校園網(wǎng)絡(luò)設(shè)計(jì)畢業(yè)論文

1、前前 言言21 世紀(jì)是信息產(chǎn)業(yè)的時(shí)代，全球信息電子化的潮流勢(shì)不可擋，是知識(shí)經(jīng)濟(jì)的時(shí)代，人們所需求的信息量也就會(huì)越來(lái)越大，計(jì)算機(jī)被廣泛應(yīng)用于企業(yè)、政府部門、學(xué)校、家庭，給社會(huì)生活帶來(lái)了深刻的變革。隨著信息技術(shù)和互聯(lián)網(wǎng)的發(fā)展，信息化已經(jīng)滲透到人類社會(huì)的方方面面，并逐漸改變著人們的工作、學(xué)習(xí)和生活方式。校園網(wǎng)絡(luò)作為現(xiàn)代教育技術(shù)手段，是全面實(shí)施素質(zhì)教育的重要內(nèi)容，是教育面向現(xiàn)代化、面向世界、面向未來(lái)的物質(zhì)基礎(chǔ)，是一流基礎(chǔ)教育的重要標(biāo)志。在計(jì)算機(jī)時(shí)代早期，眾所周知的巨型機(jī)時(shí)代，計(jì)算機(jī)世界被稱為分時(shí)系統(tǒng)的大系統(tǒng)所統(tǒng)治。在七十年代，大的分時(shí)系統(tǒng)被更小的微機(jī)系統(tǒng)所取代。遠(yuǎn)程終端計(jì)算機(jī)系統(tǒng)是在分時(shí)計(jì)算機(jī)系統(tǒng)基礎(chǔ)

2、上，通過(guò) Modem（調(diào)制解調(diào)器）和 PSTN（公用電話網(wǎng)）把計(jì)算機(jī)資源向地理上分布的許多遠(yuǎn)程終端用戶提供共享資源服務(wù)的。遠(yuǎn)程終端用戶似乎已經(jīng)感覺(jué)到使用計(jì)算機(jī)網(wǎng)絡(luò)的味道了。在遠(yuǎn)程終端計(jì)算機(jī)系統(tǒng)基礎(chǔ)上，人們開(kāi)始研究把計(jì)算機(jī)與計(jì)算機(jī)通過(guò) PSTN 等已有的通信系統(tǒng)互聯(lián)起來(lái)。1969 年 12 月， Internet 的前身-美國(guó)的 ARPA 網(wǎng)投入運(yùn)行，它標(biāo)志著我們常稱的計(jì)算機(jī)網(wǎng)絡(luò)的興起。八十年代初，隨著 PC 個(gè)人微機(jī)應(yīng)用的推廣，PC 聯(lián)網(wǎng)的需求也隨之增大，各種基于 PC 互聯(lián)的微機(jī)局域網(wǎng)紛紛出臺(tái)。計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)是非常復(fù)雜的系統(tǒng)，計(jì)算機(jī)之間相互通信涉及到許多復(fù)雜的技術(shù)問(wèn)題，為實(shí)現(xiàn)計(jì)算機(jī)網(wǎng)絡(luò)通信，

3、計(jì)算機(jī)網(wǎng)絡(luò)采用的是分層解決網(wǎng)絡(luò)技術(shù)問(wèn)題的方法。但是，由于存在不同的分層網(wǎng)絡(luò)系統(tǒng)體系結(jié)構(gòu)，它們的產(chǎn)品之間很難實(shí)現(xiàn)互聯(lián)。為此，國(guó)際標(biāo)準(zhǔn)化組織 ISO 在 1984 年正式頒布了開(kāi)放系統(tǒng)互連基本參考模型OSI 國(guó)際標(biāo)準(zhǔn)，使計(jì)算機(jī)網(wǎng)絡(luò)體系結(jié)構(gòu)實(shí)現(xiàn)了標(biāo)準(zhǔn)化。進(jìn)入九十年代，計(jì)算機(jī)技術(shù)、通信技術(shù)以及建立在計(jì)算機(jī)和網(wǎng)絡(luò)技術(shù)基礎(chǔ)上的計(jì)算機(jī)網(wǎng)絡(luò)技術(shù)得到了迅猛的發(fā)展。摘摘 要要在當(dāng)今社會(huì)中，信心已成為一種關(guān)鍵的戰(zhàn)略資源。為了使信息能準(zhǔn)確、高速地在各種型號(hào)的計(jì)算機(jī)、終端機(jī)、電話機(jī)、傳真機(jī)等通訊設(shè)備之間傳遞，世界上有不少發(fā)達(dá)國(guó)家正在興建信息高速公路。21 世紀(jì)將是 Inetr-Netwoeking(聯(lián)網(wǎng)機(jī)器)、Clie

4、nt/Server 和多媒體整合的年代?，F(xiàn)在“聯(lián)網(wǎng)機(jī)器”的概念代替了“機(jī)器聯(lián)網(wǎng)”的傳統(tǒng)概念。也就是說(shuō)，當(dāng)一個(gè)企業(yè)或一個(gè)政府部門在規(guī)劃電腦系統(tǒng)時(shí)，先從建網(wǎng)開(kāi)始，在根據(jù)具體需求將各種型號(hào)的大、中、小型計(jì)算機(jī)以及微機(jī)掛在網(wǎng)上，從根本上避免了“機(jī)器聯(lián)網(wǎng)”造成的開(kāi)放性不良的被動(dòng)局面。因此，在新建大樓或舊樓改造的工程中迫切需要一種先進(jìn)的布線系統(tǒng)來(lái)鋪設(shè)信息高速公路。校園網(wǎng)主要用于學(xué)校內(nèi)部網(wǎng)絡(luò)通信，也會(huì)利用因特網(wǎng)進(jìn)行外部上網(wǎng)活動(dòng)，但是，網(wǎng)絡(luò)流量主要集中于校園網(wǎng)內(nèi)部，因此對(duì)網(wǎng)絡(luò)交換能力要求較高，校園網(wǎng)上網(wǎng)會(huì)有多媒體教學(xué)，視頻點(diǎn)播等多種帶寬應(yīng)用?？梢猿浞掷没ヂ?lián)網(wǎng)資源來(lái)宣傳學(xué)校，展示學(xué)校的辦學(xué)能力與辦學(xué)水平，展示

5、教師的教學(xué)能力與科研能力，提升學(xué)校的辦學(xué)形象。校內(nèi)信息服務(wù)能為教育教學(xué)和管理決策提供各項(xiàng)信息服務(wù)，能為全校師生提供相互交流、相互學(xué)習(xí)的平臺(tái)。關(guān)鍵字關(guān)鍵字:計(jì)算機(jī)網(wǎng)絡(luò)，局域網(wǎng)，網(wǎng)絡(luò)互聯(lián)，網(wǎng)絡(luò)設(shè)計(jì)方案計(jì)算機(jī)網(wǎng)絡(luò)，局域網(wǎng)，網(wǎng)絡(luò)互聯(lián)，網(wǎng)絡(luò)設(shè)計(jì)方案目 錄第一章 需求分析.11.1 校園網(wǎng)建網(wǎng)需求.11.2 部門機(jī)構(gòu)應(yīng)用需求.11.3 網(wǎng)絡(luò)系統(tǒng)性能需求.1第二章 網(wǎng)絡(luò)系統(tǒng)總體設(shè)計(jì).32.1 系統(tǒng)總體設(shè)計(jì)方案概述.32.1.1 網(wǎng)絡(luò)設(shè)計(jì)原則 .32.1.2 網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu) .42.1.3 IP 地址規(guī)劃和 VLAN 的劃分 .42.1.4 網(wǎng)絡(luò)設(shè)備選型 .52.2 交換模塊設(shè)計(jì).52.2.1 核心層交換服務(wù)

