校園網(wǎng)課程設(shè)計(jì)報(bào)告

1、校園網(wǎng)課程設(shè)計(jì)報(bào)告Jiangsu Uni vers i ty of Techno Iogy計(jì)算機(jī)網(wǎng)絡(luò)課程設(shè)計(jì)報(bào)告標(biāo)題： 院（部）： 班級(jí)：學(xué)生姓名： 學(xué)號(hào)：完成日期：灤陽南渡中學(xué)設(shè)計(jì)方案計(jì)算機(jī)科學(xué)與工程學(xué)院11媒體Z顏金花111451022013. 3.2013年 3月目錄第1章緒論第2章南渡中學(xué)網(wǎng)絡(luò)需求分析2.1需求分析2.2功能分析第3章詳細(xì)網(wǎng)絡(luò)設(shè)計(jì)方案3.1建設(shè)原則3.2主干網(wǎng)絡(luò)技術(shù)及設(shè)計(jì)3.3網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)及設(shè)計(jì)3.4核心層網(wǎng)絡(luò)建設(shè)及設(shè)備選擇3444555673.5匯聚層網(wǎng)絡(luò)建設(shè)及設(shè)備的選擇73.6接入層網(wǎng)絡(luò)建設(shè)及設(shè)備選擇93.7設(shè)計(jì)思路93.8傳輸介質(zhì)選型10第4章出口配置124.1靜

2、態(tài)NAT配置12113.9網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)134.2動(dòng)態(tài)NAT配置4.3策略路由15第5章網(wǎng)絡(luò)安全保障16第6章附錄17第 1 章 緒論當(dāng)今社會(huì)已步入信息社會(huì)，信息成為社會(huì)經(jīng)濟(jì)發(fā)展的核心因素， 信息化已成為當(dāng)今世界潮流。自從 1993 年美國(guó)政府公布實(shí)施“信息 高速公路計(jì)劃” 之后，在世界引起巨大反響， 許多發(fā)達(dá)國(guó)家和一些發(fā) 展中國(guó)家也相繼提出了本國(guó)或本地區(qū)的信息基礎(chǔ)設(shè)施計(jì)劃?？梢哉f， 信息化程度已成為衡量一個(gè)國(guó)家現(xiàn)代化水平和綜合國(guó)力強(qiáng)弱的重要 標(biāo)志。近年來國(guó)家加快改革教育體系， 以教育為立國(guó)之本， 建設(shè)一個(gè)高 度發(fā)達(dá)的國(guó)家教育體系。 為提高我國(guó)教育的現(xiàn)代化、 建立先進(jìn)高效的 教育體系， 提供更為

3、先進(jìn)的教育手段， 學(xué)校很有必要建設(shè)一個(gè)校園網(wǎng) 絡(luò)管理應(yīng)用系統(tǒng)， 這樣可以達(dá)到校園資源共享、 建立完備的數(shù)據(jù)交換 體系、快速的傳遞信息等目的。 順應(yīng)無紙教學(xué)， 無紙辦公的發(fā)展趨勢(shì)， 充分利用現(xiàn)代化技術(shù)來進(jìn)一步提高教學(xué)質(zhì)量和辦公效率。 校園網(wǎng)已成 為各學(xué)校必備的重要信息基礎(chǔ)設(shè)施， 其規(guī)模和應(yīng)用水平已成為衡量學(xué) 校教學(xué)與科研綜合實(shí)力的一個(gè)重要標(biāo)志。 在某學(xué)院校園網(wǎng)目前的實(shí)際 情況在充分調(diào)研的基礎(chǔ)上， 結(jié)合目前技術(shù)的發(fā)展方向和用戶的實(shí)際需 求，制訂了學(xué)院校園校園網(wǎng)建設(shè)的整體設(shè)計(jì)方案。 通過校園網(wǎng)的設(shè)計(jì) 與建設(shè)， 實(shí)現(xiàn)真正意義上的寬帶多媒體網(wǎng)絡(luò)， 為師生提供教學(xué)、 科研 和綜合信息服務(wù)。針對(duì)本項(xiàng)目，本文

