校园网络的建设拓扑图论文

摘要计算机网络是一种地理上分散的，具有独立功能的计算机通过通信设备和线路连接起来，在配有相应的网络软件的情况下使各个计算机系统能相互自由通信，实现资源共享的系统。计算机网络如按网络的组建规模和延伸范围来划分的话，可分为局域网(LocalAreaNetwork,LAN)、城域网(MetropolitanAreaNetwork,MAN)、广域网(WideAreaNetwork,WAN)。我们经常用到的因特网(Internet)属于广域网，校园网属局域网。未来的网络技术将向着使用简单、高速快捷、多网合一、安全保密方向发展。而校园网是各种类型网络中一大分支，有着非常广泛的应用。校园网络的建设是学校向信息化发展的必然选择，校园网网络系统是一个非常庞大而复杂的系统，它不仅为现代化教学、综合信息管理和办公自动化等一系列应用提供基本操作平台，而且能提供多种应用服务，使信息能及时、准确地传送给各个系统。而校园网工程建设中主要应用了网络技术中的重要分支局域网技术来建设与管理的，因此本主要以校园局域网络建设过程可能用到的各种技术及实施方案为设计方向，为校园网的建设进行理论依据探索。关键词：局域网Internet计算机网络网络协议校园网络

目录摘要 1引言 41局域网概述 51.1局域网介绍 51.2局域网网络类型 51.3局域网的工作模式 61.4局域网拓扑类型 72校园网的建设规划 82.1校园网的概述 82.2校园网的建设原则 82.3网络设备及服务器选取 92.3.1结构化布线 92.3.2网络设备选型 102.3.3服务器 142.3.4Internet接入技术 152.3.5网络操作系统 153系统详细设计 163.1系统组成与拓扑结构 163.2VLAN及IP地址规划 163.3交换模块设计 173.4访问层交换服务的实现－配置访问层交换机 173.4.1配置访问层交换机XingZhengLou的基本参数 173.4.2设置交换机的加密使能口令 173.4.3设置登录虚拟终端线时的口令 183.4.4设置终端线超时时间 183.4.5设置禁用IP地址解析特性 183.5配置访问层交换机XingZhengLou的管理IP、默认网关 183.6配置访问层交换机XingZhengLou的VLAN及VTP 193.7配置访问层交换机XingZhengLou端口基本参数 193.7.1端口双工配置 193.7.2端口速度 193.8配置访问层交换机XingZhengLou的访问端口 203.8.1访问层交换机XingZhengLou为终端用户提供接入服务。 203.8.2设置快速端口 203.9配置访问层交换机XingZhengLou的主干道端口 203.10配置其它访问层交换机 214分布层交换服务的实现－配置分布层交换机 214.1配置分布层交换机DistributeSwitch1的基本参数 214.2配置分布层交换机DistributeSwitch1的VTP 224.2.1配置VTP管理域 224.2.2设置VTP服务器 224.3在分布层交换机DistributeSwitch1上定义VLAN 224.4配置分布层交换机DistributeSwitch1的端口基本参数 234.5配置分布层交换机DistributeSwitch1的3层交换功能 244.6配置分布层交换机DistributeSwitch2 245核心层交换服务的实现－配置核心层交换机 265.1配置核心层交换机CoreSwitch的基本参数 265.2配置核心层交换机CoreSwitch的管理IP、默认网关 265.3配置核心层交换机CoreSwitch的的VLAN及VTP 265.4配置核心层交换机CoreSwitch的端口参数 275.5配置核心层交换机CoreSwitch的路由功能 276广域网接入模块设计 286.1配置接入路由器InternetRouter的基本参数 286.2配置接入路由器InternetRouter的各接口参数 286.3配置接入路由器InternetRouter的路由功能 296.4配置接入路由器InternetRouter上的NAT 296.5配置接入路由器InternetRouter上的ACL 307服务器模块设计 318测试 328.1系统测试 328.2相关测试、诊断命令 32总结 34致谢 35参考文献 36

引言当今世界，各种先进的科学技术飞速发展，给人们的生活带来了深远的影响，它极大的改善我们的生活方式。在以计算机技术为代表的信息科技的发展更是日新月异，从各个方面影响和改变着我们的生活，而其中的计算机网络技术的发展更为迅速，已经渗透到了我们生活的各个方面，人们已经离不开计算机网络，并且随着因特网的迅速普及，给我们的学习与生活条件带来更大的方便，我们与外部世界的联系将更加的紧密和快速。1969年12月，Internet的前身--美国的ARPA网投入运行，它标志着我们常称的计算机网络的兴起。八十年代初，随着PC个人微机应用的推广，PC联网的需求也随之增大，各种基于PC互联的微机局域网纷纷出台。计算机网络系统是非常复杂的系统，计算机之间相互通信涉及到许多复杂的技术问题，为实现计算机网络通信，计算机网络采用的是分层解决网络技术问题的方法。但是，由于存在不同的分层网络系统体系结构，它们的产品之间很难实现互联。为此，国际标准化组织ISO在1984年正式颁布了"开放系统互连基本参考模型"OSI国际标准，使计算机网络体系结构实现了标准化。进入九十年代，计算机技术、通信技术以及建立在计算机和网络技术基础上的计算机网络技术得到了迅猛的发展。随着人们对于信息资源共享以及信息交流的迫切需求，促使网络技术的产生和快速发展，计算机网络的产生和使用为人类信息文明的发展带来了革命性的变化。自1995年中国教育教研网（CERNET）建成后，校园网的建设已经进入到一个蓬勃发展的阶段。校园网的建成和使用，对于提高教学和科研的质量、改善教学和科研条件、加快学校的信息化进程，开展多媒体教学与研究以及使教学多出人才、科研多出成果有着十分重要而深远的意义。其主要包括各种局域网的技术思想、网络设计方案、网络拓扑结构、布线系统、Intranet/Internet的应用、网络安全，网络系统的维护等内容。

