14武六

1、北京聯(lián)合大學(xué)網(wǎng)絡(luò)實(shí)施方案,,組網(wǎng)范圍,有線實(shí)驗(yàn)樓辦公樓 教學(xué)樓,無(wú)線宿舍樓（北A）,一、需求分析（應(yīng)用背景分析) 校園網(wǎng)的現(xiàn)狀 為了適應(yīng)高校校園網(wǎng)應(yīng)用系統(tǒng)和信息資源建設(shè)的需要，高校校園網(wǎng)絡(luò)需要建設(shè)成為一個(gè)寬帶的多媒體網(wǎng)絡(luò)。 網(wǎng)絡(luò)設(shè)計(jì)以高性能、高可靠性、高安全性、良好的可擴(kuò)展性、可管理性和可運(yùn)營(yíng)性為主要關(guān)注焦點(diǎn)。目前高校校園網(wǎng)的建設(shè)中面臨的問(wèn)題主要有以下幾個(gè)方面：,,性能需求,高

2、校校園網(wǎng)中網(wǎng)絡(luò)應(yīng)用人數(shù)很多，并且隨著網(wǎng)絡(luò)應(yīng)用技術(shù)的不斷豐富，高校校園網(wǎng)應(yīng)用也愈發(fā)復(fù)雜，例如FTP文件傳輸?shù)却髷?shù)據(jù)量的訪問(wèn)，產(chǎn)生了巨大的網(wǎng)絡(luò)流量。如何高速進(jìn)行網(wǎng)絡(luò)傳輸，對(duì)網(wǎng)絡(luò)設(shè)備提出了很高的要求。網(wǎng)上視頻點(diǎn)播、廣播、大量的多媒體通訊，需要QoS支持。如何有效合理對(duì)教育網(wǎng)絡(luò)帶寬的調(diào)度和分配滿足如：教育網(wǎng)絡(luò)多媒體教學(xué)和遠(yuǎn)程教學(xué)； 圖書館訪問(wèn)系統(tǒng)，大型分布式數(shù)據(jù)庫(kù)系統(tǒng)、超性能計(jì)算資源共享管理系統(tǒng)、視頻會(huì)議、ePhone等等應(yīng)用，都是網(wǎng)路設(shè)計(jì)所需

3、要考慮的重要因素。,安全需求,學(xué)生接受新鮮事務(wù)的能力非常強(qiáng)，因此校園也成為黑客最多的場(chǎng)所之一， 如何保障校園網(wǎng)絡(luò)的安全成為建網(wǎng)時(shí)不得不考慮的問(wèn)題，目前主要攻擊手段有DOS，DDOS等。同時(shí)具有上網(wǎng)日志的需求，主要是配合公安機(jī)關(guān)保證社會(huì)的穩(wěn)定和校園的安全。據(jù)有關(guān)數(shù)字顯示，目前校園網(wǎng)遭受的惡意攻擊，90%來(lái)自高校網(wǎng)絡(luò)內(nèi)部，如何保障校園網(wǎng)絡(luò)的安全成為高校校園網(wǎng)絡(luò)建設(shè)時(shí)不得不考慮的問(wèn)題。,運(yùn)營(yíng)需求,高校校園網(wǎng)在為學(xué)校教學(xué)、科研提供網(wǎng)絡(luò)平臺(tái)的同時(shí)

4、，也為校內(nèi)教職工及學(xué)生提供網(wǎng)絡(luò)接入服務(wù)，這就提出了運(yùn)營(yíng)的需求。 而學(xué)校收費(fèi)和學(xué)生繳費(fèi)是一對(duì)天然的矛盾，當(dāng)前不少學(xué)校采用的運(yùn)營(yíng)模式與學(xué)校實(shí)際的情況差距太大， 無(wú)法有效杜絕學(xué)生逃避收費(fèi)等問(wèn)題一直困擾著學(xué)校的網(wǎng)管人員。,我們學(xué)校的信息化服務(wù)的目的,(1) 在校園內(nèi)部實(shí)現(xiàn)資源高度共享，為教學(xué)、科研、管理提供服務(wù)，為計(jì)劃、組織、管理與決策提供基礎(chǔ)信息和科學(xué)手段；(2) 支持教育教學(xué)改革，提高教育技術(shù)的現(xiàn)代水平和教育信息化程度、為學(xué)校教師的備課、