4、做了以下工作：研究了數(shù)字化校園網(wǎng)的建設(shè)； 調(diào)查比較了大型組網(wǎng)設(shè)備的性能的優(yōu)缺點(diǎn)； 分析了部分高校校園網(wǎng)組 網(wǎng)技術(shù)方案； 研究了基于校園網(wǎng)平臺(tái)的信息安全問題； 實(shí)現(xiàn)了擁有教 學(xué)、科研、寬帶多媒體網(wǎng)絡(luò)和綜合信息服務(wù)的校園網(wǎng)的規(guī)劃設(shè)計(jì)。第 2 章 南渡中學(xué)網(wǎng)絡(luò)需求分析2.1 需求分析要求建立一個(gè)連接行政樓、圖書館，初中部和高中部各教學(xué)樓、辦公樓， 學(xué)生宿舍，網(wǎng)絡(luò)中心等區(qū)域的校園網(wǎng)：（1）實(shí)現(xiàn)各部門相連（2）教學(xué)樓區(qū)域有無線網(wǎng)絡(luò)信號(hào)覆蓋。（3）所有接入校園網(wǎng)的電腦都可以訪問校園網(wǎng)。（ 4）該網(wǎng)絡(luò)具有先進(jìn)的網(wǎng)絡(luò)硬件設(shè)備（交換機(jī)、路由器） ，服務(wù)器具有先進(jìn)性， 網(wǎng)絡(luò)操作系統(tǒng)、網(wǎng)絡(luò)數(shù)據(jù)庫(kù)系統(tǒng)具有先進(jìn)性。2.

5、2 功能分析（ 1）信息共享。有關(guān)學(xué)校的各種資料，各種信息，教學(xué)資料，一些最新的學(xué)校 公告等可通過網(wǎng)絡(luò)進(jìn)行查詢。（ 2）信息交流。可通過連接 Internet 實(shí)現(xiàn)與外部資訊的交流和溝通，從而獲取 當(dāng)今世界的最新信息。（3）課件系統(tǒng)。如電子幻燈片、多媒體交互教學(xué)等。（3）辦公自動(dòng)化。通過運(yùn)用先進(jìn)的計(jì)算機(jī)技術(shù)實(shí)現(xiàn)辦公自動(dòng)化，使學(xué)校的各種 行政、財(cái)務(wù)、日常辦公等計(jì)算機(jī)化，提高學(xué)校的辦事效率。（4）家庭辦公學(xué)習(xí)。向全校師生提供學(xué)習(xí)資料，交流平臺(tái)，提供在線答疑系統(tǒng) 和留言答疑系統(tǒng)，方便師生之間的聯(lián)系。（5）教務(wù)管理。為學(xué)生提供成績(jī)管理、學(xué)生信息管理、學(xué)校通知等服務(wù)。 同時(shí)，還應(yīng)具備檔案管理、學(xué)生管理、

6、教學(xué)管理、財(cái)務(wù)管理、物資管理等 網(wǎng)絡(luò)必須具備較高的性能和高度的安全性、可靠性、容錯(cuò)性。而且網(wǎng)絡(luò)系統(tǒng)能 平滑地向未來新技術(shù)過渡，保護(hù)已有的資源。第 3 章 詳細(xì)網(wǎng)絡(luò)設(shè)計(jì)方案3.1 建設(shè)原則網(wǎng)絡(luò)安全對(duì)于網(wǎng)絡(luò)系統(tǒng)來說是十分重要的，它直接關(guān)系到網(wǎng)絡(luò)的正常使用。 應(yīng)該采用一定的技術(shù)來控制網(wǎng)絡(luò)的安全性，從內(nèi)部和外部同時(shí)對(duì)網(wǎng)絡(luò)資源的訪 問進(jìn)行控制。當(dāng)前主要的網(wǎng)絡(luò)安全技術(shù)有，用戶身份驗(yàn)證， VLAN 劃分，防火 墻等技術(shù)，網(wǎng)絡(luò)系統(tǒng)還應(yīng)具備高度的數(shù)據(jù)安全性和保密性。校園網(wǎng)的特點(diǎn)決定 了網(wǎng)絡(luò)系統(tǒng)必需要有實(shí)用性與經(jīng)濟(jì)性。應(yīng)根據(jù)學(xué)校的實(shí)際情況，由于學(xué)校的建 設(shè)資金有限，所以一般都要求網(wǎng)絡(luò)具有較高的性價(jià)比，所以在建設(shè)校

