校园局域网组建与配置,局域网组建与配置实训总结

('第1章、校园局域网组建一第一节、校园网络建的要求我校校园网工程范围主要为包括办公楼、图书室、住宿楼及实验楼在内的局域网部分。内部局域网的建设包括硬件网络平台的建设、相应软件系统的应用。根据校园的整体的网络架构，要使这复杂的网络跟高速、安全地通信，应充分保证以下几点:1、数据通信：网络的配置的一个重点是让校园能够实现内外部的信息交流，实现资源共享，使师生可以正常的访问互联网，这是网络配置最基本的要求。2、访问的可控性:对关键网络、系统和数据的访问必须得到有效的控制，这要求在配置路由器与交换机的过程中制定一些安全规则，通过这些安全规则来控制一些ip地址、数据包对校园内部的访问，并对任何访问进行跟踪记录，让校园有一个安全、稳定的网络。3、网络的安全与管理：在这复杂的网络架构中，网络的方便管理是校园进行通信的基础，只有有效、快捷的网络管理，才能实现网络中突发事件快速解决，使网络正常通信，良好的网络配置，也可以让管理员快速地熟悉管理校园整个网络。第二节、网络拓扑图与整体分析一、网络拓朴图二、网络整体分析统一大量采用了cisco2层和3层交换机和少量的路由器来构建网络，目前局域网普遍采用3层式结构化设计方案，即核心层、接入层和分布层。本校园网具体结构如下：1、SW1是网络的核心层交换机，SW2和SW3是网络的接入层交换机。2、在核心层配置vtp服务器，作用：在一台交换机上集中修改vlan的配置，所做的修改会Internet图书馆实验楼办公楼宿舍楼S1/0218.100.100.1F0/1192.168.5.2F0/1192.168.5.1服务器VLAN10:192.168.1.0VLAN20:192.168.2.0VLAN30:192.168.3.0VLAN40:192.168.4.0SW1R1F0/3F0/5S1F0/2SW2SW3F0/2F0/1S2F0/2F0/1200.1.1.1ftpVLAN20VLAN30VLAN40F0/4F0/4200.1.1.2webWebS0VLAN10被自动传播到网络中的所有其它交换机上，实现了交换机vlan的统一配置。3、在路由器上使用nat，作用：利用nat技术就可以解决了校园对外部互联网访问的问题，实现师生可以正常浏览Internet。4、IP地址规划表IP地址区域192.168.1.0/24图书馆192.168.2.0/24办公楼192.168.3.0/24实验楼192.168.4.0/24宿舍楼第二节、交换机vlan的划分与配置一、进行VLAN划分1、S1划分vlanS1#configS1(config)#vlan10S1(config-vlan)#nametushuguanS1(config-vlan)#vlan20S1(config-vlan)#namebangonglouS1(config-vlan)#vlan30S1(config-vlan)#nameshiyanlouS1(config-vlan)#vlan40S1(config-vlan)#namesushelou2、设置交换机S2的端口2～10端口VLAN10的成员:S2(config)#vlan10S2(config-vlan)#nametushuguanS2(config-vlan)#exitS2(config)#vlan20S2(config-vlan)#namebangonglouS2(config-vlan)#exitS2(config)#interrangef0/2-10S2(config-if)#switchportmodeaccessS2(config-if)#switchportaccessvlan10设置交换机S2的端口11～21端口VLAN20的成员:S2(config)#interrangef0/11-21S2(config-if)#switchportmodeaccessS2(config-if)#switchportaccessvlan20S2(config-if)#intfa0/1S2(config-if)#switchportmodetrunk3、设置交换机S3的端口2～10端口VLAN30的成员:S3(config)#vlan30S3(config-vlan)#nameshiyanlouS3(config-vlan)#exitS3(config)#vlan40S3(config-vlan)#namesushelouS3(config-vlan)#exitS3(config)#interrangef0/2-10S3(config-if)#switchportmodeaccessS3(config-if)#switchportaccessvlan10设置交换机S3的端口11～21端口VLAN40的成员:S3(config)#interrangef0/11-21S3(config-if)#switchportmodeaccessS3(config-if)#switchportaccessvlan20S3(config-if)#intfa0/1S3(config-if)#switchportmodetrunk二、利用交换机实现vlan间的通信采用单臂路由的方式实现vlan间路具有速度慢，转发速速率低的缺点，容易产生瓶颈，所以在网络中可以采用三层交换机，用三层交换的方式来实现vlan间的路由。S1(config)#interfacevlan10S1(config-if)#ipaddress192.168.1.1255.255.255.0S1(config-if)#exitS1(config)#interfacevlan20S1(config-if)#ipaddress192.168.2.1255.255.255.0S1(config-if)#exitS1(config)#interfacevlan30S1(config-if)#ipaddress192.168.3.1255.255.255.0S1(config-if)#exitS1(config)#interfacevlan40S1(config-if)#ipaddress192.168.4.1255.255.255.0S1(config-if)#exit三、交换机vtp配置为了让所有vlan统一配置管理，让汇聚层交换机sw1作为vtpserver，sw2、sw3为vtpclient。在sw1上创建所有vlan，让sw2跟sw3可以学到vlan。3.2.2vtp服务器配置S1#conftS1(config)#vtpserverS1(config)#vtpdomaincisco注：domain[dəʊ\'mein]n.域名S1(config)#vtppasswordcisco3.2.3vtp客户端配置S2#conftS2(config)#vtpclientS2(config)#vtpdomainciscoS2(config)#vtppasswordciscoS3#conftS3(config)#vtpclientS3(config)#vtpdomainciscoS3(config)#vtppasswordcisco第三节、路由器的配置一、NAT配置由于目前IP地址资源非常稀缺，不可能给校园网内部的所有工作站都分配一个公有IP（Internet可路由的）地址。为了解决所有工作站访问Internet的需要，必须使用NAT（网络地址转换）技术。NAT的配置：定义NAT内部、外部接口R1(config)#interfacefastehernet0/0R1(config-if)#ipaddress192.168.5.2255.255.255.0R1(config-if)#ipnatinsideR1(config-if)#interfaceserial1/0R1(config-if)#ipaddress218.100.100.1255.255.255.0R1(config-if)#ipnatoutsideR1(config)#ipnatinsidesourcestatic192.168.60.1218.100.100.1实现内部web服务器向外网提供服务：R1(config)#ipnatpoolpool218.100.100.2218.100.100.2netmask255.255.255.0R1(config)#access-list1permithost200.1.1.2R1(config)#ipnatinsidesourcelist1poolpooloverloadR1(config)#intf0/2R1(config)#ipnatinsideR1(config)#ints0/1R1(config)#ipnatoutside二、在路由器和三层交换机上配置IPR1(config)#interfaceSerial0/1R1(config-if)#ipaddress193.1.1.1255.255.255.0R1(config-if)#noshutdownS1(config)#intf0/1S1(config)#noswitchportS1(config-if)#ipaddress192.168.5.1255.255.255.0S1(config-if)#noshutdown三、配置OSPF路由协议R1(config)#routerospf10R1(config-router)#network192.168.5.00.0.0.3area0R1(config-router)#network218.100.100.10.0.0.3area0R1(config)#iproute0.0.0.00.0.0.0S1(config)#routerospf10S1(config-router)#network192.168.0.00.0.3.255area0S1(config-router)#network200.1.1.00.0.0.3area0S1(config-router)#network192.168.5.00.0.0.3area0第四节、网络安全设置一、访问控制列表配置路由器是外网进入内网的第一道关卡，是网络防御的前沿阵地。路由器上的问控制列表（AccessControlList，ACL）是保护内网安全的有效手段。一个设计良好的访控制列表不仅可以起到控制网络流量、流向的作用，还可以在不增加网络系统软、硬件投的情况下完成一般软、硬件防火墙产品的功能。由于路由器介于企业内网和外网之间，是外网与内网进行通信时的第一道屏障，所以即使在网络系统安装了防火墙产品后，仍然有必要对路由器的访问控制列表进行缜密的设计，来对企业内网包括防火墙本身实施保护。在本实例设计中，将针对服务器以及内网工作站的安全给出广域网接入路由器InternetRouter上ACL的配置方案。在网络环境中普遍存在着一些非常重要的、影响服务器群安全的隐患。在绝大多数网络环境的实现中它们都是应该对外加以屏蔽的。主要该做以下的ACL设计：1、对外屏蔽简单网管协议利用这个协议，远程主机可以监视、控制网络上的其它网络设备。它有两种服务类型：SNMP和SNMPTRAP。R1(config)#access-list101denyudpanyanyeqsnmpR1(config)#access-list101denyudpanyanyeqsnmptrap2、对外屏蔽远程登录协议首先，telnet可以登录到大多数网络设备和UNIX服务器，并可以使用相关命令全操纵它们。其次，telnet是一种不安全的协议类型。用户在使用telnet登录网络设备或服务器时所使用的用户名和口令在网络中是以明文传输的，很容易被网络上的非法协议分析设备截获。这是极其危险的，因此必须加以屏蔽。R1(config)#access-list101denyudpanyanyeqtelnet3、配置访问控制列表宿舍楼是学生为主，应限制宿舍楼对办公楼的访问。S1(config)#access-list100denyip192.168.0.00.0.0.255192.168.2.00.0.0.255S1(config)#access-list100permitipanyanyS1(config)#intf0/5S1(config-if)#ipaccess-grop100inS1(config-if)#exit因为ftp作为学校的内部信息的流通渠道，为保证本学校的信息安全，学校不希望自己的信息被外界知道，所以要求拒绝外界网络对本学校ftp的访问，只用于内部的访问与交流，而web服务器则都可以访问。配置如下：R1(config)#access-list101permittcp192.168.0.00.0.255.255host200.1.1.1eqftpR1(config)#access-list101permittcpanyhost200.1.1.2eqwwwR1(config)#access-list101denytcpanyhost200.1.1.1eqftpR1(config)#access-list101permitipanyanyR1(config)#interfaces0/1R1(config-if)#ipaccess-group101in二、端口聚合配置由于公司有许多的数据流量是跨交换机进行转发的，因此需要提高交换机之间的传输带宽并且实现链路的冗余备份，因此建立端口聚合从而增大链路带宽，解决交换机中因带宽引起的网络瓶颈问题，多天链路之间能够相互冗余备份其中任意一条断开，不会影响其他链路的正常转发数据。S0(config)#interfacerangefastethernet0/10-11S0(config-if-range)#prot-group1S0(config-if-range)#exitS0(config)#interfaceaggregateport1S0(config-if)#switchportmodetrunkS0(config)#exitS1config)#interfacerangefastethernet0/10-11S1(config-if-range)#prot-group1S1(config-if-range)#exitS1(config)#interfaceaggregateport1S1(config-if)#switchportmodetrunkS1(config)#exit三、防火墙的设置在现今的网络安全环境下，木马、病毒肆虐，黑客攻击频繁，而各种流氓软软件、间谍软件也行风作浪。光靠杀毒软件已不足以保证我们的系统安全，这时防火墙就能帮我们解决。防火墙是一类防范措施的总称，它使得内部网络与Internet之间或者与其他外部网络互相隔离、限制网络互访用来保护内部网络。防火墙简单的可以只用路由器实现，复杂的可以用主机甚至一个子网来实现。设置防火墙目的都是为了在内部网与外部网之间设立唯一的通道简化网络的安全管理。防火墙的功能有：1、过滤掉不安全服务和非法用户2、控制对特殊站点的访问3、提供监视Internet安全和预警的方便端第五节、相关测试诊断命令一、通用测试、诊断命令1、pingx.x.x.x标准ping命令。