1局域网概述1.1局域网介绍局域网是同一建筑、同一校园、方圆几公里远的地域内的专用网络。局域网通常用来连接公司办公室或企业内部的个人计算机和工作站，以共享软、硬件资源。美国电气和电子工程师协会（IEEE）局域网标准委员会员会曾提出局域网的一些具体特征：(1)局域网在通信距离有一定的限制，一般在1~2Km的地域范围内。比如在一个办公楼内、一个学校等。(2)较高传输率的物理通信信道也是局域网的一个主要特征，在广域网中用电话线连接的计算机一般也只有20~40Kpbs的速率。(3)因为连接线路都比较短，中间几乎不会爱任何干扰，所以局域网还具有始终一致的低误码率。(4)局域网一般是一个单位或部门专用的，所以管理起很方便。(5)另外局域网的拓扑结构比较简单，所支持连接的计算机数量也是有限的。组网时也就相对很容易连接。1.2局域网网络类型保护现有投资的有效途径就是在将来网络技术升级时还能使用现有的网络技术和产品。如同计算机的发展速度一样，网络技术的发展也是非常迅速的。如果现有技术不能合理保证在将来网络升级后还能够使用，那么将会带来极大的资金浪费。目前比较常见的主干网技术有FDDI、ATM、快速以太网和千兆以太网等。其中具有交换功能的快速以太网，支持VLAN，并容易升级到千兆以太网和ATM，由于性能优越，价格适中，建议采用快速以太网作为校园网的主干技术。快速以太网（fastEthernet）是一个IEEE局域网标准，于1995年由原来制定标准的IEEE802.3工作组完成，快速以太网和传统以太网采用同样的介质访问协议（CSMA/CD）。传统以太网用的是10Mb/s技术，而快速以太网用的是100Mb/s技术。100Mb/s的网卡只比10Mb/s的网卡略贵一点，但为将来的网络升级提供了很大的灵活性。大多数100Mb/s的网卡能够自动检测所连接的端口是10Mb/s还是100Mb/s，并执行相应的操作。快速以太网实际上是10M以太网的100M版本，所以它的运行速度要比10M以太网快。在用户已经很熟悉传统以太网的情况下，快速以太网相对其他高速网络技术更容易被掌握和接受，它可以应用在共享式和主干环境下，提供高带宽网络连接，提供优质的服务质量（QOS）。根据需求，建设联接信息中心、多媒体教室、办公楼、住宿楼及综合办公楼等建筑物。其中各部分构成相对独立的子网，通过交换机接入桌面PC。1.3局域网的工作模式1．专用服务器结构：(Server-Baseb)又称为“工作站/文件服务器”结构，由若干台微机工作站与一台或多台文件服务器通过通信线路连接起来组成工作站存取服务器文件，共享存储设备。文件服务器自然以共享磁盘文件为主要目的。对于一般的数据传递来说已经够用了，但是当数据库系统和其它复杂而被不断增加的用户使用的应用系统到来的时候，服务器已经不能承担这样的任务了，因为随着用户的增多，为每个用户服务的程序也增多，每个程序都是独立运行的大文件，给用户感觉极慢，因此产生了客户机/服务器模式。2．客户机/服务器模式：(client/server)其中一台或几台较大的计算机集中进行共享数据库的管理和存取，称为服务器，而将其它的应用处理工作分散到网络中其它微机上去做，构成分布式的处理系统，服务器控制管理数据的能力己由文件管理方式上升为数据库管理方式，因此，C/S由的服务器也称为数据库服务器，注重于数据定义及存取安全后备及还原，并发控制及事务管理，执行诸如选择检索和索引排序等数据库管理功能，它有足够的能力做到把通过其处理后用户所需的那一部分数据而不是整个文件通过网络传送到客户机去，减轻了网络的传输负荷。C/S结构是数据库技术的发展和普遍应用与局域网技术发展相结合的结果。3．对等式网络：（Peer-to-Peer)在拓扑结构上与专用Server与C/S相同，在对等式网络结构中，没有专用服务器。每一个工作站既可以起客户机作用也可以起服务器作用。虽然目前的网卡、HUB和交换机都能提供100M甚至更宽的带宽，但一个局域网如果配置不当，尽管配置的设备都非常高档而网络速度仍不能如意；或者经常出现死机、打不开一个小文件或根本无法连通服务器，特别是在一些设备档次参差不齐的网络中这些现象更是时有发生。在局域网中恰当地进行配置，才能使网络性能尽可能地进行优化，最大限度地发挥网络设备、系统的性能。其实局域网也是由一些设备和系统软件通过一种连接方式组成的，所以局域网的优化包括以下几个方面：设备优化：包括传输介质的优化、服务器的优化、HUB与交换机的优化等。软件系统的优化：包括服务器软件的优化和工作站系统的优化。布局的优化：包括布线和网络流量的控制。1.4局域网拓扑类型拓扑结构是在逻辑上对网络的一个描述，它反映了整个网络的结构。在网络结构上，目前的网络结构主要有以下几种：（1）星形拓扑：星形拓扑是由中央节点和通过点到点链路到中央节点的各站点组成。（2）总线拓扑：总线拓扑结构采用单根传输作为传输介质，所有的站点都通过相应的硬件接口直接连接到传输介质上，或称总线上。（3）环形拓扑：由一些中继器和连接中继器的点到点链路组成一个闭合环。每个中继器都和两条链路相连。（4）树形拓扑：树形拓扑是从总线拓扑演变过来的，形状像一棵倒置的树，顶端有一个分支的根，每个分支还可以延伸出子分支。它主要有易于扩展和故障隔离等优点。（5）混合拓扑：它是将星形拓扑和环形拓扑混合起来的一种拓扑，试图取这两种拓扑的优点于一个系统。在选择拓扑结构时，应该考虑的主要因素有以下几点：费用低：安装费用的高低和拓扑结构的选择以及传输介质选择、传输距离的确定有关。灵活性：要考虑到在设备搬动时很容易重新配置网络拓扑，还有考虑原有节点的删除和新节点的加入。可靠性：拓扑的选择要使故障的检测和故障隔离较为方便。综上所述，综合选择多种结构，选择星形和树形相结合的拓扑结构，网络拓扑结构图类型如图1-1：图1-1局域网网络拓扑类型2校园网的建设规划2.1校园网的概述校园网是指利用网络设备、通信介质和适宜的组网技术与协议及各类网络系统管理软件和应用软件，将校园网内计算机和各种终端有机地集成在一起，并用于教学、科研、学校管理、信息资源共享和远程教学等方面工作的计算机局域网络系统。校园网的概念最初是以硬件集成为主，校园网只是一个硬件平台。到了第二阶段，有提出了以教学应用软件集成为主的“软件建网”的校园网概念，这也是当今大多数校园网所采用的模式。校园网由硬件、软件这两部分共同组成，其中，硬件是基础，是校园网的载体，没有硬件的支持，根本无法谈及校园网；软件是应用，是建设校园网的根本需求的体现。就像普通的PC一样，建立在硬件上面的系统软件、应用软件让我们有了利用计算机的可能。校园网是为学校教师、学生提供教学、科研和综合信息服务的宽带多媒体网络。校园网应为学校教学、科研提供先进的信息化教学环境，这就要求校园网是一个宽带、局域交互功能和专业很强的局域网络。多媒体教学、网络教学、教师电子备课、办公等等都需要通过网络运行工作。2.2校园网的建设原则总体设计是校园网建设的总体思路和工程蓝图，是搞好校园网建设的核心任务。