校园网络网管中心设计(001)

毕业论文论文题目校园网络信息中心设计及实施学生姓名谢兴明学生学号201312050002专业计算机网络工程指导教师鲜敏系部电气信息工程系校园网络网管中心设计摘要随着INTERNET的迅猛发展，人们对于网络信息时代的需求越来越迫切，网络的应用越来越广泛。作为高等人才的培训场所，校园网建设的需求也越来越大，教师、学生、管理人员等对一个先进的网络环境的要求也十分迫切。因此，建设校园网具有非常大的理论意义和实践意义。本设计实在局域网技术和目前网络发展技术的基础上，分析了校园网的各种功能需求和建设原则，并且阐述了网络结构技术和网络拓扑结构设计。在网络设计中，实现各个网络对应各种的功能，实现校园的一体化、资源化、共享化等，从而保证校园网络能适应未来网络的快速发展。关键词网络，安全，系统，技术，配置THEDESIGNANDCONFIGURTIONOFCAMPUSNETWORKSAFETYABSTRACTWITHTHERAPIDDEVELOPMENTOFINTERNET,THEDEMANDFORNETWORKINFORMATIONAGEISMOREANDMOREURGENT,THEAPPLICATIONOFNETWORKISMOREANDMOREWIDELYASTHEHIGHERTALENTSTRAININGVENUES,THECONSTRUCTIONOFCAMPUSNETWORKISALSOGROWINGDEMAND,TEACHERS,STUDENTS,MANAGERSANDOTHERREQUIREMENTSFORANADVANCEDNETWORKENVIRONMENTISALSOVERYURGENTTHEREFORE,ITHASVERYLARGETHEORETICALANDPRACTICALSIGNIFICANCEOFTHECONSTRUCTIONOFCAMPUSNETWORKTHEBASISFORTHISDESIGNISLANTECHNOLOGYANDTHECURRENTNETWORKTECHNOLOGYDEVELOPMENT,ANALYSISOFTHEVARIOUSFUNCTIONALREQUIREMENTSANDPRINCIPLEOFCONSTRUCTIONOFCAMPUSNETWORK,ANDDESCRIBESTHESTRUCTUREOFTHENETWORKTECHNOLOGYANDNETWORKTOPOLOGYDESIGNINTHENETWORKDESIGN,THEREALIZATIONOFEVERYNETWORKCORRESPONDINGTOVARIOUSFUNCTIONS,INTEGRATION,RESOURCESHARING,ETCSOASTOENSURETHEREALIZATIONOFTHECAMPUS,THECAMPUSNETWORKCANADAPTTOTHERAPIDDEVELOPMENTOFTHENETWORKOFTHEFUTUREKEYWORDSNETWORK,SAFETY,SYSTEM,TECHNOLOGY,CONFIGURE目录第一章综述6第二章项目介绍721设计目标722设计的关键7第三章网络拓扑结构图931系统设计原则932网络三层结构设计1033可管理性与维护原则1034安全性与保密性原则1035稳定性和可靠性10第四章设备选型1041核心路由器选型1142核心交换机选型1243防火墙选型14第五章基本配置1551VLAN的应用1552VLAN的划分及配置1553IP地址分配及配置1654路由器基本配置2055灌注CISCO路由器IOS2056防火墙基本配置21第六章网络主要配置2361配置动态路由协议2362三层交换机路由配置2463路由器路由配置2464双出口网络2565NAT的配置26第七章网络安全与管理2871网络安全2872造成这些现状的原因2873安全接入和配置29总结32参考文献33致谢34第一章综述随着计算机网络的发展，校园网已经成为高等院校走向信息化时代的必然发展趋势，使我国高等教育管理向智能化发展。它是网络技术和电子信息技术和高等院校发展相结合的产物。校园网以信息资源为根本，硬件网络系统为物质基础，同时以网络软件系统实现系统的管理与使用，是一个具有宽带通路和交互功能的专业性局域网，应具有教学、科研、管理和通讯等四大功能。校园网网络的安全十分重要，它承载着学校的教务、行政、后勤、图书资料、对外联络等方面的事务处理。但是，紧随信息化发展的网络安全问题日渐突出，网络安全问题已成为信息时代人类共同面临的挑战，网络信息安全问题成为当务之急，如果不能很好地解决这个问题，必将阻碍信息化发展的进程。校园网络的建设并不是一件容易的事情，在建设过程中，我们应该考虑校园网的特殊情况，考虑满足网络设施、路由配置、信息资源等等的需求。冰球考虑到未来校园扩建的可能和在校人数的增加，我们要针对这种情况考虑到网络扩容的必要性。第二章项目介绍21设计目标校园网的设计目标简而言之是将各种不同应用的信息资源通过高性能的网络设备相互连接起来，形成校园区内部的INTRANET系统，对外通过路由设备接入广域网。