课 程 设 计 报 告
课程设计名称:网络系统集成课程设计
系 别 :
学生姓名:
班 级: 08电子2班
学 号:
成 绩:
**** * *
开课时间: 2011~2012 学年 1 学期
一、校园网组建背景及意义············································1
二、问题描述,需求分析 ··············································2
2.1、当今世界计算机网络的现状········································2
2.2、目前学校的网络状况·············································3
2.3、校园网的功能··················································3
2.4、系统集成所共同追求的设计目标····································4
三、校园网需求分析··················································4
3.1、学校建筑现状分析···············································4
3.2、信息点分布需求分析·············································5
3.3、学校子网需求划分···············································6
3.4、学校VLAN需求划分·············································7
四、校园网络设备配置················································9
4.1、常用网络设备 ·················································10
4.2、交换机模块详细设计············································11
4.3、路由器模块详细设计············································18
五、校园网服务器配置···············································23
5.1、WWW服务器配置··············································23
5.2、DNS服务器配置···············································24
六、校园网络的管理与安全···········································25
6.1 网络管理·····················································25
6.2 网络安全·····················································27
七、网络操作系统管理体系的选择·····································30
八、课程设计总结···················································30
高校校园网设计
一、校园网组建背景及意义
高校校园网的网络建设与网络技术发展几乎是同步进行的。高校不仅承担着教书育人的工作,更承担着部分国家级的科研任务,同时考虑未来几年网络平台的发展趋势, 为了充分满足高校骨干网对高速,智能,安全,认证计费等的需求,可以利用万兆以太网的校园网组网技术。
构建校园网骨干网,实现各个分校区和本部之间的连接,以及实现端到端的以太网访问,提高了传输的效率,有效地保证了远程多媒体教学、数字图书馆等业务的开展。
随着信息技术的高速发展,教育信息化水平正成为衡量学校总体发展水平的重要因素,网络技术的应用对高校的教学手段和教育管理体系的促进作用是巨大的。1995 年CERNET (中国教育和科研计算机网)建设全面启动,全国各地的高校开始建设自己的计算机校园网。校园网建设是高校建设的重要组成部分,建设高质量的局域网, 才能充分发挥网络资源管理和应用的优势,进行信息交流、资源共享、科学计算和科学研究与合作。
校园网的建设与应用,极大地丰富和完善了教育资源,拓宽了学生获取知识的渠道,改善了教学效果,提高了学校的现代化管理水平,促进了教育的社会化,因此,如何进一步搞好校园网的建设,充分发挥校园网的作用,组建高性能,低成本的校园网,是各个高校正在探索和思考的问题。高校校园网从启动建立到现在,无论是高校校园网的网络技术,还是高校校园网的关注要点,大致可以分为三个阶段。
第一阶段是基础设施建设时期,时间大约从1994年到2000年。这期间各种网络技术在高校同时都有应用:以太网技术,FDDI,ATM网络技术。在这个阶段,由于校园网应用的技术比较繁杂,而且业务相对单一,因此,这一阶段,主要关注网络的连通性和兼容性,即如何保证校园网的连通,和各种不同网络技术的兼容和融合。
第二阶段是应用平台建设时期,时间大约是从2000年到2005年。这期间,随着网络技术的发展,各种应用也开始出现并发展迅速,包括BBS、WWW、FTP、E-mail,以及近两年流行的BT下载、视音频业务等等,这些应用都对带宽提出了挑战。另一个在此阶段发展迅速的校园网应用就是IPTV,更是被成为带宽的杀手级应用。与此同时,网络技术——特别是以太网技术迅猛发展,1000M以太网已经步入校园,万兆标准也已经公布。结合实际应用和网络技术来看,这个阶段主要关注:带宽和应用。
第三个阶段是信息资源建设时期。时间从2005年至今,乃至今后几年时间内。近两年,万兆以太网已经开始在高校校园网中规模化应用,下一代以太网标准也已经确立为10万兆标准。同时,随着cernet2的启动,IPV6技术也已经在校园网中实验并逐步应用。当基础设施、应用平台建设之后,信息资源的丰富与否决定了校园网络的真正价值。当信息资源充分丰富后,人们的工作、学习、生活、娱乐完全离不开网络,网络的安全与可信又成为头等重要的问题。纵观这两年整个网络世界,安全事件频发:冲击波、震荡波、ARP攻击等等。所以,安全可信成为了高校校园网当前关注的要点。
简单来说,对于校园网:丰富的应用是关键,而稳定可靠的网络是基础,完善的安全和管理手段是保障。
信息时代的变革与发展,带动了整个世界的深刻变革。网络、计算机技术的进步和应用软件的提高,使计算机变的越来越容易使用,它们正被广泛地使用,并迅速改变着人们的生活、学习、工作方式。在一个好的校园网里人们用计算机和网络进行工作、交流和学习,计算机改变了人的教学方式,同时也改变了人的学习方式。社会变的很快,我们必须跟上时代的步伐,因此在经济条件允许的情况下,尽快尽早的建设校园网好处将是显著的和长远的。
二、问题描述,需求分析
2.1、当今世界计算机网络的现状
自从20世纪90年代以后,以因特网为代表的计算机网络得到了飞速的发展,已经从最初的教育科研网络逐步发展为商业网络,并且已经成为仅次于全球电话为网的世界第二大网络。跨入21世纪以来,我们的网络呈现出数字化、网络化和信息化,它是一个以网络为核心的信息时代。现在人们的生活、工作、学习和交往都已经离不开网络。没有了计算机网络,世界将是一片混论。当然计算机网络也会带来一些负面影响,但这是次要的,主要的还是网络带来的积极作用。在以后的阶段,计算机网络将会得到更大的发展。
