张力网络工程项目书.docx
- 文档编号:11828331
- 上传时间:2023-06-02
- 格式:DOCX
- 页数:18
- 大小:114.14KB
张力网络工程项目书.docx
《张力网络工程项目书.docx》由会员分享,可在线阅读,更多相关《张力网络工程项目书.docx(18页珍藏版)》请在冰点文库上搜索。
张力网络工程项目书
计算机网络工程项目书
——园区网独臂路由实现跨网段访问
学号:
081503028
姓名:
张力
班级:
网络工程Q0941
课程名称:
计算机网络工程
指导老师:
胡胜红
目录
一、需求分析2
二、逻辑组网方案3
三、拓扑结构图3
四、IP地址分配3
五、协议(软件)配置与验证5
五、传输介质选型,设备选型7
六、费用预算8
七、运行维护建议、预测故障或应急措施9
7.1校园网络安全9
7.2阻止来自网络第二层攻击的重要性12
7.3MAC泛滥攻击的原理和危害13
7.4MAC泛滥攻击防范方法13
7.5DHCP欺骗攻击的防范14
园区网
——独臂路由实现跨网段访问
一、需求分析
设计一个网络,首先要为用户分析目前面临的主要问题,确定用户对网络的真正需求,并在结合未来可能的发展要求的基础上选择、设计合适的网络结构和网络技术,提供用户满意的高质服务。
网络在日常教学办公环境中起着至关重要的作用,校园网的运作模式会带来大量动态的www应用数据传输,会有相当一部分应用的主服务器有高速接入网络的需求(目前为100/1000Mbps,今后可会更高)。
这就要求网络有足够的主干带宽和扩展能力。
同时,一些新的应用类型,如网络教学、视频直播/广播等,也对网络提出了支持多点广播和宽带高速接入的要求。
中心机房到汇聚层节点采用4兆光纤(多模)连接,汇聚层到接入层采用百兆的五类线(或者超五类)连接。
通常考虑,建议数据信息点的接入用交换10/100Mbps自适应以太网端口接入,以便能较经济的提供较高的带宽。
整个方案设计的目的是建设一个集数据传输和备份、多媒体应用、语音传输、OA应用和Internet访问等于一体的高可靠、高性能的宽带多媒体校园网。
2、逻辑组网方案
除上述需求分析外,还要注意到由于逻辑上业务网和管理网必须分开,所以建成后校园网应能提供多个网段的划分和隔离,并能做到灵活改变配置,以适应教学办公环境的调整和变化。
以独立的行政教学部门建立一个网段,在校区内各网段,利用独臂路由实现跨网段访问。
逻辑图如下图所示:
Vlan4
Vlan3
Vlan2
Vlan1
3、拓扑结构图
为了简单起见,本拓扑图只涉及到两个网段vlan1,vlan2,分别为教务处和财务处所有(其它部门可类似得到),具体如下图所示:
4、IP地址分配
在设计IP地址方案之前,应考虑以下几个问题:
1).是否将网络用真实地址连入Internet。
2).是否将网络划分为若干子网以方便网络管理。
3).是采用静态IP地址分配还是动态IP地址分配。
4).每个子网现在规划多少个信息点。
5).每个子网将来会增加多少个信息点。
通过Proxy或NAT方式使私有地址能够访问公网资源
在申请的公网IP地址不能完全满足每个信息点一个的情况下,可以采用
公网地址与私网地址结合的方式。
但是有时分配了私网地址的客户端也要访问Internet。
针对这种情况,可以采用不同的技术使私有地址能够访问公网资源。
通常可以利用代理服务(Proxy)和网络地址转换(NAT)这两项技术。
园区网分配IP地址方案,一个有效的IP地址规划或IP地址方案就是在地址资源的效率性和管理的方便性之间找到最佳的平衡点。
按行政隶属划分是指按信息节点的行政隶属关系将用户按校园各部门进行IP地址分配规划。
由于各部门之间在地域位置上并不一定集中,但需要统一管理,因此我们建议采用行政隶属的方式划分IP地址段。
按楼宇规划在传统的网络平台上很难实现。
主要是因为传统的网络平台局限于设备的地理位置,无法跨地域进行灵活规划。
但现今的网络平台都支持虚拟网络—VLAN技术。
该技术避开了物理位置的缺陷,可以在逻辑上灵活组网。
因此,IP网段规划可以与VLAN的划分相一致。
规划每个网段中的信息点数时,既要考虑到当前IP地址资源的充分利用性,又要预留出适当的扩展余地,因此如果采用私网地址分配IP,建议我们都采用192.168.1.0255.255.0.0的网络,根据具体的部门情况再分为具体的子网。
从经验角度,通常一个IP网段也是一个独立的VLAN,也就是一个独立的广播域。
一个网段内的信息节点数在40-200个时,性能和地址资源的最佳利用性较理想,并且将来可扩充到254个。
宽带接入用户接入宽带IP网的方式可以有多种形式:
首先,用户利用固定IP地址接入,则无需其它的认证过程,只需将用户所连的交换机端口划入某一特点VLAN即可;其次用户通过PPP方式接入,即虚拟拨号方式,则需要一个专用的PPP终结设备终结PPP进程,通过对PPP进程的认证,可以确认用户身份;用户还可以利用DHCP获得IP地址。
另外交换机可以实现专用VLAN技术,可以通过配置选择实现在同一VLAN内用户是否可以互通,进行数据交换。
根据湖北经济学院的教务处和财务处的情况,划分以下两个子网即可。
5、协议(软件)配置与验证
4.1拓扑图的设备配置
4.1.1交换机的配置
Switch>
Switch>en
Switch>enable
Switch#configt
