最全的校园网组网方案 (1),校园网组网方案设计

('校园组网方案第一章校园网络需求分析1.1校园各子网功能分析21世纪是一个以数字化、网络化与信息化为核心的信息时代。信息技术的高速发展使得计算机网络发展的非常迅速，已经成为信息科学的一个新的分支。随着计算机网络的发展，校园网已经成为学校走向信息化时代的必然发展趋势，使我国教育管理向智能化发展。校园网络的规划设计是一项系统工程，不同的规划设计方案，可使网络存在较大的性能差异，它不仅体现在网络本身具备的技术特性和应用特点上，也体现了不同用户的各种需求，而校园网的建设必将对学校的信息化建设和教学素质的提高起到强大的推动作用，同时提供简单、有效、便捷的理想办公、教学环境。本文通过对学校园网建设的研究，着重从需求分析、校园网的设计、设备的选型、网络互联设备配置等方面进行了分析与描述，并给出了具体的设计方案。总体设计是校园网建设的总体思路和工程蓝图，是搞好校园网建设的核心任务。进行校园网总体设计，首先，进行对象研究和需求调查，弄清学校的性质、任务和改革发展的特点，对学校的信息化环境进行准确的描述，明确系统建设的需求和条件；其次，在应用需求分析的基础上，确定学校Intranet服务类型，进而确定系统建设的具体目标，包括网络设施、站点设置、开发应用和管理等方面的目标；第三，确定网络拓朴结构和功能，根据应用需求、建设目标和学校主要建筑分布特点，进行系统分析和设计；第四，确定技术设计的原则要求，如在技术选型、布线设计、设备选择、软件配置等方面的标准和要求；第五，规划安排校园网建设的实施步骤。本文从校园用户的需求分析入手，阐述了校园网的应用特点，以及网络产品如何满足校园网用户的多方面需求。然后从校园网的设计、校园网互联设备选型及交换机路由器的配置作了详细的介绍。1.2需求分析与拓朴结构1.2.1校园网的功能1、网络中心网络中心形成了主干网，是整个校园网的总节点，并提供连接广域网和拨入服务，在主干网系统采用以太网结构。在方案中，中心机房放置着中心交换机、服务器群、路由器、机架MODEM等网络设备，这些设备以中心交换机作为中心，以星形拓朴结构通过双绞电缆线连接在一起。网络中心与子网的连接，是通过根据与子网的距离，通过光纤和双绞电缆线将中心交换机和子网的交换机连接起来。2、信息交流功能(1)互联网信息服务--让学校了解世界，让世界了解学校(2)校内信息服务，信息的接收者就是信息的发布者3、学生学习功能网络使学生的学习方式发生了很大变化，他们利用网络自主学习，提高自己的学习能力。他们需要上网查了资料，将完成的作业利用电子邮件发送给了老师。鼓励学生们建立自己的网页，包括英语角、名站鉴赏、硬件长廊、编程作坊、会员网页、游戏论坛、电脑文化等栏目。4.图书馆功能，以图书馆为信息源图书馆可以开设面向教师开放的电子备课室和光盘阅览室，开设面向学生开放的电子阅览室。采购、分类编目、流通、查询、期刊等环节全面实行计算机自动化管理，可以在校园网提供网上在线书目检索服务，读者可以在网上实现检索图书、浏览全文、查阅借阅情况、办理预约及续借手续等。进而实现图书管理的"电脑化"和资料查询的"网络化"。5、办公子网学校管理机构作为学校的中枢管理系统，协调、组织整个学校工作的正常运行，为了能适应管理机构的功能，办公子网需要针对用户的权限，完成数据生成、修改、查询，进行办公自动化、人员资料管理、课程管理等方面的工作。办公子网与网络中心的信息通信比较多、每天要访问大量的数据，还有音频、视频等方面的需求，可以采用一个千兆光纤模块的交换机，在与网络中心的中心交换机通信时有足够的带宽，足以适应各种场合的应用。6、多媒体教学子网在多媒体教学活动中，需要有大量的视频、音频数据进行传输，而基于共享工作方式的集线器，其有限带宽、广播式工作模式不利于这些信号的传输。所以推荐采用交换机用为主要设备，只有在个别用户数目比较少、对信号质量要求不高时，采用集线器。多媒体教室与网络中心的数据通信一般不多，但距离比较远，可以根据教室的多少，增加二级交换机，各个教室采用端口数比较多的交换机。7、图书馆子网图书馆子网主要功能是在图书馆范围内进行计算机文献检索、电子阅读、计算机借还系统以及在校园网上进行文献检索等。由于图书、文献等多以文本的形式出现，数据量不大，可以采用集线器作为节点。图书馆子网中需要存储大量数据，所以要设置专用的数据库服务器作为数据存储、管理系统，数据存放在光盘塔、硬盘阵列等系统中，支持图书馆子网和校园网用户的访问和查询。图书馆子网与网络中心采用1000M带宽的交换机。8、宿舍子网学生和教师宿舍子网主要是通过100M接入层交换机实现互联。1.3服务应用分析1.3.1网络教学的应用分析组建校园网的根本目的在于应用，而这之中，网络教学又是重点。要充分发挥校园网的作用，就需要在网络教学中体现。网络教学包括一系列的软、硬件系统。当然建立网络教学也需要建立起配套的网络办公软件。这是现在办公自动化的一个体现,可以大大的提高办公效率，具体办公系统如下：1、多媒体教学系统建立起基于多媒体的教学系统，在这中间充分利用多媒体教室的计算机、网络系统，为教学提供帮助。在相关软件配合下，实现现代化的教学。在这过程中，软件方面建立相应的CAI软件库。CAI软件库应做到学科齐全，内容丰富和形式多样，要适应不同学科，不同层次的课堂和个性化学习的需要。2、建立教学资料、课件库要保证网络为教学提供必要的辅助，除了在CAI软件外，就是建立相应的资料、课题库。这就包括参考资料，相关教师、学生信息，还有典型的专家教学案例，网络教学课件。