2.2、目前学校的网络状况
与其它网络一样,校园网面临的威胁大体可分为对网络中数据信息的危害和对网络设备的危害。具体来说,危害网络安全的主要威胁有:非授权访问,即对网络设备及信息资源进行非正常使用或越权使用等;冒充合法用户,即利用各种假冒或欺骗的手段非法获得合法用户的使用权限,以达到占用合法用户资源的目的;破坏数据的完整性,即使用非法手段,删除、修改、重发某些重要信息,以干扰用户的正常使用;干扰系统正常运行。
除此之外,Internet非法内容也形成了对网络的另一大威胁。IDC的统计曾显示,有30%-40%的Internet访问是与工作无关的,甚至有的是去访问色情、暴力、反动等站点。在这样的情况下,Internet资源被严重浪费。而对校园网来说,面对形形色色、良莠不分的网络资源,如不具有识别和过滤作用,不但会造成大量非法内容或邮件出入,占用大量流量资源,造成流量堵塞、上网速度慢等问题,而且某些网站如娱乐、游戏、暴力、色情、反动消息等不良网络内容,将极大地危害青少年的身心健康,导致无法想象的后果。
尽管现在世界的网络已经得到空前的发展,但是我们的校园内部还是没有跟上世界的变化,网络的铺设仍然不够。还只是在一小部分高层领导上网,其他部门都没有。我们学校的办公学习还只是处在纯粹的人工阶段,只是处在课本学习的阶段,对外面的兄弟学校一点都不了解,学习办公效率超低。
2.3、校园网的功能
基于对我们学校的现状了解,以及世界网络的发展来看,我觉得有必要为我们的学校建设校园网,将为在校师生提供网络服务。校园网最终必须是一个集计算机网络技术、多项信息管理、办公自动化和信息发布等功能于一体的综合信息平台,并能够有效促进现有的管理和管理方法,提高学校办公质量和效率,以促进学校整体教学水平的提高。
为全校教师、科研人员、管理人员、学生提供一个先进的计算机网络环境,并将计算机引入教学、科研、管理和学习等各个领域。
改善学校教学科研、管理和学习环境,提高其水平。熟悉现代化的工作环境和掌握先进的教学、科研、管理和学习手段,有利于培养面向世界、面向未来的高层次人才。
校园网最终必须是一个集计算机网络技术、多项信息管理、办公自动化和信息发布等功能于一体的综合信息平台,并能够有效促进现有的管理和管理方法,提高学校办公质量和效率,以促进学校整体教学水平的提高。学校共有三个年级,在校园网建成后,我们学生将可以在教室内就可以上网学习知识。
根据校园网络项目以及实际情况,我们应该充分考虑学校的实际情况,注重设备选型的性能价格比,采用成熟可靠的技术,为学校设计成一个技术先进、灵活可用、性能优秀、可升级扩展的校园网络。考虑到学校的中长期发展规划,在网络结构、网络应用、网络管理、系统性能以及远程教学等各个方面能够适应未来的发展,最大程度地保护学校的投资。学校借助校园网的建设,可充分利用丰富的网上应用系统及教学资源,发挥网络资源共享、信息快捷、无地理等优势,真正把现代化管理、教育技术融入学校的日常教育与办公管理当中。
2.4、系统集成所共同追求的设计目标
建成一个具有高可靠性和开放性的校园网络,它应支持流行的SNMP等网络管理协议;采用Internet上的标准协议--TCP/IP协议,提供校园内部及面向全球的WWW服务、FTP服务、NEWS服务、电子邮件服务,实现与国际互联网的完全接轨;同时它还应具有支持通用大型数据库的功能,支持多种协议,具有良好的软件支持;采用模块化结构设计,容易升级;最后,它还应针对学校的教学特点,具有一些基本的教学功能,以完成学校的基本教学任务。
三、校园网需求分析
3.1、学校建筑现状分析
对学校建筑的分析如图3-1所示:
图3-1 学校建筑图
如图所示学校分为学生公寓区,教师公寓区,行政区,图书馆,教学区。其中学生公寓区(A区、B、区、C区),教师公寓区(A区、B、区、C区),行政区(财务处、
人事处、教务处、招生就业处),图书馆(学生阅览室、电子阅览室、网络中心、借书室),教学区(计科系、软件学院、经管系、机电系、外语系、信息工程系)。
3.2、信息点分布需求分析
对学校信息点的分析,如表2-1所示:
表2-1 学校信息点的分析表
| 大楼 | 功能分布 | 信息点 | 信息点合计 | 距核心网络的距离 |
| 学生公寓区 | A区 | 5000 | 15000 | 250m |
| B区 | 5000 | |||
| C区 | 5000 | |||
| 教师公寓区 | A区 | 5000 | 15000 | 250m |
| B区 | 5000 | |||
| C区 | 5000 | |||
| 行政区 | 财务处 | 20 | 100 | 500m |
| 人事处 | 40 | |||
| 教务处 | 30 | |||
| 招生就业处 | 10 | |||
| 图书馆 | 学生阅览室 | 30 | 170 | 1000m |
| 电子阅览室 | 30 | |||
| 网络中心 | 100 | |||
| 借书室 | 10 | |||
| 教学区 | 计科系 | 1000 | 4500 | 200m |
| 软件学院 | 2000 | |||
| 经管系 | 500 | |||
| 机电系 | 500 | |||
| 信息工程系 | 500 |
| 办公区 | A区 | 100 | 350 | 250m |
| B区 | 150 | |||
| C区 | 100 | |||
| 合计 | 34820 | 2450m |
为了提高IP地址的使用效率,引入了子网的概念。将一个网络划分为子网:采用借位的方式,从主机位最高位开始借位变为新的子网位,所剩余的部分则仍为主机位。这使得IP地址的结构分为三级地址结构:网络位、子网位和主机位。这种层次结构便于IP地址分配和管理。它的使用关键在于选择合适的层次结构--如何既能适应各种现实的物理网络规模,又能充分地利用IP地址空间。子网的划分主要是根据子网掩码来区分的,掩码的作用就是用来告诉电脑把“大网”划分为多少个“小网”,以及每个子网中的主机数目。如表2-2所示,学校子网的划分。
表2-2 学校子网的划分表
| 序号 | 子网名称 | 包含的信息点 |
| 1 | 学生公寓子网 | 学生公寓区所有的计算机 |
| 2 | 教师公寓子网 | 教师公寓区所有的计算机 |
| 3 | 行政区子网 | 行政区所有的计算机 |
| 4 | 图书馆子网 | 图书馆区所有的计算机 |
| 5 | 教学区子网 | 教学区所有的计算机 |
| 6 | 办公区子网 | 办公区所有的计算机 |
| 7 | 服务器群子网 | 该区所有的计算机 |
| 8 | 无线网络子网 | 该区所有的计算机 |
VLAN(Virtual Local Area Network)称为虚拟局域网,是指在逻辑上将物理的LAN分成不同小的逻辑子网,每一个逻辑子网就是一个单独的播域。简单地说,就是将一个大的物理的局域网(LAN)在交换机上通过软件划分成若干个小的虚拟的局域网(VLAN)。因为交换机通信的原理就是要通过“广播”来发现通往的目的MAC地址,以便在交换机内部的MAC数据库建立MAC地址表,而广播不能跨越不同网段。
VLAN技术的出现,使得管理员根据实际应用需求,把同一物理局域网内的不同用户逻 辑地划分成不同的广播域,每一个VLAN都包含一组有着相同需求的计算机工作站,与物理 上形成的LAN有着相同的属性。由于它是从逻辑上划分,而不是从物理上划分,所以同一个 VLAN内的各个工作站没有在同一个物理范围中,即这些工作站可以在不同物理LAN网段 。由VLAN的特点可知,一个VLAN内部的广播和单播流量都不会转发到其他VLAN中,从而有助于控制流量、减少设备投资、简化网络管理、提高网络的安全性。 VLAN除了能将网络划 分为多个广播域,从而有效地控制广播风暴的发生,以及使网络的拓扑结构变得非常灵活的优点外,还可以用于控制网络中不同部门、不同站点之间的互相访问。
