網(wǎng)絡(luò)實(shí)習(xí)網(wǎng)絡(luò)工程實(shí)習(xí)報(bào)告

PAGE3計(jì)算機(jī)工程學(xué)院網(wǎng)絡(luò)工程實(shí)習(xí)報(bào)告設(shè)計(jì)題目：淮陰工學(xué)院局域網(wǎng)的規(guī)劃與建設(shè)系別：計(jì)算機(jī)工程專業(yè)：軟件工程班級(jí)：軟件1082學(xué)生姓名:學(xué)號(hào): 起止日期:2011年12月19日~2011年12月23日 指導(dǎo)教師：TOC\o"1-2"\h\u一，校園網(wǎng)絡(luò)的總體規(guī)劃 41.1建網(wǎng)背景 41.2建網(wǎng)目標(biāo) 41.3建網(wǎng)需求 51.4設(shè)計(jì)原則 6二，需求分析 62.1目標(biāo)需求 62.2功能需求 62.3應(yīng)用需求 72.4業(yè)務(wù)需求 72.5外部需求 82.6用戶需求調(diào)查(如下) 8三，總體設(shè)計(jì) 93.1系統(tǒng)拓?fù)浣Y(jié)構(gòu) 93.2IP規(guī)劃與VLAN 103.3核心層設(shè)計(jì)及設(shè)備選型 113.4匯聚層設(shè)計(jì) 133.5接入層設(shè)計(jì) 133.6服務(wù)器選型 133.7系統(tǒng)安全體系設(shè)計(jì) 14四，校園網(wǎng)內(nèi)部實(shí)習(xí) 17五.價(jià)格一覽表 29總結(jié) 30參考文獻(xiàn): 31摘要： 在當(dāng)今信息產(chǎn)業(yè)迅速發(fā)展的今天，信息已經(jīng)成為一種關(guān)鍵性的戰(zhàn)略資源，校園作為知識(shí)基地和人才基地，它理應(yīng)成為代表信息產(chǎn)業(yè)應(yīng)用最成功的典范。一所成功的學(xué)校不僅在學(xué)術(shù)上、教育上要力爭(zhēng)上游，更應(yīng)在管理上上一個(gè)臺(tái)階。利用各種成熟的技術(shù)帶動(dòng)學(xué)校各單位、各部門的電腦化管理，通過校園信息網(wǎng)，將各處的電腦聯(lián)成一個(gè)數(shù)據(jù)網(wǎng)，實(shí)現(xiàn)各類數(shù)據(jù)的統(tǒng)一性和規(guī)范性；教職員工和學(xué)生可共享各種信息，極易進(jìn)行各種信息的教流、經(jīng)驗(yàn)的分享、討論、消息的發(fā)布、工作流的自動(dòng)實(shí)現(xiàn)和協(xié)同工作等，從而有效地提高學(xué)校的現(xiàn)代化管理水平和教學(xué)質(zhì)量，增強(qiáng)學(xué)生學(xué)習(xí)的積極性、主動(dòng)性，為信息時(shí)代培育出高素質(zhì)的人才。在校園內(nèi)組建計(jì)算機(jī)網(wǎng)絡(luò)，在服務(wù)教學(xué)、科研的同時(shí)，也可以大大提高管理水平和效率。雖然在組建時(shí)需要花費(fèi)一些費(fèi)用，但與節(jié)省的費(fèi)用相比，依然可以接受。隨著計(jì)算機(jī)技術(shù)、網(wǎng)絡(luò)技術(shù)的發(fā)展，網(wǎng)絡(luò)設(shè)備的價(jià)格不斷下降；同時(shí)國(guó)家各級(jí)政府對(duì)于教育的投入不斷增加，大量計(jì)算機(jī)進(jìn)入了校園，組建校園網(wǎng)不僅是十分迫切的工作，可行性也非常高。隨著寬帶城域網(wǎng)的建設(shè)，校園網(wǎng)的業(yè)務(wù)也進(jìn)一步向公眾網(wǎng)擴(kuò)展，其中遠(yuǎn)程教育就成為一項(xiàng)極富發(fā)展?jié)摿Φ某怯蚓W(wǎng)寬帶業(yè)務(wù)。關(guān)鍵字：局域網(wǎng)，傳遞存儲(chǔ)，路由器，網(wǎng)絡(luò)一，校園網(wǎng)絡(luò)的總體規(guī)劃1.1建網(wǎng)背景1、當(dāng)前校園網(wǎng)信息系統(tǒng),已經(jīng)發(fā)展到了與校際互聯(lián)、國(guó)際互聯(lián)、靜態(tài)資源共享、動(dòng)態(tài)信息發(fā)布、遠(yuǎn)程教學(xué)和協(xié)作工作的階段,同時(shí)也對(duì)學(xué)校教育現(xiàn)代化的建設(shè)提出了越來越高的要求。

2、教育信息量的不斷增多,使各級(jí)各類學(xué)校、家庭和教育管理部門對(duì)教育信息計(jì)算機(jī)管理和教育信息服務(wù)要求越來越強(qiáng)烈。

3、我國(guó)各級(jí)教育研究部門、軟件開發(fā)單位、教學(xué)設(shè)備供應(yīng)商和各級(jí)學(xué)校不斷開發(fā)了在網(wǎng)絡(luò)上運(yùn)行的軟件及多媒體系統(tǒng),并且越來越形象化、實(shí)用化,迫切需要網(wǎng)絡(luò)環(huán)境。

4、現(xiàn)代教育改革的需要。在校園網(wǎng)中將計(jì)算機(jī)引入教學(xué)各個(gè)環(huán)節(jié),引起了教學(xué)方法,教學(xué)手段,教學(xué)工具的重大革新,對(duì)提高教學(xué)質(zhì)量,推動(dòng)我國(guó)教育現(xiàn)代化的發(fā)展起著不可估量的作用。1.2建網(wǎng)目標(biāo)校園網(wǎng)的總體設(shè)計(jì),首先要進(jìn)行對(duì)象的研究和需求的調(diào)查,弄清學(xué)校的性質(zhì)、任務(wù)和改革發(fā)展的特點(diǎn),對(duì)學(xué)校的信息化環(huán)境進(jìn)行準(zhǔn)確的描述,明確系統(tǒng)建設(shè)的需求和條件;其次,在應(yīng)用需求分析的基礎(chǔ)上,確定Intranet服務(wù)類型,進(jìn)而確定系統(tǒng)建設(shè)的具體目標(biāo),包括網(wǎng)絡(luò)設(shè)施、站點(diǎn)設(shè)置、開發(fā)應(yīng)用和管理等方面的目標(biāo);第三,是確定網(wǎng)絡(luò)拓樸結(jié)構(gòu)和功能,根據(jù)應(yīng)用需求、學(xué)校建設(shè)目標(biāo)和學(xué)校主要建筑分布特點(diǎn),進(jìn)行系統(tǒng)分析和設(shè)計(jì);第四,確定技術(shù)設(shè)計(jì)的原則要求,如在技術(shù)選型、布線設(shè)計(jì)、設(shè)備選擇、軟件配置等方面的標(biāo)準(zhǔn)和要求;第五,規(guī)劃安排校園網(wǎng)建設(shè)的實(shí)施步驟。校園網(wǎng)總體設(shè)計(jì)方案是否科學(xué),主要從以下性能指標(biāo)來考慮:

1、整體規(guī)劃合理。要從學(xué)校建設(shè)的全局和全面工作的需要出發(fā),考慮部門的地理分布和通信條件。整體規(guī)劃網(wǎng)絡(luò)建設(shè)方案,應(yīng)對(duì)網(wǎng)絡(luò)系統(tǒng)的目標(biāo)、總體結(jié)構(gòu)、服務(wù)功能、經(jīng)費(fèi)預(yù)算、建設(shè)步驟等重大問題作出規(guī)定。

2、先進(jìn)性、開放性和標(biāo)準(zhǔn)化相結(jié)合。應(yīng)采用符合國(guó)際工業(yè)標(biāo)準(zhǔn)的、比較成熟的技術(shù),兼顧網(wǎng)絡(luò)技術(shù)的發(fā)展方向,選擇結(jié)構(gòu)化、可擴(kuò)充、多用途的網(wǎng)絡(luò)產(chǎn)品,保證網(wǎng)絡(luò)在較長(zhǎng)時(shí)間內(nèi)不落后。

3、結(jié)構(gòu)合理。在通信網(wǎng)絡(luò)、資源配置、系統(tǒng)服務(wù)和網(wǎng)絡(luò)管理上有良好的分層設(shè)計(jì),使網(wǎng)絡(luò)結(jié)構(gòu)清晰,便于使用、管理和維護(hù)。

4、高效實(shí)用。著眼于教學(xué)、科研和管理的實(shí)際需要,用有限的資金優(yōu)先解決工作急需的問題。

5、支持寬帶多媒體業(yè)務(wù)。如遠(yuǎn)程教學(xué)、多媒體網(wǎng)絡(luò)教室等。

