使用Windows Server 2003組建校園網

成績：成績：使用WindowsServer2003組建校園網目錄1.引言 42.需求分析 52.1需求分析概述 52.2需求分析實現(xiàn) 7教學樓 7辦公行政樓 7圖書館 7學生宿舍 7信息網絡中心 73.網絡拓撲設計及原則 73.1拓撲設計 73.2設計原則 83.3網絡拓撲結構設計圖 94.網絡方案設計 104.1網絡結構分析 101．骨干層 102．接入層 113．出口 114.2網絡架構設計 114.3擴展的考慮 124.4網絡VLAN設計 124.5網絡QoS設計 134.6網絡安全設計 144.7防火墻的設置 144.7.1部署外部防火墻 144.7.2部署內部防火墻 154.8服務器技術參數(shù) 154.9服務器選擇 17系統(tǒng)平臺選擇 17采用Windows2003SERVER建立FTP服務器 175.校園網的規(guī)劃設計 175.1網絡拓撲結構設計 175.2校園網各個分區(qū)設計 185.2.1教學樓 185.2.2行政樓 195.2.3圖書館 195.2.5信息網絡中心 215.3IP地址的規(guī)劃和分配 226.WindowsServer2003配置 246.1WindowsServer2003概述 246.2WindowsServer2003安裝與配置 256.2.1安裝WindowsServer2003 256.2.2網絡服務的添加與管理 256.2.3配置網絡協(xié)議 256.2.4設置IP地址信息 266.3DNS服務器配置 266.3IIS服務器配置 266.4Web服務器配置 276.6FTP服務器配置 307.單項產品測試 32交換機測試 32綜合布線測試 337.2.1測試標準 33網絡聯(lián)機測試 338.總結 33參考文獻 35使用WindowsServer2003組建校園網摘要：校園網是學校內部的專用網絡，它的根本目的是為學校的教學、科研和管理提供先進實用的計算機網絡環(huán)境，為學校的發(fā)展、全球信息資源的共享服務。目前，我國的校園網正飛速發(fā)展，大部分高等院校已經有自己的校園網并且實現(xiàn)了如教務管理、辦公自動化、一卡通等多方面應用，利用校園網可以進行學校之間及學校內部各部門之間、教師與教師之間、教師與學生之間、學校與技術單位之間等多方位、多層次的交流，達到了以信息服務為主的校園網建設目標。關鍵詞：組網，方案，拓撲圖，校園網1.引言隨著互聯(lián)網的不斷發(fā)展，網絡已經融入到我們的生活和學習當中，高校校園網做為一個成功應用的實例，給學校的教學及管理帶來了新的方式，成為學校教育活動的發(fā)展平臺，因此也成為教學和管理中不可或缺的一部分。我國高校校園網的發(fā)展可分為三個階段：第一個階段是大部分學校沒有網絡設備階段，我國已經基本渡過這個階段。據(jù)不完全統(tǒng)計，我國現(xiàn)在大學校園網的覆蓋率已經達到100%。第二個階段是學校網絡設備處于比較雜亂的階段，我國現(xiàn)有高校的大部分校園網都處在這個階段。第三個階段是學校的校園網可以提供一個高效、安全的平臺，為高校的教育事業(yè)發(fā)展提供良好的條件。這個階段也是我們校園網發(fā)展的更高目標。校園網的發(fā)展帶著高等教育走進了一個新的時代。因此，搞好校園網絡建設，對教學的改革及學習方法的改進十分重要，是教育現(xiàn)代化的重要內容。校園網是教育信息化、乃至教育現(xiàn)代化建設的重要內容，校園網在學校教育教學工作中其作用的發(fā)揮程度如何，反映出一所學校、一個地區(qū)的教育信息化水平?，F(xiàn)在的校園網可以為師生提供教學、科研和綜合信息服務的寬帶多媒體網絡，校園網內各計算機通過局域網進行連接，實現(xiàn)網絡信息管理、資源共享和信息交流等，并能通過廣域網實現(xiàn)校園內外和國內外的教育資源共享與交流等。高等院校的對外宣傳是發(fā)展學校、建設學校的一個重要手段，有再好的教學資源和師資力量但社會大眾不了解，人們也是不會認可和信賴這所學校的?，F(xiàn)在社會各界了解學校幾乎都是通過網絡來完成的，網絡中又以校園網為主，所以建設一個快速、穩(wěn)定、方便的校園網是高等院校對外宣傳的重要保障?；I劃校園網要討論三個要素，無論是校外連網還是校內連網，要較好地發(fā)揮校園網的作用都要涉及三個要素：運載基礎設施、運載設施和運載信息。