资料简介
综合设计
背景:
调查我校校园网络的设计规划,了解校园网安全与管理现状,进行必要的资料查询和市场
调查,设计我校校园网络管理和安全方案,并制定实施计划,对涉及到的主要网络管理技术,
写出基本的实现过程。
摘要
当前社会上,网络工程专业重要核心专业课程,以校园网络的案例分析为主,结合实际的
网络管理实践与网络技术实训
全面设计网络安全的相关网络管理与,扮演网络管理职业与岗位职责,全面发挥网络管
理的基本原理与网络故障维护的方法和技能
通过实际的企业网络管理和实践,要求整个校园网络的实际状况与需求,设计校园网络
安全策略与网络管理方案,提出具体的实施方法并通过实验进行验证,使校园网络更加完善。
目录
摘要.....................................................................................................................................................1
需求分析.............................................................................................................................................2
一、 网络功能需求分析:................................................................................................ 2
二、 网络结构需求分析:................................................................................................ 2
三、 网络扩展性需求分析:............................................................................................ 3
四、 网络安全需求分析:................................................................................................ 3
五、 网络管理需求:.........................................................................................................3
校园网络拓扑图.................................................................................................................................3
校园网基于 snmp 协议的网络管理系统设计..................................................................................4
SNMP 网络管理的基本模型....................................................................................................... 4
SNMP 协议的网络管理系统相关操作流程...............................................................................4
校园网络的 Windows 域的规划与管理、组策略、补丁管理......................................................10
Windows 域规划........................................................................................................................10
组策略.......................................................................................................................................10
利用组策略的特性做如下相关操作来对整个校园网来管理..............................................10
校园网网络病毒防护方案设计与实现.......................................................................................... 10
检测病毒...................................................................................................................................11
清除病毒...................................................................................................................................11
校园网上网行为管理的策略设计与实施...................................................................................... 11
网站访问控制策略设计与实施.............................................................................................. 11
网络应用管理策略设计与实施.............................................................................................. 11
带宽流量分配策略设计与实施.............................................................................................. 11
外发信息监控策略设计与实施.............................................................................................. 11
