第一篇:局域網設計方案
局域網設計方案
1、需求分析:
根據用戶提出的要求,進行網絡的設計.老師提出的網絡應用需求,主要包括以下幾點: 基本情況:機房418,面積、房型可實地參觀,要求能夠同時提供64位同學和1位教師的上機服務,且能夠外連至電信公司(此處外連設計為ADSL方式)。機房內須提供內部使用的FTP和Web服務。
要求:
1)所有的終端設備清單 2)所有網絡設備清單
3)所有布線主料與輔料清單
不間斷電源,4)所有正版操作系統和正版應用軟件清單 5)所有服務器系統軟件清單
2、計算機擺放方案
機房的計算機擺放可用隊列式擺放方式,機房內需要65臺計算機和2臺服務器。可分為6列,12排;每10臺計算機為一組,所以共分為7組。把兩列臺計算機分別劃為5組,依次排放下去。平均每組計算機占地5平方米,7組共占地70平方米;其中,每組計算機的間隔為1.5米,為工作人員留下足夠的活動空間,并且能夠互相交流工作,符合人性化的布局設計。機房的左側用于放置服務器、主交換機和UPS電源。機房空調3臺。主要布置如圖: 下面為機房場地的平面圖
3、網絡系統結構設計
根據需求分析報告,開始網絡系統方案的設計階段。這個階段包括確定網絡總體目標、網絡方案設計原則、網絡拓撲結構、網絡技術、網絡地址規劃、VLAN劃分、綜合布線、網絡互聯設備的選型、機器選型與軟硬件配置、網絡管理、網絡安全等內容。
3.1網絡總體目標和設計原則
3.1.1確立網絡總體實現的目標
網絡建設的總體目標首先明確的是采用以太網技術和局域網標準構筑一個滿足日常教學與要求能夠同時提供64位同學和1位教師的上機服務,且能夠外連至電信公司(此處外連設計為ADSL方式)。機房內須提供內部使用的FTP和Web服務。工程實行一次性投資和建設。
3.1.2總體設計原則
①實用性原則 網絡方案設計中把握“夠用”和“實用”原則。網絡系統采用成熟可靠的技術和設備,達到實用、經濟和有效的目的。②開放性原則
建成多協議、多網絡操作系統網絡平臺,真正實現開放式的網絡體系結構。③先進性原則
網絡建設應適應目標管理自身發展的特點及網絡通信技術更新換代,主機系統選擇、網絡結構設計、網絡管理和連接方式具有一定的先進性。④易用性原則
整個機房網絡系統必須易于管理、安裝和使用,網絡系統必須具有良好的可管理性,并且在滿足現有網絡應用的同時,為以后的應用升級奠定基礎。網絡系統還應具有很高的資源利用率。⑤可擴展性原則
網絡總體設計不僅要考慮到近期目標,也要為網絡的進一步發展留有擴展的余地。因此,需要同意規劃和設計。網絡系統應在規模和性能兩方面具有良好的可擴展性。由于目前網絡產品標準化程度較高,因此可擴展性要求基本不成問題。⑥安全性
實現網絡的合理配置,利用授權及軟件防火墻技術,能阻止非法用戶訪問網絡資源,保證數據傳輸、存儲的安全。
3.2、網絡拓撲結構的設計
關于機房內部的交換機則選用中端的Catalyst 3512 XL:12口10/100M自適應端口,2口GBIC插槽,因為機房內部共有67臺機器需要互連通信,且準備實現鏈路冗余,用STP來消除橋接環路,則需要安置至少6臺該型號的交換機,另外該型號交換機有2個GBIC插槽,可以為以后的擴張需要做準備。具體拓撲如下:
機房內部的計算機拓撲圖
3.3、網絡技術
在整個網絡建設中,網絡采用ADSL接入電信公司,所以能夠提供最高達8Mbps的高速速下載速度和1Mbps的上傳速度。
整個網絡提供內部使用的FTP和Web服務做為該教學網的教學使用服務器,運用雙絞線接連各個學生機及教師機。通過ADSL MODEM 接入電信公司。
3.4、網絡地址規劃
3.4.1、學校IP資源的管理和機房計算機命名
為了科學、有效地使用學校內部的IP資源,提高網絡管理的效率,避免IP沖突。根據機房的實際情況將機房的IP資源規劃如下:
我們將電信公司申請的IP號,內部IP段通常是:192.168.21.100-192.168.21.160,100號給ftp服務器用,101給web服務器用,102號電腦室教師機用,103-164號給電腦教室學生機,這樣學生的計算機名是S01、S02??就分別與IP號103、104??分別對應起來了。以此類推,便于記憶,有利于機房管理和網絡維護。剩下的IP號目前用不到先留著。
3.4.2、計算機名
為了提高網絡維護效率,使自己在辦公室或校內外任何能上網的地方都會知道學校的計算機運行情況,要給每臺計算機命名,計算機名要容易記。機房的計算機采用S01、S02??的命名規則。
3.5、VLAN劃分 根據端口來劃分VLAN 許多VLAN廠商都利用交換機的端口來劃分VLAN成員。被設定的端口都在同一個廣播域中。例如,一個交換機的1,2,3,4,5端口被定義為虛擬網AAA,同一交換機的6,7,8端口組成虛擬網BBB。這樣做允許各端口之間的通訊,并允許共享型網絡的升級。但是,這種劃分模式將虛擬網限制在了一臺交換機上。第二代端口VLAN技術允許跨越多個交換機的多個不同端口劃分VLAN,不同交換機上的若干個端口可以組成同一個虛擬網。以交換機端口來劃分網絡成員,其配置過程簡單明了。
3.6、綜合布線
本項目機房地點設在實訓樓418。機房配有電信的網接口、64臺學生計算機、一臺教師機和二臺服務器。主干網采用雙絞線,機房內部屬于綜合布線系統的工作區子系統,雙絞線敷設方式采用墻壁線纜布線方式,雙絞線的敷設內置于PVC管道,以提高機房內部布線的美觀性和安全性,房間墻壁以及地板設置幾個信息點,以備將來擴展的需要,總體布線情況為:主機接入交換機,交換機互聯,再由交換機接入外部設備。
3.7、與外網連接的結構圖
