網(wǎng)絡工程課程設計報告--網(wǎng)絡架構(gòu)結(jié)構(gòu)設計

1、<p><b>　　網(wǎng)絡工程</b></p><p><b>　　課程設計報告</b></p><p>　　學 院 信息科學與工程學院 </p><p>　　專業(yè)班級 信安1201班 </p><p>　　學

2、 號 </p><p>　　完成時間 </p><p><b>　　目錄</b></p><p><b>　　1設計要求</b></p><p>　　2網(wǎng)絡

3、架構(gòu)結(jié)構(gòu)設計 ·······················2</p><p><b>　　2.1網(wǎng)絡拓撲設計</b></p><p>

4、<b>　　2.2現(xiàn)狀分析</b></p><p><b>　　2.3地址劃分</b></p><p>　　2.3.1信息點分析</p><p>　　2.3.2子網(wǎng)需求劃分</p><p>　　2.3.3學校VLAN需求劃分</p><p>　　3網(wǎng)絡結(jié)構(gòu)設計·&#

5、183;·························8</p><p>　　3.1選用的網(wǎng)絡技術(shù)</p><p>　　3.1.1 VLA

6、N虛擬局域網(wǎng)技術(shù)</p><p>　　3.1.2千兆位以太網(wǎng)技術(shù)（Gigabit Ethernet） </p><p>　　3.1.3 ATM——異步傳輸模式 </p><p>　　3.1.4 網(wǎng)絡QoS設計</p><p>　　3.1.5 NAT網(wǎng)絡地址轉(zhuǎn)換</p><p>　　3.1.6 ACL訪問控制</p

7、><p>　　3.2傳輸線路及介質(zhì)</p><p><b>　　3.2.1線路選擇</b></p><p>　　3.2.2傳輸介質(zhì)選擇</p><p>　　3.3 網(wǎng)絡設備及網(wǎng)絡安全設備選擇</p><p>　　3.3.1交換機的選擇</p><p>　　3.3.2路由器的選擇

8、</p><p>　　3.3.3防火墻的選擇</p><p>　　3.3.4服務器的選擇</p><p>　　4問題延伸····················

9、3;·······17</p><p><b>　　4.1問題呈現(xiàn)</b></p><p>　　4.2問題分析及解決</p><p>　　4.2.1網(wǎng)絡性能問題</p><p>　　4.2.2網(wǎng)絡安全問題</p><p>　　5

10、設計總結(jié)····························22</p><p>　　參考文獻 ···

11、·························23</p><p><b>　　設計要求</b></p><p>　

12、　要在某校區(qū)的5棟建筑物中建立網(wǎng)絡環(huán)境，其中辦公樓與圖書館之間的距離為350米，圖書館與計算機機房之間的距離為600米，兩棟學生宿舍離辦公樓的距離為800米。網(wǎng)絡中心的機房設在圖書館，辦公樓設60個信息點（校辦7個，人事部門9個，財務部門20個，另外6個部門各4個），圖書館200個信息點，計算機機房400個信息點，建成后的網(wǎng)絡要接入互聯(lián)網(wǎng)。</p><p>　?。?）畫出網(wǎng)絡的平面拓撲圖、所用的網(wǎng)絡設備和網(wǎng)絡安全

13、設備；</p><p>　?。?）合理地劃分網(wǎng)絡（各部門單獨組網(wǎng)，每個信息點分配一個IP地址）和分配IP地址并寫出每個網(wǎng)絡的網(wǎng)絡號和廣播地址及網(wǎng)絡掩碼（均須用十進制表示）；</p><p>　?。?）對所選用的網(wǎng)絡技術(shù)、傳輸線路及介質(zhì)、網(wǎng)絡設備及網(wǎng)絡安全設備進行說明及選用的理由；</p><p>　　（4）試說明當這個網(wǎng)絡的規(guī)模擴大10倍或更多時，在網(wǎng)絡性能和網(wǎng)絡安

14、全方面會出現(xiàn)什么問題？應該怎么解決？</p><p><b>　　網(wǎng)絡架構(gòu)結(jié)構(gòu)設計</b></p><p><b>　　2.1網(wǎng)絡拓撲設計</b></p><p>　　整體設計分為三層，分別是核心層，匯聚層，接入層，每層都用交換機設備進行連接。最終完成從網(wǎng)絡中心到各個計算機終端的網(wǎng)絡連接。</p><p

15、>　　局域網(wǎng)采用星型網(wǎng)絡拓樸結(jié)構(gòu)，星型拓樸結(jié)構(gòu)為現(xiàn)在較為流行的一種網(wǎng)絡結(jié)構(gòu)，它是以一臺核心交換機為主而構(gòu)成的網(wǎng)絡，其它交換機僅與該核心交換機之間有直接的物理鏈路，核心交換機VLAN隔離的方法為接入交換機服務，所有的數(shù)據(jù)必須經(jīng)過核心交換機。由于所有節(jié)點的往外傳輸都必須經(jīng)過核心交換機來處理，因此，對核心交換機的要求比較高。 優(yōu)點是網(wǎng)絡結(jié)構(gòu)簡單，易于維護，便于管理（集中式）；每臺入網(wǎng)機均需物理線路與處理機互連，線路利用率低；處理機

16、負載重（需處理所有的服務），因為任何兩臺入網(wǎng)機之間交換信息，都必須通過核心交換機；入網(wǎng)主機故障不影響整個網(wǎng)絡的正常工作。對該網(wǎng)絡支持的設備生產(chǎn)廠商有較好的技術(shù)支持。</p><p>　　局域網(wǎng)內(nèi)的所有工作節(jié)點通過，光纖，雙絞線與交換機相連形成一個星型網(wǎng)絡。局域網(wǎng)設備選用1個核心交換機，5個匯聚層交換機，以及ATM路由器和防火墻。由于各個建筑之間的距離較遠，選用光纖連接對交換機節(jié)點進行連接。</p>

17、<p><b>　　2.2現(xiàn)狀分析</b></p><p>　　對網(wǎng)絡各建筑的分析情況如圖所示</p><p>　　如圖所示整個網(wǎng)絡分為學生公寓樓，行政辦公樓，圖書館，計算機樓。其中學生宿舍區(qū)（學生宿舍1，學生宿舍2），行政辦公區(qū)（校辦、人事處、財務處、其他處），圖書館（學生閱覽室、電子閱覽室、網(wǎng)絡中心、借書室），計算機教學區(qū)（計算機機房）</p>

18、;<p><b>　　2.3地址劃分</b></p><p>　　2.3.1信息點分析</p><p>　　表2-1 子網(wǎng)的劃分表</p><p>　　2.3.2子網(wǎng)需求劃分</p><p>　　在全網(wǎng)可采用IP+MAC綁定方式，全網(wǎng)分布式采用ACL，并按照部門劃分VLAN，劃分相應的權(quán)限，保證學生機房用機

19、對教學辦公網(wǎng)沒有訪問權(quán)限，只能訪問校內(nèi)服務器及外網(wǎng)；IP分配：在辦公區(qū)采用靜態(tài)IP劃分，在學生區(qū)及移動性較大的辦公區(qū)可補充性采用DHCP動態(tài)獲得IP地址</p><p>　　為了提高IP地址的使用效率，引入了子網(wǎng)的概念。將一個網(wǎng)絡劃分為子網(wǎng)：采用借位的方式，從主機位最高位開始借位變?yōu)樾碌淖泳W(wǎng)位，所剩余的部分則仍為主機位。這使得IP地址的結(jié)構(gòu)分為三級地址結(jié)構(gòu)：網(wǎng)絡位、子網(wǎng)位和主機位。這種層次結(jié)構(gòu)便于IP地址分配和管

