网络课程设计报告五邑大学.docx
《网络课程设计报告五邑大学.docx》由会员分享,可在线阅读,更多相关《网络课程设计报告五邑大学.docx(57页珍藏版)》请在冰豆网上搜索。
网络课程设计报告五邑大学
《网络工程设计》课程报告
项目名称:
旅游景区自动票务系统设计方案
组长:
组员:
专业:
通信工程(计算机通信网络)
指导教师:
完成时间:
2014.12.1
第1章项目背景
某旅游景区的面积大约有3000——5000亩大小,景区有东、西、南、北4个门,数据中心位于南门旁。
游客购买门票可以使用刷卡、网购或者现金,购买后,门票打印机自动打印带有条码的卡片门票,游客通过景区门口的翼闸读票即可通过。
每个门口2个翼闸,两台PC,景区内部通过有线快速以太网连接。
服务器放置于数据中心。
需要购置服务器若干台,交换机如干台,PC若干台,翼闸8台,门票打印机8台。
现在各地市的公园都普遍存在着面积大、场地分散,人员众多,公园周边的环境复杂等特点,随着近年来公园暴力事件和突发事故的增加,以及公园内监控需求的增加,传统的人力巡查已不能满足公园安全管理的需求,越来越多的公园开始考虑通过公园网络视频监控系统的实施来建设平安公园。
深圳市中晖盛大科技有限公司专业生产全线网络视频监控系统设备,针对公园网络视频监控系统建设具有丰富的设计经验。
第2章项目分析
2.1需求分析
某旅游景区刚刚建成,是一大型3000亩旅游景区,为了实现景区的自动化售票系统,旅游景区客流量大,一般景区年客流量大约在30-120万人次,门票方式将是非常重要的考虑因素,需要建立自己企业的Intranet。
景区有东、西、南、北4个门,数据中心位于南门旁。
游客购买门票可以使用刷卡、网购或者现金,购买后,门票打印机自动打印带有条码的卡片门票,游客通过景区门口的翼闸读票即可通过。
系统需要实现的目标如下:
(1)现有效的数据交换和共享。
企业通过两条专线接入电信和网通。
(2)景点实现售票自动化,可通过刷卡,网购或现金交易。
(3)景点对外提供网站购票,并且能够保证网站安全,不受外部或者内部攻击。
(4)购买后,门票打印机自动打印带有条码的卡片门票,游客通过景区门口的翼闸读票即可通过。
(5)服务器放置于数据中心。
需要购置服务器若干台,交换机如干台,PC若干台,翼闸8台,门票打印机8台。
(6)充分考虑后续网络的接入扩展性。
(7)充分考虑数据中心内部网络的安全性。
2.2网络设计原则
我们遵循以下的原则进行网络设计:
●实用性
实用性是网络系统建设的首要原则,该网络必须最大限度的满足需求,保证网络服务的质量,否则就会影响日常工作效率。
●标准化
整个网络从设计、技术和设备的选择,要确保将来可能的不同厂家设备、不同应用、不同协议连接的需求,必须支持国际标准的网络接口和协议,以提供高度的开放性。
●先进性
先进性主要是针对网络系统的设计思想、网络结构、软硬件设施以及所选用技术等方面。
只有先进的技术才可能为网络带来更高的性能,并且能保证在技术上不容易被淘汰。
●可扩展性
可扩展性是指该网络系统能够适应需求的变化。
随着技术发展,信息量增多和业务的扩大,网络将在规模和性能两方面进行一定程度的扩展。
●可靠性
网络要求具有高可靠性,高稳定性和足够的冗余,提供拓扑结构及设备的冗余和备份,为了防止局部故障引起整个网络系统的瘫痪,要避免网络出现单点失效,核心设备需要支持冗余备份。
●安全性
网络安全性在整个网络中是个很重要的问题,网络系统建设应采取一定手段控制网络的安全性,以保证网络正常运行。
●管理性
随着网络规模和复杂程度的增加,管理和故障排除就会越来越困难。
为保障网络中心的正常运行,网络必须易于管理,支持网络网段与端口的监控、网络流量与出错的统计、网络故障的定位、诊断、修复。
2.3安全目标
