网络课程设计.docx
- 文档编号:25830925
- 上传时间:2023-06-15
- 格式:DOCX
- 页数:28
- 大小:444.10KB
网络课程设计.docx
《网络课程设计.docx》由会员分享,可在线阅读,更多相关《网络课程设计.docx(28页珍藏版)》请在冰豆网上搜索。
网络课程设计
大理学院数学与计算机学院
网络课程设计
学期:
2013-2014学年第3学期
名称:
校园网规划与设计
班级:
计算机科学与技术
(2)班
学号:
XXXXXXXXXX
姓名:
XXX
目录
1绪论3
1.1背景及意义3
1.2目前校园网络现状4
2需求分析5
2.1需求分析的任务5
2.1.1社会需求5
2.1.2人才需求5
2.2需求调查6
2.2.1业务现状6
2.2.2数据流量分析7
2.3功能要求9
3组网设计方案9
3.1校园网建设原则9
3.2主要网络设备的选择原则11
3.3学校信息点分布11
3.4组网实物连接图12
3.5网络拓扑图12
4设计步骤与测试结果13
4.1对计算机的配置14
4.2对路由器的配置14
4.3对交换机的配置16
4.4测试结果16
5安全分析17
5.1网络攻击防御需求17
5.2系统安全漏洞管理需求17
5.3网络防病毒需求17
5.4WEB应用安全需求18
5.5内容安全管理需求18
5.6INTERNET接入用户控制需求19
5.7建立完善安全管理制度的需求19
6校园网的安全管理与维护20
6.1互联网本身的安全20
6.2高校校园网的现状及普遍存在的安全隐患20
6.3校园网安全管理和维护的措施与建议22
7产品的选购23
8设计总结及心得24
1绪论
1.1背景及意义
高校校园网的网络建设与网络技术发展几乎是同步进行的。
高校不仅承担着教书育人的工作,更承担着部分国家级的科研任务,同时考虑未来几年网络平台的发展趋势,为了充分满足高校骨干网对高速,智能,安全,认证计费等的需求,可以利用万兆以太网的校园网组网技术。
构建校园网骨干网,实现各个分校区和本部之间的连接,以及实现端到端的以太网访问,提高了传输的效率,有效地保证了远程多媒体教学、数字图书馆等业务的开展。
随着信息技术的高速发展,教育信息化水平正成为衡量学校总体发展水平的重要因素,网络技术的应用对高校的教学手段和教育管理体系的促进作用是巨大的。
1995年CERNET(中国教育和科研计算机网)建设全面启动,全国各地的高校开始建设自己的计算机校园网。
校园网建设是高校建设的重要组成部分,建设高质量的局域网,才能充分发挥网络资源管理和应用的优势,进行信息交流、资源共享、科学计算和科学研究与合作。
校园网的建设与应用,极大地丰富和完善了教育资源,拓宽了学生获取知识的渠道,改善了教学效果,提高了学校的现代化管理水平,促进了教育的社会化,因此,如何进一步搞好校园网的建设,充分发挥校园网的作用,组建高性能,低成本的校园网,是各个高校正在探索和思考的问题。
高校校园网从启动建立到现在,无论是高校校园网的网络技术,还是高校校园网的关注要点,大致可以分为三个阶段。
第一阶段是基础设施建设时期,时间大约从1994年到2000年。
这期间各种网络技术在高校同时都有应用:
以太网技术,FDDI,ATM网络技术。
在这个阶段,由于校园网应用的技术比较繁杂,而且业务相对单一,因此,这一阶段,主要关注网络的连通性和兼容性,即如何保证校园网的连通,和各种不同网络技术的兼容和融合。
第二阶段是应用平台建设时期,时间大约是从2000年到2005年。
这期间,随着网络技术的发展,各种应用也开始出现并发展迅速,包括BBS、WWW、FTP、E-mail,以及近两年流行的BT下载、视音频业务等等,这些应用都对带宽提出了挑战。
另一个在此阶段发展迅速的校园网应用就是IPTV,更是被成为带宽的杀手级应用。
与此同时,网络技术——特别是以太网技术迅猛发展,1000M以太网已经步入校园,万兆标准也已经公布。
