大学校园网络的设计与搭建毕业设计

大学校园网络的设计与搭建毕业设计目录1绪论 11.1课题研究背景及目的 11.2国内外研究状况 11.3课题的研究方法 21.4论文构成及研究内容 22校园网络设计原则与需求分析 32.1校园网络设计原则 32.1.1开放性 32.1.2投资保护 32.1.3可扩充性 32.1.4安全性 32.1.5可管理性 32.2校园网络功能需求分析 42.3技术需求分析 42.4网络安全需求分析 43网络总体设计 63.1校园网络拓扑 63.2网络层次设计 63.3动态路由协议 73.4IP规划和VLAN划分 94设备选用 104.1网络设备选择的原则与注意事项 104.2核心路由器的选择 104.3核心交换机的选择 124.4汇聚层交换机的选择 124.5接入层交换机的选择 134.6防火墙的选择 144.7服务器的选择 155网络布线系统设计 165.1校园主干网络系统 165.2网络中心拓扑结构 175.3教学楼拓扑结构 175.4宿舍楼拓扑结构 185.5无线区域拓扑结构 196网络安全与管理 206.1网络安全问题 206.2网络安全管理策略 206.2.1访问控制 206.2.2安全接入和配置 216.2.3拒绝服务的防止 21结论 22致谢 23参考文献 24附录 25附录A核心层多层交换机配置 25附录B网络中心路由器配置 27附录C教学楼汇聚层交换机配置 28附录D寝室楼VLAN配置 30附录E财务处ACL配置 311绪论1.1课题研究背景及目的如今，各项先进的科学技术飞速发展，它强有力的改善了我们的生活方式，给人们群众的生活带来了深远的影响。计算机技术，作为信息科技的发展更是日新月异的代表，而计算机网络技术又是其中的的发展较为迅速的，人们的生活已经离不开计算机网络，网络已经渗透到了我们生活的点点滴滴。随着因特网的快速普及，给网络我们的学习与生活带来极大的便利，它使我们与外部世界的沟通更加的快速和紧密。随着高等教育由精英化向大众化的转变，各类大学为扩招开始新建校区。在当今的信息化社会，为新建的校区搭建网络自然成为必不可少的一部分。作为一个二十一世纪合格的人才来说，他们需要掌握各类大量的知识，在教育中还需提高教学效率[1]。今天出现了许多新颖的教学方法，用各种方式提升学生对知识的学习速度，在和以前的人同样的时间内，学习到比前人更多的文化知识。这些教学的方法，要利用计算机网络才可以实现。这要求校园网络必须是一个具有专业性和交互功能很强的局域网。校园网络的建成与使用，不但可提高广大师生的办公、学习效率，节省大量时间，对于改善科研和教学条件、提高科研和教学质量、加快学校信息化的进程，开展多媒体教学与研究，以及教出更多的人才、搞出更多的科研成果有着非常重要而且深远的意义。1.2国内外研究状况在今天这个知识爆炸的社会中，人们对于信息交流以及信息资源共享的迫切需求，促进了网络技术的产生与快速发展。计算机网络的产生与使用，为我们人类信息文明的发展带来了极具革命性的变化。自1995年中国教育教研网（CERNET）建设成功后，校园网的设计和建设已经进入到一个蓬勃发展的阶段[2]。搭建的网络要实现较高的利用率和可靠性。在提供较完善的冗余的同时，还要保证网络的快速收敛。在设计时保证网络的容错能力、出错后能够快速排查修复。保证校园网络内外稳定安全联通。校园网络应该具有通信，管理和教学的三大功能。但对于目前的校园网络建设来说主要的侧重点是通信和教学，以数字化校园作为核心的管理领域比较难以实现[3]。1.3课题的研究方法此次搭建的网络采用典型的三层结构：核心层，汇聚层，接入层。核心层的功能主要是实现骨干网络之间的优化传输，骨干层设计任务的重点通常是冗余能力、可靠性和高速的传输。网络的控制功能最好尽量的少在骨干层上实施。核心层一直被认为是所有流量的最终承受者和汇聚者，所以对核心层的设计以及网络设备的要求十分严格。核心层设备将占投资的主要部分。汇聚层:汇聚层的功能主要是连接接入层节点和核心层中心。汇聚层设计为连接本地的逻辑中心，仍需要较高的性能和比较丰富的功能。接入层是和终端是直接相连的。我们在核心层和汇聚层的设计中主要考虑的是网络性能和功能性要高，那么我们在接入层设计上主张使用性能价格比高的设备。接入层是最终用户(教师、学生)与网络的接口，它应该提供即插即用的特性，同时应该非常易于使用和维护。当然我们也应该考虑端口密度的问题。1.4论文构成及研究内容论文将包含大学校园网络的需求分析，校园网络的总体设计，校园网络搭建中的各项模块的详细介绍，网络搭建完成后的测试。