该旅游景点自动售票系统安全体系建设的目标是在国家和行业相关安全政策和标准的指导下,结合信息系统自身的安全风险防范需求,通过信息安全保障总体规划、信息安全管理体系建设、信息安全技术策略设计以及信息安全产品集成实施等,全面提升信息系统的安全性,能面对目前和未来一段时期内的安全威胁,实现对全网安全状况的统一管理,更好地保障信息系统的正常运行,全面提升售票信息系统的安全保护水平,并达到国家信息安全等级保护相关标准的要求。
2.3设计遵循的规范
1.1.12.3.1综合布线
1、IEEE802.3,IEEE802.5,10BASE-T,100BASE-T,FDDI
2、EIA/TIA568民用建筑线缆标准
3、《建筑与建筑群综合布线系统工程设计规范》GB/T50311-2000
4、《建筑与建筑群综合布线系统工程验收规范》GB/T50312-2000
5、中国建筑与建筑群综合布线系统工程设计规范CECS72:
97
6、中国建筑电气设计规范
7、工业企业通信设计规范
8、中国工程标准化协会<<建筑与建筑群综合布线系统设计规范>>CECS72:
97
9、EIA/TIA569民用建筑通信通道和空间标准
10、EIA/TIA606民用建筑通信管理标准
1.1.22.3.2网络系统
在整个项目的建设过程中,我公司将遵循和参照最新的、最权威的、最具有代表性的信息安全标准。
这些安全标准包括:
1、ISO/IEC15408Informationtechnology–Securitytechniques–EvaluationcriteriaforITsecurity信息技术—安全技术—信息技术安全评估准则(等同于CommonCriteriaforInformationTechnologySecurityEvaluationV2.1,简称CCV2.1)
2、BS7799Codeofpracticeforinformationsecuritymanagement信息安全管理纲要(即将被ISO采纳为ISO17799)
3、IETF-RFC—RequestsForComments是InternetEngineeringTaskForce组织发布的TCP/IP标准及相关说明等资料。
其中有许多有关安全的标准和说明作为本项目的参考标准和资料。
4、我国的国家标准GB、国家军用标准GJB、公共安全行业标准GA、行业标准SJ等标准作为本项目的参考标准。
5、GB9813-88《微型数字电子计算机通用技术条件》
6、JY0001-88《教学仪器产品的检验规则》
7、JY0002-88《教学仪器产品的检验规则》
8、JY0009-90《教学电子仪器的环境要求和试验方法》
第3章系统总体设计原则
3.1网络模型设计
图3.1典型的三层网络模型
三层网络架构采用层次化模型设计,即将复杂的网络设计分成三个层次,每个层次着重于某些特定的功能,这样就能够使一个复杂的大问题变成许多简单的小问题。
三层网络架构设计的网络有以下三个层次:
3.1.1核心层(CoreLayer)
核心层是网络的高速交换主干,对整个网络的连通起到至关重要的作用。
核心层应该具有如下几个特性:
可靠性、高效性、冗余性、容错性、可管理性、适应性、低延时性等。
该层必须是基于千兆高速交换和路由的设计,设备的性能容量也是最高的(高达百Gbps容量和每秒千万级数据包转发能力)。
主要是由全模块化的高性能多层路由交换机和高性能服务器组成,系统带宽必须是千兆甚至10Gbps。
3.1.2汇聚层(DistributionLayer)
汇聚层是网络接入层和核心层的“中介”,就是在工作站接入核心层前先做汇聚,以减轻核心层设备的负荷。
汇聚层具有实施路由策略、安全、工作组接入、虚拟局域网(VLAN)之间的路由、源地址或目的地址过滤等多种功能。
