計算機系畢業(yè)論文范文模板參考資料丹陽市珥陵中學(xué)校園網(wǎng)組建

1、概 述 畢業(yè)論文題 目丹陽市珥陵中學(xué)校園網(wǎng)組建學(xué)生姓名學(xué) 號系 部計算機科學(xué)與工程專 業(yè)班 級指導(dǎo)教師顧問教師 二一年十一月3概 述摘 要隨著學(xué)校信息化教育的發(fā)展和規(guī)模的擴大，信息化校園建設(shè)已提上日程。多媒體校園網(wǎng)已成為學(xué)校必備的重要信息基礎(chǔ)設(shè)施，其規(guī)模和應(yīng)用水平已成為了衡量學(xué)校教學(xué)與科研綜合實力的重要標(biāo)志。丹陽珥陵中學(xué)，校園布局彰顯特色，建筑匠心獨運，環(huán)境幽美，景色宜人，為廣大師生營造了一片健康美好的學(xué)習(xí)和發(fā)展空間。在當(dāng)今信息產(chǎn)業(yè)蓬勃發(fā)展的今天，信息已經(jīng)成為一種關(guān)鍵性的戰(zhàn)略資源，計算機技術(shù)在人們的生活中已經(jīng)起到了越來越重要的作用。丹陽珥陵中學(xué)與時俱進，跟隨信息時代的腳步，因此一個完善的校園網(wǎng)

2、絡(luò)對丹陽珥陵中學(xué)的發(fā)展具有重要的作用。校園作為知識基地和人才基地，它理應(yīng)成為代表信息產(chǎn)業(yè)應(yīng)用最成功的典范。一所成功的學(xué)校不僅在學(xué)術(shù)上、教育上要力爭上游，更應(yīng)在管理上上一個臺階。通過校園信息網(wǎng)，將各處的電腦聯(lián)成一個數(shù)據(jù)網(wǎng)，實現(xiàn)各類數(shù)據(jù)的統(tǒng)一性和規(guī)范性；教職員工和學(xué)生可共享各種信息，極易進行各種信息的教流、經(jīng)驗的分享、討論、消息的發(fā)布、工作流的自動實現(xiàn)和協(xié)同工作等，從而有效地提高學(xué)校的現(xiàn)代化管理水平和教學(xué)質(zhì)量，增強學(xué)生學(xué)習(xí)的積極性、主動性，為信息時代培育出高素質(zhì)的人才。關(guān)鍵詞： 校園網(wǎng) 交換模塊 遠程訪問控制目 錄摘 要i目 錄ii第一章 概 述11.1校園網(wǎng)組建的背景11.2校園網(wǎng)組建的需求分析

3、21.2.1設(shè)計理念21.2.2設(shè)計目標(biāo)21.2.3 設(shè)計原則2第二章 丹陽珥陵中學(xué)網(wǎng)絡(luò)建設(shè)的實施方案52.1校園網(wǎng)絡(luò)特點52.2丹陽珥陵中學(xué)網(wǎng)絡(luò)的總體設(shè)計方案52.2.1 丹陽珥陵中學(xué)網(wǎng)絡(luò)的組成與拓撲結(jié)構(gòu)52.2.2 vlan及ip地址規(guī)劃6第三章 交換模塊的設(shè)計83.1 訪問層交換服務(wù)的實現(xiàn)配置訪問層交換機83.1.1配置訪問層交換機的管理ip、默認網(wǎng)關(guān)93.1.2 配置訪問層交換機的端口基本參數(shù)103.1.3配置訪問層交換機的訪問端口103.1.4配置訪問層交換機accessswitch2103.2分布層交換服務(wù)的實現(xiàn)配置分布層交換機113.2.1配置分布層交換機的管理ip、默認網(wǎng)關(guān)11

4、3.2.2在分布層交換機上定義vlan113.2.3配置分布層交換機的端口基本參數(shù)123.2.4 配置分布層交換機的3層交換功能123.3核心層交換服務(wù)的實現(xiàn)配置核心層交換機14第四章廣域網(wǎng)接入模塊設(shè)計164.1 配置接入路由器internetrouter的基本參數(shù)164.1.1配置接入路由器的各接口參數(shù)164.1.2配置接入路由器的路由功能17第五章 遠程訪問模塊和服務(wù)器模塊設(shè)計205.1 遠程訪問模塊設(shè)計205.2 服務(wù)器模塊設(shè)計20第六章總結(jié)與展望22致 謝23參考文獻2423第一章 概 述江蘇省重點中學(xué)丹陽市珥陵高級中學(xué)（原丹陽縣珥陵初級中學(xué)、丹陽縣五七中學(xué)、丹陽縣珥陵中學(xué)、丹陽市珥陵