6、.52.2.2 匯聚層交換服務(wù) .62.2.3 接入層交換服務(wù) .72.3 廣域網(wǎng)接入模塊設(shè)計(jì).7第三章綜合布線.83.1 綜合布線.83.1.1.綜合布線模塊劃分 .83.1.2 綜合布線的特點(diǎn) .93.1.3 設(shè)計(jì)規(guī)范的確定 .93.1.4 布線要求 .103.2 系統(tǒng)設(shè)計(jì).103.2.2 水平子系統(tǒng)的設(shè)計(jì) .103.2.3 管理子系統(tǒng)的設(shè)計(jì) .103.2.4 干線子系統(tǒng)的設(shè)計(jì) .113.2.5 設(shè)備間子系統(tǒng)的設(shè)計(jì) .113.3 樓宇布線結(jié)構(gòu)設(shè)計(jì)與設(shè)備具體分布.123.3.1 實(shí)訓(xùn)樓設(shè)備分布 .123.3.2 綜合樓設(shè)備分布 .133.3.3 實(shí)驗(yàn)樓設(shè)備分布 .143.3.4 老教學(xué)樓設(shè)備

7、分布 .143.3.5 體育館設(shè)備分布 .153.4 施工進(jìn)度控制.153.5 綜合布線系統(tǒng)的預(yù)算設(shè)計(jì)方式 .16第四章 網(wǎng)絡(luò)系統(tǒng)設(shè)計(jì)的實(shí)現(xiàn).184.1 配置核心層.184.2 配置匯聚層.194.3 配置廣域網(wǎng)接入模塊-路由器.21第五章 網(wǎng)絡(luò)安全與防護(hù)技術(shù).235.1 計(jì)算機(jī)網(wǎng)絡(luò)安全 .235.1.1 計(jì)算機(jī)網(wǎng)絡(luò)安全的目的和功能 .235.1.2 網(wǎng)絡(luò)安全的潛在威脅 .235.1.3 網(wǎng)絡(luò)安全的策略 .245.2 防火墻技術(shù) .245.2.1 防火墻的概念 .245.2.2 防火墻的作用和特性 .245.2.3 實(shí)現(xiàn)防火墻的主要技術(shù) .255.2.4 防火墻的體系結(jié)構(gòu) .255.2.5 防

8、火墻選擇原則 .265.3 上網(wǎng)行為管理主要功能.265.3.1 原理 .265.3.2 網(wǎng)頁(yè)訪問(wèn)過(guò)濾 .265.3.3 網(wǎng)絡(luò)應(yīng)用控制 .26參考文獻(xiàn).30第一章第一章 需求分析需求分析遼寧水利職業(yè)學(xué)院校園網(wǎng)的建設(shè)是合乎目的性和規(guī)律性的統(tǒng)一體，要想在網(wǎng)絡(luò)建設(shè)的過(guò)程中始終把握設(shè)計(jì)尺度，必須事先做好充分的需求分析。需求分析的過(guò)程是網(wǎng)絡(luò)設(shè)計(jì)的起點(diǎn)，跨出這一步，后面得工作才能開(kāi)展。1.1 校園網(wǎng)建網(wǎng)需求校園網(wǎng)建網(wǎng)需求校園網(wǎng)必須具備教學(xué)、管理和通訊三大功能。教師可以方面地瀏覽和查詢網(wǎng)上資源，進(jìn)行教學(xué)和科研工作；學(xué)生可以方便地瀏覽和查詢網(wǎng)上資源實(shí)現(xiàn)遠(yuǎn)程學(xué)習(xí)；學(xué)校的管理人員可方便地對(duì)教務(wù)、行政事務(wù)、學(xué)生信息

9、、財(cái)務(wù)等進(jìn)行綜合的管理，同時(shí)可以實(shí)現(xiàn)各管理層之間的信息數(shù)據(jù)交換，實(shí)現(xiàn)網(wǎng)上信息采集和處理的自動(dòng)化，實(shí)現(xiàn)信息和設(shè)備的資源共享。因此，校園網(wǎng)的建設(shè)必須有明確的建設(shè)目標(biāo)。1.2 部門機(jī)構(gòu)應(yīng)用需求部門機(jī)構(gòu)應(yīng)用需求綜合樓：辦公網(wǎng)絡(luò)，網(wǎng)絡(luò)帶寬的需求較低，但非常注重安全性。而在網(wǎng)絡(luò)中傳輸?shù)氖谴罅繑?shù)據(jù)文件，視頻會(huì)議系統(tǒng)大多采用組播方式實(shí)現(xiàn)，因此，對(duì)帶寬的要求不高。實(shí)訓(xùn)樓：多媒體教室需要網(wǎng)絡(luò)來(lái)滿足上課的需要。網(wǎng)絡(luò)中心：管理校園網(wǎng)整個(gè)網(wǎng)絡(luò)，必須確保網(wǎng)絡(luò)中心的正常運(yùn)行。圖書館：電子閱覽室，方便同學(xué)從校內(nèi)或者校外查閱各種網(wǎng)上的書籍和資料。允許校校之間的互聯(lián)，實(shí)現(xiàn)教育圖書的資源共享。老樓：節(jié)點(diǎn)少,對(duì)網(wǎng)絡(luò)的數(shù)據(jù)傳輸量不大。

10、學(xué)生宿舍：節(jié)點(diǎn)密集，課余時(shí)間網(wǎng)絡(luò)流量較大，且多數(shù)為多媒體數(shù)據(jù)流，對(duì)網(wǎng)絡(luò)帶寬的需求較大。1.3 網(wǎng)絡(luò)系統(tǒng)性能需求網(wǎng)絡(luò)系統(tǒng)性能需求接入速率需求：接入速率最基本的是由端口速率決定的。對(duì)于骨干層、核心層的端口速率需要支持雙絞線、光纖的千兆位，甚至萬(wàn)兆位速率，接入層需要百兆位到桌面。響應(yīng)時(shí)間：指從用戶發(fā)出指令到網(wǎng)絡(luò)響應(yīng)并開(kāi)始執(zhí)行用戶指令所需的時(shí)間，響應(yīng)時(shí)間越短，性能就越好，效率越高。局域網(wǎng)的響應(yīng)時(shí)間通常為 1ms2ms，要求越高，所對(duì)應(yīng)的網(wǎng)絡(luò)設(shè)備配置就越高檔，成本也就越高。對(duì)于一般的文字工作，通常的響應(yīng)標(biāo)準(zhǔn)是可以滿足的，但對(duì)于大容量的多媒體文件傳輸，如視頻點(diǎn)播、遠(yuǎn)程視頻教學(xué)等，響應(yīng)時(shí)間就不能按正常標(biāo)準(zhǔn)要

11、求那么高了，因?yàn)檫@樣會(huì)對(duì)整個(gè)網(wǎng)絡(luò)硬件，特別是服務(wù)器配置要求相當(dāng)高，會(huì)大大增加成本。并發(fā)用戶數(shù)支持：并發(fā)用戶數(shù)支持是指某一系統(tǒng)可以承載的同時(shí)訪問(wèn)的用戶數(shù)，支持的并發(fā)用戶數(shù)越多，系統(tǒng)性能越好，當(dāng)然所需的配置就越高檔。并發(fā)用戶數(shù)是指對(duì)相應(yīng)應(yīng)用服務(wù)器的性能要求，通常是由服務(wù)器的整體硬件配置決定的。第二章第二章 網(wǎng)絡(luò)系統(tǒng)總體設(shè)計(jì)網(wǎng)絡(luò)系統(tǒng)總體設(shè)計(jì)網(wǎng)絡(luò)系統(tǒng)總體設(shè)計(jì)是一項(xiàng)復(fù)雜的創(chuàng)作，要嚴(yán)格遵循網(wǎng)絡(luò)設(shè)計(jì)原則。網(wǎng)絡(luò)設(shè)計(jì)策略是采取自上而下的方法。采用這種方法時(shí)，首先確定網(wǎng)絡(luò)應(yīng)用程序和服務(wù)的需求，然后設(shè)計(jì)能夠支持它們的網(wǎng)絡(luò)。使用這種分層結(jié)構(gòu)設(shè)計(jì)思想，這在層次結(jié)構(gòu)分明的以太網(wǎng)中，具有高度的靈活性和可擴(kuò)展性。2.1 系統(tǒng)