用于测试设备间的物理连通性。2、ping扩展ping命令。也用于测试设备间的物理连通性。扩展ping命令还支持灵活定义ping参数，如ping数据包的大小，发送包的个数，等待响应数据包的超时时间等。命令showrunning-config用于显示路由器、交换机运行配置文件的内容。3、traceroutex.x.x.x命令traceroute用于跟踪、显示路由信息。4、showrunning-config命令showrunning-config用于显示路由器、交换机运行配置文件的内容5、showstartup-config命令showstartup-config用于显示路由器、交换机启动配置文件的内容。6、showsessions命令showsessions用于显示从当前设备发出的所有呼出Telnet会话。7、disconnect命令disconnect用于断开与远程目标主机的Telnet会话。8、showusers命令showusers用于查看呼入Telnet会话情况。9.shutdown命令shutdown用于临时将某个接口关闭。10、noshutdown命令noshutdown用于手动启动（激活）处于管理性关闭的接口。11、showinterfaces命令showinterface用于显示各接口的状态及参数信息。12、showipinterface命令showipinterface用于显示IP接口的状态及配置信息。13、showversion命令showversion用于显示路由器硬件配置、软件版本等信息。14、showdebugging命令showdebugging用于显示正在进行的诊断过程清单。6.2路由和路由协议测试、诊断命令1.showiproute命令showiproute用于显示当前路由表内容。2、showipprotocols命令showipprotocols用于显示动态路由协议的配置参数信息。二、VLAN测试、诊断命令1、showinterfacevlanvlan-num命令showinterfacevlanvlan-num用于显示VLAN是否已激活、交换机MAC基地址、接口参数等。2、showmac-address-table命令showmac-address-table用于显示CAM，即桥接表的内容。该命令可列出学习到的主机MAC地址及其所属VLAN、所处端口、条目类型（静态STATIC、动态DYNAMIC等）以及满足列表条件的MAC地址数目。3、showvlan命令showvlan用于查看VLAN创建情况。该命令可以显示系统所有的VLAN信息，包括VLAN编号、VLAN名称、VLAN状态、VLAN成员等信息。三、生成树测试、诊断命令1、showspanning-tree命令showspanning-tree用于显示生成树协议中交换机及其端口的情况。2、showspanning-treeblockedports命令showspanning-treeblockedports用于显示处于阻塞状态的端口。3、showspanning-treedetail命令showspanning-treedetail用于显示生成树详细信息。4、showspanning-treeinterface命令showspanning-treeinterface用于显示生成树中某端口相关状态。5、showspanning-treevlan当有多个VLAN时，Catalyst交换机会为每个VLAN运行一个生成树实例。此命令用于显示指定VLAN的生成树内容。6、showspanning-treesummary命令showspanning-treesummary用于显示生成树总结，包括本交换机是哪些VLAN的根网桥、端口快速特性是否启用、处于生成树各个端口状态的端口数量等信息。四、NAT测试、诊断命1、showipnattranslation命令showipnattranslation用于显示当前正在进行的NAT情况。2、showipnattranslationverbose命令showipnattranslationverbose用于显示当前正在进行的NAT更为详细的情况。3、showipnatstatistics命令showipnatstatistics用于显示NAT运行情况统计。4、debugipnat命令debugipnat用于打开对NAT的诊断。五、ACL测试、诊断命令1、showaccess-lists命令showaccess-lists用于显示所有已定义的访问控制列表内容及命中情况。2、showipaccess-lists命令showipaccess-lists用于显示所有已定义的IP访问第2章、校园局域网组建二第一节、校园网的设计与功能一、校园网设计步骤1、进行对象研究和需求调查，弄清学校的性质、任务和改革发展的特点，对学校的信息化环境进行准确的描述，明确系统建设的需求和条件；2、在应用需求分析的基础上，确定学校Intranet服务类型，进而确定系统建设的具体目标，包括网络设施、站点设置、开发应用和管理等方面的目标；3、确定网络拓朴结构和功能，根据应用需求、建设目标和学校主要建筑分布特点，进行系统分析和设计；4、确定技术设计的原则要求，如在技术选型、布线设计、设备选择、软件配置等方面的标准和要求；5、规划安排校园网建设的实施步骤。二、校园网的功能1、网络中心网络中心形成了主干网，是整个校园网的总节点，并提供连接广域网和拨入服务，在主干网系统采用以太网结构。在方案中，中心机房放置着中心交换机、服务器群、路由器、机架MODEM等网络设备，这些设备以中心交换机作为中心，以星形拓朴结构通过双绞电缆线连接在一起。网络中心与子网的连接，是通过根据与子网的距离，通过光纤和双绞电缆线将中心交换机和子网的交换机连接起来。2、信息交流功能(1)互联网信息服务--让学校了解世界，让世界了解学校(2)校内信息服务，信息的接收者就是信息的发布者3、学生学习功能网络使学生的学习方式发生了很大变化，他们利用网络自主学习，提高自己的学习能力。他们需要上网查了资料，将完成的作业利用电子邮件发送给了老师。鼓励学生们建立自己的网页，包括英语角、名站鉴赏、硬件长廊、编程作坊、会员网页、游戏论坛、电脑文化等栏目。4.图书馆功能，以图书馆为信息源图书馆可以开设面向教师开放的电子备课室和光盘阅览室，开设面向学生开放的电子阅览室。采购、分类编目、流通、查询、期刊等环节全面实行计算机自动化管理，可以在校园网提供网上在线书目检索服务，读者可以在网上实现检索图书、浏览全文、查阅借阅情况、办理预约及续借手续等。进而实现图书管理的"电脑化"和资料查询的"网络化"。5、办公子网学校管理机构作为学校的中枢管理系统，协调、组织整个学校工作的正常运行，为了能适应管理机构的功能，办公子网需要针对用户的权限，完成数据生成、修改、查询，进行办公自动化、人员资料管理、课程管理等方面的工作。办公子网与网络中心的信息通信比较多、每天要访问大量的数据，还有音频、视频等方面的需求，可以采用一个千兆光纤模块的交换机，在与网络中心的中心交换机通信时有足够的带宽，足以适应各种场合的应用。6、多媒体教学子网在多媒体教学活动中，需要有大量的视频、音频数据进行传输，而基于共享工作方式的集线器，其有限带宽、广播式工作模式不利于这些信号的传输。所以推荐采用交换机用为主要设备，只有在个别用户数目比较少、对信号质量要求不高时，采用集线器。多媒体教室与网络中心的数据通信一般不多，但距离比较远，可以根据教室的多少，增加二级交换机，各个教室采用端口数比较多的交换机。7、图书馆子网图书馆子网主要功能是在图书馆范围内进行计算机文献检索、电子阅读、计算机借还系统以及在校园网上进行文献检索等。由于图书、文献等多以文本的形式出现，数据量不大，可以采用集线器作为节点。图书馆子网中需要存储大量数据，所以要设置专用的数据库服务器作为数据存储、管理系统，数据存放在光盘塔、硬盘阵列等系统中，支持图书馆子网和校园网用户的访问和查询。图书馆子网与网络中心采用1000M带宽的交换机。8、宿舍子网学生和教师宿舍子网主要是通过100M接入层交换机实现互联。三、网络教学的应用分析组建校园网的根本目的在于应用，而这之中，网络教学又是重点。要充分发挥校园网的作用，就需要在网络教学中体现。网络教学包括一系列的软、硬件系统。当然建立网络教学也需要建立起配套的网络办公软件。这是现在办公自动化的一个体现,可以大大的提高办公效率，具体办公系统如下：1、多媒体教学系统建立起基于多媒体的教学系统，在这中间充分利用多媒体教室的计算机、网络系统，为教学提供帮助。在相关软件配合下，实现现代化的教学。在这过程中，软件方面建立相应的CAI软件库。CAI软件库应做到学科齐全，内容丰富和形式多样，要适应不同学科，不同层次的课堂和个性化学习的需要。2、建立教学资料、课件库要保证网络为教学提供必要的辅助，除了在CAI软件外，就是建立相应的资料、课题库。这就包括参考资料，相关教师、学生信息，还有典型的专家教学案例，网络教学课件。其内容包括多方面的，可以是文本，如WORD文件，PowerPoint演示文件等；也可以是声像，如Flash教学文件，VCD，DVD，RM/RMVB，WMV教学录像资料。3、建立基于Internet/Intranet的网络办公系统目前，办公无纸化是一个趋势，办公无纸化就是指通过在Internet/Internet服务器建立相应的办公软件，并发布相应办公信息。各Internet/Internet客户端通过相应软件访问服务器资源，查看服务发布的各种信息。在这个过程中,网络办公系统包括处理日常事物，教学事务，学生信息管理，考试系统等。校园网络办公系统不仅要考虑到校园办公的实际需要，而且要增强信息管理和信息查询功能，为校园网领导提供相应信息服务，这样才能充分发挥校园网的优势，完成学校办公系统自动化的管理要求。系统在WEB浏览器上实现校园网的办公需求，应具体有如下功能：(1).办公自动化：包括公文流转、公文管理及日常办公事务处理等(2).信息服务：包括办公管理信息查询和日常信息服务，办公管理信息主要是学校的教务信息、学生信息、教职工信息、教学信息、财务信息、校园设备信息、多媒体信息、图书馆信息等。日常信息主要是学校相关介绍、新闻动态、教学信息、招生信息等。这要求系统能提供较强的扩充功能，并且学校可根据自己的需要，对信息进行修改和扩充。(3).信息共享：主要包括数据的共享，体现在数据转储、查询构造等。四、各信息点分析各建筑群需要的信息点数建筑名楼层信息点数到网络中心的距离（米）教学楼1-5F500150图书馆1F450150办公楼1-6F500300总结：在中心机房内设服务器机房，各服务器通过1000M双绞线与核心交换机连接，实现直接与核心交换机数据交换；通过室内，室外多模光纤与各栋大楼配线间接入交换机连接在各子配线间通过100M双绞线连接至多媒体教室，网络教室，教师备课间，教师办公室的桌面交换机或其PC机。整个布线网络实现1000M主干，100M桌面的连接。第二节、校园网的设计与要求一、构建校园网络设计目标此方案设计将实现网络主干1000M，桌面100M，端口应为独占100M。而且从目前应用水平考虑，端口独占100M的交换式网络，在相当一段时间内也能支持应用。同时并不影响将来网络的各方面扩展。二、网络系统的构成网络系统最终将由以下几个子系统构成：1、校园计算机局域网；这点是校园网建设的基础，也是本次校园网组建规划的主要工作，其他所有的建设都是建立在此部分之上的。建设覆盖全校的局域网包括网络技术选型，拓扑结构设计，布线系统设计和网络方案的具体设计。在这之中，网络方案设计中网络的核心、汇聚、接入层三层是其重点。其次进行VLAN划分，子网配置和IP地址的分配，最后进行服务器、交换机和路由器的配置。2、交互式多媒体教学系统；3、学校自动化办公系统；4、学校教学和管理综合信息系统在本网络中服务从类型上说既有简单的消息服务，又有资源共享服务；既有访问集中式的数据库，又有分布式事务处理；既有非实时性服务，又有实时性服务。主要支持教师教学和学生学习，提供共享接入Internet，E-mail，WWW，FTP，VOD点播等。二、校园网络系统管理要求我校组建的校园网必需具备有完善的、安全的智能化网络管理功能，其基本需求如下：1、网络设备支持基于端口的虚拟网（VLAN）划分，利用网络管理软件能动态地调整配置VLAN。使划分的各虚网之间既能相互共享所需的信息，又能分别独立运作，加强各虚网之间信息的安全性。这样易于实现网络重组并具备隔离广播风暴的能力。2、具有基于端口的访问控制模式，有效防止外部或内部对某些重要信息点的访问，达到控制信息流向的目的，增强网络的安全性。3、动态监控网络流量和端口状态，及时平衡网络负载。4、动态监控网络登录、网络代理用户数，有效、及时地防止某些非法访问。5、对网络故障及时报警，并实现隔离。对于网络管理系统软件，选用华为公司的网络管理软件H3C网管应用软件。三、校园网络系统应用要求对于我校组建的网络系统来说要求是比较高的，针对我校的实际情况，对服务器硬件系统和应用软件系统的要求如下：1、服务器硬件系统要求整个校园网络建成以后，需要运行哪些应用系统，选配哪些应用服务器设备是我们应该为客户设想的关键问题，针对该校的具体需求，我们选配三台服务器：WEB服务器、E-mail服务器和FTP服务器。2、应用软件系统要求1）操作系统WINDOWSServer2003在稳定性和安全性方面可靠性较高，完全适合该校的网络操作系统需求。2）应用软件校园应用软件要求包括如下几个部分：大学校园网办公软件、视频点播VOD软件、SQLServer数据库软件、电子阅览室资源库等。四、校园网布线系统应用要求随着网络日新月异的发展，综合布线在校园网中的应用越来越广，我校也采用综合布线系统来规划网络，具体分为六大子系统，它们分别是:1、水平子系统主要是实现信息插座和管理子系统，即中间配线架（IDF）间的连接。比如从我们宿舍楼层的每一层交换机到我们每个宿舍的距离，中间采用双绞线连接。2、管理子系统由交连、互连和输入/输出组成，实现配线管理，为连接其它子系统提供手段。比如从每一栋楼到中心机房的距离，中间采用多模光纤连接。3、干线子系统指提供建筑物的主干电缆的路由，是实现主配线架与中间配线架，计算机、PBX、控制中心与各管理子系统间的连接。比如我们宿舍每一层楼与每一层楼之间，中间采用双绞线连接。4、设备间子系统由设备室的电缆、连接器和相关支持硬件组成，把各种公用系统设备互连起来。比如从我们宿舍与办公楼之间相接的地方。5、建筑群子系统是实现建筑之间的相互连接，提供楼群之间通信设施所需的硬件。比如我们宿舍与办公楼之间的距离，由于距离较远，所以中间采用多模光纤连接。第三节、网拓扑结构与设备选择一、网络拓扑结构网络拓扑结构选用星型拓扑结构。它是目前使用最多、最为普遍的局域网拓扑结构，具体分为三级结构：第一级是网络中心，为中心节点。网络中心选址在学校地域的中心建筑,布置了校园网的核心设备，如路由器、交换机、服务器(WWW服务器、电子邮件服务器、文件服务器等)，并预留了将来与本部以外的几个园区的通信接口。第二级是建筑群的主干结点，为二级节点。