其内容包括多方面的，可以是文本，如WORD文件，PowerPoint演示文件等；也可以是声像，如Flash教学文件，VCD，DVD，RM/RMVB，WMV教学录像资料。3、建立基于Internet/Intranet的网络办公系统目前，办公无纸化是一个趋势，办公无纸化就是指通过在Internet/Internet服务器建立相应的办公软件，并发布相应办公信息。各Internet/Internet客户端通过相应软件访问服务器资源，查看服务发布的各种信息。在这个过程中,网络办公系统包括处理日常事物，教学事务，学生信息管理，考试系统等。校园网络办公系统不仅要考虑到校园办公的实际需要，而且要增强信息管理和信息查询功能，为校园网领导提供相应信息服务，这样才能充分发挥校园网的优势，完成学校办公系统自动化的管理要求。系统在WEB浏览器上实现校园网的办公需求，应具体有如下功能：(1).办公自动化：包括公文流转、公文管理及日常办公事务处理等(2).信息服务：包括办公管理信息查询和日常信息服务，办公管理信息主要是学校的教务信息、学生信息、教职工信息、教学信息、财务信息、校园设备信息、多媒体信息、图书馆信息等。日常信息主要是学校相关介绍、新闻动态、教学信息、招生信息等。这要求系统能提供较强的扩充功能，并且学校可根据自己的需要，对信息进行修改和扩充。(3).信息共享：主要包括数据的共享，体现在数据转储、查询构造等。1.3.2服务器需求分析服务器在校园网中充当不可或缺的角色，根据我校的实际情况，至少需要6台服务器设备，具体服务器设备如下：校园网服务器需求如表1-2-2所示:服务器名数量DNS1WWW1E-mail1FTP1数据库服务器1VOD点播服务器11.3.3各信息点的分析组建全网首先得计算出信息点的数量，此次组建覆盖全校建筑群的局域网，其基本分布如下：设置中心机房（信息中心），在各栋楼设子配线间。在中心机房内设服务器机房，各服务器通过1000M双绞线与核心交换机连接，实现直接与核心交换机数据交换；通过室内，室外多模光纤与各栋大楼配线间接入交换机连接，在各子配线间通过100M双绞线连接至多媒体教室，网络教室，教师备课间，教师办公室的桌面交换机或其PC机。整个布线网络实现1000M主干，100M桌面的连接。各建筑群需要的信息点数如图所示：各楼层信息点的需求数如表1-2-3建筑名楼层信息点数到网络中心的距离（米）教学楼1-5F500150图书馆1F450150办公楼1-6F500300第二章校园网的设计2.1构建校园网络设计目标此方案设计将实现网络主干1000M，桌面100M，端口应为独占100M。而且从目前应用水平考虑，端口独占100M的交换式网络，在相当一段时间内也能支持应用。同时并不影响将来网络的各方面扩展。系统最终将由以下几个子系统构成：1、校园计算机局域网；这点是校园网建设的基础，也是本次校园网组建规划的主要工作，其他所有的建设都是建立在此部分之上的。建设覆盖全校的局域网包括网络技术选型，拓扑结构设计，布线系统设计和网络方案的具体设计。在这之中，网络方案设计中网络的核心、汇聚、接入层三层是其重点。其次进行VLAN划分，子网配置和IP地址的分配，最后进行服务器、交换机和路由器的配置。2、交互式多媒体教学系统；3、学校自动化办公系统；4、学校教学和管理综合信息系统在本网络中服务从类型上说既有简单的消息服务，又有资源共享服务；既有访问集中式的数据库，又有分布式事务处理；既有非实时性服务，又有实时性服务。主要支持教师教学和学生学习，提供共享接入Internet，E-mail，WWW，FTP，VOD点播等。2.2校园网的设计原则根据我校园网的具体要求与实际情况，此次校园网的组建应符合以下原则：经济性：尽量利用性价比较好的网络及计算机设备，以低廉的投资获取较高性能。实用性：确保加速信息传递，提高工作效率，节约办公费用。操作性：人性化的设计，保证网络管理人员和使用人员能快速的使用网络。扩展性：网络具有较强的可升级性，在将来需要时可以对网络进行必要的扩充。在增加新硬件设备时能方便地接入网络，软件上便于更新、维护、升级。2.3校园网络系统管理要求我校组建的校园网必需具备有完善的、安全的智能化网络管理功能，其基本需求如下：1）网络设备支持基于端口的虚拟网（VLAN）划分，利用网络管理软件能动态地调整配置VLAN。使划分的各虚网之间既能相互共享所需的信息，又能分别独立运作，加强各虚网之间信息的安全性。这样易于实现网络重组并具备隔离广播风暴的能力。2）具有基于端口的访问控制模式，有效防止外部或内部对某些重要信息点的访问，达到控制信息流向的目的，增强网络的安全性。3）动态监控网络流量和端口状态，及时平衡网络负载。4）动态监控网络登录、网络代理用户数，有效、及时地防止某些非法访问。5）对网络故障及时报警，并实现隔离。对于网络管理系统软件，选用华为公司的网络管理软件H3C网管应用软件。2.4校园网络系统应用要求对于我校组建的网络系统来说要求是比较高的，针对我校的实际情况，对服务器硬件系统和应用软件系统的要求如下：1、服务器硬件系统要求整个校园网络建成以后，需要运行哪些应用系统，选配哪些应用服务器设备是我们应该为客户设想的关键问题，针对该校的具体需求，我们选配三台服务器：WEB服务器、E-mail服务器和FTP服务器。2、应用软件系统要求1）操作系统WINDOWSServer2003在稳定性和安全性方面可靠性较高，完全适合该校的网络操作系统需求。2）应用软件校园应用软件要求包括如下几个部分：大学校园网办公软件、视频点播VOD软件、SQLServer数据库软件、电子阅览室资源库等。