【正文】 參考文獻(xiàn)《局域網(wǎng)組建與管理與教程》 清華大學(xué)出版社 趙家俊 《現(xiàn)代網(wǎng)絡(luò)技術(shù)教程》 電子工業(yè)出版社 張公忠 《局域網(wǎng)組建與實(shí)踐(第 2 版)》電子工業(yè)出版社 盧小平 《校園網(wǎng)組建與管理》 清華大學(xué)出版社 王竹林 《校園網(wǎng)設(shè)計(jì)與遠(yuǎn)程教學(xué)系統(tǒng)開發(fā)》人民郵電出版社 王保順 張煒 《校園網(wǎng)絡(luò)組建與應(yīng)用》科學(xué)出版社蔣先華 許以臣 《校園網(wǎng)系統(tǒng)集成技術(shù)與應(yīng)用》 清華大學(xué)出版社 劉正勇 《局域網(wǎng)組網(wǎng)、管理與維護(hù)教程》 北京希望電子出版社 鍛煉 《組建 Cisco 多層交換網(wǎng)絡(luò)》(BCMSN)(第 4 版)[M]. 弗魯姆(Richard Froom). 2022.《網(wǎng)絡(luò)管理員之局域網(wǎng)組建與維護(hù)超級技巧 1000 例》[M]. 施敏 、李亞明、王國平 2022.《 局 域 網(wǎng) 組 建 和 安 全 管 理 的 實(shí) 用 技 術(shù) 》 [J].李 晉 平 .電 腦 開 發(fā) 與 應(yīng) 用 .2022,15(10).《 中 小 企 業(yè) 辦 公 局 域 網(wǎng) 組 建 方 案 》 [J]. 衛(wèi) 少 軍 .科 技 情 報 開 發(fā) 與 經(jīng) 濟(jì) .2022,14。通過采用針對性很強(qiáng)的網(wǎng)絡(luò)管理軟件，很好的實(shí)現(xiàn)了網(wǎng)絡(luò)管理員對所有網(wǎng)絡(luò)產(chǎn)品輕松、直觀的實(shí)時控制。（3）網(wǎng)絡(luò)結(jié)構(gòu)的布局更加合理。（2）主要網(wǎng)絡(luò)設(shè)備采用了同一系列的產(chǎn)品，提高了設(shè)備的可靠性和可管理性。綜上所述，本校園網(wǎng)的設(shè)計(jì)具有以下幾個顯著的特點(diǎn)：（1）本校園網(wǎng)設(shè)計(jì)中，整個網(wǎng)絡(luò)系統(tǒng)采用經(jīng)典的核心層、匯聚層、接入層三級架構(gòu)及星型拓樸結(jié)構(gòu)，結(jié)構(gòu)合理，層次分明。校園網(wǎng)絡(luò)的功能域管理包括了配置管理、性能管理、安全管理和計(jì)時計(jì)費(fèi)管理等幾方面。（2）主機(jī)服務(wù)器我們選用4臺萬全T168 G6 S3430 2G/500S服務(wù)器 。設(shè)備選型方面：（1）核心層使用H3C S580032C作為核心交換機(jī)，該類交換機(jī)采用特快包轉(zhuǎn)發(fā)三層交換技術(shù)。本方案在網(wǎng)絡(luò)系統(tǒng)設(shè)計(jì)時考慮了穩(wěn)定可靠、高帶寬、易擴(kuò)展、QOS保證、安全性、容易控制及符合IP發(fā)展趨勢等幾個方面的特點(diǎn)。同時，在服務(wù)器，操作系統(tǒng)，應(yīng)用軟件開發(fā)，信息出口等方面也進(jìn)行了周密的設(shè)計(jì)，保證在系統(tǒng)開通的同時，基本網(wǎng)上應(yīng)用及各種專業(yè)應(yīng)用開發(fā)能夠同步進(jìn)行。校園網(wǎng)建設(shè)第一步方案將以結(jié)構(gòu)化布線和主干建設(shè)為重點(diǎn)。查看接口信息：show interface [端口類型] [端口號]查看配置：show run2126 做接入層交換機(jī)的配置如下。Config tHostname 35504Enable secret level 15 0 star !設(shè)置特權(quán)密碼Enable secret level 1 0 star !設(shè)置 Tel 密碼Interface vlan 1Ip address No shutExitVlan 40Intface Vlan 40 !創(chuàng)建 3 層虛擬端口Ip address No shutInterface range f0/1Switch mode trunkExitInterface f0/24Switch mode trunkExitIp routingIp route EndWrite④35505 交換機(jī)配置F0/24 與核心交換機(jī)相連，F(xiàn)0/17 與接入層交換機(jī)相連。