计算机网络课程设计说明书__兰州市第九中学校园网组建方案word格式

计算机网络课程设计说明书__兰州市第九中学校园网组建方案word格式内容摘要：

服务，但是服务提供的越多，系统就存在更多的漏洞，也就有更多的危险。 因些从安全角度考虑，应将不必要的服务关闭，只向公众提供 6 了他们所需的基本的服务。 最典型的是，我们在校园网服务器中对公众通常只提供 WEB 服务功能，而 没有必要向公众提供 FTP 功能，这样，在服务器的服务配置中，我们只开放 WEB 服务，而将 FTP 服务禁止。 如果要开放 FTP 功能，就一定只能向可能信赖的用户开放，因为通过 FTP 用户可以上传文件内容，如果用户目录又给了可执行权限，那么，通过运行上传某些程序，就可能使服务器受到攻击。 所以，信赖了来自不可信赖数据源的数据也是造成网络不安全的一个因素。 在 WINDOWS NT 使用的 IIS，是微软的组件中漏洞最多的一个，平均两三个月就要出一个漏洞，而微软的 IIS 默认安装又实在不敢恭维，为了加大安全性，在安装配置时可以注意以下 几个方面： 首先，不要将 IIS 安装在默认目录里（默认目录为 C:\\Ipub），可以在其它逻辑盘中重新建一个目录，并在 IIS 管理器中将主目录指向新建的目录。 其次， IIS 在安装后，会在目录中产生如 scripts 等默认虚拟目录，而该目录有执行程序的权限，这对系统的安全影响较大，许多漏洞的利用都是通过它进行的。 因此，在安装后，应将所有不用的虚拟目录都删除掉。 第三，在安装 IIS 后，要对应用程序进行配置，在 IIS 管理器中删除必须之外的任何无用映射，只保留确实需要用到的文件类型。 对于各目录的权限设置一定要慎重， 尽量不要给可执行权限。 QoS 为确保用户各种关键业务的正常开展，必须采取全面而系统的 QoS 设计 (提供端到端 QoS服务 )，以保证重要的数据流在网络发生拥塞时获得有保证的吞吐量和最低的延时；为了保证端到端用户的服务质量，因此要求端到端数据流经的所有网络设备都支持实施的 QoS 策略，核心设备是多个服务器接入的设备，并且担负着全网数据的交换， QoS 的能力影响着全网的服务质量保障能力。 Qos 的选择为 RSVP－资源预留 RSVP 是一个信令协议，它提供建立连接的资源预留，控制综合业务，往往在 IP 网络上提供仿真 电路。 RSVP 是所有 QoS 技术中最复杂的一种，与尽力而为的 IP 服务标准差别最大，它能提供最高的 QoS 等级，使得服务得到保障、资源分配量化，服务质量的细微变化能反馈给支持 QoS 的应用和用户。 协议的工作情况如下：发送端依据高、低带宽的范围、传输迟延，以及抖动来表征发送业务。 RSVP 从含有 39。 业务类别 (TSpec)39。 信息的发送端发送一个路径信息给目的地址 (单点 广播 7 或多 点广播的接收端 )。 每一个支持 RSVP 的 路由器 沿着下行路由建立一个 39。 路径状态表 39。 ，其中包括路径信息里先前的源地址 (例如，朝着发送端的上行的下一跳 ) 为了获得资源预留，接收端发送一个上行的 RESV(预留请求 )消息。 除了 TSpec， RESV消息里有 39。 请求类别 (RSpec)39。 ，表明所要求的综合服务类型，还有一个 39。 过滤器类别 39。 ，表征正在为分组预留资源 (如传输协议和端口号 )。 RSpec 和过滤器类别合起来代表一个 39。 流的描述符 39。 ，路由器就是靠它来识别每一个预留资源的 当每个支持 RSVP 的路由器沿着上行路径接收 RESV 的消息时，它采用输入控制过程证实请求，并且配置所需的资源。 如果这个请求得不到满足 (可能由于资源短缺或未通过认证 )，路由器向接收端返回一个 错误 消息。 如果这个消息被接受，路由器就发送上行 RESV 到下一个路由器 当最后一个路由器 接收 RESV，同时接受请求的时候，它再发送一个证实消息给接收端 当发送端或接收端结束了一个 RSVP 会话时，有一个明显的断开连接的过程。 