计算机网络技术毕业论文设计

1、计算机网络技术专业毕业设计（论文 ）校园网规划与设计-中、小学校园网规划与设计作 者：机关电大： 省级机关电大专业：计算机网络技术年级：2011 年秋学号：指导老师：刘德学内容摘要自1995年中国教育教研网（CERNET建成后，校园网的建设已经进入到一个蓬 勃发展的阶段。校园网的建成和使用 , 对于提高教学和科研的质量、 改善教学和科研 条件、加快学校的信息化进程 , 开展多媒体教学与研究以及使教学多出人才、 科研多 出成果有着十分重要而深远的意义。其主要包括各种局域网的技术思想、网络设计 方案、网络拓扑结构、布线系统、 Intranet/Internet 的应用、网络安全，网络系 统的维护等

2、内容。 各高校及其中小学都在筹备建设校园网， 希望通过校园网的建设， 改善办学条件， 提高教学、科研和管理水平 . 校园网的建设对于学校来说是一项大的 工程，必须精心设计、精心施工，做到经济适用 , 技术先进、开放性能良好、投资强 度合理、与国内外网络互联、能长期、稳定运行的高性能的校园网络 .关健词： 校园网 , 规划,设计, 网络目录内容摘要 I目 录 II一 校园网络应用需求 - 1 -1.1 存在问题分析 - 1 -1.2 校园网主要解决的问题 - 1 -1.3 建设目标分析 - 1 -1.4 需求分析 - 2 -1 。5 本章小结 - 3 -二 校园方案设计 - 4 -2 。1 拓扑

3、结构设计 - 4 -2。2设计思想及原则 - 4 -2.3 系统需求分析 - 6 -2 。4 设备选型 - 7 -三 网络总体设计 - 10 -3.1 校园网络架构设计： - 10 -3.2 网络三层结构设计 - 10 -3。3汇聚层设备选型 - 10 -3.4 路由器选型 - 12 -3.5 防火墙设备的选型 - 13 -四 网络地址规划及 VLAN 应用 - 15 -4 。1。主干网设计 - 15 -4 。2 IP 地址规划 - 15 -4。3 VLAN 设计 - 16 -4 。4 校园网接入 Internet - 17 -五 校园网络管理及安全维护 - 18 -5.1.威胁网络安全因素分

4、析 - 18 -5。2 网络安全防范措施 - 19 -5.3 网络管理 - 19 -5.4 网络安全策略配置 - 21 -5.5 拒绝服务的防止 - 22 -5 。6 电源系统 - 22 -5。7 其校园网基本拓扑结构 : - 22 -六 设计总结 - 30 -参考文献 - 32 -校园网络应用需求1.1 存在问题分析 河北省邯郸市魏县车往镇第一中学是魏县直属中学，学校在校生 1900余人. 学 校占地 70亩，校园覆盖了校综合办公楼 1栋, 图书馆 1栋，教学楼 2栋，男女宿舍 各 1栋，食堂一处 ,体育馆（操场处）. 学校目前仅图书馆有二十台计算机供图书管理 之用，但是目前无网络连接。学生

5、宿舍、教学楼和办公室目前尚未开通校园网络 . 根据以上对学校现状的分析并通过深入的了解， 目前学校无法满足应用发展的需要 , 在教学、教育资源获取等方面的网络应用比较落后，校园的信息化相当闭塞。为学 校未来的发展和保持教学的现代化、 信息化带来不便， 经校方研究决定 , 现对学校实 现校园网络的初步规划 .1。2 校园网主要解决的问题鉴于学校目前状况 , 校园网建设过程中，主要需要解决的问题如下 : 建立校园网的主干网络，实现千兆主干，百兆到桌面，通过以上实现整个校 园全网覆盖； 解决好综合办公楼、 教学楼、学生宿舍上校园网的问题 , 将校园网应用推入基 层，满足师生员工上网需求 ; 实现校园

6、网的基本应用服务,如WE服务，DN服务,VOD点播服务，FTF®务； 完善和强化用户访问校内校外资源的权限和策略管理 , 并进行流量、带宽和日 志管理，提高校园网的可管理性； 强化校园网的安全策略 , 有效地提高校园网的安全性； 实现无线上网功能。1。3 建设目标分析 根据对学校的网络覆盖现状分析 , 对拟建校园网系统建设目标分析如下： 校园主干满足应用发展的需要 : 考虑到学校校园网络开展视频点播、多媒体教学、远程教学等需要,我认为传输主干应采用的是1000M光纤； 网络主机的处理能力强： 学校校园网络目前开展的网络应用对主机处理能力要求不高，比如 WE曲艮务等是一些低带宽的应用服

