网络系统集成方案设计文档格式.doc

网络系统集成方案设计文档格式.doc

《网络系统集成方案设计文档格式.doc》由会员分享，可在线阅读，更多相关《网络系统集成方案设计文档格式.doc（25页珍藏版）》请在冰点文库上搜索。

2.设备间位置的确定 9

3.弱电井位置的确定 9

4.信息点的设置 9

5.管理间的设置 10

五校园综合网络安全 10

1.服务器的安全配置 10

2.防病毒软件及技术 12

3.防火墙的配置 14

4.数据备份 15

5.后期网络维护与培训 16

参考文献 20

专项任务书

专项任务名称四川农业学院网络系统集成方案设计

姓名柏青何专业网络技术班级4班学号35091403029

一、任务情况描述：

校园网是各种类型网络中一大分支，有着非常广泛的应用。

作为新技术的发祥地，学校、尤其是高等学校和网络的关系十分密切，网络最初是在校园里进行实验并获得成功的，许多网络新技术也是首先在校园网中获得成功，进而才推向社会的。

二、任务完成计划：

第一阶段：

3.15-3.20开始确立题目及大方向。

第二阶段：

3.21-4.01分析学校的具体需求

第三阶段：

4.02-4.15根据需求对网络系统进行规划与设计。

第四阶段：

4.16-5.08总体方案设计策略

第五阶段：

5.11-5.13论文撰写及打印准备答辩。

三、计划答辩时间：

2017.5.13日论文答辩

实习指导教师（签字）：

系学生顶岗实习领导小组组长（签字）：

年月日年月日

四川农业学院校园网络系统集成方案设计

设计者：

指导教师：

王文松、车倩倩

一校园建筑物布局说明

1.学院概况

四川农业大学是一所以生物科技为特色，农业科技为优势，多学科协调发展的国家“211工程”重点建设大学，也是教育部本科教学工作水平评估优秀高校。

现任党委书记邓良基教授、校长郑有良教授。

2.网络环境分析

四川农业大学包括三个校区，分别是雅安、都江堰、成都三个校区；

成都区离雅安去区不远，三个校区物理上隔离。

为了最大程度上对学校各校区资源实现资源共享，结合考虑学校实际情况，建议各分校区与南院主校区实现专线相连。

本设计方案涉及成都校区的网络整体规划，实现了成都的具体实施方案，成都区网络核心区域拓扑图如图所示：

图1成都校区网络拓扑图

二校园网络系统需求分析

1.功能需求

通过实地调查分析，校园网络应满足如下功能需求：

（1）将全校所有计算机连接到网络中，满足计算机教学科研、行政办公需要，具有完善的办公事务处理能力。

在网络上传输多种应用信息，用于教学、教务管理、通知通告、对外网站等应用。

（2）网络管理系统功能完善，操作简便，能管理到桌面台式机。

网络设立区域性安全防范措施，加载安全过滤。

禁止如P2P等占用高带宽的技术。

（3）结构合理，技术先进，确保3-5年内不会更新换代，所设计网络应该具有高可靠性和可扩展性，具有一定的冗余，容错能力强，确保信息处理安全保密。

（4）实现VLAN间的互通，方便不同行政部门或教学部门的互访以及网络管理。

（5）连接至Internet。

2.技术需求分析

（1）路由技术：

路由协议工作在OSI参考模型的第3层，因此它的作用主要是在通信子网间路由数据包。

路由器具有在网络中传递数据时选择最佳路径的能力。

除了可以完成主要的路由任务，利用访问控制列表（AccessControlList，ACL），路由器还可以用来完成以路由器为中心的流量控制和过滤功能。

在本工程设计中，其内网用户不仅通过路由器接入因特网、内网用户之间也通过3层交换机上的路由功能进行数据包交换。

（2）交换技术：

现代交换技术还实现了第3层交换和多层交换。

高层交换技术的引入不但提高了校园网数据交换的效率，更大大增强了校园网数据交换服务质量，满足了不同类型网络应用程序的需要。

（3）VLAN技术：

虚拟局域网（VirtualLAN，VLAN），VLAN将广播域限制在单个VLAN内部，减小了各VLAN间主机的广播通信对其他VLAN的影响。

在VLAN间需要通信的时候，可以利用VLAN间路由技术来实现。

当网络管理人员需要管理的交换机数量众多时，我们可以使用VLAN中继协议（VlanTrunkingProtocol，VTP）简化管理，它只需在单独一台交换机上定义所有VLAN。