此次搭建的网络，对内可以实现校园内部资源的共享，内网用户有效快速的沟通；对外可发布学校网站，内部用户畅通的访问因特网。校园网络指的是利用通信介质，网络设备，组网技术，协议及各种系统管理软件和各类终端，有效地集成在一起，用于科研，教学，信息资源共享，学校的管理以及远程教学方面的计算机局域网系统[4]。2校园网络设计原则与需求分析2.1校园网络设计原则校园网络必须具备通讯、管理、教学三大功能。学生能方便浏览和查询网上的资源，实现在线学习；老师可以便捷的浏览和查询网络上的资源，进行科研、教学工作；学校管理人员可方便地对资产、财务、学生学籍、教学事务、行政事务等进行综合性的管理。同时可以实现信息与设备资源的共享，实现网上信息的采集及处理的自动化，实现各级管理阶层间的信息数据交换。因此，校园网络的建设必须具有明确的目标。2.1.1开放性采用开放的网络体系，可以方便网络的扩展、升级与互联；与此同时在选择网络产品和服务器时，应强调产品所支持的网络协议的国际标准化。2.1.2投资保护购买性价比高的网络设备与服务器；采用的网络架构及其它设备应充分考虑升级换代的便捷性，且在升级中能最大限度保护原本软件投资和硬件设备。2.1.3可扩充性不论是从主干网络设备的选型和其插槽个数、模块、管理软件及网络整体结构，还是技术开放性和相关协议的支持等方面，都要保证网络系统的可扩充性。2.1.4安全性内网之间、内网和外部公共网之间的互联，要利用VLAN/ELAN和防火墙等相关技术和设备，用以对访问进行控制，保证网络的安全性。2.1.5可管理性利用简洁的操作方式与图形化管理界面，合理的进行网络规划，并提供功能强大的网络管理功能，可以让日常的操作与维护变的直观、便捷、高效。2.2校园网络功能需求分析（1）校内网络辅助教育教学。（2）学生信息管理与查询系统。（3）实现学校教师、行政的无纸化办公（4）实现图书馆电子化，图书信息搜索。（5）实现在校园网内部的文件传输共享。（6）建设学校网站，实现对外宣传以及学校内部信息的发布。（7）校园网与Internet相连，师生可以通过互联网获取资源与信息。2.3技术需求分析校园网络的特点是终端数量会很多。校园要选用合适的动态路由协议，按照不同的职能划分不同的网络区域，IP规划要适当。校园网络的ISP接入选择要合适，其中教育网是必须接入的；根据在校人数和校园服务要求购买一定的IP数量和满足需求的带宽。由于存在多个校区，不同校区之间通过公网互联存在安全风险，选择合适的方式保证两个校区之间可以通过内网管理。校园网中的服务器需要365*24小时开机，因此需要有专用的机房放置服务器，并有专业的运维人员看护。采用虚拟化技术，在一台服务器上虚拟多个独立的操作系统，并同时运行。数据库服务器和其他服务器分离。网络的实现较高的冗余性，重要数据采用容灾备份机制。2.4网络安全需求分析由于校园网络接入Internet，需用防火墙来防止网络黑客与其他非法入侵者入侵校园网络系统，过滤不良信息，还可以对接入Internet的用户进行权限控制。（1）内部服务器禁止所有人PING。（2）对校园网络内部用户设置AAA认证。（3）所有部门都可以访问除财务部外的任何部门。（4）每个部门能用有线网络访问校园内部服务器。（5）不同的用户设置不同的权限，对用户进行分组。（6）任何移动用户可以使用无线网络访问校院内部服务器。（7）财务部可以访他任何部门，但财务部网络无法访问外网。（8）外网的用户禁止访问校园内网DHCP服务器和DNS服务器。（9）外网用户不能直接访问内网用户，内网用户除财务部以外则可以访问外网。3网络总体设计3.1校园网络拓扑根据需求分析设计出本次搭建的校园网络拓扑图，总体拓扑如图3.1所示。图3.SEQ图3-\*ARABIC1校园网络拓扑3.2网络层次设计本次搭建的校园网网络整体上分为三个层次：核心层、汇聚层和接入层。为了实现校园区域内的高速互联，核心层由1个核心节点组成，包含有网络中心、服务器群。汇聚层设置在每栋楼上，每一栋楼上设置一个汇聚节点，汇聚层为高性能“小核心”型交换机，根据每个楼配线间数量的不同，分别采用一台或者两台汇聚层交换机汇聚。为了充分的保证数据传输以及交换的效率，现将各楼内设置成三层楼内汇聚层，每个楼内汇聚层设备不仅可以分担核心层设备的部分压力，还可以提高了网络安全性。接入层则为每个楼的大量接入交换机，是直接与用户连接的设备。3.3动态路由协议结合校园网络的特点，本次搭建的网络采用较为普遍的OSPF动态路由协议。网络为多区OSPF，一个骨干区域和三个常规区域。骨干区域是整个网络的核心部分，由四台多层交换机和服务器群组成，如图3.2所示。图3.2OSPF骨干区域拓扑其它的三个区域为常规区域，每个常规区域都与骨干区域直接相连。