计算机网络与安全实践课程设计报告-大学局域网设计方案

计算机网络与安全实践课程设计报告-大学局域网设计方案内容摘要：

很快的切换到备用通路。  汇聚层 汇聚层顾名思义就是作为访问层到骨干层的汇聚，通常为访问层与骨干层实现基于策略的网络间连接。 汇聚层主要由三层交换 机组成，提供对网络流量模式控制、服务访问控制、 QoS、定义路由路径度量和路由协议网络通告控制。 计算机网络与安全实践 课程设计 第 14 页  接入层 接入层作为各模块到交换骨干的连接，根据不同模块进行逻辑子网划分，并通过 VLAN 技术实现子网之间的隔离。 访问层主要功能在于隔离模块间的广播流量，避免不同模块之间相互影响。 访问层主要通过二层交换机组成。 “核心层 汇聚层 访问层 ”网络设计模型有如下优点：  高可扩展性 － 遵循层次化模型网络比扁平式网络更具有伸缩性和可管理性，因为各功能网络通过模块化实现，潜在问题更易于识别。  易于实施 － 每 一层的功能性清晰划分，简化每一层的实现。  易于故障排除 － 每一层的功能经过良好定义，网络更为简单，有助于故障的隔离。 模块化设计也有效限制故障影响范围。  易于规划和管理 － 层次化的功能划分，整个网络规划和管理更为简单。 计算机网络与安全实践 课程设计 第 15 页 网络拓扑图 计算机网络与安全实践 课程设计 第 16 页 计算机网络与安全实践 课程设计 第 17 页 方案的说明 实验室局域网络 系统从结构上分为核心层、汇聚层和接入层。 核心层的功能主要是实现骨干网络之间的优化传输 ,骨干层设计任务的重点通常是冗余能力、可靠性和高速的传输。 因存在大量的语音和视频传输。 据此，考虑汇聚层对 QoS 有良好的支持并且能提供大的带宽。 接入层设备是最终用户的最直接上联的设备，它应该具备即插即用特性以及易于维护的特点。 根据学校建设要求与总体目标，骨干网采用三层结构，由核心层，汇聚层和接入层构成。 在接入层面，通过定义相应的访问策略，实现访问控制，内外隔离和抭 IP 地址。 在网络结构上，采用成熟的千兆以太网技术 (第三层交换 )作为核心层，呈网状拓扑结构。 以 TCP/IP 协议为主，并辅以 IP/SPX. NETTEUI 等其他流行通信协议坚持开放性和标准化，采用标准的通讯规程，以有利于不同厂家之间的互连，使不同系 统间易于集成，兼顾其他标准的网络体系结构，网络能实现协议之间无缝连接。 而公用服务器与每一台核心层交换机都应该具备连接。 在网络硬件上采用高性能、高可靠的设备，此产品是具有运营商级容错能力的高性能大型网络核心交换机，可实现冗余备份，从而提高核心层的可靠性。 整个网络通过汇聚层交换机 RGS6806E 和核心交换机 RGS6810E 之间的链路冗余备份和负载均衡提供安全可靠的网络构架（使用 OSPF、 ECMP、 WCMP 等技术），其安全保障技术提供一个全网概念的整体网络安全，而通过简单地增加万兆模块可以平滑升级到万兆骨干的实验室局域网。 IP 地址划分 IP 地址及 VLAN 划分原则  简单性：地址的分配应该简单，避免在主干上采用复杂的掩码方式；  连续性：为同一个网络区域分配连续的网络地址，便于采用路由收敛 (Summarization)CIDR(Classless InterDomain Routing)技术缩减路由表的表项，提高路由器的处理效率；  可扩充性：为一个网络区域分配的网络地址应该具有一定的容量，便于主机数量增加时仍然能够保持地址的连续性；  灵活性：地址分配不应该基于某个网络路由策 略的优化方案，应该便于多数路由策略在该地址分配方案上实现优化；  可管理性：地址的分配应该有层次，某个局部的变动不要影响上层、全局。  安全性：网络内应按工作内容划分成不同网段即子网以便进行管理。 IP 地址及 VLAN 划分 VLAN（ Virtual Local Area Network）又称虚拟局域网，是指在交换局域网的基础上，采用网络管理软件构建的可跨越不同网段、不同网络的端到端的逻辑网络。 一个 VLAN 组成一个逻辑子网，即一个计算机网络与安全实践 课程设计 第 18 页 逻辑广播域，它可以覆盖多个网络设备，允许处于不同地理位置的网络用户 加入到一个逻辑子网中。 