畢業(yè)論文-校園網(wǎng)絡(luò)網(wǎng)管中心設(shè)計(jì)

1、 校園網(wǎng)絡(luò)網(wǎng)管中心設(shè)計(jì)計(jì)算機(jī)網(wǎng)絡(luò)專業(yè)畢業(yè)論文（設(shè)計(jì)）題 目 校園網(wǎng)絡(luò)網(wǎng)管中心設(shè)計(jì) 班 級 ） 作 者 學(xué) 號 培養(yǎng)單位 指導(dǎo)教師 日 期 2015年12月23日 校園網(wǎng)絡(luò)網(wǎng)管中心設(shè)計(jì)【摘要】 隨著Internet的迅猛發(fā)展，人們對于網(wǎng)絡(luò)信息時(shí)代的需求越來越迫切，網(wǎng)絡(luò)的應(yīng)用越來越廣泛。作為高等人才的培訓(xùn)場所，校園網(wǎng)建設(shè)的需求也越來越大，教師、學(xué)生、管理人員等對一個(gè)先進(jìn)的網(wǎng)絡(luò)環(huán)境的要求也十分迫切。因此，建設(shè)校園網(wǎng)具有非常大的理論意義和實(shí)踐意義。本設(shè)計(jì)實(shí)在局域網(wǎng)技術(shù)和目前網(wǎng)絡(luò)發(fā)展技術(shù)的基礎(chǔ)上，分析了校園網(wǎng)的各種功能需求和建設(shè)原則，并且闡述了網(wǎng)絡(luò)結(jié)構(gòu)技術(shù)和網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)設(shè)計(jì)。在網(wǎng)絡(luò)設(shè)計(jì)中，實(shí)現(xiàn)各個(gè)網(wǎng)絡(luò)對

2、應(yīng)各種的功能，實(shí)現(xiàn)校園的一體化、資源化、共享化等，從而保證校園網(wǎng)絡(luò)能適應(yīng)未來網(wǎng)絡(luò)的快速發(fā)展?！娟P(guān)鍵詞】：網(wǎng)絡(luò) 安全 系統(tǒng) 技術(shù) 配置The design and configuration of campus network safetyAbstract With the rapid development of Internet, the demand for network information age is more and more urgent, the application of network is more and more widely.As the higher tal

3、ents training venues, the construction of campus network is also growing demand,Teachers, students, managers and other requirements for an advanced network environment is also very urgent.Therefore, it has very large theoretical and practical significance of the construction of campus network.The ba

4、sis for this design is LAN technology and the current network technology development, analysis of the various functional requirements and principle of construction of campus network,and describes the structure of the network technology and network topology design.In the network design, the realizati

5、on of every network corresponding to various functions, integration, resource sharing, etc. so as to ensure the realization of the campus, the campus network can adapt to the rapid development of the network of the future.Key word:Network Safety System Technology configure目 錄 TOC o 1-3 h z u HYPERLI

6、NK l _Toc438557388 一、綜述 PAGEREF _Toc438557388 h 6 HYPERLINK l _Toc438557389 二、項(xiàng)目介紹 PAGEREF _Toc438557389 h 6 HYPERLINK l _Toc438557390 2.1、設(shè)計(jì)目標(biāo) PAGEREF _Toc438557390 h 6 HYPERLINK l _Toc438557391 2.2、設(shè)計(jì)的關(guān)鍵 PAGEREF _Toc438557391 h 7 HYPERLINK l _Toc438557392 2.2.1.網(wǎng)絡(luò)技術(shù)選型 PAGEREF _Toc438557392 h 7 HYP

7、ERLINK l _Toc438557393 2.2.2.校園網(wǎng)的出口解決方案 PAGEREF _Toc438557393 h 7 HYPERLINK l _Toc438557394 2.2.3.網(wǎng)絡(luò)核心設(shè)備的選擇 PAGEREF _Toc438557394 h 8 HYPERLINK l _Toc438557395 三、網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)圖 PAGEREF _Toc438557395 h 10 HYPERLINK l _Toc438557396 3.1、系統(tǒng)設(shè)計(jì)原則 PAGEREF _Toc438557396 h 10 HYPERLINK l _Toc438557397 3.2、網(wǎng)絡(luò)三層結(jié)構(gòu)設(shè)計(jì)

8、PAGEREF _Toc438557397 h 11 HYPERLINK l _Toc438557398 3.3、可管理性與維護(hù)原則 PAGEREF _Toc438557398 h 11 HYPERLINK l _Toc438557399 3.4、安全性與保密性原則 PAGEREF _Toc438557399 h 12 HYPERLINK l _Toc438557400 3.5、穩(wěn)定性和可靠性 PAGEREF _Toc438557400 h 12 HYPERLINK l _Toc438557401 四、設(shè)備選型 PAGEREF _Toc438557401 h 12 HYPERLINK l _T

9、oc438557402 4.1、核心路由器選型 PAGEREF _Toc438557402 h 13 HYPERLINK l _Toc438557403 4.2、核心交換機(jī)選型 PAGEREF _Toc438557403 h 14 HYPERLINK l _Toc438557404 4.3、防火墻選型 PAGEREF _Toc438557404 h 16 HYPERLINK l _Toc438557405 五、基本配置 PAGEREF _Toc438557405 h 17 HYPERLINK l _Toc438557406 51 VLAN的應(yīng)用 PAGEREF _Toc438557406 h

10、17 HYPERLINK l _Toc438557407 52 VLAN的劃分及配置 PAGEREF _Toc438557407 h 18 HYPERLINK l _Toc438557408 53 IP地址分配及配置 PAGEREF _Toc438557408 h 19 HYPERLINK l _Toc438557409 54 路由器基本配置 PAGEREF _Toc438557409 h 24 HYPERLINK l _Toc438557410 55 csico2600的密碼恢復(fù) PAGEREF _Toc438557410 h 25 HYPERLINK l _Toc438557411 56灌

11、注cisco路由器IOS PAGEREF _Toc438557411 h 26 HYPERLINK l _Toc438557412 57防火墻基本配置 PAGEREF _Toc438557412 h 27 HYPERLINK l _Toc438557413 六、網(wǎng)絡(luò)主要配置 PAGEREF _Toc438557413 h 28 HYPERLINK l _Toc438557414 6.1配置動(dòng)態(tài)路由協(xié)議 PAGEREF _Toc438557414 h 28 HYPERLINK l _Toc438557415 6.2三層交換機(jī)路由配置 PAGEREF _Toc438557415 h 29 HYPE

