《某大学校园网构建操作文档网络方向大学生毕业实习设计.pdf》由会员分享,可在线阅读,更多相关《某大学校园网构建操作文档网络方向大学生毕业实习设计.pdf(73页珍藏版)》请在taowenge.com淘文阁网|工程机械CAD图纸|机械工程制图|CAD装配图下载|SolidWorks_CaTia_CAD_UG_PROE_设计图分享下载上搜索。
1、毕业设计声明郑重声明:所呈交的论文是有本人在导师的指导下独立进行研究所取得的成果。除了文中特别加以标注引用的内容外,本论文不包含任何其他个人或集体已经发表或撰写的成果作品。时本文的研究做出重要贡献的个人和集体,均已在文中以明确方式标明。本人对学校及系对毕业设计的相关规定都充分了解。如有违反,后果由本人负责。作者签名:小 鲁 哥 哥日期:2007年6月2 6日某大学学院校园 2摘 要关于本书本方案是针对某校园网网建设的具体需求,结合学院的的未来发展需要,所作的校园网具体设计方案。根据学院的具体需要,我们选择一套合理、有效的认证计费系统来管理整个校园的上网用户,。校园网是学校和外界交流的重要平台,
2、也是展现学校面貌的重要舞台。随着学校硬件设备的不断健全,用户的复杂性及多样性,对网络提出了安全认证的需求,网络需要运营,因此也有了计费收费的需要。根据系统建设目标及应用系统的特点,考察当前计算机与网络的最新技术,目前国内新建设的网络系统大都采用新型的三层Client/Server的模式作为其主要的体系结构。经过多次成功的实践,我们认为这种模式的的开放性、灵活性以及安全性能够满足目前各系统的网络建设需要。鉴 于 Internet技术的迅猛发展及其在信息系统领域的广泛应用,我们在系统中同时提供Internet环境和应用开发平台。Internet的 Mail技术和FTP等技术将直接应用于信息的采集和
3、传输。建立Web站点,利用WWW技术是实现校园信息查询服务的有效手段,同时利用WWW技术还能较好的实现远程教学,实现教、学双方的交互。该方案主要基于一种高性能网络的设计思路,主要特点在于:以交换技术为核心,构造一个既能覆盖本地又能与外界进行网络互通、共享信息的计算机网络主干网;选用技术先进、具有容错能力的网络产品,在投资和条件允许的情况下也可采用结构容错的方法;完全符合开放性规范,将业界最优秀的产品集成于该综合网络平台之中;具有较好的可扩展性,为今后的网络扩容作好准备。2制作人:小鲁哥哥_ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _
4、_ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ 某大学学院校园 3-A X.-刖 R关于本书当今社会已步入信息社会,信息成为社会经济发展的核心因素,信息化已成为当今世界潮流。其背景是:半导体集成电路、计算机、光纤、卫星、多媒体等电子信息科技发展迅猛,并迅速广泛应用于社会各领域,产生和激发出新的生产力,正引起社会经济乃至人们工作、生活方式的深刻变革。自从1993年美国政府公布实施“信息高速公路计划”之后,在世界引起
5、巨大反响,许多发达国家和一些发展中国家也相继提出了本国或本地区的信息基础设施计划。可以说,信息化程度己成为衡量一个国家现代化水平和综合国力强弱的重要标志。某校园网校园网是某校园网内建设很重要的一部分,计划在近期内建设校园网络信息系统,在校园内部实现资源高度共享,为教学、科研、管理提供服务,为计划、组织、管理与决策提供基础信息和科学手段;支持教育教学改革,提高教育技术的现代化水平和教育信息化程度,为学校教师的备课、课件制作、教学演示提供网络环境;通过互联网、录像机、扫描仪、数码相机等各种渠道获得多媒体资料,实现素材收集、电子备课功能。培养创新人才,提高学生收集处理信息的能力、获取新知识的能力、分
6、析和解决问题的能力、语言文字表达能力以及团结协作和社会活动的能力,使学生能自主学习、协商学习、发现探究式学习以及自我评价,为学生的全面发展创造相应的条件。实现办公自动化,提供与上级教育部门、社会、家庭之间通讯的出入口,提供电子函件、公告牌和教育教学信息查询等服务,提高工作效率和管理水平。及时、准确、可靠地收集、处理、存储、传输学校的教育教学信息,完成与因特网的通讯和资源共享实现社会教育、学校教育、家庭教育的有机结合。实现课堂多媒体电化教学。具备适用于双向课堂语音教学及语音室功能学习。以代替手提录音机,实现音频数字化资源共享、集中管理。电教综合平台实现多媒体电教设备及室内电器设备电动一体化控制。
