計算機(jī)網(wǎng)絡(luò)技術(shù)畢業(yè)論文---中、小學(xué)校園網(wǎng)規(guī)劃與設(shè)計

1、<p>　　計算機(jī)網(wǎng)絡(luò)技術(shù)專業(yè)畢業(yè)設(shè)計（論文）</p><p><b>　　校園網(wǎng)規(guī)劃與設(shè)計</b></p><p>　　——中、小學(xué)校園網(wǎng)規(guī)劃與設(shè)計</p><p>　　作 者： </p><p>　　機(jī)關(guān)電大： &

2、lt;/p><p>　　專 業(yè)： 計算機(jī)網(wǎng)絡(luò)技術(shù) </p><p>　　年 級： </p><p>　　學(xué) 號： </p><p>　　指導(dǎo)老師： </p><p><b>

3、　　內(nèi)容摘要</b></p><p>　　自1995年中國教育教研網(wǎng)（CERNET）建成后，校園網(wǎng)的建設(shè)已經(jīng)進(jìn)入到一個蓬勃發(fā)展的階段。校園網(wǎng)的建成和使用，對于提高教學(xué)和科研的質(zhì)量、改善教學(xué)和科研條件、加快學(xué)校的信息化進(jìn)程，開展多媒體教學(xué)與研究以及使教學(xué)多出人才、科研多出成果有著十分重要而深遠(yuǎn)的意義。其主要包括各種局域網(wǎng)的技術(shù)思想、網(wǎng)絡(luò)設(shè)計方案、網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)、布線系統(tǒng)、Intranet/Internet

4、的應(yīng)用、網(wǎng)絡(luò)安全，網(wǎng)絡(luò)系統(tǒng)的維護(hù)等內(nèi)容。各高校及其中小學(xué)都在籌備建設(shè)校園網(wǎng)，希望通過校園網(wǎng)的建設(shè)，改善辦學(xué)條件，提高教學(xué)、科研和管理水平。校園網(wǎng)的建設(shè)對于學(xué)校來說是一項(xiàng)大的工程，必須精心設(shè)計、精心施工，做到經(jīng)濟(jì)適用，技術(shù)先進(jìn)、開放性能良好、投資強(qiáng)度合理、與國內(nèi)外網(wǎng)絡(luò)互聯(lián)、能長期、穩(wěn)定運(yùn)行的高性能的校園網(wǎng)絡(luò)。</p><p>　　關(guān)健詞： 校園網(wǎng)，規(guī)劃，設(shè)計，網(wǎng)絡(luò)</p><p><

5、b>　　目 錄</b></p><p><b>　　內(nèi)容摘要I</b></p><p><b>　　目 錄II</b></p><p>　　一 校園網(wǎng)絡(luò)應(yīng)用需求- 1 -</p><p>　　1.1 存在問題分析- 1 -</p><p&g

6、t;　　1.2 校園網(wǎng)主要解決的問題- 1 -</p><p>　　1.3 建設(shè)目標(biāo)分析- 1 -</p><p>　　1.4 需求分析- 2 -</p><p>　　1.5 本章小結(jié)- 3 -</p><p>　　二 校園方案設(shè)計- 4 -</p><p>　　2.1 拓?fù)浣Y(jié)構(gòu)設(shè)計- 4 -</p&

7、gt;<p>　　2.2設(shè)計思想及原則- 4 -</p><p>　　2.3系統(tǒng)需求分析- 6 -</p><p>　　2.4設(shè)備選型- 7 -</p><p>　　三 網(wǎng)絡(luò)總體設(shè)計- 10 -</p><p>　　3.1校園網(wǎng)絡(luò)架構(gòu)設(shè)計：- 10 -</p><p>　　3.2網(wǎng)絡(luò)三層結(jié)構(gòu)設(shè)計

8、- 10 -</p><p>　　3.3匯聚層設(shè)備選型- 10 -</p><p>　　3.4路由器選型- 12 -</p><p>　　3.5防火墻設(shè)備的選型- 13 -</p><p>　　四 網(wǎng)絡(luò)地址規(guī)劃及VLAN應(yīng)用- 15 -</p><p>　　4.1.主干網(wǎng)設(shè)計- 15 -</p>

9、<p>　　4.2 IP地址規(guī)劃- 15 -</p><p>　　4.3 VLAN設(shè)計- 16 -</p><p>　　4.4校園網(wǎng)接入Internet- 17 -</p><p>　　五 校園網(wǎng)絡(luò)管理及安全維護(hù)- 18 -</p><p>　　5.1.威脅網(wǎng)絡(luò)安全因素分析- 18 -</p><p

10、>　　5.2 網(wǎng)絡(luò)安全防范措施- 19 -</p><p>　　5.3 網(wǎng)絡(luò)管理- 19 -</p><p>　　5.4網(wǎng)絡(luò)安全策略配置- 21 -</p><p>　　5.5 拒絕服務(wù)的防止- 22 -</p><p>　　5.6電源系統(tǒng)- 22 -</p><p>　　5.7其校園網(wǎng)基本拓?fù)浣Y(jié)構(gòu)：

11、- 22 -</p><p>　　六 設(shè)計總結(jié)- 30 -</p><p>　　參考文獻(xiàn)- 32 -</p><p>　　一 校園網(wǎng)絡(luò)應(yīng)用需求</p><p>　　1.1 存在問題分析</p><p>　　河北省邯鄲市魏縣車往鎮(zhèn)第一中學(xué)是魏縣直屬中學(xué)，學(xué)校在校生1900余人。學(xué)校占地70畝，校園覆蓋了校綜合辦公樓

12、1棟，圖書館1棟，教學(xué)樓2棟，男女宿舍各1棟，食堂一處，體育館（操場處）。學(xué)校目前僅圖書館有二十臺計算機(jī)供圖書管理之用，但是目前無網(wǎng)絡(luò)連接。學(xué)生宿舍、教學(xué)樓和辦公室目前尚未開通校園網(wǎng)絡(luò)。根據(jù)以上對學(xué)校現(xiàn)狀的分析并通過深入的了解，目前學(xué)校無法滿足應(yīng)用發(fā)展的需要，在教學(xué)、教育資源獲取等方面的網(wǎng)絡(luò)應(yīng)用比較落后，校園的信息化相當(dāng)閉塞。為學(xué)校未來的發(fā)展和保持教學(xué)的現(xiàn)代化、信息化帶來不便，經(jīng)校方研究決定，現(xiàn)對學(xué)校實(shí)現(xiàn)校園網(wǎng)絡(luò)的初步規(guī)劃。 </

13、p><p>　　1.2 校園網(wǎng)主要解決的問題</p><p>　　鑒于學(xué)校目前狀況，校園網(wǎng)建設(shè)過程中，主要需要解決的問題如下：</p><p>　?、?建立校園網(wǎng)的主干網(wǎng)絡(luò)，實(shí)現(xiàn)千兆主干，百兆到桌面,通過以上實(shí)現(xiàn)整個校園全網(wǎng)覆蓋；</p><p>　　⑵ 解決好綜合辦公樓、教學(xué)樓、學(xué)生宿舍上校園網(wǎng)的問題，將校園網(wǎng)應(yīng)用推入基層，滿足師生員工上網(wǎng)需求

14、；</p><p>　?、?實(shí)現(xiàn)校園網(wǎng)的基本應(yīng)用服務(wù)，如WEB服務(wù)，DNS服務(wù)，VOD點(diǎn)播服務(wù)，F(xiàn)TP服務(wù)；</p><p>　　⑷ 完善和強(qiáng)化用戶訪問校內(nèi)校外資源的權(quán)限和策略管理，并進(jìn)行流量、帶寬和日志管理，提高校園網(wǎng)的可管理性；</p><p>　?、?強(qiáng)化校園網(wǎng)的安全策略，有效地提高校園網(wǎng)的安全性；</p><p>　?、?實(shí)現(xiàn)無線上網(wǎng)

