校園網(wǎng)絡(luò)的搭建規(guī)劃設(shè)計(jì)與實(shí)現(xiàn)--畢業(yè)論文

1、<p>　　校園網(wǎng)絡(luò)的搭建規(guī)劃設(shè)計(jì)與實(shí)現(xiàn)</p><p><b>　　摘要</b></p><p>　　隨著信息技術(shù)的高速發(fā)展，許多學(xué)校紛紛建立屬于自己的校園網(wǎng),將計(jì)算機(jī)引入教學(xué)、科研、管理等各個(gè)領(lǐng)域，從而引起了教學(xué)方法、教學(xué)手段和教學(xué)工具的重大改革，對(duì)提高教學(xué)質(zhì)量，推動(dòng)我國(guó)教育現(xiàn)代化的快速發(fā)展起著重要的作用。</p><p>　　本

2、文在局域網(wǎng)技術(shù)和先進(jìn)發(fā)展基礎(chǔ)上，分析了建立校園網(wǎng)的意義，建設(shè)原則和目的，并詳細(xì)闡述了其設(shè)計(jì)方案過(guò)程。文章從系統(tǒng)結(jié)構(gòu)、網(wǎng)絡(luò)方案、管理、布局等方面討論了校園網(wǎng)絡(luò)的設(shè)計(jì)方案。在網(wǎng)絡(luò)設(shè)計(jì)中，詳細(xì)介紹了網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)、VLAN劃分、IP分配、擴(kuò)展訪問(wèn)、NAT配置。最后通過(guò)相關(guān)軟件對(duì)網(wǎng)絡(luò)進(jìn)行管理以及實(shí)現(xiàn)網(wǎng)絡(luò)的安全性。</p><p>　　本課題正是以本校的校園網(wǎng)為例，建設(shè)一個(gè)開(kāi)放的、靈活的、先進(jìn)的、可擴(kuò)展的、易于管理的、高速網(wǎng)

3、絡(luò)的校園網(wǎng)，完全能夠適應(yīng)學(xué)校在相當(dāng)長(zhǎng)的一段時(shí)間里的使用要求。并且能夠?qū)崿F(xiàn)多媒體教學(xué)、網(wǎng)絡(luò)教學(xué)、數(shù)據(jù)安全等各種網(wǎng)絡(luò)服務(wù)，以滿足現(xiàn)代化教學(xué)的各種需求。</p><p>　　關(guān)鍵詞：網(wǎng)絡(luò)拓?fù)?，VLAN，IP，擴(kuò)展訪問(wèn)，NAT </p><p>　　Design and Implementation of the Campus Network</p><p><b&g

4、t;　　ABSTRACT</b></p><p>　　With the quick development of information technology, many campus network are constructed in which computers is adopted in teaching, scientific research, management and so on.

5、 It results in great innovation in teaching means and tools, and play an important role in implementation of modern education of our country. </p><p>　　Based on local area network technology and advanced dev

6、elopment, analysis of the significance of the campus network, construction principle and purpose, and expounds the design process in detail. The article from the system structure, network, management and layout of the ca

7、mpus network is discussed in aspects of design. In network design, the paper introduces the network topology structure, the VLAN dividing, the IP allocation, expand access, dynamic routing configuration, NAT configuratio

8、n. Fi</p><p>　　This topic is the word of the school campus network as an example, the construction of an open, flexible, advanced, scalable, manageable, high-speed network of campus network, fully able to ad

9、apt to the school for quite a long time of use requirements. And be able to realize the multimedia teaching, network teaching, data security and other web services, to meet the diverse needs of modern teaching.</p>

10、<p>　　Key words: network topology, VLAN, IP, expanded access, NAT</p><p><b>　　目錄</b></p><p><b>　　1 前言1</b></p><p><b>　　1.1課題背景1</b></

11、p><p>　　1.2 目的和意義2</p><p>　　1.3 系統(tǒng)設(shè)計(jì)思想3</p><p><b>　　2需求分析4</b></p><p>　　2.1 業(yè)務(wù)需求分析4</p><p>　　2.2 用戶需求分析7</p><p>　　2.3 技術(shù)需求分析8&l

12、t;/p><p>　　3 校園網(wǎng)絡(luò)的結(jié)構(gòu)設(shè)計(jì)12</p><p>　　3.1 配置核心VLAN端口地址12</p><p>　　3.2 IP擴(kuò)展訪問(wèn)16</p><p>　　3.3 靜態(tài)NAT配置19</p><p>　　4 校園網(wǎng)絡(luò)的主體拓?fù)浣Y(jié)構(gòu)22</p><p><b>　

13、　5 論文總結(jié)27</b></p><p><b>　　參考文獻(xiàn)28</b></p><p><b>　　指導(dǎo)教師簡(jiǎn)介29</b></p><p><b>　　致謝30</b></p><p><b>　　1 前言</b></p&

14、gt;<p>　　在這個(gè)知識(shí)爆炸的社會(huì)中，對(duì)于合格人才的要求越來(lái)越多，需要他們掌握大量的各類(lèi)知識(shí)，在教育中需要提高教學(xué)效率，這就要求學(xué)校的教學(xué)和管理工作向著信息交流網(wǎng)絡(luò)化、信息管理數(shù)據(jù)化、信息服務(wù)電子化發(fā)展。因此利用計(jì)算機(jī)網(wǎng)絡(luò)技術(shù)進(jìn)行學(xué)術(shù)管理和開(kāi)展互助教學(xué)已是勢(shì)在必行。</p><p>　　這就要求校園網(wǎng)絡(luò)是一個(gè)專(zhuān)業(yè)性很強(qiáng)的局域網(wǎng)。多媒體教學(xué)軟件開(kāi)發(fā)的平臺(tái)，多媒體演示教室，教師備課系統(tǒng)，考試資料庫(kù)等

15、，都可以通過(guò)網(wǎng)絡(luò)運(yùn)行工作。校園網(wǎng)應(yīng)具有教學(xué)、管理和通信三大功能。對(duì)于目前的校園網(wǎng)建設(shè)來(lái)說(shuō)，主要具有教學(xué)和通信功能，難以實(shí)現(xiàn)以熟悉化校園為核心的管理技術(shù)。</p><p>　　建設(shè)校園網(wǎng)對(duì)每個(gè)學(xué)校來(lái)說(shuō)都不是一件容易的事，都要經(jīng)過(guò)周密的論證、謹(jǐn)慎的決策和緊張的施工。校園網(wǎng)建成了，各種問(wèn)題也不斷涌現(xiàn)，比如，設(shè)計(jì)目標(biāo)根本無(wú)法實(shí)現(xiàn)，后續(xù)的維護(hù)費(fèi)用不堪承受等等。</p><p>　　我將按照“統(tǒng)一規(guī)劃

16、、講究實(shí)效、安全可靠”的原則，進(jìn)行校園網(wǎng)絡(luò)的系統(tǒng)設(shè)計(jì)，確保系統(tǒng)運(yùn)行可靠，經(jīng)濟(jì)性，投資合理，有良好的性能價(jià)格比，以滿足校園內(nèi)計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)的需要。</p><p><b>　　1.1課題背景</b></p><p>　　高校校園網(wǎng)一直是國(guó)內(nèi)Internet發(fā)展的領(lǐng)頭羊。1994年7月 ，中國(guó)教育和科研計(jì)算機(jī)網(wǎng)CERNET示范工程啟動(dòng)。也就是同一年，清華北大等頂尖大學(xué)建成

