【校园网络设计毕业论文】校园网络设计毕业论文用户组成

前 言

21世纪是信息产业的时代，全球信息电子化的潮流势不可挡，是知识经济的时代，人们所需求的信息量也就会越来越大，计算机被广泛应用于企业、政府部门、学校、家庭，给社会生活带来了深刻的变革。随着信息技术和互联网的发展，信息化已经渗透到人类社会的方方面面，并逐渐改变着人们的工作、学习和生活方式。校园网络作为现代教育技术手段，是全面实施素质教育的重要内容，是教育面向现代化、面向世界、面向未来的物质基础，是一流基础教育的重要标志。

在计算机时代早期，众所周知的巨型机时代，计算机世界被称为分时系统的大系统所统治。在七十年代，大的分时系统被更小的微机系统所取代。远程终端计算机系统是在分时计算机系统基础上，通过Modem（调制解调器）和PSTN（公用电话网）把计算机资源向地理上分布的许多远程终端用户提供共享资源服务的。远程终端用户似乎已经感觉到使用"计算机网络"的味道了。在远程终端计算机系统基础上，人们开始研究把计算机与计算机通过PSTN等已有的通信系统互联起来。1969年12月， Internet的前身--美国的ARPA网投入运行，它标志着我们常称的计算机网络的兴起。八十年代初，随着PC个人微机应用的推广，PC联网的需求也随之增大，各种基于PC互联的微机局域网纷纷出台。计算机网络系统是非常复杂的系统，计算机之间相互通信涉及到许多复杂的技术问题，为实现计算机网络通信，计算机网络采用的是分层解决网络技术问题的方法。但是，由于存在不同的分层网络系统体系结构，它们的产品之间很难实现互联。为此，国际标准化组织ISO在1984年正式颁布了"开放系统互连基本参考模型"OSI国际标准，使计算机网络体系结构实现了标准化。进入九十年代，计算机技术、通信技术以及建立在计算机和网络技术基础上的计算机网络技术得到了迅猛的发展。

1

摘 要

在当今社会中，信心已成为一种关键的战略资源。为了使信息能准确、高速地在各种型号的计算机、终端机、电话机、传真机等通讯设备之间传递，世界上有不少发达国家正在兴建信息高速公路。

21世纪将是Inetr-Netwoeking(联网机器)、Client/Server和多媒体整合的年代。现在“联网机器”的概念代替了“机器联网”的传统概念。也就是说，当一个企业或一个政府部门在规划电脑系统时，先从建网开始，在根据具体需求将各种型号的大、中、小型计算机以及微机挂在网上，从根本上避免了“机器联网”造成的开放性不良的被动局面。因此，在新建大楼或旧楼改造的工程中迫切需要一种先进的布线系统来铺设信息高速公路。

校园网主要用于学校内部网络通信，也会利用因特网进行外部上网活动，但是，网络流量主要集中于校园网内部，因此对网络交换能力要求较高，校园网上网会有多媒体教学，视频点播等多种带宽应用。

可以充分利用互联网资源来宣传学校，展示学校的办学能力与办学水平，展示教师的教学能力与科研能力，提升学校的办学形象。校内信息服务能为教育教学和管理决策提供各项信息服务，能为全校师生提供相互交流、相互学习的平台。

关键字:计算机网络，局域网，网络互联，网络设计方案

2

目 录

第一章 需求分析 .............................................................. 1 1.1校园网建网需求 ......................................................... 1 1.2部门机构应用需求 ....................................................... 1

1.3网络系统性能需求 ....................................................... 1

第二章 网络系统总体设计 ...................................................... 3 2.1系统总体设计方案概述 ................................................... 3 2.1.1网络设计原则....................................................... 3

