【正文】 還要感謝四年中一直陪伴我的同學(xué)、朋友們，是你們?yōu)槲姨峁┑挠幸娴慕ㄗh和意見，有了你們的支持、鼓勵(lì)和幫助，我才能充實(shí)的度過了四年的學(xué)習(xí)生活。在設(shè)計(jì)和搭建的大學(xué)校園網(wǎng)絡(luò)時(shí)，閱讀了大量的書籍資料、翻閱了大量的資料，從目標(biāo)確定到環(huán)境、應(yīng)用、管理以及擴(kuò)展性分析，從邏輯結(jié)構(gòu)設(shè)計(jì)到到拓?fù)湓O(shè)計(jì)、硬件、軟件的選用，從有線網(wǎng)絡(luò)到無線網(wǎng)絡(luò)，設(shè)計(jì)思路從茫然到清晰，設(shè)計(jì)方案從無到有的漸變。網(wǎng)絡(luò)設(shè)備防 TCP SYN 的主要方法是配置網(wǎng)絡(luò)設(shè)備的 SYN 臨界值，若高于這個(gè)臨界值，就丟棄多余的 TCP SYN 包 [12]；防止 Smurf 攻擊的方法主要是設(shè)置 ICMP 包臨界值和配置網(wǎng)絡(luò)設(shè)備不轉(zhuǎn)發(fā) ICMP echo 請(qǐng)求，從而避免成為 Smurf 攻擊的轉(zhuǎn)發(fā)者和受害者。禁止從公網(wǎng)到內(nèi)部區(qū)的訪問請(qǐng)求，端口全關(guān)閉。如管理員安全配置不完善造成的安全漏洞，口令選擇不慎，用戶把自己的賬號(hào)轉(zhuǎn)借他人，用戶安全意識(shí)不夠強(qiáng)等。據(jù)統(tǒng)計(jì)，威脅校園網(wǎng)絡(luò)安全的攻擊行為約 60％來自于網(wǎng)絡(luò)外部 [10]，采取什么措施防范來自于外部的攻擊，是校園網(wǎng)絡(luò)安全防護(hù)需要著重關(guān)注的地方。教學(xué)樓匯聚層交換機(jī)配置見附錄 C。一臺(tái)后端存儲(chǔ)服務(wù)器安裝 OPENE 存儲(chǔ)操作系統(tǒng)，配置 12 塊 2T 的硬盤。在資金投資不是很大的情況下，這樣的做法做有一定的好處：加入行政樓到圖書館或者實(shí)驗(yàn)樓到圖黃 河 科 技 學(xué) 院 畢 業(yè) 設(shè) 計(jì) 說 明 書 第 16 頁書館的一條線路發(fā)生故障，就可以通過行政樓到實(shí)驗(yàn)樓這條鏈路來保證網(wǎng)絡(luò)正常的通信。光纖具有通信距離長(zhǎng)、抗干擾、通信容量大、抗雷電等優(yōu)良性能，采用架空或者埋地等鋪設(shè)方式。防火墻還應(yīng)該可以拒絕所有常見型攻擊的報(bào)文并通知管理員。 S6506R 能夠?yàn)閳@區(qū)網(wǎng)、數(shù)據(jù)中心、城域網(wǎng)提供超高速鏈路，打造高性能、低成本、具有豐富業(yè)務(wù)支持的高性能網(wǎng)絡(luò)，可作為企業(yè)核心交換機(jī)或者城域網(wǎng)匯聚層交換機(jī)。表 華為 Quidway S9303 產(chǎn)品規(guī)格屬性 具體參數(shù)交換機(jī)類型 路由交換機(jī)應(yīng)用層級(jí) 三層傳輸速率 10Mbps/100Mbps/1000Mbps端口結(jié)構(gòu) 模塊化交換方式 存儲(chǔ)轉(zhuǎn)發(fā)背板帶寬 包轉(zhuǎn)發(fā)率 540MPPSVLAN 支持 支持QOS 支持 支持網(wǎng)管支持 支持MAC 地址表 16K模塊化插槽數(shù) 3電源 DC:–～–72V。