17、了自己的校園網(wǎng)，實(shí)際上這些網(wǎng)絡(luò)也是中國(guó)Internet的開(kāi)端。高校校園網(wǎng)從 1994年的啟動(dòng)建立到現(xiàn)在的17年間，我國(guó)的網(wǎng)絡(luò)技術(shù)得到了很大的提高。其中很重要的原因就是校園網(wǎng)絡(luò)的高速發(fā)展，校園網(wǎng)絡(luò)的現(xiàn)代化程度代表了國(guó)家網(wǎng)絡(luò)整體的水平。所以建設(shè)現(xiàn)代化、人性化和高效的校園網(wǎng)絡(luò)迫在眉睫。</p><p><b>　　1.2 目的和意義</b></p><p>　　在做這次校園

18、網(wǎng)絡(luò)設(shè)計(jì)的過(guò)程中，我們學(xué)習(xí)到的不僅僅是如何設(shè)計(jì)和組建一個(gè)校園網(wǎng)絡(luò)，而且更重要的是通過(guò)這次畢業(yè)設(shè)計(jì)可以將在大學(xué)四年中所學(xué)習(xí)到的知識(shí)進(jìn)行綜合利用，最后達(dá)到融會(huì)貫通。</p><p>　　學(xué)院現(xiàn)在正處于一個(gè)高速發(fā)展日益壯大的時(shí)期。每年都有更多的新同學(xué)進(jìn)入學(xué)校學(xué)習(xí)，越來(lái)越多資源正處于學(xué)校的不同位置不同的環(huán)境中。在使用這些資源如圖書(shū)館的在線圖書(shū)查閱、訪問(wèn)學(xué)校內(nèi)部文件服務(wù)器、登陸學(xué)校內(nèi)部網(wǎng)站等日常應(yīng)用，如果無(wú)法實(shí)現(xiàn)的話,不但

19、造成了大量的現(xiàn)有資源的閑置而且隨著信息量的增大還會(huì)帶來(lái)工作效率降低等諸多弊端。所以要利用好現(xiàn)有的網(wǎng)絡(luò)資源組建一個(gè)現(xiàn)代化的校園網(wǎng)絡(luò)。</p><p>　　現(xiàn)今的網(wǎng)絡(luò)系統(tǒng)包括網(wǎng)絡(luò)交換機(jī)以及疊加其上的語(yǔ)音、數(shù)據(jù)、視頻裝置以及可變化的軟、硬件應(yīng)用。它的開(kāi)放式設(shè)計(jì)意味著更好的整體化及高品質(zhì)應(yīng)用的能力。提供的帶寬可適合話音，圖像，數(shù)據(jù)的傳輸，這種帶寬結(jié)合設(shè)備廠商的優(yōu)秀網(wǎng)管模式，可以向用戶提供面對(duì)面的通訊。在建設(shè)校園網(wǎng)時(shí)，要達(dá)

20、到以下目標(biāo)：</p><p>　　1．在校園內(nèi)部實(shí)現(xiàn)資源高度共享，為教學(xué)、科研、管理提供服務(wù)，為計(jì)劃、組織、管理與決策提供基礎(chǔ)信息和科學(xué)手段。</p><p>　　2．支持教育教學(xué)改革，提高教育技術(shù)的現(xiàn)代水平和教育信息化程度、為學(xué)校教師的備課、課件制作、教學(xué)演示提供網(wǎng)絡(luò)環(huán)境。</p><p>　　3．通過(guò)互聯(lián)網(wǎng)、錄像機(jī)、掃描儀、數(shù)碼相機(jī)等各種渠道獲得多媒體資料，實(shí)現(xiàn)

21、素材收集、電子備課功能。培養(yǎng)創(chuàng)新人才，提高學(xué)生收集處理信息的能力、獲取新知識(shí)的能力、分析和解決問(wèn)題的能力、語(yǔ)言文字表達(dá)能力以及團(tuán)結(jié)協(xié)作和社會(huì)活動(dòng)的能力，使學(xué)生能自主學(xué)習(xí)、協(xié)商學(xué)習(xí)、發(fā)現(xiàn)探究式學(xué)習(xí)以及自我評(píng)價(jià)，為學(xué)生的全面發(fā)展創(chuàng)造相應(yīng)的條件。</p><p>　　4．實(shí)現(xiàn)辦公自動(dòng)化，提供與上級(jí)教育部門(mén)、社會(huì)、家庭之間通訊的出入口，提供電子函件、公告牌和教育教學(xué)信息查詢等服務(wù)，提高工作效率和管理水平。</p&g

22、t;<p>　　5．及時(shí)、準(zhǔn)備、可靠地收集、處理、存儲(chǔ)、傳輸學(xué)校的教育教學(xué)信息完成與因特網(wǎng)的通訊和資源共享，實(shí)現(xiàn)社會(huì)教育、學(xué)校教育、家庭教育的有機(jī)整合。</p><p>　　6．實(shí)現(xiàn)課堂多媒體電化教學(xué)，具備適用于雙向課堂語(yǔ)音教學(xué)及語(yǔ)音室功能學(xué)習(xí)。以代替手提錄音機(jī)，實(shí)現(xiàn)音頻數(shù)字化資源共享、集中管理。</p><p>　　1.3 系統(tǒng)設(shè)計(jì)思想</p><p&g

23、t;　　采用先進(jìn)成熟的技術(shù)和設(shè)計(jì)思想，運(yùn)用先進(jìn)的集成技術(shù)路線，以先進(jìn)、實(shí)用、開(kāi)放、安全、使用方便和易于操作為原則，突出系統(tǒng)功能的實(shí)用性，盡快投入使用，發(fā)揮較好的效能。</p><p>　　本系統(tǒng)在軟件配置和硬件設(shè)備，整個(gè)系統(tǒng)設(shè)計(jì)上依照以下原則確定。</p><p><b>　　1．先進(jìn)性</b></p><p>　　世界上計(jì)算機(jī)技術(shù)的發(fā)展十分迅

24、速，更新?lián)Q代周期越來(lái)越短。所以，選購(gòu)設(shè)備要充分注意先進(jìn)性，選擇硬件要預(yù)測(cè)到未來(lái)發(fā)展方向，選擇軟件要考慮開(kāi)放性，工具性和軟件集成優(yōu)勢(shì)。</p><p><b>　　2．實(shí)用性</b></p><p>　　系統(tǒng)的設(shè)計(jì)既要在相當(dāng)長(zhǎng)的時(shí)間內(nèi)保證其先進(jìn)性，還應(yīng)本著實(shí)用的原則，在實(shí)用的基礎(chǔ)上追求先進(jìn)性，使系統(tǒng)便于聯(lián)網(wǎng)，實(shí)現(xiàn)信息資源共享。易于維護(hù)管理，具有廣泛兼容性，同時(shí)為適應(yīng)我國(guó)

25、實(shí)際情況，設(shè)備應(yīng)具有使用靈活、操作方便的漢字、圖形處理功能。</p><p><b>　　3．安全性</b></p><p>　　目前，計(jì)算機(jī)網(wǎng)絡(luò)都與外部網(wǎng)絡(luò)互連互通日益增加，都直接或間接與國(guó)際互連網(wǎng)連接。因此，在系統(tǒng)方案設(shè)計(jì)需考慮到系統(tǒng)的可靠性、信息安全性和保密性的要求。</p><p><b>　　4．易擴(kuò)充性</b>

26、</p><p>　　系統(tǒng)規(guī)模及檔次要易于擴(kuò)展，可以方便地進(jìn)行設(shè)備擴(kuò)充和適應(yīng)工程的變化，以及靈活地進(jìn)行軟件版本的更新和升級(jí)，保護(hù)用戶的投資。</p><p>　　目前，網(wǎng)絡(luò)向多平臺(tái)、多協(xié)議、異種機(jī)、異構(gòu)型網(wǎng)絡(luò)共存方向發(fā)展，其目標(biāo)是將不同機(jī)器、不同操作系統(tǒng)、不同的網(wǎng)絡(luò)類(lèi)型連成一個(gè)可協(xié)同工作的一個(gè)整體。所以所選網(wǎng)絡(luò)的通迅協(xié)議要符合國(guó)際標(biāo)準(zhǔn)，為將來(lái)系統(tǒng)的升級(jí)、擴(kuò)展打下良好的基礎(chǔ)。</p&g

