计算机网络与安全实践课程设计报告

计算机 网络与安全实践 课程设计报告

计算机网络与安全实践课程设计报告

计算机学院实验室局域网建设方案

专 业: 计算机科学与技术专业 班级: 小组成员： 指导教师： 职 称：

中国矿业大学计算机科学与技术学院

2011 年 4 月 徐 州

计算机 网络与安全实践 课程设计报告

计算机网络与安全实践课程设计

题

目

计算机学院实验室局域网建设方案 2011 年 2 月 21 日至 2011 年 4 月 10 日 在本次设计中承担的任务 需求分析、主流网技术与分析、网络拓扑结构的设计、 网络拓扑图的绘制 设备的基本配置、完成校园网构建的主体软件和设计、 绘制各个结构的网络图形以及设计方案、 文档整理与搜 集、 资料搜集、 可扩展性和易维护性、 未来升级与扩展、 IP 地址的划分、现状分析、网络设计的分析以及参与 层次化的设计 交换机的选择与配置、路由的选择与配置、校对工作后 期的测试、维护与后期拓展、对于已经设计好了的方案 进行实施完成达到最终目标、 以及网络平台的设计并参 与模块化的设计、实际考察校园网的网络结构 网络安全设计与管理、组网技术的分析与选型、网络设 计目标的确定 文档成绩

设计日期 小组成员

第 1 页

计算机 网络与安全实践 课程设计报告

计算机网络与安全实践课程设计

指导教师签字： 年 月 日

第 2 页

计算机 网络与安全实践 课程设计报告

目 录

1、引言 ................................................................................................................................................................ 4

1.1 目前现状 .............................................................................................................................................. 4

1.2 需求分析 .............................................................................................................................................. 4

2、网络设计的目标与要求 ................................................................................................................................ 7

2.1 网络设计的目标与要求 ...................................................................................................................... 7

1. 计算机实验室的设计目标 ............................................................................................................ 7

2. 计算机实验室网络的建设要求 .................................................................................................... 7

2.2小组成员分工 ....................................................................................................................................... 8

3、方案设计与实现 ............................................................................................................................................ 9

3.1网络设计原则 ....................................................................................................................................... 9

3.2 主流组网技术分析与选择 ................................................................................................................ 10

3.2.1 星型拓扑 ................................................................................................................................ 10

3.2.2 总线拓扑 ................................................................................................................................ 10

3.2.3 环型拓扑 ................................................................................................................................. 11

3.2.4 树型拓扑 ................................................................................................................................. 11

3.2.5 混合型拓扑 ............................................................................................................................ 12

3.2.6 网型拓扑 ................................................................................................................................ 12

3.3 网络拓扑结构设计 ............................................................................................................................ 13

3.3.1模块化设计 ............................................................................................................................. 13

3.3.2层次化设计 ............................................................................................................................. 13

3.3.3 网络拓扑图 ............................................................................................................................ 15

3.3.4 方案的说明 ............................................................................................................................ 16

3.4 IP地址划分 ....................................................................................................................................... 17

3.4.1 IP地址及VLAN划分原则 ..................................................................................................... 17

3.4.2 IP地址及VLAN划分 ............................................................................................................. 18

3.4.3 NAT的实现 ............................................................................................................................. 18

3.4.3、访问列表的实现 .................................................................................................................. 19

3.5设备选型与配置 ................................................................................................................................. 19

3.6 路由选择与配置 ................................................................................................................................ 20

3.7 网络安全设计与管理 ........................................................................................................................ 20

3.7.1安全需求分析 ......................................................................................................................... 20

3.7.2网络安全控制 ......................................................................................................................... 21

3.7.3网络管理设计 ......................................................................................................................... 22

3.8 未来升级与扩展 ................................................................................................................................ 25

4、网络施工与结构化布线 .............................................................................................................................. 26

4.1网络布局的原则 ................................................................................................................................. 26

4.2网络布局的具体实施要求 ................................................................................................................. 26

4.3布线系统的规划与设计 ..................................................................................................................... 27

4.4网络布局的规划与设计 ..................................................................................................................... 27

5、总结 .............................................................................................................................................................. 29

6、参考文献 ...................................................................................................................................................... 30

计算机 网络与安全实践 课程设计报告

1、引言

1.1 目前现状

近年来，校园网络的建设在高效掀起一股热潮，许多中学都建起了自己的校园网，形成了一个覆盖全国的计算机网并通过专线与Internet连通。

从学校的长远发展考虑，通过校园网可以更好的为学校教育教学提供资源共享、信息交流和促进学校各部门之间的协调工作，这必将增强学校管理水平，提高教学和科研水平，改善教学和科研环境，使教学多出人才，科研出成果，对学校的发展有着十分重要而深远的意义。

随着互联网技术的广泛普及和应用，从而带来了网络技术人才需求量的不断增加，网络技术教育和人才培养成为高等院校一项重要的战略任务。

建设优质的实验室局域网有利于学术研究，有利于网络教学，有利于培养学生实践动手能力，有利于学生就业，有利于提升学校的品牌的一件大好事。所以建设实验室局域网是必须的。

