《網(wǎng)絡工程設計》NGIL實驗室網(wǎng)絡工程設計方案

1、常熟理工學院網(wǎng)絡工程設計課程設計報告課題名稱:NGIL實驗室網(wǎng)絡工程設計方案目錄第一章摘要 (1第二章網(wǎng)絡用戶需求分析 (3第三章NGIL網(wǎng)絡拓撲結構設計 (6第四章NGIL網(wǎng)絡地址規(guī)劃與路由設計 (10第五章NGIL網(wǎng)絡性能設計 (12第六章NGIL網(wǎng)絡可靠性設計 (14第七章NGIL網(wǎng)絡安全性設計 (15第八章NGIL網(wǎng)絡綜合布線設計 (18參考文獻 (20第一章摘要隨著網(wǎng)絡的發(fā)展,網(wǎng)絡管理越來越重要。各大院校的NGIL網(wǎng)都已經(jīng)初具規(guī)模,良好的網(wǎng)絡管理成為NGIL網(wǎng)能否正常、有效運行的關鍵。該文基于常熟理工學院管理系統(tǒng)的設計探討,詳細討論了NGIL網(wǎng)建設目標、設計原則以及網(wǎng)絡拓撲結構、主干

2、網(wǎng)構建,既有理論研究意義,也具有實踐參考價值。需要設計的網(wǎng)絡承載著多樣的網(wǎng)絡應用:網(wǎng)絡下載、視頻、FTP、專項課題研究、網(wǎng)絡化教學,NGIL網(wǎng)絡的建設勢在必得。 NGIL網(wǎng)必須具備教學、管理和通訊三大功能。教師可以方便地瀏覽和查詢網(wǎng)上資源,進行教學和科研工作;學生可以方便地瀏覽和查詢網(wǎng)上資源實現(xiàn)遠程學習;通過網(wǎng)上學習學會信息處理能力。學校的管理人員可方便地對教務、行政事務、學生學籍、作業(yè)等進行綜合管理,同時可以實現(xiàn)各級管理層之間的信息數(shù)據(jù)交換,實現(xiàn)網(wǎng)上信息采集和處理的自動化,實現(xiàn)信息和設備資源的共享,因此,NGIL網(wǎng)的建設必須有明確的建設目標:能夠充分利用NGIL網(wǎng),擴充各種網(wǎng)絡應用,如多媒體

3、課件系統(tǒng)、多媒體教學系統(tǒng)、網(wǎng)絡教學系統(tǒng)、圖書檢索系統(tǒng)等,使其為各學科的教學和實驗服務。網(wǎng)絡系統(tǒng)設計原則 :先進性與現(xiàn)實性 我們將在網(wǎng)絡構架、硬件設備、傳輸速率、協(xié)議選擇、安全控制和虛擬網(wǎng)劃分等各個方面充分體現(xiàn)NGIL網(wǎng)網(wǎng)絡系統(tǒng)的先進性。在考慮系統(tǒng)先進性的同時,我們也會考慮實效、兼顧現(xiàn)實,建設不僅先進而且合適的系統(tǒng)。由于我學院大部分還處于規(guī)劃階段或基礎建設階段,因此我們建議實施分期建設的方法,先根據(jù)目前的需要建設第一期工程,但為以后的建設提供一定的可擴展空間。 系統(tǒng)與軟件的可靠性 在NGIL網(wǎng)絡系統(tǒng)設計中,很重要的一點就是網(wǎng)絡的可靠性和穩(wěn)定性。在外界環(huán)境或內部條件發(fā)生突變時,怎樣使系統(tǒng)保持正常工

4、作,或者在盡量短的時間內恢復正常工作,是NGIL網(wǎng)網(wǎng)絡系統(tǒng)所必須考慮的。在設計時對可靠性的考慮,可以充分減少或消除因意外或事故造成的損失。我們將從網(wǎng)絡線路的冗余備份及信息數(shù)據(jù)的多種備份等方面保證NGIL網(wǎng)網(wǎng)絡系統(tǒng)的可靠性。系統(tǒng)安全性與保密性 保證系統(tǒng)可靠運行,在網(wǎng)絡設計時,將從內部訪問控制和外部防火墻兩方面保證NGIL網(wǎng)網(wǎng)絡系統(tǒng)的安全。系統(tǒng)還將按照國家相關的規(guī)定進行相應的系統(tǒng)保密性建設。 易管理與維護 NGIL網(wǎng)網(wǎng)絡系統(tǒng)的節(jié)點數(shù)目大,分布范圍廣,通信介質多種多樣,采用的網(wǎng)絡技術也較先進,尤其引入交換式網(wǎng)絡和虛擬網(wǎng)之后,網(wǎng)絡的管理任務加重了,如何有效地管理好網(wǎng)絡關系,是否充分有效地利用網(wǎng)絡的系統(tǒng)

