局域网组网技术课程设计报告1.docx
《局域网组网技术课程设计报告1.docx》由会员分享,可在线阅读,更多相关《局域网组网技术课程设计报告1.docx(12页珍藏版)》请在冰点文库上搜索。
局域网组网技术课程设计报告1
《校园网组网技术》课程设计报告
一、设计时间
二、设计地点
三、设计目的
四、设计小组成员
五、指导教师
六、设计课题
1、校园局域网组建
设某校需要建立校园网,主要有以下机构组成:
校机关、8个系(校机关在1号楼,8个系分别在2到9号楼),还有一个网络中心位于10号楼,各单位距离网络中心在1000米以内。
(1)以校网络中心为中心,建立一个覆盖全校的校园网,为全校师生提供校园内部的电子邮件、以及Internet接入等服务,并要留有一定的扩展余地。
(2)校网络中心和各系办、校机关合在一起作为一个子网。
(需要划分子网或做VLAN)
(3)网络中心要建立两个服务器:
一个www服务器,一个ftp服务器。
各单位的机房配置情况如下:
校机关20台PC机,网络中心20台PC机,各系部各50台PC机。
七、方案及可行性分析
方案:
7.1网络中心三台服务器(WWW服务器,FTP服务器,电子邮件服务器);16口千兆路由器为主路由器。
7.22—9号楼各一个4口千兆路由器与主路由器相连(采用多模光纤);各楼的一个24口百兆交换机与4口百兆路由器相连(采用双绞线);PC机与交换机相连(采用双绞线)。
7.31号和10号楼只用一个24口百兆交换机与主路由器相连(采用多膜光纤)。
7.4服务器采用RedHatEnterpriseLinux系统
7.5IP地址分配表
VLAN号
VLAN名称
IP网段
子网掩码
说明
VLAN1
GL
192.168.0.0—192.168.0.255
255.255.255.0
网络中心VLAN(1,10号楼)
VLAN10
JSJX
192.168.10.0—192.168.10.255
255.255.255.0
计算机系VLAN(2号楼)
VLAN20
WDX
192.168.20.0—192.168.20.255
255.255.255.0
物电系VLAN(3号楼)
VLAN30
HHX
192.168.30.0—192.168.30.255
255.255.255.0
化环系VLAN(4号楼)
VLAN40
ZWX
192.168.40.0—192.168.40.255
255.255.255.0
中文系VLAN(5号楼)
VLAN50
WYX
192.168.50.0—192.168.50.255
255.255.255.0
外语系VLAN(6号楼)
VLAN60
TMY
192.168.60.0—192.168.60.255
255.255.255.0
土木院VLAN(7号楼)
VLAN70
JGX
192.168.70.0—192.168.70.255
255.255.255.0
经管系VLAN(8号楼)
VLAN80
CGY
192.168.80.0—192.168.80.255
255.255.255.0
城管院VLAN(9号楼)
7.6WWW服务器配置
7.6.1 Apache2.0的安装
Apache2.0的配置与安装和Apache1.3的有很大的不同,他像其它的开源软件一样,使用libtool和autoconf来配置环境。
但不管是Apache几通常都有两种安装方式:
源代码安装和RPM包安装。
这两种安装类型各有特色,RPM包安装不需要编译,而源代码安装则需要先配置编译再安装,RPM包安装在一个固定的位置下,选择固定的模块,而源代码安装则可以让你选择安装路径,选择你想要的模块。
下面分别以实例的形式来介绍两种类型的安装方法。
﹙1﹚使用源代码安装
获得源代码并解开压缩包,然后配置进行编译与安装最后测试.
