网络工程设计终极版分析.pdf

0 课 程 设 计 报 告 课 程 名 称 ：网络工程设计 课程设计题目：贵州师范学院知行苑网络工程设计 姓名：邢增智李园园彭永凤 学院：数学与计算机科学学院 专业：计算机科学与技术 年级： 2013级 指导 老 师：郭龙 二一 五年 十二月 承诺书 树道德新风， 立诚信根基， 是当代大学生义不容辞的任。为营造良好的的学 习氛围，培养自立自律、刻苦学习的作风，塑造高尚的品格。也为展现我们优良 的学风。本人承诺做到以下几点： 一、本人自愿签订诚信承诺书，遵循公平公正原则； 二、提高自身道德修养，端正学习态度，诚信做事； 三、遵循网络的设计原则； 四、在不良念头面前，严于自律。 五、我将在此课程设计中遵守以下规定： 1、严格按照老师要求，做好此次课程设计； 2、设计中不弄虚作假，按要求收集整理资料数据； 3、不抄袭他人的设计； 4、做好组间各成员的设计记录。 承诺人签字： 年月日 目录 摘要 . 1 Abstract 2 1. 项目概述 3 1.1 网络提供功能 4 1.2 知行苑区域的网络完成任务. 5 1.3 知行苑区域的网络的设计标准 5 2. 用户需求分析 . 5 2.1 基本需求分析 4 2.2 性能需求分析 5 2.3 流量类型的需求分析 5 3. 网络设计原则 5 4逻辑网络设计 5 4.1 网络拓扑结构设计. 5 4.2 树形拓扑结构的特点 . 5 4.3 交换型层次结构 5 4.4 知行苑的网络拓扑结构图. 5 5物理网络设计与实现 5 5.1 网络 IP 地址的分配 5 5.2 综合布线系统 5 5.2.1 知行苑部分楼层平面图. 5 5.3 设备选型 5 5.3.1 交换机 5 5.3.2. 路由器 . 5 5.3.3. 防火墙 5 5.3.4 所需网络设备 . 5 6. 项目预算造价 . 5 6.1 交换机的配置 5 6.2 路由器的配置 5 7网络的安全和管理设计 5 71 防火墙 . 5 7.1.1 在防火墙设置上我们按照以下原则配置来提高网络安全性 5 72 网络管理方案 5 8. 测试与验收. 5 8.1 测试目标及其验收标准 5 8. 2 测试种类 . 5 8. 3 测试需要的网络设备和网络资源 . 5 总结 . 5 参考文献 . 5 设计人员工作量说明. 5 0 1 摘要 此次课程设计主要针对于贵州师范学院知行苑教学楼的网络设计。本次设计 是基于系统集成的设计方法， 利用了结构化布线系统实现， 此系统主要包括了工 作区（终端）子系统、水平布线子系统、垂直干线子系统、管理子系统、设备间 子系统和建筑群子系统这六部分组成，在这之中，网络方案设计中网络的核心、 汇聚、接入层三层是其重点。其次进行VLAN划分，子网配置和IP 地址的分配， 最后进行服务器、 交换机和路由器的配置使其实现楼层间的网络连接功能，达到 了各楼层能够进行实时通讯的目的。 Abstract This curriculum design for Guizhou Normal University Court buildingof knowledge and network design. This design is based on system integration design method using structured cabling systems, this system includes a workspace (Terminal), horizontal cabling subsystems, vertical cable subsystem, the subsystem management subsystem, equipment, subsystems and complex subsystem that consists of six parts, in the midst of this, network design, in the core, distribution, access, three layers is the key. Second Division of VLAN and subnet configuration and IP address allocation, and finally the servers, switches and routers are configured to achieve a network connection between the floor function, reach the goal of each floor capable of real time communication. 