网络工程实习报告
网络工程实习报告 Company number:【WTUT-WT88Y-W8BBGB-BWYTT-19998】
一、项目背景
在当今社会,随着计算机网络技术的飞速发展,信息传输网络已经成为人们生产生活中不可或缺的重要组成部分。随着办公单位信息以及各单元自动化需要提高办公效率,从而进一步满足现代办公的快速,精确要求,需要建立企业办公与管理一体化的局域网。参与局域网内的组成有很多方面,首先需要一个适当的设计和规划,然后需要处理的布线,网络设备的选择和配置,服务器设备的选择和配置,网络软件的安装等,需要一步一步的执行,并且,还需要日常的维护。这一切促使了网络技术进一步发展。1.1用户当前状况
某企业总部共由5栋楼组成,分为管理办公楼1栋(3层),生产车间3栋(单层),库房1栋(2层)。其中,管理办公楼1,2层有8间办公室,每间布设8个信息点,三楼有3间厂长办公室,每间布设2个信息点,1间会议室布设4个信息点,1间网络机房布设20个信息点,安装www服务器一台用来对外发布产品信息,一台电子邮件服务器,企业管理服务器2台(1台备份),vpn设备1台,防火墙1台,广域网接入路由器1台,内部核心交换机1台。生产车间每栋都要部署20个信息点,安装企业管理服务器1台,并配备无线局域网。而库房每层布设4个信息点,安装企业管理服务器1台。
项目建设的必要性
总部与外地办事处均用VPN设备连接,组成了一个虚拟的局域网,总部通过接入的路由器接入Internet。必须要安装企业管理软件系统,便于统筹与管理众多的主机,为避免产生网络安全问题,而产生较高的网络安全需求。为便于管理企业内部众多上网的主机,而必须配备有统一的管理软件,以便于进行统一管理。
二、需求分析
网络建设的目的与原则
便于对局域网内各个主机进行统一的管理,从而加强企业内部的统一性,对员工的日常工作也能进行很好的协调,必要的管理软件,也能对内部主机上网进行管理,而企业网络安全也能得到一定程度的保障。
投资规模
规模:一定时期一个国家或一个部门,一个地区,有关单位在活动中投入的以形态表现的物化劳动和活劳动的总量。这其中,又分年度投资规模和在建投资规模。年度投资规模是指一年内一个国家或一个部门、一个地区、一个单位投入到方面的资金总量,是一个国家或地区在一年内实际完成的,反映了一年内投入在固定资产再生产上的人力、物力、财力的数量。年度投资规模应与当年的国力相适应。在建投资规模是指一个国家或一个部门、一个地
区、一个单位当年施工的建设项目全部建成交付使用所需的额,包括以前年度已完成的以及本年度和以后年度继续建设所需要的投资,反映了一定年份全国实际铺开的建设战线的长短。在建规模应与一定时期的国力相适应。企业架设每个信息点都需要的成本,VPN设备,电子邮件服务器,广域网接入路由器等设备成本,架设期间雇佣工人,完成内部网络所开发的软件成本,都在考虑范围之内。
信息点状况及应用程序
信息点管理办公楼中,一层二层每层都要布设160个信息点,三层布设30个;3个生产车间每个布设20个;库房2层,每层布设4个。信息流量当属管理办公楼最快,因配备有多种配套设备。应用程序要适应企业整体的管理要求,在关键应用与多媒体应用方面也能配套,不致使企业内部系统出现拥堵的情况。在QoS方面,尽量采用链路效率机制,用于改善链路的性能,间接提高企业的QoS。着重抓QoS,减少丢包率,延迟,传输顺序出错以及传输路径出错,在带宽一定的基础下,对各应用及业务的特点,对网络资源进行合理的规划与分配,最终实现网络资源的高效利用。
其他方面
对于广域网接入问题,为避免员工在工作期间上网休闲,要对企业内部的局域网进行有效而且统一的管理,可安装