﹙2﹚使用RPM包安装
完成安装后,配置文件在/etc/httpd/conf/目录下,文件根目录为/var/www/html,工具文件在/etc/rc.d/init.d/目录下,日志文件在/var/log/httpd/目录下。
第三站Apache2.0的配置
7.6.2配置虚拟主机
虚拟主机是在一台www服务器上为多个单独的域名提供www服务,每个域名具有自己的目录和配置,相当于将一台主机分为多台主机,虚拟主机技术对于主机数量不足,但又想为不同的用户提供独立的Web服务的需求非常有效。
而对于一个公司,利用价格昂贵的服务器只提供一种域名服务,似乎是不明智的,而现在越来越多的公司喜欢在一台服务器上使用多个域名服务,架设不同的网站,这样做的好处是显而易见。
7.6.3服务器端代理的配置
服务器端代理与客户端代理不同,它是在防火墙上安装Apache服务器,使用它提供对WWW服务器的代理访问。
这种方法把WWW服务器与外部隔开,提高了安全性,而对用户来说,好像没有变化一样。
假设在内部局域网中WWW服务器的IP地址为192.168.0.2,防火墙主机内部IP地址为192.168.0.5,外部IP地址为192.9.202.1。
1)配置防火墙上的Apache
2)配置局域网中的DNS服务器
3)配置局域网内部WWW服务器
在Linux环境下,有一个非常流行的代理服务器软件——Squid。
他的功能非常的强大,支持HTTP,FTP,Gopher,SSL,和WAIS等协议的代理,而且设置简单,只需再配置文件中稍稍改动就可以了。
7.7FTP服务器的配置
7.7.1定义用户类别
创建用户组,这个组中的成员预先定义可以访问FTP服务器。
7.7.2登录重试次数
禁止或允许远程主机对特定账户的访问
7.7.3密码检查
控制哪些人、在什么时间、从什么地点可以连接服务器,并且可以对他们连接后所做的工作进行检查跟踪。
7.7.4登录人数的限制
为了确保FTP服务器安全,必须设置一些重要的配置文件,以更好地控制用户的访问权限。
7.8电子邮件服务器配置
Linux下架设邮件服务器其实并不难。
我们以RedHatLinux9.0为例。
在linux下可供选择的邮件服务器套件有Sendmail和Qmail。
Qmail比较注意安全问题,假如你需要一个安全的邮件网关,那它是一个不错的可选方案;而Sendmail在稳定性、可移植性、及确保没有bug方面具有一定特色,且可以在网络中搜索到大量的使用资料,因此Linux下一般都选用此系统搭建,本文也是基于Sendmail为例。
Linux下架设邮件服务器.
7.8.1安装Sendmail
完全安装RedHatLinux9.0时,Sendmail就会自动内置,版本号为8.12.8-4。
如果你不确定Linux是否已经安装有sendmail.
7.8.2启动Sendmail服务系统
使用带参数的Sendmail命令控制邮件服务器的运行:
[root@ahpengroot]#sendmail-bd–q12h,后跟的参数解释如下:
-b:
设定Sendmail服务运行于后台。
-d:
指定Sendmail以Daemon(守护进程)方式运行。
此外,要检测Sendmail服务器是否正常运行.
7.8.3配置Sendmail
采用m4宏处理程序来生成所需的sendmail.cf文件(使用m4编译工具一般不轻易出错,还可避免某些带有安全漏洞的宏对服务器造成的破坏)。
其配置文件位于/etc/mail/sendmail.cf,在创建的过程中还需要一个模板文件,Linux自带有一个模板文件,位于/etc/mail/sendmail.mc。
7.8.4建立电子邮件新帐号
此步骤相对简朴,只需在Linux里新增一个用户即可。
依次进入“主菜单-系统设置-用户和组群”选项,接着打开“RedHat用户管理器”对话框,点“添加用户”按钮,在接着出现的“创建新用户”窗口中输入用户名及密码即可。
7.8.5限制单个用户邮箱容量
如果对用户的邮件容量不加限制,服务器的硬盘是不堪重负的。
这可以使用“邮件限额”功能来实现:
因为电子邮件的暂存空间是位于/var/spool/
mail目录下的,所以只需通过磁盘配额设定每一个邮件帐户在此目录下能使用的最大空间即可。
7.8.6单一用户设定多个邮件地址
使用别名(alias)可以解决这个问题。
别名是sendmail最重要的功能之一。
经过以上步骤后,应该就可以用OutlookExpress正常发送邮件了,但这时还不能用OutlookExpress从服务器端收取邮件的,因为sendmail默认状态并不具备POP3功能,我们还得自己安装并启用它。
7.9动态DNS服务配置
在网络管理中,对于DNS服务的管理是一项基础性的工作。
