网络工程实习报告淮阴工学院局域网的规划与建设

网络工程实习报告淮阴工学院局域网的规划与建设内容摘要：

它是学校的校园网对外的出口，也可以作为保护校园网的第一道防火墙。 因为使用 联想 router 在Inter 上配置安全的 VPN隧道极为简单， 联想天工 Router对通道传输提供强大的加密功能，确保您的私人通讯数据通过公用网域时的安全。 但根据客户和局域网配置的具体不同情况，也应该采取适当的步骤来确保来自 Inter的局域安全。 这至少要包括配 置通过协议过滤器的访问控制目录。 [6] 采用 DDN线路与 Inter 连接，以 64KB~2MB带宽支持校园的应用，而且性能非常稳定。 联想 Router有 2个能与专用数字线路或 Frame Relay 及 WAN接口。 采用千兆以太网技术，实现核心层与汇聚层的互连。 核心网络以星型结构连接各汇聚层节点。 根据信息点分布情况，选用千兆可堆叠交换机作为用户的链路汇聚。 汇聚层交换机支持灵活的组网能力 、 强大的网络适应能力丰富的 QoS策略。 灵活的组网能力 :支持多种规格千兆接口模块供选择；并可提 供堆叠接口模块，可以和系列交换机堆叠，能够提供更灵活的组网模式。 强大的网络适应能力 :支持丰富的二层、三层协议：支持 OSPF， RIP I/II，等路由协议，支持 ，GVRP 等二层协议；提供 RSTP， PIM 协议，支持 ，可胜任各种复杂网络的组网需求。 可控组播技术使得网络的组播源和组播用户可控，能够对组播业务进行可靠的管理。 丰富的 QoS策略 :支持对不同优先级业务进行调度及良好的网络拥塞控制策略，支持基于 L2/3/4的流分类，丰富的 Qos策略是构建高质量网络的基础。 [7] 入层设计 接入层选用可堆叠交换机作为用户的接入。 采用 10/100/1000M以太网交换机系列，该系列交换机使用可堆叠式机型。 接入交换机要求支持全线速的二层交换；完备的安全智能控制策略：支持 认证，还可以通过灵活的 MAC、 IP、 VLAN、 PORT任意组合绑定，有效的防止非法用户访问网络。 支持多种 ACL访问控制策略，能够对用户访问网络资源的权限进行设置，保证网络的受控访问。 高可靠性：支持 STP/RSTP生成树协议。 丰富的 QOS策略：支持基于源 MAC地址、目的 MAC地址、源 IP地址、目的 IP地址、端 口、协议的 L2~L7 复杂流分类，支持带宽控制功能。 好的扩展性：提供良好的堆叠功能，同时支持不同设备的混合堆叠，从而保证了网络的平滑升级和降低了扩建成本。 [8] 13 在该方案中，校园网服务器选用清华同方的超强系列服务器产品。 1. Web服务器选型分析 根据校园网服务器的应用特点， Web服务器选型应该按照如下原则： 1) 要求反应时间短，能快速响应和处理用户的访问需求。 2) 具有强大的信息吞吐能力、多 Web站点和内容缓存、能在一定投资下提供更多的访问服务和提高用户满意度。 3) 易于发布和实现信息共享。 4) 易于建立和运 行 Web应用，简化业务进程。 5) 具有可靠的品质，保证 Web服务不间断。 6) 易于设置和管理，使网络管理变得更容易。 7) 易于扩展，满足业务的扩大需求，保护用户投资。 基于以上需求，推荐选用清华同方超强 2250L服务器。 2. 视频点播服务器选型分析 在一些校园网系统集成软件里面带有视频点播的功能，这部分功能通常由一台综合性校园网服务器来完成。 而要实现比较大型的视频点播的功能，则需要单独的一台 VOD服务器、单独的视频点播软件来完成，并考虑外加扩展柜的方式，确保在高清晰度视频图像的情况下能支持更多的并发流量，以便在高峰点播时间 不会出现系统瓶颈。 因此对视频点播服务器的选型和对服务器的磁盘子系统、内存子系统、网络子系统、处理子系统都有不凡的要求。 对于 200个左右视频并发用户，推荐采用清华同方超强 2250L服务器来承担视频点播服务；对于 100个左右视频并发用户，推荐采用清华同方超强 1580L服务器来承担视频点播服务。 清华同方超强 1580L服务器是一款采用英特尔 Xeon处理器的塔式服务器，是定位于工作组级的服务器，它具备部门级服务器的稳定可靠的特性。 在视频点播系统中服务器支持的并发用户的数量基本上确定了服务器的档次，而具体需要点播的 内容的容量则要考虑服务器的扩展能力。 