計算機網(wǎng)絡技術畢業(yè)論文---光電子信息學院局域網(wǎng)的組建

1、<p><b>　　畢業(yè)論文</b></p><p>　　題目 xx局域網(wǎng)的組建 </p><p>　　姓 名 </p><p>　　專業(yè)班級 網(wǎng)絡S09-4班 </p><p>　　指導教師

2、 </p><p>　　完成時間 2012年6月 </p><p><b>　　2012.6</b></p><p><b>　　摘　要:</b></p><p>　　隨著網(wǎng)絡建設的逐步普及，大學高校局域網(wǎng)絡的建設是高校向高水平、研究性大學跨進的必然選

3、擇，高校校園網(wǎng)網(wǎng)絡系統(tǒng)是一個非常龐大而復雜的系統(tǒng)，它不僅為高校的發(fā)展、綜合信息管理和辦公自動化等一系列應用提供基本操作平臺，而且，能夠使教育、教學、科研三位一體，提高教育教學質量。而校園網(wǎng)網(wǎng)絡建設中主要應用了網(wǎng)絡技術中的重要分支局域網(wǎng)技術來建設與管理的，因此本畢業(yè)設計課題將主要以校園局域網(wǎng)絡建設過程可能用到的各種技術及實施方案為設計方向，為校園網(wǎng)的建設提供理論依據(jù)和實踐指導。高校校園網(wǎng)的網(wǎng)絡建設與網(wǎng)絡技術發(fā)展幾乎是同步進行的。高校不僅承

4、擔著教書育人的工作，更承擔著部分國家級的科研任務，同時考慮未來幾年網(wǎng)絡平臺的發(fā)展趨勢, 為了充分滿足高校骨干網(wǎng)對高速，智能，安全，認證計費等的需求,可以利用萬兆以太網(wǎng)的校園網(wǎng)組網(wǎng)技術。構建校園網(wǎng)骨干網(wǎng)，實現(xiàn)各個分校區(qū)和本部之間的連接，以及實現(xiàn)端到端的以太網(wǎng)訪問，提高了傳輸?shù)男剩行У乇ＷC了遠程多媒體教學、數(shù)字圖書館等業(yè)務的開展。</p><p>　　關鍵詞: 校園網(wǎng)；網(wǎng)絡設備；服務器；網(wǎng)絡管理；網(wǎng)絡安全<

5、/p><p><b>　　目錄</b></p><p><b>　　一、 引言3</b></p><p>　?。ㄒ唬?背景及意義3</p><p>　　（二） 目前校園網(wǎng)絡現(xiàn)狀3</p><p>　?。ㄈ?校園網(wǎng)建設的原則3</p><p>　　

6、二、 校園網(wǎng)需求分析4</p><p>　?。ㄒ唬?學校建筑現(xiàn)狀分析4</p><p>　　（二） 學校子網(wǎng)需求劃分5</p><p>　?。ㄈ?學校VLAN需求劃分6</p><p>　　三、 校園網(wǎng)絡設備配置9</p><p>　?。ㄒ唬?交換機模塊設計10</p><p>　

7、?。ǘ?路由器模塊設計14</p><p>　　四、 校園網(wǎng)服務器配置21</p><p>　?。ㄒ唬?WWW服務器配置21</p><p>　　（二） DNS服務器配置22</p><p>　　五、 校園網(wǎng)絡的管理與安全23</p><p>　?。ㄒ唬┚W(wǎng)絡管理23</p><p>

8、;　?。ǘ?網(wǎng)絡安全25</p><p>　　六、網(wǎng)絡系統(tǒng)的測試29</p><p>　　七、結論及尚存在的問題33</p><p><b>　　八 致謝34</b></p><p><b>　　參考文獻：34</b></p><p><b>　　一、

9、引言</b></p><p><b>　?。ㄒ唬?背景及意義</b></p><p>　　高校校園網(wǎng)的網(wǎng)絡建設與網(wǎng)絡技術發(fā)展幾乎是同步進行的。高校不僅承擔著教書育人的工作，更承擔著部分國家級的科研任務，同時考慮未來幾年網(wǎng)絡平臺的發(fā)展趨勢, 為了充分滿足高校骨干網(wǎng)對高速，智能，安全，認證計費等的需求,可以利用萬兆以太網(wǎng)的校園網(wǎng)組網(wǎng)技術。</p>

10、<p>　　構建校園網(wǎng)骨干網(wǎng)，實現(xiàn)各個分校區(qū)和本部之間的連接，以及實現(xiàn)端到端的以太網(wǎng)訪問，提高了傳輸?shù)男?，有效地保證了遠程多媒體教學、數(shù)字圖書館等業(yè)務的開展。</p><p>　　隨著信息技術的高速發(fā)展，教育信息化水平正成為衡量學?？傮w發(fā)展水平的重要因素，網(wǎng)絡技術的應用對高校的教學手段和教育管理體系的促進作用是巨大的。1995 年CERNET （中國教育和科研計算機網(wǎng)）建設全面啟動，全國各地的高校開

11、始建設自己的計算機校園網(wǎng)。校園網(wǎng)建設是高校建設的重要組成部分，建設高質量的局域網(wǎng)， 才能充分發(fā)揮網(wǎng)絡資源管理和應用的優(yōu)勢，進行信息交流、資源共享、科學計算和科學研究與合作。 </p><p>　　校園網(wǎng)的建設與應用，極大地豐富和完善了教育資源，拓寬了學生獲取知識的渠道，改善了教學效果，提高了學校的現(xiàn)代化管理水平，促進了教育的社會化，因此，如何進一步搞好校園網(wǎng)的建設，充分發(fā)揮校園網(wǎng)的作用，組建高性能，低成本的校園網(wǎng)

12、，是各個高校正在探索和思考的問題。</p><p>　　簡單來說，對于校園網(wǎng)：豐富的應用是關鍵，而穩(wěn)定可靠的網(wǎng)絡是基礎，完善的安全和管理手段是保障。</p><p>　　信息時代的變革與發(fā)展，帶動了整個世界的深刻變革。網(wǎng)絡、計算機技術的進步和應用軟件的提高，使計算機變的越來越容易使用，它們正被廣泛地使用，并迅速改變著人們的生活、學習、工作方式。在一個好的校園網(wǎng)里人們用計算機和網(wǎng)絡進行工作、

13、交流和學習，計算機改變了人的教學方式，同時也改變了人的學習方式。社會變的很快，我們必須跟上時代的步伐，因此在經(jīng)濟條件允許的情況下，盡快盡早的建設校園網(wǎng)好處將是顯著的和長遠的。</p><p>　?。ǘ?目前校園網(wǎng)絡現(xiàn)狀</p><p>　　與其它網(wǎng)絡一樣，校園網(wǎng)面臨的威脅大體可分為對網(wǎng)絡中數(shù)據(jù)信息的危害和對網(wǎng)絡設備的危害。具體來說，危害網(wǎng)絡安全的主要威脅有：非授權訪問，即對網(wǎng)絡設備及信息

14、資源進行非正常使用或越權使用等；冒充合法用戶，即利用各種假冒或欺騙的手段非法獲得合法用戶的使用權限，以達到占用合法用戶資源的目的；破壞數(shù)據(jù)的完整性，即使用非法手段，刪除、修改、重發(fā)某些重要信息，以干擾用戶的正常使用；干擾系統(tǒng)正常運行。</p><p>　　除此之外，Internet非法內(nèi)容也形成了對網(wǎng)絡的另一大威脅。有的是去訪問色情、暴力、反動等站點。在這樣的情況下，Internet資源被嚴重浪費。而對校園網(wǎng)來說

