局域网设计方案-可靠安全实验室设计

8.8.1网络实验室设计一．需求分析：80台计算机，每40台一个VLAN，每10台PC连接到百兆交换机上，交换机之间互连，VLAN间通信通过三层交换机，80台计算机共享如下服务如FTP、代理和服务器等，通过三层交换机的上端千兆口连接到网络中心，通过网络中心实现外网的连接。二、网络拓扑图：下图是使用ciscopackettracer软件作成的拓扑图：三、设计方案(1)服务器设计：1.FTP服务器:网络实验室需要该服务器提供文件传输功能，即网络用户可以从特定的服务器上下载文件或者向该服务器上传数据，此时需要配置支持文件传输的FTP服务器。FTP服务的配置需要安装IIS服务组件，FTP服务器安装好之后，在服务器上有专门的目录供网络用户访问、存储下载文件、接收上传文件，合理配置站点以有利于提供安全、方便的服务。对于FTP服务器的使用主要是分两个部分：第一步：设置IIS默认的FTP站点，建立FTP最快的方法就是直接利用IIS默认建立的FTP站点，把可供下载的相关文件，分门别类地放在FTP相应的根目录下；第二步：添加或者删除站点，IIS允许在同一部计算机上同时构架多个FTP站点。2.服务器：Web服务器的配置同样分为两个步骤：首先，使用IIS默认站点；其次，添加新的Web站点。3.代理的配置：(2)交换机设计与配置：单臂路由和Trunk的配置：路由器需要配置两个子接口的封装和ip（物理口和子接口都需要配置IP），交换机需要配置两个VLAN，把两个接口放进vlan，把与路由器连接接口配置成trunk，交换机上的三个接口和两个相关vlan；pc1/pc2,配置网关，配置默认路由。VLAN的配置：『配置环境参数』SwitchA端口E0/1属于VLAN2，E0/2属于VLAN3『组网需求』把交换机端口E0/1加入到VLAN2，E0/2加入到VLAN32数据配置步骤『VLAN配置流程』1.缺省情况下所有端口都属于VLAN1，并且端口是access端口，一个access端口只能属于一个vlan；2.如果端口是access端口，则把端口加入到另外一个vlan的同时，系统自动把该端口从原来的vlan中删除掉；3.除了VLAN1，如果VLANXX不存在，在系统视图下键入VLANXX，则创建VLANXX并进入VLAN视图；如果VLANXX已经存在，则进入VLAN视图。8.8.2可靠、安全网络实验室方案1.需求分析首先，在网络实验室方案设计的基础上，做更进一步的技术改进；网络实验室办公楼到网络中心办公楼要求高传输率和高可靠性，传输方案采用千兆到交换机，百兆到桌面的相应方案，采用双交换机互为备份的连网方案，服务期间互为数据备份，设置DMZ区确保代理、FTP、服务器的安全。2.给出网络拓扑图下图是使用ciscopackettracer软件作成的拓扑图：3.给出详细设计方案首先，要设立DMZ区，在DMZ区和Internet相连的区域设置相应的防火墙，并加入IDS检测器1在DMZ区中放入IDS检测器2和千兆交换机，千兆交换机把Web服务器、DNS服务器和Mail服务器连接起来，DMZ区外再另加一个IDS检测器以增强网络整体的安全程度，之后连入路由器，接入内部网络。其次，路由器连接一个千兆交换机，并由此交换机连接两个直通入楼宇的摆百兆交换机，再由此连入桌面主机。8.8.3校园网方案的撰写1.需求分析：(1)学校有18个学院，3个校区，其中网络中心、亚太楼、国教在北区，软件学院在西区，其余学院在南区。(2)网络中心提供各种标准化信息服务，各个学院也自行向互联网发布学院信息，，每个学院大概有1500台PC。(3)学校拥有从CERNET申请的一段IPv4地址202.196.0.0/18,从CNC申请一段IPv4地址125.10.0.0/21。(4)采用三层架构设计，连接三个校区选用万兆网，各校区主干网络采用千兆网，作为园区汇聚层，另选用百兆网接入桌面。