計(jì)算機(jī)網(wǎng)絡(luò)與安全實(shí)踐課程設(shè)計(jì)報(bào)告完成版

中國(guó)礦業(yè)大學(xué)計(jì)算機(jī)網(wǎng)絡(luò)與安全實(shí)踐課程設(shè)計(jì)計(jì)算機(jī)網(wǎng)絡(luò)與安全實(shí)踐設(shè)計(jì)報(bào)告中國(guó)礦業(yè)大學(xué)（南湖校區(qū)）局域網(wǎng)建設(shè)方案專業(yè):計(jì)科班級(jí):小組成員：指導(dǎo)教師：職稱：中國(guó)礦業(yè)大學(xué)計(jì)算機(jī)科學(xué)與技術(shù)學(xué)院2014年4月徐州題目中國(guó)礦業(yè)大學(xué)（南湖校區(qū)）校園局域網(wǎng)建設(shè)方案指導(dǎo)教師簽字：年月日目錄TOC\o"1-3"\h\u21751、引言 419631.1、背景 460801.2、目前現(xiàn)狀 472082、網(wǎng)絡(luò)設(shè)計(jì)的目標(biāo)與要求 663172.1、礦業(yè)大學(xué)南湖網(wǎng)絡(luò)的建設(shè)要求 6201803、方案設(shè)計(jì)與實(shí)現(xiàn) 736893.1網(wǎng)絡(luò)設(shè)計(jì)原則 7148463.2主流組網(wǎng)技術(shù)分析與選擇 817783.3網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)設(shè)計(jì) 9176423.4IP地址劃分 983753.4.1IP地址及VLAN劃分原則 9326703.4.2、IP、VLAN的劃分 10127213.4.3NAT的實(shí)現(xiàn) 10322753.5設(shè)備選型與配置：各種路由交換設(shè)備、服務(wù)器等 11174833.6、網(wǎng)絡(luò)安全設(shè)計(jì)與管理 17138143.6.1安全需求分析 171723.6.2網(wǎng)絡(luò)安全控制 18151933.6.3網(wǎng)絡(luò)管理設(shè)計(jì) 1833503.7、未來(lái)升級(jí)與擴(kuò)展 20235574、網(wǎng)絡(luò)施工與結(jié)構(gòu)化布線 2116554.1總布線規(guī)劃 21220964.2網(wǎng)絡(luò)布局的具體實(shí)施要求 21313385、結(jié)束語(yǔ) 2239976.心得 23220617、參考文獻(xiàn) 23中國(guó)礦業(yè)大學(xué)南湖校區(qū)校園網(wǎng)建設(shè)方案1、引言1.1、背景計(jì)算機(jī)網(wǎng)絡(luò)是計(jì)算機(jī)技術(shù)和通信技術(shù)相結(jié)合的產(chǎn)物，在信息技術(shù)的帶動(dòng)下，計(jì)算機(jī)網(wǎng)絡(luò)發(fā)展的非常迅速，特別是internet的日益普及，“校園網(wǎng)“就隨著各高校計(jì)算機(jī)網(wǎng)絡(luò)的建設(shè)而引起廣泛關(guān)注。建設(shè)和使用校園網(wǎng)絡(luò)已成為一種普遍的趨勢(shì)，學(xué)校對(duì)網(wǎng)絡(luò)的依賴性越來(lái)越強(qiáng)，網(wǎng)絡(luò)應(yīng)用也是日新月異。從類型來(lái)看，校園網(wǎng)大都屬于中小型系統(tǒng)，但它的網(wǎng)絡(luò)結(jié)構(gòu)和性能要求卻又一定的特殊性，因此相應(yīng)的網(wǎng)絡(luò)設(shè)計(jì)和網(wǎng)絡(luò)維護(hù)應(yīng)有一些特別的考慮。隨著我們學(xué)校擴(kuò)建，規(guī)模擴(kuò)大，設(shè)備更新，需要不斷健全自己的校園網(wǎng)絡(luò)來(lái)滿足日新月異的網(wǎng)絡(luò)環(huán)境，同時(shí)目前網(wǎng)絡(luò)安全越來(lái)越成為特別是學(xué)校關(guān)心的一項(xiàng)，一旦網(wǎng)絡(luò)癱瘓勢(shì)必對(duì)教學(xué)和辦公帶來(lái)不可估量的影響，由此決定擬組建一個(gè)校園局域網(wǎng)，并附上校園網(wǎng)的安全已經(jīng)維護(hù)服務(wù)。特此對(duì)南湖校區(qū)的校園局域網(wǎng)的建設(shè)方案做此規(guī)劃。1.2、目前現(xiàn)狀礦業(yè)大學(xué)南湖局域網(wǎng)的建設(shè)，最終是通過(guò)學(xué)校網(wǎng)絡(luò)中心將網(wǎng)絡(luò)接入到礦業(yè)大學(xué)南湖的每個(gè)機(jī)房，使師生員工可以在機(jī)房進(jìn)行各種活動(dòng)，有助于提高師生的生活質(zhì)量，對(duì)計(jì)算機(jī)技術(shù)的教學(xué)提供了極大的幫助。因此，建設(shè)礦業(yè)大學(xué)南湖局域網(wǎng)是學(xué)校發(fā)展的不可或缺的基礎(chǔ)硬件設(shè)施。