5、中學(xué)）創(chuàng)建于1956年，是當(dāng)時丹陽縣創(chuàng)辦的第二所公辦中學(xué)。學(xué)校地處江蘇省教育現(xiàn)代化示范名鎮(zhèn)，坐落在丹西公路與丹金公路交匯處，交通十分快捷，是一所具有鮮明辦學(xué)特色和優(yōu)秀辦學(xué)質(zhì)量的江蘇省三星級學(xué)校。學(xué)校先后獲得江蘇省德育先進學(xué)校、江蘇省青少年科技教育先進學(xué)校、江蘇省貫徹體衛(wèi)兩個條例先進集體、鎮(zhèn)江市文明單位、鎮(zhèn)江市模范學(xué)校、鎮(zhèn)江市青少年法制教育先進集體、鎮(zhèn)江市“爭創(chuàng)文明學(xué)生活動”先進學(xué)校、丹陽市精品管理學(xué)校、丹陽市軍訓(xùn)工作先進集體等榮譽稱號。 學(xué)校環(huán)境優(yōu)雅。1.1 校園網(wǎng)組建的背景 丹陽珥陵中學(xué)擁有這么悠久的歷史和深厚的文化，這是得天獨厚且十分寶貴的文化遺產(chǎn)和資源，對學(xué)校的發(fā)展有著重要的現(xiàn)實意義。丹

6、陽珥陵中學(xué)一直堅持與時俱進，不斷豐富和發(fā)展學(xué)校的辦學(xué)理念。樹立以人為本的辦學(xué)理念和科學(xué)發(fā)展觀，以“塑有思想的教師，育有道德的學(xué)生，辦有靈魂的學(xué)?！睘楦巨k學(xué)目標(biāo)，努力發(fā)揮每一位師生的發(fā)展?jié)撃?。隨著國家信息化工作的深入開展，提高教育系統(tǒng)信息化水平成為當(dāng)前工作的重點。而校園網(wǎng)建設(shè)則是教育系統(tǒng)信息化建設(shè)的關(guān)鍵，尤其是高校校園網(wǎng)建設(shè)。在信息化的建設(shè)過程中，它的作用體現(xiàn)在如下幾個方面：1、 校園網(wǎng)能促進教師和學(xué)生盡快提高應(yīng)用信息技術(shù)的水平；信息技術(shù)學(xué)科的內(nèi)容是發(fā)展的，它是一門應(yīng)用型學(xué)科，因此，為了讓學(xué)生學(xué)到實用的知識，必須給他們提供一個實踐的環(huán)境，這個環(huán)境離不開校園網(wǎng)。2、 校園網(wǎng)為教師提供了一種先進的

7、輔助教學(xué)工具、提供了豐富的資源庫，所以校園網(wǎng)是學(xué)校進行教學(xué)改革、推行素質(zhì)教育的一種必不可少的工具。3、 校園網(wǎng)是學(xué)?，F(xiàn)代化管理的基礎(chǔ)，深入、全面的學(xué)習(xí)信息管理系統(tǒng)必須建立在校園網(wǎng)上。4、 校園網(wǎng)提供了學(xué)習(xí)與外界交流的窗口，學(xué)習(xí)英將校園網(wǎng)與互聯(lián)網(wǎng)連接，這也是學(xué)習(xí)信息化的要求，做到了這一步，通過校園網(wǎng)去了解世界、在互聯(lián)網(wǎng)上樹立學(xué)習(xí)的形象都是很容易的。教育即未來，作為國家最重要的斬落工程，如何應(yīng)用信息技術(shù)改造我們傳統(tǒng)的教學(xué)和管理手段；如何加深學(xué)生對于信息化和信息技術(shù)的理解與了解；如何造就同時具備傳統(tǒng)和信息雙重文化的一代新人，已成為教育界當(dāng)前最為緊迫的任務(wù)之一。信息技術(shù)的應(yīng)用，勢必極大的推進教育手段和

8、教育內(nèi)容的革命性變革。1.2 校園網(wǎng)組建的需求分析1.2.1設(shè)計理念1、 建設(shè)成穩(wěn)定可靠、具有高安全性、開放性的校園網(wǎng)絡(luò)系統(tǒng)，整個系統(tǒng)易于擴充、便于管理。2、 網(wǎng)絡(luò)結(jié)構(gòu)清晰，網(wǎng)絡(luò)層次合理數(shù)據(jù)網(wǎng)絡(luò)需要采用分布式布線。網(wǎng)絡(luò)建成后，應(yīng)該實現(xiàn)各信息點的高速上網(wǎng)、并能為多媒體教學(xué)科研提供一個高速承載平臺，方便的網(wǎng)絡(luò)管理、安全的用戶認證；3、 運營商級的網(wǎng)絡(luò)系統(tǒng)安全性、運營安全性；4、 完善的接入管理解決方案和靈活、安全的認證計費解決方案；5、 從網(wǎng)絡(luò)設(shè)備的功能、性價比等方面考慮未來5-10年之內(nèi)的業(yè)務(wù)應(yīng)用。1.2.2設(shè)計目標(biāo)運用先進的網(wǎng)絡(luò)技術(shù)和通訊技術(shù)，建立以丹陽珥陵中學(xué)教育信息網(wǎng)站為中心，實現(xiàn)丹陽珥陵