2.5校园网布线系统应用要求随着网络日新月异的发展，综合布线在校园网中的应用越来越广，我校也采用综合布线系统来规划网络，具体分为六大子系统，它们分别是:（1）水平子系统主要是实现信息插座和管理子系统，即中间配线架（IDF）间的连接。比如从我们宿舍楼层的每一层交换机到我们每个宿舍的距离，中间采用双绞线连接。（2）管理子系统由交连、互连和输入/输出组成，实现配线管理，为连接其它子系统提供手段。比如从每一栋楼到中心机房的距离，中间采用多模光纤连接。（3）干线子系统指提供建筑物的主干电缆的路由，是实现主配线架与中间配线架，计算机、PBX、控制中心与各管理子系统间的连接。比如我们宿舍每一层楼与每一层楼之间，中间采用双绞线连接。（4）设备间子系统由设备室的电缆、连接器和相关支持硬件组成，把各种公用系统设备互连起来。比如从我们宿舍与办公楼之间相接的地方。（5）建筑群子系统是实现建筑之间的相互连接，提供楼群之间通信设施所需的硬件。比如我们宿舍与办公楼之间的距离，由于距离较远，所以中间采用多模光纤连接。2.6校园网拓扑结构图网络拓扑结构选用星型拓扑结构。它是目前使用最多、最为普遍的局域网拓扑结构，具体分为三级结构：第一级是网络中心，为中心节点。网络中心选址在学校地域的中心建筑,布置了校园网的核心设备，如路由器、交换机、服务器(WWW服务器、电子邮件服务器、文件服务器等)，并预留了将来与本部以外的几个园区的通信接口。第二级是建筑群的主干结点，为二级节点。校园网按地域设置了几条干线光缆，从网络中心辐射到几个主要建筑群，并在二级主干节点处端接。在主干网节点上安装的交换机位于网络的第三层，它向上与网络中心的主干交换机相连，向下与各楼层的接入层交换机相连。学校校园网主干带宽全部为1000Mbps。第三级是建筑物楼内的接入层交换机，为三级节点，三级节点主要是指直接与工作站连接的局域网设备。校园网络拓扑结构如图2-6第三章校园网设备选型本次校园网设备选型中，我们采用了1台华为S5328C-EI-24S核心层交换机、6台华为QuidwayS3952P-SI汇聚层交换机、以及若干个3COM(H3C)华为S1526接入层交换机，其各层设备具体性能参数如下：3.1校园网核心层设备选择核心层采用华为S5328C-EI-24S交换机，其具体参数如下：华为S5328C-EI-24S主要参数交换机类型运营级千兆以太网交换机应用层级三层传输速率10Mbps/100Mbps/1000Mbps网络标准IEEE802.3,IEEE802.3u,IEEE802.3d,IEEE802.3ab,IEEE802.3x端口结构模块化端口数量28接口介质24个100/1000Base-XSFP,4个10/100/1000Base-TCombo,上行2个10GEXFP插卡或者4个1000Base-XSFP传输模式全双工交换方式存储-转发背板带宽256Gbps包转发率66MppsVLAN支持支持QOS支持支持网管支持支持网管功能支持Telnet远程配置、维护、支持SNMPv1/v2/v3、RMON、iManager网管系统、集群管理HGMP、支持系统日志、分级告警MAC地址表32K安全性用户分级管理和口令保护、支持防止DoS、ARP攻击功能、支持IP、MAC、端口的组合绑定、支持端口隔离、支持MAC地址黑洞、支持MAC地址学习数目限制、支持IEEE802.1X认证,支持单端口最大用户数限制、支持AAA认证,支持Radius、TACACS+等多种方式、支持SSHV2.0、支持CPU保护功能尺寸(mm)442×420×43.6mm重量(Kg)<8kg3.2校园网汇聚层设备选择汇聚层采用华为QuidwayS3952P-SI作为交换机，其具体参数如下：华为QuidwayS3952P-SI主要参数交换机类型部门级交换机应用层级三层传输速率10Mbps/100Mbps/1000Mbps网络标准IEEE802.3,IEEE802.3u,IEEE802.3d,IEEE802.3ab,IEEE802.3x端口结构固定端口端口数量48接口介质100BASE-TX、10/100/1000Base-T、1000BASE-SX、1000BASE-FX传输模式全双工交换方式存储-转发背板带宽17.6Gbps包转发率13.2MbpsVLAN支持支持QOS支持支持网管支持支持网管功能通过Console口配置,支持SNMP,支持RMON1,2,3,9组MIB,支持华为iManager®N2000DMS网管系统,支持WEB网管,支持系统日志,分级告警MAC地址表16k尺寸(mm)440×260×43.6重量(Kg)4kg3.3校园网接入层设备选择接入层采用3COM(H3C)华为S1526作为交换机，其具体参数如下：3COM(H3C)华为S1526主要参数交换机类型3COM(H3C)华为S1526可管理接入24口10/100M机架交换机应用层级二层传输速率10/100Mbps网络标准IEEE802.310BASE-T以太网IEEE802.3u100BASE-TX快速以太网IEEE802.3ab1000BASE-T千兆以太网端口结构固定端口端口数量24接口介质24个10/100Base-TX自适应以太网端口2个10/100/1000Base-T自适应以太网端口1个Console接口传输模式全双工接口类型RJ-453.4校园网服务器和路由器设备选择该校园网服务器选择联想万全R525S5405，其性能参数如下：联想万全R525S5405参数类型企业级类别机架式结构2UCPU类型XeonE5405、主频2000MHZ、二级缓存12MB、四核FSB（总线）1333MHz，扩展槽3个内存类型FB-DIMM内存大小1