您好,欢迎访问三七文档
北京城市学院信息学部2011-2012-1学期网络入侵与病毒防护课程大作业专业:网站建设与管理班级:09软专A学生姓名:张思林学号:091305180072011年11月得分情况序号评分细则得分12345678910总分评语教师签字:2011年11月日一、概述大型网吧是一个多元化应用的系统集成网络,具备较强的预扩展性。越来越多的大型网吧正在或者已经建立多元化的网络。二、需求分析大型网吧网络系统建设的主要目标是建设成为主干跑千兆,百兆交换到桌面;同时在大型网吧的范围内建立一个以网络技术、计算机技术与现代信息技术为支撑的娱乐、管理平台,将现行以游戏网为主的活动发展到多功能娱乐这个平台上来,籍以大幅度提高网吧竞争和盈利能力,建设成一流的高档网吧,为吸引高端消费群打下强有力的基础。按照这一目标,大型网吧网络系统的主要目标和任务是:1、在大型网吧管辖范围内,采用标准网络协议,结合应用需求,建立大型网吧内联网,并通过中国电信宽带网与Internet相连;2、在大型网吧内联网上建立支持娱乐活动的服务器群(包括、FTP、DNS、流媒体服务器、十六频道有线电视转播服务器组及SF和各种游戏战网服务器等),具有信息共享、传递迅速、使用方便、高效率等特点的处理系统;3、需要高稳定性,网吧作为服务型营业场所,服务质量至关重要,而随着网吧行业不断发展,市场相对饱和后加剧竞争,频繁断线或大延迟网络将直接影响网吧的声誉和收益。4、多线路接入和负载均衡,为扩大接入带宽和优化电信/网通访问速度,很多网吧采用多链路接入方式,需要支持多链路负载均衡和电信/网通链路优选的设备来支持。5、需要带宽管理功能,网吧业主最苦恼的莫过于网速慢的问题,虽然不断增加成本扩充带宽,但却仍有用户抱怨游戏卡、上网慢,简单的接入功能无法满足网吧现状,一款带有流量分析、流量管理的安全路由器才是用户迫切需要的。6、需要安全防护,传统路由器只提供接入功能,一旦碰到网络病毒爆发或攻击行为就很容易造成网络瘫痪,大型网吧主机数较多,来自外部的攻击和内部病毒爆发都会对接入设备带来很大挑战,因此为了保障网络稳定,接入设备需要具有较强的抗攻击能力。7、需要设备端口镜像,根据政府相关部门要求,监控系统需要从网络中监听数据,在核心接入设备上实现端口镜像是最简单易用的方法。在本方案的设计过程中,始终以大型网吧建网的实际需求为主要参考,在较充分地了解大型网吧应用需求的基础上,根据网络建设中的相关技术路线和建设方针,最终完成了下面的方案设计。网络设计原则大型网吧网络系统建设是一项大型网络工程,各网吧需要根据自身的实际情况来制定网络设计原则。在大型网吧的网络建设过程中,其遵循以下网络设计原则:1、实用性和经济性由于网吧一次性资金投入大,设备折旧快,目前外部经营环境差。另一方面,网吧应用环境比较恶劣,顾客应用水平较参差不齐,因此,在网络的建设过程中,系统建设应始终贯彻面向应用,注重实效的方针,坚持实用、经济的原则。2、先进性和成熟性当前计算机网络技术发展很快,设备更新淘汰也很快。这就要求网络建设在系统设计时既要采用先进的概念、技术和方法,又要注意结构、设备、工具的相对成熟。只有采用当前符合国际标准的成熟先进的技术和设备,才能确保网络络能够适应将来网络技术发展的需要,保证在未来几年内占主导地位。3、可靠性和稳定性在考虑技术先进性和开放性的同时,还应从系统结构、技术措施、设备性能、系统管理、厂商技术支持及维修能力等方面着手,确保系统运行的可靠性和稳定性,达到最大的平均无故障时间。4、安全性和保密性在系统设计中,既考虑信息资源的充分共享,更要注意信息的保护和隔离,因此系统应分别针对不同的应用和不同的网络通信环境,采取不同的措施,包括系统安全机制、数据存取的权限控制等。5、可扩展性和易维护性为了适应系统变化的要求,必须充分考虑以最简便的方法、最低的投资,实现系统的扩展和维护。把当前先进性、未来可扩展性和经济可行性结合起来,保护以往投资,实现较高的总体性能价格比。