详细设计说明书
一、网络总体设计
1.1网络拓扑结构
根据用户对安全性、保密性和可靠性的要求,我们将网络设计为单核心结构。 网络拓扑图:
DMZ区WWW服务器FTP服务器汇聚交换机Mail服务器入侵检测系统校园网内部网络核心层交换机入侵检测系统计费系统防火墙配置如下:
(1)允许Internet和校园内部网络访问DMZ区域的WWW、FTP、mail服务。 (2)允许校园内部网络按照限制的规则访问Internet。 (3)禁止Internet和DMZ区域非法访问内部网络。
校园网物理结构:
学生公寓6栋第一教学楼学生公寓5栋图书馆MailFTPWeb入侵检测器教育网核心交换机工业中心管理服务器入侵检测器行政楼外网
1.2接入Internet设计
采用光纤接入。 光纤接入的特点:
1.光纤专用,24小时在线:实现双向数据同步传输,上网速度快、质量稳定、丢包率低、更具安全性。
2.本地自维护网站:在网站上发布更多的信息,为E-business提供更好的先决条件。
3.运营费用可控:上网费用采用包月制,可最大限度的降低网络运营成本。 4.可根据客户实际需求提供:2M,8M, 10M,34M, 45M, 50M, 100M, 155M ,200M,622M ,2.5G等带宽业务选择。
1.3机房实验室的配置
根据用户对网络灵活性、先进性、实用性的要求,我们打算对机房实验室的学生机采用Windows XP系统,通过教师机服务器的DHCP服务获得IP地址和代理上网。教师服务器采用Windows Server2003系统,安装双网卡,一个网卡根据给定的账号拨号连接网络,另一个网卡连接学生机内部网络。采用这种安装方法既安装方便又便于管理。
1.4 Vlan的划分及IP地址的分配
VLAN提供的安全机制,可以限制用户对安全设备的访问,例如限制普通用户对计费服务器,安全交换机等的访问,VLAN控制广播组的大小和位置,甚至锁定网络成员的MAC地址,这样就限制了未经安全许可的用户和网络成员对网络的只用增强网络管理。
1.4.1Vlan号(ID)的分配规划 VLAN划分原则:便于管理。
VLAN划分概念:将几个楼划分在同一VLAN,便于操作管理。
1.4.2具体Vlan详细表 楼名称 VLANID 第一教学楼 VLAN10 工业中心 行政楼 VLAN20 图书馆 VLAN30 学生公寓5栋 VLAN40 学生公寓7栋
1.5IP地址的分配原则
划分是注意使用VLAN,充分节约IP地址,使用路由交换机上能够采用聚合进行路由合并,减少路由表的大小。出口到互联网可以采用NAT防火墙上做地址转换实现。校区接入到同一汇聚层交换机的区域建议采用连续IP地址段,以便做路由汇聚。
IP地址的分配原则如下: (1)给三层交换机设备互连的点对点IP地址分配1个C类地址,提供足够的扩展性; (2)考虑到以后的网络扩展规模,二层交换机设备的管理IP地址分配1个C类IP地址;
(3)可以考虑为学校校园网分配若干个C类私有地址段。 服务器集体群和办公楼的IP获取方式为手动分配,其他的均为通过DHCP获取,上网方式均采用NAT方式。
IP地址分配表
第一教学楼 工业中心 行政楼 图书馆 学生公寓5栋 学生公寓6栋 网络单元 地址段 1层 8 4 20 6 12 0 2层 8 51 25 10 12 0 3层 6 51 25 2 12 0 4层 6 51 25 2 12 24 5层 6 0 0 2 12 24 地址范围 网关 上网方式 IP获取方式 DHCP DHCP 手动分配 手动分配 所有课室 学生机 教师机 服务器群 第一教学楼,信息点个数:34 192.168.1.0/24 2~50 192.168.1.1 工业中心,信息点个数:157 192.168.1.0/24 2~254 192.168.1.1 202.96.1.0/24 2~254 202.96.1.1 10.0.0.0/24 2~4 10.0.0.1 NAT NAT 客户端验证NAT 客户端验证NAT 办公室 会议室 电脑 行政楼,信息点个数:95 202.96.2.0/24 2~254 202.96.2.1 192.168.1.0/24 2~254 192.168.1.1 图书馆,信息点个数:22 202.96.3.0/24 2~254 202.96.3.1 客户端验手动分证NAT 配 NAT DHCP 客户端验手动分证NAT 配 手动分配 手动分配 个人电脑 个人电脑 学生公寓5栋,信息点个数:60 202.96.5.0/24 2~254 202.96.5.1 客户端验证NAT 学生公寓6栋,信息点个数:48 202.96.6.0/24 2~254 202.96.6.1 客户端验证NAT 1.6物理/链路层配置原则
1.网络设备互连的物理端口都应该绑定端口的速率和全双工模式;
2.建议所有的VLAN都不要穿透核心层,所有的VLAN都将在汇聚层交换机上终结;
3.本实施方案建议不要启用STP生成树协议,由于所有的VLAN都已在汇聚层交换机终结,在二层上并没有环路存在,故无必要启用;
4.汇聚层交换机和接入交换机之间的互连端口设置为Trunk模式。
二、网络安全与管理
2.1网络安全
校园网网络安全系统是一个要求高可靠性和安全性的网络系统,若干重要的公文信息在网络传输过程中不可泄露,如果数据被黑客修改或者删除,那么就会严重的影响工作。所以校园网网络安全系统安全产品的选型事关重大,一旦被遭受黑客攻击病毒的侵袭,将会给该学校正常的教学及业务带来严重的影响。该校园网网络安全系统方案必须遵循如下原则:
全局性原则:安全威胁来自最薄弱的环节,必须从全局出发规划安全系统。设计时需考虑统一管理的原则。
综合性原则:网络安全不单靠技术措施,必须结合管理,当前我国发生的网络安全问题中,管理问题占相当大的比例,因此建立网络安全设施体系的同时必须建立相应的制度和管理体系。 均衡性原则:安全措施的实施必须以根据安全级别和经费限度统一考虑。网络中相同安全级别的保密强度要一致。
节约性原则:整体方案的设计应该尽可能的不改变原来网络的设备和环境,以免资源的浪费和重复投资。
2.1.1威胁网络安全因素分析
归纳起来,针对网络安全的威胁主要有: 1.软件漏洞:
每一个操作系统或网络软件的出现都不可能是无缺陷和漏洞的。这就使我们的计算机处于危险的境地,一旦连接入网,将成为众矢之的。
2.配置不当:
安全配置不当造成安全漏洞,例如,防火墙软件的配置不正确,那么它根本不起作用。对特定的网络应用程序,当它启动时,就打开了一系列的安全缺口,许多与该软件捆绑在一起的应用软件也会被启用。除非用户禁止该程序或对其进行正确配置,否则,安全隐患始终存在。
3.安全意识不强:
用户口令选择不慎,或将自己的帐号随意转借他人或与别人共享等都会对网络安全带来威胁。
4.病毒:
目前数据安全的头号大敌是计算机病毒,它是编制者在计算机程序中插入的破坏计算机功能或数据,影响计算机软件、硬件的正常运行并且能够自我复制的一组计算机指令或程序代码。计算机病毒具有传染性、寄生性、隐蔽性、触发性、