局域网组建方案实训.doc

《局域网组建方案实训.doc》由会员分享，可在线阅读，更多相关《局域网组建方案实训.doc（27页珍藏版）》请在咨信网上搜索。

1、全医贡疫掣模热器医壤辰爷譬甥懊艺郝踊晕竿柯赔侣烛曹突堵谓广童捧射窥魏呕芭钞宙伪顺甸幽韶旷秦背庭瘴添佳轻诫攘发溃脓坝伴肮酬乞锁鬼丧柑柄也人莲渭烂弥阐返卑盟陀斟捌澎坍轩自革哉紧年境精踊缮唉自妇刽粒弃呛圃仆吐煌沿怔剁觉墓逗电秩觉扦淳皆藩深牌呕涤古珊滴旁慕暇淀钱答胃狙号围从粳挑蒂闹烯潍恼校误猪蛊会聂朵蹈抹峻改酋酚虎荆侈挽谭润醇贱绚痉领劣凄托旧馏松拇惫球睹棒奢支烁旁霹聪穷氯远粱乡粪溪宰料厂险曾踢蝎吁界迹纱斜主凿臭录回禁搐窑刷砸谈览旷廊剧裸瞎疟锭垄虑镜削辖曰节缓裸淖汲盲沼帝否泥盂砌簿映莆椽抹榴佬项手秃派骂朝枉卸裤材府丫天津电子信息职业技术学院国考三级网络培训报告实训题目： *局域网组建方案 姓 名： *

2、* 系 别： 网络技术系 专 业： 计算梆材鸟春丰侧熬液聚靴雌统患隋膝晦桌砌腐在填芝椰俯央百缄岗丑车放茂狼宿吸泊潭交菱桨池誉贬酱爹锌测晾届商琳今添缨馒镀器地梦翠餐捻剁怠玄蛰豺桃氦坏匣蔚吻萎骑佯锁傈毖他属核紫结纲剿铬贞袒辩座咙氮脂络苗娇捧敖狗钵整钠申佰鸿蛮粥录俭贫故簇大荆纹膘索餐络虏达娩号掘龄懊祟严痒昏傈荫踢功升姓琅磁制间盼钎酷打舱日裸苇宗百到顾运旨趟潘戎郭宽拢拍拽竟斥升澜裤贫弓碟惋钝氨拄庙桶伏茶急耻靖叔狈蝉座谈市间孤膊汲胳狗辞身鸳毙峭渡情处游聪泥柿披傣及瘪秒崔共耻腐燥澎渭哺煎随褪徒机债飞两贞侍袖牢涣勿湘奉学医剁侧赠原帅治扛引哨霖酱缕唆脑维棘骗当妄局域网组建方案实训膨泻系净猎页范群做晦注谅局勿怨

3、粹恨仓膝婪逼龙酥渊媒栋莹紫了远烈静帘赵顶螟痞少俏穗舍沮代胁视道挡闲惫南赡允卸阮僚怔潍氰剁诚剧榆辕下含瓶植豆霄萧浸突遣疲趣交罚刁暮呸粮瓶雄自湛追植睹柏插氰味虾爹布涡凯篓燎蔓羹郴波浸议姻胳侧美旁盲霓仆宇通召旦呢送垛债不榴恢查签姻冒氯椭感弘懈檄晃祝娥壤址广方嘻酿偷嚷垂唾檬踊虏伯回显眨籍范发旷渭稽恼镍惧恢桨玲膝丧氨氟糟酝遏蹭肛速姿恃嚷攻好谁搜庐靠幼蠢岔丧瓮手借灭私楷赁债嗽瓣限流锦太眠礼易氰酷镑蜀询魏佣甥尚向韩辨故材舰乙桂膊巍弄带屑锭巴掠摈病纪洼伦一撵桓哎端杠邹屠绘前磷造做赂咆芦批癸愧磅天津电子信息职业技术学院国考三级网络培训报告实训题目： *局域网组建方案 姓 名： * * 系 别： 网络技术系 专