区域1包括行政处和财务处，其中财务处是具有较强的独立性；区域2是包含有教学区、宿舍楼、图书馆，这一区域包含所有的教学楼和多有的寝室楼，这一区域的特点是终端数量众多，管理难度相对较大；区域3是无线区，无线网络将覆盖校园的每个角落。这里所划分的区域是逻辑上的，可能地理位置上相隔很远的两个地方，或者很分散的不同地理位置的地方会划分在一个区域内。不过相同区域的不同地理位置的设备是需要用物理链路相互连接的。三个区域如图3.3~3.5所示。图3.3区域1拓扑图3.4区域2拓扑图3.5区域3拓扑3.4IP规划和VLAN划分按照建筑为单位，给每一栋建筑分配一定量IP和划分VLAN。具体规划情况如表3.1所示。表3.1IP规划和VLAN划分IP地址子网掩码Vlan网络中心—54Vlan1财务处—54Vlan2行政处—54Vlan3教学楼1#—54Vlan4教学楼2#—54Vlan5实验楼—54Vlan6宿舍楼1-10#-54Vlan7宿舍楼11-23#-54Vlan8无线—54Vlan9图书馆—0Vlan10DHCP服务器0055Vlan80FTP服务器0055WEB服务器00255.255.255255数据库服务器00554设备选用4.1网络设备选择的原则与注意事项在选择时主要考虑网间网互联技术与产品供应商能否为客户提供可用、先进、可靠、安全并且易于管理的产品。所选用的交换机是否应支持VLAN划分、设备管理等。在网络设计的时候应选用升级能力和扩充能力都比较强的网络设备，如Cisco、3COM、INTEL公司的网络设备，国产如华为、中兴厂家的交换机、路由器等网络设备普遍具有有较高的性价比，也应该在选择之列。通过对千兆位以太网与ATM两种技术在性能、特点和工程中应用的比较可知，千兆以太网除了具有ATM所有的功能外，还能够提供一个更为综合性的解决方案。千兆以太网不仅能完成许多ATM功能，还具有价格低、更易与LAN结构相融合的优点。所以在网络方案选择上用千兆以太网做校园网网络总体结构，无论是在可适应性、可扩展性、高带宽、高性价比、良好的管理性以及维护性等方面，都是你最明智的选择。千兆位以太网的设计方案，采用的是最新的多层交换机作为全网的核心，在以此错位基础建立起来的以1000M为主干的校园网。根据应用的不同，可以将校园网络分割成几个以100M交换机为核心的子网。为满足学校与Internet的连接，此次搭建的网络将Web服务器，路由器等应用设备用防火墙将其与内部网隔离开来，达到保护敏感数据的目的。4.2核心路由器的选择NetEngine40E系列核心层路由器（以下简称NE40E）是华为公司出品的高端网络设备，可以广泛适用在IP省干、IP国干网和其它各种大型IP网络的核心层、汇聚层[5]。NE40E具有十分强大的汇聚接入能力。NE40E还全面支持IPv6，可以实现IPv4到IPv6的平滑过渡。凭借丰富灵活的特性支持，可以部署L3VPN、组播、组播VPN、MPLSTEL2、VPN、QoS等，完全可以实现业务运营级可靠性承载。因此，NE40E可以灵活的应用在IP/MPLS网络的汇聚、核心，可简化网络的结构，提供丰富的业务类型以及可靠的服务质量，是IP网络走向安全化、智能化、业务化、宽带化发展的重要源动力。NE40E具有很好的线速转发性能、良好的扩展能力，较为完善的QoS机制以及强大的业务处理能力，基于分布式的硬件转发技术和无阻塞交换技术，并且采用华为自行研制的Solar系列芯片。NE40E采用基于业界最新的可扩展400G平台，完美实现40G/Slot到400G/Slot的滑动扩展，并且可以兼容市面上几乎所有线卡，做到最大限度的保护客户的资本投资。产品规格如表4.1所示。表4.1华为NetEngine40E产品规格属性具体参数交换容量2.56Tbps转发性能1600Mpps业务子卡槽位数64个业务槽位数16个高度(U)32U最大功耗5360W满配重量238kgIPv4支持Staticrouting、RIP、OSPF、IS-IS、BGP-4等路由协议，所有端口在路由振荡等复杂路由环境下线速转发。MPLS/MPLSVPN支持MPLSTE，支持MPLS/BGPVPN，符合RFC2547bis协议；支持三种跨域实现方式；支持与Internet业务集成；支持基于Martini、Kompella方式的MPLSL2VPN，支持VPLS/VLL等多种二层VPN技术；支持组播VPN。NAT支持丰富的NAT特性，包括NAT、NAT-PT、NAT多实例等，支持多ISP出口、内部服务器负载分担等策略，支持双向NAT，满足用户各种NAT组网应用。