然后通过VTP协议将VLAN定义传播到本管理域中的所有交换机上。

这样，大大减轻了网络管理人员的工作负担和工作强度。

（4）防火墙技术与DMZ：

针对不同资源提供不同安全级别的保护,还应该构建一个DMZ的区域，放置一些不含机密信息的公用服务器，比如Web、Mail和FTP等。

这样来自外网的访问者可以访问DMZ中的服务，但不可能接触到存放在内网中的公司机密或私人信息等。

即使DMZ中服务器受到破坏，也不会对内网中的机密信息造成影响。

（5）链路聚合技术：

链路聚合（PortTrunking）技术，支持IEEE802.3协议，是一种用在交换机与交换机之间扩大通信吞吐量、提高可靠性的技术，也称为骨干连接。

当两台核心层交换机采用聚合链路PortTrunking技术后，该技术可以使交换机之间连接最多4条负载均衡的冗余连接。

当某一台核心交换机出现故障或核心交换机与接入层/汇聚层交换机的某一条互联线路出现故障时，系统将通信业务快速自动切换到另一台正常工作的核心层交换机上，以使整个网络具备高容量、无阻塞、高可靠的能力。

三校园网络系统设计规划

1.主干网设计

随着校园网用户数目与新的应用需求不断增加，特别是网上多媒体及远程教育应用的展开，对校园网主干带宽提出了新的更高的要的求因此校园网的主干（即核心层交换机与汇聚层交换机之间或核心层交换机与服务器之间的连接）采用千兆以太网技术，在距离允许的范围内，还应当尽量采用当前性价比最好的千兆铜缆以太网技术，例如1000Base-T。

1000Mbps以太网交换技术为主干，可以做到1000Mbps全光缆到二级交换机，100Mbps到桌面。

2.层次化网络设计

根据本校网络的实际情况，网络层次应包括核心层、汇聚层和接入层三个层次。

接入层位于连接到网络的最终用户处，通常在用户之间提供第2层连接性，该层的设备必须具备具备下述功能：

低交换机端口成本；

高端口密度；

连接到高层的可扩展上行链路；

用户接入功能，如VLAN成员资格、数据流和协议过滤以及服务质量（QoS）。

汇聚层将校园网的接入层和核心层连接起来，该层的设备必须具备下述的功能：

聚集多台接入层设备；

较高的第3层分组处理吞吐量；

使用访问列表和分组过滤器提供安全和基于策略的连接；

连接到核心层和接入层的高速连接具有可扩展性和弹性。

校园网的核心层连接所有的汇聚层设备，该层必须能够尽可能高效地交换数据流。

该层应具有下述功能：

第2层和第3层的吞吐量非常高；

不执行高成本或不必要的分组处理（访问列表层、分组过滤）；

支持高可用性的冗余和弹性；

高级Qos功能。

成都区网络设计的层次如下图3所示：

图3网络设计图

3.网络冗余设计

由于大学网络规模巨大、涉及到的用户很多，如果网络特别是骨干网络出现任何的问题将导致很大的不良影响，因此对网络的可靠性和可用性要求很高。

网络的冗余设计除了选择具有冗余设计的网络设备外，网络的冗余设计也十分重要，因此，成都区与雅安校区之间采用双链路相连，四川农业成都去和雅安区核心层可采用两台核心交换机，汇聚层交换机分别用两条线路接到这两台核心交换机上，即可实现线路的冗余。