校园网按地域设置了几条干线光缆，从网络中心辐射到几个主要建筑群，并在二级主干节点处端接。在主干网节点上安装的交换机位于网络的第三层，它向上与网络中心的主干交换机相连，向下与各楼层的接入层交换机相连。学校校园网主干带宽全部为1000Mbps。第三级是建筑物楼内的接入层交换机，为三级节点，三级节点主要是指直接与工作站连接的局域网设备。二、网络设备选择1、网络核心层设备选择核心层设备：华为S5328C-EI-24S交换机1台华为S5328C-EI-24S主要参数交换机类型运营级千兆以太网交换机应用层级三层传输速率10Mbps/100Mbps/1000Mbps网络标准IEEE802.3,IEEE802.3u,IEEE802.3d,IEEE802.3ab,IEEE802.3x端口结构模块化端口数量28接口介质24个100/1000Base-XSFP,4个10/100/1000Base-TCombo,上行2个10GEXFP插卡或者4个1000Base-XSFP传输模式全双工交换方式存储-转发背板带宽256Gbps包转发率66MppsVLAN支持支持QOS支持支持网管支持支持网管功能支持Telnet远程配置、维护、支持SNMPv1/v2/v3、RMON、iManager网管系统、集群管理HGMP、支持系统日志、分级告警MAC地址表32K安全性用户分级管理和口令保护、支持防止DoS、ARP攻击功能、支持IP、MAC、端口的组合绑定、支持端口隔离、支持MAC地址黑洞、支持MAC地址学习数目限制、支持IEEE802.1X认证,支持单端口最大用户数限制、支持AAA认证,支持Radius、TACACS+等多种方式、支持SSHV2.0、支持CPU保护功能尺寸(mm)442×420×43.6mm重量(Kg)<8kg2、网络汇聚层设备选择汇聚层设备：华为QuidwayS3952P-SI交换机6台华为QuidwayS3952P-SI主要参数交换机类型部门级交换机应用层级三层传输速率10Mbps/100Mbps/1000Mbps网络标准IEEE802.3,IEEE802.3u,IEEE802.3d,IEEE802.3ab,IEEE802.3x端口结构固定端口端口数量48接口介质100BASE-TX、10/100/1000Base-T、1000BASE-SX、1000BASE-FX传输模式全双工交换方式存储-转发背板带宽17.6Gbps包转发率13.2MbpsVLAN支持支持QOS支持支持网管支持支持网管功能通过Console口配置,支持SNMP,支持RMON1,2,3,9组MIB,支持华为iManager®N2000DMS网管系统,支持WEB网管,支持系统日志,分级告警MAC地址表16k尺寸(mm)440×260×43.6重量(Kg)4kg3、网络接入层设备选择接入层设备：3COM(H3C)华为S1526交换机若干台3COM(H3C)华为S1526主要参数交换机类型3COM(H3C)华为S1526可管理接入24口10/100M机架交换机应用层级二层传输速率10/100Mbps网络标准IEEE802.310BASE-T以太网IEEE802.3u100BASE-TX快速以太网IEEE802.3ab1000BASE-T千兆以太网端口结构固定端口端口数量24接口介质24个10/100Base-TX自适应以太网端口2个10/100/1000Base-T自适应以太网端口1个Console接口传输模式全双工接口类型RJ-454、网络服务器设备选择服务器需求DNS服务器1台、WWW服务器1台、E-mail服务器1台、FTP服务器1台、数据库服务器1台、VOD点播服务器1台，合计6台服务器。服务器设备：联想万全R525S5405联想万全R525S5405参数类型企业级类别机架式结构2UCPU类型XeonE5405、主频2000MHZ、二级缓存12MB、四核FSB（总线）1333MHz，扩展槽3个内存类型FB-DIMM内存大小1GB内存带宽/描述21GB/s内存插槽数量12硬盘大小373GB硬盘类型SAS内部硬盘架数单机支持12块硬盘最大热插拔硬盘数支持热插拔磁盘阵列卡板载1078256MSASRAID卡光驱标配SlimCD-ROM光驱网络控制器集成Intel双千兆自适应网卡,支持网卡冗余、负载均衡等功能,可选外插Intel千兆自适应网卡显示芯片集成ATI显示芯片,16MB显存标准接口3个RJ45网络接口(其中一个用于服务器管理)、4个USB接口(前置2个,后置2个)、1个PS/2鼠标接口、1个PS/2键盘接口、2个显示接口(前置1个,后置1个)、1个串口系统支持Windowsserver2003R2StandardEdition中文版/英文版(X32)、Windowsserver2003R2EnterpriseEdition中文版/英文版(X32)、Windowsserver2003R2StandardEdition5、网络路由器设备选择路由器设备：思科2811路由器思科2811基本参数产品定位模块化路由器网络类型WANEthernetFastEthernet安全标准UL60950:CAN/CSAC22.2No.60950,IEC60950,EN60950-1,AS/NZS60950是否内置防火墙是是否支持VPN是是否支持Qos是支持网络协议IEEE802.3X固定的局域网接口2x10/100Mbps扩展模块槽数4控制端口ConsoleFlash内存64MBDRAM内存256MB支持的网管协议CiscoClickStart，SNMP第四节、交换机和路由器的配置一、VLAN端口划分及配置该校申请的IP地址为207.160.130.131，域名为www.ldzy.com，主DNS为218.76.138.66，辅助DNS为218.76.138.90。根据该学校的情况，将VLAN与IP分配如下表：VLAN号网段IP网关备注2192.168.10.0/24192.168.10.254多媒体13192.168.20.0/24192.168.20.254多媒体24192.168.30.0/24192.168.30.254学生宿舍1栋4192.168.40.0/24192.168.40.254学生宿舍2栋5192.168.50.0/24192.168.50.254教师宿舍1栋6192.168.60.0/24192.168.60.254教师宿舍2栋7192.168.70.0/24192.168.70.254后勤处办公室8192.168.80.0/24192.168.80.254教务处办公室9192.168.90.0/24192.168.90.254学工处办公室10192.168.100.0/24192.168.100.254图书馆办公室11192.168.110.0/24192.168.110.254电子阅读室12192.168.120.0/24192.168.120.254教学楼机房113192.168.130.0/24192.168.130.254教学楼机房214192.168.140.0/24192.168.140.254教学楼机房3二、路由器的配置路由器CISCO2811与内网的连接端口为f0/0，此端口的IP地址为10.1.1.1。f0/1为外部端口，IP地址为207.160.130.131（为该校申请的IP）。通过以下对路由器CISCO2811的配置完成了该校内部网络与外部Internet的通信；使用NAT技术完成了外部网络对内部局域网访问的地址转换；配置ACL访问控制列表实现老师宿舍1栋无法访问图书馆；同时开启了此路由器的远程功能。路由器的配置如下：router0>#启动路由器后进入用户模式router0>enrouter0#configureterminalrouter0(config)#router0(config)#routerospf100#配置OSPF路由协议router0(config)#network10.1.1.00.0.0.3area0router0(config)#redistributeripsubnetsrouter0(config)#exitrouter0(config)#ipnatpoolrouter207.160.130.131207.160.130.139netmask255.255.255.0#定义用于转换的外部全局地址池router0(config)#access-list1permitany#定义需要转换的地址范围router0(config)#ipnatinsidesourcelist1poolrouter0overload#配置端口地址转换router0(config)#interfacefastEthernet0/0#定义f0/0为内部接口router0(config-if)#ipaddress10.1.1.1255.255.255.252router0(config-if)#ipnatinsiderouter0(config-if)#noshutdownrouter0(config-if)#interfacefastEthernet0/1#定义F0/1外部接口router0(config-if)#ipaddress207.160.130.131255.255.255.0router0(config-if)#ipnatoutsiderouter0(config-if)#noshutdownrouter0(config-if)exitrouter0(config)#access-listdeny1host192.168.30.2#配置ACL访问控制router0(config)#access-list1permitanyrouter0(config)#exitrouter0(config)#interfacefastEthernet0/1#将规则定义到指定的接口router0(config-if)#ipaccess-group1outrouter0(config-if)#exitrouter0(config)##返回特权模式router0#write#保存配置三、核心层交换机配置IP地址端口对端设备对端IP地址对端端口OSPF区域10.1.1.1/30F0/0主教学楼10.1.1.2F0/18Area110.1.1.5/30F0/19学生宿舍10.1.1.6/30F0/19Area210.1.1.9/30F0/20教师宿舍10.1.1.10F0/20Area310.1.1.13/30F0/21办公楼10.1.1.14/30F0/21Area410.1.1.17/30F0/22图书馆10.1.1.18/30F0/22Area510.1.1.21/30F0/23实训楼10.1.1.22/30F0/23Area6192.168.150.2/24F0/3Webserver192.168.150.3/24F0/2E-mailserver192.168.150.4/24F0/1FTPserver表5-1-2为OSPF端口及区域的划分为了与计算机使用的IP地址区分，因此必须划分相应的端口地址及网段，具体分配如表所示下面为华为S5328C-EI-24S交换机的具体配置：启动交换机后默认进入用户模式Switch>#进入特权模式Switch>enable#进入全局模式Switch#configureterminalSwitch(config)#hostnameCenter#交换机名称配置Center(config)#enablepassword123456#配置进入特权模式口令Center(config)#enablesecretCenterCenter(config)#vtpdomainCenter#配置VTP，设VTP域名为CenterCenter(config)#vtpmodeserver#将VTP设置为服务器模式Center(config)#Center(config)#exit#返回到特权模式Center#configureterminal#进入全局模式Center(config)#interfacefastEthernet0/18#进入接口0/18并为其端口设置IPCenter(config-if)#noswitchportCenter(config-if)#ipaddress10.1.1.2255.255.255.252Center(config-if)noshutdownCenter(config-if)interfaceFastEthernet0/19Center(config-if)noswitchportCenter(config-if)ipaddress10.1.1.5255.255.255.252Center(config-if)noshutdownCenter(config-if)interfaceFastEthernet0/20Center(config-if)noswitchportCenter(config-if)ipaddress10.1.1.9255.255.255.252Center(config-if)noshutdownCenter(config-if)interfaceFastEthernet0/21Center(config-if)noswitchportCenter(config-if)ipaddress10.1.1.13255.255.255.252Center(config-if)noshutdownCenter(config-if)interfaceFastEthernet0/22Center(config-if)noswitchportCenter(config-if)ipaddress10.1.1.17255.255.255.252Center(config-if)noshutdownCenter(config-if)interfaceFastEthernet0/23Center(config-if)noswitchportCenter(config-if)ipaddress10.1.1.21255.255.255.252Center(config-if)noshutdownCenter(config-if)interfaceFastEthernet0/24Center(config-if)noswitchportCenter(config-if)ipaddress10.1.1.29255.255.255.252Center(config-if)noshutdownCenter(config-if)#exit#返回全局模式Center(config)#Center(config)#routerospf100#配置OSPF路由（设OSPF的区号为100）Center(config-router)#network10.1.1.00.0.0.3area0#配置路由区域Center(config-router)#network10.1.1.40.0.0.3area1Center(config-router)#network10.1.1.80.0.0.3area2Center(config-router)#network10.1.1.120.0.0.3area3Center(config-router)#network10.1.1.160.0.0.3area4Center(config-router)#network10.1.1.200.0.0.3area5Center(config-router)#network10.1.1.280.0.0.3area6Center(config-router)#exit#返回全局模式Center(config)#linevty01#设置远程登录密码为123456Center(config-line)#loginCenter(config-line)#password123456Center(config-line)#exitCenter(config)#exitCenter#write#返回到特权模式保存配置通过以上配置各汇聚层交换机与核心层交换机均采用OSPF路由协议，共划分了7个区域，路由器与中心机房配置成area0，其余为area1-area6（在模拟软件中都有标记），各汇聚层交换机与接入层交换机之间均采用RIP路由协议，各服务器与中心机房采用静态路由，另外在每个汇聚层交换机上都配有远程登录。