【正文】 方便地采取各種安全性措施，控制通信，購(gòu)買(mǎi)硬件防火墻，即時(shí)下載系統(tǒng)漏洞，實(shí)施新的安全技術(shù)，數(shù)據(jù)備份等提高網(wǎng)絡(luò)可靠和安全性能水平。校園網(wǎng)管理的主要目的是保障網(wǎng)絡(luò)運(yùn)行的品質(zhì)，如維持網(wǎng)絡(luò)傳送速率、降低傳送錯(cuò)誤率、確保網(wǎng)絡(luò)安全等。所以校園網(wǎng)系統(tǒng)管理的技術(shù)人員可借網(wǎng)絡(luò)管理工具或本身的技術(shù)經(jīng)驗(yàn)實(shí)施網(wǎng)絡(luò)管理，內(nèi)容可分為下列6項(xiàng)：（1）系統(tǒng)管理隨時(shí)掌握網(wǎng)絡(luò)內(nèi)任何設(shè)備的增減與變動(dòng)，管理所有網(wǎng)絡(luò)設(shè)備的設(shè)置參數(shù)。當(dāng)故障發(fā)生時(shí)，管理人員得以重設(shè)或改變網(wǎng)絡(luò)設(shè)備的參數(shù)，維持網(wǎng)絡(luò)的正常運(yùn)作。（2）故障管理為確保網(wǎng)絡(luò)系統(tǒng)的高穩(wěn)定性，在網(wǎng)絡(luò)出現(xiàn)問(wèn)題時(shí)，必須及時(shí)察覺(jué)問(wèn)題的所在。它包含所有節(jié)點(diǎn)動(dòng)作狀態(tài)、故障記錄的追蹤與檢查及平常對(duì)各種通訊協(xié)議的測(cè)試。（3）效率管理在于評(píng)估網(wǎng)絡(luò)系統(tǒng)的運(yùn)作，統(tǒng)計(jì)網(wǎng)絡(luò)資源的運(yùn)用及各種通訊協(xié)議的傳輸量等，更可提供未來(lái)網(wǎng)絡(luò)提升或更新規(guī)劃的依據(jù)。（4）安全管理為防范不被授權(quán)的用戶(hù)擅自使用網(wǎng)絡(luò)資源，以及用戶(hù)蓄意破壞網(wǎng)絡(luò)系統(tǒng)的安全，要隨時(shí)做好安全措施，如合法的設(shè)備存取控制與加密等。（5）計(jì)費(fèi)管理了解網(wǎng)絡(luò)使用時(shí)間，能針對(duì)各個(gè)局部網(wǎng)絡(luò)做使用統(tǒng)計(jì)。一則可作為使用網(wǎng)絡(luò)計(jì)費(fèi)的依據(jù)，更可作為日后網(wǎng)絡(luò)升級(jí)或更新規(guī)劃的參考。（6）信息管理網(wǎng)絡(luò)上的信息分成兩部分，一是由管理員放置的信息，它們的品質(zhì)一般較高；另一部分是由用戶(hù)放置的，可能會(huì)有一些問(wèn)題，要對(duì)這部分信息進(jìn)行管理。（7）人員培訓(xùn)要真正提高校園網(wǎng)的應(yīng)用水平，就必須堅(jiān)持不懈地在教學(xué)和學(xué)習(xí)中應(yīng)用網(wǎng)絡(luò)，以切實(shí)提高教學(xué)水平、管理水平和學(xué)習(xí)水平，其中加強(qiáng)對(duì)相關(guān)人員的培訓(xùn)十分必要。為此我校正舉辦網(wǎng)絡(luò)技術(shù)培訓(xùn)班，對(duì)校園網(wǎng)的四類(lèi)實(shí)用人員，即學(xué)校領(lǐng)導(dǎo)、系統(tǒng)維護(hù)人員、課件制作人員和應(yīng)用系統(tǒng)使用人員，分期分批進(jìn)行網(wǎng)絡(luò)培訓(xùn)，以提高全體師生的網(wǎng)絡(luò)應(yīng)用水平，并促進(jìn)校園網(wǎng)的健康發(fā)展。 網(wǎng)絡(luò)安全主機(jī)安全技術(shù)：加強(qiáng)網(wǎng)絡(luò)上結(jié)點(diǎn)計(jì)算機(jī)的安全，包括：系統(tǒng)防火墻的規(guī)則設(shè)置、更新。系統(tǒng)漏洞補(bǔ)丁升級(jí)更新，在人們的潛意識(shí)里增加安全防范意識(shí)等等。身份認(rèn)證技術(shù)：身份驗(yàn)證技術(shù)可以阻止或減少由于非法用戶(hù)的登陸對(duì)系統(tǒng)的惡意或非法操作。