1、毕 业 设 计 (论 文)课题名称: 校园网络规划和建设 指导教师: 系 别: 专 业: 班 级: 姓 名: 校园网络规划和建设摘 要随着网络的逐步普及,大部分学校正加紧对信息化教育的规划和建设,校园网络的规模和应用水平已成为衡量学校教学与科研综合实力的一个重要指标。安徽工商职业学院(新校区)的校园网络现状总体上还是不完善的,没有全面系统的铺设宽带,教室、宿舍等信息点需求量比较大的场所无法得到满足,大部分学生还只能选用单一的拨号上网方式。鉴于此,本设计针对校园目前的实际情况和在充分调研的基础上,结合目前技术的发展方向以及学院的实际需求,制订了以千兆网络为主干的学院校园网建设的整体设计方案,并通
2、过校园网的设计与建设,通过各种协议的链接与设备的选购,从而实现真正意义上的宽带多媒体网络,为师生提供教学、科研等得综合信息服务。其最终建设目标是建设一个借助信息化教育和管理手段的高水平的智能化、数字化的教学园区网络,最终完成统一软件资源平台的构建,实现统一网络管理、统一软件资源系统,并实现在线服务、教育资源共享等各种应用,利用现代信息技术从事管理、教学和科学研究的工作。关键词:校园网络 交换机 VLAN 划分 设备选型I目 录摘 要 2一、引言 31.1 背景及意义 .31.2 校园网建设的原则 .4二 校园网络需求分析 .52.1 学校主要建筑 .52.2 学校建筑现状分析 .62.3 信息
3、点分布需求分析 .72.4 学校 VLAN 需求划分 72.6 网络功能需求分析 .8三 校园网络规划设计 .93.1 校园网络拓扑图 .93.2 VLAN 的划分 .103.3 VLAN 及 IP 地址规划 .13四 网络管理和安全 144.1 VLAN 配置划分 .144.2 IP 地址设置 .164.3 VTP 的应用 164.4 STP 生成树协议 174.5 OSPF 配置 .18校园网络规划和建设II4.6 ACL 的实现 194.7 NAT 的实现 194.8 服务器的应用 204.9 网络安全 21五 设备选型及工程报价 24总结 .27谢 辞 28参考文献 .291一、引言(
4、一)背景及意义信息时代的变革与发展,带动了整个世界的深刻变革。网络、计算机技术的进步和应用软件的提高,使计算机变的越来越容易使用,它们正被广泛地使用,并迅速改变着人们的生活、学习、工作方式。在一个好的校园网里人们用计算机和网络进行工作、交流和学习,计算机改变了人的教学方式,同时也改变了人的学习方式。社会变的很快,我们必须跟上时代的步伐,因此在经济条件允许的情况下,尽快尽早的建设校园网好处将是显著的和长远的。信息技术的快速发展,教育信息化水平正成为衡量学校总体发展水平的重要因素,网络技术的应用对高校的教学手段和教育管理体系的促进作用是巨大的。1995 年中国教育和科研计算机网(Cernet)建设
5、全面启动,全国各地的高校开始建设自己的计算机校园网。校园网建设是高校建设的重要组成部分,建设高质量的局域网, 才能充分发挥网络资源管理和应用的优势,进行信息交流、资源共享、科学计算和科学研究与合作。 校园网的建设与应用,极大地丰富和完善了教育资源,拓宽了学生获取知识的渠道,改善了教学效果,提高了学校的现代化管理水平,促进了教育的社会化,因此,如何进一步搞好校园网的建设,充分发挥校园网的作用,组建高性能,低成本的校园网,是各个高校正在探索和思考的问题。简单来说,对于校园网,丰富的应用是关键,而稳定可靠的网络是基础,完善的安全和管理手段是保障。(二)校园网建设的原则校园网络系统的建设在实用的前提下
6、,应当在投资保护及长远性方面做适当考虑,在技术上、系统能力上要保持五年左右的先进性。并且从学校的利益出发,从技术上讲应该采用标准、开放、可扩充的、能与其它厂商产品配套使用的设计。根据校园网的总体需求,结合对应用系统的考虑,本次网络建设的设计目标是:高性能、高可靠性、高稳定性、高安全性、易管理的网络平台。我们遵循以下的原则进行网络设计:(1)稳定性在考虑技术先进性和开放性的同时,还应从系统结构、技术措施、设备性能、系统管理、厂商技术支持及保修能力等方面着手,确保系统运行的可靠性和稳定性,达到最大的平均无故障时间。(2)先进性在满足用户需求的前提下,充分考虑信息社会迅猛发展的趋势,在技术上适校园网
