《网络工程设计》NGIL实验室网络工程设计方案(精)

常熟理工学院

《网络工程设计》

课程设计报告

课题名称:NGIL实验室网络工程设计方案

目录

第一章摘要 (1

第二章网络用户需求分析 (3

第三章NGIL网络拓扑结构设计 (6

第四章NGIL网络地址规划与路由设计 (10

第五章NGIL网络性能设计 (12

第六章NGIL网络可靠性设计 (14

第七章NGIL网络安全性设计 (15

第八章NGIL网络综合布线设计 (18

参考文献 (20

第一章摘要

随着网络的发展,网络管理越来越重要。各大院校的NGIL网都已经初具规模,良好的网络管理成为NGIL网能否正常、有效运行的关键。该文基于常熟理工学院管理系统的设计探讨,详细讨论了NGIL网建设目标、设计原则以及网络拓扑结构、主干网构建,既有理论研究意义,也具有实践参考价值。

需要设计的网络承载着多样的网络应用:网络下载、视频、FTP、专项课题研究、网络化教学,NGIL网络的建设势在必得。 NGIL网必须具备教学、管理和通讯三大功能。教师可以方便地浏览和查询网上资源,进行教学和科研工作;学生可以方便地浏览和查询网上资源实现远程学习;通过网上学习学会信息处理能力。学校的管理人员可方便地对教务、行政事务、学生学籍、作业等进行综合管理,同时可以实现各级管理层之间的信息数据交换,实现网上信息采集和处理的自动化,实现信息和设备资源的共享,因此,NGIL网的建设必须有明确的建设目标:能够充分利用NGIL网,扩充各种网络应用,如多媒体课件系统、多媒体教学系统、网络教学系统、图书检索系统等,使其为各学科的教学和实验服务。

网络系统设计原则 :先进性与现实性我们将在网络构架、硬件设备、传输速率、协议选择、安全控制和虚拟网划分等各个方面充分体现NGIL网网络系统的先进性。在考虑系统先进性的同时,我们也会考虑实效、兼顾现实,建设不仅先进而且合适的系统。由于我学院大部分还处于规划阶段或基础建设阶段,因此我们建议实施分期建设的方法,先根据目前的需要建设第一期工程,但为以后的建设提供一定的可扩展空间。系统与软件的可靠性在NGIL网络系统设计中,很重要的一点就是网络的可靠性和稳定性。在外界环境或内部条件发生突变时,怎样使系统保持正常工作,或者在尽量短的时间内恢复正常工作,是NGIL网网络系统所必须考虑的。在设计时对可靠性的考虑,可以充分减少或消除因意外或事故造成的损失。我们将从网络线路的冗余备份及信息数据的多种备份等方面保证NGIL网网络系统的可靠性。

系统安全性与保密性保证系统可靠运行,在网络设计时,将从内部访问控制和外部防火墙两方面保证NGIL网网络系统的安全。系统还将按照国家相关的规定进行相应的系统保密性建设。易管理与维护 NGIL网网络系统的节点数目大,分布

范围广,通信介质多种多样,采用的网络技术也较先进,尤其引入交换式网络和虚拟网之后,网络的管理任务加重了,如何有效地管理好网络关系,是否充分有效地利用网络的系统资源等问题就摆在我们面前。用图形化的管理界面和简洁的操作方式,合理地网络规划策略,可以提供强大的网络管理功能,使网络日常的维护和操作变得直观、简便和高效。易扩展性随着教学科研的快速发展,NGIL网网络系统为了适

应这个变化和日新月异的计算机技术的发展,考虑现有网络的平滑过度,使学校现有陈旧设备尽量保持较好的利用价值;选用产品应具有最佳性价比,又要应充分考虑未来可能的应用,我们网络十分注重扩充性。同时学校规模在不断扩大,用户数在持续增加,要求网络具有很好的扩展性。无论是网络硬件还是系统软件,都可以方便的扩充和升级。上述系统设计的原则将自始自终贯穿整个系统的设计和实现。

