校园网网络系统集成方案13 - 图文

第 1 页 共 25 页

摘要

本文主要论叙校园局域网的组建和配置，从网络规划的总体结构来看,总共分为五大模块：校园网络需求分、校园网络设备配置、校园网服务器配置、校园网络的管理和安全，设计心得和总结。其中需求分析又分为学校现状分析、学校信息点分布需求分析、学校子网划分、学校VLAN划分、校园网布线工程分析等五部分具体而详尽的概述了学校分析，在对校园网络硬件设备选择和配置中，规划了学校校园网的结构拓扑图，交换机的数量和类型。其中具体描绘了校园网的网络拓扑图，交换机的选择和配置主要讲述了核心交换机、汇聚层交换机、接入层交换机和路由器、防火墙的说明和配置。再配置校园网络的服务器包括邮件服务器、www服务器、FTP服务器、DNS服务器、数据库服务器和代理服务器等。最后简要的说明了校园网络的管理和安全等具体方面的内容。论证了，学校信息点的需求、学校子网的划分和布线工程的分析，进而选用校园网的硬件和硬件的配置，常用服务器的设置，网络管理和安全。最后一个大型的稳定可靠的校园局域网呈现在我们面前。

关键词：校园网；网络；硬件；服务器；管理；安全

1

第 2 页 共 25 页

前言

新的世纪已经到来，信息技术所带来的一场革命将彻底改变我们的学习、生活和工作方式，现行教育体制面临着严峻挑战。随着社会信息化程度的不断深入，为了面向新的需求和挑战，为了学校的科研、教学、管理水平、为研究开发和培养高层次人才建立现代化平台，现在的学校都在积极开展搭建高速多媒体校园网。学校的内部搭建了不同规模的校园网，与企业、网吧等环境的网络不同，校园网有自己的一些特点。准确的说，高速多媒体校园网建设原则是\经济高效、领先实惠\，既要领先一步，具有发展余地，又要比较实惠。 校园网是集计算机技术、网络技术、多媒体技术于一体的系统，能够最大限度地调动学生对教学内容的参与性以及积极性。校园网是针对学校内部结构的计算机网络，它需要为学校教育提供资源共享、信息交流和协同工作等主要的功能。

通常情况下，一个完整的校园网体系中应该包括以下组成部分：多媒体教室、图书馆、宿舍区、教学楼、办公楼和分校区网络建立以校园网络为基础的行政、教学及师生之间交互式管理系统，逐步建立学校信息管理网络，实现办公自动化；为开展网上远程教学、多媒体交互式立体教学模式的探索提供高速、稳定的支持平台；逐步建立计算机辅助教学、计算机辅助考试等系统，为实现多媒体课件制作网络化，教师备课电子化、多媒体化打好基础；保证网络系统的开放性、可持续发展性，便于以后集成视频会议、视频点播等高层次教学功能。虽然学校的面积可能不大，但是其内部的信息点往往比较密集 而且校园网通常还要保证和Internet的连接。庞大的用户数量和学校的教学办公需要校园网的网络系统提供充足的带宽，并且能够保证很好的稳定性和可靠性。只有这样，校内网才能作为校园管理和现代化教学的一个支撑平台。

一.校园网需求分析

1.1学校建筑现状分析

2

第 3 页 共 25 页

开发区校区 昌黎校区 教学区 实验楼 管理中心 图书馆 行政区 数信学院 城建学院 财经学院 保卫处 后勤处 工商管理学院 体育学院 教务处 财务处 学生处

图1-1

如图所示学校分为昌黎校区，开发区校区和秦皇岛校区。其中秦皇岛校区包括图书馆、实验楼、教学区（数信学院、城建学院、体育学院、财经学院、工商管理学院）、行政区（财务处、学生处、教务处、后勤处、保卫处）。

教学区要满足网络多媒体教室以实现各种基于网络的电子教学，预留随着多媒体技术的发展，语音教学、电子视听教学等不断普及的准备。要实现通过电子题库帮助学生开展学习。

行政区学校的信息管理系统提供有效的网络支持，通过学校信息管理系统可以进行人事管理、财务管理、教务管理、后勤管理等常规化管理，还可以进行综合查询及办公自动化系统网络安全因素等。

图书馆是整个校园网络的核心部分，Internet出口进口，网络中心设备间就设在此。所以图书馆不仅仅承担了图书检索系统和建设电子图书馆，在校园网上实现远程计算机图书检索和借阅。还可以实现对整个校园网的配置管理，安全监控。

后勤处要求有通畅和稳定安全的网络。

1.2信息点分布需求分析

校园网络中分布所需要的信息点如：

表1- 1

大楼 图书馆 功能分布 电子阅览室1 电子阅览室2 教室 多媒体教室 机房 财务处 信息点 120 120 80 10 560 10 信息点合计 240 网络中心的距离 250(m) 教学区 行政区

650 40 200(m) 3

第 4 页 共 25 页

学生处 教务处 招生就业办 实验楼 开发区校区 昌黎校区 合计 机房 教学区 办公区 教学区 办公区 10 10 10 1500 300 60 600 80 3470 1500 360 680 3470 250(m) 5000(m) 40000(m) 45700（m） 1.3学院子网需求划分

