网管软件需求分析文档

校园网网管软件需求分析班级：网络工程091姓名：崔中银学号：0913083011校园网网管系统方案一．校园网概述及分析1.1概述校园网建设的目标简而言之是将校园内各种不同应用的信息资源通过高性能的网络设备相互连接起来，形成校园园区内部的Intranet系统，对外通过路由设备接入广域网。建设校园网对每个学校来说都不是一件容易的事情,都要经过周密的论证、谨慎的决策和紧张的施工。当一堆设备变成网络的时候,大部分学校的满腔热情也慢慢地冷却凝固。校园网建成了,各种问题也不断涌现:设计目标根本无法实现,没有合适的应用软件,许多设想根本无法实施,后续的维护费用不堪承受等等。1.2校园网建设的必要性随着计算机多媒体和网络技术的不断发展与普及，校园网信息系统的建设，是非常必要的，也是可行的。主要表现在：1)、当前校园网信息系统已经发展到了与校际互联、国际互联、静态资源共享、动态信息发布、远程教学和协作工作的阶段，发展对学校教育现代化的建设提出了越来越高的要求。2)、教育信息量的不断增多,使各级各类学校、家庭和教育管理部门对教育信息计算机管理和教育信息服务的要求越来越强烈。3)、现代教育改革的需要。改善教学质量的有力手段,是解决信息时代教育问题的基本工具。1.3应用特点--一个基本的校园网具有以下的特点：1：高速的局域网连接2：信息结构多样化3：安全可靠4：操作方便，易于管理5：经济实用二、校园网络需求分析2.1用户需求分析设计一个网络，首先要为用户分析目前面临的主要问题，确定用户对网络的真正需求，并在结合未来可能的发展要求的基础上选择、设计合适的网络结构和网络技术，提供用户满意的高质服务。网络在日常教学办公环境中起着至关重要的作用，校园网的运作模式会带来大量动态的应用数据传输，会有相当一部分应用的主服务器有高速接入网络的需求（目前为100/1000Mbps，今后可会更高）。这就要求网络有足够的主干带宽和扩展能力。同时，一些新的应用类型，如网络教学、视频直播/广播等，也对网络提出了支持多点广播和宽带高速接入的要求。2.2校区网络的设计目标:校区网络建设的目标应该是：建成后的网络能充分利用Internet、国家信息网、教育网、全国高校互联网上的各种信息，实现资源共享，能够为在此校区学习的学生提供丰富的多媒体教学手段，实现高质高效的教学目标。系统总体设计将本着总体规划、分布实施的原则，充分体现系统的技术先进性、高度的安全可靠性，同时具有良好的开放性、可扩展性。本着为学校校区着想，合理使用建设资金，使系统经济可行。学校网络应当实现如下功能：●访问互联网络●访问学校虚拟网络●校园网站建立●远程教育●VOD点播●网络安全管理●电子邮件和电子公告●计算机辅助教学●教师备课功能●对外交流●校园管理平台●信息资源库三、组网技术及产品选择3.1组网技术选择目前在局域网络上应用最广泛的技术有以太网、快速以太网、FDDI、TokenRing以及最新崛起的ATM（异步传输模式）、千兆以太网等。交换式以太网作为几年前主干网组网的主要技术，现在主要被用于工作组级组网，使网络交换到桌面工作站。3.2网络产品选型校区网络建设应该以应用为核心，在设计中充分考虑到教育管理和多媒体教学的要求，并且网络技术上应该具有一定的先进性，同时还要为以后的扩展留有一定的空间。为此校园校区网络网应该能达到以下要求：.1稳定可靠的网络.2高带宽3易扩展的网络4QoS保证5安全性6容易控制管理7IPMulticast8符合IP发展趋势的网络四、校园网网络设计方案及分析4.1网络的分层设计原则核心层高速交换技术分布层基于策略的操作接入层本地/远程工作组接入可扩展性：因为网络可模块化增长而不会遇到问题；简单性：通过将网络分成许多小单元，降低了网络的整体复杂性，使故障排除更容易，能隔离广播风暴的传播、防止路由循环等潜在的问题；设计的灵活性：使网络容易升级到最新的技术，升级任意层次的网络不会对其他层次造成影响，无需改变整个环境；可管理性：层次结构使单个设备的配置的复杂性大大降低，更易管理。