【導(dǎo)讀】水平、研究性大學(xué)跨進(jìn)的必然選擇，高校校園網(wǎng)網(wǎng)絡(luò)系統(tǒng)是一個(gè)非常龐大而復(fù)雜的系統(tǒng)，且，能夠使教育、教學(xué)、科研三位一體，提高教育教學(xué)質(zhì)量。提供理論依據(jù)和實(shí)踐指導(dǎo)。高校校園網(wǎng)的網(wǎng)絡(luò)建設(shè)與網(wǎng)絡(luò)技術(shù)發(fā)展幾乎是同步進(jìn)行的。求,可以利用萬兆以太網(wǎng)的校園網(wǎng)組網(wǎng)技術(shù)。構(gòu)建校園網(wǎng)骨干網(wǎng)，實(shí)現(xiàn)各個(gè)分校區(qū)和本。多媒體教學(xué)、數(shù)字圖書館等業(yè)務(wù)的開展。高校不僅承擔(dān)著教書育。人的工作，更承擔(dān)著部分國家級的科研任務(wù)，同時(shí)考慮未來幾年網(wǎng)絡(luò)平臺的發(fā)展趨勢,素，網(wǎng)絡(luò)技術(shù)的應(yīng)用對高校的教學(xué)手段和教育管理體系的促進(jìn)作用是巨大的。校園網(wǎng)建設(shè)是高校建設(shè)的重要組成部分，建設(shè)高質(zhì)量的局域網(wǎng)，才能

　　

【正文】 包 括下列信息：網(wǎng)站驗(yàn)證：介紹符合您驗(yàn)證用戶網(wǎng)站訪問要求的身份驗(yàn)證方法。 FTP 站點(diǎn)身份驗(yàn)證：介紹符合您驗(yàn)證用戶 FTP 站點(diǎn)訪問要求的身份驗(yàn)證方法。） 訪問控制技術(shù)：對信息的權(quán)限的控制，阻止了非授權(quán)用戶進(jìn)行的信息的瀏覽，修改甚至破壞。適當(dāng)?shù)乜刂茖?Web 和 FTP 內(nèi)容的訪問是安全運(yùn)行 Web 服務(wù)器的關(guān)鍵。使用 Windows 和 IIS 中的安全功能，您可以有效地控制用戶訪問您 Web 和 FTP 內(nèi)容的方式?？梢钥刂贫嗉壴L問，從整個(gè)網(wǎng)站和 FTP 站點(diǎn)到單獨(dú)的文件。每個(gè)帳戶均被授予用戶特權(quán)和權(quán)限。用戶特權(quán)是指在計(jì)算機(jī)或網(wǎng)絡(luò)上執(zhí)行特定操作 的權(quán)力。權(quán)限是與對象（如文件或文件夾）關(guān)聯(lián)的規(guī)則，用于控制哪些帳戶可以獲得對象的訪問權(quán)限。 防火墻技術(shù)：要主的技術(shù)有數(shù)據(jù)包過濾技術(shù)、應(yīng)用網(wǎng)關(guān)和代理服務(wù)等；防火墻體系結(jié)構(gòu)在網(wǎng)絡(luò)中的設(shè)置應(yīng)用。例如屏蔽子網(wǎng)型防火墻。它是由兩個(gè)包過濾路由器和兩個(gè)堡壘機(jī)組成。堡壘主機(jī)和服務(wù)器放置在一個(gè)處于內(nèi)外網(wǎng)的小型網(wǎng)絡(luò)（ Dmz 安全 區(qū)）中。連接外網(wǎng)的包過濾路由器主要用來防止外網(wǎng)的攻擊。并管理外網(wǎng)對 dmz 的訪問。第二給個(gè)包過濾路由器是它置接受源于堡壘主機(jī)的數(shù)據(jù)，負(fù)責(zé)管理Ｄ mz 和內(nèi)網(wǎng)之間的訪問。這樣對外網(wǎng)，內(nèi)部網(wǎng)是不可見的。同理對于內(nèi) 網(wǎng)外網(wǎng)是不可見的，內(nèi)網(wǎng)眼通過代理服務(wù)才能訪問外網(wǎng)。對于入侵者必須通過外部路由器和堡壘主機(jī)，內(nèi)部路由器才能入侵到內(nèi)網(wǎng)中。到目前可以認(rèn)為是最安全的。 安全審計(jì)技術(shù)：安全策略的訂制和授權(quán)信息的驗(yàn)證技術(shù)是該技術(shù)的重點(diǎn)部分?？梢允褂冒踩珜徍思夹g(shù)跟蹤用戶活動并檢測對 NTFS 目錄和文件的未經(jīng)授權(quán)的訪問。（可供審核的活動包括：用戶成功和失敗的登錄。用戶試圖訪問受到限制的帳戶。用戶試圖執(zhí)行受到限制的命令。 ） 一 NAT 網(wǎng)絡(luò)地址轉(zhuǎn)換 (NAT,Network Address Translation)被廣泛應(yīng)用于各種類型Inter 接入方式和各種類型的網(wǎng)絡(luò)中。