网间隔离 网络隔离，英文名为 Network Isolation，主要是指把两个或两个以上 不可 路由的网络(如： TCP/IP)通过不 可 路由的协议 (如： IPX/SPX、 NetBEUI 等 )进行数据交换而达到隔离目的。 由于其原理主要是采用了不同的协议，所以通常也叫协议隔离 (Protocol Isolation)。 协议隔离和 防火墙 不属于同类产品。 网络隔离的关键是在于系统对通信数据的控制，即通过不可路由的协议来完成网间的数据交换。 由于通信硬件设备工作在网络七层的最下层，并不能感知到交换数据的机密性、完整性、可用性、可控性、抗抵赖等安全要素，所以这要通过访问控制、身份认证、加密签名等安全机制来实现，而这些机制的实现都是通过软件来实现的。 因此，隔离的关键点就成了要尽量提高网间数据交换的速度，并 且对应用能够透明支持，以适应复杂和高带宽需求的网间数据交换。 而由于设计原理问题使得第三代和第四代隔离产品在这方面很难突破，既便有所改进也必须付出巨大的成本，和 “ 适度安全 ” 理念相悖。 8 第 3 章 拓扑图及方案整体描述 拓扑图及方案整体描述 本方案主要选择千兆以太网技术来构建校园网络，对两层结点和桌面微机的接入也采用快速以太网，建立一个基于多层、全交换的虚拟校园网。 在实际构筑中采用三层结构。 最下层到桌面为 100Mbps；第二层为楼内各楼层到二级交换机，由 100M bps 的交换式快速以太网构成；各 楼到网络 中心（即主干）为千兆位以太网。 根据前面的分析，画出兰州市 第 九 中学校园网拓扑结构图，如图 31 所示： 图 兰州市 第 九 中学 校园网拓扑结构图 网管中心 Catalyst3000 Catalyst3000 Catalyst3000 千兆光纤 百兆光纤 双绞 线 Catalyst3000 Catalyst5000 Catalys t3000 Interne 接入入点 口入点 宿舍楼 办公楼 实验楼 U N I V E R S I T YU N I V E R S I T YU N I V E R S I T YU N I V E R S I T YCatalyst3000 图书馆 教学楼 9 Inter 接入方案 对于 校园网 ， 可以 采用路由器实现接入 Inter。 在局域网上通过代理服务器软件或者路由器，都可以解决多用户共享访问 Inter 问题，实质上是一个介于用户群体和 Inter之间的桥梁，用以实现其网络用户对 Inter 的访问。 在使用路由器接入 Inter 时， 对于缺少合法 IP 地址情况下，可以使用（ NAT）地址转换技术实现内部网络对外部网络的访问。 路由器在收到内部网络中的计算机访问外部网络的IP 数据包时，将这些非法的 IP 地址转换成合法的 IP 地址， 作为 IP 数据包的源地址访问外部网络，当回来的数据包经过路由器时，在把该数据包的目标地址转换为相应的局域网内的主机 IP 地址，并把该数据包传送到相应主机， 从而达到访问 Inter 的目的。 这些功能其实是 NAT（网络地址转换）的一 部分。 除了 NAT 之外，路由器接入 Inter 还采用了防火墙技术，主要是基于源和目标 IP 地址以及端口过滤的防火墙技术。 通过防火墙技术，可以在一定程度上使内部局域网免受外面的攻击，起到一定的安全作用。 目前国内常见的有以下的几种接入方式可选择 ： 公共电话网 这是最容易实施的方法，费用低廉。 只要一条可以连接 ISP 的电话线和一个账号就可以。 但缺点是传输速度低，线路可靠性差。 如果用户多，可以多条电话线共同工作，提高访问速度。 目前在国内迅速普及，价格大幅度下降，有的地方甚至是免初装费用。 两个信道 128kbit/s的速率，快速的连接以及比较可靠的线路，可以满足 校园网 浏览以及收发电子邮件的需求。 而且还可以通过 ISDN 和 Inter 组建 VPN。 这种方法的性能价格比很高，在国内大多数的城市都有 ISDN 接入服务。 