毕业设计说明书模板带标注.docx

1、毕业设计说明书模板带标注毕业设计说明书课题名称： 杭州诺菲服饰有限公司网络方案设计 学生姓名 伍安全 学 号 09031632 37 所在学院 计算机工程学院 专 业 网络技术 班 级 网络0932 指导教师 付祥 方池龙（校外） 起讫时间： 年 月 日 年 月 日杭州诺菲服饰有限公司网络方案设计 摘 要针对本方案的设计采用了新型的模块试网络模型设计方式，来为企业提供高效，快速，稳定的网络服务。该方案的设计主要通过以下几个部分：1.网络结构，内网分为三层，我们结合企业的实际状态，把汇聚层和核心层紧凑在了一块。核心层和汇聚层都由同一台设备来提供这里我们选择了cisco catalyst 4503

2、。在接入层我使用了H3C S1650 提供服。外网的接入我们采用了双线冗余链路形式，一条路径走电信，另一条走网通，此处我们选择了cisco 2811。2.网络安全。我们在核心交换机与路由器之间我们配备了一台cisco asa 5520 防火墙，实现对外网的控制，防止意外攻击。在核心交换机与防火墙之间我们布设了一台流控服务器，主要作用是实现上网行为管理和流量控制。我们还为客服端提供了AAA认证，让客服端安全接入。3.服务器群。在服务器群里我们布设了常用的web,ftp,dns,e-mail,wsus和ACS服务器。其中wsus服务器用来为整个网络的客服端和其他服务器打补丁，ACS服务器主要为接入

3、层提供AAA认证。可以阻止客服端的随意接入。4.实施技术。该方案中使用了STP,802.1X，流控技术，服务器集群技术等等。本设计方案可以实现企业的内外网互联互通，安全稳定的信息化管理控制。关键词：信息技术；网络结构；网络安全；目 录杭州诺菲服饰有限公司网络方案设计 I摘 要 I第1章 绪论 21.1 引言 21.2 项目背景 2第2章 需求分析 32.1 网络现状调研 32.2 用户需求 3第3章 网络系统设计 43.1 设计原则 43.2 网络结构设计 43.3 网络结构拓扑图 53.4 网络设备选型 53.5 服务器选型 73.6 网络安全管理 83.7 IP地址与VLAN的划分 10第

4、4章 设备汇总与工程投资预算 114.1 整个工程所需材料与设备 114.2 工程经费预算 11第5章 结论 12参 考 文 献 13致 谢 14第1章 绪论1.1 引言随着当今信息技术的快速发展，杭州诺菲服饰有限公司旧的网络设计模型有诸多缺点，比如说，网络不够稳定，冗余性能不够健全，网络结构不可扩展，网络设备开始处于老化状态，整个网络收敛速度缓慢，网络安全性较差等等，随着企业的发展日新月异，公司的业务不断的增加，企业现有的IT基础设施受到严重挑战，已不能满足公司的现在需求了。而建立一个方便快捷安全的通信网络综合信息支撑系统，已迫在眉睫。1.2 项目背景杭州诺菲服饰有限公司成立于1998年，由

5、丽森国际投资有限公司授权，几年来公司生产、经营规模逐步扩大，其下品牌“伊卡。诺菲”系列女装在风格上一直以“时尚”“优雅”“舒适”“创新”为设计理念。注重产品开发的独创性，“伊卡。诺菲”品牌适合年龄层为3045岁职业女性。“伊卡?诺菲”系列女装产品以手工针织为主的独特设计。产品在制作、选料等工艺上精工细琢，视产品为完美的工艺品。诺菲服饰有限公司的知名度也不断提高，产品的市场占有率、覆盖面也稳步扩大，现已经成长为一家集设计、生产和销售于一体的专业化服装公司。为了适应业务的发展和国际化的需要，积极参与国家信息化进程，提高管理水平，展现全新的形象，实现信息的共享、协作和通讯，并在此基础上开发建设现代化