清华同方超强 1580L服务器适合于在 100个左右的并发用户数量，采用外加扩展柜的方式可以支持到 800GB以上；对于再大容量的要求，为了提高对磁盘数据的管理，推荐使用清华同方超强 2250L 服务器且同样外加扩展柜的方式。 3．其他服务器 在大型校园网中，还有 Email、 BBS、资源库、远程教育、电子预览等应用，清华同方超强 1580L 服务器可以满足上述应用要求。 14 此外学校图书馆的图书管理系统一般就建立在图书馆的内部，通常与校园网机房中心是分开的。 图书馆的图书管理系统一般采用服 务器双机的方式，以保证系统在工作时间不停机，确保操作中的图书借还信息的不丢失；同时还要采用 RAID方式保证数据的安全。 在图书馆的应用当中，推荐采用超强 TR200服务器作为图书管理系统的硬件平台。 校园网信息系统是校园网的数字神经中枢，合理的使用不仅能促进各院校的现代化教学改革、提高教学质量、改善教学环境，同时通过各院校之间的互联互通，将会极大的提高教育行业整体的工作效率和教育质量。 校园网总体上分为校园内网和校园外网。 校园内网主要包括教学局域网、图书馆局域网、办公自动化局域网等。 校园 外网主要指学校提供对外服务的服务器群、与 CERNET 的接入以及远程移动办公用户的接入等。 教学局域网是教学人员利用计算机开展教学和学生通过计算机来学习的网络平台；图书馆局域网实现了图书馆的网络化管理以及图书的网上检索或浏览；办公自动化局域网是教职员工自动化办公的平台，可以在此平台上开展公文管理、会议管理、档案管理以及个人办公管理等。 实现包括教学管理、科研管理、学员管理、资产管理、人事管理、党务管理、财务管理、后勤管理等应用，形成院校的综合管理信息系统； 校园外网的服务器群构成了校园网的服务系统，一般包括 DNS、 WEB、 FTP、 PROXY以及 MAIL服务等。 外部网实现了校园网与 CERNET及 INTERNET的基础接入，使院校教职工和学生能使用电子邮件和浏览器等应用方式，在教学、科研和管理工作中利用国内和国际网进行信息交流和共享。 校园网内的用户数量较大，局域网络数目较多，认真分析可以总结出校园网面临着如下的安全威胁： 1. 各种操作系统以及应用系统自身的漏洞带来的安全威胁； 2. Inter网络用户对校园网存在非法访问或恶意入侵的威胁； 3. 来自校园网内外的各种病毒的威胁，外部用户可能通过邮件以及文件传输等将病毒带入校园 内网。 内部教职工以及学生可能由于使用盗版介质将病毒带入校园内 4. 内部用户对 Inter 的非法访问威胁，如浏览黄色、暴力、反动等网站，以及由于下载文件可能将木马、蠕虫、病毒等程序带入校园内网； 5. 内外网恶意用户可能利用利用一些工具对网络及服务器发起 DOS/DDOS 攻击，导致网络及服务不可用； 6. 校园网内的学生群体是主要的 用户，目前针对 的黑客程序随处可 见； 7. 可能会因为校园网内管理人员以及全体师生的安全意识不强、管理制度不健全，带来 15 校园网的威胁； 基于 上面的问题 ，我们 将 从物理、系统、网络、应用及管理五个层次 分析和设计适合于校园网的安全建议方案。 1． 物理层安全 物理层的安全主要包括环境、设备及线路的安全。 系统中心或机房的建设应遵照：GB5017393《电子计算机机房设计规范》、 GB288789《计算机站场地安全要求》及 GB288789《计算机站场地技术条件》的要求。 在设备集中的管理间安装干扰器防止由于设备辐射造成的信息泄漏。 同时，要注意保护线路的安全，防止用户的搭线窃听行为。 2． 系统安全 系统层主要解决的是由于各种操作系统、数据库、及相关产品的安全漏洞和病毒造成的威胁。 解决的技术手段主要有以下几种： 1) 加固手段对主机加固，如升级、打补丁、关闭不需要的端口等； 2) 访问控制手段加强对主机的访问控制； 3． 网络层安全 校园网中局域网数目较多，根据需要多个网络可能要互相联接。 正是这种多网的互联，使我们对网络层的安全要极度重视。 定义一个网络或各网络内不同安全等级的部分为不同的安全域。 安全域之间的连接处叫网络边界。 下面主要讨论以下几方面的网络层安全防护： [10] 1)划分安全子网。 如果同一局域网内有不同等级的安全域，可以通过划分子网及 VLAN的方法加以访问控制。 