社区网络系统集成规划设计网络工程与综合布线课程设计报告.docx
《社区网络系统集成规划设计网络工程与综合布线课程设计报告.docx》由会员分享,可在线阅读,更多相关《社区网络系统集成规划设计网络工程与综合布线课程设计报告.docx(17页珍藏版)》请在冰豆网上搜索。
社区网络系统集成规划设计网络工程与综合布线课程设计报告
学号
2018-2019学年第一学期
《网络工程与综合布线》
课程设计报告
题目:
社区网络系统集成规划设计
专业:
班级:
姓名:
指导教师:
成绩:
计算机学院
2018年12月5日
目录
1需求分析1
1.1用户信息及应用需求1
1.2应用的需求2
2网络设计3
2.1设计目标3
2.2分层设计3
2.3住宅综合布线设计5
2.4住宅单元子系统5
2.5子网划分和VLAN划分6
3网络设备6
3.1物理层网络选择6
3.2其他网络设备选择7
4网络安全设计12
4.1解决网络安全问题的一些技术和方法12
4.2防火墙13
4.3入侵检测技术14
4.4网络安全扫描技术14
4.5IP过滤器设备15
4.6网络信息包实时检查15
5小结16
6参考文献17
7致谢18
社区网络规划设计
1需求分析
用户信息及应用需求
1),用户概况
安安小区整体有6栋楼,每栋5单元,都为居住,每单元4户住户。
总共120户。
图形如1.1
1.1
应用的需求
通过社区网建设满足居民稳定高速的访问Internet,丰富的社区活动,通过计算机网络增进社区居民与居民之间沟通互助,友谊!
具体的如下:
(1)社区服务和电子商务
宽带网络社区中的电子商务之所以被广泛看好,是因为物业管理与服务完全可以在网上完成。
社区信息为社区服务(医疗,物业管理的一系列项目)和电子商务提供了很好的应用平台,它不仅为电子商务提供了真实的用户群体和很好的安全性能,而且在配送方面也具有得天独厚的优势。
就安全性而言,在局域网内提供的金融服务会有更好的安全性,它只需要验证一下固定的IP地址即可。
社区拥有一支较好的物业管理队伍,那么它完全可以拥有很好的物流配送体系。
从这个角度来说,社区的电子商务也会有更好的前景。
(2)娱乐项目
娱乐项目包括娱乐信息,视频点播(VOD),网络游戏等等。
从现在社会发展趋势来看,娱乐将是一个最大的消费市场。
人们在家庭生活中60%--70%的时间会用于娱乐活动。
(3)网络教育项目
在宽带的条件下,许多教育内容可以通过多媒体的方式来传输,从而充分发挥了网络的优势,使教育的内容更加丰富多彩,更易于理解和接受。
为人们提供了更多的教育机会,使我们随时随地都能接受教育资源。
(4)对网络的需求:
网络需求要考虑网络本身和网络管理员的需求,要求网络易于管理,其中包括网络的拓扑结构,联网软件,网络互连设备等等。
所有网络设备均可用相匹配的网管软件进行监控,管理和设置。
网络设备要求具有高的可靠性和可升级性,能够适应用户的数量扩展,能够保证未来网络的升级时的平稳过渡,提供足够的带宽,以适应社区网上信息结构多样化;网络必须安全可靠,应有一定的防范,安全机制,防止被破坏,滥用。
网络设计
设计目标
(1)小区局域网的构成
此网络系统由硬件系统和软件系统构成。
其中硬件系统主要由网络系统(防火墙,路由器,交换机等),主机系统(服务器,工作站等),外部设备(UPS,磁盘阵列等)以及布线系统组成;软件系统主要由系统软件(网络操作系统,网络管理系统,安全系统等)和应用软件(办公自动化系统,小区物业管理系统等)组成。
(2)逻辑设计目标
小区网络系统设计的总体目标是充分利用信息技术,建立多层次,高可靠稳定性,可管理,可运营,经济实用的开放式数字化小区,促进提高为小区居民服务质量和效益。
具体体现在以下4个方面:
总体规划,分布实施。
