校園網(wǎng)組建與綜合應(yīng)用(畢業(yè)論文)

校園網(wǎng)組建與綜合應(yīng)用(畢業(yè)論文)校園局域網(wǎng)的組建校園局域網(wǎng)的組建PAGE38PAGE1校園網(wǎng)組建與綜合應(yīng)用計(jì)算機(jī)網(wǎng)絡(luò)技術(shù)［摘要］隨著網(wǎng)絡(luò)建設(shè)的逐步普及，大學(xué)高校局域網(wǎng)絡(luò)的建設(shè)是高校向高水平、研究性大學(xué)跨進(jìn)的必然選擇，高校校園網(wǎng)網(wǎng)絡(luò)系統(tǒng)是一個(gè)非常龐大而復(fù)雜的系統(tǒng)，它不僅為高校的發(fā)展、綜合信息管理和辦公自動(dòng)化等一系列應(yīng)用提供基本操作平臺(tái)，而且，能夠使教育、教學(xué)、科研三位一體，提高教育教學(xué)質(zhì)量。而校園網(wǎng)網(wǎng)絡(luò)建設(shè)中主要應(yīng)用了網(wǎng)絡(luò)技術(shù)中的重要分支局域網(wǎng)技術(shù)來(lái)建設(shè)與管理的，因此本畢業(yè)設(shè)計(jì)課題將主要以校園局域網(wǎng)絡(luò)建設(shè)過(guò)程可能用到的各種技術(shù)及實(shí)施方案為設(shè)計(jì)方向，為校園網(wǎng)的建設(shè)提供理論依據(jù)和實(shí)踐指導(dǎo)。高校校園網(wǎng)的網(wǎng)絡(luò)建設(shè)與網(wǎng)絡(luò)技術(shù)發(fā)展幾乎是同步進(jìn)行的。高校不僅承擔(dān)著教書(shū)育人的工作，更承擔(dān)著部分國(guó)家級(jí)的科研任務(wù)，同時(shí)考慮未來(lái)幾年網(wǎng)絡(luò)平臺(tái)的發(fā)展趨勢(shì),為了充分滿(mǎn)足高校骨干網(wǎng)對(duì)高速，智能，安全，認(rèn)證計(jì)費(fèi)等的需求,可以利用萬(wàn)兆以太網(wǎng)的校園網(wǎng)組網(wǎng)技術(shù)。構(gòu)建校園網(wǎng)骨干網(wǎng)，實(shí)現(xiàn)各個(gè)分校區(qū)和本部之間的連接，以及實(shí)現(xiàn)端到端的以太網(wǎng)訪(fǎng)問(wèn)，提高了傳輸?shù)男?，有效地保證了遠(yuǎn)程多媒體教學(xué)、數(shù)字圖書(shū)館等業(yè)務(wù)的開(kāi)展。[關(guān)鍵詞]校園網(wǎng)；網(wǎng)絡(luò)設(shè)備；服務(wù)器；網(wǎng)絡(luò)管理；網(wǎng)絡(luò)安全目錄之上的應(yīng)用系統(tǒng)。這里有一個(gè)非常形象的比喻：網(wǎng)絡(luò)就象路，而應(yīng)用系統(tǒng)就象車(chē)，只修路但沒(méi)車(chē)跑，路也不能發(fā)揮它的作用。這必須跟據(jù)學(xué)校的實(shí)際情況，選擇恰當(dāng)?shù)膽?yīng)用系統(tǒng)。

3．把握當(dāng)前先進(jìn)性：要將未來(lái)的可擴(kuò)展性和經(jīng)濟(jì)可行性結(jié)合起來(lái)。當(dāng)前計(jì)算機(jī)網(wǎng)絡(luò)技術(shù)發(fā)展很快，設(shè)備更新淘汰很快。校園網(wǎng)建設(shè)應(yīng)當(dāng)采用當(dāng)前成熟先進(jìn)的技術(shù)和設(shè)備，而這些設(shè)備應(yīng)有良好的擴(kuò)張性，即能夠兼容未來(lái)可能的技術(shù)。2校園網(wǎng)需求分析2.1學(xué)校建筑現(xiàn)狀分析對(duì)學(xué)校建筑的分析如圖2-1所示：學(xué)生公寓區(qū)學(xué)生公寓區(qū)辦公區(qū)核心交換機(jī)動(dòng)性機(jī)教師公寓區(qū)行政區(qū)軟件學(xué)院外語(yǔ)系經(jīng)管系計(jì)科系信息工程學(xué)生閱覽室機(jī)電系教學(xué)區(qū)財(cái)務(wù)處人事處教務(wù)處招生就業(yè)處圖書(shū)館電子閱覽室網(wǎng)絡(luò)中心借書(shū)室圖2-1學(xué)校建筑圖如圖所示學(xué)校分為學(xué)生公寓區(qū)，教師公寓區(qū)，行政區(qū)，圖書(shū)館，教學(xué)區(qū)。其中學(xué)生公寓區(qū)（A區(qū)、B、區(qū)、C區(qū)），教師公寓區(qū)（A區(qū)、B、區(qū)、C區(qū)），行政區(qū)（財(cái)務(wù)處、人事處、教務(wù)處、招生就業(yè)處），圖書(shū)館（學(xué)生閱覽室、電子閱覽室、網(wǎng)絡(luò)中心、借書(shū)室），教學(xué)區(qū)（計(jì)科系、軟件學(xué)院、經(jīng)管系、機(jī)電系、外語(yǔ)系、信息工程系）。2.2信息點(diǎn)分布需求分析對(duì)學(xué)校信息點(diǎn)的分析，如表2-1所示：表2-1學(xué)校信息點(diǎn)的分析表大樓功能分布信息點(diǎn)信息點(diǎn)合計(jì)距核心網(wǎng)絡(luò)的距離學(xué)生公寓區(qū)A區(qū)500015000250mB區(qū)5000C區(qū)5000教師公寓區(qū)A區(qū)500015000250mB區(qū)5000C區(qū)5000行政區(qū)財(cái)務(wù)處20100500m人事處40教務(wù)處30招生就業(yè)處10圖書(shū)館學(xué)生閱覽室301701000m電子閱覽室30網(wǎng)絡(luò)中心100借書(shū)室10教學(xué)區(qū)計(jì)科系10004500200m軟件學(xué)院2000經(jīng)管系500機(jī)電系500信息工程系500辦公區(qū)A區(qū)100350250mB區(qū)150C區(qū)100合計(jì)348202450m2.3學(xué)校子網(wǎng)需求劃分為了提高IP地址的使用效率，引入了子網(wǎng)的概念。將一個(gè)網(wǎng)絡(luò)劃分為子網(wǎng)：采用借位的方式，從主機(jī)位最高位開(kāi)始借位變?yōu)樾碌淖泳W(wǎng)位，所剩余的部分則仍為主機(jī)位。這使得IP地址的結(jié)構(gòu)分為三級(jí)地址結(jié)構(gòu)：網(wǎng)絡(luò)位、子網(wǎng)位和主機(jī)位。這種層次結(jié)構(gòu)便于IP地址分配和管理。它的使用關(guān)鍵在于選擇合適的層次結(jié)構(gòu)--如何既能適應(yīng)各種現(xiàn)實(shí)的物理網(wǎng)絡(luò)規(guī)模，又能充分地利用IP地址空間。子網(wǎng)的劃分主要是根據(jù)子網(wǎng)掩碼來(lái)區(qū)分的，掩碼的作用就是用來(lái)告訴電腦把“大網(wǎng)”劃分為多少個(gè)“小網(wǎng)”，以及每個(gè)子網(wǎng)中的主機(jī)數(shù)目。如表2-2所示，學(xué)校子網(wǎng)的劃分。表2-2學(xué)校子網(wǎng)的劃分表序號(hào)子網(wǎng)名稱(chēng)包含的信息點(diǎn)1學(xué)生公寓子網(wǎng)學(xué)生公寓區(qū)所有的計(jì)算機(jī)2教師公寓子網(wǎng)教師公寓區(qū)所有的計(jì)算機(jī)3行政區(qū)子網(wǎng)行政區(qū)所有的計(jì)算機(jī)4圖書(shū)館子網(wǎng)圖書(shū)館區(qū)所有的計(jì)算機(jī)5教學(xué)區(qū)子網(wǎng)教學(xué)區(qū)所有的計(jì)算機(jī)6辦公區(qū)子網(wǎng)辦公區(qū)所有的計(jì)算機(jī)7服務(wù)器群子網(wǎng)該區(qū)所有的計(jì)算機(jī)8無(wú)線(xiàn)網(wǎng)絡(luò)子網(wǎng)該區(qū)所有的計(jì)算機(jī)2.4學(xué)校VLAN需求劃分VLAN（VirtualLocalAreaNetwork）稱(chēng)為虛擬局域網(wǎng)，是指在邏輯上將物理的LAN分成不同小的邏輯子網(wǎng)，每一個(gè)邏輯子網(wǎng)就是一個(gè)單獨(dú)的播域。