【文章內容簡介】 件的工作狀態(tài)能夠被監(jiān)測到 。 服務器在受到損害時，至少能做到數(shù)據(jù)恢復可用。 組網(wǎng)技術分析 在校園網(wǎng)絡的建設中，主干網(wǎng)選擇何種網(wǎng)絡技術對網(wǎng)絡建設的成功與否起著決定性的作用。選擇適合校園網(wǎng)絡需求特點的主流網(wǎng)絡技術，不但能保證網(wǎng)絡的高性能，還能保證網(wǎng)絡的先進性和擴展性，能夠在未來向更新技術平滑過渡，保護用戶的投資。 快速以太網(wǎng)是一種非常成熟的組網(wǎng)技術，造價很低，性能價格比很高，可作為資金不很充裕的中小型單位組建 Intra 網(wǎng)的首選技術?？焖僖蕴W(wǎng)技術現(xiàn)在被廣泛用于大型企業(yè)網(wǎng)絡工程 課程設計 5 網(wǎng)的二級、三級網(wǎng)絡組網(wǎng)或直接連至桌面工作站。 FDDI 也是一種成熟的組網(wǎng)技術，它提供的高速數(shù)據(jù)通信能力要高于當時的以太網(wǎng)（ 10Mbps）和令牌網(wǎng)（ 4 或 16Mbps）的能力 ， 但技術復雜、造價高， 只支持光纜和 5 類電纜，所以使用環(huán)境受到限制、從以太網(wǎng)升級更是面臨大量移植問題 ， 現(xiàn)在用 FDDI 組建主干網(wǎng)的情況已非常少見。 ATM 技術成熟而復雜，組網(wǎng) 技術 成本高，是多媒體應用系統(tǒng)的理想網(wǎng)絡平臺，但 網(wǎng)絡帶寬的實際利用率很低。 ATM 是將分組交換與電路交換優(yōu)點相結合的網(wǎng)絡技 術，可以工作在任何一種不同的速度、不同的介質和使用不同的傳送技術，適用于廣域網(wǎng)、局域網(wǎng)場合，可在局域網(wǎng) /廣域網(wǎng)中提供一種單一的網(wǎng)絡技術，實現(xiàn)完美的網(wǎng)絡集成。 網(wǎng)絡工程 課程設計 6 第 2 章 邏輯設計 網(wǎng)絡拓撲 規(guī)劃 根據(jù)對 銅仁市壩黃逸夫中學 的校園實際情況，以及項目的需求分析，對 銅仁市壩黃逸夫中學 校園進行網(wǎng)絡拓 撲 規(guī)劃。要求基本符合需求分析，符合進行設備的布局。 銅仁市壩黃逸夫中學校園平面圖： 圖 銅仁市壩黃逸夫中學校園平面圖 網(wǎng)絡工程 課程設計 7 網(wǎng)絡拓 撲圖 圖 銅仁市 壩黃 逸夫中學 網(wǎng)絡拓 撲 圖 IP 規(guī)劃 網(wǎng)絡地址分配 出口 IP 網(wǎng)絡地址前 6 位用銅仁市壩黃鎮(zhèn)郵編地址（ 554307），故連 接到因特網(wǎng)的路由器地址可為： 。 IP 規(guī)劃及 VLAN 劃分 私有 IP 的 劃分 ， 根據(jù)學校的 實際情況， 采用 C 類 IP 地址 ， IP 地址網(wǎng)段為~；互聯(lián)網(wǎng) 地址規(guī)劃 ， 用的是 公有 IP 地址 。 在校園網(wǎng)絡的整個網(wǎng)絡規(guī)劃當中， VLAN 的劃分是非常重要的部分，很好的利 用 VLAN技術的功能，能起到事半功倍的效果，對整個網(wǎng)絡的性能也是事關重要的。 