2023年全國(guó)碩士研究生考試考研英語(yǔ)一試題真題(含答案詳解+作文范文)_第1頁(yè)
已閱讀1頁(yè),還剩23頁(yè)未讀, 繼續(xù)免費(fèi)閱讀

下載本文檔

版權(quán)說(shuō)明:本文檔由用戶提供并上傳,收益歸屬內(nèi)容提供方,若內(nèi)容存在侵權(quán),請(qǐng)進(jìn)行舉報(bào)或認(rèn)領(lǐng)

文檔簡(jiǎn)介

1、<p><b>  網(wǎng)絡(luò)工程</b></p><p><b>  課程設(shè)計(jì)報(bào)告</b></p><p>  學(xué) 院 信息科學(xué)與工程學(xué)院 </p><p>  專業(yè)班級(jí) 信安1201班 </p><p>  學(xué)

2、 號(hào) </p><p>  完成時(shí)間 </p><p><b>  目錄</b></p><p><b>  1設(shè)計(jì)要求</b></p><p>  2網(wǎng)絡(luò)

3、架構(gòu)結(jié)構(gòu)設(shè)計(jì) ·······················2</p><p><b>  2.1網(wǎng)絡(luò)拓?fù)湓O(shè)計(jì)</b></p><p>

4、<b>  2.2現(xiàn)狀分析</b></p><p><b>  2.3地址劃分</b></p><p>  2.3.1信息點(diǎn)分析</p><p>  2.3.2子網(wǎng)需求劃分</p><p>  2.3.3學(xué)校VLAN需求劃分</p><p>  3網(wǎng)絡(luò)結(jié)構(gòu)設(shè)計(jì)·&#

5、183;·························8</p><p>  3.1選用的網(wǎng)絡(luò)技術(shù)</p><p>  3.1.1 VLA

6、N虛擬局域網(wǎng)技術(shù)</p><p>  3.1.2千兆位以太網(wǎng)技術(shù)(Gigabit Ethernet) </p><p>  3.1.3 ATM——異步傳輸模式 </p><p>  3.1.4 網(wǎng)絡(luò)QoS設(shè)計(jì)</p><p>  3.1.5 NAT網(wǎng)絡(luò)地址轉(zhuǎn)換</p><p>  3.1.6 ACL訪問(wèn)控制</p

7、><p>  3.2傳輸線路及介質(zhì)</p><p><b>  3.2.1線路選擇</b></p><p>  3.2.2傳輸介質(zhì)選擇</p><p>  3.3 網(wǎng)絡(luò)設(shè)備及網(wǎng)絡(luò)安全設(shè)備選擇</p><p>  3.3.1交換機(jī)的選擇</p><p>  3.3.2路由器的選擇

8、</p><p>  3.3.3防火墻的選擇</p><p>  3.3.4服務(wù)器的選擇</p><p>  4問(wèn)題延伸····················

9、3;·······17</p><p><b>  4.1問(wèn)題呈現(xiàn)</b></p><p>  4.2問(wèn)題分析及解決</p><p>  4.2.1網(wǎng)絡(luò)性能問(wèn)題</p><p>  4.2.2網(wǎng)絡(luò)安全問(wèn)題</p><p>  5

10、設(shè)計(jì)總結(jié)····························22</p><p>  參考文獻(xiàn) ···

11、·························23</p><p><b>  設(shè)計(jì)要求</b></p><p> 

12、 要在某校區(qū)的5棟建筑物中建立網(wǎng)絡(luò)環(huán)境,其中辦公樓與圖書館之間的距離為350米,圖書館與計(jì)算機(jī)機(jī)房之間的距離為600米,兩棟學(xué)生宿舍離辦公樓的距離為800米。網(wǎng)絡(luò)中心的機(jī)房設(shè)在圖書館,辦公樓設(shè)60個(gè)信息點(diǎn)(校辦7個(gè),人事部門9個(gè),財(cái)務(wù)部門20個(gè),另外6個(gè)部門各4個(gè)),圖書館200個(gè)信息點(diǎn),計(jì)算機(jī)機(jī)房400個(gè)信息點(diǎn),建成后的網(wǎng)絡(luò)要接入互聯(lián)網(wǎng)。</p><p> ?。?)畫出網(wǎng)絡(luò)的平面拓?fù)鋱D、所用的網(wǎng)絡(luò)設(shè)備和網(wǎng)絡(luò)安全

13、設(shè)備;</p><p> ?。?)合理地劃分網(wǎng)絡(luò)(各部門單獨(dú)組網(wǎng),每個(gè)信息點(diǎn)分配一個(gè)IP地址)和分配IP地址并寫出每個(gè)網(wǎng)絡(luò)的網(wǎng)絡(luò)號(hào)和廣播地址及網(wǎng)絡(luò)掩碼(均須用十進(jìn)制表示);</p><p>  (3)對(duì)所選用的網(wǎng)絡(luò)技術(shù)、傳輸線路及介質(zhì)、網(wǎng)絡(luò)設(shè)備及網(wǎng)絡(luò)安全設(shè)備進(jìn)行說(shuō)明及選用的理由;</p><p> ?。?)試說(shuō)明當(dāng)這個(gè)網(wǎng)絡(luò)的規(guī)模擴(kuò)大10倍或更多時(shí),在網(wǎng)絡(luò)性能和網(wǎng)絡(luò)安

14、全方面會(huì)出現(xiàn)什么問(wèn)題?應(yīng)該怎么解決?</p><p><b>  網(wǎng)絡(luò)架構(gòu)結(jié)構(gòu)設(shè)計(jì)</b></p><p><b>  2.1網(wǎng)絡(luò)拓?fù)湓O(shè)計(jì)</b></p><p>  整體設(shè)計(jì)分為三層,分別是核心層,匯聚層,接入層,每層都用交換機(jī)設(shè)備進(jìn)行連接。最終完成從網(wǎng)絡(luò)中心到各個(gè)計(jì)算機(jī)終端的網(wǎng)絡(luò)連接。</p><p

15、>  局域網(wǎng)采用星型網(wǎng)絡(luò)拓樸結(jié)構(gòu),星型拓樸結(jié)構(gòu)為現(xiàn)在較為流行的一種網(wǎng)絡(luò)結(jié)構(gòu),它是以一臺(tái)核心交換機(jī)為主而構(gòu)成的網(wǎng)絡(luò),其它交換機(jī)僅與該核心交換機(jī)之間有直接的物理鏈路,核心交換機(jī)VLAN隔離的方法為接入交換機(jī)服務(wù),所有的數(shù)據(jù)必須經(jīng)過(guò)核心交換機(jī)。由于所有節(jié)點(diǎn)的往外傳輸都必須經(jīng)過(guò)核心交換機(jī)來(lái)處理,因此,對(duì)核心交換機(jī)的要求比較高。 優(yōu)點(diǎn)是網(wǎng)絡(luò)結(jié)構(gòu)簡(jiǎn)單,易于維護(hù),便于管理(集中式);每臺(tái)入網(wǎng)機(jī)均需物理線路與處理機(jī)互連,線路利用率低;處理機(jī)

16、負(fù)載重(需處理所有的服務(wù)),因?yàn)槿魏蝺膳_(tái)入網(wǎng)機(jī)之間交換信息,都必須通過(guò)核心交換機(jī);入網(wǎng)主機(jī)故障不影響整個(gè)網(wǎng)絡(luò)的正常工作。對(duì)該網(wǎng)絡(luò)支持的設(shè)備生產(chǎn)廠商有較好的技術(shù)支持。</p><p>  局域網(wǎng)內(nèi)的所有工作節(jié)點(diǎn)通過(guò),光纖,雙絞線與交換機(jī)相連形成一個(gè)星型網(wǎng)絡(luò)。局域網(wǎng)設(shè)備選用1個(gè)核心交換機(jī),5個(gè)匯聚層交換機(jī),以及ATM路由器和防火墻。由于各個(gè)建筑之間的距離較遠(yuǎn),選用光纖連接對(duì)交換機(jī)節(jié)點(diǎn)進(jìn)行連接。</p>

17、<p><b>  2.2現(xiàn)狀分析</b></p><p>  對(duì)網(wǎng)絡(luò)各建筑的分析情況如圖所示</p><p>  如圖所示整個(gè)網(wǎng)絡(luò)分為學(xué)生公寓樓,行政辦公樓,圖書館,計(jì)算機(jī)樓。其中學(xué)生宿舍區(qū)(學(xué)生宿舍1,學(xué)生宿舍2),行政辦公區(qū)(校辦、人事處、財(cái)務(wù)處、其他處),圖書館(學(xué)生閱覽室、電子閱覽室、網(wǎng)絡(luò)中心、借書室),計(jì)算機(jī)教學(xué)區(qū)(計(jì)算機(jī)機(jī)房)</p>

18、;<p><b>  2.3地址劃分</b></p><p>  2.3.1信息點(diǎn)分析</p><p>  表2-1 子網(wǎng)的劃分表</p><p>  2.3.2子網(wǎng)需求劃分</p><p>  在全網(wǎng)可采用IP+MAC綁定方式,全網(wǎng)分布式采用ACL,并按照部門劃分VLAN,劃分相應(yīng)的權(quán)限,保證學(xué)生機(jī)房用機(jī)

