计算机网络与安全实践课程设计报告完成版

word文档可自由复制编辑计算机网络与安全实践设计报告中国矿业大学（南湖校区）局域网建设方案专业:计科班级:小组成员：指导教师：职称：中国矿业大学计算机科学与技术学院2014年4月徐州word文档可自由复制编辑题目中国矿业大学（南湖校区）校园局域网建设方案指导教师签字：年月日目录TOC\o"1-3"\h\u21751、引言 419631.1、背景 460801.2、目前现状 472082、网络设计的目标与要求 663172.1、矿业大学南湖网络的建设要求 6201803、方案设计与实现 736893.1网络设计原则 7148463.2主流组网技术分析与选择 817783.3网络拓扑结构设计 9176423.4IP地址划分 983753.4.1IP地址及VLAN划分原则 9326703.4.2、IP、VLAN的划分 10127213.4.3NAT的实现 10322753.5设备选型与配置：各种路由交换设备、服务器等 11174833.6、网络安全设计与管理 17138143.6.1安全需求分析 171723.6.2网络安全控制 18151933.6.3网络管理设计 1833503.7、未来升级与扩展 20235574、网络施工与结构化布线 2116554.1总布线规划 21220964.2网络布局的具体实施要求 21313385、结束语 2239976.心得 23220617、参考文献 23中国矿业大学南湖校区校园网建设方案1、引言1.1、背景计算机网络是计算机技术和通信技术相结合的产物，在信息技术的带动下，计算机网络发展的非常迅速，特别是internet的日益普及，“校园网“就随着各高校计算机网络的建设而引起广泛关注。建设和使用校园网络已成为一种普遍的趋势，学校对网络的依赖性越来越强，网络应用也是日新月异。从类型来看，校园网大都属于中小型系统，但它的网络结构和性能要求却又一定的特殊性，因此相应的网络设计和网络维护应有一些特别的考虑。随着我们学校扩建，规模扩大，设备更新，需要不断健全自己的校园网络来满足日新月异的网络环境，同时目前网络安全越来越成为特别是学校关心的一项，一旦网络瘫痪势必对教学和办公带来不可估量的影响，由此决定拟组建一个校园局域网，并附上校园网的安全已经维护服务。特此对南湖校区的校园局域网的建设方案做此规划。1.2、目前现状矿业大学南湖局域网的建设，最终是通过学校网络中心将网络接入到矿业大学南湖的每个机房，使师生员工可以在机房进行各种活动，有助于提高师生的生活质量，对计算机技术的教学提供了极大的帮助。因此，建设矿业大学南湖局域网是学校发展的不可或缺的基础硬件设施。矿业大学南湖拥有一个完整的以太网布局，通过路由器与学校网络中心光纤连接，由两层交换机将各个机房的信息点连通。矿业大学南湖位于计算机学院楼四楼，每个实验室是一间长方形教室，每个实验室大约有60台计算机。根据我校学生多、机位少的实际情况，制定如下网络需求：C类局域网，独立网段，自主分配IP地址；每台计算机通过URL自由访问Internet网络资源；支持笔记本移动上网；高速、稳定、安全、可靠；布局规范、合理，易于维护；节约空间，减少噪音污染；成本最优化原则建设的局域网要努力克服一些通病，如：设备种类繁多、机位拥挤不堪、网线密集凌乱、维护困难重重、空气流通不畅、往来人员频繁而中空的防静电地板将每个人脚下的声音传播到整个机房，混合上交换机噪音，产生噪音污染。此外，在建设实验室局域网过程中还要考虑以下因素：（1）主干层网落承载能力要求主干层的功能主要是实现骨干网络之间的优化传输，负责整个网络的网内数据交换。网络的功能控制最好尽量少在骨干层上实施，主干层设计任务的重点是冗余能力、可靠性和高速的传输。核心层一直被认为是流量的最终承受者和汇聚者，所以要求主干层交换机拥有较高的可靠性和性能。（2）汇聚层接点接入要求汇聚层主要负责连接接入层接点和核心层中心，汇聚分散的接入点，扩大核心层设备的端口密度和种类，汇聚各区域数据流量，实现骨干网络之间的优化传输。汇聚交换及还负责本区域内的数据交换，汇聚交换机一般与主干层交换机同类型，仍需要较高的性能和比较丰富的功能，但吞吐量较低。