1、 目录论 文 摘 要2一、开大校园网介绍3二、需求分析4(一)开封大学环境需求4(二)开大校园网主干的需求分析4(三)开大校园网网络系统的需求分析4(四)开大校园网服务器的需求分析4三、技术简介5(一)HSRP介绍5(二)NAT的介绍5(三)VTP的介绍5(四)VLAN技术的介绍6(五)路由协议的介绍6(六)网络冗余的介绍7四、网络规划设计7(一)学校现状分析7(二)学校网络拓补图7(三)校园网建设原则8(四)校园VLAN划分8五、网络设备的选型10(一)选型原则10(二)服务器的选择11(三)交换机的选择11(四)路由器的选择12六、综合布线设计12(一)结构化布线系统优点12(二)综合布线
2、系统13七、网络安全设计15(一)网络安全介绍15(二)集成的网络安全策略17(三)实现防火墙技术17八、开大校园网络实现18(一)硬件简介18(二)软件介绍18(三)实验拓扑图19(四)IP地址划分19(五)配置清单20(六)测试32总结35参考文献36论 文 摘 要随着网络技术、INTERNET的发展和CERNET(中国教育科研网)的迅速壮大,很多学校建成校园网并接入到CERNET。校园网的建设已成为学校实力与发展水平的标志。学校办学的规模、层次正在迅速地扩大和提高,建设一个先进、实用的校园网,实现校内外信息的快速传递,使教学、科研、管理步入信息化、网络化,从而提高办学水平和办学效益已成为
3、必然之选。开封大学校园网的建成和使用,对于提高教学和科研的质量、改善教学和科研条件、加快学校的信息化进程,开展多媒体教学与研究以及使教学多出人才、科研多出成果有着十分重要而深远的意义。其主要包括各种局域网的技术思想、网络设计方案、网络拓扑结构、布线系统、Intranet/Internet的应用、网络安全,网络系统的维护等内容。通过本毕业设计课题的论述,希望使读者能够了解校园网的建设过程以及所涉及到的各种网络技术,并能对今后大家在学习网络技术知识或是进行校园网的工程建设中有所借鉴。本设计通过使用Cisco Packet Tracer 和DynamipsGUI_2.8_CN模拟出一个虚拟的操作环境
4、,从而演示说明使用VTP,路由策略,NAT转换,远程控制,STP,备份的过程,实现校园网网络的综合设计。关键词:校园网 VTP 路由 NAT VLAN开封大学校园网络设计与实现胡皓琼 (软件学院10级网络系统管理)一、开大校园网介绍开封大学校园网是一个涉及局域网和广域网、服务器的集成系统。开大校园网是利用先进的建筑综合布线技术构架安全、可靠、便捷的计算机信息传输线路;开大校园网的建设必须考虑到为学校教学、教育科研,利用成熟、领先的计算机网络技术规划计算机综合管理系统的网络应用,提供优质的网络化教学环境。因此,开大校园网应当是宽带、具有交互功能和专业性较强的计算机局域网络。开大校园网除了需要有必
5、备的硬件设备和操作系统平台外,利用全面的开大校园网络管理软件、网络教学软件,实现学校多媒体教学资源、教师备课系统、电子图书阅览检索、多媒体教学软件开发平台、开大校园网站和教学资源网站建设等功能。为学校提供教学、管理和决策三个不同层次所需要的数据、信息和知识的一个覆盖全校管理机构和教学机构的基于Internet/Intranet技术的大型网络系统。开大校园网还应具有教务、行政、总务管理功能,可以进行课程管理、学生成绩与学籍管理、图书资料管理等教学教务管理,也可以进行档案管理(含人事、教师档案等)、处室管理等行政事务管理,总务后勤管理包括财务管理、设备、房产等。开大校园网应该具有较先进的水平,体现
6、现代教育思想,要把建设开大校园网的规划与学校的长远发展规划统一起来,同时把服务教学作为网络建设的着眼点和落脚点。开大校园网是不以盈利为目的的。开大校园网上提供大量的免费资源,供广大师生工作学习之用,它所涉及的范围并不局限于校园内部。有些人认为:校园网就是大学校园围墙里面的网,即围墙里面的就是校园网,围墙外面的就是公网。这种看法是错误的。校园网的界限,并不是以用户终端所处的地理位置范围来的界定的,而是以校园网提供的接入服务范围来界定的。在校园围墙内可以有公网,在校园围墙外也可以有校园网。二、需求分析(一)开封大学环境需求开封大学有三个校区:1.老校区(软件,机电,外语,管理,国教,工美,行政楼,
7、学生公寓1,实验楼,实训工厂,图书馆(借书处,还书处,图书馆服务器)。2.新校区(土木,化工,人文,财经,学生公寓2)3、医学院校区。(二)开大校园网主干的需求分析开大校园网的多媒体应用是在校园网内实现VOD点播,所以大量的视频数据流对带宽要求很高,每个教学楼之间的距离都比较远,所以主干需采用千兆光缆技术,在未来一段时间内满足最多2000用户对校园网主干的流量要求。(三)开大校园网网络系统的需求分析1.在保证技术成熟的前提下,尽可能采用先进的技术。2.必须符合相应的国际、国内标准。3.提供足够的带宽,保障用户通畅的网上信息交流。4.网络具有良好的扩展性,考虑到未来一段时间内用户数量的增加。5.
