泸州职业技术学院网络改造方案最终.docx

1、泸州职业技术学院网络改造方案最终泸 州 职 业 技 术 学 院毕业设计报告泸州职业技术学院网络改造方案学生姓名：刘小刚所 在 系：电子信息工程系班 级：06级计应2班专 业：计算机应用技术指导老师：刁显峰2008年11月5日摘 要本论文主要通过对现有网络的分析，得出其自身所存在的问题，在现有网络的基础上对网络进行改造。现有网络问题主要如下：学生用网没有加入到校园中，校园网实际不完整。现有的网络安全机制不够完善，整个网络处在危险之中。网络管理服务制度落后，阻碍今后学院发展。针对以上问题，在改造的网络方案中，对网络的拓扑图进行了扩充，将原来不存在于校园网络中的学生用网部分加入到改造网络拓扑中，完善

2、校园网络。加强网络安全方面的建设，其中包括防火墙、路由器的配置，IP地址的重分配，VLAN的重划分，网络管理的相关设计。增加网络服务，在改造的网络方案中，加入了WWW服务，FTP服务，DNS服务，DHCP服务等。改造后的网络在网络稳定性和安全性方面得到一个很好的提升。关键字：网络服务管理，网络安全，防火墙，TCP/IP第一章 项目分析1.1 概述近年来，计算机发展迅速，计算机网络应1用更加普遍和丰富，好的计算机网络在整个internet网络中更加重要，主要表现在网络安全、性能方面。网络的迅速发展也带来了网络威胁的大量滋生，历年来全球的网络入侵事件有增无减，也奠定了网络安全技术的迅速发展，网络安

3、全技术在计算机系统中所占的分量也不断增加。随着学院的发展，现有的网络已3经不能够满足教学及学习的要求，迫切的需要一个可靠、安全的强大网络系统。针对现有的网络布局和网络设备，在其基础上建立网络以满足需求，达到学院内部管理、校外方便连接的要求，适应现代网络的网络体系。网络的扩展必然涉及到完全，安全在整个网络中占有比例应增加，以提高网络安全级别。目前学院实行学分制管理模式，学分制教学管理模式是一种动态的教学管理模式，要求不断的调整，优化教学资源。实行学分制，不仅要求对教学资源的设置信息、利用信息以及学生的课程选择、考试成绩和对教学资源的评价信息能够规范、准确、及时的管理，而且要求能够对教学资源，学生

4、学习情况进行及时的跟踪分析反馈，为学校调整教学资源和引导学生学习提供依据。实行学分制使得教学管理工作量成倍增加，必须有一套功能完整、安全可靠的信息系统支撑，才能使学分制顺利实施。1.2 需求分析 泸职院校园网络改造方案，是一个立足于现有网络、面向整个Internet网的网络改造方案，方案的基础是现有的网络设备、布线以及网络计算机，经过改造将使网络规模扩大、网络系统稳定、网络安全加固，网络的性能更上一个台阶，方便以后的网络应用。改造主要针对网络的安全和网络的系统服务，由于学院的不断发展，学院的现有网络服务已经很落后，在很多方面都不涉及，或者涉及并不深入，只是表面上的存在，缺乏现实的应用，改造后的

5、网络将在教学管理、学员管理、资产管理、人事管理、财务管理、后勤管理等方面得到发展、升级。学院的安全方面是目前网络的一大弊端，存在很多的不足，不仅表现在网络外部安全即与Internet的互联上，还表现在网络内部安全，内部安全机制不足，缺乏相应的管理体系，导致内部网络堵塞，信息不流畅，病毒流行。随着学院现代化教学活动的开展和与国内教学机构交往的增多，对通过Internet/Intranet网络进行信息交流的需求越来越迫切，为促进教学、方便管理和进一步发挥学生的创造力，学院网络改造成为必然选择。校园网属于大中型网络系统，内部接点多、设备多、使用人群多、管理复杂。一个基本的校园网具有以下的特点：1.

