[汇编]西南东羽大学校园网组网方案

[汇编]西南东羽大学校园网组网 方案 气瓶 现场处置方案 .pdf气瓶 现场处置方案 .doc见习基地管理方案.doc关于群访事件的化解方案建筑工地扬尘治理专项方案下载 西南东羽大学 校 园 网 组 网 方 案 项目组成员:吕云贵、杨琳慧、吕梦亭 李家娟、杨嘉骏 目录 第一章 校园网络需求 分析 定性数据统计分析pdf销售业绩分析模板建筑结构震害分析销售进度分析表京东商城竞争战略分析 1.1校园各子网功能分析 1.2需求分析与拓朴结构 1.3服务应用分析 第二章 校园网的设计 2.1构建校园网络设计目标 2.2校园网的设计原则 2.3校园网络系统管理要求 2.4校园网络系统应用要求 2.5校园网布线系统应用要求 2.6校园网拓扑结构图 第三章 校园网设备选型 3.1校园网核心层设备选择 3.2校园网汇聚层设备选择 3.3校园网接入层设备选择 3.4校园网服务器和路由器设备选择 第四章 交换机和路由器的配置 4.1虚拟网划分 4.1.1 VLAN的发展与现状 4.1.2 使用VLAN技术的优点 4.1.3 VLAN端口划分及配置 第五章 路由器与交换机的配置 5.1路由器的配置 5.2核心层交换机的配置 5.3汇聚层交换机的配置 5.4办公室接入层交换机配置 5.5学生宿舍接入层交换机配置 第六章 网络安全性 6.1系统安全 6.2防毒技术 第七章 结论 第一章 校园网络需求分析 1.1校园各子网功能分析 21世纪是一个以数字化、网络化与信息化为核心的信息时代。信息技术的高速发展使得计算机网络发展的非常迅速，已经成为信息科学的一个新的分支。随着计算机网络的发展，校园网已经成为学校走向信息化时代的必然发展趋势，使我国教育管理向智能化发展。校园网络的规划设计是一项系统工程，不同的规划设计方案，可使网络存在较大的性能差异，它不仅体现在网络本身具备的技术特性和应用特点上，也体现了不同用户的各种需求，而校园网的建设必将对学校的信息化建设和教学素质的提高起到强大的推动作用，同时提供简单、有效、便捷的理想办公、教学环境。本文通过对学校园网建设的研究，着重从需求分析、校园网的设计、设备的选型、网络互联设备配置等方面进行了分析与描述，并给出了具体的设计方案。 总体设计是校园网建设的总体思路和工程蓝图，是搞好校园网建设的核心任务。进行校园网总体设计，首先，进行对象研究和需求调查，弄清学校的性质、任务和改革发展的特点，对学校的信息化环境进行准确的描述，明确系统建设的需求和条件;其次，在应用需求分析的基础上，确定学校Intranet服务类型，进而确定系统建设的具体目标，包括网络设施、站点设置、开发应用和管理等方面的目标;第三，确定网络拓朴结构和功能，根据应用需求、建设目标和学校主要建筑分布特点，进行系统分析和设计;第四，确定技术设计的原则要求，如在技术选型、布线设计、设备选择、软件配置等方面的标准和要求;第五，规划安排校园网建设的实施步骤。 本文从校园用户的需求分析入手，阐述了校园网的应用特点，以及网络产品如何满足校园网用户的多方面需求。然后从校园网的设计、校园网互联设备选型及交换机路由器的配置作了详细的介绍。 1.2需求分析与拓朴结构 1.2.1校园网的功能 1、网络中心 网络中心形成了主干网，是整个校园网的总节点，并提供连接广域网和拨入服务，在主干网系统采用以太网结构。在方案中，中心机房放置着中心交换机、服务器群、路由器、机架MODEM等网络设备，这些设备以中心交换机作为中心，以星形拓朴结构通过双绞电缆线连接在一起。网络中心与子网的连接，是通过根据与子网的距离，通过光纤和双绞电缆线将中心交换机和子网的交换机连接起来。 2、信息交流功能 (1) 互联网信息服务--让学校了解世界，让世界了解学校 (2) 校内信息服务，信息的接收者就是信息的发布者 3、学生学习功能 网络使学生的学习方式发生了很大变化，他们利用网络自主学习，提高自己的学习能力。他们需要上网查了资料，将完成的作业利用电子邮件发送给了老师。鼓励学生们建立自己的网页，包括英语角、名站鉴赏、硬件长廊、编程作坊、会员网页、游戏论坛、电脑文化等栏目。 4.图书馆功能，以图书馆为信息源 图书馆可以开设面向教师开放的电子备课室和光盘阅览室，开设面向学生开放的电子阅览室。采购、分类编目、流通、查询、期刊等环节全面实行计算机自动化管理，可以在校园网提供网上在线书目检索服务，读者可以在网上实现检索图书、浏览全文、查阅借阅情况、办理预约及续借手续等。进而实现图书管理的"电脑化"和资料查询的"网络化"。 、办公子网 5 学校管理机构作为学校的中枢管理系统，协调、组织整个学校工作的正常运行，为了能适应管理机构的功能，办公子网需要针对用户的权限，完成数据生成、修改、查询，进行办公自动化、人员资料管理、课程管理等方面的工作。办公子网与网络中心的信息通信比较多、每天要访问大量的数据，还有音频、视频等方面的需求，可以采用一个千兆光纤模块的交换机，在与网络中心的中心交换机通信时有足够的带宽，足以适应各种场合的应用。 6、多媒体教学子网 在多媒体教学活动中，需要有大量的视频、音频数据进行传输，而基于共享工作方式的集线器，其有限带宽、广播式工作模式不利于这些信号的传输。所以推荐采用交换机用为主要设备，只有在个别用户数目比较少、对信号质量要求不高时，采用集线器。多媒体 教室与网络中心的数据通信一般不多，但距离比较远，可以根据教室的多少，增加二级交换机，各个教室采用端口数比较多的交换机。 7、图书馆子网 图书馆子网主要功能是在图书馆范围内进行计算机文献检索、电子阅读、计算机借还系统以及在校园网上进行文献检索等。由于图书、文献等多以文本的形式出现，数据量不大，可以采用集线器作为节点。图书馆子网中需要存储大量数据，所以要设置专用的数据库服务器作为数据存储、管理系统，数据存放在光盘塔、硬盘阵列等系统中，支持图书馆子网和校园网用户的访问和查询。图书馆子网与网络中心采用1000M带宽的交换机。 8、宿舍子网 学生和教师宿舍子网主要是通过100M接入层交换机实现互联。 1.3服务应用分析 1.3.1网络教学的应用分析 组建校园网的根本目的在于应用，而这之中，网络教学又是重点。