校園網組建與綜合應用(畢業論文)校園局域網的組建校園局域網的組建PAGE38PAGE1校園網組建與綜合應用計算機網絡技術［摘要］隨著網絡建設的逐步普及，大學高校局域網絡的建設是高校向高水平、研究性大學跨進的必然選擇，高校校園網網絡系統是一個非常龐大而復雜的系統，它不僅為高校的發展、綜合信息管理和辦公自動化等一系列應用提供基本操作平臺，而且，能夠使教育、教學、科研三位一體，提高教育教學質量。而校園網網絡建設中主要應用了網絡技術中的重要分支局域網技術來建設與管理的，因此本畢業設計課題將主要以校園局域網絡建設過程可能用到的各種技術及實施方案為設計方向，為校園網的建設提供理論依據和實踐指導。高校校園網的網絡建設與網絡技術發展幾乎是同步進行的。高校不僅承擔著教書育人的工作，更承擔著部分國家級的科研任務，同時考慮未來幾年網絡平臺的發展趨勢,為了充分滿足高校骨干網對高速，智能，安全，認證計費等的需求,可以利用萬兆以太網的校園網組網技術。構建校園網骨干網，實現各個分校區和本部之間的連接，以及實現端到端的以太網訪問，提高了傳輸的效率，有效地保證了遠程多媒體教學、數字圖書館等業務的開展。[關鍵詞]校園網；網絡設備；服務器；網絡管理；網絡安全目錄之上的應用系統。這里有一個非常形象的比喻：網絡就象路，而應用系統就象車，只修路但沒車跑，路也不能發揮它的作用。這必須跟據學校的實際情況，選擇恰當的應用系統。

3．把握當前先進性：要將未來的可擴展性和經濟可行性結合起來。當前計算機網絡技術發展很快，設備更新淘汰很快。校園網建設應當采用當前成熟先進的技術和設備，而這些設備應有良好的擴張性，即能夠兼容未來可能的技術。2校園網需求分析2.1學校建筑現狀分析對學校建筑的分析如圖2-1所示：學生公寓區學生公寓區辦公區核心交換機動性機教師公寓區行政區軟件學院外語系經管系計科系信息工程學生閱覽室機電系教學區財務處人事處教務處招生就業處圖書館電子閱覽室網絡中心借書室圖2-1學校建筑圖如圖所示學校分為學生公寓區，教師公寓區，行政區，圖書館，教學區。其中學生公寓區（A區、B、區、C區），教師公寓區（A區、B、區、C區），行政區（財務處、人事處、教務處、招生就業處），圖書館（學生閱覽室、電子閱覽室、網絡中心、借書室），教學區（計科系、軟件學院、經管系、機電系、外語系、信息工程系）。2.2信息點分布需求分析對學校信息點的分析，如表2-1所示：表2-1學校信息點的分析表大樓功能分布信息點信息點合計距核心網絡的距離學生公寓區A區500015000250mB區5000C區5000教師公寓區A區500015000250mB區5000C區5000行政區財務處20100500m人事處40教務處30招生就業處10圖書館學生閱覽室301701000m電子閱覽室30網絡中心100借書室10教學區計科系10004500200m軟件學院2000經管系500機電系500信息工程系500辦公區A區100350250mB區150C區100合計348202450m2.3學校子網需求劃分為了提高IP地址的使用效率，引入了子網的概念。將一個網絡劃分為子網：采用借位的方式，從主機位最高位開始借位變為新的子網位，所剩余的部分則仍為主機位。這使得IP地址的結構分為三級地址結構：網絡位、子網位和主機位。這種層次結構便于IP地址分配和管理。它的使用關鍵在于選擇合適的層次結構--如何既能適應各種現實的物理網絡規模，又能充分地利用IP地址空間。子網的劃分主要是根據子網掩碼來區分的，掩碼的作用就是用來告訴電腦把“大網”劃分為多少個“小網”，以及每個子網中的主機數目。如表2-2所示，學校子網的劃分。表2-2學校子網的劃分表序號子網名稱包含的信息點1學生公寓子網學生公寓區所有的計算機2教師公寓子網教師公寓區所有的計算機3行政區子網行政區所有的計算機4圖書館子網圖書館區所有的計算機5教學區子網教學區所有的計算機6辦公區子網辦公區所有的計算機7服務器群子網該區所有的計算機8無線網絡子網該區所有的計算機2.4學校VLAN需求劃分VLAN（VirtualLocalAreaNetwork）稱為虛擬局域網，是指在邏輯上將物理的LAN分成不同小的邏輯子網，每一個邏輯子網就是一個單獨的播域。簡單地說，就是將一個大的物理的局域網（LAN）在交換機上通過軟件劃分成若干個小的虛擬的局域網（VLAN）。因為交換機通信的原理就是要通過“廣播”來發現通往的目的MAC地址，以便在交換機內部的MAC數據庫建立MAC地址表，而廣播不能跨越不同網段。VLAN技術的出現，使得管理員根據實際應用需求，把同一物理局域網內的不同用戶邏輯地劃分成不同的廣播域，每一個VLAN都包含一組有著相同需求的計算機工作站，與物理上形成的LAN有著相同的屬性。由于它是從邏輯上劃分，而不是從物理上劃分，所以同一個VLAN內的各個工作站沒有限制在同一個物理范圍中，即這些工作站可以在不同物理LAN網段。由VLAN的特點可知，一個VLAN內部的廣播和單播流量都不會轉發到其他VLAN中，從而有助于控制流量、減少設備投資、簡化網絡管理、提高網絡的安全性。VLAN除了能將網絡劃分為多個廣播域，從而有效地控制廣播風暴的發生，以及使網絡的拓撲結構變得非常靈活的優點外，還可以用于控制網絡中不同部門、不同站點之間的互相訪問。