【正文】 擴(kuò)充性所選擇的聯(lián)網(wǎng)方案及設(shè)備要能適應(yīng)網(wǎng)絡(luò)規(guī)劃不斷擴(kuò)大的要求，以便于將來設(shè)備的擴(kuò)充；要能適應(yīng)信息技術(shù)不斷發(fā)展的要求，平穩(wěn)地向未來新技術(shù)過渡。(6) 安全性包括兩個(gè)方面：網(wǎng)絡(luò)用戶級(jí)的安全性，數(shù)據(jù)傳輸級(jí)的安全性。 管理方面 統(tǒng)一管理學(xué)校資源，如學(xué)生檔案、教學(xué)資料、考試成績(jī)、各種器材等；實(shí)現(xiàn)辦公自動(dòng)化，增強(qiáng)各部門協(xié)調(diào)能力，提高工作效率。除此之外，Inter 非法內(nèi)容也形成了對(duì)網(wǎng)絡(luò)的另一大威脅。第二章 校園局域網(wǎng)的需求分析 工程項(xiàng)目概況要求建立一個(gè)連接教學(xué)樓、辦公樓，圖書館，宿舍區(qū)，實(shí)訓(xùn)中心等區(qū)域的校園網(wǎng)，需求如下：信息資源共享通過校園網(wǎng)，實(shí)現(xiàn)學(xué)校內(nèi)部，學(xué)校與國內(nèi)、國際信息的快速交流，達(dá)到資源共享，使廣大師生及時(shí)了解國內(nèi)外科學(xué)技術(shù)和高等教育發(fā)展的最新動(dòng)態(tài)，促進(jìn)教學(xué)、科研、管理事業(yè)的發(fā)展。 建立計(jì)算機(jī)網(wǎng)絡(luò)輔助教學(xué)系統(tǒng) 建立基于網(wǎng)絡(luò)的電子教學(xué) CAI 課件開發(fā)、視頻點(diǎn)播（VOD）、網(wǎng)上題庫、答疑與作業(yè)批改等計(jì)算機(jī)輔助教學(xué)系統(tǒng)，實(shí)現(xiàn)教學(xué)手段的現(xiàn)代化。校園網(wǎng)的建設(shè)對(duì)于學(xué)校來說是一項(xiàng)大的工程，必須精心設(shè)計(jì)、精心施工，做到經(jīng)濟(jì)適用，技術(shù)先進(jìn)、開放性能良好、投資強(qiáng)度合理、與內(nèi)外網(wǎng)絡(luò)互聯(lián)、能長(zhǎng)期、穩(wěn)定運(yùn)行的高性能的校園網(wǎng)絡(luò)。 網(wǎng)絡(luò)主干的需求分析校園網(wǎng)的多媒體應(yīng)用目前已成為大家的共識(shí)，特別是在校園網(wǎng)內(nèi)實(shí)現(xiàn) VOD 點(diǎn)播，大量的視頻數(shù)據(jù)流對(duì)帶寬要求很高，而且農(nóng)校教學(xué)樓、煤校教學(xué)樓、職大綜合實(shí)驗(yàn)樓、教師家屬樓信息點(diǎn)都相對(duì)密集，相互之間的距離都比較遠(yuǎn)，所以主干需采用千兆光纜技術(shù)，在未來一段時(shí)間內(nèi)滿足最多 500 用戶對(duì)校園網(wǎng)主干的流量要求。4. 容易升級(jí)，提供更好的性能。先進(jìn)性：當(dāng)今計(jì)算機(jī)網(wǎng)絡(luò)技術(shù)發(fā)展日新月異，把握不準(zhǔn)方向則可能導(dǎo)致在很短的時(shí)間內(nèi)技術(shù)落伍，從而面臨被淘汰的危險(xiǎn)。易用性：網(wǎng)絡(luò)系統(tǒng)的硬件設(shè)備和軟件程序易于安裝、管理和維護(hù)。