4.2校园网方案特性分析1高性能的网络设计设备的高性能：核心节点的交换机是整个校园网络的核心，应当采用有多层交换功能的交换机。核心交换机应采用模块化设计，有良好的扩展性能、多种接入模块；具备增强的网络传输能力，支持VLAN、RIP和OSPF协议、服务质量（QOS）、IP组播、DHCP中继和AAA认证等功能；支持通用的管理特性（SNMP），能使用流行的网管软件对它进行管理，如HPOpenView等。网络的高性能设计：整个校园的建设可以采用全交换方式，100兆到每个接入层用户。有效的子从逻辑上，校园网络可分为核心层、分布层和接入层，每层都有其特点。层次化设计的优点可以总结为如下几点：网划分和流量控制使整个校园网络能高速、安全的运行。4.2.2集成的用户管理功能提供完善的用户管理机制，实现全面的用户认证、鉴权和计费(AAA)功能。用户管理引擎实现了根据用户MAC地址、VLANID和IP地址的绑定关系鉴别用户的合法性的功能。可根据用户的权限，实现对用户访问资源的控制。实现基于VLANID/MAC地址、接入模块号和接入设备号的全程用户唯一标识，便于用户管理（开户、销户、欠费停机等）和网络故障维护。4.2.3灵活的网络的可扩展性设计（1）所选择的网络设备应当具有良好的扩展性。（2）所选择的设备都具有良好的软件再升级能力。可靠的网络安全设计安全性是网络设计要考虑的最重要的因素之一，设计中充分考虑了网络的安全性，具体体现在以下几个方面：(1)通过VLAN的划分，限制了不同VLAN之间的互访，从而保证了不同网络之间不会发生未经授权的非法访问。(2)在核心节点可提供基于地址的Access-list，以控制用户对于关键资源的访问。通过在汇聚和核心交换机上设置VLAN路由以及访问过滤，保证了在VLAN之间只有被允许的访问才能发生，而未经授权的访问都会被禁止。(3)通过对上网的安全教育，提高安全意识，特别是增强计算机操作人员的密码管理意识，以防止由于操作员密码有意无意泄露给他人而造成的损失。(4)制定严格的安全制度，包括人员审查制度、岗位定职定责制度、使用计算机的权限制度以及防病毒制度，从制度上保证网络安全性得以实现。(5可以对所有的重要事件进行Log，这样方便网络管理员进行故障查找；(6可以对所有的Telnet以及SNMP的访问进行限制，从而最大程度地保证汇聚层系统地安全。(7可以在接入层中通过限制MAC地址的访问提高网络安全。4.2.6方便的网络管理和维护（1）为了提高网络管理能力设计中所有设备最好具有网管功能，不存在光纤收发器等类似不可网管设备，提高了网络可靠性和可管理。（2）支持通用的网络管理协议如（SNMP），方便网络的管理和维护。（3）支持通用的的网络管理软件，如CiscoCiscoworks、HPOpenView、3ComTrensand。4.2.7运营级的网络高可靠性的设计可以从两方面来考虑：关键设备的主要模块和电源的冗余备分考虑在网络设计中所涉及的所有主要设备，均采用高可靠设计的原则。核心关键部件的冗余备份：电源冗余、主控板冗余、模块冗余等。网络链路的冗余备分考虑五.校园网解决方案5.1系统组成与拓扑结构方案特点如下：（1）支持多媒体应用，包括多媒体教室、电子阅览室、多媒体教学；（2）高性能，全交换，满足用户需求；（3）管理简单，浏览器方式无需专门培训；（4）系统安全，保密性高；（5）ADSL连接方式，按需建立连接降低链路费用。（6）互联网接入，安全的广域网访问。方案拓扑结构如下：由图可看出，网络设备组成为：Catalyst2900交换机五台Cisco850路由器一台考虑到Internet接入是校园网的发展趋势，在这套解决方案中都用到了路由器来引入广域网的远程连接，这套方案中用到了思科公司的低端路由器Cisco850，它提供了对内的10/100M局域网接口和对外的ADSL连接，通过Internet实现远程教学或教学演播等应用。