校园网络设计方案毕业论

文档可自由编辑打印32-/NUMPAGES32文档可自由编辑打印文档可自由编辑打印TOC\o"1-3"\h\u2405摘要 -1-27523第一章需求分析 -2-314451.1校园网建设目标 -2-791.2系统总体需求 -2-62071.3系统功能需求 -2-20294第二章校园网总体建设方案 -4-14962.1校园网的建设原则 -4-16942.2学院的网络需求 -4-124292.3校园网络建设目标 -4-314102.4拓扑图 -5-48572.5前期整体分析 -8-85982.6网络配置原则 -8-182002.7IP地址规划 -9-7029第三章交换模块设计 -10-258253.1虚拟局域网 -10-136933.1.3vlan划分 -12-316743.2接入层的配置 -12-12203.2.1vtp配置 -13-27123.2.3vtp客户端配置 -13-14773第四章路由器配置 -14-164484.1路由器的配置 -14-122624.2OSPF的基本配置 -14-231204.2.1在路由器和三层交换机上配置IP -15-95854.2.2配置OSPF路由协议 -15-417第五章设备选材 -16-77545.1服务器 -16-140315.2防火墙 -16-233465.3机柜 -17-143085.4路由器 -17-187295.5交换机 -18-20604第六章系统平台选择和网络安全设置 -20-137126.1系统软件平台选择 -20-204406.1.1操作系统 -20-134146.1.2选择操作系统的准则 -20-319306.2防火墙系统 -22-207916.2.1防火墙概述 -22-238136.2.2防火墙体系结构 -22-102106.2.3防火墙的功能 -23-316226.3校园网网络安全设计 -24-102906.3.1网络安全设计原则 -24-320686.3.2网络安全建设方案 -25-14968第七章相关测试诊断命令 -27-93617.1通用测试、诊断命令 -27-154477.2路由和路由协议测试、诊断命令 -28-3247.3VLAN测试、诊断命令 -28-88197.4生成树测试、诊断命令 -28-289127.5NAT测试、诊断命 -29-106377.6ACL测试、诊断命令 -29-9445第八章总结 -30-摘要在当今信息产业蓬勃发展的今天，信息已经成为一种关键性的战略资源，计算机技术在人们的生活中已经起到了越来越重要的作用。校园作为知识基地和人才基地，它理应成为代表信息产业应用最成功的典范。一所成功的学校不仅在学术上、教育上要力争上游，更应在管理上上一个台阶。利用各种成熟的技术带动学校各单位、各部门的电脑化管理，通过校园信息网，将各处的电脑联成一个数据网，实现各类数据的统一性和规范性；教职员工和学生可共享各种信息，极易进行各种信息的教流、经验的分享、讨论、消息的发布、工作流的自计算机网络，简单地说，就是通过电缆、电话线或无线通讯将两台以上的计算机互连起来的集合。它包括：计算机、网络操作系统、传输介质以及相应的应用软件四部分。计算机网络如按网络的组建规模和地域范围来划分的话，可分为局域网(LocalAreaNetwork,LAN)、城域网(MetropolitanAreaNetwork,MAN)、广域网(WideAreaNetwork,WAN)。我们经常用到的因特网(Internet)属于广域网，校园网属局域网。未来的网络技术将向着使用简单、高速快捷、多网合一、安全保密的方向发展。局域网就是一个企业要有自己内部的局域网络，实现企业内部的信息交流、资源共享，并利用局域网实现企业员工间真正的协同工作。局域网是同一建筑、同一校园、方圆几公里远的地域内的专用网络。局域网通常用来连接公司办公室或企业内部的个人计算机和工作站，以共享软、硬件资源。校园网是当今信息社会发展的必然趋势。它是以现代网络技术、多媒体技术及Internet技术等为基础建立起来的计算机网络，一方面连接学校内部子网和分散于校园各处的计算机，另一方面作为沟通校园内外部网络的桥梁。校园网为学校的教学、管理、办公、信息交流和通信等提供综合的网络应用环境。要特别强调的是，不能把校园网简单的理解为一个物理意义上的由一大堆设备组成的计算机硬件网络，而应该把校园网理解为学校信息化、现代化的基础设施和教育生产力的劳动工具，是为学校的教学、管理、办公、信息交流和通信等服务的。关键词:网络，局域网，vlan，交换机，路由器需求分析1.1校园网建设目标建设一个以办公自动化、计算机辅助教学、现代计算机校园文化为核心，以现代网络技术为依托，技术先进、扩展性强、能覆盖全校主要楼宇的校园主干网络，将学校的各种PC机、工作站、终端设备和局域网连接起来，并与有关广域网相连，在网上宣传自己和获取INTERNET网上的教育资源。形成结构合理、内外沟通的校园计算机网络系统，在此基础上建立能满足教学、科研和管理工作需要的软硬件环境，开发各类信息库和应用系统，为学校各类人员提供充分的网络信息服务。