5、資源等問題就擺在我們面前。用圖形化的管理界面和簡潔的操作方式,合理地網(wǎng)絡規(guī)劃策略,可以提供強大的網(wǎng)絡管理功能,使網(wǎng)絡日常的維護和操作變得直觀、簡便和高效。 易擴展性 隨著教學科研的快速發(fā)展,NGIL網(wǎng)網(wǎng)絡系統(tǒng)為了適應這個變化和日新月異的計算機技術的發(fā)展,考慮現(xiàn)有網(wǎng)絡的平滑過度,使學?，F(xiàn)有陳舊設備盡量保持較好的利用價值;選用產(chǎn)品應具有最佳性價比,又要應充分考慮未來可能的應用,我們網(wǎng)絡十分注重擴充性。同時學校規(guī)模在不斷擴大,用戶數(shù)在持續(xù)增加,要求網(wǎng)絡具有很好的擴展性。無論是網(wǎng)絡硬件還是系統(tǒng)軟件,都可以方便的擴充和升級。 上述系統(tǒng)設計的原則將自始自終貫穿整個系統(tǒng)的設計和實現(xiàn)。.網(wǎng)絡設備的選擇原則 根

6、據(jù)已制定的網(wǎng)絡系統(tǒng)設計原則,我們所選擇的網(wǎng)絡設備必須具有以下一些特點: 安全、穩(wěn)定、可靠 作為整個NGIL網(wǎng)絡系統(tǒng)的硬件基礎,網(wǎng)絡設備必須是具備安全性、穩(wěn)定性和可靠性的特點。這是網(wǎng)絡系統(tǒng)穩(wěn)定運行的最基本條件。 便于擴展 由于信息技術和人們對于新技術的需求發(fā)展都非常迅速,為了避免不必要的重復投資,我們必須選擇具有一定擴展能力的設備,能夠保證在網(wǎng)絡規(guī)模逐漸擴大的時候,不需要增加新的設備,而只需要增加一定數(shù)量的模塊就行。最好能夠做到在網(wǎng)絡技術進一步發(fā)展,現(xiàn)有模塊不支持新技術的情況下,只需要更換相應模塊,而不需要更換整個設備。 方便管理和維護 先進的設備必須配合先進的管理和維護方法,才能夠發(fā)揮最大的作

7、用。所以,我們選擇的設備必須能夠支持現(xiàn)有的、常用的網(wǎng)絡管理協(xié)議和多種網(wǎng)絡管理軟件,便于管理人員的維護。網(wǎng)絡安全設計 網(wǎng)絡建成后,為保證整個網(wǎng)絡正常地運行。防止計算機病毒對網(wǎng)絡的侵害、防止“黑客”入侵就變得尤其重要,主要表在以下幾個方面:身份認證、訪問授權、數(shù)據(jù)保密、數(shù)據(jù)完整、審計記錄、防病毒入侵。 網(wǎng)絡安全是有層次的,在不同層次,安全的著重點也不同,大致歸納起來可將網(wǎng)絡安全劃分成兩個層次:網(wǎng)絡層安全和應用層安全。第二章網(wǎng)絡用戶需求分析一原理與要點(1網(wǎng)絡工程需求分析的要點:需求分析的基本內容,用戶的權利與義務,需求分析的方法,需求分析中存在的問題。(2進行網(wǎng)絡組建需求分析時,應向用戶調查:用戶

