基于仿真軟件的S師范大學(xué)B校區(qū)校園網(wǎng)安全設(shè)計(jì)方案研究目錄1緒論 11.1引言 11.2研究背景 11.3研究目的 11.4課題內(nèi)容 22需求分析 32.1相關(guān)人員需求分析 32.2安全性分析 32.3可行性分析 42.4綜合布線需求分析 52.4.1S師范大學(xué)B校區(qū)樓層分布以及人員分布 52.4.2S師范大學(xué)B校區(qū)機(jī)房、接入點(diǎn)分布、信息點(diǎn)分布 52.5現(xiàn)網(wǎng)分析 62.6需求總結(jié) 73S師范大學(xué)B校區(qū)校園網(wǎng)規(guī)劃設(shè)計(jì) 83.1S師范大學(xué)B校區(qū)綜合布線設(shè)計(jì)原則 83.2S師范大學(xué)B校區(qū)安全性設(shè)計(jì) 83.3S師范大學(xué)B校區(qū)路由部分設(shè)計(jì) 93.3.1路由技術(shù)協(xié)議——OSPF 93.3.2訪問(wèn)控制列表——ACL 133.3.3NAT技術(shù) 153.3.4DHCP 173.4S師范大學(xué)B校區(qū)交換部分設(shè)計(jì) 193.4.1VLAN技術(shù) 193.4.2生成樹——STP 193.5S師范大學(xué)B校區(qū)網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)設(shè)計(jì) 223.6S師范大學(xué)B校區(qū)網(wǎng)絡(luò)拓?fù)湔f(shuō)明 223.7IP地址規(guī)劃 234網(wǎng)絡(luò)設(shè)備選型 264.1S師范大學(xué)B校區(qū)路由器選型 264.2S師范大學(xué)B校區(qū)匯聚交換機(jī)選型 274.3S師范大學(xué)B校區(qū)接入交換機(jī)選型 274.4S師范大學(xué)B校區(qū)服務(wù)器接入交換機(jī)選型 284.5S師范大學(xué)B校區(qū)服務(wù)器選型 295網(wǎng)絡(luò)連通性測(cè)試 305.1內(nèi)網(wǎng)辦公終端訪問(wèn)WEB服務(wù)器以及教務(wù)系統(tǒng)聯(lián)通性測(cè)試 305.2公網(wǎng)訪問(wèn)WEB服務(wù)器 315.3局域網(wǎng)不同區(qū)域訪問(wèn)控制測(cè)試 335.4高可用測(cè)試 34總結(jié)和展望 36參考文獻(xiàn) 371緒論1.1引言本次論文所研究的內(nèi)容方向是基于仿真軟件的校園網(wǎng)設(shè)計(jì)方案研究以及對(duì)校園安全內(nèi)容研究。本課題研究背景是基于S師范大學(xué)B校區(qū)進(jìn)行相關(guān)研究，針對(duì)此研究課題，我將對(duì)所研究時(shí)間進(jìn)行合理規(guī)劃設(shè)計(jì)。在前2周時(shí)間主要工作內(nèi)容是查閱相關(guān)文獻(xiàn)以及參考資料，并對(duì)論文整體框架有所了解，在第3周到第4周時(shí)間內(nèi)，在老師的幫助下進(jìn)行相關(guān)技術(shù)調(diào)研，確定本次課題索要研究的內(nèi)容、方法和技術(shù)路線；在第5周內(nèi)，完成了整體拓?fù)湓O(shè)計(jì)方案思路；在第6周至第7周，完成了路由設(shè)計(jì)和相關(guān)技術(shù)分析以及核心部分設(shè)計(jì)部分內(nèi)容，經(jīng)過(guò)了這一系列的工作內(nèi)同規(guī)劃后完成了本次的論文設(shè)計(jì)。1.2研究背景S師范大學(xué)B校區(qū)即\t"/item/%E6%B7%AE%E5%8C%97%E5%B8%88%E8%8C%83%E5%A4%A7%E5%AD%A6%E6%BB%A8%E6%B9%96%E6%A0%A1%E5%8C%BA/_blank"S師范大學(xué)新校區(qū)，位于\t"/item/%E6%B7%AE%E5%8C%97%E5%B8%88%E8%8C%83%E5%A4%A7%E5%AD%A6%E6%BB%A8%E6%B9%96%E6%A0%A1%E5%8C%BA/_blank"S市烈山區(qū)沱河?xùn)|路8號(hào)。現(xiàn)已建成特殊教育師資力量培訓(xùn)中心、實(shí)驗(yàn)樓、行政樓等相關(guān)教學(xué)設(shè)施。該校區(qū)共有13棟宿舍樓，1-9棟共六層，10-13棟共11層，設(shè)有文津ABC樓、文源ABC樓、特教樓、行政樓，其中文源樓A是機(jī)房實(shí)驗(yàn)室，文源BC是教室辦公室，現(xiàn)S師范大學(xué)B校區(qū)網(wǎng)絡(luò)規(guī)劃不合理，學(xué)生誤操作等造成環(huán)路導(dǎo)致網(wǎng)絡(luò)故障等情況時(shí)有發(fā)生，辦公效果極差，并且安全防護(hù)措施不足，容易導(dǎo)致被攻擊風(fēng)險(xiǎn)，為了防止這種情況的發(fā)生，因?yàn)楸敬蜝校區(qū)校領(lǐng)導(dǎo)下定決心對(duì)網(wǎng)絡(luò)進(jìn)行一次大規(guī)模的整改改造。