2.1.2网络拓扑结构....................................................... 4

2.1.3 IP地址规划和VLAN的划分 ........................................... 4

2.1.4网络设备选型....................................................... 5

2.2交换模块设计 ........................................................... 5

2.2.1核心层交换服务 ..................................................... 6

2.2.2汇聚层交换服务 ..................................................... 6

2.2.3接入层交换服务 ..................................................... 7

2.3广域网接入模块设计 ..................................................... 7

第三章综合布线 ............................................................... 8

3.1综合布线 ............................................................... 8

3.1.1.综合布线模块划分 .................................................. 8

3.1.2 综合布线的特点 .................................................... 9

3.1.3设计规范的确定 ..................................................... 9

3.1.4布线要求 ......................................................... 10

3.2系统设计 .............................................................. 10

3.2.2水平子系统的设计 .................................................. 10

3.2.3 管理子系统的设计 ................................................. 10

3.2.4 干线子系统的设计 ................................................. 11

3.2.5 设备间子系统的设计 ............................................... 11

3

3.3楼宇布线结构设计与设备具体分布 ........................................ 12

3.3.1 实训楼设备分布 ................................................... 12

3.3.2 综合楼设备分布 ................................................... 13

3.3.3 实验楼设备分布 ................................................... 14

3.3.4 老教学楼设备分布 ................................................. 14

3.3.5 体育馆设备分布 ................................................... 15

3.4施工进度控制 .......................................................... 15

3.5 综合布线系统的预算设计方式 ............................................ 16

第四章 网络系统设计的实现 ................................................... 18

4.1配置核心层 ............................................................ 18

4.2配置汇聚层 ............................................................ 19

4.3配置广域网接入模块-路由器 ............................................. 21

第五章 网络安全与防护技术 ................................................... 23

5.1 计算机网络安全 ....................................................... 23

5.1.1 计算机网络安全的目的和功能 ....................................... 23

5.1.2 网络安全的潜在威胁 ............................................... 23

5.1.3 网络安全的策略 ................................................... 24

5.2 防火墙技术 ........................................................... 24

5.2.1 防火墙的概念 ..................................................... 24

5.2.2 防火墙的作用和特性 ............................................... 24

5.2.3 实现防火墙的主要技术 ............................................. 25

5.2.4 防火墙的体系结构 ................................................. 25

5.2.5 防火墙选择原则 ................................................... 26

5.3上网行为管理主要功能 .................................................. 26

5.3.1原理 ............................................................. 26

5.3.2网页访问过滤...................................................... 26

5.3.3网络应用控制...................................................... 26

参考文献.................................................................... 30

4

第一章 需求分析

辽宁水利职业学院校园网的建设是合乎目的性和规律性的统一体，要想在网络建设的过程中始终把握设计尺度，必须事先做好充分的需求分析。需求分析的过程是网络设计的起点，跨出这一步，后面得工作才能开展。

1.1校园网建网需求

校园网必须具备教学、管理和通讯三大功能。教师可以方面地浏览和查询网上资源，进行教学和科研工作；学生可以方便地浏览和查询网上资源实现远程学习；学校的管理人员可方便地对教务、行政事务、学生信息、财务等进行综合的管理，同时可以实现各管理层之间的信息数据交换，实现网上信息采集和处理的自动化，实现信息和设备的资源共享。因此，校园网的建设必须有明确的建设目标。

1.2部门机构应用需求

综合楼：办公网络，网络带宽的需求较低，但非常注重安全性。而在网络中传输的是大量数据文件，视频会议系统大多采用组播方式实现，因此，对带宽的要求不高。

实训楼：多媒体教室需要网络来满足上课的需要。

网络中心：管理校园网整个网络，必须确保网络中心的正常运行。

图书馆：电子阅览室，方便同学从校内或者校外查阅各种网上的书籍和资料。允许校校之间的互联，实现教育图书的资源共享。

老楼：节点少,对网络的数据传输量不大。

学生宿舍：节点密集，课余时间网络流量较大，且多数为多媒体数据流，对网络带宽的需求较大。

1.3网络系统性能需求

接入速率需求：接入速率最基本的是由端口速率决定的。对于骨干层、核心层的端口速率需要支持双绞线、光纤的千兆位，甚至万兆位速率，接入层需要百兆位到桌面。

响应时间：指从用户发出指令到网络响应并开始执行用户指令所需的时间，响应时间越短，性能就越好，效率越高。局域网的响应时间通常为1ms~2ms，要求越高，所对应的网络设备配置就越高档，成本也就越高。对于一般的文字工作，通常的响应标准是可以满足的，但对于大容量的多媒体文件传输，如视频点播、远程视频教学等，响应时间就不能按正常标准要求那么高了，因为这样会对整个网络硬件，特别是服务器配置要求相当高，会大大增加

1

第一章 需求分析

辽宁水利职业学院校园网的建设是合乎目的性和规律性的统一体，要想在网络建设的过程中始终把握设计尺度，必须事先做好充分的需求分析。需求分析的过程是网络设计的起点，跨出这一步，后面得工作才能开展。

1.1校园网建网需求

校园网必须具备教学、管理和通讯三大功能。教师可以方面地浏览和查询网上资源，进行教学和科研工作；学生可以方便地浏览和查询网上资源实现远程学习；学校的管理人员可方便地对教务、行政事务、学生信息、财务等进行综合的管理，同时可以实现各管理层之间的信息数据交换，实现网上信息采集和处理的自动化，实现信息和设备的资源共享。因此，校园网的建设必须有明确的建设目标。

1.2部门机构应用需求

综合楼：办公网络，网络带宽的需求较低，但非常注重安全性。而在网络中传输的是大量数据文件，视频会议系统大多采用组播方式实现，因此，对带宽的要求不高。

实训楼：多媒体教室需要网络来满足上课的需要。

网络中心：管理校园网整个网络，必须确保网络中心的正常运行。

图书馆：电子阅览室，方便同学从校内或者校外查阅各种网上的书籍和资料。允许校校之间的互联，实现教育图书的资源共享。

老楼：节点少,对网络的数据传输量不大。

学生宿舍：节点密集，课余时间网络流量较大，且多数为多媒体数据流，对网络带宽的需求较大。

1.3网络系统性能需求

接入速率需求：接入速率最基本的是由端口速率决定的。对于骨干层、核心层的端口速率需要支持双绞线、光纤的千兆位，甚至万兆位速率，接入层需要百兆位到桌面。 响应时间：指从用户发出指令到网络响应并开始执行用户指令所需的时间，响应时间越短，性能就越好，效率越高。局域网的响应时间通常为1ms~2ms，要求越高，所对应的网络设备配置就越高档，成本也就越高。对于一般的文字工作，通常的响应标准是可以满足的，但对于大容量的多媒体文件传输，如视频点播、远程视频教学等，响应时间就不能按正常标准要求那么高了，因为这样会对整个网络硬件，特别是服务器配置要求相当高，会大大增加