5、課件制作、教學(xué)演示提供網(wǎng)絡(luò)環(huán)境；(3) 通過(guò)互聯(lián)網(wǎng)、錄像機(jī)、掃描儀、數(shù)碼相機(jī)等各種渠道獲得多媒體資料，實(shí)現(xiàn)素材收集、電子備課功能。 (4) 實(shí)現(xiàn)辦公自動(dòng)化，提供與上級(jí)教育部門、社會(huì)、家庭之間通訊的出入口，提供電子函件、公告牌和教育教學(xué)信息查詢等服務(wù)，提高工作效率和管理水平；,我們學(xué)校的信息化服務(wù)的目的,(5) 及時(shí)、準(zhǔn)備、可靠地收集、處理、存儲(chǔ)、傳輸學(xué)校的教育教學(xué)信息完成與因特網(wǎng)的通訊和資源共享，實(shí)現(xiàn)社會(huì)教育、學(xué)校教育、家庭教育的有

6、機(jī)整合。(6) 實(shí)現(xiàn)課堂多媒體電化教學(xué)，具備適用于雙向課堂語(yǔ)音教學(xué)及語(yǔ)音室功能學(xué)習(xí)。 校園網(wǎng)的建設(shè)能促進(jìn)教師和學(xué)生盡快提高應(yīng)用信息技術(shù)的水平，為學(xué)生提供了一個(gè)實(shí)踐的環(huán)境，為教師提供了一種先進(jìn)的輔助教學(xué)工具、提供了豐富的資源庫(kù)。,業(yè)務(wù)需求分析,一、校園網(wǎng)是為教師的教學(xué)、科研活動(dòng)和培訓(xùn)服務(wù)的：如提供教學(xué)資源、輔助教師備課，參與課堂教學(xué)活動(dòng)和支持教師再學(xué)習(xí)活動(dòng)等。二、校園網(wǎng)是為學(xué)校教育教學(xué)管理服務(wù)的：如輔助學(xué)校的教學(xué)教務(wù)管理、學(xué)

7、生學(xué)籍管理、人事檔案管理、財(cái)產(chǎn)管理等。三、校園網(wǎng)是溝通學(xué)校與外界的窗口，利用校園網(wǎng)既可以從校外獲取各種教育信息，也可以向外發(fā)布各種教育信息。,一、需求分析(業(yè)務(wù)需求),在校園網(wǎng)中發(fā)生的信息流主要包括三個(gè)部分：教學(xué)過(guò)程信息流和管理過(guò)程信息流和Internet信息流。1、教學(xué)過(guò)程數(shù)據(jù)流大多為多媒體數(shù)據(jù)，包括高質(zhì)量的圖像、圖形、數(shù)據(jù)、實(shí)時(shí)話音和視頻流傳輸?shù)?業(yè)務(wù)需求分析,2、管理過(guò)程信息流包括：教學(xué)教務(wù)管理信息 流和行政辦公信息流。3

