辽 宁 工 业 大 学
题目: 学生寝室楼网络规划
院(系): 软件学院
专业班级: 计算机
学 号: 学生姓名: 指导教师:
教师职称:
起止时间:
实训任务及评语
目 录
第1章 实训目的与要求 ................................................................................................................ 1
1.1 实训目的 ................................................................................................................... 1
1.2 实训环境 ................................................................................................................... 1
1.3 实训的预备知识 ....................................................................................................... 1
1.4 实训要求 ................................................................................................................... 1
第2章 实训内容 ................................................................................................................ 2
2.1网络总体设计 ............................................................................................................ 2
2.2网络详细设计 ............................................................................................................ 6
2.3网络管理软件的应用 ................................................................................................ 16
第3章 实训日记 ................................................................................................................ 18
第4章 实训总结 ................................................................................................................ 19 参考资料 ........................................................................................................................... 20
第1章 实训目的与要求
1.1 实训目的
本实训要求学生能够对网络进行子网划分,掌握WEB、FTP服务器的组建方法,了解WEB、FTP服务器的用途及测试方法。
1.2 实训环境
网络环境下,多媒体计算机一台(每人)。
1.3 实训的预备知识
该实训安排在计算机网络基础课程结束后进行,学生已经掌握了一定的网络基础知识。
1.4 实训要求
实训过程中,要严格遵守实训的时间安排,听从指导教师的指导。正确地完成上述内容,记录实习日记,规范完整地撰写出实训报告。
第2章 实训内容
2.1 网络总体设计
1、背景描述
学校为宿舍楼网络进行规划,使学生能够更方便的共享因特网资源,能够通过因特网进行娱乐,学习,从而提高学生的知识面与见识培养出新一代的高素质人才。由于学生上网的时间会比较集中,所以宿舍楼网络必须保证有足够的带宽来满足学生的使用。在校学生,富有好奇心和好胜心的他们在网络环境中有意和无意地尝试各种的网络侵入和攻击,这很容易给校园网宿舍接入网带来安全方面的隐患,造成网络瘫痪、非法接入、信息泄漏等严重后果。为了提高校园网宿舍接入网的安全性,就需要提升接入网络设备的安全控制功能,满足校园网宿舍接入网对用户接入安全控制地需要。
校园网的接入层建设中,学生宿舍区网络接入最为典型,在整个校园网的接入网建 设中占有很大的比重。
宿舍接入网的特点是:
1) 上网时间集中,突发流量大校园网宿舍接入网面向的接入用户是在校学生和教工,上网时间主要集中在晚间和节假日,所以在此时段网络访问流量将会猛增到峰值,而且会在某一时段出现较大的突发流量。因此,在建设校园网宿舍接入网时需要采用高性能的接入和汇聚交换机,这样可以减少接入瓶颈,保证有足够的带宽来满足接入用户的需要。
2)网络布设分散,不易统一管理校园网宿舍接入网的布设一般比较分散,且网络设备也主要是安装在楼道中,所以这些接入网络设备不但要能提供多种网络连接方式来满足连接距离的需要,而且还需要接入网络设备可以在高温、高湿和高尘的环境下可靠的工作。另外,在投资有限的情况下校园网宿舍接入网也不容易实现一站式统一网络管理所以需要在组网时使用带有多种管理方式的网络设备,不但能满足当前网络管理的需要而且还为日后扩展管理提供其它管理途径
所以,构建营盘校区的宿舍网络需要同样需要合理的规划与正确的组建。
2、网络拓扑图
图2.1为寝室楼网络拓扑图 终端 终端 终端
3、网络拓扑说明
如图所示是一个寝室楼规划的拓扑图,此网络是通过校园网连接到Internet,网络终端分别通过中间的交换机,路由器来划分ip,子网掩码到客户端寝室楼中的每个寝室,合理配置网络资源,减少网络资源的浪费。并且实现每台电脑的使用互不影响。
要解释路由器的概念,首先要介绍什么是路由。所谓“路由”,是指把数据从一个地方传送到另一个地方的行为和动作,而路由器,正是执行这种行为动作的机器,它的英文名称为Router。
简单的讲,路由器主要有以下几种功能:
第一,网络互连,路由器支持各种局域网和广域网接口,主要用于互连局域网和广域网,实现不同网络互相通信;
第二,数据处理,提供包括分组过滤、分组转发、优先级、复用、加密、压缩和防火墙等功能;
第三,网络管理,路由器提供包括配置管理、性能管理、容错管理和流量控制等功能。 为了完成“路由”的工作,在路由器中保存着各种传输路径的相关数据--路由表,供路由选择时使用。路由表中保存着子网的标志信息、网上路由器的个数和下一个路由器的名字等内容。路由表可以是由系统管理员固定设置好的,也可以由系统动态修改,可以由路由器自动调整,也可以由主机控制。在路由器中涉及到两个有关地址的名字概念,那就是:静态路由表和动态路由表。由系统管理员事先设置好固定的路由表称之为静态路由表,一般是在系统安装时就根据网络的配置情况预先设定的,它不会随未来网络结构的改变而改变。动态路由表是路由器根据网络系统的运行情况而自动调整的路由表。路由器根据路由选择协议提供的功能,自动学习和记忆网络运行情况,在需要时自动计算数据传输的最佳路径。
路由器A是连接局域网内部与外部的重要关卡。因为寝室楼里的计算机主要是与外界网络进行数据的通讯的,所以选择的路由器性能一定要很强大,并且能够兼容千兆,能够兼容光纤网络最好。而路由器B的要求就没有这么高了。
其次,就是交换机的选择了。
交换机:工作组交换机采用可网管交换机,实现对每台接入计算机的控制,实现VLAN(虚拟网)、的划分,确保最大限度的网络访问安全。
交换机分为三层交换机和二层交换机,他们具有不同的功能,不同的原理:二层交换机以mac地址为依据,转发数据帧(frame)三层交换机以ip地址为依据,转发数据(packet),类似于路由器,但由于使用ASIC,速度一般更快。在核心骨干网中一定要用三层交换机,否则整个网络中有很多台机器,不仅毫无安全可言,也会因为无法分割广播域而无法隔离广播风暴。而三层交换机的性能非常高,既有三层路由的功能,又具有二层交换的网络速度。二层交换是基于MAC寻址,三层交换则是转发基于第三层地址的业务流;除了必要的路由决定过程外,大部分数据转发过程由二层交换处理,提高了数
据包转发的效率。三层交换机通过使用硬件交换机构实现了IP的路由功能,其优化的路由软件使得路由过程效率提高,解决了传统路由器软件路由的速度问题。因此可以说,三层交换机具有“路由器的功能、交换机的性能”。
作为局域网的主要连接设备,以太网交换机成为应用普及最快的网络设备之
一。随着交换技术的不断发展,以太网交换机的价格急剧下降,交换到桌面已是大势所趋。
不仅不同网络环境下交换机的作用各不相同,在同一网络环境下添加新的交换机和增加现有交换机的交换端口对网络的影响也不尽相同。充分了解和掌握网络的流量模式是能否发挥交换机作用的一个非常重要的因素。因为使用交换机的目的就是尽可能的减少和过滤网络中的数据流量,所以如果网络中的某台交换机由于安装位置设置不当,几乎需要转发接收到的所有数据包的话,交换机就无法发挥其优化网络性能的作用,反而降低了数据的传输速度,增加了网络延迟。除安装位置之外,如果在那些负载较小,信息量较低的网络中也盲目添加交换机的话,同样也可能起到负面影响。受数据包的处理时间、交换机的缓冲区大小以及需要重新生成新数据包等因素的影响,在这种情况下使用简单的HUB要比交换机更为理想。因此,我们不能一概认为交换机就比HUB有优势,尤其当用户的网络并不拥挤,尚有很大的可利用空间时,使用HUB更能够充分利用网络的现有资源。