機房內部的布線是局限的,只能用于內部信息共享,它的拓撲僅僅是內網的拓撲,不能與外網進行信息交換。我們要把它與外網相聯接,下面是其他設備互聯以及和與外網互聯后的拓撲圖:
3.8、網絡互聯設備的選型
①路由器
本網絡系統建議使用的是思科3945/K9:
②交換機
銳捷RG-S2328G:
③ADSL Modem 華為HG510:用于接入電信公司網。
3.9、機器選型與軟硬件配置
3.9.1、機器選型與硬件配置
3.9.1.1、教學用計算機:聯想A4600K PDC E5700
65臺 3.9.1.2、服務器:IBM System x3100 2臺 3.9.1.3、ups電源:山特C6KS 標準版
3.9.1.4、防靜電和防雷設備:OBO V20-C 1套
3.9.2、軟件配置
3.9.2.1、操作系統:Windows7 服務器:Linux 3.9.2.2、應用軟件:多媒體教學軟件,Office2003辦公軟件、Visual C++、Visual Studio 2005、SQL Serer2005、Dreamweaver8、Flash、Photoshop、常用殺毒軟件,其它常用軟件等。
3.10、網絡管理與維護
3.10.1網絡管理 3.10.1.1技術方面
1)、通過設置IP段,標識機房中電腦,使機房成為獨立的局域網絡。設置機房內局域網通過教師主機共享上網,方便教師控制整個機房內機器有目標的上網。2)、安裝還原軟件(網絡破解版)。
3.11、網絡安全
(1)、ARP防火墻的使用
每臺計算機安裝了一個獨立的“ARP防火墻”和360殺毒軟件。系統自帶的防火墻作用不大,有安裝360安全衛士的辦公計算機,打開其中的“ARP防火墻”應該也能解決這個問題。學生機不安裝360安全衛士,不給學生多余的操作,以及360在學生機子中不必要的提示;
(2)、路由IP綁定
路由的各種設置要由網絡提供商提供,新建一個管理員用戶名和密碼才可以進行操作。不同的路由功能不一樣,實現的方法也不一樣。IP綁定是大多數路由都有的,把每個內網IP與每臺計算機進行綁定,優點是有利于網絡維護,缺點是網絡中的計算機換了沒有綁定的IP還是能用。有的路由還能進行IP分組,可以分為教師、學生、網站三組,并分別限制帶寬。
參考文獻:百度文庫及局域網相關文獻
第二篇:局域網設計方案
文章標題:局域網設計方案
找文章到xiexiebang.com更多原創-(http://www.tmdps.cnC)租用帶寬,通過中國石油通信公司為校園局域網提供Internet出口。由核心交換機提供接口,經過路由器、防火墻連接到ISP設備。
整個學校局域網采用核心層和匯聚層兩層結構,核心層到匯聚層的網絡帶寬為千兆,匯聚層到各樓層信息點的網絡帶寬為百兆。同時核心層及匯聚層網絡支持多種千兆以太網接口(千兆多模、千兆電口)以及鏈路聚合技術,實現主干鏈路的高速互通。
局域網系統中交換機均支持基于端口的管理、認證,可網管、遠程開關交換機端口,并支持SNMP協議,全網支持802.1q,可以做VLANTRUNK,同時兩臺骨干交換機之間實現負載均衡。
3.2.與Internet的連接
在保留現有的通過集團公司廣域網鏈路進入到互聯網的情況下,校園局域網用戶可通過Internet服務商進行互聯后實現局域網用戶對Internet的統一訪問,Internet的出口帶寬為一個10M連接到互聯網服務提供商。以滿足校園局域網用戶對Internet的訪問需求,具體的網絡連接示意圖如下:
網絡連接示意圖
點擊此處查看全部新聞圖片
出口路由器的以太接口連接到ISP的傳輸設備,實現局域網出口路由器與ISP的網絡互聯,同時為了增加
局域網內部的網絡安全性,在公網和局域網連接處部署了一臺防火墻,用于對公網方向的網絡攻擊和非授權訪問進行隔離和控制,同時也保護公網服務器。同時考慮到公網服務器容易受到來自公網的非法攻擊,本設計在公網dmz區域部署一臺公網入侵檢測系統(IDS),以便對來自公網的訪問流量進行監控和隔離。
3.3.校園辦公網絡
校園辦公網絡(包括綜合樓、東西教學樓辦公室部分、后勤食堂等場所)主要為在學校工作人員提供局域網基礎設施和上網服務。具體需求分為:
1、普通用戶:需要一個能夠承載內部數據、語音、視頻應用的高速局域網,能夠高速訪問校園網、集團公司網絡。并保證網絡的安全和獨立。
2、VIP用戶使用:在普通用戶的基礎上,需要訪問校園廣域網和internet。
3、下屬的部門:與原設計的其他部門一致,作為校園總部局域網的一部分,按照部門相應的權限訪問集團應用,廣域網和internet。
同時考慮方案的經濟性,并盡量減少對總部局域網絡的影響。
因此本次設計網絡為:
將現有的網絡平行遷移到新的雙聯核心網絡交換機上。
各樓及樓層交換機之間通過千兆光口互連。在隔離防火墻上進行設置,允許普通用戶以共享方式訪問internet,由此可以滿足用戶的基本需求。
3.4.公寓及公共網絡
公寓各房間網絡和公共場所如圖書館、教室等場所網絡主要為在學校參加培訓和學習的學員提供局域網基礎設施和上網服務。具體需求分為:
4、普通學員用戶:需要一個能夠承載內部數據、語音、視頻應用的高速局域網。能夠高速訪問internet。并保證網絡的安全和獨立。
同時集團需要將普通學員用戶與校園總部局域網絡隔離。
5、VIP用戶使用:在普通用戶的基礎上,需要訪問校園廣域網。
6、下屬的部門:與原設計的其他部門一致,作為校園總部局域網的一部分,按照部門相應的權限訪問集團應用,廣域網和internet。
同時考慮方案的經濟性,并盡量減少對總部局域網絡的影響。
因此本次設計網絡為:
在中心機房增加千兆隔離防火墻一臺,雙歸上聯核心交換機。
通過光纖,將現有的各公寓樓的網絡接入到公寓B座的會聚交換機上,然后接入核心交換機。
各樓及樓層交換機之間通過千兆光口互連。在隔離防火墻上進行設置,允許普通用戶以共享方式訪問internet,由此可以滿足用戶的基本需求。
3.5.與廣域網和internet的連接
校園將擴建現有廣域網系統,在保留通過與集團公司的2M專線連接外,增加10M與internet直接通過運營商連接的通道,實現校園內部的數據、語音及多媒體信息的傳輸及共享。本次設計在校園總機房建設1臺核心路由器設備,系統配置要求滿足未來幾年內的與集團公司或其他兄弟公司的接入。核心路由器通過廣域網防火墻實現與核心交換機的連接。
3.6.各樓及樓層設備配置
根據各樓的綜合布線點數,進行相應的設備配置設計,同時保證校園整體網絡的可靠性、安全性。
本次的樓層交換機主要使用現有的設備,對部分有必要和需要擴充的樓及樓層預留部分備用交換機。
四、IP地址規劃與設備命名
針對校園的網絡實際情況,對除www.tmdps.cn,歡迎閱讀局域網設計方案。
第三篇:網吧局域網設計方案
數字校園規劃與實施作業二 小型局域網方案設計(3)
一、設計要求與設計原則
1.設計要求
吧臺有一臺計算機用于收費,收費方式為預付費然后按上網時間扣費;要容納盡可能多的計算機;外網接入方式為 100MB 光纖;可單獨分配每臺計算機訪問外網的帶寬;可以支持用戶運行大型 3D 游戲;要考慮用電以及設備端口的足夠冗余;該房間地面裝修已經完成,不準備鋪設防靜電地板。
2.設計原則
(1)實用性和經濟性
由于網吧一次性資金投入大,設備折舊快,目前外部經營環境差。另一方面,網吧應用環境比較惡劣,顧客應用水平較參差不齊,因此,在網絡的建設過程中,系統建設應始終貫徹面向應用,注重實效的方針,堅持實用、經濟的原則。(2)先進性和成熟性
當前計算機網絡技術發展很快,設備更新淘汰也很快。這就要求網絡建設在系統設計時既要采用先進的概念、技術和方法,又要注意結構、設備、工具的相對成熟。只有采用當前符合國際標準的成熟先進的技術和設備,才能確保網絡絡能夠適應將來網絡技術發展的需要,保證在未來幾年內占主導地位。(3)高穩定性
在早期,偶然出現的延遲、掉線等現象,對于用戶來說影響并不是十分顯著。用戶如果正在搜索自己所需要的資料,突然的掉線也許會導致資料的流失。所以,要求極高的穩定性才能滿足用戶的需求。因此保證網絡的穩定可靠、不掉線和高速度都是網吧網絡建設時需要考慮的首要問題。(4)安全性和保密性
在系統設計中,既考慮信息資源的充分共享,更要注意信息的保護和隔離,因此系統應分別針對不同的應用和不同的網絡通信環境,采取不同的措施,包括系統安全機制、數據存取的權限控制等。
(5)可擴展性和易維護性
為了適應系統變化的要求,必須充分考慮以最簡便的方法、最低的投資,實現系統的擴展和維護。把當前先進性、未來可擴展性和經濟可行性結合起來,保護以往投資,實現較高的總體性能價格比。
二、網絡拓撲設計
1.設計思想
本實訓項目報告為小型網吧規劃設計,該小型網吧的電腦數目初始規劃為100左右,所以硬件需要一臺路由器,一臺中央交換機,一臺48個端口的交換機,兩臺24個端口的交換機,三臺服務器,一臺網管機,100臺pc機。該小型網吧分為包間區、影視區和游戲區四個區,每個區分別對應一個交換機,并且每個區也對應一個子網,最后組成一個局域網。
2.拓撲圖
2.拓撲圖分析
該拓撲圖明確的表明了從中心交換機分出的網線把該小型網吧分為了3個區,并且還有服務器進行軟件、游戲的更新和文件的管理,有網管進行計時、收費和管理。
3.計算機分布圖
4.布線圖
三、硬件設備的選擇及其預算
1.交換設備需求及選擇分析
目前網吧預計有100臺左右電腦,將來還有可能擴大,考慮到擴展性,以及不同的需求,劃分不同的vlan,以及要考慮到局域網內部的帶寬,保證快速以太網的千兆帶寬,同時價格也應該考慮到,以及品牌和商家的售后服務。
對比之后我們選擇了H3C S5120-28P-SI智能交換機為中央交換機。
產品類型:智能三層交換機,價格3200;傳輸速率:1000Mbps,存儲-轉發,包轉發率:42M bps, 24個端口,背板帶寬:192Gbps,端口結構:非模塊化,端口數量:28,端口描述:24個,10/100/1000Base-T以太網端口,4個1000Base-X SFP千兆以太網端口,支持全雙工,支持基于端口的VLAN(4K個),支持IEEE 802.1p/DSCP優先級,支持優先級映射,支持端口信任模式,支持端口信任模式,支持端口隊列調度(SP/WRR/SP+WRR)。支持IGMP Snoopingv1/v2/v3,MLD Snooping,支持組播VLAN支持XModem/FTP/TFTP加載升級,支持命令行接口(CLI),Telnet,Console口進行配置,支持SNMP,WEB網管,支持RMON(Remote Monitoring),支持iMC智能管理中心,支持系統日志,分級告警,調試信息輸出,支持HGMPv2,支持Modem 遠端撥號,支持NTP,支持Ping,Tracert,支持Telnet遠程維護,支持VCT(Virtual Cable Test)電纜檢測功能,支持Loopback-detection端口環回檢測。電源電壓AC 100-240V,50-60Hz,環境標準工作溫度:0-45℃,工作濕度:10%-90%(非凝露)。
