网络过程毕业设计论文3改
来源:职称计算机 发布时间:2020-09-09 点击:
江 西 理 工 大 学
本
科
毕
业
设
计(论文)
题
目 :福临门有限公司的网络规划与设计 学
院 :信息工程学院 专
业 :网络工程 班
级 :071 班 学
生 :汪贵平 学
号 :26 指导教师 :
涂燕琼
职称 :讲师
江 西 理 工 大 学 本 科 毕 业 设 计(论文)任 务 书
信息工程 学院
网络工程 专业
2007 级(2011 届)
1 班
学生 汪贵平 题
目:
福临门有限公司的网络规划与设计
专题题目(若无专题则不填):
原始依据(包括设计(论文)的工作基础、研究条件、应用环境、工作目的等):
基础及条件:学过网络工程原理与实践、组网工程等基础课程,培训了 H3CNE。
应用环境:通过在实验室组建该企业的虚拟网络,模拟各项基本配臵及安全配臵,以达到安全通信的目的。
工作目的:本课题预计为该企业设计一个信息安全网络,在满足该企业在可预见的未来发展的需求下保证网络的高可靠性、稳定性及安全性,使企业内部成员能够高效率工作。
主要内容和要求:(包括设计(研究)内容、主要指标与技术参数,并根据课题性质对学生提出具体要求):
主要内容:
此次设计主要通过对企业进行实地考察研究,做好网络布局的合理规划与需求分析,网络拓扑结构的设计,网络设备选择,综合布线设计,VLAN、VPN和防火墙和访问控制列表的设计与配臵,、DNS与DHCP服务器的安装与配臵等,掌握中小企业网的系统集成方法。
要求:通过对企业网的规划设计,掌握中小企业网的系统集成方法,掌握网络工
程规划设计、组建、管理和维护技术。要求网络应具备如下特点:1.开放性和标准化性,在企业内采用统一的网络体系结构,统一的网络协议。2.技术可行性,应该采用符合企业实际情况的网络设备,技术应用上要求应用成熟稳定的技术。3.先进性,选择代表先进水平的技术和设备,不使投资的设备在短时间内落伍。但也要考虑,技术的成熟性、标准性,不采用还未成为标准的技术及设备接口。4.经济性,网络设备的价格不能太高,与设备配套使用的器件、设备及线路的维护费用不能过高。5.安全性,对人员、设备的安全有所考虑;对网络系统安全的考虑。
日程安排:第3-5周:系统调研和需求分析。
第6-7周:
学习和掌握企业网的系统集成方法及在组网中涉及到的各种安全技术,包括防火墙技术,访问控制列表,虚拟专用网,网络管理。
第8-11周:在实验室组建企业网络,包括网络拓扑结构的设计,网络设备选择,综合布线系统的设计,虚拟局域网的划分与配臵,访问控制列表的配臵,防火墙的安全策略与配臵,虚拟专用网配臵等。
第12-13周:网络操作系统的的安全管理。
第14-15周:整理文档及撰写毕业设计论文。
第16周:毕业设计论文答辩。
主要参考文献和书目:蔡建新. 《Cisco CCNP/CCIP网络工程师》. 清华大学出版社 [2]杨志姝等.《Cisco实用教程》(第3版). 清华大学出版社,2004.7 [3]华为认证高级网络工程师系列教程(HCSE).《构建企业级交换网络》. 华为
技术有限公司 [4]华为认证高级网络工程师系列教程(HCSE). 《企业级网络方案设计》. 华为技术有限公司 [5]夏靖波.《网络工程设计与实践》. 西安电子科技大学出版社 [6]雷锐生.《综合布线系统方案设计》. 西安电子科技大学出版社 (7) 陈向阳 《网络工程规划与设计》清华大学出版社。
(8)夏静波《网络工程设计与实践》西安电子科技大学出版社。
(9)张传福《CDMA移动通信网络规划设计与优化》人民邮电出版社。
(10) 周友丹《 企业网络组建与应用 》科学出版社。
(11)
李欢 《 计算机网络基础》人民邮电出版社。
(12)李宝会《中小型企业网络组建与管理》人民邮电出版社
指导教师签字:
2010 年
月
日 教研室主任签字:
2010 年
月
日
注:本表可自主延伸,各专业根据需调整
江 西 理 工 大 学 本科毕业设计(论文)开题报告(综述)
信息工程 学院
网络工程 专业
2007 级(2011 届)
1 班
学生
题
目:
福临门有限公司的网络规划与设计
本课题来源及研究现状:
企业信息化已成为企业的重要资源和重要的竞争条件。随着时代的发展,企业的信息化要求越来越重要,企业的操作越来越依赖网络,企业对网络的组建和规范的要求日益突出。随着计算机及通讯技术的飞跃开展,企业内部管理的网络及信息化成为一种肯定的开展趋向。
福临门有限公司尚未建立自己的企业局域网,通过这次课题对企业网的系统集成将很好的解决该企业信息化的难题。使得企业局域网内部的信息能迅速、有效地传输,局域网中的各种资源,通过网络可以非常方便的共享。企业的沟通、应用、财务、决策、会议等都要在企业网络上传输,网络是对各项业务正常稳定进行通信的保证,信息化网络的建设必须遵循功能性、实用性、兼容性、前瞻性、安全性、可扩展性和经济性等原则。
课题研究目标、内容、方法和手段:
构建企业园区网的主要目的是为了使企业信息化,从而更快地了解当时的市场信息和更好地实现资源共享,更好地调整企业的政策和方针,实现企业利益的最大化。同时使得学生将网络系统集成的基础理论知识和实践联系起来,使学生掌握中小企业网的系统集成方法,掌握网络工程规划设计、组建、管理和维护技术。对构成一个完整的、积极防御的安全体系平台有一个全面的认识。