2 1. 项目概述 自从 20世纪 90年代以后，以因特网为代表的计算机网络得到了飞速的发展， 已经从最初的教育科研网络逐步发展为商业网络，并且已经成为仅次于全球电话 为网的世界第二大网络。跨入21 世纪以来，我们的网络呈现出数字化、网络化 和信息化，它是一个以网络为核心的信息时代。现在人们的生活、工作、学习和 交往都已经离不开网络。 没有了计算机网络， 世界将是一片混论。 当然计算机网 络也会带来一些负面影响， 但这是次要的， 主要的还是网络带来的积极作用。在 以后的阶段，计算机网络将会得到更大的发展。设计一个网络，首先要为用户 分析目前面临的主要问题， 确定用户对网络的真正需求， 并在结合未来可能的发 展要求的基础上选择、 设计合适的网络结构和网络技术，提供用户满意的高质服 务。网络在日常教学办公环境中起着至关重要的作用，校园网的运作模式会带来 大量动态的 www 应用数据传输，会有相当一部分应用的主服务器有高速接入网络 的需求（目前为 100/1000Mbps，今后可会更高）。这就要求网络有足够的主干带 宽和扩展能力。同时，一些新的应用类型，如网络教学、视频直播/ 广播等，也 对网络提出了支持多点广播和宽带高速接入的要求。 考虑以上发展趋势，又要对贵州师范学院实施信息化，由此建设校园的知行 苑区域的网络系统从以下方面分别实现， 1.1 网络提供功能 （1）Internet接入，知行苑各职能部门接入（计算机基础实验室、物 联网工程技术研究中心、网络综合布线实训室、大学英语语言室、物流认识 实训室、视觉传达设计实训室等的接入） 。 （2）Internet服务，对知行苑区域建立web服务器，提供对外信息发 布和各职能部门基本情况的介绍等。 （3）办公系统：学校的财务、教务、教学、图书阅览等办公系统，提供 远程办公接入。 （4）网络服务：提供校内外、地址解析服务，地址分配服务，安全保护 服务，网络管理与运维服务等。 1.2 知行苑区域的网络完成任务 （1）完成项目的需求分析，包括：功能需求、性能需求、服务管理 需求、安全需求等。 （2）完成系统的的设计，包括：用户需求分析、网络系统的逻辑网 络设计、网络系统的物理网络系统的设计与实现、网络综合布线施工设计、 系统测试、系统验收。 1.3 知行苑区域的网络的设计标准 （1）有完整的现场施工平面图， 综合布线图， 综合布线各种主要材料的 详细需求及预算过程， 详细的综合布线施工要求和测试方案， 以及参考标准等。 3 （2）有完整的网络拓扑图，网络拓扑图标明设备功能、型号、IP 地址， 并说明分析各部分的功能和作用，有详细的 IP 地址规划方案， 出口 IP 网络地址 前 3 位用当地邮编地址，网络通信设备的选型、接口、模块、参考价格和每一设 备详细的配置命令文件。 （3）有安全设计与规划，网络安全架构、系统安全配置、安全策略应充 分考虑信息系统的信息的机密性、可用性、完整性，详细说明安全策略；安全设 备应当有详细的配置命令文件。 （4）应用服务系统设计有软件和硬件设备的详细配置（类型、型号、配 置、版本） ，及选型分析，必须考虑容错、备份。 （5）有完整的网络服务设计， 包括网络运行服务 (DNS,DHCP) ，网络配置 管理、计费管理、认证管理等；包括网络操作系统软件的选择、网络管理软件的 选择、网络接入方式选择等。 在本网络中服务从类型上说既有简单的消息服务，又有资源共享服务； 既有访问集中式的数据库， 又有分布式事务处理； 既有非实时性服务， 又有实时 性服务。主要支持教师教学和学生学习，提供共享接入 Internet，E-mail ，WWW， FTP ，VOD 点播等。 2. 用户需求分析 2.1 基本需求分析 知行苑由宁静楼和致远楼两栋教学楼构成，呈U型，建网络，而且楼宇 与楼宇之间需要相互连接。它们主要分布在宁静楼（七层楼）、致远楼（七层 楼） 约 1100 个信息点。 