网络系统集成方案设计.docx
《网络系统集成方案设计.docx》由会员分享,可在线阅读,更多相关《网络系统集成方案设计.docx(20页珍藏版)》请在冰点文库上搜索。
网络系统集成方案设计
河北工业职业技术学院
专项任务报告书
任务题目
四川农业学院网络系统集成方案设计
系别
计算机技术系
专业年级
14级网络技术
学生姓名
柏青何
学号
029
指导教师
车倩倩王文松
职称
高级工程师副教授
完成地点
苍穹数码技术股份有限公司河北分公司
日期
2017-05-10
河北工业职业技术学院
专项任务书
专项任务名称四川农业学院网络系统集成方案设计
姓名柏青何专业网络技术班级4班学号029
一、任务情形描述:
校园网是各类类型网络中一大分支,有着超级普遍的应用。
作为新技术的发源地,学校、尤其是高等学校和网络的关系十分紧密,网络最初是在校园里进行实验并取得成功的,许多网络新技术也是第一在校园网中取得成功,进而才推向社会的。
二、任务完成打算:
第一时期:
开始确立题目及大方向。
第二时期:
分析学校的具体需求
第三时期:
依照需求对网络系统进行计划与设计。
第四时期:
整体方案设计谋略
第五时期:
论文撰写及打印预备答辩。
三、打算答辩时刻:
日论文答辩
实习指导教师(签字):
系学生顶岗实习领导小组组长(签字):
年月日年月日
四川农业学院校园网络系统集成方案设计
设计者:
柏青何
指导教师:
王文松、车倩倩
一校园建筑物布局说明
1.学院概况
四川农业大学是一因此生物科技为特色,农业科技为优势,多学科和谐进展的国家“211工程”重点建设大学,也是教育部本科教学工作水平评估优秀高校。
现任党委书记邓良基教授、校长郑有良教授。
2.网络环境分析
四川农业大学包括三个校区,别离是雅安、都江堰、成都三个校区;成都区离雅安去区不远,三个校区物理上隔离。
为了最大程度上对学校各校区资源实现资源共享,结合考虑学校实际情形,建议各分校区与南院主校区实现专线相连。
本设计方案涉及成都校区的网络整体计划,实现了成都的具体实施方案,成都区网络核心区域拓扑图如下图:
图1成都校区网络拓扑图
二校园网络系统需求分析
1.功能需求
通过实地调查分析,校园网络应知足如下功能需求:
(1)将全校所有运算机连接到网络中,知足运算机教学科研、行政办公需要,具有完善的办公事务处置能力。
在网络上传输多种应用信息,用于教学、教务治理、通知通告、对外网站等应用。
(2)网络治理系统功能完善,操作简便,能治理到桌面台式机。
网络设立区域性平安防范方法,加载平安过滤。
禁止如P2P等占用高带宽的技术。
(3)结构合理,技术先进,确保3-5年内可不能更新换代,所设计网络应该具有高靠得住性和可扩展性,具有必然的冗余,容错能力强,确保信息处置平安保密。
(4)实现VLAN间的互通,方便不同行政部门或教学部门的互访和网络治理。
(5)连接至Internet。
2.技术需求分析
(1)路由技术:
路由协议工作在OSI参考模型的第3层,因此它的作用主若是在通信子网间路由数据包。
路由器具有在网络中传递数据时选择最正确途径的能力。
除能够完成要紧的路由任务,利用访问操纵列表(AccessControlList,ACL),路由器还能够用来完成以路由器为中心的流量操纵和过滤功能。
在本工程设计中,其内网用户不仅通过路由器接入因特网、内网用户之间也通过3层互换机上的路由功能进行数据包交换。
(2)互换技术:
现代互换技术还实现了第3层互换和多层互换。
高层互换技术的引入不但提高了校园网数据互换的效率,更大大增强了校园网数据互换效劳质量,知足了不同类型网络应用程序的需要。
(3)VLAN技术:
虚拟局域网(VirtualLAN,VLAN),VLAN将广播域限制在单个VLAN内部,减小了各VLAN间主机的广播通信对其他VLAN的阻碍。