1.2 需求分析

计算机实验室局域网的建设，最终是通过学校网络中心将网络接入到计算机实验室的每个机房，使师生员工可以在机房进行各种活动，有助于提高师生的生活质量，对计算机技术的教学提供了极大的帮助。因此，建设计算机实验室局域网是学校发展的不可就目前对部分需求和网络应用的需求考察结果，并尊重“长远考虑、就地起步”的规划，技术上遵循开放、标准、成熟、安全、可靠和可扩展的思想，追求技术上的先进性与成熟性、实用性相结合，追求整个系统性能的最佳化、理优化、节省费用等原则原则。

计算机实验室拥有一个完整的以太网布局，通过路由器与学校网络中心光纤连接， 由两层交换机将各个机房的信息点连通。计算机实验室位于计算机学院楼四楼，每个实验室是一间长方形教室，每个实验室大约有60台计算机。根据我校学生多、机位少的实际情况，制定如下网络需求：

(1) 使用带有VLAN功能的二层网管和三层网管交换机组网，将100台左右计算机按需要划分为若

干个VLAN，配置交换机使每个网段之间可以通讯

(2) C类局域网，独立网段，自主分配IP地址；

(3) 每台计算机通过URL自由访问Internet网络资源；

(4) 计费的功能，所要创建的局域网要实现计费功能，按时间收费。学生可以用校园一卡通开通账

户，缴费上网。

(5) 选择可伸缩的结构和高性能的设备，能够高速传输数据，同时通过技术保证，安全地接入Internet

和一体化的网络解决方案。

(6) 计算机终端设备的选型既考虑性能、价格比、设备的运行维护费用，也考虑设备的可扩充性。

确保系统主要设备的投入在整个系统的生命周期内能得到充分利用并具有强健灵活的体系结构。

(7) 节约空间，减少噪音污染；

建设的局域网要努力克服一些通病，如：设备种类繁多、机位拥挤不堪、网线密集凌乱、维护困难

计算机 网络与安全实践 课程设计报告

重重、空气流通不畅、往来人员频繁而中空的防静电地板将每个人脚下的声音传播到整个机房，混合上交换机噪音，产生噪音污染。

设计一个网络，首先要确定用户对网络的真正需求，其中包括分析原有网络现在面临的主要问题，并找出新的用户需求和未来的发展可能，在此基础上设计选择合适的网络结构和网络技术，建设满足需求的网络。

随着教学及管理水平的不断提高，网络会发挥越来越重要的作用，此外，未来的一些新的应用也对网络提出了支持多点广播的要求。

为确保校园网建设和应用的成功，对网络方案的设计大致可归纳出以下的需求：

1、高带宽

为了支持数据、话音、视像多媒体的传输能力，在技术上要到达当前的国际先进水平。要采用比较先进的网络技术，以适应大量数据和多媒体信息的传输，既要满足目前的业务需求，又要充分考虑未来的发展。为此应选用高带宽的先进技术。

2、高可靠性

网络系统应具有高可靠性、高安全性，具体到本项目中，要求采用可靠性较高的产品和网络架构，在物理层、数据链路层和网络层等多个层次都有相应的技术，以最大程度的保证网络的正常运转。

3、QoS保证

当今网络中多媒体的应用越来越多，这类应用对服务质量的要求较高，新的网络系统应能保证QoS，以支持这类应用。

4、多协议支持

由于网络将要存在不同的业务和办公应用系统，并基于不同的网络协议，所以网络系统应能支持多种协议（IP、SNA、Netbios等），是一个开放型的网络，支持各种协议的互连。

5、易管理、易维护

由于校园网的网络系统规模庞大，需要网络系统具有良好的可管理性，网管系统具有监测、故障诊断、故障隔离、过滤设置等功能，以便于系统的管理和维护。同时应尽可能选取集成度高、模块可通用的产品，以便于管理和维护。

6、安全性

网络系统应具有良好的安全性，要充分的保证网络的安全性，应该根据相应的管理制度和网络策略制定一套完善的安全政策，基于此安全政策，采用合适的技术手段，以达成目标，保证系统的安全性。

7、可扩展性和可升级性

系统要有可扩展性和可升级性，随着业务的增长和应用水平的提高，网络中的数据信息流将按指数增长，需要网络有很好的可扩展性，并能随着技术的发展不断升级。

8、IP Multicast

网上培训和视频点播将越来越成为网络中重要的应用，并占用越来越多的带宽。由于这些应用往往是带宽需求较大的，所以在本项目中，网络系统应能支持IPMulticast，可以减少网络中不必要的广播，节省主干的带宽。

9、符合国际标准

选用符合国际标准的系统和产品，可以保证系统具有较长的生命力和扩展能力，满足将来系统升级的要求。

10、另外，还有如下几个方面的需求：

整个网络系统分布相对较广泛

整个网络采用先进的网络结构，以满足传输、存储和处理数据、语音及图象信息的需要。

和INTERNET接通。

满足网上的集成系统和业务系统的需求。

计算机 网络与安全实践 课程设计报告

完整统一的系统管理平台。

此外，在建设实验室局域网过程中还要考虑以下因素：

（1）主干层网落承载能力要求

主干层的功能主要是实现骨干网络之间的优化传输，负责整个网络的网内数据交换。网络的功能控制最好尽量少在骨干层上实施，主干层设计任务的重点是冗余能力、可靠性和高速的传输。核心层一直被认为是流量的最终承受者和汇聚者，所以要求主干层交换机拥有较高的可靠性和性能。

