网络工程课程设计-贵州省铜仁市坝黄逸夫中学校园网络系统设计

网络工程课程设计-贵州省铜仁市坝黄逸夫中学校园网络系统设计内容摘要：

件的工作状态能够被监测到。 服务器在受到损害时，至少能做到数据恢复可用。 组网技术分析 在校园网络的建设中，主干网选择何种网络技术对网络建设的成功与否起着决定性的作用。 选择适合校园网络需求特点的主流网络技术，不但能保证网络的高性能，还能保证网络的先进性和扩展性，能够在未来向更新技术平滑过渡，保护用户的投资。 快速以太网是一种非常成熟的组网技术，造价很低，性能价格比很高，可作为资金不很充裕的中小型单位组建 Intra 网的首选技术。 快速以太网技术现在被广泛用于大型企业网络工程 课程设计 5 网的二级、三级网络组网或直接连至桌面工作站。 FDDI 也是一种成熟的组网技术，它提供的高速数据通信能力要高于当时的以太网（ 10Mbps）和令牌网（ 4 或 16Mbps）的能力 ， 但技术复杂、造价高， 只支持光缆和 5 类电缆，所以使用环境受到限制、从以太网升级更是面临大量移植问题 ， 现在用 FDDI 组建主干网的情况已非常少见。 ATM 技术成熟而复杂，组网 技术 成本高，是多媒体应用系统的理想网络平台，但 网络带宽的实际利用率很低。 ATM 是将分组交换与电路交换优点相结合的网络技 术，可以工作在任何一种不同的速度、不同的介质和使用不同的传送技术，适用于广域网、局域网场合，可在局域网 /广域网中提供一种单一的网络技术，实现完美的网络集成。 网络工程 课程设计 6 第 2 章 逻辑设计 网络拓扑 规划 根据对 铜仁市坝黄逸夫中学 的校园实际情况，以及项目的需求分析，对 铜仁市坝黄逸夫中学 校园进行网络拓 扑 规划。 要求基本符合需求分析，符合进行设备的布局。 铜仁市坝黄逸夫中学校园平面图： 图 铜仁市坝黄逸夫中学校园平面图 网络工程 课程设计 7 网络拓 扑图 图 铜仁市 坝黄 逸夫中学 网络拓 扑 图 IP 规划 网络地址分配 出口 IP 网络地址前 6 位用铜仁市坝黄镇邮编地址（ 554307），故连 接到因特网的路由器地址可为：。 IP 规划及 VLAN 划分 私有 IP 的 划分 ， 根据学校的 实际情况， 采用 C 类 IP 地址 ， IP 地址网段为~；互联网 地址规划 ， 用的是 公有 IP 地址。 在校园网络的整个网络规划当中， VLAN 的划分是非常重要的部分，很好的利 用 VLAN技术的功能，能起到事半功倍的效果，对整个网络的性能也是事关重要的。 IP 地址规划 和网络工程 课程设计 8 VLAN 划分 分别 如 表 2 表 22 所示： 表 21 IP 地址规划 楼层 子网号 子网掩码 网关 CIDR 地址 主机地址范围 逸夫楼 (含 多功能教室 ) ~ 教学楼 (含超市 ) ~ 综合实验楼 ~ 教职工宿舍区 1 ~ 教职工宿舍区 2 ~ 教职工宿舍区 3 ~ 男生宿舍区 1 ~ 男生宿舍区 2 ~ 女生宿舍区(含食堂 ) ~ DMZ 区 ~ 表 22 VLAN 划分 楼层 VLAN ID VLAN 命名 网关 子网掩码 逸夫教学楼 (含多功能教室 ) VLAN 01 Yifulou 教学楼（含小超市） VLAN 02 Jiaoxuelou 综合实验楼 VLAN 03 Zonghelou 教职工宿舍区 1 VLAN 04 Jaoshiqu1 教职工宿舍区 2 VLAN 05 Jaoshiqu2 教职工宿舍区 3 VLAN 06 Jaoshiqu3 男生宿舍区 1 VLAN 07 Nanshengqu1 男生宿舍区 2 VLAN 08 Nanshengqu2 女生宿舍区 (含食堂 ) VLAN 09 Nvshengqu DMZ 区 VLAN 10 DMZqu 网络工程 课程设计 9 命名设计 WEB 服务器的域名为： FTP 服务器的域名为： ftp. 邮件服务器的域名为： mail. 交换和路由协议设计规划 交换协议的选择 根据我们对 铜仁市坝黄 逸夫中学 的需求分析和网络拓扑 图 的 设计，我们对校园网络进行 了 IP 地址和 VLAN 的划分，并使用 VLAN 中继协议 VTP 来实现交换机之间交换信息。 