网络系统组建与管理.docx
《网络系统组建与管理.docx》由会员分享,可在线阅读,更多相关《网络系统组建与管理.docx(48页珍藏版)》请在冰点文库上搜索。
网络系统组建与管理
郑州轻工业学院
实训报告
实训名称:
网络系统组建与管理
姓名:
院(系):
计算机与通信工程学院
专业班级:
信息安全09-04
学号:
520913080429
指导教师:
刘书如熊坤贺蕾
尹毅峰张然蔡增玉
成绩:
郑州轻工业学院
实训任务书
一、题目
网络系统组建与管理。
二、实训的性质和任务
网络系统组建与管理实训是瞄准网络工程专业学生的就业方面知识和能力需求而制定,主要的目的是要求学生通过实训可以进行企业网络的设计、规划、设备的选型、各种安全策略的制定、各种服务的配置等。
三、实训的基本要求.
实训的基本要求:
1、网络的规划与设计;2、网络设备选型;3、网络设备的互连
4、网络安全策略的制定;5、网络各种服务的配置;
四、最终提交实训报告
需求说明
1.1学院概况
郑州轻工业学院经国务院批准创建于1977年,原隶属国家轻工业部,1998年转为中央和河南省共建,以地方管理为主,是一所以工科为主,工、理、文、经、管、法、教多学科协调发展的高等学校。
学校地理位置优越,校园环境优美,建筑错落有致,办学条件优良,是河南省文明学校。
学校设有计算中心、现代教育技术中心、分析测试中心、网络中心、食品工程技术研究中心;拥有体育场、体育馆、标准游泳池等良好的体育设施;图书馆馆藏图书资料169万余册,现有中国期刊全文数据库、人大报刊资料数据库、万文数据库、SCOPUS数据库、ElsevierSDOL电子期刊数据库等27个数据库,并配备有电子阅览、语音听力等现代化设备;高速宽带信息网便捷地连通教学楼、实验楼、办公楼、学生宿舍、教工宿舍等校园的每一角落。
学校是“河南省高校数字化校园建设示范工程单位”。
学校现设有艺术设计学院、材料与化学工程学院、电气信息工程学院、机电工程学院、计算机与通信工程学院、经济与管理学院、食品与生物工程学院、政法学院、继续教育学院、国际教育学院、软件学院等11个二级学院,设有外语系、技术物理系、信息与计算科学系、体育系、艺术教育中心等5个教学系(中心)。
学校现有50个本科专业,46个硕士学位授权二级学科点,拥有工程硕士、艺术硕士、工商管理硕士3个授权类别全日制硕士专业学位授权点16个。
目前,学校有研究生、本科生等各类在校生20000余名;现有专任教师980人,其中双聘中国工程院院士3人,省级院士工作站2个,省级特聘教授岗位8个,有5个河南省科技创新团队和1个河南省高校科技创新团队;有享受政府特殊津贴者、省管优秀专家、河南省学术技术带头人、河南省跨世纪学术和技术带头人培养对象等高层次人才100余人。
1.2网络系统分析
1.2.1校园网用提供功能
连接校内所有教学楼、实验室、宿舍楼中的PC。
同时支持5000用户浏览Internet。
提供丰富的网络服务,实现广泛的软件,硬件资源共享,包括:
提供基本的Internet网络服务功能:
如电子邮件、对外个人主页服务、ftp服务、域名服务等。
1.2.2校园网对主机系统的主要要求
主机系统采用国际上较新的主流技术,并具有良好的向后扩展能力;
主机系统应具有高的可靠性,能长时间连续工作,并有容错措施;
支持通用大型数据库,如SQL、Oracle等;
具有广泛的软件支持,软件兼容性好,并支持多种传输协议;
能与Internet互联,可提供互联网的应用,如WWW浏览服务、FTP文件传输服务、E-mail电子邮件服务等服务;
支持SNMP网络管理协议,具有良好的可管理性和可维护性;
1.2.3校园网络系统设计方案应满足如下要求
网络方案应采用成熟的技术,并尽可能采用先进的技术;
采用国际统一标准,以拥有广泛的支持厂商,最大限度的采用同一厂家的产品;
方案应合理分配带宽,使用户不受网上“塞车”的影响;
充分考虑未来可能的应用,如桌面将承受大型应用软件和多媒体传输需求的压力;
该网络方案要具有高扩展性。
能为用户未来数目的扩展具有调整、扩充的手段和方法;
校园网对网络设备的要求:
高性能;所有网络设备都应足够的吞吐量;
高可靠性和高可用性;应考虑多种容错技术;
可管理性;所有网络设备均可用适当的网管软件进行监控、管理和设置;
采用国际统一的标准;