15、功能。</p><p>　　1.3 建設(shè)目標(biāo)分析</p><p>　　根據(jù)對學(xué)校的網(wǎng)絡(luò)覆蓋現(xiàn)狀分析，對擬建校園網(wǎng)系統(tǒng)建設(shè)目標(biāo)分析如下：</p><p>　　⑴ 校園主干滿足應(yīng)用發(fā)展的需要：考慮到學(xué)校校園網(wǎng)絡(luò)開展視頻點(diǎn)播、多媒體教學(xué)、遠(yuǎn)程教學(xué)等需要，我認(rèn)為傳輸主干應(yīng)采用的是1000M光纖；</p><p>　?、?網(wǎng)絡(luò)主機(jī)的處理能力強(qiáng)：學(xué)校校園

16、網(wǎng)絡(luò)目前開展的網(wǎng)絡(luò)應(yīng)用對主機(jī)處理能力要求不高，比如WEB服務(wù)等是一些低帶寬的應(yīng)用服務(wù)，隨著用戶數(shù)量大幅度的增加，網(wǎng)絡(luò)應(yīng)用如VOD視頻點(diǎn)播、多媒體教學(xué)等許多高帶寬和需要高處理能力的主機(jī)系統(tǒng)。因此，有必要提高網(wǎng)絡(luò)主機(jī)的處理能力；</p><p>　?、?學(xué)校的各種PC機(jī)、工作站、終端設(shè)備和局域網(wǎng)連接起來，并與有關(guān)廣域網(wǎng)相連，能夠獲取Internet網(wǎng)上的教育資源；</p><p>　　⑷ 容錯

17、能力和安全性強(qiáng)，通過技術(shù)手段提高網(wǎng)絡(luò)設(shè)備的容錯能力；安裝硬件防火墻、IDS、服務(wù)器防病毒、工作站防病毒軟件，實(shí)現(xiàn)網(wǎng)絡(luò)安全；</p><p>　?、?實(shí)現(xiàn)網(wǎng)絡(luò)的易管理性，考慮到網(wǎng)絡(luò)設(shè)備和主機(jī)數(shù)量的不斷增加，方案規(guī)劃應(yīng)該能夠?qū)崿F(xiàn)校園網(wǎng)的可擴(kuò)展性核對整個網(wǎng)絡(luò)的監(jiān)控能力。</p><p><b>　　1.4 需求分析</b></p><p>　　學(xué)校的

18、整個網(wǎng)絡(luò)系統(tǒng)以千兆主干、百兆到桌面為總體需求原則。</p><p>　　在總體設(shè)計方面，帶寬為100M的節(jié)點(diǎn)的介質(zhì)傳輸采用超五類線，音頻采用五類線，視頻采用同軸電纜。整個校園以計算機(jī)網(wǎng)絡(luò)中心為核心，通過光纖，通過多星級輻射至各個主樓，從而構(gòu)成整個校園網(wǎng)主干，各信息點(diǎn)的網(wǎng)絡(luò)帶寬將視其應(yīng)用的性質(zhì)，進(jìn)行合理地分配，分為100M以及1000M等量級，也需要能夠通過光纖或DDN專線與CERNET連接，以開通全部的Inter

19、net網(wǎng)絡(luò)應(yīng)用服務(wù)。從內(nèi)部校園網(wǎng)到外部Internet的訪問都要有安全審查和流量管理功能；</p><p>　　在功能方面，結(jié)合學(xué)校的總體發(fā)展趨勢，擬建立多媒體多功能教學(xué)室，圖書館計算機(jī)管理系統(tǒng)和電子閱覽系統(tǒng)利用網(wǎng)絡(luò)技術(shù)，實(shí)現(xiàn)多媒體信息交換、視頻點(diǎn)播、網(wǎng)絡(luò)會議、遠(yuǎn)程教育，兼容校內(nèi)有線電視網(wǎng)、廣播網(wǎng)、監(jiān)控等網(wǎng)絡(luò)系統(tǒng)。</p><p>　　實(shí)現(xiàn)校園全部范圍內(nèi)的無線上網(wǎng)，全網(wǎng)展開WEB，F(xiàn)TP,

20、DNS服務(wù)；</p><p>　　在學(xué)校設(shè)備需求方面，第三初級中學(xué)按信息點(diǎn)覆蓋情況主要設(shè)備需求參數(shù)如下：</p><p><b>　　1.5 本章小結(jié)</b></p><p>　　本小節(jié)以魏縣第一中學(xué)校園網(wǎng)絡(luò)為基礎(chǔ)，對網(wǎng)絡(luò)設(shè)備，計算機(jī)設(shè)備的現(xiàn)狀及現(xiàn)有網(wǎng)絡(luò)的應(yīng)用情況進(jìn)行了簡要介紹。通過分析發(fā)現(xiàn)，學(xué)校目前存在多方面急需要解決的問題，包括：主干網(wǎng)絡(luò)的

21、設(shè)計，網(wǎng)絡(luò)的整體覆蓋計劃，應(yīng)用功能的實(shí)現(xiàn)，用戶對外界資源的安全性訪問。最后對建設(shè)目標(biāo)和潛在需求做了進(jìn)一步的分析說明。</p><p><b>　　二 校園方案設(shè)計</b></p><p>　　2.1 拓?fù)浣Y(jié)構(gòu)設(shè)計</p><p><b>　　層次型結(jié)構(gòu)的提出：</b></p><p>　　層次型網(wǎng)絡(luò)

22、設(shè)計是一種使用分層的、模塊化的模型設(shè)計校園網(wǎng)的技術(shù)。層次型網(wǎng)絡(luò)設(shè)計模型可以按層設(shè)計拓?fù)浣Y(jié)構(gòu)，每層的重點(diǎn)集中于特定的功能上，有利于分配和規(guī)劃帶寬和選擇適當(dāng)?shù)南到y(tǒng)和功能。</p><p>　　層次型拓?fù)湓O(shè)計具有如下好處：</p><p>　　⑴ 減輕網(wǎng)絡(luò)中設(shè)備的CPU負(fù)載</p><p><b>　?、?降低網(wǎng)絡(luò)成本</b></p>

23、<p>　?、?簡化每個設(shè)計元素并且易于理解</p><p>　　⑷ 容易更改層次結(jié)構(gòu)</p><p>　?、?提高設(shè)備的利用率</p><p>　　2.2設(shè)計思想及原則</p><p>　　2.2.1 設(shè)計思想</p><p>　　校園網(wǎng)設(shè)計方案將從學(xué)院的實(shí)際應(yīng)用出發(fā)，結(jié)合現(xiàn)代信息技術(shù)的發(fā)展，遵循實(shí)用，可靠

24、，先進(jìn)，安全的設(shè)計原則。對于學(xué)校，應(yīng)能夠滿足日常的學(xué)習(xí)和教育資源的獲??；并能夠融合當(dāng)前的網(wǎng)絡(luò)的主干技術(shù)，使網(wǎng)絡(luò)能夠具備充分的可擴(kuò)展性，同時滿足校園網(wǎng)的易于維護(hù)性和安全性的特點(diǎn)。校園網(wǎng)示意圖：</p><p><b>　　2.2.2設(shè)計原則</b></p><p><b>　　先進(jìn)性</b></p><p>　　我校為計算機(jī)

25、示范性軟件學(xué)院，每名學(xué)生均配有計算機(jī)終端。為了達(dá)到最好的教學(xué)效果，所以網(wǎng)絡(luò)速度和穩(wěn)定性相應(yīng)要比較高。為了能夠達(dá)到最加效果，本著最小投資的原則，在本方案中決定采樣華為的網(wǎng)絡(luò)設(shè)備。這樣可以最大的節(jié)約成本和最大限度的提高設(shè)備的質(zhì)量。</p><p>　　由于在校園網(wǎng)中存在大量的網(wǎng)絡(luò)設(shè)備，為了保障整個網(wǎng)絡(luò)的正常運(yùn)作，學(xué)校安裝了華為3Com 的網(wǎng)管軟件來對整個網(wǎng)絡(luò)的運(yùn)作進(jìn)行監(jiān)控。此網(wǎng)管系統(tǒng)支持SNMP、RMON等網(wǎng)絡(luò)管理協(xié)

