网络实习网络工程实习报告

PAGE3计算机工程学院网络工程实习报告设计题目：淮阴工学院局域网的规划与建设系别：计算机工程专业：软件工程班级：软件1082学生姓名:学号: 起止日期:2011年12月19日~2011年12月23日 指导教师：TOC\o"1-2"\h\u一，校园网络的总体规划 41.1建网背景 41.2建网目标 41.3建网需求 51.4设计原则 6二，需求分析 62.1目标需求 62.2功能需求 62.3应用需求 72.4业务需求 72.5外部需求 82.6用户需求调查(如下) 8三，总体设计 93.1系统拓扑结构 93.2IP规划与VLAN 103.3核心层设计及设备选型 113.4汇聚层设计 133.5接入层设计 133.6服务器选型 133.7系统安全体系设计 14四，校园网内部实习 17五.价格一览表 29总结 30参考文献: 31摘要： 在当今信息产业迅速发展的今天，信息已经成为一种关键性的战略资源，校园作为知识基地和人才基地，它理应成为代表信息产业应用最成功的典范。一所成功的学校不仅在学术上、教育上要力争上游，更应在管理上上一个台阶。利用各种成熟的技术带动学校各单位、各部门的电脑化管理，通过校园信息网，将各处的电脑联成一个数据网，实现各类数据的统一性和规范性；教职员工和学生可共享各种信息，极易进行各种信息的教流、经验的分享、讨论、消息的发布、工作流的自动实现和协同工作等，从而有效地提高学校的现代化管理水平和教学质量，增强学生学习的积极性、主动性，为信息时代培育出高素质的人才。在校园内组建计算机网络，在服务教学、科研的同时，也可以大大提高管理水平和效率。虽然在组建时需要花费一些费用，但与节省的费用相比，依然可以接受。随着计算机技术、网络技术的发展，网络设备的价格不断下降；同时国家各级政府对于教育的投入不断增加，大量计算机进入了校园，组建校园网不仅是十分迫切的工作，可行性也非常高。随着宽带城域网的建设，校园网的业务也进一步向公众网扩展，其中远程教育就成为一项极富发展潜力的城域网宽带业务。关键字：局域网，传递存储，路由器，网络一，校园网络的总体规划1.1建网背景1、当前校园网信息系统,已经发展到了与校际互联、国际互联、静态资源共享、动态信息发布、远程教学和协作工作的阶段,同时也对学校教育现代化的建设提出了越来越高的要求。

2、教育信息量的不断增多,使各级各类学校、家庭和教育管理部门对教育信息计算机管理和教育信息服务要求越来越强烈。

3、我国各级教育研究部门、软件开发单位、教学设备供应商和各级学校不断开发了在网络上运行的软件及多媒体系统,并且越来越形象化、实用化,迫切需要网络环境。

4、现代教育改革的需要。在校园网中将计算机引入教学各个环节,引起了教学方法,教学手段,教学工具的重大革新,对提高教学质量,推动我国教育现代化的发展起着不可估量的作用。1.2建网目标校园网的总体设计,首先要进行对象的研究和需求的调查,弄清学校的性质、任务和改革发展的特点,对学校的信息化环境进行准确的描述,明确系统建设的需求和条件;其次,在应用需求分析的基础上,确定Intranet服务类型,进而确定系统建设的具体目标,包括网络设施、站点设置、开发应用和管理等方面的目标;第三,是确定网络拓朴结构和功能,根据应用需求、学校建设目标和学校主要建筑分布特点,进行系统分析和设计;第四,确定技术设计的原则要求,如在技术选型、布线设计、设备选择、软件配置等方面的标准和要求;第五,规划安排校园网建设的实施步骤。校园网总体设计方案是否科学,主要从以下性能指标来考虑:

1、整体规划合理。要从学校建设的全局和全面工作的需要出发,考虑部门的地理分布和通信条件。整体规划网络建设方案,应对网络系统的目标、总体结构、服务功能、经费预算、建设步骤等重大问题作出规定。

2、先进性、开放性和标准化相结合。应采用符合国际工业标准的、比较成熟的技术,兼顾网络技术的发展方向,选择结构化、可扩充、多用途的网络产品,保证网络在较长时间内不落后。

3、结构合理。在通信网络、资源配置、系统服务和网络管理上有良好的分层设计,使网络结构清晰,便于使用、管理和维护。

4、高效实用。着眼于教学、科研和管理的实际需要,用有限的资金优先解决工作急需的问题。

5、支持宽带多媒体业务。如远程教学、多媒体网络教室等。

6、为学术交流提供良好的环境。应与CERNET、CHINANET等进行高速互连,能快速访问Internet,与国内外同行交流信息,也能展示学校的形象。1.3建网需求高校校园宽带网用户集中且网络流量大，关注网络的可运营和可管理特性，校园网建网需求如下：(1)教学区、宿舍区用户对校园网、教育网、INTERNET的访问有相应的路由策略和相应的计费策略。(2)校园网存在多个出口需求，校园网至少要提供中国教育科研网（CERNET）和INTERNET两个出口。(3)校园网安全性要求较高，要求设备能够实现用户识别和动态绑定功能如通过“IP+MAC+端口”三元组的动态绑定来识别用户。(4)校园网WEB页面可实现以下功能：用户Web自助服务功能，用户可通过Web自助服务页面，进行个人资料的查询、密码修改、上网明细查询、缴费记录查询以及在线预注册和在线帐号充值。(5)校园网要求实现多种支持普通包月、包月限时长、包月限流量、计天、计时长和计量等多种计费策略。支持用户卡和充值卡，冲值卡配合用户卡以及提供的公用服务功能可以实现用户的完全自助管理。(6)校园网要求实现组播业务。(7)校园网要求在学校规模不断扩大中，用户数在持续增加，要求网络具有很好的扩展性，能够根据需要逐步平滑升级到万兆的骨干连接。(8)采用流行的、支持设备面广、有良好图形界面的网管平台。网管系统能够管理到网络中的每一个智能设备及有关设备的每一个端口，即能够远程对设备进行设置、调试、网络流量监测和必要的重置。能对网络故障能及时发现并报警。1.4设计原则校园网连接了包括教学楼、办公楼、实验楼、图书馆、学生宿舍楼及教职工生活区等大量的信息点，并涉及学校管理、教育科研、电子教学、远程教育和互联网的引入以及对外技术交流与合作服务等大量的业务，这就要求校园网必须是一个实用的、高可靠、高效率、高扩展性及高安全性系统。