该层一般采用100M或1000M的快速交换路由设计,设备的性能容量性也很高,主要由固定配置+可选模块的三层路由交换设备组成。
3.1.3接入层(AccessLayer)
接入层向本地网段提供工作站接入。
在接入层中,减少同一网段的工作站数量,能够向工作组提供高速带宽。
访问层是由100M快速以太网交换机和客户机组成,该层次一般采用100M快速以太网,采用可管理的固定配置的工作组级别的交换机,能提供多层堆叠功能实现大量用户的接入。
三层网络架构的特点是网络性能高,层次清晰,网络管理直观、方便,并合理地分散了网络设备带来的安全风险,网络结构安全可靠。
3.2网络模型选择
单核心网络模型适用于规模小,信息节点少,对网络冗余性要求不高的网络,一般小企业网络最为常见,而双核心网络模型适用于规模大,信息节点多,网络冗余性要求高的网络,一般的园区网都使用双核心网络。
第4章网络详细设计方案
4.1旅游区网络拓扑图
4.2IP地址规划
在构建基于TCP/IP的企业网络时,IP地址的选择是根据企业网络规模大小从以下三类国际Internet组织公布的私有网段中产生,这些范围内的IP地址不在Internet上传输,是专门提供给企业用来建设内部网络(Intranet):
A类私有IP:
10.0.0.0——10.255.255.255。
B类私有IP:
172.16.0.0——172.16.31.255。
C类私有IP:
192.168.0.0——192.168.255.255。
对于小型网络,由于用户少、设备数量少,建议使用地址空间小的192.168.0.0/16的网络。
而对于中大型园区网络,如三层结构的校园网,由于上网人数多,设备数量多,建议采用地址空间大的10.0.0.0/8的网络。
4.3VLAN规划
虚拟局域网(VLAN)是将局域网内广播域逻辑地划分为若干子网。
在一个交换局域网中,所有局域网段通过交换机连接到一起,路由器连在交换机上(如果是三层交换机,则不需路由器),可以按网段和站点的逻辑分组形成广播域,通过在局域网交换机内过滤广播包,使得源于特定虚拟局域网的信息包仅传送到那些也属于这个虚拟局域网的网段上。
虚拟局域网之间的寻径由路由器完成。
虚拟局域网建立以后,能有效地控制网络的广播风暴,减少不必要的资源带宽浪费,并能随着企业规模的发展和调整改变通信流的模式。
VLAN规划需要考虑如下因素:
①用户VLAN与设备管理VLAN分开(IP地址)。
②为网络扩容进行可汇总的预留设计。
③IP地址与VLAN编号(其它相关因素)有一定的对照性。
如图3.3所示:
图3.3IP和VLAN对应规则
根据具体需求与安全性要求等情况综合分析,景区网络IP地址详细规划如表3.4所示:
表3.4IP地址规划表
物理位置
VLAN范围
IP网段
默认网关
获取方式
东入口
VLAN10
172.16.10.1—172.16.10.253/24
172.16.x.254/24
DHCP
西入口
VLAN20
172.16.20.1—172.16.20.253/24
172.16.x.254/24
DHCP
南入口
VLAN30
172.16.30.1—172.16.30.253/24
172.16.x.254/24
DHCP
北入口
VLAN40
172.16.40.1—172.16.40.253/24
172.16.x.254/24
DHCP
数据中心
VLAN100
10.10.0.0/16
固定IP
DMZ
VLAN200
10.20.0.0/16
固定IP
第5章网络安全设计
景区网的安全是一个综合问题,它包含网络设备和人为因素两个方面以及与外网(Internet)接口上的安全问题。
网络的有效性和可靠性即它的可连续运行的安全性是网络建设必须考虑的首要原则,从用户的角度考虑,当网络所需的服务不可用时,不管是何种原因,网络就失去了实际价值。
