毕业设计（论文）校园网的安全设计和配置—华为网络设配置

《毕业设计（论文）校园网的安全设计和配置—华为网络设配置》由会员分享，可在线阅读，更多相关《毕业设计（论文）校园网的安全设计和配置—华为网络设配置（20页珍藏版）》请在装配图网上搜索。

1、常州工程职业技术学院 毕业设计（论文）设计（论文）题目：校园网的安全设计和配置华为网络设配置 班 级： 计算机0921 学 生 学 号： 学 生 姓 名： 同 组 成 员: 指 导 教 师： 摘要以Internet为代表的信息化浪潮席卷全球，信息网络技术的应用日益普及和深入，伴随着网络技术的高速发展，各种各样的安全问题也相继出现。例如网络通讯安全问题，其主要表现在信息泄露、信息篡改、非法使用网络资源、非法信息渗透、假冒等方面。在Internet上网络系统既要开放，又要安全，以至于从技术方面讲安全问题是整个互联网技术里较为困难的问题。从Internet的角度看，对网络的威胁主要来自于网络硬件和软

2、件两方面的不安全因素。一方面，电磁泄露、搭线窃听、非法人侵、线路干扰、意外原因、病毒感染、信息截获等。另一方面，操作系统本身的问题，各种应用服务存在安全问题。特别是近年来学校网络安全问题日益严重，已经严重威胁到广大师生的使用安全，因此，我们要加强校园网络的安全管理。进入信息时代后，各个高校，要提高教育教学水平就必须借助信息技术来提高学校的生产效率和管理水平。网络技术的发展使得网络建设从基础架构到维护和管理都变得十分简单和智能，丰富的网络产品线和不断降低的价格，可以让高校根据自身的情况，按照实际的经济条件来构建自己的网络，用于网络建设的投资对于高校而言不再成为一个负担。关键词：校园网络；网络安全

3、；安全问题；设计。Summary:Sweeping the globe, information network technology application increasing popularity and deepen, along with the rapid development of network technology, all kinds of safety problems arise. Such as network communications security, the main manifestation in the information disclosure,

4、 information tamper with the illegal use of network resources, and illegal information penetration, fake, etc. In the Internet network system not only to open on, and want to be safe, that in terms of the safety problems from technology is the entire Internet technology relatively difficult problems

5、. From the view of the Internet, the network threat comes mainly from two aspects of hardware and software network safety factor. On one hand, electromagnetic disclosure, DaXian eavesdropping, unincorporated harassment, line interference, accident reason, virus infection, such as information interce

6、pted ?Keyword: Campus network; Network security; Security problem; design.摘要2第一章、校园网络安全概述51.1 校园网网络结构简介51.2 网络安全概述51.3 校园网络安全威胁5第二章、校园网建设需求分析72.1 用户需求分析72.2 校园网络设计目标72.3 组网技术选择8第三章、校园网络安全设计93.1 网络安全设计93.2 强化计算机管理103.3 建立完善的备份及恢复机制10第四章、网络设备配置114.1 网络设备概述114.2 网络设备连接124.3 网络设备配置13总结17谢辞18参考文献19第一章、校园

7、网络安全概述1.1 校园网网络结构简介校园网总体上分为校园内网和校园外网。校园内网主要包括教学局域网、图书馆局域网、办公自动化局域网等校园外网主要指学校提供对外服务的服务器群、与CERNET的接入以及远程移动办公用户的接入等。校园外网的服务器群构成了校园网的服务系统一般包括DNS、WEB、FFP、PROXY以及E-MAIL服务等。外部网实现了校园网与CERNET及INTERNET的基础接入，使学校教职工和学生能使用电子邮件和浏览器等应用方式在教学、科研和管理工作中利用国内和国际网进行信息交流和共享。1.2 网络安全概述网络安全应具有以下四个方面的特征：保密性：信息不泄露给非法授权用户、实体或过

8、程，或供其利用的特征。完整性：数据未经授权不能进行改变的特性。即信息在存储或传输过程中保持不被修改、不被破坏和丢失的特性。可用性：可被授权实体访问并按需求使用的特性。即当需要时能否存取所需的信息。例如网络环境下拒绝服务、破坏网络和有关系统的正常运行等都属于对可用性的攻击。可控性：对信息的传播及内容具有控制能力。1.3 校园网络安全威胁1.计算机病毒。有些计算机网络破坏性很大，如“CIHH”、“熊猫烧香病毒”，可谓是人人谈之而色变，它给网络带来了很严重的损失。2.内部外部泄密。内网中根据IP地址很容易找到服务器网段，这样就很容易运用ARP欺骗手段攻击。3逻辑炸弹。逻辑炸弹在满足特定的逻辑条件时按