Enterconfigurationcommands,oneperline.EndwithCNTL/Z.
Switch(config)#vlan2
Switch(config-vlan)#exit
Switch(config)#vlan3
Switch(config-vlan)#exit
Switch(config)#intfa0/2
Switch(config-if)#switchportaccessvlan2
Switch(config-if)#exit
Switch(config)#intfa0/3
Switch(config-if)#switchportaccessvlan3
Switch(config-if)#exit
Switch(config)#int0/1
^
%Invalidinputdetectedat'^'marker.
Switch(config)#intfa0/1
Switch(config-if)#switchportmodetrunk
4.1.2路由器的配置
Router>enable
Router#configt
Enterconfigurationcommands,oneperline.EndwithCNTL/Z.
Router(config)#intfa0/0
Router(config-if)#noshutdown
%LINK-5-CHANGED:
InterfaceFastEthernet0/0,changedstatetoup
%LINEPROTO-5-UPDOWN:
LineprotocolonInterfaceFastEthernet0/0,changedstatetoup
Router(config-if)#exit
Router(config)#intfa0/0.1
%LINK-5-CHANGED:
InterfaceFastEthernet0/0.1,changedstatetoup
%LINEPROTO-5-UPDOWN:
LineprotocolonInterfaceFastEthernet0/0.1,changedstatetoupRouter(config-subif)#encapsulationdut1q2
^
%Invalidinputdetectedat'^'marker.
Router(config-subif)#encapsula?
encapsulation
Router(config-subif)#encapsulation?
dot1QIEEE802.1QVirtualLAN
Router(config-subif)#encapsulationdot1q2
Router(config-subif)#ipaddress192.168.1.1
%Incompletecommand.
Router(config-subif)#ipaddress192.168.1.1255.255.255.0
Router(config-subif)#exit
Router(config)#intfa0/0.2
%LINK-5-CHANGED:
InterfaceFastEthernet0/0.2,changedstatetoup
%LINEPROTO-5-UPDOWN:
LineprotocolonInterfaceFastEthernet0/0.2,changedstatetoupRouter(config-subif)#encapsulationdot1q3
Router(config-subif)#ipaddress192.168.2.1255.255.255.0
Router(config-subif)#end
Router#
%SYS-5-CONFIG_I:
Configuredfromconsolebyconsole
Router#showiproute
Codes:
C-connected,S-static,I-IGRP,R-RIP,M-mobile,B-BGP
D-EIGRP,EX-EIGRPexternal,O-OSPF,IA-OSPFinterarea
N1-OSPFNSSAexternaltype1,N2-OSPFNSSAexternaltype2
E1-OSPFexternaltype1,E2-OSPFexternaltype2,E-EGP
i-IS-IS,L1-IS-ISlevel-1,L2-IS-ISlevel-2,ia-IS-ISinterarea
*-candidatedefault,U-per-userstaticroute,o-ODR
P-periodicdownloadedstaticroute
Gatewayoflastresortisnotset
C192.168.1.0/24isdirectlyconnected,FastEthernet0/0.1
C192.168.2.0/24isdirectlyconnected,FastEthernet0/0.2
4.2验证
Pc1与pc2可以ping通,表明教务处和财务处处于两个不同的网段之间可以相互通信。
5、传输介质选型,设备选型
1.网络布线
网络设计基本要求:
建成的网络架构符合该企业的地理环境,满足企业各部门接入需求,满足各个部门网络互联的需要。
同时,建成的网络咬留有冗余,满足企业今后对网络发展的需求。
在考虑企业网络需要和布线系统的同时,要考虑数据和监督系统两部分。
主干部分情况如下.