系统总体设计将本着总体规划、分布实施的原则，充分体现系统的技术先进性、高度的安全可靠性，同时具有良好的开放性、可扩展性。本着为学校着想，合理使用建设资金，使系统经济可行。1.2系统总体需求随着计算机应用成本的迅速降低，计算机用于办公辅助管理已越来越普及。单机用户由于协作工作关系，数据交换和信息查询的需求迅猛增长，办公自动化和无纸化的呼声日益强烈。信息化时代的到来，使以获取并传授知识信息为主体的学校，感受到了莫大的发展和生存的压力。建设能覆盖全校主要建筑的校园网络，更好地疏通教与学的授、受渠道则是解决这些问题的最佳途径。因此校园网建设的总需求是：建设一个能将散布在学校各处的各种服务器、PC机、终端设备、各类网络设备以及局域网、有线电视广播网、电话通讯网等信息连接起来，形成结构合理并与有关广域网相连的校园计算机网络系统。在上述基础上以现代教育技术为指导，建立满足学校员工教学、科研、管理工作和学生自主学习所需要的软硬件环境和各类信息资源库和应用系统，使其成为内接外连的教育信息服务体。培训校园网管理人员，建立校园网信息资源开发、收集、整理队伍，培训员工校园网的使用技能。促进教学、管理改革。建立、健全校园网维护、使用和信息资源开发、收集的奖励等管理制度。1.3系统功能需求根据当今技术发展的实际情况提出以下校园网主要功能：建立课件、教学信息资料库及相关系统。实现授课点播、辅助教学和电子设备等。建立多媒体课堂教学室、多媒体多功能课堂教学示范电教室（可用于网络远程、异地教学和网络会议等）和多媒体多功能实验教室。改革传统的课堂教学手段和实践教学手段。建立学生电子阅览室（厅）。培养和倡导学生自主学习、协商学习、信息求索的探究精神。建立多功能多媒体课件、教案制作中心。为学校探索新模式教学，为教师钻研新的教学方法，为学校教学信息资料库和系统的进一步完善提供相应的条件。（未来教师将逐渐转变为电子教学读物、课件的研究制作者和学生自主学习、协商学习的指导者与答疑者。教师的作用交通过网络使所有自学者受益，促使终身教育社会化。）建立校园MIS和OA系统，实现全校计算机辅助管理和办公自动化。建立图书馆计算机管理系统和电子阅览系统，实现图书馆信息自动化管理、快速检索、电子图书阅览。建立远程访问（RAS），利用校园网实时在家备课、办公和接入Internet。通过建立对外信息站点，实现学校信息上Internet和对外信息服务。提供内外E-MAIL等Internet技术支持下的信息交流服务，方便联络及合作。通过校园网实现全校上Internet和校内Intranet互访。利用网络技术，实现多媒体信息交换、视频点播、网络会议、网络电话、远程教育（如与校外班通过网络远程教学）等等功能。兼容校内有线电视网、广播网、监控等网络系统，实现信息互传，达到多网合一，拓展校园网络功能。建立IC卡管理系统，实现校内一卡通建立电子门禁系统和安全监控系统，实现全校远程巡视监控。校园网总体建设方案2.1校园网的建设原则校园网建设是一项综合性非常强的系统工程，它包括了网络系统的总体规划、硬件的选型配置、系统管理软件的应用以及人员培训等诸多方面。因此在校园网的建设工作中必须处理好实用与发展、建设与管理、使用与培训等关系，从而使校园网的建设工作健康稳定地开展。首先，校园网的建设是一个为学校教育教学活动长期服务的工作，因此在校园网的规划建设过程中，必须从学校长远发展规划出发，以服务于教育为基本点，结合学校当前教育教学的实际需要，做出科学的规划部署。在校园网的规划建设中，一般学校应遵循“统一规划、整体设计、分步实施”的原则。其次在校园网的建设中必须坚持硬件建设与组织管理协调发展的原则，在重视硬件建设的同时，加强网络的组织管理水平，不断开发网络的功能，从而充分发挥校园网络的功效，提高校园网对学校教育的服务水平。2.2学院的网络需求学院局域网的功能要求包括能够高速、安全、及时地传送文本、音频和视频等多种媒体信息，能够支持一定程度的突发访问。在性能和安全性上应满足1000人的网络应用需求，对响应时间不作特殊要求；为了存储数据和备份数据，网络中心需要建立磁盘列阵；为保障网络中心设备的安全运行要求在网络中心提供不间断电源；在遵循经济实用、成熟先进和安全可靠的设计原则下，最大限度地考虑采用符合发展趋势的新技术；网络设备必须采用成熟先进的技术，所采用的标准要求统一，支持目前业界最新的网络协议，，网络的标准必须符合国际/国家标准，并且拥有广泛的支持厂商；网络设备要求具有高可靠性、高稳定性和高可用性；网络设备要求提供足够的宽带，以适应校园网上信息结构多样化，要求支持虚拟网和第三层交换，形成公布式三层交换网；网络设备要求具有扩展性和可升级性，能够适应用户数量的扩展，能够保证未来网络升级时的平稳衔接，保证网络通信介质、网络基本设计核心的向后兼容性；要求网络易于管理，支持网络的拓扑视图、网段与端口的监控；网络流量及错误统计，具备计费管理、故障定位、诊断、修复和自动隔离等功能；要求网络具有高的安全性。在要求网络具有开放性的同时，要求保证其安全性。