淮安信息職業(yè)技術(shù)學(xué)院畢業(yè)設(shè)計(jì)論文6安全性：包括兩個(gè)方面：網(wǎng)絡(luò)用戶級(jí)的安全性，數(shù)據(jù)傳輸級(jí)的安全性。所謂“層次化”模型，就是將復(fù)雜的網(wǎng)絡(luò)設(shè)計(jì)分成幾個(gè)層次，每個(gè)層次著重于某些特定的功能，這樣就能夠使一個(gè)復(fù)雜的大問題變成許多簡(jiǎn)單的小問題。易于理解層次化設(shè)計(jì)使得網(wǎng)絡(luò)結(jié)構(gòu)清晰明了，可以在不同的層次實(shí)施不同難度的管理，降低了管理成本。 網(wǎng)絡(luò)拓?fù)鋱D網(wǎng)絡(luò)拓?fù)鋱D如圖 31 所示。不斷的循環(huán)這個(gè)過程，對(duì)于全網(wǎng)的 MAC 地址信息都可以學(xué)習(xí)到，二層交換機(jī)就是這樣建立和維護(hù)它自己的地址表。我們選擇 CISCO 356024PS 作為核心層交換機(jī)，這個(gè)設(shè)備有 26 個(gè)端口，其中有兩個(gè)端口支持 1Gbps 的帶寬，選擇 CISCO 295024 二層交換機(jī)作為接入層交換機(jī)，這網(wǎng)絡(luò)方案設(shè)計(jì)11個(gè)設(shè)備有 24 個(gè)接口，能夠?qū)崿F(xiàn) 10M/100M 自適應(yīng)到桌面的功能，而且，這兩款交換機(jī)都支持 vlan 功能。核心交換機(jī)采用兩個(gè)三層交換機(jī)，該校園網(wǎng)分為 7 個(gè) vlan，vlanvlanvlan4分別接在核心交換機(jī)一的 f0/1 、f0/ f0/3 接口，vlanvlanvlanvlanvlan9 分別接在核心交換機(jī)二的 f0/1 、f0/ f0/f0/4 接口。適合于任何大小的網(wǎng)絡(luò)。多條物理鏈路之間能夠相互冗余備份，其中任意一條鏈路斷開，不會(huì)影響其他鏈路的正常轉(zhuǎn)發(fā)數(shù)據(jù)。這樣，大大減輕了網(wǎng)絡(luò)管理人員的工作負(fù)擔(dān)和工作強(qiáng)度。其中交換機(jī)之間互聯(lián)用的端口就稱為 TRUNK 端口。 當(dāng)交換機(jī)支持 TRUNKING 的時(shí)候，事情就簡(jiǎn)單了，只需要 2 個(gè)交換機(jī)之間有一條級(jí)聯(lián)線，并將對(duì)應(yīng)的端口設(shè)置為 Trunk，這條線路就可以承載交換機(jī)上所有 VLAN 的信息。 另 外 ， 通 過 VTP 的 設(shè) 置 ， 我 們 可 以 更 好 的 將 匯 聚 層的 vlan 信 息 導(dǎo) 入 到 接 入 層 ， 只 需 要 將 不 同 的 端 口 加 入 不 同 的 vlan， 就 能 夠 是 機(jī) 器之 間 通 信 。路由器具有在網(wǎng)絡(luò)中傳遞數(shù)據(jù)時(shí)選擇最佳路徑的能力。 RIP 提 供 跳 躍 計(jì) 數(shù) (hopcount)作 為 尺 度 來 衡 量 路 由 距 離 ， 跳 躍 計(jì)數(shù) 是 一 個(gè) 包 到 達(dá) 目 標(biāo) 所 必 須 經(jīng) 過 的 路 由 器 的 數(shù) 目 。 在 WAN 低速鏈路上,EIGRP 可能會(huì)占用大量帶寬,默認(rèn)只占用鏈路帶寬 50%,之后發(fā)布的 IOS 允許使用命令 ip bandwidthpercent eigrp 來修改這一默認(rèn)值 .