【正文】 方便地采取各種安全性措施，控制通信，購買硬件防火墻，即時下載系統漏洞，實施新的安全技術，數據備份等提高網絡可靠和安全性能水平。校園網管理的主要目的是保障網絡運行的品質，如維持網絡傳送速率、降低傳送錯誤率、確保網絡安全等。所以校園網系統管理的技術人員可借網絡管理工具或本身的技術經驗實施網絡管理，內容可分為下列6項：（1）系統管理隨時掌握網絡內任何設備的增減與變動，管理所有網絡設備的設置參數。當故障發(fā)生時，管理人員得以重設或改變網絡設備的參數，維持網絡的正常運作。（2）故障管理為確保網絡系統的高穩(wěn)定性，在網絡出現問題時，必須及時察覺問題的所在。它包含所有節(jié)點動作狀態(tài)、故障記錄的追蹤與檢查及平常對各種通訊協議的測試。（3）效率管理在于評估網絡系統的運作，統計網絡資源的運用及各種通訊協議的傳輸量等，更可提供未來網絡提升或更新規(guī)劃的依據。（4）安全管理為防范不被授權的用戶擅自使用網絡資源，以及用戶蓄意破壞網絡系統的安全，要隨時做好安全措施，如合法的設備存取控制與加密等。（5）計費管理了解網絡使用時間，能針對各個局部網絡做使用統計。一則可作為使用網絡計費的依據，更可作為日后網絡升級或更新規(guī)劃的參考。（6）信息管理網絡上的信息分成兩部分，一是由管理員放置的信息，它們的品質一般較高；另一部分是由用戶放置的，可能會有一些問題，要對這部分信息進行管理。（7）人員培訓要真正提高校園網的應用水平，就必須堅持不懈地在教學和學習中應用網絡，以切實提高教學水平、管理水平和學習水平，其中加強對相關人員的培訓十分必要。為此我校正舉辦網絡技術培訓班，對校園網的四類實用人員，即學校領導、系統維護人員、課件制作人員和應用系統使用人員，分期分批進行網絡培訓，以提高全體師生的網絡應用水平，并促進校園網的健康發(fā)展。 網絡安全主機安全技術：加強網絡上結點計算機的安全，包括：系統防火墻的規(guī)則設置、更新。系統漏洞補丁升級更新，在人們的潛意識里增加安全防范意識等等。身份認證技術：身份驗證技術可以阻止或減少由于非法用戶的登陸對系統的惡意或非法操作。在用戶訪問服務器上任何信息之前，可以要求用戶提供有效的 Microsoft Windows用戶帳戶、用戶名和密碼。該標識過程稱為“身份驗證”?？梢栽诰W站或FTP站點、目錄或文件級別設置身份驗證?？梢允褂肐nternet信息服務（IIS提供的）身份驗證方法來控制對網站和FTP站點的訪問。（包括下列信息：網站驗證：介紹符合您驗證用戶網站訪問要求的身份驗證方法。FTP站點身份驗證：介紹符合您驗證用戶FTP站點訪問要求的身份驗證方法。）訪問控制技術：對信息的權限的控制，阻止了非授權用戶進行的信息的瀏覽，修改甚至破壞。適當地控制對Web和FTP內容的訪問是安全運行Web服務器的關鍵。使用 Windows和IIS中的安全功能，您可以有效地控制用戶訪問您Web和FTP內容的方式。可以控制多級訪問，從整個網站和FTP站點到單獨的文件。每個帳戶均被授予用戶特權和權限。用戶特權是指在計算機或網絡上執(zhí)行特定操作的權力。權限是與對象（如文件或文件夾）關聯的規(guī)則，用于控制哪些帳戶可以獲得對象的訪問權限。防火墻技術：要主的技術有數據包過濾技術、應用網關和代理服務等；防火墻體系結構在網絡中的設置應用。例如屏蔽子網型防火墻。它是由兩個包過濾路由器和兩個堡壘機組成。堡壘主機和服務器放置在一個處于內外網的小型網絡（Dmz 安全區(qū)）中。連接外網的包過濾路由器主要用來防止外網的攻擊。并管理外網對dmz的訪問。第二給個包過濾路由器是它置接受源于堡壘主機的數據，負責管理Ｄmz和內網之間的訪問。這樣對外網，內部網是不可見的。同理對于內網外網是不可見的，內網眼通過代理服務才能訪問外網。對于入侵者必須通過外部路由器和堡壘主機，內部路由器才能入侵到內網中。到目前可以認為是最安全的。安全審計技術：安全策略的訂制和授權信息的驗證技術是該技術的重點部分?？梢允褂冒踩珜徍思夹g跟蹤用戶活動并檢測對NTFS目錄和文件的未經授權的訪問。（可供審核的活動包括：用戶成功和失敗的登錄。用戶試圖訪問受到限制的帳戶。