从另一角度看,当某种网络服务的响应时间变得变幻莫测时,网络系统也不可靠了。
为此我们在网络设计上就考虑了以下的技术来提高安全性。
5.1VLAN技术
VLAN技术是通过路由和交换设备,在网络的物理拓扑基础上建立的一个逻辑的网络。
VLAN可以看作是一个广播域,它们不受地理位置的限制而像处于同一LAN上那样相互交换信息。
VLAN是在交换网络中实现的。
每个交换设备均可根据网络管理人员所定义的VLAN划分方法对报文进行过滤和转发,并能将这种划分信息传递到网络中其它交换设备和路由器中去。
可以限制VLAN中的用户数量,禁止那些没有得到许可的用户加入到某个VLAN中。
这样,可以控制用户对网络资源的访问,控制广播组的大小和组成,并借助网管软件在发生非法入侵时通知管理员。
交换机上划分VLAN方法如图4.1所示:
图4.1交换机划分VLAN方法
5.2AAA技术
AAA认证体系结构包括鉴别(Authentication)、授权(Authorization)和记账(Accounting)。
鉴别过程主要完成用户身份识别,并为该用户指定特权级别,控制该用户对网络资源和服务的访问和使用,在允许访问前,用户必须首先通过鉴别。
授权过程决定用户或用户组可以访问的指定服务和网络资源,该过程也定义在用户在资源上的可执行的操作。
记账的过程主要是收集信息,以确定谁在使用哪些资源。
5.3防火墙技术
目前,在保护计算机网络安全的设备中,使用最多的就是防火墙。
防火墙是在两个网络之间执行控制策略的系统,这两个网络中,通常一个是要保护的内部网,一个是外部网,防火墙在内部网和外部网之间构成一道屏障,通过检测、限制或者更改通过它的数据流,对外屏蔽内部网的信息、结构和运行状况,以防止发生网络入侵或攻击,达到对内部网的安全保护。
防火墙原理如图4.2所示:
图4.2防火墙原理图
5.4安装杀毒软件
网络的普及带来了计算机的飞速发展,计算机进入了寻常百姓家,个人电脑的安全问题显得尤为重要,尤其是政府重点部门,在防毒杀毒、系统保护方面等方面提出更高的要求,销售防毒杀毒产品的公司很多,如国外的诺顿、卡巴斯基,国内的360、金山等。
5.5其它安全措施
服务器本身的安全考虑:
不同的功能应尽量分布在不同的主机上,出于节省投资,有时需要将多种应用系统合并到一台物理主机上承载,例如,一台服务器同时提供HTTP服务和数据库服务。
考虑服务器合并时,不仅考虑它的承载能力和处理能力,还要考虑合并的各种服务的安全级别。
不要把对外服务的应用与对内管理的应用合并。
操作系统:
授予不同用户不同的权限。
应用软件:
在应用软件开发中,也需要考虑分级权限控制,以防止错误操作引起系统数据丢失。
最后系统管理员要养成良好的安全管理习惯,例如:
定期修改管理员口令,避免使用规律的、易猜测的密码,定期检查安全漏洞等。
第6章LAN网络整体设计方案
6.1LAN网络拓扑结构的选择
网络拓扑结构选用星型拓扑结构。
它是目前使用最多、最为普遍的局域网拓扑结构。
易于网络扩展,节点也具有高度的独立性,电缆的故障或者节点故障的出现,影响都是局部的,只会影响到与线路或节点相关的部分,这种结构还适合在中央位置放置网络诊断设备。
6.2LAN网络技术的选择
传统的网络技术通常采用共享访问链路方式进行操作,即网络上所有站点共享一条公共的通信通道,在多个站点同时请求发送数据而导致冲突时,遵循CSMA/CD(多路载波侦听/冲突检测)协议。
目前,常用的主干网组网技术有:
快速以太网(100Mbps)、FDDI(100Mbps)、千兆以太网(1000Mbps)和ATM(155Mbps/622Mbps),FDDI已经较少使用,主要采用千兆以太网、快速以太网和ATM作为主干网组网技术。
