【正文】 本區(qū)域內的數(shù)據(jù)交換，匯聚交換機一般與主干 層交換機同類型，仍需要較高的性能和比較豐富的功能，但吞吐量較低。 此外，在建設實驗室局域網(wǎng)過程中還要考慮以下因素 ： （ 1）主干層網(wǎng)落承載能力要求 主干層的功能主要是實現(xiàn)骨干網(wǎng)絡之間的優(yōu)化傳輸，負責整個網(wǎng)絡的網(wǎng)內數(shù)據(jù)交換。因此，建設 礦業(yè)大學南湖 局域網(wǎng)是學校發(fā)展的不可或缺的基礎硬件設施。建設一流的 礦業(yè)大學南湖 是產(chǎn)學研相結合的一種重要形式，在學科建設中發(fā)揮著不可替代的作用，實驗室局域網(wǎng)的優(yōu)劣對實驗室功能的發(fā)揮起著決定性的作用，對學生的上機效果有著直接的影響。 建設優(yōu)質的實驗室局域網(wǎng)有利于學術研究，有利于網(wǎng)絡教學，有利于培養(yǎng)學生實踐動手能力，有利于學生就業(yè)，有利于提升學校的品牌的一件大好 事。 礦業(yè)大學南湖 擁有一個完整的以太網(wǎng)布局，通過路由器與學校網(wǎng)絡中心光纖連接， 由兩層交換機將各個機房的信息點連通。網(wǎng)絡的功能控制最好盡量少在骨干層上實施，主干層設計任務的重點是冗余能力、可靠性和高速的傳輸。 (3) 可靠性和自愈能力要求 網(wǎng)絡系統(tǒng)的穩(wěn)定可靠是應用系統(tǒng)正常運行的關鍵保證，在網(wǎng)絡設計中選用高可靠性網(wǎng)絡產(chǎn)品，合理設計網(wǎng)絡架構，制訂可靠的網(wǎng)絡備份策略，保證網(wǎng)絡具有故障自愈的能力，最大限度地支持系統(tǒng)的正常運行。 計算機網(wǎng)絡與安全實踐 課程設計 第 6 頁 網(wǎng)絡設計的目標與要求： 網(wǎng)絡設計的目標與要求 1. 礦業(yè)大學南湖 的設計目標 第一、網(wǎng)絡實驗室的設計方案和實驗內容必須滿足教學和培訓需求 為了讓培養(yǎng)的人才能較好地適應社會對網(wǎng)絡專業(yè)人才的需求，中職院校所建設的實驗室必須能夠開設以下三方面的實驗：網(wǎng)絡組網(wǎng)方面的實驗，網(wǎng)絡管理方面的實驗，網(wǎng)絡工程（綜合布線）方面的實驗，并且在設備的采用上還應充 分考慮到多種技術的融合、多個平臺的操作、多廠家設備的互連。通過這種特色的教學、豐富的有針對性實驗內容、實現(xiàn)培養(yǎng)人才和獲得創(chuàng)收的目標，將網(wǎng)絡 實驗室建成一個有特色的培訓基地?？梢詫崿F(xiàn)同一時段多人做實驗，也可合并在一起組成大的實驗環(huán)境，體現(xiàn)網(wǎng)絡實驗室在拓撲環(huán)境組合上的靈活性 及整體的經(jīng)濟性。實驗教學內容應與社會應用實踐密切聯(lián)系， 形成良性互動，實現(xiàn)學與用的有機結合。 在網(wǎng)上宣傳和獲取教育資源；在此基礎上建立能滿足教學、科研和管理工作需要的軟、硬件環(huán)境；開發(fā)各類信息庫和應用系統(tǒng)，為學校各類人員提供充分的網(wǎng)絡信息服務；系統(tǒng)總體設計本著總體規(guī)劃、分布實施的原則，充分體現(xiàn)系統(tǒng)的技術先進性、高度的安全可靠性、良好的開放性、可擴展性，以及建設經(jīng)濟性。 第二，標準性及開放性。在網(wǎng)絡中，即使有多個網(wǎng)絡并存，采用統(tǒng)一的標準，也能使這些網(wǎng)絡能融合到一起，實現(xiàn)業(yè)務整合及數(shù)據(jù)集中。 第四，先進性。對網(wǎng)絡實行集中監(jiān)測，分權管理，并統(tǒng)一分配寬帶資源。