版权说明:本文档由用户提供并上传,收益归属内容提供方,若内容存在侵权,请进行举报或认领
文档简介
1、常州工程职业技术学院 毕业设计(论文)设计(论文)题目:校园网的安全设计和配置华为网络设配置 班 级: 计算机0921 学 生 学 号: 学 生 姓 名: 同 组 成 员: 指 导 教 师: 摘要以internet为代表的信息化浪潮席卷全球,信息网络技术的应用日益普及和深入,伴随着网络技术的高速发展,各种各样的安全问题也相继出现。例如网络通讯安全问题,其主要表现在信息泄露、信息篡改、非法使用网络资源、非法信息渗透、假冒等方面。在internet上网络系统既要开放,又要安全,以至于从技术方面讲安全问题是整个互联网技术里较为困难的问题。从internet的角度看,对网络的威胁主要来自于网络硬件和软
2、件两方面的不安全因素。一方面,电磁泄露、搭线窃听、非法人侵、线路干扰、意外原因、病毒感染、信息截获等。另一方面,操作系统本身的问题,各种应用服务存在安全问题。特别是近年来学校网络安全问题日益严重,已经严重威胁到广大师生的使用安全,因此,我们要加强校园网络的安全管理。进入信息时代后,各个高校,要提高教育教学水平就必须借助信息技术来提高学校的生产效率和管理水平。网络技术的发展使得网络建设从基础架构到维护和管理都变得十分简单和智能,丰富的网络产品线和不断降低的价格,可以让高校根据自身的情况,按照实际的经济条件来构建自己的网络,用于网络建设的投资对于高校而言不再成为一个负担。关键词:校园网络;网络安全
3、;安全问题;设计。summary:sweeping the globe, information network technology application increasing popularity and deepen, along with the rapid development of network technology, all kinds of safety problems arise. such as network communications security, the main manifestation in the information disclosure,
4、 information tamper with the illegal use of network resources, and illegal information penetration, fake, etc. in the internet network system not only to open on, and want to be safe, that in terms of the safety problems from technology is the entire internet technology relatively difficult problems
5、. from the view of the internet, the network threat comes mainly from two aspects of hardware and software network safety factor. on one hand, electromagnetic disclosure, daxian eavesdropping, unincorporated harassment, line interference, accident reason, virus infection, such as information interce
6、pted ?keyword: campus network; network security; security problem; design.摘要2第一章、校园网络安全概述51.1 校园网网络结构简介51.2 网络安全概述51.3 校园网络安全威胁5第二章、校园网建设需求分析72.1 用户需求分析72.2 校园网络设计目标72.3 组网技术选择8第三章、校园网络安全设计93.1 网络安全设计93.2 强化计算机管理103.3 建立完善的备份及恢复机制10第四章、网络设备配置114.1 网络设备概述114.2 网络设备连接124.3 网络设备配置13总结17谢辞18参考文献19第一章、校园