8、要考虑网络系统的可管理性及安全性。6.支持VLAN。7.遵循教育系统的定位,注重性能价格比。(四)开大校园网服务器的需求分析开大校园网服务器承担着整个校园内各种网络服务、用户账号管理、共享资料的存储、服务器端教学管理软件的运行、安全管理、代理服务等应用,因而服务器应满足以下要求:1.高可靠性,能够适应我校平均每周不少于5天的不间断工作。2.高性能,能够提供最大用户量的常用服务请求。3.高冗余性,服务器出现故障时,仍能保证系统的安全性和数据的安全性。4.容易升级,提供更好的性能。三、技术简介(一)HSRP介绍HSRP是一种网关冗余协议,被广泛用于Cisco多层交换网络中。HSRP是Cisco的专
9、用协议,它通过在冗余之间共享协议和MAC地址,提供了不间断的IP路径冗余。HSRP由在两台或多台路由器之间共享虚拟IP地址和虚拟MAC地址以及一个通过多播协议对LAN接口和串行接口进行监控的进程组成。HSRP设计目的主要在于支持IP传输失败情况下的不中断服务。具体说,就是用于在源主机无法动态地学习到路由器IP地址的情况下防止路由的失败。它主要用于多接入,多播和广播局域网(例如以太网)。当然HSRP并不是有意要取代现有的动态路由发现机制,而这些现有的路由协议仍可以继续使用,只不过不是在任何可能的情况下。以前的大部分主机都不支持动态路由发现协议,他们是通过配置缺省路由来进行工作的,而HSRP却为它
10、们提供了一种失败服务机制。(二)NAT的介绍NAT(Network Address Translation,网络地址转换)是将IP 数据报头中的IP 地址转换为另一个IP 地址的过程。在实际应用中,NAT 主要用于实现私有网络访问公共网络的功能。这种通过使用少量的公有IP 地址代表较多的私有IP 地址的方式,将有助于减缓可用IP 地址空间的枯竭。(三)VTP的介绍VTP(VLAN Trunking Protocol):是VLAN中继协议,也被称为虚拟局域网干道协议。它是思科私有协议。作用是十几台交换机在企业网中,配置VLAN工作量大,可以使用VTP协议,把一台交换机配置成VTP Server,
11、 其余交换机配置成VTP Client,这样他们可以自动学习到server 上的VLAN 信息。(四)VLAN技术的介绍VLAN(虚拟局域网)是对连接到的第二层交换机端口的网络用户的逻辑分段,不受网络用户的物理位置限制而根据用户需求进行网络分段。一个VLAN可以在一个交换机或者跨交换机实现。VLAN可以根据网络用户的位置、作用、部门或者根据网络用户所使用的应用程序和协议来进行分组。基于交换机的虚拟局域网能够为局域网解决冲突域、广播域、带宽问题。传统的共享介质的以太网和交换式的以太网中,所有的用户在同一个广播域中,会引起网络性能的下降,浪费可贵的带宽;而且对广播风暴的控制和网络安全只能在第三层的
12、路由器上实现。VLAN相当于OSI参考模型的第二层的广播域,能够将广播风暴控制在一个VLAN内部,划分VLAN后,由于广播域的缩小,网络中广播包消耗带宽所占的比例大大降低,网络的性能得到显着的提高。不同的VLAN之间的数据传输是通过第三层(网络层)的路由来实现的,因此使用VLAN技术,结合数据链路层和网络层的交换设备可搭建安全可靠的网络。网络管理员通过控制交换机的每一个端口来控制网络用户对网络资源的访问,同时VLAN和第三层第四层的交换结合使用能够为网络提供较好的安全措施。另外,VLAN具有灵活性和可扩张性等特点,方便于网络维护和管理,这两个特点正是现代局域网设计必须实现的两个基本目标,在局域
13、网中有效利用虚拟局域网技术能够提高网络运行效率。(五)路由协议的介绍路由器提供了异网互联的机制,实现将一个网络的数据包发送到另一个网络。而路由就是指导IP数据包发送的路径信息。路由协议就是在路由指导IP数据包发送过程中事先约定好的规定和标准。路由协议通过在路由器之间共享路由信息来支持可路由协议。路由信息在相邻路由器之间传递,确保所有路由器知道到其它路由器的路径。总之,路由协议创建了路由表,描述了网络拓扑结构;路由协议与路由器协同工作,执行路由选择和数据包转发功能。(六)网络冗余的介绍网络主要是由全部的节点设备以及设备之间的连接组成的。因此,网络中的故障也主要包括节点设备的故障与连接故障两种。常