1

成本。

并发用户数支持：并发用户数支持是指某一系统可以承载的同时访问的用户数，支持的并发用户数越多，系统性能越好，当然所需的配置就越高档。并发用户数是指对相应应用服务器的性能要求，通常是由服务器的整体硬件配置决定的。

2

第二章 网络系统总体设计

网络系统总体设计是一项复杂的创作，要严格遵循网络设计原则。网络设计策略是采取自上而下的方法。采用这种方法时，首先确定网络应用程序和服务的需求，然后设计能够支持它们的网络。使用这种分层结构设计思想，这在层次结构分明的以太网中，具有高度的灵活性和可扩展性。

2.1系统总体设计方案概述 2.1.1网络设计原则

校园网连接了包括综合楼、实训楼、实验楼、老楼、学生宿舍等大量的信息点，学校管理、教育科研、电子教学、远程教育和互联网的引入以及对外技术交流与合作服务等大量的业务，要求校园网必须是一个实用的、高可靠、高效率、高扩展性、高安全性系统。

为实现校园网络高质、高效互联的目标要求，在网络设计构建中，应始终坚持以下建网原则：

高可靠性：网络系统的稳定可靠是应用系统正常运行的关键保证，在网络设计中选用高可靠性网络产品，设备充分考虑冗余、容错能力和备份，同时合理设计网络架构，制订可靠的网络备份策略，保证网络具有故障自愈的能力，最大限度地支持系统的正常运行。主干网络设备的主要部件必须支持带电热插拔，在万一出现局部故障时应不影响网络其他部分的运行，并且故障便于诊断和排除。充分体现计算机网络的高可靠性。

技术先进性和实用性：保证满足校园业务应用系统业务的同时，又要体现出网络系统的先进性。在网络设计中要把先进的技术与现有的成熟技术和标准结合起来，充分考虑网络应用的现状和未来发展趋势。

灵活性及可扩展性：根据未来业务的增长和变化，网络可以平滑地扩充和升级，减少最大程度的减少对网络架构和现有设备的调整。

可管理性：对网络实行集中监测、分权管理，并统一分配带宽资源。选用先进的网络管理平台，具有对设备、端口等的管理、流量统计分析，及可提供故障自动报警。 安全性：制订统一的网络安全策略，整体考虑网络平台的安全性。

3

4

5

2.2.1核心层交换服务

1、路由冗余：核心交换机是整个网络的核心和心脏，如果发生致命性的故障，将导致本地网络的瘫痪，所造成的损失也是难以估计的。因此，对三层路由采用热备份是提高网络可靠性的必然选择。在一个三层路由完全不能工作的情况下，它的全部功能便被系统中的另一个备份路由完全接管，直至出现问题的路由器恢复正常，这就是热备份路由协议（Hot Stand by Router Protocol）。

2、冗余链路：通过在核心层部署冗余链路，可确保发生故障时网络设备能找到替代路径来发送数据。核心层使用了第三层设备，则除备用外，这些冗余链路还可用于负载均衡。对于一个网络的负载均衡，可以从网络的不同层次入手，由于核心层的业务量分布比较高，所以在核心层可以采用传输链路聚合。链路聚合技术为消除传输链路上的瓶颈与不安全因素提供了成本低廉的解决方案。

3、互联拓扑：网络中的大多数核心层都采用全互联或部分互联拓扑。在全互联拓扑中，任何两台设备都直接相连。虽然全互联拓扑具有全面冗余的优点，但难以布线和管理且成本高昂。对于大型网络，通常采用部分互联拓扑。在部分互联拓扑中，每台设备至少与其他两台设备相连，这提供了足够的冗余，同时比全互联拓扑简单。

4、安全机制：在控制平面，防止非法路由更新报文导致的网络瘫痪；在管理平面，利用SNMPv3网管协议，提供基于802.1x、AAA/Radius的用户身份认证以及分级的用户权限管理保证了设备管理的安全性；在转发平面，支持IP、VLAN 、MAC和端口等多种组合精细绑定。

2.2.2汇聚层交换服务

汇聚层是接入层和核心层之间的路由选择边界，也是远程站点和核心层之间的连接点。主要提供了用户的汇聚功能和服务质量保证的功能。在汇聚层能够真正做到通过识别用户及应用提供不同的服务质量保证。

汇聚层的多层交换机提供了众多功能，有助于实现网络设计目标，同时减轻核心层设备的压力。这些功能包括有：过滤和管理数据流；实施访问控制策略；向核心层通告路由前对路由进行汇总；防止接入层故障或中断影响核心层；在接入层VLAN之间进行路由选择。汇聚层设备还用于在数据进入园区核心层前管理队列和确定数据流的优先顺序。