礦業(yè)大學(xué)南湖擁有一個(gè)完整的以太網(wǎng)布局，通過(guò)路由器與學(xué)校網(wǎng)絡(luò)中心光纖連接，由兩層交換機(jī)將各個(gè)機(jī)房的信息點(diǎn)連通。礦業(yè)大學(xué)南湖位于計(jì)算機(jī)學(xué)院樓四樓，每個(gè)實(shí)驗(yàn)室是一間長(zhǎng)方形教室，每個(gè)實(shí)驗(yàn)室大約有60臺(tái)計(jì)算機(jī)。根據(jù)我校學(xué)生多、機(jī)位少的實(shí)際情況，制定如下網(wǎng)絡(luò)需求：C類局域網(wǎng)，獨(dú)立網(wǎng)段，自主分配IP地址；每臺(tái)計(jì)算機(jī)通過(guò)URL自由訪問(wèn)Internet網(wǎng)絡(luò)資源；支持筆記本移動(dòng)上網(wǎng)；高速、穩(wěn)定、安全、可靠；布局規(guī)范、合理，易于維護(hù)；節(jié)約空間，減少噪音污染；成本最優(yōu)化原則建設(shè)的局域網(wǎng)要努力克服一些通病，如：設(shè)備種類繁多、機(jī)位擁擠不堪、網(wǎng)線密集凌亂、維護(hù)困難重重、空氣流通不暢、往來(lái)人員頻繁而中空的防靜電地板將每個(gè)人腳下的聲音傳播到整個(gè)機(jī)房，混合上交換機(jī)噪音，產(chǎn)生噪音污染。此外，在建設(shè)實(shí)驗(yàn)室局域網(wǎng)過(guò)程中還要考慮以下因素：（1）主干層網(wǎng)落承載能力要求主干層的功能主要是實(shí)現(xiàn)骨干網(wǎng)絡(luò)之間的優(yōu)化傳輸，負(fù)責(zé)整個(gè)網(wǎng)絡(luò)的網(wǎng)內(nèi)數(shù)據(jù)交換。網(wǎng)絡(luò)的功能控制最好盡量少在骨干層上實(shí)施，主干層設(shè)計(jì)任務(wù)的重點(diǎn)是冗余能力、可靠性和高速的傳輸。核心層一直被認(rèn)為是流量的最終承受者和匯聚者，所以要求主干層交換機(jī)擁有較高的可靠性和性能。（2）匯聚層接點(diǎn)接入要求匯聚層主要負(fù)責(zé)連接接入層接點(diǎn)和核心層中心，匯聚分散的接入點(diǎn)，擴(kuò)大核心層設(shè)備的端口密度和種類，匯聚各區(qū)域數(shù)據(jù)流量，實(shí)現(xiàn)骨干網(wǎng)絡(luò)之間的優(yōu)化傳輸。匯聚交換及還負(fù)責(zé)本區(qū)域內(nèi)的數(shù)據(jù)交換，匯聚交換機(jī)一般與主干層交換機(jī)同類型，仍需要較高的性能和比較豐富的功能，但吞吐量較低。(3)可靠性和自愈能力要求網(wǎng)絡(luò)系統(tǒng)的穩(wěn)定可靠是應(yīng)用系統(tǒng)正常運(yùn)行的關(guān)鍵保證，在網(wǎng)絡(luò)設(shè)計(jì)中選用高可靠性網(wǎng)絡(luò)產(chǎn)品，合理設(shè)計(jì)網(wǎng)絡(luò)架構(gòu)，制訂可靠的網(wǎng)絡(luò)備份策略，保證網(wǎng)絡(luò)具有故障自愈的能力，最大限度地支持系統(tǒng)的正常運(yùn)行。(4)安全性要求制訂統(tǒng)一的骨干網(wǎng)安全策略，整體考慮網(wǎng)絡(luò)平臺(tái)的安全性。可以通過(guò)各業(yè)務(wù)子網(wǎng)隔離，全網(wǎng)統(tǒng)一規(guī)劃IP地址，根據(jù)不同的業(yè)務(wù)劃分不同的子網(wǎng)（subnet），相同物理LAN通過(guò)VLAN的方式隔離，不同子網(wǎng)間的互通性由路由策略決定。(5)性價(jià)比要求建設(shè)網(wǎng)絡(luò)時(shí)選用的設(shè)備要具有較高的性價(jià)比，用最小的成本建設(shè)最優(yōu)質(zhì)的網(wǎng)絡(luò)。2、網(wǎng)絡(luò)設(shè)計(jì)的目標(biāo)與要求2.1、礦業(yè)大學(xué)南湖網(wǎng)絡(luò)的建設(shè)要求第一、經(jīng)濟(jì)而實(shí)用靈活的拓?fù)浣Y(jié)構(gòu)的網(wǎng)絡(luò)實(shí)驗(yàn)室，所提供的實(shí)驗(yàn)平臺(tái)可以適合多種應(yīng)用實(shí)驗(yàn)的需要?？梢詫?shí)現(xiàn)同一時(shí)段多人做實(shí)驗(yàn)，也可合并在一起組成大的實(shí)驗(yàn)環(huán)境，體現(xiàn)網(wǎng)絡(luò)實(shí)驗(yàn)室在拓?fù)洵h(huán)境組合上的靈活性及整體的經(jīng)濟(jì)性。第二、可擴(kuò)展和易維護(hù)性由于計(jì)算機(jī)網(wǎng)絡(luò)技術(shù)發(fā)展快速的特點(diǎn)，在網(wǎng)絡(luò)實(shí)驗(yàn)室建設(shè)過(guò)程中，選擇設(shè)備時(shí)要求其在提供多種冗余保證穩(wěn)定的情況下，還必須具有超強(qiáng)的擴(kuò)展能力。