通過劃分VLAN子網，能劃小了廣播域，避免了數據碰撞在大的物理LAN內產生嚴重后果的可能，也避免了廣播風暴的產生。提高交換網絡的交換效率，保證網絡穩定。提高網絡安全性，通過劃分VLAN，LAN被劃分不同子網段，因此不能直接通信。必要的通信必須經過路由來實現，因此可在路由器（或三層交換機）上配置訪問列表來進行跨子網段的授權訪問，從而提高校園內部網絡訪問的安全性。方便網絡管理：采用VLAN技術來劃分校園網絡，一個VLAN可以根據不同的院系、辦公室或者服務器組將不同地理位置的工作站劃分為一個邏輯網段。在不改動網絡物理連接的情況下可以任意地將工作站在子網之間移動，VLAN提供了網段和機構的彈性組合機制。VLAN技術很好的解決了網絡管理的問題，能實現網絡監督與管理的自動化，從而更有效的進行網絡監控。如表2-3所示，該學校校園網絡Vlan的劃分及IP的分配。表2-3學校vlan的劃分及IP的分配表序號子網名稱網段IP網關IP備注1學生公寓子網172．16．0．0/16172．16．2．1Vlan22教師公寓子網172．17．0．0/16172．17．3．1Vlan33行政區子網192．168．4．0/24192．168．4．1Vlan44圖書館子網192．168．7．0/24192．168．7．1Vlan75教學區子網172．18．0．0/16172．18．6．1Vlan66辦公區子網192．168．5．0/24192．168．5．1Vlan57服務器群子網192．168．8．0/24192．168．8．1Vlan88無線網子網192．168．0．0/24192．168．0．1Vlan9另外，IP地址分為公網地址和私網地址兩類，公有地址（Publicaddress）由InterNIC（InternetNetworkInformationCenter因特網信息中心）負責。這些IP地址分配給注冊并向InterNIC提出申請的組織機構。通過它直接訪問因特網。ISP分配給學校的全局IP地址地址段為:--00/24.,私有地址（Privateaddress）屬于非注冊地址，專門為組織機構內部使用。以下列出留用的內部私有地址A類--55B類--55C類--552.5校園網布線工程分析因為以上的需求特點和信息點分布，結合學校的實際情況總結得到如圖2-2所示：C區交換機核心交換機學生公寓區交換機C區交換機核心交換機學生公寓區交換機A區交換機B區交換機C區交換機人事處交換機教師公寓區交換機行政區交換機財務處交換機核心交換機A區交換機B區交換機教務處交換機招生就業處交換機辦公區教學區圖書館A區交換機B區交換機C區交換機計科系交換機軟件學院交換機機學生閱覽室交換機經管系交換機機電系交換機電子閱覽室交換機網絡中心交換機借書室交換機信息工程交換機圖2-2學校信息點的分布圖3校園網絡設備配置本次的課題設計是在模擬軟件的基礎上實現的，因此此次的網絡設備選擇主要是依據該軟件中具有的設備。PacketTracer5.2是思科公司專門為CCNA考試人員設計的一塊軟件，通過這個軟件能夠讓我們模擬出各種路由、交換協議，而且，能夠測試各種設備的工作情況。3.1交換機模塊設計使用雙核心網絡的主要目的是實現冗余的連接防止單點失效，從邏輯上，大型網絡可分為核心層、分布層和接入層，每層都有其特點。層次化設計的優點可以總結為如下幾點：可擴展性：因為網絡可模塊化增長而不會遇到問題；簡單性：通過將網絡分成許多小單元，降低了網絡的整體復雜性，使故障排除更容易，能隔離廣播風暴的傳播、防止路由循環等潛在的問題；設計的靈活性：使網絡容易升級到最新的技術，升級任意層次的網絡不會對其他層次造成影響，無需改變整個環境；可管理性：層次結構使單個設備的配置的復雜性大大降低，更易管理。3.1.1交換機的選擇交換機分為二層交換機和三層交換機兩種類型，其中二層交換機的工作原理是：（1）當交換機從某個端口收到一個數據包，它先讀取包頭中的源MAC地址，這樣它就知道源MAC地址的機器是連在哪個端口上的；（2）再去讀取包頭中的目的MAC地址，并在地址表中查找相應的端口；（3）如表中有與這目的MAC地址對應的端口，把數據包直接復制到這端口上；（4）如表中找不到相應的端口則把數據包廣播到所有端口上，當目的機器對源機器回應時，交換機又可以學習一目的MAC地址與哪個端口對應，在下次傳送數據時就不再需要對所有端口進行廣播了。不斷的循環這個過程，對于全網的MAC地址信息都可以學習到，二層交換機就是這樣建立和維護它自己的地址表。可以看出二層交換機沒有路由功能，當不同的子網進行通信是要借助路由器實現數據包的轉發，所以當子網數量較多時，路由器的接口數量就成了一個瓶頸，而三層交換機就能解決這一缺點。三層交換機的最重要的功能是加快大型局域網絡內部的數據的快速轉發，加入路由功能也是為這個目的服務的。因此具有路由功能的快速轉發的三層交換機就成為首選。我們選擇CISCO3560-24PS作為核心層交換機，這個設備有26個端口，其中有兩個端口支持1Gbps的帶寬，選擇CISCO2950-24二層交換機作為接入層交換機，這個設備有24個接口，能夠實現10M/100M自適應到桌面的功能，而且，這兩款交換機都支持vlan功能。