7、建立校园网管理应用系统。以顺应无纸教学,无纸办公的发展趋势,充分利用现代化技术来进一步提高教学质量和办公效率,为培养二十一世纪人才提供一个优良的硬件教学环境。某校园网网支持的是一个不断多元化的网络应用系统设备组合,用以支持其日常运作和实现其长远目标。系统设备、管理者及使用者之间的联系必须是亲密无间的,自觉而透明的,从而具3制作人:小鲁哥哥_ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _
8、_ _ _ _ _ _ _ 某大学学院校园 4备较强的扩展性。愿凭借自己的技术与实力,将与某校园网一道,共同设计建成一个先进的多媒体校园网络系统。某校园网是一九九三年成立的民办大学,以培养高层次人才为己任。当今世界随着计算机、网络通信等现代科学技术的发展,人类正迈入信息时代,在某校园网建立覆盖全校,并可以与国内外著名网络互联的校园网已成为必然。某校园网(北区)校园网对外将实现与位于广州电信机房中心相连;对内实现与校内各部门进行通信。某校园网网将为学校的科研、教学、管理提供必要的技术手段,为研究开发和培养人才建立平台,借此加快学校的发展,以此加快学校的发展,成为一个具有示范性的学校。在本方案中,
9、我们将分为用户需求分析、网络系统设计、服务器及应用软件的介绍等几个部分来阐述。4制作人:小鲁哥哥某大学学院校园 5目 录摘 要.2前 言.3目 录.5第 二 章 需 求 分 析.71、总体需求:.72、网络需求:.7第三章网络系统设计.81、网络系统设计原则:.81.1 先进性与现实性.81.2 系统与软件的可靠性.81.3 系统安全性与保密性.81.4 易管理与维护.91.5 易扩充性.92、主要网络设备的选择原则.92.1安全、稳定、可靠.92.2 技术先进.92.3 便于扩展.93、网络设计方案描述.103.1 网络拓扑结构.10简单网络拓扑结构:.10校园网络详细拓扑示意图:.113.
10、2 主要网络设备介绍.11a)易尚防火墙性能及功能介绍.11b)3COM4950核心交换机性能及功能介绍.13c)3COM4400接入层交换机性能及功能介绍.143.3 主要网络设备配置.15a)易尚网关防火墙的常用配置.15b)3COM4950核心层交换机简单配置.22制作人:小鲁哥哥5某大学学院校园 6c)3COM4400接入层交换机简单配置.42第四章服务器及应用软件的介绍.491、安腾Amtium eFlow GBMS服务器及整套校园网管理系统.491.1 eFlow D_BRAS宽带接入服务器.491.2 Radius Server计费管理系统.521.3 eFlow LRMS日志记
11、录管理系统.532、校内其它服务器安装与介绍.552.1 VOD视频点播服务器.552.2 FTP文件下载服务器.572.3 MAIL邮件服务器.61第五章 网络硬件设备部分清单.651、网络设备表(结算清单).65附录:校园网常见网络故障及处理方法.65结 论.71主要参考文献.72致 谢.736制作人:小鲁哥哥某大学学院校园 7第二章需求分析1、总体需求:建立一个基于校园Intranet的信息管理和应用的网络系统,并提供相应的各种服务。共享网络上各种软、硬件资源,快速、稳定地传输各种信息,并提供有效的网络信息管理手段。采用开放式、标准化的系统结构,以利于功能扩充和技术升级。能够与外界进行广
12、域网的连接,提供、享用各种信息服务。具有完善的网络安全机制。能够与原有的计算机局域网络和应用系统平滑地连接,调用原有各种计算机系统的信息。接口尽量灵活、公开以便于将来进行系统扩充及二次开发。通过持续开发与系统升级,最终将本综合应用系统在W EB上无缝地统一起来,用统一的标准实现完美的一体化。2、网络需求:骨干网必须是高速局域网千兆传输,能支持虚拟分段和多媒体应用,桌面达到百兆传输。支持图书馆网络和其它网络之间资源的双向访问。接入校园网的所有电脑应能访问校园网的共享资源。网络要有足够的扩展能力,当网络扩大时,网络性能不会大幅度下降。网络要易于维护和管理,有方便的网络管理工具。网络应有一定的安全机
