网络综合实践综合设计.docx

1、网络综合实践综合设计网络综合实践综合设计综合设计背景：调查我校校园网络的设计规划，了解校园网安全与管理现状，进行必要的资料查询和市场调查，设计我校校园网络管理和安全方案，并制定实施计划，对涉及到的主要网络管理技术，写出基本的实现过程。摘要当前社会上,网络工程专业重要核心专业课程，以校园网络的案例分析为主，结合实际的网络管理实践与网络技术实训 全面设计网络安全的相关网络管理与，扮演网络管理职业与岗位职责，全面发挥网络管理的基本原理与网络故障维护的方法和技能 通过实际的企业网络管理和实践，要求整个校园网络的实际状况与需求，设计校园网络安全策略与网络管理方案，提出具体的实施方法并通过实验进行验证，使

2、校园网络更加完善。需求分析一、网络功能需求分析：(1)数据通信功能学院的领导、教师、学生及其他成员，他们的工作地方都能利用网络进行相关的工作，例如浏览网页，上传和下载相关的信息。(2)教师教学服务功能教师利用校园网的主要目的是提高教学质量，通过调查分析校园网将主要从以下几个方面为教学服务。可以通过外网搜查教学资料。可以利用网络从FTP服务器上下载学生作业，上传教学课件。可以在教室的电脑访问外网资源，实现教师教学计划。可以用自己的授权信息访问学院的信息管理系统，以便教师能添加和修改学生的考勤、平时成绩等信息，以及能查询学生的相关信息。(3)学生学习功能可以利用网络从FTP服务器上下载老师课件，上

3、传作业，但不能下载其他同学的作业。可以利用网络查看自己的个人信息（例如考勤，平时成绩，水电费等）。可以利用网络自主学习，可以提高学生的学习能力。可以利用校园网查阅资料，扩展视野，与同学相互交流、相互学习。可以利用网络建立自己的WEB站点，展示自己的作品。二、网络结构需求分析：(1)拓扑结构网络采用典型的三层结构：核心层+汇聚层+接入层，根据需要在中间设置汇聚层，汇聚层上连核心层，下连接入层。核心层和汇聚层采用三层交换机，接入层采用二层交换机。达到有利信息流量的局部化，局部的信息流量传输不会传达全网，以减轻主干信道的压力和确保信息不被非法监听。(2)网络节点接入层交换机直接连接终端用户，由于终端

4、用户信息点较多，所以一栋楼设立一个汇聚层交换机，网络节点设备交换机要采用高性能，具备大型交换能力的设备。同时对服务器的处理能力要求也比较高。考虑到内网用户数据的安全性要求不高并加大网络建设和管理成本，但是为了改善主干链路数据流量的压力，增强网络性能，所以采用将服务器主机安排在核心层。(3)网络链路网络主干链路采用千兆多模光纤传输介质。服务器与网络中心的链路采用千兆铜缆。核心层交换机与汇聚层交换机采用千兆多模光纤传输介质，与网络中心得距离大于2km的采用千兆单模光纤。汇聚层与接入层交换机的链路采用百兆超五类非屏蔽双绞线。接入层与用户信息点的链路采用百兆超五类非屏蔽双绞线。三、网络扩展性需求分析：

5、(1)用户业务由于学院每年都服务器扩招学生，网络的需求量也逐年增加，导致内网资源被访问量也增多，对资源服务器做压力测试，看是否能应对现有的请求服务，若不能则更换硬件，但网络设备的处理性能预留最少为30%(2)网络性能由于用户逐年增多，同时在线人数也增多，保留现有的网络设备，通过购买主流的交换机来降低网络数据拥塞度，同时增加了网络端口。四、网络安全需求分析：外网出入口处设立一个防火墙，并进行一些安全性配置。采用安全性较高的网络操作系统，关闭一些不必要的系统服务和端口，时对系统进行补丁程序升级。建立dmz区，放置提供外网访问的服务器。为信息管理系统服务器群设立一个防火墙和入侵检测系统。对用户上网认

6、证的信息进行加密，服务器能对认证的用户“可控”，“可查”。独立划分一个虚拟局域网（vpn）给财务部。五、网络管理需求：网络用户需要使用软件与认证服务器认证，通过认证后才能访问外网，服务器端应能保存用户的ip地址、mac地址、上网时长、流量统计、上网所使用的套餐及费用等信息。客户端应能查看用户的上网时长、流量统计、费用余额等信息。为了防止网络用户使用迅雷、比特彗星等下载工具,为每个用户分配限定的流量，从而有效地防止大量的网络用户使用下载工具导致网络拥塞问题。校园网络拓扑图校园网基于snmp协议的网络管理系统设计SNMP网络管理的基本模型管理站（SNMP management station）：

