网络安全综合实习报告.docx

1、网络安全综合实习报告网络工程专业综合实习报告题 目XX学校学生宿舍楼网络设计（楼群）小组成员:指导教师:计算机科学与应用系2010-06-05第 1 章 引言 1第 2 章 投标方概况 1第 3 章 计算机网络系统技术方案 23.1 网络总体要求 . 23.2 网络设计方案 . 23.2.1 网络总体方案介绍 . 23.2.2 网络核心层 . 33.2.3 网络汇聚层 . 43.2.4 接入层 . 43.2.5 与广域网的连接 . 43.2.6 IP 分配及虚拟网方案 43.2.7 网络系统冗余 . 63.2.8 网络管理 . 73.2.9 网络安全 . 73.2.10 操作系统、数据库和服务

2、器 . 83.3 综合布线方案 83.3.1 设计范围及要求 . 93.3.2 设计目标的确定 . 93.3.3 布线要求 . 103.3.4 系统组成 . 103.3.5 布线系统设计 . 103.3.5.1 工作区子系统设计 103.3.5.2 水平子系统设计 113.3.5.3 楼间建筑群系统设计 113.3.5.4 设备间系统设计 113.3.5.5 设备安装与线路铺设建议 . 11第 4 章 应用管理软件 124.1 服务器选择 . 124.2 防火墙选择 12第 5 章 项目实施组织及进度计划 135.1 项目实施组织 . 135.2 进度计划 13第 6 章 关于培训、技术支持及

3、售后服务 136.1 人员培训 136.2 技术支持及售后服务 13第 7 章 验收标准及技术文档 147.1 验收标准 . 147.2 技术文档 . 147.2.1 传输介质要求 147.2.2 网络系统的性能测试 . 157.2.3 网络验收 157.2.4 需要的测试设备 . 16第 8 章 设备清单及报价 . 17成员分工 . 17第 1章 引言网络工程综合实验是网络工程及计算机相关专业的重要实践环节之一， 该内容可以培 养我们理论联系实际的设计思想，训练我们综合运用所学的计算机网络基础理论知识的能 力，结合实际网络设备，解决在设计、安装、调试网络中所遇到的问题，从而使基础理论 知识得

4、到巩固和加深。我们通过综合实验学习和掌握网络设计中的一般设计过程和方法， 熟悉并掌握二层交换机、三层交换机、路由器和防火墙的配置和使用。另外通过实验， 可以掌握组建计算机网络工程的基本技术， 特别是网络规划、 交换机、 路由器等网络设备的基本功能与选型以及网络应用服务器的基本配置，同时提高我们的应 用能力和动手实践能力。确立校园网建设的目标，不仅要考虑技术方面，而且还要考虑环 境、应用和管理等方面，必须与学校各方面改革、建设长远发展相结合，科学的论证和决 策。根据这一要求建设一个技术先进、扩展性强、能覆盖全校主要楼宇的校园主干网络， 将学校的各种 PC 机、工作站、终端设备和局域网连接起来，并

5、与有关广域网相连，形成 结构合理、内外沟通的校园计算机网络系统。第 2章 投标方概况本公司聚集 IT 界的精英，由造诣资深的网络工程师、电脑程序员、销售顾问及专业 客服团队人员等组成。是专业从事网络产品分销、计算机系统集成和网络综合布线的高科 技公司。作为一家网络信息的高新技术公司，力求将网络系统集成与国内国际最优秀的网 络产品相结合，致力于成为网络终端设备的领先者和创新者。公司力推以超五类、六类布 线系统、光纤布线系统及机房设备系统等全系列产品，提供通信主干、局域网、城域网、 企业网及小区智能化网络的全方位解决方案。公司拥有先进的光缆穿线、熔接安装工具及 光缆线路测试仪，公司凭借领先技术、可

6、靠的质量及完善的售后服务能力广大客户提供先 进的网络解决方案。业务涉及机关、部队、学校、邮电、银行、企业及广大网络系统集成 商，是规模和实力较大的专业网络产品供应商之一。为确保用户百分百满意、使与我们合 作的销售商获取合理的销售利润及最佳的服务，我们不断引进市场中最具竞争力的商品， 使其价格、性能、质量和服务在市场同类产品中都极具竞争力。我们秉承诚信为本、客户 至上的经营理念，以卓越的网络服务品质、专业的技术服务实力、职业的客户服务团队保 障您在 21 世纪的信息高速路上驰骋，又以锐意进取、求实创新的精神，尊重人才、注重 技术，使用户在享受信息科技发展最新成果的同时不断获得最大的收益。我们的使