1、汇聚层的路由选择：汇聚层设备提供的三层路由功能，可以为二层上不同VLAN之间进行路由选择；另一个重要功能是路由汇总，也叫路由聚合。路由汇总给网络带来了很多好

6

处，其中包括：路由选择表中的一条路由可代表众多其他路由，这缩小了路由选择表；减少了网络中的路由选择更新数据流；降低了核心设备的开销。

2、汇聚层的交换：成对地部署多层交换机，并在它们之间平均地分配接入层交换机。这种配置称为大楼交换块。每个交换块独立运行，这样，单台设备发生故障便不会导致整个网络瘫痪，甚至整个交换块出现故障也不会影响太多终端用户。

2.2.3接入层交换服务

1、接入层堆叠设计：接入层网络是纯二层交换网络，提供用户的网络接入。由于接入层设备需要部署在楼层，因此要求这些设备容易管理并且投资成本少。对于计算机机房、电子阅览室、学生公寓等接入计算机数量很大的接入场所，应当采用可堆叠交换机，以提供大量的100 Mbps端口。接入交换机之间以高速堆叠模块相互连接在一起，并借助1000Mbps链路实现与汇聚层交换机之间的连接。为了提高网络稳定性和网络带宽，可以将2~4条千兆位链路绑定在一起借助链路汇聚技术实现链路冗余、负载均衡和带宽倍增，以确保所有计算机都能够无阻塞地实现与校园网络的连接。

2、接入层链路汇聚设计：如果接入层所连接的计算机数量较多，除了使用上面所说的堆叠技术之外，还可以使用链路汇聚的方式实现接入层交换机之间的高速连接，既增加了接入层交换机之间的互联带宽，又提高了连接的稳定性。

3、接入层级联设计：如果接入网络的计算机数量较多，需要由多台交换机才能满足用户需求时，也可以采用最简单的级联方式。当然，如果接入层交换机拥有1000Mbps端口，那么采用级联方式也可以实现接入层交换机之间的高速连接。

2.3广域网接入模块设计

1、静态转换是指将内部网络的私有IP地址转换为公有IP地址，IP地址对是一对一的，是一成不变的，某个私有IP地址只转换为某个公有IP地址。借助于静态转换，可以实现外部网络对内部网络中某些特定设备（如服务器）的访问。

2、动态转换是指将内部网络的私有IP地址转换为公用IP地址时，IP地址对是不确定的，而是随机的，所有被授权访问上Internet的私有IP地址可随机转换为任何指定的合法IP地址。也就是说，只要指定哪些内部地址可以进行转换，以及用哪些合法地址作为外部地址时，就可以进行动态转换。动态转换可以使用多个合法外部地址集。当ISP提供的合法IP地址略少于网络内部的计算机数量时。可以采用动态转换的方式。

7

第三章 综合布线

3.1综合布线

综合布线是一个能支持多种应用系统的模块化、灵活性极高的建筑物内或建筑物之间的信息高速传输通道，其组成部件包括不同系列和规格的通信介质、连接硬件（如配线架、连接器、适配器、插座和插头）以及电气保护设备等。一个设计良好的综合布线对其服务的设备应具有一定的独立性，能互连多种不同应用系统的设备，如模拟或数字式的公共系统设备，也能支持语音、数据、图形图像和视频设备。

3.1.1.综合布线模块划分

综合布线一般采用星形拓扑结构。该结构下的每个分支子系统都是相对独立的单元，对每个分支系统的改动都不影响其他子系统，只要改变节点连接方式就可使综合布线在星形、总线形、环形、树形等结构之间进行转换。综合布线采用模块化的结构。按每个模块的作用，可把它分成六个部分：工作区子系统、配线（水平）子系统、干线（垂直）子系统、管理子系统、设备间子系统、建筑群子系统。

校园整体布线设计如下图3-1,各楼之间的汇聚交换机通过光纤连接到综合楼网络中心的核心交换机,考虑到体育馆需要网络但是节点较少出于节省成本及施工难度的考虑将体育馆与实训楼之间用无线网桥进行连接。