以小区娱乐活动和物业管理活动为核心,以居民为主体。
注重应用系统建设。
注重网络建设的扩展性和可升级性以及向后兼容性。
分层设计
根据需求分析,在设计中,将采用多层次的网络体系结构。
具体为三个层次:
接入层,汇聚层,核心层。
(1)核心层
核心层是网络互联的最高层次,应具有如下能力:
核心设备之间应该具有最高速的链路
比较粗的QoS控制粒度
最高的路由前缀
为网络其他模块提供互联
(2)汇聚层
汇聚层是核心层和接入层的连接模块。
主要是为各个配线间以及服务器群的中心网络设备提供接入层设备的集中和核心层链路的接入。
(3)接入层
接入层是面向最终用户的设备
采用多层网络的设计方法,必须依赖于利用网络的高弹性和扩充性。
所谓的弹性指的是对故障的容忍度和故障情况下的恢复能力;所谓扩充性是指根据实际需要,可以在各个不同层次实现升级和扩充,实现对网络可控的,有序的优化。
根据上述论述,我们认采用核心,汇聚,接入的三层网络结构有利于网络的扩展和管理。
同时,采用10M接入到桌面,百兆网络支干,千兆网络主干的合理带宽收敛。
3.网络逻辑设计
整个网络包括广域网(Internet,各专业网)接入,小区网络系统,小区网络系统采用星型拓扑结构,分为系统中心,区域中心,住宅楼栋和用户四级。
根据小区的规模和用户楼栋的分布情况,为便于网络设计和管理,可将整个小区分成若两个区域,每个区域设一个区域中心,管辖若干个相近的楼栋。
根据小区网络设计要求,小区局域主干采用千兆以太网,在系统中心设一千兆以太网核心交换机,在各区域中心设置工作组交换机,各工作组交换机配置1000Mbps FX上联端口,通过光纤与核心交换机连接,构成智能化住宅小区千兆以太骨干网。
每个区域内,在各楼栋设备间设置10/100Mbps交换式集线器,交换式集线器通过100Mbps TX上联端口经五类对绞线与工作组交换机连接,根据需要也可通过 100Mbps FX端口经光纤连接。
在楼内,交换式集线器通过10Mbps TX端口经楼内5类综合布线连接用户计算机。
这样,核心交换机与工作组交换机之间可提供高达 1000Mbps的传输速率,工作组交换机向各楼栋提供100Mbps的传输速率,每个最终用户可独享10Mbps的通信带宽。
如图2.1:
2.1
住宅综合布线设计
由上所述,在楼内交换式集线器通过综合布线与用户计算机连接,综合布线系统是网络系统化住宅的基础设施,为住宅楼的通讯网络提供高速信息通道。
住宅布线系统按功能区域分为三大部分:
住宅单元子系统,楼层管理间和垂直干线子系统以及设备间子系统,各系统布线都采用5类以上对绞线。
住宅单元子系统
在每一个住宅单元设置一个家庭布线系统接线箱,作为与户外布线系统连接的界面,对户内外布线系统的变动带来极大的方便。
接线箱可安装各种系统接线模块,包括数据和语音通信模块,家庭安防系统模块,可视对讲系统模块等等,根据需要自由组合安装。
户内数据通信布线采用5类以上UTP(非屏蔽对绞线),信息插座采用RJ45制式接口。
2.2
楼层管理间和垂直干线子系统 垂直主干布线采用新型拓扑方法,由设备间主配线架敷设至各楼层管理间的干线电缆构成,系统采用五类以上4对UTP作为系统主干电缆。
楼层管理间设置桥式模块板通过不同跳线实现水平线缆与垂直干线的连接。
子网划分和VLAN划分
子网是把一个单一的IP网络分成多个更小的网络。
我们采用私有地址192.168.0.0,子网掩码255.255.255.0。
分为6个子网,分别是1栋楼子网,2栋楼子网,3栋楼子网,4栋楼子网,5栋楼子网,6栋楼子网。
1栋楼子网192.168.1.0/24
2栋楼子网192.168.2.0/24
3栋楼子网192.168.3.0/24
4栋楼子网192.163.4.0/24