VLAN 中继协议 VTP 作用是 ： 十几台交换机在企业网中，配置VLAN 工作量大， 使用 VTP 协议，把一台交换机配置成 VTP Server, 其余交换机配置成 VTP Client,这样他们可以自动学习到 server 上的 VLAN 信息。 采用 VTP（ VLAN Trunking Protocol）协议可以简化配置。 VTP 有三种工 作模式：服务器模式、客户机 模式和透明模式， 本次 设计 默认是服务器模式。 服务器模式提供 VTP 消息， 包括 VLAN ID 和名字信息 ， 学习相同域名的 VTP消息 ， 转发相同域名的 VTP 消息 ， 可以添加、删除和更改 VLAN， VLAN 信息写入NVRAM 该模式下不能使用扩展。 客户机模式 的 内容是 请求 VTP 消息 ， 学习相同域名的 VTP 消息 ， 转发相同域名的 VTP 消息 ， 不可以添加、删除和更改 VLAN,VLAN 信息不会写入 NVRAM， 该模式下不能使用增强型软件映像提供的 VID，即只能使用 21001 这一段的值。 1，10021005 均为 系统默认 VID， 要使用 10064096 作 VID 的值，只能关闭 VTP 或采用透明模式。 透明模式不提供 VTP 消息 ， 不学习 VTP 消息 ， 转发 VTP 消息 ， 可以添加、删除和更改 VLAN，只在本地有效 VLAN 信息写入 NVRAM， 新交换机出厂时的默认配置是预配置为 VLAN1， VTP 模式为服务器。 当交换机是在 VTP Server 或透明的模式，能在交换机配置 VLAN。 当交换机配置在 VTP Server 或透明的模式，使用 CLI、控制台菜单、 MIB 修改 VLAN 配置 网络工程 课程设计 10 路由协议选择 路由 器 的作用是用于网络的互连，每个 路由器与两个以上的实际网络相连，负责在这些网络之间转发数据报，为经过路由器的每个数据帧寻找一条最佳传输路径，并将该数据有效地传送到目的站点。 由此可见，选择最佳路径的策略即路由算法是路由器的关键所在。 根据 铜 仁市坝黄逸夫中学的校园网络建设要求，我们选用 综合了距离矢量和链路状态 2者的优点 的 EIGRP 协议 作为 校园网的内部网关协议。 EIGRP 即增强内部 网关 路由 线路协议 ，是 Cisco 公司的私有协议 ， 用弥散修正算法（ DUAL）来实现快速收敛，可以不发送定期的路由更新信息以减少带宽的占用，支持 Appletalk、 IP、 Novell 和 NetWare 等多种网络层协议。 EIGRP 的特点 有 ： 1. 快速收敛 2. 减少带宽占用 3. 支持多种网络层协议 4. 无缝连接数据链路层协议和拓扑结构 EIGRP 对于环路的防止考虑两方面： 1．水平分割 ： 永远不会在同一个接口下通告一条该接口学到的路由信息 2．路由的毒性逆转 ： 接收路由信息的接口，再从该接口通告出刚才学到的路由为不可达。 安全策略设计 安全策略是指在某个安全区域内（通常是指属于某个组织的一系列处理和通信资源），用于所有与安全相关活动的一套规则。 这些规则是由此 安全区域中所设立的一个安全权力机构建立的，并由安全控制机构来描述、实施或实现的。 安全策略是一个不断变化的 ， 因为不同机构不断变化 ，安全策略也需要 定期更新，以适应业务 和技术的 变更和发展。 通信网络安全 随着计算机网络的不断发展，全球信息化已成为人类发展的大趋势。 但由于计算机网络具有联结形式多样性、终端分布不均匀性和网络的开放性、互连性等特征，致使网络易受网络工程 课程设计 11 黑客、怪客、恶意软件和其他不轨的攻击，所以网上信息的安全和保密是一个至关重要的问题。 网络的安全管理策略包括：确定安全管理等级和安全管理范围 ；制订有关网络操作使用规程和人员出入机房管理制度；制定网络系统的维护制度和应急措施等。 在 外网与内网 之间 使用防火墙 ， 可以使校园网外部 网络不能 随便访问 内网 ，以至 不能随意 访问服务器 ； 在交换机与交换机之间 划分 了 VLAN，使不同区域 楼层 之间在 没有经过路由选择之后不能 互相 共享 信息。 加强网络的安全管理，制定有关规章制度，对于确保网络的安全、可靠地运行，将起到十分有效的作用。 