根据信息点的需求把学校所有的信息点划分为14个不同的子网如：表1- 2

序号 1 2 3 子网名称 图书馆子网 实验楼子网 教学子网 包含的信息点 图书馆所有的计算机 实验楼有计算机 所有教室和多媒体计算机 学生处所有的计算机 招生就业办所有计算机 财务处所有计算机 教务处所有计算机 数信学院所有计算机 城建学院所有计算机 财经学院所有计算机 体育学院所有计算机 工商管理学院所有计算机 体育学院子网所有计算机 教学区子网所有计算机 办公区子网所有计算机 教学区子网所有计算机 办公区子网所有计算机 6 行政子网 7 8 9 10 11 12 13 14 数信学院子网 城建学院子网 财经学院子网 体育学院子网 工商管理学院子网 体育学院子网 开发区校区子网 昌黎校区子网 1.4学院VLAN需求划分

一、把学校所有的信息点划分为不同的子网，有诸多的好处：

限制网络上特定的节点不与其它节点连通，一方面保证网络的安全性，使网络资源只对许可的用户开放；另一方面起到防火墙的作用，防止广播风暴。

将整个网络分成多个独立的逻辑区域，任何连入同一区域的网段构成逻辑工作组。属于同一工作组的用户可以在物理位置上不属于同一物理局域网，使得用户在逻辑上的组合与具体的物理位置、配置无关，同时简化了节点的增减和移动。

4

第 5 页 共 25 页

VLAN可以限制广播的区域，从而节省网络带宽。这对日益紧张的网络带宽是一个很好的缓解和管理的方法。

所以把学校所有的信息点划分为14个子网，如下：表1- 3

序号 1 2 6 7 8 9 10 12 13 14 子网名称 开发区子网 昌黎校区子网 行政子网 城建学院子网 财经学院子网 体育学院子网 数信学院子网 体育学院子网 图书馆子网 实验楼子网 网段IP 210.28.100.0/24 210.28.101.0/24 192.168.10.0/24 192.168.20.0/24 192.168.30.0/24 192.168.40.0/24 192.168.50.0/24 192.168.60.0/24 192.168.70.0/24 192.168.80.0/24 网关IP 210.28.100.1 210.28.101.1 192.168.10.1 192.168.20.1 192.168.30.1 192.168.40.1 192.168.50.1 192.168.60.1 192.168.70.1 192.168.80.1 Vlan1 Vlan2 Vlan3 Vlan4 Vlan5 Vlan6 Vlan7 Vlan8 Vlan9 备注 Vlan10 二、全局IP地址的分配

ISP分配给学校的全局IP地址段为：61.186.170.96/28、61.186.170.112/30、61.186.170.116/30。这3段IP地址分别分配给防火墙的DMZ去网段、防火墙的内网段和防火墙的外网段。

其具体分配如表:表1- 4

网段 61.186.170.96/28 设备 防火墙DNZ接口 Web服务器 FTP服务器 E-mail服务器 IP地址 61.186.170.97 61.186.170.98 61.186.170.99 61.186.170.100 61.186.170.113 61.186.170.114 61.186.170.117 61.186.170.118 61.186.170.112/30 61.186.170.116/30 防火墙内网接口 代理服务器外网卡 防火墙外网接口 ISP设备接口 1.5校园网布线工程分析

因为以上的需求特点和信息点分布，结合学院的实际情况总结得到:

5

第 6 页 共 25 页

行政区交换机 教学区交换机 二层交换机 光纤1000MB/S 二层交换机 核心交换机 图书馆 交换机 二层交换机 实验楼交换机 二层交换机 图1- 1

1. 核心交换机网络中心选用1000MB/S光纤，二层交换机下面也选用1000MB/S光纤，光纤直达接入层交换机；分到用户接插面板上的带宽为100MB/S，用户可用带宽为10MB/S-100MB/S。

2. 图书馆是校园网络的心脏。采用3层交换技术，和各子网相连。连接介质是光纤。因为速度快，系统稳定，抗干扰性强，带宽充足，跨越距离远，不易信号不容易衰减。但是设备成本要求高。为了适应将来发展的趋势和满足需求，同时为了将来改造的费用支出和麻烦所以投资值得的。

3.对于建筑物内部的水平布线和垂直布线，可以使用同轴电缆。对工作区采用超5类双绞线。 4.昌黎校区和开发区校区离主校区距离分别在30000米和5000米，可以采用单模光纤布线，但是考虑实际情况，采用租用电信的虚拟通道比较合适和经济，第一，布线的成本高昂。第二，采用VPN可以实现安全，快速的目的。所以决定采用VPN实现秦皇岛校区和开发区校区，昌黎校区的连接。

1.6校园网的结构规划

根据学校建筑的分布及各种需求的分析，做出如下规划： (1).校园网的拓扑结构应当根据学校的具体需求决定，如果对可靠性要求比较高，应优先选择星型拓扑结构，另外考虑到校园网的覆盖范围，通常都是采用一些混合型的结构（如，总线型和星型的混合等）。

(2).网络中心与各楼之间使用千兆多模光纤，形成千兆骨干网络；

(3).桌面交换机和汇聚层交换机相连接，桌面交换机与计算机之间使用百兆双绞线连接； (3).数据库、E-mail、web、ftp及代理服务器连接在汇聚层交换机上；