1.3研究目的本次研究的校園網(wǎng)絡(luò)設(shè)計(jì)主要目的是想要實(shí)現(xiàn)，各樓宇之間能夠穩(wěn)定，無(wú)論是從設(shè)備層面來(lái)說(shuō)還是線路方面來(lái)說(shuō)都將打造出一套可靠性網(wǎng)絡(luò)設(shè)計(jì)，減少因網(wǎng)絡(luò)故障而導(dǎo)致的其他問(wèn)題發(fā)生，如學(xué)生夜不歸宿等情況發(fā)生，在出口部署防火墻以及在服務(wù)器前端部署防火墻，提高了S師范大B校區(qū)整個(gè)網(wǎng)絡(luò)架構(gòu)的安全性[1]，實(shí)現(xiàn)內(nèi)網(wǎng)與服務(wù)器之間的邏輯隔離，由于現(xiàn)代人對(duì)互聯(lián)網(wǎng)的依賴程度，特此將網(wǎng)絡(luò)延申至學(xué)生宿舍樓，保障學(xué)生和老師宿舍休息期間都能夠保證互聯(lián)網(wǎng)正常使用，本次所設(shè)計(jì)的方案將會(huì)結(jié)合本人大學(xué)4年所掌握知識(shí)點(diǎn)大致上滿足以上需求，但是在復(fù)雜的現(xiàn)網(wǎng)中多多少少會(huì)存在一些不足之處需要改進(jìn)修復(fù)彌補(bǔ)。1.4課題內(nèi)容此次研究主題的主要內(nèi)容從B校區(qū)背景分析，延申至需求進(jìn)行分析如人員需求分析，安全性分析，綜合布線分析等，引導(dǎo)出本次設(shè)計(jì)所需采用技術(shù)以及設(shè)備需選型等等，以及該如何設(shè)計(jì)滿足用戶需求，從調(diào)研中來(lái)發(fā)現(xiàn)用戶的需求，建立在用戶的需求上來(lái)設(shè)計(jì)方案，相信才能夠更好的滿足用戶的需求，同時(shí)也使用模擬器來(lái)進(jìn)行不停的測(cè)試仿真，提高這個(gè)項(xiàng)目的可靠性、安全性以及項(xiàng)目竣工進(jìn)度。2需求分析2.1用戶需求分析通過(guò)與S師范大學(xué)B校區(qū)相關(guān)人員溝通了解到需求，以及實(shí)地進(jìn)行勘察需求得出以下結(jié)論。（1）在大部分教室中，無(wú)訪問(wèn)外網(wǎng)需求，只需要保障到內(nèi)容的網(wǎng)絡(luò)暢通，也就是說(shuō)他們的需求是在內(nèi)網(wǎng)訪問(wèn)內(nèi)部應(yīng)用系統(tǒng)的時(shí)候，上傳或下載資料時(shí)候不會(huì)出現(xiàn)卡頓等現(xiàn)象的發(fā)生，這時(shí)就是需要鏈路帶寬高，負(fù)荷能力好，但是以目前的綜合布線來(lái)看，線路的老化、帶寬不足等問(wèn)題的出現(xiàn)，現(xiàn)網(wǎng)已經(jīng)無(wú)法滿足高效率辦公的需求，需要重新對(duì)辦公網(wǎng)絡(luò)系統(tǒng)進(jìn)行升級(jí)改造，包括網(wǎng)絡(luò)設(shè)備、安全設(shè)備以及綜合布線等[2]。保證整體辦公網(wǎng)絡(luò)能夠達(dá)到千兆的帶寬。（2）部分教師以及學(xué)生等只需要訪問(wèn)互聯(lián)網(wǎng)，無(wú)訪問(wèn)內(nèi)部辦公系統(tǒng)需求，對(duì)于網(wǎng)絡(luò)訪問(wèn)安全而言，需要相對(duì)進(jìn)行訪問(wèn)控制，保證內(nèi)部辦公系統(tǒng)的安全。由于設(shè)備的老化嚴(yán)重，時(shí)常發(fā)生設(shè)備故障導(dǎo)致辦公業(yè)務(wù)停止的情況，嚴(yán)重影響辦學(xué)效率，所以關(guān)鍵設(shè)備的冗余設(shè)計(jì)也是考慮的重點(diǎn)之一。（3）通過(guò)問(wèn)卷調(diào)查方式能夠更直觀的評(píng)估出S師范大學(xué)B校區(qū)的老師和學(xué)生們對(duì)網(wǎng)絡(luò)方面的相關(guān)需求。（4）走進(jìn)校園對(duì)校園的網(wǎng)絡(luò)環(huán)境實(shí)地的進(jìn)行勘查以及設(shè)備上架位置規(guī)劃等，以及綜合布線線路走向。2.2安全性分析（1）監(jiān)控設(shè)備和終端運(yùn)行狀態(tài)，保證網(wǎng)絡(luò)以及安全設(shè)備能夠安全、穩(wěn)定運(yùn)行。（2）當(dāng)故障發(fā)生時(shí)夠及時(shí)快速的進(jìn)行響應(yīng)，快速定位，解決故障問(wèn)題，能夠保證在較短的時(shí)間內(nèi)恢復(fù)正常。（3）建設(shè)方應(yīng)需要滿足S師范大學(xué)B校區(qū)的實(shí)際需求，在今后校園內(nèi)出現(xiàn)一個(gè)新的業(yè)務(wù)或者是新的樓宇建立時(shí)，能夠做到網(wǎng)絡(luò)最小的調(diào)整優(yōu)化。隨著S師范大學(xué)B校區(qū)校園業(yè)務(wù)規(guī)模的不斷擴(kuò)大，如學(xué)生端管理系統(tǒng)、成績(jī)查詢系統(tǒng)等新業(yè)務(wù)上線，所搭建的網(wǎng)絡(luò)系統(tǒng)結(jié)構(gòu)是否能夠滿足新業(yè)務(wù)的系統(tǒng)安全性，這也將是重點(diǎn)關(guān)注內(nèi)容之一。所以將對(duì)服務(wù)器系統(tǒng)單獨(dú)劃分一個(gè)區(qū)域，并且設(shè)立WAF防火墻進(jìn)行相關(guān)安全保護(hù)，由于模擬器上的限制，在現(xiàn)網(wǎng)中還需部署安全審計(jì)設(shè)備以及流量分析設(shè)備。2.3可行性分析為了保證學(xué)校能夠正常的有效的進(jìn)行運(yùn)營(yíng)，網(wǎng)絡(luò)需要提高安全性并且能夠?qū)崿F(xiàn)有效的可靠地運(yùn)行。所以在本次網(wǎng)絡(luò)規(guī)劃設(shè)計(jì)開始設(shè)想前期，就要開始制定一份統(tǒng)一的安全規(guī)則、規(guī)范，用來(lái)以保護(hù)重要信息、網(wǎng)絡(luò)設(shè)備終端電腦設(shè)備等一些其他的安全性問(wèn)題[4]。