四、汇聚层交换机的配置汇聚层交换机以实训楼所在的汇聚交换机华为S5328C-EI-24S配置为详细说明，其它汇聚层交换华为S5328C-EI-24S交换机可参考本节的配置。下面是实验楼汇聚交换机的详细配置。Switch>Switch>enable#进入特权模式Switch#configureterminal#进入全局模式Switch(config)#hostnameconverge#为交换机配置名称converge(config)#enablepassword123456#配置进入特权模式口令converge(config)#enablesecrettestconverge(config)#vtpdomainperry#配置VTP，设VTP域名为perry，并设为客户端模式。converge(config)#vtpmodeclientconverge(config)#converge##返回到特权模式Converge#showvlan#查看VLANconverge#configureterminal#进入全局模式converge(config)#interfacefastEthernet0/19#进入接口模式converge(config)#noswitchportconverge(config-if)#ipaddress10.1.1.5255.255.255.252converge(config-if)noshutdownconverge(config-if)interfacefastEthernet0/24#进入24号端口，设置为trunk口converge(config-if)switchportmodetrunkconverge(config-if)noshutdownconverge(config)exit#返回到全局模式converge(config)interfaceVlan2#进入VLAN虚拟端口，并设其IPconverge(config-if)ipaddress192.168.10.254255.255.255.0converge(config-if)interfaceVlan3converge(config-if)ipaddress192.168.20.254255.255.255.0converge(config-if)#exit#返回到全局模式converge(config)#routeropsf100#配置OSPF及RIP路由converge(config-router)#network10.1.1.00.0.0.3area1converge(config-router)#redistributeripsubnetsconverge(config-router)#exitconverge(config)#routerripconverge(config-router)#version2converge(config-router)#network192.168.10.0converge(config-router)#network192.168.20.0converge(config-router)#network10.1.1.0converge(config-router)#redistributeospf100converge(config-router)#exit#返回全局模式converge(config)#linevty01#配置远程登录converge(config-line)#loginconverge(config-line)#password123456converge(config-line)#exitconverge#write#返回到特权模式保存配置五、办公室接入层交换机配置通过以下对办公楼所在的交换机配置命令，完成了对办公楼不同办公室区域网段的划分，同时开启了此台交换机的远程登录功能。办公楼接入交换机3COM(H3C)华为S1526的24号端口与汇聚层交换机华为QuidwayS3952P-SI的24号端口相连，与其它设备端口连接如下表：端口对端设备端口所属VLANfastEthernet0/1后勤处7fastEthernet0/2教务处8fastEthernet0/3学工处9表5-1-4为各办公室VLAN的端口划分下面为办公楼接入层交换机的详细配置。启动交换机后默认进入用户模式Switch>Switch>enableSwitch#configureterminal#为交换机配置名称（名称使为office）Switch(config)#hostnameofficeoffice(config)#enablepassword123456#配置进入特权模式口令office(config)#enablesecrettestoffice(config)#vtpdomainperry#配置VTP，设VTP域名为perry，并设为客户端模式。office(config)#vtpmodeclientoffice(config)#exit#返回到特权模式office#showvlanoffice#configureterminal#进入全局模式office(config-if)interfacefastEthernet0/24#进入接口模式（进入24号端口，设置端口模式为trunk口）office(config-if)switchportmodetrunkoffice(config-if)noshutdownoffice(config-if)interfacefastEthernet0/1#为1号端口指定要对应VLANoffice(config-if)#switchportaccessvlan7office(config-if)noshutdownoffice(config-if)#interfacefastEthernet0/2office(config-if)#switchportaccessvlan8office(config-if)noshutdownoffice(config-if)#interfacefastEthernet0/3office(config-if)#switchportaccessvlan9office(config-if)noshutdownoffice(config-router)#exit#返回全局模式office(config)#linevty01#配置远程登录office(config-line)#loginoffice(config-line)#password123456office(config-line)#exitoffice#write#配置完成后回到特权模式保存配置六、学生宿舍接入层交换机配置把不同楼的宿舍学生用户划分为不同的网段，并实现了交换机端口与学生宿舍电脑的MAC地址的绑定，同时开启了此交换机远程登录功能。对于学生宿舍的接入层交换机3COM(H3C)华为S1526，学生宿舍的这台交换机与其它设备相连情况如下表：端口对端设备所属vlanfastEthernet0/1学生宿舍14fastEthernet0/2学生宿舍215fastEthernet0/24学生宿舍汇聚端口trunk表5-1-5为学生宿舍VLAN端口的划分下面为学生宿舍交换机的详细配置。Switch>Switch>enableSwitch#configureterminalSwitch(config)#hostnamesdormitorysdormitory(config)#enablepassword123456#启动交换机后为设置主机名与配置登录密码sdormitory(config)#enablesecrettest#设置加密密码sdormitory(config)#sdormitory(config)#vtpdomainperry#配置VTP，设VTP域名为perry，并设为客户端模式。sdormitory(config)#vtpmodeclientsdormitory(config)#exitsdormitory#showvlansdormitory#configureterminal#进入全局模式sdormitory(config)#interfacefastEthernet0/1#进入接口模式配置sdormitory(config-if)#switchportaccessvaln4#将1号端口添加到VLAN4sdormitory(config-if)#noshutdownsdormitory(config)#interfacefastEthernet0/2sdormitory(config-if)#switchportaccessvaln15sdormitory(config-if)#noshutdownsdormitory(config)#interfacefastEthernet0/24sdormitory(config-if)#switchportmodetrunksdormitory(config-if)#noshutdownsdormitory(config)#interfacefastEthernet0/1#进入端口对学生用户的MAC地址与端口地址进行绑定sdormitory(config-if)#switchportmodeaccess#将端口设为access模式sdormitory(config-if)#switchportport-security#启动安全端口模式sdormitory(config-if)#switchportport-securitymac-address00D0.97B6.4996#对MAC地址的绑定sdormitory(config-if)#switchportport-securitymaximum1#设置端口可绑定MAC地址的最大值sdormitory(config-if)#switchportport-securityviolationshutdown#设置与端口绑定的MAC地址不符时自动关闭这些端口sdormitory(config-if#end#配置完成，返回到特权模式然后保存sdormitory#write第五节、网络安全性一、系统安全l应用系统的安全技术由于应用系统的复杂性，有关应用平台的安全问题是整个安全体系中最复杂的部分。下面的几个部分列出了在Internet/Intranet中主要的应用平台服务的安全问题及相关技术。1、WebServer应用安全WebServer是校园对外宣传、开展业务的重要基地。由于其重要性，成为Hacker攻击的首选目标之一。2、电子邮件系统安全电子邮件系统也是网络与外部必须开放的服务系统。由于电子邮件系统的复杂性，其被发现的安全漏洞非常多，并且危害很大。3、操作系统安全市场上几乎所有的操作系统均已发现有安全漏洞，并且越流行的操作系统发现的问题越多。对操作系统的安全，除了不断地增加安全补丁外，还需要：(1)检查系统设置(敏感数据的存放方式，访问控制，口令选择/更新)。(2)基于系统的安全监控系统。二、防毒技术l病毒防护技术病毒历来是信息系统安全的主要问题之一。由于网络的广泛互联，病毒的传播途径和速度大大加快。病毒防护的主要技术如下：(1)阻止病毒的传播。在防火墙、代理服务器、SMTP服务器、网络服务器、群件服务器上安装病毒过滤软件。在桌面PC安装病毒监控软件。(2)检查和清除病毒。使用防病毒软件检查和清除病毒。(3)病毒数据库的升级。病毒数据库应不断更新，并下发到桌面系统。(4)在防火墙、代理服务器及PC上安装Java及ActiveX控制扫描软件，禁止未经许可的控件下载和安装。第3章、校园局域网组建三第一节、信息点分析与网络拓扑1、信息点分布需求分析大楼功能分布信息点信息点合计距核心网络的距离学生公寓区A区500015000250mB区5000C区5000教师公寓区A区500015000250mB区5000C区5000核心交换机学生公寓区交换机A区交换机B区交换机C区交换机人事处交换机教师公寓区交换机行政区交换机财务处交换机核心交换机A区交换机B区交换机教务处交换机招生就业处交换机办公区教学区图书馆A区交换机B区交换机C区交换机计科系交换机软件学院交换机机学生阅览室交换机经管系交换机机电系交换机电子阅览室交换机网络中心交换机借书室交换机信息工程交换机C区交换机行政区财务处20100500m人事处40教务处30招生就业处10图书馆学生阅览室301701000m电子阅览室30网络中心100借书室10教学区计科系10004500200m软件学院2000经管系500机电系500信息工程系500办公区A区100350250mB区150C区100合计348202450m3、vlan的划分及IP的分配表序号子网名称网段IP网关IP备注1学生公寓子网172．16．0．0/16172．16．2．1Vlan22教师公寓子网172．17．0．0/16172．17．3．1Vlan33行政区子网192．168．4．0/24192．168．4．1Vlan44图书馆子网192．168．7．0/24192．168．7．1Vlan75教学区子网172．18．0．0/16172．18．6．1Vlan66办公区子网192．168．5．0/24192．168．5．1Vlan57服务器群子网192．168．8．0/24192．168．8．1Vlan88无线网子网192．168．0．0/24192．168．0．1Vlan9注：IP地址分为公网地址和私网地址两类，公有地址（Publicaddress）由InterNIC（InternetNetworkInformationCenter因特网信息中心）负责。这些IP地址分配给注册并向InterNIC提出申请的组织机构，通过它直接访问因特网。ISP分配给学校的全局IP地址地址段为:202.106.0.3--202.106.0.200/24.,私有地址（Privateaddress）属于非注册地址，专门为组织机构内部使用。