为使校园网络系统具有良好的扩展性和灵活的接入能力，并易于管理，易于维护，在网络设计及构建中始终应遵循统一标准、统一平台及网络分层的原则，如统一采用IP技术，统一规划IP地址及各种应用，采用开放的技术及国际标准，如路由协议、安全标准、接入标准和网络管理平台等，才能保证实现网络的统一，并确保网络的可扩展性。为了减少网络中各部分的相关性，便于网络的实施及管理，在网络的构建中，从整体上可以将网络划分为核心层、汇聚层和接入层等3个层次。各层之间功能明确，各司其责。应能满足校园网系统的要求，布线系统应能保证满足网络通信的各项指标要求。实用性和先进性。灵活性和适应性。可靠性与安全性。经济性。可维护性和可管理性可扩充性和兼容性二，需求分析2.1目标需求学校：优化管理体制，实现资源合理配置，节约不必要开支，投入教学、科研及校园设施；加速科研成果转化，开展对外合作、交流；承办各种技能培训、考核，扩大知名度；开办远程教育；加强师生素质培养；教师：获取信息；提高业务水平及自身素质；进行科研及项目开发；对外学术交流；加强与学生的交流；便利的校园生活服务；学生：获取信息，拓宽知识面；提高专业水平，随时得到教师指导；广泛的交流；学习与实践相结合；丰富多彩的校园生活及发挥才能的机会；便利的校园生活服务；2.2功能需求建立校园网络，连接每间教室、办公室，实现资源共享；建立VOD（视频点播）、COD（课件点播）系统，实现40个教学班能随时进行多媒体教学；建立视频广播系统，实现校园闭路电视系统的功能；发挥计算机在教学中的作用，实现多媒体课件制作网络化，逐步实现教师备课电子化、多媒体化。建立网络化、自动办公系统，实现教育教学管理自动化；建立通信系统，利用电子邮件、BBS等实现现代化通信；建立网络安全系统，实现不同身份登陆获得不同访问权限。2.3应用需求作为校园网，需要连接多少个节点，怎样使用各种网络设备使分布在不同地理位置的节点连接到一个统一的网络中，怎样使整个网络上的节点相互连通，这些问题仅仅是校园网需要解决问题中的一部分，更重要的问题如何将这些资源有序地组织起来，需要实现什么功能，以满足现在和未来在教学、科研、管理、交流等方面的需求。形成在校园内部、校园与外部进行信息沟通的体系，建立满足教学、科研和管理需求的计算机环境，为学校各种人员提供充分的网络信息服务，在网络环境中进行教学、研究、收集信息等工作。校园需要的基本功能有：计算机教学，包括多媒体教学和远程教学；网络下载、网络聊天等；电子邮件系统：主要进行与同行交往、开展技术合作、学术交流等活动；文件传输FTP：主要利用FTP服务获取重要的科技资料和技术文挡；INTERNET服务：学校可以建立自己的主页，利用外部网页进行学校宣传，提供各类咨询信息等，利用内部网页进行管理，例如发布通知、收集学生意见等。图书馆的访问系统，用于计算机查询、计算机检索、计算机阅读等；2.4业务需求数据处理、通讯能力处理强,响应速度快;网络运行安全、可靠性高;系统易扩充,易管理,便于用户的增加;主干网支持多媒体、群体、图象接口应用,支持高性能数据库软件包的持续增长;系统开放性、互连性好;局域网既能方便远程用户的拨号接入,又能满足特殊用户高效地连入广域网,使用灵活;具有很强的分布式数据处理能力2.5外部需求外部需求应包括以下几个：Internet、远程访问、电子邮件、以多媒体方式介绍学校、讨论和交流、信息发布。各项均可通过相应的网络信息平台实现。学校的网络化建设必然会对学校的信息化建设起到巨大的推动作用，同时提供简单、有效、便捷的理想办公、教学环境。2.6用户需求调查(如下)表1：用户需求调查表地址建筑物可靠性/可用性网络需求安全性可扩展性楼层数信息点数主要应用办公楼1栋2层/栋全日制不停机工作下载>400KB/s上传>100KB/s高良好2120OA办公、课件制作、资源共享、Internet服务等实验楼1栋3层/栋白天工作状态良好,网络正常运行下载>300kB/s上传>100KB/S中等好370微机网络教室、课件制作、编程学习、应用软件学习、Internet服务、生物化验等教学楼1栋4层/栋白天工作状态良好，网络运行正常下载>300KB/s上传>100KB/s一般好4100Internet服务、多媒体教学、语音教学等教师公寓1栋4层/栋全日制不停机工作下载>400KB/s上传>100KB/s一般良好470课件制作、资源共享、OA办公、Internet服务等学生公寓1~33栋6层/栋白天工作状态良好,网络正常运行下载>200KB/s上传>50KB/s一般良好18130资源共享、编程学习、应用软件学习、Internet服务、等学生公寓4~52栋6层/栋白天工作状态良好,网络正常运行下载>200KB/s上传>50KB/s一般良好12450资源共享、编程学习、应用软件学习、Internet服务、等三，总体设计校园网不只是涉及技术方面，而是包括网络设施、应用平台、信息资源、专业应用、人员素质等众多成份的综合化以及信息化教学环境系统。因此，在总体上如何筹划、组织网络建设和开发应用的设计思想是校园网建设中的最重要的问题。

总体设计是校园网建设的总体思路和工程蓝图，是搞好校园网建设的核心任务。进行校园网总体设计，首先，进行对象研究和需求调查，弄清学校的性质、任务和改革发展的特点，对学校的信息化环境进行准确的描述，明确系统建设的需求和条件；其次，在应用需求分析的基础上，确定学校Intranet服务类型，进而确定系统建设的具体目标，包括网络设施、站点设置、开发应用和管理等方面的目标；第三，确定网络拓朴结构和功能，根据应用需求、建设目标和学校主要建筑分布特点，进行系统分析和设计；第四，确定技术设计的原则要求，如在技术选型、布线设计、设备选择、软件配置等方面的标准和要求；第五，规划安排校园网建设的实施步骤。