7、園網(wǎng)時(shí)一 定要使用性價(jià)比高的網(wǎng)絡(luò)技術(shù)和網(wǎng)絡(luò)設(shè)備，以節(jié)約建設(shè)資金。3.2 主干網(wǎng)絡(luò)技術(shù)及設(shè)計(jì)（1）主干網(wǎng)絡(luò)技術(shù) 主要選擇千兆（適合于高校）或百兆以太網(wǎng)技術(shù)來構(gòu)建校園網(wǎng)絡(luò)，對(duì)兩層 結(jié)點(diǎn)和桌面微機(jī)的接入也采用快速以太網(wǎng)，建立一個(gè)基于多層、全交換的虛擬 園區(qū)網(wǎng)。從校園的建筑結(jié)構(gòu)來說，一般以樓宇為單位，每個(gè)樓由多個(gè)樓層組成， 整個(gè)樓可以作為一個(gè)相對(duì)獨(dú)立的網(wǎng)絡(luò)應(yīng)用單元考慮，多個(gè)功能相近的樓宇形成 一個(gè)建筑群。以太網(wǎng)采用分組交換方式，一個(gè)交換機(jī)就是一個(gè)交換中心，可以很容易地 組成星型或者樹型的網(wǎng)絡(luò)結(jié)構(gòu)。在樓宇內(nèi)部，每層樓通過一臺(tái)二層交換機(jī)來連 接該層信息點(diǎn)，整個(gè)樓用一臺(tái)二層 /三層交換機(jī)作為樓宇匯聚，多個(gè)樓

8、宇再匯聚 到核心骨干交換機(jī)上。樓層、樓宇、樓群與以太網(wǎng)的接入、匯聚、核心的樹型 結(jié)構(gòu)有著很好的對(duì)應(yīng)關(guān)系，網(wǎng)絡(luò)結(jié)構(gòu)層次清晰。以太網(wǎng)建網(wǎng)能夠提供性價(jià)比高 的網(wǎng)絡(luò)帶寬。路由協(xié)議工作在 OSI 參考模型的第 3 層。路由器具有在網(wǎng)絡(luò)中傳遞數(shù)據(jù)時(shí) 選擇最佳路徑的能力。除了可以完成主要的路由任務(wù)，利用訪問控制列表，路 由器還可以用來完成以路由器為中心的流量控制和過濾功能。在本規(guī)劃設(shè)計(jì)中，3內(nèi)網(wǎng)用戶不僅通過路由器接入因特網(wǎng)、內(nèi)網(wǎng)用戶之間也通過 3 層交換機(jī)上的路 由功能進(jìn)行數(shù)據(jù)包交換?，F(xiàn)代交換網(wǎng)絡(luò)引入了虛擬局域網(wǎng)的概念。 VLAN將廣播域限制在單個(gè) VLAN內(nèi) 部，減小了各 VLAN間主機(jī)的廣播通信對(duì)其他

9、VLAN的影響。在 VLAN間需要通信 的時(shí)候，可以利用 VLAN間路由技術(shù)來實(shí)現(xiàn)。為了簡(jiǎn)化交換網(wǎng)絡(luò)設(shè)計(jì)、提高交換 網(wǎng)絡(luò)的可擴(kuò)展性，在校園網(wǎng)內(nèi)部數(shù)據(jù)交換的部署是分層進(jìn)行的。校園網(wǎng)數(shù)據(jù)交 換設(shè)備可以劃分為三個(gè)層次：核心層、匯聚層、接入層。在本規(guī)劃設(shè)計(jì)中，也 將采用這三層進(jìn)行分開設(shè)計(jì)、配置。（2）主干網(wǎng)設(shè)計(jì)1、校園主干采用具有第三層交換功能的千兆位以太網(wǎng)，以滿足廣大用戶的 各種要求。2、主干建設(shè)應(yīng)能保護(hù)校園網(wǎng)的已有投資， 要求與原有校園網(wǎng)實(shí)施最佳連接， 并提供新校園網(wǎng)的管理方案與管理策略。3、新的主干設(shè)備應(yīng)能滿足 10000 用戶接入訪問的要求。4、支持虛擬網(wǎng)絡(luò)（ VLAN）。3.3 網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)