(1)数据主干
现有办公楼2层,分别位于办公大楼的二、三层。
建立中小型局域网,局域网采用三层交换方式,楼层之间由多膜光纤连接。
(2)水平电缆
水平电缆全部采用超五类线
(3)信息点
本次布线共设置信息点90个,其中计算机50个,电话40个,分布在各楼层、部门。
二层办公室综合布线(64个)
(1)1号办公室设计部(40点)
每个办公桌2个信息点。
(2)2号办公室业务部(24点)
每个办公桌2个信息点。
三层办公室综合布线(26个)
(1)3号办公室财务部(16点)
前6桌,每桌2点,其余每桌1点
(2)大、小会议室(4个)
大会议室3点。
小会议室1点
(3)4号办公室(2个)
(4)5号办公室(4个)
2.网络系统设备
(1)计算机网络系统建成后,不仅为企业提供高效率的办公环境,同时将用于企业内各个子系统及各类计算机软硬件资源的连接,以及与生产总部网络系统及Internet的安全高校互联.成为整个企业的中枢神经系统.考虑到企业的实际情况,计算机网络系统的设计必须兼顾先进性与成熟性,高性能与高可靠性各容错性以及灵活性与安全性,提供一套可监控,易管理,可扩展,易升级的高效网络系统.
(2)网络结构
企业网要求采用千兆以太主干交换机,10M/100M交换到桌面.设备间需要工作组级的服务器、防火墙、路由器各1台,具有第三层交换功能的高性能主干交换机1台,普通交换机2台。
为了满足各个部门需要,还要建立若干虚拟局域网。
各终端可根据不同需求选择不同虚拟网络。
交换机选择知名品牌。
3.计算机配置
配置计算机5台用于主要网管及主要办公室。
4.Internet通道建设
为适应现代化的需要,提高工作效率,需要经常了解和学习国内外的有关信息,掌握国内外同一行业发展的动态.目前企业所拥有的信息网远远不能满足要求,急需建立与国内和国外互连网连接的网络.拟采用一下措施:
在目前企业网的基础上,申请Internet出口
采用ADSL包月制
建设一条Internet光纤通道
安装管理系统,对某些站点进行访问控制.
5.系统软件平台
服务器:
SQLServer2008
VisualStudio2008
WindowsServer2008
终端:
Windowsxp
Windows7
六、费用预算
序号
说明
数量
费用(万元)
1
综合布线系统,90个信息点,光纤主干
1
11
2
3层会议室(大投影机一台,音箱1对等)
1
9
3
高性能主干交换机
1
20
4
普通交换机
2
7
5
路由器、网管
1
5.5
6
服务器
1
4.7
7
系统软件平台
一批
8
公司管理系统
1
6
9
E-mail/DNS/Web服务器(PIII1G/128M/60G/Raid/15’’1000M网卡)
1
4.7
共计
67.9
7、运行维护建议、预测故障或应急措施
7.1校园网络安全
校园网络承担着整个校园的通讯枢纽功能,连接着所有的应用服务器和数据系统,任何网络安全问题都会扰乱学校办公、教务的正常运转,给学校带来不可弥补的损失。
目前在局域网中遇到的问题主要有以下几种:
●IP地址的管理问题,包括IP地址非法使用、IP地址冲突和IP地址欺骗
●利用ARP欺骗获取账号、密码、信息,甚至恶意篡改信息内容、嫁祸他人问题
●木马、蠕虫病毒攻击导致的信息失窃、网络瘫痪问题
●攻击或病毒源机器的快速定位、隔离问题
IP的地址管理一直是长期困扰局域网安全稳定运行的首要问题。
在局域网上任何用户使用XX的IP地址都应视为IP非法使用。
由于终端用户可以自由修改IP地址,从而产生了IP地址非法使用问题。
改动后的IP地址在局域网中运行时可能出现以下情况。
✓非法的IP地址即IP地址不在规划的局域网范围内
✓重复的IP地址与已经分配且正在局域网运行的合法的IP地址发生资源冲突,使合法用户无法上网
✓冒用合法用户的IP地址当合法用户不在线时,冒用其IP地址联网,使合法用户的权益受到侵害