選擇D-Link DIS-2024T網吧專用交換機為接入層交換機。價格為3000產品類型:二層交換機,傳輸速率:10/100/1000Mbps,交換方式:存儲-轉發,背板帶寬:48Gbps,包轉發率:35.7Mbps,MAC地址表:8K,端口數量:24個,網絡標準:IEEE 802.3,IEEE 802.3u,IEEE 802.3ab,網絡協議:CSMA/CD,端口接口:非模塊化,端口描述:24個10/100/1000Mbps端口,傳輸模式:全雙工/半雙工自適應,電源電壓:AC 100-240V,50-60Hz,電源功率:17.3W,環境標準:工作溫度:0-40℃,工作濕度:10%-90%(無凝結),存儲溫度:-10-70℃,存儲濕度:5%-90%(無凝結)。
2.路由設備需求及選擇分析
對網吧來說,解決接入線路的問題主要是采用大帶寬的光纖接入,一般幾十M是必要的,不然無法流暢的支持外網的網絡游戲和QQ視頻聊天,大部分網吧寬帶路由器都可以通過使用一個光纖收發器將光纖線路轉換成常規網線線路,也有些網吧寬帶路由器本身帶有光纖模塊插口,通過安裝光纖模塊就能直接接入光纖線路。而多WAN技術并不是網吧解決帶寬的常見辦法,其更多的意義反而在于南北互通,一個WAN口接入電信線路,一個WAN口接入網通線路,通過設定好的IP訪問策略實現雙線路的智能訪問負載均衡,因此很多網吧寬帶路由器都是采用幾個WAN口。也有一些網吧是采用光纖+雙線來達到網絡的暢通高速。
對比之后我們選擇了H3C ER8300路由器。價格為5399。
路由器類型:網吧專用路由器,網絡協議:PPPoE,DHCP,NAPT,NTP,DDNS,傳輸速率:10/100/1000Mbps,端口結構:非模塊化,廣域網接口:2個,局域網接口:8個,其他接口:1個Console接口,網絡管理:基于Web的用戶管理接口(遠程管理/本地管理)HTTPS遠程管理,防火墻:內置防火墻,支持Qos,支持VPN,產品內存:128MB DDRII,處理器:MIPS 64位雙核700MHz 網絡處理器,電源電壓:AC 100-240V,50/60Hz,電源功率:20W,產品認證:CE ClassA,CCC,環境標準:工作溫度:0-40℃,工作濕度:10%-90%(無凝結),存儲溫度:-10-70℃,存儲濕度:5%-90%(無凝結)。
3.服務器的選擇及分析
從網吧的應用方面來看,隨著網絡規模的不斷擴大,各種服務彼此分開,服務器需要處理的業務量也不斷增大,有必要根據不同應用選購配置不同的服務器,以獲得更優的性能和穩定性。
游戲服務器存放游戲,游戲更新,用于本地更新游戲,有效的節省網絡帶寬和用戶時間。視頻服務器存放大量電影,電視劇,動漫,供用戶使用,有效的節省網絡帶寬,使用戶享受高清電影。文件服務器文件服務器是用來提供網絡用戶訪問文件、目錄的并發控制和安全保密措施的局域網服務器,它要求在服務 器和用戶磁盤之間實現大容量數據高速傳輸。
4.計算機選擇
電腦主機配置:
CPU INTEL I3 4130散裝
650 主板 技嘉B85M-D3V 470 散熱 梟龍
內存 金泰克8G DDR3 1600 440 機箱 網吧機箱
電源 450W 160 顯卡 影馳GTX650TI 830 顯示器AOC 27寸 1600(顯示器可以換23寸)這是大概價格 4.預算
交換機:3200+3000*3=18600 路由器:5399 Pc機:650+470+35+440+70+160+830+1600=4255*100=425500
第四篇:校園局域網設計方案
xxxxx幼兒園 校園局域網
設 計 方 案
滄州市感知物聯網絡工程有限公司
2014年8月1日
校園局域網設計方案
目錄
一、前言............................................................3
二、學校需求分析
1、用戶目標..........................................................4
三、設計需求分析.....................................................5
四、網絡總體設計方案.................................................5
1、網路構架分析......................................................5
2、設計思路.........................................................6
3、網絡方案設計原則...............................................6
4、網路結構概述及拓撲結構圖.......................................7
5、Vlan的劃分及IP地址的規劃........................................8
6、IP劃分、分配................................錯誤!未定義書簽。
五、設備選型
1、防火墻........................................................15
2、中心數據交換機................................................15
3、接入交換機
4、無線AP 校園局域網設計方案
一、前 言