6、的企业应用系统，实现智能型、信息化、快节奏、高效率的管理模式。杭州诺菲服饰有限公司决定重建整个企业网，以适应时代的需求。第2章 需求分析 2.1 网络现状调研 图2-1 现状说明: 目前杭州诺菲服饰有限公司网络，主要包含2层交换机，出口防火墙，及服务器； 所有的PC机器和服务器都存在同网段；一旦PC机器中毒将会影响到服务器的业务正常使用； 服务器的目前部署相对简单，主要以应用服务器及数据库服务器为主，未对服务器进行备份； 安全部分，现有服务器资源只是通过静态端口映射，在安全性角度而言，安全性得不到很好的控制；2.2 用户需求 通过对杭州诺菲服饰有限公司网络现状的深入调研和对业务需求的分析，公司

7、内网网络有200台终端，为了保护企业网的接入安全，需要采用802.1X验证技术，为了提高员工工作效率，总部需要部署流控产品。公司需要安装常见的服务器方便业务的开展，为了节约流量需要部署WSUS统一打补丁。为了安全公司需要部署邮件服务器。第3章 网络系统设计3.1 设计原则 根据本网络系统的特点和用户要求，我们的设计原则是： 可靠性系统具备网络诊断、测试和在线故障恢复能力，关键设备、线路能做到实时备份和自动故障切换。 标准化网络技术发展迅速，不能盲目求新，必须以符合国际标准为准则，选择技术已经成熟、标准化的产品，这是保护投资、易于维护的基础。 扩展能力充分考虑到目前的业务需求和今后长时间内业务发

8、展的需要，系统可方便地实现升级。当将来采用新技术时原有设备能继续使用，只需增加有限的模块和设备，保护原来的投资。 开放性网络体系结构与系统应用各自独立，与服务器、工作站的操作模式无关，支持各种通讯协议，各种数据库和客户机/服务器以及Internet的应用，并能方便地和其它机构、企业的主机和网络互连通讯。 灵活性拓扑结构必须灵活，便于进行网络的管理和调整。 严密的安全控制和保密性能系统提供必要的安全保护手段，防止由于操作人员的失误以及系统的意外故障而造成数据丢失或破坏；同时能防止系统外部的侵入和操作人员的非法操作，系统的信息安全性要求达到C2级标准。 经济性一次性投资，长年受益，维护费用低，使整

9、体性价比达到最优。 先进性支持任务优先级的划分，具有适当的多媒体应用支持。3.2 网络结构设计杭州诺菲服饰有限公司内网我们采用了当今通用的设计模型三层模型，即：核心层，汇集成，接入层。我们结合企业的实际状态，把汇聚层和核心层紧凑在了一块。核心层和汇聚层都由同一台设备来提供。接入层设备可以直接与核心交换机相连。 随着公司业务的增长，对外网的可连接性，稳定性要求更高了，所以我们使用了双线接入的方式，来维持内网与外网的不间断通信。一条线路走电信，另一条线路走网通。此处我们提供一台路由器与之相连接。考虑到内网与外网接入后存在网络安全风险，在核心交换机与路由器之间我们接入了一台防火墙，以提供对网络的安全

10、进行检查，现对外网的控制，防止意外攻击。为提高带宽的合理利用，同时也能对公司员工上网行为进行相应控制，我们在防火墙与核心交换机之间接入了一台流控服务器，来满足公司的需求。为内部网络的安全性，防止外来人员的非法接入，我们提供了接入层的AAA认证。要求外来人员要通过认证并得到管理员的允许后才能访问内网。我们在服务器的设计采用了服务器集群的技术，将服务器使用独立的网段，对内部人员设置服务器的访问权限。以提高服务器的安全性。3.3 网络结构拓扑图 图3-13.4 网络设备选型 路由器选型：模块化Cisco 2800系列集成多业务路由器建立在思科20年的领先地位及创新技术的基础之上，智能地将数据、安全性