传输稳定，连接迅速。在实现基本数据传递的基础上，用户可以根据自己的需要灵活选用上述网络设备中的某些性能。如：路由器和交换机的组内广播功能可为多媒体信息的传输提供更高的服务质量；而catalyst2900之间建立快速以太网通道，在全双工模式下达到400M的高速级联；此外，850路由器兼任了防火墙－－思科公司系列中、低端路由器都可以通过操作系统升级具备防火墙性能，在承担远程连接的同时实施数据包检验和过滤，防止非法用户侵入到内部局域网中－－对连接到Internet这一开放网络的用户来说，安全性是网络设计中不容忽视的一项重要因素。5.2校园网络安全接入.1校园网络安全校园网络承担着整个校园的通讯枢纽功能，连接着所有的应用服务器和数据系统，任何网络安全问题都会扰乱学校办公、教务的正常运转，给学校带来不可弥补的损失。目前在局域网中遇到的问题主要有以下几种：IP地址的管理问题，包括IP地址非法使用、IP地址冲突和IP地址欺骗利用ARP欺骗获取账号、密码、信息，甚至恶意篡改信息内容、嫁祸他人问题木马、蠕虫病毒攻击导致的信息失窃、网络瘫痪问题攻击或病毒源机器的快速定位、隔离问题。2：阻止来自网络第二层攻击的重要性网络第二层的攻击是网络安全攻击者最容易实施，也是最不容易被发现的安全威胁，它的目标是让网络失效或者通过获取诸如密码这样的敏感信息而危及网络用户的安全。因为任何一个合法用户都能获取一个以太网端口的访问权限，这些用户都有可能成为黑客，同时由于设计OSI模型的时候，允许不同通信层在相互不了解情况下也能进行工作，所以第二层的安全就变得至关重要。如果这一层受到黑客的攻击，网络安全将受到严重威胁，而且其他层之间的通信还会继续进行，同时任何用户都不会感觉到攻击已经危及应用层的信息安全。所以，仅仅基于认证（如IEEE802.1x）和访问控制列表（ACL，AccessControlLists）的安全措施是无法防止本文中提到的来自网络第二层的安全攻击。一个经过认证的用户仍然可以有恶意，并可以很容易地执行本文提到的所有攻击。目前这类攻击和欺骗工具已经非常成熟和易用。3MAC泛滥攻击的原理和危害交换机主动学习客户端的MAC地址，并建立和维护端口和MAC地址的对应表以此建立交换路径，这个表就是通常我们所说的CAM表。CAM表的大小是固定的，不同的交换机的CAM表大小不同。MAC/CAM攻击是指利用工具产生欺骗MAC，快速填满CAM表，交换机CAM表被填满。黑客发送大量带有随机源MAC地址的数据包，这些新MAC地址被交换机CAM学习，很快塞满MAC地址表，这时新目的MAC地址的数据包就会广播到交换机所有端口，交换机就像共享HUB一样工作，黑客可以用sniffer工具监听所有端口的流量。此类攻击不仅造成安全性的破坏，同时大量的广播包降低了交换机的性能。当交换机的CAM表被填满后，交换机以广播方式处理通过交换机的报文，这时攻击者可以利用各种嗅探攻击获取网络信息。更为严重的是，这种攻击也会导致所有邻接的交换机CAM表被填满，流量以洪泛方式发送到所有交换机的所有含有此VLAN的接口，从而造成交换机负载过大、网络缓慢和丢包甚至瘫痪。5.3.4MAC泛滥攻击防范方法通过配置PortSecurity可以控制：端口上最大可以通过的MAC地址数量端口上学习或通过哪些MAC地址对于超过规定数量的MAC处理进行违背处理端口上学习或通过哪些MAC地址，可以通过静态手工定义，也可以在交换机自动学习。交换机动态学习端口MAC，直到指定的MAC地址数量，交换机关机后重新学习。目前较新的技术是StickyPortSecurity，交换机将学到的mac地址写到端口配置中，交换机重启后配置仍然存在。对于超过规定数量的MAC处理进行处理一般有三种方式（针对交换机型号会有所不同）：Shutdown：端口关闭。Protect：丢弃非法流量，不报警。Restrict：丢弃非法流量，报警。5.3.5DHCP欺骗攻击的防范基本防范为了防止这种类型的攻击