.网络设备的选择原则根据已制定的网络系统设计原则,我们所选择的网络设备必须具有以下一些特点: 安全、稳定、可靠作为整个NGIL网络系统的硬件基础,网络设备必须是具备安全性、稳定性和可靠性的特点。这是网络系统稳定运行的最基本条件。便于扩展由于信息技术和人们对于新技术的需求发展都非常迅速,为了避免不必要的重复投资,我们必须选择具有一定扩展能力的设备,能够保证在网络规模逐渐扩大的时候,不需要增加新的设备,而只需要增加一定数量的模块就行。最好能够做到在网络技术进一步发展,现有模块不支持新技术的情况下,只需要更换相应模块,而不需要更换整个设备。方便管理和维护先进的设备必须配合先进的管理和维护方法,才能够发挥最大的作用。所以,我们选择的设备必须能够支持现有的、常用的网络管理协议和多种网络管理软件,便于管理人员的维护。

网络安全设计网络建成后,为保证整个网络正常地运行。防止计算机病毒对网络的侵害、防止“黑客”入侵就变得尤其重要,主要表在以下几个方面:身份认证、访问授权、数据保密、数据完整、审计记录、防病毒入侵。网络安全是有层次的,在不同层次,安全的着重点也不同,大致归纳起来可将网络安全划分成两个层次:网络层安全和应用层安全。

第二章网络用户需求分析

一原理与要点

(1网络工程需求分析的要点:

需求分析的基本内容,用户的权利与义务,需求分析的方法,需求分析中存在的问题。

(2进行网络组建需求分析时,应向用户调查:

用户类型的分析,用户网络功能需求分析,网络基本结构需求分析,网络投资约束条件分析。

二NGIL实验室背景

a常熟理工下一代互联网实验室(NGIL为常熟理工学院校级重点实验室。它

位于东南校区九章楼406、410和409。房间面积分别为8.4*4.2m2、

8.4*4.2m2

和8.4*12.6m2。

bNGIL实验室为常熟理工学院的师生提供教师科研、学生项目及创新实践、学

科竞赛、毕业设计的平台。

cNGIL实验室的研究方向包括:信息安全、网络工程、Web系统应用、计算机

取证、数据恢复等。

dNGIL实验室具有不同的功能区,例如教师工作区、学生学习区、学术/学习

交流讨论区、成果展示区、休闲/休息区等。

e实验室教师人数:4人左右;学生人数:30人左右。

f从学校获得NGIL网内部IP地址:10.18.45.0/24;10.18.46.0/24;10.18.48.0/24;

教育网IP地址:210.28.164.0/24。

(2要求/提示

a进行需求分析。

b网络应用情况(如Web、QQ/P2P/Video/上网时段等。

c实验室提供各种可能的网络服务(如Web服务、Ftp服务等。

d接入方式,即与外网的连接方式(如接入校园网。

eIP地址规划(如IP地址分配、VLAN等因素。

f路由规划

g有线局域网(如集线器、交换机等、无线局域网(无线AP等、AD Hoc网

络等。

h网络拓扑绘图。

i信息点计算。

j网络传输介质选型(如双绞线、无线等。

k流量估算。

l设备选型。

m考虑一定的可靠性/可用性(如网络冗余备份等。

n考虑一定的实验室网络安全性。

o预算资金。

三NGIL 需求分析

(1NGIL实验室类型分析(NGIL实验室的一般情况分析

NGIL实验室是教育系统中NGIL网类型,网络技术单一,采用宽带以太网技术。双出口:宽带ChinaNet和中国教育科研网CERNet。

(2NGIL网络功能需求分析(包括网络服务器要求、网络应用系统要求等

内部网功能类型:资源共享,数据管理,文件管理,信息发布,协同工作。

应用系统采用XP ,装有虚拟机以及其他例如LINUX系统文件。

(3NGIL网络基本结构需求分析

拓扑结构分析:采用VLAN进行工作组划分。

网络链路分析:主干链路采用双绞线,地埋走线方式,带宽分配合理,维护相当方便。

(4NGIL网络投资约束条件分析

服务器主机,个人计算机多台,交换机,路由器,其他设备,安全产品,布线设备,系统软件,系统建设,网络维护,线路接入,人员培训,网络管理。

(5NGIL网络性能需求分析

最终用户的平均接入带宽都可以满足网络业务的需求;