如各種交換機(jī)都提供多個(gè)擴(kuò)展插槽和提供足夠的背板帶寬，同時(shí)還采用設(shè)備管理軟件來(lái)解決設(shè)備在維護(hù)上的問(wèn)題。第三、社會(huì)實(shí)際緊密結(jié)合性所建設(shè)的網(wǎng)絡(luò)實(shí)驗(yàn)室是完全結(jié)合社會(huì)真實(shí)的網(wǎng)絡(luò)進(jìn)行組建的，所有的實(shí)驗(yàn)都是從實(shí)際的網(wǎng)絡(luò)環(huán)境中截取的，做到實(shí)驗(yàn)和社會(huì)實(shí)際有機(jī)地結(jié)合起來(lái)，以提高中職院校的綜合競(jìng)爭(zhēng)實(shí)力與學(xué)生就業(yè)能力。實(shí)驗(yàn)教學(xué)內(nèi)容應(yīng)與社會(huì)應(yīng)用實(shí)踐密切聯(lián)系，形成良性互動(dòng)，實(shí)現(xiàn)學(xué)與用的有機(jī)結(jié)合。要認(rèn)真考慮設(shè)置哪些實(shí)驗(yàn)項(xiàng)目、采用何種實(shí)驗(yàn)手段才能切實(shí)提高學(xué)生的動(dòng)手能力，培養(yǎng)學(xué)生的獨(dú)立性和創(chuàng)造性，保證實(shí)驗(yàn)教學(xué)的質(zhì)量。完善礦業(yè)大學(xué)南湖局域網(wǎng)基礎(chǔ)設(shè)施建設(shè)，構(gòu)建技術(shù)先進(jìn)、擴(kuò)展性強(qiáng)、安全可靠、高速暢通的網(wǎng)絡(luò)環(huán)境。建立公共信息系統(tǒng)基礎(chǔ)平臺(tái)，提供先進(jìn)數(shù)字化管理手段，提高管理效率；建立功能齊全的教學(xué)管理平臺(tái)；建設(shè)內(nèi)容豐富的教學(xué)資源庫(kù)，實(shí)現(xiàn)教學(xué)資源共享；提高全校師生信息素養(yǎng)，為培養(yǎng)高技能應(yīng)用性人才和服務(wù)社會(huì)搭建公共服務(wù)平臺(tái)。在網(wǎng)上宣傳和獲取教育資源；在此基礎(chǔ)上建立能滿足教學(xué)、科研和管理工作需要的軟、硬件環(huán)境；開(kāi)發(fā)各類信息庫(kù)和應(yīng)用系統(tǒng)，為學(xué)校各類人員提供充分的網(wǎng)絡(luò)信息服務(wù)；系統(tǒng)總體設(shè)計(jì)本著總體規(guī)劃、分布實(shí)施的原則，充分體現(xiàn)系統(tǒng)的技術(shù)先進(jìn)性、高度的安全可靠性、良好的開(kāi)放性、可擴(kuò)展性，以及建設(shè)經(jīng)濟(jì)性。構(gòu)建南湖校區(qū)校園網(wǎng)，我們一組3個(gè)人，分別完成各自不同的項(xiàng)目。3、方案設(shè)計(jì)與實(shí)現(xiàn)3.1網(wǎng)絡(luò)設(shè)計(jì)原則在充分考慮多應(yīng)用、易管理的同時(shí)，本方案遵循如下原則：1、高可靠性。2、標(biāo)準(zhǔn)性及開(kāi)放性。通訊協(xié)議和接口符合國(guó)際標(biāo)準(zhǔn)。3、靈活性及可擴(kuò)展性。4、可管理性。合理地劃分vlan，能夠?qū)崿F(xiàn)vlan連接。5、采用成熟的技術(shù)方案。6、安全性。7、綜合性和統(tǒng)一性。最大限度的采用同一廠家的產(chǎn)品。8、合理的性能價(jià)格比。3.2主流組網(wǎng)技術(shù)分析與選擇網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)就是網(wǎng)絡(luò)的形狀，或者是它在物理上的連通性。構(gòu)成網(wǎng)絡(luò)的拓?fù)浣Y(jié)構(gòu)有很多種，通常包括：星型拓?fù)?、總線拓?fù)?、環(huán)型拓?fù)?、?shù)型拓?fù)?、混合型拓?fù)洹⒕W(wǎng)型拓?fù)?。拓?fù)浣Y(jié)構(gòu)的選擇往往與傳輸媒體的選擇和媒體訪問(wèn)控制方法的確定緊密相關(guān)。在選擇網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)時(shí)，應(yīng)該考慮的主要因素有下列幾點(diǎn)：1.可靠性

盡可能提高可靠性，保證所有數(shù)據(jù)流能準(zhǔn)確接收。還要考慮系統(tǒng)的維護(hù)，要使故障檢測(cè)和故障隔離較為方便。2.費(fèi)用低

它包括建網(wǎng)時(shí)需考慮適合特定應(yīng)用的費(fèi)用和安裝費(fèi)用。3.靈活性

需要考慮系統(tǒng)在今后擴(kuò)展或改動(dòng)時(shí)，能容易地重新配置網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)，能方便地對(duì)原有站點(diǎn)的刪除和新站點(diǎn)的加入。4.響應(yīng)時(shí)間和吞吐量