8、、Internet信息流主要建立在寬帶、結(jié)構(gòu)簡(jiǎn)化、綜合業(yè)務(wù)應(yīng)用齊全的IP基礎(chǔ)網(wǎng)上或區(qū)域教育城域網(wǎng)上，提供教育城域網(wǎng)或廣域網(wǎng)資源信息的傳遞和共享。此類數(shù)據(jù)流為載有語(yǔ)音、數(shù)據(jù)和視頻信息的IP流。,一、需求分析(管理需求),校園網(wǎng)有網(wǎng)絡(luò)管理中心負(fù)責(zé)管理。采用易于管理的布線和設(shè)備方式配置管理：網(wǎng)絡(luò)節(jié)點(diǎn)、端口和冗余結(jié)構(gòu)的配置，網(wǎng)絡(luò)節(jié)點(diǎn)訪問(wèn)口令設(shè)置和更改性能管理：可以收集網(wǎng)絡(luò)運(yùn)行的相關(guān)數(shù)據(jù)，視重要程度并記錄保存。需要時(shí)進(jìn)行網(wǎng)絡(luò)監(jiān)控。形成報(bào)告向上

9、一級(jí)中心報(bào)告和提示系統(tǒng)管理員，使用這些信息為網(wǎng)絡(luò)提供規(guī)劃設(shè)計(jì)依據(jù),管理需求,. 故障管理：通過(guò)實(shí)時(shí)監(jiān)控系統(tǒng)，將網(wǎng)絡(luò)故障信息報(bào)告?zhèn)魉徒o高層管理中心。網(wǎng)絡(luò)管理員可以根據(jù)收到的的信息報(bào)告，對(duì)網(wǎng)絡(luò)進(jìn)行優(yōu)化和排除. 安全管理：所用設(shè)計(jì)需避免非法進(jìn)入網(wǎng)絡(luò)要求：具有用戶認(rèn)證、高級(jí)訪問(wèn)權(quán)限、具有網(wǎng)絡(luò)數(shù)據(jù)信息的保護(hù)和備份,一、需求分析(安全性需求),1、校園網(wǎng)邊界安全管理需求為了保護(hù)校園網(wǎng)的安全，校園網(wǎng)邊界安全管理總體目標(biāo)就是確保校園網(wǎng)與外界網(wǎng)絡(luò)的信

10、息交換安全可控，既要能夠保證正常的校園網(wǎng)和互聯(lián)網(wǎng)的信息交換，同時(shí)也能阻擋惡意網(wǎng)絡(luò)訪問(wèn)，例如端口掃描、非授權(quán)訪問(wèn)行為、病毒、不良網(wǎng)站等。2、校園網(wǎng)漏洞及補(bǔ)丁管理安全需求校園網(wǎng)是一個(gè)由多協(xié)議、多系統(tǒng)、多應(yīng)用、多用戶組成的復(fù)雜性網(wǎng)絡(luò)環(huán)境，校園網(wǎng)中的網(wǎng)絡(luò)設(shè)備、操作系統(tǒng)、數(shù)據(jù)庫(kù)、應(yīng)用軟件都存在難以避免的安全漏洞。為了要保障校園網(wǎng)安全,必須做好校園網(wǎng)漏洞管理。,安全性需求,3、校園網(wǎng)服務(wù)器安全需求 校園網(wǎng)服務(wù)器存儲(chǔ)大量信息，例如學(xué)生檔案

11、、學(xué)生作業(yè)、考試數(shù)據(jù)、網(wǎng)頁(yè)文件等。其安全需求有: 對(duì)服務(wù)器訪問(wèn)要進(jìn)行安全身份認(rèn)證，非認(rèn)證用戶無(wú)法進(jìn)行訪問(wèn); 服務(wù)器提供的資源受控制，防止非授權(quán)人員拷貝、修改、發(fā)送; 支持遠(yuǎn)程安全管理，校園網(wǎng)管理員能夠從遠(yuǎn)程進(jìn)行安全登錄，為其傳輸?shù)男畔⒓用? 服務(wù)器的操作行為有嚴(yán)格審計(jì)，能夠防止黑客有意刪除; 服務(wù)的安全狀態(tài)能夠?qū)崟r(shí)顯示，各種安全組件的工作狀態(tài)能夠被監(jiān)測(cè)到; 服務(wù)器在受到損害時(shí)，至少能做到數(shù)據(jù)恢復(fù)可用。,安全性需求,4、校園網(wǎng)安全監(jiān)控管理

