實验六可靠安全网络实验室局域网的设计-20101116-0-xb.docVIP

实验六：可靠、安全网络实验室局域网的设计 实验目的 掌握设计高可靠性网络技能与方法。 掌握设计网络安全方案的基本技能和方法，并掌握防火墙原理。 用visco绘制可靠、安全网络拓扑图 实验内容 网络实验室办公楼到网络中心办公楼要求具备高传输速率，而且要求高可靠性。 采用千兆到交换机，百兆到桌面的传输方案。 采用双交换机互为高速备份的联网方案，采用服务器间的数据备份 通过设置DMZ区确保代理、ftp、www服务器的安全。其中之允许外网访问www服务器。 实验原理 针对实验中涉及到基本概念、基本原理、基本技术、分类方法、解决问题的方法和原因或依据、实验重要参数说明等做一下简介。 如可靠性，DMZ、STP生成树协议、链接聚合等。 可靠性： 可靠性包括网络物理级的可靠性，如服务器、风扇、电源、线路等；以及网络逻辑的可靠性，如路由、交换的汇聚，链路冗余，负载均衡，QOS等。由于大学中Ipv6，流媒体，视频点播，VoIP等视频和语音项目经常走在社会前列，因此网络必须具有足够高的性能，以满足业务的需要。 DMZ： DMZ是英文“demilitarized zone”的缩写，中文名称为“隔离区”，也称“非军事化区”。它是为了解决安装防火墙后外部网络不能访问内部网络服务器的问题，而设立的一个非安全系统与安全系统之间的缓冲区，这个缓冲区位于企业内部网络和外部网络之间的小网络区域内，在这个小网络区域内可以放置一些必须公开的服务器设施，如企业Web服务器、FTP服务器和论坛等。另一方面，通过这样一个DMZ区域，更加有效地保护了内部网络，因为这种网络部署，比起一般的防火墙方案，对攻击者来说又多了一道关卡。 STP生成树协议： 为提高可用性和可靠性，网络设计中通常采用冗余路径或冗余设备来确保。 第二层冗余会造成第二层环路问题，例如：多个侦副本、广播风暴、误解MAC地址。为了解决这些问题，出现了生成树协议。从逻辑上说，生成树协议的主要功能是将第2层环路从拓扑中移除。STP技术的引入就是在物理环路上形成一个无环的逻辑网络。采用的标准为802.1D，可扩展为RSTP、PVST等。 链接聚合： 链路聚合是将两个或更多数据信道结合成一个单个的信道,该信道以一个单个的更高带宽的逻辑链路出现。链路聚合一般用来连接一个或多个带宽需求大的设备，例如连接骨干网络的服务器或服务器群。 实验环境与网络拓扑 给出实验用到的设备、仪器、系统开发环境、系统运行环境、开发语言、对应实验环境版本；给出实验用到的网络拓扑结构和设备清单。 机房环境： 由于网络系统设备的精密度高，且系统的接插件多，因此机房环境的设计要求较高，通常需要考虑的因素有：电源、灰尘、温度与湿度、腐蚀和电磁干扰等。 网络设计中用到的设备： 一台核心交换机、Linkmanager Netcollege网络实验室统一管理控制平台、六台机柜，各个机柜里面分别有一台CCM-16神州数码串口控制管理服务器，四台神舟数码路由器型号为DCR-2600，两台神舟数码交换机型号为DCS-3950，两台神舟数码三层交换机DCRS-5650，一台DCNID-1800-MS型号的神舟数码防火墙。实验室共有48台Great Wall PC机作为学生端，一台Great Wall PC机作为主机，即教师端。依据不同的层次，可以选择不同类型的设备。 实验室中计算机运行两种操作系统分别是：Redhat Linux 9.0和Windows Server 2003 Enterprise Edition 。 如利用visco给出可靠、安全网络实验室设计方案的拓扑图。 实验步骤 步骤1：需求分析 提醒：冗余设计确保可靠性；链接聚合技术确保可用性；数据备份、异地互为备份确保安全性；生成树协议确保可用性等 步骤2：给出网络拓扑图 提醒：利用visco绘图工具给出可靠、安全网络实验室设计方案的拓扑图。建议为了交换机提高可靠性和可用性，可采用双交换机联网到网络中心的方案；为提高速度和可用性，三层交换机采用UPS供电和端口链路聚合技术，服务器建议设置在三层交换机上，以便提高访问速度和充分利用带宽等，同时提供数据备份。 图 6-1 网络拓扑图 步骤3：给出详细的设计方案 服务器安全设计 公共服务器安全设计的方法是将服务器放在受防火墙保护的DMZ内、在服务器本身上运行防火墙、激活Dos保护、限制每个时间帧的连接数、使用可靠、打了最新安全补丁的操作系统、模块化维护（如Web服务器不同时运行其他服务）。并且可以通过布置网络和主机IDS监控服务器子网和单个服务器、配置过滤器限制服务器的连接以防服务器受到危害、修补服务器操作系统已经知道的安全缺陷、服务器的访问和管理需要鉴别和授权、将Root口令限制为少数人、避免客户账号等方面实现。 交换机设计