6、為學(xué)術(shù)交流提供良好的環(huán)境。應(yīng)與CERNET、CHINANET等進(jìn)行高速互連,能快速訪問Internet,與國(guó)內(nèi)外同行交流信息,也能展示學(xué)校的形象。1.3建網(wǎng)需求高校校園寬帶網(wǎng)用戶集中且網(wǎng)絡(luò)流量大，關(guān)注網(wǎng)絡(luò)的可運(yùn)營(yíng)和可管理特性，校園網(wǎng)建網(wǎng)需求如下：(1)教學(xué)區(qū)、宿舍區(qū)用戶對(duì)校園網(wǎng)、教育網(wǎng)、INTERNET的訪問有相應(yīng)的路由策略和相應(yīng)的計(jì)費(fèi)策略。(2)校園網(wǎng)存在多個(gè)出口需求，校園網(wǎng)至少要提供中國(guó)教育科研網(wǎng)（CERNET）和INTERNET兩個(gè)出口。(3)校園網(wǎng)安全性要求較高，要求設(shè)備能夠?qū)崿F(xiàn)用戶識(shí)別和動(dòng)態(tài)綁定功能如通過“IP+MAC+端口”三元組的動(dòng)態(tài)綁定來識(shí)別用戶。(4)校園網(wǎng)WEB頁面可實(shí)現(xiàn)以下功能：用戶Web自助服務(wù)功能，用戶可通過Web自助服務(wù)頁面，進(jìn)行個(gè)人資料的查詢、密碼修改、上網(wǎng)明細(xì)查詢、繳費(fèi)記錄查詢以及在線預(yù)注冊(cè)和在線帳號(hào)充值。(5)校園網(wǎng)要求實(shí)現(xiàn)多種支持普通包月、包月限時(shí)長(zhǎng)、包月限流量、計(jì)天、計(jì)時(shí)長(zhǎng)和計(jì)量等多種計(jì)費(fèi)策略。支持用戶卡和充值卡，沖值卡配合用戶卡以及提供的公用服務(wù)功能可以實(shí)現(xiàn)用戶的完全自助管理。(6)校園網(wǎng)要求實(shí)現(xiàn)組播業(yè)務(wù)。(7)校園網(wǎng)要求在學(xué)校規(guī)模不斷擴(kuò)大中，用戶數(shù)在持續(xù)增加，要求網(wǎng)絡(luò)具有很好的擴(kuò)展性，能夠根據(jù)需要逐步平滑升級(jí)到萬兆的骨干連接。(8)采用流行的、支持設(shè)備面廣、有良好圖形界面的網(wǎng)管平臺(tái)。網(wǎng)管系統(tǒng)能夠管理到網(wǎng)絡(luò)中的每一個(gè)智能設(shè)備及有關(guān)設(shè)備的每一個(gè)端口，即能夠遠(yuǎn)程對(duì)設(shè)備進(jìn)行設(shè)置、調(diào)試、網(wǎng)絡(luò)流量監(jiān)測(cè)和必要的重置。能對(duì)網(wǎng)絡(luò)故障能及時(shí)發(fā)現(xiàn)并報(bào)警。1.4設(shè)計(jì)原則校園網(wǎng)連接了包括教學(xué)樓、辦公樓、實(shí)驗(yàn)樓、圖書館、學(xué)生宿舍樓及教職工生活區(qū)等大量的信息點(diǎn)，并涉及學(xué)校管理、教育科研、電子教學(xué)、遠(yuǎn)程教育和互聯(lián)網(wǎng)的引入以及對(duì)外技術(shù)交流與合作服務(wù)等大量的業(yè)務(wù)，這就要求校園網(wǎng)必須是一個(gè)實(shí)用的、高可靠、高效率、高擴(kuò)展性及高安全性系統(tǒng)。為使校園網(wǎng)絡(luò)系統(tǒng)具有良好的擴(kuò)展性和靈活的接入能力，并易于管理，易于維護(hù)，在網(wǎng)絡(luò)設(shè)計(jì)及構(gòu)建中始終應(yīng)遵循統(tǒng)一標(biāo)準(zhǔn)、統(tǒng)一平臺(tái)及網(wǎng)絡(luò)分層的原則，如統(tǒng)一采用IP技術(shù)，統(tǒng)一規(guī)劃IP地址及各種應(yīng)用，采用開放的技術(shù)及國(guó)際標(biāo)準(zhǔn)，如路由協(xié)議、安全標(biāo)準(zhǔn)、接入標(biāo)準(zhǔn)和網(wǎng)絡(luò)管理平臺(tái)等，才能保證實(shí)現(xiàn)網(wǎng)絡(luò)的統(tǒng)一，并確保網(wǎng)絡(luò)的可擴(kuò)展性。為了減少網(wǎng)絡(luò)中各部分的相關(guān)性，便于網(wǎng)絡(luò)的實(shí)施及管理，在網(wǎng)絡(luò)的構(gòu)建中，從整體上可以將網(wǎng)絡(luò)劃分為核心層、匯聚層和接入層等3個(gè)層次。各層之間功能明確，各司其責(zé)。應(yīng)能滿足校園網(wǎng)系統(tǒng)的要求，布線系統(tǒng)應(yīng)能保證滿足網(wǎng)絡(luò)通信的各項(xiàng)指標(biāo)要求。實(shí)用性和先進(jìn)性。靈活性和適應(yīng)性?？煽啃耘c安全性。經(jīng)濟(jì)性?？删S護(hù)性和可管理性可擴(kuò)充性和兼容性二，需求分析2.1目標(biāo)需求學(xué)校：優(yōu)化管理體制，實(shí)現(xiàn)資源合理配置，節(jié)約不必要開支，投入教學(xué)、科研及校園設(shè)施；加速科研成果轉(zhuǎn)化，開展對(duì)外合作、交流；承辦各種技能培訓(xùn)、考核，擴(kuò)大知名度；開辦遠(yuǎn)程教育；加強(qiáng)師生素質(zhì)培養(yǎng)；教師：獲取信息；提高業(yè)務(wù)水平及自身素質(zhì)；進(jìn)行科研及項(xiàng)目開發(fā)；對(duì)外學(xué)術(shù)交流；加強(qiáng)與學(xué)生的交流；便利的校園生活服務(wù)；學(xué)生：獲取信息，拓寬知識(shí)面；提高專業(yè)水平，隨時(shí)得到教師指導(dǎo)；廣泛的交流；學(xué)習(xí)與實(shí)踐相結(jié)合；豐富多彩的校園生活及發(fā)揮才能的機(jī)會(huì)；便利的校園生活服務(wù)；2.2功能需求建立校園網(wǎng)絡(luò)，連接每間教室、辦公室，實(shí)現(xiàn)資源共享；建立VOD（視頻點(diǎn)播）、COD（課件點(diǎn)播）系統(tǒng)，實(shí)現(xiàn)40個(gè)教學(xué)班能隨時(shí)進(jìn)行多媒體教學(xué)；建立視頻廣播系統(tǒng)，實(shí)現(xiàn)校園閉路電視系統(tǒng)的功能；發(fā)揮計(jì)算機(jī)在教學(xué)中的作用，實(shí)現(xiàn)多媒體課件制作網(wǎng)絡(luò)化，逐步實(shí)現(xiàn)教師備課電子化、多媒體化。建立網(wǎng)絡(luò)化、自動(dòng)辦公系統(tǒng)，實(shí)現(xiàn)教育教學(xué)管理自動(dòng)化；建立通信系統(tǒng)，利用電子郵件、BBS等實(shí)現(xiàn)現(xiàn)代化通信；建立網(wǎng)絡(luò)安全系統(tǒng)，實(shí)現(xiàn)不同身份登陸獲得不同訪問權(quán)限。2.3應(yīng)用需求作為校園網(wǎng)，需要連接多少個(gè)節(jié)點(diǎn)，怎樣使用各種網(wǎng)絡(luò)設(shè)備使分布在不同地理位置的節(jié)點(diǎn)連接到一個(gè)統(tǒng)一的網(wǎng)絡(luò)中，怎樣使整個(gè)網(wǎng)絡(luò)上的節(jié)點(diǎn)相互連通，這些問題僅僅是校園網(wǎng)需要解決問題中的一部分，更重要的問題如何將這些資源有序地組織起來，需要實(shí)現(xiàn)什么功能，以滿足現(xiàn)在和未來在教學(xué)、科研、管理、交流等方面的需求。形成在校園內(nèi)部、校園與外部進(jìn)行信息溝通的體系，建立滿足教學(xué)、科研和管理需求的計(jì)算機(jī)環(huán)境，為學(xué)校各種人員提供充分的網(wǎng)絡(luò)信息服務(wù)，在網(wǎng)絡(luò)環(huán)境中進(jìn)行教學(xué)、研究、收集信息等工作。校園需要的基本功能有：計(jì)算機(jī)教學(xué)，包括多媒體教學(xué)和遠(yuǎn)程教學(xué)；網(wǎng)絡(luò)下載、網(wǎng)絡(luò)聊天等；電子郵件系統(tǒng)：主要進(jìn)行與同行交往、開展技術(shù)合作、學(xué)術(shù)交流等活動(dòng)；文件傳輸FTP：主要利用FTP服務(wù)獲取重要的科技資料和技術(shù)文擋；INTERNET服務(wù)：學(xué)校可以建立自己的主頁，利用外部網(wǎng)頁進(jìn)行學(xué)校宣傳，提供各類咨詢信息等，利用內(nèi)部網(wǎng)頁進(jìn)行管理，例如發(fā)布通知、收集學(xué)生意見等。