网络设备选形由于网吧的条件千差万别,对方案的要求也五花八门,这就要求网络设备提供商能够具有强大的网络产品和解决方案定制能力;此外,网吧经费有限,因此也不会有很多财力用于网络建设,这就要求网络产品还必须具有极高的性价比优势。在对各网络设备性能和价格考察比较之后,大型网吧的网络决定采用:三层中心交换机(加X个千兆模块)+堆叠交换机(加1个千兆模块)作为接入层的网络结构,满足了大型网吧网络对性能、应用、成本等方面的要求。三、网吧详细设计1、全网吧共划分为5个区域,服务器群组,视频区,游戏区,上网区,商务VIP区。其中视频区100台机器,游戏区150台机器,上网区130台机器,商务VIP区120台机器。网吧为双线运行。其实只需要一台路由器就可以了,但因为模拟软件原因故使用了双路由来验证成功,网吧使用无盘工作站模式,为使网吧流畅运行每一个区域全部安装无盘服务器来保证稳定,快速运行。另外服务器均使用4网卡端口聚合功能连接堆叠交换机提高总体贷款、所有区域交换机均采用堆叠方式,另外于主交换机三层交换机全部采用光纤连接,也就是说主线路一律采用光纤。还有一台老板查账的机器。只有每个区域的收费机可以与老板机通讯,其他一律通过ACL拒绝。拓补图:备用路由器主路由器三层核心交换机游戏服务器电影服务器Web服务器FTP服务器公安上网监控计费系统服务器群组商务区堆叠交换机组用户用户上网区堆叠交换机组用户用户用户游戏区堆叠交换机组游戏区堆叠交换机组收费机收费机收费机收费机无盘服务器无盘服务器无盘服务器无盘服务器电信网通2、网吧组网方案对于五百台以上机器的网吧,网络质量的好坏,直接决定了网吧的生存能力。如何规划一个优质的网络环境,是我们一些网管们面临的一次挑战。C类的IP地址决定了一个网段只能容纳253台机器,因此,随之而来的各种问题也就出现了。2.1、网络层次设计:五百台以上的网吧,可以采取接入层、汇聚层、交换层三个网络层次的设计。接入层,对于五百台的机器来说,选择一个合理的接入设备,是最关键的,而且我们要根据接入设备选择合适的带宽。我们可以简单计算一下网络带宽来决定网络接入设备的总带宽,每台机器最大的网络流量7-8KB字节计算,五百台机器是4000KB字节左右,加上30%的网络损耗,网络总带宽应该为5200KB字节,我们的光纤初步可以选择为50MB的接入。当然了,为了加快网络速度,你也可以选择百兆的接入点。这样看来,我们的网络接入层可以选择为百兆设备。2.2、汇聚层:汇聚层是整个局域网的核心部分,由于网吧内部的数据交换量特别大,因此,我们在选择汇聚层设备的时候,一定要选择一款合适的汇聚层网络设备。五百台机器的网吧,可以选择千兆的三层交换设备,支持VLAN功能,虽然我们不需要划分VLAN,如果我们的网络设计不能达到我们的要求,划分VLAN是我们的必选之路;三层交换的背板带宽不能低于16G,而且要支持MAC地址学习功能,MAC地址表不能小于32KB;汇聚层网络设备最好支持网络管理功能,方便我们的管理和维护;汇聚层网络设备的端口数量,最好要比我们设备的网络端口数量多出一些,方便以后我们的网络升级和改造。虽然我们的接入层选择的是百兆网络设备,由于我们网吧中,相当大一部分数据流量,不必经过接入层,因此我们在选择接入层的网络设备时,没有必要与汇聚层网络设备同步。2.3、交换层:交换层是整个网络中的中间层,连接着汇聚层和网络节点,是决定我们整体网络传输质量的很重要的一个环节。随着百兆网络设备的普及,我们交换层的网络设备,肯定首选百兆。交换层设备选择时,需要满足下列要求:支持百兆传输带宽,背板传输不能低于6G,支持MAC地址学习功能,MAC地址表不能小于8KB。2.4、综合布线设计:布线是连接网络接入层、汇聚层、交换层和网络节点的重要环节。在布线时,最好使用专门的通道,而且不要与电源线,空调线等具有辐射的线路混合布线。网络设备的放置,最好放在节点的中央位置,这样做,不是为了节约综合布线的成本,而是为了提高网络的整体性能,提高网络传输质量。由于双绞线的传输距离是100米,在95米才能获得最佳的网络传输质量。