10、及設(shè)計(jì)匯聚層因校園網(wǎng)具有統(tǒng)一管理的要求，故局部拓?fù)浣Y(jié)構(gòu)為星狀，整個(gè)網(wǎng)絡(luò)成樹狀 結(jié)構(gòu)，網(wǎng)絡(luò)中心是網(wǎng)絡(luò)樹的樹干，網(wǎng)絡(luò)出口相當(dāng)于樹根。教學(xué)區(qū)、宿舍區(qū)、網(wǎng) 絡(luò)中心的匯聚交換機(jī)為樹干。整體設(shè)計(jì)遵照網(wǎng)絡(luò)的三層結(jié)構(gòu)：核心主干網(wǎng)， 網(wǎng)絡(luò)中心部門級(jí)網(wǎng)段：接入層基層網(wǎng)段：終端用戶1、核心主干網(wǎng)：是網(wǎng)絡(luò)的核心。對(duì)整個(gè)校園網(wǎng)進(jìn)行控制管理，以及控制與外網(wǎng) 的連接。2、部門級(jí)網(wǎng)段：此網(wǎng)絡(luò)方案中， 包括教學(xué)區(qū)、 宿舍區(qū)、網(wǎng)絡(luò)中心、行政辦公區(qū)。 受核心交換機(jī)的管理， 同時(shí)此網(wǎng)段對(duì)自己的區(qū)域具有獨(dú)自管理控制權(quán)。 根據(jù) 自己負(fù)責(zé)區(qū)域的需求，為基層網(wǎng)段提供相關(guān)服務(wù)和管理。3、基層網(wǎng)段：采用星型結(jié)構(gòu)，以達(dá)到網(wǎng)絡(luò)結(jié)構(gòu)簡(jiǎn)單，建網(wǎng)容易，配

11、置靈活，易 于擴(kuò)展的要求。同時(shí)，各站點(diǎn)只和中央節(jié)點(diǎn)相連接，便于集中控制和管理， 易于匯集各終端的信息和進(jìn)行用戶間的信息交換。3.4 核心層網(wǎng)絡(luò)建設(shè)及設(shè)備選擇（1）網(wǎng)絡(luò)建設(shè)：將各分布層交換機(jī)互連起來進(jìn)行穿越校園網(wǎng)骨干的高速數(shù) 據(jù)交換。實(shí)現(xiàn)數(shù)據(jù)包高速交換。核心層雙中心星形拓?fù)涞膬?yōu)點(diǎn)是較為簡(jiǎn)單，實(shí) 現(xiàn)設(shè)備，也可以很好的進(jìn)行網(wǎng)絡(luò)負(fù)載均衡。（2）設(shè)備選擇：核心層交換機(jī)是構(gòu)成網(wǎng)絡(luò)的重點(diǎn)，承擔(dān)著數(shù)據(jù)快速率、大 容量交換，大吞吐量等重任，以使整個(gè)網(wǎng)絡(luò)高容量、無阻塞、高可靠的運(yùn)行， 所以選用 Ciscoc atalyst6500，它與三層或二層交換機(jī)之間應(yīng)采用新增型多模光 纖連接。核心層1個(gè) 2端口 1000B

12、aseLx模塊、 24個(gè) 10/100BaseTx以太網(wǎng)口， 具有 MIB 管理模塊，交換容量 32Gbit/s，包過濾轉(zhuǎn)發(fā)率 18Mpps， 16Mb 緩存外接 Cisco 2821 路由器與光纖 Lan 專線上聯(lián)廣域網(wǎng)，實(shí)現(xiàn)辦公網(wǎng)到 Internet 的高速接入。3.5 匯聚層網(wǎng)絡(luò)建設(shè)及設(shè)備的選擇1）匯聚層網(wǎng)絡(luò)設(shè)備的選擇：匯聚層設(shè)備選用三臺(tái)思科WS-C3750-24TS-S （15000），WS-C3750系 列智能以太網(wǎng)交換機(jī)是一個(gè)新型的、可堆疊的、多層企 業(yè)級(jí)交換機(jī)系列，可以提供高水平的可用性、可擴(kuò)展性、服務(wù)質(zhì)量、安全性和 可改進(jìn)網(wǎng)絡(luò)運(yùn)營(yíng)的管理能力，從而提高網(wǎng)絡(luò)的運(yùn)行效率。 Catal