表 華為 NetEngine40E 產(chǎn)品規(guī)格屬 性 具體參數(shù)交換容量 Tbps轉(zhuǎn)發(fā)性能 1600 Mpps業(yè)務(wù)子卡槽位數(shù) 64 個(gè)業(yè)務(wù)槽位數(shù) 16 個(gè)高度(U) 32U最大功耗 5360W滿配重量 238kgIPv4支持 Static routing 、RIP、OSPF、ISIS、BGP4 等路由協(xié)議，所有端口在路由振蕩等復(fù)雜路由環(huán)境下線速轉(zhuǎn)發(fā)。 核心路由器的選擇NetEngine40E 系列核心層路由器（以下簡(jiǎn)稱 NE40E）是華為公司出品的高端網(wǎng)絡(luò)設(shè)備，可以廣泛適用在 IP 省干、IP 國(guó)干網(wǎng)和其它各種大型 IP 網(wǎng)絡(luò)的核心層、匯聚層 [5]。所選用的交換機(jī)是否應(yīng)支持 VLAN 劃分、設(shè)備管理等。圖 OSPF 骨干區(qū)域拓?fù)淦渌娜齻€(gè)區(qū)域?yàn)槌Ｒ?guī)區(qū)域，每個(gè)常規(guī)區(qū)域都與骨干區(qū)域直接相連。圖 校園網(wǎng)絡(luò)拓?fù)? 網(wǎng)絡(luò)層次設(shè)計(jì)本次搭建的校園網(wǎng)網(wǎng)絡(luò)整體上分為三個(gè)層次：核心層、匯聚層和接入層。（3）所有部門都可以訪問除財(cái)務(wù)部外的任何部門。由于存在多個(gè)校區(qū)，不同校區(qū)之間通過公網(wǎng)互聯(lián)存在安全風(fēng)險(xiǎn)，選擇合適的方式保證兩個(gè)校區(qū)之間可以通過內(nèi)網(wǎng)管理。（2）學(xué)生信息管理與查詢系統(tǒng)。同時(shí)可以實(shí)現(xiàn)信息與設(shè)備資源的共享，實(shí)現(xiàn)網(wǎng)上信息的采集及處理的自動(dòng)化，實(shí)現(xiàn)各級(jí)管理階層間的信息數(shù)據(jù)交換。我們?cè)诤诵膶雍蛥R聚層的設(shè)計(jì)中主要考慮的是網(wǎng)絡(luò)性能和功能性要高，那么我們?cè)诮尤雽釉O(shè)計(jì)上主張使用性能價(jià)格比高的設(shè)備。 課題的研究方法此次搭建的網(wǎng)絡(luò)采用典型的三層結(jié)構(gòu)：核心層，匯聚層，接入層。計(jì)算機(jī)網(wǎng)絡(luò)的產(chǎn)生與使用，為我們?nèi)祟愋畔⑽拿鞯陌l(fā)展帶來了極具革命性的變化。隨著高等教育由精英化向大眾化的轉(zhuǎn)變，各類大學(xué)為擴(kuò)招開始新建校區(qū)。在當(dāng)今的信息化社會(huì)，為新建的校區(qū)搭建網(wǎng)絡(luò)自然成為必不可少的一部分。自 1995 年中國(guó)教育教研網(wǎng)（CERNET）建設(shè)成功后，校園網(wǎng)的設(shè)計(jì)和建設(shè)已經(jīng)進(jìn)入到一個(gè)蓬勃發(fā)展的階段 [2]。核心層的功能主要是實(shí)現(xiàn)骨干網(wǎng)絡(luò)之間的優(yōu)化傳輸，骨干層設(shè)計(jì)任務(wù)的重點(diǎn)通常是冗余能力、可靠性和高速的傳輸。接入層是最終用戶( 教師、學(xué)生) 與網(wǎng)絡(luò)的接口，它應(yīng)該提供即插即用的特性，同時(shí)應(yīng)該非常易于使用和維護(hù)。因此，校園網(wǎng)絡(luò)的建設(shè)必須具有明確的目標(biāo)。