第一篇:中小型局域网设计方案
局域网网络安全设计方案
一.画出本设计方案基于局域网的拓扑图,并有说明。
拓扑图如下: 拓扑结构分析:本设计的拓扑结构是以中间一个核心交换机为核心,外接Router0、Router2,DNS服务器(提供域名解析)、DHCP服务器(为该局域网分配IP地址)、Router3(做外网路由器用,通过它与Internet连接)、一个管理员主机(通过该主机可以对该网络的设备进行管理和配置)。另外Router2的作用是为了让它下面分配的不同Vlan之间能够相互访问。在Router3上还需配置防火墙、ACL、NAT等,主要是为了该网络的安全和易于管理。以上只是该网络的初级设计。
二 在对局域网网络系统安全方案设计、规划,应遵循以下原则:
需求、风险、代价平衡的原则:对任一网络,绝对安全难以达到,也不一定是必要的。对一个网络进行实际额研究(包括任务、性能、结构、可靠性、可维护性等),并对网络面临的威胁及可能承担的风险进行定性与定量相结合的分析,然后制定规范和措施,确定本系统的安全策略。
一致性原则:一致性原则主要是指网络安全问题应与整个网络的工作周期(或生命周期)同时存在,制定的安全体系结构必须与网络的安全需求相一致。安全的网络系统设计(包括初步或详细设计)及实施计划、网络验证、验收、运行等,都要有安全的内容光焕发及措施,实际上,在网络建设的开始就考虑网络安全对策,比在网络建设好后再考虑安全措施,不但容易,且花费也小得多。
易操作性原则:安全措施需要人为去完成,如果措施过于复杂,对人的要求过高,本身就降低了安全性。其次,措施的采用不能影响系统的正常运行。
多重保护原则:任何安全措施都不是绝对安全的,都可能被攻破。但是建立一个多重保护系统,各层保护相互补充,当一层保护被攻破时,其它层保护仍可保护信息的安全。
三.防病毒的方法和设计
第一:病毒可能带来哪些威胁
一旦中毒,就可能对系统造成破坏,导致数据泄露或损坏,或者使服务可用性降低。防病毒解决方案关注因感染病毒、间谍软件或广告软件而造成的威胁。“病毒”一词通常用于描述某类特定的恶意代码。经过正确分析和规划的防病毒解决方案可防范广泛的恶意或未经授权的代码。
第二:病毒是通过哪些方式或者载体来给我们带来威胁
病毒的载体是用于攻击目标的途径。了解恶意代码、间谍软件和广告软件所利用的威胁的载体,有助于组织设计防病毒解决方案来防止被未经授权的代码感染,并阻止其扩散。常见的威胁的载体有网络(包括外部网络和内部网络)、移动客户端(包括连接到网络的来宾客户端和员工计算机等)、应用程序(包括电子邮件、HTTP和应用程序等)和可移动媒体(包括u盘、可移动驱动器和闪存卡等)。第三:如何有效地防止病毒侵入
防病毒软件:用于清除、隔离并防止恶意代码扩散。
安全机制:防火墙解决方案不足以为服务器、客户端和网络提供足够的保护,以防范病毒威胁、间谍软件和广告软件。病毒不断发展变化,恶意代码被设计为通过新的途径,利用网络、操作系统和应用程序中的缺陷。及时地添加补丁,更新软件,对网络的安全性好很大的帮助。
四.防木马的方法和设计
一:建立受限的账户
用“net user”命令添加的新帐户,其默认权限为“USERS组”,所以只能运行许可的程序,而不能随意添加删除程序和修改系统设置,这样便可避免大部分的木马程序和恶意网页的破坏。
二:恶意网页是系统感染木马病毒及流氓插件的最主要途径,因此很有必要对IE作一些保护设置。安装360安全浏览器可以有效的做到这一点。
三:
1.禁止程序启动很多木马病毒都是通过注册表加载启动的,因此可通过权限设置,禁止病毒和木马对注册表的启动项进行修改。
2.禁止服务启动
一些高级的木马病毒会通过系统服务进行加载,对此可禁止木马病毒启动服务的权限。可依次展开“HKEY_LOCAL_ MACHINESYSTEMCurrentControlSet Services”分支,将当前帐户的“读取”权限设置为“允许”,同时取消其“完全控制”权限
五.防黑客攻击的方法和设计
1.隐藏IP地址
黑客经常利用一些网络探测技术来查看我们的主机信息,主要目的就是得到网络中主机的IP地址。IP地址在网络安全上是一个很重要的概念,如果攻击者知道了你 的IP地址,等于为他的攻击准备好了目标,他可以向这个IP发动各种进攻,如DoS(拒绝服务)攻击、Floop溢出攻击等。隐藏IP地址的主要方法是使 用代理服务器。
与直接连接到Internet相比,使用代理服务器能保护上网用户的IP地址,从而保障上网安全。代理服务器的原理是在客 户机(用户上网的计算机)和远程服务器(如用户想访问远端WWW服务器)之间架设一个“中转站”,当客户机向远程服务器提出服务要求后,代理服务器首先截 取用户的请求,然后代理服务器将服务请求转交远程服务器,从而实现客户机和远程服务器之间的联系。很显然,使用代理服务器后,其它用户只能探测到代理服务 器的IP地址而不是用户的IP地址,这就实现了隐藏用户IP地址的目的,保障了用户上网安全。提供免费代理服务器的网站有很多,你也可以自己用代理猎手等工具来查找。
2.关闭不必要的端口
黑客在入侵时常常会扫描你的计算机端口,如果安装了端口监视程序(比如Netwatch),该监视程序则会有警告提示。如果遇到这种入侵,可用工具软件关闭用不到的端口,比如,用“Norton Internet Security”关闭用来提供网页服务的80和443端口,其他一些不常用的端口也可关闭。
3.更换管理员帐户
