畢業(yè)論文-校園網(wǎng)絡網(wǎng)管中心設計

1、 校園網(wǎng)絡網(wǎng)管中心設計計算機網(wǎng)絡專業(yè)畢業(yè)論文（設計）題 目 校園網(wǎng)絡網(wǎng)管中心設計 班 級 ） 作 者 學 號 培養(yǎng)單位 指導教師 日 期 2015年12月23日 校園網(wǎng)絡網(wǎng)管中心設計【摘要】 隨著Internet的迅猛發(fā)展，人們對于網(wǎng)絡信息時代的需求越來越迫切，網(wǎng)絡的應用越來越廣泛。作為高等人才的培訓場所，校園網(wǎng)建設的需求也越來越大，教師、學生、管理人員等對一個先進的網(wǎng)絡環(huán)境的要求也十分迫切。因此，建設校園網(wǎng)具有非常大的理論意義和實踐意義。本設計實在局域網(wǎng)技術和目前網(wǎng)絡發(fā)展技術的基礎上，分析了校園網(wǎng)的各種功能需求和建設原則，并且闡述了網(wǎng)絡結(jié)構技術和網(wǎng)絡拓撲結(jié)構設計。在網(wǎng)絡設計中，實現(xiàn)各個網(wǎng)絡對

2、應各種的功能，實現(xiàn)校園的一體化、資源化、共享化等，從而保證校園網(wǎng)絡能適應未來網(wǎng)絡的快速發(fā)展?！娟P鍵詞】：網(wǎng)絡 安全 系統(tǒng) 技術 配置The design and configuration of campus network safetyAbstract With the rapid development of Internet, the demand for network information age is more and more urgent, the application of network is more and more widely.As the higher tal

3、ents training venues, the construction of campus network is also growing demand,Teachers, students, managers and other requirements for an advanced network environment is also very urgent.Therefore, it has very large theoretical and practical significance of the construction of campus network.The ba

4、sis for this design is LAN technology and the current network technology development, analysis of the various functional requirements and principle of construction of campus network,and describes the structure of the network technology and network topology design.In the network design, the realizati

5、on of every network corresponding to various functions, integration, resource sharing, etc. so as to ensure the realization of the campus, the campus network can adapt to the rapid development of the network of the future.Key word:Network Safety System Technology configure目 錄 TOC o 1-3 h z u HYPERLI

6、NK l _Toc438557388 一、綜述 PAGEREF _Toc438557388 h 6 HYPERLINK l _Toc438557389 二、項目介紹 PAGEREF _Toc438557389 h 6 HYPERLINK l _Toc438557390 2.1、設計目標 PAGEREF _Toc438557390 h 6 HYPERLINK l _Toc438557391 2.2、設計的關鍵 PAGEREF _Toc438557391 h 7 HYPERLINK l _Toc438557392 2.2.1.網(wǎng)絡技術選型 PAGEREF _Toc438557392 h 7 HYP

7、ERLINK l _Toc438557393 2.2.2.校園網(wǎng)的出口解決方案 PAGEREF _Toc438557393 h 7 HYPERLINK l _Toc438557394 2.2.3.網(wǎng)絡核心設備的選擇 PAGEREF _Toc438557394 h 8 HYPERLINK l _Toc438557395 三、網(wǎng)絡拓撲結(jié)構圖 PAGEREF _Toc438557395 h 10 HYPERLINK l _Toc438557396 3.1、系統(tǒng)設計原則 PAGEREF _Toc438557396 h 10 HYPERLINK l _Toc438557397 3.2、網(wǎng)絡三層結(jié)構設計

8、PAGEREF _Toc438557397 h 11 HYPERLINK l _Toc438557398 3.3、可管理性與維護原則 PAGEREF _Toc438557398 h 11 HYPERLINK l _Toc438557399 3.4、安全性與保密性原則 PAGEREF _Toc438557399 h 12 HYPERLINK l _Toc438557400 3.5、穩(wěn)定性和可靠性 PAGEREF _Toc438557400 h 12 HYPERLINK l _Toc438557401 四、設備選型 PAGEREF _Toc438557401 h 12 HYPERLINK l _T

9、oc438557402 4.1、核心路由器選型 PAGEREF _Toc438557402 h 13 HYPERLINK l _Toc438557403 4.2、核心交換機選型 PAGEREF _Toc438557403 h 14 HYPERLINK l _Toc438557404 4.3、防火墻選型 PAGEREF _Toc438557404 h 16 HYPERLINK l _Toc438557405 五、基本配置 PAGEREF _Toc438557405 h 17 HYPERLINK l _Toc438557406 51 VLAN的應用 PAGEREF _Toc438557406 h

10、17 HYPERLINK l _Toc438557407 52 VLAN的劃分及配置 PAGEREF _Toc438557407 h 18 HYPERLINK l _Toc438557408 53 IP地址分配及配置 PAGEREF _Toc438557408 h 19 HYPERLINK l _Toc438557409 54 路由器基本配置 PAGEREF _Toc438557409 h 24 HYPERLINK l _Toc438557410 55 csico2600的密碼恢復 PAGEREF _Toc438557410 h 25 HYPERLINK l _Toc438557411 56灌

