广州AEC集团培训学校计算机网络工程设计

广州AEC集团培训学校计算机网络工程设计王小平（贵州民族学院数学与计算机科学贵州贵阳550025）摘要：介绍了培训学校网络的接入技术、设计原则以及所应该提供的基本功能，结合千兆以太网，论述了培训学校的宽带网络的综合布线、网络互联，以及其安全策略等的具体问题。关键词：安全策略；接入技术；以太网TheNetworkConstructionofTechniqueTrainingSchoolinAECGroupXiaoping,WangMathematicsandComputeScienceDepartment,GuizhouUniversityforEthnicMinoritiesAbstract:Thispaperintroducestheinterfacetechnology,principleofthebroadbandnetworkdesignandthebasicfunctioninTechniqueTrainingInstituteofAECGroup.IncombinationwiththekilomegaEthernetnetwork,genericcablingsystem,networkinterfaceandsecuritypoliciesaswellaspracticalproblemarediscussed.Keywords:Securitypolicy;Interfacetechnology;Ethernet1．问题的引出现代化的信息技术迅猛发展为计算机信息应用系统开发提供了契机。INTERNET/INTRANET网络技术的不断发展，基于客户机/服务器（C/S），浏览器/服务器（B/S）网络计算机模式的应用，以及快速以太网和千兆以太网技术的成熟，对网络信息基础设施建设和MIS办公系统的开发应用提供了良好的条件和技术保障。本次建设的主要任务是为AEC培训学校建立长期稳定高效运行的信息系统。2．解决的方法以下为总体设计拓扑图TrustFirewallVPN交换机微波接入AEC集团各分公司Untrust防火墙微波接入ServerServerPcPc交换机局域网(培训学校)192.168.170.X局域网(集团内部）192.168.169.X2.1设计规范1.国家标准、信息产业部颁布标准和电信相关技术规范2.相关国际标准3.广域网协议：呼叫建立协议：中国1号、7号信令，ISDNPRI等广域数据网协议：X.25,FrameRelay，PPP等远程访问协议：同步/异步PPP，SLIP协议，MP协议，PPTP协议4.局域网协议：TCP/IP,NovellIPX,IEEE802.3等5.路由协议：OSPF,RIP,RIP2等6.安全协议：Radius验证，Radius计费，PAP/CHAP验证2.2设计原则经济性：智能化网络系统的建设,影响着发展商的投资成本及回报，因此方案设计和器材选用应首先考虑其经济性、合理性、实用性及投资效果，选用适宜的方案及质优、价宜、合适的设备器材。先进性：信息技术是现代科学技术发展中最活跃的领域，新产品、新技术层出不穷。每一个新技术的出现都对我们的工作方式产生极大的影响，对我们的工作效率的提高起到极大的推动作用。在投资费用许可的情况下应充分利用现代最新的技术、最可靠的成果，以使该系统在尽可能长的时间内与社会发展相适应。从长期的观点来看，这也是最节省的投资方法。可靠性：智能化项目的建设，这几乎影响着员工的日常工作，关系到发展商的声誉，因此系统设计必须安全、可靠，必须考虑采用成熟的技术和产品，在设备选用型号、系统的设计及以后的运行中尽量减少故障的发生。可维护性：可维护性是当今应用系统成功与否的很重要的因素，这里的可维护性包括二层含义：易于故障的排除，日常管理操作简便。安全性：随着科学技术的高速发展和社会的进步，各种违法犯罪分子的作案也不断创新。若不采取有效措施，系统本身安全将会受到威胁或损坏。