27、t;<p><b>　　5．靈活性</b></p><p>　　采用結(jié)構(gòu)化、模塊化的設(shè)計(jì)形式，滿足系統(tǒng)及用戶各種不同的應(yīng)用要求，適應(yīng)業(yè)務(wù)調(diào)整變化。</p><p><b>　　6．規(guī)范性</b></p><p>　　采用的技術(shù)標(biāo)準(zhǔn)按照國(guó)際標(biāo)準(zhǔn)和國(guó)家標(biāo)準(zhǔn)與規(guī)范，保證系統(tǒng)的延續(xù)性和可靠性。</p>

28、<p><b>　　7．綜合性</b></p><p>　　滿足系統(tǒng)目標(biāo)與功能目標(biāo)，總體方案設(shè)計(jì)合理，滿足用戶的應(yīng)用要求，便于系統(tǒng)維護(hù)，以及系統(tǒng)二次開(kāi)發(fā)與移植。</p><p><b>　　2需求分析</b></p><p>　　2.1 業(yè)務(wù)需求分析</p><p>　　1．骨干網(wǎng)絡(luò)高性能

29、和高穩(wěn)定可靠的需求</p><p>　　首先是高性能。高校校園網(wǎng)中用戶數(shù)在不斷增加，并且隨著網(wǎng)絡(luò)應(yīng)用技術(shù)的不斷豐富，高校校園網(wǎng)應(yīng)用也愈發(fā)復(fù)雜，例如FTP、VOD點(diǎn)播等大量數(shù)據(jù)的訪問(wèn)，尤其目前流行的P2P的應(yīng)用產(chǎn)生了巨大的網(wǎng)絡(luò)流量。如何進(jìn)行網(wǎng)絡(luò)傳輸，對(duì)網(wǎng)絡(luò)設(shè)備的性能提出了很高的要求。實(shí)際情況中，依然使用的骨干設(shè)備是集中式表查詢和集中式轉(zhuǎn)發(fā)模式的。</p><p>　　其次是穩(wěn)定可靠性。一方面

30、，未來(lái)的社會(huì)是信息的社會(huì)，當(dāng)隨著校內(nèi)師生員工的工作、科研、學(xué)習(xí)、生活、娛樂(lè)越來(lái)越離不開(kāi)網(wǎng)絡(luò)（例如：無(wú)紙化辦公、網(wǎng)絡(luò)教學(xué)、視頻會(huì)議和視頻點(diǎn)播、網(wǎng)上購(gòu)物等業(yè)務(wù)的開(kāi)展），網(wǎng)絡(luò)的穩(wěn)定可靠性就顯得愈發(fā)重要——網(wǎng)絡(luò)隨便斷開(kāi)幾小時(shí)也無(wú)所謂的歷史已經(jīng)過(guò)去。另一方面，在應(yīng)用豐富的同時(shí)，網(wǎng)絡(luò)環(huán)境變得異常惡劣。近兩年，安全攻擊事件呈指數(shù)級(jí)上升而所需要的知識(shí)卻越來(lái)越弱化，各種攻擊工具在網(wǎng)絡(luò)上可以隨手躡來(lái)。這也及對(duì)網(wǎng)絡(luò)在網(wǎng)絡(luò)攻擊或者病毒泛濫情況下的穩(wěn)定可靠性提出

31、了挑戰(zhàn)。目前，在高校使用的設(shè)備中還存在大量早期采購(gòu)的設(shè)備，這些在啟用了安全規(guī)則情況下性能急劇下降——在受到網(wǎng)絡(luò)攻擊或者病毒泛濫的時(shí)候，CPU利用率高居不下，設(shè)備穩(wěn)定性降低，很可能死機(jī)。</p><p>　　由此分析看來(lái)，隨著用戶數(shù)增加、應(yīng)用的復(fù)雜，導(dǎo)致網(wǎng)絡(luò)流量的飛速提升，需要保證多用戶、大流量情況下骨干的高帶寬，骨干設(shè)備的線速轉(zhuǎn)發(fā)。隨著師生日常對(duì)于網(wǎng)絡(luò)的依賴性的增強(qiáng)，和網(wǎng)絡(luò)環(huán)境的日趨惡化，需要保證做到骨干網(wǎng)絡(luò)一定

32、級(jí)別的穩(wěn)定可靠性，如圖2.1所示。</p><p>　　圖2.1 高可靠性雙核心示意圖</p><p>　　2．方便運(yùn)營(yíng)管理的需求</p><p>　　首先，校園網(wǎng)需要進(jìn)行合理的運(yùn)營(yíng)。第一、校園網(wǎng)的投資較大，加上每年的維護(hù)成本，對(duì)于學(xué)校并不是一筆可以忽視的開(kāi)支；第二，根據(jù)各校的情況，進(jìn)行合理的運(yùn)營(yíng)收費(fèi)，依靠市場(chǎng)化的手段能夠推動(dòng)校園網(wǎng)的運(yùn)作規(guī)范化和提高假設(shè)水平。<

33、;/p><p>　　其次，有效的管理可以從用戶管理和設(shè)備管理兩方面來(lái)看。</p><p>　　對(duì)于用戶管理，最重要的是能夠?qū)崿F(xiàn)事前的身份認(rèn)證和準(zhǔn)確定位，事中的實(shí)時(shí)處理、事后的完善日志審計(jì)。事前的認(rèn)證和定位是指可嚴(yán)格實(shí)現(xiàn)用戶身份證識(shí)別，根據(jù)用戶帳號(hào)、密碼、MAC地址、IP地址、交換機(jī)IP、交換機(jī)端口號(hào)、用戶所在的VLAN的靈活組合，來(lái)識(shí)別用戶身份。將網(wǎng)絡(luò)中的虛擬用戶和生活中的真實(shí)用戶相對(duì)應(yīng)；事中

34、的實(shí)施處理是指對(duì)于正在使用網(wǎng)絡(luò)的用戶，如果出現(xiàn)私自撥號(hào)上網(wǎng)、使用代理、更改IP地址等，認(rèn)證計(jì)費(fèi)系統(tǒng)會(huì)強(qiáng)制用戶下線。對(duì)于感染病毒，出現(xiàn)安全事件的用戶，結(jié)合全局安全通過(guò)安全聯(lián)動(dòng)來(lái)進(jìn)行隔離、阻斷和修復(fù)，以保證校園網(wǎng)的安全。事后的日志審計(jì)時(shí)指紀(jì)律用戶上網(wǎng)的詳細(xì)信息（包括用戶名、IP、MAC等）及完善的用戶訪問(wèn)外網(wǎng)的記錄（包括源IP、目的IP、源端口、目的端口、訪問(wèn)時(shí)間），一旦出現(xiàn)安全事件，可以進(jìn)行快速完整的審計(jì)，迅速定位到人。</p>

35、;<p>　　對(duì)于設(shè)備管理，需要的是統(tǒng)一有效的網(wǎng)絡(luò)管理系統(tǒng)。能夠直觀全面的監(jiān)控整個(gè)網(wǎng)絡(luò)和各種設(shè)備的運(yùn)行狀態(tài)，記錄和深入分析網(wǎng)絡(luò)流量，及時(shí)報(bào)告各種故障和性能問(wèn)題，協(xié)助管理員找到故障的起源，并且對(duì)網(wǎng)絡(luò)的性能變化和故障發(fā)生提前預(yù)測(cè)。</p><p>　　高校用戶數(shù)和網(wǎng)絡(luò)節(jié)點(diǎn)數(shù)眾多，因此難以一體化管理眾多的設(shè)備和用戶，出現(xiàn)網(wǎng)絡(luò)故障無(wú)法快速定位、IP地址盜用、IP地址沖突等問(wèn)題日益嚴(yán)重，如何利用有限的人力物力

