【導讀】高等院校教育水平的一個保證。本文實例闡述了校園局域網(wǎng)建設(shè)的必要性和重要性，研。網(wǎng)的可行性方案，結(jié)合校園局域網(wǎng)的不安全因素，制定出相應(yīng)的安全策略。

　　

【正文】 /1] via , 00:00:16, FastEther0/0 R [120/1] via , 00:00:16, FastEther0/0 C , FastEther0/0 C , Serial2/0 S* , Serial2/0 25 （六） 模擬 ISP 環(huán)境 出口 路由 R2 配置 R2 (config)int s2/0 R2 (configif)ip add R2 (configif)no shut R2 (configif)clock rate 64000 R2 (configif)exit R2 (config)int fa 0/0 R2 (configif)ip add R2 (configif)no shut R2 (configif)exit 26 四、 服務(wù)器配置 （一） DHCP 服務(wù)器配置 DHCP 服務(wù)器的 IP 配置如下圖 41 所示 圖 41 DHCP 服務(wù)器的 IP 配置 （二） WWW 服務(wù)器配置 服務(wù)器的 IP 配置如下圖 42 所示 圖 42 WWW 服務(wù)器配置 27 （三） DNS 服務(wù)器配置 DNS 服務(wù)器配置如下圖 43 所示 圖 43 DNS 服務(wù)器配置 （四） FTP 服務(wù)器配置 FTP 服務(wù)器配置如下圖 44 所示 圖 44 FTP 服務(wù)器配置 28 五、 網(wǎng)絡(luò)安全控制 校園網(wǎng)絡(luò)安全問題是網(wǎng)絡(luò)建設(shè)的重點之一，本次設(shè)計中采用邊界路由、核心交換機在內(nèi)的二層安全防御。第一層保護有邊界路由實現(xiàn)。選用具有防火墻功能的 Cisco 路由器，路由器上配置訪問控制列表，通過訪問規(guī)則，控制和過濾經(jīng)過路由器的數(shù)據(jù)流，隔離外網(wǎng)和內(nèi)網(wǎng)，防止外部用戶對內(nèi)部網(wǎng)絡(luò)不安全的訪問，可有效防止各服務(wù)器受到來自外部的破壞。第二層防護由核心交換機提供。核心交換機上部署防火墻模塊，可有效地防止內(nèi)部攻擊。 （一） 訪問控制表 1. 防止病毒傳播和黑客攻擊 目前，大多數(shù)園區(qū)網(wǎng)用戶使用的是微軟操作系統(tǒng)，一些病毒程序或漏洞掃描軟件通過 UDP 端口 13 13 13 1434 和 TCP 端口 13 13 13 44 59143 2500、 444 555 5800、 5900、 634 666 939 999 9996 等進行病毒傳播和攻擊，可通過設(shè)置如下訪問控制列表阻止病毒傳播和黑客攻擊。 防病毒的 ACL 一般應(yīng)用在接入層的設(shè)備上 ， 下面以配置 SW3 學生宿舍交換機的ACL 為例。 StudentSW (config)accesslist 101 deny tcp any any eq 135 StudentSW (config)accesslist 101 deny tcp any any eq 137 StudentSW (config)accesslist 101 deny tcp any any eq 139 StudentSW (config)accesslist 101 deny tcp any any eq 445 StudentSW (config)accesslist 101 deny tcp any any eq 593 StudentSW (config)accesslist 101 deny tcp any any eq 1434 StudentSW (config)accesslist 101 deny tcp any any eq 2500 StudentSW (config)accesslist 101 deny tcp any any eq 4444 StudentSW (config)accesslist 101 deny tcp any any eq 5554 29 StudentSW (config)accesslist 101 deny tcp any any eq 5800 StudentSW (config)accesslist 101 deny tcp any any eq 5900 StudentSW (config)accesslist 101 deny tcp any any eq 6346 StudentSW (config)accesslist 101 deny tcp any any eq 9393 StudentSW (config)accesslist 101 deny tcp any any eq 9995 StudentSW (config)accesslist 101 deny tcp any any eq 9996 StudentSW (config)accesslist 101 deny udp any any eq 135 StudentSW (config)accesslist 101 deny udp any any eq 137 StudentSW (config)accesslist 101 deny udp any any eq 138 StudentSW (config)accesslist 101 deny udp any any eq 445 StudentSW (config)accesslist 101 deny udp any any eq 1434 StudentSW (config)accesslist 101 deny udp any any eq tftp StudentSW (config)accesslist 101 permit ip any any //再將該訪問列表應(yīng)用到端口或 VLAN 中，在入和出雙向上啟動該列表 StudentSW (config)int fa0/0 StudentSW (config)ip accessgroup 101 out StudentSW (config)int s2/0 StudentSW (config)ip accessgroup 101 in 2. 