3.1.2核心層交換機的說明配置核心層的功能主要是實現骨干網絡之間的優化傳輸,核心層設計任務的重點通常是冗余能力、可靠性和高速的傳輸。網絡的控制功能最好盡量少在核心層上實施。核心層一直被認為是所有流量的最終承受者和匯聚者，所以對核心層的設計以及網絡設備的要求十分嚴格。核心交換機采用兩個三層交換機，該校園網分為7個vlan，vlan2、vlan3、vlan4分別接在核心交換機一的f0/1、f0/2、f0/3接口，vlan5、vlan6、vlan7、vlan8、vlan9分別接在核心交換機二的f0/1、f0/2、f0/3、f0/4接口。（1）基于端口vlan的劃分這是最常應用的一種VLAN劃分方法，應用也最為廣泛、最有效，目前絕大多數VLAN協議的交換機都提供這種VLAN配置方法。這種劃分VLAN的方法是根據以太網交換機的交換端口來劃分的，它是將VLAN交換機上的物理端口和VLAN交換機內部的PVC（永久虛電路）端口分成若干個組，每個組構成一個虛擬網，相當于一個獨立的VLAN交換機。從這種劃分方法本身我們可以看出，這種劃分的方法的優點是定義VLAN成員時非常簡單，只要將所有的端口都定義為相應的VLAN組即可。適合于任何大小的網絡。它的缺點是如果某用戶離開了原來的端口，到了一個新的交換機的某個端口，必須重新定義。在核心交換機上的配置如下：sw0(config)#intf0/1sw0(config-if)#switchportmodetrunksw0(config-if)#switchportaccessvlan2sw0(config)#intf0/2sw0(config-if)#switchportmodetrunksw0(config-if)#switchportaccessvlan3sw0(config)#intf0/3sw0(config-if)#switchportmodetrunksw0(config-if)#switchportaccessvlan4sw1(config)#intf0/1sw1(config-if)#switchportmodetrunksw1(config-if)#switchportaccessvlan5sw1(config)#intf0/2sw1(config-if)#switchportmodetrunksw1(config-if)#switchportaccessvlan6sw1(config)#intf0/3sw1(config-if)#switchportmodetrunksw1(config-if)#switchportaccessvlan7sw1(config)#intf0/4sw1(config-if)#switchportmodetrunksw1(config-if)#switchportaccessvlan8sw1(config)#intf0/5sw1(config-if)#switchportaccessvlan9（2）配置VLAN的各各接口的地址sw0(config)#intvlan2sw0(config-if)#ipaddsw0(config-if)#noshutdownsw0(config-if)#exitsw0(config)#intvlan3sw0(config-if)#ipaddsw0(config-if)#noshutdownsw0(config-if)#exitsw0(config)#intvlan4sw0(config-if)#ipaddsw0(config-if)#noshutdownsw1(config)#intvlan5sw1(config-if)#ipaddsw1(config-if)#noshutdownsw1(config-if)#exitsw1(config)#intvlan6sw1(config-if)#ipaddsw1(config-if)#noshutdownsw1(config-if)#exitsw1(config)#intvlan7sw1(config-if)#ipaddsw1(config-if)#noshutsw1(config-if)#exitsw1(config)#intvlan8sw1(config-if)#ipaddsw1(config-if)#noshutsw1(config)#intvlan9sw1(config-if)#ipaddsw1(config-if)#noshut(3)端口聚合提供冗余備份鏈路，端口聚合又稱鏈路聚合，是指兩臺交換機之間在物理上將多個端口連接起來，將多條鏈路聚合成一條邏輯鏈路。從而增大鏈路帶寬，解決交換網絡中因帶寬引起的網絡瓶頸問題。多條物理鏈路之間能夠相互冗余備份，其中任意一條鏈路斷開，不會影響其他鏈路的正常轉發數據。