12、RLINK l _Toc438557416 6.3路由器路由配置 PAGEREF _Toc438557416 h 30 HYPERLINK l _Toc438557417 6.4雙出口網(wǎng)絡(luò) PAGEREF _Toc438557417 h 30 HYPERLINK l _Toc438557418 6.4.1配置基于策略的路由協(xié)議 PAGEREF _Toc438557418 h 31 HYPERLINK l _Toc438557419 6.4.2基于源的策略 PAGEREF _Toc438557419 h 31 HYPERLINK l _Toc438557420 七、網(wǎng)絡(luò)安全與管理 PAGEREF

13、 _Toc438557420 h 33 HYPERLINK l _Toc438557421 7.1網(wǎng)絡(luò)安全 PAGEREF _Toc438557421 h 33 HYPERLINK l _Toc438557422 7.2造成這些現(xiàn)狀的原因 PAGEREF _Toc438557422 h 34 HYPERLINK l _Toc438557423 7.3安全接入和配置 PAGEREF _Toc438557423 h 35 HYPERLINK l _Toc438557424 總結(jié) PAGEREF _Toc438557424 h 38 HYPERLINK l _Toc438557425 致謝 PAGE

14、REF _Toc438557425 h 39一、綜述隨著計(jì)算機(jī)網(wǎng)絡(luò)的發(fā)展，校園網(wǎng)已經(jīng)成為高等院校走向信息化時(shí)代的必然發(fā)展趨勢，使我國高等教育管理向智能化發(fā)展。它是網(wǎng)絡(luò)技術(shù)和電子信息技術(shù)和高等院校發(fā)展相結(jié)合的產(chǎn)物。校園網(wǎng)以信息資源為根本，硬件網(wǎng)絡(luò)系統(tǒng)為物質(zhì)基礎(chǔ)，同時(shí)以網(wǎng)絡(luò)軟件系統(tǒng)實(shí)現(xiàn)系統(tǒng)的管理與使用，是一個(gè)具有寬帶通路和交互功能的專業(yè)性局域網(wǎng)，應(yīng)具有教學(xué)、科研、管理和通訊等四大功能。校園網(wǎng)網(wǎng)絡(luò)的安全十分重要，它承載著學(xué)校的教務(wù)、行政、后勤、圖書資料、對外聯(lián)絡(luò)等方面的事務(wù)處理。但是，緊隨信息化發(fā)展的網(wǎng)絡(luò)安全問題日漸突出，網(wǎng)絡(luò)安全問題已成為信息時(shí)代人類共同面臨的挑戰(zhàn)，網(wǎng)絡(luò)信息安全問題成為當(dāng)務(wù)之急，如

15、果不能很好地解決這個(gè)問題，必將阻礙信息化發(fā)展的進(jìn)程。校園網(wǎng)絡(luò)的建設(shè)并不是一件容易的事情，在建設(shè)過程中，我們應(yīng)該考慮校園網(wǎng)的特殊情況，考慮滿足網(wǎng)絡(luò)設(shè)施、路由配置、信息資源等等的需求。冰球考慮到未來校園擴(kuò)建的可能和在校人數(shù)的增加，我們要針對這種情況考慮到網(wǎng)絡(luò)擴(kuò)容的必要性。二、項(xiàng)目介紹2.1、設(shè)計(jì)目標(biāo)校園網(wǎng)的設(shè)計(jì)目標(biāo)簡而言之是將各種不同應(yīng)用的信息資源通過高性能的網(wǎng)絡(luò)設(shè)備相互連接起來，形成校園區(qū)內(nèi)部的Intranet系統(tǒng)，對外通過路由設(shè)備接入廣域網(wǎng)。具體而言這樣的設(shè)計(jì)目標(biāo)應(yīng)該是：建設(shè)一個(gè)以辦公自動(dòng)化、計(jì)算機(jī)輔助教學(xué)、現(xiàn)代計(jì)算機(jī)校園文化為核心，以現(xiàn)代網(wǎng)絡(luò)技術(shù)為依托、技術(shù)先進(jìn)、擴(kuò)展性強(qiáng)、覆蓋全校樓宇的校園

16、主干網(wǎng)絡(luò)，將學(xué)校的各種PC機(jī)工作站、終端設(shè)備和局域網(wǎng)連接起來，并與有關(guān)廣域網(wǎng)相連:在網(wǎng)上宣傳和獲取教育資源;在此基礎(chǔ)上建立能滿足教學(xué)、科研和管理工作需要的軟、硬件環(huán)境;開發(fā)各類信息庫和應(yīng)用系統(tǒng)，為學(xué)校各類人員提供充分的網(wǎng)絡(luò)信息服務(wù);系統(tǒng)總體設(shè)計(jì)本著總體規(guī)劃、分布實(shí)施的原則，充分體現(xiàn)系統(tǒng)的技術(shù)先進(jìn)性、高度的安全可靠性、良好的開放性、可擴(kuò)展性，以及建設(shè)經(jīng)濟(jì)性。2.2、設(shè)計(jì)的關(guān)鍵2.2.1.網(wǎng)絡(luò)技術(shù)選型在校園網(wǎng)網(wǎng)絡(luò)的建設(shè)中，主干網(wǎng)選擇何種網(wǎng)絡(luò)技術(shù)對網(wǎng)絡(luò)建設(shè)的成功與否起著決定性的作用。選擇適合校園網(wǎng)絡(luò)需求特點(diǎn)的主流網(wǎng)絡(luò)技術(shù)，不但能保證網(wǎng)絡(luò)的高性能，還能保證網(wǎng)絡(luò)的先進(jìn)性和擴(kuò)展性，能夠在未來向更新技術(shù)平滑

