CCNA课程设计.docx
《CCNA课程设计.docx》由会员分享,可在线阅读,更多相关《CCNA课程设计.docx(20页珍藏版)》请在冰豆网上搜索。
CCNA课程设计
摘要
在当今社会中,信息已成为一种关键的战略资源。
为了使信息能准确、高速地在各种型号的计算机、终端机、电话机、传真机等通讯设备之间传递,世界上有不少发达国家正在兴建信息高速公路。
21世纪将是Inter-Networking(联网机器)、Client/Server和多媒体整合的年代。
现在“联网机器”的概念代替了“机器联网”的传统概念。
也就是说,当一个企业或一个政府部门在规划电脑系统时,先从建网开始,在根据具体需求将各种型号的大、中、小型计算机以及微机挂在网上,从根本上避免了“机器联网”造成的开放性不良的被动局面。
因此,在新建大楼或旧楼改造的工程中迫切需要一种先进的布线系统来铺设信息高速公路。
互联网各种级别的网络中随处都可见到路由器。
接入网使得家庭和小型企业可以连接某个互联网服务提供商;企业网中的路由器连接一个校园或企业内成千上万的计算机;骨干网上的路由器终端系统通常是不能直接访问的,它们连接长距离骨干网上的ISP和企业网络。
互联网的快速发展无论是对骨干网、企业网还是接入网都带来了快速的发展。
关键词:
路由器;交换机;服务器;防火墙;
目录
1.项目概述1
1.1概括1
1.2建设目标1
2.可行性分析报告1
3.需求分析1
3.1需求概述1
3.2网络需求2
3.3网络安全体系要求2
4.系统配置与实施3
4.1网络拓扑结构图3
4.2IP地址规划3
4.3IP划分一览表4
4.4vlan划分表4
4.5服务器规划表5
4.6网络配置命令5
4.7网络和应用服务6
4.8网络安全设计模型6
4.8.1外部网络安全6
4.8.2内部网络安全7
4.8.3广域网通信安全7
4.9网络调试7
5.工程预算8
6.总结10
6.1设计中遇到的问题以及解决办法10
6.2设计心得11
参考文献12
1.项目概述
1.1概括
为了推进教育学信息化和现代化,某高校计划在校内建立校园内部网。
根据要求,我们按照“统一规划、讲究实效、安全可靠”的原则,进行校园网综合系统设计,以满足校园内计算机网络系统的需要。
对于某高校来说,由于将有越来越多的资料信息和管理平台放到校园网上,越来越多的用户使用校园网,校园网的可扩展性和可靠性成为选择合作伙伴的重要标准。
1.2建设目标
通过建设一个高速、安全、可靠、可扩充的网络系统,实现校内信息的高度共享、传递,教学及管理信息化,并通过与广域网的互联,实现校际间的信息共享及与州TER的连接,实现远程教育,为学校的教学、管理、日常办公、内外交流等各方而提供全面、切实的支持。
2.可行性分析报告
校园网建设,要为教育教学服务,为促进学校教育现代化服务。
本着少花钱办大事的原则,充分利用有限的投资,在保证网络先进性的前提下,选用性能价格比最好的设备的原则,有计划、有重点,分层次,积极稳妥地推迸校园网建设。
要严格规范校园网建设及相应的软件开发标准,确保信息化校园的整体建设规划和管理要求的落实。
3.需求分析
3.1需求概述
随着信息时代的到来,校园网己经成为现代教育背景下的必要基础设施,成为学校提高水平的重要途径。
校园网络的主干所承担的信息流量很大,校园网络的建设的目标是在校园内实现多媒体教学、教务管理、通信、双向视频点播(VOD)等信息共享功能,能实现办公的自动化、无纸化。
能通过与Internet的互联,为全校师生提供国际互联网上的各种服务。
教师可以制作多媒体课件以及在网上保存和查询教学资源,能对学生进行多媒体教学和通过网络对学生进行指导与考查等。
学生也可以通过在网上浏览和查询网上学习资源,从而可以更好地进行学习,校园网能为学校的信息化建设打下基础。
3.2网络需求
3.2.1布线结构需求
图3.1布线结构
3.3网络安全体系要求
1、全性和数据完整性:
能够防止对网络的非法访问,保护关键的数据不被非法窃取、篡改或泄漏,使数据具有极高的可信性;提供了网络数据安全传输功能,消除了通信时的明码传输漏洞;通过对物理地址或有效授权用户的控制确保了主机接入的唯一性。
2、攻击性:
所采用的防火墙技术提高了网络抗攻击能力。
3、时性:
通过网络监控,能及时对受到的攻击做出反应,产生报警信息,并能够对出现的网络安全问题提供调查的依据和手段。
4、管理性:
使用AAA的认证、授权和记账方式,对用户进行统一授权、认证,便于网络管理员对各种网络设备进行集中管理。
