校园网安全架构实施与升级任务书-毕业作品网站

1．本设计课题的目的和要求：

该课程设计的主要目的是通过解决实际问题，使学生能够综合应用计算机网络技术，包括网络工程设计、网络系统的安装与配置、网络安全与系统防范策略设置等方面。通过课程设计，学生可以深入学习并巩固计算机网络课程中的知识，进一步掌握计算机网络工程的设计与施工、网络系统的安装与配置技术，了解网络系统所采取的安全措施和网络系统漏洞等相关技术。这可以帮助学生更好地应用计算机网络理论知识到实际工程中，提高学生的实际动手能力，培养学生的分工协作的团队精神。

要求：

（1）学生在设计前应认真做好各种准备工作，在掌握网络安全知识基础上，充分运用专业所学网络模拟软件、操作系统等软、硬件相关知识实现网络安全运维，同时鼓励学生不局限自己目前所学知识和掌握的工具应用进行拓展或与其它软件结合完成本此设计工作。

（2）小组分工明确,每人各自独立完成所负责模块工作任务或程序代码编写，撰写个人报告，小组成果汇总完成用户使用手册，小组成员参加线下答辩环节。

2．本设计课题的技术要求与数据：

※课程设计需求：

本课程设计学生须自行设计一个多部门的跨行政区域的校园网络，根据下列的需求审时度势、灵活性的完成企业网络的安全部署&优化。整个跨行政区域网络中应包含之前学过的各种技术，请合理按照需求应用在设计的网络中。

首先列举Packet Tracer软件可提供的技术条件：

下附本课程设计相关的需求：

（一）用户需求：

某所大学现有一个校园网络，其中包括教学楼、实验楼、宿舍楼、行政楼等多个建筑物。现在校园内的网络已经发展到了一定规模，需要进行网络优化和升级。具体要求包括：

（1）路由器和交换机要能够支持大量用户同时连接，保证网络稳定性和流畅性；

（2）不同建筑物之间的网络通信要能够实现，保证教学、科研、行政等业务部门之间的信息交流；

（3）每个建筑物内部的网络也需要进行优化和改进，确保每个用户能够快速接入网络并获得高速的上网体验；

（4）为了保证校园网络的安全性，需要进行网络安全策略的设置和防范措施的加强，防止网络攻击和信息泄露。

（5）校园网络和服务提供商之间的网络也需要进行优化和升级，以保证校园网络能够高效且可靠交付给运营商。

（二）学校的用户数量及设备情况：

（1）教学楼：共有6栋，每栋有50个教室，每个教室平均有50名学生和教师使用，同时每个教室还配备有2-3台电脑、1台投影仪等设备；

（2）实验楼：共有3栋，每栋有30个实验室，每个实验室平均有20名学生和教师使用，同时每个实验室还配备有多台笔记本电脑、实验仪器等设备；

（3）宿舍楼：共有5栋，每栋楼有10层，每层有50个房间，每个房间平均住2名学生，同时每个房间还配备有多台笔记本电脑、手机等设备；

（4）行政楼：共有3栋，分别是校务办公楼、教务处办公楼和学生处办公楼，每个办公楼都有多个办公室，每个办公室有2-5名工作人员使用，同时每个办公室还配备有多台笔记本电脑、打印机等设备。

注：至少但不限于以上部分，可根据需求变化。

（三）DC（Data Center）：学校内自建图书馆、内部服务器等集中式的数据交换中心，请按照已学技术根据高可靠的原则，完成DC网络部分的优化与升级。

（四）VLSM：IPv4用户可充分利用：10.0.0.0/8、172.16.0.0/12、192.168.0.0/16的网络，但需考虑用户的地址和设备管理地址以及除私有地址外的公网地址。IPv6用户地址根据需求自定。无论是IPv4还是IPv6均需体现其组别。

（五）网络优化与升级的准则

（1）基本的设备初始化（特权和各线路平台密码、远程访问使用SSH、加密明文密码、10分钟超时、光标跟踪、关闭DNS解析、设备名称修改、最短密码长度、无线设备的协议、密码、信号、SSID、速率、安全措施等【包括但不限于以上初始化！】）；其设备名称、密码均需体现其组别信息。【SSH请勿在核心层部署】