11、注cisco路由器IOS PAGEREF _Toc438557411 h 26 HYPERLINK l _Toc438557412 57防火墻基本配置 PAGEREF _Toc438557412 h 27 HYPERLINK l _Toc438557413 六、網(wǎng)絡主要配置 PAGEREF _Toc438557413 h 28 HYPERLINK l _Toc438557414 6.1配置動態(tài)路由協(xié)議 PAGEREF _Toc438557414 h 28 HYPERLINK l _Toc438557415 6.2三層交換機路由配置 PAGEREF _Toc438557415 h 29 HYPE

12、RLINK l _Toc438557416 6.3路由器路由配置 PAGEREF _Toc438557416 h 30 HYPERLINK l _Toc438557417 6.4雙出口網(wǎng)絡 PAGEREF _Toc438557417 h 30 HYPERLINK l _Toc438557418 6.4.1配置基于策略的路由協(xié)議 PAGEREF _Toc438557418 h 31 HYPERLINK l _Toc438557419 6.4.2基于源的策略 PAGEREF _Toc438557419 h 31 HYPERLINK l _Toc438557420 七、網(wǎng)絡安全與管理 PAGEREF

13、 _Toc438557420 h 33 HYPERLINK l _Toc438557421 7.1網(wǎng)絡安全 PAGEREF _Toc438557421 h 33 HYPERLINK l _Toc438557422 7.2造成這些現(xiàn)狀的原因 PAGEREF _Toc438557422 h 34 HYPERLINK l _Toc438557423 7.3安全接入和配置 PAGEREF _Toc438557423 h 35 HYPERLINK l _Toc438557424 總結(jié) PAGEREF _Toc438557424 h 38 HYPERLINK l _Toc438557425 致謝 PAGE

14、REF _Toc438557425 h 39一、綜述隨著計算機網(wǎng)絡的發(fā)展，校園網(wǎng)已經(jīng)成為高等院校走向信息化時代的必然發(fā)展趨勢，使我國高等教育管理向智能化發(fā)展。它是網(wǎng)絡技術和電子信息技術和高等院校發(fā)展相結(jié)合的產(chǎn)物。校園網(wǎng)以信息資源為根本，硬件網(wǎng)絡系統(tǒng)為物質(zhì)基礎，同時以網(wǎng)絡軟件系統(tǒng)實現(xiàn)系統(tǒng)的管理與使用，是一個具有寬帶通路和交互功能的專業(yè)性局域網(wǎng)，應具有教學、科研、管理和通訊等四大功能。校園網(wǎng)網(wǎng)絡的安全十分重要，它承載著學校的教務、行政、后勤、圖書資料、對外聯(lián)絡等方面的事務處理。但是，緊隨信息化發(fā)展的網(wǎng)絡安全問題日漸突出，網(wǎng)絡安全問題已成為信息時代人類共同面臨的挑戰(zhàn)，網(wǎng)絡信息安全問題成為當務之急，如

15、果不能很好地解決這個問題，必將阻礙信息化發(fā)展的進程。校園網(wǎng)絡的建設并不是一件容易的事情，在建設過程中，我們應該考慮校園網(wǎng)的特殊情況，考慮滿足網(wǎng)絡設施、路由配置、信息資源等等的需求。冰球考慮到未來校園擴建的可能和在校人數(shù)的增加，我們要針對這種情況考慮到網(wǎng)絡擴容的必要性。二、項目介紹2.1、設計目標校園網(wǎng)的設計目標簡而言之是將各種不同應用的信息資源通過高性能的網(wǎng)絡設備相互連接起來，形成校園區(qū)內(nèi)部的Intranet系統(tǒng)，對外通過路由設備接入廣域網(wǎng)。具體而言這樣的設計目標應該是：建設一個以辦公自動化、計算機輔助教學、現(xiàn)代計算機校園文化為核心，以現(xiàn)代網(wǎng)絡技術為依托、技術先進、擴展性強、覆蓋全校樓宇的校園

16、主干網(wǎng)絡，將學校的各種PC機工作站、終端設備和局域網(wǎng)連接起來，并與有關廣域網(wǎng)相連:在網(wǎng)上宣傳和獲取教育資源;在此基礎上建立能滿足教學、科研和管理工作需要的軟、硬件環(huán)境;開發(fā)各類信息庫和應用系統(tǒng)，為學校各類人員提供充分的網(wǎng)絡信息服務;系統(tǒng)總體設計本著總體規(guī)劃、分布實施的原則，充分體現(xiàn)系統(tǒng)的技術先進性、高度的安全可靠性、良好的開放性、可擴展性，以及建設經(jīng)濟性。2.2、設計的關鍵2.2.1.網(wǎng)絡技術選型在校園網(wǎng)網(wǎng)絡的建設中，主干網(wǎng)選擇何種網(wǎng)絡技術對網(wǎng)絡建設的成功與否起著決定性的作用。選擇適合校園網(wǎng)絡需求特點的主流網(wǎng)絡技術，不但能保證網(wǎng)絡的高性能，還能保證網(wǎng)絡的先進性和擴展性，能夠在未來向更新技術平滑

