【正文】 校園局域網(wǎng)的組建 34 附錄 .1 接入核心交換機(jī)一的 總拓?fù)鋱D 校園局域網(wǎng)的組建 35 附錄 .2 接入核心交換機(jī)二的總拓?fù)鋱D 。總的來說，只要學(xué)習(xí)就會(huì)有更多的問題，有更多的難點(diǎn)，但也會(huì)有更多的收獲。 校園局域網(wǎng)的組建 33 這些都是需要完善的地方，該組網(wǎng)離實(shí)際還是有相當(dāng)?shù)木嚯x，需要改進(jìn)，需要不斷地補(bǔ)充和完善。對(duì)網(wǎng)絡(luò)安全方面考慮較少，尤其是局域網(wǎng)的安全性，本人專業(yè)能力的有限。 但總的來說，該方案仍然存在許多不足之處。但令人高興的是，通過這樣一個(gè)邊學(xué)習(xí)邊應(yīng)用的過程，本人完成了校園網(wǎng)的組網(wǎng)的規(guī)劃工作。與設(shè)計(jì)人員對(duì)其電腦硬件和設(shè)備的方方面面地掌握程度息息相關(guān)。 校園局域網(wǎng)的組建 30 圖 68 無線網(wǎng)主機(jī)訪問內(nèi)網(wǎng) WWW圖 校園局域網(wǎng)的組建 31 圖 69無線網(wǎng)主機(jī)訪問外網(wǎng) WWW圖 7．測試主機(jī)能否遠(yuǎn)程管理接入外網(wǎng)的路由器，如圖 610 所示 校園局域網(wǎng)的組建 32 圖 610 主機(jī)對(duì)路由器的遠(yuǎn)程管理 經(jīng)過用不同的協(xié)議和路徑的測試，我們發(fā)現(xiàn)，這次的網(wǎng)絡(luò)設(shè)計(jì)是正常的，但是這僅僅是基本的構(gòu)架，如果要設(shè)計(jì)出較完善的網(wǎng)絡(luò)，還需要更加詳細(xì)的配置。 校園局域網(wǎng)的組建 26 圖 64測試內(nèi)網(wǎng)主機(jī)訪問外網(wǎng) WWW服務(wù)器圖 校園局域網(wǎng)的組建 27 圖 65測試外網(wǎng)主機(jī)訪問內(nèi)網(wǎng) WWW服務(wù)器圖 ACL 是否正確 用學(xué)生公寓 區(qū)的一臺(tái) IP 地址為 ，辦公區(qū) PC 的 IP 為 分別訪問財(cái)務(wù)處 ，如下圖所示： 校園局域網(wǎng)的組建 28 圖 66 學(xué)生公寓區(qū)訪問行政區(qū)圖 校園局域網(wǎng)的組建 29 圖 67 辦公區(qū)訪問行政區(qū)圖 通過測試可知學(xué)生公寓區(qū)不能訪問行政區(qū)，辦公區(qū)可以訪問行政區(qū)，說明 ACL 配置正確 。 校園局域網(wǎng)的組建 24 圖 62測試到服務(wù)器所走的路徑圖 DNS 解析是否正常，如圖 63 所示 校園局域網(wǎng)的組建 25 圖 63 測試 DNS的解析圖 通過測試證明 DNS 解析正常。 校園局域網(wǎng)的組建 23 圖 61 測試不同 vlan之間的通信圖 通過測試我們可以清晰的看到，不同的 vlan 之間的數(shù)據(jù)包轉(zhuǎn)發(fā)是沒有問題的。為了說明問題，我們就用一個(gè)機(jī)器 作為代表來進(jìn)行測設(shè)。當(dāng)校園網(wǎng)初具規(guī)模后，還應(yīng)該對(duì)校園網(wǎng)的整體運(yùn)行情況做一下細(xì)致的測試和評(píng)估。簡而言之， ACL 可以過濾網(wǎng)絡(luò)中的流量，控制訪問的一種網(wǎng)絡(luò)技術(shù)手段。這張表中包含了匹配關(guān)系、條件和查詢語句，表只是一個(gè)框架結(jié)構(gòu)，其目的是為了對(duì)某種訪問進(jìn)行控制。