19、對(duì)教學(xué)辦公網(wǎng)沒(méi)有訪問(wèn)權(quán)限,只能訪問(wèn)校內(nèi)服務(wù)器及外網(wǎng);IP分配:在辦公區(qū)采用靜態(tài)IP劃分,在學(xué)生區(qū)及移動(dòng)性較大的辦公區(qū)可補(bǔ)充性采用DHCP動(dòng)態(tài)獲得IP地址</p><p>  為了提高IP地址的使用效率,引入了子網(wǎng)的概念。將一個(gè)網(wǎng)絡(luò)劃分為子網(wǎng):采用借位的方式,從主機(jī)位最高位開始借位變?yōu)樾碌淖泳W(wǎng)位,所剩余的部分則仍為主機(jī)位。這使得IP地址的結(jié)構(gòu)分為三級(jí)地址結(jié)構(gòu):網(wǎng)絡(luò)位、子網(wǎng)位和主機(jī)位。這種層次結(jié)構(gòu)便于IP地址分配和管

20、理。它的使用關(guān)鍵在于選擇合適的層次結(jié)構(gòu)--如何既能適應(yīng)各種現(xiàn)實(shí)的物理網(wǎng)絡(luò)規(guī)模,又能充分地利用IP地址空間。子網(wǎng)的劃分主要是根據(jù)子網(wǎng)掩碼來(lái)區(qū)分的,掩碼的作用就是用來(lái)告訴電腦把“大網(wǎng)”劃分為多少個(gè)“小網(wǎng)”,以及每個(gè)子網(wǎng)中的主機(jī)數(shù)目。如表2-2所示,子網(wǎng)的劃分。</p><p>  表2-2 子網(wǎng)的劃分表</p><p>  2.3.3學(xué)校VLAN需求劃分</p><p&g

21、t;  在校園網(wǎng)絡(luò)的整個(gè)網(wǎng)絡(luò)規(guī)劃當(dāng)中,VLAN 的劃分是非常重要的部分,很好的利用VLAN技術(shù)的功能,能起到事半功倍的效果,對(duì)整個(gè)網(wǎng)絡(luò)的性能也是事關(guān)重要的。主要突出為以下幾點(diǎn):</p><p>  VLAN 劃分,可以避免廣播風(fēng)暴,在接入網(wǎng)絡(luò)中尤為突出,在多媒體、視頻點(diǎn)播等很容易引起廣播信息;劃分之后,VLAN 是廣播只在子網(wǎng)中進(jìn)行,不會(huì)做無(wú)意義的廣播,消除了廣播風(fēng)暴產(chǎn)生的條件。</p><p

22、>  VLAN 劃分,可以增加網(wǎng)絡(luò)的安全性,在不同的VLAN之間不能隨意通訊,只限與本子網(wǎng)間通訊,不會(huì)對(duì)其他的子網(wǎng)產(chǎn)生干擾。要進(jìn)行訪問(wèn),需要通過(guò)三層交換,這樣信息流就得到相當(dāng)好的控制。</p><p>  網(wǎng)絡(luò)管理系統(tǒng)采用完全獨(dú)立的IP子網(wǎng)和VLAN,實(shí)現(xiàn)更加安全的對(duì)所有網(wǎng)絡(luò)設(shè)備進(jìn)行管理。建立VLAN 和IP 子網(wǎng)的對(duì)應(yīng)關(guān)系。</p><p>  提高管理效率,實(shí)現(xiàn)虛擬的工作組,減少

23、站點(diǎn)的移動(dòng)和改變的開銷。</p><p>  VLAN 間的子網(wǎng)訪問(wèn),可以在三層交換機(jī)上實(shí)現(xiàn),子網(wǎng)間的通訊也可以在匯聚設(shè)備上實(shí)現(xiàn),分流核心交換機(jī)的三層交換,優(yōu)化了組網(wǎng)。</p><p>  根據(jù)以往網(wǎng)絡(luò)管理經(jīng)驗(yàn)和骨干網(wǎng)絡(luò)網(wǎng)絡(luò)改造的實(shí)際情況,方案建議在核心網(wǎng)絡(luò)VLAN劃分規(guī)劃以“靈活劃分、方便管理”為基本原則,以不同的使用群體為VLAN范圍劃分。這樣劃分VLAN的好處有:</p>

24、<p>  1、方便管理。為了更好的進(jìn)行VLAN規(guī)劃的實(shí)施,因此在網(wǎng)絡(luò)實(shí)施前期,要對(duì)網(wǎng)絡(luò)中不同區(qū)域的VLAN設(shè)置進(jìn)行詳細(xì)的規(guī)劃,細(xì)化到接入層網(wǎng)絡(luò),這樣在這樣大型的校園網(wǎng)絡(luò)中如果以用戶群體來(lái)劃分VLAN的話,避免由于前期配置設(shè)備時(shí)復(fù)雜煩瑣,而且由于相同的用戶群體可能在不同的物理位置,導(dǎo)致造成整個(gè)校園網(wǎng)絡(luò)中VLAN劃分復(fù)雜,減輕管理和后期維護(hù)。所以方案建議網(wǎng)絡(luò)劃分VLAN方式前進(jìn)行詳盡規(guī)劃,這樣既可以減少?gòu)V播域,又達(dá)到劃分VL

25、AN,方便管理的效果,對(duì)于后期網(wǎng)絡(luò)維護(hù)和升級(jí)具有十分現(xiàn)實(shí)的意義。</p><p>  2、易于實(shí)施。按群體劃分VLAN在工程實(shí)施中就十分的方便,不會(huì)造成VLAN劃分復(fù)雜失誤而使得網(wǎng)絡(luò)出現(xiàn)不通的現(xiàn)象,便于工程快速實(shí)施和網(wǎng)絡(luò)中心整體規(guī)劃。</p><p>  3、VLAN間路由采用三層交換設(shè)備進(jìn)行VLAN路由。以便不同VLAN間進(jìn)行訪問(wèn),對(duì)于學(xué)校重要網(wǎng)絡(luò)資源,需要進(jìn)行權(quán)限訪問(wèn)的時(shí)候,建議采用專

26、家級(jí)ACL(可同時(shí)基于VLAN號(hào)、以太網(wǎng)類型、MAC地址、IP地址、TCP/UDP端口號(hào)、時(shí)間靈活組合限定的硬件ACL)來(lái)進(jìn)行訪問(wèn)權(quán)限設(shè)定,保障重要資料不被非法訪問(wèn)。</p><p>  物理/鏈路層配置遵循下面的原則: </p><p>  1.網(wǎng)絡(luò)設(shè)備互連的物理端口都應(yīng)該綁定端口的速率和全雙工模式; </p><p>  2.建議所有的Vlan都不要穿透核心

27、層,所有的Vlan都將在匯聚層交換機(jī)上終結(jié); </p><p>  3.本實(shí)施方案建議不要啟用STP生成樹協(xié)議,由于所有的Vlan都已在匯聚層交換機(jī)終結(jié),在二 層上并沒(méi)有環(huán)路存在,故無(wú)必要啟用;如果開啟基于每個(gè)Vlan的生成樹協(xié)議,廣播報(bào)文將會(huì)很多,影響核心交換機(jī)性能和網(wǎng)絡(luò)收斂時(shí)間; </p><p>  4.所有核心層和匯聚層交換機(jī)之間的互連端口均設(shè)置為Trunk模式,但目前只容許互

28、連Vlan通過(guò),以應(yīng)付將來(lái)有Vlan穿越核心層這種情況; </p><p>  5.匯聚層交換機(jī)和接入交換機(jī)之間的互連端口設(shè)置為Trunk模式</p><p>  表2-3 vlan的劃分及IP的分配表</p><p>  另外,IP地址分為公網(wǎng)地址和私網(wǎng)地址兩類,公有地址(Public address)由Inter NIC(Internet Network In

29、formation Center 因特網(wǎng)信息中心)負(fù)責(zé)。這些IP地址分配給注冊(cè)并向Inter NIC提出申請(qǐng)的組織機(jī)構(gòu)。通過(guò)它直接訪問(wèn)因特網(wǎng)。ISP分配給學(xué)校的全局IP地址地址段為: 202.106.0.3 --202.106.0.200/24.,私有地址(Private address)屬于非注冊(cè)地址,專門為組織機(jī)構(gòu)內(nèi)部使用。以下列出留用的內(nèi)部私有地址</p><p>  A類 10.0.0.0--10.255

30、.255.255</p><p>  B類 172.16.0.0--172.31.255.255</p><p>  C類 192.168.0.0--192.168.255.255</p><p><b>  網(wǎng)絡(luò)結(jié)構(gòu)設(shè)計(jì)</b></p><p>  3.1選用的網(wǎng)絡(luò)技術(shù)</p><p>  3.