14、见的节点设备的故障有硬件故障和软件故障(如操作系统崩溃,内存溢出,路由协议不收敛等)。在很多行业和企业用户里,对网络都有实时性的要求,比如金融、证券、航空、铁路、邮政以及一些企业用户等,他们的网络是不允许出现故障的,一旦出现故障,那将带来非常巨大的经济损失;但网络涉及到的环节非常多,比如说线路、基带Modem、电信的设备等,这些都有可能出现问题,任何一个环节出现问题,都会导致整个网络传输运行的停止。所以应该给用户提供冗余的网络,作为重要的网络设备路由器,就是通过备份来实现网络的冗余,确保网络的畅通。四、网络规划设计(一)学校现状分析学校分为新校区,老校区,医学院。其中新校区(土木,财经,人文,
15、化工,学生公寓)老校区(行政楼,学生公寓,机电,软件,管理,工美,实验楼,实训工厂,外语,国教,图书馆(借书处、还书处、图书馆服务器)医学部校区(二)学校网络拓补图计算机网络拓扑结构有很多种,主要有总线型拓扑、环型拓扑和星型拓扑。总线型拓扑结构中所有的电脑用介质将整个网络从头串到尾。这是所有的网络拓扑结构中最简单的一种。环型拓扑结构,就是指所有站点被绕成一圈的电缆所连接起来,整个结构看起来像是一个圆圈。当前在各种网络系统的建设中使用最多的是星型拓扑结构,虽然星型拓扑结构的网络在布线和网络设备的花费多一些,不过目前各种硬件设备已经非常便宜了,这种花费是可以承受的。因而它的优点也是十分突出的,主要
16、是当网络中某个节点出现故障时不会影响整个网络的运行,这使得网络从总体上可以提供高度的可靠性和沉畲性,这个性能十分适合校园网这种应用环境,也是校园网的建设中必须要求做到的。本次设计我们选择星型拓扑结构,如图1示图1中有三个部分,其中红色部分是老校区,蓝色部分是医学院校区,绿色部分是新校区。图1校园网拓扑结构图(三)校园网建设原则1.整体规划分步实施:一方面因为学校的资金情况,不能一步到位。二是依据需求,不能盲目投资。2.注重应用系统建设:计算机网络要想发挥出它的作用,必须有建立在它之上的应用系统。这里有一个非常形象的比喻:网络就像路,而应用系统就像车,只修路但没车跑,路也不能发挥它的作用。这必须
17、跟据学校的实际情况,选择恰当的应用系统。3.把握当前先进性: 要将未来的可扩展性和经济可行性结合起来。当前计算机网络技术发展很快,设备更新淘汰很快。校园网建设应当采用当前成熟先进的技术和设备,而这些设备应有良好的扩张性,即能够兼容未来可能的技术。(四)校园VLAN划分VLAN(Virtual Local Area Network)称为虚拟局域网,是指在逻辑上将物理的LAN分成不同小的逻辑子网,每一个逻辑子网就是一个单独的播域。简单地说,就是将一个大的物理的局域网(LAN)在交换机上通过软件划分成若干个小的虚拟的局域网(VLAN)。因为交换机通信的原理就是要通过“广播”来发现通往的目的MAC地址
18、,以便在交换机内部的MAC数据库建立MAC地址表,而广播不能跨越不同网段。VLAN技术的出现,使得管理员根据实际应用需求,把同一物理局域网内的不同用户逻辑地划分成不同的广播域,每一个VLAN都包含一组有着相同需求的计算机工作站,与物理 上形成的LAN有着相同的属性。由于它是从逻辑上划分,而不是从物理上划分,所以同一个 VLAN内的各个工作站没有限制在同一个物理范围中,即这些工作站可以在不同物理LAN网段 。由VLAN的特点可知,一个VLAN内部的广播和单播流量都不会转发到其它VLAN中,从而有助于控制流量、减少设备投资、简化网络管理、提高网络的安全性。 VLAN除了能将网络划 分为多个广播域,