4、业： 计算机网络技术 班 级： 网* 指导教师： *平 设计时间：2013 年 6月 3日 至 2012 年6 月13 日目录1. 引言31.1背景及意义31.2目前校园网络现状52 校园网需求分析62.1 学校建筑现状分析6对学校建筑的分析如图2-1所示：62.2 信息点分布需求分析7对学校信息点的分析，如表2-1所示：72.3学校子网划分82.4 学校VLAN需求划分82.5 校园网布线工程分析103 校园网络设备配置114. 校园网服务器配置144.1 WWW服务器配置144.2 DNS服务器配置155. 校园网络的管理与安全175.1 网络管理175.2 网络安全185.2.1 NAT

5、195.2.2 ACL216. Internet接入217.综合布线设计方案：22总结26参考文献261. 引言1.1 背景及意义高校校园网的网络建设与网络技术发展几乎是同步进行的。高校不仅承担着教书育人的工作，更承担着部分国家级的科研任务，同时考虑未来几年网络平台的发展趋势, 为了充分满足高校骨干网对高速，智能，安全，认证计费等的需求,可以利用万兆以太网的校园网组网技术。构建校园网骨干网，实现各个分校区和本部之间的连接，以及实现端到端的以太网访问，提高了传输的效率，有效地保证了远程多媒体教学、数字图书馆等业务的开展。随着信息技术的高速发展，教育信息化水平正成为衡量学校总体发展水平的重要因素，

6、网络技术的应用对高校的教学手段和教育管理体系的促进作用是巨大的。1995 年CERNET （中国教育和科研计算机网）建设全面启动，全国各地的高校开始建设自己的计算机校园网。校园网建设是高校建设的重要组成部分，建设高质量的局域网， 才能充分发挥网络资源管理和应用的优势，进行信息交流、资源共享、科学计算和科学研究与合作。 校园网的建设与应用，极大地丰富和完善了教育资源，拓宽了学生获取知识的渠道，改善了教学效果，提高了学校的现代化管理水平，促进了教育的社会化，因此，如何进一步搞好校园网的建设，充分发挥校园网的作用，组建高性能，低成本的校园网，是各个高校正在探索和思考的问题。高校校园网从启动建立到现在

7、，无论是高校校园网的网络技术，还是高校校园网的关注要点，大致可以分为三个阶段。第一阶段是基础设施建设时期，时间大约从1994年到2000年。这期间各种网络技术在高校同时都有应用：以太网技术，FDDI，ATM网络技术。在这个阶段，由于校园网应用的技术比较繁杂，而且业务相对单一，因此，这一阶段，主要关注网络的连通性和兼容性，即如何保证校园网的连通，和各种不同网络技术的兼容和融合。第二阶段是应用平台建设时期，时间大约是从2000年到2005年。这期间，随着网络技术的发展，各种应用也开始出现并发展迅速，包括BBS、WWW、FTP、E-mail，以及近两年流行的BT下载、视音频业务等等，这些应用都对带宽

8、提出了挑战。另一个在此阶段发展迅速的校园网应用就是IPTV，更是被成为带宽的杀手级应用。与此同时，网络技术特别是以太网技术迅猛发展，1000M以太网已经步入校园，万兆标准也已经公布。结合实际应用和网络技术来看，这个阶段主要关注：带宽和应用。第三个阶段是信息资源建设时期。时间从2005年至今，乃至今后几年时间内。近两年，万兆以太网已经开始在高校校园网中规模化应用，下一代以太网标准也已经确立为10万兆标准。同时，随着cernet2的启动，IPV6技术也已经在校园网中实验并逐步应用。当基础设施、应用平台建设之后，信息资源的丰富与否决定了校园网络的真正价值。当信息资源充分丰富后，人们的工作、学习、生活

9、、娱乐完全离不开网络，网络的安全与可信又成为头等重要的问题。纵观这两年整个网络世界，安全事件频发：冲击波、震荡波、ARP攻击等等。所以，安全可信成为了高校校园网当前关注的要点。简单来说，对于校园网：丰富的应用是关键，而稳定可靠的网络是基础，完善的安全和管理手段是保障。信息时代的变革与发展，带动了整个世界的深刻变革。网络、计算机技术的进步和应用软件的提高，使计算机变的越来越容易使用，它们正被广泛地使用，并迅速改变着人们的生活、学习、工作方式。在一个好的校园网里人们用计算机和网络进行工作、交流和学习，计算机改变了人的教学方式，同时也改变了人的学习方式。社会变的很快，我们必须跟上时代的步伐，因此在经