9、中學(xué)校園網(wǎng)絡(luò)內(nèi)部全方位的數(shù)據(jù)共享，應(yīng)用三層交換，提供全面的保障服務(wù)，使網(wǎng)絡(luò)安全可靠，具備高性能、高安全性、高可靠性、可增值特性以及開放性、兼容性、可擴展性。建成后的網(wǎng)絡(luò)中心將實現(xiàn)以下功能：1、網(wǎng)站發(fā)布教育局建立自己的主頁，利用互聯(lián)網(wǎng)向社會宣傳丹陽珥陵中學(xué)教育，提供各類咨詢信息等；同時教育單位可在本網(wǎng)絡(luò)中心申請空間，建立自已的網(wǎng)頁對外發(fā)布。2、資源共享建立電子圖書館或其它形式的教育資源庫，供師生檢索、查詢、利用。 3、網(wǎng)上教學(xué)通過視頻會議系統(tǒng)或vod視頻點播實現(xiàn)實時或非實時方式的遠程多媒體教學(xué)。4、電子郵件服務(wù)通過email與同行交往。5、文件傳輸ftp服務(wù)利用ftp服務(wù)實現(xiàn)縣內(nèi)教育用戶上傳以及

10、從網(wǎng)上下載資料。6、辦公自動化服務(wù) 7、互聯(lián)網(wǎng)接入 8、后期還要建設(shè)成為視頻監(jiān)控、課件點播、網(wǎng)絡(luò)直播、遠程教學(xué)、在線考試、視頻會議等多媒體服務(wù)應(yīng)用中心。1.2.3 設(shè)計原則實用性原則丹陽珥陵中學(xué)網(wǎng)絡(luò)是一個較復(fù)雜的網(wǎng)絡(luò)系統(tǒng)，所以一定要以丹陽珥陵中學(xué)現(xiàn)行需求為基礎(chǔ)，充分考慮發(fā)展的需要為依據(jù)來確定系統(tǒng)規(guī)模。本方案充分滿足校園網(wǎng)絡(luò)特定的應(yīng)用功能和性能的需求，在保證系統(tǒng)安全可靠的情況下，選用性能高、價格優(yōu)的產(chǎn)品。安全性和可靠性原則對安全級別要求很高，特別是內(nèi)網(wǎng)。系統(tǒng)應(yīng)能提供網(wǎng)絡(luò)層的安全手段防止系統(tǒng)外部成員的非法侵入。網(wǎng)絡(luò)設(shè)計能有效的避免單點失敗，在設(shè)備的選擇和關(guān)鍵設(shè)備的互聯(lián)時，提供充分的冗余備份，一方面

11、最大限度地減少故障的可能性，另一方面要保證網(wǎng)絡(luò)能在最短時間內(nèi)修復(fù)。為此在丹陽珥陵中學(xué)校園網(wǎng)絡(luò)設(shè)計上考慮以下的技術(shù)：選擇的網(wǎng)絡(luò)設(shè)備必需具有良好的可靠性保證，可熱插拔的模塊，快速的恢復(fù)機制等；冗余及負載均衡的電源系統(tǒng)。據(jù)研究，電源故障在實際系統(tǒng)中導(dǎo)致的系統(tǒng)故障比率高達60%；其它關(guān)鍵設(shè)備的冗余，如控制模塊、交換結(jié)構(gòu)的冗余；校園網(wǎng)是一個公眾性校園服務(wù)網(wǎng)絡(luò)，它涉及各種不同的用戶以及不同的訪問方式，加之學(xué)生獨有的頭腦靈活及喜好挑戰(zhàn)特點，網(wǎng)絡(luò)的安全性尤其重要，確保系統(tǒng)的動作正常、用戶信息的保密。安全機制包括：完善的網(wǎng)絡(luò)管理，基于政策式的控制；基于網(wǎng)絡(luò)五元組元素（源ip地址、目標(biāo)ip地址、源mac地址、目標(biāo)