原因很簡單， NAT 不僅完美地解決了 lP地址不足的問題，而且還能夠有效地避免來自網(wǎng)絡(luò)外部的攻擊，隱藏并保護(hù)網(wǎng)絡(luò)內(nèi)部的計(jì)算機(jī)。雖然 NAT 可以借助于某些代理服務(wù)器來實(shí)現(xiàn)，但考慮到運(yùn)算成本和網(wǎng)絡(luò)性能，很多時(shí)候都是在路由器上來實(shí)現(xiàn)的。 隨著接入 Inter 的計(jì)算機(jī)數(shù)量的不斷猛增， IP 地址資源也就愈加顯得捉襟校園局域網(wǎng)的組建 24 見肘。事實(shí)上，除了中國教育和科研計(jì)算機(jī)網(wǎng) (CERNET)外，一般用戶幾乎申請不到整段的 C 類 IP地址。在其他 ISP 那里，即使是擁有幾百臺計(jì)算機(jī)的大型局域網(wǎng)用戶，當(dāng)他們申請 IP 地址時(shí)，所分配的地址也不過只有幾個(gè)或十幾個(gè) IP 地址。顯然，這樣少的 IP地址根本無法滿足網(wǎng)絡(luò)用戶的需求，于是也就產(chǎn)生了 NAT 技術(shù) 。 NAT的實(shí)現(xiàn)方式有三種，即 靜態(tài)轉(zhuǎn)換 Static Nat、 動態(tài)轉(zhuǎn)換 Dynamic Nat 和 端口多路復(fù)用 OverLoad。 靜態(tài)轉(zhuǎn)換 是指將內(nèi)部網(wǎng)絡(luò)的私有 IP 地址轉(zhuǎn)換為公有 IP地址， IP 地址對是一對一的，是一成不變的，某個(gè)私有 IP地址只轉(zhuǎn)換為某個(gè)公有 IP地址。借助于靜態(tài)轉(zhuǎn)換，可以實(shí)現(xiàn)外部網(wǎng)絡(luò)對內(nèi)部網(wǎng)絡(luò)中某些特定設(shè)備 (如服務(wù)器 )的訪問。 動態(tài)轉(zhuǎn)換 是指將內(nèi)部網(wǎng)絡(luò)的私有 IP 地址轉(zhuǎn)換為公 用 IP地址時(shí)， IP 地址對是不確定的，而是隨機(jī)的，所有被授權(quán)訪問上 Inter 的私有 IP 地址可隨機(jī)轉(zhuǎn)換為任何指定的合法 IP地址。也就是說，只要指定哪些內(nèi)部地址可以進(jìn)行轉(zhuǎn)換，以及用哪些合法地址作為外部地址時(shí)，就可以進(jìn)行動態(tài)轉(zhuǎn)換。動態(tài)轉(zhuǎn)換可以使用多個(gè)合法外部地址集。當(dāng) ISP 提供的合法 IP地址略少于網(wǎng)絡(luò)內(nèi)部的計(jì)算機(jī)數(shù)量時(shí)。可以采用動態(tài)轉(zhuǎn)換的方式。 端口多路復(fù)用 (Port address Translation,PAT)是指改變外出數(shù)據(jù)包的源端口并進(jìn)行端口轉(zhuǎn)換，即端口地址轉(zhuǎn)換 (PAT， Port Address Translation).采用端口多路復(fù)用方式。內(nèi)部網(wǎng)絡(luò)的所有主機(jī)均可共享一個(gè)合法外部 IP地址實(shí)現(xiàn)對 Inter的訪問，從而可以最大限度地節(jié)約 IP地址資源。同時(shí)，又可隱藏網(wǎng)絡(luò)內(nèi)部的所有主機(jī)，有效避免來自 inter 的攻擊。因此，目前網(wǎng)絡(luò)中應(yīng)用最多的就是端口多路復(fù)用方式。 (1)外網(wǎng)主機(jī)訪問內(nèi)網(wǎng)服務(wù)器 ,采用的是靜態(tài)轉(zhuǎn)換。 具體 代碼如下： ip nat inside source static (2)實(shí)現(xiàn)局域網(wǎng)訪問互聯(lián)網(wǎng)，采用的是端口復(fù)用動態(tài)地址轉(zhuǎn)換 ，當(dāng)內(nèi) 部多個(gè)私有 ip 地址對應(yīng)外部很少的公網(wǎng)地址時(shí)所使用的，它可以根據(jù)端口的不同來區(qū)分不同的 服務(wù)和對應(yīng)的內(nèi)部地址。在這次的課題設(shè)計(jì)中局域網(wǎng)訪問外網(wǎng)就是采用這種技術(shù) ，具體代碼如下： Router(config)int f 0/1 Router(configif)ip nat inside Router(configif)exit Router(config)int s 0/1/0 Router(configif)ip nat outside Router(configif)exit Router(config)ip nat pool test mask 校園局域網(wǎng)的組建 25 Router(config)accesslist 10 permit Router(config)accesslist 10 permit Router(config)accesslist 10 permit Router(config)accesslist 10 permit Router(config)accesslist 10 permit Router(config)accesslist 10 permit Router(config)accesslist 10 permit Router(config)accesslist 10 permit Router(config)accesslist 10 permit Router(config)accesslist 10 permit Router(config)ip nat inside source list 10 pool test overload 二 ACL 訪問控制列表（ Access Control List， ACL） 是路由器和交換機(jī)接口的指令列表，用來控制端口進(jìn)出的數(shù)據(jù)包。 ACL 適用于所有的被路由協(xié)議，如 IP、 IPX、 AppleTalk等。這張表中包含了匹配關(guān)系、條件和查詢語句，表只是一個(gè)框架結(jié)構(gòu)，其目的是為了對某種訪問進(jìn)行控制。 信息點(diǎn)間通信，內(nèi)外網(wǎng)絡(luò)的通信都是企業(yè)網(wǎng)絡(luò)中必不可少的業(yè)務(wù)需求，但是為了保證內(nèi)網(wǎng)的安全性，需要通過安全策略來保障非授權(quán)用戶只能訪問特定的網(wǎng)絡(luò)資源，從而達(dá)到對訪問進(jìn)行控制的目的。簡而言之， ACL 可以過濾網(wǎng)絡(luò)中的流量，控制訪問的一種網(wǎng)絡(luò)技術(shù)手段。 ACL 技術(shù)用在了核心交換機(jī)的 SW0 上面，不允許學(xué) 生公寓區(qū)訪問行政區(qū)，其它的都可以，具體配置如下： interface Vlan4 ip address ip accessgroup 100 out accesslist 100 deny ip accesslist 100 permit ip any any 第六章 網(wǎng)絡(luò)系統(tǒng)的測試 前面幾 個(gè)章 節(jié)中，我們對如何設(shè)計(jì)一個(gè)較為完整的校園網(wǎng)網(wǎng)絡(luò)進(jìn)行了詳細(xì)的介紹。當(dāng)校 園網(wǎng)初具規(guī)模后，還應(yīng)該對校園網(wǎng)的整體運(yùn)行情況做一下細(xì)致的測試和評估。 在這里我們通過 ping、 tracert、 arp 等網(wǎng)絡(luò)命令，來觀察機(jī)器的連通性和數(shù)據(jù)包校園局域網(wǎng)的組建 26 的轉(zhuǎn)發(fā)路徑。為了說明問題，我們就用一個(gè)機(jī)器 作為代表來進(jìn)行測設(shè)。 vlan 之間的通信，如圖 61 所示。 圖 61 測試不同 vlan之間的通信 圖 通過測試我們可以清晰的看到，不同的 vlan 之間的數(shù)據(jù)包轉(zhuǎn)發(fā)是沒有問題的。 ，如圖 62 所示。 校園局域網(wǎng)的組建 27 圖 62測試到服務(wù)器所走的路徑 圖 DNS 解析是否正常，如圖 63 所示 校園局域網(wǎng)的組建 28 圖 63 測試 DNS的解析 圖 通過測試證明 DNS 解析正常 。 NAT 網(wǎng)絡(luò)地址轉(zhuǎn)換是否正常，如圖 64 所示。 