網(wǎng)絡工程課程設計--- 校園網(wǎng)內(nèi)網(wǎng)設計

1、<p><b>　　信息與電氣工程學院</b></p><p><b>　　課程設計說明書</b></p><p>　?。?011/2012學年第二學期）</p><p>　　課程名稱 ： 網(wǎng)絡工程課程設計</p><p>　　題 目 ： 校園網(wǎng)內(nèi)網(wǎng)設計</p>

2、<p>　　專業(yè)班級 ： 　</p><p>　　組 長 ： 　　</p><p>　　組 員： </p><p>　　指導教師 ： </p><p>　　設計周數(shù) ：2周</p><p>　　設計成績 ：

3、</p><p>　　2012年 6 月 14 日 </p><p><b>　　網(wǎng)絡工程項目設計</b></p><p><b>　　一、前言</b></p><p>　　隨著學校教育手段的現(xiàn)代化，很多學校已經(jīng)逐漸開始將學校的管理和教學過程向電子化方向發(fā)展，校園網(wǎng)的有無以及水平的高

4、低也將成為評價學校及學生選擇學校的新的標準之一，此時，校園網(wǎng)上的應用系統(tǒng)就顯得尤為重要。一方面，學生可以通過它在促進學習的同時掌握豐富的計算機及網(wǎng)絡信息知識，毫無疑問，這是學生綜合素質(zhì)中極為重要的一部分；另一方面，基于先進的網(wǎng)絡平臺和其上的應用系統(tǒng)，將極大的促進學校教育的現(xiàn)代化進程，實現(xiàn)高水平的教學和管理。</p><p>　　現(xiàn)代辦學條件的學校必須建立完善的服務于教育教學的計算機校園網(wǎng)、信息庫。校園網(wǎng)為學校的教

5、學、管理、辦公、信息交流和通訊等提供綜合的網(wǎng)絡環(huán)境。校園網(wǎng)的使用，使學校的教育、教學研究和管理工作跨上一個新臺階，我們可以充分利用現(xiàn)有計算機資源，實現(xiàn)信息交流和軟硬件資源的共享，實現(xiàn)學校辦公、管理、教學的現(xiàn)代化。</p><p>　　校園網(wǎng)是當今信息社會發(fā)展的必然趨勢。它是以現(xiàn)代網(wǎng)絡技術、多媒體技術及Internet技術等為基礎建立起來的計算機網(wǎng)絡，一方面連接學校內(nèi)部子網(wǎng)和分散于校園各處的計算機，另一方面作為溝通

6、校園內(nèi)外部網(wǎng)絡的橋梁。校園網(wǎng)為學校的教學、管理、辦公、信息交流和通信等提供綜合的網(wǎng)絡應用環(huán)境。要特別強調(diào)的是，不能把校園網(wǎng)簡單的理解為一個物理意義上的由一大堆設備組成的計算機硬件網(wǎng)絡，而應該把校園網(wǎng)理解為學校信息化、現(xiàn)代化的基礎設施和教育生產(chǎn)力的勞動工具，是為學校的教學、管理、辦公、信息交流和通信等服務的。要實現(xiàn)這一點，校園網(wǎng)必須有大量先進實用的應用軟件來支撐，軟硬件的充分結合是校園網(wǎng)發(fā)揮作用的前提。</p><p&

7、gt;　　一個好的校園網(wǎng)，安全問題是至關重要的。隨著互聯(lián)網(wǎng)的飛速發(fā)展，網(wǎng)絡安全逐漸成為一個潛在的巨大問題。網(wǎng)絡安全性是一個涉及面很廣泛的問題，其中也會涉及到是否構成犯罪行為的問題。在其最簡單的形式中，它主要關心的是確保無關人員不能讀取，更不能修改傳送給其他接收者的信息。此時，它關心的對象是那些無權使用，但卻試圖獲得遠程服務的人。安全性也處理合法消息被截獲和重播的問題，以及發(fā)送者是否曾發(fā)送過該條消息的問題。</p><

8、p><b>　　二、需求分析</b></p><p><b>　　1、工作目標</b></p><p>　　某大學具有14個二級學院，分別位于同一城市的4個校區(qū)中，其中大學與4個二級學院在一個校區(qū)（校區(qū)1），另外6個二級學院位于一個校區(qū)（校區(qū)2），而其他4個學院分別位于校區(qū)3和校區(qū)4。每個學院都擁有1500臺PC。建筑物數(shù)量各同學自己確定（