IP 地址規(guī)劃 和網(wǎng)絡工程 課程設計 8 VLAN 劃分 分別 如 表 2 表 22 所示： 表 21 IP 地址規(guī)劃 樓層 子網(wǎng)號 子網(wǎng)掩碼 網(wǎng)關 CIDR 地址 主機地址范圍 逸夫樓 (含 多功能教室 ) ~ 教學樓 (含超市 ) ~ 綜合實驗樓 ~ 教職工宿舍區(qū) 1 ~ 教職工宿舍區(qū) 2 ~ 教職工宿舍區(qū) 3 ~ 男生宿舍區(qū) 1 ~ 男生宿舍區(qū) 2 ~ 女生宿舍區(qū)(含食堂 ) ~ DMZ 區(qū) ~ 表 22 VLAN 劃分 樓層 VLAN ID VLAN 命名 網(wǎng)關 子網(wǎng)掩碼 逸夫教學樓 (含多功能教室 ) VLAN 01 Yifulou 教學樓（含小超市） VLAN 02 Jiaoxuelou 綜合實驗樓 VLAN 03 Zonghelou 教職工宿舍區(qū) 1 VLAN 04 Jaoshiqu1 教職工宿舍區(qū) 2 VLAN 05 Jaoshiqu2 教職工宿舍區(qū) 3 VLAN 06 Jaoshiqu3 男生宿舍區(qū) 1 VLAN 07 Nanshengqu1 男生宿舍區(qū) 2 VLAN 08 Nanshengqu2 女生宿舍區(qū) (含食堂 ) VLAN 09 Nvshengqu DMZ 區(qū) VLAN 10 DMZqu 網(wǎng)絡工程 課程設計 9 命名設計 WEB 服務器的域名為： FTP 服務器的域名為： ftp. 郵件服務器的域名為： mail. 交換和路由協(xié)議設計規(guī)劃 交換協(xié)議的選擇 根據(jù)我們對 銅仁市壩黃 逸夫中學 的需求分析和網(wǎng)絡拓撲 圖 的 設計，我們對校園網(wǎng)絡進行 了 IP 地址和 VLAN 的劃分，并使用 VLAN 中繼協(xié)議 VTP 來實現(xiàn)交換機之間交換信息。 VLAN 中繼協(xié)議 VTP 作用是 ： 十幾臺交換機在企業(yè)網(wǎng)中，配置VLAN 工作量大， 使用 VTP 協(xié)議，把一臺交換機配置成 VTP Server, 其余交換機配置成 VTP Client,這樣他們可以自動學習到 server 上的 VLAN 信息 。 采用 VTP（ VLAN Trunking Protocol）協(xié)議可以簡化配置。 VTP 有三種工 作模式：服務器模式、客戶機 模式和透明模式， 本次 設計 默認是服務器模式。 服務器模式提供 VTP 消息， 包括 VLAN ID 和名字信息 ， 學習相同域名的 VTP消息 ， 轉發(fā)相同域名的 VTP 消息 ， 可以添加、刪除和更改 VLAN， VLAN 信息寫入NVRAM 該模式下不能使用擴展 。 客戶機模式 的 內容是 請求 VTP 消息 ， 學習相同域名的 VTP 消息 ， 轉發(fā)相同域名的 VTP 消息 ， 不可以添加、刪除和更改 VLAN,VLAN 信息不會寫入 NVRAM， 該模式下不能使用增強型軟件映像提供的 VID，即只能使用 21001 這一段的值。 1，10021005 均為 系統(tǒng)默認 VID， 要使用 10064096 作 VID 的值，只能關閉 VTP 或采用透明模式。 透明模式不提供 VTP 消息 ， 不學習 VTP 消息 ， 轉發(fā) VTP 消息 ， 可以添加、刪除和更改 VLAN，只在本地有效 VLAN 信息寫入 NVRAM， 新交換機出廠時的默認配置是預配置為 VLAN1， VTP 模式為服務器。當交換機是在 VTP Server 或透明的模式，能在交換機配置 VLAN。當交換機配置在 VTP Server 或透明的模式，使用 CLI、控制臺菜單、 MIB 修改 VLAN 配置 網(wǎng)絡工程 課程設計 10 路由協(xié)議選擇 路由 器 的作用是用于網(wǎng)絡的互連，每個 路由器與兩個以上的實際網(wǎng)絡相連，負責在這些網(wǎng)絡之間轉發(fā)數(shù)據(jù)報，為經(jīng)過路由器的每個數(shù)據(jù)幀尋找一條最佳傳輸路徑，并將該數(shù)據(jù)有效地傳送到目的站點。由此可見，選擇最佳路徑的策略即路由算法是路由器的關鍵所在。 