制訂統(tǒng)一的骨干網(wǎng)安全策略，整體考慮網(wǎng)絡平臺的安全性。 第七，綜合性和統(tǒng)一性。比較性價比的前提是確保性能基本滿足需求。 拓撲結構的選擇往往與傳輸媒體的選擇和媒體訪問控制方法的確定緊密相關。 需 要考慮系統(tǒng)在今后擴展或改動時，能容易地重新配置網(wǎng)絡拓撲結構，能方便地對原有站點的刪除和新站點的加入。采用星型拓撲的交換方式有電路交換和報文交換，尤以電路交換更為普遍。 。 (3)方便服務 中央節(jié)點可方便地對各個站點提供服務和網(wǎng)絡重新配置。 (2)中央節(jié)點的負擔加重，形成瓶頸，一旦故障，則全網(wǎng)受影響，因面中央節(jié)點的可靠性和冗余度方面的要求很高。 計算機網(wǎng)絡與安全實踐 課程設計 第 10 頁 結 構因為所有站點共享一條公用的傳輸信道，所以一次只能由一個設備傳輸信號 。 。 。如傳輸媒體故障，則整個這段總線要切斷。 A 站依次把每個分組送到環(huán)上，開始沿環(huán)傳輸， C 站識別到帶有它自己地址的分組時，將它接收下來。 (2)增加或減少工作站時，僅需簡單地連接。 (2)檢測故障困難，這與總線拓撲相似，因為不是集中控制，故障檢測需在網(wǎng)上各個節(jié)點進行，故障的檢測就不很容易。樹型拓撲的優(yōu)缺點大多和總線的優(yōu)缺 點相同，但也有一些特殊樁點。 樹型拓撲的缺點是各個節(jié)點對根的依賴性太大，如果根發(fā)生故障，全網(wǎng)則不能正常工作，從這一點來看樹型拓撲結構的可靠性與星型拓撲結構相似。 。這種安裝和傳統(tǒng)的電話系統(tǒng)電纜安裝很相似。 (六 ) 網(wǎng)型拓撲 它的優(yōu)點是不受瓶頸問題和失效問題的影響。網(wǎng)絡要易于安裝，一旦安裝好了，還要滿足易于擴展的要求，既要方便擴展，又要保護現(xiàn)有的系統(tǒng)。 計算機網(wǎng)絡與安全實踐 課程設計 第 12 頁 目前常用的主干網(wǎng)組網(wǎng)技術有 100Mbps 的快速以太網(wǎng)， 100Mbps 的 FDDI， ATM 網(wǎng)絡和千兆以太網(wǎng)。這也是對大型網(wǎng)絡進行高效管理的首選方法 模塊化設計 模塊化就是將把整個網(wǎng)絡按功能和安全需求分為若干個組件，這些組件之間有一定的安全邊界，組件內部有完整的網(wǎng)絡設計。 計算機網(wǎng)絡與安全實踐 課程設計 第 13 頁 ? 核心層： 核心層的主要提供不同網(wǎng)絡模塊之間優(yōu)化傳輸服務，將分組盡可能快地從一個網(wǎng) 絡傳到另一個網(wǎng)絡，通常要保證核心層具有很高的可靠性、最佳的網(wǎng)絡性能。 ? 匯聚層 匯聚層顧名思義就是作為訪問層到骨干層的匯聚，通常為訪問層與骨干層實現(xiàn)基于策略的網(wǎng)絡間連接。訪問層主要通過二層交換機組成。模塊化設計也有效限制故障影響范圍。因存在大量的語音和視頻傳輸。在接入層面，通過定義相應的訪問策略，實現(xiàn)訪問控制，內外隔離和抭 IP 地址。在網(wǎng)絡硬件上采用高性能、高可靠的設備，此產(chǎn)品是具有運營商級容錯能力的高性能大型網(wǎng)絡核心交換機，可實現(xiàn)冗余備份，從而提高核心層的可靠性。 IP 地址及 VLAN 劃分 VLAN（ Virtual Local Area Network）又稱虛擬局域網(wǎng)，是指在交換局域網(wǎng)的基礎上，采用網(wǎng)絡管理軟件構建的可跨越不同網(wǎng)段、不同網(wǎng)絡的端到端的邏輯網(wǎng)絡。 