15、，面對形形色色、良莠不分的網(wǎng)絡資源，如不具有識別和過濾作用，不但會造成大量非法內(nèi)容或郵件出入，占用大量流量資源，造成流量堵塞、上網(wǎng)速度慢等問題，而且某些網(wǎng)站如娛樂、游戲、暴力、色情、反動消息等不良網(wǎng)絡內(nèi)容，將極大地危害青少年的身心健康，導致無法想象的后果。</p><p>　?。ㄈ?校園網(wǎng)建設的原則</p><p>　　1．整體規(guī)劃分步實施：一方面因為學校的資金情況，不能一步到位。二是依

16、據(jù)需求，不能盲目投資。</p><p>　　2．注重應用系統(tǒng)建設：計算機網(wǎng)絡要想發(fā)揮出它的作用，必須有建立在它之上的應用系統(tǒng)。這里有一個非常形象的比喻：網(wǎng)絡就象路，而應用系統(tǒng)就象車，只修路但沒車跑，路也不能發(fā)揮它的作用。這必須跟據(jù)學校的實際情況，選擇恰當?shù)膽孟到y(tǒng)。</p><p>　　3．把握當前先進性： 要將未來的可擴展性和經(jīng)濟可行性結合起來。當前計算機網(wǎng)絡技術發(fā)展很快，設備更新淘汰很

17、快。校園網(wǎng)建設應當采用當前成熟先進的技術和設備，而這些設備應有良好的擴張性，即能夠兼容未來可能的技術。</p><p>　　二、 校園網(wǎng)需求分析</p><p>　?。ㄒ唬?學校建筑現(xiàn)狀分析</p><p>　　對學校建筑的分析如圖2-1所示：</p><p>　　圖2-1 學校建筑圖</p><p>　　如圖所示學校

18、分為學生公寓區(qū)，教師公寓區(qū)，行政區(qū)，圖書館，教學區(qū)。其中學生公寓區(qū)，教師公寓區(qū)，行政區(qū)，圖書館，教學區(qū)。</p><p>　?。ǘ?學校子網(wǎng)需求劃分</p><p>　　為了提高IP地址的使用效率，引入了子網(wǎng)的概念。將一個網(wǎng)絡劃分為子網(wǎng)：采用借位的方式，從主機位最高位開始借位變?yōu)樾碌淖泳W(wǎng)位，所剩余的部分則仍為主機位。這使得IP地址的結構分為三級地址結構：網(wǎng)絡位、子網(wǎng)位和主機位。這種層次結

19、構便于IP地址分配和管理。它的使用關鍵在于選擇合適的層次結構--如何既能適應各種現(xiàn)實的物理網(wǎng)絡規(guī)模，又能充分地利用IP地址空間。子網(wǎng)的劃分主要是根據(jù)子網(wǎng)掩碼來區(qū)分的，掩碼的作用就是用來告訴電腦把“大網(wǎng)”劃分為多少個“小網(wǎng)”，以及每個子網(wǎng)中的主機數(shù)目。如表2-2所示，學校子網(wǎng)的劃分。</p><p>　　表2-2 學校子網(wǎng)的劃分表</p><p>　　（三） 學校VLAN需求劃分</

20、p><p>　　VLAN（Virtual Local Area Network）稱為虛擬局域網(wǎng)，是指在邏輯上將物理的LAN分成不同小的邏輯子網(wǎng)，每一個邏輯子網(wǎng)就是一個單獨的播域。簡單地說，就是將一個大的物理的局域網(wǎng)（LAN）在交換機上通過軟件劃分成若干個小的虛擬的局域網(wǎng)（VLAN）。因為交換機通信的原理就是要通過“廣播”來發(fā)現(xiàn)通往的目的MAC地址，以便在交換機內(nèi)部的MAC數(shù)據(jù)庫建立MAC地址表，而廣播不能跨越不同網(wǎng)段

21、。</p><p>　　VLAN技術的出現(xiàn)，使得管理員根據(jù)實際應用需求，把同一物理局域網(wǎng)內(nèi)的不同用戶邏 輯地劃分成不同的廣播域，每一個VLAN都包含一組有著相同需求的計算機工作站，與物理 上形成的LAN有著相同的屬性。由于它是從邏輯上劃分，而不是從物理上劃分，所以同一個 VLAN內(nèi)的各個工作站沒有限制在同一個物理范圍中，即這些工作站可以在不同物理LAN網(wǎng)段 。由VLAN的特點可知，一個VLAN內(nèi)部的廣播和單播流量

22、都不會轉發(fā)到其他VLAN中，從而有助于控制流量、減少設備投資、簡化網(wǎng)絡管理、提高網(wǎng)絡的安全性。 VLAN除了能將網(wǎng)絡劃 分為多個廣播域，從而有效地控制廣播風暴的發(fā)生，以及使網(wǎng)絡的拓撲結構變得非常靈活的優(yōu)點外，還可以用于控制網(wǎng)絡中不同部門、不同站點之間的互相訪問。</p><p>　　通過劃分VLAN子網(wǎng)，能劃小了廣播域，避免了數(shù)據(jù)碰撞在大的物理LAN內(nèi)產(chǎn)生嚴重后果的可能，也避免了廣播風暴的產(chǎn)生。提高交換網(wǎng)絡的交換

23、效率，保證網(wǎng)絡穩(wěn)定。提高網(wǎng)絡安全性，通過劃分VLAN，LAN被劃分不同子網(wǎng)段，因此不能直接通信。必要的通信必須經(jīng)過路由來實現(xiàn)，因此可在路由器（或三層交換機）上配置訪問列表來進行跨子網(wǎng)段的授權訪問，而提高校園內(nèi)部網(wǎng)絡訪問的安全性。</p><p>　　表2-3 學校vlan的劃分及IP的分配表</p><p>　　另外，IP地址分為公網(wǎng)地址和私網(wǎng)地址兩類，公有地址，由Inter NIC（I

24、nternet Network Information Center 因特網(wǎng)信息中心）負責。這些IP地址分配給注冊并向Inter NIC提出申請的組織機構。通過它直接訪問因特網(wǎng)。ISP分配給學校的全局IP地址地址段為: 202.106.0.3 --202.106.0.200/24.,私有地址，屬于非注冊地址，專門為組織機構內(nèi)部使用。以下列出留用的內(nèi)部私有地址</p><p>　　A類 10.0.0.0--10.2

25、55.255.255</p><p>　　B類 172.16.0.0--172.31.255.255</p><p>　　C類 192.168.0.0--192.168.255.255</p><p>　　第四節(jié) 校園網(wǎng)布線工程分析</p><p>　　因為以上的需求特點和信息點分布，結合學校的實際情況總結得到如圖2-2所示：</p&g

26、t;<p>　　圖2-2 學校信息點的分布圖</p><p>　　三、 校園網(wǎng)絡設備配置</p><p>　　本次的課題設計是在模擬軟件的基礎上實現(xiàn)的，因此此次的網(wǎng)絡設備選擇主要是依據(jù)該軟件中具有的設備。Packet Tracer 5.3 是思科公司專門為CCNA考試人員設計的一塊軟件，通過這個軟件能夠讓我們模擬出各種路由、交換協(xié)議，而且，能夠測試各種設備的工作情況。<