（2）汇聚层接点接入要求

汇聚层主要负责连接接入层接点和核心层中心，汇聚分散的接入点，扩大核心层设备的端口密度和种类，汇聚各区域数据流量，实现骨干网络之间的优化传输。汇聚交换及还负责本区域内的数据交换，汇聚交换机一般与主干层交换机同类型，仍需要较高的性能和比较丰富的功能，但吞吐量较低。

(3) 可靠性和自愈能力要求

网络系统的稳定可靠是应用系统正常运行的关键保证，在网络设计中选用高可靠性网络产品，合理设计网络架构，制订可靠的网络备份策略，保证网络具有故障自愈的能力，最大限度地支持系统的正常运行。

(4) 安全性要求

制订统一的骨干网安全策略，整体考虑网络平台的安全性。可以通过各业务子网隔离，全网统一规划IP地址，根据不同的业务划分不同的子网（subnet），相同物理LAN通过VLAN的方式隔离，不同子网间的互通性由路由策略决定。

(5) 性价比要求

建设网络时选用的设备要具有较高的性价比，用最小的成本建设最优质的网络。

计算机 网络与安全实践 课程设计报告

2、网络设计的目标与要求

2.1 网络设计的目标与要求

1. 计算机实验室的设计目标

网络实验室的建设要有一定的前瞻性，应在有限的资金条件下建立一个适应计算机网络技术发展，集教学、科研、培训和社会服务于一体的综合性实验室。网络实验室建设的主要目标是：

(1)建立多样化的实验环境。让参与网络技术学习的学生能够一边学习理论知识，一边认识了解和掌握网络设备的结构、功能和使用方法，并动手进行必要的网络设计、网络组建、网络管理、网络安全和网络应用的实验，通过一系列的验证型、演示型、自主设计型、综合型和创新型实验，使学生掌握计算机网络技术的实验技能，强化对所学知识的理解，以培养学生的动手能力、工程实践能力、创新能力和团队协作精神。

(2)满足专业教师学习网络、从事网络技术研究和应用系统开发的需要。网络实验室应涵盖目前主流的网络技术和设备，具有良好的可扩展性。要求系统能够模拟先进的网络技术环境，搭建网络工程；实验设备和实验内容应能非常灵活地进行扩展，从而为专业教师研究当前网络最前沿的技术动态和发展(例如网络安全、IPv6、VolP等)提供完善的实验平台，并能在此平台之上从事网络应用系统与技术的研发，提高学校整体网络科研与教学应用水平。

(3)满足实习基地建设的需要。网络实验室的建设要面向社会，为社会尽可能多地培养紧缺的IT人才。但今天的IT人才市场，越来越关注技术人员的实际经验和动手操作能力。因此，新建的网络实验室，要能够模拟宽带数据城域网及大型园区网的组网方式和业务思路，并可以构建多种类型的局域网和广域网。可以让学生亲自搭建网络、亲自动手调试和配置网络，通过在网络实验室中的实验和操作，真正提高他们的网络技能和实战能力。此外，网络实验室还应充分考虑多种技术的融合、多个平台的操作、多厂家设备的互联，可以提供仿真的网络设备配置环境，让学生了解更多的系统，掌握更多的设备使用。

2. 计算机实验室网络的建设要求

第一、经济而实用

灵活的拓扑结构的网络实验室，所提供的实验平台可以适合多种应用实验的需要。可以实现同一时段多人做实验，也可合并在一起组成大的实验环境，体现网络实验室在拓扑环境组合上的灵活性及整体的经济性。

第二、可扩展和易维护性

由于计算机网络技术发展快速的特点，在网络实验室建设过程中，选择设备时要求其在提供多种冗余保证稳定的情况下，还必须具有超强的扩展能力。如各种交换机都提供多个扩展插槽和提供足够的背板带宽，同时还采用设备管理软件来解决设备在维护上的问题。

第三、社会实际紧密结合性

所建设的网络实验室是完全结合社会真实的网络进行组建的，所有的实验都是从实际的网络环境中

计算机 网络与安全实践 课程设计报告

截取的，做到实验和社会实际有机地结合起来，以提高中职院校的综合竞争实力与学生就业能力。实验教学内容应与社会应用实践密切联系，形成良性互动，实现学与用的有机结合。要认真考虑设置哪些实验项目、采用何种实验手段才能切实提高学生的动手能力，培养学生的独立性和创造性，保证实验教学的质量。

完善计算机实验室局域网基础设施建设，构建技术先进、扩展性强、安全可靠、高速畅通的网络环境。建立公共信息系统基础平台，提供先进数字化管理手段，提高管理效率；建立功能齐全的教学管理平台；建设内容丰富的教学资源库，实现教学资源共享；提高全校师生信息素养，为培养高技能应用性人才和服务社会搭建公共服务平台。在网上宣传和获取教育资源；在此基础上建立能满足教学、科研和管理工作需要的软、硬件环境；开发各类信息库和应用系统，为学校各类人员提供充分的网络信息服务；系统总体设计本着总体规划、分布实施的原则，充分体现系统的技术先进性、高度的安全可靠性、良好的开放性、可扩展性，以及建设经济性。

2.2小组成员分工

胡奥：需求分析、主流网技术与分析、网络拓扑结构的设计、网络拓扑图的绘制、现状分析

李春炜：网络安全设计与管理、IP地址的划分、组网技术的分析与选型、网络设计目标的确定 季程：交换机的选择与配置、路由的选择与配置、校对工作后期的测试、维护与后期拓展

