网络工程课程设计-校园网络系统设计

网络工程课程设计-校园网络系统设计内容摘要：

性的作用。 选择适合校园网络需求特点的主流网络技术，不但能保证网络的高性能，还能保证网络的先进性和扩展性，能够在未来向更新技术平滑过渡，保护用户的投资。 目前在局域网络上应用最广泛的技术有以太网、快速以太网、 FDDI、 Token Ring 以及最新崛起的 ATM（异步传输模式）、千兆以太网等。 快速以太网是一种非常成熟的组网技术，造价很低，性能价格比很高，可作为资金不很充裕的中小型单位组建 Intra 网的首选技术。 快速以太网技术现在被广泛用于大 型企业网的二级、三级网络组网或直接连至桌面工作站。 在选择校园校区网络技术时应该考虑如下： 网络工程课程设计 5 长远来看如何保护现有投资，保护现有投资的有效途径就是在将来网络技术升级时还能使用现有的网络技术和产品。 如同计算机的发展速度一样，网络技术的发展也是非常迅速的。 结合本校园实际情况，信息点不是很多，且 学校不是很大， 就目前来说，楼宇相对集中，建筑物之间的分布距离不算远，楼宇层数也不多，所以，校园网主干用 快速 以太网技术完全能满足本校的网络需求，主干中的 路由器和 交换机 都 具备升级为 千 兆功能，为网络以后的升级改造留有充足的空间。 网络工程课程设计 6 2 逻辑设计 网络拓扑规划 根据对 兴义市龙盘中学 的校园实际情况，以及项目的需求分析，对 兴义市龙盘 中学校园进行网络拓扑规划。 要求符合需求分析，符合进行设备的布局。 物理分布图 根据校园实际样貌，画出校园物理平面图： 图 兴义市龙盘中学物理平面图 计算机实验室是学校的网络信息中心，校园网络的主要网络及设备都在计算机实验室里，画出计算机实验室的机柜布置图及实验室平面布置图： 网络工程课程设计 7 图 机柜布置图 图 计算机实验室平面图 网络工程课程设计 8 图 计算机实验室布 线图 网络拓扑 根据学校情况，规划校园网络，画出网络拓扑结构图。 网络工程课程设计 9 图 兴义市龙盘中学网络结构拓扑图 表 21 网络拓扑图图例 图例 符号 数量 说明 符号 数量 说明 1 Inter 1 电子邮件服务器 1 路由器 1 显示器 1 防火墙 1 机柜 2 核心交换机 N PC 13 工作组交换机 1 通信链路 1G 1 Web 服务器 1Gb/s 1 FTP 服务器 100Mb/s 网络工程课程设计 10 IP 规划和命 名模型设计 根据网络拓扑图并结合校园各个部门主机数，考虑合理分配和可扩展性，给校园网划分IP 地址并划分 VLAN。 并给服务器做命名规划。 网络地址分配 学校所在地邮编为 562400。 故将学校接入 Inter 分到的 IP 网段假设为。 根据网络拓扑结构图，并结合各个部门需要的主机数，再考虑到可扩展性，最小子网划分 62 个主机 IP（服务器除外），将子网划分如下： 表 22 IP地址规划表 就目前学校情况来看，楼宇集中，各个部门都没有零散的分布情况，可以不需要划分VLAN，但考虑以后发展的情况，可将几个可能用到 VLAN 的划分如下： 表 23 VLAN划分 VLAN 号 VLAN 名 网络号 网关 VLAN2 计算机实验室 VLAN3 教室宿舍 VLAN4 教室办公室 如有需要，也还可以照此划分其它 VLAN。 名称 主机个数 给予个数 子网号 掩码 CIDR 地址 主机地址范围 计算机实验室 41 254 ～ 教室宿舍 25 254 ～ 教室办公室 20 254 ～ 后勤处 3 62 ～ 财务处 3 62 ～ 政教处 4 62 ～ 教务处 5 62 ～ 服务器 3（网卡） 14 ～ 网络工程课程设计 11 分好 IP 后的拓扑图如下： 图 网络拓扑图 IP 命名设计 Web 服务器的域名为： FTP 服务器的域名为： 邮件服务器的域名为： mail. 交换和路由协议设计规划 交换协议的选择 根据我们对兴义市龙盘中学的需求分析和网络拓扑图的设计，我们对校园网络进行了IP 地址和 VLAN 的划分，并使用 VLAN 中继协议 VTP（ VLAN Trunking Protocol）来实现网络工程课程设计 12 交换机之间交换信息。 