在用戶(hù)訪問(wèn)服務(wù)器上任何信息之前，可以要求用戶(hù)提供有效的 Microsoft Windows用戶(hù)帳戶(hù)、用戶(hù)名和密碼。該標(biāo)識(shí)過(guò)程稱(chēng)為“身份驗(yàn)證”?？梢栽诰W(wǎng)站或FTP站點(diǎn)、目錄或文件級(jí)別設(shè)置身份驗(yàn)證?？梢允褂肐nternet信息服務(wù)（IIS提供的）身份驗(yàn)證方法來(lái)控制對(duì)網(wǎng)站和FTP站點(diǎn)的訪問(wèn)。（包括下列信息：網(wǎng)站驗(yàn)證：介紹符合您驗(yàn)證用戶(hù)網(wǎng)站訪問(wèn)要求的身份驗(yàn)證方法。FTP站點(diǎn)身份驗(yàn)證：介紹符合您驗(yàn)證用戶(hù)FTP站點(diǎn)訪問(wèn)要求的身份驗(yàn)證方法。）訪問(wèn)控制技術(shù)：對(duì)信息的權(quán)限的控制，阻止了非授權(quán)用戶(hù)進(jìn)行的信息的瀏覽，修改甚至破壞。適當(dāng)?shù)乜刂茖?duì)Web和FTP內(nèi)容的訪問(wèn)是安全運(yùn)行Web服務(wù)器的關(guān)鍵。使用 Windows和IIS中的安全功能，您可以有效地控制用戶(hù)訪問(wèn)您Web和FTP內(nèi)容的方式?？梢钥刂贫嗉?jí)訪問(wèn)，從整個(gè)網(wǎng)站和FTP站點(diǎn)到單獨(dú)的文件。每個(gè)帳戶(hù)均被授予用戶(hù)特權(quán)和權(quán)限。用戶(hù)特權(quán)是指在計(jì)算機(jī)或網(wǎng)絡(luò)上執(zhí)行特定操作的權(quán)力。權(quán)限是與對(duì)象（如文件或文件夾）關(guān)聯(lián)的規(guī)則，用于控制哪些帳戶(hù)可以獲得對(duì)象的訪問(wèn)權(quán)限。防火墻技術(shù)：要主的技術(shù)有數(shù)據(jù)包過(guò)濾技術(shù)、應(yīng)用網(wǎng)關(guān)和代理服務(wù)等；防火墻體系結(jié)構(gòu)在網(wǎng)絡(luò)中的設(shè)置應(yīng)用。例如屏蔽子網(wǎng)型防火墻。它是由兩個(gè)包過(guò)濾路由器和兩個(gè)堡壘機(jī)組成。堡壘主機(jī)和服務(wù)器放置在一個(gè)處于內(nèi)外網(wǎng)的小型網(wǎng)絡(luò)（Dmz 安全區(qū)）中。連接外網(wǎng)的包過(guò)濾路由器主要用來(lái)防止外網(wǎng)的攻擊。并管理外網(wǎng)對(duì)dmz的訪問(wèn)。第二給個(gè)包過(guò)濾路由器是它置接受源于堡壘主機(jī)的數(shù)據(jù)，負(fù)責(zé)管理Ｄmz和內(nèi)網(wǎng)之間的訪問(wèn)。這樣對(duì)外網(wǎng)，內(nèi)部網(wǎng)是不可見(jiàn)的。同理對(duì)于內(nèi)網(wǎng)外網(wǎng)是不可見(jiàn)的，內(nèi)網(wǎng)眼通過(guò)代理服務(wù)才能訪問(wèn)外網(wǎng)。對(duì)于入侵者必須通過(guò)外部路由器和堡壘主機(jī)，內(nèi)部路由器才能入侵到內(nèi)網(wǎng)中。到目前可以認(rèn)為是最安全的。安全審計(jì)技術(shù)：安全策略的訂制和授權(quán)信息的驗(yàn)證技術(shù)是該技術(shù)的重點(diǎn)部分?？梢允褂冒踩珜徍思夹g(shù)跟蹤用戶(hù)活動(dòng)并檢測(cè)對(duì)NTFS目錄和文件的未經(jīng)授權(quán)的訪問(wèn)。（可供審核的活動(dòng)包括：用戶(hù)成功和失敗的登錄。用戶(hù)試圖訪問(wèn)受到限制的帳戶(hù)。用戶(hù)試圖執(zhí)行受到限制的命令。） NAT網(wǎng)絡(luò)地址轉(zhuǎn)換(NAT,Network Address Translation)被廣泛應(yīng)用于各種類(lèi)型Internet接入方式和各種類(lèi)型的網(wǎng)絡(luò)中。