Administrator帐户拥有最高的系统权限,一旦该帐户被人利用,后果不堪设想。黑客入侵的常用手段之一就是试图获得Administrator帐户的密码,所以我们要重新配置Administrator账号。
首先是为Administrator帐户设置一个强大复杂的密码,然后我们重命名Administrator帐户,再创建一个没有管理员权限的 Administrator帐户欺骗入侵者。这样一来,入侵者就很难搞清哪个帐户真正拥有管理员权限,也就在一定程度上减少了危险性。
六.局域网防arp病毒攻击的方法和设计
1.安装arp防火墙或者开启局域网ARP防护,比如360安全卫士等arp病毒专杀工具,并且实时下载安装系统漏洞补丁,关闭不必要的服务等来减少病毒的攻击。
2.使用多层交换机或路由器:接入层采用基于IP地址交换进行路由的第三层交换机。由于第三层交换技术用的是IP路由交换协议,以往的链路层的MAC地址和ARP协议失效,因而ARP欺骗攻击在这种交换环境下起不了作用。
七.本设计的特色
实现本设计既简单又实用,而且操作起来十分方便,十分符合校内小型局域网的网络安全设计,完全可以符合一般学生的需要
八.心得体会
通过本次设计 我认真查阅资料 学到了很多知识 对病毒、木马、黑客、以及黑客攻击都有了比较深入的了解,也提高了我对这些方面的兴趣,最为重要地是我知道了怎么去建立和保护一个安全的网络。
第二篇:中小型局域网设计方案rendahit
局域网网络安全设计方案
一.画出本设计方案基于局域网的拓扑图,并有说明。
拓扑图如下: 拓扑结构分析:本设计的拓扑结构是以中间一个核心交换机为核心,外接Router0、Router2,DNS服务器(提供域名解析)、DHCP服务器(为该局域网分配IP地址)、Router3(做外网路由器用,通过它与Internet连接)、一个管理员主机(通过该主机可以对该网络的设备进行管理和配置)。另外Router2的作用是为了让它下面分配的不同Vlan之间能够相互访问。在Router3上还需配置防火墙、ACL、NAT等,主要是为了该网络的安全和易于管理。以上只是该网络的初级设计。
Server-PTDNS服务器ROUTER—PTROUTER 3CLOUD-PTInternetServer-PTDHCP服务器PC—PT管理员主机ROUTER 0核心交换机Switch-PTROUTER 2Switch0Switch1Switch2Switch3PC0PC1PC2PC3PC4PC5
二 在对局域网网络系统安全方案设计、规划,应遵循以下原则:
需求、风险、代价平衡的原则:对任一网络,绝对安全难以达到,也不一定是必要的。对一个网络进行实际额研究(包括任务、性能、结构、可靠性、可维护性等),并对网络面临的威胁及可能承担的风险进行定性与定量相结合的分析,然后制定规范和措施,确定本系统的安全策略。
一致性原则:一致性原则主要是指网络安全问题应与整个网络的工作周期(或生命周期)同时存在,制定的安全体系结构必须与网络的安全需求相一致。安全的网络系统设计(包括初步或详细设计)及实施计划、网络验证、验收、运行等,都要有安全的内容光焕发及措施,实际上,在网络建设的开始就考虑网络安全对策,比在网络建设好后再考虑安全措施,不但容易,且花费也小得多。
易操作性原则:安全措施需要人为去完成,如果措施过于复杂,对人的要求过高,本身就降低了安全性。其次,措施的采用不能影响系统的正常运行。
多重保护原则:任何安全措施都不是绝对安全的,都可能被攻破。但是建立一个多重保护系统,各层保护相互补充,当一层保护被攻破时,其它层保护仍可保护信息的安全。
三.防病毒的方法和设计
第一:病毒可能带来哪些威胁
一旦中毒,就可能对系统造成破坏,导致数据泄露或损坏,或者使服务可用性降低。防病毒解决方案关注因感染病毒、间谍软件或广告软件而造成的威胁。“病毒”一词通常用于描述某类特定的恶意代码。经过正确分析和规划的防病毒解决方案可防范广泛的恶意或未经授权的代码。
第二:病毒是通过哪些方式或者载体来给我们带来威胁
病毒的载体是用于攻击目标的途径。了解恶意代码、间谍软件和广告软件所利用的威胁的载体,有助于组织设计防病毒解决方案来防止被未经授权的代码感染,并阻止其扩散。常见的威胁的载体有网络(包括外部网络和内部网络)、移动客户端(包括连接到网络的来宾客户端和员工计算机等)、应用程序(包括电子邮件、HTTP和应用程序等)和可移动媒体(包括u盘、可移动驱动器和闪存卡等)。第三:如何有效地防止病毒侵入
防病毒软件:用于清除、隔离并防止恶意代码扩散。
安全机制:防火墙解决方案不足以为服务器、客户端和网络提供足够的保护,以防范病毒威胁、间谍软件和广告软件。病毒不断发展变化,恶意代码被设计为通过新的途径,利用网络、操作系统和应用程序中的缺陷。及时地添加补丁,更新软件,对网络的安全性好很大的帮助。
四.防木马的方法和设计
一:建立受限的账户
用“net user”命令添加的新帐户,其默认权限为“USERS组”,所以只能运行许可的程序,而不能随意添加删除程序和修改系统设置,这样便可避免大部分的木马程序和恶意网页的破坏。
二:恶意网页是系统感染木马病毒及流氓插件的最主要途径,因此很有必要对IE作一些保护设置。安装360安全浏览器可以有效的做到这一点。
三:
1.禁止程序启动很多木马病毒都是通过注册表加载启动的,因此可通过权限设置,禁止病毒和木马对注册表的启动项进行修改。
2.禁止服务启动