36、對(duì)網(wǎng)絡(luò)進(jìn)行高效管理也成為學(xué)校考慮的著重點(diǎn)。</p><p><b>　　3．接入可控需求</b></p><p>　　首先，要能實(shí)現(xiàn)各種方式的靈活接入。一種是大多數(shù)學(xué)校采用的有線方式，這可以在樓棟建設(shè)、裝修過(guò)程中完成布線；另一種就是無(wú)線接入方式的補(bǔ)充或冗余。寢室區(qū)采用無(wú)線覆蓋主要針對(duì)：1）某些不方便布線的樓棟或者布線成本太高的樓棟。2）方便學(xué)生上網(wǎng)，擺脫有線束縛。&l

37、t;/p><p>　　其次，要能對(duì)各種接入都能進(jìn)行有效的控制。隨著技術(shù)的發(fā)展，網(wǎng)絡(luò)的接入將形成有線+無(wú)線的綜合環(huán)境。這就要求不僅能夠?qū)τ芯€用戶進(jìn)行準(zhǔn)入控制，還要對(duì)無(wú)線用戶進(jìn)行接入的認(rèn)證，同樣的IPv4和 IPv6兩種環(huán)境下也都能要保證只有申請(qǐng)開(kāi)通的合法用戶才可以使用網(wǎng)絡(luò)。接入可控的需求還體現(xiàn)在以下兩個(gè)方面。</p><p>　　能夠?qū)尤胗脩暨M(jìn)行帳號(hào)與IP、MAC、端口等多元素綁定，以唯一確定

38、用戶身份，同時(shí)做到準(zhǔn)確定位。</p><p>　　針對(duì)目前用戶沉迷于網(wǎng)絡(luò)。以至于影響學(xué)業(yè)的實(shí)際情況，需要能夠?qū)τ脩舻慕尤肷暇W(wǎng)時(shí)間段做靈活的控制，如圖2.2所示。</p><p>　　圖2.2 網(wǎng)絡(luò)接入控制示意圖</p><p><b>　　4．計(jì)費(fèi)需求</b></p><p>　　首先，很重要一點(diǎn)就是要有一套能夠符合我學(xué)

39、校運(yùn)營(yíng)管理特點(diǎn)的計(jì)費(fèi)策略。提供針對(duì)不同用戶的不同計(jì)費(fèi)需求的靈活計(jì)費(fèi)策略的支持，詳細(xì)來(lái)說(shuō)包括：1）對(duì)于上網(wǎng)時(shí)間較長(zhǎng)的可以采取包年、包月、包學(xué)期等方式；2）對(duì)于上網(wǎng)時(shí)間不是特別長(zhǎng)的，可能需要計(jì)時(shí)、或者計(jì)天的方式；3）可能有師生認(rèn)為自己僅僅偶而上網(wǎng)看看網(wǎng)頁(yè)，聊聊天，自己流量不大，很希望能夠按流量或者計(jì)天但是是當(dāng)天不用不扣費(fèi)的模式；4）學(xué)生到了寒暑假，或者老師外出培訓(xùn)、會(huì)議一段時(shí)間，就會(huì)需要一次交費(fèi)資助分段開(kāi)通的計(jì)費(fèi)策略，這樣能夠最大化的保障用

40、戶的利益。 </p><p><b>　　5．網(wǎng)絡(luò)安全的需求</b></p><p>　　1）高校面臨著嚴(yán)峻網(wǎng)絡(luò)安全形勢(shì)。越來(lái)越多的報(bào)道表明高校校園網(wǎng)已逐漸成為黑客的聚集地。這一方面是由于網(wǎng)絡(luò)病毒、黑客工具的泛濫，用戶安全意識(shí)的淡薄，而另一方面，高校學(xué)生這群精力充沛的年輕一族對(duì)于新鮮事物有著強(qiáng)烈的好奇心，他們有著探索的高智商和沖動(dòng)。如何保障校園網(wǎng)絡(luò)的安全成為校園網(wǎng)絡(luò)的

41、安全成為高校校園網(wǎng)絡(luò)建設(shè)時(shí)不得不考慮的問(wèn)題。</p><p>　　2）網(wǎng)絡(luò)安全一定是全方位的安全。首先，網(wǎng)絡(luò)出口、數(shù)據(jù)中心、服務(wù)器等重點(diǎn)區(qū)域要做到的安全過(guò)濾；其次，不管接入設(shè)備，還是骨干設(shè)備，設(shè)備本身需要具備強(qiáng)的安全防護(hù)能力，并且安全策略部署不能影響網(wǎng)絡(luò)的性能，不造成網(wǎng)絡(luò)單點(diǎn)故障；最后，要充分考慮全局統(tǒng)一的安全部署，需要能夠從準(zhǔn)入控制，到對(duì)網(wǎng)絡(luò)安全事件進(jìn)行深度探測(cè)，到現(xiàn)有安全設(shè)備有機(jī)的聯(lián)動(dòng)，到對(duì)安全事件觸發(fā)源的準(zhǔn)

42、確定位和根據(jù)身份進(jìn)行隔離。修復(fù)措施，從而能對(duì)網(wǎng)絡(luò)形成一個(gè)由內(nèi)至外的整體安全構(gòu)架。</p><p>　　所以，在對(duì)外出口等重點(diǎn)區(qū)域進(jìn)行安全部署的同時(shí)，要更加全面的考慮安全問(wèn)題，讓整個(gè)網(wǎng)絡(luò)從設(shè)備級(jí)的安全上升一個(gè)臺(tái)階，擺脫僅僅局部加強(qiáng)某個(gè)單點(diǎn)的安全強(qiáng)度的手段。</p><p>　　2.2 用戶需求分析</p><p>　　1．隨時(shí)隨地接入的需求</p>&l

43、t;p>　　首先，高校師生對(duì)于網(wǎng)絡(luò)接入有著強(qiáng)烈的需求。隨著近年來(lái)國(guó)家對(duì)高等教育的大力發(fā)展支持，高校在校生人數(shù)普及呈現(xiàn)上升趨勢(shì)。是由于國(guó)家經(jīng)濟(jì)實(shí)力的增強(qiáng)，技術(shù)的發(fā)展帶來(lái)的低成本，導(dǎo)致電腦的普及率也越來(lái)越高（據(jù)不完全統(tǒng)計(jì)，在很多的高校， PC的擁有率可以達(dá)到70%）。</p><p>　　其次，在部分熱點(diǎn)區(qū)域，或者難以布線的區(qū)域需要有一種行之有效的高性價(jià)比的接入方式。也就是采用無(wú)線作為補(bǔ)充或者備份。比如廣場(chǎng)/操

44、場(chǎng)、閱覽室、階梯教室等，這些區(qū)域?qū)τ诠P記本用戶需要能夠提供接入服務(wù)，而這是有線接入是行不通的。又比如校內(nèi)的某棟較偏遠(yuǎn)的辦公樓或者某幾棟家屬樓，上網(wǎng)用戶有限，進(jìn)行獨(dú)立布線成本較高，所以，同樣需求進(jìn)行無(wú)線的接入方式。</p><p>　　簡(jiǎn)言之，網(wǎng)絡(luò)作為一個(gè)底層的平臺(tái)需要師生能夠隨時(shí)隨地的方便的接入。這就強(qiáng)調(diào)有線網(wǎng)絡(luò)和無(wú)線網(wǎng)絡(luò)的集合，適合無(wú)線網(wǎng)絡(luò)的地方用無(wú)線網(wǎng)絡(luò)，適合有線網(wǎng)絡(luò)的地方用有線網(wǎng)絡(luò)。當(dāng)然，兩者可以有一定的冗