6、高速的局域网 校园网的核心为面向校园内部师生的网络，因此园区局域网是该系统的建设重点，由于参与网络应用的师生数量众多，而且信息中包含大量多媒体信息，故大容量、高速率的数据传输是网络的一项基本要求。 2. 信息结构多样化校园网应用分为电子教学(多媒体教室、电子图书馆等)、办公管理和远程通讯(远程教学、互联网接入)三大部分内容：电子教学包含大量多媒体信息，办公管理以数据库为主，远程通讯则多为WWW方式，因此数据成分复杂，不同类型数据对网络传输有不同的质量需求。 3. 安全可靠校园网中同样有大量关于教学和档案管理的重要数据，不论是被损坏、丢失还是被窃取，都将带来极大的损失； 操作方便，易于管理校园网

7、面向不同知识层次的教师、学生和办公人员，应用和管理应简便易行，界面友好，不宜太过专业化。4. 经济实用学校对网络建设的投入有限，因此要求建成的网络应经济实用，具备很高的性能价格比。1.3 方案设计原则1. 实用性从保护学院原用的设备投资和能够完全满足现实需求的角度出发，充分集成现有的各种计算机和网络设备，使建设的系统适用、安全、可靠且易管理、维护和扩展，具有最高的性价比。2. 开放性构造一个开放的网络系统，是当前世界计算机技术发展的潮流，因此我们在整个系统的设计中采用的规范、设备与厂商无关，具有较强的兼容性，便于与外界异种机平滑互联。3. 先进性当今的计算机网络技术发展日新月异，把握不准的方向

8、则可能导致在很短的时间内技术落伍，从而面临被淘汰的危险。因此在坚持实用性的前提下尽量采用国际先进成熟的网络技术和设备，适合未来的发展，做到一次规划长期受益。4. 易扩展性所选择的联网方案及设备要能适应网络规划的不断扩大的要求，以便于将来设备的扩充；要能适应信息技术不断发展的要求，平稳地向未来新技术过渡。5. 规范性系统设计除采用信誉好，质量高的设备外，还采用一系列容错、冗余技术、提高整个系统的可靠性。6. 安全性安全性在整个网络中至关重要，一个网络的稳定主要表现在对安全的设计上面，对于局域网安全可以从内网和外网两个部分进行分析，从而保障网络的安全可靠。第二章 现有网络方案2.1 现有网络拓扑图

9、2-1 现有网络拓扑2.2现有网络分析随着学院的发展，现有的网络已经不能够满足学院日常教学，校园生活等方面的需求，网络布局在以后的工作中显得更加的重要，好的网络布局不仅有利于学院内部平常的学习、工作，也有利于学院以后的扩大和发展，为其发展打下坚实的基础。在现有网络中，网络结构采取的是三层结构，学院有两个核心交换机，一个摆放在学院行政楼，另一个摆放着三教楼。在网络中只有一个防火墙，没有路由器，学院内外网之间的数据交换和网络的安全都是靠防火墙提供，防火墙的负担较大。学院的网络结构主要由交换机、防火墙、PC机以及线路构成，其中交换机主要是锐捷产品，核心交换机是锐捷6800系列，接入交换机是锐捷210

10、0系列。学院服务器主要有WWW服务器、FTP服务器、教务管理服务器、图书管理服务器、CNKI服务器等，在服务器的摆放位置上，WWW服务器和教务管理服务器放在行政楼，FTP服务器放在计算机中心大楼，图书管理服务器放在图书馆中。学院的网络现在主要包括以行政楼为主的学院管理层，网络的实际应用主要表现在对学院的管理上。对于学生网络部分，在目前的网络中，学生用网由电信负责，学院不进行管理和监督，电信主要是通过光分器对各个部分进行连接，统一管理，目前学生网络的通信设备都是电信公司的设备。根据以上内容总结现有网络问题如下：1. 在管理上，学院目前只重视教学管理，而忽视学生在校内的上网情况，学生上网难。2.

11、在布局上，学院网络布局偏向目前的网络应用所覆盖的范围，而不怎么涉及到以后网络扩大后的布局，在这点上很不合理。3. 在安全上，学院存在校内的安全问题和校外的安全问题，在学校内部缺乏有效的管理，所以导致内部安全漏洞特多，在校外，主要是学院的WEB服务器的安全，由于没有怎么考虑安全设计，使得网站在使用过程中存在问题。4. 在服务上，现有的网络服务只能够满足当前的管理，在学院未来的发展过程中必然显得力不从心，从而降低学院的管理力度，降低工作、学习效率。第三章 网络改造现有的网络存在诸多弊端，在新的网络设计中，必然针对现有问题做出相应的设计，改造方案主要涉及如下方面：网络拓扑的改进，网络的物理设计，网络