(3)可靠性和自愈能力要求网络系统的稳定可靠是应用系统正常运行的关键保证，在网络设计中选用高可靠性网络产品，合理设计网络架构，制订可靠的网络备份策略，保证网络具有故障自愈的能力，最大限度地支持系统的正常运行。(4)安全性要求制订统一的骨干网安全策略，整体考虑网络平台的安全性。可以通过各业务子网隔离，全网统一规划IP地址，根据不同的业务划分不同的子网（subnet），相同物理LAN通过VLAN的方式隔离，不同子网间的互通性由路由策略决定。(5)性价比要求建设网络时选用的设备要具有较高的性价比，用最小的成本建设最优质的网络。2、网络设计的目标与要求2.1、矿业大学南湖网络的建设要求第一、经济而实用灵活的拓扑结构的网络实验室，所提供的实验平台可以适合多种应用实验的需要。可以实现同一时段多人做实验，也可合并在一起组成大的实验环境，体现网络实验室在拓扑环境组合上的灵活性及整体的经济性。第二、可扩展和易维护性由于计算机网络技术发展快速的特点，在网络实验室建设过程中，选择设备时要求其在提供多种冗余保证稳定的情况下，还必须具有超强的扩展能力。如各种交换机都提供多个扩展插槽和提供足够的背板带宽，同时还采用设备管理软件来解决设备在维护上的问题。第三、社会实际紧密结合性所建设的网络实验室是完全结合社会真实的网络进行组建的，所有的实验都是从实际的网络环境中截取的，做到实验和社会实际有机地结合起来，以提高中职院校的综合竞争实力与学生就业能力。实验教学内容应与社会应用实践密切联系，形成良性互动，实现学与用的有机结合。要认真考虑设置哪些实验项目、采用何种实验手段才能切实提高学生的动手能力，培养学生的独立性和创造性，保证实验教学的质量。完善矿业大学南湖局域网基础设施建设，构建技术先进、扩展性强、安全可靠、高速畅通的网络环境。建立公共信息系统基础平台，提供先进数字化管理手段，提高管理效率；建立功能齐全的教学管理平台；建设内容丰富的教学资源库，实现教学资源共享；提高全校师生信息素养，为培养高技能应用性人才和服务社会搭建公共服务平台。在网上宣传和获取教育资源；在此基础上建立能满足教学、科研和管理工作需要的软、硬件环境；开发各类信息库和应用系统，为学校各类人员提供充分的网络信息服务；系统总体设计本着总体规划、分布实施的原则，充分体现系统的技术先进性、高度的安全可靠性、良好的开放性、可扩展性，以及建设经济性。构建南湖校区校园网，我们一组3个人，分别完成各自不同的项目。3、方案设计与实现3.1网络设计原则在充分考虑多应用、易管理的同时，本方案遵循如下原则：1、高可靠性。2、标准性及开放性。通讯协议和接口符合国际标准。3、灵活性及可扩展性。4、可管理性。合理地划分vlan，能够实现vlan连接。5、采用成熟的技术方案。6、安全性。7、综合性和统一性。最大限度的采用同一厂家的产品。8、合理的性能价格比。3.2主流组网技术分析与选择网络拓扑结构就是网络的形状，或者是它在物理上的连通性。构成网络的拓扑结构有很多种，通常包括：星型拓扑、总线拓扑、环型拓扑、树型拓扑、混合型拓扑、网型拓扑。拓扑结构的选择往往与传输媒体的选择和媒体访问控制方法的确定紧密相关。在选择网络拓扑结构时，应该考虑的主要因素有下列几点：1.可靠性

尽可能提高可靠性，保证所有数据流能准确接收。还要考虑系统的维护，要使故障检测和故障隔离较为方便。2.费用低

它包括建网时需考虑适合特定应用的费用和安装费用。3.灵活性

需要考虑系统在今后扩展或改动时，能容易地重新配置网络拓扑结构，能方便地对原有站点的删除和新站点的加入。4.响应时间和吞吐量