9、一般包括行政樓、圖書館、教學樓、學生宿舍、教工宿舍、體育館、學生活動中心、飯?zhí)谩⑸虡I(yè)街、大講堂等）。師生員工數(shù)目前20000人，規(guī)劃人數(shù)30000人。</p><p>　　大學已從中國教育科研網(wǎng)（CERNET）有關機構申請了IPv4地址塊58.193.144.0/20；申請的帶寬是500M，光纖接入。萬兆以太網(wǎng)作為整個核心層、千兆構成匯聚層的主干、百兆到LAN/主機構成了接入層。</p><p

10、>　　大學向因特網(wǎng)發(fā)布信息并為全校提供有關的信息化服務，每個學院也自行向因特網(wǎng)發(fā)布學院信息并負責學院自己的信息服務。</p><p>　　大學下設各行政部門：學校辦公室、教務處和學工部。各學院都有自己的行政部門：學院辦公室、教學辦和學工辦。其中相關部門之間聯(lián)系較多，試設計大學與學院、學院與學院之間的網(wǎng)絡設計。</p><p><b>　　2、功能需求</b>&l

11、t;/p><p>　　設計一個大學校園網(wǎng)內(nèi)部的網(wǎng)絡設計，應充分考慮各部門之間的可達性和安全性，使用VLAN進行劃分?？紤]地址分配中聚合的問題及冗余的規(guī)劃。在此基礎上建設能滿足教學、科研和管理工作需要的軟硬件環(huán)境，開發(fā)建設各類教學資源庫與應用系統(tǒng)，為教師、學生及家長提供充分的網(wǎng)絡信息服務。</p><p>　　校園網(wǎng)在信息服務與應用方面應滿足以下幾個方面的需求：</p><p

12、>　　1. 學校主頁。學校應建立獨立的WWW服務器，在網(wǎng)上提高學校主頁等服務，包括校情簡介、學校新聞、校報（電子報）、招生信息以及校內(nèi)電話號碼和電子郵件地址查詢等。</p><p>　　2. 文件傳輸服務。考慮到師生之間共享軟件，校園網(wǎng)應提供文件傳輸服務（ftp）。文件傳輸服務器上存放各種各樣自由軟件和驅(qū)動程序，師生可以根據(jù)自己需要隨時下載并把它們安裝在本機上。</p><p>　　

13、3. 校園網(wǎng)站建設（WWW、FTP、E-mail、DNS、PROXY代理、撥入訪問、流量計費等）；</p><p>　　4. 多媒體輔助點播教學兼遠程教學：校園網(wǎng)要求具有數(shù)據(jù)、圖像、語音等多媒體實時通訊能力；并在主干網(wǎng)上提供足夠的帶寬和可保證的服務質(zhì)量，滿足大量用戶對帶寬的基本需要，并保留一定的余量供突發(fā)的數(shù)據(jù)傳輸使用，最大可能地降低網(wǎng)絡傳輸?shù)难舆t。</p><p>　　5. 校園辦公管理

14、:包括電子公文傳遞、電子公文管理、電子郵件、郵件收發(fā)等無紙辦公自動化功能。</p><p>　　6. 每個學院也自行向因特網(wǎng)發(fā)布學院信息并負責學院自己的信息服務。</p><p>　　7. 學校教務管理；對各部門的管理和通信: 學校辦公室對各學院部門的管理、教務處對下屬部門的管理；</p><p>　　8. 校園通卡應用；一卡通系統(tǒng)的網(wǎng)絡布置。</p>

15、<p>　　9. 網(wǎng)絡安全FIREWALL：保證校園網(wǎng)的安全性。</p><p>　　10. 圖書管理、電子閱覽室；</p><p>　　11. 上網(wǎng)需求：宿舍、教室的網(wǎng)絡布置、應滿足上網(wǎng)的穩(wěn)定性和高速性。</p><p>　　12. 學校信息網(wǎng)絡系統(tǒng)要保證實用和技術先進，便于非計算機專業(yè)人員使用，并能不斷滿足學校未來業(yè)務發(fā)展的需要，具有很強的擴展能力。