19、从而有效地控制广播风暴的发生,以及使网络的拓扑结构变得非常灵活的优点外,还可以用于控制网络中不同部门、不同站点之间的互相访问。通过划分VLAN子网,能划小了广播域,避免了数据碰撞在大的物理LAN内产生严重后果的可能,也避免了广播风暴的产生。提高交换网络的交换效率,保证网络稳定。提高网络安全性,通过划分VLAN,LAN被划分不同子网段,因此不能直接通信。必要的通信必须经过路由来实现,因此可在路由器(或三层交换机)上配置访问列表来进行跨子网段的授权访问,从而提高校园内部网络访问的安全性。方便网络管理:采用VLAN技术来划分校园网络,一个VLAN可以根据不同的院系、办公室或者服务器组将不同地理位置的
20、工作站划分为一个逻辑网段。在不改动网络物理连接的情况下可以任意地将工作站在子网之间移动,VLAN提供了网段和机构的弹性组合机制。VLAN技术很好的解决了网络管理的问题,能实现网络监督与管理的自动化,从而更有效的进行网络监控。该学校校园网络VLAN的划分及IP的分配,如表1所示。表格1学校VLAN的划分及IP的分配表校区序号子网名称网段IP网关IP备注老校区1服务器群192.168.1.0/24192.168.1.1Vlan 12网管中心192.168.150.0/241921681501Vlan 1503软件192.168.10.0/24192.168.10.1Vlan 104机电192.16
21、8.20.0/24192.168.20.1Vlan 205外语192.168.30.0/24192.168.30.1Vlan 306管理192.168.40.0/24192.168.40.1Vlan 407国教192.168.50.0/24192.168.50.1Vlan 508工美192.168.60.0/24192.168.60.1Vlan 609行政楼192.168.70.0/24192.168.70.1Vlan 7010学生公寓1192.168.80.0/24192.168.80.1Vlan 8011实验楼192.168.90.0/24192.168.90.1Vlan 9012实训工厂
22、192.168.100.0/24192.168.100.1Vlan 10013图书馆还书处1192.168.101.0/24192.168.101.1Vlan 10114图书馆还书处3192.168.102.0/24192.168.102.1Vlan 10215图书馆借书处1192.168.103.0/24192.168.103.1Vlan 10316图书馆借书处2192.168.104.0/24192.168.104.1Vlan 10417图书馆服务器172.16.50.0/24172.16.50.1Vlan 15新校区1土木192.168.3.0/24192.168.3.1Vlan 32化
23、工192.168.4.0/24192.168.4.1Vlan 43人文192.168.5.0/24192.168.5.1Vlan 54财经192.168.6.0/24192.168.6.1Vlan 65学生公寓2192.168.7.0/24192.168.7.1Vlan 7医学院校区1医学院部1192.168.8.0/24192.168.8.1Vlan 82医学院部2192.168.9.0/24192.168.9.1Vlan 9五、网络设备的选型(一)选型原则开封大学网络系统设计时考虑如下特点:1稳定可靠的网络只有运行稳定的网络才是可靠的网络,而网络的可靠运行取决于诸多因素,如网络的设计,产品
24、的可靠性。为了支持数据、话音、视像多媒体的传输能力,在技术上要到达当前的国际先进水平。要采用最先进的网络技术,以适应大量数据和多媒体信息的传输,既要满足目前的用户需求,又要充分考虑未来的发展。为此应选用高带宽的先进技术。2易扩展的网络系统要有可扩展性和可升级性,随着用户的增长和应用水平的提高,网络中的数据和信息流将按指数增长,需要网络有很好的可扩展性,并能随着技术的发展不断升级。3安全性网络系统应具有良好的安全性,由于网络连接园区内部所有用户,安全管理十分重要。应支持VLAN的划分,并能在VLAN之间进行第三层交换时进行有效的安全控制,以保证系统的安全性。4容易控制管理因为上网用户很多,如何管
