大型公司网拓扑结构及ip地址规划设计论文范文
第一章系统分析???????????????????????????????????? 论文提纲????????????????????????????????????????????6 网络需求分析????????????????????????????????????????6 网络性能需求????????????????????????????????????????7 第二章 企业网络系统集成设计概要???????????????????????? 企业网的设计原则???????????????????????????????????? 企业网的技术特点???????????????????????????????????? 企业网的建设模式???????????????????????????????????? 第三章 逻辑结构设计?????????????????????????????????????? 网络技术选型???????????????????????????????????????? 网络拓扑结构设计???????????????????????????????????? 第四章 网络安全设计?????????????????????????????????????? VLAN 技术及其规划设计?????????????????????????????? vPN 技术???????????????????????????????????????????? 代理服务器的安装与配置?????????????????????????????? 防火墙的安装与配置?????????????????????????????????? 第五章 物理设计与网络设备选型???????????????????????????? 网络物理设计???????????????????????????????????????? 防火墙选型?????????????????????????????????????????? 服务器选型?????????????????????????????????????????? 路由器选型?????????????????????????????????????????? 交换机选型?????????????????????????????????????????? 设备清单表?????????????????????????????????????????? 第六章 综合布线设计方案?????????????????????????????????? 综合设计概述???????????????????????????????????????? 综合布线设计目标???????????????????????????????????? 综合布线设计原则???????????????????????????????????? 工作区子系统???????????????????????????????????????? 水平布线子系统?????????????????????????????????????? 管理子系统?????????????????????????????????????????? 建筑群子系统???????????????????????????????????????? 设备间子系统???????????????????????????????????????? 综合布线设备清单???????????????????????????????????? 本方案的主要目标是根据福临门有限公司的局域网建设需求为背景,以计算机网络技术和综合布线技术以及常用的网络服务器技术为基础,较详细地设计出了该 企业的组网建设的规划和实施方案,以达到目前大多数企业对现代化经营办公的 要求。本论文对该企业的组网需求进行了分析,参考了各种组网技术,从实用角 度论述了分院整体上组网的规划与实现,各种网络设备的选型,以达到企业的设 计要求。关键字: 企业网 VLAN 第一章 系统分析 1.1 论文提纲: 综合布线设计方案1.2 网络需求分析 随着计算机及通讯设备的不断发展,企业的信息化和网络化已经成为一种肯 定的发展趋势。为了满足企业的信息需求,为各类应用系统提供方便快捷的信息 通路,良好的性能。能够支持大容量和各类实施的良好运行。具有较高的安全, 可行性和实用性。网络信息交换效率也是信息时代网络评价的重要指标。降低网 络的冗余,提高网络传输速度,使网络简单化,节约化是网络设计的主要目的。
综合布线系统是一项实践性很强的工程。它是现代社会信息化的必然产物,是多 功能、智能型大楼的必然要求。综合布线系统对基于各种系统资源的大楼总体功 能的发挥并保持各部门长期、高效率的运转发挥着重要的作用。
所谓系统集成,就是通过计算机网络技术,将各个分离的设备(如个人电脑)、 功能和信息等集成到相互关联的、统一和协调的系统之中,使资源达 到充分共 享,实现集中、高效、便利的管理。针对宿舍网用户的具体特点,以组建与规划 两个大方面具体分析章丘校区宿舍网络的建设。通过软件与硬件配置分析宿舍网 络的建设,并对各部分设计进行了详尽的分析,最终达成了一个完整的设计方案。
伴随这激烈的竞争各企业不断改进管理模式,加大了在企业信息化和办公自动化 方面的投入,使得信息网络产业发展迅速。中小企业网络化能够促进产业的发展, 加大工作效率。应用背景需求分析概括了当前网络应用的技术背景,介绍了行业 应用的方向和技术趋势,说明本企业网络信息化的必然性. 应用背景需求分析要 回答一些为什么要实施网络集成的问题. 业务需求分析的目标是明确企业的业 务类型,应用系统软件种类,以及它们对网络功能指标(如带宽,服务质量 QoS)的 要求.业务需求是企业建网中首要的环节,是进行网络规划与设计的基本依据。, 建立企业内部的局域网并与 Internet 网相连接,这一网络化建设,是实现企业 信息化管理和资源大规模共享的发展方向,信息技术作为新技术革命的核心.不 仅具有高增值性、成为最具经济活力的经济增长点,而且具有高渗透性,以极强的 亲和力和扩散速度向经济各部门渗透,使其结构和效益发生根本性改变。信息化 已成为当代经济发展与社会进步的巨大推力,尤其是作为国民经济信息化基础的 企业信息化,当前更显得尤为重要,信息化建设已成为企业发展的必由之路。信 息化是企业加快实现现代化的必然选择 汇聚层设计为连接本地的逻辑中心,仍需要较高的性能和比较丰富的功能。汇聚 层的设计中主要考虑的是网络性能和功能性要高。接入层,我们在接入层设计上 主张使用性能价格比高的设备。接入层是最终用户与网络的接口,它应该提供即 插即用的特性,同时应该非常易于使用和维护 该公司可分为两个区域:行政楼,员工宿舍。行政楼需求比较大,速度快,安全 性要求高,可多设几个信息点,使用双绞线.每个房间根据大小、人员以及未来 扩展性,设置2-6 个信息点。部分用户(总工、副总、部门负责人)需同时使用 PDM 独立网络和厂局域网,通过设置两台独立机器或增加网卡方式根据办公需要 使用相应的网络解决;员工宿舍为一般用户,用户量多,对网速不做特别要求, 可使用单模光钎。
公司的平面结构如下图 行政楼 销售部操场 公园 食堂 研发部 湖泊 图1.1 公司平面图 1.2 信息点的分布 根据公司的实际建筑图和各层的具体用途, 信息点个数。按照规定每 5-10 平米就应该分配一个信息点。所以小型办公室分 个信息点,大型的会议厅分配4个信息点。