校園局域網(wǎng)的組建 29 圖 64測試內(nèi)網(wǎng)主機(jī)訪問外網(wǎng) WWW服務(wù)器 圖 校園局域網(wǎng)的組建 30 圖 65測試外網(wǎng)主機(jī)訪問內(nèi)網(wǎng) WWW服務(wù)器 圖 ACL 是否正確 用學(xué)生公寓區(qū)的一臺 IP 地址為 ， 行政區(qū) PC 的 IP 為 分別訪問財(cái)務(wù)處 ，如 下圖所示： 校園局域網(wǎng)的組建 31 圖 66 學(xué)生公寓 區(qū) 訪問行政區(qū) 圖 校園局域網(wǎng)的組建 32 圖 67 辦公區(qū)訪問行政區(qū) 圖 通過測試可知學(xué) 生公寓區(qū)不能訪問行政區(qū)，辦公區(qū)可以訪問行政區(qū)，說明 ACL 配置正確 。 6．測試無線局域網(wǎng)能否訪問內(nèi)網(wǎng)和外網(wǎng)的 WWW 服務(wù)器 ，如 下 圖所示。 校園局域網(wǎng)的組建 33 圖 68 無線網(wǎng)主機(jī)訪問內(nèi)網(wǎng) WWW圖 校園局域網(wǎng)的組建 34 圖 69無線網(wǎng)主機(jī)訪問外網(wǎng) WWW圖 7．測試主機(jī)能否遠(yuǎn)程管理接入外網(wǎng)的路由器，如圖 610 所示 校園局域網(wǎng)的組建 35 圖 610 主機(jī)對路由器的遠(yuǎn)程管理 經(jīng)過用不同的協(xié)議和路徑的測試，我們發(fā)現(xiàn)，這次的網(wǎng)絡(luò)設(shè)計(jì)是正常的，但是這僅僅是基本的構(gòu)架，如果要設(shè)計(jì)出較完善的網(wǎng)絡(luò)，還需要更加詳細(xì)的配置。 結(jié)論及尚存在的問題 一個(gè)設(shè)計(jì)方案的好壞，特別是校園組網(wǎng) 。與設(shè)計(jì)人員對其電腦硬件和設(shè)備的方方面面地掌握程度息息相關(guān)。在本組網(wǎng)過程中，由于本人對網(wǎng)絡(luò)知識的掌握有限，又是完全獨(dú)立完成，可以說整個(gè)的組網(wǎng)過程是一邊摸索一邊實(shí)踐出來的。但令人高興的是，通過這樣一個(gè)邊學(xué)習(xí)邊應(yīng)用的過程，本人完成了校園網(wǎng)的組網(wǎng)的規(guī)劃工作。本人考慮到可行性因素，在寫這篇論文中，在網(wǎng)絡(luò)中搜索了大量的資料和閱讀了大量的書籍資料，考慮了方面齊全，收獲也甚多。 但總的來說，該方案仍然存在許多不足之處。如：受開發(fā)條件和時(shí)間的限制，本方案校園網(wǎng)絡(luò)的組建模式較簡單，涉及的內(nèi)容深度和一些細(xì)節(jié)的東西也許欠缺。對網(wǎng) 絡(luò)安全方面考慮較少，尤其是局域網(wǎng)的安全性，本人專業(yè)能力的有限。只是粗略的涉及。 校園局域網(wǎng)的組建 36 這些都是需要完善的地方，該組網(wǎng)離實(shí)際還是有相當(dāng)?shù)木嚯x，需要改進(jìn)，需要不斷地補(bǔ)充和完善。通過本次畢業(yè)設(shè)計(jì)我學(xué)到了不少新的東西，也發(fā)現(xiàn)了大量的問題，有些在設(shè)計(jì)過程中已經(jīng)解決，有些還有待今后慢慢學(xué)習(xí)，如防火墻的配置和設(shè)置方面，網(wǎng)絡(luò)安全方面?？偟膩碚f，只要學(xué)習(xí)就會有更多的問題，有更多的難點(diǎn)，但也會有更多的收獲。 參考文獻(xiàn) [1] 斯桃枝 . 局域網(wǎng)技術(shù)與局域網(wǎng)組建 .北京 :人民郵電出版社， 20214. [2] 思科網(wǎng)絡(luò)技術(shù)教程（ CCNA Discovery：）北京：人民郵電出版社， 20217 [3] 楊威 賈祥福 楊陟卓 . 局域網(wǎng)組建、管理與維護(hù) .北京 :人民郵電出版社， 20212. [4] 張暉 楊云 . 計(jì)算機(jī)網(wǎng)絡(luò)實(shí)訓(xùn)教程 .北京 :人民郵電出版社， 202111. [5] 張基溫 . 計(jì)算機(jī)網(wǎng)絡(luò)技術(shù)（第 2 版） .北京 :高等教育出版社， 20219. [6] 杜煜 姚鴻 計(jì)算機(jī)網(wǎng)絡(luò)基礎(chǔ) 人民郵電出版社， 2021 [7] 吳獻(xiàn)文 計(jì)算機(jī)網(wǎng)絡(luò)安全基礎(chǔ)與技能訓(xùn)練 西安電子科技大學(xué)出版社，2021 [8] 張浩軍 計(jì)算機(jī)網(wǎng)絡(luò)操作系統(tǒng) Windows Server 2021 管理與配置 中國水利水電出版社 2021