传统交换机从网桥发展而来,属于OSI第二层即数据链路层设备。它根据MAC地址寻址,通过站表选择路由,站表的建立和维护由交换机自动进行。路由器属于OSI第三层即网络层设备,它根据IP地址进行寻址,通过路由表路由协议产生。交换机最大的好处是快速,由于交换机只须识别帧中MAC地址,直接根据MAC地址产生选择转发端口算法简单,便于ASIC实现,因此转发速度极高。但交换机的工作机制也带来一些问题。
1.回路:根据交换机地址学习和站表建立算法,交换机之间不允许存在回路。一旦存在回路,必须启动生成树算法,阻塞掉产生回路的端口。而路由器的路由协议没有这个问题,路由器之间可以有多条通路来平衡负载,提高可靠性。
2.负载集中:交换机之间只能有一条通路,使得信息集中在一条通信链路上,不能进行动态分配,以平衡负载。而路由器的路由协议算法可以避免这一点,OSPF路由协议算法不但能产生多条路由,而且能为不同的网络应用选择各自不同的最佳路由。
3.广播控制:交换机只能缩小冲突域,而不能缩小广播域。整个交换式网络就是一个大的广播域,广播报文散到整个交换式网络。而路由器可以隔离广播域,广播报文不能通过路由器继续进行广播。
4.子网划分:交换机只能识别MAC地址。MAC地址是物理地址,而且采用平坦的地址结构,因此不能根据MAC地址来划分子网。而路由器识别IP地址,IP
地址由网络管理员分配,是逻辑地址且IP地址具有层次结构,被划分成网络号和主机号,可以非常方便地用于划分子网,路由器的主要功能就是用于连接不同的网络。
5.保密问题:虽说交换机也可以根据帧的源MAC地址、目的MAC地址和其他帧中内容对帧实施过滤,但路由器根据报文的源IP地址、目的IP地址、TCP端口地址等内容对报文实施过滤,更加直观方便。
6.介质相关:交换机作为桥接设备也能完成不同链路层和物理层之间的转换,但这种转换过程比较复杂,不适合ASIC实现,势必降低交换机的转发速度。因此目前交换机主要完成相同或相似物理介质和链路协议的网络互连,而不会用来在物理介质和链路层协议相差甚元的网络之间进行互连。而路由器则不同,它主要用于不同网络之间互连,因此能连接不同物理介质、链路层协议和网络层协议的网络。路由器在功能上虽然占据了优势,但价格昂贵,报文转发速度低。
2.2网络详细设计
1、ip分配
选用B类IP地址,168.11.0.0,子网掩码 255.255.0.0
IP地址分配如下:
寝室一楼168.11.0.1到168.11.0.62
寝室二楼168.11.0.65到168.11.0.126
寝室三楼168.11.0.129到168.11.0.190
寝室四楼168.11.0.193到168.11.0.254
2、设备选择
图2.2锐捷STAR-S3550交换机
STAR-S3550系列交换机是锐捷网络(原实达网络)针对大型网络汇聚层、大型园区网边缘智能化和中小企业网核心智能化需求而定制的新一代智能型多层交换机。该系列产品
通过硬件支持多层交换,提供二到七层的智能流分类和完善QoS,可以为各种类型的业务网络,提供完善的端到端服务质量、丰富的安全设置和基于策略的网管,从而以极高的性价比,最大限度地满足融合、智能、安全的企业网需求。根据不同需求,STAR-S3550系列智能多层交换机提供了四个型号可供选择:分别是STAR-S3550-24、STAR-S3550-48、STAR-S35 50-12G、STAR-S3550-24G。
其中,STAR-S3550-24/S3550-48是两款千兆智能多层交换机,STAR-S3550-24带有24个10/100自适应以太网端口,2个千兆扩展插槽,可扩展1个或者是2个千兆/百兆模块,有12.8Gbps背板带宽和6.6Mpps二三层转发能力;而STAR-S3550-48具有48个10/100自适应端口,2个千兆扩展插槽,可扩展1至2个千兆/百兆模块;背板带宽18.5Gbps,二三层转发能力达到10.1Mpps。
STAR-S3550-12G/S3550-24G产品则是两款全千兆的智能多层交换机,
STAR-S3550-12G具有12个基于GBIC的千兆位以太网端口,48Gbps的背板带宽,18Mpps的二三层转发能力;STAR-S3550-24G的GBIC千兆位以太网端口有24个,背板带宽为72Gbps,二三层转发能力达到36Mpps。
STAR-S3550系列智能多层交换机凭借丰富的产品系列、齐全的端口、高性能配置,能够为各种网络应用提供个性化选择。而STAR-S3550系列交换机之所以受到广大用户的欢迎,还在于其为用户所提供的丰富地网络智能服务:
硬件实现多种功能,增强数据处理能力。STAR-S3550系列多层交换机独创性采用了硬件方式实现交换和路由,并且ACL和QOS功能也是通过硬件实现,这意味着,即使在大量数据处理情况下,系统所有端口仍能保持线速转发。
完善的流分类和关键业务QOS保证。针对语音、数据、视频多业务融合网络对高服务质量保证的需求,STAR-S3550设计了能在不同网络层次上提供对网络资源实施带宽控制的高级多队列QOS结构,提供了多层流分类和流控制能力,可实现基于流的带宽控制、转发优先级等多种流策略,支持网络根据不同应用以及相应所需的服务质量特质提供服务。另外,该系列产品还支持各种单播和组播动态路由协议,可适应不同网络规模进行多播服务的应用环境。
多种访问控制手段提高网络安全性。STAR-S3550系列多层交换机还具有端口安全、用户接入认证(802.1x)、ACL控制等多种措施,满足企业网加强对访问者进行控制、限制非授权用户通信的需求,以此提高整个网络的安全性能及可运营能力。
超强故障恢复能力及易于部署使用。STAR-S3500系列交换机具有极高的容错能力,为网络的稳定运行提供了有力的保障;同时,支持业界领先的EAPS功能和冗余电源,极
大地提高了网络的高可用性。特别值得一提的是,一方面STAR-S3500系列交换机通过
Java-based Web管理方式,可迅速和高效地配置设备;另一个方面,由于采用了通用的
CLI界面,在为用户的配置提供方便的同时,还大大简化了网络设备、应用、带宽及服
务实施的综合管理。
综上所述,STAR-S3550-24/S3550-48既可以作为小型企业、普教、小型机关单位、
政府部门等中小型网络的核心设备;也可以承担大中型网络的汇聚层工作。而
STAR-S3550-12G/24G全千兆交换机则主要应用于需要千兆端口数多、多媒体应用、完善
的管理策略的大中型网络汇聚层,同时也可以作为小型网络的核心层设备,构建小型化
的智能网络。
RG-R3600系列模块化中心路由器是锐捷网络公司开发的面向企业级的网络产品,
采用模块化设计,提供了多个网络/语音模块插槽,支持种类丰富、功能齐全、高密度的
网络/语音模块,可实现更多的组合应用。64位的微处理器技术,使用RGNOS(锐捷网
络操作系统平台),提供了极其丰富的软件特性,支持哑终端接入服务,支持IPv4/IPv6,
VoIP特性等,提供丰富的备份方案及QoS特性;硬件采用模块化结构,具有更高的处
理能力和更大的接入密度,既可以在中小型企业网中担当核心路由器,也可以在大型网
络中担当汇聚层路由器。适合大中型企业、金融体系、各大公司的办事处和中型 Internet
服务供应商的模块化多服务访问平台,可以实现大规模、高密度的专线、拨号、宽带和
IP语音接入。
RG-R3600系列包含二款路由器:RG-R3642和RG-R3662。
特征与优势 一、 先进高效的硬件体系结构
采用高速3口PCI桥,前端总线带宽达到2G;
每个模块上可以支持4个以上的PCI设备;
高效的硬件体系架构,配合400M的MPC RISC CPU,软件执行效率比PC100内存速度
快1.33倍的PC133M服务器专用内存,运行在稳定、高效、安全RGNOS软件平台上,
RG-R3662/R3642包转发率可以达到350Kpps,远远高于业界同等档次的产品。RG-R36
系列路由器的高性能是业务的高性能,在处理各种业务时转发性能基本不会下降;
二、 主机固化2个10/100M快速以太网口
l 主机固化两个10/100M快速以太网口,在不购买任何模块的情况下,便可以实现
宽带互联。
三、 模块化结构设计
l RG-R3662具有6个网络/语音模块插槽,RG-R3642具有4个网络/语音模块插槽,
支持种类丰富、功能齐全、高密度的网络/语音模块,可实现更多的组合应用。
四、 强大的数据处理能力
l 采用先进的PowerPC 通讯专用处理器,2G带宽的PCI总线技术,包转发延迟小,
高效的数据处理能力支持高密度端口,保证在高速环境下的网络应用;
五、 良好的语音支持功能
l 支持G.711、G.723、G.729等多种语音编码格式,支持H.323协议栈,可以和多
家VOIP厂商的设备互通;
l 支持实时传真功能;
l 支持语音网守功能。
六、 高效安全的终端服务
l 提供64位密钥的RC4加密,可以实现路由器到UNIX服务器之间的数据安全加
密;
l 提供固定终端服务登陆的功能,确保路由器上每台终端登陆时,每次得到的终端
号都是固定的,有利于管理。
七、 高可靠性
l 支持链路备份、路由备份等多种方式的备份技术,提高整个网络的可靠性;
l 支持VRRP热备份协议,实现线路和设备的冗余备份;
l RPS冗余电源支持。
八、 高安全性
l 完善的防火墙技术,支持基于源目的IP、协议、端口以及时间段的访问列表控制