(5)校园网通过统一接口接入CERNET和CNC。2.给出网络拓扑图：3.给出详细的设计方案：1.IP地址方案：对于学生宿舍，通过锐捷身份认证系统对学生连网进行身份认证和计费管理，在认证前统一动态分配私有IP地址，认证后分配共有IP地址。通过NAT转换实现认证前可以通过私有IP访问校内外部分服务。对于学校信息中心机房，由于各机房机器众多，所以对各机房均采用静态分配私有IP地址，通过代理服务器上NAT转换连接Internet网络，并且各个机房被划分为单独的VLAN以利于管理和安全。2.互联网接入方案：由于互联网应用对于日常生活的重要性，其Internet接入方案必须在接入带宽、访问速度、网络可靠性、网络安全性等方面都得到切实、可靠的保障。根据用户对互联网专线的电路品质和可靠性的需求，我们建议如下接入方案：采用专线接入方式，目前采用CERNET300M线路+两条CNC100M线路，共计500M，以专线方式连入Internet，并提供防火墙、计费管理等功能。鉴于我国网络的实际情况，web服务器有多置于电信线路，因此应添加一条电信的线路，不仅增加带宽。同时使我校网络拥有三线接入，使网络利用更为充分。３．安全方案安全策略越来越成为学校计算机网络的关键因素。特别是随着多协议新业务的发展、电子商务、网上办公、各种中间业务的应用，学校网络不再是一个封闭的网络，极大地扩展了学校的业务，提高了学校的竞争力，但同时也带来网络安全的风险。网络设计中必须制定网络安全策略，保证内部网络的完整性和安全性。４．VLAN的划分以北区为例：InternetROUTEFilewailVPN,FTP,DNS,mail,nat服务器172.1615.124Dmz区核心switch亚太vlan2172.16.2.0网络中心Vlan3172.16.3.0国教vlan4172.16.4.01,2,3,4,5,6,号宿舍楼主教学楼Vlan6172.16.6.0图书馆Vlan5172.16.5.0DHCP.sam服务器Vlan7172.16.7.01号，vlan8172.16.8.02号，vlan9172.16.9.03号，vlan10172.16.10.04号，vlan11172.16.11.05号，vlan12172.16.12.06号，vlan13172.16.12.0可靠、安全网络实验室局域网的设计一、实验目的（1）掌握设计高可靠性网络技能与方法。（2）掌握设计网络安全方案的基本技能和方法，并掌握防火墙原理。（3）用visco绘制可靠、安全网络拓扑图二、实验内容（1）网络实验室办公楼到网络中心办公楼要求具备高传输速率，而且要求高可靠性。（2）采用千兆到交换机，百兆到桌面的传输方案。（3）采用双交换机互为高速备份的联网方案，采用服务器间的数据备份（4）通过设置DMZ区确保代理、ftp、服务器的安全。其中只允许外网访问服务器。三、实验原理1.DMZ的定义DMZ是英文“demilitarizedzone”的缩写，中文名称为“隔离区”，也称“非军事化区”。它是为了解决安装防火墙后外部网络不能访问内部网络服务器的问题，而设立的一个非安全系统与安全系统之间的缓冲区，这个缓冲区位于企业内部网络和外部网络之间的小网络区域内，在这个小网络区域内可以放置一些必须公开的服务器设施，如企业Web服务器、FTP服务器和论坛等。另一方面，通过这样一个DMZ区域，更加有效地保护了内部网络，因为这种网络部署，比起一般的防火墙方案，对攻击者来说又多了一道关卡。这样来自外网的访问者可以访问DMZ中的服务，但不可能接触到存放在内网中的公司机密或私人信息等，即使DMZ中服务器受到破坏，也不会对内网中的机密信息造成影响。2.STP协议SpanningTreeProtocol(STP)是一种二层链路协议，又称生成树协议，该协议在IEEE802.1D文档中定义。该协议的原理是按照树的结构来构造网络拓扑，消除网络中的环路，避免由于环路的存在而造成广播风暴问题。