校园网局域网搭建.doc

河南理工大学计算机科学与技术学院课程设计报告 2014 2015学年第一学期 课程名称设计题目 姓 名 学 号专业班级 指导教师 年 月 日 目 录一、设计分析.3 1.1 前言.31.2 校园网设计方案.31.3 思科模拟器简介.4二、校园网简介.42.1 校园网现状.52.2 校园网基本功能.52.3 校园网的实施方案.5三、校园网模拟与设计.53.1 校园网架构设计.5 3.2 校园网架构测试.73.3 网络相关技术的说明与分析.84、 防火墙.94.1 防火墙的定义.94.2 防火墙的基本特征.104.3 防火墙的使用技巧.11五、结语.12六、参考文献.12一 设计分析1.1 前言 作为新技术的发祥地，学校、尤其是高等学校，和网络的关系十分密切，网络最初是在校园里进行实验并获得成功的，许多网络新技术也是首先在校园网中获得成功，进而才推向社会的。 另一方面，作为“高新技术孵化器”的学校，知识、人才的资源十分丰富，比其他行业更渴求信息、希望能有渠道获得各种各样的信息来促进自身在研究、学术上的进步。 本文从用户的需求分析入手，阐述了校园网的应用特点，以及网络产品如何满足校园网用户的多方面需求。1.2校园网总体设计方案 总体设计是校园网建设的总体思路和工程蓝图，是搞好校园网建设的核心任务。进行校园网总体设计，首先，进行对象研究和需求调查，弄清学校的性质、任务和改革发展的特点，对学校的信息化环境进行准确的描述，明确系统建设的需求和条件；其次，在应用需求分析的基础上，确定学校Intranet服务类型，进而确定系统建设的具体目标，包括网络设施、站点设置、开发应用和治理等方面的目标；第三，确定网络拓朴结构和功能，根据应用需求、建设目标和学校主要建筑分布特点，进行系统分析和设计；第四，确定技术设计的原则要求，如在技术选型、布线设计、设备选择、软件配置等方面的标准和要求；第五，规划安排校园网建设的实施步骤。建设校园网对每个学校来说都不是一件轻易的事情，都要经过周密的论证、谨慎的决策和紧张的施工。当一堆设备变成网络的时候，大部分学校的满腔热情也慢慢地冷却凝固。校园网建成了，各种问题也不断涌现:设计目标根本无法实现，没有合适的应用软件，许多设想根本无法实施，后续的维护费用不堪承受等等。现在所谓的校园网多是一些系统集成商基于先进的硬件设备提出的解决方案，只是设备集成。 作为校园网，需要连接多少个节点，怎样利用网络设备使得分布在不同地理位置的节点连接到一个统一的网络中来，怎样使得整个网络中的节点相互连通，这些问题仅仅是校园网需要解决问题中的一部分。 从某种意义上讲，校园网的建设绝不仅仅只是涉及到技术问题，而是会引深到更深的层次，也就是说信息技术所带来的一场革命会彻底改变我们的生活方式和工作方式。 由于网络技术是一门比较新的技术，致使许多人产生了“重硬件，轻软件”的想法，国内斥资开发这方面软件的企业（高校）也很少，造成了软件匮乏的局面。 作为系统集成商来说，当然希望给学校的方案越先进越昂贵越好。但是作为学校必须研究以后会有什么样的用途，能不能发挥这些设备的潜能，这些设备能不能满足未来发展的需要。目前的校园网系统集成多数是先进的设备的集成，少则几十万元，一般几百万元，多则几千万元。有的学校花费几百万元采用ATM技术搭建起来的网络，最后只用来进行文件共享，没有合适的网络软件可运行。 基于以上的一些状况，我们提出校园网建设的原则应该是：先进性，先进的设计思想、网络结构、开发工具，采用市场覆盖率高、标准化和技术成熟的软硬件产品；实用性，建网时应考虑利用和保护现有的资源、充分发挥设备效益；开放性，系统设计应采用开放技术、开放结构、开放系统组建和开放用户接口，以利于网络的维护、扩展升级及与外界信息的沟通；灵活性，采用积木式模块组合和结构化设计，使系统配置灵活，满足学校逐步到位的建网原则，使网络具有强大的可增长性；可靠性，具有容错功能，治理、维护方便。