圖書館的訪問系統(tǒng)，用于計(jì)算機(jī)查詢、計(jì)算機(jī)檢索、計(jì)算機(jī)閱讀等；2.4業(yè)務(wù)需求數(shù)據(jù)處理、通訊能力處理強(qiáng),響應(yīng)速度快;網(wǎng)絡(luò)運(yùn)行安全、可靠性高;系統(tǒng)易擴(kuò)充,易管理,便于用戶的增加;主干網(wǎng)支持多媒體、群體、圖象接口應(yīng)用,支持高性能數(shù)據(jù)庫軟件包的持續(xù)增長(zhǎng);系統(tǒng)開放性、互連性好;局域網(wǎng)既能方便遠(yuǎn)程用戶的撥號(hào)接入,又能滿足特殊用戶高效地連入廣域網(wǎng),使用靈活;具有很強(qiáng)的分布式數(shù)據(jù)處理能力2.5外部需求外部需求應(yīng)包括以下幾個(gè)：Internet、遠(yuǎn)程訪問、電子郵件、以多媒體方式介紹學(xué)校、討論和交流、信息發(fā)布。各項(xiàng)均可通過相應(yīng)的網(wǎng)絡(luò)信息平臺(tái)實(shí)現(xiàn)。學(xué)校的網(wǎng)絡(luò)化建設(shè)必然會(huì)對(duì)學(xué)校的信息化建設(shè)起到巨大的推動(dòng)作用，同時(shí)提供簡(jiǎn)單、有效、便捷的理想辦公、教學(xué)環(huán)境。2.6用戶需求調(diào)查(如下)表1：用戶需求調(diào)查表地址建筑物可靠性/可用性網(wǎng)絡(luò)需求安全性可擴(kuò)展性樓層數(shù)信息點(diǎn)數(shù)主要應(yīng)用辦公樓1棟2層/棟全日制不停機(jī)工作下載>400KB/s上傳>100KB/s高良好2120OA辦公、課件制作、資源共享、Internet服務(wù)等實(shí)驗(yàn)樓1棟3層/棟白天工作狀態(tài)良好,網(wǎng)絡(luò)正常運(yùn)行下載>300kB/s上傳>100KB/S中等好370微機(jī)網(wǎng)絡(luò)教室、課件制作、編程學(xué)習(xí)、應(yīng)用軟件學(xué)習(xí)、Internet服務(wù)、生物化驗(yàn)等教學(xué)樓1棟4層/棟白天工作狀態(tài)良好，網(wǎng)絡(luò)運(yùn)行正常下載>300KB/s上傳>100KB/s一般好4100Internet服務(wù)、多媒體教學(xué)、語音教學(xué)等教師公寓1棟4層/棟全日制不停機(jī)工作下載>400KB/s上傳>100KB/s一般良好470課件制作、資源共享、OA辦公、Internet服務(wù)等學(xué)生公寓1~33棟6層/棟白天工作狀態(tài)良好,網(wǎng)絡(luò)正常運(yùn)行下載>200KB/s上傳>50KB/s一般良好18130資源共享、編程學(xué)習(xí)、應(yīng)用軟件學(xué)習(xí)、Internet服務(wù)、等學(xué)生公寓4~52棟6層/棟白天工作狀態(tài)良好,網(wǎng)絡(luò)正常運(yùn)行下載>200KB/s上傳>50KB/s一般良好12450資源共享、編程學(xué)習(xí)、應(yīng)用軟件學(xué)習(xí)、Internet服務(wù)、等三，總體設(shè)計(jì)校園網(wǎng)不只是涉及技術(shù)方面，而是包括網(wǎng)絡(luò)設(shè)施、應(yīng)用平臺(tái)、信息資源、專業(yè)應(yīng)用、人員素質(zhì)等眾多成份的綜合化以及信息化教學(xué)環(huán)境系統(tǒng)。因此，在總體上如何籌劃、組織網(wǎng)絡(luò)建設(shè)和開發(fā)應(yīng)用的設(shè)計(jì)思想是校園網(wǎng)建設(shè)中的最重要的問題。

總體設(shè)計(jì)是校園網(wǎng)建設(shè)的總體思路和工程藍(lán)圖，是搞好校園網(wǎng)建設(shè)的核心任務(wù)。進(jìn)行校園網(wǎng)總體設(shè)計(jì)，首先，進(jìn)行對(duì)象研究和需求調(diào)查，弄清學(xué)校的性質(zhì)、任務(wù)和改革發(fā)展的特點(diǎn)，對(duì)學(xué)校的信息化環(huán)境進(jìn)行準(zhǔn)確的描述，明確系統(tǒng)建設(shè)的需求和條件；其次，在應(yīng)用需求分析的基礎(chǔ)上，確定學(xué)校Intranet服務(wù)類型，進(jìn)而確定系統(tǒng)建設(shè)的具體目標(biāo)，包括網(wǎng)絡(luò)設(shè)施、站點(diǎn)設(shè)置、開發(fā)應(yīng)用和管理等方面的目標(biāo)；第三，確定網(wǎng)絡(luò)拓樸結(jié)構(gòu)和功能，根據(jù)應(yīng)用需求、建設(shè)目標(biāo)和學(xué)校主要建筑分布特點(diǎn)，進(jìn)行系統(tǒng)分析和設(shè)計(jì)；第四，確定技術(shù)設(shè)計(jì)的原則要求，如在技術(shù)選型、布線設(shè)計(jì)、設(shè)備選擇、軟件配置等方面的標(biāo)準(zhǔn)和要求；第五，規(guī)劃安排校園網(wǎng)建設(shè)的實(shí)施步驟。3.1系統(tǒng)拓?fù)浣Y(jié)構(gòu)工學(xué)院校園網(wǎng)拓?fù)鋱D3.2IP規(guī)劃與VLAN淮陰工學(xué)院網(wǎng)絡(luò)IP地址分配總則IP地址規(guī)劃根據(jù)所分配的公網(wǎng)IP地址和內(nèi)部私網(wǎng)IP地址分配，地址可分為三大塊，一塊是Cernet分配多個(gè)C類公網(wǎng)IP地址，作為和國(guó)際互聯(lián)網(wǎng)互連的地址，域名就解析在這片地址上，主要供網(wǎng)絡(luò)中心和圖書館電腦部、部分實(shí)驗(yàn)室專用；校園網(wǎng)的普通用戶,使用內(nèi)部地址192.168.xxx.xxx，，不能和國(guó)際互聯(lián)網(wǎng)直接發(fā)生聯(lián)系，不能避開代理和計(jì)費(fèi)系統(tǒng)；學(xué)校同時(shí)還可以申請(qǐng)一塊ChinaNet的公網(wǎng)IP地址，作為接入電信公網(wǎng)和部分關(guān)鍵的服務(wù)器出口備份,關(guān)鍵服務(wù)器擁有兩個(gè)公網(wǎng)IP，分別跨接在Cernet和ChinaNet上。VLAN的劃分當(dāng)前交換技術(shù)的迅速發(fā)展，也加快了虛擬子網(wǎng)技術(shù)(VLAN—VirtualLocalAreaNetwork)的應(yīng)用速度，特別是在當(dāng)前校園網(wǎng)上的應(yīng)用更廣泛。通過將校園網(wǎng)絡(luò)劃分為虛擬子網(wǎng)（VLAN），可以強(qiáng)化網(wǎng)絡(luò)管理和網(wǎng)絡(luò)安全，控制不必要的數(shù)據(jù)廣播。數(shù)據(jù)廣播在網(wǎng)絡(luò)中起著非常重要的作用，隨著校園網(wǎng)內(nèi)的計(jì)算機(jī)數(shù)量的增加，VOD視頻點(diǎn)播在課堂教學(xué)上的大量應(yīng)用，廣播包的數(shù)量也會(huì)急劇增加，當(dāng)廣播包的數(shù)量占到總量的30%時(shí)，網(wǎng)絡(luò)的傳輸效率將會(huì)明顯下降。特別是當(dāng)某網(wǎng)絡(luò)設(shè)備出現(xiàn)故障后，會(huì)不停地向網(wǎng)絡(luò)發(fā)送廣播，從而導(dǎo)致網(wǎng)絡(luò)風(fēng)暴，使網(wǎng)絡(luò)通信陷于癱瘓。當(dāng)校園網(wǎng)絡(luò)內(nèi)計(jì)算機(jī)數(shù)超過200臺(tái)后，就必須采取措施將網(wǎng)絡(luò)分隔開來，將一個(gè)大的廣播域劃分成若干個(gè)小的廣播域。分隔廣播域的方式有兩種，一是物理分隔，即將一個(gè)完整網(wǎng)絡(luò)物理地一分為二或一分為多，然后通過一個(gè)能夠隔離廣播的網(wǎng)絡(luò)設(shè)備將彼此連接起來。二是邏輯分隔，即將一個(gè)大的網(wǎng)絡(luò)劃分為若干個(gè)小的虛擬子網(wǎng)，也就是VLAN，各虛擬子網(wǎng)間通過路由設(shè)備連接實(shí)現(xiàn)通訊。