12、總體設(shè)計(jì)方案概述系統(tǒng)總體設(shè)計(jì)方案概述2.1.1 網(wǎng)絡(luò)設(shè)計(jì)原則網(wǎng)絡(luò)設(shè)計(jì)原則校園網(wǎng)連接了包括綜合樓、實(shí)訓(xùn)樓、實(shí)驗(yàn)樓、老樓、學(xué)生宿舍等大量的信息點(diǎn)，學(xué)校管理、教育科研、電子教學(xué)、遠(yuǎn)程教育和互聯(lián)網(wǎng)的引入以及對(duì)外技術(shù)交流與合作服務(wù)等大量的業(yè)務(wù)，要求校園網(wǎng)必須是一個(gè)實(shí)用的、高可靠、高效率、高擴(kuò)展性、高安全性系統(tǒng)。為實(shí)現(xiàn)校園網(wǎng)絡(luò)高質(zhì)、高效互聯(lián)的目標(biāo)要求，在網(wǎng)絡(luò)設(shè)計(jì)構(gòu)建中，應(yīng)始終堅(jiān)持以下建網(wǎng)原則：高可靠性：網(wǎng)絡(luò)系統(tǒng)的穩(wěn)定可靠是應(yīng)用系統(tǒng)正常運(yùn)行的關(guān)鍵保證，在網(wǎng)絡(luò)設(shè)計(jì)中選用高可靠性網(wǎng)絡(luò)產(chǎn)品，設(shè)備充分考慮冗余、容錯(cuò)能力和備份，同時(shí)合理設(shè)計(jì)網(wǎng)絡(luò)架構(gòu)，制訂可靠的網(wǎng)絡(luò)備份策略，保證網(wǎng)絡(luò)具有故障自愈的能力，最大限度地支持系

13、統(tǒng)的正常運(yùn)行。主干網(wǎng)絡(luò)設(shè)備的主要部件必須支持帶電熱插拔，在萬(wàn)一出現(xiàn)局部故障時(shí)應(yīng)不影響網(wǎng)絡(luò)其他部分的運(yùn)行，并且故障便于診斷和排除。充分體現(xiàn)計(jì)算機(jī)網(wǎng)絡(luò)的高可靠性。技術(shù)先進(jìn)性和實(shí)用性：保證滿足校園業(yè)務(wù)應(yīng)用系統(tǒng)業(yè)務(wù)的同時(shí)，又要體現(xiàn)出網(wǎng)絡(luò)系統(tǒng)的先進(jìn)性。在網(wǎng)絡(luò)設(shè)計(jì)中要把先進(jìn)的技術(shù)與現(xiàn)有的成熟技術(shù)和標(biāo)準(zhǔn)結(jié)合起來(lái)，充分考慮網(wǎng)絡(luò)應(yīng)用的現(xiàn)狀和未來(lái)發(fā)展趨勢(shì)。靈活性及可擴(kuò)展性：根據(jù)未來(lái)業(yè)務(wù)的增長(zhǎng)和變化，網(wǎng)絡(luò)可以平滑地?cái)U(kuò)充和升級(jí)，減少最大程度的減少對(duì)網(wǎng)絡(luò)架構(gòu)和現(xiàn)有設(shè)備的調(diào)整。可管理性：對(duì)網(wǎng)絡(luò)實(shí)行集中監(jiān)測(cè)、分權(quán)管理，并統(tǒng)一分配帶寬資源。選用先進(jìn)的網(wǎng)絡(luò)管理平臺(tái)，具有對(duì)設(shè)備、端口等的管理、流量統(tǒng)計(jì)分析，及可提供故障自動(dòng)報(bào)警。

14、安全性：制訂統(tǒng)一的網(wǎng)絡(luò)安全策略，整體考慮網(wǎng)絡(luò)平臺(tái)的安全性。2.1.2 網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)圖 2-1 是學(xué)校綜合樓網(wǎng)絡(luò)拓?fù)鋱D：圖 2-12.1.3 IP 地址規(guī)劃和地址規(guī)劃和 VLAN 的劃分的劃分使用子網(wǎng)劃分技術(shù)，大部分網(wǎng)絡(luò)能夠獲得較好的地址規(guī)劃。但在校園網(wǎng)中，由于網(wǎng)絡(luò)的數(shù)量與主機(jī)的數(shù)量比例不平衡，這里就需要可變長(zhǎng)的子網(wǎng)掩碼（VLSM）技術(shù)作為規(guī)劃的依據(jù)。VLAN 用于將數(shù)據(jù)流分類和分離以及控制單個(gè)配線間和大樓內(nèi)的廣播數(shù)據(jù)流。IP 劃分如下表 2-1網(wǎng)絡(luò)中心網(wǎng)絡(luò)中心192.168.100.0255.255.255.0Vlan100綜合樓子網(wǎng)號(hào)子網(wǎng)掩碼Vlan總務(wù)處192.168.2.02

15、55.255.255.0Vlan2學(xué)生處192.168.3.0255.255.255.0Vlan3教務(wù)處192.168.4.0255.255.255.0Vlan4財(cái)務(wù)處192.168.5.0255.255.255.0Vlan5子網(wǎng)號(hào)子網(wǎng)掩碼Vlan信電系辦公室192.168.19.0255.255.255.0Vlan19校長(zhǎng)室192.168.20.0255.255.255.0Vlan20圖書管192.168.18.0255.255.255.0Vlan18實(shí)訓(xùn)樓子網(wǎng)號(hào)子網(wǎng)掩碼Vlan計(jì)算機(jī)實(shí)訓(xùn)室 1192.168.6.0255.255.255.0Vlan6計(jì)算機(jī)實(shí)訓(xùn)室 2192.168.7.02

16、55.255.255.0Vlan7計(jì)算機(jī)實(shí)訓(xùn)室 3192.168.8.0255.255.255.0Vlan8計(jì)算機(jī)實(shí)訓(xùn)室 4192.168.9.0255.255.255.0Vlan9多媒體教室192.168.10.0255.255.255.0Vlan10實(shí)驗(yàn)樓子網(wǎng)號(hào)子網(wǎng)掩碼Vlan教研室192.168.11.0255.255.255.0Vlan11實(shí)驗(yàn)室192.168.12.0255.255.255.0Vlan12表 2-1 校園網(wǎng) IP 規(guī)劃表2.1.4 網(wǎng)絡(luò)設(shè)備選型網(wǎng)絡(luò)設(shè)備選型1、核心層交換機(jī)選擇核心交換機(jī)采用模塊化三層交換機(jī)，配置 1 或 2 塊交換路由板，1 個(gè)雙絞線業(yè)務(wù)板和若干塊光接

17、口模塊業(yè)務(wù)板。對(duì)于模塊化三層交換機(jī)，用戶可任意選擇不同數(shù)量、不同速率和不同接口類型的模塊，以適應(yīng)千變?nèi)f化的網(wǎng)絡(luò)需求。而且模塊化交換機(jī)大都有很強(qiáng)的容錯(cuò)能力，支持交換模塊的冗余備份，并且往往擁有可熱插拔的雙電源，以保證交換機(jī)的電力供應(yīng)。2、匯聚層交換機(jī)選擇區(qū)域匯聚層交換機(jī)選擇具有安全控制能力和 QoS 保障能力，擁有較多 GBIC 或 SFP 端口的三層固定配置交換機(jī)。 。3、接入交換機(jī)選擇接入層交換機(jī)采用可網(wǎng)管的交換機(jī)，實(shí)現(xiàn)對(duì)每臺(tái)接入計(jì)算機(jī)的控制，實(shí)現(xiàn)VLAN、PVLAN 的劃分，確保最大限度的網(wǎng)絡(luò)訪問(wèn)安全。根據(jù)接入計(jì)算機(jī)的數(shù)量，可以靈活的選擇 24 口或 48 口的交換機(jī)。2.2 交換模塊設(shè)計(jì)

18、交換模塊設(shè)計(jì)2.2.1 核心層交換服務(wù)核心層交換服務(wù)1、路由冗余：核心交換機(jī)是整個(gè)網(wǎng)絡(luò)的核心和心臟，如果發(fā)生致命性的故障，將導(dǎo)致本地網(wǎng)絡(luò)的癱瘓，所造成的損失也是難以估計(jì)的。因此，對(duì)三層路由采用熱備份是提高網(wǎng)絡(luò)可靠性的必然選擇。在一個(gè)三層路由完全不能工作的情況下，它的全部功能便被系統(tǒng)中的另一個(gè)備份路由完全接管，直至出現(xiàn)問(wèn)題的路由器恢復(fù)正常，這就是熱備份路由協(xié)議（Hot Stand by Router Protocol） 。2、冗余鏈路：通過(guò)在核心層部署冗余鏈路，可確保發(fā)生故障時(shí)網(wǎng)絡(luò)設(shè)備能找到替代路徑來(lái)發(fā)送數(shù)據(jù)。核心層使用了第三層設(shè)備，則除備用外，這些冗余鏈路還可用于負(fù)載均衡。對(duì)于一個(gè)網(wǎng)絡(luò)的負(fù)載均

