桂電組網(wǎng)課設(shè)報告

綜合組網(wǎng)課程設(shè)計(論文)說明書題目：系別：計算機科學與工程學院專業(yè)：網(wǎng)絡(luò)工程學生姓名：學號：指導教師：王虎寅2015年月日目錄TOC\o"1-3"\h\u緒論 緒論當今社會已步入信息社會，信息成為社會經(jīng)濟發(fā)展的核心因素，信息化已成為當今世界潮流。可以說，信息化程度已成為衡量一個國家現(xiàn)代化水平和綜合國力強弱的重要標志。近年來國家加快改革教育體系，以教育為立國之本，建設(shè)一個高度發(fā)達的國家教育體系。為提高我國教育的現(xiàn)代化、建立先進高效的教育體系。提供更為先進的教育手段，學校很有必要建設(shè)一個校園網(wǎng)絡(luò)管理應(yīng)用系統(tǒng)，這樣可以達到校園資源共享、建立完備的數(shù)據(jù)交換體系、快速的傳遞信息等目的順應(yīng)無紙教學，無紙辦公的發(fā)展趨勢，充分利用現(xiàn)代化技術(shù)來進一步提高教學質(zhì)量和辦公效率，為培養(yǎng)二十一世紀人才提供一個優(yōu)良的硬件教學環(huán)境。計算機網(wǎng)絡(luò)的迅速發(fā)展和普及，改變了整個信息管理的面貌，使信息管理從以單個計算機為中心發(fā)展到以網(wǎng)絡(luò)為中心，并為計算機技術(shù)在工業(yè)、商業(yè)、教學、科研、管理等領(lǐng)域中的應(yīng)用提供了一個全新的網(wǎng)絡(luò)通信環(huán)境，也從根本上加強并促進了群體工作成員之間的信息交流、資源共享、科學計算、技術(shù)合作及有效管理等，進而推動了管理、科研及教學事業(yè)的發(fā)展。新的世紀已經(jīng)到來，信息技術(shù)所帶來的一場革命將徹底改變我們的學習、生活和工作方式，現(xiàn)行教育體制面臨著嚴峻挑戰(zhàn)。作為教育主管部門的領(lǐng)導、學校的校長、老師以及社會上的每一個人都必須考慮這一技術(shù)的發(fā)展給我們的教育、我們的學校、我們的教師和我們的孩子所帶來的沖擊，同時還要積極思考我們應(yīng)該怎樣響應(yīng)這一世紀性的挑戰(zhàn)，如何利用信息技術(shù)為教育行政管理、師資培訓、學校管理、教學研究乃至教學的全過程服務(wù)促進中華民族素質(zhì)的整體提高。