5、定性:
具有良好的备份功能,网络设备在出现故障时能及时得以恢复,确保企业业务可靠稳定的运行。
4.系统配置与实施
4.1网络拓扑结构图
图4.1网络拓扑结构图
4.2IP地址规划
根据互联网络技术发展的趋势,结合学校网络目前真实IP地址的现实情沉,我们建议IP地址规划遵循如下原则来设计:
1.服务器区采用私IP地址,NAT后供人员远程访问;
2.与Internet互联设备IP地址采用真实IP地址;
3.部分内部互连采用私有IP地址;
4.而向用户的私有IP地址,由统一出口的边缘设备(路由器、防火墙)进行地址翻译。
即出口路由器(防火墙)互联采用合法IP地址;公共服务器如WWW/FTP/DNS资源服务器等均采用合法地址(或从安全角度考虑采用私有IP);部分接入用户采用私有保留IP地址相连。
这样设计,既可以充分利用己有的公网IP地址,解决了IP地址空间不足的,既可以方便的实现互通互连,而且将地址翻译(NAT)这种耗费设备资源的工作由网络边缘设备分担,提高网络数据传输整体性能。
4.3IP划分一览表
表4.1IP划分一览表
ip划分表
区域
起始ip
子网掩码
设备安放
带防火墙功能的路由器
210.28.36.1
255.255.255.0
校园主设备间
核心交换机
210.28.36.1
255.255.255.0
校园主设备间
ftp服务器
210.28.36.2
255.255.255.0
校园主设备间
web服务器
210.28.36.3
255.255.255.0
校园主设备间
教务管理系统服务器
192.168.0.100
255.255.255.0
校园主设备间
图书馆理服务器
192.168.3.100
255.255.255.0
图书馆设备间
教务处
192.168.0.1
255.255.255.0
教务处附近设备间
党政办公楼
192.168.2.1
255.255.255.0
党政办公楼设备间
图书馆
192.168.3.1
255.255.255.0
图书馆设备间
教学区主交换机
210.28.36.1
255.255.255.0
校园主设备间
化工系交换机
210.28.37.1
255.255.255.0
化工系设备间
外语系交换机
210.28.38.1
255.255.255.0
外语系设备间
计算机系交换机
210.28.39.1
255.255.255.0
计算机系设备间
大楼1主交换机
210.28.40.1
255.255.255.0
大楼1,3楼设备间
大楼2主交换机
210.28.41.1
255.255.255.0
大楼2,3楼设备间
各楼层交换机
255.255.255.0
各楼层设备间
4.4vlan划分表
表4.2vlan划分表
vlan划分表
vlan名称
起始ip
子网掩码
说明
教学区主交换机
vlan1
210.28.37.2
255.255.255.0
缺省vlan
vlan2
210.28.38.1
255.255.255.0
化工系vlan
vlan3
210.28.39.1
255.255.255.0
外语系vlan
vlan4
210.28.40.1
255.255.255.0
计算机系vlan
生活区大楼1主交换机
vlan1
210.28.37.100
255.255.255.0
缺省vlan
vlan2
210.28.41.1
255.255.255.0
大楼1vlan
vlan3
210.28.42.1
255.255.255.0
大楼2vlan
vlan4
210.28.43.1
255.255.255.0
大楼3vlan
vlan5
210.28.44.1
255.255.255.0
大楼4vlan
vlan6
210.28.45.1
255.255.255.0
大楼5vlan
生活区大楼2主交换机
vlan1
210.28.37.200
255.255.255.0
缺省vlan
vlan2
210.28.46.1
255.255.255.0
大楼1vlan
vlan3
210.28.47.1
255.255.255.0
大楼2vlan
vlan4
210.28.48.1
255.255.255.0
大楼3vlan
vlan5
210.28.49.1
255.255.255.0
大楼4vlan
vlan6
210.28.50.1
255.255.255.0
大楼5vlan
4.5服务器规划表
