泸州职业技术学院网络改造方案最终.docx
《泸州职业技术学院网络改造方案最终.docx》由会员分享,可在线阅读,更多相关《泸州职业技术学院网络改造方案最终.docx(20页珍藏版)》请在冰豆网上搜索。
泸州职业技术学院网络改造方案最终
泸州职业技术学院
毕业设计报告
泸州职业技术学院网络改造方案
学生姓名:
刘小刚
所在系:
电子信息工程系
班级:
06级计应2班
专业:
计算机应用技术
指导老师:
刁显峰
2008年11月5日
摘要
本论文主要通过对现有网络的分析,得出其自身所存在的问题,在现有网络的基础上对网络进行改造。
现有网络问题主要如下:
学生用网没有加入到校园中,校园网实际不完整。
现有的网络安全机制不够完善,整个网络处在危险之中。
网络管理服务制度落后,阻碍今后学院发展。
针对以上问题,在改造的网络方案中,对网络的拓扑图进行了扩充,将原来不存在于校园网络中的学生用网部分加入到改造网络拓扑中,完善校园网络。
加强网络安全方面的建设,其中包括防火墙、路由器的配置,IP地址的重分配,VLAN的重划分,网络管理的相关设计。
增加网络服务,在改造的网络方案中,加入了WWW服务,FTP服务,DNS服务,DHCP服务等。
改造后的网络在网络稳定性和安全性方面得到一个很好的提升。
关键字:
网络服务管理,网络安全,防火墙,TCP/IP
第一章项目分析
1.1概述
近年来,计算机发展迅速,计算机网络应[1]用更加普遍和丰富,好的计算机网络在整个internet网络中更加重要,主要表现在网络安全、性能方面。
网络的迅速发展也带来了网络威胁的大量滋生,历年来全球的网络入侵事件有增无减,也奠定了网络安全技术的迅速发展,网络安全技术在计算机系统中所占的分量也不断增加。
随着学院的发展,现有的网络已[3]经不能够满足教学及学习的要求,迫切的需要一个可靠、安全的强大网络系统。
针对现有的网络布局和网络设备,在其基础上建立网络以满足需求,达到学院内部管理、校外方便连接的要求,适应现代网络的网络体系。
网络的扩展必然涉及到完全,安全在整个网络中占有比例应增加,以提高网络安全级别。
目前学院实行学分制管理模式,学分制教学管理模式是一种动态的教学管理模式,要求不断的调整,优化教学资源。
实行学分制,不仅要求对教学资源的设置信息、利用信息以及学生的课程选择、考试成绩和对教学资源的评价信息能够规范、准确、及时的管理,而且要求能够对教学资源,学生学习情况进行及时的跟踪分析反馈,为学校调整教学资源和引导学生学习提供依据。
实行学分制使得教学管理工作量成倍增加,必须有一套功能完整、安全可靠的信息系统支撑,才能使学分制顺利实施。
1.2需求分析
泸职院校园网络改造方案,是一个立足于现有网络、面向整个Internet网的网络改造方案,方案的基础是现有的网络设备、布线以及网络计算机,经过改造将使网络规模扩大、网络系统稳定、网络安全加固,网络的性能更上一个台阶,方便以后的网络应用。
改造主要针对网络的安全和网络的系统服务,由于学院的不断发展,学院的现有网络服务已经很落后,在很多方面都不涉及,或者涉及并不深入,只是表面上的存在,缺乏现实的应用,改造后的网络将在教学管理、学员管理、资产管理、人事管理、财务管理、后勤管理等方面得到发展、升级。
学院的安全方面是目前网络的一大弊端,存在很多的不足,不仅表现在网络外部安全即与Internet的互联上,还表现在网络内部安全,内部安全机制不足,缺乏相应的管理体系,导致内部网络堵塞,信息不流畅,病毒流行。
随着学院现代化教学活动的开展和与国内教学机构交往的增多,对通过Internet/Intranet网络进行信息交流的需求越来越迫切,为促进教学、方便管理和进一步发挥学生的创造力,学院网络改造成为必然选择。
校园网属于大中型网络系统,内部接点多、设备多、使用人群多、管理复杂。
一个基本的校园网具有以下的特点:
1.高速的局域网
校园网的核心为面向校园内部师生的网络,因此园区局域网是该系统的建设重点,由于参与网络应用的师生数量众多,而且信息中包含大量多媒体信息,故大容量、高速率的数据传输是网络的一项基本要求。
2.信息结构多样化
校园网应用分为电子教学(多媒体教室、电子图书馆等)、办公管理和远程通讯(远程教学、互联网接入)三大部分内容:
电子教学包含大量多媒体信息,办公管理以数据库为主,远程通讯则多为WWW方式,因此数据成分复杂,不同类型数据对网络传输有不同的质量需求。
3.安全可靠