对网络的设计、选型、安装、调试等各环节进行统一规划和分析，确保系统运行可靠，经济性，投资合理，有良好的性能价格比。 1.3 思科模拟器简介 Packet Tracer 是由Cisco公司发布的一个辅助学习工具为学习CCNA课程的网络初学者去设计配置排除网络故障提供了网络模拟环境学生可在软件的图形用户界面上直接使用拖曳方法建立网络拓扑软件中实现的IOS子集允许学生配置设备并可提供数据包在网络中行进的详细处理过程观察网络实时运行情况 经测试以前版本下搭建的模拟应用文件在该版本中可能出现网络通讯不正常而且发现建立在不同版本中的模拟文件不能正常通用尤其是网络情况复杂的情况下如遇此类问题并非软件故障请按照模拟环境在使用的版本软件环境下重新搭建一番就可以了 二 校园网简介 2.1 校园网现状 正是因为看到网络与学校之间的密切关系，国家从1994年正式启动中国教育科研计算机网(CERNET)以来，已与国内几百所学校相连，为广大师生及科研人员提供了一个全新的网络环境。1998年10月，中国教育科研网二期工程正式启动，工程到2000年二期工程完成，除达到连接1000所大学的目标外，对有条件的中小学也提供接入上网服务。 随着信息技术的飞速发展，中小学校园网的建设已经逐渐提到议事日程上来。 对比国外校园网的建设和使用情况，我国目前的大多数校园网的结构、规模和应用都不是很完整，网络设备、计算机设备的功能没有得到充分地挖掘和发挥。怎样利用网络设备，进一步发挥各种设备的功能，实现学校各项业务系统的集成，提高应用水平将是学校校园网建设的下一个工作重点。2.2 校园网的基本功能 校园网与校园群应具有为学校和学校之间的教育提供网络环境；实现资源共享、信息交流、协同工作等基本功能。 1为教育信息的及时、准确、可靠地收集、处理、存储和传输等提供工具和网络环境； 2为学校行政管理和决策提供基础数据、手段和网络环境，实现办公自动化，提高工作效率、管理和决策水平； 3为备课、课件制作、授课、学习、练习、辅导、交流、考试和统计评价等各个教学环节提供网络平台和环境； 4为使用网络通信、视频点播和视频广播技术，提供符合素质教育要求的新型教育模式； 5为科学研究的资料检索、收集和分析；成果的交流、研讨；模拟实验等提供环境和手段。2.3 校园网方案实施一个完整的校园网建设在实施过程中可以分成两个环节：网络集成方案设计和信息系统集成。其中信息系统集成是目的，网络集成是手段。网络集成方案主要包括两个方面：结构化布线与设备选择、网络技术及设备选型。它的设计思想有两个，一个是网络方案采用模块化的设计，各个模块完成各自的功能。在实施的过程中，可以根据需要将相应的模块添加到网络中，也可以不使用某些模块，在需要时候再添加。同时，模块化设计轻易维护，某个模块出现故障，不会影响到整个网络的安全。另一个设计思想是采用层次体系，整个网络通过主干网连接起来，各个子网通过接口与主干网连接，实现各自的功能，在子网内部及与主干网进行数据通信。三 校园网模拟与设计3.1校园网架构设计 高校规模的扩大造就了高校网络规模的不断膨胀，众多高校在扩展网络规模时采用了在原有的网络上直接增加计算机的方法来实现，随之而来的就是网络体系变得越来越复杂，对网络的管理也变得越来越困难，网内的安全指数也变得越来越低，并且网络资源的利用率也大大降低，如何行之有效的管理网络和合理利用网络资源成为高校最大的难题。 