學(xué)校內(nèi)部對(duì)于靈活、動(dòng)態(tài)地組建VLAN網(wǎng)段的要求也越來越多，客觀上要求VLAN本身的結(jié)構(gòu)可以實(shí)現(xiàn)動(dòng)態(tài)組建、調(diào)整和管理。為了有效地提高網(wǎng)絡(luò)管理的靈活性，提高網(wǎng)絡(luò)效率和網(wǎng)絡(luò)安全性，充分合理地進(jìn)行VLAN劃分，是必需的。該方案的VLAN劃分如下：表2：VLAN劃分表VLAN號(hào)VLAN名稱IP網(wǎng)段默認(rèn)網(wǎng)關(guān)說明VLAN1-192．168．0．0/24192．168．0．254管理VLANVLAN10JWC192．168．1．0/24192．168．1．254教務(wù)處VLANVLAN20XSSS192．168．2．0/24192．168．2．254男生公寓VLANVLAN30CWC192．168．3．0/24192．168．3．254財(cái)務(wù)處VLANVLAN50JZX192．168．5．0/24192．168．5．254醫(yī)務(wù)室VLANVLAN60GLX192．168．6．0/24192．168．6．254女生公寓VLANVLAN70JSJX192．168．7．0/24192．168．7．254教學(xué)樓VLANVLAN100WQQ192．168．100．0/24192．168．100．254圖書館VLAN3.3核心層設(shè)計(jì)及設(shè)備選型校園網(wǎng)是各種應(yīng)用的統(tǒng)一通信平臺(tái)，平均無故障時(shí)間以及故障恢復(fù)時(shí)間要保持在一個(gè)可容忍的許可范圍之內(nèi)。在這種前提下，主干設(shè)備應(yīng)有一定的冗余度，這種冗余度不單只是設(shè)備級(jí)的，也應(yīng)該考慮物理線路，數(shù)據(jù)鏈路層、網(wǎng)絡(luò)層以及應(yīng)用層的容錯(cuò)能力。主干網(wǎng)以校園網(wǎng)絡(luò)中心的主機(jī)房為中心節(jié)點(diǎn)向外輻射，通過各部門（院、系、所）所在的建筑樓節(jié)點(diǎn)構(gòu)成主干網(wǎng)。校園網(wǎng)物理結(jié)構(gòu)分為三層：核心層、匯聚層、接入層。主干網(wǎng)中心節(jié)點(diǎn)配置核心路由交換機(jī)，該交換機(jī)上配置第三層交換模塊和網(wǎng)絡(luò)監(jiān)控模塊，以實(shí)現(xiàn)網(wǎng)絡(luò)動(dòng)態(tài)管理和虛擬局域網(wǎng)。校園網(wǎng)的信息資源分中心，可采用三層交換機(jī)與校園網(wǎng)中心的核心路由交換機(jī)連接，以實(shí)現(xiàn)主干通道信息傳輸?shù)呢?fù)載均衡。教學(xué)樓、科學(xué)樓、公寓等樓宇采用高性能匯聚層交換機(jī)，以保證建筑樓信息點(diǎn)對(duì)交換機(jī)端口密度的要求和網(wǎng)絡(luò)性能與可靠性的要求。主干網(wǎng)核心層交換機(jī)和匯聚層交換機(jī)采用1000Mbps（單模1000BASE-LX、多模1000BASE-SX）連接，服務(wù)器采用1000Mbps(1000BASE-TX)連接。1．主干交換機(jī)主干交換機(jī)是指連接服務(wù)器及樓與樓之間、層與層之間的數(shù)據(jù)交換設(shè)備。本校園網(wǎng)工程將分為三期，根據(jù)工程三個(gè)階段中網(wǎng)絡(luò)點(diǎn)成批增加其間伴隨著的使用需求增長(zhǎng)，對(duì)主干交換機(jī)基本設(shè)備的選型及其階段性的擴(kuò)展需求進(jìn)行總體的合理規(guī)劃。采用交換機(jī)而不使用共享式集線器到桌面是由于學(xué)校實(shí)際使用情況是主要表現(xiàn)在集中突發(fā)性，即學(xué)生同時(shí)使用同一軟件的情況比較多，如果使用共享到桌面，網(wǎng)絡(luò)就會(huì)產(chǎn)生擁阻而影響速度，因此在校園網(wǎng)中應(yīng)使用百兆交換到桌面。在十兆與百兆交換機(jī)中應(yīng)選擇百兆交換，因?yàn)?0兆雖然在目前校園網(wǎng)絡(luò)使用中剛剛能達(dá)到要求，但是已經(jīng)不適應(yīng)功能越來越強(qiáng)的計(jì)算機(jī)與新的應(yīng)用軟件的發(fā)展，更不適應(yīng)更快的計(jì)算機(jī)通訊產(chǎn)品的要求，將成為它們之間最大的瓶頸。因此采用銳捷STAR-S3550-12G全千兆智能多層交換機(jī)作為校園網(wǎng)工作組級(jí)接入交換機(jī)，直接連接學(xué)生站點(diǎn)。通過Intel先進(jìn)的、獨(dú)特的堆疊背板技術(shù)（SST）將第一期的600個(gè)站點(diǎn)分成若干個(gè)網(wǎng)段，即3-6個(gè)510T交換機(jī)堆疊在一起的獨(dú)立組群，這樣就在每個(gè)交換組中最多144個(gè)站點(diǎn)提供高達(dá)15Gb的帶寬，因此形成的交換網(wǎng)絡(luò)就能夠滿足不斷增長(zhǎng)的流量需求。另外還通過虛網(wǎng)技術(shù)，使每個(gè)教室或每個(gè)年級(jí)之間的互訪得到有效的管理和控制，提高網(wǎng)絡(luò)的安全性。以合理價(jià)格實(shí)現(xiàn)工作組與終端設(shè)備的100Mbps連接的可擴(kuò)展交換器，銳捷是將專用快速以太網(wǎng)式的性能擴(kuò)展到整個(gè)網(wǎng)絡(luò)的理想選擇，它可使用戶的終端設(shè)備服務(wù)器及其它網(wǎng)絡(luò)設(shè)施享受這種高性能的解決方案。這種高性能的解決方案可隨網(wǎng)絡(luò)的成長(zhǎng)而自由地?cái)U(kuò)展。2．服務(wù)器服務(wù)器是網(wǎng)絡(luò)服務(wù)器用量最大的地方。服務(wù)器的選擇標(biāo)準(zhǔn)很大程度上取決于中心客戶的類型和應(yīng)用種類。就學(xué)校情況而言，Web應(yīng)用和數(shù)據(jù)庫應(yīng)用仍然占整個(gè)數(shù)據(jù)中心的各類應(yīng)用的主要部分。因此對(duì)服務(wù)器的網(wǎng)絡(luò)響應(yīng)能力在很大程度上體現(xiàn)了服務(wù)器的硬件體系結(jié)構(gòu)設(shè)計(jì)的合理性、CPU或CPU組（SMP）對(duì)操作系統(tǒng)的進(jìn)程或線程的分配能力以及磁盤I/O的性能。以及可行性與穩(wěn)定性，同時(shí)散熱、功耗和易安裝性也是重點(diǎn)考察和評(píng)價(jià)的對(duì)象?；谝陨峡紤]，所選的服務(wù)器必須具有高可靠性，I/O吞吐能力強(qiáng)，數(shù)據(jù)處理快，可擴(kuò)展性和可管理性良好的特點(diǎn)3．路由器在此方案中，考慮Internet出口路由器的配置——一臺(tái)聯(lián)想天工R1760路由器。它是學(xué)校的校園網(wǎng)對(duì)外的出口，也可以作為保護(hù)校園網(wǎng)的第一道防火墻。因?yàn)槭褂寐?lián)想router在Internet上配置安全的VPN隧道極為簡(jiǎn)單，聯(lián)想天工Router對(duì)通道傳輸提供強(qiáng)大的加密功能，確保您的私人通訊數(shù)據(jù)通過公用網(wǎng)域時(shí)的安全。但根據(jù)客戶和局域網(wǎng)配置的具體不同情況，也應(yīng)該采取適當(dāng)?shù)牟襟E來確保來自Internet的局域安全。這至少要包括配置通過協(xié)議過濾器的訪問控制目錄。[6]采用DDN線路與Internet連接，以64KB~2MB帶寬支持校園的應(yīng)用，而且性能非常穩(wěn)定。聯(lián)想Router有2個(gè)能與專用數(shù)字線路或FrameRelay及X.25網(wǎng)絡(luò)相連的WAN接口。3.4匯聚層設(shè)計(jì)采用千兆以太網(wǎng)技術(shù)，實(shí)現(xiàn)核心層與匯聚層的互連。核心網(wǎng)絡(luò)以星型結(jié)構(gòu)連接各匯聚層節(jié)點(diǎn)。根據(jù)信息點(diǎn)分布情況，選用千兆可堆疊交換機(jī)作為用戶的鏈路匯聚。匯聚層交換機(jī)支持靈活的組網(wǎng)能力、強(qiáng)大的網(wǎng)絡(luò)適應(yīng)能力豐富的QoS策略。