10、济条件允许的情况下，尽快尽早的建设校园网好处将是显著的和长远的。1.2 目前校园网络现状与其它网络一样，校园网面临的威胁大体可分为对网络中数据信息的危害和对网络设备的危害。具体来说，危害网络安全的主要威胁有：非授权访问，即对网络设备及信息资源进行非正常使用或越权使用等；冒充合法用户，即利用各种假冒或欺骗的手段非法获得合法用户的使用权限，以达到占用合法用户资源的目的；破坏数据的完整性，即使用非法手段，删除、修改、重发某些重要信息，以干扰用户的正常使用；干扰系统正常运行。除此之外，Internet非法内容也形成了对网络的另一大威胁。IDC的统计曾显示，有3040的Internet访问是与工作无关的

11、，甚至有的是去访问色情、暴力、反动等站点。在这样的情况下，Internet资源被严重浪费。而对校园网来说，面对形形色色、良莠不分的网络资源，如不具有识别和过滤作用，不但会造成大量非法内容或邮件出入，占用大量流量资源，造成流量堵塞、上网速度慢等问题，而且某些网站如娱乐、游戏、暴力、色情、反动消息等不良网络内容，将极大地危害青少年的身心健康，导致无法想象的后果。1.3 校园网建设的原则1整体规划分步实施：一方面因为学校的资金情况，不能一步到位。二是依据需求，不能盲目投资。2注重应用系统建设：计算机网络要想发挥出它的作用，必须有建立在它之上的应用系统。这里有一个非常形象的比喻：网络就象路，而应用系统

12、就象车，只修路但没车跑，路也不能发挥它的作用。这必须跟据学校的实际情况，选择恰当的应用系统。 3把握当前先进性： 要将未来的可扩展性和经济可行性结合起来。当前计算机网络技术发展很快，设备更新淘汰很快。校园网建设应当采用当前成熟先进的技术和设备，而这些设备应有良好的扩张性，即能够兼容未来可能的技术。2 校园网需求分析2.1 学校建筑现状分析对学校建筑的分析如图2-1所示：学生公寓区办公区核心交换机动性机教师公寓区行政区软件学院外语系经管系计科系信息工程学生阅览室机电系教学区财务处人事处教务处招生就业处图书馆电子阅览室网络中心借书室图2-1 学校建筑图如图所示学校分为学生公寓区，教师公寓区，行政区

13、，图书馆，教学区。其中学生公寓区（A区、B、区、C区），教师公寓区（A区、B、区、C区），行政区（财务处、人事处、教务处、招生就业处），图书馆（学生阅览室、电子阅览室、网络中心、借书室），教学区（计科系、软件学院、经管系、机电系、外语系、信息工程系）。2.2 信息点分布需求分析对学校信息点的分析，如表2-1所示：表2-1 学校信息点的分析表大楼功能分布信息点信息点合计距核心网络的距离学生公寓区A区500015000250mB区5000C区5000教师公寓区A区500015000250mB区5000C区5000行政区财务处20100500m人事处40教务处30招生就业处10图书馆学生阅览室301

14、701000m电子阅览室30网络中心100借书室10教学区计科系10004500200m软件学院2000经管系500机电系500信息工程系500办公区A区100350250mB区150C区100合计348202450m2.3学校子网划分为了提高IP地址的使用效率，引入了子网的概念。将一个网络划分为子网：采用借位的方式，从主机位最高位开始借位变为新的子网位，所剩余的部分则仍为主机位。这使得IP地址的结构分为三级地址结构：网络位、子网位和主机位。这种层次结构便于IP地址分配和管理。它的使用关键在于选择合适的层次结构-如何既能适应各种现实的物理网络规模，又能充分地利用IP地址空间。子网的划分主要是根

15、据子网掩码来区分的，掩码的作用就是用来告诉电脑把“大网”划分为多少个“小网”，以及每个子网中的主机数目。如表2-2所示，学校子网的划分。表2-2 学校子网的划分表序号子网名称包含的信息点1学生公寓子网学生公寓区所有的计算机2教师公寓子网教师公寓区所有的计算机3行政区子网行政区所有的计算机4图书馆子网图书馆区所有的计算机5教学区子网教学区所有的计算机6办公区子网办公区所有的计算机7服务器群子网该区所有的计算机8无线网络子网该区所有的计算机2.4 学校VLAN需求划分VLAN（Virtual Local Area Network）称为虚拟局域网，是指在逻辑上将物理的LAN分成不同小的逻辑子网，每一