7、络规划和建设2度超前,使提出的方案将布线系统建设成先进的、现代化的信息系统。采用最先进的组网技术,选用代表当今世界潮流趋势的网络产品,才能在未来的发展中保持技术领先。 (3)安全性网络的安全性是网络的一个重要的指标,网络设计从结构设计、产品选择以及网络管理上要对网络的安全性作出保证。既考虑信息资源的充分共享,更要注意信息的保护和隔离,因此系统应分别针对不同的应用和不同的网络通信环境,采取不同的措施,包括划分 VLAN、路由过滤、系统安全机制、加密机制、多种数据访问权限控制等技术提升整个网络的安全性。在选材方面,高性能的防火墙等设备也是必要的选择。(4)实用性网络建设应始终贯彻面向应用,注重实效
8、的方针,坚持实用、经济的原则。设备选型也不能过于超前,一定要经济实用。对于模块化的网络设备,要对模块进行有效的利用。在实现先进性、可靠性的前提下,达到功能和经济的优化设计。综合布线系统各个部分都采用高质量材料和标准化部件,并按照标准施工和严格检测,保证系统技术性能优良可靠,满足目前和今后通信需要,且在维护管理中减少维修工作,节省管理费用。二 校园网络需求分析(一)学校主要建筑设计一个网络,首先要实地考察各个连接点的实际情况,为用户分析目前面临的主要问题,确定用户对网络的真正需求,才能选择、设计出合适的网络结构和网络技术。首先,看一下学校主要建筑,如图 2-1 所示:安徽工商职业学院 2012
9、届毕业论文(设计)3图 2-1 学校建筑俯视图如图 2-2 可以看出,校园主要有行政楼、教学楼、实训楼、学生宿舍、食堂、图文信息中心六个建筑物,本案例以此划分子网。此外,实习基地、教职工宿舍区等建筑未在图中标出,这些地方的子网划分会在下文中提及。 (二)学校建筑现状分析对学校建筑的分析如图 2-2 所示:学生宿舍110#(教工宿舍区)核心交换机行政楼(实习基地)教学楼AD图文信息中心食堂实训楼校园网络规划和建设4图 2-2 学校建筑图如图分析,学校分为行政楼、实训楼、教学楼、学生宿舍、食堂、图文信息中心。其中行政楼有南北两栋建筑,教学楼分为 A、B、C、D 栋楼,学生宿舍共有10 栋楼组成。(
10、三)信息点分布需求分析对学校信息点进行了分析,每间教室(含多媒体教室)分配 2 个信息点,每间宿舍 2 个信息点,各办公室分配 4 个信息点,具体信息点数量如表 2-1 所示:大楼 建筑规模 信息点 信息点合计行政楼 4 层 514 514实训楼 5 层 134 134A 座 100B 座 100C 座 100D 座 100教学楼办公室 604601# 802# 803# 804# 4325# 4326# 4327# 4328# 809# 432学生宿舍10# 4322592食堂 3 层 30 30图文信息中心 3 层 186 186总计:3916表 2-1 学校信息点的分析表(四)学校 VL
11、AN 需求划分安徽工商职业学院 2012 届毕业论文(设计)5VLAN(Virtual Local Area Network)称为虚拟局域网,是指在逻辑上将物理的 LAN 分成不同小的逻辑子网,每一个逻辑子网就是一个单独的播域。简单地说,就是将一个大的物理的局域网(LAN)在交换机上通过软件划分成若干个小的虚拟的局域网(VLAN)。因为交换机通信的原理就是要通过“广播”来发现通往的目的 MAC 地址,以便在交换机内部的 MAC 数据库建立 MAC 地址表,而广播不能跨越不同网段。例如学校的实训楼的 VLAN 划分,实训楼共有 5 层每层有近 10 间实验实训教室。划分 VLAN 可以分隔端口即
12、使在同一个交换机上处于不通 VLAN 还是不能通信的,这样就避免了广播风暴,同时杜绝了网络通信的不安全,方便管理员的管理与配置,大大提高了校园网的性能。(五)网络功能需求分析1.校园基础应用平台 (1)信息共享:有关学校的各种资料、信息的上传和下载,如图书资料、教学资料、应用软件,以及一些最新的学校公告等都可通过网络进行查询。(2)信息交流:校园网可通过连接 Internet 实现与外部资源的互通,从而实现教学科研水平的交流。(4)现代化办公:通过运用先进的计算机技术实现办公自动化,使学校的各种行政办公、财务结算、信息查询计算机化、无纸化,提高学校的办事效率和办公科学性。(5)办公学习:向全校
