网络工程实习报告.docx
《网络工程实习报告.docx》由会员分享,可在线阅读,更多相关《网络工程实习报告.docx(12页珍藏版)》请在冰豆网上搜索。
网络工程实习报告
一、项目背景
在当今社会,随着计算机网络技术的飞速发展,信息传输网络已经成为人们生产生活中不可或缺的重要组成部分。
随着办公单位信息以及各单元自动化需要提高办公效率,从而进一步满足现代办公的快速,精确要求,需要建立企业办公与管理一体化的局域网。
参与局域网内的组成有很多方面,首先需要一个适当的设计和规划,然后需要处理的布线,网络设备的选择和配置,服务器设备的选择和配置,网络软件的安装等,需要一步一步的执行,并且,还需要日常的维护。
这一切促使了网络技术进一步发展。
1.1用户当前状况
某企业总部共由5栋楼组成,分为管理办公楼1栋(3层),生产车间3栋(单层),库房1栋(2层)。
其中,管理办公楼1,2层有8间办公室,每间布设8个信息点,三楼有3间厂长办公室,每间布设2个信息点,1间会议室布设4个信息点,1间网络机房布设20个信息点,安装www服务器一台用来对外发布产品信息,一台电子邮件服务器,企业管理服务器2台(1台备份),vpn设备1台,防火墙1台,广域网接入路由器1台,内部核心交换机1台。
生产车间每栋都要部署20个信息点,安装企业管理服务器1台,并配备无线局域网。
而库房每层布设4个信息点,安装企业管理服务器1台。
1.2项目建设的必要性
总部与外地办事处均用VPN设备连接,组成了一个虚拟的局域网,总部通过接入的路由器接入Internet。
必须要安装企业管理软件系统,便于统筹与管理众多的主机,为避免产生网络安全问题,而产生较高的网络安全需求。
为便于管理企业内部众多上网的主机,而必须配备有统一的管理软件,以便于进行统一管理。
二、需求分析
2.1网络建设的目的与原则
便于对局域网内各个主机进行统一的管理,从而加强企业内部的统一性,对员工的日常工作也能进行很好的协调,必要的管理软件,也能对内部主机上网进行管理,而企业网络安全也能得到一定程度的保障。
2.2投资规模
投资规模:
一定时期一个国家或一个部门,一个地区,有关单位在固定资产再生产活动中投入的以货币形态表现的物化劳动和活劳动的总量。
这其中,又分年度投资规模和在建投资规模。
年度投资规模是指一年内一个国家或一个部门、一个地区、一个单位投入到固定资产再生产方面的资金总量,是一个国家或地区在一年内实际完成的固定资产投资额,反映了一年内投入在固定资产再生产上的人力、物力、财力的数量。
年度投资规模应与当年的国力相适应。
在建投资规模是指一个国家或一个部门、一个地区、一个单位当年施工的建设项目全部建成交付使用所需的投资额,包括以前年度已完成的投资以及本年度和以后年度继续建设所需要的投资,反映了一定年份全国实际铺开的建设战线的长短。
在建投资规模应与一定时期的国力相适应。
企业架设每个信息点都需要的成本,VPN设备,电子邮件服务器,广域网接入路由器等设备成本,架设期间雇佣工人,完成内部网络所开发的软件成本,都在考虑范围之内。
2.3信息点状况及应用程序
信息点管理办公楼中,一层二层每层都要布设160个信息点,三层布设30个;3个生产车间每个布设20个;库房2层,每层布设4个。
信息流量当属管理办公楼最快,因配备有多种配套设备。
应用程序要适应企业整体的管理要求,在关键应用与多媒体应用方面也能配套,不致使企业内部系统出现拥堵的情况。
在QoS方面,尽量采用链路效率机制,用于改善链路的性能,间接提高企业的QoS。
着重抓QoS,减少丢包率,延迟,传输顺序出错以及传输路径出错,在带宽一定的基础下,对各应用及业务的特点,对网络资源进行合理的规划与分配,最终实现网络资源的高效利用。
2.4其他方面
对于广域网接入问题,为避免员工在工作期间上网休闲,要对企业内部的局域网进行有效而且统一的管理,可安装管理监视软件,若发现与工作无关的网络内容,即向管理办公楼3层主机报告,从而有效的进行管理。