具体而言这样的设计目标应该是建设一个以办公自动化、计算机辅助教学、现代计算机校园文化为核心，以现代网络技术为依托、技术先进、扩展性强、覆盖全校楼宇的校园主干网络，将学校的各种PC机工作站、终端设备和局域网连接起来，并与有关广域网相连在网上宣传和获取教育资源在此基础上建立能满足教学、科研和管理工作需要的软、硬件环境开发各类信息库和应用系统，为学校各类人员提供充分的网络信息服务系统总体设计本着总体规划、分布实施的原则，充分体现系统的技术先进性、高度的安全可靠性、良好的开放性、可扩展性，以及建设经济性。22设计的关键221网络技术选型在校园网网络的建设中，主干网选择何种网络技术对网络建设的成功与否起着决定性的作用。选择适合校园网络需求特点的主流网络技术，不但能保证网络的高性能，还能保证网络的先进性和扩展性，能够在未来向更新技术平滑过度，保护用户的投资。所以要根据实际应用的需要，采用千兆以太网作为校园网的主干网，因为作为整个校园网的信息交换中心，网络的速度会直接影响到其他各子网的性能在建设多媒体教室时，由于网络中将会有很多的图像和声音的传输，因此对带宽和传输速度有很高的要求，采用快速以太网就是最好的选择；而对于其他一些只有诸如简单文件传输之类的应用的环境，采用以太网就能满足要求。不同网络技术的复杂程度，在一定程度上直接影响校园网的维护、管理和使用效果。千兆以太网继承了以太网的技术简单，容易学习掌握的特点，是校园网的首选技术。222校园网的出口解决方案目前，高校校园网IP资源及注册域名基本来源于中国教育科研计算机网CERNET，但资费比较高，除了重点高校，带宽也受到了很大限制。而随着用户数量的不断增加，多数高校原有CERNET接入带宽已不能满足需求，扩大校园网出口带宽迫在眉睫，但扩大出口带宽带来的一个直接问题便是网络信息费的急剧增大，与CERNET相比，通过本地ISP接入CHINANET，在相同接入带宽的情况下费用较低。所以，采用双出口方案是高校校园网发展的一个新趋势，它综合运用了静态、网络地址转换和策略路由等技术，充分整合了CERNET及本地ISP的优势资源，是一种行之有效的校园网出口瓶颈解决方案。223网络核心设备的选择1骨干带宽的选择网络应用的增加对网络带宽提出了直接的需求。事实上，从1983年8023标准的正是成立开始，以太网技术经过20年的发展，已进入万兆以太网（8023AE标准）的时代。校园网络应用也是极其丰富的。并且随着组播技术在校园的应用，校园网核心层将面临严峻的考验。出于对网络发展的考虑，基于网络业务的发展，在拥有近万个信息点的高校采用万兆以太网技术构建核心层是可行的。目前业务还没完全开展起来，先采用千兆骨干，但核心设备必须支持万兆，并且在教育行业有应用，证明核心产品的成熟性和稳定性。在实现端到端的以太网访问的同时提高了传输的效率，有效地保证了多媒体教学、数字图书馆等业务的开展。2处理能力核心层是网络高速交换的骨干，被设计成尽可能高速包转发率，同时能够提供高速的INTERNET的接入和高冗余性能，同时由于各高校基本采用了INTERNET和CERNET双出口，而且出口的速率不同，所以所选择的网络核心层设备应该能够提供多网络出口的智能选择的功能，本身能够提供冗余特性。核心层设备须能够支持多种不同模块的插槽和提供多种不同的网络模块，支持到流媒体所需的网络的组播协议和网络的多播协议的处理能力，需要线速的数据转发和数据交换功能，即高背板带宽支持和高性能网络处理芯片的支持；由于是核心设备，还必须考虑整体网络的灾难备份和设备冗余，在设计中考虑的设备冗余需要有设备支持和协议支持，设备支持就是指在核心不能由单台设备进行整个网络的数据交换，需要有至少两台设备对整个网络进行有效的支撑，并已经具备灾难备份的硬件支撑能力。在协议上，需要支持冗余协议，实现整体网络冗余。支持在单台设备失效的同时，在最短的时间切换，避免网络损失。对于核心设备在网络中的举足轻重的位置，安全对于整个网络来说也整个网络的至关重要的，对于外部的黑客攻击和内部的病毒攻击的屏蔽，是保证整个网络运行的关键。核心设备要提供完善的ACL访问控制策略的定制，防止非法内容的访问；广播包抑制及广播源定位功能，保证网络用户安全。3对于未来的扩展设计对于在中心位置的核心设备的设计而言，随着时代的改变，其业务结构和规模也会改变，这样需要整个网络设备能够对未来的变化具备应对措施；由于核心设备是数据和业务的核心，所以，不能轻易的进行更换，同时，考虑到成本的因素，除非核心设备已经完全不能支撑目前业务的进行，否则，基本都会采取在原来的设备增加功能支撑来满足新业务的需求。这样，对于未来的扩展性就变得异常重要，核心设备扩展槽，接插模块类型，端口密度数应有所考虑，以保证整体设备的高性价比。第三章网络拓扑结构图31系统设计原则网络拓扑图如图1图1校园网络网管中心总体拓扑图校园网管中心基于传统的INTRANET网络改进，INTRANE是在传统网络的基础上引入了INTERNET技术发展起来的，与一般网络相比，该网络它具有以下优点1该网络相对是开放的，独立于硬件平台和操作系统，基于TCP/IP通讯协议的内部网络。2组件容易，管理方便，成本较低。在传统的网络上组建该网络。3由于局域网大多基于高带宽的媒介，传输速度快。4在网络的安全方面而提供更加有效的控制措施，当INTRANET介入INTERNET，他们在物理上用防火墙来隔离，保证了网络内部的安全。32网络三层结构设计校园网网络整体分为三个层次核心层、汇聚层、接入层。