9、某种不同方式运行，对目标系统实施破坏的计算机程序。4.黑客攻击。这类攻击分为两种：一种是网络攻击。即以各种方式有选择的破坏对方信息的有效性和完整性；另一种是网络侦查，它是在不影响网络正常工作的情况下，进行截取。窃取、破译以获取得对方重要的机密信息。5系统漏洞的威胁。网络软件不可能是百分之百的无缺陷和无漏洞的，这些漏洞和缺陷恰恰是黑客进行的首选目标。第二章、校园网建设需求分析2.1用户需求分析设计一个网络，首先要为用户分析目前面临的主要问题，确定用户对网络的正真需求，并在结合未来可能的发展要去的基础上选择、设计合适的网络结构和网络技术，提供用户满意的高质量服务。网络在日常教学办公坏境中起着至关重

10、要的作用，校园网的运作模式带来大量动态的WWW应用数据传输，会有相当一部分应用的主服务器有高速接入网络的需求（目前为100/1000Mbps，今后可能会更高）。这就要去网络有足够的主干带宽和扩展能力，同时，一些新的应用类型，如网络教学、视频直播/广播，也对网络提出了支持多点广播和宽带高速接入的要求。除上述考虑外，还要注意到由于逻辑上业务网和管理网必须分开，所以建成后校园网应能提供多个王端的划分和隔离，并能做到灵活改变配置，以适应教学办公坏境的调整和变化。中心机房到汇聚层节点采用4兆光纤（多模）连接，汇聚层到接入层采用百兆的五类线（或者超五类）连接。通常考虑，建议数据信息点的接入用交换10/10

11、0Mbps自适应以太网端口接入，以便能较经济的提供较高的带宽。整个方案设计的目的是建设一个集数据传输和备份、多媒体应用、语音传输、OA应用和Internet访问于一体的高可靠、高性能的宽带多媒体校园网。2.2 校园网络设计目标建成后的网络能充分利用Internet、国家信息网、教育网、全国高校互联网上的各种信息，实现资源共享，能够为学校学习的学生提供丰富的多媒体教学手段，实现高质高数的数学目标，由此，我们认为，校园网络是一个典型的面向未来的网络化、信息化、自动化的集娱乐、教学、办公于一体的，具备多媒体综合业务发展需求的校园网络。系统总体设计将本着总体规划、分布实施的原则，充分体现系统的技术先进

12、性、高度的安全可靠性，同时具有良好的开放性、可扩展性。本着为学校着相，合理使用建设资金，是系统经济可行。学校网络应当事先如下功能：访问互联网络、访问学校虚拟网络、校园网络建立、远程教育、VOD点播、网络安全管理、电子邮件和电子公告、加算计辅助教学、教师备课功能、对外交流、校园管理平台、信息资源库。2.3 组网技术选择目前，常用的主干网的组网技术有快速以太网（100Mbps）、FDDI、千兆以太网（1000Mbps）和ATM（155Mbps/622Mbps）。快速以太网是一种非常成熟的组网技术，它的造价很低，性能价格比很高；FDDI也是一种成熟的组网技术，但技术复杂、造价高，难以升级；ATM技术

13、成熟，是多媒体应用系统的理想网络平台，但它的网络带宽的实际利用率很低；目前千兆以太网已成为一种成熟的组网技术，造价低于ATM网，它的有效带宽比622Mbps的ATM还高。因此，个人推荐采用千兆以太网为骨干，快速以太网交换到桌面组建计算机播控网络。第三章、校园网络安全设计3.1 网络安全设计3.1.1 物理安全设计装运行主要设备，以防止磁鼓、磁带与高辐射设备等的信号外泄。为提高屏蔽室的效能，在屏为保证校园网信息网络系统的物理安全，除在网络规划和场地、环境等要求之外，还要防止系统信息在空间的扩散。计算机系统通过电磁辐射使信息被截获而失密的案例已经很多，在理论和技术支持下的验证工作也证实这种截取距离