GB内存带宽/描述21GB/s内存插槽数量12硬盘大小373GB硬盘类型SAS内部硬盘架数单机支持12块硬盘最大热插拔硬盘数支持热插拔磁盘阵列卡板载1078256MSASRAID卡光驱标配SlimCD-ROM光驱网络控制器集成Intel双千兆自适应网卡,支持网卡冗余、负载均衡等功能,可选外插Intel千兆自适应网卡显示芯片集成ATI显示芯片,16MB显存标准接口3个RJ45网络接口(其中一个用于服务器管理)、4个USB接口(前置2个,后置2个)、1个PS/2鼠标接口、1个PS/2键盘接口、2个显示接口(前置1个,后置1个)、1个串口系统支持Windowsserver2003R2StandardEdition中文版/英文版(X32)、Windowsserver2003R2EnterpriseEdition中文版/英文版(X32)、Windowsserver2003R2StandardEdition本网络采用思科2811的路由器，其基本参数如下：思科2811基本参数产品定位模块化路由器网络类型WANEthernetFastEthernet安全标准UL60950:CAN/CSAC22.2No.60950,IEC60950,EN60950-1,AS/NZS60950是否内置防火墙是是否支持VPN是是否支持Qos是支持网络协议IEEE802.3X固定的局域网接口2x10/100Mbps扩展模块槽数4控制端口ConsoleFlash内存64MBDRAM内存256MB支持的网管协议CiscoClickStart，SNMP第四章交换机和路由器的配置4.1虚拟网划分4.1.1VLAN的发展与现状交换技术的发展，也加快了新的交换技术（VLAN）的应用速度。通过将企业网络划分为虚拟网络VLAN网段，可以强化网络管理和网络安全，控制不必要的数据广播。在共享网络中，一个物理的网段就是一个广播域。而在交换网络中，广播域可以是有一组任意选定的第二层网络地址（MAC地址）组成的虚拟网段。这样，网络中工作组的划分可以突破共享网络中的地理位置限制，而完全根据管理功能来划分。这种基于工作流的分组模式，大大提高了网络规划和重组的管理功能。在同一个VLAN中的工作站，不论它们实际与哪个交换机连接，它们之间的通讯就好象在独立的集线器上一样。同一个VLAN中的广播只有VLAN中的成员才能听到，而不会传输到其他的VLAN中去，这样可以很好的控制不必要的广播风暴的产生。同时，若没有路由的话，不同VLAN之间不能相互通讯，这样增加了企业网络中不同部门之间的安全性。网络管理员可以通过配置VLAN之间的路由来全面管理企业内部不同管理单元之间的信息互访。交换机是根据用户工作站的MAC地址来划分VLAN的。所以，用户可以自由的在企业网络中移动办公，不论他在何处接入交换网络，他都可以与VLAN内其他用户自如通讯。在传统的局域网中，各站点共享传输信道所造成的信道冲突和广播风暴是影响网络性能的重要因素。由于网络中的站点被束缚在所处的物理网络中，而不能根据需要将其划分至相应的逻辑子网，因此网络的机构缺乏灵活性。为解决这一问题，从而引发了虚拟网VLAN的概念，所谓VLAN是指网络中的站点不拘泥于所处的物理位置，可以根据需要灵活地加入到不同的逻辑子网中的一种网络技术。例如位于不同楼层的用户或者不同教室的用户可以根据需要加入不同的VLAN。VLAN可以是有混合的网络类型设备组成，比如：10M以太网、100M以太网、令牌网、FDDI、CDDI等等，可以是工作站、服务器、集线器、网络上行主干等等。VLAN的管理需要比较复杂的专门软件，它通过对用户、MAC地址、交换机端口号、VLAN号等管理对象的综合管理，来满足整个网络的VLAN划分、监视等功能，以及其他扩展管理功能。现在比较通用的VLAN的划分方法是基于MAC地址。但也有一些厂商的交换机提供更多的VLAN划分方法：MAC地址、协议地址、交换机端口、网络应用类型和用户权限等等。用户在选择交换机的同时，应当仔细考察选购的交换机的VLAN功能，根据自己企业的实际需要，选择满足要求而且管理方便的交换机。同时，应当特别注意现在不同厂商的交换机的VLAN之间大多数是不兼容的。4.1.2使用VLAN技术的优点使用VLAN具有以下优点：1、控制广播风暴一个VLAN就是一个逻辑广播域，通过对VLAN的创建，隔离了广播，缩小了广播范围，可以控制广播风暴的产生。2、提高网络整体安全性通过路由访问列表和MAC地址分配等VLAN划分原则，可以控制用户访问权限和逻辑网段大小，将不同用户群划分在不同VLAN，从而提高交换式网络的整体性能和安全性。3、网络管理简单、直观对于交换式以太网，如果对某些用户重新进行网段分配，需要网络管理员对网络系统的物理结构重新进行调整，甚至需要追加网络设备，增大网络管理的工作量。而对于采用VLAN技术的网络来说，一个VLAN可以根据部门职能、对象组或者应用将不同地理位置的网络用户划分为一个逻辑网段。在不改动网络物理连接的情况下可以任意地将工作站在工作组或子网之间移动。利用虚拟网络技术，大大减轻了网络管理和维护工作的负担，降低了网络维护费用。在一个交换网络中，VLAN提供了网段和机构的弹性组合机制。4.1.3VLAN端口划分及配置该校申请的IP地址为207.160.130.131，域名为www.ldzy.com，主DNS为218.76.138.66，辅助DNS为218.76.138.90。