20、理。它的使用關(guān)鍵在于選擇合適的層次結(jié)構(gòu)--如何既能適應各種現(xiàn)實的物理網(wǎng)絡規(guī)模，又能充分地利用IP地址空間。子網(wǎng)的劃分主要是根據(jù)子網(wǎng)掩碼來區(qū)分的，掩碼的作用就是用來告訴電腦把“大網(wǎng)”劃分為多少個“小網(wǎng)”，以及每個子網(wǎng)中的主機數(shù)目。如表2-2所示，子網(wǎng)的劃分。</p><p>　　表2-2 子網(wǎng)的劃分表</p><p>　　2.3.3學校VLAN需求劃分</p><p&g

21、t;　　在校園網(wǎng)絡的整個網(wǎng)絡規(guī)劃當中，VLAN 的劃分是非常重要的部分，很好的利用VLAN技術(shù)的功能，能起到事半功倍的效果，對整個網(wǎng)絡的性能也是事關(guān)重要的。主要突出為以下幾點：</p><p>　　VLAN 劃分，可以避免廣播風暴，在接入網(wǎng)絡中尤為突出，在多媒體、視頻點播等很容易引起廣播信息；劃分之后，VLAN 是廣播只在子網(wǎng)中進行，不會做無意義的廣播，消除了廣播風暴產(chǎn)生的條件。</p><p

22、>　　VLAN 劃分，可以增加網(wǎng)絡的安全性，在不同的VLAN之間不能隨意通訊，只限與本子網(wǎng)間通訊，不會對其他的子網(wǎng)產(chǎn)生干擾。要進行訪問，需要通過三層交換，這樣信息流就得到相當好的控制。</p><p>　　網(wǎng)絡管理系統(tǒng)采用完全獨立的IP子網(wǎng)和VLAN，實現(xiàn)更加安全的對所有網(wǎng)絡設備進行管理。建立VLAN 和IP 子網(wǎng)的對應關(guān)系。</p><p>　　提高管理效率，實現(xiàn)虛擬的工作組，減少

23、站點的移動和改變的開銷。</p><p>　　VLAN 間的子網(wǎng)訪問，可以在三層交換機上實現(xiàn)，子網(wǎng)間的通訊也可以在匯聚設備上實現(xiàn)，分流核心交換機的三層交換，優(yōu)化了組網(wǎng)。</p><p>　　根據(jù)以往網(wǎng)絡管理經(jīng)驗和骨干網(wǎng)絡網(wǎng)絡改造的實際情況，方案建議在核心網(wǎng)絡VLAN劃分規(guī)劃以“靈活劃分、方便管理”為基本原則，以不同的使用群體為VLAN范圍劃分。這樣劃分VLAN的好處有：</p>

24、<p>　　1、方便管理。為了更好的進行VLAN規(guī)劃的實施，因此在網(wǎng)絡實施前期，要對網(wǎng)絡中不同區(qū)域的VLAN設置進行詳細的規(guī)劃，細化到接入層網(wǎng)絡，這樣在這樣大型的校園網(wǎng)絡中如果以用戶群體來劃分VLAN的話，避免由于前期配置設備時復雜煩瑣，而且由于相同的用戶群體可能在不同的物理位置，導致造成整個校園網(wǎng)絡中VLAN劃分復雜，減輕管理和后期維護。所以方案建議網(wǎng)絡劃分VLAN方式前進行詳盡規(guī)劃，這樣既可以減少廣播域，又達到劃分VL

25、AN，方便管理的效果，對于后期網(wǎng)絡維護和升級具有十分現(xiàn)實的意義。</p><p>　　2、易于實施。按群體劃分VLAN在工程實施中就十分的方便，不會造成VLAN劃分復雜失誤而使得網(wǎng)絡出現(xiàn)不通的現(xiàn)象，便于工程快速實施和網(wǎng)絡中心整體規(guī)劃。</p><p>　　3、VLAN間路由采用三層交換設備進行VLAN路由。以便不同VLAN間進行訪問，對于學校重要網(wǎng)絡資源，需要進行權(quán)限訪問的時候，建議采用專

26、家級ACL（可同時基于VLAN號、以太網(wǎng)類型、MAC地址、IP地址、TCP/UDP端口號、時間靈活組合限定的硬件ACL）來進行訪問權(quán)限設定，保障重要資料不被非法訪問。</p><p>　　物理/鏈路層配置遵循下面的原則： </p><p>　　1.網(wǎng)絡設備互連的物理端口都應該綁定端口的速率和全雙工模式； </p><p>　　2.建議所有的Vlan都不要穿透核心

27、層，所有的Vlan都將在匯聚層交換機上終結(jié)； </p><p>　　3.本實施方案建議不要啟用STP生成樹協(xié)議，由于所有的Vlan都已在匯聚層交換機終結(jié)，在二 層上并沒有環(huán)路存在，故無必要啟用；如果開啟基于每個Vlan的生成樹協(xié)議，廣播報文將會很多，影響核心交換機性能和網(wǎng)絡收斂時間； </p><p>　　4.所有核心層和匯聚層交換機之間的互連端口均設置為Trunk模式，但目前只容許互

28、連Vlan通過，以應付將來有Vlan穿越核心層這種情況； </p><p>　　5.匯聚層交換機和接入交換機之間的互連端口設置為Trunk模式</p><p>　　表2-3 vlan的劃分及IP的分配表</p><p>　　另外，IP地址分為公網(wǎng)地址和私網(wǎng)地址兩類，公有地址（Public address）由Inter NIC（Internet Network In

29、formation Center 因特網(wǎng)信息中心）負責。這些IP地址分配給注冊并向Inter NIC提出申請的組織機構(gòu)。通過它直接訪問因特網(wǎng)。ISP分配給學校的全局IP地址地址段為: 202.106.0.3 --202.106.0.200/24.,私有地址（Private address）屬于非注冊地址，專門為組織機構(gòu)內(nèi)部使用。以下列出留用的內(nèi)部私有地址</p><p>　　A類 10.0.0.0--10.255

30、.255.255</p><p>　　B類 172.16.0.0--172.31.255.255</p><p>　　C類 192.168.0.0--192.168.255.255</p><p><b>　　網(wǎng)絡結(jié)構(gòu)設計</b></p><p>　　3.1選用的網(wǎng)絡技術(shù)</p><p>　　3.