2.3校园网络建设目标2.3.1校园总体规划图图2.1滨海学院规划图2.3.1校园组织结构图图2.2滨海学院结构图2.4拓扑图2.4.1校园总体拓扑图IInternet图书馆教学楼办公楼宿舍楼F0/1F0/1服务器VLAN10:VLAN20:VLAN30:VLAN40:SW1R1F0/3F0/5S1F0/2SW2SW3F0/2F0/1S2F0/2F0/1ftpVLAN20VLAN30VLAN40F0/4F0/4WebS0VLAN10校园网络拓扑图2.4.2图书馆拓扑图2.4.3办公（行政）楼拓扑图2.4.4教学楼拓扑图2.4.5宿舍楼拓扑图2.5前期整体分析统一大量采用了cisco2层和3层交换机和少量的路由器来构建网络，目前普遍采用3层式结构化设计方案，该种方案结构清晰，网络运行效率高，易于扩展。具体结构如图3-1其中SW1是网络的核心层交换机，SW2和SW3是网络的接入层交换机。在核心层配置vtp服务器，就可以在一台交换机上集中修改vlan的配置，所做的修改会被自动传播到网络中的所有其它计算机上，实现了交换机vlan的统一配置。在路由器上使用nat，利用nat技术就可以解决了校园对外部互联网访问的问题。实现师生可以正常浏览Internet。以便让广大师生更快的了解社会、国家、国际上的消息2.6网络配置原则1、实用性从保护各系原用的设备投资和能够完全满足现实需求的角度出发，充分集成现有的各种计算机和网络设备，使建设的系统适用、安全、可靠且易管理、维护和扩展，具有最高的性价比。2、开放性构造一个开放的网络系统，是当前世界计算机技术发展的潮流，因此我们在整个系统的设计中采用的规范、设备与厂商无关，具有较强的兼容性，便于与外界异种机平滑互联。3、先进性当今的计算机网络技术发展日新月异，把握不准的方向则可能导致在很短的时间内技术落伍，从而面临被淘汰的危险。因此在坚持实用性的前提下尽量采用国际先进成熟的网络技术和设备，适合未来的发展，做到一次规划长期受益。4、可扩充性所选择的联网方案及设备要能适应网络规划的不断扩大的要求，以便于将来设备的扩充；要能适应信息技术不断发展的要求，平稳地向未来新技术过渡。5、可靠性系统设计除采用信誉好，质量高的设备外，还采用一系列容错、冗余技术、提高整个系统的可靠性。6合理投资灵活升级由于校园数据具有保密性、不可公开性的特点。所以校园网络解决方案可以在保护原有投资的同时，以最少的投资来获得最好的网络结构。2.7IP地址规划IP地址规划原则：1R11、简单性：1R12、连续性：为同一个网络区域分配连续的网络地址，便于采用路由收敛技术缩减路由表的表项，提高路由器的处理效率；3、灵活性：地址分配不应该基于某个网络路由策略的优化方案，应该便于多数路由策略在该地址分配方案上实现优化；4、唯一性：在整个网络环境中必须保持IP地址的唯一性；5、可管理性：地址的分配应该有层次，某个局部的变动不要影响上层、全局；6、安全性：网络内应按工作内容划分成不同网段即子网以便进行管理。具体规划见表2.1表2.1IP地址规划表IP地址区域/24图书馆/24办公楼/24教学楼/24宿舍楼交换模块设计3.1虚拟局域网随着企事业单位的局域网内的主机数量日益的增多，由大量的广播报文带来的快带浪费、安全等问题业越突出，为了解决这样的问题，我们就要对交换机进行划分vlan。通过这样在同一个vlan中的主机不论他们实际与哪个交换机连接，它们之间的通信就好像在独立的交换机上一样。同一个vlan中的广播只有vlan中的成员才能听到，而不会传输到其他的vlan中去，这样就可以很好地控制不必要的广播报文的扩散，提高了网络内部带资源的利用率，业减少了主机接受这些不必要的广播带来的资源浪费。企业网通过划分vlan，可以强化网络管理和网络安全。在企业中由于地理位置和部门的不同，而对网络中相应的数据和资源就有不同的权限要求，利用vlan技术就可以很好的解决。3.1.1vlan的配置S1划分vlanS1#conftS1(config)#vlan10S1(config-vlan)#nametushuguanS1(config-vlan)#vlan20S1(config-vlan)#namebangonglouS1(config-vlan)#vlan30S1(config-vlan)#nameshiyanlouS1(config-vlan)#vlan40S1(config-vlan)#namesushelou设置交换机S2的端口2～10端口VLAN10的成员:S2(config)#vlan10S2(config-vlan)#nametushuguanS2(config-vlan)#exitS2(config)#vlan20S2(config-vlan)#namebangonglouS2(config-vlan)#exitS2(config)#interrangef0/2-10S2(config-if)#switchportmodeaccessS2(config-if)#switchportaccessvlan10设置交换机S2的端口11～21端口VLAN20的成员:S2(config)#interrangef0/11-21S2(config-if)#switchportmodeaccessS2(config-if)#switchportaccessvlan