【正文】 管理平台简化管理工作,提高网络管理的效率。网络管理的目标是实现零管理,基于策略的管理方式,网络管理是通过制定统一的策略,由管理策略服务器进行全局控制的。 经济性:在充分满足系统应用需求的前提下,应采用先进的,成熟的,实用性强的技术和产品,不盲目追求设备的高档,技术的超前,以免造成不必要的资金浪费,从而使系统具有较强的经济性,采用性价比高的方案,尽可能降低造价,实现最优的性能价格比。中心机房到汇聚层节点采用 4 兆光纤(多模)连接,汇聚层到接入层采用百兆的五类线(或者超五类)连接。学生公寓和华迪主楼通过光纤( 500m)相连;中心采用三层交换机实现网络交换路由,可采用千兆光模块。系统具有高的可靠性和有效性 ,能长时间连续工作,并有纠错措施 .支持通用型数据库,如 sql、 oracle 等 .具有广泛的软件支持 ,软件兼容性好,并应支持多种传输协议。 互联网接入要求 互联网接入是通过特定的信息采集与共享的传输 通道,利用电话线拨号接入( PSTN)、ISDN、 xDSL、 光纤宽带接入 等 接入传输技术完成用户与 IP 广域网 的高带宽、高速度的物理连接。可以 7*24 小时不间断为公司提供服务。先进的设备需要有管理及维 护的相关保障,才能为公司的稳定、高效的运作,减少不必要的麻烦,提高办公、教学和通信的效率,在选择设备和产品时,本方案尽量选择同一个且在同行中具 兰州理工大学毕业设计 7 有较高影响力的厂家( Cisco 公司产品),这样即方便管理,又为以后的扩充及维护带来便利,同时还具有较高的可靠性和安全性。 物理措施:例如,保护网络关键设备 (如 交换机 、 大型计算机 等 ),制定严格的网络安全规章制度,采取防辐射、防火以及安装不间断电源( UPS)等措施。加密的作用是保障信息被人截获后不能读懂其含义。 部署防火墙:在防火墙上设置 ACL(访问控制列表), 禁止存在安全 脆弱性 的服务进出网络,并抗击来自各种路线的攻击 。建立和实施严密的 计算机 网络安全制度与策略是真正实现网络安全的基础。当网络过载或拥塞时, QoS 能确保重要业务量不受延迟或丢弃,同时保证网络的高效运行。一些特定形式的网络 数据流 需要定义服务质量,例如:多媒体流要求有保障的通过量 , IP 电话需要严格的抖动和延迟限制 , 性命攸关的应用系统,例如 远程电子操作。 经济上可行:网络企业主要的是实现办公自动化和信息化。 管理上可行:整个公司的办公资料是通过办公服务器集中存储处理的,整个网络设备都是集中的机房并且具有专人进行维护。 兰州理工大学毕业设计 9 第三章 总体方案设计 根据华迪的地理位置图设计总体方案, 四川华迪信息技术有限公司新建大楼包括教学区,办公区、 学生公寓,另洛阳分公司和重庆公公司(办事处)通过电信专线连入成都总部。该方式的好处在于,任意一台核心交换机的故障,或者任意一条上行链路的故障,均不会影响网络的稳定运行,备用交换机或备用线路会智能地启用起来。 兰州理工大学毕业设计 11 链路汇聚技术 链路聚合( Link Aggregation)又称 Trunk,是指将多个物理端口捆绑在一起,成为一个逻辑端口, 以实现出 / 入流量在各成员端口中的负荷分担,交换机根据用户配置的端口负荷分担策略决定报文从哪一个成员端口发送到对端的交换机。另外,聚合后,可靠性大大提高,因为, n 条链路中只要有一条可以正常工作,则这个链路就可以工作。如果是 truck,捆绑端口必须属于 truck 模式;具有相同的 nativevlan ID;每个接口都必须有相同的速度和双工模式 ; 生成树 设置必须一致。因 兰州理工大学毕业设计 12 为交换机通信的原理就是要通过“广播”来发现通往的目的 MAC 地址,以便在交换机内部的 MAC 数据库建立 MAC 地址表,而广播不能跨越不同网段。 VLAN 除了能将网络划 分为多个广播域,从而有效地控制广播风暴的发生,以及使网络的拓扑结构变得非常灵活的优点外,还可以用于控制网络中不同部门、不同站点之间的互相访问。必要的通信必须经过路由来实现,因此可在路由器(或三层交换机)上配置访问列表来进行跨子网段的授权访问,从而提高公司内部网络访问的安全性。 技术 VPN 属于远程访问技术,简单地说就是利用公网链路架设私有网络。为了保证数据安全, VPN 服务器和客户机之间的通讯数据都进行了加密处理。