进行校园网总体设计，首先，进行对象研究和需求调查，弄清学校的性质、任务和改革发展的特点，对学校的信息化环境进行准确的描述，明确系统建设的需求和条件；其次，在应用需求分析的基础上，确定学校Intranet服务类型，进而确定系统建设的具体目标，包括网络设施、站点设置、开发应用和管理等方面的目标；第三，确定网络拓朴结构和功能，根据应用需求、建设目标和学校主要建筑分布特点，进行系统分析和设计；第四，确定技术设计的原则要求，如在技术选型、布线设计、设备选择、软件配置等方面的标准和要求；第五，规划安排校园网建设的实施步骤。作为校园网，需要连接多少个节点，怎样利用网络设备使得分布在不同地理位置的节点连接到一个统一的网络中来，怎样使得整个网络中的节点相互连通，这些问题仅仅是校园网需要解决问题中的一部分。从某种意义上讲，校园网的建设绝不仅仅只是涉及到技术问题，而是会引深到更深的层次，也就是说信息技术所带来的一场革命会彻底改变我们的生活方式和工作方式。首先，校园网的建设是一个为学校教育教学活动长期服务的工作，因此在校园网的规划建设过程中，必须从学校长远发展规划出发，以服务于教育为基本点，结合学校当前教育教学的实际需要，做出科学的规划部署。在校园网的规划建设中，一般学校应遵循“统一规划、整体设计、分步实施”的原则。其次在校园网的建设中必须坚持硬件建设与组织管理协调发展的原则，在重视硬件建设的同时，加强网络的组织管理水平，不断开发网络的功能，从而充分发挥校园网络的功效，提高校园网对学校教育的服务水平。因此在设计中必须遵循以下原则：（1）软硬件的可行性。系统软硬件配置必须考虑各种约束条件，主要是性能需求、当前技术水平和改造资金多少，兼顾现实性和技术领先性。（2）系统开放原则。系统应具有良好的开放性，或称职兼容性和扩展性，以适应技术的不断发展和不增强的应用需求，因此，应尽量采用工业标准或事实上的工业标准技术。在系统设计时，要考虑系统的生命周期，一般要按超前3~5年考虑。（3）整体最优原则。在进行系统设计和配置时，常遇到很多矛盾，需根据有限合理性原则，进行综合考虑和评价，折中选择。应考虑的因素有：先进性、可靠性、安全性、经济性。（4）开放性、先进性原则。系统的传输速率至少目前要够用，最好要有一定的余量，以适应应用的不断增长困采用公认的行业标准，以增强适应性，避免淘汰。要留有足够的扩展扩充的余地，以便对系统进行扩充和改进。网络可先择Microsoft的产品，以Web为中心，以Intranet技术为基础，采用TCP/IP和HTTP为传输协议，客户通过浏览器访问Web及Web相连的数据库。2.3网络设备及服务器选取2.3.1结构化布线综合布线系统是建筑物或建筑群内的传输网络，它既能使话音和数据通信设备、交换设备和其他信息管理系统彼此连接，也能使这些设备与外部通信网络相互连接，包括建筑物到外部网络或电话局线路上的连线点，与工作区的话音或数据终端之间的所有电缆，以及相关联的布线部件。一个良好的综合布线系统对其服务的设备有一定的独立性，并能互连许多不同的通信设备如数据终端、模拟式或数字式电话、PC和主机以及公共系统装置。一般布线系统有六个子系统组成：建筑群间子系统，设备间子系统，管理区子系统，垂直（主干）子系统，水平子系统，工作区子系统。校园网为园区网，楼群间子系统采用光缆连接，可提供千兆位的带宽，有充分的扩展余地。垂直子系统则位于高层建筑物的竖井内，可采用多模光缆或大对数双绞线。把管理区子系统并入设备间子系统，集中管理。对于多幢楼宇，可采用多设备间的方法。分为中心设备间和楼栋设备间部分，中心设备间是整个局域网的控制中心，内设有对外（Internet）对内通信的各种网络设备（交换机、路由器），中心交换机通过光缆（地下直埋）与楼栋设备间的交换设备相连，以保证数据的高速传输。在此设备间放置布线的线架和网络设备，端接楼内来自在各层的主干线缆，并端接连接网络中心的光纤。校园网和Internet的连接技术就显得十分重要了，它关系到校园网与外部网络能能否进行可靠的连接。用户计算机接入Internet主要有两种方式，通过局域网或通过电话线网。不过，我们一般采取局域网接入方式。但不管使用哪种接入方式，首先都要连接到ISP的主机。从用户角度看，ISP位于Internet的边缘，用户通过某种通信线路连接到ISP，再通过ISP的连接通道接入Internet。通过局域网接入Internet是指用户局域网使用路由器，通过数据通信网与ISP相连接，再通过ISP的连接通道接入Internet。选择哪种数据通信网络与租用多大的带宽，通常取决于用户的信息流量与能够承担的费用等多种因素。2.3.2网络设备选型（1）网卡（简称NIC），也网络适配卡或网络接口卡，网卡作为计算机与网络连接的接口，是不可缺少的网络设备之一。无论是双绞线网络、同轴电缆网络还是光缆网络，都必须借助于相应类型的网卡才能实现与计算机的连接，是计算机与局域网相互连接的惟一接口。每块网卡上都有一个世界惟一的ID号，也就是MAC（MediaAccessControl）地址，计算机在连入网络之后，就是依靠这个ID号才能实现在不同计算机之间的通信和信息交换。网卡有很多种，不同类型的网络需要使用不同种类的网卡，不同速度的网络需求也要使用不同的网卡。如根据带宽来分的话，有10Mbit/s网卡、10/100Mit/s自适应网卡和1000Mbit/s网卡；如按总线分，有ISA总线、PCI总线、PCMCIA总线网卡等。从目前校园网建设的实际情况来看，工作站网卡选择PCI总线的10M/100Mbit/s自适应网卡最适合。（2）交换机，也称交换式集线器，是专门设计的，使各计算机能够相互高速通信的独享带宽的网络设备。作为高性能的集线设备，随着价格的不断降低，交换机已逐步取代了集线器而成为集线设备的首选。由交换机构建的交换式网络系统不仅拥有高速的传输速率，而且交换延时很小，使得信息的传输效率大大提高，适合于大数据量并且使用非常频繁的网络通信，被广泛应用于各种类型的多媒体和数据传输网络。交换机具有很强的网络管理功能，它能自动根据网络通信的使用情况来动态管理网络，因为交换机采用了独享网络带宽的设计。（3）路由器除了有连接不同的网络物理分支和不同的通信媒介、过滤和隔离网络数据流及建立路由表，还有控制和管理复杂的路径、控制流量、分组分段、防止网络风暴及在网络分支之间提供安全屏障层等到功能。根据路由设备的组成可以分为软路由和硬路由。根据路由表的设置方式可以将路由器分为静态的和动态的。路由器工作在网络层，因此它可以在网络层交换和路由数据帧，访问的是对方的网络地址。