该协议使用BPDU报文传递生成树信息。STP的基本原理是，通过在交换机之间传递一种特殊的协议报文（在IEEE802.1D中这种协议报文被称为“配置消息”）来确定网络的拓扑结构。配置消息中包含了足够的信息来保证交换机完成生成树计算。3.链路聚合链路聚合是将两个或更多数据信道结合成一个单个的信道,该信道以一个单个的更高带宽的逻辑链路出现。链路聚合一般用来连接一个或多个带宽需求大的设备，例如连接骨干网络的服务器或服务器群。4.可靠性网络的安全可靠性是网络的一个重要的指标。计算机网络系统必须绝对可靠，网络设计必须可靠性重点考虑。从结构设计、产品选择以及网络管理上要对网络的可靠性作出保证。安全性与可靠性同样重要，除了系统提供多种安全控制的手段外，网络设计也要提供保障其安全的手段。四、实验环境与网络拓扑五、实验步骤（1）步骤1：需求分析1）网络实验室办公楼到网络中心办公楼要求具备高传输速率，而且要求高可靠性。2）确保代理、ftp、服务器的安全。3）允许外网访问服务器。4）确保交换机和服务器上数据的安全。根据以上四点要求，可采用以下设计方案：采用千兆到交换机，百兆到桌面的传输方案；采用服务器间的数据备份保证服务质量以及数据可靠性；通过设置DMZ区和防火墙确保代理、ftp、服务器的安全。为了交换机提高可靠性和可用性，可采用双交换机联网到网络中心的方案；为提高速度和可用性，三层交换机采用UPS供电和端口链路聚合技术，服务器设置在三层交换机上，以便提高访问速度和充分利用带宽等，同时提供数据备份。服务器与交换机连接可采用两个百兆链路聚合的措施，争强访问服务器的能力。（2）步骤2：给出网络拓扑图网络中关键节点使用两个三层交换机连接到网络中心，确保网络实验楼到网络中心的连接。此外，三层交换机采用UPS供电和端口链路聚合技术，链路聚合在两个核心交换机到网络中心的链路上均需实现。服务器连接在网络中心的三层交换机上，以保证访问速度和充分利用带宽。同时，对服务器的数据通过备份软件进行远程备份。（3）步骤3：给出详细的设计方案1.交换机设计与配置在汇聚交换机上进行STP的配置和链路聚合。STP配置：switch#configswitch(Config)#hostnameswitchAswitchA(Config)#interfacevlan1switchA(Config-If-Vlan1)#ipaddressxxxxxswitchA(Config-If-Vlan1)#noshutdownswitchA(Config-If-Vlan1)#exitswitchA(Config)#spanning-treeMSTPisstartingnow,pleasewait...........MSTPisenabledsuccessfully.链路聚合配置：switchA(Config)#port-group1switchA(Config)#interfaceethernet0/0/1-2switchA(Config-Port-Range)#port-group1modeonswitchA(Config-Port-Range)#exitswitchA(Config)#interfaceethernet0/0/1-2switchA(Conifg-Port-Range)#port-group1modeactive2.DMZ的设计、防火墙的配置（可通过ACL实现）使用DMZ区保证外网对服务器的访问，同时又保证内部网络的安全。防火墙上配置ACL，只允许外网访问服务器：Firewall(config)#conduitpermittcphostx.x.x.xeq(config)#conduitpermiticmpanyany五、实验故障排除与调试可能出现的问题1.链路聚合配置不当首先检查每台交换机上的链路聚合配置，修改可能出现的错误，然后排查物理链路故障，找出问题所在。2.防火墙ACL配置检查防火墙的ACL配置是否正确，保证外网