（2）学校因有数据中心所以建有DMZ区域的服务器，包括但不限于NTP、WEB、DHCP、AAA、WEB等等。

（3）二层技术：需要完成必要的VLAN间路由及冗余备份和负载均衡技术。其中与服务提供商之间的WAN链路也需提供必要的身份验证技术。【VLAN间路由至少体现两种】

（4）三层技术：

1）学校全部使用Multi-Area OSPF及OSPFv3进行互联与互通，其中必须进行DR和BDR的选举。请务必体现其组别信息；（请自学OSPF相关知识）

【额外加分项】OSPF具有多种措施用来减少和优化其路由，通过实施链路优化和完全末梢区域等技术可有效缩减其区域泛洪的LSA条目。

2）学校与服务提供商之间的WAN链路有若干方式选择：

多形式、多场景的静态路由：根据其场景不同，需部署不同类型的静态。

【加分项】静态路由的负载均衡：利用多路径的优点，在所有可用路径上发送数据包。

3）学校因工作需求和服务请求，需在合适位置部署NAT。

4）校园网与服务提供商需要通过单点单向重发分缺省路由，使校园网所有设备能够访问Internet。

5）【额外加分项】校园网与其他高校（自行设计）之间也有互联互通的意向，其他高校运行EIGRP路由协议。其两者需要通过双向重分发进行路由的互通。

（5）安全技术：

1）接入层安全访问：其为防止产生恶意攻击，需要在网络的接入层部署端口安全。

2）访问控制列表ACL：应保证相应网络资源的访问权限得当与安全。

3）授权、认证、计费AAA：请通过多种形式部署用户身份验证的服务。

4）【加分项】路由协议的认证：为保证路由协议的隐私与安全。

5）【加分项】GRE OVER IPSec：通过IPSec的加密保证部门之间的隐私数据。

6）【额外加分项】DMZ区域：通过实施防火墙来进行策略和路由的转换，保障内部设备的安全性。

设计要求：

（1）制定应用具体场景，并分析具体场景需求。

（2）结合拟定的场景，描述可能存在的网络（通信、软件、服务等各类）安全风险，风险需借助虚拟机、工具软件模拟。

（3）结合实际硬件环境对模拟配置方案进行验证，不断完善设计中的不足。

（4）设计中利用层次模型实现设计及功能实施，充分保证网络连通基础上，实现其可靠、安全等特性。各小组中每位组员应有独立的工作任务并能够相互协调合作。

（5）设计报告及答辩中各小组中每位成员能够对自己的工作进行清晰阐述，并能提交完整设计用户使用手册和其他相关资料。

小组分工如下：

组长姓名：

任务描述（结合分工所做工作，介绍设计中具体任务实施模块、应用技术实现任务等描述，尽可能详细任务，不要写操作配置命令）

组员1姓名：

任务描述（结合分工所做工作，介绍设计中具体任务实施模块、应用技术实现任务等描述，尽可能详细任务，不要写操作配置命令）

组员2姓名：

任务描述（结合分工所做工作，介绍设计中具体任务实施模块、应用技术实现任务等描述，尽可能详细任务，不要写操作配置命令）

3．对本设计课题成果的要求〔包括图纸、论文、图表、实物等〕：

最终成果应包括以下：

1、使用Cisco PT或EVE软件完成的模拟拓扑和根据需求的具体配置。

2、需要有给用户的纸质完整版的使用手册，包括使用绘图软件绘制的拓扑。

绘图软件请使用：在线的Flowchart Maker & Online Diagram Software

绘图以下图拓扑为例：（其占比分数20%）

拓扑要求具有美观性与实用性，能够清晰表达和描述其内容；

拓扑要求表明当前设备名称、区域接口以及接口地址标注；

使用手册中要有总体规划、技术介绍、网络规划表、设备配置手册、维护和排故方法、出现的问题、总结等，以上至少要有但不限于。

4．主要参考文献资料：

思科网络技术学院教程（第7版）：企业网络+安全+自动化[M].第7版.北京： Bob Vachon.人民邮电出版社.2022

思科网络技术学院教程（第7版）：交换+路由+无线基础[M].第7版.北京： Bob Vachon.人民邮电出版社.2022

思科网络技术学院教程：IT基础（第7版）[M].第7版.北京：Allan Johnson，Kathleen Czurda-Page，David Holzinger.人民邮电出版社.2022

思科网络技术学院教程第七版网络简介[M].第7版.北京：Rick Graziani.人民邮电出版社.2023

思科网络技术学院教程 CCNA安全第4版[M].第4版.北京：Cisco Networking Academy.人民邮电出版社.2023

TCP/IP路由技术（第一卷）（第二版）[M].第2版.北京：Jeff Doyle.人民邮电出版社.2023

思科网络技术学院教程 CCNA网络安全运营[M].北京：Allan Johnson.人民邮电出版社.2021

思科软件定义访问实现基于业务意图的园区网络[M].北京：谢清.人民邮电出版社.2022