因此，对系统安全的考虑应当足够重视，必须采取多种手段防止各种形式与途径的非法破坏。整体性：系统的整体性涉及到方方面面，智能化系统工程必须对这些因素统筹考虑，以构成一个统一的、有机的周全系统。实用性：设计本系统，应首先考虑能满足本住宅区功能要求和实际应用的需要。开发性：为保证各部门的协同运行，同时考虑到投资者的长远利益，本系统必须是开放系统，并结合相关的国际、国内的标准和工业标准执行。可扩充性：考虑今后发展的需要，必须具有在系统产品系列、容量与处理能力等方面的扩充和换代的可能。这种扩充不仅充分保护了原有投资，而且具有较高的综合性能价格比。规范性：智能化项目是以各先进复杂的综合性工程，各有其特点，计算机网络系统尤其如此。所以在系统设计和建设初期就应该注意运用各方面的标准和规范，并且遵守该规范的各项技术规定，做好系统的标准化设计和管理工作。在具体的网络和互联网接入方面，必须满足高容错性、可管理并提供对多媒体技术的支持。2.3设计功能稳定的互联网微波接入静态内部ip地址标准RJ45接口，降低成本大容量快速电子邮件支持高性能的内部宽带网上应用支持安全的防火墙隔离系统完善的权限和流量控制系统2.4设计说明内部网络结构采用D－link网络交换机网络安全策略LAN的安全控制策略A.VLAN的应用网络在物理商互相连通网络实现数据链路层上完全隔离数据访问的隔离B.MAC地址过滤提供链路层的安全控制可禁止或允许特定的MAC地址的源站点或目的站点internet接入安全控制策略A、数据包过滤根据数据包的源地址、目的地址、tcp端口号进行过滤，只有满足逻辑条件的数据包才允许通过。B、应用网关在应用层上对特别的应用服务协议指定数据过滤逻辑，可对分析结果做统计报告。C、状态监控技术（Statefulnsection)在网络层完成所有的必要防火墙功能－－包过滤和网络服务代理通过访问和分析网络层的数据包，自动存储、更新状态和上下文信息为跟踪无连接的协议（rpc和udp）提供了虚拟的会话信息。当新的连接的第一个数据包到达的时候，它检验安全规则来决定该连接是否被接受或拒绝。如果拒绝则丢弃该数据包；如果接受则把该连接添加到内部连接表中。PtoP安全策略A、交换机和路由器端口的安全考虑为了保证学校网络资源不受非法侵入，我们应该充分考虑网络的安全性。通过流量隔离来保证网络的安全性，流量隔离可以在网络的不同层上进行。交换机（switch）和网桥（bridge）是在链路层上进行网段连接的设备。它们可以识别媒体存取控制地址（即MAC地址），通过MAC地址的过滤，即对于端口允许一些MAC地址的包通过，而禁止另外的MAC地址的包通过，这样实现流量的隔离。路由器还可识别网络地址，因此可以通过网络地址来进行流量过滤，它不但可以像MAC地址过滤那样过滤单个站点，它还可以过滤一个整个网络的流量。路由器还可识别应用层协议，如TCP/IP协议集的文件传输协议FTP、远程登陆协议，TELNET、等，SPX/IPX的服务广播协议SAP，因此路由器可以过滤应用层协议，从而限制一些站点的应用，如禁止一些站点进行文件拷贝，但同时允许他们可以进行电子邮件业务。这样从高层次上保证了网络的安全性。B、全面的网络安全政策全面支持IOS,其四个方面的安全体系保证了网络的安全集成IPFireWall服务：标准和扩充的访问控制列表（ACL,AccessControlLsit）对ACL侵犯的记录网络地址翻译(NAT,NetworkAddressTranslation）访问管理：TACACS、TACACS+AAA(Authentication、Authorization、Accounting)TokenCardAccess、Kerberos、RADIUSSimpleNetworkManagementProtocolAccessDNSIX/IPSO主机安全：Authentication（验证）服务IPControl（控制）加密C、Internet访问安全控制－－防火墙技术由于学校网络关系着整个学校日常工作的开展及公司形象的形象，对保证学校内部的网络系统不受外部的侵犯，应当采取一定的措施保护内部网络。