在VLAN间需要通信的时候,能够利用VLAN间路由技术来实现。
当网络治理人员需要治理的互换机数量众多时,咱们能够利用VLAN中继协议(VlanTrunkingProtocol,VTP)简化治理,它只需在单唯一台互换机上概念所有VLAN。
然后通过VTP协议将VLAN概念传播到本治理域中的所有互换机上。
如此,大大减轻了网络治理人员的工作负担和工作强度。
(4)防火墙技术与DMZ:
针对不同资源提供不同平安级别的爱惜,还应该构建一个DMZ的区域,放置一些不含机密信息的公用效劳器,比如Web、Mail和FTP等。
如此来自外网的访问者能够访问DMZ中的效劳,但不可能接触到寄存在内网中的公司机密或私人信息等。
即便DMZ中效劳器受到破坏,也可不能对内网中的机密信息造成阻碍。
(5)链路聚合技术:
链路聚合(PortTrunking)技术,支持协议,是一种用在互换机与互换机之间扩大通信吞吐量、提高靠得住性的技术,也称为骨干连接。
当两台核心层互换机采纳聚合链路PortTrunking技术后,该技术能够使互换机之间连接最多4条负载均衡的冗余连接。
当某一台核心互换机显现故障或核心互换机与接入层/汇聚层互换机的某一条互联线路显现故障时,系统将通信业务快速自动切换到另一台正常工作的核心层互换机上,以使整个网络具有高容量、无阻塞、高靠得住的能力。
三校园网络系统设计计划
1.骨干网设计
随着校园网用户数量与新的应用需求不断增加,专门是网上多媒体及远程教育应用的展开,对校园网骨干带宽提出了新的更高的要的求因此校园网的骨干(即核心层互换机与汇聚层互换机之间或核心层互换机与效劳器之间的连接)采纳千兆以太网技术,在距离许诺的范围内,还应当尽可能采纳当前性价比最好的千兆铜缆以太网技术,例如1000Base-T。
1000Mbps以太网互换技术为骨干,能够做到1000Mbps全光缆到二级互换机,100Mbps到桌面。
2.层次化网络设计
依照本校网络的实际情形,网络层次应包括核心层、汇聚层和接入层三个层次。
接入层位于连接到网络的最终用户处,通常在用户之间提供第2层连接性,该层的设备必需具有具有下述功能:
低互换机端口本钱;高端口密度;连接到高层的可扩展上行链路;用户接入功能,如VLAN成员资格、数据流和协议过滤和效劳质量(QoS)。
汇聚层将校园网的接入层和核心层连接起来,该层的设备必需具有下述的功能:
聚集多台接入层设备;较高的第3层分组处置吞吐量;利用访问列表和分组过滤器提供平安和基于策略的连接;连接到核心层和接入层的高速连接具有可扩展性和弹性。
校园网的核心层连接所有的汇聚层设备,该层必需能够尽可能高效地互换数据流。
该层应具有下述功能:
第2层和第3层的吞吐量超级高;不执行高本钱或没必要要的分组处置(访问列表层、分组过滤);支持高可用性的冗余和弹性;高级Qos功能。
成都区网络设计的层次如以下图3所示:
图3网络设计图
3.网络冗余设计
由于大学网络规模庞大、涉及到的用户很多,若是网络专门是骨干网络显现任何的问题将致使专门大的不良阻碍,因此对网络的靠得住性和可用性要求很高。
网络的冗余设计除选择具有冗余设计的网络设备外,网络的冗余设计也十分重要,因此,成都区与雅安校区之间采纳双链路相连,四川农业成都去和雅安区核心层可采纳两台核心互换机,汇聚层互换机别离用两条线路接到这两台核心互换机上,即可实现线路的冗余。
冗余设计如图4:
图4冗余设计图
4.出口设计
为了给校园网用户提供一个快速稳固访问外部网络的通道,本方案设计采纳双出口设计,一条通过本地ISP接入Chinanet,另一条接入Cernet,以知足学校办公的需求。
设计如图5所示:
图5出口设计图
及VLAN地址计划
采纳的私有IP地址段,为校园网络提供丰裕的主机地址并采纳基于端口的VLAN划分方式。
单个VLAN能够利用多个地址段。
VLAN的划分基于各部门职能或机房数量。
