计算机网络作业寇旭平Word文档下载推荐.docx
《计算机网络作业寇旭平Word文档下载推荐.docx》由会员分享,可在线阅读,更多相关《计算机网络作业寇旭平Word文档下载推荐.docx(20页珍藏版)》请在冰豆网上搜索。
●拨号上网
通过PSTN或ISDN按需要建立与私有网络的连接,通常采用NAS(NetworkAccessServers)分布在一个或多个中心节点,用户拨号到NAS,由其进行Authentication,Authentication和Accounting(AAA),效率、速度等往往很难令人满意。
●直接利用Internet构筑起本公司的Intranet或Extranet
Internet迅速发展无所不在以及诱人的低价位,的确令众多厂商开始采用这种办法,但是直接利用Internet只能进行WEB、E-MAIL等有限的应用,并且Internet天生的开放性使安全性又成了问题,公司的机密数据一旦在Internet传输,若没有安全性保障,其后果可想而知。
2)VPN
VPN(虚拟专用网络),即是指在公众网络上所建立的企业网络,并且此企业网络拥有与专用网络相同的安全、管理及功能等特点,它替代了传统的拨号访问,利用Internet公网资源作为企业专网的延续,节省昂贵的长途费用。
VPN乃是原有专线式企业专用广域网络的替代方案,VPN并非改变原有广域网络的一些特性,如多重协议的支持、高可靠性及高扩充性,而是在更为符合成本效益的基础上来达到这些特性。
VPN的服务类型之一IntranetVPN,即企业的总部与分支机构间通过VPN虚拟网进行网络连接。
随着企业的跨地区、国际化经营,这是绝大多数大、中型企业所必需的。
如果要进行企业内部各分支机构的互联,使用IntranetVPN是很好的方式。
这种VPN是通过公用因特网或者第三方专用网进行连接的,有条件的企业可以采用光纤作为传输介质。
它的特点就是容易建立连接、连接速度快,最大特点就是它为各分支机构提供了整个网络的访问权限。
越来越多的企业需要在全国乃至世界范围内建立各种办事机构、分公司、研究所等,各个分公司之间传统的网络连接方式一般是租用专线。
显然,在分公司增多、业务开展越来越广泛时,网络结构趋于复杂,费用昂贵。
利用VPN特性可以在因特网上组建世界范围内的IntranetVPN。
利用因特网的线路保证网络的互联性,而利用隧道、加密等VPN特性可以保证信息在整个IntranetVPN上安全传输。
IntranetVPN通过一个使用专用连接的共享基础设施,连接企业总部、远程办事处和分支机构。
企业拥有与专用网络的相同政策,包括安全、服务质量(QoS)、可管理性和可靠性。
网络系统如采用传统专线方式相比于VPN组网方式有诸多不足,下表是VPN与专线的综合比较:
VPN技术
专线技术
安全性
非常高,保护数据传输的完整性、保密性、不可抵赖性;
安全控制在用户手里
比较高。
但是,安全是建立在对电信部门相信的基础上,对电信运营商,无任何安全可言。
可扩展性
基于TCP/IP技术,接入方式灵活,只要网络可达,就可以方便扩展。
依靠当地运营商的支持,扩展很不方便。
投资成本
设备一次性投入,不需要支出每月的运营费用,长期看来大幅度节省支出。
专线费用很高,需要每月支付昂贵的专线租用费用,而且在初期要一次性投入路由器的费用
对远程用户的支持
能对internet上的内部移动用户安全接入,彻底消除地域差异。
构造全球的虚拟专网。
只能联通专线拉到的网络,不支持离开局域网的内部用户接入专网。
带宽
使用各种廉价的宽带介入方式,如:
ADSL,Ethernet等,一般在1~100M。