最简单的做法是在国家互联网与企业内部网之间建立一个屏障，使计算机内部网免遭外部的非法侵犯。建立这一分割有很多方式，包括采用路由器、代理服务器、专用防火墙等多种方式。ALCATEL产品集成IPFireWall服务功能。2.5系统特定分析（1）高性能，大宽带采用100M高速以太网交换技术采用多协议路由技术，为目前网间互联领域的先进技术，也是现今信息高速公路的基本组网技术。方案设计10/100M交换用户，用户交换机100M连接主交换机（2）高实用性网络设备支持Ethernet、FastEthernet、TokenRing、FDDI、ATM等各种局域网接口支持DDN－Alcatel支持同步串口的点对点DDN服务；支持ChannelizedE1，X.25多种网络协议支持－如IP、IPX、AppleTalk、DECnet、VINES、SNA等、对多种路由协议支持－如RIP、OSPF、BGP、IS-IS等，并能与其他厂商设备互联。从交换机到路由器端都支持多媒体应用，可更有效的在大楼网上实现视频点播，视频会议和远程教学等多媒体应用。（3）高可靠性所采用的网络设备厂家标称平均无故障时间可达五年，重要节点的连接设备采用模块化设计，可带电插拔，增强系统的容错能力，减少了故障恢复时间。方案做到网络设备，第一层网络链路，二层基于SPAN生成树（PVST/SPT）的端到端备份，整个网络采用单一厂家产品实现端对端连接，包括IOS、交换、路由，登陆访问和防火墙。（4）高扩展性支持网络带宽的线性增长，可从单一的100M扩展到1G的网络带宽，以满足不断增长的带宽需求。模块化的网络设备模块可随着学校需要增添，以满足对高密度端口的需求。（5）端对端的网络安全采用NAT，防火墙等技术，实现地址转换，并将内网和外网隔离：利用交换机的端口过滤技术避免盗用网络资源。（6）易操作和易管理方案中所采用的各种设备本身都具有很强的管理功能，如设备的工作状态、负监视和故障诊断。所以设备的操作系统界面均十分相似，便于用户使用。方案中还提供了强大的网络管理系统，友好的图形界面，丰富的管理工具令管理者通过浏览器能轻松地控制整个网络系统。3.个人体会个人第一次具体做了网络工程的设计，其间得到了广东创恒系统集成有限公司有关人员的大力支持，在此表示真挚的谢意。在AEC培训学校网络工程设计完成后，本人有如下一些体会：网络软硬件体系是网络发展的基础，也是局域网建设的重点。在设计网络结构的时候，要考虑其成本、扩充性、安装维护是否方便等。以太网的组成较为简单，便于非专业人员的日常维护；业界也普遍认为以太网是最适合办公系统的网络技术。其中，100Mb/s的快速以太网是理想的选择。随着交换、路由技术的发展，以太网的性能将更具吸引力。选择适合的局域网形式至关重要，一般要考虑这些问题：1．用户对网络主干带宽和桌面带宽的需要，是低速的、小流量简单数据处理，还是要求多媒体、大流量的信息处理，这牵涉到选择合适的网络交换中枢设备：是采用共享式的集线器HUB，还是选择快速的以太网Switch交换机，还是选择高速的ATM交换机，或综合采用各种设备。2．正确选择合适的网络操作系统，该网络操作系统必须能够伴随着您的企事业一起成长，它必须能够满足各种功能、容量、安全可靠性及扩展性的更高要求。3．当牵涉数据库操作时，必须考虑您的数据库能够适应各种情况和规模。4．选择可靠、性能价格比十分优越的服务器平台。5．工作站的桌面操作系统和应用软件必须友好、全面。6．开放式、易扩展的网络布线。总而言之，从一开始设想或准备改造其局域网时，就必须借助专业网络通信公司的意见综合考虑未来的发展需要。4．结束语报告完成的前提是学校和工作单位给我提供了舒适的学习、工作环境，老师及领导们并给予我悉心的关怀与指导，在此我表示衷心的感谢。老师们认真负责的工作态度、严谨的治学风格，让我深受启发；同时也得感谢公司的领导、同