要有盡可能短的響應(yīng)時(shí)間和最大的吞吐量。經(jīng)過(guò)各方面的綜合考慮，我們決定采用下面的建設(shè)方案：中間核心層是一臺(tái)核心三層交換機(jī)，分別連接屬于分布層的學(xué)生宿舍樓，圖書(shū)館，行政樓，公教區(qū)。分布層除了行政樓是三層交換機(jī)外，其它的都是二層交換機(jī)。圖中所示只說(shuō)明了核心層和分布層，接入層還有很多二層交換機(jī)。其中宿舍樓還連有一臺(tái)DHCP服務(wù)器，以為學(xué)生上網(wǎng)分配IP地址。核心交換機(jī)連接一臺(tái)內(nèi)部路由器，該路由器充當(dāng)NAT作用，連接這電信服務(wù)提供商，負(fù)責(zé)把內(nèi)網(wǎng)地址轉(zhuǎn)換為外網(wǎng)地址，以實(shí)現(xiàn)校園內(nèi)網(wǎng)絡(luò)可以訪問(wèn)因特網(wǎng)。3.3網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)設(shè)計(jì)3.4IP地址劃分3.4.1IP地址及VLAN劃分原則簡(jiǎn)單性：地址的分配應(yīng)該簡(jiǎn)單，避免在主干上采用復(fù)雜的掩碼方式；連續(xù)性：為同一個(gè)網(wǎng)絡(luò)區(qū)域分配連續(xù)的網(wǎng)絡(luò)地址，便于采用路由收斂(Summarization)CIDR(ClasslessInter-DomainRouting)技術(shù)縮減路由表的表項(xiàng)，提高路由器的處理效率；可擴(kuò)充性：為一個(gè)網(wǎng)絡(luò)區(qū)域分配的網(wǎng)絡(luò)地址應(yīng)該具有一定的容量，便于主機(jī)數(shù)量增加時(shí)仍然能夠保持地址的連續(xù)性；靈活性：地址分配不應(yīng)該基于某個(gè)網(wǎng)絡(luò)路由策略的優(yōu)化方案，應(yīng)該便于多數(shù)路由策略在該地址分配方案上實(shí)現(xiàn)優(yōu)化；可管理性：地址的分配應(yīng)該有層次，某個(gè)局部的變動(dòng)不要影響上層、全局。安全性：網(wǎng)絡(luò)內(nèi)應(yīng)按工作內(nèi)容劃分成不同網(wǎng)段即子網(wǎng)以便進(jìn)行管理。3.4.2、IP、VLAN的劃分內(nèi)網(wǎng)全部使用私有地址，在核心交換機(jī)上劃分vlan1：學(xué)生宿舍樓：vlan2，所用網(wǎng)段/24，網(wǎng)關(guān)地址為/24圖書(shū)館：vlan3，所用網(wǎng)段/24，網(wǎng)關(guān)地址為/24.教學(xué)樓：vlan4，所用網(wǎng)段/24，網(wǎng)關(guān)地址為/24.行政樓：vlan5，所用網(wǎng)段/24，網(wǎng)關(guān)地址為/NAT的實(shí)現(xiàn)NAT，網(wǎng)絡(luò)地址轉(zhuǎn)換，是通過(guò)將專用網(wǎng)絡(luò)地址轉(zhuǎn)換為公用地址（如互聯(lián)網(wǎng)Internet），從而對(duì)外隱藏了內(nèi)部管理的IP地址。這樣，通過(guò)在內(nèi)部使用非注冊(cè)的IP地址，并將它們轉(zhuǎn)換為一小部分外部注冊(cè)的IP地址，從而減少了IP地址注冊(cè)的費(fèi)用以及節(jié)省了目前越來(lái)越缺乏的地址空間（即IPV4）。同時(shí)，這也隱藏了內(nèi)部網(wǎng)絡(luò)結(jié)構(gòu)，從而降低了內(nèi)部網(wǎng)絡(luò)受到攻擊的風(fēng)險(xiǎn)。NAT網(wǎng)絡(luò)地址轉(zhuǎn)換的3種實(shí)現(xiàn)方式：1、靜態(tài)NAT（一對(duì)一）2、動(dòng)態(tài)NAT（多對(duì)多）3、端口多路復(fù)用PAT（多對(duì)一）對(duì)于本方案而言，核心交換機(jī)與NAT路由器相連網(wǎng)段為/243.5設(shè)備選型與配置：各種路由交換設(shè)備、服務(wù)器等設(shè)備報(bào)價(jià)及選擇：我們通過(guò)查閱資料得到以下報(bào)價(jià)表：設(shè)備型號(hào)生產(chǎn)廠家單價(jià)核心交換機(jī)CISCOWS-C3750E-48PD-E思科130000元/臺(tái)二層交換機(jī)RG-S6806E銳捷180000元/臺(tái)ATM交換機(jī)CISCOWS-C3560G-24TS-E思科35000元/臺(tái)ATM交換機(jī)CISCOWS-C3750-24TS-S思科9000元/臺(tái)路由器CISCO1841思科3700元/臺(tái)路由器CISCO2801思科5300元/臺(tái)交換機(jī)CISCOWS-C3560-24TS-S思科6000元/臺(tái)交換機(jī)CISCORV042思科1000元/臺(tái)光釬收發(fā)機(jī)金浪KN-S113SCKingnet280元/臺(tái)12芯室外架空多模光纜漢維(HW810-12MM)漢維7元/米8芯多模室外鎧裝光纜立孚立孚5元/米超五類雙絞線TCLTCL4.6元/米防火墻華為賽門鐵克USG2110華為1800元/臺(tái)比較各設(shè)備的性能和價(jià)格，我們作出如下選擇：（1）分布層的三層設(shè)備采用CiscoCatalyst3560系列交換機(jī)。