采用VLAN方式划分网络体系能够让管理员更加方便的管理高校网络，而VLAN网络灵活的扩展能力也让高校网络规模在不断扩大的同时不会出现网络混乱的情况，VLAN网络所具有的控制广播风暴能力让高校网络资源的性能得到大幅度提高，并且VLAN网络还具有管理简单，安全性高的特点。因此，在网络最初的设计中采用VLAN方式能够对网络将来的扩展带来极大的好处。 在普通的小型高校中，采用路由器方式划分VLAN是一种节约成本的方法，不过在大中型高校中，采用路由器方式划分VLAN会严重影响高校网络的性能，而VLAN间的通信必需通过路由才能实现，因此，具有路由功能的三层交换机被广泛应用于大中型高校VLAN网络中。但我们必需清楚一点，就是采用三层交换机的VLAN网络同样需要路由器，只不过路由器只是高校网络和互联网的连接工具，VLAN间的通信不会靠路由器来实现。在第二层就是采用的三层交换机，这也是整个大型VLAN网络的关键所在。三层交换机具有路由和交换两种功能，其中的路由功能是实现VLAN间通信的关键技术。当第一个数据流进入三层交换机后，三层交换机将会对这个数据流进行路由，在路由的同时三层交换机会产生一个MAC地址与IP地址的映射表，这样做的好处就是当同样的数据流进入三层交换机后，不需要三层交换机对这个数据流再进行一次路由，这个数据流只需要直接通过三层交换机就能实现VLAN间通信，从而有效解除了路由器所带来的网络瓶颈。三层交换机也是划分VLAN网络的关键所在，管理员只需要对三层交换机进行配置就可完成对VLAN网络的划分。所以在选择三层交换机时，我们一定要根据自己的实际情况进行合理选择，才能更加有效的保证整个VLAN网络的正常运行。 在网络的第三层，我们选用的二层交换机，二层交换机在VLAN网络中的作用实际上只是保证整个网络基层的正常运行，如果网络规模非常大，那么这一层最好选择千兆交换机，让网络的下一层继续连接交换机进行扩展，如果网络规模不是非常大（采用三层交换机连接的计算机数量最少也是在200台以上），这一层直接选择普通交换机就可以了。3.2校园网架构配置测试在网络最底层是整个网络的基础，也是我们决定怎样划分VLAN网络的标准，它们由企业（高校）的计算机终端、服务器等组成。调试测试3.3网络相关技术的说明与分析 VLAN技术：交换技术的发展，也加快了新的交换技术（VLAN）的应用速度。通过将企业（高校）网络划分为虚拟网络VLAN网段，可以强化网络管理和网络安全，控制不必要的数据广播。在共享网络中，一个物理的网段就是一个广播域。而在交换网络中，广播域可以是有一组任意选定的第二层网络地址（MAC地址）组成的虚拟网段。这样，网络中工作组的划分可以突破共享网络中的地理位置限制，而完全根据管理功能来划分。这种基于工作流的分组模式，大大提高了网络规划和重组的管理功能。 在同一个VLAN中的工作站，不论它们实际与哪个交换机连接，它们之间的通讯就好象在独立的集线器上一样。同一个VLAN中的广播只有VLAN中的成员才能听到，而不会传输到其他的 VLAN中去，这样可以很好的控制不必要的广播风暴的产生。同时，若没有路由的话，不同VLAN之间不能相互通讯，这样增加了企业（高校）网络中不同部门之间的安全性。网络管理员可以通过配置VLAN之间的路由来全面管理企业（高校）内部不同管理单元之间的信息互访。交换机是根据用户工作站的MAC地址来划分VLAN的。所以，用户可以自由的在企业（高校）网络中移动办公，不论他在何处接入交换网络，他都可以与VLAN内其他用户自如通讯。在传统的局域网中，各站点共享传输信道所造成的信道冲突和广播风暴是影响网络性能的重要因素。由于网络中的站点被束缚在所处的物理网络中，而不能根据需要将其划分至相应的逻辑子网，因此网络的机构缺乏灵活性。