該核心交換機采用的是兩條，具體配置如下：Switch(config)#interport-channel1Switch(config-if)#noswitchportSwitch(config-if)#noshutdownSwitch(config-if)#ipaddressSwitch(config)#intergig0/1Switch(config-if)#channel-gSwitch(config-if)#channel-group1monSwitch(config)#intergig0/2Switch(config-if)#channel-group1mon(4)兩個三層核心交換機之間的RIP路由協議，具體配置代碼如下：sw0(config)#routerripsw0(config-router)#networksw0(config-router)#networksw0(config-router)#networksw0(config-router)#networksw0(config-router)#networksw0(config-router)#version2sw0(config-router)#noauto-summarysw1(config)#routerripsw1(config-router)#networksw1(config-router)#networksw1(config-router)#networksw1(config-router)#networksw1(config-router)#networksw1(config-router)#networksw1(config-router)#networksw1(config-router)#version2sw1(config-router)#noauto-summary3.1.3匯聚層交換機的說明配置分布層提供基于統一策略的互連性，它是核心層和訪問層的分界點，定義了網絡的邊界，對數據包進行復雜的運算。在園區網絡環境中，分布層主要提供如下功能：地址的聚集部門和工作組的接入廣播域/多目傳輸域的定義InterVLAN路由介質的轉換安全控制當網絡管理人員需要管理的交換機數量眾多時，可以使用VLAN中繼協議（VlanTrunkingProtocol，VTP）簡化管理，它只需在單獨一臺交換機上定義所有VLAN。然后通過VTP協議將VLAN定義傳播到本管理域中的所有交換機上。這樣，大大減輕了網絡管理人員的工作負擔和工作強度。將分布層交換機學生公寓區的交換機設置成為VTP服務器，其他交換機設置成為VTP客戶機。(1)訪問層交換機學生公寓區的交換機作為服務器的配置如下：s4#vlandatabases4(vlan)#vtpdomaindongs4(vlan)#vlan2s4(vlan)#vlan3s4(vlan)#vlan4s4(vlan)#vlan5s4(vlan)#vlan6s4(vlan)#vlan7s4(vlan)#vlan8s4(vlan)#vlan9s4(vlan)#vtpserver(2)trunk端口在最普遍的路由與交換領域，VLAN的端口聚合也有的叫TRUNK，不過大多數都叫TRUNKING，如CISCO公司。所謂的TRUNKING是用來在不同的交換機之間進行連接，以保證在跨越多個交換機上建立的同一個VLAN的成員能夠相互通訊。其中交換機之間互聯用的端口就稱為TRUNK端口。與一般的交換機的級聯不同，TRUNKING是基于OSI第二層數據鏈路層（DataLinkLayer)RUNKING技術，如果你在2個交換機上分別劃分了多個VLAN（VLAN也是基于Layer2的），那么分別在兩個交換機上的VLAN10和VLAN20的各自的成員如果要互通，就需要在A交換機上設為VLAN10的端口中取一個和交換機B上設為VLAN10的某個端口作級聯連接。VLAN20也是這樣。那么如果交換機上劃了10個VLAN就需要分別連10條線作級聯，端口效率就太低了。當交換機支持TRUNKING的時候，事情就簡單了，只需要2個交換機之間有一條級聯線，并將對應的端口設置為Trunk，這條線路就可以承載交換機上所有VLAN的信息。這樣的話，就算交換機上設了上百個個VLAN也只用1個端口就解決了。如果是不同臺的交換機上相同id的vlan要相互通信，那么可以通過共享的trunk端口就可以實現，如果是同一臺上不同id的vlan/不同臺不同id的vlan它們之間要相互通信，需要通過第三方的路由來實現。該層對學生公寓區交換機trunk配置如下：s4(config)#intf0/1s4(config-if)#switchportmodetrunks4(config)#intf0/2s4(config-if)#switchportmodetrunks4(config)#intf0/3s4(config-if)#switchportmodetrunks4(config)#intf0/4s4(config-if)#switchportmodetrunk3.1.4接入層交換機的說明配置接入層是最終用戶(教師、學生)與網絡的接口，它應該提供即插即用的特性，同時應該非常易于使用和維護。另外，通過VTP的設置，我們可以更好的將匯聚層的vlan信息導入到接入層，只需要將不同的端口加入不同的vlan，就能夠是機器之間通信。在該層的一個交換機上的配置如下:!進入vtp數據庫Switch#vlandatadase!設置vtp域名Switch(vlan)#vtpdomaindong!