校園網絡的搭建規(guī)劃設計與實現(xiàn)--畢業(yè)論文

1、<p>　　校園網絡的搭建規(guī)劃設計與實現(xiàn)</p><p><b>　　摘要</b></p><p>　　隨著信息技術的高速發(fā)展，許多學校紛紛建立屬于自己的校園網,將計算機引入教學、科研、管理等各個領域，從而引起了教學方法、教學手段和教學工具的重大改革，對提高教學質量，推動我國教育現(xiàn)代化的快速發(fā)展起著重要的作用。</p><p>　　本

2、文在局域網技術和先進發(fā)展基礎上，分析了建立校園網的意義，建設原則和目的，并詳細闡述了其設計方案過程。文章從系統(tǒng)結構、網絡方案、管理、布局等方面討論了校園網絡的設計方案。在網絡設計中，詳細介紹了網絡拓撲結構、VLAN劃分、IP分配、擴展訪問、NAT配置。最后通過相關軟件對網絡進行管理以及實現(xiàn)網絡的安全性。</p><p>　　本課題正是以本校的校園網為例，建設一個開放的、靈活的、先進的、可擴展的、易于管理的、高速網

3、絡的校園網，完全能夠適應學校在相當長的一段時間里的使用要求。并且能夠實現(xiàn)多媒體教學、網絡教學、數據安全等各種網絡服務，以滿足現(xiàn)代化教學的各種需求。</p><p>　　關鍵詞：網絡拓撲，VLAN，IP，擴展訪問，NAT </p><p>　　Design and Implementation of the Campus Network</p><p><b&g

4、t;　　ABSTRACT</b></p><p>　　With the quick development of information technology, many campus network are constructed in which computers is adopted in teaching, scientific research, management and so on.

5、 It results in great innovation in teaching means and tools, and play an important role in implementation of modern education of our country. </p><p>　　Based on local area network technology and advanced dev

6、elopment, analysis of the significance of the campus network, construction principle and purpose, and expounds the design process in detail. The article from the system structure, network, management and layout of the ca

7、mpus network is discussed in aspects of design. In network design, the paper introduces the network topology structure, the VLAN dividing, the IP allocation, expand access, dynamic routing configuration, NAT configuratio

8、n. Fi</p><p>　　This topic is the word of the school campus network as an example, the construction of an open, flexible, advanced, scalable, manageable, high-speed network of campus network, fully able to ad

9、apt to the school for quite a long time of use requirements. And be able to realize the multimedia teaching, network teaching, data security and other web services, to meet the diverse needs of modern teaching.</p>

10、<p>　　Key words: network topology, VLAN, IP, expanded access, NAT</p><p><b>　　目錄</b></p><p><b>　　1 前言1</b></p><p><b>　　1.1課題背景1</b></

11、p><p>　　1.2 目的和意義2</p><p>　　1.3 系統(tǒng)設計思想3</p><p><b>　　2需求分析4</b></p><p>　　2.1 業(yè)務需求分析4</p><p>　　2.2 用戶需求分析7</p><p>　　2.3 技術需求分析8&l

12、t;/p><p>　　3 校園網絡的結構設計12</p><p>　　3.1 配置核心VLAN端口地址12</p><p>　　3.2 IP擴展訪問16</p><p>　　3.3 靜態(tài)NAT配置19</p><p>　　4 校園網絡的主體拓撲結構22</p><p><b>　

13、　5 論文總結27</b></p><p><b>　　參考文獻28</b></p><p><b>　　指導教師簡介29</b></p><p><b>　　致謝30</b></p><p><b>　　1 前言</b></p&

14、gt;<p>　　在這個知識爆炸的社會中，對于合格人才的要求越來越多，需要他們掌握大量的各類知識，在教育中需要提高教學效率，這就要求學校的教學和管理工作向著信息交流網絡化、信息管理數據化、信息服務電子化發(fā)展。因此利用計算機網絡技術進行學術管理和開展互助教學已是勢在必行。</p><p>　　這就要求校園網絡是一個專業(yè)性很強的局域網。多媒體教學軟件開發(fā)的平臺，多媒體演示教室，教師備課系統(tǒng)，考試資料庫等

15、，都可以通過網絡運行工作。校園網應具有教學、管理和通信三大功能。對于目前的校園網建設來說，主要具有教學和通信功能，難以實現(xiàn)以熟悉化校園為核心的管理技術。</p><p>　　建設校園網對每個學校來說都不是一件容易的事，都要經過周密的論證、謹慎的決策和緊張的施工。校園網建成了，各種問題也不斷涌現(xiàn)，比如，設計目標根本無法實現(xiàn)，后續(xù)的維護費用不堪承受等等。</p><p>　　我將按照“統(tǒng)一規(guī)劃

16、、講究實效、安全可靠”的原則，進行校園網絡的系統(tǒng)設計，確保系統(tǒng)運行可靠，經濟性，投資合理，有良好的性能價格比，以滿足校園內計算機網絡系統(tǒng)的需要。</p><p><b>　　1.1課題背景</b></p><p>　　高校校園網一直是國內Internet發(fā)展的領頭羊。1994年7月 ，中國教育和科研計算機網CERNET示范工程啟動。也就是同一年，清華北大等頂尖大學建成

17、了自己的校園網，實際上這些網絡也是中國Internet的開端。高校校園網從 1994年的啟動建立到現(xiàn)在的17年間，我國的網絡技術得到了很大的提高。其中很重要的原因就是校園網絡的高速發(fā)展，校園網絡的現(xiàn)代化程度代表了國家網絡整體的水平。所以建設現(xiàn)代化、人性化和高效的校園網絡迫在眉睫。</p><p><b>　　1.2 目的和意義</b></p><p>　　在做這次校園

