桂電組網(wǎng)課設(shè)報(bào)告

綜合組網(wǎng)課程設(shè)計(jì)(論文)說明書題目：系別：計(jì)算機(jī)科學(xué)與工程學(xué)院專業(yè)：網(wǎng)絡(luò)工程學(xué)生姓名：學(xué)號(hào)：指導(dǎo)教師：王虎寅2015年月日目錄TOC\o"1-3"\h\u緒論 緒論當(dāng)今社會(huì)已步入信息社會(huì)，信息成為社會(huì)經(jīng)濟(jì)發(fā)展的核心因素，信息化已成為當(dāng)今世界潮流?？梢哉f，信息化程度已成為衡量一個(gè)國家現(xiàn)代化水平和綜合國力強(qiáng)弱的重要標(biāo)志。近年來國家加快改革教育體系，以教育為立國之本，建設(shè)一個(gè)高度發(fā)達(dá)的國家教育體系。為提高我國教育的現(xiàn)代化、建立先進(jìn)高效的教育體系。提供更為先進(jìn)的教育手段，學(xué)校很有必要建設(shè)一個(gè)校園網(wǎng)絡(luò)管理應(yīng)用系統(tǒng)，這樣可以達(dá)到校園資源共享、建立完備的數(shù)據(jù)交換體系、快速的傳遞信息等目的順應(yīng)無紙教學(xué)，無紙辦公的發(fā)展趨勢，充分利用現(xiàn)代化技術(shù)來進(jìn)一步提高教學(xué)質(zhì)量和辦公效率，為培養(yǎng)二十一世紀(jì)人才提供一個(gè)優(yōu)良的硬件教學(xué)環(huán)境。計(jì)算機(jī)網(wǎng)絡(luò)的迅速發(fā)展和普及，改變了整個(gè)信息管理的面貌，使信息管理從以單個(gè)計(jì)算機(jī)為中心發(fā)展到以網(wǎng)絡(luò)為中心，并為計(jì)算機(jī)技術(shù)在工業(yè)、商業(yè)、教學(xué)、科研、管理等領(lǐng)域中的應(yīng)用提供了一個(gè)全新的網(wǎng)絡(luò)通信環(huán)境，也從根本上加強(qiáng)并促進(jìn)了群體工作成員之間的信息交流、資源共享、科學(xué)計(jì)算、技術(shù)合作及有效管理等，進(jìn)而推動(dòng)了管理、科研及教學(xué)事業(yè)的發(fā)展。新的世紀(jì)已經(jīng)到來，信息技術(shù)所帶來的一場革命將徹底改變我們的學(xué)習(xí)、生活和工作方式，現(xiàn)行教育體制面臨著嚴(yán)峻挑戰(zhàn)。作為教育主管部門的領(lǐng)導(dǎo)、學(xué)校的校長、老師以及社會(huì)上的每一個(gè)人都必須考慮這一技術(shù)的發(fā)展給我們的教育、我們的學(xué)校、我們的教師和我們的孩子所帶來的沖擊，同時(shí)還要積極思考我們應(yīng)該怎樣響應(yīng)這一世紀(jì)性的挑戰(zhàn)，如何利用信息技術(shù)為教育行政管理、師資培訓(xùn)、學(xué)校管理、教學(xué)研究乃至教學(xué)的全過程服務(wù)促進(jìn)中華民族素質(zhì)的整體提高。

