某校園網(wǎng)的組建與實(shí)施(組網(wǎng)與配置)

1、指導(dǎo)老師評(píng)閱成績(jī)表指導(dǎo)老師評(píng)閱成績(jī)表學(xué)習(xí)與工作態(tài)度（30%）選題的價(jià)值與意義（10%）文獻(xiàn)綜述（10%）研究水平與設(shè)計(jì)能力（20%）課程設(shè)計(jì)文檔撰寫(xiě)質(zhì)量（20%）應(yīng)用創(chuàng)新價(jià)值（10%）總分指導(dǎo)老師簽名： 年 月 日課程設(shè)計(jì)答辯記錄及評(píng)價(jià)表課程設(shè)計(jì)答辯記錄及評(píng)價(jià)表學(xué)生講述情況教師主要提問(wèn)記錄學(xué)生回答問(wèn)題情況評(píng)價(jià)參考標(biāo)準(zhǔn)評(píng)分項(xiàng)目分值優(yōu)良中及格差評(píng)分總分選題的價(jià)值與意義1098764文獻(xiàn)綜述1098764研究水平與設(shè)計(jì)能力201917151310課程設(shè)計(jì)說(shuō)明書(shū)（論文）撰寫(xiě)質(zhì)量201917151310學(xué)術(shù)水平與創(chuàng)新1098764答辯評(píng)分答辯效果302825221915是否同意論文（設(shè)計(jì)）通過(guò)答辯同意

2、不同意答辯小組成員簽名答辯小組組長(zhǎng)簽名： 年 月 日課程設(shè)計(jì)成績(jī)?cè)u(píng)定表課程設(shè)計(jì)成績(jī)?cè)u(píng)定表評(píng)分項(xiàng)目評(píng)分比例分?jǐn)?shù)課程設(shè)計(jì)總分成績(jī)匯總指導(dǎo)老師評(píng)分50%課程設(shè)計(jì)成績(jī)?cè)u(píng)價(jià)表答辯小組評(píng)分50%成成 都都 信信 息息 工工 程程 學(xué)學(xué) 院院課課 程程 設(shè)設(shè) 計(jì)計(jì)題目：校園網(wǎng)絡(luò)組建與配置實(shí)踐作者姓名：作者姓名：任國(guó)帥任國(guó)帥班班 級(jí)：級(jí)：網(wǎng)絡(luò)網(wǎng)絡(luò) 081081學(xué)學(xué) 號(hào)：號(hào)：20081210282008121028指指導(dǎo)導(dǎo)教教師師：日日 期：期： 作者簽名：某中學(xué)網(wǎng)絡(luò)組建與配置實(shí)踐某中學(xué)網(wǎng)絡(luò)組建與配置實(shí)踐摘摘 要要在當(dāng)今信息產(chǎn)業(yè)蓬勃發(fā)展的今天，信息已經(jīng)成為一種關(guān)鍵性的戰(zhàn)略資源，計(jì)算機(jī)技術(shù)在人們的生活中已經(jīng)起到了

3、越來(lái)越重要的作用。校園作為知識(shí)基地和人才基地，它理應(yīng)成為代表信息產(chǎn)業(yè)應(yīng)用最成功的典范。一所成功的學(xué)校不僅在學(xué)術(shù)上、教育上要力爭(zhēng)上游，更應(yīng)在管理上上一個(gè)臺(tái)階。利用各種成熟的技術(shù)帶動(dòng)學(xué)校各單位、各部門(mén)的電腦化管理，通過(guò)校園信息網(wǎng)，將各處的電腦聯(lián)成一個(gè)數(shù)據(jù)網(wǎng)，實(shí)現(xiàn)各類(lèi)數(shù)據(jù)的統(tǒng)一性和規(guī)范性；教職員工和學(xué)生可共享各種信息，極易進(jìn)行各種信息的交流、經(jīng)驗(yàn)的分享、討論、消息的發(fā)布、工作流的自動(dòng)實(shí)現(xiàn)和協(xié)同工作等，從而有效地提高學(xué)校的現(xiàn)代化管理水平和教學(xué)質(zhì)量，增強(qiáng)學(xué)生學(xué)習(xí)的積極性、主動(dòng)性，為信息時(shí)代培育出高素質(zhì)的人才，在學(xué)校中建立計(jì)算機(jī)網(wǎng)絡(luò)已經(jīng)是十分迫切的需要。關(guān)鍵詞關(guān)鍵詞：網(wǎng)絡(luò)組建、學(xué)校、信息 目目 錄錄1 引