在網(wǎng)絡(luò)信息時代的今天，面向新的需求和挑戰(zhàn)，為了學校的科研、教學、管理的技術(shù)水平，為研究開發(fā)和培養(yǎng)高層次人才建立現(xiàn)代化平臺，Intranet/Internet技術(shù)的高速多媒體校園網(wǎng)。整個高速多媒體校園網(wǎng)建設(shè)原則是"經(jīng)濟高效、領(lǐng)先實惠"，既要領(lǐng)先一步，具有發(fā)展余地，又要比較實惠。校園網(wǎng)是集計算機技術(shù)、網(wǎng)絡(luò)技術(shù)、多媒體技術(shù)于一體的系統(tǒng)，能夠最大限度地調(diào)動學生對教學內(nèi)容的參與性以及積極性。校園網(wǎng)建設(shè)的目標主要是建立以校園網(wǎng)絡(luò)為基礎(chǔ)的行政、教學及師生之間交互式管理系統(tǒng)，逐步建立學校信息管理網(wǎng)絡(luò)，實現(xiàn)辦公自動化；為開展網(wǎng)上遠程教學、多媒體交互式立體教學模式的探索提供高速、穩(wěn)定的支持平臺；逐步建立計算機輔助教學、計算機輔助考試等系統(tǒng)，為實現(xiàn)多媒體課件制作網(wǎng)絡(luò)化，教師備課電子化、多媒體化打好基礎(chǔ)；保證網(wǎng)絡(luò)系統(tǒng)的開放性、可持續(xù)發(fā)展性，便于以后集成視頻會議、視頻點播等高層次教學功能。籌劃校園網(wǎng)要討論三個要素，無論是校外連網(wǎng)還是校內(nèi)連網(wǎng)，要較好地發(fā)揮校園網(wǎng)的作用都要涉及三個要素：運載基礎(chǔ)設(shè)施、運載設(shè)施和運載信息。1設(shè)計任務(wù)及目標1.1目標校園網(wǎng)指校園內(nèi)計算機及附屬設(shè)備互聯(lián)運行的網(wǎng)絡(luò)，是由計算機、網(wǎng)絡(luò)設(shè)備和網(wǎng)絡(luò)軟件構(gòu)成的為學校教育、科研、管理、辦公和交流等活動服務(wù)的大型集成應(yīng)用系統(tǒng)，并能接入因特網(wǎng)（Internet）實現(xiàn)與國內(nèi)國際網(wǎng)站進行信息交流、資源共享。校園網(wǎng)建設(shè)是教育信息化建設(shè)的重要組成部分，是全面實現(xiàn)素質(zhì)教育的重要手段，是實現(xiàn)教育現(xiàn)代化的重要標志，校園網(wǎng)是學校信息基礎(chǔ)設(shè)施。校園網(wǎng)的規(guī)模、網(wǎng)絡(luò)性能、應(yīng)用水平和普及程度已成為衡量一所院校辦學水平高低的重要標志之一。21世紀的國力競爭說到底就是人才的競爭，而人才的能否大量涌現(xiàn)主要看學校的教育質(zhì)量，學校教育質(zhì)量的好壞又主要看教師素質(zhì)的強弱和學校教學環(huán)境能否符合現(xiàn)代化教育的要求，所以各學校教育的責任相當艱巨，而且各學校也應(yīng)當責無旁貸的肩負起這項任務(wù)。本世紀是計算機和通訊的時代，如何利用計算機網(wǎng)絡(luò)幫助各高校強化管理輔助教師生動的教學；激發(fā)學生自主學習，已經(jīng)是一個不能回避的問題。從長遠來看，校園網(wǎng)的建設(shè)，其主要意義是有利于學校教學、科研的快速發(fā)展，它能使廣大教師利用計算機網(wǎng)絡(luò)環(huán)境進行教學，開展科研活動，進而提高學校的教學質(zhì)量和科研水平，為回憶培養(yǎng)面向世界，面向未來的高素質(zhì)人才提供有力的保障。在建設(shè)校園網(wǎng)時，要達到以下目標：(1)在校園內(nèi)部實現(xiàn)資源高度共享，為教學、科研、管理提供服務(wù)，為計劃、組織、管理與決策提供基礎(chǔ)信息和科學手段。(2)支持教育教學改革，提高教育技術(shù)的現(xiàn)代水平和教育信息化程度、為學校教師的備課、課件制作、教學演示提供網(wǎng)絡(luò)環(huán)境。(3)通過互聯(lián)網(wǎng)、錄像機、掃描儀、數(shù)碼相機等各種渠道獲得多媒體資料，實現(xiàn)素材收集、電子備課功能。(4)實現(xiàn)辦公自動化，提供與上級教育部門、社會、家庭之間通訊的出入口，提供電子函件、公告牌和教育教學信息查詢等服務(wù)，提高工作效率和管理水平。(5)及時、準備、可靠地收集、處理、存儲、傳輸學校的教育教學信息完成與因特網(wǎng)的通訊和資源共享，實現(xiàn)社會教育、學校教育、家庭教育的有機整合。校園網(wǎng)是為學校師生提供教學、科研和綜合信息服務(wù)的寬帶多媒體網(wǎng)絡(luò)，也是一個以人、人與人的關(guān)系網(wǎng)絡(luò)和應(yīng)用產(chǎn)品為核心，通過認證、授權(quán)與開放接口進行有機融合，形成的一個龐大綜合社區(qū)服務(wù)平臺。校園網(wǎng)應(yīng)為學校教學、科研提供先進的信息化教學環(huán)境。這就要求：校園網(wǎng)是一個寬帶、具有交互功能和專業(yè)性很強的局域網(wǎng)絡(luò)。多媒體教學軟件開發(fā)平臺、多媒體演示教室、教師備課系統(tǒng)、電子閱覽室以及教學、考試資料庫等，都可以在該網(wǎng)絡(luò)上運行。校園網(wǎng)應(yīng)具有為學校和學校之間的教育提供網(wǎng)絡(luò)環(huán)境；實現(xiàn)資源共享、信息交流、協(xié)同工作等基本功能。(1)為教育信息的及時、準確、可靠地收集、處理、存儲和傳輸?shù)忍峁┕ぞ吆途W(wǎng)絡(luò)環(huán)境。(2)為學校行政管理和決策提供基礎(chǔ)數(shù)據(jù)、手段和網(wǎng)絡(luò)環(huán)境，實現(xiàn)辦公自動化，提高工作效率、管理和決策水平。(3)為備課、課件制作、授課、學習、練習、輔導、交流、考試和統(tǒng)計評價等各個教學環(huán)節(jié)提供網(wǎng)絡(luò)平臺和環(huán)境。(4)為使用網(wǎng)絡(luò)通信、視頻點播和視頻廣播技術(shù)，提供符合素質(zhì)教育要求的新型教育模式；(5)為科學研究的資料檢索、收集和分析；成果的交流、研討；模擬實驗等提供環(huán)境和手段總之，校園網(wǎng)的建設(shè)能促進教師和學生盡快提高應(yīng)用信息技術(shù)的水平，為學生提供了一個實踐的環(huán)境，為教師提供了一種先進的輔助教學工具、提供了豐富的資源庫。1.2設(shè)計任務(wù)在分析設(shè)計任務(wù)之前，我們要進行對象研究和需求調(diào)查，明確學校的性質(zhì)、建筑布局和改革發(fā)展的主系統(tǒng)建設(shè)的需求和條件，對學校的信息化環(huán)境進行準確的描述。在應(yīng)用需求分析的基礎(chǔ)上，確定系統(tǒng)建設(shè)的目標，包括網(wǎng)絡(luò)設(shè)施、站點設(shè)置、開發(fā)應(yīng)用和管理等的目標。確定網(wǎng)絡(luò)拓撲結(jié)構(gòu)和功能，根據(jù)應(yīng)用需求建設(shè)目標和學校的主要建筑分布特點，進行系統(tǒng)分析和設(shè)計。然后確定技術(shù)設(shè)計的原則要求，如在技術(shù)選型、布線設(shè)計、設(shè)備選擇、軟件配置等方面的標準和要求。同時也要明確規(guī)劃校園網(wǎng)建設(shè)的實施步驟。明確了這些后，就可以撰寫設(shè)計任務(wù)了。本次設(shè)計的任務(wù)就是根據(jù)學校的具體布局，然后設(shè)計一個局域網(wǎng)，該局域網(wǎng)能夠滿足一下的要求：(1)實用性和經(jīng)濟性校園網(wǎng)的建設(shè)，堅持以實用、經(jīng)濟為原則，滿足用戶的需求。(2)先進性校園網(wǎng)建設(shè)要采用先進的概念、技術(shù)和方法，同時也要要注意結(jié)構(gòu)、設(shè)備、工具的相對成熟。能保證在未來3-5年內(nèi)占主導地位，保證學校網(wǎng)絡(luò)建設(shè)的領(lǐng)先地位，采用萬兆以太網(wǎng)技術(shù)來構(gòu)建網(wǎng)絡(luò)主干線路。(3)可靠性局域網(wǎng)應(yīng)該具有很高的可靠性，在考慮技術(shù)先進性和開放性的同時，還應(yīng)從系統(tǒng)結(jié)構(gòu)、技術(shù)措施、設(shè)備性能、系統(tǒng)管理、廠商技術(shù)支持及保修能力等方面著手，確保系統(tǒng)運行的可靠性。(4)安全性在網(wǎng)絡(luò)設(shè)計中，既考慮信息資源的充分共享，更要注意信息的保護和隔離，因此系統(tǒng)應(yīng)分別針對不同的應(yīng)用和不同的網(wǎng)絡(luò)通信環(huán)境，采取不同的措施，包括端口隔離、路由過濾、安裝防火墻等。(5)可擴充性由于當今社會信息技術(shù)飛速發(fā)展，當前流行的技術(shù)再過幾年有可能會被淘汰，所以在建設(shè)校園網(wǎng)的時候要充分的考慮到這種事情發(fā)生的可能性，所以在建設(shè)的校園網(wǎng)時，既要能滿足當前用戶的使用，也要考慮在未來3到5年內(nèi)對現(xiàn)在的設(shè)備進行升級，這樣就不會浪費現(xiàn)有的資源了。2需求分析2.1建網(wǎng)需求(1)實用性原則網(wǎng)絡(luò)系統(tǒng)應(yīng)采用成熟可靠的技術(shù)和設(shè)備，這樣才能做到實用、經(jīng)濟和有效。(2)開放性原則網(wǎng)絡(luò)系統(tǒng)應(yīng)采用開放的標準和技術(shù)。(3)可靠性原則網(wǎng)絡(luò)系統(tǒng)應(yīng)確保很高的可靠性，具有較高的平均無故障時間和較低的平均故障率。(4)安全性原則網(wǎng)絡(luò)系統(tǒng)應(yīng)具有良好的安全性，以確保網(wǎng)絡(luò)系統(tǒng)和數(shù)據(jù)的安全運行。(5)先進性原則網(wǎng)絡(luò)系統(tǒng)應(yīng)采用先進的技術(shù)和設(shè)備，以符合網(wǎng)絡(luò)未來發(fā)展的潮流。(6)高效性原則網(wǎng)絡(luò)系統(tǒng)應(yīng)具有很高的資源利用率。(7)可擴展性原則網(wǎng)絡(luò)系統(tǒng)應(yīng)在規(guī)模和性能兩方面具有良好的可擴展性。(8)高性價比原則網(wǎng)絡(luò)系統(tǒng)應(yīng)具有較高的性價比，技術(shù)優(yōu)先，兼顧價格。2.2用戶需求(1)具備經(jīng)濟實用性、先進可靠性、可擴容性和可發(fā)展性。實用性：如何使有限的經(jīng)費獲得較高的效益,始終是教育發(fā)展中重要的問題。在項目建設(shè)中,我們不盲目追求高層次、高檔次,從實際情況出發(fā),堅持“實用、好用,滿足現(xiàn)在和可預見的未來需求”的設(shè)計原則。(2)可靠性：對工作站、服務(wù)器、交換機及其他主要相關(guān)設(shè)備在廠家、品牌、服務(wù)等方面進行充分調(diào)研、論證、選擇,確保硬件設(shè)備的基本品質(zhì)。先進性：考慮到計算機在軟硬件上的高速發(fā)展和技術(shù)更新速度,在資金允許的前提下,保持適當?shù)南冗M性,同時使系統(tǒng)有一定的擴展性和兼容性,滿足未來需求。網(wǎng)絡(luò)管理需求分析校園主干網(wǎng)是覆蓋整個網(wǎng)絡(luò),組成了一個具有相當復雜的計算機網(wǎng)絡(luò)。隨著網(wǎng)絡(luò)復雜度的增加,給網(wǎng)絡(luò)管理帶來成級數(shù)增加的管理工作量。網(wǎng)絡(luò)管理要求解決的問題包括：對所有網(wǎng)絡(luò)設(shè)備端口的監(jiān)視和管理。對所有網(wǎng)絡(luò)設(shè)備的遠地配置和控制,包括網(wǎng)絡(luò)設(shè)備端口的開放和關(guān)閉,整個網(wǎng)絡(luò)的故障檢測,故障自動報警功能,整個網(wǎng)絡(luò)性能的統(tǒng)計和分析報告,甚至收費。(3)網(wǎng)絡(luò)安全需求分析校園網(wǎng)絡(luò)安全主要考慮以下幾方面要求：各個部門、系所訪問網(wǎng)絡(luò)的控制,各單位之間在未經(jīng)授權(quán)的情況下,不能相互訪問。內(nèi)部網(wǎng)中要建立防火墻,即禁止外部用戶未經(jīng)許可訪問內(nèi)部的數(shù)據(jù),或者內(nèi)部用戶未經(jīng)許可訪問外部數(shù)據(jù)。對安全問題的考慮主要是兩個方面：校園網(wǎng)應(yīng)該是一個開放的系統(tǒng),它不需要與政府或商業(yè)公司的一樣的網(wǎng)絡(luò)安全保密性；校園網(wǎng)應(yīng)該安全的,它不應(yīng)該受到惡意的攻擊而無法運行,一些科研成果也不應(yīng)該對任何人都開放。主要利用虛擬網(wǎng)技術(shù)和防火墻技術(shù)來合理解決安全與開放的問題。(4)廣域網(wǎng)連接需求分析校園網(wǎng)對廣域網(wǎng)的連接需求主要表現(xiàn)在：能夠與國際互聯(lián)網(wǎng)連接,與國際交流信息；能夠與國內(nèi)各個單位交流信息。滿足出差在外的校領(lǐng)導及其它公務(wù)人員及時與學校保持聯(lián)絡(luò)。為此應(yīng)通過DDN、無線網(wǎng)等公用或者專用數(shù)據(jù)網(wǎng)絡(luò)與校園網(wǎng)連接。3總體設(shè)計3.1設(shè)計原則校園網(wǎng)不只是涉及技術(shù)方面，而是包括網(wǎng)絡(luò)設(shè)施、應(yīng)用平臺、信息資源、專業(yè)應(yīng)用、人員素質(zhì)等眾多成份的綜合化以及信息化教學環(huán)境系統(tǒng)。因此，在總體上如何籌劃、組織網(wǎng)絡(luò)建設(shè)和開發(fā)應(yīng)用的設(shè)計思想是校園網(wǎng)建設(shè)中的最重要的問題。