通过划分VLAN子网,能划小了广播域,避免了数据碰撞在大的物理LAN内产生严重后果的可能,也避免了广播风暴的产生。提高交换网络的交换效率,保证网络稳定。提高网络安全性,通过划分VLAN,LAN被划分不同子网段,因此不能直接通信。必要的通信必须经过路由来实现,因此可在路由器(或三层交换机)上配置访问列表来进行跨子网段的授权访问,从而提高校园内部网络访问的安全性。方便网络管理:采用VLAN技术来划分校园网络,一个VLAN可以根据不同的院系、办公室或者服务器组将不同地理位置的工作站划分为一个逻辑网段。在不改动网络物理连接的情况下可以任意地将工作站在子网之间移动,VLAN提供了网段和机构的弹性组合机制。VLAN技术很好的解决了网络管理的问题,能实现网络监督与管理的自动化,从而更有效的进行网络监控。如表2-3所示,该学校校园网络Vlan的划分及IP的分配。
表2-3 学校vlan的划分及IP的分配表
| 序号 | 子网名称 | 网段IP | 网关IP | 备注 |
| 1 | 学生公寓子网 | 172.16.0.0/16 | 172.16.2.1 | Vlan 2 |
| 2 | 教师公寓子网 | 172.17.0.0/16 | 172.17.3.1 | Vlan 3 |
| 3 | 行政区子网 | 192.168.4.0/24 | 192.168.4.1 | Vlan 4 |
| 4 | 图书馆子网 | 192.168.7.0/24 | 192.168.7.1 | Vlan 7 |
| 5 | 教学区子网 | 172.18.0.0/16 | 172.18.6.1 | Vlan 6 |
| 6 | 办公区子网 | 192.168.5.0/24 | 192.168.5.1 | Vlan 5 |
| 7 | 服务器群子网 | 192.168.8.0/24 | 192.168.8.1 | Vlan 8 |
| 8 | 无线网子网 | 192.168.0.0/24 | 192.168.0.1 | Vlan 9 |
A类 10.0.0.0--10.255.255.255
B类 172.16.0.0--172.31.255.255
C类 192.168.0.0--192.168.255.255
下面是使用office visio软件模拟的高校的简易模拟校园网的拓扑图:
图3-2 高校校园网简易拓扑结构图
四、校园网络设备配置
计算机网络的传输媒体一般包括传输设备和传输线路。校园网也是如此。
校园网的传输媒体选择方面也是有必要考虑的,要根据学校内部使用网络的具体情况来确定选材,在校园网连接时,我们的路由器尽量选择1000M/bps这样的速度才行,而在校园网内部,我们连接桌面的一般选择百兆级别的网络,这样的话,既经济又能提高校园网的效率。
4.1、常用网络设备
网络设备主要是指硬件系统,各种网络设备之间是有着相互关联而不是相互的,每一部分在网络中有着不同的作用,缺一不可,只有把这些设备通过一定的形式连起来才能组成一个完整的网络系统,网络传输设备主要包括网卡、集线器、交换机、路由器、传输介质等。
下面简单介绍我们所需要的网络设备:
4.1.1、网卡
网卡(简称NIC),全名叫网络适配卡或网络接口卡,网卡是计算机与网络连接的接口,是不可缺少的网络设备之一。每块网卡上都有一个世界惟一的ID号,也就是MAC地址,计算机在连入网络之后,就是依靠这个ID号才能实现在不同计算机之间的通信和信息交换。根据带宽来分的话,有10Mbit/s网卡、10/100Mit/s自适应网卡和1000Mbit/s网卡从目前我们校园网建设的实际情况来看,工作站网卡一般选择PCI总线的10M/100Mbit/s自适应网卡最适合。
4.1.2、交换机
交换机,也称交换式集线器,是专门设计的,使各计算机能够相互高速通信的独享带宽的网络设备。作为高性能的集线设备,随着价格的不断降低,交换机已逐步取代了集线器而成为集线设备的首选。由交换机构建的交换式网络系统不仅拥有高速的传输速率,而且交换延时很小,使得信息的传输效率大大提高,适合于大数据量并且使用非常频繁的网络通信,被广泛应用于各种类型的多媒体和数据传输网络。交换机具有很强的网络管理功能,它能自动根据网络通信的使用情况来动态管理网络,因为交换机采用了独享网络带宽的设计。
网络要求把各个的计算机连接起来的,这样就必然要求有一种介质将计算机连接起来,这就是传输介质,局域网的传输介质可分为有线介质和无线介质两种,一般情况下都是用有线介质的,因为它的稳定性高,连接可靠,无线介质只是在特殊环境下才使用的传输方式。这里我们只是简单介绍一下我们使用到得一些传输线路设备。
4.1.3、双绞线
双绞线是综合布线工程中最常用的一种传输介质。双绞线由两根具有绝缘保护层的铜导线组成。把两根绝缘的铜导线按一定密度互相绞在一起,可降低信号干扰的程度,每一根导线在传输中辐射的电波会被另一根线上发出的电波抵消,与其他传输介质相比,双绞线在传输距离、信道宽度和数据传输速度等方面均受到一定,但价格较为低廉。目前,双绞线可分为非屏蔽双绞线和屏蔽双绞线。我们校园网内部之间的通信都是以双绞线实现的。
4.1.4、光纤
光纤是一种直接为50~100um的柔软的、能传导光波的介质,一般由玻璃制造。光纤分为:单模光纤和多模光纤。单模光纤的纤芯直径很小,在给定的工作波长上只能以单一模式传输,传输频带宽,传输容量大。多模光纤是在给定的工作波长上,能以多个模式同时传输的光纤,与单模光纤相比,多模光纤的传输性能较差。
4.2、交换机模块详细设计
使用双核心网络的主要目的是实现冗余的连接防止单点失效,从逻辑上,大型网络可分为核心层、分布层和接入层,每层都有其特点。层次化设计的优点可以总结为如下几点:
●可扩展性:因为网络可模块化增长而不会遇到问题;
●简单性:通过将网络分成许多小单元,降低了网络的整体复杂性,使故障排除更容易,能隔离广播风暴的传播、防止路由循环等潜在的问题;
●设计的灵活性:使网络容易升级到最新的技术,升级任意层次的网络不会对其他层次造成影响,无需改变整个环境;
●可管理性:层次结构使单个设备的配置的复杂性大大降低,更易管理。
4.2.1、交换机的选择
交换机分为二层交换机和三层交换机两种类型,其中二层交换机的工作原理是:
(1)当交换机从某个端口收到一个数据包,它先读取包头中的源MAC地址,这样它就知道源MAC地址的机器是连在哪个端口上的;
(2)再去读取包头中的目的MAC地址,并在地址表中查找相应的端口;
(3)如表中有与这目的MAC地址对应的端口,把数据包直接复制到这端口上;
(4)如表中找不到相应的端口则把数据包广播到所有端口上,当目的机器对源机器回应时,交换机又可以学习一目的MAC地址与哪个端口对应,在下次传送数据时就不再需要对所有端口进行广播了。
不断的循环这个过程,对于全网的MAC地址信息都可以学习到,二层交换机就是这样建立和维护它自己的地址表。
可以看出二层交换机没有路由功能,当不同的子网进行通信是要借助路由器实现数据包的转发,所以当子网数量较多时,路由器的接口数量就成了一个瓶颈,而三层交换机就能解决这一缺点。
三层交换机的最重要的功能是加快大型局域网络内部的数据的快速转发,加入路由功能也是为这个目的服务的。因此具有路由功能的快速转发的三层交换机就成为首选。