13、师生提供学习资料,交流平台,提供在线答疑系统和留言答疑系统:方便师生之间的联系。(6)教务管理:为学生提供成绩管理、学生信息管理、学校通知等服务。(7)电子图书馆:为全院的师生提供电子图书的阅览服务。同时,还应具备档案管理、学生管理、教学管理、财务管理、物资管理等功能,网络必须具备较高的安全性、可靠性和容错性。2.Internet 服务需求Internet,中文正式译名为因特网,又叫做国际互联网。它是由那些使用公用语言互相通信的计算机连接而成的全球网络。Internet 以相互交流信息资源为目的,基于一些共同的协议,并通过许多路由器和公共互联网而成,它是一个信息资源和资源共享的集合。校园内共
14、7000 余师生,对上网冲浪、网络购物、收发电子邮件、资料查询、休闲娱乐等服务需求比较大,校园网能否高速连接国际互联网也是衡量一个网络规划设计优劣的指标。3.安全与管理需求校园网络规划和建设6网络安全对于网络系统来说是十分重要的,它直接关系到网络的正常使用。由于校园网与外部网进行互联特别是和 Internet 的互联,Internet 是一个开放式网络系统,它的安全性是很差的。因此安全问题更加重要。应该采用一定的技术来加强校园网络的安全性,从内部和外部同时对网络资源的访问进行控制。当前主要的网络安全技术有,用户身份验证、VLAN 划分、ACL、防火墙等技术。4.实用经济性需求校园网的特点决定了
15、网络系统必需要有实用与经济性。实用性使得网络便于管理、维护,以减少网络使用人员运用网络的难度,从而降低人为操作引起的网络故障,并使更多的人掌握网络的使用。应根据学校的实际情况,由于学校的建设资金有限,所以一般都要求网络具有较高的性价比,所以在建设校园网时一定要使用性价比高的网络技术和网络设备,以节约建设资金。三 校园网络规划设计(一)校园网络拓扑图根据学校的要求,为了保证网络的先进性、可靠性、可扩展性、可管理性、安全性等方面的需求,网络拓扑规划如图 3-1 所示:图 3-1 校园网络拓扑结构图安徽工商职业学院 2012 届毕业论文(设计)7校园拓扑图采用经典的星形拓扑结构,以千兆以太网为骨干网
16、络,百兆双绞线连接到桌面,满足各个连接点的信息需求。如图 3-1,Internet 或 Cernet 经由路由器接入防火墙,以千兆光纤接入核心层交换机,即进入内网,www 服务器放在了防火墙专用的接口上面。内网采用了先进的三层交换技术,加快大型局域网内部的数据交换,所具有的路由功能也是为这个目的服务的,能够做到一次路由,多次转发。本方案以学校主要建筑物行政楼、实训楼、教学楼、学生宿舍、食堂、图文信息中心划分了六个子网,每个建筑主体分配一个汇聚层交换机,再以百兆双绞线连接接入层交换机直到桌面。整个网络结构简单、建网容易、控制相对简单,容易进行重新配置。由于星型网络上的所有数据都要通过中心设备,并
17、在中心设备汇集,所以维护起来比较容易,而且受故障影响的设备少,能够较好地处理。方案特点:(1)高性能全交换,千兆骨干(多模光纤)、百兆交换到桌面(UTP 双绞线);(2)虚拟局域网(VLAN)策略,提高局域网络内部安全与性能; (3)多业务,办公管理、远程通信一网实现;(4)系统安全,架设路由器、防火墙,提供互联网接入的安全保障;(5)操作性强,流行的星型拓扑结构简单,易于操作。(二)VLAN 的划分如表 2-3 所示,学校校园网络 VLAN 的划分及 IP 的分配。子网名称 网段 IP 网关 IP 备注行政楼子网 19216810/24 19216811 Vlan 2实训楼子网 192168
18、20/24 19216821 Vlan 3教学楼子网 19216830/24 19216831 Vlan 4学生宿舍子网 19216840/24 19216841 Vlan 5食堂子网 19216850/24 19216851 Vlan 6图文信息中心子网 19216860/24 19216861 Vlan 7服务器子网 19216870/24 19216871 Vlan 8表 2-3 学校校园网络 VLAN 划分及 IP 的分配此外,教职工宿舍区就近编入学生宿舍子网中,实习基地及其附属场地则编入了行政楼子网中,教学楼一楼、图书馆三楼以及学术报告厅的多媒体教室同样校园网络规划和建设8地按照就近
