基于校园网络的优化设计毕业设计

校园网在学校中扮演的角色越来越重要，校园网络的安全性就是一个非常重要的环节。本文对校园网络现状的分析和安全需求的分析，找到校园网络中存在的安全问题。利用IP的合理分配提高网络的合理性，通过VLAN的划分各个小的教学和办公的局域网实现区域间的独立性，通过NAT技术实现对外网的访问，用ACl技术、防火墙技术和入侵检测技术来保证校园网的安全可靠性。通过各个技术的整合来创造一个更好的校园网络环境，促进学校的发展。

关键词：局域网交换技术TCP/IP 网络安全

Campus network in the school plays an increasingly important role, the security of campus network is a very important part. This paper analyzes the current situation and security needs of the campus network analysis, to find security problems exist in the campus network. Use a reasonable allocation of IP network to improve the rationality and achieve independence by dividing the region between each VLAN teaching and small office LAN, access to external network through NAT technology, using ACl technology, firewall technology and intrusion detection technology ensure the safety and reliability of the campus network. To create a better environment through the integration of the various campus network technology, promoting the development of the school.

Keywords: LAN;exchange technology;TCP/IP;network security

摘要................................................................................................................................ I Abstract ......................................................................................................................... II 第一章绪论 (1)

1.1 研究的目的和意义 (1)

1.2 国内外研究现状 (1)

1.3校园网络安全现状 (2)

1.4 校园网的安全需求 (2)

1.5校园网络面临的安全问题 (3)

1.6网络安全策略 (4)

第二章网络技术 (5)

2.1 IP规划 (5)

2.2 VLAN技术 (9)

2.3 NAT技术 (11)

2.4 ACL技术 (12)

2.5 防火墙技术 (16)

2.6 入侵检测技术 (17)

第三章校园网络的优化方案 (18)

3.1 IP规划 (18)

3.2 VLAN的应用 (20)

3.3 NAT技术 (21)

3.4 ACL技术 (22)

3.5 动态路由技术 (22)

3.6 链路聚合技术 (24)

3.7 DHCP技术 (1)

3.8 防火墙的设计 (2)

3.9入侵检测系统的设计 (5)

第四章结论 (9)

致谢 (10)

参考文献 (11)

第一章绪论

1.1 研究的目的和意义

随着网络的高速发展，网络渗透到了我们日常学习、生活的方方面面。比如，各种层出不穷的社交软件需要我们真实的信息注册，各种购物网站账号的注册更需要我们的银行账户信息。在给我们的生活带来了极大的方便的同时，也增加了许多的网络安全问题。校园网的用户很多，网络安全问题要高度重视。本课题就是通过在校园网中配置ACL和防火墙实现对网络完全策略的应用，使校园网成为更安全的网络环境，给学生创造更好的学习生活的网络环境。

随着校园网的快速发展与网络应用的日新月异，学校对网络的依赖性越来越强，这对网络安全性和可运营性提出了新的要求。在运营方面，实现灵活运营，防止非法用户，以保证学校对校园网的投资回报，安全性管理方面，能够检测、预防病毒传染以及网络攻击，实现对网络的应用监控，保证学生使用的是健康上进的网络。特别是现在加强了对学校、网吧等场所的上网控制力度，对上网的时间、浏览的内容进行严格的监控。

因为网络安全与防火墙、路由器关系密切，并且根据网络安全分析和业务需求的分析来决定全局的安全策略，所以我们要正确设置网络的安全策略，在安全和监控方面发挥最大的作用。

1.2 国内外研究现状

Acces Conttol List,控制访问起源于20世纪60年代，是一种重要的信息安全技术。所谓访问控制，就是通过某种途径显示地准许或限制访问能力及范围，从而限制对关键资源的访问，防止非法用户入侵或者合法用户的不慎操作造成破坏。网络中常说的ACL是CISCO IOS所提供的一种访问控制技术，初期仅在路由器上支持，近些年来已经扩展到三层交换机，部分最新的二层交换机如2950之类也开始开始提供ACL的支持。只不过支持的特性不是那么完善而已。在其他厂商的路由器或多层交换机上也提供类似的技术，不过名称和配置方法都可能有细微的差别。CISCO路由器中有两种常用的控制访问列表，一种是标访问列表，另一种是扩展访问列表。随着网络技术的发展和用户需求的变化，从IOS 12.0开始，CISCO路由器新增加了一种基于时间的访问控制。

防火墙的功能主要包含以下几个方面：访问控制，如应用ACL进行访问控制；攻击防范，如防止SYN FLOOD等；NAT；VPN；路由；认证和加密; 日志

支持网管等。此外为了保证可靠性，支持双机或多机热备份；为了满足日

等多种应用协议的支持也必不可少。

为了满足多样化的组网需求，方便用户组网，同时也降低用户对其他专用设备的需求，减少用户建网成本，防火墙上也常常把其他网络技术结合进来，例如支持DHCP SERVER、DHCP RELAY；支持动态路由，如RIP 、OSPF等；支持拨号、PPPoE等特性；支持广域网口；支持透明模式(桥模式); 支持内容过滤(如URL过滤)、防病毒和IDS等功能。防火墙与其他安全设备或安全模块之间进行互动，已经成为新一代防火墙的发展趋势。

1.3校园网络安全现状

校园网就是在学校的范围内，利用符合学校自身的教育思想以及理论作为指导，以为学校教学、科研、管理等提供资源和信息交流为目的建立的计算机网络。当前，大部分的学校都建立了自己的校园网。那么，实现网络之间的资源共享、协同工作以及维护良好的校园网络安全的要求也变得越来越高。多数学校在校园网的构建过程中，对于校园网络的技术和运营意识存在着不足，很多都是重技术而轻安全、轻管理。使得校园网和其他网络一样存在着各种各样的网络安全方面呢的问题。

1.4 校园网的安全需求

校园网是一个计算机网络，包括个人PC、网络设备、服务器、软件、数据等。只有从系统的角度去分析这些环节在网络中的地位和作用，才能制定有效的可行的措施。也就是计算机网络安全应遵循整体安全性原则，根据规定的安全策略制定出合理的网络完全体系结构。如连接Internet时，解决网络层的安全性；校园网内部的安全问题，包括网段的划分以及vlan的实现；防止黑客对网络、主机、服务器等应用系统的入侵。一般来讲，网络信息系统应包括认证、访问控制、安全检测、攻击监控、加密通信、隐藏网络内部信息（如NAT）等安全机制。

根据校园网规模大、用户多的特点，对校园网的信息安全实施分级管理方案，其控制点分为三级安全管理。

第一级：中心级，主要实现内外网隔离；内外网用户的访问控制；内部网传

第二级：区域级，主要实现内外网络的访问控制；区域间的访问控制；区域内部的安全审计。

第三级：终端/个人用户级，实现区域内部的访问控制；数据库及终端信息资源的安全保护。

1.5校园网络面临的安全问题

由于校园网属于典型园区局域网，具有具有互联性、共享性、开放性等网络特点，因此非常容易受到黑客入侵或其他的网络攻击行为的侵害，校园网面临的安全问题形势是非常严峻的。

1.5.1网络硬件安全问题

1)电磁泄露问题:校园网中的网络设备拥有大量的网络端口，传输线路、终端设备等，这些设备可能会因为屏蔽不严或者为屏蔽容易造成电磁泄露。

2)线路窃听问题:网络线路上传输了大量的数据信息，黑客或者其他不法分子，为了窃取某些数据信息，就会对传输线路进行监听，这是数据信息的安全性就会造成很大威胁。

3)非法终端问题:对于网络中正常使用的终端上如果有人再安装一个终端，当正常终端停止工作时，如果使用这个非法终端接入到网络当中，这是非法分子就会利用这个终端收集数据信息。

4)非法入侵问题:如果黑客或者非法分子利用传输介质进行非法入侵，比如利用技术从电话线路入侵网络，就会对校园网安全造成安全隐患，而且有的校园网的系统使用口令验证机制，如果口令丢失被窃，那么安全系统就作废了。

1.5.2 网络系统和软件问题

1)网络系统中使用的各种软件存在漏洞，很多软件在设计之初，并没有考虑到安全问题，也就是只注重使用性而忽视了安全性。因此这些软件漏洞也非常容易被黑客利用，造成信息泄露与安全威胁。

2)网络上的信息资源非常丰富，大量的信息资源可以轻易从网络上下载下来，但是这些资源有的己经被不法分子安装了病毒或者木马，一旦用户下载下来安装使用，就会使这些病毒或木马启动，从而感染用户计算机系统。

3)缺乏身份认证机制，校园网中上网人员复杂，而且人数众多，由于没有验证机制，任何人都可以轻易进入校园内网，这对学校网的信息安全会造成严重的

1.5.3网络攻击安全问题

1)网络病毒问题

网络上病毒种类多样，而且各种病毒的变种威胁更大，这其中以网络病毒危害最为广泛，对校园网中经常容易遭受网络病毒的侵害，比如ARP病毒等，这些病毒对校园网的影响很大，会造成网络中断，无法上网、感染性强、传染迅速快等特点，给正常的校园网运行造成很大的影响。