我们选择 CISCO 3560-24PS作为核心层交换机,这个设备有26个端口,其中有两个端口支持1Gbps的带宽,选择CISCO 2950-24二层交换机作为接入层交换机,这个设备有24个接口,能够实现10M/100M自适应到桌面的功能,而且,这两款交换机都支持vlan功能。
4.2.2、核心层交换机的说明配置
核心层的功能主要是实现骨干网络之间的优化传输,核心层设计任务的重点通常是冗余能力、可靠性和高速的传输。网络的控制功能最好尽量少在核心层上实施。核心层一直被认为是所有流量的最终承受者和汇聚者,所以对核心层的设计以及网络设备的要求十分严格。
核心交换机采用两个三层交换机,该校园网分为7个vlan,vlan2、vlan3、vlan4分别接在核心交换机一的f0/1 、f0/2、 f0/3接口,vlan5、vlan6、vlan7、vlan8、vlan9分别接在核心交换机二的f0/1 、f0/2、 f0/3、f0/4接口。
(1)基于端口vlan的划分这是最常应用的一种VLAN划分方法,应用也最为广泛、最有效,目前绝大多数VLAN协议的交换机都提供这种VLAN配置方法。这种划分VLAN的方法是根据以太网交换机的交换端口来划分的,它是将VLAN交换机上的物理端口和VLAN交换机内部的PVC(永久虚电路)端口分成若干个组,每个组构成一个虚拟网,相当于一个的VLAN交换机。从这种划分方法本身我们可以看出,这种划分的方法的优点是定义VLAN成员时非常简单,只要将所有的端口都定义为相应的VLAN组即可。适合于任何大小的网络。它的缺点是如果某用户离开了原来的端口,到了一个新的交换机的某个端口,必须重新定义。在核心交换机上的配置如下:
sw0(config)#int f 0/1
sw0(config-if)#switchport mode trunk
sw0(config-if)#switchport access vlan 2
sw0(config)#int f 0/2
sw0(config-if)#switchport mode trunk
sw0(config-if)#switchport access vlan 3
sw0(config)#int f 0/3
sw0(config-if)#switchport mode trunk
sw0(config-if)#switchport access vlan 4
sw1(config)#int f 0/1
sw1(config-if)#switchport mode trunk
sw1(config-if)#switchport access vlan 5
sw1(config)#int f 0/2
sw1(config-if)#switchport mode trunk
sw1(config-if)#switchport access vlan 6
sw1(config)#int f 0/3
sw1(config-if)#switchport mode trunk
sw1(config-if)#switchport access vlan 7
sw1(config)#int f 0/4
sw1(config-if)#switchport mode trunk
sw1(config-if)#switchport access vlan 8
sw1(config)#int f 0/5
sw1(config-if)#switchport access vlan 9
(2)配置VLAN的各各接口的地址
sw0(config)#int vlan 2
sw0(config-if)#ip add 172.16.2.1 255.255.0.0
sw0(config-if)#no shutdown
sw0(config-if)#exit
sw0(config)#int vlan 3
sw0(config-if)#ip add 172.17.3.1 255.255.0.0
sw0(config-if)#no shutdown
sw0(config-if)#exit
sw0(config)#int vlan 4
sw0(config-if)#ip add 192.168.4.1 255.255.255.0
sw0(config-if)#no shutdown
sw1(config)#int vlan 5
sw1(config-if)#ip add 192.168.5.1 255.255.255.0
sw1(config-if)#no shutdown
sw1(config-if)#exit
sw1(config)#int vlan 6
sw1(config-if)#ip add 172.18.6.1 255.255.0.0
sw1(config-if)#no shutdown
sw1(config-if)#exit
sw1(config)#int vlan 7
sw1(config-if)#ip add 192.168.7.1 255.255.255.0
sw1(config-if)#no shut
sw1(config-if)#exit
sw1(config)#int vlan 8
sw1(config-if)#ip add 192.168.8.1 255.255.255.0
sw1(config-if)#no shut
sw1(config)#int vlan 9
sw1(config-if)#ip add 192.168.9.1 255.255.255.0
sw1(config-if)#no shut
(3)端口聚合提供冗余备份链路,端口聚合又称链路聚合,是指两台交换机之间在物理上将多个端口连接起来,将多条链路聚合成一条逻辑链路。从而增大链路带宽,解决交换网络中因带宽引起的网络瓶颈问题。多条物理链路之间能够相互冗余备份,其中任意一条链路断开,不会影响其他链路的正常转发数据。该核心交换机采用的是两条,具体配置如下:
Switch(config)#inter port-channel 1
Switch(config-if)#no switchport
Switch(config-if)#no shutdown
Switch(config-if)#ip address 172.19.0.1 255.255.0.0
Switch(config)#inter gig0/1
Switch(config-if)#channel-g
Switch(config-if)#channel-group 1 m on
Switch(config)#inter gig0/2
Switch(config-if)#channel-group 1 m on
(4)两个三层核心交换机之间的RIP路由协议,具体配置代码如下:
sw0(config)#router rip
sw0(config-router)#network 172.16.0.0
sw0(config-router)#network 172.17.0.0
sw0(config-router)#network 172.19.0.0
sw0(config-router)#network 172.20.0.0
sw0(config-router)#network 192.168.4.0
sw0(config-router)#version 2
sw0(config-router)#no auto-summary
sw1(config)#router rip
sw1(config-router)#network 192.168.0.0