在網(wǎng)絡(luò)信息時(shí)代的今天，面向新的需求和挑戰(zhàn)，為了學(xué)校的科研、教學(xué)、管理的技術(shù)水平，為研究開發(fā)和培養(yǎng)高層次人才建立現(xiàn)代化平臺(tái)，Intranet/Internet技術(shù)的高速多媒體校園網(wǎng)。整個(gè)高速多媒體校園網(wǎng)建設(shè)原則是"經(jīng)濟(jì)高效、領(lǐng)先實(shí)惠"，既要領(lǐng)先一步，具有發(fā)展余地，又要比較實(shí)惠。校園網(wǎng)是集計(jì)算機(jī)技術(shù)、網(wǎng)絡(luò)技術(shù)、多媒體技術(shù)于一體的系統(tǒng)，能夠最大限度地調(diào)動(dòng)學(xué)生對教學(xué)內(nèi)容的參與性以及積極性。校園網(wǎng)建設(shè)的目標(biāo)主要是建立以校園網(wǎng)絡(luò)為基礎(chǔ)的行政、教學(xué)及師生之間交互式管理系統(tǒng)，逐步建立學(xué)校信息管理網(wǎng)絡(luò)，實(shí)現(xiàn)辦公自動(dòng)化；為開展網(wǎng)上遠(yuǎn)程教學(xué)、多媒體交互式立體教學(xué)模式的探索提供高速、穩(wěn)定的支持平臺(tái)；逐步建立計(jì)算機(jī)輔助教學(xué)、計(jì)算機(jī)輔助考試等系統(tǒng)，為實(shí)現(xiàn)多媒體課件制作網(wǎng)絡(luò)化，教師備課電子化、多媒體化打好基礎(chǔ)；保證網(wǎng)絡(luò)系統(tǒng)的開放性、可持續(xù)發(fā)展性，便于以后集成視頻會(huì)議、視頻點(diǎn)播等高層次教學(xué)功能?；I劃校園網(wǎng)要討論三個(gè)要素，無論是校外連網(wǎng)還是校內(nèi)連網(wǎng)，要較好地發(fā)揮校園網(wǎng)的作用都要涉及三個(gè)要素：運(yùn)載基礎(chǔ)設(shè)施、運(yùn)載設(shè)施和運(yùn)載信息。1設(shè)計(jì)任務(wù)及目標(biāo)1.1目標(biāo)校園網(wǎng)指校園內(nèi)計(jì)算機(jī)及附屬設(shè)備互聯(lián)運(yùn)行的網(wǎng)絡(luò)，是由計(jì)算機(jī)、網(wǎng)絡(luò)設(shè)備和網(wǎng)絡(luò)軟件構(gòu)成的為學(xué)校教育、科研、管理、辦公和交流等活動(dòng)服務(wù)的大型集成應(yīng)用系統(tǒng)，并能接入因特網(wǎng)（Internet）實(shí)現(xiàn)與國內(nèi)國際網(wǎng)站進(jìn)行信息交流、資源共享。校園網(wǎng)建設(shè)是教育信息化建設(shè)的重要組成部分，是全面實(shí)現(xiàn)素質(zhì)教育的重要手段，是實(shí)現(xiàn)教育現(xiàn)代化的重要標(biāo)志，校園網(wǎng)是學(xué)校信息基礎(chǔ)設(shè)施。校園網(wǎng)的規(guī)模、網(wǎng)絡(luò)性能、應(yīng)用水平和普及程度已成為衡量一所院校辦學(xué)水平高低的重要標(biāo)志之一。21世紀(jì)的國力競爭說到底就是人才的競爭，而人才的能否大量涌現(xiàn)主要看學(xué)校的教育質(zhì)量，學(xué)校教育質(zhì)量的好壞又主要看教師素質(zhì)的強(qiáng)弱和學(xué)校教學(xué)環(huán)境能否符合現(xiàn)代化教育的要求，所以各學(xué)校教育的責(zé)任相當(dāng)艱巨，而且各學(xué)校也應(yīng)當(dāng)責(zé)無旁貸的肩負(fù)起這項(xiàng)任務(wù)。本世紀(jì)是計(jì)算機(jī)和通訊的時(shí)代，如何利用計(jì)算機(jī)網(wǎng)絡(luò)幫助各高校強(qiáng)化管理輔助教師生動(dòng)的教學(xué)；激發(fā)學(xué)生自主學(xué)習(xí)，已經(jīng)是一個(gè)不能回避的問題。從長遠(yuǎn)來看，校園網(wǎng)的建設(shè)，其主要意義是有利于學(xué)校教學(xué)、科研的快速發(fā)展，它能使廣大教師利用計(jì)算機(jī)網(wǎng)絡(luò)環(huán)境進(jìn)行教學(xué)，開展科研活動(dòng)，進(jìn)而提高學(xué)校的教學(xué)質(zhì)量和科研水平，為回憶培養(yǎng)面向世界，面向未來的高素質(zhì)人才提供有力的保障。在建設(shè)校園網(wǎng)時(shí)，要達(dá)到以下目標(biāo)：(1)在校園內(nèi)部實(shí)現(xiàn)資源高度共享，為教學(xué)、科研、管理提供服務(wù)，為計(jì)劃、組織、管理與決策提供基礎(chǔ)信息和科學(xué)手段。(2)支持教育教學(xué)改革，提高教育技術(shù)的現(xiàn)代水平和教育信息化程度、為學(xué)校教師的備課、課件制作、教學(xué)演示提供網(wǎng)絡(luò)環(huán)境。(3)通過互聯(lián)網(wǎng)、錄像機(jī)、掃描儀、數(shù)碼相機(jī)等各種渠道獲得多媒體資料，實(shí)現(xiàn)素材收集、電子備課功能。(4)實(shí)現(xiàn)辦公自動(dòng)化，提供與上級(jí)教育部門、社會(huì)、家庭之間通訊的出入口，提供電子函件、公告牌和教育教學(xué)信息查詢等服務(wù)，提高工作效率和管理水平。(5)及時(shí)、準(zhǔn)備、可靠地收集、處理、存儲(chǔ)、傳輸學(xué)校的教育教學(xué)信息完成與因特網(wǎng)的通訊和資源共享，實(shí)現(xiàn)社會(huì)教育、學(xué)校教育、家庭教育的有機(jī)整合。校園網(wǎng)是為學(xué)校師生提供教學(xué)、科研和綜合信息服務(wù)的寬帶多媒體網(wǎng)絡(luò)，也是一個(gè)以人、人與人的關(guān)系網(wǎng)絡(luò)和應(yīng)用產(chǎn)品為核心，通過認(rèn)證、授權(quán)與開放接口進(jìn)行有機(jī)融合，形成的一個(gè)龐大綜合社區(qū)服務(wù)平臺(tái)。校園網(wǎng)應(yīng)為學(xué)校教學(xué)、科研提供先進(jìn)的信息化教學(xué)環(huán)境。這就要求：校園網(wǎng)是一個(gè)寬帶、具有交互功能和專業(yè)性很強(qiáng)的局域網(wǎng)絡(luò)。多媒體教學(xué)軟件開發(fā)平臺(tái)、多媒體演示教室、教師備課系統(tǒng)、電子閱覽室以及教學(xué)、考試資料庫等，都可以在該網(wǎng)絡(luò)上運(yùn)行。校園網(wǎng)應(yīng)具有為學(xué)校和學(xué)校之間的教育提供網(wǎng)絡(luò)環(huán)境；實(shí)現(xiàn)資源共享、信息交流、協(xié)同工作等基本功能。(1)為教育信息的及時(shí)、準(zhǔn)確、可靠地收集、處理、存儲(chǔ)和傳輸?shù)忍峁┕ぞ吆途W(wǎng)絡(luò)環(huán)境。(2)為學(xué)校行政管理和決策提供基礎(chǔ)數(shù)據(jù)、手段和網(wǎng)絡(luò)環(huán)境，實(shí)現(xiàn)辦公自動(dòng)化，提高工作效率、管理和決策水平。(3)為備課、課件制作、授課、學(xué)習(xí)、練習(xí)、輔導(dǎo)、交流、考試和統(tǒng)計(jì)評價(jià)等各個(gè)教學(xué)環(huán)節(jié)提供網(wǎng)絡(luò)平臺(tái)和環(huán)境。(4)為使用網(wǎng)絡(luò)通信、視頻點(diǎn)播和視頻廣播技術(shù)，提供符合素質(zhì)教育要求的新型教育模式；(5)為科學(xué)研究的資料檢索、收集和分析；成果的交流、研討；模擬實(shí)驗(yàn)等提供環(huán)境和手段總之，校園網(wǎng)的建設(shè)能促進(jìn)教師和學(xué)生盡快提高應(yīng)用信息技術(shù)的水平，為學(xué)生提供了一個(gè)實(shí)踐的環(huán)境，為教師提供了一種先進(jìn)的輔助教學(xué)工具、提供了豐富的資源庫。1.2設(shè)計(jì)任務(wù)在分析設(shè)計(jì)任務(wù)之前，我們要進(jìn)行對象研究和需求調(diào)查，明確學(xué)校的性質(zhì)、建筑布局和改革發(fā)展的主系統(tǒng)建設(shè)的需求和條件，對學(xué)校的信息化環(huán)境進(jìn)行準(zhǔn)確的描述。在應(yīng)用需求分析的基礎(chǔ)上，確定系統(tǒng)建設(shè)的目標(biāo)，包括網(wǎng)絡(luò)設(shè)施、站點(diǎn)設(shè)置、開發(fā)應(yīng)用和管理等的目標(biāo)。確定網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)和功能，根據(jù)應(yīng)用需求建設(shè)目標(biāo)和學(xué)校的主要建筑分布特點(diǎn)，進(jìn)行系統(tǒng)分析和設(shè)計(jì)。然后確定技術(shù)設(shè)計(jì)的原則要求，如在技術(shù)選型、布線設(shè)計(jì)、設(shè)備選擇、軟件配置等方面的標(biāo)準(zhǔn)和要求。同時(shí)也要明確規(guī)劃校園網(wǎng)建設(shè)的實(shí)施步驟。明確了這些后，就可以撰寫設(shè)計(jì)任務(wù)了。本次設(shè)計(jì)的任務(wù)就是根據(jù)學(xué)校的具體布局，然后設(shè)計(jì)一個(gè)局域網(wǎng)，該局域網(wǎng)能夠滿足一下的要求：(1)實(shí)用性和經(jīng)濟(jì)性校園網(wǎng)的建設(shè)，堅(jiān)持以實(shí)用、經(jīng)濟(jì)為原則，滿足用戶的需求。(2)先進(jìn)性校園網(wǎng)建設(shè)要采用先進(jìn)的概念、技術(shù)和方法，同時(shí)也要要注意結(jié)構(gòu)、設(shè)備、工具的相對成熟。能保證在未來3-5年內(nèi)占主導(dǎo)地位，保證學(xué)校網(wǎng)絡(luò)建設(shè)的領(lǐng)先地位，采用萬兆以太網(wǎng)技術(shù)來構(gòu)建網(wǎng)絡(luò)主干線路。(3)可靠性局域網(wǎng)應(yīng)該具有很高的可靠性，在考慮技術(shù)先進(jìn)性和開放性的同時(shí)，還應(yīng)從系統(tǒng)結(jié)構(gòu)、技術(shù)措施、設(shè)備性能、系統(tǒng)管理、廠商技術(shù)支持及保修能力等方面著手，確保系統(tǒng)運(yùn)行的可靠性。(4)安全性在網(wǎng)絡(luò)設(shè)計(jì)中，既考慮信息資源的充分共享，更要注意信息的保護(hù)和隔離，因此系統(tǒng)應(yīng)分別針對不同的應(yīng)用和不同的網(wǎng)絡(luò)通信環(huán)境，采取不同的措施，包括端口隔離、路由過濾、安裝防火墻等。(5)可擴(kuò)充性由于當(dāng)今社會(huì)信息技術(shù)飛速發(fā)展，當(dāng)前流行的技術(shù)再過幾年有可能會(huì)被淘汰，所以在建設(shè)校園網(wǎng)的時(shí)候要充分的考慮到這種事情發(fā)生的可能性，所以在建設(shè)的校園網(wǎng)時(shí)，既要能滿足當(dāng)前用戶的使用，也要考慮在未來3到5年內(nèi)對現(xiàn)在的設(shè)備進(jìn)行升級(jí)，這樣就不會(huì)浪費(fèi)現(xiàn)有的資源了。2需求分析2.1建網(wǎng)需求(1)實(shí)用性原則網(wǎng)絡(luò)系統(tǒng)應(yīng)采用成熟可靠的技術(shù)和設(shè)備，這樣才能做到實(shí)用、經(jīng)濟(jì)和有效。(2)開放性原則網(wǎng)絡(luò)系統(tǒng)應(yīng)采用開放的標(biāo)準(zhǔn)和技術(shù)。(3)可靠性原則網(wǎng)絡(luò)系統(tǒng)應(yīng)確保很高的可靠性，具有較高的平均無故障時(shí)間和較低的平均故障率。(4)安全性原則網(wǎng)絡(luò)系統(tǒng)應(yīng)具有良好的安全性，以確保網(wǎng)絡(luò)系統(tǒng)和數(shù)據(jù)的安全運(yùn)行。(5)先進(jìn)性原則網(wǎng)絡(luò)系統(tǒng)應(yīng)采用先進(jìn)的技術(shù)和設(shè)備，以符合網(wǎng)絡(luò)未來發(fā)展的潮流。(6)高效性原則網(wǎng)絡(luò)系統(tǒng)應(yīng)具有很高的資源利用率。(7)可擴(kuò)展性原則網(wǎng)絡(luò)系統(tǒng)應(yīng)在規(guī)模和性能兩方面具有良好的可擴(kuò)展性。(8)高性價(jià)比原則網(wǎng)絡(luò)系統(tǒng)應(yīng)具有較高的性價(jià)比，技術(shù)優(yōu)先，兼顧價(jià)格。2.2用戶需求(1)具備經(jīng)濟(jì)實(shí)用性、先進(jìn)可靠性、可擴(kuò)容性和可發(fā)展性。實(shí)用性：如何使有限的經(jīng)費(fèi)獲得較高的效益,始終是教育發(fā)展中重要的問題。在項(xiàng)目建設(shè)中,我們不盲目追求高層次、高檔次,從實(shí)際情況出發(fā),堅(jiān)持“實(shí)用、好用,滿足現(xiàn)在和可預(yù)見的未來需求”的設(shè)計(jì)原則。(2)可靠性：對工作站、服務(wù)器、交換機(jī)及其他主要相關(guān)設(shè)備在廠家、品牌、服務(wù)等方面進(jìn)行充分調(diào)研、論證、選擇,確保硬件設(shè)備的基本品質(zhì)。先進(jìn)性：考慮到計(jì)算機(jī)在軟硬件上的高速發(fā)展和技術(shù)更新速度,在資金允許的前提下,保持適當(dāng)?shù)南冗M(jìn)性,同時(shí)使系統(tǒng)有一定的擴(kuò)展性和兼容性,滿足未來需求。網(wǎng)絡(luò)管理需求分析校園主干網(wǎng)是覆蓋整個(gè)網(wǎng)絡(luò),組成了一個(gè)具有相當(dāng)復(fù)雜的計(jì)算機(jī)網(wǎng)絡(luò)。隨著網(wǎng)絡(luò)復(fù)雜度的增加,給網(wǎng)絡(luò)管理帶來成級(jí)數(shù)增加的管理工作量。網(wǎng)絡(luò)管理要求解決的問題包括：對所有網(wǎng)絡(luò)設(shè)備端口的監(jiān)視和管理。對所有網(wǎng)絡(luò)設(shè)備的遠(yuǎn)地配置和控制,包括網(wǎng)絡(luò)設(shè)備端口的開放和關(guān)閉,整個(gè)網(wǎng)絡(luò)的故障檢測,故障自動(dòng)報(bào)警功能,整個(gè)網(wǎng)絡(luò)性能的統(tǒng)計(jì)和分析報(bào)告,甚至收費(fèi)。(3)網(wǎng)絡(luò)安全需求分析校園網(wǎng)絡(luò)安全主要考慮以下幾方面要求：各個(gè)部門、系所訪問網(wǎng)絡(luò)的控制,各單位之間在未經(jīng)授權(quán)的情況下,不能相互訪問。內(nèi)部網(wǎng)中要建立防火墻,即禁止外部用戶未經(jīng)許可訪問內(nèi)部的數(shù)據(jù),或者內(nèi)部用戶未經(jīng)許可訪問外部數(shù)據(jù)。對安全問題的考慮主要是兩個(gè)方面：校園網(wǎng)應(yīng)該是一個(gè)開放的系統(tǒng),它不需要與政府或商業(yè)公司的一樣的網(wǎng)絡(luò)安全保密性；校園網(wǎng)應(yīng)該安全的,它不應(yīng)該受到惡意的攻擊而無法運(yùn)行,一些科研成果也不應(yīng)該對任何人都開放。主要利用虛擬網(wǎng)技術(shù)和防火墻技術(shù)來合理解決安全與開放的問題。(4)廣域網(wǎng)連接需求分析校園網(wǎng)對廣域網(wǎng)的連接需求主要表現(xiàn)在：能夠與國際互聯(lián)網(wǎng)連接,與國際交流信息；能夠與國內(nèi)各個(gè)單位交流信息。滿足出差在外的校領(lǐng)導(dǎo)及其它公務(wù)人員及時(shí)與學(xué)校保持聯(lián)絡(luò)。為此應(yīng)通過DDN、無線網(wǎng)等公用或者專用數(shù)據(jù)網(wǎng)絡(luò)與校園網(wǎng)連接。3總體設(shè)計(jì)3.1設(shè)計(jì)原則校園網(wǎng)不只是涉及技術(shù)方面，而是包括網(wǎng)絡(luò)設(shè)施、應(yīng)用平臺(tái)、信息資源、專業(yè)應(yīng)用、人員素質(zhì)等眾多成份的綜合化以及信息化教學(xué)環(huán)境系統(tǒng)。因此，在總體上如何籌劃、組織網(wǎng)絡(luò)建設(shè)和開發(fā)應(yīng)用的設(shè)計(jì)思想是校園網(wǎng)建設(shè)中的最重要的問題。