12、mac地址、端口號）進行用戶地址唯一性標(biāo)識和業(yè)務(wù)區(qū)分；規(guī)范性原則網(wǎng)絡(luò)設(shè)計所采用的組網(wǎng)技術(shù)和設(shè)備應(yīng)符合國際標(biāo)準、國家標(biāo)準和業(yè)界標(biāo)準，為網(wǎng)絡(luò)的擴展升級、與其他網(wǎng)絡(luò)的互聯(lián)提供良好的基礎(chǔ)。開放性和標(biāo)準化原則丹陽珥陵中學(xué)正全力向揚州一流、蘇中上游、全省知名，具有一流的管理水平和一流的辦學(xué)特色的四星級高中邁進。因此需要建立一個可靠、高效、靈活的計算機網(wǎng)絡(luò)系統(tǒng)平臺。不僅著重考慮數(shù)據(jù)信息能夠訊速、準確、安全、可靠地交換，還要考慮同層次網(wǎng)絡(luò)互連，遠程分部的互聯(lián)，以及與相關(guān)信息系統(tǒng)網(wǎng)際互聯(lián)，以充分共享資源。這些需求體現(xiàn)在設(shè)計時，要求提供開放性好、標(biāo)準化程度高的技術(shù)方案；設(shè)備的各種接口滿足開放和標(biāo)準化原則?？蓴U充和

13、擴展化原則所有網(wǎng)絡(luò)設(shè)備不但滿足當(dāng)前需要，并在擴充模塊后滿足可預(yù)見將來需求考慮到丹陽珥陵中學(xué)將來的發(fā)展，必須實現(xiàn)網(wǎng)絡(luò)拓撲的靈活改變，實現(xiàn)如帶寬和設(shè)備的擴展，應(yīng)用的擴展和辦公地點的擴展等。并保證建設(shè)完成后的網(wǎng)絡(luò)在向新的技術(shù)升級時，能保護現(xiàn)有的投資。可管理性原則隨著網(wǎng)絡(luò)規(guī)模的不斷擴大，網(wǎng)絡(luò)的管理越來越重要，管理的事務(wù)也越來越復(fù)雜。整個網(wǎng)絡(luò)系統(tǒng)的設(shè)備應(yīng)易于管理，易于維護，操作簡單，易學(xué)，易用，便于進行網(wǎng)絡(luò)配置，網(wǎng)絡(luò)在設(shè)備、安全性、數(shù)據(jù)流量、性能等方面得到很好的監(jiān)視和控制，并可以進行遠程管理和故障診斷。如：可以通過友好的圖形化界面，對網(wǎng)絡(luò)進行虛網(wǎng)劃分，設(shè)置各子網(wǎng)的訪問權(quán)限，實施網(wǎng)絡(luò)的動態(tài)監(jiān)測、配置，數(shù)據(jù)

14、流量的分析等，簡化網(wǎng)絡(luò)的管理。工程概況校園網(wǎng)的建設(shè)包括4個區(qū)域的建設(shè)，分別是核心區(qū)、圖書館、計算機中心和學(xué)生社區(qū)。其中核心區(qū)包括500個左右的信息點，圖書館區(qū)域包括300個左右的信息點，計算機中心區(qū)域包括200個左右的信息點，學(xué)生社區(qū)包括7000個左右的信息點。核心區(qū)：網(wǎng)絡(luò)中心設(shè)在院網(wǎng)絡(luò)中心大樓的二樓，從網(wǎng)絡(luò)中心到院行政辦樓、系行政辦公樓、綜合教學(xué)樓、教師交流中心、教師宿舍、網(wǎng)絡(luò)技術(shù)與工程中心均采用6芯單模鎧裝光纜連接相應(yīng)樓層的二級配線間。圖書館區(qū)域；網(wǎng)絡(luò)中心設(shè)在圖書館二樓，從分中心至網(wǎng)絡(luò)中心采用12芯單模鎧裝光纜連接。在該區(qū)域的電子閱覽室、館內(nèi)辦公樓、實訓(xùn)中心、實驗樓、學(xué)術(shù)交流中心分別設(shè)立三

15、級配線間，從分中心到各三級配線間除到電子閱覽室采用6芯單模鎧裝光纜連接外，其他均采用6芯多模鎧裝光纜連接。計算機中心區(qū)域：網(wǎng)絡(luò)分中心設(shè)在計算機中心大樓二樓，從分中心至網(wǎng)絡(luò)中心采用12芯單模鎧裝光纜連接。在該區(qū)域的13個中心機房均采用6芯多模鎧裝光纜連接。學(xué)生社區(qū)區(qū)域：網(wǎng)絡(luò)分中心設(shè)在學(xué)生宿舍管理辦公室，從分中心至網(wǎng)絡(luò)中心采用24芯單模鎧裝光纜連接。在該區(qū)域的各個中心機房均采用8芯多模鎧裝光纜連接學(xué)生炒股及學(xué)生活動中心等三級配線間。該區(qū)域主要是針對對學(xué)生宿舍的信息化服務(wù)，集中了該校校園網(wǎng)絡(luò)的主要信息流。丹陽珥陵中學(xué)網(wǎng)絡(luò)建設(shè)的實施方案第二章 丹陽珥陵中學(xué)網(wǎng)絡(luò)建設(shè)的實施方案2.1校園網(wǎng)絡(luò)特點校園網(wǎng)的最