因特网活动审计策略设计与实施.......................................................................................... 11
校园网数据备份与灾难恢复设计.................................................................................................. 20
对于可能发生的数据灾难性的破坏,对于一些突发事故导致数据丢失......................... 20
对重要数据(例如与控制器的系统状态)进行备份和还原..............................................20
相对于基本数据可以相应的进行常规/增量/差异备份......................................................23
设备清单...........................................................................................................................................28
需求分析
一、 网络功能需求分析:
(1) 数据通信功能
学院的领导、教师、学生及其他成员,他们的工作地方都能利用网络进行相关的工作,
例如浏览网页,上传和下载相关的信息。
(2) 教师教学服务功能
教师利用校园网的主要目的是提高教学质量,通过调查分析校园网将主要从以下几个方面为
教学服务。
可以通过外网搜查教学资料。
可以利用网络从 FTP 服务器上下载学生作业,上传教学课件。
可以在教室的电脑访问外网资源,实现教师教学计划。
可以用自己的授权信息访问学院的信息管理系统,以便教师能添加和修改学生的考勤、
平时成绩等信息,以及能查询学生的相关信息。
(3) 学生学习功能
可以利用网络从 FTP 服务器上下载老师课件,上传作业,但不能下载其他同学的作业。
可以利用网络查看自己的个人信息(例如考勤,平时成绩,水电费等)。
可以利用网络自主学习,可以提高学生的学习能力。
可以利用校园网查阅资料,扩展视野,与同学相互交流、相互学习。
可以利用网络建立自己的 WEB 站点,展示自己的作品。
二、 网络结构需求分析:
(1) 拓扑结构
网络采用典型的三层结构:核心层+汇聚层+接入层,根据需要在中间设置汇聚层,汇聚
层上连核心层,下连接入层。核心层和汇聚层采用三层交换机,接入层采用二层交换机。
达到有利信息流量的局部化,局部的信息流量传输不会传达全网,以减轻主干信道的压
力和确保信息不被非法监听。
(2) 网络节点
接入层交换机直接连接终端用户,由于终端用户信息点较多,所以一栋楼设立一个汇聚
层交换机,网络节点设备交换机要采用高性能,具备大型交换能力的设备。同时对服务器的
处理能力要求也比较高。考虑到内网用户数据的安全性要求不高并加大网络建设和管理成
本,但是为了改善主干链路数据流量的压力,增强网络性能,所以采用将服务器主机安排在
核心层。
(3) 网络链路
网络主干链路采用千兆多模光纤传输介质。
服务器与网络中心的链路采用千兆铜缆。
核心层交换机与汇聚层交换机采用千兆多模光纤传输介质,与网络中心得距离大于 2km
的采用千兆单模光纤。
汇聚层与接入层交换机的链路采用百兆超五类非屏蔽双绞线。
接入层与用户信息点的链路采用百兆超五类非屏蔽双绞线。
三、 网络扩展性需求分析:
(1) 用户业务
由于学院每年都服务器扩招学生,网络的需求量也逐年增加,导致内网资源被访问量也
增多,对资源服务器做压力测试,看是否能应对现有的请求服务,若不能则更换硬件,但网
络设备的处理性能预留最少为 30%
(2) 网络性能
由于用户逐年增多,同时在线人数也增多,保留现有的网络设备,通过购买主流的交换机来
降低网络数据拥塞度,同时增加了网络端口。
四、 网络安全需求分析:
外网出入口处设立一个防火墙,并进行一些安全性配置。
采用安全性较高的网络操作系统,关闭一些不必要的系统服务和端口,时对系统进行补
丁程序升级。
建立 dmz 区,放置提供外网访问的服务器。
为信息管理系统服务器群设立一个防火墙和入侵检测系统。
对用户上网认证的信息进行加密,服务器能对认证的用户“可控”,“可查”。
独立划分一个虚拟局域网(vpn)给财务部。
五、 网络管理需求:
网络用户需要使用软件与认证服务器认证,通过认证后才能访问外网,服务器端应能保
存用户的 ip 地址、mac 地址、上网时长、流量统计、上网所使用的套餐及费用等信息。客
户端应能查看用户的上网时长、流量统计、费用余额等信息。
为了防止网络用户使用迅雷、比特彗星等下载工具,为每个用户分配限定的流量,从而
有效地防止大量的网络用户使用下载工具导致网络拥塞问题。
校园网络拓扑图
校园网基于 snmp 协议的网络管理系统设计
SNMP 网络管理的基本模型
管理站(SNMP management station):
管理站实际上是一台运行特殊管理软件的普通计算机,SNMP 管理的网络中至少包含
一个管理站。
代理(Management agents):
每个被管理的网元都包含一个 SNMP 代理程序,是 SNMP 管理站和被管理网元间的接
口,负责建立通信关系。
管理传输协议(SNMP):
管理站使用 SNMP 协议与代理通信。
管理信息数据库(MIB):
管理信息数据库存储在被管理的网元中,由系统内的许多被管对象及其属性组成。
SNMP 协议的网络管理系统相关操作流程
1、在代理机启用 SNMP 服务。
2、设置陷阱,指定目标。
3、设置团体属性。
4、启动 ip network broswer。
5、抓取 SNMP 协议数据包。
6、使用 ip network browser 查看管理。
7、用 solarwind 管理主机。
校园网络的 Windows 域的规划与管理、组策略、补丁管理
Windows 域规划
• 在 Windows Server 网络环境中,域是最重要的核心管理单元,是活动目录的主干。
• 活动目录由域、子域、域树、域森林、组织单位构成。
• 每个域最少由一台域控制器组成,可以建立若干个而外的域控制器用力实现容错和
提高性能。
• 利用 OU 组织单位可以根据公司结构、地理位置、部门等建立相对应的逻辑关系。
• 域用户账户的登录名在域中是惟一的,而显示名在当前容器中必须是惟一的。
组策略
• 一种 One to many 管理模式的实现
• 强制性安全配置
• 灵活的软件部署方式
• 强化企业中的软件管理
• 简单明了的系统设置
组策略又称 Group Policy,可以管理计算机和用户,可以管理用户的工作环境、登录注销时
执行的脚本、文件夹重定向、软件安装等.