根據(jù) 銅 仁市壩黃逸夫中學的校園網(wǎng)絡建設要求，我們選用 綜合了距離矢量和鏈路狀態(tài) 2者的優(yōu)點 的 EIGRP 協(xié)議 作為 校園網(wǎng)的內部網(wǎng)關協(xié)議。 EIGRP 即增強內部 網(wǎng)關 路由 線路協(xié)議 ，是 Cisco 公司的私有協(xié)議 ， 用彌散修正算法（ DUAL）來實現(xiàn)快速收斂，可以不發(fā)送定期的路由更新信息以減少帶寬的占用，支持 Appletalk、 IP、 Novell 和 NetWare 等多種網(wǎng)絡層協(xié)議。 EIGRP 的特點 有 ： 1. 快速收斂 2. 減少帶寬占用 3. 支持多種網(wǎng)絡層協(xié)議 4. 無縫連接數(shù)據(jù)鏈路層協(xié)議和拓撲結構 EIGRP 對于環(huán)路的防止考慮兩方面： 1．水平分割 ： 永遠不會在同一個接口下通告一條該接口學到的路由信息 2．路由的毒性逆轉 ： 接收路由信息的接口，再從該接口通告出剛才學到的路由為不可達 。 安全策略設計 安全策略是指在某個安全區(qū)域內（通常是指屬于某個組織的一系列處理和通信資源），用于所有與安全相關活動的一套規(guī)則。這些規(guī)則是由此 安全區(qū)域中所設立的一個安全權力機構建立的，并由安全控制機構來描述、實施或實現(xiàn)的 。 安全策略是一個不斷變化的 ， 因為不同機構不斷變化 ，安全策略也需要 定期更新，以適應業(yè)務 和技術的 變更和發(fā)展 。 通信網(wǎng)絡安全 隨著計算機網(wǎng)絡的不斷發(fā)展，全球信息化已成為人類發(fā)展的大趨勢。但由于計算機網(wǎng)絡具有聯(lián)結形式多樣性、終端分布不均勻性和網(wǎng)絡的開放性、互連性等特征，致使網(wǎng)絡易受網(wǎng)絡工程 課程設計 11 黑客、怪客、惡意軟件和其他不軌的攻擊，所以網(wǎng)上信息的安全和保密是一個至關重要的問題。 網(wǎng)絡的安全管理策略包括：確定安全管理等級和安全管理范圍 ；制訂有關網(wǎng)絡操作使用規(guī)程和人員出入機房管理制度；制定網(wǎng)絡系統(tǒng)的維護制度和應急措施等。 在 外網(wǎng)與內網(wǎng) 之間 使用防火墻 ， 可以使校園網(wǎng)外部 網(wǎng)絡不能 隨便訪問 內網(wǎng) ，以至 不能隨意 訪問服務器 ； 在交換機與交換機之間 劃分 了 VLAN，使不同區(qū)域 樓層 之間在 沒有經(jīng)過路由選擇之后不能 互相 共享 信息。 加強網(wǎng)絡的安全管理，制定有關規(guī)章制度，對于確保網(wǎng)絡的安全、可靠地運行，將起到十分有效的作用。 服務器安全 防火墻具有很好的保護作用， 入侵者必須首先穿越防火墻的安全防線，才能接觸目標計算機。 在 外網(wǎng)與內網(wǎng)之間 加入 防火墻， 過濾掉一些攻 擊 ， 可以保證內網(wǎng)訪問服務器的安全。 為 了保證服務器的安全，我們可以 把 HTTP/TCP 80 端口列入防火墻的 例外，把 FTP 的21 端口修改 并且把它列為例外 ； 禁用默認 共享， 修改 文件 權限。 應用安全 應用 安全，就是 保障程序 在運行過程和 運行結果的 安全， 就是針對應用程序或工具在使用過程中可能出現(xiàn)計算、傳輸數(shù)據(jù)的泄露和失竊，通過其他安全工具或策略來消除隱患。 網(wǎng)絡管理員可以通過用戶密碼 策略 、 用戶安全策略 、 訪問控制 策略 來保證服務器的穩(wěn)定性以及限 定 用戶安全訪問應用程序的安全設置。 策略 身份驗證不僅 是網(wǎng)絡應用安全首先要解決的問題，還是最重要的階段 ， 對大部分網(wǎng)絡應用而言，用戶驗證包括用戶 ID 和密碼兩部分 。