26、議，能對網(wǎng)絡(luò)中的設(shè)備進(jìn)行遠(yuǎn)程監(jiān)控，通過探測每臺網(wǎng)絡(luò)設(shè)備的工作狀態(tài)，來保證整個網(wǎng)絡(luò)的可靠性。一旦網(wǎng)絡(luò)設(shè)備出現(xiàn)問題，網(wǎng)管系統(tǒng)會及時準(zhǔn)確地發(fā)現(xiàn)問題所在，并發(fā)出警告信息。通過此軟件不但可以幫助學(xué)校網(wǎng)管人員及時排除故障，又能大大降低學(xué)校在網(wǎng)絡(luò)維護(hù)費(fèi)用上的支出。</p><p><b>　　可靠性</b></p><p>　　軟件學(xué)院校園網(wǎng)是長春工程學(xué)院重要的信息化建設(shè)工程，所以

27、校園網(wǎng)建設(shè)的可靠性是非常重要的，因此在選型時候，明確提出要求網(wǎng)絡(luò)設(shè)備廠商具備"自主研發(fā)和自主生產(chǎn)"的能力，這樣才能夠保證網(wǎng)絡(luò)產(chǎn)品的可靠運(yùn)行，同時保證后期設(shè)備的維護(hù)和升級。考慮到校園網(wǎng)是服務(wù)于江西大宇職業(yè)學(xué)院的廣大師生的，因此我校校園網(wǎng)要保證網(wǎng)絡(luò)24×7小時不間斷工作。</p><p><b>　　安全性</b></p><p><b

28、>　　內(nèi)外網(wǎng)通訊安全：</b></p><p>　　考慮到校園內(nèi)部網(wǎng)絡(luò)的安全性，在Internet入口處加裝了華為3Com公司的防火墻，它能自動進(jìn)行對不明數(shù)據(jù)包的檢測，可拒絕所有未經(jīng)授權(quán)的網(wǎng)絡(luò)訪問嘗試，并生成實(shí)時報警和報告，避免了未經(jīng)授權(quán)訪問和其他來自因特網(wǎng)的外部威脅和黑客侵襲。另外華為公司的 防火墻網(wǎng)站過濾功能可限制對12種分類內(nèi)容的訪問，保證了校園內(nèi)網(wǎng)與因特網(wǎng)之間的通訊安全。 </p&

29、gt;<p><b>　　網(wǎng)絡(luò)設(shè)備安全：</b></p><p>　　整個校園網(wǎng)絡(luò)所采用的華為3Com產(chǎn)品都具有不同級別的密碼保護(hù)，網(wǎng)絡(luò)管理員可以根據(jù)不同的需要制定多樣的安全級別來保護(hù)網(wǎng)絡(luò)設(shè)備自身的安全性，例如指定哪種類型用戶可以獲得何種級別的權(quán)限、對網(wǎng)絡(luò)設(shè)備進(jìn)行哪些方面的修改等，從而最大程度地保護(hù)設(shè)備的安全。</p><p>　　VLAN劃分保證內(nèi)網(wǎng)訪

30、問安全：</p><p>　　由于整個校園網(wǎng)節(jié)點(diǎn)數(shù)多達(dá)2000多個，從保證內(nèi)網(wǎng)的訪問安全和便于管理的角度考慮，對整個校園網(wǎng)進(jìn)行了VLAN的劃分。網(wǎng)絡(luò)中的各節(jié)點(diǎn)按相同職能部門或者相同的應(yīng)用劃分到同一個VLAN當(dāng)中，不同VLAN之間的用戶是不能互相訪問的。譬如學(xué)校領(lǐng)導(dǎo)和普通教師之間，由于職能的差異，互相之間數(shù)據(jù)不能共享，因此將他們劃分到不同的VLAN當(dāng)中，這樣不會造成數(shù)據(jù)的錯誤傳播以及不必要的數(shù)據(jù)泄漏，并能有效避免廣

31、播風(fēng)暴的形成。</p><p><b>　　2.3系統(tǒng)需求分析</b></p><p>　　不同應(yīng)用及數(shù)據(jù)流所占用貸款分析：</p><p>　　基礎(chǔ)信息服務(wù)約占用 100MB；</p><p>　　視頻電話、網(wǎng)絡(luò)會議、數(shù)字音頻約占用 100~600M<

32、;/p><p>　　視頻流媒體播放 500~1000M</p><p>　　WWW、FTP、E-Mail服務(wù)約占用 10M</p><p>　　文件傳輸、Internet訪問約占用 15M</p><p>　　由以上數(shù)據(jù)可以看出如果滿足所有應(yīng)用要求，單個用戶

33、所獨(dú)占的網(wǎng)絡(luò)帶寬必須在 10M 以上，加上網(wǎng)絡(luò)上固有的廣播風(fēng)暴，設(shè)計目標(biāo)是使單用戶在某一個時間獨(dú)占的帶寬不小于100M。這樣就足以實(shí)現(xiàn)網(wǎng)絡(luò)視頻播放、計算機(jī)網(wǎng)絡(luò)和各種網(wǎng)絡(luò)服務(wù)合一，而且也符合現(xiàn)今主流的10M/100M自適應(yīng)網(wǎng)絡(luò)的要求。</p><p><b>　　2.4設(shè)備選型</b></p><p>　　2.4.1核心層設(shè)備選型：</p><p&g

34、t;　　核心層是校園網(wǎng)互聯(lián)網(wǎng)絡(luò)的高速交換主干，用來實(shí)現(xiàn)遠(yuǎn)程站點(diǎn)之間的優(yōu)化傳輸，對協(xié)調(diào)校園網(wǎng)的通信非常重要。核心層負(fù)責(zé)完成網(wǎng)絡(luò)各匯聚節(jié)點(diǎn)之間的互聯(lián)及高效的數(shù)據(jù)傳輸、交換、轉(zhuǎn)發(fā)及路由分發(fā)。核心層結(jié)構(gòu)有以下特點(diǎn)：</p><p>　　提供高可靠性和冗余性；</p><p><b>　　提供故障隔離；</b></p><p><b>　　迅速

35、適應(yīng)升級；</b></p><p>　　提供較少的滯后和較好的可管理性；</p><p>　　具有有限和一致的直徑。</p><p>　　目前校園網(wǎng)核心層設(shè)備一般采用萬兆核心以太網(wǎng)交換機(jī)，萬兆以太網(wǎng)交換機(jī)構(gòu)成了網(wǎng)絡(luò)的骨干部分。核心交換機(jī)還可以下接許多百兆或千兆交換機(jī)作為匯聚層交換機(jī)，匯聚層交換機(jī)在通過100Mbps傳輸介質(zhì)連接工作站。</p>

36、<p>　　一般核心層設(shè)備采用高性能的交換網(wǎng)芯片以及高性能的網(wǎng)絡(luò)處理器芯片，要求有極高的系統(tǒng)總吞吐量和背板容量，可支持多個千兆端口。</p><p>　　網(wǎng)絡(luò)核心層設(shè)備的擬態(tài)網(wǎng)交換機(jī)應(yīng)具有以下功能：</p><p><b>　　高可靠性</b></p><p><b>　　大容量高密度</b></p&g

37、t;<p><b>　　線速轉(zhuǎn)發(fā)性能</b></p><p><b>　　完善的QoS功能</b></p><p><b>　　完善的安全機(jī)制</b></p><p><b>　　強(qiáng)大的業(yè)務(wù)能力</b></p><p>　　2.4.2匯聚層及