8、類型的分析,用戶網(wǎng)絡功能需求分析,網(wǎng)絡基本結構需求分析,網(wǎng)絡投資約束條件分析。二NGIL實驗室背景a常熟理工下一代互聯(lián)網(wǎng)實驗室(NGIL為常熟理工學院校級重點實驗室。它bNGIL實驗室為常熟理工學院的師生提供教師科研、學生項目及創(chuàng)新實踐、學科競賽、畢業(yè)設計的平臺。cNGIL實驗室的研究方向包括:信息安全、網(wǎng)絡工程、Web系統(tǒng)應用、計算機取證、數(shù)據(jù)恢復等。dNGIL實驗室具有不同的功能區(qū),例如教師工作區(qū)、學生學習區(qū)、學術/學習交流討論區(qū)、成果展示區(qū)、休閑/休息區(qū)等。e實驗室教師人數(shù):4人左右;學生人數(shù):30人左右。(2要求/提示a進行需求分析。b網(wǎng)絡應用情況(如Web、QQ/P2P/Video/

9、上網(wǎng)時段等。c實驗室提供各種可能的網(wǎng)絡服務(如Web服務、Ftp服務等。d接入方式,即與外網(wǎng)的連接方式(如接入校園網(wǎng)。eIP地址規(guī)劃(如IP地址分配、VLAN等因素。f路由規(guī)劃g有線局域網(wǎng)(如集線器、交換機等、無線局域網(wǎng)(無線AP等、AD Hoc網(wǎng)絡等。h網(wǎng)絡拓撲繪圖。i信息點計算。j網(wǎng)絡傳輸介質選型(如雙絞線、無線等。k流量估算。l設備選型。m考慮一定的可靠性/可用性(如網(wǎng)絡冗余備份等。n考慮一定的實驗室網(wǎng)絡安全性。o預算資金。三NGIL 需求分析(1NGIL實驗室類型分析(NGIL實驗室的一般情況分析NGIL實驗室是教育系統(tǒng)中NGIL網(wǎng)類型,網(wǎng)絡技術單一,采用寬帶以太網(wǎng)技術。雙出口:寬帶C

10、hinaNet和中國教育科研網(wǎng)CERNet。(2NGIL網(wǎng)絡功能需求分析(包括網(wǎng)絡服務器要求、網(wǎng)絡應用系統(tǒng)要求等內部網(wǎng)功能類型:資源共享,數(shù)據(jù)管理,文件管理,信息發(fā)布,協(xié)同工作。應用系統(tǒng)采用XP ,裝有虛擬機以及其他例如LINUX系統(tǒng)文件。(3NGIL網(wǎng)絡基本結構需求分析拓撲結構分析:采用VLAN進行工作組劃分。網(wǎng)絡鏈路分析:主干鏈路采用雙絞線,地埋走線方式,帶寬分配合理,維護相當方便。(4NGIL網(wǎng)絡投資約束條件分析服務器主機,個人計算機多臺,交換機,路由器,其他設備,安全產(chǎn)品,布線設備,系統(tǒng)軟件,系統(tǒng)建設,網(wǎng)絡維護,線路接入,人員培訓,網(wǎng)絡管理。(5NGIL網(wǎng)絡性能需求分析最終用戶的平均接

11、入帶寬都可以滿足網(wǎng)絡業(yè)務的需求;用戶網(wǎng)絡通信流量的特點是不定帶寬的數(shù)據(jù)傳輸應用,例如,FTP文件下載, BT下載等。(6NGIL網(wǎng)絡可靠性需求分析網(wǎng)絡系統(tǒng)需要RAID進行數(shù)據(jù)自動備份,需要進行數(shù)據(jù)遠程異地備份,需要系統(tǒng)備份和快速恢復功能,需要具有容錯功能的服務器及網(wǎng)絡設備。網(wǎng)絡出現(xiàn)故障能夠迅速恢復并有適當?shù)膽贝胧Ｖ饕W(wǎng)絡設備需要考慮可離線應急操作,相同設備之間應當可相互替代,采用嚴格的系統(tǒng)監(jiān)控功能。不能出現(xiàn)單點故障而引起全網(wǎng)癱瘓。(7NGIL網(wǎng)絡安全需求分析系統(tǒng)軟件和硬件的安全分析:網(wǎng)絡設備安全功能,網(wǎng)絡傳輸介質保護,采用安全性較高的網(wǎng)絡操作系統(tǒng),網(wǎng)絡操作系統(tǒng)和服務器軟件存在漏洞,應及時進