表4.3服务器规划表
校园网及相关服务器的设置
服务器
IP地址
子网掩码
说明
DHCP服务器
210.28.36.2
255.255.255.0
动态主机设置服务器
DNS服务器
210.28.36.2
255.255.255.0
域名解析服务器
FTP服务器
210.28.36.2
255.255.255.0
文件传输服务器
Web服务器
210.28.36.3
255.255.255.0
网址:
教务管理服务器
192.168.0.100
255.255.255.0
网址:
图书管理服务器
192.168.3.100
255.255.255.0
网址:
4.6网络配置命令
Switch>en进入特权视图
Switch#conft进入全局配置视图
Switch(config)#hostnameS2960设置交换机名称为S3560
S2960(config)#vlan1创建vlan1
S2960(config-vlan)#exit退出vlan1
S2960(config)#vlan2创建vlan2
S2960(config-vlan)#exit退出vlan2
S2960(config)#intfa0/10进入交换机fa0/10端口
S2960(config-if)#switchportaccessvlan1将fa0/10划分到vlan1中
S2960(config-if)#exit退出交换机fa0/10端口
S2960(config)#intfa0/20进入交换机fa0/20端口
S2960(config-if)#switchportaccessvlan2将fa0/20划分到vlan2中
S2960(config-if)#exit退出到特权视图
S2960(config)#interfacevlan1进入vlan1
S2960(config-if)#ipaddress210.28.37.1255.255.255.0配置vlan1的虚接口地址
S2960(config-if)#noshut开启
S2960(config-if)#exit退出
S2960(config)#interfacevlan2进入vlan2
S2960(config-if)#ipaddress210.28.39.1255.255.255.0配置vlan2的虚接口地址
S2960(config-if)#noshut开启
S2960(config-if)end退出到特权视图
4.7网络和应用服务
1、Web服务系统:
选用WindowsXP的IIS6.0信息服务系统。
另外也有许多免费的BBS电子公告、中文论坛、网络聊大软件可以在NT下安全运行。
2、TP服务软件:
Server-U是一种被广泛运用的FTP服务器端软件,支持9x/ME/NT/2K等全Window、系列,设置简单,功能强大,性能稳定。
Server-U不仅100%遵从通用FTP标准,也包括众多的独特功能可为每个用户提供文件共享完美解决方案。
可以设定多个FTP服务器、限定登录用户的权限、登录主目录及空间大小等,功能非常完备,具有非常完备的安全特性,支持SSLFTP传输,支持在多个Server-U和FTP客户端通过SSL加密连接保护您的数据交全等。
3、E-mail服务系统:
MuseMailSerer邮件系统完全自主开发,不依赖其他软件,支持POP3/ESMTP/IMAP/FTP/SSL等协议和标准,提供Webmail、证书服务、基本HTTP、FTP协议的网络硬盘、邮件数字水印和加密、远程管理、多域、反垃圾邮件、邮件防病毒、智能屏蔽动态攻击、多级地址簿、邮件过滤、自动回复、邮件监控和自定义签名,收取外部邮件等众多功能。
4、代理服务软件:
SuperProxy:
提供了账号管理方式,可有效管理上网用户。
经多年发展和完善,SuperProxy可以说是众多代理软件中最稳定的,全中文操作界面,功能强人,速度快,稳定性和安全性较高的成熟产品,设置简单,界面直观,各不同层次的用户都较容易掌握,几乎不用任何设置可以正常工作,支持各种Windows、平台运行,支持Ftp、Smtp、Dns、Pop3、Socks、Http等协议的代理。
5、工作站其它应用软件:
文字处理、数据表格、图形处理、浏览器、电子邮件等都有许多人家熟悉并经常使用的软件。
4.8网络安全设计模型
4.8.1外部网络安全
1.在外部网络中,包括Internet、外单位等和本企业业务网络的互连以及移动用户与办公自动化网络的连接。
