校园网规划与设计论文26835.doc

资源描述

《校园网规划与设计论文26835.doc》由会员分享，可在线阅读，更多相关《校园网规划与设计论文26835.doc（24页珍藏版）》请在三一文库上搜索。

1、i 毕毕业业设设计计（论论文文）论文题目：小型校园网规划与设计小型校园网规划与设计论文题目：Planning and design of campus LAN ii 摘摘要要本文是通过对校园的里面的路由器和交换机进行正确的配置,通过使用一些规则配置,使校园的网络可以实现资源共享和相互通信. 利用 vlan 技术来优化校园里的网络，限制广播域，增强局域网内的安全性，再用 vtp 来更好的辅助 vlan 性能的良好发挥，利用 nat 技术把校里面的私用 IP 地址转化成公网上的 IP，使得内部网络可以正常访问互联网，通过使用 vlan,nat,vtp 等技术对路由器和交换机进行配置，

2、使校园网络各种计算机、服务器连接起来，并通过一定接口连接到广域网,实现校园网络、相互通信和资源共享。关键词：路由器局域网交换机服务器网络管理网络安全 iii ABSTRACT This is the correct configuration of routers and switches inside the campus, through the use of some of the rules configuration, the campus network can share resources and communicate with each other using

3、 vlan technology to optimize the campus network, limiting the broadcast domains, enhanced LAN within the security, then vtp better auxiliary the vlan performance of good play, use the nat technique to campus inside the private IP address into the IP of the public Internet, so that the internal netwo

4、rk can access the Internet, by using the vlan nat vtp technologies such as routers and switches to configure the campus network computer, server connection and connected to the WAN through a certain interface to achieve the campus network, communicate with each other and the sharing of resources. Ke

5、ywords: router, LAN,switch，server，network management，network security iv 目目录录第第 1 章章引言引言 .VI 第第 2 2 章章计算机网络计算机网络VII 2.1 计算机网络 VII 2.2 局域网简介 VII 2.2.1 局域网的组成vii 2.2.2 局域网的拓扑结构viii 2.3 校园网建设的原则 .VIII 第第 3 3 章章校园网需求分析校园网需求分析 .IX 3.1 学校建筑现状分析IX 3.2 信息点分布需求分析IX 3.3 学校子网需求划分.X 3.4 学校 VALN 需求划分XI 第第 4

6、 4 章章交换模块设计交换模块设计 XIII 4.1 虚拟局域网 .XIII 4.2 核心层交换机的说明配置XIII 4.2.1 核心交换机上的配置xiii 4.2.2 VALN 各个接口的配置.xiv 4.2.3 冗余备份链路.xv 4.2.4 三层核心交换机之间的 RIP 路由协议xv 4.3 汇聚层交换机的说明配置.XVI 4.4 接入层交换机的说明配置XVII 4.5 管理路由器的访问方式.XVII 第第 5 5 章章校园网服务器校园网服务器.XIX 5.1 服务器选型原则.XIX 5.2 具体服务器类型推荐.XIX 5.3 E-MAIL服务器XIX 5.4 FTP 服务器 .XX

7、 5.5 WEB 服务器 .XX 第第 6 6 章章校园网络的管理与安全校园网络的管理与安全.XXI 6.1 网络管理.XXI 6.2 网络安全体系.XXI 6.2.2 系统安全xxii 总结与展望总结与展望XXIV 参考文献参考文献.XXV v 第第 1 章章引言引言构建校园网骨干网，实现各个分校区和本部之间的连接，以及实现端到端的以太网访问，提高了传输的效率，有效地保证了远程多媒体教学、数字图书馆等业务的开展。随着信息技术的高速发展，教育信息化水平正成为衡量学校总体发展水平的重要因素，网络技术的应用对高校的教学手段和教育管理体系的促进作用是巨大的。1995 年 CERNET （