用户网络通信流量的特点是不定带宽的数据传输应用,例如,FTP文件下载, BT 下载等。

(6NGIL网络可靠性需求分析

网络系统需要RAID进行数据自动备份,需要进行数据远程异地备份,需要系统备份和快速恢复功能,需要具有容错功能的服务器及网络设备。网络出现故障能够迅速恢复并有适当的应急措施。主要网络设备需要考虑可离线应急操作,相同设备之间应当可相互替代,采用严格的系统监控功能。

不能出现单点故障而引起全网瘫痪。

(7NGIL网络安全需求分析

系统软件和硬件的安全分析:网络设备安全功能,网络传输介质保护,采用安全性较高的网络操作系统,网络操作系统和服务器软件存在漏洞,应及时进行补丁程序升级。

数据安全分析:访问者身份认证,关键文件权限严格限制,操作系统日志功能,保

护通过VPN传送远程站点的数据。

入侵防护安全需求分析:安全隔离系统,网络安全系统,防止消耗带宽攻击方式,

采用防火墙技术。

(8NGIL网络管理需求分析

需要对网络进行远程管理,选择网管软件(需要支持现有的网络设备,兼容现有的操作系统,网络设备(如交换机支持那些网络管理协议和网络管理软件,网络流量管理,网络拥塞管理,网络故障定位。

(9NGIL网络扩展性需求分析

教师和学生数量增加,网络性能扩展,网络结构扩展,网络设备扩展,网络软件扩展。

第三章NGIL网络拓扑结构设计

一原理与要点

(1点对点类型网络拓扑结构

一个信息点连接到另一个信息点(物理和逻辑通道上都是相对唯一存在的这是通俗的说法例如路由器经常使用的PPP 协议就是利用点对点的网络拓扑结构网络一般分四种点对点PPP 点对多点PPMP 广播型(以太网非广播型点对多点(NBMA 例如帧中继网络

(2广播类型网络拓扑结构

典型表现为以太网,而以太网中最为常见的是以下四种:

星型结构

环型结构

总线型结构

星型和总线型结合的复合型结构

(3网络分层设计方法

主要分三种类型:

a接入层

主要为终端用户提供访问网络的能力

b汇聚层

要为汇聚网络流量,屏蔽接入层变化对核心层的影响。

c核心层

实现数据包的高速交换。

(4服务子网和网络扩展设计

当各种公共服务增多时,就需要一个服务器主机群来实现这些服务,服务子网设计在网络的那个层次,对网络性能影响很大,一般有集中式服务和分布式服务设计两种类型。

(5VLAN设计

1.隔离广播风暴

2.提高个人用户安全性

3.方便用户人员变动

二NGIL网络拓扑结构设计(1NGIL网络拓扑结构图

图1 拓扑结构图

(2NGIL网络分层设计(说明

图2 分层图

A 接入层

共有三个接入层:409、410、406,每个接入层都包含以下元素:无线网、终端、服务器。

B汇聚层

每个实验室中放置一个汇聚层路由器,将实验室所有终端设备连接上去。

c核心层

三个实验室的汇聚层路由器连接到一个三层交换机上,再由此交换机连接到外网。三NGIL有线局域网设计(说明

按照实验三所示实验室平面设计方案排布实验室内器械,组织有线局域网。三个实验室都属于小型网络,并采用星型结构,各终端直接连接至路由器设备。

四NGIL无线局域网设计(说明

各个实验室都安装一个无线路由设备,连接至有线路由器上,供无线用户使用。五NGIL网络VLAN设计(说明

在每个实验室中设计三个vlan组分别为教师、学生和公共三类,并设置不同权限。六NGIL网络VLAN设计(说明

使用分布式服务设计模型,这样可以合理分担网络流量,驾校核心层网络设备的压力。将网络服务的服务器安排在核心层,OA服务的服务器安排在汇聚层,将各种应用服务的服务器安排在接入层。