一些高级的木马病毒会通过系统服务进行加载,对此可禁止木马病毒启动服务的权限。可依次展开“HKEY_LOCAL_ MACHINESYSTEMCurrentControlSet Services”分支,将当前帐户的“读取”权限设置为“允许”,同时取消其“完全控制”权限
五.防黑客攻击的方法和设计
1.隐藏IP地址
黑客经常利用一些网络探测技术来查看我们的主机信息,主要目的就是得到网络中主机的IP地址。IP地址在网络安全上是一个很重要的概念,如果攻击者知道了你 的IP地址,等于为他的攻击准备好了目标,他可以向这个IP发动各种进攻,如DoS(拒绝服务)攻击、Floop溢出攻击等。隐藏IP地址的主要方法是使 用代理服务器。
与直接连接到Internet相比,使用代理服务器能保护上网用户的IP地址,从而保障上网安全。代理服务器的原理是在客 户机(用户上网的计算机)和远程服务器(如用户想访问远端WWW服务器)之间架设一个“中转站”,当客户机向远程服务器提出服务要求后,代理服务器首先截 取用户的请求,然后代理服务器将服务请求转交远程服务器,从而实现客户机和远程服务器之间的联系。很显然,使用代理服务器后,其它用户只能探测到代理服务 器的IP地址而不是用户的IP地址,这就实现了隐藏用户IP地址的目的,保障了用户上网安全。提供免费代理服务器的网站有很多,你也可以自己用代理猎手等工具来查找。
2.关闭不必要的端口
黑客在入侵时常常会扫描你的计算机端口,如果安装了端口监视程序(比如Netwatch),该监视程序则会有警告提示。如果遇到这种入侵,可用工具软件关闭用不到的端口,比如,用“Norton Internet Security”关闭用来提供网页服务的80和443端口,其他一些不常用的端口也可关闭。
3.更换管理员帐户
Administrator帐户拥有最高的系统权限,一旦该帐户被人利用,后果不堪设想。黑客入侵的常用手段之一就是试图获得Administrator帐户的密码,所以我们要重新配置Administrator账号。
首先是为Administrator帐户设置一个强大复杂的密码,然后我们重命名Administrator帐户,再创建一个没有管理员权限的 Administrator帐户欺骗入侵者。这样一来,入侵者就很难搞清哪个帐户真正拥有管理员权限,也就在一定程度上减少了危险性。
六.局域网防arp病毒攻击的方法和设计
1.安装arp防火墙或者开启局域网ARP防护,比如360安全卫士等arp病毒专杀工具,并且实时下载安装系统漏洞补丁,关闭不必要的服务等来减少病毒的攻击。
2.使用多层交换机或路由器:接入层采用基于IP地址交换进行路由的第三层交换机。由于第三层交换技术用的是IP路由交换协议,以往的链路层的MAC地址和ARP协议失效,因而ARP欺骗攻击在这种交换环境下起不了作用。
七.本设计的特色
实现本设计既简单又实用,而且操作起来十分方便,十分符合校内小型局域网的网络安全设计,完全可以符合一般学生的需要
八.心得体会
通过本次设计 我认真查阅资料 学到了很多知识 对病毒、木马、黑客、以及黑客攻击都有了比较深入的了解,也提高了我对这些方面的兴趣,最为重要地是我知道了怎么去建立和保护一个安全的网络。
第三篇:局域网设计方案
局域网设计方案
1、需求分析:
根据用户提出的要求,进行网络的设计.老师提出的网络应用需求,主要包括以下几点: 基本情况:机房418,面积、房型可实地参观,要求能够同时提供64位同学和1位教师的上机服务,且能够外连至电信公司(此处外连设计为ADSL方式)。机房内须提供内部使用的FTP和Web服务。
要求:
1)所有的终端设备清单 2)所有网络设备清单
3)所有布线主料与辅料清单
不间断电源,4)所有正版操作系统和正版应用软件清单 5)所有服务器系统软件清单
2、计算机摆放方案
机房的计算机摆放可用队列式摆放方式,机房内需要65台计算机和2台服务器。可分为6列,12排;每10台计算机为一组,所以共分为7组。把两列台计算机分别划为5组,依次排放下去。平均每组计算机占地5平方米,7组共占地70平方米;其中,每组计算机的间隔为1.5米,为工作人员留下足够的活动空间,并且能够互相交流工作,符合人性化的布局设计。机房的左侧用于放置服务器、主交换机和UPS电源。机房空调3台。主要布置如图: 下面为机房场地的平面图
3、网络系统结构设计
根据需求分析报告,开始网络系统方案的设计阶段。这个阶段包括确定网络总体目标、网络方案设计原则、网络拓扑结构、网络技术、网络地址规划、VLAN划分、综合布线、网络互联设备的选型、机器选型与软硬件配置、网络管理、网络安全等内容。
3.1网络总体目标和设计原则
3.1.1确立网络总体实现的目标
网络建设的总体目标首先明确的是采用以太网技术和局域网标准构筑一个满足日常教学与要求能够同时提供64位同学和1位教师的上机服务,且能够外连至电信公司(此处外连设计为ADSL方式)。机房内须提供内部使用的FTP和Web服务。工程实行一次性投资和建设。
3.1.2总体设计原则
①实用性原则 网络方案设计中把握“够用”和“实用”原则。网络系统采用成熟可靠的技术和设备,达到实用、经济和有效的目的。②开放性原则
建成多协议、多网络操作系统网络平台,真正实现开放式的网络体系结构。③先进性原则
网络建设应适应目标管理自身发展的特点及网络通信技术更新换代,主机系统选择、网络结构设计、网络管理和连接方式具有一定的先进性。④易用性原则