8、中国教育和科研计算机网）建设全面启动，全国各地的高校开始建设自己的计算机校园网。校园网建设是高校建设的重要组成部分，建设高质量的局域网，才能充分发挥网络资源管理和应用的优势，进行信息交流、资源共享、科学计算和科学研究与合作。本文是学校的校园网工程，范围主要为包括办公楼、图书室、住宿楼及实验楼在内的局域网部分。根据校园的整体的网络架构，使这复杂的网络高速、安全地通信，对复杂网络应用的一体化解决方案。 vi 第第 2 2 章章计算机网络计算机网络 2.12.1 计算机网络计算机网络计算机网络，简单地说，就是通过电缆、电话线或无线通讯将两台以上的计算机互连起来的集合。它包括：计算机

9、、网络操作系统、传输介质（可以是有形的，也可以是无形的，如无线网络的传输介质就是空气）以及相应的应用软件四部分。计算机网络如按网络的组建规模和地域范围来划分的话，可分为局域网(Local Area Network, LAN)、城域网(Metropolitan Area Network, MAN)、广域网(Wide Area Network, WAN)。我们经常用到的因特网(Internet)属于广域网，校园网属局域网。未来的网络技术将向着使用简单、高速快捷、多网合一、安全保密的方向发展。 2.22.2 局域网简介局域网简介局域网是在一个局部的地理范围内（如学校工厂等）,将各种计算机，外

10、部设备和数据库等互相连接起来组成的计算机通信网。他可以通过数据通信网或专用数据电路，与远方的局域网、数据库或处理中心相连接，构成一个大范围的信息处理系统.简称 LAN,是指某一区域内由多台计算机互联成的计算机组。 2.2.12.2.1 局域网的组成局域网的组成局域网由网络硬件和网络软件两部分组成。网络硬件主要有：服务器、工作站、传输介质和网络连接部件等。网络软件包括网络操作系统、控制信息传输的网络协议及相应的协议软件、大量的网络应用软件等。服务器（Server）：用来管理网络并为用户提供共享服务的计算机。与网络中的工作站相比，服务器通常具有更快的速率、更大的存储容量和更高的可靠

11、性。此外，为了便于对网络进行管理，服务器中通常应安装相应的网络操作系统，如 Novell Netware, Windows NT/2000 Server, UNIX 等。工作站（Workstation）：用户使用的计算机，又称用户机或客户机。从网络构成的角度看，任何一台计算机（如 286、386、486、P、P4 等）都可作为工作站。当工作站登录到网络服务器后，可按规定权限存取服务器中的文件。此外，工作站通常还可以与网络中的其他用户进行通信或访问 Internet。网络通信系统（Network Communications System）：连接工作站和服务器的设备。这些设备通常应

12、包括插在服务器或工作站中的网卡，它们应与通信介质相连；用于传输数据介质， vii 如同轴电缆、双绞线、光纤等；专用的通信设备，如集线器（HUB）、局域网交换机、路由器等。网络操作系统（Network Operating System）：对于稍在一点的网络来说，为了充分发挥网络的功能，以及更好地管理网络，通常应在服务器中安装网络操作系统。例如，基于安全起见，企业的几乎所有重要数据（如财务、销售等）都被保存在服务器中，并非每个人都能访问这些数据。通常情况下，只有企业负责人拥有最高权限，而其他人只能查看部分数据。此时就是借助网络操作系统来对资源和用户进行管理的，它规定了用户的权限，以及

13、用户所能访问的资源。 2.2.22.2.2 局域网的拓扑结构局域网的拓扑结构所谓局域网的拓扑结构，是指局域网中各计算机之间的连接形式。如果抛开构建局域网时所采用的通信介质、通信设备等，局域网中各计算机之间的学用连接形式实际上只有两种，即总线型与星型。在总线型网络中，由于各计算机共享一条通信电缆，网络中某个节点出现故障，将导致整个网络瘫痪。因此，目前这类结构的网络已趋于淘汰。星型网络的优点是，当网络中某个节点出现故障时不会影响整个网络的运行。其缺点是每个计算机都要占用一条专用的通信线路，并且需要额外的通信设备，将导致成本的增加。但是，由于目前各种硬件设备价格都已非常便宜，所以，