当数据帧到达路由器后，路由器查看数据帧的目标地址，并在路由表查看到达目标地址的路径，根据路径的代价，选择一条最佳的路径，然后把数据帧沿这条路径发送给目标地址。网络主干设备的系统结构直接决定了设备的性能和功能水平。因此，深入了解设备的系统结构设计，客观认知设备的性能和功能，这对正确选择设备极有帮助。在此次设计中，为了更好的完成所有功能，全部采用了Cisco的交换机和路由器。下面就简要介绍下此次设计中的重要设备——交换机的选型。1．Catalyst交换机产品（1）Catalyst2960系列交换机CiscoCatalyst2960系列智能以太网交换机是一个全新的、固定配置的独立设备系列，提供桌面快速以太网和千兆以太网连接，可为入门级企业、中型市场和分支机构网络提供增强LAN服务。Catalyst2960系列具有集成安全特性，包括网络准入控制(NAC)、高级服务质量(QoS)和永续性，可为网络边缘提供智能服务。CiscoCatalyst2960系列提供：•为网络边缘提供了智能特性，如先进的访问控制列表(ACL)和增强安全特性；•双介质上行链路端口提供了千兆以太网上行链路灵活性，可以使用铜缆或光纤上行链路端口—每个介质上行链路端口都有一个10/100/1000以太网端口和一个小型可插拔(SFP)千兆以太网端口，在使用时其中一个端口激活，但不能同时使用这两个端口；•通过高级QoS、精确速率限制、ACL和组播服务，实现了网络控制和带宽优化；•通过多种验证方法、数据加密技术和基于用户、端口和MAC地址的网络准入控制，实现了网络安全性；•通过思科网络助理，简化了网络配置、升级和故障诊断；•使用Smartports自动配置特定应用；（2）系列产品配置CiscoCatalyst2960系列包括以下交换机：•CiscoCatalyst2960-24TT：24个10/100以太网端口和2个10/100/1000固定以太网上行链路端口；1机架单元(RU)•CiscoCatalyst2960-48TT：48个10/100以太网端口和2个10/100/1000固定以太网上行链路端口；1RU•CiscoCatalyst2960-24TC：24个10/100以太网端口和2个双介质上行链路端口；1RU•CiscoCatalyst2960-48TC：48个10/100以太网端口和2个双介质上行链路端口；1RU•CiscoCatalyst2960G-24TC：20个10/100/1000以太网端口，其中4个为双介质端口；1RU2．产品特性（1）千兆以太网千兆以太网以1000Mbps的速度，提供了可满足新网络和扩展网络的需求的带宽，消除了瓶颈，提升了性能，同时提高了现有基础设施投资的回报。目前，工作人员都对网络有着更高需求，在网络上同时运行多个应用。例如，一位员工通过IP视频会议而参加小组会议，向与会者发送一个10MB的电子表格，将最新营销视频广播给整个小组以供评估，此外还查询客户关系管理(CRM)数据库，以获得最新实时反馈。同时，后台开始了一个多GB的系统备份，并向客户端提供最新防病毒软件的升级。（2）网络智能性当今的网络正在不断发展，在网络边缘出现了四种新趋势：桌面计算能力提高、带宽密集型应用出现、高敏感数据在网络中扩展、出现了多种设备类型，如IP电话、WLAN接入点和IP视频摄像头。这些新需求正与许多已有关键任务应用争夺资源。因此，IT专业人员必须将网络边缘看作有效管理信息和应用的提供的关键。随着人们对网络的依赖性日益增强，将其作为战略性业务基础设施，确保网络的高可用性、安全性、可扩展性和对它的全面控制就比以前更为重要。通过为LAN接入添加思科智能功能，客户现可部署遍布整个网络的智能服务，从而一致地满足从桌面到核心再到WAN的要求。通过CiscoCatalyst智能以太网交换机，思科可帮助公司获得向其网络添加智能服务的全面优势。为进一步优化网络运行，部署具备以下特性的功能是十分关键的：能使网络基础设施高度可用以达到关键时间要求、可扩展以便于公司发展、高度安全以保护保密信息，且能区分和控制流量。（3）增强安全性凭借CiscoCatalyst2960系列提供的广泛安全特性，企业可保护重要信息，防止未授权人员接入网络，确保私密性及维持不间断运行。思科基于身份的网络服务(IBNS)解决方案提供了身份验证、访问控制和安全策略管理，可保护网络连接和资源。Catalyst2960系列中的IBNS可防止未授权接入，并确保用户只获得其指定权利。它能动态管理网络接入的具体层次。使用802.1x标准和思科安全访问控制服务器（ACS），无论用户在何处连接到网络中，都可在验证基础上分配到一个VLAN。此设置使IT部门能在不影响用户移动性的情况下，以最低管理开销实施强大的安全策略。为防止拒绝服务攻击和其他攻击，可用ACL根据源和目的地MAC地址、IP地址或TCP/UDP端口来拒绝分组，从而限制对网络敏感部分的访问。ACL查询在硬件中完成，故此在实施基于ACL的安全性时不会影响转发性能。端口安全性可根据与以太网端口相连的设备的MAC地址，来限制以太网端口上的访问。它也可用于限制插入一个交换机端口的总设备数目，因此可使交换机免遭MAC泛洪攻击，降低了恶意无线接入点或集线器接入的风险。凭借动态主机配置协议(DHCP)监听，可以只允许来自不可信用户端口的DHCP请求（但不允许响应）进入网络，从而防止DHCP电子欺骗。此外DHCP接口跟踪器(选项82)特性可为主机IP地址请求添加交换机端口ID，有助于实现对于IP地址分配的精确控制。MAC地址通知特性可向管理站发送报警，从而监控网络和跟踪用户，以使网络管理员知道用户何时、从何处进入网络。SSHv2和SNMPv3对管理和网络管理信息加密，保护网络免遭干扰或窃听。TACACS+或RADIUS验证实现了交换机的集中访问控制，并限制未授权用户改变配置。此外，可在交换机上配置本地用户名和密码数据库。交换机控制台上的15个授权级别和Web管理界面上的2个级别提供了向不同管理员分配不同配置功能级别的能力。（4）可用性和可扩展性CiscoCatalyst2960系列配备了强大的特性集，通过组播过滤和旨在第二层网络中提供最高可用性的全套生成树协议改进，实现了网络可扩展性及更高可用性。对标准生成树协议的改进，如PVST+、UplinkFast和PortFast，可实现最长网络正常运行时间。PVST+可在冗余链路上进行第二层负载共享，以有效使用冗余设计中的额外容量。UplinkFast、PortFast和BackboneFast都大大缩减了标准的30到60秒生成树协议收敛时间。Flexlink提供了不到100ms的双向、快速收敛。