组建 VLAN 的条件 VLAN 是建立在物理网络基础上的一种逻辑子网，因此建立 VLAN 需要相应的支持 VLAN 技术的网络设备。 当网络中的不同 VLAN 间进行相互通信时，需要路由的支持，这时就需要增加路由设备 ——要实现路由功能，既可采用路由器，也可采用三层交换机来完成。 根据我校 矿业大学南湖 的实际情况，我们对各个机房的 IP 地址划分及 VLAN 划分如下： 14 机房： ， vlan1 58 机房： ， vlan2 910 机房： ， vlan3 1112 机房： ， vlan4 1314 机房： ， vlan5 1516 机房： ， vlan6 1718 机房： ， vlan7 1920 机房： ， vlan8 2122 机房： ， vlan9 2324 机房： ， vlan10 2526 机房： ， vlan11 2728 机房： ， vlan12 2930 机房： ， vlan13 3132 机房： ， vlan14 3334 机房： , vlan15 3536 机房： , vlan16 NAT 的实现 NAT，网络地址转换，是通过将专用网络地址转换为公用地址（如互联网 Inter），从而对外隐藏了内部管理的 IP 地址。 这样，通过在内部使用非注册的 IP 地址，并将它们转换为一小部分外部注册的 IP 地址，从而减少了 IP 地址注册的费用以及节省了目前越来越缺乏的地址空间（即 IPV4）。 同时，这也隐藏了内部网络结构，从而降低了内部网络受到攻击的风险。 NAT 网络地址转换的 3 种实现方式： 静态 NAT（一对一） 动态 NAT（多对多） 端口多路复用 PAT（多对一） 本网络没有考虑 NAT 的具体实现。 、访问列表的实现 路由器和交换机所保持的列表用来针对一些进出路由器或交换机的服务（如组织某个 IP 地计算机网络与安全实践 课程设计 第 19 页 址的分组从路由器或交换机的特定端口出发）做访问控制。 在本网络拓扑中，使用访问列表用来实 现网络的安全。 用来实现相当于防火墙的功能。 允许内网的用户去访问外网，而外网的用户则是除了能访问服务器或是通过 VPN 连接进来外，其他的访问都是被阻止的。 设备选型与配置 我们选取其中一个机房作为示例，下图为实验室的三层网络结构模型： 汇聚层交换机的选择： RG－ S6806E 要求汇聚层交换机支持广播、组播功能。 信号从核心交换机出来，在汇聚层就进行组播， 可以减轻网络的负担。 接入层交换机的选择： STARS2126G/STARS2150G 交换机 1) RGS6800E 系列多业务万兆核心路由 交换机提供 ，并支持将来扩展到 ，高达 572Mpps/286Mpps 的二 /三层包转发速率可为用户提供高速无阻塞的数据交换，强大的交换路由功能、安全智能技术可同锐捷各系列交换机配合，为用户提供完整的端到端解决方案，是大型网络核心骨干和大流量节点交换机的理想选择。 RGS6800E 交换机通过 扩展高性能的 多业务卡支 持策略路由、 IPV MPLS 、 load balancing、 NAT、 VPN、 Firewall、 web cache redirect 等业务功能，满足客户环境灵活而复杂的不同应用需求。 丰富的应用支持技术（ QOS、组播） RGS6800E 提供多种流分类技术和多种 QOS 技术，包括 SP、 WRR、 WFQ、 WRED、 CAR、HOL 等，为各种应用的带宽保障提供需要的支持技术。 流分类：可以依据数据流的源 /目的 MAC 地址、源 /目的三层 IP 地址、三层协议（ IP/IPX）、四层协议（ UDP/TCP）、源 /目的四层协议端口号、COS、 TOS 对数据流进行区分，实现 2/3/4 层的流分类功能。  数据标记： 是二层协议，可以为数据提供 8 个级别的优先级标记； DSCP 在三层的 IP 协议报文里进行优先级标记，可以提供 64 个级别的优先标记。  队列调度：严格优先级队列 SP 保证高优先级业务总是在低优先级业务之前处理； WRR 是一种加权循环队列调度机制，首先处理高优先级，但在处理高优先级业务时，较低优先级的业务并没有被完全阻塞，而是按一定的比例同时进行。 