广东轻工职业技术学院校园网系统网络安全中稿6.docx
- 文档编号:26047835
- 上传时间:2023-06-17
- 格式:DOCX
- 页数:44
- 大小:356.26KB
广东轻工职业技术学院校园网系统网络安全中稿6.docx
《广东轻工职业技术学院校园网系统网络安全中稿6.docx》由会员分享,可在线阅读,更多相关《广东轻工职业技术学院校园网系统网络安全中稿6.docx(44页珍藏版)》请在冰豆网上搜索。
广东轻工职业技术学院校园网系统网络安全中稿6
华南农业大学珠江学院
毕业论文(设计)
广东轻工职业技术学院校园网系统
网络安全
学号:
手机号码:
指导教师:
系:
年级专业:
提交日期:
答辩日期:
答辩委员会主席(签名):
评阅人(签名):
年月日
摘要
现在校园网建设已经成为校园建设中重要的一环,也是学院档次、规模的一个标志。
现在很多院校都已经建立了自己的校园网,有些院校架设的校园网很有规模,在功能实现方面也是很强大的,大部分的院校的校园网已经延伸到学生宿舍,真正的实现了校园网对学生的完全开放,让学生能够每个时刻都可以使用校园网。
这些年来,互联网迅速发展,为校园网建设带来了巨大发展,为教育机构实现网络的应用。
校园网是指在校园范围内,在一定的指导思想和理论指导下,为校园中的学生提供一个资源共享、信息交流和协同工作的网络平台。
校园网是基于现在的Internet发展起来的,都能实现像现有Internet的基本功能:
Web信息发布、电子邮件、资源共享、打印共享、网络管理等。
因此,每个校园网的设计都是进过周密的规划和设计的,每个院校有不同的校园网结构。
现在就广东轻工职业技术学院重新进行网络设计,主要涉及以下几个方面:
网络拓扑结构的设计、网络设备的选择、划分VLAN、NAT、配置硬件防火墙、访问控制列表(ACL)、VPN等保证网络访问的安全。
本文从实用的角度出发,根据网络拓扑结构,对学院的网络结构和设计进行了深入的分析。
关键字:
网络拓扑;划分VLAN;NAT;硬件防火墙;ACL;VPN
Abstract
Campusnetworkconstructionhasbecomeanimportantpartofcampusconstruction,ahallmarkoftheInstituteisalsoagradescale.Manyinstitutionshaveestablishedtheirowncampusnetwork,someinstitutionserectedbythegreatsizeofthecampusnetwork,isalsoverypowerfulinfunctiontoachievemostoftheinstitutionsofthecampusnetworkhasbeenextendedtothestudentdormitories,thetruerealizationthecampusnetworkiscompletelyopentostudentssothatstudentscanineverymomentyoucanusethecampusnetwork.Theseyears,theInternet,therapiddevelopmenthasbroughtgreatdevelopmenttothecampusnetworkconstruction,networkapplicationforeducationalinstitutions.Campusnetworkinthecampuswithintheguidingideologyandtheoryundertheguidanceofthestudentsinthecampustoprovidearesourcesharingnetworkplatformforinformationexchangeandcollaborativework.ThecampusnetworkisbasedontheInternetdeveloped,canrealizethebasicfunctionslikeexistingInternet:
Webinformation,e-mail,resourcesharing,printsharing,networkmanagement.Therefore,thedesignofthecampusnetworkareintocarefulplanninganddesign,eachoftheinstitutionshavedifferentcampusnetworkstructure.GuangdongIndustryTechnicalCollege,nowre-networkdesign,mainlyrelatedtothefollowingaspects:
thedesignofthenetworktopology,choiceofnetworkequipmentdivisionofVLANs,NAT,configurethehardwarefirewall,accesscontrollists(ACLs),VPN,etc.toensurenetworkaccesssecurity.
Fromthepracticalpointofview,accordingtothenetworktopology,thenetworkstructureanddesignoftheInstituteconductedin-depthanalysis.