7、务,随着用户数量大幅度的增加， 网络应用如VOD视频点播、多媒体教学等许多高带宽和需要高处理能力的主机系统因此，有必要提高网络主机的处理能力；学校的各种PC机、工作站、终端设备和局域网连接起来，并与有关广域网 相连, 能够获取 Internet 网上的教育资源； 容错能力和安全性强 , 通过技术手段提高网络设备的容错能力；安装硬件防 火墙、IDS、服务器防病毒、工作站防病毒软件，实现网络安全； 实现网络的易管理性， 考虑到网络设备和主机数量的不断增加， 方案规划应 该能够实现校园网的可扩展性核对整个网络的监控能力。1.4 需求分析学校的整个网络系统以千兆主干、百兆到桌面为总体需求原则。在总体设

8、计方面，带宽为100 M的节点的介质传输采用超五类线，音频采用五类 线, 视频采用同轴电缆 . 整个校园以计算机网络中心为核心，通过光纤，通过多星级 辐射至各个主楼，从而构成整个校园网主干，各信息点的网络带宽将视其应用的性 质,进行合理地分配,分为100M以及1000M等量级，也需要能够通过光纤或 DDN专线 与CERNE琏接，以开通全部的In ternet 网络应用服务。从内部校园网到外部 Internet 的访问都要有安全审查和流量管理功能；在功能方面， 结合学校的总体发展趋势， 拟建立多媒体多功能教学室 , 图书馆计 算机管理系统和电子阅览系统利用网络技术，实现多媒体信息交换、视频点播、

9、网 络会议、远程教育 , 兼容校内有线电视网、广播网、监控等网络系统 .实现校园全部范围内的无线上网，全网展开 WEB FTP, DNSK务； 在学校设备需求方面，第三初级中学按信息点覆盖情况主要设备需求参数如下：综合办公楼1台汇聚层交换机；4台接入层交换机；无线 AP一台图书馆（网络中心）1核心层交换机；1汇聚层交换机；3接入层交换机；服务 器2台；路由器1台教学楼11汇聚层交换机；2台接入层交换机教学楼21汇聚层交换机；2台接入层交换机教学楼31汇聚层交换机；2台接入层交换机男生宿舍楼1汇聚层交换机；4台接入层交换机女生宿舍楼1汇聚层交换机；4台接入层交换机体育场（操场）无线AP一台1.5

10、本章小结本小节以魏县第一中学校园网络为基础，对网络设备，计算机设备的现状及现 有网络的应用情况进行了简要介绍。通过分析发现，学校目前存在多方面急需要解 决的问题，包括：主干网络的设计，网络的整体覆盖计划，应用功能的实现，用户 对外界资源的安全性访问。最后对建设目标和潜在需求做了进一步的分析说明。二校园方案设计2.1拓扑结构设计层次型结构的提出：层次型网络设计是一种使用分层的、模块化的模型设计校园网的技术。层次型 网络设计模型可以按层设计拓扑结构，每层的重点集中于特定的功能上，有利于分配 和规划带宽和选择适当的系统和功能。层次型拓扑设计具有如下好处：减轻网络中设备的CPU负载降低网络成本简化每个

11、设计元素并且易于理解容易更改层次结构提高设备的利用率三层模也小惠图2.2设计思想及原则221设计思想校园网设计方案将从学院的实际应用出发，结合现代信息技术的发展，遵循实 用，可靠，先进,安全的设计原则。对于学校，应能够满足日常的学习和教育资源的 获取；并能够融合当前的网络的主干技术，使网络能够具备充分的可扩展性，同时满 足校园网的易于维护性和安全性的特点。校园网示意图：2.2。2设计原则先进性我校为计算机示范性软件学院，每名学生均配有计算机终端。为了达到最好的 教学效果，所以网络速度和稳定性相应要比较高。为了能够达到最加效果，本着最 小投资的原则，在本方案中决定采样华为的网络设备这样可以最大的

12、节约成本和最 大限度的提高设备的质量。由于在校园网中存在大量的网络设备，为了保障整个网络的正常运作，学校安装了华为3Com的网管软件来对整个网络的运作进行监控.此网管系统支持SNMP RMO等网络管理协议，能对网络中的设备进行远程监控， 通过探测每台网络设备的 工作状态，来保证整个网络的可靠性。一旦网络设备出现问题，网管系统会及时准 确地发现问题所在，并发出警告信息。通过此软件不但可以帮助学校网管人员及时 排除故障，又能大大降低学校在网络维护费用上的支出 可靠性软件学院校园网是长春工程学院重要的信息化建设工程， 所以校园网建设的可 靠性是非常重要的，因此在选型时候 , 明确提出要求网络设备厂商