45、余，甚至部分區(qū)域會(huì)采用無(wú)線網(wǎng)絡(luò)進(jìn)行備份。如圖2.3所示。</p><p>　　圖2.3 多種接入示意圖</p><p><b>　　2．網(wǎng)絡(luò)安全需求</b></p><p>　　近年來(lái)、網(wǎng)絡(luò)病毒泛濫、安全事件頻頻發(fā)生。拿2010年上半年為例，蠕蟲(chóng)、木馬、間諜軟件等惡意代碼在網(wǎng)絡(luò)上的傳播和活動(dòng)頻繁。據(jù)CNCERT/CC統(tǒng)計(jì)，從2010年1月1日到

46、2010年6月30日，全球共新增蠕蟲(chóng)、木馬、病毒等惡意代碼11851種，是前一年同期增長(zhǎng)數(shù)量的1.2倍。安全將會(huì)越來(lái)越成為我們網(wǎng)絡(luò)穩(wěn)定可靠運(yùn)營(yíng)的一個(gè)保障。</p><p>　　那么，高校寢室網(wǎng)絡(luò)這樣一個(gè)特殊的用戶群環(huán)境中，如何保證網(wǎng)絡(luò)的安全運(yùn)行？這就提出了“被動(dòng)式安全”和“主動(dòng)式安全”的需求。</p><p>　　首先，在發(fā)生安全事件的時(shí)候，我們要有應(yīng)對(duì)措施。第一，需要設(shè)備本身具備強(qiáng)大的安

47、全防護(hù)能力（如：防Dos攻擊，防DHCP攻擊，方掃描等）；第二，某學(xué)生在網(wǎng)絡(luò)發(fā)布不良言論或者進(jìn)行網(wǎng)絡(luò)攻擊后，我們要能夠通過(guò)日志審查，精確定位到個(gè)人。由于都是事件發(fā)生后才采取的應(yīng)對(duì)措施，所以稱(chēng)之為“被動(dòng)式安全”。</p><p>　　其次，安全一定是安全局的安全，要能夠?qū)W(wǎng)絡(luò)行為進(jìn)行實(shí)時(shí)地深入的數(shù)據(jù)監(jiān)測(cè)，并在局部出現(xiàn)病毒或者攻擊后，對(duì)攻擊源/病毒源采取措施，達(dá)到防治病毒擴(kuò)散的效果。這些措施包括了；針對(duì)具體源頭進(jìn)行的

48、警告信息發(fā)送，隔離到安全區(qū)域，并自動(dòng)、手動(dòng)下載升級(jí)補(bǔ)丁，如圖2.4所示。</p><p>　　圖2.4 網(wǎng)絡(luò)安全示意圖</p><p>　　3．寢室網(wǎng)絡(luò)高性能需求</p><p>　　1）今年校內(nèi)注冊(cè)上網(wǎng)用戶爆炸式增長(zhǎng)。這主要是由于高校的招生人數(shù)的增加，以及電腦的日益普及。因此，需要系統(tǒng)認(rèn)證計(jì)費(fèi)效率，用戶的認(rèn)證和計(jì)費(fèi)不會(huì)對(duì)網(wǎng)絡(luò)性能造成瓶頸。與此同時(shí)，系統(tǒng)需要能支持幾

49、千級(jí)以上用戶同時(shí)在線并正常運(yùn)行，而用戶不會(huì)感覺(jué)網(wǎng)絡(luò)速度慢。</p><p>　　2）寢室網(wǎng)的一個(gè)特點(diǎn)就是：上網(wǎng)的時(shí)間相對(duì)比較集中（主要集中在晚間和節(jié)假日），所以在此時(shí)段網(wǎng)絡(luò)訪問(wèn)流量較大，在一些投入數(shù)的時(shí)候可能會(huì)出現(xiàn)大量的網(wǎng)絡(luò)突發(fā)流量。這對(duì)系統(tǒng)保持高性能，提供可靠運(yùn)行提出了更高的要求。</p><p>　　2.3 技術(shù)需求分析</p><p>　　1．多出口部署的需要

50、</p><p>　　對(duì)于出口，最主要有兩個(gè)方面的需求：</p><p>　　一方面、需要進(jìn)行多出口的策略部署。首先，可以解決資源訪問(wèn)速度問(wèn)題。由于CERNET與電信等運(yùn)營(yíng)商，以及運(yùn)營(yíng)商之間的互聯(lián)帶寬較小的原因，并且全國(guó)只在北京、上海、廣州建立有互聯(lián)中心，而實(shí)際上互聯(lián)網(wǎng)上大多數(shù)的資源都在電信，這樣的結(jié)果是，從教育網(wǎng)瀏覽電信資源就會(huì)很慢；其次，可以解決學(xué)校的費(fèi)用問(wèn)題。這是因?yàn)榻逃W(wǎng)規(guī)定了其免

51、費(fèi)訪問(wèn)的地址列表，在地址列表之外的都按照一定的公式計(jì)算費(fèi)用。于此對(duì)應(yīng)的是，電信等運(yùn)營(yíng)商提供的線路大多數(shù)是包月不限流量。</p><p>　　所以，也可以得出多出口部署的期望結(jié)果是：根據(jù)速度來(lái)選擇訪問(wèn)線路走教育網(wǎng)還是電信還是網(wǎng)通等ISP；根據(jù)費(fèi)用來(lái)判斷訪問(wèn)線路走教育網(wǎng)還是非教育網(wǎng)。</p><p>　　另一方面，對(duì)于多出口的設(shè)備本身有一定的要求。隨著應(yīng)用的增加，很多學(xué)校的出口流量也在不斷增加

52、，加上出口設(shè)備很多時(shí)候需要進(jìn)行NAT的轉(zhuǎn)換，所以對(duì)于出口設(shè)備的性能，穩(wěn)定性以及可靠性提出了較高的要求，如圖2.5所示。</p><p>　　圖2.5 多出口部署示意圖</p><p>　　2．強(qiáng)大數(shù)據(jù)中心建立的需求</p><p>　　1）眾多高校仍然采用的是 直接存儲(chǔ)在服務(wù)器硬盤(pán)上的方式，也就是我們所說(shuō)的直連存儲(chǔ)(DAS)。這種方式存在眾多的問(wèn)題。1、不同的數(shù)據(jù)存

53、儲(chǔ)在不同服務(wù)器的硬盤(pán)上，造成有些服務(wù)器硬盤(pán)空間已滿，而有些服務(wù)器硬盤(pán)空間卻閑置?？臻g擴(kuò)展比較困難，并且服務(wù)器之間無(wú)法進(jìn)行空間共享。2、隨著應(yīng)用的不斷豐富，訪問(wèn)量的增加，辦公、教學(xué)、科研對(duì)網(wǎng)絡(luò)的依賴，服務(wù)器的性能收到強(qiáng)烈的考驗(yàn)。最終可能成為性能的瓶頸，如圖2.6所示。</p><p>　　圖2.6 服務(wù)器數(shù)據(jù)存儲(chǔ)與備份意圖</p><p>　　2）對(duì)著計(jì)算機(jī)信息系統(tǒng)的不斷發(fā)展，用戶的核心業(yè)務(wù)

54、越來(lái)越依賴于信息系統(tǒng)的可靠運(yùn)行，信息系統(tǒng)中的關(guān)鍵業(yè)務(wù)數(shù)據(jù)已經(jīng)成為用戶最為重要的資產(chǎn)。因此，對(duì)關(guān)鍵的業(yè)務(wù)數(shù)據(jù)進(jìn)行備份保護(hù)刻不容緩。但是當(dāng)前絕大多數(shù)國(guó)內(nèi)高校，對(duì)于關(guān)鍵數(shù)據(jù)，比如財(cái)務(wù)數(shù)據(jù)、學(xué)籍/檔案、學(xué)術(shù)論文等資料還沒(méi)有進(jìn)行有效的備份或容災(zāi)。一旦數(shù)據(jù)毀壞/丟失，后果不堪設(shè)想，如圖2.7所示。</p><p>　　圖2.7 異地容災(zāi)示意圖</p><p>　　也正是基于對(duì)存在的問(wèn)題的認(rèn)識(shí)和目前各種