13、制,防止滥用。7制作人:小鲁哥哥_ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ 某大学学院校园 8第三章网络系统设计1、网络系统设计原则:根据上面对某校园网网网络需求的分析,我们制定以下系统设计的原则:1.1 先进性与现实性作为中国教育科研网的一部分,某校园网的核心计算机网络某校园网网网络系统处理的信息量将
14、会十分庞大,要求计算机网络有很高的工作效率。而且随着教学科研任务工作的迅速系统面临的任务也愈来愈艰巨,所以,我们设计的网络在技术上必须体现高度的先进性。技术上的先进性将保证处理数据的高效率,保证系统工作的灵活性,保证网络的可靠性,也使系统的扩展和维护变得简单。我们将在网络构架、硬件设备、传输速率、协议选择、安全控制和虚拟网划分等各个方面充分体现某校园网网网络系统的先进性。在考虑系统先进性的同时,我们也会考虑实效、兼顾现实,建设不仅先进而且合适的系统,在系统建设中坚持“边实施,边发展,高起点,早收益”的原则。由于某校园网大部分还处于规划阶段或基础建设阶段,因此我们建议实施分期建设的方法,先根据目
15、前的需要建设第一期工程,但为以后的建设提供一定的可扩展空间。1.2 系统与软件的可靠性在某校园网网网络系统设计中,很重要的一点就是网络的可靠性和稳定性。在外界环境或内部条件发生突变时,怎样使系统保持正常工作,或者在尽量短的时间内恢复正常工作,是某校园网网网络系统所必须考虑的。在设计时对可靠性的考虑,可以充分减少或消除因意外或事故造成的损失。我们将从网络线路的冗余备份及信息数据的多种备份等方面保证某校园网网网络系统的可靠性。1.3 系统安全性与保密性随着计算机技术的发展,尤其是网络和网络间互联的规模的扩大,信息和网络的安全性日益受到重视。面临十分严肃的安全性挑战。在网络设计时,将从内部访问控制和
16、外部防火墙两方面保证某校园网网网络系统的安全。系统还将按照国家相关的规定进行相应的系统保密性建设。8制作人:小鲁哥哥_ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ 某大学学院校园 91.4 易管理与维护某校园网网网络系统的节点数目大,分布范围广,通信介质多种多样,采用的网络技术也较先进,尤其引入交换式网络和
17、虚拟网之后,网络的管理任务加重了,如何有效地管理好网络关系,是否充分有效地利用网络的系统资源等问题就摆在我们面前。用图形化的管理界面和简洁的操作方式,可以提供强大的网络管理功能,使网络日常的维护和操作变得直观、简便和高效。1.5 易扩充性随着教学科研的快速发展,某校园网网网络系统面临的任务将愈来愈艰巨,愈来愈复杂。为了适应这个变化和日新月异的计算机技术的发展,我们网络十分注重扩充性。无论是网络硬件还是系统软件,都可以方便的扩充和升级。上述系统设计的原则将自始自终贯穿整个系统的设计和实现。2、主要网络设备的选择原则根据已制定的网络系统设计原则,我们所选择的网络设备必须具有以下一些特点:2.1 安
18、全、稳定、可靠作为整个校园网络系统的硬件基础,网络设备必须是具备安全性、稳定性和可靠性的特点。这是网络系统稳定运行的最基本条件。最好是经过相当长时间,在世界范围内被广泛应用的网络产品。为此,我们建议选择国际知名厂商的产品。2.2 技术先进网络设备仅仅具有安全、稳定和可靠的特点是不够的。作为高科技的产品,还应该具有的特点就是技术的先进性。我们所选择的网络设备应该采用当今较先进的技术,能够保持该设备在相当长的一段时间内不会因为技术落后而被淘汰。同时,在网络规模进一步扩大,该设备不能承担繁重的负荷时,能够降级使用。2.3 便于扩展由于信息技术和人们对于新技术的需求发展都非常迅速,为了避免不必要的重复
19、投资,我们必须选择具有一定扩展能力的设备,能够保证在网络规模逐渐扩大的时候,不需要增加新的设备,而只需要增加一定数量的模块就行。最好能够做到在网络技术进一步发展,现有模块不支持新技术的情况下,只需要更换相应模块,而不需要更换整个设备。管理和维护方便先进的设备必须配合先进的管理和维护方法,才能够发挥最大的作用。所以,我们选择的设9制作人:小鲁哥哥某大学学 院 校 园 0备必须能够支持现有的、常用的网络管理协议和多种网络管理软件,便于管理人员的维护。3、网络设计方案描述3.1 网络拓扑结构校园网物理拓扑结构,即将校园骨干网分为核心网和接入网两部分。核心网络层是整个系统的中心,它提供一个千M 高速的
