【正文】 同時(shí)，又可隱藏網(wǎng)絡(luò)內(nèi)部的所有主機(jī)，有效避免來自 inter 的攻擊。 端口多路復(fù)用 (Port address Translation,PAT)是指改變外出數(shù)據(jù)包的源端口并進(jìn)行端口轉(zhuǎn)換，即端口地址轉(zhuǎn)換 (PAT， Port Address Translation).采用端口多路復(fù)用方式。當(dāng) ISP 提供的合法 IP 地址略少于網(wǎng)絡(luò)內(nèi)部的計(jì)算機(jī)數(shù)量時(shí)。也就是說，只要指定哪些內(nèi)部地址可以進(jìn)行轉(zhuǎn)換，以及用哪些合法地址作為外部地址時(shí)，就可以進(jìn)行動態(tài)轉(zhuǎn)換。借助于靜態(tài)轉(zhuǎn)換，可以實(shí)現(xiàn)外部網(wǎng)絡(luò)對內(nèi)部網(wǎng)絡(luò)中某些特定設(shè)備 (如服務(wù)器 )的訪問。 NAT 的實(shí)現(xiàn)方式有三種，即靜態(tài)轉(zhuǎn)換 Static Nat、動態(tài)轉(zhuǎn)換 Dynamic Nat 和端口多路復(fù)用 OverLoad。在其他 ISP 那里，即使是擁有幾百臺計(jì)算機(jī)的大型局域網(wǎng)用戶，當(dāng)他們申請 IP 地址時(shí)，所分配的地址也不過只有幾個或十幾個 IP 地址。 隨著接入 Inter 的計(jì)算機(jī)數(shù)量的不斷猛增， IP 地址資源也就愈加顯得捉襟見肘。原因很簡單， NAT 不僅完美地解決了 IP 地址不足的問題，而且還能夠有效地避免來自網(wǎng)絡(luò)外部的攻擊，隱藏并保護(hù)網(wǎng)絡(luò)內(nèi)部的計(jì)算機(jī)。用戶試圖執(zhí)行受到限制的命令。（可供審核的活動包括：用戶成功和失敗的登錄。 安全審計(jì)技術(shù)：安全策略的訂制和授權(quán)信息的驗(yàn)證技術(shù)是該技術(shù)的重點(diǎn)部分。對于入侵者必須通過外部路由器和堡壘主機(jī)，內(nèi)部路由器才能入侵到內(nèi)網(wǎng)中。這樣對外網(wǎng)，內(nèi)部網(wǎng)是不可見的。并管理外網(wǎng)對 Dmz的訪問。堡壘主機(jī) 和服務(wù)器放置在一個處于內(nèi)外網(wǎng)的小型網(wǎng)絡(luò)（ Dmz 安全 區(qū)）中。例如屏蔽子網(wǎng)型防火墻。權(quán)限是與對象（如文件或文件夾）關(guān)聯(lián)的規(guī)則，用于控制哪些帳戶可以獲得對象的訪問權(quán)限。每個帳戶均被授予用戶特權(quán)和權(quán)限。使用 Windows 和 IIS 中的安全功能，可以有效地控制用戶訪問您 Web 和 FTP內(nèi)容的方式。） 訪問控制技術(shù)：對信息的權(quán)限的控制，阻止了非授權(quán)用戶進(jìn)行的信息的瀏覽，修改甚至破壞。（包括下列信息：網(wǎng)站驗(yàn)證： 揚(yáng)州大學(xué)本科畢業(yè)設(shè)計(jì)（論文） 第 24 頁 介紹符合您驗(yàn)證用戶網(wǎng)站訪問要求的身份驗(yàn)證方法?？梢栽诰W(wǎng)站或FTP 站點(diǎn)、目錄或文件級別設(shè)置身份驗(yàn)證。在用戶訪問服務(wù)器上任何信息之前，可以 要求用戶提供有效的 Microsoft Windows 用戶帳戶、用戶名和密碼。 包括系統(tǒng)防火墻的規(guī)則設(shè)置、更新 ， 系統(tǒng)漏洞補(bǔ)丁升級更新， 以及 在人們的潛意識里增加安全防范意識等等。為此 學(xué)校應(yīng) 舉辦網(wǎng)絡(luò)技術(shù)培訓(xùn)班，對校園網(wǎng)的四類實(shí)用人員，即學(xué)校領(lǐng)導(dǎo)、系統(tǒng)維護(hù)人員、課件制作人員和應(yīng)用系統(tǒng)使用人員，分期分批進(jìn)行網(wǎng)絡(luò)培訓(xùn)，以提高全體師生的網(wǎng)絡(luò)應(yīng)用水平，并促進(jìn)校園網(wǎng)的健康發(fā)展。 （ 6） 信息管理網(wǎng)絡(luò)上的信息分成兩部分，一是由管理員放置的信息，它們的品質(zhì)一般較高；另一部分是由用戶放置的，可能會有一些問題，要對這部分信息進(jìn)行管理。 （ 5） 計(jì)費(fèi)管理了解網(wǎng)絡(luò)使用時(shí)間，能針對各個局部網(wǎng)絡(luò)做使用統(tǒng)計(jì)。 （ 3） 效率管理在于評估網(wǎng)絡(luò)系統(tǒng)的運(yùn)作，統(tǒng)計(jì)網(wǎng)絡(luò)資源的運(yùn)用及各種通訊協(xié)議的傳輸量等，更可提供未來網(wǎng)絡(luò)提升或更新規(guī)劃的依據(jù)。 （ 2） 故障管理為確保網(wǎng)絡(luò)系統(tǒng)的高穩(wěn)定性，在網(wǎng)絡(luò)出現(xiàn)問題時(shí)，必須及時(shí)察覺問題的所在。所以校園網(wǎng)系統(tǒng)管理的技術(shù)人員可借網(wǎng)絡(luò)管理工 具或本身的技術(shù)經(jīng)驗(yàn)實(shí)施網(wǎng)絡(luò)管理，內(nèi)容可分為下列 7 項(xiàng)： （ 1） 系統(tǒng)管理隨時(shí)掌握網(wǎng)絡(luò)內(nèi)任何設(shè)備的增減與變動，管理所有網(wǎng)絡(luò)設(shè)備的設(shè)置參數(shù)。同時(shí)，利用網(wǎng)管中心，可以方便地采取各種安全性措施，控制通信 ，購買硬件防火墻，即時(shí)下載系統(tǒng)漏洞， 實(shí)施新的安全技術(shù)， 數(shù)據(jù)備份等 提高網(wǎng)絡(luò) 可靠和安全性能 水平 。 局域網(wǎng)內(nèi) DNS 服務(wù)器的配置如圖 42 所示： 揚(yáng)州大學(xué)本科畢業(yè)設(shè)計(jì)（論文） 第 22 頁 圖 42 局域網(wǎng) DNS 服務(wù)器的配置 揚(yáng)州大學(xué)本科畢業(yè)設(shè)計(jì)（論文） 第 23 頁 第 5 章 校園網(wǎng)絡(luò)的管理與安全 網(wǎng)絡(luò)管理 隨著校園網(wǎng)的不斷發(fā)展和應(yīng)用，網(wǎng)絡(luò)管理和安全防范問題也越來越復(fù)雜。 局域網(wǎng) WWW 服務(wù)器的配置如圖 41 所示 : 揚(yáng)州大學(xué)本科畢業(yè)設(shè)計(jì)（論文） 第 21 頁 圖 41 局域網(wǎng) WWW 服務(wù)器配置圖 DNS 服務(wù)器配置 DNS 服務(wù)器在互聯(lián)網(wǎng)的作用是：把域名轉(zhuǎn)換成為網(wǎng)絡(luò)可以識別的 ip 地址。 WWW 使得非常復(fù)雜的 Inter 使用起來異常簡單。因此 WWW 為用戶帶來的是世界范圍的超級文本服務(wù)。目 前，最流行的瀏覽器軟件主要有 Netscape municator 和 Microsoft Inter Explorer。因此，它已經(jīng)成為 Inter 上應(yīng)用最廣和最有前途的訪問工具，并在商業(yè)范圍內(nèi)日益發(fā)揮著越來越重要的作用。 Inter 采用超文本和超媒體的信息組織方式，將信息的鏈接擴(kuò)展到整個Inter 上。能夠提供面向 Inter 服務(wù)的、一致的用戶界面的信息瀏覽系統(tǒng)。 具體的無線局域網(wǎng)的配置代碼如下： ip dhcp pool wireless work defaultrouter dnsserver 無線路由器 Inter 自動獲得的 IP 如圖 31 所示： 揚(yáng)州大學(xué)本科畢業(yè)設(shè)計(jì)（論文） 第 17 頁 圖 31 無線路由器 Inter 自動獲得 IP 圖 無線路由器 LAN 的 IP 如圖 32 所示： 揚(yáng)州大學(xué)本科畢業(yè)設(shè)計(jì)（論文） 第 18 頁 圖 32 無線路由器 LAN 的 IP 圖 查看無線局域網(wǎng)的 PC 機(jī)自動獲得 IP 的情況，如圖 33 所示 : 揚(yáng)州大學(xué)本科畢業(yè)設(shè)計(jì)（論文） 第 19 頁 圖 33 局域網(wǎng)中 PC 機(jī)自動獲得的 IP 圖 揚(yáng)州大學(xué)本科畢業(yè)設(shè)計(jì)（論文） 第 20 頁 第 4 章 校園網(wǎng)服務(wù)器配置 WWW 服務(wù)器配置 WWW 是建立在客戶機(jī)／服務(wù)器模型之上的。