(4).开发区校区和昌黎校区与主校区之间通过租用ISP的2M帧中继线路连接；

(5).由于教学楼、图书馆、办公楼和实验楼的网络连接基本相同，所以经过简化整个校园网络的结构图，如下图所示。

6

第 7 页 共 25 页

图2- 1整个校园的网络规划简图

7

第 8 页 共 25 页

二. 校网网络设备配置

根据学校规划图，学校硬件的选择这块主要包括交换机，路由器，防火墙的选择，专业机箱和机柜的选择等其它工具和设备的选择配置。下面主要介绍以下几种设备的选型和配置：

2.1.交换机需要的数量

交换机的种类包括：核心交换机，汇聚层交换机，接入层交换机。其中核心交换机1台存放在网络中心，汇聚层交换机和核心交换机连接直到学校各楼层的设备间，接入层交换机也称作桌面交换机是各楼层水平工作区之间的连接交换机。

具体图下表所列：

表2- 1

大楼 图书馆 教学楼 办公楼 实验楼 开发区校区 昌黎校区 核心交换机 1 汇聚层交换机 接入层交换机 1 1 1 1 1 1 5 4 2 2 2 2 备注 存放在网络中心 存放在网络中心 存放在网络中心 存放在网络中心 网络机房 网络机房 2.2.核心交换机说明配置

核心交换机Cisco Catalyst 4006以太网交换机，4006交换机提供总插槽数为6个，可通过增加模块来增加交换机的接入端口和性能，它具有24Gbps的背板带宽和18Gbps的包交换能力。本方案中设置一个S3引擎和一个WS-X4232-L3模块，分别插在机箱的第一个和第二个插槽。其中S3引擎具有8GB的高带宽、高速第三层路由和QoS的系统端口能力，并能以线速同时在双千兆位以太网上行链路上支持第三层服务，S3引擎上带有两个1000M以太网模块插槽，支持3层交换。这样S3引擎和WS-X4232-L3模块总共有4个千兆模块能够实现到宿舍区，教学区，行政区，后勤处的千兆光纤连接，形成千兆骨干的校园网络。

核心交换机与汇聚层交换机连接端口地址表分配：

表2-2

IP网段 172.16.1.0/30 172.16.1.4/30 172.16.1.8/30 172.16.1.12/30 4006IP地址 172.16.1.1 172.16.1.5 172.16.1.9 172.16.1.13 4006vlan 202 203 204 205 206 207 4006端口 1/1 1/2 1/3 2/1 2/2 2/3 对端口设备 行政区 教学区 图书馆 实验楼 昌黎校区 开发区校区 对端IP地址 对端Vlan 172.16.1.2 172.16.1.6 172.16.1.10 172.16.1.14 192.168.48.2 192.168.50.2 102 103 104 105 106 107 对端端口 G0/1 G0/1 G0/1 G0/1 E0 E1 8

192.168.48.0/28 192.168.48.1 192.168.50.0/28 192.168.50.1

第 9 页 共 25 页

一、核心交换机的配置

(1).Cisco Catalyst 4006 交换机的配置包括第二层的配置和第三层的配置两个部分，下面分别介绍：

(1).第二层的配置，主要是一些常规配置，如：设备名称，登陆口令，设备口令，管理接口地址

Console>(enable) set system name C4006-L2 C4006-L2>(enable) set password Enter old password:

Enter old password:hevttc Retype new password:hevttc Enter new password:hevttc Retype new password:hevttc

C4006-L2>(enable) set interface sc0 192.168.40.1 255.255.255.0

下面是交换机的VALN的划分配置VLAN,其名字使用拼音方式 C4006-L2>(Eable) set vlan 202 name xingzhengqu C4006-L2>(Eable) set vlan 203 name jiaoxuequ

把端口分配给相应的VLAN

C4006-L2>(Eable) set vlan 202 1/1 C4006-L2>(Eable) set vlan 203 1/2

(2).第三层的配置进入3层模块，后面的数字是插槽的代号，3层模块在2号插槽，因此为2 Consle>(enable) session 2

常规的配置如二层的配置：设备名称，登陆口令，特权口令，VTY，户模式口令配置 Router(config)# hostname c4006-L3

c4006-L3 (config) #enable password hevttc c4006-L3(config)#enable secret hevttc c4006-L3(config)#line vty 0 4 c4006-L3(config-line)#login

c4006-L3(config-line)#password hevttc c4006-L3(config-line)#exit

下面配置开始配置VLAN的各各接口的地址如：配置VLAN102的接口地址 c4006-L3(config)#interface port-channel 1.2 c4006-L3(config-subif)#encapsulation dotlQ 102

c4006-L3(config-subif)#ip address 172.16.1.2 255.255.255.0 c4006-L3(config-subif)#no shutdown c4006-L3(config-subif)#exit 其它vlan的配置如vlan102

根据上表2-2所示，分配16个IP地址，用于4006交换机、汇聚交换机 c4006-L3(config-subif)#ip address 192.168.1.2 255.255.255.240 c4006-L3(config-subif)#no shutdown

9

第 10 页 共 25 页

c4006-L3(config-subif)#exit

下面把默认路由设为为代理服务器的内网卡地址，实现内网和公网地址的转换。 c4006-L3(config)#ip route 0.0.0.0 0.0.0.0 192.168.40.2 !行政区

c4006-L3(config)#ip route 192.168.14.1 255.255.248.0 172.16.1.2 !教学区

其他区域和行政区、教学区同理。

经过如上的设置，核心交换机实现了一些基本的配置和安全配置，对Vlan进行了划分和地址的分配。路由和代理服务器内网卡地址的制定。能够达到实现联通和安全的基本目标了。