16、終使用主體包括全體學(xué)生、教學(xué)老師、管理服務(wù)群體等，使用主體的多樣性也決定了網(wǎng)絡(luò)承載業(yè)務(wù)的多樣性。當(dāng)前校園網(wǎng)的主要特點包括：網(wǎng)絡(luò)吞吐能力高、速度快、系統(tǒng)規(guī)模大（多校區(qū)）；用戶群龐大、多層次（教師、學(xué)生等）、接入方式多樣（pppoe、專線接入、wlan等）；網(wǎng)絡(luò)環(huán)境復(fù)雜、多網(wǎng)共存（教學(xué)網(wǎng)、科研網(wǎng)、辦公網(wǎng)、學(xué)生宿舍網(wǎng)、教工家屬網(wǎng)等）；數(shù)據(jù)業(yè)務(wù)復(fù)雜（網(wǎng)上點播、電子教室、財務(wù)、政務(wù)等）、類型多樣（數(shù)據(jù)、語音、視頻等）；用網(wǎng)時間集中、同時在線人數(shù)眾多、流量巨大且分布時段不均；學(xué)生活躍、好奇、敢于嘗試、攻擊性強；計算機蠕蟲、病毒泛濫、盜版資源泛濫、網(wǎng)絡(luò)行為突發(fā)性高。2.2丹陽珥陵中學(xué)網(wǎng)絡(luò)的總體設(shè)計方案2.2

17、.1 丹陽珥陵中學(xué)網(wǎng)絡(luò)的組成與拓撲結(jié)構(gòu)為了實現(xiàn)網(wǎng)絡(luò)設(shè)備的統(tǒng)一，本設(shè)計方案中完全采用同一廠家的網(wǎng)絡(luò)產(chǎn)品，即cisco公司的網(wǎng)絡(luò)設(shè)備構(gòu)建。全網(wǎng)使用同一廠商設(shè)備的好處是可以實現(xiàn)各種不同網(wǎng)絡(luò)設(shè)備功能的互相配合和補充。本校園網(wǎng)設(shè)計方案主要由以下四大部分構(gòu)成：交換模塊、廣域網(wǎng)接入模塊、遠程訪問模塊、服務(wù)器群。整個網(wǎng)絡(luò)系統(tǒng)的拓撲結(jié)構(gòu)圖如圖2-1所示。圖2-1校園網(wǎng)整體拓撲結(jié)構(gòu)圖2.2.2 vlan及ip地址規(guī)劃整個校園網(wǎng)中vlan及ip編址方案如下表所示：表2.1vlan及ip編址方案除了表中的內(nèi)容外，撥號用戶從/27中動態(tài)取得ip地址。為了簡化起見，這里我們只規(guī)劃了8個vlan，

18、同時為每個vlan定義了一個由拼音縮寫組成的vlan名稱。交換模塊設(shè)計第三章 交換模塊的設(shè)計為了簡化交換網(wǎng)絡(luò)設(shè)計、提高交換網(wǎng)絡(luò)的可擴展性，在園區(qū)網(wǎng)內(nèi)部數(shù)據(jù)交換的部署是分層進行的。園區(qū)網(wǎng)數(shù)據(jù)交換設(shè)備可以劃分為三個層次：訪問層、分布層、核心層。傳統(tǒng)意義上的數(shù)據(jù)交換發(fā)生在osi模型的第2層。現(xiàn)代交換技術(shù)還實現(xiàn)了第3層交換和多層交換。高層交換技術(shù)的引入不但提高了園區(qū)網(wǎng)數(shù)據(jù)交換的效率，更大大增強了園區(qū)網(wǎng)數(shù)據(jù)交換服務(wù)質(zhì)量，滿足了不同類型網(wǎng)絡(luò)應(yīng)用程序的需要?，F(xiàn)代交換網(wǎng)絡(luò)還引入了虛擬局域網(wǎng)（virtual lan，vlan）的概念。vlan將廣播域限制在單個vlan內(nèi)部，減小了各vlan間主機的廣播通信對其他