設置vtp模式Switch(vlan)#vtpclientSwitch(vlan)#exitSwitch#configgureterminal!配置接口F0/1為中繼接口Switch(config-if)#intf0/1!設置為trun模式Switch(config-if)#switchportmodetrunk3.2路由器模塊設計路由器是內部局域網和廣域網的分界點，主要是能夠進行數據包的轉發和路徑的選擇。另外，路由器要能夠支持不同網絡提供商的接入，實現線路的冗余，我在次課題中我選擇Cisco1841路由器。3.2.1路由協議的概念和種類在大型局域網絡的建設中熟練掌握路由和交換技術是不可缺少的，采取什么樣的路由算法，要根據網絡的拓撲結構而定，路由協議工作在OSI參考模型的第3層，因此它的作用主要是在通信子網間路由數據包。路由器具有在網絡中傳遞數據時選擇最佳路徑的能力。下面簡單的介紹幾種常見的路由協議。1.RIP協議RIP(RoutinginformationProtocol)是應用較早、使用較普遍的內部網關協議(InteriorGatewayProtocol,簡稱IGP)，適用于小型同類網絡，是典型的距離向量(distance-vector)協議。RIP通過廣播UDP報文來交換路由信息，每30秒發送一次路由信息更新。RIP提供跳躍計數(hopcount)作為尺度來衡量路由距離，跳躍計數是一個包到達目標所必須經過的路由器的數目。如果到相同目標有二個不等速或不同帶寬的路由器，但跳躍計數相同，則RIP認為兩個路由是等距離的。RIP最多支持的跳數為15，即在源和目的網間所要經過的最多路由器的數目為15，跳數16表示不可達。2.EIGRP加強型內部網關路由協議EIGRP路由協議是Cisco的私有路由協議,它綜合了距離矢量和鏈路狀態2者的優點，其中包括：(1)快速收斂：鏈路狀態包(Link-StatePacket,LSP)的轉發是不依靠路由計算的,所以大型網絡可以較為快速的進行收斂.它只宣告鏈路和鏈路狀態,而不宣告路由,所以即使鏈路發生了變化,不會引起該鏈路的路由被宣告.但是鏈路狀態路由協議使用的是Dijkstra算法,該算法比較復雜,并且較占CPU和內存資源和其他路由協議單獨計算路由相比,鏈路狀態路由協議采用種擴散計算(diffusingcomputations),通過多個路由器并行的記性路由計算,這樣就可以在無環路產生的情況下快速的收斂.(2)

減少帶寬占用:EIGRP不作周期性的更新,它只在路由的路徑和度發生變化以后做部分更新.當路徑信息改變以后,DUAL只發送那條路由信息改變了的更新,而不是發送整個路由表.和更新傳輸到一個區域內的所有路由器上的鏈路狀態路由協議相比,DUAL只發送更新給需要該更新信息的路由器。在WAN低速鏈路上,EIGRP可能會占用大量帶寬,默認只占用鏈路帶寬50%,之后發布的IOS允許使用命令ipbandwidth-percenteigrp來修改這一默認值.(3)支持多種網絡層協議:EIGRP通過使用“協議相關模塊”(即protocol-dependentmodule<PDM>),可以支持IPX,ApplleTalk,IP,IPv6和NovellNetware等協議.(4)無縫連接數據鏈路層協議和拓撲結構:EIGRP不要求對OSI參考模型的層2協議做特別是配置.不像OSPF,OSPF對不同的層2協議要做不同配置,比如以太網和幀中繼總之,EIGRP能夠有效的工作在LAN和WAN中,而且EIGRP保證網絡不會產生環路(loop-free);而且配置起來很簡單;支持VLSM;它使用多播和單播,不使用廣播,這樣做節約了帶寬。3.OSPF開放最短路徑優先路由協議OSPF(OpenShortestPathFirst開放式最短路徑優先)是一個內部網關協議(InteriorGatewayProtocol,簡稱IGP)，用于在單一自治系統(autonomoussystem,AS)內決策路由。與RIP相對，OSPF是鏈路狀態路由協議，而RIP是距離向量路由協議。鏈路是路由器接口的另一種說法，因此OSPF也稱為接口狀態路由協議。OSPF通過路由器之間通告網絡接口的狀態來建立鏈路狀態數據庫，生成最短路徑樹，每個OSPF路由器使用這些最短路徑構造路由表。OSPF路由協議是一種典型的鏈路狀態（Link-state）的路由協議，一般用于同一個路由域內。在這里，路由域是指一個自治系統（AutonomousSystem），即AS，它是指一組通過統一的路由政策或路由協議互相交換路由信息的網絡。在這個AS中，所有的OSPF路由器都維護一個相同的描述這個AS結構的數據庫，該數據庫中存放的是路由域中相應鏈路的狀態信息，OSPF路由器正是通過這個數據庫計算出其OSPF路由表的。作為一種鏈路狀態的路由協議，OSPF將鏈路狀態廣播數據包LSA（LinkStateAdvertisement）傳送給在某一區域內的所有路由器，這一點與距離矢量路由協議不同。運行距離矢量路由協議的路由器是將部分或全部的路由表傳遞給與其相鄰的路由器。在一個OSPF區域中只能有一個骨干區域,可以有多個非骨干區域,骨干區域的區域號為0。各非骨干區域間是不可以交換信息的，他們只有與骨干區域相連，通過骨干區域相互交換信息。非骨干區域和骨干區域之間相連的路由叫邊界路由（ABRs-AreaBorderRouters）,只有ABRs記載了各區域的所有路由表。各非骨干區域內的非ABRs只記載了本區域內的路由表，若要與外部區域中的路由相連，只能通過本區域的ABRs，由ABRs連到骨干區域的BR，再由骨干區域的BR連到要到達的區域。骨干區域和非骨干區域的劃分，大大降低了區域內工作路由的負擔。其中，RIP和OSPF路由協議是通用的路由協議，而EIGRP是cisco公司的專用協議，只有cisco公司的設備支持，因此這個協議具有局限性，在大部分局域網內，因此OSPF是首選的路由協議。