管理监视软件,若发现与工作无关的网络内容,即向管理办公楼3层主机报告,从而有效的进行管理。广域网一旦接入,便存在企业内部资料被窃取的可能性,因此,要安装防火墙,设置加密软件对企业内部资料进行加密,预防黑客的侵袭。通过上述环节即提高了员工的工作效率,又能很好的协调员工之间的工作,不使员工产生讨厌工作的心理,而且很好的进行了统筹管理,可谓一举多得。三.技术调研
主流网络传输技术
传输技术 Transmission technology 指充分利用不同信道的传输能力构成一个完整的传输系统,使信息得以可靠传输的技术。传输系统是通信系统的重要组成部分,传输技术主要依赖于具体信道的传输特性。信道分为有线信道和无线信道。有线信道又可进一步细分为架空明线(传输能力一般不超过12个话路),对称电缆(用于载波通信的高频电缆一对芯线的传输能力可达120个话路),同轴电缆(其传输能力可达1800~3600个话路),光缆(单模光纤的传输能力已可达若干万个话路)等;无线信道又可进一步分为地波传播(如级长波,超长波,长波,短波等),天波传播(即经电离层反射传播,如短波),视距传播(如超短波,微波)等。由于不同信道有各自适用的频率范围,信源的信号必须通过“调制”到给定的频率范围才能进行传输,
故调制技术是传输技术的关键之一。由于企业房间都是固定的,使用光纤传输具有稳定性,流畅性。
网络互连技术
包括路由,交换,远程访问3个方面,即通过路由等设备将网络连通,成为一个整体,具体包括了网络技术基础、IP 编址、路由器基本配置、路由器安全管理、IP路由原理、RIP动态路由协议原理与配置、OSPF动态路由协议原理与配置、交换机原理与基本配置、生成树协议原理与配置、远程访问技术基础、HDLC及PPP原理与配置。而企业内部,更是需要这种技术,以便于企业进行统一的管理。
网络接入技术
接入技术要解决的问题是如何将用户连接到各种网络上。作为网络中与用户相连的最后一段线路上所采用的技术,接入技术已成为目前网络技术的一大热点,为了提供端到端的宽带连接,宽带接入是必须要解决的一个问题。其中具体包括了光纤接入(光纤是目前传输速率最高的传输介质,在主干网中已大量的采用了光纤。如果将光纤应用到用户环路中,就能满足用户将来各种宽带业务的要求。可以说,光纤接入是宽带接入网的最终形式,但目前要完全抛弃现有的用户网络而全部重新铺设光纤,对于大多数国家和地区来说还是不经济、不现实的。)、同轴接入(同轴电缆也是传输带宽比较大的一种传输介质,目前
的CATV网就是一种混合光纤铜轴网络,主干部分采用光纤,用同轴电缆经分支器介入各家各户。混合光纤/铜轴(HFC)接入技术的一大优点是可以利用现有的CATV 网,从而降低网络接入成本。)、铜线接入(铜线接入是指以现有的电话线为传输介质,利用各种先进的调制技术和编码技术、数字信号处理技术来提高铜线的传输速率和传输距离。但是铜线的传输带宽毕竟有限,铜线接入方式的传输速率和传输距离一直是一对难以调和的矛盾,从长远的观点来看,铜线接入方式很难适应将来宽带业务发展的需要。)、无线接入(无线用户环路是指利用无线技术为固定用户或移动用户提供电信业务,因此无线接入可分为固定无线接入和移动无线接入,采用的无线技术有微波、卫星等。无线接入的优点有:初期投入小,能迅速提供业务,不需要铺设线路,因而可以省去浦县的大量费用和时间;比较灵活,可以随时按照需要进行变更、扩容,抗灾难性比较强)。
网络安全技术
网络安全技术指致力于解决诸如如何有效进行介入控制,以及如何保证数据传输的安全性的技术手段,主要包括物理安全分析技术,网络结构安全分析技术,系统安全分析技术,管理安全分析技术,及其它的安全服务和安全机制策略。具体分为虚拟网技术(虚拟网技术主要基于交