13、具备”自主研发和 自主生产 "的能力，这样才能够保证网络产品的可靠运行， 同时保证后期设备的维护 和升级。考虑到校园网是服务于江西大宇职业学院的广大师生的，因此我校校园网 要保证网络24X7小时不间断工作.安全性内外网通讯安全 :考虑到校园内部网络的安全性,在In ternet入口处加装了华为3Com公司的防 火墙，它能自动进行对不明数据包的检测，可拒绝所有未经授权的网络访问尝试， 并生成实时报警和报告，避免了未经授权访问和其他来自因特网的外部威胁和黑客 侵袭。另外华为公司的 防火墙网站过滤功能可限制对 12 种分类内容的访问，保证 了校园内网与因特网之间的通讯安全。网络设备安全：整

14、个校园网络所采用的华为3Com产品都具有不同级别的密码保护，网络管理 员可以根据不同的需要制定多样的安全级别来保护网络设备自身的安全性 , 例如指 定哪种类型用户可以获得何种级别的权限、 对网络设备进行哪些方面的修改等 , 从而 最大程度地保护设备的安全 .VLAN划分保证内网访问安全：由于整个校园网节点数多达 2000多个, 从保证内网的访问安全和便于管理的 角度考虑，对整个校园网进行了 VLAN的划分。网络中的各节点按相同职能部门或者 相同的应用划分到同一个 VLAN当中，不同VLAN之间的用户是不能互相访问的。譬 如学校领导和普通教师之间 , 由于职能的差异， 互相之间数据不能共享， 因

15、此将他们 划分到不同的VLAN当中，这样不会造成数据的错误传播以及不必要的数据泄漏，并 能有效避免广播风暴的形成 .2.3 系统需求分析不同应用及数据流所占用贷款分析 ： 基础信息服务约占用100MB;视频电话、网络会议、数字音频约占用100600M5001000M10M15M视频流媒体播放WW、WFTP、E-Mail 服务约占用 文件传输、 Internet 访问约占用由以上数据可以看出如果满足所有应用要求，单个用户所独占的网络带宽必须 在 10M 以上, 加上网络上固有的广播风暴， 设计目标是使单用户在某一个时间独占 的带宽不小于100M这样就足以实现网络视频播放、计算机网络和各种网络服务

16、 合一，而且也符合现今主流的10M/100M自适应网络的要求。2 。 4 设备选型2.4。1 核心层设备选型 ：核心层是校园网互联网络的高速交换主干， 用来实现远程站点之间的优化传输， 对协调校园网的通信非常重要。核心层负责完成网络各汇聚节点之间的互联及高效 的数据传输、交换、转发及路由分发 . 核心层结构有以下特点 :提供高可靠性和冗余性；提供故障隔离；迅速适应升级；提供较少的滞后和较好的可管理性； 具有有限和一致的直径。目前校园网核心层设备一般采用万兆核心以太网交换机，万兆以太网交换机构 成了网络的骨干部分。核心交换机还可以下接许多百兆或千兆交换机作为汇聚层交 换机，汇聚层交换机在通过lO

17、OMbpsf专输介质连接工作站。一般核心层设备采用高性能的交换网芯片以及高性能的网络处理器芯片，要求 有极高的系统总吞吐量和背板容量，可支持多个千兆端口 . 网络核心层设备的拟态网交换机应具有以下功能：高可靠性大容量高密度线速转发性能完善的QoS功能完善的安全机制强大的业务能力2.4.2 汇聚层及设备的选取汇聚层设备的选取：网络汇聚层是网络接入层和核心层之间的分界层 , 包括园区主干网络及所有连 接的路由器。汇聚层负责将各种接入业务集中起来 , 除了进行局部数据的交换、 转发 以外，还能通过高速接口将数据传输到核心层，在更大范围内进行数据的路由以及 处理。汇聚层多下将接入层交换机的数据进行汇聚

18、，对上通过高速接口将数据传输到 核心交换机上，起到承上启下的作用。设计汇聚层时根据汇聚层的主要功能，应考 虑到以下几点：汇聚层设备要有足够的带宽； 具有三层和多层交换特性； 具有灵活多样的业务能力； 必须具有冗余和负载均衡能力 ;汇聚层设备要进行VLAN之间的通信，因此一般为支持三层或三层以上的多层交 换设备，汇聚层设备的多层以太网交换机应具备以下特点：支持三层交换对上连接提供多种千兆端口模块化组网 支持丰富的二层协议 完善的安全机制 丰富的QoS支持 实用方便的网管能力接入层设备的选取：接入层为用户提供多网络本地网段的访问，它的主要作用事将工作组与汇聚层连接起来，主要完成逻辑网络分段、基于工

19、作组或 LAN隔离广播通信量以及在多个 CPU之间分布服务介入层设备位于网络的末端 ,对下提供对工作站的接入， 对上连接到汇聚层交换 机. 接入层设备提供各种标准接口将数据接入到网络中， 完成基于业务系统之间的隔 离和安全性控制、认证管理等功能。网络接入层设备应具有如下特点 :提供各种不同数量的100Mbps端口到用户，提供1000Mbps或1Gbps（电口、光口） 上行端口到上层交换机；高性能，低成本 , 所有端口支持全线速二层交换； 支持标准以太网协议，支持丰富的业界标准 , 充分考虑兼容现有网络设施； 网络设备可扩展性好，可平滑升级；支持丰富的业务特性，如 VLAN VLANTrunk、