隨著計算機、通信和多媒體技術的發展,使得網絡上的應用更加豐富。同時在多媒體教育和管理等方面的需求,對校園網絡也提出進一步的要求。因此需要一個高速的、具有先進性的、可擴展的校園計算機網絡以適應當前網絡技術發展的趨勢并滿足學校各方面應用的需要。信息技術的普及教育已經越來越受到人們關注。學校領導、廣大師生們已經充分認識到這一點,學校未來的教育方法和手段,將是構筑在教育信息化發展戰略之上,通過加大信息網絡教育的投入,開展網絡化教學,開展教育信息服務和遠程教育服務等將成為未來建設的具體內容。城市職業學院網將實現與校內各部門進行通信,城市職業學院大學校園網將為學校的科研、教育、管理提供必要的技術手段,為研究開發和培養人才建立平臺,以此加快學校的發展,成為一個具有示范性的學校。
二、學校需求分析
1、用戶目標
校園網必須要具備教學、管理和通訊這幾大必要的功能。以便供應教師能夠方便地瀏覽和查詢網上資源,進行教學;學生可以方便地瀏覽和上網查詢資料;還有學校的管理人員可方便地對教務、行政事務、學生學籍、財務、資產等進行綜合管理,同時可以實現各級管理層與層之間的信息數據交換,實現網上信息采集和處理的自動化,實現信息和資源設備的共享,因此,校園網的建設必須有明確的建設目標和明確的構建思路。校園網最終必須是一個集計算機網絡技術、多項信息管理、辦公自動化和信息發布等功能于一體的綜合信息平臺,并能夠有效促進現有的管理體制和管理方法,提高學校辦公質量和效率,以促進學校整體教學水平的提高。
三、設計需求分析
郵件服務器、WEB服務器、FTP服務器、數據庫服務器、數據存儲服務器。千兆光纖系統(用于樓宇之間)、5類雙絞線(用于樓宇內),路由器 一臺、防火墻一臺、中心交換機兩臺、工作組交換機多臺(要接入校園網的各個教室,學生休息室,位于分配線柜)。校園局域網設計方案
四、網絡總體設計方案
1、網絡構架分析
采用千兆以太網技術,具有高帶寬1000Mbps 速率的主干,100Mbps 到桌面,運行目前的各種應用系統綽綽有余,還可輕松應付將來一段時間內的應用要求,且易于升級和擴展,最大限度的保護用戶投資; 根據校園網絡項目,我們應該充分考慮學校的實際情況,注重設備選型的性能價格比,采用成熟可靠的技術,為學校設計成一個技術先進、靈活可用、性能優秀、可升級擴展的校園網絡。考慮到學校的中長期發展規劃,在網絡結構、網絡應用、網絡管理、系統性能以及遠程教學等各個方面能夠適應未來的發展,最大程度地保護學校的投資。學校借助校園網的建設,可充分利用豐富的網上應用系統及教學資源,發揮網絡資源共享、信息快捷、無地理限制等優勢,真正把現代化管理、教育技術融入學校的日常教育與辦公管理當中。
2、設計思路
在設計校園網主干結構時既要考慮到目前實際應用有所側重,又要兼顧未來的發展需求。中心交換機和主干交換機采用千兆交換機。要有完善的安全機制,防止來自外部和內部的非法訪問。
3、網絡方案設計原則(1)、先進性原則(2)、開放性原則(3)、可管理性原則(4)、安全性原則
(5)、靈活性和可擴充性原則(6)、穩定性和可靠性的原則
4、網路結構概述及拓撲結構
網絡的拓撲結構是指網絡中通信線路和站點(計算機或設備)的相互連接的幾何形式。按照拓撲結構的不同,常見的計算機網絡拓撲結構有:總線型拓撲結構、星型拓撲結構、環型拓撲結構等。4.1總線型拓撲結構
總線型結構是指各工作站和服務器均連接在一條總線上,各工作站地位平等,無中心節點控制,公用總線上的信息多以基帶形式串行傳遞,其傳遞方向總是從發送信息的節點開始向兩端擴散,如同廣播電臺發射的信息一樣,因此又稱廣播式計算機網絡。各節點在接收信息時都進行地址檢查,看是否與自己 校園局域網設計方案的工作站地址相符,相符則接收網上的信息。
4.2星型拓撲結構
星型結構是指各工作站以星型方式連接成網。網絡有中央節點,其他節點(工作站、服務器)都與中央節點直接相連,這種結構以中央節點為中心,因此又稱為集中式網絡。
4.3環型拓撲結構
環型結構由網絡中若干節點通過點到點的鏈路首尾相連形成一個閉合的環,這種結構使公共傳輸電纜組成環型連接,數據在環路中沿著一個方向在各個節點間傳輸,信息從一個節點傳到另一個節點。信號通過每臺計算機,計算機的作用就像一個中繼器,增強該信號,并將該信號發到下一個計算機上。
4.4 蜂窩拓撲結構
蜂窩拓撲結構是無線局域網中常用的結構。它以無線傳輸介質(微波、a衛星、紅外線、無線發射臺等)點到點和點到多點傳輸為特征,是一種無線網,適用于城市網、校園網、企業網,更適合于移動通信。
5、Vlan的劃分及IP地址的規劃 Vlan劃分的原則:便于管理
Vlan劃分理念:將幾個樓劃分在同一個Vlan,便于管理。
Vlan具體劃分:如將梅園、桔園、竹園、桂園、桃園這幾個宿舍樓劃分在同一個Vlan下。再將博學館、圖書館劃分在同一個Vlan下。文化樓、實訓樓、光華樓劃分在同一個Vlan下。
6、IP 劃分、分配
假設學校的公網IP為200.1.1.0-200.1.1.32
1、教室 :將連到教師辦公室的交換機端口劃分為VLAN2,將連到教室的交換機端口劃分為VLAN3,每臺計算機手工設置靜態IP地址,DNS為202.96.128.166 202.96.18.86,網關192.168.1.1,子網掩碼為255.255.255.0,在網絡中心的路由器上設置動態NAT共享上網,公網的IP段為200.1.1.1-200.1.1.5。教室IP范圍為:192.168.1.2-192.168.1.120 教師辦公室IP范圍為:192.168.1.120-192.168.1.254
