计算机网络设计.docx
《计算机网络设计.docx》由会员分享,可在线阅读,更多相关《计算机网络设计.docx(13页珍藏版)》请在冰豆网上搜索。
计算机网络设计
学院:
学号:
姓名:
班级:
日期:
某小学有两个机房,新建的机房里有40台电脑,旧机房里有50台电脑。
5个办公室,每个办公室各2台电脑。
1个会议室,具体的计算机情况不详。
还有一个中心控制室,有两台服务器。
一.设计要求
(1)通过以上的了解,对该小学的网络设备进行组网。
(2)作出布线图,同时使布线经济在5万——8万。
(3)根据该小学的实际情况,考虑布线的结构和安全问题。
二.网络性能需求
(1)性能需求:
有服务效率、服务质量、网络吞吐率、网络响应时间、数据传输速度、资源利用率、可靠性、性能/价格比等;
(2)根据本工程的特殊性,语音点和数据点使用相同的传输介质,即统一使用超5类4对双绞电缆,以实现语音、数据相互备份的需要;
(3)对于网络主干,数据通信介质全部使用光纤,语音通信主干使用大对数电缆;光缆和大对数电缆均留有余量;对于其他系统数据传输,可采用超5类双绞线或专用线缆。
三.信息点统计
信息点统计表
建筑物名称
数量
信息点数
接入层交换机的使用
新机房
40台
40
一台48口的交换机
旧机房
50台
50
一台16口和一台48口得交换机
办公室
10台
10
一台16口的交换机
会议室
不详
一台48口的的交换机
中心控制室
2台
四.网络设计原则
本着少花钱办大事的原则,充分利用有限的投资,在保证网络先进性的前提下,选用性能价格比最好的设备,我认为该网络建设应该遵循以下原则:
1先进性
以先进、成熟的网络通信技术进行组网,支持数据、语音、视像等多媒体应用,用基于交换的技术替代传统的基于路由的技术。
2标准化和开放性
网络协议采用符合ISO及其他标准,采用遵从国际和国家标准的网络设备。
3可靠性和可用性
选用高可靠的产品和技术,充分考虑系统在程序运行时的应变能力和容错能力,确保整个系统的安全与可靠。
4灵活性和兼容性
选用符合国际发展潮流的国际标准的软件技术,以便系统有可靠性强、可扩展和可升级等特点,保证今后可迅速采用计算机网络发展出现的新技术,同时为现存不同的网络设备、小型机、工作站、服务器、和微机等设备提供入网和互连手段。
系统的灵活性主要表现在软件配置与负载平衡等方面,配合交换机产品与路由器产品支持的最先进的虚拟网络技术,整个网络系统可以通过软件快速简便地将用户或用户组从一个网络转移到另一个网络,可以跨越办公室、办公楼,而无需任何硬件的改变,以适应机构的变化。
同时也可以通过平衡网络的流量,以提高网络的性能。
5实用性和经济性
从实用性和经济性出发,着眼于近期目标和长期的发展,选用先进的设备,进行最佳性能组合,利用有限的投资构造一个性能最佳的网络系统。
6安全性和保密性
在接入Internet的情况下,必须保证网上信息和各种应用系统的安全。
扩展性和升级能力,网络设计应具有良好的扩展性和升级能力,选用具有良好升级能力和扩展性的设备。
在以后对该网络进行升级和扩展时,必须能保护现有投资。
应支持多种网络协议、多种高层协议和多媒体应用。
五.设计思路
1.对该小学的布线进行大体的规划如下:
2.该小学的网络布线
网络布线的具体框图如下所示:
六.接入Internet设计
Internet接入方式主要有以下六种:
拨号上网方式,使用ISDN专线入网,使用ADSL宽带入网,使用DDN专线入网,使用帧中继方式入网,局域网接入。
1.拨号上网方式
拨号上网方式又称为拨号IP方式,因为采用拨号上网方式,在上网之后会被动态地分配一个合法的IP地址。
用拨号方式上网的投资不大,但是能使用的功能比拨号仿真终端方法联入要强得多。