8

图3-1 校园网络主体连接结构

3.1.2 综合布线的特点

与传统的布线相比，综合布线具有许多的优越性。其特点主要表现为它的兼容性、开放性、灵活性、可靠性、先进性和经济性，而且在设计、施工和维护方面会带来许多方便。

3.1.3设计规范的确定

我们为本校的校园网设计的综合布线系统将基于以下目标：

1、符合当前和长远的信息传输要求。

2、布线系统设计遵从国际（ISO/CEI11801）标准。

3、布线系统采用国际标准建议的星形拓扑结构。

4、基于100Mbps应用需要。

5、布线系统的信息出口采用国际标准的RJ45插座。

6、布线系统符合综合业务数据网的要求。

7、布线系统要立足开放原则。

9

3.1.4布线要求

校园网络计算机主机房位于综合楼的三楼。然后通过光缆分别连至校内的其他建筑，在各建筑内部采用五类4对5类UTP电缆连接到设备间的配线架。

3.2系统设计

3.2.1工作区子系统的设计

工作区系统又称为服务区子系统,它是由RJ-45插座和所连接的设备组成,对于校园网的用户,基本上需求不是很大,故基本型即可。

基本型,用铜芯电缆组网，每个工作区的配线电缆为一条4对双绞线,引至楼层配线架。系统支持语音、数据、图像等功能，能随应用的需要转向更高功能的布线系统。

3.2.2水平子系统的设计

水平子系统也称为水平布线系统。水平布线子系统是从RJ-45插座开始到布线主干的子系统。由4对5类UTP组成，能支持大多数现代化通信设备。

用线采用UTP双绞线。长度不超过90米。UTP双绞线布线方式采用线槽管道布线方式。

3.2.3 管理子系统的设计

为了管理方便，各层的交换机统一安放在设备间的配线架，故各层交换机只需一条光缆连接即可。

管理间的设计及建设应考虑一下因素：

1、管理间位置

2、各楼层管理间一般设置在弱电竖井内

3、管理间环境要求

4、管理配线间要尽量保持无尘，注意防火，散热良好，每个电源插座容量不小于300W，并根据设备的要求及有关规定保证一定的温度和湿度。建议的最佳温度和湿度：温度 16℃～26℃，湿度 45%～65%。

5、配线架排列

管理间的配线间排列应遵守原则：进出线方便，跳线方便、尽量短，墙面布局合理、占用空间小。

10

3.2.4 干线子系统的设计

干线子系统是结构化布线系统的骨干，包括：

1、供干线走缆走线用的垂直通道；

2、设备间与网络接口之间的连接电缆；

3、设备间与建筑群子系统之间的连接电缆；

4、主设备间与计算机中心间的电缆。

5、干线子系统的设计必须能满足当前的需求，同时又能适应今后的发展。

3.2.5 设备间子系统的设计

设备间子系统中的电话、数据、计算机主机设备及其保安配线设备宜设在一个房间内。设备间的位置及大小应根据设备的数量、规模、最佳网络中心等内容综合考虑确定。在设备间子系统的设计和安装过程中还需要考虑配备不间断电源UPS和安全因素。同时，建筑群的线缆进入建筑物时应有过流、过压保护设施，设备间室温保持在10℃～27℃，相对湿度保持在30%～80%。

11

3.3楼宇布线结构设计与设备具体分布

3.3.1 实训楼设备分布

图3-2 实训楼设备分布图

12

3.3.2 综合楼设备分布

图3-3 综合楼设备分布图

13

3.3.3 实验楼设备分布

图3-4 实验楼设备分布图

3.3.4 老教学楼设备分布

图3-5 老教学楼设备分布图

14

3.3.5 体育馆设备分布

图3-6 体育馆设备分布图

3.4施工进度控制

施工进度控制关键就是编制施工进度计划，合作安排好前后序作业的工序，综合布线工程具体的作业安排如下：

1、对于与土建工程同时进行的布线工程，首先检查垂井、水平线槽、信息插座底盒是否已安装到位，布线路由是否全线贯通，设备间、配线间是否符合要求，对于需求安装布线槽道的布线工程来说，首先需要安装垂井、水平线槽和插座底盒等。

2、敷设主干布线主要是敷设光缆或大对数电缆。

3、敷设水平布线主要是敷设双绞线。

4、线缆敷设的同时，开始为各设备间设立跳线架，跳线面板光纤盒的安装。

5、当水平布线工程完成后，开始为各设备间的光纤及UTP/STP安装跳线板，为端口及各设备间的跳线设备做端接。

6、安排好所有的跳线板及用户端口，做全面性的测试，包括光纤及UTP/STP，并提供报告交给用户。

综合布线系统工程施工组织进度见下表15-1

15

第四章 网络系统设计的实现

在前一章中，给出了校园网网络系统的规划设计方案。通过本章，将在给出的设备上配置一系列相应的命令参数，来完成已规划好的具体方案，实现校园校的需求。网络配置拓扑图如图4.1。

图4.1

4.1配置核心层

核心层交换机通过自己的端口同广域网接入模块相连，并负责整个校园网的VLAN间的路由选择。

设置交换机名称。当需要telnet登录到多台交换机时，通过交换机的名字，方便的确认其所在的位置。

1、配置核心层交换机的基本参数，包括核心交换机本地密码、管理IP和telnet密码配置。设置交换机名称。当需要telnet登录到多台交换机时，通过交换机的名字，方便的确认其所在的位置。

Switch> Switch >en Switch #conf t

Enter configuration commands, one per line. End with CNTL/Z.