2、學生宿舍區:將VLAN 68 到 VLAN 73分別劃分給學生宿舍樓A的1-6層,VLAN 74 到 VLAN 79分別加劃分給學生宿舍樓B的1-6層。其IP地址由網絡中心的將路由器設為DHCP服務器,設其IP段為172.18.2.0-172.118.255.255 子網掩碼為255.255.240.0自動分配給學生宿舍區。在網絡中心的路由器上設置動態NAT上網,公網的IP段為200.1.1.11-200.1.1.20。校園局域網設計方案
五、設備選型
1、防火墻
H3C SecPath F100-M-G防火墻
市場領先的基礎安全防護
全面的基礎安全防護:提供安全區域劃分、靜態/動態黑名單功能、MAC和IP綁定、訪問控制列表(ACL)和攻擊防范等基本功能,還提供基于狀態的檢測過濾、虛擬防火墻、VLAN透傳等功能。能夠防御ARP欺騙、TCP報文標志位不合法、Large ICMP報文、SYN flood、地址掃描和端口掃描等多種惡意攻擊
豐富的VPN特性:支持L2TP VPN、GRE VPN、IPSecVPN及SSL VPN等遠程安全接入方式,同時設備集成硬件加密引擎實現高性能的VPN處理
專業的NAT應用:提供多對
一、多對多、靜態網段、雙向轉換、Easy IP和DNS映射等NAT應用方式;支持多種應用協議正確穿越NAT,提供DNS、FTP、H.323、NBT等NAT ALG功能
靈活可擴展的深度安全防護
與基礎安全防護高度集成的一體化安全業務處理平臺
全面的應用層流量識別與管理:通過H3C長期積累的狀態機檢測、流量交互檢測技術,能精確檢測Thunder/Web Thunder(迅雷/Web迅雷)、BitTorrent、eMule(電騾)/eDonkey(電驢)、QQ、MSN、PPLive等P2P/IM/網絡游戲/炒股/網絡視頻/網絡多媒體等應用;支持P2P流量控制功能,通過對流量采用深度檢測的方法,即通過將網絡報文與P2P協議報文特征進行匹配,可以精確的識別P2P流量,以達到對P2P流量進行管理的目的,同時可提供不同的控制策略,實現靈活的P2P流量控制 校園局域網設計方案
高精度、高效率的入侵檢測引擎。采用H3C公司自主知識產權的FIRST(Full Inspection with Rigorous State Test,基于精確狀態的全面檢測)引擎。FIRST引擎集成了多項檢測技術,實現了基于精確狀態的全面檢測,具有極高的入侵檢測精度;同時,FIRST引擎采用了并行檢測技術,軟、硬件可靈活適配,大大提高了入侵檢測的效率
實時的病毒防護:采用Kaspersky公司的流引擎查毒技術,從而迅速、準確查殺網絡流量中的病毒等惡意代碼
全面、及時的安全特征庫。通過多年經營與積累,H3C公司擁有業界資深的攻擊特征庫團隊,同時配備有專業的攻防實驗室,緊跟網絡安全領域的最新動態,從而保證特征庫的及時準確更新
技術領先的IPv6 國內率先支持IPv6狀態防火墻,真正意義上實現IPv6條件下的防火墻功能,滿足迫在眉睫的IPv6應用需求
支持IPv4/IPv6雙協議棧,并支持IPv6數據報文轉發、靜態路由、動態路由及組播路由等功能
支持IPv6各種過渡技術,包括NAT-PT、IPv6 Over IPv4 GRE隧道、手工隧道、6to4隧道、IPv4兼容IPv6自動隧道、ISATAP隧道等 支持IPv6 ACL、Radius等安全技術
電信級設備的高可靠性
采用H3C公司擁有自主知識產權的軟、硬件平臺。產品應用從電信運營商到中小企業用戶,經歷了多年的市場考驗
支持雙機狀態熱備功能,支持配置同步與IPSecVPN的狀態備份,支持Active/Active和Active/Passive兩種工作模式,實現負載分擔和業務備份
簡單易用的智能管理
簡單易用的Web UI管理 適合專業用戶的全命令行管理 支持基于SNMP和TR-069協議的管理 校園局域網設計方案
通過H3C SecCenter安全管理中心實現統一管理
中小企業Internet出口安全
H3C SecPath F100-M-G支持完整的基礎安全防護和深度安全防御功能,為企業提供專業的安全防護;F100-M-G能夠支持完整的IPv6狀態防火墻,滿足馬上到來的IPv6時代的安全防護需求;同時F100-M-G還內置了鏈路負載均衡、SSL VPN等豐富特性,能夠滿足當前互聯網出口多ISP鏈路和移動辦公的業務需求。校園局域網設計方案
2、中心數據交換機
H3C S5800PV2-EI 千兆交換機
千兆接入方案
在企業網絡或園區網絡中,S5800PV2-EI系列豐富完善的安全特性能最大程度地降低非法用戶和病毒入侵對網絡安全帶來的危害,同時S5000PV2-EI對SNMP網管特性的支持使其在面對大中型網絡的統一管理方面也能應對游刃有余,可廣泛使用在企業、學校、酒店等網絡搭建。校園局域網設計方案
3、接入交換機
H3C S1600系列安全智能交換機 產品特點
全線速的二層交換:
S1626/S1626-PWR/S1650交換機提供所有端口二層線速交換能力,保證所有端口無阻塞的進行報文轉發。優異的安全性能:
支持802.1x認證,安全專區提供多種豐富的安全功能,可以實現IP+MAC+端口+VLAN四元素綁定,并可通過DHCP-Snooping或者智能綁定自動獲取綁定列表,有效防御ARP攻擊、DOS攻擊及蠕蟲攻擊,并可以方便的實現腳本配置文件的導入和導出。
支持基于MAC的Guest VLAN,配合動態VLAN下發功能可控制接入同一端口的不同用戶訪問不同的網絡資源,增強了網絡的安全性和易用性。強大的鏈路擴展及備份能力:
提供LACP、STP/RSTP功能,可有效實現鏈路擴展及備份。簡單方便的管理方式:
可以通過Web可視化的界面,對交換機的各種功能進行簡單方便的操作,同時提供Console口和Telnet的命令行配置。多業務支持能力