校园网中同样有大量关于教学和档案管理的重要数据,不论是被损坏、丢失还是被窃取,都将带来极大的损失;操作方便,易于管理校园网面向不同知识层次的教师、学生和办公人员,应用和管理应简便易行,界面友好,不宜太过专业化。
4.经济实用
学校对网络建设的投入有限,因此要求建成的网络应经济实用,具备很高的性能价格比。
1.3方案设计原则
1.实用性
从保护学院原用的设备投资和能够完全满足现实需求的角度出发,充分集成现有的各种计算机和网络设备,使建设的系统适用、安全、可靠且易管理、维护和扩展,具有最高的性价比。
2.开放性
构造一个开放的网络系统,是当前世界计算机技术发展的潮流,因此我们在整个系统的设计中采用的规范、设备与厂商无关,具有较强的兼容性,便于与外界异种机平滑互联。
3.先进性
当今的计算机网络技术发展日新月异,把握不准的方向则可能导致在很短的时间内技术落伍,从而面临被淘汰的危险。
因此在坚持实用性的前提下尽量采用国际先进成熟的网络技术和设备,适合未来的发展,做到一次规划长期受益。
4.易扩展性
所选择的联网方案及设备要能适应网络规划的不断扩大的要求,以便于将来设备的扩充;要能适应信息技术不断发展的要求,平稳地向未来新技术过渡。
5.规范性
系统设计除采用信誉好,质量高的设备外,还采用一系列容错、冗余技术、提高整个系统的可靠性。
6.安全性
安全性在整个网络中至关重要,一个网络的稳定主要表现在对安全的设计上面,对于局域网安全可以从内网和外网两个部分进行分析,从而保障网络的安全可靠。
第二章现有网络方案
2.1现有网络拓扑
图2-1现有网络拓扑
2.2现有网络分析
随着学院的发展,现有的网络已经不能够满足学院日常教学,校园生活等方面的需求,网络布局在以后的工作中显得更加的重要,好的网络布局不仅有利于学院内部平常的学习、工作,也有利于学院以后的扩大和发展,为其发展打下坚实的基础。
在现有网络中,网络结构采取的是三层结构,学院有两个核心交换机,一个摆放在学院行政楼,另一个摆放着三教楼。
在网络中只有一个防火墙,没有路由器,学院内外网之间的数据交换和网络的安全都是靠防火墙提供,防火墙的负担较大。
学院的网络结构主要由交换机、防火墙、PC机以及线路构成,其中交换机主要是锐捷产品,核心交换机是锐捷6800系列,接入交换机是锐捷2100系列。
学院服务器主要有WWW服务器、FTP服务器、教务管理服务器、图书管理服务器、CNKI服务器等,在服务器的摆放位置上,WWW服务器和教务管理服务器放在行政楼,FTP服务器放在计算机中心大楼,图书管理服务器放在图书馆中。
学院的网络现在主要包括以行政楼为主的学院管理层,网络的实际应用主要表现在对学院的管理上。
对于学生网络部分,在目前的网络中,学生用网由电信负责,学院不进行管理和监督,电信主要是通过光分器对各个部分进行连接,统一管理,目前学生网络的通信设备都是电信公司的设备。
根据以上内容总结现有网络问题如下:
1.在管理上,学院目前只重视教学管理,而忽视学生在校内的上网情况,学生上网难。
2.在布局上,学院网络布局偏向目前的网络应用所覆盖的范围,而不怎么涉及到以后网络扩大后的布局,在这点上很不合理。
3.在安全上,学院存在校内的安全问题和校外的安全问题,在学校内部缺乏有效的管理,所以导致内部安全漏洞特多,在校外,主要是学院的WEB服务器的安全,由于没有怎么考虑安全设计,使得网站在使用过程中存在问题。
4.在服务上,现有的网络服务只能够满足当前的管理,在学院未来的发展过程中必然显得力不从心,从而降低学院的管理力度,降低工作、学习效率。
第三章网络改造
现有的网络存在诸多弊端,在新的网络设计中,必然针对现有问题做出相应的设计,改造方案主要涉及如下方面:
网络拓扑的改进,网络的物理设计,网络的逻辑设计,网络安全设计,网络服务改进。
3.1网络拓扑
现有的网络拓扑以学院行政楼为中心,从而覆盖全院网络系统,在网络中不包括目前学生网络部分,所以对于学生在校内上网很不方便,教学的共享访问受到限制。
改造后的网络以行政楼,图书馆为中心,将学生网络部分加入到网络中,方便学生上网和学院内部的统一管理。
具体拓扑如图所示:
图3-1改造后的网络拓扑
网络硬件完备,网络布线设计周全,只是在考虑到网络扩建后所涉及到的部分时,才会有网络设备的添加。
所以在改造方案中,现有网络布线系统大致不变,扩建后的网络布线要与原有的网络布线相兼容,保证整个网络的稳定性。
在网络设备的选择问题上,既要考虑到网络设备的优良性能,还要考虑到学院所能承受的方案预算和与原有设备的兼容性,保证改造后的网络稳定性。