5栋楼子网192.163.5.0/24
6栋楼子网192.163.6.0/24
网络设备
物理层网络选择
(1)超五类模块
NM1045超五类信息插座模块;可安装在任何M系列的模块面板上,面板架上或表面安装盒上,一旦装入即被锁定;按住锁扣即可拆下。
特殊的润滑处理,至少可插拨750次;支持622Mbps应用满足EIA/TIA568A标准
(2)超五类双绞线
NL101004超5类4对电缆;
高速高性能100Ω电缆;
在大楼布线系统中能远距离传输高比特率信号;
性能优于EIA/TIA-568A标准
符合欧洲EN71环保标准,特别适合小区家庭布线
具有撕裂绳,方便剥线
(3)室外超五类双绞线
NL301004超五类双绞线
适用于室外布线系统中能远距离传输高比特率信号;
性能优于EIA/TIA-568A标准
具有防水功能
具有撕裂绳,方便剥线
(4)超五类配线架
ND112424口超五类配线架;
适用于绝缘移动接口;
RJ45插口8针表面镀金50m-inch
端口插拔次数超过750次
前面RJ45插口,背面110打线方式,一体化设计
其他网络设备选择
交换机设备:
核心层设备选用锐捷RG-S5750-48GT/4SFT,汇聚接入层选用锐捷RG-S2951XG。
RG-S5750-48GT/4SFT的特点主要体现在以下几个方面:
①高性能IPv4/IPv6双协议栈多层交换
②灵活完备的安全控制
③丰富的组播特性
④完善的QoS策略
⑤高可靠性
⑥方便易用易管理
RG-S5750-48GT/4SFT的技术参数如下图:
产品型号
RG-S5750-48GT/4SFT
固定端口
48端口10/100/1000M自适应端口,4个复用的SFP接口,2个扩展槽
可用模块
Mini-GBIC-SX:
单口1000BASE-SXminiGBIC转换模块(LC接口);
Mini-GBIC-LX:
单口1000BASE-LXminiGBIC转换模块(LC接口),10Km,1310nm;
Mini-GBIC-LH40:
单口1000BASE-LHminiGBIC转换模块(LC接口),40Km,1310nm;
Mini-GBIC-ZX50:
单口1000BASE-ZXminiGBIC转换模块(LC接口),50km,1550nm;
Mini-GBIC-ZX80:
单口1000BASE-ZXminiGBIC转换模块(LC接口),80km,1550nm;
1端口XENPAK接口万兆转接板
1端口XFP接口万兆转接
万兆堆叠模块
万兆光纤接口模块(300米),配合M5700-01XENPAK转接板使用
万兆光纤LR接口模块(10公里),配合M5700-01XENPAK转接板使用
万兆光纤ER接口模块(40公里),配合M5700-01XENPAK转接板使用
万兆光纤SR接口模块(300米),配合M5700-01XFP转接板使用
万兆光纤LR接口模块(10公里),配合M5700-01XFP转接板使用
万兆光纤ER接口模块(40公里),配合M5700-01XFP转接板使用
背板容量
240Gbps
包转发速率
L2:
线速(102Mpps)
L3:
线速(102Mpps)
VLAN
支持4K个802.1QVLAN240Gbps
ACL
标准IPACL(基于IP地址的硬件ACL)
扩展IPACL(基于IP地址,TCP/UDP端口号的硬件ACL)
MAC扩展ACL(基于源MAC地址,目的MAC地址和可选的以太网类型的硬件ACL)
基于时间ACL
专家级ACL(可同时基于VLAN号,以太网类型,MAC地址,IP地址,TCP/UDP端口号,协议类型,时间等灵活组合的硬件ACL)
L2协议