对环路保护和网桥协议数据单元（BPDU）保护的增强避免了生成树协议环路的出现。（5）高级QoSCiscoCatalyst2960提供了出色的多层QoS特性，确保网络流量进行了分类和优先级划分，并以最好的方式避免了拥塞。QoS的配置通过自动QoS（AutoQoS）大大得到了简化，这是一个可发现思科IP电话并自动配置交换机以进行正确分类和输出排序的特性。这优化了流量优先级划分和网络可用性，且不会带来复杂配置的问题。Catalyst2960可对进入的分组分类、再分类、监管、标记、排序和排程，并能在出口处对分组排序和排程。分组分类使网络元素可区分不同流量，并根据第二层和第三层QoS实施策略。为实现QoS，Catalyst2960系列交换机首先确认分组或流量组，再使用DSCP字段或802.1p服务级别（CoS）字段对这些组分类和再分类。分类和再分类可根据源或目的地IP地址、源或目的地MAC地址或者第4层TCP/UDP端口等标准进行。在入口，Catalyst2960也将进行监管，以确定分组是在小组内还是在小组外，标记以改变分类标签，传输或丢弃小组分组，并根据类别对分组排序。所有端口上都支持控制平面和数据平面ACL，确保每个分组得到正确的处理。CiscoCatalyst2960支持每端口4个输出队列，使网络管理员能更好地进行控制，为LAN上的各种应用分配优先级。在出口，交换机执行排程和拥塞控制。排程是一种确定队列处理顺序的算法或进程。Catalyst2960系列交换机支持整形循环（SRR）和严格优先级队列。SRR算法有助于确保个性化优先级划分。这些QoS特性使网络管理员能将关键任务和带宽密集型流量划为较高优先级，其中包括企业资源规划（ERP）、语音（IP电话流量）和计算机辅助设计及制造（CAD/CAM）等，而将FTP或电子邮件等对应用划为较低优先级。例如，下载一个目的地为交换机上某一端口的大型文件，而这会增加目的地为此交换机上另一端口的语音流量的延迟，这种情况是用户极为不愿看到的。通过确保语音流量在网络中得到正确分类和优先级划分，可避免此情况。Web浏览等其他应用则可作为较低优先级对待。Catalyst2960系列能通过对思科承诺信息速率（CIR）功能的支持而执行速率限制。通过CIR，能以低至8kbps的增量保证带宽。带宽的分配根据若干标准进行，包括MAC源地址、MAC目的地地址、IP源地址、IP目的地地址和TCP/UDP端口号。在需服务级别协议的网络环境中或需控制授予某些用户的带宽时，带宽分配非常重要。2.3.3服务器校园网中的服务器主有数据库服务器和代理服务器，数据服务器与代理服务器主要是面向校园网内部用户的服务，对来自Internet的用户服务也很多，主要是对校园网内部用户进行Internet代理服务。目前，绝大多数校园网都要求内部服务用户通过代理访问Internet，这样内部用户就不能直接访问Internet，同时代理服务器保存着内部用户访问Internet的日志，以作为记费的依据。由于用户数量非常大，也非常集口中，所以在选型代理服务器时，主要考虑的是要有较大的容量、较高的处理速度和较高的稳定性，一般来说都选用大型服务器作为代理服务器。(1)服务器端。选择微软的服务器端集成软件BackOffice包括了WindowsNT.IIS.FrontPage.SQLServer.Exchangeserver.SystemsManagementServer。ProxyServer以及一个统的客户/服务器软件安装程序。其中,WINDOWNT作为网络的基础,提供文件和打印机共享,通信Internet连接和应用程序服务:IIS提供WWW和FTP服务;FrontPage提供网页制作工具和Web管理;Indexserver提供Email.时间规划和集成的群件性能;SNAServer提供主机数据和应用的连接能力;SystemsManagement集中地管理这个分布式的环境;ProxyServer提供防火墙功能,有效地将校园网与公共Internet分离,并有效地提供客户访问Internet的通路。(2)客户端。选用IE5.0以上,它提供了组用户访问Web,所有本地文件和校园网络上所有文件的集成方法。2.3.4Internet接入技术校园网和Internet的连接技术就显得十分重要了，它关系到校园网与外部网络能能否进行可靠的连接。用户计算机接入Internet主要有两种方式，通过局域网或通过电话线网。不过，我们一般采取局域网接入方式。但不管使用哪种接入方式，首先都要连接到ISP的主机。从用户角度看，ISP位于Internet的边缘，用户通过某种通信线路连接到ISP，再通过ISP的连接通道接入Internet。通过局域网接入Internet是指用户局域网使用路由器，通过数据通信网与ISP相连接，再通过ISP的连接通道接入Internet。选择哪种数据通信网络与租用多大的带宽，通常取决于用户的信息流量与能够承担的费用等多种因素。2.3.5网络操作系统网络操作系统NOS（NetworkOperatingSystem）是在计算机操作系统的基础上，加上一些具有实现网络访问和控制功能的模块以及相关的数据通信协议，是使网络上各计算机能够方便有效地共享网络资源、为网络用户提供所需的各种服务软件和规程的集合。目前主要的网络操作系统有NetWare、Unix、Linux和WindowsNT/2000。在校园网中一般情况下都用Windows2000网络操作系统，因为它是图形化的操作界面、使用简单、安全可靠，以及和普及率很高Windows系列单机操作系统的兼容性很好。3系统详细设计3.1系统组成与拓扑结构校园网设计方案主要由以下四大部分构成：交换模块、广域网接入模块、远程访问模块、服务器群。整个网络系统的拓扑结构图如图3-1所示。（省略了部分拓扑信息）图3-1校园网整体拓扑结构图3.2VLAN及IP地址规划图3.2VLAN及IP编址方案3.3交换模块设计为了简化交换网络设计、提高交换网络的可扩展性，在园区网内部数据交换的部署是分层进行的。园区网数据交换设备可划分为三个层次：访问层、分布层、核心层。3.4访问层交换服务的实现－配置访问层交换机访问层为所有的终端用户提供一个接入点。这里的访问层交换机采用的是CiscoCatalyst295024口交换机。交换机拥有24个10/100Mbps自适应快速以太网端口，运行的是Cisco的IOS操作系统。我们以拓扑图中的访问层交换机XingZhengLou为例进行介绍。如图3.4所示图3.4访问层交换机XingZhengLou3.4.1配置访问层交换机XingZhengLou的基本参数（1）设置交换机名称设置交换机名称，也就是出现在交换机CLI提示符中的名字。