广域网一旦接入,便存在企业内部资料被窃取的可能性,因此,要安装防火墙,设置加密软件对企业内部资料进行加密,预防黑客的侵袭。
通过上述环节即提高了员工的工作效率,又能很好的协调员工之间的工作,不使员工产生讨厌工作的心理,而且很好的进行了统筹管理,可谓一举多得。
3.技术调研
3.1主流网络传输技术
传输技术Transmissiontechnology指充分利用不同信道的传输能力构成一个完整的传输系统,使信息得以可靠传输的技术。
传输系统是通信系统的重要组成部分,传输技术主要依赖于具体信道的传输特性。
信道分为有线信道和无线信道。
有线信道又可进一步细分为架空明线(传输能力一般不超过12个话路),对称电缆(用于载波通信的高频电缆一对芯线的传输能力可达120个话路),同轴电缆(其传输能力可达1800~3600个话路),光缆(单模光纤的传输能力已可达若干万个话路)等;无线信道又可进一步分为地波传播(如级长波,超长波,长波,短波等),天波传播(即经电离层反射传播,如短波),视距传播(如超短波,微波)等。
由于不同信道有各自适用的频率范围,信源的信号必须通过“调制”到给定的频率范围才能进行传输,故调制技术是传输技术的关键之一。
由于企业房间都是固定的,使用光纤传输具有稳定性,流畅性。
3.2网络互连技术
包括路由,交换,远程访问3个方面,即通过路由等设备将网络连通,成为一个整体,具体包括了网络技术基础、IP编址、路由器基本配置、路由器安全管理、IP路由原理、RIP动态路由协议原理与配置、OSPF动态路由协议原理与配置、交换机原理与基本配置、生成树协议原理与配置、远程访问技术基础、HDLC及PPP原理与配置。
而企业内部,更是需要这种技术,以便于企业进行统一的管理。
3.3网络接入技术
接入技术要解决的问题是如何将用户连接到各种网络上。
作为网络中与用户相连的最后一段线路上所采用的技术,接入技术已成为目前网络技术的一大热点,为了提供端到端的宽带连接,宽带接入是必须要解决的一个问题。
其中具体包括了光纤接入(光纤是目前传输速率最高的传输介质,在主干网中已大量的采用了光纤。
如果将光纤应用到用户环路中,就能满足用户将来各种宽带业务的要求。
可以说,光纤接入是宽带接入网的最终形式,但目前要完全抛弃现有的用户网络而全部重新铺设光纤,对于大多数国家和地区来说还是不经济、不现实的。
)、同轴接入(同轴电缆也是传输带宽比较大的一种传输介质,目前的CATV网就是一种混合光纤铜轴网络,主干部分采用光纤,用同轴电缆经分支器介入各家各户。
混合光纤/铜轴(HFC)接入技术的一大优点是可以利用现有的CATV网,从而降低网络接入成本。
)、铜线接入(铜线接入是指以现有的电话线为传输介质,利用各种先进的调制技术和编码技术、数字信号处理技术来提高铜线的传输速率和传输距离。
但是铜线的传输带宽毕竟有限,铜线接入方式的传输速率和传输距离一直是一对难以调和的矛盾,从长远的观点来看,铜线接入方式很难适应将来宽带业务发展的需要。
)、无线接入(无线用户环路是指利用无线技术为固定用户或移动用户提供电信业务,因此无线接入可分为固定无线接入和移动无线接入,采用的无线技术有微波、卫星等。
无线接入的优点有:
初期投入小,能迅速提供业务,不需要铺设线路,因而可以省去浦县的大量费用和时间;比较灵活,可以随时按照需要进行变更、扩容,抗灾难性比较强)。
3.4网络安全技术
网络安全技术指致力于解决诸如如何有效进行介入控制,以及如何保证数据传输的安全性的技术手段,主要包括物理安全分析技术,网络结构安全分析技术,系统安全分析技术,管理安全分析技术,及其它的安全服务和安全机制策略。
具体分为虚拟网技术(虚拟网技术主要基于局域网交换技术(ATM和以太网交换)。
交换技术将传统的基于广播的局域网技术发展为面向连接的技术。
因此,网管系统有能力限制局域网通讯的范围而无需通过开销很大的路由器。