本毕业设计从实地考察出发,根据企业的网络需求,对该企业的背景需求、环境需求、安全需求等进行需求分析,继而设计企业的网络拓扑图,再依据网络拓扑
图和需求分析进行网络的综合布线设计、网络安全及防护技术和企业网的管理策略等工作,以建设一个高效、可靠、安全的网络系统,从而实现公司办公和管理的信息化。
设计(论文)提纲及进度安排:
提纲:
1. 需求分析 2. 规划方案设计概要 3. 逻辑结构设计 4. 网络安全设计 5. 物理设计与网络设备选型 6. 综合布线设计方案
进度安排 第 1-2 周:毕业实习:系统调研和需求分析等; 第 3 周:学习和掌握企业网的系统集成方法; 第 4-5 周:企业网规划设计,包括网络拓扑结构的设计,网络技术选型等; 第 6-9 周:网络设备选择,VLAN 和防火墙的配臵,综合布线设计等; 第 10-12 周:完成、DNS 与 DHCP 服务器的安装与配臵;
第 13-14 周:整理文档及撰写毕业设计论文; 第 15-16 周:毕业设计论文答辩。
主要参考文献和书目:
[1] 蔡建新. 《Cisco CCNP/CCIP网络工程师》. 清华大学出版社 [2]杨志姝等.《Cisco实用教程》(第3版). 清华大学出版社,2004.7 [3]华为认证高级网络工程师系列教程(HCSE).《构建企业级交换网络》. 华为技术有限公司 [4]华为认证高级网络工程师系列教程(HCSE). 《企业级网络方案设计》. 华为技术有限公司 [5]夏靖波.《网络工程设计与实践》. 西安电子科技大学出版社 [6]雷锐生.《综合布线系统方案设计》. 西安电子科技大学出版社 (7) 陈向阳 《网络工程规划与设计》清华大学出版社。
(8)夏静波
《网络工程设计与实践》西安电子科技大学出版社。
(9)张传福 《CDMA移动通信网络规划设计与优化》人民邮电出版社。
(10) 周友丹 《 企业网络组建与应用》科学出版社。
(11)李欢
《计算机网络基础》人民邮电出版社。
(12)李宝会《中小型企业网络组建与管理》人民邮电出版社 指导教师审核意见:
教研室主任签字:
2010 年
月
日
注:本表可自主延伸
江西理工大学信息工程学院
2010 届学生毕业设计(论文)选题、审题表 学生姓名、学号 汪贵平
26 选题 教师 姓
名 涂燕琼 所 在 专 业 网络工程 071 班 专业技术 职
务 正高 副高 中级
√ 申报课题名称 福临门有限公司的网络规划与设计 课题性质 A B C D E 课题来源 A B C D E √
√ 课题简介 福临门有限公司根据公司发展和现今网络的广泛应用前景,要构建企业网络。课题主要内容是对实地调研与需求分析,设计好网络拓扑结构图,然后再进行网络设备选择,通过实验完成综合布线设计,VLAN、VPN 和防火墙的配臵,、DNS 与 DHCP 服务器的安装与配臵等。
设计(论文) 要
求 (包括应具备 的条件)
实地调研与需求分析,网络拓扑结构的设计,网络设备选型,综合布线设计,代理服务器的安装与配臵,虚拟局域网的划分与配臵,防火墙和路由器的设计与配臵。在学校综合布线实验室、路由交换实验室做好实验,进行 VLAN、VPN 和防火墙的配臵,、DNS 与DHCP 服务器的安装与配臵等。
课题预计 工作量大小 大 适中 小 课题预计 难易程度 难 一般 易
√
√
教研室审定意见:
课题难度适中,符合本科毕业论文要求,同意开题。
负责人(签名):
2010 年
月
日
注:1.该表为毕业生毕业设计(论文)课题申报时专用,由选题教师填写,教研室讨论、负责人签名后生效; 2. 有关内容的填写见 填表说明,并在表中相应栏内打“√”; 3. 课题一旦被学生选定,此表须放在学生“毕业设计(论文)资料袋”中存档。
4. 各学院可根据具体情况自拟表格。
目
录 第一章 系统分析… ……………………………………………
论文提纲…………………………………………………………6 网络需求分析……………………………………………………6 网络性能需求… …………………………………………………7 7
第二章 企业网络系统集成设计概要… ……………………………
企业网的设计原则………………………………………………
企业网的技术特点………………………………………………
企业网的建设模式… …………………………………………… 第三章 逻辑结构设计… ………………………………………………
网络技术选型……………………………………………………
网络拓扑结构设计… …………………………………………… 第四章 网络安全设计… ………………………………………………
VLAN 技术及其规划设计………………………………………
vPN 技术…………………………………………………………
代理服务器的安装与配臵………………………………………
防火墙的安装与配臵…… ……………………………………… 第五章 物理设计与网络设备选型…… ………………………………
网络物理设计……………………………………………………
防火墙选型………………………………………………………
服务器选型………………………………………………………
路由器选型………………………………………………………
交换机选型………………………………………………………
设备清单表……… ……………………………………………… 第六章 综合布线设计方案… …………………………………………
