【導讀】水平、研究性大學跨進的必然選擇，高校校園網(wǎng)網(wǎng)絡系統(tǒng)是一個非常龐大而復雜的系統(tǒng)，且，能夠使教育、教學、科研三位一體，提高教育教學質(zhì)量。提供理論依據(jù)和實踐指導。高校校園網(wǎng)的網(wǎng)絡建設與網(wǎng)絡技術(shù)發(fā)展幾乎是同步進行的。求,可以利用萬兆以太網(wǎng)的校園網(wǎng)組網(wǎng)技術(shù)。構(gòu)建校園網(wǎng)骨干網(wǎng)，實現(xiàn)各個分校區(qū)和本。多媒體教學、數(shù)字圖書館等業(yè)務的開展。高校不僅承擔著教書育。人的工作，更承擔著部分國家級的科研任務，同時考慮未來幾年網(wǎng)絡平臺的發(fā)展趨勢,素，網(wǎng)絡技術(shù)的應用對高校的教學手段和教育管理體系的促進作用是巨大的。校園網(wǎng)建設是高校建設的重要組成部分，建設高質(zhì)量的局域網(wǎng)，才能

　　

【正文】 包 括下列信息：網(wǎng)站驗證：介紹符合您驗證用戶網(wǎng)站訪問要求的身份驗證方法。 FTP 站點身份驗證：介紹符合您驗證用戶 FTP 站點訪問要求的身份驗證方法。） 訪問控制技術(shù)：對信息的權(quán)限的控制，阻止了非授權(quán)用戶進行的信息的瀏覽，修改甚至破壞。適當?shù)乜刂茖?Web 和 FTP 內(nèi)容的訪問是安全運行 Web 服務器的關(guān)鍵。使用 Windows 和 IIS 中的安全功能，您可以有效地控制用戶訪問您 Web 和 FTP 內(nèi)容的方式?？梢钥刂贫嗉壴L問，從整個網(wǎng)站和 FTP 站點到單獨的文件。每個帳戶均被授予用戶特權(quán)和權(quán)限。用戶特權(quán)是指在計算機或網(wǎng)絡上執(zhí)行特定操作 的權(quán)力。權(quán)限是與對象（如文件或文件夾）關(guān)聯(lián)的規(guī)則，用于控制哪些帳戶可以獲得對象的訪問權(quán)限。 防火墻技術(shù)：要主的技術(shù)有數(shù)據(jù)包過濾技術(shù)、應用網(wǎng)關(guān)和代理服務等；防火墻體系結(jié)構(gòu)在網(wǎng)絡中的設置應用。例如屏蔽子網(wǎng)型防火墻。它是由兩個包過濾路由器和兩個堡壘機組成。堡壘主機和服務器放置在一個處于內(nèi)外網(wǎng)的小型網(wǎng)絡（ Dmz 安全 區(qū)）中。連接外網(wǎng)的包過濾路由器主要用來防止外網(wǎng)的攻擊。并管理外網(wǎng)對 dmz 的訪問。第二給個包過濾路由器是它置接受源于堡壘主機的數(shù)據(jù)，負責管理Ｄ mz 和內(nèi)網(wǎng)之間的訪問。這樣對外網(wǎng)，內(nèi)部網(wǎng)是不可見的。同理對于內(nèi) 網(wǎng)外網(wǎng)是不可見的，內(nèi)網(wǎng)眼通過代理服務才能訪問外網(wǎng)。對于入侵者必須通過外部路由器和堡壘主機，內(nèi)部路由器才能入侵到內(nèi)網(wǎng)中。到目前可以認為是最安全的。 安全審計技術(shù)：安全策略的訂制和授權(quán)信息的驗證技術(shù)是該技術(shù)的重點部分。可以使用安全審核技術(shù)跟蹤用戶活動并檢測對 NTFS 目錄和文件的未經(jīng)授權(quán)的訪問。（可供審核的活動包括：用戶成功和失敗的登錄。用戶試圖訪問受到限制的帳戶。用戶試圖執(zhí)行受到限制的命令。 ） 一 NAT 網(wǎng)絡地址轉(zhuǎn)換 (NAT,Network Address Translation)被廣泛應用于各種類型Inter 接入方式和各種類型的網(wǎng)絡中。