结合实际应用和网络技术来看,这个阶段主要关注:
带宽和应用。
第三个阶段是信息资源建设时期。
时间从2005年至今,乃至今后几年时间内。
近两年,万兆以太网已经开始在高校校园网中规模化应用,下一代以太网标准也已经确立为10万兆标准。
同时,随着cernet2的启动,IPV6技术也已经在校园网中实验并逐步应用。
当基础设施、应用平台建设之后,信息资源的丰富与否决定了校园网络的真正价值。
当信息资源充分丰富后,人们的工作、学习、生活、娱乐完全离不开网络,网络的安全与可信又成为头等重要的问题。
纵观这两年整个网络世界,安全事件频发:
冲击波、震荡波、ARP攻击等等。
所以,安全可信成为了高校校园网当前关注的要点。
简单来说,对于校园网:
丰富的应用是关键,而稳定可靠的网络是基础,完善的安全和管理手段是保障。
信息时代的变革与发展,带动了整个世界的深刻变革。
网络、计算机技术的进步和应用软件的提高,使计算机变的越来越容易使用,它们正被广泛地使用,并迅速改变着人们的生活、学习、工作方式。
在一个好的校园网里人们用计算机和网络进行工作、交流和学习,计算机改变了人的教学方式,同时也改变了人的学习方式。
社会变的很快,我们必须跟上时代的步伐,因此在经济条件允许的情况下,尽快尽早的建设校园网好处将是显著的和长远的。
1.2目前校园网络现状
与其它网络一样,校园网面临的威胁大体可分为对网络中数据信息的危害和对网络设备的危害。
具体来说,危害网络安全的主要威胁有:
非授权访问,即对网络设备及信息资源进行非正常使用或越权使用等;冒充合法用户,即利用各种假冒或欺骗的手段非法获得合法用户的使用权限,以达到占用合法用户资源的目的;破坏数据的完整性,即使用非法手段,删除、修改、重发某些重要信息,以干扰用户的正常使用;干扰系统正常运行。
除此之外,Internet非法内容也形成了对网络的另一大威胁。
IDC的统计曾显示,有30%-40%的Internet访问是与工作无关的,甚至有的是去访问色情、暴力、反动等站点。
在这样的情况下,Internet资源被严重浪费。
而对校园网来说,面对形形色色、良莠不分的网络资源,如不具有识别和过滤作用,不但会造成大量非法内容或邮件出入,占用大量流量资源,造成流量堵塞、上网速度慢等问题,而且某些网站如娱乐、游戏、暴力、色情、反动消息等不良网络内容,将极大地危害青少年的身心健康,导致无法想象的后果。
2需求分析
2.1需求分析的任务
根据CNNIC2002年的最新调查结果来看,我国目前的上网总人口已达4580万,其中学生用户占了26%,是最大的用户群。
另据华为公司市场部提供的资料,中国网民的普及率是1.2%,但在大学生群体中的普及率是93%。
目前87%学生在网吧上网,97%的学生用201校园卡打电话。
同时,随着国家信息化工作的深入开展,提高教育系统信息化水平成为当前工作的重点。
而校园网建设则是教育系统信息化建设的关键,尤其是高校校园网建设。
在信息化的建设过程中,它的作用体现在如下几个方面:
(1)校园网能促进教师和学生尽快提高应用信息技术的水平;信息技术学科的内容是发展的,它是一门应用型学科,因此,为了让学生学到实用的知识,必须给他们提供一个实践的环境,这个环境离不开校园网。
(2)校园网为教师提供了一种先进的辅助教学工具、提供了丰富的资源库,所以校园网是学校进行教学改革、推行素质教育的一种必不可少的工具。
(3)校园网是学校现代化管理的基础,深入、全面的学校信息管理系统必须建立在校园网上。
(4)校园网提供了学校与外界交流的窗口,学校应将校园网与互联网联接,这也是学校信息化的要求,做到了这一步,通过校园网去了解世界、在互联网上树立学校的形象都是很容易的。
教育即未来。
作为国家最重要的战略工程,如何应用信息技术改造我们传统的教学和管理手段;如何加深学生对于信息化和信息技术的理解与了解;如何造就同时具备传统和信息双重文化的一代新人,已成为教育界当前最为紧迫的任务之一。