耿士金：文档整理与搜集、资料搜集、设备的基本配置、可扩展性和易维护性、未来升级与扩展

计算机 网络与安全实践 课程设计报告

3、方案设计与实现

3.1网络设计原则

在充分考虑多应用、易管理的同时，本方案遵循如下原则：

1) 开放性与稳定性原则:在设计校园网络时应尽量采用结构化、模块化、标准化的设计。技术选择必须符合相关国际标准及国内标准,避免个别厂家的私有标准或内部协议,确保网络的开放性和互联互通,满足信息准确、安全、可靠、优良交换传送的需求;开放的接口,支持良好的维护、测量和管理手段,提供网络统一实时监控的遥测、遥控的信息处理功能,实现网络设备的统一管理。

满足校园网络各种不同用户需求、达到校园网络系统稳定、保证总体方案的设计合理、便于校园网络使用过程中的管理与维护,同时也应采用开放性的网络体系,方便网络的升级、扩展,在选择服务器等网络产品时,使用支持的多种不同网络协议的国际标准化产品,在保证校园网络稳定性的同时具备开放性。

2) 先进性与实用性原则:网络技术发展快,设备更新淘汰也很快。在设计校园网络时既要采用先进的概念、技术和方法,又要注意结构、设备、工具的相对成熟。采用符合国际标准的成熟、先进的技术和设备,确保校园网络能够适应将来校园网络发展需要,保证在未来若干年内占主导地位。

由于学校资金并不充足,部分先进设备不可能一步到位。另外,学校的应用水平也有限,某些过于先进系统和设备即使安装了也会存在利用不起来的现象,因此,在设计校园网络时应在先进性的指导下面向实用,注重实效的方针,坚持应用、经济的原则。

3) 安全性与可靠性原则:校园网络的安全与可靠包括设备、系统、应用等多个方面的因素,在设计校园网络时,在结构、设备、系统、应用、性能等方面所面临的威胁以及可能承担的风险进行定性与定量相结合的分析,然后制定规范和措施,确保校园网络具有良好的安全性和可靠性。

校园网络安全是整体的、动态的,校园网络安全既包括采用相应的安全设备,还包括相应的管理手段。网络安全随着环境、时间的变化也会发生变化。在设计校园网络时应充分考虑系统安全的整体性和动态性。

校园网络为多种不同需求的用户提供互联并提供不同目的的服务,要求不仅能进行灵活有效的安全控制,同时还应支持虚拟局域网、虚拟专用网,以提供多层次的安全选择。在设计校园网络时,既要考虑信息资源的充分共享,更要注意信息的保护和隔离,针对不同的应用和不同的网络通信环境、采取不同的措施,包括系统的安全机制、数据存取的权限控制等,保证网络可靠性,包括网络物理级的可靠性以及网络逻辑的可靠性。

4) 可扩展性原则:在设计校园网络时,要具有可扩展性和可升级性的思想,随着学校不断的扩招,业务的增长和应用水平的提高,网络中的数据和信息流会按指数级增长,需要网络有很好的可扩展性,并能随着技术的发展不断升级,把校园网络建设成完整统一、组网灵活、易扩充的弹性网络平台。设备应选用符合国际标准的系统和产品,保证系统具有较长的生命力和扩展力,满足将来系统升级的要求。

5) 可维护性原则:校园网络系统规模宠大,应用丰富而复杂,需要校园网络具有良好的可管理性,校园网络管理系统具有监测、故障诊断、故障隔熟、过滤设置等功能,设计时,应尽可能选取集成度高、模块可通用的产品,以便于管理和维护。

总之,在设计校园网络时,不仅要保持校园网络的先进性,而且要保持校网网络的实用性,不仅要考虑学校的现有需求,也要考虑学校未来发展规划,不仅要考虑利用先进技术,还要考虑学校的经济实力。

计算机 网络与安全实践 课程设计报告

3.2 主流组网技术分析与选择

网络拓扑结构就是网络的形状，或者是它在物理上的连通性。构成网络的拓扑结构有很多种，通常包括：星型拓扑、总线拓扑、环型拓扑、树型拓扑、混合型拓扑、网型拓扑。

拓扑结构的选择往往与传输媒体的选择和媒体访问控制方法的确定紧密相关。在选择网络拓扑结构时，应该考虑的主要因素有下列几点：

1.可靠性 尽可能提高可靠性，保证所有数据流能准确接收。还要考虑系统的维护，要使故障检测和故障隔离较为方便。

2.费用低 它包括建网时需考虑适合特定应用的费用和安装费用。

3.灵活性 需要考虑系统在今后扩展或改动时，能容易地重新配置网络拓扑结构，能方便地对原有站点的删除和新站点的加入。

4.响应时间和吞吐量 要有尽可能短的响应时间和最大的吞吐量。

3.2.1 星型拓扑

星型拓扑是由中央节点和通过点到点通信链路接到中央节点的各个站点组成，如图4-16所示。中央节点执行集中式通信控制策略，因此中央节点较复杂，而各个站点的通信处理负担都很小。采用星型拓扑的交换方式有电路交换和报文交换，尤以电路交换更为普遍。现在的数据处理和声音通信的信息网大多采用这种拓扑结构。目前流行的专用交换机PBX（Private Branch Exchange）就是星型拓扑的典型实例。一旦建立了通道连接，可以无延迟地在连通的两个站点之间传送数据。