高性价比:
尽最大可能提高设备的性价比。
网络规划
2.1网络规划
在当今信息产业蓬勃发展的今天,信息已经成为一种关键性的战略资源,计算机技术在人们的生活中已经起到了越来越重要的作用。
随着网络的逐步普及,企业网络的建设是企业向信息化发展的必然选择,企业网络是一个非常庞大而复杂的系统,它不仅为现代化发展、综合信息管理和办公自动化等一系列应用提供基本操作平台,而且能提供多种应用服务,使信息能及时、准确地传送给各个系统。
那么就需要为网络提供解决方案,根据网络用户的需求,推出整体网络规划
一、网络系统设计规划
1、网络体系结构
系统体系结构总体上将采用“Browser/Server”(B/S)的概念,它是随着Internet技术的兴起,对C/S结构的一种变化或者改进的结构。
在这种结构下,用户工作界面是通过WWW浏览器来实现,极少部分事务逻辑在前端(Browser)实现,但是主要事务逻辑在服务器端(Server)实现,形成所谓三层3-tier结构。
.Intranet是在Intemet网络基础上发展起来的一种企业内部网络技术,他可以提供与Intemet相同的WWW、E-mail、FTP、VPN等服务,是中小企业开展信息管理和电子商务的新一种组网技术,它为中小企业管理提供了多种以电子方式创建、访问和交换信息的途径,代替了传统的文件、电话、面谈等方式,提高了中小企业内部管理的效率和信息交换的能力。
特别适合中小企业的信息化管理。
2、组网技术选择
选择哪种技术,应从两方面加以考虑:
一是网络需求的特点,中小企业的行业特点要求网络系统速度快,稳定性好,具有扩展性和开放性。
其次要考虑技术产品的成熟稳定性,采用先进且成熟的网络技术,可保护投资,降低建网和使用的费用。
根据目前网络技术的发展趋势。
在高速网络中快速以太网、FDDI和ATM技术代表了当前网络技术的发展方向。
不过ATM技术尚未完伞成熟,也没有完整的国际标准,虽有产品问世,但各厂家产品相互兼容性差,并且价格昂贵。
因此即使其带宽高达622Mbps,目前也不太适合作为骨干信息网使用,FDDI和快速以太网均是成熟而且标准的高速网络技术。
3、网络拓扑结构设计
在网络拓扑结构上采用星型网络拓扑结构。
星型网络拓扑结构具有安全、可靠、易扩展等特点,以交换机为中心,服务器和PC工作站直接连接到交换机上,组成网络。
通过相应的管理软件,在不改变网络节点物理位置的情况下,可对网络的逻辑结构进行合理的划分,即建立虚拟网络,以达到网络信息流量的有效控制。
本网络分为主干网和接入网两层结构,主干网为第一层,由千兆中心路由交换机,服务器和接入交换机组成,它们之间由千兆三层交换式以太网为主构成网络主干。
各楼的接入网为第二,接入交换机选用10/100M自适应交换机,千兆网线路上联,PC工作站以接入交换机为中心直接连接,组成各子局域网,它们之间有双绞线连接。
与外界的互联主要通过网络中心来完成。
2.2子网划分
由网络拓扑图得出学校的网络结构划分图,把学校的网络划分为局域网,外部互联网。
具体的划分分配子网和相关的IP地址分配如下所示:
、
1学校局域网络划分
学校资源局域网(型号2950T-24)
人力资源部局域网子网网段192.163.1.2/24---192.163.1.254/24
Pc1IP地址192.163.1.2/24
Pc2IP地址192.163.1.3/24
……
实验室局域网(交换机型号2950T-24)
财务部局域网子网网段192.163.2.2/24---192.163.2.254/24
Pc7IP地址192.163.2.2/24
……
宿舍楼局域网(交换机型号2950T-24)
销售部局域网网段192.163.3.2/24---192.163.3.254/24
Pc3IP地址192.163.3.2/24
Pc2IP地址192.163.3.254/24
……
教务网局域网(交换机型号2950T-24)
市场部局域网网段192.163.4.2/24---192.163.4.254/24
Pc4IP地址192.163.4.2/24
Pc5IP地址192.163.4.3/24
Pc6IP地址192.163.4.4/24
……
图书馆局域网(交换机型号2950T-24)
生产部局域网网段192.163.5.2/24---192.163.5.254/24