Keywords:
networktopology;VLAN;NAT;hardwarefirewall;ACL;theVPN
设计说明
随着Internet技术的不断发展,我们生活的方方面面都跟网络打交道,网络成为了人们生活中不可缺少的一部分。
学校是向学生传授知识的一个地方,它跟网络的联系就更加紧密了,学生通过Internet可以寻找到形形色色的知识,在网上培养一些自己在学校学不到的东西,增强自己的能力。
校园网的规模和成熟度成了校园文化发展程度的一个标志,对学生的校园文化的丰富起到了很大的作用。
广东轻工职业技术学院有广州校区和南海校区两个校区,而且两个校区的网络布局也有所差别,主要有计算机网络中心、教学楼、实训楼、行政楼、图书馆、学生宿舍楼、教师宿舍楼。
在校园网系统设计过程中,为了让整个校园网能更好地实现设计任务的功能,使设计工作顺利进行,校园网能正常有效地投入使用,并且使构建出来的校园网能达到实用可靠、高效先进的目的,校园网系统设计一般应遵循以下原则:
1)开放性与稳定性原则
在设计校园网时应尽量采用结构化、模块化、标准化的设计原则。
在技术选择方面,
必须选择符合国际标准及国内标准的,避免因为个别厂商的产品出现不兼容的问题,确保网络的开放性和互通互联,达到信息安全可靠的传送的目的。
开放的接口,支持良好的管理和维护,提供对校园网中的网络设备统一实时监测,实现对设备的统一管理的要求。
校园网需要达到满足校园网中不同用户的需求,达到校园网络系统稳定,保证整体方案的设计合理,便于网络管理人员对校园网的管理和维护。
同时要采用开放性的网络体系,方便网络的升级、扩展,在选择交换机等网络设备时,选择可以使用多种国际标准的产品,在保证了校园网稳定性的同时也具备了开放性。
2)先进性与使用性原则
现在网络技术发展迅速,网络设备遭到淘汰的速度也很快。
在设计校园网系统的时候要采用先进的概念、技术和方法的同时,还要注意在结构、设备、工具选择上的相对成熟。
采用先进的符合国际标准的方法和设备,方便在以后能适应将来校园网络发展的需要,保证网络设备在几年后不会被淘汰,能够降级使用。
3)安全性和可靠性原则
校园网络的安全可靠包括了系统、设备、应用等多个方面的因素,在设计校园网系统时,在结构、系统、应用等方面可能受到的威胁以及可能承担的风险进行分析,制定相应的规范和措施,确保整个校园网系统具有良好的安全性和可靠性。
4)可扩展性原则
设计出来的校园网,要具备可扩展和可升级的功能,随着学校建筑群的增加和不同用户需求的增加,整个校园网的信息流量可能按指数增长,这就要求校园网具有很好的可扩张性了。
所以在设备的选择上,应选择符合国际标准的产品,保证系统具有较长生命力和扩展力,满足将来系统升级的需求。
5)可维护性原则
整个校园网是一个很大的网络系统,如果在某个点上出现了问题,我们不能很快的解决问题的话,那带来的损失是不可估量的,所以整个网络系统应具有良好的可维护性。
设计的主要技术资料有:
计算机网络技术与应用;Cisco网络工程案例精粹;局域网技术与组网工程;路由器配置与管理完全手册:
Cisco篇;防火墙策略与VPN配置
关键字:
广东轻工职业技术学院;校园网系统;国际标准;设计;原则
目录
1前言1
1.1广东轻工职业技术学院背景1
1.2需求分析1
1.3研究方法3
1.3.1网络拓扑结构的设计3
1.3.2网络设备的选择3
1.3.3划分VLAN3
1.3.4配置硬件防火墙、访问控制列表(ACL)、VPN3
1.4本课题研究的主要内容3
1.5校园网建设的原则3
2结构设计与设备选择4
2.1结构设计4
2.2主要网络设备的选择4
2.2.1网络设备的选择原则4
2.2.2主要网络设备5
3拓扑结构选择及组网技术9
3.1网络拓扑结构的选择9
3.2组网技术9
3.2.1综合布线系统9
3.2.2Internet接入技术10
3.2.3防火墙技术10
4拓扑设计及VLAN划分12
4.1网络拓扑图设计12
4.1.1拓扑图设计思路12
4.1.2拓扑图设计12
4.2VLAN划分13
4.2.1VLAN介绍13
4.2.2划分VLAN的目的13
4.2.3VLAN的优点13
4.2.4VLAN划分的分类14
4.2.5划分VLAN的基本策略14
4.2.6VLAN创建和分配ip14
