网络安全综合实习报告.docx

1、网络安全综合实习报告网络工程专业综合实习报告题 目：XX学校学生宿舍楼网络设计（楼群）小组成员： 指导教师： 计算机科学与应用系2010-06-05目录第1章 引言 1第2章 投标方概况 1第3章 计算机网络系统技术方案 23.1网络总体要求 23.2网络设计方案 23.2.1 网络总体方案介绍 23.2.2 网络核心层 33.2.3 网络汇聚层 43.2.4 接入层 43.2.5 与广域网的连接 43.2.6 IP分配及虚拟网方案 43.2.7 网络系统冗余 63.2.8 网络管理 73.2.9 网络安全 73.2.10 操作系统、数据库和服务器 83.3 综合布线方案 83.3.1 设计范

2、围及要求 93.3.2 设计目标的确定 93.3.3 布线要求 103.3.4 系统组成 103.3.5 布线系统设计 103.3.5.1 工作区子系统设计 103.3.5.2 水平子系统设计 113.3.5.3 楼间建筑群系统设计 113.3.5.4 设备间系统设计 113.3.5.5设备安装与线路铺设建议 11第4章 应用管理软件 124.1服务器选择 124.2防火墙选择 12第5章 项目实施组织及进度计划 135.1项目实施组织 135.2 进度计划 13第6章 关于培训、技术支持及售后服务 136.1 人员培训 136.2 技术支持及售后服务 13第7章 验收标准及技术文档 147.

3、1验收标准 147.2技术文档 147.2.1传输介质要求 147.2.2 网络系统的性能测试 157.2.3网络验收 157.2.4 需要的测试设备 16第8章 设备清单及报价 17成员分工 17第1章 引言网络工程综合实验是网络工程及计算机相关专业的重要实践环节之一，该内容可以培养我们理论联系实际的设计思想，训练我们综合运用所学的计算机网络基础理论知识的能力，结合实际网络设备，解决在设计、安装、调试网络中所遇到的问题，从而使基础理论知识得到巩固和加深。我们通过综合实验学习和掌握网络设计中的一般设计过程和方法，熟悉并掌握二层交换机、三层交换机、路由器和防火墙的配置和使用。另外通过实验，可以掌

4、握组建计算机网络工程的基本技术，特别是网络规划、交换机、路由器等网络设备的基本功能与选型以及网络应用服务器的基本配置，同时提高我们的应用能力和动手实践能力。确立校园网建设的目标，不仅要考虑技术方面，而且还要考虑环境、应用和管理等方面，必须与学校各方面改革、建设长远发展相结合，科学的论证和决策。根据这一要求建设一个技术先进、扩展性强、能覆盖全校主要楼宇的校园主干网络，将学校的各种PC机、工作站、终端设备和局域网连接起来，并与有关广域网相连，形成结构合理、内外沟通的校园计算机网络系统。第2章 投标方概况本公司聚集 IT 界的精英，由造诣资深的网络工程师、电脑程序员、销售顾问及专业客服团队人员等组成

5、。是专业从事网络产品分销、计算机系统集成和网络综合布线的高科技公司。作为一家网络信息的高新技术公司，力求将网络系统集成与国内国际最优秀的网络产品相结合，致力于成为网络终端设备的领先者和创新者。公司力推以超五类、六类布线系统、光纤布线系统及机房设备系统等全系列产品，提供通信主干、局域网、城域网、企业网及小区智能化网络的全方位解决方案。公司拥有先进的光缆穿线、熔接安装工具及光缆线路测试仪，公司凭借领先技术、可靠的质量及完善的售后服务能力广大客户提供先进的网络解决方案。业务涉及机关、部队、学校、邮电、银行、企业及广大网络系统集成商，是规模和实力较大的专业网络产品供应商之一。为确保用户百分百满意、使与

6、我们合作的销售商获取合理的销售利润及最佳的服务，我们不断引进市场中最具竞争力的商品，使其价格、性能、质量和服务在市场同类产品中都极具竞争力。我们秉承诚信为本、客户至上的经营理念，以卓越的网络服务品质、专业的技术服务实力、职业的客户服务团队保障您在21世纪的信息高速路上驰骋，又以锐意进取、求实创新的精神，尊重人才、注重技术，使用户在享受信息科技发展最新成果的同时不断获得最大的收益。我们的使命：我们的产品与服务以性能稳定与快捷优质著称，与广大客户携手并进，共谋发展! 经营理念 “专注才能成功”，专业务实，以踏实的态度专注于本业，集中资源，累积经验做到最好。我们具有远见的管理层和具有奉献精神的员工，