14、现在绝大部分局域网都采用了这种结构。 2.32.3 校园网建设的原则校园网建设的原则 1整体规划分步实施：一方面因为学校的资金情况，不能一步到位。二是依据需求，不能盲目投资。 2注重应用系统建设：计算机网络要想发挥出它的作用，必须有建立在它之上的应用系统。这里有一个非常形象的比喻：网络就象路，而应用系统就象车，只修路但没车跑，路也不能发挥它的作用。这必须跟据学校的实际情况，选择恰当的应用系统。 3把握当前先进性：要将未来的可扩展性和经济可行性结合起来。当前计算机网络技术发展很快，设备更新淘汰很快。校园网建设应当采用当前成熟先进的技术和设备，而这些设备应有良好的扩张性，即能够兼容未

15、来可能的技术。 viii 第第 3 3 章章校园网需求分析校园网需求分析 3.13.1 学校建筑现状分析学校建筑现状分析对学校建筑的分析如图 2-1 所示：图 2-1 学校建筑图学生公寓区办公区核心交换机动性机教师公寓区行政区软件学院外语系经管系计科系信息工程学生阅览室机电系教学区财务处人事处教务处招生就业处图书馆电子阅览室网络中心借书室如图所示学校分为学生公寓区，教师公寓区，行政区，图书馆，教学区。其中学生公寓区（A 区、B、区、C 区），教师公寓区（A 区、B、区、C 区），行政区（财务处

16、、人事处、教务处、招生就业处），图书馆（学生阅览室、电子阅览室、网络中心、借书室），教学区（计科系、软件学院、经管系、机电系、外语系、信息工程系）。 3.23.2 信息点分布需求分析信息点分布需求分析对学校信息点的分析，如表 2-1 所示： ix 表 2-1 学校信息点的分析表大楼功能分布信息点信息点合计距核心网络的距离 A 区5000 B 区5000 学生公寓区 C 区5000 15000250m A 区5000 B 区5000 教师公寓区 C 区5000 15000250m 财务处20 人事处40 教务处30 行政区招生就业处10 100500m 学生阅览室30 电子阅览室

17、30 网络中心100 图书馆借书室10 1701000m 计科系1000 软件学院2000 经管系500 机电系500 教学区信息工程系500 4500200m A 区100 B 区150 办公区 C 区100 350250m 合计348202450m 3.33.3 学校子网需求划分学校子网需求划分为了提高 IP 地址的使用效率，引入了子网的概念。将一个网络划分为子网：采用借位的方式，从主机位最高位开始借位变为新的子网位，所剩余的部分则仍为主机位。这使得 IP 地 x 址的结构分为三级地址结构：网络位、子网位和主机位。这种层次结构便于 IP 地址分配和管理。它的使用关键在于选择合适的

18、层次结构-如何既能适应各种现实的物理网络规模，又能充分地利用 IP 地址空间。子网的划分主要是根据子网掩码来区分的，掩码的作用就是用来告诉电脑把“大网”划分为多少个“小网” ，以及每个子网中的主机数目。如表 2-2 所示，学校子网的划分。表 2-2 学校子网的划分表序号子网名称包含的信息点 1学生公寓子网学生公寓区所有的计算机 2教师公寓子网教师公寓区所有的计算机 3行政区子网行政区所有的计算机 4图书馆子网图书馆区所有的计算机 5教学区子网教学区所有的计算机 6办公区子网办公区所有的计算机 7服务器群子网该区所有的计算机 8无线网络子网该区所有的计算机 3.43.4 学校学校 VA