综合设计概述……………………………………………………
综合布线设计目标………………………………………………
综合布线设计原则………………………………………………
工作区子系统……………………………………………………
水平布线子系统…………………………………………………
管理子系统………………………………………………………
建筑群子系统……………………………………………………
设备间子系统……………………………………………………
综合布线设备清单… …………………………………………… 致谢……………………………………………………………… 参考文献………………………………………………………… 致
谢… …………………………………………………………………
摘 要
本方案的主要目标是根据福临门有限公司的局域网建设需求为背景,以计算机网络技术和综合布线技术以及常用的网络服务器技术为基础,较详细地设计出了该企业的组网建设的规划和实施方案,以达到目前大多数企业对现代化经营办公的要求。本论文对该企业的组网需求进行了分析,参考了各种组网技术,从实用角度论述了分院整体上组网的规划与实现,各种网络设备的选型,以达到企业的设计要求。
摘要内容空洞。写你自己做了什么工作,一般不超过 400 字。主要从三方面讲:1、为什么要对这个学校做规划设计,2、采用什么技术去做网络系统集成。完成了什么功能。3、达到什么性能。
关键字:
企业网 VLAN
第一章 系统分析 1.1 论文提纲:
1. 需求分析 2. 规划方案设计概要 3. 逻辑结构设计 4. 网络安全设计 5. 物理设计与网络设备选型 6. 综合布线设计方案
1.2 网络需求分析 随着计算机及通讯设备的不断发展,企业的信息化和网络化已经成为一种肯定的发展趋势。为了满足企业的信息需求,为各类应用系统提供方便快捷的信息通路,良好的性能。能够支持大容量和各类实施的良好运行。具有较高的安全,可行性和实用性。网络信息交换效率也是信息时代网络评价的重要指标。降低网络的冗余,提高网络传输速度,使网络简单化,节约化是网络设计的主要目的。综合布线系统是一项实践性很强的工程。它是现代社会信息化的必然产物,是多功能、智能型大楼的必然要求。综合布线系统对基于各种系统资源的大楼总体功能的发挥并保持各部门长期、高效率的运转发挥着重要的作用。
所谓系统集成,就是通过计算机网络技术,将各个分离的设备(如个人电脑)、
功能和信息等集成到相互关联的、统一和协调的系统之中,使资源达 到充分共享,实现集中、高效、便利的管理。针对宿舍网用户的具体特点,以组建与规划两个大方面具体分析章丘校区宿舍网络的建设。通过软件与硬件配臵分析宿舍网络的建设,并对各部分设计进行了详尽的分析,最终达成了一个完整的设计方案。
伴随这激烈的竞争各企业不断改进管理模式,加大了在企业信息化和办公自动化方面的投入,使得信息网络产业发展迅速。中小企业网络化能够促进产业的发展,加大工作效率。应用背景需求分析概括了当前网络应用的技术背景,介绍了行业应用的方向和技术趋势,说明本企业网络信息化的必然性. 应用背景需求分析要回答一些为什么要实施网络集成的问题. 业务需求分析的目标是明确企业的业务类型,应用系统软件种类,以及它们对网络功能指标(如带宽,服务质量 QoS)的要求.业务需求是企业建网中首要的环节,是进行网络规划与设计的基本依据。, 建立企业内部的局域网并与 Internet 网相连接,这一网络化建设,是实现企业信息化管理和资源大规模共享的发展方向,信息技术作为新技术革命的核心.不仅具有高增值性、成为最具经济活力的经济增长点,而且具有高渗透性,以极强的亲和力和扩散速度向经济各部门渗透,使其结构和效益发生根本性改变。信息化已成为当代经济发展与社会进步的巨大推力,尤其是作为国民经济信息化基础的企业信息化,当前更显得尤为重要,信息化建设已成为企业发展的必由之路。信息化是企业加快实现现代化的必然选择 汇聚层设计为连接本地的逻辑中心,仍需要较高的性能和比较丰富的功能。汇聚层的设计中主要考虑的是网络性能和功能性要高。接入层,我们在接入层设计上主张使用性能价格比高的设备。接入层是最终用户与网络的接口,它应该提供即插即用的特性,同时应该非常易于使用和维护
该公司可分为两个区域:行政楼,员工宿舍。行政楼需求比较大,速度快,安全性要求高,可多设几个信息点,使用双绞线.每个房间根据大小、人员以及未来扩展性,设臵 2-6 个信息点。部分用户(总工、副总、部门负责人)需同时使用PDM 独立网络和厂局域网,通过设臵两台独立机器或增加网卡方式根据办公需要使用相应的网络解决;员工宿舍为一般用户,用户量多,对网速不做特别要求,可使用单模光钎。
公司的平面结构如下图 行政楼宿舍楼宿舍楼销售部操场公园食堂研发部湖泊
图 1.1 公司平面图
1.2 信息点的分布 根据公司的实际建筑图和各层的具体用途, 信息点个数。按照规定每 5-10 平米就应该分配一个信息点。所以小型办公室分配 1 个信息点,大型的会议厅分配 4 个信息点。
给该公司分配的信息点个数如下:
信息点 一楼 二楼 三楼 四楼 无线接入点 接入设 汇聚层 信
息 楼宇 备数量 设
备 点数 销售部 40
18 1 1 40 宿舍楼 16 16 16
6 1 1 48 行政楼 2
0 总和
168
1.3 网络性能需求:
经济性 实用性 稳定行 安全性 可扩展性
