《CISCO局域网设计毕业设计》由会员分享,可在线阅读,更多相关《CISCO局域网设计毕业设计(41页珍藏版)》请在金锄头文库上搜索。
1、论文题目基于cisco设备的校园网设计和安全实现姓名赵自强学院湖南铁路科技职业技术学院专业计算机网络技术专业指导教师吴廷焰 助教备注年月日基于cisco设备的校园网设计和安全实现作者姓名: 赵自强指导教师: 吴廷焰 副教授单位名称: 信息技术系专业名称: 计算机网络技术专业湖南铁路科技职业技术学院2012年月湖南铁路科技职业技术学院毕业设计(论文)任务书课 题:_编 号:_专 业:_班 级:_学生姓名:_指导单位:_指导教师:_设计(论文)任务与要求:设计任务: 设计要求:设计(论文)依据的原始资料: 设计(论文)文件的组成及要求:组成: 要求: 参考文献任务下达时间:2012年12月1号毕业
2、设计开始与完成任务时间: 2012年12月1号至2013年5月20号 系部专业教学指导委员会: 系部主任审批意见: 签字 年 月 日基于cisco设备的校园网设计和安全实现摘 要校园网是以网络技术为基础,实现学校整体信息化的集成应用系统。它以网络设备的互联、安全运行为基础,以应用软件和教育资源为核心,以建构现代教育技术及管理模式为目的,为学校信息化建设提供了全方位的服务。随着互联网的普及和国内各高校网络建设的不断发展,大多数高校都建立了自己的校园网,它己经成为高校信息化的重要部分,网络安全已成为不容忽视的问题,如何在开放网络环境中保证数据和系统的安全性已经成为众多业内人士关心的问题,并越来越迫
3、切和重要,作为一个面向大众的开放系统,计算机网络面临着来自各方面的威胁和攻击。因此,网络安全系统的构建是一个非常重要的问题,它涉及到从系统硬件到软件,从单机到网络的各个方面。本论文在论述校园局域网的规划和建设的过程中,提出了网络设计的基本目标,在研究和分析了当今各种局域网技术的基础上,针对校园网建设需求,提出了校园网建网的原则和内容、选择了校园网系统的技术类型、完成了拓扑结构的选择,绘出了网络拓扑图,完成了网络设备的选择,同时考虑到网络安全在校园网建设中的重要性,完成了网络安全设计。结合校园网的实际,根据现有设备条件,运用VLAN技术、NAT技术、帧中继交换技术、路由器访问控制列表实现了对校园
4、网的基本安全防护。关键词:三层交换,网络安全,虚拟局域网,虚拟专用网,网络地址转换,三层路由,帧中继交换设备。目录第一章前言11.1课题研究的背景,目的及意义11.2主要研究内容2第二章系统总体方案设计32.1应用的主用技术及说明32.2相关设备的选择13第三章校园网设计及安全方案实现153.1校园网组网设计153.2校园网络安全设计的配置实现19第四章总结304.1本人所完成的工作304.2不足之处及进一步研究的方向30第五章致谢和参考文献32第一章前言1.1课题研究的背景,目的及意义计算机网络技术的飞速发展给人类社会带来史无前例的冲击,因特网的重要性和巨大优势有目共睹,在大大扩展了信息资源
5、共享尺度的同时也大大缩小了信息服务的时间尺度。随着网络规模的变化,以太网技术从一个办公室网络走向一个办公楼的局域网乃至整个园区网,而在1998年之前,园区网技术往往会采用最早的FDDI技术和ATM技术。这种应用变化对三层交换机提出了更高的性能要求,对数据转发的控制能力和广域网之间的路由互联能力的要求也更高,同时可靠性、可用性要求也大大增强,二、三层交换功能也发展到由一个单独芯片完成,交换容量也从最初的5Gbps发展到百千Gaps的水平,因此出现了VLAN、NAT等关键技术。在信息流动更加自由、可用资源更为丰富的同时,校园网必须为网络可能面临的全部威胁作好防御。虽然这些威胁形式多样,但都将导致一
6、定程度上的泄密以及对信息或资源的恶意破坏,从而造成巨大的经济损失甚至学校声誉和经济利益的损坏。知道网络的哪个部分更容易受到入侵,以及常见的攻击者与他们所使用的攻击方式和其他威胁的来源都是很重要的。过去人们倾向于信任内部的用户而不信任来自因特网的用户。对内部和那些被授权从企业外部使用内部网资源的人员的信任固然重要,但是信任也必须依据现实情况。资料显示,至少60或更多的攻击是由内部的人员所为,不信任内部用户和采取更加严格的安全措施已经成为一种越来越普遍的倾向。我们需要对网络基础设施设备和关键资源的使用进行限制,只有确实需要访问网络的人才能访问,这样一来就可以阻止危害计算机网络安全的许多威胁。近年来
7、,网络安全产品从简单的防火墙到目前的具备报警、预警、分析、审计、监测等全面功能的网络安全系统,在技术角度已经实现了巨大进步,也为企业在构建网络安全体系方面提供了更加多样化的选择,但是,网络面临的威胁却并未随着技术的进步而有所抑制,反而使矛盾更加突出,从层出不穷的网络犯罪到日益猖獗的黑客攻击,似乎网络世界正面临着前所未有的挑战,下面简单分析网络安全环境的现状。1在网络和应用系统保护方面采取了安全措施,网络应用系统分别部署防火墙、访问控制设备等安全产品,采取了备份、负载均衡、硬件冗余等安全措施;2实现了区域性的集中防病毒,实现了病毒库的升级和防病毒客户端的监控和管理;3安全工作由各网络应用系统具体