1.星型结构的优点。

(1)控制简单 在星型网络中，任何一站点和中央节点相连接，因而媒体访问控制的方法很简单，致使访问协议也十分简单。

(2)容易做到故障诊断和隔离 在星型网络中，中央节点对连接线路可以一条一条地隔离开来进行故障检测和定位。单个连接点的故障只影响一个设备，不会影响全网。

(3)方便服务 中央节点可方便地对各个站点提供服务和网络重新配置。

2.星型拓扑的缺点。

(1)电缆长度和安装工作量可观 因为每个站点都要和中央节点直接连接，需要耗费大量的电缆。安装、维护的工作量也骤增。

(2)中央节点的负担加重，形成瓶颈，一旦故障，则全网受影响，因面中央节点的可靠性和冗余度方面的要求很高。

(3)各站点的分布处理能力较少。

3.2.2 总线拓扑

总线拓扑结构采用一个信道作为传输媒体，所有站点通过相应的硬件接口都直接连到这一公共传输媒体上，或称总线上。任何一个站发送的信号都沿着传输媒体传播而且能被其他站接收。

计算机 网络与安全实践 课程设计报告

结 构因为所有站点共享一条公用的传输信道，所以一次只能由一个设备传输信号。通常采用分布式控制策略来决定下一次哪一个站可以发送。发送时，发送站将报文分 成分组，然后一个一个依次发送这些分组，有时要与其他站来的分组交替地在媒体上传输。当分组经过各站时，其中的目的站会识别到分组的目的地址，然后拷贝下 这些分组的内容。

1.总线拓扑的优点。

(1)总线结构所需要的电缆数量少。

(2)总线结构简单，又是无源工作，有较高可靠性。

(3)易于扩充，增加或减少用户比较方便。

2.总线拓扑的缺点。

(1)系统范围受到限制：同轴电缆的工作长度一般在2km以内，在总线的干线基础上扩展长度时，需使用中继器扩展一个附加段。

(2)故障诊断和隔离较困难：因为总线拓扑网络不是集中控制，故障检测需在网上各个节点进行，故障检设不容易。如故障发生在节点，则只需将节点从总线上去掉。如传输媒体故障，则整个这段总线要切断。

3.2.3 环型拓扑

每个站点能够接收从一条链路传来的数据，并以同样的速度串行地把该数据传送到另一端链路上。这种链路可以是单向的，以可以是双向的。单向的环型网络，数据只能沿一个方向传输，数据以分组形式发送，例如图中A站希望发送一个报文到C站，那么要把报文分成若干个分组，每个分组包括一段数据加上某些控制信息，其中包括C站的地址。A站依次把每个分组送到环上，开始沿环传输，C站识别到带有它自己地址的分组时，将它接收下来。由于多个设备连接在一个环上，因此需要用分布控制形式的功能来进行控制，每个站都有控制发送和接收的访问逻辑。

1.环型拓扑优点。

(1)电缆长度短：环型拓扑网络所需的电缆长度和总线拓扑网络相似，但比星型拓扑网络要短得多。

(2)增加或减少工作站时，仅需简单地连接。

(3)可使用光纤：它的传输速度很高，十分适用于环型拓扑的单向传输。

2.环型拓扑的缺点。

(1)节点的故障会引起全网故障，这是因为在环上的数据传输是通过接在环上的每一个节点，一旦环中某一节点发生故障就会引起全网的故障。

(2)检测故障困难，这与总线拓扑相似，因为不是集中控制，故障检测需在网上各个节点进行，故障的检测就不很容易。

(3)环型拓扑结构的媒体访问控制协议都采用令牌传递的方式，则在负载很轻时，其等待时间相对来说就比较长。

3.2.4 树型拓扑

树型拓扑是从总线拓扑演变而来，形状像一棵倒置的树，顶端是树根，树根以下带分枝，每个分枝还可再带子分枝。

计算机 网络与安全实践 课程设计报告

这种拓扑的站点发送时，根接收该信号，然后再重新广播发送到全网。树型拓扑的优缺点大多和总线的优缺点相同，但也有一些特殊桩点。

1.树型拓扑优点。

(1)易于扩展：从本质上讲，这种结构可以延伸出很多分支和子分支，这些新节点和新分支都较容易地加入网内。

(2)故障隔离较容易：如果某一分支的节点或线路发生故障，很容易将故障分支和整个系统隔离开采。

2.树型拓扑的缺点是各个节点对根的依赖性太大，如果根发生故障，全网则不能正常工作，从这一点来看树型拓扑结构的可靠性与星型拓扑结构相似。

3.2.5 混合型拓扑

将以上两种单一拓扑结构类型混合起来，取两种拓扑结构的优点构成一种混合型拓扑结构。如图4-20所示是星型拓扑和环型拓扑混合成的星型环状拓扑。

这种拓扑的配置是由一批接入环中的集中器组成，由集中器再按星型结构连至每个用户站。

1.混合型拓扑的优点。

(1)故障诊断和隔离较为方便：一旦网络发生故障，首先诊断哪一个集中器有故障，然后，将该集中器和全网隔离。

(2)易于扩展：如果要扩展用户时，可以加入新的集中器，以后在设计时，在每个集中器留出一些备用的可插入新的的站点的连接口。

(3)安装方便；网络的主电缆只要连通这些集中器，安装时就不含有电缆管道拥挤的问题。这种安装和传统的电话系统电缆安装很相似。

2.混合型拓扑的缺点。

(1)需要选用带智能的集中器：这是为了实现网络故障自动诊断和故障节点的隔离所必需的。

(2)集中器到各个站点的电缆安装会像星型拓扑结构一样，有时会使电缆安装长度增加。

3.2.6 网型拓扑

它的优点是不受瓶颈问题和失效问题的影响。由于节点之间有许多条路径相连，可以为数据流的传输选择适当的路由，绕过失效的部件或过忙的节点。这种结构虽然比较复杂，成本比较高，为提供上述功能，网形拓扑结构的网络协议也较复杂，但由于它的可靠性高，受到用户的欢迎。

