【導(dǎo)讀】本方案主要完成校園網(wǎng)絡(luò)的設(shè)計與實現(xiàn)。論文主要介紹校園網(wǎng)設(shè)計的需求分析，確立。建設(shè)校園網(wǎng)的目標(biāo)，依照標(biāo)準(zhǔn)的設(shè)計原則，設(shè)計出校園網(wǎng)絡(luò)的結(jié)構(gòu)及解決方案。建設(shè)一個高效安全的局域網(wǎng)并接入互聯(lián)網(wǎng)，校園網(wǎng)對外提供Web、FTP等數(shù)據(jù)服務(wù)，并且使每臺電腦都能夠訪問互聯(lián)網(wǎng)。采用Cisco的網(wǎng)絡(luò)設(shè)備，把校園網(wǎng)內(nèi)每個部門都設(shè)計。接入模塊、服務(wù)器模塊和遠(yuǎn)程訪問模塊。

　　

【正文】 定義允許進(jìn)行 NAT 的工作站的內(nèi)部局部 IP 地址范圍 ，如圖 5－ 27 所示： 圖 5－ 27 定義工作站的內(nèi)部局部 IP 地址范圍 3. 為服務(wù)器定義靜態(tài)地址轉(zhuǎn)換 ， 其他工作站定義復(fù)用地址轉(zhuǎn)換 。 如圖 5－ 28 所示： 圖 5－ 28 為服務(wù)器定義靜態(tài)地址轉(zhuǎn)換 及 為工作站定義復(fù)用地址轉(zhuǎn)換 配置 接入路由器 InterRouter 上的 ACL 路由器是外網(wǎng)進(jìn)入校園網(wǎng)內(nèi)網(wǎng)的第一道關(guān)卡，是網(wǎng)絡(luò)防御的前沿陣地。路由器上的訪問控制列表（ Access Control List， ACL）是保護(hù)內(nèi)網(wǎng)安全的有效手段。一個設(shè)計良好的訪問控制列表不僅可以起到控制網(wǎng)絡(luò)流量、流向的作用，還可以在不增加網(wǎng)絡(luò)系統(tǒng)軟、硬件投資的情況下完成一般軟、硬件防火墻產(chǎn)品的功 能。由于路由器介于 校園 內(nèi)網(wǎng)和外網(wǎng)之間，是外網(wǎng)與內(nèi)網(wǎng)進(jìn)行通信時的第一道屏障，所以即使在網(wǎng)絡(luò)系統(tǒng)安裝了防火墻 軟件 后，仍然有必要對路由器的訪問控制列表進(jìn)行縝密的設(shè)計，來對內(nèi)網(wǎng)包括防火墻本身實施保護(hù)。 在本設(shè)計中，針對服務(wù)器以及內(nèi)網(wǎng)工作站的安全 做了如下 ACL 的配置方案。 1． 屏蔽簡單網(wǎng)管協(xié)議，即 SNMP。 利用 SNMP協(xié)議，遠(yuǎn)程主機(jī)可以監(jiān)視、控制網(wǎng)絡(luò)上的其它網(wǎng)絡(luò)設(shè)備。它有兩種服務(wù)類型： SNMP 和 SNMPTRAP，因此需 屏蔽 SNMP。 如圖 5－ 29所示： 圖 5－ 29 屏蔽簡單網(wǎng)管協(xié)議 2． 對外屏蔽遠(yuǎn)程登錄協(xié)議 ， 即 tel 第五章 校園網(wǎng)絡(luò)整體解決方案 26 首先， tel 可以登錄到大多數(shù)網(wǎng)絡(luò)設(shè)備和服務(wù)器，并可以使用相關(guān)命令完全操縱它們 ； 其次， tel 是一種不安全的協(xié)議類型。用戶在使用 tel登錄網(wǎng)絡(luò)設(shè)備或服務(wù)器時所使用的用戶名和口令在網(wǎng)絡(luò)中是以明文傳輸?shù)模苋菀妆痪W(wǎng)絡(luò)上的非法協(xié)議分析設(shè)備截獲。這是極其危險的，因此必須加以屏蔽。 如圖 5－ 30所示 : 圖 5－ 30 對外屏蔽遠(yuǎn)程登錄協(xié)議 tel 3． 對外屏蔽其它不安全的協(xié)議或服務(wù) 這樣的協(xié)議主要有 SUNOS 的文件共享協(xié)議端口 2049，遠(yuǎn)程執(zhí)行 、遠(yuǎn)程登錄和遠(yuǎn)程命令端口 51 51 514，遠(yuǎn)程過程調(diào)用端口 111。 如圖 5－ 31 所示： 圖 5－ 31 對外屏蔽其它不安全的協(xié)議或服務(wù) 4． 