整个机房网络系统必须易于管理、安装和使用,网络系统必须具有良好的可管理性,并且在满足现有网络应用的同时,为以后的应用升级奠定基础。网络系统还应具有很高的资源利用率。⑤可扩展性原则
网络总体设计不仅要考虑到近期目标,也要为网络的进一步发展留有扩展的余地。因此,需要同意规划和设计。网络系统应在规模和性能两方面具有良好的可扩展性。由于目前网络产品标准化程度较高,因此可扩展性要求基本不成问题。⑥安全性
实现网络的合理配置,利用授权及软件防火墙技术,能阻止非法用户访问网络资源,保证数据传输、存储的安全。
3.2、网络拓扑结构的设计
关于机房内部的交换机则选用中端的Catalyst 3512 XL:12口10/100M自适应端口,2口GBIC插槽,因为机房内部共有67台机器需要互连通信,且准备实现链路冗余,用STP来消除桥接环路,则需要安置至少6台该型号的交换机,另外该型号交换机有2个GBIC插槽,可以为以后的扩张需要做准备。具体拓扑如下:
机房内部的计算机拓扑图
3.3、网络技术
在整个网络建设中,网络采用ADSL接入电信公司,所以能够提供最高达8Mbps的高速速下载速度和1Mbps的上传速度。
整个网络提供内部使用的FTP和Web服务做为该教学网的教学使用服务器,运用双绞线接连各个学生机及教师机。通过ADSL MODEM 接入电信公司。
3.4、网络地址规划
3.4.1、学校IP资源的管理和机房计算机命名
为了科学、有效地使用学校内部的IP资源,提高网络管理的效率,避免IP冲突。根据机房的实际情况将机房的IP资源规划如下:
我们将电信公司申请的IP号,内部IP段通常是:192.168.21.100-192.168.21.160,100号给ftp服务器用,101给web服务器用,102号电脑室教师机用,103-164号给电脑教室学生机,这样学生的计算机名是S01、S02„„就分别与IP号103、104„„分别对应起来了。以此类推,便于记忆,有利于机房管理和网络维护。剩下的IP号目前用不到先留着。
3.4.2、计算机名
为了提高网络维护效率,使自己在办公室或校内外任何能上网的地方都会知道学校的计算机运行情况,要给每台计算机命名,计算机名要容易记。机房的计算机采用S01、S02„„的命名规则。
3.5、VLAN划分 根据端口来划分VLAN 许多VLAN厂商都利用交换机的端口来划分VLAN成员。被设定的端口都在同一个广播域中。例如,一个交换机的1,2,3,4,5端口被定义为虚拟网AAA,同一交换机的6,7,8端口组成虚拟网BBB。这样做允许各端口之间的通讯,并允许共享型网络的升级。但是,这种划分模式将虚拟网限制在了一台交换机上。第二代端口VLAN技术允许跨越多个交换机的多个不同端口划分VLAN,不同交换机上的若干个端口可以组成同一个虚拟网。以交换机端口来划分网络成员,其配置过程简单明了。
3.6、综合布线
本项目机房地点设在实训楼418。机房配有电信的网接口、64台学生计算机、一台教师机和二台服务器。主干网采用双绞线,机房内部属于综合布线系统的工作区子系统,双绞线敷设方式采用墙壁线缆布线方式,双绞线的敷设内置于PVC管道,以提高机房内部布线的美观性和安全性,房间墙壁以及地板设置几个信息点,以备将来扩展的需要,总体布线情况为:主机接入交换机,交换机互联,再由交换机接入外部设备。
3.7、与外网连接的结构图
机房内部的布线是局限的,只能用于内部信息共享,它的拓扑仅仅是内网的拓扑,不能与外网进行信息交换。我们要把它与外网相联接,下面是其他设备互联以及和与外网互联后的拓扑图:
3.8、网络互联设备的选型
①路由器
本网络系统建议使用的是思科3945/K9:
②交换机
锐捷RG-S2328G:
③ADSL Modem 华为HG510:用于接入电信公司网。
3.9、机器选型与软硬件配置
3.9.1、机器选型与硬件配置
3.9.1.1、教学用计算机:联想A4600K PDC E5700
65台 3.9.1.2、服务器:IBM System x3100 2台 3.9.1.3、ups电源:山特C6KS 标准版
3.9.1.4、防静电和防雷设备:OBO V20-C 1套
3.9.2、软件配置
3.9.2.1、操作系统:Windows7 服务器:Linux 3.9.2.2、应用软件:多媒体教学软件,Office2003办公软件、Visual C++、Visual Studio 2005、SQL Serer2005、Dreamweaver8、Flash、Photoshop、常用杀毒软件,其它常用软件等。
3.10、网络管理与维护
3.10.1网络管理 3.10.1.1技术方面
1)、通过设置IP段,标识机房中电脑,使机房成为独立的局域网络。设置机房内局域网通过教师主机共享上网,方便教师控制整个机房内机器有目标的上网。2)、安装还原软件(网络破解版)。
3.11、网络安全
(1)、ARP防火墙的使用
每台计算机安装了一个独立的“ARP防火墙”和360杀毒软件。系统自带的防火墙作用不大,有安装360安全卫士的办公计算机,打开其中的“ARP防火墙”应该也能解决这个问题。学生机不安装360安全卫士,不给学生多余的操作,以及360在学生机子中不必要的提示;
(2)、路由IP绑定
路由的各种设置要由网络提供商提供,新建一个管理员用户名和密码才可以进行操作。不同的路由功能不一样,实现的方法也不一样。IP绑定是大多数路由都有的,把每个内网IP与每台计算机进行绑定,优点是有利于网络维护,缺点是网络中的计算机换了没有绑定的IP还是能用。有的路由还能进行IP分组,可以分为教师、学生、网站三组,并分别限制带宽。