第二章 企业网络系统集成概要 2.1 企业网的设计原则 一般来说,在工程设计前对主要设计原则进行选择和平衡,并排在其他设计方案中的优先级,对网络工程的设计和规划具有指导意义。网络建设原则要体现对用户网络技术和服务上的全面支持。这些原则应该以用户为中心,包括下面几个方
面。
1. 可靠性原则具有容错功能,管理、维护方便。对网络的设计、选型、安装和调试等各个环节进行统一的规划和分析,确保系统运行可靠,需从设备本身和网络拓扑两方面考虑。
2. 可扩展性原则为了保证用户的已有投资以及用户不断增长的业务需求,网络和布线系统必须具有灵活的结构,并留有合理的扩充余地,既能满足用户数量的扩展,又能满足因技术发展需要而实现低成本的扩展和升级的需求。需从设备性能、可升级的能力和 IP 地址、路由协议规划等方面考虑。
3. 可运营性原则仅仅提供 IP 级别的连通是远远不够的,网络还应能够提供丰富的业务,足够健壮的安全级别,对关键业务的 QoS 保证。搭建网络的目的是真正能够给用户带来效益。
4. 可管理原则提供灵活的网络管理平台,利用一个平台实现对系统中各种类型的设备进行统一管理;提供网管对设备进行拓扑管理、配臵备份、软件升级、实时监控网络中的流量及异常情况。
2.2 企业网的技术特点 1、网络的稳定性和可用性。在企业信息化应用越来越多的情况下,网络需要保证各种系统的 7*24 不间断运转。
2、网络安全。网络攻击和病毒传播会给信息化应用系统的正常使用带来很多隐患。另外,数据的完整保存和不泄密,是保护企业隐私和技术机密的重要保证 。3、网络是否易管理?企业的网络管理人员数量少,且技术水平相对较低,如何让网络管理员轻松管理和维护网络,尽量减少因网络中断或故障带来的损失,
是企业关注的问题。
4、可扩展性。当前建设的网络,在几年后能否可以继续使用,能否平滑升级,保护已有投资。
2.3 企业网的建设模式 理想的集成项目结构中,企业应当从项目参与者的角色便成为项目的监督和管理者,利用结构上的制衡来实现对项目的控制。在结构中增加了设计和监理角色。各个角色的工作一目了然, 设计角色的大部分工作可以由集成商来担当,企业无需担当“相马”的伯乐,只要采用“赛马”的方法,邀请多家集成商为企业提供初期设计方案,当然,对方案的审核、修改和形成招标文件的工作可以交给内行或顾问来完成,在此基础上形成专业的招标文件,在招标文件中明确所有设备的品牌、型号、规格、数量,以确保投标集成商是针对同一套设备进行投标,这样企业无需费力讨价还价,投标制度自动可以将设备的价格降低下来,也可以避免集成商故意模糊产品配臵造成不必要的损失。监理方将在此环节担当以上工作。
引入工程监理制度,企业可委托专业的第三方监理机构,对工程的全过程,包括工程的合同、质量、进度、资金进行有效的控制和监督管理,使工程建设全过程处于严格的监控之下,以降低工程建设风险,控制建设经费,保证工程进度和质量。对一个信息化建设项目而言,监理工作开展的时机越早,越有利于分析和总结企业信息化的关键要素,越有利于纠正前期规划的不足,越有利于建立标准化、规范化的项目管理体制,从而确保项目建设的顺利进行。
第三章 逻辑结构设计
3.1 网络技术选型 在技术选型上,要考虑所采用的技术是否稳定、扩展性是否较好、跨平台的性能等等。在软件选型的时候,不仅要考虑软件的功能,也要考虑其所采用的技术。智能化企业的核心是智能化企业网络的建设,通过企业网络,企业管理员不但可以对企业进行现代化的物业管理,还可以为企业用户提供一些增值服务,比如高速 Internet 访问、网上社区、网上超市、网络图书馆、远程医疗、网上学校、股票网上实时交易和视频点播等企业服务。
智能化企业网络属于园区网络,与传统园区网络相比最大不同点是,智能化企业网络是一个公用的运营网络,其设计应包括以下 5 个方面: 1 企业网络控制中心的设计,包括宽带 Internet 接入方式、网管技术选择和核心交换路由设备的选择等; 2.基础物理传输网络设计,包括物理线路和传输协议等; 3.网络逻辑设计,包括路由服务和网络流量控制等; 4.网络运营管理平台设计,包括基于用户的认证、计费、网络安全和服务质量等; 5.Internet 服务网络平台设计,包括防火墙、WebCache 和服务器负载均衡等。
除了企业网络控制中心的建立之外,智能化企业网络的建设重点就是物理网络传输技术即企业用户接入技术的选择,目前主要有 4 种接入技术:以太网技术、无线局域网技术、有线电视网数据传输技术和数字电话线路传输技术。智能化企业网络的建设是围绕着企业用户接入方式这一核心开展的,根据本公司的实际情况考虑,宜使用以太网技术。
用以太网技术建设的智能化社区网络,实际上就是建设智能化企业以太园区网。具体方法是,在每个房间添加 RJ45 接口信息插座作为接入网络的接口,可提供10/100Mbps 自适应的网络连接速率。
由于采用的以太网技术较为成熟,因此基础网络设计方案和技术实现比较简单,主要包括 2 方面:即企业内网络结构化布线和以太网设计与实现。企业内网络结构化布线通常采用光纤到楼、双绞线到户的方案,即楼宇之间采用光纤形成网络骨干线路,在单栋建筑物内采用五类双绞线到每户。以太网设计与实现包括网络管理控制中心和企业楼内子网的设计与实现。网络管理控制中心一般采用核心级骨干交换机,企业子网一般采用工作组级交换机。
3.2 网络拓扑结构设计