换技术(ATM和以太网交换)。交换技术将传统的基于广播的发展为面向连接的技术。因此,网管系统有能力限制的范围而无需通过开销很大的。)、防火墙技术(网络技术是一种用来加强网络之间访问控制,防止外部网络用户以非法手段通过外部网络进入内部网络,访问内部,保护内部网络操作环境的特殊网络互联设备.它对两个或多个网络之间传输的如链接方式按照一定的安全策略来实施检查,以决定网络之间的通信是否被允许,并监视网络运行状态.)、病毒防护技术((1) 阻止病毒的传播。在防火墙、代理服务器、SMTP服务器、、群件服务器上安装病毒。在PC安装病毒监控软件。(2) 检查和清除病毒。使用防病毒软件检查和清除病毒。(3) 病毒数据库的升级。病毒数据库应不断更新,并下发到桌面系统。(4) 在防火墙、代理服务器及PC上安装Java及ActiveX控制扫描软件,禁止未经许可的控件下载和安装。)、入侵检测技术(是新型网络安全技术,目的是提供实时的入侵检测及采取相应的防护手段,如记录证据用于跟踪和恢复、断开网络连接等。实时入侵检测能力之所以重要首先它能够对付来自内部网络的攻击,其次它能够缩短hacker入侵的时间。)、安全扫描技术(安全扫描工具源于Hacker在入侵网络系统时采用的工具。商品化的安全扫描工具为网络安全漏洞的发现提供了强大的支持。安全扫描工具通常也分为基于服务器和基于网络的扫
描器。基于服务器的扫描器主要扫描服务器相关的安全漏洞,如password文件,和文件权限,共享文件系统,敏感服务,软件,等,并给出相应的解决办法建议。通常与相应的紧密相关。基于网络的安全扫描主要扫描设定网络内的服务器、路由器、网桥、变换机、访问服务器、防火墙等设备的安全漏洞,并可设定模拟攻击,以测试系统的防御能力。)、认证和数字签名技术(认证技术主要解决网络通讯过程中通讯双方的身份认可,数字签名作为中的一种具体技术,同时数字签名还可用于通信过程中的不可抵赖要求的实现。)、VPN技术(企业总部和各分支机构之间采用internet网络进行连接,由于internet是公用网络,因此,必须保证其安全性。我们将利用公共网络实现的私用网络称为虚拟私用网(VPN)。)、应用系统的安全技术(由于应用系统的复杂性,有关应用平台的安全问题是整个安全体系中最复杂的部分。下面的几个部分列出了在Internet/Intranet中主要的应用平台服务的安全问题及相关技术。
1、域名服务Internet域名服务为Internet/Intranet应用提供了极大的灵活性。几乎所有的网络应用均利用域名服务。但是,域名服务通常为hacker提供了入侵网络的有用信息,如服务器的IP、操作系统信息、推导出可能的网络结构等。同时,新发现的针对BIND-NDS实现的安全漏洞
也开始发现,而绝大多数的均存在类似的问题。如由于DNS查询使用无连接的UDP协议,利用可预测的查询ID
可欺骗域名服务器给出错误的主机名-IP对应关系。因此,在利用域名服务时,应该注意到以上的安全问题。主要的
措施有:(1) 内部网和外部网使用不同的域名服务器,隐藏内部网络信息。(2) 域名服务器及域名查找应用安装相应的安全补丁。(3) 对付Denial-of-Service攻击,应设计备份域名服务器。
2、Web Server应用安全Web Server是企业对外宣
传、开展业务的重要基地。由于其重要性,成为Hacker攻击的首选目标之一。Web Server经常成为Internet用户访
问公司内部资源的通道之一,如Web server通过中间件访问,通过数据库连接部件访问数据库,利用CGI访问本地
文件系统或网络系统中其它资源。但Web服务器越来越复杂,其被发现的安全漏洞越来越多。为了防止Web服务器成为攻击的牺牲品或成为进入内部网络的跳板,我们需要
给予更多的关心:(1) Web服务器置于防火墙保护之下。(2) 在Web服务器上安装实时安全监控软件。(3) 在通往Web
服务器的网络路径上安装基于网络的实时入侵监控系统。(4) 经常审查Web服务器配置情况及运行日志。(5) 运行新的