冗余设计如图4：

图4冗余设计图

4.出口设计

为了给校园网用户提供一个快速稳定访问外部网络的通道，本方案设计采用双出口设计，一条通过本地ISP接入Chinanet，另一条接入Cernet，以满足学校办公的需求。

设计如图5所示：

图5出口设计图

5.IP及VLAN地址规划

采用10.0.0.0/8的私有IP地址段，为校园网络提供充裕的主机地址并采用基于端口的VLAN划分方法。

单个VLAN可以使用多个地址段。

VLAN的划分基于各部门职能或机房数量。

其中南校区IP地址段和北校区IP地址段分别为10.1.0.0/16与10.2.0.0/16，以下为南校区IP地址与VLAN详细划分如图：

表1IP地址与VLAN详细划分

VLAN号

VLAN名称

IP网段

默认网关

说明

1

duomeiti

10.1.1.0/24

10.1.1.1

多媒体

2

yhjxl

10.1.2.0/24

10.1.2.1

一号教学楼

3

yhljf

10.1.3.0/23

10.1.3.1

一号楼机房

4

ehjxl

10.1.4.0/23

10.1.4.1

二号教学楼

5

shjxl

10.1.5.0/23

10.1.5.1

三号教学楼

6

tsdjyls

10.1.6.0/24

10.1.6.1

图书馆电子阅览室

7

sxqhl

10.1.7.0/24

10.1.7.1

实训7号楼

6.设备选型

校园网络主干为千兆网络，百兆交换到桌面，保障所有用户同时调用服务资源时都能快速、流畅，充分发挥多媒体课室教学的作用同时保证所有用户同时上网顺畅，使校园网络的功能发挥得淋漓尽致。

为了实现网络设备的统一，本设计方案中完全采用同一厂家的网络产品，即华为公司的网络设备构建。

全网使用同一厂商设备的好处是可以实现各种不同网络设备功能的互相配合和补充。

下面就介绍本案例中的设备型号及参数等信息：

图6设备型号及参数

四总体综合布线系统的设计思路

1.总体设计要点

四川农业学院综合布线系统的设计，将满足高带宽需求的计算机网络的互联，采用适应FDDI，快速以太网，ATM网，支持万兆以太网等高速数据信息交换的主干网。

我们对四川农业学院综合布线系统进行了设计。

根据设计划分，雅安区所属计算机机房在三层计算机机房，都江堰区所属计算机机房在三层网络机房，成都去所属计算机网络中心机房在三层网络机房，计算机网络中心机房内设置核心层网络交换机，光纤配线架、服务器等设备。

大楼整个网络系统采用高性价比的六类综合布线系统。

数据主干采用八芯多模光缆，端接设备采用机柜式光纤配线架，能够满足现在先进的千兆主干传输的要求，同时也能满足未来更高带宽的网络需求。

数据采用六类4对非屏蔽双绞线铜缆。

配线间内水平千兆对绞线端接采用48口模块式配线架。

2.设备间位置的确定

计算机网络机房，须要落实其各自的位置，以实现综合布线线工程。

3.弱电井位置的确定

弱电井作为弱电管线的主要通道，不仅要方便管理，而且还要注意水平走线的距离等问题。

我们根据河北河北工业职业技术学院的设计图纸和招标要求，认为弱电井的设置可以满足系统的需要。

4.信息点的设置

数据信息点的设计部分，我司认为，考虑到河北工业职业技术学院的系统的要求，数据插座全部采用六类非屏蔽信息模块，采用国际标准86型预埋盒安装，采用双孔、单孔或四孔信息面板，光纤到机柜，采用LC或者SC接口模块安装。