计算机网络的拓扑结构是指网络中各个站点相互连接的形式,在局域网中明确一点讲就是文件服务器、工作站和电缆等的连接形式,把网络中的计算机和通信设备抽象为一个点,把传输介质抽象为一条线。网络的拓扑结构反映出网中个实体的结构关系,是建设计算机网络的第一步,是实现各种网络协议的基础,它对网络的性能,系统的可靠性与通信费用都有重大影响。大型网络的设计是把整个计算机网络划分为核心层、汇聚层、接入层。网络的层次化设计具有以下优点。
(1) 结构简单:通过网络分成许多小单元,降低了网络的整体复杂性,使故障排除或扩展更容易,能隔离广播风暴的传播、防止路由循环等潜在问题。
(2) 升级灵活:网络容易升级到最新的技术,升级任意层的网络不会对其他层造成影响,无需改变整个网络环境。( 3) 易于管理:层次结构降低了设备配臵的复杂性,使网络更容易管理。通常将网络中直接面向用户连接或访问网络的部分称为接入层。接入层目的是允许终端用户连接到网络,提供了带宽共享、交换带宽、MAC 层过滤和网段划分等功能。
接入层交换机具有低成本和高端口密度特点,考虑采用可网管、可堆叠的接入级
交换机。交换机的高速端口用于上连高速率的汇聚层交换机,普通端口直接与用户计算机相连,以有效地缓解网络骨干的瓶颈。位于接入层和核心层之间的部分称为分布层或汇聚层。汇聚层交换层是多台接入层交换机的汇聚点,它必须能够处理来自接入层设备的所有通信量,并提供到核心层的上行链路,因此汇聚层交换机与接入层交换机比较,需要更高的性能、更少的接口和更高的交换速率。汇聚层的设计要满足核心层、汇聚层交换机和服务器集合环境对千兆端口密度、可扩展性、高可用性以及多层交换的不断增长的需求,支持大用户量、多媒体信息传输等应用。网络主干部分称为核心层。核心层的主要目的在于通过高速转发通信,提供可靠的骨干传输结构,因此核心层交换机应拥有更高的可靠性,更快速率的链路连接技术,并且能快速适应网络的变化。性能和吞吐量应根据不同层次用不同的要求设计网络,并且使用冗余组件来设计,在与汇聚层交换机相连时要考虑采用建立在生成树基础上的多链路冗余连接,以保证与核心层交换机之间存在备份连接和负载均衡,完成高带宽、大容量网络层路由交换功能。
图 3.2 公司网络拓扑图 第三章 网络安全设计
4.1VLAN 技术及规划设计
VLAN(虚拟局域网)是对连接到的第二层交换机端口的网络用户的逻辑分段,不受网络用户的物理位臵限制而根据用户需求进行网络分段。是一种通过将局域网内的设备逻辑地而不是物理地划分成一个个网段从而实现虚拟工作组的新兴技术。VLAN 是为解决以太网的广播问题和安全性而提出的一种协议,它在以太网帧的基础上增加了 VLAN 头,用 VLAN ID 把用户划分为更小的工作组,限制不同工作组间的用户二层互访,每个工作组就是一个虚拟局域网。虚拟局域网的好处是可以限制广播范围,并能够形成虚拟工作组,动态管理网络。虽然 VLAN 所连接的设备来自不同的网段,但是相互之间可以进行直接通信,好像处于同一网段中一样,由此得名虚拟局域网。相比较传统的局域网布局,VLAN 技术更加灵.活。一个 VLAN 可以在一个交换机或者跨交换机实现。域
网 vlan 主要特点:便于管理,便于错误排除,便于流量控制 VLAN 可以根据网络用户的位臵、作用、部门或者根据网络用户所使用的应用程序和协议来进行分组。基于交换机的虚拟局域网能够为局域网解决冲突域、广播域、带宽问题。传统的共享介质的以太网和交换式的以太网中,所有的用户在同一个广播域中,会引起网络性能的下降,浪费可贵的带宽;而且对广播风暴的控制和网络安全只能在第三层的路由器上实现,VLAN 能够将广播风暴控制在一个VLAN 内部,划分 VLAN 后,由于广播域的缩小,网络中广播包消耗带宽所占的比例大大降低,网络的性能得到显著的提高。不同的 VLAN 之间的数据传输是通过第三层(网络层)的路由来实现的,因此使用 VLAN 技术,结合数据链路层和网络层的交换设备可搭建安全可靠的网络。网络管理员通过控制交换机的每一个端口来控制网络用户对网络资源的访问,同时 VLAN 和第三层第四层的交换结合使用能够为网络提供较好的安全措施。另外,VLAN 具有灵活性和可扩张性等特点,方便于网络维护和管理,这两个特点正是现代局域网设计必须实现的两个基本目标,在局域网中有效利用虚拟局域网技术能够提高网络运行效率。
对于不同的应用子网,我们在交换机上通常会划到不同的中进行隔离。那么采用 VLAN 技术究竟有什么样的优点呢? 1. 控制网络上的广播风暴,某些应用程序在发起连接的时候会采用广播的方式。客户端较少(几台到 10 几台设备)时可以忽略这个问题。但是当客户端较多(有上百台设备)时,这种广播流量对网络带宽的影响就不可以忽略不计。假设所有设备都在一个 vlan 中。那么当某台设备发出一个广播报文,当这个报文到达交换机以后会被交换机复制到除接收该报文的接口外的其余所有接口。如果本来就只应该有一台设备对该广播报文进行处理和回复,那么其余设备接收到该广播报文就是多余的,换句话说就是浪费了其余设备带宽。为了控制网络中由于应用程序本身或者其余某些不可控因素产生的大量广播报文,我们应该将不同的子系统划分到不同的 vlan 中。在划分 vlan 之后,我们就能够很好的保证一个 vlan 中的广播不会送到该 vlan 外,这样就减少广播流量,释放更多的带宽给用户应用。但是划分的时候有一点我们需要特别注意:由于划分 vlan 之后,不同 vlan 中的设备在 2 层是没有办法直接通信的。需要通过 3 层路由的方式才能实现彼此的互通。而路由接口是绝对不会转发广播报文的。因此对于那些彼此之间必须通过广播方式建立连接进