本次仿真設(shè)計(jì)實(shí)驗(yàn)中所需要采用的技術(shù)包括網(wǎng)絡(luò)設(shè)備的冗余備份，主要體現(xiàn)在線路與設(shè)備的互相備份并進(jìn)行切換過(guò)程中考慮影響范圍等。為了滿足上面那些問(wèn)題需要，所以在網(wǎng)絡(luò)仿真設(shè)計(jì)中配置防火墻進(jìn)行相關(guān)的安全防護(hù)，通過(guò)ACL限制用戶訪問(wèn)權(quán)限等相關(guān)安全措施，以增加網(wǎng)絡(luò)的安全性。本次淮師大B校區(qū)的網(wǎng)絡(luò)規(guī)劃設(shè)計(jì)在有以下優(yōu)勢(shì)：（1）該校區(qū)入職了新的計(jì)算機(jī)工作人員，建立了專業(yè)的技術(shù)團(tuán)隊(duì)部門，能夠很好的為該校區(qū)以后為建成的網(wǎng)絡(luò)進(jìn)行運(yùn)維，通過(guò)一些便捷的設(shè)備，如網(wǎng)管軟件、準(zhǔn)入設(shè)備、態(tài)勢(shì)感知等相結(jié)合便于進(jìn)行網(wǎng)絡(luò)管理。（2）現(xiàn)網(wǎng)絡(luò)數(shù)據(jù)連通技術(shù)各種更新?lián)Q代，市場(chǎng)上也出現(xiàn)了許多品牌不一致的設(shè)備廠家崛起，存在競(jìng)爭(zhēng)關(guān)系，各自的設(shè)備性能都將得到有效的提高，這也導(dǎo)致了設(shè)備性能越來(lái)越高，但是出售價(jià)格確越來(lái)越低，可以為本次S師范大學(xué)B校區(qū)的規(guī)劃設(shè)計(jì)對(duì)設(shè)備采購(gòu)的成本得到有效的降低。（3）國(guó)家和當(dāng)?shù)卣卜浅ＶС中@建設(shè)發(fā)展，出臺(tái)了許多政策能夠保障校園的信息化建設(shè)以及信息化安全建設(shè)規(guī)章制度，形成一份統(tǒng)一標(biāo)準(zhǔn)，并且可以保障S師范大學(xué)B校區(qū)網(wǎng)絡(luò)層面安全性。2.4綜合布線需求分析通過(guò)對(duì)S師范大學(xué)B校區(qū)實(shí)地調(diào)研分析后發(fā)現(xiàn)，S師范大學(xué)B校區(qū)的綜合布線老化較為嚴(yán)重，以及線路帶寬以及無(wú)法滿足S師范大學(xué)B校區(qū)高效辦公的需求，所以我們?cè)谧鯯師范大學(xué)B校區(qū)辦公系統(tǒng)網(wǎng)絡(luò)設(shè)計(jì)規(guī)劃中，根據(jù)S師范大學(xué)該校區(qū)的實(shí)地物理環(huán)境以及設(shè)備選型上對(duì)預(yù)算經(jīng)費(fèi)進(jìn)行合理分配，保證有充足的經(jīng)費(fèi)用于綜合布線的改造，這個(gè)時(shí)候需要對(duì)S師范大學(xué)B校區(qū)的機(jī)房以及弱電間等物理位置能夠有很清楚的認(rèn)識(shí)以及區(qū)域之間的劃分，并且需要跟該校區(qū)網(wǎng)絡(luò)運(yùn)維人員進(jìn)行協(xié)調(diào)溝通，對(duì)今后該校區(qū)新生入網(wǎng)提供保障。2.4.1淮師大B校區(qū)樓層分布以及人員分布樓層分布：共分為文津樓ABC，文源樓ABC，13棟學(xué)生宿舍樓。人員分布：每棟學(xué)生宿舍樓共計(jì)230人，平均文津樓設(shè)有終端90臺(tái)，文源樓設(shè)有終端300臺(tái)。2.4.2淮師大B校區(qū)機(jī)房分布主機(jī)房分布：主機(jī)房設(shè)在文源樓A棟樓，每棟樓都將設(shè)置一個(gè)匯聚點(diǎn)，主機(jī)房與每棟匯聚機(jī)房使用光纖互連傳輸，每個(gè)匯聚點(diǎn)通過(guò)1組24芯單模光纖與主機(jī)房對(duì)接，每個(gè)匯聚點(diǎn)通過(guò)1組24芯多模光纖與各樓層接入層設(shè)備互聯(lián)，光纖的接入建議采用機(jī)架式的光纖接線盒，配線架與各辦公室信息點(diǎn)通過(guò)超五類線纜進(jìn)行綜合布線。接入分布：文津樓，文源樓，宿舍樓每層樓設(shè)計(jì)一個(gè)接入點(diǎn)部署在弱電間，接入層交換機(jī)統(tǒng)一通過(guò)光纖接入?yún)R聚，匯聚設(shè)備部署點(diǎn)按實(shí)際情況進(jìn)行分析，需保證匯聚設(shè)備與核心以及接入對(duì)接的方便性以及經(jīng)濟(jì)性進(jìn)行考量[5]。信息點(diǎn)分布：此次設(shè)計(jì)的信息點(diǎn)分布調(diào)查顯示，信息點(diǎn)主要集中在教學(xué)樓、圖書館、實(shí)驗(yàn)樓?？紤]后期的擴(kuò)展性，規(guī)劃信息點(diǎn)數(shù)量應(yīng)大于實(shí)際使用數(shù)量，如下表2-1信息點(diǎn)分布圖。表2-1信息點(diǎn)分布所在位置信息面板信息點(diǎn)總數(shù)文津樓A110220文津樓B110220文津樓C200400文源樓A7001400文源樓B390780文源樓C385770宿舍樓50010002.5現(xiàn)網(wǎng)分析（1）由于后期管理的不規(guī)范，導(dǎo)致設(shè)備資產(chǎn)無(wú)法進(jìn)行梳理登記；（2）網(wǎng)絡(luò)攻擊時(shí)有發(fā)生，顧此失彼；（3）設(shè)備帶寬無(wú)法滿足現(xiàn)網(wǎng)需求，當(dāng)設(shè)備受到訪問(wèn)僵尸網(wǎng)絡(luò)的情況無(wú)法做到及時(shí)發(fā)現(xiàn)；（4）設(shè)備的時(shí)鐘較混亂，造成日志分析錯(cuò)誤等問(wèn)題，無(wú)法準(zhǔn)確反映當(dāng)前狀態(tài)；（5）硬件設(shè)備品種過(guò)多，導(dǎo)致容易出現(xiàn)軟件的不兼容問(wèn)題；（6）缺少時(shí)鐘同步服務(wù)器，無(wú)法做到設(shè)備時(shí)間一致。