31、1.1 VLAN虛擬局域網(wǎng)技術(shù)</p><p>  VLAN(Virtual Local Area Network)稱為虛擬局域網(wǎng),是指在邏輯上將物理的LAN分成不同小的邏輯子網(wǎng),每一個(gè)邏輯子網(wǎng)就是一個(gè)單獨(dú)的播域。簡(jiǎn)單地說(shuō),就是將一個(gè)大的物理的局域網(wǎng)(LAN)在交換機(jī)上通過(guò)軟件劃分成若干個(gè)小的虛擬的局域網(wǎng)(VLAN)。因?yàn)榻粨Q機(jī)通信的原理就是要通過(guò)“廣播”來(lái)發(fā)現(xiàn)通往的目的MAC地址,以便在交換機(jī)內(nèi)部的MAC數(shù)據(jù)庫(kù)

32、建立MAC地址表,而廣播不能跨越不同網(wǎng)段。</p><p>  VLAN技術(shù)的出現(xiàn),使得管理員根據(jù)實(shí)際應(yīng)用需求,把同一物理局域網(wǎng)內(nèi)的不同用戶邏 輯地劃分成不同的廣播域,每一個(gè)VLAN都包含一組有著相同需求的計(jì)算機(jī)工作站,與物理 上形成的LAN有著相同的屬性。由于它是從邏輯上劃分,而不是從物理上劃分,所以同一個(gè) VLAN內(nèi)的各個(gè)工作站沒(méi)有限制在同一個(gè)物理范圍中,即這些工作站可以在不同物理LAN網(wǎng)段 。由VLAN的特

33、點(diǎn)可知,一個(gè)VLAN內(nèi)部的廣播和單播流量都不會(huì)轉(zhuǎn)發(fā)到其他VLAN中,從而有助于控制流量、減少設(shè)備投資、簡(jiǎn)化網(wǎng)絡(luò)管理、提高網(wǎng)絡(luò)的安全性。 VLAN除了能將網(wǎng)絡(luò)劃 分為多個(gè)廣播域,從而有效地控制廣播風(fēng)暴的發(fā)生,以及使網(wǎng)絡(luò)的拓?fù)浣Y(jié)構(gòu)變得非常靈活的優(yōu)點(diǎn)外,還可以用于控制網(wǎng)絡(luò)中不同部門、不同站點(diǎn)之間的互相訪問(wèn)。</p><p>  通過(guò)劃分VLAN子網(wǎng),能劃小了廣播域,避免了數(shù)據(jù)碰撞在大的物理LAN內(nèi)產(chǎn)生嚴(yán)重后果的可能,也

34、避免了廣播風(fēng)暴的產(chǎn)生。提高交換網(wǎng)絡(luò)的交換效率,保證網(wǎng)絡(luò)穩(wěn)定。提高網(wǎng)絡(luò)安全性,通過(guò)劃分VLAN,LAN被劃分不同子網(wǎng)段,因此不能直接通信。必要的通信必須經(jīng)過(guò)路由來(lái)實(shí)現(xiàn),因此可在路由器(或三層交換機(jī))上配置訪問(wèn)列表來(lái)進(jìn)行跨子網(wǎng)段的授權(quán)訪問(wèn),從而提高校園內(nèi)部網(wǎng)絡(luò)訪問(wèn)的安全性。方便網(wǎng)絡(luò)管理:采用VLAN技術(shù)來(lái)劃分校園網(wǎng)絡(luò),一個(gè)VLAN可以根據(jù)不同的院系、辦公室或者服務(wù)器組將不同地理位置的工作站劃分為一個(gè)邏輯網(wǎng)段。在不改動(dòng)網(wǎng)絡(luò)物理連接的情況下可以

35、任意地將工作站在子網(wǎng)之間移動(dòng),VLAN提供了網(wǎng)段和機(jī)構(gòu)的彈性組合機(jī)制。VLAN技術(shù)很好的解決了網(wǎng)絡(luò)管理的問(wèn)題,能實(shí)現(xiàn)網(wǎng)絡(luò)監(jiān)督與管理的自動(dòng)化,從而更有效的進(jìn)行網(wǎng)絡(luò)監(jiān)控。如表2-3所示,該學(xué)校校園網(wǎng)絡(luò)Vlan的劃分及IP的分配。</p><p>  3.1.2千兆位以太網(wǎng)技術(shù)(Gigabit Ethernet)  </p><p>  千兆位以太網(wǎng)技術(shù)以簡(jiǎn)單的以太

36、網(wǎng)技術(shù)為基礎(chǔ),為網(wǎng)絡(luò)主干提供1Gbps的帶寬。千兆位以太網(wǎng)技術(shù)以自然的方法來(lái)升級(jí)現(xiàn)有的以太網(wǎng)絡(luò)、工作站、管理工具和管理人員的技能。千兆位以太網(wǎng)與其他速度相當(dāng)?shù)母咚倬W(wǎng)絡(luò)技術(shù)相比,價(jià)格低,同時(shí)比較簡(jiǎn)單,例如保留以太網(wǎng)的幀格式、管理工具和對(duì)網(wǎng)絡(luò)概念上的認(rèn)識(shí)。  </p><p>  千兆以太網(wǎng)是相當(dāng)成功的10Mbps以太網(wǎng)和100Mbps快速以太網(wǎng)連接標(biāo)準(zhǔn)的擴(kuò)展?,F(xiàn)在千兆位以太網(wǎng)成熟的標(biāo)準(zhǔn)為IEEE

37、 802.3z.</p><p>  千兆位以太網(wǎng)能夠提供更高的帶寬,并且成為有強(qiáng)大伸縮性的以太網(wǎng)家族的第三個(gè)成員。利用交換機(jī)或路由器可以與現(xiàn)有低速的以太網(wǎng)用戶和設(shè)備連接起來(lái),因?yàn)榍д孜灰蕴W(wǎng)的幀格式和幀尺寸大小等都與所有以太網(wǎng)技術(shù)相同,不需要對(duì)網(wǎng)絡(luò)做任何改變。這種升級(jí)方法使得千兆位以太網(wǎng)相對(duì)于其他高速網(wǎng)絡(luò)技術(shù)而言,在經(jīng)濟(jì)和管理性能方面都是較好的選擇。 </p><p>

38、;  千兆以太網(wǎng)技術(shù)的優(yōu)點(diǎn):  </p><p>  技術(shù)簡(jiǎn)單,例如保留以太網(wǎng)的幀格式、管理工具和對(duì)網(wǎng)絡(luò)概念上的認(rèn)識(shí).便于升級(jí),從現(xiàn)有的傳統(tǒng)以太網(wǎng)和快速以太網(wǎng)可以平滑地過(guò)渡到千兆以太網(wǎng),并不需要掌握新的配置、管理與排除故障技術(shù);網(wǎng)絡(luò)投資可以得到保護(hù),無(wú)需對(duì)用戶進(jìn)行再培訓(xùn),也無(wú)需為額外的網(wǎng)絡(luò)協(xié)議進(jìn)行投資;千兆以太網(wǎng)有良好的互操作性,并具有向后兼容性;端口價(jià)格相對(duì)較低;可以提供10倍于快速以太網(wǎng)的

39、傳輸速度。  </p><p>  綜上所述,在選擇網(wǎng)絡(luò)技術(shù)時(shí)應(yīng)該考慮如下:長(zhǎng)遠(yuǎn)來(lái)看如何保護(hù)現(xiàn)有投資。保護(hù)現(xiàn)有投資的有效途徑就是在將來(lái)網(wǎng)絡(luò)技術(shù)升級(jí)時(shí)還能使用現(xiàn)有的網(wǎng)絡(luò)技術(shù)和產(chǎn)品。如同計(jì)算機(jī)的發(fā)展速度一樣,網(wǎng)絡(luò)技術(shù)的發(fā)展也是非常迅速的。如果在現(xiàn)有技術(shù)不能合理保證在將來(lái)網(wǎng)絡(luò)升級(jí)后還能夠使用,那么將會(huì)帶來(lái)極大的資金浪費(fèi)。從目前的趨勢(shì)來(lái)看,采用千兆以太網(wǎng)技術(shù)是最適宜的</p><p

40、>  3.1.3 ATM——異步傳輸模式 </p><p>  ATM(Asynchronous Transfer Mode)顧名思義就是異步傳輸模式,就是國(guó)際電信聯(lián)盟ITU-T制定的標(biāo)準(zhǔn),實(shí)際上在80年代中期,人們就已經(jīng)開始進(jìn)行快速分組交換的實(shí)驗(yàn),建立了多種命名不相同的模型,歐洲重在圖象通信把相應(yīng)的技術(shù)稱為異步時(shí)分復(fù)用(ATD)美國(guó)重在高速數(shù)據(jù)通信把相應(yīng)的技術(shù)稱為快速分組交換(FPS),國(guó)際電聯(lián)經(jīng)過(guò)協(xié)調(diào)研

41、究,于1988年正式命名為Asynchronous Transfer Mode(ATM) 技術(shù),推薦其為寬帶綜合業(yè)務(wù)數(shù)據(jù)網(wǎng)B-ISDN的信息傳輸模式。</p><p>  ATM技術(shù)具有如下特點(diǎn):</p><p>  1.實(shí)現(xiàn)網(wǎng)絡(luò)傳輸有連接服務(wù),實(shí)現(xiàn)服務(wù)質(zhì)量保證(QoS)。</p><p>  2.交換吞吐量大、帶寬利用率高。</p><p>

42、;  3.具有靈活的組網(wǎng)拓?fù)浣Y(jié)構(gòu)和負(fù)載平衡能力,伸縮性、可靠性極高。</p><p>  4.ATM是現(xiàn)今唯一可同時(shí)應(yīng)用于局域網(wǎng)、廣域網(wǎng)兩種網(wǎng)絡(luò)應(yīng)用領(lǐng)域的網(wǎng)絡(luò)技術(shù),它將局域網(wǎng)與廣域網(wǎng)技術(shù)統(tǒng)一。它的速率可達(dá)千兆位,即1000Mbps。</p><p>  使用ATM異步傳輸模式,能夠?qū)M足校園網(wǎng)設(shè)計(jì)中的各交換機(jī)之間的連接服務(wù),有較大的吞吐量,能夠保證帶寬。將局域網(wǎng)中的傳輸速率達(dá)到1000Mb