在這次的課題設(shè)計(jì)中局域網(wǎng)訪問外網(wǎng)就是采用這種技術(shù)，具體代碼如下： Router(config)int f 0/1 Router(configif)ip nat inside Router(configif)exit Router(config)int s 0/1/0 Router(configif)ip nat outside Router(configif)exit Router(config)ip nat pool test mask Router(config)accesslist 10 permit Router(config)accesslist 10 permit Router(config)accesslist 10 permit Router(config)accesslist 10 permit Router(config)accesslist 10 permit 校園局域網(wǎng)的組建 22 Router(config)accesslist 10 permit Router(config)accesslist 10 permit Router(config)accesslist 10 permit Router(config)accesslist 10 permit Router(config)accesslist 10 permit Router(config)ip nat inside source list 10 pool test overload ACL 訪問控制列表（ Access Control List， ACL） 是路由器和交換機(jī)接口的指令列表，用來控制端口進(jìn)出的數(shù)據(jù)包。 (1)外網(wǎng)主機(jī)訪問內(nèi)網(wǎng)服務(wù)器 ,采用的是靜態(tài)轉(zhuǎn)換。同時(shí)，又可隱藏網(wǎng)絡(luò)內(nèi)部的所有主機(jī)，有效避免來自 inter 的攻擊。 端口多路復(fù)用 (Port address Translation,PAT)是指改變外出數(shù)據(jù)包的源端口并進(jìn)行端口轉(zhuǎn)換，即端口地址轉(zhuǎn)換 (PAT， Port Address Translation).采用端口多路復(fù)用方式。當(dāng) ISP 提供的 合法 IP地址略少于網(wǎng)絡(luò)內(nèi)部的計(jì)算機(jī)數(shù)量時(shí)。也就是說，只要指定哪些內(nèi)部地址可以進(jìn)行轉(zhuǎn)換，以及用哪些合法地址作為外部地址時(shí)，就可以進(jìn)行動(dòng)態(tài)轉(zhuǎn)換。借助于靜態(tài)轉(zhuǎn)換，可以實(shí)現(xiàn)外部網(wǎng)絡(luò)對(duì)內(nèi)部網(wǎng)絡(luò)中某些特定設(shè)備 (如服務(wù)器 )的訪問。 NAT的實(shí)現(xiàn)方式有三種，即 靜態(tài)轉(zhuǎn)換 Static Nat、 動(dòng)態(tài)轉(zhuǎn)換 Dynamic Nat 和 端口多路復(fù)用 OverLoad。在其他 ISP 那里，即使是擁有幾百臺(tái)計(jì)算機(jī)的大型局域網(wǎng)用戶，當(dāng)他們申請(qǐng) IP地址時(shí)，所分配的地址也不過只有幾個(gè)或十幾個(gè) IP 地址。 隨著接入 Inter 的計(jì)算機(jī)數(shù)量的不斷猛增， IP 地址資源也就愈加顯得捉襟見肘。原因很簡單， NAT 不僅完美地解決了 lP地址不足的問題，而且還能夠有效地避免來自網(wǎng)絡(luò)外部的攻擊，隱藏并保護(hù)網(wǎng)絡(luò)內(nèi)部的計(jì)算機(jī)。用戶試圖執(zhí)行受到限制的命令。（可供審核的活動(dòng)包括：用戶成功和失敗的登錄。 安全審計(jì)技術(shù)：安全策略的訂制和授權(quán)信息的驗(yàn)證技術(shù)是該技術(shù)的重點(diǎn)部分。對(duì)于入侵者必須通過外部路由器和堡壘主機(jī)，內(nèi)部路由器才能入侵到內(nèi)網(wǎng)中。