簡(jiǎn)單地說(shuō)，就是將一個(gè)大的物理的局域網(wǎng)（LAN）在交換機(jī)上通過(guò)軟件劃分成若干個(gè)小的虛擬的局域網(wǎng)（VLAN）。因?yàn)榻粨Q機(jī)通信的原理就是要通過(guò)“廣播”來(lái)發(fā)現(xiàn)通往的目的MAC地址，以便在交換機(jī)內(nèi)部的MAC數(shù)據(jù)庫(kù)建立MAC地址表，而廣播不能跨越不同網(wǎng)段。VLAN技術(shù)的出現(xiàn)，使得管理員根據(jù)實(shí)際應(yīng)用需求，把同一物理局域網(wǎng)內(nèi)的不同用戶(hù)邏輯地劃分成不同的廣播域，每一個(gè)VLAN都包含一組有著相同需求的計(jì)算機(jī)工作站，與物理上形成的LAN有著相同的屬性。由于它是從邏輯上劃分，而不是從物理上劃分，所以同一個(gè)VLAN內(nèi)的各個(gè)工作站沒(méi)有限制在同一個(gè)物理范圍中，即這些工作站可以在不同物理LAN網(wǎng)段。由VLAN的特點(diǎn)可知，一個(gè)VLAN內(nèi)部的廣播和單播流量都不會(huì)轉(zhuǎn)發(fā)到其他VLAN中，從而有助于控制流量、減少設(shè)備投資、簡(jiǎn)化網(wǎng)絡(luò)管理、提高網(wǎng)絡(luò)的安全性。VLAN除了能將網(wǎng)絡(luò)劃分為多個(gè)廣播域，從而有效地控制廣播風(fēng)暴的發(fā)生，以及使網(wǎng)絡(luò)的拓?fù)浣Y(jié)構(gòu)變得非常靈活的優(yōu)點(diǎn)外，還可以用于控制網(wǎng)絡(luò)中不同部門(mén)、不同站點(diǎn)之間的互相訪(fǎng)問(wèn)。通過(guò)劃分VLAN子網(wǎng)，能劃小了廣播域，避免了數(shù)據(jù)碰撞在大的物理LAN內(nèi)產(chǎn)生嚴(yán)重后果的可能，也避免了廣播風(fēng)暴的產(chǎn)生。提高交換網(wǎng)絡(luò)的交換效率，保證網(wǎng)絡(luò)穩(wěn)定。提高網(wǎng)絡(luò)安全性，通過(guò)劃分VLAN，LAN被劃分不同子網(wǎng)段，因此不能直接通信。必要的通信必須經(jīng)過(guò)路由來(lái)實(shí)現(xiàn)，因此可在路由器（或三層交換機(jī)）上配置訪(fǎng)問(wèn)列表來(lái)進(jìn)行跨子網(wǎng)段的授權(quán)訪(fǎng)問(wèn)，從而提高校園內(nèi)部網(wǎng)絡(luò)訪(fǎng)問(wèn)的安全性。方便網(wǎng)絡(luò)管理：采用VLAN技術(shù)來(lái)劃分校園網(wǎng)絡(luò)，一個(gè)VLAN可以根據(jù)不同的院系、辦公室或者服務(wù)器組將不同地理位置的工作站劃分為一個(gè)邏輯網(wǎng)段。在不改動(dòng)網(wǎng)絡(luò)物理連接的情況下可以任意地將工作站在子網(wǎng)之間移動(dòng)，VLAN提供了網(wǎng)段和機(jī)構(gòu)的彈性組合機(jī)制。VLAN技術(shù)很好的解決了網(wǎng)絡(luò)管理的問(wèn)題，能實(shí)現(xiàn)網(wǎng)絡(luò)監(jiān)督與管理的自動(dòng)化，從而更有效的進(jìn)行網(wǎng)絡(luò)監(jiān)控。如表2-3所示，該學(xué)校校園網(wǎng)絡(luò)Vlan的劃分及IP的分配。表2-3學(xué)校vlan的劃分及IP的分配表序號(hào)子網(wǎng)名稱(chēng)網(wǎng)段IP網(wǎng)關(guān)IP備注1學(xué)生公寓子網(wǎng)172．16．0．0/16172．16．2．1Vlan22教師公寓子網(wǎng)172．17．0．0/16172．17．3．1Vlan33行政區(qū)子網(wǎng)192．168．4．0/24192．168．4．1Vlan44圖書(shū)館子網(wǎng)192．168．7．0/24192．168．7．1Vlan75教學(xué)區(qū)子網(wǎng)172．18．0．0/16172．18．6．1Vlan66辦公區(qū)子網(wǎng)192．168．5．0/24192．168．5．1Vlan57服務(wù)器群子網(wǎng)192．168．8．0/24192．168．8．1Vlan88無(wú)線(xiàn)網(wǎng)子網(wǎng)192．168．0．0/24192．168．0．1Vlan9另外，IP地址分為公網(wǎng)地址和私網(wǎng)地址兩類(lèi)，公有地址（Publicaddress）由InterNIC（InternetNetworkInformationCenter因特網(wǎng)信息中心）負(fù)責(zé)。這些IP地址分配給注冊(cè)并向InterNIC提出申請(qǐng)的組織機(jī)構(gòu)。通過(guò)它直接訪(fǎng)問(wèn)因特網(wǎng)。ISP分配給學(xué)校的全局IP地址地址段為:--00/24.,私有地址（Privateaddress）屬于非注冊(cè)地址，專(zhuān)門(mén)為組織機(jī)構(gòu)內(nèi)部使用。以下列出留用的內(nèi)部私有地址A類(lèi)--55B類(lèi)--55C類(lèi)--552.5校園網(wǎng)布線(xiàn)工程分析因?yàn)橐陨系男枨筇攸c(diǎn)和信息點(diǎn)分布，結(jié)合學(xué)校的實(shí)際情況總結(jié)得到如圖2-2所示：C區(qū)交換機(jī)核心交換機(jī)學(xué)生公寓區(qū)交換機(jī)C區(qū)交換機(jī)核心交換機(jī)學(xué)生公寓區(qū)交換機(jī)A區(qū)交換機(jī)B區(qū)交換機(jī)C區(qū)交換機(jī)人事處交換機(jī)教師公寓區(qū)交換機(jī)行政區(qū)交換機(jī)財(cái)務(wù)處交換機(jī)核心交換機(jī)A區(qū)交換機(jī)B區(qū)交換機(jī)教務(wù)處交換機(jī)招生就業(yè)處交換機(jī)辦公區(qū)教學(xué)區(qū)圖書(shū)館A區(qū)交換機(jī)B區(qū)交換機(jī)C區(qū)交換機(jī)計(jì)科系交換機(jī)軟件學(xué)院交換機(jī)機(jī)學(xué)生閱覽室交換機(jī)經(jīng)管系交換機(jī)機(jī)電系交換機(jī)電子閱覽室交換機(jī)網(wǎng)絡(luò)中心交換機(jī)借書(shū)室交換機(jī)信息工程交換機(jī)圖2-2學(xué)校信息點(diǎn)的分布圖3校園網(wǎng)絡(luò)設(shè)備配置本次的課題設(shè)計(jì)是在模擬軟件的基礎(chǔ)上實(shí)現(xiàn)的，因此此次的網(wǎng)絡(luò)設(shè)備選擇主要是依據(jù)該軟件中具有的設(shè)備。PacketTracer5.2是思科公司專(zhuān)門(mén)為CCNA考試人員設(shè)計(jì)的一塊軟件，通過(guò)這個(gè)軟件能夠讓我們模擬出各種路由、交換協(xié)議，而且，能夠測(cè)試各種設(shè)備的工作情況。3.1交換機(jī)模塊設(shè)計(jì)使用雙核心網(wǎng)絡(luò)的主要目的是實(shí)現(xiàn)冗余的連接防止單點(diǎn)失效，從邏輯上，大型網(wǎng)絡(luò)可分為核心層、分布層和接入層，每層都有其特點(diǎn)。層次化設(shè)計(jì)的優(yōu)點(diǎn)可以總結(jié)為如下幾點(diǎn)：可擴(kuò)展性：因?yàn)榫W(wǎng)絡(luò)可模塊化增長(zhǎng)而不會(huì)遇到問(wèn)題；簡(jiǎn)單性：通過(guò)將網(wǎng)絡(luò)分成許多小單元，降低了網(wǎng)絡(luò)的整體復(fù)雜性，使故障排除更容易，能隔離廣播風(fēng)暴的傳播、防止路由循環(huán)等潛在的問(wèn)題；設(shè)計(jì)的靈活性：使網(wǎng)絡(luò)容易升級(jí)到最新的技術(shù)，升級(jí)任意層次的網(wǎng)絡(luò)不會(huì)對(duì)其他層次造成影響，無(wú)需改變整個(gè)環(huán)境；可管理性：層次結(jié)構(gòu)使單個(gè)設(shè)備的配置的復(fù)雜性大大降低，更易管理。