安全性支持ACL报文过滤，支持DHCPSnooping，支持防ARP攻击、防DOS/DDOS攻击，支持MAC地址限制、MAC与IP绑定；支持SSH、SSHv2，支持NetStream。时钟支持1588v2，ACR，DCR，支持同步以太时钟语音承载支持TDMPWE3，支持ATMPWE3,支持ATMIMA环境要求长期工作温度：0~45°C短期工作温度：-5~55°C4.3核心交换机的选择通常网络主干部分称为核心层。核心层的主要作用是通过高速转发，提供优化、可靠的骨干传输结构。因此核心层交换机嘘拥有更高的可靠性、性能和吞吐量。网络需用四台核心层交换机，选用的是华为QuidwayS9303，具体参数如表4.2所示。表4.2华为QuidwayS9303产品规格属性具体参数交换机类型路由交换机应用层级三层传输速率10Mbps/100Mbps/1000Mbps端口结构模块化交换方式存储-转发背板带宽1.2Tbps包转发率540MPPSVLAN支持支持QOS支持支持网管支持支持MAC地址表16K模块化插槽数3电源DC:–38.4V～–72V;AC:90V～264V;典型功耗:<180W;整机供电能力:350W尺寸(mm)442*476*175重量(Kg)154.4汇聚层交换机的选择Quidway®S6506R高端多业务三层交换机是华为面向大型企业网、IP城域网、园区网用户开发的高密度、模块化、大容量的二、三层线速以太网交换机，同时具有强大的QoS保障和NAT处理能力、丰富的业务功能、完善的安全管理机制以及电信级的高可靠设计，完全可以满足行业客户以及运营商用户对高可靠、大容量、模块化、多业务的需求[6]。Quidway®S6506R能够为园区网、数据中心、城域网提供超高速链路，打造高性能、低成本、具有丰富业务支持的高性能网络，可作为企业核心交换机或者城域网汇聚层交换机。具体参数如表4.3所示。表4.3Quidway®S6506R产品规格属性具体参数型号S6506R插槽数量8业务槽位6背板容量≥1.6TbpsMAC地址表64K路由协议支持L2/3/4流规则分类过滤支持Diff-serv/QoS支持流量监管（CAR），粒度为64Kbps支持流量整形（TrafficShapping）端口聚合支持，最大支持8个GE口或8个FE口捆绑POE支持IEEE标准802.3afPOE功能系统配置/系统管理提供中/英文双语界面支持CLI、Console、Telnet、Modem方式配置支持SNMPV1/2/3；支持RMON环境工作温度：0～45℃保存温度：－30～60℃相对湿度：10％～90％无凝结输入电压AC：100V~240V，47~63HzDC：-60V~-48V外形尺寸（mm）宽×深×高436×480×530.6重量（满配时最大重量）≤80kg系统最大功耗（满插板）800W4.5接入层交换机的选择接入层需要大量的交换机，是和终端直接相连的设备。采用傻瓜式的交换机就能满足需求。此次选用H3CS1216（24口）作为接入层设备，具体参数如表4.4所示。表4.4H3CS1216产品规格属性具体参数交换机类型千兆以太网交换机应用层级接入层内存2MB传输速率10Mbps/100Mbps/1000Mbps网络标准IEEE802.3、IEEE802.3u、IEEE802.3ab端口结构非模块化端口数量24接口介质10Base-T:3/4/5类双绞线,支持最大传输距离200m、100Base-TX:5类双绞线,支持最大传输距离100m、1000Base-T:5类双绞线,支持最大传输距离100m传输模式全双工/半双工自适应交换方式存储-转发背板带宽32Gbps包转发率23.8MppsVLAN支持不支持QOS支持不支持网管支持不支持MAC地址表8K电源输入电压:220VAC尺寸(mm)330×230×444.6防火墙的选择防火墙能极大地提高内部网络的安全性，通过过滤不安全的服务而降低风险。比如防火墙可以禁止不安全的NFS协议进出受保护的网络，这样外部的入侵者就不能利用这些脆弱的协议攻击内部网络。防火墙还应该可以拒绝所有常见型攻击的报文并通知管理员。本方案选用华为赛门铁克USG2110作为防火墙，其主要参数如表4.5所示。表4.5赛门铁克USG2110产品规格属性具体参数设备类型企业级防火墙网络吞吐量(Mbps)2000网络端口2*ComboGEWAN,10*10/100MLAN,扩展:4MIC+2FIC用户数限制无用户数限制入侵检测Dos,DDoS安全标准FCC,CE控制端口Console口管理Web和命令行VPN支持支持4.7服务器的选择本方案中将采用三种服务器为网络提供服务。