2.3.汇聚层交换机说明配置

汇聚层交换机Catalyst 3550-24 以太网交换机，具有24个10M/100M快速以太网接口和1000M以太网模块插槽，13.6Gbps的交换矩阵，第三层最大传输带宽位4.4Gbps。它是一个新型的、可堆叠的、多层企业级交换机，可以提供高水平的可用性、可扩展性、安全性和控制能力。具有每端口服务质量、每端口优先级、每端口广播和组播风暴控制，和802.1q帧标识、VTP支持、SNMP和DNS支持、端口保护、速度限制、访问控制列表、IP路由、划分VLAN和三层交换等功能。 一、汇聚层交换机的配置

汇聚层交换机主要配置办公楼交换机来引例说明其它的交换机的配置：

办公楼交换机通过GigabitEthernet0/1接口到Cisco4006交换机1/1接口相连，其通信通过路由实现。它包括5个VLAN，学生处、招生就业办、财务室、教务处和其它办公室。这几个VLAN的分布和连接如图 所示，学生处和招生就业办通过Switch1接入到汇聚层交换机，财务室和教务处通过Switch2接入到汇聚层交换机，其他办公室直接接在汇聚层交换机上。下面给出详细的配置。

图2- 2

Switch1配置主要一些基本配置如：设备名，特权模式口令，VTY配置模式和用户级口令。 Switch(config)#hostname bangonglou

Bangonglou(config)#enable password hevttc Bangonglou(config)#enable password hevttc

10

第 11 页 共 25 页

Bangonglou(config)#line vty 0 4 Bangonglou(config-line)#login

Bangonglou(config-line)#password wangluo

下面是设置vtp模式和把5个部门划分为5个vlan，用拼音作为vlan名字 Bangonglou(config)#vtp domain bangonglou Bangonglou(config)# vlan 11

Bangonglou(config-vlan)#name xueshengchu Bangonglou(config)# vlan 12

下面是配置VLAN中继模式包括协议的封装，turnk模式设置和允许通行的VLAN， all表示所有的VLAN都可以通过，还有设置vlan的ip地址 Bangonglou(config)#interface fastethernet0/1 Bangongluo(config-if)#switchport

Bangonglou(config-if)#switchport mode trunk

Bangonglou(config-if)#switchport trunk allowed vlan all Bangonglou(config-if)#switchport fastethernet 0/2 Bangonglou(config-if)#switchport

Bangonglou(config-if)#switchport trunkencapsulation dotlq Bangonglou(config-if)#switchport mode trunk

Bangonglou(config-if)#switchport trunk allowed vlan all Bangonglou(config)#interface vlan 20

Bangonglou(config-if)#ip address192.168.0.1 255.255.255.0 Bangonglou(config)#interface vlan 21

Bangonglou(config-if)#ip address192.168.1.1 255.255.255.0

下面配置路由

Bangonglou(config)#ip route 0.0.0.0 0.0.0.0 172.16.1.1

这里配置ACL列表防止冲击波等病毒对内部网络的扫描和应用ACL列表 Bangongluo(congfig)#access-list 101 deny tcp any any rang 135 144 Bangongluo(congfig)#access-list 101 deny tcp any any rang 135 144 Bangongluo(congfig)#access-list 101 permit ip any any Bangonglou(config)#interface GigabitEthernet0/1 Bangonglou(config-if)#ip access-group 101 out

2.4.接入层交换机说明配置

接入层交换机Catalyst 2950-24交换机具有24个10M/100M端口和24个10/100M快速以太网接口。作为Cisco最为廉价的交换产品系列，是接入层交换机的理想选择，在所有端口上提供限速转发能力。拥有VLAN、拥塞控制、端口保护和802q帧标识等支持。如上图所示接入层交换机的连接 一.接入层交换机的配置 !进入vtp数据库 Switch#vlan datadase

11

第 12 页 共 25 页

!设置vtp域名

Switch(vlan)#vtp domain bangonglou !设置vtp模式

Switch(vlan)#vtp client Switch(vlan)#exit

Switch#configgure terminal !配置接口F0/1为中继接口 Switch(config-if)#int f0/1 !封装dotlp协议

Switch(config-if)#switchport trunk encapsulation dotlq !设置为trun模式

Switch(config-if)#switchport mode trunk !允许所有VLAN通过

Switch(config-if)#switchport trunk allowed vlan all

2.5路由器的说明和配置

路由器主要用于核心交换机与Internet连接，方案中选择Cisco2511路由器，它具有一个AUI10Mbps以太网接口、16个低速异步串行端口和两个2Mbps串行口。Cisco2511路由器支持DHCP、NAT、QoS、访问列表、VTP、防火墙特性和多种协议(IP、IPX等)路由。方案中的Cisco2511应配置一根V.35线和RS-232线、G703协议转换器。本校区路由器配置主要有两个功能：一个是实现与Internet互联，一个是实现开发区校区和昌黎校区的接连。因此，其配置也是针对这两个方面。 本校区路由器的配置 !进入配置模式

route#configure terminal !配置路由器名

Route#(config)#hostname xiaoben2511 !特权模式的口令

xiaoben2511(config)#enable password hevttc xiaoben2511(config)#enable password hevttc !配置远程登陆口令

xiaoben2511(config)#line vty 0 4 xiaoben2511(config-line)#login

xiaoben2511(config-line)#password wangluo061 !配置E0接口IP地址

xiaoben2511(config)#interface ethernet0

xiaoben2511(config-if)#ip address 192.168.48.2 255.255.255.240 xiaoben2511(config-if)#no shutdown !配置E1接口IP地址

xiaoben2511(config)#interface ethernet1

xiaoben2511(config-if)#ip address 192.168.50.2 255.255.255.240 xiaoben2511(config-if)#no shutdown