25、理好他们的通信,做到既保证一定的用户通信质量,又合理的利用网络资源,是建好一个网络所面临的首要问题。(二)服务器的选择 开封大学选用了浪潮服务器,是因为浪潮服务器不仅提高了数据的读写速度同时也可以提高数据的安全性,避免数据灾难带来的损失,而且它安装简单,只需要点击“下一步”的键,就可以轻松完成整个系统的安装,并可以对整个系统进行实时监控和远程管理。选择的这一款浪潮英信NF280D价格适中,性能也比较好,它包括金融、电信、能源、政府行业的数据库应用、VOD应用税务、工商、公安等电子政务应用,高校数字图书馆、远程教育、多媒体教学等。浪潮英信NF280D是浪潮双核服务器的明星产品,采用一体化存储扩展
26、模块,用户可以随时添加外接存储组件,不需添加任何成本,灵活、可靠。同时,支持模块化存储组件集成SATA,可选单双通道SCSI,可选四、八通道SAS,使客户可以按照业务发展需求随意配置,大大提高产品灵活度,也降低了各配置之间的切换成本。 另外,NF280D还支持服务器虚拟化技术,能够配合成长型企业不断优化IT基础设施。浪潮英信NF280D服务器采用了最新的双核英特尔至强处理器,支持64位扩展技术,可选22MB的二级高速缓存,高达1333MHz系统前端总线。为了充分的发挥双核处理器的计算性能,NF280D采用了业界最新的全缓冲内存技术、I/O加速技术和可选高性能存储套件。NF280D均衡效能的观点
27、,不仅体现在对客户眼下需求的满足,还体现在对客户未来需求满足上。NF280D具有智能识别并同时支持PCI-X、PCI-E的扩展功能,无论是PCI-X卡还是PCI-E,服务器都可以自动判别工作模式并正常工作。(三)交换机的选择对于开封大学校园网的中心交换机选择了性能较好的CISCO WS-C4503交换机,它对于中型组织和企业分支机构而言,WS-C4503系列可以通过提供配置灵活性,支持融合网络模式,已经自动配置智能化网络服务,降低融合应用的部署难度,适应不断变化的业务需求。此外,WS-C4503系列针对高密度千兆位以太网部署进行了专门的优化,其中包含多种可以满足接入、汇聚或者小型网络骨干网连接
28、需求的交换机。CISCO新推出的WS-C4503系列交换机是一个创新的产品系列,它结合业界领先的易用性和最高的冗余性,里程碑地提升了堆叠式交换机在局域网中的工作效率。这个新的产品系列采用了最新的CISCOtackWise技术,从物理上到逻辑上使若干独立交换机在堆叠时集成在一起,便于用户建立一个统一、高度灵活的交换系统-就好像是一整台交换机一样。这代表了堆叠式交换机新的工业技术水平和标准。(四)路由器的选择对于开封大学的路由器我选择了华为3Com Quidway AR28-11, 类型是模块化接入路由器,固定的广域网接口1个,固定的局域网接口2个, 它采用模块化结构,在提供了集成的快速以太网接口
29、、AUX口和同异步串口的同时,又提供了丰富的可选配的智能接口卡SIC(Smart Interface Card,智能接口卡)及多功能接口模块MIM(Multifunctional Interface Module,多功能接口模块)。AR 28-11路由器提供了交流供电、直流供电两种主机,产品盒式外观使得AR 28-11 适合在电信管理网、计费网络等电信级网络中应用。六、综合布线设计(一)结构化布线系统优点开放性:结构化布线是根据ISO/IEC 11801国际标准设计和施工的、因此,只要供应商按照ISO/IEC 11801国际标准生产的网络设备均可被选用,具有开放性。可扩展性:结构化布线呈星型拓
30、扑,层次结构。因此,局域网站点的增加与减少不会影响整个小区网。可缩放:小区网从基本的局域网放大成为园区网和广域网,原有的局域网布线、设备都可保留。保护布线投资:结构化布线的使用寿命可长达15年,当网络扩展、缩放、升级时,原有的布线仍然可以使用,保护了用户的投资。节省费用:结构化布线把视频、语音、数字信号的传输综合在一块,较原有的视频、语音、数字信号各自单独布线方法,更能节省用户的布线投资。便于集中管理和维护:结构化布线系统使整栋大楼的布线系统构成一个有机整体,日后维护相当方便。(二)综合布线系统综合布线系统设计除符合国际标准外,还应符合中国建筑电器规范、工业企业通信设计规范、中国工程建设标准化