17、過度，保護(hù)用戶的投資。所以要根據(jù)實(shí)際應(yīng)用的需要，采用千兆以太網(wǎng)作為校園網(wǎng)的主干網(wǎng)，因?yàn)樽鳛檎麄€(gè)校園網(wǎng)的信息交換中心，網(wǎng)絡(luò)的速度會直接影響到其他各子網(wǎng)的性能;在建設(shè)多媒體教室時(shí)，由于網(wǎng)絡(luò)中將會有很多的圖像和聲音的傳輸，因此對帶寬和傳輸速度有很高的要求，采用快速以太網(wǎng)就是最好的選擇；而對于其他一些只有諸如簡單文件傳輸之類的應(yīng)用的環(huán)境，采用以太網(wǎng)就能滿足要求。不同網(wǎng)絡(luò)技術(shù)的復(fù)雜程度，在一定程度上直接影響校園網(wǎng)的維護(hù)、管理和使用效果。千兆以太網(wǎng)繼承了以太網(wǎng)的技術(shù)簡單，容易學(xué)習(xí)掌握的特點(diǎn)，是校園網(wǎng)的首選技術(shù)。2.2.2.校園網(wǎng)的出口解決方案目前，高校校園網(wǎng)IP資源及注冊域名基本來源于中國教育科研計(jì)算機(jī)網(wǎng)

18、CERNET，但資費(fèi)比較高，除了重點(diǎn)高校，帶寬也受到了很大限制。而隨著用戶數(shù)量的不斷增加，多數(shù)高校原有CERNET接入帶寬已不能滿足需求，擴(kuò)大校園網(wǎng)出口帶寬迫在眉睫，但擴(kuò)大出口帶寬帶來的一個(gè)直接問題便是網(wǎng)絡(luò)信息費(fèi)的急劇增大，與CERNET相比，通過本地ISP接入CHINANET，在相同接入帶寬的情況下費(fèi)用較低。所以，采用雙出口方案是高校校園網(wǎng)發(fā)展的一個(gè)新趨勢，它綜合運(yùn)用了靜態(tài)、網(wǎng)絡(luò)地址轉(zhuǎn)換和策略路由等技術(shù)，充分整合了CERNET及本地ISP的優(yōu)勢資源，是一種行之有效的校園網(wǎng)出口瓶頸解決方案。2.2.3.網(wǎng)絡(luò)核心設(shè)備的選擇(1)骨干帶寬的選擇。網(wǎng)絡(luò)應(yīng)用的增加對網(wǎng)絡(luò)帶寬提出了直接的需求。事實(shí)上，從

19、1983年802.3標(biāo)準(zhǔn)的正是成立開始，以太網(wǎng)技術(shù)經(jīng)過20年的發(fā)展，已進(jìn)入萬兆以太網(wǎng)（802.3ae標(biāo)準(zhǔn)）的時(shí)代。校園網(wǎng)絡(luò)應(yīng)用也是極其豐富的。并且隨著組播技術(shù)在校園的應(yīng)用，校園網(wǎng)核心層將面臨嚴(yán)峻的考驗(yàn)。出于對網(wǎng)絡(luò)發(fā)展的考慮，基于網(wǎng)絡(luò)業(yè)務(wù)的發(fā)展，在擁有近萬個(gè)信息點(diǎn)的高校采用萬兆以太網(wǎng)技術(shù)構(gòu)建核心層是可行的。目前業(yè)務(wù)還沒完全開展起來，先采用千兆骨干，但核心設(shè)備必須支持萬兆，并且在教育行業(yè)有應(yīng)用，證明核心產(chǎn)品的成熟性和穩(wěn)定性。在實(shí)現(xiàn)端到端的以太網(wǎng)訪問的同時(shí)提高了傳輸?shù)男?，有效地保證了多媒體教學(xué)、數(shù)字圖書館等業(yè)務(wù)的開展。(2)處理能力。核心層是網(wǎng)絡(luò)高速交換的骨干，被設(shè)計(jì)成盡可能高速包轉(zhuǎn)發(fā)率，同時(shí)能夠

20、提供高速的Internet的接入和高冗余性能，同時(shí)由于各高校基本采用了Internet和CERNET雙出口，而且出口的速率不同，所以所選擇的網(wǎng)絡(luò)核心層設(shè)備應(yīng)該能夠提供多網(wǎng)絡(luò)出口的智能選擇的功能，本身能夠提供冗余特性。核心層設(shè)備須能夠支持多種不同模塊的插槽和提供多種不同的網(wǎng)絡(luò)模塊，支持到流媒體所需的網(wǎng)絡(luò)的組播協(xié)議和網(wǎng)絡(luò)的多播協(xié)議的處理能力，需要線速的數(shù)據(jù)轉(zhuǎn)發(fā)和數(shù)據(jù)交換功能，即高背板帶寬支持和高性能網(wǎng)絡(luò)處理芯片的支持；由于是核心設(shè)備，還必須考慮整體網(wǎng)絡(luò)的災(zāi)難備份和設(shè)備冗余，在設(shè)計(jì)中考慮的設(shè)備冗余需要有設(shè)備支持和協(xié)議支持，設(shè)備支持就是指在核心不能由單臺設(shè)備進(jìn)行整個(gè)網(wǎng)絡(luò)的數(shù)據(jù)交換，需要有至少兩臺設(shè)備對

21、整個(gè)網(wǎng)絡(luò)進(jìn)行有效的支撐，并已經(jīng)具備災(zāi)難備份的硬件支撐能力。在協(xié)議上，需要支持冗余協(xié)議，實(shí)現(xiàn)整體網(wǎng)絡(luò)冗余。支持在單臺設(shè)備失效的同時(shí)，在最短的時(shí)間切換，避免網(wǎng)絡(luò)損失。對于核心設(shè)備在網(wǎng)絡(luò)中的舉足輕重的位置，安全對于整個(gè)網(wǎng)絡(luò)來說也整個(gè)網(wǎng)絡(luò)的至關(guān)重要的，對于外部的黑客攻擊和內(nèi)部的病毒攻擊的屏蔽，是保證整個(gè)網(wǎng)絡(luò)運(yùn)行的關(guān)鍵。核心設(shè)備要提供完善的ACL訪問控制策略的定制，防止非法內(nèi)容的訪問；廣播包抑制及廣播源定位功能，保證網(wǎng)絡(luò)用戶安全。(3)對于未來的擴(kuò)展設(shè)計(jì)。對于在中心位置的核心設(shè)備的設(shè)計(jì)而言，隨著時(shí)代的改變，其業(yè)務(wù)結(jié)構(gòu)和規(guī)模也會改變，這樣需要整個(gè)網(wǎng)絡(luò)設(shè)備能夠?qū)ξ磥淼淖兓邆鋺?yīng)對措施；由于核心設(shè)備是數(shù)據(jù)和業(yè)