43、ps。</p><p>  3.1.4 網(wǎng)絡(luò)QoS設(shè)計(jì)</p><p>  為確保用戶各種關(guān)鍵業(yè)務(wù)的正常開展,必須采取全面而系統(tǒng)的QoS設(shè)計(jì)(提供端到端QoS服務(wù)),以保證重要的數(shù)據(jù)流在網(wǎng)絡(luò)發(fā)生擁塞時(shí)獲得有保證的吞吐量和最低的延時(shí);為了保證端到端用戶的服務(wù)質(zhì)量,因此要求端到端數(shù)據(jù)流經(jīng)的所有網(wǎng)絡(luò)設(shè)備都支持實(shí)施的QoS策略,核心設(shè)備是多個(gè)服務(wù)器接入的設(shè)備,并且擔(dān)負(fù)著全網(wǎng)數(shù)據(jù)的交換,QoS的能力

44、影響著全網(wǎng)的服務(wù)質(zhì)量保障能力。</p><p>  使用的交換機(jī)支持豐富的QoS功能,能確保重要業(yè)務(wù)量不受延遲或丟棄,同時(shí)又充分利用現(xiàn)有的帶寬以保證網(wǎng)絡(luò)的高效運(yùn)行。</p><p>  例如,將下載一個(gè)大型文件的任務(wù)設(shè)置到交換機(jī)一個(gè)端口,而在該交換機(jī)的另外一個(gè)端口進(jìn)行語(yǔ)音通信,為減少語(yǔ)音通信時(shí)延,保證通話質(zhì)量,可在整個(gè)網(wǎng)絡(luò)中對(duì)各種業(yè)務(wù)進(jìn)行分類和優(yōu)先級(jí)劃分。在校園網(wǎng)絡(luò)中,由于信息資源集中于網(wǎng)

45、絡(luò)中心,為保證全網(wǎng)的QoS,要求資源中心核心交換機(jī)、匯聚交換機(jī)和接入交換機(jī)均支持第三層的QoS標(biāo)注方案,而二層的802.1P標(biāo)記對(duì)于這樣的網(wǎng)絡(luò)并沒(méi)有實(shí)際意義,因?yàn)?02.1P的標(biāo)記不能在交換機(jī)之間傳遞,只能在本機(jī)上有用。</p><p>  多業(yè)務(wù)交換機(jī)支持基于基于DiffServ標(biāo)準(zhǔn)為核心的QoS保障系統(tǒng),支持IP TOS、SP、WRR等完整的QoS策略,實(shí)現(xiàn)基于全網(wǎng)系統(tǒng)多業(yè)務(wù)的QoS邏輯,另外提供靈活的端口隊(duì)

46、列管理機(jī)制,端口多級(jí)擁塞設(shè)置;具備MAC流、IP流、應(yīng)用流、時(shí)間流等多層流分類和流控制能力,實(shí)現(xiàn)帶寬控制、轉(zhuǎn)發(fā)優(yōu)先級(jí)等多種流策略,支持網(wǎng)絡(luò)根據(jù)不同的應(yīng)用、以及不同應(yīng)用所需要的服務(wù)質(zhì)量特性,提供服務(wù)。</p><p>  通過(guò)從核心到接入設(shè)備全程對(duì)QoS的良好支持,全部硬件提供二到四層數(shù)據(jù)流交換,實(shí)現(xiàn)應(yīng)用感知的功能,給予多媒體辦公應(yīng)用提供透明的QoS保障,確保真正的端到端的QoS的實(shí)現(xiàn)。</p>&l

47、t;p>  3.1.5 NAT網(wǎng)絡(luò)地址轉(zhuǎn)換</p><p>  網(wǎng)絡(luò)地址轉(zhuǎn)換(NAT,Network Address Translation)被廣泛應(yīng)用于各種類型Internet接入方式和各種類型的網(wǎng)絡(luò)中。原因很簡(jiǎn)單,NAT不僅完美地解決了lP地址不足的問(wèn)題,而且還能夠有效地避免來(lái)自網(wǎng)絡(luò)外部的攻擊,隱藏并保護(hù)網(wǎng)絡(luò)內(nèi)部的計(jì)算機(jī)。雖然NAT可以借助于某些代理服務(wù)器來(lái)實(shí)現(xiàn),但考慮到運(yùn)算成本和網(wǎng)絡(luò)性能,很多時(shí)候都是

48、在路由器上來(lái)實(shí)現(xiàn)的。 </p><p>  隨著接入Internet的計(jì)算機(jī)數(shù)量的不斷猛增,IP地址資源也就愈加顯得捉襟見肘。事實(shí)上,除了中國(guó)教育和科研計(jì)算機(jī)網(wǎng)(CERNET)外,一般用戶幾乎申請(qǐng)不到整段的C類IP地址。在其他ISP那里,即使是擁有幾百臺(tái)計(jì)算機(jī)的大型局域網(wǎng)用戶,當(dāng)他們申請(qǐng)IP地址時(shí),所分配的地址也不過(guò)只有幾個(gè)或十幾個(gè)IP地址。顯然,這樣少的IP地址根本無(wú)法滿足網(wǎng)絡(luò)用戶的需求,于是也就產(chǎn)生了NAT技

49、術(shù)。</p><p>  NAT的實(shí)現(xiàn)方式有三種,即靜態(tài)轉(zhuǎn)換Static Nat、動(dòng)態(tài)轉(zhuǎn)換Dynamic Nat 和 端口多路復(fù)用OverLoad。</p><p>  靜態(tài)轉(zhuǎn)換是指將內(nèi)部網(wǎng)絡(luò)的私有IP地址轉(zhuǎn)換為公有IP地址,IP地址對(duì)是一對(duì)一的,是一成不變的,某個(gè)私有IP地址只轉(zhuǎn)換為某個(gè)公有IP地址。借助于靜態(tài)轉(zhuǎn)換,可以實(shí)現(xiàn)外部網(wǎng)絡(luò)對(duì)內(nèi)部網(wǎng)絡(luò)中某些特定設(shè)備(如服務(wù)器)的訪問(wèn)。</p

50、><p>  動(dòng)態(tài)轉(zhuǎn)換是指將內(nèi)部網(wǎng)絡(luò)的私有IP地址轉(zhuǎn)換為公用IP地址時(shí),IP地址對(duì)是不確定的,而是隨機(jī)的,所有被授權(quán)訪問(wèn)上Internet的私有IP地址可隨機(jī)轉(zhuǎn)換為任何指定的合法IP地址。也就是說(shuō),只要指定哪些內(nèi)部地址可以進(jìn)行轉(zhuǎn)換,以及用哪些合法地址作為外部地址時(shí),就可以進(jìn)行動(dòng)態(tài)轉(zhuǎn)換。動(dòng)態(tài)轉(zhuǎn)換可以使用多個(gè)合法外部地址集。當(dāng)ISP提供的合法IP地址略少于網(wǎng)絡(luò)內(nèi)部的計(jì)算機(jī)數(shù)量時(shí)??梢圆捎脛?dòng)態(tài)轉(zhuǎn)換的方式。</p>

51、;<p>  端口多路復(fù)用(Port address Translation,PAT)是指改變外出數(shù)據(jù)包的源端口并進(jìn)行端口轉(zhuǎn)換,即端口地址轉(zhuǎn)換(PAT,Port Address Translation).采用端口多路復(fù)用方式。內(nèi)部網(wǎng)絡(luò)的所有主機(jī)均可共享一個(gè)合法外部IP地址實(shí)現(xiàn)對(duì)Internet的訪問(wèn),從而可以最大限度地節(jié)約IP地址資源。同時(shí),又可隱藏網(wǎng)絡(luò)內(nèi)部的所有主機(jī),有效避免來(lái)自internet的攻擊。因此,目前網(wǎng)絡(luò)中應(yīng)

52、用最多的就是端口多路復(fù)用方式。</p><p>  3.1.6 ACL訪問(wèn)控制</p><p>  訪問(wèn)控制列表(Access Control List,ACL) 是路由器和交換機(jī)接口的指令列表,用來(lái)控制端口進(jìn)出的數(shù)據(jù)包。ACL適用于所有的被路由協(xié)議,如IP、IPX、AppleTalk等。這張表中包含了匹配關(guān)系、條件和查詢語(yǔ)句,表只是一個(gè)框架結(jié)構(gòu),其目的是為了對(duì)某種訪問(wèn)進(jìn)行控制。 <

53、/p><p>  信息點(diǎn)間通信,內(nèi)外網(wǎng)絡(luò)的通信都是企業(yè)網(wǎng)絡(luò)中必不可少的業(yè)務(wù)需求,但是為了保證內(nèi)網(wǎng)的安全性,需要通過(guò)安全策略來(lái)保障非授權(quán)用戶只能訪問(wèn)特定的網(wǎng)絡(luò)資源,從而達(dá)到對(duì)訪問(wèn)進(jìn)行控制的目的。簡(jiǎn)而言之,ACL可以過(guò)濾網(wǎng)絡(luò)中的流量,控制訪問(wèn)的一種網(wǎng)絡(luò)技術(shù)手段。ACL技術(shù)用在了核心交換機(jī)的SW0上面,不允許學(xué)生公寓區(qū)訪問(wèn)行政區(qū),其它的都可以。</p><p>  對(duì)信息的權(quán)限的控制,阻止了非授權(quán)用