7、网络安全概述1.1 校园网网络结构简介校园网总体上分为校园内网和校园外网。校园内网主要包括教学局域网、图书馆局域网、办公自动化局域网等校园外网主要指学校提供对外服务的服务器群、与cernet的接入以及远程移动办公用户的接入等。校园外网的服务器群构成了校园网的服务系统一般包括dns、web、ffp、proxy以及e-mail服务等。外部网实现了校园网与cernet及internet的基础接入,使学校教职工和学生能使用电子邮件和浏览器等应用方式在教学、科研和管理工作中利用国内和国际网进行信息交流和共享。1.2 网络安全概述网络安全应具有以下四个方面的特征:保密性:信息不泄露给非法授权用户、实体或过
8、程,或供其利用的特征。完整性:数据未经授权不能进行改变的特性。即信息在存储或传输过程中保持不被修改、不被破坏和丢失的特性。可用性:可被授权实体访问并按需求使用的特性。即当需要时能否存取所需的信息。例如网络环境下拒绝服务、破坏网络和有关系统的正常运行等都属于对可用性的攻击。可控性:对信息的传播及内容具有控制能力。1.3 校园网络安全威胁1.计算机病毒。有些计算机网络破坏性很大,如“cihh”、“熊猫烧香病毒”,可谓是人人谈之而色变,它给网络带来了很严重的损失。2.内部外部泄密。内网中根据ip地址很容易找到服务器网段,这样就很容易运用arp欺骗手段攻击。3逻辑炸弹。逻辑炸弹在满足特定的逻辑条件时按
9、某种不同方式运行,对目标系统实施破坏的计算机程序。4.黑客攻击。这类攻击分为两种:一种是网络攻击。即以各种方式有选择的破坏对方信息的有效性和完整性;另一种是网络侦查,它是在不影响网络正常工作的情况下,进行截取。窃取、破译以获取得对方重要的机密信息。5系统漏洞的威胁。网络软件不可能是百分之百的无缺陷和无漏洞的,这些漏洞和缺陷恰恰是黑客进行的首选目标。第二章、校园网建设需求分析2.1用户需求分析设计一个网络,首先要为用户分析目前面临的主要问题,确定用户对网络的正真需求,并在结合未来可能的发展要去的基础上选择、设计合适的网络结构和网络技术,提供用户满意的高质量服务。网络在日常教学办公坏境中起着至关重
10、要的作用,校园网的运作模式带来大量动态的www应用数据传输,会有相当一部分应用的主服务器有高速接入网络的需求(目前为100/1000mbps,今后可能会更高)。这就要去网络有足够的主干带宽和扩展能力,同时,一些新的应用类型,如网络教学、视频直播/广播,也对网络提出了支持多点广播和宽带高速接入的要求。除上述考虑外,还要注意到由于逻辑上业务网和管理网必须分开,所以建成后校园网应能提供多个王端的划分和隔离,并能做到灵活改变配置,以适应教学办公坏境的调整和变化。中心机房到汇聚层节点采用4兆光纤(多模)连接,汇聚层到接入层采用百兆的五类线(或者超五类)连接。通常考虑,建议数据信息点的接入用交换10/10
11、0mbps自适应以太网端口接入,以便能较经济的提供较高的带宽。整个方案设计的目的是建设一个集数据传输和备份、多媒体应用、语音传输、oa应用和internet访问于一体的高可靠、高性能的宽带多媒体校园网。2.2 校园网络设计目标建成后的网络能充分利用internet、国家信息网、教育网、全国高校互联网上的各种信息,实现资源共享,能够为学校学习的学生提供丰富的多媒体教学手段,实现高质高数的数学目标,由此,我们认为,校园网络是一个典型的面向未来的网络化、信息化、自动化的集娱乐、教学、办公于一体的,具备多媒体综合业务发展需求的校园网络。系统总体设计将本着总体规划、分布实施的原则,充分体现系统的技术先进
12、性、高度的安全可靠性,同时具有良好的开放性、可扩展性。本着为学校着相,合理使用建设资金,是系统经济可行。学校网络应当事先如下功能:访问互联网络、访问学校虚拟网络、校园网络建立、远程教育、vod点播、网络安全管理、电子邮件和电子公告、加算计辅助教学、教师备课功能、对外交流、校园管理平台、信息资源库。2.3 组网技术选择目前,常用的主干网的组网技术有快速以太网(100mbps)、fddi、千兆以太网(1000mbps)和atm(155mbps/622mbps)。快速以太网是一种非常成熟的组网技术,它的造价很低,性能价格比很高;fddi也是一种成熟的组网技术,但技术复杂、造价高,难以升级;atm技术