参考文献:百度文库及局域网相关文献
第四篇:局域网设计方案
文章标题:局域网设计方案
找文章到xiexiebang.com更多原创-(http://www.xiexiebang.comC)租用带宽,通过中国石油通信公司为校园局域网提供Internet出口。由核心交换机提供接口,经过路由器、防火墙连接到ISP设备。
整个学校局域网采用核心层和汇聚层两层结构,核心层到汇聚层的网络带宽为千兆,汇聚层到各楼层信息点的网络带宽为百兆。同时核心层及汇聚层网络支持多种千兆以太网接口(千兆多模、千兆电口)以及链路聚合技术,实现主干链路的高速互通。
局域网系统中交换机均支持基于端口的管理、认证,可网管、远程开关交换机端口,并支持SNMP协议,全网支持802.1q,可以做VLANTRUNK,同时两台骨干交换机之间实现负载均衡。
3.2.与Internet的连接
在保留现有的通过集团公司广域网链路进入到互联网的情况下,校园局域网用户可通过Internet服务商进行互联后实现局域网用户对Internet的统一访问,Internet的出口带宽为一个10M连接到互联网服务提供商。以满足校园局域网用户对Internet的访问需求,具体的网络连接示意图如下:
网络连接示意图
点击此处查看全部新闻图片
出口路由器的以太接口连接到ISP的传输设备,实现局域网出口路由器与ISP的网络互联,同时为了增加
局域网内部的网络安全性,在公网和局域网连接处部署了一台防火墙,用于对公网方向的网络攻击和非授权访问进行隔离和控制,同时也保护公网服务器。同时考虑到公网服务器容易受到来自公网的非法攻击,本设计在公网dmz区域部署一台公网入侵检测系统(IDS),以便对来自公网的访问流量进行监控和隔离。
3.3.校园办公网络
校园办公网络(包括综合楼、东西教学楼办公室部分、后勤食堂等场所)主要为在学校工作人员提供局域网基础设施和上网服务。具体需求分为:
1、普通用户:需要一个能够承载内部数据、语音、视频应用的高速局域网,能够高速访问校园网、集团公司网络。并保证网络的安全和独立。
2、VIP用户使用:在普通用户的基础上,需要访问校园广域网和internet。
3、下属的部门:与原设计的其他部门一致,作为校园总部局域网的一部分,按照部门相应的权限访问集团应用,广域网和internet。
同时考虑方案的经济性,并尽量减少对总部局域网络的影响。
因此本次设计网络为:
将现有的网络平行迁移到新的双联核心网络交换机上。
各楼及楼层交换机之间通过千兆光口互连。在隔离防火墙上进行设置,允许普通用户以共享方式访问internet,由此可以满足用户的基本需求。
3.4.公寓及公共网络
公寓各房间网络和公共场所如图书馆、教室等场所网络主要为在学校参加培训和学习的学员提供局域网基础设施和上网服务。具体需求分为:
4、普通学员用户:需要一个能够承载内部数据、语音、视频应用的高速局域网。能够高速访问internet。并保证网络的安全和独立。
同时集团需要将普通学员用户与校园总部局域网络隔离。
5、VIP用户使用:在普通用户的基础上,需要访问校园广域网。
6、下属的部门:与原设计的其他部门一致,作为校园总部局域网的一部分,按照部门相应的权限访问集团应用,广域网和internet。
同时考虑方案的经济性,并尽量减少对总部局域网络的影响。
因此本次设计网络为:
在中心机房增加千兆隔离防火墙一台,双归上联核心交换机。
通过光纤,将现有的各公寓楼的网络接入到公寓B座的会聚交换机上,然后接入核心交换机。
各楼及楼层交换机之间通过千兆光口互连。在隔离防火墙上进行设置,允许普通用户以共享方式访问internet,由此可以满足用户的基本需求。
3.5.与广域网和internet的连接
校园将扩建现有广域网系统,在保留通过与集团公司的2M专线连接外,增加10M与internet直接通过运营商连接的通道,实现校园内部的数据、语音及多媒体信息的传输及共享。本次设计在校园总机房建设1台核心路由器设备,系统配置要求满足未来几年内的与集团公司或其他兄弟公司的接入。核心路由器通过广域网防火墙实现与核心交换机的连接。
3.6.各楼及楼层设备配置
根据各楼的综合布线点数,进行相应的设备配置设计,同时保证校园整体网络的可靠性、安全性。
本次的楼层交换机主要使用现有的设备,对部分有必要和需要扩充的楼及楼层预留部分备用交换机。
四、IP地址规划与设备命名
针对校园的网络实际情况,对除www.xiexiebang.com,欢迎阅读局域网设计方案。
第五篇:校园局域网设计方案
xxxxx幼儿园 校园局域网
设 计 方 案
沧州市感知物联网络工程有限公司
2014年8月1日
校园局域网设计方案
目录
一、前言............................................................3
二、学校需求分析
1、用户目标..........................................................4
三、设计需求分析.....................................................5
四、网络总体设计方案.................................................5
1、网路构架分析......................................................5