3.2.2路由器的管理方式可分為兩種:帶內管理和帶外管理。通過路由器的Console口管理交換機屬于帶外管理，不占用交換機的網絡接口，特點是線纜特殊，需要近距離配置。telnet指路由器的網絡接口，連接到網絡中的某臺主機。利用這臺主機進行遠程管理和配置，特點是網管可以進行遠程控制。配置路由器遠程登錄密碼，代碼如下：Router(config)#linevty04Router(config-line)#passworddongRouter(config-line)#login配置路由器特權模式密碼：Router(config)#enablepassworddong3.2.3無線路由考慮到學校無線網絡可能要連接室外的信息點，以實現全面有效的網絡覆蓋，因此，方案中采用的是室外無線接入設備。Cisco無線校園網的特點：(1)無線室外路由器、無線AP和無線網卡組成了完整的無線系統，實施極為便利，免去布線的困難，節約用戶建設校園網絡環境的時間、精力和財力；(2)WAP200E室外無線路由器適應性出色，使用中避免了網絡施工造成的環境破壞，利用無線網絡空中連接校園內建筑物；(3)對于很多學校存在分校的現象予以充分考慮。產品的傳輸能力較強，穩定性好，能夠方便的連接分校與本部的校園網絡，解決校園外地域網絡施工的難題；(4)網絡的應變性好，使用靈活。能夠充分配合學校舉辦的各類臨時性或者應急性活動，根據需要迅速架設后者調整網絡；(5)Cisco無線網絡產品提供了可靠的安全保證，其全部無線網絡產品均支持WPA/WPA2加密，并可擴充至256位的AES加密算法，為無線校園網絡在覆蓋區域內的全面應用提供了保障，無論是辦公，還是個人傳輸，都能夠放心應用。(6)極高的網絡安全性，網絡設備支持802.1X的認證，結合校園網的認證計費系統，實現了校園網極高的安全控制策略；此外，通過IP地址、MAC地址、端口、VLAN號、用戶帳號等多元素的綁定，實現多種方式的用戶接入訪問控制，保證用戶接入的安全(7)無線局域網的發展為校園網的建設和升級換代帶來了新的選擇，通過運用無線局域網技術的幾種的應用方式，我們可以在校園實現網絡的覆蓋。對于我校在樓宇內采用接入方式對辦公室、會議室、校園廣闊地進行無線網絡覆蓋。而對于學校兩部則通過室外網橋連接方式實現網絡互通。無線局域網作為一個有限局域網的補充和完善，在校園網建設中將會有更好的應用。我們在構建無線局域網時可以根據不同的需求選擇不同的接入方式這將使無線局域網技術得到更好的應用。具體的無線局域網的配置代碼如下：ipdhcppoolwirelessnetworkdefault-routerdns-server1無線路由器Internet自動獲得的IP如圖3-1所示：圖3-1無線路由器Internet自動獲得IP圖無線路由器LAN的IP如圖3-2所示：圖3-2無線路由器LAN的IP圖查看無線局域網的PC機自動獲得IP的情況，如圖3-3所示:圖3-3局域網中PC機自動獲得的IP圖4校園網服務器配置4.1WWW服務器配置WWW是建立在客戶機／服務器模型之上的。WWW是以超文本標注語言HTML(HyperMarkupLanguage)與超文本傳輸協議HTTP(HyperTextTransferProtocol)為基礎。能夠提供面向Internet服務的、一致的用戶界面的信息瀏覽系統。其中WWW服務器采用超文本鏈路來鏈接信息頁，這些信息頁既可放置在同一主機上，也可放置在不同地理位置的主機上；本鏈路由統一資源定位器(URL)維持，WWW客戶端軟件(即WWW瀏覽器)負責信息顯示與向服務器發送請求。Internet采用超文本和超媒體的信息組織方式，將信息的鏈接擴展到整個Internet上。目前，用戶利用WWW不僅能訪問到WebServer的信息，而且可以訪問到FTP、Telnet等網絡服務。因此，它已經成為Internet上應用最廣和最有前途的訪問工具，并在商業范圍內日益發揮著越來越重要的作用。WWW客戶程序在Internet上被稱為WWW瀏覽器（Browser），它是用來瀏覽Internet上WWW主頁的軟件。目前，最流行的瀏覽器軟件主要有Netscapecommunicator和MicrosoftInternetExplorer。WWW瀏覽提供界面友好的信息查詢接口，用戶只需提出查詢要求，至于到什么地方查詢，如何查詢則由WWW自動完成。因此WWW為用戶帶來的是世界范圍的超級文本服務。用戶只要操縱鼠標，就可以通過Internet從全世界任何地方調來所需的文本、圖像、聲音等信息。