20、网络通信平台以及网络核心管理服务,核心网络层是由一台3coM 4950核心交换机所支撑,组成总线型网络。网络山核心节点向外辐射到各学生公寓大楼的4 芯光缆和上行的节点设备组成,学生公寓的局域网则通过上行节点设备连入校园骨干网,网络的拓扑结构如卜图所示。南华校园网网络拓扑简单网络拓扑结构:(图 一)10制作人:小鲁哥哥某 大 学 学 院 校 园11校园网络详细拓扑示意图:仝校网络拓朴图.端U详情请见4950(图二)3.2 主要网络设备介绍a)易尚防火墙性能及功能介绍ES800产品性能参数防火墙性能:150M-500M并发会话数:50-80万11制作人:小鲁哥哥某大学学院校园 2每秒新建会话数:5
21、0003DES:70M策略数:2000时间表:256VPN 隧道数:100-200接口类型:3-4 个 10/100Base-T 接口用户数:无限制电源:单机箱:1U主要用户:中小型企业,分支机构主要特性和优势防火墙(通过公安部监测并获销售许可证)符合工业标准的状态检测防火墙,支持NA1APAT,透明、路由、混合模式;用户认证:内建用户认证数据库,支持外部RADIUS/LDAP认证数据库,支持RSA SecurlD和 IPsec VPN下 RADIUS扩展认证支持近百种标准服务(包 括 Netmeeting,GRE.HTTP,OSPF),支持用户自定义服务和服组。根据小时、日、周和月建立一次性
22、或循环时间表,防火墙根据时间表建立安全策略。路由协议、防御功能、地址翻译、IP/MAC绑定、虚拟域模式、虚拟IP 映射、VLAN支持、VoIP、流量控制、基于网络的病毒防御(通过公安部防病毒产品检测并获得销售许可证)、V PN 隧道防毒、支持病毒扫描引擎和病毒库的在线升级、入侵检测和防护、可选择的攻击数据库、支持攻击库的在线升级、反垃圾邮件、-V PN 支持工业标准的IPSec、PPTP、L2TP、W eb内容过滤、高可用性(HA)、日 志、系统管理、远程管理、命令行界面、电子邮件告警、SNMP告警、通过与Syslog或 WebTrends集成,实现外部监控、分析和管理、通过易尚的ESCent
23、reManager集中化管理和监控。这是一些关于易尚防火墙硬件简介和功能简介,就说这么多了,上面的都是一些常用的功能介绍,如果想详细了解的,可以给我发E-m ail,我可以把详细的技术白皮书传给你!12制作人:小鲁哥哥某 大 学 学 院 校 园13b)3COM4950核心交换机性能及功能介绍3Com SuperStack 3 Swltch49003COM 4 9 5 0 系 列 交 换 机 是 3 c o m 生 产 的 可 网 管 的 三 层 交 换 机,4 9 5 0 包 括 1 2 个100/1000Base-T自适应口,32Gbps的交换容量,23M ppS的包转发速率4950 包括
24、12 个 10/100/1000Base-T 自适应口,6 个 1000Base-SX 光纤端口(MTRJ),6 个 GBIC端 口,其中 GBIC 口可以选配 3Com 的 GBIC 模 块,包括 1000Base-SX(3CGBIC91)、1000Base-LX(3CGBIC92)及 1000Base-LH70(3CGBIC97)。56Gbps 的交换容量,41.7M PPS 的包转发速率除了上面讲到的端口外,3COM 4950交换机都有一个扩展槽,在机箱的后面,可以增加模块,这些扩展模块包括:4 端口 1000Base-SX 模块(3C17710),4 端口 1000Base-T 模块(
25、3C17711),4 端口 1000Base-LX 模块(3C17712),4 端口 GBIC 模块(3C17714)以及 XRN 互联工具包(3C17715)。作 为 款 三 层 交 换 机,4 950的定位是边缘与核心之间,在它之上,是 4050/4060/4070及4007/4007R 交换机。从功能和性能上讲,3COM 4950具有以下特点:支持XRN技术,后面有简单的介绍 除通过Console 口进行管理外,还可以通过VLAN的 Interface IP地址,以Telnet方式及Web方式来进行管理。但是,强烈建议用户及代理商不要使用Web方式进行配置(因为显得太不专业了)。支持基于