19、接入校园网络的原则进行,以便于综合布线和管理。这里仅以学校实训楼为例,其它建筑 VLAN 的划分可依次参照进行,下面介绍实训楼各楼层 VLAN 的详细划分。安徽工商职业学院 2012 届毕业论文(设计)9校园网络规划和建设10图 3-2 实训楼各楼层网络拓扑图(三) VLAN 及 IP 地址规划(1)核心交换机 IP 地址分配核心交换机接口 IP 地址 连接物理地址f0/1 192.168.1.1 行政楼F0/2 192.168.2.1 实训楼F0/3 192.168.3.1 教学楼F0/4 192.168.4.1 学生宿舍F0/5 192.168.5.1 食堂F0/6 192.168.6.1
20、 图文信息中心表 3-1 核心交换机 IP 地址分配表(2) VLAN 功能描述Vlan ID 网络地址 描述Vlan2 192.168.1.0/24 行政楼Vlan3 192.168.2.0/24 实训楼Vlan4 192.168.3.0/24 教学楼Vlan5 192.168.4.0/24 学生宿舍Vlan6 192.168.5.0/24 食堂Vlan7 192.168.6.0/24 图文信息中心Vlan8 192.168.7.0/24 服务器组表 3-2 VLAN 规划安徽工商职业学院 2012 届毕业论文(设计)11四 网络管理和安全(一)VLAN 配置划分为设备命名,方便区分各个设备
21、,避免配置时因选错设备而产生的错误。在交换机和路由器上进入全局配置模式,使用 hostname name 命令对各个交换机或路由器进行命名。例如把核心交换机命名为 henxins,指令如下:Switchenable /进入特权模式 Switch#configure terminal /进入全局模式 Switch(config)#hostname hexins /将 switch 命名为 hexinshenxins(config)#以太网 VLAN ID 的取值范围为 11001。其中,VLAN 1 为系统默认 VLAN,不能被创建,也不能被删除。在基于 IOS 的交换机上配置 VLAN,可以在
22、两种管理模式下操作:在特权配置模式下和 VLAN Database 模式下创建,其中第二种模式在新型交换机上会有警告提示,说明此模式已不被厂商推荐使用,这里仅对第一种方式进行举例说明。在特权配置模式下配置 VLAN 步骤:Switch#configure terminal /进入全局配置模式Switch(config)#vlan vlan-id /(输入一个 VLAN 号, 然后进入 VLAN配置模式,可以输入一个新的 VLAN 号或旧的来进行修改。)Switch(config-vlan)#name vlan-name /(输入一个 VLAN 名,如果没有配置 VLAN 名,缺省的名字是 VL
23、AN 号前面用 0 填满的 4 位数,如 VLAN0010 是VLAN10 的缺省名字)Switch(config-vlan)#end /退出Switch#show vlan /验证 VLAN 配置结果。Switch#copy running-config startup config /保存配置可以使用接口配置模式来定义端口模式(接入(access)还是干道(trunk),并向 VLAN 中添加或从中删除端口。将端口指定到特定的 VLAN 后,就是在处理接入链路而非 trunk 链路。可以使用 switchport mode access 定义端口成为 VLAN成员模式,使用此命令的 no
24、形式,可以将一个端口从 VLAN 中去除。接下来,需要通过接口命令 switchport access vlan vlan-id 将端口指定到特定的 VLAN 中。使用此命令的 no 形式,也可以将一个端口从 VLAN 中去除。校园网络规划和建设12在接入模式下,接口仅属于一个 VLAN。步骤:Switch#configure terminal /进入全局配置模式 Switch(config)#interface interface-id /进入接口配置模式,进入要分配的端口,如本案例中 FastEthernet 0/11 Switch(config-if)#switchport mode a
25、ccess /定义交换机二层接口为接入模式 Switch(config-if)#switchport access vlan vlan-id /把端口分配给某一 VLAN。Switch(config-if)#end /退出接口配置模式Switch#show running-config interface interface-id /验证端口的 VLAN 号Switch#show interfaces interface-id switchport /验证端口的管理模式和 VLAN 情况Switch#copy running-config startup-config /保存配置默认情况下交换