信息技术的应用,势必极大地推进教育手段和教育内容的革命性变革。
2.1.1社会需求
首先,进行对象研究和需求调查,弄清学校的性质、任务和改革发展的特点,对学校的信息化环境进行准确的描述,明确系统建设的需求和条件;其次,在应用需求分析的基础上,确定学校Intranet服务类型,进而确定系统建设的具体目标,包括网络设施、站点设置、开发应用和管理等方面的目标;第三,确定网络拓扑结构和功能,根据应用需求、建设目标和学校主要建筑分布特点,进行系统分析和设计;第四,确定技术设计的原则要求,如在技术选型、布线设计、设备选择、软件配置等方面的标准和要求;第五,规划安排校园网建设的实施步骤。
2.1.2人才需求
项目人员需求一览表
项目组成成员
需求人数
具体能力要求
到位时间
项目经理
1
具有相当的组织管理能力,精通项目管理,熟知该项目的流程及应达到的目的
计划阶段
项目副经理
2
具有一定的组织管理能力,可以帮助项目经理协调个部门的合作关系。
计划阶段
需求调研组
5
有吃苦耐劳的精神,对该项目所需信息能做反复的调查研究,获取所有效信息。
计划阶段
测试组
3
为人要细心,对测试有浓厚的兴趣,喜欢钻研,要有一定的工作经验。
执行阶段
文档组
5
语言表达能力强,能清楚的表达每个文档的意思,让客户一看就明白,一目了然。
立项阶段
数据库设计组
2
具备一定的数据库设计能力,而且要有团队合作精神
执行阶段
技术负责人
3
技术能力强,能负责整个项目的技术,有领导风范
执行阶段
2.2需求调查
2.2.1业务现状
学校拥有计算机上千台,但由于目前各个系都是自己组建自己的内部网络,采用的软件平台、硬件平台和网络结构各不相同,因此随着学校网络发展和各个学校之间互连网络的建成,现有的网络结构与水平已经不能适应高速发展的信息网络建设,主要表现在:
1、由于各网络应用系统是各系根据本系自己的教学、实验、工作的需求组建的,因而各种信息既有大量的冗余,又有相互冲突。
同时由于各套网络系统的开发单位不同,技术水平参差不齐,因此信息的规范化程度低,各部门信息无法共享,交互操作的难度很大。
2、各系、各工作终端有自己的传输线路,传输速率不等,速率低且安全性、可靠性差,不利于统一管理,随着工作终端的增多,此问题将日益突出。
3、由于当时组建网络时都是由本专业自己开发,因此存在多种机型,多种操作系统,多种协议,网络异构等情况。
所以很难实现资源共享、系统互访、统一管理,对于后期的开发难度很大,这将影响实现办公自动化。
4、由于大部分系统没有实现客户/服务器模式。
因此系统远程互访时,需要较大的带宽。
5、由于校园内计算机之间对INTERNET都只能通过自己使用拨号网络方式连接,而目前学校已经拥有了自己的INTERNET网络出口与自己的IP地址。
这使得这些优势资源大家不能实现共享。
6、随着多媒体教学、远程教育、图象监控等业务的开展,校园网本身的业务范围不断扩大,对学校的网络性能提出了新的要求。
2.2.2数据流量分析
1、目前,在校园网络流量存在的问题
学院内部主要分为学生宿舍网络和办公教学网络,学生宿舍通过口令密码收费方式上网,办公教学网络按楼层通过vlan划分ip地址,楼层vlan之间通过第三层交换机配置路由通信。
在刚开始几年,网络负载与速度都能得到满足和控制,但随着基于http流媒体的视频的普及与发展,网络负载出现难以为继的现象,为了缓解因此带来的带宽需求,学院改善网络用光纤接入,并提高了整体带宽,但紧接而来的p2p技术的使用,又让学院网络陷入了带宽入不敷出的境地,作为现在最大的网络带宽占用对象,p2p是指网络进行点对点方式交流,每台点对点计算机即是彼此的客户机又是彼此的服务器,大量的带宽在其中无限制,不限时的使用,比如像迅雷、网际快车等下载工作,只需找到对应资源的网络路径,可以开启多个进程同时下载,而且这种下载是全力长期的查找、定位、对接资源,最大限量的占用带宽,这个过程用户离开或者做其他事都可以。