26、SNMP的网管 二层交换功能以及三层路由功能,注意,如果用户需要启动OSPF协议,那么需要购买升级软件。3com 免费提供的软件不支持OSPF。所有端口支持自协商Auto-Negotiation)及MDI/MDIX自适应 支持 VLAN、STP、LinkAggregation、MulticastFilter、BroadcastConlrol 等功能。13制作人:小鲁哥哥某 大 学 学 院 校 园14c)3COM4400接入层交换机性能及功能介绍3Com SuperStack 3 Swltch44003C0M 4400交换机是3com 生产的可管理的二层交换机系列产品,该系列交换机目前包括的型号
27、如下:3C17204,48 端口的 4400。包括 48 个 10Base-T/100Base-Tx 自适应口,2 个扩展槽位(在机箱后面)3 cl7203,24 端口的 4400(包括 24 个 10Base-T/100Base-Tx 自适应口,2 个扩展槽位(在机箱后面)3C17210,24端口的4400。包括24个 100Base-Fx光纤端口 MT-RJ,2 个扩展槽位(在机箱后面)3C17205,4400PWR。包括 24 个 10Base-T/100Base-Tx 自适应口,并支持 Power OverEthernet,2 个扩展槽位(在机箱后面)3C17206,4400SE。包括
28、24个 10Base-T/100Base-Tx自适应口,2 个扩展槽位(在机箱后面)所有3coM 4400系列交换机都有2 个扩展槽位,在机箱后面,可以选择的扩展模块有以下这些,1000Base-T 模块(3C17220),1000Base-SX 模块(3C17221)、100Base-FX模块(3C17222)、1000Base-LX模块(3C17223)及堆叠模块(3C17227)、堆叠扩展模块(3C17228)。以上这些模块插在那个扩展槽位都可以,没有什么先后、左右的规定。与其他二层交换机如3COM 4200、3COM 3300等相比,3COM 4400在性能及功能方面是有一定优势的,相
29、应的其价格也较其他二层交换机也要贵一些。如果用户对性能及功能方面要求比较高,那么3COM 4400比其他3Com的二层交换机要更适合一些。注意3COM 4400系列交换机(除了 4400SE)支持四层的QoS功能,但不支持三层的路由功能。从功能和性能上讲,3coM 4400具有以下特点:可堆叠。详细情况后面章节介绍 除通过Console 口进行管理外,还可以配置管理地址,远程通过Telnet方式及Web方式来进行管理。但是,强烈建议用户及代理商不要使用Web方式(因为显得太不专业了)。支持基于SNMP的网管14制作人:小鲁哥哥某大学学 院 校 园 5 基本的二层交换功能,其性能为:4 8 口的
30、4 4 0 0交换容量1 7.6 G b p s,包转发率I 0.1 M P P S;其他的都是交换容量&8Gbps,包转发率6.6 M P P S 所有端口支持自协商A u t o-N e g o t i a t i o n及MDI/MDIX自适应 支持 VLAN、S T P、M u lt i c a s t F i lt e r、B r o a d c a s t c o n t r o l、Q o S 等功能。3.3主要网络设备配置a)易尚网关防火墙的常用配置安装非常快捷简单,当您第一次打开电源启动易尚网关防火墙时,防火墙已经设置了默认I P地址和安全策略。所有保护网络的必需设置,你都可
31、以连接到基于Web的管理器进行操作模式设置,或使用安装指南来自定义您网络里易尚网关防火墙的I P地址。在此基础上您可以用基于W eb的管理器来定义一些您所需要的设置。基于Web的管理器,使用安全的h t t p s连接,您可以从任何一台运行I n t e r n e t E x p lo r e r的计算机卜一配置和管理易尚网关防火墙,您可以从任一易尚网关防火墙端口进行安全管理,包括从外部网上进行安全管理。易尚网关防火墙的核心功能是抵御来自公网的、对本地网络的恶意攻击,它通过清晰简洁的设计界面提供了对安全策略的控制,而且允许在复杂情况下进行全面控制。基于Web的管理器,图形化操作界面,快速安装