为实现校区内的高速互联，核心层由2个核心节点组成，包括教学区区域、服务器群；汇聚层每片区域设置一个汇聚节点，汇聚层为高性能“中核心”型交换机，为了保证数据传输和交换的效率，同时提高了网络的安全性；接入层为每个区域的接入交换机，是直接与用户相连的设备。本实施方案从网络运行的稳定性、安全性及易于维护性出发进行设计，以满足客户需求。33可管理性与维护原则网络建设的一项重点在于网络的管理，网络的建设必须保证网络运行的可管理性。在网络出故障时能迅速简便地进行网络故障的诊断。我院学校网络系统的节点数目大，分布范围广，通信介质多种多样，采用的网络技术也较先进，网络的管理任务加重了，如何有效地管理好网络关系,是否充分有效地利用网络的系统资源等问题就摆在我们面前。用图形化的管理界面和简洁的操作方式，合理地网络规划策略,可以提供强大的网络管理功能，使网络日常的维护和操作变得直观、简便和高效。34安全性与保密性原则信息系统安全问题是信息中心的任务，保证网络的通畅。确保经过该网络安全地获取信息，并保证该信息的完整和可靠。保证系统可靠运行，在网络设计时，将从内部访问控制和外部防火墙两方面保证我院校园网网络系统的安全。35稳定性和可靠性可靠性对于一个网络拓扑结构是至关重要的，在局域网中经常发生节点故障或传输介质故障，一个可靠性高的网络拓扑结构除了可以使这些故障对整个网络的影响尽可能小以外，同时还应具有良好的故障诊断和故障隔离功能。第四章设备选型网络中心设备预算表，如表1名称型号生产商单位数量单价金额核心交换机CISCO3560思科台27,5000015,00000路由器CISCO2901思科台310,0000030,00000交换机CISCO2960思科台13,500003,50000机柜图腾（TOTEN）K36622图腾个13,000003,00000水晶头安普（AMP）5547203安普个10010010000双绞线安普（AMP）2194202安普箱16000060000插板公牛（BULLGN109K公牛个5600030000光纤模块思科XENPAK10GBER思科个23,700007,40000防火墙思科（CISCO）ASA5505K8思科台13,000003,00000笔记本联想Z400联想台44,0000016,00000路由器CISCO2801思科台15,000005,00000表1网络中心设备预算表41核心路由器选型网络中心将网络主干部分称为核心层采用两台路由器，核心层的主要目的在于通过高速转发通信，提供可靠的骨干传输结构，因此核心层交换机应拥有更高的可靠性，性能和吞吐量。思科（CISCO）CISCO2901/K9路由器图片及参数如图2、图3图2思科（CISCO）CISCO2901/K9路由器图片图3思科（CISCO）CISCO2901/K9路由器参数42核心交换机选型通常将网络中直接面向用户连接或访问网络的部分称为接入层，将位于接入层和核心层之间的部分称为分布层或汇聚层，接入层目的是允许终端用户连接到网络，因此接入层交换机具有低成本和高端口密度特性；汇聚层交换机是多台接入层交换机的汇聚点，它必须能够处理来自接入层设备的所有通信量，并提供到核心层的上行链路，因此汇聚层交换机与接入层交换机比较，需要更高的性能，更少的接口和更高的交换速率。而将网络主干部分称为核心层，核心层的主要目的在于通过高速转发通信，提供优化、可靠的骨干传输结构，因此核心层交换机应用有更高的可靠性能和吞吐量。思科（CISCO）CISCOWSC296024TSL图片及参数如图4、图5图4思科（CISCO）CISCOWSC296024TSL图片图5思科（CISCO）CISCOWSC296024TSL参数43防火墙选型在网络中，所谓“防火墙”，是指一种将内部网和公众访问网如INTERNET分开的方法，它实际上是一种隔离技术。防火墙是在两个网络通讯时执行的一种访问控制尺度，它能允许你“同意”的人和数据进入你的网络，同时将你“不同意”的人和数据拒之门外，最大限度地阻止网络中的黑客来访问你的网络。换句话说，如果不通过防火墙，公司内部的人就无法访问INTERNET，INTERNET上的人也无法和公司内部的人进行通信。CISCOASA5505K8图片及参数如图6、图7图6CISCOASA5505K8图片图7CISCOASA5505K8参数第五章基本配置51VLAN的应用VLAN是一个在物理网络上根据用途，工作组、应用等来逻辑划分的局域网络，是一个广播域，与用户的物理位置没有关系。VLAN中的网络用户是通过LAN交换机来通信的。一个VLAN中的成员看不到另一个VLAN中的成员。同一个VLAN中的所有成员共同拥有一个VLANID，组成一个虚拟局域网络；同一个VLAN中的成员均能收到同一个VLAN中的其他成员发来的广播包，但收不到其他VLAN中成员发来的广播包；不同VLAN成员之间不可直接通信，需要通过路由支持才能通信，而同一VLAN中的成员通过VLAN交换机可以直接通信，不需路由支持。VLAN的特性是控制通信活动，隔离广播数据顺化网络管理，便于工作组优化组合，VLAN中的成员只要拥有一个VLANID就可以不受物理位置的限制，随意移动工作站的位置；增加网络的安全性，VLAN交换机就是一道道屏风，只有具备VLAN成员资格的分组数据才能通过，这比用计算机服务器做防火墙要安全得多；网络带宽得到充分利用，网络性能大大提高。