12、安全需求 對(duì)校園網(wǎng)絡(luò)進(jìn)行安全監(jiān)控，就如同在教學(xué)大樓內(nèi)安裝的閉路電視監(jiān)控系統(tǒng)。其主要需求有: 對(duì)校園網(wǎng)關(guān)鍵區(qū)域的信息流動(dòng)進(jìn)行動(dòng)態(tài)監(jiān)測(cè)，能夠把網(wǎng)絡(luò)上流過(guò)的所有數(shù)據(jù)包，通過(guò)實(shí)時(shí)檢測(cè)和分析，及時(shí)發(fā)現(xiàn)非法或異常行為; 對(duì)校園網(wǎng)緊急事件(網(wǎng)頁(yè)篡改、試題盜竊)以最快的速度阻止; 能夠按要求存儲(chǔ)校園網(wǎng)訪問(wèn)日志記錄，提供進(jìn)行關(guān)鍵詞查找和離線分析功能; 對(duì)校園網(wǎng)特殊安全事件進(jìn)行回放。,安全性需求,5、校園網(wǎng)病毒安全管理需求 病毒是校園網(wǎng)安全

13、隱患之一，必須做到有效控制。其主要需求包括: 殺毒軟件不僅要能保護(hù)文件服務(wù)，同時(shí)也要對(duì)郵件服務(wù)器、網(wǎng)站服務(wù)器、學(xué)生和教職員工用的PC、網(wǎng)關(guān)等所有計(jì)算機(jī)設(shè)備進(jìn)行保護(hù); 殺毒軟件能從郵件、FTP文件、網(wǎng)頁(yè)、軟盤、光盤等所有可能帶來(lái)病毒的信息源進(jìn)行監(jiān)控和病毒攔截; 殺毒軟件查殺能力能夠覆蓋最新病毒，查殺病毒是多多益善，重點(diǎn)是目前的流行病毒。,安全性需求,6、校園網(wǎng)安全運(yùn)維管理需求 校園網(wǎng)的硬件環(huán)境建設(shè)完畢后，一項(xiàng)重要的工作就是做好校園

14、網(wǎng)的維護(hù)工作，保證校園網(wǎng)的穩(wěn)定、安全運(yùn)行，能夠滿足學(xué)校教學(xué)活動(dòng)的要求。校園網(wǎng)的安全運(yùn)維需要有一個(gè)校園網(wǎng)安全運(yùn)營(yíng)中心（School Security Operations Center，簡(jiǎn)稱SSOC），通過(guò)SSOC強(qiáng)化安全管理工作，對(duì)校園網(wǎng)不同教學(xué)場(chǎng)所設(shè)備、不同計(jì)算機(jī)系統(tǒng)中的安全事件進(jìn)行監(jiān)控、匯總和關(guān)聯(lián)分析，提供可視化校園網(wǎng)安全狀況展示。針對(duì)不同類型安全事件提供緊急應(yīng)對(duì)措施。實(shí)現(xiàn)校園網(wǎng)絡(luò)集中安全管控，保護(hù)校園網(wǎng)絡(luò)數(shù)字資產(chǎn)安全。,安全性需求

15、,7、物理環(huán)境安全 物理環(huán)境安全也稱實(shí)體安全，是指包括環(huán)境、設(shè)備和記錄介質(zhì)在內(nèi)的所有支持信息系統(tǒng)運(yùn)行的硬件的總體安全，是網(wǎng)絡(luò)系統(tǒng)安全、可靠、不間斷運(yùn)行的基本保證。在校園網(wǎng)絡(luò)環(huán)境中，要盡量防止意外事件或人為破壞具體的物理設(shè)備，如服務(wù)器、交換機(jī)、路由器、機(jī)柜、線路等,一、需求分析(通信量需求),通信量需求是從網(wǎng)絡(luò)應(yīng)用出發(fā)，對(duì)當(dāng)前技術(shù)條件下可以提供的網(wǎng)絡(luò)帶寬做出評(píng)估。,用戶需求分析,,二、網(wǎng)絡(luò)方案設(shè)計(jì),學(xué)校使用兩臺(tái)匯聚交換機(jī)（做冗余備