2.6需求總結(jié)經(jīng)過(guò)我們的實(shí)地調(diào)研對(duì)比數(shù)據(jù)分析得出，在大部分人眼中，對(duì)網(wǎng)絡(luò)速度要求較高，那么由于以前老化的綜合布線問(wèn)題，導(dǎo)致本次需要對(duì)各個(gè)地方的布線進(jìn)行施工，同時(shí)也對(duì)布線這部分內(nèi)容進(jìn)行實(shí)地調(diào)研統(tǒng)計(jì)，在小部分人嚴(yán)重，對(duì)網(wǎng)絡(luò)穩(wěn)定性要求較高，那么就需要考慮到網(wǎng)絡(luò)架構(gòu)的冗余性穩(wěn)定性等其他相關(guān)問(wèn)題，所以本次所設(shè)計(jì)的青島B校區(qū)網(wǎng)絡(luò)規(guī)劃中需要重點(diǎn)考慮網(wǎng)絡(luò)架構(gòu)冗余性問(wèn)題，重新進(jìn)行綜合布線、安全性等其他問(wèn)題也需要考慮進(jìn)去，針對(duì)以上這些需求，在本文所設(shè)計(jì)中使用路由器作為互聯(lián)網(wǎng)出口，并部署一套防火墻進(jìn)行相關(guān)的安全防護(hù)增加網(wǎng)絡(luò)的架構(gòu)的安全性，使用2臺(tái)核心設(shè)備并配置HSRP技術(shù)，核心設(shè)備到匯聚設(shè)備、匯聚設(shè)備到接入設(shè)備都采用雙線路，那么無(wú)論是從硬件數(shù)量上的備份還是線路方面上的備份都能夠得到有效的保障，同時(shí)也采用全千兆交換機(jī)，提高網(wǎng)絡(luò)帶寬，所以說(shuō)本次所設(shè)計(jì)出來(lái)的方案基本能夠滿足以上需求設(shè)計(jì)。3S師范大學(xué)B校區(qū)校園網(wǎng)規(guī)劃設(shè)計(jì)3.1S師范大學(xué)B校區(qū)綜合布線設(shè)計(jì)原則在設(shè)計(jì)S師范大學(xué)B校區(qū)辦公系統(tǒng)網(wǎng)絡(luò)綜合布線時(shí)，必須嚴(yán)格根據(jù)布線標(biāo)準(zhǔn)和規(guī)范進(jìn)行現(xiàn)場(chǎng)施工和規(guī)劃設(shè)計(jì)，以及后期的線路測(cè)試、項(xiàng)目驗(yàn)收等，需適當(dāng)保持前沿性，一步到位，避免后期重復(fù)進(jìn)行施工改造。（1）兼容性原則：在綜合布線時(shí)所使用的傳輸介質(zhì)需具備一定的兼容性，傳輸介質(zhì)的兼容性與應(yīng)用系統(tǒng)無(wú)關(guān)，需保證能夠應(yīng)用于各種系統(tǒng)。在使用時(shí)，最終使用用戶無(wú)需關(guān)注某個(gè)工作區(qū)域以及所涉及的辦公系統(tǒng)類型，保證用戶只需要把終端接入信息插座，機(jī)房網(wǎng)絡(luò)管理員在設(shè)備間將對(duì)應(yīng)的端口按網(wǎng)絡(luò)需求接入對(duì)應(yīng)設(shè)備上，用戶就可使用辦公系統(tǒng)網(wǎng)絡(luò)；（2）靈活性原則：辦公系統(tǒng)網(wǎng)絡(luò)設(shè)計(jì)所涉及到的信息點(diǎn)藥具備與多廠商多類型設(shè)備進(jìn)行連接；（3）可靠性原則：綜合布線所使用傳輸介質(zhì)需采用高品質(zhì)線纜，所使用的線槽和其它組件需滿足ISO認(rèn)證。布線的方式必須獨(dú)立（點(diǎn)對(duì)點(diǎn)連接），互相不影響，一條線路故障不能夠影響其它的線路，為后期的維護(hù)和故障排查做準(zhǔn)備，減少人員成本。（4）先進(jìn)性原則：在滿足現(xiàn)有要求的情況下，需要充分思考當(dāng)今網(wǎng)絡(luò)技術(shù)發(fā)展情況，考慮采用適當(dāng)超前的技術(shù)，需具備語(yǔ)音、圖像通信以及數(shù)據(jù)分析等功能。3.2S師范大學(xué)B校區(qū)安全性設(shè)計(jì)伴隨著網(wǎng)絡(luò)新技術(shù)的不斷發(fā)展趨勢(shì)。不但需要保證學(xué)生們?cè)谠撔^(qū)里的上課效率的提高，也要保證老師們的辦公教學(xué)質(zhì)量提高，辦公系統(tǒng)網(wǎng)絡(luò)需要一個(gè)相對(duì)穩(wěn)定的平滑改造，以及也需要保證內(nèi)網(wǎng)辦公系統(tǒng)數(shù)據(jù)的安全性。所以，S師范大學(xué)B校區(qū)需要滿足以下條件：（1）防止教務(wù)系統(tǒng)被篡改：是指非法者攻擊教務(wù)系統(tǒng)，并針對(duì)可用數(shù)據(jù)信息進(jìn)行惡意破壞，讓合法使用者不能夠看到數(shù)據(jù)報(bào)文的完整性以及正確性，會(huì)將這種錯(cuò)誤的報(bào)文告知使用者，給該校區(qū)老師、學(xué)生以及相關(guān)辦公人員造成一個(gè)不可以預(yù)估的嚴(yán)重后果。（2）防止越權(quán)訪問(wèn)：是指非法攻擊者在未取得數(shù)據(jù)信息接收者同意的情況下，非法攻擊者通過(guò)一些手段直接進(jìn)入應(yīng)用系統(tǒng)數(shù)據(jù)服務(wù)器，也就是相當(dāng)于低權(quán)限用戶能夠執(zhí)行超級(jí)管理員的權(quán)限，進(jìn)行相應(yīng)的操作。