!配置S0接口S0接口，其通过E1透明电路与开发区校区路由器的S0相连，使用PPP协议

12

第 13 页 共 25 页

xiaoben2511(config-if)#interface serial0

xiaoben2511(config-if)#ip address 172.16.1.21 255.255.255.252 !封装PPP协议

xiaoben2511(config-if)#encapsulation ppp !设置为硬件流控

xiaoben2511(config-line)#flowcontrol hardware !设置线路速率

xiaoben2511(config-line)#speed 115200 xiaoben2511(config-line)#exit !默认路由，指向4006交换机

xiaoben2511(config)#ip route 0.0.0.0 0.0.0.0 192.168.48.1 !分校路由指向本校区路由器2511的S0接口

xiaoben2511(config)#ip route 192.168.32.1 255.255.255.248 172.16.1.22

下面我们配置一个时间访问列表实例

如图所示：web服务器的ip为61.186.170.100，对web服务器的访问时间作出如下限制:行政区的用户只能在星期一到星期五早上8点到下午5点访问web服务器；日期范围规定为2000年9月1日到2100-12-31日。

!配置Internet的访问时间范围名称

xiaoben2511(config)#time-range Internet-www !配置绝对时间

Cqdd(config-time-range)#asbolute start 7:00 1 September 2000 end 17：00 December 2100 !配置周期时间

Cqdd(config-time-range)#periodic weekday 8:00 to Monday 17：00 !配置全局返回模式

Cqdd(config-time-range)#exit !配置Internet访问的ACL语句

xiaoben2511(config)#access-list 101 permit tcp any host 61.186.170.100 eq www time-range Internet-www

!配置Internet访问的ACL语句

xiaoben2511(config)#access-list 102 permit tcp 192.168.1.0 0.0.0.255 host 61.186.170.100 eq

13

第 14 页 共 25 页

www time-range Internet-www !进入接口配置模式

xiaoben2511(config)#internet serial 0

xiaoben2511(config)#ip access-group 101 in !进入接口配置模式

xiaoben2511(config)#internet serial 0 !应用访问列表102

xiaoben2511(config)#ip access-group 102 in

2.6防火墙的说明和配置

硬件防火墙的应用现在是越来越多，产品也很丰富，而我们选用的是思科PIX-515E-R-DMZ-BUN，因为PIX515系列防火墙具有以下优点：无限软件捆绑：具有无限软件许可证的PIX 515-R是为那些正在寻求使用基本防火墙功能来实现高性能安全性的企业而提供的入门级Cisco解决方案。实现简单。它所提供的能力可以处理50000余个同时连接，吞吐量高达170Mbps。支持多达3个以太网接口的PIX 515-R-BUN是一种具有特别高效费比的解决方案，特别适合那些选择在防火墙之外托管自己的网站或者通过Internet服务提供商（ISP）托管网站，并且需要较合理性价比防火墙解决方案。另外，可以实现局域网进行双向通信的远程站点，或由局域网在自己的局域网防火墙上提供所有的Web服务的情况。功能特点 PIX 515E-DMZ Bundle (Chassis, Restricted SW, 3 FE Ports),防火墙冗余,故障切换功能,URL过滤和病毒检测.

无限制软件：PIX 515-UR（无限制）除了提供PIX 515-R-BUN所有的功能以外，还提供故障切换功能和多达6个10/100以太网端口。多出来的4个端口允许更加健壮的传输配置，可以在其上托管一个受到保护的DMZ，从而运行一个网站或执行URL过滤和病毒检测。PIX 515-UR是专为中型网络而设计，能够提供接近170Mbps的吞吐量和10万个同时连接，并实现快速、可靠和价格合理的安全性保护。价格在3万左右。

图2- 2

基本参数如下表：表2- 3

产品类型 最大吞吐量 安全过滤带宽 外形尺寸 重量 固定接口 入侵检测 PIX-515E-R-DMZ-BUN 190Mbps 130Mbps 300×427×44mm 4.11Kg RS-232 Dos 网络管理 VPN 产品类型 电源电压 最大功率 CSPM、PDM 支持VPN 企业级 220VAC,50Hz 75W 用户数限制 无用户数限制用户 并发连接数 130000并发连接数 14