31、1.1 VLAN虛擬局域網(wǎng)技術(shù)</p><p>　　VLAN（Virtual Local Area Network）稱為虛擬局域網(wǎng)，是指在邏輯上將物理的LAN分成不同小的邏輯子網(wǎng)，每一個邏輯子網(wǎng)就是一個單獨的播域。簡單地說，就是將一個大的物理的局域網(wǎng)（LAN）在交換機上通過軟件劃分成若干個小的虛擬的局域網(wǎng)（VLAN）。因為交換機通信的原理就是要通過“廣播”來發(fā)現(xiàn)通往的目的MAC地址，以便在交換機內(nèi)部的MAC數(shù)據(jù)庫

32、建立MAC地址表，而廣播不能跨越不同網(wǎng)段。</p><p>　　VLAN技術(shù)的出現(xiàn)，使得管理員根據(jù)實際應用需求，把同一物理局域網(wǎng)內(nèi)的不同用戶邏 輯地劃分成不同的廣播域，每一個VLAN都包含一組有著相同需求的計算機工作站，與物理 上形成的LAN有著相同的屬性。由于它是從邏輯上劃分，而不是從物理上劃分，所以同一個 VLAN內(nèi)的各個工作站沒有限制在同一個物理范圍中，即這些工作站可以在不同物理LAN網(wǎng)段 。由VLAN的特

33、點可知，一個VLAN內(nèi)部的廣播和單播流量都不會轉(zhuǎn)發(fā)到其他VLAN中，從而有助于控制流量、減少設備投資、簡化網(wǎng)絡管理、提高網(wǎng)絡的安全性。 VLAN除了能將網(wǎng)絡劃 分為多個廣播域，從而有效地控制廣播風暴的發(fā)生，以及使網(wǎng)絡的拓撲結(jié)構(gòu)變得非常靈活的優(yōu)點外，還可以用于控制網(wǎng)絡中不同部門、不同站點之間的互相訪問。</p><p>　　通過劃分VLAN子網(wǎng)，能劃小了廣播域，避免了數(shù)據(jù)碰撞在大的物理LAN內(nèi)產(chǎn)生嚴重后果的可能，也

34、避免了廣播風暴的產(chǎn)生。提高交換網(wǎng)絡的交換效率，保證網(wǎng)絡穩(wěn)定。提高網(wǎng)絡安全性，通過劃分VLAN，LAN被劃分不同子網(wǎng)段，因此不能直接通信。必要的通信必須經(jīng)過路由來實現(xiàn)，因此可在路由器（或三層交換機）上配置訪問列表來進行跨子網(wǎng)段的授權(quán)訪問，從而提高校園內(nèi)部網(wǎng)絡訪問的安全性。方便網(wǎng)絡管理：采用VLAN技術(shù)來劃分校園網(wǎng)絡，一個VLAN可以根據(jù)不同的院系、辦公室或者服務器組將不同地理位置的工作站劃分為一個邏輯網(wǎng)段。在不改動網(wǎng)絡物理連接的情況下可以

35、任意地將工作站在子網(wǎng)之間移動，VLAN提供了網(wǎng)段和機構(gòu)的彈性組合機制。VLAN技術(shù)很好的解決了網(wǎng)絡管理的問題，能實現(xiàn)網(wǎng)絡監(jiān)督與管理的自動化，從而更有效的進行網(wǎng)絡監(jiān)控。如表2-3所示，該學校校園網(wǎng)絡Vlan的劃分及IP的分配。</p><p>　　3.1.2千兆位以太網(wǎng)技術(shù)（Gigabit Ethernet）  </p><p>　　千兆位以太網(wǎng)技術(shù)以簡單的以太

36、網(wǎng)技術(shù)為基礎(chǔ)，為網(wǎng)絡主干提供1Gbps的帶寬。千兆位以太網(wǎng)技術(shù)以自然的方法來升級現(xiàn)有的以太網(wǎng)絡、工作站、管理工具和管理人員的技能。千兆位以太網(wǎng)與其他速度相當?shù)母咚倬W(wǎng)絡技術(shù)相比，價格低，同時比較簡單，例如保留以太網(wǎng)的幀格式、管理工具和對網(wǎng)絡概念上的認識。  </p><p>　　千兆以太網(wǎng)是相當成功的10Mbps以太網(wǎng)和100Mbps快速以太網(wǎng)連接標準的擴展?，F(xiàn)在千兆位以太網(wǎng)成熟的標準為IEEE

37、 802.3z.</p><p>　　千兆位以太網(wǎng)能夠提供更高的帶寬，并且成為有強大伸縮性的以太網(wǎng)家族的第三個成員。利用交換機或路由器可以與現(xiàn)有低速的以太網(wǎng)用戶和設備連接起來，因為千兆位以太網(wǎng)的幀格式和幀尺寸大小等都與所有以太網(wǎng)技術(shù)相同，不需要對網(wǎng)絡做任何改變。這種升級方法使得千兆位以太網(wǎng)相對于其他高速網(wǎng)絡技術(shù)而言，在經(jīng)濟和管理性能方面都是較好的選擇。 </p><p>

38、;　　千兆以太網(wǎng)技術(shù)的優(yōu)點：  </p><p>　　技術(shù)簡單，例如保留以太網(wǎng)的幀格式、管理工具和對網(wǎng)絡概念上的認識.便于升級，從現(xiàn)有的傳統(tǒng)以太網(wǎng)和快速以太網(wǎng)可以平滑地過渡到千兆以太網(wǎng)，并不需要掌握新的配置、管理與排除故障技術(shù)；網(wǎng)絡投資可以得到保護，無需對用戶進行再培訓，也無需為額外的網(wǎng)絡協(xié)議進行投資；千兆以太網(wǎng)有良好的互操作性，并具有向后兼容性;端口價格相對較低；可以提供10倍于快速以太網(wǎng)的

39、傳輸速度。  </p><p>　　綜上所述，在選擇網(wǎng)絡技術(shù)時應該考慮如下：長遠來看如何保護現(xiàn)有投資。保護現(xiàn)有投資的有效途徑就是在將來網(wǎng)絡技術(shù)升級時還能使用現(xiàn)有的網(wǎng)絡技術(shù)和產(chǎn)品。如同計算機的發(fā)展速度一樣，網(wǎng)絡技術(shù)的發(fā)展也是非常迅速的。如果在現(xiàn)有技術(shù)不能合理保證在將來網(wǎng)絡升級后還能夠使用，那么將會帶來極大的資金浪費。從目前的趨勢來看，采用千兆以太網(wǎng)技術(shù)是最適宜的</p><p

40、>　　3.1.3 ATM——異步傳輸模式 </p><p>　　ATM(Asynchronous Transfer Mode）顧名思義就是異步傳輸模式，就是國際電信聯(lián)盟ITU-T制定的標準，實際上在80年代中期，人們就已經(jīng)開始進行快速分組交換的實驗，建立了多種命名不相同的模型，歐洲重在圖象通信把相應的技術(shù)稱為異步時分復用（ATD）美國重在高速數(shù)據(jù)通信把相應的技術(shù)稱為快速分組交換（FPS），國際電聯(lián)經(jīng)過協(xié)調(diào)研

41、究，于1988年正式命名為Asynchronous Transfer Mode(ATM) 技術(shù)，推薦其為寬帶綜合業(yè)務數(shù)據(jù)網(wǎng)B-ISDN的信息傳輸模式。</p><p>　　ATM技術(shù)具有如下特點：</p><p>　　1．實現(xiàn)網(wǎng)絡傳輸有連接服務，實現(xiàn)服務質(zhì)量保證（QoS）。</p><p>　　2．交換吞吐量大、帶寬利用率高。</p><p>