19、LNVALN 需求划分需求划分 VLAN（Virtual Local Area Network）称为虚拟局域网，是指在逻辑上将物理的 LAN 分成不同小的逻辑子网，每一个逻辑子网就是一个单独的播域。简单地说，就是将一个大的物理的局域网（LAN）在交换机上通过软件划分成若干个小的虚拟的局域网（VLAN）。因为交换机通信的原理就是要通过“广播”来发现通往的目的 MAC 地址，以便在交换机内部的 MAC 数据库建立 MAC 地址表，而广播不能跨越不同网段。 VLAN 技术的出现，使得管理员根据实际应用需求，把同一物理局域网内的不同用户逻辑地划分成不同的广播域，每一个 VLAN 都包含一组

20、有着相同需求的计算机工作站，与物理上形成的 LAN 有着相同的属性。由于它是从逻辑上划分，而不是从物理上划分，所以同一个 VLAN 内的各个工作站没有限制在同一个物理范围中，即这些工作站可以在不同物理 LAN 网段。由 VLAN 的特点可知，一个 VLAN 内部的广播和单播流量都不会转发到其他 VLAN 中，从而有助于控制流量、减少设备投资、简化网络管理、提高网络的安全性。 VLAN 除了能将网络划分为多个广播域，从而有效地控制广播风暴的发生，以及使网络的拓扑结构变得非常灵活的优点外，还可以用于控制网络中不同部门、不同站点之间的互相访问。通过划分 VLAN 子网，能划小了广播域

21、，避免了数据碰撞在大的物理 LAN 内产生严重后果的可能，也避免了广播风暴的产生。提高交换网络的交换效率，保证网络稳定。提高网络 xi 安全性，通过划分 VLAN，LAN 被划分不同子网段，因此不能直接通信。必要的通信必须经过路由来实现，因此可在路由器（或三层交换机）上配置访问列表来进行跨子网段的授权访问，从而提高校园内部网络访问的安全性。方便网络管理：采用 VLAN 技术来划分校园网络，一个 VLAN 可以根据不同的院系、办公室或者服务器组将不同地理位置的工作站划分为一个逻辑网段。在不改动网络物理连接的情况下可以任意地将工作站在子网之间移动，VLAN 提供了网段和机构的弹性组合机

22、制。VLAN 技术很好的解决了网络管理的问题，能实现网络监督与管理的自动化，从而更有效的进行网络监控。如表 2-3 所示，该学校校园网络 Vlan 的划分及 IP 的分配。表 2-3 学校 vlan 的划分及 IP 的分配表序号子网名称网段 IP网关 IP备注 1学生公寓子网1721600/161721621Vlan 2 2教师公寓子网1721700/161721731Vlan 3 3行政区子网19216840/2419216841Vlan 4 4图书馆子网19216870/2419216871Vlan 7 5教学区子网1721800/161721861Vlan 6 6办公区子网192

23、16850/2419216851Vlan 5 7服务器群子网19216880/2419216881Vlan 8 8无线网子网19216800/2419216801Vlan 9 另外，IP 地址分为公网地址和私网地址两类，公有地址（Public address）由 Inter NIC（Internet Network Information Center 因特网信息中心）负责。这些 IP 地址分配给注册并向 Inter NIC 提出申请的组织机构。通过它直接访问因特网。ISP 分配给学校的全局 IP 地址地址段为: 202.106.0.3 -202.106.0.200/24.,私有地址（Pri

24、vate address）属于非注册地址，专门为组织机构内部使用。以下列出留用的内部私有地址 A 类 10.0.0.0-10.255.255.255 B 类 172.16.0.0-172.31.255.255 C 类 192.168.0.0-192.168.255.255 xii 第第 4 4 章章交换模块设计交换模块设计 4.14.1 虚拟局域网虚拟局域网随着企事业单位的局域网内的主机数量日益的增多，由大量的广播报文带来的快带浪费、安全等问题业越突出，为了解决这样的问题，我们就要对交换机进行划分 vlan。通过这样在同一个 vlan 中的主机不论他们实际与哪个交换机连接，它们之间的