19、vlan的影響。在vlan間需要通信的時候，可以利用vlan間路由技術(shù)來實現(xiàn)。3.1 訪問層交換服務(wù)的實現(xiàn)配置訪問層交換機訪問層為所有的終端用戶提供一個接入點。這里的訪問層交換機采用的是cisco catalyst 2950 24口交換機（ws-c2950-24）。交換機擁有24個10/100mbps自適應(yīng)快速以太網(wǎng)端口，運行的是cisco的ios操作系統(tǒng)。我們以圖1-1中的訪問層交換機accessswitch1為例進行介紹。如圖3-1所示，圖3-1訪問層交換機accessswitch1a. 配置訪問層交換機accessswitch1的基本參數(shù)1）設(shè)置交換機名稱設(shè)置交換機名稱，也就是出現(xiàn)在交換

20、機cli提示符中的名字。一般我們會以地理位置或行政劃分來為交換機命名。當(dāng)我們需要telnet登錄到若干臺交換機以維護一個大型網(wǎng)絡(luò)時，通過交換機名稱提示符提示自己當(dāng)前配置交換機的位置是很有必要的。如圖3-2所示，為訪問層交換機accessswitch1命名。圖3-2為訪問層交換機accessswitch1命名2）設(shè)置交換機的加密使能口令當(dāng)用戶在普通用戶模式而想要進入特權(quán)用戶模式時，需要提供此口令。此口令會以md5的形式加密，因此，當(dāng)用戶查看配置文件時，無法看到明文形式的口令。如圖3-3所示，將交換機的加密使能口令設(shè)置為secretpasswd。圖3-3為交換機設(shè)置加密使能口令3.1.1 配置訪問

21、層交換機的管理ip、默認網(wǎng)關(guān)訪問層交換機是osi參考模型的第2層設(shè)備，即數(shù)據(jù)鏈路層的設(shè)備。因此，給訪問層交換機的每個端口設(shè)置ip地址是沒意義的。但是，為了使網(wǎng)絡(luò)管理人員可以從遠程登錄到訪問層交換機上進行管理，必要給訪問層交換機設(shè)置一個管理用ip地址。這種情況下，實際上是將交換機看成和pc機一樣的主機。給交換機設(shè)置管理用ip地址只能在vlan1，即本征vlan中進行。按照表2.1，管理vlan所在的子網(wǎng)是：/24，這里將訪問層交換機accessswitch1的管理ip地址設(shè)為：/24如圖2-5所示，顯示了為訪問層交換機accessswitch1設(shè)置管理

22、ip并激活本征vlan。圖3-4 設(shè)置訪問層交換機accessswitch1的管理ip為了使網(wǎng)絡(luò)管理人員可以在不同的子網(wǎng)管理此交換機，還應(yīng)設(shè)置默認網(wǎng)關(guān)地址54。如圖所示。圖3-5 設(shè)置訪問層交換機accessswitch1的默認網(wǎng)關(guān)地址3.1.2 配置訪問層交換機的端口基本參數(shù)1）端口雙工配置可以設(shè)定某端口根據(jù)對端設(shè)備雙工類型自動調(diào)整本端口雙工模式，也可以強制將端口雙工模式設(shè)為半雙工或全雙工模式。在了解對端設(shè)備類型的情況下，建議手動設(shè)置端口雙工模式。如圖所示，設(shè)置訪問層交換機accessswitch1的所有端口均工作在全雙工模式。圖3-6設(shè)置訪問層交換機accessswi

23、tch1的端口工作模式2）端口速度可以設(shè)定某端口根據(jù)對端設(shè)備速度自動調(diào)整本端口速度，也可以強制將端口速度10mpbs或100mbps。在了解對端設(shè)備速度的情況下，建議手動設(shè)置端口速度。如圖所示，設(shè)置訪問層交換機accessswitch1的所有端口的速度均為100mbps。圖3-7 設(shè)置訪問層交換機accessswitch1的端口速度3.1.3 配置訪問層交換機的訪問端口訪問層交換機accessswitch1為終端用戶提供接入服務(wù)。在圖中，訪問層交換機accessswitch1為vlan10、vlan20提供接入服務(wù)。3.1.4 配置訪問層交換機accessswitch2訪問層交換機access

24、switch2為vlan 30和vlan 40的用戶提供接入服務(wù)。同時，分別通過自己的fastethernet 0/23 、fastethernet 0/24上連到分布層交換機distributeswitch1、distributeswitch2的端口fastethernet 0/24。對訪問層交換機accessswitch2的配置步驟、命令和對訪問層交換機accessswitch1的配置類似。3.2 分布層交換服務(wù)的實現(xiàn)配置分布層交換機分布層除了負責(zé)將訪問層交換機進行匯集外，還為整個交換網(wǎng)絡(luò)提供vlan間的路由選擇功能。這里的分布層交換機采用的是cisco catalyst 3550交換機。