WFQ 是加权公平队列，对所有的数据流进行排队，监控吞吐率，并根据发送的 信息量分配权值。 WFQ 试图公平地为每个对话分配带宽，保证低带宽应用可以获得对接口的访问权，而不会被高带宽应用全部占用。  拥塞控制： WRED 加权随机早期检测协议，可以设置各个数据流在拥塞发生之前自动丢失数据的阀值，避免较高优先级应用的拥塞丢失。 HOL 通过消除 HOL 阻塞确保最高可能的吞吐量；最大限度地减少包丢失，减少多路传输和广播流量拥塞。  承诺信息速率： CAR 可以为重要的数据流设定固定的带宽，如果设定的带宽合理，满足该数据流的需求，就可以保证重要数据流的正常转发。 提供多种组播支持技术，包括 IGMP snooping、 IGMP、PIM（ SSM、 SM、 DM）， DVMRP，保证了网络中提供组播服务时的带宽合理占用。 计算机网络与安全实践 课程设计 第 20 页 STARS2126G/STARS2150G 是一款全线速可堆叠千兆智能交换机，提供智能的流分类和完善的服务质量（ QoS）以及组播管理特性，并可以实施灵活多样的 ACL 访问控制。 可通过 SNMP、 Tel、 Web 和 Console 口等多种方式提供丰富的管理。 路由选择与配置 RGS6800E 新一代多业务万兆核心路由交换机系 ，配置见附录二。 网络 安全设计与管理 安全需求分析 (1)、网络病毒的防范 病毒产生的原因：我校实验室局域网很重要的一个特征就是用户数比较多，会有很多的 PC 机缺乏有效的病毒防范手段，这样，当用户在频繁的访问 INTERNET 的时候，通过局域网共享文件的时候，通过 U 盘，光盘拷贝文件的时候，系统都会感染上病毒，当某个学生感染上病毒后，他会向实验室局域网的每一个角落发送，发送给其他用户，发送给服务器。 病毒对实验室局域网的影响：实验室局域网万兆、千兆、百兆的网络带宽都被大量的病毒数据包所消耗，用户正常的网络访问得不到响应，办公 平台不能使用；资源库、 VOD 不能点播； INTERNET 上不了，学生、老师面临着看着丰富的实验室局域网资源却不能使用的尴尬境地。 (2)、防止 IP、 MAC 地址的盗用 IP、 MAC 地址的盗用的原因：实验室局域网采用静态 IP 地址方案，如果缺乏有效的 IP、 MAC 地址管理手段，用户可以随意的更改 IP 地址，在网卡属性的高级选项中可以随意的更改 MAC 地址。 如果用户有意无意的更改自己的 IP、 MAC 地址，会引起多方冲突，如果与网关地址冲突，同一网段内的所有用户都不能使用网络；如果恶意用户发送虚假的 IP、 MAC 的对应关系，用户 的大量上网数据包都落入恶意用户的手中，造成 ARP 欺骗攻击。 IP、 MAC 地址的盗用对校园网的影响：在用户看来，实验室局域网络是一个很不可靠是会给我带来很多麻烦的网络，因为大量的 IP、 MAC 冲突的现象导致了用户经常不能使用网络上的资源，而且，用户在正常工作和学习时候，自己的电脑上会经常弹出 MAC 地址冲突的对话框。 由于担心一些机密信息比如银行卡账户、密码、邮箱密码泄漏，用户会尽量减少网络的使用，这样，学生、老师对实验室局域网以及网络中心的信心会逐渐减弱，实验室局域网也就不能充分发挥其服务于教学的作用，造成很大程 度上的资源浪费。 (3)、安全事故发生时候，需要准确定位到用户 实验室局域网正常运行的需求：如果说不能准确的定位到用户，学生会在网络中肆无忌弹进行各种非法的活动，会使得校园网变成 “黑客 ”娱乐的天堂，更严重的是，如果当某个学生在校外的某个站点发计算机网络与安全实践 课程设计 第 21 页 布了大量涉及政治的比如法轮功的言论，这时候公安部门的网络信息安全监察科找到我们的时候，我们无法处理，学校或者说网络中心只有替学生背这个黑锅。 (4)、安全事故发生时候，不能准确定位到用户的影响： 一旦发生这种涉及到政治的安全事情发生后，很容易在社会上广泛传播，上级主管部 门会对学校做出处理；同时也会大大降低学校在社会上的影响力，降低家长、学生对学校的满意度，对以后学生的招生也是大有影响的。 (5)、用户上网时间的控制 无法控制学生上网时间的影响：如果缺乏有效的机制来限制用户的上网时间，学生可能会利用一切机会上网，会。