第 15 页 共 25 页

硬件参数 PU:433MHz Intel,闪存:16MB,随机存储内存:32MB,或者64MB SDRAM 防火墙的基本配置

配置网络端口

fix515(config)# interface ethernet0 auto fix515(config)# interface ethernet1 auto

auto选项表明端口eth0和eth1为自适应。 2.定义安全级别

fix515(config)# nameif ethernet1 outside security 0 fix515(config)# nameif ethernet0 inside security 100 外网的安全级别为最低，内网的安全级别为最高 配置内、外端口的IP地址

fix515(config)# ip address inside 192.168.10.1 255.255.255.0

fix515(config)# ip address outside 219.140.164.26 255.255.255.248 内部为192.168.10.1；外部为219.140.164.26. 4.指定要转换的内部地址

fix515(config)# nat(inside) 1 0.0.0.0 0.0.0.0 表示内部全部地址都可以转换出去。 5.指定外部地址范围

fix515(config)# global(outside) 219.140.164.27 219.140.164.30 netmask 255.255.255.248 将外部地址的范围定义在27-30之间 6.设置指向内部网和外部网的缺省路由 fix515(config)# route inside 0 0 192.168.10.1 fix515(config)# route outside 0 0 219.164.140.26 内 192.168.10.1 ；外 219.164.140.26. 7.配置远程访问

fix515(config)#telen 192.168.10.9 255.255.255.0 fix515(config)#telen 210.20.14.10 255.255.255.0 第一条表示内部可配置的地址； 第二条表示外部可配置的地址。 8.将配置保存

15

第 16 页 共 25 页

三. 校园网服务器配置

3.1网络服务设备选择配置

在校园网络中，由于使用的用户众多，需要多台服务器来处理客户机的服务请求，且每台服务器完成的任务各不相同。因此，根据服务器所完成的任务不同，可能将服务器分为一下几类：文件服务器(ftp)、应用服务器(数据库服务器)和特殊服务器(E-mial和web)。由于服务器的特殊性，使得服务器需要可靠稳定和经济耐用。所以在选用服务器的同时，我们由这两个方面考虑：1.可靠稳定，我们选用了不间断电源两个，以防断电引起的网络瘫痪和不可以使用的故障。还选用了服务器专业机柜及套件，避免了因为杂乱摆放导致管理难，维护难的一些问题。在选用服务器的时候是选用国内知名度和质量较好的品牌联想厂商的产品。2.经济耐用，和国外很多产品比较起来国产的叫便宜，联想是大企业知名度高，质量和售后服务都有保证。

具体选用如表所示：表3- 1

产品名称 DNS服务器 WWW服务器 E-mail服务器 FTP服务器 数据库服务器 不间断电源 操作系统 服务器专业机柜及套件 数量 1 1 1 1 1 2 1 2 描述 联想万全R510 5112 S2.4G*2 512/36GB 1000Mbps网卡 联想万全R510 5112 S2.4G*2 215/72GB 100/1000Mbps网卡 联想万全100/1000Mbps R520 5122 S2.4G*2512/72GB*3 联想万全R520 5122 S2.4G*2512/72GB*3 1000Mbps 联想万全R520 5122 S2.4G*2 1G/72GB*1 1000Mbps 山特机架式UPS C1KRS/￥1980/1000VA Windows Server 2003 三盛 SH6637 37U/1650元/个 3.1.1 邮件服务器

E-mail作为信息化校园的一个组成部分，学生可以通过E-mail联系教师，教师可以通过E-mail了解更多的外部信息。所以邮件服务器在校园网络中有着重要作用。通过学校的电子电子邮件系统，可以让学校与国内外的很多其他机构简历广泛和快捷的联系，快速获得各种信息。

安装配置邮件服务

邮件服务器的安装其实就是POP3、SMTP服务相关组件的安装。可以通过配置你的服务器来安装邮件服务器。在添加安装程序安装windows组建的选项：

下面进入安装环节，选用你要安装的服务，邮件服务器（POP3、SMTP），如下图所示：

16

第 17 页 共 25 页

单击“下一步”按钮，打开如图所示对话框。在其中要求选择邮件服务器中所使用的用户身份验证方法，一般如果是在域网络中，选择“Active Directory集成的”这种方式，这样邮件服务器就会以用户的域帐户进行身份认证。然后在“电子邮件域名”中指定一个邮件服务器名，本示例为grfwgz.mail

图3- 1

接下来是安装POP3和邮件传输协议CMTP，可以使用POP3客户端发送和接受邮件。然后查看邮件服务器的配置，配置成功如下图：

17

第 18 页 共 25 页

图3- 2邮件服务配置成功的效果图

3.1.2 WWW服务器

万维网是Internet上集文本、声音、动画、视频等多媒体信息于一身的信息服务系统，整个系统包括web服务器、浏览器（Browser）及通信协议三部组成。通过在校园网上架设WWW服务器，可以让学生和教师更快地获取学校中的最新消息，也可以通过架设WWW服务器在Internet的网站中索寻学习资源，学生不仅可以从中获取有用的材料，也可以将保证自己的信息发布在网站上。实现资源的交换和共享。

Windows Server 2003 Web 服务器的安装在Internet信息服务里面打开，安装开始，

图3- 3

18

第 19 页 共 25 页

图3- 4

如果显示了你的页面，那么你的服务器就配置成功了！

3.1.3 FTP服务器

便于学生和教师上传和下载资料，利用FTP服务器，可以将校园网内的各各办公室或学生个人的资料上传到服务器，方便校内外的人员获取消息。还有在校园网中可能还会包含VOD视频点播服务器等其他的服务器。所以作用和意义很重要在校园网络中。