VLAN 中继协议 VTP 作用是：十几台交换机在企业网中，配置 VLAN工作量大，使用 VTP 协议，把一台交换机配置成 VTP Server, 其余交换机配置成 VTP Client，这样 VTP Client 可以自动学习到 VTP Server 上的 VLAN 信息。 采用 VTP 协议可以简化配置。 VTP 有三种工作模式：服务器模式、客户机模式和透明模式，本次设计默认是服务器模式。 服务器模式提供 VTP 消息，包括 VLAN ID 和名字信息，学习相同域名的 VTP 消息，转发相同域名的 VTP 消息，可以添加、删除和更改 VLAN， VLAN 信息写入 NVRAM 该模式下不能使用扩展。 客户机模式的内容是请求 VTP 消息，学习相同域名的 VTP 消息，转发相同域名的 VTP消息，不可以添加、删除和更改 VLAN,VLAN 信息不会写入 NVRAM，该模式下不能使用增强型软件映像提供的 VID，即只能使用 21001 这一段的值。 1， 10021005 均为系统默认VID，要使用 10064096 作 VID 的值，只能关闭 VTP 或采用透明模式。 透明模式不提供 VTP 消息，不学习 VTP 消息，转发 VTP 消息，可以添加、删除和更改 VLAN，只在本地有效 VLAN 信息写入 NVRAM，新交换机出厂时的默认配置是预配置为 VLAN1， VTP 模式为服务器。 当交换机是在 VTP Server 或透明的模式，能在 交换机配置 VLAN。 当交换机配置在 VTP Server 或透明的模式，使用 CLI、控制台菜单、 MIB 修改VLAN 配置。 路由协议选择 路由器的作用是用于网络的互连，每个路由器与两个以上的实际网络相连，负责在这些网络之间转发数据报，为经过路由器的每个数据帧寻找一条最佳传输路径，并将该数据有效地传送到目的站点。 由此可见，选择最佳路径的策略即路由算法是路由器的关键所在。 常用的动态路由协议有 RIP、 IGRP、 EIGRP、 OSPF 等，他们都属于内部网关协议。 根据 兴义市龙盘 中学的校园网络建设要求，我们选 用距离向量路由协议中的 RIP 协议作为校园网的内部网关协议。 RIP 的算法简单，但在路径较多时收敛速度慢，广播路由信息时占用的带宽资源较多，它适用于网络拓扑结构相对简单且数据链路故障率极低的小型网络中，在大型网络中，一般不使用 RIP。 RIP 协议是基于距离矢量算法的，它使用“跳数”，即 metric 来衡量到达目标地址的路由距离。 这种协议的路由器只关心自己周围的世界，只与自己相邻的路由器交换信息，范围网络工程课程设计 13 限制在 15 跳 (15 度 )之内，再远，它就不关心了。 RIP 应用于 OSI 网络七层模型的网络层。 RIP 通过广播 UDP 报文来 交换路由信息，每 30 秒发送一次路由信息更新。 RIP 提供跳跃计数作为尺度来衡量路由距离，跳跃计数是一个包到达目标所必须经过的路由器的数目。 如果到相同目标有二个不等速或不同带宽的路由器，但跳跃计数相同，则 RIP 认为两个路由是等距离的。 RIP 最多支持的跳数为 15，即在源和目的网间所要经过的最多路由器的数目为 15，跳数 16 表示不可达。 安全策略设计 构建全程全网的访问控制体系是网络安全防范和保护的主要策略，它的主要任务是保证网络资源不被非法使用和访问。 它是保证网络安全最重要的核心策略之一。 通信网络安全 在外网与内网之间使用防火墙，可以使校园网外部网络不能随便访问内网，以至不能随意访问服务器；在交换机与交换机之间划分了 Vlan，使不同区域楼层之间在没有经过路由选择之后不能互相共享信息。 加强网络的安全管理，制定有关规章制度，对于确保网络的安全、可靠地运行，将起到十分有效的作用。 服务器安全 防火墙具有很好的保护作用，入侵者必须首先穿越防火墙的安全防线，才能接触目标计算机。 在外网与内网之间加入防火墙，可以保证内网 和 服务器的安全 ，不受外部攻击。 将服务器接在防火墙上，也可以保证服务器不受 内网的攻击。 可以将防火墙配置成许多不同保护级别。 为了保证服务器的安全，我们可以把 HTTP/TCP 80 端口列入防火墙的例外，把 FTP 的21 端口修改并且把它列为例外；禁用默认共享，修改文件权限。 