(3)支持多種網(wǎng)絡(luò)層協(xié)議:EIGRP 通過使用“協(xié)議相關(guān)模塊”(即 protocoldependentmodulePDM),可以支持 IPX,ApplleTalk,IP,IPv6 和 NovellNetware 等協(xié)議.(4)無縫連接數(shù)據(jù)鏈路層協(xié)議和拓?fù)浣Y(jié)構(gòu):EIGRP 不要求對(duì) OSI 參考模型的層 2 協(xié) OSPF,OSPF 對(duì)不同的層 2 協(xié)議要做不同配置,比如以太網(wǎng)和幀中淮安信息職業(yè)技術(shù)學(xué)院畢業(yè)設(shè)計(jì)論文18繼總之,EIGRP 能夠有效的工作在 LAN 和 WAN 中,而且 EIGRP 保證網(wǎng)絡(luò)不會(huì)產(chǎn)生環(huán)路(loopfree)。 開放最短路徑優(yōu)先路由協(xié)議OSPF(Open Shortest Path First 開放式最短路徑優(yōu)先)是一個(gè)內(nèi)部網(wǎng)關(guān)協(xié)議(Interior Gateway Protocol,簡(jiǎn)稱 IGP)，用于在單一自治系統(tǒng)(autonomous system,AS)內(nèi)決策路由。OSPF 路由協(xié)議是一種典型的鏈路狀態(tài)（Linkstate）的路由協(xié)議，一般用于同一個(gè)路由域內(nèi)。運(yùn)行距離矢量路由協(xié)議的路由器是將部分或全部的路由表傳遞給與其相鄰的路由器。各非骨干區(qū)域內(nèi)的非 ABRs只記載了本區(qū)域內(nèi)的路由表，若要與外部區(qū)域中的路由相連，只能通過本區(qū)域的ABRs，由 ABRs 連到骨干區(qū)域的 BR，再由骨干區(qū)域的 BR 連到要到達(dá)的區(qū)域。通過路由器的 Console 口管理交換機(jī)屬于帶外管理，不占用交換機(jī)的網(wǎng)絡(luò)接口，特點(diǎn)是線纜特殊，需要近距離配置。Cisco 無 線 校 園 網(wǎng) 的 特 點(diǎn) ：(1)無 線 室 外 路 由 器 、 無 線 AP 和 無 線 網(wǎng) 卡 組 成 了 完 整 的 無 線 系 統(tǒng) ， 實(shí) 施 極 為 便利 ， 免 去 布 線 的 困 難 ， 節(jié) 約 用 戶 建 設(shè) 校 園 網(wǎng) 絡(luò) 環(huán) 境 的 時(shí) 間 、 精 力 和 財(cái) 力 ；(2) WAP200E 室 外 無 線 路 由 器 適 應(yīng) 性 出 色 ， 使 用 中 避 免 了 網(wǎng) 絡(luò) 施 工 造 成 的 環(huán) 境破 壞 ， 利 用 無 線 網(wǎng) 絡(luò) 空 中 連 接 校 園 內(nèi) 建 筑 物 ；(3)對(duì) 于 很 多 學(xué) 校 存 在 分 校 的 現(xiàn) 象 予 以 充 分 考 慮 。 對(duì) 于 我 校 在 樓宇 內(nèi) 采 用 接 入 方 式 對(duì) 辦 公 室 、 會(huì) 議 室 、 校 園 廣 闊 地 進(jìn) 行 無 線 網(wǎng) 絡(luò) 覆 蓋 。