业务网和办公自动化网分别通过路由器提供外部用户的接入,利用防火墙(如CiscoPIXFirewall、CheckPointFirewall等)保证内部网络不被外界探测的同时又不影响业务数据的传输。
2.利用CiscoSecureACSforNT进行AAA的认证、授权和记帐功能,中心对用户进行统一的授权、认证。
3.在用户认证方面,则采用RSA公司的ACE进行一次性密码认证,确保用户密码的安全性。
4.8.2内部网络安全
1.在内部网络中,分业务网和办公自动化网。
业务网和办公自动化网均采用两台三层中心交换机,他们互为备份;网内所有核心服务器直接接入中心交换机中。
采用虚拟网络(VLAN)和三层交换技术,保证了物理端口、IP地址与MAC地址的一一对应。
2.在业务网络中所有的业务服务器都使用ACE进行动态密码保护。
对于登录网络设备(包括路由器、交换机和PIX)都需要经过ACS进行授权与记帐,并且在ACS中限制只有授权的主机可以登录到中心网络设备。
3.使用入侵检测系统(如CiscoIDS、CAIntrusionDetection和iS-OneRealSecure等)对业务网中的数据进行实时监控,一旦发现有非法入侵,立即切断该TCP连接并记录。
4.定期使用安全扫描软件(如CiscoSecureScanner、iS-OneSystemScanner、iS-OneInternetScanner、NAICyberCopScanner等)对整个网络、主机进行扫描,一旦发现网络安全漏洞,立即进行补救。
5.利用网络级防病毒软件(如Symentic、熊猫卫士等)定期更新病毒库、定期扫描企业网的病毒。
6.业务网和办公自动化网之间通过PIX防火墙进行隔离,进一步保护了业务网络的安全性。
4.8.3广域网通信安全
企业广域网一般是由租用中国电信、广电公司的光纤、DDN线路组建的DDN或帧中继专网。
考虑到广域网通信有可能被窃听、数据被篡改和非法设备的接入等安全隐患,我们采用VPN(如CiscoVPN、SVPN等)提供网络数据安全传输功能,消除了通信时的明码传输漏洞,同时保证了网络设备之间的互为认证,保证了网络设备接入的唯一性。
4.9网络调试
网络调试过程就是测试网络设备、网络系统以及网络对应的支持进行检测,以展开和证明网络系统是否满足用户性能、安全性、易用性、可管理性等方而需求的测试。
可以通过调试软件完成对网络的调试、测试工作,如:
网络调试工具——网络调试助手,此工具是在实际工程应用中,根据实际的普遍的需求而开发的网络调试工具。
界面精致美观,实用性也强。
支持DUP,TCP协议、单播/广播、集成TCP服务器和客户端,支持ASCII、Hex发送,发送和接收的数据可以在16进制和ASCII码之间进行任意转换,可以自动发送校验位,支持多种校验格式。
支持间隔发送,循环发送,批处理发送,输入数据可以从外部文件导入。
网络测试工具—ToolKit套件中包括:
Ping、Finger、TraceRoute、switchport等基本的网络测试命令。
5.工程预算
表5.1
设备
外观
参数
采购数量
单价
合计
CISCO1841-
HSEC/K9
端口结构:
模块化
局域网接口:
2个
传输速率:
10/100Mbps
网络管理:
SNMP/telnet
防火墙:
内置防火墙
网络协议:
TCP/IP
Qos支持:
支持
VPN支持:
支持
产品内存:
最大DRAM内存:
384MB最大FLASH
其它端口:
1个板载USB端口
扩展模块:
2个模块化插槽+2个WAN接入的模块
2
7500
15000
CISCOWS-C3560V2-24PS-S
产品类型:
快速以太网交换机
应用层级:
三层
传输速率:
10/100Mbps
端口数量:
26个
网络标准:
IIEEE802.3,IEEE802.3u,IEEE802.3ab,IEEE802.1p,IEEE802.3af,IEEE802.1Q,IEEE802.1D,IEEE802.1p,IEEE802.3,adIEEE802.1x,IEEE802.1w,IEEE802.1z传输模式:
支持全双工
1
13500
13500
CISCOWS-C2960S-48TS-S
产品类型:
智能交换机
应用层级:
二层
传输速率:
10/100/1000Mbps
产品内存:
DRAM内存:
128MB
MAC地址表:
8K
端口数量:
50个
传输模式:
全双工/半双工自适应
31
7400