11、和话音服务内嵌于单一永续系统，能快速、可扩展地提供关键任务业务应用。Cisco 2800系列的独特集成系统架构提供了最高业务灵活性和投资保护，它进行了专门的优化，可安全、线速地同时提供数据、话音和视频服务，重新定义了最佳大型企业和中小型企业路由。这里我们选择了cisco 2811 。 cisco 2811能以线速为多条T1/E1/xDSL连接提供多种高质量并发服务。它提供了内嵌加密加速和主板话音数字信号处理器（DSP）插槽；入侵保护和防火墙功能；集成化呼叫处理和语音留言；用于多种连接需求的高密度接口；以及充足的性能和插槽密度，以用于未来网络扩展和高级应用。凭借Cisco IOS软件高级安全特性

12、集，Cisco 2811在一个解决方案集中提供了一系列强大的通用安全特性，如Cisco IOS Software Firewall、入侵保护、IPSec VPN、Secure Shell (SSH)协议2.0和简单网络管理协议（SNMPv3）。此外，通过将安全功能直接集成入路由器，思科可提供其他安全设备不能提供的独特智能安全解决方案，如用于病毒防御的网络准入控制（NAC）；当结合话音、视频和VPN时可增强服务质量（QoS）的话音和视频型VPN（V3PN）；以及可实现更优可扩展性和可管理性的VPN网络的动态多点VPN（DMVPN）和Easy VPN。此外，思科提供了一系列安全加速硬件，如用于加密

13、的入侵保护网络模块和高级集成模块（AIM）。交换机选型： 接入层目的是允许终端用户连接到网络，因此接入层交换机具有低成本和高端口密度特性。接入交换机是最常见的交换机，它直接与外网联系，使用最广泛，尤其是在一般办公室、小型机房和业务受理较为集中的业务部门、多媒体制作中心、网站管理中心等部门。在传输速度上，现代接入交换机大都提供多个具有10M/100M/1000M自适应能力的端口。 SMB交换机S1600系列安全智能交换机 是杭州华三通信技术有限公司自主开发的二层以太网交换机，分别提供了2448个百兆以太网端口、2个千兆SFP端口（与后2个千兆以太网端口复用）以及一个Console端口，支持Vla

14、n划分、端口镜像、端口限速、DHCP-Snooping、IP+MAC+端口+VLAN四元素绑定、防ARP欺骗、ACL、VLAN-ACL、STPRSTP、Voice VLAN、静态LACP等功能，可以通过Telnet、命令行、Web界面、SNMP等多种方式进行管理。防火墙选型：对于一般的中小型企业开说防火墙选型要注意到下面的几个要点： 网络吞吐量。在企业中部署了企业级别的防火墙之后，企业进出互联网的所有通信流量都要通过防火墙，故对于防火墙的吞吐量就有比较高的要求。以前有些企业是通过ADSL拨号上网的，这时由于带宽的限制，可能防火墙还可以应付。可是现在大部分企业可能已经都采用了光纤接入，带宽本来就

15、很大。此时就给防火墙带来了一定的压力。 协议的优先级。对企业的通信流量进行管理。通过防火墙把一些关键应用的流量设置为比较高的优先级。在网络传输中，要首先保障这些通信流量能够优先通过。这就可以明显改善语音通话等视频应用的效果。 具有一定的扩展性。一是为了后续扩展的需要，最好能够购买那些模块化设计的防火墙。如此的话，后续增添其他功能的话，只需要购买模块即可。二是考虑网络接口的问题。通常情况下防火墙最基本的配置有两个网络接口：内部的和外部的网络接口。这些接口对应着访问网络的信任程度。其中外部网络接口连接的是不可信赖的网络，而内部网络接口连接的是得到信任的网络。在内部网部署时，连接到外部的接口可能需要