18、網絡設計的過程中，我們學習到的不僅僅是如何設計和組建一個校園網絡，而且更重要的是通過這次畢業(yè)設計可以將在大學四年中所學習到的知識進行綜合利用，最后達到融會貫通。</p><p>　　學院現(xiàn)在正處于一個高速發(fā)展日益壯大的時期。每年都有更多的新同學進入學校學習，越來越多資源正處于學校的不同位置不同的環(huán)境中。在使用這些資源如圖書館的在線圖書查閱、訪問學校內部文件服務器、登陸學校內部網站等日常應用，如果無法實現(xiàn)的話,不但

19、造成了大量的現(xiàn)有資源的閑置而且隨著信息量的增大還會帶來工作效率降低等諸多弊端。所以要利用好現(xiàn)有的網絡資源組建一個現(xiàn)代化的校園網絡。</p><p>　　現(xiàn)今的網絡系統(tǒng)包括網絡交換機以及疊加其上的語音、數據、視頻裝置以及可變化的軟、硬件應用。它的開放式設計意味著更好的整體化及高品質應用的能力。提供的帶寬可適合話音，圖像，數據的傳輸，這種帶寬結合設備廠商的優(yōu)秀網管模式，可以向用戶提供面對面的通訊。在建設校園網時，要達

20、到以下目標：</p><p>　　1．在校園內部實現(xiàn)資源高度共享，為教學、科研、管理提供服務，為計劃、組織、管理與決策提供基礎信息和科學手段。</p><p>　　2．支持教育教學改革，提高教育技術的現(xiàn)代水平和教育信息化程度、為學校教師的備課、課件制作、教學演示提供網絡環(huán)境。</p><p>　　3．通過互聯(lián)網、錄像機、掃描儀、數碼相機等各種渠道獲得多媒體資料，實現(xiàn)

21、素材收集、電子備課功能。培養(yǎng)創(chuàng)新人才，提高學生收集處理信息的能力、獲取新知識的能力、分析和解決問題的能力、語言文字表達能力以及團結協(xié)作和社會活動的能力，使學生能自主學習、協(xié)商學習、發(fā)現(xiàn)探究式學習以及自我評價，為學生的全面發(fā)展創(chuàng)造相應的條件。</p><p>　　4．實現(xiàn)辦公自動化，提供與上級教育部門、社會、家庭之間通訊的出入口，提供電子函件、公告牌和教育教學信息查詢等服務，提高工作效率和管理水平。</p&g

22、t;<p>　　5．及時、準備、可靠地收集、處理、存儲、傳輸學校的教育教學信息完成與因特網的通訊和資源共享，實現(xiàn)社會教育、學校教育、家庭教育的有機整合。</p><p>　　6．實現(xiàn)課堂多媒體電化教學，具備適用于雙向課堂語音教學及語音室功能學習。以代替手提錄音機，實現(xiàn)音頻數字化資源共享、集中管理。</p><p>　　1.3 系統(tǒng)設計思想</p><p&g

23、t;　　采用先進成熟的技術和設計思想，運用先進的集成技術路線，以先進、實用、開放、安全、使用方便和易于操作為原則，突出系統(tǒng)功能的實用性，盡快投入使用，發(fā)揮較好的效能。</p><p>　　本系統(tǒng)在軟件配置和硬件設備，整個系統(tǒng)設計上依照以下原則確定。</p><p><b>　　1．先進性</b></p><p>　　世界上計算機技術的發(fā)展十分迅

24、速，更新?lián)Q代周期越來越短。所以，選購設備要充分注意先進性，選擇硬件要預測到未來發(fā)展方向，選擇軟件要考慮開放性，工具性和軟件集成優(yōu)勢。</p><p><b>　　2．實用性</b></p><p>　　系統(tǒng)的設計既要在相當長的時間內保證其先進性，還應本著實用的原則，在實用的基礎上追求先進性，使系統(tǒng)便于聯(lián)網，實現(xiàn)信息資源共享。易于維護管理，具有廣泛兼容性，同時為適應我國

25、實際情況，設備應具有使用靈活、操作方便的漢字、圖形處理功能。</p><p><b>　　3．安全性</b></p><p>　　目前，計算機網絡都與外部網絡互連互通日益增加，都直接或間接與國際互連網連接。因此，在系統(tǒng)方案設計需考慮到系統(tǒng)的可靠性、信息安全性和保密性的要求。</p><p><b>　　4．易擴充性</b>

26、</p><p>　　系統(tǒng)規(guī)模及檔次要易于擴展，可以方便地進行設備擴充和適應工程的變化，以及靈活地進行軟件版本的更新和升級，保護用戶的投資。</p><p>　　目前，網絡向多平臺、多協(xié)議、異種機、異構型網絡共存方向發(fā)展，其目標是將不同機器、不同操作系統(tǒng)、不同的網絡類型連成一個可協(xié)同工作的一個整體。所以所選網絡的通迅協(xié)議要符合國際標準，為將來系統(tǒng)的升級、擴展打下良好的基礎。</p&g

27、t;<p><b>　　5．靈活性</b></p><p>　　采用結構化、模塊化的設計形式，滿足系統(tǒng)及用戶各種不同的應用要求，適應業(yè)務調整變化。</p><p><b>　　6．規(guī)范性</b></p><p>　　采用的技術標準按照國際標準和國家標準與規(guī)范，保證系統(tǒng)的延續(xù)性和可靠性。</p>