为解决这一问题，从而引发了虚拟网VLAN的概念，所谓VLAN是指网络中的站点不拘泥于所处的物理位置，可以根据需要灵活地加入到不同的逻辑子网中的一种网络技术。VLAN可以是有混合的网络类型设备组成，VLAN的管理需要比较复杂的专门软件，它通过对用户、MAC地址、交换机端口号、VLAN号等管理对象的综合管理，来满足整个网络的VLAN划分、监视等功能，以及其他扩展管理功能。现在比较通用的VLAN的划分方法是基于MAC地址。但也有一些厂商的交换机提供更多的VLAN划分方法：MAC地址、协议地址、交换机端口、网络应用类型和用户权限等等。用户在选择交换机的同时，应当仔细考察选购的交换机的VLAN功能，根据自己企业（高校）的实际需要，选择满足要求而且管理方便的交换机。同时，应当特别注意现在不同厂商的交换机的VLAN之间大多数是不兼容的。 校园网使用VLAN技术的优点：1、控制广播风暴2、提高网络整体安全性 。四 防火墙 4.1防火墙定义防火墙（FireWall）成为近年来新兴的保护计算机网络安全技术性措施。它是一种隔离控制技术，在某个机构的网络和不安全的网络（如Internet）之间设置屏障，阻止对信息资源的非法访问，也可以使用防火墙阻止重要信息从企业（高校）的网络上被非法输出。作为Internet网的安全性保护软件，FireWall已经得到广泛的应用。 所谓防火墙指的是一个由软件和硬件设备组合而成、在内部网和外部网之间、专用网与公共网之间的界面上构造的保护屏障.是一种获取安全性方法的形象说法，它是一种计算机硬件和软件的结合，使Internet与Intranet之间建立起一个安全网关（Security Gateway），从而保护内部网免受非法用户的侵入，防火墙主要由服务访问规则、验证工具、包过滤和应用网关4个部分组成，防火墙就是一个位于计算机和它所连接的网络之间的软件或硬件。该计算机流入流出的所有网络通信和数据包均要经过此防火墙。 在网络中，所谓“防火墙”，是指一种将内部网和公众访问网（如Internet）分开的方法，它实际上是一种隔离技术。防火墙是在两个网络通讯时执行的一种访问控制尺度，它能允许你“同意”的人和数据进入你的网络，同时将你“不同意”的人和数据拒之门外，最大限度地阻止网络中的黑客来访问你的网络。换句话说，如果不通过防火墙，公司内部的人就无法访问Internet，Internet上的人也无法和公司内部的人进行通信 从最早的防火墙模型开始谈起，原始的防火墙是一台“双穴主机”，即具备两个网络接口，同时拥有两个网络层地址。防火墙将网络上的流量通过相应的网络接口接收上来，按照OSI协议栈的七层结构顺序上传，在适当的协议层进行访问规则和安全审查，然后将符合通过条件的报文从相应的网络接口送出，而对于那些不符合通过条件的报文则予以阻断。因此，从这个角度上来说，防火墙是一个类似于桥接或路由器的、多端口的（网络接口=2）转发设备，它跨接于多个分离的物理网段之间，并在报文转发过程之中完成对报文的审查工作。4.2防火墙的基本特征 （一）内部网络和外部网络之间的所有网络数据流都必须经过防火墙这是防火墙所处网络位置特性，同时也是一个前提。因为只有当防火墙是内、外部网络之间通信的唯一通道，才可以全面、有效地保护企业网内部网络不受侵害。根据美国国家安全局制定的信息保障技术框架，防火墙适用于用户网络系统的边界，属于用户网络边界的安全保护设备。所谓网络边界即是采用不同安全策略的两个网络连接处，比如用户网络和互联网之间连接、和其它业务往来单位的网络连接、用户内部网络不同部门之间的连接等。