上面分析了几种常用拓扑和它们的优缺点，由此可见，不管是局域网或广域网，其拓扑的选择，需要考虑很多因素。网络要易于安装，一旦安装好了，还要满足易于扩展的要求，既要方便扩展，又要保护现有的系统。

网络的可靠性也是考虑的重要因素，要易于故障诊断，易于隔离故障，以使网络的主要部分仍能正常运行。

网络拓扑的选择还会影响传输媒体的选择和媒体访问控制方法的确定，这些因素又会影响各个站点在网上的运行速度和网络软硬件接口的复杂性。

要建设一个功能完善的计算机实验室局域网络，从性能、安全、稳定等方面来考虑，树型的网络结构是我们的首选，其易于故障的诊断，以及网络的升级。

目前常用的主干网组网技术有100Mbps的快速以太网，100Mbps的FDDI， ATM网络和千兆以太

计算机 网络与安全实践 课程设计报告

网。本网主要采用快速以太交换网作为主干网的组网技术，快速以太交换网是性能较高的组网方式。它具有以下优点：技术成熟稳定；对传统的局域网及其应用有很好的支持；有效保护用户投资。

3.3 网络拓扑结构设计

校园网络的设计都是基于一个模块化，层次化的设计思想。这也是对大型网络进行高效管理的首选方法

3.3.1模块化设计

模块化就是将把整个网络按功能和安全需求分为若干个组件，这些组件之间有一定的安全边界，组件内部有完整的网络设计。模块化设计的好处在于：

1. 解决各网络之间的冲突问题；

2. 简化安装和后台设备管理；

3. 易于故障检测和分离问题；

4. 易于执行不同类型的服务和安全方针；

5. 易于扩展和/或代替原来的技术。

实验室局域网的设计可以借鉴这种思想，对各种不同种类，不同安全等级的业务进行模块划分，相互之间的访问将受到控制。

3.3.2层次化设计

对于实验室局域网络，我们采用业界通用“核心层-汇聚层-接入层”层次化网络设计模型。

计算机 网络与安全实践 课程设计报告

核心层：

核心层的主要提供不同网络模块之间优化传输服务，将分组尽可能快地从一个网络传到另一个网络，通常要保证核心层具有很高的可靠性、最佳的网络性能。汇聚层到核心层要具备冗余传输链路，任何单条链路断连不影响网络的可用性。作为所有网络流量的传输中枢，核心层除了要求高性能交换设备和高带宽传输链路外，还需考虑选用支持负载均衡或负载分担特性的设备实现负荷均衡。此外，为了避免网元故障对网络造成冲击，需要网络采用支持快速聚合的特性，一旦主用通路断开，可以很快的切换到备用通路。

汇聚层

汇聚层顾名思义就是作为访问层到骨干层的汇聚，通常为访问层与骨干层实现基于策略的网络间连接。汇聚层主要由三层交换机组成，提供对网络流量模式控制、服务访问控制、QoS、定义路由路径度量和路由协议网络通告控制。

接入层

接入层作为各模块到交换骨干的连接，根据不同模块进行逻辑子网划分，并通过 VLAN技术实现子网之间的隔离。访问层主要功能在于隔离模块间的广播流量，避免不同模块之间相互影响。访问层主