7、命：我们的产品与服务以性能稳定与快捷优质著称，与广大客户携手并进， 共谋发展 ! 经营理念 “专注才能成功”，专业务实，以踏实的态度专注于本业，集中资 源，累积经验做到最好。我们具有远见的管理层和具有奉献精神的员工，我们拥有以组建 创新务实为导向的团队和企业文化。我公司与经销商和客户建立广泛对等的合作伙伴关 系，积极探索在互利基础上的多种合作形式，并以以真诚的态度对待员工、客户、经销商 及社会。企业文化“专业、创新、务实、热情、团队合作”是我们所尊崇的工作态度，我 们相信产品化的网络科技对社会的贡献比科技本身更重要。“以人为本，信任人才”，我 们的员工拥有充分的尊重与授权。 我们因相同的信念与

8、目标而共聚， 彼此关怀、 互相激励， 在这里获得肯定、成长与无限潜力的发挥，共同打造充满竞争力的氛围。我们相信我们绝 对有实力完成贵校的宿舍楼网络设计，并令贵校满意。第 3章 计算机网络系统技术方案3.1 网络总体要求该系统是基于郑州航院学生宿舍系统，采用 Internet 和 intranet 技术组成一个 由网络，信息管理和办公自动化组成的综合应用系统。 共享网络上各种软、硬件资源，快速、稳定地传输各种信息，并提供有效的网络 信息管理手段。采用开放式、标准化的系统结构，以利于功能扩充和技术升级。 能够与外界进行广域网的连接，提供、享用各种信息服务（与各级教育信息中心 相连、与国内外著名站点

9、相连）。具有完善的网络安全机制。 能够与原有的计算机局域网络和应用系统平滑地连接，调用原有各种计算机系统 的信息。3.2 网络设计方案3.2.1 网络总体方案介绍 根据郑州航院宿舍楼群的实际情况，在网络系统的设计中，将采用模块化的网络体系 结构根据网络系统中不同的功能，将整个网络系统分为功能相对独立的模块。整体网络功 能通过增加或删除模块来进行调整，模块划分以逻辑上的功能相近为原则。模块可独立扩展，也可以在网上方便的添加不同的模块， 同时不影响其他模块的网络互联。 具体模块为:网络中心模块、宿舍学生接入模块。网络中心模块：包含管理系统的服务器群以及内部 DNS、数据库服务器、备份服务器、内部w

10、ww服务器、email服务器、网络打印机、文件服务器、打印机服务 器等的连接，通过中心骨干交换机千兆汇聚层与核心交换机连接宿舍学生接入模块：实现宿舍楼群内普通用户的接入，将宿舍群化为不同的 vlan模块网络拓扑结构图如图3-1所示：图3-1网络拓扑图按照这样的层次划分有以下特点：结构清晰，易于设计和管理，大大提高了网络的扩 充能力；网络结构和实际应用的组织结构相一致，便于安全管理，减轻网络的数据流量； 根据不同层次和实际经济承受能力，选择相应的网络设备和硬件设备，使投资更合理。3.2.2网络核心层核心层是整个网络的心脏，不同部门，不同业务之间的信息传递都要经过核心层。核 心层主要承担高速数据的

11、交换任务，同时要为各汇聚节点提供最佳传输通道，因此对中心 交换机的性能要求很高。在核心层设计 2个节点，分别为网络中心加点、普通用户节点， 分别安装各种服务器及三层交换机，选择核心交换机 Catalyst 6509 ，每台配置冗余电源和 冗余引擎，配置 24 个千兆光纤接口板。3.2.3 网络汇聚层汇聚层有 6 个节点，分别设置在各栋楼层交换机中，用于各栋学生宿舍楼的汇聚。选用 6 台 12/24 个 100M 交换端口的交换机作为楼宇之间的连接，每台配置冗余电源和 24个千兆光纤接口板。每台汇聚层交换机通过 100M 光纤接口，以不同的路由分别连接到核 心交换机上。3.2.4 接入层接入层主