策略;
l 支持IP与MAC地址的绑定,有效防止IP地址的欺骗;
l 支持认证、授权、记录用户信息的AAA认证技术,支持Radius认证协议;
l 支持动态路由协议中的路由信息认证技术,保证动态路由网络中路由信息的安全
和可靠;
l 支持PPP协议中的PAP、CHAP认证及回拨技术。
九、 方便易用易管理
l 采用标准CLI界面,操作更简单;
l 支持SNMP协议,配置文件的TFTP上传下载,方便网络管理;
l 支持Telnet/Console,方便的实现远程管理和控制;
l 多样的在线升级,为将来的功能扩展预留空间。
图2.3为路由器
路由器具有的性能:
支持ACL,基本的访问控制列表,和高级的访问控制列表,基于
接口的访问控制列表。支持局域网内用户使用地址池中的IP地址访问外部网络,将访问
控制列表与地址池的关联,也可以将访问控制列表与接口的关联,支持外部网络主机访
问内部的服务器。多线路负载均衡和线路备份,且防病毒保证网络稳定不掉线,独特的
硬件端口监控功能。
特征与优势:RG-NBR1200是锐捷网络公司推出的针对有多个出口的中小型网吧、
中小型企业宽带上网的电信级路由器,带有防病毒、防攻击功能,所有的接口都自动识
别网线和交叉线。 NBR1200支持端口镜像、VLAN、防ARP地址欺骗、抗网络攻击、
网络流量分析,在面板上提供了网络状态指示灯和攻击告警灯,通过看灯就轻松知道网
络运行情况,实现基于IP地址的限速功能,为内部PC灵活分配带宽,BT下载、在线
视频不影响其他人正常使用,同时内置高性能防火墙,为高速安全的宽带共享提供可靠
保障。
图2.4为防火墙
。
一般来说,硬件防火墙的例行检查主要针对以下内容:
1.硬件防火墙的配置文件
不管你在安装硬件防火墙的时候考虑得有多么的全面和严密,一旦硬件防火墙
投入到实际使用环境中,情况却随时都在发生改变。硬件防火墙的规则总会不断地
变化和调整着,配置参数也会时常有所改变。作为网络安全管理人员,最好能够编
写一套修改防火墙配置和规则的安全策略,并严格实施。所涉及的硬件防火墙配置,
最好能详细到类似哪些流量被允许,哪些服务要用到代理这样的细节。
在安全策略中,要写明修改硬件防火墙配置的步骤,如哪些授权需要修改、谁
能进行这样的修改、什么时候才能进行修改、如何记录这些修改等。安全策略还应
该写明责任的划分,如某人具体做修改,另一人负责记录,第三个人来检查和测试
修改后的设置是否正确。详尽的安全策略应该保证硬件防火墙配置的修改工作程序
化,并能尽量避免因修改配置所造成的错误和安全漏洞。
2.硬件防火墙的磁盘使用情况
如果在硬件防火墙上保留日志记录,那么检查硬件防火墙的磁盘使用情况是一
件很重要的事情。如果不保留日志记录,那么检查硬件防火墙的磁盘使用情况就变
得更加重要了。保留日志记录的情况下,磁盘占用量的异常增长很可能表明日志清
除过程存在问题,这种情况相对来说还好处理一些。在不保留日志的情况下,如果
磁盘占用量异常增长,则说明硬件防火墙有可能是被人安装了Rootkit工具,已经
被人攻破。
因此,网络安全管理人员首先需要了解在正常情况下,防火墙的磁盘占用情况,
并以此为依据,设定一个检查基线。硬件防火墙的磁盘占用量一旦超过这个基线,
就意味着系统遇到了安全或其他方面的问题,需要进一步的检查。
3.硬件防火墙的CPU负载 和磁盘使用情况类似,CPU负载也是判断硬件防火墙系统运行是否正常的一
个重要指标。作为安全管理人员,必须了解硬件防火墙系统CPU负载的正常值是
多少,过低的负载值不一定表示一切正常,但出现过高的负载值则说明防火墙系统
肯定出现问题了。过高的CPU负载很可能是硬件防火墙遭到DoS攻击或外部网络
连接断开等问题造成的。
傲盾百兆硬件防火墙,电口接入,支持多网段防护,跨路由模式,跨网段模
式,跨VLAN等模式的防护,适合百兆环境,小中型企业,IDC服务商及系统集
成工程,可有效防护300台服务器。300MDDoS攻击下,各服务器连接正常。规则
设置灵活,功能强大,可以针对服务器功能分别设置规则防护,独特的WEBHTTP
协议保护功能,保护web站点和网游7000,7100,7200端口免受空连接,CC,CC
变种等攻击。
3、设备调试
配置交换机telnet过程:
Switch>enable 进入特权模式
Switch#configure terminal 进入全局模式
pyh-078(config)#hostname pyh-078
pyh-078(config)#interface vlan 1 进入交换机管理接口配置模式
pyh-078(config-if)#no shutdown 开启交换机管理端口
pyh-078(config-if)#ip address 192.168.1.1 255.255.255.0 配置交换机管理接口IP地址。
pyh-078(config-if)#end
pyh-078(config)#enable secret level 1 0 star !配置远程登陆密码
pyh-078(config)#enable secret level 15 0 star !配置进入特权模式密码
图2.5为配置交换机截图
配置路由器:
Router>enable 进入特权模式
Router# configure terminal !进入全局配置模式
Router(config)#hostname pyh-078
pyh-078(config)# interface fastethernet 1/0 !进入路由器接口配置模式
pyh-078(config-if)# ip address 192.168.1.1 255.255.255.0 !配置路由器管理
接口IP地址
pyh-078(config-if)# no shutdown !开启路由器f 1/0接口
pyh-078(config)#show ip interface fastethernet 1/0 !验证接口fastethernet
1/0的IP地址已经配置和开启
pyh-078(config)# line vty 0 4 !进入路由器线路配置模式
pyh-078(config-line)# login !配置远程登录
pyh-078(config-line)# password star !设置路由器远程登录密码为 “star”
pyh-078(config-line)#end
pyh-078(config)# enable secret star !设置路由器特权模式密码为 “star” 或
者 pyh-078(config)# enable password star
查看配置文件
show version !查看版本及引导信息
show running-config !查看运行配置
show startup-config !查看用户保存在NVRAM中的配置文件
保存配置文件
Router#copy running-config startup-config
交换机端口隔离:
Switch>enable (进入交换机特权模式)
Switch#configure terminal (进入交换机全局模式)
Switch(config)#vlan 10 (创建vlan10)
Switch(config-vlan)#name aaa (将vlan10命名为aaa)
Switch(config-vlan)#exit(退出vlan模式)
Switch(config)#vlan 20(创建vlan20)
Switch(config-vlan)#name bbb(将vlan20命名为bbb)
Switch(config-vlan)#exit
Switch(config)#exit
Switch#show vlan
Switch#configure terminal
Switch(config)#interface f0/5 (进入f0/5的接口配置模式)
Switch(config-if)#switch access vlan 10 (将f0/5端口加入vlan10中)
Switch(config-if)#exit
Switch(config)#interface f0/15(进入f0/15的接口配置模式)
Switch(config-if)#switch access vlan 20(将f0/15端口加入vlan20中)
Switch#show vlan
验证配置信息
Switch# show vlan
VLAN Name Status Ports
---- -------- -------- ---------------
1 default active Fa0/1, Fa0/2, Fa0/3, Fa0/4,
Fa0/6, Fa0/7, Fa0/8, Fa0/9
Fa0/10, Fa0/11, Fa0/12, Fa0/13
Fa0/14, Fa0/16, Fa0/17, Fa0/18
Fa0/19, Fa0/20, Fa0/21, Fa0/22
Fa0/23,Fa0/24
4 VLANaaa active Fa0/5
5 VLANbbb active Fa0/15
PC1 Ping PC2(ping不通,隔离成功)。
4、网络安全
我国网络安全事件发生量的增长幅度较大,网络仿冒、网页恶意代码、网站篡改等增 长速度接近200%,木马主机的增长率为2125%。我国网络安全面临的形势非常严峻。国 家计算机网络应急技术处理协调中心运行管理部主任孙蔚敏说,“木马、僵尸网络和与域 名相关的安全问题等构成了主要威胁。”面临严峻的网络安全形势,如何寻求网络安全问 题的解决之道,成为重中之重。针对此问题,当务之急是建立并拥有一套完善的网络安全预 警和应急保障体系。为达到这一目标,各方面都要贯彻执行“积极预防、及时发现、快速 响应、力保恢复”的十六字方针。