4 图 1 知行苑信息点布设示意图 楼层名称机房名称房间号信息点数 知 行 苑 二 层 宁 静 楼 计算机基础实验室（一）226 计算机基础实验室（三）230 致 远 楼 网络综合布线实训室218 大学英语语音室 60 计算机基础实验室（二）22860 60 物联网工程技术研究中心22720 60 计算机基础实验室21660 21460 大学英语语音室21260 大学英语语音室21160 61920 60 20 30 计算机基础实验室213 浪潮并行计算机实验室202 30 物流认识实训室610 视觉传达设计实训室620 知 行 苑 六 层 宁 静 楼 黔城视觉设计研究中心618 环境艺术设计实训室 致 远 楼 旅游工艺品设计实训室602 宁静楼天象馆70120 50 高清演播实验室62750 宁静楼七层 30 30 物流认识实训室60930 致远楼零层致远楼企业商务实训室6 教室区域 知 行 苑 教 室 区 教室数量信息点 110 220 2.2 性能需求分析 5 随着我院的信息化建设，教学资源的整合，知行苑网络设计的性能需求有 1、使用四芯单模光纤将一教与中心机房连接起来，连接带宽达到1Gbps 。 2、楼层交换机到各楼层使用超五类双绞线，连接带宽达到100/1000M。 3、室内全部使用超五类双绞线，连接带宽达到10/100M。 4、中心交换机具有很高的可用性、扩展性； 5、所有交换设备能用一套统一的网络管理软件进行管理与配置； 6、能满足多媒体教学的流畅性。 2.3 流量类型的需求分析 （1）客户机 / 服务器数据 （2）Web （3）Mail （4）多媒体教学， VOD （5）语音/ 传真 3. 网络设计原则 本设计方案的原则是 （一）先进性 系统设计必须把握技术的发展方向，采用先进成熟的体系结构，选择已 经被广泛接受的，成熟的，先进的产品和支撑平台与运行环境，以保证系统 的性能和教学的顺利进行。 （二）开放性与统一性 系统中采用的各项软硬件技术和产品都必须具有开放性，遵循现有的各 种国际标准或工业标准，以便根据需要选择合适的相互兼容的产品。各层交 换机均选择 CISCO品牌。 （三）可扩展性和灵活性 网络的建设必须能够提供随着技术的发展而不断升级的能力，必须能够 随着需求而变化，在规模的扩张，网络宽带增长方面留有较大的空间，保护 投资。 6 （四）可维护性可管理性 随着网络规模的扩大和系统复杂程度的增加，必须做好网络管理和故障 排除，选用先进和完善的网络管理工具。采用模块化设计的、具有可管理性 的网络设备，可以极大的方便系统维护和管理人员的工作。 （五）可靠性 可靠性对本系统来说是至关重要的，在系统设计中要充分考虑到可能出 现的各种情况，应用各种技术，尽可能的减少系统故障，确保系统具有良好 持续的运转性。 （六）经济性 在满足用户需求的前提下，系统要具有较高的性价比。 4 逻辑网络设计 4.1 网络拓扑结构设计 1本次网络工程按三层层次模型设计网络结构进行网络布置，采用的拓 扑结构为层次拓扑结构模型。在知行苑区域内包含两栋大楼：致远楼、宁静楼。 在知行苑零层、七层、二层、六层设有机房。每个机房都有许多信息点。在本次 设计中，每层不同楼可分别划分为一个子网。通过百兆线缆接入百兆路由器，因 为机房数量较多，且每个房间内PC数量也很多，采用路由器接入，会有更好的 隔离性，以免机房之间收到干扰。 2. 网络管理协议选用 SNMP 。 3. 不同楼的楼层之间采用千兆光纤交换信息，不仅能够传输大量信息， 也 保证了传输速度。但也使成本增加。 4. 核心层与服务器、防火墙相接。防火墙外围与Internet相接。防火墙 保证了内网的安全。 5. 由于分配给该大学校园网的IP 地址远远不能满足需求，因此这些IP 地址主要用于向因特网发布信息和科研之用。就需要采用NAT技术，决解网 络 IP 不足的问题，隐藏并保护网络上的计算机 7 4.2 树形拓扑结构的特点 （1）网络扩展性好，节点扩展时，只需从交换机等设备中插入一条双绞 线即可。移动一个节点是，只需要把相应节点设备移到新节点即可。 （2）故障隔离较容易。 （3）连结简单，维护方便，适用于汇集信息的应用要求。 4.3 交换型层次结构 （1）基于交换技术的层次模型主要由2层和 3 层交换机组成，这种 网络由于统一采用交换机构建。因此结构简单，近年来，交换机性能提高 很快，而且价格也越来越低廉，十分适合校园网这种中小型局域网的 （2）分层结构主要有核心层、汇聚成和接入层。 （3）核心层 主要高速处理数据流，提供节点与节点之间的高速数据转发，优化传 输链路，并实现安全通信。核心层是所有流量的最终汇聚点和处理点。， 结构相对简单，但是对核心层设备的性能要求十分严格。 在此设计中，采用核心层树形拓扑结构。它的优点是网络结果较为简 单，实现了设备冗余和链路冗余，这提高了网络的可靠性，也可以很好地 进行网络负载平衡。 （4）汇聚层 汇聚层是核心层与接入层的分界面，主要提供基于策略的网络连接， 负责路由聚合，收敛数据流量，将网络服务连接到接入层，还可以屏蔽接 入层变化对核心层的影响。 汇聚层大多选用 3 层交换机，也有少部分选择2 层交换机。 （5）接入层 为用户提供网络访问功能，并负责将网络流量馈入到汇聚层，执行用 户认证和访问控制，并提供相关网络服务。 在局域网设计中，接入层网络结构应当采用通用的树状拓扑结构。为 了降低网络成本，接入层一般很少采用冗余链路。为了简化网络和降低成 本，接入层一般不提供路由功能，也不进行路由信息交换 8 4.4 知行苑的网络拓扑结构图 . . 千兆路由器 防火墙 万兆路由器 知行苑二层 （宁静楼） 知行苑二层（致 远楼） . . 千兆路由器 . 千兆路由器 三层交换 机 . . 千兆路由器知行苑六层 （宁静楼） 知行苑六层（致 远楼） . 千兆路由器 三层交换机 . 二层交换机 宁静楼七层 （天象馆） （致远楼零层） Internet 数据库服 务器 实时通信 服务器 电子邮件 服务器 Web 服务器 文件服务 器 . 百兆线 千兆线 千兆光纤 FTP 服务器 5 物理网络设计与实现 知行苑区一共有 1100个信息点，根据不同的楼和楼层，划分成以下子网。 5.1 网络 IP 地址的分配 计算机基础实验室（一） 计算机基础实验室（二） 计算机基础实验室（三） 物联网工程技术研究中心 172.16.0.1/20 子网掩码 :255.255.240.0 网络拓扑结构图 9 网络综合布线实训室 计算机基础实验室 大学英语语音室 大学英语语音室 大学英语语音室 计算机基础实验室 浪潮并行计算机实验室 黔城视觉设计研究中心 环境艺术设计实训室 视觉传达设计实训室 高清演播实验室 旅游工艺品设计实训室 物流认识实训室 物流认识实训室 天象馆 企业商务实训室 教室区域 172.16.6.0/24 5.2 综合布线系统 工作区子系统： （1） 从 RJ-45 插座到终端设备之间的连线用UTP双绞线，长度不超过6m ； （2） RJ-45 插座安装在墙壁上或不宜碰的地方，插座区距离地面30cm以上； （3） 配线架上的信息模块与信息插座和插头的线缆的制作采用同一标准； （4） 采用嵌入式 I/O 插座。 水平子系统： 172.16.1.0/24 172.16.2.0/24 172.16.3.0/24 172.16.4.0/24 172.16.5.0/24 子网掩码 :255.255. 240.0 子网掩码 :255.255. 240.0 子网掩码 :255.255. 240.0 子网掩码 :255.255. 240.0 子网掩码 :255.255. 240.0 10 （1） 子系统用线为六类 UTP双绞线； （2） UTP双绞线铺设线槽或在天花板吊顶内布线。 管理子系统 （1） 根据可管理的信息点数决定配线架的配线对数，利用配线架进行跳线； （2） 网络设备配有安全接地保护系统和功率匹配的净化电源或UPS电源； （3） 设备房间内保持一定的温度和湿度。 垂直干线子系统： （1） 垂直子系统一般选用超五类UTP电缆、或多模光纤； （2） 垂直电缆安装在 PVC管内或槽内，架空电缆要防止雷击； （3） 垂直电缆的拐弯处不要直角拐弯，应有相当的弧弯。 设备间子系统： 设备间的建设标准按机房建设标准设计，有性能良好的接地保护系统。 建筑群子系统： （1） 采用多模或单模光缆； （2） 采用直埋或地下管道铺设方式 5.2.1 知行苑部分楼层平面图 宁静楼二层平面图 11 致远楼二层平面图 5.3 设备选型 5.3.1 交换机 （1） 接入层： Cisco Catalyst 2960系列交换机 功能： 为多达 24 个端口提供完全 15.4 瓦功率的 PoE 配置 在网络边缘提供高级访问控制列表（ACL ）和增强安全性等智能化特性 支持千兆以太网上行链路灵活性的两用上行链路，允许使用铜缆或光纤 上行链路；其中每个两用上行端口分别拥有一个10/100/1000 以太网端口和一个 基于小形可插拔（ SFP ）的千兆以太网端口，每次有一个端口处于激活状态 采用高级 QoS、速率限制、 ACL 和组播服务，提供网络控制和带宽优化 根据用户、端口和MAC地址，并通过多种不同的身份验证方法、数据加 密技术和 NAC ，提供网络安全性 采用 Cisco Network Assistant 软件，轻松进行网络配置、升级和故障 排除 采用 Smartports 对专业应用进行自动配置 有限终生硬件保修 免费软件更新 （2） 汇聚及核心层： Cisco Catalyst 3560系列交换机 特点： Cisco Catalyst 3560系列交换机是一个固定配置、企业级、IEEE 12 802.3af和思科预标准以太网供电（PoE ）交换机系列，工作在快速以太网和千 兆位以太网配置下。 