服务器安全 防火墙具有很好的保护作用， 入侵者必须首先穿越防火墙的安全防线，才能接触目标计算机。 在 外网与内网之间 加入 防火墙， 过滤掉一些攻 击 ， 可以保证内网访问服务器的安全。 为 了保证服务器的安全，我们可以 把 HTTP/TCP 80 端口列入防火墙的 例外，把 FTP 的21 端口修改 并且把它列为例外 ； 禁用默认 共享， 修改 文件 权限。 应用安全 应用 安全，就是 保障程序 在运行过程和 运行结果的 安全， 就是针对应用程序或工具在使用过程中可能出现计算、传输数据的泄露和失窃，通过其他安全工具或策略来消除隐患。 网络管理员可以通过用户密码 策略 、 用户安全策略 、 访问控制 策略 来保证服务器的稳定性以及限 定 用户安全访问应用程序的安全设置。 策略 身份验证不仅 是网络应用安全首先要解决的问题，还是最重要的阶段 ， 对大部分网络应用而言，用户验证包括用户 ID 和密码两部分。 用户密码 策略 用于 应用接入平台 的 身份模块 ，它确定用户 的用户名 和密码设置。 用户安全策略用于权限设置 ，它确定用户身份权限设置，例如：访问硬盘中 的 文件，用户身份能运行哪 个业务程序等设置。 3. 访问控制 策略 访问控制是网络应用使用验证方法来接受或拒绝对内容和功能访问的过程。 以下是两种主要的访问控制方法： 网络工程 课程设计 12 （ 1） 路径挖掘（一般用于无法直接访问的文件） （ 2） 客户端缓存（限制缓存 ） 接入安全 在校园网网络接入时 ，我们都 希望能 正常的访问校园 内部 的资源 和 正常办公 ， 传统 的 方法 是 通过在校园设置 Modem 拨号服务器的方式来解决，但其占用较多的电话线路、安全性差、速度慢等缺陷，在应用中一直难以推广。 目前 ADSL、宽带的接入方式已经进入了千家万户和各公共场所，方便且费用低廉。 本校 使用 的 是 通过 ASDL 拨号连接。 管理策略 设计 校园网络管理的主要目的是保证网络安全和稳定运行，维持网络传输速率、降低网络传输误码、网络流量异常监控等。 所以校园网络管理部门的技术人员应该熟悉常用 的网络监控工具和路由器、交换机、防火墙等网络设备所具有的网络安全控制模块对整个网络进行管理。 配置管理 配置管理是管理所有的网络设备，随时掌握网络内的网络设备的增减和变动，对所有的网络设备进行参数配置，并对设备的数据参数要严格备份。 当故障发生时，技术人员可以快速重设恢复，保障网络的正常运行。 配置管理过程是对处于不断演化、完善过程中的软件产品的管理过程。 其最终目标是实现软件产品的完整性、一致性、可控性，使产品极大程度地与用户需求相吻合。 它通过控制、记录、追踪对软件的修改和每个修改生成的软件组成部 件来实现对软件产品的管理功能。 配置 管理 的 流程是 : 1. 制定配置管理计划 配置管理员制定《配置管理计划》，主要内容包括 配置管理软硬件资源、配置项计划、基线计划、交付计划、备份计划等，通过 CCB 审批该计划。 2. 配置库管理 配置管理员为项目创建配置库，并给每个项目成员分配权限； 各项目 的 成员根据自己的权限操作配置库。 配置管理员 需要 定期维护配置库，例如清除垃圾文件、备份配置库等。 3. 版本控制 网络工程 课程设计 13 在项目 开发过程中，绝大部分的配置项都要经过多次的修改才能最终确定下来， 对配置项的任何修改都将产生新的版本。 由于我们 不能保证新版本一定比老版本“好”，所以不能抛弃老版本。 配置项的状态有三种：“草稿”、“正式发布”和“正在修改”。 版本控制的目的是按照一定的规则保存配置项的所有版本，避免发生版本丢失或混淆等现象，并且可以快速准确地查找到配置项的任何版本。 在项目开发过程中，配置项发生变更几乎是不 可避免的，而变更控制的目的就是为了防止配置项被随意修改而导致混乱。 为了保证所有人员（包括项目成员、配置管理员和 CCB）都遵守配置管理规范，质量保证人员要定期审计配置管理工作。 配置审计是一种“过程质量检查 ”活动，是质量保证人员的工作职责之一。 认证管理 认证管理功能 是只允许通过 认证的内网 用户 上网 ，禁止 未 授权的 用户 访问互联网。 认。