12、行補丁程序升級。數(shù)據(jù)安全分析:訪問者身份認證,關鍵文件權限嚴格限制,操作系統(tǒng)日志功能,保護通過VPN傳送遠程站點的數(shù)據(jù)。入侵防護安全需求分析:安全隔離系統(tǒng),網(wǎng)絡安全系統(tǒng),防止消耗帶寬攻擊方式,采用防火墻技術。(8NGIL網(wǎng)絡管理需求分析需要對網(wǎng)絡進行遠程管理,選擇網(wǎng)管軟件(需要支持現(xiàn)有的網(wǎng)絡設備,兼容現(xiàn)有的操作系統(tǒng),網(wǎng)絡設備(如交換機支持那些網(wǎng)絡管理協(xié)議和網(wǎng)絡管理軟件,網(wǎng)絡流量管理,網(wǎng)絡擁塞管理,網(wǎng)絡故障定位。(9NGIL網(wǎng)絡擴展性需求分析教師和學生數(shù)量增加,網(wǎng)絡性能擴展,網(wǎng)絡結構擴展,網(wǎng)絡設備擴展,網(wǎng)絡軟件擴展。第三章NGIL網(wǎng)絡拓撲結構設計一原理與要點(1點對點類型網(wǎng)絡拓撲結構一個信息點連

13、接到另一個信息點(物理和邏輯通道上都是相對唯一存在的這是通俗的說法例如路由器經(jīng)常使用的PPP 協(xié)議就是利用點對點的網(wǎng)絡拓撲結構網(wǎng)絡一般分四種點對點PPP 點對多點PPMP 廣播型(以太網(wǎng) 非廣播型點對多點(NBMA例如幀中繼網(wǎng)絡(2廣播類型網(wǎng)絡拓撲結構典型表現(xiàn)為以太網(wǎng),而以太網(wǎng)中最為常見的是以下四種:星型結構環(huán)型結構總線型結構星型和總線型結合的復合型結構(3網(wǎng)絡分層設計方法主要分三種類型:a接入層主要為終端用戶提供訪問網(wǎng)絡的能力b匯聚層要為匯聚網(wǎng)絡流量,屏蔽接入層變化對核心層的影響。c核心層實現(xiàn)數(shù)據(jù)包的高速交換。(4服務子網(wǎng)和網(wǎng)絡擴展設計當各種公共服務增多時,就需要一個服務器主機群來實現(xiàn)這些服

14、務,服務子網(wǎng)設計在網(wǎng)絡的那個層次,對網(wǎng)絡性能影響很大,一般有集中式服務和分布式服務設計兩種類型。(5VLAN設計1.隔離廣播風暴2.提高個人用戶安全性3.方便用戶人員變動二NGIL網(wǎng)絡拓撲結構設計(1NGIL網(wǎng)絡拓撲結構圖 圖1 拓撲結構圖(2NGIL網(wǎng)絡分層設計(說明 圖2 分層圖A 接入層共有三個接入層:409、410、406,每個接入層都包含以下元素:無線網(wǎng)、終端、服務器。B匯聚層每個實驗室中放置一個匯聚層路由器,將實驗室所有終端設備連接上去。c核心層三個實驗室的匯聚層路由器連接到一個三層交換機上,再由此交換機連接到外網(wǎng)。三NGIL有線局域網(wǎng)設計(說明按照實驗三所示實驗室平面設計方案排布

15、實驗室內器械,組織有線局域網(wǎng)。三個實驗室都屬于小型網(wǎng)絡,并采用星型結構,各終端直接連接至路由器設備。四NGIL無線局域網(wǎng)設計(說明各個實驗室都安裝一個無線路由設備,連接至有線路由器上,供無線用戶使用。五NGIL網(wǎng)絡VLAN設計(說明在每個實驗室中設計三個vlan組分別為教師、學生和公共三類,并設置不同權限。六NGIL網(wǎng)絡VLAN設計(說明使用分布式服務設計模型,這樣可以合理分擔網(wǎng)絡流量,駕校核心層網(wǎng)絡設備的壓力。將網(wǎng)絡服務的服務器安排在核心層,OA服務的服務器安排在匯聚層,將各種應用服務的服務器安排在接入層。七NGIL網(wǎng)絡互聯(lián)網(wǎng)接入設計(說明通過核心層交換機,連接至校園服務器,然后連接至外網(wǎng)。