Pc8IP地址192.163.5.2/24
Pc9IP地址192.163.5.3/24
路由器配置
中心路由器
Router>enable
Router#configureterminal
端口1(Eth8/0)
Router(config)#interfaceEth8/0
Router(config-if)#ipaddress192.163.1.1/24255.255.255.0
Router(config-if)#noshutdown
端口2(Eth9/0)
Router(config)#interfaceEth9/0
Router(config-if)#ipaddress192.163.2.1/24255.255.255.0
Router(config-if)#noshutdown
端口3(Fa0/0)
Router(config)#interfaceFa0/0
Router(config-if)#ipaddress192.163.3.1/24255.255.255.0
Router(config-if)#noshutdown
端口4(Fa1/0)
Router(config)#interfaceFa1/0
Router(config-if)#ipaddress192.163.4.1/24255.255.255.0
Router(config-if)#noshutdown
端口5(Eth7/0)
Router(config)#interfaceEth7/0
Router(config-if)#ipaddress192.163.5.1/24255.255.255.0
Router(config-if)#noshutdown
端口6(Eth7/0)
Router(config)#interfaceSe2/0
Router(config-if)#ipaddress192.163.8.1/24255.255.255.0
Router(config-if)#noshutdown
●出口路由器IP配置
Router>enable
Router#configureterminal
端口1(Se3/0)
Router(config)#interfaceSe3/0
Router(config-if)#ipaddress192.163.8.2/24255.255.255.0
Router(config-if)#noshutdown
端口(Fa0/0)
Router(config)#interfaceFa0/0
Router(config-if)#ipaddress202.196.3.11/24255.255.255.0
Router(config-if)#noshutdown
端口3(Se2/0)
Router(config)#interfaceSe2/0
Router(config-if)#ipaddress202.196.4.1/24255.255.255.0
Router(config-if)#noshutdown
●路由服务配置
为了实现网络的联通,分别配置了动态路由。
配置如下:
中心路由器动态路由设置(routerrip)
Router(config-router)#network192.163.1.00.0.0.255
Router(config-router)#network192.163.2.00.0.0.255
Router(config-router)#network192.163.3.00.0.0.255
Router(config-router)#network192.163.4.00.0.0.255
Router(config-router)#network192.163.5.00.0.0.255
出口路由器动态路由设置(routerrip)
Router(config-router)#network192.163.7.00.0.0.255
Router(config-router)#network192.163.8.00.0.0.255
Router(config-router)#network202.196.3.00.0.0.255
访问控制列表设置
Router(config)#access-list1deny202.196.2.00.0.0.0