3.1系统拓扑结构工学院校园网拓扑图3.2IP规划与VLAN淮阴工学院网络IP地址分配总则IP地址规划根据所分配的公网IP地址和内部私网IP地址分配，地址可分为三大块，一块是Cernet分配多个C类公网IP地址，作为和国际互联网互连的地址，域名就解析在这片地址上，主要供网络中心和图书馆电脑部、部分实验室专用；校园网的普通用户,使用内部地址192.168.xxx.xxx，，不能和国际互联网直接发生联系，不能避开代理和计费系统；学校同时还可以申请一块ChinaNet的公网IP地址，作为接入电信公网和部分关键的服务器出口备份,关键服务器拥有两个公网IP，分别跨接在Cernet和ChinaNet上。VLAN的划分当前交换技术的迅速发展，也加快了虚拟子网技术(VLAN—VirtualLocalAreaNetwork)的应用速度，特别是在当前校园网上的应用更广泛。通过将校园网络划分为虚拟子网（VLAN），可以强化网络管理和网络安全，控制不必要的数据广播。数据广播在网络中起着非常重要的作用，随着校园网内的计算机数量的增加，VOD视频点播在课堂教学上的大量应用，广播包的数量也会急剧增加，当广播包的数量占到总量的30%时，网络的传输效率将会明显下降。特别是当某网络设备出现故障后，会不停地向网络发送广播，从而导致网络风暴，使网络通信陷于瘫痪。当校园网络内计算机数超过200台后，就必须采取措施将网络分隔开来，将一个大的广播域划分成若干个小的广播域。分隔广播域的方式有两种，一是物理分隔，即将一个完整网络物理地一分为二或一分为多，然后通过一个能够隔离广播的网络设备将彼此连接起来。二是逻辑分隔，即将一个大的网络划分为若干个小的虚拟子网，也就是VLAN，各虚拟子网间通过路由设备连接实现通讯。学校内部对于灵活、动态地组建VLAN网段的要求也越来越多，客观上要求VLAN本身的结构可以实现动态组建、调整和管理。为了有效地提高网络管理的灵活性，提高网络效率和网络安全性，充分合理地进行VLAN划分，是必需的。该方案的VLAN划分如下：表2：VLAN划分表VLAN号VLAN名称IP网段默认网关说明VLAN1-192．168．0．0/24192．168．0．254管理VLANVLAN10JWC192．168．1．0/24192．168．1．254教务处VLANVLAN20XSSS192．168．2．0/24192．168．2．254男生公寓VLANVLAN30CWC192．168．3．0/24192．168．3．254财务处VLANVLAN50JZX192．168．5．0/24192．168．5．254医务室VLANVLAN60GLX192．168．6．0/24192．168．6．254女生公寓VLANVLAN70JSJX192．168．7．0/24192．168．7．254教学楼VLANVLAN100WQQ192．168．100．0/24192．168．100．254图书馆VLAN3.3核心层设计及设备选型校园网是各种应用的统一通信平台，平均无故障时间以及故障恢复时间要保持在一个可容忍的许可范围之内。在这种前提下，主干设备应有一定的冗余度，这种冗余度不单只是设备级的，也应该考虑物理线路，数据链路层、网络层以及应用层的容错能力。主干网以校园网络中心的主机房为中心节点向外辐射，通过各部门（院、系、所）所在的建筑楼节点构成主干网。校园网物理结构分为三层：核心层、汇聚层、接入层。主干网中心节点配置核心路由交换机，该交换机上配置第三层交换模块和网络监控模块，以实现网络动态管理和虚拟局域网。校园网的信息资源分中心，可采用三层交换机与校园网中心的核心路由交换机连接，以实现主干通道信息传输的负载均衡。教学楼、科学楼、公寓等楼宇采用高性能汇聚层交换机，以保证建筑楼信息点对交换机端口密度的要求和网络性能与可靠性的要求。主干网核心层交换机和汇聚层交换机采用1000Mbps（单模1000BASE-LX、多模1000BASE-SX）连接，服务器采用1000Mbps(1000BASE-TX)连接。1．主干交换机主干交换机是指连接服务器及楼与楼之间、层与层之间的数据交换设备。本校园网工程将分为三期，根据工程三个阶段中网络点成批增加其间伴随着的使用需求增长，对主干交换机基本设备的选型及其阶段性的扩展需求进行总体的合理规划。采用交换机而不使用共享式集线器到桌面是由于学校实际使用情况是主要表现在集中突发性，即学生同时使用同一软件的情况比较多，如果使用共享到桌面，网络就会产生拥阻而影响速度，因此在校园网中应使用百兆交换到桌面。在十兆与百兆交换机中应选择百兆交换，因为10兆虽然在目前校园网络使用中刚刚能达到要求，但是已经不适应功能越来越强的计算机与新的应用软件的发展，更不适应更快的计算机通讯产品的要求，将成为它们之间最大的瓶颈。因此采用锐捷STAR-S3550-12G全千兆智能多层交换机作为校园网工作组级接入交换机，直接连接学生站点。通过Intel先进的、独特的堆叠背板技术（SST）将第一期的600个站点分成若干个网段，即3-6个510T交换机堆叠在一起的独立组群，这样就在每个交换组中最多144个站点提供高达15Gb的带宽，因此形成的交换网络就能够满足不断增长的流量需求。另外还通过虚网技术，使每个教室或每个年级之间的互访得到有效的管理和控制，提高网络的安全性。以合理价格实现工作组与终端设备的100Mbps连接的可扩展交换器，锐捷是将专用快速以太网式的性能扩展到整个网络的理想选择，它可使用户的终端设备服务器及其它网络设施享受这种高性能的解决方案。这种高性能的解决方案可随网络的成长而自由地扩展。2．服务器服务器是网络服务器用量最大的地方。服务器的选择标准很大程度上取决于中心客户的类型和应用种类。就学校情况而言，Web应用和数据库应用仍然占整个数据中心的各类应用的主要部分。因此对服务器的网络响应能力在很大程度上体现了服务器的硬件体系结构设计的合理性、CPU或CPU组（SMP）对操作系统的进程或线程的分配能力以及磁盘I/O的性能。以及可行性与稳定性，同时散热、功耗和易安装性也是重点考察和评价的对象。基于以上考虑，所选的服务器必须具有高可靠性，I/O吞吐能力强，数据处理快，可扩展性和可管理性良好的特点3．路由器在此方案中，考虑Internet出口路由器的配置——一台联想天工R1760路由器。它是学校的校园网对外的出口，也可以作为保护校园网的第一道防火墙。因为使用联想router在Internet上配置安全的VPN隧道极为简单，联想天工Router对通道传输提供强大的加密功能，确保您的私人通讯数据通过公用网域时的安全。