17、過度，保護用戶的投資。所以要根據(jù)實際應用的需要，采用千兆以太網(wǎng)作為校園網(wǎng)的主干網(wǎng)，因為作為整個校園網(wǎng)的信息交換中心，網(wǎng)絡的速度會直接影響到其他各子網(wǎng)的性能;在建設多媒體教室時，由于網(wǎng)絡中將會有很多的圖像和聲音的傳輸，因此對帶寬和傳輸速度有很高的要求，采用快速以太網(wǎng)就是最好的選擇；而對于其他一些只有諸如簡單文件傳輸之類的應用的環(huán)境，采用以太網(wǎng)就能滿足要求。不同網(wǎng)絡技術的復雜程度，在一定程度上直接影響校園網(wǎng)的維護、管理和使用效果。千兆以太網(wǎng)繼承了以太網(wǎng)的技術簡單，容易學習掌握的特點，是校園網(wǎng)的首選技術。2.2.2.校園網(wǎng)的出口解決方案目前，高校校園網(wǎng)IP資源及注冊域名基本來源于中國教育科研計算機網(wǎng)

18、CERNET，但資費比較高，除了重點高校，帶寬也受到了很大限制。而隨著用戶數(shù)量的不斷增加，多數(shù)高校原有CERNET接入帶寬已不能滿足需求，擴大校園網(wǎng)出口帶寬迫在眉睫，但擴大出口帶寬帶來的一個直接問題便是網(wǎng)絡信息費的急劇增大，與CERNET相比，通過本地ISP接入CHINANET，在相同接入帶寬的情況下費用較低。所以，采用雙出口方案是高校校園網(wǎng)發(fā)展的一個新趨勢，它綜合運用了靜態(tài)、網(wǎng)絡地址轉(zhuǎn)換和策略路由等技術，充分整合了CERNET及本地ISP的優(yōu)勢資源，是一種行之有效的校園網(wǎng)出口瓶頸解決方案。2.2.3.網(wǎng)絡核心設備的選擇(1)骨干帶寬的選擇。網(wǎng)絡應用的增加對網(wǎng)絡帶寬提出了直接的需求。事實上，從

19、1983年802.3標準的正是成立開始，以太網(wǎng)技術經(jīng)過20年的發(fā)展，已進入萬兆以太網(wǎng)（802.3ae標準）的時代。校園網(wǎng)絡應用也是極其豐富的。并且隨著組播技術在校園的應用，校園網(wǎng)核心層將面臨嚴峻的考驗。出于對網(wǎng)絡發(fā)展的考慮，基于網(wǎng)絡業(yè)務的發(fā)展，在擁有近萬個信息點的高校采用萬兆以太網(wǎng)技術構建核心層是可行的。目前業(yè)務還沒完全開展起來，先采用千兆骨干，但核心設備必須支持萬兆，并且在教育行業(yè)有應用，證明核心產(chǎn)品的成熟性和穩(wěn)定性。在實現(xiàn)端到端的以太網(wǎng)訪問的同時提高了傳輸?shù)男?，有效地保證了多媒體教學、數(shù)字圖書館等業(yè)務的開展。(2)處理能力。核心層是網(wǎng)絡高速交換的骨干，被設計成盡可能高速包轉(zhuǎn)發(fā)率，同時能夠

20、提供高速的Internet的接入和高冗余性能，同時由于各高?；静捎昧薎nternet和CERNET雙出口，而且出口的速率不同，所以所選擇的網(wǎng)絡核心層設備應該能夠提供多網(wǎng)絡出口的智能選擇的功能，本身能夠提供冗余特性。核心層設備須能夠支持多種不同模塊的插槽和提供多種不同的網(wǎng)絡模塊，支持到流媒體所需的網(wǎng)絡的組播協(xié)議和網(wǎng)絡的多播協(xié)議的處理能力，需要線速的數(shù)據(jù)轉(zhuǎn)發(fā)和數(shù)據(jù)交換功能，即高背板帶寬支持和高性能網(wǎng)絡處理芯片的支持；由于是核心設備，還必須考慮整體網(wǎng)絡的災難備份和設備冗余，在設計中考慮的設備冗余需要有設備支持和協(xié)議支持，設備支持就是指在核心不能由單臺設備進行整個網(wǎng)絡的數(shù)據(jù)交換，需要有至少兩臺設備對

21、整個網(wǎng)絡進行有效的支撐，并已經(jīng)具備災難備份的硬件支撐能力。在協(xié)議上，需要支持冗余協(xié)議，實現(xiàn)整體網(wǎng)絡冗余。支持在單臺設備失效的同時，在最短的時間切換，避免網(wǎng)絡損失。對于核心設備在網(wǎng)絡中的舉足輕重的位置，安全對于整個網(wǎng)絡來說也整個網(wǎng)絡的至關重要的，對于外部的黑客攻擊和內(nèi)部的病毒攻擊的屏蔽，是保證整個網(wǎng)絡運行的關鍵。核心設備要提供完善的ACL訪問控制策略的定制，防止非法內(nèi)容的訪問；廣播包抑制及廣播源定位功能，保證網(wǎng)絡用戶安全。(3)對于未來的擴展設計。對于在中心位置的核心設備的設計而言，隨著時代的改變，其業(yè)務結(jié)構和規(guī)模也會改變，這樣需要整個網(wǎng)絡設備能夠?qū)ξ磥淼淖兓邆鋺獙Υ胧?；由于核心設備是數(shù)據(jù)和業(yè)