3.1.1交換機(jī)的選擇交換機(jī)分為二層交換機(jī)和三層交換機(jī)兩種類(lèi)型，其中二層交換機(jī)的工作原理是：（1）當(dāng)交換機(jī)從某個(gè)端口收到一個(gè)數(shù)據(jù)包，它先讀取包頭中的源MAC地址，這樣它就知道源MAC地址的機(jī)器是連在哪個(gè)端口上的；（2）再去讀取包頭中的目的MAC地址，并在地址表中查找相應(yīng)的端口；（3）如表中有與這目的MAC地址對(duì)應(yīng)的端口，把數(shù)據(jù)包直接復(fù)制到這端口上；（4）如表中找不到相應(yīng)的端口則把數(shù)據(jù)包廣播到所有端口上，當(dāng)目的機(jī)器對(duì)源機(jī)器回應(yīng)時(shí)，交換機(jī)又可以學(xué)習(xí)一目的MAC地址與哪個(gè)端口對(duì)應(yīng)，在下次傳送數(shù)據(jù)時(shí)就不再需要對(duì)所有端口進(jìn)行廣播了。不斷的循環(huán)這個(gè)過(guò)程，對(duì)于全網(wǎng)的MAC地址信息都可以學(xué)習(xí)到，二層交換機(jī)就是這樣建立和維護(hù)它自己的地址表?？梢钥闯龆咏粨Q機(jī)沒(méi)有路由功能，當(dāng)不同的子網(wǎng)進(jìn)行通信是要借助路由器實(shí)現(xiàn)數(shù)據(jù)包的轉(zhuǎn)發(fā)，所以當(dāng)子網(wǎng)數(shù)量較多時(shí)，路由器的接口數(shù)量就成了一個(gè)瓶頸，而三層交換機(jī)就能解決這一缺點(diǎn)。三層交換機(jī)的最重要的功能是加快大型局域網(wǎng)絡(luò)內(nèi)部的數(shù)據(jù)的快速轉(zhuǎn)發(fā)，加入路由功能也是為這個(gè)目的服務(wù)的。因此具有路由功能的快速轉(zhuǎn)發(fā)的三層交換機(jī)就成為首選。我們選擇CISCO3560-24PS作為核心層交換機(jī)，這個(gè)設(shè)備有26個(gè)端口，其中有兩個(gè)端口支持1Gbps的帶寬，選擇CISCO2950-24二層交換機(jī)作為接入層交換機(jī)，這個(gè)設(shè)備有24個(gè)接口，能夠?qū)崿F(xiàn)10M/100M自適應(yīng)到桌面的功能，而且，這兩款交換機(jī)都支持vlan功能。3.1.2核心層交換機(jī)的說(shuō)明配置核心層的功能主要是實(shí)現(xiàn)骨干網(wǎng)絡(luò)之間的優(yōu)化傳輸,核心層設(shè)計(jì)任務(wù)的重點(diǎn)通常是冗余能力、可靠性和高速的傳輸。網(wǎng)絡(luò)的控制功能最好盡量少在核心層上實(shí)施。核心層一直被認(rèn)為是所有流量的最終承受者和匯聚者，所以對(duì)核心層的設(shè)計(jì)以及網(wǎng)絡(luò)設(shè)備的要求十分嚴(yán)格。核心交換機(jī)采用兩個(gè)三層交換機(jī)，該校園網(wǎng)分為7個(gè)vlan，vlan2、vlan3、vlan4分別接在核心交換機(jī)一的f0/1、f0/2、f0/3接口，vlan5、vlan6、vlan7、vlan8、vlan9分別接在核心交換機(jī)二的f0/1、f0/2、f0/3、f0/4接口。（1）基于端口vlan的劃分這是最常應(yīng)用的一種VLAN劃分方法，應(yīng)用也最為廣泛、最有效，目前絕大多數(shù)VLAN協(xié)議的交換機(jī)都提供這種VLAN配置方法。這種劃分VLAN的方法是根據(jù)以太網(wǎng)交換機(jī)的交換端口來(lái)劃分的，它是將VLAN交換機(jī)上的物理端口和VLAN交換機(jī)內(nèi)部的PVC（永久虛電路）端口分成若干個(gè)組，每個(gè)組構(gòu)成一個(gè)虛擬網(wǎng)，相當(dāng)于一個(gè)獨(dú)立的VLAN交換機(jī)。從這種劃分方法本身我們可以看出，這種劃分的方法的優(yōu)點(diǎn)是定義VLAN成員時(shí)非常簡(jiǎn)單，只要將所有的端口都定義為相應(yīng)的VLAN組即可。適合于任何大小的網(wǎng)絡(luò)。它的缺點(diǎn)是如果某用戶(hù)離開(kāi)了原來(lái)的端口，到了一個(gè)新的交換機(jī)的某個(gè)端口，必須重新定義。在核心交換機(jī)上的配置如下：sw0(config)#intf0/1sw0(config-if)#switchportmodetrunksw0(config-if)#switchportaccessvlan2sw0(config)#intf0/2sw0(config-if)#switchportmodetrunksw0(config-if)#switchportaccessvlan3sw0(config)#intf0/3sw0(config-if)#switchportmodetrunksw0(config-if)#switchportaccessvlan4sw1(config)#intf0/1sw1(config-if)#switchportmodetrunksw1(config-if)#switchportaccessvlan5sw1(config)#intf0/2sw1(config-if)#switchportmodetrunksw1(config-if)#switchportaccessvlan6sw1(config)#intf0/3sw1(config-if)#switchportmodetrunksw1(config-if)#switchportaccessvlan7sw1(config)#intf0/4sw1(config-if)#switchportmodetrunksw1(config-if)#switchportaccessvlan8sw1(config)#intf0/5sw1(config-if)#switchportaccessvlan9（2）配置VLAN的各各接口的地址sw0(config)#intvlan2sw0(config-if)#ipaddsw0(config-if)#noshutdownsw0(config-if)#exitsw0(config)#intvlan3sw0(config-if)#ipaddsw0(config-if)#noshutdownsw0(config-if)#exitsw0(config)#intvlan4sw0(config-if)#ipaddsw0(config-if)#noshutdownsw1(config)#intvlan5sw1(config-if)#ipaddsw1(config-if)#noshutdownsw1(config-if)#exitsw1(config)#intvlan6sw1(config-if)#ipaddsw1(config-if)#noshutdownsw1(config-if)#exitsw1(config)#intvlan7sw1(config-if)#ipaddsw1(config-if)#noshutsw1(config-if)#exitsw1(config)#intvlan8sw1(config-if)#ipaddsw1(config-if)#noshutsw1(config)#intvlan9sw1(config-if)#ipaddsw1(config-if)#noshut(3)端口聚合提供冗余備份鏈路，端口聚合又稱(chēng)鏈路聚合，是指兩臺(tái)交換機(jī)之間在物理上將多個(gè)端口連接起來(lái)，將多條鏈路聚合成一條邏輯鏈路。從而增大鏈路帶寬，解決交換網(wǎng)絡(luò)中因帶寬引起的網(wǎng)絡(luò)瓶頸問(wèn)題。多條物理鏈路之間能夠相互冗余備份，其中任意一條鏈路斷開(kāi)，不會(huì)影響其他鏈路的正常轉(zhuǎn)發(fā)數(shù)據(jù)。