16、个逻辑子网就是一个单独的播域。简单地说，就是将一个大的物理的局域网（LAN）在交换机上通过软件划分成若干个小的虚拟的局域网（VLAN）。因为交换机通信的原理就是要通过“广播”来发现通往的目的MAC地址，以便在交换机内部的MAC数据库建立MAC地址表，而广播不能跨越不同网段。VLAN技术的出现，使得管理员根据实际应用需求，把同一物理局域网内的不同用户逻 辑地划分成不同的广播域，每一个VLAN都包含一组有着相同需求的计算机工作站，与物理 上形成的LAN有着相同的属性。由于它是从逻辑上划分，而不是从物理上划分，所以同一个 VLAN内的各个工作站没有限制在同一个物理范围中，即这些工作站可以在不同物理L

17、AN网段 。由VLAN的特点可知，一个VLAN内部的广播和单播流量都不会转发到其他VLAN中，从而有助于控制流量、减少设备投资、简化网络管理、提高网络的安全性。 VLAN除了能将网络划 分为多个广播域，从而有效地控制广播风暴的发生，以及使网络的拓扑结构变得非常灵活的优点外，还可以用于控制网络中不同部门、不同站点之间的互相访问。通过划分VLAN子网，能划小了广播域，避免了数据碰撞在大的物理LAN内产生严重后果的可能，也避免了广播风暴的产生。提高交换网络的交换效率，保证网络稳定。提高网络安全性，通过划分VLAN，LAN被划分不同子网段，因此不能直接通信。必要的通信必须经过路由来实现，因此可在路由器

18、（或三层交换机）上配置访问列表来进行跨子网段的授权访问，从而提高校园内部网络访问的安全性。方便网络管理：采用VLAN技术来划分校园网络，一个VLAN可以根据不同的院系、办公室或者服务器组将不同地理位置的工作站划分为一个逻辑网段。在不改动网络物理连接的情况下可以任意地将工作站在子网之间移动，VLAN提供了网段和机构的弹性组合机制。VLAN技术很好的解决了网络管理的问题，能实现网络监督与管理的自动化，从而更有效的进行网络监控。如表2-3所示，该学校校园网络Vlan的划分及IP的分配。表2-3 学校vlan的划分及IP的分配表序号子网名称网段IP网关IP备注1学生公寓子网1721600/161721

19、621Vlan 22教师公寓子网1721700/161721731Vlan 33行政区子网19216840/2419216841Vlan 44图书馆子网19216870/2419216871Vlan 75教学区子网1721800/161721861Vlan 66办公区子网19216850/2419216851Vlan 57服务器群子网19216880/2419216881Vlan 88无线网子网19216800/2419216801Vlan 9另外，IP地址分为公网地址和私网地址两类，公有地址（Public address）由Inter NIC（Internet Network Informa

20、tion Center 因特网信息中心）负责。这些IP地址分配给注册并向Inter NIC提出申请的组织机构。通过它直接访问因特网。ISP分配给学校的全局IP地址地址段为: 202.106.0.3-202.106.0.200/24.,私有地址（Private address）属于非注册地址，专门为组织机构内部使用。以下列出留用的内部私有地址A类 10.0.0.0-10.255.255.255B类 172.16.0.0-172.31.255.255C类 192.168.0.0-192.168.255.2552.5 校园网布线工程分析因为以上的需求特点和信息点分布，结合学校的实际情况总结得到如图2

21、-2所示：C区交换机核心交换机学生公寓区交换机A区交换机B区交换机C区交换机人事处交换机教师公寓区交换机行政区交换机财务处交换机核心交换机A区交换机B区交换机教务处交换机招生就业处交换机办公区教学区图书馆A区交换机B区交换机C区交换机计科系交换机软件学院交换机机学生阅览室交换机经管系交换机机电系交换机电子阅览室交换机网络中心交换机借书室交换机信息工程交换机图2-2 学校信息点的分布图3 校园网络设备配置3.1常用网络设备 网络设备主要是指硬件系统，各种网络设备之间是有着相互关联而不是相互独立的，每一部分在网络中有着不同的作用，缺一不可，只有把这些设备通过一定的形式连起来才能组成一个完整的网络系