22、務的核心，所以，不能輕易的進行更換，同時，考慮到成本的因素，除非核心設備已經(jīng)完全不能支撐目前業(yè)務的進行，否則，基本都會采取在原來的設備增加功能支撐來滿足新業(yè)務的需求。這樣，對于未來的擴展性就變得異常重要，核心設備擴展槽，接插模塊類型，端口密度數(shù)應有所考慮，以保證整體設備的高性價比。三、網(wǎng)絡拓撲結(jié)構圖3.1、系統(tǒng)設計原則校園網(wǎng)管中心基于傳統(tǒng)的INTRANET網(wǎng)絡改進，INTRANE是在傳統(tǒng)網(wǎng)絡的基礎上引入了INTERNET技術發(fā)展起來的，與一般網(wǎng)絡相比，該網(wǎng)絡它具有以下優(yōu)點：該網(wǎng)絡相對是開放的，獨立于硬件平臺和操作系統(tǒng)，基于TCP/IP通訊協(xié)議的內(nèi)部網(wǎng)絡。組件容易，管理方便，成本較低。在傳統(tǒng)的網(wǎng)

23、絡上組建該網(wǎng)絡。由于局域網(wǎng)大多基于高帶寬的媒介，傳輸速度快。在網(wǎng)絡的安全方面而提供更加有效的控制措施，當Intranet介入Internet，他們在物理上用防火墻來隔離，保證了網(wǎng)絡內(nèi)部的安全。3.2、網(wǎng)絡三層結(jié)構設計校園網(wǎng)網(wǎng)絡整體分為三個層次：核心層、匯聚層、接入層。為實現(xiàn)校區(qū)內(nèi)的高速互聯(lián)，核心層由2個核心節(jié)點組成，包括教學區(qū)區(qū)域、服務器群；匯聚層每片區(qū)域設置一個匯聚節(jié)點，匯聚層為高性能“中核心”型交換機，為了保證數(shù)據(jù)傳輸和交換的效率，同時提高了網(wǎng)絡的安全性；接入層為每個區(qū)域的接入交換機，是直接與用戶相連的設備。本實施方案從網(wǎng)絡運行的穩(wěn)定性、安全性及易于維護性出發(fā)進行設計，以滿足客戶需求。3.

24、3、可管理性與維護原則 網(wǎng)絡建設的一項重點在于網(wǎng)絡的管理，網(wǎng)絡的建設必須保證網(wǎng)絡運行的可管理性。在網(wǎng)絡出故障時能迅速簡便地進行網(wǎng)絡故障的診斷。我院學校網(wǎng)絡系統(tǒng)的節(jié)點數(shù)目大，分布范圍廣，通信介質(zhì)多種多樣，采用的網(wǎng)絡技術也較先進，網(wǎng)絡的管理任務加重了，如何有效地管理好網(wǎng)絡關系,是否充分有效地利用網(wǎng)絡的系統(tǒng)資源等問題就擺在我們面前。用圖形化的管理界面和簡潔的操作方式，合理地網(wǎng)絡規(guī)劃策略,可以提供強大的網(wǎng)絡管理功能，使網(wǎng)絡日常的維護和操作變得直觀、簡便和高效。3.4、安全性與保密性原則 信息系統(tǒng)安全問題是信息中心的任務，保證網(wǎng)絡的通暢。確保經(jīng)過該網(wǎng)絡安全地獲取信息，并保證該信息的完整和可靠。保證系統(tǒng)可

25、靠運行，在網(wǎng)絡設計時，將從內(nèi)部訪問控制和外部防火墻兩方面保證我院校園網(wǎng)網(wǎng)絡系統(tǒng)的安全。3.5、穩(wěn)定性和可靠性可靠性對于一個網(wǎng)絡拓撲結(jié)構是至關重要的，在局域網(wǎng)中經(jīng)常發(fā)生節(jié)點故障或傳輸介質(zhì)故障，一個可靠性高的網(wǎng)絡拓撲結(jié)構除了可以使這些故障對整個網(wǎng)絡的影響盡可能小以外，同時還應具有良好的故障診斷和故障隔離功能。四、設備選型表4.1網(wǎng)絡中心設備預算表名稱型號生產(chǎn)商單位數(shù)量單價金額核心交換機cisco3560思科臺27,500.0015,000.00路由器cisco2901思科臺310,000.0030,000.00交換機cisco2960思科臺13,500.003,500.00機柜圖騰（TOTEN）K

26、3.6622圖騰個13,000.003,000.00水晶頭安普（AMP）554720-3安普個1001.00100.00雙絞線安普（AMP）219420-2安普 箱1600.00600.00插板公牛（BULL) GN-109K公牛個560.00300.00光纖模塊思科XENPAK-10GB-ER思科個23,700.007,400.00防火墻思科（CISCO） ASA5505-K8思科臺13,000.003,000.00筆記本聯(lián)想Z400聯(lián)想臺44,000.0016,000.00路由器Cisco2801思科臺15,000.005,000.004.1、核心路由器選型網(wǎng)絡中心將網(wǎng)絡主干部分稱為核心層

27、采用兩臺路由器，核心層的主要目的在于通過高速轉(zhuǎn)發(fā)通信，提供可思科（Cisco）CISCO2901/K9路由器圖片及參數(shù)如下：4.2、核心交換機選型通常將網(wǎng)絡中直接面向用戶連接或訪問網(wǎng)絡的部分稱為 HYPERLINK /lemma/ShowInnerLink.htm?lemmaId=17232 t _blank 接入層，將位于 HYPERLINK /lemma/ShowInnerLink.htm?lemmaId=17232 t _blank 接入層和 HYPERLINK /lemma/ShowInnerLink.htm?lemmaId=7737826&ss_c=ssc.citiao.link t