28、<p><b>　　7．綜合性</b></p><p>　　滿足系統(tǒng)目標與功能目標，總體方案設計合理，滿足用戶的應用要求，便于系統(tǒng)維護，以及系統(tǒng)二次開發(fā)與移植。</p><p><b>　　2需求分析</b></p><p>　　2.1 業(yè)務需求分析</p><p>　　1．骨干網絡高性能

29、和高穩(wěn)定可靠的需求</p><p>　　首先是高性能。高校校園網中用戶數在不斷增加，并且隨著網絡應用技術的不斷豐富，高校校園網應用也愈發(fā)復雜，例如FTP、VOD點播等大量數據的訪問，尤其目前流行的P2P的應用產生了巨大的網絡流量。如何進行網絡傳輸，對網絡設備的性能提出了很高的要求。實際情況中，依然使用的骨干設備是集中式表查詢和集中式轉發(fā)模式的。</p><p>　　其次是穩(wěn)定可靠性。一方面

30、，未來的社會是信息的社會，當隨著校內師生員工的工作、科研、學習、生活、娛樂越來越離不開網絡（例如：無紙化辦公、網絡教學、視頻會議和視頻點播、網上購物等業(yè)務的開展），網絡的穩(wěn)定可靠性就顯得愈發(fā)重要——網絡隨便斷開幾小時也無所謂的歷史已經過去。另一方面，在應用豐富的同時，網絡環(huán)境變得異常惡劣。近兩年，安全攻擊事件呈指數級上升而所需要的知識卻越來越弱化，各種攻擊工具在網絡上可以隨手躡來。這也及對網絡在網絡攻擊或者病毒泛濫情況下的穩(wěn)定可靠性提出

31、了挑戰(zhàn)。目前，在高校使用的設備中還存在大量早期采購的設備，這些在啟用了安全規(guī)則情況下性能急劇下降——在受到網絡攻擊或者病毒泛濫的時候，CPU利用率高居不下，設備穩(wěn)定性降低，很可能死機。</p><p>　　由此分析看來，隨著用戶數增加、應用的復雜，導致網絡流量的飛速提升，需要保證多用戶、大流量情況下骨干的高帶寬，骨干設備的線速轉發(fā)。隨著師生日常對于網絡的依賴性的增強，和網絡環(huán)境的日趨惡化，需要保證做到骨干網絡一定

32、級別的穩(wěn)定可靠性，如圖2.1所示。</p><p>　　圖2.1 高可靠性雙核心示意圖</p><p>　　2．方便運營管理的需求</p><p>　　首先，校園網需要進行合理的運營。第一、校園網的投資較大，加上每年的維護成本，對于學校并不是一筆可以忽視的開支；第二，根據各校的情況，進行合理的運營收費，依靠市場化的手段能夠推動校園網的運作規(guī)范化和提高假設水平。<

33、;/p><p>　　其次，有效的管理可以從用戶管理和設備管理兩方面來看。</p><p>　　對于用戶管理，最重要的是能夠實現(xiàn)事前的身份認證和準確定位，事中的實時處理、事后的完善日志審計。事前的認證和定位是指可嚴格實現(xiàn)用戶身份證識別，根據用戶帳號、密碼、MAC地址、IP地址、交換機IP、交換機端口號、用戶所在的VLAN的靈活組合，來識別用戶身份。將網絡中的虛擬用戶和生活中的真實用戶相對應；事中

34、的實施處理是指對于正在使用網絡的用戶，如果出現(xiàn)私自撥號上網、使用代理、更改IP地址等，認證計費系統(tǒng)會強制用戶下線。對于感染病毒，出現(xiàn)安全事件的用戶，結合全局安全通過安全聯(lián)動來進行隔離、阻斷和修復，以保證校園網的安全。事后的日志審計時指紀律用戶上網的詳細信息（包括用戶名、IP、MAC等）及完善的用戶訪問外網的記錄（包括源IP、目的IP、源端口、目的端口、訪問時間），一旦出現(xiàn)安全事件，可以進行快速完整的審計，迅速定位到人。</p>

35、;<p>　　對于設備管理，需要的是統(tǒng)一有效的網絡管理系統(tǒng)。能夠直觀全面的監(jiān)控整個網絡和各種設備的運行狀態(tài)，記錄和深入分析網絡流量，及時報告各種故障和性能問題，協(xié)助管理員找到故障的起源，并且對網絡的性能變化和故障發(fā)生提前預測。</p><p>　　高校用戶數和網絡節(jié)點數眾多，因此難以一體化管理眾多的設備和用戶，出現(xiàn)網絡故障無法快速定位、IP地址盜用、IP地址沖突等問題日益嚴重，如何利用有限的人力物力

36、對網絡進行高效管理也成為學?？紤]的著重點。</p><p><b>　　3．接入可控需求</b></p><p>　　首先，要能實現(xiàn)各種方式的靈活接入。一種是大多數學校采用的有線方式，這可以在樓棟建設、裝修過程中完成布線；另一種就是無線接入方式的補充或冗余。寢室區(qū)采用無線覆蓋主要針對：1）某些不方便布線的樓棟或者布線成本太高的樓棟。2）方便學生上網，擺脫有線束縛。&l

37、t;/p><p>　　其次，要能對各種接入都能進行有效的控制。隨著技術的發(fā)展，網絡的接入將形成有線+無線的綜合環(huán)境。這就要求不僅能夠對有線用戶進行準入控制，還要對無線用戶進行接入的認證，同樣的IPv4和 IPv6兩種環(huán)境下也都能要保證只有申請開通的合法用戶才可以使用網絡。接入可控的需求還體現(xiàn)在以下兩個方面。</p><p>　　能夠對接入用戶進行帳號與IP、MAC、端口等多元素綁定，以唯一確定