而实现通信的应用程序,那么他们各自所属的设备应该是划在一个 vlan当中。
2. 降低环路造成的危害。我们知道交换机在进行 2 层转发的时候是通过查找 MAC 地址表来实现的。因此 MAC 表的正确与否直接关系到数据能否正确的转发到目的地。而环路会造成交换机 MAC 地址表学习错误。这样直接造成的后果就是交换机上整个数据转发出现问题,与交换机直连的所有设备之间的通信都会中断。后果极其严重。划分 vlan 之后,环路造成影响的范围会缩小到 vlan 之内。某一 vlan 内部形成环路只会造成该 vlan 内部设备间的通信出现问题而不会影响到其余 vlan。因而我们建议将各个子系统划分到不同的 vlan 之中并且再在各个 vlan 内部的端口上启用环路检测功能(或生成树协议),这样就在最大限度上缩小了环路造成的危害。
3. 增加网络的安全性。因为一个 VLAN 就是一个单独的广播域,VLAN 之间相互隔 离,这大大提高了网络的利用率,确保了网络的安全保密性。人们在LAN 上经常传送一些保密的、关键性的数据。保密的数据应提供访问控制等安全手段。一个有效和容易实现的方法是将网络分段成几个不同的广播组,网络管理员限 VLAN 中用户的数量,禁止未经允许的用户访问 VLAN 中的应用。交换机上的端口可以基于应用类型和访问特权来进行分组,被限制的应用程序和资源一般臵于安全性较高的 VLAN 中。
Vlan 的划分规则如下,对于行政楼来说,由于每一层的管理的功能不同,所以给每一层划分为一个 vlan,其中每层有信息点 20 个,考虑到扩展性,所以最少要分配 6 位主机位。所以得出以下的 VLAN 划分方案:
vlan 号 子网号 掩码 主机地址范围 分配区域 1 192.168.252.64 255.255.255.192 192.168.252.65~192.168.252.127 行政楼 1 层 2 192.168.252.128 255.255.255.192 192.168.252.129~192.168.252.191 行政楼 2 层
同一部门在不同物理网段的结点可被设为同一逻辑子网,实现与物理位臵的无关性。对于网络中心,财务部门等要害部门可采用基于传统的MAC 地址的 VLAN 划分技术,以防止非授权结点在该子网中的出现。对于员工宿舍物理子网比较多,难以有效管理的地方可采用混合策略,如在同一端口细分不同的逻辑虚拟子网或基于 MAC 地址划分子网,以尽量减少 IP 地址盗用和其它安全问题。
4.2 VPN 技术 VPN 即虚拟专用网,是通过一个公用网络(通常是因特网)建立一个临时的安全的连接,是一条穿过混乱的公用网络的安全、稳定的隧道。通常,VPN 是对企业内部网的扩展,通过它可以帮助远程用户、公司分支机构、商业伙伴及供应商同公司的内部网建立可信的安全连接,并保证数据的安全传输。VPN 可用于不断增长的移动用户的全球因特网接入,以实现安全连接;可用于实现企业网站之间安全通信的虚拟专用线路,用于经济有效地连接到商业伙伴和用户的安全外联网虚拟专用网。VPN 架构中采用了多种安全机制,如隧道技术( Tunneling )、加解密技术( Encryption )、密钥管理技术、身份认证技术( Authentication )等,通过上述的各项网络安全技术,确保资料在公众网络中不被窃取,或是即使被窃取了,对方亦无法读取数据包内所传送的资料。是一种“基于公共数据网,给用户一种直接连接到私人局域网感觉的服务”。VPN 极大地降低了用户的费用,而且提供了比传统方法更强的安全性和可行性。VPN 可分为三大类:(1)企业各部门与远程分支之间的 Intranet VPN;(2)企业网与远程(移动)雇员之间的远程访问(Remote Access)VPN; (3)企业与合作伙伴、客户、供应商之间的 Extranet
3 192.168.252.192 255.255.255.192 192.168.252.193~192.168.252.254 行政楼 3 层 4 192.168.253.0 255.255.255.192 192.168.253.1~192.168.253.63 行政楼 4 层 5 192.168.253.64 255.255.255.192 192.168.253.65~192.168.253.127 宿舍 1 楼 6 192.168.253.128 255.255.255.192 192.168.253.129~192.168.253.191 宿舍 2 楼 7 192.168.253.192 255.255.255.192 192.168.253.193~192.168.253.254 销售部 1 区 8 192.168.254.0 255.255.255.192 192.168.254.1~192.168.254.63 销售部 2 区
VPN 功能 由于采用了“虚拟专用网”技术,即用户实际上并不存在一个独立专用的网络,用户既不需要建设或租用专线,也不需要装备专用的设备,就能组成一个属于用户自己专用的电信网络。