14、在几百甚至可达千米的复原显示技术给计算机系统信息的保密工作带来了极大的危害。为了防止系统中的信息在空间上的扩散，通常是在物理上采取一定的防护措施，来减少或干扰扩散出去的空间信号。正常的防范措施主要在三个方面：对主机房及重要信息存储、收发部门进行屏蔽处理，即建设一个具有高效屏蔽效能的屏蔽室，用它来安蔽室与外界的各项联系、连接中均要采取相应的隔离措施和设计，如信号线、电话线、空调、消防控制线，以及通风、波导，门的关起等。对本地网 、局域网传输线路传导辐射的抑制，由于电缆传输辐射信息的不可避免性，现均采用光缆传输的方式，大多数均在Modem出来的设备用光电转换接口，用光缆接出屏蔽室外进行传输。3.1

15、.2 网络共享资源和数据信息安全设计针对这个问题，我们决定使用VLAN技术和计算机网络物理隔离实现。VLAN（Virtual Local Area Network）即虚拟局域网。是一种通过将局域网内的设备逻辑地划分而不是物理地划分成一个个网段从而实现虚拟工作的新技术。IEEE于1999年颁布了用以标准化VLAN实现方案的802.1Q协议标准草案。VLAN技术允许网络管理者将一个物理的LAN逻辑地划分成不同的广播域（或称虚拟LAN，即VLAN），每一个VLAN都包含一组有着相同需求的计算机工作站，与物理上形成的LAN有着相同的属性。但由于它是逻辑地而不是物理地划分，所以同一个VLAN内的各个工作

16、站无须放置在同一个物理空间里，即这些工作站不一定属于同一个物理LAN网段。一个VLAN内部的广播和单播流量都不会转发到其它VLAN中，即使是两台计算机有着同样的网段，但是它们却没有相同的VLAN号，它们各自的广播流也不会相互转发，从而有助于控制流量、减少设备投资、简化网络管理、提高网络的安全性。VLAN是为解决以太网的广播问题和安全性而提出的，它在以太网帧的基础上增加了VLAN头，用VLANID把用户划分为更小的工作组，限制不同工作组间的用户二层互访，每个工作组就是一个虚拟局域网。虚拟局域网的好处是可以限制广播范围，并能够形成虚拟工作组，动态管理网络。从目前来看，根据端口来划分VLAN的方式是

17、最常用的一种方式。许多VLAN厂商都利用交换机的端口来划分VLAN成员，被设定的端口都在同一个广播域中。例如，一个交换机的1，2，3，4，5端口被定义为虚拟网AAA，同一交换机的6，7，8端口组成虚拟网BBB。这样做允许各端口之间的通讯，并允许共享型网络的升级。但是，这种划分模式将虚拟网络限制在了一台交换机上。第二代端口VLAN技术允许跨越多个交换机的多个不同端口划分VLAN，不同交换机上的若干个端口可以组成同一个虚拟网。3.2强化计算机管理建立健全安全管理制度，防止非法用户进入计算机控制室和各种非法行为的发生；注重在保护计算机系统、网络服务器等硬件实体和通信线路免受自然灾害、人为破坏和搭线攻

18、击；验证用户的身份和使用权限，防止用户越权操作，确保计算机网络系统实体安全。3.3建立完善的备份及恢复机制为了防止存储设备的异常损坏，可采用由热插拔SCSI硬盘所组成的磁盘容错阵列，以RAID5的方式进行系统的实时热备份。同时，建立强大的数据库触发器和恢复重要数据的操作以及更新任务，确保在任何情况下使重要数据均能最大限度地得到恢复。第四章、网络设备配置4.1 网络设备概述网络设备主要有路由器、交换机等。路由器是用来连接不同的网络和子网的。所以他出现在需要连接外部网络，或者在局域网网中有多个子网，需要互联互通时的网络坏境中，在单纯的局域网。单一子网的坏境中是不需要路由器的。交换机在局域网重的作用

19、就是集中连接各种网络设备，这其中包括服务器、工作站计算机、路由器、网络存储设备等，是局域网中应用最多，也是最常见的一种网络设备。本文根据学校经济状况，网络设备清单：中心机房高端路由器NE05产品描述 数量CHASSIS-NEB68路由器总装机柜1RT-NE16E CHASSIS/3ACNE16E总装机箱(220VAC)1RT-NE-ALUA系统监控管理单元1RT-NE-HAU系统CPCI热插拔控制桥板1RT-NE-RSUB路由交换单元前处理板-256M内存（少于20 万条路由）1RT-NE-RSEU路由交换扩展单元1RT-NE-VIUB通用接口单元前处理板-256M内存1RT-NE-VIEU通