13、yst 3750 系列 包括一系列快速以太網(wǎng)和千兆位以太網(wǎng)配置，可以用全套千兆位接口轉(zhuǎn)換器設(shè) 備提供強(qiáng)大的千兆以太網(wǎng)連接；擁護(hù)第一次可以在整個(gè)網(wǎng)絡(luò)中部署智能化的服 務(wù)，例如先進(jìn)的服務(wù)質(zhì)量、速度限制、 CISCO安全訪問控制列表、多播管理和高 性能的 IP 路由，并于此同時(shí)保持了傳統(tǒng) LAN 交換的簡(jiǎn)便性。通過高性能的 IP 路由實(shí)現(xiàn)了網(wǎng)絡(luò)的可擴(kuò)展性，利用基于硬件的 IP 路由和增強(qiáng)型多層軟件鏡像， 基于 CISCO快速轉(zhuǎn)發(fā)的路由架構(gòu)有助于提高可擴(kuò)展性和性能，該體系結(jié)構(gòu)支持 極高速的搜索功能，并可確保必要的穩(wěn)定性和可擴(kuò)展性，以滿足未來的需求。該設(shè)備通過 1000Base-SX光纖上聯(lián)核心交換機(jī)，

14、 形成網(wǎng)絡(luò)的高速骨干。 C3750 以太網(wǎng)交換機(jī)是 24+2 規(guī)格結(jié)構(gòu)，接口為 10/100/1000Base-TX, 1000Base-FX/SX， 具有很高的性能和堆疊能力。通過使用增強(qiáng)多層軟件鏡像（EMI），可以提供路由、多層交換等功能，滿足三層交換的要求?？梢詽M足服務(wù)器群的高密度、高 速率的接入需要，也可以滿足因特網(wǎng)接入的需求。（ 2）VLAN 及 IP 地址的劃分初中 部VLAN1教學(xué)樓VLAN2辦公樓VLAN3宿舍樓高中 部VLAN4教學(xué)樓VLAN5辦公樓VLAN

15、宿舍樓192.1668.42.1服務(wù)VLAN文件服192.16器區(qū)7務(wù)器8.23.1VLAN數(shù)據(jù)服192.168務(wù)器8.33.1VLANDNS 服192.169務(wù)器8.43.1行政VLAN圖書館192.16區(qū)108.14.1VLAN11行政樓3.6 接入層網(wǎng)絡(luò)建設(shè)及設(shè)備選擇接入層利用 VLAN劃分等技術(shù)隔離網(wǎng)絡(luò)廣播風(fēng)暴，提高網(wǎng)絡(luò)效率，為所有的 終端用戶提供一個(gè)接入點(diǎn)。接入層交換機(jī)放置于樓層的設(shè)備間，用于終端用戶的接入。能夠提供高密 度的接入，對(duì)環(huán)境的適應(yīng)力要強(qiáng)，運(yùn)行穩(wěn)定，采用 10/100M 自適應(yīng)的普通交換 機(jī)即可， S1026T 交換機(jī)有 24 個(gè) 10/100M自

16、適應(yīng)端口， 2 個(gè) 1000M接口。3.7 設(shè)計(jì)思路網(wǎng)絡(luò)中心中圖教辦宿舍辦公宿73.8 傳輸介質(zhì)選型由于教學(xué)樓、辦公樓、學(xué)生宿舍距離網(wǎng)絡(luò)中心較遠(yuǎn)，使用光纖作為傳輸介質(zhì)。多模光纖的傳輸距離（ 3Km），多模光纖（ 550）。根據(jù)距離差異，采用 不同介質(zhì)布線：1）教學(xué)樓、辦公樓與學(xué)生宿舍采用單模光纖傳輸。2）單模比多模光纖昂貴，圖書館采用多模光纖傳輸。3）為減輕以太網(wǎng)給 5 類電纜的負(fù)重，考慮到經(jīng)費(fèi)問題，在核心層交換機(jī)與防火墻的另一內(nèi)網(wǎng)端口采用 6 類非屏蔽雙絞線互連。D、普通接入點(diǎn)依然采用 5 類雙絞線連接。3.9 網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)9第 4 章 出口配置4.1 靜態(tài) NAT 配置（1）靜態(tài)路由協(xié)議：