2.需求分析2.1需求分析概述在校園網絡中，視頻、音頻、數(shù)據(jù)集于一身，如果保證不了高帶寬、又多種視頻、音頻、數(shù)據(jù)流混雜在一起進行傳輸，就沒法對流做出最高優(yōu)先級和次高優(yōu)先級及底優(yōu)先級的分類，這樣就不能保證重要業(yè)務的暢通，造成網絡延遲、服務不可用。所以要想真正改變網絡的效率，更有效的保證應用服務的運營，需要通過端到端的QOS，智能到邊緣的方式來保證。通過智能到邊緣，端到端的應用方式，可以減少對網絡核心設備的消耗，這樣保證了網絡的有效暢通?？梢詫@區(qū)網應用中的，多媒體視頻點播服務、數(shù)據(jù)備份服務、文獻傳遞服務、E-mail服務、數(shù)據(jù)庫服務器等服務。對不同服務流進行詳細的分類，劃分優(yōu)先級，以及盡可能地避免發(fā)生擁塞。同時保證網絡的高效運行，充分利用現(xiàn)有的帶寬。在園區(qū)網絡中，存在多樣的網絡設備及系統(tǒng)應用環(huán)境，并且要考慮在用戶迅速增長的今天，考慮到網絡設備的可擴展性。保證在多樣網絡設備，用戶不斷增加的環(huán)境中，仍能保證網絡暢通。所以萬兆骨干網絡平臺就應具有良好的兼容性和可擴展性，能與當前校園網絡無縫銜接，同時預留空間符合當前和以后的信息建設需要和足夠的升級空間。在校園網絡建設中存在多用戶,多服務的現(xiàn)狀。帶來了對網絡系統(tǒng)要求具有高效率等，以保證大數(shù)據(jù)量訪問下有效的處理能力。針對需求設備要能對數(shù)據(jù)做到分布式處理，這樣的分布式處理可以節(jié)省主交換引擎的消耗。使數(shù)據(jù)在獨立的板卡上就能做出對數(shù)據(jù)的識別，這樣比在中央處理器識別要快的多。并在大量的數(shù)據(jù)應用，數(shù)據(jù)傳輸?shù)倪^程中，要保證所有硬件設備都可以進行快速的轉發(fā)，要具備高背板帶寬（交換容量），所有端口都能保證線速轉發(fā)。這種分布式處理可以極大地提高整體處理能力，保證了網絡暢通?，F(xiàn)在的網絡環(huán)境中穩(wěn)定可靠是爭相談論的話題，因現(xiàn)在在網絡中運行了眾多重要應用及服務，是要保證7*24小時不間斷的服務。就要完全能保證網絡設備全天后的可用性。即使在設備出現(xiàn)問題時切換到備用設備的過程中，也要保證較小的延遲，以滿足網絡應用中的有效暢通的需要。在這樣的需求中利用，冗余的管理交換引擎、冗余的電源等關鍵部件的冗余，支持（802.1D、802.1W）802.1S多Vlan生成樹協(xié)議保證鏈路級的冗余和負載均衡，支持VRRP、OSPF等三層路由協(xié)議保證路由級的冗余，支持loadbalancing技術實現(xiàn)了應用級的冗余備份和負載均衡。全方位的完全保證了設備、網絡、應用系統(tǒng)的可靠性。在校園網絡中，對于校園網的安全保障十分重要：校園網的信息點分布很廣，與一般企業(yè)網比較，校園網用戶的流動性大，信息點存在隨意接入使用的問題。學生及外來不明身份的用戶，在校園網中找到任何一個信息點，就可以進入到校園網，可以肆意干擾和破壞校園網網絡平臺及應用系統(tǒng)的正常運行。另外校園網的網絡安全，還需要考慮與外網及內網不同應用系統(tǒng)之間的安全訪問控制。為了發(fā)生安全事件后，能夠有效、快捷地處理事故，采用上網審計手段是十分有必要的。由于當前類似“沖擊波、震蕩波病毒”的肆虐，一個健壯的網絡應該提供必要的手段，禁止特定病毒的傳播以及由于病毒造成的流量擁塞。2.2需求分析實現(xiàn)教學樓主要為電腦機房、多媒體教室，將計算機多媒體視聽引入課堂教學、聲音、圖像、動畫的普遍采用可以大大提高教學效果。辦公行政樓辦公自動化基本web綜合管理信息的信息系統(tǒng)、提示行政、人事、學籍、后勤、財務管理、公文收發(fā)管理、教師檔案管理、學生檔案管理、科技檔案管理等、使學校日常辦公無紙化、減少辦公開支提高辦公效率等。圖書館圖書館是給師生們提供自主學習的場所，師生可以根據(jù)需要自由選擇內容以及基于web的圖書音像供學生隨時讀、并于連接Ineternet、使圖書館得到進一步拓展、使師生能夠得到近乎無限的網上資源。學生宿舍宿舍區(qū)的網絡構架對學校信息化工作起到了巨大的推動作用，一方面縮短了學校與外界的距離，另一方面，完善了以校園網為基礎的管理信息系統(tǒng)，為學生提供了方便。