原因很簡(jiǎn)單，NAT不僅完美地解決了lP地址不足的問(wèn)題，而且還能夠有效地避免來(lái)自網(wǎng)絡(luò)外部的攻擊，隱藏并保護(hù)網(wǎng)絡(luò)內(nèi)部的計(jì)算機(jī)。雖然NAT可以借助于某些代理服務(wù)器來(lái)實(shí)現(xiàn)，但考慮到運(yùn)算成本和網(wǎng)絡(luò)性能，很多時(shí)候都是在路由器上來(lái)實(shí)現(xiàn)的。 隨著接入Internet的計(jì)算機(jī)數(shù)量的不斷猛增，IP地址資源也就愈加顯得捉襟見(jiàn)肘。事實(shí)上，除了中國(guó)教育和科研計(jì)算機(jī)網(wǎng)(CERNET)外，一般用戶(hù)幾乎申請(qǐng)不到整段的C類(lèi)IP地址。在其他ISP那里，即使是擁有幾百臺(tái)計(jì)算機(jī)的大型局域網(wǎng)用戶(hù)，當(dāng)他們申請(qǐng)IP地址時(shí)，所分配的地址也不過(guò)只有幾個(gè)或十幾個(gè)IP地址。顯然，這樣少的IP地址根本無(wú)法滿(mǎn)足網(wǎng)絡(luò)用戶(hù)的需求，于是也就產(chǎn)生了NAT技術(shù)。NAT的實(shí)現(xiàn)方式有三種，即靜態(tài)轉(zhuǎn)換Static Nat、動(dòng)態(tài)轉(zhuǎn)換Dynamic Nat 和 端口多路復(fù)用OverLoad。靜態(tài)轉(zhuǎn)換是指將內(nèi)部網(wǎng)絡(luò)的私有IP地址轉(zhuǎn)換為公有IP地址，IP地址對(duì)是一對(duì)一的，是一成不變的，某個(gè)私有IP地址只轉(zhuǎn)換為某個(gè)公有IP地址。借助于靜態(tài)轉(zhuǎn)換，可以實(shí)現(xiàn)外部網(wǎng)絡(luò)對(duì)內(nèi)部網(wǎng)絡(luò)中某些特定設(shè)備(如服務(wù)器)的訪問(wèn)。動(dòng)態(tài)轉(zhuǎn)換是指將內(nèi)部網(wǎng)絡(luò)的私有IP地址轉(zhuǎn)換為公用IP地址時(shí)，IP地址對(duì)是不確定的，而是隨機(jī)的，所有被授權(quán)訪問(wèn)上Internet的私有IP地址可隨機(jī)轉(zhuǎn)換為任何指定的合法IP地址。也就是說(shuō)，只要指定哪些內(nèi)部地址可以進(jìn)行轉(zhuǎn)換，以及用哪些合法地址作為外部地址時(shí)，就可以進(jìn)行動(dòng)態(tài)轉(zhuǎn)換。動(dòng)態(tài)轉(zhuǎn)換可以使用多個(gè)合法外部地址集。當(dāng)ISP提供的合法IP地址略少于網(wǎng)絡(luò)內(nèi)部的計(jì)算機(jī)數(shù)量時(shí)。可以采用動(dòng)態(tài)轉(zhuǎn)換的方式。端口多路復(fù)用(Port address Translation,PAT)是指改變外出數(shù)據(jù)包的源端口并進(jìn)行端口轉(zhuǎn)換，即端口地址轉(zhuǎn)換(PAT，Port Address Translation).采用端口多路復(fù)用方式。內(nèi)部網(wǎng)絡(luò)的所有主機(jī)均可共享一個(gè)合法外部IP地址實(shí)現(xiàn)對(duì)Internet的訪問(wèn)，從而可以最大限度地節(jié)約IP地址資源。同時(shí)，又可隱藏網(wǎng)絡(luò)內(nèi)部的所有主機(jī)，有效避免來(lái)自internet的攻擊。因此，目前網(wǎng)絡(luò)中應(yīng)用最多的就是端口多路復(fù)用方式。(1)外網(wǎng)主機(jī)訪問(wèn)內(nèi)網(wǎng)服務(wù)器,采用的是靜態(tài)轉(zhuǎn)換。具體代碼如下：ip nat inside source static (2)實(shí)現(xiàn)局域網(wǎng)訪問(wèn)互聯(lián)網(wǎng)，采用的是端口復(fù)用動(dòng)態(tài)地址轉(zhuǎn)換，當(dāng)內(nèi)部多個(gè)私有ip地址對(duì)應(yīng)外部很少的公網(wǎng)地址時(shí)所使用的，它可以根據(jù)端口的不同來(lái)區(qū)分不同的服務(wù)和對(duì)應(yīng)的內(nèi)部地址。