要有尽可能短的响应时间和最大的吞吐量。经过各方面的综合考虑，我们决定采用下面的建设方案：中间核心层是一台核心三层交换机，分别连接属于分布层的学生宿舍楼，图书馆，行政楼，公教区。分布层除了行政楼是三层交换机外，其它的都是二层交换机。图中所示只说明了核心层和分布层，接入层还有很多二层交换机。其中宿舍楼还连有一台DHCP服务器，以为学生上网分配IP地址。核心交换机连接一台内部路由器，该路由器充当NAT作用，连接这电信服务提供商，负责把内网地址转换为外网地址，以实现校园内网络可以访问因特网。3.3网络拓扑结构设计3.4IP地址划分3.4.1IP地址及VLAN划分原则简单性：地址的分配应该简单，避免在主干上采用复杂的掩码方式；连续性：为同一个网络区域分配连续的网络地址，便于采用路由收敛(Summarization)CIDR(ClasslessInter-DomainRouting)技术缩减路由表的表项，提高路由器的处理效率；可扩充性：为一个网络区域分配的网络地址应该具有一定的容量，便于主机数量增加时仍然能够保持地址的连续性；灵活性：地址分配不应该基于某个网络路由策略的优化方案，应该便于多数路由策略在该地址分配方案上实现优化；可管理性：地址的分配应该有层次，某个局部的变动不要影响上层、全局。安全性：网络内应按工作内容划分成不同网段即子网以便进行管理。3.4.2、IP、VLAN的划分内网全部使用私有地址，在核心交换机上划分vlan1：学生宿舍楼：vlan2，所用网段/24，网关地址为/24图书馆：vlan3，所用网段/24，网关地址为/24.教学楼：vlan4，所用网段/24，网关地址为/24.行政楼：vlan5，所用网段/24，网关地址为/NAT的实现NAT，网络地址转换，是通过将专用网络地址转换为公用地址（如互联网Internet），从而对外隐藏了内部管理的IP地址。这样，通过在内部使用非注册的IP地址，并将它们转换为一小部分外部注册的IP地址，从而减少了IP地址注册的费用以及节省了目前越来越缺乏的地址空间（即IPV4）。同时，这也隐藏了内部网络结构，从而降低了内部网络受到攻击的风险。NAT网络地址转换的3种实现方式：1、静态NAT（一对一）2、动态NAT（多对多）3、端口多路复用PAT（多对一）对于本方案而言，核心交换机与NAT路由器相连网段为/243.5设备选型与配置：各种路由交换设备、服务器等设备报价及选择：我们通过查阅资料得到以下报价表：设备型号生产厂家单价核心交换机CISCOWS-C3750E-48PD-E思科130000元/台二层交换机RG-S6806E锐捷180000元/台ATM交换机CISCOWS-C3560G-24TS-E思科35000元/台ATM交换机CISCOWS-C3750-24TS-S思科9000元/台路由器CISCO1841思科3700元/台路由器CISCO2801思科5300元/台交换机CISCOWS-C3560-24TS-S思科6000元/台交换机CISCORV042思科1000元/台光钎收发机金浪KN-S113SCKingnet280元/台12芯室外架空多模光缆汉维(HW810-12MM)汉维7元/米8芯多模室外铠装光缆立孚立孚5元/米超五类双绞线TCLTCL4.6元/米防火墙华为赛门铁克USG2110华为1800元/台比较各设备的性能和价格，我们作出如下选择：（1）分布层的三层设备采用CiscoCatalyst3560系列交换机。CiscoCatalyst3560系列交换机一个固定配置、企业级、IEEE802.3af和思科预标准以太网供电（PoE）交换机系列，工作在快速以太网和千兆位以太网配置下。Catalyst3560是一款理想的接入层交换机。核心交换机为最主要部分，因此需要高端设备。Catalyst6500系列为企业园区网和电信运营商网络设立了新的IP通信和应用支持标准，它不但能提高用户的生产率，增强操作控制，还能提供无与伦比的投资保护。所有二层交换机考虑到价格因素选用锐捷RG-S6806E系列交换机。RG-S6806E系列多业务万兆核心路由交换机提供1.6T/0.8T背板带宽，并支持将来3.2T/1.6T的能力，高达572Mpps/286Mpps的二/三层包转发速率可为用户提供高速无阻塞的数据交换，强大的交换路由功能、安全智能技术可同锐捷各系列交换机配合，为用户提供完整的端到端解决方案，是大型网络核心骨干和大流量节点交换机的理想选择。（2）关于防火墙的选择：根据该校园的网络使用状况和实际需求，综合考虑经济性、品牌实力、应用拓展等因素，本方案采用国内防火墙华为赛门铁克USG2110系列产品。