具 體 的 無 線 局 域 網(wǎng) 的 配 置 代 碼 如 下 ：ip dhcp pool wirelesswork defaultrouter dnsserver DNS 服務(wù)器配置DNS 服 務(wù) 器 在 互 聯(lián) 網(wǎng) 的 作 用 是 ： 把 域 名 轉(zhuǎn) 換 成 為 網(wǎng) 絡(luò) 可 以 識(shí) 別 的 ip 地 址 。這樣設(shè)計(jì)，既可以充分利用已有的公網(wǎng) IP 地址，解決了 IP 地址空間不足的，既可以方便的實(shí)現(xiàn)互通互連，而且將地址翻譯（NAT）這種耗費(fèi)設(shè)備資源的工作由網(wǎng)絡(luò)邊緣設(shè)備分擔(dān)，提高網(wǎng)絡(luò)數(shù)據(jù)傳輸整體性能。Web 服務(wù)器、FTP 服務(wù)器、DNS 服務(wù)器、路由器出口等公有 IP 地址根據(jù)運(yùn)營(yíng)商提供而定。 服務(wù)器：將選用一臺(tái)小型機(jī)作為網(wǎng)絡(luò)管理服務(wù)器，同時(shí)提供 Web、EMAIL、FTP服務(wù)。鑒于其重要性和必要性，核心層的可用性也在設(shè)計(jì)中得到了充分的體現(xiàn)。通過在核心層配置動(dòng)態(tài)路由協(xié)議，提供數(shù)據(jù)的路由和路由的迂回。匯聚層設(shè)備是用戶管理的基本設(shè)備，也是保證校園網(wǎng)承載和業(yè)務(wù)安全的基本屏障，更是保障校園網(wǎng)安全性能的關(guān)鍵。 接入層設(shè)計(jì)接入層，其主要功能就是實(shí)現(xiàn)每個(gè)合法用戶的安全接入。南縣三中校園網(wǎng)的接入層解決方案包括Baystack 470、Baystack 450、Baystack 4Baystack 350、Baystack 310等性價(jià)比很高的交換設(shè)備，這些設(shè)備出色接入性能的同時(shí)，都支持多種接入方式，具備多元素的用戶管理功能，以及豐富的防病毒，非法攻擊策略，確保在用戶接入網(wǎng)絡(luò)的第一道門檻的安全。同時(shí)，利用網(wǎng)管中心，可以方便地采取各種安全性措施，控制通信，購買硬件防火墻，即時(shí)下載系統(tǒng)漏洞，實(shí)施新的安全技術(shù)，數(shù)據(jù)備份等提高網(wǎng)絡(luò)可靠和安全性能水平。 （2）故障管理為確保網(wǎng)絡(luò)系統(tǒng)的高穩(wěn)定性，在網(wǎng)絡(luò)出現(xiàn)問題時(shí)，必須及時(shí)察覺問題的所在。 （5）計(jì)費(fèi)管理了解網(wǎng)絡(luò)使用時(shí)間，能針對(duì)各個(gè)局部網(wǎng)絡(luò)做使用統(tǒng)計(jì)。為此我校正舉辦網(wǎng)絡(luò)技術(shù)培訓(xùn)班，對(duì)校園網(wǎng)的四類實(shí)用人員，即學(xué)校領(lǐng)導(dǎo)、系統(tǒng)維護(hù)人員、淮安信息職業(yè)技術(shù)學(xué)院畢業(yè)設(shè)計(jì)論文24課件制作人員和應(yīng)用系統(tǒng)使用人員，分期分批進(jìn)行網(wǎng)絡(luò)培訓(xùn)，以提高全體師生的網(wǎng)絡(luò)應(yīng)用水平，并促進(jìn)校園網(wǎng)的健康發(fā)展。在用戶訪問服務(wù)器上任何信息之前，可以要求用戶提供有效的 Microsoft Windows 用戶帳戶、用戶名和密碼。 （包括下列信息：網(wǎng)站驗(yàn)證：介紹符合您驗(yàn)證用戶網(wǎng)站訪問要求的身份驗(yàn)證方法。使用 Windows 和 IIS 中的安全功能，您可以有效地控制用戶訪問您 Web 和 FTP 內(nèi)容的方式。權(quán)限是與對(duì)象（如文件或文件夾）關(guān)聯(lián)的規(guī)則，用于控制哪些帳戶可以獲得對(duì)象的訪問權(quán)限。堡壘主機(jī)和服務(wù)器放置在一個(gè)處于內(nèi)外網(wǎng)的小型網(wǎng)絡(luò)（Dmz 安全區(qū)）中。這樣對(duì)外網(wǎng)，內(nèi)部網(wǎng)是不可見的。5. 安全審計(jì)技術(shù)：安全策略的訂制和授權(quán)信息的驗(yàn)證技術(shù)是該技術(shù)的重點(diǎn)部分。用戶試圖執(zhí)行受到限制的命令。系統(tǒng)中心或機(jī)房的建設(shè)應(yīng)遵照：GB5017393《電子計(jì)算機(jī)機(jī)房設(shè)計(jì)規(guī)范》 、GB288789《計(jì)算機(jī)站場(chǎng)地安全要求》及GB288789《計(jì)算機(jī)站場(chǎng)地技術(shù)條件》的要求。解決的技術(shù)手段主要有以下幾種：? 采用主機(jī)加固手段對(duì)主機(jī)加固，如升級(jí)、打補(bǔ)丁、關(guān)閉不需要的端口等；? 采用主機(jī)訪問控制手段加強(qiáng)對(duì)主機(jī)的訪問控制；（3）網(wǎng)絡(luò)層安全 校園網(wǎng)中局域網(wǎng)數(shù)目較多，根據(jù)需要多個(gè)網(wǎng)絡(luò)可能要互相聯(lián)接。下面主要討論以下幾方面的網(wǎng)絡(luò)層安全防護(hù)： 1) 劃分安全子網(wǎng)。安全等級(jí)差別較大的邊界需要采用防火墻來控制。在每個(gè)安全域內(nèi)或多個(gè)安全域之間安裝入侵檢測(cè)系統(tǒng)（IDS）,可有效地防止來自網(wǎng)絡(luò)內(nèi)外的攻擊。在校園網(wǎng)中安裝網(wǎng)絡(luò)版的防毒系統(tǒng)，集中控制、管理查殺網(wǎng)絡(luò)中服務(wù)器、終端的病毒，保護(hù)全網(wǎng)不被病毒侵害。校園網(wǎng)用戶較多，一定要建立一套合理可行的安全管理制度。 隨 著 接 入 Inter 的 計(jì) 算 機(jī) 數(shù) 量 的 不 斷 猛 增 ， IP 地 址 資 源 也 就 愈 加 顯 得 捉 襟見 肘 。 原 因 很 簡(jiǎn) 單 ， NAT 不 僅 完 美 地 解 決 了 lP地 址 不 足 的 問 題 ， 而 且 還 能 夠 有 效 地 避 免 來 自 網(wǎng) 絡(luò) 外 部 的 攻 擊 ， 隱 藏 并 保 護(hù) 網(wǎng) 絡(luò) 內(nèi)部 的 計(jì) 算 機(jī) 。主要是指將各種安全系統(tǒng)或設(shè)備集中控管、綜合分析。利用漏洞掃描器（Scanner）,定期對(duì)系統(tǒng)進(jìn)淮安信息職業(yè)技術(shù)學(xué)院畢業(yè)設(shè)計(jì)論文26行安全性評(píng)估，及時(shí)發(fā)現(xiàn)安全隱患并實(shí)施修補(bǔ)，可達(dá)到網(wǎng)絡(luò)的相對(duì)持續(xù)安全?？捎行У亟鉀Q需求中提到的多種威脅。