图3- 5

19

第 20 页 共 25 页

图3- 6

登陆成功的消息

最后测试：在浏览器中登录：格式为“ftp://ftp.abc.com”或“ftp://用户名@ftp.abc.com”。如果匿名用户被允许登录，则第一种格式就会使用匿名登录的方式；如果匿名不被允许，则会弹出选项窗口，供输入用户名和密码。第二种格式可以直接指定用某个用户名进行登录。

3.1.4 DNS服务器

为了让内部和外部用户访问学校主页，如www.hnrpc.com必须安装一个DNS服务器。DNS是英文Domain Name System的缩写,是域名解析服务器的意思，即域名管理系统。DNS指在Internet中使用的分配名字和地址的机制。域名解析就是将用户提出的名字变换成网络地址的方法和过程。其中包括创建DNS正相解析区域（域名到IP地址）还有创建DNS反向解析区域（IP地址到域名），安装配置主要是服务端和客户端。

图3- 7

图3- 7完成新建区域

建立一个域hnrpc.com,

20

第 21 页 共 25 页

图3- 8

图3- 8完成反向区域设置 DNS配置测试

选择【控制面板】的【管理工具】的【服务】，可停止/启动DNS服务。DNS安装完成后，已自动启动。

3.1.5 数据库服务器

为了学生档案，教师档案，退休职工档案管理，还有学生成绩，教职工工资课表教室查询等其他数据处理。配置一台专门的数据服务器。

SQL2000的安装

图3- 9

3.1.6 代理服务器

代理服务器英文全称是Proxy Server，可以代理网络用户去获取网络信息，我们上网过程中，一般是使用浏览器直接连接Internet站点获取网络信息，而代理服务器则是介于浏览器和Web服务器之间的一台服务器，使用代理服务器之后，我们的浏览器就不是直接到Web服务器去获取网页信息了，而是先访问代理服务器，然后由代理服务器获取所需要的信息并

21

第 22 页 共 25 页

传送给浏览器。也就是说，用户通过代理服务器访问Internet时，映射的是代理服务器的IP地址，因而可以有效保障本机的IP地址不泄漏。其次，代理服务器可以节省大量的IP地址资源，有效地降低网络的维护成本。同时，代理服务器还可以提高网络的访问速度，大部分代理服务器都有缓冲的功能，可以起到快速浏览的作用。用代理服务器上网，为了维护网络的安全性和浏览网页的便捷，所以采用了代理服务技术。

四．校园网络的管理与安全

4.1网络管理

随着校园网的不断发展和应用，网络管理和安全防范问题也越来越复杂。为此，我校专门设立了网络管理中心，负责网络管理系统的建立和应用、线路和站点的监测、通信设备管理、全局目录管理、用户和文件管理及收费管理、用户培训等。同时，利用网管中心，可以方便地采取各种安全性措施，控制通信，购买硬件防火墙，即时下载系统漏洞，实施新的安全技术，数据备份等提高网络可靠和安全性能水平。

校园网管理的主要目的是保障网络运行的品质，如维持网络传送速率、降低传送错误率、确保网络安全等。所以校园网系统管理的技术人员可借网络管理工具或本身的技术经验实施网络管理，内容可分为下列6项：

（1）系统管理随时掌握网络内任何设备的增减与变动，管理所有网络设备的设置参数。当故障发生时，管理人员得以重设或改变网络设备的参数，维持网络的正常运作。

（2）故障管理为确保网络系统的高稳定性，在网络出现问题时，必须及时察觉问题的所在。它包含所有节点动作状态、故障记录的追踪与检查及平常对各种通讯协议的测试。

（3）效率管理在于评估网络系统的运作，统计网络资源的运用及各种通讯协议的传输量等，更可提供未来网络提升或更新规划的依据。

（4）安全管理为防范不被授权的用户擅自使用网络资源，以及用户蓄意破坏网络系统的安全，要随时做好安全措施，如合法的设备存取控制与加密等。

（5）计费管理了解网络使用时间，能针对各个局部网络做使用统计。一则可作为使用网络计费的依据，更可作为日后网络升级或更新规划的参考。

（6）信息管理网络上的信息分成两部分，一是由管理员放置的信息，它们的品质一般较高；另一部分是由用户放置的，可能会有一些问题，要对这部分信息进行管理。 （7）人员培训

22

第 23 页 共 25 页

要真正提高校园网的应用水平，就必须坚持不懈地在教学和学习中应用网络，以切实提高教学水平、管理水平和学习水平，其中加强对相关人员的培训十分必要。为此我校正举办网络技术培训班，对校园网的四类实用人员，即学校领导、系统维护人员、课件制作人员和应用系统使用人员，分期分批进行网络培训，以提高全体师生的网络应用水平，并促进校园网的健康发展。

4.2网络安全

主机安全技术：加强网络上结点计算机的安全，包括：系统防火墙的规则设置、更新。系统漏洞补丁升级更新，在人们的潜意识里增加安全防范意识等等。

身份认证技术：身份验证技术可以阻止或减少由于非法用户的登陆对系统的恶意或非法操作。在用户访问服务器上任何信息之前，可以要求用户提供有效的 Microsoft Windows用户帐户、用户名和密码。该标识过程称为“身份验证”。可以在网站或FTP站点、目录或文件级别设置身份验证。可以使用Internet信息服务（IIS提供的）身份验证方法来控制对网站和FTP站点的访问。（包括下列信息：网站验证：介绍符合您验证用户网站访问要求的身份验证方法。FTP站点身份验证：介绍符合您验证用户FTP站点访问要求的身份验证方法。）