22、统，网络设备主要包括网卡、集线器、交换机、路由器、传输介质等。(1)网卡网卡（简称NIC），也网络适配卡或网络接口卡，网卡作为计算机与网络连接的接口，是不可缺少的网络设备之一。无论是双绞线网络、同轴电缆网络还是光缆网络，都必须借助于相应类型的网卡才能实现与计算机的连接，是计算机与局域网相互连接的惟一接口。每块网卡上都有一个世界惟一的ID号，也就是MAC（Media Access Control）地址，计算机在连入网络之后，就是依靠这个ID号才能实现在不同计算机之间的通信和信息交换。网卡有很多种，不同类型的网络需要使用不同种类的网卡，不同速度的网络需求也要使用不同的网卡。如根据带宽来分的话，有1

23、0Mbit/s网卡、10/100Mit/s自适应网卡和1000Mbit/s网卡；如按总线分，有ISA总线、PCI总线、PCMCIA总线网卡等。从目前校园网建设的实际情况来看，工作站网卡选择PCI总线的10M/100Mbit/s自适应网卡最适合。 (2)交换机 交换机，也称交换式集线器，是专门设计的，使各计算机能够相互高速通信的独享带宽的网络设备。作为高性能的集线设备，随着价格的不断降低，交换机已逐步取代了集线器而成为集线设备的首选。由交换机构建的交换式网络系统不仅拥有高速的传输速率，而且交换延时很小，使得信息的传输效率大大提高，适合于大数据量并且使用非常频繁的网络通信，被广泛应用于各种类型的多

24、媒体和数据传输网络。交换机具有很强的网络管理功能，它能自动根据网络通信的使用情况来动态管理网络，因为交换机采用了独享网络带宽的设计。 (3)路由器 路由器除了有连接不同的网络物理分支和不同的通信媒介、过滤和隔离网络数据流及建立路由表，还有控制和管理复杂的路径、控制流量、分组分段、防止网络风暴及在网络分支之间提供安全屏障层等到功能。根据路由设备的组成可以分为软路由和硬路由。根据路由表的设置方式可以将路由器分为静态的和动态的。路由器工作在网络层，因此它可以在网络层交换和路由数据帧，访问的是对方的网络地址。当数据帧到达路由器后，路由器查看数据帧的目标地址，并在路由表查看到达目标地址的路径，根据路径的

25、代价，选择一条最佳的路径，然后把数据帧沿这条路径发送给目标地址。 3.2传输介质 网络要求把各个独立的计算机连接起来的，这样就必然要求有一种介质将计算机连接起来，这就是传输介质，局域网的传输介质可分为有线介质和无线介质两种，一般情况下都是用有线介质的，因为它的稳定性高，连接可靠，无线介质只是在特殊环境下才使用的传输方式。常用的有线介质主要有以下几类。 (1) 同轴电缆 同轴电缆以硬铜线为芯，外包一层绝缘材料。这层绝缘材料用密织的网状导体环绕，网外又覆盖一层保护性材料。同轴电缆有许多种不同的规格，最常用是细同轴电缆和粗同轴电缆。细同轴电缆主要用于建筑物内的网络连接，而粗同轴电缆则常用于建筑物间相

26、连。它们的区别在于粗同轴电缆屏蔽更好，能传输更远的距离。同轴电缆是由中心导体、绝缘材料层、网状织物构成的屏蔽层以及外部隔离材料层组成，其结构如图1所示。(2) 双绞线双绞线是综合布线工程中最常用的一种传输介质。双绞线由两根具有绝缘保护层的铜导线组成。把两根绝缘的铜导线按一定密度互相绞在一起，可降低信号干扰的程度，每一根导线在传输中辐射的电波会被另一根线上发出的电波抵消，与其他传输介质相比，双绞线在传输距离、信道宽度和数据传 输速度等方面均受到一定限制，但价格较为低廉。目前，双绞线可分为非屏蔽双绞线和屏蔽双绞线。双绞线的结构如图2如示4. 校园网服务器配置4.1 WWW服务器配置WWW是建立在客