要充分发挥校园网的作用，就需要在网络教学中体现。网络教学包括一系列的软、硬件系统。当然建立网络教学也需要建立起配套的网络办公软件。这是现在办公自动化的一个体现,可以大大的提高办公效率，具体办公系统如下: 、多媒体教学系统 1 建立起基于多媒体的教学系统，在这中间充分利用多媒体教室的计算机、网络系统，为教学提供帮助。在相关软件配合下，实现现代化的教学。在这过程中，软件方面建立相应的CAI软件库。CAI软件库应做到学科齐全，内容丰富和形式多样，要适应不同学科，不同层次的课堂和个性化学习的需要。 2、建立教学资料、课件库 要保证网络为教学提供必要的辅助，除了在CAI软件外，就是建立相应的资料、课题库。这就包括参考资料，相关教师、学生信息，还有典型的专家教学案例，网络教学课件。其内容包括多方面的，可以是文本，如WORD文件，PowerPoint演示文件等;也可以是声像，如Flash教学文件，VCD，DVD，RM/RMVB，WMV教学录像资料。 3、建立基于Internet/Intranet的网络办公系统 目前，办公无纸化是一个趋势，办公无纸化就是指通过在Internet/Internet服务器建立相应的办公软件，并发布相应办公信息。各Internet/Internet客户端通过相应软件访问服务器资源，查看服务发布的各种信息。在这个过程中,网络办公系统包括处理日常事物，教学事务，学生信息管理，考试系统等。校园网络办公系统不仅要考虑到校园办公的实际需要，而且要增强信息管理和信息查询功能，为校园网领导提供相应信息服务，这样才能充分发挥校园网的优势，完成学校办公系统自动化的管理要求。系统在WEB浏览器上实现校园网的办公需求，应具体有如下功能: (1).办公自动化:包括公文流转、公文管理及日常办公事务处理等 (2).信息服务:包括办公管理信息查询和日常信息服务，办公管理信息主要是学校的教务信息、学生信息、教职工信息、教学信息、财务信息、校园设备信息、多媒体信息、图书馆信息等。日常信息主要是学校相关介绍、新闻动态、教学信息、招生信息等。这要 求系统能提供较强的扩充功能，并且学校可根据自己的需要，对信息进行修改和扩充。 (3).信息共享:主要包括数据的共享，体现在数据转储、查询构造等。 1.3.2服务器需求分析 服务器在校园网中充当不可或缺的角色，根据我校的实际情况，至少需要6台服务器设备，具体服务器设备如下: 校园网服务器需求如表1-2-2所示: 服务器名 数量 DNS 1 WWW 1 E-mail 1 FTP 1 数据库服务器 1 VOD点播服务器 1 1.3.3各信息点的分析 组建全网首先得计算出信息点的数量，此次组建覆盖全校建筑群的局域网，其基本分布如下: 设置中心机房(信息中心)，在各栋楼设子配线间。在中心机房内设服务器机房，各服务器通过1000M双绞线与核心交换机连接，实现直接与核心交换机数据交换;通过室内，室外多模光纤与各栋大楼配线间接入交换机连接，在各子配线间通过100M双绞线连接至多媒体教室，网络教室，教师备课间，教师办公室的桌面交换机或其PC机。整个布线网络实现1000M主干，100M桌面的连接。各建筑群需要的信息点数如图所示: 各楼层信息点的需求数如表1-2-3 建筑名 楼层 信息点数 到网络中心的距离(米) 教学楼 1-5F 5000 150 图书馆 1F 4500 150 办公楼 1-6F 5000 300 宿舍区 1-6F 5000 500 第二章 校园网的设计 2.1构建校园网络设计目标 此方案设计将实现网络主干1000M，桌面100M，端口应为独占100M。而且从目前应用水平考虑，端口独占100M的交换式网络，在相当一段时间内也能支持应用。同时并不影响将来网络的各方面扩展。系统最终将由以下几个子系统构成: 1、校园计算机局域网; 这点是校园网建设的基础，也是本次校园网组建规划的主要工作，其他所有的建设都是建立在此部分之上的。建设覆盖全校的局域网包括网络技术选型，拓扑结构设计，布线系统设计和网络方案的具体设计。在这之中，网络方案设计中网络的核心、汇聚、接入层三层是其重点。其次进行VLAN划分，子网配置和IP地址的分配，最后进行服务器、交换机和路由器的配置。 、交互式多媒体教学系统; 2 3、学校自动化办公系统; 4、学校教学和管理综合信息系统 在本网络中服务从类型上说既有简单的消息服务，又有资源共享服务;既有访问集中式的数据库，又有分布式事务处理;既有非实时性服务，又有实时性服务。主要支持教师教学和学生学习，提供共享接入Internet，E-mail，WWW，FTP，VOD点播等。 2.2校园网的设计原则 根据我校园网的具体要求与实际情况，此次校园网的组建应符合以下原则: 经济性:尽量利用性价比较好的网络及计算机设备，以低廉的投资获取较高性能。 实用性:确保加速信息传递，提高工作效率，节约办公费用。 操作性:人性化的设计，保证网络管理人员和使用人员能快速的使用网络。 扩展性:网络具有较强的可升级性，在将来需要时可以对网络进行必要的扩充。在增加新硬件设备时能方便地接入网络，软件上便于更新、维护、升级。 2.3校园网络系统管理要求 我校组建的校园网必需具备有完善的、安全的智能化网络管理功能，其基本需求如下: 1)网络设备支持基于端口的虚拟网(VLAN)划分，利用网络管理软件能动态地调整配置VLAN。使划分的各虚网之间既能相互共享所需的信息，又能分别独立运作，加强各虚网之间信息的安全性。这样易于实现网络重组并具备隔离广播风暴的能力。 2)具有基于端口的访问控制模式，有效防止外部或内部对某些重要信息点的访问，达到控制信息流向的目的，增强网络的安全性。 3)动态监控网络流量和端口状态，及时平衡网络负载。 4)动态监控网络登录、网络代理用户数，有效、及时地防止某些非法访问。 5)对网络故障及时报警，并实现隔离。 对于网络管理系统软件，选用华为公司的网络管理软件H3C网管应用软件。 2.4校园网络系统应用要求 对于我校组建的网络系统来说要求是比较高的，针对我校的实际情况，对服务器硬件系统和应用软件系统的要求如下: 1、服务器硬件系统要求 整个校园网络建成以后，需要运行哪些应用系统，选配哪些应用服务器设备是我们应该为客户设想的关键问题，针对该校的具体需求，我们选配三台服务器:WEB服务器、E-mail服务器和FTP服务器。 