搜索
武当大学校园网网络工程班级:计算机网络技术1311学号:2013045540姓名:陆儒烨一、项目概述1、项目背景计算机网络一直在不断地更新,也快速的发展。计算机网络技术的不断提升,也使得其他的各行各业在计算机方面的应用也越来越受到重视,计算机网络的应用也充斥到了日常生活和工作中。除此之外,计算机网络技术的发展也越来越先进。当前计算机网络所面临的主要问题以及计算机网络对社会发展的影响新技术革命对计算机网络的要求,计算机网络技术的发展更为迅速,已经渗透到了我们生活的各个方面,人们已经离不开计算机网络,并且随着因特网的迅速普及,当然给校园的学习与生活条件带来更大的方便,与外部世界的联系将更加的紧密和快速。校园网是各种类型网络中一大分支,有着非常广泛的应用。作为新技术的发祥地,学校、尤其是高等学校,和网络的关系十分密切,网络最初是在校园里进行实验并获得成功的,许多网络新技术也是首先在校园网中获得成功,进而才推向社会的。另一方面,作为“高新技术孵化器”的学校,知识、人才的资源十分丰富,比其他行业更渴求信息、希望能有渠道获得各种各样的信息来促进自身在研究、学术上的进步。2、学校简介学校是占地面积710余亩,建筑面积约31万平方米,计算机网络布及校园的建筑,学校有三幢教学楼,两栋实训楼,一栋图书馆,四幢学生公寓主要建筑。(1)教学楼核心层交换机通过光纤传输介质与教学楼的汇聚交换机相连。汇聚交换机分别连接到各栋楼的接入层交换机,通过双绞线连接到每间教室的信息面板上,具体分配如下:教学楼每栋五层,第层10个信息点,共有50个信息点。教学楼二,每栋五层,每层10个信息点,共有50个信息点。教学楼三,每层10个信息点,共有50个信息点。(2)实训楼核心交换机通过室外光线连接到实训楼的汇聚交换机,汇聚交换机通过双绞线连接到实训楼各层各个班级的信息面板上,实训楼2栋,每栋5层,每层30个信息点,共有300个信息点。办公室使用24口交换机连接到信息面板上。(3)图书馆中心机房放置在图书馆的第五层,连接到汇聚交奂机。通过双绞线连接到图书馆的各个信息面板上,1楼:10个信息点;2楼:15个信息点;3楼:15个信息点;4楼:15个信息点。(4)学生宿舍区核心交换机通过光纤连接到学生公寓各个区的汇聚交换机,每个区域的交换机通过光纤连接到各自的区域楼,区域楼交换机再与楼层的交换机堆叠,通过双绞线连接到宿舍的信息面板上。(5)信息网络中心通过光纤接入,连接H3CSecPathF100-S-AC防火墙,再连接到一台“思科WS-C4509”的核心交换机和服务器群。服务器群组服务器统一采用IBMSystemx3650M3(7945I75),一台对外Web服务器,放的是学校的官方网站;一台内网Web服务器,是学校的内部网络;一台Ftp服务器,由于FTP流量比较大,所以增加了一台IBMTotalStorageDS3400(1726-42X)Raid服务器。核心层交换机通过光纤连接到教学楼、实训楼、图书馆、学生公寓各个区的汇聚层交换机。二、网络拓扑结构可以采用多种软件的形式来绘制。三、IP地址规划根据互联网络技术发展的趋势,结合学校网络目前真实IP地址的现实情况,我们建议IP地址规划遵循如下原则来设计:1、服务器区采用私IP地址,NAT后供人员远程访问;2、与internet互联设备IP地址采用真实IP地址;3、部分内部互连采用私有IP地址;该校申请的IP地址为207.160.130.131,域名为,主DNS为218.76.138.66,辅助DNS为218.76.138.90。