七NGIL网络互联网接入设计(说明

通过核心层交换机,连接至校园服务器,然后连接至外网。

第四章NGIL网络地址规划与路由设计

一原理与方法

1.网络IP地址规划

地址分为共有地址、私有地址、保留地址和组播地址,合理安排地址对用户之间通信有着重要的影响。

2.路由技术

路由是信息通过一条路径从源地址转移到目的地址的过程。路由器是从一个物理网想另一个物理网发送数据包的设备,路由器设备是一台专用的计算机,路由器也称为网关。

(1静态路由技术

按照网络工程师预先设计好的路径进行路由选择。

(2动态路由技术

可以根据网络结构,通信量等变化,自动调整路由。

(1IP地址规划设计与分配原则

分配原则:唯一性、连续性、扩展性和实意性。

(2NA T技术存在问题

一些安全协议不能跨NA T设备使用,因为IP源地址的原始报头中可能采用了数字签名等安全技术,如果改变源地址,数字签名不能再有效。

使用IPSec(IP安全协议构建VPN(虚拟专用网络时,NAT设备应置于VPN受保护的一侧,因为NAT需要改动IP报头中的地址域,而IPSec报头中的IP地址被改变之后,IPSec的安全机制也就失效了

NA T不能多层嵌套使用,它容易造成路由拥塞。

尽管NAT技术带来多种好处,但是NAT技术队管理和安全机制仍然岑仔潜在的威胁。

二NGIL网络IP地址规划

(1XXX子网IP地址规划与配置

场地大小使每个实验室的主机数不是很多,不会超过32(2^5台,所以主机位的位数要求5位。在给出的网络地址中,网络位有24位,主机位为32-24=8位,所以在进行子网划分的时候可以借8-5=3位给网络位使用,借位后子网掩码变为

255.255.255.224,借位后整个网络被划分成了2^3=8个子网,每个子网能容纳的有效主机数为2^5-2=30。

子网范围为10.28.45.32/27--------10.28.45.224/27

取其中三个子网分配给三个实验室

(2服务子网IP地址规划与配置

之前分配的子网中的一个分配给服务子网作为分配地址。

(3NGIL网络IP地址配置表

第五章NGIL网络性能设计

一原理与方法

1.网络带宽分析与设计

网络带宽分为两种:频带传输中指波长、频率或能量带的范围;基带传输中则是一种衡量数据传输速率的标准。以太网的带宽具有不稳定性,主要与网络设备、网络线路、网络类型、应用环境等因素有关。当网络带宽低于256kbit/s时,很难满足用户对网络服务的需求。在分层设计的网络中,设计方案主要为两种:阻塞式与非阻塞式。其中按非阻塞式带宽设计的网络汇聚节点负载轻,网络扩展性好,但是工程成本偏高。

2.网络流量

可以简单将网络流量理解为通过交换机的数据包,这里忽略数据包在线路传输时的损耗。流量分析需要考虑很多因素,主要有流量特性、流量模型、服务级别等因素。

3.网络服务质量

服务质量是指IP网络在传输数据流时,满足一系列服务请求的实现机制。

(1技术指标

传输延时、时延抖动、丢包率、吞吐量。

(2存在问题

存在问题主要有QoS的复杂性、技术还不成熟、实现QoS需要全网支持、电话网的QoS。

4.网络负载均衡技术

它是采用一组设备和多条通信链路,将通信量及其他工作智能地分配到整个设备组中的不同设备上,或将数据流量均衡的分配到多条链路上,提供最快的响应速度以,及不停顿的服务。