2)拒绝服务攻击问题

拒绝服务攻击或分布时拒绝服务攻击，是非常典型的网络攻击行为由于它的不易觉察性和简易性，因而一直是网络安全的重大隐患。它是一种技术含量低，攻击效果明显的攻击方法，受到攻击时，服务器在长时间内不能提供服务，使得合法用户不能得到服务，特别是分布式拒绝服务DDoS，它的效果很明显，并且难以找到真正的攻击源，因此很难找到行之有效的解决方法。因此，这种攻击会对校园网的安全造成极大的危害。

1.6网络安全策略

网络安全策略是指要明确定义哪些数据包允许或禁止通过并使用网络服务，以及这些服务的使用规则。而且，每一条规定都应该在实际应用时得到实现。通过组合利用防火墙和路由器的安全技术，通过设置访问控制列表、NAT、VLAN 等实现安全策略，以达到构建安全体系的功能。

2.1 IP规划

2.1.1 IP地址简介

网际协议(IP)的规范是在1982 年由RFC791 建立的。这些规范的部分内容规定了IP 地址的结构。这个结构为每个主机和路由器接口提供了32 位 2 进制逻辑地址。其中包括网络部分与主机部分。为方便书写及记忆，一个IP 地址通常采用用0~255 之内的 4 个十进制数表示，数之间用句点分开。这些十进制数中的每一个都代表32 位地址的其中8 位，即所谓的八位位组，称为点分表示法。

图2-1 IP规划范例

2.1.2 IP地址分类

图2-2 IP地址分类

按照原来的定义，IP 寻址标准并没有提供地址类，为了便于管理后来加入

了地址类的定义。地址类的实现将地址空间分解为数量有限的特大型网络(A

另外，还定义了特殊的地址类，包括 D 类(用于多点传送)和 E 类，通常指试验或研究类。IP 地址的类别可以通过查看地址中的前8 位位组(最重要的)而确定。最高位的数值决定了地址类。位格式也定义了和每个地址类相关的8 位位组的十进制的范围。

A 类：

A 类地址，8 位分配给网络地址，24 位分配给主机地址。如果第1 个8 位位组中的最高位是0，则地址是 A 类地址。这对应于0~ 127 的可能的八位位组。在这些地址中，0 和127 具有保留功能，所以实际的范围是1~ 126。A 类中仅仅有126 个网络可以使用。因为仅仅为网络地址保留了8 位，第 1 位必须是0。然而，主机数字可以有24 位，所以每个网络可以有16,777,214 个主机。

B 类：

B 类地址中，为网络地址分配了16 位，为主机地址分配了16 位，一个B类地址可以用第1 个8 位位组的头两位为10 来识别。这对应的值从128~191。既然头两位已经预先定义，则实际上为网络地址留下了14 位，所以可能的组合产生了16,384 个网络，而每个网络包含65,534 个主机。

C 类：

C 类为网络地址分了24 位，为主机地址留下了8 位。C 类地址的前8 位位组的头3 位为110，这对应的十进制数从192 ~ 223。在 C 类地址中，仅仅最后的8 位位组用于主机地址，这限制了每个网络最多仅仅能有254 个主机。既然网络编号有21 位可以使用(3 位已经预先设置为110)，则共有2,097,152 个可能的网络。

D 类：

D 类地址以1110 开始。这代表的八位位组从224~239。这些地址并不用于标准的IP 地址。相反，D 类地址指一组主机，它们作为多点传送小组的成员而注册。多点传送小组和电子邮件分配列表类似。正如你可以使用分配列表名单来将一个消息发布给一群人一样，你可以通过多点传送地址将数据发送给一些主机。多点传送需要特殊的路由配置，在默认情况下，它不会转发。

E 类：

类地址。这

地址。这个地址类有时候用于实验室或研究。

我们的大部分讨论内容的重点是A 类、B 类和C 类，因为它们是用于常规I P 寻址类别。

2.1.3 保留的IP地址

IP 地址用于唯一的标识一台网络设备，但并不是每一个IP 地址都是可用的，一些特殊的IP 地址被用于各种各样的用途，不能用于标识网络设备。对于主机部分全为“0”的IP 地址，称为网络地址，网络地址用来标识一个网段。例如，A 类地址 1.0.0.0，私有地址10.0.0.0 , 192.168.1.0 等。对于主机部分全为“1”的IP 地址，称为网段广播地址，广播地址用于标识一个网络的所有主机。例如，10.255.255.255 , 192.168.1.255 等，路由器可以在10.0.0.0或者192.168.1.0 等网段转发广播包。广播地址用于向本网段的所有节点发送数据包。对于网络部分为127 的IP 地址，例如127.0.0.1 往往用于环路测试目的。全“0”的IP 地址

0.0.0.0 代表所有的主机，在路由器上用0.0.0.0 地址指定默认路由。全“1”的IP 地址255.255.255.255，也是广播地址，但255.255.255.255代表所有主机，用于向网络的所有节点发送数据包。这样的广播不能被路由器转发。

2.1.4可用主机地址数量的计算

图2-3 可用主机地址计算

地址，去掉

不能用作标识主机，那么共有216-2个可用地址。C 类网段192.168.1.0，有8 个主机位，共有28=256 个IP 地址，去掉一个网络地址192.168.1.0，一个广播地址192.168.1.255，共有254 个可用主机地址。现在，我们可以这样计算每一个网段可用主机地址：假定这个网段的主机部分位数为n，那么可用的主机地址个数为2n-2 个。网络层设备（例如路由器等）使用网络地址来代表本网段内的主机，大大减少了路由器的路由表条目。

2.1.5 子网掩码

IP 地址在没有相关的子网掩码的情况下存在是没有意义的。子网掩码定义了构成IP 地址的32 位中的多少位用于网络位，或者网络及其相关子网位。

子网掩码中的二进制位构成了一个过滤器，它通过标识应该解释为网络地址的IP地址的那一部分来计算网络地址。完成这个任务的过程称为按位求与。按位求与是一个逻辑运算，它对地址中的每一位和相应的掩码位进行计算。划分子网其实就是将原来地址中的主机位借位作为子网位来使用，目前规定借位必须从左向右连续借位，即子网掩码中的 1 和0 必须是连续的。

2.1.6 可变长子网掩码VLSM

定义子网掩码的时候，我们作出了假设，在整个网络中将一致地使用这个掩码。在许多情况下，这导致浪费了很多主机地址。比如我们有一个子网，它通过串口连接了2 个路由器。在这个子网上仅仅有两个主机，每个端口一个，但是我们已经将整个子网分配给了这两个接口。这将浪费很多IP 地址。如果我们使用其中的一个子网，并进一步将其划分为第 2 级子网，将有效地“建立子网的子网”，并保留其他的子网，则可以最大限度地利用IP 地址。建立子网的子网”的想法构成了VLSM 的基础。为使用VLSM，我们通常定义一个基本的子网掩码，它将用于划分第1 级子网，然后用第 2 级掩码来划分一个或多个 1 级子网。VLSM 仅仅可以由新的路由协议，如BGP 或OSPF 或RIPv2 识别.为了不浪费IP地址，我们会根据规划根据计算应用VLSM技术使分配给每一台电脑特定的IP后剩余的主机位地址最少。更充分的利用IP地址并且提高了安全性。

2.2.1 VLAN技术简介

VLAN（Virtual Local Area Network）即虚拟局域网，是一种通过将局域网内的设备逻辑地而不是物理地划分成一个个网段从而实现虚拟工作组的新兴技术。IEEE于1999 年颁布了用以标准化VLAN 实现方案的802.1Q 协议标准草案。VLAN 技术允许网络管理者将一个物理的LAN 逻辑地划分成不同的广播域（或称虚拟LAN，即VLAN），每一个VLAN 都包含一组有着相同需求的计算机工作站，与物理上形成的LAN 有着相同的属性。但由于它是逻辑地而不是物理地划分，所以同一个VLAN 内的各个工作站无须被放置在同一个物理空间里，即这些工作站不一定属于同一个物理LAN 网段。一个VLAN 内部的广播和单播流量都不会转发到其他VLAN 中，从而有助于控制流量、减少设备投资、简化网络管理、提高网络的安全性。

VLAN 是为解决以太网的广播问题和安全性而提出的一种协议，它在以太网帧的基础上增加了VLAN 头，用VLAN ID 把用户划分为更小的工作组，限制不同工作组间的用户二层互访，每个工作组就是一个虚拟局域网。虚拟局域网的好处是可以限制广播范围，并能够形成虚拟工作组，动态管理网络。VLAN 是一个广播域，其中的成员仿佛共享同一物理网段一样。不同VLAN 成员不能直接访问。在VLAN 中，划分在同一广播域中的成员并没有任何物理或地理上的限制，它们可以连接到一个交换网络中的不同交换机上。广播分组、未知分组及成员之间的数据分组都被限定在VLAN 之内。对VLAN 的另一个定义是，它能够使单一的交换结构被划分成多个小的广播域。