应用安全 应用安全，就是保障程序在运行过程和运行结果的安全，就是针对应用程序或工具在使用过程中可能出现计算、传输数据的泄露和失窃，通过其他安全工具或策略来消除隐患。 网络工程课程设计 14 网络管理员可以通过用户密码策略、用户安全策略、访问控制策略来保证服务器的稳定性以及限定用户安全访问应用程序的安全设置。 1. 用户密码策 略 身份验证不仅是网络应用安全首先要解决的问题，还是最重要的阶段，对大部分网络应用而言，用户验证包括用户 ID 和密码两部分。 用户密码策略用于应用接入平台的身份模块，它确定用户的用户名和密码设置。 2. 用户安全策略 用户安全策略用于权限设置，它确定用户身份权限设置，例如：访问硬盘中的文件，用户身份能运行哪个业务程序等设置。 3. 访问控制策略 访问控制是网络应用使用验证方法来接受或拒绝对内容和功能访问的过程。 以下是两种主要的访问控制方法： （ 1）路径挖掘（一般用于无法直接访问的文件） （ 2） 客户端缓存（限制缓存） 接入安全 选择一个全 千兆安全智能接入交换机，在提供高性能、高带宽的同时，提供智能的流分类、完善的服务质量（ QoS）和组播应用管理特性，并可以根据网络的实际使用环境，实施灵活多样的安全控制策略，有效防止和控制病毒传播和网络攻击，控制非法用户接入和使用网络，保证合法用户合理化使用网络资源，充分保障了网络高效安全、网络合理化使用和运营。 管理策略设计 校园网络管理的主要目的是保证网络安全和稳定运行，维持网络传输速率、降低网络传输误码、网络流量异常监控等。 所以校园网络管理部门的技术人员应该熟 悉常用的网络监控工具和路由器、交换机、防火墙等网络设备所具有的网络安全控制模块对整个网络进行管理。 配置管理 配置管理是管理所有的网络设备，随时掌握网络内的网络设备的增减和变动，对所有的网络工程课程设计 15 网络设备进行参数配置，并对设备的数据参数要严格备份。 当故障发生时，技术人员可以快速重设恢复，保障网络的正常运行。 配置管理过程是对处于不断演化、完善过程中的软件产品的管理过程。 其最终目标是实现软件产品的完整性、一致性、可控性，使产品极大程度地与用户需求相吻合。 它通过控制、记录、追踪对软件的修改和每个修改生成的软 件组成部件来实现对软件产品的管理功能。 配置管理的流程是 : 1. 制定配置管理计划 配置管理员制定《配置管理计划》，主要内容包括配置管理软硬件资源、配置项计划、基线计划、交付计划、备份计划等，通过 CCB 审批该计划。 2. 配置库管理 配置管理员为项目创建配置库，并给每个项目成员分配权限；各项目的成员根据自己的权限操作配置库。 配置管理员需要定期维护配置库，例如清除垃圾文件、备份配置库等。 3. 版本控制 在项目开发过程中，绝大部分的配置项都要经过多次的修改才能最终确定下来，对配置项的任何修改都将产生新的版本。 由于我们不能保证新版本一定比老版本“好”，所以不能抛弃老版本。 配置项的状态有三种：“草稿”、“正式发布”和“正在修改”。 版本控制的目的是按照一定的规则保存配置项的所有版本，避免发生版本丢失或混淆等现象，并且可以快速准确地查找到配置项的任何版本。 4. 变更控制 在项目开发过程中，配置项发生变更几乎是不可避免的，而变更控制的目的就是为了防止配置项被随意修改而导致混乱。 5. 配置审计 为了保证所有人员（包括项目成员、配置管理员和 CCB）都遵守配置管理规范，质量保证人员要定期审计配置管理工作。 配置审计是一种“ 过程质量检查”活动，是质量保证人员的工作职责之一。 认证管理 认证管理功能是只允许通过认证的内网用户上网，禁止未授权的用户访问互联网。 认证方式可分为身份认证（用户名 +密码）、 MAC 地址认证、 IP 地址认证等方式。 网络工程课程设计 16 PPPoE 服务器提供了认证上网的功能，内网计算机使用正确的用户名和密码，通过PPPoE 拨号到路由器进行认证，从而获取上网权限。 认证管理功能主要用于教室宿舍的认证。 计费管理 计时计费管理可以掌握每个用户网络使用时间，对各局部网络做出使用统计，控制和规范了每个用户的上网。 在商业性有偿使用的网络上，计费管。