總體設(shè)計(jì)是校園網(wǎng)建設(shè)的總體思路和工程藍(lán)圖，是搞好校園網(wǎng)建設(shè)的核心任務(wù)。進(jìn)行校園網(wǎng)總體設(shè)計(jì)，首先是進(jìn)行對象研究和需求調(diào)查，弄清學(xué)校的性質(zhì)、任務(wù)和改革發(fā)展的特點(diǎn)，對學(xué)校的信息化環(huán)境進(jìn)行準(zhǔn)確的描述，明確系統(tǒng)建設(shè)的需求和條件；其次，在應(yīng)用需求分析的基礎(chǔ)上，確定學(xué)校Intranet服務(wù)類型，進(jìn)而確定系統(tǒng)建設(shè)的具體目標(biāo)，包括網(wǎng)絡(luò)設(shè)施、站點(diǎn)設(shè)置、開發(fā)應(yīng)用和管理等方面的目標(biāo)；第三是確定網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)和功能，根據(jù)應(yīng)用需求、建設(shè)目標(biāo)和學(xué)校主要建筑分布特點(diǎn)，進(jìn)行系統(tǒng)分析和設(shè)計(jì)；第四，確定技術(shù)設(shè)計(jì)的原則要求，如在技術(shù)選型、布線設(shè)計(jì)、設(shè)備選擇、軟件配置等方面的標(biāo)準(zhǔn)和要求；第五，規(guī)劃安排校園網(wǎng)建設(shè)的實(shí)施步驟?？傊@網(wǎng)建設(shè)的原則，就是要求該網(wǎng)絡(luò)能夠滿足以下性質(zhì)：(1)先進(jìn)性：先進(jìn)的設(shè)計(jì)思想、網(wǎng)絡(luò)結(jié)構(gòu)、開發(fā)工具，采用市場覆蓋率高、標(biāo)準(zhǔn)化和技術(shù)成熟的軟硬件產(chǎn)品；(2)實(shí)用性：建網(wǎng)時(shí)應(yīng)考慮利用和保護(hù)現(xiàn)有的資源、充分發(fā)揮設(shè)備效益；(3)開放性：遵從國際標(biāo)準(zhǔn)，系統(tǒng)設(shè)計(jì)應(yīng)采用開放技術(shù)、開放結(jié)構(gòu)、開放系統(tǒng)組建和開放用戶接口，以利于網(wǎng)絡(luò)的維護(hù)、擴(kuò)展升級(jí)及與外界信息的溝通；(4)靈活性：采用積木式模塊組合和結(jié)構(gòu)化設(shè)計(jì)，使系統(tǒng)配置靈活，滿足學(xué)校逐步到位的建網(wǎng)原則，使網(wǎng)絡(luò)具有強(qiáng)大的可增長性；(5)可靠性：具有容錯(cuò)功能，管理、維護(hù)方便。對網(wǎng)絡(luò)的設(shè)計(jì)、選型、安裝、調(diào)試等各環(huán)節(jié)進(jìn)行統(tǒng)一規(guī)劃和分析；(6)強(qiáng)性價(jià)比：不要一味追求最新，還要考慮當(dāng)前實(shí)際需要，選擇合理的設(shè)備搭配，使達(dá)到良好的性能價(jià)格比。(7)安全性：包括兩個(gè)方面，一是網(wǎng)絡(luò)用戶級(jí)的安全性；另一方面是數(shù)據(jù)傳輸級(jí)的安全性。網(wǎng)絡(luò)用戶級(jí)的安全性應(yīng)在網(wǎng)絡(luò)的操作系統(tǒng)中予以考慮，而數(shù)據(jù)傳輸?shù)陌踩詣t必須在網(wǎng)絡(luò)傳輸時(shí)解決。我們在規(guī)劃校園網(wǎng)時(shí)，不僅考慮到現(xiàn)有局域網(wǎng)的情況，更主要的是著眼于為未來的學(xué)校提供既符合經(jīng)濟(jì)原則，又具有技術(shù)先進(jìn)性和實(shí)用性的發(fā)展策略。3.2技術(shù)選型、設(shè)備選型