防火墙的目的就是在网络连接之间建立一个安全控制点，通过允许、拒绝或重新定向经过防火墙的数据流，实现对进、出内部网络的服务和访问的审计和控制。典型的防火墙体系网络结构如下图所示。从图中可以看出，防火墙的一端连接企事业单位内部的局域网，而另一端则连接着互联网。所有的内、外部网络之间的通信都要经过防火墙。 （二）只有符合安全策略的数据流才能通过防火墙防火墙最基本的功能是确保网络流量的合法性，并在此前提下将网络的流量快速的从一条链路转发到另外的链路上去。从最早的防火墙模型开始谈起，原始的防火墙是一台“双穴主机”，即具备两个网络接口，同时拥有两个网络层地址。防火墙将网络上的流量通过相应的网络接口接收上来，按照OSI协议栈的七层结构顺序上传，在适当的协议层进行访问规则和安全审查，然后将符合通过条件的报文从相应的网络接口送出，而对于那些不符合通过条件的报文则予以阻断。因此，从这个角度上来说，防火墙是一个类似于桥接或路由器的、多端口的（网络接口=2）转发设备，它跨接于多个分离的物理网段之间，并在报文转发过程之中完成对报文的审查工作。 （三）防火墙自身应具有非常强的抗攻击免疫力这是防火墙之所以能担当企业内部网络安全防护重任的先决条件。防火墙处于网络边缘，它就像一个边界卫士一样，每时每刻都要面对黑客的入侵，这样就要求防火墙自身要具有非常强的抗击入侵本领。它之所以具有这么强的本领防火墙操作系统本身是关键，只有自身具有完整信任关系的操作系统才可以谈论系统的安全性。其次就是防火墙自身具有非常低的服务功能，除了专门的防火墙嵌入系统外，再没有其它应用程序在防火墙上运行。当然这些安全性也只能说是相对的。目前国内的防火墙几乎被国外的品牌占据了一半的市场，国外品牌的优势主要是在技术和知名度上比国内产品高。而国内防火墙厂商对国内用户了解更加透彻，价格上也更具有优势。防火墙产品中，国外主流厂商为思科（Cisco）、CheckPoint、NetScreen等，国内主流厂商为东软、天融信、山石网科、网御神州、联想、方正等，它们都提供不同级别的防火墙产品。 （四）应用层防火墙具备更细致的防护能力自从Gartner提出下一代防火墙概念以来，信息安全行业越来越认识到应用层攻击成为当下取代传统攻击，最大程度危害用户的信息安全，而传统防火墙由于不具备区分端口和应用的能力，以至于传统防火墙仅仅只能防御传统的攻击，基于应用层的攻击则毫无办法。从2011年开始，国内厂家通过多年的技术积累，开始推出下一代防火墙，在国内从第一家推出真正意义的下一代防火墙的网康科技开始，至今包扩东软，天融信等在内的传统防火墙厂商也开始相互3 效仿，陆续推出了下一代防火墙，下一代防火墙具备应用层分析的能力，能够基于不同的应用特征，实现应用层的攻击过滤，在具备传统防火墙、IPS、防毒等功能的同时，还能够对用户和内容进行识别管理，兼具了应用层的高性能和智能联动两大特性，能够更好的针对应用层攻击进行防护。五）数据库防火墙针对数据库恶意攻击的阻断能力虚拟补丁技术：针对CVE公布的数据库漏洞，提供漏洞特征检测技术。高危访问控制技术：提供对数据库用户的登录、操作行为，提供根据地点、时间、用户、操作类型、对象等特征定义高危访问行为。SQL注入禁止技术：提供SQL注入特征库。返回行超标禁止技术：提供对敏感表的返回行数控制。SQL黑名单技术：提供对非法SQL的语法抽象描述。 4.3防火墙的使用技巧 一、所有的防火墙文件规则必须更改。尽管这种方法听起来很容易，但是由于防火墙没有内置的变动管理流程，因此文件更改对于许多企业来说都不是最佳的实践方法。如果防火墙管理员因为突发情况或者一些其他形式的业务中断做出更改，那么他撞到枪口上的可能性就会比较大。但是如果这种更改抵消了之前的协议更改，会导致宕机吗？