38、設(shè)備的選取</p><p><b>　　匯聚層設(shè)備的選?。?lt;/b></p><p>　　網(wǎng)絡(luò)匯聚層是網(wǎng)絡(luò)接入層和核心層之間的分界層，包括園區(qū)主干網(wǎng)絡(luò)及所有連接的路由器。匯聚層負(fù)責(zé)將各種接入業(yè)務(wù)集中起來，除了進(jìn)行局部數(shù)據(jù)的交換、轉(zhuǎn)發(fā)以外，還能通過高速接口將數(shù)據(jù)傳輸?shù)胶诵膶樱诟蠓秶鷥?nèi)進(jìn)行數(shù)據(jù)的路由以及處理。</p><p>　　匯聚層多下將接入

39、層交換機(jī)的數(shù)據(jù)進(jìn)行匯聚，對上通過高速接口將數(shù)據(jù)傳輸?shù)胶诵慕粨Q機(jī)上，起到承上啟下的作用。設(shè)計匯聚層時根據(jù)匯聚層的主要功能，應(yīng)考慮到以下幾點(diǎn)：</p><p>　　匯聚層設(shè)備要有足夠的帶寬；</p><p>　　具有三層和多層交換特性；</p><p>　　具有靈活多樣的業(yè)務(wù)能力；</p><p>　　必須具有冗余和負(fù)載均衡能力；</p&g

40、t;<p>　　匯聚層設(shè)備要進(jìn)行VLAN之間的通信，因此一般為支持三層或三層以上的多層交換設(shè)備，匯聚層設(shè)備的多層以太網(wǎng)交換機(jī)應(yīng)具備以下特點(diǎn)：</p><p><b>　　支持三層交換</b></p><p>　　對上連接提供多種千兆端口</p><p><b>　　模塊化組網(wǎng)</b></p>&

41、lt;p><b>　　支持豐富的二層協(xié)議</b></p><p><b>　　完善的安全機(jī)制</b></p><p><b>　　豐富的QoS支持</b></p><p><b>　　實(shí)用方便的網(wǎng)管能力</b></p><p><b>　　

42、接入層設(shè)備的選?。?lt;/b></p><p>　　接入層為用戶提供多網(wǎng)絡(luò)本地網(wǎng)段的訪問，它的主要作用事將工作組與匯聚層連接起來，主要完成邏輯網(wǎng)絡(luò)分段、基于工作組或LAN隔離廣播通信量以及在多個CPU之間分布服務(wù)。</p><p>　　介入層設(shè)備位于網(wǎng)絡(luò)的末端，對下提供對工作站的接入，對上連接到匯聚層交換機(jī)。接入層設(shè)備提供各種標(biāo)準(zhǔn)接口將數(shù)據(jù)接入到網(wǎng)絡(luò)中，完成基于業(yè)務(wù)系統(tǒng)之間的隔離和

43、安全性控制、認(rèn)證管理等功能。網(wǎng)絡(luò)接入層設(shè)備應(yīng)具有如下特點(diǎn)：</p><p>　　提供各種不同數(shù)量的100Mbps端口到用戶，提供1000Mbps或1Gbps（電口、光口）上行端口到上層交換機(jī)；</p><p>　　高性能，低成本，所有端口支持全線速二層交換；</p><p>　　支持標(biāo)準(zhǔn)以太網(wǎng)協(xié)議，支持豐富的業(yè)界標(biāo)準(zhǔn)，充分考慮兼容現(xiàn)有網(wǎng)絡(luò)設(shè)施；</p>

44、<p>　　網(wǎng)絡(luò)設(shè)備可擴(kuò)展性好，可平滑升級；</p><p>　　支持豐富的業(yè)務(wù)特性，如VLAN、VLAN Trunk、鏈路聚合、端口鏡像、QOS多播、安全特性等；</p><p><b>　　方便實(shí)用的網(wǎng)管。</b></p><p><b>　　三 網(wǎng)絡(luò)總體設(shè)計</b></p><p>

45、;　　3.1校園網(wǎng)絡(luò)架構(gòu)設(shè)計：</p><p>　　1.校園網(wǎng)的拓補(bǔ)結(jié)構(gòu)基本上是混合型的，它是由星型、總線型等典型拓補(bǔ)結(jié)構(gòu)組成，在現(xiàn)代網(wǎng)絡(luò)結(jié)構(gòu)化布線工程中多采用星型結(jié)構(gòu)，主要用于同一樓層，由各個房間的計算機(jī)間用集線器或者交換機(jī)連接產(chǎn)生的，它具有施工簡單，擴(kuò)展性高，成本低和可管理性好等優(yōu)點(diǎn)；而校園網(wǎng)在分層布線主要采用樹型結(jié)構(gòu)；每個房間的計算機(jī)連接到本層的集線器或交換機(jī)，然后每層的集線器或交換機(jī)在連接到本樓出口的交換

46、機(jī)或路由器，各個樓的交換機(jī)或路由器再連接到校園網(wǎng)的通信網(wǎng)中，由此構(gòu)成了校園網(wǎng)的拓補(bǔ)結(jié)構(gòu)。當(dāng)然這其中還有對網(wǎng)絡(luò)整體結(jié)構(gòu)的設(shè)計，如vlan的劃分，各不同區(qū)域的細(xì)劃分都需要根據(jù)學(xué)校情況來定。</p><p>　　2.校園網(wǎng)絡(luò)中心以及各分校區(qū)均通過2M E1光纖或ADSL接入Internet。對于我們畫定的區(qū)域如圖書館、宿舍等，都可以通過100M交換口連入校園網(wǎng)，而各個終端可以采用10/100M共享式端口。</p&

47、gt;<p>　　目前的校園網(wǎng)大多數(shù)是純?nèi)龑拥慕粨Q網(wǎng)絡(luò)。由于交換機(jī)都具有三層功能，匯聚層一般已經(jīng)可以與接入層歸納為一個層次。各樓層和各樓之間的交換設(shè)備都直接上連到核心設(shè)備上。</p><p>　　3.2網(wǎng)絡(luò)三層結(jié)構(gòu)設(shè)計</p><p>　　校園網(wǎng)網(wǎng)絡(luò)整體分為三個層次：核心層、匯聚層、接入層。為實(shí)現(xiàn)校區(qū)內(nèi)的高速互聯(lián)，核心層由1個核心節(jié)點(diǎn)組成，包括教學(xué)區(qū)區(qū)域、服務(wù)器群；匯聚層設(shè)在

48、每棟樓上，每棟樓設(shè)置一個匯聚節(jié)點(diǎn)，匯聚層為高性能“小核心”型交換機(jī)，根據(jù)各個樓的配線間的數(shù)量不同，可以分別采用1臺或是2臺匯聚層交換機(jī)進(jìn)行匯聚，為了保證數(shù)據(jù)傳輸和交換的效率，現(xiàn)在各個樓內(nèi)設(shè)置三層樓內(nèi)匯聚層，樓內(nèi)匯聚層設(shè)備不但分擔(dān)了核心設(shè)備的部分壓力，同時提高了網(wǎng)絡(luò)的安全性；接入層為每個樓的接入交換機(jī)，是直接與用戶相連的設(shè)備。本實(shí)施方案從網(wǎng)絡(luò)運(yùn)行的穩(wěn)定性、安全性及易于維護(hù)性出發(fā)進(jìn)行設(shè)計，以滿足需求。</p><p>

49、;　　3.3匯聚層設(shè)備選型</p><p>　　通常將位于接入層和核心層之間的部分稱為分布層或匯聚層，匯聚層交換層是多臺接入層交換機(jī)的匯聚點(diǎn)，它必須能夠處理來自接入層設(shè)備的所有通信量，并提供到核心層的上行鏈路，因此匯聚層交換機(jī)與接入層交換機(jī)比較，需要更高的性能，更少的接口和更高的交換速率。</p><p>　　匯聚層交換機(jī)選擇華為CISCO WS-C2960G-48。整個校園共用4臺匯聚層