7、管理站实际上是一台运行特殊管理软件的普通计算机，SNMP管理的网络中至少包含一个管理站。 代理（Management agents）： 每个被管理的网元都包含一个SNMP代理程序，是SNMP管理站和被管理网元间的接口，负责建立通信关系。管理传输协议（SNMP）： 管理站使用SNMP协议与代理通信。管理信息数据库（MIB）： 管理信息数据库存储在被管理的网元中，由系统内的许多被管对象及其属性组成。SNMP协议的网络管理系统相关操作流程1、在代理机启用SNMP服务。2、设置陷阱，指定目标。3、设置团体属性。4、启动ip network broswer。5、抓取SNMP协议数据包。6、使用ip ne

8、twork browser查看管理。7、用solarwind管理主机。校园网络的Windows域的规划与管理、组策略、补丁管理Windows域规划在Windows Server 网络环境中，域是最重要的核心管理单元，是活动目录的主干。活动目录由域、子域、域树、域森林、组织单位构成。每个域最少由一台域控制器组成，可以建立若干个而外的域控制器用力实现容错和提高性能。利用OU组织单位可以根据公司结构、地理位置、部门等建立相对应的逻辑关系。域用户账户的登录名在域中是惟一的，而显示名在当前容器中必须是惟一的。组策略一种 One to many 管理模式的实现强制性安全配置灵活的软件部署方式强化企业中的软

9、件管理简单明了的系统设置组策略又称Group Policy,可以管理计算机和用户,可以管理用户的工作环境、登录注销时执行的脚本、文件夹重定向、软件安装等. 组策略就是修改注册表中的配置,使用自己更完善的管理组织方法，可以对各种对象中的设置进行管理和配置，远比手工修改注册表方便、灵活，功能也更加强大。利用组策略的特性做如下相关操作来对整个校园网来管理组策略的继承 策略的累加 阻止策略继承强制继承生效这样一来慢慢加强管理。校园网网络病毒防护方案设计与实现现在计算机病毒已达5万多种，并呈几何级数增长1998年，CIH病毒影响到2000万台计算机；1999年，梅利莎造成8000万美元损失；2000年，

10、爱虫病毒影响到1200万台计算机，损失高达几十亿美元；2001年，红色代码病毒，目前造成的损失已超过十二亿美元。2003年，冲击波病毒计算机网络的最大威胁是来自企业内部员工的恶意攻击和计算机病毒的威胁。网络病毒防护方案检测病毒搜索法简单有效的检测病毒特征字的识别法对特殊的病毒进行匹配，可以迅速检测到是否感染病毒分析法当锁定了一定区域范围内有病毒，通过分析法可以检测出真正的病毒所在清除病毒文件型病毒的清除引导型病毒的清除内存杀毒压缩文件病毒的检测和清除在正常的情况下，身为网络管理员。要有病毒防范意识，从而提高校园网的安全性良好的安全意识，防范社会工程学攻击，不随意浏览网站或接受邮件、QQ文件、不

11、要随意使用管理员账户、警惕“网络钓鱼” 关闭或删除系统中不需要的服务，实时检测系统进程、网络端口、注册表等及时升级安全补丁，弥补系统和程序漏洞。使用安全复杂的密码，启用账户安全策略和审核策略。 安装专业的防毒软件和个人防火墙进行全面监控，保证病毒库的及时更新。定期备份重要数据和系统文件，防患于未然校园网上网行为管理的策略设计与实施网站访问控制策略设计与实施网络应用管理策略设计与实施带宽流量分配策略设计与实施外发信息监控策略设计与实施因特网活动审计策略设计与实施实例：选用聚生网管实现企业Internet行为管理策略1、设计企业的Internet行为管理策略（上网管理），2、 安装聚生网管，进行配