3.2.1技術(shù)選型（1）VLANVLAN(VirtualLocalAreaNetwork)的中文名稱為“虛擬局域網(wǎng)”，VLAN是為了解決以太網(wǎng)廣播問題和安全性而提出的一種協(xié)議，它在以太網(wǎng)幀的基礎(chǔ)上增加了VLAN頭，用VLANID把用戶劃分為更小的工作組，限制不同工作組間的用戶互訪，每個(gè)工作組就是一個(gè)虛擬局域網(wǎng)。虛擬局域網(wǎng)的好處是可以限制廣播范圍，并能夠形成虛擬工作組，動(dòng)態(tài)地管理網(wǎng)絡(luò)。VLAN技術(shù)是交換技術(shù)的重要組成部分，也是交換機(jī)的重要進(jìn)步之一。它用以把物理上直接相連的網(wǎng)絡(luò)從邏輯上劃分為多個(gè)子網(wǎng)。每一個(gè)VLAN對應(yīng)一個(gè)廣播域，處于不同VLAN上的主機(jī)不能進(jìn)行通信，不同VLAN之間的通信要引入第三層交換技術(shù)才可以解決。對虛擬局域網(wǎng)的配置和管理主要涉及VTP、VLAN中繼和VLAN的配置。虛擬局域網(wǎng)是交換機(jī)的重要功能，通常虛擬局域網(wǎng)的實(shí)現(xiàn)形式有三種，即靜態(tài)端口分配、動(dòng)態(tài)虛擬網(wǎng)和多虛擬網(wǎng)端口配置。靜態(tài)虛擬網(wǎng)的劃分通常是網(wǎng)管人員使用網(wǎng)管軟件或直接設(shè)置交換機(jī)的端口，使其直接從屬于某個(gè)虛擬網(wǎng)。這些端口一直保持這些從屬性，除非網(wǎng)管人員重新設(shè)置。這種方法雖然比較麻煩，但比較安全，容易配置和維護(hù)。支持動(dòng)態(tài)虛擬網(wǎng)的端口，可以借助智能管理軟件自動(dòng)確定它們的從屬。端口是通過借助網(wǎng)絡(luò)包的MAC地址、邏輯地址或協(xié)議類型來確定虛擬網(wǎng)的從屬。一旦網(wǎng)管人員配置好后，用戶的計(jì)算機(jī)就可以靈活地改變交換機(jī)端口，而不會(huì)改變該用戶的虛擬網(wǎng)從屬性。多虛擬網(wǎng)端口配置支持一用戶或一端口可以同時(shí)訪問多個(gè)虛擬網(wǎng)。靜態(tài)虛擬網(wǎng)是最普遍使用的一種劃分VLAN的方法，但會(huì)帶來安全上的隱患。（2）配置VTP協(xié)議VTP協(xié)議可以幫助交換機(jī)設(shè)置VLAN。VTP協(xié)議可以維護(hù)VLAN信息全網(wǎng)的一致性。VTP有三種工作模式，即服務(wù)器模式、客戶模式和透明模式。其中服務(wù)器模式可以設(shè)置VLAN信息，服務(wù)器會(huì)自動(dòng)將這些信息廣播到網(wǎng)上其他交換機(jī)以統(tǒng)一配置；客戶模式下交換機(jī)不能配置VLAN信息，只能被動(dòng)地接受服務(wù)器的VLAN配置；而透明模式下是獨(dú)立配置，它可以配置VLAN信息，但是不廣播自己的VLAN信息，同時(shí)它接收到服務(wù)器發(fā)來的VLAN信息后并不使用，而是直接轉(zhuǎn)發(fā)給別的交換機(jī)。配置VTP協(xié)議的命令如下：vlandatabase//(進(jìn)入VLAN配置子模式)vtpdomainvname //(設(shè)置VTP管理域名稱)vtpserver|client //(設(shè)置交換機(jī)為服務(wù)器(或者客戶端)模式)vtppruning //(啟動(dòng)修剪功能)（3）配置VLANTrunk端口VLANTrunk(VLAN中繼)也稱為VLAN主干，是指在交換機(jī)與交換機(jī)或交換機(jī)與路由器之間連接的情況下，在互相連接的端口上配置中繼模式，使得屬于不同VLAN的數(shù)據(jù)幀都可以通過這條中繼鏈路進(jìn)行傳輸。配置VLANTrunk端口的命令如下：interfacefa0/1 //(進(jìn)入端口配置模式)switchportmodetruck //(設(shè)置當(dāng)前端口為Trunk模式)switchporttrunkallowedvlanall //(設(shè)置允許從該端口交換數(shù)據(jù)的VLAN)（4）創(chuàng)建VLANVLAN信息可以在服務(wù)器模式或透明模式交換機(jī)上創(chuàng)建。創(chuàng)建VLAN的命令如下：valnmod_num //(創(chuàng)建VALN)novlana_num //(清除一個(gè)已存在的VALN)（5）將端口加入到某個(gè)VLAN中配置完VTP協(xié)議及VLANTrunk端口后就可以設(shè)置將端口歸屬于哪個(gè)VLAN了。將端口加入到某個(gè)VLAN中的命令如下：interfacefa0/1 (進(jìn)入端口配置模式)switchportaccessvian2(把端口分配給相信的VLAN2)（6）OSPF：開放最短路徑優(yōu)先(OpenShortestPathFirst，OSPF)協(xié)議是重要的路由選擇協(xié)議。它是一種鏈路狀態(tài)路由選擇協(xié)議，是由Internet工程任務(wù)組開發(fā)的內(nèi)部網(wǎng)關(guān)(InteriorGatewayProtocol，IGP)路由協(xié)議，用于在單一自治系統(tǒng)(AutonomousSystem，AS)內(nèi)決策路由。配置OSPF協(xié)議的相關(guān)命令如下：routerospfprocess-id (指定使用OSPF協(xié)議)networkaddresswildcard-maskareaarea-id (指定與該路由相連的網(wǎng)絡(luò))（7）NAT網(wǎng)絡(luò)地址轉(zhuǎn)換(NAT,NetworkAddressTranslation)屬接入廣域網(wǎng)(WAN)技術(shù)，是一種將私有（保留）地址轉(zhuǎn)化為合法IP地址的轉(zhuǎn)換技術(shù)，它被廣泛應(yīng)用于各種類型Internet接入方式和各種類型的網(wǎng)絡(luò)中。原因很簡單，NAT不僅完美地解決了lP地址不足的問題，而且還能夠有效地避免來自網(wǎng)絡(luò)外部的攻擊，隱藏并保護(hù)網(wǎng)絡(luò)內(nèi)部的計(jì)算機(jī)。NAT實(shí)現(xiàn)方式，靜態(tài)轉(zhuǎn)換（StaticTranslation）、動(dòng)態(tài)轉(zhuǎn)換（DynamicTranslation）、端口多路復(fù)用（PortAddressTranslation，PAT）（8）ACL訪問控制列表（AccessControlList，ACL）是路由器和交換機(jī)接口的指令列表，用來控制端口進(jìn)出的數(shù)據(jù)包。ACL適用于所有的被路由協(xié)議，如IP、IPX、AppleTalk等。這張表中包含了匹配關(guān)系、條件和查詢語句，表只是一個(gè)框架結(jié)構(gòu)，其目的是為了對某種訪問進(jìn)行控制。（9）DHCP動(dòng)態(tài)主機(jī)設(shè)置協(xié)議（DynamicHostConfigurationProtocol,DHCP）是一個(gè)局域網(wǎng)的網(wǎng)絡(luò)協(xié)議，使用UDP協(xié)議工作，主要有兩個(gè)用途：給內(nèi)部網(wǎng)絡(luò)或網(wǎng)絡(luò)服務(wù)供應(yīng)商自動(dòng)分配IP地址，給用戶或者內(nèi)部網(wǎng)絡(luò)管理員作為對所有計(jì)算機(jī)作中央管理的手段。（10）DNSDNS是英文Domain

Name

System的縮寫,是域名解析服務(wù)器的意思，即域名管理系統(tǒng)。它在互聯(lián)網(wǎng)的作用是：把域名轉(zhuǎn)換成為網(wǎng)絡(luò)可以識(shí)別的ip地址。首先，要知道互聯(lián)網(wǎng)的網(wǎng)站都是一臺(tái)一臺(tái)服務(wù)器的形式存在的，但是我們怎么去到要訪問的網(wǎng)站服務(wù)器呢？這就需要給每臺(tái)服務(wù)器分配IP地址，互聯(lián)網(wǎng)上的網(wǎng)站無窮多，我們不可能記住每個(gè)網(wǎng)站的IP地址，這就產(chǎn)生了方便記憶的域名管理系統(tǒng)DNS，他可以把我們輸入的好記的域名轉(zhuǎn)換為要訪問的服務(wù)器的IP地址。DNS的設(shè)置比較簡單，只要設(shè)置好DNS的IP地址，和一些域名與相應(yīng)的轉(zhuǎn)換條目即可，只要終端的DNS的IP指向該DNS服務(wù)器，就可以使用該DNS服務(wù)器的服務(wù)了。DNS服務(wù)器的配置如下圖所示：（11）webweb服務(wù)器一般指網(wǎng)站服務(wù)器，是指駐留于因特網(wǎng)上某種類型計(jì)算機(jī)的程序，可以向?yàn)g覽器等Web客戶端提供文檔，也可以放置網(wǎng)站文件，讓網(wǎng)絡(luò)用戶瀏覽；可以放置數(shù)據(jù)文件，提供下載。Web具有如下的特點(diǎn)：

=1\*GB3①Web是圖形化的和易于導(dǎo)航的（navigate）

web非常流行的一個(gè)很重要的原因就在于它可以在一頁上同時(shí)顯示色彩豐富的圖形和文本的性能。在web之前Internet上的信息只有文本形式。web可以提供將圖形、音頻、視頻信息集合于一體的特性。同時(shí)，web是非常易于導(dǎo)航的，只需要從一個(gè)連接跳到另一個(gè)連接，就可以在各頁各站點(diǎn)之間進(jìn)行瀏覽了。

=2\*GB3②web與平臺(tái)無關(guān)

無論你的系統(tǒng)平臺(tái)是什么，你都可以通過Internet訪問WWW。瀏覽WWW對你的系統(tǒng)平臺(tái)沒有什么限制。無論從Windows平臺(tái)、UNIX平臺(tái)、Macintosh還是別的什么平臺(tái)我們都可以訪問WWW。對WWW的訪問是通過一種叫做瀏覽器（browser）的軟件實(shí)現(xiàn)的。如Netscape的Navigator、NCSA的Mosaic、Microsoft的Explorer等。