16、和公司的主要部分连接，这时可能比外部网络的信任度高，但又稍微低于内部网络的信任度。但是随着公司因特网商业需求的复杂化，只有两个接口的防火墙明显具有局限性，可能无法满足企业业务方面的需求。如企业可能出于安全的需要，以后很有可能要用到第三个接口DMZ接口。为此为了以后信息化应用升级的考虑，在防火墙选购时，还需要关注是否有足够丰富的接口;或者考虑以后是否可以通过模块的形式来增加可用的接口。思科ASA5500系列自适应安全设备是思科推出的下一代防火墙安全解决方案，它是提供了新一代的安全性和VPN服务的模块化平台。企业可以根据特定需求定购不同版本，做到逐步购买、按需部署，灵活方便地实现安全功能的扩展。为

17、了确保网络安全，以往企业通常购入一系列专用型安全设备，造成投入成本大、部署繁复、管理复杂的局面。而融合多种安全功能于一身的思科ASA5500，具备保护企业投资、降低总体安全运行成本、方便部署、易于管理的巨大优势。我选择了CISCO ASA5520-BUN-K9它是一款VPN防火墙，并发连接数 280000，网络吞吐量(Mbps) 450 ，安全过滤带宽 225Mbps ，网络端口，4个千兆以太网接口+1个快速以太网接口。无用户数限制用户，安全标准 UL 1950, CSA C22.2 No. 950, EN 60950 IEC 60950, AS/NZS3260, TS001，控制端口 con

18、sole，2个RJ-45 ，思科安全管理器 (CS-Manager)，Web，VPN支持，带 1个SSM 扩展插槽。3.5 服务器选型 服务器是系统中至关重要的核心设备，其作用是为各类应用提供硬件运行平台。对服务器的选择不仅仅是满足当前已开展的各项业务需要，更要着眼于未来。对网络服务器的选择，首先应从系统性能入手，通过客观的分析比较，确定一款或者一系列具有令人满意的主频处理速度和I/O吞吐量的服务器。产品质量要有保证，严格执行国际质量认证体系，确定产品稳定可靠。由于各项业务属于对外开放的，因此作为集中放置数据载体的服务器系统，一旦出现数据丢失或者差错将给用户造成重大经济损失和极坏影响，因此在服

19、务器选型和系统配置时，应该充分考虑到系统可靠性在今后系统运行时的重要地位。按服务器的机箱结构划分，可以把服务器划分为塔式服务器、机架式服务器、机柜式服务器、刀片式服务器四类。本方案选择了机架式服务器。机架服务器实际上是工业标准化下的产品，其外观按照统一标准来设计，配合机柜统一使用，以满足企业的服务器密集部署需求。相对塔式服务器，机架服务器的主要优点是节省空间，由于能够将多台服务器装到一个机柜上，不仅可以占用更小的空间，而且也便于统一管理。一般而言，机架服务器的宽度为19英寸，高度以U为单位(1U=1.75英寸=44.45毫米)，通常有1U，2U，3U，4U，5U，7U几种标准的服务器。对于机架

20、式服务器，由于内部空间限制，扩展性和散热问题均受到限制，因而适用于业务相对固定的领域，比如远程存储和网络服务等。对于4U以上可扩展性好的机架服务器，也适用于访问量较大的关键应用领域。综合考虑后该方案选择了惠普ProLiant DL160 G6。惠普ProLiant DL160 G6采用1U机架式结构，双路设计，具备12个内存插槽，在有限空间内提供了最大的扩展能力。惠普ProLiant DL160 G6支持两颗采用Nehalem架构的至强5600处理器。采用45nm工艺，核心频率2.0GHz，共享4MB三级缓存，集成内存控制器，具备4.8GT/s的QPI速率。 主板集成12个DIMM，内存最大可

21、以扩展到144GB。存储方面标机箱支持4块3.5寸非热插拔SATA硬盘，标配并不提供硬盘，集成HP NC362i双口千兆网卡；Smart Array P410 SAS/SATA RAID 0,1,10阵列模式。网络方面集成2个NC362i双端口千兆服务器适配器，电源为单颗500W以及免工具固定导轨。3.6 网络安全管理威胁网络安全因素分析： 软件漏洞:每一个操作系统或网络软件的出现都不可能是无缺陷和漏洞的。这就使我们的计算机处于危险的境地,一旦连接入网,将成为众矢之的。 配置不当:安全配置不当造成安全漏洞,例如,防火墙软件的配置不正确,那么 它根本不起作用。对特定的网络应用程序,当它启动时,就