以下列出留用的内部私有地址A类10.0.0.0--10.255.255.255、B类172.16.0.0--172.31.255.255、C类192.168.0.0--192.168.255.255。5、网络拓朴图第二节、交换机选择与配置acketTracer5.2是思科公司专门为CCNA考试人员设计的一块软件，通过这个软件能够让我们模拟出各种路由、交换协议，而且，能够测试各种设备的工作情况。一、交换机的选择选择CISCO3560-24PS作为核心层交换机，这个设备有26个端口，其中有两个端口支持1Gbps的带宽。选择CISCO2950-24二层交换机作为接入层交换机，这个设备有24个接口，能够实现10M/100M自适应到桌面的功能，而且，这两款交换机都支持vlan功能。二、核心层交换机的说明配置核心层的功能主要是实现骨干网络之间的优化传输,核心层设计任务的重点通常是冗余能力、可靠性和高速的传输。网络的控制功能最好尽量少在核心层上实施。核心层一直被认为是所有流量的最终承受者和汇聚者，所以对核心层的设计以及网络设备的要求十分严格。核心交换机采用两个三层交换机，VLAN划分采用基于端口的划分方法。该校园网分为7个vlan，vlan2、vlan3、vlan4分别接在核心交换机一的f0/1、f0/2、f0/3接口，vlan5、vlan6、vlan7、vlan8、vlan9分别接在核心交换机二的f0/1、f0/2、f0/3、f0/4接口。1、配置VLAN端口：sw0(config)#intf0/1sw0(config-if)#switchportmodetrunksw0(config-if)#switchportaccessvlan2sw0(config)#intf0/2sw0(config-if)#switchportmodetrunksw0(config-if)#switchportaccessvlan3sw0(config)#intf0/3sw0(config-if)#switchportmodetrunksw0(config-if)#switchportaccessvlan4sw1(config)#intf0/1sw1(config-if)#switchportmodetrunksw1(config-if)#switchportaccessvlan5sw1(config)#intf0/2sw1(config-if)#switchportmodetrunksw1(config-if)#switchportaccessvlan6sw1(config)#intf0/3sw1(config-if)#switchportmodetrunksw1(config-if)#switchportaccessvlan7sw1(config)#intf0/4sw1(config-if)#switchportmodetrunksw1(config-if)#switchportaccessvlan8sw1(config)#intf0/5sw1(config-if)#switchportaccessvlan92、配置各VLAN地址sw0(config)#intvlan2sw0(config-if)#ipadd172.16.2.1255.255.0.0sw0(config-if)#noshutdownsw0(config-if)#exitsw0(config)#intvlan3sw0(config-if)#ipadd172.17.3.1255.255.0.0sw0(config-if)#noshutdownsw0(config-if)#exitsw0(config)#intvlan4sw0(config-if)#ipadd192.168.4.1255.255.255.0sw0(config-if)#noshutdownsw1(config)#intvlan5sw1(config-if)#ipadd192.168.5.1255.255.255.0sw1(config-if)#noshutdownsw1(config-if)#exitsw1(config)#intvlan6sw1(config-if)#ipadd172.18.6.1255.255.0.0sw1(config-if)#noshutdownsw1(config-if)#exitsw1(config)#intvlan7sw1(config-if)#ipadd192.168.7.1255.255.255.0sw1(config-if)#noshutsw1(config-if)#exitsw1(config)#intvlan8sw1(config-if)#ipadd192.168.8.1255.255.255.0sw1(config-if)#noshutsw1(config)#intvlan9sw1(config-if)#ipadd192.168.9.1255.255.255.0sw1(config-if)#noshut3、端口聚合提供冗余备份链路，端口聚合又称链路聚合，是指两台交换机之间在物理上将多个端口连接起来，将多条链路聚合成一条逻辑链路。从而增大链路带宽，解决交换网络中因带宽引起的网络瓶颈问题。多条物理链路之间能够相互冗余备份，其中任意一条链路断开，不会影响其他链路的正常转发数据。该核心交换机采用的是两条，具体配置如下：Switch(config)#interport-channel1Switch(config-if)#noswitchportSwitch(config-if)#noshutdownSwitch(config-if)#ipaddress172.19.0.1255.255.0.0Switch(config)#intergig0/1Switch(config-if)#channel-gSwitch(config-if)#channel-group1monSwitch(config)#intergig0/2Switch(config-if)#channel-group1mon4、两个三层核心交换机之间的RIP路由协议，具体配置代码如下：sw0(config)#routerripsw0(config-router)#network172.16.0.0sw0(config-router)#network172.17.0.0sw0(config-router)#network172.19.0.0sw0(config-router)#network172.20.0.0sw0(config-router)#network192.168.4.0sw0(config-router)#version2sw0(config-router)#noauto-summarysw1(config)#routerripsw1(config-router)#network192.168.0.0sw1(config-router)#network192.168.5.0sw1(config-router)#network192.168.6.0sw1(config-router)#network172.18.0.0sw1(config-router)#network172.19.0.0sw1(config-router)#network192.168.7.0sw1(config-router)#network192.168.8.0sw1(config-router)#version2sw1(config-router)#noauto-summary三、汇聚层交换机的说明配置分布层提供基于统一策略的互连性，它是核心层和访问层的分界点，定义了网络的边界，对数据包进行复杂的运算。在园区网络环境中，分布层主要提供如下功能：地址的聚集、部门和工作组的接入、广播域/多目传输域的定义、nterVLAN路由、介质的转换、安全控制。1、VTP配置当网络管理人员需要管理的交换机数量众多时，可以使用VLAN中继协议VTP（VlanTrunkingProtocol）简化管理，它只需在单独一台交换机上定义所有VLAN。然后通过VTP协议将VLAN定义传播到本管理域中的所有交换机上。这样，大大减轻了网络管理人员的工作负担和工作强度。将分布层交换机学生公寓区的交换机设置成为VTP服务器，其他交换机设置成为VTP客户机。访问层交换机学生公寓区的交换机作为服务器的配置如下：s4#vlandatabases4(vlan)#vtpdomaindongs4(vlan)#vlan2s4(vlan)#vlan3s4(vlan)#vlan4s4(vlan)#vlan5s4(vlan)#vlan6s4(vlan)#vlan7s4(vlan)#vlan8s4(vlan)#vlan9s4(vlan)#vtpserver2、trunk端口在最普遍的路由与交换领域，VLAN的端口聚合也有的叫TRUNK，不过大多数都叫TRUNKING，如CISCO公司。所谓的TRUNKING是用来在不同的交换机之间进行连接，以保证在跨越多个交换机上建立的同一个VLAN的成员能够相互通讯。其中交换机之间互联用的端口就称为TRUNK端口。与一般的交换机的级联不同，TRUNKING是基于OSI第二层数据链路层（DataLinkLayer)RUNKING技术，如果你在2个交换机上分别划分了多个VLAN（VLAN也是基于Layer2的），那么分别在两个交换机上的VLAN10和VLAN20的各自的成员如果要互通，就需要在A交换机上设为VLAN10的端口中取一个和交换机B上设为VLAN10的某个端口作级联连接。VLAN20也是这样。那么如果交换机上划了10个VLAN就需要分别连10条线作级联，端口效率就太低了。当交换机支持TRUNKING的时候，事情就简单了，只需要2个交换机之间有一条级联线，并将对应的端口设置为Trunk，这条线路就可以承载交换机上所有VLAN的信息。这样的话，就算交换机上设了上百个个VLAN也只用1个端口就解决了。如果是不同台的交换机上相同id的vlan要相互通信，那么可以通过共享的trunk端口就可以实现，如果是同一台上不同id的vlan/不同台不同id的vlan它们之间要相互通信，需要通过第三方的路由来实现。该层对学生公寓区交换机trunk配置如下：s4(config)#intf0/1s4(config-if)#switchportmodetrunks4(config)#intf0/2s4(config-if)#switchportmodetrunks4(config)#intf0/3s4(config-if)#switchportmodetrunks4(config)#intf0/4s4(config-if)#switchportmodetrunk四、接入层交换机的说明配置接入层是最终用户(教师、学生)与网络的接口，它应该提供即插即用的特性，同时应该非常易于使用和维护。另外，通过VTP的设置，我们可以更好的将汇聚层的vlan信息导入到接入层，只需要将不同的端口加入不同的vlan，就能够是机器之间通信。在该层的一个交换机上的配置如下:!进入vtp数据库Switch#vlandatadase!设置vtp域名Switch(vlan)#vtpdomaindong!设置vtp模式Switch(vlan)#vtpclientSwitch(vlan)#exitSwitch#configgureterminal!配置接口F0/1为中继接口Switch(config-if)#intf0/1!设置为trun模式Switch(config-if)#switchportmodetrunk第三节、路由器选择与配置路由器是内部局域网和广域网的分界点，主要是能够进行数据包的转发和路径的选择。另外，路由器要能够支持不同网络提供商的接入，实现线路的冗余。在这里我们选择Cisco1841路由器。一、路由器配置1、配置路由器远程登录密码，代码如下：Router(config)#linevty04Router(config-line)#passworddongRouter(config-line)#login2、配置路由器特权模式密码：Router(config)#enablepassworddong二、无线路由器的配置无线局域网的配置代码如下：ipdhcppoolwirelessnetwork192.168.0.0255.255.255.0default-router192.168.0.1dns-server192.168.8.11无线路由器Internet自动获得的IP如图3-1所示：图3-1无线路由器Internet自动获得IP图无线路由器LAN的IP如图3-2所示：图3-2无线路由器LAN的IP图查看无线局域网的PC机自动获得IP的情况，如图3-3所示:图3-3局域网中PC机自动获得的IP图第四节、服务器配置一、WWW服务器配置局域网WWW服务器的配置如下图:二、DNS服务器配置DNS服务器的配置如下：第四节、网络安全5.2网络安全主机安全技术：加强网络上结点计算机的安全，包括：系统防火墙的规则设置、更新。系统漏洞补丁升级更新，在人们的潜意识里增加安全防范意识等等。身份认证技术：身份验证技术可以阻止或减少由于非法用户的登陆对系统的恶意或非法操作。在用户访问服务器上任何信息之前，可以要求用户提供有效的MicrosoftWindows用户帐户、用户名和密码。该标识过程称为“身份验证”。可以在网站或FTP站点、目录或文件级别设置身份验证。可以使用Internet信息服务（IIS提供的）身份验证方法来控制对网站和FTP站点的访问。（包括下列信息：网站验证：介绍符合您验证用户网站访问要求的身份验证方法。FTP站点身份验证：介绍符合您验证用户FTP站点访问要求的身份验证方法。）访问控制技术：对信息的权限的控制，阻止了非授权用户进行的信息的浏览，修改甚至破坏。适当地控制对Web和FTP内容的访问是安全运行Web服务器的关键。使用Windows和IIS中的安全功能，您可以有效地控制用户访问您Web和FTP内容的方式。可以控制多级访问，从整个网站和FTP站点到单独的文件。每个帐户均被授予用户特权和权限。用户特权是指在计算机或网络上执行特定操作的权力。权限是与对象（如文件或文件夹）关联的规则用于控制哪些帐户可以获得对象的访问权限。防火墙技术：要主的技术有数据包过滤技术、应用网关和代理服务等；防火墙体系结构在网络中的设置应用。例如屏蔽子网型防火墙。它是由两个包过滤路由器和两个堡垒机组成。堡垒主机和服务器放置在一个处于内外网的小型网络（Dmz安全区）中。连接外网的包过滤路由器主要用来防止外网的攻击。并管理外网对dmz的访问。第二给个包过滤路由器是它置接受源于堡垒主机的数据，负责管理Ｄmz和内网之间的访问。这样对外网，内部网是不可见的。同理对于内网外网是不可见的，内网眼通过代理服务才能访问外网。对于入侵者必须通过外部路由器和堡垒主机，内部路由器才能入侵到内网中。到目前可以认为是最安全的。安全审计技术：安全策略的订制和授权信息的验证技术是该技术的重点部分。可以使用安全审核技术跟踪用户活动并检测对NTFS目录和文件的未经授权的访问。（可供审核的活动包括：用户成功和失败的登录。用户试图访问受到限制的帐户。