二NGIL网络带宽分析与设计

(1分层设计

由于实验室工程费用不是非常高,而非阻塞式带宽设计的网络工程成本偏高,所

以采用上层链路带宽小于下层链路带宽总和的阻塞式带宽设计。

(2用户业务模型

实验室中大多数时间都是在使用软件开发,少部分时间下载或查阅资料,所以对于网络带宽的要求不是很高。

1.NGIL网络流量分析与设计

流量模型采用交换型网络的分层设计,网络数据流量从接入层流向核心层时,被收敛在高速链路上;流量从核心层流向接入层时,被发散到低速链路上。核心层设备需要较高的数据处理能力。

个人感觉内网中的数据流通相对会比较大些。

2.NGIL网络服务质量分析与设计

对于服务质量的四个技术指标要求都不是很高,只要达到基本流畅就可以。

3.NGIL网络负载均衡分析与设计

采用双网卡负载均衡,多网卡的使用能够增大带宽,减轻了单块网卡的负担,且提高可靠性,当一块网卡故障时,另一块接管全部负载,保证服务不中断。

第六章NGIL网络可靠性设计

一原理与要点

1.网络冗余设计

主要包含网络的结构冗余设计、链路冗余设计、设备冗余设计和HSRP热备份路由设计。

2.网络存储设计

SCSI接口、SAS接口、RAID磁盘阵列、FC、SAN、IP存储网络等。

3.网络集群系统设计

集群系统是将2台以上的计算机(如PC服务器,通过软件(如Rose HA和网络(如以太网,将不同的设备(如磁盘阵列连接在一起,组成一个高可用性的超级计算机群组,系统完成大型计算任务。主要有三种类型:HA集群、负载均衡集群、科学计算集群。

二NGIL网络可靠性设计

1.NGIL网络冗余设计

添置一台核心交换机作为冗余,是网络更加安全可靠。

连接多一条的链路冗余,提高可靠性。

2.NGIL网络存储设计

可以配置一个RAID1,这样安全性更高,资源多了以后可能费用较高了。

3.NGIL网络集群设计

认为不需要集群设计。

第七章NGIL网络安全性设计

一原理与要点

1.网络安全体系

IATE标准

IATE网络模型

对手,动机和攻击类型

安全威胁的表现形式

深度保护战略模型

2.网络防火墙技术

防火墙DMZ,

PIX防火墙,

3.网络安全设计技术

(1IDS网络安全设计

入侵检测系统,IDS常用入侵检测方法,IDS网络安全设计,IDS存在的问题。(2IPS网络安全设计

IPS的功能,IPS的性能参数,IPS在网络中的部署,IPS存在的问题

(3ACL网络安全技术

ACL基本工作原理,ACL配置的基本原则,标准ACL配置,扩展ACL配置ACL单向访问控制

(4VPN网络安全设计

VPN隧道技术工作原理,VPN工作协议,VPN网络设计。

4.安全策略

通过对网络系统的风险分析及需要解决的安全问题,我们需要制定合理的安全策略及安全方案来确保网络系统的机密性、完整性、可用性、可控性与可审查性。即,可用性:授权实体有权访问数据

机密性:信息不暴露给未授权实体或进程

完整性:保证数据不被未授权修改

可控性:控制授权范围内的信息流向及操作方式

可审查性:对出现的安全问题提供依据与手段

访问控制:需要由防火墙将内部网络与外部不可信任的网络隔离,对与外部网络交换数据的内部网络及其主机、所交换的数据进行严格的访问控制。同样,对内部网络,

由于不同的应用业务以及不同的安全级别,也需要使用防火墙将不同的LAN或网段进行隔离,并实现相互的访问控制。

数据加密:数据加密是在数据传输、存储过程中防止非法窃取、篡改信息的有效手段。安全审计:是识别与防止网络攻击行为、追查网络泄密行为的重要措施之一。具体包括两方面的内容,一是采用网络监控与入侵防范系统,识别网络各种违规操作与攻击行为,即时响应(如报警并进行阻断;二是对信息内容的审计,可以防止内部机密或敏感信息的非法泄漏

5.面临的主要安全威胁

(1内部窃密和破坏

由于企业网络上同时接入了其它部门的网络系统,因此容易出现其它部门不怀好意的人员(或外部非法人员利用其它部门的计算机通过网络进入内部网络,并进一步窃取和破坏其中的重要信息(如领导的网络帐号和口令、重要文件等,因此这种风险是必须采取措施进行防范的。