根据该学校的情况，将VLAN与IP分配如下表：表4-1-3为该校VLAN与IP网段的划分VLAN号网段IP网关备注2192.168.10.0/24192.168.10.254多媒体13192.168.20.0/24192.168.20.254多媒体24192.168.30.0/24192.168.30.254学生宿舍1栋4192.168.40.0/24192.168.40.254学生宿舍2栋5192.168.50.0/24192.168.50.254教师宿舍1栋6192.168.60.0/24192.168.60.254教师宿舍2栋7192.168.70.0/24192.168.70.254后勤处办公室8192.168.80.0/24192.168.80.254教务处办公室9192.168.90.0/24192.168.90.254学工处办公室10192.168.100.0/24192.168.100.254图书馆办公室11192.168.110.0/24192.168.110.254电子阅读室12192.168.120.0/24192.168.120.254教学楼机房113192.168.130.0/24192.168.130.254教学楼机房214192.168.140.0/24192.168.140.254教学楼机房35.1路由器与交换机的配置5.1.1路由器的配置路由器CISCO2811与内网的连接端口为f0/0，此端口的IP地址为10.1.1.1。f0/1为外部端口，IP地址为207.160.130.131。通过以下对路由器CISCO2811的配置完成了该校内部网络与外部Internet的通信，并使用NAT技术完成了外部网络对内部局域网访问的地址转换，配置ACL访问控制列表实现老师宿舍1栋无法访问图书馆。同时开启了此路由器的远程功能。router0>#启动路由器后进入用户模式router0>enrouter0#configureterminalrouter0(config)#router0(config)#routerospf100#配置OSPF路由协议router0(config)#network10.1.1.00.0.0.3area0router0(config)#redistributeripsubnetsrouter0(config)#exitrouter0(config)#ipnatpoolrouter207.160.130.131207.160.130.139netmask255.255.255.0#定义用于转换的外部全局地址池router0(config)#access-list1permitany#定义需要转换的地址范围router0(config)#ipnatinsidesourcelist1poolrouter0overload#配置端口地址转换router0(config)#interfacefastEthernet0/0#定义f0/0为内部接口router0(config-if)#ipaddress10.1.1.1255.255.255.252router0(config-if)#ipnatinsiderouter0(config-if)#noshutdownrouter0(config-if)#interfacefastEthernet0/1#定义F0/1外部接口router0(config-if)#ipaddress207.160.130.131255.255.255.0router0(config-if)#ipnatoutsiderouter0(config-if)#noshutdownrouter0(config-if)exitrouter0(config)#access-listdeny1host192.168.30.2#配置ACL访问控制router0(config)#access-list1permitanyrouter0(config)#exitrouter0(config)#interfacefastEthernet0/1#将规则定义到指定的接口router0(config-if)#ipaccess-group1outrouter0(config-if)#exitrouter0(config)##返回特权模式router0#write#保存配置5.1.2核心层交换机的配置IP地址端口对端设备对端IP地址对端端口OSPF区域10.1.1.1/30F0/0主教学楼10.1.1.2F0/18Area110.1.1.5/30F0/19学生宿舍10.1.1.6/30F0/19Area210.1.1.9/30F0/20教师宿舍10.1.1.10F0/20Area310.1.1.13/30F0/21办公楼10.1.1.14/30F0/21Area410.1.1.17/30F0/22图书馆10.1.1.18/30F0/22Area510.1.1.21/30F0/23实训楼10.1.1.22/30F0/23Area6192.168.150.2/24F0/3Webserver192.168.150.3/24F0/2E-mailserver192.168.150.4/24F0/1FTPserver表5-1-2为OSPF端口及区域的划分为了与计算机使用的IP地址区分，因此必须划分相应的端口地址及网段，具体分配如表所示下面为华为S5328C-EI-24S交换机的具体配置：启动交换机后默认进入用户模式Switch>#进入特权模式Switch>enable#进入全局模式Switch#configureterminalSwitch(config)#hostnameCenter#交换机名称配置Center(config)#enablepassword123456#配置进入特权模式口令