5.管理间的设置

管理间设置各楼层，负责楼层信息点的配线管理，连接主干光缆以及水平光缆的配线架，总体设计思路如图7

图7管理间的设置

五校园综合网络安全

1.服务器的安全配置

信息安全风险分析随着Internet网络急剧扩大和上网用户迅速增加，风险变得更加严重和复杂。

原来由单个计算机安全事故引起的损害可能传播到其他系统，引起大范围的瘫痪和损失；

另外加上缺乏安全控制机制和对Internet安全政策的认识不足，这些风险正日益严重，信息安全可以从以下几个方面来理解：

（1）安全需求与目标

针对信息系统所面临的安全分析，通过可能造系统安全的五个部分，如何进行有效的防范，需从五方面进行：

针对管理级安全：

须建立一套完整可行的信息安全管理制度，通过有效的系统管理工具，实现系统的安全运行管理与维护；

‚对应用级安全：

须加强网络防病毒、防攻击、漏洞管理、数据备份、数据加密、身份认证等，通过一系列信息安全软硬件设备建设安全防护体系；

ƒ针对系统级安全：

须加强对服务器、操作系统、数据库的运行监测，加强系统补丁的管理，通过双机（或两套系统）的形式保证核心系统运行，当发生故障时，能及时的提供备用系统和恢复；

„针对网络级安全：

须保证网络设备、网络线路的运行稳定，对核心层的网络设备和线路提供双路的冗余；

…针对物理级安全：

须保证数据的安全和系统的及时恢复，加强数据的远程异地备份和系统的异地容灾。

（2）全面的信息网络安全体系设计

区分内外网，加强内部网络的安全防护：

找到网络的对外接口（互联网接口、上级门、下级单位、同级部门、第三方关联单位等其它非信任网络），在对外网络的接口处安装防火墙系统，通过防火墙实现内外网的隔离，保证内部网络的安全。

通过防火墙实现访问控制，控制内部用户的上网行为；

通过防火墙验证访问内部的用户身份、访问权限等；

通过入侵防护检测访问者的访问行为；

因为数据在网络上的传输都是明文的，为了保证数据传输的安全性须对数据进行加密，可以通过防火墙的VPN模块或专用的VPN设备建立VPN通道。

目前，大部分防火墙的功能差异并不太大，性能成为选择防火墙的主要指标，市场上的防火墙根据架构的不同，可分为三大类：

ASIC芯片、NP架构、传统的X86架构，ASIC芯片级的防火墙把大部分处理通过芯片来完成，不再占用CPU资源，具有更好的处理性能。

‚建立多层次、全方面的防病毒系统1、根据病毒寄存的环境，在所有服务器和客户机上安装网络版防毒系统2、根据病毒传播的途径，在网关处安装网关防毒网关，在浏览网页、下载资料、收发邮件时进行有效的病毒防护3、在内部交换层，通过硬件的网络防毒墙对网络中的数据包进行检测，有效的进行网络层病毒、蠕虫、恶意攻击行为的防护，保护内部网络的稳定与畅通。

单机的问题并不能对网络造成严重的问题，网络中断或瘫痪造成的损失是巨大的。

ƒ加强核心网络、核心应用的安全防护核心网络、服务器群是一个网络的中心部分，应更加注重安全的防范，为了防止来自外部和内部的攻击，应在核心服务器群前安装防火墙及入侵防护系统。

重点加强核心系统的安全防护；

对操作系统及应用系统的漏洞及时的安装补丁为防止核心系统的运行出现固障，应对核心系统所在的网络线路进行冗余设计，并对交换机、路由器设备进行双路冗余。

同时，把安装重要应用系统的服务器进行双机热备所有数据通过磁盘阵列或磁带机进行存储、备份、对于网站系统，可以通过主页防篡改系统、防DOS攻击系统加强对网站的防护

2.防病毒软件及技术

（1）防病毒体系设计思路

为了构建一个强壮、有效的防病毒体系，再分析了校园网络架构及相关应用之后，针对潜在的病毒传播威胁，趋势科技建议采用结合产品、防御策略、服务为一体的防病毒体系。

由于校园网防病毒管理具有明显的地域性，为了方便集中管理，需要有一套切实可行的集中管理机制，以方便管理员实时掌控全市防病毒状况。

同时还要求按分支机构进行权限分派管理，不同分支机构的管理人员在中央控管体系中只能够管理到本分支机构范围内的防病毒软件，包括防病毒策略设定、病毒码及扫描引擎升级等。