=3\*GB3③Web是分布式的

大量的圖形、音頻和視頻信息會(huì)占用相當(dāng)大的磁盤空間，我們甚至無法預(yù)知信息的多少。對于Web沒有必要把所有信息都放在一起，信息可以放在不同的站點(diǎn)上。只需要在瀏覽器中指明這個(gè)站點(diǎn)就可以了。使在物理上并不一定在一個(gè)站點(diǎn)的信息在邏輯上一體化，從用戶來看這些信息是一體的。3.2.2設(shè)備選型構(gòu)建校園網(wǎng)的主要硬件有：服務(wù)器、傳輸設(shè)備（光纖、雙絞線等）、交換機(jī)以及終端工作站、網(wǎng)卡等。校園網(wǎng)按照主干網(wǎng)的組網(wǎng)技術(shù)可分為：交換式以太網(wǎng)、快速以太網(wǎng)、FDDI、ATM和千兆以太網(wǎng)。交換式以太網(wǎng)現(xiàn)在主要用于網(wǎng)絡(luò)交換機(jī)到桌面工作站。FDDI和ATM存在著組建網(wǎng)絡(luò)成本高、帶寬利用率較低等因素使得它們都不太適合校園網(wǎng)的要求。快速以太網(wǎng)是非常成熟的組網(wǎng)技術(shù)，造價(jià)低，具有較高的性能價(jià)格比，但傳輸速度較慢。千兆以太網(wǎng)傳輸?shù)乃俣容^快，范圍也很廣，成本相對于快速以太網(wǎng)較高。

校園網(wǎng)的規(guī)模會(huì)隨著學(xué)校規(guī)模不同而不同，有的用戶較多，有的較少，多的有幾萬個(gè)用戶，少的則只有幾千個(gè)用戶，但是每個(gè)教室都有一個(gè)終端，同時(shí)也要有足夠的校園圖書館終端、教師的備課終端、學(xué)校各種管理部門的終端、學(xué)生宿舍終端等。根據(jù)設(shè)計(jì)原則和網(wǎng)絡(luò)設(shè)備選擇原則，主要網(wǎng)絡(luò)設(shè)備配置的情況如下表表2-1主要網(wǎng)絡(luò)設(shè)備配置表設(shè)備名稱設(shè)備型號(hào)放置地點(diǎn)品牌數(shù)量備注路由器Cisco2621XM網(wǎng)絡(luò)中心Cisco1核心層Cisco3560-24PS網(wǎng)絡(luò)中心Cisco1交換機(jī)Cisco2925-24各個(gè)建筑群多個(gè)匯聚層Cisco2925-24PSCisco8接入層Cisco2925T學(xué)生公寓Cisco多個(gè)主服務(wù)器CiscoServer-PT網(wǎng)絡(luò)中心Cisco4

Cisco2621XM路由器的介紹：表2-2路由器的規(guī)格參數(shù)類型描述兼容性與當(dāng)前的所有Cisco12000系列線卡兼容軟件兼容性CiscoIOS12.0（27）S及更高版本協(xié)議IPv4、MPLS、BGPv4、IS-IS、OSPF、EIGRP、RIP、IGMP、DVMRP和PIMDM/SM。可用性電源冗余度（DC為1：1，? AC為負(fù)載均衡）路由處理器冗余度1：1支持自動(dòng)保護(hù)切? 換（APS）ASIC平均無故障時(shí)間（MTBF）：交換矩陣卡＝276,062hr網(wǎng)絡(luò)管理命令行界面（CLI）Cisco12000Manager簡單網(wǎng)絡(luò)管理協(xié)議（SNMP）接口GRP支持兩個(gè)串行端口（控制臺(tái)和AUX連接）和2個(gè)10/100端口認(rèn)證SR-3580中規(guī)定的NEBSLevel3要求(2)核心交換機(jī)（Cisco3560-24PS）的介紹：表2-3Cisco3560-24PS交換機(jī)的參數(shù)類型描述設(shè)備類型企業(yè)級(jí)交換機(jī) 吞吐率（MBPS） 7交換方式存儲(chǔ)-轉(zhuǎn)發(fā) 地址表大小 12000網(wǎng)絡(luò)標(biāo)準(zhǔn)IIEEE802.3，IEEE802.3u，IEEE802.3z端口類型24個(gè)以太網(wǎng)10/100MppsPoE端口，2個(gè)SFP上行鏈路端口交換容量（GBPS）48端口數(shù)24堆疊支持堆疊式 背板帶寬（Gbps）32包轉(zhuǎn)發(fā)率6.5Mpps內(nèi)存DRAM內(nèi)存：128MB,FLASH內(nèi)存：16MB傳輸速率(Mbps)10/100VLAN支持支持 (3)匯聚層層交換機(jī)（Cisco3560-24PS）的介紹表2-4Cisco3560-24PS交換機(jī)的參數(shù)類型描述設(shè)備類型企業(yè)級(jí)交換機(jī) 吞吐率（MBPS） 7交換方式存儲(chǔ)-轉(zhuǎn)發(fā) 地址表大小 12000網(wǎng)絡(luò)標(biāo)準(zhǔn)IIEEE802.3，IEEE802.3u，IEEE802.3z端口類型24個(gè)以太網(wǎng)10/100MppsPoE端口，2個(gè)SFP上行鏈路端口交換容量（GBPS）48端口數(shù)24堆疊支持堆疊式 背板帶寬（Gbps）32包轉(zhuǎn)發(fā)率6.5Mpps內(nèi)存DRAM內(nèi)存：128MB,FLASH內(nèi)存：16MB傳輸速率(Mbps)10/100VLAN支持支持 (4)接入層交換機(jī)（Cisco2950-24）的介紹表2-4Cisco2950-24交換機(jī)的參數(shù)類型描述設(shè)備類型快速以太網(wǎng)交換機(jī) 交換方式存儲(chǔ)-轉(zhuǎn)發(fā) 地址表大小 8000網(wǎng)絡(luò)標(biāo)準(zhǔn)IIEEE802.1x、IEEE802.3x、IEEE802.1D、IEEE802.1pCoS、IEEE802.1Q、IEEE802.3ab、IEEE802.3u、IEEE802.3

端口類型24個(gè)以太網(wǎng)10/100MppsPoE端口，端口數(shù)24堆疊支持堆疊式 背板帶寬（Gbps）8.8內(nèi)存DRAM內(nèi)存：16MB,FLASH內(nèi)存：8MB傳輸速率(Mbps)10/100VLAN支持支持 3.3目標(biāo)網(wǎng)絡(luò)拓?fù)?.4網(wǎng)絡(luò)層次分析3.4.1核心層需求分析在校園網(wǎng)中骨干設(shè)備擔(dān)負(fù)著連接各個(gè)匯聚設(shè)備的工作，同時(shí)通過設(shè)備的互聯(lián)，將分布在各物理位置的區(qū)域網(wǎng)絡(luò)連接在一起形成一套完整的網(wǎng)絡(luò)。由于骨干層設(shè)備擔(dān)負(fù)著整個(gè)網(wǎng)絡(luò)的流量。骨干設(shè)備和鏈路的穩(wěn)定性將直接影響整個(gè)網(wǎng)絡(luò)的可靠運(yùn)行。由于骨干設(shè)備在網(wǎng)絡(luò)中核心的位置需要高性能，所有的功能部件(電源、系統(tǒng)總線、處理器模塊、網(wǎng)絡(luò)接口模塊等)均可以支持熱插拔和冗余熱備份等特性。完成網(wǎng)絡(luò)骨干層高速數(shù)據(jù)交換、轉(zhuǎn)發(fā)以及穩(wěn)定性的要求。骨干網(wǎng)絡(luò)性能是整個(gè)網(wǎng)絡(luò)良好運(yùn)行的基礎(chǔ)，設(shè)計(jì)中必須保障網(wǎng)絡(luò)及設(shè)備的高吞吐能力，保證各種業(yè)務(wù)的高質(zhì)量傳輸，才能使網(wǎng)絡(luò)不成為業(yè)務(wù)開展的瓶頸。大學(xué)網(wǎng)絡(luò)也是學(xué)生的業(yè)務(wù)專網(wǎng)，實(shí)現(xiàn)內(nèi)部高速互連。要具有構(gòu)建校園各部門的虛擬業(yè)務(wù)專網(wǎng)的能力，可以實(shí)現(xiàn)部門內(nèi)部及部門間的協(xié)同工作。3.4.2區(qū)域匯聚層需求分析(1)高速運(yùn)送區(qū)域流量，主要工作是交換區(qū)域數(shù)據(jù)包。(2)高可靠性及冗余性(3)提供故障隔離(4)較少的時(shí)延和好的可管理性(5)良好的路由交換能力(6)良好的區(qū)域匯聚能力(7)良好的萬兆能力在校園網(wǎng)中匯聚設(shè)備擔(dān)負(fù)著網(wǎng)絡(luò)接入層和骨干設(shè)備的連接，網(wǎng)絡(luò)匯聚層有著承上啟下的重要任務(wù)。匯聚設(shè)備不但要完成接入層的鏈路匯聚和流量匯聚還要完成本地?cái)?shù)據(jù)的交換以及接入和骨干之間的數(shù)據(jù)轉(zhuǎn)發(fā)。作為骨干層的入口和接入層的出口，匯聚層的身份如同關(guān)卡。為保證整個(gè)網(wǎng)絡(luò)良好運(yùn)行在匯聚層同樣需要高性能、關(guān)鍵部件冗余等特性，另外要求匯聚設(shè)備的有高端口密度可以直接連接大量的二層設(shè)備，提供更好的絡(luò)品質(zhì)。3.4.3接入層需求分析我們在核心層和匯聚層的設(shè)計(jì)中主要考慮的是網(wǎng)絡(luò)性能和功能性要高，那么我們在接入層設(shè)計(jì)上主張使用性能價(jià)格比高的設(shè)備。接入層在整個(gè)網(wǎng)絡(luò)的邊緣，是最終用戶(教師、學(xué)生)