IEEE802.3,IEEE802.3u,IEEE802.3z,IEEE802.3x,IEEE802.3ae,IEEE802.3ak,IEEE802.3ad,IEEE802.3af,IEEE802.1p,IEEE802.1x,IEEE802.3ab,IEEE802.1Q(GVRP),IEEEE802.1d,IEEE802.1w,IEEE802.1s,IGMPSnoopingv1/v2/v3,RLDP,
IEEE802.3af(S5750P产品型号)
L3协议
IPv6,OSPFv1/v2,OSPFv3,ECMP/WCMP,RIPv1/v2,PIM(DM/SM/SSM),DVMRP,VRRP,IGMPv1/v2/v3
IPv6协议
支持ICMPv6,IPv6动态路由协议OSPFv3,支持多种Tunnel隧道技术(如手工配置隧道,6to4隧道和ISATAP隧道等)
DefeatDoSAttack
支持
DefeatIPScan
支持
管理协议
SNMPv1/v2c/v3,Web(JAVA),CLI(Telnet/Console),RMON(1,2,3,9),SSH,SNTP,NTP,Syslog
JumboFame
支持
其他协议
SuperVLAN,PrivateVLAN,ProtocolVLAN,QinQ,DHCPServer,DHCPRelay,DHCPClient,DHCPSnooping,免费ARP,DNSClient
尺寸
(长x宽x高)
440×420×44mm
电源
176VAC~264VAC
48Hz~60Hz
功耗
(满负荷)
120W
温度
工作温度:
0ºC到45ºC
存储温度:
-40ºC到70ºC
湿度
工作湿度:
10%到90%RH
存储湿度:
5%到90%RH
服务器:
为了能够充分发挥小区网的效用,高性能的服务器是不可少的,为了保证能够高效,稳定,安全地为小区全体居民提供优质的服务,采用方正的专用服务器,在服务器的配制上按服务功能进行专门配制,根据需要应配置WWW服务器,VOD服务器,DNS服务器,认证计费服务器,FTP服务器。
由于小区的服务有限,几种服务可以配合使用。
圆明LT3001500服务器采用四核英特尔®至强®处理器以及新一代内存和I/O技术,带来全新的系统总体性能提升,是一款融合了32位以及64位计算技术的单路工作组级服务器。
防火墙;
防火墙采用锐捷RG-WALL120。
RG-WALL系列防火墙是专门为企业级用户打造的高可用的安全产品。
利用精心设计的锐捷防火墙操作系统,充分发挥了硬件的高效数据交换能力和系统并行处理能力,实现了高性能与高安全性的完美结合。
RG-WALL系列采用锐捷独创的分类算法(ClassificationAlgorithm)设计理念,在具备高性能的网络传输功能的时候,同时支持扩展的应用状态检测(StatefulInspection)技术;另外可以在启用动态端口应用程序(如VoIP,H.323,SIP等)时,可提供强有力的安全信道。
RG-WALL的主要功能包括:
扩展的应用状态检测功能,防范入侵及其它(如URL过滤,HTTP透明代理,SMTP代理,分离DNS,NAT功能和审计/报告,VPN,负载均衡等)附加功能
特别适合带宽要求高,中心骨干机构和复杂的高端流量环境。
技术参数:
RG-WALL120百兆防火墙/VPN网关
端口
固化4个10/100BaseT
尺寸
标准19英寸宽度,1U高度
电气性能
电源类型:
AC100-240V/50-60Hz
电源功率:
230W
工作环境
操作环境:
温度0℃~40℃,湿度0%~80%
存储环境:
温度-40℃~80℃,湿度0%~95%
技术性能
MTBF(平均故障间隔时间):
≥50,000小时
(1)电源
UPS电源对与机房服务器和网络设备的正常运行非常重要,而UPS电池对于电源而言至关重要,在次,我们采用山特UPS(MT-1000),MT-1000可以提供4小时的后备电源。