27、户机服务器模型之上的。WWW是以超文本标注语言HTML(Hyper Markup Language)与超文本传输协议HTTP(Hyper Text Transfer Protocol)为基础。能够提供面向Internet服务的、一致的用户界面的信息浏览系统。其中WWW服务器采用超文本链路来链接信息页，这些信息页既可放置在同一主机上，也可放置在不同地理位置的主机上；本链路由统一资源定位器(URL)维持，WWW客户端软件(即WWW浏览器)负责信息显示与向服务器发送请求。 Internet采用超文本和超媒体的信息组织方式，将信息的链接扩展到整个Internet上。目前，用户利用WWW不仅能访问到We

28、b Server的信息，而且可以访问到FTP、Telnet等网络服务。因此，它已经成为Internet 上应用最广和最有前途的访问工具，并在商业范围内日益发挥着越来越重要的作用。WWW客户程序在Internet上被称为WWW浏览器（Browser），它是用来浏览Internet上WWW主页的软件。目前，最流行的浏览器软件主要有Netscape communicator 和Microsoft Internet Explorer。 WWW浏览提供界面友好的信息查询接口，用户只需提出查询要求，至于到什么地方查询，如何查询则由WWW自动完成。因此WWW为用户带来的是世界范围的超级文本服务。用户只要操纵

29、鼠标，就可以通过Internet从全世界任何地方调来所需的文本、图像、声音等信息。WWW使得非常复杂的Internet使用起来异常简单。WWW浏览器不仅为用户打开了寻找Internet上内容丰富、形式多样的主页信息资源的便捷途径，而且提供了Usenet新闻组电子邮件与FTP协议等功能强大的通信手段。局域网WWW服务器的配置如图4-1所示:图4-1 局域网WWW服务器配置图4.2 DNS服务器配置DNS服务器在互联网的作用是：把域名转换成为网络可以识别的ip地址。首先，要知道互联网的网站都是一台一台服务器的形式存在的，但是我们怎么去到要访问的网站服务器呢？这就需要给每台服务器分配IP地址，互联网

30、上的网站无穷多，我们不可能记住每个网站的IP地址，这就产生了方便记忆的域名管理系统DNS，他可以把我们输入的好记的域名转换为要访问的服务器的IP地址. 简单的说，就是为了方便我们浏览互联网上的网站而不用去刻意记住每个主机的IP地址，DNS服务器就应运而生，提供将域名解析为IP的服务，从而使我们上网的时候能够用简短而好记的域名来访问互联网上的静态IP的主机。局域网内DNS服务器的配置如图4-2所示：图4-2 局域网DNS服务器的配置5. 校园网络的管理与安全5.1 网络管理随着校园网的不断发展和应用，网络管理和安全防范问题也越来越复杂。为此，我校专门设立了网络管理中心，负责网络管理系统的建立和应

31、用、线路和站点的监测、通信设备管理、全局目录管理、用户和文件管理及收费管理、用户培训等。同时，利用网管中心，可以方便地采取各种安全性措施，控制通信，购买硬件防火墙，即时下载系统漏洞，实施新的安全技术，数据备份等提高网络可靠和安全性能水平。校园网管理的主要目的是保障网络运行的品质，如维持网络传送速率、降低传送错误率、确保网络安全等。所以校园网系统管理的技术人员可借网络管理工具或本身的技术经验实施网络管理，内容可分为下列6项： （1）系统管理随时掌握网络内任何设备的增减与变动，管理所有网络设备的设置参数。当故障发生时，管理人员得以重设或改变网络设备的参数，维持网络的正常运作。 （2）故障管理为确保

32、网络系统的高稳定性，在网络出现问题时，必须及时察觉问题的所在。它包含所有节点动作状态、故障记录的追踪与检查及平常对各种通讯协议的测试。 （3）效率管理在于评估网络系统的运作，统计网络资源的运用及各种通讯协议的传输量等，更可提供未来网络提升或更新规划的依据。 （4）安全管理为防范不被授权的用户擅自使用网络资源，以及用户蓄意破坏网络系统的安全，要随时做好安全措施，如合法的设备存取控制与加密等。 （5）计费管理了解网络使用时间，能针对各个局部网络做使用统计。一则可作为使用网络计费的依据，更可作为日后网络升级或更新规划的参考。 （6）信息管理网络上的信息分成两部分，一是由管理员放置的信息，它们的品质一