计算机 网络与安全实践 课程设计报告

要通过二层交换机组成。

“核心层-汇聚层-访问层”网络设计模型有如下优点：

高可扩展性 － 遵循层次化模型网络比扁平式网络更具有伸缩性和可管理性，因为各功能网络

通过模块化实现，潜在问题更易于识别。

易于实施 － 每一层的功能性清晰划分，简化每一层的实现。

易于故障排除 － 每一层的功能经过良好定义，网络更为简单，有助于故障的隔离。模块化设

计也有效限制故障影响范围。

易于规划和管理 － 层次化的功能划分，整个网络规划和管理更为简单。

3.3.3 网络拓扑图

计算机 网络与安全实践 课程设计报告

3.3.4 方案的说明

实验室局域网络系统从结构上分为核心层、汇聚层和接入层。核心层的功能主要是实现骨干网络之间的优化传输,骨干层设计任务的重点通常是冗余能力、可靠性和高速的传输。因存在大量的语音和视频传输。据此，考虑汇聚层对 QoS 有良好的支持并且能提供大的带宽。接入层设备是最终用户的最直接上联的设备，它应该具备即插即用特性以及易于维护的特点。根据学校建设要求与总体目标，骨干网采用三层结构，由核心层，汇聚层和接入层构成。在接入层面，通过定义相应的访问策略，实现访问控制，内外隔离和抭 IP 地址。在网络结构上，采用成熟的千兆以太网技术(第三层交换)作为核心层，呈网状拓扑结构。以 TCP/IP 协议为主，并辅以 IP/SPX. NETTEUI 等其他流行通信协议坚持开放性和标准化，采用标准的通讯规程，以有利于不同厂家之间的互连，使不同系统间易于集成，兼顾其他标准的网络体系结构，网络能实现协议之间无缝连接。而公用服务器与每一台核心层交换机都应该具备连接。在网络硬件上采用高性能、高可靠的设备，此产品是具有运营商级容错能力的高性能大型网络核心交换机，可实现冗余备份，从而提高核心层的可靠性。 整个网络通过汇聚层交换机 RG-S6806E 和核心交换机 RG-S6810E 之间的链路冗余备份和负载均衡提供安全可靠的网络构架（使用 OSPF、ECMP、WCMP 等技术），其安全保障技术提供一个全网概念的整体网络安全，而通过简单地增加万兆模块可以平滑升级到万兆骨干的实验室局域网。

中国矿业大学南湖校区校园网一期拓扑图

中国矿业大学南湖校区校园网二期拓扑图

计算机 网络与安全实践 课程设计报告

3.4 IP地址划分

3.4.1 IP地址及VLAN划分原则

简单性：地址的分配应该简单，避免在主干上采用复杂的掩码方式；

连续性：为同一个网络区域分配连续的网络地址，便于采用路由收敛

(Summarization)CIDR(Classless Inter-Domain Routing)技术缩减路由表的表项，提高路由器的处理效率；

可扩充性：为一个网络区域分配的网络地址应该具有一定的容量，便于主机数量增加时仍然能够

保持地址的连续性；

灵活性：地址分配不应该基于某个网络路由策略的优化方案，应该便于多数路由策略在该地址分

配方案上实现优化；

可管理性：地址的分配应该有层次，某个局部的变动不要影响上层、全局。

安全性：网络内应按工作内容划分成不同网段即子网以便进行管理。

计算机 网络与安全实践 课程设计报告

3.4.2 IP地址及VLAN划分

VLAN（Virtual Local Area Network）又称虚拟局域网，是指在交换局域网的基础上，采用网络管理软件构建的可跨越不同网段、不同网络的端到端的逻辑网络。一个 VLAN 组成一个逻辑子网，即一个逻辑广播域，它可以覆盖多个网络设备，允许处于不同地理位置的网络用户加入到一个逻辑子网中。组建 VLAN 的条件 VLAN 是建立在物理网络基础上的一种逻辑子网，因此建立 VLAN 需要相应的支持 VLAN 技术的网络设备。当网络中的不同 VLAN 间进行相互通信时，需要路由的支持，这时就需要增加路由设备——要实现路由功能，既可采用路由器，也可采用三层交换机来完成。

根据我校计算机实验室的实际情况，我们对各个机房的IP地址划分及VLAN划分如下：

1-4机房： 255.0.0.1/24， vlan1

5-8机房： 255.0.1.1/24， vlan2

9-10机房： 255.0.2.1/24， vlan3

11-12机房：255.0.3.1/24， vlan4

13-14机房：255.0.4.1/24， vlan5

15-16机房：255.0.5.1/24， vlan6

17-18机房：255.0.6.1/24， vlan7

19-20机房：255.0.7.1/24， vlan8

21-22机房：255.0.8.1/24， vlan9

23-24机房：255.0.9.1/24， vlan10

25-26机房：255.0.10.1/24， vlan11

27-28机房：255.0.11.1/24， vlan12

29-30机房：255.0.12.1/24， vlan13

31-32机房：255.0.13.1/24， vlan14

33-34机房：255.0.14.1/24 , vlan15

35-36机房：255.0.15.1/24, vlan16

3.4.3 NAT的实现

NAT，网络地址转换，是通过将专用网络地址转换为公用地址（如互联网Internet），从而对外隐藏了内部管理的 IP 地址。这样，通过在内部使用非注册的 IP 地址，并将它们转换为一小部分外部注册的 IP 地址，从而减少了IP 地址注册的费用以及节省了目前越来越缺乏的地址空间（即IPV4）。同时，这也隐藏了内部网络结构，从而降低了内部网络受到攻击的风险。

NAT网络地址转换的3种实现方式：

1、静态NAT（一对一）

2、动态NAT（多对多）

3、端口多路复用PAT（多对一）

本网络没有考虑NAT的具体实现。

计算机 网络与安全实践 课程设计报告

3.4.3、访问列表的实现

路由器和交换机所保持的列表用来针对一些进出路由器或交换机的服务（如组织某个IP地址的分组从路由器或交换机的特定端口出发）做访问控制。

在本网络拓扑中，使用访问列表用来实现网络的安全。用来实现相当于防火墙的功能。允许内网的用户去访问外网，而外网的用户则是除了能访问服务器或是通过VPN连接进来外，其他的访问都是被阻止的。