无论是有意或无意地使用非法IP地址都可能会给企业带来严重的后果,如重复的IP地址会干扰、破坏网络服务器和网络设备的正常运行,甚至导致网络的不稳定,从而影响业务;拥有被非法使用的IP地址所拥有的特权,威胁网络安全;利用欺骗性的IP地址进行网络攻击,如富有侵略性的TCPSYN洪泛攻击来源于一个欺骗性的IP地址,它是利用TCP三次握手会话对服务器进行颠覆的一种攻击方式,一个IP地址欺骗攻击者可以通过手动修改地址或者运行一个实施地址欺骗的程序来假冒一个合法地址。
为了防止非法使用IP地址,增强网络安全,最常见的方法是采用静态的ARP命令捆绑IP地址和MAC地址,从而阻止非法用户在不修改MAC地址的情况下冒用IP地址进行的访问,同时借助交换机的端口安全即MAC地址绑定功能可以解决非法用户修改MAC地址以适应静态ARP表的问题。
但这种方法由于要事先收集所有机器的MAC地址及相应的IP地址,然后还要通过人工输入方法来建立IP地址和MAC地址的捆绑表,不仅工作量繁重,而且也难以维护和管理。
另一个显著的问题就是带有攻击特性的ARP欺骗。
地址解析协议(ARP,AddressResolutionProtocol)最基本的功能是用来实现MAC地址和IP地址的绑定,这样两个工作站才可以通讯,通讯发起方的工作站以MAC广播方式发送ARP请求,拥有此IP地址的工作站给予ARP应答,并附上自己的IP和MAC地址。
ARP协议同时支持一种无请求ARP功能,局域网段上的所有工作站收到主动ARP,会将发送者的MAC地址和其宣布的IP地址保存,覆盖以前的同一IP地址和对应的MAC地址。
术语“ARP欺骗”或者说“ARP中毒”就是指利用主动ARP来误导通信数据传往一个恶意计算机的黑客技术,该计算机就能成为某个特定局域网网段上的两台终端工作站之间IP会话的“中间人”了。
如果黑客想探听同一网络中两台主机之间的通信(即使是通过交换机相连),他会分别给这两台主机发送一个ARP应答包,让两台主机都“误”认为对方的MAC地址是第三方黑客所在的主机,这样,双方看似“直接”的通信连接,实际上都是通过黑客所在的主机间接进行的。
黑客一方面得到了想要的通信内容,并可以通过工具破译账号、密码、信息,另一方面,还可以恶意更改数据包中的一些信息。
同时,这种ARP欺骗又极具隐蔽性,攻击完成后再恢复现场,所以不易发觉、事后也难以追查,被攻击者往往对此一无所知。
病毒入侵问题也是所有客户普遍关心的问题。
这些病毒,可以在极短的时间内迅速感染大量系统,甚至造成网络瘫痪和信息失窃,给客户造成严重损失。
木马病毒往往会利用ARP的欺骗获取账号和密码,而蠕虫病毒也往往利用IP地址欺骗技术来掩盖它们真实的源头主机。
例如“局域网终结者”(Win32.Hack.Arpkill)病毒,通过伪造ARP包来欺骗网络主机,使指定的主机网络中断,严重影响到网络的运行。
最后,令网络管理员头痛的问题是如何准确定位。
当出现IP地址被非法使用、IP地址冲突,或网络出现异常流量包括由于网络扫描、病毒感染和网络攻击产生的流量,为了查找这些IP地址的机器,一般采用如下步骤:
1.确定出现问题的IP地址。
2.查看当前网络设备的ARP表,从中获得网卡的MAC地址。
3.检查交换机的MAC地址列表,确定机器位置。
这个过程往往要花费大量的时间才能够定位机器具体连接的物理端口,而对于伪造的源IP地址要查出是从哪台机器产生的就更加困难了。
如果不能及时对故障源准确地定位、迅速地隔离,将会导致严重的后果,即使在网络恢复正常后隐患依然存在。
7.2阻止来自网络第二层攻击的重要性
以上所提到的攻击和欺骗行为主要来自网络的第二层。
在网络实际环境中,其来源可概括为两个途径:
人为实施,病毒或蠕虫。
人为实施通常是指使用一些黑客的工具对网络进行扫描和嗅探,获取管理帐户和相关密码,在网络上中安插木马,从而进行进一步窃取机密文件。
木马、蠕虫病毒的攻击不仅仅是攻击和欺骗,同时还会带来网络流量加大、设备CPU利用率过高、二层生成树环路、网络瘫痪等现象。