Center(config)#enablesecretCenterCenter(config)#vtpdomainCenter#配置VTP，设VTP域名为CenterCenter(config)#vtpmodeserver#将VTP设置为服务器模式Center(config)#Center(config)#exit#返回到特权模式Center#configureterminal#进入全局模式Center(config)#interfacefastEthernet0/18#进入接口0/18并为其端口设置IPCenter(config-if)#noswitchportCenter(config-if)#ipaddress10.1.1.2255.255.255.252Center(config-if)noshutdownCenter(config-if)interfaceFastEthernet0/19Center(config-if)noswitchportCenter(config-if)ipaddress10.1.1.5255.255.255.252Center(config-if)noshutdownCenter(config-if)interfaceFastEthernet0/20Center(config-if)noswitchportCenter(config-if)ipaddress10.1.1.9255.255.255.252Center(config-if)noshutdownCenter(config-if)interfaceFastEthernet0/21Center(config-if)noswitchportCenter(config-if)ipaddress10.1.1.13255.255.255.252Center(config-if)noshutdownCenter(config-if)interfaceFastEthernet0/22Center(config-if)noswitchportCenter(config-if)ipaddress10.1.1.17255.255.255.252Center(config-if)noshutdownCenter(config-if)interfaceFastEthernet0/23Center(config-if)noswitchportCenter(config-if)ipaddress10.1.1.21255.255.255.252Center(config-if)noshutdownCenter(config-if)interfaceFastEthernet0/24Center(config-if)noswitchportCenter(config-if)ipaddress10.1.1.29255.255.255.252Center(config-if)noshutdownCenter(config-if)#exit#返回全局模式Center(config)#Center(config)#routerospf100#配置OSPF路由（设OSPF的区号为100）Center(config-router)#network10.1.1.00.0.0.3area0#配置路由区域Center(config-router)#network10.1.1.40.0.0.3area1Center(config-router)#network10.1.1.80.0.0.3area2Center(config-router)#network10.1.1.120.0.0.3area3Center(config-router)#network10.1.1.160.0.0.3area4Center(config-router)#network10.1.1.200.0.0.3area5Center(config-router)#network10.1.1.280.0.0.3area6Center(config-router)#exit#返回全局模式Center(config)#linevty01#设置远程登录密码为123456Center(config-line)#loginCenter(config-line)#password123456Center(config-line)#exitCenter(config)#exitCenter#write#返回到特权模式保存配置通过以上配置各汇聚层交换机与核心层交换机均采用OSPF路由协议，共划分了7个区域，路由器与中心机房配置成area0，其余为area1-area6（在模拟软件中都有标记），各汇聚层交换机与接入层交换机之间均采用RIP路由协议，各服务器与中心机房采用静态路由，另外在每个汇聚层交换机上都配有远程登录。5.1.3汇聚层交换机的配置汇聚层交换机以实训楼所在的汇聚交换机华为S5328C-EI-24S配置为详细说明，其它汇聚层交换华为S5328C-EI-24S交换机可参考本节的配置。下面是实验楼汇聚交换机的详细配置。Switch>Switch>enable#进入特权模式Switch#configureterminal#进入全局模式Switch(config)#hostnameconverge#为交换机配置名称converge(config)#enablepassword123456#配置进入特权模式口令converge(config)#enablesecrettestconverge(config)#vtpdomainperry#配置VTP，设VTP域名为perry，并设为客户端模式。