26、机上的所有端口都属于 VLAN1 中。你不能对 VLAN1 进行更改、删除或重命名,因为它是默认的 VLAN。默认时 VLAN1 是所有交换机的本地 VLAN,一般厂商都推荐你使用 VLAN1 作为负责管理的 VLAN。本地 VLAN 的功能是指:“没有特别地分配到不同的数据包都将被发送到本地VLAN 中。”这就是交换机在没有划分 VLAN 时,客户端能够通信的原理。若欲将某个端口从 VLAN 中删除,可以将该接口恢复为默认值,即可清除该接口的所有配置,使之不再属于任何 VLAN。步骤如下:Switch#configure terminal /进入全局配置模式Switch(config)#de
27、fault interface interface-id /清除某接口的所有配置Switch(config)#end /返回特权配置模式Switch#copy running-config startup-config /保存对配置的修改删除 VLAN 管理员在配置 VLAN 过程中,很有可能输入错误的 VLAN 名称,如果要删除这些 VLAN 可用 vlan database 进入 VLAN 配置状态,用 no vlan vlan-id 来删除,也可以在特权配置模式下进行操作。步骤:Switch#configure terminal /进入全局配置模式Switch(config)#no vl
28、an vlan-id /删除某一 VLAN,如:no vlan 11安徽工商职业学院 2012 届毕业论文(设计)13Switch(config)#end /返回特权配置模式Switch#show vlan brief /验证 VLAN 数据库的结果Switch#copy running-config startup config /保存对配置的修改根据校园网络的 VLAN 划分,IP 地址的划分等分配,分别在教学楼、实训楼、教学楼、学生宿舍等楼群汇聚层的交换机配置相关的 IP 地址,并对其重要的部门和多媒体教室进行 VLAN 的划分。配置步骤相对简单,每楼群的配置方法也相似。只需将交换机划分
29、 VLAN,将相对应的客户端端口加入到 VLAN 中,并配置中继(要将交换机与交换机之间的连接以及交换机与路由器之间的连接端口设为主干模式 Trunk),应用交换机的互学习能力,减少网管人员的工作量,同时需要配置单臂路由使有些 VLAN 之间可以相互访问。(二)IP 地址设置在路由器和交换机上为接口或 VLAN 设置 IP 地址,进入接口模式后,用 ip address 命令后加上 IP 地址和子网掩码,子网掩码不可以省略。例如:1.为端口分配 IPRouter(config)#interface fastEthernet 0/1 /进入接口 f0/1Router(config-if)# ip
30、 address 192.168.1.2 255.255.255.0 /为 1 号接口分配 IP192.168.1.22.为 VLAN 分配 IPSwitch(config)#interface vlan 2 /进入 VLAN 2 Switch(config-if)#ip address 192.168.1.1 255.255.255.0/为 VLAN2 分配 IP 为 192.168.1.1(三)VTP 的应用VTP(Vlan Trunk Protocol)即 VLAN 中继协议。VTP 通过网络(ISL 帧或 cisco私有 DTP 帧)保持 VLAN 配置统一性。VTP 在系统级管理增加
31、,删除,调整的VLAN,自动地将信息向网络中其它的交换机广播。此外,VTP 减小了那些可能导致安全问题的配置。便于管理,只要在 vtp server 做相应设置,vtp client 会自动学习 vtp server 上的 vlan 信息。本案例中应用 VTP 可以大大减少网管人员的工作量,网络维护更加便捷。校园网络规划和建设14图 4-1 VTP 的应用如图 4-1,被设置为 vtp server 模式的交换机,其 VLAN 的变动会被设置为vtp client 的交换机引用,具体配置命令如下:Switch#vlan database /进入 Vlan Switch(vlan)#vtp do