5网络安全设计22
5.1NAT22
5.1.1NAT简介22
5.1.2NAT技术的产生22
5.1.3NAT的作用22
5.1.4NAT技术实现方式22
5.1.5NAT配置22
5.2ACL(访问控制列表)24
5.2.1ACL简介24
5.2.2ACL基本原理24
5.2.3配置ACL的基本原则24
5.2.4ACL配置24
5.2.5接入路由器上的acl配置26
5.3VPN27
5.3.1VPN的意义28
5.3.2VPN的特点28
5.3.3VPN配置28
5.4硬件防火墙30
5.4.1硬件防火墙简介30
5.4.2硬件防火墙配置30
6总结33
参考文献:
34
致谢35
1前言
1.1广东轻工职业技术学院背景
广东轻工职业技术学院是1999年经教育部批准成立的全日制高等职业技术学校,由广东省人民政府主办、广东省教育厅直接管理。
学校有广州和南海两个校区,校园总面积1500亩,有268个实验实训室,22个校内生产性实训基地,1205个校外实习基地。
为了推动学院教学信息化和现代化、实现两个校区更好的实现资源共享和信息交流,学院计划搭建校园内部网,通过千兆网络实现两个校区更好的互联,通过千兆网络实现更好的连接互联网,第一时间获取网络上对教学有用的信息。
广东轻工职业技术学院校园网的主要作用是:
为全校教师、科研机构、领导、学生提供一个先进的计算机网络环境,并将前沿的一些东西引入到教学、科研、管理、学习的各个领域;改善学习教学科研、管理和学习环境,以提高各个领域的水平;有利于培养面向世界、面向未来的高层次人才。
广东轻工职业技术学院着重进行广州和南海两个校区的连接,通过两个校区的图书馆,更好的实现了资源共享,以及校园网结构的设计,实现更好的使用校园网资源。
1.2需求分析
校园网是为学校师生提供教学、科研和综合信息服务的宽带多媒体网络。
首先,校园网应为学校教学、科研提供先进的信息化教学环境;其次,校园网应具有教务、行政和总务管理功能;最后,校园网还应满足校内外的通讯要求。
因此广东轻工职业技术学院的校园网要达到以下目标:
1)建成一个内部网络,在此基础上建立起供老师和同学使用的内部网络。
2)使现有的计算机机房,多媒体教室能共享内部网络资源。
3)快速以太网接入各间教室,方便教师的多媒体教学。
4)实现Internet的接入,实现信息在Internet的发布。
5)实现三层网络设备的网关备份,防止网络的广播风暴。
6)学生宿舍接入校园网,为学生营造一个更好有学习和娱乐环境。
广东轻工职业技术学院的整个网络主要分为七个部个:
1)计算机网络中心:
计算机网络中心是整个校园网络的核心。
校园网核心交换机、服务器、路由器、防火墙、Internet接入均置于计算机网络中心,便于统一管理。
2)教学楼:
主要教学场所,其中包括教室、多媒体教室、电脑机房、教师办公室等。
3)实训楼:
电路电工实训机房、单片机实训机房、模拟电子电路实训机房等。
4)行政楼:
院领导办公室、财务后勤等院级各部门办公室、视频会议中心。
5)图书馆:
电子阅览室、书籍查阅中心等。
6)学生宿舍楼。
7)教师宿舍楼。
广东轻工职业技术学院拓扑图如下:
图1.1广东轻工职业技术学院拓扑图
1.3
研究方法
1.3.1网络拓扑结构的设计
通过对广东轻工职业技术学院校园建筑结构进行主干、汇聚、接入层的具体设计。
1.3.2网络设备的选择
网络设备的选择也是一个很重要的环节,对网络设备的选择直接影响到能否满足校
园网的功能需求。
1.3.3划分VLAN
通过划分VLAN可以防范网络中的广播风暴,提高了线路的利用效率,保证一定的内
部网络的安全。
1.3.4配置硬件防火墙、访问控制列表(ACL)、VPN
硬件防火墙起到了保护内部网络不受外部网络的攻击,选择一个好的硬件防火墙和
很好的配置防火墙在校园网的建设中也是至关重要的。
1.4本课题研究的主要内容
本课题主要研究的是网络安全部分,说到网络安全,自然而然的就会想到硬件防火墙了,这是本课题研究的重点,需要对硬件防火墙进行合理的配置,才能让防火墙很好的抵挡外界的攻击,还有就是VLAN的划分,访问控制列表的配置。
1.5校园网建设的原则
校园网建设有以下几条原则:
1)合理利用有限的资金。
2)统一规划,软硬兼施,明确近期目标。
3)技术先进成熟,总体性能价格比高。