12、的逻辑设计，网络安全设计，网络服务改进。3.1 网络拓扑现有的网络拓扑以学院行政楼为中心，从而覆盖全院网络系统，在网络中不包括目前学生网络部分，所以对于学生在校内上网很不方便，教学的共享访问受到限制。改造后的网络以行政楼，图书馆为中心，将学生网络部分加入到网络中，方便学生上网和学院内部的统一管理。具体拓扑如图所示：图3-1 改造后的网络拓扑网络硬件完备，网络布线设计周全，只是在考虑到网络扩建后所涉及到的部分时，才会有网络设备的添加。所以在改造方案中，现有网络布线系统大致不变，扩建后的网络布线要与原有的网络布线相兼容，保证整个网络的稳定性。在网络设备的选择问题上，既要考虑到网络设备的优良性能，还

13、要考虑到学院所能承受的方案预算和与原有设备的兼容性，保证改造后的网络稳定性。在考虑设备选型时，首先考虑网络内部的信息节点数量，然后进行设备的选择和摆放，现统计网络内部楼宇信息节点数量如下表：表3-1楼宇信息节点表楼名楼层信息接点数设备备注4教楼676接入核心交换机信息接点数是一栋楼所有的信息接点数音乐楼423一个核心交换机图书馆5401教楼535艺海楼416一个汇聚交换机女1公寓8188女2公寓686教师公寓1626教师公寓2524月牙湖公寓672女新公寓7男新公寓7210实验楼565招待所546医务室28男1号公寓6144一个汇聚交换机启明楼463教楼542根据信息点数量和原有的设备配置完成

14、设备的补充选型，根据学院的网络接入数量和楼宇间的分布进行布线。做到充分利用现有资源，合理的完成网络的建设。在现有的网络中，设备齐全，但是在新建的网络中，设计到部分楼宇没有设备，所以应选取几个设备进行配置，经过调查、分析，可以在新建的网络中添加几个接入层交换机。原有网络中没有路由器，防火墙的负担过大，所以选择路由器一个。由于在网络的改造过程中，会添加几个服务器，所以应该选取2个服务器。各个设备的参数信息如下：表3-2 路由器参数H3C MSR 50-40 价格40000 元设备类型多业务开放路由器端口类型模块化扩展模块8固定局域网接口2个千兆光纤接口/电Combo传输速率10/100/1000M

15、bps内存1G包转发率600Kpps处理器RISC新一代处理器833MHz控制端口Console/AUX支持网络协议IP服务,非IP服务,IP应用,IP路由,MPLS,IPv6,广域网协议,局域网协议支持的网管协议网络管理,本地管理,用户接入管理网管软件网络管理、本地管理、用户接入管理是否VPN支持是是否Qos支持是是否内置防火墙是安全标准UL 60950 3rd Edition,CSA 22.2#950 3rd Edition 1995,EN 60950: 2000 + ZB & ZC deviations for European Union LVD Directive,IEC 60950

16、:1999 + corr. Feb. 2000, modified + all National deviations电源电压(V)AC:输入额定范围：100240V 50/60Hz.DC:-48-60V电源功率(W)350适用环境温度:0-40、湿度:5%-90%(不结露)v接入层交换机主要以100Base-TX为接口，选择24端口和48端口的智能型交换机为主，并有支持多模光纤或1000Base-T的接口，有利于接入层交换机和汇聚层相连，方便网络中的布线，在设备的选取上其交换机的性价比都较高。具体参数如下：表3-3 交换机参数（一）H3C S1550价格 2980元交换机类型智能交换机传输速

17、率10Mbps/100Mbps/1000Mbps端口数量50个模块化插槽数1个背板带宽13.6Gbps网络标准IEEE 802.3、IEEE 802.3u、IEEE 802.3z、IEEE 802.3ab、IEEE 802.3xv接口介质10/100Base-TX:五类双绞线,传输距离100m、1000Base-LX-SFP:9/125m单模光纤,传输距离10km、1000BASE-ZX-LR-SFP:9/125m单模光纤,传输距离40km、1000BASE-ZX-VR-SFP:9/125m单模光纤,传输距离70km、1000BASE-SX-SFP:50/125m多模光纤,传输距离550m交换