55、應(yīng)用帶來(lái)的數(shù)據(jù)存儲(chǔ)的實(shí)際需求，很多高校已經(jīng)開(kāi)始進(jìn)行數(shù)據(jù)中心的建立，那么數(shù)據(jù)中心建設(shè)，應(yīng)該到怎樣的目標(biāo)？數(shù)據(jù)中心的存儲(chǔ)設(shè)備應(yīng)該如何選擇？都是需要重點(diǎn)考慮的問(wèn)題。</p><p><b>　　3．過(guò)度的要求</b></p><p>　　中國(guó)下一代互聯(lián)網(wǎng)絡(luò)示范工程CNGI是實(shí)施我國(guó)下一代互聯(lián)網(wǎng)發(fā)展戰(zhàn)略的起步工程，由國(guó)家發(fā)改委、科技部、信息產(chǎn)業(yè)部、教育部、中科院等八部委聯(lián)合領(lǐng)

56、導(dǎo)。2001年CERNET（中國(guó)教育科研網(wǎng)）提出建設(shè)CERNET2計(jì)劃。2003年12月，國(guó)家發(fā)改委批準(zhǔn)了中國(guó)下一代互聯(lián)網(wǎng)示范工程CNGI建設(shè)項(xiàng)目。經(jīng)過(guò)兩年多的建設(shè)，2006年10月，CERNET2通過(guò)了10個(gè)原始領(lǐng)先的項(xiàng)目鑒定委員的鑒定驗(yàn)收，整體平達(dá)到了世界領(lǐng)先水平?？梢灶A(yù)見(jiàn)的是IPV6是必然的趨勢(shì)。而學(xué)校積極主動(dòng)的應(yīng)對(duì)IPV6，有利于提升學(xué)校的應(yīng)用水平和科研水平。并為IPV6真正大規(guī)模部署做好比要的技術(shù)儲(chǔ)備。實(shí)施上，各個(gè)高校在網(wǎng)絡(luò)改

57、造，設(shè)備采購(gòu)的時(shí)候都在考慮對(duì)IPV6的支持。并且值得關(guān)心的五難題是：在向IPV6過(guò)度的階段，如何充分利用現(xiàn)有設(shè)備，保護(hù)投資，該采用何種部署策略，保證應(yīng)用的平滑過(guò)渡</p><p>　　4．網(wǎng)絡(luò)設(shè)備的選擇原則</p><p>　　1）安全、穩(wěn)定、可靠</p><p>　　作為整個(gè)校園網(wǎng)絡(luò)系統(tǒng)的硬件基礎(chǔ)，網(wǎng)絡(luò)設(shè)備必須是具備安全性、穩(wěn)定性和可靠性的特點(diǎn)。這是網(wǎng)絡(luò)系統(tǒng)穩(wěn)定運(yùn)

58、行的最基本條件。最好是經(jīng)過(guò)相當(dāng)長(zhǎng)時(shí)間，在世界范圍內(nèi)被廣泛應(yīng)用的網(wǎng)絡(luò)產(chǎn)品，所以在選擇產(chǎn)品時(shí)選用知名廠商的產(chǎn)品。</p><p><b>　　2）技術(shù)先進(jìn)性</b></p><p>　　網(wǎng)絡(luò)設(shè)備僅僅具有安全、穩(wěn)定和可靠的特點(diǎn)是不夠的。作為高科技的產(chǎn)品，還應(yīng)該具有技術(shù)先進(jìn)性。在選擇網(wǎng)絡(luò)設(shè)備應(yīng)該采用當(dāng)今較先進(jìn)的技術(shù)，能夠保持該設(shè)備在相當(dāng)長(zhǎng)的一段時(shí)間內(nèi)不會(huì)因?yàn)榧夹g(shù)落后而被淘汰。

59、同時(shí)，在網(wǎng)絡(luò)規(guī)模進(jìn)一步擴(kuò)大，該設(shè)備不能承擔(dān)繁重的負(fù)荷時(shí)，能夠降級(jí)使用。</p><p><b>　　3）易于擴(kuò)展性</b></p><p>　　由于信息技術(shù)和人們對(duì)于新技術(shù)的需求發(fā)展都非常迅速，為了避免不必要的重復(fù)投資，應(yīng)選擇具有一定擴(kuò)展能力的設(shè)備，能夠保證在網(wǎng)絡(luò)規(guī)模逐漸擴(kuò)大的時(shí)候，不需要增加的設(shè)備，而只需要增加一定數(shù)量的模塊就行。最好能夠做到在網(wǎng)絡(luò)技術(shù)進(jìn)一步發(fā)展，現(xiàn)

60、有模塊不支持新技術(shù)的情況下，只需要更換相應(yīng)模塊，而不需要更換整個(gè)設(shè)備。</p><p><b>　　4）管理和維護(hù)方便</b></p><p>　　先進(jìn)的設(shè)備必須配合先進(jìn)的管理和維護(hù)的方法，才能夠發(fā)揮最大的作用。所以，在選擇設(shè)備時(shí)必須支持現(xiàn)有的、常用的網(wǎng)絡(luò)管理協(xié)議和多種網(wǎng)絡(luò)管理軟件，便于管理人員的維護(hù)。</p><p>　　3 校園網(wǎng)絡(luò)的結(jié)構(gòu)設(shè)

61、計(jì)</p><p>　　3.1 配置核心VLAN端口地址 </p><p>　　VLAN是一種通過(guò)將局域網(wǎng)內(nèi)的設(shè)備邏輯地而不是物理地劃分成一個(gè)個(gè)不同的網(wǎng)段，從而實(shí)現(xiàn)虛擬工作組的技術(shù)。不同VLAN之間的數(shù)據(jù)傳輸是通過(guò)網(wǎng)絡(luò)層的路由來(lái)實(shí)現(xiàn)的，因此，使用VLAN技術(shù)結(jié)合數(shù)據(jù)鏈路層和網(wǎng)絡(luò)層的交換設(shè)備，可搭建安全可靠的網(wǎng)絡(luò)。</p><p>　　劃分V

62、LAN的目的一是提高網(wǎng)絡(luò)安全性，不同VLAN的數(shù)據(jù)不能自由交流，需要接受第三層的檢驗(yàn)。因此，在一定程度上加強(qiáng)了虛擬網(wǎng)間的隔離，有效防止外部用戶入侵，提高了安全性。二是隔離廣播信息，劃分VLAN后，廣播域縮小，有利于改善網(wǎng)絡(luò)性能，能夠?qū)V播風(fēng)暴控制在一個(gè)VLAN內(nèi)部，同時(shí)使網(wǎng)絡(luò)管理趨于簡(jiǎn)單。如圖3.1所示。</p><p>　　圖?3.1VLAN通信模型</p><p><b>　

63、　S3560</b></p><p><b>　　Switch>en</b></p><p>　　Switch#vlan database</p><p>　　Switch(vlan)#vlan 10</p><p>　　VLAN 10 added:</p><p>　　Name

64、: VLAN0010</p><p>　　Switch(vlan)#vlan 20</p><p>　　VLAN 20 added:</p><p>　　Name: VLAN0020</p><p>　　Switch(vlan)#exit</p><p>　　Switch#conf t</p><p

65、>　　Enter configuration commands, one per line. End with CNTL/Z.</p><p>　　Switch(config)#interface fa0/1</p><p>　　Switch(config-if)#switchport access vlan 10</p><p>　　Switch(conf