信息網絡中心中心機房到匯聚層節(jié)點采用4兆光纖（多模）連接，匯聚層到接入層采用百兆的五類線（或者超五類）連接。通?？紤]，建議數(shù)據(jù)信息點的接入用交換10/100Mbps自適應以太網端口接入，以便能較經濟的提供較高的帶寬。整個方案設計的目的是建設一個集數(shù)據(jù)傳輸和備份、多媒體應用、語音傳輸、OA應用和Internet訪問等于一體的高可靠、高性能的寬帶多媒體校園網。3.網絡拓撲設計及原則3.1拓撲設計局域網采用星型網絡拓樸結構，星型拓樸結構為現(xiàn)在較為流行的一種網絡結構，它是以一臺中心處理機（通信設備）為主而構成的網絡，其它入網機器僅與該中心處理機之間有直接的物理鏈路，中心處理機采用分時或輪詢的方法為入網機器服務，所有的數(shù)據(jù)必須經過中心處理機。由于所有節(jié)點的往外傳輸都必須經過中央節(jié)點來處理，因此，對中央節(jié)點的要求比較高。

優(yōu)點是網絡結構簡單，易于維護，便于管理（集中式）；每臺入網機均需物理線路與處理機互連，線路利用率低；處理機負載重（需處理所有的服務），因為任何兩臺入網機之間交換信息，都必須通過中心處理機；入網主機故障不影響整個網絡的正常工作。對該網絡支持的設備生產廠商有較好的技術支持。局域網內的所有工作節(jié)點通過雙絞線與交換機相連形成一個星型網絡。辦公電腦建議采用品牌的商用機，商用機運行比較穩(wěn)定，而且比較耐用，運算速度較快，較適于開發(fā)使用。3.2設計原則校園網絡系統(tǒng)的建設在實用的前提下，應當在投資保護及長遠性方面做適當考慮，在技術上、系統(tǒng)能力上要保持五年左右的先進性。并且從學校的利益出發(fā)，從技術上講應該采用標準、開放、可擴充的、能與其它廠商產品配套使用的設計。根據(jù)校園網的總體需求，結合對應用系統(tǒng)的考慮，本次網絡建設的設計目標是：高性能、高可靠性、高穩(wěn)定性、高安全性、易管理的萬兆骨干網絡平臺。我們遵循以下的原則進行網絡設計：1.實用性和經濟性網絡建設應始終貫徹面向應用，注重實效的方針，堅持實用、經濟的原則，建設的萬兆骨干網絡平臺，保護用戶的投資。性和成熟性網絡建設設計既要采用先進的概念、技術和方法，又要注意結構、設備、工具的相對成熟。不但能反映當今的先進水平，而且具有發(fā)展?jié)摿?，能保證在未來若干年內占主導地位，保證貴校網絡建設的領先地位，采用萬兆以太網技術來構建網絡主干線路。3.可靠性和穩(wěn)定性在考慮技術先進性和開放性的同時，還應從系統(tǒng)結構、技術措施、設備性能、系統(tǒng)管理、廠商技術支持及保修能力等方面著手，確保系統(tǒng)運行的可靠性和穩(wěn)定性，達到最大的平均無故障時間，銳捷網絡做為國內知名品牌，網絡領導廠商，其產品的可靠性和穩(wěn)定性是一流的。為了保證骨干網絡平臺的健壯性和鏈路冗余性，建議網絡實施時在學校啟用千兆備份線路。在學校啟用物理鏈路冗余機制，保證任何一條線路出現(xiàn)故障后骨干網絡平臺的可用性。4.安全性和保密性在網絡設計中，既考慮信息資源的充分共享，更要注意信息的保護和隔離，因此系統(tǒng)應分別針對不同的應用和不同的網絡通信環(huán)境，采取不同的措施，包括端口隔離、路由過濾、防DDoS拒絕服務攻擊、防IP掃描、系統(tǒng)安全機制、多種數(shù)據(jù)訪問權限控制等，銳捷網絡充分考慮安全性，針對的各種應用，有多種的保護機制，如劃分VLAN、IP/MAC地址綁定（過濾）、ACL、路由過濾、防DDoS拒絕服務攻擊、防IP掃描、802.1x認證機制、SSH加密連接等具體技術提升整個網絡的安全性。5.可擴展性和可管理性由于信息技術和人們對于新技術的需求發(fā)展都非常迅速，為了避免不必要的重復投資，我們必須選擇具有一定擴展能力的設備，能夠保證在網絡規(guī)模逐漸擴大的時候，不需要增加新的設備，而只需要增加一定數(shù)量的模塊就行。最好能夠做到在網絡技術進一步發(fā)展，現(xiàn)有模塊不支持新技術的情況下，只需要更換相應模塊，而不需要更換整個設備。為了適應網絡結構變化的要求，必須充分考慮以最簡便的方法、最低的投資，實現(xiàn)系統(tǒng)的擴展和維護。為了便于擴展，對于核心設備必須采用模塊化高密度端口的設備，便于將來升級和擴展。先進的設備必須配合先進的管理和維護方法，才能夠發(fā)揮最大的作用。全線采用基于SNMP標準的可網管產品，達到全程網管，降低了人力資源的費用，提高網絡的易用性、可管理性，同時又具有很好的可擴充性。