與網(wǎng)絡(luò)的接口，它應(yīng)該提供即插即用的特性，同時(shí)應(yīng)該非常易于使用和維護(hù)。當(dāng)然我們也應(yīng)該考慮端口密度的問題。3.5網(wǎng)絡(luò)安全規(guī)劃設(shè)計(jì)局域網(wǎng)網(wǎng)絡(luò)安全已成為當(dāng)今值得關(guān)注的問題，它的重要性是不言而喻的，對于大多數(shù)網(wǎng)絡(luò)黑客來說，成功地入侵一個(gè)企業(yè)特別是著名局域網(wǎng)的網(wǎng)絡(luò)系統(tǒng)，具有證明和炫耀其能耐的價(jià)值，盡管這種行為的初衷也許并不具有惡意的目的；竊取企業(yè)的網(wǎng)絡(luò)數(shù)據(jù)，甚至破壞其網(wǎng)絡(luò)系統(tǒng)，更加具有現(xiàn)實(shí)和長遠(yuǎn)的商業(yè)價(jià)值。因此，如何保障局域網(wǎng)網(wǎng)絡(luò)的安全變得重要起來。

網(wǎng)絡(luò)安全性包括信息安全性，網(wǎng)絡(luò)本身的安全性，保證系統(tǒng)的安全性。要從管理和技術(shù)角度制定不同的安全策略。安全設(shè)備的技術(shù)性能和功能，必須滿足行業(yè)系統(tǒng)管理體制的要求，即能基于網(wǎng)絡(luò)實(shí)現(xiàn)安全管理，具有接受網(wǎng)絡(luò)信息安全管理機(jī)構(gòu)管理的能力，還要不影響原網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)。

局域網(wǎng)絡(luò)系統(tǒng)建成之后，應(yīng)該達(dá)到如下的目標(biāo)：建立一套完整可行的網(wǎng)絡(luò)安全與網(wǎng)絡(luò)管理策略；將內(nèi)部網(wǎng)絡(luò)、公開服務(wù)器網(wǎng)絡(luò)和外網(wǎng)進(jìn)行有效隔離，避免與外部網(wǎng)絡(luò)的直接通信；建立網(wǎng)站各主機(jī)和服務(wù)器的安全保護(hù)措施，保證他們的系統(tǒng)安全；對網(wǎng)上服務(wù)請求內(nèi)容進(jìn)行控制，使非法訪問在到達(dá)主機(jī)前被拒絕；加強(qiáng)合法用戶的訪問認(rèn)證，同時(shí)將用戶的訪問權(quán)限控制在最低限度；全面監(jiān)視對公開服務(wù)器的訪問，及時(shí)發(fā)現(xiàn)和拒絕不安全的操作和黑客攻擊行為；加強(qiáng)對各種訪問的審計(jì)工作，詳細(xì)記錄對網(wǎng)絡(luò)、公開服務(wù)器的訪問行為，形成完整的系統(tǒng)日志；備份與災(zāi)難恢復(fù)——強(qiáng)化系統(tǒng)備份，實(shí)現(xiàn)系統(tǒng)快速恢復(fù)；加強(qiáng)網(wǎng)絡(luò)安全管理，提高系統(tǒng)全體人員的網(wǎng)絡(luò)安全意識(shí)和防范技術(shù)。保證計(jì)算機(jī)信息系統(tǒng)各種設(shè)備的物理安全是整個(gè)計(jì)算機(jī)信息系統(tǒng)安全的前提，物理安全是保護(hù)計(jì)算機(jī)網(wǎng)絡(luò)設(shè)備、設(shè)施以及其它媒體免遭地震、水災(zāi)、火災(zāi)等環(huán)境事故以及人為操作失誤或錯(cuò)誤及各種計(jì)算機(jī)犯罪行為導(dǎo)致的破壞過程。主要包括：設(shè)備安全，設(shè)備的防盜、防毀、防電磁信息輻射泄漏、防止線路截獲、抗電磁干擾及電源保護(hù)等；媒體安全，媒體數(shù)據(jù)的安全及媒體本身的安全。還有其他的安全隱患，黑客們利用系統(tǒng)和管理上的漏洞，進(jìn)入企業(yè)網(wǎng)的內(nèi)部，篡改一些數(shù)據(jù)，例如將自己變?yōu)楦呒?jí)用戶，或者監(jiān)聽登錄會(huì)話，竊取他人的賬戶和口令；還有包括病毒、蠕蟲、特洛伊木馬等惡意代碼；能夠通過mail、internet傳播的病毒；還有一些對網(wǎng)絡(luò)的攻擊手段，沒有預(yù)先經(jīng)過同意，就使用網(wǎng)絡(luò)或計(jì)算機(jī)資源被看作非授權(quán)訪問，如有意避開系統(tǒng)訪問控制機(jī)制，對網(wǎng)絡(luò)設(shè)備及資源進(jìn)行非正常使用，或擅自擴(kuò)大權(quán)限，越權(quán)訪問信息，例如，假冒、身份攻擊、非法用戶進(jìn)入網(wǎng)絡(luò)系統(tǒng)進(jìn)行違法操作、合法用戶以未授權(quán)方式進(jìn)行操作；破壞數(shù)據(jù)的完整性，使得信息/數(shù)據(jù)失去了原有的真實(shí)性，從而變得不可用或造成廣泛的負(fù)面影響；以非法手段竊得對數(shù)據(jù)的使用權(quán)，刪除、修改、插入或重發(fā)某些重要信息，以取得有益于攻擊者的響應(yīng)，惡意添加，修改數(shù)據(jù)，以干擾用戶的正常使用。搭線(網(wǎng)絡(luò))竊聽攻擊者可以采用如wireshark等網(wǎng)絡(luò)協(xié)議分析工具，在internet網(wǎng)絡(luò)安全的薄弱處進(jìn)入internet，并非常容易地在信息傳輸過程中獲取所有信息(尤其是敏感信息)的內(nèi)容。

網(wǎng)絡(luò)安全技術(shù)可以分為如下幾大類，即：身份認(rèn)證技術(shù)、防火墻技術(shù)、入侵檢測技術(shù)、病毒防治技術(shù)、網(wǎng)絡(luò)數(shù)據(jù)完整性技術(shù)和網(wǎng)絡(luò)活動(dòng)審計(jì)技術(shù)。他們應(yīng)用于網(wǎng)絡(luò)活動(dòng)的不同階段，來保護(hù)網(wǎng)絡(luò)內(nèi)的信息資源。

整個(gè)校園的局域網(wǎng)按訪問區(qū)域可以劃分為三個(gè)主要的區(qū)域：Internet區(qū)域、內(nèi)部網(wǎng)絡(luò)、公開服務(wù)器區(qū)域。內(nèi)部網(wǎng)絡(luò)又可按照所屬的部門、職能、安全重要程度分為許多子網(wǎng)。局域網(wǎng)一般都進(jìn)行文件共享、辦公自動(dòng)化、WWW服務(wù)、電子郵件服務(wù)，文件數(shù)據(jù)的統(tǒng)一存儲(chǔ)，提供與Internet的訪問，通過公開服務(wù)器對外發(fā)布企業(yè)信息、發(fā)送電子郵件等。

網(wǎng)絡(luò)運(yùn)行環(huán)境下，系統(tǒng)與系統(tǒng)、系統(tǒng)與用戶、用戶與用戶之間頻繁交換各種數(shù)據(jù)、信息，如電子文件、文檔、報(bào)文甚至數(shù)據(jù)或代碼。在網(wǎng)絡(luò)通信環(huán)境下，也經(jīng)常有假冒源點(diǎn)身份將報(bào)文插入網(wǎng)絡(luò)中，或者假的報(bào)文接收者發(fā)回假確認(rèn)，或不予接收；還有篡改報(bào)文內(nèi)容、報(bào)文序號(hào)；報(bào)文延遲或回收；否認(rèn)收到報(bào)文或否認(rèn)發(fā)送報(bào)文等。數(shù)字簽名可以防止否認(rèn)收到報(bào)文或否認(rèn)發(fā)送報(bào)文這類問題，所以解決的方法就是，對這些數(shù)據(jù)庫的錄入與修改的操作者的身份進(jìn)行認(rèn)證，也可用數(shù)字簽名、證書技術(shù)保證數(shù)據(jù)交換過程中用戶和信息的有效性，用于標(biāo)明信息分發(fā)者的身份和對交換信息的認(rèn)可，接收方也可以通過驗(yàn)證數(shù)字簽名以判斷信息是否來源于指定用戶，以及交換信息的完整性。存取控制規(guī)定何種主體對何種客體具有何種操作權(quán)利，也是內(nèi)部網(wǎng)絡(luò)安全理論的重要方面，主要包括人員限制、數(shù)據(jù)標(biāo)識(shí)、權(quán)限控制、控制類型和風(fēng)險(xiǎn)分析。