其中两台DellR620，一台DellR510和一台DellR710。 采用Intel®Xeon®处理器5500和5600系列的三款戴尔服务器均为机架式服务器，其R620为1U，R510和R710为2U，可以安放在一个机柜里面。5网络布线系统设计5.1校园主干网络系统校园主干网指的是连接到校园内每个建筑物的主干通信线路，常采用光纤作为传输介质[7]。光纤具有通信距离长、抗干扰、通信容量大、抗雷电等优良性能，采用架空或者埋地等铺设方式。同样也可以选用超五类双绞线作为干线，但需做好防雷措施，如：用铁管保护埋地等。需要注意的是双绞线的可靠通信距离约为100米。校园主干网采用LucentSYSTIMAXOptiSPEED室外光纤，校园主干网系统的结构如图5.1所示。图5.1校园网主干网系统结构校园网的网络中心设置在图书馆一楼。以网络中心为中心，以星型布线方法向各个主建筑物铺设光纤，这样就形成一个了星型光纤网络，组成了校园网络的主干网系统。在校园主干网系统中，除了以网络中心为中心铺设光纤主干网外，还要在行政楼与实验楼之间再布放一条光纤路线，同样采用的是室外六芯多模光纤。这样多布放一条光纤后就形成了在行政楼、实验楼、图书馆楼之间的环型光纤网络。在资金投资不是很大的情况下，这样的做法做有一定的好处：加入行政楼到图书馆或者实验楼到图书馆的一条线路发生故障，就可以通过行政楼到实验楼这条链路来保证网络正常的通信。5.2网络中心拓扑结构图书馆，即网络中心是一个相对独立的系统，拓扑如图5.2所示。图5.2网络中心拓扑结构网络中心是连接各个区域的纽带，在这种体系结构之下，网络中心的配置可以抽象的分为负载均衡器、服务结点池与存储系统三个层次。这里是集群的惟一入口，校园网通过该设备接入Internet，校园网接入联通、电信、铁通、教育网多条线路。核心交换机的配置见附录A，网络中心路由器的配置见附录B。服务器群采用云计算的架构和VMWARE的解决方案，两台R620作为前端服务器，一台R510作为后端存储服务器。两台前端安装ESX4.1的操作系统，每台前端拥有64G内存，两台共128G内存，做容灾备份。当一台机器出现硬件、网络、软件故障时，服务可以在极短的时间内迁移到另一台机器上。一台后端存储服务器安装OPEN-E存储操作系统，配置12块2T的硬盘。内置系统盘做RAID10，数据存储盘做RAID50，并用两块盘做全局热备份。采用千兆内网交换机和前端存储相连。5.3教学楼拓扑结构校园网络建设的目的之一，就是是利用网络实现多媒体教学。教学楼的拓扑如图5.3所示。图5.3教学楼拓扑结构现在多媒体教学存在难点是实现视频信号的传送。目前在局域网上实现实时传送高质量视频数据流的技术还不成熟，但传送压缩之后的视频数据是可以的[8]。根据教学楼网络的特点，这里把汇聚层和接入层划分合而为一，终端直接连接到S6506R多层交换机上，实现了数据的高速转发。教学楼汇聚层交换机配置见附录C。5.4宿舍楼拓扑结构宿舍楼的拓扑如图5.4所示。图5.4宿舍楼拓扑结构宿舍楼的特点是终端用户众多，根据这一特性，宿舍楼分布了大量的二层交换设备。多层次的网络结构，不仅层次分明，还可以满足所有在校学生的联网需求。5.5无线区域拓扑结构无线区域是是一个覆盖全校的区域，拓扑结构如图5.5所示。图5.5无线区域拓扑结构无线网络架设的基础是有线网络成功的搭建，在每一栋已经铺设好有线网络的建筑内，根据空间面积，连接若干台无线交换机，保证在校园内有线网络没有触及的地方，无线信号能够覆盖。6网络安全与管理6.1网络安全问题校园网络的安全威胁主要来源于两大方面：一方面是来自于网内，另一方面是来自于外网[9]。来自网内的安全威胁主要是黑客恶意攻击和病毒攻击。据统计，威胁校园网络安全的攻击行为约60％来自于网络外部[10]，采取什么措施防范来自于外部的攻击，是校园网络安全防护需要着重关注的地方。主要的安全威胁有以下几种类型。1、冒充合法用户。指的是利用各种欺骗手段非法获取合法用户的权限，从而达到享用合法用户私有资源的目的。2、破坏数据完整性。主要是指使用非法手段删除、修改、重发一些敏感信息，干扰用户正常使用。3、非授权访问。此类攻击是针对网络设备或信息资源的非正常使用或者越权使用行为。如管理员安全配置不完善造成的安全漏洞，口令选择不慎，用户把自己的账号转借他人，用户安全意识不够强等。4、软件漏洞和“后门”。软件不可能确保完全没有安全漏洞和设计缺陷，这些漏洞和缺陷最容易受黑客利用。另外软件的“后门”都是软件编程人员为了管理方便而设置的[11]，一般不为外人所知，但是一旦“后门”被发现，网络信息将无安全可言。5、破坏系统的正常运行，破坏网络的可用性。