用戶密碼 策略 用于 應用接入平臺 的 身份模塊 ，它確定用戶 的用戶名 和密碼設置。 用戶安全策略用于權限設置 ，它確定用戶身份權限設置，例如：訪問硬盤中 的 文件，用戶身份能運行哪 個業(yè)務程序等設置。 3. 訪問控制 策略 訪問控制是網(wǎng)絡應用使用驗證方法來接受或拒絕對內容和功能訪問的過程。 以下是兩種主要的訪問控制方法： 網(wǎng)絡工程 課程設計 12 （ 1） 路徑挖掘（一般用于無法直接訪問的文件） （ 2） 客戶端緩存（限制緩存 ） 接入安全 在校園網(wǎng)網(wǎng)絡接入時 ，我們都 希望能 正常的訪問校園 內部 的資源 和 正常辦公 ， 傳統(tǒng) 的 方法 是 通過在校園設置 Modem 撥號服務器的方式來解決，但其占用較多的電話線路、安全性差、速度慢等缺陷，在應用中一直難以推廣 。 目前 ADSL、寬帶的接入方式已經(jīng)進入了千家萬戶和各公共場所，方便且費用低廉。 本校 使用 的 是 通過 ASDL 撥號連接 。 管理策略 設計 校園網(wǎng)絡管理的主要目的是保證網(wǎng)絡安全和穩(wěn)定運行，維持網(wǎng)絡傳輸速率、降低網(wǎng)絡傳輸誤碼、網(wǎng)絡流量異常監(jiān)控等。所以校園網(wǎng)絡管理部門的技術人員應該熟悉常用 的網(wǎng)絡監(jiān)控工具和路由器、交換機、防火墻等網(wǎng)絡設備所具有的網(wǎng)絡安全控制模塊對整個網(wǎng)絡進行管理。 配置管理 配置管理是管理所有的網(wǎng)絡設備，隨時掌握網(wǎng)絡內的網(wǎng)絡設備的增減和變動，對所有的網(wǎng)絡設備進行參數(shù)配置，并對設備的數(shù)據(jù)參數(shù)要嚴格備份。當故障發(fā)生時，技術人員可以快速重設恢復，保障網(wǎng)絡的正常運行。 配置管理過程是對處于不斷演化、完善過程中的軟件產(chǎn)品的管理過程。其最終目標是實現(xiàn)軟件產(chǎn)品的完整性、一致性、可控性，使產(chǎn)品極大程度地與用戶需求相吻合。它通過控制、記錄、追蹤對軟件的修改和每個修改生成的軟件組成部 件來實現(xiàn)對軟件產(chǎn)品的管理功能。 配置 管理 的 流程是 : 1. 制定配置管理計劃 配置管理員制定《配置管理計劃》，主要內容包括 配置管理軟硬件資源、配置項計劃、基線計劃、交付計劃、備份計劃等，通過 CCB 審批該計劃。 2. 配置庫管理 配置管理員為項目創(chuàng)建配置庫，并給每個項目成員分配權限； 各項目 的 成員根據(jù)自己的權限操作配置庫。配置管理員 需要 定期維護配置庫，例如清除垃圾文件、備份配置庫等。 3. 版本控制 網(wǎng)絡工程 課程設計 13 在項目 開發(fā)過程中，絕大部分的配置項都要經(jīng)過多次的修改才能最終確定下來， 對配置項的任何修改都將產(chǎn)生新的版本。由于我們 不能保證新版本一定比老版本“好”，所以不能拋棄老版本。配置項的狀態(tài)有三種：“草稿”、“正式發(fā)布”和“正在修改” 。 版本控制的目的是按照一定的規(guī)則保存配置項的所有版本，避免發(fā)生版本丟失或混淆等現(xiàn)象，并且可以快速準確地查找到配置項的任何版本。 在項目開發(fā)過程中，配置項發(fā)生變更幾乎是不 可避免的，而變更控制的目的就是為了防止配置項被隨意修改而導致混亂。 為了保證所有人員（包括項目成員、配置管理員和 CCB）都遵守配置管理規(guī)范，質量保證人員要定期審計配置管理工作。配置審計是一種“過程質量檢查 ”活動，是質量保證人員的工作職責之一。 認證管理 認證管理功能 是只允許通過 認證的內網(wǎng) 用戶 上網(wǎng) ，禁止 未 授權的 用戶 訪問互聯(lián)網(wǎng)。 認