网络第二层的攻击是网络安全攻击者最容易实施,也是最不容易被发现的安全威胁,它的目标是让网络失效或者通过获取诸如密码这样的敏感信息而危及网络用户的安全。
因为任何一个合法用户都能获取一个以太网端口的访问权限,这些用户都有可能成为黑客,同时由于设计OSI模型的时候,允许不同通信层在相互不了解情况下也能进行工作,所以第二层的安全就变得至关重要。
如果这一层受到黑客的攻击,网络安全将受到严重威胁,而且其他层之间的通信还会继续进行,同时任何用户都不会感觉到攻击已经危及应用层的信息安全。
所以,仅仅基于认证(如IEEE802.1x)和访问控制列表(ACL,AccessControlLists)的安全措施是无法防止本文中提到的来自网络第二层的安全攻击。
一个经过认证的用户仍然可以有恶意,并可以很容易地执行本文提到的所有攻击。
目前这类攻击和欺骗工具已经非常成熟和易用。
归纳前面提到的局域网目前普遍存在的安全问题,根据这些安全威胁的特征分析,这些攻击都来自于网络的第二层,主要包括以下几种:
ØMAC地址泛滥攻击
ØDHCP服务器欺骗攻击
ØARP欺骗
CiscoCatalyst交换系列的创新特性针对这类攻击提供了全面的解决方案,将发生在网络第二层的攻击阻止在通往内部网的第一入口处,主要基于下面的几个关键的技术。
ØPortSecurity
ØDHCPSnooping
ØDynamicARPInspection(DAI)
下面主要针对目前这些非常典型的二层攻击和欺骗说明如何在思科交换机上组合运用和部署上述技术,从而防止在交换环境中的“中间人”攻击、MAC/CAM攻击、DHCP攻击、地址欺骗等,更具意义的是通过上面技术的部署可以简化地址管理,直接跟踪用户IP和对应的交换机端口,防止IP地址冲突。
同时对于大多数具有地址扫描、欺骗等特征的病毒可以有效的报警和隔离。
7.3MAC泛滥攻击的原理和危害
交换机主动学习客户端的MAC地址,并建立和维护端口和MAC地址的对应表以此建立交换路径,这个表就是通常我们所说的CAM表。
CAM表的大小是固定的,不同的交换机的CAM表大小不同。
MAC/CAM攻击是指利用工具产生欺骗MAC,快速填满CAM表,交换机CAM表被填满。
黑客发送大量带有随机源MAC地址的数据包,这些新MAC地址被交换机CAM学习,很快塞满MAC地址表,这时新目的MAC地址的数据包就会广播到交换机所有端口,交换机就像共享HUB一样工作,黑客可以用sniffer工具监听所有端口的流量。
此类攻击不仅造成安全性的破坏,同时大量的广播包降低了交换机的性能。
当交换机的CAM表被填满后,交换机以广播方式处理通过交换机的报文,这时攻击者可以利用各种嗅探攻击获取网络信息。
更为严重的是,这种攻击也会导致所有邻接的交换机CAM表被填满,流量以洪泛方式发送到所有交换机的所有含有此VLAN的接口,从而造成交换机负载过大、网络缓慢和丢包甚至瘫痪。
7.4MAC泛滥攻击防范方法
限制单个端口所连接MAC地址的数目可以有效防止类似macof工具和SQL蠕虫病毒发起的攻击,macof可被网络用户用来产生随机源MAC地址和随机目的MAC地址的数据包,可以在不到10秒的时间内填满交换机的CAM表。
CiscoCatalyst交换机的端口安全(PortSecurity)和动态端口安全功能可被用来阻止MAC泛滥攻击。
例如交换机连接单台工作站的端口,可以限制所学MAC地址数为1;连接IP电话和工作站的端口可限制所学MAC地址数为3:
IP电话、工作站和IP电话内的交换机。
通过端口安全功能,网络管理员也可以静态设置每个端口所允许连接的合法MAC地址,实现设备级的安全授权。
动态端口安全则设置端口允许合法MAC地址的数目,并以一定时间内所学习到的地址作为合法MAC地址。
通过配置Po
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 张力 网络工程 项目