16、</p><p><b>　　3、 網(wǎng)絡性能需求</b></p><p>　　性能需求：有服務效率、服務質(zhì)量、網(wǎng)絡吞吐率、網(wǎng)絡響應時間、數(shù)據(jù)傳輸速度、資源利用率、可靠性、性能/價格比等；</p><p>　　根據(jù)本工程的特殊性，語音點和數(shù)據(jù)點使用相同的傳輸介質(zhì)，即統(tǒng)一使用超5類4對雙絞電纜，以實現(xiàn)語音、數(shù)據(jù)相互備份的需要；</p>

17、<p>　　對于網(wǎng)絡主干，數(shù)據(jù)通信介質(zhì)全部使用光纖；光纜和大對數(shù)電纜均留有余量；對于其他系統(tǒng)數(shù)據(jù)傳輸，可采用超5類雙絞線或?qū)Ｓ镁€纜。</p><p><b>　　三、邏輯網(wǎng)絡設計</b></p><p><b>　　1、總體網(wǎng)絡設計</b></p><p>　　考慮電信網(wǎng)絡及其收費情況，使用幀中繼鏈路作為主校區(qū)

18、與各個分校區(qū)互聯(lián)的主鏈路，使用ISDN撥號鏈路作為其備份鏈路。在路由的選擇上，為了盡量提高可靠性，獨立使用一臺路由器接入Internet，對科教網(wǎng)與主校區(qū)DDN、幀中繼的鏈接使用另一臺路由器，ISDN備份線路的接入使用第三臺路由器。這樣的好處是安全性較高，對于最不安全的Internet進行獨立接入，并通過防火墻進行內(nèi)外網(wǎng)之間的隔離；其次是系統(tǒng)可靠性高，當DDN或幀中繼線路出現(xiàn)問題是，ISDN撥號線路自動啟動，使網(wǎng)絡連接不會被中斷，而且即

19、使主校路由器出現(xiàn)故障時，網(wǎng)絡連接依然不會被中斷。</p><p>　　在設備型號選擇上可以有多種搭配，，可以考慮使用一臺Cisco 2620XM接入Internet，另一臺Cisco 2620XM作為撥號訪問服務器，配置一臺Cisco 3662-AC作為接入DDN和幀中繼的路由器。分小段可以選用帶有兩個快速以太網(wǎng)接口的Cisco2621XM路由器。處于對未來擴展接入能力方面的考慮，每臺設備都留有相應的未被使用的插

20、槽。此設計如上圖所示。</p><p>　　在主校區(qū)網(wǎng)域設備中，設備選擇如下。</p><p>　　選一臺Cisco3662-AC路由器，加配一個NM-4T，用兩根CAB-V35MT分別連接幀中繼和DDN，加配一個PWR-3660-AC。</p><p>　　Internet接入路由器選用Cisco2620XM,加配一個WIC-1T，用一根CAB-V35MT連接DD

21、N。</p><p>　　遠程訪問備份路由器Cisco2620XM，加配一個NM-8B-S/T用于連接ISDN接入。</p><p>　　在分校區(qū)網(wǎng)域設備中設備類型為：分校接入路由器選用Cisco2621加配一個WIT-2T，用一根CAB-SS-V35MT連接幀中繼，一個WIC-B1-S/T用于撥號和租用線。這些設備每個分校區(qū)一套。</p><p>　　防火墻的選型

22、采用華堂HT2100</p><p>　　該廣域網(wǎng)設備特點如下：</p><p>　　·遠程訪問服務器（ISDN撥號）由單獨的路由器來實現(xiàn)，提高了可用性、容錯性和安全性；</p><p>　　·Cisco3662路由器的配置中選擇了雙電源模塊，這是核心設備常用的配置方法。</p><p>　　·ISDN模塊和接口

23、卡選擇了S/T接口，這是因為國內(nèi)通常由電信運營商提供NT設備。</p><p>　　·對于分校路由器，選擇了Cisco2621XM機型，它有兩塊快速以太網(wǎng)接口，可用于連接局域網(wǎng)內(nèi)的兩個網(wǎng)段，便于以后對系統(tǒng)進行擴展；同時，配置了兩端的串行廣域網(wǎng)接口卡，為將來接入更多的廣域網(wǎng)鏈路留出一個接口；</p><p>　　·在V3.5線纜的配置上，注意分校路由器與主校區(qū)路由器的不同