其中南校区IP地址段和北校区IP地址段别离为与,以下为南校区IP地址与VLAN详细划分如图:
表1IP地址与VLAN详细划分
VLAN号
VLAN名称
IP网段
默认网关
说明
1
duomeiti
多媒体
2
yhjxl
一号教学楼
3
yhljf
一号楼机房
4
ehjxl
二号教学楼
5
shjxl
三号教学楼
6
tsdjyls
图书馆电子阅览室
7
sxqhl
实训7号楼
6.设备选型
校园网络骨干为千兆网络,百兆互换到桌面,保障所有效户同时挪用效劳资源时都能快速、流畅,充分发挥多媒体课室教学的作用同时保证所有效户同时上网顺畅,使校园网络的功能发挥得淋漓尽致。
为了实现网络设备的统一,本设计方案中完全采纳同一厂家的网络产品,即华为公司的网络设备构建。
全网利用同一厂商设备的益处是能够实现各类不同网络设备功能的相互配合和补充。
下面就介绍本案例中的设备型号及参数等信息:
图6设备型号及参数
四整体综合布线系统的设计思路
1.整体设计要点
四川农业学院综合布线系统的设计,将知足高带宽需求的运算机网络的互联,采纳适应FDDI,快速以太网,ATM网,支持万兆以太网等高速数据信息互换的骨干网。
咱们对四川农业学院综合布线系统进行了设计。
依照设打算分,雅安区所属运算机机房在三层运算机机房,都江堰区所属运算机机房在三层网络机房,成都去所属运算机网络中心机房在三层网络机房,运算机网络中心机房内设置核心层网络互换机,光纤配线架、效劳器等设备。
大楼整个网络系统采纳高性价比的六类综合布线系统。
数据骨干采纳八芯多模光缆,端接设备采纳机柜式光纤配线架,能够知足此刻先进的千兆骨干传输的要求,同时也能知足以后更高带宽的网络需求。
数据采纳六类4对非屏蔽双绞线铜缆。
配线间内水平千兆对绞线端接采纳48口模块式配线架。
2.设备间位置的确信
运算机网络机房,须要落实其各自的位置,以实现综合布线线工程。
3.弱电井位置的确信
弱电井作为弱电管线的要紧通道,不仅要方便治理,而且还要注意水平走线的距离等问题。
咱们依照河北河北工业职业技术学院的设计图纸和招标要求,以为弱电井的设置能够知足系统的需要。
4.信息点的设置
数据信息点的设计部份,我司以为,考虑到河北工业职业技术学院的系统的要求,数据插座全数采纳六类非屏蔽信息模块,采纳国际标准86型预埋盒安装,采纳双孔、单孔或四孔信息面板,光纤到机柜,采纳LC或SC接口模块安装。
5.治理间的设置
治理间设置各楼层,负责楼层信息点的配线治理,连接骨干光缆和水平光缆的配线架,整体设计思路如图7
图7治理间的设置
五校园综合网络平安
1.效劳器的平安配置
信息平安风险分析随着Internet网络急剧扩大和上网用户迅速增加,风险变得加倍严峻和复杂。
原先由单个运算机平安事故引发的损害可能传播到其他系统,引发大范围的瘫痪和损失;另外加上缺乏平安操纵机制和对Internet平安政策的熟悉不足,这些风险正日趋严峻,信息平安能够从以下几个方面来明白得:
(1)平安需求与目标
针对信息系统所面临的平安分析,通过可能造系统平安的五个部份,如何进行有效的防范,需从五方面进行:
①针对治理级平安:
须成立一套完整可行的信息平安治理制度,通过有效的系统治理工具,实现系统的平安运行治理与保护;
②对应用级平安:
须增强网络防病毒、防解决、漏洞治理、数据备份、数据加密、身份认证等,通过一系列信息平安软硬件设备建设平安防护体系;
③针对系统级平安:
须增强对效劳器、操作系统、数据库的运行监测,增强系统补丁的治理,通过双机(或两套系统)的形式保证核心系统运行,当发生故障时,能及时的提供备用系统和恢复;
④针对网络级平安:
须保证网络设备、网络线路的运行稳固,对核心层的网络设备和线路提供双路的冗余;
⑤针对物理级平安:
须保证数据的平安和系统的及时恢复,增强数据的远程异地备份和系统的异地容灾。