拨号上网就是通过电话拨号的方式接入Internet的,但是用户的电脑与接入设备连接时,该接入设备不是一般的主机,而是称为接入服务(AccessServer)的设备,同时在用户电脑与接入设备之间的通信必须用专门的通信协议SLIP或PPP。
拨号上网的特点:
投资少,适合一般家庭及个人用户使用;速度慢,因为其受电话线及相关接入设备的硬件条件限制,一般在56K左右。
2.ISDN专线接入
ISDN专线接入又称为一线通、窄带综合业务数字网业务(N-ISDN)。
它是在现有电话网上开发的一种集语音、数据和图像通信于一体的综合业务形式。
一线通利用一对普通电话线即可得到综合电信服务:
边上网边打电话、边上网边发传真、两部计算机同时上网、两部电话同时通话等。
通过ISDN专线上网的特点:
方便,速度快,最高上网速度可达到128K/S。
3.ADSL宽带入网
ADSL即不对称数字线路技术,是一种不对称数字用户线实现宽带接入互联网的技术,其作为一种传输层的技术,利用铜线资源,在一对双绞线上提供上行640kbps、下行8Mbps的宽带,从而实现了真正意义上的宽带接入。
ADSL宽带入网特点:
与拨号上网或ISDN相比,减轻了电话交换机的负载,不需要拨号,属于专线上网,不需另缴电话费。
4.DDN专线入网
DDN即数字数据网,是利用数字传输通道(光纤、数字微波、卫星)和数字交叉复用节点组成的数字数据传输网。
可以为用户提供各种速率的高质量数字专用电路和其它新业务,以满足用户多媒体通信和组建中高速计算机通信网的需要。
其主要特点:
传输质量高,信道利用率高;传输速率高,网络时延小;·数据信息传输透明度高,可支持任何规程,可传输语音、数据、传真、图象等多种业务;适用于数据信息流量大的校园;·网络运行管理简便,对数据终端的数据传输速率没有特殊要求。
能提供高性能的点到点通信;通信保密性强,特别适合金融、保险等保密性要求高的客户需要;传输质量高,网络时延小,通信速率可根据用户需要选择;信道固定分配,充分保证了通信的可靠性,保证用户的带宽不会受其他用户的影响;用户通过这条高速的国际互联网通道,可构筑自己的Internet、E-mail等应用系统;用户网络的整体接入使局域网内的PC均可共享互联网资源;用户可免费得到多个Internet合法IP地址及域名;用户可实现每天24小时全天候的信息发布,即用户可建立自己的Web站点,向国际互联网发布自己的信息或提供信息服务;·用户可通过防火墙等技术保护内部网络免受不良侵害;用户可通过VPN(VirtualPrivateNetwork)虚拟私用网络功能,利用首创网络综合信息平台实惠安全、可靠的企业网的国际网络互联,从而构建起企业的国际专用互联网络。
5.帧中继方式入网
帧中继是在OSI第二层上用简化的方法传送和交换数据单元的一种技术。
通过帧中继入网需申请帧中继电路,配备支持TCP/IP协议的路由器,用户必须有LAN(局域网)或IP主机,同时需申请IP地址和域名。
入网后用户网上的所有工作站均可享受Internet的所有服务。
帧中继上网特点:
通信效率高,租费低,适用于LAN之间的远程互联,传输速率在9600bps~2048kbps之间。
6.局域网接入
局域网连接就是把用户的电脑连接到一个与Internet直接相连的局域网LAN上,并且获得一个永久属于用户电脑的IP地址。
不需要Modem和电话线,但是需要有网卡才能与LAN通信。
同时要求用户电脑软件的配置要求比较高,一般需要专业人员为用户的电脑进行配置,电脑中还应配有TCP/IP软件。
局域网接入的特点:
传输速率高,对电脑配置要求高,需要有网卡,需要安装配有TCP/IP的软件。
通过对比选择使用DDN专线入网,DDN专线的特点:
采用数字电路,传输质量高,信道利用率高,数据信息流量大,时延小,通信速率可根据需要选择;电路可以自动迂回,可靠性高,适用于校园网络。
七.VlanID的分配规划
由于网络中既有跨越全网的vlan又有范围较小的vlan,且普遍采用802.1Q协议的上连方式,为避免混乱及出错,应对网络中的VlanID统一规划,禁止出现网中的ID相同而又不在同一个Vlan中的情形。
建议VlanID采用如下分配原则:
(1)Vlan1保留使用
(2)Vlan2—Vlan3分配给两个机房使用
(3)Vlan4分配给办公室使用
(4)Vlan5分配给会议室使用
(5)Vlan6分配给中心控制室使用
因此Vlan的详细分布表格如下:
建筑物名称
所属Vlan
信息点
网关
新机房
Vlan2
40
192.168.2.1
旧机房
Vlan3
50
192.168.3.1
办公室
Vlan4
10
192.168.4.1
会议室
Vlan5
192.168.5.1
中心控制室
Vlan6
192.168.6.1
八.IP地址的分配原则
IP地址的统一、合理规划以及整个网络向IPv6的演进是关系到整体分层网络稳定、快速收敛的关键,也是某职业技术学院校园网网络设计中的重要一环。
IP地址规划的好坏,不仅影响到网络路由协议算法的效率,更影响到网络的性能和稳定以及网络的扩展和管理,也必将直接影响到相关新业务的开拓和网络应用的进一步可持续性发展。
划分时注意使用VLAN,充分节约IP地址,使路由交换机上能够采用聚合进行路由的合并,减少路由表的大小。
出口到互联网可以采用NAT防火墙上做地址转换实现。
校区内接入到同一汇聚层交换机的区域建议采用连续IP地址段,以便做路由汇聚。
IP地址的分配原则如下:
(1)每个vlan分配一个C类地址
(2)给三层交换机设备互连的点对点IP地址分配1个C类地址,提供足够的扩展性
(3)考虑到以后的网络扩展规模,二层交换机设备的管理IP地址分配1个C类IP地址;
(4)可以考虑为学校校园网分配一个C类私有地址段,如192.168.19.X/24,将192.168.19.0/24的地址段分配给网络设备使用,192.168.100.0/24的地址段分配给服务器等设备使用,其它地址分配给各办公室PC机以及其它信息点使用。
九.物理/链路层配置原则
物理/链路层配置遵循下面的原则:
1.网络设备互连的物理端口都应该绑定端口的速率和全双工模式;
2.建议所有的Vlan都不要穿透核心层,所有的Vlan都将在汇聚层交换机上终结;
3.本实施方案建议不要启用STP生成树协议,由于所有的Vlan都已在汇聚层交换机终结,在二层上并没有环路存在,故无必要启用;如果开启基于每个Vlan的生成树协议,广播报文将会很多,影响核心交换机性能和网络收敛时间;
4.所有核心层和汇聚层交换机之间的互连端口均设置为Trunk模式,但目前只容许互连Vlan通过,以应付将来有Vlan穿越核心层这种情况;
5.汇聚层交换机和接入交换机之间的互连端口设置为Trunk模式。
十.网络安全与管理
1.网络安全
校园网的安全威胁主要来源于两大块,一块是来自于网内,一块来自于网外。
来源于网内的威胁主要是病毒攻击和黑客行为攻击。
根据统计,威胁校园网安全的攻击行为大概有40%左右是来自于网络内部,如何防范来自于内部的攻击是校园网网络安全防护体系需要重点关注的地方。
1.1威胁网络安全因素分析
计算机网络安全受到的威胁包括:
1.“黑客”的攻击;
2.计算机病毒;
3.拒绝服务攻击。
安全威胁的类型:
1、非授权访问。
指对网络设备及信息资源进行非正常使用或越权使用等。
如操作员安全配置不当造成的安全漏洞,用户安全意识不强,用户口令选择不慎,用户将自己的账号随意转借他人或与别人共享。
2、冒充合法用户。