随着用户规模的扩大,频繁地手工修改DNS的区域数据库文件不是一件轻松的工作。
关于动态DNS(DDNS)的研究逐渐引起了人们的关注,不同的平台都推出了自己的解决方案。
在Linux下实现动态DNS不仅需要Bind8以上的DNS软件,还要有DHCPServerv3.0以上版本,因为只有3.0以上的版本才完全实现了对DDNS的支持。
因此,本文的实现环境采用SlackwareLinux9.0作为DDNS服务器,其上同时运行DNS和DHCP服务,其中DNSServer采用Bind9.2.2,DHCPServer采用DHCPServerv3.0pl2。
下面详细介绍Linux环境下安全、动态DNS的实现方法。
7.9.1创建密钥
要实现DNS的动态更新,首先要考虑的是怎样保证安全地实现DDNS。
由ISC给出的方法是创建进行动态更新的密钥,在进行更新时通过该密钥加以验证。
7.9.2修改DNS的主配置文件
密钥生成后就要开始对/etc/named.conf文件进行编辑修改,主要目的是将密钥信息添加到DNS的主配置文件中。
至此完成对DNS服务器的配置,可以执行#named运行DNS服务。
7.10路由器配置
7.10.1
在路由器Router1上配置接口的IP地址和串口上的时钟频率。
进入fastethernet1/0的配置模式,开启路由器fastethernet1/0接口进入接口serial1/0配置模式,配置路由器接口serial1/0的ip地址,配置Router1的时钟频率(DCE),开启路由器serial1/0接口,验证测试:
验证路由器接口的配置
7.10.2
在路由器Router1上配置静态路由,验证测试:
验证Router1上的静态路由配置
7.10.3
在路由器Router2上配置接口的IP地址和串口上的时钟频率。
进入fastethernet1/0的配置模式.配置路由器接口fastethernet1/0的ip地址.开启路由器fastethernet1/0接口,进入接口serial1/0配置模式,配置路由器接口serial1/0的ip地址,开启路由器serial1/0接口,验证测试:
验证路由器接口的配置
7.10.4
在路由器Router2上配置静态路由,验证测试:
验证Router2上的静态路由配置
7.10.5
测试网络的互联互通性
注意事项:
如果两台路由器通过串口直接互联,则必须在其中一端设置时钟频率(DCE)。
7.11交换机设置
物理连接好了我们就要打开计算机和交换机电源进行软件配置了,下面我们以思科的一款网管型交换机“Catalyst1900”来讲述这一配置过程。
在正式进入配置之前我们还需要进入系统.
7.12网络安全分析
校园网的安全威胁既有来自校内的,也有来自校外的,只有将技术和管理都重视起来,才能切实构筑一个安全的校园网。
国内高校校园网的安全问题有其历史原因:
在以前的网络时期,一方面因为意识与资金方面的原因,以及对技术的偏好和运营意识的不足,普遍都存在“重技术、轻安全、轻管理”的倾向,常常只是在内部网与互联网之间放一个防火墙就万事大吉,有些学校甚至直接连接互联网,这就给病毒、黑客提供了充分施展身手的空间。
而病毒泛滥、黑客攻击、信息丢失、服务被拒绝等等,这些安全隐患只要发生一次,对整个网络都将是致命性的。
作为高等院校,如何构筑相对可靠的校园网络安全体系问题,变得越来越突出了。
一般来说,构筑校园网络安全体系,要从两个方面着手:
一是采用先进的技术;二是不断改进管理方法。
7.14校园网安全的隐患
由于缺乏统一的网络出口、网络管理软件和网络监控、日志系统,使学校的网络管理各自为政,缺乏上网的有效监控和日志,上网用户的身份无法唯一识别,存在极大的安全隐患。
同时,校园网电子邮件系统极不完善,无任何安全管理和监控的手段。
网络病毒泛滥,造成网络性能急剧下降,重要数据丢失。
因此缺乏集中管理、统一升级、统一监控的针对网络的防病毒体系。
此外,校园网络上的用户网络安全意识淡薄,没有制订完善的网络安全管理制度。
校园网常见的风险:
A、普遍存在的计算机系统的漏洞,对信息安全、系统的使用、网络的运行构成严重的威胁;
B、外来的系统入侵、攻击等恶意破坏行为,有些计算机已经被攻破,用作黑客攻击的工具;拒绝服务攻击目前越来越普遍,不少开始针对重点高校的网站和服务器;
C、校园网内部用户对网络资源的滥用,有的校园网用户利用免费的校园网资源提供商业的或者免费的视频、软件资源下载,占用了大量的网络带宽,影响了校园网的应用;
D、垃圾邮件、不良信息的传播,有的利用校园网内无人管理的服务器作为中转,严重影响学校的声誉。
7.15具体解决方案
7.15.1基本防护体系(包过滤防火墙+NAT+计费)
用户需求:
全部或部分满足以下各项,即解决内外网络边界安全,防止外部攻击,保护内部网络;解决内部网安全问题,隔离内部不同网段,建立VLAN;根据IP地址、协议类型、端口进行过滤;内外网络采用两套IP地址,需要网络地址转换NAT功能;支持安全服务器网络SSN;通过IP地址与MAC地址对应防止IP欺骗;基于IP地址计费;基于IP地址的流量统计与限制;基于IP地址的黑白名单。
防火墙运行在安全操作系统之上,防火墙为独立硬件,防火墙无IP地址解决方案:
采用网络卫士防火墙PLFW1000。
7.15.2标准防护体系(包过滤防火墙+NAT+计费+代理+VPN)
用户需求:
在基本防护体系配置的基础之上,全部或部分满足以下各项,即提供应用代理服务,隔离内外网络;用户身份鉴别;权限控制;基于用户计费;基于用户的流量统计与控制;基于WEB的安全管理;支持VPN及其管理;支持透明接入;具有自身保护能力,防范对防火墙的常见攻击。
解决方案:
(1)选用网络卫士防火墙PLFW2000;
(2)防火墙基本配置+网络加密机(IP协议加密机)。
校园网安全防护的解决方案可用下图表示:
网络出口防护
数据中心保护
骨干网络安全
用户计费审计
IPS保护
应用加速
攻击防护
用户认证
FW保护
流量清洗
内网控制
灵活计费
虚拟化服务
安全加固
远程安全接入
行为监管
八、设计图纸
九、设备选型
设备名称
设备型号
设备基本属性
设备单价(元)
数量
FTP服务器
联想万全R350G7(D5504/16GB/S
千兆
50000
1个
Web服务器
联想万全R350G7(D5504/16GB/S
千兆
50000
1个
邮件服务器
eWorld邮件服务器M50
千兆
31000
1个
主路由器
TPMAIPUMP2700-16
16口千兆路由器
20000
1个
操作系统
Linux
Linux
3000
3个
分路由器
腾达R6000
4口百兆路由器
1200
8个
交换机
华为S2024C
24口百兆交换机
1600
26个
光纤
安普室外6芯光纤
多模光纤
16/米
4650米
双绞线
AMP超五类屏蔽双绞线
双绞线
1100/95米
8000米
十、调试过程中出现的问题及解决办法
10.1共享文件夹权限设置
不论是Guest用户共享,还是在本机为其它用户建立账号,都有可能碰到由于共享文件夹的权限设置不正确造成不能访问。
调整共享文件夹权限的方法是:
在共享文件夹上单击右键,选择“属性”,在“共享”标签下按下“权限”按钮,在跳出的对话框中就可以调节或添加用户对此文件夹的权限设置了。
而对于使用NTFS格式分区的用户来说,除了调节“共享”标签下的“权限,还需要对“安全”选项卡下的系统安全权限做同样的调整。
10.2Guest用户的网络访问权限被限制
在“开始→运行”中输入命令“secpol.msc”,启动“本地安全设置”,点击左侧的“用户权限分配”,检查“本地策略→从网络访问此计算机”中是否包含Everyone,若是没有,请自行加入;再检查“拒绝从网络访问这台计算机”中有否Guest,有则删除。
另外,在“本地安全设置→本地策略”的“安全选项”下,双击“网络访问:
本地账户的共享和安全模式”,根据情况,选择“经典”或“仅来宾”模式。
其中“仅来宾”模式用于上述的第2种情况,经典模式则用于第3种。
如果不想使用组策略编辑器,则通过系统自带的向导功能,同样能达到类似目的。
方法是在“我的电脑”上单击右键,选择“属性”,然后单击“计算机名”选项卡,看看该选项卡中有没有出现你的局域网工作组名称,如“WORKGROUP”等。
然后单击“网络ID”按钮,开始“网络标识向导”:
单击“下一步”,选择“本机是商业网络的一部分,用它连接到其他工作着的计算机”;单击“下一步”,选择“公司使用没有域的网络”;单击“下一步”按钮,然后输入你的局域网的工作组名,如“WORKGROUP”,再次单击“下 一步”按钮,最后单击“完成”按钮完成设置。
这样的操作实现的结果与上述在本地安全设置中调节“拒绝从网络访问这台计算机”的结果相同。
10.3防火墙或杀毒软件干扰防火墙禁用了局域网共享功能
如使用Windows自带的防火墙,就需要在例外中选中“文件和打印机共享”。
(你觉得麻烦的话,直接关闭Windows自带的防火墙。
)一些杀毒软件,如McAfee 8.0i中启用了“访问保护→文件、共享资源和文件夹保护”中的相关选项,也会出现网络邻居不能正常使用的现象,请根据需要关闭。
十一、课程设计心得体会
参考文献
[1]谢希仁.计算机网络(第5版)[M].北京:
电子工业出版社.2008.
[2]赵家俊《局域网组建与管理与教程》清华大学出版社2005.1。
[3]张公忠《现代网络技术教程》电子工业出版社2000.1。
[4]卢小平《局域网组建与实践(第2版)》电子工业出版社2004.11
[5]王竹林《校园网组建与管理》清华大学出版社2002.1
升级会员 