Switch (config)#hostname SW-A \\更改主机名称 SW-A(config)#interface vlan 1

SW-A(config-if)#ip address 172.16.1.1 255.255.255.0 \\配置telnet的IP SW-A(config-if)#no shutdown SW-A(config-if)#exit

2、配置核心层交换机的服务器群vlan及vlan IP SW-A(config)#vlan 100 SW-A(config-vlan)#exit

SW-A(config-if)#interface vlan 100

SW-A(config-if)#ip address 192.168.100.1 255.255.255.0 SW-A(config)#interface range f0/1-3

SW-A(config-if-range)#SW-1port access vlan 100 SW-A(config-if-range)#exit SW-A(config-if)#no shutdown

4.2配置汇聚层

汇聚层交换机除了负责将交换机进行汇聚之外，还为整个交换网络提供VLAN间的路由选择。

配置汇聚层交换机的基本参数，包括核心交换机本地密码、管理IP和telnet密码配置。设置交换机名称。当需要telnet登录到多台交换机时，通过交换机的名字，方便的确认其所在的位置。

1、交换机SW-1上的配置 Switch(config)#hostname SW-1 SW-1(config)#interface vlan1

SW-1(config-if)#ip address 172.16.1.2 255.255.255.0 SW-1(config-if)#no shutdown SW-1(config-if)#exit

SW-1(config)#enable password 123 SW-1(config)#line vty 0 4 SW-1(config-line)#password 123

SW-1(config-line)#login SW-1(config-line)#exit

2、配置汇聚层交换机的vlan及端口的分配 交换机SW-2上的vlan SW-1>en SW-1#conf t SW-1(config)#vlan 2 SW-1(config-vlan)#exit SW-1(config)#interface vlan2

SW-1(config-if)#ip address 192.168.2.1 255.255.255.0 SW-1(config)#interface f 0/2

SW-1(config-if)#Switchport access vlan 2 SW-1(config-if)#exit SW-1(config)#vlan 3 SW-1(config-vlan)#exit SW-1(config)#interface vlan3

SW-1(config-if)#ip address 192.168.3.1 255.255.255.0 SW-1(config)#interface f0/3

SW-1(config-if)#switchport access vlan 3 SW-1(config-if)#exit SW-1(config)#vlan 4 SW-1(config-vlan)#exit SW-1(config)#interface vlan4

SW-1(config-if)#ip address 192.168.4.1 255.255.255.0 SW-1(config)#interface f0/4

SW-1(config-if)#Switchport Access vlan 4 SW-1(config-if)#exit SW-1(config)#vlan 5 SW-1(config-vlan)#exit SW-1(config)#interface vlan5

SW-1(config-if)#ip address 192.168.5.1 255.255.255.0

SW-1(config)#interface f0/5 SW-1(config-if)#Switchport access vlan 5

SW-1(config-if)#exit

4.3配置广域网接入模块-路由器

广域网接入模块采用的是路由器，通过完成在Internet和校园网内网间路由数据包。此外还要在该设备上配置相应的ACL，实现数据包的过滤功能。

1、配置路由器的基本参数，本地密码和TELNET的配置

Router(config)#enable password 123

Router(config)#line vty 0 4

Router(config-line)#password 123

Router(config-line)#login

Router(config-line)#exit

Router(config)#

2、配置路由器的接口IP

Router(config)#interface f0/0

Router(config-if)#ip address 10.10.10.2 255.255.255.0

Router(config-if)#no shutdown

Router(config)#interface serial 1/0

Router(config-if)#ip address 28.28.28.1 255.255.255.0

Router(config-if)#no shutdown

Router(config-if)#exit

3、配置静态路由功能

Router(config)#ip route 192.168.1.0 255.255.255.0 10.10.10.1

Router(config)#ip route 192.168.2.0 255.255.255.0 10.10.10.1

Router(config)#ip route 192.168.3.0 255.255.255.0 10.10.10.1

Router(config)#ip route 192.168.4.0 255.255.255.0 10.10.10.1

Router(config)#ip route 192.168.5.0 255.255.255.0 10.10.10.1

Router(config)#ip route 192.168.18.0 255.255.255.0 10.10.10.1

Router(config)#ip route 192.168.19.0 255.255.255.0 10.10.10.1

Router(config)#ip route 192.168.20.0 255.255.255.0 10.10.10.1

4、配置路由器的NAT

Router(config)#ip nat pool internet 28.28.28.1 28.28.28.1 netmask 255.255.255.0 \\配置NAT公网IP 范围 Router(config)#access-list 10 permit 192.168.0.0 0.0.255.255

Router(config)#ip nat inside source list 10 pool internet overload

第五章 网络安全与防护技术

5.1 计算机网络安全

计算机网络安全问题是一个错综复杂的问题，它涉及到系统故障以及有意无意的破坏等。为了确保计算机网络安全，需要采取物理措施、管理措施和技术等多方面措施。

计算机网络安全的保护对象主要是数据、资源（硬件资源和软件资源）和声誉（用户形象）。

5.1.1 计算机网络安全的目的和功能

1、网络安全的目的

计算机网络安全就是研究如何保障计算机资源的安全，即计算机的系统资源和信息资源的安全。影响计算机网络安全的因素主要有以下几种：

实体安全、运行安全、数据安全、软件安全和通信安全。

2、网络安全的功能和措施

计算机网络安全问题是一个很复杂的问题，任何时候都不会有一劳永逸的解决措施。因为计算机的安全与反安全会一直地进行下去，故要使计算机网络具有较高安全性，需要将计算机系统的各种安全防护技术（如实体安全防护技术、防电磁辐射泄露技术、软硬件防护技术、防火墙技术、数据保密变换以及安全管理与法律制裁等）结合使用，对计算机系统进行综合分层防护，从而提高计算机网络的整体防护水平。