WWW使得非常復雜的Internet使用起來異常簡單。WWW瀏覽器不僅為用戶打開了尋找Internet上內容豐富、形式多樣的主頁信息資源的便捷途徑，而且提供了Usenet新聞組電子郵件與FTP協議等功能強大的通信手段。局域網WWW服務器的配置如圖4-1所示:圖4-1局域網WWW服務器配置圖4.2DNS服務器配置DNS服務器在互聯網的作用是：把域名轉換成為網絡可以識別的ip地址。首先，要知道互聯網的網站都是一臺一臺服務器的形式存在的，但是我們怎么去到要訪問的網站服務器呢？這就需要給每臺服務器分配IP地址，互聯網上的網站無窮多，我們不可能記住每個網站的IP地址，這就產生了方便記憶的域名管理系統DNS，他可以把我們輸入的好記的域名轉換為要訪問的服務器的IP地址.簡單的說，就是為了方便我們瀏覽互聯網上的網站而不用去刻意記住每個主機的IP地址，DNS服務器就應運而生，提供將域名解析為IP的服務，從而使我們上網的時候能夠用簡短而好記的域名來訪問互聯網上的靜態IP的主機。局域網內DNS服務器的配置如圖4-2所示：圖4-2局域網DNS服務器的配置5校園網絡的管理與安全5.1網絡管理隨著校園網的不斷發展和應用，網絡管理和安全防范問題也越來越復雜。為此，我校專門設立了網絡管理中心，負責網絡管理系統的建立和應用、線路和站點的監測、通信設備管理、全局目錄管理、用戶和文件管理及收費管理、用戶培訓等。同時，利用網管中心，可以方便地采取各種安全性措施，控制通信，購買硬件防火墻，即時下載系統漏洞，實施新的安全技術，數據備份等提高網絡可靠和安全性能水平。校園網管理的主要目的是保障網絡運行的品質，如維持網絡傳送速率、降低傳送錯誤率、確保網絡安全等。所以校園網系統管理的技術人員可借網絡管理工具或本身的技術經驗實施網絡管理，內容可分為下列6項：

（1）系統管理隨時掌握網絡內任何設備的增減與變動，管理所有網絡設備的設置參數。當故障發生時，管理人員得以重設或改變網絡設備的參數，維持網絡的正常運作。

（2）故障管理為確保網絡系統的高穩定性，在網絡出現問題時，必須及時察覺問題的所在。它包含所有節點動作狀態、故障記錄的追蹤與檢查及平常對各種通訊協議的測試。

（3）效率管理在于評估網絡系統的運作，統計網絡資源的運用及各種通訊協議的傳輸量等，更可提供未來網絡提升或更新規劃的依據。

（4）安全管理為防范不被授權的用戶擅自使用網絡資源，以及用戶蓄意破壞網絡系統的安全，要隨時做好安全措施，如合法的設備存取控制與加密等。

（5）計費管理了解網絡使用時間，能針對各個局部網絡做使用統計。一則可作為使用網絡計費的依據，更可作為日后網絡升級或更新規劃的參考。

（6）信息管理網絡上的信息分成兩部分，一是由管理員放置的信息，它們的品質一般較高；另一部分是由用戶放置的，可能會有一些問題，要對這部分信息進行管理。

（7）人員培訓要真正提高校園網的應用水平，就必須堅持不懈地在教學和學習中應用網絡，以切實提高教學水平、管理水平和學習水平，其中加強對相關人員的培訓十分必要。為此我校正舉辦網絡技術培訓班，對校園網的四類實用人員，即學校領導、系統維護人員、課件制作人員和應用系統使用人員，分期分批進行網絡培訓，以提高全體師生的網絡應用水平，并促進校園網的健康發展。5.2網絡安全主機安全技術：加強網絡上結點計算機的安全，包括：系統防火墻的規則設置、更新。系統漏洞補丁升級更新，在人們的潛意識里增加安全防范意識等等。身份認證技術：身份驗證技術可以阻止或減少由于非法用戶的登陸對系統的惡意或非法操作。在用戶訪問服務器上任何信息之前，可以要求用戶提供有效的MicrosoftWindows用戶帳戶、用戶名和密碼。該標識過程稱為“身份驗證”。可以在網站或FTP站點、目錄或文件級別設置身份驗證。可以使用Internet信息服務（IIS提供的）身份驗證方法來控制對網站和FTP站點的訪問。（包括下列信息：網站驗證：介紹符合您驗證用戶網站訪問要求的身份驗證方法。FTP站點身份驗證：介紹符合您驗證用戶FTP站點訪問要求的身份驗證方法。）訪問控制技術：對信息的權限的控制，阻止了非授權用戶進行的信息的瀏覽，修改甚至破壞。適當地控制對Web和FTP內容的訪問是安全運行Web服務器的關鍵。使用Windows和IIS中的安全功能，您可以有效地控制用戶訪問您Web和FTP內容的方式。可以控制多級訪問，從整個網站和FTP站點到單獨的文件。每個帳戶均被授予用戶特權和權限。用戶特權是指在計算機或網絡上執行特定操作的權力。權限是與對象（如文件或文件夾）關聯的規則，用于控制哪些帳戶可以獲得對象的訪問權限。防火墻技術：要主的技術有數據包過濾技術、應用網關和代理服務等；防火墻體系結構在網絡中的設置應用。例如屏蔽子網型防火墻。它是由兩個包過濾路由器和兩個堡壘機組成。堡壘主機和服務器放置在一個處于內外網的小型網絡（Dmz安全區）中。連接外網的包過濾路由器主要用來防止外網的攻擊。并管理外網對dmz的訪問。第二給個包過濾路由器是它置接受源于堡壘主機的數據，負責管理Ｄmz和內網之間的訪問。這樣對外網，內部網是不可見的。同理對于內網外網是不可見的，內網眼通過代理服務才能訪問外網。對于入侵者必須通過外部路由器和堡壘主機，內部路由器才能入侵到內網中。