一般我们会以地理位置或行政划分来为交换机命名。当我们需要Telnet登录到若干台交换机以维护一个大型网络时，通过交换机名称提示符提示自己当前配置交换机的位置是很有必要的。为访问层交换机XingZhengLou命名，如图3.4.1图3.4.1为访问层交换机XingZhengLou命名3.4.2设置交换机的加密使能口令当用户在普通用户模式而想要进入特权用户模式时，需要提供此口令。此口令会以MD5的形式加密，因此，当用户查看配置文件时，无法看到明文形式的口令。将交换机的加密使能口令设置为xingzhenglou，如图3.4.2所示 图3.4.2为交换机设置加密使能口 3.4.3设置登录虚拟终端线时的口令对于一个已经运行着的交换网络来说，交换机的带内远程管理为网络管理人员提供了很多的方便。但是，处于安全考虑，在能够远程管理交换机之前网络管理人员必须设置远程登录交换机的口令。设置登录交换机时需要验证用户身份，同时设置口令为user。如图3-2-4所示图3.4.3为访问层交换机XingZhengLou命名3.4.4设置终端线超时时间为了安全考虑，可以设置终端线超时时间。在设置的时间内，如果没有检测到键盘输入，IOS将断开用户和交换机之间的连接。设置登录交换机的控制台终端线路及虚拟终端线的超时时间为5分30秒钟。如图3.4.4所示图.5设置禁用IP地址解析特性交换机默认配置的情况下，当我们输入一条错误的交换机命令时，交换机会尝试将其广播给网络上的DNS服务器并将其解析成对应的IP地址。利用命令noipdomain-lookup。可以禁用这个特性设置禁用IP地址解析特性，如图3.4.5所示图配置访问层交换机XingZhengLou的管理IP、默认网关访问层交换机是OSI参考模型的第2层设备，即数据链路层的设备。因此，给访问层交换机的每个端口设置IP地址是没意义的。但是，为了使网络管理人员可以从远程登录到访问层交换机上进行管理，必要给访问层交换机设置一个管理用IP地址。这种情况下，实际上是将交换机看成和PC机一样的主机。给交换机设置管理用IP地址只能在VLAN1，即本征VLAN中进行。按照图3.2，管理VLAN所在的子网是：/24，这里将访问层交换机XingZhengLou的管理IP地址设为：/24。显示了为访问层交换机XingZhengLou设置管理IP并激活本征VLAN。如图3.5所示图3.5设置访问层交换机XingZhengLou的管理IP为了使网络管理人员可以在不同的子网管理此交换机，还应设置默认网关地址54。如图3.5.1所示图3.5.1设置访问层交换机XingZhengLou的默认网关地址3.6配置访问层交换机XingZhengLou的VLAN及VTP从提高效率的角度出发，在本校园网实现实例中使用了VTP技术。同时，将分布层交换机DistributeSwitch1设置成为VTP服务器，其他交换机设置成为VTP客户机。这里访问层交换机XingZhengLou将通过VTP获得在分布层交换机DistributeSwitch1中定义的所有VLAN的信息。设置访问层交换机XingZhengLou成为VTP客户机。如图3.6所示图3.6设置访问层交换机XingZhengLou成为VTP客户机3.7配置访问层交换机XingZhengLou端口基本参数3.7.1端口双工配置可以设定某端口根据对端设备双工类型自动调整本端口双工模式，也可以强制将端口双工模式设为半双工或全双工模式。在了解对端设备类型的情况下，建议手动设置端口双工模式。设置访问层交换机XingZhengLou的所有端口均工作在全双工模式。如图3.7.1所示图3.7.1设置访问层交换机XingZhengLou的端口工作模式3.7.2端口速度可以设定某端口根据对端设备速度自动调整本端口速度，也可以强制将端口速度设为10Mpbs或100Mbps。在了解对端设备速度的情况下，建议手动设置端口速度。设置访问层交换机XingZhengLou的所有端口的速度均为100Mbps。如图3.7.2所示图配置访问层交换机XingZhengLou的访问端口3.8.1访问层交换机XingZhengLou为终端用户提供接入服务。在图中，访问层交换机XingZhengLou为VLAN2、VLAN3、VLAN4提供接入服务。设置访问层交换机XingZhengLou的端口1～6、7～13、14～20分别为VLAN2、VLAN3、VLAN4的成员，其端口工作在访问（接入）模式。如图3.8.1所示图.2设置快速端口默认情况下，交换机在刚加电启动时，每个端口都要经历生成树的四个阶段：阻塞、侦听、学习、转发。在能够转发用户的数据包之前，某个端口可能最多要等50秒钟的时间（20秒的阻塞时间＋15秒的侦听延迟时间＋15秒的学习延迟时间）。对于直接接入终端工作站的端口来说，用于阻塞和侦听的时间是不必要的。为了加速交换机端口状态转化时间，可以设置将某端口设置成为快速端口（Portfast）。设置为快速端口的端口当交换机启动或端口有工作站接入时，将会直接进入转发状态，而不会经历阻塞、侦听、学习状态（假设桥接表已经建立）。设置访问层交换机XingZhengLou的端口1～端口20为快速端口。如图3.8.2所示图配置访问层交换机XingZhengLou的主干道端口如图所示，访问层交换机XingZhengLou通过端口FastEthernet0/23上连到分布层交换机DistributeSwitch1的端口FastEthernet0/20。同时，访问层交换机XingZhengLou还通过端口FastEthernet0/24上连到分布层交换机DistributeSwitch2的端口FastEthernet0/20。这两条上连链路将成为主干道链路，在这两条上连链路上将运输多个VLAN的数据。设置访问层交换机XingZhengLou的端口FastEthernet0/23、FastEthernet0/24为主干道端口。如图3.9.1所示图0配置其它访问层交换机其它访问层交换机分别为剩余VLAN的用户提供接入服务。同时，它们也通过自己的FastEthernet0/23、FastEthernet0/24上连到分布层交换机DistributeSwitch1、DistributeSwitch2的端口上。这些剩余的访问层交换机其配置步骤、命令与访问层交换机XingZhengLou的配置类似。4分布层交换服务的实现－配置分布层交换机分布层除了负责将访问层交换机进行汇集外，还为整个交换网络提供VLAN间的路由选择功能。