(2)全面的信息网络平安部系设计
①区分内外网,增强内部网络的平安防护:
找到网络的对外接口(互联网接口、上级门、下级单位、同级部门、第三方关联单位等其它非信任网络),在对外网络的接口处安装防火墙系统,通过防火墙实现内外网的隔离,保证内部网络的平安。
通过防火墙实现访问操纵,操纵内部用户的上网行为;通过防火墙验证访问内部的用户身份、访问权限等;通过入侵防护检测访问者的访问行为;因为数据在网络上的传输都是明文的,为了保证数据传输的平安性须对数据进行加密,能够通过防火墙的VPN模块或专用的VPN设备成立VPN通道。
目前,大部份防火墙的功能不同并非太大,性能成为选择防火墙的要紧指标,市场上的防火墙依照架构的不同,可分为三大类:
ASIC芯片、NP架构、传统的X86架构,ASIC芯片级的防火墙把大部份处置通过芯片来完成,再也不占用CPU资源,具有更好的处置性能。
②成立多层次、全方面的防病毒系统1、依照病毒寄放的环境,在所有效劳器和客户机上安装网络版防毒系统2、依照病毒传播的途径,在网关处安装网关防毒网关,在阅读网页、下载资料、收发邮件时进行有效的病毒防护3、在内部互换层,通过硬件的网络防毒墙对网络中的数据包进行检测,有效的进行网络层病毒、蠕虫、歹意解决行为的防护,爱惜内部网络的稳固与畅通。
单机的问题并非能对网络造成严峻的问题,网络中断或瘫痪造成的损失是庞大的。
③增强核心网络、核心应用的平安防护核心网络、效劳器群是一个网络的中心部份,应加倍注重平安的防范,为了避免来自外部和内部的解决,应在核心效劳器群前安装防火墙及入侵防护系统。
重点增强核心系统的平安防护;对操作系统及应用系统的漏洞及时的安装补丁为避免核心系统的运行显现固障,应付核心系统所在的网络线路进行冗余设计,并对互换机、路由器设备进行双路冗余。
同时,把安装重要应用系统的效劳器进行双机热备所有数据通过磁盘阵列或磁带机进行存储、备份、关于网站系统,能够通过主页防窜改系统、防DOS解决系统增强对网站的防护
2.防病毒软件及技术
(1)防病毒体系设计思路
为了构建一个强壮、有效的防病毒体系,再分析了校园网络架构及相关应用以后,针对潜在的病毒传播要挟,趋势科技建议采纳结合产品、防御策略、效劳为一体的防病毒体系。
由于校园网防病毒治理具有明显的地域性,为了方便集中治理,需要有一套切实可行的集中治理机制,以方便治理员实时掌控全市防病毒状况。
同时还要求按分支机构进行权限分派治理,不同分支机构的治理人员在中央控管体系中只能够治理到本分支机构范围内的防病毒软件,包括防病毒策略设定、病毒码及扫描引擎升级等。
(2)产品部署建议
依照运算机网络潜在的病毒要挟分析,结合趋势科技全系列防毒产品的特性,由点及面,全方位部署,完全截断病毒入侵的所有途径。
(3)效劳器防护
趋势科技防毒墙效劳器版ServerProtect趋势科技Serverprotect能够对Windows2000/NT、Novell、NertWare或LinuxRedhat网络上的档案效劳器,提供全面性的病毒防护。
ServerProtect是通过直觉的、可携式的主控台来操作,它提供病毒疫情治理、集中式病毒扫描、病毒码更新、事件报告和防毒配置等功能。
策略:
防毒软件可通过单一的主控台来治理;安装时能够依照网域分组,同时替多部效劳器进行安装;利用集中式报表,治理人员能够监看整个网络的状态;通过TaskManager,治理人员能够轻松地完成各类病毒保护工作,例如设定扫毒模式、更新病毒码和程序、编辑病毒报告,和设定实时扫描的参数等。
自动下载和分发病毒码、扫毒引擎和程序文件;支持MPLSVPN和IPSec等VPN;网络层防病毒,产品简介:
TrendMicroTMNetworkVirusWallTM是基于网络层,针对企业网络内网平安治理的设备。