用户试图执行受到限制的命令。）5.2.1NAT网络地址转换(NAT,NetworkAddressTranslation)被广泛应用于各种类型Internet接入方式和各种类型的网络中。原因很简单，NAT不仅完美地解决了lP地址不足的问题，而且还能够有效地避免来自网络外部的攻击，隐藏并保护网络内部的计算机。虽然NAT可以借助于某些代理服务器来实现，但考虑到运算成本和网络性能，很多时候都是在路由器上来实现的随着接入Internet的计算机数量的不断猛增，IP地址资源也就愈加显得捉襟见肘。事实上，除了中国教育和科研计算机网(CERNET)外，一般用户几乎申请不到整段的C类IP地址。在其他ISP那里，即使是拥有几百台计算机的大型局域网用户，当他们申请IP地址时，所分配的地址也不过只有几个或十几个IP地址。显然，这样少的IP地址根本无法满足网络用户的需求，于是也就产生了NAT技术。NAT的实现方式有三种，即静态转换StaticNat、动态转换DynamicNat和端口多路复用OverLoad。静态转换是指将内部网络的私有IP地址转换为公有IP地址，IP地址对是一对一的，是一成不变的，某个私有IP地址只转换为某个公有IP地址。借助于静态转换，可以实现外部网络对内部网络中某些特定设备(如服务器)的访问。动态转换是指将内部网络的私有IP地址转换为公用IP地址时，IP地址对是不确定的，而是随机的，所有被授权访问上Internet的私有IP地址可随机转换为任何指定的合法IP地址。也就是说，只要指定哪些内部地址可以进行转换，以及用哪些合法地址作为外部地址时，就可以进行动态转换。动态转换可以使用多个合法外部地址集。当ISP提供的合法IP地址略少于网络内部的计算机数量时。可以采用动态转换的方式。端口多路复用(PortaddressTranslation,PAT)是指改变外出数据包的源端口并进行端口转换，即端口地址转换(PAT，PortAddressTranslation).采用端口多路复用方式。内部网络的所有主机均可共享一个合法外部IP地址实现对Internet的访问，从而可以最大限度地节约IP地址资源。同时，又可隐藏网络内部的所有主机，有效避免来自internet的攻击。因此，目前网络中应用最多的就是端口多路复用方式。(1)外网主机访问内网服务器,采用的是静态转换。具体代码如下：ipnatinsidesourcestatic192.168.8.10202.106.0.20(2)实现局域网访问互联网，采用的是端口复用动态地址转换，当内部多个私有ip地址对应外部很少的公网地址时所使用的，它可以根据端口的不同来区分不同的服务和对应的内部地址。在这次的课题设计中局域网访问外网就是采用这种技术，具体代码如下：Router(config)#intf0/1Router(config-if)#ipnatinsideRouter(config-if)#exitRouter(config)#ints0/1/0Router(config-if)#ipnatoutsideRouter(config-if)#exitRouter(config)#ipnatpooltest202.106.0.3202.106.0.200netmask255.255.255.0Router(config)#access-list10permit172.16.0.00.0.255.255Router(config)#access-list10permit172.17.0.00.0.255.255Router(config)#access-list10permit192.168.4.00.0.0.255Router(config)#access-list10permit192.168.5.00.0.0.255Router(config)#access-list10permit172.18.0.00.0.255.255Router(config)#access-list10permit192.168.7.00.0.0.255Router(config)#access-list10permit192.168.8.00.0.0.255Router(config)#access-list10permit172.19.0.00.0.255.255Router(config)#access-list10permit172.20.0.00.0.255.255Router(config)#access-list10permit192.168.0.00.0.0.255Router(config)#ipnatinsidesourcelist10pooltestoverload5.2.2ACL访问控制列表（AccessControlList，ACL）是路由器和交换机接口的指令列表，用来控制端口进出的数据包。ACL适用于所有的被路由协议，如IP、IPX、AppleTalk等。这张表中包含了匹配关系、条件和查询语句，表只是一个框架结构，其目的是为了对某种访问进行控制。信息点间通信，内外网络的通信都是企业网络中必不可少的业务需求，但是为了保证内网的安全性，需要通过安全策略来保障非授权用户只能访问特定的网络资源，从而达到对访问进行控制的目的。简而言之，ACL可以过滤网络中的流量，控制访问的一种网络技术手段。ACL技术用在了核心交换机的SW0上面，不允许学生公寓区访问行政区，其它的都可以，具体配置如下：interfaceVlan4ipaddress192.168.4.1255.255.255.0ipaccess-group100outaccess-list100denyip172.16.0.00.0.255.255192.168.4.00.0.0.255access-list100permitipanyany第五节、网络系统的测试在这里我们通过ping、tracert、arp等网络命令，来观察机器的连通性和数据包的转发路径。为了说明问题，我们就用一个机器192.168.5.10作为代表来进行测设。内网WWW服务器202.106.0.20图标键+R→“运行”中输入cmd或command或commandprompt→打开命令提示符窗口1.测试不同vlan之间的通信在命令提示符窗口输入ping172.16.34.10,看是否能ping通。2.测试到服务器所走的路径在命令提示符窗口输入tracertwww.test.com,看到服务器所走的路径。注：www.test.com为DNS服务器名，其IP为192.168.8.103、测试NAT网络地址转换是否正常在命令提示符窗口输入ping202.106.1.2,看是否能ping通。图6-4测试内网主机访问外网WWW服务器图图6-5测试外网主机访问内网WWW服务器图5.测试ACL是否正确用学生公寓区的一台IP地址为172.16.34.10，办公区一台IP地址为192.168.5.88分别访问财务处192.168.4.10，如下图所示：图6-6学生公寓区访问行政区图图6-7办公区访问行政区图通过测试可知学生公寓区不能访问行政区，办公区可以访问行政区，说明ACL配置正确。6．测试无线局域网能否访问内网和外网的WWW服务器，如下图所示。图6-8无线网主机访问内网WWW图图6-9无线网主机访问外网WWW图7．测试主机能否远程管理接入外网的路由器，如图6-10所示在命令提示符窗口输入telnet172.21.3.7，看能否登陆路由器，对路由器进行远程管理。第5章、校园局域网组建五建设目标与原则1.1XX学院网络建设目标学校共有员工和学生9000人,院区内共有12栋建筑,包括教学楼、实验楼、现教楼、图书馆、宿舍楼等。上网的人员主要是学生、教师和科研人员。学校的网络同时承载着多样的网络应用：网络下载、视频点播、网络聊天、专项课题研究、网络化教学，学校要求网络具有高性能、高可用性和高安全性。学校规模在不断扩大中，用户数在持续增加，要求网络具有很好的扩展性，能够根据需要逐步平滑升级到千兆的骨干连接。学生拥有笔记本电脑的人数越来越多，他们想在校园的各个地方都可以上网，甚至包括操场。要求网络具有移动和无线集成。学校要求能对每个用户的使用情况能进行事后审计，能够定位到IP地址以及用户所连接的端口和登录的用户名。由于校园网络的开放性和流量的多样性，学校要求能及时发现网络异常流量并做出响应。同时要求基于每用户的速率限制。另外在设备支持上要求：在10/100或10/100/1000BaseT上支持802.3afPoE；网络设备集成的安全性；要求第2层和第3层的QoS；要求增强的802.1x功能；支持10GE或将来平滑过渡到10GE。当前万兆以太网将成为园区骨干网的主流技术。但根据XX学院目前的实际情况，可先采用千兆位以太网作为园区骨干，以后再根据需要升级；另外交换机及路由器本身的性能对整个网络的性能也有影响，诸如线速转发、QoS、STP、可支持的路由协议的收敛特性等等都将影响网络的性能。高可用性：网络的高可用性必须依靠冗余来实现，网络级冗余性可以利用双宿主设计自动绕过故障链路或设备，能够使用智能协议保持网络可靠性。设备级冗余性可以利用设备内部部件（如管理引擎、电源、风扇等）的冗余来提供不间断服务。线路级冗余可通过敷设物理走向不同的线缆的方式来实现线路的畅通。对于XX学院来说，以上所说在不同的场合中都有可能用到；另外，降低网络的复杂性、提供备用互联网出口、强大的网络监控功能及良好的用户培训也可增加园区网的可用性。高安全性：现阶段网络建设主要面临以下几方面的问题：网络流量增长得很快，与此同时网络运营商的接入费用不降反升；管理人员对校园网的运行情况缺乏基本的分析和管理工具；网络安全事件时有发生，重要服务器和核心网络设备被攻击；网络病毒泛滥，得不到控制；有线用户和无线用户的接入控制、定位缺乏手段等；针对以上问题，将安全连接、威胁防御、信用和身份管理系统集成到单个解决方案中，并提供病毒感染限制、染毒设备隔离功能可有效的解决校园网建设中的安全问题。高可扩展性：在设计园区网时，通过层次化的设计可保证网络的扩展性。层次化结构包括三个功能部分：即接入层、分布层和核心层，层次化的设计除了能带来便于扩展的优势以外，还可节约成本和加强故障隔离能力；移动性：可通过实施WirelessLAN实现无线上网。1.2校园网设计原则采用先进成熟的技术和设计思想，运用先进的集成技术路线，以先进、实用、开放、安全、使用方便和易于操作为原则，突出系统功能的实用性，尽快投入使用，发挥较好的效能。计算机技术的发展十分迅速，更新换代周期越来越短。所以，选购设备要充分注意先进性选择硬件要预测到未来发展方向，选择软件要考虑开放性，工具性和软件集成优势。网络设计要考虑通信发展要求，因此，主要、关键设备需要具有很高的性价比。系统的设计既要在相当长的时间内保证其先进性，还应本着实用的原则，在实用的基础上追求先进性，使系统便于联网，实现信息资源共享。易于维护管理，具有广泛兼容性，同时为适应我国实际情况，设备应具有使用灵活、操作方便的汉字、图形处理功能。目前，计算机网络与外部网络互连互通日益增加，都直接或间接与国际互连网连接。因此系统方案设计需考虑系统的可靠性、信息安全性和保密性的要求。XX学院校园网设计方案设计原则和需求分析，可以方便地进行设备扩充和适应工程的变化，以及灵活地进行软件版本的更新和升级，保护用户的投资。目前，网络向多平台、多协议、异种机、异构型网络共存方向发展，其目标是将不同机器、不同操作系统、不同的网络类型连成一个可协同工作的一个整体。所以所选网络的通迅协议要符合国际标准，为将来系统的升级、扩展打下良好的基础。采用结构化、模块化的设计形式，满足系统及用户各种不同的应用要求，适应业务调整变化。采用的技术标准必须按照国际标准和国家标准与规范，保证系统的延续性和可靠性。满足系统目标与功能目标，总体方案设计合理，满足用户的应用要求，便于系统维护，以及系统二次开发与移植。校园网建设方案2.1搭建校园网络系统XX学院从地理上分为二大块：教学区和宿舍区。目前只在教学区部分大楼进行了联网，宿舍区没有联网。因此，我们需要做的工作是宿舍区和教学区的网络互联,以及教学区的网络扩展。本方案采用成熟的千兆以太网技术，采用分层结构的解决方案。整个网络设计的原则为：中心交换机为整个网络的核心，它对整个网络的性能、可靠性起决定作用，它连接各个物理子网，管理网络内信息交换（包括多媒体信息），控制VLAN间访问，保证信息安全。因此，选用中心交换机除了提供高速的网络连接之外，还具有多种信息的管理控制能力。全部的网络设备均支持高效的Intranet多媒体和多点广播技术，为多媒体和多点广播应用等提供端到端的带宽保证。网络采用层次结构，不仅逻辑结构清晰，管理方便；更重要的是大多数的数据流量（主要是同一部门或工作组内）的交换在分布层交换机上直接处理，不经中心设备，节省主干带宽，提高利用率。有一定的前瞻性，不仅满足当前网上应用，也为向将来更高性能的升级作好了准备：网络具有的伸缩性，升级和扩展主要只集中在网络中心，添加新的接口模块，即可实现用户和信息点的扩充，升级模块即可大量提高主干带宽；中心配置两台多层交换机，网络结构就能连接成高可靠性的、真正的中心交换机互备份和上联线路冗余。配合热备份路由协议和热备份双服务器主机系统，在整个系统内消除单点故障，提供高可用性的应用服务系统。虚拟专用网（VPN）被定义为通过一个公用网络（通常是因特网）建立一个临时的、安全的连接，是一条穿过混乱的公用网络的安全、稳定的隧道。虚拟专用网是对企业内部网的扩展。虚拟专用网可以帮助远程用户、公司分支机构、商业伙伴及供应商同公司的内部网建立可信的安全连接，并保证数据的安全传输。虚拟专用网可用于不断增长的移动用户的全球因特网接入，以实现安全连接；可用于实现企业网站之间安全通信的虚拟专用线路，用于经济有效地连接到商业伙伴和用户的安全外联网虚拟专用网。2.2网络拓扑结构根据地理位置及信息点的数量和未来覆盖面扩充等多方面原因，将校园网为每个系划分若干个区域。划分区域主要考虑以下几个方面：可以减轻中央核心交换机的负担、管理上方便、便于未来的连接扩充。XX学院校园网的拓朴如图2.1所示：图2.1XX学院校园网的拓朴图整个校园网划分为三个层次：核心层、分布层和接入层。相应的交换机就是核心交换机、分布层交换机和接入层交换机。核心层网络选择千兆以太网。校网络中心将放置两台高端三层千兆交换机和一台边界路由器。交换机间的连接要求是高带宽连接。分布层交换机要求至少两路上行链路连至两台核心层交换机上，采用快速收敛的路由协议实现故障切换和负载均衡，当某一链路出现意外，也可以从另外一路上连。校内各系的汇聚交换机构成，各分布层交换机放置在各系的网络中心，要求至少两路上行链路连至两台核心层交换机上。分布层交换的下连交换机都为接入层网络。2.3IP地址规划本方案采用的地址分配方法利用VLSM技术,不仅有大量预留空间,而且本校园网使用OSPF路由协议,有层次的IP地址,易于管理,在边界路由器上可做汇聚(汇聚成10.1.0.0/17网段),减少路由更新大小,提高网络性能。