2、设计思路.........................................................6
3、网络方案设计原则...............................................6
4、网路结构概述及拓扑结构图.......................................7
5、Vlan的划分及IP地址的规划........................................8
6、IP划分、分配................................错误!未定义书签。
五、设备选型
1、防火墙........................................................15
2、中心数据交换机................................................15
3、接入交换机
4、无线AP 校园局域网设计方案
一、前 言
随着计算机、通信和多媒体技术的发展,使得网络上的应用更加丰富。同时在多媒体教育和管理等方面的需求,对校园网络也提出进一步的要求。因此需要一个高速的、具有先进性的、可扩展的校园计算机网络以适应当前网络技术发展的趋势并满足学校各方面应用的需要。信息技术的普及教育已经越来越受到人们关注。学校领导、广大师生们已经充分认识到这一点,学校未来的教育方法和手段,将是构筑在教育信息化发展战略之上,通过加大信息网络教育的投入,开展网络化教学,开展教育信息服务和远程教育服务等将成为未来建设的具体内容。城市职业学院网将实现与校内各部门进行通信,城市职业学院大学校园网将为学校的科研、教育、管理提供必要的技术手段,为研究开发和培养人才建立平台,以此加快学校的发展,成为一个具有示范性的学校。
二、学校需求分析
1、用户目标
校园网必须要具备教学、管理和通讯这几大必要的功能。以便供应教师能够方便地浏览和查询网上资源,进行教学;学生可以方便地浏览和上网查询资料;还有学校的管理人员可方便地对教务、行政事务、学生学籍、财务、资产等进行综合管理,同时可以实现各级管理层与层之间的信息数据交换,实现网上信息采集和处理的自动化,实现信息和资源设备的共享,因此,校园网的建设必须有明确的建设目标和明确的构建思路。校园网最终必须是一个集计算机网络技术、多项信息管理、办公自动化和信息发布等功能于一体的综合信息平台,并能够有效促进现有的管理体制和管理方法,提高学校办公质量和效率,以促进学校整体教学水平的提高。
三、设计需求分析
邮件服务器、WEB服务器、FTP服务器、数据库服务器、数据存储服务器。千兆光纤系统(用于楼宇之间)、5类双绞线(用于楼宇内),路由器 一台、防火墙一台、中心交换机两台、工作组交换机多台(要接入校园网的各个教室,学生休息室,位于分配线柜)。校园局域网设计方案
四、网络总体设计方案
1、网络构架分析
采用千兆以太网技术,具有高带宽1000Mbps 速率的主干,100Mbps 到桌面,运行目前的各种应用系统绰绰有余,还可轻松应付将来一段时间内的应用要求,且易于升级和扩展,最大限度的保护用户投资; 根据校园网络项目,我们应该充分考虑学校的实际情况,注重设备选型的性能价格比,采用成熟可靠的技术,为学校设计成一个技术先进、灵活可用、性能优秀、可升级扩展的校园网络。考虑到学校的中长期发展规划,在网络结构、网络应用、网络管理、系统性能以及远程教学等各个方面能够适应未来的发展,最大程度地保护学校的投资。学校借助校园网的建设,可充分利用丰富的网上应用系统及教学资源,发挥网络资源共享、信息快捷、无地理限制等优势,真正把现代化管理、教育技术融入学校的日常教育与办公管理当中。
2、设计思路
在设计校园网主干结构时既要考虑到目前实际应用有所侧重,又要兼顾未来的发展需求。中心交换机和主干交换机采用千兆交换机。要有完善的安全机制,防止来自外部和内部的非法访问。
3、网络方案设计原则(1)、先进性原则(2)、开放性原则(3)、可管理性原则(4)、安全性原则
(5)、灵活性和可扩充性原则(6)、稳定性和可靠性的原则
4、网路结构概述及拓扑结构
网络的拓扑结构是指网络中通信线路和站点(计算机或设备)的相互连接的几何形式。按照拓扑结构的不同,常见的计算机网络拓扑结构有:总线型拓扑结构、星型拓扑结构、环型拓扑结构等。4.1总线型拓扑结构
总线型结构是指各工作站和服务器均连接在一条总线上,各工作站地位平等,无中心节点控制,公用总线上的信息多以基带形式串行传递,其传递方向总是从发送信息的节点开始向两端扩散,如同广播电台发射的信息一样,因此又称广播式计算机网络。各节点在接收信息时都进行地址检查,看是否与自己 校园局域网设计方案的工作站地址相符,相符则接收网上的信息。
4.2星型拓扑结构
星型结构是指各工作站以星型方式连接成网。网络有中央节点,其他节点(工作站、服务器)都与中央节点直接相连,这种结构以中央节点为中心,因此又称为集中式网络。
4.3环型拓扑结构
环型结构由网络中若干节点通过点到点的链路首尾相连形成一个闭合的环,这种结构使公共传输电缆组成环型连接,数据在环路中沿着一个方向在各个节点间传输,信息从一个节点传到另一个节点。信号通过每台计算机,计算机的作用就像一个中继器,增强该信号,并将该信号发到下一个计算机上。
4.4 蜂窝拓扑结构