該核心交換機(jī)采用的是兩條，具體配置如下：Switch(config)#interport-channel1Switch(config-if)#noswitchportSwitch(config-if)#noshutdownSwitch(config-if)#ipaddressSwitch(config)#intergig0/1Switch(config-if)#channel-gSwitch(config-if)#channel-group1monSwitch(config)#intergig0/2Switch(config-if)#channel-group1mon(4)兩個(gè)三層核心交換機(jī)之間的RIP路由協(xié)議，具體配置代碼如下：sw0(config)#routerripsw0(config-router)#networksw0(config-router)#networksw0(config-router)#networksw0(config-router)#networksw0(config-router)#networksw0(config-router)#version2sw0(config-router)#noauto-summarysw1(config)#routerripsw1(config-router)#networksw1(config-router)#networksw1(config-router)#networksw1(config-router)#networksw1(config-router)#networksw1(config-router)#networksw1(config-router)#networksw1(config-router)#version2sw1(config-router)#noauto-summary3.1.3匯聚層交換機(jī)的說(shuō)明配置分布層提供基于統(tǒng)一策略的互連性，它是核心層和訪(fǎng)問(wèn)層的分界點(diǎn)，定義了網(wǎng)絡(luò)的邊界，對(duì)數(shù)據(jù)包進(jìn)行復(fù)雜的運(yùn)算。在園區(qū)網(wǎng)絡(luò)環(huán)境中，分布層主要提供如下功能：地址的聚集部門(mén)和工作組的接入廣播域/多目傳輸域的定義InterVLAN路由介質(zhì)的轉(zhuǎn)換安全控制當(dāng)網(wǎng)絡(luò)管理人員需要管理的交換機(jī)數(shù)量眾多時(shí)，可以使用VLAN中繼協(xié)議（VlanTrunkingProtocol，VTP）簡(jiǎn)化管理，它只需在單獨(dú)一臺(tái)交換機(jī)上定義所有VLAN。然后通過(guò)VTP協(xié)議將VLAN定義傳播到本管理域中的所有交換機(jī)上。這樣，大大減輕了網(wǎng)絡(luò)管理人員的工作負(fù)擔(dān)和工作強(qiáng)度。將分布層交換機(jī)學(xué)生公寓區(qū)的交換機(jī)設(shè)置成為VTP服務(wù)器，其他交換機(jī)設(shè)置成為VTP客戶(hù)機(jī)。(1)訪(fǎng)問(wèn)層交換機(jī)學(xué)生公寓區(qū)的交換機(jī)作為服務(wù)器的配置如下：s4#vlandatabases4(vlan)#vtpdomaindongs4(vlan)#vlan2s4(vlan)#vlan3s4(vlan)#vlan4s4(vlan)#vlan5s4(vlan)#vlan6s4(vlan)#vlan7s4(vlan)#vlan8s4(vlan)#vlan9s4(vlan)#vtpserver(2)trunk端口在最普遍的路由與交換領(lǐng)域，VLAN的端口聚合也有的叫TRUNK，不過(guò)大多數(shù)都叫TRUNKING，如CISCO公司。所謂的TRUNKING是用來(lái)在不同的交換機(jī)之間進(jìn)行連接，以保證在跨越多個(gè)交換機(jī)上建立的同一個(gè)VLAN的成員能夠相互通訊。其中交換機(jī)之間互聯(lián)用的端口就稱(chēng)為T(mén)RUNK端口。與一般的交換機(jī)的級(jí)聯(lián)不同，TRUNKING是基于OSI第二層數(shù)據(jù)鏈路層（DataLinkLayer)RUNKING技術(shù)，如果你在2個(gè)交換機(jī)上分別劃分了多個(gè)VLAN（VLAN也是基于Layer2的），那么分別在兩個(gè)交換機(jī)上的VLAN10和VLAN20的各自的成員如果要互通，就需要在A(yíng)交換機(jī)上設(shè)為VLAN10的端口中取一個(gè)和交換機(jī)B上設(shè)為VLAN10的某個(gè)端口作級(jí)聯(lián)連接。VLAN20也是這樣。那么如果交換機(jī)上劃了10個(gè)VLAN就需要分別連10條線(xiàn)作級(jí)聯(lián)，端口效率就太低了。當(dāng)交換機(jī)支持TRUNKING的時(shí)候，事情就簡(jiǎn)單了，只需要2個(gè)交換機(jī)之間有一條級(jí)聯(lián)線(xiàn)，并將對(duì)應(yīng)的端口設(shè)置為T(mén)runk，這條線(xiàn)路就可以承載交換機(jī)上所有VLAN的信息。這樣的話(huà)，就算交換機(jī)上設(shè)了上百個(gè)個(gè)VLAN也只用1個(gè)端口就解決了。如果是不同臺(tái)的交換機(jī)上相同id的vlan要相互通信，那么可以通過(guò)共享的trunk端口就可以實(shí)現(xiàn)，如果是同一臺(tái)上不同id的vlan/不同臺(tái)不同id的vlan它們之間要相互通信，需要通過(guò)第三方的路由來(lái)實(shí)現(xiàn)。該層對(duì)學(xué)生公寓區(qū)交換機(jī)trunk配置如下：s4(config)#intf0/1s4(config-if)#switchportmodetrunks4(config)#intf0/2s4(config-if)#switchportmodetrunks4(config)#intf0/3s4(config-if)#switchportmodetrunks4(config)#intf0/4s4(config-if)#switchportmodetrunk3.1.4接入層交換機(jī)的說(shuō)明配置接入層是最終用戶(hù)(教師、學(xué)生)與網(wǎng)絡(luò)的接口，它應(yīng)該提供即插即用的特性，同時(shí)應(yīng)該非常易于使用和維護(hù)。另外，通過(guò)VTP的設(shè)置，我們可以更好的將匯聚層的vlan信息導(dǎo)入到接入層，只需要將不同的端口加入不同的vlan，就能夠是機(jī)器之間通信。在該層的一個(gè)交換機(jī)上的配置如下:!進(jìn)入vtp數(shù)據(jù)庫(kù)Switch#vlandatadase!設(shè)置vtp域名Switch(vlan)#vtpdomaindong!設(shè)置vtp模式Switch(vlan)#vtpclientSwitch(vlan)#exitSwitch#configgureterminal!配置接口F0/1為中繼接口Switch(config-if)#intf0/1!設(shè)置為trun模式Switch(config-if)#switchportmodetrunk3.2路由器模塊設(shè)計(jì)路由器是內(nèi)部局域網(wǎng)和廣域網(wǎng)的分界點(diǎn)，主要是能夠進(jìn)行數(shù)據(jù)包的轉(zhuǎn)發(fā)和路徑的選擇。另外，路由器要能夠支持不同網(wǎng)絡(luò)提供商的接入，實(shí)現(xiàn)線(xiàn)路的冗余，我在次課題中我選擇Cisco1841路由器。3.2.1路由協(xié)議的概念和種類(lèi)在大型局域網(wǎng)絡(luò)的建設(shè)中熟練掌握路由和交換技術(shù)是不可缺少的，采取什么樣的路由算法，要根據(jù)網(wǎng)絡(luò)的拓?fù)浣Y(jié)構(gòu)而定，路由協(xié)議工作在OSI參考模型的第3層，因此它的作用主要是在通信子網(wǎng)間路由數(shù)據(jù)包。路由器具有在網(wǎng)絡(luò)中傳遞數(shù)據(jù)時(shí)選擇最佳路徑的能力。下面簡(jiǎn)單的介紹幾種常見(jiàn)的路由協(xié)議。1.RIP協(xié)議RIP(RoutinginformationProtocol)是應(yīng)用較早、使用較普遍的內(nèi)部網(wǎng)關(guān)協(xié)議(InteriorGatewayProtocol,簡(jiǎn)稱(chēng)IGP)，適用于小型同類(lèi)網(wǎng)絡(luò)，是典型的距離向量(distance-vector)協(xié)議。