如表2.1所示:表2.1XX学院校园网IP地址分配表建筑物设备IP地址子网掩码现教楼中心机房VPN防火墙10.1.0.1255.255.255.0边界路由器10.1.0.2255.255.255.0核心交换机110.1.0.3255.255.255.0核心交换机210.1.0.4255.255.255.0WEB/FTP服务器10.1.70.1255.255.255.0认证服务器10.1.70.2255.255.255.0DNS/DHCP服务器10.1.80.1255.255.255.0用户10.1.10.0255.255.255.0教学楼分布层交换机10.1.0.5255.255.255.0接入层交换机10.1.0.6255.255.255.0AP10.1.63.7255.255.255.0用户10.1.20.0255.255.254.0实验楼分布层交换机10.1.0.8255.255.255.0接入层交换机10.1.0.9255.255.255.0AP10.1.63.10255.255.255.0用户10.1.30.0255.255.248.0图书馆分布层交换机10.1.0.11255.255.255.0接入层交换机10.1.0.12255.255.255.0AP10.1.63.13255.255.255.0用户10.1.40.0255.255.254.0行政楼分布层交换机10.1.0.14255.255.255.0接入层交换机10.1.0.15255.255.255.0AP10.1.63.16255.255.255.0用户10.1.50.0255.255.254.0宿舍楼分布层交换机10.1.0.17255.255.255.0接入层交换机10.1.0.18255.255.255.0AP10.1.63.19255.255.255.0用户10.1.64.0255.255.192.02.4设备选型本方案中校园网络核心层设备采用CISCOCatalyst6509（SupervisorEngine7202/电源2/FWSM1/IPSecVPN模块1/IDSM1/NAM1/16口千兆以太网光口板1/若干5486/48口千兆电口1，符合IEEE802.3af&PoE）数量：2台。CiscoCatalyst6509的优点：最长的网络正常运行时间--利用平台、电源、控制引擎、交换矩阵和集成网络服务冗余性提供1～3秒的状态故障切换，提供应用和服务连续性统一在一起的融合网络环境，减少关键业务数据和服务的中断。全面的网络安全性--将切实可行的数千兆位级思科安全解决方案集成到现有网络中，包括入侵检测、防火墙、VPN和SSL。可扩展性能--利用分布式转发体系结构提供高达400Mpps的转发性能。能够适应未来发展并保护投资的体系结构--在同一种机箱中支持三代可互换、可热插拔的模块，以提高IT基础设施利用率，增大投资回报，并降低总体拥有成本。卓越的服务集成和灵活性--将安全和内容等高级服务与融合网络集成在一起，提供从10/100和10/100/1000以太网到万兆以太网，从DS0到OC-48的各种接口和密度，并能够在任何部署项目中端到端执行。校园网络分布层设备采用CISCOCatalyst4507R（SupervisorEngineV-10GE2/电源2/若干千兆以太网光口板及GBIC/48口千兆电口板1，符合IEEE802.3af&PoE）数量：7台。CiscoCatalyst4506（WithSupervisorV-10GE）的优点是：136Gbps交换矩阵；102mpps第二层到第四层吞吐率；双线速万兆以太网上行链路；利用千兆以太网SFP上行链路顺利移植到万兆以太网；在交换管理引擎上提供集成式NetFlow，通过基于用户的速率限制实施精确流量控制；超快速800MHzCPU可实现更快的控制平面；最多能够在Catalyst4510R交换机中支持384个10/100/1000端口；提供所有CiscoCatalyst集成式安全特性；为提供更加灵活的策略，能够为每个端口和VLAN实施不同的QoS；思科快速转发能够防止可变IP信息攻击。端口安全、DHCP侦听、ARP检测和IP源防护能够防止黑客从第二层及以上发动拒绝服务（DoS）攻击或破坏网络。速率限制以出口和入口限速器的方式出现，可以控制每个VLAN的流量，防止DoS攻击。SupervisorEngineV-10GE支持基于用户的速率限制。802.1X及其扩展性能防止非法用户和设备接入网络，例如恶意接入点。硬件Netflow可用于主动发现网络流量异常，并采取相应措施。它使用的访问控制列表可在交换端口和路由端口上提供，以便进行二到七层流量控制。校园网络接入层设备采用CISCOCatalyst3560(EMI)交换机，该系列交换机是一个固定配置、企业级、IEEE802.3af和思科预标准以太网供电(PoE)交换机系列，工作在快速以太网和千兆位以太网配置下。CISCOCatalyst3560是一款理想的接入层交换机，适用于小型企业布线室或分支机构环境，结合了10/100/1000和PoE配置，实现最高生产率和投资保护，并可部署新应用，如IP电话、无线接入、视频监视、建筑物管理系统和远程视频访问等。客户可在整个网络范围中部署智能服务，如高级QoS、速率限制、访问控制列表、组播管理和高性能IP路由等，且同时保持传统LAN交换的简洁性。思科网络助理(networkassistant)在Catalyst3560系列中免费提供，是一个集中管理应用，可简化思科交换机、路由器和无线接入点的管理任务。思科网络助理提供了配置向导，大大简化了融合网络和智能网络服务的实施；支持增强的802.1x(IBNS)。2.5网络安全设计XX学院网络安全性方案设计原则是：整个XX学院网络必须是一个严密的安全保密体系。采取的安全措施不能影响整个网络运行效率。保密设备要做到管理方便，完善可靠。加密系统具有良好的网络兼容性和可扩展性，实现防窃取、防篡改、防破坏三大功能。按照国家主管部门对政府办公网络安全保密性的相应法规和规定，要保障系统内部信息的安全，我们主要应该做到处理秘密级、机密级信息的系统与不涉及保密信息的系统实行物理隔离，秘密级、机密级信息在网络上采取加密传输。防火墙是设置在内部网络与Internet之间的一个或一组系统，用以实施两个网络间的访问控制和安全策略。狭义上防火墙指安装了防火墙软件的主机或和路由系统；广义上还包括整个网络的安全策略和安全行为。防火墙技术属于被动防卫型，它通过在网络边界上建立一个网络通信监控系统来保护内部网络安全的目的，其功能是按照设定的条件对通过的信息进行检查和过滤。防火墙是实施组织的网络安全策略、保护内部信息的第一道屏障，其作用主要有：保护功能拒绝非授权访问、保护网络系统和私人及敏感信息不受侵害。连接功能作为内部网络与Internet之间的单一连接点。管理功能实施统一的安全策略，检查网络使用情况，进行流量控制等。防火墙有三个属性：所有进出内部网的数据包必须经过它；仅被本地安全策略所授权的数据包才能通过它；防火墙本身对攻击必须具有免疫能力。在XX学院和外网的连接中，我们推荐使用硬件防火墙。比如CISCOASA5510-BUN-K9系列：并发连接数130000网络吞吐量(Mbps)300安全过滤带宽170Mbps网络端口3+1个管理快速以太网端口、可升级到5个快速以太网端口、1个SSM扩展插槽用户数限制无用户数限制入侵检测DoS安全标准UL1950,CSAC22.2No.950,EN60950IEC60950,AS/NZS3260,TS001控制端口console管理思科安全管理器(CS-Manager)VPN支持选择该型号是因为价格适中,且功能齐全,较适合本校园网建设。在内部网络和外网之间之间通过防火墙，建立起一个DMZ区。与外网关联业务的服务器都可以放在DMZ区，Internet上的用户只能到达DMZ区相应的服务器。并且内部网络到Internet的连接，是通过NAT地址翻译的方式进行，可以充分隐藏和保护内部网络和DMZ区设备。防火墙在内外网络连接中起两个作用：利用访问控制列表（AccessControlList，ACL）实安全防护防火墙操作系统IOS通过访问控制列表（ACL）技术支持包过滤防火墙技术，根据事先确定的安全策略建立相应的访问列表，可以对数据包、路由信息包进行拦截与控制，可以根据源/目的地址、协议类型、TCP端口号进行控制。这样，我们就可以在Extranet上建立第一道安全防护墙，屏蔽对内部网Intranet的非法访问。例如，我们可以通过ACL限制可以进入内部网络的外部网络甚至是某一台或几台主机；限制可以被访问的内部主机的地址；为保证主机的安全，可以限制外部用户对主机的一些危险应用如TELNET等。利用地址转换（NetworkAddressTranslation，NAT）实现安全保护防火墙另外一个强大功能就是内外地址转换。进行IP地址转换由两个好处：其一是隐藏内部网络真正的IP地址，这可以使黑客（hacker）无法直接攻击内部网络，因为它不知道内部网络的IP地址及网络拓扑结构；另一个好处是可以让内部网络使用自己定义的网络地址方案，而不必考虑与外界地址冲突的情况。地址转换（NAT）技术运用在内部主机与外部主机之间的互相访问的时候，当内部访问者想通过路由器外出时，路由器首先对其进行身份认证----通过访问列表（ACL）核对其权限，如果通过，则对其进行地址转换，使其以一个对外公开的地址访问外部网络；当外部访问者想进入内部网时，路由器同样首先核对其访问权限，然后根据其目的地址（外部公开的地址），将其数据包送到经过地址转换的相应的内部主机。在XX学院网络工程和今后各种应用系统的建设过程中，在局域网上我们可以根据不同部门、不同业务类别划分VLAN（虚网），通过把不同系统划分在不同VLAN的方式，将各系统完全隔离，实现对跨系统访问的控制，既保证了安全性，也提高了可管理性。VLAN（虚网）技术和VLAN路由技术VLAN技术用以实现对整个局域网的集中管理和安全控制。CISCO局域网交换机的一大优势是具备跨交换机的VLAN（虚网）划分和VLAN路由功能。虚网是将一个物理上连接的网络在逻辑上完全分开，这种隔离不仅是数据访问的隔离，也是广播域的隔离，就如同是物理上完全分离的网络一样，是一种安全的防护。通过VLAN路由实现对跨部门访问的控制，既保证了安全性，也提高了可管理性。Inter-VLANRouting原理每一个VLAN都具有一个标识，不同的VLAN标识亦不相同，交换机在数据链路层上可以识别不同的VLAN标识，但不能修改该VLAN标识，只有VLAN标识相同的端口才能形成桥接，数据链路层的连接才能建立，因而不同VLAN的设备在数据链路层上是无法连通的。Inter-VLANRouting技术是在网络层将VLAN标识进行转换，使得不同的VLAN间可以沟通，而此时基于网络层、传输层甚至应用层的安全控制手段都可运用，诸如Access-list（访问列表限制）、FireWall(防火墙)、TACACS+等，Inter-VLANRouting技术使我们获得了对不同VLAN间数据流动的强有力控制。MAC地址过滤策略在内部网中还可以利用Cisco交换机的MAC地址过滤功能对局域网的访问提供链路层的安全控制。MAC地址过滤能进一步实现对局域网的安全控制。CISCO局域网交换机具有MAC地址过滤功能，通过在交换机上对每个端口进行配置，可以禁止或允许特定MAC地址的源站点或目的站点，从而实现各站点之间的访问控制。由于每块网卡有唯一的MAC地址，是固定不变的，只允许特定MAC地址的工作站通过特定的端口进行访问，所以对MAC地址的访问控制实际上就是对指定工作站这一物理设备的访问控制，由于MAC地址的不可改变，与对IP地址的过滤相比，具有更高的安全性。访问安全控制从确保网络访问的安全出发，路由器对所有远程拨号访问连接都由Radius设置AAA(AuthenticationAuthorizationAccount，即认证、授权、记帐)级安全控制，防止非法用户的访问。同时，在计费服务器上，也提供Radius认证方式，两者可以配合使用。（也可以只采用计费服务器上的Radius认证）。具体的实现细节如下：在网络中配置一台安装CiscoSecure软件的服务器，CiscoSecure软件使用Radius（RemoteAuthenticationDial-inUserService）协议提供对网络的安全控制，并对成功连接到网络的用户的操作进行记录。对于远程拨号访问，配置PPP协议提供的CHAP（ChallengeHandshakeAuthorizationProtocol）认证协议，该协议是一个基于标准的认证服务，而且在传输过程中使用加密保护，与在传输用户ID和口令时不使用加密的PAP协议相比，具有更大的安全性，可提供用户ID和口令在传输线上的安全保护。RADIUS提供的AAA级安全控制首先根据用户名和口令识别在本网络中是否允许该用户访问，从而决定是否建立连接；其次对经过认证连接到网络的用户授予相应的网络服务级别提供访问的限制；最后保留用户在本网络中的所有操作记录（日志），这些记录的内容包括用户网络地址、用户名、所使用的服务、日期和时间以及用于计帐的连接时间、连接位置、数据传输量、开始时间和停止时间等。AAA在Client/Server体系中允许在一个中心数据库中存储所有的安全息，在一台装有CiscoSecure软件的安全服务器上通过对数据库的修改和维护就可方便地对整个系统进行很好的安全控制。CiscoSecure软件由一个Daemon和一个GUI两部分组成。Daemon的操作依赖于两个文件，一个用于定义所有的系统参数的控制文件和一个包含了网络用户所有认证和授权信息的数据库文件。GUI提供给系统管理员用于维护认证和授权信息等，网络用户可被分配到具有一系列相同参数的组，GUI使系统管理员能够修改网络中任一组和任一用户的认证和授权参数。2.6网络管理系统设计网络管理性能是衡量一个网络系统性能高低的重要因素之一。网络管理系统完成设置网络设备、监控网络运行、保障网络安全，查找并隔离网络故障，记录网络中的各种事件以及划分虚拟网络等功能。总之，对所有网络上的信息进行统一管理。网管通常结合硬件和软件的手段来实施，对不同的拓扑结构及不同的物理和逻辑部分进行监控和分析。OSI定义网管系统支持传统五大网管功能：故障管理、配置管理、计费管理、安全管理以及性能管理。这些管理功能由网管系统和网络设备共同完成。结合校园网的实际情况，我们认为，安全管理与计费管理可以由网络管理模块配合专用的软（硬）件管理产品来共同实现，网络管理的主要任务应落实在故障管理、配置管理和性能管理这三个方面。1、配置管理网络节点插板、端口和冗余结构的配置和管理；网络节点访问口令的设置和更改。2、性能管理可以实时连续地收集网络运行的相关数据，可用数字和图形的方式显示网络运行的各种情况以及重要程度，需要时可发布指令到各节点，进行网络控制；可从相关节点收集业务量数据，进行统计、分类、记录归挡。使用这些信息为网络建设提供规划设计依据。3、故障管理能实时监视故障信息，并对其统计分析；可形成节点、中继线及用户端口的告警产生、告警内容和告警清除的统计报告。可实时修改状态图以反映此故障。校园网网络设备较多但网络结构简单，管理人员不多，比较适合采用集中的管理模式，即由一台网管主机（或者备份主机）对整个网络环境进行综合管理，不需要添加二级管理设备，管理结构简单，已于维护管理。