给该公司分配的信息点个数如下: 信息 一楼二楼 三楼 四楼 无线接入 接入设汇聚层 楼宇备数量 点数销售部 40 18 40宿舍楼 16 16 16 48行政楼 20 20 20 20 80总和 168 1.3 网络性能需求: 经济性 实用性 稳定行 安全性 可扩展性 第二章 企业网络系统集成概要 2.1 企业网的设计原则 一般来说,在工程设计前对主要设计原则进行选择和平衡,并排在其他设计方案 中的优先级,对网络工程的设计和规划具有指导意义。网络建设原则要体现对用 户网络技术和服务上的全面支持。这些原则应该以用户为中心,包括下面几个方 可靠性原则具有容错功能,管理、维护方便。对网络的设计、选型、安装和调试等各个环节进行统一的规划和分析,确保系统运行可靠,需从设备本身 和网络拓扑两方面考虑。
可扩展性原则为了保证用户的已有投资以及用户不断增长的业务需求,网络和布线系统必须具有灵活的结构,并留有合理的扩充余地,既能满足用户数量的 扩展,又能满足因技术发展需要而实现低成本的扩展和升级的需求。需从设备性 能、可升级的能力和IP 地址、路由协议规划等方面考虑。
可运营性原则仅仅提供IP级别的连通是远远不够的,网络还应能够提供丰富 的业务,足够健壮的安全级别,对关键业务的QoS 保证。搭建网络的目的是真正 能够给用户带来效益。
可管理原则提供灵活的网络管理平台,利用一个平台实现对系统中各种类型的设备进行统一管理;提供网管对设备进行拓扑管理、配置备份、软件升级、实 时监控网络中的流量及异常情况。
2.2 企业网的技术特点 1、网络的稳定性和可用性。在企业信息化应用越来越多的情况下,网络需要保 证各种系统的7*24 不间断运转。
2、网络安全。网络攻击和病毒传播会给信息化应用系统的正常使用带来很多隐 患。另外,数据的完整保存和不泄密,是保护企业隐私和技术机密的重要保证 。3、网络是否易管理?企业的网络管理人员数量少,且技术水平相对较低,如 何让网络管理员轻松管理和维护网络,尽量减少因网络中断或故障带来的损失, 是企业关注的问题。
4、可扩展性。当前建设的网络,在几年后能否可以继续使用,能否平滑升级, 保护已有投资。
2.3 企业网的建设模式 理想的集成项目结构中,企业应当从项目参与者的角色便成为项目的监督和管理 者,利用结构上的制衡来实现对项目的控制。在结构中增加了设计和监理角色。
各个角色的工作一目了然, 设计角色的大部分工作可以由集成商来担当,企业无需担当“相马”的伯乐,只 要采用“赛马”的方
引入工程监理制度,企业可委托专业的第三方监理机构,对工程的全过程,包括 工程的合同、质量、进度、资金进行有效的控制和监督管理,使工程建设全过程 处于严格的监控之下,以降低工程建设风险,控制建设经费,保证工程进度和质 量。对一个信息化建设项目而言,监理工作开展的时机越早,越有利于分析和总 结企业信息化的关键要素,越有利于纠正前期规划的不足,越有利于建立标准化、 规范化的项目管理体制,从而确保项目建设的顺利进行。
第三章 逻辑结构设计 3.1 网络技术选型 在技术选型上,要考虑所采用的技术是否稳定、扩展性是否较好、跨平台的性能 等等。在软件选型的时候,不仅要考虑软件的功能,也要考虑其所采用的技术。
智能化企业的核心是智能化企业网络的建设,通过企业网络,企业管理员不但可 以对企业进行现代化的物业管理,还可以为企业用户提供一些增值服务,比如高 Internet访问、网上社区、网上超市、网络图书馆、远程医疗、网上学校、 股票网上实时交易和视频点播等企业服务。
智能化企业网络属于园区网络,与传统园区网络相比最大不同点是,智能化 企业网络是一个公用的运营网络,其设计应包括以下5 个方面: 企业网络控制中心的设计,包括宽带 Internet 接入方式、网管技术选择和核心交换路由设备 的选择等; 2.基础物理传输网络设计,包括物理线路和传输协议等; 3.网络逻辑 设计,包括路由服务和网络流量控制等; 4.网络运营管理平台设计,包括基于用 户的认证、计费、网络安全和服务质量等; 5.Internet 服务网络平台设计,包 括防火墙、WebCache 和服务器负载均衡等。
除了企业网络控制中心的建立之外,智能化企业网络的建设重点就是物理网 络传输技术即企业用户接入技术的选择,目前主要有4 种接入技术:以太网技术、 无线局域网技术、有线电视网数据传输技术和数字电话线路传输技术。智能化企 业网络的建设是围绕着企业用户接入方式这一核心开展的,根据本公司的实际情 况考虑,宜使用以太网技术。
用以太网技术建设的智能化社区网络,实际上就是建设智能化企业以太园区网。
具体方法是,在每个房间添加 RJ45 接口信息插座作为接入网络的接口,可提供 10/100Mbps 自适应的网络连接速率。
由于采用的以太网技术较为成熟,因此基础网络设计方案和技术实现比较简 单,主要包括2 方面:即企业内网络结构化布线和以太网设计与实现。企业内网 络结构化布线通常采用光纤到楼、双绞线到户的方案,即楼宇之间采用光纤形成 网络骨干线路,在单栋建筑物内采用五类双绞线到每户。以太网设计与实现包括 网络管理控制中心和企业楼内子网的设计与实现。网络管理控制中心一般采用核 心级骨干交换机,企业子网一般采用工作组级交换机。
3.2 网络拓扑结构设计 计算机网络的拓扑结构是指网络中各个站点相互连接的形式,在局域网中明 确一点讲就是文件服务器、工作站和电缆等的连接形式,把网络中的计算机和通 信设备抽象为一个点,把传输介质抽象为一条线。网络的拓扑结构反映出网中个 实体的结构关系,是建设计算机网络的第一步,是实现各种网络协议的基础,它 对网络的性能,系统的可靠性与通信费用都有重大影响。大型网络的设计是把整 个计算机网络划分为核心层、汇聚层、接入层。网络的层次化设计具有以下优点。
结构简单:通过网络分成许多小单元,降低了网络的整体复杂性,使故障排除或扩展更容易,能隔离广播风暴的传播、防止路由循环等潜在问题。
升级灵活:网络容易升级到最新的技术,升级任意层的网络不会对其他层造成影响,无需改变整个网络环境。( 易于管理:层次结构降低了设备配置的复杂性,使网络更容易管理。通常将网络中直接面向用户连接或访问网络的部分称为接入层。接入层目的是允许终端 用户连接到网络,提供了带宽共享、交换带宽、MAC 层过滤和网段划分等功能。
接入层交换机具有低成本和高端口密度特点,考虑采用可网管、可堆叠的接入级 交换机。交换机的高速端口用于上连高速率的汇聚层交换机,普通端口直接与用 户计算机相连,以有效地缓解网络骨干的瓶颈。位于接入层和核心层之间的部分 称为分布层或汇聚层。汇聚层交换层是多台接入层交换机的汇聚点,它必须能够 处理来自接入层设备的所有通信量,并提供到核心层的上行链路,因此汇聚层交 换机与接入层交换机比较,需要更高的性能、更少的接口和更高的交换速率。汇 聚层的设计要满足核心层、汇聚层交换机和服务器集合环境对千兆端口密度、可 扩展性、高可用性以及多层交换的不断增长的需求,支持大用户量、多媒体信息 传输等应用。网络主干部分称为核心层。核心层的主要目的在于通过高速转发通 信,提供可靠的骨干传输结构,因此核心层交换机应拥有更高的可靠性,更快速 率的链路连接技术,并且能快速适应网络的变化。性能和吞吐量应根据不同层次 用不同的要求设计网络,并且使用冗余组件来设计,在与汇聚层交换机相连时要 考虑采用建立在生成树基础上的多链路冗余连接,以保证与核心层交换机之间存 在备份连接和负载均衡,完成高带宽、大容量网络层路由交换功能。
图3.2 公司网络拓扑图 第三章 网络安全设计 4.1VLAN 技术及规划设计 VLAN(虚拟局域网)是对连接到的第二层交换机端口的网络用户的逻辑分段, 不受网络用户的物理位置限制而根据用户需求进行网络分段。是一种通过将局 域网内的设备逻辑地而不是物理地划分成一个个网段从而实现虚拟工作组的 新兴技术。VLAN 是为解决以太网的广播问题和安全性而提出的一种协议,它在 以太网帧的基础上增加了VLAN 头,用VLAN ID 把用户划分为更小的工作组, 限制不同工作组间的用户二层互访,每个工作组就是一个虚拟局域网。虚拟局 域网的好处是可以限制广播范围,并能够形成虚拟工作组,动态管理网络。虽 然VLAN 所连接的设备来自不同的网段,但是相互之间可以进行直接通信,好 像处于同一网段中一样,由此得名虚拟局域网。相比较传统的局域网布局,VLAN 技术更加灵.活。一个VLAN 可以在一个交换机或者跨交换机实现。域网vlan 主要特点:便于管理,便于错误排除,便于流量控制VLAN 可以根据网络用户 的位置、作用、部门或者根据网络用户所使用的应用程序和协议来进行分组。