20S2(config-if)#intfa0/1S2(config-if)#switchportmodetrunk设置交换机S3的端口2～10端口VLAN30的成员:S3(config)#vlan30S3(config-vlan)#nameshiyanlouS3(config-vlan)#exitS3(config)#vlan40S3(config-vlan)#namesushelouS3(config-vlan)#exitS3(config)#interrangef0/2-10S3(config-if)#switchportmodeaccessS3(config-if)#switchportaccessvlan10设置交换机S3的端口11～21端口VLAN40的成员:S3(config)#interrangef0/11-21S3(config-if)#switchportmodeaccessS3(config-if)#switchportaccessvlan20S3(config-if)#intfa0/1S3(config-if)#switchportmodetrunk3.1.2利用交换机实现vlan间的通信采用单臂路由的方式实现vlan间路具有速度慢，转发速速率低的缺点，容易产生瓶颈，所以在网络中已不能采用三层交换机，一三层交换的方式来实现vlan间的路由。S1(config)#interfacevlan10S1(config-if)#ipaddress255.255.0S1(config-if)#exitS1(config)#interfacevlan20S1(config-if)#ipaddress255.255.0S1(config-if)#exitS1(config)#interfacevlan30S1(config-if)#ipaddress255.255.0S1(config-if)#exitS1(config)#interfacevlan40S1(config-if)#ipaddress255.255.0S1(config-if)#exit3.1.3vlan划分以科技楼为例，按照科技楼拓扑图中的划分，如下表VLANVLAN网关子网地址范围子网掩码10~5420~5430~5431~5432~5433~5434~5435~5436~5437~5438~5440~5441~5442~5443~5444~5450~543.2接入层的配置我们在汇聚层采用的是核心交换机的配置，在这个二层交换机上我们对它进行创建vtpclient、划分vlan端口VTP（VLANTrunkingProtocol）：是VLAN中继协议，也被称为虚拟局域网干道协议。它是思科私有协议。作用是十几台交换机在网中，配置VLAN工作量大，可以使用VTP协议，把一台交换机配置成VTPServer,其余交换机配置成VTPClient,这样他们可以自动学习到server上的VLAN信息。VTP本质是cisco私有的vlan管理工具,它在trunk链路上传送vlan信息(vlanid,vlanname,mtu)同步vlandatabase.从而保护了二层交换网络中vlan配置的一致性VTP的作用：vtp的主要目的是在一个交换性的环境中管理所有配置好的vlan使所有的vlan保持一致性。通常情况下，我们需要在整个园区网或者企业网中的一组的交换机中保持VLAN数据库的同步，以保证所有交换机都能从数据帧中读取相关的VLAN信息进行正确的数据转发，然而对于大型网络来说，可能有成百上千台交换机，而一台交换机上都可能存在几十乃至数百个VLAN，如果仅凭网络工程师手工配置的话是一个非常大的工作量，并且也不利于日后维护——每一次添加修改或删除VLAN都需要在所有的交换机上部署。在这种情况下，我们引入了VTP（VLANTrunkingProtocol）。VTP模式：服务器(server)：交换机默认的，vtp域中至少需要一台服务器,以便在整个域中传播vlan信息,可以创建、添加、删除vlan且通告整个vtp域。客户机(client)：交换机从vtp服务器接收信息,它们也发送和接收更新,但不做任何改动。透明(transparent)：交换机不参与vtp域，但转发vtp通告，可以创建、添加、删除vlan，但不和其他交换共享数据库。3.2.1vtp配置为了让所有vlan统一配置管理，让汇聚层交换机sw1作为vtpserver，sw2、sw3为vtpclient。在sw1上创建所有vlan，让sw2跟sw3可以学到vlan。3.2.2vtp服务器配置S1#conftS1(config)#vtpserverS1(config)#vtpdomainciscoS1(config)#vtppasswordcisco3.2.3vtp客户端配置S2#conftS2(config)#vtpclientS2(config)#vtpdomainciscoS2(config)#vtppasswordciscoS3#conftS3(config)#vtpclientS3(config)#vtpdomainciscoS3(config)#vtppasswordcisco路由器配置4.1路由器的配置由于目前IP地址资源非常稀缺，不可能给校园网内部的所有工作站都分配一个公有IP（Internet可路由的）地址。