（3）實(shí)現(xiàn)學(xué)校教師、行政的無紙化辦公（4）實(shí)現(xiàn)圖書館電子化，圖書信息搜索。校園網(wǎng)中的服務(wù)器需要 365*24 小時(shí)開機(jī)，因此需要有專用的機(jī)房放置服務(wù)器，并有專業(yè)的運(yùn)維人員看護(hù)。（4）每個(gè)部門能用有線網(wǎng)絡(luò)訪問校園內(nèi)部服務(wù)器。為了實(shí)現(xiàn)校園區(qū)域內(nèi)的高速互聯(lián)，核心層由 1 個(gè)核心節(jié)點(diǎn)組成，包含有網(wǎng)絡(luò)中心、服務(wù)器群。區(qū)域 1 包括行政處和財(cái)務(wù)處，其中財(cái)務(wù)處是具有較強(qiáng)的獨(dú)立性；區(qū)域 2 是包含有教學(xué)區(qū)、宿舍樓、圖書館，這一區(qū)域包含所有的教學(xué)樓和多有的寢室樓，這一區(qū)域的特點(diǎn)是終端數(shù)量眾多，管理難度相對(duì)較大；區(qū)域 3 是無線區(qū)，無線網(wǎng)絡(luò)將覆蓋校園的每個(gè)角落。 在網(wǎng)絡(luò)設(shè)計(jì)的時(shí)候應(yīng)選用升級(jí)能力和擴(kuò)充能力都比較強(qiáng)的網(wǎng)絡(luò)設(shè)備，如Cisco、3COM 、INTEL 公司的網(wǎng)絡(luò)設(shè)備，國(guó)產(chǎn)如華為、中興廠家的交換機(jī)、路由器等網(wǎng)絡(luò)設(shè)備普遍具有有較高的性價(jià)比，也應(yīng)該在選擇之列。 NE40E 具有十分強(qiáng)大的匯聚接入能力。MPLS/MPLS VPN 支持 MPLS TE，支持 MPLS/BGP VPN，符合 RFC2547bis 協(xié)議；支持三種跨域?qū)崿F(xiàn)方式；支持與 Inter 業(yè)務(wù)集成；支持基于 Martini、Kompella 方式的 MPLS L2 VPN，支持 VPLS/VLL 等多種二層 VPN 技術(shù)；支持組播 VPN。AC:90V～264V。具體參數(shù)如表 所示。本方案選用華為賽門鐵克 USG2110 作為防火墻，其主要參數(shù)如表 所示。同樣也可以選用超五類雙絞線作為干線，但需做好防雷措施，如：用鐵管保護(hù)埋地等。 網(wǎng)絡(luò)中心拓?fù)浣Y(jié)構(gòu)圖書館，即網(wǎng)絡(luò)中心是一個(gè)相對(duì)獨(dú)立的系統(tǒng)，拓?fù)淙鐖D 所示。內(nèi)置系統(tǒng)盤做 RAID10，數(shù)據(jù)存儲(chǔ)盤做 RAID50，并用兩塊盤做全局熱備份。 宿舍樓拓?fù)浣Y(jié)構(gòu)宿舍樓的拓?fù)淙鐖D 所示。主要的安全威脅有以下幾種類型。軟件漏洞和“后門” 。黃 河 科 技 學(xué) 院 畢 業(yè) 設(shè) 計(jì) 說 明 書 第 21 頁允許從內(nèi)網(wǎng)訪問 DMZ（非軍事）區(qū)，端口全開放。黃 河 科 技 學(xué) 院 畢 業(yè) 設(shè) 計(jì) 說 明 書 第 22 頁結(jié) 論大學(xué)校園網(wǎng)絡(luò)搭建的成功與否，在很大程度上取決于當(dāng)初規(guī)劃方案（包括設(shè)備選用、拓?fù)浣Y(jié)構(gòu)、IP 及路由規(guī)劃等）的設(shè)計(jì)實(shí)施是否合理。力求考慮周全，不讓網(wǎng)絡(luò)中出現(xiàn)重大設(shè)計(jì)缺陷。