22、務(wù)的核心，所以，不能輕易的進(jìn)行更換，同時(shí)，考慮到成本的因素，除非核心設(shè)備已經(jīng)完全不能支撐目前業(yè)務(wù)的進(jìn)行，否則，基本都會采取在原來的設(shè)備增加功能支撐來滿足新業(yè)務(wù)的需求。這樣，對于未來的擴(kuò)展性就變得異常重要，核心設(shè)備擴(kuò)展槽，接插模塊類型，端口密度數(shù)應(yīng)有所考慮，以保證整體設(shè)備的高性價(jià)比。三、網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)圖3.1、系統(tǒng)設(shè)計(jì)原則校園網(wǎng)管中心基于傳統(tǒng)的INTRANET網(wǎng)絡(luò)改進(jìn)，INTRANE是在傳統(tǒng)網(wǎng)絡(luò)的基礎(chǔ)上引入了INTERNET技術(shù)發(fā)展起來的，與一般網(wǎng)絡(luò)相比，該網(wǎng)絡(luò)它具有以下優(yōu)點(diǎn)：該網(wǎng)絡(luò)相對是開放的，獨(dú)立于硬件平臺和操作系統(tǒng)，基于TCP/IP通訊協(xié)議的內(nèi)部網(wǎng)絡(luò)。組件容易，管理方便，成本較低。在傳統(tǒng)的網(wǎng)

23、絡(luò)上組建該網(wǎng)絡(luò)。由于局域網(wǎng)大多基于高帶寬的媒介，傳輸速度快。在網(wǎng)絡(luò)的安全方面而提供更加有效的控制措施，當(dāng)Intranet介入Internet，他們在物理上用防火墻來隔離，保證了網(wǎng)絡(luò)內(nèi)部的安全。3.2、網(wǎng)絡(luò)三層結(jié)構(gòu)設(shè)計(jì)校園網(wǎng)網(wǎng)絡(luò)整體分為三個(gè)層次：核心層、匯聚層、接入層。為實(shí)現(xiàn)校區(qū)內(nèi)的高速互聯(lián)，核心層由2個(gè)核心節(jié)點(diǎn)組成，包括教學(xué)區(qū)區(qū)域、服務(wù)器群；匯聚層每片區(qū)域設(shè)置一個(gè)匯聚節(jié)點(diǎn)，匯聚層為高性能“中核心”型交換機(jī)，為了保證數(shù)據(jù)傳輸和交換的效率，同時(shí)提高了網(wǎng)絡(luò)的安全性；接入層為每個(gè)區(qū)域的接入交換機(jī)，是直接與用戶相連的設(shè)備。本實(shí)施方案從網(wǎng)絡(luò)運(yùn)行的穩(wěn)定性、安全性及易于維護(hù)性出發(fā)進(jìn)行設(shè)計(jì)，以滿足客戶需求。3.

24、3、可管理性與維護(hù)原則 網(wǎng)絡(luò)建設(shè)的一項(xiàng)重點(diǎn)在于網(wǎng)絡(luò)的管理，網(wǎng)絡(luò)的建設(shè)必須保證網(wǎng)絡(luò)運(yùn)行的可管理性。在網(wǎng)絡(luò)出故障時(shí)能迅速簡便地進(jìn)行網(wǎng)絡(luò)故障的診斷。我院學(xué)校網(wǎng)絡(luò)系統(tǒng)的節(jié)點(diǎn)數(shù)目大，分布范圍廣，通信介質(zhì)多種多樣，采用的網(wǎng)絡(luò)技術(shù)也較先進(jìn)，網(wǎng)絡(luò)的管理任務(wù)加重了，如何有效地管理好網(wǎng)絡(luò)關(guān)系,是否充分有效地利用網(wǎng)絡(luò)的系統(tǒng)資源等問題就擺在我們面前。用圖形化的管理界面和簡潔的操作方式，合理地網(wǎng)絡(luò)規(guī)劃策略,可以提供強(qiáng)大的網(wǎng)絡(luò)管理功能，使網(wǎng)絡(luò)日常的維護(hù)和操作變得直觀、簡便和高效。3.4、安全性與保密性原則 信息系統(tǒng)安全問題是信息中心的任務(wù)，保證網(wǎng)絡(luò)的通暢。確保經(jīng)過該網(wǎng)絡(luò)安全地獲取信息，并保證該信息的完整和可靠。保證系統(tǒng)可

25、靠運(yùn)行，在網(wǎng)絡(luò)設(shè)計(jì)時(shí)，將從內(nèi)部訪問控制和外部防火墻兩方面保證我院校園網(wǎng)網(wǎng)絡(luò)系統(tǒng)的安全。3.5、穩(wěn)定性和可靠性可靠性對于一個(gè)網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)是至關(guān)重要的，在局域網(wǎng)中經(jīng)常發(fā)生節(jié)點(diǎn)故障或傳輸介質(zhì)故障，一個(gè)可靠性高的網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)除了可以使這些故障對整個(gè)網(wǎng)絡(luò)的影響盡可能小以外，同時(shí)還應(yīng)具有良好的故障診斷和故障隔離功能。四、設(shè)備選型表4.1網(wǎng)絡(luò)中心設(shè)備預(yù)算表名稱型號生產(chǎn)商單位數(shù)量單價(jià)金額核心交換機(jī)cisco3560思科臺27,500.0015,000.00路由器cisco2901思科臺310,000.0030,000.00交換機(jī)cisco2960思科臺13,500.003,500.00機(jī)柜圖騰（TOTEN）K

26、3.6622圖騰個(gè)13,000.003,000.00水晶頭安普（AMP）554720-3安普個(gè)1001.00100.00雙絞線安普（AMP）219420-2安普 箱1600.00600.00插板公牛（BULL) GN-109K公牛個(gè)560.00300.00光纖模塊思科XENPAK-10GB-ER思科個(gè)23,700.007,400.00防火墻思科（CISCO） ASA5505-K8思科臺13,000.003,000.00筆記本聯(lián)想Z400聯(lián)想臺44,000.0016,000.00路由器Cisco2801思科臺15,000.005,000.004.1、核心路由器選型網(wǎng)絡(luò)中心將網(wǎng)絡(luò)主干部分稱為核心層