7、我们拥有以组建创新务实为导向的团队和企业文化。我公司与经销商和客户建立广泛对等的合作伙伴关系，积极探索在互利基础上的多种合作形式，并以以真诚的态度对待员工、客户、经销商及社会。企业文化“专业、创新、务实、热情、团队合作”是我们所尊崇的工作态度，我们相信产品化的网络科技对社会的贡献比科技本身更重要。“以人为本，信任人才”，我们的员工拥有充分的尊重与授权。我们因相同的信念与目标而共聚，彼此关怀、互相激励，在这里获得肯定、成长与无限潜力的发挥，共同打造充满竞争力的氛围。我们相信我们绝对有实力完成贵校的宿舍楼网络设计，并令贵校满意。第3章 计算机网络系统技术方案3.1网络总体要求 该系统是基于郑州航院

8、学生宿舍系统，采用Internet和intranet技术组成一个由网络，信息管理和办公自动化组成的综合应用系统。 共享网络上各种软、硬件资源，快速、稳定地传输各种信息，并提供有效的网络信息管理手段。 采用开放式、标准化的系统结构，以利于功能扩充和技术升级。 能够与外界进行广域网的连接，提供、享用各种信息服务（与各级教育信息中心相连、与国内外著名站点相连）。 具有完善的网络安全机制。 能够与原有的计算机局域网络和应用系统平滑地连接，调用原有各种计算机系统的信息。3.2网络设计方案3.2.1 网络总体方案介绍根据郑州航院宿舍楼群的实际情况，在网络系统的设计中，将采用模块化的网络体系结构根据网络系统

9、中不同的功能，将整个网络系统分为功能相对独立的模块。整体网络功能通过增加或删除模块来进行调整，模块划分以逻辑上的功能相近为原则。模块可独立扩展，也可以在网上方便的添加不同的模块，同时不影响其他模块的网络互联。具体模块为：网络中心模块、宿舍学生接入模块。 网络中心模块：包含管理系统的服务器群以及内部DNS、数据库服务器、备份服务器、内部www服务器、email服务器、网络打印机、文件服务器、打印机服务器等的连接，通过中心骨干交换机千兆汇聚层与核心交换机连接 宿舍学生接入模块：实现宿舍楼群内普通用户的接入，将宿舍群化为不同的vlan模块网络拓扑结构图如图3-1所示：图3-1 网络拓扑图按照这样的层

10、次划分有以下特点：结构清晰，易于设计和管理，大大提高了网络的扩充能力；网络结构和实际应用的组织结构相一致，便于安全管理，减轻网络的数据流量；根据不同层次和实际经济承受能力，选择相应的网络设备和硬件设备，使投资更合理。 3.2.2 网络核心层核心层是整个网络的心脏，不同部门，不同业务之间的信息传递都要经过核心层。核心层主要承担高速数据的交换任务，同时要为各汇聚节点提供最佳传输通道，因此对中心交换机的性能要求很高。在核心层设计2个节点，分别为网络中心加点、普通用户节点，分别安装各种服务器及三层交换机，选择核心交换机Catalyst 6509，每台配置冗余电源和冗余引擎，配置24个千兆光纤接口板。3

11、.2.3 网络汇聚层汇聚层有6个节点，分别设置在各栋楼层交换机中，用于各栋学生宿舍楼的汇聚。选用6台12/24个100M交换端口的交换机作为楼宇之间的连接，每台配置冗余电源和24个千兆光纤接口板。每台汇聚层交换机通过100M光纤接口，以不同的路由分别连接到核心交换机上。3.2.4 接入层接入层主要为各个宿舍楼用户提供网络服务，每栋楼6层，每层划分为1个vlan，那么3栋楼共有18个vlan，把这18个vlan接入到一个汇聚层交换机，实现不同楼层间计算机之间的通信，每层的计算机选用集线器堆叠的方式来实现互联。3.2.5 与广域网的连接通过ADSL方式和VPN技术接入Internet，具体是以FT

12、TB构架来连接Internet，其优点如下： 以光纤取代传统铜揽，可避免干扰，传输质量佳。 服务不中断，网络构架简单，障碍少。 具有客户带宽管理功能，可依照客户的要求提供更弹性、更高带宽。 除了可以高速上网外，还提供企业VPN、城域网、校园项目及交互式多媒体（MOD）等多样带宽服务。3.2.6 IP分配及虚拟网方案C3750提供划分VLAN（虚拟局域网）的功能，网络管理员可以根据需要将用户划分为几个不同的组。这样既便于管理，又可以提高安全性。虚拟局域网不受设备物理位置的限制，灵活性较大。Cisco的VLAN实现通常是以端口为中心的，与节点相连的端口将确定它所驻留的VLAN。将端口分配给VLAN