2、应用软件系统要求 1)操作系统 WINDOWS Server 2003在稳定性和安全性方面可靠性较高，完全适合该校的网络操作系统需求。 2)应用软件 校园应用软件要求包括如下几个部分:大学校园网办公软件、视频点播VOD软件、SQL Server数据库软件、电子阅览室资源库等。 2.5校园网布线系统应用要求 随着网络日新月异的发展，综合布线在校园网中的应用越来越广，我校也采用综合布线系统来规划网络，具体分为六大子系统，它们分别是: (1)水平子系统主要是实现信息插座和管理子系统，即中间配线架(IDF)间的连接。比如从我们宿舍楼层的每一层交换机到我们每个宿舍的距离，中间采用双绞线连接。 (2)管理子系统由交连、互连和输入/输出组成，实现配线管理，为连接其它子系统提供手段。比如从每一栋楼到中心机房的距离，中间采用多模光纤连接。 (3)干线子系统指提供建筑物的主干电缆的路由，是实现主配线架与中间配线架，计算机、PBX、控制中心与各管理子系统间的连接。比如我们宿舍每一层楼与每一层楼之间，中间采用双绞线连接。 (4)设备间子系统由设备室的电缆、连接器和相关支持硬件组成，把各种公用系统设备互连起来。比如从我们宿舍与办公楼之间相接的地方。 (5)建筑群子系统是实现建筑之间的相互连接，提供楼群之间通信设施所需的硬件。比如我们宿舍与办公楼之间的距离，由于距离较远，所以中间采用多模光纤连接。 2.6校园网拓扑结构图 网络拓扑结构选用星型拓扑结构。它是目前使用最多、最为普遍的局域网拓扑结构，具体分为三级结构: 布置了校 第一级是网络中心，为中心节点。网络中心选址在学校地域的中心建筑,园网的核心设备，如路由器、交换机、服务器(WWW服务器、电子邮件服务器、文件服务器等)，并预留了将来与本部以外的几个园区的通信接口。 第二级是建筑群的主干结点，为二级节点。校园网按地域设置了几条干线光缆，从网络中心辐射到几个主要建筑群，并在二级主干节点处端接。在主干网节点上安装的交换机位于网络的第三层，它向上与网络中心的主干交换机相连，向下与各楼层的接入层交换机相连。学校校园网主干带宽全部为1000Mbps。 第三级是建筑物楼内的接入层交换机，为三级节点，三级节点主要是指直接与工作站连接的局域网设备。 校园网络拓扑结构如图2-6 第三章 校园网设备选型 本次校园网设备选型中，我们采用了1台华为S5328C-EI-24S核心层交换机、6台华为Quidway S3952P-SI汇聚层交换机、以及若干个3COM(H3C)华为 S1526接入层交换机，其各层设备具体性能参数如下: 3.1校园网核心层设备选择 核心层采用华为S5328C-EI-24S交换机，其具体参数如下: 华为S5328C-EI-24S主要参数 运营级千兆以太网交换机 交换机类型 三层 应用层级 10Mbps/100Mbps/1000Mbps 传输速率 IEEE802.3, IEEE802.3u, IEEE802.3d, IEEE802.3ab, IEEE802.3x 网络标准 模块化 端口结构 28 端口数量 24个100/1000Base-X SFP, 4个10/100/1000Base-T Combo, 上行2个10GE 接口介质 XFP插卡或者4个1000Base-X SFP 全双工 传输模式 存储-转发 交换方式 256Gbps 背板带宽 66Mpps 包转发率 支持 VLAN支持 支持 QOS支持 支持 网管支持 支持Telnet 远程配置、维护、支持SNMPv1/v2/v3、RMON、iManager 网管网管功能 系统、集群管理HGMP、支持系统日志、分级告警 MAC地址表 32K 用户分级管理和口令保护、支持防止DoS、ARP 攻击功能、支持IP、MAC、 端口的组合绑定、支持端口隔离、支持MAC 地址黑洞、支持MAC 地址学习 安全性 数目限制、支持IEEE 802.1X 认证, 支持单端口最大用户数限制、支持AAA 认证, 支持Radius、TACACS+等多种方式、支持SSH V2.0、支持CPU 保护功 能 442×420×43.6 mm 尺寸(mm) <8kg 重量(Kg) 3.2校园网汇聚层设备选择 汇聚层采用华为Quidway S3952P-SI作为交换机，其具体参数如下: 华为Quidway S3952P-SI主要参数 部门级交换机 交换机类型 三层 应用层级 10Mbps/100Mbps/1000Mbps 传输速率 IEEE802.3, IEEE802.3u, IEEE802.3d, IEEE802.3ab, IEEE802.3x 网络标准 固定端口 端口结构 48 端口数量 100BASE-TX、10/100/1000Base-T、1000BASE-SX、1000BASE-FX 接口介质 全双工 传输模式 存储-转发 交换方式 17.6Gbps 背板带宽 13.2Mbps 包转发率 支持 VLAN支持 支持 QOS支持 支持 网管支持 通过Console 口配置, 支持SNMP, 支持RMON1, 2, 3, 9组MIB, 支持华为 iManager? N2000 DMS网管系统, 支持WEB 网管, 支持系统日志, 分级告警 网管功能 16k MAC地址表 440×260×43.6 尺寸(mm) 4kg 重量(Kg) 3.3校园网接入层设备选择 接入层采用3COM(H3C)华为 S1526作为交换机，其具体参数如下: 3COM(H3C)华为 S1526主要参数 3COM(H3C)华为 S1526 可管理接入24口10/100M机架交换机 交换机类型 二层 应用层级 10/100Mbps 传输速率 IEEE802.3 10BASE-T 以太网 IEEE802.3u 100BASE-TX 快速以太网 网络标准 IEEE802.3ab 1000BASE-T 千兆以太网 固定端口 端口结构 24 端口数量 24 个 10/100Base-TX 自适应以太网端口 2 个 10/100/1000Base-T 自适应接口介质 以太网端口 1 个 Console 接口 