50、交換機(jī)，使用千兆光纖與核心交換機(jī)相連。</p><p>　　表2-3 CISCO WS-C2960G-48參數(shù)</p><p><b>　　3.4路由器選型 </b></p><p>　　CISCO 7206VXR參數(shù)</p><p>　　3.5防火墻設(shè)備的選型</p><p>　　四 網(wǎng)絡(luò)地址規(guī)

51、劃及VLAN應(yīng)用</p><p><b>　　4.1.主干網(wǎng)設(shè)計</b></p><p>　　為了滿足應(yīng)用需求，在本設(shè)計方案中使用了萬兆核心，主干線路采用了4芯62.5μm多模室內(nèi)用光纜，匯聚層到接入層采用了6類1000M非屏蔽雙交線連接主干網(wǎng)絡(luò)。</p><p>　　4.2 IP地址規(guī)劃</p><p>　　所謂IP地

52、址就是給每一個直接與Internet相連的主機(jī)分配一個在全世界范圍惟一的網(wǎng)絡(luò)地址。目前，大多使用的是32位的IPv4地址，尋址時路由器先按IP地址中的網(wǎng)絡(luò)號net-id把網(wǎng)絡(luò)找到；當(dāng)找到目的網(wǎng)絡(luò)后，再用ARP協(xié)議用主機(jī)號host－id找到主機(jī)。實(shí)際上，由于一臺主機(jī)可能有多個IP地址，因此IP地址只是標(biāo)志了一臺計算機(jī)的某個接口。</p><p>　　網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)： 計算機(jī)網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)一般有總線結(jié)構(gòu)、星型結(jié)構(gòu)、環(huán)形結(jié)

53、構(gòu)和網(wǎng)狀結(jié)構(gòu)等。在以太網(wǎng)實(shí)際布線時，適宜選用樹形結(jié)構(gòu)，通過多級的HUB或交換機(jī)分級鏈接。這樣，個別網(wǎng)點(diǎn)出現(xiàn)故障不會影響全局。并具有可靠性高、可擴(kuò)展性好、易于管理等優(yōu)點(diǎn)。</p><p>　　在本次設(shè)計中我們采用了B類IPV4網(wǎng)絡(luò)地址作為校園網(wǎng)私網(wǎng)IP，以便于以后校園網(wǎng)電腦增多，IP需求量也越日增多。校園網(wǎng)內(nèi)部由教學(xué)樓、寢室樓組成，其中教學(xué)樓中又分為學(xué)生區(qū)和辦公區(qū)兩個部分，具體信息點(diǎn)分布如上。為了達(dá)到最好的網(wǎng)絡(luò)質(zhì)量

54、和方便管理，一共分為五個網(wǎng)段。其中第一網(wǎng)段為網(wǎng)絡(luò)管理中心、共10個信息點(diǎn)，第二網(wǎng)段為交換機(jī)設(shè)備、共70個IP，第三網(wǎng)段為教學(xué)區(qū)、共1354個信息節(jié)點(diǎn)，第四網(wǎng)段為學(xué)生生活區(qū)、共668個信息節(jié)點(diǎn)，第五網(wǎng)段為綜合辦公區(qū)、共86個信息節(jié)點(diǎn)， </p><p>　　4.3 VLAN設(shè)計</p><p>　　虛擬網(wǎng)絡(luò)（VLAN，Virtual Local Area Network）技術(shù)在校園網(wǎng)絡(luò)中起到

55、舉足輕重的作用，應(yīng)為VLAN技術(shù)可以提高校園網(wǎng)的效率和安全性，便于對用戶的管理。一方面，如果將相互之間通信最多的用戶群分配在一個VLAN中，就可以保證通信最多的用戶之間使用二層交換協(xié)議，而性質(zhì)不同、通信量較少的用戶之間則采用三層交換協(xié)議通信，這無疑大大提高了網(wǎng)絡(luò)的效率；另一方面，一個VLAN就是一個獨(dú)立的廣播域，VLAN之間是互相隔離的，應(yīng)此確保了網(wǎng)絡(luò)的安全保密性，可以進(jìn)行網(wǎng)絡(luò)用戶的分類管理。</p><p>　

56、　VLAN可以根據(jù)功能、用途、工作組及應(yīng)用等因素將用戶邏輯上劃分為一個相對獨(dú)立的網(wǎng)絡(luò)，使一個可跨域不同網(wǎng)段、不同網(wǎng)絡(luò)、不同位置的端到端網(wǎng)絡(luò)。VLAN的技術(shù)優(yōu)勢主要體現(xiàn)在以下幾個方面：</p><p>　　增加了網(wǎng)絡(luò)連接的靈活性；</p><p><b>　　控制網(wǎng)絡(luò)上的廣播；</b></p><p>　　加強(qiáng)了網(wǎng)絡(luò)的安全性；</p>

57、<p>　　網(wǎng)絡(luò)管理簡單、直觀；</p><p>　　根據(jù)VLAN在交換機(jī)上的實(shí)現(xiàn)方式，VLAN分為基于端口的VLAN、基于MAC地址的VLAN、基于網(wǎng)絡(luò)地址的VLAN、基于用戶的VLAN，其中后三者為動態(tài)VLAN。在本方案中我們采用了基于端口的靜態(tài)VLAN，詳細(xì)情況請參照圖2.3-1。</p><p>　　4.4校園網(wǎng)接入Internet</p><p&

58、gt;　　在信息化飛速發(fā)展的今天需要考慮校園網(wǎng)與互聯(lián)網(wǎng)的連接問題。一但接入互聯(lián)網(wǎng)，就會涉及到很多管理、安全等方面的問題，校園網(wǎng)除了接入CERNET以外，還同時選擇了中國網(wǎng)通作為出口接入點(diǎn)，</p><p>　　校園網(wǎng)有兩條出口，一個是光纖接入教育網(wǎng)，另一個是中國網(wǎng)通100Mbps專線。考慮到IP地址匱乏的原因校園網(wǎng)內(nèi)部采用NAT地址裝換方式提供Internet訪問服務(wù)。</p><p>　

59、　NAT的主要功能包括以下幾個方面：</p><p>　　轉(zhuǎn)換內(nèi)部局部地址。在內(nèi)部局部地址和內(nèi)部全局地址之間建立映射關(guān)系；</p><p>　　內(nèi)部全局地址復(fù)用?？梢酝ㄟ^潤許TCP連接或UDP會話中的原端口進(jìn)行轉(zhuǎn)換而節(jié)省內(nèi)部全局地址，用各個內(nèi)部主機(jī)的TCP或UDP端口號區(qū)別；TCP負(fù)載均衡。對于某些外部網(wǎng)絡(luò)發(fā)起的與內(nèi)部網(wǎng)絡(luò)的通信數(shù)據(jù)流，可以為其配置一種目的地址轉(zhuǎn)換得動態(tài)形式。</p&

60、gt;<p>　　五 校園網(wǎng)絡(luò)管理及安全維護(hù)</p><p>　　校園網(wǎng)的安全威脅主要來源于兩大塊，一塊是來自于網(wǎng)內(nèi)，一塊來自于網(wǎng)外。來源于網(wǎng)內(nèi)的威脅主要是病毒攻擊和黑客行為攻擊。根據(jù)統(tǒng)計，威脅校園網(wǎng)安全的攻擊行為大概有40％左右是來自于網(wǎng)絡(luò)內(nèi)部，如何防范來自于內(nèi)部的攻擊是校園網(wǎng)網(wǎng)絡(luò)安全防護(hù)體系需要重點(diǎn)關(guān)注的地方。</p><p>　　5.1.威脅網(wǎng)絡(luò)安全因素分析</p

61、><p>　　計算機(jī)網(wǎng)絡(luò)安全受到的威脅包括：</p><p>　　1.“黑客”的攻擊；</p><p><b>　　2. 計算機(jī)病毒；</b></p><p>　　3. 拒絕服務(wù)攻擊（Denial of Service Attack）。</p><p><b>　　安全威脅的類型：</