指的是改变系统的正常运行方式，减缓系统响应时间的手段。这种行为会使合法用户无法正常访问网络资源，还能够使有严格响应时间要求的服务无法及时得到响应。6.2网络安全管理策略6.2.1访问控制1、允许从内网访问internet，端口全开放。2、禁止从公网到内部区的访问请求，端口全关闭。3、允许从内网访问DMZ（非军事）区，端口全开放。4、禁止从DMZ（非军事）区访问内网，端口全关闭。5、允许从DMZ（非军事）区访问internet，端口全开放6、允许从公网到DMZ（非军事）区的访问请求：WEB服务器只开放80端口，FTP服务器只开放20和21端口。6.2.2安全接入和配置安全接入和配置指的是在物理或逻辑端口接入到网络基础设施设备之前，需通过认证和授权限制，为网络基础设备提供了安全性。财务处的ACL配置见附录E。接入的安全设置方法如表6.1所示。表6.1安全接入和配置方法访问方式保证网络设备安全的方法备注Console控制接口的访问设置密码和超时限制建议超时限制设成5分钟设备配置级别的命令行配置Radius来记录logon/logout时间和操作活动；配置至少一个本地账户作应急之用telnet访问采用ACL限制，指定从特定的IP地址来进行telnet访问；；设置超时限制SSH访问激活SSH访问，从而允许操作员从网络的外部环境进行设备安全登陆WEB管理访问取消Web管理功能SNMP访问常规的SNMP访问是用ACL限制从特定的IP地址来进行SNMP访问；记录非授权的SNMP访问并禁止非授权的SNMP企图和攻击为增加安全，建议更改缺省的SNMPCommutiy子串设置不同账号通过设置不同的账号的访问权限，提高安全性6.2.3拒绝服务的防止防止拒绝服务攻击主要是防止Smurf攻击、TCPSYN泛滥攻击等。网络设备防TCPSYN的主要方法是配置网络设备的SYN临界值，若高于这个临界值，就丢弃多余的TCPSYN包[12]；防止Smurf攻击的方法主要是设置ICMP包临界值和配置网络设备不转发ICMPecho请求，从而避免成为Smurf攻击的转发者和受害者。结论大学校园网络搭建的成功与否，在很大程度上取决于当初规划方案（包括设备选用、拓扑结构、IP及路由规划等）的设计实施是否合理。本次的组网根据前期对校园网络需求的分析，采用典型的三层设计：核心层、汇聚层和接入层。在整体上配置OSPF动态路由协议，网络中心为作为骨干区域，包含网络中心和服务器群；其它如行政处、教学楼、寝室楼、实验楼、无线区都划分在其它常规区域，常规区域是与骨干区域直接相连的。设计出校园网拓扑图后，再确定Internet的接入方案及中心机房设计，图书馆及网络中心到各个楼宇的连接方式。此外还要对网络搭建中使用的网络设备诸如交换机、路由器的品牌和设备基本参数有一定的了解，选择性价比较高的产品。在核心路由器、多层交换机以及二层交换机上选用华为的产品，防火墙使用赛门铁克一款产品，服务器则选用戴尔的R510、R620和R710。服务器采用虚拟化及云计算技术，把WEB服务器和FTP服务器放置在由三台服务器组成的服务器集群里，把数据库单独放置在另一台物理服务器中。在设计和搭建的大学校园网络时，阅读了大量的书籍资料、翻阅了大量的资料，从目标确定到环境、应用、管理以及扩展性分析，从逻辑结构设计到到拓扑设计、硬件、软件的选用，从有线网络到无线网络，设计思路从茫然到清晰，设计方案从无到有的渐变。力求考虑周全，不让网络中出现重大设计缺陷。但因为知识和能力的限制，在网络安全配置、网络冗余性、核心路由配置、服务器配置方面有待改进。相信在以后不断的实践和学习过程中会努力的弥补和改善。参考文献[1]DianeTeare.CCNPROUTE(642-902)[M].Mechanicindustry：Press，2003[2]Richard.CCNPSWITCH(642-813)[M].Mechanicindustry：Press，2003.4.[3]鸟哥.鸟哥的Linux私房菜服务器架设篇[M].北京：人民邮电出版社，2012.6.[4]王利.数据库基础与应用[M].北京：中央广播电视大学出版社，1997.6.[5]萨师煊，王姗.数据库系统概述[M].北京：高等教育出版社，2000.11.[6]刘涛.小型网站建设技术[M].北京：中国铁道出版社，2006.11.[7]刘涛.小型网站建设技术[M].北京：中国铁道出版社，2006.11.[8]王利.数据库基础与应用[M].北京：中央广播电视大学出版社，1997.6.[9]沈大林.Access数据库管理与开发案例教程[M].北京：中国铁道出版，2007.9.