原因很簡單， NAT 不僅完美地解決了 lP地址不足的問題，而且還能夠有效地避免來自網(wǎng)絡外部的攻擊，隱藏并保護網(wǎng)絡內(nèi)部的計算機。雖然 NAT 可以借助于某些代理服務器來實現(xiàn)，但考慮到運算成本和網(wǎng)絡性能，很多時候都是在路由器上來實現(xiàn)的。 隨著接入 Inter 的計算機數(shù)量的不斷猛增， IP 地址資源也就愈加顯得捉襟校園局域網(wǎng)的組建 24 見肘。事實上，除了中國教育和科研計算機網(wǎng) (CERNET)外，一般用戶幾乎申請不到整段的 C 類 IP地址。在其他 ISP 那里，即使是擁有幾百臺計算機的大型局域網(wǎng)用戶，當他們申請 IP 地址時，所分配的地址也不過只有幾個或十幾個 IP 地址。顯然，這樣少的 IP地址根本無法滿足網(wǎng)絡用戶的需求，于是也就產(chǎn)生了 NAT 技術(shù) 。 NAT的實現(xiàn)方式有三種，即 靜態(tài)轉(zhuǎn)換 Static Nat、 動態(tài)轉(zhuǎn)換 Dynamic Nat 和 端口多路復用 OverLoad。 靜態(tài)轉(zhuǎn)換 是指將內(nèi)部網(wǎng)絡的私有 IP 地址轉(zhuǎn)換為公有 IP地址， IP 地址對是一對一的，是一成不變的，某個私有 IP地址只轉(zhuǎn)換為某個公有 IP地址。借助于靜態(tài)轉(zhuǎn)換，可以實現(xiàn)外部網(wǎng)絡對內(nèi)部網(wǎng)絡中某些特定設備 (如服務器 )的訪問。 動態(tài)轉(zhuǎn)換 是指將內(nèi)部網(wǎng)絡的私有 IP 地址轉(zhuǎn)換為公 用 IP地址時， IP 地址對是不確定的，而是隨機的，所有被授權(quán)訪問上 Inter 的私有 IP 地址可隨機轉(zhuǎn)換為任何指定的合法 IP地址。也就是說，只要指定哪些內(nèi)部地址可以進行轉(zhuǎn)換，以及用哪些合法地址作為外部地址時，就可以進行動態(tài)轉(zhuǎn)換。動態(tài)轉(zhuǎn)換可以使用多個合法外部地址集。當 ISP 提供的合法 IP地址略少于網(wǎng)絡內(nèi)部的計算機數(shù)量時?？梢圆捎脛討B(tài)轉(zhuǎn)換的方式。 端口多路復用 (Port address Translation,PAT)是指改變外出數(shù)據(jù)包的源端口并進行端口轉(zhuǎn)換，即端口地址轉(zhuǎn)換 (PAT， Port Address Translation).采用端口多路復用方式。內(nèi)部網(wǎng)絡的所有主機均可共享一個合法外部 IP地址實現(xiàn)對 Inter的訪問，從而可以最大限度地節(jié)約 IP地址資源。同時，又可隱藏網(wǎng)絡內(nèi)部的所有主機，有效避免來自 inter 的攻擊。因此，目前網(wǎng)絡中應用最多的就是端口多路復用方式。 (1)外網(wǎng)主機訪問內(nèi)網(wǎng)服務器 ,采用的是靜態(tài)轉(zhuǎn)換。 具體 代碼如下： ip nat inside source static (2)實現(xiàn)局域網(wǎng)訪問互聯(lián)網(wǎng)，采用的是端口復用動態(tài)地址轉(zhuǎn)換 ，當內(nèi) 部多個私有 ip 地址對應外部很少的公網(wǎng)地址時所使用的，它可以根據(jù)端口的不同來區(qū)分不同的 服務和對應的內(nèi)部地址。