实验一需求分析.docx
- 文档编号:18272043
- 上传时间:2023-08-14
- 格式:DOCX
- 页数:19
- 大小:407.02KB
实验一需求分析.docx
《实验一需求分析.docx》由会员分享,可在线阅读,更多相关《实验一需求分析.docx(19页珍藏版)》请在冰点文库上搜索。
实验一需求分析
实验一需求分析
1.1实施背景
某大学为了加快校园信息化建设,需要建设一个高性能的、安全可靠的校园网络,校园网建成后,要求能够实现校园内部各种信息服务功能,实现与教育网的无阻碍连通,同时提供宽带接入功能,以备主连接失效情况下的被用连接要求,能够实现校园办公自动化需求。
1。
2网络应用需求
这方面的需求不同学校有着明显不同,大体都可以分为,教学、办公、服务这四方面应用。
如对教学、科研方面的网络设计应考虑稳定、扩展、安全等问题;办公、服务等带宽是要着重考虑的方面,所以学校应该根据自己的实际情况来考虑网络的结构,及安全问题。
校园网在信息服务与应用方面应满足以下几个方面的需求:
1。
学校主页.学校应建立独立的WWW服务器,在网上提高学校主页等服务,包括校情简介、学校新闻、校报(电子报)、招生信息以及校内电话号码和电子邮件地址查询等。
2。
文件传输服务。
考虑到师生之间共享软件,校园网应提供文件传输服务(ftp)。
文件传输服务器上存放各种各样自由软件和驱动程序,师生可以根据自己需要随时下载并把它们安装在本机上。
3。
校园网站建设(WWW、FTP、E-mail、DNS、PROXY代理、拨入访问、流量计费等);
4.多媒体辅助点播教学兼远程教学:
校园网要求具有数据、图像、语音等多媒体实时通讯能力;并在主干网上提供足够的带宽和可保证的服务质量,满足大量用户对带宽的基本需要,并保留一定的余量供突发的数据传输使用,最大可能地降低网络传输的延迟。
5.校园办公管理;
6.学校教务管理;
7。
校园通卡应用;
8。
网络安全FIREWALL;
9。
图书管理、电子阅览室;
10.系统应提供基本的Web开发和信息制作的平台。
1。
3网络性能需求
性能需求:
有服务效率、服务质量、网络吞吐率、网络响应时间、数据传输速度、资源利用率、可靠性、性能/价格比等;
根据本工程的特殊性,语音点和数据点使用相同的传输介质,即统一使用超5类4对双绞电缆,以实现语音、数据相互备份的需要;
对于网络主干,数据通信介质全部使用光纤,语音通信主干使用大对数电缆;光缆和大对数电缆均留有余量;对于其他系统数据传输,可采用超5类双绞线或专用线缆。
1。
4信息点统计
XX大学联网各楼所在位置及信息点分布情况如下。
1层
2层
3层
4层
5层
6层
7层
8层
1号楼
2
4
12
10
2号楼
10
3号楼
18
29
42
5
办公楼
17
13
12
18
图书馆
2
10
13
5号楼
2
18
10
1
6号楼
8
8
9
23
7号楼
4
19
7
4
研究生楼
6
21
21
21
21
电镜楼
4
8
4
公卫楼
9
6
8
8
9
13
8
合计
501
实验二网络总体设计
2。
1网络架构分析
现代网络结构化布线工程中多采用星型结构,主要用于同一楼层,由各个房间的计算机间用集线器或者交换机连接产生的,它具有施工简单,扩展性高,成本低和可管理性好等优点;而校园网在分层布线主要采用树型结构;每个房间的计算机连接到本层的集线器或交换机,然后每层的集线器或交换机在连接到本楼出口的交换机或路由器,各个楼的交换机或路由器再连接到校园网的通信网中,由此构成了校园网的拓补结构
校园网采用星形的网络拓扑结构,骨干网为1000M速率具有良好的可运行性、可管理性,能够满足未来发展和新技术的应用,另外作为整个网络的交换中心,在保证高性能、无阻塞交换的同时,还必须保证稳定可靠的运行.