38、用戶身份，同時做到準確定位。</p><p>　　針對目前用戶沉迷于網絡。以至于影響學業(yè)的實際情況，需要能夠對用戶的接入上網時間段做靈活的控制，如圖2.2所示。</p><p>　　圖2.2 網絡接入控制示意圖</p><p><b>　　4．計費需求</b></p><p>　　首先，很重要一點就是要有一套能夠符合我學

39、校運營管理特點的計費策略。提供針對不同用戶的不同計費需求的靈活計費策略的支持，詳細來說包括：1）對于上網時間較長的可以采取包年、包月、包學期等方式；2）對于上網時間不是特別長的，可能需要計時、或者計天的方式；3）可能有師生認為自己僅僅偶而上網看看網頁，聊聊天，自己流量不大，很希望能夠按流量或者計天但是是當天不用不扣費的模式；4）學生到了寒暑假，或者老師外出培訓、會議一段時間，就會需要一次交費資助分段開通的計費策略，這樣能夠最大化的保障用

40、戶的利益。 </p><p><b>　　5．網絡安全的需求</b></p><p>　　1）高校面臨著嚴峻網絡安全形勢。越來越多的報道表明高校校園網已逐漸成為黑客的聚集地。這一方面是由于網絡病毒、黑客工具的泛濫，用戶安全意識的淡薄，而另一方面，高校學生這群精力充沛的年輕一族對于新鮮事物有著強烈的好奇心，他們有著探索的高智商和沖動。如何保障校園網絡的安全成為校園網絡的

41、安全成為高校校園網絡建設時不得不考慮的問題。</p><p>　　2）網絡安全一定是全方位的安全。首先，網絡出口、數據中心、服務器等重點區(qū)域要做到的安全過濾；其次，不管接入設備，還是骨干設備，設備本身需要具備強的安全防護能力，并且安全策略部署不能影響網絡的性能，不造成網絡單點故障；最后，要充分考慮全局統(tǒng)一的安全部署，需要能夠從準入控制，到對網絡安全事件進行深度探測，到現(xiàn)有安全設備有機的聯(lián)動，到對安全事件觸發(fā)源的準

42、確定位和根據身份進行隔離。修復措施，從而能對網絡形成一個由內至外的整體安全構架。</p><p>　　所以，在對外出口等重點區(qū)域進行安全部署的同時，要更加全面的考慮安全問題，讓整個網絡從設備級的安全上升一個臺階，擺脫僅僅局部加強某個單點的安全強度的手段。</p><p>　　2.2 用戶需求分析</p><p>　　1．隨時隨地接入的需求</p>&l

43、t;p>　　首先，高校師生對于網絡接入有著強烈的需求。隨著近年來國家對高等教育的大力發(fā)展支持，高校在校生人數普及呈現(xiàn)上升趨勢。是由于國家經濟實力的增強，技術的發(fā)展帶來的低成本，導致電腦的普及率也越來越高（據不完全統(tǒng)計，在很多的高校， PC的擁有率可以達到70%）。</p><p>　　其次，在部分熱點區(qū)域，或者難以布線的區(qū)域需要有一種行之有效的高性價比的接入方式。也就是采用無線作為補充或者備份。比如廣場/操

44、場、閱覽室、階梯教室等，這些區(qū)域對于筆記本用戶需要能夠提供接入服務，而這是有線接入是行不通的。又比如校內的某棟較偏遠的辦公樓或者某幾棟家屬樓，上網用戶有限，進行獨立布線成本較高，所以，同樣需求進行無線的接入方式。</p><p>　　簡言之，網絡作為一個底層的平臺需要師生能夠隨時隨地的方便的接入。這就強調有線網絡和無線網絡的集合，適合無線網絡的地方用無線網絡，適合有線網絡的地方用有線網絡。當然，兩者可以有一定的冗

45、余，甚至部分區(qū)域會采用無線網絡進行備份。如圖2.3所示。</p><p>　　圖2.3 多種接入示意圖</p><p><b>　　2．網絡安全需求</b></p><p>　　近年來、網絡病毒泛濫、安全事件頻頻發(fā)生。拿2010年上半年為例，蠕蟲、木馬、間諜軟件等惡意代碼在網絡上的傳播和活動頻繁。據CNCERT/CC統(tǒng)計，從2010年1月1日到

46、2010年6月30日，全球共新增蠕蟲、木馬、病毒等惡意代碼11851種，是前一年同期增長數量的1.2倍。安全將會越來越成為我們網絡穩(wěn)定可靠運營的一個保障。</p><p>　　那么，高校寢室網絡這樣一個特殊的用戶群環(huán)境中，如何保證網絡的安全運行？這就提出了“被動式安全”和“主動式安全”的需求。</p><p>　　首先，在發(fā)生安全事件的時候，我們要有應對措施。第一，需要設備本身具備強大的安

47、全防護能力（如：防Dos攻擊，防DHCP攻擊，方掃描等）；第二，某學生在網絡發(fā)布不良言論或者進行網絡攻擊后，我們要能夠通過日志審查，精確定位到個人。由于都是事件發(fā)生后才采取的應對措施，所以稱之為“被動式安全”。</p><p>　　其次，安全一定是安全局的安全，要能夠對網絡行為進行實時地深入的數據監(jiān)測，并在局部出現(xiàn)病毒或者攻擊后，對攻擊源/病毒源采取措施，達到防治病毒擴散的效果。這些措施包括了；針對具體源頭進行的