在考虑设备选型时,首先考虑网络内部的信息节点数量,然后进行设备的选择和摆放,现统计网络内部楼宇信息节点数量如下表:
表3-1楼宇信息节点表
楼名
楼层
信息接点数
设备
备注
4教楼
6
76
接入核心交换机
信息接点数是一栋楼所有的信息接点数
音乐楼
4
23
一个核心交换机
图书馆
5
40
1教楼
5
35
艺海楼
4
16
一个汇聚交换机
女1公寓
8
188
女2公寓
6
86
教师公寓1
6
26
教师公寓2
5
24
月牙湖公寓
6
72
女新公寓
7
男新公寓
7
210
实验楼
5
65
招待所
5
46
医务室
28
男1号公寓
6
144
一个汇聚交换机
启明楼
4
6
3教楼
5
42
根据信息点数量和原有的设备配置完成设备的补充选型,根据学院的网络接入数量和楼宇间的分布进行布线。
做到充分利用现有资源,合理的完成网络的建设。
在现有的网络中,设备齐全,但是在新建的网络中,设计到部分楼宇没有设备,所以应选取几个设备进行配置,经过调查、分析,可以在新建的网络中添加几个接入层交换机。
原有网络中没有路由器,防火墙的负担过大,所以选择路由器一个。
由于在网络的改造过程中,会添加几个服务器,所以应该选取2个服务器。
各个设备的参数信息如下:
表3-2路由器参数
H3CMSR50-40价格40000元
设备类型
多业务开放路由器
端口类型
模块化
扩展模块
8
固定局域网接口
2个千兆光纤接口/电Combo
传输速率
10/100/1000Mbps
内存
1G
包转发率
600Kpps
处理器
RISC新一代处理器833MHz
控制端口
Console/AUX
支持网络协议
IP服务,非IP服务,IP应用,IP路由,MPLS,IPv6,广域网协议,局域网协议
支持的网管协议
网络管理,本地管理,用户接入管理
网管软件
网络管理、本地管理、用户接入管理
是否VPN支持
是
是否Qos支持
是
是否内置防火墙
是
安全标准
UL609503rdEdition,CSA22.2#9503rdEdition1995,EN60950:
2000+ZB&ZCdeviationsforEuropeanUnionLVDDirective,IEC60950:
1999+corr.Feb.2000,modified+allNationaldeviations
电源电压(V)
AC:
输入额定范围:
100~240V50/60Hz.DC:
-48~-60V
电源功率(W)
350
适用环境
温度:
0℃-40℃、湿度:
5%-90%(不结露)v
接入层交换机主要以100Base-TX为接口,选择24端口和48端口的智能型交换机为主,并有支持多模光纤或1000Base-T的接口,有利于接入层交换机和汇聚层相连,方便网络中的布线,在设备的选取上其交换机的性价比都较高。
具体参数如下:
表3-3交换机参数
(一)
H3CS1550 价格2980元
交换机类型
智能交换机
传输速率
10Mbps/100Mbps/1000Mbps
端口数量
50个
模块化插槽数
1个
背板带宽
13.6Gbps
网络标准
IEEE802.3、IEEE802.3u、IEEE802.3z、IEEE802.3ab、IEEE802.3xv
接口介质
10/100Base-TX:
五类双绞线,传输距离100m、1000Base-LX-SFP:
9/125μm单模光纤,传输距离10km、1000BASE-ZX-LR-SFP:
9/125μm单模光纤,传输距离40km、1000BASE-ZX-VR-SFP:
9/125μm单模光纤,传输距离70km、1000BASE-SX-SFP:
50/125µm多模光纤,传输距离550m
交换方式
存储-转发
传输模式
全双工/半双工自适应
VLAN支持
支持
电源
AC100-240V(50Hz-60Hz)
环境标准
工作温度:
0℃-40℃、工作湿度:
20%-85%无凝结
表3-4交换机参数
(二)
H3CS1224 价格 1740元
交换机类型
千兆以太网交换机
传输速率
10Mbps/100Mbps/1000Mbps
端口数量
24
网络标准
IEEE802.3x、IEEE802.3、IEEE802.3u、IEEE802.3ab
背板带宽
48Gbps
接口介质
10Base-T:
3/4/5类双绞线,支持最大传输距离200m、100Base-TX:
5类双绞线,支持最大传输距离100m、1000Base-T:
5类双绞线,支持最大传输距离100m
交换方式
存储-转发
传输模式
全双工/半双工自适应
VLAN支持
支持
电源
100V~240V,50/60Hz
环境标准
工作温度:
0℃-40℃、存储温度:
-10℃-70℃、工作湿度:
10%-85%无凝结、存储湿度:
10%-90%无凝结
在新建的网络中,会涉及到DNS服务器和DHCP服务器,然而原有的网络中没有两个服务器,所以需要挑选服务器,在服务器的选择上应该要先考虑服务器的硬件配件和服务器的安全措施。
表3-5服务器参数
HPProLiantDL380G5(458563-AA1)价格19800元
类别
机架式
结构
2U
CPU类型
XeonE5440
CPU频率(MHz)
2830
处理器描述
标配1个XeonE5440处理器
最大处理器数量
2
内存类型
FB-DIMM
CPU二级缓存
12MB
内存大小
2GB
主板芯片组
Intel5000p
最大内存容量
32GB
FSB(总线)
1333MHz
硬盘类型
SAS/SATA
内部硬盘架数
8个纤小型(SFF)热插拔驱动器托架支持串行SCSI(SAS)和串行ATA(SATA)驱动器
最大热插拔硬盘数
支持8个热插拔
磁盘阵列卡
HP智能阵列P400/256MB控制器(RAID0/1/1+0/5)
光驱
可选DVD光驱、DVD/CD-RWcombo光驱、DVD+R/RW光驱
网络控制器
带有TCP/IP卸载引擎的两个嵌入式NC373i多功能千兆网络适配器,通过一个可选许可套件支持加速的iSCSI
标准接口
1个串行端口、1个定位设备(鼠标)接口、1个显卡接口、1个键盘接口、2个VGA端口(正面1个、背面1个)、2个RJ-45网络接口、1个iLO2远程管理端口、5个USB2.0端口(正面2个、背面2个、内置1个)
安全性
开机密码;键盘密码;磁盘驱动器控制;磁盘启动控制;快速锁定、网络服务器模式;并行及串行端口控制;管理员密码
电 压
100-132V,200-240V;50/60Hz
系统支持
MicrosoftWindowsServer2000;MicrosoftWindowsServer2003;RedHatEnterpriseLinux;VMware虚拟化软件;Solaris1032/64位
环境
10℃-35℃(温度)10%-90%(湿度)
根据网络中各个楼宇的信息节点数和网络实际现状,然后可以算出新增的网络设备,根据设备的基本价格和数量可以算出网络中设备的大概价格。
表3-6设备价格
型号
名称
单价(元)
数量(个)
总价(元)
合计(元)
H3CMSR50-40
路由器
40000
1
40000
160320
H3CS1550
交换机
2980
23
68540
H3CS1224
交换机
1740
7
12180
HPProLiantDL380G5
服务器
19800
2
39600
3.2逻辑设计
网络逻辑设计包括整个网络的IP地址划分和VLAN的划分,在目前网络中,由于公有IP地址的缺乏,网络内部的IP地址主要是采用网络私有地址进行配置通信,在整个学院公网IP地址只有5个,所以在学院的通信设备上采用NAT服务,对内网地址进行转换,然后连接到公网,实现通信,在改造方案中将大致采用其相同的原则,对全网进行IP分段,设立VLAN,让网络之间既有连接又有隔离,从而保证网络的安全和稳定,也可以在整体上保持与原有网络的兼容,保证网络内部之间和网络外部的正常通信。
具体的IP划分情况如下:
表3-6IP分配及Vlan分配
IP地址
掩码
所属VLAN
服务器组
192.168.0.1-192.168.0.254
255.255.255.0
Vlan-100
电信系
192.168.1.1-192.168.1.254
255.255.255.0
Vlan-101
机电系
192.168.2.1-192.168.2.254
Vlan-102
管理系
192.168.3.1-192.168.3.254
Vlan-103
建筑系
192.168.4.1-192.168.4.254
Vlan-104
人文系
192.168.5.1-192.168.5.254
Vlan-105
外语系
192.168.6.1-192.168.6.254
Vlan-106
艺体系
192.168.7.1-192.168.7.254
Vlan-107
财会室
192.168.8.1-192.168.8.254
Vlan-108
一教楼