为了保证UPS的网络管理,还需要网络管理适配器,通过随身携带的软件即可实现对其管理。
(2)磁盘阵列以及网络存储设备
对于磁盘阵列而言,采用锐捷的RG-iS900采用RISC系统架构和硬件RAID体系结构,打造出高性能,高可用性,功能强大且灵活实用的IPSAN存储网络;采用先进的RAID6技术保证存储数据的安全可信;系统无线缆和全模块化设计,以及灵活的机架式设计,便于产品安装和日常的维护;利用网络交换机建立IPSAN存储网络的存储解决方案可以同时支持Windows,Linux,IBMAIX,HP-UX和Solaris等操作系统;RG-iS900设计强调易于管理和使用,基于Web的阵列管理方式,命令行管理方式,完全满足不同层次用户需求;
RG-iS900是锐捷网络应对海量数据集中和关键应用数据备份而推出的一款基于硬件RAID技术和iSCSI技术的磁盘阵列。
RG-iS900提供2~4个标准的千兆以太网端口用来连接前端的应用服务器。
具有性价比高,功能丰富,配置简单,易于维护,安全可信,稳定可靠等特点,产品和技术均处于国内领先地位。
RG-iS900可支持Windows,Linux,Solaris,AIX,HP-UX等UNIX操作系统。
通过iSCSI技术,可以在以太网络上传输数据,实现了数据存储即插即用的效果,建立存储区域网变得更加的容易,相对于光纤存储网络储存架构,RG-iS900提供了较低的初期投入和维护成本以及高效的存取效能。
RG-iS900提供12~16个磁盘插槽,支持性价比高的SATAII硬盘(传输速率为300MB/sec),并提供最先进的NCQ(NativeCommandQueuing)技术来提升整体效能。
用户可以选择250GB,500GB,750GB的不同容量的硬盘。
操作系统选型;
①MicrosoftWindows2000Server是一个支持群集的操作系统,且支持大型的SMP服务器,更多的RAM以及可扩展的分布式应用程序。
企业对可扩展性,可用性和可管理性的要求越来越高,Windows2000Server也是建立和实施大型分布式应用程序的最佳平台。
由于2000server提供给最终用户,系统管理员,软硬件开发人员以及其他许多人们的优秀特性,所以MicrosoftWindows2000Server已经成为世界上最为畅销的操作系统,越来越多的企业将Windows2000Server应用于关键任务的应用程序和数据。
网络安全设计
解决网络安全问题的一些技术和方法
(1)划分网段,局域网交换技术和VLAN实现:
划分网段,局域网交换技术和VLAN实现主要解决局域网络的安全问题。
由于局域网是广播型网络,因此,若在广播域中进行监听,就可以对信息包进行分析,那么本广播域的信息传递都会暴露无遗。
划分网段,其本质就是限制广播域,将非法用户与网络资源相互隔离,从而达到限制用户非法访问的目的。
其方式可分为物理分段和逻辑分段两种。
物理分段通常是将网络从物理层和数据链路层上分开网段,各网段相互间无法进行直接通讯;逻辑分段是指将整个系统在网络层上进行分段。
局域网交换和VLAN技术将传统的基于广播的局域网技术发展为面向连接的技术,从广播网络转变为点到点的通讯,除非设置监听口,信息交换也不会存在监听和篡改等问题。
但是,用了局域网交换和VLAN技术仍然有一定的安全问题:
如局域网设备成为了新的攻击对象,基于网络广播原理的入侵监测技术在交换网络中的运用问题,基于MAC的VLAN不能防止MAC欺骗攻击等。
(2)加密技术,数字签名和认证,VPN技术:
加密型网络安全技术的基本思想是不依赖于网络中数据路径的安全性来实现网络系统的安全,而是通过对网络数据的加密来保障网络的安全可靠性,因而这一类安全保障技术的基石是适用的数据加密技术极其在分布式系统中的应用。