62、b></p><p>　　1、非授權(quán)訪問。指對網(wǎng)絡(luò)設(shè)備及信息資源進(jìn)行非正常使用或越權(quán)使用等。如操作員安全配置不當(dāng)造成的安全漏洞，用戶安全意識不強(qiáng)，用戶口令選擇不慎，用戶將自己的賬號隨意轉(zhuǎn)借他人或與別人共享。</p><p>　　2、冒充合法用戶。主要指利用各種假冒或欺騙的手段非法獲得合法用戶的使用權(quán)限，以達(dá)到占用合法用戶資源的目的。</p><p>　　3、破

63、壞數(shù)據(jù)的完整性。指使用非法手段，刪除、修改、重發(fā)某些重要信息，以干擾用戶的正常使用。</p><p>　　4、干擾系統(tǒng)正常運(yùn)行，破壞網(wǎng)絡(luò)系統(tǒng)的可用性。指改變系統(tǒng)的正常運(yùn)行方法，減慢系統(tǒng)的響應(yīng)時間等手段。這會使合法用戶不能正常訪問網(wǎng)絡(luò)資源，使有嚴(yán)格響應(yīng)時間要求的服務(wù)不能及時得到響應(yīng)。</p><p>　　5、病毒與惡意攻擊。指通過網(wǎng)絡(luò)傳播病毒或惡意Java、active X等，其破壞性非常高

64、，而且用戶很難防范。</p><p>　　6、軟件的漏洞和“后門”。軟件不可能沒有安全漏洞和設(shè)計缺陷，這些漏洞和缺陷最易受到黑客的利用。另外，軟件的“后門”都是軟件編程人員為了方便而設(shè)置的，一般不為外人所知，可是一旦“后門”被發(fā)現(xiàn)，網(wǎng)絡(luò)信息將沒有什么安全可言。如Windows的安全漏洞便有很多。</p><p>　　7、電磁輻射。電磁輻射對網(wǎng)絡(luò)信息安全有兩方面影響。一方面，電磁輻射能夠破壞

65、網(wǎng)絡(luò)中的數(shù)據(jù)和軟件，這種輻射的來源主要是網(wǎng)絡(luò)周圍電子電氣設(shè)備產(chǎn)生的電磁輻射和試圖破壞數(shù)據(jù)傳輸而預(yù)謀的干擾輻射源。另一方面，電磁泄漏可以導(dǎo)致信息泄露。</p><p>　　5.2 網(wǎng)絡(luò)安全防范措施</p><p>　　在不改變原有網(wǎng)絡(luò)結(jié)構(gòu)的基礎(chǔ)上實(shí)現(xiàn)多種信息安全，保障校園內(nèi)部網(wǎng)絡(luò)安全，我們選購了一套網(wǎng)絡(luò)安全防范設(shè)備。</p><p>　　1 瑞星殺毒軟件網(wǎng)絡(luò)版<

66、;/p><p>　　1. 360超強(qiáng)病毒查殺</p><p><b>　　2. 智能主動防御</b></p><p>　　3. 增強(qiáng)型全網(wǎng)漏洞管理</p><p>　　4. 強(qiáng)大的網(wǎng)絡(luò)管理能力是網(wǎng)絡(luò)安全的基礎(chǔ)部署、控制、執(zhí)行、升級、報告和日志、二次開發(fā)。 </p><p><b>　　5.

67、兼容多種平臺</b></p><p>　　6. 一體化智能服務(wù)體系</p><p><b>　　5.3 網(wǎng)絡(luò)管理</b></p><p>　　網(wǎng)絡(luò)管理就是指監(jiān)督、組織和控制網(wǎng)絡(luò)通信服務(wù)以及信息處理所必需的各種活動的總稱。</p><p><b>　　網(wǎng)絡(luò)管理的內(nèi)容：</b></p&

68、gt;<p>　　(1）網(wǎng)絡(luò)故障管理；(2) 網(wǎng)絡(luò)配置管理；(3) 網(wǎng)絡(luò)性能管理；</p><p>　　(4) 網(wǎng)絡(luò)計費(fèi)管理；(5) 網(wǎng)絡(luò)安全管理。</p><p><b>　　網(wǎng)絡(luò)管理的手段：</b></p><p>　　在校園網(wǎng)絡(luò)管理方面，為了便于校園網(wǎng)絡(luò)管理人員的管理及維護(hù)，我們選購Quidview網(wǎng)絡(luò)管理軟件。Quidvi

69、ew網(wǎng)絡(luò)管理軟件基于靈活的組件化結(jié)構(gòu)，用戶可以根據(jù)自己的管理需要和網(wǎng)絡(luò)情況靈活選擇自己需要的組件，真正實(shí)現(xiàn)“按需建構(gòu)”。</p><p>　　Quidview網(wǎng)絡(luò)管理軟件采用組件化結(jié)構(gòu)設(shè)計，通過安裝不同的業(yè)務(wù)組件實(shí)現(xiàn)了設(shè)備管理、VPN監(jiān)視與部署、軟件升級管理、配置文件管理、告警和性能管理等功能。支持多種操作系統(tǒng)平臺，并能夠與多種通用網(wǎng)管平臺集成，實(shí)現(xiàn)從設(shè)備級到網(wǎng)絡(luò)級全方位的網(wǎng)絡(luò)管理。</p><

70、;p><b>　　1．網(wǎng)絡(luò)集中監(jiān)視</b></p><p>　　Quidview網(wǎng)絡(luò)管理軟件提供統(tǒng)一拓?fù)浒l(fā)現(xiàn)功能，實(shí)現(xiàn)全網(wǎng)監(jiān)控，可以實(shí)時監(jiān)控所有設(shè)備的運(yùn)行狀況，并根據(jù)網(wǎng)絡(luò)運(yùn)行環(huán)境變化提供合適的方式對網(wǎng)絡(luò)參數(shù)進(jìn)行配置修改，保證網(wǎng)絡(luò)以最優(yōu)性能正常運(yùn)行。</p><p><b>　　2．故障管理</b></p><p>　

71、　故障管理主要功能是對全網(wǎng)設(shè)備的告警信息和運(yùn)行信息進(jìn)行實(shí)時監(jiān)控，查詢和統(tǒng)計設(shè)備的告警信息。</p><p><b>　　3. 性能監(jiān)控</b></p><p>　　Quidview網(wǎng)管系統(tǒng)提供豐富的性能管理功能，同時以直觀的方式顯示給用戶。通過性能任務(wù)的配置，可自動獲得網(wǎng)絡(luò)的各種當(dāng)前性能數(shù)據(jù)，并支持設(shè)置性能的門限，當(dāng)性能超過門限時，可以以告警的方式通知網(wǎng)管系統(tǒng)。通過統(tǒng)

72、計不同線路、不同資源的利用情況，為優(yōu)化或擴(kuò)充網(wǎng)絡(luò)提供依據(jù)。 </p><p><b>　　4．服務(wù)器監(jiān)視管理</b></p><p>　　服務(wù)器是企業(yè)IP架構(gòu)中的重要組成部分，通過Quidview，可實(shí)現(xiàn)服務(wù)器與設(shè)備的統(tǒng)一管理。</p><p>　　5．設(shè)備配置文件管理</p><p>　　當(dāng)網(wǎng)絡(luò)規(guī)模較大時，網(wǎng)

73、絡(luò)管理員的配置文件管理工作將十分繁重，如果沒有好的配置文件維護(hù)工具，網(wǎng)絡(luò)管理員就只能手動備份配置文件。這樣就給網(wǎng)絡(luò)管理員管理、維護(hù)網(wǎng)絡(luò)帶來一定的困難。</p><p>　　Quidview網(wǎng)絡(luò)配置中心支持對設(shè)備配置文件的集中管理，包括配置文件的備份、恢復(fù)以及批量更新等操作，同時還實(shí)現(xiàn)了配置文件的基線化管理，可以對配置文件的變化進(jìn)行比較跟蹤。</p><p>　　6. 設(shè)備軟件升級管理<