为了解决所有工作站访问Internet的需要，必须使用NAT（网络地址转换）技术。NAT的配置：定义NAT内部、外部接口R1(config)#interfacefastehernet0/0R1(config-if)#ipaddressR1(config-if)#ipnatinsideR1(config-if)#interfaceserial1/0R1(config-if)#ipaddressR1(config-if)#ipnatoutsideR1(config)#ipnatinsidesourcestatic实现内部web服务器向外网提供服务：R1(config)#ipnatpoolpoolnetmaskR1(config)#access-list1permithostR1(config)#ipnatinsidesourcelist1poolpooloverloadR1(config)#intf0/2R1(config)#ipnatinsideR1(config)#ints0/1R1(config)#ipnatoutside4.2OSPF的基本配置OSPF是一个基于链路状态的内部网关协议。每个路由器维护一个相同的链路状态数据库，保存整个AS的拓扑结构。一旦每个路由器有了完整的链路状态数据库，该路由器就可以自己为根，构造最短路径树，然后再根据最短路径构造路由表。对于大型的网络，为了进一步减少路由协议通信流量，利于管理和计算，OSPF将整个AS划分为若干个区域，区域内的路由器维护一个相同的链路状态数据库，保存该区域的拓扑结构。当拓扑结构发生变化时，OSPF能迅速重新计算出路径，而只产生少量的路由协议流量。OSPF路由器相互间交换信息，但交换的信息不是路由，而是链路状态。相对于其它协议，OSPF有许多优点：提供负载均衡功能，如果计算出到某个目的站有若干条费用相同的路由，OSPF路由器会把通信流量均匀地分配给这几条路由，沿这几条路由把该分组发送出去；在一个自治系统内可划分出若干个区域，每个区域根据自己的拓扑结构计算最短路径，这减少了OSPF路由实现的工作量；OSPF属动态的自适应协议，对于网络的拓扑结构变化可以迅速地做出反应，进行相应调整，提供短的收敛期，使路由表尽快稳定化，并且与其它路由协议相比，OSPF在对网络拓扑变化的处理过程中仅需要最少的通信流量；OSPF提供点到多点接口，支持CIDR（无类型域间路由）地址。4.2.1在路由器和三层交换机上配置IPR1(config)#interfaceSerial0/1R1(config-if)#ipaddressR1(config-if)#noshutdownS1(config)#intf0/1S1(config)#noswitchportS1(config-if)#ipaddressS1(config-if)#noshutdown4.2.2配置OSPF路由协议R1(config)#routerospf10R1(config-router)#networkarea0R1(config-router)#networkarea0R1(config)#iprouteS1(config)#routerospf10S1(config-router)#network55area0S1(config-router)#networkarea0S1(config-router)#networkarea0设备选材5.1服务器IBM服务器X346-8840-I05服务器的组成：2路Intel、Xeon、处理器(1MBL2缓存)、EM64T优化、快速400MHzPC2-3200DDR2内存、集成双10/100/1000以太网、支持可选的IBMRemoteSupervisorAdapterIISlimLine卡。图5.1X346-8840-I05服务器的优点：346提供杰出的性能、可用性和可扩展性-采用空间紧凑的2U机柜设计。它最适用于网络环境或空间紧凑的数据中心中需要大量存储的应用程序和数据。x346采用最新的IntelXeon处理器技术，旨在为客户提供满足当前业务需求和今后增长需要的计算功能。新的IBMExtendedDesignArchitecture计划很明显的集成在其2U机柜设计中，x346提供令人印象深刻的可扩展性，包括双处理器支持、高达16GB的内存和6个高性能、热插拔硬盘驱动器托架、以及支持内置磁带备份的能力。如果您需要在机柜密集的环境中实现高性能2路处理、大容量内置存储和卓越的可管理性均衡，x346足以胜任。5.2防火墙为了保证网络的安全，在连接Internet的路由器端口处安置了一台CISCOPIX-515E硬件防火墙，用以防止外界对内部系统的攻击。在服务器内又安置了中国网软件防火墙，对整个网络系统安全进行监控，并可有效地阻挡从局域网内部对系统的攻击。