52VLAN的划分及配置521VLAN的划分表，如表2VLAN10连接到办公区域VLAN20连接到教学区域VLAN30连接到宿舍区域VLAN40连接到内部防火墙和服务器表2VLAN的划分表S1INTERFACEFASTETHERNET0/3SWITCHPORTACCESSVLAN10SWITCHPORTMODEACCESS/S1将FA0/3端口应用于VLAN10INTERFACEFASTETHERNET0/4SWITCHPORTACCESSVLAN20SWITCHPORTMODEACCES/S1将FA0/4端口应用于VLAN20INTERFACEFASTETHERNET0/5SWITCHPORTACCESSVLAN30SWITCHPORTMODEACCESS/S1将FA0/5端口应用于VLAN30INTERFACEFASTETHERNET0/6SWITCHPORTACCESSVLAN40SWITCHPORTMODEACCESS/S1将FA0/6端口应用于VLAN40S2与S1VLAN划分相同53IP地址分配及配置IP地址是我们进行TCP/IP通讯的基础，每个连接到网络上的计算机都必须有一个IP地址。我们目前使用的IP地址是32位的，通常以点分十进制表示。一个简单的IP地址其实包含了网络地址和主机地址两部分重要的信息。531设备管理IP地址规划表，如表3名称设备名称接口IP地址子网掩码VLAN备注S0/3/12021152551182552552550连接INTERNETZHUR1互联网路由器1CISCO2901S0/3/02021152541222552552550连接到BEIFENR2S0/3/02186166252552552550连接到ZHUR1互联网路由器2CISCO2901S0/3/12186165232552552550连接到BEIFENR2S0/3/12021152551192552552550连接到互联网路由器1S0/3/02186166262552552550连接到互联网路由器2互联网路由器ZHUR1CISCO2901FA0/0101212552552550连接到S1FA0/1101112552552550连接到S2FA0/2101222552552550连接到ZHUR1FA0/1101322552552550连接到BEIFENR2FA0/31921681012552552550VLAN10连接到办公区域FA0/41921682012552552550VLAN20连接到教学区域FA0/51921683012552552550VLAN30连接到宿舍区域三层交换机S1CISCO3560FA0/61921684012552552550VLAN40连接到内部服务器FA0/1101422552552550连接到BEIFENR2FA0/2101112552552550连接到ZHUR1FA0/31921681022552552550VLAN10连接到办公区域FA0/41921682022552552550VLAN20连接到教学区域三层交换机S2CISCO3560FA0/51921683022552552550VLAN30连接到宿舍区域FA0/61921684022552552550VLAN40连接到内部服务器二层交换机CISCO2960连接到S1和S2，防火墙OUTSIDEE0/019216840102552552550连接到S1和S2INSIDEE0/1192168412542552552550连接到管理PC防火墙CISCO5505DMZ192168422542552552550连接到服务器群联想计算机PCFA0/01921684122552552550连接到防火墙INSIDE服务器群FA0/01921684222552552550连接到防火墙DMZ表3设备管理IP地址规划表ZHUR1INTERFACEGIGABITETHERNET0/0IPADDRESS101212552552550/配置ZHUR1GI0/0接口IP地址INTERFACEGIGABITETHERNET0/1IPADDRESS101112552552550/配置ZHUR1GI0/1接口IP地址INTERFACESERIAL0/3/0IPADDRESS2186166262552552550/配置ZHUR1S0/3/0接口IP地址INTERFACESERIAL0/3/1IPADDRESS2021152551192552552550/配置ZHUR1S0/3/1接口IP地址BEIFENR2INTERFACEFASTETHERNET0/0IPADDRESS101312552552550/配置BEIFENR2FA0/0接口IP地址INTERFACEFASTETHERNET0/1IPADDRESS101412552552550/配置BEIFENR2FA0/1接口IP地址INTERFACESERIAL0/3/0IPADDRESS2021152541212552552550/配置BEIFENR2S0/3/0接口IP地址INTERFACESERIAL0/3/1IPADDRESS2186165242552552550/配置BEIFENR2S0/3/1接口IP地址S1INTERFACEPORTCHANNEL1NOSWITCHPORTIPADDRESS101522552552550/配置交换机S1聚合端PORTCHANNEL1IP地址INTERFACEFASTETHERNET0/1NOSWITCHPORTIPADDRESS101322552552550/配置交换机S1FA0/1IP地址INTERFACEFASTETHERNET0/2NOSWITCHPORTIPADDRESS101222552552550/配置交换机S1FA0/2IP地址INTERFACEVLAN10IPADDRESS1921681012552552550/配置VLAN10IP地址INTERFACEVLAN20IPADDRESS1921682012552552550/配置VLAN20IP地址INTERFACEVLAN30IPADDRESS1921683012552552550/配置VLA30IP地址INTERFACEVLAN40IPADDRESS1921684012552552550/配置VLAN40IP地址S2INTERFACEPORTCHANNEL1NOSWITCHPORTIPADDRESS101512552552550/配置交换机S2聚合端PORTCHANNEL1IP地址INTERFACEFASTETHERNET0/1NOSWITCHPORTIPADDRESS101422552552550/配置交换机S2FA0/1IP地址INTERFACEFASTETHERNET0/2NOSWITCHPORTIPADDRESS101122552552550/配置交换机S2FA0/2IP地址INTERFACEVLAN10IPADDRESS1921681022552552550/配置VLAN10IP地址INTERFACEVLAN20IPADDRESS1921682022552552550/配置VLAN20IP地址INTERFACEVLAN30IPADDRESS1921683022552552550/配置VLAN30IP地址INTERFACEVLAN40IPADDRESS1921684022552552550/配置VLAN40IP地址54路由器基本配置ZHUR1HOSTNAMEZHUR1/配置路由器主机名LINECON0PASSWORD123456LOGIN/配置路由器控制口登录密码LINEVTY04PASSWORDCISCOLOGIN/配置路由器远程登录密码（其他设备大多配置相同）55灌注CISCO路由器IOS步骤1设置电脑的IP地址为19216812（这个随便，只要和路由器设的在同一个网段就行），子网掩码2552552550，默认网关19216811,如图8图8设置电脑的IP2打开电脑的TFTP_SERVER服务器软件，将目录改为下载下来的IOS文件目录，不要关闭这个软件。3用交叉线和CONSOLE线连接电脑和路由器，打开电脑的SECURECRT软件，选择SERIAL口COM。启动路由器，快速按下CTRLBREAK，这是CRT中显示ROMMON1，提示你输入命令。配置步骤如下ROMMON1TFTPDNLD/这时显示出现提示，相关信息没有配置ROMMON2IP_ADDRESS19216811/设置路由器IP，保证电脑与路由器在同一网段ROMMON3IP_SUBNET_MASK2552552550/设置路由器子网掩码ROMMON4DEFAULT_GATEWAY1921681254/设置默认网关ROMMON5TFTP_SERVER19216812/服务器IP地址，这里是电脑IP地址ROMMON6TFTP_FILEC3640JK9O3SMZ12412BIN/IOS文件名ROMMON7TFTPDNLD/启动接收文件这时候会提示你是否删除FLASH中的所有文件，选择Y，接着开始接收IOS文件。传输完成后，会自动进行相关初始化和配置，等这个过程结束后，输入RESET重启路由器就可以正常试用了。56防火墙基本配置INTERFACEVLAN11NAMEIFOUTSIDE/把VLAN11配置为OUTSIDE口SECURITYLEVEL0/配置OUTSIDE口的安全级别为0IPADDRESS19216840102552552550/配置IP地址INTERFACEVLAN22NAMEIFINSIDE/把VLAN11配置为OUTSIDE口SECURITYLEVEL100/配置OUTSIDE口的安全级别为0IPADDRESS192168412542552552550/配置IP地址INTERFACEVLAN33NOFORWARDINTERFACEVLAN2/由于ASA5505限制，配置DMZ转寄NAMEIFDMZ/把VLAN11配置为OUTSIDE口SECURITYLEVEL50/配置OUTSIDE口的安全级别为0IPADDRESS192168422542552552550/配置IP地址其它配置ACCESSLISTIN_TO_OUTEXTENDEDPERMITIP1921680025525500ANYACCESSLISTIN_TO_DMZEXTENDEDPERMITIP19216841025525525501921684202552552550ACCESSLISTACL_OUTEXTENDEDPERMITTCPANYANYEQWWWACCESSLISTACL_OUTEXTENDEDPERMITTCPANYANYEQHTTPSACCESSLISTACL_OUTEXTENDEDPERMITICMPANYANYACCESSLIST102EXTENDEDPERMITICMPANYANYACCESSLIST102EXTENDEDPERMITIPANYANYACCESSLISTACL_DMZEXTENDEDPERMITICMPANYANYGLOBALOUTSIDE1192168403192168409NETMASK2552552550NATINSIDE11921680025525500NATINSIDE100000000ACCESSGROUPACL_OUTININTERFACEOUTSIDEACCESSGROUPACL_DMZININTERFACEDMZACCESSGROUPACL_IN_TO_OUTININTERFACEINSIDEACCESSGROUPACL_IN_TO_DMZININTERFACEINSIDEROUTEOUTSIDE000000001921684011TIMEOUTXLATE30000TIMEOUTCONN10000HALFCLOSED01000UDP00200ICMP00002TIMEOUTSUNRPC01000H32300500H22510000MGCP00500MGCPPAT00500TIMEOUTSIP03000SIP_MEDIA00200SIPINVITE00300SIPDISCONNECT00200TIMEOUTSIPPROVISIONALMEDIA00200UAUTH00500ABSOLUTETIMEOUTTCPPROXYREASSEMBLY00100TIMEOUTFLOATINGCONN00000DYNAMICACCESSPOLICYRECORDDFLTACCESSPOLICYNOSNMPSERVERLOCATIONNOSNMPSERVERCONTACTSNMPSERVERENABLETRAPSSNMPAUTHENTICATIONLINKUPLINKDOWNCOLDSTARTCRYPTOIPSECSECURITYASSOCIATIONLIFETIMESECONDS28800CRYPTOIPSECSECURITYASSOCIATIONLIFETIMEKILOBYTES4608000TELNET1921684102552552550INSIDETELNETTIMEOUT5SSHTIMEOUT5CONSOLETIMEOUT0DHCPDADDRESS1921684111921684132INSIDEDHCPDENABLEINSIDETHREATDETECTIONBASICTHREATTHREATDETECTIONSTATISTICSACCESSLISTNOTHREATDETECTIONSTATISTICSTCPINTERCEPTCLASSMAPINSPECTION_DEFAULTMATCHDEFAULTINSPECTIONTRAFFICPOLICYMAPTYPEINSPECTDNSPRESET_DNS_MAPPARAMETERSMESSAGELENGTHMAXIMUMCLIENTAUTOMESSAGELENGTHMAXIMUM512POLICYMAPGLOBAL_POLICYCLASSINSPECTION_DEFAULTINSPECTDNSPRESET_DNS_MAP第六章网络主要配置路由器主要有以下几种功能第一，网络互连，路由器支持各种局域网和广域网接口，主要用于互连局域网和广域网，实现不同网络互相通信第二，数据处理，提供包括分组过滤、分组转发、优先级、复用、加密、压缩和防火墙等功能；第三，网络管理，路由器提供包括配置管理、性能管理、容错管理和流量控制等功能。61配置动态路由协议是网络中的路由器之间相互通信，传递路由信息，利用收到的路由信息更新路由器表的过程。它能实时地适应网络结构的变化。如果路由更新信息表明发生了网络变化，路由选择软件就会重新计算路由，并发出新的路由更新信息。这些信息通过各个网络，引起各路由器重新启动其路由算法，并更新各自的路由表以动态地反映网络拓扑变化。动态路由适用于网络规模大、网络拓扑复杂的网络。当然，各种动态路由协议会不同程度地占用网络带宽和CPU资源。62三层交换机路由配置S1ROUTEROSPF1NETWORK10120000255AREA0NETWORK10130000255AREA0NETWORK10150000255AREA0NETWORK192168100000255AREA0NETWORK192168200000255AREA0NETWORK192168300000255AREA0NETWORK192168400000255AREA0NETWORK20211500000255AREA0/配置S1的动态路由协议OSPFS2ROUTEROSPF1NETWORK10110000255AREA0NETWORK10140000255AREA0NETWORK10150000255AREA0NETWORK192168100000255AREA0NETWORK192168200000255AREA0NETWORK192168300000255AREA0NETWORK192168400000255AREA0/配置S2的动态路由协议63路由器路由配置ZHUR1ROUTEROSPF1NETWORK10110000255AREA0NETWORK10120000255AREA0/配置R1路由器的动态路由协议IPROUTE00000000SERIAL0/3/1/配置R1路由器默认路由BEIFENR2ROUTEROSPF1NETWORK10130000255AREA0NETWORK10140000255AREA0/配置R2路由器的动态路由协议IPROUTE00000000SERIAL0/3/0/配置R1路由器默认路由64双出口网络由于中国教育科研网与一般的电信级运营网络不同，没有非常充裕的线路、设备冗余，有可能发生单点故障，对于校园网的稳定运行有一定的影响。