5.1.2 网络安全的潜在威胁

安全威胁是指某个人、物、事件对某一资源的机密性、完整性、可用性或合法性使用所造成的危害。安全威胁可分为故意威胁和偶然威胁，所谓偶然威胁是指由偶然因素造成的威胁（如信息被发往错误的地址）。而故意威胁又可进一步分为被动威胁和主动威胁，被动威胁是只对信息进行监听（如搭线窃听），而不对其进行修改。主动威胁包括信息进行故意的修改（如改动某次金融会议中货币的数量）。

1、基本威胁

信息安全的基本目标是实现信息的机密性、机密性、完整性、可用性以及资源的合法性使用。常见的4种基本威胁是：信息泄露、完整性破坏、拒绝服务和非法使用。

2、主要的可实现威胁：主要的可实现威胁可以分为渗入威胁和植入威胁；主要的渗入威胁有：假冒、旁路控制和授权侵犯；主要的植入威胁有：特洛伊木马（Torjan Horse）和陷门。

3、潜在威胁

通过对各种威胁进行分析，可以发现某些特定的威胁可以导致更基本的威胁发生，这些特定威胁称为潜在威胁。例如对于信息泄露这样的一种基本威胁，可以找出以下几种潜在的威胁：（1）窃听；（2）业务流分析；（3）人员疏忽；（4）媒体清理。

5.1.3 网络安全的策略

当安全具体化时，它有一定范围，这个范围便是属于某个组织的处理和通信资源的集合，称为安全区域。在某一个安全区域内，应该有一个关于安全问题的总体目标和规划，这就是安全策略。

以下是几种常见的网络安全策略：（是抽象策略，不是具体策略）

（1）最小特权原则。（2）多道防线。（3）阻塞点。（4）最薄弱环节。

（5）失效保护机制。（6）普通参与。（7）防御多样化。

5.2 防火墙技术

防火墙是设备在不同网络或网络安全域之间一系列部件的组合。防火墙可以分为硬件防火墙和软件防火墙两类。

5.2.1 防火墙的概念

“防火墙”是一种形象的说法, 其实它是一种由计算机硬件和软件的组合, 使互联网与内部网之间建立起一个安全网关( scurity gateway),从而保护内部网免受非法用户的侵入。 所谓防火墙就是一个能把互联网与内部网隔开的屏障。

5.2.2 防火墙的作用和特性

1、防火墙的作用

（1）防火墙能强化安全策略（防火墙是阻塞点）。

（2）防火墙能有效的记录Internet上的活动。如作日志记录、有报警功能。

（3）防火墙能限制暴露用户点，隐藏内部信息。

（4）防火墙是一个安全策略的检查站。

（5）防火墙有转换地址功能（IP地址）。

2、防火墙的特性

（1）所有内部对外部的通信都必须通过防火墙，反之亦然。

（2）只有按安全策略所定义的授权，通信才允许通过。

（3）防火墙本身是抗入侵的 。

（4）防火墙是网络的要塞点，是达到网络安全目的的有效手段，因此，尽可能将安全措施都集中在这一点上。

（5）防火墙可以强制安全策略的实施。

（6）防火墙不能防范恶意的内部知情者。

（7）防火墙不能防范不通过它的连接。

（8）防火墙不能防御所有的威胁。

（9）防火墙不能防范和消除网络上的PC机的病毒。

5.2.3 实现防火墙的主要技术

1、数据包过滤技术

数据包过滤(Packet Filtering)技术是在网络层对数据包进行选择，选择的依据是系统内设置的过滤逻辑， 被称为访问控制表(Access Control Table)。通过检查数据流中每个数据包的源地址、目的地址、所用的端口号、 协议状态等因素，或它们的组合来确定是否允许该数据包通过。

2、应用级网关(Application Level Gateways)

应用级网关是在网络应用层上建立协议过滤和转发功能。 它针对特定的网络应用服务协议使用指定的数据过滤逻辑，并在过滤的同时，对数据包进行必要的分析、 登记和统计，形成报告。实际中的应用网关通常安装在专用工作站系统上。

5.2.4 防火墙的体系结构

防火墙的体系结构可分为简单结构和复杂结构。简单结构包括屏蔽路由器结构和双重宿主主机结构；复杂结构包括屏蔽主机体系结构（应用最多）和屏蔽子网体系结构。特点：此类防火墙结构有两个屏蔽路由器和一个壁垒主机三部分构成。两个路由器运行包过滤技术，主要负责数据的过滤检查。壁垒主机运行代理服务技术，负责将合法数据转发出去。入侵者必须通过内外路由器、壁垒主机三道防线才能进入内部系统。既使壁垒主机被侵害，内部系统仍然是安全的。