在這次的課題設計中局域網(wǎng)訪問外網(wǎng)就是采用這種技術(shù) ，具體代碼如下： Router(config)int f 0/1 Router(configif)ip nat inside Router(configif)exit Router(config)int s 0/1/0 Router(configif)ip nat outside Router(configif)exit Router(config)ip nat pool test mask 校園局域網(wǎng)的組建 25 Router(config)accesslist 10 permit Router(config)accesslist 10 permit Router(config)accesslist 10 permit Router(config)accesslist 10 permit Router(config)accesslist 10 permit Router(config)accesslist 10 permit Router(config)accesslist 10 permit Router(config)accesslist 10 permit Router(config)accesslist 10 permit Router(config)accesslist 10 permit Router(config)ip nat inside source list 10 pool test overload 二 ACL 訪問控制列表（ Access Control List， ACL） 是路由器和交換機接口的指令列表，用來控制端口進出的數(shù)據(jù)包。 ACL 適用于所有的被路由協(xié)議，如 IP、 IPX、 AppleTalk等。這張表中包含了匹配關(guān)系、條件和查詢語句，表只是一個框架結(jié)構(gòu)，其目的是為了對某種訪問進行控制。 信息點間通信，內(nèi)外網(wǎng)絡的通信都是企業(yè)網(wǎng)絡中必不可少的業(yè)務需求，但是為了保證內(nèi)網(wǎng)的安全性，需要通過安全策略來保障非授權(quán)用戶只能訪問特定的網(wǎng)絡資源，從而達到對訪問進行控制的目的。簡而言之， ACL 可以過濾網(wǎng)絡中的流量，控制訪問的一種網(wǎng)絡技術(shù)手段。 ACL 技術(shù)用在了核心交換機的 SW0 上面，不允許學 生公寓區(qū)訪問行政區(qū)，其它的都可以，具體配置如下： interface Vlan4 ip address ip accessgroup 100 out accesslist 100 deny ip accesslist 100 permit ip any any 第六章 網(wǎng)絡系統(tǒng)的測試 前面幾 個章 節(jié)中，我們對如何設計一個較為完整的校園網(wǎng)網(wǎng)絡進行了詳細的介紹。當校 園網(wǎng)初具規(guī)模后，還應該對校園網(wǎng)的整體運行情況做一下細致的測試和評估。 在這里我們通過 ping、 tracert、 arp 等網(wǎng)絡命令，來觀察機器的連通性和數(shù)據(jù)包校園局域網(wǎng)的組建 26 的轉(zhuǎn)發(fā)路徑。為了說明問題，我們就用一個機器 作為代表來進行測設。 vlan 之間的通信，如圖 61 所示。 圖 61 測試不同 vlan之間的通信 圖 通過測試我們可以清晰的看到，不同的 vlan 之間的數(shù)據(jù)包轉(zhuǎn)發(fā)是沒有問題的。 ，如圖 62 所示。 校園局域網(wǎng)的組建 27 圖 62測試到服務器所走的路徑 圖 DNS 解析是否正常，如圖 63 所示 校園局域網(wǎng)的組建 28 圖 63 測試 DNS的解析 圖 通過測試證明 DNS 解析正常 。 NAT 網(wǎng)絡地址轉(zhuǎn)換是否正常，如圖 64 所示。 