[10]余波.动态WEB应用高级开发指南(第2版)[M].北京：人民邮电出版社，2000.5.[11]王淑江.ExchangeServer2010SP1/SP2管理实践[M].北京：人民邮电出版社，2013.1.[12]马博峰.VMware、Citrix和Microsoft虚拟化技术详解与应用实践[M].北京：机械工业出版社，2012.12.附录附录A核心多层交换机配置<NetEngine40E>sysSystemView:returntoUserViewwithCtrl+Z.[NetEngine40E]intvlan1[NetEngine40E-Vlan-interface1]ipaddress024[NetEngine40E-Vlan-interface1]quit[NetEngine40E]user[NetEngine40E]user-[NetEngine40E]user-interfacevty04[NetEngine40E-ui-vty0-4]auth[NetEngine40E-ui-vty0-4]authentication-modepassword[NetEngine40E-ui-vty0-4]setauthen[NetEngine40E-ui-vty0-4]setauthenticationpasswordsimplehuawei[NetEngine40E-ui-vty0-4]userpri[NetEngine40E-ui-vty0-4]userprivilegelevel3[NetEngine40E-ui-vty0-4]quit//为核心交换机设置telnet远程管理地址//[NetEngine40E]vlan6[NetEngine40E-vlan6]intvlan6[NetEngine40E-Vlan-interface6]ipaddress24[NetEngine40E-Vlan-interface6]quit[NetEngine40E]vlan7[NetEngine40E-vlan7]intvlan7[NetEngine40E-Vlan-interface7]ipaddress24[NetEngine40E-Vlan-interface7]quit[NetEngine40E]vlan8[NetEngine40E-vlan8]intvlan8[NetEngine40E-Vlan-interface8]ipaddress24[NetEngine40E-Vlan-interface8]quit[NetEngine40E]vlan9[NetEngine40E-vlan9]intvlan9[NetEngine40E-Vlan-interface9]ipaddress24[NetEngine40E-Vlan-interface9]quit[NetEngine40E]vlan10[NetEngine40E-vlan10]intvlan10[NetEngine40E-Vlan-interface10]ipaddress24[NetEngine40E-Vlan-interface10]quit[NetEngine40E]vlan11[NetEngine40E-vlan11]intvlan11[NetEngine40E-Vlan-interface11]ipaddress24[NetEngine40E-Vlan-interface11]quit//给每个vlan一个ip地址，同时也是每个vlan里计算机的网关地址//[NetEngine40E]vlan80[NetEngine40E-vlan80]porte1/0/12[NetEngine40E-vlan80]intvlan80[NetEngine40E-Vlan-interface80]ipaddress30[NetEngine40E-Vlan-interface80]quit//给路由器划分一个vlan并划分一个端口及分配vlan地址//[NetEngine40E]inte1/0/23[NetEngine40E-Ethernet1/0/23]portlink[NetEngine40E-Ethernet1/0/23]portlink-[NetEngine40E-Ethernet1/0/23]portlink-typetrunk[NetEngine40E-Ethernet1/0/23]porttrunkpermitvlanallPleasewaitDone.