42、;　　3．具有靈活的組網(wǎng)拓撲結(jié)構(gòu)和負載平衡能力，伸縮性、可靠性極高。</p><p>　　4．ATM是現(xiàn)今唯一可同時應用于局域網(wǎng)、廣域網(wǎng)兩種網(wǎng)絡應用領(lǐng)域的網(wǎng)絡技術(shù)，它將局域網(wǎng)與廣域網(wǎng)技術(shù)統(tǒng)一。它的速率可達千兆位，即1000Mbps。</p><p>　　使用ATM異步傳輸模式，能夠?qū)M足校園網(wǎng)設計中的各交換機之間的連接服務，有較大的吞吐量，能夠保證帶寬。將局域網(wǎng)中的傳輸速率達到1000Mb

43、ps。</p><p>　　3.1.4 網(wǎng)絡QoS設計</p><p>　　為確保用戶各種關(guān)鍵業(yè)務的正常開展，必須采取全面而系統(tǒng)的QoS設計(提供端到端QoS服務)，以保證重要的數(shù)據(jù)流在網(wǎng)絡發(fā)生擁塞時獲得有保證的吞吐量和最低的延時；為了保證端到端用戶的服務質(zhì)量，因此要求端到端數(shù)據(jù)流經(jīng)的所有網(wǎng)絡設備都支持實施的QoS策略，核心設備是多個服務器接入的設備，并且擔負著全網(wǎng)數(shù)據(jù)的交換，QoS的能力

44、影響著全網(wǎng)的服務質(zhì)量保障能力。</p><p>　　使用的交換機支持豐富的QoS功能，能確保重要業(yè)務量不受延遲或丟棄，同時又充分利用現(xiàn)有的帶寬以保證網(wǎng)絡的高效運行。</p><p>　　例如，將下載一個大型文件的任務設置到交換機一個端口，而在該交換機的另外一個端口進行語音通信，為減少語音通信時延，保證通話質(zhì)量，可在整個網(wǎng)絡中對各種業(yè)務進行分類和優(yōu)先級劃分。在校園網(wǎng)絡中，由于信息資源集中于網(wǎng)

45、絡中心，為保證全網(wǎng)的QoS，要求資源中心核心交換機、匯聚交換機和接入交換機均支持第三層的QoS標注方案，而二層的802.1P標記對于這樣的網(wǎng)絡并沒有實際意義，因為802.1P的標記不能在交換機之間傳遞，只能在本機上有用。</p><p>　　多業(yè)務交換機支持基于基于DiffServ標準為核心的QoS保障系統(tǒng)，支持IP TOS、SP、WRR等完整的QoS策略，實現(xiàn)基于全網(wǎng)系統(tǒng)多業(yè)務的QoS邏輯，另外提供靈活的端口隊

46、列管理機制，端口多級擁塞設置;具備MAC流、IP流、應用流、時間流等多層流分類和流控制能力，實現(xiàn)帶寬控制、轉(zhuǎn)發(fā)優(yōu)先級等多種流策略，支持網(wǎng)絡根據(jù)不同的應用、以及不同應用所需要的服務質(zhì)量特性，提供服務。</p><p>　　通過從核心到接入設備全程對QoS的良好支持，全部硬件提供二到四層數(shù)據(jù)流交換，實現(xiàn)應用感知的功能，給予多媒體辦公應用提供透明的QoS保障，確保真正的端到端的QoS的實現(xiàn)。</p>&l

47、t;p>　　3.1.5 NAT網(wǎng)絡地址轉(zhuǎn)換</p><p>　　網(wǎng)絡地址轉(zhuǎn)換(NAT,Network Address Translation)被廣泛應用于各種類型Internet接入方式和各種類型的網(wǎng)絡中。原因很簡單，NAT不僅完美地解決了lP地址不足的問題，而且還能夠有效地避免來自網(wǎng)絡外部的攻擊，隱藏并保護網(wǎng)絡內(nèi)部的計算機。雖然NAT可以借助于某些代理服務器來實現(xiàn)，但考慮到運算成本和網(wǎng)絡性能，很多時候都是

48、在路由器上來實現(xiàn)的。 </p><p>　　隨著接入Internet的計算機數(shù)量的不斷猛增，IP地址資源也就愈加顯得捉襟見肘。事實上，除了中國教育和科研計算機網(wǎng)(CERNET)外，一般用戶幾乎申請不到整段的C類IP地址。在其他ISP那里，即使是擁有幾百臺計算機的大型局域網(wǎng)用戶，當他們申請IP地址時，所分配的地址也不過只有幾個或十幾個IP地址。顯然，這樣少的IP地址根本無法滿足網(wǎng)絡用戶的需求，于是也就產(chǎn)生了NAT技

49、術(shù)。</p><p>　　NAT的實現(xiàn)方式有三種，即靜態(tài)轉(zhuǎn)換Static Nat、動態(tài)轉(zhuǎn)換Dynamic Nat 和 端口多路復用OverLoad。</p><p>　　靜態(tài)轉(zhuǎn)換是指將內(nèi)部網(wǎng)絡的私有IP地址轉(zhuǎn)換為公有IP地址，IP地址對是一對一的，是一成不變的，某個私有IP地址只轉(zhuǎn)換為某個公有IP地址。借助于靜態(tài)轉(zhuǎn)換，可以實現(xiàn)外部網(wǎng)絡對內(nèi)部網(wǎng)絡中某些特定設備(如服務器)的訪問。</p

50、><p>　　動態(tài)轉(zhuǎn)換是指將內(nèi)部網(wǎng)絡的私有IP地址轉(zhuǎn)換為公用IP地址時，IP地址對是不確定的，而是隨機的，所有被授權(quán)訪問上Internet的私有IP地址可隨機轉(zhuǎn)換為任何指定的合法IP地址。也就是說，只要指定哪些內(nèi)部地址可以進行轉(zhuǎn)換，以及用哪些合法地址作為外部地址時，就可以進行動態(tài)轉(zhuǎn)換。動態(tài)轉(zhuǎn)換可以使用多個合法外部地址集。當ISP提供的合法IP地址略少于網(wǎng)絡內(nèi)部的計算機數(shù)量時?？梢圆捎脛討B(tài)轉(zhuǎn)換的方式。</p>

51、;<p>　　端口多路復用(Port address Translation,PAT)是指改變外出數(shù)據(jù)包的源端口并進行端口轉(zhuǎn)換，即端口地址轉(zhuǎn)換(PAT，Port Address Translation).采用端口多路復用方式。內(nèi)部網(wǎng)絡的所有主機均可共享一個合法外部IP地址實現(xiàn)對Internet的訪問，從而可以最大限度地節(jié)約IP地址資源。同時，又可隱藏網(wǎng)絡內(nèi)部的所有主機，有效避免來自internet的攻擊。因此，目前網(wǎng)絡中應

52、用最多的就是端口多路復用方式。</p><p>　　3.1.6 ACL訪問控制</p><p>　　訪問控制列表（Access Control List，ACL） 是路由器和交換機接口的指令列表，用來控制端口進出的數(shù)據(jù)包。ACL適用于所有的被路由協(xié)議，如IP、IPX、AppleTalk等。這張表中包含了匹配關(guān)系、條件和查詢語句，表只是一個框架結(jié)構(gòu)，其目的是為了對某種訪問進行控制。 <