18、方式存储-转发传输模式全双工/半双工自适应VLAN支持支持电源AC100-240V(50Hz-60Hz)环境标准工作温度:0-40、工作湿度:20%-85%无凝结表3-4 交换机参数（二）H3C S1224价格1740元交换机类型千兆以太网交换机传输速率10Mbps/100Mbps/1000Mbps端口数量24网络标准IEEE802.3x、IEEE 802.3、IEEE 802.3u、IEEE 802.3ab背板带宽48Gbps接口介质10Base-T:3/4/5类双绞线,支持最大传输距离200m、100Base-TX:5类双绞线,支持最大传输距离100m、1000Base-T:5类双绞线,支

19、持最大传输距离100m交换方式存储-转发传输模式全双工/半双工自适应VLAN支持支持电源100V240V，50/60Hz环境标准工作温度:0-40、存储温度:-10-70、工作湿度:10%-85%无凝结、存储湿度:10%-90%无凝结在新建的网络中，会涉及到DNS服务器和DHCP服务器，然而原有的网络中没有两个服务器，所以需要挑选服务器，在服务器的选择上应该要先考虑服务器的硬件配件和服务器的安全措施。表3-5 服务器参数HP ProLiant DL380 G5(458563-AA1) 价格 19800元类别机架式结构2UCPU类型Xeon E5440CPU频率(MHz)2830处理器描述标配1

20、个Xeon E5440处理器最大处理器数量2内存类型FB-DIMMCPU二级缓存12MB内存大小2GB主板芯片组Intel 5000p最大内存容量32GBFSB（总线）1333MHz硬盘类型SAS/SATA内部硬盘架数8个纤小型(SFF)热插拔驱动器托架支持串行SCSI(SAS)和串行ATA (SATA)驱动器最大热插拔硬盘数支持8个热插拔磁盘阵列卡HP 智能阵列 P400/256MB 控制器(RAID 0/1/1+0/5)光驱可选DVD 光驱、DVD/CD-RW combo光驱、DVD+R/RW 光驱网络控制器带有TCP/IP卸载引擎的两个嵌入式NC373i多功能千兆网络适配器,通过一个可选

21、许可套件支持加速的iSCSI标准接口1个串行端口、1个定位设备(鼠标)接口、1个显卡接口、1个键盘接口、2个VGA端口(正面1个、背面1个)、2个RJ-45网络接口、1个 iLO 2远程管理端口、5个USB 2.0端口(正面2个、背面2个、内置1个)安全性开机密码;键盘密码;磁盘驱动器控制;磁盘启动控制;快速锁定、网络服务器模式;并行及串行端口控制;管理员密码电压100-132V,200-240V;50/60Hz系统支持Microsoft Windows Server 2000;Microsoft Windows Server 2003; Red Hat Enterprise Linux;VM

22、ware 虚拟化软件;Solaris 10 32/64位环境10-35（温度）10%-90%（湿度）根据网络中各个楼宇的信息节点数和网络实际现状，然后可以算出新增的网络设备，根据设备的基本价格和数量可以算出网络中设备的大概价格。表3-6 设备价格型号名称单价(元)数量（个）总价（元）合计（元）H3C MSR 50-40路由器40000140000160320H3C S1550交换机29802368540H3C S1224交换机1740712180HP ProLiant DL380 G5服务器198002396003.2 逻辑设计网络逻辑设计包括整个网络的IP地址划分和VLAN的划分，在目前网络

23、中，由于公有IP地址的缺乏，网络内部的IP地址主要是采用网络私有地址进行配置通信，在整个学院公网IP地址只有5个，所以在学院的通信设备上采用NAT服务，对内网地址进行转换，然后连接到公网，实现通信，在改造方案中将大致采用其相同的原则，对全网进行IP分段，设立VLAN，让网络之间既有连接又有隔离，从而保证网络的安全和稳定，也可以在整体上保持与原有网络的兼容，保证网络内部之间和网络外部的正常通信。具体的IP划分情况如下：表3-6 IP分配及Vlan分配IP地址掩码所属VLAN服务器组192.168.0.1-192.168.0.254255.255.255.0Vlan-100电信系192.168.1

24、.1-192.168.1.254255.255.255.0Vlan-101机电系192.168.2.1-192.168.2.254Vlan-102管理系192.168.3.1-192.168.3.254Vlan-103建筑系192.168.4.1-192.168.4.254Vlan-104人文系192.168.5.1-192.168.5.254Vlan-105外语系192.168.6.1-192.168.6.254Vlan-106艺体系192.168.7.1-192.168.7.254Vlan-107财会室192.168.8.1-192.168.8.254Vlan-108一教楼192.168.