17、靜態(tài)路由是指由用戶或手工配置的路由信息。當(dāng)網(wǎng)絡(luò)的或鏈路的狀態(tài)發(fā)生變化 時(shí)，需要手工去修改中相關(guān)的靜態(tài)路由信息。靜態(tài)路由信息在缺省情況下是私 有的，不會(huì)傳遞給其他的。當(dāng)然，網(wǎng)管員也可以通過對(duì)進(jìn)行設(shè)置使之成為共享 的。靜態(tài)路由一般適用于比較簡(jiǎn)單的網(wǎng)絡(luò)環(huán)境，在這樣的環(huán)境中，網(wǎng)絡(luò)管理員 易于清楚地了解網(wǎng)絡(luò)的拓?fù)浣Y(jié)構(gòu)，便于設(shè)置正確的路由信息。在一個(gè)支持 DDR （dial-on-demand routing）的網(wǎng)絡(luò)中，撥號(hào)鏈路只在需要時(shí)才 撥通，因此不能為動(dòng)態(tài)路由信息表提供路由信息的變更情況。在這種情況下， 網(wǎng)絡(luò)也適合使用靜態(tài)路由。（配置 NAT 、靜態(tài)映射）：教育網(wǎng)分配的 IP 地址： 68.1.1.

18、1服務(wù)器內(nèi)網(wǎng) IP外網(wǎng) IPWWW服 務(wù)器FTP 服務(wù)器10DNS 服務(wù)器郵件 服務(wù)器RH(config-if)#ip address RH(config)#ipnatinsidesourcestatic #（配置WWW服務(wù)器靜態(tài)映射）RH(config)#ipnatoutsidesourcestatic #（配置

19、FTP 服務(wù)器靜態(tài)映射）RH(config)#ipnatoutsidesourcestatic #（配置DNS 服務(wù)器靜態(tài)映射）RH(config)#ipnatoutsidesourcestatic#（配置郵件 服務(wù)器靜 態(tài)映射)RH(config)#interface fastEthernet 0/0 RH(config-if)#ip nat inside RH(config-if)#exitRH(config)#interface fastEthernet 0/1RH(config-if)#ip nat out

20、sideRH(config-if)#exitRH(config-if)#ip route fastEthernet 0/04.2 動(dòng)態(tài) NAT 配置動(dòng)態(tài)路由器上的路由表項(xiàng)是通過相互連接的路由器之間交換彼此信息，然11后按照一定的算法優(yōu)化出來的，而這些路由信息是在一定時(shí)間間隙里不斷更新， 以適應(yīng)不斷變化的網(wǎng)絡(luò)，以隨時(shí)獲得最優(yōu)的尋路效果。為了實(shí)現(xiàn) IP 分組的高效 尋路， IETF 制定了多種尋路協(xié)議。其中用于自治系統(tǒng)內(nèi)部網(wǎng)關(guān)協(xié)議有開放式最 短路徑優(yōu)先協(xié)議和尋路信息協(xié)議所謂自治系統(tǒng)是指在同一實(shí)體（如學(xué)校、企業(yè) 或 ISP ）管理下的主機(jī)、路由器及其他網(wǎng)絡(luò)設(shè)備的集合。

21、還有用于自治域系統(tǒng)之 間的外部網(wǎng)絡(luò)路由協(xié)議 BGP4 等。根據(jù)是否在一個(gè)自治域內(nèi)部使用，動(dòng)態(tài)路 由協(xié)議分為內(nèi)部網(wǎng)關(guān)協(xié)議（ IGP ）和外部網(wǎng)關(guān)協(xié)議（ EGP ）。這里的自治域指一 個(gè)具有統(tǒng)一管理機(jī)構(gòu)、統(tǒng)一路由策略的網(wǎng)絡(luò)。自治域內(nèi)部采用的路由選擇協(xié)議 稱為內(nèi)部網(wǎng)關(guān)協(xié)議，常用的有 RIP 、OSPF；外部網(wǎng)關(guān)協(xié)議主要用于多個(gè)自治域 之間的路由選擇，常用的是 BGP和 BGP-4。下面分別進(jìn)行簡(jiǎn)要介紹。（配置 NAPT 、動(dòng)態(tài)映射）： 教育網(wǎng)分配的 IP 地址： RH（config）#ip nat pool to-internet netmask 2

22、RH(config)#access-list 55permitRH(config)#access-list 55permitRH(config)#access-list 55permitRH(config)#access-list 55permitRH(config)#access-list 55permitRH(config)#access-list 55

23、permitRH(config)#access-list 1permit12permit permit permit permit 55RH(config)#access-list 55RH(config)#access-list 55RH(config)#access-list 55RH(config)#access-list 55RH(config)#ip nat ins