2.2.2 VLAN特点

VLAN 提供如下功能与好处：

第一：区段化：使用VLAN 可将单一的交换架构，一个广播域分隔成多个广播域，相当于分隔出物理上分离的多个单独的网络。即将一个网络进行区段化，减少每个区段的主机数量，提高网络性能。

第二：灵活性：VLAN 配置、成员的添加、移去和修改都是通过在交换机上进行配置实现的。一般情况下无须更改物理网络与增添新设备及更改布线系统，所

内的主机间通讯必须通过3 层设备，而在 3 层设备上可以设置ACL 等实现第 3 层的安全性，即VLAN间的通讯是在受控的方式下完成的。相对于没有划分VLAN 的网络，所有主机可直接通讯而言，VLAN 提供了较高的安全性。另外用户想加入某一VLAN 必须通过网络管理员在交换机上进行配置才能加入特定VLAN，相应的提高了安全性。

2.2.3 VLAN成员划分的方式

目前最普遍的VLAN 划分方式为基于端口的静态划分方式。网络管理员将端口划分为某个特定VLAN 的端口，连接在这个端口的主机即属于这个特定VLAN。其优点是配置相对简单，对交换机转发性能几乎没有影响，其缺点为需要为每个交换机端口配置所属的VLAN，一旦用户移动位置可能需要网络管理员对交换机相应端口进行重新设置。其他划分VLAN 成员的方式有：基于MAC 地址划分、基于协议划分、基于IP 地址子网划分、基于应用划分、基于用户名、密码划分等多种方式。

2.2.4 VLAN的运作

每个VLAN 相当于一个物理上独立的网桥，不同VLAN 成员不能直接访问。VLAN 可以跨越交换机，不同交换机上相同VLAN 的成员处于一个广播域，可以直接相互访问。由于VLAN 的划分是基于交换机的物理端口，交换机从连接主机的某个端口上接收到一个数据帧，交换机知道这个数据帧是属于哪个VLAN 的。但是对于连接2 台交换机的链路而言，此链路需要承载不同VLAN 的数据，连接此链路的交换机的端口不属于某个特定VLAN。如果不对数据帧做标记，交换机对从这样的链路上接收到的数据帧将无法确定所属的VLAN。所以交换机将数据帧发送到这样的链路前必须对数据帧做标记，即为每一个数据帧都被加上了一个标记，用来确定该分组所属的VLAN。VLAN 的标记使交换机能够将来自不同VLAN 上的业务流复用到一条物理线路上。

2.3.1 NAT技术简介

NAT（Network Address Translation，网络地址转换）是1994年提出的。当在专用网内部的一些主机本来已经分配到了本地IP地址（即仅在本专用网内使用的专用地址），但现在又想和因特网上的主机通信（并不需要加密）时，可使用NAT方法。这种方法需要在专用网连接到因特网的路由器上安装NAT软件。装有NAT软件的路由器叫做NAT路由器，它至少有一个有效的外部全球IP地址。这样，所有使用本地地址的主机在和外界通信时，都要在NAT路由器上将其本地地址转换成全球IP地址，才能和因特网连接。另外，这种通过使用少量的公有IP 地址代表较多的私有IP 地址的方式，将有助于减缓可用的IP地址空间的枯竭。在RFC 1632中有对NAT的说明。

2.3.2 NAT技术工作原理

网络地址转换(Network Access Translation，NAT)针对IP地址日益短缺的情况产生。1个局域网内部有很多台主机，不能保证都拥有合法的公网IP地址，为了内部主机都可以连接Internet网络，我们使用NAT。NAT不仅完美地解决了IP地址不足的问题，而且有效地避免来自网络外部的攻击，隐藏并保护网络内部的计算机。NAT将局域网内部主机可以任意分配的IP地址称为私有地址。私有地址的范围包括：10.0.0.0 -10.255.255.255,172.16.0.0-172.31.255.255，

192.168.0.0-192.168.255.255。而连接到外部网络（例如Internet）的NAT路由器的出口接口有ISP分配公有IP地址。NAT路由器的作用就是根据路由器内部的地址转换表中的映射关系，将网络数据包中的私有地址和公有地址进行转换。NAT还可以反过来给外网的用户提供访问局域网内部的WWW、Telnet、FTP等服务。

2.3.3 NAT的实现方式

NAT的实现方式有三种：静态转换（一对一）、动态转换（地址池）和端口复用（PAT）。PAT增加了基于端口（Port）的转换，将内部网络的所有主机的数据包的内网IP地址和内网端口，转换成NAT出口的外网IP地址和外网端口，

2.4 ACL技术

2.4.1 ACL技术简介和作用

随着网络规模和网络中的流量不断扩大，网络管理员面临一个问题：如何在保证合法访问的同时，拒绝非法访问。这就需要对路由器转发的数据包作出区分，哪些是合法的流量，哪些是非法的流量，通过这种区分来对数据包进行过滤并达到有效控制的目的。这种包过滤技术使应用在路由器上实现防火墙的一种主要形式，而实现包过滤技术最核心的内容就是使用访问控制列表。

ACL（访问控制列表）就是一种对经过路由器的数据流进行判断、分类和过滤的方法。常见的ACL 的应用是将ACL 应用到接口上。其主要作用是根据数据包与数据段的特征来进行判断，决定是否允许数据包通过路由器转发，其主要目的是对数据流量进行管理和控制。我们还常使用ACL 实现策略路由和特殊流量的控制。在一个ACL 中可以包含一条或多条特定类型的IP 数据报的规则。ACL 可以简单到只包括一条规则，也可以是复杂到包括很多规则。通过多条规则来定义与规则中相匹配的数据分组。ACL 作为一个通用的数据流量的判别标准还可以和其他技术配合，应用在不同的场合：防火墙、QOS 与队列技术、策略路由、数据速率限制、路由策略、NAT 等。

2.4.2ACL的分类和对比

访问控制列表分为两种类型：

1．标准ACL

只针对数据包的源地址信息作为过滤的标准而不能基于协议或应用来进行过滤。即只能根据数据包是从那里来的来进行控制，而不能基于数据包的协议类型及应用来对其进行控制。只能粗略的限制某一类协议，如IP 协议。

2．扩展ACL

可以针对数据包的源地址、目的地址、协议类型及应用类型（端口号）等信息作为过滤的标准。即可以根据数据包是从那里来、到那里去、何种协议、什么样的应用等特征的来进行精确地控制。

可被应用在数据包进入路由器的接口方向，也可被应用在数据包从路

。但对于一台路由器的某个特定接口的特定方向上，针对某一个协议，如IP 协议，只能同时应用一个ACL。

表2-1 标准的ACL与扩展的ACL的比较

对于标准ACL，由于它只能过滤源IP，为了不影响源主机的通信，一般我们将标准ACL 放在离目的端比较近的地方；扩展ACL 可以精确的定位某一类的数据流，为了不让无用的流量占据网络带宽，一般我们将扩展ACL 放在离源端比较近的地方。

2.4.3ACL的工作原理及工作流程

在网络安全中，通过防火墙对数据包进行过滤，可以有效地防止违法用户对网络的访问，其中，访问控制列表（Access Control List，ACL）可以实现该功能。ACL的原理是对路由器需要转发的数据包，先获取包头信息，然后和设定的规则进行比较，根据比较结果对数据包进行转发或者丢弃。这些规则可以是数据包的来源和目的IP地址、端口号、协议类型等。除了防火墙外，路由器中也可以实现ACL功能。

图2-4 ACL流程图

ACL 的工作

首先数据包进入路由器的接口，根据目的地址查找路由表，找到转发接口（如果路由表中没有相应的路由条目，路由器会直接丢弃此数据包，并给源主机发送目的不可达消息）。确定外出接口后需要检查是否在外出接口上配置了ACL，如果没有配置ACL，路由器将做与外出接口数据链路层协议相同的2 层封装，并转发数据；如果在外出接口上配置了ACL，则要根据ACL 制定的原则对数据包进行判断，如果匹配了某一条ACL 的判断语句并且这条语句的关键字如果是permit，转发数据包；如果匹配了某一条ACL 的判断语句并且这条语句的关键字如果不是permit，而是deny 则丢弃数据包。

2.4.4 ACL语句内部处理流程

图2-5 ACL内部处理流程图

ACL 内部的具体处理过程：

每个ACL 可以有多条语句（规则）组成，当一个数据包要通过ACL 的检查时首先检查ACL 中的第一条语句。如果匹配其判别条件则依据这条语句所配置的关键字对数据包操作。如果关键字是permit 则转发数据包，如果关键字是deny 则直接丢弃此数据包。

如果没有匹配第一条语句的判别条件则进行下一条语句的匹配，同样如果匹

配其判别条件则依据这条语句所配置的关键字对数据包操作。如果关键字是

这样的过程一直进行，一旦数据包匹配了某条语句的判别语句则根据这条语句所配置的关键字或转发或丢弃。如果一个数据包没有匹配上ACL 中的任何一条语句则会被丢弃掉，因为缺省情况下每一个ACL 在最后都有一条隐含的匹配所有数据包的条目，其关键字是deny。