其技术特点是：安全功能：高稳定，高安全，高效率，高扩展，模块化，多平台支持。管理功能：实时监控，实时查看防火墙主机的当前负载情况，包括内存的使用情况和连接状况等；支持同时对多个设备的监控。支持对各种二层协议的控制；支持进行深层次的应用层过滤。支持SSN（Service-orientedseeuritynetwork面向服务的安全网络）。日志分析：审计日志分为多个等级；支持日志的自动导出与自动统计分析。支持高级日志分析系统。除防火墙外，还支持路由器、交换机、OS和应用系统的日志分析。可靠性：支持报文调试功能。支持运行黑匣子功能，并能导出设备健康运行记录。（3）关于DHCP服务器局域网中每台计算机都要有自己的IP地址，但静态的去给每台机子输入，由于校园网的计算机很多，会很麻烦而且容易导致IP冲突，不易管理。所以用DHCP服务器将IP地址数据库中的IP地址动态的分配给局域网中的客户机，这时只需在客户机上选择“自动获取IP地址”即可。客户机通过广播信息包的方式向DHCP服务器提出申请，服务器收到信息后会向客户机提供一个合适的IP地址，每台客户机将选择一个IP地址而拒绝其他的，而且DHCP服务器在提供IP地址时会设置一定的租用期限，当客户机的租约到期后会释放IP地址而重新获得服务器提供的其他IP地址。DHCP服务器还可以通过保留设置，给其它服务器提供一个永久不过期的IP地址，例如给DNS服务器保留IP，就相当于有了一个静态容易访问的IP地址。也就是你的电脑连上网，DHCP服务器才从地址池里临时分配一个IP地址给你，每次上网分配的IP地址可能会不一样，这跟当时IP地址资源有关。当你下线的时候，DHCP服务器可能就会把这个地址分配给之后上线的其他电脑。这样就可以有效节约IP地址，既保证了你的通信，又提高IP地址的使用率。因为之前划分vlan时，学生宿舍楼属于vlan2，可用地址空间为/24，所以在DHCP服务器的地址池中只能宣告这个范围的地址供同学们使用。通过更改三层交换机的优先级，使其成为生成树协议（STP）中的根交换机。为了交换机与交换机之间能够传递不同vlan，需要在交换机相连接口之间配成802.1Qtrunk模式。还需要在每台交换机上配置VTP，用于传递和同步vlan信息，其中把三层交换机配置成VTP的server端。在内部接入主机的交换机接口都配成portfast接口，此功能可以使该接口跳过生成树的监听和学习状态，直接进入转发状态，实现生成树的快速收敛。为了不让在配置了portfast接口上错误地连接交换机导致STP重新计算，配置了portfast的同时要配置bpduguard，此功能可以让配置了portfast的接口在接收BPDU的时候进入err-disable状态，从而解决不小心把交换机错误地接入。配置DHCP：Router(config)#servicedhcpRouter(config)#ipdhcppoolSTUDENTRouter(dhcp-config)#networkRouter(dhcp-config)#exitRouter(config)#ipdhcpexcluded-address配置vlan：SW(config)#vlan2SW(config-vlan)#namestuSW(config-vlan)#exitSW(config)#vlan3SW(config-vlan)#namelibSW(config-vlan)#exitSW(config)#vlan4SW(config-vlan)#nametechSW(config-vlan)#exitSW(config)#intf1/0//交换机上连接主机的接口SW(config-if)#switchportmodeaccessSW(config-if)#switchportaccessvlan2SW(config)#spanning-treeportfastdefaultSW(config)#spanning-treeportfastbpduguarddefaultSW(config)#interfacef1/2//交换机之间互联接口配trunkSW(config-if)#switchporttrunkencapsulationdot1qSW(config-if)#switchportmodetrunkSW(config)#spanning-treevlan1-4096priority0//核心交换机上配置优先级使其成为根交换机。