计算机网络安全工程实践

《计算机网络工程实践》课程设计说明书
班级:网络工程06101、06102班
一、课程的性质、目的和任务 (黑体小三)
《网络工程实践》课程是计算机网络工程专业的一门专业实践课，其主要内容是规划和设计一个中小型网络，课程设计所涉及的工作过程主要包括网络工程招标文件的写作、网络工程标书的写作、网络方案的设计、网络方案的推广、网络方案的实现。

通过本课程设计，使学生全面了解和掌握网络工程规划和设计的方法，了解计算机网络工程规划与设计的一般过程，具体包括在自顶向下的网络设计方法中需求分析、逻辑设计、物理设计、优化测试及文档编写，从而可以完成一些类似于校园网或者中小型企业的网络的规划和设计，形成一个详细的设计方案。

要求根据对中小型网络分析，设计与构建的基本技术，基本原理，并且最后形成一个详细的网络规划与设计的文档。

从而提高学生网络工程的应用能力，使学生可以提高学生分析问题和解决问题的能力和团队协作的能力。

二、参考设计题目：
1.中小企业双出口网络的设计与实现
【案例背景】
某中型企业现有的网络具有近3000 各节点，随着企业经营规模的不断扩大，网络应用的增多，原有的网络已经越来越不适应新形式的发展。

为加强企业信息建设水平，企业希望改造企业内部原来的企业网络，新改造的网络遵循“安全性、可管理性、稳定性”。

首先需要保障企业网络的网络出口稳定可靠性，其次病毒侵入与非法攻击是目前企业网络最大的安全隐患，新网络要具有防止网络蠕虫病毒扩散、DDoS 攻击和恶意的IP 扫描现象出现。

此外在内部网络带宽资源利用率
上，网络的可管理性上都应比目前有很大的改进。

某中型企业要求新的企业内部网络建设，需严格遵循“安全性；可管理性；稳定性”的原则，
具体如下：
1 、为了保证网络出口稳定可靠性：企业向ISP 申请了两条Internet 线路，需要这两条线路做负载均衡和冗余备份。

2 、为了保证网络安全可靠性：企业要求核心设备支持防DDoS 攻击、防恶意的IP 扫描。

病毒侵入与非法攻击是企业网络很大的安全隐患。

不发作则已，一发作就是大问题，因此，企业要求内部网络能实现在核心层、接入层防止网络蠕虫病毒扩散。

要求核心和接入网络设备能支持VLAN 的划分，降低网络内广播数据包的传播，提高带宽资源利用率，防止广播风暴的产生。

3 、管理性：网络设备需能够支持灵活多样的管理方式，可以减轻管理、维护的难度。

【拓扑结构】
如图1-1 所示网络拓扑是某中型企业内部网络网络拓扑，为了保证网络出口稳定可靠性：企业向ISP 申请了两条Internet 线路，需要这两条线路做负载均衡和冗余备份，具体的地址和设备规划详见其上。

【实验设备】
模块化路由器设备（2 台）、三层交换机设备（1 台）、二层接入交换机设备（2 台）、测试计
算机（6 台）
【技术需求分析】
企业要求新的企业内部网络建设，需严格遵循“安全性；可管理性；稳定性”的原则：
需求1 ：为了保证网络出口稳定可靠性：企业向ISP 申请了两条internet 线路，需要这两条线路做负载均衡和冗余备份。

分析1 ：出口两台设备连接两条线路，可采用VRRP 技术实现负载均衡，使得客户端连接外网透明化。

需求2 ：为了保证网络安全可靠性：企业要求核心设备支持防DDoS 攻击、防恶意的IP 扫描。

因此，企业要求内部网络能实现在核心层、接入层防止网络蠕虫病毒扩散。

要求核心和接入网络设备能支持VLAN 的划分，降低网络内广播数据包的传播，提高带宽资源利用率，防止广播风暴的产生。

分析2: 以上需求是对产品本身功能的需求，核心可采用RG-S6800E 系列交换机，接入可采用安全接入交换机RG-S2100 系列
需求3 ：网络具有可管理性，网络设备需能够支持灵活多样的管理方式，可以减轻管理、维护的难度。

分析3: 所有网络设备均配置远程管理功能，使得用户可以在本地登陆各个设备。

【地址规划】
设备 IP 地址备注
R2624-A 192.168.0.254/24 R2624-A E0
R2624-B 192.168.0.253/24 R2624-B E0
虚拟备份组10 192.168.0.1/24 虚拟备份组10
虚拟备份组20 192.168.0.2/24 虚拟备份组20
【设计步骤】
本设计配置包括以下几个部分：
网络设备基本配置及基本测试；
vrrp 功能配置及验证；
vrrp 功能测试。