以上ACL 内部的处理过程总的来说，就是自上而下，顺序执行，直到找到匹配的规则，拒绝或允许。

2.4.5 ACL判断标准和规则

ACL 可以使用的判别标准包括：源IP、目的IP、协议类型（IP、UDP、TCP、ICMP）源端口号、目的端口号。ACL 可以根据这五个要素中的一个或多个要素的组合来作为判别的标准。总之，ACL 只能根据IP 包及TCP 或UDP 数据段中的信息来对数据流进行判断，即根据第 3 层及第 4 层的头部信息进行判断。

ACL 的规则如下：

1．ACL 语句执行顺序

ACL 按照由上到下的顺序执行，找到第一个匹配后既执行相应的操作，然后跳出ACL 而不会继续匹配下面的语句。所以ACL 中语句的顺序很关键，如果顺序错误则有可能效果与预期完全相反。

配置ACL 的时候应该遵循如下原则：

（1）对于扩展ACL，具体的判别条目应放置在前面

（2）标准ACL 可以自动排序：

主机

网段

any

2．隐含的拒绝所有的条目

末尾隐含为deny 全部，意味着ACL 中必须有明确的允许数据包通过的语句，否则将没有数据包能够通过。

3．ACL 可应用于IP 接口或某种服务，ACL 是一个通用的数据流分类与判别

应用在接口上或应用4．在引用ACL 之前，要首先创建好ACL，否则可能出现错误。

5．对于一个协议，一个接口的一个方向上同一时间内只能设置一个ACL，并且ACL 配置在接口上的方向很重要，如果配置错误可能不起作用。

2.5 防火墙技术

2.5.1防火墙的概念

防火墙是市面上使用非常广泛的一种网络安全设备，防火墙的实质就是一个由硬件和软件共同构成一个系统，这个系统处于外网和内网之间，形成了一个安全的屏障，对于防火墙来说内网都是可信的，而外网是不可信的，它可以保护内网免遭外部的非法入侵或攻击，避免外部用户随意访问内网，从而造成内部信息的泄露。防火墙主要由服务访问规则、验证工具、包过滤和应用网关四个部分组成，无论是内部访问外部的数据还是外部访问内部的数据都要经过防火墙。

高校校园网部署防火墙是非常有必要的，在校园网中，广大教职工和学生每天都要登录校园的内网和外网，防火墙在这里实际上起到了一个隔离的作用，也就是只有认为是安全的站点或信息，才能访问学院的内部网络，才能和内网的计算机用户进行数据交换，而被认为是不安全的站点或信息，就拒绝它访问学院的内部网络，这样的好处是，可以尽最大的可能避免非授权用户攻击校园内网，也可以这么说，要是没有防火墙的话，学院的师生就不能访问因特网，而外部网络也无法和内网用户进行数据通信。

2.5.2 网络防火墙的目的和作用

构建网络防火墙的目的是可以限制某些访问者进入一个被严格控制的内部站点，还可以防止非授权用户或者黑客接近防御设备，进而阻止他们入侵内网。再有可以限制某些访问者离开一个被严格控制的点并且还可以检查、筛选、过滤和屏蔽信息流中的某些有害服务，防止对网络系统进行蓄意破坏。

网络防火墙的作用除了可以有效地收集和记录互联网上的各种活动以及网络误用情况以外，还能有效隔离网络中的多个网段，避免出现一个网段有了网络故障问题或是遭受网络病毒侵害后传播到其他的网段。此外防火墙作为一个安全检查站，能有效地过滤、筛选和屏蔽大部份有害的信息和服务。防火墙就像一个网络警察一样可以防止不良现象的产生，可以强化和巩固网络的安全策略。

2.6 入侵检测技术

2.6.1 入侵检测技术的概念

随着网络技术的不断发展进步，网络安全防范手段的技术水平也在不断提高，为了更好的保护校园网的内部网络，单纯的防火墙技术己经不能满足人们对网络安全口益高涨的要求，而入侵检测技术成为了防火墙的很好的补充，在对抗外部网络攻击时，如果把防火墙对于网络好比学校门口的门卫的话，那么入侵检测技术对于网络就相当于学校内部的巡逻员。防火墙是第一次层保护，而入侵检测技术就是第二层保护，它们组成的双保险对内网安全起到了很好的保护。

入侵检测系统(Intrusion Detection System, IDS)就是通过收集和分析计算机

网络系统当中一些关键部位的信息，进而发现网络或系统中是否有违反安全策略的行为和被攻击的迹象。进行入侵检测的软件与硬件的组合便是入侵检测系统。简单来说，就是安全系统对入侵行为的检测技术。

2.6.2入侵检测系统的功能

入侵检测技术和防火墙技术不同，防火墙技术是一种被动的防护的技术，而入侵检测技术属于一种主动防范的技术，对于网络系统来说，入侵检测可以主动对系统或者用户的出现的各种情况进行检测并分析;核查系统配置的情况以及是否出现漏洞，以提醒系统管理员及时采取措施补救;评估系统关键资源和数据文件的完整性;对系统发现各种攻击行为进行识别;对系统出现的各种异常行为进行分析;操作系统口志管理，并识别违反安全策略的用户活动。

《计算机网络》实践报告(校园网规划设计)

《计算机网络》实践报告校园网设计与规划 专业： 班级： 姓名： 指导教师：

年月 摘要 随着网络的发展,网络管理越来越重要。各大院校的校园网都已经初具规模,良好的网络管理成为校园网能否正常、有效运行的关键。该文基于铜陵学院校园网络管理系统的设计探讨，详细讨论了校园网建设目标、设计原则以及网络拓扑结构、主干网构建，既有理论研究意义,也具有实践参考价值。 配合当前的教学发展情况，完成学校内部Intrannet的配套基础建设，将全校的信息资源利用计算机网络连接起来，形成一个流畅、合理、可靠、安全的校园网。还应针对学校的教学特点，具有一些基本的教学功能，以完成学校的基本教学任务。通过各校校园网络的连接，可以更便利地互相交换信息，促进各个学校间的学术交流。 通过校园网络使教师和科研人员能及时了解国内外科技发展动态，加强对外技术合作，促进教学和科研水平的提高。建立新的通讯方式和环境，提高工作效率。 关键词: 拓扑结构，地址分配规划设计

目录 一.组建校园网的目标和意义 (1) 二.目前国内外相关工作情况 (2) 2.1无线上网 (2) 2.1.1无线上网的发展趋势 (3) 2.1.2无线上网的优点 三.校园网的总体设计 (4) 3.1网络的层次结构 (4) 3.1.1网络规划 (5) 四.校园网的详细规划 (8) 五.结果评价 (17)

一.组建校园网的目标和意义 通过组建校园网络,既可以实现学校现有教育教学资源的最大化利用,也能有效的重塑校园文化和校园精神,引领学生形成积极向上的道德风尚和价值取向。通过全校师生思想的交流与碰撞,凝聚共识,开拓进取。校园网既可以作为师生交流的平台,也可以展现师生风采。同时,校园网也是沟通世界的窗口,制作精美的网站,浓浓的学术气息,团结向上的精神面貌往往给浏览者留下深深的印象。如何构建校园网络,进而打造文明向上、健康积极的校园文化是一个崭新的课题。校园网物质文化的构成与构建校园网中的学校物质文化实质上应该由两个部分组成,一个是构成校园网络的物质设施;另一个则是网络空间中所虚拟出来的校园,是学校物理环境、基础设施等在校园网中的再现和整合。前者较多地关注硬件建设、技术和资金的投入,己经有大量的文献进行了探讨,我在这里只做简要的叙述;后者则更注重一个人文建设和思想观念的养成(也可以称为软件建设),这与校园网物质文化品质建设的目的更相吻合,将会作为主要的探讨对象。展现学校精神风貌的主题设计在校园网建设中,制作者通常要考虑到信息的受众者以及硬件的承载情况来设计网页、文字和图片。 网上教育以受众广、投入低、不受师资的校舍等条件限制、容易开展高水平教育、教学质量相对容易保证等特点而受到教育界的广泛重视，目前国内一些重事业高校的网站已经开展这方面的应用。但现在中小学的校园网正在建设阶段。中小学建设校园计算机网络的根本动机，就是提高学校的管理效益和教学质量。而并非只有大量的资金投入，建设具有规模的计算机网络，才能开展学校的教育手段。架设满足学校应用需求的小的局域网络、教学网络同样也能发挥大的教育效益。 不同的学校可以根据自己的特点和实际情况，在实际的中小学校计算机网络的