4、言引言.11.1 課題背景.11.2 需求現(xiàn)狀.12 需求分析需求分析.22.1 學(xué)校的基本信息 .22.2 技術(shù)目標(biāo) .22.3 信息點(diǎn)統(tǒng)計(jì) .33 拓?fù)浼巴負(fù)浼?IP 和路由規(guī)劃和路由規(guī)劃.43.1 拓?fù)湓O(shè)計(jì)及描述.43.2 IP 和 VLAN 設(shè)計(jì).53.3 路由設(shè)計(jì).64 安全設(shè)計(jì)安全設(shè)計(jì).85 實(shí)踐配置實(shí)踐配置.95.1 接入層交換機(jī)的配置 .95.2 匯聚層交換機(jī)的配置 .115.3 核心層交換機(jī)的配置 .135.4NAT 地址轉(zhuǎn)換.155.5ACL 訪問(wèn)控制 .156 實(shí)驗(yàn)測(cè)試實(shí)驗(yàn)測(cè)試.16結(jié)結(jié) 論論.19參考文獻(xiàn)參考文獻(xiàn).20第 1 頁(yè) 共 23 頁(yè)1引言引言1.1 課題背景課

5、題背景為了適應(yīng)某中學(xué)的發(fā)展和需要，積極參與國(guó)家信息化進(jìn)程，提高管理水平，展現(xiàn)全新的形象，某中學(xué)準(zhǔn)備建立一個(gè)現(xiàn)代化的校園網(wǎng)，實(shí)現(xiàn)信息的共享、協(xié)作和通訊。某中學(xué)主要由教學(xué)樓、實(shí)驗(yàn)樓、宿舍樓和辦公樓組成。要在宿舍樓和實(shí)驗(yàn)樓實(shí)現(xiàn)相對(duì)穩(wěn)定的網(wǎng)絡(luò)、在辦公樓和教學(xué)樓實(shí)現(xiàn)質(zhì)量能得到可靠保證的網(wǎng)絡(luò)。建設(shè)某中學(xué)校園網(wǎng)絡(luò)系統(tǒng)是某中學(xué)的施工建設(shè)過(guò)程中的重點(diǎn)工程之一。在當(dāng)今的信息時(shí)代，信息對(duì)每個(gè)團(tuán)體、每個(gè)行為、決策、收益起著重要的作用，人們對(duì)信息的依賴(lài)日趨強(qiáng)烈。在學(xué)校體現(xiàn)得尤為重要。1.2 需求現(xiàn)狀需求現(xiàn)狀構(gòu)建校園網(wǎng)絡(luò)，合理控制校園內(nèi)部網(wǎng)絡(luò)與互聯(lián)網(wǎng)的接入連接。能根據(jù)實(shí)際情況，按區(qū)域劃分 vlan。教學(xué)樓、實(shí)驗(yàn)樓、宿舍樓

6、和辦公樓劃為不同 vlan。然后每棟樓按照樓層再劃分 vlan，外網(wǎng)要求通過(guò)硬件防火墻接入, 內(nèi)網(wǎng)進(jìn)行防病毒管理。在宿舍樓區(qū)的用戶(hù)用 802.1X 認(rèn)證的方式，通過(guò)登陸才能訪問(wèn)互聯(lián)網(wǎng)絡(luò)，否則只能訪問(wèn)內(nèi)部提供的多媒體服務(wù)器。對(duì)于整個(gè)小區(qū)將分為 4 部分，其中 A 部分為辦公樓，這里就要求在每個(gè)房間內(nèi)設(shè)置一定數(shù)量的信息點(diǎn)，要滿(mǎn)足大量辦公人員的對(duì)互聯(lián)網(wǎng)的需求，同時(shí)還要保證在整個(gè)園區(qū)網(wǎng)絡(luò)中的網(wǎng)絡(luò)穩(wěn)定性。而 B 部分則是教學(xué)樓，所以這里就對(duì)信息點(diǎn)的需求還是是很大，按照每個(gè)教室設(shè)置兩個(gè)個(gè)信息點(diǎn)的方式進(jìn)行接入。每層辦公室設(shè)置 10 個(gè)。C 部分為實(shí)驗(yàn)樓，按每層 30 個(gè)信息點(diǎn)設(shè)置。D 部分為宿舍樓，按照每層

7、 80 個(gè)信息點(diǎn)設(shè)置。其中布線(xiàn)系統(tǒng)采用國(guó)際標(biāo)準(zhǔn)建議的層層星型拓?fù)浣Y(jié)構(gòu)，設(shè)計(jì)遵從國(guó)際（ISO/IEC 11801）標(biāo)準(zhǔn)及建設(shè)部標(biāo)準(zhǔn)，支持語(yǔ)音、數(shù)據(jù)等綜合信息，信息出口采用國(guó)際標(biāo)準(zhǔn)的 RJ45 插座，以統(tǒng)一的線(xiàn)路規(guī)格和設(shè)備接口，使任意信息點(diǎn)能接插不同類(lèi)型的終端設(shè)備。第 2 頁(yè) 共 23 頁(yè)2需求分析需求分析2.1 學(xué)校的基本信息學(xué)校的基本信息某中學(xué)有各種樓宇（教學(xué)樓、辦公樓、實(shí)驗(yàn)樓、宿舍樓等）8 棟。教學(xué)樓有兩棟，每棟 5 層，每層樓有 10 個(gè)教室，一個(gè)教師辦公室。辦公樓有 4 層，每層有 10 個(gè)房間。其中 4 樓有財(cái)務(wù)室。二樓為學(xué)校的信息中心。實(shí)驗(yàn)樓有 4 層每層有 4 個(gè)教室，其中 3 樓