人们在享受到各种生活便利和沟通便捷的同时,网络安全问题也日渐突出、形势日 益严峻。网络攻击、病毒传播、垃圾邮件等迅速增长,利用网络进行盗窃、诈骗、敲诈 勒索、窃密等案件逐年上升。严重影响了网络的正常秩序,严重损害了网民的利益,网 上色情、暴力等不良和有害信息的传播,严重危害了青少年的身心健康。网络系统的安 全性和可靠性正在成为世界各国共同关注的焦点。在国际刑法界列举的现代社会新型犯 罪排行榜上,计算机犯罪和网络侵犯权已名列榜首。无论是数量、手段、还是性质、规 模,都出乎人们的意料。据有关方面统计,目前美国每年由于网络安全问题而遭受的经 济损失超过170亿美元。德国、英国也均在10亿以上,法国为100亿法郎、日本、新加 坡问题也很严重。比经济损失更为严重的是,人们将逐渐对全球网络的安全失去信心。 网络问题不断,人们还怎么敢使用它?一旦不用网络,再好的网络服务也维持不下去。 特别是全球互联网规模在不断扩大、技术含量不断提高,这些都要求有一个高可靠性、 高质量的网络来承载,支撑由此带来的网络流量、管理控制、交换传输的复杂变化,这
些都对全球网络的安全提出了新的更高要求。
网络防范
计算机网络安全的防范措施
1、加强内部网络治理人员以及使用人员的安全意识很多计算机系统常用口令来控制对系统资源的访问,这是防病毒进程中,最轻易和最经济的方法之一。网络治理员和终端操作员根据自己的职责权限,选择不同的口令,对应用程序数据进行合法操作,防止用户越权访问数据和使用网络资源。
在网络上,软件的安装和治理方式是十分关键的,它不仅关系到网络维护治理的效率和质量,而且涉及到网络的安全性。好的杀毒软件能在几分钟内轻松地安装到组织里的每一个NT服务器上,并可下载和散布到所有的目的机器上,由网络治理员集中设置和治理,它会与操作系统及其它安全措施紧密地结合在一起,成为网络安全治理的一部分,并且自动提供最佳的网络病毒防御措施。当计算机病毒对网上资源的应用程序进行攻击时,这样的病毒存在于信息共享的网络介质上,因此就要在网关上设防,在网络前端进行杀毒。
2、网络防火墙技术
是一种用来加强网络之间访问控制,防止外部网络用户以非法手段通过外部网络进入内部网络,访问内部网络资源,保护内部网络操作环境的非凡网络互联设备。它对两个或多个网络之间传输的数据包如链接方式按照一定的安全策略来实施检查,以决定网络之间的通信是否被答应,并监视网络运行状态。虽然防火墙是目前保护网络免遭黑客袭击的有效手段,但也有明显不足:无法防范通过防火墙以外的其它途径的攻击,不能防止来自内部变节者和不经心的用户们带来的威胁,也不能完全防止传送已感染病毒的软件或文件,以及无法防范数据驱动型的攻击。
3、安全加密技术
加密技术的出现为全球电子商务提供了保证,从而使基于Internet上的电子交易系统成为了可能,因此完善的对称加密和非对称加密技术仍是21世纪的主流。对称加密是常规的以口令为基础的技术,加密运算与解密运算使用同样的密钥。不对称加密,即加密密钥不同于解密密钥,加密密钥公之于众,谁都可以用,解密密钥只有解密人自己知道。
4、网络主机的操作系统安全和物理安全措施
防火墙作为网络的第一道防线并不能完全保护内部网络,必须结合其他措施才能提高系统的安全水平。在防火墙之后是基于网络主机的操作系统安全和物理安全措施。按照级别从低到高,分别是主机系统的物理安全、操作系统的内核安全、系统服务安全、应用服务安全和文件系统安全;同时主机安全检查和漏洞修补以及系统备份安全作为辅助安全措施。这些构成整个网络系统的第二道安全防线,主要防范部分突破防火墙以及从内部发起的攻击。系统备份是网络系统的最后防线,用来遭受攻击之后进行系统恢复。
在防火墙和主机安全措施之后,是全局性的由系统安全审计、入侵检测和应急处理机构成的整体安全检查和反应措施。它从网络系统中的防火墙、网络主机甚至直接从网络链路层上提取网络状态信息,作为输人提供给入侵检测子系统。入侵检测子系统根据一定的规则判定是否有入侵事件发生,假如有入侵发生,则启动应急处理措施,并产生警告信息。而且,系统的安全审计还可以作为以后对攻击行为和后果进行处理、对系统安全策略进行改进的信息来源。
2.3网络管理软件应用
软件防火墙应用
“金山ARP防火墙”是一款体积小巧且完全免费的专业防恶意ARP欺骗攻击软件,这款软件的最大特色之一就是可以双向拦截(即来自外部接受或是由本机发出的ARP攻击数据包)ARP欺骗攻击包并快速监测锁定攻击源,时刻保护局域网用户电脑的正常上网数据流向,是一款十分适合个人用户使用的反ARP欺骗保护工具。由于该软件可以自动进行网关动态探测和识别,并且可以启用自动"安全模式"来实时保护整个局域网的网络安全通畅,所以软件在使用的过程中几乎不需要用户的过多干预
图2.6 金山ARP防火墙主界面
软件应用:
1.开机即实时保护
作为一款专业的防恶意ARP欺骗攻击防火墙软件,"金山ARP防火墙"会每次随系统启动时自动启动并自动进入实时保护状态,这样可以在第一时间有效防堵各种ARP病毒和ARP欺骗攻击。
2.实时自动ARP欺骗拦截
当软件进入到实时保护状态后,它会主动即时自动拦截所有外来的恶意ARP
欺骗攻击。
在软件接收到没有经过合法验证的恶意ARP数据包时,软件会主动将其全部进行拦截,并且会在系统托盘中弹出自动拦截到ARP攻击的报警窗口。另外,在软件的主界面中,用户也可以即时查看到恶意ARP欺骗数据包的拦截情况。
3.取消实时保护时的攻击提醒
当用户启用了"金山ARP防火墙"的实时防控功能后,如果用户所处的网络环境ARP欺骗状况很糟糕,那么软件在每一次拦截到ARP欺骗攻击后,都会自动弹出一个个泡泡状的提醒窗口,这种连续弹出的提醒窗口势必会影响用户的一些正常电脑操作。
其实用户可以通过相应设置来取消这种自动弹出的提醒窗口:用户首先将软件界面切换到"综合设置"面板,然后在其中的"基本设置"部分单击"修改设置"按钮,在接下来弹出的修改设置窗口中只要对"拦截到ARP攻击时弹出泡泡提示"选项取消选中,即可以达到取消自动弹出提醒窗口的目的。
4.手工进行网关IP绑定
如果用户在局域网中使用的电脑相对比较固定,则可以通过手工设置的方式将自己的网关IP和自己的网卡进行"绑定"起来,这样做的好处就是可以防止自己的IP被部分ARP病毒进行恶意篡改。
用户同样打开刚才的那个"基本设置"的修改窗口,在其中的"网关设置"中首先选中"启用手工设置网关"选项,然后单击该选项下面的"添加"按钮,在接下来弹出的窗口中即可手工进行网关IP与网卡的绑定了。
第3章 实训日记
第4章 实训总结
现代的社会充满了信息与资讯,而网络的存在正是为了更好的获得信息与咨询而存在。所以大学生寝室实现网络的联通是意见很必要的事情。
但创建网络不是一件容易的事。它们都或多或少的有着一些的问题。如各个电脑之间的带宽争夺,局域网内部的安全性及数据互通性,局域网与外界连通的安全性等。因此,我所需要去完成的,就是在现有的局域网的基础上,对其进行一些优化与升级。
在实训过程中我通过设计拓扑图对寝室进行了公寓网的建成,可以使学生方便地浏览和查询网上资源实现远程学习,通过网上学习学会信息处理能力。同时可以实现各级管理层之间的信息数据交换,实现网上息采集和处理的自动化,实现信息和设备资源的共享,实现教学资源的共享。通过校园网与Internet相连 ,安全性得到保证。
对于安全性我将通过对学生宿舍公寓的区域划分,和校园网安全设备的共享来逐级实现网络的安全性。对内的安全实施包括用交换机进行VLAN的划分,在路由中创建访问控制列表,如此可对一些网络用户实行可控的安全级别。对于业务主机,例如服务器将通过用户权限的认证,实现用户与业务的隔离,避免非法用户的侵入。对重要数据库采取安全备份的机制,避免突发事件造成重要数据的丢失。支持通过防火墙对外部网络的非法访问进行过滤,防范于未然。
由于计算机通讯和多媒体应用的不断发展,网络系统必然随之不断扩大。因此,目前的网络设计必须为今后的扩充留有足够的余地,以保护用户的投资,保证用户今后三到五年的网络扩充升级能力。没有人敢说“我的网够用了”。数据网络的速度从从10M到100M、100M到1000M,到10000M,用户的数据传输需求从1K到现在的整个硬盘;网络速度在以指数级的发展,而网络需求也以指数级增长。一个成功的高校社区网络会具备很强的扩展能力,无论在支持的用户数量方面、对目前各种网络标准的支持还是在对未来新型技术、新业务的支持上都做好了充分的准备。
现在网络发展正处于一个转折点,网络新产品追求更快的性能指标,以提供更大的带宽促进商业应用;用户则要求网络技术在更加安全可靠的情况下提供象电话一样简单、易用的服务;而计算机网络体系结构和相关技术还未能从根本上解决问题。因此,计算机网络又面临着新一轮的理论研究和技术开发,既是挑战,也是机遇。人类将越来越离不开计算机网络。
参考资料
[1] 武良.计算机网络.上海:高等教育出版社,2003.5
[2] 王顺.校园网设计与远程教学系统开发.北京:人民邮电出版社,2003.7
[3] 何晖.计算机网络组建.北京:电子工业出版社,2003.6
[4] 陈妍.计算机网络原理.西安:西安交通大学出版社,2000.4
[5] 王晓春.计算机网络与Internet教程.北京:清华大学出版社,1999.3
[6] 康宗.计算机网络实用技术教程.北京:电子工业出版社,2001.9
[7] 赵宇.Internet防火墙与入侵检测技术的研究.北京:机械工业出版社,2007.8
[8] 陈明.广域网教程.北京:清华大学出版社,2004.7
[9] 林奇.网络安全技术.浙江:浙江大学出版社,2003.10
[10] 方勇.信息系统安全导论.北京:电子工业出版社,1999.12