RIP通過(guò)廣播UDP報(bào)文來(lái)交換路由信息，每30秒發(fā)送一次路由信息更新。RIP提供跳躍計(jì)數(shù)(hopcount)作為尺度來(lái)衡量路由距離，跳躍計(jì)數(shù)是一個(gè)包到達(dá)目標(biāo)所必須經(jīng)過(guò)的路由器的數(shù)目。如果到相同目標(biāo)有二個(gè)不等速或不同帶寬的路由器，但跳躍計(jì)數(shù)相同，則RIP認(rèn)為兩個(gè)路由是等距離的。RIP最多支持的跳數(shù)為15，即在源和目的網(wǎng)間所要經(jīng)過(guò)的最多路由器的數(shù)目為15，跳數(shù)16表示不可達(dá)。2.EIGRP加強(qiáng)型內(nèi)部網(wǎng)關(guān)路由協(xié)議EIGRP路由協(xié)議是Cisco的私有路由協(xié)議,它綜合了距離矢量和鏈路狀態(tài)2者的優(yōu)點(diǎn)，其中包括：(1)快速收斂：鏈路狀態(tài)包(Link-StatePacket,LSP)的轉(zhuǎn)發(fā)是不依靠路由計(jì)算的,所以大型網(wǎng)絡(luò)可以較為快速的進(jìn)行收斂.它只宣告鏈路和鏈路狀態(tài),而不宣告路由,所以即使鏈路發(fā)生了變化,不會(huì)引起該鏈路的路由被宣告.但是鏈路狀態(tài)路由協(xié)議使用的是Dijkstra算法,該算法比較復(fù)雜,并且較占CPU和內(nèi)存資源和其他路由協(xié)議單獨(dú)計(jì)算路由相比,鏈路狀態(tài)路由協(xié)議采用種擴(kuò)散計(jì)算(diffusingcomputations),通過(guò)多個(gè)路由器并行的記性路由計(jì)算,這樣就可以在無(wú)環(huán)路產(chǎn)生的情況下快速的收斂.(2)

減少帶寬占用:EIGRP不作周期性的更新,它只在路由的路徑和度發(fā)生變化以后做部分更新.當(dāng)路徑信息改變以后,DUAL只發(fā)送那條路由信息改變了的更新,而不是發(fā)送整個(gè)路由表.和更新傳輸?shù)揭粋€(gè)區(qū)域內(nèi)的所有路由器上的鏈路狀態(tài)路由協(xié)議相比,DUAL只發(fā)送更新給需要該更新信息的路由器。在WAN低速鏈路上,EIGRP可能會(huì)占用大量帶寬,默認(rèn)只占用鏈路帶寬50%,之后發(fā)布的IOS允許使用命令ipbandwidth-percenteigrp來(lái)修改這一默認(rèn)值.(3)支持多種網(wǎng)絡(luò)層協(xié)議:EIGRP通過(guò)使用“協(xié)議相關(guān)模塊”(即protocol-dependentmodule<PDM>),可以支持IPX,ApplleTalk,IP,IPv6和NovellNetware等協(xié)議.(4)無(wú)縫連接數(shù)據(jù)鏈路層協(xié)議和拓?fù)浣Y(jié)構(gòu):EIGRP不要求對(duì)OSI參考模型的層2協(xié)議做特別是配置.不像OSPF,OSPF對(duì)不同的層2協(xié)議要做不同配置,比如以太網(wǎng)和幀中繼總之,EIGRP能夠有效的工作在LAN和WAN中,而且EIGRP保證網(wǎng)絡(luò)不會(huì)產(chǎn)生環(huán)路(loop-free);而且配置起來(lái)很簡(jiǎn)單;支持VLSM;它使用多播和單播,不使用廣播,這樣做節(jié)約了帶寬。3.OSPF開(kāi)放最短路徑優(yōu)先路由協(xié)議OSPF(OpenShortestPathFirst開(kāi)放式最短路徑優(yōu)先)是一個(gè)內(nèi)部網(wǎng)關(guān)協(xié)議(InteriorGatewayProtocol,簡(jiǎn)稱(chēng)IGP)，用于在單一自治系統(tǒng)(autonomoussystem,AS)內(nèi)決策路由。與RIP相對(duì)，OSPF是鏈路狀態(tài)路由協(xié)議，而RIP是距離向量路由協(xié)議。鏈路是路由器接口的另一種說(shuō)法，因此OSPF也稱(chēng)為接口狀態(tài)路由協(xié)議。OSPF通過(guò)路由器之間通告網(wǎng)絡(luò)接口的狀態(tài)來(lái)建立鏈路狀態(tài)數(shù)據(jù)庫(kù)，生成最短路徑樹(shù)，每個(gè)OSPF路由器使用這些最短路徑構(gòu)造路由表。OSPF路由協(xié)議是一種典型的鏈路狀態(tài)（Link-state）的路由協(xié)議，一般用于同一個(gè)路由域內(nèi)。在這里，路由域是指一個(gè)自治系統(tǒng)（AutonomousSystem），即AS，它是指一組通過(guò)統(tǒng)一的路由政策或路由協(xié)議互相交換路由信息的網(wǎng)絡(luò)。在這個(gè)AS中，所有的OSPF路由器都維護(hù)一個(gè)相同的描述這個(gè)AS結(jié)構(gòu)的數(shù)據(jù)庫(kù)，該數(shù)據(jù)庫(kù)中存放的是路由域中相應(yīng)鏈路的狀態(tài)信息，OSPF路由器正是通過(guò)這個(gè)數(shù)據(jù)庫(kù)計(jì)算出其OSPF路由表的。作為一種鏈路狀態(tài)的路由協(xié)議，OSPF將鏈路狀態(tài)廣播數(shù)據(jù)包LSA（LinkStateAdvertisement）傳送給在某一區(qū)域內(nèi)的所有路由器，這一點(diǎn)與距離矢量路由協(xié)議不同。運(yùn)行距離矢量路由協(xié)議的路由器是將部分或全部的路由表傳遞給與其相鄰的路由器。在一個(gè)OSPF區(qū)域中只能有一個(gè)骨干區(qū)域,可以有多個(gè)非骨干區(qū)域,骨干區(qū)域的區(qū)域號(hào)為0。各非骨干區(qū)域間是不可以交換信息的，他們只有與骨干區(qū)域相連，通過(guò)骨干區(qū)域相互交換信息。非骨干區(qū)域和骨干區(qū)域之間相連的路由叫邊界路由（ABRs-AreaBorderRouters）,只有ABRs記載了各區(qū)域的所有路由表。各非骨干區(qū)域內(nèi)的非ABRs只記載了本區(qū)域內(nèi)的路由表，若要與外部區(qū)域中的路由相連，只能通過(guò)本區(qū)域的ABRs，由ABRs連到骨干區(qū)域的BR，再由骨干區(qū)域的BR連到要到達(dá)的區(qū)域。骨干區(qū)域和非骨干區(qū)域的劃分，大大降低了區(qū)域內(nèi)工作路由的負(fù)擔(dān)。其中，RIP和OSPF路由協(xié)議是通用的路由協(xié)議，而EIGRP是cisco公司的專(zhuān)用協(xié)議，只有cisco公司的設(shè)備支持，因此這個(gè)協(xié)議具有局限性，在大部分局域網(wǎng)內(nèi)，因此OSPF是首選的路由協(xié)議。

3.2.2路由器的管理方式可分為兩種:帶內(nèi)管理和帶外管理。通過(guò)路由器的Console口管理交換機(jī)屬于帶外管理，不占用交換機(jī)的網(wǎng)絡(luò)接口，特點(diǎn)是線(xiàn)纜特殊，需要近距離配置。telnet指路由器的網(wǎng)絡(luò)接口，連接到網(wǎng)絡(luò)中的某臺(tái)主機(jī)。利用這臺(tái)主機(jī)進(jìn)行遠(yuǎn)程管理和配置，特點(diǎn)是網(wǎng)管可以進(jìn)行遠(yuǎn)程控制。配置路由器遠(yuǎn)程登錄密碼，代碼如下：Router(config)#linevty04Router(config-line)#passworddongRouter(config-line)#login配置路由器特權(quán)模式密碼：Router(config)#enablepassworddong3.2.3無(wú)線(xiàn)路由考慮到學(xué)校無(wú)線(xiàn)網(wǎng)絡(luò)可能要連接室外的信息點(diǎn)，以實(shí)現(xiàn)全面有效的網(wǎng)絡(luò)覆蓋，因此，方案中采用的是室外無(wú)線(xiàn)接入設(shè)備。