27、/p><p>　　（一） 交換機模塊設計</p><p>　　使用雙核心網(wǎng)絡的主要目的是實現(xiàn)冗余的連接防止單點失效，從邏輯上，大型網(wǎng)絡可分為核心層、分布層和接入層，每層都有其特點。層次化設計的優(yōu)點可以總結為如下幾點：</p><p>　　可擴展性：因為網(wǎng)絡可模塊化增長而不會遇到問題；</p><p>　　簡單性：通過將網(wǎng)絡分成許多小單元，降低了網(wǎng)

28、絡的整體復雜性，使故障排除更容易，能隔離廣播風暴的傳播、防止路由循環(huán)等潛在的問題；</p><p>　　設計的靈活性：使網(wǎng)絡容易升級到最新的技術，升級任意層次的網(wǎng)絡不會對其他層次造成影響，無需改變整個環(huán)境；</p><p>　　可管理性：層次結構使單個設備的配置的復雜性大大降低，更易管理。</p><p><b>　　一 交換機的選擇</b>&

29、lt;/p><p>　　交換機分為二層交換機和三層交換機兩種類型，其中二層交換機的工作原理是：</p><p>　?。?）當交換機從某個端口收到一個數(shù)據(jù)包，它先讀取包頭中的源MAC地址，這樣它就知道源MAC地址的機器是連在哪個端口上的； </p><p>　?。?）再去讀取包頭中的目的MAC地址，并在地址表中查找相應的端口；</p><p>　　

30、（3）如表中有與這目的MAC地址對應的端口，把數(shù)據(jù)包直接復制到這端口上；</p><p>　?。?）如表中找不到相應的端口則把數(shù)據(jù)包廣播到所有端口上，當目的機器對源機器回應時，交換機又可以學習一目的MAC地址與哪個端口對應，在下次傳送數(shù)據(jù)時就不再需要對所有端口進行廣播了。</p><p>　　不斷的循環(huán)這個過程，對于全網(wǎng)的MAC地址信息都可以學習到，二層交換機就是這樣建立和維護它自己的地址

31、表。</p><p>　　可以看出二層交換機沒有路由功能，當不同的子網(wǎng)進行通信是要借助路由器實現(xiàn)數(shù)據(jù)包的轉發(fā)，所以當子網(wǎng)數(shù)量較多時，路由器的接口數(shù)量就成了一個瓶頸，而三層交換機就能解決這一缺點。</p><p>　　三層交換機的最重要的功能是加快大型局域網(wǎng)絡內(nèi)部的數(shù)據(jù)的快速轉發(fā)，加入路由功能也是為這個目的服務的。因此具有路由功能的快速轉發(fā)的三層交換機就成為首選。</p>&l

32、t;p>　　我們選擇 CISCO 3560-24PS作為核心層交換機，這個設備有26個端口，其中有兩個端口支持1Gbps的帶寬，選擇CISCO 2950-24二層交換機作為接入層交換機，這個設備有24個接口，能夠實現(xiàn)10M/100M自適應到桌面的功能，而且，這兩款交換機都支持vlan功能。</p><p>　　二 核心層交換機的說明配置</p><p>　　核心層的功能主要是實現(xiàn)骨干

33、網(wǎng)絡之間的優(yōu)化傳輸,核心層設計任務的重點通常是冗余能力、可靠性和高速的傳輸。網(wǎng)絡的控制功能最好盡量少在核心層上實施。核心層一直被認為是所有流量的最終承受者和匯聚者，所以對核心層的設計以及網(wǎng)絡設備的要求十分嚴格。</p><p>　　核心交換機采用兩個三層交換機，該校園網(wǎng)分為7個vlan，vlan2、vlan3、vlan4分別接在核心交換機一的f0/1 、f0/2、 f0/3接口，vlan5、vlan6、vlan7

34、、vlan8分別接在核心交換機二的f0/1 、f0/2、 f0/3、f0/4接口。</p><p>　?。?）基于端口vlan的劃分這是最常應用的一種VLAN劃分方法，應用也最為廣泛、最有效，目前絕大多數(shù)VLAN協(xié)議的交換機都提供這種VLAN配置方法。這種劃分VLAN的方法是根據(jù)以太網(wǎng)交換機的交換端口來劃分的，它是將VLAN交換機上的物理端口和VLAN交換機內(nèi)部的PVC（永久虛電路）端口分成若干個組，每個組構成一

35、個虛擬網(wǎng)，相當于一個獨立的VLAN交換機。從這種劃分方法本身我們可以看出，這種劃分的方法的優(yōu)點是定義VLAN成員時非常簡單，只要將所有的端口都定義為相應的VLAN組即可。適合于任何大小的網(wǎng)絡。它的缺點是如果某用戶離開了原來的端口，到了一個新的交換機的某個端口，必須重新定義。</p><p>　　(2)端口聚合提供冗余備份鏈路，端口聚合又稱鏈路聚合，是指兩臺交換機之間在物理上將多個端口連接起來，將多條鏈路聚合成一條

36、邏輯鏈路。從而增大鏈路帶寬，解決交換網(wǎng)絡中因帶寬引起的網(wǎng)絡瓶頸問題。多條物理鏈路之間能夠相互冗余備份，其中任意一條鏈路斷開，不會影響其他鏈路的正常轉發(fā)數(shù)據(jù)。分布層提供基于統(tǒng)一策略的互連性，它是核心層和訪問層的分界點，定義了網(wǎng)絡的邊界，對數(shù)據(jù)包進行復雜的運算。在園區(qū)網(wǎng)絡環(huán)境中，分布層主要提供如下功能：</p><p><b>　　地址的聚集</b></p><p>&l

37、t;b>　　部門和工作組的接入</b></p><p>　　廣播域/多目傳輸域的定義</p><p>　　Inter VLAN路由</p><p><b>　　介質的轉換</b></p><p><b>　　安全控制</b></p><p>　　當網(wǎng)絡管理人

38、員需要管理的交換機數(shù)量眾多時，可以使用VLAN中繼協(xié)議（Vlan Trunking Protocol，VTP）簡化管理，它只需在單獨一臺交換機上定義所有VLAN。然后通過VTP協(xié)議將VLAN定義傳播到本管理域中的所有交換機上。這樣，大大減輕了網(wǎng)絡管理人員的工作負擔和工作強度。將分布層交換機學生公寓區(qū)的交換機設置成為VTP服務器，其他交換機設置成為VTP客戶機。</p><p>　　(1)訪問層交換機學生公寓區(qū)的交

39、換機作為服務器</p><p>　　(2)trunk端口</p><p>　　在最普遍的路由與交換領域，VLAN的端口聚合也有的叫TRUNK，如CISCO公司。所謂的TRUNKING是用來在不同的交換機之間進行連接，以保證在跨越多個交換機上建立的同一個VLAN的成員能夠相互通訊。其中交換機之間互聯(lián)用的端口就稱為TRUNK端口。與一般的交換機的級聯(lián)不同，TRUNKING是基于OSI第二層數(shù)據(jù)

