【正文】 （2）故障管理為確保網(wǎng)絡(luò)系統(tǒng)的高穩(wěn)定性，在網(wǎng)絡(luò)出現(xiàn)問題時，必須及時察覺問題的所在。它包含所有節(jié)點動作狀態(tài)、故障記錄的追蹤與檢查及平常對各種通訊協(xié)議的測試。（3）效率管理在于評估網(wǎng)絡(luò)系統(tǒng)的運作，統(tǒng)計網(wǎng)絡(luò)資源的運用及各種通訊協(xié)議的傳輸量等，更可提供未來網(wǎng)絡(luò)提升或更新規(guī)劃的依據(jù)。（4）安全管理為防范不被授權(quán)的用戶擅自使用網(wǎng)絡(luò)資源，以及用戶蓄意破壞網(wǎng)絡(luò)系統(tǒng)的安全，要隨時做好安全措施，如合法的設(shè)備存取控制與加密等。（5）計費管理了解網(wǎng)絡(luò)使用時間，能針對各個局部網(wǎng)絡(luò)做使用統(tǒng)計。一則可作為使用網(wǎng)絡(luò)計費的依據(jù)，更可作為日后網(wǎng)絡(luò)升級或更新規(guī)劃的參考。（6）信息管理網(wǎng)絡(luò)上的信息分成兩部分，一是由管理員放置的信息，它們的品質(zhì)一般較高；另一部分是由用戶放置的，可能會有一些問題，要對這部分信息進行管理。（7）人員培訓要真正提高校園網(wǎng)的應用水平，就必須堅持不懈地在教學和學習中應用網(wǎng)絡(luò)，以切實提高教學水平、管理水平和學習水平，其中加強對相關(guān)人員的培訓十分必要。為此我校正舉辦網(wǎng)絡(luò)技術(shù)培訓班，對校園網(wǎng)的四類實用人員，即學校領(lǐng)導、系統(tǒng)維護人員、課件制作人員和應用系統(tǒng)使用人員，分期分批進行網(wǎng)絡(luò)培訓，以提高全體師生的網(wǎng)絡(luò)應用水平，并促進校園網(wǎng)的健康發(fā)展。 網(wǎng)絡(luò)安全主機安全技術(shù)：加強網(wǎng)絡(luò)上結(jié)點計算機的安全，包括：系統(tǒng)防火墻的規(guī)則設(shè)置、更新。系統(tǒng)漏洞補丁升級更新，在人們的潛意識里增加安全防范意識等等。身份認證技術(shù)：身份驗證技術(shù)可以阻止或減少由于非法用戶的登陸對系統(tǒng)的惡意或非法操作。在用戶訪問服務(wù)器上任何信息之前，可以要求用戶提供有效的 Microsoft Windows用戶帳戶、用戶名和密碼。該標識過程稱為“身份驗證”。可以在網(wǎng)站或FTP站點、目錄或文件級別設(shè)置身份驗證?？梢允褂肐nternet信息服務(wù)（IIS提供的）身份驗證方法來控制對網(wǎng)站和FTP站點的訪問。（包括下列信息：網(wǎng)站驗證：介紹符合您驗證用戶網(wǎng)站訪問要求的身份驗證方法。FTP站點身份驗證：介紹符合您驗證用戶FTP站點訪問要求的身份驗證方法。）訪問控制技術(shù)：對信息的權(quán)限的控制，阻止了非授權(quán)用戶進行的信息的瀏覽，修改甚至破壞。適當?shù)乜刂茖eb和FTP內(nèi)容的訪問是安全運行Web服務(wù)器的關(guān)鍵。使用 Windows和IIS中的安全功能，您可以有效地控制用戶訪問您Web和FTP內(nèi)容的方式。可以控制多級訪問，從整個網(wǎng)站和FTP站點到單獨的文件。每個帳戶均被授予用戶特權(quán)和權(quán)限。用戶特權(quán)是指在計算機或網(wǎng)絡(luò)上執(zhí)行特定操作的權(quán)力。權(quán)限是與對象（如文件或文件夾）關(guān)聯(lián)的規(guī)則，用于控制哪些帳戶可以獲得對象的訪問權(quán)限。