54、戶進(jìn)行的信息的瀏覽,修改甚至破壞。適當(dāng)?shù)乜刂茖?duì)Web和FTP內(nèi)容的訪問(wèn)是安全運(yùn)行Web服務(wù)器的關(guān)鍵。使用 Windows和IIS中的安全功能,您可以有效地控制用戶訪問(wèn)您Web和FTP內(nèi)容的方式??梢钥刂贫嗉?jí)訪問(wèn),從整個(gè)網(wǎng)站和FTP站點(diǎn)到單獨(dú)的文件。每個(gè)帳戶均被授予用戶特權(quán)和權(quán)限。用戶特權(quán)是指在計(jì)算機(jī)或網(wǎng)絡(luò)上執(zhí)行特定操作的權(quán)力。權(quán)限是與對(duì)象(如文件或文件夾)關(guān)聯(lián)的規(guī)則,用于控制哪些帳戶可以獲得對(duì)象的訪問(wèn)權(quán)限。</p><

55、;p>  3.2傳輸線路及介質(zhì)</p><p><b>  3.2.1線路選擇</b></p><p>  建筑系統(tǒng)間的布線主要的就是對(duì)各主要建筑屋之間的連接,考慮的問(wèn)題有多個(gè)方面:帶寬的需求,外部自然地形的匹配,外部環(huán)境的等。我們通過(guò)上面的需求分析,同時(shí)結(jié)合下面的對(duì)其他因數(shù)的比較,得出建筑物之間最好用1000MB/S的光纖進(jìn)行連接。</p>&l

56、t;p>  根據(jù)各網(wǎng)絡(luò)內(nèi)各建筑的方位,可以得出布線線路。由圖書館網(wǎng)絡(luò)中心核心交換機(jī)分別連接到計(jì)算機(jī)樓,辦公樓的匯聚交換機(jī),學(xué)生宿舍的交換機(jī)線路由辦公樓交換機(jī)引出。</p><p>  3.2.2傳輸介質(zhì)選擇</p><p>  由上表列出了千兆以太網(wǎng)現(xiàn)在支持的距離標(biāo)準(zhǔn)。</p><p>  我們可以選擇單模光纖。我們使用了波長(zhǎng)為1300um的單模光纖,因?yàn)檗k公

57、樓與學(xué)生公寓的距離800m,以及圖書館至計(jì)算機(jī)樓的傳輸距離600m都超過(guò)了多模光纖的傳輸能力,同時(shí)單模光纖的傳輸距離在3000m以內(nèi)對(duì)信號(hào)衰減不會(huì)很明顯。單模信號(hào)的距離損失比多模的小,根據(jù)差分模式延遲的原理分析,單模光纖的光源為激光源,是沿纖芯階躍式傳播,由于多模光纖中玻璃介質(zhì)的缺陷,使得光束在來(lái)回折射的過(guò)程中造成能量的距大衰減。這經(jīng)分析我們選用1000BASE-LX波長(zhǎng)為1300nm帶寬為160~200MHZ的單模光纖。</p&

58、gt;<p>  3.3 網(wǎng)絡(luò)設(shè)備及網(wǎng)絡(luò)安全設(shè)備選擇</p><p>  3.3.1交換機(jī)的選擇</p><p><b>  1.核心層交換機(jī)</b></p><p>  由于校園網(wǎng)絡(luò)規(guī)模較大,需提供多媒體辦公、圖書資料檢索、遠(yuǎn)程互聯(lián)、教育網(wǎng)資源共享等吞吐量較大的網(wǎng)絡(luò)應(yīng)用,為便于管理,選用的交換機(jī)作為網(wǎng)絡(luò)組建交換設(shè)備。選用1臺(tái)RG

59、-S6800E交換機(jī)作為核心交換機(jī)實(shí)現(xiàn)1000M做主干100M到桌面的需求。</p><p>  RG-S6800E是銳捷網(wǎng)絡(luò)推出的基于NP+ASIC構(gòu)架的新一代多業(yè)務(wù)萬(wàn)兆核心路由交換機(jī),RG-S6800E在保障高性能大容量的基礎(chǔ)上提供強(qiáng)大的安全防護(hù)能力,并且擁有業(yè)務(wù)按需疊加擴(kuò)展能力,達(dá)到業(yè)務(wù)和性能并重的設(shè)計(jì)需求。目前提供10豎插槽設(shè)計(jì)和6橫插槽設(shè)計(jì)兩種主機(jī):RG-S6810E和RG-S6806E。 &

60、lt;/p><p>  RG-S6800E系列多業(yè)務(wù)萬(wàn)兆核心路由交換機(jī)提供2.4T/1.2T背板帶寬,并支持將來(lái)擴(kuò)展到4.8T/2.4T的能力,高達(dá)857Mpps/428Mpps的二/三層包轉(zhuǎn)發(fā)速率可為用戶提供高速無(wú)阻塞的數(shù)據(jù)交換,強(qiáng)大的交換路由功能、安全智能技術(shù)可同銳捷各系列交換機(jī)配合,為用戶提供完整的端到端解決方案,是大型網(wǎng)絡(luò)核心骨干和大流量節(jié)點(diǎn)交換機(jī)的理想選擇。 RG-S6800E交換機(jī)通過(guò)先進(jìn)的第三代高性能

61、引擎可硬件支持策略路由、IPV6等協(xié)議,并可擴(kuò)展支持MPLS、load balancing、NAT、VPN、Firewall、IDS、web cache redirect等豐富的業(yè)務(wù)功能,滿足客戶環(huán)境靈活而復(fù)雜的不同應(yīng)用需求。</p><p><b>  2.匯聚層交換機(jī)</b></p><p>  匯聚層交換機(jī)也應(yīng)該采用具有路由功能的多層交換機(jī),以達(dá)到網(wǎng)絡(luò)隔離和分段

62、的目的。為滿足辦公,計(jì)算機(jī)機(jī)房,學(xué)生宿舍等的需求。選用5臺(tái)RG-S5760系列 交換機(jī)作為匯聚層交換機(jī)</p><p>  RG-S5760系列是銳捷網(wǎng)絡(luò)推出的融合了高性能、高安全的全千兆智能機(jī)架式多層交換機(jī),十分適合在企業(yè)網(wǎng)的接入層或者匯聚層使用。同時(shí)支持IPv4/IPv6雙棧,為IPv4網(wǎng)絡(luò)的建設(shè)、IPv4向IPv6網(wǎng)絡(luò)過(guò)渡、以及IPv6網(wǎng)絡(luò)的建設(shè)和通信提供了最直接和最方便靈活的技術(shù)實(shí)現(xiàn)和方案保障。

63、   </p><p>  全千兆的端口形態(tài),機(jī)身自帶4個(gè)復(fù)用的SFP千兆光纖接口,不僅滿足網(wǎng)絡(luò)的彈性擴(kuò)展,和高帶寬傳輸需要,也滿足網(wǎng)絡(luò)建設(shè)中不同傳輸介質(zhì)的連接需要。特別適合高帶寬、高性能和靈活擴(kuò)展的大型網(wǎng)絡(luò)匯聚層、中型網(wǎng)絡(luò)核心層、以及數(shù)據(jù)中心服務(wù)器群的接入使用。  </p><p>  硬件支持IPv4/IPv6雙協(xié)議棧多層線速交換和功能

64、特性,為IPv6網(wǎng)絡(luò)之間的通信提供了豐富的Tunnel技術(shù),可靈活應(yīng)用于純IPv4網(wǎng)絡(luò)、純IPv6網(wǎng)絡(luò)、IPv4與IPv6共存的網(wǎng)絡(luò),能充分滿足當(dāng)前園區(qū)網(wǎng)從IPv4向IPv6過(guò)渡的需要。   </p><p>  提供二到七層的智能的業(yè)務(wù)流分類、完善的服務(wù)質(zhì)量(QoS)保證和組播應(yīng)用管理特性。在提供高性能、多智能的同時(shí),其內(nèi)在的安全防御機(jī)制和用戶接入管理能力,更可有效防止和控制病毒傳

65、播和網(wǎng)絡(luò)攻擊,控制非法用戶接入網(wǎng)絡(luò),保證合法用戶合理地使用網(wǎng)絡(luò)資源,并可以根據(jù)網(wǎng)絡(luò)實(shí)際使用環(huán)境,實(shí)施靈活多樣的安全控制策略,充分保障了網(wǎng)絡(luò)安全、網(wǎng)絡(luò)合理化使用和運(yùn)營(yíng)。</p><p><b>  3.接入層交換機(jī)</b></p><p>  接入層交換機(jī)放置于樓層的設(shè)備間,用于終端用戶的接入。應(yīng)該能夠提供高密度的接入,對(duì)環(huán)境的適應(yīng)能力強(qiáng),運(yùn)行穩(wěn)定。統(tǒng)計(jì)了局域網(wǎng)內(nèi)各建筑