40、鏈路層。如果你在2個交換機上分別劃分了多個VLAN.，那么分別在兩個交換機上的VLAN10和VLAN20的各自的成員如果要互通，就需要在A交換機上設為VLAN10的端口中取一個和交換機B上設為VLAN10的某個端口作級聯(lián)連接。VLAN20也是這樣。那么如果交換機上劃了10個VLAN就需要分別連10條線作級聯(lián)，端口效率就太低了。 當交換機支持TRUNKING的時候，事情就簡單了，只需要2個交換機之間有一條級聯(lián)線，并將對應的端口設置為Tru

41、nk，這條線路就可以承載交換機上所有VLAN的信息。這樣的話，就算交換機上設了上百個個VLAN也只用1個端口就解決了。如果是不同臺的交換機上相同id的vlan要相互通信，那么可以通過共享的trunk端口就可以實現(xiàn)，如果是同一臺上不同id的vlan</p><p>　　四 接入層交換機的說明配置</p><p>　　接入層是最終用戶(教師、學生) 與網(wǎng)絡的接口，它應該提供即插即用的特性，同時

42、應該非常易于使用和維護。另外，通過VTP的設置，我們可以更好的將匯聚層的vlan信息導入到接入層，只需要將不同的端口加入不同的vlan，就能夠是機器之間通信。</p><p>　　（二） 路由器模塊設計</p><p>　　路由器是內(nèi)部局域網(wǎng)和廣域網(wǎng)的分界點，主要是能夠進行數(shù)據(jù)包的轉發(fā)和路徑的選擇。另外，路由器要能夠支持不同網(wǎng)絡提供商的接入，實現(xiàn)線路的冗余，我在次課題中我選擇Cisco 1

43、841路由器。</p><p>　　一 路由協(xié)議的概念和種類</p><p>　　在大型局域網(wǎng)絡的建設中熟練掌握路由和交換技術是不可缺少的，采取什么樣的路由算法，要根據(jù)網(wǎng)絡的拓撲結構而定，路由協(xié)議工作在OSI參考模型的第3層，因此它的作用主要是在通信子網(wǎng)間路由數(shù)據(jù)包。路由器具有在網(wǎng)絡中傳遞數(shù)據(jù)時選擇最佳路徑的能力。下面簡單的介紹幾種常見的路由協(xié)議。</p><p>

44、<b>　　1.RIP協(xié)議</b></p><p>　　RIP(RoutinginformationProtocol)是應用較早、使用較普遍的內(nèi)部網(wǎng)關協(xié)議(InteriorGatewayProtocol,簡稱IGP)，適用于小型同類網(wǎng)絡，是典型的距離向量(distance-vector)協(xié)議。RIP通過廣播UDP報文來交換路由信息，每30秒發(fā)送一次路由信息更新。RIP提供跳躍計數(shù)(hopco

45、unt)作為尺度來衡量路由距離，跳躍計數(shù)是一個包到達目標所必須經(jīng)過的路由器的數(shù)目。如果到相同目標有二個不等速或不同帶寬的路由器，但跳躍計數(shù)相同，則RIP認為兩個路由是等距離的。RIP最多支持的跳數(shù)為15，即在源和目的網(wǎng)間所要經(jīng)過的最多路由器的數(shù)目為15，跳數(shù)16表示不可達。</p><p>　　2.EIGRP加強型內(nèi)部網(wǎng)關路由協(xié)議</p><p>　　EIGRP路由協(xié)議是Cisco的私有路

46、由協(xié)議,它綜合了距離矢量和鏈路狀態(tài)2者的優(yōu)點，其中包括：</p><p>　　(1)快速收斂：鏈路狀態(tài)包(Link-State Packet,LSP)的轉發(fā)是不依靠路由計算的,所以大型網(wǎng)絡可以較為快速的進行收斂.它只宣告鏈路和鏈路狀態(tài),而不宣告路由,所以即使鏈路發(fā)生了變化,不會引起該鏈路的路由被宣告.但是鏈路狀態(tài)路由協(xié)議使用的是Dijkstra算法,該算法比較復雜,并且較占CPU和內(nèi)存資源和其他路由協(xié)議單獨計算路

47、由相比,鏈路狀態(tài)路由協(xié)議采用種擴散計算(diffusingcomputations ),通過多個路由器并行的記性路由計算,這樣就可以在無環(huán)路產(chǎn)生的情況下快速的收斂.</p><p>　　(2)  減少帶寬占用:EIGRP不作周期性的更新,它只在路由的路徑和度發(fā)生變化以后做部分更新.當路徑信息改變以后,DUAL只發(fā)送那條路由信息改變了的更新,而不是發(fā)送整個路由表.和更新傳輸?shù)揭粋€區(qū)域內(nèi)的所有路由

48、器上的鏈路狀態(tài)路由協(xié)議相比,DUAL只發(fā)送更新給需要該更新信息的路由器。 在WAN低速鏈路上,EIGRP可能會占用大量帶寬,默認只占用鏈路帶寬50%,之后發(fā)布的IOS允許使用命令ip bandwidth-percent eigrp來修改這一默認值 .</p><p>　　(3)支持多種網(wǎng)絡層協(xié)議:EIGRP通過使用“協(xié)議相關模塊”(即protocol-dependentmodule<PDM>),可以支

49、持IPX,ApplleTalk,IP,IPv6和NovellNetware等協(xié)議.</p><p>　　(4)無縫連接數(shù)據(jù)鏈路層協(xié)議和拓撲結構:EIGRP不要求對OSI參考模型的層2協(xié)議做特別是配置.不像OSPF,OSPF對不同的層2協(xié)議要做不同配置,比如以太網(wǎng)和幀中繼總之,EIGRP能夠有效的工作在LAN和WAN中,而且EIGRP保證網(wǎng)絡不會產(chǎn)生環(huán)路(loop-free);而且配置起來很簡單;支持VLSM;它使

50、用多播和單播,不使用廣播,這樣做節(jié)約了帶寬。</p><p>　　3.OSPF開放最短路徑優(yōu)先路由協(xié)議</p><p>　　OSPF(Open Shortest Path First開放式最短路徑優(yōu)先)是一個內(nèi)部網(wǎng)關協(xié)議(Interior Gateway Protocol,簡稱IGP)，用于在單一自治系統(tǒng)(autonomous system,AS)內(nèi)決策路由。與RIP相對，OSPF是鏈路狀

51、態(tài)路由協(xié)議，而RIP是距離向量路由協(xié)議。</p><p>　　鏈路是路由器接口的另一種說法，因此OSPF也稱為接口狀態(tài)路由協(xié)議。OSPF通過路由器之間通告網(wǎng)絡接口的狀態(tài)來建立鏈路狀態(tài)數(shù)據(jù)庫，生成最短路徑樹，每個OSPF路由器使用這些最短路徑構造路由表。</p><p>　　OSPF路由協(xié)議是一種典型的鏈路狀態(tài)（Link-state）的路由協(xié)議，一般用于同一個路由域內(nèi)。在這里，路由域是指一個

52、自治系統(tǒng)（Autonomous System），即AS，它是指一組通過統(tǒng)一的路由政策或路由協(xié)議互相交換路由信息的網(wǎng)絡。在這個AS中，所有的OSPF路由器都維護一個相同的描述這個AS結構的數(shù)據(jù)庫，該數(shù)據(jù)庫中存放的是路由域中相應鏈路的狀態(tài)信息，OSPF路由器正是通過這個數(shù)據(jù)庫計算出其OSPF路由表的。 </p><p>　　作為一種鏈路狀態(tài)的路由協(xié)議，OSPF將鏈路狀態(tài)廣播數(shù)據(jù)包LSA（Link State Adve