防火墻技術(shù)：要主的技術(shù)有數(shù)據(jù)包過濾技術(shù)、應用網(wǎng)關(guān)和代理服務(wù)等；防火墻體系結(jié)構(gòu)在網(wǎng)絡(luò)中的設(shè)置應用。例如屏蔽子網(wǎng)型防火墻。它是由兩個包過濾路由器和兩個堡壘機組成。堡壘主機和服務(wù)器放置在一個處于內(nèi)外網(wǎng)的小型網(wǎng)絡(luò)（Dmz 安全區(qū)）中。連接外網(wǎng)的包過濾路由器主要用來防止外網(wǎng)的攻擊。并管理外網(wǎng)對dmz的訪問。第二給個包過濾路由器是它置接受源于堡壘主機的數(shù)據(jù)，負責管理Ｄmz和內(nèi)網(wǎng)之間的訪問。這樣對外網(wǎng)，內(nèi)部網(wǎng)是不可見的。同理對于內(nèi)網(wǎng)外網(wǎng)是不可見的，內(nèi)網(wǎng)眼通過代理服務(wù)才能訪問外網(wǎng)。對于入侵者必須通過外部路由器和堡壘主機，內(nèi)部路由器才能入侵到內(nèi)網(wǎng)中。到目前可以認為是最安全的。安全審計技術(shù)：安全策略的訂制和授權(quán)信息的驗證技術(shù)是該技術(shù)的重點部分。可以使用安全審核技術(shù)跟蹤用戶活動并檢測對NTFS目錄和文件的未經(jīng)授權(quán)的訪問。（可供審核的活動包括：用戶成功和失敗的登錄。用戶試圖訪問受到限制的帳戶。用戶試圖執(zhí)行受到限制的命令。） NAT網(wǎng)絡(luò)地址轉(zhuǎn)換(NAT,Network Address Translation)被廣泛應用于各種類型Internet接入方式和各種類型的網(wǎng)絡(luò)中。原因很簡單，NAT不僅完美地解決了lP地址不足的問題，而且還能夠有效地避免來自網(wǎng)絡(luò)外部的攻擊，隱藏并保護網(wǎng)絡(luò)內(nèi)部的計算機。雖然NAT可以借助于某些代理服務(wù)器來實現(xiàn)，但考慮到運算成本和網(wǎng)絡(luò)性能，很多時候都是在路由器上來實現(xiàn)的。 隨著接入Internet的計算機數(shù)量的不斷猛增，IP地址資源也就愈加顯得捉襟見肘。事實上，除了中國教育和科研計算機網(wǎng)(CERNET)外，一般用戶幾乎申請不到整段的C類IP地址。在其他ISP那里，即使是擁有幾百臺計算機的大型局域網(wǎng)用戶，當他們申請IP地址時，所分配的地址也不過只有幾個或十幾個IP地址。顯然，這樣少的IP地址根本無法滿足網(wǎng)絡(luò)用戶的需求，于是也就產(chǎn)生了NAT技術(shù)。NAT的實現(xiàn)方式有三種，即靜態(tài)轉(zhuǎn)換Static Nat、動態(tài)轉(zhuǎn)換Dynamic Nat 和 端口多路復用OverLoad。靜態(tài)轉(zhuǎn)換是指將內(nèi)部網(wǎng)絡(luò)的私有IP地址轉(zhuǎn)換為公有IP地址，IP地址對是一對一的，是一成不變的，某個私有IP地址只轉(zhuǎn)換為某個公有IP地址。借助于靜態(tài)轉(zhuǎn)換，可以實現(xiàn)外部網(wǎng)絡(luò)對內(nèi)部網(wǎng)絡(luò)中某些特定設(shè)備(如服務(wù)器)的訪問。動態(tài)轉(zhuǎn)換是指將內(nèi)部網(wǎng)絡(luò)的私有IP地址轉(zhuǎn)換為公用IP地址時，IP地址對是不確定的，而是隨機的，所有被授權(quán)訪問上Internet的私有IP地址可隨機轉(zhuǎn)換為任何指定的合法IP地址。也就是說，只要指定哪些內(nèi)部地址可以進行轉(zhuǎn)換，以及用哪些合法地址作為外部地址時，就可以進行動態(tài)轉(zhuǎn)換。