基于交换机的虚拟局域网能够为局域网解决冲突域、广播域、带宽问题。传统 的共享介质的以太网和交换式的以太网中,所有的用户在同一个广播域中,会 引起网络性能的下降,浪费可贵的带宽;而且对广播风暴的控制和网络安全只 能在第三层的路由器上实现,VLAN 能够将广播风暴控制在一个VLAN 内部,划 分VLAN 后,由于广播域的缩小,网络中广播包消耗带宽所占的比例大大降低, 网络的性能得到显著的提高。不同的VLAN 之间的数据传输是通过第三层(网 络层)的路由来实现的,因此使用VLAN 技术,结合数据链路层和网络层的交 换设备可搭建安全可靠的网络。网络管理员通过控制交换机的每一个端口来控 制网络用户对网络资源的访问,同时VLAN 和第三层第四层的交换结合使用能 够为网络提供较好的安全措施。另外,VLAN 具有灵活性和可扩张性等特点,方 便于网络维护和管理,这两个特点正是现代局域网设计必须实现的两个基本目 标,在局域网中有效利用虚拟局域网技术能够提高网络运行效率。
对于不同的应用子网,我们在交换机上通常会划到不同的中进行隔离。那么采 用VLAN 技术究竟有什么样的优点呢? 控制网络上的广播风暴,某些应用程序在发起连接的时候会采用广播的方式。客户端较少(几台到10 几台设备)时可以忽略这个问题。
但是当客户端较多(有上百台设备)时,这种广播流量对网络带宽的影 响就不可以忽略不计。假设所有设备都在一个vlan 备发出一个广播报文,当这个报文到达交换机以后会被交换机复制到除接收该报文的接口外的其余所有接口。如果本来就只应该有一台设备对 该广播报文进行处理和回复,那么其余设备接收到该广播报文就是多余 的,换句话说就是浪费了其余设备带宽。为了控制网络中由于应用程序 本身或者其余某些不可控因素产生的大量广播报文,我们应该将不同的 子系统划分到不同的vlan 中。在划分vlan 之后,我们就能够很好的保 证一个vlan 中的广播不会送到该vlan 外,这样就减少广播流量,释放 更多的带宽给用户应用。但是划分的时候有一点我们需要特别注意:由 于划分vlan 之后,不同vlan 中的设备在2 层是没有办法直接通信的。
需要通过3 层路由的方式才能实现彼此的互通。而路由接口是绝对不会 转发广播报文的。因此对于那些彼此之间必须通过广播方式建立连接进 而实现通信的应用程序,那么他们各自所属的设备应该是划在一个 vlan 当中。
降低环路造成的危害。我们知道交换机在进行2层转发的时候是通 过查找MAC 地址表来实现的。因此MAC 表的正确与否直接关系到数据能 否正确的转发到目的地。而环路会造成交换机MAC 地址表学习错误。这 样直接造成的后果就是交换机上整个数据转发出现问题,与交换机直连 的所有设备之间的通信都会中断。后果极其严重。划分vlan 之后,环 路造成影响的范围会缩小到vlan 之内。某一vlan 内部形成环路只会造 成该vlan 内部设备间的通信出现问题而不会影响到其余vlan。因而我 们建议将各个子系统划分到不同的vlan之中并且再在各个vlan内部的 端口上启用环路检测功能(或生成树协议),这样就在最大限度上缩小 了环路造成的危害。
增加网络的安全性。因为一个VLAN就是一个单独的广播域,VLAN 之间相互隔 离,这大大提高了网络的利用率,确保了网络的安全保密性。人们在 LAN 上经常传送一些保密的、关键性的数据。保密的数据应提供访问控 制等安全手段。一个有效和容易实现的方法是将网络分段成几个不同的 广播组,网络管理员限VLAN 中用户的数量,禁止未经允许的用户访问 VLAN 中的应用。交换机上的端口可以基于应用类型和访问特权来进行 分组,被限制的应用程序和资源一般置于安全性较高的VLAN Vlan的划分规则如下,对于行政楼来说,由于每一层的管理的功能不 同,所以给每一层划分为一个vlan,其中每层有信息点20 个,考虑到 扩展性,所以最少要分配6 位主机位。所以得出以下的VLAN 划分方案: vlan 子网号 掩码 主机地址范围 分配区域 同一部门在不同物理网段的结点可被设为同一逻辑子网,实现与物理位 置的无关性。对于网络中心,财务部门等要害部门可采用基于传统的 MAC 地址的VLAN 划分技术,以防止非授权结点在该子网中的出现。对 于员工宿舍物理子网比较多,难以有效管理的地方可采用混合策略,如 在同一端口细分不同的逻辑虚拟子网或基于MAC 地址划分子网,以尽量 减少IP 地址盗用和其它安全问题。
4.2 VPN 技术 VPN 即虚拟专用网,是通过一个公用网络(通常是因特网)建立一个临时的安 全的连接,是一条穿过混乱的公用网络的安全、稳定的隧道。通常,VPN 企业内部网的扩展,通过它可以帮助远程用户、公司分支机构、商业伙伴及供应商同公司的内部网建立可信的安全连接,并保证数据的安全传输。VPN 可用 于不断增长的移动用户的全球因特网接入,以实现安全连接;可用于实现企业 网站之间安全通信的虚拟专用线路,用于经济有效地连接到商业伙伴和用户的 安全外联网虚拟专用网。VPN 架构中采用了多种安全机制,如隧道技术 Tunneling)、加解密技术( Encryption )、密钥管理技术、身份认 证技术( Authentication )等,通过上述的各项网络安全技术,确保资 料在公众网络中不被窃取,或是即使被窃取了,对方亦无法读取数据包内 所传送的资料。是一种“基于公共数据网,给用户一种直接连接到私人局 域网感觉的服务”。VPN 极大地降低了用户的费用,而且提供了比传统方 法更强的安全性和可行性。VPN 可分为三大类:(1)企业各部门与远程分 支之间的 Intranet VPN;(2)企业网与远程(移动)雇员之间的远程访 问(Remote Access)VPN;(3)企业与合作伙伴、客户、供应商之间的 Extranet VPN 功能 由于采用了“虚拟专用网”技术,即用户实际上并不存在一个独立专用的 192.168.252.64255.255.255.192 192.168.252.65~192.168.252.127 行政楼1 192.168.252.128255.255.255.192 192.168.252.129~192.168.252.191 行政楼2 192.168.252.192255.255.255.192 192.168.252.193~192.168.252.254 行政楼3 192.168.253.0255.255.255.192 192.168.253.1~192.168.253.63 行政楼4 192.168.253.64255.255.255.192 192.168.253.65~192.168.253.127 宿舍1 192.168.253.128255.255.255.192 192.168.253.129~192.168.253.191 宿舍2 192.168.253.192255.255.255.192 192.168.253.193~192.168.253.254 销售部1 192.168.254.0255.255.255.192 192.168.254.1~192.168.254.63 销售部2 网络,用户既不需要建设或租用专线,也不需要装备专用的设备,就能组成一个属于用户自己专用的电信网络。
虚拟专用网是利用公用电信网组 建起来的功能性网络。不同类型的公用网络,通过网络内部的软件控制就 可以组建不同种类的虚拟专用网。VPN 的要求 VPN 提供用户一种私人专用 (Private)的感觉,因此建立在不安全、不可信任的公共数据网的首要任务 是解决安全性问题。VPN 的安全性可通过隧道技术、加密和认证技术得到解决。