53、rtisement）傳送給在某一區(qū)域內(nèi)的所有路由器，這一點與距離矢量路由協(xié)議不同。運行距離矢量路由協(xié)議的路由器是將部分或全部的路由表傳遞給與其相鄰的路由器。</p><p>　　在一個OSPF區(qū)域中只能有一個骨干區(qū)域,可以有多個非骨干區(qū)域,骨干區(qū)域的區(qū)域號為0。各非骨干區(qū)域間是不可以交換信息的，他們只有與骨干區(qū)域相連，通過骨干區(qū)域相互交換信息。非骨干區(qū)域和骨干區(qū)域之間相連的路由叫邊界路由（ABRs-Area Bo

54、rder Routers）,只有ABRs記載了各區(qū)域的所有路由表。各非骨干區(qū)域內(nèi)的非ABRs只記載了本區(qū)域內(nèi)的路由表，若要與外部區(qū)域中的路由相連，只能通過本區(qū)域的ABRs，由ABRs連到骨干區(qū)域的BR，再由骨干區(qū)域的BR連到要到達的區(qū)域。</p><p>　　骨干區(qū)域和非骨干區(qū)域的劃分，大大降低了區(qū)域內(nèi)工作路由的負擔。</p><p>　　其中，RIP和OSPF路由協(xié)議是通用的路由協(xié)議，而

55、EIGRP是cisco公司的專用協(xié)議，只有cisco公司的設備支持，因此這個協(xié)議具有局限性，在大部分局域網(wǎng)內(nèi)，因此OSPF是首選的路由協(xié)議。</p><p>　　二 管理路由器的訪問方式</p><p>　　路由器的管理方式可分為兩種:帶內(nèi)管理和帶外管理。通過路由器的Console口管理交換機屬于帶外管理，不占用交換機的網(wǎng)絡接口，特點是線纜特殊，需要近距離配置。telnet指路由器的網(wǎng)絡接

56、口，連接到網(wǎng)絡中的某臺主機。利用這臺主機進行遠程管理和配置，特點是網(wǎng)管可以進行遠程控制。</p><p>　　配置路由器遠程登錄密碼，代碼如下：</p><p>　　Router(config)#line vty 0 4</p><p>　　Router(config-line)#password dong</p><p>　　Router(

57、config-line)#login</p><p>　　配置路由器特權模式密碼：</p><p>　　Router(config)#enable password dong</p><p><b>　　三無線路由</b></p><p>　　考慮到學校無線網(wǎng)絡可能要連接室外的信息點，以實現(xiàn)全面有效的網(wǎng)絡覆蓋，因此，方案

58、中采用的是室外無線接入設備。</p><p>　　Cisco無線校園網(wǎng)的特點：</p><p>　　(1)無線室外路由器、無線AP和無線網(wǎng)卡組成了完整的無線系統(tǒng)，實施極為便利，免去布線的困難，節(jié)約用戶建設校園網(wǎng)絡環(huán)境的時間、精力和財力；</p><p>　　(2) WAP200E室外無線路由器適應性出色，使用中避免了網(wǎng)絡施工造成的環(huán)境破壞，利用無線網(wǎng)絡空中連接校園內(nèi)

59、建筑物；</p><p>　　(3)對于很多學校存在分校的現(xiàn)象予以充分考慮。產(chǎn)品的傳輸能力較強，穩(wěn)定性好，能夠方便的連接分校與本部的校園網(wǎng)絡，解決校園外地域網(wǎng)絡施工的難題；</p><p>　　(4)網(wǎng)絡的應變性好，使用靈活。能夠充分配合學校舉辦的各類臨時性或者應急性活動，根據(jù)需要迅速架設后者調整網(wǎng)絡；</p><p>　　(5)Cisco無線網(wǎng)絡產(chǎn)品提供了可靠的安

60、全保證，其全部無線網(wǎng)絡產(chǎn)品均支持WPA/WPA2加密，并可擴充至256位的AES加密算法，為無線校園網(wǎng)絡在覆蓋區(qū)域內(nèi)的全面應用提供了保障，無論是辦公，還是個人傳輸，都能夠放心應用。</p><p>　　(6)極高的網(wǎng)絡安全性，網(wǎng)絡設備支持802.1X的認證，結合校園網(wǎng)的認證計費系統(tǒng)，實現(xiàn)了校園網(wǎng)極高的安全控制策略；此外，通過IP地址、MAC地址、端口、VLAN號、用戶帳號等多元素的綁定，實現(xiàn)多種方式的用戶接入訪問

61、控制，保證用戶接入的安全</p><p>　　(7)無線局域網(wǎng)的發(fā)展為校園網(wǎng)的建設和升級換代帶來了新的選擇，通過運用無線局域網(wǎng)技術的幾種的應用方式，我們可以在校園實現(xiàn)網(wǎng)絡的覆蓋。對于我校在樓宇內(nèi)采用接入方式對辦公室、會議室、校園廣闊地進行無線網(wǎng)絡覆蓋。而對于學校兩部則通過室外網(wǎng)橋連接方式實現(xiàn)網(wǎng)絡互通。無線局域網(wǎng)作為一個有限局域網(wǎng)的補充和完善，在校園網(wǎng)建設中將會有更好的應用。我們在構建無線局域網(wǎng)時可以根據(jù)不同的需求

62、選擇不同的接入方式這將使無線局域網(wǎng)技術得到更好的應用。</p><p>　　具體的無線局域網(wǎng)的配置代碼如下：</p><p>　　ip dhcp pool wireless</p><p>　　network 192.168.0.0 255.255.255.0</p><p>　　default-router 192.168.0.1</

63、p><p>　　dns-server 192.168.8.11</p><p>　　無線路由器Internet自動獲得的IP如圖3-1所示：</p><p>　　圖3-1 無線路由器Internet自動獲得IP圖</p><p>　　無線路由器LAN的IP如圖3-2所示：</p><p>　　圖3-2 無線路由器LAN的I

64、P圖</p><p>　　查看無線局域網(wǎng)的PC機自動獲得IP的情況，如圖3-3所示:</p><p>　　圖3-3 局域網(wǎng)中PC機自動獲得的IP圖</p><p>　　四、 校園網(wǎng)服務器配置</p><p>　?。ㄒ唬?WWW服務器配置</p><p>　　WWW是建立在客戶機／服務器模型之上的。WWW是以超文本標注語

65、言HTML(Hyper Markup Language)與超文本傳輸協(xié)議HTTP(Hyper Text Transfer Protocol)為基礎。能夠提供面向Internet服務的、一致的用戶界面的信息瀏覽系統(tǒng)。其中WWW服務器采用超文本鏈路來鏈接信息頁，這些信息頁既可放置在同一主機上，也可放置在不同地理位置的主機上；本鏈路由統(tǒng)一資源定位器(URL)維持，WWW客戶端軟件(即WWW瀏覽器)負責信息顯示與向服務器發(fā)送請求。 </p

66、><p>　　Internet采用超文本和超媒體的信息組織方式，將信息的鏈接擴展到整個Internet上。目前，用戶利用WWW不僅能訪問到Web Server的信息，而且可以訪問到FTP、Telnet等網(wǎng)絡服務。因此，它已經(jīng)成為Internet 上應用最廣和最有前途的訪問工具，并在商業(yè)范圍內(nèi)日益發(fā)揮著越來越重要的作用。WWW客戶程序在Internet上被稱為WWW瀏覽器（Browser），它是用來瀏覽Internet