全双工 传输模式 RJ-45 接口类型 3.4校园网服务器和路由器设备选择 该校园网服务器选择联想万全R525 S5405，其性能参数如下: 联想万全R525 S5405参数 类型 企业级 类别 机架式 结构 2U CPU类型 Xeon E5405、主频2000MHZ、二级缓存12MB、四核 FSB(总线) 1333MHz，扩展槽3个 内存类型 FB-DIMM 内存大小 1GB 内存带宽/描述 21GB/s 内存插槽数量 12 硬盘大小 3*73GB 硬盘类型 SAS 内部硬盘架数 单机支持12块硬盘 最大热插拔硬盘数 支持热插拔 磁盘阵列卡 板载1078 256M SAS RAID卡 光驱 标配Slim CD-ROM光驱 集成Intel双千兆自适应网卡,支持网卡冗余、负载均衡等功能,网络控制器 可选外插Intel千兆自适应网卡 显示芯片 集成ATI显示芯片,16MB显存 3个RJ45网络接口(其中一个用于服务器管理)、4个USB接口(前标准接口 置2个,后置2个)、1个PS/2鼠标接口、1个PS/2键盘接口、2 个显示接口(前置1个,后置1个)、1个串口 Windows server 2003 R2 Standard Edition中文版/英文版系统支持 (X32)、Windows server 2003 R2 Enterprise Edition中文版/ 英文版(X32)、Windows server 2003 R2 Standard Edition 本网络采用思科2811的路由器，其基本参数如下: 思科2811基本参数 模块化路由器 产品定位 WAN||Ethernet||Fast Ethernet 网络类型 UL 60950:CAN/CSA C22.2 No. 60950,IEC 60950,EN 60950-安全标准 1,AS/NZS 60950 是 是否内置防火墙 是 是否支持VPN 是 是否支持Qos IEEE 802.3X 支持网络 协议 离婚协议模板下载合伙人协议 下载渠道分销协议免费下载敬业协议下载授课协议下载 固定的局域网接口 2 x 10/100Mbps 扩展模块槽数 4 控制端口 Console Flash内存 64MB DRAM内存 256MB Cisco ClickStart，SNMP 支持的网管协议 第四章 交换机和路由器的配置 4.1虚拟网划分 4.1.1 VLAN的发展与现状 交换技术的发展，也加快了新的交换技术(VLAN)的应用速度。通过将企业网络划分为虚拟网络VLAN网段，可以强化网络管理和网络安全，控制不必要的数据广播。在共享网络中，一个物理的网段就是一个广播域。而在交换网络中，广播域可以是有一组任意选定 的第二层网络地址(MAC地址)组成的虚拟网段。这样，网络中工作组的划分可以突破共享网络中的地理位置限制，而完全根据管理功能来划分。这种基于工作流的分组模式，大大提高了网络规划和重组的管理功能。在同一个VLAN中的工作站，不论它们实际与哪个交换机连接，它们之间的通讯就好象在独立的集线器上一样。同一个VLAN中的广播只有VLAN中的成员才能听到，而不会传输到其他的 VLAN中去，这样可以很好的控制不必要的广播风暴的产生。同时，若没有路由的话，不同VLAN之间不能相互通讯，这样增加了企业网络中不同部门之间的安全性。网络管理员可以通过配置VLAN之间的路由来全面管理企业内部不同管理单元之间的信息互访。交换机是根据用户工作站的MAC地址来划分VLAN的。所以，用户可以自由的在企业网络中移动办公，不论他在何处接入交换网络，他都可以与VLAN内其他用户自如通讯。在传统的局域网中，各站点共享传输信道所造成的信道冲突和广播风暴是影响网络性能的重要因素。由于网络中的站点被束缚在所处的物理网络中，而不能根据需要将其划分至相应的逻辑子网，因此网络的机构缺乏灵活性。为解决这一问题，从而引发了虚拟网VLAN的概念，所谓VLAN是指网络中的站点不拘泥于所处的物理位置，可以根据需要灵活地加入到不同的逻辑子网中的一种网络技术。例如位于不同楼层的用户或者不同教室的用户可以根据需要加入不同的VLAN。VLAN可以是有混合的网络类型设备组成，比如:10M以太网、100 M以太网、令牌网、FDDI、CDDI等等，可以是工作站、服务器、集线器、网络上行主干等等。VLAN的管理需要比较复杂的专门软件，它通过对用户、MAC地址、交换机端口号、VLAN号等管理对象的综合管理，来满足整个网络的VLAN划分、监视等功能，以及其他扩展管理功能。现在比较通用的VLAN的划分 方法 快递客服问题件处理详细方法山木方法pdf计算方法pdf华与华方法下载八字理论方法下载 是基于MAC地址。但也有一些厂商的交换机提供更多的VLAN划分方法:MAC地址、协议地址、交换机端口、网络应用类型和用户权限等等。用户在选择交换机的同时，应当仔细考察选购的交换机的VLAN功能，根据自己企业的实际需要，选择满足要求而且管理方便的交换机。同时，应当特别注意现在不同厂商的交换机的VLAN之间大多数是不兼容的。 4.1.2 使用VLAN技术的优点 使用VLAN具有以下优点: 1、控制广播风暴 一个VLAN就是一个逻辑广播域，通过对VLAN的创建，隔离了广播，缩小了广播范围，可以控制广播风暴的产生。 2、提高网络整体安全性 通过路由访问列表和MAC地址分配等VLAN划分原则，可以控制用户访问权限和逻辑网段大小，将不同用户群划分在不同VLAN，从而提高交换式网络的整体性能和安全性。 3、网络管理简单、直观 对于交换式以太网，如果对某些用户重新进行网段分配，需要网络管理员对网络系统的物理结构重新进行调整，甚至需要追加网络设备，增大网络管理的工作量。而对于采用VLAN技术的网络来说，一个VLAN可以根据部门职能、对象组或者应用将不同地理位置的网络用户划分为一个逻辑网段。在不改动网络物理连接的情况下可以任意地将工作站在工作组或子网之间移动。利用虚拟网络技术，大大减轻了网络管理和维护工作的负担，降低了网络维护费用。在一个交换网络中，VLAN提供了网段和机构的弹性组合机制。 