19、衡，可以從網(wǎng)絡(luò)的不同層次入手，由于核心層的業(yè)務(wù)量分布比較高，所以在核心層可以采用傳輸鏈路聚合。鏈路聚合技術(shù)為消除傳輸鏈路上的瓶頸與不安全因素提供了成本低廉的解決方案。3、互聯(lián)拓?fù)洌壕W(wǎng)絡(luò)中的大多數(shù)核心層都采用全互聯(lián)或部分互聯(lián)拓?fù)洹Ｔ谌ヂ?lián)拓?fù)渲?，任何兩臺(tái)設(shè)備都直接相連。雖然全互聯(lián)拓?fù)渚哂腥嫒哂嗟膬?yōu)點(diǎn)，但難以布線和管理且成本高昂。對(duì)于大型網(wǎng)絡(luò)，通常采用部分互聯(lián)拓?fù)洹Ｔ诓糠只ヂ?lián)拓?fù)渲?，每臺(tái)設(shè)備至少與其他兩臺(tái)設(shè)備相連，這提供了足夠的冗余，同時(shí)比全互聯(lián)拓?fù)浜?jiǎn)單。4、安全機(jī)制：在控制平面，防止非法路由更新報(bào)文導(dǎo)致的網(wǎng)絡(luò)癱瘓；在管理平面，利用 SNMPv3 網(wǎng)管協(xié)議，提供基于 802.1x、AAA/Rad

20、ius 的用戶身份認(rèn)證以及分級(jí)的用戶權(quán)限管理保證了設(shè)備管理的安全性；在轉(zhuǎn)發(fā)平面，支持 IP、VLAN 、MAC 和端口等多種組合精細(xì)綁定。2.2.2 匯聚層交換服務(wù)匯聚層交換服務(wù)匯聚層是接入層和核心層之間的路由選擇邊界，也是遠(yuǎn)程站點(diǎn)和核心層之間的連接點(diǎn)。主要提供了用戶的匯聚功能和服務(wù)質(zhì)量保證的功能。在匯聚層能夠真正做到通過(guò)識(shí)別用戶及應(yīng)用提供不同的服務(wù)質(zhì)量保證。匯聚層的多層交換機(jī)提供了眾多功能，有助于實(shí)現(xiàn)網(wǎng)絡(luò)設(shè)計(jì)目標(biāo)，同時(shí)減輕核心層設(shè)備的壓力。這些功能包括有：過(guò)濾和管理數(shù)據(jù)流；實(shí)施訪問(wèn)控制策略；向核心層通告路由前對(duì)路由進(jìn)行匯總；防止接入層故障或中斷影響核心層；在接入層 VLAN 之間進(jìn)行路由選擇

21、。匯聚層設(shè)備還用于在數(shù)據(jù)進(jìn)入園區(qū)核心層前管理隊(duì)列和確定數(shù)據(jù)流的優(yōu)先順序。1、匯聚層的路由選擇：匯聚層設(shè)備提供的三層路由功能，可以為二層上不同 VLAN 之間進(jìn)行路由選擇；另一個(gè)重要功能是路由匯總，也叫路由聚合。路由匯總給網(wǎng)絡(luò)帶來(lái)了很多好處，其中包括：路由選擇表中的一條路由可代表眾多其他路由，這縮小了路由選擇表；減少了網(wǎng)絡(luò)中的路由選擇更新數(shù)據(jù)流；降低了核心設(shè)備的開(kāi)銷。2、匯聚層的交換：成對(duì)地部署多層交換機(jī)，并在它們之間平均地分配接入層交換機(jī)。這種配置稱為大樓交換塊。每個(gè)交換塊獨(dú)立運(yùn)行，這樣，單臺(tái)設(shè)備發(fā)生故障便不會(huì)導(dǎo)致整個(gè)網(wǎng)絡(luò)癱瘓，甚至整個(gè)交換塊出現(xiàn)故障也不會(huì)影響太多終端用戶。2.2.3 接入層交

22、換服務(wù)接入層交換服務(wù)1、接入層堆疊設(shè)計(jì)：接入層網(wǎng)絡(luò)是純二層交換網(wǎng)絡(luò)，提供用戶的網(wǎng)絡(luò)接入。由于接入層設(shè)備需要部署在樓層，因此要求這些設(shè)備容易管理并且投資成本少。對(duì)于計(jì)算機(jī)機(jī)房、電子閱覽室、學(xué)生公寓等接入計(jì)算機(jī)數(shù)量很大的接入場(chǎng)所，應(yīng)當(dāng)采用可堆疊交換機(jī)，以提供大量的 100 Mbps 端口。接入交換機(jī)之間以高速堆疊模塊相互連接在一起，并借助1000Mbps 鏈路實(shí)現(xiàn)與匯聚層交換機(jī)之間的連接。為了提高網(wǎng)絡(luò)穩(wěn)定性和網(wǎng)絡(luò)帶寬，可以將24 條千兆位鏈路綁定在一起借助鏈路匯聚技術(shù)實(shí)現(xiàn)鏈路冗余、負(fù)載均衡和帶寬倍增，以確保所有計(jì)算機(jī)都能夠無(wú)阻塞地實(shí)現(xiàn)與校園網(wǎng)絡(luò)的連接。2、接入層鏈路匯聚設(shè)計(jì)：如果接入層所連接的計(jì)算

23、機(jī)數(shù)量較多，除了使用上面所說(shuō)的堆疊技術(shù)之外，還可以使用鏈路匯聚的方式實(shí)現(xiàn)接入層交換機(jī)之間的高速連接，既增加了接入層交換機(jī)之間的互聯(lián)帶寬，又提高了連接的穩(wěn)定性。3、接入層級(jí)聯(lián)設(shè)計(jì)：如果接入網(wǎng)絡(luò)的計(jì)算機(jī)數(shù)量較多，需要由多臺(tái)交換機(jī)才能滿足用戶需求時(shí)，也可以采用最簡(jiǎn)單的級(jí)聯(lián)方式。當(dāng)然，如果接入層交換機(jī)擁有 1000Mbps 端口，那么采用級(jí)聯(lián)方式也可以實(shí)現(xiàn)接入層交換機(jī)之間的高速連接。2.3 廣域網(wǎng)接入模塊設(shè)計(jì)廣域網(wǎng)接入模塊設(shè)計(jì)1、靜態(tài)轉(zhuǎn)換是指將內(nèi)部網(wǎng)絡(luò)的私有 IP 地址轉(zhuǎn)換為公有 IP 地址，IP 地址對(duì)是一對(duì)一的，是一成不變的，某個(gè)私有 IP 地址只轉(zhuǎn)換為某個(gè)公有 IP 地址。借助于靜態(tài)轉(zhuǎn)換，可以實(shí)

24、現(xiàn)外部網(wǎng)絡(luò)對(duì)內(nèi)部網(wǎng)絡(luò)中某些特定設(shè)備（如服務(wù)器）的訪問(wèn)。 2、動(dòng)態(tài)轉(zhuǎn)換是指將內(nèi)部網(wǎng)絡(luò)的私有 IP 地址轉(zhuǎn)換為公用 IP 地址時(shí)，IP 地址對(duì)是不確定的，而是隨機(jī)的，所有被授權(quán)訪問(wèn)上 Internet 的私有 IP 地址可隨機(jī)轉(zhuǎn)換為任何指定的合法 IP 地址。也就是說(shuō)，只要指定哪些內(nèi)部地址可以進(jìn)行轉(zhuǎn)換，以及用哪些合法地址作為外部地址時(shí)，就可以進(jìn)行動(dòng)態(tài)轉(zhuǎn)換。動(dòng)態(tài)轉(zhuǎn)換可以使用多個(gè)合法外部地址集。當(dāng) ISP 提供的合法 IP 地址略少于網(wǎng)絡(luò)內(nèi)部的計(jì)算機(jī)數(shù)量時(shí)?？梢圆捎脛?dòng)態(tài)轉(zhuǎn)換的方式。 第三章第三章 綜合布線綜合布線3.1 綜合布線綜合布線綜合布線是一個(gè)能支持多種應(yīng)用系統(tǒng)的模塊化、靈活性極高的建筑物內(nèi)或建