20、链路聚合、端口镜像、QOS多播、 安全特性等 ;方便实用的网管。三 网络总体设计3.1 校园网络架构设计：1。校园网的拓补结构基本上是混合型的 , 它是由星型、总线型等典型拓补结构 组成，在现代网络结构化布线工程中多采用星型结构 ,主要用于同一楼层 , 由各个房 间的计算机间用集线器或者交换机连接产生的 ,它具有施工简单， 扩展性高，成本低 和可管理性好等优点；而校园网在分层布线主要采用树型结构；每个房间的计算机 连接到本层的集线器或交换机，然后每层的集线器或交换机在连接到本楼出口的交 换机或路由器，各个楼的交换机或路由器再连接到校园网的通信网中，由此构成了 校园网的拓补结构。 当然这其中还有

21、对网络整体结构的设计， 如 vlan 的划分，各不 同区域的细划分都需要根据学校情况来定。2.校园网络中心以及各分校区均通过 2M E1光纤或ADSL接入In ternet。对于 我们画定的区域如图书馆、宿舍等，都可以通过100M交换口连入校园网，而各个终 端可以采用10/100M共享式端口 .目前的校园网大多数是纯三层的交换网络。由于交换机都具有三层功能，汇聚 层一般已经可以与接入层归纳为一个层次 . 各楼层和各楼之间的交换设备都直接上 连到核心设备上。3。2 网络三层结构设计 校园网网络整体分为三个层次 : 核心层、汇聚层、接入层。为实现校区内的高 速互联, 核心层由 1 个核心节点组成，

22、 包括教学区区域、 服务器群； 汇聚层设在每栋 楼上, 每栋楼设置一个汇聚节点，汇聚层为高性能“小核心”型交换机，根据各个楼 的配线间的数量不同，可以分别采用 1 台或是 2台汇聚层交换机进行汇聚，为了保 证数据传输和交换的效率，现在各个楼内设置三层楼内汇聚层，楼内汇聚层设备不 但分担了核心设备的部分压力，同时提高了网络的安全性；接入层为每个楼的接入 交换机, 是直接与用户相连的设备。 本实施方案从网络运行的稳定性、 安全性及易于 维护性出发进行设计，以满足需求。3。3 汇聚层设备选型通常将位于接入层和核心层之间的部分称为分布层或汇聚层，汇聚层交换层是 多台接入层交换机的汇聚点，它必须能够处理

23、来自接入层设备的所有通信量，并提 供到核心层的上行链路，因此汇聚层交换机与接入层交换机比较，需要更高的性能，更少的接口和更高的交换速率。汇聚层交换机选择华为CISCOW C2960G-48整个校园共用4台汇聚层交换 机，使用千兆光纤与核心交换机相连。表 23 CISCO WS-C2960G-4参数CISCO WS-C2960G-4主 要参数产品外观交换机类型应用层级智能交换机二层内存传输速率64MB网络标准端口结构端口数量10Mbps/100Mbps/1000MbpsIEEE 802。3、IEEE 802。3u、IEEE 802.1x、IEEE 802.1Q、IEEE 802。1p、IEEE

24、802.1D、IEEE 802.1s、IEEE 802。1w、IEEE 802。3ad、IEEE802。3z、IEEE 802。3非模块化接口介质10/100BaseT,10/100/1000Base-Tx/SFP传输模式全双工/半双工自适应交换方式存储-转发冃板带宽32Gbps包转发率39MppsVLAN支 持支持QOS支 持支持网管支持支持网管功能Web浏览器，SNMP,CLI44MAC地址表8K模块化插槽数4指示面板母端口状态：连接完整性、禁用、活动、速度、全双工，系统状态：系统、RPS链路状态、链路双工、链路速度电源100VAC-240VAC 50Hz/60Hz, 环境标准工作温度:0

25、 C -45 °C、工作湿度：10%-85（非冷凝）、存储温度：-25 C -70 C、存储湿度：10% 85%（非冷凝）尺寸（mm）328*445 衣 44重量（Kg）5.4价格¥ 2.2 万3.4路由器选型CISCO 7206VXR 参数CISCO 7206VXF基 本参数路由器外观路由器类型端口结构模块化接入路由器模块化网络协议IEEE 802。3, SDN;密标准 AH ( MD5),ESP (Null,DES , 3DES,ARC4,proprietary fast encoding,+MD5/HMAC,-MD5) ;PPP ( PAP,CHAP LCP, IPC