主要指利用各种假冒或欺骗的手段非法获得合法用户的使用权限,以达到占用合法用户资源的目的。
3、破坏数据的完整性。
指使用非法手段,删除、修改、重发某些重要信息,以干扰用户的正常使用。
4、干扰系统正常运行,破坏网络系统的可用性。
指改变系统的正常运行方法,减慢系统的响应时间等手段。
这会使合法用户不能正常访问网络资源,使有严格响应时间要求的服务不能及时得到响应。
5、病毒与恶意攻击。
指通过网络传播病毒或恶意Java、activeX等,其破坏性非常高,而且用户很难防范。
6、软件的漏洞和“后门”。
软件不可能没有安全漏洞和设计缺陷,这些漏洞和缺陷最易受到黑客的利用。
另外,软件的“后门”都是软件编程人员为了方便而设置的,一般不为外人所知,可是一旦“后门”被发现,网络信息将没有什么安全可言。
如Windows的安全漏洞便有很多。
7、电磁辐射。
电磁辐射对网络信息安全有两方面影响。
一方面,电磁辐射能够破坏网络中的数据和软件,这种辐射的来源主要是网络周围电子电气设备产生的电磁辐射和试图破坏数据传输而预谋的干扰辐射源。
另一方面,电磁泄漏可以导致信息泄露。
1.2网络安全防范措施
在不改变原有网络结构的基础上实现多种信息安全,保障校园内部网络安全,我们选购了一套网络安全防范设备。
1瑞星杀毒软件网络版
1.超强病毒查杀
2.智能主动防御
3.增强型全网漏洞管理
4.强大的网络管理能力是网络安全的基础
部署、控制、执行、升级、报告和日志、二次开发。
5.兼容多种平台
6.一体化智能服务体系
2瑞星企业级防火墙
瑞星全功能NP防火墙是一款整合多种安全防护功能的智能网络安全防火墙,它是瑞星公司针对中小企业级用户定制的一款高端防火墙,型号为:
RFW-SME。
瑞星全功能NP防火墙整合了多种安全防护功能,是建构中小型企业网络的最佳选择。
RFW-SME拥有通用防火墙功能、网络地址转换(NAT)、主动式入侵检测(IDS)、虚拟专网(VPN)、带宽管理、内容过滤、以及策略管理等功能。
通过架设瑞星全功能NP防火墙,可以保护用户的网络免于黑客的攻击,同时也帮助用户利用因特网的资源建构网络安全机制及虚拟专网服务,还提供了不同等级的网络带宽管理,让一些特殊的应用服务可以确保使用带宽。
3瑞星入侵检测系统
作为一种防火墙的合理补充,入侵检测技术能够帮助系统对付网络攻击,扩展了系统管理员的安全管理能力(包括安全审计、监视、攻击识别和响应),提高了信息安全基础结构的完整性。
瑞星RIDS-100入侵检测系统能实时捕获内外网之间传输的所有数据,利用内置的攻击特征库,使用模式匹配和智能分析的方法,检测网络上发生的入侵行为和异常现象,并在数据库中记录有关事件,另外RIDS-100入侵检测系统可以与防火墙联动,自动配置防火墙策略,配合防火墙系统使用,可以全面保障网络的安全,组成完整的网络安全解决方案。
为了加强对引擎进行访问的用户的管理,RIDS-100系统设计了一套完善的用户管理机制,每个管理用户配有一把电子钥匙(串口或USB接口),内装有该用户的密钥和加密算法。
用户在对系统进行管理时必须插入自己的钥匙并输入正确的口令。
检测引擎的接入对被保护网络是透明的,它对被保护网络的任何流量和请求均不做反应,不影响被保护网络的性能。
2.网络管理
网络管理就是指监督、组织和控制网络通信服务以及信息处理所必需的各种活动的总称。
2.1网络管理的内容
网络管理的内容有如下五个方面:
(1)网络故障管理;
(2)网络配置管理;(3)网络性能管理;(4)网络计费管理;(5)网络安全管理。
2.2网络管理的手段
在校园网络管理方面,为了便于校园网络管理人员的管理及维护,我们选购Quidview网络管理软件。
Quidview网络管理软件基于灵活的组件化结构,用户可以根据自己的管理需要和网络情况灵活选择自己需要的组件,真正实现“按需建构”。