在Intranet VPN 中,要有高强度的加密技术来保护敏感信息;在远程访问VPN 中要有对远程用户可*的认证机制。
性能 VPN 要发展其性能至少不应该低于传统方法。尽管网络速度不断提高,但在 Internet 时代,随着电子商务活动的激增,网络拥塞经常发生,这给VPN 能的稳定带来极大的影响。因此VPN解决方案应能够让管理员进行通信控制来 确保其性能。通过VPN 平台,管理员定义管理政策来激活基于重要性的出入口 带宽分配。这样既能确保对数据丢失有严格要求和高优先级应用的性能,又不 会“饿死”,低优先级的应用。
管理问题 由于网络设施、应用不断增加,网络用户所需的IP 地址数量持续增长,对越 来越复杂的网络管理,网络安全处理能力的大小是VPN 解决方案好坏的至关紧 要的区分。VPN 是公司对外的延伸,因此VPN 要有一个固定管理方案以减轻管 理、报告等方面负担。管理平台要有一个定义安全政策的简单方法,将安全政 策进行分布,并管理大量设备间。
解决方案 针对不同的用户要求,VPN 有三种解决方案:远程访问虚拟网(Access VPN)、 企业内部虚拟网(Intranet VPN)和企业扩展虚拟网(Extranet VPN),这三种 类型的VPN 分别与传统的远程访问网络、企业内部的Intranet 以及企业网和相 关合作伙伴的企业网所构成的Extranet(外部扩展)相对应。
对于很多IPSec VPN 用户来说,IPSec VPN 的解决方案的高成本和复杂的结构是 很头疼的。存在如下事实:在部署和使用软硬件客户端的时候,需要大量的评价、 部署、培训、升级和支持,对于用户来说,这些无论是在经济上和技术上都是个 很大的负担,将远程解决方案和昂贵的内部应用相集成,对任何 专业人员来说都是严峻的挑战。由于受到以上IPSec VPN 的限制,大量的企业都认为IPSec VPN 是一个成本高、复杂程度高,甚至是一个无法实施的方案。为了保持竞争力, 消除企业内部信息孤岛,很多公司需要在与企业相关的不同的组织和个人之间传 递信息,所以很多公司需要找一种实施简便,不需改变现有网络结构,运营成本 低的解决方案。
4.3 代理服务器的安装与配置 基本概念代理服务器(Proxy Server)是一种重要的安全功能,它的工作主要在开放 系统互联(OSI)模型的对话层,从而起到防火墙的作用。代理服务器大多被用来 连接INTERNET(国际互联网)和INTRANET(局域网)。
局域网内没有与外网相连的机器必须通过内网服务器连接到外网。为获得更大的 速度,通过带宽较大的代理服务器与目标主机连接,同时,也能与同一地区不同 的网络相连接,在一般情况下,我们使用网络浏览器直接去连接其他 Internet 站点取得网络信息时,是直接联系到目的站点服务器,然后由目 的站点服务器把信息传送回来。
代理服务器是介于客户端和 Web 服务器之间的另一台服务器,有了它之后, 浏览器不是直接到 Web 服务器去取回网页而是向代理服务器发出请求,信 号会先送到代理服务器,由代理服务器来取回浏览器所需要的信息并传送 给你的浏览器。
4.1代理服务器的作用 在网址框中输入您要访问的网站地址,点击代理浏览便会打开新的窗口链 接代理服务器,等待几秒即可,如果此时出现无法链接服务器等错误,请 在上面尝试选择其它的服务器,因为代理服务器对资源的消耗比较大,并 且存在时效性,因此有时候无法打开,必须多次尝试代理服务器。每天自 动更新最新可用服务器。
大部分代理服务器都具有缓冲的功能,就好像一个大的Cache,它有很大的存储 空间,它不断将新取得数据储存到它本机的存储器上,如果浏览器所请求的数据 在它本机的存储器上已经存在而且是最新的,那么它就不重新从Web 服务器取数 据,而直接将存储器上的数据传送给用户的浏览器,这样就能显著提高浏览速度 和效率。
更重要的是:代理服务器是 Internet 链路级网关(Gateway)所提供的一种重要 的安全功能,它的工作主要在开放系统互联 (OSI) 模型的对话层,从而起到防 火墙的作用。
代理服务器的功能(1)设置用户验证和记账功能,可按用户进行记账,没有登记的用户无权 通过代理服务器访问 Internet 网。并对用户的访问时间、访问地点、信息 流量进行统计。
(2)对用户进行分级管理,设置不同用户的访问权限,对外界或内部的 Internet 地址进行过滤,设置不同的访问权限。
(3)增加缓冲器(Cache),提高访问速度,对经常访问的地址创建缓冲 区,大大提高热门站点的访问效率。通常代理服务器都设置一个较大的硬 盘缓冲区(可能高达几个 GB 或更大),当有外界的信息通过时,同时也将其 保存到缓冲区中,当其他用户再访问相同的信息时,则直接由缓冲区中取 出信息,传给用户,以提高访问速度。
(4)连接内网与 Internet,充当防火墙(Firewall):因为所有内部网的用户通过 代理服务器访问外界时,只映射为一个 IP 地址,所以外界不能直接访问到内部 网;同时可以设置IP 地址过滤,限制内部网对外部的访问权限。
(5)节省IP 开销:代理服务器允许使用大量的伪IP 地址,节约网上资源,即用代 理服务器可以减少对 IP 地址的需求,对于使用局域网方式接入 Internet 果为局域网(LAN)内的每一个用户都申请一个IP地址,其费用可想而知。但使用 代理服务器后,只需代理服务器上有一个合法的 IP 地址,LAN 内其他用户可以 使用 10.*.*.*这样的私有 IP 地址,这样可以节约大量的 IP,降低网络的维 护成本。
4.4 防火墙的基本知识与配置 定义防火墙是一个或一组系统,它在网络之间执行访问控制策略。实防火墙的实际方 式各不相同,但是在原则上,防火墙可以被认为是这样一对机制:一种机制是拦 阻传输流通行,另一种机制是允许传输流通过。一些防火墙偏重拦阻传输流的通 行,而另一些防火墙则偏重允许传输流通过。了解有关防火墙的最重要的概念可 能就是它实现了一种访问控制策略。如果你不太清楚你需要允许或否决那类访 问,你可以让其他人或某些产品根据他们认为应当做的事来配置防火墙,然后他 (它)们会为你的机构全面地制定访问策略。防火墙是一项协助确保信息安全的 设备,会依照特定的规则,允许或是限制传输的数据通过。防火墙可以是一台专 属的硬件也可以是架设在一般硬件上的一套软件。
重要性同其它任何社会一样,Internet 也受到某些无聊之人的困扰,这些人喜爱在网 上做这类的事,像在现实中向其他人的墙上喷染涂鸦、将他人的邮箱推倒或者坐 在大街上按汽车喇叭一样。一些人试图通过 Internet 完成一些真正的工作,而 另一些人则拥有敏感或专有数据需要保护。一般来说,防火墙的目是将那些无聊 之人挡在你的网络之外,同时使你仍可以完成工作。
许多传统风格的企业和数据中心都制定了计算安全策略和必须遵守的惯例。
在一家公司的安全策略规定数据必须被保护的情况下,防火墙更显得十分重要, 因为它是这家企业安全策略的具体体现。如果你的公司是一家大企业,连接到 Int-ernet 上的最难做的工作经常不是费用或所需做的工作,而是让管理层信服 上网是安全的。防火墙不仅提供了真正的安全性,而且还起到了为管理层盖上一 条安全的毯子的重要作用。
最后,防火墙可以发挥你的企业驻 Internet“大使”的作用。许多企业利 用其防火墙系统作为保存有关企业产品和服务的公开信息、下载文件、错误修补 以及其它一些文件的场所。这些系统当中的几种系统已经成为 Internet 服务结 构(如UUnet.uu.net、 whitehouse.gov、gatekeeper.dec.com)的重要组成部 分,并且给这些机构的赞助者带来了良好的影响。
作用防火墙最基本的功能就是控制在计算机网络中,不同信任程度区域间传送 的数据流。例如互联网是不可信任的区域,而内部网络是高度信任的区域。
以避免安全策略中禁止的一些通信,与建筑中的防火墙功能相似。它有控 制信息基本的任务在不同信任的区域。