32、配置截图(登陆界面)15制作人:小鲁哥哥某 大 学 学 院 校 园 6(下一步)防火墙系统的基本信息,版本,序列号,模式.,你可以用序列号码去易尚防火墙官方网站,填写注册信息,卜 载该产品的更新版本、技术资料等等。运行毋续时间:东线设2H日志杼倒含:运行项式:系统官理防火二用户VPN网络入侵检测主机名痫备验查软件版本:Web 11 浦:S箱毒片征处版本:电子隼件过注攻击将征玛第本:日志与审计摩列号网:余线:FGOC。MFGBOC huih1I IBM i n/1 1/2 0 0 1 1-l12,68(iI)0 l-I-1 天)Ti-(4*);一(分8)旻出 S A 饮堂到出厂的浸育转为透明快大
33、重 新 启 动关 闭 系 虢(下一步)修改web界面的登陆密码(此密码设置强密码,定期更换,提高安全性)重 新 启 动 ,关 闭 系 统(下一步)选择NAT/路山模式来保护您的私有网络,当防火墙用NAT/路由模式运行的时候,您的内部网络可以连接到Internal端口,DMZ网络连接到DMZ端口,而公共网络象Internet,连接 到 External端口,每个网络必须有自己的不同的网络地址。可以创建安全策略来控制防火墙在16制作人:小鲁哥哥某 大 学 学 院 校 园17不同端口间发送数据包。NAT模式策略使用网络地址转换来隐藏内部网络的地址,配置内部接口(内部所有的IP 地址都转换成内部接口地
34、址访问互联网)则一重 新 启 动关 闭 系 统(下一步)配置外部接口类型(由ISP提供固定IP地址)重 新 启 动 关 闭 系 统(下一步)配置External IP地址,掩码地址,网关17制作人:小鲁哥哥某 大 学 学 院 校 园18(下一步)(校园网内架设了 windows2003的 DHCP服务器,故没使用易尚防火墙的DHCP功能)配置内部服务器的地址,允许公共网络访问服务器资源18制作人:小鲁哥哥某 大 学 学 院 校 园19系统管理我YISHANG防火堵用户VPN网络入侵检测病毒检查W eb过滤器电子邮件过滤日志与审计纯清世界网络安全YISHANG系统管理防火墙用户VPN网络入侵检测
35、病毒检查W eb过滤器电子部件过海日志与审计纯消世界网络安全查 看“系统”的“状态”信息,监 视 CPU、内存、网络的使用率,会话的连接数,病毒的攻击次数,可以很好的掌握防火墙使用性能情况,掌握校园网目前的网络使用情况。19制作人:小鲁哥哥某 大 学 学 院 校 园20YISHANG纯清世界网络安全系统状态会话自动更新周期:none CPU和内存会话和网络刷 新病毒和攻击路由表中的顺序是非常重要的,防火墙采用最先匹配的原则从路由表的头部进行查询,直到找到匹配的路由为止,因此,路由表应该把最长匹配的项放置在前部,最短匹配的项放置后部,如果你有一个默认路由应该放置在最后。配置路山,IP 网段,掩码
36、,网关,默认路山路由表纯清世界网络安全区接口DNSDHCP新 建IP庵码 同 关#1网 关#2设 备#1 10.0,0.00.0,0.0219.136.207.6510.10.10.0255.255.255.0192.168.254.1172.16.0.0255.255.0.0192.168.254.1192.168.0.0255.255.0.0192.168.254.1防火墙端口间添加访问控制策略来控制数据连接和流量,控 制 Internal至 I External Internal到 DMZ External 到 Internal、External 到 DMZ DMZ 到 Internal
37、、DMZ 到 External 的连接策略,20制作人:小鲁哥哥某大学学 院 校 园工控制用户或计算机可以访问到外部网络什么服务,也可以给这些策略启用防病毒和内容过滤功能来避免内部网用户或计算机从外部网下载病毒和访问非法网页。配置访问控制策略(Internal内部网,External外部网,DMZ非军化区域)系统管对系统更新网络RIP配置防火品访问控制策地址服务时间表虚 拟 IPIP 池IP MAC内容表用户访问控制策略(从外网访问内网的WEB、SMTP、POP3的服务器,可使用PPTP服务VPN远程访问)external-internal访 问 控 制 策 略|度制策略1,I ID 来源目的
38、时 间 表 服务 篌 式 启1 n txternai_Aii w tb Always ANY ALLtP i Lrj2 3 External_All SMTP Always ANY ACCEPT 03 4 External_All POP3 Always ANY ACCEPT 04 5 External_All Intemal_AII Always PPTP ACCEPT 0我IP新 建返 回将内部网WEB、STMP、POP3服务器IP地址端U作映射,通过外网口地址发布于互联网,当您在网络地址转换模式下使用易尚网关防火墙时,从因特网上,是无法看到内部网和DM Z网络上的计算机地址的,如果想从因