這樣對(duì)外網(wǎng)，內(nèi)部網(wǎng)是不可見的。并管理外網(wǎng)對(duì) dmz 的訪問。堡壘主機(jī)和服務(wù)器放置在一個(gè)處于內(nèi)外 網(wǎng)的小型網(wǎng)絡(luò)（ Dmz 安全 區(qū)）中。例如屏蔽子網(wǎng)型防火墻。權(quán)限是與對(duì)象（如文件或文件夾）關(guān)聯(lián)的規(guī)則，用于控制哪些帳戶可以獲得對(duì)象的訪問權(quán)限。每個(gè)帳戶均被授予用戶特權(quán)和權(quán)限。使用 Windows 和 IIS 中的安全功能，您可以有效地控制用戶訪問您 Web 和 FTP 內(nèi)容的方式。） 訪問控制技術(shù)：對(duì)信息的權(quán)限的控制，阻止了非授權(quán)用戶進(jìn)行的信息的瀏覽，修改甚至破壞。（包括下列信息：網(wǎng)站驗(yàn)證：介紹符合您驗(yàn)證用戶網(wǎng)站訪問要求的身份驗(yàn)證方法?？梢栽诰W(wǎng)站或 FTP 站點(diǎn)、目錄或文件級(jí)別設(shè)置身份驗(yàn)證。在用戶訪問服務(wù)器上任何信息之前，可以要求用戶提供有效的 Microsoft Windows 用戶帳戶、用戶名和密碼。系統(tǒng)漏洞補(bǔ)丁升級(jí)更新，在人們的潛意識(shí)里增加安全防范意識(shí)等等。為此我校正舉辦網(wǎng)絡(luò)技術(shù)培訓(xùn)班，對(duì)校園網(wǎng)的四類實(shí)用人員，即學(xué)校領(lǐng)導(dǎo)、系統(tǒng)維護(hù)人員、課件制作人員和應(yīng)用系統(tǒng)使用人員，分期分批進(jìn)行網(wǎng)絡(luò)培訓(xùn)，以提高全體師生的網(wǎng)絡(luò)應(yīng)用水平，并促進(jìn)校園網(wǎng)的健康發(fā)展。 （ 6）信息管理網(wǎng)絡(luò)上的信息分成兩部分，一是由管理員放置的信息，它們的品質(zhì)一般較高；另一部分是由用戶放置的，可能會(huì)有一些問題，要對(duì)這部分信息進(jìn)行管理。 （ 5）計(jì)費(fèi)管理了解網(wǎng)絡(luò)使用時(shí)間，能針對(duì)各個(gè)局部網(wǎng)絡(luò)做使用統(tǒng)計(jì)。 （ 3）效率管理在于評(píng)估網(wǎng)絡(luò)系統(tǒng)的運(yùn)作，統(tǒng)計(jì)網(wǎng)絡(luò)資源的運(yùn)用及各種通訊協(xié)議的傳輸量等，更可提供未來網(wǎng)絡(luò)提升或更新規(guī)劃的依據(jù)。 （ 2）故障管理為確保網(wǎng)絡(luò)系統(tǒng)的高穩(wěn)定性，在網(wǎng)絡(luò)出現(xiàn)問題時(shí)，必須及時(shí)察覺問題的所在。所以校園網(wǎng)系統(tǒng)管理的技術(shù)人員可借網(wǎng)絡(luò)管理工具或本身的技術(shù)經(jīng)驗(yàn)實(shí)施網(wǎng)絡(luò)管理，內(nèi)容可分為下列 6 項(xiàng)： （ 1）系統(tǒng)管理隨時(shí)掌握網(wǎng)絡(luò)內(nèi)任何設(shè)備的增減與變動(dòng)，管理所有網(wǎng)絡(luò)設(shè)備的設(shè)置參數(shù)。同時(shí)，利用網(wǎng)管中心，可以方便地采取各種安全性措施，控制通信 ，購買硬件防火墻，即時(shí)下載系統(tǒng)漏洞， 實(shí)施新的安全技術(shù)， 數(shù)據(jù)備份等 提高網(wǎng)絡(luò) 可靠和安全性能 水平 。 局域網(wǎng)內(nèi) DNS 服務(wù)器的配置如圖 42 所示： 圖 42 局域網(wǎng) DNS服務(wù)器的配置 5 校園網(wǎng)絡(luò)的管理與安全 網(wǎng)絡(luò)管理 隨著校園網(wǎng)的不斷發(fā)展和應(yīng)用，網(wǎng)絡(luò)管理 和安全防范問題也越來越復(fù)雜。 