CiscoCatalyst3560系列交換機(jī)一個(gè)固定配置、企業(yè)級(jí)、IEEE802.3af和思科預(yù)標(biāo)準(zhǔn)以太網(wǎng)供電（PoE）交換機(jī)系列，工作在快速以太網(wǎng)和千兆位以太網(wǎng)配置下。Catalyst3560是一款理想的接入層交換機(jī)。核心交換機(jī)為最主要部分，因此需要高端設(shè)備。Catalyst6500系列為企業(yè)園區(qū)網(wǎng)和電信運(yùn)營(yíng)商網(wǎng)絡(luò)設(shè)立了新的IP通信和應(yīng)用支持標(biāo)準(zhǔn)，它不但能提高用戶的生產(chǎn)率，增強(qiáng)操作控制，還能提供無(wú)與倫比的投資保護(hù)。所有二層交換機(jī)考慮到價(jià)格因素選用銳捷RG-S6806E系列交換機(jī)。RG-S6806E系列多業(yè)務(wù)萬(wàn)兆核心路由交換機(jī)提供1.6T/0.8T背板帶寬，并支持將來(lái)3.2T/1.6T的能力，高達(dá)572Mpps/286Mpps的二/三層包轉(zhuǎn)發(fā)速率可為用戶提供高速無(wú)阻塞的數(shù)據(jù)交換，強(qiáng)大的交換路由功能、安全智能技術(shù)可同銳捷各系列交換機(jī)配合，為用戶提供完整的端到端解決方案，是大型網(wǎng)絡(luò)核心骨干和大流量節(jié)點(diǎn)交換機(jī)的理想選擇。（2）關(guān)于防火墻的選擇：根據(jù)該校園的網(wǎng)絡(luò)使用狀況和實(shí)際需求，綜合考慮經(jīng)濟(jì)性、品牌實(shí)力、應(yīng)用拓展等因素，本方案采用國(guó)內(nèi)防火墻華為賽門鐵克USG2110系列產(chǎn)品。其技術(shù)特點(diǎn)是：安全功能：高穩(wěn)定，高安全，高效率，高擴(kuò)展，模塊化，多平臺(tái)支持。管理功能：實(shí)時(shí)監(jiān)控，實(shí)時(shí)查看防火墻主機(jī)的當(dāng)前負(fù)載情況，包括內(nèi)存的使用情況和連接狀況等；支持同時(shí)對(duì)多個(gè)設(shè)備的監(jiān)控。支持對(duì)各種二層協(xié)議的控制；支持進(jìn)行深層次的應(yīng)用層過(guò)濾。支持SSN（Service-orientedseeuritynetwork面向服務(wù)的安全網(wǎng)絡(luò)）。日志分析：審計(jì)日志分為多個(gè)等級(jí)；支持日志的自動(dòng)導(dǎo)出與自動(dòng)統(tǒng)計(jì)分析。支持高級(jí)日志分析系統(tǒng)。除防火墻外，還支持路由器、交換機(jī)、OS和應(yīng)用系統(tǒng)的日志分析。可靠性：支持報(bào)文調(diào)試功能。支持運(yùn)行黑匣子功能，并能導(dǎo)出設(shè)備健康運(yùn)行記錄。（3）關(guān)于DHCP服務(wù)器局域網(wǎng)中每臺(tái)計(jì)算機(jī)都要有自己的IP地址，但靜態(tài)的去給每臺(tái)機(jī)子輸入，由于校園網(wǎng)的計(jì)算機(jī)很多，會(huì)很麻煩而且容易導(dǎo)致IP沖突，不易管理。所以用DHCP服務(wù)器將IP地址數(shù)據(jù)庫(kù)中的IP地址動(dòng)態(tài)的分配給局域網(wǎng)中的客戶機(jī)，這時(shí)只需在客戶機(jī)上選擇“自動(dòng)獲取IP地址”即可?？蛻魴C(jī)通過(guò)廣播信息包的方式向DHCP服務(wù)器提出申請(qǐng)，服務(wù)器收到信息后會(huì)向客戶機(jī)提供一個(gè)合適的IP地址，每臺(tái)客戶機(jī)將選擇一個(gè)IP地址而拒絕其他的，而且DHCP服務(wù)器在提供IP地址時(shí)會(huì)設(shè)置一定的租用期限，當(dāng)客戶機(jī)的租約到期后會(huì)釋放IP地址而重新獲得服務(wù)器提供的其他IP地址。DHCP服務(wù)器還可以通過(guò)保留設(shè)置，給其它服務(wù)器提供一個(gè)永久不過(guò)期的IP地址，例如給DNS服務(wù)器保留IP，就相當(dāng)于有了一個(gè)靜態(tài)容易訪問(wèn)的IP地址。也就是你的電腦連上網(wǎng)，DHCP服務(wù)器才從地址池里臨時(shí)分配一個(gè)IP地址給你，每次上網(wǎng)分配的IP地址可能會(huì)不一樣，這跟當(dāng)時(shí)IP地址資源有關(guān)。當(dāng)你下線的時(shí)候，DHCP服務(wù)器可能就會(huì)把這個(gè)地址分配給之后上線的其他電腦。這樣就可以有效節(jié)約IP地址，既保證了你的通信，又提高IP地址的使用率。