66、物的樓層數(shù)量,決定選用30臺(tái)RG-S20交換機(jī)作為接入層交換機(jī)。</p><p>  產(chǎn)品概述 RG-S20系列是全線速智能型增強(qiáng)網(wǎng)管交換機(jī),具有特別豐富而強(qiáng)大的網(wǎng)管功能,在實(shí)現(xiàn)流量線速交換的同時(shí),可以通過(guò)多重設(shè)置方式進(jìn)行網(wǎng)管操作,實(shí)現(xiàn)802.1Q VLAN、保護(hù)端口、鏈路聚合、Spanning Tree、端口監(jiān)控設(shè)置、靜態(tài)地址管理、廣播風(fēng)暴控制、端口動(dòng)態(tài)MAC地址鎖、端口MAC地址綁定、端口IGMP屬性設(shè)置、

67、802.1p優(yōu)先級(jí)等各種管理。 RG-S20系列交換機(jī)在設(shè)置豐富的管理策略時(shí),可針對(duì)用戶的不同使用情況進(jìn)行靈活的端口帶寬分配,并采用業(yè)界最先進(jìn)的802.1x安全接入控制策略,提供用戶接入安全保障。 RG-S20系列交換機(jī)靈活的上鏈端口擴(kuò)展能力、端口帶寬分配、安全的用戶接入控制使該系列交換機(jī)特別適合于高校、中小學(xué)、金融網(wǎng)點(diǎn)、中小企業(yè)、政府、寬帶社區(qū)等多種應(yīng)用場(chǎng)合。</p><p>  3.3.2路由器的選擇

68、</p><p>  考慮Internet出口路由器的配置。決定選用一臺(tái)銳捷RSR-08路由器。它是校園網(wǎng)對(duì)外的出口,也可以作為保護(hù)校園網(wǎng)的第一道防火墻。</p><p>  銳捷RSR-08路由器是高性能、通用的骨干匯聚路由器,具有高背板帶寬、高包轉(zhuǎn)發(fā)率、結(jié)構(gòu)緊湊、端口密度高等特點(diǎn),并能提供全范圍的光纖和銅纜接口。RSR-08路由器具有強(qiáng)大的業(yè)務(wù)能力,可以滿足目前所有的城域匯聚和接入需求

69、,提供多協(xié)議標(biāo)準(zhǔn)交換 (MPLS)第2或3層隧道技術(shù)、動(dòng)態(tài)帶寬控制和面向連接的數(shù)據(jù)收集體系。作為多協(xié)議標(biāo)記(MPLS)PE路由器,他們使提供商的基于MPLS的業(yè)務(wù)具有高度的可擴(kuò)展性和可靠性。通過(guò)使用VPLS,可以利用原有網(wǎng)絡(luò)和以太網(wǎng)基礎(chǔ)設(shè)施提供VOIP、互聯(lián)網(wǎng)接入、視頻以及多點(diǎn)虛擬專用網(wǎng)(VPN)等融合業(yè)務(wù)。 </p><p>  銳捷RSR-08路由器支持包括TDM、POS、ATM和千兆位以太網(wǎng),速率

70、高達(dá)OC- 48。部署在各種應(yīng)用中,RSR-08路由器可用于搭建骨干匯聚路由器和核心層網(wǎng)絡(luò),為用戶提供綜合的、高性能、功能強(qiáng)大的服務(wù), 并提供高可用性網(wǎng)絡(luò)所需的冗余支持</p><p>  3.3.3防火墻的選擇</p><p>  為了擴(kuò)展的需要,所以采用了RG-WALL1000。RG-WALL1000采用銳捷網(wǎng)絡(luò)獨(dú)創(chuàng)的分類算法(Classification Algorithm

71、)設(shè)計(jì)的新一代安全產(chǎn)品——第三類防火墻,支持?jǐn)U展的狀態(tài)檢測(cè)(Stateful Inspection)技術(shù),具備高性能的網(wǎng)絡(luò)傳輸功能;同時(shí)在啟用動(dòng)態(tài)端口應(yīng)用程序(如VoIP, H323等)時(shí),可提供強(qiáng)有力的安全信道。 </p><p>  采用銳捷獨(dú)創(chuàng)的分類算法使得RG-WALL產(chǎn)品的高速性能不受策略數(shù)和會(huì)話數(shù)多少的影響,產(chǎn)品安裝前后絲毫不會(huì)影響網(wǎng)絡(luò)速度;同時(shí),RG-WALL在內(nèi)核層處

72、理所有數(shù)據(jù)包的接收、分類、轉(zhuǎn)發(fā)工作,因此不會(huì)成為網(wǎng)絡(luò)流量的瓶頸。另外,RG-WALL具有入侵監(jiān)測(cè)功能,可判斷攻擊并且提供解決措施,且入侵監(jiān)測(cè)功能不會(huì)影響防火墻的性能。RG-WALL的主要功能包括:擴(kuò)展的狀態(tài)檢測(cè)功能、防范入侵及其它(如URL過(guò)濾、HTTP透明代理、SMTP代理、分離DNS、NAT功能和審計(jì)/報(bào)告等)附加功能。</p><p>  3.3.4服務(wù)器的選擇</p><p>  

73、華為FusionServer RH2288H V2-8</p><p>  國(guó)際先進(jìn)、國(guó)內(nèi)首創(chuàng)的一體化信息化平臺(tái),嵌入式linux結(jié)構(gòu)、抗病毒、抗攻擊; 主要功能:防火墻、VPN、上網(wǎng)行為管理、網(wǎng)站、郵件、郵件監(jiān)控、病毒垃圾郵件過(guò)濾、FTP、文件服務(wù)器、帶寬管理、負(fù)載均衡等多種功能,企業(yè)信息化性價(jià)比極高整體解決方案</p><p><b>  問(wèn)題延伸</b><

74、/p><p><b>  4.1問(wèn)題呈現(xiàn):</b></p><p>  說(shuō)明當(dāng)這個(gè)網(wǎng)絡(luò)的規(guī)模擴(kuò)大10倍或更多時(shí),在網(wǎng)絡(luò)性能和網(wǎng)絡(luò)安全方面會(huì)出現(xiàn)什么問(wèn)題?應(yīng)該怎么解決?</p><p>  4.2問(wèn)題分析及解決</p><p>  4.2.1網(wǎng)絡(luò)性能問(wèn)題</p><p>  1.網(wǎng)絡(luò)規(guī)模擴(kuò)大,IP地址需

75、求量增大</p><p><b>  解決方案:</b></p><p>  IP地址的統(tǒng)一、合理規(guī)劃以及整個(gè)網(wǎng)絡(luò)向IPv6的演進(jìn)是關(guān)系到整體分層網(wǎng)絡(luò)穩(wěn)定、快速收斂的關(guān)鍵,也是某職業(yè)技術(shù)學(xué)院校園網(wǎng)網(wǎng)絡(luò)設(shè)計(jì)中的重要一環(huán)。IP地址規(guī)劃的好壞,不僅影響到網(wǎng)絡(luò)路由協(xié)議算法的效率,更影響到網(wǎng)絡(luò)的性能和穩(wěn)定以及網(wǎng)絡(luò)的擴(kuò)展和管理,也必將直接影響到相關(guān)新業(yè)務(wù)的開拓和網(wǎng)絡(luò)應(yīng)用的進(jìn)一步可

76、持續(xù)性發(fā)展。 劃分時(shí)注意使用VLAN,充分節(jié)約IP地址,使路由交換機(jī)上能夠采用聚合進(jìn)行路由的合并,減少路由表的大小。出口到互聯(lián)網(wǎng)可以采用NAT防火墻上做地址轉(zhuǎn)換實(shí)現(xiàn)。校區(qū)內(nèi)接入到同一匯聚層交換機(jī)的區(qū)域建議采用連續(xù)IP地址段,以便做路由匯聚。 </p><p>  IP地址的分配原則如下: </p><p> ?。?)給三層交換機(jī)設(shè)備互連的點(diǎn)對(duì)點(diǎn)IP地址分配1個(gè)C類地址,提供足夠的擴(kuò)展性

77、 </p><p> ?。?)考慮到以后的網(wǎng)絡(luò)擴(kuò)展規(guī)模,二層交換機(jī)設(shè)備的管理IP地址分配1個(gè)C類IP地址; </p><p> ?。?)可以考慮為學(xué)校校園網(wǎng)分配若干個(gè)C類私有地址段。 </p><p>  服務(wù)器集群和辦公樓的IP獲取方式為手動(dòng)分配,其他的均為通過(guò)DHCP獲取。上網(wǎng)方式均采用NAT方式</p><p>  2.數(shù)據(jù)吞吐量過(guò)

78、大,核心網(wǎng)帶寬匱乏。</p><p><b>  解決方案</b></p><p>  建立一條高速的、多能的、可靠的、易擴(kuò)展的主干網(wǎng)絡(luò),解決目前存在的帶寬問(wèn)題,適應(yīng)未來(lái)發(fā)展。如果網(wǎng)絡(luò)規(guī)模擴(kuò)大,可直接在主干網(wǎng)絡(luò)中添加核心交換機(jī),而不用更換設(shè)備。</p><p>  對(duì)于校園網(wǎng)這種規(guī)模大、集成度高的網(wǎng)絡(luò),我們建議采用Client/Server結(jié)構(gòu)