總體設(shè)計是校園網(wǎng)建設(shè)的總體思路和工程藍圖，是搞好校園網(wǎng)建設(shè)的核心任務(wù)。進行校園網(wǎng)總體設(shè)計，首先是進行對象研究和需求調(diào)查，弄清學校的性質(zhì)、任務(wù)和改革發(fā)展的特點，對學校的信息化環(huán)境進行準確的描述，明確系統(tǒng)建設(shè)的需求和條件；其次，在應(yīng)用需求分析的基礎(chǔ)上，確定學校Intranet服務(wù)類型，進而確定系統(tǒng)建設(shè)的具體目標，包括網(wǎng)絡(luò)設(shè)施、站點設(shè)置、開發(fā)應(yīng)用和管理等方面的目標；第三是確定網(wǎng)絡(luò)拓撲結(jié)構(gòu)和功能，根據(jù)應(yīng)用需求、建設(shè)目標和學校主要建筑分布特點，進行系統(tǒng)分析和設(shè)計；第四，確定技術(shù)設(shè)計的原則要求，如在技術(shù)選型、布線設(shè)計、設(shè)備選擇、軟件配置等方面的標準和要求；第五，規(guī)劃安排校園網(wǎng)建設(shè)的實施步驟?？傊@網(wǎng)建設(shè)的原則，就是要求該網(wǎng)絡(luò)能夠滿足以下性質(zhì)：(1)先進性：先進的設(shè)計思想、網(wǎng)絡(luò)結(jié)構(gòu)、開發(fā)工具，采用市場覆蓋率高、標準化和技術(shù)成熟的軟硬件產(chǎn)品；(2)實用性：建網(wǎng)時應(yīng)考慮利用和保護現(xiàn)有的資源、充分發(fā)揮設(shè)備效益；(3)開放性：遵從國際標準，系統(tǒng)設(shè)計應(yīng)采用開放技術(shù)、開放結(jié)構(gòu)、開放系統(tǒng)組建和開放用戶接口，以利于網(wǎng)絡(luò)的維護、擴展升級及與外界信息的溝通；(4)靈活性：采用積木式模塊組合和結(jié)構(gòu)化設(shè)計，使系統(tǒng)配置靈活，滿足學校逐步到位的建網(wǎng)原則，使網(wǎng)絡(luò)具有強大的可增長性；(5)可靠性：具有容錯功能，管理、維護方便。對網(wǎng)絡(luò)的設(shè)計、選型、安裝、調(diào)試等各環(huán)節(jié)進行統(tǒng)一規(guī)劃和分析；(6)強性價比：不要一味追求最新，還要考慮當前實際需要，選擇合理的設(shè)備搭配，使達到良好的性能價格比。(7)安全性：包括兩個方面，一是網(wǎng)絡(luò)用戶級的安全性；另一方面是數(shù)據(jù)傳輸級的安全性。網(wǎng)絡(luò)用戶級的安全性應(yīng)在網(wǎng)絡(luò)的操作系統(tǒng)中予以考慮，而數(shù)據(jù)傳輸?shù)陌踩詣t必須在網(wǎng)絡(luò)傳輸時解決。我們在規(guī)劃校園網(wǎng)時，不僅考慮到現(xiàn)有局域網(wǎng)的情況，更主要的是著眼于為未來的學校提供既符合經(jīng)濟原則，又具有技術(shù)先進性和實用性的發(fā)展策略。3.2技術(shù)選型、設(shè)備選型