32、main shixun /建立名为 shixun 的 VTP 域 Switch(vlan)#vtp server|client /修改交换机 vtp 的模式,核心层交换机配置为 vtp server,汇聚层交换机配置为 vtp clientSwitch(vlan)#vtp password 123456 /配置 vtp 密码为 123456Switch (vlan)# vtp pruning /配置 VTP 修剪 Switch#show vtp status /查看 VTP 运行状态Switch#show vtp counters /查看交换机收到和发出广告的数目(四)STP 生成树协议STP
33、 的全称是 spanning-tree protocol,STP 协议是一个二层的链路管理协议,它在提供链路冗余的同时防止网络产生环路,与 VLAN 配合可以提供链路负载均衡,默认是开启的。生成树协议最主要的应用是为了避免局域网中的网络环回,解决成环以太网网络的“广播风暴”问题,从某种意义上说是一种网络保护技术,可以消除由于失误或者意外带来的循环连接。生成树协议拓扑结构的思路是: 不论网桥(交换机)之间采用怎样物理联接,网桥(交换机)能够自动发现一个没有环路的拓扑结构的网路,这个逻辑拓扑结构的安徽工商职业学院 2012 届毕业论文(设计)15网路必须是树型的。生成树协议还能够确定有足够的连接通
34、向整个网络的每一个部分。所有网络节点要么进入转发状态,要么进入阻塞状态,这样就建立了整个局域网的生成树。当首次连接网桥或者网络结构发生变化时,网桥都将进行生成树拓扑的重新计算。为稳定的生成树拓扑结构选择一个根桥, 从一点传输数据到另一点, 出现两以上条路径时只能选择一条距离根桥最短的活动路径。 生成树协议这样的控制机制可以协调多个网桥(交换机)共同工作, 使计算机网络可以避免因为一个接点的失败导致整个网络联接功能的丢失, 而且冗余设计的网络环路不会出现广播风暴。具体的内容,这里仅作简要介绍。图 4-2 STP 的应用如图 4-2,基本配置命令如下:Switch(config)#spanning
35、-tree /开启 STPSwitch(config)#spanning-tree priority 4096 /配置交换机的优先级为 4096Switch(config)#int f0/1Switch(config-if)#spanning-tree port-priority 32 /配置端口优先级为 32Switch(config-if)#switchport trunk allowed vlan 2 /这条命令配置trunk 中继链路只能转发该 vlan2但是,由于协议机制本身的局限,生成树协议通常需要 50 秒的时间才能完成拓扑收敛,极大地损坏了协议的使用性能。所以,一种基于 STP
36、 的 RSTP(rapid spanning tree protocol,快速生成树协议)应运而生,这种协议在网络结构发生变化时,能更快的收敛网络。(五)OSPF 配置OSPF(Open Shortest Path First 开放式最短路径优先 )是一个内部网关协议(Interior Gateway Protocol,简称 IGP),用于在单一自治系统(autonomous 校园网络规划和建设16system,AS)内决策路由。与 RIP 相比,OSPF 是链路状态路由协议,而 RIP 是距离矢量路由协议。可以划分区域是 OSPF 能多适应大型复杂网络的一个特性,这里仅作简要的说明,OSPF
37、 配置基本命令如下:Router(config)#router ospf process-id /自定义 process-idRouter(config-router)#network 192.168.1.0 0.0.0.255 area 0 /将指定路由器 192.168.1.0 所在的 0.0.0.255 子网配置进骨干域Router(config-router)#router-id 10.1.1.1 /配置路由器 id(六)ACL 的实现访问控制列表(Access Control List,ACL) 是路由器和交换机接口的指令列表,用来控制端口进出的数据包。ACL 适用于所有的被路由协议