Cisco無(wú)線(xiàn)校園網(wǎng)的特點(diǎn)：(1)無(wú)線(xiàn)室外路由器、無(wú)線(xiàn)AP和無(wú)線(xiàn)網(wǎng)卡組成了完整的無(wú)線(xiàn)系統(tǒng)，實(shí)施極為便利，免去布線(xiàn)的困難，節(jié)約用戶(hù)建設(shè)校園網(wǎng)絡(luò)環(huán)境的時(shí)間、精力和財(cái)力；(2)WAP200E室外無(wú)線(xiàn)路由器適應(yīng)性出色，使用中避免了網(wǎng)絡(luò)施工造成的環(huán)境破壞，利用無(wú)線(xiàn)網(wǎng)絡(luò)空中連接校園內(nèi)建筑物；(3)對(duì)于很多學(xué)校存在分校的現(xiàn)象予以充分考慮。產(chǎn)品的傳輸能力較強(qiáng)，穩(wěn)定性好，能夠方便的連接分校與本部的校園網(wǎng)絡(luò)，解決校園外地域網(wǎng)絡(luò)施工的難題；(4)網(wǎng)絡(luò)的應(yīng)變性好，使用靈活。能夠充分配合學(xué)校舉辦的各類(lèi)臨時(shí)性或者應(yīng)急性活動(dòng)，根據(jù)需要迅速架設(shè)后者調(diào)整網(wǎng)絡(luò)；(5)Cisco無(wú)線(xiàn)網(wǎng)絡(luò)產(chǎn)品提供了可靠的安全保證，其全部無(wú)線(xiàn)網(wǎng)絡(luò)產(chǎn)品均支持WPA/WPA2加密，并可擴(kuò)充至256位的AES加密算法，為無(wú)線(xiàn)校園網(wǎng)絡(luò)在覆蓋區(qū)域內(nèi)的全面應(yīng)用提供了保障，無(wú)論是辦公，還是個(gè)人傳輸，都能夠放心應(yīng)用。(6)極高的網(wǎng)絡(luò)安全性，網(wǎng)絡(luò)設(shè)備支持802.1X的認(rèn)證，結(jié)合校園網(wǎng)的認(rèn)證計(jì)費(fèi)系統(tǒng)，實(shí)現(xiàn)了校園網(wǎng)極高的安全控制策略；此外，通過(guò)IP地址、MAC地址、端口、VLAN號(hào)、用戶(hù)帳號(hào)等多元素的綁定，實(shí)現(xiàn)多種方式的用戶(hù)接入訪(fǎng)問(wèn)控制，保證用戶(hù)接入的安全(7)無(wú)線(xiàn)局域網(wǎng)的發(fā)展為校園網(wǎng)的建設(shè)和升級(jí)換代帶來(lái)了新的選擇，通過(guò)運(yùn)用無(wú)線(xiàn)局域網(wǎng)技術(shù)的幾種的應(yīng)用方式，我們可以在校園實(shí)現(xiàn)網(wǎng)絡(luò)的覆蓋。對(duì)于我校在樓宇內(nèi)采用接入方式對(duì)辦公室、會(huì)議室、校園廣闊地進(jìn)行無(wú)線(xiàn)網(wǎng)絡(luò)覆蓋。而對(duì)于學(xué)校兩部則通過(guò)室外網(wǎng)橋連接方式實(shí)現(xiàn)網(wǎng)絡(luò)互通。無(wú)線(xiàn)局域網(wǎng)作為一個(gè)有限局域網(wǎng)的補(bǔ)充和完善，在校園網(wǎng)建設(shè)中將會(huì)有更好的應(yīng)用。我們?cè)跇?gòu)建無(wú)線(xiàn)局域網(wǎng)時(shí)可以根據(jù)不同的需求選擇不同的接入方式這將使無(wú)線(xiàn)局域網(wǎng)技術(shù)得到更好的應(yīng)用。具體的無(wú)線(xiàn)局域網(wǎng)的配置代碼如下：ipdhcppoolwirelessnetworkdefault-routerdns-server1無(wú)線(xiàn)路由器Internet自動(dòng)獲得的IP如圖3-1所示：圖3-1無(wú)線(xiàn)路由器Internet自動(dòng)獲得IP圖無(wú)線(xiàn)路由器LAN的IP如圖3-2所示：圖3-2無(wú)線(xiàn)路由器LAN的IP圖查看無(wú)線(xiàn)局域網(wǎng)的PC機(jī)自動(dòng)獲得IP的情況，如圖3-3所示:圖3-3局域網(wǎng)中PC機(jī)自動(dòng)獲得的IP圖4校園網(wǎng)服務(wù)器配置4.1WWW服務(wù)器配置WWW是建立在客戶(hù)機(jī)／服務(wù)器模型之上的。WWW是以超文本標(biāo)注語(yǔ)言HTML(HyperMarkupLanguage)與超文本傳輸協(xié)議HTTP(HyperTextTransferProtocol)為基礎(chǔ)。能夠提供面向Internet服務(wù)的、一致的用戶(hù)界面的信息瀏覽系統(tǒng)。其中WWW服務(wù)器采用超文本鏈路來(lái)鏈接信息頁(yè)，這些信息頁(yè)既可放置在同一主機(jī)上，也可放置在不同地理位置的主機(jī)上；本鏈路由統(tǒng)一資源定位器(URL)維持，WWW客戶(hù)端軟件(即WWW瀏覽器)負(fù)責(zé)信息顯示與向服務(wù)器發(fā)送請(qǐng)求。Internet采用超文本和超媒體的信息組織方式，將信息的鏈接擴(kuò)展到整個(gè)Internet上。目前，用戶(hù)利用WWW不僅能訪(fǎng)問(wèn)到WebServer的信息，而且可以訪(fǎng)問(wèn)到FTP、Telnet等網(wǎng)絡(luò)服務(wù)。因此，它已經(jīng)成為Internet上應(yīng)用最廣和最有前途的訪(fǎng)問(wèn)工具，并在商業(yè)范圍內(nèi)日益發(fā)揮著越來(lái)越重要的作用。WWW客戶(hù)程序在Internet上被稱(chēng)為WWW瀏覽器（Browser），它是用來(lái)瀏覽Internet上WWW主頁(yè)的軟件。目前，最流行的瀏覽器軟件主要有Netscapecommunicator和MicrosoftInternetExplorer。WWW瀏覽提供界面友好的信息查詢(xún)接口，用戶(hù)只需提出查詢(xún)要求，至于到什么地方查詢(xún)，如何查詢(xún)則由WWW自動(dòng)完成。因此WWW為用戶(hù)帶來(lái)的是世界范圍的超級(jí)文本服務(wù)。用戶(hù)只要操縱鼠標(biāo)，就可以通過(guò)Internet從全世界任何地方調(diào)來(lái)所需的文本、圖像、聲音等信息。WWW使得非常復(fù)雜的Internet使用起來(lái)異常簡(jiǎn)單。WWW瀏覽器不僅為用戶(hù)打開(kāi)了尋找Internet上內(nèi)容豐富、形式多樣的主頁(yè)信息資源的便捷途徑，而且提供了Usenet新聞組電子郵件與FTP協(xié)議等功能強(qiáng)大的通信手段。局域網(wǎng)WWW服務(wù)器的配置如圖4-1所示:圖4-1局域網(wǎng)WWW服務(wù)器配置圖4.2DNS服務(wù)器配置DNS服務(wù)器在互聯(lián)網(wǎng)的作用是：把域名轉(zhuǎn)換成為網(wǎng)絡(luò)可以識(shí)別的ip地址。首先，要知道互聯(lián)網(wǎng)的網(wǎng)站都是一臺(tái)一臺(tái)服務(wù)器的形式存在的，但是我們?cè)趺慈サ揭L(fǎng)問(wèn)的網(wǎng)站服務(wù)器呢？這就需要給每臺(tái)服務(wù)器分配IP地址，互聯(lián)網(wǎng)上的網(wǎng)站無(wú)窮多，我們不可能記住每個(gè)網(wǎng)站的IP地址，這就產(chǎn)生了方便記憶的域名管理系統(tǒng)DNS，他可以把我們輸入的好記的域名轉(zhuǎn)換為要訪(fǎng)問(wèn)的服務(wù)器的IP地址.簡(jiǎn)單的說(shuō)，就是為了方便我們?yōu)g覽互聯(lián)網(wǎng)上的網(wǎng)站而不用去刻意記住每個(gè)主機(jī)的IP地址，DNS服務(wù)器就應(yīng)運(yùn)而生，提供將域名解析為IP的服務(wù)，從而使我們上網(wǎng)的時(shí)候能夠用簡(jiǎn)短而好記的域名來(lái)訪(fǎng)問(wèn)互聯(lián)網(wǎng)上的靜態(tài)IP的主機(jī)。局域網(wǎng)內(nèi)DNS服務(wù)器的配置如圖4-2所示：圖4-2局域網(wǎng)DNS服務(wù)器的配置5校園網(wǎng)絡(luò)的管理與安全5.1網(wǎng)絡(luò)管理隨著校園網(wǎng)的不斷發(fā)展和應(yīng)用，網(wǎng)絡(luò)管理和安全防范問(wèn)題也越來(lái)越復(fù)雜。