sw1(config-router)#network 192.168.5.0
sw1(config-router)#network 192.168.6.0
sw1(config-router)#network 172.18.0.0
sw1(config-router)#network 172.19.0.0
sw1(config-router)#network 192.168.7.0
sw1(config-router)#network 192.168.8.0
sw1(config-router)#version 2
sw1(config-router)#no auto-summary
4.2.3、汇聚层交换机的说明配置
分布层提供基于统一策略的互连性,它是核心层和访问层的分界点,定义了网络的边界,对数据包进行复杂的运算。在园区网络环境中,分布层主要提供如下功能:
●地址的聚集
●部门和工作组的接入
●广播域/多目传输域的定义
●Inter VLAN路由
●介质的转换
●安全控制
当网络管理人员需要管理的交换机数量众多时,可以使用VLAN中继协议(Vlan Trunking Protocol,VTP)简化管理,它只需在单独一台交换机上定义所有VLAN。然后通过VTP协议将VLAN定义传播到本管理域中的所有交换机上。这样,大大减轻了网络管理人员的工作负担和工作强度。将分布层交换机学生公寓区的交换机设置成为VTP服务器,其他交换机设置成为VTP客户机。
(1)访问层交换机学生公寓区的交换机作为服务器的配置如下:
s4#vlan database
s4(vlan)#vtp domain dong
s4(vlan)#vlan 2
s4(vlan)#vlan 3
s4(vlan)#vlan 4
s4(vlan)#vlan 5
s4(vlan)#vlan 6
s4(vlan)#vlan 7
s4(vlan)#vlan 8
s4(vlan)#vlan 9
s4(vlan)#vtp server
(2)trunk端口
在最普遍的路由与交换领域,VLAN的端口聚合也有的叫TRUNK,不过大多数都叫TRUNKING ,如CISCO公司。所谓的TRUNKING是用来在不同的交换机之间进行连接,以保证在跨越多个交换机上建立的同一个VLAN的成员能够相互通讯。其中交换机之间互联用的端口就称为TRUNK端口。与一般的交换机的级联不同,TRUNKING是基于OSI第二层数据链路层(DataLinkLayer)RUNKING技术,如果你在2个交换机上分别划分了多个VLAN(VLAN也是基于Layer2的),那么分别在两个交换机上的VLAN10和VLAN20的各自的成员如果要互通,就需要在A交换机上设为VLAN10的端口中取一个和交换机B上设为VLAN10的某个端口作级联连接。VLAN20也是这样。那么如果交换机上划了10个VLAN就需要分别连10条线作级联,端口效率就太低了。 当交换机支持TRUNKING的时候,事情就简单了,只需要2个交换机之间有一条级联线,并将对应的端口设置为Trunk,这条线路就可以承载交换机上所有VLAN的信息。这样的话,就算交换机上设了上百个个VLAN也只用1个端口就解决了。如果是不同台的交换机上相同id的vlan要相互通信,那么可以通过共享的trunk端口就可以实现,如果是同一台上不同id的vlan/不同台不同id的vlan它们之间要相互通信,需要通过第三方的路由来实现。
该层对学生公寓区交换机trunk配置如下:
s4(config)#int f 0/1
s4(config-if)#switchport mode trunk
s4(config)#int f 0/2
s4(config-if)#switchport mode trunk
s4(config)#int f 0/3
s4(config-if)#switchport mode trunk
s4(config)#int f 0/4
s4(config-if)#switchport mode trunk
4.2.4、接入层交换机的说明配置
接入层是最终用户(教师、学生) 与网络的接口,它应该提供即插即用的特性,同时应该非常易于使用和维护。另外,通过VTP的设置,我们可以更好的将汇聚层的vlan信息导入到接入层,只需要将不同的端口加入不同的vlan,就能够是机器之间通信。在该层的一个交换机上的配置如下:
!进入vtp数据库
Switch#vlan datadase
!设置vtp域名
Switch(vlan)#vtp domain dong
!设置vtp模式
Switch(vlan)#vtp client
Switch(vlan)#exit
Switch#configgure terminal
!配置接口F0/1为中继接口
Switch(config-if)#int f0/1
!设置为trun模式
Switch(config-if)#switchport mode trunk
4.3、路由器模块详细设计
路由器是内部局域网和广域网的分界点,主要是能够进行数据包的转发和路径的选择。另外,路由器要能够支持不同网络提供商的接入,实现线路的冗余,我在次课题中我选择Cisco 1841路由器。
4.3.1、路由协议的概念和种类
在大型局域网络的建设中熟练掌握路由和交换技术是不可缺少的,采取什么样的路由算法,要根据网络的拓扑结构而定,路由协议工作在OSI参考模型的第3层,因此它的作用主要是在通信子网间路由数据包。路由器具有在网络中传递数据时选择最佳路径的能力。下面简单的介绍几种常见的路由协议。
1.RIP协议
RIP(RoutinginformationProtocol)是应用较早、使用较普遍的内部网关协议(InteriorGatewayProtocol,简称IGP),适用于小型同类网络,是典型的距离向量(distance-vector)协议。RIP通过广播UDP报文来交换路由信息,每30秒发送一次路由信息更新。RIP提供跳跃计数(hopcount)作为尺度来衡量路由距离,跳跃计数是一个包到达目标所必须经过的路由器的数目。如果到相同目标有二个不等速或不同带宽的路由器,但跳跃计数相同,则RIP认为两个路由是等距离的。RIP最多支持的跳数为15,即在源和目的网间所要经过的最多路由器的数目为15,跳数16表示不可达。
2.EIGRP加强型内部网关路由协议
EIGRP路由协议是Cisco的私有路由协议,它综合了距离矢量和链路状态2者的优点,其中包括:
(1)快速收敛:链路状态包(Link-State Packet,LSP)的转发是不依靠路由计算的,所以大型网络可以较为快速的进行收敛.它只宣告链路和链路状态,而不宣告路由,所以即使链路发生了变化,不会引起该链路的路由被宣告.但是链路状态路由协议使用的是Dijkstra算法,该算法比较复杂,并且较占CPU和内存资源和其他路由协议单独计算路由相比,链路状态路由协议采用种扩散计算(diffusingcomputations ),通过多个路由器并行的记性路由计算,这样就可以在无环路产生的情况下快速的收敛.
(2) 减少带宽占用:EIGRP不作周期性的更新,它只在路由的路径和度发生变化以后做部分更新.当路径信息改变以后,DUAL只发送那条路由信息改变了的更新,而不是发送整个路由表.和更新传输到一个区域内的所有路由器上的链路状态路由协议相比,DUAL只发送更新给需要该更新信息的路由器。 在WAN低速链路上,EIGRP可能会占用大量带宽,默认只占用链路带宽50%,之后发布的IOS允许使用命令ip bandwidth-percent eigrp来修改这一默认值 .