25、9.1-192.168.9.254255.255.255.0Vlan-109三教楼10.1.1.1-10.1.255.255255.0.0.0四教楼10.2.1.1-10.2.255.255255.0.0.0音乐楼10.5.1.1-10.5.255.255255.0.0.0启明楼10.3.1.1-10.3.255.255255.0.0.0Vlan-110实验楼10.4.1.1-10.4.255.255255.0.0.0Vlan-111图书馆10.6.1.1-10.6.255.255255.0.0.0Vlan-112男生公寓10.7.1.1-10.7.255.255255.0.0.0Vlan-1

26、13女生公寓10.8.1.1-10.8.255.255255.0.0.0Vlan-114教师公寓10.9.1.1-10.9.255.255255.0.0.0Vlan-1153.3 安全设计网络安全的设计主要是要让网络状况安全、可靠、运行正常，在安全方面主要分为网内安全和网外安全，在内部网安全改造中主要包括设置DMZ区、配置VLAN、物理位置安全和加大对网络内部的监控等，外网方面主要服务器安全、ACL控制、和外网的数字签名。3.3.1 内部网安全1. 配置DMZ区 在网络中要进行正常的工作,就必须有其相应的服务体系，服务体系中包括各种服务器，之间相互依靠组成网络服务，其中有服务于网络内部的各种服

27、务，例如，WWW服务等，也有服务于网络外部的各种服务，例如，FTP服务、DNS服务，电子邮件服务等，涉及到外网的部分就必须考虑到其自身的安全，在正常工作的情况下不影响到内网的安全，同时在内网中的服务器也不允许外网进行访问,所以应该在这之间设立一个独立的空间隔开内网和外网，即DMZ区，2. 配置VLAN校园网是一个比较大型的网络，网内信息接入点多，信息流量大小不同，所以应该对其进行合理的分配，不仅可以隔开网络，防止广播风暴的威胁，从宏观上控制整个网络的访问量，从而达到使网络更加的安全可靠，也可以更加方便的管理网络，各个VLAN的不同更加有利于使用。3. 物理安全物理安全主要是考虑计算机系统、网络

28、服务器、打印机等硬件实体和通信线路免受自然灾害、人为破坏和搭线攻击，在网络设计中，物理安全是整个网络平台运行的基础，所以应该加强管理和监督，防止硬件上的破坏。包括机房的卫生、安全、整体布线。4. 网络的监控在局域网内部，安全是最重要的，没有稳定的网络，日常的工作、学习都会受到影响，目前网络内部安全机制十分的缺乏，比如在校内的PC机上多少存在病毒，所以在操作上会遇到许多的麻烦，所以，在网络运行过程中，要加强日常管理的强度，时常对网络进行监督，查看相关的日志，从而发现问题，解决问题，使网络正常运行。防止病毒在网内的肆意蔓延。3.3.2 外部网安全1. 服务器安全 在目前网络的服务器安全控制上，主要

29、依据服务器上自带的安全措施对服务器进行管理，在网络扩建的部分所涉及的服务器在选取的时候要注意服务器自身所带的安全控制功能，有利于以后的配置，另外，在现有网络中设计的服务器要做好日常的管理，多多注意，分析日志文件，防止病毒或其他的问题发生，2. ACL访问控制ACL控制，是一种控制内网和外网的访问规则，它通过在路由器上编写代码，控制内网和外网之间的访问，控制数据流，过滤对网络进行恶意攻击的数据包，比如，不允许外网设备访问内网的服务器等，从而做到内网的安全。也可以控制内网的设备访问外网，从而减轻路由器、防火墙的负担。主要的控制命令如下：Router (config) #access-list ac

30、cess-list-number permit|denysource source-widcard;Router (config-if) # protocol access-group access-list-numberin|out;/定义标准的ACL并放在相应的端口上Router (config) #access-list access-list-number permit|deny protocol source source-mask destination destination-maskoperator operandestablished;/配置扩展的ACL3. 防火墙 防火墙是整个网络的第一道门户，所以防火墙的安全是非常重要的，好的防火墙可以分担整个网络很多安