3.3網絡拓撲結構設計圖校園網局域網主干藍圖:4.網絡方案設計4.1網絡結構分析1．骨干層網絡中心節(jié)點及其它核心節(jié)點作為校園網絡系統(tǒng)的心臟，必須提供全線速的數(shù)據(jù)交換，當網絡流量較大時，對關鍵業(yè)務的服務質量提供保障。另外作為整個網絡的交換中心，在保證高性能、無阻塞交換的同時，還必須保證穩(wěn)定可靠的運行。因此在網絡中心的設備選型和結構設計上必須考慮整體網絡的高性能和高可靠性。具體來說核心節(jié)點的交換機有兩個基本要求：1）高密度端口情況下，還能保持各端口的線速轉發(fā)；2）關鍵模塊必須冗余，如管理引擎、電源、風扇。

由于校園網建設最終必將采用萬兆技術，因此需要考慮到核心設備對萬兆的支持能力。綜上所述，主干核心交換機屬于高端系列的產品，所以在本方案中，核心交換機建議采用多業(yè)務萬兆核心路由交換機?？梢愿鶕?jù)用戶的需求靈活配置，靈活構建彈性可擴展的網絡。多業(yè)務萬兆核心路由交換機高背板帶寬和二/三層包轉發(fā)速率可為用戶提供高速無阻塞的交換，強大的交換路由功能、安全智能技術可為用戶提供完整的端到端解決方案，是大型網絡核心骨干交換機的理想選擇。在此方案中，校區(qū)網絡中心采用思科WS-C4503多業(yè)務萬兆核心路由交換機作為核心交換機。核心層交換機跟匯聚接入層交換機之間的千兆鏈路可以捆綁，從而實現(xiàn)帶寬的靈活擴展。2．接入層接入層網絡由樓棟交換節(jié)點和樓層交換節(jié)點組成，接入層網絡應該可以滿足各種客戶的接入需要，而且能夠實現(xiàn)客戶化的接入策略，業(yè)務QOS保證，用戶接入訪問控制等等。樓層交換節(jié)點采用千兆智能堆疊交換機，提供智能的流分類和完善的QoS特征。為各類型網絡提供完善的端到端的服務質量、豐富的安全設置和基于策略的網管，最大化滿足高速、融合、安全的園區(qū)網新需求；本方案中各接入層交換機通過千兆鏈路上聯(lián)到各匯聚層設備，對下聯(lián)的桌面設備提供全雙工的百兆連接，為各類用戶提供無阻塞的交換性能。3．出口因為校園網出口采用以太網，所以采用路由器+防火墻的方式，起到如下作用：防火墻提供強有力的服務器、內網安全保護、提供IDS等安全特性；路由器提供出口路由功能，數(shù)據(jù)處理能力強，具有強大的NAT功能。4.2網絡架構設計基于目前學校規(guī)模及發(fā)展的角度考慮，骨干網絡采用單核心雙引擎或雙核心單引擎的拓撲結構，保證核心的穩(wěn)定。為了以后擴展的需要，所以采用RG-WALL1000防火墻，并將校內的對外服務器與防火墻的DMZ區(qū)相連，保證良好的安全性；同時雙核心時做VRRP，防火墻雙百兆連接核心，單百兆連接Internet；出于管理和安全方面角度考慮，在全網可采用IP+MAC綁定方式，全網分布式采用ACL，并按照部門劃分VLAN，劃分相應的權限，保證學生機房用機對教學辦公網沒有訪問權限，只能訪問校內服務器及外網；IP分配：在辦公區(qū)采用靜態(tài)IP劃分，在學生區(qū)及移動性較大的辦公區(qū)可補充性采用DHCP動態(tài)獲得IP地址。4.3擴展的考慮備份線路帶寬擴展：在未來升級考慮中，可將核心與匯聚間千兆備份線路帶寬升級至10G帶寬，以提高備份線路的連接帶寬。實訓樓交換機可擴充為96個千兆口，擁有很強的接入擴展功能。4.4網絡VLAN設計在校園網絡的整個網絡規(guī)劃當中，VLAN的劃分是非常重要的部分，很好的利用VLAN技術的功能，能起到事半功倍的效果，對整個網絡的性能也是事關重要的。主要突出為以下幾點：VLAN劃分，可以避免廣播風暴，在骨干網絡中尤為突出，在多媒體、視頻點播等很容易引起廣播信息；劃分之后，VLAN是廣播只在子網中進行，不會做無意義的廣播，消除了廣播風暴產生的條件。VLAN劃分，可以增加網絡的安全性，在不同的VLAN之間不能隨意通訊，只限與本子網間通訊，不會對其他的子網產生干擾。要進行訪問，需要通過三層交換，這樣信息流就得到相當好的控制。網絡管理系統(tǒng)采用完全獨立的IP子網和VLAN，實現(xiàn)更加安全的對所有網絡設備進行管理。建立VLAN和IP子網的對應關系。提高管理效率，實現(xiàn)虛擬的工作組，減少站點的移動和改變的開銷。VLAN間的子網訪問，可以在三層交換機上實現(xiàn)，子網間的通訊也可以在匯聚設備上實行，分流核心交換機的三層交換，優(yōu)化了組網。