25、筑物之間的信息高速傳輸通道，其組成部件包括不同系列和規(guī)格的通信介質(zhì)、連接硬件（如配線架、連接器、適配器、插座和插頭）以及電氣保護(hù)設(shè)備等。一個(gè)設(shè)計(jì)良好的綜合布線對(duì)其服務(wù)的設(shè)備應(yīng)具有一定的獨(dú)立性，能互連多種不同應(yīng)用系統(tǒng)的設(shè)備，如模擬或數(shù)字式的公共系統(tǒng)設(shè)備，也能支持語(yǔ)音、數(shù)據(jù)、圖形圖像和視頻設(shè)備。3.1.1.綜合布線模塊劃分綜合布線模塊劃分綜合布線一般采用星形拓?fù)浣Y(jié)構(gòu)。該結(jié)構(gòu)下的每個(gè)分支子系統(tǒng)都是相對(duì)獨(dú)立的單元，對(duì)每個(gè)分支系統(tǒng)的改動(dòng)都不影響其他子系統(tǒng)，只要改變節(jié)點(diǎn)連接方式就可使綜合布線在星形、總線形、環(huán)形、樹(shù)形等結(jié)構(gòu)之間進(jìn)行轉(zhuǎn)換。綜合布線采用模塊化的結(jié)構(gòu)。按每個(gè)模塊的作用，可把它分成六個(gè)部分：工作區(qū)

26、子系統(tǒng)、配線（水平）子系統(tǒng)、干線（垂直）子系統(tǒng)、管理子系統(tǒng)、設(shè)備間子系統(tǒng)、建筑群子系統(tǒng)。校園整體布線設(shè)計(jì)如下圖 3-1,各樓之間的匯聚交換機(jī)通過(guò)光纖連接到綜合樓網(wǎng)絡(luò)中心的核心交換機(jī),考慮到體育館需要網(wǎng)絡(luò)但是節(jié)點(diǎn)較少出于節(jié)省成本及施工難度的考慮將體育館與實(shí)訓(xùn)樓之間用無(wú)線網(wǎng)橋進(jìn)行連接。圖 3-1 校園網(wǎng)絡(luò)主體連接結(jié)構(gòu)3.1.2 綜合布線的特點(diǎn)綜合布線的特點(diǎn)與傳統(tǒng)的布線相比，綜合布線具有許多的優(yōu)越性。其特點(diǎn)主要表現(xiàn)為它的兼容性、開(kāi)放性、靈活性、可靠性、先進(jìn)性和經(jīng)濟(jì)性，而且在設(shè)計(jì)、施工和維護(hù)方面會(huì)帶來(lái)許多方便。3.1.3 設(shè)計(jì)規(guī)范的確定設(shè)計(jì)規(guī)范的確定我們?yōu)楸拘５男@網(wǎng)設(shè)計(jì)的綜合布線系統(tǒng)將基于以下目標(biāo)：

27、1、符合當(dāng)前和長(zhǎng)遠(yuǎn)的信息傳輸要求。2、布線系統(tǒng)設(shè)計(jì)遵從國(guó)際（ISO/CEI11801）標(biāo)準(zhǔn)。3、布線系統(tǒng)采用國(guó)際標(biāo)準(zhǔn)建議的星形拓?fù)浣Y(jié)構(gòu)。4、基于 100Mbps 應(yīng)用需要。5、布線系統(tǒng)的信息出口采用國(guó)際標(biāo)準(zhǔn)的 RJ45 插座。6、布線系統(tǒng)符合綜合業(yè)務(wù)數(shù)據(jù)網(wǎng)的要求。7、布線系統(tǒng)要立足開(kāi)放原則。3.1.4 布線要布線要求求校園網(wǎng)絡(luò)計(jì)算機(jī)主機(jī)房位于綜合樓的三樓。然后通過(guò)光纜分別連至校內(nèi)的其他建筑，在各建筑內(nèi)部采用五類 4 對(duì) 5 類 UTP 電纜連接到設(shè)備間的配線架。3.2 系統(tǒng)設(shè)計(jì)系統(tǒng)設(shè)計(jì)3.2.1 工作區(qū)子系統(tǒng)的設(shè)計(jì)工作區(qū)子系統(tǒng)的設(shè)計(jì)工作區(qū)系統(tǒng)又稱為服務(wù)區(qū)子系統(tǒng),它是由 RJ-45 插座和所連接

28、的設(shè)備組成,對(duì)于校園網(wǎng)的用戶,基本上需求不是很大,故基本型即可?；拘?用銅芯電纜組網(wǎng)，每個(gè)工作區(qū)的配線電纜為一條 4 對(duì)雙絞線,引至樓層配線架。系統(tǒng)支持語(yǔ)音、數(shù)據(jù)、圖像等功能，能隨應(yīng)用的需要轉(zhuǎn)向更高功能的布線系統(tǒng)。3.2.2 水平子系統(tǒng)的設(shè)計(jì)水平子系統(tǒng)的設(shè)計(jì)水平子系統(tǒng)也稱為水平布線系統(tǒng)。水平布線子系統(tǒng)是從 RJ-45 插座開(kāi)始到布線主干的子系統(tǒng)。由 4 對(duì) 5 類 UTP 組成，能支持大多數(shù)現(xiàn)代化通信設(shè)備。用線采用 UTP 雙絞線。長(zhǎng)度不超過(guò) 90 米。UTP 雙絞線布線方式采用線槽管道布線方式。3.2.3 管理子系統(tǒng)的設(shè)計(jì)管理子系統(tǒng)的設(shè)計(jì)為了管理方便，各層的交換機(jī)統(tǒng)一安放在設(shè)備間的配線架，

29、故各層交換機(jī)只需一條光纜連接即可。管理間的設(shè)計(jì)及建設(shè)應(yīng)考慮一下因素：1、管理間位置2、各樓層管理間一般設(shè)置在弱電豎井內(nèi)3、管理間環(huán)境要求4、管理配線間要盡量保持無(wú)塵，注意防火，散熱良好，每個(gè)電源插座容量不小于300W，并根據(jù)設(shè)備的要求及有關(guān)規(guī)定保證一定的溫度和濕度。建議的最佳溫度和濕度：溫度 1626，濕度 45%65%。5、配線架排列管理間的配線間排列應(yīng)遵守原則：進(jìn)出線方便，跳線方便、盡量短，墻面布局合理、占用空間小。3.2.4 干線子系統(tǒng)的設(shè)計(jì)干線子系統(tǒng)的設(shè)計(jì)干線子系統(tǒng)是結(jié)構(gòu)化布線系統(tǒng)的骨干，包括：1、供干線走纜走線用的垂直通道；2、設(shè)備間與網(wǎng)絡(luò)接口之間的連接電纜；3、設(shè)備間與建筑群子系統(tǒng)

30、之間的連接電纜；4、主設(shè)備間與計(jì)算機(jī)中心間的電纜。5、干線子系統(tǒng)的設(shè)計(jì)必須能滿足當(dāng)前的需求，同時(shí)又能適應(yīng)今后的發(fā)展。3.2.5 設(shè)備間子系統(tǒng)的設(shè)計(jì)設(shè)備間子系統(tǒng)的設(shè)計(jì)設(shè)備間子系統(tǒng)中的電話、數(shù)據(jù)、計(jì)算機(jī)主機(jī)設(shè)備及其保安配線設(shè)備宜設(shè)在一個(gè)房間內(nèi)。設(shè)備間的位置及大小應(yīng)根據(jù)設(shè)備的數(shù)量、規(guī)模、最佳網(wǎng)絡(luò)中心等內(nèi)容綜合考慮確定。在設(shè)備間子系統(tǒng)的設(shè)計(jì)和安裝過(guò)程中還需要考慮配備不間斷電源 UPS 和安全因素。同時(shí)，建筑群的線纜進(jìn)入建筑物時(shí)應(yīng)有過(guò)流、過(guò)壓保護(hù)設(shè)施，設(shè)備間室溫保持在 1027，相對(duì)濕度保持在 30%80%。3.3 樓宇布線結(jié)構(gòu)設(shè)計(jì)與設(shè)備具體分布樓宇布線結(jié)構(gòu)設(shè)計(jì)與設(shè)備具體分布3.3.1 實(shí)訓(xùn)樓設(shè)備分布實(shí)