支持PoE(Power over Ethernet)技術,通過以太網對所連接的設備(如Wireless AP、IP Camera、IP Phone等)進行遠程供電,從而使得不必在使用現場為設備部署單獨的電源系統,能夠極大地減少部署終端設備的布線和管理成本。
H3C S1600系列安全智能交換機具有豐富的安全特性,這使得在企業應用中可方便的做到接入認證和授權訪問,豐富的防攻擊特性讓企業內部的網絡更加健壯、安全。校園局域網設計方案
S1600系列安全智能交換機在企業網的應用示意圖 校園局域網設計方案
4、無線AP H3C WA2610H-GN 面板式無線接入設備
標準的86mm面板尺寸
WA2610H-GN采用標準的86*86mm面板尺寸,可以完全復用用戶既有的86mm網口面板暗盒,安裝實施時,無需專業人員,即可方便的將原有的網口面板替換為H3C的面板式AP——WA2610H-GN。由于WA2610H-GN采用86*86mm標準面板尺寸,所以在安裝之后,不會對原有周邊可能存在的其他插座面板或裝修事物造成影響,對客戶原有裝修的影響接近于零。
5步!安裝一個AP只需3~5分鐘
WA2610H-GN采用國際標準的插座安裝方法進行設計,和其他開關面板一樣,更換一個面板式AP只需要簡單的5個步驟,總耗時不超過5分鐘,可以極大的加快客戶部署無線網絡的速度。校園局域網設計方案
圖2 WA2610H-GN之5步安裝方法
綠色低碳設計
WA2610H-GN采用專業綠色低碳設計,支持動態MIMO省電模式(DMPS)與增強型自動省電傳送(E-APSD),智能辨識終端實際性能需求,合理化調配終端休眠隊列,動態調整MIMO工作模式。
WA2610H-GN支持Green AP模式,實現單天線待機,節能更精準。
WA2610H-GN通過創新性的逐包功率控制(PPC)技術,在確保報文能成功傳輸的前提下動態調節AP設備和客戶端直接的雙向功率,以達到減少設備能耗和延長移動終端待機時間的作用。
提供本地轉發功能
當WA2610H-GN通過廣域網方式轉發時,無線接入設備部署在分支機構,而無線控制器部署在總部,所有用戶數據由無線接入設備發送到無線控制器,再由無線控制器進行集中轉發。WA2610H-GN可將數據報文在無線接入設備上直接轉化為有線格式的報文,使得數據報文不經過無線控制器,而是在本地進行轉發,大大節約了有線帶寬。校園局域網設計方案
支持IPv4/IPv6雙協議棧(Native IPv6)WA2610H-GN全面支持IPv6特性,設備實現了IPv4/IPv6雙協議棧。無論原有有線網絡是IPv4還是IPv6,都可以自動地與WX系列控制器進行注冊提供WLAN服務,不會成為網絡中的信息孤島。
提供EAD無線接入
終端準入控制(EAD,End user Admission Domination)解決方案從控制用戶終端安全接入網絡的角度入手,整合網絡接入控制與終端安全產品,對接入網絡的用戶終端強制實施企業安全策略,通過與安全策略服務器的聯動,可以對感染病毒或存在系統漏洞等不合格的無線客戶端進行下線、隔離、提醒或監控等多種方式的處理,只有無線客戶端符合相應的安全策略之后才允許正常訪問網絡,從而提高了無線網絡的整體安全性。
支持智能負載均衡
WA2610H-GN支持按接入用戶數量和流量的復雜均衡方式,當無線控制器發現無線接入設備的負載超過設定的門限值以后,對于新接入的用戶無線控制器會自動計算此用戶周圍是否還有負載較輕的無線接入設備可供用戶接入,如果有則會拒絕用戶的關聯請求,用戶會轉而接入其他負載較輕的無線接入設備,但如果無線用戶不在重疊覆蓋區內,傳統的負載均衡方式往往會導致連接不上網絡,造成誤均衡。H3C公司創新性的支持智能負載均衡技術,保證只對處于覆蓋重疊區的無線用戶才啟動負載均衡功能,有效的避免誤均衡的出現,從而最大限度的提高了無線網絡容量。
第五篇:中小型局域網設計方案rendahit
局域網網絡安全設計方案
一.畫出本設計方案基于局域網的拓撲圖,并有說明。
拓撲圖如下: 拓撲結構分析:本設計的拓撲結構是以中間一個核心交換機為核心,外接Router0、Router2,DNS服務器(提供域名解析)、DHCP服務器(為該局域網分配IP地址)、Router3(做外網路由器用,通過它與Internet連接)、一個管理員主機(通過該主機可以對該網絡的設備進行管理和配置)。另外Router2的作用是為了讓它下面分配的不同Vlan之間能夠相互訪問。在Router3上還需配置防火墻、ACL、NAT等,主要是為了該網絡的安全和易于管理。以上只是該網絡的初級設計。
Server-PTDNS服務器ROUTER—PTROUTER 3CLOUD-PTInternetServer-PTDHCP服務器PC—PT管理員主機ROUTER 0核心交換機Switch-PTROUTER 2Switch0Switch1Switch2Switch3PC0PC1PC2PC3PC4PC5
二 在對局域網網絡系統安全方案設計、規劃,應遵循以下原則:
需求、風險、代價平衡的原則:對任一網絡,絕對安全難以達到,也不一定是必要的。對一個網絡進行實際額研究(包括任務、性能、結構、可靠性、可維護性等),并對網絡面臨的威脅及可能承擔的風險進行定性與定量相結合的分析,然后制定規范和措施,確定本系統的安全策略。
一致性原則:一致性原則主要是指網絡安全問題應與整個網絡的工作周期(或生命周期)同時存在,制定的安全體系結構必須與網絡的安全需求相一致。安全的網絡系統設計(包括初步或詳細設計)及實施計劃、網絡驗證、驗收、運行等,都要有安全的內容光煥發及措施,實際上,在網絡建設的開始就考慮網絡安全對策,比在網絡建設好后再考慮安全措施,不但容易,且花費也小得多。