為此，我校專(zhuān)門(mén)設(shè)立了網(wǎng)絡(luò)管理中心，負(fù)責(zé)網(wǎng)絡(luò)管理系統(tǒng)的建立和應(yīng)用、線(xiàn)路和站點(diǎn)的監(jiān)測(cè)、通信設(shè)備管理、全局目錄管理、用戶(hù)和文件管理及收費(fèi)管理、用戶(hù)培訓(xùn)等。同時(shí)，利用網(wǎng)管中心，可以方便地采取各種安全性措施，控制通信，購(gòu)買(mǎi)硬件防火墻，即時(shí)下載系統(tǒng)漏洞，實(shí)施新的安全技術(shù)，數(shù)據(jù)備份等提高網(wǎng)絡(luò)可靠和安全性能水平。校園網(wǎng)管理的主要目的是保障網(wǎng)絡(luò)運(yùn)行的品質(zhì)，如維持網(wǎng)絡(luò)傳送速率、降低傳送錯(cuò)誤率、確保網(wǎng)絡(luò)安全等。所以校園網(wǎng)系統(tǒng)管理的技術(shù)人員可借網(wǎng)絡(luò)管理工具或本身的技術(shù)經(jīng)驗(yàn)實(shí)施網(wǎng)絡(luò)管理，內(nèi)容可分為下列6項(xiàng)：

（1）系統(tǒng)管理隨時(shí)掌握網(wǎng)絡(luò)內(nèi)任何設(shè)備的增減與變動(dòng)，管理所有網(wǎng)絡(luò)設(shè)備的設(shè)置參數(shù)。當(dāng)故障發(fā)生時(shí)，管理人員得以重設(shè)或改變網(wǎng)絡(luò)設(shè)備的參數(shù)，維持網(wǎng)絡(luò)的正常運(yùn)作。

（2）故障管理為確保網(wǎng)絡(luò)系統(tǒng)的高穩(wěn)定性，在網(wǎng)絡(luò)出現(xiàn)問(wèn)題時(shí)，必須及時(shí)察覺(jué)問(wèn)題的所在。它包含所有節(jié)點(diǎn)動(dòng)作狀態(tài)、故障記錄的追蹤與檢查及平常對(duì)各種通訊協(xié)議的測(cè)試。

（3）效率管理在于評(píng)估網(wǎng)絡(luò)系統(tǒng)的運(yùn)作，統(tǒng)計(jì)網(wǎng)絡(luò)資源的運(yùn)用及各種通訊協(xié)議的傳輸量等，更可提供未來(lái)網(wǎng)絡(luò)提升或更新規(guī)劃的依據(jù)。

（4）安全管理為防范不被授權(quán)的用戶(hù)擅自使用網(wǎng)絡(luò)資源，以及用戶(hù)蓄意破壞網(wǎng)絡(luò)系統(tǒng)的安全，要隨時(shí)做好安全措施，如合法的設(shè)備存取控制與加密等。

（5）計(jì)費(fèi)管理了解網(wǎng)絡(luò)使用時(shí)間，能針對(duì)各個(gè)局部網(wǎng)絡(luò)做使用統(tǒng)計(jì)。一則可作為使用網(wǎng)絡(luò)計(jì)費(fèi)的依據(jù)，更可作為日后網(wǎng)絡(luò)升級(jí)或更新規(guī)劃的參考。

（6）信息管理網(wǎng)絡(luò)上的信息分成兩部分，一是由管理員放置的信息，它們的品質(zhì)一般較高；另一部分是由用戶(hù)放置的，可能會(huì)有一些問(wèn)題，要對(duì)這部分信息進(jìn)行管理。

（7）人員培訓(xùn)要真正提高校園網(wǎng)的應(yīng)用水平，就必須堅(jiān)持不懈地在教學(xué)和學(xué)習(xí)中應(yīng)用網(wǎng)絡(luò)，以切實(shí)提高教學(xué)水平、管理水平和學(xué)習(xí)水平，其中加強(qiáng)對(duì)相關(guān)人員的培訓(xùn)十分必要。為此我校正舉辦網(wǎng)絡(luò)技術(shù)培訓(xùn)班，對(duì)校園網(wǎng)的四類(lèi)實(shí)用人員，即學(xué)校領(lǐng)導(dǎo)、系統(tǒng)維護(hù)人員、課件制作人員和應(yīng)用系統(tǒng)使用人員，分期分批進(jìn)行網(wǎng)絡(luò)培訓(xùn)，以提高全體師生的網(wǎng)絡(luò)應(yīng)用水平，并促進(jìn)校園網(wǎng)的健康發(fā)展。5.2網(wǎng)絡(luò)安全主機(jī)安全技術(shù)：加強(qiáng)網(wǎng)絡(luò)上結(jié)點(diǎn)計(jì)算機(jī)的安全，包括：系統(tǒng)防火墻的規(guī)則設(shè)置、更新。系統(tǒng)漏洞補(bǔ)丁升級(jí)更新，在人們的潛意識(shí)里增加安全防范意識(shí)等等。身份認(rèn)證技術(shù)：身份驗(yàn)證技術(shù)可以阻止或減少由于非法用戶(hù)的登陸對(duì)系統(tǒng)的惡意或非法操作。在用戶(hù)訪(fǎng)問(wèn)服務(wù)器上任何信息之前，可以要求用戶(hù)提供有效的MicrosoftWindows用戶(hù)帳戶(hù)、用戶(hù)名和密碼。該標(biāo)識(shí)過(guò)程稱(chēng)為“身份驗(yàn)證”?？梢栽诰W(wǎng)站或FTP站點(diǎn)、目錄或文件級(jí)別設(shè)置身份驗(yàn)證?？梢允褂肐nternet信息服務(wù)（IIS提供的）身份驗(yàn)證方法來(lái)控制對(duì)網(wǎng)站和FTP站點(diǎn)的訪(fǎng)問(wèn)。（包括下列信息：網(wǎng)站驗(yàn)證：介紹符合您驗(yàn)證用戶(hù)網(wǎng)站訪(fǎng)問(wèn)要求的身份驗(yàn)證方法。FTP站點(diǎn)身份驗(yàn)證：介紹符合您驗(yàn)證用戶(hù)FTP站點(diǎn)訪(fǎng)問(wèn)要求的身份驗(yàn)證方法。）訪(fǎng)問(wèn)控制技術(shù)：對(duì)信息的權(quán)限的控制，阻止了非授權(quán)用戶(hù)進(jìn)行的信息的瀏覽，修改甚至破壞。適當(dāng)?shù)乜刂茖?duì)Web和FTP內(nèi)容的訪(fǎng)問(wèn)是安全運(yùn)行Web服務(wù)器的關(guān)鍵。使用Windows和IIS中的安全功能，您可以有效地控制用戶(hù)訪(fǎng)問(wèn)您Web和FTP內(nèi)容的方式?？梢钥刂贫嗉?jí)訪(fǎng)問(wèn)，從整個(gè)網(wǎng)站和FTP站點(diǎn)到單獨(dú)的文件。每個(gè)帳戶(hù)均被授予用戶(hù)特權(quán)和權(quán)限。用戶(hù)特權(quán)是指在計(jì)算機(jī)或網(wǎng)絡(luò)上執(zhí)行特定操作的權(quán)力。權(quán)限是與對(duì)象（如文件或文件夾）關(guān)聯(lián)的規(guī)則，用于控制哪些帳戶(hù)可以獲得對(duì)象的訪(fǎng)問(wèn)權(quán)限。防火墻技術(shù)：要主的技術(shù)有數(shù)據(jù)包過(guò)濾技術(shù)、應(yīng)用網(wǎng)關(guān)和代理服務(wù)等；防火墻體系結(jié)構(gòu)在網(wǎng)絡(luò)中的設(shè)置應(yīng)用。例如屏蔽子網(wǎng)型防火墻。它是由兩個(gè)包過(guò)濾路由器和兩個(gè)堡壘機(jī)組成。堡壘主機(jī)和服務(wù)器放置在一個(gè)處于內(nèi)外網(wǎng)的小型網(wǎng)絡(luò)（Dmz安全區(qū)）中。連接外網(wǎng)的包過(guò)濾路由器主要用來(lái)防止外網(wǎng)的攻擊。并管理外網(wǎng)對(duì)dmz的訪(fǎng)問(wèn)。第二給個(gè)包過(guò)濾路由器是它置接受源于堡壘主機(jī)的數(shù)據(jù)，負(fù)責(zé)管理Ｄmz和內(nèi)網(wǎng)之間的訪(fǎng)問(wèn)。這樣對(duì)外網(wǎng)，內(nèi)部網(wǎng)是不可見(jiàn)的。同理對(duì)于內(nèi)網(wǎng)外網(wǎng)是不可見(jiàn)的，內(nèi)網(wǎng)眼通過(guò)代理服務(wù)才能訪(fǎng)問(wèn)外網(wǎng)。