對服務(wù)器群的服務(wù)進行控制 網(wǎng)內(nèi)有各種各樣的應(yīng)用服務(wù)器，如 WWW 服務(wù)器、 DNS 服務(wù)器、 FTP 服務(wù)器等，為了便于管理，這些服務(wù)器都被劃分 VLAN2 中，成為服務(wù)器群。但是這些服務(wù)器正是受攻擊的重點，所以必須關(guān)閉一些不需要的端口，只開放和該服務(wù)器相關(guān)的端口。使數(shù)據(jù) 包在沒有到達服務(wù)器前已被交換設(shè)備過濾掉，使服務(wù)器群安全得到保障， 服務(wù)器安全的 ACL 也一般應(yīng)用在服務(wù)器的介入交換機上 ， 具體配置 如下： //WWW 服務(wù)器 ServerSW (config)accesslist 102 permit tcp any host eq 30 //DNS 服務(wù)器 ServerSW (config)accesslist 102 permit tcp any host eq domain //FTP 服務(wù)器 ServerSW (config)accesslist 102 permit tcp any eq ftp 這些 ACL 控制了哪些端口的是否允許訪問 ， 當你做了應(yīng)用 ACL 到接口后，該sw 將會根據(jù)配置限制和訪問 。 （二） 小結(jié) 本章針對非授權(quán)用戶、非法訪問網(wǎng)絡(luò)用戶的網(wǎng)絡(luò)入侵及網(wǎng)絡(luò)安全通信等問題，著重說明了訪問控制表的正確配置 。 計算機網(wǎng)絡(luò)安全與防護實際上是入侵與反入侵的動態(tài)對抗過程，任何計算機網(wǎng)絡(luò)安全方案都不可能達到一勞永逸的效果，因此應(yīng)該在實際工作和學習中去不斷更新和完善網(wǎng)絡(luò)安全措施。 31 六、 驗證測試 Packet Tracer 是由 Cisco 公司發(fā)布的一個輔助學習工具，為學習思科網(wǎng)絡(luò)課程的初學者去設(shè)計、配置、排除網(wǎng)絡(luò)故障提供了網(wǎng)絡(luò)模擬環(huán)境。用戶可以在軟件的圖形用戶界面上直接使用拖曳方法建立網(wǎng)絡(luò)拓撲，并可提供數(shù)據(jù)包在網(wǎng)絡(luò)中行進的詳細處理過程，觀察網(wǎng)絡(luò)實時運行情況。可以學習 IOS 的配置、鍛煉故障排查能力。 圖 51 服務(wù)器 ping DHCP 服務(wù)器 圖 52 PC 端 ping FTP 服務(wù)器 32 圖 53 測試 WWW 服務(wù)器 圖 54 PC3 ping 服務(wù)器 33 圖 55 PC3 打開校園網(wǎng) 圖 56 PC3 測試 FTP 服務(wù) 34 圖 57 PC2 ping 通服務(wù)器群 圖 58 PC2 ping 通模擬外網(wǎng)服務(wù)器 35 總結(jié)與展望 本文虛擬設(shè)計一所學校的校園網(wǎng)工程，范圍主要為包括辦公樓、圖書室、住宿樓及實驗樓在內(nèi)的局域網(wǎng)部分。根據(jù)校園的整體的網(wǎng)絡(luò)架構(gòu)，使這復雜的網(wǎng)絡(luò)高速、安全地通信，對復雜網(wǎng)絡(luò)應(yīng)用的一體化解決方案。本畢業(yè)設(shè)計從校園網(wǎng)的建設(shè)思想、目標設(shè)備配置等多方面的論述，它的所用到的各種技術(shù)是多方面的，即有網(wǎng)絡(luò)技術(shù)、工程技術(shù)，也有安全制度等各個方面的知識。網(wǎng)絡(luò)技術(shù)的發(fā)展是永無止境的，在前進的過程中必將有更多的知識需要我們?nèi)W習與研究，并能將其應(yīng)用到實際的網(wǎng)絡(luò)工程建設(shè)之中。由于校園網(wǎng)功能齊全，技術(shù)含量高，接觸面廣，在網(wǎng)絡(luò)設(shè)計、規(guī)劃和建設(shè) 中都非常復雜，在論述中不可能面面具到，同時也由于本人的知識水平有限，文中的不足和錯誤在所難免，敬請各位老師多多指點和更正。 36 致謝語 經(jīng)過長期的準備積累和反復修改，我的畢業(yè)論文終于得以完成，在論文即將脫稿，又臨近畢業(yè)之際，對曾經(jīng)悉心指導培養(yǎng)我并給我的論文寫作提供過無私幫助的許多人，我無法抑制內(nèi)心的感激之情。 我要真誠的感謝我的指導老師，他深厚的學術(shù)造詣和嚴謹刻苦的治學作風給了我巨大的知識來源和精神動力。在即將畢業(yè)，奔赴新前程之際，再次向那些給了我無私指導和幫助的老師、同學和朋友表示衷心的感謝！ 37 參考文獻 [1] William Stallings 著 .網(wǎng)絡(luò)安全基礎(chǔ) .北京 :清華大學出版社 , [2] （美） yusuf bhaiji(著 ) 田果 。劉丹寧 (譯 ).網(wǎng)絡(luò)安全技術(shù)與解決方案（修訂版），人民郵電出版社， [3] 梁廣民，王隆杰編著 .思科網(wǎng)絡(luò)實驗室 CCNP(交換技術(shù) )實驗指南 .電子工業(yè)出版社， 2020年 5月 .4252 [4] （美）戴伊（ Dye,.），（美）麥克唐納（ McDonald,R.） ,(美 )魯菲（ Rufi,.）著 .思科網(wǎng)絡(luò)技術(shù)學院教程 .CCNA Exploration：網(wǎng)絡(luò)基礎(chǔ)知識 .人民郵電出版社， 2020年 1月 .4688 [5] 梁廣民，王隆杰編著 .思科網(wǎng)絡(luò)實驗室 CCNP(路由技 術(shù) )實驗指南 .電子工業(yè)出版社， 2020年 3月 .7782