4)实用、易用,便于维护、管理。
5)保护以往投资,兼容已有系统。
6)支持灵活的扩展性和可重组性,考虑未来需求。
7)采用开发产品,遵循国际标准。
在组建校园网的时候,我们要按照以上几条原则来建设校园网,才有可能建设出高效率的校园网。
2结构设计与设备选择
2.1结构设计
学院校园网结合教学、科研、办公、管理,利用网络技术搭建起来的,它是基于:
1)开放性的网络协议和较成熟的、商品化的网络网络硬件和软件。
2)网络带宽远远满足当前的业务需求,并支持不断发展的业务需要。
3)网络互连性、可操作性和可扩充性好。
广东轻工职业技术学院分为两个校区,分别是广州校区和南海校区。
广州校区主要的建筑有教学楼、实训中心、学生公寓等;南海校区有图书馆、教师公寓、工业实训楼、行政办公楼、教学楼、学生公寓等,我们为每个建筑物都配备一个汇聚层交换机,把校园网建设成具有核心层、汇聚层、接入层3层的校园网络。
2.2主要网络设备的选择
2.2.1网络设备的选择原则
根据校园网建设的原则,我们在选择网络设备方面应该遵循以下几个原则:
1)网络设备的安全、稳定、可靠
作为整个校园网的硬件设施,网络设备必须具备安全性、稳定性和可靠性
的特点,这也是网络稳定运行的基本条件。
可以选择现在几个比较有名的网络设备厂商的产品,网络设备具备安全可靠,很强的稳定性。
2)技术前沿
网络设备光有安全、稳定、可靠还是远远不够,对网络设备选择还需要是现在比较先进的网络设备,可以保证在相当长的一段时间内不会因为技术落后而被淘汰,同时,在网络规模扩大时,这个网络设备不能够胜任网络负荷时,能够降级使用的要求。
3)方便扩展
现在技术更新换代迅速,为了避免不必要的重复投资,我们在选择网络设备时应该选择扩展性比较好的网络设备,能够保证在网络规模不断扩大的时候,不需要更换掉整台的网络设备,而是只需要在网络设备中加入相应的模块,就能够使现有的网络设备胜任网络负荷和满足网络应用的需求。
4)方便维护和管理
先进的网络设备必须配备先进的管理和维护方法,才能发挥出设备的最大作用。
所以,我们选择的网络设备必须能够支持现有的常用的网络管理软件和多种网络管理软件,以方便网络管理人员的维护。
2.2.2主要网络设备
由于广东轻工职业技术学院校园网的规模很大,所以必须选用比较强悍的交换机来做核心交换机,以满足整个校园网巨大的吞吐量,下图是CiscoCatalyst6500-E系列交换机的主要特性:
表1列出了CiscoCatalyst6500系列的主要特性
特性
CiscoCatalyst6500系列
机箱配置
3个插槽
6个插槽
9个插槽
9个垂直插槽
13个插槽
背板带宽
32Gbps共享总线
256Gbps交换矩阵
720Gbps交换矩阵
第三层转发性能
CiscoCatalyst6500SupervisorEngine1A多层交换特性卡(MSFC2):
15mpps
Catalyst6500SupervisorEngine2MSFC2:
最高210mpps
Catalyst6500SupervisorEngine32MSFC2a:
15mpps
Catalyst6500SupervisorEngine720:
最高400mpps
操作系统
CiscoCatalystOS
CiscoIOS软件
混合配置
冗余交换管理引擎
支持,带状态化故障切换
冗余部件
电源(1+1)
交换矩阵(1+1)
续表1
特性
CiscoCatalyst6500系列
冗余部件
可更换时钟
可更换风扇
高可用性特性
网关负载均衡协议
热备份路由器协议(HSRP)
多模块EtherChannel技术
快速生成树协议(RSTP)
多生成树协议(MSTP)
每VLAN快速生成树
快速收敛第三层协议
高级服务模块
内容服务网关
CSM
防火墙模块
IDS模块
IP安全(IPSec)VPN模块
网络分析模块
稳定连接存储设备
SSL模块
无线局域网服务模块
DES-8500系列万兆路由交换机作为新一代大容量、高密度、高性能、模块化核心路由交换机产品,其背板带宽高达3.2Tbps,包转发速率最大为952Mpps,具备二到四层线速交换能力。
DES-8500万兆路由交换机基于先进的模块化理念进行设计,并采用了基于多处理器分布式处理机制和Crossbar空分交换结构的体系结构,关键模块均采用1:
1冗余备份,可以保证在一个设备出现故障的时候,能够是校园网不间断的工作。
可提供10GE、GE、FE等各种丰富的接口模块,并全面支持IPv4、IPv6、MPLS、NAT、组播、QoS、带宽控制等业务功能。
整个系统所具备的高可靠性、高扩展性、强大的业务能力等特点可以满足各种网络核心层的建设需求。
DES-8500系列万兆路由交换机的产品特性如下:
1)万兆核心路由交换机;
2)CrossBar无阻塞交换架构;
3)大容量背板和吞吐率,952Mpps的路由包转发能力;
4)支持双主控热切换;
5)硬件线速QoS、L2-L4访问控制;
6)最多支持384个千兆线速端口;
7)最大64个万兆线速端口;
8)线速的NAT业务模块;
9)线速MPLS、MPLSVPN、MPLSTE业务;
10)硬件支持Ipv6。
在硬件防火墙的选择上,我选择了JuniperSSG-140-SH。
JuniperSSG-140-SH防火墙的并发连接数是32000,网络吞吐量是350Mbps,入侵检测采用的是Dos、DDoS,支持VPN,控制端口有8个10/1000、2个10/100/1000。
这个防火墙的并发连接数能够满足广东轻工职业技术学院的网络访问流量的要求。
JuniperSSG-140-SH的主要特性如下表:
表2JuniperSSG-140-SH的主要特性
设备类型
安全服务网关
并发连接数
45000
网络吞吐量
350
安全过滤带宽
100Mbps
网络端口
8个10/100、2个10/100/1000
用户数限制
无用户数限制
入侵检测
Dos、DDos
安全标准
UL、CUL、CSA、CB
VPN支持
支持
操作系统
ScreenOS
一般参数
适用环境
工作温度:
0℃-40℃、工作湿度:
10%-90%非冷凝、存储温度:
-20℃-65℃、存储湿度:
10%-90%非冷凝
电源:
100-240VAC
续表2
防火墙尺寸:
44.5×444.5×381mm
防火墙重量:
4.63kg
其他性能:
4个物理接口模块(PIM)扩展插槽、带512MB内存
3拓扑结构选择及组网技术
3.1网络拓扑结构的选择
计算机网络拓扑结构,即是指网络上计算机或者设备与传输媒介形成的节点与线的物理构成模式。
现在的网络拓扑结构主要有:
总线型拓扑、星型拓扑、环形拓扑、树形拓扑和混合型拓扑。
在总线型结构中,有一条高速主干公用电缆连接若干个节点构成了网络,这种结构的特点就是结构简单,节约组网费用、使用方便。
但是它的缺点也是显而易见的,由于是只有一条主干网络,当这个主干线上的一点出现故障,就会导致整个网络的瘫痪,这与在网络建设中要求网络具有高可靠性和冗余性不相符,因此使用总线型的网络拓扑结构建设大型的网络已被淘汰。
环形拓扑结构令牌网络常用的一种网络拓扑结构,其缺点跟总线型拓扑结构差不多,也是在网络建设中遭到淘汰的拓扑结构。
当前在各种网络建设中使用的最多的网络拓扑结构是星型拓扑结构,它的优点是十分突出的,当网络中的某个节点出现问题时,不会影响到整个网络的运行,这大大提高了这个网络的可靠性和冗余性,虽然星形拓扑结构存在着布线和网络设备的花费多一些,不过这些花费还是可以承受。
所以我们在搭建广东轻工职业技术学院校园网时,我们选择了星型拓扑结构。
3.2组网技术
组网技术就是网络组建技术,分为以太网组网技术和ATM局域网组网技术。
组网技术就是在有了网络的设计方案和确定选用哪种网络设备之后,怎么把不同连接到一起所用到的各种技术。
组网技术主要包括:
布线系统、Internet接入技术、防火墙等。
3.2.1综合布线系统
综合布线系统就是为了顺应发展需求而特别设计的一套布线系统。
结构化布线系统的组成:
网络系统的正常运行主要取决于网络设备和网络线路,对于网络系统来说,采用结构化布线系统能更好的满足系统设计的需要。
整个布线系统主要包含光纤布线和室内综合布线系统。
布线系统的结构主要是根据建筑物的分布图来设计,使用结构化布线工程的布线系统具有实用性、灵活性、可扩充性以及真正的开放性。
通过结构化布线建成的网络系
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 广东 轻工 职业 技术学院 校园网 系统 网络安全