針對 DoS 攻擊的設(shè)計 DoS 攻擊（ Denial of Service Attack，拒絕服務(wù)攻擊）是一種非常常見而且極具破壞力的攻擊手段，它可以導(dǎo)致服務(wù)器、網(wǎng)絡(luò)設(shè)備的正常服務(wù)進(jìn)程停止，嚴(yán)重時會導(dǎo)致服務(wù)器操作系統(tǒng)崩潰。 如圖 5－ 32 所示： 圖 5－ 32 屏蔽 DoS 攻擊 5． 保護(hù)路由器自身安全 27 只允許來自服務(wù)器群的 IP 地址訪問并配置路由器 。 如圖 5－ 33 所示： 圖 5－ 33 保護(hù)路由器自身安全 遠(yuǎn)程訪問模塊設(shè)計 遠(yuǎn)程訪問也是 校園網(wǎng) 絡(luò)必須提供的服務(wù)之一。它可以為家庭辦公用戶和出差在外的員工提供遠(yuǎn)程、移動接入服務(wù)。 遠(yuǎn)程訪問有三種可選的 接入方式 ：專線連接、電路交換和包交換。不同的廣域網(wǎng)連接類型提供的服務(wù)質(zhì)量不同，花費(fèi)也不相同。在本設(shè)計中， 考慮到 面對的用戶群規(guī)模 較小 、業(yè)務(wù)量較小，所以采用了異步撥號連接作為遠(yuǎn)程訪問的 接入方式 。 異步撥號連接屬于電路交換類型的廣域網(wǎng)連接，它是在傳統(tǒng)公共交換電話 網(wǎng)（ Public Switched Telephone Network， PSTN）上提供服務(wù)的。傳統(tǒng) PSTN 提 供的服務(wù)也被稱為簡易老式電話業(yè)務(wù)（ Plan Old Telephone System， POTS）。因為目前存在著大量安裝好的電話線，所以這樣的環(huán)境是最容易滿足的。因此，異步撥號連接也就成為最方便和普遍的遠(yuǎn)程訪問類型。 廣域網(wǎng)連接可以采用不同類型的封裝協(xié)議，如 HDLC、 PPP 等。其中， PPP除了提供身份認(rèn)證功能外，還可以提供其他很多可選項配置，包括鏈路壓縮、 多鏈路捆綁、回叫等，因此更具優(yōu)勢。本設(shè)計所采用封裝協(xié)議是 PPP。 配置物理線路的基本參數(shù) 對物理線 路的配置包括配置線路速度（ DTE、 DCE之間的速率）、停止位位數(shù)、流控方式、允許呼入連接的協(xié)議類型、允許流量的方向等。 如圖 534 所示 ： 圖 534 配置物理線路的基本參數(shù) 第五章 校園網(wǎng)絡(luò)整體解決方案 28 配置接口基本參數(shù) 并 指定 IP 地址池 對接口基本參數(shù)的配置包括：接口封裝協(xié)議類型、接口異步模式、 IP 地址、為遠(yuǎn)程客戶分配 IP 地址的方式等。這里，設(shè)置遠(yuǎn)程客戶從 IP地址池 huangrong 中獲得 IP 地址。并 建立一個名為 huangrong 的 IP 地址池。其 IP 地址范圍是： ～ 。 如圖 5－ 35所示： 圖 5－ 35 配置接口基本參數(shù) 并 指定 IP 地址池 配置身份認(rèn)證 PPP提供了兩種可選的身份認(rèn)證方法：口令驗證協(xié)議 PAP（ Password Authentication Protocol ， PAP ）和質(zhì)詢握手協(xié)議（ Challenge HandshakeAuthentication Protocol，CHAP）。 PAP是一個簡單的、實用的身份驗證協(xié)議。 PAP認(rèn)證進(jìn)程只在雙方的通信鏈路建立初期進(jìn)行。如果認(rèn)證成功，在通信 過程中不再進(jìn)行認(rèn)證。如果認(rèn)證失敗，則直接釋放鏈路。 CHAP 認(rèn)證比 PAP 認(rèn)證更安全，因為 CHAP 不在線路上發(fā)送明文密碼，而是發(fā)送經(jīng)過摘要算法加工過的隨機(jī)序列，也被稱為 “ 挑戰(zhàn)字符串 ” 。同時，身份認(rèn)證可以隨時進(jìn)行，包括在雙方正常通信過程中。因此，非法用戶就算截獲并成功破解了一次密碼，此密碼也將在一段時間內(nèi)失效。 