辽 宁 工 业 大 学
题目: 学生寝室楼网络规划
院(系): 软件学院
专业班级: 计算机
学 号: 学生姓名: 指导教师:
教师职称:
起止时间:
实训任务及评语
目 录
第1章 实训目的与要求 ................................................................................................................ 1
1.1 实训目的 ................................................................................................................... 1
1.2 实训环境 ................................................................................................................... 1
1.3 实训的预备知识 ....................................................................................................... 1
1.4 实训要求 ................................................................................................................... 1
第2章 实训内容 ................................................................................................................ 2
2.1网络总体设计 ............................................................................................................ 2
2.2网络详细设计 ............................................................................................................ 6
2.3网络管理软件的应用 ................................................................................................ 16
第3章 实训日记 ................................................................................................................ 18
第4章 实训总结 ................................................................................................................ 19 参考资料 ........................................................................................................................... 20
第1章 实训目的与要求
1.1 实训目的
本实训要求学生能够对网络进行子网划分,掌握WEB、FTP服务器的组建方法,了解WEB、FTP服务器的用途及测试方法。
1.2 实训环境
网络环境下,多媒体计算机一台(每人)。
1.3 实训的预备知识
该实训安排在计算机网络基础课程结束后进行,学生已经掌握了一定的网络基础知识。
1.4 实训要求
实训过程中,要严格遵守实训的时间安排,听从指导教师的指导。正确地完成上述内容,记录实习日记,规范完整地撰写出实训报告。
第2章 实训内容
2.1 网络总体设计
1、背景描述
学校为宿舍楼网络进行规划,使学生能够更方便的共享因特网资源,能够通过因特网进行娱乐,学习,从而提高学生的知识面与见识培养出新一代的高素质人才。由于学生上网的时间会比较集中,所以宿舍楼网络必须保证有足够的带宽来满足学生的使用。在校学生,富有好奇心和好胜心的他们在网络环境中有意和无意地尝试各种的网络侵入和攻击,这很容易给校园网宿舍接入网带来安全方面的隐患,造成网络瘫痪、非法接入、信息泄漏等严重后果。为了提高校园网宿舍接入网的安全性,就需要提升接入网络设备的安全控制功能,满足校园网宿舍接入网对用户接入安全控制地需要。
校园网的接入层建设中,学生宿舍区网络接入最为典型,在整个校园网的接入网建 设中占有很大的比重。
宿舍接入网的特点是:
1) 上网时间集中,突发流量大校园网宿舍接入网面向的接入用户是在校学生和教工,上网时间主要集中在晚间和节假日,所以在此时段网络访问流量将会猛增到峰值,而且会在某一时段出现较大的突发流量。因此,在建设校园网宿舍接入网时需要采用高性能的接入和汇聚交换机,这样可以减少接入瓶颈,保证有足够的带宽来满足接入用户的需要。
2)网络布设分散,不易统一管理校园网宿舍接入网的布设一般比较分散,且网络设备也主要是安装在楼道中,所以这些接入网络设备不但要能提供多种网络连接方式来满足连接距离的需要,而且还需要接入网络设备可以在高温、高湿和高尘的环境下可靠的工作。另外,在投资有限的情况下校园网宿舍接入网也不容易实现一站式统一网络管理所以需要在组网时使用带有多种管理方式的网络设备,不但能满足当前网络管理的需要而且还为日后扩展管理提供其它管理途径
所以,构建营盘校区的宿舍网络需要同样需要合理的规划与正确的组建。
2、网络拓扑图
图2.1为寝室楼网络拓扑图 终端 终端 终端
3、网络拓扑说明
如图所示是一个寝室楼规划的拓扑图,此网络是通过校园网连接到Internet,网络终端分别通过中间的交换机,路由器来划分ip,子网掩码到客户端寝室楼中的每个寝室,合理配置网络资源,减少网络资源的浪费。并且实现每台电脑的使用互不影响。
要解释路由器的概念,首先要介绍什么是路由。所谓“路由”,是指把数据从一个地方传送到另一个地方的行为和动作,而路由器,正是执行这种行为动作的机器,它的英文名称为Router。
简单的讲,路由器主要有以下几种功能:
第一,网络互连,路由器支持各种局域网和广域网接口,主要用于互连局域网和广域网,实现不同网络互相通信;
第二,数据处理,提供包括分组过滤、分组转发、优先级、复用、加密、压缩和防火墙等功能;
第三,网络管理,路由器提供包括配置管理、性能管理、容错管理和流量控制等功能。 为了完成“路由”的工作,在路由器中保存着各种传输路径的相关数据--路由表,供路由选择时使用。路由表中保存着子网的标志信息、网上路由器的个数和下一个路由器的名字等内容。路由表可以是由系统管理员固定设置好的,也可以由系统动态修改,可以由路由器自动调整,也可以由主机控制。在路由器中涉及到两个有关地址的名字概念,那就是:静态路由表和动态路由表。由系统管理员事先设置好固定的路由表称之为静态路由表,一般是在系统安装时就根据网络的配置情况预先设定的,它不会随未来网络结构的改变而改变。动态路由表是路由器根据网络系统的运行情况而自动调整的路由表。路由器根据路由选择协议提供的功能,自动学习和记忆网络运行情况,在需要时自动计算数据传输的最佳路径。
路由器A是连接局域网内部与外部的重要关卡。因为寝室楼里的计算机主要是与外界网络进行数据的通讯的,所以选择的路由器性能一定要很强大,并且能够兼容千兆,能够兼容光纤网络最好。而路由器B的要求就没有这么高了。
其次,就是交换机的选择了。
交换机:工作组交换机采用可网管交换机,实现对每台接入计算机的控制,实现VLAN(虚拟网)、的划分,确保最大限度的网络访问安全。
交换机分为三层交换机和二层交换机,他们具有不同的功能,不同的原理:二层交换机以mac地址为依据,转发数据帧(frame)三层交换机以ip地址为依据,转发数据(packet),类似于路由器,但由于使用ASIC,速度一般更快。在核心骨干网中一定要用三层交换机,否则整个网络中有很多台机器,不仅毫无安全可言,也会因为无法分割广播域而无法隔离广播风暴。而三层交换机的性能非常高,既有三层路由的功能,又具有二层交换的网络速度。二层交换是基于MAC寻址,三层交换则是转发基于第三层地址的业务流;除了必要的路由决定过程外,大部分数据转发过程由二层交换处理,提高了数
据包转发的效率。三层交换机通过使用硬件交换机构实现了IP的路由功能,其优化的路由软件使得路由过程效率提高,解决了传统路由器软件路由的速度问题。因此可以说,三层交换机具有“路由器的功能、交换机的性能”。
作为局域网的主要连接设备,以太网交换机成为应用普及最快的网络设备之
一。随着交换技术的不断发展,以太网交换机的价格急剧下降,交换到桌面已是大势所趋。
不仅不同网络环境下交换机的作用各不相同,在同一网络环境下添加新的交换机和增加现有交换机的交换端口对网络的影响也不尽相同。充分了解和掌握网络的流量模式是能否发挥交换机作用的一个非常重要的因素。因为使用交换机的目的就是尽可能的减少和过滤网络中的数据流量,所以如果网络中的某台交换机由于安装位置设置不当,几乎需要转发接收到的所有数据包的话,交换机就无法发挥其优化网络性能的作用,反而降低了数据的传输速度,增加了网络延迟。除安装位置之外,如果在那些负载较小,信息量较低的网络中也盲目添加交换机的话,同样也可能起到负面影响。受数据包的处理时间、交换机的缓冲区大小以及需要重新生成新数据包等因素的影响,在这种情况下使用简单的HUB要比交换机更为理想。因此,我们不能一概认为交换机就比HUB有优势,尤其当用户的网络并不拥挤,尚有很大的可利用空间时,使用HUB更能够充分利用网络的现有资源。