(3)支持多种网络层协议:EIGRP通过使用“协议相关模块”(即protocol-dependentmodule (4)无缝连接数据链路层协议和拓扑结构:EIGRP不要求对OSI参考模型的层2协议做特别是配置.不像OSPF,OSPF对不同的层2协议要做不同配置,比如以太网和帧中继总之,EIGRP能够有效的工作在LAN和WAN中,而且EIGRP保证网络不会产生环路(loop-free);而且配置起来很简单;支持VLSM;它使用多播和单播,不使用广播,这样做节约了带宽。 3.OSPF开放最短路径优先路由协议 OSPF(Open Shortest Path First开放式最短路径优先)是一个内部网关协议(Interior Gateway Protocol,简称IGP),用于在单一自治系统(autonomous system,AS)内决策路由。与RIP相对,OSPF是链路状态路由协议,而RIP是距离向量路由协议。 链路是路由器接口的另一种说法,因此OSPF也称为接口状态路由协议。OSPF通过路由器之间通告网络接口的状态来建立链路状态数据库,生成最短路径树,每个OSPF路由器使用这些最短路径构造路由表。 OSPF路由协议是一种典型的链路状态(Link-state)的路由协议,一般用于同一个路由域内。在这里,路由域是指一个自治系统(Autonomous System),即AS,它是指一组通过统一的路由或路由协议互相交换路由信息的网络。在这个AS中,所有的OSPF路由器都维护一个相同的描述这个AS结构的数据库,该数据库中存放的是路由域中相应链路的状态信息,OSPF路由器正是通过这个数据库计算出其OSPF路由表的。 作为一种链路状态的路由协议,OSPF将链路状态广播数据包LSA(Link State Advertisement)传送给在某一区域内的所有路由器,这一点与距离矢量路由协议不同。运行距离矢量路由协议的路由器是将部分或全部的路由表传递给与其相邻的路由器。 在一个OSPF区域中只能有一个骨干区域,可以有多个非骨干区域,骨干区域的区域号为0。各非骨干区域间是不可以交换信息的,他们只有与骨干区域相连,通过骨干区域相互交换信息。非骨干区域和骨干区域之间相连的路由叫边界路由(ABRs-Area Border Routers),只有ABRs记载了各区域的所有路由表。各非骨干区域内的非ABRs只记载了本区域内的路由表,若要与外部区域中的路由相连,只能通过本区域的ABRs,由ABRs连到骨干区域的BR,再由骨干区域的BR连到要到达的区域。 骨干区域和非骨干区域的划分,大大降低了区域内工作路由的负担。 其中,RIP和OSPF路由协议是通用的路由协议,而EIGRP是cisco公司的专用协议,只有cisco公司的设备支持,因此这个协议具有局限性,在大部分局域网内,因此OSPF是首选的路由协议。 4.3.2 管理路由器的访问方式 路由器的管理方式可分为两种:带内管理和带外管理。通过路由器的Console口管理交换机属于带外管理,不占用交换机的网络接口,特点是线缆特殊,需要近距离配置。telnet指路由器的网络接口,连接到网络中的某台主机。利用这台主机进行远程管理和配置,特点是网管可以进行远程控制。 配置路由器远程登录密码,代码如下: Router(config)#line vty 0 4 Router(config-line)#password dong Router(config-line)#login 配置路由器模式密码: Router(config)#enable password dong 4.3.3、无线路由 考虑到学校无线网络可能要连接室外的信息点,以实现全面有效的网络覆盖,因此,方案中采用的是室外无线接入设备。 Cisco无线校园网的特点: (1)无线室外路由器、无线AP和无线网卡组成了完整的无线系统,实施极为便利,免去布线的困难,节约用户建设校园网络环境的时间、精力和财力; (2) WAP200E室外无线路由器适应性出色,使用中避免了网络施工造成的环境破坏,利用无线网络空中连接校园内建筑物; (3)对于很多学校存在分校的现象予以充分考虑。产品的传输能力较强,稳定性好,能够方便的连接分校与本部的校园网络,解决校园外地域网络施工的难题; (4)网络的应变性好,使用灵活。能够充分配合学校举办的各类临时性或者应急性活动,根据需要迅速架设后者调整网络; (5)Cisco无线网络产品提供了可靠的安全保证,其全部无线网络产品均支持WPA/WPA2加密,并可扩充至256位的AES加密算法,为无线校园网络在覆盖区域内的全面应用提供了保障,无论是办公,还是个人传输,都能够放心应用。 (6)极高的网络安全性,网络设备支持802.1X的认证,结合校园网的认证计费系统,实现了校园网极高的安全控制策略;此外,通过IP地址、MAC地址、端口、VLAN号、用户帐号等多元素的绑定,实现多种方式的用户接入访问控制,保证用户接入的安全 (7)无线局域网的发展为校园网的建设和升级换代带来了新的选择,通过运用无线局域网技术的几种的应用方式,我们可以在校园实现网络的覆盖。对于我校在楼宇内采用接入方式对办公室、会议室、校园广阔地进行无线网络覆盖。而对于学校两部则通过室桥连接方式实现网络互通。无线局域网作为一个有限局域网的补充和完善,在校园网建设中将会有更好的应用。我们在构建无线局域网时可以根据不同的需求选择不同的接入方式这将使无线局域网技术得到更好的应用。 具体的无线局域网的配置代码如下: ip dhcp pool wireless network 192.168.0.0 255.255.255.0 default-router 192.168.0.1 dns-server 192.168.8.11 无线路由器Internet自动获得的IP如图4-1所示: 图4-1 无线路由器Internet自动获得IP图 无线路由器LAN的IP如图4-2所示: 图4-2 无线路由器LAN的IP图 查看无线局域网的PC机自动获得IP的情况,如图4-3所示: 图4-3 局域网中PC机自动获得的IP图 五、校园网服务器配置 5.1、WWW服务器配置 WWW是建立在客户机/服务器模型之上的。WWW是以超文本标注语言HTML(Hyper Markup Language)与超文本传输协议HTTP(Hyper Text Transfer Protocol)为基础。能够提供面向Internet服务的、一致的用户界面的信息浏览系统。其中WWW服务器采用超文本链路来链接信息页,这些信息页既可放置在同一主机上,也可放置在不同地理位置的主机上;本链路由统一资源定位器(URL)维持,WWW客户端软件(即WWW浏览器)负责信息显示与向服务器发送请求。 Internet采用超文本和超媒体的信息组织方式,将信息的链接扩展到整个Internet上。它已经成为Internet 上应用最广和最有前途的访问工具,并在商业范围内日益发挥着越来越重要的作用。WWW客户程序在Internet上被称为WWW浏览器(Browser),它是用来浏览Internet上WWW主页的软件。目前,最流行的浏览器软件主要有Netscape communicator 和Microsoft Internet Explorer。 