组策略就是修改注册表中的配置,使用自己更完善的管理组织方法,可以对各种对象中
的设置进行管理和配置,远比手工修改注册表方便、灵活,功能也更加强大。
利用组策略的特性做如下相关操作来对整个校园网来管理
• 组策略的继承
• 策略的累加
• 阻止策略继承
• 强制继承生效
这样一来慢慢加强管理。
校园网网络病毒防护方案设计与实现
现在计算机病毒已达 5 万多种,并呈几何级数增长
1998 年,CIH 病毒影响到 2000 万台计算机;
1999 年,梅利莎造成 8000 万美元损失;
2000 年,爱虫病毒影响到 1200 万台计算机,损失高达几十亿美元;
2001 年,红色代码病毒,目前造成的损失已超过十二亿美元。
2003 年,冲击波病毒……
计算机网络的最大威胁是来自企业内部员工的恶意攻击和计算机病毒的威胁。
网络病毒防护方案
检测病毒
搜索法
简单有效的检测病毒
特征字的识别法
对特殊的病毒进行匹配,可以迅速检测到是否感染病毒
分析法
当锁定了一定区域范围内有病毒,通过分析法可以检测出真正的病毒所在
清除病毒
文件型病毒的清除
引导型病毒的清除
内存杀毒
压缩文件病毒的检测和清除
在正常的情况下,身为网络管理员。要有病毒防范意识,从而提高校园网的安全性
良好的安全意识,防范社会工程学攻击,不随意浏览网站或接受邮件、QQ 文件、不
要随意使用管理员账户、警惕“网络钓鱼”
关闭或删除系统中不需要的服务,实时检测系统进程、网络端口、注册表等
及时升级安全补丁,弥补系统和程序漏洞。
使用安全复杂的密码,启用账户安全策略和审核策略。
安装专业的防毒软件和个人防火墙进行全面监控,保证病毒库的及时更新。
定期备份重要数据和系统文件,防患于未然
校园网上网行为管理的策略设计与实施
网站访问控制策略设计与实施
网络应用管理策略设计与实施
带宽流量分配策略设计与实施
外发信息监控策略设计与实施
因特网活动审计策略设计与实施
实例:
选用聚生网管实现企业 Internet 行为管理策略
1、 设计企业的 Internet 行为管理策略(上网管理),
2、 安装聚生网管,进行配置,实现策略
3、 画网络拓扑
公司部门:销售部、财务部、技术部、市场部、人事部
员工上网要求:
1、 网站访问控制要求:
A)禁止访问含有不良信息的高风险网站(见下表)
分类 人员/部门 时间段 策略
色情、成人、赌博、暴力、
毒品、犯罪技能
全体部门 任何时间段 禁止访问
B)根据部门需要允许或禁止访问影响工作效率的网站(见下表)
分类 人员/部门 网段 时间段 策略
WEB 通信 销售部 192.168.1.0 工作时间 允许并记录
游戏 全公司 下班时间 允许
财经 财务部 192.168.2.0 午休 允许
远程代理 技术部 192.168.3.0 工作时间 禁止
文学 市场部 192.168.4.0 工作时间 允许并记录
娱乐 销售部 192.168.1.0 工作时间 允许并记录
艺术 全公司 下班时间 允许
求职招聘 人事部 192.168.5.0 全部时间 允许
房地产 全公司 工作时间 禁止并记录
机动车 全公司 午休 允许
销售部:
设置 ACL 规则来使销售部可以 web 通信
技术部:
已经禁用远程代理
人事部:
允许聊天,其他遵循一般规则.