25、通信就好像在独立的交换机上一样。同一个 vlan 中的广播只有 vlan 中的成员才能听到，而不会传输到其他的 vlan 中去，这样就可以很好地控制不必要的广播报文的扩散，提高了网络内部带资源的利用率，业减少了主机接受这些不必要的广播带来的资源浪费。 4.24.2 核心层交换机的说明配置核心层交换机的说明配置核心交换机采用两个三层交换机，该校园网分为 7 个 vlan，vlan2、vlan3、vlan4 分别接在核心交换机一的 f0/1 、f0/2、 f0/3 接口，vlan5、vlan6、vlan7、vlan8、vlan9 分别接在核心交换机二的 f0/1 、f0/2、 f0/3、

26、f0/4 接口。基于端口 vlan 的划分这是最常应用的一种 VLAN 划分方法，应用也最为广泛、最有效，目前绝大多数 VLAN 协议的交换机都提供这种 VLAN 配置方法。这种划分 VLAN 的方法是根据以太网交换机的交换端口来划分的，它是将 VLAN 交换机上的物理端口和 VLAN 交换机内部的 PVC（永久虚电路）端口分成若干个组，每个组构成一个虚拟网，相当于一个独立的 VLAN 交换机。从这种划分方法本身我们可以看出，这种划分的方法的优点是定义 VLAN 成员时非常简单，只要将所有的端口都定义为相应的 VLAN 组即可。适合于任何大小的网络。它的缺点是如果某用户离开了原来的

27、端口，到了一个新的交换机的某个端口，必须重新定义。 4.2.14.2.1 核心交换机上的配置核心交换机上的配置在核心交换机上的配置如下： sw0(config)#int f 0/1 sw0(config-if)#switchport mode trunk sw0(config-if)#switchport access vlan 2 sw0(config)#int f 0/2 sw0(config-if)#switchport mode trunk sw0(config-if)#switchport access vlan 3 sw0(config)#int f 0/3 sw0(confi

28、g-if)#switchport mode trunk xiii sw0(config-if)#switchport access vlan 4 sw1(config)#int f 0/1 sw1(config-if)#switchport mode trunk sw1(config-if)#switchport access vlan 5 sw1(config)#int f 0/2 sw1(config-if)#switchport mode trunk sw1(config-if)#switchport access vlan 6 sw1(config)#int f 0/3 sw1(con

29、fig-if)#switchport mode trunk sw1(config-if)#switchport access vlan 7 sw1(config)#int f 0/4 sw1(config-if)#switchport mode trunk sw1(config-if)#switchport access vlan 8 sw1(config)#int f 0/5 sw1(config-if)#switchport access vlan 9 4.2.24.2.2 VALNVALN 各个接口的配置各个接口的配置配置 VLAN 的各各接口的地址 sw0(config)#int v

30、lan 2 sw0(config-if)#ip add 172.16.2.1 255.255.0.0 sw0(config-if)#no shutdown sw0(config-if)#exit sw0(config)#int vlan 3 sw0(config-if)#ip add 172.17.3.1 255.255.0.0 sw0(config-if)#no shutdown sw0(config-if)#exit sw0(config)#int vlan 4 sw0(config-if)#ip add 192.168.4.1 255.255.255.0 sw0(config-if)#n

31、o shutdown sw1(config)#int vlan 5 sw1(config-if)#ip add 192.168.5.1 255.255.255.0 sw1(config-if)#no shutdown xiv sw1(config-if)#exit sw1(config)#int vlan 6 sw1(config-if)#ip add 172.18.6.1 255.255.0.0 sw1(config-if)#no shutdown sw1(config-if)#exit sw1(config)#int vlan 7 sw1(config-if)#ip add 192.168