同时，通过CERNET访问其他的共众网如CHINANET、GBNET等速率缓慢。随着校园网用户量增加和基于校园网络的各种网络应用的展开，要求校园网络出口具有较高的网络带宽，原有单一的CERNET出口已不能满足，有必要进一步扩大带宽，通过当地网络服务提供商（ISP）开辟第二出口连入INTERNET是较好的解决途径，许多学校采用了教育网和电信（或联通、电信等）第二出口的双出口方案，既可以保留教育网资源，同时可以增加带宽，提高了访问INTERNET资源的速度。641配置基于策略的路由协议传统上，路由器使用路由表，根据目的地址进行报文的转发。基于策略的路由为网络管理者提供了比传统路由协议对报文的转发和存储更强的控制能力，策略路由不仅能够根据目的地址而且能够根据报文大小，应用或IP源地址等来选择转发路径。策略路由使网络管理者能根据实际需要，灵活的决定一个报文采取的具体路径。而在当今复杂的网络中，这种选择的自由性是很重要的。策略路由是设置在接收报文接口而不是发送接口，它采用MATCH和SET语句实现路径的选择。当前的主流路由设备路由器，多层交换机基本上都可以支持策略路由。642基于源的策略基于源策略的路由选择允许用户根据信息量的始发地做出路由选择决定。ZHUR1ACCESSLIST10PERMIT192168100000255ACCESSLIST20PERMIT192168200000255ACCESSLIST30PERMIT192168300000255ACCESSLIST40PERMIT192168400000255/配置允许的数据流量ROUTEMAPCISCO1PERMIT20MATCHIPADDRESS20SETINTERFACESERIAL0/3/0SERIAL0/3/1/配置20网段首先走S0/3/0,其次走路S0/3/1ROUTEMAPCISCO1PERMIT30MATCHIPADDRESS30SETINTERFACESERIAL0/3/0SERIAL0/3/1/配置30网段首先走S0/3/0,其次走路S0/3/1ROUTEMAPCISCOPERMIT10MATCHIPADDRESS10SETINTERFACESERIAL0/3/1SERIAL0/3/0/配置10网段首先走S0/3/1,其次走路S0/3/0ROUTEMAPCISCOPERMIT40MATCHIPADDRESS40SETINTERFACESERIAL0/3/1SERIAL0/3/0/配置40网段首先走S0/3/1,其次走路S0/3/0BEIFENR2ACCESSLIST10PERMIT192168100000255ACCESSLIST20PERMIT192168200000255ACCESSLIST30PERMIT192168300000255ACCESSLIST40PERMIT192168400000255/配置允许的数据流量ROUTEMAPCISCO1PERMIT20MATCHIPADDRESS20SETINTERFACESERIAL0/3/1SERIAL0/3/0/配置20网段首先走S0/3/1,其次走路S0/3/0ROUTEMAPCISCO1PERMIT30MATCHIPADDRESS30SETINTERFACESERIAL0/3/1SERIAL0/3/0/配置30网段首先走S0/3/1,其次走路S0/3/0ROUTEMAPCISCOPERMIT10MATCHIPADDRESS10SETINTERFACESERIAL0/3/0SERIAL0/3/1/配置10网段首先走S0/3/0,其次走路S0/3/1ROUTEMAPCISCOPERMIT40MATCHIPADDRESS40SETINTERFACESERIAL0/3/0SERIAL0/3/1/配置40网段首先走S0/3/0,其次走路S0/3/165NAT的配置651末节路由器的NATNAT的作用是把内网的私有地址，转化成外网的公有地址。使得内部网络上的被设置为私有IP地址的主机可以访问INTERNET。ZHUR1路由的NAT配置IPNATINSIDESOURCELISTNATINTERFACESERIAL0/3/1OVERLOAD/在S0/3/1借口上应用命名访问控制列表的NAT为INSIDE原地址。IPNATINSIDESOURCELISTNATAINTERFACESERIAL0/3/0OVERLOAD/在S0/3/0借口上应用命名访问控制列表的NATA为INSIDE原地址。