13、成熟,是多媒体应用系统的理想网络平台,但它的网络带宽的实际利用率很低;目前千兆以太网已成为一种成熟的组网技术,造价低于atm网,它的有效带宽比622mbps的atm还高。因此,个人推荐采用千兆以太网为骨干,快速以太网交换到桌面组建计算机播控网络。第三章、校园网络安全设计3.1 网络安全设计3.1.1 物理安全设计装运行主要设备,以防止磁鼓、磁带与高辐射设备等的信号外泄。为提高屏蔽室的效能,在屏为保证校园网信息网络系统的物理安全,除在网络规划和场地、环境等要求之外,还要防止系统信息在空间的扩散。计算机系统通过电磁辐射使信息被截获而失密的案例已经很多,在理论和技术支持下的验证工作也证实这种截取距离
14、在几百甚至可达千米的复原显示技术给计算机系统信息的保密工作带来了极大的危害。为了防止系统中的信息在空间上的扩散,通常是在物理上采取一定的防护措施,来减少或干扰扩散出去的空间信号。正常的防范措施主要在三个方面:对主机房及重要信息存储、收发部门进行屏蔽处理,即建设一个具有高效屏蔽效能的屏蔽室,用它来安蔽室与外界的各项联系、连接中均要采取相应的隔离措施和设计,如信号线、电话线、空调、消防控制线,以及通风、波导,门的关起等。对本地网 、局域网传输线路传导辐射的抑制,由于电缆传输辐射信息的不可避免性,现均采用光缆传输的方式,大多数均在modem出来的设备用光电转换接口,用光缆接出屏蔽室外进行传输。3.1
15、.2 网络共享资源和数据信息安全设计针对这个问题,我们决定使用vlan技术和计算机网络物理隔离实现。vlan(virtual local area network)即虚拟局域网。是一种通过将局域网内的设备逻辑地划分而不是物理地划分成一个个网段从而实现虚拟工作的新技术。ieee于1999年颁布了用以标准化vlan实现方案的802.1q协议标准草案。vlan技术允许网络管理者将一个物理的lan逻辑地划分成不同的广播域(或称虚拟lan,即vlan),每一个vlan都包含一组有着相同需求的计算机工作站,与物理上形成的lan有着相同的属性。但由于它是逻辑地而不是物理地划分,所以同一个vlan内的各个工作
16、站无须放置在同一个物理空间里,即这些工作站不一定属于同一个物理lan网段。一个vlan内部的广播和单播流量都不会转发到其它vlan中,即使是两台计算机有着同样的网段,但是它们却没有相同的vlan号,它们各自的广播流也不会相互转发,从而有助于控制流量、减少设备投资、简化网络管理、提高网络的安全性。vlan是为解决以太网的广播问题和安全性而提出的,它在以太网帧的基础上增加了vlan头,用vlanid把用户划分为更小的工作组,限制不同工作组间的用户二层互访,每个工作组就是一个虚拟局域网。虚拟局域网的好处是可以限制广播范围,并能够形成虚拟工作组,动态管理网络。从目前来看,根据端口来划分vlan的方式是
17、最常用的一种方式。许多vlan厂商都利用交换机的端口来划分vlan成员,被设定的端口都在同一个广播域中。例如,一个交换机的1,2,3,4,5端口被定义为虚拟网aaa,同一交换机的6,7,8端口组成虚拟网bbb。这样做允许各端口之间的通讯,并允许共享型网络的升级。但是,这种划分模式将虚拟网络限制在了一台交换机上。第二代端口vlan技术允许跨越多个交换机的多个不同端口划分vlan,不同交换机上的若干个端口可以组成同一个虚拟网。3.2强化计算机管理建立健全安全管理制度,防止非法用户进入计算机控制室和各种非法行为的发生;注重在保护计算机系统、网络服务器等硬件实体和通信线路免受自然灾害、人为破坏和搭线攻
18、击;验证用户的身份和使用权限,防止用户越权操作,确保计算机网络系统实体安全。3.3建立完善的备份及恢复机制为了防止存储设备的异常损坏,可采用由热插拔scsi硬盘所组成的磁盘容错阵列,以raid5的方式进行系统的实时热备份。同时,建立强大的数据库触发器和恢复重要数据的操作以及更新任务,确保在任何情况下使重要数据均能最大限度地得到恢复。第四章、网络设备配置4.1 网络设备概述网络设备主要有路由器、交换机等。路由器是用来连接不同的网络和子网的。所以他出现在需要连接外部网络,或者在局域网网中有多个子网,需要互联互通时的网络坏境中,在单纯的局域网。单一子网的坏境中是不需要路由器的。交换机在局域网重的作用
19、就是集中连接各种网络设备,这其中包括服务器、工作站计算机、路由器、网络存储设备等,是局域网中应用最多,也是最常见的一种网络设备。本文根据学校经济状况,网络设备清单:中心机房高端路由器ne05产品描述 数量chassis-neb68路由器总装机柜1rt-ne16e chassis/3acne16e总装机箱(220vac)1rt-ne-alua系统监控管理单元1rt-ne-hau系统cpci热插拔控制桥板1rt-ne-rsub路由交换单元前处理板-256m内存(少于20 万条路由)1rt-ne-rseu路由交换扩展单元1rt-ne-viub通用接口单元前处理板-256m内存1rt-ne-vieu通