28、 _blank 核心層之間的部分稱為分布層或 HYPERLINK /lemma/ShowInnerLink.htm?lemmaId=340375 t _blank 匯聚層， HYPERLINK /lemma/ShowInnerLink.htm?lemmaId=17232 t _blank 接入層目的是允許 HYPERLINK /lemma/ShowInnerLink.htm?lemmaId=8067465&ss_c=ssc.citiao.link t _blank 終端用戶連接到網(wǎng)絡，因此 HYPERLINK /lemma/ShowInnerLink.htm?lemmaId=17232 t _

29、blank 接入層交換機具有低成本和高 HYPERLINK /lemma/ShowInnerLink.htm?lemmaId=72285668 t _blank 端口密度特性； HYPERLINK /lemma/ShowInnerLink.htm?lemmaId=340375 t _blank 匯聚層交換機是多臺 HYPERLINK /lemma/ShowInnerLink.htm?lemmaId=17232 t _blank 接入層交換機的匯聚點，它必須能夠處理來自 HYPERLINK /lemma/ShowInnerLink.htm?lemmaId=17232 t _blank 接入層設備

30、的所有通信量，并提供到核心層的上行鏈路，因此 HYPERLINK /lemma/ShowInnerLink.htm?lemmaId=340375 t _blank 匯聚層交換機與 HYPERLINK /lemma/ShowInnerLink.htm?lemmaId=17232 t _blank 接入層交換機比較，需要更高的性能，更少的接口和更高的交換速率。而將網(wǎng)絡主干部分稱為核心層，核心層的主要目的在于通過高速轉(zhuǎn)發(fā)通信，提供優(yōu)化、可靠的骨干傳輸結(jié)構，因此 HYPERLINK /lemma/ShowInnerLink.htm?lemmaId=70057870 t _blank 核心層交換機應用有

31、更高的可靠性能和 HYPERLINK /lemma/ShowInnerLink.htm?lemmaId=193443 t _blank 吞吐量。思科（Cisco）CISCO WS-C2960-24TS-L圖片及參數(shù)如下：4.3、防火墻選型在網(wǎng)絡中，所謂“防火墻”，是指一種將內(nèi)部網(wǎng)和公眾訪問網(wǎng)(如Internet)分開的方法，它實際上是一種隔離技術。防火墻是在兩個網(wǎng)絡通訊時執(zhí)行的一種訪問控制尺度，它能允許你“同意”的人和數(shù)據(jù)進入你的網(wǎng)絡，同時將你“不同意”的人和數(shù)據(jù)拒之門外，最大限度地阻止網(wǎng)絡中的黑客來訪問你的網(wǎng)絡。換句話說，如果不通過防火墻，公司內(nèi)部的人就無法訪問Internet，Intern

32、et上的人也無法和公司內(nèi)部的人進行通信。CISCO ASA5505-k8圖片及參數(shù)如下：五、基本配置51 VLAN的應用VLAN是一個在物理網(wǎng)絡上根據(jù)用途，工作組、應用等來邏輯劃分的局域網(wǎng)絡，是一個廣播域，與用戶的物理位置沒有關系。VLAN中的網(wǎng)絡用戶是通過LAN交換機來通信的。一個VLAN中的成員看不到另一個VLAN中的成員。同一個VLAN中的所有成員共同擁有一個VLAN ID，組成一個虛擬局域網(wǎng)絡；同一個VLAN中的成員均能收到同一個VLAN中的其他成員發(fā)來的廣播包，但收不到其他VLAN中成員發(fā)來的廣播包；不同VLAN成員之間不可直接通信，需要通過路由支持才能通信，而同一VLAN中的成員通

33、過VLAN交換機可以直接通信，不需路由支持。 VLAN的特性是：控制通信活動，隔離廣播數(shù)據(jù)順化網(wǎng)絡管理，便于工作組優(yōu)化組合，VLAN中的成員只要擁有一個VLAN ID就可以不受物理位置的限制，隨意移動工作站的位置；增加網(wǎng)絡的安全性，VLAN交換機就是一道道屏風，只有具備VLAN成員資格的分組數(shù)據(jù)才能通過，這比用計算機服務器做防火墻要安全得多；網(wǎng)絡帶寬得到充分利用，網(wǎng)絡性能大大提高。 52 VLAN的劃分及配置5.2.1VLAN的劃分表VLAN10連接到辦公區(qū)域VLAN20連接到教學區(qū)域VLAN30連接到宿舍區(qū)域VLAN40連接到內(nèi)部防火墻和服務器S1# interface FastEthern

34、et0/3 switchport access vlan 10 switchport mode access /S1將fa 0/3端口應用于VLAN10interface FastEthernet0/4 switchport access vlan 20 switchport mode acces /S1將fa 0/4端口應用于VLAN20interface FastEthernet0/5 switchport access vlan 30 switchport mode access /S1將fa 0/5端口應用于VLAN30interface FastEthernet0/6 switchp

35、ort access vlan 40 switchport mode access /S1將fa 0/6端口應用于VLAN40S2與S1VLAN劃分相同53 IP地址分配及配置IP 地址是我們進行TCP/IP通訊的基礎，每個連接到網(wǎng)絡上的計算機都必須有一個IP地址。我們目前使用的IP地址是32位的，通常以點分十進制表示。一個簡單的IP地址其實包含了網(wǎng)絡地址和主機地址兩部分重要的信息。5.3.1設備管理IP地址規(guī)劃表名稱設備名稱接口IP地址子網(wǎng)掩碼VLAN備注互聯(lián)網(wǎng)路由器1cisco2901s0/3/118連接InternetzhuR1s0/3