8、和 4 樓分別有一個(gè)教室為計(jì)算機(jī)機(jī)房，每個(gè)機(jī)房 30 臺(tái)電腦。宿舍樓為 16 棟，每棟 5 層，每層 20 個(gè)寢室。由此可以得到數(shù)據(jù)點(diǎn)大約有 2000 個(gè)。隨著學(xué)校的規(guī)模不斷擴(kuò)大，多媒體通信及應(yīng)用復(fù)雜化，使網(wǎng)絡(luò)流量飛速提升。在多用戶(hù)并發(fā)、大流量傳輸需求下，校園網(wǎng)核心設(shè)備要考慮負(fù)載均衡和主干網(wǎng)高帶寬傳輸能力。為了抑制廣播風(fēng)暴，提高信息的傳輸性能，均衡網(wǎng)絡(luò)數(shù)據(jù)流量，需要采用虛擬網(wǎng)絡(luò)技術(shù)，則需要將辦公樓劃分 5 個(gè) vlan，每棟教學(xué)樓需要?jiǎng)澐?5 個(gè)vlan，實(shí)驗(yàn)樓需要?jiǎng)澐?4 個(gè) vlan，宿舍樓每棟需要?jiǎng)澐?5 個(gè) vlan（注：因住宿樓太多所以簡(jiǎn)化了下只畫(huà)了 4 座，以下 IP 劃分也同）

9、。這樣，vlan 約需 40 個(gè)。由此還需要對(duì)學(xué)生宿舍配置 802.1X 認(rèn)證協(xié)議。校園網(wǎng)是各種應(yīng)用的統(tǒng)一通信平臺(tái)，該平臺(tái)的可用性要達(dá)到 99.9%。在這種需求下，主干設(shè)備應(yīng)有一定的冗余度，這種冗余度不只是設(shè)備及的，也應(yīng)該考慮物理線(xiàn)路、數(shù)據(jù)鏈路層和網(wǎng)絡(luò)層的容錯(cuò)能力，需要保證主干網(wǎng)絡(luò)具有很高的穩(wěn)定性和可靠性。2.2 技術(shù)目標(biāo)技術(shù)目標(biāo)（1）統(tǒng)一性網(wǎng)絡(luò)要統(tǒng)一規(guī)劃，分步實(shí)施，便于網(wǎng)絡(luò)管理。（2）完整性整個(gè)網(wǎng)絡(luò)的系統(tǒng)功能、數(shù)據(jù)安全、網(wǎng)絡(luò)管理等方面應(yīng)有充分的保證。（3）實(shí)用性當(dāng)今世界計(jì)算機(jī)和通信技術(shù)處于高速發(fā)展階段，新的技術(shù)和新的產(chǎn)品不斷的出現(xiàn)，但是一些新的技術(shù)和設(shè)備往往存在不成熟和不完善等問(wèn)題，需要在使

10、用過(guò)程中不斷的完善，但給用戶(hù)帶來(lái)的問(wèn)題將是：系統(tǒng)不穩(wěn)定、不可靠，存在安全隱患，而且造成了大量不必要的資金浪費(fèi)，運(yùn)行和維護(hù)費(fèi)用大大增加。所以本系統(tǒng)在充分滿(mǎn)足系統(tǒng)應(yīng)用需求的前提下，應(yīng)采用先進(jìn)的、成熟的、實(shí)用性第 3 頁(yè) 共 23 頁(yè)強(qiáng)的技術(shù)和產(chǎn)品，不盲目的追求設(shè)備的高檔、技術(shù)的超前。以免造成不必要的資金浪費(fèi)，從而使系統(tǒng)具有較強(qiáng)的實(shí)用性。（4） 可靠性與有效性網(wǎng)絡(luò)系統(tǒng)作為其他應(yīng)用系統(tǒng)的基礎(chǔ)，如發(fā)生系統(tǒng)癱瘓，其造成的損失是難以估量的，因此系統(tǒng)必須可靠地連續(xù)運(yùn)行，即系統(tǒng)設(shè)計(jì)必須從系統(tǒng)結(jié)構(gòu)、設(shè)計(jì)方案、設(shè)備選擇、廠商的技術(shù)服務(wù)與維修響應(yīng)能力、設(shè)備備件供應(yīng)能力等方面考慮，使故障發(fā)生的可能性盡可能少，影響面盡可