無線局域網(wǎng)作為一個有限局域網(wǎng)的補(bǔ)充和完善，在校園網(wǎng)建設(shè)中將會有更好的應(yīng)用。對于我校在樓宇內(nèi)采用接入方式對辦公室、會議室、校園廣闊地進(jìn)行無線網(wǎng)絡(luò)覆蓋。能 夠充分配合學(xué)校舉辦的各類臨時(shí)性或者應(yīng)急性活動，根據(jù)需要迅速架設(shè)后者調(diào)整網(wǎng)絡(luò)； （ 5） Cisco 無線網(wǎng)絡(luò)產(chǎn)品提供了可靠的安全保證，其全部無線網(wǎng)絡(luò)產(chǎn)品均支持WPA/WPA2 加密，并可擴(kuò)充至 256 位的 AES 加密算法，為無線校園網(wǎng)絡(luò)在覆蓋區(qū)域內(nèi)的全面應(yīng)用提供了保障，無論是辦公，還是個人傳輸，都能夠放心應(yīng)用。 Cisco 無線校園網(wǎng)的特點(diǎn)： （ 1） 無線室外路由器、無線 AP 和無線網(wǎng)卡組成了完整的無線系統(tǒng)，實(shí)施極為便利，免去布線的困難，節(jié)約用戶建設(shè)校園網(wǎng)絡(luò)環(huán)境的時(shí)間、精力以及財(cái)力； （ 2） WAP200E 室外無線路由器適應(yīng)性出色，使用中避免了網(wǎng)絡(luò)施工造成的環(huán)境破壞，利用無線網(wǎng)絡(luò)空中連接校園內(nèi)建筑物； （ 3） 對于很多學(xué)校存在分校的現(xiàn)象予以充分考慮。利用這臺主機(jī)進(jìn)行遠(yuǎn)程管理和配置，特點(diǎn)是網(wǎng)管可以進(jìn)行遠(yuǎn)程控制。通過路由器的 Console口管理交換機(jī)屬于帶外管理，不占用交換機(jī)的網(wǎng)絡(luò)接口，特點(diǎn)是線纜特殊，需要近 揚(yáng)州大學(xué)本科畢業(yè)設(shè)計(jì)（論文） 第 16 頁 距離配置。 其中， RIP 和 OSPF 路由協(xié)議是通用的路由協(xié)議，而 EIGRP 是 cisco 公司的專用協(xié)議，只有 cisco 公司的設(shè)備支持，因此這個協(xié)議具有局限性，在大部分局域網(wǎng)內(nèi)，因此 OSPF 是首選的路由協(xié)議。各非骨干區(qū)域內(nèi)的非 ABRs 只記載了本區(qū)域內(nèi)的路由表，若要與外部區(qū)域中的路由相連，只能通過本區(qū)域的 ABRs，由 ABRs 連到骨干區(qū)域的 BR，再由骨干區(qū)域的 BR 連到要到達(dá)的區(qū)域。各非骨干區(qū)域間是不可以交換信息的，他們只有與骨干區(qū)域相連，通過骨干區(qū)域相互交換信息。運(yùn)行距離矢量路由協(xié)議的路由器是將部分或全部的路由表傳遞給與其相鄰的路由器。在這個AS 中，所有的 OSPF 路由器都維護(hù)一個相同的描述這個 AS 結(jié)構(gòu)的數(shù)據(jù)庫，該數(shù)據(jù)庫中存放的是路由域中相應(yīng)鏈路的狀態(tài)信息， OSPF 路由器正是通過這個數(shù)據(jù)庫計(jì)算出其 OSPF 路由表的。 OSPF 路由協(xié)議是一種典型的鏈路狀態(tài)（ Linkstate）的路由 協(xié)議，一般用于同一個路由域內(nèi)。 鏈路是路由器接口的另一種說法，因此 OSPF 也稱為接口狀態(tài)路由協(xié)議。 3. OSPF 開放最短路徑優(yōu)先路由協(xié)議 OSPF(Open Shortest Path First 開放式最短路徑優(yōu)先 )是一個內(nèi)部網(wǎng)關(guān)協(xié)議 (Interior Gateway Protocol,簡稱 IGP)，用于在單一自治系統(tǒng) (autonomous system,AS)內(nèi)決策路由。