局域網(wǎng) WWW 服務(wù)器的配置如圖 41 所示 : 圖 41 局域網(wǎng) WWW服務(wù)器配置圖 DNS 服務(wù)器配置 DNS服務(wù)器在互聯(lián)網(wǎng)的作用是：把域名轉(zhuǎn)換成為網(wǎng)絡(luò)可以識(shí)別的 ip 地址。 WWW 使得非常復(fù)雜的 Inter 使用起來異常簡單。因此 WWW 為用戶帶來的是世界范圍的超級(jí)文本服務(wù)。目前，最流行的瀏覽器軟件主要有 Netscape municator 和 Microsoft Inter Explorer。因此，它已經(jīng)成為 Inter 上應(yīng)用最廣和最有前途的訪問校園局域網(wǎng)的組建 17 工具，并在商業(yè)范圍內(nèi)日益發(fā)揮著越來越重要的作用。 Inter 采用超文本和超媒體的信息組織方式，將信息的鏈接擴(kuò)展到整個(gè)Inter 上。能夠提供面向 Inter 服務(wù)的、一致的用戶界面的信息瀏覽系統(tǒng)。 具體的無線局域 網(wǎng)的配置代碼如下： ip dhcp pool wireless work defaultrouter dnsserver 無線路由器 Inter 自動(dòng)獲得的 IP 如圖 31 所示： 校園局域網(wǎng)的組建 14 圖 31 無線路由器 Inter 自動(dòng)獲得 IP 圖 無線路由器 LAN 的 IP如圖 32 所示： 校園局域網(wǎng)的組建 15 圖 32 無線路由器 LAN 的 IP 圖 查看無線局域網(wǎng)的 PC 機(jī)自動(dòng)獲得 IP 的情況，如圖 33 所示 : 校園局域網(wǎng)的組建 16 圖 33 局域網(wǎng)中 PC 機(jī)自動(dòng)獲得的 IP 圖 4 校園網(wǎng)服務(wù)器配置 WWW 服務(wù)器配置 WWW 是建立在客戶機(jī)／服務(wù)器模型之上的。無線局域網(wǎng)作為一個(gè)有限局域網(wǎng)的補(bǔ)充和完善，在校園網(wǎng)建設(shè)中將會(huì)有更好的應(yīng)用。對(duì)于我校在樓宇內(nèi)采用接入方式對(duì)辦公室、會(huì)議室、校園廣闊地進(jìn)行無線網(wǎng)絡(luò)覆蓋。能夠充分配合學(xué)校舉辦的各類臨時(shí)性或者應(yīng)急性活動(dòng)，根據(jù)需要迅速架設(shè)后者調(diào)整網(wǎng)絡(luò)； (5)Cisco 無線網(wǎng)絡(luò)產(chǎn)品提供了可靠的安全保證，其全部無線網(wǎng)絡(luò)產(chǎn)品均支持WPA/WPA2 加密，并可擴(kuò)充至 256 位的 AES 加密算法，為無線校園網(wǎng)絡(luò)在覆蓋區(qū)域內(nèi)的全面應(yīng)用提供了保障，無論是辦公，還是個(gè)人傳輸，都能夠放心應(yīng)用。 Cisco 無線校園網(wǎng)的特點(diǎn)： (1)無線室外路由器、無線 AP和無線網(wǎng)卡組成了完整的無線系統(tǒng)，實(shí)施極為便利，免去布線的困難，節(jié)約用戶建設(shè)校園網(wǎng)絡(luò)環(huán)境的時(shí)間、精力和財(cái)力； (2) WAP200E 室外無線路由器適應(yīng)性出色，使用中避免了網(wǎng)絡(luò)施工造成的環(huán)境破壞，利用無線網(wǎng)絡(luò)空中連接校園內(nèi)建筑物； (3)對(duì)于很多學(xué)校存在分校的現(xiàn)象予以充分考慮。利用這臺(tái)主機(jī)進(jìn)行遠(yuǎn)程管理和配置，特點(diǎn)是網(wǎng)管可以進(jìn)行遠(yuǎn)程控制。通過路由器的 Console 口管