16、份相連），連接接入交換機(jī)，并把所有接入交換機(jī)連接到核心路由器上；接入層交換機(jī)連接終端用戶，并把不同部門人員規(guī)劃到不同的VLAN中；學(xué)校內(nèi)部都使用私網(wǎng)地址，訪問(wèn)外網(wǎng)時(shí)，采用NAT，實(shí)現(xiàn)用戶可以訪問(wèn)外網(wǎng)；根據(jù)服務(wù)器功能需求和信息安全要求進(jìn)行服務(wù)器系統(tǒng)區(qū)域劃分，完成服務(wù)器接入交換機(jī)的安裝和調(diào)試；建立辦公網(wǎng)絡(luò)系統(tǒng)，完成各配線間接入交換機(jī)的安裝和調(diào)試，實(shí)現(xiàn)終端用戶1000M自適應(yīng)桌面接入，萬(wàn)兆主干上聯(lián)；所有用戶都使用DHCP獲得IP地址

17、；建立公共區(qū)域的無(wú)線網(wǎng)絡(luò)，實(shí)現(xiàn)用戶安全認(rèn)證；增加安全設(shè)備實(shí)現(xiàn)校園網(wǎng)絡(luò)的安全性，且能監(jiān)控來(lái)自內(nèi)外部的上網(wǎng)行為，設(shè)置TELNET，且只有管理員能TELNET到各設(shè)備。,二、網(wǎng)絡(luò)方案設(shè)計(jì),我們將整個(gè)網(wǎng)絡(luò)劃分為三層：核心層；匯聚層；接入層?？紤]到核心層網(wǎng)絡(luò)的可靠性和高性能，本項(xiàng)目采用雙機(jī)熱備（負(fù)載均勻）方式設(shè)計(jì)核心層交換機(jī)，核心交換機(jī)選用兩臺(tái)思科6509（三層交換機(jī)），兩臺(tái)6509之間通過(guò)hsrp協(xié)議實(shí)現(xiàn)雙機(jī)互聯(lián)和冗余備份，并通過(guò)兩對(duì)光纖

18、做port channel連接，實(shí)現(xiàn)核心設(shè)備連接鏈路的負(fù)載均衡。,二、網(wǎng)絡(luò)方案設(shè)計(jì),整個(gè)項(xiàng)目將使用到的技術(shù)有：Vlan劃分；HSRP設(shè)計(jì)；以太通道設(shè)計(jì)；路由協(xié)議選擇；SVI設(shè)計(jì)；DHCP設(shè)計(jì)；DNS設(shè)計(jì)；NAT設(shè)計(jì)；防火墻設(shè)計(jì)；VPN設(shè)計(jì)；802.1X設(shè)計(jì)和TELNET設(shè)計(jì)等。,二、網(wǎng)絡(luò)方案設(shè)計(jì),2.1、網(wǎng)絡(luò)邏輯拓?fù)湓O(shè)計(jì),二、網(wǎng)絡(luò)方案設(shè)計(jì),2.2、VLAN規(guī)劃與IP地址規(guī)劃 因校園網(wǎng)絡(luò)主干連接的節(jié)點(diǎn)多，因此，要保證網(wǎng)絡(luò)的有效性和