(2搭线(网络窃听

这种威胁是网络最容易发生的。攻击者可以采用如Sniffer等网络协议分析工具,在INTERNET网络安全的薄弱处进入INTERNET,并非常容易地在信息传输过程中获取所有信息(尤其是敏感信息的内容。对企业网络系统来讲,由于存在跨越INTERNET 的内部通信(与上级、下级这种威胁等级是相当高的,因此也是本方案考虑的重点。

(3假冒

这种威胁既可能来自企业网内部用户,也可能来自INTERNET内的其它用户。如系统内部攻击者伪装成系统内部的其他正确用户。攻击者可能通过冒充合法系统用户,诱骗其他用户或系统管理员,从而获得用户名/口令等敏感信息,进一步窃取用户网络内的重要信息。或者内部用户通过假冒的方式获取其不能阅读的秘密信息。(4完整性破坏

这种威胁主要指信息在传输过程中或者存储期间被篡改或修改,使得信息/数据失去了原有的真实性,从而变得不可用或造成广泛的负面影响。由于XXX企业网内有许多重要信息,因此那些不怀好意的用户和非法用户就会通过网络对没有采取安全措施的服务器上的重要文件进行修改或传达一些虚假信息,从而影响工作的正常进行。

(5其它网络的攻击

企业网络系统是接入到INTERNET上的,这样就有可能会遭到INTERNET上黑客、恶意用户等的网络攻击,如试图进入网络系统、窃取敏感信息、破坏系统数据、设置恶意代码、使系统服务严重降低或瘫痪等。因此这也是需要采取相应的安全措施进行防范。

(6管理及操作人员缺乏安全知识

由于信息和网络技术发展迅猛,信息的应用和安全技术相对滞后,用户在引入和采用安全设备和系统时,缺乏全面和深入的培训和学习,对信息安全的重要性与技术认识不足,很容易使安全设备/系统成为摆设,不能使其发挥正确的作用。如本来对某些通信和操作需要限制,为了方便,设置成全开放状态等等,从而出现网络漏洞。

由于网络安全产品的技术含量大,因此,对操作管理人员的培训显得尤为重要。这样,使安全设备能够尽量发挥其作用,避免使用上的漏洞。

(7雷击

由于网络系统中涉及很多的网络设备、终端、线路等,而这些都是通过通信电缆进行传输,因此极易受到雷击,造成连锁反应,使整个网络瘫痪,设备损坏,造成严重后果。因此,为避免遭受感应雷击的危害和静电干扰、电磁辐射干扰等引起的瞬间电压浪涌电压的损坏,有必要对整个网络系统采取相应的防雷措施。

二NGIL网络安全性设计

1.NGIL网络安全分析与设计

(1安全威胁有:

信息泄漏,非授权访问,数据截获与修改,特洛伊木马程序等,

(2选择DMZ防火墙

即使DMZ服务器被破坏,也不会影响内部的网络安全。

2.NGIL网络防火墙设计

有2台防火墙连接到DMZ,一台位于DMZ子网与内网网络之间,而另一台防火墙位于外部网络与DMZ之间。这样,入侵者必须通过2台路由和2台防火墙的安全控制,才能抵达网络内部。这种网络结构大大增强了网络的安全性,并且由于路由器控制数据包的流向,所以提高了网络的吞吐能力,缺点是系统设置较为复杂。

第八章 NGIL网络综合布线设计

一综合布线设计相关知识

1 网络构成

网络系统

核心交换机、汇聚层交换机、接入层交换机网络安全系统

防火墙、UPS(不间断电源、杀毒软件

服务器系统

服务器

软件系统

系统软件、应用软件

综合布线系统

工作区、水平、垂直、管理间、设备间

2 需要注意的几个方面

合理的规划并配合图例

设备放置的位置

注意分层

网络扩展性

Vlan的设计和IP地址的规划分配