靈活的組網(wǎng)能力:支持多種規(guī)格千兆接口模塊供選擇；并可提供堆疊接口模塊，可以和系列交換機(jī)堆疊，能夠提供更靈活的組網(wǎng)模式。強(qiáng)大的網(wǎng)絡(luò)適應(yīng)能力:支持豐富的二層、三層協(xié)議：支持OSPF，RIPI/II，等路由協(xié)議，支持802.1q，GVRP等二層協(xié)議；提供RSTP，PIM協(xié)議，支持802.1x用戶認(rèn)證功能，可勝任各種復(fù)雜網(wǎng)絡(luò)的組網(wǎng)需求。可控組播技術(shù)使得網(wǎng)絡(luò)的組播源和組播用戶可控，能夠?qū)M播業(yè)務(wù)進(jìn)行可靠的管理。豐富的QoS策略:支持對(duì)不同優(yōu)先級(jí)業(yè)務(wù)進(jìn)行調(diào)度及良好的網(wǎng)絡(luò)擁塞控制策略，支持基于L2/3/4的流分類，豐富的Qos策略是構(gòu)建高質(zhì)量網(wǎng)絡(luò)的基礎(chǔ)。[7]3.5接入層設(shè)計(jì)接入層選用可堆疊交換機(jī)作為用戶的接入。采用10/100/1000M以太網(wǎng)交換機(jī)系列，該系列交換機(jī)使用可堆疊式機(jī)型。接入交換機(jī)要求支持全線速的二層交換；完備的安全智能控制策略：支持802.1x認(rèn)證，，還可以通過靈活的MAC、IP、VLAN、PORT任意組合綁定，有效的防止非法用戶訪問網(wǎng)絡(luò)。支持多種ACL訪問控制策略，能夠?qū)τ脩粼L問網(wǎng)絡(luò)資源的權(quán)限進(jìn)行設(shè)置，保證網(wǎng)絡(luò)的受控訪問。高可靠性：支持STP/RSTP生成樹協(xié)議。豐富的QOS策略：支持基于源MAC地址、目的MAC地址、源IP地址、目的IP地址、端口、協(xié)議的L2~L7復(fù)雜流分類，支持帶寬控制功能。好的擴(kuò)展性：提供良好的堆疊功能，同時(shí)支持不同設(shè)備的混合堆疊，從而保證了網(wǎng)絡(luò)的平滑升級(jí)和降低了擴(kuò)建成本。[8]3.6服務(wù)器選型在該方案中，校園網(wǎng)服務(wù)器選用清華同方的超強(qiáng)系列服務(wù)器產(chǎn)品。Web服務(wù)器選型分析根據(jù)校園網(wǎng)服務(wù)器的應(yīng)用特點(diǎn)，Web服務(wù)器選型應(yīng)該按照如下原則：要求反應(yīng)時(shí)間短，能快速響應(yīng)和處理用戶的訪問需求。具有強(qiáng)大的信息吞吐能力、多Web站點(diǎn)和內(nèi)容緩存、能在一定投資下提供更多的訪問服務(wù)和提高用戶滿意度。易于發(fā)布和實(shí)現(xiàn)信息共享。易于建立和運(yùn)行Web應(yīng)用，簡(jiǎn)化業(yè)務(wù)進(jìn)程。具有可靠的品質(zhì)，保證Web服務(wù)不間斷。易于設(shè)置和管理，使網(wǎng)絡(luò)管理變得更容易。易于擴(kuò)展，滿足業(yè)務(wù)的擴(kuò)大需求，保護(hù)用戶投資。基于以上需求，推薦選用清華同方超強(qiáng)2250L服務(wù)器。視頻點(diǎn)播服務(wù)器選型分析在一些校園網(wǎng)系統(tǒng)集成軟件里面帶有視頻點(diǎn)播的功能，這部分功能通常由一臺(tái)綜合性校園網(wǎng)服務(wù)器來完成。而要實(shí)現(xiàn)比較大型的視頻點(diǎn)播的功能，則需要單獨(dú)的一臺(tái)VOD服務(wù)器、單獨(dú)的視頻點(diǎn)播軟件來完成，并考慮外加擴(kuò)展柜的方式，確保在高清晰度視頻圖像的情況下能支持更多的并發(fā)流量，以便在高峰點(diǎn)播時(shí)間不會(huì)出現(xiàn)系統(tǒng)瓶頸。因此對(duì)視頻點(diǎn)播服務(wù)器的選型和對(duì)服務(wù)器的磁盤子系統(tǒng)、內(nèi)存子系統(tǒng)、網(wǎng)絡(luò)子系統(tǒng)、處理子系統(tǒng)都有不凡的要求。對(duì)于200個(gè)左右視頻并發(fā)用戶，推薦采用清華同方超強(qiáng)2250L服務(wù)器來承擔(dān)視頻點(diǎn)播服務(wù)；對(duì)于100個(gè)左右視頻并發(fā)用戶，推薦采用清華同方超強(qiáng)1580L服務(wù)器來承擔(dān)視頻點(diǎn)播服務(wù)。清華同方超強(qiáng)1580L服務(wù)器是一款采用英特爾Xeon處理器的塔式服務(wù)器，是定位于工作組級(jí)的服務(wù)器，它具備部門級(jí)服務(wù)器的穩(wěn)定可靠的特性。在視頻點(diǎn)播系統(tǒng)中服務(wù)器支持的并發(fā)用戶的數(shù)量基本上確定了服務(wù)器的檔次，而具體需要點(diǎn)播的內(nèi)容的容量則要考慮服務(wù)器的擴(kuò)展能力。清華同方超強(qiáng)1580L服務(wù)器適合于在100個(gè)左右的并發(fā)用戶數(shù)量，采用外加擴(kuò)展柜的方式可以支持到800GB以上；對(duì)于再大容量的要求，為了提高對(duì)磁盤數(shù)據(jù)的管理，推薦使用清華同方超強(qiáng)2250L服務(wù)器且同樣外加擴(kuò)展柜的方式。3．其他服務(wù)器在大型校園網(wǎng)中，還有E-mail、BBS、資源庫、遠(yuǎn)程教育、電子預(yù)覽等應(yīng)用，清華同方超強(qiáng)1580L服務(wù)器可以滿足上述應(yīng)用要求。此外學(xué)校圖書館的圖書管理系統(tǒng)一般就建立在圖書館的內(nèi)部，通常與校園網(wǎng)機(jī)房中心是分開的。圖書館的圖書管理系統(tǒng)一般采用服務(wù)器雙機(jī)的方式，以保證系統(tǒng)在工作時(shí)間不停機(jī)，確保操作中的圖書借還信息的不丟失；同時(shí)還要采用RAID方式保證數(shù)據(jù)的安全。在圖書館的應(yīng)用當(dāng)中，推薦采用超強(qiáng)TR200服務(wù)器作為圖書管理系統(tǒng)的硬件平臺(tái)。3.7系統(tǒng)安全體系設(shè)計(jì)校園網(wǎng)信息系統(tǒng)是校園網(wǎng)的數(shù)字神經(jīng)中樞，合理的使用不僅能促進(jìn)各院校的現(xiàn)代化教學(xué)改革、提高教學(xué)質(zhì)量、改善教學(xué)環(huán)境，同時(shí)通過各院校之間的互聯(lián)互通，將會(huì)極大的提高教育行業(yè)整體的工作效率和教育質(zhì)量。校園網(wǎng)總體上分為校園內(nèi)網(wǎng)和校園外網(wǎng)。校園內(nèi)網(wǎng)主要包括教學(xué)局域網(wǎng)、圖書館局域網(wǎng)、辦公自動(dòng)化局域網(wǎng)等。校園外網(wǎng)主要指學(xué)校提供對(duì)外服務(wù)的服務(wù)器群、與CERNET的接入以及遠(yuǎn)程移動(dòng)辦公用戶的接入等。教學(xué)局域網(wǎng)是教學(xué)人員利用計(jì)算機(jī)開展教學(xué)和學(xué)生通過計(jì)算機(jī)來學(xué)習(xí)的網(wǎng)絡(luò)平臺(tái)；圖書館局域網(wǎng)實(shí)現(xiàn)了圖書館的網(wǎng)絡(luò)化管理以及圖書的網(wǎng)上檢索或?yàn)g覽；辦公自動(dòng)化局域網(wǎng)是教職員工自動(dòng)化辦公的平臺(tái)，可以在此平臺(tái)上開展公文管理、會(huì)議管理、檔案管理以及個(gè)人辦公管理等。實(shí)現(xiàn)包括教學(xué)管理、科研管理、學(xué)員管理、資產(chǎn)管理、人事管理、黨務(wù)管理、財(cái)務(wù)管理、后勤管理等應(yīng)用，形成院校的綜合管理信息系統(tǒng)；