典型信任的区域包括互联网(一个 没有信任的区域) 和一个内部网络(一个高信任的区域) 最终目标是提供受控连通性在不同水平的信任区域通过安全政策的运行和连通性模型之 间根据最少特权原则。
防火墙具有很好的保护作用。入侵者必须首先穿越防火墙的安全防线,才 能接触目标计算机。你可以将防火墙配置成许多不同保护级别。高级别的 保护可能会禁止一些服务,如视频流等,但至少这是你自己的保护选择。
一些防火墙只允许电子邮件通过,因而保护了网络免受除对电子邮件服务攻击之 外的任何攻击。另一些防火墙提供不太严格的保护措施,并且拦阻一些众所周知 存在问题的服务。
一般来说,防火墙在配置上是防止来自“外部”世界未经授权的交互式登录 的。这大大有助于防止破坏者登录到你网络中的计算机上。一些设计更为精巧的 防火墙可以防止来自外部的传输流进入内部,但又允许内部的用户可以自由地与 外部通信。如果你切断防火墙的话,它可以保护你免受网络上任何类型的攻击。
防火墙的另一个非常重要的特性是可以提供一个单独的“拦阻点”,在“拦 阻点”上设置安全和审计检查。与计算机系统正受到某些人利用调制解调器拨入 攻击的情况不同,防火墙可以发挥一种有效的“电话监听”(Phonetap)和跟踪 工具的作用。防火墙提供了一种重要的记录和审计功能;它们经常可以向管理员 提供一些情况概要,提供有关通过防火墙的传流输的类型和数量以及有多少次试 图闯入防火墙的企图等等信息。
设计策略在负责防火墙的设计、制定工程计划以及实施或监督安装的幸运儿面前,有许多 基本设计问题等着他去解决。
首先,最重要的问题是,它应体现你的公司或机构打算如何运行这个系统的 策略:安装后的防火墙是为了明确地拒绝除对于连接到网络至关重的服务之外的 所有服务,或者,安装就绪的防火墙是为以非威胁方式对“鱼贯而入”的访问 ("queuing"access)提供一种计量和审计的方法。在这些选择中存在着某种程 度的偏执狂;防火墙的最终功能可能将是行政上的结果,而非工程上的决策。
第二个问题是:你需要何种程度的监视、冗余度以及控制水平?通过解决第 一个问题,确定了可接受的风险水平(例如你的偏执到何种程度)后,你可以列 出一个必须监测什么传输、必须允许什么传输流通行以及应当拒绝什么传输的清 单。换句话说,你开始时先列出你的总体目标,然后把需求分析与风险评估结合 在一起,挑出与风险始终对立的需求,加入到计划完成的工作的清单中。
第三个问题是财务上的问题。在此,我们只能以模糊的表达方式论述这个问 题,但是,试图以购买或实施解决方案的费用多少来量化提出的解决方案十分重 要。例如,一个完整的防火墙的高端产品可能价值 10 万美元,而低端产品可能 是免费的。像在Cisco 或类似的路由器上做一些奇妙的配置这类免费选择不会花 你一分钱,只需要工作人员的时间和几杯咖啡。从头建立一个高端防火墙可能需 要几个人工月,它可能等于价值3 万美元的工作人员工资和利润。系统管理开销 也是需要考虑的问题。建立自行开发的防火墙固然很好,但重要的是使建立的防 火墙不需要费用高昂的不断干预。换句话说,在评估防火墙时, 重要的是不仅要以防火墙目前的费用来评估它,而且要考虑到像支持服务这类后 续费用需要做出的决定是,是否将暴露的简易机放置在外部网络上为 telnet、 ftp、news 等运行代理服务,或是否设置像过滤器这样的屏蔽路由器,允许与一 台或多台内部计算机的通信。这两种方式都存在着优缺点,代理机可以提供更高 水平的审计和潜在的安全性,但代价是配置费用的增加,以及可能提供的服务水 平的降低(由于代理机需要针对每种需要的服务进行开发)。由来以久的易使性 与安全性之间的平衡问题再次死死地困扰着我们。
基本类型在概念上,有两种类型的防火墙: 1.网络级防火墙:网络级防火墙一般根据源、目的地址做出决策,输入单个的 IP 包。一台简单的路由器是“传统的”网络级防火墙,因为它不能做出复杂的 决策,不能判断出一个包的实际含意或包的实际出处。现代网络级防火墙已变 得越来越复杂,可以保持流经它的接入状态、一些数据流的内容等等有关信息。
许多网络级防火墙之间的一个重要差别是防火墙可以使传输流直接通过,因此 要使用这样的防火墙通常需要分配有效的IP 地址块。网络级防火墙一般速度都 很快,对用户很透明。
2、应用级防火墙:应用级防火墙一般是运行代理服务器的主机,它不允许 传输流在网络之间直接传输,并对通过它的传输流进行记录和审计。由于代理 应用程序是运行在防火墙上的软件部件,因此它处于实施记录和访问控制的理 想位置。应用级防火墙可以被用作网络地址翻译器,因为传输流通过有效地屏 蔽掉起始接入原址的应用程序后,从一“面”进来,从另一面出去。在某些情 况下,设置了应用级防火墙后,可能会对性能造成影响,会使防火墙不太透明。
早期的应用级防火墙,如那些利用 TIS 防火墙工具包构造的防火墙,对于最终 用户不很透明,并需要对用户进行培训。应用级防火墙一般会提供更详尽的审 计报告,比网络级防火墙实施更保守的安全模型。
第五章 网络物理设计与设计选型 5.1 网络物理设计 行政楼的平面图会议室 其中右上角较大的为会议室,下面的两个T 型房间为厕所,厕所旁边的方型房间 为设备间,其他的均为办公室。该行政楼共有四楼,办公室的位置不变,第一楼 会议室的位置为仓库,第二楼为接待室,第三楼为会议室,第四楼为多媒体教学 研究实验室。办公室第一楼为市场部,第二楼为人力部,第三楼为行政办公室。
第四楼为财务部。
员工宿舍平面图其中一共有三楼,设备间设在第三楼左边的楼梯间处,分别经房顶或墙角接入每 个房间。
防火墙选型 服务器选型 路由器选型 交换机选型 核心层交换机选型 2.8.2 汇聚层交换机选型 接入层交换机选型 行政楼用交换机 宿舍用交换机 设备清单表 第六章 综合布线设计方案 6.1 综合布线概述 综合布线系统就是为了顺应发展需求而特别设计的一套布线系统。对于现代化的 大楼来说,就如体内的神经,它采用了一系列高质量的标准材料,以模块化的组 合方式,把语音、数据、图像和部分控制信号系统用统一的传输媒介进行综合, 经过统一的规划设计,综合在一套标准的布线系统中,将现代建筑的三大子系统 有机地连接起来,为现代建筑的系统集成提供了物理介质。可以说结构化布线系 统的成功与否直接关系到现代化的大楼的成败,选择一套高品质的综合布线系统 是至关重要的。
现代科技的进步使计算机及网络技术飞速发展,提供越来越强大的计算机
大型公司网拓扑结构及ip地址规划设计论文范文
中原工学院信息商务学院
网络规划与设计综合
专 业: 网络工程 班 级: 网络121班 学 号: 201201024111 学生姓名: 胡 玄 指导教师: 王淑娟
2015 年 6 月 7 日
摘要 ........................................................................ 1
第一章 案例背景 ............................................................. 2
第二章 需求分析 ............................................................. 3
2.1建设目标 ............................................................. 3
2.2设计原理 ............................................................. 3
第三章 逻辑设计 ............................................................. 5
3.1网络拓扑结构的设计 ................................................... 5