24、，分校區(qū)選配的是SS型的線纜，這是與其串行廣域網(wǎng)接口卡相匹配的線纜類型。</p><p><b>　　2、校區(qū)設計</b></p><p>　　如上與所示，在教學樓中，每層組建一個虛擬局域網(wǎng)，連接到一臺兩層的交換機上，每棟教學樓再上連到匯聚層交換機上。在機房中，每個機房組成一個局域網(wǎng)連接到一套交換機上，每個機房再連接到匯聚成交換機上。在學生宿舍每層組建一個虛擬局域網(wǎng)，

25、連接到一臺二層交換機上。每棟學生宿舍再連到匯聚層交換機上。行政樓按不同的科室組建虛擬局域網(wǎng)，上聯(lián)到核心交換機上。圖書館按不同的電子閱覽室組建虛擬局域網(wǎng)，連接到核心交換機上。</p><p><b>　　3、IP分配</b></p><p>　　大學已從中國教育科研網(wǎng)（CERNET）有關機構申請了IPv4地址塊58.193.144.0/20，現(xiàn)根據(jù)校區(qū)和學院進行綜合性劃

26、分，如下：</p><p>　　4、大學與各校區(qū)、學院的通信</p><p>　　由于大學的各個校區(qū)之間通常相距較遠，到校園網(wǎng)網(wǎng)絡建設不可能為各個校區(qū)之間單獨搭建線纜。因此，各個校區(qū)之間的通信實際上是依賴幀中繼技術實現(xiàn)的。</p><p>　　幀中繼的帶寬控制技術既是幀中繼技術的特點更是幀中繼技術的優(yōu)點。幀中繼的帶寬控制通過CIR（承諾的信息速率）、Bc（承諾的突發(fā)

27、大?。┖虰e（超過的突發(fā)大小）3個參數(shù)設定完成。Tc（承諾時間間隔）和EIR（超過的信息速率）與此3個參數(shù)的關系是：Tc=Bc/CIR；EIR=Be/Tc。在傳統(tǒng)的數(shù)據(jù)通信業(yè)務中用戶申請了一條64K的電路，那么他只能以64kbit/s的速率來傳送數(shù)據(jù)；而在幀中繼技術中，用戶向幀中繼業(yè)務運營商申請的是承諾的信息速率（CIR），而實際使用過程中用戶可以以高于CIR的速率發(fā)送數(shù)據(jù)，卻不必承擔額外的費用。</p><p>

28、;　　幀中繼是使用光纖作為傳輸介質(zhì)，因此誤碼率極低，能實現(xiàn)近似無差錯傳輸，減少了進行差錯校驗的開銷，提高了網(wǎng)絡的吞吐量；幀中繼是一種寬帶分組交換，使用復用技術時，其傳輸速率可高達44.6Mbps。但是，幀中繼不適合于傳輸諸如話音、電視等實時信息，它僅限于傳輸數(shù)據(jù)。幀中繼是一個接口規(guī)范，它定義了信息如何封裝，然后如何通過網(wǎng)絡傳送到目的地。因此它并不對應于某種特定的設備。幀中繼接口可以在多種設備上實現(xiàn)。對于幀中繼特別有價值的一點在于，它并不

29、需要投入很多資金，通過對現(xiàn)有設備進行升級就可以實現(xiàn)，因此非常經(jīng)濟。幀中繼接口接收本地數(shù)據(jù)流，而不管它們用的是什么協(xié)議然后將數(shù)據(jù)封裝進幀中繼數(shù)據(jù)包中。幀中繼使用交換機可以支持的D信道鏈路接入?yún)f(xié)議（LAPD）來封裝本地數(shù)據(jù)。幀中繼是一種用于連接計算機系統(tǒng)的面向分組的通信方法。它主要用在公共或?qū)Ｓ镁W(wǎng)上的局域網(wǎng)互聯(lián)以及廣域網(wǎng)連接。大多數(shù)公共電信局都提供幀中繼服務，把它作為建立高性能的虛擬廣域連接的一種途徑。幀中繼是進入帶寬范圍從56Kbps到1