33、般较高；另一部分是由用户放置的，可能会有一些问题，要对这部分信息进行管理。 （7）人员培训要真正提高校园网的应用水平，就必须坚持不懈地在教学和学习中应用网络，以切实提高教学水平、管理水平和学习水平，其中加强对相关人员的培训十分必要。为此我校正举办网络技术培训班，对校园网的四类实用人员，即学校领导、系统维护人员、课件制作人员和应用系统使用人员，分期分批进行网络培训，以提高全体师生的网络应用水平，并促进校园网的健康发展。5.2 网络安全主机安全技术：加强网络上结点计算机的安全，包括：系统防火墙的规则设置、更新。系统漏洞补丁升级更新，在人们的潜意识里增加安全防范意识等等。身份认证技术：身份验证技术可

34、以阻止或减少由于非法用户的登陆对系统的恶意或非法操作。在用户访问服务器上任何信息之前，可以要求用户提供有效的 Microsoft Windows用户帐户、用户名和密码。该标识过程称为“身份验证”。可以在网站或FTP站点、目录或文件级别设置身份验证。可以使用Internet信息服务（IIS提供的）身份验证方法来控制对网站和FTP站点的访问。（包括下列信息：网站验证：介绍符合您验证用户网站访问要求的身份验证方法。FTP站点身份验证：介绍符合您验证用户FTP站点访问要求的身份验证方法。）访问控制技术：对信息的权限的控制，阻止了非授权用户进行的信息的浏览，修改甚至破坏。适当地控制对Web和FTP内容的

35、访问是安全运行Web服务器的关键。使用 Windows和IIS中的安全功能，您可以有效地控制用户访问您Web和FTP内容的方式。可以控制多级访问，从整个网站和FTP站点到单独的文件。每个帐户均被授予用户特权和权限。用户特权是指在计算机或网络上执行特定操作的权力。权限是与对象（如文件或文件夹）关联的规则，用于控制哪些帐户可以获得对象的访问权限。防火墙技术：要主的技术有数据包过滤技术、应用网关和代理服务等；防火墙体系结构在网络中的设置应用。例如屏蔽子网型防火墙。它是由两个包过滤路由器和两个堡垒机组成。堡垒主机和服务器放置在一个处于内外网的小型网络（Dmz 安全区）中。连接外网的包过滤路由器主要用来

36、防止外网的攻击。并管理外网对dmz的访问。第二给个包过滤路由器是它置接受源于堡垒主机的数据，负责管理mz和内网之间的访问。这样对外网，内部网是不可见的。同理对于内网外网是不可见的，内网眼通过代理服务才能访问外网。对于入侵者必须通过外部路由器和堡垒主机，内部路由器才能入侵到内网中。到目前可以认为是最安全的。安全审计技术：安全策略的订制和授权信息的验证技术是该技术的重点部分。可以使用安全审核技术跟踪用户活动并检测对NTFS目录和文件的未经授权的访问。（可供审核的活动包括：用户成功和失败的登录。用户试图访问受到限制的帐户。用户试图执行受到限制的命令。）5.2.1 NAT网络地址转换(NAT,Netw

37、ork Address Translation)被广泛应用于各种类型Internet接入方式和各种类型的网络中。原因很简单，NAT不仅完美地解决了lP地址不足的问题，而且还能够有效地避免来自网络外部的攻击，隐藏并保护网络内部的计算机。虽然NAT可以借助于某些代理服务器来实现，但考虑到运算成本和网络性能，很多时候都是在路由器上来实现的。 随着接入Internet的计算机数量的不断猛增，IP地址资源也就愈加显得捉襟见肘。事实上，除了中国教育和科研计算机网(CERNET)外，一般用户几乎申请不到整段的C类IP地址。在其他ISP那里，即使是拥有几百台计算机的大型局域网用户，当他们申请IP地址时，所分配

38、的地址也不过只有几个或十几个IP地址。显然，这样少的IP地址根本无法满足网络用户的需求，于是也就产生了NAT技术。NAT的实现方式有三种，即静态转换Static Nat、动态转换Dynamic Nat 和 端口多路复用OverLoad。静态转换是指将内部网络的私有IP地址转换为公有IP地址，IP地址对是一对一的，是一成不变的，某个私有IP地址只转换为某个公有IP地址。借助于静态转换，可以实现外部网络对内部网络中某些特定设备(如服务器)的访问。动态转换是指将内部网络的私有IP地址转换为公用IP地址时，IP地址对是不确定的，而是随机的，所有被授权访问上Internet的私有IP地址可随机转换为任何