应用前,先进行安全测试。如新的CGI应用。(6) 认证过程
采用加密通讯或使用模式。(7) 小心设置Web服务器的访问控制表。
3、安全电子邮件系统也是网络与外部必须开放的服务系统。由于电子邮件系统的复杂性,其被发现的安全漏洞非常多,并且危害很大。加强电子邮件系统的安全性,通常有如下办法:(1) 设置一台位于停火区的电子作为内外电子邮件通讯的中转站(或利用防火墙的电子邮件中转功能)。所有出入的电子邮件均通过该中转站中转。(2) 同样为该服务器安装实施监控系统。(3) 该邮件服务器作为专门的应用服务器,不运行任何其它业务(切断与内部网的通讯)。(4) 升级到最新的安全版本。
4、操作系统安全市场上几乎所有的操作系统均已发现有安全漏洞,并且越流行的操作系统发现的问题越多。对操作系统的安全,除了不断地增加安全补丁外,还需要:(1) 检查系统设置(敏感数据的存放方式,访问控制,口令选择/更新)。(2) 基于系统的安全监控系统。)。
网络管理技术
网络管理包括对、软件和人力的使用、综合与协调,以便对进行监视、测试、配置、分析、评价和控制,这样就能以合理的价格满足网络的一些,如实时运行性能、等。网络管理常简称为网管。包含SNMP协议,CMIS/CMIP协议、CMOT协议、LMMP协议。又分为故障管理(是网络
管理中最基本的功能之一。用户都希望有一个可靠的。当网络中某个组成失效时,网络管理器必须迅速查找到并及时排除。通常不大可能迅速隔离某个,因为网络故障的产生原因往往相当复杂,特别是当故障是由多个网络组成共同引起的。在此情况下,一般先将网络修复,然后再分析网络故障的原因。分析原因对于防止类似故障的再发生相当重要。)、网络配置管理(同样相当重要。它初始化网络、并配置网络,以使其提供。是一组对辨别、定义、控制和监视组成一个的对象所必要的相关功能,目的是为了实现某个特定功能或使网络性能达到最优。)、网络性能管理(性能管理估价的运行状况及通信效率等系统性能。其能力包括监视和分析被管网络及其所提供服务的性能机制。的可能会触发某个诊断或重新配置网络以维持网络的性能。性能管理收集分析有关被管网络当前状况的数据信息,并维持和分析性能日志。)、网络计费管理(计费管理记录网络资源的使用,目的是控制和监测网络操作的费用和代价。它对一些公共商业网络尤为重要。它可以估算出用户使用网络资源可能需要的费用和代价,以及已经使用的资源。还可规定用户可使用的最大费用,从而控制用户过多占用和使用网络资源。)、网络安全管理(⑴网络资源的访问控制,通过管理路由器的访问控制链表,完成的管理功能,即从(1P)和(TCP)控制对网络资源的访问,
为满足高效,安全,多业务的下一代企业需求,开发出如下:
在企业内部网络中,只能使用专用(私有)IP地址段。在选择专用(私有)IP地址时,应当注意以下几点:(1)为每个网段宽带路由器或无线路由器
(2)可采用C类地址的子网掩码,如果有必要,可以采用变长子网掩码。通常情况下,不要采用过大的子网掩码,每个网段的计算机数量都不要超过250台计算机。同一网段的计算机数量越多,广播包的数量越大,有效带宽就损失得越多,网络传输效率也越低。
(3)子网掩码,以获取更多的IP网段,并使每个子网中所容纳的计算机数量都较少。当然,如果必要,可以采用变长子网掩码,适当增加可容纳的计算机数量。
4、为网络设备的管理WLAN分配一个独立的IP地址段,以避免发生与网络设备管理IP的地址冲突,从而影响远程管理的实现。基于同样的原因,也要将所有的服务器划分至一个独立的网段。
需要注意的是,不要以为同一网络的计算机分配不同的IP地址,就可以提高网络传输效率。事实上,同一网络内的计算机仍然处于同一广播域,广播包的数量不会由于IP 地址的不同而减少,所以,仅仅是为计算机指定不同网段,并不能实现划分广播域的目的。若欲减少广播域,最根本的解决办法就是划分VLAN,然后为每个VLAN分别指定不同的IP网段。