因此在网络中心的设备选型和结构设计上必须考虑整体网络的高性能和高可靠性,我们选择热路由备份可以有效地提高核心交换的可靠性。
传输介质也要适合建网需要.在楼宇之间采用1000M光纤,保证了骨干网络的稳定可靠,不受外界电磁环境的干扰,覆盖距离大,能够覆盖全部校园。
在楼宇内部采用超5类双绞线,其连接状态100m的传递距离能够满足室内布线的长度要求。
2.2设计思路
进行校园网总体设计,首先要进行对象研究和需求调查,明确学校的性质、任务和改革发展的特点及系统建设的需求和条件,对学校的信息化环境进行准确的描述;其次,在应用需求分析的基础上,确定学校Intranet服务类型,进而确定系统建设的具体目标,包括网络设施、站点设置、开发应用和管理等方面的目标;第三是确定网络拓扑结构和功能,根据应用需求建设目标和学校主要建筑分布特点,进行系统分析和设计;第四,确定技术设计的原则要求,如在技术选型、布线设计、设备选择、软件配置等方面的标准和要求;第五,规划校园网建设的实施步骤。
校园网总体设计方案的科学性,应该体现在能否满足以下基本要求方面:
(1)整体规划安排;
(2)先进性、开放性和标准化相结合;
(3)结构合理,便于维护;
(4)高效实用;
(5)支持宽带多媒体业务;
(6)能够实现快速信息交流、协同工作和形象展示。
2.3校园网的设计原则
(1)先进性原则
以先进、成熟的网络通信技术进行组网,支持数据、语音和视频图像等多媒体应用,采用基于交换的技术代替传统的基于路由的技术,并且能确保网络技术和网络产品在几年内基本满足需求。
(2)开放性原则
校园网的建设应遵循国际标准,采用大多数厂家支持的标准协议及标准接口,从而为异种机、异种操作系统的互连提供便利和可能。
(3)可管理性原则
网络建设的一项重要内容是网络管理,网络的建设必须保证网络运行的可管理性。
在优秀的网络管理之下,将大大提高网络的运行速率,并可迅速简便地进行网络故障的诊断。
(4)安全性原则
信息系统安全问题的中心任务是保证信息网络的畅通,确保授权实体经过该网络安全地获取信息,并保证该信息的完整和可靠。
网络系统的每一个环节都可能造成安全与可靠性问题.
(5)灵活性和可扩充性
选择网络拓扑结构的同时还需要考虑将来的发展,由于网络中的设备不是一成不变的,如需要添加或删除一个工作站,对一些设备进行更新换代,或变动设备的位置,因此所选取的网络拓扑结构应该能够容易的进行配置以满足新的需要。
(6)稳定性和可靠性
可靠性对于一个网络拓扑结构是至关重要的,在局域网中经常发生节点故障或传输介质故障,一个可靠性高的网络拓扑结构除了可以使这些故障对整个网络的影响尽可能小以外,同时还应具有良好的故障诊断和故障隔离功能。
2。
4网络三层结构设计
校园网网络整体分为三个层次:
核心层、汇聚层、接入层.为实现校区内的高速互联,核心层由1个核心节点组成,包括教学区区域、服务器群;汇聚层设在每栋楼上,每栋楼设置一个汇聚节点,汇聚层为高性能“小核心"型交换机,根据各个楼的配线间的数量不同,可以分别采用1台或是2台汇聚层交换机进行汇聚,为了保证数据传输和交换的效率,现在各个楼内设置三层楼内汇聚层,楼内汇聚层设备不但分担了核心设备的部分压力,同时提高了网络的安全性;接入层为每个楼的接入交换机,是直接与用户相连的设备.本实施方案从网络运行的稳定性、安全性及易于维护性出发进行设计,以满足客户需求。
实验三网络安全与管理
3.1网络安全
校园网的安全威胁主要来源于两大块,一块是来自于网内,一块来自于网外。
来源于网内的威胁主要是病毒攻击和黑客行为攻击.根据统计,威胁校园网安全的攻击行为大概有40%左右是来自于网络内部,如何防范来自于内部的攻击是校园网网络安全防护体系需要重点关注的地方.