39、特网上访问DM Z网络或者内部网上的某一台服务器,您必须创建一个虚拟IP 地址,这样才能够使因特网上某台服务器IP 地址和DMZ或者内部网上面的计算机的真实地址之间建立联系。制作人:小鲁哥哥21某 大 学 学 院 校 园221虚 拟IP火墙亍问控制策略城 止WEB external/219,136.207.68 tcp/80 192.168.254.10 tcp/80q M T D 1 9 0 7 A fl b rn/1 1H 1 Q 9 1 AQ 1A t-rn/1 1Hi务POP3 extemal/219,136.207.68 tcp/25 192.168.254.10 tcp/25amt
40、ium extemal/219,136.207.69 192.168.254.4t间表 拟IP3池3 MAC溶表配置VPN远程访问,通过PPTP点对点隧道协议PFTP范围 启 用PPTP起 始IP:终 止IP:用户组:VPNO 禁 用P P T P1.1.1.21.1.1.30提 交还有一些基于网络的病毒防御、反垃圾邮件、Web内容过滤、系统管理、入侵检测和防护,防火墙的我就说这么多了,上面的都是一些常用配置的截图和简单说明,如果想详细了解的,可以给我发E-m ail,我可以把详细的技术白皮书传给你!b)3COM4950核心层交换机简单配置工 查看4950系统信息工配 置IP管理地址和网管系统
41、工 生成树-Spanning Tree Protocol工组播过虑-Multicast Filter工链路聚合Link Aggregation工VLAN功能及VLAN之间的三层数据转发工 配置4950 RIP协议制作人:小鲁哥哥22某 大 学 学 院 校 园23工配置静态路由工 配置DHCP Relay工配置ACL访问控制工QoS流量控制工软件升级及密码丢失查看4950系统信息Select menu option:sys summ3Com SuperStack 3System Name:Location:Contact:Time Since Reset:0 Hrs 0 Mins 20 Seco
42、ndsOperational Version:03.12Hardware Version:0Boot Version:1.00MAC Address:00-30-1 e-69-1d-c0Product Number:3C 17700Serial Number:7RGV4691DC0Module Slot 1:Not installedSelect menu option:说明 由以上命令可以得到该4950交换机的系统信息,按重要程度,说明如下:版本信息,包 括 Operation版本,Hardware版本及Boot版本。我们要的是Operation版本信息,3com在网站上发布的版本、我们要升
43、级的版本也都是Operation版本。其他两个版本信息不经常用到。系统运行时间-Time Since R e se t,从这里可以看到系统到目前已经运行了多长时间。产品序列号-Serial Number,这个序列号是唯一的,每台4950设备都不相同。用户在3com网站上注册该产品时需要输入这个序列号,产品有硬件故障需要更换时也要向3com提供这个序列号。该序列号在机箱底面的标签处也可以查到。系统信息中的System Name、Location及 Contact可以山用户自行设置,命令如下:23制作人:小鲁哥哥某 大 学 学 院 校 园24Select menu option:system ma
44、nagement nameSelect menu option:system management locationSelect menu option:system management contact配 置 IP管理地址和网管系统给4950交换机设置VLAN Interface后,就可以用IP地址,通过网络对4950进行远程管理。管理的方式包括Telnet和Web方式。设置4950管 理IP的命令如下所示(以VLAN 1为例)。Select menu option:pro ip basicEnter configuration method(auto,manual,none)auto:ma