30、．544Mbps的廣域分組交換網(wǎng)的用戶接口。</p><p>　　與幀中繼網(wǎng)相連，需要一個路由器和一條從用戶場地到交換局幀中繼入口的線路。這種線路一般是象T1那樣的租用數(shù)字線路，但取決于通信量而定。兩種可能的廣域連接方法，如下面所述：專用網(wǎng)方法在這種方法中，每個場點將需要三條專用（租用）線路和相聯(lián)的路由器，以便與其它每一個場點相連，這樣總共需要6條專線和12個路由器。幀中繼方法在這種公共網(wǎng)方法中，每個場點僅需要一

31、條專用（租用）線路和相聯(lián)的路由器直至幀中繼網(wǎng)。這時，在其它網(wǎng)間的交換是在幀中繼網(wǎng)內(nèi)處理的。來自多個用戶的分組被多路復用到一條連到幀中繼網(wǎng)上的線路，通過幀中繼網(wǎng)它們被送到一個或多個目的站。永久虛電路（PVC）是通過幀中繼網(wǎng)連接兩個端節(jié)點的預先確定的通路。幀中繼服務的提供者根據(jù)客戶的要求，在兩個指定的節(jié)點間分配PVC。這些信道保持連續(xù)不間斷地運行，并且保證提供一種客戶洽商好了的指定級別的服務。</p><p>　　在

32、幀中繼中，中間節(jié)點（交換器）僅僅沿著預定的通路中繼幀。在X．25中，中間節(jié)點必須完整地接收每一個分組，并在轉(zhuǎn)發(fā)之前進行檢錯，如果有錯誤發(fā)生，節(jié)點要求發(fā)送方重傳。使用這種方法，一旦分組丟失，發(fā)送方就盡快地重發(fā)一個分組。在X．25中每個中間節(jié)點使用狀態(tài)表來處理管理、流控和檢錯，而在幀中繼中是不需要的。如果一個分組由于幀中繼網(wǎng)的擁塞而被破壞或丟失，檢測幀丟失和請求重發(fā)是接收系統(tǒng)的工作。幀中繼網(wǎng)把自己的所有精力都用來傳遞分組。在子網(wǎng)中的交換節(jié)點

33、不會執(zhí)行任何糾錯，盡管它們能檢測出被損壞的分組，一旦檢測出，分組就會被丟棄了。為了建立幀中繼連接，需要與本地的電信公司聯(lián)系。</p><p>　　幀中繼端口一般用PVC連接。PVC是邏輯鏈路，它具有特定的端接點和服務特性。它們在網(wǎng)狀拓撲結構上提供邏輯連接，且在使用前為交換局提供一種確定服務特性和速率的方法。它們也在端接點之間提供快速連接。在得到提供者的服務時，可以為PVC規(guī)定一些服務特性， </p>

34、<p><b>　　5、學院通信</b></p><p>　　學校設有教務處、學工辦、辦公室，各個學院也設有上述機構，在校教務、學工辦、辦公室與各學院教務處、學工辦、辦公室之間和各個學院教務處、學工辦、辦公室之間會有大量的數(shù)據(jù)交流，而上述機構有沒有劃分在一個局域網(wǎng)路。為了減輕核心網(wǎng)絡的帶寬壓力，應采用VLAN技術將上述機構分別劃分在各自的VLAN里，即：將校教務處與各個學院的院教

35、務處劃分在同一個VLAN中，將校學工辦和各個院學工辦劃分在同一個VLAN中，將校辦公室和各個院辦公室劃分在同一個VLAN中。</p><p>　　在校園網(wǎng)絡的整個網(wǎng)絡規(guī)劃當中，VLAN 的劃分是非常重要的部分，很好的利用VLAN技術的功能，能起到事半功倍的效果，對整個網(wǎng)絡的性能也是事關重要的。主要突出為以下幾點：</p><p>　　VLAN 劃分，可以避免廣播風暴，在骨干網(wǎng)絡中尤為突出，