36、/022連接到beifenR2互聯(lián)網(wǎng)路由器2cisco2901s0/3/05連接到zhuR1s0/3/13連接到beifenR2互聯(lián)網(wǎng)路由器zhuR1cisco2901s0/3/119連接到互聯(lián)網(wǎng)路由器1s0/3/06連接到互聯(lián)網(wǎng)路由器2fa0/0連接到S1fa0/連接到S2三層交換機S1cisco

37、3560fa0/連接到zhuR1fa0/連接到beifenR2fa0/3VLAN10連接到辦公區(qū)域fa0/4VLAN20連接到教學區(qū)域fa0/5VLAN30連接到宿舍區(qū)域fa0/6VLAN40連接到內(nèi)部服務器三層交換機S2cisco3560fa0/連接到beifenR2fa0/連接到zhuR1f

38、a0/3VLAN10連接到辦公區(qū)域fa0/4VLAN20連接到教學區(qū)域fa0/5VLAN30連接到宿舍區(qū)域fa0/6VLAN40連接到內(nèi)部服務器二層交換機cisco2960連接到S1和S2，防火墻防火墻cisco5505outsidee0/00連接到S1和S2 insidee0/154連接到管理PC

39、dmz54連接到服務器群聯(lián)想計算機PCfa0/0連接到防火墻inside服務器群fa0/0連接到防火墻DMZzhuR1#interface GigabitEthernet0/0ip address /配置zhuR1 gi 0/0接口IP地址interface GigabitEthernet0/1ip address /配置zhuR1 gi 0/1接口IP地址interface Serial0/3/0ip address 6 /配置zhuR1 s0

40、/3/0接口IP地址interface Serial0/3/1ip address 19 /配置zhuR1 s0/3/1接口IP地址beifenR2#interface FastEthernet0/0ip address /配置beifenR2 fa0/0 接口IP地址interface FastEthernet0/1ip address /配置beifenR2 fa0/1 接口IP地址interface Serial0/3/0ip address 21 /配置beifenR2 s0/3/0 接口IP地址interface Serial0/3/1ip address 4 /配置beifenR2

41、 s0/3/1 接口IP地址S1#interface Port-channel1no switchportip address /配置交換機S1聚合端Port-channel1 IP地址interface FastEthernet0/1no switchportip address /配置交換機S1 fa0/1 IP地址interface FastEthernet0/2no switchportip address /配置交換機S1 fa0/2 IP地址interface Vlan10ip address /配置VLAN10 IP地址interface Vlan20ip address /配置

42、VLAN20 IP地址interface Vlan30ip address /配置VLA30 IP地址interface Vlan40ip address /配置VLAN40 IP地址S2# interface Port-channel1no switchportip address /配置交換機S2聚合端Port-channel1 IP地址interface FastEthernet0/1no switchportip address /配置交換機S2 fa0/1 IP地址interface FastEthernet0/2no switchportip address /配置交換機S2 fa

43、0/2 IP地址interface Vlan10ip address /配置VLAN10 IP地址interface Vlan20ip address /配置VLAN20 IP地址interface Vlan30ip address /配置VLAN30 IP地址interface Vlan40ip address /配置VLAN40 IP地址54 路由器基本配置zhuR1#hostname zhuR1 /配置路由器主機名line con 0password 123456login /配置路由器控制口登錄密碼line vty 0 4password ciscologin/配置路由器遠程登錄密碼（

44、其他設備大多配置相同）55 csico2600的密碼恢復重新啟動路由器，在啟動過程中按下ctrl+break鍵，使路由器進入rom monitor模式。在提示符下輸入命令修改配置寄存器的值，然后重新啟動路由器。rommon1confreg 02142rommon2reset重新啟動路由器后進入setup模式，選擇“no”，退回到exec模式，此時路由器原有的配置仍然保存在startup-config中，為使路由器恢復密碼后配置不變，則需要把startup-config中配置保存到running-config中，然后重新設置enable密碼，并把配置寄存器的值改回02102。routerenab

45、lerouter#copy startup-config running-configrouter#configure terminalrouter(config)#enable password ciscorouter(config)#config-register 02102保存當前配置到startup-config , 重新啟動路由器。router #copy running-config startup-configrouter #reload56灌注cisco路由器IOS步驟：設置電腦的IP地址為（這個隨便，只要和路由器設的在同一個網(wǎng)段就行），子網(wǎng)掩碼，默認網(wǎng)關打開電腦的tftp_s

46、erver服務器軟件，將目錄改為下載下來的IOS文件目錄，不要關閉這個軟件。用交叉線和console線連接電腦和路由器，打開電腦的SecureCRT軟件，選擇serial口COM*。啟動路由器，快速按下Ctrl+Break，這是CRT中顯示rommon1，提示你輸入命令。配置步驟如下：Rommon1tftpdnld /這時顯示出現(xiàn)提示，相關信息沒有配置Rommon2IP_ADDRESS= /設置路由器IP，保證電腦與路由器在同一網(wǎng)段Rommon3IP_SUBNET_MASK= /設置路由器子網(wǎng)掩碼Rommon4DEFAULT_GATEWAY=54 /設置默認網(wǎng)關Rommon5TFTP_SERV