SW(config)#vtpdomaincisco//配置所有交换机相同域名和密码。SW(config)#vtppasswordccieSW(config)#vtpmodeserver//核心交换机为server端SW(config)#vtpmodeclient//其它交换机为client端核心交换机创建SVI接口，并且运行OSPF协议：SW(config)#interfacevlan3SW(config-if)#ipaddressSW(config)#interfacef1/1SW(config-if)#noswitchport//开启交换机三层接口SW(config-if)#ipaddressSW(config)#routerospf1SW(config-router)#router-idSW(config-router)#network55area1SW(config-router)#network55area2SW(config-router)#network55area3SW(config-router)#network55area4SW(config-router)#networkarea0//用于NAT路由建立邻居关系（4）路由选择与配置思科cisco2800系列路由器可以用于中小型企业的网络接入，实现NAT转换，共享公网地址，支持各种专线接入。NAT路由器的设计网络地址转换(NAT,NetworkAddressTranslation)属接入广域网(WAN)技术,是一种将私有(保留)地址转化为合法IP地址的转换技术,它被广泛应用于各种类型Internet接入方式和各种类型的网络中。NAT不仅解决了lP地址不足的问题，而且还能够有效地避免来自网络外部的攻击，隐藏并保护网络内部的计算机。因此NAT是这个校园网络不可缺少的一部分。NAT可以将多个地址同时映射到单个地址，该功能称为PAT。PAT会同时转换IP地址和端口号，来自不同地址的数据包可以被转换为同一个地址，但相应的端口号不相同，这样就可以共享同一个地址了。NAT连接核心交换机的地址采用私有地址，连接ISP的接口采用共有地址，该地址必须要向ISP申请。配置NAT：Router(config)#interfacef0/0Router(config-if)#ipaddressRouter(config-if)#ipnatinsideRouter(config-if)#noshutdownRouter(config)#interfacef1/0Router(config-if)#ipaddressRouter(config-if)#ipnatoutsideRouter(config-if)#noshutdownRouter(config)#ipnatinsidesourcelist1interfacef1/0overloadRouter(config)#access-list1permit55配置OSPF：Router(config)#routerospf1Router(config-router)#router-idRouter(config-router)#networkarea03.6、网络安全设计与管理3.6.1安全需求分析(1)、网络病毒的防范(2)、防止IP、MAC地址的盗用(3)、安全事故发生时候，需要准确定位到用户(4)、用户上网时间的控制(5)、用户网络权限的控制(6)、各种网络攻击的有效屏蔽3.6.2网络安全控制(1)对端口ARP检查防止ARP攻击；(2)对端口安全：MAC动态地址锁，MAC地址静态绑定；(3)交换设备BPDUGuard功能，过滤非法BPDU报文，防止STP攻击交换机；(4)端口安全：端口静态绑定，自动绑