26、P,MLPPP)固定的广域网接口可选广域接口 WIC卡固定的局域网接口10/100Base T/TX其他端口控制端口 RS232内置防火墙是Qos支持支持支持VPN支持扩展模块6处理器225、263 或 350MHz (MIPS RISC)内存最大512MB网络管理Cisco ClickStart,SNMP适用环境工作温度:0 °C-40 'C、工作湿度：10% 90%、存储温度：一20C 65C电源电源电压：1认证100-240V尺寸431 *426*133重量22.7Kg价格¥ 3.5 万3.5防火墙设备的选型固定接口1个配置口（ CON1个备份口（ AUX）2

27、个10/100/1000M以太网口（支持光口或者电口）2个10/100/1000M以太网口（支持电口）插槽2个MIM插槽，可选的接口模块包括1FE/2FE/4FE/1GE/2GEFLASH16MBSDRAM缺省：512MB最大:1GB外型尺寸（H X W D）44 x 436mm x420mm重量6kg电源模块输入交流主机:100-240V ; 50/60Hz 直流主机：一48V -60V输出电压：12VAAA服务RADIUS认证HWTACA(认证 域认证CHAP 佥证PAP验证防火墙包过滤基础和扩展的访问控制列表基于接口的访问控制列表基于时间段的访冋控制列表动态包过滤ASPF应用层报文过滤应

28、用层协议：FTP HTTP SMTP RTSP H。323 (Q 931, H。245, RTP/RTCP传输层协议：TCP UDP防攻击特性Land、Smurf、Fraggle、WinN uke Pi ng of Death、Tear Drop、 IP Spoofing、SYN Flood、ICMP Flood、UDP Flood、ARP欺骗 攻击防范ARP主动反向查询TCP报文标志位不合法攻击防范超大ICMP报文攻击防范地址/端口扫描的防范DoS/DDo敦 击防范ICMP重定向或不可达报文控制功能Tracert报文控制功能带路由记录选项IP报文控制功能 静态和动态黑名单功能MAC和IP绑定

29、功能透明防火墙基于MAC勺访问控制列表邮件/网页/应 用层过滤邮件过滤SMTP邮件地址过滤 SMTP邮件标题过滤 SMTP邮件内容过滤 网页过滤HTTP URL过滤HTTP内容过滤 应用层过滤Java Block ing ActiveX Blocki ngSQL注入攻击防范四网络地址规划及VLAN应用4.1。主干网设计为了满足应用需求，在本设计方案中使用了万兆核心，主干线路采用了4芯62.5 ym多模室内用光缆，汇聚层到接入层采用了 6类1000M非屏蔽双交线连接主 干网络。4。2 IP地址规划所谓IP地址就是给每一个直接与In ternet相连的主机分配一个在全世界范围 惟一的网络地址。目前

30、，大多使用的是32位的IPv4地址，寻址时路由器先按IP地址中的网络号net-id把网络找到；当找到目的网络后，再用ARPft、议用主机号host id找到主机.实际上，由于一台主机可能有多个IP地址，因此IP地址只是 标志了一台计算机的某个接口。网络拓扑结构：计算机网络拓扑结构一般有总线结构、星型结构、环形结构和 网状结构等。在以太网实际布线时，适宜选用树形结构，通过多级的HUB或交换机分级链接。这样，个别网点出现故障不会影响全局.并具有可靠性高、可扩展性好、易于管理等优点.在本次设计中我们采用了 B类IPV4网络地址作为校园网私网IP，以便于以后 校园网电脑增多，IP需求量也越日增多。校园

31、网内部由教学楼、寝室楼组成，其中 教学楼中又分为学生区和办公区两个部分，具体信息点分布如上。为了达到最好的 网络质量和方便管理，一共分为五个网段。其中第一网段为网络管理中心、共10个信息点，第二网段为交换机设备、共 70个IP，第三网段为教学区、共1354个信 息节点，第四网段为学生生活区、共 668个信息节点，第五网段为综合办公区、共 86个信息节点,IP地址网络号：子网淹码网络中心：172.16。0。1 172。16。0.100255。交换机：172。16。1.254172.16。1.0/24255。255.255。0路由/交换:172.16。1.5 172.16。1。

32、6255。教学区：172。16。9。1172。16.15。254172.16。9.0/21生活区：172。16.6.1172.16。7。254172。16。6.0/22255.255。252。0综合办公区：172。16。0。254172。84.3 VLAN 设计虚拟网络(VLAN Virtual Local Area Network )技术在校园网络中起到举足轻重的作用，应为VLAN技术可以提高校园网的效率和安全性，便于对用户的管理。 一方面，如果将相互之间通信最多的用户群分配在一个VLAh中,就可以保证通信最多的用户之间使用二层交换协议，而性质不同、通信量较少的用户之间则采用三层 交换协议通