25、作為3層交換機，cisco catalyst 3550交換機擁有24個10/100mbps自適應(yīng)快速以太網(wǎng)端口。3.2.1 配置分布層交換機的管理ip、默認網(wǎng)關(guān)如圖所示，顯示了為分布層交換機distributeswitch1設(shè)置管理ip并激活本征vlan。同時，還設(shè)置了默認網(wǎng)關(guān)的地址。圖3-8 分布層交換機distributeswitch1配置3.2.2 在分布層交換機上定義vlan在本校園網(wǎng)實現(xiàn)實例中，除了默認的本征vlan外，又定義了8個vlan，如表1-1所示。如圖所示，定義了8個vlan，同時為每個vlan命名。 圖3-9定義vlan3.2.3 配置分布層交換機的端口基本參數(shù)分布層交換

26、機distributeswitch1的端口fastethernet 0/1fastethernet 0/10為服務(wù)器群提供接入服務(wù)，而端口fastethernet 0/23、fastethernet 0/24分別下連到訪問層交換機accessswitch1的端口fastethernet 0/23以及訪問層交換機accessswitch2的端口fastethernet 0/23。此外，分布層交換機distributeswitch1還通過自己的千兆端口gigabitethernet 0/1上連到核心交換機coreswitch1的gigabitethernet 3/1。3.2.4 配置分布層交換機的

27、3層交換功能分布層交換機distributeswitch1需要為網(wǎng)絡(luò)中的各個vlan提供路由功能。這需要首先啟用分布層交換機的路由功能。如圖所示。圖3-10啟用路由功能接下來，需要為每個vlan定義自己的默認網(wǎng)關(guān)地址，如圖所示。圖3-11 定義各vlan的默認網(wǎng)關(guān)地址此外，還需要定義通往internet的路由。這里使用了一條缺省路由命令，如圖所示。其中，下一跳地址是internet接入路由器的快速以太網(wǎng)接口fastethernet 0/0的ip地址。圖3-12定義到internet的缺省路由3.3 核心層交換服務(wù)的實現(xiàn)配置核心層交換機核心層將各分布層交換機互連起來進行穿越園區(qū)網(wǎng)骨干的高速數(shù)據(jù)交

28、換。對核心層交換機coreswitch1的基本參數(shù)的配置步驟與對訪問層交換機accessswitch1的基本參數(shù)的配置類似。配置核心層交換機coreswitch1的端口參數(shù)核心層交換機coreswitch1通過自己的端口fastethernet 4/3同廣域網(wǎng)接入模塊（internet路由器）相連。同時，核心層交換機coreswitch1的端口gigabitethernet 3/1gigabitethernet 3/2分別下連到分布層交換機distributeswitch1和distributeswitch2的端口gigabitethernet 0/1。如圖所示，給出了對上述端口的配置命令。圖

29、3-13設(shè)置核心層交換機coreswitch1的各端口參數(shù)廣域網(wǎng)接入模塊設(shè)計第四章 廣域網(wǎng)接入模塊設(shè)計在本設(shè)計中，廣域網(wǎng)接入模塊的功能是由廣域網(wǎng)接入路由器internetrouter來完成的。采用的是cisco的3640路由器。它通過自己的串行接口serial 0/0使用ddn（128k）技術(shù)接入internet。它的作用主要是在internet和校園網(wǎng)內(nèi)網(wǎng)間路由數(shù)據(jù)包。除了完成主要的路由任務(wù)外，利用訪問控制列表（access control list，acl），廣域網(wǎng)接入路由器internetrouter還可以用來完成以自身為中心的流量控制和過濾功能并實現(xiàn)一定的安全功能。圖4-1廣域網(wǎng)模塊4

30、.1 配置接入路由器internetrouter的基本參數(shù)對接入路由器internetrouter的基本參數(shù)的配置步驟與對accessswitch1的基本參數(shù)的配置類似。 圖4-2配置接入路由器internetrouter的基本參數(shù)4.1.1配置接入路由器的各接口參數(shù)對接入路由器internetrouter的各接口參數(shù)的配置主要是對接口fastethernet 0/0以及接口serial 0/0的ip地址、子網(wǎng)掩碼的配置。如圖4-3所示，顯示了為接入路由器internetrouter的各接口設(shè)置ip地址、子網(wǎng)掩碼。 圖4-3接入路由器internetrouter的管理ip、默認網(wǎng)關(guān)4.1.2

31、配置接入路由器的路由功能在接入路由器internetrouter上需要定義兩個方向上的路由：到校園網(wǎng)內(nèi)部的靜態(tài)路由以及到internet上的缺省路由。到internet上的路由需要定義一條缺省路由，如圖所示。其中，下一跳指定從本路由器的接口serial 0/0送出。圖4-4定義到internet的缺省路由到校園網(wǎng)內(nèi)部的路由條目可以經(jīng)過路由匯總后形成兩條路由條目。如圖所示。圖4-5定義到校園網(wǎng)內(nèi)部的路由4.1.3 配置接入路由器上的acl路由器是外網(wǎng)進入校園網(wǎng)內(nèi)網(wǎng)的第一道關(guān)卡，是網(wǎng)絡(luò)防御的前沿陣地。路由器上的訪問控制列表（access control list，acl）是保護內(nèi)網(wǎng)安全的有效手段。