32、.7.1 255.255.255.0 sw1(config-if)#no shut sw1(config-if)#exit sw1(config)#int vlan 8 sw1(config-if)#ip add 192.168.8.1 255.255.255.0 sw1(config-if)#no shut sw1(config)#int vlan 9 sw1(config-if)#ip add 192.168.9.1 255.255.255.0 sw1(config-if)#no shut 4.2.34.2.3 冗余备份链路冗余备份链路冗余备份链路，端口聚合又称链路聚合，是指两台交换机之

33、间在物理上将多个端口连接起来，将多条链路聚合成一条逻辑链路。该核心交换机采用的是两条，具体配置如下： Switch(config)#inter port-channel 1 Switch(config-if)#no switchport Switch(config-if)#no shutdown Switch(config-if)#ip address 172.19.0.1 255.255.0.0 Switch(config)#inter gig0/1 Switch(config-if)#channel-g Switch(config-if)#channel-group 1 m on Swi

34、tch(config)#inter gig0/2 Switch(config-if)#channel-group 1 m on 4.2.44.2.4 三层核心交换机之间的三层核心交换机之间的 RIPRIP 路由协议路由协议具体配置代码如下： sw0(config)#router rip xv sw0(config-router)#network 172.16.0.0 sw0(config-router)#network 172.17.0.0 sw0(config-router)#network 172.19.0.0 sw0(config-router)#network 172.20.0.0

35、sw0(config-router)#network 192.168.4.0 sw0(config-router)#version 2 sw0(config-router)#no auto-summary sw1(config)#router rip sw1(config-router)#network 192.168.0.0 sw1(config-router)#network 192.168.5.0 sw1(config-router)#network 192.168.6.0 sw1(config-router)#network 172.18.0.0 sw1(config-router)#

36、network 172.19.0.0 sw1(config-router)#network 192.168.7.0 sw1(config-router)#network 192.168.8.0 sw1(config-router)#version 2 sw1(config-router)#no auto-summary 4.34.3 汇聚层交换机的说明配置汇聚层交换机的说明配置访问层交换机学生公寓区的交换机作为服务器的配置如下： s4#vlan database s4(vlan)#vtp domain dong s4(vlan)#vlan 2 s4(vlan)#vlan 3 s4(vlan)

37、#vlan 4 s4(vlan)#vlan 5 s4(vlan)#vlan 6 s4(vlan)#vlan 7 s4(vlan)#vlan 8 s4(vlan)#vlan 9 s4(vlan)#vtp server 该层对学生公寓区交换机 trunk 配置如下： xvi s4(config)#int f 0/1 s4(config-if)#switchport mode trunk s4(config)#int f 0/2 s4(config-if)#switchport mode trunk s4(config)#int f 0/3 s4(config-if)#switchport mode

38、 trunk s4(config)#int f 0/4 s4(config-if)#switchport mode trunk 4.44.4 接入层交换机的说明配置接入层交换机的说明配置接入层是最终用户 (教师、学生) 与网络的接口，它应该提供即插即用的特性，同时应该非常易于使用和维护。另外，通过 VTP 的设置，我们可以更好的将汇聚层的 vlan 信息导入到接入层，只需要将不同的端口加入不同的vlan，就能够是机器之间通信。在该层的一个交换机上的配置如下: !进入 vtp 数据库 Switch#vlan datadase !设置 vtp 域名 Switch(vlan)#vtp do

39、main dong !设置 vtp 模式 Switch(vlan)#vtp client Switch(vlan)#exit Switch#configgure terminal !配置接口 F0/1 为中继接口 Switch(config-if)#int f0/1 !设置为 trun 模式 Switch(config-if)#switchport mode trunk 4.54.5 管理路由器的访问方式管理路由器的访问方式路由器的管理方式可分为两种:带内管理和带外管理。通过路由器的 Console 口管理交换机属于带外管理，不占用交换机的网络接口，特点是线缆特殊，需要近距离配置。teln