因?yàn)橹皠澐講lan時(shí)，學(xué)生宿舍樓屬于vlan2，可用地址空間為/24，所以在DHCP服務(wù)器的地址池中只能宣告這個(gè)范圍的地址供同學(xué)們使用。通過(guò)更改三層交換機(jī)的優(yōu)先級(jí)，使其成為生成樹(shù)協(xié)議（STP）中的根交換機(jī)。為了交換機(jī)與交換機(jī)之間能夠傳遞不同vlan，需要在交換機(jī)相連接口之間配成802.1Qtrunk模式。還需要在每臺(tái)交換機(jī)上配置VTP，用于傳遞和同步vlan信息，其中把三層交換機(jī)配置成VTP的server端。在內(nèi)部接入主機(jī)的交換機(jī)接口都配成portfast接口，此功能可以使該接口跳過(guò)生成樹(shù)的監(jiān)聽(tīng)和學(xué)習(xí)狀態(tài)，直接進(jìn)入轉(zhuǎn)發(fā)狀態(tài)，實(shí)現(xiàn)生成樹(shù)的快速收斂。為了不讓在配置了portfast接口上錯(cuò)誤地連接交換機(jī)導(dǎo)致STP重新計(jì)算，配置了portfast的同時(shí)要配置bpduguard，此功能可以讓配置了portfast的接口在接收BPDU的時(shí)候進(jìn)入err-disable狀態(tài)，從而解決不小心把交換機(jī)錯(cuò)誤地接入。配置DHCP：Router(config)#servicedhcpRouter(config)#ipdhcppoolSTUDENTRouter(dhcp-config)#networkRouter(dhcp-config)#exitRouter(config)#ipdhcpexcluded-address配置vlan：SW(config)#vlan2SW(config-vlan)#namestuSW(config-vlan)#exitSW(config)#vlan3SW(config-vlan)#namelibSW(config-vlan)#exitSW(config)#vlan4SW(config-vlan)#nametechSW(config-vlan)#exitSW(config)#intf1/0//交換機(jī)上連接主機(jī)的接口SW(config-if)#switchportmodeaccessSW(config-if)#switchportaccessvlan2SW(config)#spanning-treeportfastdefaultSW(config)#spanning-treeportfastbpduguarddefaultSW(config)#interfacef1/2//交換機(jī)之間互聯(lián)接口配trunkSW(config-if)#switchporttrunkencapsulationdot1qSW(config-if)#switchportmodetrunkSW(config)#spanning-treevlan1-4096priority0//核心交換機(jī)上配置優(yōu)先級(jí)使其成為根交換機(jī)。SW(config)#vtpdomaincisco//配置所有交換機(jī)相同域名和密碼。SW(config)#vtppasswordccieSW(config)#vtpmodeserver//核心交換機(jī)為server端SW(config)#vtpmodeclient//其它交換機(jī)為client端核心交換機(jī)創(chuàng)建SVI接口，并且運(yùn)行OSPF協(xié)議：SW(config)#interfacevlan3SW(config-if)#ipaddressSW(config)#interfacef1/1SW(config-if)#noswitchport//開(kāi)啟交換機(jī)三層接口SW(config-if)#ipaddressSW(config)#routerospf1SW(config-router)#router-idSW(config-router)#network55area1SW(config-router)#network55area2SW(config-router)#network55area3SW(config-router)#network55area4SW(config-router)#networkarea0//用于NAT路由建立鄰居關(guān)系（4）路由選擇與配置思科cisco2800系列路由器可以用于中小型企業(yè)的網(wǎng)絡(luò)接入，實(shí)現(xiàn)NAT轉(zhuǎn)換，共享公網(wǎng)地址，支持各種專線接入。NAT路由器的設(shè)計(jì)網(wǎng)絡(luò)地址轉(zhuǎn)換(NAT,NetworkAddressTranslation)屬接入廣域網(wǎng)(WAN)技術(shù),是一種將私有(保留)地址轉(zhuǎn)化為合法IP地址的轉(zhuǎn)換技術(shù),它被廣泛應(yīng)用于各種類型Internet接入方式和各種類型的網(wǎng)絡(luò)中。