Quidview网络管理软件采用组件化结构设计,通过安装不同的业务组件实现了设备管理、VPN监视与部署、软件升级管理、配置文件管理、告警和性能管理等功能。
支持多种操作系统平台,并能够与多种通用网管平台集成,实现从设备级到网络级全方位的网络管理。
1.网络集中监视
Quidview网络管理软件提供统一拓扑发现功能,实现全网监控,可以实时监控所有设备的运行状况,并根据网络运行环境变化提供合适的方式对网络参数进行配置修改,保证网络以最优性能正常运行。
2.故障管理
故障管理主要功能是对全网设备的告警信息和运行信息进行实时监控,查询和统计设备的告警信息。
3.性能监控
Quidview网管系统提供丰富的性能管理功能,同时以直观的方式显示给用户。
通过性能任务的配置,可自动获得网络的各种当前性能数据,并支持设置性能的门限,当性能超过门限时,可以以告警的方式通知网管系统。
通过统计不同线路、不同资源的利用情况,为优化或扩充网络提供依据。
3.服务器监视管理
服务器是企业IP架构中的重要组成部分,通过Quidview,可实现服务器与设备的统一管理。
4.设备配置文件管理
当网络规模较大时,网络管理员的配置文件管理工作将十分繁重,如果没有好的配置文件维护工具,网络管理员就只能手动备份配置文件。
这样就给网络管理员管理、维护网络带来一定的困难。
Quidview网络配置中心支持对设备配置文件的集中管理,包括配置文件的备份、恢复以及批量更新等操作,同时还实现了配置文件的基线化管理,可以对配置文件的变化进行比较跟踪。
6.设备软件升级管理
Quidview提供完善的设备软件备份升级控制机制。
使用Quidview,管理员可以方便地查询设备上运行的软件版本,并利用升级分析功能来确定设备运行软件是否需要升级。
当升级软件版本时,可以利用Quidview集中备份设备运行软件,然后进行批量升级。
升级之后,可以使用Quidview进行升级结果验证,确保升级操作万无一失。
7.集群管理
针对大量二层交换机设备的应用环境,Quidview网络管理软件提供集群管理功能,通过一个指定公网IP的设备(称作命令交换机)对网络进行管理。
8.堆叠管理
Quidview网络管理软件通过堆叠管理,可以集中管理较大量的低端设备,并且为用户提供统一的网管界面,方便用户对大量设备的统一管理维护。
9.故障定位与地址反查
针对最为常见的端口故障,Quidview网络管理软件提供了便捷的定位检测工具——路径跟踪和端口环回测试;当用户报告网络端口使用异常时,网络管理员可以通过网管对指定用户端口做环回测试,直接定位端口故障。
10.RMON管理
RMON管理根据RFC1757定义的标准RMON-MIB及华为3Com自定义告警扩展MIB对主机设备进行远程监视管理。
3.网络安全策略配置
3.1安全接入和配置
安全接入和配置是指在物理(控制台)或逻辑(telnet)端口接入网络基础设施设备前必须通过认证和授权限制,从而为网络基础设施提供安全性。
限制远程访问的安全设置方法如下表所示:
安全接入和配置方法
访问方式
保证网络设备安全的方法
备注
Console控制接口的访问
设置密码和超时限制
建议超时限制设成5分钟
进入特权exec和设备配置级别的命令行
配置Radius来记录logon/logout时间和操作活动;配置至少一个本地账户作应急之用
telnet访问
采用ACL限制,指定从特定的IP地址来进行telnet访问;配置Radius安全纪录方案;设置超时限制
SSH访问
激活SSH访问,从而允许操作员从网络的外部环境进行设备安全登陆
WEB管理访问
取消Web管理功能
SNMP访问
常规的SNMP访问是用ACL限制从特定的IP地址来进行SNMP访问;记录非授权的SNMP访问并禁止非授权的SNMP企图和攻击