Catalyst 3560 是一款理想的接入层交换机，适用于小型企 业布线室或分支机构环境， 结合了 10/100/1000 和 PoE配置，实现最高生产率和 投资保护，并可部署新应用，如IP 电话、无线接入、视频监视、建筑物管理系 统和远程视频访问亭。客户可在整个网络范围中部署智能服务，如高级QoS 、速 率限制、访问控制列表、组播管理和高性能IP 路由等，且同时保持传统LAN交 换的简洁性。思科网络助理(network assistant)在 Catalyst 3560系列中免费 提供，是一个集中管理应用， 可简化思科交换机、 路由器和无线接入点的管理任 务。 性能： 32Gbps转发带宽 基于 64 字节分组的转发速率： 38.7Mpps（Cisco Catalyst 3560G-48TS 和 Cisco Catalyst 3560G-48PS，以及 Cisco Catalyst 3560G-24TS和 Cisco Catalyst 3560G-24PS ） ； 13.1Mpps （Cisco Catalyst 3560-48TS和 Cisco Catalyst 3560-48PS） ； 和 6.6Mpps（ Cisco Catalyst 3560-24TS 和 Cisco Catalyst 3560-24PS 128MB DRAM 32MB 闪存（ Cisco Catalyst 3560G-24TS和 Cisco Catalyst 3560G-24PS ， 以及 Cisco Catalyst 3560G-48TS和 Cisco Catalyst 3560G-48PS） ；和 16MB闪 存（Cisco Catalyst 3560-48PS和 Cisco Catalyst 3560-24PS） 最多可以配置 12000 个 MAC 地址 最多可以配置 11000 个单播路由 最多可以配置 1000 个 IGMP群组和组播路由 可配置的最大传输单元（MTU ）为 9000 字节，最大以太网帧为9018 字节 （大型帧），用于千兆位以太网端口上的桥接；最大1546 字节，用于 10/100 端 口上多协议标签交换（ MPLS ）标记帧的桥接 5.3.2. 路由器 采用 Cisco 2800 系列集成多业务路由器 13 特点： Cisco 2800 系列架构的特别设计可满足中小型分支机构和中小型企业对 于目前和未来应用日益提高的需求。Cisco 2800系列将业界范围最广的连接选 项与领先的可用性和可靠性特性相结合。此外，Cisco IOS软件支持全套传输协 议、服务质量（ QoS ）工具，以及先进的安全和话音应用。 性能： CISCO2811 集成多业务路由器，带交流电源， 2FE， 1 NME ， 4 HWIC ， 2 AIM， 和 Cisco IOS IP Base软件 5.3.3. 防火墙 采用 Cisco ASA 5500 系列 SSL/IPSec VPN版。 性能： 部署灵活性：能够根据访问网络的用户组或端点， 对每路通话扩展相应的SSL VPN技术无客户端或完全网络访问。 全面网络访问：通过Cisco AnyConnect VPN Client提供广泛的应用和网络 资源访问。 5.3.4 所需网络设备 实时通讯服务器、文件服务器、电子邮件服务器、Web服务器、数据库服务 器、FTP服务器、万兆路由器、防火墙、三层交换机、二层交换机、光纤模块、 自适应交换机、千兆路由器、百兆线、千兆线、千兆光缆等。 6. 项目预算造价 网络设备选择与造价统计 区域设备数量单价（元）总价（元） 服务器群 实时通讯服务器2 个接口板14000 28000 文件服务器2 个接口板 14000 28000 电子邮件服务器1 个接口板14000 14000 Web 服务器3 个接口板14000 42000 数据库服务器4 个接口板14000 56000 FTP服务器2 个接口板14000 28000 14 核心层 万兆路由1 个22338 22338 防火墙1 个21889 21889 千兆光缆10 千米1600 元/1 千米16000 三层交换机2 个3199 6398 汇聚层 千兆路由器6 个2589 15534 