36、在多媒體、視頻點播等很容易引起廣播信息；劃分之后，VLAN 是廣播只在子網(wǎng)中進行，不會做無意義的廣播，消除了廣播風暴產(chǎn)生的條件。</p><p>　　VLAN 劃分，可以增加網(wǎng)絡的安全性，在不同的VLAN之間不能隨意通訊，只限與本子網(wǎng)間通訊，不會對其他的子網(wǎng)產(chǎn)生干擾。要進行訪問，需要通過三層交換，這樣信息流就得到相當好的控制。</p><p>　　網(wǎng)絡管理系統(tǒng)采用完全獨立的IP子網(wǎng)和VLA

37、N，實現(xiàn)更加安全的對所有網(wǎng)絡設備進行管理。建立VLAN 和IP 子網(wǎng)的對應關系。</p><p>　　提高管理效率，實現(xiàn)虛擬的工作組，減少站點的移動和改變的開銷。</p><p>　　VLAN 間的子網(wǎng)訪問，可以在三層交換機上實現(xiàn)，子網(wǎng)間的通訊也可以在匯聚設備上實行，分流核心交換機的三層交換，優(yōu)化了組網(wǎng)。</p><p>　　根據(jù)以往網(wǎng)絡管理經(jīng)驗和骨干網(wǎng)絡網(wǎng)絡建設的

38、實際情況，方案建議在骨干網(wǎng)絡VLAN劃分規(guī)劃以“靈活劃分、方便管理”為基本原則，以不同的使用群體為VLAN范圍劃分。這樣劃分VLAN的好處有：</p><p>　　1、方便管理。為了更好的進行VLAN規(guī)劃的實施，因此在網(wǎng)絡實施前期，要對網(wǎng)絡中不同區(qū)域的VLAN設置進行詳細的規(guī)劃，細化到接入層網(wǎng)絡，這樣在骨干網(wǎng)絡這樣大型的校園網(wǎng)絡中如果以用戶群體來劃分VLAN的話，避免由于前期配置設備時復雜煩瑣，而且由于相同的用戶

39、群體可能在不同的物理位置，導致造成整個校園網(wǎng)絡中VLAN劃分復雜，減輕管理和后期維護。所以方案建議骨干網(wǎng)絡劃分VLAN方式前進行詳盡規(guī)劃，這樣既可以減少廣播域，又達到劃分VLAN，方便管理的效果，對于后期網(wǎng)絡維護和升級具有十分現(xiàn)實的意義。</p><p>　　2、易于實施。按群體劃分VLAN在工程實施中就十分的方便，不會造成VLAN劃分復雜失誤而使得網(wǎng)絡出現(xiàn)不通的現(xiàn)象，便于工程快速實施和網(wǎng)絡中心整體規(guī)劃。<

40、/p><p>　　3、VLAN間路由采用三層交換設備進行VLAN路由。以便不同VLAN間進行訪問，對于學校重要網(wǎng)絡資源，需要進行權限訪問的時候，建議采用專家級ACL（可同時基于VLAN號、以太網(wǎng)類型、MAC地址、IP地址、TCP/UDP端口號、時間靈活組合限定的硬件ACL）來進行訪問權限設定，保障重要資料不被非法訪問。</p><p><b>　　四、網(wǎng)絡安全</b>&l

41、t;/p><p>　　1、威脅網(wǎng)絡安全因素分析</p><p>　　計算機網(wǎng)絡安全受到的威脅包括：</p><p>　　1.“黑客”的攻擊；</p><p><b>　　2. 計算機病毒；</b></p><p>　　3. 拒絕服務攻擊（Denial of Service Attack）。</p

42、><p><b>　　安全威脅的類型：</b></p><p>　　1、非授權訪問。指對網(wǎng)絡設備及信息資源進行非正常使用或越權使用等。如操作員安全配置不當造成的安全漏洞，用戶安全意識不強，用戶口令選擇不慎，用戶將自己的賬號隨意轉(zhuǎn)借他人或與別人共享。</p><p>　　2、冒充合法用戶。主要指利用各種假冒或欺騙的手段非法獲得合法用戶的使用權限，以達

43、到占用合法用戶資源的目的。</p><p>　　3、破壞數(shù)據(jù)的完整性。指使用非法手段，刪除、修改、重發(fā)某些重要信息，以干擾用戶的正常使用。</p><p>　　4、干擾系統(tǒng)正常運行，破壞網(wǎng)絡系統(tǒng)的可用性。指改變系統(tǒng)的正常運行方法，減慢系統(tǒng)的響應時間等手段。這會使合法用戶不能正常訪問網(wǎng)絡資源，使有嚴格響應時間要求的服務不能及時得到響應。</p><p>　　5、病毒與

