw2950a(vlan)#vlan2namesw2(创建vlan2名子为sw2)
Sw2950a(vlan)#vlan3namesw3(创建vlan3名子为sw3)
Sw2950a(vlan)#exit
Sw2950a(config)#interfacefa0/2
Sw2950a(config--if)#switchportaccessvlan2(把此端口划入vlan2中)
Sw2950a(config--if)#interfacefa0/3
Sw2950a(config--if)#switchportaccessvlan3
Sw2950a(config--if)#interfacefa0/24
Sw2950a(config--if)#switchportmodetrunk(在fa0/24号端口启用trunk,在实机中如端口为auto状态应switchporttrunkdot1q或isl此命令把端口设为静态,然后起启用trunk,可用showinterfacefa0/24switchport或showinterfacefa0/24trunk查看trunk默认封装协议)
Sw2950b(配置)
switch(config)#hostnamesw2950b
sw2950b(config)#vlan2
sw2950b(c
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 网络工程 规划 设计 任务书
![提示](https://static.bdocx.com/images/bang_tan.gif)