计算机本科毕业论文浅谈住宅小区计算机局域网的设计及其实现

毕业论文（设计） 论文（设计）题目浅谈住宅小区计算机局域网的设计及 其实现 试点单位 学生姓名学号

目 浅谈住宅小区计算机局域网的设计及其实现 录 第一章绪论-------------------------------------------------------------1-第二章系统简介-----------------------------------------------------------1 - 2.1 2.2计算机网络介绍-------------------------------------------------------1 - 局域网简介-----------------------------------------------------------2 - 第三章网络建设的基础知识-------------------------------------------------3 - 3.1 3.2 3.3常用网络设备---------------------------------------------------------3 - 服务器---------------------------------------------------------------6 - 设备选型-------------------------------------------------------------7 - 第四章住宅小区网络系统设计-----------------------------------------------7 - 4.1 4.2住宅小区网络的建设规划-----------------------------------------------7 - 网络操作系统---------------------------------------------------------8 - 4.3 Internet接入技术----------------------------------------------------9 - 4.4 防火墙----------------------------------------------------------------9 - 4.5 建网目标--------------------------------------------------------------9 - 第五章总结--------------------------------------------------------------10 - 参考文献-----------------------------------------------------------------11 -后记------------------------------------------------------------------12 -

校园网络规划设计方案

校园网络设计方案

第一章建网原则 实际上，我国中小学所耗费的信息技术投入远不止上述经费。国人在进行投入的过程中总是追求时髦、讲面子。不考虑学校的实际情况，严重脱离中国的国情和经济发展现状，要知道我们一直是世界上人均收入排名在一百多位的发展中国家。 接着全国兴起了装备计算机的热潮，重点中学和好一点的乡镇中小学开始全面装备286、386计算机，当时的计算机每台近两万元左右，使用不到两年，软件升级，WINDOS全面取代DOS系统，286、386计算机全面淘汰（由此全国又损失数百亿元）.这时候486计算机全面登场，并立即淘汰，586以及档次与配置更高的计算机面世。我们的学校在这场计算机的变革中，就不停的跟在后面赶，不停的被淘汰，由于有些学校领导片面追求时髦、面子，而给学校和国家造成了无法估计的损失。 现在教育部提出：一定的时间内在国内普及信息技术教育，实行"校校通"工程；可是由于一些大的计算机厂家在不停的炒作，进行误导，使得我们有些学校校长、少数教育领导干部头脑发热起来了，认为：校校通就是校园网，校园网就是计算机网；学校为了完成上面下达的任务，不顾本校的实际情况，不顾当地的实际情况，大规模的建

设计算机网，造成学校大量负债，而这个所谓的校园网自从建立起 来后就面临着淘汰，为什么呢？目前，我国大部份的学校连基本的广播网、有线电视网都没有，有的学校的教师连计算机的最简单的常识也没有，更谈不上如何使用它们。在上述情况下，我们在进行校园网建设的过程中应该保持清醒的头脑，花最少的钱、获得最大的效果。 校园网络作用主体不清 建立一个好的校园网络系统包括广播系统、教学管理系统、计算机网络系统等等。计算机网络系统是校园网络系统中的一个组成部份。他们之间是相互补充、相互完善，而不是相互取代的。建设校园网的目的是用于老师传授知识和学生获得知识。传授知识有三种方式：图像，声音，文字。现在一般的人重视的是文字方面知识传授,而忽略 了用图像和声音进行大众的知识传授。文字是声音和图像的补充和记载。从传播知识的作用范围来讲，广播系统传播的范围最广。从设备的增值性来看：最实用的是计算机，其次是教育系统应用软件和广播系统。因此，我们在建校园网时，应先从简易经济和适用的系统做起，再建计算。 第二章校园网的规划设计 2．1校园网建设核心 随着网络规模的扩大和用户数量迅速增加，并且由于院校合并形成了分布于多个校区的校园网，网络结构日趋复杂，网络结点数剧

校园网络方案设计

校园网络方案设计 校园网的设计目标简而言之是将各种不同应用的信息资源通过高性能的网络设备相互连接起来，形成校园区内部的Intranet系统，对外通过路由设备接入广域网。下面是本人收集整理的校园网络方案设计，希望对您有所帮助！ 校园网络方案设计一、学校需求分析 随着计算机、通信和多媒体技术的发展，使得网络上的应用更加丰富。同时在多媒体教育和管理等方面的需求，对校园网络也提出进一步的要求。因此需要一个高速的、具有先进性的、可扩展的校园计算机网络以适应当前网络技术发展的趋势并满足学校各方面应用的需要。信息技术的普及教育已经越来越受到人们关注。学校领导、广大师生们已经充分认识到这一点，学校未来的教育方法和手段，将是构筑在教育信息化发展战略之上，通过加大信息网络教育的投入，开展网络化教学，开展教育信息服务和远程教育服务等将成为未来建设的具体内容。 调研情况 学校有几栋建筑需纳入局域网，其中原有计算机教室将并入整个校园网络。根据校方要求，总的信息点将达到 3000个左右。信息节点的分布比较分散。将涉及到图书馆、实验楼、教学楼、宿舍楼、食堂等。主控室可设在教学楼的一层，图书馆、实验楼和教学楼为信息点密集区。

需求功能 校园网最终必须是一个集计算机网络技术、多项信息管理、办公自动化和信息发布等功能于一体的综合信息平台，并能够有效促进现有的管理体制和管理方法，提高学校办公质量和效率，以促进学校整体教学水平的提高。 二、设计特点 根据校园网络项目，我们应该充分考虑学校的实际情况，注重设备选型的性能价格比，采用成熟可靠的技术，为学校设计成一个技术先进、灵活可用、性能优秀、可升级扩展的校园网络。考虑到学校的中长期发展规划，在网络结构、网络应用、网络管理、系统性能以及远程教学等各个方面能够适应未来的发展，最大程度地保护学校的投资。学校借助校园网的建设，可充分利用丰富的网上应用系统及教学资源，发挥网络资源共享、信息快捷、无地理限制等优势，真正把现代化管理、教育技术融入学校的日常教育与办公管理当中。学校校园网具体功能和特点如下： 技术先进 采用千兆以太网技术，具有高带宽1000Mbps 速率的主干，100Mbps 到桌面，运行目前的各种应用系统绰绰有余，还可轻松应付将来一段时间内的应用要求，且易于升级和扩展，最大限度的保护用户投资； 网络设备选型为国际知名产品，性能稳定可靠、技术先

中小型校园网规划与设计实验报告

实验五 中小型校园网规划与设计 实验报告 一、实验目的 利用所学知识，对中小学校需求进行调研，并根据学校需求和特点进行网络规划与设计。 二、实验任务 要求编写校园网需求分析报告和网络设计方案。 三、实验内容及结果 （一）需求分析报告： 1) 满足计算机教学教研、计算机辅助教学、行政办公需要，提供 各种教学、办公工具和支撑平台，并提供丰富的计算机软硬件 系统资源。 2) 具有完善的办公事务处理能力，包括电子公文传递、电子公文 管理、电子邮件等无纸办公功能。 3) 能够满足信息交流的需要，方便学校各级领导和教学教研人员 对各种信息资料、科技情报的检索和查询。 4) 能确保整个计算机网络系统的可靠性、安全性、确保信息处理 安全保密，还应有方便高效的网络管理工具。 5) 学校信息网络系统要保证应用和技术先进，能不断满足学校未 来业务发展的需求，具有较强的扩展能力。 （二）网络设计方案： 1) 网络分层规划（划分层数以及各层设备选择） 根据校园规划、校园内数据访问流量特点，网络可采用模块化、层次化的设计方法，使用核心层、汇聚层、接入层三层构架方式。通过千兆光纤交换构建网络核心层，构成网络主干；通过千兆双绞线交换构建汇聚层，构成楼宇子网交换；通过百兆交换构成接入层，实现楼宇中各楼层房间的网络接入。 1.核心层。在校园网络部署2核心节点，双冗余模式。两个核心节点采用2台高性能千兆路由交换机作为主干中心交换机，将两核心节点以千兆双回路互联提供无阻塞传输骨干网，并实现负载分担和互为备份，提高核心层的可靠性和稳定性。 　2.汇聚层。在校内的学生宿舍、图书馆、行政楼、实验楼、和多媒体教室部署汇聚交换机，采用千兆交换机作为汇聚交换机，汇聚交换机和核心交换机之间采用双链路捆绑连接，实现负载均衡的同时完成链路备

居民小区智能局域网络的规划与设计

摘要 在居民小区智能化系统中，计算机局域网是实现“智能化”的关键，即应用计算机网络技术和现代通信技术，建立局域网并与Internet互联，为住户提供完备的物业管理和综合信息服务。 局域网一方面能为住户提供高速、经济的Internet接入服务；另一方面住户许多常用的信息服务可以直接免费或廉价地从局域网内获取，而不需上Internet，如内部E－Mail、常用网站浏览、网上图书馆、网络教育、网上教育、网上游戏、软件下载等。而且数据在局域网内传输的速率比上Internet快得多。因此局域网代表着当今通信最经济、最快速、最有效的手段。 随着宽带接入技术的成熟和应用需求的增长, 智能化小区的普及和宽带接入技术的发展各种基于宽带技术的应用服务也日益被人们所熟悉，按照互联网的发展思路，小区宽带接入将依托其优越的带宽资源，实行光纤到楼，双绞线到家庭之模式，为用户提供10Mb/s高速接入端口。为小区智能化的全面发展提供坚实的基础和强大的技术含量。近年来中国大步跨入了信息化社会，人们的工作生活与通信、信息的关系日益紧密，信息化社会在改变我们生活方式与工作习惯的同时，也对传统的住宅提出了挑战。 人们对居住环境要求不断提高，希望有一个安全、舒适、便捷的家，智能小区于是在中国各地蓬勃发展起来，并已成为21世纪建筑业的发展主流。小区网络系统在整个智能小区系统中，无疑是处在核心地位。本论文对居民小区智能化网络规划进行了设计。在设计中主要对局域网进行网络布线。智能小区是在智能大厦的基本含义中扩展和延伸出来的，它通过对小区建筑群四个基本要素（结构、系统、服务、管理以及它们之间的内在关联）的优化考虑，提供一个投资合理，又拥有高效率、舒适、温馨、便利以及安全的居住环境。计算机网络，也渐渐成为人们生活中不可分割的一部分。 关键字：居民小区智能化，局域网，规划与设计