20、用接口扩展单元1RT-NE-8EPA8端口E1/CE1 接口前处理板卡1RT-NE-8EKA8端口E1/CE1 75欧姆电接口后转接卡(DB68母座)1SWP-VRPVRP FOR NE IP ENTERPRISENE08E/16E1中心机房路由器小计：274455中心机房：Quidway S3526ELS-3526ES3526E 以太网交换机主机(220VAC)，2410/100M TX,2 Slot1中心机房交换机小计：21870汇聚交换机：Quidway S3526FMLS-3526FMS3526FM，12100M FM, 前面板26 FE Slot，后面板 2GE Slot1LS-FM

21、6U6端口LANSWITCH百兆多模光接口模块（2 Km，SC）1汇聚交换机小计：46134楼层交换机：Quidway S2026LS-2026S2026以太网交换机主机，2410/100M TX，2 Slot10LS-3026-FMIU1端口百兆多模光接口模块（2 Km，SC）10楼层交换机小计：75150Quidview网管1.基本系统Quidview-RTBMZSMPCSNMPc Tools-网管平台12.设备网管软件Qudiview-RTBMZWANA软件费用Quidview广域网管理系统软件1N2000-NE16-L10每管理一台NE08/NE16高端路由器1Quidview-RTB

22、MZLANA软件费用Quidview局域网管理系统软件1N2000-S3000-L1每管理一台S3000系列以太网交换机2 N2000-S2000-L1每管理一台S2000系列以太网交换机10 网管软件小计：42300网络设备总价：4599094.2 网络设备连接在设计网络系统设备的连接时，需要考虑的方面比较多，如网络设备的主要作用、所处位置、所支持的连接方式、连接规则，以及各种传输介质的长度限制等。在交换机、路由器、防火墙，主要网络设备中，它们在网络中必须是相互连接在一起组成一个统一的网络，但它们的连接又是有相应的规则的，不是可以随便乱连。它们总的连接方法是：交换机 防火墙路由器,内部网络核

23、心交换机与网络防火墙的内部网络专用端口连接，防火墙的外部网络专用端口与边界路由器的局域网(LAN)端口连接，最终通过路由器的广域网端口与其他网络(包括外部专用网和广域网，如因特网等)连接。在这样一种网络中，通常还有一个专门用于连接内部网络中公共部分的以太网端口，用于为像Web服务器、 E-mail服务器、FTP服务器等这种为公共用户提供服务的服务器提供特殊安全防护策略。4.3 网络设备配置本文校园网网络采用星型拓扑结构（如图4-1）。它是目前广泛使用，最为普遍的局域网拓扑结构。节点具有高度的独立性，网络设备坏了哪一条整个网络都会继续正常运行，并且适合在中央位置放置网络诊断设备。并根据校园网网络

24、拓扑图对相关设备进行配置。 图4-1在一个大、中型网络里，VLAN的划分是必不可少的步骤之一。本文在本校园网设计实例中，整个校园网中VLAN及IP编址方案（如表1所示）：VLAN号IP网段默认网关说明VLAN 1192.168.0.0/24192.168.0.254管理VLANVLAN 10192.168.1.0/24192.168.1.254教务处VLANVLAN 20192.168.2.0/24192.168.2.254学生宿舍VLANVLAN 30192.168.3.0/24192.168.3.254财务处VLANVLAN 40192.168.4.0/24192.168.4.254教工宿

25、舍VLANVLAN 50192.168.5.0/24192.168.5.254建筑系VLANVLAN 60192.168.6.0/24192.168.6.254管理系VLANVLAN 70192.168.7.0/24192.168.7.254计算机系VLANVLAN 100192.168.100.0/24192.168.100.254服务器群VLAN表1 4.3.1.交换机的配置1.配置访问层交换机zzz的基本参数（如图4-2所示）： 图4-2a.设置交换机名称 system-view sysname zzzb.设置交换机的加密使用口令 super passwrod 123456c.设置登录虚