229400
CISCOWS-C2960-24PC-L
产品类型:
智能交换机
应用层级:
二层
传输速率:
10/100/1000Mbps
产品内存:
DRAM内存:
64MB
FLASH内存:
32MB
交换方式:
存储-转发纠错
背板带宽:
16Gbps
包转发率:
6.5Mpps
MAC地址表:
8K
端口结构:
非模块化
端口数量:
26个
端口描述:
24个以太网10/100MbpsPoE端口,2个两用上行端口
传输模式:
支持全双工
8
7200
57600
IBMSystemx3650M4(7915I51)(服务器)
CPU类型:
Intel至强E5-2600
CPU频率:
2GHz
智能加速主频:
2.8GHz
扩展槽:
2×PCI-E3.0
1×PCI-X(可选)
内存类型:
ECCDDR3
内存容量:
8GB
内存插槽数量:
24
最大内存容量:
768GB
硬盘接口类型:
SATA/SAS
最大硬盘容量:
9TB
1
26000
26000
戴尔PowerEdge12GR720(XeonE5-2609/2GB/300GB)
产品类别:
机架式
CPU类型:
Intel至强E5-2600
CPU型号:
XeonE5-2609
主板芯片组:
IntelC600
扩展槽:
1×全高全长PCI-Ex16插槽
内存插槽数量:
24
最大内存容量:
768GB标配硬盘容量:
300GB最大硬盘容量:
24TB
内部硬盘架数:
最大支持8块3.5英寸硬盘/16块2.5英寸硬盘纠错
磁盘控制器:
PERCH310
网络控制器:
Intel四端口千兆网卡/双端口万兆网卡
系统管理:
符合IPMI2.0标准
2
12000
24000
大唐保镖工程超五类非屏蔽电缆
产品类型:
超五类双绞线
产品特性:
高性能的超5类非屏蔽电缆,性能成熟稳定,满足用户的多方面性能要求,安普布线高品质的最佳代表。
性能超过TIA/EIA568B和ISO超五类标准;
经独立机构ETL/SEMKO测试和认证;获UL认证
依情况而定
480元*100米
0
总计
365500
6.总结
6.1设计中遇到的问题以及解决办法
在课程设计过程中,遇到问题时在组员的共同努力下,以及老师的指导下,我们解决了这些问题。
1、在IP地址规划方面,我们通过划分VLAN的方法解决了多设备连接情况下的IP问题。
2、后期设备维护以及管理方面,本组采用核心交换机,下设各个区域的主交换机,主交换机又下设分交换机,在主交换机上划分VLAN解决了日后方便维护等等问题,同时VLAN络上的广播,将网络划分为多个VLAN可减少参与广播风暴的设备数量。
LAN分段可以防止广播风暴波及整个网络。
VLAN可以提供建立防火墙的机制,防止交换网络的过量广播。
使用VLAN,可以将某个交换端口或用户赋予某一个特定的VLAN组,该VLAN组可以在一个交换网中或跨接多个交换机,在一个VLAN中的广播不会送到VLAN之外。
同样,相邻的端口不会收到其他VLAN产生的广播。
这样可以减少广播流量,释放带宽给用户应用,减少广播的产生。
3、考虑到缺省VLAN;在所有的网络中比如校园网或者是企业网中,用户在通过802.1x认证之前属于一个缺省VLAN,用户访问该VLAN内的资源不需要认证,只能访问有限的网络资源,但此时不能够访问其他网络资源。
这个VLAN就是缺省VLAN。
没有通过认证的客户端计算机处于这个VLAN中,它们只能访问到缺省VLAN服务器的资源,用户从处于缺省VLAN的服务器上可以获取802.1x客户端软件,升级客户端,或执行其他一些应用升级程序,这是因为如果没有专用的认证客户端或者客户端版本过低等原因,导致在一定的时间内端口上无客户端认证成功,接入设备会把该端口加入到缺省VLAN。
认证成功后,端口离开缺省VLAN,用户可以访问其特定的网络资源。
需要注意的是:
缺省vlan仅支持基于端口的802.1X协议,不支持基于MAC地址的802.1
6.2设计心得
通过此次课程设计,使我更加扎实的掌握了有关计算机网络方面的知识,在设计过程中虽然遇到了一些问题,但经过一次又一次的思考,一遍又一遍的检查终于找出了原因所在,也暴露出了前期我在这方面的知识欠缺和经验不足。
实践出真知,通过亲自动手制作,使我们掌握的知识不再是纸上谈兵。
我不仅仅学到了专业知识,更使我懂得如何做事。
其实每一次的课程设计都是在教会我怎么样做事情,它告诉我完成一件事情,光靠团队的人数是没有任何优势的,关键在
升级会员 