感謝我最愛的的最愛我的父母，大愛無言，謝謝你們的默默支持。感謝那些教過我的老師和輔導(dǎo)員們，你們不僅教授知識(shí)，更讓我從他們身上學(xué)習(xí)到了生活的哲理。服務(wù)器采用虛擬化及云計(jì)算技術(shù)，把 WEB 服務(wù)器和 FTP 服務(wù)器放置在由三臺(tái)服務(wù)器組成的服務(wù)器集群里，把數(shù)據(jù)庫單獨(dú)放置在另一臺(tái)物理服務(wù)器中。表 安全接入和配置方法訪問方式 保證網(wǎng)絡(luò)設(shè)備安全的方法 備注Console 控制接口的訪問設(shè)置密碼和超時(shí)限制 建議超時(shí)限制設(shè)成 5 分鐘設(shè)備配置級(jí)別的命令行配置 Radius 來記錄 logon/logout 時(shí)間和操作活動(dòng)；配置至少一個(gè)本地賬戶作應(yīng)急之用tel 訪問采用 ACL 限制，指定從特定的 IP 地址來進(jìn)行tel 訪問；；設(shè)置超時(shí)限制SSH 訪問激活 SSH 訪問，從而允許操作員從網(wǎng)絡(luò)的外部環(huán)境進(jìn)行設(shè)備安全登陸WEB 管理訪問 取消 Web 管理功能SNMP 訪問常規(guī)的 SNMP 訪問是用 ACL 限制從特定的 IP 地址來進(jìn)行 SNMP 訪問；記錄非授權(quán)的 SNMP 訪問并禁止非授權(quán)的 SNMP 企圖和攻擊為增加安全，建議更改缺省的 SNMP Commutiy 子串設(shè)置不同賬號(hào) 通過設(shè)置不同的賬號(hào)的訪問權(quán)限，提高安全性 拒絕服務(wù)的防止防止拒絕服務(wù)攻擊主要是防止 Smurf 攻擊、TCP SYN 泛濫攻擊等。 網(wǎng)絡(luò)安全管理策略 訪問控制允許從內(nèi)網(wǎng)訪問 inter，端口全開放。此類攻擊是針對(duì)網(wǎng)絡(luò)設(shè)備或信息資源的非正常使用或者越權(quán)使用行為。來自網(wǎng)內(nèi)的安全威脅主要是黑客惡意攻擊和病毒攻擊。根據(jù)教學(xué)樓網(wǎng)絡(luò)的特點(diǎn)，這里把匯聚層和接入層劃分合而為一，終端直接連接到S6506R 多層交換機(jī)上，實(shí)現(xiàn)了數(shù)據(jù)的高速轉(zhuǎn)發(fā)。當(dāng)一臺(tái)機(jī)器出現(xiàn)硬件、網(wǎng)絡(luò)、軟件故障時(shí)，服務(wù)可以在極短的時(shí)間內(nèi)遷移到另一臺(tái)機(jī)器上。這樣多布放一條光纖后就形成了在行政樓、實(shí)驗(yàn)樓、圖書館樓之間的環(huán)型光纖網(wǎng)絡(luò)。黃 河 科 技 學(xué) 院 畢 業(yè) 設(shè) 計(jì) 說 明 書 第 15 頁5 網(wǎng)絡(luò)布線系統(tǒng)設(shè)計(jì) 校園主干網(wǎng)絡(luò)系統(tǒng)校園主干網(wǎng)指的是連接到校園內(nèi)每個(gè)建筑物的主干通信線路，常采用光纖作為傳輸介質(zhì) [7]。比如防火墻可以禁止不安全的 NFS 協(xié)議進(jìn)出受保護(hù)的網(wǎng)絡(luò)，這樣外部的入侵者就不能利用這些脆弱的協(xié)議攻擊內(nèi)部網(wǎng)絡(luò)。Quidway174。網(wǎng)絡(luò)需用四臺(tái)核心層交換機(jī)，選用的是華為 Quidway S9303，具體參數(shù)如表 所示。產(chǎn)品規(guī)格如表 所示。