16、第四章NGIL網(wǎng)絡地址規(guī)劃與路由設計一原理與方法1.網(wǎng)絡IP地址規(guī)劃地址分為共有地址、私有地址、保留地址和組播地址,合理安排地址對用戶之間通信有著重要的影響。2.路由技術路由是信息通過一條路徑從源地址轉移到目的地址的過程。路由器是從一個物理網(wǎng)想另一個物理網(wǎng)發(fā)送數(shù)據(jù)包的設備,路由器設備是一臺專用的計算機,路由器也稱為網(wǎng)關。(1靜態(tài)路由技術按照網(wǎng)絡工程師預先設計好的路徑進行路由選擇。(2動態(tài)路由技術可以根據(jù)網(wǎng)絡結構,通信量等變化,自動調整路由。(1IP地址規(guī)劃設計與分配原則分配原則:唯一性、連續(xù)性、擴展性和實意性。(2NA T技術存在問題一些安全協(xié)議不能跨NA T設備使用,因為IP源地址的原始報頭

17、中可能采用了數(shù)字簽名等安全技術,如果改變源地址,數(shù)字簽名不能再有效。使用IPSec(IP安全協(xié)議構建VPN(虛擬專用網(wǎng)絡時,NAT設備應置于VPN受保護的一側,因為NAT需要改動IP報頭中的地址域,而IPSec報頭中的IP地址被改變之后,IPSec的安全機制也就失效了NA T不能多層嵌套使用,它容易造成路由擁塞。盡管NAT技術帶來多種好處,但是NAT技術隊管理和安全機制仍然岑仔潛在的威脅。二NGIL網(wǎng)絡IP地址規(guī)劃(1XXX子網(wǎng)IP地址規(guī)劃與配置取其中三個子網(wǎng)分配給三個實驗室(2服務子網(wǎng)IP地址規(guī)劃與配置之前分配的子網(wǎng)中的一個分配給服務子網(wǎng)作為分配地址。(3NGIL網(wǎng)絡IP地址配置表 第五章N

18、GIL網(wǎng)絡性能設計一原理與方法1.網(wǎng)絡帶寬分析與設計網(wǎng)絡帶寬分為兩種:頻帶傳輸中指波長、頻率或能量帶的范圍;基帶傳輸中則是一種衡量數(shù)據(jù)傳輸速率的標準。以太網(wǎng)的帶寬具有不穩(wěn)定性,主要與網(wǎng)絡設備、網(wǎng)絡線路、網(wǎng)絡類型、應用環(huán)境等因素有關。當網(wǎng)絡帶寬低于256kbit/s時,很難滿足用戶對網(wǎng)絡服務的需求。在分層設計的網(wǎng)絡中,設計方案主要為兩種:阻塞式與非阻塞式。其中按非阻塞式帶寬設計的網(wǎng)絡匯聚節(jié)點負載輕,網(wǎng)絡擴展性好,但是工程成本偏高。2.網(wǎng)絡流量可以簡單將網(wǎng)絡流量理解為通過交換機的數(shù)據(jù)包,這里忽略數(shù)據(jù)包在線路傳輸時的損耗。流量分析需要考慮很多因素,主要有流量特性、流量模型、服務級別等因素。3.網(wǎng)絡服

19、務質量服務質量是指IP網(wǎng)絡在傳輸數(shù)據(jù)流時,滿足一系列服務請求的實現(xiàn)機制。(1技術指標傳輸延時、時延抖動、丟包率、吞吐量。(2存在問題存在問題主要有QoS的復雜性、技術還不成熟、實現(xiàn)QoS需要全網(wǎng)支持、電話網(wǎng)的QoS。4.網(wǎng)絡負載均衡技術它是采用一組設備和多條通信鏈路,將通信量及其他工作智能地分配到整個設備組中的不同設備上,或將數(shù)據(jù)流量均衡的分配到多條鏈路上,提供最快的響應速度以,及不停頓的服務。二NGIL網(wǎng)絡帶寬分析與設計(1分層設計由于實驗室工程費用不是非常高,而非阻塞式帶寬設計的網(wǎng)絡工程成本偏高,所以采用上層鏈路帶寬小于下層鏈路帶寬總和的阻塞式帶寬設計。(2用戶業(yè)務模型實驗室中大多數(shù)時間都