79、模式,即將網(wǎng)絡(luò)結(jié)構(gòu)建立在各類信息分布處理和集中管理相結(jié)合的方式上;由于將數(shù)據(jù)處理工作放在各客戶機(jī)(Client)獨(dú)立處理,減輕了服務(wù)器(Server)的負(fù)擔(dān),設(shè)備的性能可得到了良好的應(yīng)用,而且資源信息可以分布共享、集中管理,使得系統(tǒng)的可靠性、開放性不單單依賴服務(wù)器,互補(bǔ)性很強(qiáng)。這種結(jié)構(gòu)靈活性好,速度快,可靠性高,是當(dāng)今流行的網(wǎng)絡(luò)系統(tǒng)方案。</p><p>  3. 由于缺乏帶寬限制和優(yōu)先級(jí)設(shè)置,對(duì)帶寬資源的大量占

80、用導(dǎo)致科研等重要應(yīng)用無(wú)法進(jìn)行</p><p><b>  解決方案</b></p><p>  引入網(wǎng)絡(luò)管理監(jiān)控軟件,保證合法用戶合理化使用網(wǎng)絡(luò),如端口安全、端口隔離、專家級(jí)ACL、時(shí)間ACL、端口ARP報(bào)文合法性檢查、基于數(shù)據(jù)流的帶寬限速、六元素綁定等等,滿足企業(yè)網(wǎng)、校園網(wǎng)加強(qiáng)對(duì)訪問(wèn)者進(jìn)行控制、限制非授權(quán)用戶通信的需求??伸`活控制二-七層數(shù)據(jù)報(bào)文,使得任何一個(gè)用戶P

81、C上的任何一種應(yīng)用報(bào)文通過(guò)網(wǎng)絡(luò)都能得到有效控制,充分保障了網(wǎng)絡(luò)的安全和合理化使用。</p><p>  4.2.2網(wǎng)絡(luò)安全問(wèn)題</p><p>  1. 計(jì)算機(jī)病毒攻擊;</p><p><b>  解決方案:</b></p><p>  提供一套完整的校園網(wǎng)寬帶管理該方案,全面采用IEEE 802.1X認(rèn)證功能,提供了

82、一個(gè)融合防火墻、接入服務(wù)器、訪問(wèn)控制、認(rèn)證、計(jì)費(fèi)功能的強(qiáng)大系統(tǒng),對(duì)學(xué)校存在的每個(gè)問(wèn)題都能提供完全的應(yīng)對(duì)策略。 </p><p>  控制網(wǎng)絡(luò)病毒。 統(tǒng)一對(duì)接入層交換機(jī)做動(dòng)態(tài)下發(fā)安全策略,輕松有效的控制網(wǎng)絡(luò)病毒,使網(wǎng)絡(luò)保持暢通。在匯聚、核心交換設(shè)備設(shè)置由硬件實(shí)現(xiàn)ACL,對(duì)病毒進(jìn)行過(guò)濾,我們選用的匯聚、核心交換設(shè)備都支持SPOH,所以在使用ACL時(shí)將不會(huì)影響整個(gè)交換機(jī)的性能。 </p><

83、p>  抵御網(wǎng)絡(luò)攻擊。 結(jié)合網(wǎng)絡(luò)攻擊的檢測(cè)系統(tǒng),能夠抵御日益增多的內(nèi)部網(wǎng)絡(luò)攻擊,并且自動(dòng)對(duì)用戶做出相應(yīng)的控制動(dòng)作,保證網(wǎng)絡(luò)安全。 </p><p>  安全認(rèn)證到桌面。 采用六元素的自動(dòng)綁定、靜態(tài)綁定、動(dòng)態(tài)綁定相結(jié)合,可以確保用戶入網(wǎng)時(shí)身份唯一,并且避免了IP沖突。 </p><p>  管理分級(jí)授權(quán)。 不同職能的管理者使用同一套系統(tǒng)時(shí)可以得到不同的操作界面以及使用權(quán)限,避

84、免了管理的安全隱患。</p><p>  2.拒絕服務(wù)攻擊(Denial of Service Attack)</p><p><b>  解決方案:</b></p><p>  網(wǎng)絡(luò)設(shè)備拒絕服務(wù)攻擊的防止主要是防止出現(xiàn)TCP SYN泛濫攻擊、Smurf攻擊等;</p><p>  網(wǎng)絡(luò)設(shè)備的防TCP SYN的方法主要是

85、配置網(wǎng)絡(luò)設(shè)備TCP SYN臨界值,若多于這個(gè)臨界值,則丟棄多余的TCP SYN數(shù)據(jù)包;</p><p>  防Smurf攻擊主要是配置網(wǎng)絡(luò)設(shè)備不轉(zhuǎn)發(fā)ICMP echo請(qǐng)求(directed broadcast)和設(shè)置ICMP包臨界值,避免成為一個(gè)Smurf攻擊的轉(zhuǎn)發(fā)者、受害者。</p><p>  正確配置路由器能夠有效防止DoS攻擊</p><p>  使用擴(kuò)展訪

86、問(wèn)列表,擴(kuò)展訪問(wèn)列表是防止DoS攻擊的有效工具。它既可以用來(lái)探測(cè)DoS攻擊的類型,也可以阻止DoS攻擊。Show ip access-list命令能夠顯示每個(gè)擴(kuò)展訪問(wèn)列表的匹配數(shù)據(jù)包,根據(jù)數(shù)據(jù)包的類型,用戶就可以確定DoS攻擊的種類。如果網(wǎng)絡(luò)中出現(xiàn)了大量建立TCP連接的請(qǐng)求,這表明網(wǎng)絡(luò)受到了SYN Flood攻擊,這時(shí)用戶就可以改變?cè)L問(wèn)列表的配置,阻止DoS攻擊。</p><p>  使用QoS ,使用服務(wù)質(zhì)量?jī)?yōu)

87、化(QoS)特征,如加權(quán)公平隊(duì)列(WFQ)、承諾訪問(wèn)速率(CAR)、一般流量整形(GTS)以及定制隊(duì)列(CQ)等,都可以有效阻止DoS攻擊。需要注意的是,不同的QoS策略對(duì)付不同DoS攻擊的效果是有差別的。例如,WFQ對(duì)付Ping Flood攻擊要比防止SYN Flood攻擊更有效,這是因?yàn)镻ing Flood通常會(huì)在WFQ中表現(xiàn)為一個(gè)單獨(dú)的傳輸隊(duì)列,而SYN Flood攻擊中的每一個(gè)數(shù)據(jù)包都會(huì)表現(xiàn)為一個(gè)單獨(dú)的數(shù)據(jù)流。此外,人們可以利用

88、CAR來(lái)限制ICMP數(shù)據(jù)包流量的速度,防止Smurf攻擊,也可以用來(lái)限制SYN數(shù)據(jù)包的流量速度,防止SYN Flood攻擊。使用QoS防止DoS攻擊,需要用戶弄清楚QoS以及DoS攻擊的原理,這樣才能針對(duì)DoS攻擊的不同類型采取相應(yīng)的防范措施。</p><p>  使用單一地址逆向轉(zhuǎn)發(fā),逆向轉(zhuǎn)發(fā)(RPF)是路由器的一個(gè)輸入功能,該功能用來(lái)檢查路由器接口所接收的每一個(gè)數(shù)據(jù)包。如果路由器接收到一個(gè)源IP地址為10.1

89、0.10.1的數(shù)據(jù)包,但是CEF(Cisco Express Forwarding)路由表中沒(méi)有為該IP地址提供任何路由信息,路由器就會(huì)丟棄該數(shù)據(jù)包,因此逆向轉(zhuǎn)發(fā)能夠阻止Smurf攻擊和其他基于IP地址偽裝的攻擊。</p><p>  使用TCP攔截 ,在TCP連接請(qǐng)求到達(dá)目標(biāo)主機(jī)之前,TCP攔截通過(guò)攔截和驗(yàn)證來(lái)阻止這種攻擊。TCP攔截可以在攔截和監(jiān)視兩種模式下工作。在攔截模式下,路由器攔截到達(dá)的TCP同步請(qǐng)求,

90、并代表服務(wù)器建立與客戶機(jī)的連接,如果連接成功,則代表客戶機(jī)建立與服務(wù)器的連接,并將兩個(gè)連接進(jìn)行透明合并。在整個(gè)連接期間,路由器會(huì)一直攔截和發(fā)送數(shù)據(jù)包。對(duì)于非法的連接請(qǐng)求,路由器提供更為嚴(yán)格的對(duì)于half-open的超時(shí)限制,以防止自身的資源被SYN攻擊耗盡。在監(jiān)視模式下,路由器被動(dòng)地觀察流經(jīng)路由器的連接請(qǐng)求,如果連接超過(guò)了所配置的建立時(shí)間,路由器就會(huì)關(guān)閉此連接。</p><p><b>  3.“黑客”

91、的攻擊</b></p><p><b>  解決方案</b></p><p>  部署入侵檢測(cè)/保護(hù)系統(tǒng),防火墻作為安全保障體系的第一道防線,防御黑客攻擊。但是,隨著攻擊者知識(shí)的日趨成熟,攻擊工具與手法的日趨復(fù)雜多樣,單純的防火墻已經(jīng)無(wú)法滿足企業(yè)的安全需要,部署了防火墻的安全保障</p><p>  體系仍需要進(jìn)一步完善。 <