传统交换机从网桥发展而来,属于OSI第二层即数据链路层设备。它根据MAC地址寻址,通过站表选择路由,站表的建立和维护由交换机自动进行。路由器属于OSI第三层即网络层设备,它根据IP地址进行寻址,通过路由表路由协议产生。交换机最大的好处是快速,由于交换机只须识别帧中MAC地址,直接根据MAC地址产生选择转发端口算法简单,便于ASIC实现,因此转发速度极高。但交换机的工作机制也带来一些问题。
1.回路:根据交换机地址学习和站表建立算法,交换机之间不允许存在回路。一旦存在回路,必须启动生成树算法,阻塞掉产生回路的端口。而路由器的路由协议没有这个问题,路由器之间可以有多条通路来平衡负载,提高可靠性。
2.负载集中:交换机之间只能有一条通路,使得信息集中在一条通信链路上,不能进行动态分配,以平衡负载。而路由器的路由协议算法可以避免这一点,OSPF路由协议算法不但能产生多条路由,而且能为不同的网络应用选择各自不同的最佳路由。
3.广播控制:交换机只能缩小冲突域,而不能缩小广播域。整个交换式网络就是一个大的广播域,广播报文散到整个交换式网络。而路由器可以隔离广播域,广播报文不能通过路由器继续进行广播。
4.子网划分:交换机只能识别MAC地址。MAC地址是物理地址,而且采用平坦的地址结构,因此不能根据MAC地址来划分子网。而路由器识别IP地址,IP
地址由网络管理员分配,是逻辑地址且IP地址具有层次结构,被划分成网络号和主机号,可以非常方便地用于划分子网,路由器的主要功能就是用于连接不同的网络。
5.保密问题:虽说交换机也可以根据帧的源MAC地址、目的MAC地址和其他帧中内容对帧实施过滤,但路由器根据报文的源IP地址、目的IP地址、TCP端口地址等内容对报文实施过滤,更加直观方便。
6.介质相关:交换机作为桥接设备也能完成不同链路层和物理层之间的转换,但这种转换过程比较复杂,不适合ASIC实现,势必降低交换机的转发速度。因此目前交换机主要完成相同或相似物理介质和链路协议的网络互连,而不会用来在物理介质和链路层协议相差甚元的网络之间进行互连。而路由器则不同,它主要用于不同网络之间互连,因此能连接不同物理介质、链路层协议和网络层协议的网络。路由器在功能上虽然占据了优势,但价格昂贵,报文转发速度低。
2.2网络详细设计
1、ip分配
选用B类IP地址,168.11.0.0,子网掩码 255.255.0.0
IP地址分配如下:
寝室一楼168.11.0.1到168.11.0.62
寝室二楼168.11.0.65到168.11.0.126
寝室三楼168.11.0.129到168.11.0.190
寝室四楼168.11.0.193到168.11.0.254
2、设备选择
图2.2锐捷STAR-S3550交换机
STAR-S3550系列交换机是锐捷网络(原实达网络)针对大型网络汇聚层、大型园区网边缘智能化和中小企业网核心智能化需求而定制的新一代智能型多层交换机。该系列产品
通过硬件支持多层交换,提供二到七层的智能流分类和完善QoS,可以为各种类型的业务网络,提供完善的端到端服务质量、丰富的安全设置和基于策略的网管,从而以极高的性价比,最大限度地满足融合、智能、安全的企业网需求。根据不同需求,STAR-S3550系列智能多层交换机提供了四个型号可供选择:分别是STAR-S3550-24、STAR-S3550-48、STAR-S35 50-12G、STAR-S3550-24G。
其中,STAR-S3550-24/S3550-48是两款千兆智能多层交换机,STAR-S3550-24带有24个10/100自适应以太网端口,2个千兆扩展插槽,可扩展1个或者是2个千兆/百兆模块,有12.8Gbps背板带宽和6.6Mpps二三层转发能力;而STAR-S3550-48具有48个10/100自适应端口,2个千兆扩展插槽,可扩展1至2个千兆/百兆模块;背板带宽18.5Gbps,二三层转发能力达到10.1Mpps。
STAR-S3550-12G/S3550-24G产品则是两款全千兆的智能多层交换机,
STAR-S3550-12G具有12个基于GBIC的千兆位以太网端口,48Gbps的背板带宽,18Mpps的二三层转发能力;STAR-S3550-24G的GBIC千兆位以太网端口有24个,背板带宽为72Gbps,二三层转发能力达到36Mpps。
STAR-S3550系列智能多层交换机凭借丰富的产品系列、齐全的端口、高性能配置,能够为各种网络应用提供个性化选择。而STAR-S3550系列交换机之所以受到广大用户的欢迎,还在于其为用户所提供的丰富地网络智能服务:
硬件实现多种功能,增强数据处理能力。STAR-S3550系列多层交换机独创性采用了硬件方式实现交换和路由,并且ACL和QOS功能也是通过硬件实现,这意味着,即使在大量数据处理情况下,系统所有端口仍能保持线速转发。
完善的流分类和关键业务QOS保证。针对语音、数据、视频多业务融合网络对高服务质量保证的需求,STAR-S3550设计了能在不同网络层次上提供对网络资源实施带宽控制的高级多队列QOS结构,提供了多层流分类和流控制能力,可实现基于流的带宽控制、转发优先级等多种流策略,支持网络根据不同应用以及相应所需的服务质量特质提供服务。另外,该系列产品还支持各种单播和组播动态路由协议,可适应不同网络规模进行多播服务的应用环境。
多种访问控制手段提高网络安全性。STAR-S3550系列多层交换机还具有端口安全、用户接入认证(802.1x)、ACL控制等多种措施,满足企业网加强对访问者进行控制、限制非授权用户通信的需求,以此提高整个网络的安全性能及可运营能力。
超强故障恢复能力及易于部署使用。STAR-S3500系列交换机具有极高的容错能力,为网络的稳定运行提供了有力的保障;同时,支持业界领先的EAPS功能和冗余电源,极
大地提高了网络的高可用性。特别值得一提的是,一方面STAR-S3500系列交换机通过
Java-based Web管理方式,可迅速和高效地配置设备;另一个方面,由于采用了通用的
CLI界面,在为用户的配置提供方便的同时,还大大简化了网络设备、应用、带宽及服
务实施的综合管理。
综上所述,STAR-S3550-24/S3550-48既可以作为小型企业、普教、小型机关单位、
政府部门等中小型网络的核心设备;也可以承担大中型网络的汇聚层工作。而
STAR-S3550-12G/24G全千兆交换机则主要应用于需要千兆端口数多、多媒体应用、完善
的管理策略的大中型网络汇聚层,同时也可以作为小型网络的核心层设备,构建小型化
的智能网络。
RG-R3600系列模块化中心路由器是锐捷网络公司开发的面向企业级的网络产品,
采用模块化设计,提供了多个网络/语音模块插槽,支持种类丰富、功能齐全、高密度的
网络/语音模块,可实现更多的组合应用。64位的微处理器技术,使用RGNOS(锐捷网
络操作系统平台),提供了极其丰富的软件特性,支持哑终端接入服务,支持IPv4/IPv6,
VoIP特性等,提供丰富的备份方案及QoS特性;硬件采用模块化结构,具有更高的处
理能力和更大的接入密度,既可以在中小型企业网中担当核心路由器,也可以在大型网
络中担当汇聚层路由器。适合大中型企业、金融体系、各大公司的办事处和中型 Internet
服务供应商的模块化多服务访问平台,可以实现大规模、高密度的专线、拨号、宽带和
IP语音接入。
RG-R3600系列包含二款路由器:RG-R3642和RG-R3662。
特征与优势 一、 先进高效的硬件体系结构
采用高速3口PCI桥,前端总线带宽达到2G;
每个模块上可以支持4个以上的PCI设备;
高效的硬件体系架构,配合400M的MPC RISC CPU,软件执行效率比PC100内存速度
快1.33倍的PC133M服务器专用内存,运行在稳定、高效、安全RGNOS软件平台上,
RG-R3662/R3642包转发率可以达到350Kpps,远远高于业界同等档次的产品。RG-R36
系列路由器的高性能是业务的高性能,在处理各种业务时转发性能基本不会下降;
二、 主机固化2个10/100M快速以太网口
l 主机固化两个10/100M快速以太网口,在不购买任何模块的情况下,便可以实现
宽带互联。
三、 模块化结构设计
l RG-R3662具有6个网络/语音模块插槽,RG-R3642具有4个网络/语音模块插槽,
支持种类丰富、功能齐全、高密度的网络/语音模块,可实现更多的组合应用。
四、 强大的数据处理能力
l 采用先进的PowerPC 通讯专用处理器,2G带宽的PCI总线技术,包转发延迟小,
高效的数据处理能力支持高密度端口,保证在高速环境下的网络应用;
五、 良好的语音支持功能
l 支持G.711、G.723、G.729等多种语音编码格式,支持H.323协议栈,可以和多
家VOIP厂商的设备互通;
l 支持实时传真功能;
l 支持语音网守功能。
六、 高效安全的终端服务
l 提供64位密钥的RC4加密,可以实现路由器到UNIX服务器之间的数据安全加
密;
l 提供固定终端服务登陆的功能,确保路由器上每台终端登陆时,每次得到的终端
号都是固定的,有利于管理。
七、 高可靠性
l 支持链路备份、路由备份等多种方式的备份技术,提高整个网络的可靠性;
l 支持VRRP热备份协议,实现线路和设备的冗余备份;
l RPS冗余电源支持。
八、 高安全性
l 完善的防火墙技术,支持基于源目的IP、协议、端口以及时间段的访问列表控制