67、上WWW主頁的軟件。目前，最流行的瀏覽器軟件主要有Netscape communicator 和Microsoft Internet Explorer。 WWW瀏覽提供界面友好的信息查詢接口，用戶只需提出查詢要求，至于到什么地方查詢，如何查詢則由WWW自動完成。因此WWW為用戶帶來的是世界范圍的超級文本服務。用戶只要操縱鼠標，就可以通過Internet從全世界任何地方調來所需的文本、圖像、聲音等信息。WWW使得非常復雜的Internet

68、使用起來異常簡單。WWW瀏覽器不僅為用戶打開了尋找Internet上內(nèi)容豐富、形式多樣的主頁信息資源的便捷途徑，而且提供了Usenet新聞組電子郵件與FT</p><p>　　局域網(wǎng)WWW服務器的配置如圖4-1所示:</p><p>　　圖4-1 局域網(wǎng)WWW服務器配置圖</p><p>　?。ǘ?DNS服務器配置</p><p>　　DN

69、S服務器在互聯(lián)網(wǎng)的作用是：把域名轉換成為網(wǎng)絡可以識別的ip地址。首先，要知道互聯(lián)網(wǎng)的網(wǎng)站都是一臺一臺服務器的形式存在的，但是我們怎么去到要訪問的網(wǎng)站服務器呢？這就需要給每臺服務器分配IP地址，互聯(lián)網(wǎng)上的網(wǎng)站無窮多，我們不可能記住每個網(wǎng)站的IP地址，這就產(chǎn)生了方便記憶的域名管理系統(tǒng)DNS，他可以把我們輸入的好記的域名轉換為要訪問的服務器的IP地址. </p><p>　　簡單的說，就是為了方便我們?yōu)g覽互聯(lián)網(wǎng)上的網(wǎng)站

70、而不用去刻意記住每個主機的IP地址，DNS服務器就應運而生，提供將域名解析為IP的服務，從而使我們上網(wǎng)的時候能夠用簡短而好記的域名來訪問互聯(lián)網(wǎng)上的靜態(tài)IP的主機。</p><p>　　局域網(wǎng)內(nèi)DNS服務器的配置如圖4-2所示：</p><p>　　圖4-2 局域網(wǎng)DNS服務器的配置</p><p>　　五、 校園網(wǎng)絡的管理與安全</p><p&g

71、t;<b>　　（一）網(wǎng)絡管理</b></p><p>　　隨著校園網(wǎng)的不斷發(fā)展和應用，網(wǎng)絡管理和安全防范問題也越來越復雜。為此，我校專門設立了網(wǎng)絡管理中心，負責網(wǎng)絡管理系統(tǒng)的建立和應用、線路和站點的監(jiān)測、通信設備管理、全局目錄管理、用戶和文件管理及收費管理、用戶培訓等。同時，利用網(wǎng)管中心，可以方便地采取各種安全性措施，控制通信，購買硬件防火墻，即時下載系統(tǒng)漏洞，實施新的安全技術，數(shù)據(jù)備份等

72、提高網(wǎng)絡可靠和安全性能水平。</p><p>　　校園網(wǎng)管理的主要目的是保障網(wǎng)絡運行的品質，如維持網(wǎng)絡傳送速率、降低傳送錯誤率、確保網(wǎng)絡安全等。所以校園網(wǎng)系統(tǒng)管理的技術人員可借網(wǎng)絡管理工具或本身的技術經(jīng)驗實施網(wǎng)絡管理，內(nèi)容可分為下列6項：</p><p>　?。?）系統(tǒng)管理隨時掌握網(wǎng)絡內(nèi)任何設備的增減與變動，管理所有網(wǎng)絡設備的設置參數(shù)。當故障發(fā)生時，管理人員得以重設或改變網(wǎng)絡設備的參數(shù)，維

73、持網(wǎng)絡的正常運作。</p><p>　　（2）故障管理為確保網(wǎng)絡系統(tǒng)的高穩(wěn)定性，在網(wǎng)絡出現(xiàn)問題時，必須及時察覺問題的所在。它包含所有節(jié)點動作狀態(tài)、故障記錄的追蹤與檢查及平常對各種通訊協(xié)議的測試。</p><p>　　（3）效率管理在于評估網(wǎng)絡系統(tǒng)的運作，統(tǒng)計網(wǎng)絡資源的運用及各種通訊協(xié)議的傳輸量等，更可提供未來網(wǎng)絡提升或更新規(guī)劃的依據(jù)。</p><p>　?。?）安全

74、管理為防范不被授權的用戶擅自使用網(wǎng)絡資源，以及用戶蓄意破壞網(wǎng)絡系統(tǒng)的安全，要隨時做好安全措施，如合法的設備存取控制與加密等。</p><p>　?。?）計費管理了解網(wǎng)絡使用時間，能針對各個局部網(wǎng)絡做使用統(tǒng)計。一則可作為使用網(wǎng)絡計費的依據(jù)，更可作為日后網(wǎng)絡升級或更新規(guī)劃的參考。</p><p>　?。?）信息管理網(wǎng)絡上的信息分成兩部分，一是由管理員放置的信息，它們的品質一般較高；另一部分是由

75、用戶放置的，可能會有一些問題，要對這部分信息進行管理。</p><p><b>　　（7）人員培訓</b></p><p>　　要真正提高校園網(wǎng)的應用水平，就必須堅持不懈地在教學和學習中應用網(wǎng)絡，以切實提高教學水平、管理水平和學習水平，其中加強對相關人員的培訓十分必要。為此我校正舉辦網(wǎng)絡技術培訓班，對校園網(wǎng)的四類實用人員，即學校領導、系統(tǒng)維護人員、課件制作人員和應用系

76、統(tǒng)使用人員，分期分批進行網(wǎng)絡培訓，以提高全體師生的網(wǎng)絡應用水平，并促進校園網(wǎng)的健康發(fā)展。</p><p><b>　?。ǘ?網(wǎng)絡安全</b></p><p>　　主機安全技術：加強網(wǎng)絡上結點計算機的安全，包括：系統(tǒng)防火墻的規(guī)則設置、更新。系統(tǒng)漏洞補丁升級更新，在人們的潛意識里增加安全防范意識等等。</p><p>　　身份認證技術：身份驗證技

77、術可以阻止或減少由于非法用戶的登陸對系統(tǒng)的惡意或非法操作。在用戶訪問服務器上任何信息之前，可以要求用戶提供有效的 Microsoft Windows用戶帳戶、用戶名和密碼。該標識過程稱為“身份驗證”?？梢栽诰W(wǎng)站或FTP站點、目錄或文件級別設置身份驗證?？梢允褂肐nternet信息服務（IIS提供的）身份驗證方法來控制對網(wǎng)站和FTP站點的訪問。（包括下列信息：網(wǎng)站驗證：介紹符合您驗證用戶網(wǎng)站訪問要求的身份驗證方法。FTP站點身份驗證：介