27、采用兩臺路由器，核心層的主要目的在于通過高速轉(zhuǎn)發(fā)通信，提供可思科（Cisco）CISCO2901/K9路由器圖片及參數(shù)如下：4.2、核心交換機(jī)選型通常將網(wǎng)絡(luò)中直接面向用戶連接或訪問網(wǎng)絡(luò)的部分稱為 HYPERLINK /lemma/ShowInnerLink.htm?lemmaId=17232 t _blank 接入層，將位于 HYPERLINK /lemma/ShowInnerLink.htm?lemmaId=17232 t _blank 接入層和 HYPERLINK /lemma/ShowInnerLink.htm?lemmaId=7737826&ss_c=ssc.citiao.link t

28、 _blank 核心層之間的部分稱為分布層或 HYPERLINK /lemma/ShowInnerLink.htm?lemmaId=340375 t _blank 匯聚層， HYPERLINK /lemma/ShowInnerLink.htm?lemmaId=17232 t _blank 接入層目的是允許 HYPERLINK /lemma/ShowInnerLink.htm?lemmaId=8067465&ss_c=ssc.citiao.link t _blank 終端用戶連接到網(wǎng)絡(luò)，因此 HYPERLINK /lemma/ShowInnerLink.htm?lemmaId=17232 t _

29、blank 接入層交換機(jī)具有低成本和高 HYPERLINK /lemma/ShowInnerLink.htm?lemmaId=72285668 t _blank 端口密度特性； HYPERLINK /lemma/ShowInnerLink.htm?lemmaId=340375 t _blank 匯聚層交換機(jī)是多臺 HYPERLINK /lemma/ShowInnerLink.htm?lemmaId=17232 t _blank 接入層交換機(jī)的匯聚點(diǎn)，它必須能夠處理來自 HYPERLINK /lemma/ShowInnerLink.htm?lemmaId=17232 t _blank 接入層設(shè)備

30、的所有通信量，并提供到核心層的上行鏈路，因此 HYPERLINK /lemma/ShowInnerLink.htm?lemmaId=340375 t _blank 匯聚層交換機(jī)與 HYPERLINK /lemma/ShowInnerLink.htm?lemmaId=17232 t _blank 接入層交換機(jī)比較，需要更高的性能，更少的接口和更高的交換速率。而將網(wǎng)絡(luò)主干部分稱為核心層，核心層的主要目的在于通過高速轉(zhuǎn)發(fā)通信，提供優(yōu)化、可靠的骨干傳輸結(jié)構(gòu)，因此 HYPERLINK /lemma/ShowInnerLink.htm?lemmaId=70057870 t _blank 核心層交換機(jī)應(yīng)用有

31、更高的可靠性能和 HYPERLINK /lemma/ShowInnerLink.htm?lemmaId=193443 t _blank 吞吐量。思科（Cisco）CISCO WS-C2960-24TS-L圖片及參數(shù)如下：4.3、防火墻選型在網(wǎng)絡(luò)中，所謂“防火墻”，是指一種將內(nèi)部網(wǎng)和公眾訪問網(wǎng)(如Internet)分開的方法，它實(shí)際上是一種隔離技術(shù)。防火墻是在兩個(gè)網(wǎng)絡(luò)通訊時(shí)執(zhí)行的一種訪問控制尺度，它能允許你“同意”的人和數(shù)據(jù)進(jìn)入你的網(wǎng)絡(luò)，同時(shí)將你“不同意”的人和數(shù)據(jù)拒之門外，最大限度地阻止網(wǎng)絡(luò)中的黑客來訪問你的網(wǎng)絡(luò)。換句話說，如果不通過防火墻，公司內(nèi)部的人就無法訪問Internet，Intern

32、et上的人也無法和公司內(nèi)部的人進(jìn)行通信。CISCO ASA5505-k8圖片及參數(shù)如下：五、基本配置51 VLAN的應(yīng)用VLAN是一個(gè)在物理網(wǎng)絡(luò)上根據(jù)用途，工作組、應(yīng)用等來邏輯劃分的局域網(wǎng)絡(luò)，是一個(gè)廣播域，與用戶的物理位置沒有關(guān)系。VLAN中的網(wǎng)絡(luò)用戶是通過LAN交換機(jī)來通信的。一個(gè)VLAN中的成員看不到另一個(gè)VLAN中的成員。同一個(gè)VLAN中的所有成員共同擁有一個(gè)VLAN ID，組成一個(gè)虛擬局域網(wǎng)絡(luò)；同一個(gè)VLAN中的成員均能收到同一個(gè)VLAN中的其他成員發(fā)來的廣播包，但收不到其他VLAN中成員發(fā)來的廣播包；不同VLAN成員之間不可直接通信，需要通過路由支持才能通信，而同一VLAN中的成員通

33、過VLAN交換機(jī)可以直接通信，不需路由支持。 VLAN的特性是：控制通信活動(dòng)，隔離廣播數(shù)據(jù)順化網(wǎng)絡(luò)管理，便于工作組優(yōu)化組合，VLAN中的成員只要擁有一個(gè)VLAN ID就可以不受物理位置的限制，隨意移動(dòng)工作站的位置；增加網(wǎng)絡(luò)的安全性，VLAN交換機(jī)就是一道道屏風(fēng)，只有具備VLAN成員資格的分組數(shù)據(jù)才能通過，這比用計(jì)算機(jī)服務(wù)器做防火墻要安全得多；網(wǎng)絡(luò)帶寬得到充分利用，網(wǎng)絡(luò)性能大大提高。 52 VLAN的劃分及配置5.2.1VLAN的劃分表VLAN10連接到辦公區(qū)域VLAN20連接到教學(xué)區(qū)域VLAN30連接到宿舍區(qū)域VLAN40連接到內(nèi)部防火墻和服務(wù)器S1# interface FastEthern

34、et0/3 switchport access vlan 10 switchport mode access /S1將fa 0/3端口應(yīng)用于VLAN10interface FastEthernet0/4 switchport access vlan 20 switchport mode acces /S1將fa 0/4端口應(yīng)用于VLAN20interface FastEthernet0/5 switchport access vlan 30 switchport mode access /S1將fa 0/5端口應(yīng)用于VLAN30interface FastEthernet0/6 switchp