根據(jù)以往網絡管理經驗和骨干網絡網絡建設的實際情況，方案建議在骨干網絡VLAN劃分規(guī)劃以“靈活劃分、方便管理”為基本原則，以不同的使用群體為VLAN范圍劃分。這樣劃分VLAN的好處有：1、方便管理。為了更好的進行VLAN規(guī)劃的實施，因此在網絡實施前期，要對網絡中不同區(qū)域的VLAN設置進行詳細的規(guī)劃，細化到接入層網絡，這樣在骨干網絡這樣大型的校園網絡中如果以用戶群體來劃分VLAN的話，避免由于前期配置設備時復雜煩瑣，而且由于相同的用戶群體可能在不同的物理位置，導致造成整個校園網絡中VLAN劃分復雜，減輕管理和后期維護。所以方案建議骨干網絡劃分VLAN方式前進行詳盡規(guī)劃，這樣既可以減少廣播域，又達到劃分VLAN，方便管理的效果，對于后期網絡維護和升級具有十分現(xiàn)實的意義。2、易于實施。按群體劃分VLAN在工程實施中就十分的方便，不會造成VLAN劃分復雜失誤而使得網絡出現(xiàn)不通的現(xiàn)象，便于工程快速實施和網絡中心整體規(guī)劃。3、VLAN間路由采用三層交換設備進行VLAN路由。以便不同VLAN間進行訪問，對于學校重要網絡資源，需要進行權限訪問的時候，建議采用專家級ACL（可同時基于VLAN號、以太網類型、MAC地址、IP地址、TCP/UDP端口號、時間靈活組合限定的硬件ACL）來進行訪問權限設定，保障重要資料不被非法訪問。4.5網絡QoS設計為確保用戶各種關鍵業(yè)務的正常開展，必須采取全面而系統(tǒng)的QoS設計(提供端到端QoS服務)，以保證重要的數(shù)據(jù)流在網絡發(fā)生擁塞時獲得有保證的吞吐量和最低的延時；為了保證端到端用戶的服務質量，因此要求端到端數(shù)據(jù)流經的所有網絡設備都支持實施的QoS策略，核心設備是多個服務器接入的設備，并且擔負著全網數(shù)據(jù)的交換，QoS的能力影響著全網的服務質量保障能力。如圖所示：QoS工作原理在骨干網絡網絡中，由于信息資源集中于骨干網絡網絡中心，為保證全網的QoS，要求資源中心核心交換機、分中心交換機和接入交換機均支持第三層的Qo骨干網絡這樣的網絡并沒有實際意義，因為802.1P的標記不能在交換機之間傳遞，只能在本機上有用。通過從核心到接入設備全程對QoS的良好支持，全部硬件提供二到四層數(shù)據(jù)流交換，實現(xiàn)應用感知的功能，給予多媒體辦公應用提供透明的QoS保障，確保真正的端到端的QoS的實現(xiàn)。4.6網絡安全設計構建全程全網的訪問控制體系是網絡安全防范和保護的主要策略，它的主要任務是保證網絡資源不被非法使用和訪問。它是保證網絡安全最重要的核心策略之一。隨著校園網的不斷發(fā)展和應用，網絡管理和安全防范問題也越來越復雜。為此，我校專門設立了網絡管理中心，負責網絡管理系統(tǒng)的建立和應用、線路和站點的監(jiān)測、通信設備管理、全局目錄管理、用戶和文件管理及收費管理、用戶培訓等。同時，利用網管中心，可以方便地采取各種安全性措施，控制通信。內容可分為下列6項：（1）、系統(tǒng)管理隨時掌握網絡內任何設備的增減與變動，管理所有網絡設備的設置參數(shù)。當故障發(fā)生時，管理人員得以重設或改變網絡設備的參數(shù)，維持網絡的正常運作。（2）、故障管理為確保網絡系統(tǒng)的高穩(wěn)定性，在網絡出現(xiàn)問題時，必須及時察覺問題的所在。它包含所有節(jié)點動作狀態(tài)、故障記錄的追蹤與檢查及平常對各種通訊協(xié)議的測試。（3）、效率管理在于評估網絡系統(tǒng)的運作，統(tǒng)計網絡資源的運用及各種通訊協(xié)議的傳輸量等，更可提供未來網絡提升或更新規(guī)劃的依據(jù)。（4）、安全管理為防范不被授權的用戶擅自使用網絡資源，以及用戶蓄意破壞網絡系統(tǒng)的安全，要隨時做好安全措施，如合法的設備存取控制與加密等。（5）、計費管理了解網絡使用時間，能針對各個局部網絡做使用統(tǒng)計。一則可作為使用網絡計費的依據(jù)，更可作為日后網絡升級或更新規(guī)劃的參考。（6）、信息管理網絡上的信息分成兩部分，一是由管理員放置的信息，它們的品質一般較高；另一部分是由用戶放置的，可能會有一些問題，要對這部分信息進行管理。4.7防火墻的設置4.7.1部署外部防火墻設置外部防火墻可以實現(xiàn)內部網絡與外部網絡的有效隔離．