3.2核心层 ............................................................... 6
3.3汇聚层 ............................................................... 6
3.4接入层 ............................................................... 7
3.5主要网络设备配置 ..................................................... 7
第四章 IP地址和路由规划 .................................................... 9
4.1IP地址分配总则 ....................................................... 9
4.2.内部私网IP地址的分配 ................................................ 9
第五章 无线网络设计 ....................................................... 11
5.1 总体建设目标 ........................................................ 11
5.2 具体实施目标 ........................................................ 11
第六章 安全 ................................................................ 12
6.1网络安全层次模型 .................................................... 12
6.2设计原则 ............................................................ 12
6.3 防火墙 .............................................................. 13
第七章 服务器设计 ........................................................ 14
【】.................................................................... 15 1
摘要
随着信息技术的飞速发展,我国教育化行业的信息化建设更加深入的展开。教育信息化基本特点是数字化、网络化、智能化和多媒体化主要基础设施是学校的校园网和一些区域性的教育信息网络和数据中心校园网已经成为各大高校重要的基础设施之一,是创办全国一流高校必不可少的物质条件.所以创建校园网是重中之重。
校园网要在性能上保障对于数据、图形、图像、语言和视频等信息都有很好的传输效果,使得教学、科研、学术交流及信息管理的功能网络应用能够高效的运行。校园网的建设是一个系统工程,需要大量的资金。从另一方面讲,设备的品牌档次不同以及网络性能要求不同,资金的差别可能会很大。因此,在资金有限的情况下,组建校园网,可考虑在保证网站性能的前提下,降低设备品牌档次货采取分布实施的办法。
[关键字] 信息技术、网络化、高效、经济可行性
1
第一章 案例背景
某大学有师生一万人,未来几年还有扩招和并购其他学校的意向。学校分为A、B、C、D四个系别,网络中心到各系300米,AB之间100米,BC之间100米, CD之间100米, DE之间100米,各个系楼高5层,有职工30人,教师办公室10人间有4间,主任办公室2间,多功能会议室4间(100平方米2间,200平方2间,要求有无线覆盖),教室有若干间。三栋教学楼,分别是教学楼1、教学楼2和教学楼3,教学楼1、2、3各5层,每层各有教室10间;实验楼有3层,非计算机实验室15间。该校园内还有图书馆,书馆与网络中心距离100米,图书馆要求有有线接口和无线覆盖;网络管理中心,网络中心与教学区距离500米,网络中心与宿舍区距离600-800米;实验楼和计算机机房,计算机机房有5层,每层有机房10间,每间60台计算机。,另外在住宿区还有宿舍楼有10栋。该大学行政区的建筑物位五层建筑物,第一层是教师办公室,第二层是主任办公室和两间100平米的会议室,第三层是两个多功能会议室,第四、五层是教室。
科学技术的进步,尤其是信息技术的高速发展,使得计算机技术和通信技术已成为信息技术的主体。计算机网络正是这两种技术相结合的产物,在信息技术的带动下,计算机网络发展的非常迅速,已经成为信息科学的一个新的分支。
随着计算机网络的发展,特别是INTERNET的日益普及,“校园网”就随着全国各高等院校计算机网络的建设而引起了人们的广泛关注。
随着校园网建设的快速发展,学校对网络的依赖性越来越强,同时,网络应用也是日新月异。这就给校园网建设提出了网络的安全和可运行性提出了新的要求。现在校园网络维护的建设已成为现代教育机构的必然选择。从类型来看,校园网大都属于中小型系统,以园区局域网为主。但是它的网络结构和性能要求却有一定的特殊性,为此,相应的网络维护和网络测试方法应有一些特别的考虑。
2
第二章 需求分析
网络的建设以应用为其最根本的目标。任何一个网络规划,都应以明确的网络应用为基本依据。拟建覆盖全校(或分校、学院)的校园网,包括局域网 和接入网,能支持办公自动化、信息管理、科研与教学工作,能接入CERNET,电信等多出口与INTERNET 相联。总体规划,分段实施。
2.1建设目标
1、 利用校园网实现学校管理信息化
校园网可以实现德育、教学、人事、校务、教务、财务管理网络化。学校办公管理的网络化,必然对学校的现代化和信息化起到巨大的推动作用,为学校的办公提供简单、高效、便捷的理想环境,是学校管理数字化的基础。
2、 利用校园网实现教育教学信息化
主要包括:教师在网上发布题目和要求,以及所要完成的学习目标;学生利用校园网和互联网检索信息,收集素材;学生通过留言板、BLOG、BBS向老师或其它同学提问和交流,教师在网上答疑辅导;学生利用电子邮件或FTP把作业发送给老师;组织学生就作业进行网上自评、互评、他评,师生在网上在线讨论和交流等。
3、 利用校园网实现校园文化信息化
以信息化为主要特征的校园文化建设,如:校园视频点播、时事新闻、分校与校外教师远程接入、热点评论、心理健康教育,校园文学网站、校外图书资料检索等。
2.2设计原理
网络建设的一般原则是:统一规划,分步实施;性能先进,满足需求;适度超前,量力而行;留有冗余,保障扩充。在系统的设计过程中,应遵循以下原则。
(1) 先进性。世界上计算机技术的发展十分迅速,换代周期越来越短,因此,主要、关键设备以进口为主,但国内能满足要求的,尽量采用国产设备。
(2) 实用性。系统的设计既要在相当长的时间内保证其先进性,还应本着实用的原则,在实用的基础上追求先进性,使系统便于联网,实现信息资源共享。易于维护管理,具有广泛兼容性,同时为适应我国实际情况,设备应具有使用灵活、操作方便的汉字、图形处理功能。
(3) 安全性。目前,计算机网络都与外部网络互连互通日益增加,都直接或间接与国际互连网连接。因此,在系统设计需考虑到系统的可靠性、信息安全性和保密性的要求。
3
(4) 灵活性。采用结构化、模块化的设计形式,满足系统及用户各种不同的应用要求,适应业务调整变化。
(5) 规范性。采用的技术标准按照国际标准和国家标准与规范,保证系统的延续性和可靠性。
(6) 系统性。项目开发必须按照系统工程的管理方法,有做实施。
(7) 综合性。满足系统目标与功能目标,总体方案设计合理,满足用户的应用要求,便于系统维护,以及系统二次开发与移植。
4
第三章 逻辑设计