为增加安全,建议更改缺省的SNMPCommutiy子串
设置不同账号
通过设置不同的账号的访问权限,提高安全性
3.2拒绝服务的防止
网络设备拒绝服务攻击的防止主要是防止出现TCPSYN泛滥攻击、Smurf攻击等;网络设备的防TCPSYN的方法主要是配置网络设备TCPSYN临界值,若多于这个临界值,则丢弃多余的TCPSYN数据包;防Smurf攻击主要是配置网络设备不转发ICMPecho请求(directedbroadcast)和设置ICMP包临界值,避免成为一个Smurf攻击的转发者、受害者。
3.3访问控制
1允许从内网访问internet,端口全开放。
2允许从公网到DMZ(非军事)区的访问请求:
WEB服务器只开放80端口,mail服务器只开放25和110端口。
3禁止从公网到内部区的访问请求,端口全关闭。
4允许从内网访问DMZ(非军事)区,端口全开放
5允许从DMZ(非军事)区访问internet,端口全开放
6禁止从DMZ(非军事)区访问内网,端口全关闭。
十一.综合布线设计
综合布线的设计原则
综合布线同传统的布线相比较,有着许多优越性,是传统布线所无法比及的。
其特点主要表现为它的兼容性、开放性、灵活性、可靠性、先进性和经济性。
而且在设计、施工和维护方面也给人们带来了许多方便。
兼容性:
综合布线的首要特点是它的兼容性。
所谓兼容性是指它自身是完全独立的而与应用系统相对无关,可以适用于多种应用系统。
综合布线将语音、数据与监控设备的信号线经过统一规划和设计,采用相同的传输介质、信息插座、交连设备、适配器等,把这些不同信号综合到一套标准的布线中。
由此可见,这个布线比传统布线大为简化,节省大量的物资、时间和空间。
开放性:
该系统采用开放式体系结构,符合多种国际上现行的标准,它几乎对所有著名厂商的产品都是开放的,并支持所有通信协议。
灵活性:
该系统采用标准的传输线缆和相关连接硬件,模快化设计,所有通道都是通用的,而且每条通道可支持终端、以太网工作站及令牌网工作站。
所有设备的开通及更改均不需改变布线线路,组网也可灵活多变。
可靠性:
该系统采用高品质的材料和组合压接的方式构成一套高标准的信息传输通道,所有线缆和相关连接件均通过ISO认证,每条通道都要采用专用仪器测试链路阻抗及衰减率,以保证其电气性能。
应用系统全部采用点到点端接,任何一条链路故障均不影响其它链路的运行,从而保证了整个系统的可靠运行。
先进性:
该系统采用光纤和双绞线混合布线方式,极为合理地构成一套完整的布线。
所有布线均采用世界上最新通信标准,链路均按8芯双绞线配置。
5类双绞线的数据最大传输率可达到155Mbps,对于特殊用户的需求可把光纤引到桌面。
干线语音部分采用电缆,数据部分采用光缆,为同时传输多路实时多媒体信息提供足够的裕量。
经济性:
虽然综合布线初期投资比较高,但由于综合布线将原来相互独立、互不兼容的若干种布线集中成为一套完整的布线体系,统一设计,统一施工,统一管理。
这样可省去大量的重复劳动和设备占用,使布线周期大大缩短。
另外,综合布线系统使用简单、方便,维护费用低,可以满足三维多媒体的传输和用户对ISDN(综合服务数字网)、ATM(异步传输模式)的需求。
可见综合布线系统具有很高的性能价格比。
具体布线的拓扑结构如下所示:
十二.设计总结
通过本次设计,该方案通过对该小学现状需求分析及网络需求分析,绘制了网络拓扑结构,制定了 适合该校园的网络设计方案。
该方案涉及了网络拓扑图的绘制、网络安全与管理、综合布线设计。
学校校园网络安全、稳定、快速发展,网内的数据资料实现一个安全、合理、有效的存储和备份,从而提高了该学校内教学资源的传送速度,节省了时间,提高了教学的质量。