31、协会标准,综合布线用电缆、光纤技术要求及建筑与建筑群综合布线系统工程设计规范等国内标准。布线系统是一个模块化的开放系统,主要由六个子系统组成,这六个系统如图2所示: 图 2 综合布线示意图1.工作区子系统(Work Area)及其网络设计工作区子系统,是由RJ-45跳线与信息插座所连接的设备组成。信息点由标准RJ45插座构成。信息点数量应根据工作区的实际功能及需求确定,并预留适当数量的冗余。工作区的终端设备(如:电话机、传真机)选用安普公司的超五类双绞线直接与工作区内的每一个信息插座相连接,或用适配器(如ISDN终端设备)、平衡/非平衡转换器进行转换连接到信息插座上。2.配线子系统(Horiz
32、ontal)及其网络设计配线子系统,是从工作区的信息插座开始到管理间子系统的配线架。选择配线子系统的线缆,要根据建筑物内具体信息点的类型、容量、带宽和传输速率来确定。在配线子系统中推荐采用的双绞电缆及光纤型号为: 安普公司的超五类或六类非屏蔽双绞线, TCL室内单模或多模光纤。双绞线水平布线链路中,水平电缆的最大长度为90m。若使用100UTP双绞线作为配线子系统的线缆,可根据信息点类型的不同采用不同类型的电缆。该方案选择安普公司的超五类非屏蔽双绞线缆。3.干线子系统(Backbone)干线子系统,负责连接管理子系统到设备间子系统的子系统。干线子系统可以使用的线缆主要有:HAY三类大对数电缆;
33、安普公司的超五类或六类双绞线;TCL室内单模或多模光纤。该方案选择安普公司的超六类双绞线缆。4.设备间子系统(Equipment Room)及其网络设计设备间子系统,由电缆、连接器和相关支撑硬件组成。采用BIX跳接式配线架,连接交换机;采用光纤终结架连接主机及网络设备。设备间的主要设备有数字程控交换机、计算机网络设备、服务器、楼宇自控设备主机等等。它们可以放在一起,也可分别设置。在较大型的综合布线中,可以将计算机设备、数字程控交换机、楼宇自控设备主机分别设置机房,把与综合布线密切相关的硬件设备放置在设备间,计算机网络设备的机房放在距离设备间不远的位置。设备间子系统是一个集中化设备区,连接系统公
34、共设备,如局域网(LAN)、主机、建筑自动化和保安系统,及通过垂直干线子系统连接至管理子系统。5.管理子系统(Administration)及其网络设计管理子系统,由交连、互连和I/O组成。管理是针对设备间、电信间和工作区的配线设备、缆线等设施,按-定的模式进行标识和记录的规定。跳线采用超5类非屏蔽双绞线,RJ45接头。管理间是楼层的配线间,管理子系统为其它子系统互连提供手段,它是连接垂直干线子系统和水平干线子系统的设备。管理子系统由交连、互连和输入/输出组成,实现配线管理,为连接其它子系统提供手段。包括配线架、跳线设备及光配线架等组成设备。设计管理子系统时,必需了解线路的基本设计原理,合理配
35、置各子系统的部件。安普公司的综合布线解决方案拥有搭配科学、管理简便的成套产品用于管理子系统。6.建筑群子系统(Campus Subsystem)及其网络设计建筑群子系统是实现建筑之间的相互连接,提供楼群之间通信设施所需的硬件。建筑群之间可以采用有线通信的手段,也可采用微波通信、无线电通信的手段。传输介质采用室外六芯多模光纤。建筑群子系统介质选择原则:楼和楼之间在二公里以内、传输介质为室外光纤、可采用埋入地下或架空(4 M以上)方式、需要避开动力线、注意光纤弯曲半径建筑群子系统施工要点:包括路由起点、终点;线缆长度、入口位置、媒介类型、所需劳动费用以及材料成本计算。建筑群子系统所在的空间还有对门