8、的维护人员兼职负责,安全工作分散到各个维护人员;4应用系统账号管理、防病毒等方面具有一定流程,在网络安全管理方面的流程相对比较薄弱,需要进一步进行修订;5员工安全意识有待加强,日常办公中存在一定非安全操作情况,终端使用和接入情况复杂。本设计是在对校园的网络的结构以及安全需求进行严格的分析之后提出来的网络安全设计方案,倾向于更多地保证网络基础设施的安全,通过对学校可能受到的威胁来源进行分析,并为之做出一一对应的防护措施,从而保障校园网络不受到来自内部网用户、外部网用户威胁。1.2主要研究内容本课题研究的主要内容是路由器与交换机的应用技术,主要方向是通过对路由器和交换机的配置使一个网络中不同的VL
9、AN间可以互相访问,VLAN中的用户可以访问外网Internet。设计中,采用了VLAN(虚拟局域网)、VPN(虚拟专用网)和帧中继技术,配合访问控制列表、以及NAT(网络地址转换)解决了内部网、服务器与外网之间的通讯中存在的安全问题,并且为远程用户提供了通过安全VPN接入校园内部网的服务。第2章 系统总体方案设计2.1应用的主用技术及说明三层交换VLAN技术交换机的每一个端口均为自己独立的冲突域,但问时对于所有处于一个IP 网段的网络设备来说,却处在一个广播域中,当工作站的数量较多、信息流很大的时候,就容易形成广播风暴,甚者造成网络的瘫痪。在采用交换技术的网络模式中,对于网络结构的划分采用的
10、仅仅是物理网段的划分。这样的网络结构从效率和安全性的角度来考虑都是有所欠缺的,而且在很大程度上限制了网络的灵活性,如果需要将一个广播域分开,那么就需要甚另外购买交换机并且要人工重新布线。但是,进行虚拟网络(VLAN)设置后就不需要另外购买交换机了。一个好的校园网设计应该是一个分层的设计。为了简化交换网络的设计、提高网络的可扩展性,在企业网内部数据交换模块的部署是分层进行的。数据交换设备可以划分为三个层次:访问层、分布房、核心层。传统意义上的数据交换发生在OSI模型的第二层.随着科技的进一步发展,现代交换技术还实现了第二层交换和多层交换。高层交换技术的引入不但提高网络数据交换的效率,更大大增加了
11、校园网数据交换服务质量,满足了不同类型网络应用程序的需要。在现代的校园网中,大部引入了虚拟局域网(VLAN)的概念。VLAN将广播域限制在单个VLAN内部,减少了单个VLAN间VLAN主机的广播通信对其它VLAN的影响。在VLAN间需要通信的时候,可以利用VLAN间路由技术来实现.随着校园规模的不断扩大,一个校园网的工作站就不断增加。这时网络管理人员需要的交换机数最就增加,这时我们就可以使用VLAN中继协议(VLAN Trunking Protocol. VTP) 简化管理。通过中继协议,只需在单独台交换机上定义所有VLAN。然后通过VTP协议将VLAN定义到本管理域中的所有交换机上。这样就可
12、以大大的减轻网络管理人员的工作负担和工作强度。在一个规模较大的校园中,其下属有多个部门,在各部门的孤立网络进行互连时,出于对不同职能部门的管理、安全和整体网络的稳定运行,我们进行了VLAN 的划分。VLAN对于网络用户来说是完全透明的,用户感觉不到使用中与交换式网络有任何的差别,但对于网络管理人员则有很大的不同,因为这主要取决于VLAN的几点优势:对网络中的广播风暴的控制,提高网络的整体安全性,通过路由访问列表、MAC地址分配等VLAN划分原则,可以控制用户的访问权限和逻辑网段的大小。网络管理的简单、直观。2.1.2NAT技术在此网络设计方案中还采用了NAT技术。NAT(Network Add
13、ressTranslation)顾名思义就是网络IP地址的转换。NAT的出现是为了解决IP日益短缺的问题,将多个内部地址映射为少数几个甚至一个公网地址。这样,就可以让我们内部网中的计算机通过伪IP访问INTERNET的资源。网络地址转换(NAT)是一个Internet 工程任务组(InternetEngineering Task Force. IETF) 标准,用于允许专用网络上的多台PC(使用专用地址段,例如1O.0.x.x ,192.1 68.x.x.,1 72.x.x.x) 共享单个、全局路由的IPv4地址。IPv4地址日益不足是经常部署NAT的一个主要原因。Windows XP 中的“Internet连接共享”及许多Internet网关设备都使用NAT,尤其是在通过DSL或电缆调制解调器连接宽带网的情况下。NAT与防火墙或代现服务器不同,但它对网络安全特别有利. 在内部网络通过安金网卡访问外部网络时,将产生一个映射记录.系统将外出的源地址和源端口映射为一个伪装的地址和端口,让这个伪装的地址和端口通过非安全网卡与外部网络连接,这样对外就隐藏了真实