WWW使得非常复杂的Internet使用起来异常简单。WWW浏览器不仅为用户打开了寻找Internet上内容丰富、形式多样的主页信息资源的便捷途径,而且提供了Usenet新闻组电子邮件与FTP协议等功能强大的通信手段。 局域网WWW服务器的配置如图5-1所示: 图5-1 局域网WWW服务器配置图 5.2、DNS服务器配置 DNS服务器在互联网的作用是:把域名转换成为网络可以识别的ip地址。首先,要知道互联网的网站都是一台一台服务器的形式存在的,但是我们怎么去到要访问的网站服务器呢?这就需要给每台服务器分配IP地址,互联网上的网站无穷多,我们不可能记住每个网站的IP地址,这就产生了方便记忆的域名管理系统DNS,他可以把我们输入的好记的域名转换为要访问的服务器的IP地址. 简单的说,就是为了方便我们浏览互联网上的网站而不用去刻意记住每个主机的IP地址,DNS服务器就应运而生,提供将域名解析为IP的服务,从而使我们上网的时候能够用简短而好记的域名来访问互联网上的静态IP的主机。 局域网内DNS服务器的配置如图5-2所示: 图5-2 局域网DNS服务器的配置 六、校园网络的管理与安全 6.1 网络管理 随着校园网的不断发展和应用,网络管理和安全防范问题也越来越复杂。为此,我校专门设立了网络管理中心,负责网络管理系统的建立和应用、线路和站点的监测、通信设备管理、全局目录管理、用户和文件管理及收费管理、用户培训等。同时,利用网管中心,可以方便地采取各种安全性措施,控制通信,购买硬件防火墙,即时下载系统漏洞,实施新的安全技术,数据备份等提高网络可靠和安全性能水平。 校园网管理的主要目的是保障网络运行的品质,如维持网络传送速率、降低传送错误率、确保网络安全等。所以校园网系统管理的技术人员可借网络管理工具或本身的技术经验实施网络管理,内容可分为下列6项: (1)系统管理随时掌握网络内任何设备的增减与变动,管理所有网络设备的设置参数。当故障发生时,管理人员得以重设或改变网络设备的参数,维持网络的正常运作。 (2)故障管理为确保网络系统的高稳定性,在网络出现问题时,必须及时察觉问题的所在。它包含所有节点动作状态、故障记录的追踪与检查及平常对各种通讯协议的测试。 (3)效率管理在于评估网络系统的运作,统计网络资源的运用及各种通讯协议的传输量等,更可提供未来网络提升或更新规划的依据。 (4)安全管理为防范不被授权的用户擅自使用网络资源,以及用户蓄意破坏网络系统的安全,要随时做好安全措施,如合法的设备存取控制与加密等。 (5)计费管理了解网络使用时间,能针对各个局部网络做使用统计。一则可作为使用网络计费的依据,更可作为日后网络升级或更新规划的参考。 (6)信息管理网络上的信息分成两部分,一是由管理员放置的信息,它们的品质一般较高;另一部分是由用户放置的,可能会有一些问题,要对这部分信息进行管理。 (7)人员培训 要真正提高校园网的应用水平,就必须坚持不懈地在教学和学习中应用网络,以切实提高教学水平、管理水平和学习水平,其中加强对相关人员的培训十分必要。为此我校正举办网络技术培训班,对校园网的四类实用人员,即学校领导、系统维护人员、课件制作人员和应用系统使用人员,分期分批进行网络培训,以提高全体师生的网络应用水平,并促进校园网的健康发展。 6.2 网络安全 主机安全技术:加强网络上结点计算机的安全,包括:系统防火墙的规则设置、更新。系统漏洞补丁升级更新,在人们的潜意识里增加安全防范意识等等。 身份认证技术:身份验证技术可以阻止或减少由于非法用户的登陆对系统的恶意或非法操作。在用户访问服务器上任何信息之前,可以要求用户提供有效的 Microsoft Windows用户帐户、用户名和密码。该标识过程称为“身份验证”。可以在网站或FTP站点、目录或文件级别设置身份验证。可以使用Internet信息服务(IIS提供的)身份验证方法来控制对网站和FTP站点的访问。(包括下列信息:网站验证:介绍符合您验证用户网站访问要求的身份验证方法。FTP站点身份验证:介绍符合您验证用户FTP站点访问要求的身份验证方法。) 访问控制技术:对信息的权限的控制,阻止了非授权用户进行的信息的浏览,修改甚至破坏。适当地控制对Web和FTP内容的访问是安全运行Web服务器的关键。使用 Windows和IIS中的安全功能,您可以有效地控制用户访问您Web和FTP内容的方式。可以控制多级访问,从整个网站和FTP站点到单独的文件。每个帐户均被授予用户和权限。用户是指在计算机或网络上执行特定操作的权力。权限是与对象(如文件或文件夹)关联的规则,用于控制哪些帐户可以获得对象的访问权限。 防火墙技术:要主的技术有数据包过滤技术、应用网关和代理服务等;防火墙体系结构在网络中的设置应用。例如屏蔽子网型防火墙。它是由两个包过滤路由器和两个堡垒机组成。堡垒主机和服务器放置在一个处于内的小型网络(Dmz 安全区)中。连接的包过滤路由器主要用来防止的攻击。并管理对dmz的访问。第二给个包过滤路由器是它置接受源于堡垒主机的数据,负责管理Dmz和内网之间的访问。这样对,内部网是不可见的。同理对于内网是不可见的,内网眼通过代理服务才能访问。对于入侵者必须通过外部路由器和堡垒主机,内部路由器才能入侵到内网中。到目前可以认为是最安全的。 安全审计技术:安全策略的订制和授权信息的验证技术是该技术的重点部分。可以使用安全审核技术跟踪用户活动并检测对NTFS目录和文件的未经授权的访问。(可供审核的活动包括:用户成功和失败的登录。用户试图访问受到的帐户。用户试图执行受到的命令。) 6.2.1 NAT 网络地址转换(NAT,Network Address Translation)被广泛应用于各种类型Internet接入方式和各种类型的网络中。原因很简单,NAT不仅完美地解决了lP地址不足的问题,而且还能够有效地避免来自网络外部的攻击,隐藏并保护网络内部的计算机。虽然NAT可以借助于某些代理服务器来实现,但考虑到运算成本和网络性能,很多时候都是在路由器上来实现的。 随着接入Internet的计算机数量的不断猛增,IP地址资源也就愈加显得捉襟见肘。事实上,除了中国教育和科研计算机网(CERNET)外,一般用户几乎申请不到整段的C类IP地址。在其他ISP那里,即使是拥有几百台计算机的大型局域网用户,当他们申请IP地址时,所分配的地址也不过只有几个或十几个IP地址。显然,这样少的IP地址根本无法满足网络用户的需求,于是也就产生了NAT技术。 NAT的实现方式有三种,即静态转换Static Nat、动态转换Dynamic Nat 和 端口多路复用OverLoad。 静态转换是指将内部网络的私有IP地址转换为公有IP地址,IP地址对是一对一的,是一成不变的,某个私有IP地址只转换为某个公有IP地址。借助于静态转换,可以实现外部网络对内部网络中某些特定设备(如服务器)的访问。 动态转换是指将内部网络的私有IP地址转换为公用IP地址时,IP地址对是不确定的,而是随机的,所有被授权访问上Internet的私有IP地址可随机转换为任何指定的合法IP地址。也就是说,只要指定哪些内部地址可以进行转换,以及用哪些合法地址作为外部地址时,就可以进行动态转换。