53、/p><p>　　信息點間通信，內(nèi)外網(wǎng)絡的通信都是企業(yè)網(wǎng)絡中必不可少的業(yè)務需求，但是為了保證內(nèi)網(wǎng)的安全性，需要通過安全策略來保障非授權(quán)用戶只能訪問特定的網(wǎng)絡資源，從而達到對訪問進行控制的目的。簡而言之，ACL可以過濾網(wǎng)絡中的流量，控制訪問的一種網(wǎng)絡技術(shù)手段。ACL技術(shù)用在了核心交換機的SW0上面，不允許學生公寓區(qū)訪問行政區(qū)，其它的都可以。</p><p>　　對信息的權(quán)限的控制，阻止了非授權(quán)用

54、戶進行的信息的瀏覽，修改甚至破壞。適當?shù)乜刂茖eb和FTP內(nèi)容的訪問是安全運行Web服務器的關(guān)鍵。使用 Windows和IIS中的安全功能，您可以有效地控制用戶訪問您Web和FTP內(nèi)容的方式?？梢钥刂贫嗉壴L問，從整個網(wǎng)站和FTP站點到單獨的文件。每個帳戶均被授予用戶特權(quán)和權(quán)限。用戶特權(quán)是指在計算機或網(wǎng)絡上執(zhí)行特定操作的權(quán)力。權(quán)限是與對象（如文件或文件夾）關(guān)聯(lián)的規(guī)則，用于控制哪些帳戶可以獲得對象的訪問權(quán)限。</p><

55、;p>　　3.2傳輸線路及介質(zhì)</p><p><b>　　3.2.1線路選擇</b></p><p>　　建筑系統(tǒng)間的布線主要的就是對各主要建筑屋之間的連接，考慮的問題有多個方面：帶寬的需求，外部自然地形的匹配，外部環(huán)境的等。我們通過上面的需求分析，同時結(jié)合下面的對其他因數(shù)的比較，得出建筑物之間最好用1000MB/S的光纖進行連接。</p>&l

56、t;p>　　根據(jù)各網(wǎng)絡內(nèi)各建筑的方位，可以得出布線線路。由圖書館網(wǎng)絡中心核心交換機分別連接到計算機樓，辦公樓的匯聚交換機，學生宿舍的交換機線路由辦公樓交換機引出。</p><p>　　3.2.2傳輸介質(zhì)選擇</p><p>　　由上表列出了千兆以太網(wǎng)現(xiàn)在支持的距離標準。</p><p>　　我們可以選擇單模光纖。我們使用了波長為1300um的單模光纖，因為辦公

57、樓與學生公寓的距離800m，以及圖書館至計算機樓的傳輸距離600m都超過了多模光纖的傳輸能力，同時單模光纖的傳輸距離在3000m以內(nèi)對信號衰減不會很明顯。單模信號的距離損失比多模的小，根據(jù)差分模式延遲的原理分析，單模光纖的光源為激光源，是沿纖芯階躍式傳播，由于多模光纖中玻璃介質(zhì)的缺陷，使得光束在來回折射的過程中造成能量的距大衰減。這經(jīng)分析我們選用1000BASE-LX波長為1300nm帶寬為160~200MHZ的單模光纖。</p&

58、gt;<p>　　3.3 網(wǎng)絡設備及網(wǎng)絡安全設備選擇</p><p>　　3.3.1交換機的選擇</p><p><b>　　1.核心層交換機</b></p><p>　　由于校園網(wǎng)絡規(guī)模較大，需提供多媒體辦公、圖書資料檢索、遠程互聯(lián)、教育網(wǎng)資源共享等吞吐量較大的網(wǎng)絡應用，為便于管理，選用的交換機作為網(wǎng)絡組建交換設備。選用1臺RG

59、-S6800E交換機作為核心交換機實現(xiàn)1000M做主干100M到桌面的需求。</p><p>　　RG-S6800E是銳捷網(wǎng)絡推出的基于NP+ASIC構(gòu)架的新一代多業(yè)務萬兆核心路由交換機，RG-S6800E在保障高性能大容量的基礎(chǔ)上提供強大的安全防護能力，并且擁有業(yè)務按需疊加擴展能力，達到業(yè)務和性能并重的設計需求。目前提供10豎插槽設計和6橫插槽設計兩種主機：RG-S6810E和RG-S6806E。 &

60、lt;/p><p>　　RG-S6800E系列多業(yè)務萬兆核心路由交換機提供2.4T/1.2T背板帶寬，并支持將來擴展到4.8T/2.4T的能力，高達857Mpps/428Mpps的二/三層包轉(zhuǎn)發(fā)速率可為用戶提供高速無阻塞的數(shù)據(jù)交換，強大的交換路由功能、安全智能技術(shù)可同銳捷各系列交換機配合，為用戶提供完整的端到端解決方案，是大型網(wǎng)絡核心骨干和大流量節(jié)點交換機的理想選擇。 RG-S6800E交換機通過先進的第三代高性能

61、引擎可硬件支持策略路由、IPV6等協(xié)議，并可擴展支持MPLS、load balancing、NAT、VPN、Firewall、IDS、web cache redirect等豐富的業(yè)務功能，滿足客戶環(huán)境靈活而復雜的不同應用需求。</p><p><b>　　2.匯聚層交換機</b></p><p>　　匯聚層交換機也應該采用具有路由功能的多層交換機，以達到網(wǎng)絡隔離和分段

62、的目的。為滿足辦公，計算機機房，學生宿舍等的需求。選用5臺RG-S5760系列 交換機作為匯聚層交換機</p><p>　　RG-S5760系列是銳捷網(wǎng)絡推出的融合了高性能、高安全的全千兆智能機架式多層交換機，十分適合在企業(yè)網(wǎng)的接入層或者匯聚層使用。同時支持IPv4/IPv6雙棧，為IPv4網(wǎng)絡的建設、IPv4向IPv6網(wǎng)絡過渡、以及IPv6網(wǎng)絡的建設和通信提供了最直接和最方便靈活的技術(shù)實現(xiàn)和方案保障。

63、   </p><p>　　全千兆的端口形態(tài)，機身自帶4個復用的SFP千兆光纖接口，不僅滿足網(wǎng)絡的彈性擴展，和高帶寬傳輸需要，也滿足網(wǎng)絡建設中不同傳輸介質(zhì)的連接需要。特別適合高帶寬、高性能和靈活擴展的大型網(wǎng)絡匯聚層、中型網(wǎng)絡核心層、以及數(shù)據(jù)中心服務器群的接入使用。  </p><p>　　硬件支持IPv4/IPv6雙協(xié)議棧多層線速交換和功能

64、特性，為IPv6網(wǎng)絡之間的通信提供了豐富的Tunnel技術(shù)，可靈活應用于純IPv4網(wǎng)絡、純IPv6網(wǎng)絡、IPv4與IPv6共存的網(wǎng)絡，能充分滿足當前園區(qū)網(wǎng)從IPv4向IPv6過渡的需要。   </p><p>　　提供二到七層的智能的業(yè)務流分類、完善的服務質(zhì)量（QoS）保證和組播應用管理特性。在提供高性能、多智能的同時，其內(nèi)在的安全防御機制和用戶接入管理能力，更可有效防止和控制病毒傳