品名：CISCOPIX-515E设备类型：百兆级防火墙并发连接数：12000网络吞吐量(MPPS)：188图5.2CISCOPIX-515E安全过滤带宽(MB)：100用户数量限制：无用户数量限制VPN支持：支持5.3机柜1）欧美式的设计风格，精良品质，专业打造。 2）万德机柜采用优质冷轧钢板材，严格的磷酸盐防腐蚀处理，整体喷粉均采用韩国进口粉面。各项指标均达到国际安全保护标准。3）全柜采用拼装式结构，整体承重500KG，前后侧门均可拆卸，维护更加轻松，柜内通过四根可调承重立柆解决了各种设备因尺寸差异而产生的安装问题，符合19英寸工业标准。图5.3惠普机柜5.4路由器图5.4CISCO3750VXR路由器产品参数详细信息基本规格DRAM内存(MB)：512Flash内存(MB)：512设备类型：非模块化路由器处理器：225、263或350MHz（MIPSRISC）固定的广域网接口：可选广域接口WIC卡支持扩展模块数：4控制端口：RS-232支持网络协议：IEEE802.3，ISDN；加密标准AH（MD5），ESP（Null，DES，3DES，ARC4，proprietaryfastencoding，+MD5/HMAC，-MD5）；PPP（PAP，CHAP，LCP，IPCP，MLPPP）；支持的网管协议：CiscoClickStart，SNMP是否内置防火墙：是是否支持VPN：是是否支持Qos：是电源电压(V)：100--240电源功率(W)：150重量(kg)：3.6长度(mm)：445宽度(mm)：301高度(mm)：44工作温度(℃)：0-40工作湿度：10%-90%存储温度(℃)：-20-65存储湿度：10%-90%5.5交换机图5图5.5CISCOWS-C2950T-24交换机产品性能指标基本规格设备类型：快速以太网交换机内存：16MBDRAM和8MB闪存交换方式：存储-转发背板带宽（Gbps）：8.8包转发率：6.6MppsVLAN支持：支持MAC地址表：8000网络标准：IEEE802.1x,10BaseT、100BaseTX、1000BaseT端口上的IEEE802.3x全双工操作,IEEE802.1D生成树协议,IEEE802.1pCoS,IEEE802.1QVLAN,IEEE802.3ab1000BaseTX规范,IEEE802.3u100BaseTx规范,IEEE802.310BaseTx规范传输速率(Mbps)：10/100/1000端口类型：10/100Base-T,10/100/1000Base-T端口数：24模块化插槽数：2是否支持全双工：全双工堆叠：可堆叠网管功能：SNMP管理信息库(MIB)II，SNMPMIB扩展，桥接MIB(RFC1493)额定电压（V）：100to127/200to240VAC额定功率（W）：30重量(Kg)：3.0长度(mm)：445宽度(mm)：242高度(mm)：44工作温度（℃）：-5–45工作湿度：10%-95%工作高度（米）：3000存储温度（℃）：-25-70存储湿度：10%-95%存储高度（米）：4500系统平台选择和网络安全设置6.1系统软件平台选择6.1.1操作系统操作系统是计算机系统的一种系统软件，它用于管理计算机系统的资源和控制程序的执行，以提高资源利用率，并为用户提供强有力的使用功能和方便的使用环境。操作系统是控制和管理计算机系统内各种硬件和软件资源、合理有效地组织计算机系统的工作，为用户提供一个使用方便可扩展的工作环境，从而起到连接计算机和用户的接口作用。选择一个合适的操作系统，既省钱、省力，又能大大地提高系统的效率，而盲目地上一个操作系统，往往会事倍功半，甚至会破坏原有的数据库和文件等。6.1.2选择操作系统的准则网络操作系统对网络的性能有着至关重要的影响。选择了一个合适的网络操作系统,既省钱、省力,又能大大地提高系统的效率,而盲目地上一个网络操作系统,往往会事倍功半,甚至会破坏原有的数据库和文件等。一、选择网络操作系统的准则选择网络操作系统的准则,随着市场、技术及生产厂商的变化而变化。所以,这里所谈的准则也不是一成不变的,在许多情况下,仍要根据实际情况决定。选择网络操作系统,既要分析原有系统的情况,又要分析网络操作系统的情况。对原有系统的分析,着重在两个方面：需要实现的目标,即要建立具有什么功能的网络。现有系统的配置、实现的难易程度、技术配备等。在对原系统进行分析后,再考察网络操作系统的状况,主要考察点有:(1)该网络操作系统的主要功能、优势及配置,看看能否与用户需求达成基本一致。(2)该网络操作系统的生命周期。谁都希望少花钱,多办事,因而希望网络操作系统正常发挥作用的周期越长越好,这就需要了解一下其技术主流、技术支持及服务等方面的情况。(3)分析该网络操作系统能否顺应网络计算的潮流。当前的潮流是分布式计算环境,因此,选择网络操作系统,当然最好考察这个方向。(4)对市场进行客观地分析。也就是说,对当前市场流行的网络操作系统平台的性能和品质,如速度、可靠性、安装与配置的难易程度等方面,进行列表分析,综合比较,以期选择性能价格比最优者。上述是选择网络操作系统的通用准则。在实际选择时,具体问题还需具体分析。在经费有限或网络要求有限的情况下,可选择低档的网络操作系统,如对等式的网络操作系统等。