33、信，这无疑大大提高了网络的效率；另一方面，一个VLAN就是一个独立 的广播域，VLAN之间是互相隔离的，应此确保了网络的安全保密性，可以进行网络 用户的分类管理。VLAN可以根据功能、用途、工作组及应用等因素将用户逻辑上划分为一个相对独立的网络，使一个可跨域不同网段、不同网络、不同位置的端到端网络。VLAN的技术优势主要体现在以下几个方面：增加了网络连接的灵活性；控制网络上的广播；加强了网络的安全性；网络管理简单、直观；根据VLAN在交换机上的实现方式，VLAN分为基于端口的VLAN基于MAC地址 的VLAN基于网络地址的VLAN基于用户的VLAN其中后三者为动态 VLAN在本方 案中我们采用

34、了基于端口的静态 VLAN详细情况请参照图2.3-1.| VLAN2.VLAN3核心层图 2.3-14。4校园网接入In ternet在信息化飞速发展的今天需要考虑校园网与互联网的连接问题。 一但接入互联 网,就会涉及到很多管理、安全等方面的问题,校园网除了接入CERNE以外，还同时 选择了中国网通作为出口接入点，校园网有两条出口，一个是光纤接入教育网，另一个是中国网通100Mbps专线。 考虑到IP地址匮乏的原因校园网内部采用 NAT地址装换方式提供In ternet访问服 务。NAT的主要功能包括以下几个方面：转换内部局部地址。在内部局部地址和内部全局地址之间建立映射关系；内部全局地址复用

35、.可以通过润许TCP连接或UD哙话中的原端口进行转换而节省内 部全局地址,用各个内部主机的TCP或UDP端口号区别；TCP负载均衡.对于某些外 部网络发起的与内部网络的通信数据流，可以为其配置一种目的地址转换得动态形 式五 校园网络管理及安全维护校园网的安全威胁主要来源于两大块， 一块是来自于网内，一块来自于网外。来 源于网内的威胁主要是病毒攻击和黑客行为攻击。根据统计，威胁校园网安全的攻 击行为大概有40%左右是来自于网络内部，如何防范来自于内部的攻击是校园网网 络安全防护体系需要重点关注的地方。5.1.威胁网络安全因素分析计算机网络安全受到的威胁包括：1. “黑客”的攻击；2. 计算机病毒

36、；3. 拒绝服务攻击(Denial of Service Attack).安全威胁的类型：1、 非授权访问。指对网络设备及信息资源进行非正常使用或越权使用等。如操 作员安全配置不当造成的安全漏洞，用户安全意识不强，用户口令选择不慎，用户将 自己的账号随意转借他人或与别人共享。2、冒充合法用户。主要指利用各种假冒或欺骗的手段非法获得合法用户的使用 权限，以达到占用合法用户资源的目的。3、破坏数据的完整性.指使用非法手段，删除、修改、重发某些重要信息，以干 扰用户的正常使用。4、 干扰系统正常运行，破坏网络系统的可用性。指改变系统的正常运行方法， 减慢系统的响应时间等手段。这会使合法用户不能正常访

37、问网络资源，使有严格响 应时间要求的服务不能及时得到响应。5、 病毒与恶意攻击。指通过网络传播病毒或恶意Java、active X等,其破坏性 非常高，而且用户很难防范。6软件的漏洞和“后门".软件不可能没有安全漏洞和设计缺陷， 这些漏洞和缺 陷最易受到黑客的利用。另外，软件的“后门”都是软件编程人员为了方便而设置 的，一般不为外人所知，可是一旦“后门”被发现，网络信息将没有什么安全可言.如Windows的安全漏洞便有很多。7、电磁辐射。电磁辐射对网络信息安全有两方面影响.一方面，电磁辐射能够破 坏网络中的数据和软件，这种辐射的来源主要是网络周围电子电气设备产生的电磁 辐射和试图破坏

38、数据传输而预谋的干扰辐射源。 另一方面，电磁泄漏可以导致信息泄 露。5。2网络安全防范措施在不改变原有网络结构的基础上实现多种信息安全，保障校园内部网络安全， 我们选购了一套网络安全防范设备1瑞星杀毒软件网络版1. 360超强病毒查杀2. 智能主动防御3. 增强型全网漏洞管理4. 强大的网络管理能力是网络安全的基础部署、控制、执行、升级、报告和 日志、二次开发。5. 兼容多种平台6. 一体化智能服务体系5。3网络管理网络管理就是指监督、组织和控制网络通信服务以及信息处理所必需的各种活 动的总称。网络管理的内容：（1）网络故障管理；（2）网络配置管理；（3）网络性能管理；（4）网络计费管理；（5