不像 OSPF， OSPF 對不同的層 2 協(xié)議要做不同配置，比如以太網(wǎng)和幀中繼總之， EIGRP 能夠有效的工作在 LAN 和 WAN 中，而且 EIGRP 保證網(wǎng)絡(luò)不會產(chǎn)生環(huán)路 (loopfree)；而且配置起來很簡單；支持 VLSM；它使用多播和單播，不使用廣播，這樣做節(jié)約了帶寬。在 WAN 低速鏈路 揚(yáng)州大學(xué)本科畢業(yè)設(shè)計(jì)（論文） 第 15 頁 上， EIGRP 可能會占用大量帶寬 ,默認(rèn)只占用鏈路帶寬 50%，之后發(fā)布的 IOS 允許使用命令 ip bandwidthpercent eigrp 來修改這一默認(rèn)值。 （ 2） 減少帶寬占用： EIGRP 不作周期性的更新 ,它只在路由的路徑和度發(fā)生變化以后做部分更新。它只宣告鏈路和鏈路狀態(tài)，而不宣告路由， 所以即使鏈路發(fā)生了變化，不會引起該鏈路的路由被宣告。 RIP 最多支持的跳數(shù)為 15，即在源和目的網(wǎng)間所要經(jīng)過的最多路由器的數(shù)目為 15，跳數(shù) 16 表示不可達(dá)。 RIP 提供跳躍計(jì)數(shù) (hopcount)作為尺度來衡量路由距離，跳躍計(jì)數(shù)是一個包到達(dá)目標(biāo)所必須經(jīng)過的路由器 的數(shù)目 。 1. RIP 協(xié)議 RIP(RoutinginformationProtocol)是應(yīng)用較早、使用較普遍的內(nèi)部網(wǎng)關(guān)協(xié)議(InteriorGatewayProtocol,簡稱 IGP)，適用于小型同類網(wǎng)絡(luò)，是典型的距離向量(distancevector)協(xié)議 。路 由器具有在網(wǎng)絡(luò)中傳遞數(shù)據(jù)時(shí)選擇最佳路徑的能力。另外，路由器要能夠支持不同網(wǎng)絡(luò)提供商的接入，實(shí)現(xiàn)線路的冗余，我在此次設(shè)計(jì)中選擇的是 Cisco 1841 路由器。另外，通過 VTP 的設(shè)置，我們可以更好的將匯聚層的 vlan 信 息導(dǎo)入到接入層，只需要將不同的端口加入不同的 vlan，就能夠是機(jī)器之間通信。如果是不同臺的交換機(jī)上相同 id 的 vlan要相互通信，那么可以通過共享 Trunk 端口就可以實(shí)現(xiàn)，如果是同一臺上不同 id 的vlan/不同臺不同 id 的 vlan 它們之間要相互通信， 則 需要通過第三方的路由來實(shí)現(xiàn) 。當(dāng)交換機(jī)支持 TRUNKING 的時(shí)候，事情就簡單 多 了，只需要 2 個交換機(jī)之間有一條級聯(lián)線，并將對應(yīng)的端口設(shè)置為 Trunk，這條線路就可以承載交換機(jī)上所有 VLAN 的信息。 VLAN20 也是這樣。其中交換機(jī)之間互聯(lián)用的端口就稱為 TRUNK 端口。 （ 1） 訪問層交換機(jī)學(xué)生公寓區(qū)的交換機(jī)作為服務(wù)器的配置如下： s4vlan database s4(vlan)vtp domain dong s4(vlan)vlan 2 s4(vlan)vlan 3 揚(yáng)州大學(xué)本科畢業(yè)設(shè)計(jì)（論文） 第 13 頁 s4(vlan)vlan 4 s4(vlan)vlan 5 s4(vlan)vlan 6 s4(vlan)vlan 7 s4(vlan)vlan 8 s4(vlan)vlan 9 s4(vlan)vtp server （ 2） Trunk 端口 在最普遍的路由與交換領(lǐng)域， VLAN 的端口聚合也有的叫 TRUNK，不過大多數(shù)都叫 TRUNKING ，如 CISCO 公司。這樣可以大大減輕了網(wǎng)絡(luò)管理人員的工作負(fù)擔(dān)和工作強(qiáng)度。具體配置如下： Switch(config)inter portchannel 1 Switch(configif)no switchport Switch(configif)no shutdown Switch(configif)ip address Switch(config)inter gig0/1