如在教學(xué)局域網(wǎng)中學(xué)生機(jī)房和多媒體機(jī)房之間可以通過劃分子網(wǎng)來控制，不允許學(xué)生機(jī)房的機(jī)器訪問多媒體機(jī)房的機(jī)器。定義一個(gè)網(wǎng)絡(luò)或各網(wǎng)絡(luò)內(nèi)不同安全等級(jí)的部分為不同的安全域。同時(shí)，要注意保護(hù)線路的安全，防止用戶的搭線竊聽行為。所以，應(yīng)把安全體系的設(shè)計(jì)提升到一定的高度，確保安全體系的可靠性、可行性、完備性和可擴(kuò)展性。性能測(cè)試與評(píng)估25（可供審核的活動(dòng)包括：用戶成功和失敗的登錄。對(duì)于入侵者必須通過外部路由器和堡壘主機(jī)，內(nèi)部路由器才能入侵到內(nèi)網(wǎng)中。并管理外網(wǎng)對(duì)dmz 的訪問。例如屏蔽子網(wǎng)型防火墻。每個(gè)帳戶均被授予用戶特權(quán)和權(quán)限。 ）3. 訪問控制技術(shù)：對(duì)信息的權(quán)限的控制，阻止了非授權(quán)用戶進(jìn)行的信息的瀏覽，修改甚至破壞?？梢栽诰W(wǎng)站或 FTP 站點(diǎn)、目錄或文件級(jí)別設(shè)置身份驗(yàn)證。系統(tǒng)漏洞補(bǔ)丁升級(jí)更新，在人們的潛意識(shí)里增加安全防范意識(shí)等等。 （6）信息管理網(wǎng)絡(luò)上的信息分成兩部分，一是由管理員放置的信息，它們的品質(zhì)一般較高；另一部分是由用戶放置的，可能會(huì)有一些問題，要對(duì)這部分信息進(jìn)行管理。 （3）效率管理在于評(píng)估網(wǎng)絡(luò)系統(tǒng)的運(yùn)作，統(tǒng)計(jì)網(wǎng)絡(luò)資源的運(yùn)用及各種通訊協(xié)議的傳輸量等，更可提供未來網(wǎng)絡(luò)提升或更新規(guī)劃的依據(jù)。所以校園網(wǎng)系統(tǒng)管理的技術(shù)人員可借網(wǎng)絡(luò)管理工具或本身的技術(shù)經(jīng)驗(yàn)實(shí)施網(wǎng)絡(luò)管理，內(nèi)容可分為下列 6 項(xiàng)： （1）系統(tǒng)管理隨時(shí)掌握網(wǎng)絡(luò)內(nèi)任何設(shè)備的增減與變動(dòng)，管理所有網(wǎng)絡(luò)設(shè)備的設(shè)置參數(shù)。在接入層用戶較為集中的樓層，使用具備鏈路捆綁功能的交換機(jī)或堆疊式的交換機(jī)，便于今后上聯(lián)鏈路帶寬的擴(kuò)展以及鏈路的冗性能測(cè)試與評(píng)估23第四章 校園網(wǎng)絡(luò)的管理與安全 網(wǎng)絡(luò)管理隨著校園網(wǎng)的不斷發(fā)展和應(yīng)用，網(wǎng)絡(luò)管理和安全防范問題也越來越復(fù)雜。接入層網(wǎng)絡(luò)是純二層交換網(wǎng)絡(luò)，提供用戶的網(wǎng)絡(luò)接入。匯聚層交換連接核心和接入層，應(yīng)當(dāng)采用帶 VLAN 和網(wǎng)管功能的中檔交換機(jī)。因此核心層設(shè)備應(yīng)該是高性能的交換機(jī)，可實(shí)現(xiàn)高速度的交換傳輸，以連接服務(wù)器等核心設(shè)備；并且淮安信息職業(yè)技術(shù)學(xué)院畢業(yè)設(shè)計(jì)論文22非?？煽?，實(shí)現(xiàn)不間斷工作。核心節(jié)點(diǎn)之間的互聯(lián)采用千兆以太網(wǎng)或千兆以