动态转换可以使用多个合法外部地址集。当ISP提供的合法IP地址略少于网络内部的计算机数量时。可以采用动态转换的方式。 端口多路复用(Port address Translation,PAT)是指改变外出数据包的源端口并进行端口转换,即端口地址转换(PAT,Port Address Translation).采用端口多路复用方式。内部网络的所有主机均可共享一个合法外部IP地址实现对Internet的访问,从而可以最大限度地节约IP地址资源。同时,又可隐藏网络内部的所有主机,有效避免来自internet的攻击。因此,目前网络中应用最多的就是端口多路复用方式。 (1)主机访问内网服务器,采用的是静态转换。具体代码如下: ip nat inside source static 192.168.8.10 202.106.0.20 (2)实现局域网访问互联网,采用的是端口复用动态地址转换,当内部多个私有ip地址对应外部很少的公网地址时所使用的,它可以根据端口的不同来区分不同的服务和对应的内部地址。在这次的课题设计中局域网访问就是采用这种技术,具体代码如下: Router(config)#int f 0/1 Router(config-if)#ip nat inside Router(config-if)#exit Router(config)#int s 0/1/0 Router(config-if)#ip nat outside Router(config-if)#exit Router(config)#ip nat pool test 202.106.0.3 202.106.0.200 netmask 255.255.255.0 Router(config)#access-list 10 permit 172.16.0.0 0.0.255.255 Router(config)#access-list 10 permit 172.17.0.0 0.0.255.255 Router(config)#access-list 10 permit 192.168.4.0 0.0.0.255 Router(config)#access-list 10 permit 192.168.5.0 0.0.0.255 Router(config)#access-list 10 permit 172.18.0.0 0.0.255.255 Router(config)#access-list 10 permit 192.168.7.0 0.0.0.255 Router(config)#access-list 10 permit 192.168.8.0 0.0.0.255 Router(config)#access-list 10 permit 172.19.0.0 0.0.255.255 Router(config)#access-list 10 permit 172.20.0.0 0.0.255.255 Router(config)#access-list 10 permit 192.168.0.0 0.0.0.255 Router(config)#ip nat inside source list 10 pool test overload 6.2.2 ACL 访问控制列表(Access Control List,ACL) 是路由器和交换机接口的指令列表,用来控制端口进出的数据包。ACL适用于所有的被路由协议,如IP、IPX、AppleTalk等。这张表中包含了匹配关系、条件和查询语句,表只是一个框架结构,其目的是为了对某种访问进行控制。 信息点间通信,内络的通信都是企业网络中必不可少的业务需求,但是为了保证内网的安全性,需要通过安全策略来保障非授权用户只能访问特定的网络资源,从而达到对访问进行控制的目的。简而言之,ACL可以过滤网络中的流量,控制访问的一种网络技术手段。ACL技术用在了核心交换机的SW0上面,不允许学生公寓区访问行政区,其它的都可以,具体配置如下: interface Vlan4 ip address 192.168.4.1 255.255.255.0 ip access-group 100 out access-list 100 deny ip 172.16.0.0 0.0.255.255 192.168.4.0 0.0.0.255 access-list 100 permit ip any any 七、网络操作系统管理体系的选择 网络操作系统的管理一般包括如下方面: 1、账户和资源管理介绍2、管理服务器3、管理用户和计算机账户4、管理组5、组织单位对象的访问管理6、实现组策略7、使用组策略管理用户环境8、应用管理模板和审核策略9、使用软件更新服务管理软件10、服务器性能监视的准备11、监视服务器性能12、维护设备驱动程序13、资源访问管理14、实现打印15、第打印管理16、磁盘管理17、数据存储管理18、故障恢复的管理。对于这些方面的管理,我们平时只要稍加学习,就可以方便的操作了。 八、课程设计总结 为期一周的课程设计终于结束了,这次计算机网络的课程设计是做一个校园网组建,就是为学校建立校园网,我们一开始很难入手,一点头绪都没有,一直苦苦难受着,后来老师用了一节课的时间给我们讲解这个校园网的建设要点与大体的组建方向,最终我们认真的通过计算机查找资料,一步步了解校园网的结构,然后在自己动手组建,以我们以前的高中作为目标,通过学习,为我们的高中建设校园网,最终如果硬件设备实施我们就可以交给我们的施工方去给我们的高中建设了,我们的高中学生就可以很方便的使用校园网来更好的学习,使用资源,获得外界各个高校的学习信息,随时掌握动态。在校老师可以通过我们设计的校园网来收发电子邮件,就可以与兄弟学校的老师们交流经验,试卷相互共享。在这次课程设计中,老实说重点就是在节点设计方面,于是乎我们都将之看成是重点,好好地复习子网划分的知识点,我们很认真的看了课本的第四章的内容,花了很长时间才把那个子网的划分搞清楚,最终应用到我们的校园网的子网划分中去。我们通过对校园网的建设的学习,课程设计,真正的得到动手能力的锻炼,想想,比我们上课时候老师的讲解获得的知识点都要多,真正感受到实践的重要性与有效性。 参考文献 [1] 王喆,罗进文.现代通信交换技术.北京:人民邮电出版社,2009. [2] 王保顺,张炜 编著 校园网设计与远程教学系统开发 2003.01. [3] 张浦生.网络组建的工作过程与任务. 电子工业出版社,2010. [4] 谢希仁,计算机网络 第五版 电子工业出版社 北京 2010.4 [5] 张基温. 计算机网络技术(第2版).北京:高等教育出版社,2008-9. [6] 冯昊、黄治虎、伍技祥 交换机/路由器的配置和管理 清华大学出版社,2005 [7] 杜煜 姚鸿 计算机网络基础 人民邮电出版社,2001 [8] 吴献文 计算机网络安全基础与技能训练 西安电子科技大学出版社,2008 [9] 王祥仲. 局域网组建实用培训教程.北京:清华大学出版社 [10] 张际平 校园网络技术与管理 东南大学出版社, 2001 [11] 雷建军.计算机网络实用技术.北京:中国水利水电出版社,2003下载本文