22、打开了一系列的安全缺口,许多与该软件捆绑在一起的应用软件也会被启用。除非用户禁止该程序或对其进行正确配置,否则,安全隐患始终存在。 安全意识不强:用户口令选择不慎,或将自己的帐号随意转借他人或与别人共享等都会对网络安全带来威胁。 病毒:目前数据安全的头号大敌是计算机病毒,它是编制者在计算机程序中插入的破坏计算机功能或数据,影响计算机软件、硬件的正常运行并且能够自我复制的一组计算机指令或程序代码。计算机病毒具有传染性、寄生性、隐蔽性、触发性、破坏性等特点。因此,提高对病毒的防范刻不容缓。 黑客:对于计算机数据安全构成威胁的另一个方面是来自电脑黑客(backer)。电脑黑客利用系统中的安全漏洞非法

23、进入他人计算机系统,其危害性非常大。从某种意义上讲,黑客对信息安全的危害甚至比一般的电脑病毒更为严 网络管理的内容：1.在公司的网络出口布设一台Cisco思科ASA5520-BUN-K9防火墙 利用防护墙在网络通讯时执行一种控制尺度，允许防火墙统一访问的人与数据进入自己的内部网络，同时将不允许的用户与数据拒之门外，最大限度的阻止网络智能过的黑客来访问自己的网络，防止他们随意更改，移动甚至删除网络上的重要信息，防止internet上的不安全的因素蔓延到公司网络内部。2.在防火墙上设置DMZ区，将服务器组接入到DMZ去上，在web，e-mail等服务器上安装安全监测系统。在网络的WWW服务器，E-

24、mail等服务器中使用网络安全监测系统，实时跟踪，监测网络，截取internet网上传输的内容，并将其还原成完整的WWW，Email，FTP,Telnet 应用的内容，建立保存相应记录的数据库。及时发现在网络上传输的非法内容，及时向上级安全网管中心报告，采取措施。3.配置WSUS 服务器 利用补丁服务器最大可能的弥补最新的安全漏洞和消除安全隐患， 4.利用网络监听维护子网系统安全。 对于网络外部的入侵可以通过安装的防火墙来解决，但是对于网络内部的侵袭则无能为力。在这种情况下，我们可以对给个子网做一个具有一定功能的审计文件，为管理人员分析自己的网络作状态提供依据。设计一个子网专用的监听程序。 安

25、全接入和配置： 在公司内网为保证接入安全，提供了802.1x验证技术，IEEE 802.1X是根据用户ID或设备，对网络客户端(或端口)进行鉴权的标准。该流程被称 为“端口级别的鉴权”。它采用RADIUS(远程认证拨号用户服务)方法，并将其划分为三个不同小组:请求方、认证方和授权服务器。802.1X 标准应用于试图连接到端口或其它设备(认证方)的终端设备和用户(请求方)。认证和授权都通过鉴权服务器(如Cisco Secure ACS)后端通信实现。IEEE 802.1X提供自动用户身份识别，集中进行鉴权、密钥管理和LAN连接配置。 整个802.1x 的实现设计三个部分，请求者系统、认证系统和认

26、证服务器系统。拒绝服务的防止1.DoS(Denial of Service拒绝服务)和DDoS(Distributed Denial of Service分布式拒绝服务)攻击是大型网站和网络服务器的安全威胁之一。SYN Flood由于其攻击效果好，已经成为目前最流行的DoS和DDoS攻击手段。 防火墙通常用于保护内部网络不受外部网络的非授权访问，它位于客户端和 服务器之间，因此利用防火墙来阻止DoS攻击能有效地保护内部的服务器。针对SYN Flood，防火墙通常有三种防护方式：SYN网关、被动式SYN网关和SYN中继。2.ARP攻击通过发送伪造的ARP包来欺骗路由和目标主机,让目标主机认为这是