这类低档的网络操作系统价格低廉,无须专用的服务器,所以能大大节省用户的开支。另外,低档的网络操作系统能将小型工作组成员简易地连接起来,彼此共享文件和打印机。在性能方面,当负载较小时,其速度与高档系统不相上下。在低要求、低成本的情况下,选用对等式网络操作系统无疑是上策。但当需求扩展时,对等式网络操作系统就显得不那么适合,如:安全保密和访问速度方面不够,以及需大量内存和CPU时间的应用程序无法运行等,这时对等式网络操作系统就不能满足用户的要求。因此,在选择网络操作系统时,首先要分析一下本系统未来运行的是何种应用程序:是简单短小的,还是庞大复杂的;系统是否需要较为严格的安全保密等。在网络规模扩大后,无疑需要选择较为高档的网络操作系统。高档的产品,其功能强大,能支持多种计算平台,一般都能有效地满足用户的联网要求。目前，这类产品在局网上的主要代表有：Microsoft公司的MS-DOS、Windows3.x、Windows95、Windows98、Windows98se、WindowsMe、WindowsNT、Windows2000、WindowsXP、Windows7、WindowsVista、windowsnt、Windows2000sever、Windows2003、WindowsServer2008、WindowsCE.和其他公司的Linux、MACOS、HP-UX、AIX、SunOS、FreeBSD、NetBSD、OpenBSDSlackware、uClinux、VxWorks、PalmOSWindows

XPWindows

XP（版本号：5.1，开发代号：Whistler）是微软公司推出供个人电脑使用的操作系统，包括商用及家用的台式电脑、笔记本电脑、媒体中心和平板电脑等。其名字“XP”的意思是英文中的“体验”。Windows

XP是继Windows

2000及Windows Me之后的下一代Windows操作系统，也是微软首个面向消费者且使用Windows

NT架构的操作系统。Windows7Windows7是微软公司推出的电脑操作系统，供个人、家庭及商业使用，一般安装于笔记本电脑、平板电脑、多媒体中心等。微软首席运行官史蒂夫·鲍尔默曾经在2008年10月说过，Windows7是WindowsVista的“改良版”。Windows7于2009年7月22日发放给组装机生产商，零售版于2009年10月23日在中国大陆及台湾发布，香港于翌日发布。2011年10月StatCounter调查数据显示，Windows7已售出4.5亿套，以40.17%市占率超越WindowsXP的38.72%。6.2防火墙系统6.2.1防火墙概述防火墙是一种用来增强内部网络安全性的系统，它将网络隔离为内部网和外部网，从某种程度上来说，防火墙是位于内部网和外部网之间的桥梁和检查站，它一般由一台和多台计算机构成，它对内部网和外部网的数据流量进行分析、检测、管理和控制，通过对数据的筛选和过滤，来防止未授权的访问进出内部计算机网，从而达到保护内部网资源和信息的目的。防火墙是指设置在不同网络（如可信任的企业内部网和不可信的公共网）或网络安全域之间的一系列部件的组合。它是不同网络或网络安全域之间信息的唯一出入口，能根据企业的安全政策控制(允许、拒绝、监测)出入网络的信息流，且本身具有较强的抗攻击能力。它是提供信息安全服务，实现网络和信息安全的基础设施。在逻辑上，防火墙是一个分离器，一个限制器，也是一个分析器，有效地监控了内部网和Internet之间的任何活动，保证了内部网络的安全。6.2.2防火墙体系结构（1）双重宿主主机体系结构双重宿主主机体系结构围绕双重宿主主机构筑。双重宿主主机至少有两个网络接口。这样的主机可以充当与这些接口相连的网络之间的路由器，它能够从一个网络到另外一个网络发送IP数据包。然而双重宿主主机的防火墙体系结构禁止这种发送。因此IP数据包并不是从一个网络（如外部网络）直接发送到另一个网络（如内部网络）。外部网络能与双重宿主主机通信，内部网络也能与双重宿主主机通信。但是外部网络与内部网络不能直接通信，它们之间的通信必须经过双重宿主主机的过滤和控制。（2）被屏蔽主机体系结构双重宿主主机体系结构防火墙没有使用路由器。而被屏蔽主机体系结构防火墙则使用一个路由器把内部网络和外部网络隔离开。在这种体系结构中，主要的安全由数据包过滤提供（例如，数据包过滤用于防止人们绕过代理服务器直接相连）。这种体系结构涉及到堡垒主机。堡垒主机是因特网上的主机能连接到的唯一的内部网络上的系统。任何外部的系统要访问内部的系统或服务都必须先连接到这台主机。因此堡垒主机要保持更高等级的主机安全。数据包过滤容许堡垒主机开放可允许的连接（什么是"可允许连接"将由你的站点的特殊的安全策略决定）到外部世界。（3）被屏蔽子网体系结构被屏蔽子网体系结构添加额外的安全层到被屏蔽主机体系结构，即通过添加周边网络更进一步的把内部网络和外部网络隔离开。被屏蔽子网体系结构的最简单的形式为，两个屏蔽路由器，每一个都连接到周边网。一个位于周边网与内部网络之间，另一个位于周边网与外部网络之间。