20、是在使用軟件開發(fā),少部分時間下載或查閱資料,所以對于網(wǎng)絡帶寬的要求不是很高。1.NGIL網(wǎng)絡流量分析與設計流量模型采用交換型網(wǎng)絡的分層設計,網(wǎng)絡數(shù)據(jù)流量從接入層流向核心層時,被收斂在高速鏈路上;流量從核心層流向接入層時,被發(fā)散到低速鏈路上。核心層設備需要較高的數(shù)據(jù)處理能力。個人感覺內網(wǎng)中的數(shù)據(jù)流通相對會比較大些。2.NGIL網(wǎng)絡服務質量分析與設計對于服務質量的四個技術指標要求都不是很高,只要達到基本流暢就可以。3.NGIL網(wǎng)絡負載均衡分析與設計采用雙網(wǎng)卡負載均衡,多網(wǎng)卡的使用能夠增大帶寬,減輕了單塊網(wǎng)卡的負擔,且提高可靠性,當一塊網(wǎng)卡故障時,另一塊接管全部負載,保證服務不中斷。第六章NGIL網(wǎng)

21、絡可靠性設計一原理與要點1.網(wǎng)絡冗余設計主要包含網(wǎng)絡的結構冗余設計、鏈路冗余設計、設備冗余設計和HSRP熱備份路由設計。2.網(wǎng)絡存儲設計SCSI接口、SAS接口、RAID磁盤陣列、FC、SAN、IP存儲網(wǎng)絡等。3.網(wǎng)絡集群系統(tǒng)設計集群系統(tǒng)是將2臺以上的計算機(如PC服務器,通過軟件(如Rose HA和網(wǎng)絡(如以太網(wǎng),將不同的設備(如磁盤陣列連接在一起,組成一個高可用性的超級計算機群組,系統(tǒng)完成大型計算任務。主要有三種類型:HA集群、負載均衡集群、科學計算集群。二NGIL網(wǎng)絡可靠性設計1.NGIL網(wǎng)絡冗余設計添置一臺核心交換機作為冗余,是網(wǎng)絡更加安全可靠。連接多一條的鏈路冗余,提高可靠性。2.N

22、GIL網(wǎng)絡存儲設計可以配置一個RAID1,這樣安全性更高,資源多了以后可能費用較高了。3.NGIL網(wǎng)絡集群設計認為不需要集群設計。第七章NGIL網(wǎng)絡安全性設計一原理與要點1.網(wǎng)絡安全體系IATE標準IATE網(wǎng)絡模型對手,動機和攻擊類型安全威脅的表現(xiàn)形式深度保護戰(zhàn)略模型2.網(wǎng)絡防火墻技術防火墻DMZ,PIX防火墻,3.網(wǎng)絡安全設計技術(1IDS網(wǎng)絡安全設計入侵檢測系統(tǒng),IDS常用入侵檢測方法,IDS網(wǎng)絡安全設計,IDS存在的問題。(2IPS網(wǎng)絡安全設計IPS的功能,IPS的性能參數(shù),IPS在網(wǎng)絡中的部署,IPS存在的問題(3ACL網(wǎng)絡安全技術ACL基本工作原理,ACL配置的基本原則,標準ACL配

23、置,擴展ACL配置ACL單向訪問控制(4VPN網(wǎng)絡安全設計VPN隧道技術工作原理,VPN工作協(xié)議,VPN網(wǎng)絡設計。4.安全策略通過對網(wǎng)絡系統(tǒng)的風險分析及需要解決的安全問題,我們需要制定合理的安全策略及安全方案來確保網(wǎng)絡系統(tǒng)的機密性、完整性、可用性、可控性與可審查性。即,可用性:授權實體有權訪問數(shù)據(jù)機密性:信息不暴露給未授權實體或進程完整性:保證數(shù)據(jù)不被未授權修改可控性:控制授權范圍內的信息流向及操作方式可審查性:對出現(xiàn)的安全問題提供依據(jù)與手段訪問控制:需要由防火墻將內部網(wǎng)絡與外部不可信任的網(wǎng)絡隔離,對與外部網(wǎng)絡交換數(shù)據(jù)的內部網(wǎng)絡及其主機、所交換的數(shù)據(jù)進行嚴格的訪問控制。同樣,對內部網(wǎng)絡,由于不