11、能小.它應(yīng)該能實(shí)現(xiàn)內(nèi)部辦公事務(wù)和外部事務(wù)處理的整合.（5）適應(yīng)性用戶(hù)信息網(wǎng)站應(yīng)采用大型關(guān)系數(shù)據(jù)庫(kù),模塊化等先進(jìn)成熟的技術(shù)方法,在給用戶(hù)提供了極大的靈活性的同時(shí),也有效地保證了系統(tǒng)的可靠性.（6）可擴(kuò)展性由于計(jì)算機(jī)和通信技術(shù)的不斷發(fā)展，用戶(hù)的需求也在隨著時(shí)間的推移不斷的發(fā)生變化，以及由于應(yīng)用軟件種類(lèi)和業(yè)務(wù)數(shù)量的增加，功能的強(qiáng)化，系統(tǒng)軟件的升級(jí)將對(duì)主機(jī)和網(wǎng)絡(luò)系統(tǒng)提出更高的要求，網(wǎng)絡(luò)構(gòu)造應(yīng)具有高度的擴(kuò)展性,以降低系統(tǒng)擴(kuò)充的投入成本,并滿(mǎn)足信息技術(shù)高速發(fā)展的需要.能適應(yīng) 2-3 年內(nèi)的業(yè)務(wù)增長(zhǎng)和突發(fā)性事件的需要,確保各級(jí)系統(tǒng)的可擴(kuò)充性和先進(jìn)性,并注意設(shè)備的冗余設(shè)計(jì)以及網(wǎng)絡(luò)的負(fù)載均衡.（7）安全性信息安

12、全是企業(yè)信息網(wǎng)實(shí)施的第一要素,網(wǎng)絡(luò)系統(tǒng)不但要能夠?qū)崿F(xiàn)功能,更重要的是要穩(wěn)定安全. 因此,應(yīng)采取如下技術(shù)以增強(qiáng)網(wǎng)絡(luò)的安全性:設(shè)備的安全性應(yīng)用級(jí)的安全性網(wǎng)絡(luò)級(jí)的安全性數(shù)據(jù)級(jí)的安全性2.3 信息點(diǎn)統(tǒng)計(jì)信息點(diǎn)統(tǒng)計(jì)A 區(qū)：4*10*4=160（每層 10 個(gè)房間，每個(gè)房間 4 個(gè)信息點(diǎn)設(shè)置）B 區(qū)：2*5*30=300（每層 10 個(gè)教室，每個(gè)教室 2 個(gè)，一個(gè)辦公室 10 個(gè)）C 區(qū)：2*4*10+2*（30+3*10）=200（一層二層，4 個(gè)教室，每個(gè)教室 10 個(gè)信息點(diǎn)設(shè)置，三層四層，每層一個(gè)計(jì)算機(jī)機(jī)房，每個(gè)機(jī)房 30 個(gè) PC）D 區(qū)：4*5*20*14=6400（每層 20 個(gè)房間，每個(gè)房間

13、 4 個(gè)信息點(diǎn)設(shè)置，一共14 棟）信息點(diǎn)總數(shù)約為 7060 個(gè)。第 4 頁(yè) 共 23 頁(yè)3 拓?fù)浼巴負(fù)浼?IP 和路由規(guī)劃和路由規(guī)劃3.1 拓?fù)湓O(shè)計(jì)及描述拓?fù)湓O(shè)計(jì)及描述某中學(xué)網(wǎng)絡(luò)組建拓?fù)鋱D： 圖 3.1 拓?fù)鋱D本設(shè)計(jì)采用三層架構(gòu)，一臺(tái)核心層交換機(jī)，8 臺(tái)匯聚層交換機(jī)，39 臺(tái)接入層交換機(jī)。每一棟樓的每一層劃分為一個(gè) VLAN，然后放置一臺(tái)接入層交換機(jī)。在出口處，放置一臺(tái)防火墻，使外來(lái)的訪問(wèn)都要經(jīng)過(guò)防火墻才能進(jìn)入校園內(nèi)部網(wǎng)絡(luò)。第 5 頁(yè) 共 23 頁(yè)3.2 IP 和和 VLAN 設(shè)計(jì)設(shè)計(jì) 在本設(shè)計(jì)中，VLAN 的劃分為每一個(gè)樓層劃分一個(gè) VLAN，其中辦公樓的財(cái)務(wù)室單獨(dú)劃分一個(gè) VLAN。其中

14、IP 地址使用 A 類(lèi)地址中的10.0.0.010.255.255.254表 3.2 IP 和 VLAN 設(shè)計(jì)接入層VlanVlan IP用戶(hù)網(wǎng)段匯聚層接口 IPS1-1210.1.2.110.1.2.0/24S110.1.101.1S1-2310.1.3.110.1.3.0/24S110.1.101.1S1-3410.1.4.110.1.4.0/24S110.1.101.1S1-4510.1.5.110.1.5.0/24S110.1.101.1S1-5610.1.6.110.1.6.0/24S110.1.101.1S2-1710.1.7.110.1.7.0/24S210.1.102.1S2-