在內(nèi)部網(wǎng)與外部網(wǎng)之間，設(shè)置防火墻實(shí)現(xiàn)內(nèi)外網(wǎng)的隔離與訪問控制是保護(hù)內(nèi)部網(wǎng)安全的最主要、同時(shí)也是最有效、最經(jīng)濟(jì)的措施之一。防火墻設(shè)置在不同網(wǎng)絡(luò)或網(wǎng)絡(luò)安全域之間信息的唯一出入口。包過濾防火墻工作在網(wǎng)絡(luò)層上，有選擇的讓數(shù)據(jù)包在內(nèi)部網(wǎng)絡(luò)與外部網(wǎng)絡(luò)之間進(jìn)行交換。一般利用IP和TCP包的頭信息對進(jìn)出被保護(hù)網(wǎng)絡(luò)的IP包信息進(jìn)行過濾，能根據(jù)校園的安全政策來控制（允許、拒絕、監(jiān)測）出入網(wǎng)絡(luò)的信息流。同時(shí)可實(shí)現(xiàn)網(wǎng)絡(luò)地址轉(zhuǎn)換（NAT）、審記與實(shí)時(shí)告警等功能。代理服務(wù)防火墻也有一定功效，是一種增加了安全功能的應(yīng)用層網(wǎng)關(guān)，位于internet和intranet之間，自動(dòng)截取內(nèi)部用戶訪問internet的請求，驗(yàn)證其有效性，代表用戶建立訪問外部網(wǎng)絡(luò)的連接。3.6網(wǎng)絡(luò)服務(wù)器規(guī)劃校園網(wǎng)中的服務(wù)器集群包括DNS服務(wù)器、DHCP服務(wù)器、E-mail服務(wù)器、Web服務(wù)器、FTP服務(wù)器、。這些服務(wù)器劃分到一個(gè)VLAN中，通過一個(gè)二層交換機(jī)直接與核心交換機(jī)相連。DNS服務(wù)器可以進(jìn)行域名解析，然后返回對應(yīng)的IP給客戶端，從而實(shí)現(xiàn)雙方通信；DHCP服務(wù)器在核心層交換機(jī)上設(shè)置，使所有終端服務(wù)器可以動(dòng)態(tài)獲取IP地址，Email服務(wù)器實(shí)現(xiàn)郵件發(fā)送接收功能，Web服務(wù)器實(shí)現(xiàn)校園網(wǎng)網(wǎng)絡(luò)服務(wù)，F(xiàn)TP服務(wù)器實(shí)現(xiàn)教學(xué)資源共享，這樣使我們的教學(xué)資源達(dá)到最大化。根據(jù)學(xué)校實(shí)際情況合理地規(guī)劃設(shè)置服務(wù)器。3.7網(wǎng)絡(luò)管理(1)將安全策略、硬件及軟件等方法結(jié)合起來，構(gòu)成一個(gè)統(tǒng)一的防御系統(tǒng)，有效阻止非法用戶進(jìn)入網(wǎng)絡(luò)，減少網(wǎng)絡(luò)的安全風(fēng)險(xiǎn)。

(2)定期進(jìn)行漏洞掃描，審計(jì)跟蹤，及時(shí)發(fā)現(xiàn)問題，解決問題。

(3)通過入侵檢測等方式實(shí)現(xiàn)實(shí)時(shí)安全監(jiān)控，提供快速響應(yīng)故障的手段，同時(shí)具備很好的安全取證措施。

(4)使網(wǎng)絡(luò)管理者能夠很快重新組織被破壞了的文件或應(yīng)用。使系統(tǒng)重新恢復(fù)到破壞前的狀態(tài)，最大限度地減少損失。

