企业小型互联网的设计实现课程设计(编辑修改稿)

企业小型互联网的设计实现课程设计(编辑修改稿)内容摘要：

快地交换数据帧或数据包。 网络规划 对网络进行分层、分区设计，分层设计中按照 H3C 三层模型原则将校园网整体结构分为核心层、汇聚层和网络层的三层结构；分区设计中包括了教学办公区、学生宿舍园区、学院办公区、图书馆四个部分。 此次校园网设计采用千兆以太网作为校园网的网络总体结构。 无论在高带宽、可适用性、可扩展性、高性价比、良好的网络管理和维护性等方面都是不错的选择。 6 按照校园网的分区划分结果，根据各 个分区以及分区中不同建筑、不同办公地点、用户需求的不同，在主干网络千兆以太网的基础上，可以根据实际的需求建立局域网、无线网络，在学生事务中心以及办公大楼等地点在需同时设有Inter、局域网、无线网络。 此外，在千兆以太网作为主干网络的同时，根据不用的应用需求将校园网分割不同的子网。 常见的拓扑结构包括星型结构、树状结构、总线型结构、环型结构、网状结构等。 其中树状结构是由多个层次的星型结构连接而成。 由于此次校园网选用了千兆以太网作为校园网的主干网，所以校园网的主干网应该采用星型结构。 此外由于整个校园网采 用了“核心层 /汇聚层 /接入层”的三层模型，同时将整个校园网按照“教学办公区 /学生宿舍园区 /学院办公区 /图书馆”的分区规划。 在这种分层、分区的规划下，校园网整个校园网应该设计为树型结构。 按照上面的设计原则，设计出的网络拓扑图如图 42 所示。 图 42 校园网网络拓扑图 此次校园网设计中在网络设备选型时主要按照网络设计时所划分的“核心层/汇聚层 /接入层”三层模型以及结合分区方案中各分区的网络设备需求进行。 下面主要描述三层模型的设备选型： （ 1）核心层由于数据包高速转发、全网流量的承载等特征，在网络设 备选型时主要按照下面的选型依据进行： 架构设计：模块化设计 ； 交换类型：多级交换（ CLOS） ； 7 安全性：多业务扩展（网流、 FW、 IPS、 LB、 ACG） ； 可靠性：双电源、双主控制 ； 智能化：双机虚拟（ IRF、 VSS） ； 可维护： VCT、 DLDP。 （ 2）在汇聚层网络设备选型时要充分考虑汇聚层设备的安全特性、路由特性以及灵活扩展等特点，在网络设备选型时主要按照下面的选型依据进行： 架构设计：模块化设计 ； 交换类型： Crossbar（矩阵交换） ； 安全性：安全业务模块扩展（ FW、 IPS、 LB、 ACG） ； 可靠性：双电源、双主控制 ； 智能化：双机虚拟（ IRF、 VSS） ； 可维护： VCT、 DLDP。 （ 3）接入层是网络终端设备、工作站的网络接入点，在设备选型时要按照下面的选型依据进行 : 接入速率：千兆接入 ； 上行带宽：万兆上行 ； 交换类型：安三层交换 ； 可靠性：双电源 ； 可扩展：智能堆叠。 以上只是按照三层模型的网络设备需求特点所提出的一些依据，在实际的网络设备中还需充分考虑分区方案以及实际的网络设备需求，结合经济型、可满足度等原则进行设备的选 型和购买，在实施时需要按照要求进行选型。 安全性分析 校园网络拥有着大规模的、高速的、开放的网络环境；支撑着复杂的网上应用和业务类型；拥有着活跃的、不同使用水平的用户群体。 因此，安全风险的防御问题也就变得较为严重和复杂。 校园网的安全问题主要包括以下几个方面： （ 1）出口安全 由于校园网连接到了 Inter，而 Inter 作为一种开放的、标准的技术，面向所有用户，所有资源均通过网络共享，所使用的 TCP/IP 协议以及网页、 Email等都包含着许多影响网络安全的因素。 出口安全应主要防范黑客攻击 、网络蠕虫、垃圾邮件等，应对校园网外部进入内部的连接进行分析，对校园网外部进入内部的信息进行检测和筛选。 