定IP和MAC地址防止DOS攻击；(5)智能安全到边缘：多种ACL，满足不同网络应用，过滤病毒(6)SSH密文传输，限制管理IP等措施保证设备管理可靠；(7)对网络病毒的防范：采用设置ACL，对病毒进行过滤；我们使用的汇聚、核心交换机都支持SPOH，通过端口独立的FFP进行ACL处理，网络设备性能不受设置ACL数目影响；3.6.3网络管理设计网络管理包括用户管理、设备管理、网络故障管理(1)网络用户管理(2)网络设备管理网络设备的管理通过STARVIEW实现，主要提供以下功能，这些功能也是我们常见的解决问题的思路：1、网络现状及故障的自动发现和了解STARVIEW能自动发现网络拓扑结构，让网络管理员对整个校园网了如指掌，对于用户私自挂接的HUB、交换机等设备能及时地发现，提前消除各种安全隐患。对于网络中的异常故障，比如某台交换机的CPU利用率过高，某条链路上的流量负载过大，STARVIEW都可以以不同的颜色进行显示，方便管理员及时地发现网络中的异常情况。2、网络流量的查看STARVIEW在网络初步异常的情况下，能进一步的察看网络中的详细流量，从而为网络故障的定位提供了丰富的数据支持。3、网络故障的信息自动报告STARVIEW支持故障信息的自动告警，当网络设备出现故障时，会通过TRAP的方式进行告警，网络管理员的界面上能看到各种故障信息，这些信息同样为管理员的故障排除提供了丰富的信息。4、设备面板管理STARVIEW的设备面板管理能够很清楚的看到校园中设备的面板，包括端口数量、状态等等，同时可以很方便的登陆到设备上，进行配置的修改，完善以及各种信息的察看。5、RGNOS操作系统的批量升级校园网很大的一个特点就是规模大，需要使用大量的接入层交换机，如果需要对这些交换机进行升级，一台一台的操作，会给管理员的工作带来很大的压力，STARVIEW提供的操作系统的批量升级功能，能够很方便的一次对所有的相同型号的交换机进行升级，加大的较少了网络管理员的工作量。(3)网络故障管理3.7、未来升级与扩展本方案采用的是分层结构。分层结构可从一个单元素架构开始进行线性扩展，从而显著降低了构建可与其多级结构相媲美的大型结构所需的器件数。未来需要接入交换机时要记得把该交换机的配置清空，避免影响到整个拓扑。此外，还有包括以下几个方面：处理能力扩展处理能力是指交换机的数据转发能力，一般是指三层转发能力。这种要求通常出现在网络的汇聚层或核心层。随着用户业务的发展，业务数据流较大时，或对业务数据流有较多的QOS或安全策略时，交换机的转发能力不足就会影响业务。带宽扩展带宽扩展通常出现在不同的网络层次间，如接入层和汇聚层，汇聚层和核心层。由于桌面接入的主流都已经是100MB，而100MB交换机的上联端口通常为1000MB，在满负荷情况下，也才能满足10个端口的线速上联，而现在交换机动辄24口，48口，因此在某些情况下，需要进行上联带宽的扩展。平滑扩展随着用户对网络的依赖性越来越强，网络的中断可能会给用户带来巨大的损失。即使是要进行网络的扩展升级，用户也希望不要对现存的网络有影响。这就要求网络的扩展具有平滑不中断的特性。同时，在网络扩展中，能够保护原有设备的投资，不造成投资浪费。4、网络施工与结构化布线4.1总布线规划由于规划的是一个校园局域网，它包含多栋建筑物，对网络的连接可靠性和性能要求较高。这种网络最好采用千兆以太网作为网络骨干，网络可以分为核心层和接入层。核心层设备具有多层交换机功能的千兆以太网交换机，接入层设备选择带有千兆上联端口的以太网交换机。4.2网络布局的具体实施要求对于有线局域网来说，这是我们目前企业网络建设中，经常会遇到的，需要对机房和办公大楼进行布线。规划网络布局要考虑到机房的设备布局和布线系统的合理搭配。因此我们首先要规划与设计好机房、布线系统，然后再全面地考虑网络的布局。校园网的规划与设计为了确保网络、计算机系统稳定、安全、可靠地运行，以及保障工作人员有良好的工作环境，做到技术先进、经济合理、安全适用、确保质量，符合国家有关的机房设计规定。1)防静电静电不仅会对计算机运行出现随机故障，而且还会导致某些元器件，双级性电路等