由于价格昂贵,一般租用的带宽都比较窄(一般不超过2M)。
升级
依赖于设备的升级,非常方便。
依赖于电信部门。
由此可见,采用IntraNetVPN方式组网具有投资成本低、高带宽、高可靠性、高安全性以及灵活的可扩展性的优点,采用VPN方式组网对XX卷烟厂来说是现实可行的,完全可以满足厂里的业务需要。
五、网络方案设计
5.1组网分析
●主厂区
总部是信息存放、处理的中心,网络内部主机数量多,数据流量大,同时,为了保障网络安全,我们选择具备防火墙、VPN功能的深信服M5100-S防火墙,深信服M5100-S是一款整合多种安全防护功能的智能网络安全防火墙安全产品。
它是深信服推出的二合一VPN/防火墙网关,同时适用于网间互连和无客户端的移动接入,局域网内用户数不限,IPSECVPN吞吐量54M,SSLVPN吞吐量70M,防火墙吞吐量95M,AES加密/HARDCA证书认证及LDAP或第三方CA认证/支持动态IP,数据流压缩,集成企业级防火墙。
●库区和厂外销售部
库区和厂外销售部利用ChinaNet和Internet网及数据加密技术构成企业的内部虚拟专用网。
考虑到各分支节点经济及网络状况和VPN连接的稳定性,因此,可采取联想网御SJW44(60S)网关,网御VPN硬件安全网关是独立的VPN网关设备,由高可靠性的工控标准主板、硬件密码模块和电子盘等构成,内置专用嵌入式操作系统和VPN软件模块。
●各销售点设计方案
由于市内的销售点仅有一台计算机,所以采用Modem、ADSL或宽带的方式接入Internet,并在该终端上安装软件网关,从而达到和主厂区以及市内其他销售部的VPN通讯。
●移动用户的远程安全接入
在外出差的移动用户可以通过安装在笔计本电脑上的“安全客户端”软件,随时通过当地的ISP(如:
拨号上网)接入Internet。
再使用该软件和远端的安全网关建立加密隧道,安全接入总部和各个销售部,并在任何地方使用卷烟厂内部的OA系统。
5.2拓朴结构
XX卷烟厂的企业网Intranet是以主厂区的办公大楼为中心,通过帧中继及电信的VPN与市内的厂外销售部连接的企业广域网,其余市里的近百个小销售点则通过拨号上网或宽带上网与总部服务器连接,已经初步建立起一套信息交互的网络体系。
总部网络通过电信的光纤接入互联网。
在网络的接口处部署了防火墙提供内网访问Internet的路由并保证内部网络的安全。
5.3IP地址规划
规划原则:
简单性:
地址的分配应该简单,避免在主干上采用复杂的掩码方式;
连续性:
为同一个网络区域分配连续的网络地址,便于地址聚合,提高路由器的处理效率;
可扩充性:
为一个网络区域分配的网络地址应该具有一定的容量,便于主机数量增加时仍然能够保持地址的连续性;
唯一性:
在整个网络环境中必须保持IP地址的唯一性;
可管理性:
地址的分配应该有层次,某个局部的变动不要影响上层、全局。
安全性:
网络内应按工作内容划分成不同网段即子网以便进行管理。
规划方案:
采用内部地址172.16.0.0,掩码255.255.255.0来给每一部门分配地址区间
部门
VLAN号
IP地址
掩码
财务部
VLAN1
172.16.1.0
255.255.255.0
质量部
VLAN2
172.16.2.0
政工部
VLAN3
172.16.3.0
销售部
VLAN4
172.16.4.0
后勤部
VLAN5
172.16.5.0
生产部
VLAN6
172.16.6.0
技改部
VASAN7
172.16.7.0
5.4骨干网技术
互联网的发展,经过了从窄带道宽带,从电缆道光纤的发展过程,目前为此,世界各国在构建宽带网络是,主要采用以下技术,它们也是较为成熟的骨干组网技术:
1、千兆以太网技术(GE)
最高传输速率为1Gbps,与以太网技术、快速以太网技术向下兼容。
GE解决方案是指采用GELAN交换机(第二层或第三层)组网。
2、异步转移模式(ATM技术)
采用信元传输和交换技术,减少处理时延,保障服务质量,使其端口可以支持从E1(2Mbps)到STM-1(155Mbps)、STM-4(622Mbps)、STM-16(2.4Gbps)、STM-64(10Gbps)的传输速率。
3、SDH技术(或IPoverSDH技术)
采用高速光纤传输,以点对点方式提供从STM1到STM64甚至更高的传输速率。
其中IPoverSDH技术也简称为POS技术,也就是将IP包直接封装到SDH帧中,提高了传输的效率。
4、动态IP光纤传输技术(DPT)
定义了一种全新的传输方法—IP优化的光学传输技术。
这种技术提供了带宽使用的高效率、服务类别的丰富性以及网络的高级自愈功能,从而在现有的一些解决方案基础上,为网络营运商提供了性能价格比极好和功能极其丰富的更先进的解决方案。
骨干技术性能对比分析
DPT
POS
ATM
GE
可靠性
高
中
低
弹性和可扩展性
带宽使用效率
QoS和IP业务增强
性价比
小型网络
大型网络
综上,充分考虑到主干网技术发展的主流和趋势后,选用DPT技术作为卷烟厂的骨干网技术。
DPT的主要优点是动态使用带宽,带宽利用率大大提高,避免点对点连接的限制,减少需要的端口数。
这种技术是将IP数据包直接在光纤上传输,从而大大提高在以IP应用为主的网络传输的效率和性能。
其光纤连接快速切换、50ms恢复IP业务、无路由表重算、带宽动态分配,高速的广播和跨网QoS等功能。
六、网络管理与安全
6.1网络管理
网络管理就是控制一个复杂的数据网络去获得最大效益和生产率的过程,为了更好的定义网络管理的范围,国际标准化组织(ISO)把网络管理的任务划分为五个功能:
网络的故障管理、配置管理、性能管理、安全管理和计帐管理。
●故障管理(FAILURES):
检测、隔离、更正网络问题,并从这些问题中恢复;
●配置管理(CONFIGURATION):
从网络中获取信息、并根据这些信息对设备进行配置,通过它,可以实现对网络设备配置的集中管理;
●性能管理(PERFORMANCE):
调整和优化网络性能的管理活动,经常要考虑的性能变量有网络吞吐量、用户响应时间和线路利用率等;
●安全管理(SECURITY):
控制对网络资源和敏感信息的访问,这种控制包括对网络设备的访问限制、对给定设备上某种应用的访问控制,以及对网络协议的访问控制;
●计费管理(ACCOUNTING):
测度网络上资源的利用情况,设置计量单位、确定开销、向用户收费。
6.2网络安全体系
随着计算机网络的不断发展,全球信息化已成为人类发展的大趋势。
但由于计算机网络具有联结形式多样性、终端分布不均匀性和网络的开放性、互连性等特征,致使网络易受黑客、恶意软件和其他不轨的攻击。
网络安全是一个关系国家安全和主权、社会的稳定、民族文化的继承和发扬的重要问题。
其重要性,正随着全球信息化步伐的加快而变到越来越重要。
6.21什么是网络安全
网络安全是指网络系统的硬件、软件及其系统中的数据受到保护,不受偶然的或者恶意的原因而遭到破坏、更改、泄露,系统连续可靠正常地运行,网络服务不中断。
6.22网络安全的特征
网络安全应具有以下四个方面的特征:
保密性:
信息不泄露给非授权用户、实体或过程,或供其利用的特性。
完整性:
数据XX不能进行改变的特性。
即信息在存储或传输过程中保持不被修改、不被破坏和丢失的特性。
可用性:
可被授权实体访问并按需求使用的特性。
即当需要时能否存取所需的信息。
例如网络环境下拒绝服务、破坏网络和有关系统的正常运行等都属于对可用性的攻击;
可控性:
对信息的传播及内容具有控制能力。
6.23主要的网络安全威胁
自然灾害、意外事故;
计算机犯罪;
人为行为:
比如使用不当,安全意识差等;
黑客行为:
由于黑客的入侵或侵扰,比如非法访问、拒绝服务计算机病毒、非法连接等;
内部泄密;
外部泄密;
信息丢失;
电子谍报:
比如信息流量分析、信息窃取等;
信息战;
网络协议中的缺陷,例如TCP/IP协议的安全问题等等。
6.24安全性设计
内部网安全控制:
划分网段
由于局域网中采用广播方式,因此,通过对广播域中信息包的侦听,黑客就可以截取在广播域中传递的信息。
为此,常采用网络分段方式,将非法用户与网络资源隔离。
网络分段有物理分段和逻辑分段两种方式。
物理分段常是指将网络从物理层和数据链路层上分为若干网段,各网段之间无法进行直接通讯。
逻辑分段是指将系统从网络层分段。
对于TCP/IP网络,可把网络分成若干IP子网,各子网间必须通过诸如路由交换机之类的设备进行连接,利用这些设备的安全机制来控制各子网间的访问。
VLAN
VLAN(虚拟局域网)也是保证网络安全的重要技术之一。
使用VLAN技术,可以将不同部门、不同权限的用户划分在不同的虚拟网内,通过VLAN设置的访问控制,使在虚拟网外的节点不能直接访问虚拟网内节点。
外联网的安全控制:
内部网与外部网络之间的安全控制主要采用防火墙技术。
防火墙是如下的一种策略,它是两个网络之间访问的集合,可实现:
从里向外,或从外向里的流量,必须经过防火墙;
只有被本地安全政策允许的流量才能通过防火墙;
防火墙本身不可穿过。
从网络安全的需求上来看,可以将防火墙的特点分为三大类:
第一类为安全性类,包括访问控制、授权论证、加密、内容安全;
第二类是管理和记帐,包括路由器安全管理、记帐、监控等;
第三类为连接控制。
主要功能为:
访问控制
限制未授权用户访问内部网和信息资源的措施。
支持多种应用和协议,包括抽有Internet服务,如安全WEB浏览器、传统Internet应用Mail、FTP等,支持多媒体应用。
授权认证
对访问连接的用户采取有效的权限控制和访问者的身份识别。
同时对在整个网络范围内发生的认证过程进行全程的监控、跟踪和记录。
地址翻译
隐藏内部IP地址和网络结构;
把内部的非法IP地址翻译成合法的IP地址。
日志、记帐
对用户在网络中的活动情况进行记录,允许系统管理员对选择的连接进行记帐处理。
七、设备选型
7.1设备选型的原则
●稳定可靠的网络
只有运行稳定的网络才是可靠的网络,而网络的可靠运行取决于诸多因素,如网络的设计,产品的可靠,而选择一个具有运营此类网络规模经验的网络合作厂商则更为重要。
●高带宽
为了支持数据、话音、视像多媒体的传输能力,在技术上要到达当前的国际先进水平。
要采用最先进的网络技术,以适应大量数据和多媒体信息的传输,既要满足目前的业务需求,又要充分考虑未来的发展。
为此应选用高带宽的先进技术。
●易扩展的网络
系统要有可扩展性和可升级性,随着业务的增长和应用水平的提高,网络中的数据和信息流将按指数增长,需要网络有很好的可扩展性,并能随着技术的发展不断升级。
●安全性
网络系统应具有良好的安全性,由于网络连接县城内部所有用户,安全管理十分重要。
应支持VLAN的划分,并能在VLAN之间进行第三层交换时进行有效的安全控制,以保证系统的安全性。
比如对于外网防止DOS攻击能力,RIP攻击,DHCPserver等.对于内部网络,按照用户,功能进行VLAN划分,网段划分等..