Config tHostname 35502Enable secret level 15 0 star !設(shè)置特權(quán)密碼Enable secret level 1 0 star !設(shè)置 Tel 密碼Interface vlan 1Ip address No shutExitVlan 20Intface Vlan 20 !創(chuàng)建 3 層虛擬端口Ip address No shutInterface range f0/15Switch mode trunkExitInterface f0/24Switch mode trunkExitIp routingIp route Ip route EndWrite②35503 交換機(jī)配置F0/24 與核心交換機(jī)相連，F(xiàn)0/15 與接入層交換機(jī)相連。Config tHostname 2624Enable secret level 15 0 starLine vty 0 4 !設(shè)置 Tel 密碼 LoginPass starExitInterface f 1Ip address No shutIp nat outside !定義外部接口ExitIntface f 0Ip address No shutIp nat inside !定義內(nèi)部接口ExitAccesslist1 permitted Ip nat inside source list 1 int f1 over !應(yīng)用 nat 協(xié)議Ip routingIp route Ip route Ip route Ip route Ip route Ip route EndWrite（2）核心交換機(jī)F1/1～4 分別與匯聚層交換機(jī)相連，f1/8 與路由器相連。為此,在網(wǎng)絡(luò)中心配置了一套山特 C3KVA/2100W 的 UPS 電源。5 允許從內(nèi)網(wǎng)訪問 DMZ（非軍事）區(qū)，端口全開放6 允許從 DMZ（非軍事）區(qū)訪問 inter，端口全開放7 禁止從 DMZ（非軍事）區(qū)訪問內(nèi)網(wǎng)，端口全關(guān)閉。2 允許從公網(wǎng)到 DMZ（非軍事）區(qū)的訪問請求：WEB 服務(wù)器只開放 80 端口，mail 服務(wù)器只開放 25 和 110 端口。限制遠(yuǎn)程訪問的安全設(shè)置方法如下表 19安全接入和配置方法訪問方式 保證網(wǎng)絡(luò)設(shè)備安全的方法 備注Console 控制接口的訪問設(shè)置密碼和超時限制建議超時限制設(shè)成 5 分鐘進(jìn)入特權(quán) exec 和設(shè)備配置級別的命令行配置 Radius 來記錄 logon/logout 時間和操作活動；配置至少一個本地賬戶作應(yīng)急之用tel 訪問采用 ACL 限制，指定從特定的 IP 地址來進(jìn)行tel 訪問；配置 Radius 安全紀(jì)錄方案；設(shè)置超時限制SSH 訪問激活 SSH 訪問，從而允許操作員從網(wǎng)絡(luò)的外部環(huán)境進(jìn)行設(shè)備安全登陸WEB 管理訪問 取消 Web 管理功能SNMP 訪問常規(guī)的 SNMP 訪問是用 ACL 限制從特定 IP 地址來進(jìn)行 SNMP 訪問；記錄非授權(quán)的 SNMP 訪問并禁止非授權(quán)的 SNMP 企圖和攻擊為增加安全,建議更改缺省的SNMP Commutiy子串設(shè)置不同賬號 通過設(shè)置不同的賬號的訪問權(quán)限，提高安全性 拒絕服務(wù)的防止網(wǎng)絡(luò)設(shè)備拒絕服務(wù)攻擊的防止主要是防止出現(xiàn) TCP SYN 泛濫攻擊、Smurf 攻擊等；網(wǎng)絡(luò)設(shè)備的防 TCP SYN 的方法主要是配置網(wǎng)絡(luò)設(shè)備 TCP SYN 臨界值，若多于這個臨界值，則丟棄多余的 TCP SYN 數(shù)據(jù)包；防 Smurf 攻擊主要是配置網(wǎng)絡(luò)設(shè)備不轉(zhuǎn)發(fā) ICMP echo 請求(directed broadcast)和設(shè)置 ICMP 包臨界值，避免成為一個Smurf 攻擊的轉(zhuǎn)發(fā)者、受害者。10. RMON 管理RMON 管理根據(jù) RFC1757 定義的標(biāo)準(zhǔn) RMONMIB 及華為 3Com 自定義告警擴(kuò)展 MIB對主機(jī)設(shè)備進(jìn)行遠(yuǎn)程監(jiān)視管理。