74、;/p><p>　　Quidview提供完善的設(shè)備軟件備份升級控制機(jī)制。使用Quidview，管理員可以方便地查詢設(shè)備上運(yùn)行的軟件版本，并利用升級分析功能來確定設(shè)備運(yùn)行軟件是否需要升級。當(dāng)升級軟件版本時，可以利用Quidview集中備份設(shè)備運(yùn)行軟件，然后進(jìn)行批量升級。升級之后，可以使用Quidview進(jìn)行升級結(jié)果驗(yàn)證，確保升級操作萬無一失。</p><p><b>　　7.集群管理&

75、lt;/b></p><p>　　針對大量二層交換機(jī)設(shè)備的應(yīng)用環(huán)境，Quidview網(wǎng)絡(luò)管理軟件提供集群管理功能，通過一個指定公網(wǎng)IP的設(shè)備（稱作命令交換機(jī)）對網(wǎng)絡(luò)進(jìn)行管理。</p><p><b>　　8. 堆疊管理</b></p><p>　　Quidview網(wǎng)絡(luò)管理軟件通過堆疊管理，可以集中管理較大量的低端設(shè)備，并且為用戶提供統(tǒng)一的

76、網(wǎng)管界面，方便用戶對大量設(shè)備的統(tǒng)一管理維護(hù)。</p><p>　　9. 故障定位與地址反查</p><p>　　針對最為常見的端口故障，Quidview網(wǎng)絡(luò)管理軟件提供了便捷的定位檢測工具——路徑跟蹤和端口環(huán)回測試；當(dāng)用戶報告網(wǎng)絡(luò)端口使用異常時，網(wǎng)絡(luò)管理員可以通過網(wǎng)管對指定用戶端口做環(huán)回測試，直接定位端口故障。</p><p>　　10. RMON管理</p&

77、gt;<p>　　RMON管理根據(jù)RFC1757定義的標(biāo)準(zhǔn)RMON-MIB及華為3Com自定義告警擴(kuò)展MIB對主機(jī)設(shè)備進(jìn)行遠(yuǎn)程監(jiān)視管理。</p><p>　　5.4網(wǎng)絡(luò)安全策略配置</p><p><b>　　安全接入和配置：</b></p><p>　　安全接入和配置是指在物理(控制臺)或邏輯(telnet)端口接入網(wǎng)絡(luò)基礎(chǔ)設(shè)施

78、設(shè)備前必須通過認(rèn)證和授權(quán)限制，從而為網(wǎng)絡(luò)基礎(chǔ)設(shè)施提供安全性。限制遠(yuǎn)程訪問的安全設(shè)置方法如下表19</p><p><b>　　安全接入和配置方法</b></p><p>　　5.5 拒絕服務(wù)的防止</p><p>　　網(wǎng)絡(luò)設(shè)備拒絕服務(wù)攻擊的防止主要是防止出現(xiàn)TCP SYN泛濫攻擊、Smurf攻擊等；網(wǎng)絡(luò)設(shè)備的防TCP SYN的方法主要是配置網(wǎng)絡(luò)

79、設(shè)備TCP SYN臨界值，若多于這個臨界值，則丟棄多余的TCP SYN數(shù)據(jù)包；防Smurf攻擊主要是配置網(wǎng)絡(luò)設(shè)備不轉(zhuǎn)發(fā)ICMP echo請求(directed broadcast)和設(shè)置ICMP包臨界值，避免成為一個Smurf攻擊的轉(zhuǎn)發(fā)者、受害者。</p><p><b>　　訪問控制：</b></p><p>　　1 允許從內(nèi)網(wǎng)訪問internet，端口全開放。&

80、lt;/p><p>　　2 允許從公網(wǎng)到DMZ（非軍事）區(qū)的訪問請求：WEB服務(wù)器只開放80端口，mail服務(wù)器只開放25和110端口。</p><p>　　4 禁止從公網(wǎng)到內(nèi)部區(qū)的訪問請求，端口全關(guān)閉。</p><p>　　5 允許從內(nèi)網(wǎng)訪問DMZ（非軍事）區(qū)，端口全開放</p><p>　　6 允許從DMZ（非軍事）區(qū)訪問intern

81、et，端口全開放</p><p>　　7 禁止從DMZ（非軍事）區(qū)訪問內(nèi)網(wǎng)，端口全關(guān)閉。</p><p><b>　　5.6電源系統(tǒng)</b></p><p>　　為保證網(wǎng)絡(luò)系統(tǒng)的安全運(yùn)轉(zhuǎn)及電源發(fā)生故障時重要數(shù)據(jù)的儲存,須配置具有高可靠性的UPS電源。為此,在網(wǎng)絡(luò)中心配置了一套山特C3KVA/2100W的UPS電源。</p>&l

82、t;p>　　5.7其校園網(wǎng)基本拓?fù)浣Y(jié)構(gòu)：</p><p><b>　　設(shè)備配置方案</b></p><p><b>　　(1)路由器</b></p><p>　　f1端口接外網(wǎng)端口（172.16.46.252/24），f 0端口接內(nèi)網(wǎng)端口（192.168.1.1/24）。</p><p>&l

83、t;b>　　Config t</b></p><p>　　Hostname 2624</p><p>　　Enable secret level 15 0 star</p><p>　　Line vty 0 4 !設(shè)置Telnet密碼 </p><p><b>　　Log

84、in</b></p><p><b>　　Pass star</b></p><p><b>　　Exit</b></p><p>　　Interface f 1</p><p>　　Ip address 172.16.46.252 255.255.255.0</p>&l

85、t;p><b>　　No shut</b></p><p>　　Ip nat outside !定義外部接口</p><p><b>　　Exit</b></p><p>　　Intface f 0</p><p>　　Ip address 192.168.1.1 255.255.2

86、55.0</p><p><b>　　No shut</b></p><p>　　Ip nat inside !定義內(nèi)部接口</p><p><b>　　Exit</b></p><p>　　Access-list1 permitted 192.168.0.0 0.0.255.255&l

87、t;/p><p>　　Ip nat inside source list 1 int f1 over !應(yīng)用nat協(xié)議</p><p>　　Ip routing</p><p>　　Ip route 0.0.0.0 0.0.0.0 172.16.46.254</p><p>　　Ip route 192.168.10.0 255.2

88、55.255.0 192.168.1.2</p><p>　　Ip route 192.168.20.0 255.255.255.0 192.168.1.2</p><p>　　Ip route 192.168.30.0 255.255.255.0 192.168.1.2</p><p>　　Ip route 192.168.40.0 255.255.255.0 1

89、92.168.1.2</p><p>　　Ip route 192.168.50.0 255.255.255.0 192.168.1.2</p><p><b>　　End</b></p><p><b>　　Write</b></p><p><b>　　（2）核心交換機(jī)</b&g

90、t;</p><p>　　F1/1～4分別與匯聚層交換機(jī)相連，f1/8與路由器相連。</p><p><b>　　Config t</b></p><p>　　Enable secret level 15 0 star !設(shè)置特權(quán)密碼</p><p>　　Enable secret level 1 0 star !