策略;
l 支持IP与MAC地址的绑定,有效防止IP地址的欺骗;
l 支持认证、授权、记录用户信息的AAA认证技术,支持Radius认证协议;
l 支持动态路由协议中的路由信息认证技术,保证动态路由网络中路由信息的安全
和可靠;
l 支持PPP协议中的PAP、CHAP认证及回拨技术。
九、 方便易用易管理
l 采用标准CLI界面,操作更简单;
l 支持SNMP协议,配置文件的TFTP上传下载,方便网络管理;
l 支持Telnet/Console,方便的实现远程管理和控制;
l 多样的在线升级,为将来的功能扩展预留空间。
图2.3为路由器
路由器具有的性能:
支持ACL,基本的访问控制列表,和高级的访问控制列表,基于
接口的访问控制列表。支持局域网内用户使用地址池中的IP地址访问外部网络,将访问
控制列表与地址池的关联,也可以将访问控制列表与接口的关联,支持外部网络主机访
问内部的服务器。多线路负载均衡和线路备份,且防病毒保证网络稳定不掉线,独特的
硬件端口监控功能。
特征与优势:RG-NBR1200是锐捷网络公司推出的针对有多个出口的中小型网吧、
中小型企业宽带上网的电信级路由器,带有防病毒、防攻击功能,所有的接口都自动识
别网线和交叉线。 NBR1200支持端口镜像、VLAN、防ARP地址欺骗、抗网络攻击、
网络流量分析,在面板上提供了网络状态指示灯和攻击告警灯,通过看灯就轻松知道网
络运行情况,实现基于IP地址的限速功能,为内部PC灵活分配带宽,BT下载、在线
视频不影响其他人正常使用,同时内置高性能防火墙,为高速安全的宽带共享提供可靠
保障。
图2.4为防火墙
。
一般来说,硬件防火墙的例行检查主要针对以下内容:
1.硬件防火墙的配置文件
不管你在安装硬件防火墙的时候考虑得有多么的全面和严密,一旦硬件防火墙
投入到实际使用环境中,情况却随时都在发生改变。硬件防火墙的规则总会不断地
变化和调整着,配置参数也会时常有所改变。作为网络安全管理人员,最好能够编
写一套修改防火墙配置和规则的安全策略,并严格实施。所涉及的硬件防火墙配置,
最好能详细到类似哪些流量被允许,哪些服务要用到代理这样的细节。
在安全策略中,要写明修改硬件防火墙配置的步骤,如哪些授权需要修改、谁
能进行这样的修改、什么时候才能进行修改、如何记录这些修改等。安全策略还应
该写明责任的划分,如某人具体做修改,另一人负责记录,第三个人来检查和测试
修改后的设置是否正确。详尽的安全策略应该保证硬件防火墙配置的修改工作程序
化,并能尽量避免因修改配置所造成的错误和安全漏洞。
2.硬件防火墙的磁盘使用情况
如果在硬件防火墙上保留日志记录,那么检查硬件防火墙的磁盘使用情况是一
件很重要的事情。如果不保留日志记录,那么检查硬件防火墙的磁盘使用情况就变
得更加重要了。保留日志记录的情况下,磁盘占用量的异常增长很可能表明日志清
除过程存在问题,这种情况相对来说还好处理一些。在不保留日志的情况下,如果
磁盘占用量异常增长,则说明硬件防火墙有可能是被人安装了Rootkit工具,已经
被人攻破。
因此,网络安全管理人员首先需要了解在正常情况下,防火墙的磁盘占用情况,
并以此为依据,设定一个检查基线。硬件防火墙的磁盘占用量一旦超过这个基线,
就意味着系统遇到了安全或其他方面的问题,需要进一步的检查。
3.硬件防火墙的CPU负载 和磁盘使用情况类似,CPU负载也是判断硬件防火墙系统运行是否正常的一
个重要指标。作为安全管理人员,必须了解硬件防火墙系统CPU负载的正常值是
多少,过低的负载值不一定表示一切正常,但出现过高的负载值则说明防火墙系统
肯定出现问题了。过高的CPU负载很可能是硬件防火墙遭到DoS攻击或外部网络
连接断开等问题造成的。
傲盾百兆硬件防火墙,电口接入,支持多网段防护,跨路由模式,跨网段模
式,跨VLAN等模式的防护,适合百兆环境,小中型企业,IDC服务商及系统集
成工程,可有效防护300台服务器。300MDDoS攻击下,各服务器连接正常。规则
设置灵活,功能强大,可以针对服务器功能分别设置规则防护,独特的WEBHTTP
协议保护功能,保护web站点和网游7000,7100,7200端口免受空连接,CC,CC
变种等攻击。
3、设备调试
配置交换机telnet过程:
Switch>enable 进入特权模式
Switch#configure terminal 进入全局模式
pyh-078(config)#hostname pyh-078
pyh-078(config)#interface vlan 1 进入交换机管理接口配置模式
pyh-078(config-if)#no shutdown 开启交换机管理端口
pyh-078(config-if)#ip address 192.168.1.1 255.255.255.0 配置交换机管理接口IP地址。
pyh-078(config-if)#end
pyh-078(config)#enable secret level 1 0 star !配置远程登陆密码
pyh-078(config)#enable secret level 15 0 star !配置进入特权模式密码
图2.5为配置交换机截图
配置路由器:
Router>enable 进入特权模式
Router# configure terminal !进入全局配置模式
Router(config)#hostname pyh-078
pyh-078(config)# interface fastethernet 1/0 !进入路由器接口配置模式
pyh-078(config-if)# ip address 192.168.1.1 255.255.255.0 !配置路由器管理
接口IP地址
pyh-078(config-if)# no shutdown !开启路由器f 1/0接口
pyh-078(config)#show ip interface fastethernet 1/0 !验证接口fastethernet
1/0的IP地址已经配置和开启
pyh-078(config)# line vty 0 4 !进入路由器线路配置模式
pyh-078(config-line)# login !配置远程登录
pyh-078(config-line)# password star !设置路由器远程登录密码为 “star”
pyh-078(config-line)#end
pyh-078(config)# enable secret star !设置路由器特权模式密码为 “star” 或
者 pyh-078(config)# enable password star
查看配置文件
show version !查看版本及引导信息
show running-config !查看运行配置
show startup-config !查看用户保存在NVRAM中的配置文件
保存配置文件
Router#copy running-config startup-config
交换机端口隔离:
Switch>enable (进入交换机特权模式)
Switch#configure terminal (进入交换机全局模式)
Switch(config)#vlan 10 (创建vlan10)
Switch(config-vlan)#name aaa (将vlan10命名为aaa)
Switch(config-vlan)#exit(退出vlan模式)
Switch(config)#vlan 20(创建vlan20)
Switch(config-vlan)#name bbb(将vlan20命名为bbb)
Switch(config-vlan)#exit
Switch(config)#exit
Switch#show vlan
Switch#configure terminal
Switch(config)#interface f0/5 (进入f0/5的接口配置模式)
Switch(config-if)#switch access vlan 10 (将f0/5端口加入vlan10中)
Switch(config-if)#exit
Switch(config)#interface f0/15(进入f0/15的接口配置模式)
Switch(config-if)#switch access vlan 20(将f0/15端口加入vlan20中)
Switch#show vlan
验证配置信息
Switch# show vlan
VLAN Name Status Ports
---- -------- -------- ---------------
1 default active Fa0/1, Fa0/2, Fa0/3, Fa0/4,
Fa0/6, Fa0/7, Fa0/8, Fa0/9
Fa0/10, Fa0/11, Fa0/12, Fa0/13
Fa0/14, Fa0/16, Fa0/17, Fa0/18
Fa0/19, Fa0/20, Fa0/21, Fa0/22
Fa0/23,Fa0/24
4 VLANaaa active Fa0/5
5 VLANbbb active Fa0/15
PC1 Ping PC2(ping不通,隔离成功)。
4、网络安全
我国网络安全事件发生量的增长幅度较大,网络仿冒、网页恶意代码、网站篡改等增 长速度接近200%,木马主机的增长率为2125%。我国网络安全面临的形势非常严峻。国 家计算机网络应急技术处理协调中心运行管理部主任孙蔚敏说,“木马、僵尸网络和与域 名相关的安全问题等构成了主要威胁。”面临严峻的网络安全形势,如何寻求网络安全问 题的解决之道,成为重中之重。针对此问题,当务之急是建立并拥有一套完善的网络安全预 警和应急保障体系。为达到这一目标,各方面都要贯彻执行“积极预防、及时发现、快速 响应、力保恢复”的十六字方针。