40、et 指路由器的网络接口，连接到网络中的某台主机。利用这台主机进行远程管理和配置，特点是网管可以进行远程控制。 xvii 配置路由器远程登录密码，代码如下： Router(config)#line vty 0 4 Router(config-line)#password dong Router(config-line)#login 配置路由器特权模式密码： Router(config)#enable password dong xviii 第第 5 5 章章校园网服务器校园网服务器 5.15.1 服务器选型原则服务器选型原则先进、标准。采用先进、主流的设计思想、技术与产品。易用、好用。

41、从操作系统到应用软件，都选用功能强大且易用、好用的产品，在很短的时间内即可上手，有效提高工作效率。安全稳定，符合保密部门有关规定。从服务器的硬件平台到操作系统平台，都选用安全稳定的产品。灵活、扩展性强。服务器选用配置灵活且扩展性强的产品，保证服务器的可升级性，实现投资保护。整体规划，分部实施。科学合理的整体规划，可以节约大量的资源，随着发展，对系统进行不断的完善。 5.25.2 具体服务器类型推荐具体服务器类型推荐不同的应用会对应不同的工作负荷，而且不同的应用也有不同的重要性，因而对服务器硬件平台的要求也不一样，这些要求主要包括性能、可靠性、可用性等方面，其中性能要求主要

42、包括 CPU 处理能力、内存容量、磁盘 I/O 性能及网络和外设 I/O 带宽等。 5.35.3 E-MailE-Mail 服务器服务器 1.允许设置多个邮件处理规则，根据邮件主题、发件人等信息将邮件直接存放到指定文件夹中等多种方式的自动处理 2.配合用户邮件过滤功能，提供邮件自动回复、拒收或分检服务 3.修改用户的个性化设置，如个人签名档、个人资料、界面显示风格等修改邮箱的配置参数：每页显示的邮件数、是否将原信加入到回复的信件中、自动转发后是否在本地保存副本、设定邮件最大字节数、设定邮件显示的排序方式 4.POP 邮件功能，允许设置多个电子邮件 POP 帐号，将邮件采集到本系统中用

43、户可以将一些常用的地址加入到地址簿，方便管理，将地址按照指定的规律进行分组，实现邮件的群发；同时可以自行添加、修改、删除个人、团体地址本中的记录，也可以在阅读邮件时由系统自动加入到地址簿。系统支持虚拟域名、多域名。可以在同一邮件系统内包含多个域的地址。轻松地容纳多种地址格式和/或主持多个域需求的系统。 xix 5.45.4 FTPFTP 服务器服务器集成了 Internet/Intranet 服务器软件 Microsoft Internet Information Server（IIS）2.0。IIS 包含了一个高性能的 HTTP 引擎，它构成 Web 服务器的核心；IIS 还包含

44、 Internet 标准的 FTP 服务器。 5.55.5 WEBWEB 服务器服务器 WEB 服务器也称为 WWW(WORLD WIDE WEB)服务器，主要功能是提供网上信息浏览服务。采用的是客户/服务器结构，其作用是整理和储存各种 WWW 资源，并响应客户端软件的请求，把客户所需的资源传送到 Windows 2003 Server、WindowsXP、Windows NT、UNIX 或 Linux 等平台上。 xx 第第 6 6 章章校园网络的管理与安全校园网络的管理与安全 6.16.1 网络管理网络管理随着校园网的不断发展和应用，网络管理和安全防范问题也越来越复杂。为此，我校专

45、门设立了网络管理中心，负责网络管理系统的建立和应用、线路和站点的监测、通信设备管理、全局目录管理、用户和文件管理及收费管理、用户培训等。同时，利用网管中心，可以方便地采取各种安全性措施，控制通信，购买硬件防火墙，即时下载系统漏洞，实施新的安全技术，数据备份等提高网络可靠和安全性能水平。校园网管理的主要目的是保障网络运行的品质，如维持网络传送速率、降低传送错误率、确保网络安全等。所以校园网系统管理的技术人员可借网络管理工具或本身的技术经验实施网络管理，内容可分为下列 6 项：（1）系统管理随时掌握网络内任何设备的增减与变动，管理所有网络设备的设置参数。当故障发生时，管理人员得以