在该校园网的设计中使用层次化网络设计模型。该模型由3个功能层次组成:接入层、分不层(汇聚层)、和核心层。网络中采用分层结构是大型网络设计的普遍原则,能有效地隔离各个层次之间的相互影响,为每个层次的需求实现优化设计,提高整个网络的灵活性、扩展性和有效性。
3.1网络拓扑结构的设计
校园网络由多种完成不同功能的网络设备组成,包括路由器、交换机、Internet接入设备、防火墙等以及各种服务器,如:远程教育服务器、网管服务器(包括网管软件)、主服务器(包括WWW、E-mail、DNS等)。校园内部网络采用共享或交换式以太网,通过DDN、ASDL、ISDN/PSTN等方式,选择中国科研教育网接入到Internet,校际之间通过国际互联网的方式互相联接。同时采取相应的措施,确保通讯数据的安全、保密。系统运行要安全、可靠、故障小。
网络拓扑结构设计的要符合以下几点要求:
1、要适应未来网络的扩展和拓扑结构的变化。
2、要能为特定的师生用户或用户组提供访问路径。
3、要保证网络能不间断地运行。
4、当网络扩大和应用增加时,变化的网络结构要能应付相应的带宽要求。
5、使用频率较高的应用能够支持网上大多数的师生用户。
所以,要达到以上这些设计要求,分层的设计功能及星型、树型和交叉型的拓扑结构应给予足够的重视,做到应地而异。
该校园网的拓扑图为:
5
图3.1 某大学校园网拓扑图
3.2核心层
核心层是局域网的主干层,其主要的目的是尽可能快的交换数据。网络的这个层不应该被牵制到费力的数据包操作或者任何减慢数据交换的处理。应该避免在核心层使用如访问控制列表和数据包过滤这类功能。
核心层主要负责以下工作:
1.提供交换区块间的连接;
2.提供到其他区块的访问;
3.尽可能快的交换数据帧和数据包。
核心层通常使用的设备为集群路由器、核心路由器等;型号有华为NE5000E
华为NE80E,价格为10800、20000;主要的功能是提供海量交换容量和超高转发性能,全面满足新一代互联网对带宽性能、服务质量、业务能力的需要应用在IP骨干网、IP城域网以及其他各种大型IP网络的边缘位置,与NE5000E、NE40E路由器产品配合组网,形成结构完整、层次清晰的IP网络方案。
3.3汇聚层
网络的汇聚层是网络的核心层和接入层的交换点。汇聚层也帮助定义和区分核心层。
6
该层提供了边界定义,并在该处对潜在费力的数据包进行处理。
汇聚层主要负责以下工作: 1.VLAN的聚合; 2.部门级或工作组接入; 3.VLAN间路由; 4.介质转换及安全等。
汇聚层核心层通常使用的设备为路由交换机,型号有华为S8505、华为S8508,价格为100000;主要功能是加快大型局域网内部的数据交换,所具有的路由功能也是为这目的服务的,能够做到一次路由,多次转发。
3.4接入层
网络的接入层是最终用户被许可接入的网络点。该层能通过过滤或访问控制列表提供对用户访问流量的进一步控制。
在局域网环境下,接入层的主要工作: 1.到汇聚层的工作组连接; 2.建立单独的冲突域;
3.提供灵活的用户接入及扩展等。
接入层常用的设备以太网交换机,型号为华为S3328、华为S3928;价格为3500;其主要功能是交换机能同时连通许多对端口,使每一对相互通信的主机都能像独占通信媒体那样,进行无冲突地传输数据。
3.5主要网络设备配置
7
8
第四章 IP地址和路由规划
4.1IP地址分配总则
针对该校园网,又做了IP地址的分配和路由规划。IP地址的分配原则应当遵循唯一性、简单性、连续性、可扩展性、灵活性。IP地址的分配方案包括公有IP的分配和私有IP的分配。本校园网用到10个公网IP,用到了7个,剩余3个做备份用。
4.2.内部私网IP地址的分配
9
10
第五章 无线网络设计
5.1 总体建设目标
总体建设目标是以现有的宿舍区和教学区内网络为依托,利用无线网络技术,改善教学区洗洗脑网络建设基础设施的环境,解决何时何地都能上网的问题,进一步扩大教学区网络的使用范围,使师生们在任何时间,任何地点都能方便高校地使用信息网络。
(1)在学校实行无线覆盖。在校园中,你是不可能做到每一个角落都一定可以伸到校园的每一个角落,比如多功能会议室,图书馆等,这些地方都采用无线网来完成,只有WLAN可以解决这些问题。
(2)方便管理,迅速排错。对设备的管理是网络管理的重要部分。建成后的校园无线网络中,所有网络设备应该遵循统一的,标准的管理协议和兼容性,并满足集中、统一管理的功能需要,使得网络中心管理人员可以在网络工作站随时观察每一台网络设备的工作状态。
(3)在VLAN的设计中,无线环境的侦查是一个非常重要的环节,主要侦查3个重要的因素:覆盖的范围、流量及负载和应用需求。
5.2 具体实施目标
(1)覆盖范围要求:有限网络无法接入的室外场所,校园内一些场所很难实现网络有线接入,采用无线方式可以实现覆盖大范围室外空间无线网络接入。
(2)安全、认证、和管理要求:实现针对用户管理、认证、控制功能。
(3)校园无线网网络结构要求:无线接入所需要布设无线路由器通过校园网的汇聚层接入设备到校园网中,在汇聚层都提供相应的接口给无线网。
(4)产品能力要求:产品支持AES、WEP等安全加密标准、漫游切换。
11
第六章 安全
校园网络作为学校重要的基础设施,担当着学校教学、科研、管理和对外交流等许多角色。校园网安全状况直接影响着学校的教学活动。在网络建成的初期,安全问题可能还不突出,随着应用的深入,校园网上各种数据会急剧增加,各种各样的安全问题开始困扰网络管理人员。
6.1网络安全层次模型
网络安全的层次可以分为物理层安全、系统层安全、网络层安全、管理层安全和应用层安全。
1.物理层安全
物理层安全包括通信线路的安全、物理设备的安全和计算机机房的安全等。物理层安全主要体现在通信线路的可靠性、软硬件设备的安全性、设备的备份、防灾害能力、防干扰能力、设备的运行环境以及不间断电源保障等。
2系统层安全
系统层安全问题来自网络内使用的操作系统安全,如Windows、UNIX和Linux等。主要表现在3方面:一是操作系统本身的缺陷带来的不安全因素;二是操作系统的安全配置问题;三是病毒对操作系统的威胁。
3网络层安全
网络层安全问题主要体现在网络方面的安全性,包括网络层身份认证、网络资源的访问控制、数据传输的保密和完整性、远程接入的安全、域名系统的安全、路由系统的安全等。
4应用层安全
应用层安全问题主要由提供服务的应用软件和数据的安全性产生,包括Web服务、电子邮件系统和DNS等。
5.管理层安全
管理层安全包括安全技术和设备的管理、安全管理制度、部门与人员的组织规章等。
6.2设计原则
基于网络安全层次模型,可以采用模块化的安全设计方法,将一个大的网络划分成摸块层来处理设计上的问题。模块化的设计方法有助于确保在设计阶段能够对网络的每一个关键部分进行考虑,并且保证了网络的可扩展性。
模块化安全设计中要考虑的问题:
12
1.保护Internet连接 2.公共服务器保护 3.电子商务服务器的保护 4.保护远程访问和虚拟专业网 5.保护网络服务和网络管理 6.提供用户服务 7.保护无线服务
6.3 防火墙
防火墙是一项协助确保信息安全的设备,会依照特定的规则,允许或是限制传输的数据通过。防火墙可以是一台专属的硬件也可以是架设在一般硬件上的一套软件。
防火墙具有很好的保护作用。最基本的功能就是控制在计算机网络中,不同信任城都区域间传送的数据流。
13
第七章 服务器设计
服务器是网络数据储存的仓库,其重要性可想而知。服务器的类型和档次应与网络的规模,和数据流量以及可靠性要求相匹配。服务器的数量由网络应用来决定,对服务器的要求:具有高的可靠性能,能长时间连续工作。具有容错措施。配备E-mail服务器、Web服务器、支持大型数据库、FTP服务器等。也可以让一台服务器充当多种服务器角色。服务器除稳 定性。外重点考虑的是硬盘速度和内存大小,硬盘一定要用适合并发数据请求的SCSI接口:内存则尽可能的增大.采用性能价格比较高的国产专用服务器!