根據(jù)我校 礦業(yè)大學南湖 的實際情況，我們對各個機房的 IP 地址劃分及 VLAN 劃分如下： 14 機房： ， vlan1 58 機房： ， vlan2 910 機房： ， vlan3 1112 機房： ， vlan4 1314 機房： ， vlan5 1516 機房： ， vlan6 1718 機房： ， vlan7 1920 機房： ， vlan8 2122 機房： ， vlan9 2324 機房： ， vlan10 2526 機房： ， vlan11 2728 機房： ， vlan12 2930 機房： ， vlan13 3132 機房： ， vlan14 3334 機房： , vlan15 3536 機房： , vlan16 NAT 的實現(xiàn) NAT，網(wǎng)絡地址轉換，是通過將專用網(wǎng)絡地址轉換為公用地址（如互聯(lián)網(wǎng) Inter），從而對外隱藏了內部管理的 IP 地址。 、訪問列表的實現(xiàn) 路由器和交換機所保持的列表用來針對一些進出路由器或交換機的服務（如組織某個 IP 地計算機網(wǎng)絡與安全實踐 課程設計 第 19 頁 址的分組從路由器或交換機的特定端口出發(fā)）做訪問控制。 設備選型與配置 我們選取其中一個機房作為示例，下圖為實驗室的三層網(wǎng)絡結構模型： 匯聚層交換機的選擇： RG－ S6806E 要求匯聚層交換機支持廣播、組播功能。 豐富的應用支持技術（ QOS、組播） RGS6800E 提供多種流分類技術和多種 QOS 技術，包括 SP、 WRR、 WFQ、 WRED、 CAR、HOL 等，為各種應用的帶寬保障提供需要的支持技術。 WFQ 是加權公平隊列，對所有的數(shù)據(jù)流進行排隊，監(jiān)控吞吐率，并根據(jù)發(fā)送的 信息量分配權值。 ? 承諾信息速率： CAR 可以為重要的數(shù)據(jù)流設定固定的帶寬，如果設定的帶寬合理，滿足該數(shù)據(jù)流的需求，就可以保證重要數(shù)據(jù)流的正常轉發(fā)。 路由選擇與配置 RGS6800E 新一代多業(yè)務萬兆核心路由交換機系 ，配置見附錄二。如果用戶有意無意的更改自己的 IP、 MAC 地址，會引起多方?jīng)_突，如果與網(wǎng)關地址沖突，同一網(wǎng)段內的所有用戶都不能使用網(wǎng)絡；如果惡意用戶發(fā)送虛假的 IP、 MAC 的對應關系，用戶 的大量上網(wǎng)數(shù)據(jù)包都落入惡意用戶的手中，造成 ARP 欺騙攻擊。 (4)、安全事故發(fā)生時候，不能準確定位到用戶的影響： 一旦發(fā)生這種涉及到政治的安全事情發(fā)生后，很容易在社會上廣泛傳播，上級主管部 門會對學校做出處理；同時也會大大降低學校在社會上的影響力，降低家長、學生對學校的滿意度，對以后學生的招生也是大有影響的。 (6)、用戶網(wǎng)絡權限的控制 在實驗室局域網(wǎng)中，不同用戶的訪問權限應該是不一樣的，比如學生應該只能夠訪問資源服務器，上網(wǎng)，不能訪問辦公網(wǎng)絡 、財務網(wǎng)絡。 網(wǎng)絡安全控制 (1)對端口 ARP 檢查防止 ARP 攻擊； (2)對端口安全： MAC 動態(tài)地址鎖， MAC 地址靜態(tài)綁定； (3)交換設備 BPDU Guard 功能，過濾非法 BPDU 報文，防止 STP 攻擊交換機； (4)端口安全：端口靜態(tài)綁定，自動綁定 IP 和 MAC 地址防止 DOS 攻擊； (5)智能安全到邊緣：多種 ACL，滿足不同網(wǎng)絡應用，過濾病毒 (6) SSH 密文傳輸，限制管理 IP 等措施保證設備管理可靠； (7)對網(wǎng)絡病毒的防范：采用設置 ACL，對病毒進行過濾； 我們使用的匯聚、核心交換機都支持 SPOH，通過端口獨立的 FFP 進行 ACL 處理，網(wǎng)絡設備性能 不受設置 ACL 數(shù)目影響； 具體措施如下： (1)事前的身份認證 對于每一個需要訪問網(wǎng)絡的用戶，我們需要對其身份進行驗證，身份驗證信息包括用戶的用戶名 /密碼、用戶 PC 的 IP 地址、用戶 PC 的 MAC 地址、用戶 PC 所在交換機的 IP 地址、用戶 PC 所在交換機的端口號、用戶被系統(tǒng)定義的允許訪問網(wǎng)絡的時間，通過以上信息的綁定，可以達到如下的效果： 1) 每一個用戶的身份在整個實驗室局域網(wǎng)中是唯一，避免了個人信息被盜用 . 