65、播和網(wǎng)絡攻擊，控制非法用戶接入網(wǎng)絡，保證合法用戶合理地使用網(wǎng)絡資源，并可以根據(jù)網(wǎng)絡實際使用環(huán)境，實施靈活多樣的安全控制策略，充分保障了網(wǎng)絡安全、網(wǎng)絡合理化使用和運營。</p><p><b>　　3.接入層交換機</b></p><p>　　接入層交換機放置于樓層的設備間，用于終端用戶的接入。應該能夠提供高密度的接入，對環(huán)境的適應能力強，運行穩(wěn)定。統(tǒng)計了局域網(wǎng)內(nèi)各建筑

66、物的樓層數(shù)量，決定選用30臺RG-S20交換機作為接入層交換機。</p><p>　　產(chǎn)品概述 RG-S20系列是全線速智能型增強網(wǎng)管交換機，具有特別豐富而強大的網(wǎng)管功能，在實現(xiàn)流量線速交換的同時，可以通過多重設置方式進行網(wǎng)管操作，實現(xiàn)802.1Q VLAN、保護端口、鏈路聚合、Spanning Tree、端口監(jiān)控設置、靜態(tài)地址管理、廣播風暴控制、端口動態(tài)MAC地址鎖、端口MAC地址綁定、端口IGMP屬性設置、

67、802.1p優(yōu)先級等各種管理。 RG-S20系列交換機在設置豐富的管理策略時，可針對用戶的不同使用情況進行靈活的端口帶寬分配，并采用業(yè)界最先進的802.1x安全接入控制策略，提供用戶接入安全保障。 RG-S20系列交換機靈活的上鏈端口擴展能力、端口帶寬分配、安全的用戶接入控制使該系列交換機特別適合于高校、中小學、金融網(wǎng)點、中小企業(yè)、政府、寬帶社區(qū)等多種應用場合。</p><p>　　3.3.2路由器的選擇

68、</p><p>　　考慮Internet出口路由器的配置。決定選用一臺銳捷RSR-08路由器。它是校園網(wǎng)對外的出口，也可以作為保護校園網(wǎng)的第一道防火墻。</p><p>　　銳捷RSR-08路由器是高性能、通用的骨干匯聚路由器，具有高背板帶寬、高包轉(zhuǎn)發(fā)率、結(jié)構(gòu)緊湊、端口密度高等特點，并能提供全范圍的光纖和銅纜接口。RSR-08路由器具有強大的業(yè)務能力，可以滿足目前所有的城域匯聚和接入需求

69、，提供多協(xié)議標準交換 (MPLS)第2或3層隧道技術(shù)、動態(tài)帶寬控制和面向連接的數(shù)據(jù)收集體系。作為多協(xié)議標記（MPLS）PE路由器，他們使提供商的基于MPLS的業(yè)務具有高度的可擴展性和可靠性。通過使用VPLS，可以利用原有網(wǎng)絡和以太網(wǎng)基礎(chǔ)設施提供VOIP、互聯(lián)網(wǎng)接入、視頻以及多點虛擬專用網(wǎng)（VPN）等融合業(yè)務。 </p><p>　　銳捷RSR-08路由器支持包括TDM、POS、ATM和千兆位以太網(wǎng)，速率

70、高達OC- 48。部署在各種應用中，RSR-08路由器可用于搭建骨干匯聚路由器和核心層網(wǎng)絡，為用戶提供綜合的、高性能、功能強大的服務, 并提供高可用性網(wǎng)絡所需的冗余支持</p><p>　　3.3.3防火墻的選擇</p><p>　　為了擴展的需要，所以采用了RG-WALL1000。RG-WALL1000采用銳捷網(wǎng)絡獨創(chuàng)的分類算法（Classification Algorithm

71、）設計的新一代安全產(chǎn)品——第三類防火墻，支持擴展的狀態(tài)檢測（Stateful Inspection）技術(shù)，具備高性能的網(wǎng)絡傳輸功能；同時在啟用動態(tài)端口應用程序(如VoIP, H323等)時，可提供強有力的安全信道。 </p><p>　　采用銳捷獨創(chuàng)的分類算法使得RG-WALL產(chǎn)品的高速性能不受策略數(shù)和會話數(shù)多少的影響，產(chǎn)品安裝前后絲毫不會影響網(wǎng)絡速度；同時，RG-WALL在內(nèi)核層處

72、理所有數(shù)據(jù)包的接收、分類、轉(zhuǎn)發(fā)工作，因此不會成為網(wǎng)絡流量的瓶頸。另外，RG-WALL具有入侵監(jiān)測功能，可判斷攻擊并且提供解決措施，且入侵監(jiān)測功能不會影響防火墻的性能。RG-WALL的主要功能包括：擴展的狀態(tài)檢測功能、防范入侵及其它（如URL過濾、HTTP透明代理、SMTP代理、分離DNS、NAT功能和審計/報告等）附加功能。</p><p>　　3.3.4服務器的選擇</p><p>　　

73、華為FusionServer RH2288H V2-8</p><p>　　國際先進、國內(nèi)首創(chuàng)的一體化信息化平臺,嵌入式linux結(jié)構(gòu)、抗病毒、抗攻擊; 主要功能:防火墻、VPN、上網(wǎng)行為管理、網(wǎng)站、郵件、郵件監(jiān)控、病毒垃圾郵件過濾、FTP、文件服務器、帶寬管理、負載均衡等多種功能,企業(yè)信息化性價比極高整體解決方案</p><p><b>　　問題延伸</b><

74、/p><p><b>　　4.1問題呈現(xiàn)：</b></p><p>　　說明當這個網(wǎng)絡的規(guī)模擴大10倍或更多時，在網(wǎng)絡性能和網(wǎng)絡安全方面會出現(xiàn)什么問題？應該怎么解決？</p><p>　　4.2問題分析及解決</p><p>　　4.2.1網(wǎng)絡性能問題</p><p>　　1.網(wǎng)絡規(guī)模擴大，IP地址需

75、求量增大</p><p><b>　　解決方案：</b></p><p>　　IP地址的統(tǒng)一、合理規(guī)劃以及整個網(wǎng)絡向IPv6的演進是關(guān)系到整體分層網(wǎng)絡穩(wěn)定、快速收斂的關(guān)鍵，也是某職業(yè)技術(shù)學院校園網(wǎng)網(wǎng)絡設計中的重要一環(huán)。IP地址規(guī)劃的好壞，不僅影響到網(wǎng)絡路由協(xié)議算法的效率，更影響到網(wǎng)絡的性能和穩(wěn)定以及網(wǎng)絡的擴展和管理，也必將直接影響到相關(guān)新業(yè)務的開拓和網(wǎng)絡應用的進一步可

76、持續(xù)性發(fā)展。 劃分時注意使用VLAN，充分節(jié)約IP地址，使路由交換機上能夠采用聚合進行路由的合并，減少路由表的大小。出口到互聯(lián)網(wǎng)可以采用NAT防火墻上做地址轉(zhuǎn)換實現(xiàn)。校區(qū)內(nèi)接入到同一匯聚層交換機的區(qū)域建議采用連續(xù)IP地址段，以便做路由匯聚。 </p><p>　　IP地址的分配原則如下： </p><p>　?。?）給三層交換機設備互連的點對點IP地址分配1個C類地址，提供足夠的擴展性