3.2.1技術(shù)選型（1）VLANVLAN(VirtualLocalAreaNetwork)的中文名稱為“虛擬局域網(wǎng)”，VLAN是為了解決以太網(wǎng)廣播問題和安全性而提出的一種協(xié)議，它在以太網(wǎng)幀的基礎(chǔ)上增加了VLAN頭，用VLANID把用戶劃分為更小的工作組，限制不同工作組間的用戶互訪，每個工作組就是一個虛擬局域網(wǎng)。虛擬局域網(wǎng)的好處是可以限制廣播范圍，并能夠形成虛擬工作組，動態(tài)地管理網(wǎng)絡(luò)。VLAN技術(shù)是交換技術(shù)的重要組成部分，也是交換機的重要進步之一。它用以把物理上直接相連的網(wǎng)絡(luò)從邏輯上劃分為多個子網(wǎng)。每一個VLAN對應(yīng)一個廣播域，處于不同VLAN上的主機不能進行通信，不同VLAN之間的通信要引入第三層交換技術(shù)才可以解決。對虛擬局域網(wǎng)的配置和管理主要涉及VTP、VLAN中繼和VLAN的配置。虛擬局域網(wǎng)是交換機的重要功能，通常虛擬局域網(wǎng)的實現(xiàn)形式有三種，即靜態(tài)端口分配、動態(tài)虛擬網(wǎng)和多虛擬網(wǎng)端口配置。靜態(tài)虛擬網(wǎng)的劃分通常是網(wǎng)管人員使用網(wǎng)管軟件或直接設(shè)置交換機的端口，使其直接從屬于某個虛擬網(wǎng)。這些端口一直保持這些從屬性，除非網(wǎng)管人員重新設(shè)置。這種方法雖然比較麻煩，但比較安全，容易配置和維護。支持動態(tài)虛擬網(wǎng)的端口，可以借助智能管理軟件自動確定它們的從屬。端口是通過借助網(wǎng)絡(luò)包的MAC地址、邏輯地址或協(xié)議類型來確定虛擬網(wǎng)的從屬。一旦網(wǎng)管人員配置好后，用戶的計算機就可以靈活地改變交換機端口，而不會改變該用戶的虛擬網(wǎng)從屬性。多虛擬網(wǎng)端口配置支持一用戶或一端口可以同時訪問多個虛擬網(wǎng)。靜態(tài)虛擬網(wǎng)是最普遍使用的一種劃分VLAN的方法，但會帶來安全上的隱患。（2）配置VTP協(xié)議VTP協(xié)議可以幫助交換機設(shè)置VLAN。VTP協(xié)議可以維護VLAN信息全網(wǎng)的一致性。VTP有三種工作模式，即服務(wù)器模式、客戶模式和透明模式。其中服務(wù)器模式可以設(shè)置VLAN信息，服務(wù)器會自動將這些信息廣播到網(wǎng)上其他交換機以統(tǒng)一配置；客戶模式下交換機不能配置VLAN信息，只能被動地接受服務(wù)器的VLAN配置；而透明模式下是獨立配置，它可以配置VLAN信息，但是不廣播自己的VLAN信息，同時它接收到服務(wù)器發(fā)來的VLAN信息后并不使用，而是直接轉(zhuǎn)發(fā)給別的交換機。配置VTP協(xié)議的命令如下：vlandatabase//(進入VLAN配置子模式)vtpdomainvname //(設(shè)置VTP管理域名稱)vtpserver|client //(設(shè)置交換機為服務(wù)器(或者客戶端)模式)vtppruning //(啟動修剪功能)（3）配置VLANTrunk端口VLANTrunk(VLAN中繼)也稱為VLAN主干，是指在交換機與交換機或交換機與路由器之間連接的情況下，在互相連接的端口上配置中繼模式，使得屬于不同VLAN的數(shù)據(jù)幀都可以通過這條中繼鏈路進行傳輸。配置VLANTrunk端口的命令如下：interfacefa0/1 //(進入端口配置模式)switchportmodetruck //(設(shè)置當前端口為Trunk模式)switchporttrunkallowedvlanall //(設(shè)置允許從該端口交換數(shù)據(jù)的VLAN)（4）創(chuàng)建VLANVLAN信息可以在服務(wù)器模式或透明模式交換機上創(chuàng)建。創(chuàng)建VLAN的命令如下：valnmod_num //(創(chuàng)建VALN)novlana_num //(清除一個已存在的VALN)（5）將端口加入到某個VLAN中配置完VTP協(xié)議及VLANTrunk端口后就可以設(shè)置將端口歸屬于哪個VLAN了。將端口加入到某個VLAN中的命令如下：interfacefa0/1 (進入端口配置模式)switchportaccessvian2(把端口分配給相信的VLAN2)（6）OSPF：開放最短路徑優(yōu)先(OpenShortestPathFirst，OSPF)協(xié)議是重要的路由選擇協(xié)議。它是一種鏈路狀態(tài)路由選擇協(xié)議，是由Internet工程任務(wù)組開發(fā)的內(nèi)部網(wǎng)關(guān)(InteriorGatewayProtocol，IGP)路由協(xié)議，用于在單一自治系統(tǒng)(AutonomousSystem，AS)內(nèi)決策路由。配置OSPF協(xié)議的相關(guān)命令如下：routerospfprocess-id (指定使用OSPF協(xié)議)networkaddresswildcard-maskareaarea-id (指定與該路由相連的網(wǎng)絡(luò))（7）NAT網(wǎng)絡(luò)地址轉(zhuǎn)換(NAT,NetworkAddressTranslation)屬接入廣域網(wǎng)(WAN)技術(shù)，是一種將私有（保留）地址轉(zhuǎn)化為合法IP地址的轉(zhuǎn)換技術(shù)，它被廣泛應(yīng)用于各種類型Internet接入方式和各種類型的網(wǎng)絡(luò)中。原因很簡單，NAT不僅完美地解決了lP地址不足的問題，而且還能夠有效地避免來自網(wǎng)絡(luò)外部的攻擊，隱藏并保護網(wǎng)絡(luò)內(nèi)部的計算機。NAT實現(xiàn)方式，靜態(tài)轉(zhuǎn)換（StaticTranslation）、動態(tài)轉(zhuǎn)換（DynamicTranslation）、端口多路復用（PortAddressTranslation，PAT）（8）ACL訪問控制列表（AccessControlList，ACL）是路由器和交換機接口的指令列表，用來控制端口進出的數(shù)據(jù)包。ACL適用于所有的被路由協(xié)議，如IP、IPX、AppleTalk等。這張表中包含了匹配關(guān)系、條件和查詢語句，表只是一個框架結(jié)構(gòu)，其目的是為了對某種訪問進行控制。（9）DHCP動態(tài)主機設(shè)置協(xié)議（DynamicHostConfigurationProtocol,DHCP）是一個局域網(wǎng)的網(wǎng)絡(luò)協(xié)議，使用UDP協(xié)議工作，主要有兩個用途：給內(nèi)部網(wǎng)絡(luò)或網(wǎng)絡(luò)服務(wù)供應(yīng)商自動分配IP地址，給用戶或者內(nèi)部網(wǎng)絡(luò)管理員作為對所有計算機作中央管理的手段。（10）DNSDNS是英文Domain

Name

System的縮寫,是域名解析服務(wù)器的意思，即域名管理系統(tǒng)。它在互聯(lián)網(wǎng)的作用是：把域名轉(zhuǎn)換成為網(wǎng)絡(luò)可以識別的ip地址。首先，要知道互聯(lián)網(wǎng)的網(wǎng)站都是一臺一臺服務(wù)器的形式存在的，但是我們怎么去到要訪問的網(wǎng)站服務(wù)器呢？這就需要給每臺服務(wù)器分配IP地址，互聯(lián)網(wǎng)上的網(wǎng)站無窮多，我們不可能記住每個網(wǎng)站的IP地址，這就產(chǎn)生了方便記憶的域名管理系統(tǒng)DNS，他可以把我們輸入的好記的域名轉(zhuǎn)換為要訪問的服務(wù)器的IP地址。DNS的設(shè)置比較簡單，只要設(shè)置好DNS的IP地址，和一些域名與相應(yīng)的轉(zhuǎn)換條目即可，只要終端的DNS的IP指向該DNS服務(wù)器，就可以使用該DNS服務(wù)器的服務(wù)了。DNS服務(wù)器的配置如下圖所示：（11）webweb服務(wù)器一般指網(wǎng)站服務(wù)器，是指駐留于因特網(wǎng)上某種類型計算機的程序，可以向瀏覽器等Web客戶端提供文檔，也可以放置網(wǎng)站文件，讓網(wǎng)絡(luò)用戶瀏覽；可以放置數(shù)據(jù)文件，提供下載。Web具有如下的特點：

=1\*GB3①Web是圖形化的和易于導航的（navigate）

web非常流行的一個很重要的原因就在于它可以在一頁上同時顯示色彩豐富的圖形和文本的性能。在web之前Internet上的信息只有文本形式。web可以提供將圖形、音頻、視頻信息集合于一體的特性。同時，web是非常易于導航的，只需要從一個連接跳到另一個連接，就可以在各頁各站點之間進行瀏覽了。

=2\*GB3②web與平臺無關(guān)

無論你的系統(tǒng)平臺是什么，你都可以通過Internet訪問WWW。瀏覽WWW對你的系統(tǒng)平臺沒有什么限制。無論從Windows平臺、UNIX平臺、Macintosh還是別的什么平臺我們都可以訪問WWW。對WWW的訪問是通過一種叫做瀏覽器（browser）的軟件實現(xiàn)的。如Netscape的Navigator、NCSA的Mosaic、Microsoft的Explorer等。