4.1.3 VLAN端口划分及配置 该校申请的IP地址为207.160.130.131，域名为www.XNDYDX.com，主DNS为218.76.138.66，辅助DNS为218.76.138.90。根据该学校的情况，将VLAN与IP分配如下表: 表4-1-3为该校VLAN与IP网段的划分 VLAN 号 网段IP 网关 备注 2 192.168.10.0/24 192.168.10.254 多媒体1 3 192.168.20.0/24 192.168.20.254 多媒体2 4 192.168.30.0/24 192.168.30.254 学生宿舍1栋 4 192.168.40.0/24 192.168.40.254 学生宿舍2栋 5 192.168.50.0/24 192.168.50.254 教师宿舍1栋 6 192.168.60.0/24 192.168.60.254 教师宿舍2栋 192.168.70.254 7 192.168.70.0/24 后勤处办公室 8 192.168.80.0/24 192.168.80.254 教务处办公室 9 192.168.90.0/24 192.168.90.254 学工处办公室 10 192.168.100.0/24 192.168.100.254 图书馆办公室 11 192.168.110.0/24 192.168.110.254 电子阅读室 12 192.168.120.0/24 192.168.120.254 教学楼机房1 13 192.168.130.0/24 192.168.130.254 教学楼机房2 14 192.168.140.0/24 192.168.140.254 教学楼机房3 5.1路由器与交换机的配置 5.1.1路由器的配置 路由器CISCO 2811与内网的连接端口为f 0/0，此端口的IP地址为10.1.1.1。f0/1为外部端口，IP地址为207.160.130.131。通过以下对路由器CISCO 2811的配置完成了该校内部网络与外部Internet的通信，并使用NAT技术完成了外部网络对内部局域网访问的地址转换，配置ACL访问控制列表实现老师宿舍1栋无法访问图书馆。同时开启了此路由器的远程功能。 router0> #启动路由器后进入用户模式 router0>en router0#configure terminal router0(config)# router0(config)#router ospf 100 #配置OSPF路由协议 router0(config)#network 10.1.1.0 0.0.0.3 area 0 router0(config)#redistribute rip subnets router0(config)#exit router0(config)#ip nat pool router 207.160.130.131 207.160.130.139 netmask 255.255.255.0 #定义用于转换的外部全局地址池 router0(config)#access-list 1 permit any #定义需要转换的地址范围 router0(config)#ip nat inside source list 1 pool router0 overload #配置端口地址转换 router0(config)#interface fastEthernet 0/0 #定义f0/0为内部接口 router0(config-if)#ip address 10.1.1.1 255.255.255.252 router0(config-if)#ip nat inside router0(config-if)#no shutdown router0(config-if)#interface fastEthernet 0/1#定义F0/1外部接口 router0(config-if)#ip address 207.160.130.131 255.255.255.0 router0(config-if)#ip nat outside router0(config-if)#no shutdown router0(config-if)exit router0(config)#access-list deny 1 host 192.168.30.2 #配置ACL访问控制 router0(config)#access-list 1 permit any router0(config)#exit router0(config)#interface fastEthernet 0/1 #将 规则 编码规则下载淘宝规则下载天猫规则下载麻将竞赛规则pdf麻将竞赛规则pdf 定义到指定的接口 router0(config-if)#ip access-group 1 out router0(config-if)#exit router0(config)# #返回特权模式 router0#write #保存配置 5.1.2核心层交换机的配置 IP地址 端口 对端设备 对端IP地址 对端端OSPF区 口 域 10.1.1.1/30 F0/0 主教学楼 10.1.1.2 F0/18 Area1 10.1.1.5/30 F0/19 学生宿舍 10.1.1.6/30 F0/19 Area2 10.1.1.9/30 F0/20 教师宿舍 10.1.1.10 F0/20 Area3 10.1.1.13/30 F0/21 办公楼 10.1.1.14/30 F0/21 Area4 10.1.1.17/30 F0/22 图书馆 10.1.1.18/30 F0/22 Area5 10.1.1.21/30 F0/23 实训楼 10.1.1.22/30 F0/23 Area6 192.168.150.2/24 F0/3 Web server 192.168.150.3/24 F0/2 E-mailserver 192.168.150.4/24 F0/1 FTPserver 表5-1-2为OSPF端口及区域的划分 为了与计算机使用的IP地址区分，因此必须划分相应的端口地址及网段，具体分配如表所示 下面为华为S5328C-EI-24S交换机的具体配置: 