到目前可以認為是最安全的。安全審計技術：安全策略的訂制和授權信息的驗證技術是該技術的重點部分。可以使用安全審核技術跟蹤用戶活動并檢測對NTFS目錄和文件的未經授權的訪問。（可供審核的活動包括：用戶成功和失敗的登錄。用戶試圖訪問受到限制的帳戶。用戶試圖執行受到限制的命令。）5.2.1NAT網絡地址轉換(NAT,NetworkAddressTranslation)被廣泛應用于各種類型Internet接入方式和各種類型的網絡中。原因很簡單，NAT不僅完美地解決了lP地址不足的問題，而且還能夠有效地避免來自網絡外部的攻擊，隱藏并保護網絡內部的計算機。雖然NAT可以借助于某些代理服務器來實現，但考慮到運算成本和網絡性能，很多時候都是在路由器上來實現的。隨著接入Internet的計算機數量的不斷猛增，IP地址資源也就愈加顯得捉襟見肘。事實上，除了中國教育和科研計算機網(CERNET)外，一般用戶幾乎申請不到整段的C類IP地址。在其他ISP那里，即使是擁有幾百臺計算機的大型局域網用戶，當他們申請IP地址時，所分配的地址也不過只有幾個或十幾個IP地址。顯然，這樣少的IP地址根本無法滿足網絡用戶的需求，于是也就產生了NAT技術。NAT的實現方式有三種，即靜態轉換StaticNat、動態轉換DynamicNat和端口多路復用OverLoad。靜態轉換是指將內部網絡的私有IP地址轉換為公有IP地址，IP地址對是一對一的，是一成不變的，某個私有IP地址只轉換為某個公有IP地址。借助于靜態轉換，可以實現外部網絡對內部網絡中某些特定設備(如服務器)的訪問。動態轉換是指將內部網絡的私有IP地址轉換為公用IP地址時，IP地址對是不確定的，而是隨機的，所有被授權訪問上Internet的私有IP地址可隨機轉換為任何指定的合法IP地址。也就是說，只要指定哪些內部地址可以進行轉換，以及用哪些合法地址作為外部地址時，就可以進行動態轉換。動態轉換可以使用多個合法外部地址集。當ISP提供的合法IP地址略少于網絡內部的計算機數量時。可以采用動態轉換的方式。端口多路復用(PortaddressTranslation,PAT)是指改變外出數據包的源端口并進行端口轉換，即端口地址轉換(PAT，PortAddressTranslation).采用端口多路復用方式。內部網絡的所有主機均可共享一個合法外部IP地址實現對Internet的訪問，從而可以最大限度地節約IP地址資源。同時，又可隱藏網絡內部的所有主機，有效避免來自internet的攻擊。因此，目前網絡中應用最多的就是端口多路復用方式。(1)外網主機訪問內網服務器,采用的是靜態轉換。具體代碼如下：ipnatinsidesourcestatic00(2)實現局域網訪問互聯網，采用的是端口復用動態地址轉換，當內部多個私有ip地址對應外部很少的公網地址時所使用的，它可以根據端口的不同來區分不同的服務和對應的內部地址。在這次的課題設計中局域網訪問外網就是采用這種技術，具體代碼如下：Router(config)#intf0/1Router(config-if)#ipnatinsideRouter(config-if)#exitRouter(config)#ints0/1/0Router(config-if)#ipnatoutsideRouter(config-if)#exitRouter(config)#ipnatpooltest00netmaskRouter(config)#access-list10permit55Router(config)#access-list10permit55Router(config)#access-list10permit55Router(config)#access-list10permit55Router(config)#access-list10permit55Router(config)#access-list10permit55Router(config)#access-list10permit55Router(config)#access-list10permit55Router(config)#access-list10permit55Router(config)#access-list10permit55Router(config)#ipnatinsidesourcelist10pooltestoverload5.2.2A訪問控制列表（AccessControlList，ACL）是路由器和交換機接口的指令列表，用來控制端口進出的數據包。ACL適用于所有的被路由協議，如IP、IPX、AppleTalk等。這張表中包含了匹配關系、條件和查詢語句，表只是一個框架結構，其目的是為了對某種訪問進行控制。信息點間通信，內外網絡的通信都是企業網絡中必不可少的業務需求，但是為了保證內網的安全性，需要通過安全策略來保障非授權用戶只能訪問特定的網絡資源，從而達到對訪問進行控制的目的。簡而言之，ACL可以過濾網絡中的流量，控制訪問的一種網絡技術手段。ACL技術用在了核心交換機的SW0上面，不允許學生公寓區訪問行政區，其它的都可以，具體配置如下：interfac