（2）产品部署建议

根据计算机网络潜在的病毒威胁分析，结合趋势科技全系列防毒产品的特性，由点及面，全方位部署，彻底截断病毒入侵的所有途径。

（3）服务器防护

趋势科技防毒墙服务器版ServerProtect趋势科技Serverprotect可以对Windows2000/NT、Novell、NertWare或LinuxRedhat网络上的档案服务器，提供全面性的病毒防护。

ServerProtect是通过直觉的、可携式的主控台来操作，它提供病毒疫情管理、集中式病毒扫描、病毒码更新、事件报告和防毒配置等功能。

策略：

防毒软件可通过单一的主控台来管理；

安装时可以依照网域分组，同时替多部服务器进行安装；

利用集中式报表，管理人员可以监看整个网络的状态；

通过TaskManager，管理人员可以轻松地完成各种病毒维护工作，例如设定扫毒模式、更新病毒码和程序、编辑病毒报告，以及设定实时扫描的参数等。

自动下载和分发病毒码、扫毒引擎和程序文件；

支持MPLSVPN和IPSec等VPN；

网络层防病毒，产品简介:

TrendMicroTMNetworkVirusWallTM是基于网络层，针对企业网络内网安全管理的设备。

可协助公司企业防止ARP病毒攻击，在爆发病毒疫情时隔绝高危险的网络脆弱环节，在网络层部署由趋势科技提供的安全防御策略，并能在缺乏防毒保护的设备等潜在感染源连接网络时，予以隔离和清除。

不同于只监测安全威胁或提供信息的安全解决方案，NetworkVirusWall协助企业采取准确、快速的安全措施，并且主动侦测、预防围堵与进行善后清理。

当企业在网络的各网段之间部署NetworkVirusWall之后，即可大幅降低安全威胁、网络宕机时间以疫情管理的负担。

同时，NetworkVirusWall支持趋势科技的「企业安全防护策略」（EnterpriseProtectionStrategy）。

（4）NVW提供以下主要功能：

防止ARP欺骗l

主动免疫，识别攻击者发送的ARP欺骗包，并阻止发送被动防护，保护终端免受ARP欺骗包影响

‚网络流量侦测与网络病毒过滤

在网络层清除带毒数据包；

分析网络数据流量，定位可疑计算机；

使用智能型规则，提供关于网络病毒疫情的早期预警信息

ƒ隔离薄弱环节

侦测带有安全漏洞的计算机，预防病毒利用网络上的薄弱环节入侵；

爆发病毒疫情时，阻止未安装相关补丁程序的计算机访问网络资源

„强制实施安全策略

…隔离特定IP地址段

3.防火墙的配置

安装位置：

局域网与路由器之间；

WWW服务器与托管机房局域网之间；

（1）局域网防火墙作用：

实现单向访问，允许局域网用户访问Internet资源，但是严格限制Internet用户对局域网资源的访问；

‚通过防火墙，将整个局域网划分Internet，DMZ区，内网访问区这三个逻辑上分开的区域，有利于对整个网络进行管理；

ƒ局域网所有工作站和服务器处于防火墙地整体防护之下，只要通过防火墙设置的修改，就能有限绝大部分防止来自Internet上的攻击，网络管理员只需要关注DMZ区对外提供服务的相关应用的安全漏洞；

„通过防火墙的过滤规则，实现端口级控制，限制局域网用户对Internet的访问；

…进行流量控制，确保重要业务对流量的要求；

†通过过滤规则，以时间为控制要素，限制大流量网络应用在上班时间的使用。

‡通过防火墙的过滤规则，限制Internet用户对WWW服务器的访问，将访问权限控制在最小的限度，在这种情况下网络管理员可以忽略服务器系统的安全漏洞，只需要关注WWW应用服务软件的安全漏洞；