用戶試圖執(zhí)行受到限制的命令。） NAT網絡地址轉換(NAT,Network Address Translation)被廣泛應用于各種類型Internet接入方式和各種類型的網絡中。原因很簡單，NAT不僅完美地解決了lP地址不足的問題，而且還能夠有效地避免來自網絡外部的攻擊，隱藏并保護網絡內部的計算機。雖然NAT可以借助于某些代理服務器來實現，但考慮到運算成本和網絡性能，很多時候都是在路由器上來實現的。 隨著接入Internet的計算機數量的不斷猛增，IP地址資源也就愈加顯得捉襟見肘。事實上，除了中國教育和科研計算機網(CERNET)外，一般用戶幾乎申請不到整段的C類IP地址。在其他ISP那里，即使是擁有幾百臺計算機的大型局域網用戶，當他們申請IP地址時，所分配的地址也不過只有幾個或十幾個IP地址。顯然，這樣少的IP地址根本無法滿足網絡用戶的需求，于是也就產生了NAT技術。NAT的實現方式有三種，即靜態(tài)轉換Static Nat、動態(tài)轉換Dynamic Nat 和 端口多路復用OverLoad。靜態(tài)轉換是指將內部網絡的私有IP地址轉換為公有IP地址，IP地址對是一對一的，是一成不變的，某個私有IP地址只轉換為某個公有IP地址。借助于靜態(tài)轉換，可以實現外部網絡對內部網絡中某些特定設備(如服務器)的訪問。動態(tài)轉換是指將內部網絡的私有IP地址轉換為公用IP地址時，IP地址對是不確定的，而是隨機的，所有被授權訪問上Internet的私有IP地址可隨機轉換為任何指定的合法IP地址。也就是說，只要指定哪些內部地址可以進行轉換，以及用哪些合法地址作為外部地址時，就可以進行動態(tài)轉換。動態(tài)轉換可以使用多個合法外部地址集。當ISP提供的合法IP地址略少于網絡內部的計算機數量時?？梢圆捎脛討B(tài)轉換的方式。端口多路復用(Port address Translation,PAT)是指改變外出數據包的源端口并進行端口轉換，即端口地址轉換(PAT，Port Address Translation).采用端口多路復用方式。內部網絡的所有主機均可共享一個合法外部IP地址實現對Internet的訪問，從而可以最大限度地節(jié)約IP地址資源。同時，又可隱藏網絡內部的所有主機，有效避免來自internet的攻擊。因此，目前網絡中應用最多的就是端口多路復用方式。(1)外網主機訪問內網服務器,采用的是靜態(tài)轉換。具體代碼如下：ip nat inside source static (2)實現局域網訪問互聯網，采用的是端口復用動態(tài)地址轉換，當內部多個私有ip地址對應外部很少的公網地址時所使用的，它可以根據端口的不同來區(qū)分不同的服務和對應的內部地址。在這次的課題設計中局域網訪問外網就是采用這種技術，具體代碼如下：Router(config)int f 0/1Router(configif)ip nat insideRouter(configif)exitRouter(config)int s 0/1/0Router(configif)ip nat outsideRouter(configif)exitRouter(config)ip nat pool test netmask Router(config)accesslist 10 permit Router(config)accesslist 10 permit Router(config)accesslist 10 permit Router(config)accesslist 10 permit Router(config)accesslist 10 permit Router(config)accesslist 10 permit Router(config)accesslist 10 permit Router(config)accesslist 10 permit Router(config)accesslist 10 permit Router(config)accesslist 10 permit Router(config)ip nat inside source list 10 pool test overload ACL訪問控制列表（Access Control List，ACL） 是路由器和交換機接口的指令列表，用來控制端口進出的數據包。