可有效防范外部網絡的攻擊。外部防火墻可以制定訪問策略．只有被授權的外部主機可以訪問內部網絡有限的IP地址，保證外部網絡只能訪問內部網絡中必要的資源，與業(yè)務無等基于防火墻的網絡安全技術關的操作將被拒絕。外部防火墻可以進行地址轉換工作，外部網絡不能看到內部網絡的結構，使黑客攻擊失去目標151。設置外部防火墻的正確位置應該在內部網絡與外部網絡之間。內部網絡和外部網絡被完全隔離開，所有來自外部網絡的服務請求只能到達防火墻，防火墻對收到的數(shù)據(jù)包進行分析后將合法的請求傳送給相應的服務主機，對于非法訪問加以拒絕。內部網絡的情況對于外部網絡的用戶來說是完全不可見的。由于防火墻是內部網絡和外部網絡的唯一通信信道．因此防火墻可以對所有針對內部網絡的訪問進行詳細的記錄，形成完整的日志文件。防火墻要保護的網絡與外部網絡應該只有唯一的連接通路，如果防火墻后還有其他通路，防火墻將被短路。無法完成保護內部網絡的工作。如果內部網絡有多個外部連接，就應該在每個入口處都放置防火墻。4.7.2部署內部防火墻在服務器的人口處設置內部防火墻．可以制定完善的安全策略，有效地控制內部網絡的訪問。內部防火墻可以精確制定每個用戶的訪問權限保證內部網絡用戶只能訪問必要的資源，對于撥號備份線路的連接，通過強大的認證功能．實現(xiàn)對遠程用戶的管理。內部防火墻可以記錄網段間的訪問信息，及時發(fā)現(xiàn)誤操作和來自內部網絡其他網段的攻擊行為防火墻通過安全策略的集中管理，每個網段上的主機不必再單獨設立安全策略，降低人為因素導致的網絡安全問題。服務器技術參數(shù)服務器是網絡服務器用量最大的地方。服務器的選擇標準很大程度上取于中心客戶的類型和應用種類。就中小學情況而言，Web應用和數(shù)據(jù)庫應用仍然占整個數(shù)據(jù)中心的各類應用的主要部分。因此對服務器的網絡響應能力在很大程度上體現(xiàn)了服務器的硬件體系結構設計的合理性、CPU或CPU組（SMP）對操作系統(tǒng)的進程或線程的分配能力以及磁盤I/O的性能。以及可行性與穩(wěn)定性，同時散熱、功耗和易安裝性也是重點考察和評價的對象?；谝陨峡紤]，所選的服務器必須具有高可靠性，I/O吞吐能力強，數(shù)據(jù)處理快，可擴展性和可管理性良好的特點。1可靠性冗余是消除系統(tǒng)單點故障的重要手段。它可分部件級和系統(tǒng)級兩種。系統(tǒng)級冗余指整個服務器系統(tǒng)的冗余，部件級冗余主要包括如下幾點：1、可熱插拔冗余電源2、可熱插拔冗余磁盤和RAID技術3、帶ECC校驗的內存容錯4、支持SMP技術的CPU冗余5、多I/O卡（網卡、磁盤控制器）冗余容錯6、多段PCI總線冗余7、I/O吞吐能力服務器可提供網絡平臺、文件服務、打印服務以及網站的信息瀏覽服務和其他的Internet/Intranet服務，為了加快訪問速度，獲得迅速的響應，要求網絡、硬盤、I/O吞吐能力更大，可以從以下幾方面來考慮：1、采用PCI總線并發(fā)操作以提高系統(tǒng)I/O吞吐量2、支持智能I/O技術，減輕主CPU的負擔，優(yōu)化總線的傳輸3、采用先進的SCSI技術4、支持10000轉／秒以上的高速硬盤，巡道時間小于7ms5、具有以上先進技術的I/O吞吐能力的服務器，可完全滿足校園網目前以及將來的所有服務要求。2強大的處理能力服務器的數(shù)據(jù)處理能力主要由CPU的處理能力，可擴展大容量內存和系統(tǒng)帶寬所決定。1、CPUPentium42.0雙處理器；1、支持GB級的ECC、EDO內存；2、支持400MHZ以上和高出并行FSB總線。3、只有滿足上述條件的服務器才可以突破瓶頸，改善服務器的系統(tǒng)帶寬。4、集成雙1000M網絡控制器。3高擴展性考慮到將來網絡規(guī)模的擴大，服務器在選型時必須要兼顧高的擴展性，服務器通過外加設備的支持，可以支持更高要求的性能與速度。4可管理性保證整個系統(tǒng)的正常運行和降低網絡維護費用，需要使用具備優(yōu)良系統(tǒng)管理功能的服務器，具體的指標如下所示：1、支持外部管理總線(XIMB)和ISC(IntelServerControl)管理軟件即可實現(xiàn)對系統(tǒng)進行遠程管理；２、監(jiān)控系統(tǒng)主板狀態(tài)、電源狀態(tài)、機箱內溫度及風扇狀態(tài)等，并能夠及時的通過網絡進行報警；另一種常見的方法可以大幅提高服務器的安全性，這就是集群。