77、 </p><p>　　（2）考慮到以后的網(wǎng)絡擴展規(guī)模，二層交換機設備的管理IP地址分配1個C類IP地址； </p><p>　?。?）可以考慮為學校校園網(wǎng)分配若干個C類私有地址段。 </p><p>　　服務器集群和辦公樓的IP獲取方式為手動分配，其他的均為通過DHCP獲取。上網(wǎng)方式均采用NAT方式</p><p>　　2.數(shù)據(jù)吞吐量過

78、大，核心網(wǎng)帶寬匱乏。</p><p><b>　　解決方案</b></p><p>　　建立一條高速的、多能的、可靠的、易擴展的主干網(wǎng)絡，解決目前存在的帶寬問題，適應未來發(fā)展。如果網(wǎng)絡規(guī)模擴大，可直接在主干網(wǎng)絡中添加核心交換機，而不用更換設備。</p><p>　　對于校園網(wǎng)這種規(guī)模大、集成度高的網(wǎng)絡，我們建議采用Client/Server結(jié)構(gòu)

79、模式，即將網(wǎng)絡結(jié)構(gòu)建立在各類信息分布處理和集中管理相結(jié)合的方式上；由于將數(shù)據(jù)處理工作放在各客戶機(Client)獨立處理，減輕了服務器（Server)的負擔，設備的性能可得到了良好的應用，而且資源信息可以分布共享、集中管理，使得系統(tǒng)的可靠性、開放性不單單依賴服務器，互補性很強。這種結(jié)構(gòu)靈活性好，速度快，可靠性高，是當今流行的網(wǎng)絡系統(tǒng)方案。</p><p>　　3. 由于缺乏帶寬限制和優(yōu)先級設置，對帶寬資源的大量占

80、用導致科研等重要應用無法進行</p><p><b>　　解決方案</b></p><p>　　引入網(wǎng)絡管理監(jiān)控軟件，保證合法用戶合理化使用網(wǎng)絡，如端口安全、端口隔離、專家級ACL、時間ACL、端口ARP報文合法性檢查、基于數(shù)據(jù)流的帶寬限速、六元素綁定等等，滿足企業(yè)網(wǎng)、校園網(wǎng)加強對訪問者進行控制、限制非授權(quán)用戶通信的需求?？伸`活控制二－七層數(shù)據(jù)報文，使得任何一個用戶P

81、C上的任何一種應用報文通過網(wǎng)絡都能得到有效控制，充分保障了網(wǎng)絡的安全和合理化使用。</p><p>　　4.2.2網(wǎng)絡安全問題</p><p>　　1. 計算機病毒攻擊；</p><p><b>　　解決方案：</b></p><p>　　提供一套完整的校園網(wǎng)寬帶管理該方案，全面采用IEEE 802.1X認證功能，提供了

82、一個融合防火墻、接入服務器、訪問控制、認證、計費功能的強大系統(tǒng)，對學校存在的每個問題都能提供完全的應對策略。 </p><p>　　控制網(wǎng)絡病毒。 統(tǒng)一對接入層交換機做動態(tài)下發(fā)安全策略，輕松有效的控制網(wǎng)絡病毒，使網(wǎng)絡保持暢通。在匯聚、核心交換設備設置由硬件實現(xiàn)ACL，對病毒進行過濾，我們選用的匯聚、核心交換設備都支持SPOH，所以在使用ACL時將不會影響整個交換機的性能。 </p><

83、p>　　抵御網(wǎng)絡攻擊。 結(jié)合網(wǎng)絡攻擊的檢測系統(tǒng)，能夠抵御日益增多的內(nèi)部網(wǎng)絡攻擊，并且自動對用戶做出相應的控制動作，保證網(wǎng)絡安全。 </p><p>　　安全認證到桌面。 采用六元素的自動綁定、靜態(tài)綁定、動態(tài)綁定相結(jié)合，可以確保用戶入網(wǎng)時身份唯一，并且避免了IP沖突。 </p><p>　　管理分級授權(quán)。 不同職能的管理者使用同一套系統(tǒng)時可以得到不同的操作界面以及使用權(quán)限，避

84、免了管理的安全隱患。</p><p>　　2.拒絕服務攻擊（Denial of Service Attack）</p><p><b>　　解決方案：</b></p><p>　　網(wǎng)絡設備拒絕服務攻擊的防止主要是防止出現(xiàn)TCP SYN泛濫攻擊、Smurf攻擊等；</p><p>　　網(wǎng)絡設備的防TCP SYN的方法主要是

85、配置網(wǎng)絡設備TCP SYN臨界值，若多于這個臨界值，則丟棄多余的TCP SYN數(shù)據(jù)包；</p><p>　　防Smurf攻擊主要是配置網(wǎng)絡設備不轉(zhuǎn)發(fā)ICMP echo請求(directed broadcast)和設置ICMP包臨界值，避免成為一個Smurf攻擊的轉(zhuǎn)發(fā)者、受害者。</p><p>　　正確配置路由器能夠有效防止DoS攻擊</p><p>　　使用擴展訪

86、問列表，擴展訪問列表是防止DoS攻擊的有效工具。它既可以用來探測DoS攻擊的類型，也可以阻止DoS攻擊。Show ip access-list命令能夠顯示每個擴展訪問列表的匹配數(shù)據(jù)包，根據(jù)數(shù)據(jù)包的類型，用戶就可以確定DoS攻擊的種類。如果網(wǎng)絡中出現(xiàn)了大量建立TCP連接的請求，這表明網(wǎng)絡受到了SYN Flood攻擊，這時用戶就可以改變訪問列表的配置，阻止DoS攻擊。</p><p>　　使用QoS ，使用服務質(zhì)量優(yōu)

87、化(QoS)特征，如加權(quán)公平隊列(WFQ)、承諾訪問速率(CAR)、一般流量整形(GTS)以及定制隊列(CQ)等，都可以有效阻止DoS攻擊。需要注意的是，不同的QoS策略對付不同DoS攻擊的效果是有差別的。例如，WFQ對付Ping Flood攻擊要比防止SYN Flood攻擊更有效，這是因為Ping Flood通常會在WFQ中表現(xiàn)為一個單獨的傳輸隊列，而SYN Flood攻擊中的每一個數(shù)據(jù)包都會表現(xiàn)為一個單獨的數(shù)據(jù)流。此外，人們可以利用

88、CAR來限制ICMP數(shù)據(jù)包流量的速度，防止Smurf攻擊，也可以用來限制SYN數(shù)據(jù)包的流量速度，防止SYN Flood攻擊。使用QoS防止DoS攻擊，需要用戶弄清楚QoS以及DoS攻擊的原理，這樣才能針對DoS攻擊的不同類型采取相應的防范措施。</p><p>　　使用單一地址逆向轉(zhuǎn)發(fā)，逆向轉(zhuǎn)發(fā)(RPF)是路由器的一個輸入功能，該功能用來檢查路由器接口所接收的每一個數(shù)據(jù)包。如果路由器接收到一個源IP地址為10.1