)、防火墙技术(网络防火墙技术是一种用来加强网络之间访问控制,防止外部网络用户以非法手段通过外部网络进入内部网络,访问内部网络资源,保护内部网络操作环境的特殊网络互联设备.它对两个或多个网络之间传输的数据包如链接方式按照一定的安全策略来实施检查,以决定网络之间的通信是否被允许,并监视网络运行状态.)、病毒防护技术(
(1)阻止病毒的传播。
在防火墙、代理服务器、SMTP服务器、网络服务器、群件服务器上安装病毒过滤软件。
在桌面PC安装病毒监控软件。
(2)检查和清除病毒。
使用防病毒软件检查和清除病毒。
(3)病毒数据库的升级。
病毒数据库应不断更新,并下发到桌面系统。
(4)在防火墙、代理服务器及PC上安装Java及ActiveX控制扫描软件,禁止未经许可的控件下载和安装。
)、入侵检测技术(入侵检测系统是新型网络安全技术,目的是提供实时的入侵检测及采取相应的防护手段,如记录证据用于跟踪和恢复、断开网络连接等。
实时入侵检测能力之所以重要首先它能够对付来自内部网络的攻击,其次它能够缩短hacker入侵的时间。
)、安全扫描技术(安全扫描工具源于Hacker在入侵网络系统时采用的工具。
商品化的安全扫描工具为网络安全漏洞的发现提供了强大的支持。
安全扫描工具通常也分为基于服务器和基于网络的扫描器。
基于服务器的扫描器主要扫描服务器相关的安全漏洞,如password文件,目录和文件权限,共享文件系统,敏感服务,软件,系统漏洞等,并给出相应的解决办法建议。
通常与相应的服务器操作系统紧密相关。
基于网络的安全扫描主要扫描设定网络内的服务器、路由器、网桥、变换机、访问服务器、防火墙等设备的安全漏洞,并可设定模拟攻击,以测试系统的防御能力。
)、认证和数字签名技术(认证技术主要解决网络通讯过程中通讯双方的身份认可,数字签名作为身份认证技术中的一种具体技术,同时数字签名还可用于通信过程中的不可抵赖要求的实现。
)、VPN技术(企业总部和各分支机构之间采用internet网络进行连接,由于internet是公用网络,因此,必须保证其安全性。
我们将利用公共网络实现的私用网络称为虚拟私用网(VPN)。
)、应用系统的安全技术(由于应用系统的复杂性,有关应用平台的安全问题是整个安全体系中最复杂的部分。
下面的几个部分列出了在Internet/Intranet中主要的应用平台服务的安全问题及相关技术。
1、域名服务Internet域名服务为Internet/Intranet应用提供了极大的灵活性。
几乎所有的网络应用均利用域名服务。
但是,域名服务通常为hacker提供了入侵网络的有用信息,如服务器的IP、操作系统信息、推导出可能的网络结构等。
同时,新发现的针对BIND-NDS实现的安全漏洞也开始发现,而绝大多数的域名系统均存在类似的问题。
如由于DNS查询使用无连接的UDP协议,利用可预测的查询ID可欺骗域名服务器给出错误的主机名-IP对应关系。
因此,在利用域名服务时,应该注意到以上的安全问题。
主要的措施有:
(1)内部网和外部网使用不同的域名服务器,隐藏内部网络信息。
(2)域名服务器及域名查找应用安装相应的安全补丁。
(3)对付Denial-of-Service攻击,应设计备份域名服务器。
2、WebServer应用安全WebServer是企业对外宣传、开展业务的重要基地。
由于其重要性,成为Hacker攻击的首选目标之一。
WebServer经常成为Internet用户访问公司内部资源的通道之一,如Webserver通过中间件访问主机系统,通过数据库连接部件访问数据库,利用CGI访问本地文件系统或网络系统中其它资源。
但Web服务器越来越复杂,其被发现的安全漏洞越来越多。
为了防止Web服务器成为攻击的牺牲品或成为进入内部网络的跳板,我们需要给予更多的关心:
(1)Web服务器置于防火墙保护之下。
(2)在Web服务器上安装实时安全监控软件。