易操作性原則:安全措施需要人為去完成,如果措施過于復雜,對人的要求過高,本身就降低了安全性。其次,措施的采用不能影響系統的正常運行。
多重保護原則:任何安全措施都不是絕對安全的,都可能被攻破。但是建立一個多重保護系統,各層保護相互補充,當一層保護被攻破時,其它層保護仍可保護信息的安全。
三.防病毒的方法和設計
第一:病毒可能帶來哪些威脅
一旦中毒,就可能對系統造成破壞,導致數據泄露或損壞,或者使服務可用性降低。防病毒解決方案關注因感染病毒、間諜軟件或廣告軟件而造成的威脅。“病毒”一詞通常用于描述某類特定的惡意代碼。經過正確分析和規劃的防病毒解決方案可防范廣泛的惡意或未經授權的代碼。
第二:病毒是通過哪些方式或者載體來給我們帶來威脅
病毒的載體是用于攻擊目標的途徑。了解惡意代碼、間諜軟件和廣告軟件所利用的威脅的載體,有助于組織設計防病毒解決方案來防止被未經授權的代碼感染,并阻止其擴散。常見的威脅的載體有網絡(包括外部網絡和內部網絡)、移動客戶端(包括連接到網絡的來賓客戶端和員工計算機等)、應用程序(包括電子郵件、HTTP和應用程序等)和可移動媒體(包括u盤、可移動驅動器和閃存卡等)。第三:如何有效地防止病毒侵入
防病毒軟件:用于清除、隔離并防止惡意代碼擴散。
安全機制:防火墻解決方案不足以為服務器、客戶端和網絡提供足夠的保護,以防范病毒威脅、間諜軟件和廣告軟件。病毒不斷發展變化,惡意代碼被設計為通過新的途徑,利用網絡、操作系統和應用程序中的缺陷。及時地添加補丁,更新軟件,對網絡的安全性好很大的幫助。
四.防木馬的方法和設計
一:建立受限的賬戶
用“net user”命令添加的新帳戶,其默認權限為“USERS組”,所以只能運行許可的程序,而不能隨意添加刪除程序和修改系統設置,這樣便可避免大部分的木馬程序和惡意網頁的破壞。
二:惡意網頁是系統感染木馬病毒及流氓插件的最主要途徑,因此很有必要對IE作一些保護設置。安裝360安全瀏覽器可以有效的做到這一點。
三:
1.禁止程序啟動很多木馬病毒都是通過注冊表加載啟動的,因此可通過權限設置,禁止病毒和木馬對注冊表的啟動項進行修改。
2.禁止服務啟動
一些高級的木馬病毒會通過系統服務進行加載,對此可禁止木馬病毒啟動服務的權限。可依次展開“HKEY_LOCAL_ MACHINESYSTEMCurrentControlSet Services”分支,將當前帳戶的“讀取”權限設置為“允許”,同時取消其“完全控制”權限
五.防黑客攻擊的方法和設計
1.隱藏IP地址
黑客經常利用一些網絡探測技術來查看我們的主機信息,主要目的就是得到網絡中主機的IP地址。IP地址在網絡安全上是一個很重要的概念,如果攻擊者知道了你 的IP地址,等于為他的攻擊準備好了目標,他可以向這個IP發動各種進攻,如DoS(拒絕服務)攻擊、Floop溢出攻擊等。隱藏IP地址的主要方法是使 用代理服務器。
與直接連接到Internet相比,使用代理服務器能保護上網用戶的IP地址,從而保障上網安全。代理服務器的原理是在客 戶機(用戶上網的計算機)和遠程服務器(如用戶想訪問遠端WWW服務器)之間架設一個“中轉站”,當客戶機向遠程服務器提出服務要求后,代理服務器首先截 取用戶的請求,然后代理服務器將服務請求轉交遠程服務器,從而實現客戶機和遠程服務器之間的聯系。很顯然,使用代理服務器后,其它用戶只能探測到代理服務 器的IP地址而不是用戶的IP地址,這就實現了隱藏用戶IP地址的目的,保障了用戶上網安全。提供免費代理服務器的網站有很多,你也可以自己用代理獵手等工具來查找。
2.關閉不必要的端口
黑客在入侵時常常會掃描你的計算機端口,如果安裝了端口監視程序(比如Netwatch),該監視程序則會有警告提示。如果遇到這種入侵,可用工具軟件關閉用不到的端口,比如,用“Norton Internet Security”關閉用來提供網頁服務的80和443端口,其他一些不常用的端口也可關閉。
3.更換管理員帳戶
Administrator帳戶擁有最高的系統權限,一旦該帳戶被人利用,后果不堪設想。黑客入侵的常用手段之一就是試圖獲得Administrator帳戶的密碼,所以我們要重新配置Administrator賬號。
首先是為Administrator帳戶設置一個強大復雜的密碼,然后我們重命名Administrator帳戶,再創建一個沒有管理員權限的 Administrator帳戶欺騙入侵者。這樣一來,入侵者就很難搞清哪個帳戶真正擁有管理員權限,也就在一定程度上減少了危險性。
六.局域網防arp病毒攻擊的方法和設計
1.安裝arp防火墻或者開啟局域網ARP防護,比如360安全衛士等arp病毒專殺工具,并且實時下載安裝系統漏洞補丁,關閉不必要的服務等來減少病毒的攻擊。
2.使用多層交換機或路由器:接入層采用基于IP地址交換進行路由的第三層交換機。由于第三層交換技術用的是IP路由交換協議,以往的鏈路層的MAC地址和ARP協議失效,因而ARP欺騙攻擊在這種交換環境下起不了作用。
七.本設計的特色
實現本設計既簡單又實用,而且操作起來十分方便,十分符合校內小型局域網的網絡安全設計,完全可以符合一般學生的需要
八.心得體會
通過本次設計 我認真查閱資料 學到了很多知識 對病毒、木馬、黑客、以及黑客攻擊都有了比較深入的了解,也提高了我對這些方面的興趣,最為重要地是我知道了怎么去建立和保護一個安全的網絡。
點擊咨詢 