66、ig-if)#exit</p><p>　　Switch(config)#interface fa0/2</p><p>　　Switch(config-if)#switchport access vlan 20</p><p>　　Switch(config-if)#end</p><p>　　Switch#conf t</p>

67、<p>　　Switch(config)#interface vlan 10</p><p>　　Switch(config-if)#ip address 192.168.1.1 255.255.2555.0</p><p>　　Switch(config-if)#no shutdown </p><p>　　Switch(config-if)#ex

68、it</p><p>　　Switch(config)#interface vlan 20</p><p>　　Switch(config-if)#ip address 192.168.3.1 255.255.255.0</p><p>　　Switch(config-if)#no shutdown </p><p>　　Switch(con

69、fig-if)#end</p><p><b>　　R1</b></p><p><b>　　Router>en</b></p><p>　　Router#conf t</p><p>　　Router(config)#hostname R1</p><p>　　R1(

70、config)#interface fa0/0</p><p>　　R1(config-if)#no shutdown </p><p>　　R1(config-if)#ip address 192.168.3.2 255.255.255.0</p><p>　　R1(config-if)#exit</p><p>　　R1(config)#

71、interface se2/0</p><p>　　R1(config-if)#no shutdown </p><p>　　R1(config-if)#ip address 192.168.4.1 255.255.255.0</p><p>　　R1(config-if)#clock rate 64000</p><p>　　R1(conf

72、ig-if)#end</p><p><b>　　R1#</b></p><p><b>　　R2</b></p><p><b>　　Router>en</b></p><p>　　Router#conf t</p><p>　　Router(c

73、onfig)#hostname R2</p><p>　　R2(config)#interface fa0/0</p><p>　　R2(config-if)#no shutdown </p><p>　　R2(config-if)#ip address 192.168.2.1 255.255.255.0</p><p>　　R2(confi

74、g-if)#exit</p><p>　　R2(config)#interface se2/0</p><p>　　R2(config-if)#no shutdown </p><p>　　R2(config-if)#ip address 192.168.4.2 255.255.255.0</p><p>　　R2(config-if)#en

75、d</p><p><b>　　測(cè)試網(wǎng)絡(luò)的連通性。</b></p><p>　　(1)PC1主機(jī)ping主機(jī)PC2的結(jié)果如下所示：</p><p>　?。?）PC2主機(jī)ping主機(jī)PC1的結(jié)果如下所示：</p><p>　　3.2 IP擴(kuò)展訪問(wèn)</p><p>　　訪問(wèn)列表中定義的典型規(guī)則主要有以

76、下：源地址、目標(biāo)地址、上層協(xié)議、時(shí)間區(qū)域；擴(kuò)展IP訪問(wèn)列表（編號(hào)100-199、2000、2699）使用以上四種組合來(lái)進(jìn)行轉(zhuǎn)發(fā)或阻斷分組；可以根據(jù)數(shù)據(jù)包的源IP、目的IP、源端口、目的端口、協(xié)議來(lái)定義規(guī)則，進(jìn)行數(shù)據(jù)包的過(guò)濾。</p><p>　　擴(kuò)展IP訪問(wèn)列表的配置包括以下兩步：</p><p>　　定義擴(kuò)展IP訪問(wèn)列表；將擴(kuò)展IP訪問(wèn)列表應(yīng)用于特定接口上。如圖3.2所示</p&g

77、t;<p>　　圖?3.2 IP擴(kuò)展訪問(wèn)模型</p><p>　　路由器R0的基本配置</p><p><b>　　Router>en</b></p><p>　　Router#conf t</p><p>　　Router(config)#hostname R0</p><p&g

78、t;　　R0(config)#interface fa0/0</p><p>　　R0(config-if)#ip address 172.16.1.1 255.255.255.0</p><p>　　R0(config-if)#no shutdown </p><p>　　R0(config-if)#exit</p><p>　　R0(co

79、nfig)#interface fa1/0</p><p>　　R0(config-if)#ip address 172.16.2.1 255.255.255.0</p><p>　　R0(config-if)#no shutdown</p><p>　　路由器R1的基本配置</p><p><b>　　Router>en&l

80、t;/b></p><p>　　Router#conf t</p><p>　　Router(config)#hostname R1</p><p>　　R1(config)#interface fa1/0</p><p>　　R1(config-if)#ip address 172.16.2.2 255.255.255.0</p

81、><p>　　R1(config-if)#no shutdown </p><p>　　R1(config)#interface se2/0</p><p>　　R1(config-if)#ip address 172.16.3.1 255.255.255.0</p><p>　　R1(config-if)#no shutdown </p&

82、gt;<p>　　R1(config-if)#clock rate 64000</p><p>　　R1(config-if)#</p><p>　　路由器R2的基本配置</p><p><b>　　Router>en</b></p><p>　　Router#conf t</p>&l

83、t;p>　　Router(config)#hostname R2</p><p>　　R2(config)#interface se2/0</p><p>　　R2(config-if)#ip address 172.16.3.2 255.255.255.0</p><p>　　R2(config-if)#no shutdown </p><

84、;p>　　R2(config-if)#exit</p><p>　　R2(config)#interface fa0/0</p><p>　　R2(config-if)#ip address 172.16.4.1 255.255.255.0</p><p>　　R2(config-if)#no shutdown</p><p>　　路由

85、器R0上配置默認(rèn)路由</p><p>　　R0(config-if)#exit</p><p>　　R0(config)#ip route 0.0.0.0 0.0.0.0 172.16.2.2</p><p>　　路由器R2上配置默認(rèn)路由</p><p>　　R2(config-if)#exit</p><p>　　R

86、2(config)#ip route 0.0.0.0 0.0.0.0 172.16.3.1</p><p>　　路由器R1上配置靜態(tài)路由</p><p>　　R1(config-if)#exit</p><p>　　R1(config)#ip route 172.16.1.0 255.255.255.0 172.16.2.1</p><p>

87、　　R1(config)#ip route 172.16.4.0 255.255.255.0 172.16.3.2</p><p>　　測(cè)試PC機(jī)之間的連通性</p><p><b>　　PC0</b></p><p>　　ping 172.16.4.2(success)</p><p>　　Web瀏覽器：http://

88、172.16.4.2(success)</p><p>　　路由器R1上配置擴(kuò)展訪問(wèn)控制列表</p><p>　　R1(config)#access-list 100 permit tcp host 172.16.1.2 host 172.16.4.2 eq www</p><p>　　R1(config)#access-list 100 deny icmp ho

89、st 172.16.1.2 host 172.16.4.2 echo</p><p>　　R1(config)#interface se2/0</p><p>　　R1(config-if)#ip access-group 100 out</p><p>　　R1(config-if)#end</p><p>　　重新測(cè)試PC機(jī)之間的連通性&

90、lt;/p><p><b>　　PC0</b></p><p>　　Web瀏覽器：http://172.16.4.2(success)</p><p>　　ping 172.16.4.2(Reply from 172.16.2.2: Destination host unreachable)</p><p>　　3.3 靜態(tài)

91、NAT配置</p><p>　　靜態(tài)轉(zhuǎn)換是指將內(nèi)部網(wǎng)絡(luò)的私有IP地址轉(zhuǎn)換為公有IP地址，IP地址對(duì)是一對(duì)一的，是一成不變的，某個(gè)私有IP地址只轉(zhuǎn)換為某個(gè)公有IP地址。借助于靜態(tài)轉(zhuǎn)換，可以實(shí)現(xiàn)外部網(wǎng)絡(luò)對(duì)內(nèi)部網(wǎng)絡(luò)中某些特定設(shè)備(如服務(wù)器)的訪問(wèn)。</p><p>　　靜態(tài) NAT 使用本地地址與全局地址的一對(duì)一映射，這些映射保持不變。靜態(tài) NAT 對(duì)于必須具有一致的地址、可從 Internet