3.5设备选型与配置

我们选取其中一个机房作为示例，下图为实验室的三层网络结构模型：

汇聚层交换机的选择： RG－S6806E

要求汇聚层交换机支持广播、组播功能。信号从核心交换机出来，在汇聚层就进行组播，

可以减轻网络的负担。

接入层交换机的选择：STAR-S2126G/STAR-S2150G 交换机

RG-S6800E 系列多业务万兆核心路由交换机提供 1.6T/0.8T 背板带宽，并支持将来扩展到 3.2T/1.6T 的能力，高达 572Mpps/286Mpps 的二/三层包转发速率可为用户提供高速无阻塞的数据交换，强大的交换路由功能、安全智能技术可同锐捷各系列交换机配合，为用户提供完整的端到端解决方案，是大型网络核心骨干和大流量节点交换机的理想选择。 RG-S6800E 交换机通过 扩展高性能的 多业务卡支 持策略路由、 IPV6、 MPLS 、load balancing、NAT、VPN、Firewall、web cache redirect 等业务功能，满足客户环境灵活而复杂的不同应用需求。 丰富的应用支持技术（QOS、组播） RG-S6800E 提供多种流分类技术和多种 QOS 技术，包括 SP、WRR、WFQ、WRED、CAR、HOL 等，为各种应用的带宽保障提供需要的支持技术。 流分类：可以依据数据流的源/目的 MAC 地址、源/目的三层 IP 地址、三层协议（IP/IPX）、四层协议（UDP/TCP）、源/目的四层协议端口号、COS、TOS 对数据流进行区分，实现 2/3/4层的流分类功能。

数据标记：802.1p 是二层协议，可以为数据提供 8 个级别的优先级标记；DSCP 在三层的 IP 协

议报文里进行优先级标记，可以提供 64 个级别的优先标记。

队列调度：严格优先级队列 SP 保证高优先级业务总是在低优先级业务之前处理；WRR是一种加

权循环队列调度机制，首先处理高优先级，但在处理高优先级业务时，较低优先级的业务并没有被完全阻塞，而是按一定的比例同时进行。WFQ 是加权公平队列，对所有的数据流进行排队，监控吞吐率，并根据发送的信息量分配权值。WFQ 试图公平地为每个对话分配带宽，保证低带宽应用可以获得对接口的访问权，而不会被高带宽应用全部占用。

拥塞控制：WRED 加权随机早期检测协议，可以设置各个数据流在拥塞发生之前自动丢失数据的

阀值，避免较高优先级应用的拥塞丢失。HOL 通过消除 HOL 阻塞确保最高可能的吞吐量；最大限度地减少包丢失，减少多路传输和广播流量拥塞。

承诺信息速率：CAR 可以为重要的数据流设定固定的带宽，如果设定的带宽合理，满足该数据流

的需求，就可以保证重要数据流的正常转发。 提供多种组播支持技术，包括 IGMP snooping、IGMP、PIM（SSM、SM、DM），DVMRP，保证了网络中提供组播服务时的带宽合理占用。

STAR-S2126G/STAR-S2150G 是一款全线速可堆叠千兆智能交换机，提供智能的流分类和完善的服务质量（QoS）以及组播管理特性，并可以实施灵活多样的 ACL 访问控制。可通过 SNMP、Telnet、Web 和

计算机 网络与安全实践 课程设计报告

Console 口等多种方式提供丰富的管理。

3.6 路由选择与配置

RG-S6800E新一代多业务万兆核心路由交换机系。

3.7 网络安全设计与管理

3.7.1安全需求分析

１．网络的基本安全需求

满足基本的安全要求，是该网络成功运行的必要条件，在此基础上提供强有力的安全保障，是网络系统安全的重要原则。网络内部部署了众多的网络设备、服务器，保护这些设备的正常运行，维护主要业务系统的安全，是网络的基本安全需求。对于各种各样的网络攻击，如何在提供灵活且高效的网络通讯及信息服务的同时，抵御和发现网络攻击，并且提供跟踪攻击的手段。网络基本安全要求主要表现为： ★ 网络正常运行。在受到攻击的情况下，能够保证网络系统继续运行。

★ 网络管理/网络部署的资料不被窃取。

★ 具备先进的入侵检测及跟踪体系。

★ 提供灵活而高效的内外通讯服务。

２．应用系统的安全需求

与普通网络应用不同的是，应用系统是网络功能的核心。对于应用系统应该具有最高的网络安全措施。应用系统的安全体系应包含：

★ 访问控制，通过对特定网段、服务建立的访问控制体系，将绝大多数攻击阻止在到达攻击目标之前；

★ 检查安全漏洞，通过对安全漏洞的周期检查，即使攻击可到达攻击目标，也可使绝大多数攻击无效；

★ 攻击监控，通过对特定网段、服务建立的攻击监控体系，可实时检测出绝大多数攻击，并采取相应的行动（如断开网络连接、记录攻击过程、跟踪攻击源等）；

★ 加密通讯，主动的加密通讯，可使攻击者不能了解、修改敏感信息；

★ 认证，良好的认证体系可防止攻击者假冒合法用户；

★ 备份和恢复，良好的备份和恢复机制，可在攻击造成损失时，尽快地恢复数据和系统服务； ★ 多层防御，攻击者在突破第一道防线后，延缓或阻断其到达攻击目标；

★ 隐藏内部信息，使攻击者不能了解系统内的基本情况；

★ 设立安全监控中心，为信息系统提供安全体系管理、监控，维护及紧急情况服务

３．平台安全的需求

网络平台将支持多种应用系统，对于每种系统均在不同程度上要求充分考虑平台安全。

● 平台安全与平台性能和功能的关系

通常，系统安全与性能和功能是一对矛盾的关系。如果某个系统不向外界提供任何服务（断开)，

本文来源：https://www.bwwdw.com/article/wvsm.html