38、,如IP、IPX、AppleTalk 等。这张表中包含了匹配关系、条件和查询语句,表只是一个框架结构,其目的是为了对某种访问进行控制。简单地说,ACL 就是包过滤,根据数据包的报头中的 ip 地址、协议端口号等信息进行过滤,利用 ACL 可以实现安全控制。ACL 并不复杂,但在实际应用中要想恰当地应用 ACL,必需要制定合理的策略。访问控制是网络安全防范和保护的主要策略。这里简单介绍一下在汇聚层交换机(实训楼)上配置访问控制列表,比如说,实训楼只能和服务器群进行通信,要求实训楼在每周星期一到星期五的早上 8:00到下午 18:00 不能访问 Internet 网,命令如下:huijuenabl
39、ehuiju#configure terminal /进入全局模式huiju(config)#time-range t /定义时间范围名称为 thuiju(config)#time-range t periodic weekday 8:00 to 18:00 /配置访问权限时间huiju(config)#access-list 110 deny ip 192.168.2.0 0.0.0.255 any time-range t /配置列表 110 在时间 t 范围内禁用 ip 协议 (七)NAT 的实现网络地址转换(NAT,Network Address Translation)属接入广域网(
40、WAN)技术,是一种将私有地址转化为合法 IP 地址的转换技术,它被广泛应用于各种类型Internet 接入方式和各种类型的网络中。原因很简单,NAT 不仅完美地解决了 IP地址不足的问题,而且还能够有效地避免来自网络外部的攻击,隐藏并保护网络内部的计算机。安徽工商职业学院 2012 届毕业论文(设计)17在接入路由器上进行配置,下面以路由器为例,内部网段 192.168.1.0 到网段 192.168.6.0 都用 207.160.211.11 进行动态转换,实现内部网络的上网问题。配置命令如下:Router(config)#ip nat pool m 207.160.211.1 207.1
41、60.211.254 Netmask 255.255.255.0 /配置全局 IP 地址池 mRouter (config)#access-list 1 permit 192.168.1.0 0.0.0.255Router (config)#access-list 1 permit 192.168.2.0 0.0.0.255Router (config)#access-list 1 permit 192.168.3.0 0.0.0.255Router (config)#access-list 1 permit 192.168.4.0 0.0.0.255Router (config)#acces
42、s-list 1 permit 192.168.5.0 0.0.0.255Router (config)#access-list 1 permit 192.168.6.0 0.0.0.255/设置允许访问的内部 IP 地址列表Router (config)#interface s1/0Router (config-if)#ip nat outsideRouter (config-if)#no shutdown /将路由器接口 s1/0 指定为外部端口Router (config)#interface f0/0Router (config-if)#ip nat insideRouter (con
43、fig-if)#no shutdownRouter (config)#interface f0/1Router (config-if)#ip nat insideRouter (config-if)#no shutdown /将路由器接口 f0/0 和 f1/0 指定为内部端口Router (config)#ip nat inside source list 1 pool m overload/配置端口地址转换(八)服务器的应用(1)www 服务器WWW 是建立在客户机服务器模型之上的。WWW 是以超文本标注语言HTML(Hyper Markup Language)与超文本传输协议 HTTP(