3。
1.1威胁网络安全因素分析
计算机网络安全受到的威胁包括:
1。
“黑客”的攻击;
2.计算机病毒;
3.拒绝服务攻击(DenialofServiceAttack).
安全威胁的类型:
1、非授权访问.指对网络设备及信息资源进行非正常使用或越权使用等.如操作员安全配置不当造成的安全漏洞,用户安全意识不强,用户口令选择不慎,用户将自己的账号随意转借他人或与别人共享。
2、冒充合法用户。
主要指利用各种假冒或欺骗的手段非法获得合法用户的使用权限,以达到占用合法用户资源的目的。
3、破坏数据的完整性。
指使用非法手段,删除、修改、重发某些重要信息,以干扰用户的正常使用。
4、干扰系统正常运行,破坏网络系统的可用性.指改变系统的正常运行方法,减慢系统的响应时间等手段.这会使合法用户不能正常访问网络资源,使有严格响应时间要求的服务不能及时得到响应.
5、病毒与恶意攻击。
指通过网络传播病毒或恶意Java、activeX等,其破坏性非常高,而且用户很难防范。
6、软件的漏洞和“后门”。
软件不可能没有安全漏洞和设计缺陷,这些漏洞和缺陷最易受到黑客的利用。
另外,软件的“后门”都是软件编程人员为了方便而设置的,一般不为外人所知,可是一旦“后门"被发现,网络信息将没有什么安全可言。
如Windows的安全漏洞便有很多。
7、电磁辐射。
电磁辐射对网络信息安全有两方面影响。
一方面,电磁辐射能够破坏网络中的数据和软件,这种辐射的来源主要是网络周围电子电气设备产生的电磁辐射和试图破坏数据传输而预谋的干扰辐射源.另一方面,电磁泄漏可以导致信息泄露。
3。
1。
2网络安全防范措施
在不改变原有网络结构的基础上实现多种信息安全,保障校园内部网络安全,我们选购了一套网络安全防范设备.
1瑞星杀毒软件网络版
1。
超强病毒查杀
2。
智能主动防御
3.增强型全网漏洞管理
4。
强大的网络管理能力是网络安全的基础部署、控制、执行、升级、报告和日志、二次开发。
5.兼容多种平台
6.一体化智能服务体系
2瑞星企业级防火墙
瑞星全功能NP防火墙是一款整合多种安全防护功能的智能网络安全防火墙,它是瑞星公司针对中小企业级用户定制的一款高端防火墙,型号为:
RFW—SME.
瑞星全功能NP防火墙整合了多种安全防护功能,是建构中小型企业网络的最佳选择。
RFW-SME拥有通用防火墙功能、网络地址转换(NAT)、主动式入侵检测(IDS)、虚拟专网(VPN)、带宽管理、内容过滤、以及策略管理等功能。
通过架设瑞星全功能NP防火墙,可以保护用户的网络免于黑客的攻击,同时也帮助用户利用因特网的资源建构网络安全机制及虚拟专网服务,还提供了不同等级的网络带宽管理,让一些特殊的应用服务可以确保使用带宽.
3瑞星入侵检测系统
作为一种防火墙的合理补充,入侵检测技术能够帮助系统对付网络攻击,扩展了系统管理员的安全管理能力(包括安全审计、监视、攻击识别和响应),提高了信息安全基础结构的完整性。
瑞星RIDS—100入侵检测系统能实时捕获内外网之间传输的所有数据,利用内置的攻击特征库,使用模式匹配和智能分析的方法,检测网络上发生的入侵行为和异常现象,并在数据库中记录有关事件,另外RIDS-100入侵检测系统可以与防火墙联动,自动配置防火墙策略,配合防火墙系统使用,可以全面保障网络的安全,组成完整的网络安全解决方案。
为了加强对引擎进行访问的用户的管理,RIDS—100系统设计了一套完善的用户管理机制,每个管理用户配有一把电子钥匙(串口或USB接口),内装有该用户的密钥和加密算法。
用户在对系统进行管理时必须插入自己的钥匙并输入正确的口令。
检测引擎的接入对被保护网络是透明的,它对被保护网络的任何流量和请求均不做反应,不影响被保护网络的性能。
3。
2网络管理
网络管理就是指监督、组织和控制网络通信服务以及信息处理所必需的各种活动的总称。
3.2。
1网络管理的内容
(1)网络故障管理;
(2)网络配置管理;(3)网络性能管理;
(4)网络计费管理;(5)网络安全管理.