Router(config)#access-list1any
路由器时钟配置
中心路由器时钟配置
Router0(config-if)#clockrate4000000
出口路由器时钟配置
Router1(config-if)#clockrate4000000
由于仿真器的功能限制,有许多的功能还不能实现,这就需要公司在实际需要下适合的选择安装适当的服务。
防火墙功能在仿真器上不能凸显出来,公司就要购买相关的软件和硬件防火墙确保公司网络的正常运行。
2.3线路的设置
尽量高性能;所有网络设备都应该有足够的吞吐量,以满足用户对网速的需求;高可用性和高可靠性;应考虑多种容错技术,以满足用户能安全可靠的利用网络资源;可管理性;所有网络设备均可用的网络软件进行监控、管理和设置,以防止网络被入侵操控;当然同时要采用国际统一的标准,以提高设备的可扩展性;高性价比;尽可能最大限度的提高设备的性价比,以节约资金,更好的服务用户
第一章网络设备的选型
3.1对网络设备的要求
网络的连通性
企业各计算机等终端设备之间良好的连通性是需要满足的基本条件,网络环境就是提供需要通信的计算机设备之间互通的环境,以实现丰富多彩的网络应用。
网络的可靠性
许多现有网络在初始建设时不仅要考虑到如何实现数据传输,还要充分考虑网络的冗余与可靠,否则一旦运行过程网络发生故障,系统又不能很快恢复工作,所带来的后果便是企业的经济损失,影响企业的声誉和形象。
网络的安全性
在商品竞争日益激烈的今天,企业对网络的安全性有非常高的要求。
在很多企业在局域网和广域网络中传递的数据都是相当重要的信息,因此一定要保证数据安全保密,防止非法窃听和恶意破坏,在网络建设的开始就考虑采用严密的网络安全措施。
网络的可管理性
随着网络规模的日益扩大,网络设备的数据和种类日益增加,网络应用日益多样化,网络管理也日益重要。
良好的网络管理要重视网络管理人力和财力的事先投入,主动控制网络,不仅能够进行定性管理,而且还能够定量分析网络流量,了解网络健康状况。
有预见性地发现网络上的问题,并将其消灭于萌芽状态,降低网络故障所带来的损失,使网络管理的投入达到事半功倍的效果。
网络的扩展性
网络建设为未来的发展提供良好的扩展接口是非常理智的选择。
随着企业规模的扩大、业务的增长,网络的扩展和升级是不可避免的问题。
思科通过模块化的网络结构设计和模块化的网络产品,能为用户的网络提供很强的扩展和升级能力。
网络的多媒体支持
由于视频会议、视频点播、IP电话等多媒体技术的日趋成熟,网络传输的数据已不再是单一数据了,多媒体网络传输成为世界网络技术的趋势。
企业着眼于未来,对网络的多媒体支持是有很多需求的。
同时,在网络带宽非常宝贵的情况下,丰富的QoS机制,如:
IP优先、排队、组内广播和链路压缩等优化技术能使实时的多媒体和关键业务得到有效的保障。
网络的高性能
随着互联网的发展,上网用户的不断增多,访问和数据传输量剧增,网络负荷也相应加重;随着企业对多媒体技术的广泛应用,视频数据、音频数据也越来越耗费网络带宽。
如果网络没有高性能,会导致系统反应缓慢,甚至在业务量突增时,发生系统崩溃、中止和异常等现象。
高性能的网络也是一些关键业务或特殊应用的必备条件。
3.2路由器和PIX防火墙
CiscoPIX防火墙配置介绍
因为路由器的配置在安全性方面和PIX防火墙是相辅相成的,所以路由器的配置实例也一并列出。
PIX防火墙1.设置PIX防火墙的外部地址:
ipaddressoutside131.1.23.22.设置PIX防火墙的内部地址:
ipaddressinside10.10.254.
本文介绍一个PIX防火墙实际配置案例,因为路由器的配置在安全性方面和PIX防火墙是相辅相成的,所以路由器的配置实例也一并列出。
PIX防火墙
1.设置PIX防火墙的外部地址:
ipaddressoutside131.1.23.2
2.设置PIX防火墙的内部地址:
ipaddressinside10.10.254.1
3.设置一个内部计算机与Internet上计算机进行通信时所需的全局地址池:
global1131.1.23.10-131.1.23.254
4.允许网络地址为10.0.0.0的网段地址被PIX翻译成外部地址:
nat110.0.0.0
5.网管工作站固定使用的外部地址为131.1.23.