NAT不僅解決了lP地址不足的問(wèn)題，而且還能夠有效地避免來(lái)自網(wǎng)絡(luò)外部的攻擊，隱藏并保護(hù)網(wǎng)絡(luò)內(nèi)部的計(jì)算機(jī)。因此NAT是這個(gè)校園網(wǎng)絡(luò)不可缺少的一部分。NAT可以將多個(gè)地址同時(shí)映射到單個(gè)地址，該功能稱為PAT。PAT會(huì)同時(shí)轉(zhuǎn)換IP地址和端口號(hào)，來(lái)自不同地址的數(shù)據(jù)包可以被轉(zhuǎn)換為同一個(gè)地址，但相應(yīng)的端口號(hào)不相同，這樣就可以共享同一個(gè)地址了。NAT連接核心交換機(jī)的地址采用私有地址，連接ISP的接口采用共有地址，該地址必須要向ISP申請(qǐng)。配置NAT：Router(config)#interfacef0/0Router(config-if)#ipaddressRouter(config-if)#ipnatinsideRouter(config-if)#noshutdownRouter(config)#interfacef1/0Router(config-if)#ipaddressRouter(config-if)#ipnatoutsideRouter(config-if)#noshutdownRouter(config)#ipnatinsidesourcelist1interfacef1/0overloadRouter(config)#access-list1permit55配置OSPF：Router(config)#routerospf1Router(config-router)#router-idRouter(config-router)#networkarea03.6、網(wǎng)絡(luò)安全設(shè)計(jì)與管理3.6.1安全需求分析(1)、網(wǎng)絡(luò)病毒的防范(2)、防止IP、MAC地址的盜用(3)、安全事故發(fā)生時(shí)候，需要準(zhǔn)確定位到用戶(4)、用戶上網(wǎng)時(shí)間的控制(5)、用戶網(wǎng)絡(luò)權(quán)限的控制(6)、各種網(wǎng)絡(luò)攻擊的有效屏蔽3.6.2網(wǎng)絡(luò)安全控制(1)對(duì)端口ARP檢查防止ARP攻擊；(2)對(duì)端口安全：MAC動(dòng)態(tài)地址鎖，MAC地址靜態(tài)綁定；(3)交換設(shè)備BPDUGuard功能，過(guò)濾非法BPDU報(bào)文，防止STP攻擊交換機(jī)；(4)端口安全：端口靜態(tài)綁定，自動(dòng)綁定IP和MAC地址防止DOS攻擊；(5)智能安全到邊緣：多種ACL，滿足不同網(wǎng)絡(luò)應(yīng)用，過(guò)濾病毒(6)SSH密文傳輸，限制管理IP等措施保證設(shè)備管理可靠；(7)對(duì)網(wǎng)絡(luò)病毒的防范：采用設(shè)置ACL，對(duì)病毒進(jìn)行過(guò)濾；我們使用的匯聚、核心交換機(jī)都支持SPOH，通過(guò)端口獨(dú)立的FFP進(jìn)行ACL處理，網(wǎng)絡(luò)設(shè)備性能不受設(shè)置ACL數(shù)目影響；3.6.3網(wǎng)絡(luò)管理設(shè)計(jì)網(wǎng)絡(luò)管理包括用戶管理、設(shè)備管理、網(wǎng)絡(luò)故障管理(1)網(wǎng)絡(luò)用戶管理(2)網(wǎng)絡(luò)設(shè)備管理網(wǎng)絡(luò)設(shè)備的管理通過(guò)STARVIEW實(shí)現(xiàn)，主要提供以下功能，這些功能也是我們常見(jiàn)的解決問(wèn)題的思路：1、網(wǎng)絡(luò)現(xiàn)狀及故障的自動(dòng)發(fā)現(xiàn)和了解STARVIEW能自動(dòng)發(fā)現(xiàn)網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)，讓網(wǎng)絡(luò)管理員對(duì)整個(gè)校園網(wǎng)了如指掌，對(duì)于用戶私自掛接的HUB、交換機(jī)等設(shè)備能及時(shí)地發(fā)現(xiàn)，提前消除各種安全隱患。對(duì)于網(wǎng)絡(luò)中的異常故障，比如某臺(tái)交換機(jī)的CPU利用率過(guò)高，某條鏈路上的流量負(fù)載過(guò)大，STARVIEW都可以以不同的顏色進(jìn)行顯示，方便管理員及時(shí)地發(fā)現(xiàn)網(wǎng)絡(luò)中的異常情況。2、網(wǎng)絡(luò)流量的查看STARVIEW在網(wǎng)絡(luò)初步異常的情況下，能進(jìn)一步的察看網(wǎng)絡(luò)中的詳細(xì)流量，從而為網(wǎng)絡(luò)故障的定位提供了豐富的數(shù)據(jù)支持。3、網(wǎng)絡(luò)故障的信息自動(dòng)報(bào)告STARVIEW支持故障信息的自動(dòng)告警，當(dāng)網(wǎng)絡(luò)設(shè)備出現(xiàn)故障時(shí)，會(huì)通過(guò)TRAP的方式進(jìn)行告警，網(wǎng)絡(luò)管理員的界面上能看到各種故障信息，這些信息同樣為管理員的故障排除提供了豐富的信息。