48、警告信息發(fā)送，隔離到安全區(qū)域，并自動、手動下載升級補丁，如圖2.4所示。</p><p>　　圖2.4 網絡安全示意圖</p><p>　　3．寢室網絡高性能需求</p><p>　　1）今年校內注冊上網用戶爆炸式增長。這主要是由于高校的招生人數的增加，以及電腦的日益普及。因此，需要系統(tǒng)認證計費效率，用戶的認證和計費不會對網絡性能造成瓶頸。與此同時，系統(tǒng)需要能支持幾

49、千級以上用戶同時在線并正常運行，而用戶不會感覺網絡速度慢。</p><p>　　2）寢室網的一個特點就是：上網的時間相對比較集中（主要集中在晚間和節(jié)假日），所以在此時段網絡訪問流量較大，在一些投入數的時候可能會出現(xiàn)大量的網絡突發(fā)流量。這對系統(tǒng)保持高性能，提供可靠運行提出了更高的要求。</p><p>　　2.3 技術需求分析</p><p>　　1．多出口部署的需要

50、</p><p>　　對于出口，最主要有兩個方面的需求：</p><p>　　一方面、需要進行多出口的策略部署。首先，可以解決資源訪問速度問題。由于CERNET與電信等運營商，以及運營商之間的互聯(lián)帶寬較小的原因，并且全國只在北京、上海、廣州建立有互聯(lián)中心，而實際上互聯(lián)網上大多數的資源都在電信，這樣的結果是，從教育網瀏覽電信資源就會很慢；其次，可以解決學校的費用問題。這是因為教育網規(guī)定了其免

51、費訪問的地址列表，在地址列表之外的都按照一定的公式計算費用。于此對應的是，電信等運營商提供的線路大多數是包月不限流量。</p><p>　　所以，也可以得出多出口部署的期望結果是：根據速度來選擇訪問線路走教育網還是電信還是網通等ISP；根據費用來判斷訪問線路走教育網還是非教育網。</p><p>　　另一方面，對于多出口的設備本身有一定的要求。隨著應用的增加，很多學校的出口流量也在不斷增加

52、，加上出口設備很多時候需要進行NAT的轉換，所以對于出口設備的性能，穩(wěn)定性以及可靠性提出了較高的要求，如圖2.5所示。</p><p>　　圖2.5 多出口部署示意圖</p><p>　　2．強大數據中心建立的需求</p><p>　　1）眾多高校仍然采用的是 直接存儲在服務器硬盤上的方式，也就是我們所說的直連存儲(DAS)。這種方式存在眾多的問題。1、不同的數據存

53、儲在不同服務器的硬盤上，造成有些服務器硬盤空間已滿，而有些服務器硬盤空間卻閑置。空間擴展比較困難，并且服務器之間無法進行空間共享。2、隨著應用的不斷豐富，訪問量的增加，辦公、教學、科研對網絡的依賴，服務器的性能收到強烈的考驗。最終可能成為性能的瓶頸，如圖2.6所示。</p><p>　　圖2.6 服務器數據存儲與備份意圖</p><p>　　2）對著計算機信息系統(tǒng)的不斷發(fā)展，用戶的核心業(yè)務

54、越來越依賴于信息系統(tǒng)的可靠運行，信息系統(tǒng)中的關鍵業(yè)務數據已經成為用戶最為重要的資產。因此，對關鍵的業(yè)務數據進行備份保護刻不容緩。但是當前絕大多數國內高校，對于關鍵數據，比如財務數據、學籍/檔案、學術論文等資料還沒有進行有效的備份或容災。一旦數據毀壞/丟失，后果不堪設想，如圖2.7所示。</p><p>　　圖2.7 異地容災示意圖</p><p>　　也正是基于對存在的問題的認識和目前各種

55、應用帶來的數據存儲的實際需求，很多高校已經開始進行數據中心的建立，那么數據中心建設，應該到怎樣的目標？數據中心的存儲設備應該如何選擇？都是需要重點考慮的問題。</p><p><b>　　3．過度的要求</b></p><p>　　中國下一代互聯(lián)網絡示范工程CNGI是實施我國下一代互聯(lián)網發(fā)展戰(zhàn)略的起步工程，由國家發(fā)改委、科技部、信息產業(yè)部、教育部、中科院等八部委聯(lián)合領

56、導。2001年CERNET（中國教育科研網）提出建設CERNET2計劃。2003年12月，國家發(fā)改委批準了中國下一代互聯(lián)網示范工程CNGI建設項目。經過兩年多的建設，2006年10月，CERNET2通過了10個原始領先的項目鑒定委員的鑒定驗收，整體平達到了世界領先水平?？梢灶A見的是IPV6是必然的趨勢。而學校積極主動的應對IPV6，有利于提升學校的應用水平和科研水平。并為IPV6真正大規(guī)模部署做好比要的技術儲備。實施上，各個高校在網絡改

57、造，設備采購的時候都在考慮對IPV6的支持。并且值得關心的五難題是：在向IPV6過度的階段，如何充分利用現(xiàn)有設備，保護投資，該采用何種部署策略，保證應用的平滑過渡</p><p>　　4．網絡設備的選擇原則</p><p>　　1）安全、穩(wěn)定、可靠</p><p>　　作為整個校園網絡系統(tǒng)的硬件基礎，網絡設備必須是具備安全性、穩(wěn)定性和可靠性的特點。這是網絡系統(tǒng)穩(wěn)定運