20、用接口扩展单元1rt-ne-8epa8端口e1/ce1 接口前处理板卡1rt-ne-8eka8端口e1/ce1 75欧姆电接口后转接卡(db68母座)1swp-vrpvrp for ne ip enterprisene08e/16e1中心机房路由器小计:274455中心机房:quidway s3526els-3526es3526e 以太网交换机主机(220vac),2410/100m tx,2 slot1中心机房交换机小计:21870汇聚交换机:quidway s3526fmls-3526fms3526fm,12100m fm, 前面板26 fe slot,后面板 2ge slot1ls-fm
21、6u6端口lanswitch百兆多模光接口模块(2 km,sc)1汇聚交换机小计:46134楼层交换机:quidway s2026ls-2026s2026以太网交换机主机,2410/100m tx,2 slot10ls-3026-fmiu1端口百兆多模光接口模块(2 km,sc)10楼层交换机小计:75150quidview网管1.基本系统quidview-rtbmzsmpcsnmpc tools-网管平台12.设备网管软件qudiview-rtbmzwana软件费用quidview广域网管理系统软件1n2000-ne16-l10每管理一台ne08/ne16高端路由器1quidview-rtb
22、mzlana软件费用quidview局域网管理系统软件1n2000-s3000-l1每管理一台s3000系列以太网交换机2 n2000-s2000-l1每管理一台s2000系列以太网交换机10 网管软件小计:42300网络设备总价:4599094.2 网络设备连接在设计网络系统设备的连接时,需要考虑的方面比较多,如网络设备的主要作用、所处位置、所支持的连接方式、连接规则,以及各种传输介质的长度限制等。在交换机、路由器、防火墙,主要网络设备中,它们在网络中必须是相互连接在一起组成一个统一的网络,但它们的连接又是有相应的规则的,不是可以随便乱连。它们总的连接方法是:交换机 防火墙路由器,内部网络核
23、心交换机与网络防火墙的内部网络专用端口连接,防火墙的外部网络专用端口与边界路由器的局域网(lan)端口连接,最终通过路由器的广域网端口与其他网络(包括外部专用网和广域网,如因特网等)连接。在这样一种网络中,通常还有一个专门用于连接内部网络中公共部分的以太网端口,用于为像web服务器、 e-mail服务器、ftp服务器等这种为公共用户提供服务的服务器提供特殊安全防护策略。4.3 网络设备配置本文校园网网络采用星型拓扑结构(如图4-1)。它是目前广泛使用,最为普遍的局域网拓扑结构。节点具有高度的独立性,网络设备坏了哪一条整个网络都会继续正常运行,并且适合在中央位置放置网络诊断设备。并根据校园网网络
24、拓扑图对相关设备进行配置。 图4-1在一个大、中型网络里,vlan的划分是必不可少的步骤之一。本文在本校园网设计实例中,整个校园网中vlan及ip编址方案(如表1所示):vlan号ip网段默认网关说明vlan 1/2454管理vlanvlan 10/2454教务处vlanvlan 20/2454学生宿舍vlanvlan 30/2454财务处vlanvlan 40/2454教工宿
25、舍vlanvlan 50/2454建筑系vlanvlan 60/2454管理系vlanvlan 70/2454计算机系vlanvlan 100/2454服务器群vlan表1 4.3.1.交换机的配置1.配置访问层交换机zzz的基本参数(如图4-2所示): 图4-2a.设置交换机名称 system-view sysname zzzb.设置交换机的加密使用口令 super passwrod 123456c.设置登录虚
26、拟终端线时的口令 user-interface vty 0 15 authentication-mode password set authentication-mode password simple czied.访问层交换机zzz的管理ip、默认网关 vlan 1 interface vlan 1 ip address undo shutdown ip default-gateway 54 savee.配置访问层交换机zzz的访问端口和主干道端口 vlan 10 port e0/1-10 将端口e0/1-10加入到v