8. 堆疊管理Quidview 網(wǎng)絡(luò)管理軟件通過堆疊管理，可以集中管理較大量的低端設(shè)備，并且為用戶提供統(tǒng)一的網(wǎng)管界面，方便用戶對大量設(shè)備的統(tǒng)一管理維護(hù)。升級之后，可以使用 Quidview 進(jìn)行升級結(jié)果驗(yàn)證，確保升級操作萬無一失。使用 Quidview，管理員可以方便地查詢設(shè)備上運(yùn)行的軟件版本，并利用升級分析功能來確定設(shè)備運(yùn)行軟件是否需要升級。Quidview 網(wǎng)絡(luò)配置中心支持對設(shè)備配置文件的集中管理，包括配置文件的備份、恢復(fù)以及批量更新等操作，同時還實(shí)現(xiàn)了配置文件的基線化管理，可以對配置文件的變化進(jìn)行比較跟蹤。5．設(shè)備配置文件管理當(dāng)網(wǎng)絡(luò)規(guī)模較大時，網(wǎng)絡(luò)管理員的配置文件管理工作將十分繁重，如果沒有好的配置文件維護(hù)工具，網(wǎng)絡(luò)管理員就只能手動備份配置文件。通過統(tǒng)計(jì)不同線路、不同資源的利用情況，為優(yōu)化或擴(kuò)充網(wǎng)絡(luò)提供依據(jù)。3. 性能監(jiān)控Quidview 網(wǎng)管系統(tǒng)提供豐富的性能管理功能，同時以直觀的方式顯示給用戶。1．網(wǎng)絡(luò)集中監(jiān)視Quidview 網(wǎng)絡(luò)管理軟件提供統(tǒng)一拓?fù)浒l(fā)現(xiàn)功能，實(shí)現(xiàn)全網(wǎng)監(jiān)控，可以實(shí)時監(jiān)控所有設(shè)備的運(yùn)行狀況，并根據(jù)網(wǎng)絡(luò)運(yùn)行環(huán)境變化提供合適的方式對網(wǎng)絡(luò)參數(shù)進(jìn)行配置修改，保證網(wǎng)絡(luò)以最優(yōu)性能正常運(yùn)行。Quidview 網(wǎng)絡(luò)管理軟件采用組件化結(jié)構(gòu)設(shè)計(jì)，通過安裝不同的業(yè)務(wù)組件實(shí)現(xiàn)了設(shè)備管理、VPN 監(jiān)視與部署、軟件升級管理、配置文件管理、告警和性能管理等功能。網(wǎng)絡(luò)管理的手段：在校園網(wǎng)絡(luò)管理方面，為了便于校園網(wǎng)絡(luò)管理人員的管理及維護(hù)，我們選購Quidview 網(wǎng)絡(luò)管理軟件。 5. 兼容多種平臺6. 一體化智能服務(wù)體系 網(wǎng)絡(luò)管理網(wǎng)絡(luò)管理就是指監(jiān)督、組織和控制網(wǎng)絡(luò)通信服務(wù)以及信息處理所必需的各種活動的總稱。 網(wǎng)絡(luò)安全防范措施在不改變原有網(wǎng)絡(luò)結(jié)構(gòu)的基礎(chǔ)上實(shí)現(xiàn)多種信息安全，保障校園內(nèi)部網(wǎng)絡(luò)安全，我們選購了一套網(wǎng)絡(luò)安全防范設(shè)備。一方面，電磁輻射能夠破壞網(wǎng)絡(luò)中的數(shù)據(jù)和軟件，這種輻射的來源主要是網(wǎng)絡(luò)周圍電子電氣設(shè)備產(chǎn)生的電磁輻射和試圖破壞數(shù)據(jù)傳輸而預(yù)謀的干擾輻射源。　　電磁輻射。另外，軟件的“后門”都是軟件編程人員為了方便而設(shè)置的，一般不為外人所知，可是一旦“后門”被發(fā)現(xiàn)，網(wǎng)絡(luò)信息將沒有什么安全可言?！　≤浖穆┒春汀昂箝T”?！　〔《九c惡意攻擊。指改變系統(tǒng)的正常運(yùn)行方法，減慢系統(tǒng)的響應(yīng)時間等手段。指使用非法手段，刪除、修改、重發(fā)某些重要信息，以干擾用戶的正常使用。主要指利用各種假冒或欺騙的手段非法獲得合法用戶的使用權(quán)限，以達(dá)到占用合法用戶資源的目的。如操作員安全配置不當(dāng)造成的安全漏洞，用戶安全意識不強(qiáng)，用戶口令選擇不慎，用戶將自己的賬號隨意轉(zhuǎn)借他人或與別人共享。安全威脅的類型：非授權(quán)訪問。根據(jù)統(tǒng)計(jì)，威脅校園網(wǎng)安全的攻擊行為大概有 40％左右是來自于網(wǎng)絡(luò)內(nèi)部，如何防范來自于內(nèi)部的攻擊是校園網(wǎng)網(wǎng)絡(luò)安全防護(hù)體系需要重點(diǎn)關(guān)注的地方。五 校園網(wǎng)絡(luò)管理及