有了 VPN 技术,用户无论是在外地出差还是在家中办公,只要能上互联网就能利用VPN 非常方便地访问内网资源 。 本设计方案整体结构主要采用 星型结构的层次模型,在教学区一楼设一个网管中心,管理公司内所有网络及核心设备,为核心层。各区的楼房配线间位于各区建筑物的一楼。 主要设备选型说明 核心层交换机( 2 台) 兰州理工大学毕业设计 15 cisco 的网络设备一直是行业老大,在这里我们采用 cisco6506 比较高端的交换机,Cisco6506 的交换机高度模块化,提供插槽的可扩展,电源的可扩展,引擎的可扩展。因此同时选择购买 WSX6516GBIC 作为千兆光模块实现与汇聚层的连接依次实现千兆主干网,百兆到桌面,它是 16 端口千兆位以太网光纤接口模块 。实施模块化后, Cisco IOS 子系统能作为独立、可自行恢复的进程运行,通过故障抑制和状态化进程重启,缩短了计划外停机时间;通过子系统运行中软件升级( ISSU)简化了软件改动,集成了嵌入式事件管理器( EEM),从而能在进程级自动控制策略。所以为了达到以上用户需求,考虑到核心层交换机我们必须选择配有光纤接口的交换设备,而 cisco3750 就适合这一要求,具有 1000 兆光纤接口,它不仅能支持二层而且还能支持三层服务,同时采用与核心交换机相同的 cisco 的设备达到系统很好兼容性的要求,便于管理。 可用 性: 、负载均衡和迅速恢复; Flexlink 特性提供了不到 100ms 的快速收敛; PVST+ 则通过允许流量在冗余链路上传输,增加了可用带宽。并提供 24 接口,支持堆叠。 入侵检测系统: IDS 品牌型号:鹰眼入侵检测分布型 NIDS100D1E 系统: 分布式单探头百兆检测引擎 功能特点: a、 强大的入侵检测能力 , 可识别 30 大类、上千种入侵行为 ,如 后门程攻击 、 分布式拒绝服务攻击 、 远程溢出攻击 、 帐号试探性攻击 、 FTP 攻击 、 Ping 攻击 、 Netbios 攻击 、 远程服务攻击 、 扫描攻击 、 邮件服务器攻击 、 远程登录攻击 、 简单文件传输服务攻击 等。 e、 大规模网络下的入侵检测能力 。 i、完备的自身安全性。 表 服务器配置表 品名 规格 数量 参数 兰州理工大学毕业设计 20 CPU Intel Xeon E5520(至强系列 ) 1 主频 2260MHz。前端总线:1333MHz。8 条内存槽 ; 内存描述 : 4 通道(800/1066/1333 MHz); 双千兆 intel 以太网卡 ; 磁盘 阵列类型 : SATA; 磁盘阵列模式 :集成 SATA RAID 0/1/10,可选 SW RAID 5 激活卡 ; 硬盘接口 : 6 SATA 接口 (3 Gbps); 硬盘 希捷 Constellation ES 企业 级 1TB 7200 转 64MB SATA3( ST1000NM0011) 1(按需求增减) 硬盘容量: 1TB。接口速率:6Gb/s 电源 航嘉磐石 1 500w 1U 专用电源 机箱 国鑫 GX1014B 1U 机架机箱 1 可扩展 4 路热插拔硬盘的设计 兰州理工大学毕业设计 21 显示器 Voc 冠捷 1 鼠键套装 任意 1 Intel 至强 4 核心处理器,大容量扩展内存,大容量磁盘阵列,英特尔 5500 芯片组服务器主板,为了数据安全,用 RAID 0+1 保证速度和数据备份。”当用户通过防火墙进行访问时,首先需要对其身份进行认证,认证方式简单方便,认证的工具可以是任何支持认证的网页浏览器如 Microsoft Inter Explorer( IE)或 Netscape,身份认证是基于密码技术的,对管理员用户名和口令在传输时进行加密,并且,对防火墙和控制端之间通过网络传输 的所有数据全部加密,这样有效地防止了在网络传输过程中数据被窃听、篡改,达到更高可靠性的身份认证。认证通过后确定用户所属的用户组,系统将检查安全策略中对此用户组的授权。 龙马卫士防火墙的 AAA 模块主要由网络访问服务器( NAS)以及认证控制服务器( ACS)两部分组成。认证控制服务器支持多种认证方式,并可以根据用户需求扩展其他认证方式。 