网络工程规划与设计实训.doc

网络工程规划与设计实训报告 题 目：无线环境校园网络安全设计 专 业：计算机科学与技术（网络） 学生姓名： 陈红旭 学 号： 0951220127 指导教师： 莫永华 时 间：2012年11月6日 目录 目录 2 一、 摘要 3 二、 无线网络以及安全需求分析 3 1. 需求分析 3 2. 功能需求 4 2.1基本通信需求 4 2.2网络安全需求与可用性需求设计 4 三、 总体设计（拓扑图） 5 四、 LAN和WAN网络设计 10 1. 网络设备应用说明 10 2. Vlan、ip 、路由规划 10 3. 设备配置 12 路由配置： 12 Vlan配置： 13 DHCP-Server配置： 14 安全配置： 15 STP生成树： 17 五、 布线系统 17 布线系统设计标准以及原则 18 工作区子系统 19 水平配线子系统 19 垂直干线子系统 19 管理子系统 20 设备间子系统 20 六、 网络管理设计 20 七、 试验总结 21  摘要 无线局域网(WLAN)作为一种能够帮助移动人群保持网络连接的技术，在全球范围内受到来自多个领域用户的支持，目前已经获得迅猛发展。无线局域网(WLAN)的发展主要从公共热点(在公共场所部署的无线局域网环境)和企业组织机构内部架设两个方向铺开。 随着计算机技术的迅速发展，在计算机上处理的业务也由基于单机的数学运算、文件处理，基于简单连接的内部网络的内部业务处理、办公自动化等发展到基于复杂的内部网（Intranet）、企业外部网（Extranet）、全球互联网（Internet）的企业级计算机处理系统和世界范围内的信息共享和业务处理。在系统处理能力提高的同时，系统的连接能力也在不断的提高。但在连接能力信息、流通能力提高的同时，基于网络连接的安全问题也日益突出，整体的网络安全主要表现在以下几个方面：网络的物理安全、网络拓扑结构安全、网络系统安全、应用系统安全和网络管理的安全等。Code: 中心路由器冗余配置：（采用浮动路由） ip route 10 ip route 20 ip route 20 ip route 10 ip route 10 ip route 20 网络安全设计： 整体网络安全逻辑设计（DMZ、内网、外网） 内网可以访问DMZ内的服务器（FTP,WEB,DNS）。 DMZ区域不能主动访问内网。 外网可以访问DMZ服务器。 DMZ内的服务器无法访问外网。 内网可以访问Internet。 Internet不能访问内网。 局域网内的安全设计。 行政办公vlan不能和公寓Vlan相互通信 管理域vlan可以访问其他所有vlan，其他vlan段不能访问管理域Vlan 详细配置请见后文。 总体设计（拓扑图） 总体采用自顶向下的网络工程设计方法。如图（1-1） 图1-1 此案例中，中心机房是核心，通过中心机房既可以与外网相连。又可以连接到各个楼层的接入层交换机 楼层拓扑图以及vlan、ip。四栋楼分别对应172.16.x.x/24网络的各个子网 规划详情请见后文 下图为具体施工连线图。 按照需求，学校部门VLAN分配图： vlan 1 /24 无线热点公用 vlan 10 /24 管理域 vlan 20:/24 校领导办公室 vlan 30:/24 多媒体会议室保卫科 vlan 40:/24 教研室各专业办公室 vlan 50:/24 教学楼 vlan 60:/24 宿舍招待所 vlan 70:/24 后勤部门 楼栋到中心核心机房采用trunk链路，中心机房配置vtp服务器，各个楼栋可以学习服务器的vlan数据库。然后再进行分配。 具体分配的过程中，初步按照机构，功能划分vlan。比如，一层楼有多个部门，那么每个部门相应的连接一台2960交换机。如果某机构里包含多个功能部门，那么就放置综合交换机，并把该交换机和楼栋交换机之间的链路设置成trunk,让该交换机学习到vlan信息，然后依次在该交换机上划分具体的vlan。 可以在汇聚层分配好vlan，也可以将端口配额成Trunk在具体楼层交换机上划分端口vlan。如图（1-2）： 图1-2 如上图所示，这是本单位信息拓扑的详细设计，网络设计采用三层模型。从上到下依次为：核心层-核心机房、汇聚层-楼栋交换、接入层-楼层交换。 在这里值得一提的是，本局域网案例中，我通过配置一个DMZ区域来屏蔽子网，达到有效的安全逻辑设计。 D- DMZ是英文“demilitarized zone”的缩写，中文名称为“隔离区”，也称“非军事化区”。它是为了解决安装防火墙后外部网络不能访问内部网络服务器的问题，而设立的一个非安全系统与安全系统之间的缓冲区，这个缓冲区位于企业内部网络和外部网络之间