47、ER= /服務器IP地址，這里是電腦IP地址Rommon6TFTP_FILE= c3640-jk9o3s-mz.124-12.bin /IOS文件名Rommon7tftpdnld /啟動接收文件這時候會提示你是否刪除flash中的所有文件，選擇y，接著開始接收IOS文件。傳輸完成后，會自動進行相關初始化和配置，等這個過程結(jié)束后，輸入reset重啟路由器就可以正常試用了。57防火墻基本配置interface Vlan11 nameif outside/把VLAN11配置為outside口 security-level 0/配置outside口的安全級別為0 ip address 0 /配置IP地

48、址interface Vlan22 nameif inside/把VLAN11配置為outside口 security-level 100/配置outside口的安全級別為0 ip address 54 /配置IP地址interface Vlan33 no forward interface Vlan2/由于asa5505限制，配置dmz轉(zhuǎn)寄 nameif dmz/把VLAN11配置為outside口 security-level 50/配置outside口的安全級別為0 ip address 54 /配置IP地址六、網(wǎng)絡主要配置路由器主要有以下幾種功能：第一，網(wǎng)絡互連，路由器支持各種局域網(wǎng)和

49、廣域網(wǎng)接口，主要用于互連局域網(wǎng)和廣域網(wǎng)，實現(xiàn)不同網(wǎng)絡互相通信;第二，數(shù)據(jù)處理，提供包括分組過濾、分組轉(zhuǎn)發(fā)、優(yōu)先級、復用、加密、壓縮和防火墻等功能；第三，網(wǎng)絡管理，路由器提供包括配置管理、性能管理、容錯管理和流量控制等功能。6.1配置動態(tài)路由協(xié)議是網(wǎng)絡中的路由器之間相互通信，傳遞路由信息，利用收到的路由信息更新路由器表的過程。它能實時地適應網(wǎng)絡結(jié)構的變化。如果路由更新信息表明發(fā)生了網(wǎng)絡變化，路由選擇軟件就會重新計算路由，并發(fā)出新的路由更新信息。這些信息通過各個網(wǎng)絡，引起各路由器重新啟動其路由算法，并更新各自的路由表以動態(tài)地反映網(wǎng)絡拓撲變化。動態(tài)路由適用于網(wǎng)絡規(guī)模大、網(wǎng)絡拓撲復雜的網(wǎng)絡。當然，各種

50、動態(tài)路由協(xié)議會不同程度地占用網(wǎng)絡帶寬和CPU資源。6.2三層交換機路由配置S1： router ospf 1 network 55 area 0 network 55 area 0 network 55 area 0 network 55 area 0 network 55 area 0 network 55 area 0 network 55 area 0network 55 area 0/配置S1的動態(tài)路由協(xié)議ospfS2： router ospf 1 network 55 area 0 network 55 area 0 network 55 area 0 network 55 area

51、 0 network 55 area 0 network 55 area 0 network 55 area 0/配置S2的動態(tài)路由協(xié)議6.3路由器路由配置ZhuR1:router ospf 1network 55 area 0network 55 area 0/配置R1路由器的動態(tài)路由協(xié)議ip route Serial0/3/1/配置R1路由器默認路由beifenR2#router ospf 1network 55 area 0network 55 area 0/配置R2路由器的動態(tài)路由協(xié)議ip route Serial0/3/0/配置R1路由器默認路由6.4雙出口網(wǎng)絡由于中國教育科研網(wǎng)與一

52、般的電信級運營網(wǎng)絡不同，沒有非常充裕的線路、設備冗余，有可能發(fā)生單點故障，對于校園網(wǎng)的穩(wěn)定運行有一定的影響。同時，通過CERNET訪問其他的共眾網(wǎng)如CHINANET、GBNET等速率緩慢。隨著校園網(wǎng)用戶量增加和基于校園網(wǎng)絡的各種網(wǎng)絡應用的展開，要求校園網(wǎng)絡出口具有較高的網(wǎng)絡帶寬，原有單一的CERNET出口已不能滿足，有必要進一步擴大帶寬，通過當?shù)鼐W(wǎng)絡服務提供商（ISP）開辟第二出口連入INTERNET是較好的解決途徑，許多學校采用了教育網(wǎng)和電信（或聯(lián)通、電信等）第二出口的雙出口方案，既可以保留教育網(wǎng)資源，同時可以增加帶寬，提高了訪問INTERNET資源的速度。6.4.1配置基于策略的路由協(xié)議傳

53、統(tǒng)上，路由器使用路由表，根據(jù)目的地址進行報文的轉(zhuǎn)發(fā)?；诓呗缘穆酚蔀榫W(wǎng)絡管理者提供了比傳統(tǒng)路由協(xié)議對報文的轉(zhuǎn)發(fā)和存儲更強的控制能力，策略路由不僅能夠根據(jù)目的地址而且能夠根據(jù)報文大小，應用或IP源地址等來選擇轉(zhuǎn)發(fā)路徑。策略路由使網(wǎng)絡管理者能根據(jù)實際需要，靈活的決定一個報文采取的具體路徑。而在當今復雜的網(wǎng)絡中，這種選擇的自由性是很重要的。策略路由是設置在接收報文接口而不是發(fā)送接口，它采用MATCH和SET語句實現(xiàn)路徑的選擇。當前的主流路由設備(路由器，多層交換機)基本上都可以支持策略路由。6.4.2基于源的策略基于源策略的路由選擇允許用戶根據(jù)信息量的始發(fā)地做出路由選擇決定。ZhuR1:access