2、大型（单核心）网络的设计与实现
【案例背景】为了加快某集团的信息化建设，新的集团企业网将建设一个以集团办公自动化、电子商务、业务综合管理、多媒体视频会议、远程通讯、信息发布及查询为核心，实现内、外沟通的现代化计算机网络系统。

该网络系统是日后支持办公自动化、供应链管理以及各应用系统运行的基础设施，为了确保这些关键应用系统的正常运行、安全和发展，系统必须具备如下的特性：
1 、采用先进的网络通信技术完成集团企业网的建设，实现各分公司的信息化；
2 、在整个企业集团内实现所有部门的办公自动化，提高工作效率和管理服务水平；
3 、在整个企业集团内实现资源共享、产品信息共享、实时新闻发布；
4 、在整个企业集团内实现财务电算化；
5 、在整个企业集团内实现集中式的供应链管理系统和客户服务关系管理系统
【案例拓扑结构】
如图2-1 所示网络拓扑是某集团企业内部大型网络拓扑，具体的设备规划详见其上。

需要各个部门通信的使用VLAN 间路由解决。

需求3:在整个企业集团内实现资源共享、产品信息共享、实时新闻发布；
需求4:在整个企业集团内实现财务电算化；
需求5:在整个企业集团内实现集中式的供应链管理系统和客户服务关系管理系统.
分析：由于要实现企业集团公司与各分公司的信息化，考虑到分公司较多，所分配的网段较多，建
议采用动态路由协议，降低网管的维护成本。

【实验地址规划】
如图2-2 所示网络拓扑是某集团企业内部大型网络拓扑，根据其网络应用和功能在实验室中
进行了网络环境的搭建，具体应用的设备和地址信息的规划详见其上。

【实验设备】
出口设备：R2624 路由器 1 台；
核心设备：S68 系列（或S65/S35 系列设备）1 台，配置千兆光纤接口 2 块；
汇聚设备：S3550-24 2 台，每台配置1 块千兆光纤接口；
接入设备：S2126G 二层交换机4 台：
终端用户的默认网关指向各自对应的vlan 接口的ip 地址，设备管理地址为192.168.0.0/24 网段，
其中S68 为192.168.0.254/24.
【实验步骤】
实验配置分为：（以下配置默认在全局配置模式下进行）
第一步：网络设备的基本配置；
第二步：ospf 配置及其测试；
第三步：网络连通性测试；
第四步：NAT 功能测试四部分
3、双核心网络
项目三双核心网络
【案例背景】
某高校随着学校教学和学生网上应用的增长，校园网以光纤连接了全校近70 栋楼宇，覆盖了90%的教学办公场所和75%的学生宿舍。

共布有2 万多个网络端口，其中约1.2 万多个布线端口连通了网络设备，共接入计算机6 千多台，有固
定注册用户约6000 人。

原有网络设备已经无法满足新环境下的网络应用，因此该校决定重新规划建设校园网。

【案例拓扑结构】
如图3-1 所示网络拓扑是某高校双核心网络拓扑，具体的设备规划详见其上。

【需求分析】
需求1 ：要能够达到轻载要求：低负载，高带宽，最简单，最有效；
分析1 ：网络核心冗余，核心到汇聚双链路备份。

需求2 ：要具有先进的技术性：支持线速转发，具备高密度的万兆端口，核心设备支持T 级
以上的背板设计，硬件实现ACL 、QoS 、组播等功能；
分析2 ：核心交换机可选择RG-S6800E 系列，以上功能可实现。

需求3 、要稳定、可靠：确保物理层、链路层、网络层、病毒环境下的稳定、可靠；
分析3 ：要求各层设备能够有防病毒的功能，项目中所选设备均可通过配置防止病毒泛滥。

需求4 ：要有健壮的安全：不以牺牲网络性能为代价，实现病毒和攻击的防护、用户接入控制、路由协议安全；
分析4 ：核心交换机具有的SPOH 功能，保证在实现防护病毒和攻击的情况下，核心交换机性能不受影响，接入采用安全智能接入层交换机RG-S2100 系列
需求5 ：要易于管理：具备网络拓朴发现、网络设备集中统一管理、性能监视和预警、分类查
看管理事件的能力；
分析5 ：所有项目中设备均支持SNMP ，并通过锐捷star-view 网管软件进行整网管理。