27、la10 vlan 20 port e0/11-20f.配置访问层交换机zzz1(如图4-3所示):图4-3对访问层交换机zzz1(以及分布层、核心层交换机)的配置步骤、命令和对访问层交换机zzz的配置类似。本文不再详细分析。2.配置分布层交换机(如图4-4所示):图4-4分布层除了负责将访问层交换机进行汇集外,还为整个交换网络提供vlan间的路由选择功能。a配置分布层交换机zzz2的3层交换功能 vlan 10 interface vlan 10 ip address 54 undo shutdown vlan 20 interface vl
28、an 20 ip address 54 undo shutdown vlan 100 interface vlan 100 ip address 54 undo shutdown3.配置核心层交换机(如图4-5所示): 图4-5核心层交换机zzz4通过端口gigabitethernet 0/2同广域网接入模块(internet路由器)相连。因此,需要启用核心层交换机的路由功能。同时,还需要定义通往internet的路由。这里使用了一条缺省路由命令,配置命令如下: ip route 0.0.0
29、.0 544.3.2 路由器的配置1.配置接入路由器internetrouter的基本参数(如图4-6所示):图4-6对接入路由器internetrouter的基本参数的配置步骤与对访问层交换机zzz的基本参数的配置类似。本文只给出实际的配置步骤(不做具体解释),配置如下: system-view sysname internetrouter super passwrod 123456 user-interface vty 0 4 authentication-mode password set authentication-mode password simple czie2.配置接入路由器internetrouter的各接口参数
温馨提示
- 1. 本站所有资源如无特殊说明,都需要本地电脑安装OFFICE2007和PDF阅读器。图纸软件为CAD,CAXA,PROE,UG,SolidWorks等.压缩文件请下载最新的WinRAR软件解压。
- 2. 本站的文档不包含任何第三方提供的附件图纸等,如果需要附件,请联系上传者。文件的所有权益归上传用户所有。
- 3. 本站RAR压缩包中若带图纸,网页内容里面会有图纸预览,若没有图纸预览就没有图纸。
- 4. 未经权益所有人同意不得将文件中的内容挪作商业或盈利用途。
- 5. 人人文库网仅提供信息存储空间,仅对用户上传内容的表现方式做保护处理,对用户上传分享的文档内容本身不做任何修改或编辑,并不能对任何下载内容负责。
- 6. 下载文件中如有侵权或不适当内容,请与我们联系,我们立即纠正。
- 7. 本站不保证下载资源的准确性、安全性和完整性, 同时也不承担用户因使用这些下载资源对自己和他人造成任何形式的伤害或损失。
最新文档
- 湘教版福建省莆田市五校联盟2023-2024学年高二上学期期中数学试题
- 2024年上海市中考语文真题卷及答案解析
- 华支睾吸虫课件
- 幼儿园小班音乐《表情歌》课件
- 福建省尤溪一中 2024-2025学年高三上学年半期考地理试卷及答案
- 西京学院《大数据技术原理及应用》2022-2023学年期末试卷
- 简爱课件 图片
- 西华师范大学《外贸函电》2023-2024学年期末试卷
- 西华师范大学《数据库原理及应用》2022-2023学年期末试卷
- 职业技术学院移动商务学情分析报告
- 《路遥人生》读书分享课件
- 二甲评审迎检注意事项及技巧
- 九宫数独200题(附答案全)
- 2024版年度树立正确就业观课件
- 音乐家海顿课件
- 轮机工程专业职业生涯规划
- 中职教育二年级上学期电子与信息《路由基础-动态路由协议OSPF原理与配置》微教案
- 起重机安装安全协议书
- 早产临床防治指南(2024版)解读
- 学堂乐歌 说课课件-2023-2024学年高中音乐人音版(2019) 必修 音乐鉴赏
- VDA6.3-2023过程审核检查表
评论
0/150
提交评论