92、 訪問(wèn)的 Web 服務(wù)器或主機(jī)特別有用。這些內(nèi)部主機(jī)可能是企業(yè)服務(wù)器或網(wǎng)絡(luò)設(shè)備。</p><p>　　靜態(tài) NAT 為內(nèi)部地址與外部地址的一對(duì)一映射。靜態(tài) NAT 允許外部設(shè)備發(fā)起與內(nèi)部設(shè)備的連接。配置靜態(tài) NAT 轉(zhuǎn)換很簡(jiǎn)單。首先需要定義要轉(zhuǎn)換的地址，然后在適當(dāng)?shù)慕涌谏吓渲?NAT。從指定的 IP 地址到達(dá)內(nèi)部接口的數(shù)據(jù)包需經(jīng)過(guò)轉(zhuǎn)換。外部接口收到的以指定 IP 地址為目的地的數(shù)據(jù)包也需經(jīng)過(guò)轉(zhuǎn)換。如圖3.3所示&

93、lt;/p><p>　　圖?3.3 靜態(tài)NAT配置模型</p><p>　　路由器R1的基本配置。</p><p>　　Router#configure terminal </p><p>　　Router(config)#int f0/1 </p><p>　　Router(config-if)#

94、ip address 210.28.1.2 255.255.255.0</p><p>　　Router(config-if)#no shut </p><p>　　Router(config-if)#exit</p><p>　　Router(config)#int f0/0 </p><p>　　Router(co

95、nfig-if)#ip address 172.16.1.1 255.255.255.0 </p><p>　　Router(config-if)#no shut </p><p>　　Router(config-if)#exit</p><p>　　Router(config)#ip route 0.0.0.0 0.0.0.0 f0/1</p>

96、;<p>　　路由器R2 的基本配置。</p><p>　　Router#configure terminal </p><p>　　Router(config)#in f0/0 </p><p>　　Router(config-if)#ip address 192.168.1.1 255.255.255.0 </p&g

97、t;<p>　　Router(config-if)#exit</p><p>　　Router(config)#in f0/1 </p><p>　　Router(config-if)#ip address 210.28.1.1 255.255.255.0 </p><p>　　Router(config-if)#no shut

98、 </p><p>　　Router(config-if)#exit</p><p>　　Router(config)#ip route 0.0.0.0 0.0.0.0 f0/1</p><p><b>　　sw1的基本配置</b></p><p>　　Switch>en &l

99、t;/p><p>　　Switch#conf terminal </p><p>　　Switch(config)#in f0/24 </p><p>　　Switch(config-if)#switchport mode trunk </p><p>　　Switch(config-if)#exit</p>

100、;<p>　　在路由器 R1上配置靜態(tài) NAT。 </p><p>　　R1（config）# interface fastethernet 0/0 </p><p>　　R1（config-if）#ip nat inside </p><p>　　R1（config-if）#exit </p><p>　　R1（config

101、）# interface fastethernet 0/1 </p><p>　　R1（config-if）#ip nat outside//將 fa0/1 </p><p>　　R1（config-if）#exit </p><p>　　R1（config）#ip nat inside source static 172.16.1.10 210.28.1.10

102、</p><p>　　R1（config）#ip nat inside source static 172.16.1.11 210.28.1.11 </p><p>　　R1（config）#end </p><p><b>　　驗(yàn)證信息：</b></p><p>　　PC1 ping Internet</p&g

103、t;<p>　　PC1>ping 192.168.1.10</p><p>　　4 校園網(wǎng)絡(luò)的主體拓?fù)浣Y(jié)構(gòu)</p><p>　　根據(jù)設(shè)想的校園網(wǎng)絡(luò)結(jié)構(gòu)，我是將校園網(wǎng)絡(luò)分成了3塊：教師宿舍、教學(xué)樓機(jī)房以及教學(xué)辦公區(qū)。各家的電腦隔離但都能上網(wǎng)格，各家電腦地址邦定，教師宿舍能訪問(wèn)教學(xué)機(jī)房的教學(xué)服務(wù)器，但不能訪問(wèn)OFFICE， OFFICE 能訪問(wèn)教學(xué)樓機(jī)房的教師資源服務(wù)器，但

104、不能訪問(wèn)教師宿舍。.教學(xué)樓機(jī)房不能訪問(wèn)教師宿舍和OFFICE。如圖4.1所示。</p><p>　　圖?4.1 校園網(wǎng)絡(luò)的主體拓?fù)浣Y(jié)構(gòu)</p><p>　　1．思路：要求各家的電腦隔離，用交換機(jī)劃分VLAN 可實(shí)現(xiàn)，但開(kāi)銷(xiāo)太大，故使教師宿舍的PC機(jī)在不同的網(wǎng)段內(nèi)也可實(shí)現(xiàn)隔離的作用，規(guī)劃的IP地址如上圖所示， PC4-PC7 配置IP 地址和PC8 相似，規(guī)劃方案如下：</p>

105、<p>　　PC1：192.168.1.1/30 PC2：192.168.1.5/30 </p><p>　　PC3：192.168.1.9/30 PC4；192.168.2.2/24</p><p>　　PC5：192.168.2.3/24 PC6：192.168.3.2/24</p><p

106、>　　PC7：192.168.3.3/24 PC8：192.168.5.2/24</p><p>　　R1 和R2 各端口IP 地址：</p><p>　　E0/0:192.168.1.2/30 e0/2:192.168.3.1/24</p><p>　　E0/0:192.168.1.9/30

107、 s1/0:202.98.4.1/24(內(nèi)部合法地址)</p><p>　　E0/0:192.168.1.5/30 s0:202.98.4.2/24(內(nèi)部合法地址)</p><p>　　E0/1:192.168.2.1/24 e0:192.168.5.1/24</p><p>　　2.各家電腦地址邦定及重地址配置：在

108、路由器R1上配置命令如下：</p><p><b>　　R1〉en</b></p><p><b>　　R1#conf t</b></p><p>　　R1(config)#int e0/0</p><p>　　R1(config-if)#ip address 192.168.1.1 255.255

109、.255.252 sencondly</p><p>　　R1(config-if)#ip address 192.168.1.5 255.255.255.252 sencondly</p><p>　　R1(config-if)#ip address 192.168.1.9255.255.255.252 sencondly</p><p>　　R1(config-

110、if)#arp 192.168.1.1 00E0.E150.2184 arpa</p><p>　　R1(config-if)#arp 192.168.1.5 0015.F22C.B01D arpa</p><p>　　R1(config-if)#arp 192.168.1.9 00E0.E1S0.221E arpa</p><p>　　R1(config-i

111、f)#no shut</p><p>　　3.配置路由協(xié)議及訪問(wèn)控制列表，R1和R2上的配置如下：(只公布公用地址)</p><p><b>　　R1:</b></p><p>　　R1(config)#route rip </p><p>　　R1(config-route)#version 2</p>

112、<p>　　R1(config-route)#network 192.168.4.0</p><p>　　R1(config-route)#no auto-summary</p><p>　　R1(config-route)#exit</p><p><b>　　R2:</b></p><p>　　R2(con

113、fig)#route rip </p><p>　　R2(config-route)#version 2</p><p>　　R2(config-route)#network 192.168.4.0</p><p>　　R2(config-route)#network 192.168.5.0</p><p>　　R2(config-route

114、)#no auto-summary</p><p>　　R2(config-route)#exit</p><p>　　4.配置訪問(wèn)控制列表：</p><p>　　1）要求教師宿舍能訪問(wèn)教學(xué)機(jī)房的教學(xué)服務(wù)器，但不能訪問(wèn)OFFICE </p><p><b>　　R1:</b></p><p>