（3）防止數(shù)據(jù)信息丟失亂碼：也就是說(shuō)非法攻擊者采用非法不正當(dāng)?shù)募夹g(shù)手段來(lái)對(duì)數(shù)據(jù)報(bào)文獲取后，進(jìn)行相關(guān)破壞造成接收者就無(wú)法取得到正確的可用數(shù)據(jù)信息。（4）可擴(kuò)展性：對(duì)設(shè)備的性能要求極高，隨著世界網(wǎng)絡(luò)新技術(shù)的不斷發(fā)展趨勢(shì)，S師范大學(xué)B校區(qū)辦公系統(tǒng)網(wǎng)絡(luò)也要緊隨網(wǎng)絡(luò)新技術(shù)的變化，不久的將來(lái)也會(huì)涉及到更新、改造以及擴(kuò)建等情況，所以不但要保證此次S師范大學(xué)B校區(qū)本次網(wǎng)絡(luò)改造的搭建設(shè)計(jì)同時(shí)也要能夠滿足今后的需求[7]。（5）經(jīng)濟(jì)性；辦公系統(tǒng)網(wǎng)絡(luò)規(guī)劃設(shè)計(jì)中的網(wǎng)絡(luò)設(shè)備以及安全設(shè)備的質(zhì)量要滿足經(jīng)濟(jì)性要求，性價(jià)比要高，在升級(jí)改造中要合理利用原有資源，盡可能發(fā)揮現(xiàn)有設(shè)備的效益。3.3S師范大學(xué)B校區(qū)路由部分設(shè)計(jì)3.3.1路由技術(shù)協(xié)議——OSPF在本次所設(shè)計(jì)得方案中，將采用公有協(xié)議ospf技術(shù)，這項(xiàng)技術(shù)屬于IETF研發(fā)出來(lái)，說(shuō)白了也就是由思科研發(fā)出來(lái)后，交由IETF組織后演變?yōu)楣蓞f(xié)議，所以說(shuō)這個(gè)協(xié)議技術(shù)很多廠家都支持，如華三、思科以及奇安信等，在ipv4的環(huán)境中使用的是ospf版本2，在ipv6的環(huán)境中可以使用ospfv3技術(shù)[9]。Opsf可以支持支持動(dòng)態(tài)的學(xué)習(xí)組網(wǎng)能所有的路由條目，同時(shí)ospf技術(shù)也采用自己的一套算法來(lái)計(jì)算出最優(yōu)路徑，減少不必要的路由開銷。如下圖3.1,ospf特點(diǎn)圖3.1OSPF特點(diǎn)由圖可以看出，ospf會(huì)先自己根據(jù)鄰居關(guān)系生成一個(gè)spf樹，然后根據(jù)這棵樹來(lái)計(jì)算出路由，同時(shí)每30分鐘發(fā)一次更新報(bào)文，來(lái)查看這顆樹的關(guān)系變化，也就是查看ospf鄰居關(guān)系間的變化，所以來(lái)說(shuō)，這項(xiàng)技術(shù)相對(duì)于靜態(tài)路由來(lái)比較的話，那么是相對(duì)于比較智能，可以減少工程師們發(fā)布路由時(shí)間，以及計(jì)算路徑時(shí)間。（1）區(qū)域在設(shè)計(jì)方案中，需要采用分級(jí)劃分區(qū)域，或者是按照業(yè)務(wù)性能來(lái)劃分區(qū)域，而在ospf中它也有區(qū)域?qū)蛹?jí)概念，通過(guò)劃分區(qū)域節(jié)點(diǎn)，可以使整個(gè)網(wǎng)絡(luò)架構(gòu)看起來(lái)更有層級(jí)節(jié)點(diǎn)，同時(shí)也可以減少非骨干區(qū)域之間的路由條目限制，在大型網(wǎng)絡(luò)中，一般核心設(shè)備上的路由條目數(shù)量較多，而后因?yàn)樾」?jié)點(diǎn)網(wǎng)絡(luò)上的改動(dòng)，而導(dǎo)致核心設(shè)備上的路由震蕩，而影響到整張網(wǎng)絡(luò)中，所以接下來(lái)來(lái)介紹一下OSPF區(qū)域的劃分，如下圖3.2，ospf區(qū)域劃分圖3.2OSPF區(qū)域劃分1）骨干區(qū)域：也叫為核心區(qū)域，字面意思理解也就是通過(guò)這個(gè)區(qū)域?qū)⒎枪歉蓞^(qū)域全部連接起來(lái)，其他區(qū)域的路由信心都需要通過(guò)這個(gè)區(qū)域來(lái)進(jìn)行傳遞路由信息，同時(shí)也減少環(huán)路的出現(xiàn)。2）非骨干區(qū)域：也就是除了area0之外的區(qū)域都叫非骨干區(qū)域，如上圖所示的area1、area2、area3等，那么如果要向讓area1和area2能夠?qū)崿F(xiàn)互通，那么他們之間需要借助area0來(lái)進(jìn)行傳遞路由信息，但是在現(xiàn)網(wǎng)中并非如我們所愿所看到所有非骨干區(qū)域都是通過(guò)骨干區(qū)域互聯(lián)，那么我們將如何解決這個(gè)問(wèn)題呢？正因?yàn)檫@個(gè)問(wèn)題所以也就有后來(lái)的虛擬化隧道技術(shù)，將這2個(gè)非骨干區(qū)域通過(guò)虛鏈路方式進(jìn)行將2個(gè)非骨干區(qū)域直接相連進(jìn)行數(shù)據(jù)傳輸。（2）相關(guān)實(shí)驗(yàn)驗(yàn)證OSPF自動(dòng)學(xué)習(xí)路由能力以及查看OSPF鄰居關(guān)系，拓?fù)鋱D如下圖3.3所示：圖3.3相關(guān)實(shí)驗(yàn)拓?fù)鋱D使用三臺(tái)路由器配置相應(yīng)的接口互聯(lián)地址，并在每臺(tái)路由器分別啟用2個(gè)環(huán)回口地址，用來(lái)模擬其他網(wǎng)段主機(jī)地址，LPC-r1配置信息如下：interfaceLoopback1ipaddress55interfaceLoopback2ipaddress55interfaceFastEthernet0/0ipaddress52ipospf1area0interfaceFastEthernet0/1ipaddress52ipospf1area0routerospf1networkarea0networkarea0查看LPC-r1上的ospf鄰居關(guān)系，如下圖3.4效果圖所示，可以得出LPC-r1分別與LPC-r2、LPC-r3建立了ospf鄰居，并且學(xué)習(xí)到另外2臺(tái)路由器上的環(huán)回口地址，由此可以得出，只要把需要宣告出去的網(wǎng)段宣告出去，其他ospf鄰居即可學(xué)習(xí)到相應(yīng)的路由信息。