校园网络规划与设计论文

广东 XXXX 学院 毕业设计说明书题目：校园网络规划与设计 作者: 学号： 系部: 信息工程系 专业: 计算机网络技术 班级: 指导老师: 校外指导老师： 2012年 4 月 22 日

摘要 随着计算机和网络技术的迅猛发展，互联网成了人们快速获取，发布，传递信息的重要途径。计算机网络已渗透到社会的各个领域。各行各业都处在网络化和信息化的建设过程中。所以计算机网络在人们的生活，经济，和政治上发挥着重要的作用。随着网络的逐步普及，校园网络的建设是学校向信息化发展的必然选择，校园网网络系统是一个非常庞大而复杂的系统，它不仅为现代化教学、综合信息管理和办公自动化等一系列应用提供基本操作平台，而且能提供多种应用服务，使信息能及时、准确地传送给各个系统。全国各大高校作为现代教育的最主要阵地，发展网络教育责无旁贷。各所学校也纷纷建立了校园网并接入Internet，但在建设和管理过程中，由于技术和资金的原因，存在着投资大，见效慢，缺乏有效管理的弊端，没有充分发挥的作用。本文就是针对这一现象进行对校园网的组建分析和改善校园网弊端。而校园网工程建设中主要应用了网络技术中的重要分支局域网技术来建设与管理的，因此本毕业设计课题将主要以校园网络建设过程可能用到的各种技术及实施方案为设计方向，为校园网的建设提供理论依据和实践指导

1 引言 (1) 2 校园网简介 (2) 2.1什么是校园网 (2) 2.2校园网有什么作用 (2) 2.2.1服务教育教学，提高工作效率 (2) 2.2.2加强学校对外宣传的力度 (2) 2.2.3运用网络构建新型教学模式 (3) 3 校园网络建设的意义 (3) 3.1校园网是现代化教育的需要 (3) 3.2校园网的是教育改革的转折点 (3) 4 校园网设计原则和实现方案 (4) 4.1 网络系统设计原则 (4) 4.2 系统建设目标 (5) 4.3网络设计关键技术说明 (8) 5 系统总体方案设计 (10) 5.1 网络拓扑结构设计 (10) 5.2 网络系统接入设计 (11) 5.3 网络设备选型 (12) 5.4 VLAN划分及子网配置 (14) 5.5 IP地址分配 (16) 6 布线系统设计 (17) 5.1 三个设计等级(基本型、增强型、综合型) (17) 5.1.1 基本型 (18) 5.1.2 增强型 (18) 5.1.3 综合型 (18) 5.2 基本型综台布线系统的特点 (19) 5.3 增强型综合布线系统的特点 (19) 5.4 综合型综合布线系统的特点 (19) 7 网络安全、管理设计 (20) 总结 (21) 致谢 (22) 参考文献 (22)

《校园网的组建与实施方案》毕业设计论文

校园网的组建与实施方案 目录 1 前言 (2) 2 需求分析 (2) 2.1建网需求 (2) 2.2 网络环境 (3) 3 校园网结构的设计 (4) 3.1 总体设计原则 (4) 3.2 校园网设计的层次化模型 (5) 4 解决方案 (5) 4.1.网络拓扑结构 (5) 4.2方案说明 (7) 5.网络设备选型 (7) 5.1交换机 (7) 5.2服务器 (8) 5.3其他设备 (9) 6. 网络设备的配置 (9) 6.1交换机的配置 (9) 6.2配置防火墙............................................................................................ 错误！未定义书签。参考文献.. (10)

1 前言 在现在这个知识爆炸的社会中，对于合格人才的要求越来越多，需要他们掌握大量的各类知识，在教育中需要提高教学效率。现在出现了许多新的教学方法，以各种方式提高学生对知识的掌握速度，在与前人同样的时间内，掌握比前人更多的知识，而这些教学方法，需要利用计算机网络才能实现。 这就要求校园网是一个具有交互功能和专业性很强的局域网络。多媒体教学软件的开发平台，多媒体演示教室，教师备课系统，电子阅览室以及教学，考试资料库等，都可以通过网络运行工作。如果一所学校包括多个专业学科，也可以形成多个局域网络，并通过有线方式连接起来。 校园网是指利用网络设备，通信介质和组网技术和协议以及各类系统管理软件和各种终端有效地集成在一起，并用于教学，科研，学校管理，信息资源共享和远程教学等方面的计算机局域网系统。 校园网应具有教学，管理和通信三大功能。对于目前的校园网建设来说，主要侧重于教学和通信，难以实现以数字化校园为核心的管理领域。 2需求分析 2.1建网需求 西安航空职业技术学院，为了紧追时代步伐，发展与校际互联、静态资源共享、动态信息发布、远程教学和协作工作的阶段，发展对学校教育现代化的建设，决定建设自己的校园网，争取尽早实现教育信息化。校园网建成后，将计算机引入教学各个环节，从而可以引起教学方法、教学手段、教学工具的重大革新。对提高教学质量，推动我国教育现代化的发展起着不可估量的作用。网络又为学校的管理者和老师提供了获取资源、协同工作的有效途径。校园网将会是学校提高管理水平、工作效率、改善教学质量的有力手段,也就是解决信息时代教育问题的基本工具。 通过对学校信息化建设专业人员沟通，了解到校园宽带网用户集中且网络流量大，关注网络的可运营和可管理特性，校园网建网需求如下： 1、教学区、宿舍区用户对校园网、教育网、INTERNET的访问有相应的路由策略。 2、校园网存在多个出口需求，校园网至少要提供中国教育科研网（CERNET ）和INTERNET两个出口。 3、校园网安全性要求较高，要求设备能够实现用户识别和动态绑定功能如通过“IP+MAC+端口”三元组的动态绑定来识别用户。

悦溪公司网络项目规划书毕业论文

悦溪公司网络项目规划书毕业论文 目录 华工公司简介 (3) 引言 (4) 第一章项目需求分析 (5) 1.1.项目背景 (5) 1.2.需求分析 (6) 第二章网络总体建设目标 (7) 2.1.网络建设目标 (7) 2.2.网络及系统建设容及要求 (8) 2.3.网络设计原则 (9) 第三章网络总体设计 (10) 3.1.网络总体拓扑图 (10) 3.2 网络层次化设计 (12) 3.3 核心层设计 (13) 3.4 接入层设计 (13) 3.5 联接入 (13) 第四章路由设计 (14) 4.1 路由协议选择 (14) 4.2 路由规划拓扑图 (14) 4.3 IP地址规划 (15) 第五章网络安全解决方案 (16) 5.1 网络边界安全威胁分析 (16) 5.2 网络部安全威胁分析 (17) 5.3 管理的安全威胁分析 (17) 5.4 安全产品选型原则 (18) 5.5 网络常用技术介绍 (18) 第六章产品简介 (22) 6.1 PIX 525防火墙 (22) 6.2 Cisco 2800 系列集成多业务路由器 (22) 6.3 Cisco Catalyst 3560 系列集成交换机 (23) 6.4 Cisco Catalyst 2960 系列集成交换机 (23) 6.5 ISA防火墙 (24) 6.6 操作系统 (24)

第七章设备清单及报价 (25) 第八章项目实施方案 (26) 8.1 项目组织结构 (26) 8.2 项目人员分工 (26) 8.3 项目实施前的准备工作 (28) 8.4 安装前的场地准备 (29) 8.5 核心及各网点的安装调试 (29) 第九章网络测试 (30) 9.1 网络测试目的 (30) 9.2 测试文档 (31) 第十章网络设备基本配置 (33) 10.1.网络描述 (33) 10.2.设备基本配置 (34) 第十一章网络设备的技术实施方案 (37) 11.1 trunk配置 (37) 11.2 VTP配置 (38) 11.3 VLAN配置 (41) 11.4 STP配置 (42) 11.5 HSRP配置 (42) 11.6 OSPF配置 (43) 11.7 NAT配置 (44) 11.8 VPN配置 (45) 11.9 轮训配置 (49) 11.10 PPP配置 (50) 第十二章项目测试 (51) 12.1查看物理连结、工作环境、网络设备工作是否合格 (51) 12.2 VLAN的测试 (53) 12.3 trunk的测试 (53) 12.4 STP生成树测试 (53) 12.5 HSRP的测试 (54) 12.6路由的测试 (55) 12.7DNS测试 (55) 12.8DHCP测试 (56) 12.9MAIL测试 (56) 12.10WEB测试 (57) 12.11FTP测试 (57) 12.12AD测试 (57) 12.13 服务器测试 (58) 12.14 文件备份测试 (59)