converge(config)#vtpmodeclientconverge(config)#converge##返回到特权模式Converge#showvlan#查看VLANconverge#configureterminal#进入全局模式converge(config)#interfacefastEthernet0/19#进入接口模式converge(config)#noswitchportconverge(config-if)#ipaddress10.1.1.5255.255.255.252converge(config-if)noshutdownconverge(config-if)interfacefastEthernet0/24#进入24号端口，设置为trunk口converge(config-if)switchportmodetrunkconverge(config-if)noshutdownconverge(config)exit#返回到全局模式converge(config)interfaceVlan2#进入VLAN虚拟端口，并设其IPconverge(config-if)ipaddress192.168.10.254255.255.255.0converge(config-if)interfaceVlan3converge(config-if)ipaddress192.168.20.254255.255.255.0converge(config-if)#exit#返回到全局模式converge(config)#routeropsf100#配置OSPF及RIP路由converge(config-router)#network10.1.1.00.0.0.3area1converge(config-router)#redistributeripsubnetsconverge(config-router)#exitconverge(config)#routerripconverge(config-router)#version2converge(config-router)#network192.168.10.0converge(config-router)#network192.168.20.0converge(config-router)#network10.1.1.0converge(config-router)#redistributeospf100converge(config-router)#exit#返回全局模式converge(config)#linevty01#配置远程登录converge(config-line)#loginconverge(config-line)#password123456converge(config-line)#exitconverge#write#返回到特权模式保存配置5.1.4办公室接入层交换机配置通过以下对办公楼所在的交换机配置命令，完成了对办公楼不同办公室区域网段的划分，同时开启了此台交换机的远程登录功能。办公楼接入交换机3COM(H3C)华为S1526的24号端口与汇聚层交换机华为QuidwayS3952P-SI的24号端口相连，与其它设备端口连接如下表：端口对端设备端口所属VLANfastEthernet0/1后勤处7fastEthernet0/2教务处8fastEthernet0/3学工处9表5-1-4为各办公室VLAN的端口划分下面为办公楼接入层交换机的详细配置。启动交换机后默认进入用户模式Switch>Switch>enableSwitch#configureterminal#为交换机配置名称（名称使为office）Switch(config)#hostnameofficeoffice(config)#enablepassword123456#配置进入特权模式口令office(config)#enablesecrettestoffice(config)#vtpdomainperry#配置VTP，设VTP域名为perry，并设为客户端模式。office(config)#vtpmodeclientoffice(config)#exit#返回到特权模式office#showvlanoffice#configureterminal#进入全局模式office(config-if)interfacefastEthernet0/24#进入接口模式（进入24号端口，设置端口模式为trunk口）office(config-if)switchportmodetrunkoffice(config-if)noshutdownoffice(config-if)interfacefastEthernet0/1#为1号端口指定要对应VLANoffice(config-if)#switchportaccessvlan7office(config-if)noshutdownoffice(config-if)#interfacefastEthernet0/2office(config-if)#switchportaccessvlan8office(config-if)noshutdownoffice(config-if)#interfacefastEthernet0/3office(config-if)#switchportaccessvlan9office(config-if)noshutdownoffice(config-router)#exit#返回全局模式office(config)#linevty01#配置远程登录office(config-line)#loginoffice(config-line)#password123456office(config-line)#exitoffice#write#配置完成后回到特权模式保存配置5.1.5学生宿舍接入层交换机配置把不同楼的宿舍学生用户划分为不同的网段，并实现了交换机端口与学生宿舍电脑的MAC地址的绑定，同时开启了此交换机远程登录功能。