39、）网络安全管理.网络管理的手段：在校园网络管理方面，为了便于校园网络管理人员的管理及维护，我们选购 Quidview网络管理软件.Quidview网络管理软件基于灵活的组件化结构，用户可以 根据自己的管理需要和网络情况灵活选择自己需要的组件，真正实现“按需建构”.Quidview网络管理软件采用组件化结构设计， 通过安装不同的业务组件实现了 设备管理、VPN监视与部署、软件升级管理、配置文件管理、告警和性能管理等功 能。支持多种操作系统平台，并能够与多种通用网管平台集成，实现从设备级到网络 级全方位的网络管理。1网络集中监视Quidview 网络管理软件提供统一拓扑发现功能， 实现全网监控，可

40、以实时监控 所有设备的运行状况，并根据网络运行环境变化提供合适的方式对网络参数进行配 置修改，保证网络以最优性能正常运行。2故障管理 故障管理主要功能是对全网设备的告警信息和运行信息进行实时监控，查询和 统计设备的告警信息。3。 性能监控Quidview 网管系统提供丰富的性能管理功能，同时以直观的方式显示给用户。 通过性能任务的配置，可自动获得网络的各种当前性能数据，并支持设置性能的门 限，当性能超过门限时，可以以告警的方式通知网管系统。通过统计不同线路、不 同资源的利用情况，为优化或扩充网络提供依据 .4服务器监视管理服务器是企业 IP 架构中的重要组成部分， 通过 Quidview, 可

41、实现服务器与设备 的统一管理。5设备配置文件管理当网络规模较大时 , 网络管理员的配置文件管理工作将十分繁重， 如果没有好的 配置文件维护工具，网络管理员就只能手动备份配置文件 . 这样就给网络管理员管 理、维护网络带来一定的困难。Quidview 网络配置中心支持对设备配置文件的集中管理 , 包括配置文件的备 份、恢复以及批量更新等操作， 同时还实现了配置文件的基线化管理 , 可以对配置文 件的变化进行比较跟踪 .6。设备软件升级管理Quidview 提供完善的设备软件备份升级控制机制。 使用 Quidview ，管理员可以 方便地查询设备上运行的软件版本，并利用升级分析功能来确定设备运行软

42、件是否 需要升级。当升级软件版本时，可以利用 Quidview 集中备份设备运行软件 , 然后进 行批量升级。升级之后 , 可以使用 Quidview 进行升级结果验证，确保升级操作万无 一失。7. 集群管理针对大量二层交换机设备的应用环境，Quidview网络管理软件提供集群管理功 能,通过一个指定公网IP的设备（称作命令交换机）对网络进行管理。8。堆叠管理Quidview网络管理软件通过堆叠管理，可以集中管理较大量的低端设备，并且 为用户提供统一的网管界面，方便用户对大量设备的统一管理维护。9。故障定位与地址反查针对最为常见的端口故障，Quidview网络管理软件提供了便捷的定位检测工具

43、-路径跟踪和端口环回测试；当用户报告网络端口使用异常时，网络管理员可以通 过网管对指定用户端口做环回测试，直接定位端口故障 10。RMON管理RMO管理根据RFC1757定义的标准RMOMIB及华为3Com自定义告警扩展MIB对主机设备进行远程监视管理。5.4网络安全策略配置安全接入和配置：安全接入和配置是指在物理（控制台）或逻辑（telnet ）端口接入网络基础设施 设备前必须通过认证和授权限制，从而为网络基础设施提供安全性限制远程访问的 安全设置方法如下表19安全接入和配置方法访冋方式保证网络设备安全的方法备注Con sole控制接口的访问设置密码和超时限制建议超时限制设成5分钟进入特权e

44、xec和设备配置级别的命令行配置Radius来记录log on/logout 时间和操作活动；配置至少一个本地账户作应急之用tel net 访问米用ACL限制，指定从特定的IP地址来进行tel net访冋；配置Radius安全纪录方案；设置超时限制SSH访问激活SSH访问，从而允许操作员从网络的外部 环境进行设备安全登陆WEB管理访问取消Web!理功能SNMP访可常规的SNM访问是用ACL限制从特定IP地址 来进行SNM访问；记录非授权的SNM访问并 禁止非授权的SNM企图和攻击为增加安全，建 议更改缺省的SNMP Commutiy子串设置不同账号通过设置不同的账号的访问权限，提高安全性5.5

45、拒绝服务的防止网络设备拒绝服务攻击的防止主要是防止出现 TCP SYNE滥攻击、Smurf攻击 等；网络设备的防TCPSYN的方法主要是配置网络设备TCPSYN临界值，若多于这个 临界值,则丢弃多余的TCP SYN数据包；防Smurf攻击主要是配置网络设备不转发 ICMP echo请求（directed broadcast ）和设置ICMP包临界值,避免成为一个 Smurf 攻击的转发者、受害者。访问控制：1允许从内网访问in ternet ，端口全开放。2允许从公网到DMZ非军事）区的访问请求：WEB月艮务器只开放80端口，mail 服务器只开放25和110端口。4禁止从公网到内部区的访问请