管理工具采用 B/S 结构,通过浏览器来管理认证服务器上的用户、进程、日志等,并且可以进行远程管理,界面友好,使用方便。由于是基于规则的检查,属于同一连接的不同包毫无任何联系,每个包都要依据 规则顺序过滤,这样随着安全规则的增加,势必会使防火墙的性能大幅度的降低,造成网络拥塞。龙马卫士防火墙在进行包的检测时不仅将其看成是独立的单元,同时还要考虑与它的前面包的关联性。龙马卫士防火墙在对基于 UDP 协议的连接处理时,会为 UDP 建立虚拟的连接,同样能够对连接过程状态进行监控。传统防火墙一般采用的是静态过滤技术,即事先打开很多端口以满足各种应用的需要,但是有时某些应用程序的端口是动态变化的,如 FTP、 、视频会议等应用,事先打开的端口很难满足这种动态变化的需要,而且如果事先打开的端口过多,可能造成很多不安全的隐患,为了解决这些问题,在龙马卫士防火墙中,使用了动态过滤技术。龙马卫士防火墙提供了将网络接口的 IP 地址同它的 MAC 地址进行绑定的功能,因此即使某一用户盗用 IP 地址,在通过防火墙时也因接口的 MAC 地址不匹配 而拒绝通过。同时允许内部网络使用自己定制的 IP 地址和专用网络,防火墙能详尽记录每一个主机的通信,确保每个分组送往正确的地址。也就是说,对于任何一个网络接口,可以进行向外的源地址转换,向内的目的地址转换以及向内的源地址转换三种 NAT。布线系统由不同系列的部件组成,其中包括:传输介质、线路管理硬件、连接器、插座、插头、适配器、传输电子线路、电器保护设备和支持硬件 本综合布线系统方案依据四川华迪信息技术有限公司新办公楼分布情况,将数据、语 兰州理工大学毕业设计 24 音、多媒体信息的传输介质主要引用于大楼的计算机网络系统、通信系统。 工作区子系统设计介绍 工作区布线子系统由终端设备连接到信息插座的连线(或软线)组成,它包括信息插座、信息模块、网卡和连接所需的跳线、装配软线、适配器和连接所需的扩展软线,并在终端设备和 I/O 之间搭桥。工作区子系统图如图 : 图 信息插座面板示意 图 VABC 为语音点编号, A 为配线架序号, B 为配线架端口序号, C 为语音点总序号。 水平干线子系统设计介绍 水平布线子系统将电缆从楼层配线架连接到各工作区的信息插座上,一般处在同一楼层。由超五类 4 对 U T P(非屏蔽双绞线)组成,能支持大多数现代化通信设备,如果有磁场干扰或信息保密时可用屏蔽双绞线。 水平干线子系统是整个布线系统的一部分,它是从工作区的信息插座开始到管理间子系统的配线架。 此序号在与插座相连的五类线的端部也有标识,便于以后维护。 在本系统中,各层水平电缆的两端 (插座面板和配线面板)均采用超五类非屏蔽 RJ45模块,电话线用的 RJ11 插头(电话机一般都配有这种电缆)可以直接插入 RJ45 插座内。为了有 效地利用这些设备,并让它们发挥最大的效果,将采用综合布线系统实现电话和计算机系统资源的综合利用。它使话音和数 据通信设备、交换机设备、信息管理系统及设备控制系统彼此相连,也使这些设备与外部通信网络相连接。 龙马卫士 防火墙不仅提供了传统的“内部网到外部网”,“外部网到内部网” NAT 功能,而且提供任意网络接口的地址转换功能,规则能够根据源地址范围,目的地址范围,端口以及协议等精密匹配。这样,防火墙能够自动监视内部 IP 地址资源的使用情况。这样在实际应用中,事先只需打开极少数必须打开的端口,在建立合法的访问连接时再适当打开某些需要的端口,当连接结束时,自动地关闭相应的端口,这样能够有效的防止系统存在的‘开口’隐患,解决了事先打开的端口不能满足应用程序的需求等问题,并能在最大程度上挫败黑客的恶意进攻。可以这么说,能够实现对 UDP、 ICMP 协议的实时状态监控,是龙马卫士防火墙 有别于其它厂商防火墙的显著特点之一。尤其值得一提的是,对于基于 UDP 协议、 ICMP 的应用来说,是很难用简单的包过滤技术进行处理的,因为 UDP协议本身对于顺序错误或丢失的包,是不做纠错或重传的。这样的包过滤既缺乏效率又容易产生安全漏洞。 龙马卫士 防火墙不仅根据数据包的地址、方向、协议、服务、端口、访问时间进行访问控制,同时还对任何网络连接和会话的当前状态进行分析和监控。龙马卫士防火墙的认证控制服务器的结构高度模块化,具有良好的可扩展性,并能够扩展新的认证方式。并以用
鄂ICP备17016276号-1