44、惡意攻擊。指通過網(wǎng)絡傳播病毒或惡意Java、active X等，其破壞性非常高，而且用戶很難防范。</p><p>　　6、軟件的漏洞和“后門”。軟件不可能沒有安全漏洞和設計缺陷，這些漏洞和缺陷最易受到黑客的利用。另外，軟件的“后門”都是軟件編程人員為了方便而設置的，一般不為外人所知，可是一旦“后門”被發(fā)現(xiàn)，網(wǎng)絡信息將沒有什么安全可言。如Windows的安全漏洞便有很多。</p><p>

45、　　7、電磁輻射。電磁輻射對網(wǎng)絡信息安全有兩方面影響。一方面，電磁輻射能夠破壞網(wǎng)絡中的數(shù)據(jù)和軟件，這種輻射的來源主要是網(wǎng)絡周圍電子電氣設備產(chǎn)生的電磁輻射和試圖破壞數(shù)據(jù)傳輸而預謀的干擾輻射源。另一方面，電磁泄漏可以導致信息泄露。</p><p><b>　　2、應對措施</b></p><p>　　采用防火墻技術，在內(nèi)網(wǎng)與外網(wǎng)的環(huán)節(jié)中間添加防火墻，以保證校園網(wǎng)的安全。&

46、lt;/p><p>　　1、內(nèi)部網(wǎng)絡和外部網(wǎng)絡之間的所有網(wǎng)絡數(shù)據(jù)流都必須經(jīng)過防火墻</p><p>　　這是防火墻所處網(wǎng)絡位置特性，同時也是一個前提。因為只有當防火墻是內(nèi)、外部網(wǎng)絡之間通信的唯一通道，才可以全面、有效地保護企業(yè)網(wǎng)內(nèi)部網(wǎng)絡不受侵害。</p><p>　　2、只有符合安全策略的數(shù)據(jù)流才能通過防火墻</p><p>　　防火墻最基本的功

47、能是確保網(wǎng)絡流量的合法性，并在此前提下將網(wǎng)絡的流量快速的從一條鏈路轉(zhuǎn)發(fā)到另外的鏈路上去。防火墻將網(wǎng)絡上的流量通過相應的網(wǎng)絡接口接收上來，按照OSI協(xié)議棧的七層結構順序上傳，在適當?shù)膮f(xié)議層進行訪問規(guī)則和安全審查，然后將符合通過條件的報文從相應的網(wǎng)絡接口送出，而對于那些不符合通過條件的報文則予以阻斷。因此，從這個角度上來說，防火墻是一個類似于橋接或路由器的、多端口的（網(wǎng)絡接口>=2）轉(zhuǎn)發(fā)設備，它跨接于多個分離的物理網(wǎng)段之間，并在報文轉(zhuǎn)

48、發(fā)過程之中完成對報文的審查工作。</p><p>　　3、防火墻自身應具有非常強的抗攻擊免疫力</p><p>　　這是防火墻之所以能擔當企業(yè)內(nèi)部網(wǎng)絡安全防護重任的先決條件。防火墻處于網(wǎng)絡邊緣，它就像一個邊界衛(wèi)士一樣，每時每刻都要面對黑客的入侵，這樣就要求防火墻自身要具有非常強的抗擊入侵本領。它之所以具有這么強的本領防火墻操作系統(tǒng)本身是關鍵，只有自身具有完整信任關系的操作系統(tǒng)才可以談論系統(tǒng)

49、的安全性。其次就是防火墻自身具有非常低的服務功能，除了專門的防火墻嵌入系統(tǒng)外，再沒有其它應用程序在防火墻上運行。當然這些安全性也只能說是相對的。</p><p><b>　　五、虛擬模擬</b></p><p><b>　　路由器配置：</b></p><p><b>　　Router0</b><

50、;/p><p>　　Router>enable</p><p>　　Router#config terimial</p><p>　　Router(config)#interface FastEthernet0/0</p><p>　　Router(config-if)#ip address 192.168.1.1 255.255.255.