可协助公司企业避免ARP病毒解决,在暴发病毒疫情时隔间高危险的网络脆弱环节,在网络层部署由趋势科技提供的平安防御策略,并能在缺乏防毒爱惜的设备等潜在感染源连接网络时,予以隔离和清除。
不同于只监测平安要挟或提供信息的平安解决方案,NetworkVirusWall协助企业采取准确、快速的平安方法,而且主动侦测、预防围堵与进行善后清理。
当企业在网络的各网段之间部署NetworkVirusWall以后,即可大幅降低平安要挟、网络宕机时刻以疫情治理的负担。
同时,NetworkVirusWall支持趋势科技的「企业平安防护策略」(EnterpriseProtectionStrategy)。
(4)NVW提供以下要紧功能:
①避免ARP欺骗l
主动免疫,识别解决者发送的ARP欺骗包,并阻止发送被动防护,爱惜终端免受ARP欺骗包阻碍
②网络流量侦测与网络病毒过滤
在网络层清除带毒数据包;分析网络数据流量,定位可疑运算机;利用智能型规那么,提供关于网络病毒疫情的初期预警信息
③隔离薄弱环节
侦测带有平安漏洞的运算机,预防病毒利用网络上的薄弱环节入侵;暴发病毒疫情时,阻止未安装相关补丁程序的运算机访问网络资源
④强制实施平安策略
⑤隔离特定IP地址段
3.防火墙的配置
安装位置:
局域网与路由器之间;WWW效劳器与托管机房局域网之间;
(1)局域网防火墙作用:
①实现单向访问,许诺局域网用户访问Internet资源,可是严格限制Internet用户对局域网资源的访问;
②通过防火墙,将整个局域网划分Internet,DMZ区,内网访问区这三个逻辑上分开的区域,有利于对整个网络进行治理;
③局域网所有工作站和效劳器处于防火墙地整体防护之下,只要通过防火墙设置的修改,就能够有限绝大部份避免来自Internet上的解决,网络治理员只需要关注DMZ区对外提供效劳的相关应用的平安漏洞;
④通过防火墙的过滤规那么,实现端口级操纵,限制局域网用户对Internet的访问;
⑤进行流量操纵,确保重要业务对流量的要求;
⑥通过过滤规那么,以时刻为操纵要素,限制大流量网络应用在上班时刻的利用。
⑦通过防火墙的过滤规那么,限制Internet用户对WWW效劳器的访问,将访问权限操纵在最小的限度,在这种情形下网络治理员能够忽略效劳器系统的平安漏洞,只需要关注WWW应用效劳软件的平安漏洞;
⑧通过过滤规那么,对远程更新的时刻、来源(通过IP地址)进行限制。
4.数据备份
数据资源是一个单位的最为重要资源,一但数据丢失所造成的损失是无法弥补的。
因此必需加对数据的保留和备份。
此刻一样经常使用的数据保留方式都是通过磁盘阵列来完成,可是,磁盘阵列的稳固性是不能保证的。
一样情形,能够通过磁带机对磁盘阵列的数据进行再次备份也能够通过另一台磁盘阵列进行数据的彼此备份通过专用的备份软件实现对数据库、文件资源、应用系统及整个的应用效劳系统进行备份并提供相应用恢复方案为避免地震、火灾、雷电等自然灾害,须将重要数据在异地进行备份,若是系统的运行不能中断,就需要在异地进行系统的容灾
5.后期网络保护与培训
在平安效劳方案中,采纳不同的平安效劳,按期对网络进行检测、改良,以达到动态增进网络平安性,最大限度发挥平安设备作用的目的。
平安效劳分为以下几类:
(1)网络拓扑分析
效劳对象:
整个网络
效劳周期:
半年一次
效劳内容:
依照网络的实际情形,绘制网络拓扑图;分析网络中存在的平安缺点并提出整改建议意见。
效劳作用:
针对网络的整体情形,进行整体、框架性分析。
一方面,通过网络拓扑分析,能够形成网络整体拓扑图,为网络计划、网络日常治理等治理行为提供必要的技术资料;另一方面,通过整体的平安性分析,能够找出网络设计上的平安缺点,找到各类网络设备在协同工作中可能产生的平安问题。
(2)中心机房治理制度制定和修改
效劳对象:
中心机房
效劳周期:
半年一次
效劳内容:
协助用户制订并修改机房治理制度。