非对称数字用户环路，可以在普通的电话铜缆上提供 1． 5～ 8Mbit/s 的下行和 10～64kbit/s 的上行传输，可进行视频会议和影视节目传输。 可是有一个致命的弱点：用户距离电信的交换机房的线路距离不能超过 4～ 6km，限制了它的应用范围。 远程访问支持 远程访问通 常指远程接入，即远程计算机通过拨号线路连接到本地网络。 远程访问最主要的应用有两类，一是供远程移动用户接入校园网的本地网络，二是供 ISP(因特网服务提供 10 商 )提供 Inter 接入服务。 在实际应用中，主要通过专门的硬件设备来提供远程访问服务，如 3COM 的 NETServer 能够提供 16 路电话线或 ISDN 拨号上网，使用于远程用户不同的校园网网络的远程接入，而 TotalControl 多服务平台一般用作 ISP 的介入设备，能够同时支持大量用户通过电话线或 ISDN 上网。 也可通过软件来提供远程访问服务，如 WindowsW 和 Windows2020 网络操作系统都集成了远程访问服务器。 这种软件方式，效率虽然不如专门的硬件设备，但是在有些场合下则是一种经济有效的解决方案，特别是对远程接入用户较少的网络来说，非常适用。 广义的远程访问包括远程控制和远程客户两种方式。 远程控制主要用于从一台计算机控制和操作另一台计算机 ,一般通过远程控制软件来实现，如著名的 PC Anywhere。 远程客户即是本章主要介绍的远程拨号接入，由远程服器提供若干远程计算机连接到网络的服务，如无特别说明，一般就称为远程访问，也有称远程接入的。 Windows2020 远程访问是整个路由和远程访问服务的一部分。 路由和远程访问是互相关联的，但路由和远程访问是两个独立的网络功能。 Windows2020 服务器将虚拟专用网络集成到路由和远程访问服务 (RRAS)组件。 运行Windows2020 的远程访问服务器提供两种不同的远程访问连接，即拨号网络和虚拟专用网络。 通过使用远程通信提供商 (例如模拟电话、 ISDN 或 )提供的服务，远程客户机使用非永久的拨号连接到远程访问服务器的物理端口上，这时使用的网络就是拨号网络。 最常见的使用方式是拨号网络客户机使用拨号网络拨 打远程访问服务器某个端口的电话号码。 拨号网络客户机和拨号网络服务器之间通过拨号网络 (模拟电话或 ISDN 线路 )建立直接的物理连接。 如何组建拨号网络是本章的中心内容。 虚拟专用网络是在公共网络 (Inter)环境中建立的专用网络。 虚拟专用网络客户机使用特定的。 称为隧道协议的基于 TCP/IP 的协议，来对虚拟专用网络服务器的虚拟端口 (电话号码 )进行依次虚拟呼叫。 最常见的使用方式是，虚拟网络客户机使用虚拟专用网络连接连接到与 Inter 相连的远程访问服务器上。 远程访问服务器应答虚拟呼叫，验证 呼叫方身份，并在虚拟专用网络客户机和校园网网络之间传送数据。 虚拟专用网络客户机和虚拟专用网络服务器之间通过虚拟专用网络建立逻辑的、非直接的连接。 当 Wimdows2020 服务器用于拨号网络时 常常称为拨号网络服务器。 当 Windows2020 服务器用于虚拟专用网络时，则称为 VPN 服务器。 两者在 Windows2020 中统称为远程访问服务器。 11 子网划分 与 VLAN 设定 VLAN 设定 VLAN 的划分方法有：包括基于端口的 VLAN、基于 MAC 地址的 VLAN 和基于协议的 VLAN 等。 (1)基于端口划分 VLAN 这种划分 VLAN 的方法是根据以太网交换机的端口来划分的，把一个或多个交换机上的几个端口划分成一个逻辑组，并可以跨越多个交换机。 根据端口划分是目前定义 VLAN 的最广泛的方法， 规 定了依据以太网交换机的端口来划分 VLAN 的国际标准。 定义 VLAN 成员时非常简单有效，只需网络管理员对网络设备的交换端口进行重新分配即可，不用考虑端口所连接的设备。 但如果 VLAN A 的用户离开了原来的端口，到了一个新的交换机的某个端口，那么就必须重新定义。