根据我们对此次景区计算机网工程进行认真仔细的需求分析和理解,在充分研究了目前国际网络界对网络设计所采用的各种网络技术,并充分考虑到技术发展的主流和趋势后,我们建议景区计算机网络采用以千兆以太网为核心层链路、以千兆以太网为核心与汇聚层连接而组成网络主干。
千兆以太网具有技术先进、带宽高、吞吐量大、传输速率高等特点,是一种很有前途的网络技术,是近几年在快速交换式以太网上发展起来的组建主干网的技术。
近两年来在组建主干网的技术上它对ATM提出了严重的挑战,在园区局域网上已占有相当的优势。
千兆以太网的主要优点是:
●易用性
由于采用与以太网相同的CSMA/CD协议,实现简单、理解容易、适用于维护简单,千兆以太网网络可通过对现有网络的平滑升级实现,对于那些熟悉以太网、802.1d协议以及OSPF路由协议的人会发现千兆以太网比ATM协议要容易掌握。
同样千兆以太网并没有本质上改变对园区骨干网络的设计方法;
●高带宽
可提供高达1000Mbps的网络带宽,能满足多媒体等网络应用的带宽需求;
●性能价格比高
由于千兆以太网采用与以太网同样的帧格式,无需转换,没有额外的开销,容易实现。
同相应的ATM设备比较,千兆以太网在LAN交换机的上连接口和数据服务器的网卡是低价格的。
在杂志或者各种顾问报告中可以找到提示价格并且象前面所说的那样通常会比ATM优惠50%左右。
具有从网卡到交换机的全线产品,交换机具有第三层交换能力,特别是近几年技术上有所突破,提供了较好的服务质量保证(QoS),实现对多媒体信息处理的支持。
●支持多种方式的VLAN
VLAN技术通常用来隔离网络广播,减少网络风暴的影响。
现已有802.1Q标准,可对网络中的所有交换机和路由器进行VLAN配置和跨越网络设备连接,是对信息的管理和维护更方便。
主流交换式千兆以太网产品均支持多种方式的VLAN设置。
正因为千兆以太网技术已趋成熟,产品业已全线配套,且已采用最新技术提供了较好的QoS,更重要的是它与ATM相比较,价格便宜。
所以我们采用交换式千兆以太网作为景区的主干网络。
6.3LAN网络结构的设计和设备的选型
根据实践经验我们建议局域网采用常用的三层式网络结构体系——接入层、汇聚层、核心层,接入层负责用户终端设备的接入,通过MAC地址实现第二层交换;汇聚层负责对接入层交换机进行汇聚,通过光纤或双绞线连接到核心层中心交换机或接入层交换机;核心层也可以说对应于TCP/IP协议中的第三层,主要负责内部虚拟子网的路由、中心服务器的接入、广域网的接入。
下面我们按三层体系结构针对景区进行分析和设计,具体结构可以参考下页的《景区校园网络拓扑图》
6.3.1网络核心层、汇聚层
核心层主要负责内部虚拟子网的路由、中心服务器的接入、广域网的接入,同时因接入的楼栋不是很多,我们可以将传统的三层结构合并成二层即核心层和接入层。
考虑到网络,数据流量比较大以及将来的扩充性,在网络中心我们建议配置两台思科核心交换机,全模块、高密度端口,适合为城域网(MAN)、服务供应商和企业数据中心、多公寓大楼和企业配线间提供宽带IP服务,支持标准五类布线和光纤介质及第一英里技术。
•最多可支持4,096个IEEE802.1QVLAN
•64Gbps无阻塞背板带宽,在全部插满模块的情况下可以达到384Gbps的背板带宽
•48Mpps包过滤及转发速率
•256KMAC地址表
•25,000条IS-IS路由信息
•130,000条OSPF的外部路由信息;同时可以存储8,000条内部路由信息
•8,000条RIP路由信息先进的弹性和容错功能,实现了电信级性能
•全冗余、分载、可热插拔电源
•符合NEBSLevel3标准
•线速IP/IPX路由,采用RIPv1/v2OSPF,BGP4,PIM和DVMRP
•双向速率整形,从500Kbps到1Gbps,分片配置和管理带宽
•内置链路冗余提供了活动和备份数据路径