服務器選擇根據(jù)校園網的實際需求：數(shù)據(jù)計算量大；實現(xiàn)多種服務如：WEB服務，OA應用平臺，F(xiàn)TP服務，防病毒等等。應用服務器和數(shù)據(jù)庫分離，防止應用服務器被攻擊后，影響數(shù)據(jù)庫安全。服務器主要用于幫助學校對校務、學籍、人事、政教等方面進行管理，實現(xiàn)學校的辦公自動化，各系統(tǒng)之間實現(xiàn)充分的資源共享，提高辦公及管理效率。還可以提供資料庫管理，所有相關資料都可通過網絡系統(tǒng)被檢索和使用。通過Internet/LAN向教師及學生、學生家長提供盡可能多的信息。信息服務不僅是提供E－mail、FTP、Telnet、WWW等簡單服務，還應包括如教學資料、教學課件、圖書館圖書資料的遠程查詢，遠程視頻點播、遠程電子閱覽室、教育論壇、網上教學以及學生的網上交流、網上聊天等。對于這些網絡服務，可以根據(jù)各部門需求，選擇或組織編寫一些應用系統(tǒng)軟件。.1系統(tǒng)平臺選擇系統(tǒng)平臺的建設主要包括：網絡操作系統(tǒng)、桌面平臺、數(shù)據(jù)庫、防火墻等的選擇。一般校園網絡，服務器系統(tǒng)平臺可以選擇微軟WINDOWS2003SERVER操作系統(tǒng)的解決方案，提供DNS服務、WWW服務、FTP服務、E－mail服務等。具有強大的網絡功能和可二次開發(fā)性。桌面操作系統(tǒng)比較可以選擇XP和LINUX等平臺。.2采用Windows2003SERVER建立FTP服務器一般來說，用戶聯(lián)網的首要目的就是實現(xiàn)信息共享，文件傳輸是信息共享非常重要的一個內容之一。在校園內部信息交流是非常頻繁，所以有必要在網絡中使用WINdows2003SERVER架設起一個FTP服務器。5.校園網的規(guī)劃設計5.1網絡拓撲結構設計校園網局域網主干藍圖:5.2校園網各個分區(qū)設計教學樓核心層交換機通過光纖傳輸介質與教學樓的匯聚交換機相連。匯聚交換機分別連接到各樓棟的接入層交換機，通過雙絞線連接到每個課室的信息面板上，具體分配如下：教學樓西區(qū)有5層，每層6個信息點，共30個信息點，教學樓東區(qū)有5層，每層有6個信息點，共30個信息點；教學樓北區(qū)有2層，一層4個信息點，二層2個信息點，共6個信息點。行政樓辦公行政樓位于教學樓南區(qū)，核心交換機通過室外光線連接到行政樓的匯聚交換機，匯聚交換機通過雙絞線連接到行政樓辦公室的信息面板上，信息面板分布情況如下：教學樓南區(qū)，共4層，每層5個信息點，共20個信息點。辦公室使用8口交換機連接到信息面板。5.2.3圖書館中心機房放置在圖書館的第五層，連接到匯聚交換機，通過雙絞線連接到圖書館內的信息面板上。具體分分配如下：圖書館1樓：3個信息點;圖書館2樓：20個信息點學生宿舍區(qū)核心交換機通過光纖連接到學生公寓A、B、C區(qū)的匯聚交換機，每個區(qū)域的交換機通過光纖連接到各自的區(qū)域樓，區(qū)域樓交換機再與樓層的交換機堆疊，通過雙絞線連到宿舍的信息面板上。信息網絡中心綜合樓共7層，一、二、三、四每層4個信息點，五、六、七層為實驗機房網絡中心位于第七層。通過光纖接入，連接H3CSecPathF100-S-AC防火墻，再連接到一臺“思科WS-C4503”服務器群組服務器統(tǒng)一采用IBMSystemx3650M3(7945I75)，一臺對外Web服務器，放的是學校的官方網站；一臺內網Web服務器，是學校的內部網站；一臺Ftp服務器，由于FTP流量比較大，所以增加了一臺IBMTotalStorageDS3400(1726-42X)Raid服務器。核心層交換機通過光纖連接到辦公及教學樓、綜合樓、圖書館、學生公寓A、B、C區(qū)的匯聚層交換機。5.3IP地址的規(guī)劃和分配在設計IP地址方案之前，應考慮以下幾個問題:1）.是否將網絡用真實地址連入Internet。2）.是否將網絡劃分為若干子網以方便網絡管理。3）.是采用靜態(tài)IP地址分配還是動態(tài)IP地址分配。4）.每個子網現(xiàn)在規(guī)劃多少個信息點。5）.每個子網將來會增加多少個信息點。綜上所述，現(xiàn)將各區(qū)域IP劃分如下：辦公行政樓：將連到行政辦公室的交換機端口劃分為VLAN2，每臺計算機手工設置靜態(tài)IP地址，DNS為6,網關，子網掩碼為，在網絡中心的路由器上設置動態(tài)NAT共享上網，公網的IP段為-。