35、ort access vlan 40 switchport mode access /S1將fa 0/6端口應(yīng)用于VLAN40S2與S1VLAN劃分相同53 IP地址分配及配置IP 地址是我們進(jìn)行TCP/IP通訊的基礎(chǔ)，每個(gè)連接到網(wǎng)絡(luò)上的計(jì)算機(jī)都必須有一個(gè)IP地址。我們目前使用的IP地址是32位的，通常以點(diǎn)分十進(jìn)制表示。一個(gè)簡單的IP地址其實(shí)包含了網(wǎng)絡(luò)地址和主機(jī)地址兩部分重要的信息。5.3.1設(shè)備管理IP地址規(guī)劃表名稱設(shè)備名稱接口IP地址子網(wǎng)掩碼VLAN備注互聯(lián)網(wǎng)路由器1cisco2901s0/3/118連接InternetzhuR1s0/3

36、/022連接到beifenR2互聯(lián)網(wǎng)路由器2cisco2901s0/3/05連接到zhuR1s0/3/13連接到beifenR2互聯(lián)網(wǎng)路由器zhuR1cisco2901s0/3/119連接到互聯(lián)網(wǎng)路由器1s0/3/06連接到互聯(lián)網(wǎng)路由器2fa0/0連接到S1fa0/連接到S2三層交換機(jī)S1cisco

37、3560fa0/連接到zhuR1fa0/連接到beifenR2fa0/3VLAN10連接到辦公區(qū)域fa0/4VLAN20連接到教學(xué)區(qū)域fa0/5VLAN30連接到宿舍區(qū)域fa0/6VLAN40連接到內(nèi)部服務(wù)器三層交換機(jī)S2cisco3560fa0/連接到beifenR2fa0/連接到zhuR1f

38、a0/3VLAN10連接到辦公區(qū)域fa0/4VLAN20連接到教學(xué)區(qū)域fa0/5VLAN30連接到宿舍區(qū)域fa0/6VLAN40連接到內(nèi)部服務(wù)器二層交換機(jī)cisco2960連接到S1和S2，防火墻防火墻cisco5505outsidee0/00連接到S1和S2 insidee0/154連接到管理PC

39、dmz54連接到服務(wù)器群聯(lián)想計(jì)算機(jī)PCfa0/0連接到防火墻inside服務(wù)器群fa0/0連接到防火墻DMZzhuR1#interface GigabitEthernet0/0ip address /配置zhuR1 gi 0/0接口IP地址interface GigabitEthernet0/1ip address /配置zhuR1 gi 0/1接口IP地址interface Serial0/3/0ip address 6 /配置zhuR1 s0

40、/3/0接口IP地址interface Serial0/3/1ip address 19 /配置zhuR1 s0/3/1接口IP地址beifenR2#interface FastEthernet0/0ip address /配置beifenR2 fa0/0 接口IP地址interface FastEthernet0/1ip address /配置beifenR2 fa0/1 接口IP地址interface Serial0/3/0ip address 21 /配置beifenR2 s0/3/0 接口IP地址interface Serial0/3/1ip address 4 /配置beifenR2

41、 s0/3/1 接口IP地址S1#interface Port-channel1no switchportip address /配置交換機(jī)S1聚合端Port-channel1 IP地址interface FastEthernet0/1no switchportip address /配置交換機(jī)S1 fa0/1 IP地址interface FastEthernet0/2no switchportip address /配置交換機(jī)S1 fa0/2 IP地址interface Vlan10ip address /配置VLAN10 IP地址interface Vlan20ip address /配置

42、VLAN20 IP地址interface Vlan30ip address /配置VLA30 IP地址interface Vlan40ip address /配置VLAN40 IP地址S2# interface Port-channel1no switchportip address /配置交換機(jī)S2聚合端Port-channel1 IP地址interface FastEthernet0/1no switchportip address /配置交換機(jī)S2 fa0/1 IP地址interface FastEthernet0/2no switchportip address /配置交換機(jī)S2 fa

43、0/2 IP地址interface Vlan10ip address /配置VLAN10 IP地址interface Vlan20ip address /配置VLAN20 IP地址interface Vlan30ip address /配置VLAN30 IP地址interface Vlan40ip address /配置VLAN40 IP地址54 路由器基本配置zhuR1#hostname zhuR1 /配置路由器主機(jī)名line con 0password 123456login /配置路由器控制口登錄密碼line vty 0 4password ciscologin/配置路由器遠(yuǎn)程登錄密碼（

44、其他設(shè)備大多配置相同）55 csico2600的密碼恢復(fù)重新啟動(dòng)路由器，在啟動(dòng)過程中按下ctrl+break鍵，使路由器進(jìn)入rom monitor模式。在提示符下輸入命令修改配置寄存器的值，然后重新啟動(dòng)路由器。rommon1confreg 02142rommon2reset重新啟動(dòng)路由器后進(jìn)入setup模式，選擇“no”，退回到exec模式，此時(shí)路由器原有的配置仍然保存在startup-config中，為使路由器恢復(fù)密碼后配置不變，則需要把startup-config中配置保存到running-config中，然后重新設(shè)置enable密碼，并把配置寄存器的值改回02102。routerenab

45、lerouter#copy startup-config running-configrouter#configure terminalrouter(config)#enable password ciscorouter(config)#config-register 02102保存當(dāng)前配置到startup-config , 重新啟動(dòng)路由器。router #copy running-config startup-configrouter #reload56灌注cisco路由器IOS步驟：設(shè)置電腦的IP地址為（這個(gè)隨便，只要和路由器設(shè)的在同一個(gè)網(wǎng)段就行），子網(wǎng)掩碼，默認(rèn)網(wǎng)關(guān)打開電腦的tftp_s

46、erver服務(wù)器軟件，將目錄改為下載下來的IOS文件目錄，不要關(guān)閉這個(gè)軟件。用交叉線和console線連接電腦和路由器，打開電腦的SecureCRT軟件，選擇serial口COM*。啟動(dòng)路由器，快速按下Ctrl+Break，這是CRT中顯示rommon1，提示你輸入命令。配置步驟如下：Rommon1tftpdnld /這時(shí)顯示出現(xiàn)提示，相關(guān)信息沒有配置Rommon2IP_ADDRESS= /設(shè)置路由器IP，保證電腦與路由器在同一網(wǎng)段Rommon3IP_SUBNET_MASK= /設(shè)置路由器子網(wǎng)掩碼Rommon4DEFAULT_GATEWAY=54 /設(shè)置默認(rèn)網(wǎng)關(guān)Rommon5TFTP_SERV