12、要为各个宿舍楼用户提供网络服务，每栋楼 6层，每层划分为1个vian,那么3栋楼共有18个vian,把这18个vlan接入到一个汇聚层交换机，实现不同楼层间计算 机之间的通信，每层的计算机选用集线器堆叠的方式来实现互联。3.2.5 与广域网的连接通过ADSL方式和VPN技术接入In ternet,具体是以FTTB构架来连接In ternet,其优 点如下：以光纤取代传统铜揽，可避免干扰，传输质量佳。 服务不中断，网络构架简单，障碍少。具有客户带宽管理功能，可依照客户的要求提供更弹性、更高带宽。除了可以高速上网外，还提供企业VPN、城域网、校园项目及交互式多媒体（MOD） 等多样带宽服务。3.2

13、.6 IP 分配及虚拟网方案C3750提供划分VLAN（虚拟局域网）的功能，网络管理员可以根据需要将用户划分为 几个不同的组。这样既便于管理，又可以提高安全性。虚拟局域网不受设备物理位置的限 制，灵活性较大。Cisco的VLAN实现通常是以端口为中心的，与节点相连的端口将确定它所驻留的VLAN将端口分配给VLAN的方式有两种，分别是静态的和动态的。静态 VLAN是将端口强制性地分配给 VLAN的过程。即我们先在 VTP（ VLAN Trunking Protocol ）Server上建立VLAN然后将每个端口分配给相应的 VLAN的过程。这是我们创建 VLAN最常用的方法。动态VLAN形成很简

14、单，由端口决定自己属于哪个 VLAN即我们先建立一个 VMPSVLANMembership Policy Server）VLAN管理策略服务器，里面包含一个文本文件，文件中存有与VLAN映射的MAC地址表。交换机根据这个映射表决定将端口分配给何种 VLAN这种方法有很大的优势，但是利用这种方法创建数据库是一项非常艰苦而且非常繁琐的工作郑州航院宿舍楼群的vlan划分是基于IP地址的，具体划分如表3-1所示：(这里假设校园内部采用私有IP地址划分方式。如果动态分配IP地址，则设网络上的DHCP服务器IP地址为172.16.1.11。)表3-1 IP 分配表楼层每楼层数Ip地址网络地址所属vlan第

15、一层172.16.58.1/24172.16.58.0Vla n2第二层172.16.59.1/24172.16.59.0Vla n3第1栋第三层172.16.60.1/24172.16.60.0Vla n4(1#)第四层172.16.61.1/24172.16.61.0Vla n5第五层172.16.62.1/24172.16.62.0Vla n6第六层172.16.63.1/24172.16.63.0Vla n7O O O O O OO O O O O OO O O O O OO O O O O Oo o o o o o其它楼层的IP地址及vlan的划分采用相同的方式。具体vlan的配置如

16、下：(1)给VLAN所有的节点分配静态IP地址首先在核心交换机上分别设置各 VLAN的接口 IP地址，如下所示：COM(co nfig)#i nterface vlan 2COM(config-if)#ip address 172.16.58.1 255.255.255.0 /VLAN2 接口 IPCOM(co nfig)#i nterface vlan 3COM(config-if)#ip address 172.16.59.1 255.255.255.0 /VLAN3 接口 IPCOM(co nfig)#i nterface vlan 4COM(config-if)#ip address

17、172.16.60.1 255.255.255.0 /VLAN4 接口 IP再在各接入VLAN的计算机上设置与所属 VLAN的网络地址一致的IP地址，并且把默 认网关设置为该VLAN的接口地址。这样，所有的 VLAN就可以互访了。给VLAN所有的节点分配动态IP地址首先在核心交换机上分别设置各 VLAN的接口 IP地址和DHCP服务器的IP地址，如下所示:COM(config)#interface vlan 2COM(config-if)#ip address 172.16.58.1 255.255.255.0 /VLAN2 接口 IPCOM(config-if)#ip helper-addr