19、可管理性，網(wǎng)絡(luò)地址的規(guī)劃與分配是十分重要的問(wèn)題。網(wǎng)絡(luò)地址是一種資源，必須經(jīng)過(guò)優(yōu)化的規(guī)劃和設(shè)計(jì)，因?yàn)楹茈y預(yù)測(cè)網(wǎng)絡(luò)將來(lái)的規(guī)模和應(yīng)用情況的發(fā)展，如果規(guī)劃不當(dāng)，將導(dǎo)致地址資源不夠用，網(wǎng)絡(luò)的擴(kuò)展將受到極大的限制；如果規(guī)劃過(guò)于龐大，則在現(xiàn)行運(yùn)行過(guò)程中，網(wǎng)絡(luò)的路由將會(huì)復(fù)雜，影響網(wǎng)絡(luò)的效率。,二、網(wǎng)絡(luò)方案設(shè)計(jì),由于合法IP地址的短缺，在聯(lián)大的網(wǎng)絡(luò)建設(shè) 中選用了B類的保留地址，分配聯(lián)大網(wǎng)絡(luò)的地址范圍為172.16.0.0， 前二位（172.16）作為公

20、共網(wǎng)絡(luò)地址，第三位作為各VLAN的地址，并第四位的（254）作為各VLAN的網(wǎng)關(guān)。 聯(lián)大根據(jù)業(yè)務(wù)功能的不同，可以分為22個(gè)VLAN，22個(gè)VLAN各自獨(dú)立，分別屬于不同的廣播域，默認(rèn)情況下不同VLAN間可互相訪問(wèn)。由于對(duì)于整個(gè)網(wǎng)絡(luò)配置VLAN工作量較大，所以使用VTP協(xié)議，把核心交換機(jī)配制成VTP Server,其余交換機(jī)配制成VTP Client。并且為核心交換機(jī)配置SVI，使得不同間VLAN可以通信。,二、網(wǎng)絡(luò)方案設(shè)計(jì),配置舉例：

21、接入層交換機(jī)配置：Switch(config)#vtp mode client核心交換機(jī)配置：Switch(config)#vtp domain zdySwitch(config)#vtp mode serverSwitch(config)#vlan 100Switch(config-vlan)#name Dangzheng Switch(config)#int vlan 100Switch(config-if

22、)#ip address 172.16.0.254 255.255.255.0,,,二、網(wǎng)絡(luò)方案設(shè)計(jì),2.3 交換和路由協(xié)議選擇采用EIGRP動(dòng)態(tài)路由協(xié)議進(jìn)行網(wǎng)絡(luò)配置，原因主要是EIGRP是Cisco公司的專有網(wǎng)絡(luò)協(xié)議，它綜合了距離矢量和鏈路狀態(tài)2者的優(yōu)點(diǎn)，其特點(diǎn)有：A、快速收斂；B、減小帶寬占用；C、支持多種網(wǎng)絡(luò)層協(xié)議；D、無(wú)縫連接數(shù)據(jù)鏈路層協(xié)議和拓?fù)浣Y(jié)構(gòu),配置舉例：核心ARouter(config)#router e

23、igrp 100Router(config-router)#network 172.16.0.0 0.0.0.255Router(config-router)#network 172.16.1.0 0.0.0.255Router(config-router)#network 172.16.2.0 0.0.0.255Router(config-router)#network 172.16.3.0 0.0.0.255Router(

24、config-router)#network 172.16.4.0 0.0.0.255Router(config-router)#network 172.16.5.0 0.0.0.255Router(config-router)#network 172.16.6.0 0.0.0.255Router(config-router)#network 172.16.7.0 0.0.0.255Router(config-router)#n

25、etwork 172.16.8.0 0.0.0.255Router(config-router)#network 172.16.9.0 0.0.0.255Router(config-router)#network 172.16.10.0 0.0.0.255Router(config-router)#network 172.16.11.0 0.0.0.255Router(config-router)#network 172.16.