92、/p><p>  傳統(tǒng)防火墻的不足主要體現(xiàn)在以下幾個(gè)方面: </p><p>  防火墻作為訪問(wèn)控制設(shè)備,無(wú)法檢測(cè)或攔截嵌入到普通流量中的惡意攻擊代碼,比如針對(duì) WEB 服務(wù)的 Code Red 蠕蟲等。</p><p>  有些主動(dòng)或被動(dòng)的攻擊行為是來(lái)自防火墻內(nèi)部的,防火墻無(wú)法發(fā)現(xiàn)內(nèi)部網(wǎng)絡(luò)中的攻擊行為。 </p><p>  作為網(wǎng)絡(luò)訪問(wèn)控制設(shè)

93、備,受限于功能設(shè)計(jì),防火墻難以識(shí)別復(fù)雜的網(wǎng)絡(luò)攻擊并保存相關(guān)信息,以協(xié)助后續(xù)調(diào)查和取證工作的開展。</p><p>  入侵檢測(cè)系統(tǒng) IDS( Intrusion Detection System)是繼防火墻之后迅猛發(fā)展起來(lái)的一類安全產(chǎn)品,它通過(guò)檢測(cè)、分析網(wǎng)絡(luò)中的數(shù)據(jù)流量,從中發(fā)現(xiàn)網(wǎng)絡(luò)系統(tǒng)中是否有違反安全策略的行為和被攻擊的跡象,及時(shí)識(shí)別入侵行為和未授權(quán)網(wǎng)絡(luò)流量并實(shí)時(shí)報(bào)警。 </p><p&g

94、t;  IDS 彌補(bǔ)了防火墻的某些設(shè)計(jì)和功能缺陷,側(cè)重網(wǎng)絡(luò)監(jiān)控,注重安全審計(jì),適合對(duì)網(wǎng)絡(luò)安全狀態(tài)的了解,但隨著網(wǎng)絡(luò)攻擊技術(shù)的發(fā)展,IDS 也面臨著新的挑戰(zhàn): </p><p>  IDS 旁路在網(wǎng)絡(luò)上,當(dāng)它檢測(cè)出黑客入侵攻擊時(shí),攻擊已到達(dá)目標(biāo)造成損失。IDS 無(wú)法有效阻斷攻擊,比如蠕蟲爆發(fā)造成企業(yè)網(wǎng)絡(luò)癱瘓,IDS 無(wú)能為力。 </p><p>  蠕蟲、病毒、DDoS 攻擊、垃圾郵件等混合

95、威脅越來(lái)越多,傳播速度加快,留給人們響應(yīng)的時(shí)間越來(lái)越短,使用戶來(lái)不及對(duì)入侵做出響應(yīng),往往造成企業(yè)網(wǎng)絡(luò)癱瘓,IDS 無(wú)法把攻擊防御在企業(yè)網(wǎng)絡(luò)之外。</p><p>  為了彌補(bǔ)防火墻和IDS的缺陷,入侵保護(hù)系統(tǒng) IPS(Intrusion Prevention System)作為IDS的替代產(chǎn)品應(yīng)運(yùn)而生。網(wǎng)絡(luò)入侵防御系統(tǒng)作為一種在線部署的產(chǎn)品,提供主動(dòng)的、實(shí)時(shí)的防護(hù),其設(shè)計(jì)目標(biāo)旨在準(zhǔn)確監(jiān)測(cè)網(wǎng)絡(luò)異常流量,自動(dòng)對(duì)各類攻

96、擊性的流量,尤其是應(yīng)用層的威脅進(jìn)行實(shí)時(shí)阻斷,而不是簡(jiǎn)單地在監(jiān)測(cè)到惡意流量的同時(shí)或之后才發(fā)出告警。</p><p><b>  設(shè)計(jì)總結(jié)</b></p><p>  本畢業(yè)設(shè)計(jì)從校園網(wǎng)的建設(shè)思想、目標(biāo)??梢赃x用的的介紹和選擇等多方面的論述,校園網(wǎng)絡(luò)建設(shè)作為一項(xiàng)重要的系統(tǒng)工程,它的所用到的各種技術(shù)是多方面的,即有網(wǎng)絡(luò)技術(shù)、工程施工技術(shù),也有管理制度等各個(gè)方面的知識(shí)。,在論

97、述中不可能面面具到,同時(shí)也由于本人的知識(shí)水平有限,文中的不足和錯(cuò)誤在所難免,敬請(qǐng)各位老師多多指點(diǎn)和更正</p><p>  通過(guò)這次設(shè)計(jì),我接觸到了很多網(wǎng)絡(luò)技術(shù)和網(wǎng)絡(luò)設(shè)備的知識(shí),同時(shí)也學(xué)到了很多,增長(zhǎng)了見識(shí),認(rèn)識(shí)到自己對(duì)相關(guān)知識(shí)的匱乏,以后還需要更多的努力,學(xué)習(xí)更多的專業(yè)知識(shí)。雖然我們盡了最大的努力,但是由于經(jīng)驗(yàn)不足,及學(xué)習(xí)過(guò)程中的疏忽從整體上說(shuō),通過(guò)以上的分析布局已基本上展現(xiàn)了網(wǎng)絡(luò)工程硬件設(shè)計(jì)的全部過(guò)程,但是我

98、們討論課題的局限性,還有很多的網(wǎng)絡(luò)技術(shù)沒(méi)有提到,如VPN,又如路由器的安裝與使用等等。建設(shè)校園網(wǎng)對(duì)每個(gè)學(xué)校來(lái)說(shuō)都不是一件容易的事情,都要經(jīng)過(guò)周密的論證、謹(jǐn)慎的決策、緊張的施工和科學(xué)的管理。學(xué)校的網(wǎng)絡(luò)化建設(shè)必然會(huì)對(duì)學(xué)校的信息化建設(shè)起到巨大的推動(dòng)作用,為學(xué)校的辦公提供簡(jiǎn)單、有效、便捷的理想環(huán)境,為學(xué)校的教育教學(xué)改革提供有效的數(shù)據(jù)信息。</p><p>  隨著信息技術(shù)與通信技術(shù)的飛速發(fā)展及人們對(duì)網(wǎng)絡(luò)性能要求的提高,各

99、種網(wǎng)絡(luò)新技術(shù)、新思想等必將產(chǎn)生并不斷得到完善和發(fā)展。使得更多更好的建網(wǎng)思想和技術(shù)應(yīng)用到新的校園網(wǎng)的建設(shè)及改造之中,校園網(wǎng)的功能也將得到很大的提高與擴(kuò)充。網(wǎng)絡(luò)技術(shù)的發(fā)展是永無(wú)止境的,在前進(jìn)的過(guò)程中必將有更多的知識(shí)需要我們?nèi)W(xué)習(xí)與研究,并能將其應(yīng)用到實(shí)際的網(wǎng)絡(luò)工程建設(shè)之中。由于校園網(wǎng)功能齊全,技術(shù)含量高,接觸面廣,在網(wǎng)絡(luò)設(shè)計(jì)、規(guī)劃和建設(shè)中都非常復(fù)雜。因此要廣泛普及網(wǎng)絡(luò)技術(shù),發(fā)展網(wǎng)絡(luò)工程。</p><p><b&

100、gt;  參考文獻(xiàn)</b></p><p>  [1] 嚴(yán)偉,潘愛明.計(jì)算機(jī)網(wǎng)絡(luò)(第5版)[M].北京:清華大學(xué)出版社,2012.</p><p>  [2] 白國(guó)強(qiáng).網(wǎng)絡(luò)安全基礎(chǔ)(第4版)[M].北京:清華大學(xué)出版社,2011.</p><p>  [3] 張衛(wèi),俞黎陽(yáng).計(jì)算機(jī)網(wǎng)絡(luò)工程(第2版)[M].北京:清華大學(xué)出版社,2010.</p>

溫馨提示

  • 1. 本站所有資源如無(wú)特殊說(shuō)明,都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請(qǐng)下載最新的WinRAR軟件解壓。
  • 2. 本站的文檔不包含任何第三方提供的附件圖紙等,如果需要附件,請(qǐng)聯(lián)系上傳者。文件的所有權(quán)益歸上傳用戶所有。
  • 3. 本站RAR壓縮包中若帶圖紙,網(wǎng)頁(yè)內(nèi)容里面會(huì)有圖紙預(yù)覽,若沒(méi)有圖紙預(yù)覽就沒(méi)有圖紙。
  • 4. 未經(jīng)權(quán)益所有人同意不得將文件中的內(nèi)容挪作商業(yè)或盈利用途。
  • 5. 眾賞文庫(kù)僅提供信息存儲(chǔ)空間,僅對(duì)用戶上傳內(nèi)容的表現(xiàn)方式做保護(hù)處理,對(duì)用戶上傳分享的文檔內(nèi)容本身不做任何修改或編輯,并不能對(duì)任何下載內(nèi)容負(fù)責(zé)。
  • 6. 下載文件中如有侵權(quán)或不適當(dāng)內(nèi)容,請(qǐng)與我們聯(lián)系,我們立即糾正。
  • 7. 本站不保證下載資源的準(zhǔn)確性、安全性和完整性, 同時(shí)也不承擔(dān)用戶因使用這些下載資源對(duì)自己和他人造成任何形式的傷害或損失。

最新文檔

評(píng)論

0/150

提交評(píng)論