[NetEngine40E-Ethernet1/0/23]quit[NetEngine40E]inte1/0/24[NetEngine40E-Ethernet1/0/24]portlink[NetEngine40E-Ethernet1/0/24]portlink-[NetEngine40E-Ethernet1/0/24]portlink-typetrunk[NetEngine40E-Ethernet1/0/24]porttrunkpermitvlanallPleasewaitDone.[NetEngine40E-Ethernet1/0/24]quit//设置23号，24号端口为trunk口//[NetEngine40E]vlan88[NetEngine40E-vlan88]porte1/0/20toe1/0/22[NetEngine40E-vlan88]intvlan88[NetEngine40E-Vlan-interface88]ipaddress24[NetEngine40E-Vlan-interface88]quit//给服务器划分vlan，分配端口，并划分vlan地址//[NetEngine40E]iproute[NetEngine40E]iproute-static//缺省路由//

附录B网络中心路由器配置NetEngine40E#(config-if)#intg3/7NetEngine40E#(config-if)#ipadd652NetEngine40E#(config-if)#noshutNetEngine40E#(config-if)#exNetEngine40E#(config)#intg3/9NetEngine40E#(config-if)#noswNetEngine40E#(config-if)#noswitchportNetEngine40E#(config-if)#ipadd452NetEngine40E#(config-if)#noshutNetEngine40E#config-if)#exNetEngine40E#(config)#routerospf1NetEngine40E#(config-router)#netNetEngine40E#(config-router)#network6area0NetEngine40E#(config-router)#network3area0NetEngine40E#(config-router)#exNetEngine40E#(config)#end

附录C教学楼汇聚层交换机配置//三层交换机与核心交换机连接端口ipJX1-HJ_S5750#(config-if)#JX1-HJ_S5750#(config-if)#ipadd552JX1-HJ_S5750#config-if)#noshutJX1-HJ_S5750#(config-if)#ex//202机房vlan和网关配置JX1-HJ_S5750#(config)#vlan202（202机房vlan）JX1-HJ_S5750#(config-vlan)#exJX1-HJ_S5750#(config)#intvlan202%LINK-5-CHANGED:InterfaceVlan202,changedstatetoupJX1-HJ_S5750#(config-if)#ipadd292（202机房所有主机网关）JX1-HJ_S5750#(config-if)#noshut//205机房vlan和网关配置JX1-HJ_S5750#(config)#vlan205（205机房vlan）JX1-HJ_S5750#(config-vlan)#exJX1-HJ_S5750#(config)#intvlan205%LINK-5-CHANGED:InterfaceVlan205,changedstatetoupJX1-HJ_S5750#(config-if)#ipadd2692（205机房所有主机网关）JX1-HJ_S5750#(config-if)#noshut//206机房vlan和网关配置JX1-HJ_S5750#(config)#vlan206（206机房vlan）JX1-HJ_S5750#(config-vlan)#exJX1-HJ_S5750#(config)#intvlan206JX1-HJ_S5750#(config-if)#ipadd9092（206机房所有主机网关）JX1-HJ_S5750#(config-if)#noshut//210机房vlan和网关配置JX1-HJ_S5750#(config)#vlan210（210机房vlan）JX1-HJ_S5750#(config-vlan)#exJX1-HJ_