192.168.9.1-192.168.9.254
255.255.255.0
Vlan-109
三教楼
10.1.1.1-10.1.255.255
255.0.0.0
四教楼
10.2.1.1-10.2.255.255
255.0.0.0
音乐楼
10.5.1.1-10.5.255.255
255.0.0.0
启明楼
10.3.1.1-10.3.255.255
255.0.0.0
Vlan-110
实验楼
10.4.1.1-10.4.255.255
255.0.0.0
Vlan-111
图书馆
10.6.1.1-10.6.255.255
255.0.0.0
Vlan-112
男生公寓
10.7.1.1-10.7.255.255
255.0.0.0
Vlan-113
女生公寓
10.8.1.1-10.8.255.255
255.0.0.0
Vlan-114
教师公寓
10.9.1.1-10.9.255.255
255.0.0.0
Vlan-115
3.3安全设计
网络安全的设计主要是要让网络状况安全、可靠、运行正常,在安全方面主要分为网内安全和网外安全,在内部网安全改造中主要包括设置DMZ区、配置VLAN、物理位置安全和加大对网络内部的监控等,外网方面主要服务器安全、ACL控制、和外网的数字签名。
3.3.1内部网安全
1.配置DMZ区
在网络中要进行正常的工作,就必须有其相应的服务体系,服务体系中包括各种服务器,之间相互依靠组成网络服务,其中有服务于网络内部的各种服务,例如,WWW服务等,也有服务于网络外部的各种服务,例如,FTP服务、DNS服务,电子邮件服务等,涉及到外网的部分就必须考虑到其自身的安全,在正常工作的情况下不影响到内网的安全,同时在内网中的服务器也不允许外网进行访问,所以应该在这之间设立一个独立的空间隔开内网和外网,即DMZ区,
2.配置VLAN
校园网是一个比较大型的网络,网内信息接入点多,信息流量大小不同,所以应该对其进行合理的分配,不仅可以隔开网络,防止广播风暴的威胁,从宏观上控制整个网络的访问量,从而达到使网络更加的安全可靠,也可以更加方便的管理网络,各个VLAN的不同更加有利于使用。
3.物理安全
物理安全主要是考虑计算机系统、网络服务器、打印机等硬件实体和通信线路免受自然灾害、人为破坏和搭线攻击,在网络设计中,物理安全是整个网络平台运行的基础,所以应该加强管理和监督,防止硬件上的破坏。
包括机房的卫生、安全、整体布线。
4.网络的监控
在局域网内部,安全是最重要的,没有稳定的网络,日常的工作、学习都会受到影响,目前网络内部安全机制十分的缺乏,比如在校内的PC机上多少存在病毒,所以在操作上会遇到许多的麻烦,所以,在网络运行过程中,要加强日常管理的强度,时常对网络进行监督,查看相关的日志,从而发现问题,解决问题,使网络正常运行。
防止病毒在网内的肆意蔓延。
3.3.2外部网安全
1.服务器安全
在目前网络的服务器安全控制上,主要依据服务器上自带的安全措施对服务器进行管理,在网络扩建的部分所涉及的服务器在选取的时候要注意服务器自身所带的安全控制功能,有利于以后的配置,另外,在现有网络中设计的服务器要做好日常的管理,多多注意,分析日志文件,防止病毒或其他的问题发生,
2.ACL访问控制
ACL控制,是一种控制内网和外网的访问规则,它通过在路由器上编写代码,控制内网和外网之间的访问,控制数据流,过滤对网络进行恶意攻击的数据包,比如,不允许外网设备访问内网的服务器等,从而做到内网的安全。
也可以控制内网的设备访问外网,从而减轻路由器、防火墙的负担。
主要的控制命令如下:
Router(config)#access-listaccess-list-number{permit|deny}sourcesource-widcard;
Router(config-if)#{protocol}access-groupaccess-list-number{in|out};
//定义标准的ACL并放在相应的端口上
Router(config)#access-listaccess-list-number{permit|deny}protocolsource[source-maskdestinationdestination-mask][operatoroperand][established];
//配置扩展的ACL
3.防火墙
防火墙是整个网络的第一道门户,所以防火墙的安全是非常重要的,好的防火墙可以分担整个网络很多安
升级会员 