26、拟终端线时的口令 user-interface vty 0 15 authentication-mode password set authentication-mode password simple czied.访问层交换机zzz的管理IP、默认网关 vlan 1 interface vlan 1 ip address 192.168.0.5 255.255.255.0 undo shutdown ip default-gateway 192.168.0.254 savee.配置访问层交换机zzz的访问端口和主干道端口 vlan 10 port E0/1-10 将端口E0/1-10加入到v

27、la10 vlan 20 port E0/11-20f.配置访问层交换机zzz1（如图4-3所示）：图4-3对访问层交换机zzz1(以及分布层、核心层交换机)的配置步骤、命令和对访问层交换机zzz的配置类似。本文不再详细分析。2.配置分布层交换机（如图4-4所示）：图4-4分布层除了负责将访问层交换机进行汇集外，还为整个交换网络提供VLAN间的路由选择功能。a配置分布层交换机zzz2的3层交换功能 vlan 10 interface vlan 10 ip address 192.168.1.254 255.255.255.0 undo shutdown vlan 20 interface vl

28、an 20 ip address 192.168.2.254 255.255.255.0 undo shutdown vlan 100 interface vlan 100 ip address 192.168.100.254 255.255.255.0 undo shutdown3.配置核心层交换机（如图4-5所示）： 图4-5核心层交换机zzz4通过端口GigabitEthernet 0/2同广域网接入模块（Internet路由器）相连。因此，需要启用核心层交换机的路由功能。同时，还需要定义通往Internet的路由。这里使用了一条缺省路由命令，配置命令如下： ip route 0.0.0

29、.0 0.0.0.0 192.168.0.2544.3.2 路由器的配置1.配置接入路由器InternetRouter的基本参数（如图4-6所示）：图4-6对接入路由器InternetRouter的基本参数的配置步骤与对访问层交换机zzz的基本参数的配置类似。本文只给出实际的配置步骤（不做具体解释），配置如下： system-view sysname InternetRouter super passwrod 123456 user-interface vty 0 4 authentication-mode password set authentication-mode password s

30、imple czie2.配置接入路由器InternetRouter的各接口参数 interface serial 0/1ip ddress 172.19.72.2 255.255.255.0 undo shutdown3.配置接入路由器InternetRouter的路由功能 ip route-static 0.0.0.0 0.0.0.0 rip rip work rip input rip output network 1.0.0.0 network all总结没有安全保证的校园网络就像没有刹车的车子跑在高速公路上。互联网的飞速发展，对校园网络中师生的工作学习已经产生了深远的影响，网络在我们的

31、生活中已经无处不在。但在享受高科技带来的便捷同时，我们需要清醒的认识到，网络安全问题的日益严重越来越成为网络应用的巨大障碍，校园网络安全已经到了必须要统一管理和彻底解决的地步，只有很好的解决了网络安全问题，校园网络的应用才能健康、高速的发展。本文分析了校园网络面临的主要危害，并针对危害提出了相应的解决措施。文中分析认为，校园网络安全重点在防病毒和防攻击,人为破坏。为此，文中针对病毒的特点和网络攻击的特征，提出了校园网络的相应措施。采用上述措施，基本能够解决校园网络面临威胁风险，从而构建一个安全、高效的网络。谢辞在这次毕业设计中,我从指导老师身上学到很多知识.冒老师认真负责的工作态度,严谨的治学

32、精神和深厚的专业水平都使我受益匪浅.无论在学习中还是在实践中,都给予了我很大的帮助,对于我以后的工作和学习都是一种巨大的帮助和财富,感谢老师细心而又耐心的辅导.在论文设计过程中,遇到难题老师会耐心的讲解,在这几个月中,我知道了凡事都要坚持,只要坚持总会看到成果,相信这点在以后的生活和工作中会指引我.再次感谢冒老师对我的指导和帮助！参考文献1徐亚凤 解析校园网络的安全及管理 牡丹江大学学报. 2008，17(8)：1181252郑春 软硬件结合的校园网安全策略 软件导刊. 2008，7(8)：1811833江铁 高校校园网安全策略设计 科技信息. 2008，20：4224234容强 网络入侵诱骗技术在高校网络安全中的研究与实现 J 计算机安全，2009（06）5袁德明：计算机网络安全 电子工业出版社2007.66 刘远生：计算机网络安全 清华大学出版社2006.87王建平 李晓敏：网络设备配置与管理清华大学出版社20