校园网络的规划与设计

2012年1月内蒙古科技与经济Januar y2012　第1期总第251期Inner M o ngo lia Science T echnolo gy&Economy N o.1T o tal N o.251试论校园网络的规划与设计X 孙立珍 (内蒙古建筑职业技术学院信息网络中心,内蒙古呼和浩特　010070) 摘　要:阐述了校园网络规划与设计中涉及的建设原则、需求分析、网络技术及软硬件的选择、Int ernet的接入和网络管理等问题,为准备建设校园网或进行网络升级改造的学校在建设思路和技术上提供参考,以使建设的校园网具备较高的整体性能。 关键词:校园网络;规划与设计;网络性能;网络应用 中图分类号:T P393.1 文献标识码:A 文章编号:1007—6921(2012)01—0076—02 随着信息技术的不断发展以及人们对各种数据形式的信息需求和交流的不断增长,使得计算机网络担当着一个非常重要的角色——信息技术的基础设施与获取、共享和交流信息的主要工具,基于网络的各种应用,正在以惊人的速度扩展,几乎渗透到了社会生活及工作的各个方面。校园网络(CAN, Campus Area Net w ork)与其他园区网络一样,由于它属于单位自有,学校拥有自我建设、自我管理和自我使用的权利,因此,受经费、技术水平及其他因素的影响,校园网络在规划与设计、资源建设和应用上很不平衡,差别很大,特别是在IT界目前还未实施网络工程监理的情况下,在建的或已建的校园网络的“豆腐渣”工程为数不少,造成了不少的人力、物力、财力的巨大浪费。 由于学校的类型、规模和性质等的不同,使得校园网络的规划与设计方案有所不同。依据教育部关于校园网络建设的指导意见及要求,建设一个稳定、安全、高效、资源丰富及应用广泛的校园网络应从以下几个方面着手规划设计。 1　校园网建设原则 校园网是为学校师生提供教学、科研、管理和综合信息服务的基带多媒体网络;是学校信息化教学环境的基础设施和实现各项管理的物质基础;是提高教育教学质量的重要手段;是建立远程教育体系的基本保证;也是一项灵魂工程。其设计方案应注意以下原则。 1.1　实用性 校园网设计应能满足学校目前对网络应用的要求,也使网络的整体性能尽快得到充分的发挥,并且便于使用、维护和管理,很好的促进学校的教学、科研和管理的网络化、信息化发展。 1.2　安全性 通过身份验证和访问控制等措施实现校园网的安全控管,防止未经授权的用户(黑客)入侵网络窃取重要数据或实施破坏。 1.3　可靠性 校园网系统及网络结构较为复杂,同时,在部分子系统中存在较高的技术性,因此,必须通过提高容错设计、支持故障检测和恢复、增强可管理性来保证系统的稳定、可靠运行,从而使其具有很高的M T BF (平均无故障工作时间)和极低的MT BR(平均无故障率)。 1.4　统一性 在网络的设计过程中,坚持“三统一”,即统一思路、统一规划、统一标准。 1.5　先进性 网络系统要能够满足当前的应用需求,又便于将来扩展和升级,以保护现有投资(含各种硬件、软件及信息资源),保持网络建设的延续性。 1.6　经济性 在充分满足以上要求的前提下,应充分考虑到学校的资金安排和经济承受能力,投资合理,有良好的性能价格比。 2　校园网需求分析 网络的规划与设计是一个系统建立和优化的过程,建设网络的根本目的是在Int er net上进行资源共享与通信。要充分发挥投资网络的效益,需求分析成了网络规划设计中的重要内容,它提供了网络设计应达到的目标,并有助于设计者更好地理解网络应该具有的性能。笔者结合学校的办学规模、管理需求和师生对教学科研的需要,确立一个性能较高的网络系统平台,见图1 。 图1　校园网络的需求 同时,经过系统的需求分析,网络的设计者还能更好地作出决策,评价现有的网络,提供移植的功能及给所有校内师生更为合适的资源。 ? 76 ? X收稿日期:2011-11-28

【好】校园网络设计方案(全)

校园网络设计方案 第五组 组长：李娟娟 组员：陈燕、余丹、李玉 罗燕、刘娟娟、常平

网络总体设计 网络架构分析 现代网络结构化布线工程中多采用星型结构，主要用于同一楼层，由各个房间的计算机间用集线器或者交换机连接产生的，它具有施工简单，扩展性高，成本低和可管理性好等优点；而校园网在分层布线主要采用树型结构；每个房间的计算机连接到本层的集线器或交换机，然后每层的集线器或交换机在连接到本楼出口的交换机或路由器，各个楼的交换机或路由器再连接到校园网的通信网中，由此构成了校园网的拓补结构 校园网采用星形的网络拓扑结构，骨干网为1000M速率具有良好的可运行性、可管理性，能够满足未来发展和新技术的应用，另外作为整个网络的交换中心，在保证高性能、无阻塞交换的同时，还必须保证稳定可靠的运行。 因此在网络中心的设备选型和结构设计上必须考虑整体网络的高性能和高可靠性，我们选择热路由备份可以有效地提高核心交换的可靠性。 传输介质也要适合建网需要。在楼宇之间采用1000M光纤，保证了骨干网络的稳定可靠，不受外界电磁环境的干扰，覆盖距离大，能够覆盖全部校园。在楼宇内部采用超5类双绞线，其连接状态100m的传递距离能够满足室内布线的长度要求。 设计思路 进行校园网总体设计，首先要进行对象研究和需求调查，明确学校的性质、任务和改革发展的特点及系统建设的需求和条件，对学校的信息化环境进行准确的描述；其次，在应用需求分析的基础上，确定学校Intranet服务类型，进而确定系统建设的具体目标，包括网络设施、站点设置、开发应用和管理等方面的目标；第三是确定网络拓扑结构和功能，根据应用需求建设目标和学校主要建筑分布特点，进行系统分析和设计；第四，确定技术设计的原则要求，如在技术选型、布线设计、设备选择、软件配置等方面的标准和要求；第五，规划校园网建设的实施步骤。 校园网总体设计方案的科学性，应该体现在能否满足以下基本要求方面： （1）整体规划安排； （2）先进性、开放性和标准化相结合； （3）结构合理，便于维护； （4）高效实用； （5）支持宽带多媒体业务； （6）能够实现快速信息交流、协同工作和形象展示。 校园网的设计原则 （1）先进性原则 以先进、成熟的网络通信技术进行组网，支持数据、语音和视频图像等多媒体应用，采用基于交换的技术代替传统的基于路由的技术，并且能确保网络技术和网络产品在几年内基本满足需求。 （2）开放性原则 校园网的建设应遵循国际标准，采用大多数厂家支持的标准协议及标准接口，从而为异种机、异种操作系统的互连提供便利和可能。 （3）可管理性原则 网络建设的一项重要内容是网络管理，网络的建设必须保证网络运行的可管理性。在优秀的

计算机网络课程设计报告书.某大学校园网规划与设计

C H A N G Z H O U U N I V E R S I T Y 实验报告 课程名称：计算机网络 实验名称：某大学校园网规划与设计 学生姓名： 学号： 专业班级： 学院（系）：信息学院 指导教师：

实验四某大学校园网规划与设计 设计原则： 校园网建设是一项大型网络工程，各个学校需要根据自身的实际情况来制定网络设计原则。该学校网络需要具有包括图书信息、学校行政办公等综合业务信息管理系统，为广大教职工、科研人员和学生提供一个在网络环境下进行教学和科研工作的先进平台。本次设计以实用、够用、好用、安全为指导思想；以开发标准、先进性、可靠性、安全性为设计原则进行设计。 (1)开放性标准化原则： 系统要有可扩展性和可升级性，随着学院不断的扩招，业务的增长和应用水平的提高，网络中的数据和信息流将按指数级增长，需要网络有很好的可扩展性，并能随着技术的发展不断升级。设备应选用符合国际标准的系统和产品，以保证系统具有较长的生命力和扩展能力，满足将来系统升级的要求。 (2)先进性性原则 当前计算机网络技术发展很快，设备更新淘汰也很快。这就要求校园网建设在系统设计时既要采用先进的概念、技术和方法，又要注意结构、设备、工具的相对成熟。只有采用当前符合国际标准的成熟先进的技术和设备，才能确保校园网络能够适应将来网络技术发展的需要，保证在未来若干年内占主导地位。(3)可靠性原则： 网络必须是可靠的，包括网络物理级的可靠性，如服务器、风扇、电源、线路等；以及网络逻辑级的可靠性，如路由、交换的汇聚，链路冗余，负载均衡等。网络必须具有足够高的性能，满足业务的需要。 (4)安全性原则： 网络系统应具有良好的安全性。由于校园骨干网络为多个用户内部网提供互联并支持多种业务，要求不仅能进行灵活有效的安全控制，同时还应支持虚拟专网，以提供多层次的安全选择。在系统设计中，既考虑信息资源的充分共享，更要注意信息的保护和隔离，因此系统应分别针对不同的应用和不同的网络通信环境，采取不同的措施，包括系统安全机制、数据存取的权限控制等。 分层设计理念： 对于大型网络而言一般采用三层结构设计，即“接入层-汇聚层-核心层”，如图所示：