24、同的應用業(yè)務以及不同的安全級別,也需要使用防火墻將不同的LAN或網(wǎng)段進行隔離,并實現(xiàn)相互的訪問控制。數(shù)據(jù)加密:數(shù)據(jù)加密是在數(shù)據(jù)傳輸、存儲過程中防止非法竊取、篡改信息的有效手段。安全審計:是識別與防止網(wǎng)絡攻擊行為、追查網(wǎng)絡泄密行為的重要措施之一。具體包括兩方面的內容,一是采用網(wǎng)絡監(jiān)控與入侵防范系統(tǒng),識別網(wǎng)絡各種違規(guī)操作與攻擊行為,即時響應(如報警并進行阻斷;二是對信息內容的審計,可以防止內部機密或敏感信息的非法泄漏5.面臨的主要安全威脅(1內部竊密和破壞由于企業(yè)網(wǎng)絡上同時接入了其它部門的網(wǎng)絡系統(tǒng),因此容易出現(xiàn)其它部門不懷好意的人員(或外部非法人員利用其它部門的計算機通過網(wǎng)絡進入內部網(wǎng)絡,并進一步

25、竊取和破壞其中的重要信息(如領導的網(wǎng)絡帳號和口令、重要文件等,因此這種風險是必須采取措施進行防范的。(2搭線(網(wǎng)絡竊聽這種威脅是網(wǎng)絡最容易發(fā)生的。攻擊者可以采用如Sniffer等網(wǎng)絡協(xié)議分析工具,在INTERNET網(wǎng)絡安全的薄弱處進入INTERNET,并非常容易地在信息傳輸過程中獲取所有信息(尤其是敏感信息的內容。對企業(yè)網(wǎng)絡系統(tǒng)來講,由于存在跨越INTERNET 的內部通信(與上級、下級這種威脅等級是相當高的,因此也是本方案考慮的重點。(3假冒這種威脅既可能來自企業(yè)網(wǎng)內部用戶,也可能來自INTERNET內的其它用戶。如系統(tǒng)內部攻擊者偽裝成系統(tǒng)內部的其他正確用戶。攻擊者可能通過冒充合法系統(tǒng)用戶,

26、誘騙其他用戶或系統(tǒng)管理員,從而獲得用戶名/口令等敏感信息,進一步竊取用戶網(wǎng)絡內的重要信息?；蛘邇炔坑脩敉ㄟ^假冒的方式獲取其不能閱讀的秘密信息。(4完整性破壞這種威脅主要指信息在傳輸過程中或者存儲期間被篡改或修改,使得信息/數(shù)據(jù)失去了原有的真實性,從而變得不可用或造成廣泛的負面影響。由于XXX企業(yè)網(wǎng)內有許多重要信息,因此那些不懷好意的用戶和非法用戶就會通過網(wǎng)絡對沒有采取安全措施的服務器上的重要文件進行修改或傳達一些虛假信息,從而影響工作的正常進行。(5其它網(wǎng)絡的攻擊企業(yè)網(wǎng)絡系統(tǒng)是接入到INTERNET上的,這樣就有可能會遭到INTERNET上黑客、惡意用戶等的網(wǎng)絡攻擊,如試圖進入網(wǎng)絡系統(tǒng)、竊取敏

27、感信息、破壞系統(tǒng)數(shù)據(jù)、設置惡意代碼、使系統(tǒng)服務嚴重降低或癱瘓等。因此這也是需要采取相應的安全措施進行防范。(6管理及操作人員缺乏安全知識由于信息和網(wǎng)絡技術發(fā)展迅猛,信息的應用和安全技術相對滯后,用戶在引入和采用安全設備和系統(tǒng)時,缺乏全面和深入的培訓和學習,對信息安全的重要性與技術認識不足,很容易使安全設備/系統(tǒng)成為擺設,不能使其發(fā)揮正確的作用。如本來對某些通信和操作需要限制,為了方便,設置成全開放狀態(tài)等等,從而出現(xiàn)網(wǎng)絡漏洞。由于網(wǎng)絡安全產(chǎn)品的技術含量大,因此,對操作管理人員的培訓顯得尤為重要。這樣,使安全設備能夠盡量發(fā)揮其作用,避免使用上的漏洞。(7雷擊由于網(wǎng)絡系統(tǒng)中涉及很多的網(wǎng)絡設備、終端、