36、窗、天花板、电源、照明、接地的要求。建筑群子系统的设计:教学楼与办公楼之间由于距离较远,采用单模光纤连接;图书馆与办公楼距离较近,采用千兆以太网连接。考虑近期学校使用、设备投资、距离超长等各种因素,采用多模光纤和单模光纤混合的方式连接,并在每个建筑物内预留了多模光纤,以备将来整个网络系统的发展。七、网络安全设计(一)网络安全介绍网络系统使计算机资源在广泛的地理区域内共享,具有分布广域性、体系结构开放性、资源共享性、通信信道的共同性等特点。这些特点增强了系统的实用性,同时也带来了系统的脆弱性,网络上的许多敏感信息和保密数据难免受到各种主动的或被动的人为攻击,如信息泄露、窃取、数据篡改及计算机病毒
37、感染等。因此,在网络上构筑一系列完善的安全策略是必不可少的。安全,通常是指这样一种机制,即只有那些被授权的人才能使用其相应的资源。网络的安全性主要包括网络路由的安全性和网络信息的安全性。对应的,网络系统安全保障的方法可以分为二大类:即以“防火墙”技术为代表的防卫型和建立在数据加密、用户授权确认机制上的主动型网络安全保障系统。前者的特征是通过在网络路由上建立相应的网络通讯监控系统(即“防火墙”)来达到安全控制的目的;而后者的特征是通过对网络数据(包括用户数据和保证网络正常运行所需的数据)的可靠加密和用户确认,实现对网络的安全保护。在网络上运行的应用,其数据安全性要求是必然的,特别是在网络联入In
38、ternet网的情况下。对系统安全的考虑来源于以下方面:外界闯入的恶意攻击;非授权的资料存取;假冒合法用户;病毒;我们可以利用现有的安全机制和系统设计,从以下几个方面来增强数据的安全性:在内外网间设置访火墙;对敏感数据的传输采用不对称加密;利用客户端和服务器端的SSL协议;服务器和客户端的双向认证;数字签名;操作系统的存取控制;数据库的存取控制;对应用程序的存取控制;日常的病毒扫描。由于普遍采用了以网络为中心的集中服务方式,在网络上传输病毒的机会大大减少。以下我们将集中讨论如何利用防火墙、SSL、数字签名、VPN、LDAP等技术,来实现集成的企业级网络安全。(二)集成的网络安全策略在设计网络安
39、全策略时,需要考虑在初建费用、网络安全的扩展性、灵活性、维护费用等方面进行综合考虑,采取适当的策略。我们设计的安全策略包括:1.网络系统的安全性,通过网络管理软件等实现网络安全控制;2.通过设置防火墙实现网络安全;3.在应用软件上通过用户认证数字签名等手段实现网络安全。(三)实现防火墙技术实现“防火墙”所用的主要技术有数据包过滤,应用网关和代理服务器等,在此基础上合理的网络拓扑结构及有关技术(在位置和配置上)的安排也是保证防火墙有效性的重要因素。包过滤(packet filter)技术顾名思义即在网络中适当的位置对数据包实施有选择通过。通过检查数据流中的每个数据包后根据数据包的源地址、目的地址
40、、所用的TCP端口号、TCP链路状态等因素或它们的组合来确定是否允许数据包通过。只有满足过滤逻辑的数据包才被转发至相应的目的的地出口端。其余数据包则被从数据流中删除。包过滤技术实现方式简洁,目前网络的路由设备通常均具有一定的数据包过滤能力,因而使路由设备在完成路由选择和数据转发功能之外同时进行包过滤是目前常见的实现方式之一。此外在工作站上使用软件包过滤也不失为一种可行的方案,但相对较为昂贵。若在适当的路由设备上启动包过滤功能(作此用途的路由器称Screening Router)则通常不需要额外增加硬件/软件配置,也不需要对网络拓扑结构作改动。但是,包过滤技术本身对网络的保护功能是有局限的,这是
41、因为:1.包过滤是在网络层和传输层上运作的技术,因而对位于网络更高协议层的信息无理解能力,使得它对通过网络应用层协议实现的安全威胁无防范能力。2.由于数据包过滤逻辑是静态指定的,因而系统的操作、维护工作量相当可观。包过滤逻辑的静态设置也使得它对需要动态指定TCP端口的应用协议(如FTP和XWindow)的应用受到限制。3.进行数据包的检查和过滤会对路由设备的工作性能产生可观的影响。并且由于路由器内部资源的限制,通常路由器对所发现的非法数据包仅是删除而已,并不作报告,从而不具有保障系统所要求的可审计性。应用网关是建立在网络应用层上的协议过滤、转发功能,它针对特别的网络应用服务协议指定数据过滤逻辑