其次,smtp/pop3也走进了校园网络流量的消耗大户,据统计,由于电子邮件的廉价与便捷,导致现在网络中的电子邮件泛滥,除正常的通信邮件外,其中包含有大量的垃圾邮件,比如强制订阅的一些广告邮件,病毒邮件、非法资料宣传邮件,使得几乎每天有十数亿封电子邮件在互联网传递。
而对于随着p2p技术的使用越来越广泛,文件传输服务的ftp的作用虽然大幅度降低,但作为互联网文件传输的始祖,ftp的使用频率还是比较高的,其重要性仅次于http和smtp,是有不可代替的重要应用和意义在里面的。
2、常见流量识别方法与技术
(1)针对网络带宽消耗大户p2p的dpi技术deeppacketinspection简称dpi技术,中文意思是深度报文检测。
由于传统的检测技术获得的业务应用信息很少,只是包括协议号、源目的ip地址、底层的连接状态、源/目的传输层端口号等这些存放于数据包当中网络层和传输层的基本信息,而这些检测出的参数对现行的p2p(点对点)和voip(网络语音)、iptv(网络电视)等已经不再适用和满足检测管理的需要了。
dpi作为一种先进的包检测技术,不仅仅能够识别p2p,还能够检测上述的voip、iptv和在线游戏、流量封装协议、流媒体以及在线游戏等大部分主流应用协议、流控设备。
对p2p应用进行判定如果仅仅通过端口对其进行判断是不足的,因为通常p2p是技术常盗用一些常用的协议端口或者使用端口跳变技术来传输数据,因此进行p2p应用样本查找时不能疏忽大意,要使用第7层协议对网络中所有的数据进行探测,那样不管它使用的是那个端口话都逃部出检测;而要检测p2p可以检测其某种特征的应用识别,要检测一种应用识别有时要检测它是否匹配多个代码样本的特征,而这些样本特征的取得可以通过对传输协议的载荷部分进行检查,即让所有的数据包在应用层进行检查的复杂的第7层识别技术来实现。
当网络中使用p2p时,就相当于产生了一个新的会话,那么其会话的一个唯一的协议签名如果能被找到并且和已知的协议代码样本匹配,就当表我们对p2p的检测初步成功,因为p2p一般不会只是单一的连接和会话,这需要我们能够聪多个会话中提出信息并关联相关代码样本,如果匹配的则是p2p的连接。
而此方法的实现基础是因为第7层的协议代码样本能够进行会话标记的请求并且标识好会话中所有的数据包。
只要能够识别好第7层的数据流,那么对p2p的判断和控制都是很简单的了。
(2)dfi技术deepflowinspection是dfi的简称,中文翻译是深度流行为检测,其也是一种典型的业务识别技术。
针对于dpi技术的升级频繁、加密流量识别难、执行效率不高等问题,dfi的出现更符合用户的要求,其获取业务类型、业务状态的方法是通过对网络层和传输层信息、平均流速率、网络流量的状态、字节长度分布、业务流持续时间等参数的统计分析来获得,如此dfi技术不用网络流量深度报文检测,而更关注于网络流量特征的通用性。
3、流量控制在流量控制方式上,lotwan流量管理系统(行为特征检测技术)虽然仍有部分网络流量不能做到精确识别,但还是能让校园流量上下行基本实现均衡,而panabit流控系统(报文特征字检测技术)主要是对视频点播、多进程下载的p2p技术进行抑制,并且能够很好的对网络的上行流量进行更好的控制。
具体实现上,笔者对校园网内部流量控制理论、控制机制进行了一定的研究,并结合工作实际,分析了我院校园网流量产生的因素及控制方面存在的一些问题,针对我院自身特点,提出了一套适用的流量控制方法。
譬如,为了减轻核心设备的负载,我们对应的制定了多层次的流量控制策略,在各楼栋普遍使用了流量控制服务器或其它简单的流量控制设备,将每个单独的ip都进行了初步的流量限制,在核心流控设备上再对这些已经初步处理过的数据进行具体的类别鉴定及策略匹配,解决了核心设备负载过大的问题,合理的分配了流量资源;根据各部门对不同应用的需求,通过多次数据研究、对比测试,对各通道不同的应用,制定了不同的流量限值,保障了类似http、多媒体教学等应用的开展,使得整个校区的流量结构得以优化配置。