=3\*GB3③Web是分布式的

大量的圖形、音頻和視頻信息會占用相當大的磁盤空間，我們甚至無法預知信息的多少。對于Web沒有必要把所有信息都放在一起，信息可以放在不同的站點上。只需要在瀏覽器中指明這個站點就可以了。使在物理上并不一定在一個站點的信息在邏輯上一體化，從用戶來看這些信息是一體的。3.2.2設(shè)備選型構(gòu)建校園網(wǎng)的主要硬件有：服務(wù)器、傳輸設(shè)備（光纖、雙絞線等）、交換機以及終端工作站、網(wǎng)卡等。校園網(wǎng)按照主干網(wǎng)的組網(wǎng)技術(shù)可分為：交換式以太網(wǎng)、快速以太網(wǎng)、FDDI、ATM和千兆以太網(wǎng)。交換式以太網(wǎng)現(xiàn)在主要用于網(wǎng)絡(luò)交換機到桌面工作站。FDDI和ATM存在著組建網(wǎng)絡(luò)成本高、帶寬利用率較低等因素使得它們都不太適合校園網(wǎng)的要求?？焖僖蕴W(wǎng)是非常成熟的組網(wǎng)技術(shù)，造價低，具有較高的性能價格比，但傳輸速度較慢。千兆以太網(wǎng)傳輸?shù)乃俣容^快，范圍也很廣，成本相對于快速以太網(wǎng)較高。

校園網(wǎng)的規(guī)模會隨著學校規(guī)模不同而不同，有的用戶較多，有的較少，多的有幾萬個用戶，少的則只有幾千個用戶，但是每個教室都有一個終端，同時也要有足夠的校園圖書館終端、教師的備課終端、學校各種管理部門的終端、學生宿舍終端等。根據(jù)設(shè)計原則和網(wǎng)絡(luò)設(shè)備選擇原則，主要網(wǎng)絡(luò)設(shè)備配置的情況如下表表2-1主要網(wǎng)絡(luò)設(shè)備配置表設(shè)備名稱設(shè)備型號放置地點品牌數(shù)量備注路由器Cisco2621XM網(wǎng)絡(luò)中心Cisco1核心層Cisco3560-24PS網(wǎng)絡(luò)中心Cisco1交換機Cisco2925-24各個建筑群多個匯聚層Cisco2925-24PSCisco8接入層Cisco2925T學生公寓Cisco多個主服務(wù)器CiscoServer-PT網(wǎng)絡(luò)中心Cisco4

Cisco2621XM路由器的介紹：表2-2路由器的規(guī)格參數(shù)類型描述兼容性與當前的所有Cisco12000系列線卡兼容軟件兼容性CiscoIOS12.0（27）S及更高版本協(xié)議IPv4、MPLS、BGPv4、IS-IS、OSPF、EIGRP、RIP、IGMP、DVMRP和PIMDM/SM?？捎眯噪娫慈哂喽龋―C為1：1，? AC為負載均衡）路由處理器冗余度1：1支持自動保護切? 換（APS）ASIC平均無故障時間（MTBF）：交換矩陣卡＝276,062hr網(wǎng)絡(luò)管理命令行界面（CLI）Cisco12000Manager簡單網(wǎng)絡(luò)管理協(xié)議（SNMP）接口GRP支持兩個串行端口（控制臺和AUX連接）和2個10/100端口認證SR-3580中規(guī)定的NEBSLevel3要求(2)核心交換機（Cisco3560-24PS）的介紹：表2-3Cisco3560-24PS交換機的參數(shù)類型描述設(shè)備類型企業(yè)級交換機 吞吐率（MBPS） 7交換方式存儲-轉(zhuǎn)發(fā) 地址表大小 12000網(wǎng)絡(luò)標準IIEEE802.3，IEEE802.3u，IEEE802.3z端口類型24個以太網(wǎng)10/100MppsPoE端口，2個SFP上行鏈路端口交換容量（GBPS）48端口數(shù)24堆疊支持堆疊式 背板帶寬（Gbps）32包轉(zhuǎn)發(fā)率6.5Mpps內(nèi)存DRAM內(nèi)存：128MB,FLASH內(nèi)存：16MB傳輸速率(Mbps)10/100VLAN支持支持 (3)匯聚層層交換機（Cisco3560-24PS）的介紹表2-4Cisco3560-24PS交換機的參數(shù)類型描述設(shè)備類型企業(yè)級交換機 吞吐率（MBPS） 7交換方式存儲-轉(zhuǎn)發(fā) 地址表大小 12000網(wǎng)絡(luò)標準IIEEE802.3，IEEE802.3u，IEEE802.3z端口類型24個以太網(wǎng)10/100MppsPoE端口，2個SFP上行鏈路端口交換容量（GBPS）48端口數(shù)24堆疊支持堆疊式 背板帶寬（Gbps）32包轉(zhuǎn)發(fā)率6.5Mpps內(nèi)存DRAM內(nèi)存：128MB,FLASH內(nèi)存：16MB傳輸速率(Mbps)10/100VLAN支持支持 (4)接入層交換機（Cisco2950-24）的介紹表2-4Cisco2950-24交換機的參數(shù)類型描述設(shè)備類型快速以太網(wǎng)交換機 交換方式存儲-轉(zhuǎn)發(fā) 地址表大小 8000網(wǎng)絡(luò)標準IIEEE802.1x、IEEE802.3x、IEEE802.1D、IEEE802.1pCoS、IEEE802.1Q、IEEE802.3ab、IEEE802.3u、IEEE802.3

端口類型24個以太網(wǎng)10/100MppsPoE端口，端口數(shù)24堆疊支持堆疊式 背板帶寬（Gbps）8.8內(nèi)存DRAM內(nèi)存：16MB,FLASH內(nèi)存：8MB傳輸速率(Mbps)10/100VLAN支持支持 3.3目標網(wǎng)絡(luò)拓撲3.4網(wǎng)絡(luò)層次分析3.4.1核心層需求分析在校園網(wǎng)中骨干設(shè)備擔負著連接各個匯聚設(shè)備的工作，同時通過設(shè)備的互聯(lián)，將分布在各物理位置的區(qū)域網(wǎng)絡(luò)連接在一起形成一套完整的網(wǎng)絡(luò)。由于骨干層設(shè)備擔負著整個網(wǎng)絡(luò)的流量。骨干設(shè)備和鏈路的穩(wěn)定性將直接影響整個網(wǎng)絡(luò)的可靠運行。由于骨干設(shè)備在網(wǎng)絡(luò)中核心的位置需要高性能，所有的功能部件(電源、系統(tǒng)總線、處理器模塊、網(wǎng)絡(luò)接口模塊等)均可以支持熱插拔和冗余熱備份等特性。完成網(wǎng)絡(luò)骨干層高速數(shù)據(jù)交換、轉(zhuǎn)發(fā)以及穩(wěn)定性的要求。骨干網(wǎng)絡(luò)性能是整個網(wǎng)絡(luò)良好運行的基礎(chǔ)，設(shè)計中必須保障網(wǎng)絡(luò)及設(shè)備的高吞吐能力，保證各種業(yè)務(wù)的高質(zhì)量傳輸，才能使網(wǎng)絡(luò)不成為業(yè)務(wù)開展的瓶頸。大學網(wǎng)絡(luò)也是學生的業(yè)務(wù)專網(wǎng)，實現(xiàn)內(nèi)部高速互連。要具有構(gòu)建校園各部門的虛擬業(yè)務(wù)專網(wǎng)的能力，可以實現(xiàn)部門內(nèi)部及部門間的協(xié)同工作。3.4.2區(qū)域匯聚層需求分析(1)高速運送區(qū)域流量，主要工作是交換區(qū)域數(shù)據(jù)包。(2)高可靠性及冗余性(3)提供故障隔離(4)較少的時延和好的可管理性(5)良好的路由交換能力(6)良好的區(qū)域匯聚能力(7)良好的萬兆能力在校園網(wǎng)中匯聚設(shè)備擔負著網(wǎng)絡(luò)接入層和骨干設(shè)備的連接，網(wǎng)絡(luò)匯聚層有著承上啟下的重要任務(wù)。匯聚設(shè)備不但要完成接入層的鏈路匯聚和流量匯聚還要完成本地數(shù)據(jù)的交換以及接入和骨干之間的數(shù)據(jù)轉(zhuǎn)發(fā)。作為骨干層的入口和接入層的出口，匯聚層的身份如同關(guān)卡。為保證整個網(wǎng)絡(luò)良好運行在匯聚層同樣需要高性能、關(guān)鍵部件冗余等特性，另外要求匯聚設(shè)備的有高端口密度可以直接連接大量的二層設(shè)備，提供更好的絡(luò)品質(zhì)。3.4.3接入層需求分析我們在核心層和匯聚層的設(shè)計中主要考慮的是網(wǎng)絡(luò)性能和功能性要高，那么我們在接入層設(shè)計上主張使用性能價格比高的設(shè)備。接入層在整個網(wǎng)絡(luò)的邊緣，是最終用戶(教師、學生)