启动交换机后默认进入用户模式 Switch> #进入特权模式 Switch>enable #进入全局模式 Switch#configure terminal Switch(config)#hostname Center #交换机名称配置 Center(config)#enable password 123456 #配置进入特权模式口令Center(config)#enable secret Center Center(config)#vtp domain Center #配置VTP，设VTP域名为Center Center(config)#vtp mode server #将VTP设置为服务器模式 Center(config)# Center(config)#exit #返回到特权模式 Center#configure terminal #进入全局模式 Center(config)#interface fastEthernet 0/18 #进入接口0/18 并为其端口设置IP Center (config-if)#no switchport Center (config-if)#ip address 10.1.1.2 255.255.255.252 Center (config-if)no shutdown Center (config-if)interface FastEthernet0/19 Center (config-if)no switchport Center (config-if)ip address 10.1.1.5 255.255.255.252 Center (config-if)no shutdown Center (config-if)interface FastEthernet0/20 Center (config-if)no switchport Center (config-if)ip address 10.1.1.9 255.255.255.252 Center (config-if)no shutdown Center (config-if)interface FastEthernet0/21 Center (config-if)no switchport Center (config-if)ip address 10.1.1.13 255.255.255.252 Center (config-if)no shutdown Center (config-if)interface FastEthernet0/22 Center (config-if)no switchport Center (config-if)ip address 10.1.1.17 255.255.255.252 Center (config-if)no shutdown Center (config-if)interface FastEthernet0/23 Center (config-if)no switchport Center (config-if)ip address 10.1.1.21 255.255.255.252 Center (config-if)no shutdown Center (config-if)interface FastEthernet0/24 Center (config-if)no switchport Center (config-if)ip address 10.1.1.29 255.255.255.252 Center (config-if)no shutdown Center (config-if)#exit #返回全局模式 Center (config)# Center (config)#router ospf 100 #配置OSPF路由(设OSPF的区号为100) Center (config-router)#network 10.1.1.0 0.0.0.3 area 0 #配置路由区域 Center (config-router)#network 10.1.1.4 0.0.0.3 area 1 Center (config-router)#network 10.1.1.8 0.0.0.3 area 2 Center (config-router)#network 10.1.1.12 0.0.0.3 area 3 Center (config-router)#network 10.1.1.16 0.0.0.3 area 4 Center (config-router)#network 10.1.1.20 0.0.0.3 area 5 Center (config-router)#network 10.1.1.28 0.0.0.3 area 6 Center (config-router)#exit #返回全局模式 Center (config)#line vty 0 1 #设置远程登录密码为123456 Center (config-line)#login Center (config-line)#password 123456 Center (config-line)#exit Center (config)#exit Center #write #返回到特权模式保存配置 通过以上配置各汇聚层交换机与核心层交换机均采用OSPF路由协议，共划分了7个区域，路由器与中心机房配置成area0，其余为area1-area6(在模拟软件中都有标记)，各汇聚层交换机与接入层交换机之间均采用RIP路由协议，各服务器与中心机房采用静态路由，另外在每个汇聚层交换机上都配有远程登录。 5.1.3汇聚层交换机的配置 汇聚层交换机以实训楼所在的汇聚交换机华为S5328C-EI-24S配置为详细说明，其它汇聚层交换华为S5328C-EI-24S交换机可参考本节的配置。下面是实验楼汇聚交换机的详细配置。 