動態(tài)轉(zhuǎn)換可以使用多個合法外部地址集。當ISP提供的合法IP地址略少于網(wǎng)絡(luò)內(nèi)部的計算機數(shù)量時?？梢圆捎脛討B(tài)轉(zhuǎn)換的方式。端口多路復用(Port address Translation,PAT)是指改變外出數(shù)據(jù)包的源端口并進行端口轉(zhuǎn)換，即端口地址轉(zhuǎn)換(PAT，Port Address Translation).采用端口多路復用方式。內(nèi)部網(wǎng)絡(luò)的所有主機均可共享一個合法外部IP地址實現(xiàn)對Internet的訪問，從而可以最大限度地節(jié)約IP地址資源。同時，又可隱藏網(wǎng)絡(luò)內(nèi)部的所有主機，有效避免來自internet的攻擊。因此，目前網(wǎng)絡(luò)中應用最多的就是端口多路復用方式。(1)外網(wǎng)主機訪問內(nèi)網(wǎng)服務(wù)器,采用的是靜態(tài)轉(zhuǎn)換。具體代碼如下：ip nat inside source static (2)實現(xiàn)局域網(wǎng)訪問互聯(lián)網(wǎng)，采用的是端口復用動態(tài)地址轉(zhuǎn)換，當內(nèi)部多個私有ip地址對應外部很少的公網(wǎng)地址時所使用的，它可以根據(jù)端口的不同來區(qū)分不同的服務(wù)和對應的內(nèi)部地址。在這次的課題設(shè)計中局域網(wǎng)訪問外網(wǎng)就是采用這種技術(shù)，具體代碼如下：Router(config)int f 0/1Router(configif)ip nat insideRouter(configif)exitRouter(config)int s 0/1/0Router(configif)ip nat outsideRouter(configif)exitRouter(config)ip nat pool test netmask Router(config)accesslist 10 permit Router(config)accesslist 10 permit Router(config)accesslist 10 permit Router(config)accesslist 10 permit Router(config)accesslist 10 permit Router(config)accesslist 10 permit Router(config)accesslist 10 permit Router(config)accesslist 10 permit Router(config)accesslist 10 permit Router(config)accesslist 10 permit Router(config)ip nat inside source list 10 pool test overload ACL訪問控制列表（Access Control List，ACL） 是路由器和交換機接口的指令列表，用來控制端口進出的數(shù)據(jù)包。ACL適用于所有的被路由協(xié)議，如IP、IPX、AppleTalk等。這張表中包含了匹配關(guān)系、條件和查詢語句，表只是一個框架結(jié)構(gòu)，其目的是為了對某種訪問進行控制。 信息點間通信，內(nèi)外網(wǎng)絡(luò)的通信都是企業(yè)網(wǎng)絡(luò)中必不可少的業(yè)務(wù)需求，但是為了保證內(nèi)網(wǎng)的安全性，需要通過安全策略來保障非授權(quán)用戶只能訪問特定的網(wǎng)絡(luò)資源，從而達到對訪問進行控制的目的。