32、一個設(shè)計良好的訪問控制列表不僅可以起到控制網(wǎng)絡(luò)流量、流向的作用，還可以在不增加網(wǎng)絡(luò)系統(tǒng)軟、硬件投資的情況下完成一般軟、硬件防火墻產(chǎn)品的功能。由于路由器介于企業(yè)內(nèi)網(wǎng)和外網(wǎng)之間，是外網(wǎng)與內(nèi)網(wǎng)進行通信時的第一道屏障，所以即使在網(wǎng)絡(luò)系統(tǒng)安裝了防火墻產(chǎn)品后，仍然有必要對路由器的訪問控制列表進行縝密的設(shè)計，來對企業(yè)內(nèi)網(wǎng)包括防火墻本身實施保護。這里，在本實例中，我們將針對服務(wù)器以及內(nèi)網(wǎng)工作站的安全給出廣域網(wǎng)接入路由器internetrouter上acl的配置方案。在網(wǎng)絡(luò)環(huán)境中還普遍存在著一些非常重要的、影響服務(wù)器群安全的隱患。在絕大多數(shù)網(wǎng)絡(luò)環(huán)境的實現(xiàn)中它們都是應(yīng)該對外加以屏蔽的。主要應(yīng)該做以下的acl設(shè)計：

33、（1） 對外屏蔽簡單網(wǎng)管協(xié)議，即snmp。利用這個協(xié)議，遠程主機可以監(jiān)視、控制網(wǎng)絡(luò)上的其它網(wǎng)絡(luò)設(shè)備。它有兩種服務(wù)類型：snmp和snmptrap。如圖所示，顯示了如何設(shè)置對外屏蔽簡單網(wǎng)管協(xié)議snmp。圖4-6對外屏蔽簡單網(wǎng)管協(xié)議snmp（2） 對外屏蔽遠程登錄協(xié)議telnet首先，telnet是一種不安全的協(xié)議類型。用戶在使用telnet登錄網(wǎng)絡(luò)設(shè)備或服務(wù)器時所使用的用戶名和口令在網(wǎng)絡(luò)中是以明文傳輸?shù)模苋菀妆痪W(wǎng)絡(luò)上的非法協(xié)議分析設(shè)備截獲。其次，telnet可以登錄到大多數(shù)網(wǎng)絡(luò)設(shè)備和unix服務(wù)器，并可以使用相關(guān)命令完全操縱它們。這是極其危險的，因此必須加以屏蔽。如圖所示，顯示了如何對外屏蔽遠

34、程登錄協(xié)議telnet圖4-7 對外屏蔽遠程登錄協(xié)議telnet（3）對外屏蔽其它不安全的協(xié)議或服務(wù)這樣的協(xié)議主要有sun os的文件共享協(xié)議端口2049，遠程執(zhí)行（rsh）、遠程登錄（rlogin）和遠程命令（rcmd）端口512、513、514，遠程過程調(diào)用（sunrpc）端口111。可以將針對以上協(xié)議綜合進行設(shè)計，如圖所示。 圖4-8對外屏蔽其它不安全的協(xié)議或服務(wù)遠程訪問模塊和服務(wù)器模塊設(shè)計第五章 遠程訪問模塊和服務(wù)器模塊設(shè)計5.1 遠程訪問模塊設(shè)計遠程訪問也是園區(qū)網(wǎng)絡(luò)必須提供的服務(wù)之一。它可以為家庭辦公用戶和出差在外的員工提供移動接入服務(wù)。圖5-1 遠程訪問服務(wù)遠程訪問有三種可選的服務(wù)類型：專線連接、電路交換和包交換。不同的廣域網(wǎng)連接類型提供的服務(wù)質(zhì)量不同，花費也不相同。在本設(shè)計中，由于面對的用戶群規(guī)模、業(yè)務(wù)量較小，所以采用了異步撥號連接作為遠程訪問的技術(shù)手段。異步撥號連接屬于電路交換類型的廣域網(wǎng)連接，它是在傳統(tǒng)公共交換電話網(wǎng)（public switched telephone network，pstn）上提供服務(wù)的。傳統(tǒng)pstn提供的服務(wù)也被稱為簡易老式電話業(yè)務(wù)（plan old telephone system，pots）。因為目前存在著大量安裝好的電話線，所以這樣的環(huán)境是最容易滿足的。因此，異步撥號連接也就成為最為方便和普遍的遠程訪問類型。廣域網(wǎng)連接可以采用不同