58、行的最基本條件。最好是經過相當長時間，在世界范圍內被廣泛應用的網絡產品，所以在選擇產品時選用知名廠商的產品。</p><p><b>　　2）技術先進性</b></p><p>　　網絡設備僅僅具有安全、穩(wěn)定和可靠的特點是不夠的。作為高科技的產品，還應該具有技術先進性。在選擇網絡設備應該采用當今較先進的技術，能夠保持該設備在相當長的一段時間內不會因為技術落后而被淘汰。

59、同時，在網絡規(guī)模進一步擴大，該設備不能承擔繁重的負荷時，能夠降級使用。</p><p><b>　　3）易于擴展性</b></p><p>　　由于信息技術和人們對于新技術的需求發(fā)展都非常迅速，為了避免不必要的重復投資，應選擇具有一定擴展能力的設備，能夠保證在網絡規(guī)模逐漸擴大的時候，不需要增加的設備，而只需要增加一定數量的模塊就行。最好能夠做到在網絡技術進一步發(fā)展，現(xiàn)

60、有模塊不支持新技術的情況下，只需要更換相應模塊，而不需要更換整個設備。</p><p><b>　　4）管理和維護方便</b></p><p>　　先進的設備必須配合先進的管理和維護的方法，才能夠發(fā)揮最大的作用。所以，在選擇設備時必須支持現(xiàn)有的、常用的網絡管理協(xié)議和多種網絡管理軟件，便于管理人員的維護。</p><p>　　3 校園網絡的結構設

61、計</p><p>　　3.1 配置核心VLAN端口地址 </p><p>　　VLAN是一種通過將局域網內的設備邏輯地而不是物理地劃分成一個個不同的網段，從而實現(xiàn)虛擬工作組的技術。不同VLAN之間的數據傳輸是通過網絡層的路由來實現(xiàn)的，因此，使用VLAN技術結合數據鏈路層和網絡層的交換設備，可搭建安全可靠的網絡。</p><p>　　劃分V

62、LAN的目的一是提高網絡安全性，不同VLAN的數據不能自由交流，需要接受第三層的檢驗。因此，在一定程度上加強了虛擬網間的隔離，有效防止外部用戶入侵，提高了安全性。二是隔離廣播信息，劃分VLAN后，廣播域縮小，有利于改善網絡性能，能夠將廣播風暴控制在一個VLAN內部，同時使網絡管理趨于簡單。如圖3.1所示。</p><p>　　圖?3.1VLAN通信模型</p><p><b>　

63、　S3560</b></p><p><b>　　Switch>en</b></p><p>　　Switch#vlan database</p><p>　　Switch(vlan)#vlan 10</p><p>　　VLAN 10 added:</p><p>　　Name

64、: VLAN0010</p><p>　　Switch(vlan)#vlan 20</p><p>　　VLAN 20 added:</p><p>　　Name: VLAN0020</p><p>　　Switch(vlan)#exit</p><p>　　Switch#conf t</p><p

65、>　　Enter configuration commands, one per line. End with CNTL/Z.</p><p>　　Switch(config)#interface fa0/1</p><p>　　Switch(config-if)#switchport access vlan 10</p><p>　　Switch(conf

66、ig-if)#exit</p><p>　　Switch(config)#interface fa0/2</p><p>　　Switch(config-if)#switchport access vlan 20</p><p>　　Switch(config-if)#end</p><p>　　Switch#conf t</p>

67、<p>　　Switch(config)#interface vlan 10</p><p>　　Switch(config-if)#ip address 192.168.1.1 255.255.2555.0</p><p>　　Switch(config-if)#no shutdown </p><p>　　Switch(config-if)#ex

68、it</p><p>　　Switch(config)#interface vlan 20</p><p>　　Switch(config-if)#ip address 192.168.3.1 255.255.255.0</p><p>　　Switch(config-if)#no shutdown </p><p>　　Switch(con

69、fig-if)#end</p><p><b>　　R1</b></p><p><b>　　Router>en</b></p><p>　　Router#conf t</p><p>　　Router(config)#hostname R1</p><p>　　R1(

70、config)#interface fa0/0</p><p>　　R1(config-if)#no shutdown </p><p>　　R1(config-if)#ip address 192.168.3.2 255.255.255.0</p><p>　　R1(config-if)#exit</p><p>　　R1(config)#

71、interface se2/0</p><p>　　R1(config-if)#no shutdown </p><p>　　R1(config-if)#ip address 192.168.4.1 255.255.255.0</p><p>　　R1(config-if)#clock rate 64000</p><p>　　R1(conf

72、ig-if)#end</p><p><b>　　R1#</b></p><p><b>　　R2</b></p><p><b>　　Router>en</b></p><p>　　Router#conf t</p><p>　　Router(c

73、onfig)#hostname R2</p><p>　　R2(config)#interface fa0/0</p><p>　　R2(config-if)#no shutdown </p><p>　　R2(config-if)#ip address 192.168.2.1 255.255.255.0</p><p>　　R2(confi

74、g-if)#exit</p><p>　　R2(config)#interface se2/0</p><p>　　R2(config-if)#no shutdown </p><p>　　R2(config-if)#ip address 192.168.4.2 255.255.255.0</p><p>　　R2(config-if)#en

75、d</p><p><b>　　測試網絡的連通性。</b></p><p>　　(1)PC1主機ping主機PC2的結果如下所示：</p><p>　?。?）PC2主機ping主機PC1的結果如下所示：</p><p>　　3.2 IP擴展訪問</p><p>　　訪問列表中定義的典型規(guī)則主要有以