圖3.4效果圖測(cè)試LPC-r1去訪問(wèn)LPC-r2和LPC-r3的環(huán)回口地址，具體如下圖3.5效果圖所示圖3.5效果圖3.3.2訪問(wèn)控制列表——ACL訪問(wèn)控制列表原先是在上一代的防火墻上，隨著時(shí)間的遷移后面才應(yīng)用在交換機(jī)路由器上，目前訪問(wèn)控制還是在防火墻進(jìn)行使用，很少會(huì)在交換機(jī)上使用這個(gè)技術(shù)，本身交換機(jī)只是起到轉(zhuǎn)發(fā)數(shù)據(jù)包作用[10]，而防火墻最開始的定義在隔離防護(hù)上，而訪問(wèn)控制就是起到隔離和防護(hù)的作用。1）標(biāo)準(zhǔn)訪問(wèn)的控制列表：無(wú)法拒絕某些協(xié)議的特定端口，比如禁止TCP21端口，它只能拒絕整個(gè)協(xié)議，比如TCP協(xié)議等；標(biāo)準(zhǔn)的訪問(wèn)控制列表號(hào)只能使用1——99或者從1300——1999，其它的端口號(hào)無(wú)法進(jìn)行使用[11]。2）擴(kuò)展訪問(wèn)控制列表：正好與標(biāo)準(zhǔn)的訪問(wèn)控制列表相反，它可以做到控制到特定協(xié)議的具體端口號(hào)。（2）相關(guān)實(shí)驗(yàn)驗(yàn)證訪問(wèn)控制列表種的2種acl，拓?fù)鋱D如下圖3.6所示，使用三臺(tái)路由器配置相應(yīng)的接口互聯(lián)地址，并在每臺(tái)路由器分別啟用2個(gè)環(huán)回口地址，用來(lái)模擬其他網(wǎng)段主機(jī)地址，LPC-r1配置信息如下圖3.6拓?fù)鋱D使用標(biāo)準(zhǔn)訪問(wèn)控制列表來(lái)限制去訪問(wèn)90，可以在LPC-r2上或者LPC-r1上進(jìn)行配置，本例在LPC-r2上配置，具體配置命令如下所示：access-list1denyhostinterfaceFastEthernet0/1ipaccess-group1in測(cè)試如下圖3.7效果圖所示圖3.7效果圖使用擴(kuò)展訪問(wèn)列表來(lái)限制訪問(wèn)1的TCP23端口，可以在LPC-r3上或者LPC-r1上進(jìn)行配置，本例在LPC-r2上配置，具體配置命令如下所示：ipaccess-listextendedxianzhidenytcphosthost1eqtelne測(cè)試效果如下圖3.8效果圖圖3.8效果圖3.3.3NAT技術(shù)將私網(wǎng)IP地址通過(guò)地址轉(zhuǎn)換技術(shù)將轉(zhuǎn)換成互聯(lián)網(wǎng)地址進(jìn)行通信，這樣一個(gè)簡(jiǎn)單的技術(shù)可以使用戶隱藏自己內(nèi)網(wǎng)地址，本身公網(wǎng)地址就已經(jīng)不夠使用了，可以有效的減緩IP地址短缺問(wèn)題[12]，而且在規(guī)定中，我們的私網(wǎng)地址是不能出現(xiàn)在公網(wǎng)上，也正是因?yàn)檫@些短缺的問(wèn)題，人們開始研究IPV6技術(shù)，可以做到每個(gè)人都使用公網(wǎng)地址。目前在交換機(jī)上無(wú)法實(shí)現(xiàn)這項(xiàng)技術(shù)，隨著后續(xù)的研發(fā)，我相信交換機(jī)可以支持這項(xiàng)技術(shù)。（1）分類1）靜態(tài)NAT，是指將私網(wǎng)地址進(jìn)行一對(duì)一的轉(zhuǎn)換成互聯(lián)網(wǎng)地址，但是使用這種技術(shù)的話，那么也就需要很多個(gè)互聯(lián)網(wǎng)的IP地址，這樣跟直接配置公網(wǎng)地址道理是一樣的，但是因?yàn)榈刂范倘钡膯?wèn)題，至使這項(xiàng)技術(shù)會(huì)浪費(fèi)很多公網(wǎng)地址，而且對(duì)資金方面也有很大的挑戰(zhàn)，一般這項(xiàng)技術(shù)只會(huì)用在需要將內(nèi)網(wǎng)的某臺(tái)設(shè)備端口全部映射到公網(wǎng)上才會(huì)使用，或者是在自己搭建的模擬器上。2）動(dòng)態(tài)NAT，將所有的私網(wǎng)IP地址通過(guò)地址技術(shù)只映射到這個(gè)對(duì)外的地址池中的隨機(jī)一個(gè)地址，其實(shí)這么做也有點(diǎn)像靜態(tài)的NAT技術(shù)，假設(shè)地址池中有2個(gè)地址，此時(shí)局域網(wǎng)中有3臺(tái)設(shè)備需要去訪問(wèn)外網(wǎng)，那么這個(gè)時(shí)候局域網(wǎng)的3臺(tái)設(shè)備同時(shí)需要訪問(wèn)外網(wǎng)，也就是說(shuō)只有2個(gè)臺(tái)設(shè)備才能訪問(wèn)外網(wǎng)，剩下的一臺(tái)設(shè)備就需要等另外一臺(tái)設(shè)備下線后才可以去訪問(wèn)外網(wǎng)資源，嚴(yán)重影響工作的效率，唯一的好處就是可以減少網(wǎng)絡(luò)技術(shù)人員的維護(hù)靜態(tài)映射關(guān)系表的工作量，所以這項(xiàng)技術(shù)在現(xiàn)網(wǎng)中也使用的比較少。