與網(wǎng)絡(luò)的接口，它應(yīng)該提供即插即用的特性，同時應(yīng)該非常易于使用和維護。當然我們也應(yīng)該考慮端口密度的問題。3.5網(wǎng)絡(luò)安全規(guī)劃設(shè)計局域網(wǎng)網(wǎng)絡(luò)安全已成為當今值得關(guān)注的問題，它的重要性是不言而喻的，對于大多數(shù)網(wǎng)絡(luò)黑客來說，成功地入侵一個企業(yè)特別是著名局域網(wǎng)的網(wǎng)絡(luò)系統(tǒng)，具有證明和炫耀其能耐的價值，盡管這種行為的初衷也許并不具有惡意的目的；竊取企業(yè)的網(wǎng)絡(luò)數(shù)據(jù)，甚至破壞其網(wǎng)絡(luò)系統(tǒng)，更加具有現(xiàn)實和長遠的商業(yè)價值。因此，如何保障局域網(wǎng)網(wǎng)絡(luò)的安全變得重要起來。

網(wǎng)絡(luò)安全性包括信息安全性，網(wǎng)絡(luò)本身的安全性，保證系統(tǒng)的安全性。要從管理和技術(shù)角度制定不同的安全策略。安全設(shè)備的技術(shù)性能和功能，必須滿足行業(yè)系統(tǒng)管理體制的要求，即能基于網(wǎng)絡(luò)實現(xiàn)安全管理，具有接受網(wǎng)絡(luò)信息安全管理機構(gòu)管理的能力，還要不影響原網(wǎng)絡(luò)拓撲結(jié)構(gòu)。

局域網(wǎng)絡(luò)系統(tǒng)建成之后，應(yīng)該達到如下的目標：建立一套完整可行的網(wǎng)絡(luò)安全與網(wǎng)絡(luò)管理策略；將內(nèi)部網(wǎng)絡(luò)、公開服務(wù)器網(wǎng)絡(luò)和外網(wǎng)進行有效隔離，避免與外部網(wǎng)絡(luò)的直接通信；建立網(wǎng)站各主機和服務(wù)器的安全保護措施，保證他們的系統(tǒng)安全；對網(wǎng)上服務(wù)請求內(nèi)容進行控制，使非法訪問在到達主機前被拒絕；加強合法用戶的訪問認證，同時將用戶的訪問權(quán)限控制在最低限度；全面監(jiān)視對公開服務(wù)器的訪問，及時發(fā)現(xiàn)和拒絕不安全的操作和黑客攻擊行為；加強對各種訪問的審計工作，詳細記錄對網(wǎng)絡(luò)、公開服務(wù)器的訪問行為，形成完整的系統(tǒng)日志；備份與災難恢復——強化系統(tǒng)備份，實現(xiàn)系統(tǒng)快速恢復；加強網(wǎng)絡(luò)安全管理，提高系統(tǒng)全體人員的網(wǎng)絡(luò)安全意識和防范技術(shù)。保證計算機信息系統(tǒng)各種設(shè)備的物理安全是整個計算機信息系統(tǒng)安全的前提，物理安全是保護計算機網(wǎng)絡(luò)設(shè)備、設(shè)施以及其它媒體免遭地震、水災、火災等環(huán)境事故以及人為操作失誤或錯誤及各種計算機犯罪行為導致的破壞過程。主要包括：設(shè)備安全，設(shè)備的防盜、防毀、防電磁信息輻射泄漏、防止線路截獲、抗電磁干擾及電源保護等；媒體安全，媒體數(shù)據(jù)的安全及媒體本身的安全。還有其他的安全隱患，黑客們利用系統(tǒng)和管理上的漏洞，進入企業(yè)網(wǎng)的內(nèi)部，篡改一些數(shù)據(jù)，例如將自己變?yōu)楦呒売脩?，或者監(jiān)聽登錄會話，竊取他人的賬戶和口令；還有包括病毒、蠕蟲、特洛伊木馬等惡意代碼；能夠通過mail、internet傳播的病毒；還有一些對網(wǎng)絡(luò)的攻擊手段，沒有預先經(jīng)過同意，就使用網(wǎng)絡(luò)或計算機資源被看作非授權(quán)訪問，如有意避開系統(tǒng)訪問控制機制，對網(wǎng)絡(luò)設(shè)備及資源進行非正常使用，或擅自擴大權(quán)限，越權(quán)訪問信息，例如，假冒、身份攻擊、非法用戶進入網(wǎng)絡(luò)系統(tǒng)進行違法操作、合法用戶以未授權(quán)方式進行操作；破壞數(shù)據(jù)的完整性，使得信息/數(shù)據(jù)失去了原有的真實性，從而變得不可用或造成廣泛的負面影響；以非法手段竊得對數(shù)據(jù)的使用權(quán)，刪除、修改、插入或重發(fā)某些重要信息，以取得有益于攻擊者的響應(yīng)，惡意添加，修改數(shù)據(jù)，以干擾用戶的正常使用。搭線(網(wǎng)絡(luò))竊聽攻擊者可以采用如wireshark等網(wǎng)絡(luò)協(xié)議分析工具，在internet網(wǎng)絡(luò)安全的薄弱處進入internet，并非常容易地在信息傳輸過程中獲取所有信息(尤其是敏感信息)的內(nèi)容。

網(wǎng)絡(luò)安全技術(shù)可以分為如下幾大類，即：身份認證技術(shù)、防火墻技術(shù)、入侵檢測技術(shù)、病毒防治技術(shù)、網(wǎng)絡(luò)數(shù)據(jù)完整性技術(shù)和網(wǎng)絡(luò)活動審計技術(shù)。他們應(yīng)用于網(wǎng)絡(luò)活動的不同階段，來保護網(wǎng)絡(luò)內(nèi)的信息資源。

整個校園的局域網(wǎng)按訪問區(qū)域可以劃分為三個主要的區(qū)域：Internet區(qū)域、內(nèi)部網(wǎng)絡(luò)、公開服務(wù)器區(qū)域。內(nèi)部網(wǎng)絡(luò)又可按照所屬的部門、職能、安全重要程度分為許多子網(wǎng)。局域網(wǎng)一般都進行文件共享、辦公自動化、WWW服務(wù)、電子郵件服務(wù)，文件數(shù)據(jù)的統(tǒng)一存儲，提供與Internet的訪問，通過公開服務(wù)器對外發(fā)布企業(yè)信息、發(fā)送電子郵件等。

網(wǎng)絡(luò)運行環(huán)境下，系統(tǒng)與系統(tǒng)、系統(tǒng)與用戶、用戶與用戶之間頻繁交換各種數(shù)據(jù)、信息，如電子文件、文檔、報文甚至數(shù)據(jù)或代碼。在網(wǎng)絡(luò)通信環(huán)境下，也經(jīng)常有假冒源點身份將報文插入網(wǎng)絡(luò)中，或者假的報文接收者發(fā)回假確認，或不予接收；還有篡改報文內(nèi)容、報文序號；報文延遲或回收；否認收到報文或否認發(fā)送報文等。數(shù)字簽名可以防止否認收到報文或否認發(fā)送報文這類問題，所以解決的方法就是，對這些數(shù)據(jù)庫的錄入與修改的操作者的身份進行認證，也可用數(shù)字簽名、證書技術(shù)保證數(shù)據(jù)交換過程中用戶和信息的有效性，用于標明信息分發(fā)者的身份和對交換信息的認可，接收方也可以通過驗證數(shù)字簽名以判斷信息是否來源于指定用戶，以及交換信息的完整性。存取控制規(guī)定何種主體對何種客體具有何種操作權(quán)利，也是內(nèi)部網(wǎng)絡(luò)安全理論的重要方面，主要包括人員限制、數(shù)據(jù)標識、權(quán)限控制、控制類型和風險分析。