根据该学校的情况,将VLAN与IP分配如下表:表6-1为该校VLAN与IP网段的划分VLAN号网段IP网关备注2192.168.10.0/24192.168.10.254多媒体13192.168.20.0/24192.168.20.254多媒体24192.168.30.0/24192.168.30.254学生宿舍1栋4192.168.40.0/24192.168.40.254学生宿舍2栋5192.168.50.0/24192.168.50.254教师宿舍1栋6192.168.60.0/24192.168.60.254教师宿舍2栋7192.168.70.0/24192.168.70.254后勤处办公室8192.168.80.0/24192.168.80.254教务处办公室9192.168.90.0/24192.168.90.254学工处办公室10192.168.100.0/24192.168.100.254图书馆办公室11192.168.110.0/24192.168.110.254电子阅读室12192.168.120.0/24192.168.120.254教学楼机房113192.168.130.0/24192.168.130.254教学楼机房214192.168.140.0/24192.168.140.254教学楼机房3四、网络物理设备选型1、交换机a)名称:多路网络信号电涌保护器型号:USP2108E/USP2124E规格:网络信号b)名称:16口POE网络供电器型号:UTP7216E-PSE规格:POE供电16口价格¥2480.00UTP7216E-POE-L2是一款PoE交换机。该产品提供16个百兆PoE网络端口,2个千兆上联光口和2个千兆电口,支持IEEE802.3af/at供电标准。该产品支持PoE电源控制软件,专为高清网络摄像机网络接入而设计,消除了这些设备特意连接电源插座的麻烦。使那些远离电源的设备连接更灵活,简化布线。该产品并且集成了光纤接口,实现了光纤收发器和网络交换机的完美融合,解决了远距离传输的问题。产品可用在安防网络视频监控、网络工程等场合。交换机,也称交换式集线器,是专门设计的,使各计算机能够相互高速通信的独享带宽的网络设备。作为高性能的集线设备,随着价格的不断降低,交换机已逐步取代了集线器而成为集线设备的首选。由交换机构建的交换式网络系统不仅拥有高速的传输速率,而且交换延时很小,使得信息的传输效率大大提高,适合于大数据量并且使用非常频繁的网络通信,被广泛应用于各种类型的多媒体和数据传输网络。交换机具有很强的网络管理功能,它能自动根据网络通信的使用情况来动态管理网络,因为交换机采用了独享网络带宽的设计。2、路由器①.TP-LINKTL-R4000(简单高校中小型高校的选择)②.Cisco7206VXR(高性能大中型高校首选)路由器除了有连接不同的网络物理分支和不同的通信媒介、过滤和隔离网络数据流及建立路由表,还有控制和管理复杂的路径、控制流量、分组分段、防止网络风暴及在网络分支之间提供安全屏障层等到功能。根据路由设备的组成可以分为软路由和硬路由。根据路由表的设置方式可以将路由器分为静态的和动态的。路由器工作在网络层,因此它可以在网络层交换和路由数据帧,访问的是对方的网络地址。当数据帧到达路由器后,路由器查看数据帧的目标地址,并在路由表查看到达目标地址的路径,根据路径的代价,选择一条最佳的路径,然后把数据帧沿这条路径发送给目标地址。3、服务器a)商品名称:戴尔服务器R720/E5-2603V2*2/8G*2/4T*4SAS/DVD/H310/推荐用途:DNS支持硬盘类型:热插拔价格:¥21899a).商品名称:dell戴尔R7302U机架式服务器主机至强e5处理器升级cpuE5-2600系列E5-2620V3*2+750W*216G*4+2T*4推荐用途:数据库服务支持硬盘类型:热插拔价格:15350元校园网中的服务器主有数据库服务器和代理服务器,数据服务器与代理服务器主要是面向校园网内部用户的服务,对来自Internet的用户服务也很多,主要是对校园网内部用户进行Internet代理服务。目前,绝大多数校园网都要求内部服务用户通过代理访问Internet,这样内部用户就不能直接访问Internet,同时代理服务器保存着内部用户访问Internet的日志,以作为记费的依据。