•备份路由器协议,提供了第二层和第三层冗余,以智能方式超快速故障切换到默认的路由器或交换机上
•内置线速服务器负载均衡,明显提高可用性
•内置线速透明网络高速缓存重定向,优化带宽使用率
•OSPF等经济多路径路由,把业务分布到多条高带宽链路上
•线速实现基于策略的QoS,分配带宽、优先处理不同业务
•访问控制列表可以连接到一种服务等级上,同时线速执行第一层到第四层分组级安全保护,控制业务流动
•RADIUS对所有企业用户提供了认证和集中控制功能
•安全套接字(SSH2)对网络上的远程telnet管理连接应用加密
•可热插拔I/O模块和风扇托架高密度端口容量千兆位以太网
•在全装满G4LXi模块时,提供了32个1000BASE-LX端口
•在全装满G4Ti模块时,提供了32个1000BASE-T端口•在全装满G4Sxi模块时,提供了32个1000BASE-SX端口快速以太网
•在全装满F32Ti模块时,提供了256个10/100BASE-TX端口
•在全装满F24FX模块时,提供了192个100BASE-FX端口WAN
•在全装满4-portT1/E1模块时,提供了最多32个T1/E1端口
•在全装满1-portT3模块时,提供了最多8个T3端口VDSL
•在全装满8-portEthernetoverVDSL模块时,提供了最多64个端
6.3.2网络接入层
接入层主要负责网络终端设备的接入。
我们建议在数据流量比较大和网络要求比较高的办公楼、教学楼、培训楼、生活楼配置一到多台联想H3C交换机,通过千兆光纤与中心交换机相连,这样既提高了这些楼栋相互访问的速度又提高了中心交换机交换效率。
H3C支持光纤铜线自动切换H3C集超级堆叠Hyper-Stacking,超级安全Hyper-Safety,超级管理Hyper-Management,超级冗余Hyper-Redundancy,超级诊断Hyper-Watch等专利技术,配合先进嵌入式操作系统HyperOS,可以为用户搭建高速、安全、便捷的高可靠性的信息网络。
H3C兼备模块化和固定配置的可网管的新一代智能千兆交换机。
它提供24个RJ-45的10/100M自适应端口和2个10/100/1000端口和一个可扩展的千兆以太网转换器(GBIC)端口模块或者26个10/100M铜线端口,同时具备模块化GBIC光纤上连扩展功能(相比普通24口的交换机多提供了9%的增值功能),并且可以提供高达4000Mbps的上连速度,为用户提供最大的灵活性。
此款交换机适用于政府、院校、金融以及其他企业工作组用户接入和运营商驻地网宽带IP接入。
◇24口10/100BaseT以太网接口,内置2个1000BaseT接口,1个GBIC接口
◇业界首创光电自切换技术,实现单端口链路容错功能
◇支持32台交换机的超级堆叠,基于一个IP地址的多交换机堆叠管理技术
◇多种状态的LED指示,独特的指示灯在线诊断技术
◇端口限速功能,用户可以进行以1Mbps为粒度进行端口的带宽调节
◇支持802.1x基于端口的用户认证,保证合法用户使用网络资源
◇为多媒体或其他数据流提供灵活的端口优先级排队机制
◇32个基于端口或者标签VLAN,支持GARP/GVRP,具有动态VLAN标记,管理方便易于软件升级设计,可以通过TFTP的带内(in-band)升级方法实现
◇网络适配器MAC地址可以和端口绑定,实现安全访问
◇支持端口聚合和端口镜像功能,易于扩展带宽和监测流量
◇可以实现基于浏览器的图形化界面管理以及标准SNMP网管软件HPOperView兼容
◇CCID赛迪评测获得技术特色奖
◇针对中小型企业分布或骨干交换、大企业和园区网接入应用特点,量身定做
第7章设备选型
设备选型对景区网络系统的规划有很重要的意义,
7.1抗DOS选型
产
升级会员 