蜂窝拓扑结构是无线局域网中常用的结构。它以无线传输介质(微波、a卫星、红外线、无线发射台等)点到点和点到多点传输为特征,是一种无线网,适用于城市网、校园网、企业网,更适合于移动通信。
5、Vlan的划分及IP地址的规划 Vlan划分的原则:便于管理
Vlan划分理念:将几个楼划分在同一个Vlan,便于管理。
Vlan具体划分:如将梅园、桔园、竹园、桂园、桃园这几个宿舍楼划分在同一个Vlan下。再将博学馆、图书馆划分在同一个Vlan下。文化楼、实训楼、光华楼划分在同一个Vlan下。
6、IP 划分、分配
假设学校的公网IP为200.1.1.0-200.1.1.32
1、教室 :将连到教师办公室的交换机端口划分为VLAN2,将连到教室的交换机端口划分为VLAN3,每台计算机手工设置静态IP地址,DNS为202.96.128.166 202.96.18.86,网关192.168.1.1,子网掩码为255.255.255.0,在网络中心的路由器上设置动态NAT共享上网,公网的IP段为200.1.1.1-200.1.1.5。教室IP范围为:192.168.1.2-192.168.1.120 教师办公室IP范围为:192.168.1.120-192.168.1.254
2、学生宿舍区:将VLAN 68 到 VLAN 73分别划分给学生宿舍楼A的1-6层,VLAN 74 到 VLAN 79分别加划分给学生宿舍楼B的1-6层。其IP地址由网络中心的将路由器设为DHCP服务器,设其IP段为172.18.2.0-172.118.255.255 子网掩码为255.255.240.0自动分配给学生宿舍区。在网络中心的路由器上设置动态NAT上网,公网的IP段为200.1.1.11-200.1.1.20。校园局域网设计方案
五、设备选型
1、防火墙
H3C SecPath F100-M-G防火墙
市场领先的基础安全防护
全面的基础安全防护:提供安全区域划分、静态/动态黑名单功能、MAC和IP绑定、访问控制列表(ACL)和攻击防范等基本功能,还提供基于状态的检测过滤、虚拟防火墙、VLAN透传等功能。能够防御ARP欺骗、TCP报文标志位不合法、Large ICMP报文、SYN flood、地址扫描和端口扫描等多种恶意攻击
丰富的VPN特性:支持L2TP VPN、GRE VPN、IPSecVPN及SSL VPN等远程安全接入方式,同时设备集成硬件加密引擎实现高性能的VPN处理
专业的NAT应用:提供多对
一、多对多、静态网段、双向转换、Easy IP和DNS映射等NAT应用方式;支持多种应用协议正确穿越NAT,提供DNS、FTP、H.323、NBT等NAT ALG功能
灵活可扩展的深度安全防护
与基础安全防护高度集成的一体化安全业务处理平台
全面的应用层流量识别与管理:通过H3C长期积累的状态机检测、流量交互检测技术,能精确检测Thunder/Web Thunder(迅雷/Web迅雷)、BitTorrent、eMule(电骡)/eDonkey(电驴)、QQ、MSN、PPLive等P2P/IM/网络游戏/炒股/网络视频/网络多媒体等应用;支持P2P流量控制功能,通过对流量采用深度检测的方法,即通过将网络报文与P2P协议报文特征进行匹配,可以精确的识别P2P流量,以达到对P2P流量进行管理的目的,同时可提供不同的控制策略,实现灵活的P2P流量控制 校园局域网设计方案
高精度、高效率的入侵检测引擎。采用H3C公司自主知识产权的FIRST(Full Inspection with Rigorous State Test,基于精确状态的全面检测)引擎。FIRST引擎集成了多项检测技术,实现了基于精确状态的全面检测,具有极高的入侵检测精度;同时,FIRST引擎采用了并行检测技术,软、硬件可灵活适配,大大提高了入侵检测的效率
实时的病毒防护:采用Kaspersky公司的流引擎查毒技术,从而迅速、准确查杀网络流量中的病毒等恶意代码
全面、及时的安全特征库。通过多年经营与积累,H3C公司拥有业界资深的攻击特征库团队,同时配备有专业的攻防实验室,紧跟网络安全领域的最新动态,从而保证特征库的及时准确更新
技术领先的IPv6 国内率先支持IPv6状态防火墙,真正意义上实现IPv6条件下的防火墙功能,满足迫在眉睫的IPv6应用需求
支持IPv4/IPv6双协议栈,并支持IPv6数据报文转发、静态路由、动态路由及组播路由等功能
支持IPv6各种过渡技术,包括NAT-PT、IPv6 Over IPv4 GRE隧道、手工隧道、6to4隧道、IPv4兼容IPv6自动隧道、ISATAP隧道等 支持IPv6 ACL、Radius等安全技术
电信级设备的高可靠性
采用H3C公司拥有自主知识产权的软、硬件平台。产品应用从电信运营商到中小企业用户,经历了多年的市场考验
支持双机状态热备功能,支持配置同步与IPSecVPN的状态备份,支持Active/Active和Active/Passive两种工作模式,实现负载分担和业务备份
简单易用的智能管理
简单易用的Web UI管理 适合专业用户的全命令行管理 支持基于SNMP和TR-069协议的管理 校园局域网设计方案
通过H3C SecCenter安全管理中心实现统一管理
中小企业Internet出口安全
H3C SecPath F100-M-G支持完整的基础安全防护和深度安全防御功能,为企业提供专业的安全防护;F100-M-G能够支持完整的IPv6状态防火墙,满足马上到来的IPv6时代的安全防护需求;同时F100-M-G还内置了链路负载均衡、SSL VPN等丰富特性,能够满足当前互联网出口多ISP链路和移动办公的业务需求。校园局域网设计方案