CHAP對端系統(tǒng)要求很高，因為需要多次進(jìn)行身份質(zhì)詢、響應(yīng)。這需要耗費(fèi)較多的 CPU 資源，因此只用在對安全要求很高的場合。 PAP雖然有著用戶名和密碼是明文發(fā)送的弱點，但是認(rèn)證只在鏈路建立初期 進(jìn)行，因此節(jié)省了寶貴的鏈路帶寬。 本設(shè)計中將采用 PAP 身份認(rèn)證方法。 建立本地口令數(shù)據(jù)庫 如圖 5－ 36所示： 圖 5－ 36 建立本地口令數(shù)據(jù)庫 29 設(shè)置進(jìn)行 PAP 認(rèn)證 如圖 5－ 37所示： 圖 5－ 37 設(shè)置進(jìn)行 PAP 認(rèn)證 服務(wù)器模塊設(shè)計 服務(wù)器模塊用來對校園網(wǎng)的接入用戶提供各種服務(wù)。在本設(shè)計中，所有的服務(wù)器被集中到 VLAN 100 ，構(gòu)成服務(wù)器群并通過分布層交換機(jī) DistributeSwitch1 的端口 F1～ 10 接入校園網(wǎng)。 校園網(wǎng)網(wǎng)絡(luò)提供的常用服務(wù)（服務(wù)器）包括： WEB 服務(wù)器：提供 WEB 網(wǎng)站服務(wù)。 DNS、目錄服務(wù)器：提供域名解析以及目錄服務(wù)。 FTP文件服務(wù)器：提供文件傳輸、共享服務(wù)。 郵件服務(wù)器：提供郵件收發(fā)服務(wù)。 數(shù)據(jù)庫服務(wù)器：提供各種數(shù)據(jù)庫服務(wù)。 打印服務(wù)器：提供打印機(jī)共享服務(wù)。 網(wǎng)管服務(wù)器：對校園網(wǎng)網(wǎng)絡(luò)設(shè)備進(jìn)行綜合管理。 表 5－ 1給出了所有的服務(wù)器 名稱及 IP地址、網(wǎng)關(guān)： 服務(wù)器編號 服務(wù)器名稱 服務(wù)器 IP 地址 網(wǎng)關(guān) Server 1 WEB 服務(wù)器 Server 2 FTP 文 件服務(wù)器 Server 3 DNS、目錄服務(wù)器 Server 4 郵件服務(wù)器 Server 5 數(shù)據(jù)庫服務(wù)器 Server 6 打印服務(wù)器 Server 7 網(wǎng)管服務(wù)器 表 5－ 1 服務(wù)器 名稱及 IP地址、網(wǎng)關(guān) 第五章 校園網(wǎng)絡(luò)整體解決方案 30 表 5－ 2給出了所有的服務(wù)器硬件平臺、操作系統(tǒng)以及服務(wù)軟件的選型表 ： 編號 服務(wù)器名稱 硬件平臺 操作系統(tǒng) 服務(wù)軟件 Server 1 WEB 服務(wù)器 HP LH3000 Windows2021 Server Server 2 FTP 文件服務(wù)器 HP LH3000 Windows2021 Server SER Server 3 DNS、目錄服務(wù)器 HP TC 4100 Windows2021 Server ActiveDirectory Server 4 郵件服務(wù)器 SUN E250 Solaris EYOU Mail Server 5 數(shù)據(jù)庫服務(wù)器 HP TC 4100 Windows2021 Server SQLServer2021 Server 6 打印服務(wù)器 HP TC 4100 Windows2021 Server Server 7 網(wǎng)管服務(wù)器 HP TC 4100 Windows2021 Server Cisco Works 2021 表 5－ 2 服務(wù)器硬件平臺、操 作系統(tǒng)以及服務(wù)軟件的選型表 相關(guān)測試、診斷命令 當(dāng) 校園網(wǎng) 初具規(guī)模后，還應(yīng)該對 校園網(wǎng) 的整體運(yùn)行情況做一下細(xì)致的測試和評估。 1． 主要的測試內(nèi)容應(yīng)該包括： 對 設(shè)備間的物理連通性 的測試 。 對相同 VLAN 內(nèi)的通信進(jìn)行測試。 對不同 VLAN 內(nèi)的通信進(jìn)行測試。 