27、一个合法的主机.便完成了欺骗.这种欺骗多发生在同一网段内,因为路由不会把本网段的包向外转发,当然实现不同网段的攻击也有方法,便要通过ICMP协议来告诉路由器重新选择路由.ARP攻击防护方法：IP+MAC访问控制.静态ARP缓存表，ARP 高速缓存超时设置。主动查询。访问控制： 由于公司使用了防火墙并定义了DMZ区，所以我们可以明确各个网络之间的访问关系,可以确定以下六条访问控制策略。 1.内网可以访问外网,内网的用户显然需要自由地访问外网。在这一策略中，防火墙需要进行源地址转换。 2.内网可以访问DMZ，此策略是为了方便内网用户使用和管理DMZ中的服务器。 3.外网不能访问内网，很显然，内网中

28、存放的是公司内部数据，这些数据不允许外网的用户进行访问。 4.外网可以访问DMZ,DMZ中的服务器本身就是要给外界提供服务的，所以外网必须可以访问DMZ。同时，外网访问DMZ需要由防火墙完成对外地址到服务器实际地址的转换。 5.DMZ不能访问内网,很明显，如果违背此策略，则当入侵者攻陷DMZ时，就可以进一步进攻到内网的重要数据。 6.分公司与总部使用VPN建立连接，获取与总公司内部一样的访问权限！3.7 IP地址与VLAN的划分各部门IP子网分配:部门名称IP地址段备注经理办公室192.168.2.1-192.168.2.200/24254为网关财务部172.16.1.1-172.16.1.1

29、50/24254为网关商务部172.16.2.1-172.16.2.150/24254为网关人事部172.16.3.1-172.16.3.150/24254为网关工作区10.1.1.1-10.1.1.250/24254为网关表3-1设备IP子网分配:设备组IP/IP段备注交换机管理192.168.1.1-192.168.1.100/24254为网关服务器组192.168.3.0/24254为网关防火墙与路由器192.168.4.0/30/防火墙与流控服务器192.168.4.4/30/流控服务器与核心交换192.168.4.8/30/表3-2VLAN划分:VLAN用途VLAN1交换机管理VLA

30、N2经理办公室VLAN3财务部工作人员VLAN4商务部工作人员VLAN5人事部工作人员VLAN6工作区工作人员VLAN7服务器组表3-3第4章 设备汇总与工程投资预算4.1 整个工程所需材料与设备所需材料：施工过程中要用的材料有：AMP安普超五类网线； FIBRANET FC/LC 3米单模光纤跳线； 塑料扎带；所需网络设备：主要网络设备有：cisco 2811路由器； cisco catalyst 4503核心交换机； H3C S1650二层交换机； 惠普Proliant DL160 G6 服务器 ； Cisco asa 5520防火墙。4.2 工程经费预算材料经费统计： 超五类网线：两箱，

31、750(单价)*2（箱）=1500（元） 光纤跳线： 10袋，90（单价）*10（袋）=900（元） 塑料扎带： 两袋， 50（单价）*2（袋）=100（元）网络设备经费统计：设备名称数量（台）单价（元）总价（元）cisco 2811路由器162006200cisco catalyst 4503核心交换机189558955H3C S1650二层交换机6350021000惠普Proliant DL160 G6 服务器 71350094500cisco asa 5520防火墙13765137651合计168306表4-1整个项目材料及设备经费总计=170806 元 第5章 结论 经过对公司的网络重新规划后，整个网络系统的运行速度将得到很大的改善，网络故障的恢复能力变得更加强大，服务更加齐全，网络的安全性更高，网络的畅通性更有保障。可以保证了业务的不间断性，以提高公司的收入。这些主要体现在以下几个方面：（1）该