47、ER= /服務(wù)器IP地址，這里是電腦IP地址Rommon6TFTP_FILE= c3640-jk9o3s-mz.124-12.bin /IOS文件名Rommon7tftpdnld /啟動(dòng)接收文件這時(shí)候會提示你是否刪除flash中的所有文件，選擇y，接著開始接收IOS文件。傳輸完成后，會自動(dòng)進(jìn)行相關(guān)初始化和配置，等這個(gè)過程結(jié)束后，輸入reset重啟路由器就可以正常試用了。57防火墻基本配置interface Vlan11 nameif outside/把VLAN11配置為outside口 security-level 0/配置outside口的安全級別為0 ip address 0 /配置IP地

48、址interface Vlan22 nameif inside/把VLAN11配置為outside口 security-level 100/配置outside口的安全級別為0 ip address 54 /配置IP地址interface Vlan33 no forward interface Vlan2/由于asa5505限制，配置dmz轉(zhuǎn)寄 nameif dmz/把VLAN11配置為outside口 security-level 50/配置outside口的安全級別為0 ip address 54 /配置IP地址六、網(wǎng)絡(luò)主要配置路由器主要有以下幾種功能：第一，網(wǎng)絡(luò)互連，路由器支持各種局域網(wǎng)和

49、廣域網(wǎng)接口，主要用于互連局域網(wǎng)和廣域網(wǎng)，實(shí)現(xiàn)不同網(wǎng)絡(luò)互相通信;第二，數(shù)據(jù)處理，提供包括分組過濾、分組轉(zhuǎn)發(fā)、優(yōu)先級、復(fù)用、加密、壓縮和防火墻等功能；第三，網(wǎng)絡(luò)管理，路由器提供包括配置管理、性能管理、容錯(cuò)管理和流量控制等功能。6.1配置動(dòng)態(tài)路由協(xié)議是網(wǎng)絡(luò)中的路由器之間相互通信，傳遞路由信息，利用收到的路由信息更新路由器表的過程。它能實(shí)時(shí)地適應(yīng)網(wǎng)絡(luò)結(jié)構(gòu)的變化。如果路由更新信息表明發(fā)生了網(wǎng)絡(luò)變化，路由選擇軟件就會重新計(jì)算路由，并發(fā)出新的路由更新信息。這些信息通過各個(gè)網(wǎng)絡(luò)，引起各路由器重新啟動(dòng)其路由算法，并更新各自的路由表以動(dòng)態(tài)地反映網(wǎng)絡(luò)拓?fù)渥兓?。?dòng)態(tài)路由適用于網(wǎng)絡(luò)規(guī)模大、網(wǎng)絡(luò)拓?fù)鋸?fù)雜的網(wǎng)絡(luò)。當(dāng)然，各種

50、動(dòng)態(tài)路由協(xié)議會不同程度地占用網(wǎng)絡(luò)帶寬和CPU資源。6.2三層交換機(jī)路由配置S1： router ospf 1 network 55 area 0 network 55 area 0 network 55 area 0 network 55 area 0 network 55 area 0 network 55 area 0 network 55 area 0network 55 area 0/配置S1的動(dòng)態(tài)路由協(xié)議ospfS2： router ospf 1 network 55 area 0 network 55 area 0 network 55 area 0 network 55 area

51、 0 network 55 area 0 network 55 area 0 network 55 area 0/配置S2的動(dòng)態(tài)路由協(xié)議6.3路由器路由配置ZhuR1:router ospf 1network 55 area 0network 55 area 0/配置R1路由器的動(dòng)態(tài)路由協(xié)議ip route Serial0/3/1/配置R1路由器默認(rèn)路由beifenR2#router ospf 1network 55 area 0network 55 area 0/配置R2路由器的動(dòng)態(tài)路由協(xié)議ip route Serial0/3/0/配置R1路由器默認(rèn)路由6.4雙出口網(wǎng)絡(luò)由于中國教育科研網(wǎng)與一

52、般的電信級運(yùn)營網(wǎng)絡(luò)不同，沒有非常充裕的線路、設(shè)備冗余，有可能發(fā)生單點(diǎn)故障，對于校園網(wǎng)的穩(wěn)定運(yùn)行有一定的影響。同時(shí)，通過CERNET訪問其他的共眾網(wǎng)如CHINANET、GBNET等速率緩慢。隨著校園網(wǎng)用戶量增加和基于校園網(wǎng)絡(luò)的各種網(wǎng)絡(luò)應(yīng)用的展開，要求校園網(wǎng)絡(luò)出口具有較高的網(wǎng)絡(luò)帶寬，原有單一的CERNET出口已不能滿足，有必要進(jìn)一步擴(kuò)大帶寬，通過當(dāng)?shù)鼐W(wǎng)絡(luò)服務(wù)提供商（ISP）開辟第二出口連入INTERNET是較好的解決途徑，許多學(xué)校采用了教育網(wǎng)和電信（或聯(lián)通、電信等）第二出口的雙出口方案，既可以保留教育網(wǎng)資源，同時(shí)可以增加帶寬，提高了訪問INTERNET資源的速度。6.4.1配置基于策略的路由協(xié)議傳

53、統(tǒng)上，路由器使用路由表，根據(jù)目的地址進(jìn)行報(bào)文的轉(zhuǎn)發(fā)?；诓呗缘穆酚蔀榫W(wǎng)絡(luò)管理者提供了比傳統(tǒng)路由協(xié)議對報(bào)文的轉(zhuǎn)發(fā)和存儲更強(qiáng)的控制能力，策略路由不僅能夠根據(jù)目的地址而且能夠根據(jù)報(bào)文大小，應(yīng)用或IP源地址等來選擇轉(zhuǎn)發(fā)路徑。策略路由使網(wǎng)絡(luò)管理者能根據(jù)實(shí)際需要，靈活的決定一個(gè)報(bào)文采取的具體路徑。而在當(dāng)今復(fù)雜的網(wǎng)絡(luò)中，這種選擇的自由性是很重要的。策略路由是設(shè)置在接收報(bào)文接口而不是發(fā)送接口，它采用MATCH和SET語句實(shí)現(xiàn)路徑的選擇。當(dāng)前的主流路由設(shè)備(路由器，多層交換機(jī))基本上都可以支持策略路由。6.4.2基于源的策略基于源策略的路由選擇允許用戶根據(jù)信息量的始發(fā)地做出路由選擇決定。ZhuR1:access