这样就在内部网络与外部网络之间形成了一个“隔离带”。为了侵入用这种体系结构构筑的内部网络，侵袭者必须通过两个路由器。即使侵袭者侵入堡垒主机，他将仍然必须通过内部路由器。6.2.3防火墙的功能（1）数据包过滤技术数据包过虑技术是在网络中的适当位置对数据包实施有选择的通过的技术选择好依据系统内设置的过滤规则后，只有满足过滤规则的数据包才被转发至相应的网络接口，而其余数据包则从数据流中被丢弃。数据包过滤技术是防火墙中最常用的技术。对于一个危险的网络，用这种方法可以阻塞某些主机和网络连入内部网络，也可限制内部人员对一些站点的访问。包过滤型防火墙工作在OSI参考模型的网络层和传输层，它根据数据包头源地址，目的地址，端口号和协议类型等标志确定是否允许通过，只有满足过滤条件的数据包才被转发到相应目的地，其余数据包则被数据流中阻挡丢弃。（2）网络地址转换技术网络地址转换是一种用于把IP地址转换成临时的外部的、注册的IP的地址标准，用户必须要为网络中每一台机器取得注册的IP地址。在内部网络通过安全网卡访问外部网络时，系统将外出的源地址和源端口映射为一个伪装的地址和端口与外部连接，这样对外就隐藏了真实的内部网络地址。在外部网络通过非安全网卡访问内部网络时，它并不知道内部网络的连接情况，而只是通过一个开放的IP地址和端口来请求访问。防火墙根据预先定义好的映射规则来判断这个访问是否安全和接受与否。网络地址转换过程对于用户来说是透明的，不需要用户进行设置，用户只要进行常规操作即可。（3）代理技术代理技术是在应用层实现防火墙功能，代理服务器执行内部网络向外部网络申请时的中转连接作用。代理侦听网络内部客户的服务请求，当一个连接到来时，首先进行身份验证，并根据安全策略决定是否中转连接。当决定转发时，代理服务器上的客户进程向真正的服务器发出请求，服务器返回代理服务器转发客户机的数据。另一种情况是，外部网通过代理访问内部网，当外部网络节点提出服务请求时，代理服务器首先对该用户身份进行验证。若为合法用户，则把该请求转发给真正的某个内部网络的主机。而在整个服务过程中，应用代理一直监控着用户的操作，一旦用户进行非法操作，就可以进行干涉，并对每一个操作进行记录。若为不合法用语，则拒绝访问。6.3校园网网络安全设计6.3.1网络安全设计原则（1）可用性和可靠性保证汇聚以上的网络中单点故障不会使局域网失去与整个网络的连接，多点故障不会造成整个网络被分成几个互不相连的部分。（2）网络安全性对用户进行合理的区域划分，实现对网络用户的访问控制，能有效的抵御病毒的入侵和恶意攻击，确保网络的安全。（3）可扩展性网络系统在体系结构、容量、产品升级、处理能力等方面必须为今后的扩充留有足够的余地，保证满足今后的发展，以及其它的需求。6.3.2网络安全建设方案（1）物理安全物理安全包括通信线路安全，物理设备的安全，机房环境的安全。1通信线路的安全学校保卫人员要负责对校园进行24小时不间断的巡逻，防止通信线路被破坏。2机房环境安全供配电系统安全设计：要求能保证对机房内的主机、服务器、网络设备、通讯设备等的电源供应在任何情况下都不会间断。防雷接地系统安全设计：保证机房的各种设备安全，要求机房设有至少四种接地的形式。消防报警和自动灭火系统安全设计。（2）网络安全VLAN的划分是整个校园网的主体框架，此校园网主要是发挥三个方面的功能：教学功能、管理功能、信息功能。因此校园网采用三层网络架构设计，分为核心层、汇聚层、接入层。如图3.1所示。核心层设计为2个节点，用2台核心交换机实现双机备份汇聚层设计为5个节点，用5台交换机与核心层交换机冗余连接互为备份。其中后勤部另加一个网关。根据各部门对校园网的要求，采用基于端口的VLAN划分方法，对网络进行合理划分，确保校园网络的安全。（3）应用安全1、病毒防范随着计算机网络应用的不断发展，网络已经逐步成为人类生活中不可缺少的一部分。但随之而来的病毒也给我们带来了不少的麻烦。因此必须采取措施，对防病毒软件进行实时监控，保证防病毒软件的正常运行，在检测到防病毒运行不正常时，通知用户及时采取措施，避免遭受计算机病毒进一步的破坏。2、数据备份网络中心服务器应随时为各数据库服务器提供存储空间，支持各数据库的备份功能。图6.1数据总体网络拓扑图相关测试诊断命令7.1通用测试、诊断命令本文的最后，按不同的功能按每种技术分类，给出路由器或交换机上常用的相关测试、诊断命令。同时，还给出了每一命令的作用1、pingx.x.x.x标准ping命令。用于测试设备间的物理连通性。2、ping扩展ping命令。也用于测试设备间的物理连通性。扩展ping命令还支持灵活定义ping参数，如ping数据包的大小，发送包的个数，等待响应数据包的超时时间等。命令showrunning-config用于显示路由器、交换机运行配置文件的内容。3、traceroutex.x.x.x命令traceroute用于跟踪、显示路由信息。4、showrunning-config命令showrunning-config用于显示路由器、交换机运行配置文件的内容5、showstartup-config命令showstartup-config用于显示路由器、交换机启动配