51、0</p><p>　　Router(config-if)#exit</p><p>　　Router(config)#interface FastEthernet0/1</p><p>　　Router(config-if)#no shutdown</p><p>　　Router(config-if)#ip address 192.168

52、.2.1 255.255.255.0</p><p>　　Router(config-if)#exit</p><p>　　Router(config)#interface Serial1/0</p><p>　　Router(config-if)#no shutdown</p><p>　　Router(config-if)#ip addr

53、ess 192.168.254.1 255.255.255.0</p><p>　　Router(config-if)#exit</p><p>　　Router>enable</p><p>　　Router#configure terminal</p><p>　　Enter configuration commands, one

54、per line. End with CNTL/Z.</p><p>　　Router(config)#router rip</p><p>　　Router(config-router)#network 192.168.1.0</p><p>　　Router(config-router)#network 192.168.2.0</p><p

55、>　　Router(config-router)#network 192.168.254.0</p><p>　　Router(config-router)#exit</p><p>　　同理配置route1</p><p>　　利用交換機劃分vlan,對路由器的配置：</p><p>　　Switch#vlan databaseSw

56、itch(vlan)#vlan 2Switch(vlan)#vlan 3Switch(vlan)#vtp domain jkxSwitch(vlan)#vtp serverSwitch(vlan)#exit</p><p>　　Switch>enable</p><p>　　Switch#configure terminal</p><p>　　Ent

57、er configuration commands, one per line. End with CNTL/Z.</p><p>　　Switch(config)#vlan 2</p><p>　　Switch(config-vlan)#name vlan02</p><p>　　Switch(config-vlan)#exit</p><p

58、>　　Switch(config)#vlan 3</p><p>　　Switch(config-vlan)#name vlan13</p><p>　　Switch(config-vlan)#exit</p><p>　　Switch(config)#interface FastEthernet0/2</p><p>　　Switch

59、(config-if)#switchport mode access</p><p>　　Switch(config-if)#switchport access vlan 2</p><p>　　同理配置其它三個交換機實現(xiàn)pc0與pc2屬于vlan02，pc1與pc3屬于vlan13。</p><p>　　配置完成，使用ping命令，此時不能ping通，對交換機分別

60、執(zhí)行以下命令：</p><p>　　Switch(config)#interface FastEthernet0/2</p><p>　　Switch(config-if)#switchport mode trunk</p><p>　　再次使用ping命令，此時便能ping通。</p><p><b>　　六、心得總結</b

61、></p><p>　　本人通過這次課程設計，使我了解并學習到了很多以前沒有注意過的知識和設計細節(jié),同時也學到了很多新知識，使自己增長了見識，讓自己過了一把當設計師的癮,讓我感受到了當優(yōu)秀的網(wǎng)絡設計師的不容易，使我更加認識到自己對相關知識的匱乏，以后還需要更多的努力，學習更多的專業(yè)知識。雖然我們盡了最大的努力，但是由于經(jīng)驗不足，及學習過程中的疏忽，錯漏之處在所難免，從整體上說，我們通過以上的分析布局已基本上

62、展現(xiàn)了網(wǎng)絡工程設計的全部過程，但是我們討論課題的局限性，還有很多的網(wǎng)絡技術沒有提到，如VPN，又如路由器的安裝與使用等等。此外，這兩周我們相互合作，共同學習和設計，讓我更深的體會到了團隊合作的重要性，讓我更深的認識到五根手指和一個拳頭的巨大差別。建設校園網(wǎng)對每個學校來說都不是一件容易的事情，都要經(jīng)過周密的論證、謹慎的決策、緊張的施工和科學的管理。學校的網(wǎng)絡化建設必然會對學校的信息化建設起到巨大的推動作用，為學校的辦公提供簡單、有效、便捷

63、的理想環(huán)境，為學校的教育教學改革提供有效的數(shù)據(jù)信息。由于建立了校園網(wǎng)，一方面縮短了學校與外界的距離，利用電子郵件和Internet網(wǎng)站等服務，擴大了學與外界的交流；另一方面，</p><p><b>　　七、參考文獻</b></p><p>　　網(wǎng)絡工程（第2版）人民郵電出版社；</p><p>　　計算機網(wǎng)絡（第5版）電子工業(yè)出版