15、2810.1.8.110.1.8.0/24S210.1.102.1S2-3910.1.9.110.1.9.0/24S210.1.102.1S2-41010.1.10.110.1.10.0/24S210.1.102.1S3-11110.1.11.110.1.11.0/24S310.1.103.1S3-21210.1.12.110.1.12.0/24S310.1.103.1S3-31310.1.13.110.1.13.0/24S310.1.103.1S3-41410.1.14.110.1.14.0/24S310.1.103.1S3-51510.1.15.110.1.15.0/24S310.1.10

16、3.1S4-11610.1.16.110.1.16.0/24S410.1.104.1S4-21710.1.17.110.1.17.0/24S410.1.104.1S4-31810.1.18.110.1.18.0/24S410.1.104.1S4-41910.1.19.110.1.19.0/24S410.1.104.1S4-52010.1.20.110.1.20.0/24S410.1.104.1S5-12110.1.21.110.1.21.0/24S510.1.105.1S5-22210.1.22.110.1.22.0/24S510.1.105.1S5-32310.1.23.110.1.23.0

17、/24S510.1.105.1S5-42410.1.24.110.1.24.0/24S510.1.105.1S5-52510.1.25.110.1.25.0/24S510.1.105.1第 6 頁(yè) 共 23 頁(yè)S6-12610.1.26.110.1.26.0/24S610.1.106.1S6-22710.1.27.110.1.27.0/24S610.1.106.1S6-32810.1.28.110.1.28.0/24S610.1.106.1S6-42910.1.29.110.1.29.0/24S610.1.106.1S6-53010.1.30.110.1.30.0/24S610.1.106.1

18、S7-13110.1.31.110.1.31.0/24S710.1.107.1S7-23210.1.32.110.1.32.0/24S710.1.107.1S7-33310.1.33.110.1.33.0/24S710.1.107.1S7-43410.1.34.110.1.34.0/24S710.1.107.1S7-53510.1.35.110.1.35.0/24S710.1.107.1S8-13610.1.36.110.1.36.0/24S810.1.108.1S8-23710.1.37.110.1.37.0/24S810.1.108.1S8-33810.1.38.110.1.38.0/24

19、S810.1.108.1S8-43910.1.39.110.1.39.0/24S810.1.108.1S8-54010.1.40.110.1.40.0/24S810.1.108.13.3 路由設(shè)計(jì)路由設(shè)計(jì)路由表的構(gòu)成以動(dòng)態(tài)路由 RIP 為主，從而保證信息點(diǎn)的數(shù)據(jù)能正常發(fā)送與接收。為了保證用戶(hù)之間可以互相通信且確保 ARP 安全，一個(gè)接入層交換機(jī)劃分為一個(gè) VLAN，匯聚層與核心機(jī)之間再組成一個(gè) VLAN。保證了網(wǎng)絡(luò)內(nèi)部的ARP 包隔離，同時(shí) VLAN 之間能通過(guò)其上層實(shí)現(xiàn)互訪。表 3.3 路由設(shè)計(jì)匯聚層交換機(jī)動(dòng)態(tài)路由（network）S110.1.2.010.1.3.010.1.4.010.1

20、.5.010.1.6.010.1.101.0S210.1.7.010.1.8.010.1.9.010.1.10.010.1.102.0S310.1.11.010.1.12.010.1.13.0第 7 頁(yè) 共 23 頁(yè)10.1.14.010.1.15.010.1.103.0S410.1.16.010.1.17.010.1.18.010.1.19.010.1.20.010.1.104.0S510.1.21.010.1.22.010.1.23.010.1.24.010.1.25.010.1.105.0S610.1.26.010.1.27.010.1.28.010.1.29.010.1.30.010.

21、1.106.0S710.1.31.010.1.32.010.1.33.010.1.34.010.1.35.010.1.107.0S810.1.36.010.1.37.010.1.38.010.1.39.010.1.40.010.1.108.0核心層交換機(jī)動(dòng)態(tài)路由（network）SR10.1.101.010.1.102.010.1.103.010.1.104.010.1.105.010.1.106.010.1.107.010.1.108.0/24第 8 頁(yè) 共 23 頁(yè)4 安全設(shè)計(jì)安全設(shè)計(jì)校園網(wǎng)建成后，要有相應(yīng)的安全機(jī)制。現(xiàn)在主要的安全機(jī)智有：物理安全，認(rèn)證，授權(quán)，統(tǒng)計(jì)，數(shù)據(jù)加密，數(shù)據(jù)包過(guò)濾，