計算機網(wǎng)絡與安全實踐 課程設計 第 22 頁 2) 當安全事故發(fā)生的時候，只要能夠發(fā)現(xiàn)肇事者的一項信息比如 IP 地址，就可以準確定位到該用戶，便于事情的處 理。 防止 IP 地址盜用和 ARP 攻擊 通過對每一個 ARP 報文進行深度的檢測，即檢測 ARP 報文中的源 IP 和源 MAC 是否和端口安全規(guī)則一致，如果不一致，視為更改了 IP 地址，所有的數(shù)據(jù)包都不能進入網(wǎng)絡，這樣可有效防止安全端口上的 ARP 欺騙，防止非法信息點冒充網(wǎng)絡關鍵設備的 IP（如服務器），造成網(wǎng)絡通訊混亂。 非法組播源的屏蔽 銳捷產(chǎn)品均支持 IMGP 源端口檢查，實現(xiàn)全網(wǎng)杜絕非法組播源，指嚴格限定 IGMP 組播流的進入端口。同時 IGMP 源端口檢查，具有效率更高、配置更簡單、更加實用的特點，更加適用于校園運營網(wǎng)絡大規(guī)模的應用環(huán)境。 網(wǎng)絡管理設計 網(wǎng)絡管理包括用戶管理、設備管理、網(wǎng)絡故障管理 (1)網(wǎng)絡用戶管理 (2)網(wǎng)絡設備管理 網(wǎng)絡設備的管理通過 STARVIEW 實現(xiàn)，主要提供以下功能，這些功能也是我們常見的解決問題的思路： 網(wǎng)絡現(xiàn)狀及故障的自動發(fā)現(xiàn)和了解 STARVIEW 能自動發(fā)現(xiàn)網(wǎng)絡拓撲結構，讓網(wǎng)絡管理員對整個校園網(wǎng)了如指掌，對于用戶私自掛接的 HUB、交換機等設備能及時地發(fā)現(xiàn)，提前消除各種安全隱患。 設備面板管理 STARVIEW 的設備面板管理能夠很清楚的看到校園中設備的面板，包括端口數(shù)量、狀態(tài)等等，同時可以很方便的登陸到設備上，進行配置的修改，完善以及各種信息的察看。 同時因為對于各個用于群的分組比較的詳細，也方便了未來加入服務器等工作。 ? 帶寬擴展 帶寬擴展通常出現(xiàn)在不同的網(wǎng)絡層次間，如接入層和匯聚層，匯聚層和核心層。這就要求網(wǎng)絡的擴展具有平滑不中斷的特性。 可靠性 組網(wǎng)無論怎樣布局，最終的目的是保證我們的局域網(wǎng)的所有設備能可靠穩(wěn)定地運行，使得網(wǎng)絡能正常運轉。規(guī)劃網(wǎng)絡布局要考慮到機房的設備布局和布線系統(tǒng)的合理搭配。此外，還會影響操作人員和維護人員的正常的工作和身心健康。 計算機網(wǎng)絡與安全實踐 課程設計 第 26 頁 3)防雷 由于機房通信和供電電纜多從室外引入機房，易遭受雷電的侵襲，機房的建筑防雷設計尤其重要。匯聚層是整個局域網(wǎng)的核心部分，匯聚層網(wǎng)絡設備一般支持網(wǎng)絡管理功能，方便我們的管理和維護，方便以后我們的網(wǎng)絡升級和改造。在布線時，最好使用專門的通道，而且不要與電源線，空調線等具有輻射的線路混合布線。 網(wǎng)絡設備的放置，最好放在節(jié)點的中央位置，這樣做，不是為了節(jié)約綜合布 線的成本，而是為了提高網(wǎng)絡的整體性能，提高網(wǎng)絡傳輸質量。這些設備之所以有這樣一種結構類型，是因為它們都按國際機柜標準進行設計，這樣大家的平