54、-list 10 permit 55access-list 20 permit 55access-list 30 permit 55access-list 40 permit 55/配置允許的數(shù)據(jù)流量route-map cisco1 permit 20match ip address 20set interface Serial0/3/0 Serial0/3/1 /配置20網(wǎng)段首先走s0/3/0,其次走路s0/3/1route-map cisco1 permit 30match ip address 30set interface Serial0/3/0 Serial0/3/1/配置30網(wǎng)段首

55、先走s0/3/0,其次走路s0/3/1route-map cisco permit 10match ip address 10set interface Serial0/3/1 Serial0/3/0/配置10網(wǎng)段首先走s0/3/1,其次走路s0/3/0route-map cisco permit 40match ip address 40set interface Serial0/3/1 Serial0/3/0/配置40網(wǎng)段首先走s0/3/1,其次走路s0/3/0BeifenR2:access-list 10 permit 55access-list 20 permit 55access-l

56、ist 30 permit 55access-list 40 permit 55/配置允許的數(shù)據(jù)流量route-map cisco1 permit 20match ip address 20set interface Serial0/3/1 Serial0/3/0/配置20網(wǎng)段首先走s0/3/1,其次走路s0/3/0route-map cisco1 permit 30match ip address 30set interface Serial0/3/1 Serial0/3/0/配置30網(wǎng)段首先走s0/3/1,其次走路s0/3/0route-map cisco permit 10match i

57、p address 10set interface Serial0/3/0 Serial0/3/1/配置10網(wǎng)段首先走s0/3/0,其次走路s0/3/1route-map cisco permit 40match ip address 40set interface Serial0/3/0 Serial0/3/1/配置40網(wǎng)段首先走s0/3/0,其次走路s0/3/1七、網(wǎng)絡(luò)安全與管理7.1網(wǎng)絡(luò)安全校園網(wǎng)的安全威脅主要來源于兩大塊，一塊是來自于網(wǎng)內(nèi)，一塊來自于網(wǎng)外。來源于網(wǎng)內(nèi)的威脅主要是病毒攻擊和黑客行為攻擊。根據(jù)統(tǒng)計(jì)，威脅校園網(wǎng)安全的攻擊行為大概有40左右是來自于網(wǎng)絡(luò)內(nèi)部，如何防范來自于內(nèi)部的

58、攻擊是校園網(wǎng)網(wǎng)絡(luò)安全防護(hù)體系需要重點(diǎn)關(guān)注的地方。7.2造成這些現(xiàn)狀的原因7.2.1網(wǎng)絡(luò)安全維護(hù)的投入不足。網(wǎng)絡(luò)安全維護(hù)的工作量是很大的,并且很困難,需要一定的人力、物力,然而大多數(shù)學(xué)校在校園網(wǎng)上的設(shè)備投入和人員投入很不充足,有限的經(jīng)費(fèi)也往往主要用在網(wǎng)絡(luò)設(shè)備購置上,對于網(wǎng)絡(luò)安全建設(shè),普遍沒有比較系統(tǒng)的投入。7.2.2網(wǎng)絡(luò)管理員責(zé)任心不強(qiáng)。很多學(xué)校的網(wǎng)絡(luò)管理員的都具有一定的專業(yè)水平,基本可以勝任本職工作,但是可能由于學(xué)校領(lǐng)導(dǎo)對網(wǎng)絡(luò)安全不是很重視,或者因?yàn)閭€(gè)人某些方面的原因,造成工作熱情不高、責(zé)任心不強(qiáng),所以也就不會花很多的心思去維護(hù)網(wǎng)絡(luò)、維護(hù)硬件。7.2.3師生的網(wǎng)絡(luò)安全意識和觀念淡薄。很多學(xué)生包

59、括部分教師對網(wǎng)絡(luò)安全不夠重視,法律意識也不是很強(qiáng)。通過網(wǎng)絡(luò),或通過帶毒的移動(dòng)存儲介質(zhì),經(jīng)常有意無意的傳播病毒,攻擊校園網(wǎng)系統(tǒng),干擾校園網(wǎng)的安全運(yùn)行。7.2.4盜版資源泛濫。由于缺乏版權(quán)意識,盜版軟件、影視資源在校園網(wǎng)中普遍使用,這些軟件的傳播一方面占用了大量的網(wǎng)絡(luò)帶寬,另一方面也給網(wǎng)絡(luò)安全帶來了一定的隱患。比如,盜版安裝的計(jì)算機(jī)系統(tǒng)今后會留下大量的安全漏洞。系統(tǒng)自動(dòng)更新引起的電腦黑屏事件,就是因?yàn)镸icrosoft公司對盜版的XP操作系統(tǒng)的更新作了限制。另一方面,從網(wǎng)絡(luò)上隨意下載的軟件中可能隱藏木馬、后門等惡意代碼,許多系統(tǒng)因此被攻擊者侵入和利用。7.3安全接入和配置安全接入和配置是指在物理(控制臺)或邏輯(telnet)端口接入網(wǎng)絡(luò)基礎(chǔ)設(shè)施設(shè)備前必須通過認(rèn)證和授權(quán)限制，從而為網(wǎng)絡(luò)基礎(chǔ)設(shè)施提供安全性。限制遠(yuǎn)程訪問的安全設(shè)置方法如下表：訪問方式保證網(wǎng)絡(luò)設(shè)備安全的方法備注Console控制接口的訪問設(shè)置密碼和超時(shí)限制建議超時(shí)限制設(shè)成5分鐘進(jìn)入特權(quán)exec和設(shè)備配置級別的命令行配置Radius來記錄logon/logout時(shí)間和操作活動(dòng)；配置至少一個(gè)本地賬戶作應(yīng)急之用telnet訪問采用ACL限制，指定從特定的IP地址來進(jìn)行telnet訪問；配置Radius安全紀(jì)錄方案；設(shè)置超時(shí)限制SSH訪問激