但根据客户和局域网配置的具体不同情况，也应该采取适当的步骤来确保来自Internet的局域安全。这至少要包括配置通过协议过滤器的访问控制目录。[6]采用DDN线路与Internet连接，以64KB~2MB带宽支持校园的应用，而且性能非常稳定。联想Router有2个能与专用数字线路或FrameRelay及X.25网络相连的WAN接口。3.4汇聚层设计采用千兆以太网技术，实现核心层与汇聚层的互连。核心网络以星型结构连接各汇聚层节点。根据信息点分布情况，选用千兆可堆叠交换机作为用户的链路汇聚。汇聚层交换机支持灵活的组网能力、强大的网络适应能力丰富的QoS策略。灵活的组网能力:支持多种规格千兆接口模块供选择；并可提供堆叠接口模块，可以和系列交换机堆叠，能够提供更灵活的组网模式。强大的网络适应能力:支持丰富的二层、三层协议：支持OSPF，RIPI/II，等路由协议，支持802.1q，GVRP等二层协议；提供RSTP，PIM协议，支持802.1x用户认证功能，可胜任各种复杂网络的组网需求。可控组播技术使得网络的组播源和组播用户可控，能够对组播业务进行可靠的管理。丰富的QoS策略:支持对不同优先级业务进行调度及良好的网络拥塞控制策略，支持基于L2/3/4的流分类，丰富的Qos策略是构建高质量网络的基础。[7]3.5接入层设计接入层选用可堆叠交换机作为用户的接入。采用10/100/1000M以太网交换机系列，该系列交换机使用可堆叠式机型。接入交换机要求支持全线速的二层交换；完备的安全智能控制策略：支持802.1x认证，，还可以通过灵活的MAC、IP、VLAN、PORT任意组合绑定，有效的防止非法用户访问网络。支持多种ACL访问控制策略，能够对用户访问网络资源的权限进行设置，保证网络的受控访问。高可靠性：支持STP/RSTP生成树协议。丰富的QOS策略：支持基于源MAC地址、目的MAC地址、源IP地址、目的IP地址、端口、协议的L2~L7复杂流分类，支持带宽控制功能。好的扩展性：提供良好的堆叠功能，同时支持不同设备的混合堆叠，从而保证了网络的平滑升级和降低了扩建成本。[8]3.6服务器选型在该方案中，校园网服务器选用清华同方的超强系列服务器产品。Web服务器选型分析根据校园网服务器的应用特点，Web服务器选型应该按照如下原则：要求反应时间短，能快速响应和处理用户的访问需求。具有强大的信息吞吐能力、多Web站点和内容缓存、能在一定投资下提供更多的访问服务和提高用户满意度。易于发布和实现信息共享。易于建立和运行Web应用，简化业务进程。具有可靠的品质，保证Web服务不间断。易于设置和管理，使网络管理变得更容易。易于扩展，满足业务的扩大需求，保护用户投资。基于以上需求，推荐选用清华同方超强2250L服务器。视频点播服务器选型分析在一些校园网系统集成软件里面带有视频点播的功能，这部分功能通常由一台综合性校园网服务器来完成。而要实现比较大型的视频点播的功能，则需要单独的一台VOD服务器、单独的视频点播软件来完成，并考虑外加扩展柜的方式，确保在高清晰度视频图像的情况下能支持更多的并发流量，以便在高峰点播时间不会出现系统瓶颈。因此对视频点播服务器的选型和对服务器的磁盘子系统、内存子系统、网络子系统、处理子系统都有不凡的要求。对于200个左右视频并发用户，推荐采用清华同方超强2250L服务器来承担视频点播服务；对于100个左右视频并发用户，推荐采用清华同方超强1580L服务器来承担视频点播服务。清华同方超强1580L服务器是一款采用英特尔Xeon处理器的塔式服务器，是定位于工作组级的服务器，它具备部门级服务器的稳定可靠的特性。在视频点播系统中服务器支持的并发用户的数量基本上确定了服务器的档次，而具体需要点播的内容的容量则要考虑服务器的扩展能力。清华同方超强1580L服务器适合于在100个左右的并发用户数量，采用外加扩展柜的方式可以支持到800GB以上；对于再大容量的要求，为了提高对磁盘数据的管理，推荐使用清华同方超强2250L服务器且同样外加扩展柜的方式。3．其他服务器在大型校园网中，还有E-mail、BBS、资源库、远程教育、电子预览等应用，清华同方超强1580L服务器可以满足上述应用要求。此外学校图书馆的图书管理系统一般就建立在图书馆的内部，通常与校园网机房中心是分开的。图书馆的图书管理系统一般采用服务器双机的方式，以保证系统在工作时间不停机，确保操作中的图书借还信息的不丢失；同时还要采用RAID方式保证数据的安全。在图书馆的应用当中，推荐采用超强TR200服务器作为图书管理系统的硬件平台。3.7系统安全体系设计校园网信息系统是校园网的数字神经中枢，合理的使用不仅能促进各院校的现代化教学改革、提高教学质量、改善教学环境，同时通过各院校之间的互联互通，将会极大的提高教育行业整体的工作效率和教育质量。校园网总体上分为校园内网和校园外网。校园内网主要包括教学局域网、图书馆局域网、办公自动化局域网等。校园外网主要指学校提供对外服务的服务器群、与CERNET的接入以及远程移动办公用户的接入等。教学局域网是教学人员利用计算机开展教学和学生通过计算机来学习的网络平台；图书馆局域网实现了图书馆的网络化管理以及图书的网上检索或浏览；办公自动化局域网是教职员工自动化办公的平台，可以在此平台上开展公文管理、会议管理、档案管理以及个人办公管理等。实现包括教学管理、科研管理、学员管理、资产管理、人事管理、党务管理、财务管理、后勤管理等应用，形成院校的综合管理信息系统；