【地址规划】
接口 IP 地址
VLAN1014 192.168.128.45/29
VLAN1016 192.168.128.67/29
6806E-A
F0/5 192.168.128.1/29
VLAN1024 192.168.129.45/29
VLAN1026 192.168.129.67/29
F0/5 192.168.128.2/29
6806E-B
VLAN30 192.168.86.17/28
【实验设备】
出口设备：RG-WALL 100 （或1000 ）1 台；
核心设备：S68 系列（或S65/S35 系列设备）2 台，配置千兆光纤接口4 块；
汇聚设备：S3550-24 2 台，每台配置2 块千兆光纤接口接入设备：S2126G 二层交换机4 台；
实验PC ：8 台；
【实验步骤】
实验配置分为：
第一步：网络设备的基本配置；
第二步：OSPF 配置及其测试；
三、设计地点及时间安排：
地点:计算机网络分室
时间:2009年下学期第19周
四、学生分组安排
根据需要学生以组为单位进行课程设计（一般每组不得超过3人）。

五、设计要求：
1、需求分析 (黑体小四)
首先要选择一家中小规模的网络。

然后请学生通过实地调查、现场访谈、书面调查等形式了解该网络的组织结构、网络建设的背景，明确网络需求和网络性能的评价标准。

具体地，包括网络建设的目的与原则、投资规模、现有网络的问题与不足等；网络系统中所包含的信息点的数量、分布及信息流量、应用程序的类型及对QoS的要求、是否需要提供广域网接入和网络安全上的考虑因素等。

2、方案设计
根据需求分析，以层次化的网络设计方法，选择合适的网络技术，设计一个性能价格比相对优化的网络解决方案，该网络要提供尽可能高的先进性、可靠性、有效性、可扩展性和可管理性
3、方案文档的撰写
以通用的网络方案编制规范撰写一个相应的书面文档，在该文档中要包括需求分析(网络建设的目标与原则)、主干技术的选择、工程总体设计(拓朴结构、功能设计、硬件与软件选择、结构化布线等)、网络管理与安全、投资预算和设备清单。

六、设计（或上机）内容和基本要求
1、认识传输介质(光纤、双绞线、同轴电缆或无线介质)、综合布线设备(指信息插座、端口设备、跳接设备、适配器、信号传输设备、电气保护设备和支持工具等)和其他有关的布线辅助材料或设备(如桥架、金属槽、管或塑料槽、管等。

2、了解令牌网和FDDI的国际标准，掌握以太网家族中的快速以太网、千兆位以太网乃至最新的万兆位以太网；
3、掌握常用的网络设备如交换机，路由器等
4、掌握以太网接入、调制解调器接入，了解线缆调制解调器接入、数字用环路XDSL技术接入(如高速HDSL、非对称ADSL、超高速VDSL等)和综合业务数字网络ISDN接入等。

5、选择一家中小规模的网络，通过实地调查等形式了解企业的组织结构、网络建设的背景，明确网络需求和网络性能的评价标准
6、根据需求分析，以层次化的网络设计方法，选择合适的网络技术，设计一个性能价格比相对优化的网络解决方案
7、以通用的网络方案编制规范撰写一个相应的书面文档，在该文档中要包括需求分析(网络建设的目标与原则)、主干技术的选择、工程总体设计(拓朴结构、功能设计、硬件与软件选择、结构化布线等)、网络管理与安全、投资预算和设备清单。

七、课程设计说明书的编写规范
1．写出不少于4000字的课程设计说明书。

2．课程设计说明书应包括首页、摘要、关键字、前言、正文、结束语、参考文献等几个部分。

其中参考文献按参考文献表上的著作按论文中引用顺序排列，期刊论文按如下格式著录：
[序号]、作者、文章题目、期刊名（外文可缩写）、年份、卷号、期数、页码。

著作按如下格式著录：
[序号]、著作者、书名、出版地、出版社、出版日期顺次列出。

如：1 江北. 场论. 北京：科学技术出版社， 2000年2月
3．课程设计首页格式按统一标准制定格式（已给各班班长）,论文题目应能概括整个论文最重要的内容，简明、恰当，一般不超过25个字。

4．文章摘要或设计总说明书及其关键词
摘要又称内容提要，它应以浓缩的形式概括研究课题的内容、方法和观点，以及取得的成果和结论，应能反映整个内容的精华，突出论文的创造性成果和新见解。

摘要以300－500字为宜；撰写摘要时应注意以下几点：
(1)用精炼、概括的语言来表达，每项内容不宜展开论证或说明；
(2)要客观陈述，不宜加主观评价；
4．正文部分一般有如下几个方面的内容：
1. 需求分析
2. 方案设计
3. 方案的实施
4. 附录或参考资料
八、考核办法：
结合学生的动手能力，独立分析解决问题的能力和创新精神，总结报告以及学习态度综合考评。

成绩分优、良、中、及格和不及格五等。

课程设计单独计算学业成绩（设计成绩不及格要求重修），设计完成后学生按规定提交课程设计报告书（第3周星期五以前交），课程设计要求学生独立完成，若发现课程设计内容雷同者均判为不及格。