在做网络布线时,最好能够设计一个设备间,放置网络设备。接入层与汇聚层之间的双绞线,可以选择超五类屏蔽双绞线,以使网络性能得到最大的提升。汇聚层与交换层之间的双绞线,由于是网络数据传输量最大的一个层次,同样采用超五类屏蔽双绞线。交换层与网络节点之间,我们就可以采用普通的超五类非屏蔽双绞线。2.5、IP地址的分配为了满足服务质量上的区分。对每个区域进行不同的IP分配。C类网IP段是192.0.0.0到223.255.255.255。我们选择192.168.0.0作为其实网段。其中每个能容纳253台计算机。完全满足网吧对不同计算机上网方式的划分。路由内网IP:192.168.1.254服务器IP:192.168.1.1-192.168.1.253客户机:视频区:IP地址192.168.2.1-192.168.2.252广播地址192.168.1.254游戏区:IP地址192.168.3.1-192.168.3.252广播地址192.168.2.254上网区:IP地址192.168.4.1-192.168.4.252广播地址192.168.3.254商务VIP区:IP地址192.168.5.1-192.168.5.252广播地址192.168.4.254收费机视频:192.168.1.253游戏:192.168.2.253上网:192.168.3.253商务VIP:192.168.4.253所有机器子网掩码为:255.255.0.0内子网掩码:192.168.0.0/16附:命令清单:1.设置主路由做NAT转换。内网可以PING通外网,外网不可以PING通内网MainR#enMainR#conftEnterconfigurationcommands,oneperline.EndwithCNTL/Z.MainR(config)#ipnatpoolclien61.138.5.961.138.5.9netmask255.255.255.252MainR(config)#access-list1permit192.168.1.00.0.0.255MainR(config)#access-list1permit192.168.2.00.0.0.255MainR(config)#access-list1permit192.168.3.00.0.0.255MainR(config)#access-list1permit192.168.4.00.0.0.255MainR(config)#access-list1permit192.168.5.00.0.0.255MainR(config)#ipnatinsidesourcelist1poolclienoverloadMainR(config)#intfa0/0MainR(config-if)#ipnatinsideMainR(config)#intfa0/1MainR(config-if)#ipnatoutside2.设置宣告,让外网可以对其内网特定服务器访问。MainR(config)#ipnatinsidesourcestatic61.138.5.100192.168.4.7MainR(config)#ipnatinsidesourcestatic61.138.5.101192.168.4.83.设置三层交换机开启路由功能MainSW#conftEnterconfigurationcommands,oneperline.EndwithCNTL/Z.MainSW(config)#no?access-listAddanaccesslistentrybannerDefinealoginbannerbootModifysystembootparameterscdpGlobalCDPconfigurationsubcommandsclockConfiguretime-of-
本文标题:网吧网络安全作业
链接地址:https://www.777doc.com/doc-1268081 .html