13、的方式有两种，分别是静态的和动态的。静态VLAN是将端口强制性地分配给VLAN的过程。即我们先在VTP （VLAN Trunking Protocol）Server上建立VLAN，然后将每个端口分配给相应的VLAN的过程。这是我们创建VLAN最常用的方法。 动态VLAN形成很简单，由端口决定自己属于哪个VLAN。即我们先建立一个VMPS（VLAN Membership Policy Server）VLAN管理策略服务器，里面包含一个文本文件，文件中存有与VLAN映射的MAC地址表。交换机根据这个映射表决定将端口分配给何种VLAN。这种方法有很大的优势，但是利用这种方法创建数据库是一项非常艰苦而

14、且非常繁琐的工作。郑州航院宿舍楼群的vlan划分是基于IP地址的，具体划分如表3-1所示：（这里假设校园内部采用私有IP地址划分方式。如果动态分配IP地址，则设网络上的DHCP服务器IP地址为172.16.1.11。 ）表3-1 IP分配表楼层第1栋(1#)每楼层数Ip地址网络地址所属vlan第一层172.16.58.1/24172.16.58.0Vlan2第二层172.16.59.1/24172.16.59.0Vlan3第三层172.16.60.1/24172.16.60.0Vlan4第四层172.16.61.1/24172.16.61.0Vlan5第五层172.16.62.1/24172.

15、16.62.0Vlan6第六层172.16.63.1/24172.16.63.0Vlan7。其它楼层的IP地址及vlan的划分采用相同的方式。具体vlan的配置如下：(1)给VLAN所有的节点分配静态IP地址 首先在核心交换机上分别设置各VLAN的接口IP地址，如下所示： COM(config)#interface vlan 2 COM(config-if)#ip address 172.16.58.1 255.255.255.0 /VLAN2接口IP COM(config)#interface vlan 3 COM(config-if)#ip address 172.16.59.1 255.

16、255.255.0 /VLAN3接口IP COM(config)#interface vlan 4COM(config-if)#ip address 172.16.60.1 255.255.255.0 /VLAN4接口IP 再在各接入VLAN的计算机上设置与所属VLAN的网络地址一致的IP地址，并且把默认网关设置为该VLAN的接口地址。这样，所有的VLAN就可以互访了。 (2)给VLAN所有的节点分配动态IP地址 首先在核心交换机上分别设置各VLAN的接口IP地址和DHCP服务器的IP地址，如下所示： COM(config)#interface vlan 2COM(config-if)#ip

17、address 172.16.58.1 255.255.255.0 /VLAN2接口IP COM(config-if)#ip helper-address 172.16.1.11 DHCP Server IP COM(config)#interface vlan 3 COM(config-if)#ip address 172.16.59.1 255.255.255.0 /VLAN3接口IP COM(config-if)#ip helper-address 172.16.1.11 DHCP Server IP COM(config)#interface vlan 4COM(config-if)#

18、ip address 172.16.60.1 255.255.255.0 /VLAN4接口IP COM(config-if)#ip helper-address 172.16.1.11 DHCP Server IP 然后在DHCP服务器上设置网络地址分别为172.16.58.0、172.16.59.0、172.16.60.0的作用域，并将这些作用域的“路由器”选项设置为对应VLAN的接口IP地址。这样，就可以保证所有的VLAN也可以互访了。 最后在各接入VLAN的计算机进行网络设置，将IP地址选项设置为自动获得IP地址方式即可。3.2.7 网络系统冗余冗余技术是计算机系统可靠性设计中常采用的一

19、种技术，是提高计算机系统可靠性的最有效方法之一。为了达到高可靠性和低失效率相统一的目的，我们通常会在控制系统的设计和应用中采用冗余技术。合理的冗余设计将大大提高系统的可靠性。1)电源系统冗余电源是整个控制系统得以正常工作的动力源泉，一旦电源单元发生故障，往往会使整个控制系统的工作中断，造成严重后果。要使控制系统能够安全、可靠、长期、稳定地运行，首先稳定的供电必须得到保证。该系统采用可热插拔的冗余电源，正常工作时，两台电源各输出一半功率，从而使每一台电源都工作在轻负载状态，这样有利于电源稳定工作。当其中一台发生故障，短时之内由另一台接替其工作，并报警。设计为可热插拔的冗余电源，这样系统维护时可以