Web服务器是重要的Internet服务器之一,也是常说的WWW服务器,它的核心技术是超文本传输协议和超文本标记语言。WWW服务器采用B/S架构,客户端的浏览器向WWW服务器发出HTTP请求,WWW服务器响应客户端浏览器发出的请求,并向客户端发送客户所需的HTML文件。
FTP服务器是另一种常见的网络应用,采用C/S模式,实现资源共享。其工作原理是建立两条TCP连接,一条为控制连接,另一条为数据连接。
邮件系统是Internet中应用最广泛的系统之一。邮件系统工作在TCP/IP体系结构的应用层。邮件系统采用基于C/S的网络工作模式:服务器负责处理邮件用户的各种收、发信件请求,客户端程序为邮件用户向服务器收、发邮件的请求。
14
【总结】
通过本次的实验,让我对网络规划有了新的认识。从刚开始的不知所措,慢慢的通过自己查阅资料开始找到了实验的思路。在实验中,最让我感到困难的就是第三章的内容,但是通过与同学的讨论,到最后自己还得到了结论,也增加了自己不少的自信心,我想在以后的生活与学习中我也会更加向上。本校园网的建设、目标可以选用的网络技术以及对网络设备的介绍和选择等多方面的论述,校园网络建设作为一项重要的系统工程,它的所用到的各种技术是多方面的,即有网络技术,也有管理制度等各个方面的知识。
随着信息技术与通信技术的飞速发展及人们对网络性能要求的提高,各种网络新技术、新思想等必将产生并不断得到完善和发展。使得更多更好的建网思想和技术应用到新的校园网的建设及改造之中,校园网的功能也将得到很大的提高与扩充。网络技术的发展是永无止境的,在前进的过程中必将有更多的知识需要我们去学习与研究,并能将其应用到实际的网络工程建设之中。由于校园网功能齐全,技术含量高,接触面广,在网络设计、规划和建设中都非常复杂,在论述中不可能面面具到,同时也由于本人的知识水平有限,文中的不足和错误在所难免,敬请老师多多指点和更正。
15
16
大型公司网拓扑结构及ip地址规划设计论文范文
网络规划设计师论文摘要写作(郭春柱 预测卷)
字数一般控制在200~400字左右可以采取如下格式来写摘要
格式1
..年..月,本人参加了..项目的开赴,担任了...(工作角色).该项目....(项目背景 简单功能计算)。文章结合本人的实践经验,以..项目为例子,讨论...(选择论文的主题),包括...(技术 方法 策略)。
格式2
文章讨论了...系统项目的....(论文主题)。该系统...(项目背景,简单功能介绍) 文中首先讨论了..(技术 方法 策略)。最后...(不足之处/如何改进 特色之处,发展趋势)。在项目开发过程中,本人担任了...(工作角色)
参考论文
论信息系统建设的网络规划
摘要
本文讨论了XX企业二期网络工程项目方案的规划和设计(论文主题)。该工程项目投入经费160万元,建设周期为8个月。在项目的建设过程中,本人有幸参与了整个建设方案的规划,设计,并组织参与了整个项目的招标 投标 工程建设等工作(工作角色)。该工程是在原内部局域网的基础上升级改建的,新增了220个信息点,采用单核心的两层拓扑结构,并优化网络信息服务,建立了奇异内部信息发布系统,web站点和ftp系统等,与集团总部和各个下属单位实现vpn网络互连,实现了相互间信息的共享(项目技术 方法 策略简介)。本工程项目基本完工后就投入运行,顺利通过相关测试,并验收结项,得到了公司和员工的一致好评。最后针对本项目的一些规划设计工作中实行了简单,使用,低廉的策略,提出了在先进性,开放性等方面的改进意见(改进措施)
正文
2008年3月至10月,作为XX企业信息网络中心的一名技术骨干,我有幸参与了本单位网络二期工程方案的规划,设计,并组织参与了整个项目了招标,投标,工程建设,且承担了该网络的运维工作。该二期网络工程建设的投资经费为160万元。本单位原有一个30个信息点的局域网,以windows2000为平台运行着核心应用软件———集装箱运输代理业务系统。本单位的人事部,财务部有相关的内部人事管理软件,工资软件和统计软件的应用。该二期网络工程主要是针对系统内信息流转不畅的需求进行的。其建设的目标是在原内部局域网的基础上升级改建,新增了220个信息点,能最大限度的保障网络系统的不间断运行,并优化网络信息服务,集成原有的业务的应用系统,建立了企业内部信息发布系统,web站点和ftp文件传输系统,并与集团总部,各下属单位实现vpn网络互连,实现相互间信息共享。
本单位二期网络工程在建设方案规划过程中我们主要紧系了如下几个方面的策略选择。
1.综合布线方案。本单位办公楼是一幢6层的建筑物,每位办公人员均有一台计算机。二期网络工程要求每台计算机均能访问internet,同时要求与3个基层单位(车队外运仓库)和一个集装箱站相连。领导层,中层干部等群体在使用新信息发布系统是有相应的数据查询功能。基于本单位的现状,首先在办公室楼进行结构化综合布线工程,以利于今后信息点的扩展。由于办公楼楼层不高,并只有第6层有空余房间,一次将中心机房部署在办公楼的第6层。采用集中走线的方案,使用超5类非屏蔽双绞线,100Mbps带宽。250个信息点。
2.网络的逻辑结构设计方案。由于受整体经费不足等因素的限制,一次在本单位二期网络工程逻辑结构设计时,采用了较为实用的单核心局域网拓扑结构。由于本期网络工程建设的规模不大,且资金投入有限,因此在网络逻辑结构设计时未考虑部署汇聚层交换机。丹核心交换机采用华为3COM的S6506三层交换机。该交换机共有6个光纤接口模块(或千兆位以太网口模块)的扩展插槽,以便于今后网络扩建时汇聚层交换机的接入。接入层交换机采用华为3COM的e328普通交换机,共部署了12台,每台共有24个以太网口。由于办公室仅有6层,中心机房到最远点接入层交换机的距离不超过90m,因此每台e328交换机通过百兆位以太网口使用超5类utp上连至S6506三层交换机。该上连链路使用了多链路捆绑技术,从而达到带宽倍增,均衡网络流量等目的。e328交换机留有一个光纤接口扩展插槽,也方便今后网络扩建时与汇聚层交换机的互联。
本单位二期网络工程采用基于交换机端口的方式按部门划分vlan,并为服务器,网络管理等应用划分了专门的vlan。本单位服务器和客户机均采用静态IP 地址配置方式。通过S6506交换机实现不同vlan间的数据通信。选用CISCO3600作为路由器,采用拨号方式将4个广域网口连接3个远程基层单位和集装箱站。使用DDN方式接入internet。由于本期网络工程拓扑结构复杂程度不高,因此内部网络没有使用rip或ospf等动态路由协议,只是在 S6506交换机和CISCO3600路由器上配置了通往internet的相关静态路由。
考虑网络系统运维支持等因素,internet与intranet之间的安全设备,选购的是本地企业有相关资质的XX牌硬件防火墙。并在企业网内部署瑞星网络版反病毒软件,以及在三层交换机S6506配置防震荡波病毒,冲击波病毒的相关过滤规则来加强计算机病毒的防范工作,从而进一步保证内网安全,通畅。
3.软件平台的选择。考虑到中小企业的特点,可供选择的第三方软件比较多,支持微软平台的软件厂商多,以及方便用户简便操作,GUI界面等因素,且本单位客户机多数使用的是windowsxp操作系统,因此选择windwos server2003作为服务器的网络操作系统,SQL server6.0作为数据库平台。并使用IIS6.0作为web站点平台,IE6.0作为客户浏览平台。
4.远程访问的接入。由于windows server2003操作系统支持架构虚席专用网VPN,因此使用一台安装windows server2003作为服务器的网络操作系统作为VPN服务器,通过运行数据链路层的pptp虚拟出一条安全的数据通道,并在此基础上通过用户身份验证等手段,实现与总部,各下属单位的网络基于internet的安全互联,以实现单位相互之间的信息共享。
本单位二期网络工程项目于2008 年10月 25基本完工并投入试运行,与2009年1月15日验收通过,期间聘请了第三方测试机构对结构化布线工程的光线及双绞线性能参数,网络流量等进行了相关测试。本工程项目较快了企业内部信息或单据的流转速度,通过访问internet加快了信息的时效性,得到了公司领导及员工的好评。但是,由于单位的性质,规模等许多局限性(如入经费的投入,本身的技术水平,网络规划能力等),使本项目的一些规划设计工作施行了简单,使用,低廉的策略。而网络工程建设是一项系统工程,不仅需要结合近期目标考虑其实用性,安全性,易用性,也要为系统的进一步发展和扩展留有余地,还应具有良好的开放性,较高的可靠性,先进性。本人认为本单位的网络工程建设将来还要进行以下几方面的改进
1 结构化综合布线工程可以采用多模光纤作为干线子系统,并在相关的楼层(例如第2层,第4层)设置水平工作间。
2 网络的逻辑结构设计方案建议采用双核心拓扑结构,实现企业内部网络各节点之间的链路的冗余,以增强网络的可靠性,最大限度地保障网络系统7*24小时不间断运行。
3 由于本单位内部网与internet是互联互通的,在二期工程建设中仅采用一台硬件防火墙保障边界网络的安全。因此在今后网络建设中,应考虑购买上网行为管理设备,入侵检测设备等来增加网络的监控和审计。对于本单位涉及内部机密数据的计算机应采用双硬盘隔离卡或者网闸等物理隔离技术,以增加企业内部数据的保密要求
4 进一步完善网络安全管理制度,并加以落实和监控