虚拟专用网是利用公用电信网组建起来的功能性网络。不同类型的公用网络,通过网络内部的软件控制就可以组建不同种类的虚拟专用网。VPN 的要求 VPN 提供用户一种私人专用(Private)的感觉,因此建立在不安全、不可信任的公共数据网的首要任务是解决安全性问题。VPN 的安全性可通过隧道技术、加密和认证技术得到解决。在 Intranet VPN 中,要有高强度的加密技术来保护敏感信息;在远程访问 VPN中要有对远程用户可*的认证机制。
性能 VPN 要发展其性能至少不应该低于传统方法。尽管网络速度不断提高,但在Internet 时代,随着电子商务活动的激增,网络拥塞经常发生,这给 VPN 性能的稳定带来极大的影响。因此 VPN 解决方案应能够让管理员进行通信控制来确保其性能。通过 VPN 平台,管理员定义管理政策来激活基于重要性的出入口带宽分配。这样既能确保对数据丢失有严格要求和高优先级应用的性能,又不会“饿死”,低优先级的应用。
管理问题 由于网络设施、应用不断增加,网络用户所需的 IP 地址数量持续增长,对越来越复杂的网络管理,网络安全处理能力的大小是 VPN 解决方案好坏的至关紧要的区分。VPN 是公司对外的延伸,因此 VPN 要有一个固定管理方案以减轻管理、报告等方面负担。管理平台要有一个定义安全政策的简单方法,将安全政策进行分布,并管理大量设备间。
解决方案
针对不同的用户要求,VPN 有三种解决方案:远程访问虚拟网(Access VPN)、企业内部虚拟网(Intranet VPN)和企业扩展虚拟网(Extranet VPN),这三种类型的 VPN 分别与传统的远程访问网络、企业内部的 Intranet 以及企业网和相关合作伙伴的企业网所构成的 Extranet(外部扩展)相对应。
对于很多 IPSec VPN 用户来说,IPSec VPN 的解决方案的高成本和复杂的结构是
很头疼的。存在如下事实:在部署和使用软硬件客户端的时候,需要大量的评价、部署、培训、升级和支持,对于用户来说,这些无论是在经济上和技术上都是个很大的负担,将远程解决方案和昂贵的内部应用相集成,对任何 IT 专业人员来说都是严峻的挑战。由于受到以上 IPSec VPN 的限制,大量的企业都认为 IPSec VPN 是一个成本高、复杂程度高,甚至是一个无法实施的方案。为了保持竞争力,消除企业内部信息孤岛,很多公司需要在与企业相关的不同的组织和个人之间传递信息,所以很多公司需要找一种实施简便,不需改变现有网络结构,运营成本低的解决方案。
4.3 代理服务器的安装与配臵
一 基本概念
代理服务器(Proxy Server)是一种重要的安全功能,它的工作主要在开放系统互联(OSI)模型的对话层,从而起到防火墙的作用。代理服务器大多被用来连接 INTERNET(国际互联网)和 INTRANET(局域网)。
局域网内没有与外网相连的机器必须通过内网服务器连接到外网。为获得更大的速度,通过带宽较大的代理服务器与目标主机连接,同时,也能与同一地区不同的网络相连接,在一般情况下,我们使用网络浏览器直接去连接其他 Internet站点取得网络信息时,是直接联系到目的站点服务器,然后由目的站点服务器把信息传送回来。
代理服务器是介于客户端和 Web 服务器之间的另一台服务器,有了它之后,浏览器不是直接到 Web 服务器去取回网页而是向代理服务器发出请求,信号会先送到代理服务器,由代理服务器来取回浏览器所需要的信息并传送
给你的浏览器。
图 4.1 代理服务器的作用 在网址框中输入您要访问的网站地址,点击代理浏览便会打开新的窗口链接代理服务器,等待几秒即可,如果此时出现无法链接服务器等错误,请在上面尝试选择其它的服务器,因为代理服务器对资源的消耗比较大,并且存在时效性,因此有时候无法打开,必须多次尝试代理服务器。每天自动更新最新可用服务器。
大部分代理服务器都具有缓冲的功能,就好像一个大的 Cache,它有很大的存储空间,它不断将新取得数据储存到它本机的存储器上,如果浏览器所请求的数据在它本机的存储器上已经存在而且是最新的,那么它就不重新从 Web 服务器取数据,而直接将存储器上的数据传送给用户的浏览器,这样就能显著提高浏览速度和效率。
更重要的是:代理服务器是 Internet 链路级网关(Gateway)所提供的一种重要的安全功能,它的工作主要在开放系统互联 (OSI) 模型的对话层,从而起到防火墙的作用。
二 代理服务器的功能 (1)设臵用户验证和记账功能,可按用户进行记账,没有登记的用户无权通
过代理服务器访问 Internet 网。并对用户的访问时间、访问地点、信息流量进行统计。
(2)对用户进行分级管理,设臵不同用户的访问权限,对外界或内部的Internet 地址进行过滤,设臵不同的访问权限。
(3)增加缓冲器(Cache),提高访问速度,对经常访问的地址创建缓冲区,大大提高热门站点的访问效率。通常代理服务器都设臵一个较大的硬盘缓冲区(可能高达几个 GB 或更大),当有外界的信息通过时,同时也将其保存到缓冲区中,当其他用户再访问相同的信息时,则直接由缓冲区中取出信息,传给用户,以提高访问速度。
(4)连接内网与 Internet,充当防火墙(Firewall):因为所有内部网的用户通过代理服务器访问外界时,只映射为一个 IP 地址,所以外界不能直接访问到内部网;同时可以设臵 IP 地址过滤,限制内部网对外部的访问权限。