通过仔细分析校园网网络系统结构，在主要管理产品选型上我们建议采用Cisco公司基于WINDOWS2000的CiscoWorks2000网管软件实现对整个网络设备的管理。网络管理是对网络上的通信设备及传输系统进行有效的监视、控制、诊断和测试所采用的技术和方法。网络管理系统的概念模型主要由管理者、管理代理和被管对象等实体及其相互作用组成。基于SNMP（SimpleNetworkManagementProtocol）的网络管理系统SNMP由IETF提出，主要是为基于TCP/IP的互连网设计的，现在已经被其它协议实现，如IPX/SPX，DECNET以及APPLETALK等，它的主要标准由一系列RFC组成，并得到了网络厂商的广泛支持，成为网络管理方面事实上的标准。目前基于SNMP的网络管理系统已广泛应用于Internet。这里建议采用CiscoWorks软件,因为该软件基于WEB页面管理，操作简便，功能齐全，而且是基于标准的多厂商管理软件。在实际环境中，管理者的功能由安装在网络管理中心的网管工作站上的一系列网管软件完成，它负责管理主机、局域网的计算机网络系统与应用和与之相联的下级单位的广域网、局域网等设备，被管对象指网络设备等网络资源。管理者负责接收来自上述各级节点发送的网络管理信息，并对相关事件进行处理。应用服务的管理可以采用专用的服务管理软件，针对不同的应用服务，进行专业的监控管理。目前，业界对各种应用服务的管理基本上都有成熟的解决方案。应用服务的状态监控主要体现在三个方面：服务器状态的监控：主要包括服务器的各个性能参数。可以采用专用的系统管理模块对各个性能参数分别监控、统一管理。应用程序状态的监控：包括各个关键服务的关键应用进程的健康情况。视需监控的程度和经费状况，可以选用专用的监控模块或统一的进程监控模块。网络状态的监控：通过上面的网络管理模块即可实现对整个网络系统可用性的统一监控。考虑到校园网目前的管理人员比较少，管理任务相对较多的特点，对以上各个应用服务的管理及网络管理，我们可以采用统一的事件控制平台来汇总管理，实现集中化控制、单窗口管理。并且利用事件控制平台自身的特点，实现报警事件的集成、过滤、关联和自动化处理。事件管理平台收集并集成来自网络环境中任何重要的信息源的消息，通过内置的过滤关联机制，将有效的消息分组分级别的统一呈现在管理员面前。另外，应用监控系统能够利用保存的历史监控数据，生成各种可用性及趋势报表，为下一步的投资改造决策作参考。网络应用解决方案3.1综合办公自动化系统XX学院OA系统整体设计目标是：利用现代网络技术、多媒体技术及Internet技术等为基础建立起来的计算机网络，联接教学内部网络的教学楼子网及分散于各功能楼、宿舍楼的计算机，通过网络管理中心的服务器群组为所有计算机提供例如登录服务，文件/打印共享/Email服务，及教学、科研、整体管理、校务服务、远程教学等传统应用服务，提供经济类文献的查询、地方经济信息的发布、经济类的网上咨询等。根据教育部"统一规划，相互协调"的原则，实现学院行政部门和学院办公业务的电子化、自动化和网络化，使教育行政管理、应急指挥和快速反应的能力进一步提高，高效率、高质量地为学院教育行政部门和学院的管理和决策服务。实现学院内部资源高度共享；提高教育技术的现代化水平和教育信息化程度；为学院培养创新人才提供信息平台，提高学生收集处理信息的能力、获取新知识的能力、分析和解决问题的能力、语言文字表达能力以及团结协作和社会活动的能力。在认真总结和分析了学校的校园网应用系统的需求，提供了极具特色的高校校园网应用解决方案，主要包括公文管理系统、信息发布系统、会议管理系统、信息交换系统、个人信息系统、信息资源库、档案管理子系统、公共信息管理子系统、电子论坛、日常事务管理、领导信息查询子系统、图书管理子系统、教学管理子系统、高考多功能查询系统、邮件系统等十几个模块。操作简单；性能安全可靠；双向复制功能；综合查询功能；支持移动办公；灵活的伸缩性支持多系统共存；动态权限配置；通用的公文审批流程、打印格式；工作流程灵活定制；强大的版本跟踪、痕迹保留技术。3.2网络计费系统随着网络应用越来越丰富，网络服务计费是网络运营的一个重要部分。采用方便、灵活的计费方式有利于减轻网络管理人员的工作负担。随着XX学院校园网的建成和Internet带宽的扩容，将会吸引越来越多的用户上网。因此，在XX学院网络建成后，需要建立一套功能强大的计费系统。通过使用和调查，清华大学通用网络计费系统（CNGAS）是针对内联网用户访问Internet进行监控和管理而设计的一整套完整的计费解决方案，能提供基于用户、IP、包月、限时、限流量等计费模式，非常适用于校园网、企业、政府机关、智能大厦和智能小区的计费。因此，我们建议XX学院采用这套系统。计费系统结构从实现功能上系统可分为：流量计费模块、邮件计费模块、拨号计费模块、代理计费模块四个模块。各模块相对独立，可以适应不同用户对于单项服务的需求。可以单独使用每个模块，也可以组合使用。计费系统开发基于因特网免费服务软件Sendmail、Squid、Apache+SSL、Radius以及OracleforLinux数据库管理系统，对应用系统内核进行了改造，无版权争议。系统采用统一的身份认证与后台数据库，提供标准的web界面及前台管理；系统采用网络用户预缴费、使用中实时自动扣费的方式；系统有详细自动日志备份体系，可以保存全部用户及主机信息以及全部用户帐目及日志流水帐；用户具有自我管理和自我服务功能通过网页可以方便地修改自己的服务项目密码，自行查询自己详细的费用。网络计费服务器、邮件服务器、拨入计费服务器、代理服务器和数据库服务器都只是逻辑上的，在物理上，它们可以运行在同一台机器上，也可以运行在不同的机器上。对小规模网络，只用一台PC机即可实现全部功能。不同的用户可根据需求及网络规模来决定相应的配置。网络的综合布线系统4.1综合布线标准所谓综合布线系统，是指按标准的、统一的和简单的结构化方式规划和布置各种建筑物（或建筑群）内各种系统的通信线咱，包括网络系统、电话系统、监控系统、电源系统和照明系统等。因此，综合布线系统是一种标准通用的信息传输系统。标准化组织:北美的标准EIA/TIA568A国际ISO标准，即ISO/IEC11801IEEE802.3100/1000Base-T、100Base-FIEEE802.5TokenRing中国建筑电信设计规范工业企业通信设计规范4.2设计范围及要求设计目标的确定我们为该企业网络设计的综合布线系统将基于以下目标：1.符合当前和长远的信息传输要求。2.布线系统设计遵从国际（ISO/CEI11801）标准。3.布线系统采用国际标准建议的星形拓扑结构。4.考虑网络连接到桌面的速度100Mbps，网络主干信息传输向1000兆发展的需要。5.布线系统的信息出口采用国际标准的RJ45插座。6.布线系统符合综合业务数据网的要求。7.布线系统要立足开放原则。4.3布线的实施系统结构,根据企业的具体情况，采用以下方案：采用集中结构，整个办公区的所有双绞线都拉到机房中。双绞线直接端接在机柜内的模块化配线架上。材料选型,考虑到主干网络采用千兆以太网的要求,所以,方案中网络选用超5类双绞线。布线要求,布线标准选用超5类线产品，每个工作位是一个双孔插座：一个电脑插座，一个电话插座(个别工作站设双语音插口)。机柜端采用朗讯48口模块式配线架。电话与电脑可任意互换。布线系统管槽设计管线铺设建议：1.由于安装的是非屏蔽双绞线，对接地要求不高，建议在与机柜相连的主线槽处接地。2.本区域需要线槽的规格是这样来确定的：线槽的横截面积留40%的富余量以备扩充,超5类双绞线的横截面积为0.3平方厘米。3.线槽安装时,应注意与强电线槽的隔离。布线系统应避免与强电线路在无屏蔽、距离小于20cm情况下平行走3米以上。如果无法避免，该段线槽需采取屏蔽隔离措施。4.进入家具的电缆管线由最近的吊顶线槽沿隔墙下到地面，并从地面镗槽埋管到家具隔断下。5.管槽过渡、接口不应该有毛刺，线槽过渡要平滑。6.线管超过两个弯头必须留分线盒。7.墙装底盒安装应该距地面30厘米以上，并与其他底盒保持等高、平行。8.线管采用镀锌薄壁钢管或PVC管。工作区子系统由终端设备连接到信息插座的连线，以及信息插座所组成。信息点由标准RJ45插座构成。信息点数量应根据工作区的实际功能及需求确定，并预留适当数量的冗余。例：对于一个办公区内的每个办公点可配置2～3个信息点，此外应为此办公区配置3～5个专用信息点用于工作组服务器、网络打印机、传真机、视频会议等等。若此办公区为商务应用则信息点的带宽为100M可满足要求；若此办公区为技术开发应用则每个信息点应为交换式100M甚至是光纤信息点。工作区的终端设备（如：电话机、传真机）可用康宁公司FutureCom超五类或六类双绞线直接与工作区内的每一个信息插座相连接，或用适配器（如ISDN终端设备）、平衡/非平衡转换器进行转换连接到信息插座上。水平子系统主要是实现信息插座和管理子系统，即中间配线架（IDF）间的连接。水平子系统指定的拓扑结构为星形拓扑。水平干线的设计包括水平子系统的传输介质与部件集成。选择水平子系统的线缆，要根据建筑物内具体信息点的类型、容量、带宽和传输速率来确定。在水平子系统中推荐采用的双绞电缆及光纤型号为:康宁公司FutureCom超五类或六类非屏蔽双绞线,FutureLink室内单模或多模光纤。双绞线水平布线链路中，水平电缆的最大长度为90m。若使用100ΩUTP双绞线作为水平子系统的线缆，可根据信息点类型的不同采用不同类型的电缆，例如对于语音信息点和数据信息点可采用FutureCom超五类或六类双绞线，甚至使用FutureLink光缆；对于电磁干扰严重的场合应尽量采用康宁公司FutureCom六类屏蔽双绞线。但是从系统的兼容性和信息点的灵活互换性角度出发，建议水平子系统采用同一种布线材料。管理子系统由互连和输入/输出组成，实现配线管理，为连接其它子系统提供手段。包括配线架、跳线设备及光配线架等组成设备。设计管理子系统时,必需了解线路的基本设计原理,合理配置各子系统的部件。康宁公司的LANscape综合布线解决方案拥有搭配科学、管理简便的成套产品用于管理子系统。干线子系统指提供建筑物的主干电缆的路由，是实现主配线架与中间配线架，计算机、PBX、控制中心与各管理子系统间的连接。干线传输电缆的设计必须既满足当前的需要,又适应今后的发展。干线子系统布线走向应选择干线线缆最短、最安全和最经济的路由。干线子系统在系统设计施工时，应预留一定的线缆做冗余信道，这点对于综合布线系统的可扩展性和可靠性来说是十分重要的。干线子系统可以使用的线缆主要有：HAY三类大对数电缆；FutureCom超五类或六类双绞线；FutureLink室内单模或多模光纤。超五类双绞线可以支持1000BASE－T，但如要求支持1000BASE－TX则必须使用六类双绞线。如果已安装的电缆仅满足5类线标准(1995)，那么在连接1000BASE－T设备之前，应对布线系统按照新增加的布线参数（如：回波损耗，等级远端串扰（ELFEXT），传播延迟和延时畸变等）进行测量和认证。设备间子系统由设备室的电缆、连接器和相关支持硬件组成，把各种公用系统设备互连起来。设备间的主要设备有数字程控交换机、计算机网络设备、服务器、楼宇自控设备主机等等。它们可以放在一起，也可分别设置。在较大型的综合布线中，可以将计算机设备、数字程控交换机、楼宇自控设备主机分别设置机房，把与综合布线密切相关的硬件设备放置在设备间，计算机网络设备的机房放在离设备间不远的位置。建筑群子系统是实现建筑之间的相互连接，提供楼群之间通信设施所需的硬件。建筑群之间可以采用有线通信的手段，也可采用微波通信、无线通信的手段。在康宁公司的LANscape综合布线解决方案中，康宁FutureLink光纤不但支持FDDI主干、1000Base－FX主干、100Base－FX到桌面、ATM主干和ATM到桌面，还可以支持CATV/CCTV及光纤到桌面（FTTD），是建筑群子系统和主干线子系统布线中有线通信线缆中的明星。光纤有单模光纤和多模光纤两种：单模光纤只传输主模态，可完全避免模态色散，传输频带很宽，传输容量很大，适用于大容量、长距离的光纤通信。它是未来光纤通信与光波技术发展的必然趋势（如：1000BASE－LX基于1300nm的单模光缆，使用8B/10B编码解码方式，最大传输距离为3000m，康宁公司出品的特制光纤传输距离为标准距离的5-10倍）；多模光纤传输模态较多，存在一定量的模态色散，频带较宽，传输容量较大（目前采用的62.5/125μm多模光纤，数据传输速率为100Mbps时，最大距离可以到2km），但传输千兆位数据量时距离支持十分有限。4.4测试及验收布线的施工工艺质量并不能完全决定整个网络布线的质量，所以对布线必须作认证测试，以决定链路是否达到设计要求。1．验证测试，通常是施工者在施工结束后自己检查的过程，测试的主要参数是基本链路的连通性、接线图及长度，获取的数据用来判断整个工程是否达到设计要求，并作为向甲方提出对该工程验收的依据。2．认证测试，它的结果直接反映了布线施工工艺质量的好坏，并能判定基本链路的连通性测试和电气性能测试是否全部达到规定的设计要求；具体的施工质量没有经过认证测试这一重要环节，系统的可靠性、稳定性是很难保证的。3．测试标准，目前，认证的标准一般采用TIA委员会制定的五类双绞线系统测试标准，即TSB-67《现场测试非屏蔽双绞线布线系统的传输性能规范》或ISO11801为标准。4．测试参数，各种测试模式的测试参数至少应包括下列内容：接线图（WireMap）--这是确认链路连接完整性的测试，主要检查8芯双绞线中每对线是否符合EIA/TIA-568规定的标准；长度（Length(m)）--主要检查链路的物理长度，对通道最长为100M，对链路最长为94M，如考虑到测试仪器的校正误差，最多可增加10%，即对通道最长110M，对链路最长为104M；衰减（Attenuation）--主要检查信号沿链路传输过程中损失的量度；近端串扰（NEXT（dB））--主要检查双绞线链路中从一对线到另一对线的信号泄露。这个参数是决定链路传输性能的最重要的参数，会随着传输速率的增加而增大，它与布线的走向、线的端接、干扰源的隔离等诸多因素有关；对于主干采用大对数光缆，则需要测试光传输过程中的连续性和衰减损耗。其中连通性是对光纤的基本要求，而衰减损耗是对光纤作为网络介质所表现的传导性能否保证系统正常工作的前提。具体的说，就是要检查每条光纤是否存在着断裂或其它的不连续点，光纤的接头ST或SC头的制作工艺以及每一条光纤的长度是否符合标准。标识清楚，标识分为以下类别：通道标识、空间标识、电缆标识、端接硬件标识。接地标识，对日常维护最重要的是电缆标识，根据我们的经验是标识的越细致，日常维护越简单、方便，设备间的标识尤为重要，垂直、水平、光缆，甚至房间的模块面板都应标识清楚。文档齐全，布线系统施工质量的优劣都应体现在验收文档中,所有测试性能都应体现在文档中。其中包括：设计方案、管线施工平面图和信息点分布平面图、测试报告（文档或磁盘形式）、配线表（文档形式）等等。',)