11:
static131.1.23.1110.14.8.50
6.允许从RTRA发送到网管工作站的系统日志包通过PIX防火墙:
conduit131.1.23.11514udp131.1.23.1255.255.255.255
7.允许从外部发起的对邮件服务器的连接(131.1.23.10):
mailhost131.1.23.1010.10.254.3
8.允许网络管理员通过远程登录管理IPX防火墙:
telnet10.14.8.50
9.在位于网管工作站上的日志服务器上记录所有事件日志:
syslogfacility20.7
sysloghost10.14.8.50
路由器RTRA
RTRA是外部防护路由器,它必须保护PIX防火墙免受直接攻击,保护FTP/HTTP服务器,同时作为一个警报系统,如果有人攻入此路由器,管理可以立即被通知。
1.阻止一些对路由器本身的攻击:
Noservicetcpsmall-servers
2.强制路由器向系统日志服务器发送在此路由器发生的每一个事件,包括被存取列表拒绝的包和路由器配置的改变;这个动作可以作为对系统管理员的早期预警,预示有人在试图攻击路由器,或者已经攻入路由器,正在试图攻击防火墙:
loggingtrapdebugging
3.此地址是网管工作站的外部地址,路由器将记录所有事件到此主机上:
logging131.1.23.11
4.保护PIX防火墙和HTTP/FTP服务器以及防卫欺骗攻击。
5.禁止任何显示为来源于路由器RTRA和PIX防火墙之间的信息包,防止欺骗攻击:
access-list110denyip131.1.23.00.0.0.255anylog
6.防止对PIX防火墙外部接口的直接攻击并将任何企业连接PIX防火墙外部接口的事件记录到系统日志服务器:
access-list110denyipanyhost131.1.23.2log
7.允许已经建立的TCP会话的信息包通过:
access-list110permittcpany131.1.23.00.0.0.255established
8.允许和FTP/HTTP服务器的FTP连接:
access-list110permittcpanyhost131.1.23.3eqftp
9.允许和FTP/HTTP服务器的FTP数据连接:
access-list110permittcpanyhost131.1.23.2eqftp-data
10.允许和FTP/HTTP服务器的HTTP连接:
access-list110permittcpanyhost131.1.23.2eqwww
11.禁止和FTP/HTTP服务器的别的连接并将何企图连接FTP/HTTP的事件记录到系统日志服务器任:
access-list110denyipanyhost131.1.23.2log
12.允许其他预定在PIX防火墙和路由器RTRA之间的流量:
access-list110permitipany131.1.23.00.0.0.255
13.限制可以远程登录到此路由器的IP地址。
14.只允许网管工作站远程登录到此路由器,当你想从Internet管理此路由器时,应对此存取控制列表进行修改:
access-list10permitip131.1.23.11
路由器RTRB
RTRB是内部网防护路由器,它是你的防火墙的最后一道防线,是进入内部网的入口。
1.将此路由器上的所有活动记录到网管工作站上的日志服务器,包括配置的修改:
loggingtrapdebugginglogging10.14.8.50
2.access-list110permitudphost10.10.254.00.0.0.255
3.禁止所有别的从PIX防火墙发来的信息包:
access-list110denyipanyhost10.10.254.2log
4.允许邮件主机和内部邮件服务器的SMTP邮件连接:
access-listpermittcphost10.10.254.310.0.0.00.255.255.255eqsmtp
5.禁止别的来源与邮件服务器的流量:
access-listdenyiphost10.10.254.310.0.0.00.255.255.
6.防止内部网络的信任地址欺骗:
access-listdenyipany10.10.254.00.0.0.255
7.允许所有别的来源于PIX防火墙和路由器RTRB之间的流量:
access-listpermitip10.10.254.00.0.0.25510.0.0.00.255.
8.限制可以远程登录到此路由器的IP地址。
9.只允许网管工作站远程登录到此路由器,当想从Internet管理此路由器时,应对此存取控制列表进行修改
access-list10permitip10.14.8.50按以上设置配置好PIX防火墙和路由器后,PIX防火墙外部的攻击者将无法在外部连接上找到可以连接的开放端口,也不可能判断出内部任何一台主机的IP地址,即使告诉了内部主机的IP地址
access-list10permitip10.14.8.50
按以上设置配置好PIX防火墙和路由器后,PIX防火墙外部的攻击者将无法在外部连接上找到可以
升级会员 