(5)在工作站、服務(wù)器上安裝相應(yīng)的防病毒軟件，由中央控制臺(tái)統(tǒng)一控制和管理，實(shí)現(xiàn)全網(wǎng)統(tǒng)一防病毒。3.8小結(jié)通過對學(xué)校的綜合了解，對校園網(wǎng)建設(shè)給出了總體的設(shè)計(jì)方案，從而進(jìn)一步完善對廣西師范學(xué)院校園網(wǎng)的設(shè)計(jì)與規(guī)劃,使其更加優(yōu)秀，使網(wǎng)絡(luò)更完善的應(yīng)用于教學(xué)與科學(xué)研究。設(shè)計(jì)之中，充分考慮了廣西師范學(xué)院的各處基礎(chǔ)設(shè)施，對實(shí)驗(yàn)樓，行政樓，圖書館，學(xué)生宿舍等主要建筑進(jìn)行了全方位的數(shù)據(jù)統(tǒng)計(jì)，在做需求分析時(shí)，通過對網(wǎng)絡(luò)管理中心的老師進(jìn)行咨詢，根據(jù)實(shí)際情況，精確的制定出學(xué)院校園網(wǎng)的需求方案。本文也從多個(gè)角度對校園網(wǎng)的硬、軟件設(shè)施進(jìn)行考慮，特別是以思源學(xué)院的實(shí)際應(yīng)用為導(dǎo)向、以經(jīng)濟(jì)性為原則、以未來的發(fā)展為導(dǎo)向、切合實(shí)際的對建設(shè)中的具體應(yīng)用與布局進(jìn)行了詳細(xì)的分系設(shè)計(jì)。在硬件設(shè)備方面，盡量選擇思科的設(shè)備，為以后校園網(wǎng)絡(luò)的發(fā)展奠定基礎(chǔ)，這些設(shè)備的選取不僅在滿足學(xué)院的基本教學(xué)、資源共享等方面完全能夠勝任而且在科研，前沿學(xué)科的研究、探索上都能充分發(fā)揮他的作用。在設(shè)計(jì)思路上，我曾多次上網(wǎng)查閱各個(gè)方面的資料、也曾多次向這方面的老師征求寶貴的意見，以便制作出完備的、先進(jìn)的、方案新穎的校園網(wǎng)規(guī)劃系統(tǒng)。在布線系統(tǒng)的設(shè)計(jì)上，采用EIA/TIA568國際布線標(biāo)準(zhǔn)，以便剛好的發(fā)揮主干網(wǎng)絡(luò)的性能、從而也給以后的管理帶便利。在本次組建校園網(wǎng)絡(luò)過程中，由于本組人對網(wǎng)絡(luò)知識(shí)的掌握有限，可以說在整個(gè)的組建網(wǎng)絡(luò)過程是一邊摸索一邊實(shí)踐出來的。但令人高興的是，通過這樣一個(gè)邊學(xué)習(xí)邊應(yīng)用的過程，本組人完成了校園網(wǎng)的組網(wǎng)的工作。在這過程中使我們的對各個(gè)設(shè)備有一個(gè)很大的認(rèn)識(shí)，也花費(fèi)了一番功夫。4詳細(xì)設(shè)計(jì)4.1IP子網(wǎng)規(guī)劃與VLAN劃分4.1.1VLAN規(guī)劃虛擬局域網(wǎng)是交換機(jī)的重要功能，通常虛擬局域網(wǎng)的實(shí)現(xiàn)形式有三種，即靜態(tài)端口分配、動(dòng)態(tài)虛擬網(wǎng)和多虛擬網(wǎng)端口配置。靜態(tài)虛擬網(wǎng)的劃分通常是網(wǎng)管人員使用網(wǎng)管軟件或直接設(shè)置交換機(jī)的端口，使其直接從屬于某個(gè)虛擬網(wǎng)。這些端口一直保持這些從屬性，除非網(wǎng)管人員重新設(shè)置。這種方法雖然比較麻煩，但比較安全，容易配置和維護(hù)。支持動(dòng)態(tài)虛擬網(wǎng)的端口，可以借助智能管理軟件自動(dòng)確定它們的從屬。端口是通過借助網(wǎng)絡(luò)包的MAC地址、邏輯地址或協(xié)議類型來確定虛擬網(wǎng)的從屬。一旦網(wǎng)管人員配置好后，用戶的計(jì)算機(jī)就可以靈活地改變交換機(jī)端口，而不會(huì)改變該用戶的虛擬網(wǎng)從屬性。多虛擬網(wǎng)端口配置支持一用戶或一端口可以同時(shí)訪問多個(gè)虛擬網(wǎng)。從上述情況分析，本網(wǎng)所采用的VLAN劃分方案如下：(1)把不同的系劃分到不同的vlan中，因?yàn)楦飨档慕虒W(xué)風(fēng)格，制度都有差異，教學(xué)材料也不同，分離開來更加容易管理而且更加安全。(2)實(shí)驗(yàn)樓有各種實(shí)驗(yàn)器材，設(shè)備及資料文檔，把其劃分到多個(gè)vlan也是為了更方便有效的管理。(3)財(cái)務(wù)處、人事處，財(cái)務(wù)處涉及財(cái)產(chǎn)安全，而且人事處聚集各層重要信息，把其化成同一個(gè)vlan更安全可靠也更方便。(4)將圖書館，后勤處，教務(wù)處劃分為不同的vlan，因?yàn)樗麄儗儆诓煌再|(zhì)的，因此為了易于管理。(5)服務(wù)器群劃分為一個(gè)vlan，并設(shè)置訪問控制，確保信息安全。(6)將男生、女生公寓樓劃分為不同的vlan,實(shí)現(xiàn)有效的管理。劃分方法采用基于端口的劃分?；诙丝诘膭澐?，相對來說容易設(shè)置和監(jiān)控，只需要將端口配置的VLAN重新分配。vlan的具體劃分如下所示：Vlan網(wǎng)絡(luò)地址用戶數(shù)IP獲取方式100服務(wù)器群/244手動(dòng)配置17和18辦公樓/24/24多個(gè)自動(dòng)獲取9和10實(shí)驗(yàn)樓/24/24多個(gè)自動(dòng)獲取11和12圖書館/24/24多個(gè)自動(dòng)獲取13中文系/24多個(gè)自動(dòng)獲取14外語院/24多個(gè)自動(dòng)獲取15體育系/24多個(gè)自動(dòng)獲取16藝術(shù)系/24多個(gè)自動(dòng)獲取17教務(wù)處、財(cái)務(wù)處/24/24多個(gè)自動(dòng)獲取2、3和4男生宿舍樓/24/24/24多個(gè)自動(dòng)獲取5、6和20女生宿舍樓/24/24/24多個(gè)自動(dòng)獲取4.1.2IP地址規(guī)劃設(shè)備及接口地址網(wǎng)關(guān)子網(wǎng)掩碼Router1--s0/0Router1--fa0/0852Router2--s0/0Router2--fa0/0宿舍樓區(qū)匯聚層交換機(jī)1Fa0/152宿舍樓區(qū)匯聚層交換2Fa0/152宿舍樓區(qū)匯聚層交換3Fa0/152實(shí)驗(yàn)樓區(qū)匯聚層交換機(jī)Fa0/1352圖書館匯聚層交換機(jī)Fa0/2152教學(xué)樓區(qū)匯聚層交換機(jī)1Fa0/2652教學(xué)樓區(qū)匯聚層交換2Fa0/2052辦公樓區(qū)匯聚層交換機(jī)Fa0/2452核心交換機(jī)Fa0/352核心交換機(jī)Fa0/452核心交換機(jī)Fa0/5052核心交換機(jī)Fa0/6452核心交換機(jī)Fa0/7252DNSFTPEMAILWEBPC0-外網(wǎng)PC1-內(nèi)網(wǎng)各個(gè)主機(jī)IP地址已根據(jù)DHCP自動(dòng)分配。4.2DHCP實(shí)現(xiàn)方案以宿舍樓區(qū)匯聚層交換機(jī)1為例，DHCP的設(shè)計(jì)口令如下：ipdhcppoolVLAN2//創(chuàng)建VLAN2地址池network//指定地址池所包含的網(wǎng)段default-router//指定網(wǎng)段的網(wǎng)關(guān)dns-server//配置dns服務(wù)器地址iprouting//開啟路由功能通過此設(shè)置，只要把接入層交換機(jī)的相應(yīng)端口劃分給該VLAN，則連接該端口的PC的默認(rèn)網(wǎng)關(guān)就是其所歸屬到的vlan的IP，并可以自動(dòng)獲取該VLAN的地址池范圍內(nèi)的一個(gè)IP，其他匯聚層交換機(jī)的DHCP設(shè)計(jì)口令也類似。關(guān)鍵就是不要忘記開啟路由功能。4.3路由方案以宿舍樓區(qū)匯聚層交換機(jī)1為例，ospf的設(shè)計(jì)口令如下：routerospf1networkarea0//宣告網(wǎng)絡(luò)networkarea0//宣告網(wǎng)絡(luò)networkarea0//宣告網(wǎng)絡(luò)network52area04.4ACL與NAT技術(shù)應(yīng)用4.4.1ACL技術(shù)本次ACL的設(shè)計(jì)是在匯聚層第三層交換機(jī)設(shè)置，以辦公樓區(qū)匯聚層交換機(jī)為例，ACL的設(shè)計(jì)口令如下：access-listaccess-list-number{permit|deny}source[source-wildcard]permit表示也許，deny表示拒絕。例如：access-list1deny55access-list1denyaccess-list1permitany配置完這個(gè)訪問控制列表，還要應(yīng)用到具體的端口上。例如進(jìn)入辦公樓區(qū)匯聚層交換機(jī)的FastEthernet0/2，可以使用如下命令應(yīng)用配置好的訪問控制列表：interfaceFastEthernet0/2ipaccess-groupaccess-list-number{in|out}其中in代表入方向，out表示出方向。將以上的配置設(shè)置為in，則表示拒絕/24和主機(jī)的流量通過該端口。如果ACL配置中先配置了deny命令，則一定要加一條命令access-listaccess-list-numberpermitany,要不然會(huì)默認(rèn)拒絕所有的包通過。此口令不允許男生公寓樓、女生公寓樓訪問校長辦公室以及財(cái)務(wù)處等辦公樓的計(jì)算機(jī)。NAT技術(shù)應(yīng)用（1）靜態(tài)NAT的配置設(shè)置外部端口的IP地址：Router(config)#interfaceSerial0/0Router(config-if)#ipaddress設(shè)置內(nèi)部端口的IP地址Router(config)#interfaceFastEthernet0/0Router(config-if)#ipaddress852建立靜態(tài)地址轉(zhuǎn)換 Router(config)#ipnatinsidesourcestaticRouter(config)#ipnatinsidesourcestatic在內(nèi)部和外部端口上啟用NATRouter(config)#interfaceSerial0/0Router(config-if)#ipnatoutsideRouter(config)#interfaceFastEthernet0/0Router(config-if)#ipnatinside配置默認(rèn)路由Router(config)#iproute（2）動(dòng)態(tài)NAT的配置設(shè)置外部端口的IP地址：Router(config)#interfaceSerial0/0Router(config-if)#ipaddress設(shè)置內(nèi)部端口的IP地址：Router(config)#interfaceFastEthernet0/0Router(config-if)#ipaddress852定義合法IP地址池Router(config)#ipnatpoolwan50netmask實(shí)現(xiàn)網(wǎng)絡(luò)地址轉(zhuǎn)換Router(config)#ipnatinsidesourcelist1poolwan在內(nèi)部和外部端口上啟用NATRouter(config)#interfaceSerial0/0Router(config-if)#ipnatoutsideRouter(config)#interfaceFastEthernet0/0Router(config-if)#ipnatinside配置默認(rèn)路由Router(config)#iproute（3）PAT的配置設(shè)置外部端口的IP地址：Router(config)#interfaceSerial0/0Router(config-if)#ipaddress設(shè)置內(nèi)部端口的IP地址：Router(config)#interfaceFastEthernet0/0Router(config-if)#ipaddress852定義合法IP地址池Router(config)#ipnatpoolonlyonenetmask實(shí)現(xiàn)網(wǎng)絡(luò)地址轉(zhuǎn)換Router(config)#ipnatinsidesourcelist1poolonlyoneoverload在內(nèi)部和外部端口上啟用NATRouter(config)#interfaceSerial0/0Router(config-if)#ipnatoutsideRouter(config)#interfaceFastEthernet0/0Router(config-if)#ipnatinside配置默認(rèn)路由Router(config)#iproute4.5DNS實(shí)現(xiàn)方案DNS的配置比較簡單，只要設(shè)置好各個(gè)終端的DNS服務(wù)器的IP地址指向該DNS服務(wù)器，然后再在DNS服務(wù)器上設(shè)置好要解析的條目就可以使用DNS服務(wù)了。本次規(guī)劃中主要設(shè)置了如下圖所示的DNS條目：5仿真實(shí)現(xiàn)5.1仿真拓?fù)洌?）在CiscoPacketTracer軟件中仿真拓?fù)洌?.2VLAN仿真與測試以宿舍樓區(qū)匯聚層1為例，通過showvlan,顯示該交換機(jī)上所劃分的vlan，其他三層交換機(jī)劃分原理相似。由上圖可知，該交換機(jī)上劃分了三個(gè)vlan,分別為vlan2,vlan3,vlan4,下面對vlan2和vlan3的兩個(gè)主機(jī)pc1,pc2進(jìn)行連通性測試：由此可見，不同vlan間的計(jì)算機(jī)可以相互通信。5.3路由的仿真與測試以核心層交換機(jī)為例，顯示的路由表，顯示的是到各個(gè)網(wǎng)段的動(dòng)態(tài)路由條目，確保各個(gè)網(wǎng)段的主機(jī)都可以實(shí)現(xiàn)互相連通。從宿舍樓訪問圖書館，實(shí)現(xiàn)VLAN間