22、防火墻，入侵檢測(cè)。我們將在XX 學(xué)院校園網(wǎng)的建設(shè)過(guò)程中應(yīng)用這些技術(shù)。 物理安全：物理安全是指通過(guò)物理隔離的手段實(shí)現(xiàn)對(duì)關(guān)鍵網(wǎng)絡(luò)資源的保護(hù)。物理安全可以防止網(wǎng)絡(luò)被未經(jīng)安全流程培訓(xùn)的員工和合作伙伴有意和無(wú)意的濫用。也可以阻止黑客、競(jìng)爭(zhēng)對(duì)手隨意修改網(wǎng)絡(luò)配置，對(duì)你的網(wǎng)絡(luò)產(chǎn)生威脅。根據(jù)用戶(hù)對(duì)網(wǎng)絡(luò)設(shè)計(jì)的不同需求用在不同的層次。應(yīng)該確保將設(shè)備放在有門(mén)禁系統(tǒng)或者有人職守的機(jī)房。機(jī)房應(yīng)該提供不間斷電力供應(yīng)能力，具備火警、滅火、排水系統(tǒng)。還應(yīng)該將放置設(shè)備的機(jī)架固定在地板或者墻上。 認(rèn)證：為了獲得更大的安全性，應(yīng)該使用一次性的動(dòng)態(tài)口令使一次性口令系統(tǒng)都通過(guò)安全卡。用戶(hù)應(yīng)該采用雙重認(rèn)證系統(tǒng)即要求擁護(hù)提供兩個(gè)獨(dú)立的身份證

23、明，這樣能夠獲得更高的安全性。 授權(quán)：在實(shí)施授權(quán)策略時(shí)，用戶(hù)應(yīng)該采用最小訪問(wèn)權(quán)限原則。使用戶(hù)只能獲得完成這次任務(wù)所必須的最小權(quán)限。而這種事情也是很難實(shí)施的所以在實(shí)際的操作中使用一些比如用戶(hù)管理員可以擁有同樣的訪問(wèn)權(quán)限的用戶(hù)創(chuàng)立用戶(hù)組的方式減少工作量。統(tǒng)計(jì)：在統(tǒng)計(jì)數(shù)據(jù)的過(guò)程中應(yīng)該包括任何用戶(hù)獲得網(wǎng)絡(luò)人證和授權(quán)的嘗試，更加是匿名或客戶(hù)方式訪問(wèn)服務(wù)器的用戶(hù)的行為進(jìn)行統(tǒng)計(jì)。收集包括登陸，注銷(xiāo)等用戶(hù)信息、主機(jī)名以及改變前后的訪問(wèn)權(quán)限。數(shù)據(jù)加密：加密會(huì)對(duì)網(wǎng)絡(luò)的性能有影響，需要在安全和性能兩方面考慮。如果用戶(hù)加密對(duì)網(wǎng)絡(luò)性能沒(méi)有影響應(yīng)該使用加密。在內(nèi)部網(wǎng)和只使用簡(jiǎn)單的瀏覽、等網(wǎng)絡(luò)業(yè)務(wù)時(shí)沒(méi)有必要使用加密。需要使

24、用私有網(wǎng)絡(luò)和建議使用加密機(jī)制。防火墻：基于狀態(tài)的放火墻可以與協(xié)議同工作，服務(wù)器應(yīng)該打開(kāi)一條到客戶(hù)機(jī)的連接?；陬?lèi)型的防火墻：代理防火墻在主機(jī)和服務(wù)器之間起到中間人的作用，主機(jī)和服務(wù)器之間的通信通過(guò)放火墻進(jìn)行中繼。入侵檢測(cè)：利用入侵檢測(cè)可以監(jiān)測(cè)一些惡意的攻擊事件，并且通過(guò)郵件、短消息、系統(tǒng)日志等方式通知給管理者。分為主機(jī)和網(wǎng)絡(luò)。主機(jī)的駐留在單臺(tái)主機(jī)上只檢測(cè)主機(jī)。網(wǎng)絡(luò)監(jiān)測(cè)他可以感知的所有網(wǎng)絡(luò)流量和所有預(yù)定義的惡意攻擊。第 9 頁(yè) 共 23 頁(yè)5 實(shí)踐配置實(shí)踐配置5.1 接入層交換機(jī)的配置接入層交換機(jī)的配置S1-1 的配置：Switchenable Switch#configure terminal

25、 Switch(config)#hostname s1-1s1-1(config)#vlan 2s1-1(config-vlan)#exits1-1(config)#interface fastEthernet 0/2s1-1(config-if)#switchport mode access s1-1(config-if)#switchport access vlan 2s1-1(config)#interface range fastethernet 0/3-24s1-1(config-if-range)# switchport access vlan 2s1-1(config-if-ra

26、nge)#ends1-1(config)#interface fastEthernet 0/1s1-1(config-if)#switchport mode trunkS1-2 的配置：Switchenable Switch#configure terminal Switch(config)#hostname s1-2s1-2(config)#vlan 3s1-21(config-vlan)#exits1-2(config)#interface fastEthernet 0/2s1-2(config-if)#switchport mode access s1-2(config-if)#swit

27、chport access vlan 3s1-21(config)#interface range fastethernet 0/3-24s1-2(config-if-range)# switchport access vlan 3s1-2(config-if-range)#ends1-2(config)#interface fastEthernet 0/1s1-2(config-if)#switchport mode trunkS1-3 的配置：Switchenable Switch#configure terminal Switch(config)#hostname s1-3s1-3(co