2.3.功能要求
由于现有应用系统存在上述缺陷,而实际发展需求不可能在短时间内对所有网络系统进行更换,因此必须对目前的现状和需求进行科学的分析,制定出全局网络的规划,既能满足发展,又要容纳现有系统,具体要求如下:
1、不对目前各网络系统做大规模修改,各系自己的网络系统应能平滑地过渡到整个校园网中。
2、提供各种灵活多变的连网方式,系统要有一定的可扩充性和可扩展性。
3、提供高速平台与足够的带宽,为将来的OA系统、图象系统、Internet/Intranet、远程教学、多媒体教学应用等系统提供一条可靠、健壮的“信息高速公路。
4、必须对整个校园网进行有效的集中资源管理和网络管理。
5、可以为校园内各个系之间提供邮件服务、BBS服务、文件服务、WEB服务等多种INTERNET服务。
3组网设计方案
3.1校园网建设的原则
(1)实用性和经济性
宿舍网络应该具有资源信息功能、内外交流功能、方便学校了解和管理学生等功能。
在设计的过程中,我们应该结合现在日益进步的科技新技术以及本校的实际情况,从而制定合乎经济效益的解决方案,在满足需求的基础上,充分保障学校的经济效益。
坚持经济性原则,力争用最少的钱办更多的事,尽可能地节约资源,花好每一分钱,以获得最大的效益。
(2)先进性和成熟性
网络建设设计既要采用先进的概念、技术和方法,又要注意结构、设备、工具的相对成熟。
在建设宿舍网络系统中,既能满足当前学生用户对网络应用的要求,又可以在以后需要扩展的时候能方便地扩展。
不但能反映当今的先进水平,而且具有发展潜力,能保证在未来若干年内占主导地位,保证本校网络建设的领先地位,采用万兆以太网技术来构建网络主干线路。
(3)可靠性和稳定性
我们在考虑技术先进性和开放性的同时,还应从系统结构、技术措施、设备性能、系统管理、厂商技术支持及保修能力等方面着手,确保系统运行的可靠性和稳定性,达到最大的平均无故障时间。
宿舍网络稳定性差,需要加强管理力度,应用良好的网络设备,锐捷网络作为国内知名品牌,其产品的可靠性和稳定性是一流的。
而对于网络的重要应用完全支持采用冗余的设计,整网具备良好的健壮性,支持对于重要交换机之间的连接支持采用多条物理链路交换机之间做标准的802.1ad的捆绑,进行逻辑Trunk的链接,既能充分利用网络端口实现成倍的带宽,同时也达到了一个负载均衡和链路备份的目的。
另外,为了保证骨干网络平台的健壮性和链路冗余性,建议网络实施时启用备份线路。
启用物理链路冗余机制,保证任何一条线路出现故障后骨干网络平台的可用性。
(4)安全性和保密性
在宿舍楼层网络设计中,既考虑信息资源的充分共享,更要注意信息的保护和隔离,因此系统应分别针对不同的应用和不同的网络通信环境,采取不同的措施,包括端口隔离、路由过滤、防DDoS拒绝服务攻击、防IP扫描、系统安全机制、多种数据访问权限控制等,锐捷网络充分考虑安全性,针对的各种应用,有多种的保护机制,如划分VLAN、IP/MAC地址绑定(过滤)、ACL、路由过滤、防DDoS拒绝服务攻击、防IP扫描、802.1x认证机制、SSH加密连接等具体技术提升整个网络的安全性。
(5)可扩展性和可管理性
由于信息技术和人们对于新技术的需求发展都非常迅速,为了避免不必要的重复投资,我们必须选择具有一定扩展能力的设备,能够保证在网络规模逐渐扩大的时候,不需要增加新的设备,而只需要增加一定数量的模块就行。
最好能够做到在网络技术进一步发展,现有模块不支持新技术的情况下,只需要更换相应模块,而不需要更换整个设备。
为了适应网络结构变化的要求,必须充分考虑以最简便的方法、最低的投资,实现系统的扩展和维护。
为了便于扩展,对于核心设备必须采用模块化高密度端口的设备,便于将来升级和扩展。