Switch> Switch>enable #进入特权模式 Switch#configure terminal #进入全局模式 Switch(config)#hostname converge #为交换机配置名称converge(config)#enable password 123456 #配置进入特权模式口令 converge(config)#enable secret test converge(config)#vtp domain perry #配置VTP，设VTP域名为perry，并设 为客户端 模式。 converge(config)#vtp mode client converge(config)# converge# #返回到特权模式 Converge#show vlan #查看VLAN converge#configure terminal #进入全局模式 converge(config)#interface fastEthernet 0/19 #进入接口模式 converge(config)#no switchport converge(config-if)#ip address 10.1.1.5 255.255.255.252 converge(config-if)no shutdown if)interface fastEthernet 0/24 #进入24号端口，设置为converge(config- trunk口 converge(config-if)switchport mode trunk converge(config-if)no shutdown converge(config)exit #返回到全局模式 converge(config)interface Vlan 2 #进入VLAN虚拟端口，并设其IP converge(config-if)ip address 192.168.10.254 255.255.255.0 converge(config-if)interface Vlan 3 converge(config-if)ip address 192.168.20.254 255.255.255.0 converge(config-if)#exit #返回到全局模式 converge(config)#router opsf 100 #配置OSPF及RIP路由 converge(config-router)#network 10.1.1.0 0.0.0.3 area 1 router)#redistribute rip subnets converge(config- converge(config-router)#exit converge(config)#router rip converge(config-router)#version 2 converge(config-router)#network 192.168.10.0 converge(config-router)#network 192.168.20.0 converge(config-router)#network 10.1.1.0 converge(config-router)#redistribute ospf 100 converge(config-router)#exit #返回全局模式 converge(config)#line vty 0 1 #配置远程登录 converge(config-line)#login converge(config-line)#password 123456 converge(config-line)#exit converge#write #返回到特权模式保存配置 5.1.4办公室接入层交换机配置 通过以下对办公楼所在的交换机配置命令，完成了对办公楼不同办公室区域网段的划分，同时开启了此台交换机的远程登录功能。办公楼接入交换机3COM(H3C)华为 S1526的24号端口与汇聚层交换机华为Quidway S3952P-SI的24号端口相连，与其它设备端口连接如下表: 端口 对端设备 端口所属VLAN fastEthernet 0/1 后勤处 7 fastEthernet 0/2 教务处 8 fastEthernet 0/3 学工处 9 表5-1-4为各办公室VLAN的端口划分 下面为办公楼接入层交换机的详细配置。 启动交换机后默认进入用户模式 Switch> Switch>enable Switch#configure terminal #为交换机配置名称(名称使为office) Switch(config)#hostname office office(config)#enable password 123456 #配置进入特权模式口令 office(config)#enable secret test office(config)#vtp domain perry #配置VTP，设VTP域名为perry，并设为客 户端模式。 office(config)#vtp mode client office(config)#exit #返回到特权模式 office#show vlan office#configure terminal #进入全局模式 office(config-if)interface fastEthernet 0/24 #进入接口模式(进入24号端口，设置端口模式为trunk口) office(config-if)switchport mode trunk office(config-if)no shutdown office(config-if)interface fastEthernet 0/1 #为1号端口指定要对应VLAN office(config-if)#switchport access vlan 7 office(config-if)no shutdown office(config-if)# interface fastEthernet 0/2 office(config-if)#switchport access vlan 8 office(config-if)no shutdown office(config-if)# interface fastEthernet 0/3 office(config-if)#switchport access vlan 9 office(config-if)no shutdown office(config-router)#exit #返回全局模式 office(config)#line vty 0 1 #配置远程登录 office(config-line)#login office(config-line)#password 123456 office(config-line)#exit office#write #配置完成后回到特权模式保存配置 5.1.5学生宿舍接入层交换机配置 把不同楼的宿舍学生用户划分为不同的网段，并实现了交换机端口与学生宿舍电脑的MAC地址的绑定，同时开启了此交换机远程登录功能。