91、設(shè)置Telnet密碼</p><p>　　Hostname 4909</p><p>　　Interface vlan 1</p><p>　　Ip address 192.168.10.1 255.255.255.0</p><p><b>　　No shut</b></p><p><b

92、>　　Exit</b></p><p>　　Intface f1/8</p><p>　　No switch !啟用3層端口</p><p>　　Ip address 192.168.1.2 255.255.255.0</p><p><b>　　No shut</b></p>

93、<p>　　Interface range f1/1-4</p><p>　　Switch mode trunk</p><p><b>　　No shut</b></p><p><b>　　Exit</b></p><p>　　Ip routing</p><p&

94、gt;　　Ip route 0.0.0.0 0.0.0.0 192.168.1.1</p><p>　　Ip route 192.168.20.0 255.255.255.0 192.168.10.2</p><p>　　Ip route 192.168.30.0 255.255.255.0 192.168.10.3</p><p>　　Ip route 192.1

95、68.40.0 255.255.255.0 192.168.10.4</p><p>　　Ip route 192.168.50.0 255.255.255.0 192.168.10.5</p><p><b>　　End</b></p><p><b>　　Write</b></p><p>&l

96、t;b>　?。?）匯聚層交換機(jī)</b></p><p>　　①3550-2交換機(jī)配置</p><p>　　F0/24與核心交換機(jī)相連，F(xiàn)0/1-5與接入層交換機(jī)相連。</p><p><b>　　Config t</b></p><p>　　Hostname 3550-2</p><

97、p>　　Enable secret level 15 0 star !設(shè)置特權(quán)密碼</p><p>　　Enable secret level 1 0 star !設(shè)置Telnet密碼</p><p>　　Interface vlan 1</p><p>　　Ip address 192.168.10.2 255.255.255.0</p>

98、<p><b>　　No shut</b></p><p><b>　　Exit</b></p><p><b>　　Vlan 20</b></p><p>　　Intface Vlan 20 !創(chuàng)建3層虛擬端口</p><p&

99、gt;　　Ip address 192.168.20.1 255.255.255.0</p><p><b>　　No shut</b></p><p>　　Interface range f0/1-5</p><p>　　Switch mode trunk</p><p><b>　　Exit</b&g

100、t;</p><p>　　Interface f0/24</p><p>　　Switch mode trunk</p><p><b>　　Exit</b></p><p>　　Ip routing</p><p>　　Ip route 0.0.0.0 0.0.0.0 192.168.10.1&

101、lt;/p><p>　　Ip route 192.168.30.0 255.255.255.0 192.168.10.3</p><p><b>　　End</b></p><p><b>　　Write</b></p><p>　?、?550-3交換機(jī)配置</p><p>　　

102、F0/24與核心交換機(jī)相連，F(xiàn)0/1-5與接入層交換機(jī)相連。</p><p><b>　　Config t</b></p><p>　　Hostname 3550-3</p><p>　　Enable secret level 15 0 star !設(shè)置特權(quán)密碼</p><p>　　Enable secret lev

103、el 1 0 star !設(shè)置Telnet密碼</p><p>　　Interface vlan 1</p><p>　　Ip address 192.168.10.3 255.255.255.0</p><p><b>　　No shut</b></p><p><b>　　Exit</b>&

104、lt;/p><p><b>　　Vlan 30</b></p><p><b>　　Exit</b></p><p>　　Intface Vlan 30 !創(chuàng)建3層虛擬端口</p><p>　　Ip address 192.168.30.1 255.255.255

105、.0</p><p><b>　　No shut</b></p><p>　　Interface range f0/1-5</p><p>　　Switch mode trunk</p><p><b>　　Exit</b></p><p>　　Interface f0/24

106、</p><p>　　Switch mode trunk</p><p><b>　　Exit</b></p><p>　　Ip routing</p><p>　　Ip route 0.0.0.0 0.0.0.0 192.168.10.1</p><p>　　Ip route 192.168.2

107、0.0 255.255.255.0 192.168.10.2</p><p><b>　　End</b></p><p><b>　　Write</b></p><p>　?、?550-4交換機(jī)配置</p><p>　　F0/24與核心交換機(jī)相連，F(xiàn)0/1與接入層交換機(jī)相連。</p>

108、<p><b>　　Config t</b></p><p>　　Hostname 3550-4</p><p>　　Enable secret level 15 0 star !設(shè)置特權(quán)密碼</p><p>　　Enable secret level 1 0 star !設(shè)置Telnet密碼</p><p

109、>　　Interface vlan 1</p><p>　　Ip address 192.168.10.4 255.255.255.0</p><p><b>　　No shut</b></p><p><b>　　Exit</b></p><p><b>　　Vlan 40<

110、/b></p><p>　　Intface Vlan 40 !創(chuàng)建3層虛擬端口</p><p>　　Ip address 192.168.40.1 255.255.255.0</p><p><b>　　No shut</b></p><p>　　Interface rang

111、e f0/1</p><p>　　Switch mode trunk</p><p><b>　　Exit</b></p><p>　　Interface f0/24</p><p>　　Switch mode trunk</p><p><b>　　Exit</b><

112、/p><p>　　Ip routing</p><p>　　Ip route 0.0.0.0 0.0.0.0 192.168.10.1</p><p><b>　　End</b></p><p><b>　　Write</b></p><p>　?、?550-5交換機(jī)配置<

113、/p><p>　　F0/24與核心交換機(jī)相連，F(xiàn)0/1-7與接入層交換機(jī)相連。</p><p><b>　　Config t</b></p><p>　　Hostname 3550-5</p><p>　　Enable secret level 15 0 star !設(shè)置特權(quán)密碼</p><p>

114、　　Enable secret level 1 0 star !設(shè)置Telnet密碼</p><p>　　Interface vlan 1</p><p>　　Ip address 192.168.10.5 255.255.255.0</p><p><b>　　No shut</b></p><p><b&g

115、t;　　Exit</b></p><p><b>　　Vlan 50</b></p><p>　　Intface Vlan 50 !創(chuàng)建3層虛擬端口</p><p>　　Ip address 192.168.50.1 255.255.255.0</p><p><

116、b>　　No shut</b></p><p><b>　　exit</b></p><p>　　Interface range f0/1-7</p><p>　　Switch mode trunk</p><p><b>　　Exit</b></p><p&g

117、t;　　Interface f0/24</p><p>　　Switch mode trunk</p><p><b>　　Exit</b></p><p>　　Ip routing</p><p>　　Ip route 0.0.0.0 0.0.0.0 192.168.10.1</p><p>&

118、lt;b>　　End</b></p><p><b>　　Write</b></p><p><b>　　(4)接入層交換機(jī)</b></p><p>　　F0/24口設(shè)為Trunk端口。2126做接入層交換機(jī)的配置如下。</p><p><b>　　Config t<

119、;/b></p><p>　　Hostname 2126-1</p><p>　　Enable secret level 15 0 star !設(shè)置特權(quán)密碼</p><p>　　Enable secret level 1 0 star !設(shè)置Telnet密碼</p><p>　　Interface vlan 1</p>

120、;<p>　　Ip address 192.168.10.6 255.255.255.0</p><p><b>　　No shut</b></p><p><b>　　Exit</b></p><p><b>　　Vlan 20</b></p><p><

121、b>　　Exit</b></p><p>　　Intface range f0/1-23</p><p>　　Switch access vlan 20</p><p><b>　　No shut</b></p><p><b>　　Exit</b></p><

122、p>　　Interface f0/24</p><p>　　Switch mode trunk</p><p><b>　　End</b></p><p><b>　　Write</b></p><p><b>　　7.局域網(wǎng)測試</b></p><p

123、>　　·查看配置：show run</p><p>　　·查看路由信息:show ip route</p><p>　　·查看接口信息：show interface [端口類型] [端口號]</p><p>　　·使用ping命令：ping [網(wǎng)絡(luò)設(shè)備端口IP地址]</p><p><b&g

124、t;　　六 設(shè)計總結(jié)</b></p><p>　　1、本校園網(wǎng)設(shè)計方案從學(xué)院的實(shí)際應(yīng)用出發(fā)，結(jié)合現(xiàn)代信息技術(shù)的發(fā)展，遵循實(shí)用，可靠，先進(jìn)，安全的設(shè)計原則。校園網(wǎng)建設(shè)第一步方案將以結(jié)構(gòu)化布線和主干建設(shè)為重點(diǎn)。網(wǎng)絡(luò)主干采用以太網(wǎng)技術(shù)，核心交換設(shè)備不僅功能強(qiáng)大，而且具有優(yōu)異的擴(kuò)展性能，可以很好地滿足今后不斷發(fā)展的應(yīng)用需要。同時，在服務(wù)器，操作系統(tǒng)，應(yīng)用軟件開發(fā)，信息出口等方面也進(jìn)行了周密的設(shè)計，保證在系統(tǒng)開