24、ide source list 1 pool to-internet overloadRH(config)#ip nat inside source list 1 pool to-cernetoverload4.3 策略路由策略路由是一種比基于目標(biāo)網(wǎng)絡(luò)進(jìn)行路由更加靈活的數(shù)據(jù)包路由轉(zhuǎn)發(fā) 機(jī)制。應(yīng)用了策略路由，路由器將通過路由圖決定如何對(duì)需要路由的數(shù)據(jù)包進(jìn)行處理， 路由圖決定了一個(gè)數(shù)據(jù)包的下一跳轉(zhuǎn)發(fā)路由器。應(yīng)用策略路由， 必須要指定策略路由使用的路由圖， 并且要?jiǎng)?chuàng)建路由圖。 一個(gè)路由圖由很多條策略組成，每個(gè)策略都定義了 1 個(gè)或多個(gè)的匹配規(guī)則 和對(duì)應(yīng)操作。一個(gè)接口應(yīng)用策略路由后，將對(duì)該接口接收到的

25、所有包進(jìn)行 檢查，不符合路由圖任何策略的數(shù)據(jù)包將按照通常的路由轉(zhuǎn)發(fā)進(jìn)行處理， 符合路由圖中某個(gè)策略的數(shù)據(jù)包就按照該策略中定義的操作進(jìn)行處理。策略路由可以使數(shù)據(jù)包按照用戶指定的策略進(jìn)行轉(zhuǎn)發(fā)。 對(duì)于某些管理目 的，如 QoS需求或 VPN 拓?fù)浣Y(jié)構(gòu)，要求某些路由必須經(jīng)過特定的路徑，就 可以使用策略路由。例如，一個(gè)策略可以指定從某個(gè)網(wǎng)絡(luò)發(fā)出的數(shù)據(jù)包只 能轉(zhuǎn)發(fā)到某個(gè)特定的接口。13第 5 章 網(wǎng)絡(luò)安全保障網(wǎng)絡(luò)安全對(duì)于網(wǎng)絡(luò)系統(tǒng)來說是十分重要的，它直接關(guān)系到網(wǎng)絡(luò)的正常使 用。由于校園網(wǎng)與外部網(wǎng)進(jìn)行互聯(lián)特別是和 Internet 的互聯(lián)， Internet 是一個(gè) 開放式網(wǎng)絡(luò)系統(tǒng)，它的安全性是很差的。因此安

26、全問題更加重要。應(yīng)該采用一 定的技術(shù)來控制網(wǎng)絡(luò)的安全性，從內(nèi)部和外部同時(shí)對(duì)網(wǎng)絡(luò)資源的訪問進(jìn)行控制。 當(dāng)前主要的網(wǎng)絡(luò)安全技術(shù)有，用戶身份驗(yàn)證， VLAN劃分，防火墻等技術(shù)。（1）內(nèi)部網(wǎng)安全控制： 通過 VLAN的劃分，利用中心交換機(jī)上高性能路由 模塊的管理和控制，可以控制內(nèi)部各 VLAN間的訪問。（2）外聯(lián)網(wǎng)的安全控制： 網(wǎng)絡(luò)的安全問題主要是由網(wǎng)絡(luò)的開放性、無邊 界性、自由性造成的，所以考慮信息網(wǎng)絡(luò)的安全首先應(yīng)該考慮把被保護(hù)的網(wǎng)絡(luò) 由開放的、無邊界的網(wǎng)絡(luò)環(huán)境中獨(dú)立出來，成為可管理、可控制的安全的內(nèi)部 網(wǎng)絡(luò)。也只有做到這一點(diǎn)，實(shí)現(xiàn)信息網(wǎng)絡(luò)的安全才有可能，而最基本的分隔手 段就是防火墻。利用防火墻，可以實(shí)現(xiàn)內(nèi)部網(wǎng)與外部網(wǎng)絡(luò)（如因特網(wǎng)）之間或 是內(nèi)部網(wǎng)不同網(wǎng)絡(luò)安全域的隔離與訪問控制，保證網(wǎng)絡(luò)系統(tǒng)及網(wǎng)絡(luò)服務(wù)的可用 性。（3）撥號(hào)訪問的安全設(shè)計(jì)： 對(duì)于從外部撥號(hào)訪問中心內(nèi)部局域網(wǎng)的用戶