由于用户数量非常大,也非常集口中,所以在选型代理服务器时,主要考虑的是要有较大的容量、较高的处理速度和较高的稳定性,一般来说都选用大型服务器作为代理服务器。4、防火墙a)商品名称:华为(Huawei)USG2130华赛8LAN口企业级百兆VPN硬件防火墙类别:防火墙协议:802.11ac价格:¥2888.00b)商品名称:思科ASA5505-K8类别:防火墙协议:802.11n价格:¥2350防火墙是一种计算机硬件和软件的结合,使Internet与Intranet之间建立起一个安全网关(SecurityGateway),从而保护内部网免受非法用户的侵入,防火墙主要由服务访问规则、验证工具、包过滤和应用网关4个部分组成,防火墙就是一个位于计算机和它所连接的网络之间的软件或硬件。该计算机流入流出的所有网络通信和数据包均要经过此防火墙。五、网络安全或可靠性设计为了防止网络威胁,使得校园网络能够有一个安全的上网环境。我们设计了如下的网络安全架构,对校园网络进行层层防护。首先是一级防火墙,其次增加入侵检测系统,在路由器之后进行二级防火墙的部署,对各种服务器进行保护,之后在用户层进行三级防火墙防护,然后加上各个操作系统安装的杀毒软件最为最后一道防护。安全架构如图2所示。3.2杀毒软件保护在校园网中,对于所有入网的计算机都应该安装杀毒软件,如果可以提供统一的杀毒软件,定时通知所有用户及时更新软件。杀毒软件可以有效及时地发现电脑病毒,各种木马和恶意的软件,阻止恶意程序的进一步传播,避免网络中其他计算机的感染,有些杀毒软件还有数据恢复等功能。网络安全是一个长期的、动态的过程,杀毒软件可以实时地保护我们的计算机,及时发现不安全因素,将木马等进行有效隔离,是网络安全中最后一道有效的防护屏障,但是杀毒软件的病毒库要及时更新,这样对最新的病毒才能及时地防护,过期的病毒库不能查杀最新的病毒。三级防火墙防护防火墙技术作为一种隔离技术,广泛的应用在校园网络建设中,它是由软硬件共同组成的。之所以采用三级防火墙,是根据不同网络位置划分的。一级防火墙是第一道保护屏障,它可以直接安全隔离外部网络和内部网络。它主要是硬件设置和软件防火墙相结合,能够检查外部网络传入的数据包,对信任服务和不受信任的服务进行区分,对不信任的不合法的服务进行过滤,第一时间阻止不安全的威胁进入网络,防止篡改路由器配置等。二级防火墙是在各个服务器之上建立的防火墙,对于已经进入内部网络的不安全因素进行再次过滤,防止对服务器的入侵及其破坏。三级防火墙主要是对于各个客户端安装的防火墙,该级防火墙主要是软件防火墙,它可以阻止用户访问不安全站点,对特定端口进行禁止,封锁特洛伊木马,从而保护终端计算机的安全。入侵检测系统入侵检测系统对于校园网络安全起着举足轻重的作用。入侵检测系统简称ids,它是即时监视网络传输,当发现不安全的传输时,采取主动反应措施并发出安全警报。它是一种积极主动的安全防护技术,目前已经很成熟地应用到校园网络安全建设中。入侵检测系统会积极分析各种网络活动,从中发现违反安全策略的可疑网络行为,大体分为基于标志的入侵检测和基于异常的入侵检测。基于标志的异常检测,需要定义安全策略,什么是安全的,什么是非安全的,如网络数据包中的某些头信息有无可疑头字符。基于异常的检测会定义一组正常的数值,如内存利用率、cpu利用率等,如果一旦超过正常值,就有被攻击的可能,根据具体情况进行更进一步的判断和检测。网络安全架构的完善进行如上的安全部署后,我们的校园网络也不一定安全。因为各种可能性都有可能发生,在如上的基础上,我们还可以进行更进一步的安全防护,如可以采用vlan技术,按照学校各系别的安全级别要求高低进行不同的安全级别设置,基于端口划分技术将网络分段隔离,实现访问控制。配置双网卡,连接外部网络的网卡使用公网ip地址,连接内网的使用私有地址,可以通过配置代理服务器进行联网,来控制访问外部网络的所有客户端的流量等。六、配置命令路由器与中心机房配置成area0