54、-list 10 permit 55access-list 20 permit 55access-list 30 permit 55access-list 40 permit 55/配置允許的數(shù)據(jù)流量route-map cisco1 permit 20match ip address 20set interface Serial0/3/0 Serial0/3/1 /配置20網(wǎng)段首先走s0/3/0,其次走路s0/3/1route-map cisco1 permit 30match ip address 30set interface Serial0/3/0 Serial0/3/1/配置30網(wǎng)段首

55、先走s0/3/0,其次走路s0/3/1route-map cisco permit 10match ip address 10set interface Serial0/3/1 Serial0/3/0/配置10網(wǎng)段首先走s0/3/1,其次走路s0/3/0route-map cisco permit 40match ip address 40set interface Serial0/3/1 Serial0/3/0/配置40網(wǎng)段首先走s0/3/1,其次走路s0/3/0BeifenR2:access-list 10 permit 55access-list 20 permit 55access-l

56、ist 30 permit 55access-list 40 permit 55/配置允許的數(shù)據(jù)流量route-map cisco1 permit 20match ip address 20set interface Serial0/3/1 Serial0/3/0/配置20網(wǎng)段首先走s0/3/1,其次走路s0/3/0route-map cisco1 permit 30match ip address 30set interface Serial0/3/1 Serial0/3/0/配置30網(wǎng)段首先走s0/3/1,其次走路s0/3/0route-map cisco permit 10match i

57、p address 10set interface Serial0/3/0 Serial0/3/1/配置10網(wǎng)段首先走s0/3/0,其次走路s0/3/1route-map cisco permit 40match ip address 40set interface Serial0/3/0 Serial0/3/1/配置40網(wǎng)段首先走s0/3/0,其次走路s0/3/1七、網(wǎng)絡安全與管理7.1網(wǎng)絡安全校園網(wǎng)的安全威脅主要來源于兩大塊，一塊是來自于網(wǎng)內(nèi)，一塊來自于網(wǎng)外。來源于網(wǎng)內(nèi)的威脅主要是病毒攻擊和黑客行為攻擊。根據(jù)統(tǒng)計，威脅校園網(wǎng)安全的攻擊行為大概有40左右是來自于網(wǎng)絡內(nèi)部，如何防范來自于內(nèi)部的

58、攻擊是校園網(wǎng)網(wǎng)絡安全防護體系需要重點關注的地方。7.2造成這些現(xiàn)狀的原因7.2.1網(wǎng)絡安全維護的投入不足。網(wǎng)絡安全維護的工作量是很大的,并且很困難,需要一定的人力、物力,然而大多數(shù)學校在校園網(wǎng)上的設備投入和人員投入很不充足,有限的經(jīng)費也往往主要用在網(wǎng)絡設備購置上,對于網(wǎng)絡安全建設,普遍沒有比較系統(tǒng)的投入。7.2.2網(wǎng)絡管理員責任心不強。很多學校的網(wǎng)絡管理員的都具有一定的專業(yè)水平,基本可以勝任本職工作,但是可能由于學校領導對網(wǎng)絡安全不是很重視,或者因為個人某些方面的原因,造成工作熱情不高、責任心不強,所以也就不會花很多的心思去維護網(wǎng)絡、維護硬件。7.2.3師生的網(wǎng)絡安全意識和觀念淡薄。很多學生包

59、括部分教師對網(wǎng)絡安全不夠重視,法律意識也不是很強。通過網(wǎng)絡,或通過帶毒的移動存儲介質(zhì),經(jīng)常有意無意的傳播病毒,攻擊校園網(wǎng)系統(tǒng),干擾校園網(wǎng)的安全運行。7.2.4盜版資源泛濫。由于缺乏版權意識,盜版軟件、影視資源在校園網(wǎng)中普遍使用,這些軟件的傳播一方面占用了大量的網(wǎng)絡帶寬,另一方面也給網(wǎng)絡安全帶來了一定的隱患。比如,盜版安裝的計算機系統(tǒng)今后會留下大量的安全漏洞。系統(tǒng)自動更新引起的電腦黑屏事件,就是因為Microsoft公司對盜版的XP操作系統(tǒng)的更新作了限制。另一方面,從網(wǎng)絡上隨意下載的軟件中可能隱藏木馬、后門等惡意代碼,許多系統(tǒng)因此被攻擊者侵入和利用。7.3安全接入和配置安全接入和配置是指在物理(控制臺)或邏輯(telnet)端口接入網(wǎng)絡基礎設施設備前必須通過認證和授權限制，從而為網(wǎng)絡基礎設施提供安全性。限制遠程訪問的安全設置方法如下表：訪問方式保證網(wǎng)絡設備安全的方法備注Console控制接口的訪問設置密碼和超時限制建議超時限制設成5分鐘進入特權exec和設備配置級別的命令行配置Radius來記錄logon/logout時間和操作活動；配置至少一個本地賬戶作應急之用telnet訪問采用ACL限制，指定從特定的IP地址來進行telnet訪問；配置Radius安全紀錄方案；設置超時限制SSH訪問激