45、nualEnter IP address 0.0.0.0:10.10.10.18Enter subnet mask 0.0.0.0:255.255.255.0Enter gateway IP address 0.0.0.0:10.10.10.1IP address:10.10.10.18Subnet mask:255.255.255.0Gateway IP address:10.10.10.1Select menu option:说明 黑体字为输入的命令及参数4950的管理地址有手工方式(manual)及自动方式两种。如果是设置成自动方式,则用户的网络中需要有一个DHCP Server,495
46、0开机后会自动去申请一个IP地址,作为VLAN 1的IP地址。这种自动方式不建议用户使用,建议用户手工设定管理地址。上面例子中是用manual方式手工设置一个管理IP,地址为10.10.10.18/24,其默认网关为10.10.10.14950的管理地址就是VLAN的Interface地址,任何一个VLAN的都可以。为了与边缘交换机相一致,建议用VLAN 1的地址作为管理地址。4950交换机设置管理IP后,还可以通过网管系统进行管理,如3com的免费网管软件3comNetwork Supervisoro 一般情况下用4950默认的配置就可以,根据情况也可以进行修改。主要的包括设置网管软件对交换
47、机进行读/写的Community字串,以及交换机向网管软件发送Trap的目的地址,如下所示。Select menu option:sys man snmp comm.Enter new community for user admin*private:write00124制作人:小鲁哥哥某大学学院 校 园25Enter new community for user manager manager:writeOOOEnter new community for user monitor public:readOOISelect menu option:说明 以上设置将网管系统读的C o m m
48、u n i t y 字串设为r e a d O O I,将改配置和修改系统参数的 C o m m u n i t y 字串设为 w r i t e O O l 及 w r i t e O O OSelect menu option:sys man snmp trap createEnter the trap community string monitor:Enter the trap destination address:10.10.10.8Select menu option:说明 以上设置使交换机将m o n i t o r 的 t r a p 信息发到地址为10.10.10.8的网管
49、系统或其他可接收t r a p 的系统。可以设置多个目的地址生成树Spanning Tree Protocol49 50 支持生成树S T P 和快速生成树R S T P 协议。R S T P 是 S T P 的改进版本,并且向下兼容,即如下情况,当 49 50 交换机上启动R S T P,当端口检测到该端口所连设备只支持S T P 时,该端口会自动降到支持S T P。S T P/R S T P 常用的设置有如下一些:Select menu option:bri spann stpverEnter Spanning Tree version-0=STP,or 2=RSTP(0,2)2:2Sel
50、ect menu option:说明可以设置修改49 50 支持R S T P 还是S T P,默认是R S T P。Select menu option:bri spann stpstateEnter new value(enable,disable)enable:disSelect menu option:说 明 将 R S T P/S T P 功能激活或者关闭,对整个交换机有效。交换机默认时有效。Select menu option:bri spann stppriSelect stp priority(?)32768:?25制作人:小鲁哥哥某 大 学 学 院 校 园26One of t