為滿足學(xué)校與 Inter 的連接，此次搭建的網(wǎng)絡(luò)將 Web 服務(wù)器，路由器等應(yīng)用設(shè)備用防火墻將其與內(nèi)部網(wǎng)隔離開來，達(dá)到保護(hù)敏感數(shù)據(jù)的目的。表 IP 規(guī)劃和 VLAN 劃分IP 地址 子網(wǎng)掩碼 Vlan網(wǎng)絡(luò)中心 — Vlan1財(cái)務(wù)處 — Vlan2行政處 — Vlan3教學(xué)樓 1 — Vlan4教學(xué)樓 2 — Vlan5實(shí)驗(yàn)樓 — Vlan6宿舍樓 110 Vlan7宿舍樓 1123 Vlan8無線 — Vlan9圖書館 — Vlan10DHCP 服務(wù)器 FTP 服務(wù)器 WEB 服務(wù)器 數(shù)據(jù)庫服務(wù)器 Vlan80黃 河 科 技 學(xué) 院 畢 業(yè) 設(shè) 計(jì) 說 明 書 第 9 頁4 設(shè)備選用 網(wǎng)絡(luò)設(shè)備選擇的原則與注意事項(xiàng)在選擇時(shí)主要考慮網(wǎng)間網(wǎng)互聯(lián)技術(shù)與產(chǎn)品供應(yīng)商能否為客戶提供可用、先進(jìn)、可靠、安全并且易于管理的產(chǎn)品。骨干區(qū)域是整個(gè)網(wǎng)絡(luò)的核心部分，由四臺(tái)多層交換機(jī)和服務(wù)器群組成，如圖 所示。黃 河 科 技 學(xué) 院 畢 業(yè) 設(shè) 計(jì) 說 明 書 第 5 頁3 網(wǎng)絡(luò)總體設(shè)計(jì) 校園網(wǎng)絡(luò)拓?fù)涓鶕?jù)需求分析設(shè)計(jì)出本次搭建的校園網(wǎng)絡(luò)拓?fù)鋱D，總體拓?fù)淙鐖D 所示。（2）對(duì)校園網(wǎng)絡(luò)內(nèi)部用戶設(shè)置 AAA 認(rèn)證。校園網(wǎng)絡(luò)的 ISP 接入選擇要合適，其中教育網(wǎng)是必須接入的；根據(jù)在校人數(shù)和校園服務(wù)要求購買一定的 IP 數(shù)量和滿足需求的帶寬。黃 河 科 技 學(xué) 院 畢 業(yè) 設(shè) 計(jì) 說 明 書 第 3 頁 校園網(wǎng)絡(luò)功能需求分析（1）校內(nèi)網(wǎng)絡(luò)輔助教育教學(xué)。學(xué)生能方便瀏覽和查詢網(wǎng)上的資源，實(shí)現(xiàn)在線學(xué)習(xí)；老師可以便捷的瀏覽和查詢網(wǎng)絡(luò)上的資源，進(jìn)行科研、教學(xué)工作；學(xué)校管理人員可方便地對(duì)資產(chǎn)、財(cái)務(wù)、學(xué)生學(xué)籍、教學(xué)事務(wù)、行政事務(wù)等進(jìn)行綜合性的管理。接入層是和終端是直接相連的。但對(duì)于目前的校園網(wǎng)絡(luò)建設(shè)來說主要的側(cè)重點(diǎn)是通信和教學(xué)，以數(shù)字化校園作為核心的管理領(lǐng)域比較難以實(shí)現(xiàn) [3]。 國(guó)內(nèi)外研究狀況在今天這個(gè)知識(shí)爆炸的社會(huì)中，人們對(duì)于信息交流以及信息資源共享的迫切需求，促進(jìn)了網(wǎng)絡(luò)技術(shù)的產(chǎn)生與快速發(fā)展。隨著因特網(wǎng)的快速普及，給網(wǎng)絡(luò)我們的學(xué)習(xí)與生活帶來極大的便利，它使我們與外部世界的溝通更加的快速和緊密。作為一