防火墙
防火墙通常是网络互连中的第一道屏障。
防火墙是近年发展起来的重要安全技术,其主要作用是在网络入口点检查网络通讯,根据设定的安全规则,在保护内部网络安全的前提下,提供内外网络通讯。
如今的防火墙功能越来越强大,从应用上分为包过滤和代理服务器两类;从实现上分为软件防火墙和硬件防火墙两类,通过防火墙能解决如下问题:
1),保护脆弱服务:
通过过滤不安全的服务,防火墙可以极大地提高网络安全和减少子网中主机的风险。
如,防火墙可以禁止NIS,NFS,TELNET服务通过,同时可以拒绝源路由和ICMP重定向封包。
2),控制对系统的访问:
防火墙可以提供对系统的访问控制。
如允许从外部访问某些主机同时禁止访问某些主机。
3),集中的安全管理:
防火墙对企业内部网实现集中的安全管理,在防火墙定义的安全规则可以运用于整个内部网络系统,而无须在内部网每台机器上分别设定安全策略。
4),增强的保密性:
使用防火墙可以阻止攻击者攻击网络系统的有用信息,如Finger,DNS等。
5),记录和统计网络利用数据以及非法使用数据:
防火墙可以记录和统计通过防火墙的网络通讯,提供关于网络使用的统计数据,并且,防火墙可以提供统计数据来判断可能的攻击和探测。
6),策略执行:
防火墙提供了制定和执行网络安全策略的手段,未设置防火墙时,网络安全仅取决于每台主机的用户。
防火墙还提供许多的流量控制,防攻击检测等手段,直接将攻击挡在外面,充分的保障了网络安全
入侵检测技术
利用防火墙技术,通常能够在内外网之间提供安全的网络保护,降低网络的安全风险。
但是,仅仅利用防火墙,网络安全还远远不够:
入侵者可寻找防火墙背后可能敞开的后门,入侵者可能就在防火墙内等等。
入侵检测系统是新型的网络安全技术,目的是提供实时的入侵检测及采取相应的防护手段,实时入侵检测的能力重要点在于它能够对付来自内部的攻击,能够阻止hacker的入侵。
入侵检测系统常分为基于主机和网络两类。
网络安全扫描技术
网络安全扫描技术可对网络系统的安全作预先的检测,查找安全漏洞,提供解决方案等。
除上述技术和方法外,对于网络系统还需解决好病毒,系统软件,应用软件方面的安全问题。
总之对于网络系统的安全,需做好网络系统的安全评估方案,综合利用安全扫描技术,防火墙,安全监听系统,加密技术,防病毒软件等来互相配合,加强管理,综合提高网络的安全性。
IP过滤器设备
用户可以按照实际情况的需要方便,灵活的配置IP过滤器:
如过滤主机收到IP包时,发现规则表内没有适用于它的过滤规则,过滤主机可以采取允许或拒绝其通过。
这可由系统的缺省配置文件进行设定。
缺省配置文件还包括如何记录IP过滤的日志,可选择记录允许或拒绝通过的情况等。
网络信息包实时检查
网络信息包实时检查是在包一级对信息内容进行关键字的匹配分析。
信息实时检查为用户提供了图形化的信息实时检查界面,用户输入所要查找的关键字组合(与,或,非等组合),防火墙过滤主机对当前网上流动的分组进行实时检查,最后将信息检查结果返给用户,系统将显示该分组的源地址,目的地址,源端口号,目的端口号,协议,分组方向和信息检查时间以及包的信息内容,根据以上信息还为用户提供了过滤规则自动生成功能。
2)网络文件分析功能
信息分析模块还提供了对当前网上流动的网络文件进行分析的功能,目前所能分析的网络文件有TELNET,RLOGIN,FTP,EMAIL和WWW等几种协议网络文件。
对当前网络文件的分析功能如下:
浏览文件目录------用户可以选择所要分析的网络文件的文件类型和网络文件的地址范围,系统将显示当前该范围内的网络文件的目录。
分析文件------用户可以选择所要
升级会员 