31、訓(xùn)樓設(shè)備分布圖 3-2 實(shí)訓(xùn)樓設(shè)備分布圖3.3.2 綜合樓設(shè)備分布綜合樓設(shè)備分布圖 3-3 綜合樓設(shè)備分布圖3.3.3 實(shí)驗(yàn)樓設(shè)備分布實(shí)驗(yàn)樓設(shè)備分布圖 3-4 實(shí)驗(yàn)樓設(shè)備分布圖3.3.4 老教學(xué)樓設(shè)備分布老教學(xué)樓設(shè)備分布圖 3-5 老教學(xué)樓設(shè)備分布圖3.3.5 體育館設(shè)備分布體育館設(shè)備分布圖 3-6 體育館設(shè)備分布圖3.4 施工進(jìn)度控制施工進(jìn)度控制施工進(jìn)度控制關(guān)鍵就是編制施工進(jìn)度計(jì)劃，合作安排好前后序作業(yè)的工序，綜合布線工程具體的作業(yè)安排如下：1、對(duì)于與土建工程同時(shí)進(jìn)行的布線工程，首先檢查垂井、水平線槽、信息插座底盒是否已安裝到位，布線路由是否全線貫通，設(shè)備間、配線間是否符合要求，對(duì)于需求安裝

32、布線槽道的布線工程來(lái)說(shuō)，首先需要安裝垂井、水平線槽和插座底盒等。2、敷設(shè)主干布線主要是敷設(shè)光纜或大對(duì)數(shù)電纜。3、敷設(shè)水平布線主要是敷設(shè)雙絞線。4、線纜敷設(shè)的同時(shí)，開(kāi)始為各設(shè)備間設(shè)立跳線架，跳線面板光纖盒的安裝。5、當(dāng)水平布線工程完成后，開(kāi)始為各設(shè)備間的光纖及 UTP/STP 安裝跳線板，為端口及各設(shè)備間的跳線設(shè)備做端接。6、安排好所有的跳線板及用戶端口，做全面性的測(cè)試，包括光纖及 UTP/STP，并提供報(bào)告交給用戶。綜合布線系統(tǒng)工程施工組織進(jìn)度見(jiàn)下表 15-1 表 3-3 綜合布線系統(tǒng)工程施工組織進(jìn)度表 3-13.5 綜合布線系統(tǒng)的預(yù)算設(shè)計(jì)方式綜合布線系統(tǒng)的預(yù)算設(shè)計(jì)方式預(yù)算設(shè)計(jì)方式取費(fèi)的主要內(nèi)

33、容一般由材料費(fèi)、施工費(fèi)、設(shè)計(jì)費(fèi)、測(cè)試費(fèi)、稅金等組成。下表是一種典型的綜合布線系統(tǒng)工程預(yù)算標(biāo)價(jià)設(shè)計(jì)表。 布線工程報(bào)價(jià)名稱型號(hào)單價(jià)數(shù)量總價(jià)/元配線架安普 6 類 24 口配線架1120 元/個(gè)11 個(gè)12,320六類非屏蔽線安普 9-1427200-6920 元/箱10 箱9,200雙口面板MX-BFP-S-02-025 元/只247 個(gè)1,2356 類模塊安普(0-1375055-6)48 元/個(gè)247 個(gè)11,856光纜62.5/125 室內(nèi) 6 芯多模光纜32 元/米2000 米64,000機(jī)柜圖騰 TE6621.9001280 元/個(gè)25 個(gè)32,000設(shè)備總價(jià)（不含測(cè)試費(fèi)）130,611

34、設(shè)計(jì)費(fèi)（5%）6,530.55測(cè)試費(fèi)（5%）6,530.55督導(dǎo)費(fèi)（5%）6,530.55施工費(fèi)（15%）19,591.65稅金（3.41%）4,453.84總計(jì)174,248表 3-2 布線工程報(bào)價(jià)表網(wǎng)絡(luò)設(shè)備報(bào)價(jià)名稱設(shè)備型號(hào)單價(jià)（元）數(shù)量（個(gè)）總價(jià)（元）核心交換機(jī)DCRS-596025,700177,100匯聚交換機(jī)DCRS-565021,0005105,000接入交換機(jī)DCS-450025001947,500防火墻DCFW-1800s98,000198,000服務(wù)器惠普 ML110 G66800320,400上網(wǎng)行為管理深信服 AC110024,750124,750合計(jì)372,750表 3

35、-3 網(wǎng)絡(luò)設(shè)備報(bào)價(jià)表總報(bào)價(jià)表 3-4 總報(bào)價(jià)表布線工程報(bào)價(jià)（RMB 元）174,248 元網(wǎng)絡(luò)設(shè)備報(bào)價(jià)（RMB 元）372,750 元工程總費(fèi)用（RMB 元）546,998 元第四章第四章 網(wǎng)絡(luò)系統(tǒng)設(shè)計(jì)的實(shí)現(xiàn)網(wǎng)絡(luò)系統(tǒng)設(shè)計(jì)的實(shí)現(xiàn) 在前一章中，給出了校園網(wǎng)網(wǎng)絡(luò)系統(tǒng)的規(guī)劃設(shè)計(jì)方案。通過(guò)本章，將在給出的設(shè)備上配置一系列相應(yīng)的命令參數(shù)，來(lái)完成已規(guī)劃好的具體方案，實(shí)現(xiàn)校園校的需求。網(wǎng)絡(luò)配置拓?fù)鋱D如圖 4.1。圖 4.14.1 配置核心層配置核心層 核心層交換機(jī)通過(guò)自己的端口同廣域網(wǎng)接入模塊相連，并負(fù)責(zé)整個(gè)校園網(wǎng)的 VLAN 間的路由選擇。 設(shè)置交換機(jī)名稱。當(dāng)需要 telnet 登錄到多臺(tái)交換機(jī)時(shí)，通過(guò)交換

36、機(jī)的名字，方便的確認(rèn)其所在的位置。1、配置核心層交換機(jī)的基本參數(shù)，包括核心交換機(jī)本地密碼、管理 IP 和 telnet 密碼配置。設(shè)置交換機(jī)名稱。當(dāng)需要 telnet 登錄到多臺(tái)交換機(jī)時(shí)，通過(guò)交換機(jī)的名字，方便的確認(rèn)其所在的位置。SwitchSwitch enSwitch #conf tEnter configuration commands, one per line. End with CNTL/Z.Switch (config)#hostname SW-A 更改主機(jī)名稱SW-A(config)#interface vlan 1SW-A(config-if)#ip address 172.