在內(nèi)部網(wǎng)與外部網(wǎng)之間，設(shè)置防火墻實現(xiàn)內(nèi)外網(wǎng)的隔離與訪問控制是保護內(nèi)部網(wǎng)安全的最主要、同時也是最有效、最經(jīng)濟的措施之一。防火墻設(shè)置在不同網(wǎng)絡(luò)或網(wǎng)絡(luò)安全域之間信息的唯一出入口。包過濾防火墻工作在網(wǎng)絡(luò)層上，有選擇的讓數(shù)據(jù)包在內(nèi)部網(wǎng)絡(luò)與外部網(wǎng)絡(luò)之間進行交換。一般利用IP和TCP包的頭信息對進出被保護網(wǎng)絡(luò)的IP包信息進行過濾，能根據(jù)校園的安全政策來控制（允許、拒絕、監(jiān)測）出入網(wǎng)絡(luò)的信息流。同時可實現(xiàn)網(wǎng)絡(luò)地址轉(zhuǎn)換（NAT）、審記與實時告警等功能。代理服務(wù)防火墻也有一定功效，是一種增加了安全功能的應(yīng)用層網(wǎng)關(guān)，位于internet和intranet之間，自動截取內(nèi)部用戶訪問internet的請求，驗證其有效性，代表用戶建立訪問外部網(wǎng)絡(luò)的連接。3.6網(wǎng)絡(luò)服務(wù)器規(guī)劃校園網(wǎng)中的服務(wù)器集群包括DNS服務(wù)器、DHCP服務(wù)器、E-mail服務(wù)器、Web服務(wù)器、FTP服務(wù)器、。這些服務(wù)器劃分到一個VLAN中，通過一個二層交換機直接與核心交換機相連。DNS服務(wù)器可以進行域名解析，然后返回對應(yīng)的IP給客戶端，從而實現(xiàn)雙方通信；DHCP服務(wù)器在核心層交換機上設(shè)置，使所有終端服務(wù)器可以動態(tài)獲取IP地址，Email服務(wù)器實現(xiàn)郵件發(fā)送接收功能，Web服務(wù)器實現(xiàn)校園網(wǎng)網(wǎng)絡(luò)服務(wù)，F(xiàn)TP服務(wù)器實現(xiàn)教學資源共享，這樣使我們的教學資源達到最大化。根據(jù)學校實際情況合理地規(guī)劃設(shè)置服務(wù)器。3.7網(wǎng)絡(luò)管理(1)將安全策略、硬件及軟件等方法結(jié)合起來，構(gòu)成一個統(tǒng)一的防御系統(tǒng)，有效阻止非法用戶進入網(wǎng)絡(luò)，減少網(wǎng)絡(luò)的安全風險。

(2)定期進行漏洞掃描，審計跟蹤，及時發(fā)現(xiàn)問題，解決問題。

(3)通過入侵檢測等方式實現(xiàn)實時安全監(jiān)控，提供快速響應(yīng)故障的手段，同時具備很好的安全取證措施。

(4)使網(wǎng)絡(luò)管理者能夠很快重新組織被破壞了的文件或應(yīng)用。使系統(tǒng)重新恢復到破壞前的狀態(tài)，最大限度地減少損失。