访问控制技术：对信息的权限的控制，阻止了非授权用户进行的信息的浏览，修改甚至破坏。适当地控制对Web和FTP内容的访问是安全运行Web服务器的关键。使用 Windows和IIS中的安全功能，您可以有效地控制用户访问您Web和FTP内容的方式。可以控制多级访问，从整个网站和FTP站点到单独的文件。每个帐户均被授予用户特权和权限。用户特权是指在计算机或网络上执行特定操作的权力。权限是与对象（如文件或文件夹）关联的规则，用于控制哪些帐户可以获得对象的访问权限。

防火墙技术：要主的技术有数据包过滤技术、应用网关和代理服务等；防火墙体系结构在网络中的设置应用。例如屏蔽子网型防火墙。它是由两个包过滤路由器和两个堡垒机组成。堡垒主机和服务器放置在一个处于内外网的小型网络（Dmz 安全区）中。连接外网的包过滤路由器主要用来防止外网的攻击。并管理外网对dmz的访问。第二给个包过滤路由器是它置接受源于堡垒主机的数据，负责管理Ｄmz和内网之间的访问。这样对外网，内部网是不可见的。同理对于内网外网是不可见的，内网眼通过代理服务才能访问外网。对于入侵者必须通过外部路由器和堡垒主机，内部路由器才能入侵到内网中。到目前可以认为是最安全的。

安全审计技术：安全策略的订制和授权信息的验证技术是该技术的重点部分。可以使用安全审核技术跟踪用户活动并检测对NTFS目录和文件的未经授权的访问。（可供审核的活动包括：用户成功和失败的登录。用户试图访问受到限制的帐户。用户试图执行受到限制的命令。）

23

第 24 页 共 25 页

五.科研技能训练心得总结

一个设计方案的好坏，特别是校园组网。与设计人员对其电脑硬件和设备的方方面面地掌握程度息息相关。

在本组网过程中，由于本人对网络知识的掌握有限，又是完全独立完成，可以说整个的组网过程是一边摸索一边实践出来的。但令人高兴的是，通过这样一个边学习边应用的过程，本人完成了校园网的组网的规划工作。本人考虑到可行性因素，在写这篇论文中，在网络中搜索了大量的资料和阅读了大量的书籍资料，考虑的方面齐全，收获也甚多。

但总的来说，该方案仍然存在许多不足之处。如：受开发条件和时间的限制，本方案校园网络的组建模式较简单，涉及的内容深度和一些细节的东西也许欠缺。对网络安全方面考虑较少，尤其是局域网的安全性，本人专业能力的有限。只是粗略的涉及。

这些都是需要完善的地方，该组网离实际还是有相当的距离，需要改进，需要不断地补充和完善。通过本次毕业设计我学到了不少新的东西，也发现了大量的问题，有些在设计过程中已经解决，有些还有待今后慢慢学习，如防火墙的配置和设置方面，网络安全方面。还有服务器的搭建我只是列举了一些主要的服务器，其实还有许多的服务器在现实网络中是起着重要作用而我网络没有设计的，像DHCP等。我只是实现了网络组建的一些基本构思和运用功能。

总的来说，只要学习就会有更多的问题，有更多的难点，但也会有更多的收获。

24

第 25 页 共 25 页

参考文献

[1] 李建民，网络设计基础[M] .北京：北京希望电子出版社，2000.

[2] Dorothy Denning, ”Cryptography and Data Security”, Addison-Wesley. ISBN0-201-10150-5.

[3] 冯登国.计算机通信网络安全[M] .北京：清华大学出版社, 2001. [4] 赵喆.计算机网络实用技术[M] .北京：中国铁道出版社，2008. [5] 谭浩强 .计算机网络[M] .北京：中国铁道出版社，2004.

[6]（美）Michael Salvagno、任峥、丁青等译. Cisco网络设计手册[M]，北京：北京电子工业出版社，2000.

[7] 候中俊.局域网组网技术[M] .北京：人民邮电出版社，2005.

[8] 王达.局域网组建与配置技能实训[M] .北京：人民邮电出版社，2006.

[9] (美)Matthew H.Birkner Cisco，互连网络设计[M] .北京：北京人民邮电出版社，2000. [10] 刘海涵，王存祥.计算机网络技术.西安：西安电子科技大学出版社，2003. [11] 思科产品的参数介绍.http://www.cisco.com/global/CN/products/rt/index.shtml .

[12] Wenliang Du,Aditya P. Mathur. Vulnerability Testing of Software System Using Fault Injection.Coast TR 98-02, 1998.

[13] 单国栋， 戴英侠，王航. 计算机漏洞分类研究[J] .计算机工程，2002，28(10)：3-6 [14] Jeffrey Richter ，Applied Microsoft.NET Framework Programming (美) [M] .北京：清华大学出版社，2000.

[15] National Vulnerability Database http://nvd.nist.gov

[16] 谢希仁.计算机网[M].北京：北京电子工业出版社，2000.

[17] Cisco Systems Inc，网络设计与个案分析（英文影印版）[M]，北京：北京清华大学出版社，2000.

25

本文来源：https://www.bwwdw.com/article/w02p.html