37、16.1.1 255.255.255.0 配置 telnet 的 IPSW-A(config-if)#no shutdown SW-A(config-if)#exit2、配置核心層交換機(jī)的服務(wù)器群 vlan 及 vlan IPSW-A(config)#vlan 100SW-A(config-vlan)#exitSW-A(config-if)#interface vlan 100SW-A(config-if)#ip address 192.168.100.1 255.255.255.0SW-A(config)#interface range f0/1-3SW-A(config-if-range)

38、#SW-1port access vlan 100SW-A(config-if-range)#exitSW-A(config-if)#no shutdown 4.2 配置匯聚層配置匯聚層匯聚層交換機(jī)除了負(fù)責(zé)將交換機(jī)進(jìn)行匯聚之外，還為整個(gè)交換網(wǎng)絡(luò)提供 VLAN 間的路由選擇。配置匯聚層交換機(jī)的基本參數(shù)，包括核心交換機(jī)本地密碼、管理 IP 和 telnet 密碼配置。設(shè)置交換機(jī)名稱。當(dāng)需要 telnet 登錄到多臺(tái)交換機(jī)時(shí)，通過(guò)交換機(jī)的名字，方便的確認(rèn)其所在的位置。1、交換機(jī) SW-1 上的配置Switch(config)#hostname SW-1SW-1(config)#interface v

39、lan1SW-1(config-if)#ip address 172.16.1.2 255.255.255.0SW-1(config-if)#no shutdown SW-1(config-if)#exitSW-1(config)#enable password 123SW-1(config)#line vty 0 4SW-1(config-line)#password 123SW-1(config-line)#loginSW-1(config-line)#exit2、配置匯聚層交換機(jī)的 vlan 及端口的分配交換機(jī) SW-2 上的 vlanSW-1enSW-1#conf tSW-1(conf

40、ig)#vlan 2SW-1(config-vlan)#exitSW-1(config)#interface vlan2SW-1(config-if)#ip address 192.168.2.1 255.255.255.0SW-1(config)#interface f 0/2SW-1(config-if)#Switchport access vlan 2SW-1(config-if)#exitSW-1(config)#vlan 3SW-1(config-vlan)#exitSW-1(config)#interface vlan3SW-1(config-if)#ip address 192.

41、168.3.1 255.255.255.0SW-1(config)#interface f0/3SW-1(config-if)#switchport access vlan 3SW-1(config-if)#exitSW-1(config)#vlan 4SW-1(config-vlan)#exitSW-1(config)#interface vlan4SW-1(config-if)#ip address 192.168.4.1 255.255.255.0SW-1(config)#interface f0/4SW-1(config-if)#Switchport Access vlan 4SW-1

42、(config-if)#exitSW-1(config)#vlan 5SW-1(config-vlan)#exitSW-1(config)#interface vlan5SW-1(config-if)#ip address 192.168.5.1 255.255.255.0SW-1(config)#interface f0/5SW-1(config-if)#Switchport access vlan 5SW-1(config-if)#exit4.3 配置廣域網(wǎng)接入模塊配置廣域網(wǎng)接入模塊-路由器路由器廣域網(wǎng)接入模塊采用的是路由器，通過(guò)完成在 Internet 和校園網(wǎng)內(nèi)網(wǎng)間路由數(shù)據(jù)包。此外還要

43、在該設(shè)備上配置相應(yīng)的 ACL，實(shí)現(xiàn)數(shù)據(jù)包的過(guò)濾功能。1、配置路由器的基本參數(shù)，本地密碼和 TELNET 的配置Router(config)#enable password 123Router(config)#line vty 0 4Router(config-line)#password 123Router(config-line)#loginRouter(config-line)#exitRouter(config)#2、配置路由器的接口 IPRouter(config)#interface f0/0Router(config-if)#ip address 10.10.10.2 255.25

44、5.255.0Router(config-if)#no shutdown Router(config)#interface serial 1/0Router(config-if)#ip address 28.28.28.1 255.255.255.0Router(config-if)#no shutdown Router(config-if)#exit3、配置靜態(tài)路由功能Router(config)#ip route 192.168.1.0 255.255.255.0 10.10.10.1Router(config)#ip route 192.168.2.0 255.255.255.0 10.

45、10.10.1Router(config)#ip route 192.168.3.0 255.255.255.0 10.10.10.1Router(config)#ip route 192.168.4.0 255.255.255.0 10.10.10.1Router(config)#ip route 192.168.5.0 255.255.255.0 10.10.10.1Router(config)#ip route 192.168.18.0 255.255.255.0 10.10.10.1Router(config)#ip route 192.168.19.0 255.255.255.0 1

46、0.10.10.1Router(config)#ip route 192.168.20.0 255.255.255.0 10.10.10.14、配置路由器的 NATRouter(config)#ip nat pool internet 28.28.28.1 28.28.28.1 netmask 255.255.255.0 配置 NAT 公網(wǎng) IP 范圍Router(config)#access-list 10 permit 192.168.0.0 0.0.255.255Router(config)#ip nat inside source list 10 pool internet overl

47、oad 第五章第五章 網(wǎng)絡(luò)安全與防護(hù)技術(shù)網(wǎng)絡(luò)安全與防護(hù)技術(shù)5.1 計(jì)算機(jī)網(wǎng)絡(luò)安全計(jì)算機(jī)網(wǎng)絡(luò)安全 計(jì)算機(jī)網(wǎng)絡(luò)安全問(wèn)題是一個(gè)錯(cuò)綜復(fù)雜的問(wèn)題，它涉及到系統(tǒng)故障以及有意無(wú)意的破壞等。為了確保計(jì)算機(jī)網(wǎng)絡(luò)安全，需要采取物理措施、管理措施和技術(shù)等多方面措施。計(jì)算機(jī)網(wǎng)絡(luò)安全的保護(hù)對(duì)象主要是數(shù)據(jù)、資源（硬件資源和軟件資源）和聲譽(yù)（用戶形象） 。 5.1.1 計(jì)算機(jī)網(wǎng)絡(luò)安全的目的和功能計(jì)算機(jī)網(wǎng)絡(luò)安全的目的和功能1、網(wǎng)絡(luò)安全的目的 計(jì)算機(jī)網(wǎng)絡(luò)安全就是研究如何保障計(jì)算機(jī)資源的安全，即計(jì)算機(jī)的系統(tǒng)資源和信息資源的安全。影響計(jì)算機(jī)網(wǎng)絡(luò)安全的因素主要有以下幾種：實(shí)體安全、運(yùn)行安全、數(shù)據(jù)安全、軟件安全和通信安全。2、網(wǎng)絡(luò)安全

48、的功能和措施 計(jì)算機(jī)網(wǎng)絡(luò)安全問(wèn)題是一個(gè)很復(fù)雜的問(wèn)題，任何時(shí)候都不會(huì)有一勞永逸的解決措施。因?yàn)橛?jì)算機(jī)的安全與反安全會(huì)一直地進(jìn)行下去，故要使計(jì)算機(jī)網(wǎng)絡(luò)具有較高安全性，需要將計(jì)算機(jī)系統(tǒng)的各種安全防護(hù)技術(shù)（如實(shí)體安全防護(hù)技術(shù)、防電磁輻射泄露技術(shù)、軟硬件防護(hù)技術(shù)、防火墻技術(shù)、數(shù)據(jù)保密變換以及安全管理與法律制裁等）結(jié)合使用，對(duì)計(jì)算機(jī)系統(tǒng)進(jìn)行綜合分層防護(hù)，從而提高計(jì)算機(jī)網(wǎng)絡(luò)的整體防護(hù)水平。 5.1.2 網(wǎng)絡(luò)安全的潛在威脅網(wǎng)絡(luò)安全的潛在威脅 安全威脅是指某個(gè)人、物、事件對(duì)某一資源的機(jī)密性、完整性、可用性或合法性使用所造成的危害。安全威脅可分為故意威脅和偶然威脅，所謂偶然威脅是指由偶然因素造成的威脅（如信息被發(fā)

49、往錯(cuò)誤的地址） 。而故意威脅又可進(jìn)一步分為被動(dòng)威脅和主動(dòng)威脅，被動(dòng)威脅是只對(duì)信息進(jìn)行監(jiān)聽(tīng)（如搭線竊聽(tīng)） ，而不對(duì)其進(jìn)行修改。主動(dòng)威脅包括信息進(jìn)行故意的修改（如改動(dòng)某次金融會(huì)議中貨幣的數(shù)量） 。1、基本威脅 信息安全的基本目標(biāo)是實(shí)現(xiàn)信息的機(jī)密性、機(jī)密性、完整性、可用性以及資源的合法性使用。常見(jiàn)的 4 種基本威脅是：信息泄露、完整性破壞、拒絕服務(wù)和非法使用。 2、主要的可實(shí)現(xiàn)威脅：主要的可實(shí)現(xiàn)威脅可以分為滲入威脅和植入威脅；主要的滲入威脅有：假冒、旁路控制和授權(quán)侵犯；主要的植入威脅有：特洛伊木馬（Torjan Horse）和陷門。 3、潛在威脅 通過(guò)對(duì)各種威脅進(jìn)行分析，可以發(fā)現(xiàn)某些特定的威脅可以導(dǎo)