校園外網(wǎng)的服務(wù)器群構(gòu)成了校園網(wǎng)的服務(wù)系統(tǒng)，一般包括DNS、WEB、FTP、PROXY以及MAIL服務(wù)等。外部網(wǎng)實(shí)現(xiàn)了校園網(wǎng)與CERNET及INTERNET的基礎(chǔ)接入，使院校教職工和學(xué)生能使用電子郵件和瀏覽器等應(yīng)用方式，在教學(xué)、科研和管理工作中利用國(guó)內(nèi)和國(guó)際網(wǎng)進(jìn)行信息交流和共享。校園網(wǎng)內(nèi)的用戶數(shù)量較大，局域網(wǎng)絡(luò)數(shù)目較多，認(rèn)真分析可以總結(jié)出校園網(wǎng)面臨著如下的安全威脅：各種操作系統(tǒng)以及應(yīng)用系統(tǒng)自身的漏洞帶來的安全威脅；Internet網(wǎng)絡(luò)用戶對(duì)校園網(wǎng)存在非法訪問或惡意入侵的威脅；來自校園網(wǎng)內(nèi)外的各種病毒的威脅，外部用戶可能通過郵件以及文件傳輸?shù)葘⒉《編胄@內(nèi)網(wǎng)。內(nèi)部教職工以及學(xué)生可能由于使用盜版介質(zhì)將病毒帶入校園內(nèi)內(nèi)部用戶對(duì)Internet的非法訪問威脅，如瀏覽黃色、暴力、反動(dòng)等網(wǎng)站，以及由于下載文件可能將木馬、蠕蟲、病毒等程序帶入校園內(nèi)網(wǎng)；內(nèi)外網(wǎng)惡意用戶可能利用利用一些工具對(duì)網(wǎng)絡(luò)及服務(wù)器發(fā)起DOS/DDOS攻擊，導(dǎo)致網(wǎng)絡(luò)及服務(wù)不可用；校園網(wǎng)內(nèi)的學(xué)生群體是主要的QQ用戶，目前針對(duì)QQ的黑客程序隨處可見；可能會(huì)因?yàn)樾@網(wǎng)內(nèi)管理人員以及全體師生的安全意識(shí)不強(qiáng)、管理制度不健全，帶來校園網(wǎng)的威脅；基于上面的問題，我們將從物理、系統(tǒng)、網(wǎng)絡(luò)、應(yīng)用及管理五個(gè)層次分析和設(shè)計(jì)適合于校園網(wǎng)的安全建議方案。1．物理層安全物理層的安全主要包括環(huán)境、設(shè)備及線路的安全。系統(tǒng)中心或機(jī)房的建設(shè)應(yīng)遵照：GB50173-93《電子計(jì)算機(jī)機(jī)房設(shè)計(jì)規(guī)范》、GB2887-89《計(jì)算機(jī)站場(chǎng)地安全要求》及GB2887-89《計(jì)算機(jī)站場(chǎng)地技術(shù)條件》的要求。在設(shè)備集中的管理間安裝干擾器防止由于設(shè)備輻射造成的信息泄漏。同時(shí)，要注意保護(hù)線路的安全，防止用戶的搭線竊聽行為。2．系統(tǒng)安全系統(tǒng)層主要解決的是由于各種操作系統(tǒng)、數(shù)據(jù)庫、及相關(guān)產(chǎn)品的安全漏洞和病毒造成的威脅。解決的技術(shù)手段主要有以下幾種：加固手段對(duì)主機(jī)加固，如升級(jí)、打補(bǔ)丁、關(guān)閉不需要的端口等；訪問控制手段加強(qiáng)對(duì)主機(jī)的訪問控制；3．網(wǎng)絡(luò)層安全校園網(wǎng)中局域網(wǎng)數(shù)目較多，根據(jù)需要多個(gè)網(wǎng)絡(luò)可能要互相聯(lián)接。正是這種多網(wǎng)的互聯(lián)，使我們對(duì)網(wǎng)絡(luò)層的安全要極度重視。定義一個(gè)網(wǎng)絡(luò)或各網(wǎng)絡(luò)內(nèi)不同安全等級(jí)的部分為不同的安全域。安全域之間的連接處叫網(wǎng)絡(luò)邊界。下面主要討論以下幾方面的網(wǎng)絡(luò)層安全防護(hù)：[10]1)劃分安全子網(wǎng)。如果同一局域網(wǎng)內(nèi)有不同等級(jí)的安全域，可以通過劃分子網(wǎng)及VLAN的方法加以訪問控制。如在教學(xué)局域網(wǎng)中學(xué)生機(jī)房和多媒體機(jī)房之間可以通過劃分子網(wǎng)來控制，不允許學(xué)生機(jī)房的機(jī)器訪問多媒體機(jī)房的機(jī)器。2)加強(qiáng)網(wǎng)絡(luò)邊界的訪問控制。安全等級(jí)差別較大的邊界需要采用防火墻來控制。如校園內(nèi)網(wǎng)、校園外網(wǎng)和Internet之間，利用防火墻進(jìn)行訪問控制和內(nèi)容過濾?？捎行У亟鉀Q需求中提到的多種威脅。3)防止內(nèi)外的攻擊威脅。在每個(gè)安全域內(nèi)或多個(gè)安全域之間安裝入侵檢測(cè)系統(tǒng)（IDS）,可有效地防止來自網(wǎng)絡(luò)內(nèi)外的攻擊。4．應(yīng)用層安全應(yīng)用層的安全措施主要有以下幾點(diǎn)：各應(yīng)用系統(tǒng)自身的加固；建立身份認(rèn)證系統(tǒng)；建立安全審計(jì)系統(tǒng)；建立備份系統(tǒng)；5．管理層安全實(shí)現(xiàn)管理層的安全主要注意以下幾點(diǎn)：建立安全管理平臺(tái)。主要是指將各種安全系統(tǒng)或設(shè)備集中控管、綜合分析。2）建立、健全安全管理體制。校園網(wǎng)用戶較多，一定要建立一套合理可行的安全管理制度。只有制度和設(shè)備的完美結(jié)合才能真正提高校園網(wǎng)的安全水平。四，校園網(wǎng)內(nèi)部實(shí)習(xí)交換機(jī)配置switch(Config-Vlan10)#switchportinterface?ethernet--ethernetinterfaceport-channel--Port-Channel<WORD>--Interfacelist(inputinterfaceand/ortheinterfacerangesdividedbysemicolon(;).suchase0/0/1;e0/0/3;e0/0/5-8)<1-100>characterswitch(Config-Vlan10)#switchportinterfacee0/0/6-12SettheportEthernet0/0/6accessvlan10successfullySettheportEthernet0/0/7accessvlan10successfullySettheportEthernet0/0/8accessvlan10successfullySettheportEthernet0/0/9accessvlan10successfullySettheportEthernet0/0/10accessvlan10successfullySettheportEthernet0/0/11accessvlan10successfullySettheportEthernet0/0/12accessvlan10successfullyswitch(Config-Vlan10)#exitswitch(Config)#vlan20switch(Config-Vlan20)#switchportinterfacee0/0/13-24SettheportEthernet0/0/13accessvlan20successfullySettheportEthernet0/0/14accessvlan20successfullySettheportEthernet0/0/15accessvlan20successfullySettheportEthernet0/0/16accessvlan20successfullySettheportEthernet0/0/17accessvlan20successfullySettheportEthernet0/0/18accessvlan20successfullySettheportEthernet0/0/19accessvlan20successfullySettheportEthernet0/0/20accessvlan20successfullySettheportEthernet0/0/21accessvlan20successfullySettheportEthernet0/0/22accessvlan20successfullySettheportEthernet0/0/23accessvlan20successfullySettheportEthernet0/0/24accessvlan20successfullyswitch(Config-Vlan20)#exitswitch(Config)#vlan1switch(Config-Vlan1)#switchportinterfacee0/0/1-5SettheportEthernet0/0/1accessvlan1successfullySettheportEthernet0/0/2accessvlan1successfullySettheportEthernet0/0/3accessvlan1successfullySettheportEthernet0/0/4accessvlan1successfullySettheportEthernet0/0/5accessvlan1successfullyswitch(Config-Vlan1)#ipaddress>Unrecognizedcommandorillegalparameter!switch(Config-Vlan1)#interfacevlan1switch(Config-If-Vlan1)#ipaddressswitch(Config-If-Vlan1)#exitswitch(Config)#vlan10switch(Config-Vlan10)#interfacevlan1002:10:45:%LINK-5-CHANGED:InterfaceVlan10,changedstatetoUPswitch(Config-If-Vlan10)#ipaddressswitch(Config-If-Vlan10)#exitswitch(Config)#vlan20switch(Config-Vlan20)#interfacevlan2002:11:34:%LINK-5-CHANGED:InterfaceVlan20,changedstatetoUPswitch(Config-If-Vlan20)#ipaddressswitch(Config-If-Vlan20)#exitswitch(Config)#showrunning>Unrecognizedcommandorillegalparameter!switch(Config)#exitswitch#showrunningCurrentconfiguration:!hostnameswitch!!Vlan1vlan1!Vlan10vlan10!Vlan20vlan20!!InterfaceEthernet0/0/1!InterfaceEthernet0/0/2!InterfaceEthernet0/0/3!InterfaceEthernet0/0/4!InterfaceEthernet0/0/5!InterfaceEthernet0/0/6switchportaccessvlan10!InterfaceEthernet0/0/7switchportaccessvlan10!InterfaceEthernet0/0/8switchportaccessvlan10!InterfaceEthernet0/0/9switchportaccessvlan10!InterfaceEthernet0/0/10switchportaccessvlan10!InterfaceEthernet0/0/11switchportaccessvlan10!InterfaceEthernet0/0/12switchportaccessvlan10!InterfaceEthernet0/0/13switchportaccessvlan20!InterfaceEthernet0/0/14switchportaccessvlan20!InterfaceEthernet0/0/15switchportaccessvlan20!InterfaceEthernet0/0/16switchportaccessvlan20!InterfaceEthernet0/0/17switchportaccessvlan20!InterfaceEthernet0/0/18switchportaccessvlan20!InterfaceEthernet0/0/19switchportaccessvlan20!InterfaceEthernet0/0/20switchportaccessvlan20!InterfaceEthernet0/0/21switchportaccessvlan20!InterfaceEthernet0/0/22switchportaccessvlan20!InterfaceEthernet0/0/23switchportaccessvlan20!InterfaceEthernet0/0/24switchportaccessvlan20!InterfaceEthernet0/1/1!!interfaceVlan1interfacevlan1ipaddress!!interfaceVlan10interfacevlan10ipaddress!!interfaceVlan20interfacevlan20ipaddress!!switch#switch>switch>switch>switch>switch>switch>switch>switch>switch>switch>switch>switch>enableswitch#router?>unrecognizedcommandswitch#configswitch(Config)#?aaa--ConfigureAAA(Authentication,Authorizationandpre-Accounting)aaa-accounting--Configureaccountingaccess-group--Applyaccess-listtointerfaceblockaccess-list--Addanaccesslistentryam--accessmanagementauthentication--Authenticationconfigurationcommandsbroadcast-suppression--broadcast-suppressionbt-guard--BT-Guardclass-map--ConfigureQoSClassMapcluster--Clusterconfigurationcommandsdir--showremoteserverfileinformationdot1x--Configure802.1Xenable--Modifyenablepasswordparametersexec--SetidletimeoutinPrivilegedmodeexit--Exitconfigmodefirewall--Configurefirewallstatusftp-server--FTPServerconfiggarp--setGARPparametergvrp--EnableGVRPhelp--helphostname--Modifyhostnameinterface--Selectaninterfacetoconfigureip--Globalipconfigurationsubcommandsisolate-port--Setisolate-portlogging--Loggingloghost--Setloghost'sIPaddressmac-access-list--GlobalMACconfigurationsubcommands_Namedaccess-listmac-address-table--MACaddresstablesettingmac-ip-access-list--GlobalMAC-IPconfigurationsubcommands_Namedaccess-listmls--ConfigureMultiLayerSwitchingcharacteristicsmonitor--ConfigureSPANmonitoringno--NegateaCommandorSetitsdefaulpolicy-map--ConfigureQoSPolicyMapport-group--Port-groupconfigurationpriority-queue--Configurepriorityschedulingradius-server--ConfigureRADIUSrmon--configrmonroute-map--Createroute-maporenterroute-mapcommandmoderouter--Enablearoutingprocessservice--Modifyuseofnetworkbasedservicessnmp-server--snmpagentserversntp--SimpleNetworkTimeprotocolspanning-tree--globalMSTPconfigssh-server--EnableSSHServicessh-user--Setssh-serveruserandpasswordstacking--Configstackingtelnet-server--Modifytelnetserverparameterstelnet-user--Settelnetuserandpasswordtftp-server--TFTPServerconfigtime-range--configureatimerangevlan--VlanCommandsweb-user--Setwebuserandpasswordwrr-queue--Configureweightedqueuesswitch(Config)#router?bgp--BorderGatewayProtocolid--Setuproutingprotocol'srouteridospf--Enable/disableOSPFprotocolrip--RoutingInformationProtocolswitch(Config)#routerripswitch(Config-Router-Rip)#version2switch(Config-Router-Rip)#exitswitch(Config)#show?