这是一个相当高发的状况。防火墙管理产品的中央控制台能全面可视所有的防火墙规则基础，因此团队的所有成员都必须达成共识，观察谁进行了何种更改。这样就能及时发现并修理故障，让整个协议管理更加简单和高效。 二、以最小的权限安装所有的访问规则。另一个常见的安全问题是权限过度的规则设置。防火墙规则是由三个域构成的：即源（IP地址），目的地（网络/子网络）和服务（应用软件或者其他目的地）。为了确保每个用户都有足够的端口来访问他们所需的系统，常用方法是在一个或者更多域内指定打来那个的目标对象。当你出于业务持续性的需要允许大范围的IP地址来访问大型企业的网络，这些规则就会变得权限过度释放，因此就会增加不安全因素。服务域的规则是开放65535个TCP端口的ANY。防火墙管理员真的就意味着为黑客开放了65535个攻击矢量？ 三、根据法规协议和更改需求来校验每项防火墙的更改。在防火墙操作中，日常工作都是以寻找问题，修正问题和安装新系统为中心的。在安装最新防火墙规则来解决问题，应用新产品和业务部门的过程中，我们经常会遗忘防火墙也是企业安全协议的物理执行者。每项规则都应该重新审核来确保它能符合安全协议和任何法规协议的内容和精神，而不仅是一篇法律条文。 四、当服务过期后从防火墙规则中删除无用的规则。规则膨胀是防火墙经常会出现的安全问题，因为多数运作团队都没有删除规则的流程。业务部门擅长让你知道他们了解这些新规则，却从来不会让防火墙团队知道他们不再使用某些服务了。了解退役的服务器和网络以及应用软件更新周期对于达成规则共识是个好的开始。运行无用规则的报表是另外一步。黑客喜欢从来不删除规则的防火墙团队。 五、每年至少对防火墙完整的审核两次。如果你是名信用卡活动频繁的商人，那么除非必须的话这项不是向你推荐的最佳实践方法，因为支付卡行业标准1.1.6规定至少每隔半年要对防火墙进行一次审核。五 总结目前校园网的建设中，核心交换机都采用三层交换机，在很大程度上支持了虚拟局域网（VLAN）技术,便于管理员对网络的管理和维护，以高效的网络硬件性能和低成本的优势保证了校园网的传输效率和安全性能。本文就是在第三层交换应用中结合VLAN技术，针对具体校园网的实际情况对网络进行“升级”重组，使该校园网有了质的飞跃，从而方便了相关人员的管理、使用和维护。通过本次课程设计我明白了课程设计是培养学生综合运用所学知识,发现,提出,分析和解决实际问题,锻炼实践能力的重要环节,是对学生实际工作能力的具体训练和考察过程.回顾起此次路由交换技术课程设计，至今我仍感慨颇多，的确，从选题到定稿，从理论到实践，在整整两星期的日子里，可以说得是苦多于甜，但是可以学到很多很多的的东西，同时不仅可以巩固了以前所学过的知识，而且学到了很多在书本上所没有学到过的知识。这次课程设计使我懂得了理论与实际相结合是很重要的，只有理论知识是远远不够的，只有把所学的理论知识与实践相结合起来，从理论中得出结论，才能真正为社会服务，从而提高自己的实际动手能力和独立思考的能力。在设计的过程中遇到问题，可以说得是困难重重，这毕竟第一次做的，难免会遇到过各种各样的问题，同时在设计的过程中发现了自己的不足之处，对以前所学过的知识理解得不够深刻，掌握得不够牢固，因此在以后的日子里，不光要学习理论知识，还要加强自己的动手能力！六 参考文献 斯桃枝 编著 路由协议与交换技术清华大学出版社 2012 百度百科 http:/baike.baidu.comSteve Rackley 著无线网络技术原理与应用电子工业出版社严春莹 等译.美Black，Dp构建交换式网络 电子工业出版社 1999罗拥军、梁裕 著网络设备配置基础 高等教育出版社 2007