46、求，端口全关闭。5允许从内网访问DMZ（非军事）区，端口全开放6 允许从DMZ（非军事）区访问in ternet ，端口全开放7禁止从DMZ（非军事）区访问内网,端口全关闭。5.6电源系统为保证网络系统的安全运转及电源发生故障时重要数据的储存，须配置具有高 可靠性的UPS电源。为此，在网络中心配置了一套山特 C3KVA/2100W的UPS电源。 5。7其校园网基本拓扑结构：设备配置方案(1)路由器168。 1。fl 端口接外网端口( 172。16。46。252/24)，f 0 端口接内网端口( 1921/24).Config tHost name 2624En able secret leve

47、l 15 0 starLine vty 0 4!设置 Tel net 密码Logi nPass starExitIn terface f 1Ip address 172.16.46。252 255。255。255。0No shutIp n at outside!定义外部接口ExitIn tface f 0Ip address 192.168 。1.1 255.255 。255。 0 No shutIp nat inside ！定义内部接口ExitAccess-list1 permitted 192.168。0。0 0 。0。255.255Ip nat inside source list 1

48、int f1 over! 应用 nat 协议Ip routingIp route 0.0.0 。0 0。0.0。0 172。16。46。254Ip route 192.168.10 。0 255.255 。255。0 192 。 168.1 。2Ip route 255.255.255。0 192 。Ip route 192 。168。30。0 255 。Ip route 192 。168.40。0 255。255。255。0 192。168.1。2Ip route 192 。168。50.0 255 。 255。255.0 192 。168.1.2 EndWrite

49、2）核心交换机F1/14分别与汇聚层交换机相连，Config tf1/8 与路由器相连。Enable secret level 15 0 star !设置特权密码Enable secret level 1 0 star !设置 Telnet 密码Hostname 4909Interface vlan 1Ip address 255 。 255。255。0 No shutExitIntface f1/8No switch ! 启用 3 层端口Ip address 192 。168。1。2 255 。No shutInterface range f1/1-4Switch

50、mode trunkNo shutExitIp routingIp route 0。0。0.0 192.168.1 。 1Ip route 192.168.20 。0 255.255 。255。Ip route 192 。168.30.0 255.255 。255。0 192 。Ip route 192.168 。40。0 255。255.255。0 192.168 。10。4Ip route 192 。168.50。0 255 。 255。255.0 192 。168.10。5 EndWrite（3）汇聚层交换机 3550-2 交换机配置F0/24 与核心交换机相连 ,F0/

51、1 5 与接入层交换机相连。 Config tHostname 3550 2Enable secret level 15 0 star !设置特权密码Enable secret level 1 0 star！设置 Telnet 密码Interface vlan 1Ip address 192 。168。 10。2 255.255.255 。0 No shutExitVlan 20Intface Vlan 20 ！创建 3 层虚拟端口Ip address 192 。168。 20.1 255 。255。255.0No shutInterface range f0/1-5Switch mode t

52、runkExitInterface f0/24Switch mode trunkExitIp routingIp route 0.0 。0。0 0.0 。0。0 192 。168。10.1Ip route 192.168 。30.0 255 。255。255。EndWrite 3550-3 交换机配置F0/24 与核心交换机相连， F0/1 5 与接入层交换机相连。Config tHostname 3550-3Enable secret level 15 0 star !设置特权密码Enable secret level 1 0 star！设置 Telnet 密码Interface vlan

53、1Ip address 192.168 。10。3 255.255 。 255.0No shutExitVlan 30ExitIntface Vlan 30!创建 3 层虚拟端口Ip address 192.168 。30.1 255.255 。255.0No shutInterface range f0/1-5Switch mode trunkExitIn terface fO/24Switch mode trunkExitIp routi ngIp route 0。0.0。0 0.0。0。0 192.168。10.1Ip route 192。168.20.0 1

54、92。168.10。2EndWrite 35504交换机配置F0/24与核心交换机相连,F0/1与接入层交换机相连.Config tHost name 3550-4En able secret level 15 0 star!设置特权密码Enable secret level 1 0 star !设置 Tel net 密码In terface via n 1Ip address 192.168.10。4 255。255.255。0No shutExitVla n 40Intface Vlan 40!创建3层虚拟端口Ip address 192。168。40.1 255.255。255.0No shutIn terface range f0/1Switch mode trunkExitIn terface f0/24Switch mode trunkExitIp routingIp route 0.0 。0。0 0 。0.0 。EndWrite 3550-5 交换机配置F0/24 与核心交换机相连， F0/1-7 与接入层交换机相连。Config tHostname 3550-5Enable secret level 15 0 star！设置特权密码Enable secret level 1 0 star !设置 Telne