78、紹符合您驗證用戶FTP站點訪問要求的身份驗證方法。）</p><p>　　訪問控制技術：對信息的權限的控制，阻止了非授權用戶進行的信息的瀏覽，修改甚至破壞。適當?shù)乜刂茖eb和FTP內(nèi)容的訪問是安全運行Web服務器的關鍵。使用 Windows和IIS中的安全功能，您可以有效地控制用戶訪問您Web和FTP內(nèi)容的方式?？梢钥刂贫嗉壴L問，從整個網(wǎng)站和FTP站點到單獨的文件。每個帳戶均被授予用戶特權和權限。用戶特權是指在

79、計算機或網(wǎng)絡上執(zhí)行特定操作的權力。權限是與對象（如文件或文件夾）關聯(lián)的規(guī)則，用于控制哪些帳戶可以獲得對象的訪問權限。</p><p>　　防火墻技術：要主的技術有數(shù)據(jù)包過濾技術、應用網(wǎng)關和代理服務等；防火墻體系結構在網(wǎng)絡中的設置應用。例如屏蔽子網(wǎng)型防火墻。它是由兩個包過濾路由器和兩個堡壘機組成。堡壘主機和服務器放置在一個處于內(nèi)外網(wǎng)的小型網(wǎng)絡（Dmz 安全區(qū)）中。連接外網(wǎng)的包過濾路由器主要用來防止外網(wǎng)的攻擊。并管理

80、外網(wǎng)對dmz的訪問。第二給個包過濾路由器是它置接受源于堡壘主機的數(shù)據(jù)，負責管理Ｄmz和內(nèi)網(wǎng)之間的訪問。這樣對外網(wǎng)，內(nèi)部網(wǎng)是不可見的。同理對于內(nèi)網(wǎng)外網(wǎng)是不可見的，內(nèi)網(wǎng)眼通過代理服務才能訪問外網(wǎng)。對于入侵者必須通過外部路由器和堡壘主機，內(nèi)部路由器才能入侵到內(nèi)網(wǎng)中。到目前可以認為是最安全的。</p><p>　　安全審計技術：安全策略的訂制和授權信息的驗證技術是該技術的重點部分?？梢允褂冒踩珜徍思夹g跟蹤用戶活動并檢測對

81、NTFS目錄和文件的未經(jīng)授權的訪問。（可供審核的活動包括：用戶成功和失敗的登錄。用戶試圖訪問受到限制的帳戶。用戶試圖執(zhí)行受到限制的命令。）</p><p><b>　　一 NAT</b></p><p>　　網(wǎng)絡地址轉換(NAT,Network Address Translation)被廣泛應用于各種類型Internet接入方式和各種類型的網(wǎng)絡中。原因很簡單，NAT不

82、僅完美地解決了lP地址不足的問題，而且還能夠有效地避免來自網(wǎng)絡外部的攻擊，隱藏并保護網(wǎng)絡內(nèi)部的計算機。雖然NAT可以借助于某些代理服務器來實現(xiàn)，但考慮到運算成本和網(wǎng)絡性能，很多時候都是在路由器上來實現(xiàn)的。 </p><p>　　隨著接入Internet的計算機數(shù)量的不斷猛增，IP地址資源也就愈加顯得捉襟見肘。事實上，除了中國教育和科研計算機網(wǎng)(CERNET)外，一般用戶幾乎申請不到整段的C類IP地址。在其他ISP

83、那里，即使是擁有幾百臺計算機的大型局域網(wǎng)用戶，當他們申請IP地址時，所分配的地址也不過只有幾個或十幾個IP地址。顯然，這樣少的IP地址根本無法滿足網(wǎng)絡用戶的需求，于是也就產(chǎn)生了NAT技術。</p><p>　　NAT的實現(xiàn)方式有三種，即靜態(tài)轉換Static Nat、動態(tài)轉換Dynamic Nat 和 端口多路復用OverLoad。</p><p>　　靜態(tài)轉換是指將內(nèi)部網(wǎng)絡的私有IP地址轉

84、換為公有IP地址，IP地址對是一對一的，是一成不變的，某個私有IP地址只轉換為某個公有IP地址。借助于靜態(tài)轉換，可以實現(xiàn)外部網(wǎng)絡對內(nèi)部網(wǎng)絡中某些特定設備(如服務器)的訪問。</p><p>　　動態(tài)轉換是指將內(nèi)部網(wǎng)絡的私有IP地址轉換為公用IP地址時，IP地址對是不確定的，而是隨機的，所有被授權訪問上Internet的私有IP地址可隨機轉換為任何指定的合法IP地址。也就是說，只要指定哪些內(nèi)部地址可以進行轉換，以及

85、用哪些合法地址作為外部地址時，就可以進行動態(tài)轉換。動態(tài)轉換可以使用多個合法外部地址集。當ISP提供的合法IP地址略少于網(wǎng)絡內(nèi)部的計算機數(shù)量時?？梢圆捎脛討B(tài)轉換的方式。</p><p>　　端口多路復用(Port address Translation,PAT)是指改變外出數(shù)據(jù)包的源端口并進行端口轉換，即端口地址轉換(PAT，Port Address Translation).采用端口多路復用方式。內(nèi)部網(wǎng)絡的所有主

86、機均可共享一個合法外部IP地址實現(xiàn)對Internet的訪問，從而可以最大限度地節(jié)約IP地址資源。同時，又可隱藏網(wǎng)絡內(nèi)部的所有主機，有效避免來自internet的攻擊。因此，目前網(wǎng)絡中應用最多的就是端口多路復用方式。</p><p>　　(1)外網(wǎng)主機訪問內(nèi)網(wǎng)服務器,采用的是靜態(tài)轉換。具體代碼如下：</p><p>　　ip nat inside source static 192.168.

87、8.10 202.106.0.20</p><p>　　(2)實現(xiàn)局域網(wǎng)訪問互聯(lián)網(wǎng)，采用的是端口復用動態(tài)地址轉換，當內(nèi)部多個私有ip地址對應外部很少的公網(wǎng)地址時所使用的，它可以根據(jù)端口的不同來區(qū)分不同的服務和對應的內(nèi)部地址。在這次的課題設計中局域網(wǎng)訪問外網(wǎng)就是采用這種技術，具體代碼如下：</p><p>　　Router(config)#int f 0/1</p><p

88、>　　Router(config-if)#ip nat inside</p><p>　　Router(config-if)#exit</p><p>　　Router(config)#int s 0/1/0</p><p>　　Router(config-if)#ip nat outside</p><p>　　Router(conf

89、ig-if)#exit</p><p>　　Router(config)#ip nat pool test 202.106.0.3 202.106.0.200 netmask 255.255.255.0</p><p>　　Router(config)#access-list 10 permit 172.16.0.0 0.0.255.255</p><p>　　Ro

90、uter(config)#access-list 10 permit 172.17.0.0 0.0.255.255</p><p>　　Router(config)#access-list 10 permit 192.168.4.0 0.0.0.255</p><p>　　Router(config)#access-list 10 permit 192.168.5.0 0.0.0.255&

91、lt;/p><p>　　Router(config)#access-list 10 permit 172.18.0.0 0.0.255.255</p><p>　　Router(config)#access-list 10 permit 192.168.7.0 0.0.0.255</p><p>　　Router(config)#access-list 10 permi

92、t 192.168.8.0 0.0.0.255</p><p>　　Router(config)#access-list 10 permit 172.19.0.0 0.0.255.255</p><p>　　Router(config)#access-list 10 permit 172.20.0.0 0.0.255.255</p><p>　　Router(con