人们在享受到各种生活便利和沟通便捷的同时,网络安全问题也日渐突出、形势日 益严峻。网络攻击、病毒传播、垃圾邮件等迅速增长,利用网络进行盗窃、诈骗、敲诈 勒索、窃密等案件逐年上升。严重影响了网络的正常秩序,严重损害了网民的利益,网 上色情、暴力等不良和有害信息的传播,严重危害了青少年的身心健康。网络系统的安 全性和可靠性正在成为世界各国共同关注的焦点。在国际刑法界列举的现代社会新型犯 罪排行榜上,计算机犯罪和网络侵犯权已名列榜首。无论是数量、手段、还是性质、规 模,都出乎人们的意料。据有关方面统计,目前美国每年由于网络安全问题而遭受的经 济损失超过170亿美元。德国、英国也均在10亿以上,法国为100亿法郎、日本、新加 坡问题也很严重。比经济损失更为严重的是,人们将逐渐对全球网络的安全失去信心。 网络问题不断,人们还怎么敢使用它?一旦不用网络,再好的网络服务也维持不下去。 特别是全球互联网规模在不断扩大、技术含量不断提高,这些都要求有一个高可靠性、 高质量的网络来承载,支撑由此带来的网络流量、管理控制、交换传输的复杂变化,这
些都对全球网络的安全提出了新的更高要求。
网络防范
计算机网络安全的防范措施
1、加强内部网络治理人员以及使用人员的安全意识很多计算机系统常用口令来控制对系统资源的访问,这是防病毒进程中,最轻易和最经济的方法之一。网络治理员和终端操作员根据自己的职责权限,选择不同的口令,对应用程序数据进行合法操作,防止用户越权访问数据和使用网络资源。
在网络上,软件的安装和治理方式是十分关键的,它不仅关系到网络维护治理的效率和质量,而且涉及到网络的安全性。好的杀毒软件能在几分钟内轻松地安装到组织里的每一个NT服务器上,并可下载和散布到所有的目的机器上,由网络治理员集中设置和治理,它会与操作系统及其它安全措施紧密地结合在一起,成为网络安全治理的一部分,并且自动提供最佳的网络病毒防御措施。当计算机病毒对网上资源的应用程序进行攻击时,这样的病毒存在于信息共享的网络介质上,因此就要在网关上设防,在网络前端进行杀毒。
2、网络防火墙技术
是一种用来加强网络之间访问控制,防止外部网络用户以非法手段通过外部网络进入内部网络,访问内部网络资源,保护内部网络操作环境的非凡网络互联设备。它对两个或多个网络之间传输的数据包如链接方式按照一定的安全策略来实施检查,以决定网络之间的通信是否被答应,并监视网络运行状态。虽然防火墙是目前保护网络免遭黑客袭击的有效手段,但也有明显不足:无法防范通过防火墙以外的其它途径的攻击,不能防止来自内部变节者和不经心的用户们带来的威胁,也不能完全防止传送已感染病毒的软件或文件,以及无法防范数据驱动型的攻击。
3、安全加密技术
加密技术的出现为全球电子商务提供了保证,从而使基于Internet上的电子交易系统成为了可能,因此完善的对称加密和非对称加密技术仍是21世纪的主流。对称加密是常规的以口令为基础的技术,加密运算与解密运算使用同样的密钥。不对称加密,即加密密钥不同于解密密钥,加密密钥公之于众,谁都可以用,解密密钥只有解密人自己知道。
4、网络主机的操作系统安全和物理安全措施
防火墙作为网络的第一道防线并不能完全保护内部网络,必须结合其他措施才能提高系统的安全水平。在防火墙之后是基于网络主机的操作系统安全和物理安全措施。按照级别从低到高,分别是主机系统的物理安全、操作系统的内核安全、系统服务安全、应用服务安全和文件系统安全;同时主机安全检查和漏洞修补以及系统备份安全作为辅助安全措施。这些构成整个网络系统的第二道安全防线,主要防范部分突破防火墙以及从内部发起的攻击。系统备份是网络系统的最后防线,用来遭受攻击之后进行系统恢复。
在防火墙和主机安全措施之后,是全局性的由系统安全审计、入侵检测和应急处理机构成的整体安全检查和反应措施。它从网络系统中的防火墙、网络主机甚至直接从网络链路层上提取网络状态信息,作为输人提供给入侵检测子系统。入侵检测子系统根据一定的规则判定是否有入侵事件发生,假如有入侵发生,则启动应急处理措施,并产生警告信息。而且,系统的安全审计还可以作为以后对攻击行为和后果进行处理、对系统安全策略进行改进的信息来源。
2.3网络管理软件应用
软件防火墙应用
“金山ARP防火墙”是一款体积小巧且完全免费的专业防恶意ARP欺骗攻击软件,这款软件的最大特色之一就是可以双向拦截(即来自外部接受或是由本机发出的ARP攻击数据包)ARP欺骗攻击包并快速监测锁定攻击源,时刻保护局域网用户电脑的正常上网数据流向,是一款十分适合个人用户使用的反ARP欺骗保护工具。由于该软件可以自动进行网关动态探测和识别,并且可以启用自动"安全模式"来实时保护整个局域网的网络安全通畅,所以软件在使用的过程中几乎不需要用户的过多干预
图2.6 金山ARP防火墙主界面
软件应用:
1.开机即实时保护
作为一款专业的防恶意ARP欺骗攻击防火墙软件,"金山ARP防火墙"会每次随系统启动时自动启动并自动进入实时保护状态,这样可以在第一时间有效防堵各种ARP病毒和ARP欺骗攻击。
2.实时自动ARP欺骗拦截
当软件进入到实时保护状态后,它会主动即时自动拦截所有外来的恶意ARP
欺骗攻击。
在软件接收到没有经过合法验证的恶意ARP数据包时,软件会主动将其全部进行拦截,并且会在系统托盘中弹出自动拦截到ARP攻击的报警窗口。另外,在软件的主界面中,用户也可以即时查看到恶意ARP欺骗数据包的拦截情况。
3.取消实时保护时的攻击提醒
当用户启用了"金山ARP防火墙"的实时防控功能后,如果用户所处的网络环境ARP欺骗状况很糟糕,那么软件在每一次拦截到ARP欺骗攻击后,都会自动弹出一个个泡泡状的提醒窗口,这种连续弹出的提醒窗口势必会影响用户的一些正常电脑操作。
其实用户可以通过相应设置来取消这种自动弹出的提醒窗口:用户首先将软件界面切换到"综合设置"面板,然后在其中的"基本设置"部分单击"修改设置"按钮,在接下来弹出的修改设置窗口中只要对"拦截到ARP攻击时弹出泡泡提示"选项取消选中,即可以达到取消自动弹出提醒窗口的目的。
4.手工进行网关IP绑定
如果用户在局域网中使用的电脑相对比较固定,则可以通过手工设置的方式将自己的网关IP和自己的网卡进行"绑定"起来,这样做的好处就是可以防止自己的IP被部分ARP病毒进行恶意篡改。
用户同样打开刚才的那个"基本设置"的修改窗口,在其中的"网关设置"中首先选中"启用手工设置网关"选项,然后单击该选项下面的"添加"按钮,在接下来弹出的窗口中即可手工进行网关IP与网卡的绑定了。
第3章 实训日记
第4章 实训总结
现代的社会充满了信息与资讯,而网络的存在正是为了更好的获得信息与咨询而存在。所以大学生寝室实现网络的联通是意见很必要的事情。
但创建网络不是一件容易的事。它们都或多或少的有着一些的问题。如各个电脑之间的带宽争夺,局域网内部的安全性及数据互通性,局域网与外界连通的安全性等。因此,我所需要去完成的,就是在现有的局域网的基础上,对其进行一些优化与升级。
在实训过程中我通过设计拓扑图对寝室进行了公寓网的建成,可以使学生方便地浏览和查询网上资源实现远程学习,通过网上学习学会信息处理能力。同时可以实现各级管理层之间的信息数据交换,实现网上息采集和处理的自动化,实现信息和设备资源的共享,实现教学资源的共享。通过校园网与Internet相连 ,安全性得到保证。
对于安全性我将通过对学生宿舍公寓的区域划分,和校园网安全设备的共享来逐级实现网络的安全性。对内的安全实施包括用交换机进行VLAN的划分,在路由中创建访问控制列表,如此可对一些网络用户实行可控的安全级别。对于业务主机,例如服务器将通过用户权限的认证,实现用户与业务的隔离,避免非法用户的侵入。对重要数据库采取安全备份的机制,避免突发事件造成重要数据的丢失。支持通过防火墙对外部网络的非法访问进行过滤,防范于未然。
由于计算机通讯和多媒体应用的不断发展,网络系统必然随之不断扩大。因此,目前的网络设计必须为今后的扩充留有足够的余地,以保护用户的投资,保证用户今后三到五年的网络扩充升级能力。没有人敢说“我的网够用了”。数据网络的速度从从10M到100M、100M到1000M,到10000M,用户的数据传输需求从1K到现在的整个硬盘;网络速度在以指数级的发展,而网络需求也以指数级增长。一个成功的高校社区网络会具备很强的扩展能力,无论在支持的用户数量方面、对目前各种网络标准的支持还是在对未来新型技术、新业务的支持上都做好了充分的准备。
现在网络发展正处于一个转折点,网络新产品追求更快的性能指标,以提供更大的带宽促进商业应用;用户则要求网络技术在更加安全可靠的情况下提供象电话一样简单、易用的服务;而计算机网络体系结构和相关技术还未能从根本上解决问题。因此,计算机网络又面临着新一轮的理论研究和技术开发,既是挑战,也是机遇。人类将越来越离不开计算机网络。
参考资料
[1] 武良.计算机网络.上海:高等教育出版社,2003.5
[2] 王顺.校园网设计与远程教学系统开发.北京:人民邮电出版社,2003.7
[3] 何晖.计算机网络组建.北京:电子工业出版社,2003.6
[4] 陈妍.计算机网络原理.西安:西安交通大学出版社,2000.4
[5] 王晓春.计算机网络与Internet教程.北京:清华大学出版社,1999.3
[6] 康宗.计算机网络实用技术教程.北京:电子工业出版社,2001.9
[7] 赵宇.Internet防火墙与入侵检测技术的研究.北京:机械工业出版社,2007.8
[8] 陈明.广域网教程.北京:清华大学出版社,2004.7
[9] 林奇.网络安全技术.浙江:浙江大学出版社,2003.10
[10] 方勇.信息系统安全导论.北京:电子工业出版社,1999.12