校园网的规划与设计毕业论文

分类号编号 ******** 学院 毕业论文（设计） 校园网的规划与设计 Campus network planning and design 申请学位：工学学士 系别： 专业： 班级 姓名： 学号： 指导老师： 2012年 05 月 20 日 校园网的规划与设计 姓名： 导师： 2012年 05 月 20 日 ******毕业论文（设计）任务书 院（系）：电子信息与计算机科学系

[摘要]在当今的社会，信息成为了社会经济发展的核心因素，因而可以说当今社会已经步入了信息社会。我国各地正加紧建设数字化校园, 校园网建设的热潮正日渐兴盛。建设校园网已经成为了学校办学条件现代化的重要标志。要培养面向21世纪的高素质人才，高效、智能的校园网是每个高校都必不可少的。 本设计从校园网络的研究背景入手，通过对校园网络的需求分析、设计原则、设计目标的表述，表明了校园网建设的必要性和可行性。利用校园网拓扑图清晰反映了了校园网的具体规划，并具体列举了建设校园网所需的设备、协议及结构。另外，本设计考虑到了校园网的安全问题，顾列举了几个保护校园网络安全的途径方法。最后，总结列举了一下校园网对于学校教学及管理的积极作用，强调了建设校园网的重要意义。 [关键词]校园网；设计原则；设计目标；设备；安全 [Abstract] Nowadays, we have stepped into the information society, information become the core factor of social and economic development, information has become the world trend, the construction of network are gradually warming in our country, many areas and the construction of campus network school school running conditions as the symbol of modernization. The school set up a high efficiency intelligence, and the office and teaching automation computer campus network, is the development of the 21 st century construction talent of urgent need. This design from the research background of campus network, through the analysis of the demand of campus network, principle of design, and the expression of objectives of design, and shows that the campus network construction of necessity and feasibility. Use of campus network topology graph clearly reflect the specific planning it campus network, and specific lists the campus network construction for equipments, agreement and structure. In addition, this design is considered campus network security, gu list some protection campus network security approach. Finally, the paper lists the campus network for the school teaching and management of the positive role, emphasized the important meaning of the construction of campus network. [Key words] Campus network; Design principle; Design goal; Equipment; security 目录 绪论......................................................................... 1. 校园网建设背景............................................................ 1.1项目概况 ............................................................. 1.2校园网建设的必要性和可行性 ........................................... 2. 需求分析.................................................................. 2.1 系统功能需求......................................................... 2.2系统性能需求 .........................................................

校园网网络安全设计方案

[摘要] 计算机网络安全建设是涉及我国经济发展、社会发展和国家安全的重大问题。本文结合网络安全建设的全面信息，在对网络系统详细的需求分析基础上，依照计算机网络安全设计目标和计算机网络安全系统的总体规划，设计了一个完整的、立体的、多层次的网络安全防御体系。 [关键词] 网络安全方案设计实现 一、计算机网络安全方案设计与实现概述 影响网络安全的因素很多，保护网络安全的技术、手段也很多。一般来说，保护网络安全的主要技术有防火墙技术、入侵检测技术、安全评估技术、防病毒技术、加密技术、身份认证技术，等等。为了保护网络系统的安全，必须结合网络的具体需求，将多种安全措施进行整合，建立一个完整的、立体的、多层次的网络安全防御体系，这样一个全面的网络安全解决方案，可以防止安全风险的各个方面的问题。 二、计算机网络安全方案设计并实现 1.桌面安全系统 用户的重要信息都是以文件的形式存储在磁盘上，使用户可以方便地存取、修改、分发。这样可以提高办公的效率，但同时也造成用户的信息易受到攻击，造成泄密。特别是对于移动办公的情况更是如此。因此，需要对移动用户的文件及文件夹进行本地安全管理，防止文件泄密等安全隐患。 本设计方案采用清华紫光公司出品的紫光S锁产品，“紫光S锁”是清华紫光“桌面计算机信息安全保护系统”的商品名称。紫光S锁的内部集成了包括中央处理器（CPU）、加密运算协处理器（CAU）、只读存储器（ROM），随机存储器（RAM）、电可擦除可编程只读存储器（E2PROM）等，以及固化在ROM内部的芯片操作系统COS（Chip Operating Sys tem）、硬件ID号、各种密钥和加密算法等。紫光S锁采用了通过中国人民银行认证的Sm artCOS，其安全模块可防止非法数据的侵入和数据的篡改，防止非法软件对S锁进行操作。 2.病毒防护系统 基于单位目前网络的现状，在网络中添加一台服务器，用于安装IMSS。

学校园网络规划设计方案

学校园网络规划设计方案 设计方案1 第一章前言 某高校背景某高校是一所极具现代意识、以现代化教学为特色的公办高校。为了推进教育学信息化和现代化，学校计划在校内建立校园内部网并通过千兆位链路连接与国际互联网相连。 根据学校的要求，我们按照“统一规划、讲究实效、安全可靠”的原则，进行某高校园网综合系统设计，以满足校园内计算机网络系统的需要。对于某高校来说，由于将有越来越多的资料信息和管理平台放到校园网上，越来越多的用户使用校园网，校园网的可扩展性和可靠性成为选择合作伙伴的重要标准。我XX 公司与XX 公司一起，通过专场技术交流会、XX 认证培训、项目设计和方案论证等形式，为某高校提供了良好的服务。校园网发挥的作用为全校教师、科研人员、管理人员、学生提供一个先进的计算机网络环境，并将计算机引入教学、科研、管理和学习等各个领域；改善学校教学科研、管理和学习环境，提高其水平；熟悉现代化的工作环境和掌握先进的教学、科研、管理和学习手段，有利于培养面向世界、面向未来的高层次人才。某高校着重进行了校园网的接入，并与电化教室相结合，配合多媒体设备，使该校的信息化建设跨上了一个新台阶。 某校园网络规划设计方案 2 第二章用户需求分析 信息化建设目标的建设不但应考虑现有的硬件、软件，同时还应考虑学校教师的信 息化教育能力；不但网络要建起来，软件也要贴近应用，同时还应加强教师培训，才能逐步实现教育由应试教育转向素质教育转化。 项目总体目标是：建立物理上覆盖学校教学楼与办公楼的千兆主干校园网，百兆交 换到桌面，使学校所有部门的网络和计算机都能够方便地连接到网络；配置必要的计算机网络设备、布线设备和辅料，为学校的教学、管理和研究提供服务。本项目的需求可概括为如下几部分： 2.1 结构化布线系统 结构化布线划成6 个部分：工作区子系统、水平子系统、垂直子系统、设备间子系 统、建筑群子系统 ⑴ 工作区子系统

小区网络设计方案

摘要 在Internet飞速发展的今天，互联网成为人们快速获取、发布和传递信息的重要渠道，它在人们政治、经济、生活等各个方面发挥着重要的作用。 随着网络的逐步普及，校园网络的建设是学校向信息化发展的必然选择，校园网网络系统是一个非常庞大而复杂的系统，它不仅为现代化教学、综合信息管理和办公自动化等一系列应用提供基本操作平台，而且能提供多种应用服务，使信息能及时、准确地传送给各个系统。全国各大高校作为现代教育的最主要阵地，发展网络教育责无旁贷。各所学校也纷纷建立了校园网并接入Internet，但在建设和管理过程中，由于技术和资金的原因，存在着投资大，见效慢，缺乏有效管理的弊端，没有充分发挥出网络的作用。本文就是针对这一现象进行对校园网的组建分析和改善校园网弊端。而校园网工程建设中主要应用了网络技术中的重要分支局域网技术来建设与管理的，因此本毕业设计课题将主要以校园网络建设过程可能用到的各种技术及实施方案为设计方向，为校园网的建设提供理论依据和实践指导。 关键字：校园网；Internet；网络教育；现代化教学 目录 一、**校园网项目需求规格说明 (2) 1.1项目背景 (2) 1.2业务需求分析 (2) 1.2.1业务活动描述 (2) 1.2.2业务流与业务角色分析 (4) 1.2.3业务需求描述 (5) 1.3应用需求分析 (6) 1.4计算平台需求分析 (6) 1.5网络总体需求描述 (6) 1.5.1网络地理分析 (6) 1.5.2总体性能需求 (7) 1.5.3网络管理需求 (7) 1.5.4网络安全需求 (8) 2**校园网项目流分析 (8) 2.1单流分析 (8) 2.2组合流分析 (9) 2.4流地图 (11) 3**校园网项目逻辑网络设计 (12)