校園局域網(wǎng)的組建 29 圖 64測試內(nèi)網(wǎng)主機訪問外網(wǎng) WWW服務器 圖 校園局域網(wǎng)的組建 30 圖 65測試外網(wǎng)主機訪問內(nèi)網(wǎng) WWW服務器 圖 ACL 是否正確 用學生公寓區(qū)的一臺 IP 地址為 ， 行政區(qū) PC 的 IP 為 分別訪問財務處 ，如 下圖所示： 校園局域網(wǎng)的組建 31 圖 66 學生公寓 區(qū) 訪問行政區(qū) 圖 校園局域網(wǎng)的組建 32 圖 67 辦公區(qū)訪問行政區(qū) 圖 通過測試可知學 生公寓區(qū)不能訪問行政區(qū)，辦公區(qū)可以訪問行政區(qū)，說明 ACL 配置正確 。 6．測試無線局域網(wǎng)能否訪問內(nèi)網(wǎng)和外網(wǎng)的 WWW 服務器 ，如 下 圖所示。 校園局域網(wǎng)的組建 33 圖 68 無線網(wǎng)主機訪問內(nèi)網(wǎng) WWW圖 校園局域網(wǎng)的組建 34 圖 69無線網(wǎng)主機訪問外網(wǎng) WWW圖 7．測試主機能否遠程管理接入外網(wǎng)的路由器，如圖 610 所示 校園局域網(wǎng)的組建 35 圖 610 主機對路由器的遠程管理 經(jīng)過用不同的協(xié)議和路徑的測試，我們發(fā)現(xiàn)，這次的網(wǎng)絡設計是正常的，但是這僅僅是基本的構(gòu)架，如果要設計出較完善的網(wǎng)絡，還需要更加詳細的配置。 結(jié)論及尚存在的問題 一個設計方案的好壞，特別是校園組網(wǎng) 。與設計人員對其電腦硬件和設備的方方面面地掌握程度息息相關(guān)。在本組網(wǎng)過程中，由于本人對網(wǎng)絡知識的掌握有限，又是完全獨立完成，可以說整個的組網(wǎng)過程是一邊摸索一邊實踐出來的。但令人高興的是，通過這樣一個邊學習邊應用的過程，本人完成了校園網(wǎng)的組網(wǎng)的規(guī)劃工作。本人考慮到可行性因素，在寫這篇論文中，在網(wǎng)絡中搜索了大量的資料和閱讀了大量的書籍資料，考慮了方面齊全，收獲也甚多。 但總的來說，該方案仍然存在許多不足之處。如：受開發(fā)條件和時間的限制，本方案校園網(wǎng)絡的組建模式較簡單，涉及的內(nèi)容深度和一些細節(jié)的東西也許欠缺。對網(wǎng) 絡安全方面考慮較少，尤其是局域網(wǎng)的安全性，本人專業(yè)能力的有限。只是粗略的涉及。 校園局域網(wǎng)的組建 36 這些都是需要完善的地方，該組網(wǎng)離實際還是有相當?shù)木嚯x，需要改進，需要不斷地補充和完善。通過本次畢業(yè)設計我學到了不少新的東西，也發(fā)現(xiàn)了大量的問題，有些在設計過程中已經(jīng)解決，有些還有待今后慢慢學習，如防火墻的配置和設置方面，網(wǎng)絡安全方面?？偟膩碚f，只要學習就會有更多的問題，有更多的難點，但也會有更多的收獲。 參考文獻 [1] 斯桃枝 . 局域網(wǎng)技術(shù)與局域網(wǎng)組建 .北京 :人民郵電出版社， 20214. [2] 思科網(wǎng)絡技術(shù)教程（ CCNA Discovery：）北京：人民郵電出版社， 20217 [3] 楊威 賈祥福 楊陟卓 . 局域網(wǎng)組建、管理與維護 .北京 :人民郵電出版社， 20212. [4] 張暉 楊云 . 計算機網(wǎng)絡實訓教程 .北京 :人民郵電出版社， 202111. [5] 張基溫 . 計算機網(wǎng)絡技術(shù)（第 2 版） .北京 :高等教育出版社， 20219. [6] 杜煜 姚鴻 計算機網(wǎng)絡基礎(chǔ) 人民郵電出版社， 2021 [7] 吳獻文 計算機網(wǎng)絡安全基礎(chǔ)與技能訓練 西安電子科技大學出版社，2021 [8] 張浩軍 計算機網(wǎng)絡操作系統(tǒng) Windows Server 2021 管理與配置 中國水利水電出版社 2021