12、置，实现策略3、 画网络拓扑公司部门：销售部、财务部、技术部、市场部、人事部员工上网要求：1、网站访问控制要求：A）禁止访问含有不良信息的高风险网站（见下表）分类人员/部门时间段策略色情、成人、赌博、暴力、毒品、犯罪技能全体部门任何时间段禁止访问B）根据部门需要允许或禁止访问影响工作效率的网站（见下表）分类人员/部门网段时间段策略WEB通信销售部192.168.1.0工作时间允许并记录游戏全公司下班时间允许财经财务部192.168.2.0午休允许远程代理技术部192.168.3.0工作时间禁止文学市场部192.168.4.0工作时间允许并记录娱乐销售部192.168.1.0工作时间允许并记录艺

13、术全公司下班时间允许求职招聘人事部192.168.5.0全部时间允许房地产全公司工作时间禁止并记录机动车全公司午休允许销售部:设置ACL规则来使销售部可以web通信技术部:已经禁用远程代理人事部:允许聊天,其他遵循一般规则.财务部:允许在午休时间访问财经类型,其他时间段禁止2、网络应用管理要求：在所有时间内，禁止所有员工玩游戏（联众、QQ游戏、中国游戏大厅等）；在所有时间内，禁止所有员工使用P2P Streaming软件（如PP Streaming、PP live、UU see等）。3、带宽流量分配要求：为一般P2P软件制定专用的带宽通道，将迅雷、BIT等软件划分到该带宽通道，并限定该通道只能

14、拥有上传/下载100K的速率，且优先级为7。将此实例应用在校园网络。校园网数据备份与灾难恢复设计对于可能发生的数据灾难性的破坏，对于一些突发事故导致数据丢失硬件故障病毒误操作自然灾害我们采取对数据进行备份保护，备份的目的是在系统故障或误操作后，能利用备份信息还原数据尽可能减小损失 对重要数据（例如与控制器的系统状态）进行备份和还原 背景网管员备份了域控制器系统状态在随后的日常操作中，网管员不小心对活动目录作了误操作(例如删除某个用户帐户)如何将活动目录恢复到备份时的状态完成标准备份DC的系统状态数据还原成功DC的系统状态数据，能看到已被删除的用户帐户相对于基本数据可以相应的进行常规/增量/差异

15、备份1)创建文件夹doc，创建一个文本文件file1.txt,查看其存档属性是否勾选2）使用备份工具（ntbackup）,勾选文件夹doc，单击【开始备份】3）备份完成后，查看file1.txt 的存档属性是否清除4）在文件夹doc下，创建file2.txt, 查看其存档属性5) 使用备份工具（ntbackup）,备份文件夹doc，备份类型选增量备份6）备份完成后，查看file2.txt 的存档属性是否清除7）在文件夹doc下，创建file3.txt, 查看其存档属性8）使用备份工具（ntbackup）,备份文件夹doc，备份类型选差异备份9）备份完成后，查看file3.txt 的存档属性是否

16、清除设备清单设备类型设备名称设备价格(￥)备注接入层（二层）交换机 153台思科精睿SLM224G2 24口网管交换机1128.00接口数目:24口 堆叠功能:不可堆叠 VLAN功能:支持背板带宽：8.8Gbps 交换机传输速率：66.55Mbps核心层（三层）交换机2台思科(Cisco) WS-C3750-48TS-S 4814200.00接口数目:48口 VLAN功能:支持 堆叠功能:能堆叠 背板带宽 32Gbps汇聚层（三层）交换机 21台思科精睿(Cisco) SRW2024-K9 24口三层千兆交换机4500.00传输速率:10M100M1000M 接口数目:24口 VLAN功能:支

17、持 堆叠功能:不可堆叠 高度安全性防火墙思科ASA5580-20-BUN-K9230978.00无用户数限制1000000并发连接数 支持VPN 控制端口:console,1个RJ-45工作温度:10-35;工作湿度:10-90%不凝结;存储温度:-30-60;存储湿度10-95%不凝结高性能防火墙,IPS,以及IPSec和SSL VPN和IPSec VPN(750 个设备对)软件,支持防垃圾邮件,URL 阻拦和过滤,以及防网络钓鱼服务器 6台联想服务器万全 T100 E5800 2G 500G 正品3150服务器CPU二级缓冲容量:2M 服务器硬盘类型:SATA 服务器硬盘容量:1000G 服务器内存类型:DDR2 处理器主频:3.0GHz无线路由器 18台思科1780无线传输速度:108M以上 支持VPN:不支持 传输速率:无线-300MbpsapD-Link DWL-2000AP+A 54M无线接入点 D-LINK无线AP270总计：442460￥