>unrecognizedcommandswitch(Config)#exitswitch#show?aaa--AAAaccess-group--Specifiedaccesscontrolforpacketsaccess-lists--Displayaccess-liststructurearp--ARPtablechannel--Logouputchannelclass-map--DisplayQoSClassMapclock--Displaythesystemclockcluster--Displayclusterinformationcpu--CPUstatusandconfigurationdebugging--debugswitchdot1x--dot1xfirewall--Displayfirewallstatusflash--Flashfilesinformationftp--Ftpserverinfomationgarp--Displaythegarpinformationgvrp--Displaythegvrpinformationhardware-filter-table--ShowQoShardware-filter-tableinformationhistory--Displaythesessioncommandhistoryinterface--interfaceip--IPprotocolipmc-table--HardwareIPMULTICASTForwardingtablel3-table--HardwareIPForwardingtablelogging--Loggingmac-address-table--Macaddresstablecommandsmemory--memorystatisticsmls--DisplayMultiLayerSwitchinginformationmls-qos--DisplayMultiLayerSwitchinginformationmonitor--DisplayaSPANsessionpolicy-map--ShowQoSPolicyMapport-group--Port-groupconfigurationport-security--Securityrelatedcommandradius--AAArom--Romfilesinformationroute-map--Showroute-mapinformationrunning-config--Currentoperatingconfigurationsnmp--Displayinformationofsnmpssh-server--showsshserviceinfomationssh-user--sshuserstacking--Showstackinginformationstandby--HotStandbyRouterProtocol(HSRP)informationstartup-config--Showstart-upconfiginformationswitchport--switchportinformationtcp--tcptech-support--Tech-supportinformationtelnet--telnetinformationtftp--Tftpserverinfomationudp--udpversion--Systemhardwareandsoftwarestatusvlan--VLANinformationswitch#showip?bgp--BGPProtocolcache--Cacheinformationcommunity-list--Listcommunity-listdhcp--ShowitemsintheDHCPdatabasedvmrp--DVMRPprotocolInformationforward-protocol--ControlforwardingofphysicalanddirectedIPbroadcasthelper-address--SpecifyadestinationaddressforUDPbroadcastsigmp--showigmpmroute--IPmulticastroutingtableospf--OSPFprotocolInformationpim--PIMprotocolInformationprotocols--Routeprotocolsrip--Ripprotocolroute--Routeinformationtraffic--Statisticinformation<CR>switch#showiprouteTotalrouteitemsis1,thematchedrouteitemsis1Codes:C-connected,S-static,R-RIPderived,O-OSPFderivedA-OSPFASE,B-BGPderived,D-DVMRPderivedDestinationMaskNexthopInterfacePreferenceCVlan10switch#02:49:50:%LINEPROTO-5-UPDOWN:LineprotocolonInterfaceEthernet0/0/10,changedstatetoUP%LINEPROTO-5-UPDOWN:LineprotocolonInterfaceVlan10,changedstatetoUPPressENTERtogetstartedswitch>switch>switch>switch>switch>ean>Unrecognizedcommandorillegalparameter!switch>switch>switch>switch>eanble>Unrecognizedcommandorillegalparameter!switch>switch>switch>switch>enaswitch#switch#switch#showiproutTotalrouteitemsis2,thematchedrouteitemsis2Codes:C-connected,S-static,R-RIPderived,O-OSPFderivedA-OSPFASE,B-BGPderived,D-DVMRPderivedDestinationMaskNexthopInterfacePreferenceCVlan100CVlan10switch#switch#switch#switch#switch#switch#switch#PressENTERtogetstartedswitch>switch>switch>switch>switch>switch>ean>Unrecognizedcommandorillegalparameter!switch>switch>switch>switch>switch>enaswitch#switch#switch#switch#showrunCurrentconfiguration:!hostnameswitch!!routerriprouterrip!!Vlan1vlan1!Vlan10vlan10!Vlan20vlan20!!InterfaceEthernet0/0/1!InterfaceEthernet0/0/2!InterfaceEthernet0/0/3!InterfaceEthernet0/0/4!InterfaceEthernet0/0/5!InterfaceEthernet0/0/6switchportaccessvlan10!InterfaceEthernet0/0/7switchportaccessvlan10!InterfaceEthernet0/0/8switchportaccessvlan10!InterfaceEthernet0/0/9switchportaccessvlan10!InterfaceEthernet0/0/10switchportaccessvlan10!InterfaceEthernet0/0/11switchportaccessvlan10!InterfaceEthernet0/0/12switchportaccessvlan10!InterfaceEthernet0/0/13switchportaccessvlan20!Interface