(3)在通往Web服务器的网络路径上安装基于网络的实时入侵监控系统。
(4)经常审查Web服务器配置情况及运行日志。
(5)运行新的应用前,先进行安全测试。
如新的CGI应用。
(6)认证过程采用加密通讯或使用X.509证书模式。
(7)小心设置Web服务器的访问控制表。
3、电子邮件系统安全电子邮件系统也是网络与外部必须开放的服务系统。
由于电子邮件系统的复杂性,其被发现的安全漏洞非常多,并且危害很大。
加强电子邮件系统的安全性,通常有如下办法:
(1)设置一台位于停火区的电子邮件服务器作为内外电子邮件通讯的中转站(或利用防火墙的电子邮件中转功能)。
所有出入的电子邮件均通过该中转站中转。
(2)同样为该服务器安装实施监控系统。
(3)该邮件服务器作为专门的应用服务器,不运行任何其它业务(切断与内部网的通讯)。
(4)升级到最新的安全版本。
4、操作系统安全市场上几乎所有的操作系统均已发现有安全漏洞,并且越流行的操作系统发现的问题越多。
对操作系统的安全,除了不断地增加安全补丁外,还需要:
(1)检查系统设置(敏感数据的存放方式,访问控制,口令选择/更新)。
(2)基于系统的安全监控系统。
)。
3.5网络管理技术
网络管理包括对硬件、软件和人力的使用、综合与协调,以便对网络资源进行监视、测试、配置、分析、评价和控制,这样就能以合理的价格满足网络的一些需求,如实时运行性能、服务质量等。
网络管理常简称为网管。
包含SNMP协议,CMIS/CMIP协议、CMOT协议、LMMP协议。
又分为故障管理(故障管理是网络管理中最基本的功能之一。
用户都希望有一个可靠的计算机网络。
当网络中某个组成失效时,网络管理器必须迅速查找到故障并及时排除。
通常不大可能迅速隔离某个故障,因为网络故障的产生原因往往相当复杂,特别是当故障是由多个网络组成共同引起的。
在此情况下,一般先将网络修复,然后再分析网络故障的原因。
分析故障原因对于防止类似故障的再发生相当重要。
)、网络配置管理(配置管理同样相当重要。
它初始化网络、并配置网络,以使其提供网络服务。
配置管理是一组对辨别、定义、控制和监视组成一个通信网络的对象所必要的相关功能,目的是为了实现某个特定功能或使网络性能达到最优。
)、网络性能管理(性能管理估价系统资源的运行状况及通信效率等系统性能。
其能力包括监视和分析被管网络及其所提供服务的性能机制。
性能分析的结果可能会触发某个诊断测试过程或重新配置网络以维持网络的性能。
性能管理收集分析有关被管网络当前状况的数据信息,并维持和分析性能日志。
)、网络计费管理(计费管理记录网络资源的使用,目的是控制和监测网络操作的费用和代价。
它对一些公共商业网络尤为重要。
它可以估算出用户使用网络资源可能需要的费用和代价,以及已经使用的资源。
网络管理员还可规定用户可使用的最大费用,从而控制用户过多占用和使用网络资源。
)、网络安全管理(⑴网络资源的访问控制,通过管理路由器的访问控制链表,完成防火墙的管理功能,即从网络层(1P)和传输层(TCP)控制对网络资源的访问,保护网络内部的设备和应用服务,防止外来的攻击。
⑵告警事件分析,接收网络对象所发出的告警事件,分析员安全相关的信息(如路由器登录信息、SNMP认证失败信息),实时地向管理员告警,并提供历史安全事件的检索与分析机制,及时地发现正在进行的攻击或可疑的攻击迹象。
⑶主机系统的安全漏洞检测,实时的监测主机系统的重要服务(如WWW,DNS等)的状态,提供安全监测工具,以搜索系统可能存在的安全漏洞或安全隐患,并给出弥补的措施)五大功能。
S7600系列路由交换机的主要特性
S7602-S
S7602
S7603-S
S7603
S7606-S
S7606
S7606-V
S7610
交换容量
双向192Gbps
双向320Gbps
双向480Gbps
双向800Gbps
双向768Gbps
双向800Gbps
双向800Gbps