二层交换机12 个2760（48 口）33120 光纤模块10 个700 7000 接入层 自适应交换机20 个1100 22000 千兆线10 千米11 元/米110000 百兆线5 千米5 元 /米25000 水晶头18 盒29 元/百个522 合计：475801元 结构化布线系统 子系统硬件类型硬件单价硬件数量造价 水平布线系统 桥架30 元/米600 米1800 工作区子系统 信息插座15/个300 个4500 管理子系统 光纤交换机10800 2 个21600 墙柜200 10 个2000 垂直子系统竖井钢板30 元/米200 米6000 设备间子系统机柜895 20 17900 合计： 53800 元 网络设备和结构化布线系统的总价为: 53800+475801= 529601元 6.1 交换机的配置 -配置交换机名和管理IP地址- switchenable switch#configure terminal switch(config)#hostname zxy-zyl 15 zxy-zyl(config)#interface vlan 1 zxy-zyl(config-if)# ip address 172.16.6.1 255.255.255.0 zxy-zyl(config-if)# no shutdown zxy-zyl(config-if)# exit zxy-zyl(config)# - -配置 Telnet登录用户及口令和保存配置信息- zxy-zyl(config)#enable secret 262524 zxy-zyl(config)#line vty 0 15 zxy-zyl(config-line)# password zxy262524 zxy-zyl(config-line)# login zxy-zyl(config-line)# end - -配置交换机支持 SNMP管理- zxy-zyl(config)# snmp-server contact xingzengzhi zxy-zyl(config)# snmp-server location Gznc,GuiYan zxy-zyl(config)# snmp-server community public RO zxy-zyl(config)# exit - 6.2 路由器的配置 -配置 RIP协议- zxy-zyl(config)# router rip zxy-zyl(config-router)# version 1 zxy-zyl(config-router)# network 172.16.0.0 - -配置 IP端口地址 - zxy-zyl(config)# interface fastethernet 1 /0 zxy-zyl(config-if)# ip address 172.16.6.3 255.255.255.0 zxy-zyl(config-if)# no shutdown zxy-zyl(config)# interface fastethernet 1 /1 16 zxy-zyl(config-if)# ip address 172.16.6.4 255.255.255.0 zxy-zyl(config-if)# no shutdown - -配置 OSPF协议- zxy-zyl(config)# router ospf zxy-zyl(config-router)# network 172.16.6.3 area one zxy-zyl(config-router)# network 172.16.6.4 area two - 7网络的安全和管理设计 71 防火墙 为了最大可能的减少校外的攻击，防止一般黑客的侵袭，给校内提供一个安 全稳定的网络环境，同时处于对处理速度的要求，要求在学校网络添加防火墙。 此外为了控制学生浏览不良网站，我们希望能随意控制上网的网站，因此也需要 防火墙。 在 Internet与校园网内网之间部署了防火墙，在内外网之间建立一道牢固 的安全屏障。其中 WWW、E-mail 、FTP 、DNS 服务器连接在防火墙的DMZ 区（即“非 军事区” ，是为不信任系统提供服务的孤立网段，它阻止内网和外网直接通信， 以保证内网安全），与内、外网间进行隔离，内网口连接校园网内网交换机，外 网口通过路由器与Internet连接。