●容易控制管理
因为上网用户很多,如何管理好他们的通信,做到既保证一定的用户通信质量,又合理的利用网络资源,是建好一个网络所面临的首要问题。
7.1交换机
主交换机:
CISCOWS-C3560G-48TS-E
参考价格:
¥48000
交换机类:
千兆以太网交换机
传输速率:
10Mbps/100Mbps/1000Mbps
传输模式:
支持全双工
内存:
128MBDRAM和32MB闪存
网络标准:
IEEE802.3,802.3u,802.3z
端口数量:
48
销售部组网交换机:
CISCOWS-C3560G-24PS-S
¥21000
24
7.2路由器
CISCO2811
9800
路由器类:
多业务路由器
网络协议:
IEEE802.3X
固定的局:
2个10/100Mbps
其他端口:
Console
内置防火:
是
Qos支持:
支持
7.3服务器
项目
HPProLiantDL380G5433524-AA1
CPU
IntelXeonE53452.33GHz四核
处理器二级缓存
8MB
内存
DDR24GB
最大内存
32GB
存储控制
SATA/SCSI
光驱
IDEDVD-ROM/CDRW组合光驱
网络控制器
10/100/1000以太网络
网卡数量
1个
电源功率
800W
I/O接口
1个串行端口,1个定位设备(鼠标)接口,1个显卡接口,1个键盘接口,2个VGA端口(正面1个,背面1个),2个RJ-45网络接口,1个iLO2远程管理端口,5个USB2.0端口(正面2个,背面2个,内置1个)
操作系统
WindowsServer2000,WindowsServer2003,NovellNetWare,,RedHatEnterpriseLinux,SUSELinuxEnterpriseServer,SCOUnixWare,OpenServer,VMware虚拟化软件,Solaris1032/64位
参考价格
31500
7.4工作站
HPWorkstationxw3400(GH680PA)
AMD双核皓龙
处理器主频
2.20GHz
处理器缓存
2MB二级高速缓存
主板芯片组
ATIExpress1150芯片组
内存类型
DDR2
标配内存
1024MB
硬盘容量
160GB
硬盘类型
SATA
8888
7.5防火墙
VPN防火墙:
深信服M5100-S
35000
设备类型:
VPN防火墙
接口:
2个LAN口,2个WAN口,1个DMZ
协议:
IPv4,IPv6,VLAN,路由,NA
性能概述:
IPSEC/SSL二合一VPN/防火墙
外形尺寸:
标准19英寸机架
输入电压:
110-240V
VPN网关:
联想网御SJW44(60S)
28000
VPN网关
1个10/100BASE-TX端口,4x10/
TCP/IP、UDP、ICMP、IPSEC、
网御VPN硬件安全网关是独立
标准1U机架式
185V-265V
八、软件配置
8.1服务器端
•系统:
WindowsServer2003/2008;
•WEB服务:
IIS7,Apache2.2;
•邮件服务:
MicrosoftExchange;
•数据库:
SQLServer2005,Oracle;
8.2工作站端
WindowsXP/Vista;
•浏览器:
IE6/7或Firefox;
•办公软件:
Office2007;
8.3开发工具
•数据库开发工具:
SQLServer2005;
•网页开发工具:
AdobeDreamwaverCS3;
•编程工具:
VisualStudio2005.
九、综合布线
9.1设计依据
设计标准
IEEE802.310BASE-T
IEEE802.5TokenRing
IEEE802.3Ethernet(100BASE-T)
EIA/TIA-568A
ANSIFDDI/TPDDI100Mbps
CCITTATM155Mbps/622Mbps
CCITTISDN
ISO11801
安装与设计规范
中华人民共和国通信行业标准(98年版)
中国工程建设标准化协会标准
中国建筑电气设计规范(GBJ/T16-92)
智能建筑设计标准
朗讯科技SYSTIMAXSCS工程设计手册
YD/T926.1-1997大楼通信综合布线系统标准(邮电部部颁行业标准)
设计安装环境
温度:
-5摄氏度~45摄氏度