双向1152Gbps
包转发率
142Mpps
60Mpps
274Mpps
90Mpps
488Mpps
180Mpps
180Mpps
773Mpps
槽位数量
4
4
4
5
8
8
8
12
业务槽位数量
2
2
3
3
6
6
6
10
冗余设计
电源、主控冗余
电源、主控冗余
电源冗余
电源、主控冗余
电源冗余
电源、主控冗余
电源、主控冗余
电源、主控冗余
二层特性
支持IEEE802.1P(CoS优先级)
支持IEEE802.1Q(VLAN)
支持IEEE802.1d(STP)/802.1w(RSTP)/802.1s(MSTP)
支持IEEE802.1ad(QinQ),灵活QinQ和Vlanmapping
广播/组播/未知单播报文的抑制功能
静态端口聚合/LACP/跨板聚合
JumboFrame(9K)
802.3x流控支持,支持反压方式流控
LoopbackDection
为满足高效,安全,多业务的下一代企业需求,开发出如下:
产品型号
RG-S3760-24
RG-S3760-48
RG-S3760-12SFP/GT
固定端口
24端口10/100M自适应端口,4个SFP接口,4个复用的10/100/1000M电口
48端口10/100M自适应端口,4个SFP接口,4个复用的10/100/1000M电口
12个SFP接口和12个10/100/1000BASE-T的RJ45接口,光口和电口复用
可用SFP
模块
Mini-GBIC-SX:
单口1000BASE-SXminiGBIC转换模块(LC接口);
Mini-GBIC-LX:
单口1000BASE-LXminiGBIC转换模块(LC接口);
Mini-GBIC-LH40:
单口1000BASE-LHminiGBIC转换模块(LC接口),40km;
Mini-GBIC-ZX50:
单口1000BASE-ZXminiGBIC转换模块(LC接口),50km;
Mini-GBIC-ZX80:
单口1000BASE-ZXminiGBIC转换模块(LC接口),80km
背板
37.6Gbps
37.6Gbps
48Gbps
IPv4包转发速率
L2:
线速(9.6Mpps)
L2:
线速(13.2Mpps)
L2:
线速(18Mpps)
L3:
线速(9.6Mpps)
L3:
线速(13.2Mpps)
L3:
线速(18Mpps)
IPv6包转发速率
L2:
线速(9.6Mpps)
L2:
线速(13.2Mpps)
L2:
线速(18Mpps)
L3:
线速(9.6Mpps)
L3:
线速(13.2Mpps)
L3:
线速(18Mpps)
MAC
16K
802.1qVLAN
4K
IPv4ACL
支持灵活多样的硬件ACL,如标准IPACL(基于IP地址的硬件ACL)、
扩展IPACL(基于IP地址、TCP/UDP端口号的硬件ACL)、
MAC扩展ACL(基于源MAC地址、目的MAC地址和可选的以太网类型的硬件ACL)、
专家级ACL(可同时基于VLAN号、以太网类型、MAC地址、IP地址、TCP/UDP端口号、协议类型、时间等灵活组合的硬件ACL)、时间ACL等,提高对各种网络病毒和网络攻击的防御能力
IPv6ACL
支持源/目的IPv6地址、源/目的端口、IPv6报文头的流量类型(Trafficclass)、时间选项的硬件IPv6ACL
四、网络设计方案
在企业内部网络中,只能使用专用(私有)IP地址段。
在选择专用(私有)IP地址时,应当注意以下几点:
(1)为每个网段都分配一个C类IP地址段,建议使用192.168.2.0--192.168.254.0段IP地址。
由于某些网络设备(如宽带路由器或无线路由器)或应用程序(如ICS)拥有自动分配IP地址功能,而且默认的IP地址池往往位于192.168.0.0和192.168.1.0段,因此,在采用该IP地址段时,往往容易导致IP地址冲突或其他故障。