3.2。
2网络管理的手段
在校园网络管理方面,为了便于校园网络管理人员的管理及维护,我们选购Quidview网络管理软件。
Quidview网络管理软件基于灵活的组件化结构,用户可以根据自己的管理需要和网络情况灵活选择自己需要的组件,真正实现“按需建构”。
Quidview网络管理软件采用组件化结构设计,通过安装不同的业务组件实现了设备管理、VPN监视与部署、软件升级管理、配置文件管理、告警和性能管理等功能。
支持多种操作系统平台,并能够与多种通用网管平台集成,实现从设备级到网络级全方位的网络管理。
1.网络集中监视
Quidview网络管理软件提供统一拓扑发现功能,实现全网监控,可以实时监控所有设备的运行状况,并根据网络运行环境变化提供合适的方式对网络参数进行配置修改,保证网络以最优性能正常运行。
2.故障管理
故障管理主要功能是对全网设备的告警信息和运行信息进行实时监控,查询和统计设备的告警信息.
3。
性能监控
Quidview网管系统提供丰富的性能管理功能,同时以直观的方式显示给用户.通过性能任务的配置,可自动获得网络的各种当前性能数据,并支持设置性能的门限,当性能超过门限时,可以以告警的方式通知网管系统.通过统计不同线路、不同资源的利用情况,为优化或扩充网络提供依据.
3.服务器监视管理
服务器是企业IP架构中的重要组成部分,通过Quidview,可实现服务器与设备的统一管理.
4.设备配置文件管理
当网络规模较大时,网络管理员的配置文件管理工作将十分繁重,如果没有好的配置文件维护工具,网络管理员就只能手动备份配置文件。
这样就给网络管理员管理、维护网络带来一定的困难。
Quidview网络配置中心支持对设备配置文件的集中管理,包括配置文件的备份、恢复以及批量更新等操作,同时还实现了配置文件的基线化管理,可以对配置文件的变化进行比较跟踪。
6。
设备软件升级管理
Quidview提供完善的设备软件备份升级控制机制。
使用Quidview,管理员可以方便地查询设备上运行的软件版本,并利用升级分析功能来确定设备运行软件是否需要升级。
当升级软件版本时,可以利用Quidview集中备份设备运行软件,然后进行批量升级.升级之后,可以使用Quidview进行升级结果验证,确保升级操作万无一失。
7。
集群管理
针对大量二层交换机设备的应用环境,Quidview网络管理软件提供集群管理功能,通过一个指定公网IP的设备(称作命令交换机)对网络进行管理。
8。
堆叠管理
Quidview网络管理软件通过堆叠管理,可以集中管理较大量的低端设备,并且为用户提供统一的网管界面,方便用户对大量设备的统一管理维护。
9。
故障定位与地址反查
针对最为常见的端口故障,Quidview网络管理软件提供了便捷的定位检测工具——路径跟踪和端口环回测试;当用户报告网络端口使用异常时,网络管理员可以通过网管对指定用户端口做环回测试,直接定位端口故障。
10。
RMON管理
RMON管理根据RFC1757定义的标准RMON-MIB及华为3Com自定义告警扩展MIB对主机设备进行远程监视管理。
3.3网络安全策略配置
3.3。
1安全接入和配置
安全接入和配置是指在物理(控制台)或逻辑(telnet)端口接入网络基础设施设备前必须通过认证和授权限制,从而为网络基础设施提供安全性.限制远程访问的安全设置方法如下表19
安全接入和配置方法
访问方式
保证网络设备安全的方法
备注
Console控制接口的访问
设置密码和超时限制
建议超时限制设成5分钟
进入特权exec和设备配置级别的命令行
配置Radius来记录logon/logout时间和操作活动;配置至少一个本地账户作应急之用
telnet访问