76、下：源地址、目標地址、上層協(xié)議、時間區(qū)域；擴展IP訪問列表（編號100-199、2000、2699）使用以上四種組合來進行轉發(fā)或阻斷分組；可以根據數據包的源IP、目的IP、源端口、目的端口、協(xié)議來定義規(guī)則，進行數據包的過濾。</p><p>　　擴展IP訪問列表的配置包括以下兩步：</p><p>　　定義擴展IP訪問列表；將擴展IP訪問列表應用于特定接口上。如圖3.2所示</p&g

77、t;<p>　　圖?3.2 IP擴展訪問模型</p><p>　　路由器R0的基本配置</p><p><b>　　Router>en</b></p><p>　　Router#conf t</p><p>　　Router(config)#hostname R0</p><p&g

78、t;　　R0(config)#interface fa0/0</p><p>　　R0(config-if)#ip address 172.16.1.1 255.255.255.0</p><p>　　R0(config-if)#no shutdown </p><p>　　R0(config-if)#exit</p><p>　　R0(co

79、nfig)#interface fa1/0</p><p>　　R0(config-if)#ip address 172.16.2.1 255.255.255.0</p><p>　　R0(config-if)#no shutdown</p><p>　　路由器R1的基本配置</p><p><b>　　Router>en&l

80、t;/b></p><p>　　Router#conf t</p><p>　　Router(config)#hostname R1</p><p>　　R1(config)#interface fa1/0</p><p>　　R1(config-if)#ip address 172.16.2.2 255.255.255.0</p

81、><p>　　R1(config-if)#no shutdown </p><p>　　R1(config)#interface se2/0</p><p>　　R1(config-if)#ip address 172.16.3.1 255.255.255.0</p><p>　　R1(config-if)#no shutdown </p&

82、gt;<p>　　R1(config-if)#clock rate 64000</p><p>　　R1(config-if)#</p><p>　　路由器R2的基本配置</p><p><b>　　Router>en</b></p><p>　　Router#conf t</p>&l

83、t;p>　　Router(config)#hostname R2</p><p>　　R2(config)#interface se2/0</p><p>　　R2(config-if)#ip address 172.16.3.2 255.255.255.0</p><p>　　R2(config-if)#no shutdown </p><

84、;p>　　R2(config-if)#exit</p><p>　　R2(config)#interface fa0/0</p><p>　　R2(config-if)#ip address 172.16.4.1 255.255.255.0</p><p>　　R2(config-if)#no shutdown</p><p>　　路由

85、器R0上配置默認路由</p><p>　　R0(config-if)#exit</p><p>　　R0(config)#ip route 0.0.0.0 0.0.0.0 172.16.2.2</p><p>　　路由器R2上配置默認路由</p><p>　　R2(config-if)#exit</p><p>　　R

86、2(config)#ip route 0.0.0.0 0.0.0.0 172.16.3.1</p><p>　　路由器R1上配置靜態(tài)路由</p><p>　　R1(config-if)#exit</p><p>　　R1(config)#ip route 172.16.1.0 255.255.255.0 172.16.2.1</p><p>

87、　　R1(config)#ip route 172.16.4.0 255.255.255.0 172.16.3.2</p><p>　　測試PC機之間的連通性</p><p><b>　　PC0</b></p><p>　　ping 172.16.4.2(success)</p><p>　　Web瀏覽器：http://

88、172.16.4.2(success)</p><p>　　路由器R1上配置擴展訪問控制列表</p><p>　　R1(config)#access-list 100 permit tcp host 172.16.1.2 host 172.16.4.2 eq www</p><p>　　R1(config)#access-list 100 deny icmp ho

89、st 172.16.1.2 host 172.16.4.2 echo</p><p>　　R1(config)#interface se2/0</p><p>　　R1(config-if)#ip access-group 100 out</p><p>　　R1(config-if)#end</p><p>　　重新測試PC機之間的連通性&

90、lt;/p><p><b>　　PC0</b></p><p>　　Web瀏覽器：http://172.16.4.2(success)</p><p>　　ping 172.16.4.2(Reply from 172.16.2.2: Destination host unreachable)</p><p>　　3.3 靜態(tài)

91、NAT配置</p><p>　　靜態(tài)轉換是指將內部網絡的私有IP地址轉換為公有IP地址，IP地址對是一對一的，是一成不變的，某個私有IP地址只轉換為某個公有IP地址。借助于靜態(tài)轉換，可以實現(xiàn)外部網絡對內部網絡中某些特定設備(如服務器)的訪問。</p><p>　　靜態(tài) NAT 使用本地地址與全局地址的一對一映射，這些映射保持不變。靜態(tài) NAT 對于必須具有一致的地址、可從 Internet

92、 訪問的 Web 服務器或主機特別有用。這些內部主機可能是企業(yè)服務器或網絡設備。</p><p>　　靜態(tài) NAT 為內部地址與外部地址的一對一映射。靜態(tài) NAT 允許外部設備發(fā)起與內部設備的連接。配置靜態(tài) NAT 轉換很簡單。首先需要定義要轉換的地址，然后在適當的接口上配置 NAT。從指定的 IP 地址到達內部接口的數據包需經過轉換。外部接口收到的以指定 IP 地址為目的地的數據包也需經過轉換。如圖3.3所示&

93、lt;/p><p>　　圖?3.3 靜態(tài)NAT配置模型</p><p>　　路由器R1的基本配置。</p><p>　　Router#configure terminal </p><p>　　Router(config)#int f0/1 </p><p>　　Router(config-if)#

94、ip address 210.28.1.2 255.255.255.0</p><p>　　Router(config-if)#no shut </p><p>　　Router(config-if)#exit</p><p>　　Router(config)#int f0/0 </p><p>　　Router(co