44、Hyper Text Transfer Protocol)为基础。能够提供面向 Internet 服务的、一致的用户界面的信息浏览系统。其中 WWW 服务器采用超文本链路来链接信息页,这些信息页既可放置在同一主机上,也可放置在不同地理位置的主机上;本链路由统一资源定位器(URL)维持,WWW 客户端软件(即 WWW 浏览器)负责信息显示与向服务器发送请求。 校园网络规划和建设18Internet 采用超文本和超媒体的信息组织方式,将信息的链接扩展到整个Internet 上。目前,用户利用 WWW 不仅能访问到 Web Server 的信息,而且可以访问到 FTP、Telnet 等网络服务。因此
45、,它已经成为 Internet 上应用最广和最有前途的访问工具,并在商业范围内日益发挥着越来越重要的作用。WWW 客户程序在Internet 上被称为 WWW 浏览器(Browser),它是用来浏览 Internet 上 WWW 主页的软件。目前,最流行的浏览器软件主要有 Netscape communicator 和Microsoft Internet Explorer。 WWW 浏览提供界面友好的信息查询接口,用户只需提出查询要求,至于到什么地方查询,如何查询则由 WWW 自动完成。因此 WWW为用户带来的是世界范围的超级文本服务。(2)FTP 服务器一般来说.用户联网的首要目的就是实现信
46、息共享,文件传输是信息共享非常重要的一个内容之一。Internet 上早期实现传输文件,并不是一件容易的事,我们知道 Internet 是一个非常复杂的计算机环境,有 PC,有工作站,有 MAC,有大型机,据统计连接在 Internet 上的计算机已有上千万台,而这些计算机可能运行不同的操作系统,有运行 Unix 的服务器,也有运行 Dos、Windows 的 PC 机和运行MacOS 的苹果机等等,而各种操作系统之间的文件交流问题,需要建立一个统一的文件传输协议,这就是所谓的 FTP。基于不同的操作系统有不同的 FTP 应用程序,而所有这些应用程序都遵守同一种协议,这样用户就可以把自己的文件
47、传送给别人,或者从其它的用户环境中获得文件。 与大多数 Internet 服务一样,FTP 也是一个客户机/服务器系统。用户通过一个支持 FTP 协议的客户机程序,连接到在远程主机上的 FTP 服务器程序。用户通过客户机程序向服务器程序发出命令,服务器程序执行用户所发出的命令,并将执行的结果返回到客户机。比如说,用户发出一条命令,要求服务器向用户传送某一个文件的一份拷贝,服务器会响应这条命令,将指定文件送至用户的机器上。客户机程序代表用户接收到这个文件,将其存放在用户目录中。(3)Data 服务器运行在局域网中的一台或多台计算机和数据库管理系统软件共同构成了数据库服务器,数据库服务器为客户应用
48、提供服务,这些服务是查询、更新、事务管理、索引、高速缓存、查询优化、安全及多用户存取控制等。数据库服务器提供监控性能、并发控制等工具。数据库服务器提供统一的数据库备份和恢复、启动和停止数据库的管理工具。 数据库服务器把数据管理及处理工作从客户机上分出来,使网络上各计算机的资源能各尽其用,学院一卡通、摄像头监控系统等设施主要也是基于此实现的。 安徽工商职业学院 2012 届毕业论文(设计)19(九)网络安全网络安全是指网络系统的硬件、软件及其系统中的数据受到保护,不因偶然的或者恶意的原因而遭受到破坏、更改、泄露,系统连续可靠正常地运行,网络服务不中断。计算机成为办公不可缺少的工具, 各个部门越来越依赖运行在网络之上的各种应用系统,如生财务系统、管理系统等等的支撑来开展日常工作。一旦网络瘫痪或者运行状态不佳,数据流就会受到阻塞,关键数据将不能得到有效的共享和传递, 最终将直接导致混乱。网络上时时刻刻都在传递着大量的信息,而互联网上病毒泛滥,如果电脑不注意防护,感染病毒,轻的丢失文件,电脑运行速度变慢,严重的会导致网络瘫痪, 给学院的网络运行带来隐患。主要从硬件和软件两个方面确保网络安全:1.硬件方面网络的物理安全是整个网络系统安全的前提。在校园网工程建设中,由于网络系统属于弱电工程,耐压值很低。因此,在网络工程的设计和施工中,必须优先考虑保护人和网络设备不受电、火灾和雷击的侵害;考