3）端口復(fù)用技術(shù)，將所有的私網(wǎng)地址通過(guò)地址轉(zhuǎn)換映射同一個(gè)公網(wǎng)地址上，所轉(zhuǎn)換的端口號(hào)雖然說(shuō)是隨機(jī)的，查資料分析得出是按照一定的算法進(jìn)行實(shí)現(xiàn)的，比如說(shuō)，有一個(gè)私網(wǎng)的IP地址原本轉(zhuǎn)換出去的端口號(hào)是四千，那么此時(shí)會(huì)對(duì)四千這個(gè)端口尋查，看下是否已經(jīng)使用過(guò)，如果這個(gè)四千的端口還存在的話，那么就會(huì)直接使用這個(gè)端口，如果被人占用了，那么會(huì)進(jìn)行加一后繼續(xù)執(zhí)行查詢動(dòng)作，按照以上步驟持續(xù)查詢驗(yàn)證，直到查出來(lái)端口號(hào)沒(méi)人在使用，那么就直接使用這個(gè)端口號(hào)，正常來(lái)說(shuō)一個(gè)IP地址對(duì)應(yīng)的端口號(hào)從1——65535，也就是說(shuō)一個(gè)公網(wǎng)地址頂多只能讓65535個(gè)設(shè)備進(jìn)行轉(zhuǎn)換，相對(duì)于靜態(tài)NAT和動(dòng)態(tài)NAT來(lái)說(shuō)，這個(gè)方式已經(jīng)算很好的了，用一個(gè)地址來(lái)轉(zhuǎn)換65535個(gè)私網(wǎng)地址，這已經(jīng)做到了地址的最大化了[13]。（2）相關(guān)實(shí)驗(yàn)測(cè)試靜態(tài)NAT轉(zhuǎn)換的關(guān)系，如下圖3.9拓?fù)鋱D所示圖3.9拓?fù)鋱DLPC-PC1的IP地址為，LPC-r1為出口路由器，具體配置如下所示：interfaceF0/0ipaddress54//配置F0/0的IP地址為54/24interfaceFastEthernet0/1ipaddressipnatoutsideipnatinsidesourcestatic00測(cè)試效果如下圖3.10效果圖：圖3.10效果圖3.3.4DHCPDHCP技術(shù)主要是為了能夠避免網(wǎng)絡(luò)管理人員的的去每臺(tái)電腦上進(jìn)行設(shè)置IP地址，不但可以減少網(wǎng)絡(luò)管理人員的工作量而且還可以減少終端IP地址的維護(hù)工作，而且還可以減少IP地址沖突的問(wèn)題。（1）角色分類DHCP服務(wù)器的主要是用來(lái)存放IP地址池的作用，并且維護(hù)剩余以及再用IP地址，已經(jīng)分配出去的IP地址是不會(huì)在分配出去給別人使用。DCHP客戶端，也就是最終需要獲取到地址的設(shè)備，一般為電腦或者打印機(jī)等設(shè)備，會(huì)向DHCP服務(wù)器請(qǐng)求獲取地址。（2）DHCP工作原理圖3.11DHCP工作原理DHCP技術(shù)的工作原理，如上圖3.11,dhcp工作原理圖：1）電腦會(huì)向整個(gè)網(wǎng)絡(luò)拓?fù)浒l(fā)送一個(gè)廣播報(bào)文，以廣播報(bào)文的形式發(fā)送給server，詢問(wèn)誰(shuí)是地址池服務(wù)器，能夠分配IP地址的服務(wù)器。2）這臺(tái)server收到電腦的請(qǐng)求地址報(bào)文后，那么就會(huì)使用單播形式發(fā)送一個(gè)未使用的空閑的IP地址、DNS、wins等信息給請(qǐng)求者[14]。3）電腦收到server發(fā)送的單播報(bào)文后，同樣也會(huì)正式的向server發(fā)送真正的請(qǐng)求報(bào)文，同時(shí)又會(huì)發(fā)送一個(gè)廣播報(bào)文出去給所有人，如果此時(shí)有多個(gè)地址池服務(wù)器發(fā)送單播報(bào)文的話，那么電腦會(huì)找最先給我發(fā)單播報(bào)文的服務(wù)器，進(jìn)行一個(gè)響應(yīng)。4）服務(wù)器收到DHCP請(qǐng)求分配IP地址的單播數(shù)據(jù)報(bào)文后，就會(huì)把這個(gè)空閑的、未使用IP地址以廣播數(shù)據(jù)報(bào)文的方式發(fā)送給客戶端，發(fā)廣播報(bào)文主要是為了告訴其他客戶端，你們不要在向我在請(qǐng)求分配這個(gè)IP地址了，這樣做也可以減少服務(wù)器去做響應(yīng)報(bào)文所消耗的性能，也減少鏈路的帶寬，減少客戶端發(fā)送不必要的數(shù)據(jù)報(bào)文占用里鏈路帶寬，當(dāng)客戶端收到服務(wù)器發(fā)送的這個(gè)廣播報(bào)文之后，會(huì)發(fā)送一個(gè)接受使用地址的報(bào)文給服務(wù)器，告訴服務(wù)器在租期內(nèi)不要再將這個(gè)地址分配給其他人使用了。3.4S師范大學(xué)B校區(qū)交換部分設(shè)計(jì)3.4.1VLAN技術(shù)在現(xiàn)實(shí)網(wǎng)絡(luò)環(huán)境種，一般是一個(gè)vlan號(hào)代表一個(gè)網(wǎng)段，而且vlan號(hào)只在本地二層網(wǎng)絡(luò)環(huán)境種才有用，過(guò)三層環(huán)境后vlan號(hào)標(biāo)簽就沒(méi)有意義了，也就是說(shuō)vlan只在交換機(jī)內(nèi)使用，為了讓在不同樓層的人能夠使用相同的網(wǎng)絡(luò)或者是同一個(gè)樓層中不同部門的人實(shí)現(xiàn)不同網(wǎng)段，那么此時(shí)就需要用到，在同一個(gè)二層網(wǎng)絡(luò)中，vlan技術(shù)還可以做到隔離廣播域的作用，而且要想讓同一臺(tái)接入交換機(jī)上出現(xiàn)2個(gè)不同VLAN號(hào)信息，那么這臺(tái)交換機(jī)需要與上聯(lián)交換機(jī)端口之間需要啟用trunk模式。