优点：安全性很高（三道防线、内部网对外部不可见、代理服务）。

缺点：结构复杂，造价高。

5.2.5 防火墙选择原则

1、防火墙自身是否安全。

2、系统是否稳定。

3、防火墙是否高效。

4、防火墙类的访问控制设备是否可靠。

5、功能是否灵活。

5.3上网行为管理主要功能

5.3.1原理

上网行为管理内置国内最全的应用识别规则库，最大的网页地址库，结合深度内容检测技术、网页智能识别等专利技术，为客户解决网页过滤、封堵与工作无关的网络应用需求。

5.3.2网页访问过滤

互联网上的网页资源非常丰富，如果员工长时间访问如色情、赌博、病毒等具有高度安全风险的网页，以及购物、招聘、财经等与工作无关的网页，将极大的降低生产效率。通过上网行为管理产品，用户可以根据行业特征、业务需要和企业文化来制定个性化的网页访问策略，过滤非工作相关的网页。

5.3.3网络应用控制

聊天、看电影、玩游戏、炒股票等等，互联网上的应用可谓五花八门，如果员工长期沉迷于这些应用，也将成为企业生产效率的巨大杀手，并可能造成网速缓慢、信息外泄的可能。通过上网行为管理产品，用户可以制定有效的网络应用控制策略，封堵与业务无关的网络应用，引导员工在合适的时间做合适的事。

5.3.4带宽流量管理

P2P下载、在线游戏、在线看电影电视等都在抢占着有限的带宽资源。面对日益紧张的带宽资源，除了增加预算扩充带宽以外，企业还可以选择合理化分配和管理带宽。通过上网行为管理产品，用户可以制定精细的带宽管理策略，对不同岗位的员工、不同网络应用划分带宽通道，并设定优先级，合理利用有限的带宽资源，节省投入成本。

5.3.5信息内容审计

发邮件、泡BBS、写Blog、聊IM已经司空见惯，然而信息的机密性、健康性、政治性等问题也随之而来。通过上网行为管理产品，用户可以制定全面的信息收发监控策略，有效控制关键信息的传播范围，以及避免可能引起的法律风险。

5.3.6上网行为分析

随着互联网上的活动愈演愈烈，实时掌握员工互联网使用状况可以避免很多隐藏的风险。通过上网行为管理产品，用户可以实时了解、统计、分析互联网使用状况，并根据分析结果对管理策略做调整和优化。

结束语

我在校期间，学习了多门公共基础课、专业基础课和专业课，涉及大量的基础理论和原理性问题。学生可在指导教师的指导下，选择自己比较熟悉并有较深理解的某一理论问题，进行探讨和研究.要求学生有较好的理论基础,对某一理论掌握比较扎实,逻辑思维及分析问题能力强，同时能够做到理论联系实际，用所掌握的理论原理分析、解决实践问题。学生应当围绕所选定的理论问题，在广泛收集资料，大量阅读有关文献的基础上，总结前人的成就，分析前人的观点，找出以往研究的薄弱之处，提出自己的见解，也可对某些理论原理的应用进行更深层的研究和探讨，寻求更合理的成果和结论。

致 谢

在毕业设计这段时间里，使我对所学的知识有了更深的了解，同时为了这份毕业设计，让我认识到自己的不足，不过也正因为不足，使得我每天都要查阅大量的资料，让我从这份毕业设计中受益匪浅。

所以，首先，感谢我的指导老师焦凤红。从专业课学习，课题选择、开题，到作品的完成、论文写作，整个过程，焦老师都倾注了大量的时间和精力。正是在焦老师科学、严谨的指导下，我的毕业设计才得以顺利完成 感谢各位同学对我的支持，努力奋斗；强力的支持和鼓励，在此表示深深的谢意。

参考文献

[1]苏英如等.《局域网技术与组网工程》.北京：中国水利水电出版社，2006，12

[2]黄道颖等. 《计算机网络》.北京：科学出版社，2006，9

[3]胡胜红，毕娅. 《网络工程原理与实践教程》.北京：人民邮电出版社，2005，9

[4]雷震甲. 《计算机网络管理》.陕西：西安电子科技大学出版社，2006，12

[5]Laura A.Chappell，Ed Tittel著 马海军，吴华等译. 《TCP/IP协议原理与应用》.北京：清华大学出版社，2006，1

[6]David Barnes，Basir Sakandar著 刘大伟译. 《Cisco局域网交换基础》. 北京：人民邮电出版社，2005，9

[7]Justin Menga著 李莉，高雪，周永生译. 《CCNP实战指南：交换》. 北京：人民邮电出版社，2005，1

[8]Cisco System著 中山大学思科网络技术学院译. 《CCNP1：高级路由》. 北京：人民邮电出版社，2005，3

[9]Cisco System著 颜凯，杨宁，李育强，高翔译. 《CCNP2：远程接入》. 北京：人民邮电出版社，2006，3

[10]Prisilla Oppenheimer著 《自顶向下网络设计》.北京：人民邮电出版社.2005.2

[11]刘晓辉. 《网络硬件搭建与配置实践(第2版)》.电子工业出版社，2009，1

[12]Kenneth D.Stewart III，Aupey Adams著 思科系统公司译. 《思科网络学院教程CCNA Discovery计算机网络设计和支持》.北京：人民邮电出版社，2009，3

[13]刘晓辉，王春海. 《网络管理工具实用详解(第2版)》.电子工业出版社，2009，1

[14]华为校园网解决方案 2007，2