42、。并可根据在按应用协议指定的数据过滤逻辑进行过滤的同时将对数据包的分析的结果及采取的措施作登录和统计,形成报告。实际中应用网关通常由专用工作站系统实现。数据包过滤技术与应用网关技术的一个共同特点是它们仅依特定的逻辑检查是否允许特定的数据包通过。一旦特定的网络数据流满足逻辑,则防火墙内外的计算机系统建立直接联系,因而保留了防火墙外部网络系统直接了解防火墙内网络结构和运行状态的可能,代理服务器技术则是针对这一问题引入的防火墙技术,其特点是将所有跨越防火墙的网络通信链路分为二段,防火墙内外计算机系统间的应用层的“链接”由二个终止于代理服务器上的“链接”来实现。外部计算机的网络链路只能到达代理服务器,
43、由此实现了防火墙内外计算机系统的隔离,代理服务器在此等效于一个网络传输层上的数据转发器的功能。八、开大校园网络实现(一)硬件简介本实验为小型模拟实验一共需要22台PC机,12台交换机,3台路由器。交换机采用思科出产的Cisco2960和Cisco3640的交换机,路由器使用思科出产的Cisco2811和Cisco3620系列的路由器。(二)软件介绍使用Cisco Packet Tracer和DynamipsGUI_2.8_CN模拟器进行模拟实验的环境搭建。Cisco Packet Tracer是由Cisco公司发布的一个辅助学习工具,为学习思科网络课程的初学者去设计、配置、排除网络故障提供了网
44、络模拟环境。用户可以在软件的图形用户界面上直接使用拖曳方法建立网络拓扑,并可提供数据包在网络中行进的详细处理过程,观察网络实时运行情况。DynamipsGUI,是由中国青岛CCIE小凡开发的一个思科模拟器图形前端。它不仅整合了思科所有的IOS模拟器,而且还整合了BES以及VPCS。它是一个综合的模拟器解决方案。它配置输出采用的是bat批处理文件。(三)实验拓扑图此拓扑图只是一个模拟图,其中Cisco2960的交换机是二层交换机;Cisco3640的交换机是三层交换机;Cisco2811和Cisco3620是路由器。该实验是一个大型模拟实验,开封大学总体的网络拓扑图,如图3所示。本实验将以此图来
45、模拟进行冗余网络的实现配置过程。图3实验拓扑关系图图3中有三个部分,其中红色部分是老校区,蓝色部分是医学院校区,绿色部分是新校区。红色部分和蓝色部分用Cisco Packet Tracer实现,其中主要技术有VLAN、VTP、TELNET、MSTP、DHCP、单臂路由、路由策略、NAT等。绿色部分用DynamipsGUI来实现,其中主要技术是VRRP等(四)IP地址划分表格2 PC机IP表IP地址子网掩码网关所属VLANPC00DHCP255.255.255.0192.168.10.1VLAN 10PC01DHCP255.255.255.0192.168.20.1VLAN 20PC02DHCP
46、255.255.255.0192.168.30.1VLAN 30PC03DHCP255.255.255.0192.168.40.1VLAN 40PC04DHCP255.255.255.0192.168.50.1VLAN 50PC05DHCP255.255.255.0192.168.60.1VLAN 60PC06DHCP255.255.255.0192.168.70.1VLAN 70PC07DHCP255.255.255.0192.168.80.1VLAN 80PC08DHCP255.255.255.0192.168.90.1VLAN 90PC09DHCP255.255.255.0192.168.100.1VLAN 100PC10192.168.104.2255.255.255.0192.168.104.1VLAN 104PC11192.168.103.2255.255.255.0192.168.103.1VLAN 103PC12192.168.102.2255.255.255.0192.168.102.1VLAN 102PC13192.168.101.2255.255.255.0192.168.101.1VLAN 101PC14192.168.3.2255.255.255.0192.1