18、ess 172.16.1.11 DHCP Server IPCOM(config)#interface vlan 3COM(config-if)#ip address 172.16.59.1 255.255.255.0 /VLAN3 接口 IPCOM(config-if)#ip helper-address 172.16.1.11 DHCP Server IPCOM(config)#interface vlan 4COM(config-if)#ip address 172.16.60.1 255.255.255.0 /VLAN4 接口 IPCOM(config-if)#ip helper-ad

19、dress 172.16.1.11 DHCP Server IP然后在DHCP服务器上设置网络地址分别为172.16.58.0、172.16.59.0、172.16.60.0的作用域，并将这些作用域的“路由器”选项设置为对应 VLAN的接口 IP地址。这样，就可以保证所有的 VLAN也可以互访了。最后在各接入VLAN的计算机进行网络设置，将IP地址选项设置为自动获得IP地址 方式即可。3.2.7 网络系统冗余冗余技术是计算机系统可靠性设计中常采用的一种技术，是提高计算机系统可靠性的 最有效方法之一。为了达到高可靠性和低失效率相统一的目的，我们通常会在控制系统的 设计和应用中采用冗余技术。合理的

20、冗余设计将大大提高系统的可靠性。1) 电源系统冗余 电源是整个控制系统得以正常工作的动力源泉，一旦电源单元发生故障，往往会使整 个控制系统的工作中断，造成严重后果。要使控制系统能够安全、可靠、长期、稳定地运 行，首先稳定的供电必须得到保证。该系统采用可热插拔的冗余电源，正常工作时，两台 电源各输出一半功率，从而使每一台电源都工作在轻负载状态， 这样有利于电源稳定工作。 当其中一台发生故障，短时之内由另一台接替其工作，并报警。设计为可热插拔的冗余电 源，这样系统维护时可以在不影响系统正常运行的情况下更换发生故障的电源。2) 网络系统冗余采用冗余网卡和冗余网络接口。正常工作时，冗余的两条数据高速通

21、路同时并行运行， 自动分摊网络流量，并考虑了负载均衡的冗余设计，用以提高系统网络通信带宽。当其中 一路故障（网卡损坏或出现线路故障）时，另一路自动地承担全部通信负载，保证通信的 正常进行。本系统预留了一个拓展交换机。3）冷却系统冗余 利用控制柜内可自动切换的冗余风扇，对风扇和机柜内温度进行实时监测，发现工作 风扇故障或柜内温度过高时都会自动报警，并自动启动备用风扇。4） 信息冗余 除了硬件部件的冗余，整个系统也采用了信息冗余技术，这也是提高系统可靠性的一 个重要手段。信息冗余技术是指在通信过程中或存放组态信息（重要信息）时，利用增加 的多余信息位提供检错甚至纠错的能力。该系统中 SBUS 总线

22、采用循环冗余码校验 （CRC） 方法。3.2.8 网络管理 设备必须配合先进的管理和维护方法，才能够发挥最大的作用。所以，我们选择的设 备必须能够支持现有的、 常用的网络管理协议和多种网络管理软件， 便于管理人员的维护。采用网管软件 NMS100 管理交换机，采用 VPN 技术， VPN 可以通过特殊的加密的通 讯协议同连接在 Internet 上的位于不同地方的两个或多个企业内部网之间建立一条专有的 通讯线路，就好比是架设了一条专线一样，但是它并不需要真正的去铺设光缆之类的物理 线路，而是通过 SoftEther 软件来实现。3.2.9 网络安全VPN主要采用隧道技术、加解密技术、密钥管理技

23、术和使用者与设备身份认证技 术，因而可以使用的方法有如下两种： 1）便携网帐号申请开通（校园先锋）租用一批便携网使用帐号（即校园先锋的网卡）上网 , 由校园先锋自行管理分配 帐号。管理员可以根据需要使用便携网的各个部门的情况，成立不同的 VCN域，即不同的工作组， 同一工作组内的成员可以互相通讯。 这种方法既加强了成员之间的联络， 又保证了数据的安全。 同时各个工作组之间的不能互相通讯， 保证了企业内部数据的 安全。2）便携网客户端安装 （宽带我世界）在个人机上安装有 Microsoft Windows 操作系统的计算机上安装便携网络客户 端软件（ CNCMA）X。应用系统尽可能分布在不同的主机上，关闭不必要的端口，减少入侵途径，在当前情