計算機室1－6的IP劃分如下表：計算機室服務器IP教師機學生機1.1/24.52/242.1/24.52/243.1/24.52/244.1/24.52/245.1/24.52/246.1/24.52/24學生宿舍區(qū)：將VLAN68到VLAN69分別劃分給學生宿舍樓A的1、2棟，將VLAN70到VLAN73分別加劃分給學生宿舍樓B的3－6棟，將VLAN74到VLAN77分別劃分給學生宿舍樓C的6—9棟，其IP地址由網絡中心的將路由器設為DHCP服務器，設其IP段為－55子網掩碼為自動分配給學生宿舍區(qū)。在網絡中心的路由器上設置動態(tài)NAT上網，公網的IP段為1-0。將VLAN79－VLAN72分別劃分給FTP、校內論壇和教學網站、學校官方網站，手動設置IP，在網絡中心的路由器上設置靜態(tài)NAT，綁定學校官方網站公網地址。6.WindowsServer2003配置6.1WindowsServer2003概述Windowsserver2003是一個多任務操作系統(tǒng)，可以根據(jù)網絡需要以集中或分布的方式處理各種服務器角色，包括文件和打印服務器、Web服務器和Web應用程序服務器、郵件服務器、終端服務器、遠程訪問/虛擬專用網絡（VPN）服務器，目錄服務器、域名服務器（DNS）、動態(tài)主機配置協(xié)議（DHCP）服務器和WindowsInternet命名服務器（WINS），以及流媒體服務器。WindowsServer2003作為最新的Windows服務器產品，其主要優(yōu)點表現(xiàn)在如下幾個方面:可靠。WindowsServer2003是迄今為止提供的最快、最可靠和最安全的Windows服務器操作系統(tǒng)。WindowsServer2003通過以下方式實現(xiàn)這一目的:提供集成結構，用于確保商務信息的安全性;提供可靠性、可用性和可伸縮性，提供用戶需要的網絡結構。高效。WindowsServer2003提供各種工具，允許用戶部署、管理和使用網絡結構以獲得最大效率。WindowsServer2003通過以下方式實現(xiàn)這一目的:提供靈活易用的工具，有助于使用戶的設計和部署與單位和網絡的要求相匹配;通過加強策略、使任務自動化以及簡化升級來幫助用戶主動管理網絡;通過讓用戶自行處理更多的任務來降低支持開銷。聯(lián)網。連接WindowsServer2003可以幫助用戶創(chuàng)建業(yè)務解決方案結構，以便與雇員、合作伙伴、系統(tǒng)和用戶更好地溝通。WindowsServer2003通過以下方式實現(xiàn)這一目的:提供集成的Web服務器和流媒體服務器，幫助用戶快速、輕松和安全地創(chuàng)建動態(tài)Intranet和InternetWeb站點;提供集成的應用程序服務器，幫助用戶輕松地開發(fā)、部署和管理XMLWeb服務;提供多種工具，使用戶得以將XMLWeb服務與內部應用程序、供應商和合作伙伴連接起來。經濟。與來自微軟公司的許多硬件、軟件和渠道合作伙伴的產品和服務相結合，WindowsServer2003提供了有助于使用戶的結構投資獲得最大回報的選擇。WindowsServer2003通過以下方式實現(xiàn)這一目的:為使用戶得以快速將技術投入使用的完整解決方案提供簡單易用的說明性指南;通過利用最新的硬件、軟件和方法來優(yōu)化服務器部署，從而幫助用戶合并各個服務器;降低用戶的所屬權總成本(TCO)，使投資很快就能獲得回報。6.2WindowsServer2003安裝與配置安裝WindowsServer2003將計算機設置為從光盤引導。將光盤放入光驅中，并重啟計算機。將自動引導完成操作系統(tǒng)的安裝。網絡服務的添加與管理1、在Windowsserver2003控制面板中雙擊“添加刪除程序”窗口，單擊“添加刪除Windows組件”。2、在“Windows組件”對話框中的“組件”列表框中選中如：FTP服務、WEB服務。有些網絡服務則屬于“網絡服務組件”如（DNS、DHCP）需選中“網絡服務”再單擊詳細信息。3、依次單擊“確定”，按系統(tǒng)提示插入系統(tǒng)安裝盤。配置網絡協(xié)議服務器只有接入網絡才能為其他計算機提供相應的服務，而網卡是計算機與網絡連接的唯一接口。因此，只有正確安裝網卡驅動程序和網絡協(xié)議，并正確設置IP地址信息之后服務器