校园外网的服务器群构成了校园网的服务系统，一般包括DNS、WEB、FTP、PROXY以及MAIL服务等。外部网实现了校园网与CERNET及INTERNET的基础接入，使院校教职工和学生能使用电子邮件和浏览器等应用方式，在教学、科研和管理工作中利用国内和国际网进行信息交流和共享。校园网内的用户数量较大，局域网络数目较多，认真分析可以总结出校园网面临着如下的安全威胁：各种操作系统以及应用系统自身的漏洞带来的安全威胁；Internet网络用户对校园网存在非法访问或恶意入侵的威胁；来自校园网内外的各种病毒的威胁，外部用户可能通过邮件以及文件传输等将病毒带入校园内网。内部教职工以及学生可能由于使用盗版介质将病毒带入校园内内部用户对Internet的非法访问威胁，如浏览黄色、暴力、反动等网站，以及由于下载文件可能将木马、蠕虫、病毒等程序带入校园内网；内外网恶意用户可能利用利用一些工具对网络及服务器发起DOS/DDOS攻击，导致网络及服务不可用；校园网内的学生群体是主要的QQ用户，目前针对QQ的黑客程序随处可见；可能会因为校园网内管理人员以及全体师生的安全意识不强、管理制度不健全，带来校园网的威胁；基于上面的问题，我们将从物理、系统、网络、应用及管理五个层次分析和设计适合于校园网的安全建议方案。1．物理层安全物理层的安全主要包括环境、设备及线路的安全。系统中心或机房的建设应遵照：GB50173-93《电子计算机机房设计规范》、GB2887-89《计算机站场地安全要求》及GB2887-89《计算机站场地技术条件》的要求。在设备集中的管理间安装干扰器防止由于设备辐射造成的信息泄漏。同时，要注意保护线路的安全，防止用户的搭线窃听行为。2．系统安全系统层主要解决的是由于各种操作系统、数据库、及相关产品的安全漏洞和病毒造成的威胁。解决的技术手段主要有以下几种：加固手段对主机加固，如升级、打补丁、关闭不需要的端口等；访问控制手段加强对主机的访问控制；3．网络层安全校园网中局域网数目较多，根据需要多个网络可能要互相联接。正是这种多网的互联，使我们对网络层的安全要极度重视。定义一个网络或各网络内不同安全等级的部分为不同的安全域。安全域之间的连接处叫网络边界。下面主要讨论以下几方面的网络层安全防护：[10]1)划分安全子网。如果同一局域网内有不同等级的安全域，可以通过划分子网及VLAN的方法加以访问控制。如在教学局域网中学生机房和多媒体机房之间可以通过划分子网来控制，不允许学生机房的机器访问多媒体机房的机器。2)加强网络边界的访问控制。安全等级差别较大的边界需要采用防火墙来控制。如校园内网、校园外网和Internet之间，利用防火墙进行访问控制和内容过滤。可有效地解决需求中提到的多种威胁。3)防止内外的攻击威胁。在每个安全域内或多个安全域之间安装入侵检测系统（IDS）,可有效地防止来自网络内外的攻击。4．应用层安全应用层的安全措施主要有以下几点：各应用系统自身的加固；建立身份认证系统；建立安全审计系统；建立备份系统；5．管理层安全实现管理层的安全主要注意以下几点：建立安全管理平台。主要是指将各种安全系统或设备集中控管、综合分析。2）建立、健全安全管理体制。校园网用户较多，一定要建立一套合理可行的安全管理制度。只有制度和设备的完美结合才能真正提高校园网的安全水平。四，校园网内部实习交换机配置switch(Config-Vlan10)#switchportinterface?ethernet--ethernetinterfaceport-channel--Port-Channel<WORD>--Interfacelist(inputinterfaceand/ortheinterfacerangesdividedbysemicolon(;).suchase0/0/1;e0/0/3;e0/0/5-8)<1-100>characterswitch(Config-Vlan10)#switchportinterfacee0/0/6-12SettheportEthernet0/0/6accessvlan10successfullySettheportEthernet0/0/7accessvlan10successfullySettheportEthernet0/0/8accessvlan10successfullySettheportEthernet0/0/9accessvlan10successfullySettheportEthernet0/0/10accessvlan10successfullySettheportEthernet0/0/11accessvlan10successfullySettheportEthernet0/0/12accessvlan10successfullyswitch(Config-Vlan10)#exitswitch(Config)#vlan20switch(Config-Vlan20)#switchportinterfacee0/0/13-24SettheportEthernet0/0/13accessvlan20successfullySettheportEthernet0/0/14accessvlan20successfullySettheportEthernet0/0/15accessvlan20successfullySettheportEthernet0/0/16accessvlan20successfullySettheportEthernet0/0/17accessvlan20successfullySettheportEthernet0/0/18accessvlan20successfullySettheportEthernet0/0/19accessvlan20successfullySettheportEthernet0/0/20accessvlan20successfullySettheportEthernet0/0/21accessvlan20successfullySettheportEthernet0/0/22accessvlan20successfullySettheportEthernet0/0/23accessvlan20successfullySettheportEthernet0/0/24accessvlan20successfullyswitch(Config-Vlan20)#exitswitch(Config)#vlan1switch(Config-Vlan1)#switchportinterfacee0/0/1-5SettheportEthernet0/0/1accessvlan1successfullySettheportEthernet0/0/2accessvlan1successfullySettheportEthernet0/0/3accessvlan1successfullySettheportEthernet0/0/4accessvlan1successfullySettheportEthernet0/0/5accessvlan1successfullyswitch(Config-Vlan1)#ipaddress>Unrecognizedcommandorillegalparameter!switch(Config-Vlan1)#interfacevlan1switch(Config-If-Vlan1)#ipaddressswitch(Config-If-Vlan1)#exitswitch(Config)#vlan10switch(Config-Vlan10)#interfacevlan1002:10:45:%LINK-5-CHANGED:InterfaceVlan10,changedstatetoUPswitch(Config-If-Vlan10)#ipaddressswitch(Config-If-Vlan10)#exitswitch(Config)#vlan20switch(Config-Vlan20)#interfacevlan2002:11:34:%LINK-5-CHANGED:InterfaceVlan20,changedstatetoUPswitch(Config-If-Vlan20)#ipaddressswitch(Config-If-Vlan20)#exitswitch(Config)#showrunning>Unrecognizedcommandorillegalparameter!switch(Config)#exitswitch#showrunningCurrentconfiguration:!hostnameswitch!!Vlan1vlan1!Vlan10vlan10!Vlan20vlan20!!InterfaceEthernet0/0/1!InterfaceEthernet0/0/2!InterfaceEthernet0/0/3!InterfaceEthernet0/0/4!InterfaceEthernet0/0/5!InterfaceEthernet0/0/6switchportaccessvlan10!InterfaceEthernet0/0/7switchportaccessvlan10!InterfaceEthernet0/0/8switchportaccessvlan10!InterfaceEthernet0/0/9switchportaccessvlan10!InterfaceEthernet0/0/10switchportaccessvlan10!InterfaceEthernet0/0/11switchportaccessvlan10!InterfaceEthernet0/0/12switchportaccessvlan10!InterfaceEthernet0/0/13switchportaccessvlan20!InterfaceEthernet0/0/14switchportaccessvlan20!InterfaceEthernet0/0/15switchportaccessvlan20!InterfaceEthernet0/0/16switchportaccessvlan20!InterfaceEthernet0/0/17switchportaccessvlan20!InterfaceEthernet0/0/18switchportaccessvlan20!InterfaceEthernet0/0/19switchportaccessvlan20!InterfaceEthernet0/0/20switchportaccessvlan20!InterfaceEthernet0/0/21switchportaccessvlan20!InterfaceEthernet0/0/22switchportaccessvlan20!InterfaceEthernet0/0/23switchportaccessvlan20!InterfaceEthernet0/0/24switchportaccessvlan20!InterfaceEthernet0/1/1!!interfaceVlan1interfacevlan1ipaddress!!interfaceVlan10interfacevlan10ipaddress!!interfaceVlan20interfacevlan20ipaddress!!switch#switch>switch>switch>switch>switch>switch>switch>switch>switch>switch>switch>switch>enableswitch#router?>unrecognizedcommandswitch#configswitch(Config)#?aaa--ConfigureAAA(Authentication,Authorizationandpre-Accounting)aaa-accounting--Configureaccountingaccess-group--Applyaccess-listtointerfaceblockaccess-list--Addanaccesslistentryam--accessmanagementauthentication--Authenticationconfigurationcommandsbroadcast-suppression--broadcast-suppressionbt-guard--BT-Guardclass-map--ConfigureQoSClassMapcluster--Clusterconfigurationcommandsdir--showremoteserverfileinformationdot1x--Configure802.1Xenable--