8 （ 2）内网安全 校园网内部拥有大量计算机和用户，由于内部用户对网络的结构和应用模式都比较了解，特别是在校学生的好奇心和求知欲较强，所以加强内网安全也不容忽视。 内网安全应主要防范内部对服务器和网络设备的攻击、病毒在内网的传播以及内部网络管理制度上的漏洞。 （ 3）防火墙设计 在进行校园网设计时，为了充分考虑到网络安全因素，在设计时应该加入网络安全策略。 此次校园网设计我们大量的使用了防火墙，用以进行网 络安全防范。 在外网（如 Inter、 Cer 等）与核心层中心交换机直接的网络连接中（出口网络）每条线路都加入了防火墙，目的是为了很好的防范一些黑客攻击、网络蠕虫等网络危险因素的入侵。 同时在汇聚层的各个汇聚交换机上都设有防火墙的网络安全防范策略。 其目的在于防止来自于内网的一些攻击和传播因素等。 在进行防火墙设计的同时，我们根据实际的业务需求可以在像网络管理中心等地点加上适当的入侵检测系统，作为防火墙的一种合理的补充。 入侵检测技术能够帮助防火墙系统对付网络攻击，扩展了系统管理员的安全管理能力。 同时还可 以提高信息安全基础结构的完整性。 设计入侵检测可以很好的配合防火墙系统使用，可以全面保障网络的安全，组成完整的网络安全解决方案。 （ 4） 校园网访问控制 此次校园网设计按照下面的策略进程访问和控制： ① 从校园网内网访问 Inter 或者 Cer 时端口全开放； ② 允许从公网到非军事区的访问请求。 Web 服务器只开放 80 端口， Mail 服务器只开放 25 和 110 端口； ③ 禁止从公网到内部网络的访问请求，端口全关闭； ④ 允许从内网访问非军事区，端口全开放； ⑤ 允许从非军事区访问 Inter 或者 Cer 时端口全开放； ⑥ 禁止从非军事区访问内网，端口全关闭。 5 网络设计 小型互联网 网络规划 本网络由四个广域网（ WAN），四个局域网 (LAN)组成。 其中局域网采用普通以太网技术。 9 ①划分网段 表 51 网段划分 网络类型 网段 子网掩码 默认网关 LAN1 LAN2 LAN3 LAN4 WAN1 WAN2 WAN3 WAN4 ② 设备的选取与分配 表 52 设备选取与分配 设备型号 数量 备注 Cisco805 路由器 1 R1 Cisco2509 路由器 1 R2 Cisco2505 路由器 2 R R4 Cisco1912 交换机 4 SW1～ SW4 主机 10 PC1～ PC10 线路 若干 网络拓扑图 拓扑图的建立： 将 R1 的 e0 端与 SW1 的 f0/12 端相连。 将 R1 的 s0 端与 R2 的 s0 端相连， DCE端是（ R1,s0）。 将 SW1 的 f0/1 端与 PC1 相连。 将 SW1 的 f0/2 端与 PC2 相连。 将SW1 的 f0/3 端与 PC3 相连。 将 R2 的 e0 端与 SW2 的 f0/12 端相连。 将 R2 的 s2 端与 R3 的 s0 端相连， DCE端是（ R2,s2）。 将 SW2 的 f0/1 端与 PC4 相连。 将 SW2 的 f0/2 端与 PC5 相连。 将 R3 的 e0 端与 SW3 的 f0/12 端相连。 将 R3 的 s1 端与 R4 的 s0 端相连， DCE端是（ R3,s1）。 将 SW3 的 f0/1 端与 PC6 相连。 将 SW3 的 f0/2 端与 PC7 相连。 将SW3 的 f0/3 端与 PC8 相连。 10 将 R4 的 e0 端与 SW4 的 f0/12 端相连。 将 R4 的 s1 端与 R2 的 s1 端相连， DCE端是（ R4,s1）。 将 SW4 的 f0/1 端与 PC9 相连。 将 SW4 的 f0/2 端与 PC10 相连。 图 51 企业小型互联网拓扑图 IP 地址的划分 ① 路由器各端口 I。