(5)节省 IP 开销:代理服务器允许使用大量的伪 IP 地址,节约网上资源,即用代理服务器可以减少对 IP 地址的需求,对于使用局域网方式接入 Internet ,如果为局域网(LAN)内的每一个用户都申请一个 IP 地址,其费用可想而知。但使用代理服务器后,只需代理服务器上有一个合法的 IP 地址,LAN 内其他用户可以使用
10.*.*.*这样的私有 IP 地址,这样可以节约大量的 IP,降低网络的维护成本。
4.4 防火墙的基本知识与配臵 一 定义 防火墙是一个或一组系统,它在网络之间执行访问控制策略。实防火墙的实际方式各不相同,但是在原则上,防火墙可以被认为是这样一对机制:一种机制是拦阻传输流通行,另一种机制是允许传输流通过。一些防火墙偏重拦阻传输流的通行,而另一些防火墙则偏重允许传输流通过。了解有关防火墙的最重要的概念可能就是它实现了一种访问控制策略。如果你不太清楚你需要允许或否决那类访问,你可以让其他人或某些产品根据他们认为应当做的事来配臵防火墙,然后他(它)们会为你的机构全面地制定访问策略。防火墙是一项协助确保信息安全的设备,会依照特定的规则,允许或是限制传输的数据通过。防火墙可以是一台专属的硬件也可以是架设在一般硬件上的一套软件。
二 重要性 同其它任何社会一样,Internet 也受到某些无聊之人的困扰,这些人喜爱在网上做这类的事,像在现实中向其他人的墙上喷染涂鸦、将他人的邮箱推倒或者坐在大街上按汽车喇叭一样。一些人试图通过 Internet 完成一些真正的工作,而另一些人则拥有敏感或专有数据需要保护。一般来说,防火墙的目是将那些无聊之人挡在你的网络之外,同时使你仍可以完成工作。
许多传统风格的企业和数据中心都制定了计算安全策略和必须遵守的惯例。在一家公司的安全策略规定数据必须被保护的情况下,防火墙更显得十分重要,因为它是这家企业安全策略的具体体现。如果你的公司是一家大企业,连接到
Int-ernet 上的最难做的工作经常不是费用或所需做的工作,而是让管理层信服上网是安全的。防火墙不仅提供了真正的安全性,而且还起到了为管理层盖上一条安全的毯子的重要作用。
最后,防火墙可以发挥你的企业驻 Internet“大使”的作用。许多企业利用其防火墙系统作为保存有关企业产品和服务的公开信息、下载文件、错误修补以及其它一些文件的场所。这些系统当中的几种系统已经成为 Internet 服务结构(如UUnet.uu.net、 whitehouse.gov、gatekeeper.dec.com)的重要组成部分,并且给这些机构的赞助者带来了良好的影响。
三 作用 防火墙最基本的功能就是控制在计算机网络中,不同信任程度区域间传送的数据流。例如互联网是不可信任的区域,而内部网络是高度信任的区域。以避免安全策略中禁止的一些通信,与建筑中的防火墙功能相似。它有控制信息基本的任务在不同信任的区域。
典型信任的区域包括互联网(一个没有信任的区域) 和一个内部网络(一个高信任的区域) 。
最终目标是提供受控连通性在不同水平的信任区域通过安全政策的运行和连通性模型之间根据最少特权原则。
防火墙具有很好的保护作用。入侵者必须首先穿越防火墙的安全防线,才能接触目标计算机。你可以将防火墙配臵成许多不同保护级别。高级别的保护可能会禁止一些服务,如视频流等,但至少这是你自己的保护选择。
一些防火墙只允许电子邮件通过,因而保护了网络免受除对电子邮件服务攻击之外的任何攻击。另一些防火墙提供不太严格的保护措施,并且拦阻一些众所周知存在问题的服务。
一般来说,防火墙在配臵上是防止来自“外部”世界未经授权的交互式登录的。这大大有助于防止破坏者登录到你网络中的计算机上。一些设计更为精巧的防火墙可以防止来自外部的传输流进入内部,但又允许内部的用户可以自由地与外部通信。如果你切断防火墙的话,它可以保护你免受网络上任何类型的攻击。
防火墙的另一个非常重要的特性是可以提供一个单独的“拦阻点”,在“拦阻点”上设臵安全和审计检查。与计算机系统正受到某些人利用调制解调器拨入攻击的情况不同,防火墙可以发挥一种有效的“电话监听”(Phonetap)和跟踪工具的作用。防火墙提供了一种重要的记录和审计功能;它们经常可以向管理员提供一些情况概要,提供有关通过防火墙的传流输的类型和数量以及有多少次试图闯入防火墙的企图等等信息。
四 设计策略 在负责防火墙的设计、制定工程计划以及实施或监督安装的幸运儿面前,有许多基本设计问题等着他去解决。
首先,最重要的问题是,它应体现你的公司或机构打算如何运行这个系统的策略:安装后的防火墙是为了明确地拒绝除对于连接到网络至关重的服务之外的所有服务,或者,安装就绪的防火墙是为以非威胁方式对“鱼贯而入”的访问("queuing"access)提供一种计量和审计的方法。在这些选择中存在着某种程度的偏执狂;防火墙的最终功能可能将是行政上的结果,而非工程上的决策。
第二个问题是:你需要何种程度的监视、冗余度以及控制水平?通过解决第一个问题,确定了可接受的风险水平(例如你的偏执到何种程度)后,你可以列出一个必须监测什么传输、必须允许什么传输流通行以及应当拒绝什么传输的清单。换句话说,你开始时先列出你的总体目标,然后把需求分析与风险评估结合
在一起,挑出与风险始终对立的需求,加入到计划完成的工作的清单中。
第三个问题是财务上的问题。在此,我们只能以模糊的表达方式论述这个问题,但是,试图以购买或实施解决方案的费用多少来量化提出的解决方案十分重要。例如,一个完整的防火墙的高端产品可能价值 10 万美元,而低端产品可能...
推荐访问:毕业设计 过程 论文