95、nfig-if)#ip address 172.16.1.1 255.255.255.0 </p><p>　　Router(config-if)#no shut </p><p>　　Router(config-if)#exit</p><p>　　Router(config)#ip route 0.0.0.0 0.0.0.0 f0/1</p>

96、;<p>　　路由器R2 的基本配置。</p><p>　　Router#configure terminal </p><p>　　Router(config)#in f0/0 </p><p>　　Router(config-if)#ip address 192.168.1.1 255.255.255.0 </p&g

97、t;<p>　　Router(config-if)#exit</p><p>　　Router(config)#in f0/1 </p><p>　　Router(config-if)#ip address 210.28.1.1 255.255.255.0 </p><p>　　Router(config-if)#no shut

98、 </p><p>　　Router(config-if)#exit</p><p>　　Router(config)#ip route 0.0.0.0 0.0.0.0 f0/1</p><p><b>　　sw1的基本配置</b></p><p>　　Switch>en &l

99、t;/p><p>　　Switch#conf terminal </p><p>　　Switch(config)#in f0/24 </p><p>　　Switch(config-if)#switchport mode trunk </p><p>　　Switch(config-if)#exit</p>

100、;<p>　　在路由器 R1上配置靜態(tài) NAT。 </p><p>　　R1（config）# interface fastethernet 0/0 </p><p>　　R1（config-if）#ip nat inside </p><p>　　R1（config-if）#exit </p><p>　　R1（config

101、）# interface fastethernet 0/1 </p><p>　　R1（config-if）#ip nat outside//將 fa0/1 </p><p>　　R1（config-if）#exit </p><p>　　R1（config）#ip nat inside source static 172.16.1.10 210.28.1.10

102、</p><p>　　R1（config）#ip nat inside source static 172.16.1.11 210.28.1.11 </p><p>　　R1（config）#end </p><p><b>　　驗證信息：</b></p><p>　　PC1 ping Internet</p&g

103、t;<p>　　PC1>ping 192.168.1.10</p><p>　　4 校園網絡的主體拓撲結構</p><p>　　根據設想的校園網絡結構，我是將校園網絡分成了3塊：教師宿舍、教學樓機房以及教學辦公區(qū)。各家的電腦隔離但都能上網格，各家電腦地址邦定，教師宿舍能訪問教學機房的教學服務器，但不能訪問OFFICE， OFFICE 能訪問教學樓機房的教師資源服務器，但

104、不能訪問教師宿舍。.教學樓機房不能訪問教師宿舍和OFFICE。如圖4.1所示。</p><p>　　圖?4.1 校園網絡的主體拓撲結構</p><p>　　1．思路：要求各家的電腦隔離，用交換機劃分VLAN 可實現(xiàn)，但開銷太大，故使教師宿舍的PC機在不同的網段內也可實現(xiàn)隔離的作用，規(guī)劃的IP地址如上圖所示， PC4-PC7 配置IP 地址和PC8 相似，規(guī)劃方案如下：</p>

105、<p>　　PC1：192.168.1.1/30 PC2：192.168.1.5/30 </p><p>　　PC3：192.168.1.9/30 PC4；192.168.2.2/24</p><p>　　PC5：192.168.2.3/24 PC6：192.168.3.2/24</p><p

106、>　　PC7：192.168.3.3/24 PC8：192.168.5.2/24</p><p>　　R1 和R2 各端口IP 地址：</p><p>　　E0/0:192.168.1.2/30 e0/2:192.168.3.1/24</p><p>　　E0/0:192.168.1.9/30

107、 s1/0:202.98.4.1/24(內部合法地址)</p><p>　　E0/0:192.168.1.5/30 s0:202.98.4.2/24(內部合法地址)</p><p>　　E0/1:192.168.2.1/24 e0:192.168.5.1/24</p><p>　　2.各家電腦地址邦定及重地址配置：在

108、路由器R1上配置命令如下：</p><p><b>　　R1〉en</b></p><p><b>　　R1#conf t</b></p><p>　　R1(config)#int e0/0</p><p>　　R1(config-if)#ip address 192.168.1.1 255.255

109、.255.252 sencondly</p><p>　　R1(config-if)#ip address 192.168.1.5 255.255.255.252 sencondly</p><p>　　R1(config-if)#ip address 192.168.1.9255.255.255.252 sencondly</p><p>　　R1(config-

110、if)#arp 192.168.1.1 00E0.E150.2184 arpa</p><p>　　R1(config-if)#arp 192.168.1.5 0015.F22C.B01D arpa</p><p>　　R1(config-if)#arp 192.168.1.9 00E0.E1S0.221E arpa</p><p>　　R1(config-i

111、f)#no shut</p><p>　　3.配置路由協(xié)議及訪問控制列表，R1和R2上的配置如下：(只公布公用地址)</p><p><b>　　R1:</b></p><p>　　R1(config)#route rip </p><p>　　R1(config-route)#version 2</p>

112、<p>　　R1(config-route)#network 192.168.4.0</p><p>　　R1(config-route)#no auto-summary</p><p>　　R1(config-route)#exit</p><p><b>　　R2:</b></p><p>　　R2(con

113、fig)#route rip </p><p>　　R2(config-route)#version 2</p><p>　　R2(config-route)#network 192.168.4.0</p><p>　　R2(config-route)#network 192.168.5.0</p><p>　　R2(config-route

114、)#no auto-summary</p><p>　　R2(config-route)#exit</p><p>　　4.配置訪問控制列表：</p><p>　　1）要求教師宿舍能訪問教學機房的教學服務器，但不能訪問OFFICE </p><p><b>　　R1:</b></p><p>