采用ACL限制,指定从特定的IP地址来进行telnet访问;配置Radius安全纪录方案;设置超时限制
SSH访问
激活SSH访问,从而允许操作员从网络的外部环境进行设备安全登陆
WEB管理访问
取消Web管理功能
SNMP访问
常规的SNMP访问是用ACL限制从特定IP地址来进行SNMP访问;记录非授权的SNMP访问并禁止非授权的SNMP企图和攻击
为增加安全,建议更改缺省的SNMPCommutiy子串
设置不同账号
通过设置不同的账号的访问权限,提高安全性
3。
3.2拒绝服务的防止
网络设备拒绝服务攻击的防止主要是防止出现TCPSYN泛滥攻击、Smurf攻击等;网络设备的防TCPSYN的方法主要是配置网络设备TCPSYN临界值,若多于这个临界值,则丢弃多余的TCPSYN数据包;防Smurf攻击主要是配置网络设备不转发ICMPecho请求(directedbroadcast)和设置ICMP包临界值,避免成为一个Smurf攻击的转发者、受害者。
3.3。
3访问控制
1允许从内网访问internet,端口全开放。
2允许从公网到DMZ(非军事)区的访问请求:
WEB服务器只开放80端口,mail服务器只开放25和110端口。
3禁止从公网到内部区的访问请求,端口全关闭。
4允许从内网访问DMZ(非军事)区,端口全开放
5允许从DMZ(非军事)区访问internet,端口全开放
6禁止从DMZ(非军事)区访问内网,端口全关闭。
3.4电源系统
为保证网络系统的安全运转及电源发生故障时重要数据的储存,须配置具有高可靠性的UPS电源.为此,在网络中心配置了一套山特C3KVA/2100W的UPS电源.
实验四综合布线设计
4。
1综合布线的设计原则
综合布线同传统的布线相比较,有着许多优越性,是传统布线所无法比及的.其特点主要表现为它的实用性、功能性、先进性、灵活性、方便性、可靠性、扩展性、开放性、标准化、经济性和生命周期。
而且在设计、施工和维护方面也给人们带来了许多方便。
(1)实用性
实施后的校园网控制系统,其所有的子系统,诸如综合布线系统,数据通讯,都满足国际标准,具有良好的用户使用界面。
并且,网络管理功能完善且方便使用.
(2)功能性
为用户提供快捷、开放、易于管理的语音与数据信息基础传输平台。
布线系统应能适应各种计算机网络体系结构的需要,并能支持语音或楼宇自控和保安监控等系统的应用。
可为用户提供可视图文、电子信箱、中国公用分组交换数据网(CHINAPAC)接口,为用户提供电子数据交换(EDI)等各种服务的传输平台,为实现无纸办公创造条件。
为用户及时传递可靠、准确的各类重要信息,最终实现办公自动化系统(OA)。
(3)先进性
布线系统应适应综合布线技术发展的潮流,能为数据及高清晰图像信息提供高速及宽带的传输能力,适应异步传输模式(ATM)。
各性能指标满足支持高带宽的100M、1000M以太网和异步传输(ATM)应用,满足宽带综合业务数字网(B-ISDN)的要求,支持复杂的多任务的ISDN、DDN、xDSL、X.25等分组交换接入应用,能实现大厦与Internet等全球信息高速公路接轨的需求.布线系统要既能满足现阶段技术水平应用的需要,也能满足未来多媒体大量的声音、图像、数据传输的需要。
(4)灵活性
系统中的任一部分的联接都应是灵活的,即从物理接线到数据通讯,自动控制设备的联接都不受或极少受物理位置和这些设备类型的限制。
(5)方便性
设备变迁时要有高度的灵活性、管理的方便性,能在设备布局和需要发生变化时实施灵活的线路管理,能够保证系统很容易扩充和升级而不必变动整体配线系统,能够提供有效的工具和手段,以简单、方便地进行线路的分析、检测和故障隔离,当故障发生时,可迅速找到故障点并加以排除.