对于学生宿舍的接入层交换机3COM(H3C)华为S1526，学生宿舍的这台交换机与其它设备相连情况如下表：端口对端设备所属vlanfastEthernet0/1学生宿舍14fastEthernet0/2学生宿舍215fastEthernet0/24学生宿舍汇聚端口trunk表5-1-5为学生宿舍VLAN端口的划分下面为学生宿舍交换机的详细配置。Switch>Switch>enableSwitch#configureterminalSwitch(config)#hostnamesdormitorysdormitory(config)#enablepassword123456#启动交换机后为设置主机名与配置登录密码sdormitory(config)#enablesecrettest#设置加密密码sdormitory(config)#sdormitory(config)#vtpdomainperry#配置VTP，设VTP域名为perry，并设为客户端模式。sdormitory(config)#vtpmodeclientsdormitory(config)#exitsdormitory#showvlansdormitory#configureterminal#进入全局模式sdormitory(config)#interfacefastEthernet0/1#进入接口模式配置sdormitory(config-if)#switchportaccessvaln4#将1号端口添加到VLAN4sdormitory(config-if)#noshutdownsdormitory(config)#interfacefastEthernet0/2sdormitory(config-if)#switchportaccessvaln15sdormitory(config-if)#noshutdownsdormitory(config)#interfacefastEthernet0/24sdormitory(config-if)#switchportmodetrunksdormitory(config-if)#noshutdownsdormitory(config)#interfacefastEthernet0/1#进入端口对学生用户的MAC地址与端口地址进行绑定sdormitory(config-if)#switchportmodeaccess#将端口设为access模式sdormitory(config-if)#switchportport-security#启动安全端口模式sdormitory(config-if)#switchportport-securitymac-address00D0.97B6.4996#对MAC地址的绑定sdormitory(config-if)#switchportport-securitymaximum1#设置端口可绑定MAC地址的最大值sdormitory(config-if)#switchportport-securityviolationshutdown#设置与端口绑定的MAC地址不符时自动关闭这些端口sdormitory(config-if#end#配置完成，返回到特权模式然后保存sdormitory#write第六章网络安全性5.1系统安全l应用系统的安全技术由于应用系统的复杂性，有关应用平台的安全问题是整个安全体系中最复杂的部分。下面的几个部分列出了在Internet/Intranet中主要的应用平台服务的安全问题及相关技术。1、WebServer应用安全WebServer是校园对外宣传、开展业务的重要基地。由于其重要性，成为Hacker攻击的首选目标之一。2、电子邮件系统安全电子邮件系统也是网络与外部必须开放的服务系统。由于电子邮件系统的复杂性，其被发现的安全漏洞非常多，并且危害很大。3、操作系统安全市场上几乎所有的操作系统均已发现有安全漏洞，并且越流行的操作系统发现的问题越多。对操作系统的安全，除了不断地增加安全补丁外，还需要：(1)检查系统设置(敏感数据的存放方式，访问控制，口令选择/更新)。(2)基于系统的安全监控系统。5.2防毒技术l病毒防护技术病毒历来是信息系统安全的主要问题之一。由于网络的广泛互联，病毒的传播途径和速度大大加快。病毒防护的主要技术如下：(1)阻止病毒的传播。在防火墙、代理服务器、SMTP服务器、网络服务器、群件服务器上安装病毒过滤软件。在桌面PC安装病毒监控软件。(2)检查和清除病毒。使用防病毒软件检查和清除病毒。(3)病毒数据库的升级。病毒数据库应不断更新，并下发到桌面系统。(4)在防火墙、代理服务器及PC上安装Java及ActiveX控制扫描软件，禁止未经许可的控件下载和安装。结论一个校园网络系统的组建需要从多方面进行考虑，不但涉及许多技术问题，而且包括网络设施、信息资源、专业应用、等众多成份的综合化以及信息化教学环境系统的建设。本文用言简意赅的语言描述了如何组建一个性能可靠技术先进、功能丰富的校园网系统。',)