在這次的課題設(shè)計(jì)中局域網(wǎng)訪問(wèn)外網(wǎng)就是采用這種技術(shù)，具體代碼如下：Router(config)int f 0/1Router(configif)ip nat insideRouter(configif)exitRouter(config)int s 0/1/0Router(configif)ip nat outsideRouter(configif)exitRouter(config)ip nat pool test netmask Router(config)accesslist 10 permit Router(config)accesslist 10 permit Router(config)accesslist 10 permit Router(config)accesslist 10 permit Router(config)accesslist 10 permit Router(config)accesslist 10 permit Router(config)accesslist 10 permit Router(config)accesslist 10 permit Router(config)accesslist 10 permit Router(config)accesslist 10 permit Router(config)ip nat inside source list 10 pool test overload ACL訪問(wèn)控制列表（Access Control List，ACL） 是路由器和交換機(jī)接口的指令列表，用來(lái)控制端口進(jìn)出的數(shù)據(jù)包。ACL適用于所有的被路由協(xié)議，如IP、IPX、AppleTalk等。這張表中包含了匹配關(guān)系、條件和查詢(xún)語(yǔ)句，表只是一個(gè)框架結(jié)構(gòu)，其目的是為了對(duì)某種訪問(wèn)進(jìn)行控制。 信息點(diǎn)間通信，內(nèi)外網(wǎng)絡(luò)的通信都是企業(yè)網(wǎng)絡(luò)中必不可少的業(yè)務(wù)需求，但是為了保證內(nèi)網(wǎng)的安全性，需要通過(guò)安全策略來(lái)保障非授權(quán)用戶(hù)只能訪問(wèn)特定的網(wǎng)絡(luò)資源，從而達(dá)到對(duì)訪問(wèn)進(jìn)行控制的目的。簡(jiǎn)而言之，ACL可以過(guò)濾網(wǎng)絡(luò)中的流量，控制訪問(wèn)的一種網(wǎng)絡(luò)技術(shù)手段。ACL技術(shù)用在了核心交換機(jī)的SW0上面，不允許學(xué)生公寓區(qū)訪問(wèn)行政區(qū)，其它的都可以，具體配置如下：interface Vlan4ip address ip accessgroup 100 outaccesslist 100 deny ip accesslist 100 permit ip any any第六章 網(wǎng)絡(luò)系統(tǒng)的測(cè)試前面幾個(gè)章節(jié)中，我們對(duì)如何設(shè)計(jì)一個(gè)較為完整的校園網(wǎng)網(wǎng)絡(luò)進(jìn)行了詳細(xì)的介紹。當(dāng)校園網(wǎng)初具規(guī)模后，還應(yīng)該對(duì)校園網(wǎng)的整體運(yùn)行情況做一下細(xì)致的測(cè)試和評(píng)估。在這里我們通過(guò)ping、tracert、arp等網(wǎng)絡(luò)命令，來(lái)觀察機(jī)器的連通性和數(shù)據(jù)包的轉(zhuǎn)發(fā)路徑。為了說(shuō)明問(wèn)題。 測(cè)試不同vlan之間的通信圖通過(guò)測(cè)試我們可以清晰的看到，不同的vlan之間的數(shù)據(jù)包轉(zhuǎn)發(fā)是沒(méi)有問(wèn)題的。圖622測(cè)試到服務(wù)器所走的路徑圖， 測(cè)試DNS的解析圖通過(guò)測(cè)試證明DNS解析正常。 ， ： 學(xué)生公寓區(qū)訪問(wèn)行政區(qū)圖 辦公區(qū)訪問(wèn)行政區(qū)圖通過(guò)測(cè)試可知學(xué)生公寓區(qū)不能訪問(wèn)行政區(qū)，辦公區(qū)可以訪問(wèn)行政區(qū)，說(shuō)明ACL配置正確。6．測(cè)試無(wú)線局域網(wǎng)能否訪問(wèn)內(nèi)網(wǎng)和外網(wǎng)的WWW服務(wù)器， 。 無(wú)線網(wǎng)主機(jī)訪問(wèn)內(nèi)網(wǎng)WWW圖7．測(cè)試主機(jī)能否遠(yuǎn)程管理接入外網(wǎng)的路由器， 主機(jī)對(duì)路由器的遠(yuǎn)程管理經(jīng)過(guò)用不同的協(xié)議和路徑的測(cè)試，我們發(fā)現(xiàn)，這次的網(wǎng)絡(luò)設(shè)計(jì)是正常的，但是這僅僅是基本的構(gòu)架，如果要設(shè)計(jì)出較完善的網(wǎng)絡(luò)，還需要更加詳細(xì)的配置。結(jié) 論本畢業(yè)設(shè)計(jì)從校園網(wǎng)的建設(shè)思想、目標(biāo)、可以選用的網(wǎng)絡(luò)技術(shù)以及對(duì)絡(luò)設(shè)備的介紹和選擇等多方面的論述，使我們對(duì)校園網(wǎng)建設(shè)工程有了一個(gè)比較深入的了解，校園網(wǎng)絡(luò)建設(shè)作為一項(xiàng)重要的系統(tǒng)工程，它的所用到的各種技術(shù)是多方面的，即有網(wǎng)絡(luò)技術(shù)、工程施工技術(shù)，也有管理制度等各個(gè)方面的知識(shí)。網(wǎng)絡(luò)技術(shù)的發(fā)展是永無(wú)止境的，在前進(jìn)的過(guò)程中必將有更多的知識(shí)需要我們?nèi)W(xué)習(xí)與研究，并能將其應(yīng)用到實(shí)際的網(wǎng)絡(luò)工程建設(shè)之中。參 考 文 獻(xiàn)[1]劉小輝主編：《網(wǎng)絡(luò)硬件完全手冊(cè)》，重慶大學(xué)出版社，2002年5月[2]張公忠主編：《現(xiàn)代網(wǎng)絡(luò)技術(shù)教程》，電子工業(yè)出版社，2000年1月[3]譚珂、全惠民編著：《局域網(wǎng)組建與管理實(shí)手冊(cè)》，中國(guó)青年出版社，2003年2月[4]劉正勇編著：《校園網(wǎng)系統(tǒng)集成技術(shù)與應(yīng)用》，清華大學(xué)出版社，2002年6月[5]戴雄 編著：《計(jì)算機(jī)網(wǎng)絡(luò)》，中華人事出版社，2001年1月。[6]徐鋒、楊錦川 編著：《攻克網(wǎng)絡(luò)》，重慶出版社，2000年11月[7] Todd Lammle（美國(guó)：拉默爾）編著：《CCNA學(xué)習(xí)指南》，電子工業(yè)出版社，2008年6月致 謝由于校園網(wǎng)功能齊全，技術(shù)含量高，接觸面廣，在網(wǎng)絡(luò)設(shè)計(jì)、規(guī)劃和建設(shè)中都非常復(fù)雜，在論述中不可能面面具到，同時(shí)也由于本人的知識(shí)水平有限，文中的不足和錯(cuò)誤在所難免，敬請(qǐng)各位老師多多指點(diǎn)和更正。本設(shè)計(jì)是在湖南科技職業(yè)學(xué)院楊夏老師的指導(dǎo)下完成的，還得到了多位老師的指點(diǎn)與幫助，我在此對(duì)傳授我知識(shí)的各位老師表示崇高的敬意和誠(chéng)摯的謝意。畢業(yè)設(shè)計(jì)論文答辯成績(jī)?cè)u(píng)定 專(zhuān)業(yè)畢業(yè)設(shè)計(jì)論文第 答辯委員會(huì)于 年 月 日審查了 班級(jí) 學(xué)生的畢業(yè)設(shè)計(jì)論文。設(shè)計(jì)論文題目：計(jì)算機(jī)局域網(wǎng)組建與互連畢業(yè)設(shè)計(jì)論文設(shè)計(jì)論文說(shuō)明書(shū)共 頁(yè)，設(shè)計(jì)圖紙 張。畢業(yè)設(shè)計(jì)論文答辯委員會(huì)意見(jiàn)：成績(jī)： 專(zhuān)業(yè)畢業(yè)設(shè)計(jì)論文答辯委員會(huì)主任委員： （簽