所以,除非必要,应当尽量避免使用上述两个C类地址段。
(2)可采用C类地址的子网掩码,如果有必要,可以采用变长子网掩码。
通常情况下,不要采用过大的子网掩码,每个网段的计算机数量都不要超过250台计算机。
同一网段的计算机数量越多,广播包的数量越大,有效带宽就损失得越多,网络传输效率也越低。
(3)即使选用10.0.0.1--10.255.255.254或172.16.0.1--172.31.255.254段IP地址,也建议采用255.255.255.0作为子网掩码,以获取更多的IP网段,并使每个子网中所容纳的计算机数量都较少。
当然,如果必要,可以采用变长子网掩码,适当增加可容纳的计算机数量。
4、为网络设备的管理WLAN分配一个独立的IP地址段,以避免发生与网络设备管理IP的地址冲突,从而影响远程管理的实现。
基于同样的原因,也要将所有的服务器划分至一个独立的网段。
需要注意的是,不要以为同一网络的计算机分配不同的IP地址,就可以提高网络传输效率。
事实上,同一网络内的计算机仍然处于同一广播域,广播包的数量不会由于IP地址的不同而减少,所以,仅仅是为计算机指定不同网段,并不能实现划分广播域的目的。
若欲减少广播域,最根本的解决办法就是划分VLAN,然后为每个VLAN分别指定不同的IP网段。
交换机
如上图所示,需1个3层管网交换机,5个2层管网交换机,共需要大概5000+2000=7000元
②路由器
使用T-Link4孔的话,每个100元左右,管理办公楼中,1层2层共需要32个,3层的话,厂长办公室每个1个,会议室1个,机房需要5个,管理办公楼共需要39个。
生产车间的话,每个车间5个,3个需要15个。
库房的话,2层,每层1个,共需2个。
共56*100=5600元。
③防火墙
防火墙(英文:
firewall)是一项协助确保信息安全的设备,会依照特定的规则,允许或是限制传输的数据通过。
防火墙可以是一台专属的硬件也可以是架设在一般硬件上的一套软件。
需要1个,中型企业,大概在1W元左右。
④VPN设备
使用领航VPN,性价比在国内是比较高的,价格是目前国内品牌中最便宜的,性能相当稳定,大概30元每月。
5.VLAN划分
使用端口划分VLAN
许多VLAN厂商都利用交换机的端口来划分VLAN成员。
被设定的端口都在同一个广播域中。
例如,一个交换机的1,2,3,4,5端口被定义为虚拟网AAA,同一交换机的6,7,8端口组成虚拟网BBB。
这样做允许各端口之间的通讯,并允许共享型网络的升级。
但是,这种划分模式将虚拟网限制在了一台交换机上。
第二代端口VLAN技术允许跨越多个交换机的多个不同端口划分VLAN,不同交换机上的若干个端口可以组成同一个虚拟网。
以交换机端口来划分网络成员,其配置过程简单明了。
因此,从目前来看,这种根据端口来划分VLAN的方式仍然是最常用的一种方式。
6.软件系统
软件系统是由系统软件,应用软件,支撑软件组成的。
它包括操作系统、语言处理系统、数据库系统、分布式软件系统和人机交互系统等。
购买企业管理软件除了要选择具有符合你企业的功能之外,还要看中购买企业的服务。
价格不能太低,比如几百块。
如果是自主研发的话,成本也不只几百块吧。
如果不是自主研发,那么以后的技术支持可能就成问题了。
但是如果价格过高,可能一般的公司也不容易接受。
青岛金智电子科技有限公司自主研发的金智企业综合管理系统,价格适中,并且从你开始试用到购买再到后期的升级都会有专属客服给你服务,会将你所有的疑问都更好更快的解决。
4.网络布线设计方案
布线系统主要部件
1.配线架
使用超5类非屏蔽24口配线架,国产的话价格为120到300元之间,办公楼使用5个的话,按120元来算,要花费600元,3个生产车间要用到6*120也就是720元,库房3个的话,用360元,共需话费1680元。
2.机柜
健标机柜:
19寸国际标准,42U网络机柜(高2
升级会员 