财务部:
允许在午休时间访问财经类型,其他时间段禁止
2、 网络应用管理要求:
在所有时间内,禁止所有员工玩游戏(联众、QQ 游戏、中国游戏大厅等);
在所有时间内,禁止所有员工使用 P2P Streaming 软件(如 PP Streaming、PP live、UU see
等)。
3、 带宽流量分配要求:
为一般 P2P 软件制定专用的带宽通道,将迅雷、BIT 等软件划分到该带宽通道,并限定该通
道只能拥有上传/下载 100K 的速率,且优先级为 7。
将此实例应用在校园网络。
校园网数据备份与灾难恢复设计
对于可能发生的数据灾难性的破坏,对于一些突发事故导致数据丢失
硬件故障
病毒
误操作
自然灾害
我们采取对数据进行备份保护,备份的目的是在系统故障或误操作后,能利用备份信息还
原数据尽可能减小损失
对重要数据(例如与控制器的系统状态)进行备份和还原
背景
– 网管员备份了域控制器系统状态
– 在随后的日常操作中,网管员不小心对活动目录作了误操作(例如删除某个
用户帐户)
– 如何将活动目录恢复到备份时的状态
• 完成标准
– 备份 DC 的系统状态数据
– 还原成功 DC 的系统状态数据,能看到已被删除的用户帐户
相对于基本数据可以相应的进行常规/增量/差异备份
1)创建文件夹 doc,创建一个文本文件 file1.txt,查看其存档属性是否勾选
2)使用备份工具(ntbackup),勾选文件夹 doc,单击【开始备份】
3)备份完成后,查看 file1.txt 的存档属性是否清除
4)在文件夹 doc 下,创建 file2.txt, 查看其存档属性
5) 使用备份工具(ntbackup),备份文件夹 doc,备份类型选增量备份
6)备份完成后,查看 file2.txt 的存档属性是否清除
7)在文件夹 doc 下,创建 file3.txt, 查看其存档属性
8)使用备份工具(ntbackup),备份文件夹 doc,备份类型选差异备份
9)备份完成后,查看 file3.txt 的存档属性是否清除
设备清单
设备类型 设备名称 设备价格(¥) 备注
接入层(二层)交
换机 153 台
思 科 精 睿 SLM224G2
24 口网管交换机
1128.00 接口数目: 24 口 堆叠
功能: 不可堆叠 VLAN
功能: 支持
背板带宽:8.8Gbps 交换
机传输速率:66.55Mbps
核心层(三层)交
换机 2 台
思 科 (Cisco)
WS-C3750-48TS-S 48
14200.00 接口数目: 48 口 VLAN
功 能 : 支 持 堆 叠 功
能: 能堆叠 背板带宽
32Gbps
汇聚层(三层)交
换机 21 台
思 科 精 睿 (Cisco)
SRW2024-K9 24 口三
层千兆交换机
4500.00 传 输 速
率: 10M 100M 1000M
接口数目: 24 口 VLAN
功 能 : 支 持 堆 叠 功
能: 不可堆叠 高度安
全性
防火墙 思科
ASA5580-20-BUN-K9
230978.00 无用户数限制 1000000
并 发 连 接 数 支 持 VPN
控制端口:console,1 个
RJ-45
工作温度:10-35℃;工作
湿度:10-90%不凝结;存
储温度:-30-60℃;存储
湿度 10-95%不凝结
高性能防火墙,IPS,以及
IPSec 和 SSL VPN 和
IPSec VPN(750 个设备
对)软件,支持防垃圾邮
件,URL 阻拦和过滤,以
及防网络钓鱼
服务器 6 台 联想 服务器 万全
T100 E5800 2G 500G
正品
3150 服务器 CPU 二级缓冲容
量: 2M 服务器硬盘类
型: SATA 服务器硬盘
容量: 1000G 服务器内
存类型: DDR2 处理器
主频: 3.0GHz
无线路由器 18 台 思科 1780 无线传输速度: 108M
以上 支持 VPN: 不支
持 传 输 速 率 : 无 线
-300Mbps
ap D-Link
DWL-2000AP+A 54M 无
线接入点 D-LINK 无
线 AP
270
总计: 442460¥
查看更多
Copyright 2004-2019 ttzyw.com All Rights Reserved 闽ICP备18023965号-4
天天资源网声明:本站点发布的文章作品均来自用户投稿或网络整理,部分作品未联系到知识产权人或未发现有相关的知识产权登记