2、中心数据交换机
H3C S5800PV2-EI 千兆交换机
千兆接入方案
在企业网络或园区网络中,S5800PV2-EI系列丰富完善的安全特性能最大程度地降低非法用户和病毒入侵对网络安全带来的危害,同时S5000PV2-EI对SNMP网管特性的支持使其在面对大中型网络的统一管理方面也能应对游刃有余,可广泛使用在企业、学校、酒店等网络搭建。校园局域网设计方案
3、接入交换机
H3C S1600系列安全智能交换机 产品特点
全线速的二层交换:
S1626/S1626-PWR/S1650交换机提供所有端口二层线速交换能力,保证所有端口无阻塞的进行报文转发。优异的安全性能:
支持802.1x认证,安全专区提供多种丰富的安全功能,可以实现IP+MAC+端口+VLAN四元素绑定,并可通过DHCP-Snooping或者智能绑定自动获取绑定列表,有效防御ARP攻击、DOS攻击及蠕虫攻击,并可以方便的实现脚本配置文件的导入和导出。
支持基于MAC的Guest VLAN,配合动态VLAN下发功能可控制接入同一端口的不同用户访问不同的网络资源,增强了网络的安全性和易用性。强大的链路扩展及备份能力:
提供LACP、STP/RSTP功能,可有效实现链路扩展及备份。简单方便的管理方式:
可以通过Web可视化的界面,对交换机的各种功能进行简单方便的操作,同时提供Console口和Telnet的命令行配置。多业务支持能力
支持PoE(Power over Ethernet)技术,通过以太网对所连接的设备(如Wireless AP、IP Camera、IP Phone等)进行远程供电,从而使得不必在使用现场为设备部署单独的电源系统,能够极大地减少部署终端设备的布线和管理成本。
H3C S1600系列安全智能交换机具有丰富的安全特性,这使得在企业应用中可方便的做到接入认证和授权访问,丰富的防攻击特性让企业内部的网络更加健壮、安全。校园局域网设计方案
S1600系列安全智能交换机在企业网的应用示意图 校园局域网设计方案
4、无线AP H3C WA2610H-GN 面板式无线接入设备
标准的86mm面板尺寸
WA2610H-GN采用标准的86*86mm面板尺寸,可以完全复用用户既有的86mm网口面板暗盒,安装实施时,无需专业人员,即可方便的将原有的网口面板替换为H3C的面板式AP——WA2610H-GN。由于WA2610H-GN采用86*86mm标准面板尺寸,所以在安装之后,不会对原有周边可能存在的其他插座面板或装修事物造成影响,对客户原有装修的影响接近于零。
5步!安装一个AP只需3~5分钟
WA2610H-GN采用国际标准的插座安装方法进行设计,和其他开关面板一样,更换一个面板式AP只需要简单的5个步骤,总耗时不超过5分钟,可以极大的加快客户部署无线网络的速度。校园局域网设计方案
图2 WA2610H-GN之5步安装方法
绿色低碳设计
WA2610H-GN采用专业绿色低碳设计,支持动态MIMO省电模式(DMPS)与增强型自动省电传送(E-APSD),智能辨识终端实际性能需求,合理化调配终端休眠队列,动态调整MIMO工作模式。
WA2610H-GN支持Green AP模式,实现单天线待机,节能更精准。
WA2610H-GN通过创新性的逐包功率控制(PPC)技术,在确保报文能成功传输的前提下动态调节AP设备和客户端直接的双向功率,以达到减少设备能耗和延长移动终端待机时间的作用。
提供本地转发功能
当WA2610H-GN通过广域网方式转发时,无线接入设备部署在分支机构,而无线控制器部署在总部,所有用户数据由无线接入设备发送到无线控制器,再由无线控制器进行集中转发。WA2610H-GN可将数据报文在无线接入设备上直接转化为有线格式的报文,使得数据报文不经过无线控制器,而是在本地进行转发,大大节约了有线带宽。校园局域网设计方案
支持IPv4/IPv6双协议栈(Native IPv6)WA2610H-GN全面支持IPv6特性,设备实现了IPv4/IPv6双协议栈。无论原有有线网络是IPv4还是IPv6,都可以自动地与WX系列控制器进行注册提供WLAN服务,不会成为网络中的信息孤岛。
提供EAD无线接入
终端准入控制(EAD,End user Admission Domination)解决方案从控制用户终端安全接入网络的角度入手,整合网络接入控制与终端安全产品,对接入网络的用户终端强制实施企业安全策略,通过与安全策略服务器的联动,可以对感染病毒或存在系统漏洞等不合格的无线客户端进行下线、隔离、提醒或监控等多种方式的处理,只有无线客户端符合相应的安全策略之后才允许正常访问网络,从而提高了无线网络的整体安全性。
支持智能负载均衡
WA2610H-GN支持按接入用户数量和流量的复杂均衡方式,当无线控制器发现无线接入设备的负载超过设定的门限值以后,对于新接入的用户无线控制器会自动计算此用户周围是否还有负载较轻的无线接入设备可供用户接入,如果有则会拒绝用户的关联请求,用户会转而接入其他负载较轻的无线接入设备,但如果无线用户不在重叠覆盖区内,传统的负载均衡方式往往会导致连接不上网络,造成误均衡。H3C公司创新性的支持智能负载均衡技术,保证只对处于覆盖重叠区的无线用户才启动负载均衡功能,有效的避免误均衡的出现,从而最大限度的提高了无线网络容量。