这里的分布层交换机采用的是CiscoCatalyst3550交换机。作为3层交换机，CiscoCatalyst3550交换机拥有24个10/100Mbps自适应快速以太网端口，同时还有2个1000Mbps的GBIC端口供上连使用，运行的是Cisco的IntegratedIOS操作系统。我们以图4中的分布层交换机DistributeSwitch1为例进行介绍。如图4所示：图4分布层交换机DistributeSwitch14.1配置分布层交换机DistributeSwitch1的基本参数对分布层交换机DistributeSwitch1的基本参数的配置步骤与对访问层交换机XingZhengLou的基本参数的配置类似。这里，只给出实际的配置步骤，不再给出解释。如图4.1所示：4.2配置分布层交换机DistributeSwitch1的VTP当网络中交换机数量很多时，需要分别在每台交换机上创建很多重复的VLAN。工作量很大、过程很繁琐，并且容易出错。因此我们常采用VLAN中继协议（VlanTrunkingProtocol，VTP）来解决这个问题。VTP允许我们在一台交换机上创建所有的VLAN。然后，利用交换机之间的互相学习功能，将创建好的VLAN定义传播到整个网络中需要此VLAN定义的所有交换机上。同时，有关VLAN的删除、参数更改操作均可传播到其他交换机。从而大大减轻了网络管理人员配置交换机负担。在本校园网实现实例中使用了VTP技术。同时，将分布层交换机DistributeSwitch1设置成为VTP服务器，其他交换机设置成为VTP客户机。4.2.1配置VTP管理域共享相同VLAN定义数据库的交换机构成一个VTP管理域。每一个VTP管理域都有一个共同的VTP管理域域名。不同VTP管理域的交换机之间不交换VTP通告信息。将VTP管理域的域名定义为"campus"。如图4.2.1所示图4.2.1设置VTP管理域的域名4.2.2设置VTP服务器工作在VTP服务器模式下的交换机可以创建、删除VLAN、修改VLAN参数。同时，还有责任发送和转发VLAN更新消息。如图4.2.2所示，设置分布层交换机DistributeSwitch1成为VTP服务器。图4.2.2服务器4.3在分布层交换机DistributeSwitch1上定义VLAN在本校园网实现实例中，除了默认的本地VLAN外，又定义了15个VLAN，如表1-1所示。由于使用了VTP技术，所以所有VLAN的定义只需要在VTP服务器，即分布层交换机DistributeSwitch1上进行。如图4.3所示，定义了15个VLAN，同时为每个VLAN命名。图4.3定义VLAN4.4配置分布层交换机DistributeSwitch1的端口基本参数分布层交换机DistributeSwitch1的端口FastEthernet0/1～FastEthernet0/10为服务器群提供接入服务，而端口FastEthernet0/20～24分别下连到5个访问层交换机的端口FastEthernet0/23～24上。此外，分布层交换机DistributeSwitch1还通过自己的千兆端口GigabitEthernet0/1上连到核心交换机CoreSwitch1的GigabitEthernetG0/1。为了实现冗余设计，分布层交换机DistributeSitch1还通过自己的千兆端口GigabitEthernet0/2连接另一台到分布层交换机DistributeSwitch2的GigabitEthernet0/2。图4.4DistributeSwitch1的配置4.5配置分布层交换机DistributeSwitch1的3层交换功能分布层交换机DistributeSwitch1需要为网络中的各个VLAN提供路由功能。这需要首先启用分布层交换机的路由功能。如图4.5.1图4.5.1接下来，需要为每个VLAN定义自己的默认网关地址，如图4.5.2所示图4.5.2此外，还需要定义通往Intenet的路由。这里使用了一条缺省路由命令，如图4.5.3所示。其中，下一跳地址是Internet接入路由器的快速以太网接口FastEthernet0/0的IP地址。图4.5.3定义通往Internet的路由4.6配置分布层交换机DistributeSwitch2分布层交换机DistributeSwitch2的端口FastEthernet0/20～24也分别下连到5个访问层交换机的端口上。此外，分布层交换机DistributeSwitch2还通过自己的千兆端口GigabitEthernet0/1上连到核心交换机CoreSwitch1的GigabitEthernet0/2。为了实现冗余设计，分布层交换机DistributeSwitch2还通过自己的千兆端口GigabitEthernet0/2连接到分布层交换机DistributeSwitch1的GigabitEthernet0/2。对分布层交换机DistributeSwitch2的配置步骤、命令和对分布层交换机DistributeSwitch1的配置类似。

5核心层交换服务的实现－配置核心层交换机核心层将各分布层交换机互连起来进行穿越园区网骨干的高速数据交换。本实例中的核心层交换机采用的是CiscoCatalyst3560交换机，运行的是Cisco的IntegratedIOS操作系统。我们以图5中的核心层交换机CoreSwitch为例进行介绍。如图3-3-1所示图5核心层交换机CoreSwitch5.1配置核心层交换机CoreSwitch的基本参数对核心层交换机CoreSwitch的基本参数的配置步骤与对访问层交换机XingZhengLou的基本参数的配置类似。这里，如图5.1所示，只给出实际的配置步骤。图5.1配置核心层交换机CoreSwitch的基本参数5.2配置核心层交换机CoreSwitch的管理IP、默认网关如图5.2所示，显示了为核心层交换机CoreSwitch设置管理IP并激活本征VLAN。同时，还设置了默认网关的地址。图5.2核心层交换机CoreSwitch的管理IP、默认网关5.3配置核心层交换机CoreSwitch的的VLAN及VTP在本实例中，核心层交换机CoreSwitch也将作为VTP客户机。这里核心层交换机CoreSwitch将通过VTP获得在分布层交换机DistributeSwitch中定义的所有VLAN的信息。如图5.3所示，设置核心层交换机CoreSwitch成为VTP客户机。图5.3设置核心层交换机CoreSwitch成为VTP客户机5.4配置核心层交换机CoreSwitch的端口参数核心层交换机CoreSwitch通过自己的端口F0/24同广域网接入模块（Internet路由器）相连。同时，核心层交换机CoreSwitch的端口G0/1-0/2分别下连到分布层交换机DistributeSwitch1和DistributeSwitch2的端口GigabitEthernet0/1。如图5.4所示，给出了对上述端口的配置命令。图5.4设置核心层交换机CoreSwitch的各端口参数5.5配置核心层交换机CoreSwitch的路由功能核心层交换机CoreSwitch通过端口FastEthernet0/24同广域网接入模块（Internet路由器）相连。因此，需要启用核心层交换机的路由功能。同时，还需要定义通往Internet的路由。这里使用了一条缺省路由命令，如图5.5所示。其中，下一跳地址是Internet接入路由器的快速以太网接口FastEthernet0/0的IP地址。图5.5定义到Internet的缺省路由如图所示