这样，通过 Internet进来的外网用户只能访 问到对外公开的一些服务（如WWW、E-mail 、FTP 、DNS 等） ，既保护内网资源不 被外部非授权用户非法访问或破坏，也可以阻止内部用户对外部不良资源的使 用，并能够对发生在网络中的安全事件进行跟踪和审计。 7.1.1 在防火墙设置上我们按照以下原则配置来提高网络安全性 a)根据校园网安全策略和安全目标，规划设置正确的安全过滤规则，规则审 核 IP 数据包的内容，包括协议、端口、源地址、目的地址、流向等项目，严格 禁止来自外网的对校园内网的不必要的、非法的访问。 总体上遵从 “不被允许的 服务就是被禁止”的原则。 b)配置防火墙，过滤掉以内部网络地址进入路由器的IP 包，这样可以防范 源地址假冒和源路由类型的攻击；过滤掉以非法IP 地址离开内部网络的IP 包， 防止内部网络发起的对外的攻击。 17 c) 在防火墙上建立内网计算机的IP 地址和 MAC 地址的对应表， 防止 IP 地址 被盗用。 d)定期查看防火墙访问日志，及时发现攻击行为和不良的上网记录。 e) 允 许通过配置网卡对防火墙设置，提高防火墙管理的安全性。 72 网络管理方案 1. 程序过滤：禁止客户机运行管理员设定的禁用程序。 2. 网址过滤：过滤管理员设置的员工禁止访问的网址，防止员工访问视频 网站。 3. 程序日志记录：系统可以记录每个员工的程序使用日志，包括访问人， 访问程序，访问时间，是否允许等信息 4. 上网日志记录：系统可以记录每个员工的上网日志。 5. 实时网络流量 . ：系统可以记录每个员工每一时刻的网络流量，管理员很 容易查看哪个员工当前正在进行海量下载。 6. 内网体检：针对计算机木马、病毒在企业内部网络传播，提供全网一键 木马云查杀功能，全球领先的“木马云查杀”引擎，一键清除顽固木马。 7. 修复漏洞：针对内网计算机安全漏洞没有修复，提供全网自动打补丁功 能，一键修复漏洞，让网络无懈可击；独有的负载均衡技术为学生节省带宽。 8. 监控流量：内部网络用户上网流量有效监控管理，避免影响日常工作效 率，容易形成内部网络的安全隐患。 8. 测试与验收 8.1 测试目标及其验收标准 在垂直链路中被测对象多数是光缆和大对数电缆，在骨干链路中被测对 象多数是光缆 ( 单模/ 多模) 。光缆的测试主要以一级测试为主( 即测试衰减和长 度)，少数高速应用的用户 ( 比如万兆以太网 ) 会选择二级测试。二级测试是在一 级测试的基础上增加了OTDR 测试。 测试的标准一般选择TIA568C、TIA568C、ISO11810和 GB50312-2007等标 准。 8. 2 测试种类 a 响应时间测试 18 b 吞吐量测试 c 可用性测试 d 割接测试 8. 3 测试需要的网络设备和网络资源 借助软件进行响应时间测试，Monitors Matter Check Screen 吞吐量测试 chariot软件 施工完成后，要对系统进行两种测试: (1) 线缆测试。采用专用的电缆测试仪对电缆的各项技术指标进行测试，包 括连通性、串扰、回路电阻、信噪比等。 (2) 联机测试。选取若干个工作站，进行实际的联网测试。并提供测试报告。 19 总结 本次网络工程课程设计是18 周来学习的一次小实践。虽然没有真正感受到 现实工具和设备器材带来的冲击感， 但这样的课程设计让我们体会到局域网设计 的工程流程。从项目摘要到项目验收，每一步都充满了挑战，过程很艰辛，不过 每走完一步，体会到课程设计带来的感觉。 设备的选型尤为重要，设备型号统一，能给网络整体的稳定性提高很大的水 平。反之，网络整体的稳定性就会变差。线材也是如此，线材质量的好坏，关系 到信号传输稳定性，要在网络体验上得到提升，首先得对线材进行检查和校验。 交换机和路由器的配置非常重要！这样才会对网络中的IP 进行高效的管理，当 网络中出现问题时， 也能够快速的发现。 网络工程设计的成功， 相当于婴儿的诞 生！ 20 参考文献 【1】 陈鸣 李兵 网络工程设计教程系统集成方法M.3版. 北京：机 械工业出版社， 2014. 【2】 谢希仁 计算机网络 M.6 版. 北京. 电子工业出版社， 2013. 【3】 于鹏 丁喜刚 网络综合布线技术北京：清华大学出版社，2009. 21 设计人员工作量说明 序号 设 设计内容 计 内容 内 内容比重 容 比重 设计人设计 人 备注 备注 1 封面、诚信承诺 书、测试、验收 4/11 李园园0.36% 2 目录、摘要、项 目概述 3/11 彭永凤0.28% 3 用户需求分析、 逻辑网络设计、 物理网络设计、 总结 4/11 邢增智 （组长） 0.36%