28、線路等,而這些都是通過通信電纜進行傳輸,因此極易受到雷擊,造成連鎖反應,使整個網(wǎng)絡癱瘓,設備損壞,造成嚴重后果。因此,為避免遭受感應雷擊的危害和靜電干擾、電磁輻射干擾等引起的瞬間電壓浪涌電壓的損壞,有必要對整個網(wǎng)絡系統(tǒng)采取相應的防雷措施。二NGIL網(wǎng)絡安全性設計1.NGIL網(wǎng)絡安全分析與設計(1安全威脅有:信息泄漏,非授權訪問,數(shù)據(jù)截獲與修改,特洛伊木馬程序等,(2選擇DMZ防火墻即使DMZ服務器被破壞,也不會影響內部的網(wǎng)絡安全。2.NGIL網(wǎng)絡防火墻設計有2臺防火墻連接到DMZ,一臺位于DMZ子網(wǎng)與內網(wǎng)網(wǎng)絡之間,而另一臺防火墻位于外部網(wǎng)絡與DMZ之間。這樣,入侵者必須通過2臺路由和2臺防火墻

29、的安全控制,才能抵達網(wǎng)絡內部。這種網(wǎng)絡結構大大增強了網(wǎng)絡的安全性,并且由于路由器控制數(shù)據(jù)包的流向,所以提高了網(wǎng)絡的吞吐能力,缺點是系統(tǒng)設置較為復雜。第八章 NGIL網(wǎng)絡綜合布線設計一綜合布線設計相關知識1 網(wǎng)絡構成網(wǎng)絡系統(tǒng)核心交換機、匯聚層交換機、接入層交換機網(wǎng)絡安全系統(tǒng)防火墻、UPS(不間斷電源、殺毒軟件服務器系統(tǒng)服務器軟件系統(tǒng)系統(tǒng)軟件、應用軟件綜合布線系統(tǒng)工作區(qū)、水平、垂直、管理間、設備間2 需要注意的幾個方面合理的規(guī)劃并配合圖例設備放置的位置注意分層網(wǎng)絡擴展性Vlan的設計和IP地址的規(guī)劃分配3設計原則先進性先進的設備、結構體系可靠性穩(wěn)定的網(wǎng)絡結構、設備安全性科學安全防護設備、技術管理性

30、合理的規(guī)劃布局擴展性前端的設備、和可擴展空間二防火墻和核心交換機防火墻CISCO-PIX506-E-BUN-K9作用: 強化安全策略有效記錄網(wǎng)上活動隱藏用戶站點(DMZ區(qū)基于安全策略的檢查數(shù)據(jù)包過濾核心交換機CISCO WS-C3560G-24TS-S作用: 數(shù)據(jù)包的過濾數(shù)據(jù)的加密三其他一些設備表1 主要設備核心交換機CISCO WS-C3560G-24TS-S匯聚層交換機歐雅圖接入層交換機TP-LINK TL-SL1226服務器HPProLiantML15066防火墻CISCO-PDX506-E-BUN-K9避雷器避雷/浪涌保護器UPS電源山特3C20KS表2 次要設備水晶頭一舟信息模塊萬泰

31、信息面板綠色硅谷超五類雙絞線AMP配線架華星五類25對雙絞線慧錦光纜長飛光纜收發(fā)器NETSC方形接頭諾亞Pvc線槽永六機柜慧遠投影儀東芝光纖跳線華通參考文獻1 吳建勛.計算機網(wǎng)絡設計(第二版.北京,人民郵電出版社,2011年5月附錄:課程設計排版要求1.篇幅全文(不計空格、圖表占位一般不低于10000漢字。2.字體(1一級標題:頂格排版。漢字用宋體,英文/數(shù)字用Times New Roman字體,三號字體,加粗。(2二級標題:頂格排版。漢字用宋體,英文/數(shù)字用Times New Roman字體,四號字體,加粗。(3三級標題:頂格排版。漢字用宋體,英文/數(shù)字用Times New Roman字體,小四號字體。(4正文:每段縮進量:2個漢字。兩端對齊;漢字用宋體,英文/數(shù)字用Times NewRoman字體,中文標點符號,字體大小:小四號字體。正文編號統(tǒng)一采用:(1、(2;a.、b.(5正文中的小標題:頂格排版。漢字用宋