對(duì)于入侵者必須通過(guò)外部路由器和堡壘主機(jī)，內(nèi)部路由器才能入侵到內(nèi)網(wǎng)中。到目前可以認(rèn)為是最安全的。安全審計(jì)技術(shù)：安全策略的訂制和授權(quán)信息的驗(yàn)證技術(shù)是該技術(shù)的重點(diǎn)部分?？梢允褂冒踩珜徍思夹g(shù)跟蹤用戶(hù)活動(dòng)并檢測(cè)對(duì)NTFS目錄和文件的未經(jīng)授權(quán)的訪(fǎng)問(wèn)。（可供審核的活動(dòng)包括：用戶(hù)成功和失敗的登錄。用戶(hù)試圖訪(fǎng)問(wèn)受到限制的帳戶(hù)。用戶(hù)試圖執(zhí)行受到限制的命令。）5.2.1NAT網(wǎng)絡(luò)地址轉(zhuǎn)換(NAT,NetworkAddressTranslation)被廣泛應(yīng)用于各種類(lèi)型Internet接入方式和各種類(lèi)型的網(wǎng)絡(luò)中。原因很簡(jiǎn)單，NAT不僅完美地解決了lP地址不足的問(wèn)題，而且還能夠有效地避免來(lái)自網(wǎng)絡(luò)外部的攻擊，隱藏并保護(hù)網(wǎng)絡(luò)內(nèi)部的計(jì)算機(jī)。雖然NAT可以借助于某些代理服務(wù)器來(lái)實(shí)現(xiàn)，但考慮到運(yùn)算成本和網(wǎng)絡(luò)性能，很多時(shí)候都是在路由器上來(lái)實(shí)現(xiàn)的。隨著接入Internet的計(jì)算機(jī)數(shù)量的不斷猛增，IP地址資源也就愈加顯得捉襟見(jiàn)肘。事實(shí)上，除了中國(guó)教育和科研計(jì)算機(jī)網(wǎng)(CERNET)外，一般用戶(hù)幾乎申請(qǐng)不到整段的C類(lèi)IP地址。在其他ISP那里，即使是擁有幾百臺(tái)計(jì)算機(jī)的大型局域網(wǎng)用戶(hù)，當(dāng)他們申請(qǐng)IP地址時(shí)，所分配的地址也不過(guò)只有幾個(gè)或十幾個(gè)IP地址。顯然，這樣少的IP地址根本無(wú)法滿(mǎn)足網(wǎng)絡(luò)用戶(hù)的需求，于是也就產(chǎn)生了NAT技術(shù)。NAT的實(shí)現(xiàn)方式有三種，即靜態(tài)轉(zhuǎn)換StaticNat、動(dòng)態(tài)轉(zhuǎn)換DynamicNat和端口多路復(fù)用OverLoad。靜態(tài)轉(zhuǎn)換是指將內(nèi)部網(wǎng)絡(luò)的私有IP地址轉(zhuǎn)換為公有IP地址，IP地址對(duì)是一對(duì)一的，是一成不變的，某個(gè)私有IP地址只轉(zhuǎn)換為某個(gè)公有IP地址。借助于靜態(tài)轉(zhuǎn)換，可以實(shí)現(xiàn)外部網(wǎng)絡(luò)對(duì)內(nèi)部網(wǎng)絡(luò)中某些特定設(shè)備(如服務(wù)器)的訪(fǎng)問(wèn)。動(dòng)態(tài)轉(zhuǎn)換是指將內(nèi)部網(wǎng)絡(luò)的私有IP地址轉(zhuǎn)換為公用IP地址時(shí)，IP地址對(duì)是不確定的，而是隨機(jī)的，所有被授權(quán)訪(fǎng)問(wèn)上Internet的私有IP地址可隨機(jī)轉(zhuǎn)換為任何指定的合法IP地址。也就是說(shuō)，只要指定哪些內(nèi)部地址可以進(jìn)行轉(zhuǎn)換，以及用哪些合法地址作為外部地址時(shí)，就可以進(jìn)行動(dòng)態(tài)轉(zhuǎn)換。動(dòng)態(tài)轉(zhuǎn)換可以使用多個(gè)合法外部地址集。當(dāng)ISP提供的合法IP地址略少于網(wǎng)絡(luò)內(nèi)部的計(jì)算機(jī)數(shù)量時(shí)?？梢圆捎脛?dòng)態(tài)轉(zhuǎn)換的方式。端口多路復(fù)用(PortaddressTranslation,PAT)是指改變外出數(shù)據(jù)包的源端口并進(jìn)行端口轉(zhuǎn)換，即端口地址轉(zhuǎn)換(PAT，PortAddressTranslation).采用端口多路復(fù)用方式。內(nèi)部網(wǎng)絡(luò)的所有主機(jī)均可共享一個(gè)合法外部IP地址實(shí)現(xiàn)對(duì)Internet的訪(fǎng)問(wèn)，從而可以最大限度地節(jié)約IP地址資源。同時(shí)，又可隱藏網(wǎng)絡(luò)內(nèi)部的所有主機(jī)，有效避免來(lái)自internet的攻擊。因此，目前網(wǎng)絡(luò)中應(yīng)用最多的就是端口多路復(fù)用方式。(1)外網(wǎng)主機(jī)訪(fǎng)問(wèn)內(nèi)網(wǎng)服務(wù)器,采用的是靜態(tài)轉(zhuǎn)換。具體代碼如下：ipnatinsidesourcestatic00(2)實(shí)現(xiàn)局域網(wǎng)訪(fǎng)問(wèn)互聯(lián)網(wǎng)，采用的是端口復(fù)用動(dòng)態(tài)地址轉(zhuǎn)換，當(dāng)內(nèi)部多個(gè)私有ip地址對(duì)應(yīng)外部很少的公網(wǎng)地址時(shí)所使用的，它可以根據(jù)端口的不同來(lái)區(qū)分不同的服務(wù)和對(duì)應(yīng)的內(nèi)部地址。在這次的課題設(shè)計(jì)中局域網(wǎng)訪(fǎng)問(wèn)外網(wǎng)就是采用這種技術(shù)，具體代碼如下：Router(config)#intf0/1Router(config-if)#ipnatinsideRouter(config-if)#exitRouter(config)#ints0/1/0Router(config-if)#ipnatoutsideRouter(config-if)#exitRouter(config)#ipnatpooltest00netmaskRouter(config)#access-list10permit55Router(config)#access-list10permit55Router(config)#access-list10permit55Router(config)#access-list10permit55Router(config)#access-list10permit55Router(config)#access-list10permit55Router(config)#access-list10permit55Router(config)#access-list10permit55Router(config)#access-list10permit55Router(config)#access-list10permit55Router(config)#ipnatinsidesourcelist10pooltestoverload5.2.2A訪(fǎng)問(wèn)控制列表（AccessControlList，ACL）是路由器和交換機(jī)接口的指令列表，用來(lái)控制端口進(jìn)出的數(shù)據(jù)包。ACL適用于所有的被路由協(xié)議，如IP、IPX、AppleTalk等。這張表中包含了匹配關(guān)系、條件和查詢(xún)語(yǔ)句，表只是一個(gè)框架結(jié)構(gòu)，其目的是為了對(duì)某種訪(fǎng)問(wèn)進(jìn)行控制。信息點(diǎn)間通信，內(nèi)外網(wǎng)絡(luò)的通信都是企業(yè)網(wǎng)絡(luò)中必不可少的業(yè)務(wù)需求，但是為了保證內(nèi)網(wǎng)的安全性，需要通過(guò)安全策略來(lái)保障非授權(quán)用戶(hù)只能訪(fǎng)問(wèn)特定的網(wǎng)絡(luò)資源，從而達(dá)到對(duì)訪(fǎng)問(wèn)進(jìn)行控制的目的。簡(jiǎn)而言之，ACL可以過(guò)濾網(wǎng)絡(luò)中的流量，控制訪(fǎng)問(wèn)的一種網(wǎng)絡(luò)技術(shù)手段。ACL技術(shù)用在了核心交換機(jī)的SW0上面，不允許學(xué)生公寓區(qū)訪(fǎng)問(wèn)行政區(qū)，其它的都可以，具體配置如下：interfac