對冗余鏈路的工作狀態(tài)進(jìn)行測試。 對廣域網(wǎng)接入路由器上的 NAT 進(jìn)行測試。 對廣域網(wǎng)接入路由器上的 ACL 進(jìn)行測試。 對遠(yuǎn)程訪問服務(wù)進(jìn)行測試。 對各種服務(wù)器提供的服務(wù)進(jìn)行測試。 2．常用 診斷命令 Ping 測試設(shè)備間連通性 Show runningconfig 顯示設(shè)備運(yùn)行配置文件內(nèi)容 Show startupconfig 顯示設(shè)備啟動配置文件內(nèi)容 Show interface vlan vlan 號 顯示 Vlan 信息 Show interface 顯示端口所有信息 31 結(jié)束語 此次 的校園網(wǎng)設(shè)計與實現(xiàn)，使 我對網(wǎng)絡(luò)的認(rèn)識更加深入了 ,特別是對網(wǎng)絡(luò)的路由與交換方面有了全新的認(rèn)識 。 想要獨立的合格完成網(wǎng)絡(luò)的設(shè)計規(guī)劃只掌握現(xiàn)在的專業(yè)知識是遠(yuǎn)遠(yuǎn)不夠的，我們應(yīng)該具有更全面的知識，不斷的去學(xué)習(xí)新的知識。 在規(guī)劃中，從經(jīng)濟(jì)性、實用性、操作性、擴(kuò)展性等原 則來設(shè)計。整體規(guī)劃基本做到了量體設(shè)計，并且對以后的擴(kuò)展網(wǎng)絡(luò)也有較強(qiáng)的擴(kuò)展性。 校園 網(wǎng)要能很好地應(yīng)用與發(fā)展，很大程度上取決于設(shè)計方案（包括組網(wǎng)技術(shù)、拓?fù)浣Y(jié)構(gòu)、 IP 及路由規(guī)劃、設(shè)備選型、安全防范等 )的設(shè)計實施合理與否。網(wǎng)絡(luò)安全是網(wǎng)絡(luò)建設(shè)的重要組成部分，是伴隨計算機(jī)網(wǎng)絡(luò)的不斷發(fā)展出現(xiàn)的問題 , 只有更好地解決好這一問題 , 該網(wǎng)絡(luò)才能更加穩(wěn)步健康地發(fā)展 , 從而更好地為 全校師生 的 工作提供更加快捷可靠的網(wǎng)絡(luò)服務(wù)。但由于時間緊迫，自己的理論和實踐經(jīng)驗有限，所以方案還有許多需要改進(jìn)之處，從而使它的更加完善。 通過本次畢業(yè)設(shè)計我 學(xué)到了不少新的東西，也發(fā)現(xiàn)了大量的問題，有些在設(shè)計過程中已經(jīng)解決，有些還有待今后慢慢學(xué)習(xí)。只要學(xué)習(xí)就會有更多的問題，有更多的難點，但也會有更多的收獲。 參考文獻(xiàn) 32 參考文獻(xiàn) [1]淺析網(wǎng)絡(luò)安全技術(shù) [J]. 北京 :計算機(jī)工程與應(yīng)用 2021 [2]計算機(jī)網(wǎng)絡(luò) [M]. 北京 : 清華大學(xué)出版社 2021 [3]華為技術(shù)公司 [M].北京 :華為交換機(jī)、路由器技術(shù)手冊 2021 [4]思科網(wǎng)絡(luò)公司 [M]. 北京 :思科交換機(jī)、路由器技術(shù)手冊 2021 [5]網(wǎng)絡(luò)工程教程與實踐 [M].北京 :人民郵電出版社 2021 [6]局域網(wǎng)組建與管理 ： 機(jī)械工業(yè)出版社 2021 33 致謝 此次 的畢業(yè)設(shè)計中，我受到了多方面的幫助，在此表示真誠的感謝。 我特別感謝的是我的指導(dǎo)老師 劉有珠 老師以及 計算機(jī) 系的所有老師。在這期間，老師嚴(yán)謹(jǐn)?shù)闹螌W(xué)態(tài)度、實事求是的研究風(fēng)格給我留下了深刻的印象。在設(shè)計的 過程 中，老師們的每一次指導(dǎo)都是那樣的耐心，每一階段都滲透著老師的心血和汗水， 因為有了他們的幫助，我才能順利完成畢業(yè)設(shè)計，并且從中學(xué)習(xí)到 更多 知識。 在設(shè)計的過程中，還得到了同學(xué) 們 支持與幫助， 在此深表感謝 。