Modifyenablepasswordparametersexec--SetidletimeoutinPrivilegedmodeexit--Exitconfigmodefirewall--Configurefirewallstatusftp-server--FTPServerconfiggarp--setGARPparametergvrp--EnableGVRPhelp--helphostname--Modifyhostnameinterface--Selectaninterfacetoconfigureip--Globalipconfigurationsubcommandsisolate-port--Setisolate-portlogging--Loggingloghost--Setloghost'sIPaddressmac-access-list--GlobalMACconfigurationsubcommands_Namedaccess-listmac-address-table--MACaddresstablesettingmac-ip-access-list--GlobalMAC-IPconfigurationsubcommands_Namedaccess-listmls--ConfigureMultiLayerSwitchingcharacteristicsmonitor--ConfigureSPANmonitoringno--NegateaCommandorSetitsdefaulpolicy-map--ConfigureQoSPolicyMapport-group--Port-groupconfigurationpriority-queue--Configurepriorityschedulingradius-server--ConfigureRADIUSrmon--configrmonroute-map--Createroute-maporenterroute-mapcommandmoderouter--Enablearoutingprocessservice--Modifyuseofnetworkbasedservicessnmp-server--snmpagentserversntp--SimpleNetworkTimeprotocolspanning-tree--globalMSTPconfigssh-server--EnableSSHServicessh-user--Setssh-serveruserandpasswordstacking--Configstackingtelnet-server--Modifytelnetserverparameterstelnet-user--Settelnetuserandpasswordtftp-server--TFTPServerconfigtime-range--configureatimerangevlan--VlanCommandsweb-user--Setwebuserandpasswordwrr-queue--Configureweightedqueuesswitch(Config)#router?bgp--BorderGatewayProtocolid--Setuproutingprotocol'srouteridospf--Enable/disableOSPFprotocolrip--RoutingInformationProtocolswitch(Config)#routerripswitch(Config-Router-Rip)#version2switch(Config-Router-Rip)#exitswitch(Config)#show?>unrecognizedcommandswitch(Config)#exitswitch#show?aaa--AAAaccess-group--Specifiedaccesscontrolforpacketsaccess-lists--Displayaccess-liststructurearp--ARPtablechannel--Logouputchannelclass-map--DisplayQoSClassMapclock--Displaythesystemclockcluster--Displayclusterinformationcpu--CPUstatusandconfigurationdebugging--debugswitchdot1x--dot1xfirewall--Displayfirewallstatusflash--Flashfilesinformationftp--Ftpserverinfomationgarp--Displaythegarpinformationgvrp--Displaythegvrpinformationhardware-filter-table--ShowQoShardware-filter-tableinformationhistory--Displaythesessioncommandhistoryinterface--interfaceip--IPprotocolipmc-table--HardwareIPMULTICASTForwardingtablel3-table--HardwareIPForwardingtablelogging--Loggingmac-address-table--Macaddresstablecommandsmemory--memorystatisticsmls--DisplayMultiLayerSwitchinginformationmls-qos--DisplayMultiLayerSwitchinginformationmonitor--DisplayaSPANsessionpolicy-map--ShowQoSPolicyMapport-group--Port-groupconfigurationport-security--Securityrelatedcommandradius--AAArom--Romfilesinformationroute-map--Showroute-mapinformationrunning-config--Currentoperatingconfigurationsnmp--Displayinformationofsnmpssh-server--showsshserviceinfomationssh-user--sshuserstacking--Showstackinginformationstandby--HotStandbyRouterProtocol(HSRP)informationstartup-config--Showstart-upconfiginformationswitchport--switchportinformationtcp--tcptech-support--Tech-supportinformationtelnet--telnetinformationtftp--Tftpserverinfomationudp--udpversion--Systemhardwareandsoftwarestatusvlan--VLANinformationswitch#showip?bgp--BGPProtocolcache--Cacheinformationcommunity-list--Listcommunity-listdhcp--ShowitemsintheDHCPdatabasedvmrp--DVMRPprotocolInformationforward-protocol--ControlforwardingofphysicalanddirectedIPbroadcasthelper-address--SpecifyadestinationaddressforUDPbroadcastsigmp--showigmpmroute--IPmulticastroutingtableospf--OSPFprotocolInformationpim--PIMprotocolInformationprotocols--Routeprotocolsrip--Ripprotocolroute--Routeinformationtraffic--Statisticinformation<CR>switch#showiprouteTotalrouteitemsis1,thematchedrouteitemsis1Codes:C-connected,S-static,R-RIPderived,O-OSPFderivedA-OSPFASE,B-BGPderived,D-DVMRPderivedDestinationMaskNexthopInterfacePreferenceCVlan10switch#02:49:50:%LINEPROTO-5-UPDOWN:LineprotocolonInterfaceEthernet0/0/10,changedstatetoUP%LINEPROTO-5-UPDOWN:LineprotocolonInterfaceVlan10,changedstatetoUPPressENTERtogetstartedswitch>switch>switch>switch>switch>ean>Unrecognizedcommandorillegalparameter!switch>switch>switch>switch>eanble>Unrecognizedcommandorillegalparameter!switch>switch>switch>switch>enaswitch#switch#switch#showiproutTotalrouteitemsis2,thematchedrouteitemsis2Codes:C-connected,S-static,R-RIPderived,O-OSPFderivedA-OSPFASE,B-BGPderived,D-DVMRPderivedDestinationMaskNexthopInterfacePreferenceCVlan100CVlan10switch#switch#switch#switch#switch#switch#switch#PressENTERtogetstartedswitch>switch>switch>switch>switch>switch>ean>Unrecognizedcommandorillegalparameter!switch>switch>switch>switch>switch>enaswitch#switch#switch#switch#showrunCurrentconfiguration:!hostnameswitch!!routerriprouterrip!!Vlan1vlan1!Vlan10vlan10!Vlan20vlan20!!InterfaceEthernet0/0/1!InterfaceEthernet0/0/2!InterfaceEthernet0/0/3!InterfaceEthernet0/0/4!InterfaceEthernet0/0/5!InterfaceEthernet0/0/6switchportaccessvlan10!InterfaceEthernet0/0/7switchportaccessvlan10!InterfaceEthernet0/0/8switchportaccessvlan10!InterfaceEthernet0/0/9switchportaccessvlan10!InterfaceEthernet0/0/10switchportaccessvlan10!InterfaceEthernet0/0/11switchportaccessvlan10!InterfaceEthernet0/0/12switchportaccessvlan10!InterfaceEthernet0/0/13switchportaccessvlan20!Interface