20、在不影响系统正常运行的情况下更换发生故障的电源。2)网络系统冗余采用冗余网卡和冗余网络接口。正常工作时，冗余的两条数据高速通路同时并行运行，自动分摊网络流量，并考虑了负载均衡的冗余设计，用以提高系统网络通信带宽。当其中一路故障（网卡损坏或出现线路故障）时，另一路自动地承担全部通信负载，保证通信的正常进行。本系统预留了一个拓展交换机。3)冷却系统冗余利用控制柜内可自动切换的冗余风扇，对风扇和机柜内温度进行实时监测，发现工作风扇故障或柜内温度过高时都会自动报警，并自动启动备用风扇。4)信息冗余除了硬件部件的冗余，整个系统也采用了信息冗余技术，这也是提高系统可靠性的一个重要手段。信息冗余技术是指在通

21、信过程中或存放组态信息（重要信息）时，利用增加的多余信息位提供检错甚至纠错的能力。该系统中SBUS总线采用循环冗余码校验(CRC)方法。3.2.8 网络管理 设备必须配合先进的管理和维护方法，才能够发挥最大的作用。所以，我们选择的设备必须能够支持现有的、常用的网络管理协议和多种网络管理软件，便于管理人员的维护。采用网管软件 NMS100管理交换机，采用VPN技术，VPN可以通过特殊的加密的通讯协议同连接在Internet上的位于不同地方的两个或多个企业内部网之间建立一条专有的通讯线路，就好比是架设了一条专线一样，但是它并不需要真正的去铺设光缆之类的物理线路，而是通过SoftEther软件来实现

22、。3.2.9 网络安全VPN主要采用隧道技术、加解密技术、密钥管理技术和使用者与设备身份认证技术，因而可以使用的方法有如下两种：1）便携网帐号申请开通（校园先锋） 租用一批便携网使用帐号（即校园先锋的网卡）上网,由校园先锋自行管理分配帐号。管理员可以根据需要使用便携网的各个部门的情况，成立不同的VCN域，即不同的工作组，同一工作组内的成员可以互相通讯。这种方法既加强了成员之间的联络，又保证了数据的安全。同时各个工作组之间的不能互相通讯，保证了企业内部数据的安全。 2）便携网客户端安装 （宽带我世界） 在个人机上安装有Microsoft Windows操作系统的计算机上安装便携网络客户端软件（C

23、NCMAX）。应用系统尽可能分布在不同的主机上，关闭不必要的端口，减少入侵途径，在当前情况下，应本着对内对外服务分开、关键和非关键的应用分开的原则，将应用系统合理地配置在主机系统上。按应用需求划分虚网，控制校内用户和各部门之间的访问权限；按校领导、教师、学生等多个用户层次设置访问权限，加强安全管理。备份与容错技术对于校园网的安全有效运行是至关重要的，为了确保系统在故障发生后能及时恢复，必须采取相应的技术措施。 本系统采用防火墙技术，防火墙是隔离在本地网络与外界网络之间的一道防御系统。通过它可以隔离风险区域（Internet或有一定网风险的网络）与安全区域（局域网）的连接，同时不会妨碍安全区域对

24、风险区域的访问。另外，本系统还采用了入侵检测技术，它用来作为内网的安全保障机制。入侵检测系统IDS指的是一种硬件或者软件系统，该系统对系统资源的非授权使用能够做出及时的判断，记录及报警，从而减轻外部入侵者和内部入侵者所造成的威胁。3.2.10 操作系统、数据库和服务器操作系统：Unix系统、Windows操作系统；数据库：sql server 2000 ； 服务器：将选用一台小型机作为网络管理服务器， 数据库服务器，备份服务器，内部www服务器，email服务器，网络打印机，文件服务器，打印机服务器。3.3 综合布线方案 布线系统的拓扑图如图3-2所示：图3-2楼层布线拓扑图 布线系统的连接图

25、如图3-3所示： E：设备C：连接点T：终端设备 图3-3布线系统的连接图3.3.1 设计范围及要求郑州航院的网络管理中心位于图书馆大楼的1楼，目前有教工及学生宿舍、多媒体教室、教师办公大楼、图书馆大楼以及教学楼等需要与中心连接成校园网，并且各楼分别需要网络布线以建设楼内局域网。 本方案只是针对学生宿舍楼群设计。3.3.2 设计目标的确定 我们为该校园网设计的综合布线系统将基于以下目标：1) 符合当前和长远的信息传输要求。2) 布线系统设计遵从国际（ISO/CEI11801）标准。3) 布线系统采用国际标准建议的星形拓扑结构。4) 考虑电脑网络的速度向100Mbps发展的需要。5) 布线系统的