簡而言之，ACL可以過濾網(wǎng)絡(luò)中的流量，控制訪問的一種網(wǎng)絡(luò)技術(shù)手段。ACL技術(shù)用在了核心交換機的SW0上面，不允許學生公寓區(qū)訪問行政區(qū)，其它的都可以，具體配置如下：interface Vlan4ip address ip accessgroup 100 outaccesslist 100 deny ip accesslist 100 permit ip any any第六章 網(wǎng)絡(luò)系統(tǒng)的測試前面幾個章節(jié)中，我們對如何設(shè)計一個較為完整的校園網(wǎng)網(wǎng)絡(luò)進行了詳細的介紹。當校園網(wǎng)初具規(guī)模后，還應該對校園網(wǎng)的整體運行情況做一下細致的測試和評估。在這里我們通過ping、tracert、arp等網(wǎng)絡(luò)命令，來觀察機器的連通性和數(shù)據(jù)包的轉(zhuǎn)發(fā)路徑。為了說明問題。 測試不同vlan之間的通信圖通過測試我們可以清晰的看到，不同的vlan之間的數(shù)據(jù)包轉(zhuǎn)發(fā)是沒有問題的。圖622測試到服務(wù)器所走的路徑圖， 測試DNS的解析圖通過測試證明DNS解析正常。 ， ： 學生公寓區(qū)訪問行政區(qū)圖 辦公區(qū)訪問行政區(qū)圖通過測試可知學生公寓區(qū)不能訪問行政區(qū)，辦公區(qū)可以訪問行政區(qū)，說明ACL配置正確。6．測試無線局域網(wǎng)能否訪問內(nèi)網(wǎng)和外網(wǎng)的WWW服務(wù)器， 。 無線網(wǎng)主機訪問內(nèi)網(wǎng)WWW圖7．測試主機能否遠程管理接入外網(wǎng)的路由器， 主機對路由器的遠程管理經(jīng)過用不同的協(xié)議和路徑的測試，我們發(fā)現(xiàn)，這次的網(wǎng)絡(luò)設(shè)計是正常的，但是這僅僅是基本的構(gòu)架，如果要設(shè)計出較完善的網(wǎng)絡(luò)，還需要更加詳細的配置。結(jié)論結(jié) 論本畢業(yè)設(shè)計從校園網(wǎng)的建設(shè)思想、目標、可以選用的網(wǎng)絡(luò)技術(shù)以及對絡(luò)設(shè)備的介紹和選擇等多方面的論述，使我們對校園網(wǎng)建設(shè)工程有了一個比較深入的了解，校園網(wǎng)絡(luò)建設(shè)作為一項重要的系統(tǒng)工程，它的所用到的各種技術(shù)是多方面的，即有網(wǎng)絡(luò)技術(shù)、工程施工技術(shù)，也有管理制度等各個方面的知識。網(wǎng)絡(luò)技術(shù)的發(fā)展是永無止境的，在前進的過程中必將有更多的知識需要我們?nèi)W習與研究，并能將其應用到實際的網(wǎng)絡(luò)工程建設(shè)之中。參考文獻參 考 文 獻[1]劉小輝主編：《網(wǎng)絡(luò)硬件完全手冊》，重慶大學出版社，2002年5月[2]張公忠主編：《現(xiàn)代網(wǎng)絡(luò)技術(shù)教程》，電子工業(yè)出版社，2000年1月[3]譚珂、全惠民編著：《局域網(wǎng)組建與管理實手冊》，中國青年出版社，2003年2月[4]劉正勇編著：《校園網(wǎng)系統(tǒng)集成技術(shù)與應用》，清華大學出版社，2002年6月[5]戴雄 編著：《計算機網(wǎng)絡(luò)》，中華人事出版社，2001年1月。[6]徐鋒、楊錦川 編著：《攻克網(wǎng)絡(luò)》，重慶出版社，2000年11月[7] Todd Lammle（美國：拉默爾）編著：《CCNA學習指南》，電子工業(yè)出版社，2008年6月