4、設(shè)備面板管理STARVIEW的設(shè)備面板管理能夠很清楚的看到校園中設(shè)備的面板，包括端口數(shù)量、狀態(tài)等等，同時(shí)可以很方便的登陸到設(shè)備上，進(jìn)行配置的修改，完善以及各種信息的察看。5、RGNOS操作系統(tǒng)的批量升級(jí)校園網(wǎng)很大的一個(gè)特點(diǎn)就是規(guī)模大，需要使用大量的接入層交換機(jī)，如果需要對(duì)這些交換機(jī)進(jìn)行升級(jí)，一臺(tái)一臺(tái)的操作，會(huì)給管理員的工作帶來(lái)很大的壓力，STARVIEW提供的操作系統(tǒng)的批量升級(jí)功能，能夠很方便的一次對(duì)所有的相同型號(hào)的交換機(jī)進(jìn)行升級(jí)，加大的較少了網(wǎng)絡(luò)管理員的工作量。(3)網(wǎng)絡(luò)故障管理3.7、未來(lái)升級(jí)與擴(kuò)展本方案采用的是分層結(jié)構(gòu)。分層結(jié)構(gòu)可從一個(gè)單元素架構(gòu)開(kāi)始進(jìn)行線性擴(kuò)展，從而顯著降低了構(gòu)建可與其多級(jí)結(jié)構(gòu)相媲美的大型結(jié)構(gòu)所需的器件數(shù)。未來(lái)需要接入交換機(jī)時(shí)要記得把該交換機(jī)的配置清空，避免影響到整個(gè)拓?fù)?。此外，還有包括以下幾個(gè)方面：處理能力擴(kuò)展處理能力是指交換機(jī)的數(shù)據(jù)轉(zhuǎn)發(fā)能力，一般是指三層轉(zhuǎn)發(fā)能力。這種要求通常出現(xiàn)在網(wǎng)絡(luò)的匯聚層或核心層。隨著用戶業(yè)務(wù)的發(fā)展，業(yè)務(wù)數(shù)據(jù)流較大時(shí)，或?qū)I(yè)務(wù)數(shù)據(jù)流有較多的QOS或安全策略時(shí)，交換機(jī)的轉(zhuǎn)發(fā)能力不足就會(huì)影響業(yè)務(wù)。帶寬擴(kuò)展帶寬擴(kuò)展通常出現(xiàn)在不同的網(wǎng)絡(luò)層次間，如接入層和匯聚層，匯聚層和核心層。由于桌面接入的主流都已經(jīng)是100MB，而100MB交換機(jī)的上聯(lián)端口通常為1000MB，在滿負(fù)荷情況下，也才能滿足10個(gè)端口的線速上聯(lián)，而現(xiàn)在交換機(jī)動(dòng)輒24口，48口，因此在某些情況下，需要進(jìn)行上聯(lián)帶寬的擴(kuò)展。平滑擴(kuò)展隨著用戶對(duì)網(wǎng)絡(luò)的依賴性越來(lái)越強(qiáng)，網(wǎng)絡(luò)的中斷可能會(huì)給用戶帶來(lái)巨大的損失。即使是要進(jìn)行網(wǎng)絡(luò)的擴(kuò)展升級(jí)，用戶也希望不要對(duì)現(xiàn)存的網(wǎng)絡(luò)有影響。這就要求網(wǎng)絡(luò)的擴(kuò)展具有平滑不中斷的特性。同時(shí)，在網(wǎng)絡(luò)擴(kuò)展中，能夠保護(hù)原有設(shè)備的投資，不造成投資浪費(fèi)。4、網(wǎng)絡(luò)施工與結(jié)構(gòu)化布線4.1總布線規(guī)劃由于規(guī)劃的是一個(gè)校園局域網(wǎng)，它包含多棟建筑物，對(duì)網(wǎng)絡(luò)的連接可靠性和性能要求較高。這種網(wǎng)絡(luò)最好采用千兆以太網(wǎng)作為網(wǎng)絡(luò)骨干，網(wǎng)絡(luò)可以分為核心層和接入層。核心層設(shè)備具有多層交換機(jī)功能的千兆以太網(wǎng)交換機(jī)，接入層設(shè)備選擇帶有千兆上聯(lián)端口的以太網(wǎng)交換機(jī)。4.2網(wǎng)絡(luò)布局的具體實(shí)施要求對(duì)于有線局域網(wǎng)來(lái)說(shuō)，這是我們目前企業(yè)網(wǎng)絡(luò)建設(shè)中，經(jīng)常會(huì)遇到的，需要對(duì)機(jī)房和辦公大樓進(jìn)行布線。規(guī)劃網(wǎng)絡(luò)布局要考慮到機(jī)房的設(shè)備布局和布線系統(tǒng)的合理搭配。因此我們首先要規(guī)劃與設(shè)計(jì)好機(jī)房、布線系統(tǒng)，然后再全面地考慮網(wǎng)絡(luò)的布局。校園網(wǎng)的規(guī)劃與設(shè)計(jì)為了確保網(wǎng)絡(luò)、計(jì)算機(jī)系統(tǒng)穩(wěn)定、安全、可靠地運(yùn)行，以及保障工作人員有良好的工作環(huán)境，做到技術(shù)先進(jìn)、經(jīng)濟(jì)合理、安全適用、確保質(zhì)量，符合國(guó)家有關(guān)的機(jī)房設(shè)計(jì)規(guī)定。1)防靜電靜電不僅會(huì)對(duì)計(jì)算機(jī)運(yùn)行出現(xiàn)隨機(jī)故障，而且還會(huì)導(dǎo)致某些元器件，雙級(jí)性電路等的擊