46、重设或改变网络设备的参数，维持网络的正常运作。（2）故障管理为确保网络系统的高稳定性，在网络出现问题时，必须及时察觉问题的所在。它包含所有节点动作状态、故障记录的追踪与检查及平常对各种通讯协议的测试。（3）效率管理在于评估网络系统的运作，统计网络资源的运用及各种通讯协议的传输量等，更可提供未来网络提升或更新规划的依据。（4）安全管理为防范不被授权的用户擅自使用网络资源，以及用户蓄意破坏网络系统的安全，要随时做好安全措施，如合法的设备存取控制与加密等。（5）计费管理了解网络使用时间，能针对各个局部网络做使用统计。一则可作为使用网络计费的依据，更可作为日后网络升级或更新规划的参考。

47、（6）信息管理网络上的信息分成两部分，一是由管理员放置的信息，它们的品质一般较高；另一部分是由用户放置的，可能会有一些问题，要对这部分信息进行管理。（7）人员培训要真正提高校园网的应用水平，就必须坚持不懈地在教学和学习中应用网络，以切实提高教学水平、管理水平和学习水平，其中加强对相关人员的培训十分必要。为此我校正举办网络技术培训班，对校园网的四类实用人员，即学校领导、系统维护人员、课件制作人员和应用系统使用人员，分期分批进行网络培训，以提高全体师生的网络应用水平，并促进校园网的健康发展。 6.26.2 网络安全体系网络安全体系全体系是安全工程实施的指导方针和必要依据，它的质量

48、也决定了安全工程的质量。所 xxi 以，应把安全体系的设计提升到一定的高度，确保安全体系的可靠性、可行性、完备性和可扩展性。 6.2.16.2.1 物理层安全物理层安全物理层的安全主要包括环境、设备及线路的安全。系统中心或机房的建设应遵照： GB50173-93电子计算机机房设计规范、GB2887-89计算机站场地安全要求及 GB2887- 89计算机站场地技术条件的要求。在设备集中的管理间安装干扰器防止由于设备辐射造成的信息泄漏。同时，要注意保护线路的安全，防止用户的搭线窃听行为。 6.2.26.2.2 系统安全系统安全系统层主要解决的是由于各种操作系统、数据库、及相关产品的安全漏

49、洞和病毒造成的威胁。解决的技术手段主要有以下几种：采用主机加固手段对主机加固，如升级、打补丁、关闭不需要的端口等；采用主机访问控制手段加强对主机的访问控制； 6.2.36.2.3 网络层安全网络层安全校园网中局域网数目较多，根据需要多个网络可能要互相联接。正是这种多网的互联，使我们对网络层的安全要极度重视。定义一个网络或各网络内不同安全等级的部分为不同的安全域。安全域之间的连接处叫网络边界。下面主要讨论以下几方面的网络层安全防护： 1) 划分安全子网。如果同一局域网内有不同等级的安全域，可以通过划分子网及 VLAN 的方法加以访问控制。如在教学局域网中学生机房和多媒体机房之间可以通过划分子网来控制，不允许学生机房的机器访问多媒体机房的机器。 2) 加强网络边界的访问控制。安全等级差别较大的边界需要采用防火墙来控制。如校园内网、校园外网和 Internet 之间，利用防火墙进行访问控制和内容过滤。可有效地解决需求中提到的多种威胁。 3) 防止内外的攻击威胁。在每个安全域内或多个安全域之间安装入侵检测系统（IDS）,可有效地防止来自网络内外的攻击。 4) 定期的网络安全性检测实现持续安全。利用漏洞扫描器（Scanner）,定期对

展开阅读全文