ACL適用于所有的被路由協議，如IP、IPX、AppleTalk等。這張表中包含了匹配關系、條件和查詢語句，表只是一個框架結構，其目的是為了對某種訪問進行控制。 信息點間通信，內外網絡的通信都是企業(yè)網絡中必不可少的業(yè)務需求，但是為了保證內網的安全性，需要通過安全策略來保障非授權用戶只能訪問特定的網絡資源，從而達到對訪問進行控制的目的。簡而言之，ACL可以過濾網絡中的流量，控制訪問的一種網絡技術手段。ACL技術用在了核心交換機的SW0上面，不允許學生公寓區(qū)訪問行政區(qū)，其它的都可以，具體配置如下：interface Vlan4ip address ip accessgroup 100 outaccesslist 100 deny ip accesslist 100 permit ip any any第六章 網絡系統的測試前面幾個章節(jié)中，我們對如何設計一個較為完整的校園網網絡進行了詳細的介紹。當校園網初具規(guī)模后，還應該對校園網的整體運行情況做一下細致的測試和評估。在這里我們通過ping、tracert、arp等網絡命令，來觀察機器的連通性和數據包的轉發(fā)路徑。為了說明問題。 測試不同vlan之間的通信圖通過測試我們可以清晰的看到，不同的vlan之間的數據包轉發(fā)是沒有問題的。圖622測試到服務器所走的路徑圖， 測試DNS的解析圖通過測試證明DNS解析正常。 ， ： 學生公寓區(qū)訪問行政區(qū)圖 辦公區(qū)訪問行政區(qū)圖通過測試可知學生公寓區(qū)不能訪問行政區(qū)，辦公區(qū)可以訪問行政區(qū)，說明ACL配置正確。6．測試無線局域網能否訪問內網和外網的WWW服務器， 。 無線網主機訪問內網WWW圖7．測試主機能否遠程管理接入外網的路由器， 主機對路由器的遠程管理經過用不同的協議和路徑的測試，我們發(fā)現，這次的網絡設計是正常的，但是這僅僅是基本的構架，如果要設計出較完善的網絡，還需要更加詳細的配置。結 論本畢業(yè)設計從校園網的建設思想、目標、可以選用的網絡技術以及對絡設備的介紹和選擇等多方面的論述，使我們對校園網建設工程有了一個比較深入的了解，校園網絡建設作為一項重要的系統工程，它的所用到的各種技術是多方面的，即有網絡技術、工程施工技術，也有管理制度等各個方面的知識。網絡技術的發(fā)展是永無止境的，在前進的過程中必將有更多的知識需要我們去學習與研究，并能將其應用到實際的網絡工程建設之中。參 考 文 獻[1]劉小輝主編：《網絡硬件完全手冊》，重慶大學出版社，2002年5月[2]張公忠主編：《現代網絡技術教程》，電子工業(yè)出版社，2000年1月[3]譚珂、全惠民編著：《局域網組建與管理實手冊》，中國青年出版社，2003年2月[4]劉正勇編著：《校園網系統集成技術與應用》，清華大學出版社，2002年6月[5]戴雄 編著：《計算機網絡》，中華人事出版社，2001年1月。[6]徐鋒、楊錦川 編著：《攻克網絡》，重慶出版社，2000年11月[7] Todd Lammle（美國：拉默爾）編著：《CCNA學習指南》，電子工業(yè)出版社，2008年6月致 謝由于校園網功能齊全，技術含量高，接觸面廣，在網絡設計、規(guī)劃和建設中都非常復雜，在論述中不可能面面具到，同時也由于本人的知識水平有限，文中的不足和錯誤在所難免，敬請各位老師多多指點和更正。本設計是在湖南科技職業(yè)學院楊夏老師的指導下完成的，還得到了多位老師的指點與幫助，我在此對傳授我知識的各位老師表示崇高的敬意和誠摯的謝意。畢業(yè)設計論文答辯成績評定 專業(yè)畢業(yè)設計論文第 答辯委員會于 年 月 日審查了 班級 學生的畢業(yè)設計論文。設計論文題目：計算機局域網組建與互連畢業(yè)設計論文設計論文說明書共 頁，設計圖紙 張。畢業(yè)設計論文答辯委員會意見：成績： 專業(yè)畢業(yè)設計論文答辯委員會主任委員： （簽