26、20.0 0.0.0.255Router(config-router)#network 172.16.21.0 0.0.0.255Router(config-router)#network 172.16.22.0 0.0.0.255Router(config-router)#network 172.16.23.0 0.0.0.255Router(config-router)#network 172.16.24.0 0.0.0.2

27、55Router(config-router)#no auto-summary,二、網(wǎng)絡(luò)方案設(shè)計(jì),2.4 Internet 接入設(shè)計(jì) 聯(lián)大上網(wǎng)是通過(guò)雙運(yùn)營(yíng)商上網(wǎng)，一個(gè)聯(lián)通，一個(gè)教育網(wǎng)，聯(lián)通鏈路為主要Internet鏈路。為了保證辦公人員快速的訪問(wèn)聯(lián)通或教育網(wǎng)的網(wǎng)絡(luò)，在Internet出口路由器上面做策略路由。訪問(wèn)聯(lián)通的網(wǎng)絡(luò)從聯(lián)通出口的防火墻出去，在防火墻上把內(nèi)網(wǎng)的地址轉(zhuǎn)換成聯(lián)通網(wǎng)絡(luò)的地址。訪問(wèn)電信或者其他網(wǎng)絡(luò)從電信出口的防

28、火墻出去，在防火墻上把內(nèi)網(wǎng)的地址轉(zhuǎn)換成電信網(wǎng)絡(luò)的地址。,二、網(wǎng)絡(luò)方案設(shè)計(jì),兩臺(tái)Internet區(qū)域的路由器對(duì)內(nèi)網(wǎng)配置為HSRP，使路由器A成為主路由器，內(nèi)網(wǎng)上網(wǎng)的流量通過(guò)路由器A來(lái)進(jìn)行轉(zhuǎn)發(fā)。路由器A的HSRP優(yōu)先級(jí)配置為110，路由器B的HSRP優(yōu)先級(jí)配置為100。路由器A監(jiān)控鏈接內(nèi)網(wǎng)和外網(wǎng)的兩個(gè)接口，當(dāng)某一條鏈路故障的時(shí)候，路由器A的HSRP優(yōu)先級(jí)降低20，使路由器B成為活動(dòng)路由器，內(nèi)網(wǎng)上網(wǎng)的流量通過(guò)路由器B來(lái)轉(zhuǎn)發(fā)。路由器A配置HSR

29、P的搶占功能，當(dāng)出現(xiàn)問(wèn)題恢復(fù)的時(shí)候，使路由器A成為主路由器。,二、網(wǎng)絡(luò)方案設(shè)計(jì),在將整個(gè)系統(tǒng)遷移到運(yùn)營(yíng)商專線的同時(shí)，我們將防火墻放在系統(tǒng)與外部連接處，以提供網(wǎng)絡(luò)的安全保障。對(duì)處INTERNET服務(wù)的WEB、DNS、FTP服務(wù)器接入到防火墻的DMZ段，用于保護(hù)應(yīng)有服務(wù)器的安全和對(duì)內(nèi)外提供服務(wù)。 1、防火墻上做了地址轉(zhuǎn)換，將內(nèi)部的私有地址轉(zhuǎn)換成公有地址訪問(wèn)INTERNET。2、防火墻上開(kāi)放了用于INTERNET信息發(fā)布所需要的幾個(gè)端口，

30、包括TCP的53，23，25，80和UDP的53端口，分別用于DNS，SMTP，和WEB等服務(wù)。3、在防火墻上做了多個(gè)靜態(tài)的地址映射將內(nèi)部地址172.16.0.0映射為外部地址。,在防火墻outside端口設(shè)置NAT設(shè)置靜態(tài)的地址轉(zhuǎn)換，將真實(shí)地址與提供服務(wù)的私有地址綁定static (dmz,outside) 210.32.32.1 210.32.32.1 netmask 255.255.255.255 0 0static (d

31、mz,outside) 210.32.32.21 210.32.32.21 netmask 255.255.255.255 0static (dmz,outside) 210.32.32.18 210.32.32.18 netmask 255.255.255.255 0static (dmz,outside) 210.32.32.10 210.32.32.10 netmask 255.255.255.255 0static (dm