(5)在工作站、服務(wù)器上安裝相應(yīng)的防病毒軟件，由中央控制臺統(tǒng)一控制和管理，實現(xiàn)全網(wǎng)統(tǒng)一防病毒。3.8小結(jié)通過對學校的綜合了解，對校園網(wǎng)建設(shè)給出了總體的設(shè)計方案，從而進一步完善對廣西師范學院校園網(wǎng)的設(shè)計與規(guī)劃,使其更加優(yōu)秀，使網(wǎng)絡(luò)更完善的應(yīng)用于教學與科學研究。設(shè)計之中，充分考慮了廣西師范學院的各處基礎(chǔ)設(shè)施，對實驗樓，行政樓，圖書館，學生宿舍等主要建筑進行了全方位的數(shù)據(jù)統(tǒng)計，在做需求分析時，通過對網(wǎng)絡(luò)管理中心的老師進行咨詢，根據(jù)實際情況，精確的制定出學院校園網(wǎng)的需求方案。本文也從多個角度對校園網(wǎng)的硬、軟件設(shè)施進行考慮，特別是以思源學院的實際應(yīng)用為導向、以經(jīng)濟性為原則、以未來的發(fā)展為導向、切合實際的對建設(shè)中的具體應(yīng)用與布局進行了詳細的分系設(shè)計。在硬件設(shè)備方面，盡量選擇思科的設(shè)備，為以后校園網(wǎng)絡(luò)的發(fā)展奠定基礎(chǔ)，這些設(shè)備的選取不僅在滿足學院的基本教學、資源共享等方面完全能夠勝任而且在科研，前沿學科的研究、探索上都能充分發(fā)揮他的作用。在設(shè)計思路上，我曾多次上網(wǎng)查閱各個方面的資料、也曾多次向這方面的老師征求寶貴的意見，以便制作出完備的、先進的、方案新穎的校園網(wǎng)規(guī)劃系統(tǒng)。在布線系統(tǒng)的設(shè)計上，采用EIA/TIA568國際布線標準，以便剛好的發(fā)揮主干網(wǎng)絡(luò)的性能、從而也給以后的管理帶便利。在本次組建校園網(wǎng)絡(luò)過程中，由于本組人對網(wǎng)絡(luò)知識的掌握有限，可以說在整個的組建網(wǎng)絡(luò)過程是一邊摸索一邊實踐出來的。但令人高興的是，通過這樣一個邊學習邊應(yīng)用的過程，本組人完成了校園網(wǎng)的組網(wǎng)的工作。在這過程中使我們的對各個設(shè)備有一個很大的認識，也花費了一番功夫。4詳細設(shè)計4.1IP子網(wǎng)規(guī)劃與VLAN劃分4.1.1VLAN規(guī)劃虛擬局域網(wǎng)是交換機的重要功能，通常虛擬局域網(wǎng)的實現(xiàn)形式有三種，即靜態(tài)端口分配、動態(tài)虛擬網(wǎng)和多虛擬網(wǎng)端口配置。靜態(tài)虛擬網(wǎng)的劃分通常是網(wǎng)管人員使用網(wǎng)管軟件或直接設(shè)置交換機的端口，使其直接從屬于某個虛擬網(wǎng)。這些端口一直保持這些從屬性，除非網(wǎng)管人員重新設(shè)置。這種方法雖然比較麻煩，但比較安全，容易配置和維護。支持動態(tài)虛擬網(wǎng)的端口，可以借助智能管理軟件自動確定它們的從屬。端口是通過借助網(wǎng)絡(luò)包的MAC地址、邏輯地址或協(xié)議類型來確定虛擬網(wǎng)的從屬。一旦網(wǎng)管人員配置好后，用戶的計算機就可以靈活地改變交換機端口，而不會改變該用戶的虛擬網(wǎng)從屬性。多虛擬網(wǎng)端口配置支持一用戶或一端口可以同時訪問多個虛擬網(wǎng)。從上述情況分析，本網(wǎng)所采用的VLAN劃分方案如下：(1)把不同的系劃分到不同的vlan中，因為各系的教學風格，制度都有差異，教學材料也不同，分離開來更加容易管理而且更加安全。(2)實驗樓有各種實驗器材，設(shè)備及資料文檔，把其劃分到多個vlan也是為了更方便有效的管理。(3)財務(wù)處、人事處，財務(wù)處涉及財產(chǎn)安全，而且人事處聚集各層重要信息，把其化成同一個vlan更安全可靠也更方便。(4)將圖書館，后勤處，教務(wù)處劃分為不同的vlan，因為他們屬于不同性質(zhì)的，因此為了易于管理。(5)服務(wù)器群劃分為一個vlan，并設(shè)置訪問控制，確保信息安全。(6)將男生、女生公寓樓劃分為不同的vlan,實現(xiàn)有效的管理。劃分方法采用基于端口的劃分。基于端口的劃分，相對來說容易設(shè)置和監(jiān)控，只需要將端口配置的VLAN重新分配。vlan的具體劃分如下所示：Vlan網(wǎng)絡(luò)地址用戶數(shù)IP獲取方式100服務(wù)器群/244手動配置17和18辦公樓/24/24多個自動獲取9和10實驗樓/24/24多個自動獲取11和12圖書館/24/24多個自動獲取13中文系/24多個自動獲取14外語院/24多個自動獲取15體育系/24多個自動獲取16藝術(shù)系/24多個自動獲取17教務(wù)處、財務(wù)處/24/24多個自動獲取2、3和4男生宿舍樓/24/24/24多個自動獲取5、6和20女生宿舍樓/24/24/24多個自動獲取4.1.2IP地址規(guī)劃設(shè)備及接口地址網(wǎng)關(guān)子網(wǎng)掩碼Router1--s0/0Router1--fa0/0852Router2--s0/0Router2--fa0/0宿舍樓區(qū)匯聚層交換機1Fa0/152宿舍樓區(qū)匯聚層交換2Fa0/152宿舍樓區(qū)匯聚層交換3Fa0/152實驗樓區(qū)匯聚層交換機Fa0/1352圖書館匯聚層交換機Fa0/2152教學樓區(qū)匯聚層交換機1Fa0/2652教學樓區(qū)匯聚層交換2Fa0/2052辦公樓區(qū)匯聚層交換機Fa0/2452核心交換機Fa0/352核心交換機Fa0/452核心交換機Fa0/5052核心交換機Fa0/6452核心交換機Fa0/7252DNSFTPEMAILWEBPC0-外網(wǎng)PC1-內(nèi)網(wǎng)各個主機IP地址已根據(jù)DHCP自動分配。4.2DHCP實現(xiàn)方案以宿舍樓區(qū)匯聚層交換機1為例，DHCP的設(shè)計口令如下：ipdhcppoolVLAN2//創(chuàng)建VLAN2地址池network//指定地址池所包含的網(wǎng)段default-router//指定網(wǎng)段的網(wǎng)關(guān)dns-server//配置dns服務(wù)器地址iprouting//開啟路由功能通過此設(shè)置，只要把接入層交換機的相應(yīng)端口劃分給該VLAN，則連接該端口的PC的默認網(wǎng)關(guān)就是其所歸屬到的vlan的IP，并可以自動獲取該VLAN的地址池范圍內(nèi)的一個IP，其他匯聚層交換機的DHCP設(shè)計口令也類似。關(guān)鍵就是不要忘記開啟路由功能。4.3路由方案以宿舍樓區(qū)匯聚層交換機1為例，ospf的設(shè)計口令如下：routerospf1networkarea0//宣告網(wǎng)絡(luò)networkarea0//宣告網(wǎng)絡(luò)networkarea0//宣告網(wǎng)絡(luò)network52area04.4ACL與NAT技術(shù)應(yīng)用4.4.1ACL技術(shù)本次ACL的設(shè)計是在匯聚層第三層交換機設(shè)置，以辦公樓區(qū)匯聚層交換機為例，ACL的設(shè)計口令如下：access-listaccess-list-number{permit|deny}source[source-wildcard]permit表示也許，deny表示拒絕。例如：access-list1deny55access-list1denyaccess-list1permitany配置完這個訪問控制列表，還要應(yīng)用到具體的端口上。例如進入辦公樓區(qū)匯聚層交換機的FastEthernet0/2，可以使用如下命令應(yīng)用配置好的訪問控制列表：interfaceFastEthernet0/2ipaccess-groupaccess-list-number{in|out}其中in代表入方向，out表示出方向。將以上的配置設(shè)置為in，則表示拒絕/24和主機的流量通過該端口。如果ACL配置中先配置了deny命令，則一定要加一條命令access-listaccess-list-numberpermitany,要不然會默認拒絕所有的包通過。此口令不允許男生公寓樓、女生公寓樓訪問校長辦公室以及財務(wù)處等辦公樓的計算機。NAT技術(shù)應(yīng)用（1）靜態(tài)NAT的配置設(shè)置外部端口的IP地址：Router(config)#interfaceSerial0/0Router(config-if)#ipaddress設(shè)置內(nèi)部端口的IP地址Router(config)#interfaceFastEthernet0/0Router(config-if)#ipaddress852建立靜態(tài)地址轉(zhuǎn)換 Router(config)#ipnatinsidesourcestaticRouter(config)#ipnatinsidesourcestatic在內(nèi)部和外部端口上啟用NATRouter(config)#interfaceSerial0/0Router(config-if)#ipnatoutsideRouter(config)#interfaceFastEthernet0/0Router(config-if)#ipnatinside配置默認路由Router(config)#iproute（2）動態(tài)NAT的配置設(shè)置外部端口的IP地址：Router(config)#interfaceSerial0/0Router(config-if)#ipaddress設(shè)置內(nèi)部端口的IP地址：Router(config)#interfaceFastEthernet0/0Router(config-if)#ipaddress852定義合法IP地址池Router(config)#ipnatpoolwan50netmask實現(xiàn)網(wǎng)絡(luò)地址轉(zhuǎn)換Router(config)#ipnatinsidesourcelist1poolwan在內(nèi)部和外部端口上啟用NATRouter(config)#interfaceSerial0/0Router(config-if)#ipnatoutsideRouter(config)#interfaceFastEthernet0/0Router(config-if)#ipnatinside配置默認路由Router(config)#iproute（3）PAT的配置設(shè)置外部端口的IP地址：Router(config)#interfaceSerial0/0Router(config-if)#ipaddress設(shè)置內(nèi)部端口的IP地址：Router(config)#interfaceFastEthernet0/0Router(config-if)#ipaddress852定義合法IP地址池Router(config)#ipnatpoolonlyonenetmask實現(xiàn)網(wǎng)絡(luò)地址轉(zhuǎn)換Router(config)#ipnatinsidesourcelist1poolonlyoneoverload在內(nèi)部和外部端口上啟用NATRouter(config)#interfaceSerial0/0Router(config-if)#ipnatoutsideRouter(config)#interfaceFastEthernet0/0Router(config-if)#ipnatinside配置默認路由Router(config)#iproute4.5DNS實現(xiàn)方案DNS的配置比較簡單，只要設(shè)置好各個終端的DNS服務(wù)器的IP地址指向該DNS服務(wù)器，然后再在DNS服務(wù)器上設(shè)置好要解析的條目就可以使用DNS服務(wù)了。本次規(guī)劃中主要設(shè)置了如下圖所示的DNS條目：5仿真實現(xiàn)5.1仿真拓撲（1）在CiscoPacketTracer軟件中仿真拓撲：5.2VLAN仿真與測試以宿舍樓區(qū)匯聚層1為例，通過showvlan,顯示該交換機上所劃分的vlan，其他三層交換機劃分原理相似。由上圖可知，該交換機上劃分了三個vlan,分別為vlan2,vlan3,vlan4,下面對vlan2和vlan3的兩個主機pc1,pc2進行連通性測試：由此可見，不同vlan間的計算機可以相互通信。5.3路由的仿真與測試以核心層交換機為例，顯示的路由表，顯示的是到各個網(wǎng)段的動態(tài)路由條目，確保各個網(wǎng)段的主機都可以實現(xiàn)互相連通。從宿舍樓訪問圖書館，實現(xiàn)VLAN間