89、0.10.1的數(shù)據(jù)包，但是CEF(Cisco Express Forwarding)路由表中沒有為該IP地址提供任何路由信息，路由器就會丟棄該數(shù)據(jù)包，因此逆向轉(zhuǎn)發(fā)能夠阻止Smurf攻擊和其他基于IP地址偽裝的攻擊。</p><p>　　使用TCP攔截 ，在TCP連接請求到達目標主機之前，TCP攔截通過攔截和驗證來阻止這種攻擊。TCP攔截可以在攔截和監(jiān)視兩種模式下工作。在攔截模式下，路由器攔截到達的TCP同步請求，

90、并代表服務器建立與客戶機的連接，如果連接成功，則代表客戶機建立與服務器的連接，并將兩個連接進行透明合并。在整個連接期間，路由器會一直攔截和發(fā)送數(shù)據(jù)包。對于非法的連接請求，路由器提供更為嚴格的對于half-open的超時限制，以防止自身的資源被SYN攻擊耗盡。在監(jiān)視模式下，路由器被動地觀察流經(jīng)路由器的連接請求，如果連接超過了所配置的建立時間，路由器就會關(guān)閉此連接。</p><p><b>　　3.“黑客”

91、的攻擊</b></p><p><b>　　解決方案</b></p><p>　　部署入侵檢測/保護系統(tǒng)，防火墻作為安全保障體系的第一道防線，防御黑客攻擊。但是，隨著攻擊者知識的日趨成熟，攻擊工具與手法的日趨復雜多樣，單純的防火墻已經(jīng)無法滿足企業(yè)的安全需要，部署了防火墻的安全保障</p><p>　　體系仍需要進一步完善。 <

92、/p><p>　　傳統(tǒng)防火墻的不足主要體現(xiàn)在以下幾個方面： </p><p>　　防火墻作為訪問控制設備，無法檢測或攔截嵌入到普通流量中的惡意攻擊代碼，比如針對 WEB 服務的 Code Red 蠕蟲等。</p><p>　　有些主動或被動的攻擊行為是來自防火墻內(nèi)部的，防火墻無法發(fā)現(xiàn)內(nèi)部網(wǎng)絡中的攻擊行為。 </p><p>　　作為網(wǎng)絡訪問控制設

93、備，受限于功能設計，防火墻難以識別復雜的網(wǎng)絡攻擊并保存相關(guān)信息，以協(xié)助后續(xù)調(diào)查和取證工作的開展。</p><p>　　入侵檢測系統(tǒng) IDS（ Intrusion Detection System）是繼防火墻之后迅猛發(fā)展起來的一類安全產(chǎn)品，它通過檢測、分析網(wǎng)絡中的數(shù)據(jù)流量，從中發(fā)現(xiàn)網(wǎng)絡系統(tǒng)中是否有違反安全策略的行為和被攻擊的跡象，及時識別入侵行為和未授權(quán)網(wǎng)絡流量并實時報警。 </p><p&g

94、t;　　IDS 彌補了防火墻的某些設計和功能缺陷，側(cè)重網(wǎng)絡監(jiān)控，注重安全審計，適合對網(wǎng)絡安全狀態(tài)的了解，但隨著網(wǎng)絡攻擊技術(shù)的發(fā)展，IDS 也面臨著新的挑戰(zhàn)： </p><p>　　IDS 旁路在網(wǎng)絡上，當它檢測出黑客入侵攻擊時，攻擊已到達目標造成損失。IDS 無法有效阻斷攻擊，比如蠕蟲爆發(fā)造成企業(yè)網(wǎng)絡癱瘓，IDS 無能為力。 </p><p>　　蠕蟲、病毒、DDoS 攻擊、垃圾郵件等混合

95、威脅越來越多，傳播速度加快，留給人們響應的時間越來越短，使用戶來不及對入侵做出響應，往往造成企業(yè)網(wǎng)絡癱瘓，IDS 無法把攻擊防御在企業(yè)網(wǎng)絡之外。</p><p>　　為了彌補防火墻和IDS的缺陷，入侵保護系統(tǒng) IPS（Intrusion Prevention System）作為IDS的替代產(chǎn)品應運而生。網(wǎng)絡入侵防御系統(tǒng)作為一種在線部署的產(chǎn)品，提供主動的、實時的防護，其設計目標旨在準確監(jiān)測網(wǎng)絡異常流量，自動對各類攻

96、擊性的流量，尤其是應用層的威脅進行實時阻斷，而不是簡單地在監(jiān)測到惡意流量的同時或之后才發(fā)出告警。</p><p><b>　　設計總結(jié)</b></p><p>　　本畢業(yè)設計從校園網(wǎng)的建設思想、目標。可以選用的的介紹和選擇等多方面的論述，校園網(wǎng)絡建設作為一項重要的系統(tǒng)工程，它的所用到的各種技術(shù)是多方面的，即有網(wǎng)絡技術(shù)、工程施工技術(shù)，也有管理制度等各個方面的知識。，在論

97、述中不可能面面具到，同時也由于本人的知識水平有限，文中的不足和錯誤在所難免，敬請各位老師多多指點和更正</p><p>　　通過這次設計，我接觸到了很多網(wǎng)絡技術(shù)和網(wǎng)絡設備的知識,同時也學到了很多，增長了見識，認識到自己對相關(guān)知識的匱乏，以后還需要更多的努力，學習更多的專業(yè)知識。雖然我們盡了最大的努力，但是由于經(jīng)驗不足，及學習過程中的疏忽從整體上說，通過以上的分析布局已基本上展現(xiàn)了網(wǎng)絡工程硬件設計的全部過程，但是我

98、們討論課題的局限性，還有很多的網(wǎng)絡技術(shù)沒有提到，如VPN，又如路由器的安裝與使用等等。建設校園網(wǎng)對每個學校來說都不是一件容易的事情，都要經(jīng)過周密的論證、謹慎的決策、緊張的施工和科學的管理。學校的網(wǎng)絡化建設必然會對學校的信息化建設起到巨大的推動作用，為學校的辦公提供簡單、有效、便捷的理想環(huán)境，為學校的教育教學改革提供有效的數(shù)據(jù)信息。</p><p>　　隨著信息技術(shù)與通信技術(shù)的飛速發(fā)展及人們對網(wǎng)絡性能要求的提高，各

99、種網(wǎng)絡新技術(shù)、新思想等必將產(chǎn)生并不斷得到完善和發(fā)展。使得更多更好的建網(wǎng)思想和技術(shù)應用到新的校園網(wǎng)的建設及改造之中，校園網(wǎng)的功能也將得到很大的提高與擴充。網(wǎng)絡技術(shù)的發(fā)展是永無止境的，在前進的過程中必將有更多的知識需要我們?nèi)W習與研究，并能將其應用到實際的網(wǎng)絡工程建設之中。由于校園網(wǎng)功能齊全，技術(shù)含量高，接觸面廣，在網(wǎng)絡設計、規(guī)劃和建設中都非常復雜。因此要廣泛普及網(wǎng)絡技術(shù)，發(fā)展網(wǎng)絡工程。</p><p><b&

100、gt;　　參考文獻</b></p><p>　　[1] 嚴偉，潘愛明.計算機網(wǎng)絡（第5版）[M].北京：清華大學出版社，2012.</p><p>　　[2] 白國強.網(wǎng)絡安全基礎(chǔ)（第4版）[M].北京：清華大學出版社，2011.</p><p>　　[3] 張衛(wèi)，俞黎陽.計算機網(wǎng)絡工程（第2版）[M].北京：清華大學出版社，2010.</p>