93、fig)#access-list 10 permit 192.168.0.0 0.0.0.255</p><p>　　Router(config)#ip nat inside source list 10 pool test overload</p><p><b>　　二 ACL</b></p><p>　　訪問控制列表（Access Con

94、trol List，ACL） 是路由器和交換機接口的指令列表，用來控制端口進出的數(shù)據(jù)包。ACL適用于所有的被路由協(xié)議，如IP、IPX、AppleTalk等。這張表中包含了匹配關系、條件和查詢語句，表只是一個框架結構，其目的是為了對某種訪問進行控制。 </p><p>　　信息點間通信，內(nèi)外網(wǎng)絡的通信都是企業(yè)網(wǎng)絡中必不可少的業(yè)務需求，但是為了保證內(nèi)網(wǎng)的安全性，需要通過安全策略來保障非授權用戶只能訪問特定的網(wǎng)絡資源，

95、從而達到對訪問進行控制的目的。簡而言之，ACL可以過濾網(wǎng)絡中的流量，控制訪問的一種網(wǎng)絡技術手段。ACL技術用在了核心交換機的SW0上面，不允許學生公寓區(qū)訪問行政區(qū)，其它的都可以，具體配置如下：</p><p>　　interface Vlan4</p><p>　　ip address 192.168.4.1 255.255.255.0</p><p>　　ip a

96、ccess-group 100 out</p><p>　　access-list 100 deny ip 172.16.0.0 0.0.255.255 192.168.4.0 0.0.0.255</p><p>　　access-list 100 permit ip any any</p><p><b>　　六、網(wǎng)絡系統(tǒng)的測試</b><

97、;/p><p>　　前面幾個章節(jié)中，我們對如何設計一個較為完整的校園網(wǎng)網(wǎng)絡進行了詳細的介紹。當校園網(wǎng)初具規(guī)模后，還應該對校園網(wǎng)的整體運行情況做一下細致的測試和評估。</p><p>　　在這里我們通過ping、tracert、arp等網(wǎng)絡命令，來觀察機器的連通性和數(shù)據(jù)包的轉發(fā)路徑。為了說明問題，我們就用一個機器192.168.5.10作為代表來進行測設。</p><p>

98、;　　1.測試不同vlan之間的通信，如圖6-1所示。</p><p>　　圖6-1 測試不同vlan之間的通信圖</p><p>　　通過測試我們可以清晰的看到，不同的vlan之間的數(shù)據(jù)包轉發(fā)是沒有問題的。</p><p>　　2.測試到服務器所走的路徑，如圖6-2所示。</p><p>　　圖6-2測試到服務器所走的路徑圖</p&g

99、t;<p>　　3.測試DNS解析是否正常，如圖6-3所示</p><p>　　圖6-3 測試DNS的解析圖</p><p>　　通過測試證明DNS解析正常。</p><p>　　4.測試NAT網(wǎng)絡地址轉換是否正常，如圖6-4所示。</p><p>　　圖6-4測試內(nèi)網(wǎng)主機訪問外網(wǎng)WWW服務器圖</p><p

100、>　　圖6-5測試外網(wǎng)主機訪問內(nèi)網(wǎng)WWW服務器圖</p><p>　　5.測試ACL是否正確</p><p>　　用學生公寓區(qū)的一臺IP地址為172.16.34.10 ，行政區(qū)PC的IP為192.168.5.88分別訪問財務處192.168.4.10，如下圖所示：</p><p>　　圖6-6 學生公寓區(qū)訪問行政區(qū)圖</p><p>　

101、　圖6-7 辦公區(qū)訪問行政區(qū)圖</p><p>　　經(jīng)過用不同的協(xié)議和路徑的測試，我們發(fā)現(xiàn)，這次的網(wǎng)絡設計是正常的，但是這僅僅是基本的構架，如果要設計出較完善的網(wǎng)絡，還需要更加詳細的配置。</p><p>　　七、結論及尚存在的問題</p><p>　　一個設計方案的好壞，特別是校園組網(wǎng)。與設計人員對其電腦硬件和設備的方方面面地掌握程度息息相關。在本組網(wǎng)過程中，由于

102、本人對網(wǎng)絡知識的掌握有限，又是完全獨立完成，可以說整個的組網(wǎng)過程是一邊摸索一邊實踐出來的。但令人高興的是，通過這樣一個邊學習邊應用的過程，本人完成了校園網(wǎng)的組網(wǎng)的規(guī)劃工作。本人考慮到可行性因素，在寫這篇論文中，在網(wǎng)絡中搜索了大量的資料和閱讀了大量的書籍資料，考慮了方面齊全，收獲也甚多。</p><p>　　但總的來說，該方案仍然存在許多不足之處。如：受開發(fā)條件和時間的限制，本方案校園網(wǎng)絡的組建模式較簡單，涉及的內(nèi)

103、容深度和一些細節(jié)的東西也許欠缺。對網(wǎng)絡安全方面考慮較少，尤其是局域網(wǎng)的安全性，本人專業(yè)能力的有限。只是粗略的涉及。</p><p>　　這些都是需要完善的地方，該組網(wǎng)離實際還是有相當?shù)木嚯x，需要改進，需要不斷地補充和完善。通過本次畢業(yè)設計我學到了不少新的東西，也發(fā)現(xiàn)了大量的問題，有些在設計過程中已經(jīng)解決，有些還有待今后慢慢學習，如防火墻的配置和設置方面，網(wǎng)絡安全方面。總的來說，只要學習就會有更多的問題，有更多的難

104、點，但也會有更多的收獲。</p><p><b>　　八 致謝</b></p><p>　　本論文的完成歷經(jīng)多個月的時間，經(jīng)過查找資料、定題目、擬提綱及反復修改、最終定稿，本篇論文終于如期完成。</p><p>　　在本論文的研究和完成過程中，首先要感謝我的導師老師的耐心輔導。從選題開始，到確定題目、擬定綱要、完成初稿、最終定稿，老師給予了重要

105、指導意見，老師的嚴格要求及嚴謹?shù)闹螌W態(tài)度也讓自己在論文寫作過程中收獲頗豐。自己性情有些閑散，而老師的嚴格要求讓自己自律許多，讓自己能夠積極而又嚴肅的完成論文寫作，感謝老師的細心指導和幫助。同時也感謝在大學三年的學習中，各位任課老師對我的關懷和幫助，眾位老師的鼓勵和期冀給了自己很多的信心。</p><p><b>　　參考文獻：</b></p><p>　　[1] 斯桃

106、枝. 局域網(wǎng)技術與局域網(wǎng)組建.北京:人民郵電出版社，2009-4.</p><p>　　[2] 思科網(wǎng)絡技術教程（CCNA Discovery：）北京：人民郵電出版社，2010-7</p><p>　　[3] 楊威 賈祥福 楊陟卓. 局域網(wǎng)組建、管理與維護.北京:人民郵電出版社，2009-2.</p><p>　　[4] 張暉 楊云. 計算機網(wǎng)絡實訓教程.北京:人民

107、郵電出版社，2008-11.</p><p>　　[5] 張基溫. 計算機網(wǎng)絡技術（第2版）.北京:高等教育出版社，2008-9.</p><p>　　[6] 杜煜 姚鴻 計算機網(wǎng)絡基礎 人民郵電出版社，2001</p><p>　　[7] 吳獻文 計算機網(wǎng)絡安全基礎與技能訓練 西安電子科技大學出版社，2008</p><p>　　[8] 張