28、nfig)#vlan 4s1-3(config-vlan)#exits1-3(config)#interface fastEthernet 0/2s1-3(config-if)#switchport mode access s1-3(config-if)#switchport access vlan 4s1-3(config)#interface range fastethernet 0/3-24s1-3(config-if-range)# switchport access vlan 4s1-3(config-if-range)#ends1-3(config)#interface fastE

29、thernet 0/1s1-3(config-if)#switchport mode trunk第 10 頁(yè) 共 23 頁(yè)S1-4 的配置：Switchenable Switch#configure terminal Switch(config)#hostname s1-4s1-4(config)#vlan 5s1-4(config-vlan)#exits1-4(config)#interface fastEthernet 0/2s1-4(config-if)#switchport mode access s1-4(config-if)#switchport access vlan 5s1-4

30、(config)#interface range fastethernet 0/3-24s1-4(config-if-range)# switchport access vlan 5s1-4(config-if-range)#ends1-4(config)#interface fastEthernet 0/1s1-4(config-if)#switchport mode trunkS1-5 的配置：Switchenable Switch#configure terminal Switch(config)#hostname s1-5s1-5(config)#vlan 6s1-5(config-v

31、lan)#exits1-5(config)#interface fastEthernet 0/2s1-5(config-if)#switchport mode access s1-5(config-if)#switchport access vlan 6s1-5(config)#interface range fastethernet 0/3-24s1-5(config-if-range)# switchport access vlan 6s1-5(config-if-range)#ends1-5(config)#interface fastEthernet 0/1s1-5(config-if

32、)#switchport mode trunkS2-1 的配置：Switchenable Switch#configure terminal Switch(config)#hostname s2-1s2-1(config)#vlan 7s2-1(config-vlan)#exits2-1(config)#interface range fastethernet 0/2-24s2-1(config-if-range)# switchport access vlan 7s2-1(config-if-range)#ends2-1(config)#interface fastEthernet 0/1s

33、2-1(config-if)#switchport mode trunkS2-2 的配置：Switchenable Switch#configure terminal Switch(config)#hostname s2-1s2-2(config)#vlan 8第 11 頁(yè) 共 23 頁(yè)s2-2(config-vlan)#exits2-2(config)#interface range fastethernet 0/2-24s2-2(config-if-range)# switchport access vlan 8s2-2(config-if-range)#ends2-2(config)#i

34、nterface fastEthernet 0/1s2-2(config-if)#switchport mode trunkS2-3 的配置：Switchenable Switch#configure terminal Switch(config)#hostname s2-1s2-3(config)#vlan 9s2-3(config-vlan)#exits2-3(config)#interface range fastethernet 0/2-24s2-3(config-if-range)# switchport access vlan 9s2-3(config-if-range)#ends

35、2-3(config)#interface fastEthernet 0/1s2-3(config-if)#switchport mode trunkS2-4 的配置：Switchenable Switch#configure terminal Switch(config)#hostname s2-1s2-4(config)#vlan 10s2-4(config-vlan)#exits2-4(config)#interface range fastethernet 0/2-24s2-4(config-if-range)# switchport access vlan 10s2-4(config

36、-if-range)#ends2-4(config)#interface fastEthernet 0/1s2-4(config-if)#switchport mode trunk由上可知，在 S3、S4、S5、S6、S7、S8 上的配置清單如 S1、S2 基本一致，只有 VLAN的不同和交換機(jī)的名稱(chēng)不一致。但是依然能夠按照相同的步驟得到配置清單。5.2 匯聚層交換機(jī)的配置匯聚層交換機(jī)的配置S1 的配置：SwitchSwitchenSwitch# configure terminal.Switch(config)#vlan 2Switch(config-vlan)#exitSwitch(con

37、fig)#int vlan 2Switch(config-if)#ip add 10.1.2.1 255.255.255.0Switch(config-if)#no shutSwitch(config-if)#exitSwitch(config)#vlan 3Switch(config-vlan)#exitSwitch(config)#int vlan 3第 12 頁(yè) 共 23 頁(yè)Switch(config-if)#ip add 10.1.3.1 255.255.255.0Switch(config-if)#no shutSwitch(config-if)#exitSwitch(config)

38、#vlan 4Switch(config-vlan)#exitSwitch(config)#int vlan 4Switch(config-if)#ip add 10.1.4.1 255.255.255.0Switch(config-if)#no shutSwitch(config)#vlan 5Switch(config-vlan)#exitSwitch(config)#int vlan 5Switch(config-if)#ip add 10.1.5.1 255.255.255.0Switch(config-if)#no shutSwitch(config)#vlan 6Switch(co

39、nfig-vlan)#exitSwitch(config)#int vlan 6Switch(config-if)#ip add 10.1.6.1 255.255.255.0Switch(config-if)#no shutSwitch(config-vlan)#exitSwitch(config)#int f0/1Switch(config-if)#no switchport Switch(config-if)#ip add 10.1.101.1 255.255.255.0Switch(config-if)#no shutSwitch(config-if)#exitSwitch(config