50、致更基本的威脅發(fā)生，這些特定威脅稱為潛在威脅。例如對(duì)于信息泄露這樣的一種基本威脅，可以找出以下幾種潛在的威脅：（1）竊聽(tīng)；（2）業(yè)務(wù)流分析；（3）人員疏忽；（4）媒體清理。5.1.3 網(wǎng)絡(luò)安全的策略網(wǎng)絡(luò)安全的策略 當(dāng)安全具體化時(shí)，它有一定范圍，這個(gè)范圍便是屬于某個(gè)組織的處理和通信資源的集合，稱為安全區(qū)域。在某一個(gè)安全區(qū)域內(nèi)，應(yīng)該有一個(gè)關(guān)于安全問(wèn)題的總體目標(biāo)和規(guī)劃，這就是安全策略。以下是幾種常見(jiàn)的網(wǎng)絡(luò)安全策略：（是抽象策略，不是具體策略）（1）最小特權(quán)原則。 （2）多道防線。 （3）阻塞點(diǎn)。 （4）最薄弱環(huán)節(jié)。（5）失效保護(hù)機(jī)制。 （6）普通參與。 （7）防御多樣化。5.2 防火墻技術(shù)防火墻技術(shù)

51、防火墻是設(shè)備在不同網(wǎng)絡(luò)或網(wǎng)絡(luò)安全域之間一系列部件的組合。防火墻可以分為硬件防火墻和軟件防火墻兩類。5.2.1 防火墻的概念防火墻的概念 “防火墻”是一種形象的說(shuō)法, 其實(shí)它是一種由計(jì)算機(jī)硬件和軟件的組合, 使互聯(lián)網(wǎng)與內(nèi)部網(wǎng)之間建立起一個(gè)安全網(wǎng)關(guān)( scurity gateway),從而保護(hù)內(nèi)部網(wǎng)免受非法用戶的侵入。 所謂防火墻就是一個(gè)能把互聯(lián)網(wǎng)與內(nèi)部網(wǎng)隔開(kāi)的屏障。5.2.2 防火墻的作用和特性防火墻的作用和特性1、防火墻的作用（1）防火墻能強(qiáng)化安全策略（防火墻是阻塞點(diǎn)） 。（2）防火墻能有效的記錄 Internet 上的活動(dòng)。如作日志記錄、有報(bào)警功能。（3）防火墻能限制暴露用戶點(diǎn)，隱藏內(nèi)部信息

52、。（4）防火墻是一個(gè)安全策略的檢查站。（5）防火墻有轉(zhuǎn)換地址功能（IP 地址） 。2、防火墻的特性（1）所有內(nèi)部對(duì)外部的通信都必須通過(guò)防火墻，反之亦然。（2）只有按安全策略所定義的授權(quán)，通信才允許通過(guò)。（3）防火墻本身是抗入侵的 。（4）防火墻是網(wǎng)絡(luò)的要塞點(diǎn)，是達(dá)到網(wǎng)絡(luò)安全目的的有效手段，因此，盡可能將安全措施都集中在這一點(diǎn)上。（5）防火墻可以強(qiáng)制安全策略的實(shí)施。（6）防火墻不能防范惡意的內(nèi)部知情者。（7）防火墻不能防范不通過(guò)它的連接。（8）防火墻不能防御所有的威脅。（9）防火墻不能防范和消除網(wǎng)絡(luò)上的 PC 機(jī)的病毒。5.2.3 實(shí)現(xiàn)防火墻的主要技術(shù)實(shí)現(xiàn)防火墻的主要技術(shù)1、數(shù)據(jù)包過(guò)濾技術(shù) 數(shù)據(jù)

53、包過(guò)濾(Packet Filtering)技術(shù)是在網(wǎng)絡(luò)層對(duì)數(shù)據(jù)包進(jìn)行選擇，選擇的依據(jù)是系統(tǒng)內(nèi)設(shè)置的過(guò)濾邏輯， 被稱為訪問(wèn)控制表(Access Control Table)。通過(guò)檢查數(shù)據(jù)流中每個(gè)數(shù)據(jù)包的源地址、目的地址、所用的端口號(hào)、 協(xié)議狀態(tài)等因素，或它們的組合來(lái)確定是否允許該數(shù)據(jù)包通過(guò)。 2、應(yīng)用級(jí)網(wǎng)關(guān)(Application Level Gateways)應(yīng)用級(jí)網(wǎng)關(guān)是在網(wǎng)絡(luò)應(yīng)用層上建立協(xié)議過(guò)濾和轉(zhuǎn)發(fā)功能。 它針對(duì)特定的網(wǎng)絡(luò)應(yīng)用服務(wù)協(xié)議使用指定的數(shù)據(jù)過(guò)濾邏輯，并在過(guò)濾的同時(shí)，對(duì)數(shù)據(jù)包進(jìn)行必要的分析、 登記和統(tǒng)計(jì)，形成報(bào)告。實(shí)際中的應(yīng)用網(wǎng)關(guān)通常安裝在專用工作站系統(tǒng)上。5.2.4 防火墻的體系結(jié)

54、構(gòu)防火墻的體系結(jié)構(gòu) 防火墻的體系結(jié)構(gòu)可分為簡(jiǎn)單結(jié)構(gòu)和復(fù)雜結(jié)構(gòu)。簡(jiǎn)單結(jié)構(gòu)包括屏蔽路由器結(jié)構(gòu)和雙重宿主主機(jī)結(jié)構(gòu)；復(fù)雜結(jié)構(gòu)包括屏蔽主機(jī)體系結(jié)構(gòu)（應(yīng)用最多）和屏蔽子網(wǎng)體系結(jié)構(gòu)。特點(diǎn)：此類防火墻結(jié)構(gòu)有兩個(gè)屏蔽路由器和一個(gè)壁壘主機(jī)三部分構(gòu)成。兩個(gè)路由器運(yùn)行包過(guò)濾技術(shù)，主要負(fù)責(zé)數(shù)據(jù)的過(guò)濾檢查。壁壘主機(jī)運(yùn)行代理服務(wù)技術(shù)，負(fù)責(zé)將合法數(shù)據(jù)轉(zhuǎn)發(fā)出去。入侵者必須通過(guò)內(nèi)外路由器、壁壘主機(jī)三道防線才能進(jìn)入內(nèi)部系統(tǒng)。既使壁壘主機(jī)被侵害，內(nèi)部系統(tǒng)仍然是安全的。優(yōu)點(diǎn)：安全性很高（三道防線、內(nèi)部網(wǎng)對(duì)外部不可見(jiàn)、代理服務(wù)） 。缺點(diǎn)：結(jié)構(gòu)復(fù)雜，造價(jià)高。5.2.5 防火墻選擇原則防火墻選擇原則1、防火墻自身是否安全。2、系統(tǒng)是否穩(wěn)定。3、防火墻是否高效。4、防火墻類的訪問(wèn)控制設(shè)備是否可靠。5、功能是否靈活。5.3 上網(wǎng)行為管理主要功能上網(wǎng)行為管理主要功能5.3.1 原理原理 上網(wǎng)行為管理內(nèi)置國(guó)內(nèi)最全的應(yīng)用識(shí)別規(guī)則庫(kù)，最大的網(wǎng)頁(yè)地址庫(kù)，結(jié)合深度內(nèi)容檢測(cè)技術(shù)、網(wǎng)頁(yè)智能識(shí)別等專利技術(shù)，為客戶解決網(wǎng)頁(yè)過(guò)濾、封堵與工作無(wú)關(guān)的網(wǎng)絡(luò)應(yīng)用需求。 5.3.2 網(wǎng)頁(yè)訪問(wèn)過(guò)濾網(wǎng)頁(yè)訪問(wèn)過(guò)濾互聯(lián)網(wǎng)上的網(wǎng)頁(yè)資源非常豐富，如果員工長(zhǎng)時(shí)間訪問(wèn)如色情、賭博、病毒等具有高度安全風(fēng)險(xiǎn)的網(wǎng)頁(yè)，以及購(gòu)物、招聘、財(cái)經(jīng)等與工作無(wú)關(guān)的網(wǎng)頁(yè)，將極大的降低生產(chǎn)效率。通過(guò)上網(wǎng)行