交换机
如上图所示,需1个3层管网交换机,5个2层管网交换机,共需要大概5000+2000=7000元
②路由器
使用T-Link 4孔的话,每个100元左右,管理办公楼中,1层2层共需要32个,3层的话,厂长办公室每个1个,会议室1个,机房需要5个,管理办公楼共需要39个。生产车间的话,每个车间5个,3个需要15个。库房的话,2层,每层1个,共需2个。共56*100=5600元。
③防火墙
防火墙(英文:firewall)是一项协助确保信息安全的设备,会依照特定的规则,允许或是限制传输的数据通过。防火墙可以是一台专属的硬件也可以是架设在一般硬件上的一套软件。需要1个,中型企业,大概在1W元左右。
④VPN设备
使用领航VPN,性价比在国内是比较高的,价格是目前国内品牌中最便宜的,性能相当稳定,大概30元每月。
5.VLAN划分
使用端口划分VLAN
许多VLAN厂商都利用交换机的端口来划分VLAN成员。被设定的端口都在同一个广播域中。例如,一个交换机的1,2,3,4,5端口被定义为虚拟网AAA,同一交换机的6,7,8端口组成虚拟网BBB。这样做允许各端口之间的通讯,并允许共享型网络的升级。但是,这种划分模式将虚拟网限制在了一台交换机上。
第二代端口VLAN技术允许跨越多个交换机的多个不同端口划分VLAN,不同交换机上的若干个端口可以组成同一个虚拟网。
以交换机端口来划分网络成员,其配置过程简单明了。因此,从目前来看,这种根据端口来划分VLAN的方式仍然是最常用的一种方式。
6.软件系统
软件系统是由系统软件,应用软件,支撑软件组成的。它包括操作系统、语言处理系统、数据库系统、分布式软件系统和人机交互系统等。购买企业管理软件除了要选择具有符合你企业的功能之外,还要看中购买企业的服务。价格不能太低,比如几百块。如果是自主研发的话,成本也不只几百块吧。如果不是自主研发,那么以后的技术支持可能就成问题了。但是如果价格过高,可能一般的公司也不容易接受。青岛金智电子科技有限公司自主研发的金智企业综合管理系统,价格适中,并且从你开始试用到购买再到后期的升级都会有专属客服给你服务,会将你所有的疑问都更好更快的解决。
四.网络布线设计方案
布线系统主要部件
1.配线架
使用超5类非屏蔽24口配线架,国产的话价格为120到300元之间,办公楼使用5个的话,按120元来算,要花费600元,3个生产车间要用到6*120 也就是720元,库房3个的话,用360元,共需话费1680元。
2.机柜
健标机柜:19寸国际标准,42U网络机柜(高2米、宽米、深米)价格2000左右;42U服务器网络机柜{(高2米、宽米、深米)价格2500左右,(高2米、宽米、深米)价格3000左右。
使用最便宜的2000左右,管理办公楼每个房间都用到1个的话,共21个房间,大概要42000,3个单层生产车间,1个2层库房,最少需要10000,最少共需要52000元。
3.双绞线
按1元1米来算,假设每个信息点都插有1根1米双绞线,所有信息点价格=64+64+6+4+20+20*3+4*2=226元。
4.光纤光缆
建筑物内部在500米以内,使用多模光纤,8芯一般是3元每米,管理办公楼3层,纵向大概10米,横向要铺设的话,8个房间,房间长度按每个10米,就是80米,中间加上走道的话,应该有100米,宽度5米左右,一层2层共需要10+(100*2+5*16)*2=570米,3层较为特殊,3间办公室大概需要60米,1间会议室需要50米,1间机房大概需要60米,这样1栋楼共需要750米,也就是2250元。生产车间应该要大一点,每个长宽算20米,3个共需要720元。库房有2层,考虑到是仓库类,长度30米,宽度30米,共需要240*3=720元。光是建筑内部,多模8芯光纤就需要3690元。