40、)#router ripSwitch(config-router)#network 10.1.2.0Switch(config-router)#network 10.1.3.0Switch(config-router)#network 10.1.4.0Switch(config-router)#network 10.1.5.0Switch(config-router)#network 10.1.6.0Switch(config-router)#network 10.1.101.0Switch(config-router)#exitSwitch(config)#int range fastEth

41、ernet 0/2-6Switch(config-if-range)#switchport mode trunk Switch(config-if-range)#exitSwitch(config-if)#exitSwitch(config)#ip routing Switch(config)#endS2 的配置：SwitchSwitchenSwitch# configure terminal.Switch(config)#vlan 7Switch(config-vlan)#exit第 13 頁(yè) 共 23 頁(yè)Switch(config)#int vlan 7Switch(config-if)#

42、ip add 10.1.7.1 255.255.255.0Switch(config-if)#no shutSwitch(config-if)#exitSwitch(config)#vlan 8Switch(config-vlan)#exitSwitch(config)#int vlan 8Switch(config-if)#ip add 10.1.8.1 255.255.255.0Switch(config-if)#no shutSwitch(config-if)#exitSwitch(config)#vlan 9Switch(config-vlan)#exitSwitch(config)#

43、int vlan 9Switch(config-if)#ip add 10.1.9.1 255.255.255.0Switch(config-if)#no shutSwitch(config)#vlan 10Switch(config-vlan)#exitSwitch(config)#int vlan 10Switch(config-if)#ip add 10.1.10.1 255.255.255.0Switch(config-if)#no shutSwitch(config-vlan)#exitSwitch(config)#int f0/1Switch(config-if)#no switc

44、hport Switch(config-if)#ip add 10.1.102.1 255.255.255.0Switch(config-if)#no shutSwitch(config-if)#exitSwitch(config)#router ripSwitch(config-router)#network 10.1.7.0Switch(config-router)#network 10.1.8.0Switch(config-router)#network 10.1.9.0Switch(config-router)#network 10.1.10.0Switch(config-router

45、)#network 10.1.102.0Switch(config-router)#exitSwitch(config)#int range fastEthernet 0/2-5Switch(config-if-range)#switchport mode trunk Switch(config-if-range)#exitSwitch(config-if)#exitSwitch(config)#ip routing Switch(config)#end剩余的匯聚層交換機(jī)的配置同 S1、S2 的配置，這里不再做詳細(xì)的配置清單。5.3 核心層交換機(jī)的配置核心層交換機(jī)的配置SwitchSwitch

46、enSwitch# configure terminal.第 14 頁(yè) 共 23 頁(yè)Switch(config)#int f0/2Switch(config-if)#no switchport Switch(config-if)#ip add 10.1.101.2 255.255.255.0Switch(config-if)#no shutSwitch(config-if)#exitSwitch(config)#int f0/3Switch(config-if)#no switchport Switch(config-if)#ip add 10.1.102.2 255.255.255.0Swi

47、tch(config-if)#no shutSwitch(config-if)#exitSwitch(config)#int f0/4Switch(config-if)#no switchport Switch(config-if)#ip add 10.1.103.2 255.255.255.0Switch(config-if)#no shutSwitch(config-if)#exitSwitch(config)#int f0/5Switch(config-if)#no switchport Switch(config-if)#ip add 10.1.104.2 255.255.255.0S

48、witch(config-if)#no shutSwitch(config-if)#exitSwitch(config)#int f0/6Switch(config-if)#no switchport Switch(config-if)#ip add 10.1.105.2 255.255.255.0Switch(config-if)#no shutSwitch(config-if)#exitSwitch(config)#int f0/7Switch(config-if)#no switchport Switch(config-if)#ip add 10.1.106.2 255.255.255.

49、0Switch(config-if)#no shutSwitch(config-if)#exitSwitch(config)#int f0/8Switch(config-if)#no switchport Switch(config-if)#ip add 10.1.107.2 255.255.255.0Switch(config-if)#no shutSwitch(config-if)#exitSwitch(config)#int f0/9Switch(config-if)#no switchport Switch(config-if)#ip add 10.1.108.2 255.255.25

50、5.0Switch(config-if)#no shutSwitch(config-if)#exitSwitch(config)#ip routingSwitch(config)#router ripSwitch(config-router)#network 10.1.101.0Switch(config-router)#network 10.1.102.0第 15 頁(yè) 共 23 頁(yè)Switch(config-router)#network 10.1.103.0Switch(config-router)#network 10.1.104.0Switch(config-router)#network 10.1.105.0Switch(config-router)#network 10.1.106.0Switch(config-router)#network 10.1.107.0Switch(config-router)#network 10.1.108.0Switch(config-router)#network 10.1.200.05.4NAT 地址轉(zhuǎn)換地址轉(zhuǎn)換路由器上將內(nèi)網(wǎng)地址轉(zhuǎn)化為外網(wǎng)地址實(shí)現(xiàn)上網(wǎng)。學(xué)校分配的外網(wǎng)地址為200.100.10.420