(6)可靠性
具有对环境的良好适应能力(如防尘、防火、防水),对温度、湿度、电磁场以及建筑物的振动等的适应能力。
系统可方便地设置雷电、异常电流和电压保护装置,使设备免受破坏。
(7)扩展性
适应未来网络发展的需要,系统的扩充升级容易.系统不仅能支持现有常规的计算机网络、电脑终端、电话、传真、摄像机、控制设备等通信需要,而且能支持未来的语音、视频、数据多网融合的局域网技术和接入网技术,具有适应未来需求,平稳过度到增强型分布技术的智能型布线系统。
由于所有基础设施(材料、部件、通讯设备)都采用国际标准,因此,无论计算机设备、通讯设备、控制设备随技术如何发展,将来都可以很方便地将这些设备联到系统中去。
(8)开放性
结构化布线系统能满足任何特定建筑物及通信网络的布线要求,完全开放化,既支持集中式网络系统,又支持分布式网络系统,支持不同厂家、不同类别的网络产品;为用户提供统一的局域网和广域网接口,满足目前要求和未来发展的需要。
(9)标准化
综合布线工程所有网络通道、信息端口系统应遵循统一的标准和规范,性能指标应保证达到《建筑与建筑群综合布线工程设计、施工与验收规范标准》(CECS—2000)的要求,并高于ISO/IEC11801的CLASSD和OPTICALCLASS的应用标准。
(10)经济性
经济性即系统经济、使用简单、维护方便、管理成本低,布线出口方式美观、耐用、防尘。
(11)生命周期
本项目系统设计能满足现在和未来的通信网络应用需要,具有20年使用生命周期。
4.2信息点分布和环境分析
XX大学的信息点分布如下:
联网各楼所在位置及信息点分布情况
1层
2层
3层
4层
5层
6层
7层
8层
1号楼
2
4
12
10
2号楼
10
3号楼
18
29
42
5
办公楼
17
13
12
18
图书馆
2
10
13
5号楼
2
18
10
1
6号楼
8
8
9
23
7号楼
4
19
7
4
研究生楼
6
21
21
21
21
电镜楼
4
8
4
公卫楼
9
6
8
8
9
13
8
合计
501
环境分析
1号楼、2号楼和3号楼距离较近,成U字型,即北U字型,5号楼、6号楼和7号楼距离较近,也成U字型,即南U字型,研究生楼在南U字型附近,办公楼和图书馆楼处于校园网的中心位置,所以考虑将核心交换机放置在办公楼或图书馆楼,公共卫生楼和电镜楼距离较近,距离北U字楼也相对较近,所以考虑选择采用光纤连接。
4。
3结构化综合布线系统的组成及设计
综合布线系统(PDS,PremisesDistributionSystem)是一套开放式的布线系统,可以支持几乎所有的数据、语音设备及各种通信协议,同时,由于PDS充分考虑了通信技术的发展,设计时有足够的技术储备,能充分满足用户长期的需求,应用范围十分广泛。
而且结构化综合布线系统具有高度的灵活性,各种设备位置的改变,局域网的变化,不需重新布线,只要在配线间作适当布线调整即可满足需求.结构化综合布线一般划分为六个子系统。
如图3:
4.3。
1工作区子系统(WorkArea)及其网络设计
工作区子系统,是由RJ—45跳线与信息插座所连接的设备组成。
信息点由标准RJ45插座构成。
信息点数量应根据工作区的实际功能及需求确定,并预留适当数量的冗余。
例如:
对于一个办公区内的每个办公点可配置2~3个信息点,此外应为此办公区配置3~5个专用信息点用于工作组服务器、网络打印机、传真机、视频会议等。
若此办公区为商务应用则信息点的带宽为100M可满足要求;若此办公区为技术开发应用则每个信息点应为交换式100M甚至是光纤信息点。
工作区的终端设备(如:
电话机、传真机)选用安普公司的超五类双绞线直接与工作
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 实验 需求 分析