32、z,outside) 210.32.32.32 210.32.32.32 netmask 255.255.255.255 0static (dmz,outside) 210.32.32.23 210.32.32.23 netmask 255.255.255.255 0static(dmz,outside)210.32.32.150 210.32.32.150netmask 255.255.255.255 0 static (dmz

33、,outside) 210.32.32.20 210.32.32.20 netmask 255.255.255.255 0static(dmz,outside)210.32.32.229210.32.32.229 netmask 255.255.255.255 0 0static (dmz,outside) 210.32.32.50 210.32.32.50 netmask 255.255.255.255 0 0指定要進(jìn)行靜態(tài)轉(zhuǎn)換

34、的IP地址能夠通過(guò)的協(xié)議conduit permit icmp any any 允許所有ICMP通信conduit permit tcp host 210.32.32.21 range ftp www anyconduit permit tcp host 210.32.32.10 range ftp www anyconduit permit udp host 210.32.32.1 eq domain anyconduit

35、permit tcp host 210.32.32.150 eq www anyconduit permit tcp host 210.32.32.18 range smtp pop3 anyconduit permit tcp host 210.32.32.20 eq www anyconduit permit tcp host 210.32.32.229 anyconduit permit tcp host 210.32.3

36、2.50 eq telnet anyconduit permit tcp host 210.32.32.23 eq www any,二、網(wǎng)絡(luò)方案設(shè)計(jì),2.5 WLAN的設(shè)計(jì) 聯(lián)大的北A宿舍樓4、5、6層設(shè)計(jì)為WLAN接入，共使用5個(gè)無(wú)線AP。發(fā)展的最大用戶數(shù)為600個(gè)用戶。,二、網(wǎng)絡(luò)方案設(shè)計(jì),,二、網(wǎng)絡(luò)方案設(shè)計(jì),2.8 網(wǎng)絡(luò)管理設(shè)計(jì)當(dāng)交換機(jī)需要被網(wǎng)管時(shí)，必須配置交換機(jī)的CDP和SNMP參數(shù)，其中CDP協(xié)議是CISCO公

37、司特有的一種協(xié)議，而SNMP是標(biāo)準(zhǔn)的簡(jiǎn)單網(wǎng)絡(luò)管理協(xié)議。其中SNMP協(xié)議需要有一個(gè)COMMUNITY NAME控制對(duì)交換機(jī)的讀寫。在本次工程中，我們定義了以下的COMMUNITY NAME：READWRITE：PRIVATEREADONLY：PUBLIC,二、網(wǎng)絡(luò)方案設(shè)計(jì),以下是具體配置命令：cisco6506>enablecisco6506>(enable)set cdp enable說(shuō)明：?jiǎn)⒂?506交換機(jī)的CD

38、P協(xié)議。Cisco6506>(enable)set snmp enable all說(shuō)明：?jiǎn)⒂?506交換機(jī)的SNMP功能，并啟用默認(rèn)的關(guān)鍵字PUBLIC為只讀，PRIVATE為讀寫。,三、綜合布線設(shè)計(jì),下圖為實(shí)驗(yàn)樓一實(shí)驗(yàn)室綜合布線圖（30個(gè)信息點(diǎn)）,下圖為機(jī)房機(jī)架圖,設(shè)備選型與成本核算,日本SANWA SUPPLY LKB6-CB300BL 300米高速優(yōu)質(zhì)6類網(wǎng)線 1461元水晶頭 3元西蒙信息插座 50元圖騰K

39、3鼎極網(wǎng)絡(luò)服務(wù)器機(jī)柜 5940元網(wǎng)件（Netgear）WN 604 150Mbps 無(wú)線接入點(diǎn)（無(wú)線AP） 369元Ups電源 伊頓9395 600 291萬(wàn)元機(jī)房空調(diào) 儒雅風(fēng)冷機(jī)組/DME12 15.2萬(wàn)Linux （正版）2900元,成本核算,300m網(wǎng)線*10 1461*10=14610光纖 30000無(wú)線AP 1000*5=5000水晶