6广域网接入模块设计在本设计中，广域网接入模块的功能是由广域网接入路由器InternetRouter来完成的。采用的是Cisco的3640路由器。它通过自己的串行接口serial0/0使用DDN（128K）技术接入Internet。它的作用主要是在Internet和校园网内网间路由数据包。除了完成主要的路由任务外，利用访问控制列表（AccessControlList，ACL），广域网接入路由器InternetRouter还可以用来完成以自身为中心的流量控制和过滤功能并实现一定的安全功能。图6广域网接入路由器6.1配置接入路由器InternetRouter的基本参数对接入路由器InternetRouter的基本参数的配置步骤与对访问层交换机XingZhengLou的基本参数的配置类似。这里，如图3-4-2所示，只给出实际的配置步骤，不再给出解释。图6.1配置接入路由器InternetRouter的基本参数6.2配置接入路由器InternetRouter的各接口参数对接入路由器InternetRouter的各接口参数的配置主要是对接口FastEthernet0/0以及接口Serial0/0/0的IP地址、子网掩码的配置。如图6.2所示，显示了为接入路由器InternetRouter的各接口设置IP地址、子网掩码。图6.2接入路由器InternetRouter的管理IP、默认网关6.3配置接入路由器InternetRouter的路由功能在接入路由器InternetRouter上需要定义两个方向上的路由：到校园网内部的静态路由以及到Internet上的缺省路由。到Internet上的路由需要定义一条缺省路由，如图6.3所示。其中，下一跳指定从本路由器的接口serial0/0/0送出。图6.3定义到Internet的缺省路由到校园网内部的路由条目可以经过路由汇总后形成两条路由条目。如图6.3.1所示图配置接入路由器InternetRouter上的NAT由于目前IP地址资源非常稀缺，对不可能给校园网内部的所有工作站都分配一个公有IP（Internet可路由的）地址。为了解决所有工作站访问Internet的需要，必须使用NAT（网络地址转换）技术。为了接入Internet，假设本校园网向ISP申请了9个IP地址。其中一个IP地址：被分配给了Internet接入路由器的串行接口，另外8个IP地址：～用作NAT。NAT的配置可以分为以下几个步骤。（1)定义NAT内部、外部接口图6.4.1显示了如何定义NAT内部、外部接口。图6.4.1（2)定义允许进行NAT的内部局部IP地址范围图6.4.2显示了如何定义允许进行NAT的内部局部IP地址范围。图6.4.2定义内部局部IP地址范围为服务器图6.4.2

6.5配置接入路由器InternetRouter上的ACL路由器是外网进入校园网内网的第一道关卡，是网络防御的前沿阵地。路由器上的访问控制列表（AccessControlList，ACL）是保护内网安全的有效手段。一个设计良好的访问控制列表不仅可以起到控制网络流量、流向的作用，还可以在不增加网络系统软、硬件投资的情况下完成一般软、硬件防火墙产品的功能。由于路由器介于企业内网和外网之间，是外网与内网进行通信时的第一道屏障，所以即使在网络系统安装了防火墙产品后，仍然有必要对路由器的访问控制列表进行缜密的设计，来对企业内网包括防火墙本身实施保护。这里，在本次设计中，我将针对服务器以及内网工作站的安全给出广域网接入路由器InternetRouter上ACL的配置方案。在网络环境中还普遍存在着一些非常重要的、影响服务器群安全的隐患。在绝大多数网络环境的实现中它们都是应该对外加以屏蔽的。主要应该做以下的ACL设计：（1)对外屏蔽简单网管协议，即SNMP。利用这个协议，远程主机可以监视、控制网络上的其它网络设备。它有两种服务类型：SNMP和SNMPTRAP。如图6.5.1所示，显示了如何设置对外屏蔽简单网管协议SNMP。图6.5.1对外屏蔽简单网管协议SNMP（2)对外屏蔽远程登录协议telnet首先，telnet是一种不安全的协议类型。用户在使用telnet登录网络设备或服务器时所使用的用户名和口令在网络中是以明文传输的，很容易被网络上的非法协议分析设备截获。其次，telnet可以登录到大多数网络设备和UNIX服务器，并可以使用相关命令完全操纵它们。这是极其危险的，因此必须加以屏蔽。如图6.5.2所示，显示了如何对外屏蔽远程登录协议telnet。图6.5.2（3)对外屏蔽其它不安全的协议或服务这样的协议主要有SUNOS的文件共享协议端口2049，远程执行（rsh）、远程登录（rlogin）和远程命令（rcmd）端口512、513、514，远程过程调用（SUNRPC）端口111。可以将针对以上协议综合进行设计，如图6.5.3所示。图6.5.3对外屏蔽其它不安全的协议或服务（4)保护路由器自身安全作为内网、外网间屏障的路由器，保护自身安全的重要性也是不言而喻的。为了阻止黑客入侵路由器，必须对路由器的访问位置加以限制。应只允许来自服务器群的IP地址访问并配置路由器。这时，可以使用access-class命令进行VTY访问控制。如图6.5.4所示图6.5.47服务器模块设计服务器模块用来对校园网的接入用户提供各种服务。在本设计方案中，所有的服务器被集中到VLAN100构成服务器群并通过分别层交换机DistributeSwitch1的端口fastethernet1～10接入校园网。如图所示。图7服务器群校园网提供的常见的服务（服务器）包括：WEB服务器：提供WEB网站服务；FTP文件服务器：提供文件传输、共