制度内容涉及人员进出机房的记录制度、设备进出机房的记录制度、设备配置修改的记录制度等。
效劳作用:
严格操纵中心机房的人员进出、设备进出并及时记录设备的配置更新情形,有助于网络核心设备的监控,确保网络的正常运行。
(3)操作系统补丁升级
效劳对象:
效劳器、工作站、终端
效劳周期:
不按期
效劳内容:
一旦显现重大平安补丁,及时更新所有相关系统;显现大型补丁(如微软的SP),及时更新所有相关系统;
效劳作用:
通过及时、有效的补丁升级,能够有效避免局域网主机和效劳器彼此之间的解决,降低现代网络蠕虫病毒对网络的整体阻碍,增加网络带宽的有效利用率。
(4)防病毒软件病毒库按期升级
效劳对象:
防病毒效劳器、安装防病毒客户端的终端
效劳周期:
每周一次
效劳内容:
防病毒效劳器通过Internet更新病毒库;防病毒效劳器强制所有在线客户端更新病毒库;
效劳作用:
通过不断升级病毒库确保防病毒软件能够及时发觉新的病毒。
(5)效劳器按期扫描、加固
效劳对象:
效劳器
效劳周期:
半年一次
效劳内容:
利用专用的扫描工具,在用户网络治理人员的配合,对要紧的效劳器进行扫描。
效劳作用:
找出对应效劳器操作系统中存在的系统漏洞;找出效劳器对应应用效劳中存在的系统漏洞;找出平安强度较低的用户名和用户密码。
(6)防火墙日记备份、分析
效劳对象:
防火墙设备
效劳周期:
一周一次
效劳内容:
导出防火墙日记并进行分析。
效劳作用:
通过流量简图找出流量异样的时刻段,通过检查流量较大的主机,找出局域网中的异样主机。
(7)入侵检测等平安设备日记备份
效劳对象:
入侵检测等平安设备
效劳周期:
一周一次
效劳内容:
备份平安设备日记。
效劳作用:
避免日记过大致使检索、分析的难度,另一方面也有利于事后的检查。
(8)效劳器日记备份
效劳对象:
要紧效劳器(如WWW效劳器、文件效劳器等)
效劳周期:
一周一次
效劳内容:
备份效劳器访问日记
效劳作用:
避免日记过大致使检索、分析的难度,另一方面也有利于事后的检查。
(9)黑客渗透
效劳对象:
对Internet提供效劳的效劳器
效劳周期:
半年一次
效劳内容:
效劳商在用户指定的时刻段内,通过Internet,利用各类工具在不破坏应用的前提下解决效劳器最终提供检测报告。
效劳作用:
先于黑客进行探测性解决以检测系统漏洞。
依照最终检测报告进一步增强系统的平安性
(10)设备备份系统
效劳对象:
骨干互换机、路由器等网络骨干设备
效劳周期:
实时
效劳内容:
依照用户的网络情形,提供骨干互换机、路由器等核心网络设备的备份。
备份设备能够在段时刻内替代网络中实际利用的设备。
效劳作用:
一旦核心设备显现故障,利用备件替换以减少网络故障时刻。
(11)信息备份系统
效劳对象:
所有重要信息
效劳周期:
依照网络情形定完全备份和增量备份的时刻
效劳内容:
按期备份电子信息
效劳作用:
避免核心效劳器崩溃致使网络应用瘫痪。
(12)按期整体平安分析报告
效劳对象:
整个网络
效劳周期:
半年一次
效劳内容:
综合网络拓扑报告、各类平安设备日记、效劳器日记等信息,对网络进行整体平安综合性分析,分析内容包括网络平安现状、网络平安隐患分析,并提出改良建议意见。
效劳作用:
提供综合性、全面的平安报告,针对全网络进行平安性讨论,为全面提高网络的平安性提供技术资料。
以上是效劳解决方案,众所周知,平安产品一样是共性的产品,通过平安效劳,能够配制出适合本网络的平安设备,使得平安产品在特定的网络中发挥最大的效能,使得各类设备协同工作,增强网络的平安性和可用性。
参考文献
[1]乔正洪《运算机网络技术与应用》清华大学出版社2015
[2]张立云《运算机网络基础教程》清华大学出版社2016
[3]石志国,薛为民《运算机网络平安教程》北方交通大学出版2014
[4]杨卫东《网络系统集成与工程设计》科学出版社2016