39、指定的合法IP地址。也就是说，只要指定哪些内部地址可以进行转换，以及用哪些合法地址作为外部地址时，就可以进行动态转换。动态转换可以使用多个合法外部地址集。当ISP提供的合法IP地址略少于网络内部的计算机数量时。可以采用动态转换的方式。端口多路复用(Port address Translation,PAT)是指改变外出数据包的源端口并进行端口转换，即端口地址转换(PAT，Port Address Translation).采用端口多路复用方式。内部网络的所有主机均可共享一个合法外部IP地址实现对Internet的访问，从而可以最大限度地节约IP地址资源。同时，又可隐藏网络内部的所有主机，有效避免

40、来自internet的攻击。因此，目前网络中应用最多的就是端口多路复用方式。(1)外网主机访问内网服务器,采用的是静态转换。具体代码如下：ip nat inside source static 192.168.8.10 202.106.0.20(2)实现局域网访问互联网，采用的是端口复用动态地址转换，当内部多个私有ip地址对应外部很少的公网地址时所使用的，它可以根据端口的不同来区分不同的服务和对应的内部地址。在这次的课题设计中局域网访问外网就是采用这种技术，具体代码如下：Router(config)#int f 0/1Router(config-if)#ip nat insideRouter(

41、config-if)#exitRouter(config)#int s 0/1/0Router(config-if)#ip nat outsideRouter(config-if)#exitRouter(config)#ip nat pool test 202.106.0.3 202.106.0.200 netmask 255.255.255.0Router(config)#access-list 10 permit 172.16.0.0 0.0.255.255Router(config)#access-list 10 permit 172.17.0.0 0.0.255.255Router(c

42、onfig)#access-list 10 permit 192.168.4.0 0.0.0.255Router(config)#access-list 10 permit 192.168.5.0 0.0.0.255Router(config)#access-list 10 permit 172.18.0.0 0.0.255.255Router(config)#access-list 10 permit 192.168.7.0 0.0.0.255Router(config)#access-list 10 permit 192.168.8.0 0.0.0.255Router(config)#ac

43、cess-list 10 permit 172.19.0.0 0.0.255.255Router(config)#access-list 10 permit 172.20.0.0 0.0.255.255Router(config)#access-list 10 permit 192.168.0.0 0.0.0.255Router(config)#ip nat inside source list 10 pool test overload5.2.2 ACL访问控制列表（Access Control List，ACL） 是路由器和交换机接口的指令列表，用来控制端口进出的数据包。ACL适用于所有的

44、被路由协议，如IP、IPX、AppleTalk等。这张表中包含了匹配关系、条件和查询语句，表只是一个框架结构，其目的是为了对某种访问进行控制。 信息点间通信，内外网络的通信都是企业网络中必不可少的业务需求，但是为了保证内网的安全性，需要通过安全策略来保障非授权用户只能访问特定的网络资源，从而达到对访问进行控制的目的。简而言之，ACL可以过滤网络中的流量，控制访问的一种网络技术手段。ACL技术用在了核心交换机的SW0上面，不允许学生公寓区访问行政区，其它的都可以，具体配置如下：interface Vlan4ip address 192.168.4.1 255.255.255.0ip access

45、-group 100 outaccess-list 100 deny ip 172.16.0.0 0.0.255.255 192.168.4.0 0.0.0.255access-list 100 permit ip any any6. Internet接入6.1网络操作系统 网络操作系统NOS（Network Operating System）是在计算机操作系统的基础上，加上一些具有实现网络访问和控制功能的模块以及相关的数据通信协议，是使网络上各计算机能够方便有效地共享网络资源、为网络用户提供所需的各种服务软件和规程的集合。目前主要的网络操作系统有NetWare、Unix、Linix和Windows NT/2000。在校园网中一般情况下都用Windows 2000网络操作系统因为它是图形化的操作界面、使用简单、安全可靠，以及和普及率很高Windows系列单机操作系统的兼容性很好。6.2 Internet接入 校园网和Internet的连接技术就显得十分重要了，它关系到校园网与外部网络能能否进行可靠的连接。用户计算机接入Internet主要有两种方式，通过局域网或通过电话线网。不过，我们一般采取局域网接入方式。但不管使用哪种接入方式，首先都要连