IPNATINSIDESOURCEROUTEMAPCISCOINTERFACESERIAL0/3/1OVERLOAD/在S0/3/1借口上也应用策略路由的路由图CISCO的原地址。IPNATINSIDESOURCEROUTEMAPCISCO1INTERFACESERIAL0/3/0OVERLOAD/在S0/3/0借口上也应用策略路由的路由图CISCO1的原地址。IPROUTE00000000SERIAL0/3/1/设置默认路由。IPACCESSLISTSTANDARDNAT/定义命名ACLNAT的地址PERMIT192168100000255PERMIT192168400000255DENYANYIPACCESSLISTSTANDARDNATA/定义命名ACLNATA的地址PERMIT192168200000255PERMIT192168300000255DENYANYACCESSLIST10PERMIT192168100000255/定义标准ACL10的地址ACCESSLIST20PERMIT192168200000255/定义标准ACL20的地址ACCESSLIST30PERMIT192168300000255/定义标准ACL30的地址ACCESSLIST40PERMIT192168400000255/定义标准ACL40的地址ROUTEMAPCISCO1PERMIT20/路由图CISCO1允许ACL10D的流量MATCHIPADDRESS20/匹配的IP地址20SETINTERFACESERIAL0/3/0SERIAL0/3/1/设置接口ROUTEMAPCISCO1PERMIT30MATCHIPADDRESS30SETINTERFACESERIAL0/3/0SERIAL0/3/1ROUTEMAPCISCOPERMIT10MATCHIPADDRESS10SETINTERFACESERIAL0/3/1SERIAL0/3/0ROUTEMAPCISCOPERMIT40MATCHIPADDRESS40SETINTERFACESERIAL0/3/1SERIAL0/3/0注BENFENGR2上的NAT和ZHUR1的NAT大致相同。652防火墙的NAT在我们CISCO防火墙ASA5505上需配置NAT才能通讯。防火墙ASA5505上的配置ACCESSLISTIN_TO_OUTEXTENDEDPERMITIP1921680025525500ANY/定义扩展ACLIN_TO_OUT允许的IP流量ACCESSLISTIN_TO_DMZEXTENDEDPERMITIP19216841025525525501921684202552552550/定义扩展ACLIN_TO_DMZ允许的IP流量ACCESSLISTACL_OUTEXTENDEDPERMITTCPANYANYEQWWW/定义扩展ACLOUT允许任意地址到任意地址访问WWW服务。ACCESSLISTACL_OUTEXTENDEDPERMITTCPANYANYEQHTTPS/定义扩展ACLOUT允许任意地址到任意地址访问HTTPS服务。ACCESSLISTACL_OUTEXTENDEDPERMITICMPANYANY/定义扩展ACLOUT允许PING任意地址到任意地址ACCESSLISTACL_DMZEXTENDEDPERMITICMPANYANY/定义扩展ACLDMZ允许PING任意地址到任意地址GLOBALOUTSIDE1192168403192168409NETMASK2552552550/定义动态NAT的外部地址池。NATINSIDE11921680025525500/定义动态NAT的内部地址段。ACCESSGROUPACL_OUTININTERFACEOUTSIDE/应用ACLOUT在OUTSIDE接口ACCESSGROUPACL_DMZININTERFACEDMZ/应用ACLDMZ在OUTSIDE接口ACCESSGROUPACL_IN_TO_OUTININTERFACEINSIDE/应用ACLIN_TO_OUT在INSIDE接口ACCESSGROUPACL_IN_TO_DMZININTERFACEINSIDE/应用ACLIN_TO_DMZ在INSIDE接口第七章网络安全与管理71网络安全校园网的安全威胁主要来源于两大块，一块是来自于网内，一块来自于网外。来源于网内的威胁主要是病毒攻击和黑客行为攻击。根据统计，威胁校园网安全的攻击行为大概有40左右是来自于网络内部，如何防范来自于内部的攻击是校园网网络安全防护体系需要重点关注的地方。72造成这些现状的原因1）网络安全维护的投入不足。网络安全维护的工作量是很大的,并且很困难,需要一定的人力、物力,然而大多数学校在校园网上的设备投入和人员投入很不充足,有限的经费也往往主要用在网络设备购置上,对于网络安全建设,普遍没有比较系统的投入。2）网络管理员责任心不强。很多学校的网络管理员的都具有一定的专业水平,基本可以胜任本职工作,但是可能由于学校领导对网络安全不是很重视,或者因为个人某些方面的原因,造成工作热情不高、责任心不强,所以也就不会花很多的心思去维护网络、维护硬件。3）师生的网络安全意识和观念淡薄。很多学生包括部分教师对网络安全不够重视,法律意识也不是很强。通过网络,或通过带毒的移动存储介质,经常有意无意的传播病毒,攻击校园网系统,干扰校园网的安全运行。4）盗版资源泛滥。由于缺乏版权意识,