26、信息出口采用国际标准的RJ45插座。6) 布线系统符合综合业务数据网的要求。7) 布线系统要立足开放原则。3.3.3 布线要求网络中心位于图书馆一层。然后通过光缆分别连到校内的18幢宿舍楼，在各建筑内部采用五类4对UTP电缆连接到设备间的配线架上。3.3.4 系统组成综合布线系统由建筑群干线系统、设备间系统、水平系统、管理子系统以及工作区系统组成。（1）工作区选择原则全部选用五类MAX系列信息模块，性能全部超过国际标准ISOIS 11801 的指标。（2）水平线缆选择原则采用 5类UTP线缆，配合相应的连接硬件产品可以支持多媒体、语音、数据、图形图象等所有标准应用。所有产品均获得UL认证，满足

27、ANSI/TIA/EIA-568A及ISO/IEC 11801等标准。（3）主干线缆选择原则主干线缆选用6芯多模光缆，可以支持ATM或千兆以太网主干，体现了经济实用的原则。（4）配线架选择原则1、考虑今后的校园网的发展，保证连接端口的扩充性以及先进性。2、配线架具有独特的电抗平衡性，可以确保五类线缆的传输性能。3.3.5 布线系统设计3.3.5.1 工作区子系统设计校园内各大楼工作区信息点选择RJ45接口的单孔形式。楼层的信息点统计如下表3-2及表3-3所示：表3-2宿舍楼群种类楼名房间信息点学生宿舍双人房6单人房4合计10 表3-3每栋楼层信息点楼名楼层信息点宿舍楼(1#)134234334

28、434534634合计2043.3.5.2 水平子系统设计信息点全部采用CAT5 4对 UTP五类优质非屏蔽双绞线。根据我们的工程经验，结合办公大楼的各楼层的平面图，计算出线缆的平均长度为60米，每箱 CAT5 4对 UTP 线缆长度为305米。3.3.5.3 楼间建筑群系统设计楼间连接选用6芯多模光纤，从校园平面图可以大致估算出实际距离，部分可利用原有的管道，其余采用架空方式或重新铺设地下管道。3.3.5.4 设备间系统设计有两种类型的配线架，分别连接光纤和铜缆。其中光纤配线架1台，铜缆配线架1台。设备间应尽量保持室内无尘土、通风良好，照明不低于150Lx 、载重量不小于100磅每平方米；应

29、符合有关消防规范、配置有关消防系统设施；室内应提供UPS电源配电盘以保证网络设备运行及维护的供电；每个电源插座的容量不小于300W。3.3.5.5设备安装与线路铺设建议1、工作区：可选择壁型或地板型信息插座，提供标准的RJ-45接口。2、水平线缆走向建议水平布线可采用桥架、配管及地下线槽等走线方式。可在每层配电间设一个分配线架(IDF)，通过水平桥架将水平线缆由各房间的信息点引至IDF。3、垂直线缆及IDF的铺放建议由各层配线间内的垂直线缆经过配线间内的竖井，并根据各信号线用途的不同，分别引至不同的MDF。4、配线架放置建议配线架均安装在各层配线间，建议将配线架安装在19标准机架内或配线架机柜

30、中。第4章 应用管理软件4.1服务器选择针对现在市场上的多种服务器管理软件，多方比较性价比，决定选用HP OpenView作为网管软件，该产品是惠普公司出品的电子业务管理工具程序，被称为“全球20大软件公司必备产品”，面向HP 9000和HP e3000系列服务器的用户群。客户可以利用OpenView来管理服务器的应用程序、硬件设备、网络配置和状态，系统性能、业务以及程序维护，还能进行存储管理。4.2防火墙选择针对校园网的特点，选择包过滤型的防火墙。经过多方比较产品的性价比，我们决定选择防火墙厂商中的Checkpoint品牌。其特点如下：第一点：安全性好：访问控制，包括用户认证、客户认证，及会话认证，并用安全的VPNs加密方法。第二点：管理和记账：集中式管理、路由器安全管理，具有日志、报警、记账等功能。第三点：连接控制：负载均衡及高可靠性。第5章 项目实施组织及进度计划5.1项目实施组织 DIY团队主要人员：071007212 李莉莉 071007214 刘万霞 071007215 柳晓霞071007330 文 雯 071007331 徐林林其他施工人员5.2 进度计划任务名称xxxx年第一季度xxxx年第二季度xxxx年第三季度xxxx年第四季度xxxx年第一季度123456789101112123供货周期 100%