对于学生宿舍的接入层交换机3COM(H3C)华为 S1526，学生宿舍的这台交换机与其它设备相连情况如下表: 端口 对端设备 所属vlan fastEthernet 0/1 学生宿舍1 4 fastEthernet 0/2 学生宿舍2 15 fastEthernet 0/24 学生宿舍汇聚端口 trunk 表5-1-5为学生宿舍VLAN端口的划分 下面为学生宿舍交换机的详细配置。 Switch> Switch>enable Switch#configure terminal Switch(config)#hostname sdormitory sdormitory (config)#enable password 123456 #启动交换机后为设置主机名 与配置登录密码 sdormitory (config)#enable secret test #设置加密密码 sdormitory (config)# sdormitory (config)#vtp domain perry #配置VTP，设VTP域名为perry，并设为客户端模式。 sdormitory (config)#vtp mode client sdormitory (config)#exit sdormitory #show vlan dormitory#configure terminal #进入全局模式 s sdormitory(config)#interface fastEthernet 0/1 #进入接口模式配置 sdormitory(config-if)#switchport access valn 4 #将1号端口添加到VLAN4 sdormitory(config-if)#no shutdown sdormitory(config)#interface fastEthernet 0/2 sdormitory(config-if)#switchport access valn 15 sdormitory(config-if)#no shutdown sdormitory(config)#interface fastEthernet 0/24 sdormitory(config-if)#switchport mode trunk sdormitory(config-if)#no shutdown sdormitory(config)#interface fastEthernet 0/1 #进入端口对学生用户的 MAC地址与端口地址进行绑定 sdormitory(config-if)#switchport mode access #将端口设为access模式 sdormitory(config-if)#switchport port-security #启动安全端口模式 sdormitory(config-if)#switchport port-security mac-address 00D0.97B6.4996 #对MAC地址的绑定 sdormitory(config-if)#switchport port-security maximum 1#设置端口可绑定 MAC地址的最大值 sdormitory(config-if)#switchport port-security violation shutdown #设置与端口绑定的MAC地址不符时自动关闭这些端口 sdormitory(config-if#end #配置完成，返回到特权模式然后保存 sdormitory#write 第六章 网络安全性 5.1系统安全 l 应用系统的安全技术 由于应用系统的复杂性，有关应用平台的安全问题是整个安全体系中最复杂的部分。下面的几个部分列出了在Internet/Intranet中主要的应用平台服务的安全问题及相关技术。 1、Web Server应用安全 Web Server是校园对外宣传、开展业务的重要基地。由于其重要性，成为Hacker攻击的首选目标之一。 2、电子邮件系统安全 电子邮件系统也是网络与外部必须开放的服务系统。由于电子邮件系统的复杂性，其被发现的安全漏洞非常多，并且危害很大。 3、操作系统安全 市场上几乎所有的操作系统均已发现有安全漏洞，并且越流行的操作系统发现的问题越多。对操作系统的安全，除了不断地增加安全补丁外，还需要: (1) 检查系统设置(敏感数据的存放方式，访问控制，口令选择/更新)。 (2) 基于系统的安全监控系统。 5.2防毒技术 l 病毒防护技术 病毒历来是信息系统安全的主要问题之一。由于网络的广泛互联，病毒的传播途径和速度大大加快。 病毒防护的主要技术如下: (1) 阻止病毒的传播。 在防火墙、代理服务器、SMTP服务器、网络服务器、群件服务器上安装病毒过滤软件。在桌面PC安装病毒监控软件。 (2) 检查和清除病毒。 使用防病毒软件检查和清除病毒。 (3) 病毒数据库的升级。 病毒数据库应不断更新，并下发到桌面系统。 (4) 在防火墙、代理服务器及PC上安装Java及ActiveX控制扫描软件，禁止未经许可的控件下载和安装。 第七章 结论 一个校园网络系统的组建需要从多方面进行考虑，不但涉及许多技术问题，而且包括网络设施、信息资源、专业应用、等众多成份的综合化以及信息化教学环境系统的建设。本文用言简意赅的语言描述了如何组建一个性能可靠技术先进、功能丰富的校园网系统。