先进的设备必须配合先进的管理和维护方法,才能够发挥最大的作用。
全线采用基于SNMP标准的可网管产品,达到全程网管,降低了人力资源的费用,提高网络的易用性、可管理性,同时又具有很好的可扩充性。
3.2主要网络设备的选择原则
根据已制定的网络系统设计原则,我们所选择的网络设备必须具有以下一些特点:
(1)安全,可靠,稳定
作为整个校园网络系统的硬件基础,网络设备必须是具备安全性、稳定性和可靠性的特点。
这是网络系统稳定运行的最基本条件。
最好是经过相当长时间,在世界范围内被广泛应用的网络产品。
为此,我们建议选择国际知名厂商的产品。
(2)技术先进
网络设备仅仅具有安全、稳定和可靠的特点是不够的。
作为高科技的产品,还应该具有的特点就是技术的先进性。
我们所选择的网络设备应该采用当今较先进的技术,能够保持该设备在相当长的一段时间内不会因为技术落后而被淘汰。
同时,在网络规模进一步扩大,该设备不能承担繁重的负荷时,能够降级使用。
(3)便于扩展
由于信息技术和人们对于新技术的需求发展都非常迅速,为了避免不必要的重复投资,我们必须选择具有一定扩展能力的设备,能够保证在网络规模逐渐扩大的时候,不需要增加新的设备,而只需要增加一定数量的模块就行。
最好能够做到在网络技术进一步发展,现有模块不支持新技术的情况下,只需要更换相应模块,而不需要更换整个设备。
(4)管理和维护方便
先进的设备必须配合先进的管理和维护方法,才能够发挥最大的作用。
所以,我们选择的设备必须能够支持现有的、常用的网络管理协议和多种网络管理软件,便于管理人员的维护。
3.3学校信息点分布图
3.4组网实物连接图
3.5网络拓扑图
4设计步骤与测试结果
4.1对计算机的配置
4.2对路由器的配置
(1)对R1配置
(2)对R2配置
(3)对R3配置
4.3对交换机的配置
4.4测试结果
(1)pc1ping通pc4,pc5,pc6
5安全分析
5.1网络攻击防御需求
高校校园网络连接INTERNET,因此从安全角度看,可以划分为两大区域,内部网络和外部网络。
在内外网之间必须有安全隔离措施,对数据的流动进行控制。
首先内部网络是私有网络,其访问ITNERNET的流量必须隐藏真实地址,而转换为公网地址;其次,网络边界要有适当的访问控制策略,既需要控制内部网络可以访问INTERNET的流量,更需要严格控制INTERNET可以访问内部网络的流量,以防止黑客攻击和非法访问。
因而只允许INTERNET访问校园网对其开放的服务,如WWW、EMAIL等,其他服务全部禁止。
对通过INTERNET到校园内网应用如OA系统的连接,采用IPSECVPN或者SSLVPN技术,以保证数据安全性。
即使被黑客窃听,也无法解密。
采用流量监听和阻断恶意流量机制,对网络进行保护。
监视和分析用户及系统的活动,识别反映已知进攻的活动模式并向管理员报警。
5.2系统安全漏洞管理需求
高校有大量的应用服务器和网络设备,以及应用程序和数据库系统。
众所周知,在服务器和网络设备操作系统(包括WINDOWS,类UNIX),应用协议(如TCP/IP),应用程序中,存在很多安全漏洞。
蠕虫爆发、病毒、木马以及恶意代码都是利用安全漏洞对网络和系统进行攻击。
如果对系统中的各种漏洞不能及时发现和修复,就有很大的被攻击的风险,造成很大的损失,例如“冲击波”蠕虫和“震荡波”蠕虫的爆发。
所以要有漏洞管理机制,及时扫描和修复系统安全漏洞保护网络安全。
5.3网络防病毒需求
高校校园网用户众多,网络环境复杂,病毒入口点非常多,如何保证在整个局域网内杜绝病毒的感染、传播和发作是网络安全的一个重要问题。
一个良好的网络防病毒方案应该达到如下目标:
要在整个大学校园的内部网络内杜绝病毒的感染、传播和发作,整个网络内只要有可能感染和传播病毒的地方都应该采取相应的防病毒
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 网络 课程设计