如在教学局域网中学生机房和多媒体机房之间可以通过划分子网来 控制，不允许学生机房的机器访问多媒体机房的机器。 2)加强网络边界的访问控制。 安全等级差别较大的边界需要采用防火墙来控制。 如校园内网、校园外网和 Inter 之间，利用防火墙进行访问控制和内容过滤。 可有效地解决需求中提到的多种威胁。 3)防止内外的攻击威胁。 在每个安全域内或多个安全域之间安装入侵检测系统（ IDS） ,可有效地防止来自网络内外的攻击。 4． 应用层安全 应用层的安全措施主要有以下几点： 1) 各应用系统自身的加固； 2) 建立身份认证系统； 16 3) 建立安全审计系统； 4) 建立备份系统； 5． 管理层安全 实现管理层的安 全主要注意以下几点： 1） 建立安全管理平台。 主要是指将各种安全系统或设备集中控管、综合分析。 2） 建立、健全安全管理体制。 校园网用户较多，一定要建立一套合理可行的安全管理制度。 只有制度和设备的完美结合才能真正提高校园网的安全水平。 （应用系统） 由于网络技术是一门比较新的技术，致使许多人产生了 “ 重硬件，轻软件 ” 的想法，国内斥资开发这方面软件的企业也很少，造成了软件匮乏的局面。 邯郸学院 校园网解决方案是一个集 Client/Server 和 Browser/Web Server 技术于一体，结合 IC卡、 VOD视频流管理，涉及教务、教学、行政、信息管理各环节、面向学校各部门以及各层次用户的多模块综合管理信息平台。 系统由数据中心、系统软件、信息处理系统、自动化办公系统、教学辅助软件、仿真系统等组成。 提供便捷而安全的电子邮件系统，最先进的网上教学系统，提供高效的多功能协同工作方式，全面完善的教学管理，专业可靠的教学仿真平台，安全便捷的 IC卡管理、强大快速的全文检索，丰富的网上信息发布，基于互联网的应用，可以使您方便地从 Inter 过渡到 Intra，构建学校门户网站，帮助学校对相关教学资源、知识资源、信 息资源实现明晰化、系统化的管理，无论数据库、文档、政策、业务流程还是教育知识和经验，都能够得到高效的共享利用，是新时期学校与学校、学校与社会的综合通迅、应用、管理平台。 17 四，校园网内部实习 路由配置 interface FastEther0/0 ip address no ip directedbroadcast ! interface Ether1/0 no ip address no ip directedbroadcast duplex half ! interface Serial2/0 no ip address no ip directedbroadcast ! interface Serial2/1 no ip address no ip directedbroadcast ! interface Async0/0 no ip address no ip directedbroadcast ! ! ! ! ! ! ! ! ! ! gatewaycfg Gateway keepAlive 60 shutdown ! ! ! ! ! 18 voiceport 3/0 inputgain 0 ! voiceport 3/1 inputgain 0 ! ivrcfg ! cptone 3 dialtonepbx 450 2020 alerttonepbx 450 2020 100 400 busytonepbx 450 2020 35 35 emptytonepbx 450 2020 40 40 ! ! ! ! ! ! ! ! RouterC RouterC RouterC RouterCinterface s2/0 interface s2/0 ^ Unknown mand RouterCinterface S202011 00:54:38 Line on Interface FastEther0/0, changed state to down 202011 00:54:38 Line protocol on Interface FastEther0/0, changed state to d own 202011 00:54:41 Line on Interface FastEther0/0, changed state to up 202011 0。