ˆ通过过滤规则，对远程更新的时间、来源（通过IP地址）进行限制。

4.数据备份

数据资源是一个单位的最为重要资源，一但数据丢失所造成的损失是无法弥补的。

因此必须加对数据的保存和备份。

现在一般常用的数据保存方式都是通过磁盘阵列来完成，但是，磁盘阵列的稳定性是不能保证的。

一般情况，可以通过磁带机对磁盘阵列的数据进行再次备份也可以通过另一台磁盘阵列进行数据的相互备份通过专用的备份软件实现对数据库、文件资源、应用系统及整个的应用服务系统进行备份并提供相应用恢复方案为防止地震、火灾、雷电等自然灾害，须将重要数据在异地进行备份，如果系统的运行不能中断，就需要在异地进行系统的容灾

5.后期网络维护与培训

在安全服务方案中，采用不同的安全服务，定期对网络进行检测、改进，以达到动态增进网络安全性，最大限度发挥安全设备作用的目的。

安全服务分为以下几类：

（1）网络拓扑分析

服务对象：

整个网络

服务周期：

半年一次

服务内容：

根据网络的实际情况，绘制网络拓扑图；

分析网络中存在的安全缺陷并提出整改建议意见。

服务作用：

针对网络的整体情况，进行总体、框架性分析。

一方面，通过网络拓扑分析，能够形成网络整体拓扑图，为网络规划、网络日常管理等管理行为提供必要的技术资料；

另一方面，通过整体的安全性分析，能够找出网络设计上的安全缺陷，找到各种网络设备在协同工作中可能产生的安全问题。

（2）中心机房管理制度制定以及修改

中心机房

协助用户制订并修改机房管理制度。

制度内容涉及人员进出机房的登记制度、设备进出机房的登记制度、设备配置修改的登记制度等。

严格控制中心机房的人员进出、设备进出并及时登记设备的配置更新情况，有助于网络核心设备的监控，确保网络的正常运行。

（3）操作系统补丁升级

服务器、工作站、终端

不定期

一旦出现重大安全补丁，及时更新所有相关系统；

出现大型补丁（如微软的SP），及时更新所有相关系统；

通过及时、有效的补丁升级，能够有效防止局域网主机和服务器相互之间的攻击，降低现代网络蠕虫病毒对网络的整体影响，增加网络带宽的有效利用率。

（4）防病毒软件病毒库定期升级

防病毒服务器、安装防病毒客户端的终端

每周一次

防病毒服务器通过Internet更新病毒库；

防病毒服务器强制所有在线客户端更新病毒库；

通过不断升级病毒库确保防病毒软件能够及时发现新的病毒。

（5）服务器定期扫描、加固

服务器

使用专用的扫描工具，在用户网络管理人员的配合，对主要的服务器进行扫描。

找出对应服务器操作系统中存在的系统漏洞；

找出服务器对应应用服务中存在的系统漏洞；

找出安全强度较低的用户名和用户密码。

（6）防火墙日志备份、分析

防火墙设备

一周一次

导出防火墙日志并进行分析。

通过流量简图找出流量异常的时间段，通过检查流量较大的主机，找出局域网中的异常主机。

（7）入侵检测等安全设备日志备份

入侵检测等安全设备

备份安全设备日志。

防止日志过大导致检索、分析的难度，另一方面也有利于事后的检查。

（8）服务器日志备份

主要服务器（如WWW服务器、文件服务器等）

备份服务器访问日志

防止日志过大导致检索、分析的难度，另一方面也有利于事后的检查。

（9）黑客渗透

对Internet提供服务的服务器

服务商在用户指定的时间段内，通过Internet，使用各种工具在不破坏应用的前提下攻击服务器最终提供检测报告。

先于黑客进行探