3.4.2生成樹——STPSTP主要的功能是為了防止在一個(gè)大二層的網(wǎng)絡(luò)環(huán)境中，因?yàn)樵O(shè)備對(duì)接時(shí)候，形成一個(gè)閉環(huán)，那么這個(gè)時(shí)候接口下的MAC地址會(huì)一直在重復(fù)的學(xué)習(xí)，將會(huì)影響到設(shè)備的性能，而且在學(xué)習(xí)MAC地址過(guò)程中會(huì)占用到鏈路的帶寬資源，因?yàn)閙ac一直在變化學(xué)習(xí)，同一個(gè)MAC地址一會(huì)通過(guò)10口學(xué)習(xí)到，一會(huì)通過(guò)20口學(xué)習(xí)到，會(huì)造成一直在MAC地址一直在翻滾，然而不同網(wǎng)絡(luò)設(shè)備的廠家他們之間的生成樹協(xié)議也是不同的，有些連命名都不相同。3.5S師范大學(xué)B校區(qū)網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)設(shè)計(jì)本論文中的辦公系統(tǒng)網(wǎng)絡(luò)設(shè)計(jì)主要包含幾個(gè)關(guān)鍵節(jié)點(diǎn)：網(wǎng)絡(luò)拓?fù)湟?guī)劃、路由規(guī)劃組織、vlan和IP地址規(guī)劃、網(wǎng)絡(luò)安全設(shè)計(jì)和設(shè)備配置選型等設(shè)計(jì)。為了辦公系統(tǒng)網(wǎng)絡(luò)具備可擴(kuò)展以及升級(jí)能力，在建設(shè)規(guī)劃中必須采用層次化設(shè)計(jì)思路對(duì)辦公系統(tǒng)網(wǎng)絡(luò)進(jìn)行結(jié)構(gòu)設(shè)計(jì)。根據(jù)實(shí)際考察B校區(qū)日常辦公的實(shí)際流量核心層我們采用的是兩臺(tái)中高端交換設(shè)備進(jìn)行冗余部署。本次所設(shè)計(jì)的S師范大學(xué)B校區(qū)網(wǎng)絡(luò)系統(tǒng)拓?fù)溆腥缦聨讉€(gè)優(yōu)點(diǎn)：（1）擴(kuò)展性；按照核心層、匯聚層、接入層架構(gòu)進(jìn)行劃分實(shí)施，方便后期其他的匯聚設(shè)備或者接入設(shè)備的進(jìn)行無(wú)影響化接入。（2）可冗余性；使用思科專有技術(shù)-HSRP技術(shù)，可以更好提高淮師大B校區(qū)辦公系統(tǒng)網(wǎng)絡(luò)可靠性，保證關(guān)鍵設(shè)備的冗余。（3）高性能；合理的使用鏈路聚合的特性用于替代以往的STP方式容易造成環(huán)路，這樣可以能夠更好的提高網(wǎng)絡(luò)的穩(wěn)定性以及可用性。3.6S師范大學(xué)B校區(qū)網(wǎng)絡(luò)拓?fù)湔f(shuō)明圖3.13網(wǎng)絡(luò)設(shè)計(jì)圖如上圖3.13所示，本方案使用路由器模出口網(wǎng)關(guān)設(shè)備，增加路由器模擬公網(wǎng)傳輸線路，規(guī)劃終端作為互聯(lián)網(wǎng)端終端，對(duì)WEB服務(wù)器公網(wǎng)映射進(jìn)行驗(yàn)證。核心采用兩臺(tái)中高端型交換設(shè)備進(jìn)行冗余部署，各匯聚采用兩臺(tái)中端交換設(shè)備進(jìn)行冗余部署，兩臺(tái)核心交換設(shè)備以及匯聚交換設(shè)備使用HSRP技術(shù)，并配置DHCP地址池，使其下面電腦能夠自動(dòng)獲取IP地址（服務(wù)段采用靜態(tài)分配方式）。設(shè)立獨(dú)立的應(yīng)用服務(wù)區(qū)域，部署應(yīng)用服務(wù)包含：web應(yīng)用、DNS服務(wù)、辦公系統(tǒng)以及FTP等應(yīng)用，并在配置訪問(wèn)控制列表對(duì)服務(wù)器的訪問(wèn)進(jìn)行限制，服務(wù)區(qū)邊界部署下一代防火墻（WEB/IPS/DOS/僵尸網(wǎng)絡(luò)）對(duì)內(nèi)網(wǎng)以及公網(wǎng)用戶訪問(wèn)服務(wù)區(qū)的數(shù)據(jù)進(jìn)行過(guò)濾，整體辦公系統(tǒng)網(wǎng)絡(luò)系統(tǒng)采用了縱深防御體系建設(shè)。3.7IP地址規(guī)劃分析S師范大學(xué)B校區(qū)物理環(huán)境以及網(wǎng)絡(luò)管理人員對(duì)網(wǎng)絡(luò)的規(guī)劃需求，對(duì)各棟樓層進(jìn)行網(wǎng)絡(luò)合理規(guī)劃，特此設(shè)計(jì)了如下地址規(guī)劃如下表3.1所示。表3.1IP地址規(guī)劃表VLAN號(hào)IP網(wǎng)段位置VLAN10/24文源樓A-1FVLAN11/24文源樓A-2FVLAN12/24文源樓A-3FVLAN13/24文源樓A-4FVLAN14/24文源樓A-5FVLAN15/24文源樓A-6FVLAN20/24文源樓B-1FVLAN21/24文源樓B-2FVLAN22/24文源樓B-3FVLAN23/24文源樓B-4FVLAN24/24文源樓B-5FVLAN25/24文源樓B-6FVLAN30/24文源樓C-1FVLAN31/24文源樓C-2FVLAN32/24文源樓C-3FVLAN33/24文源樓C-4FVLAN34/24文源樓C-5FVLAN35/24文源樓C-6FVLAN40/24文津樓A-1FVLAN41/24文津樓A-2FVLAN42/24文津樓A-3FVLAN143/24文津樓A-4FVLAN44/24文津樓A-5FVLAN45/24文津樓A-6FVLAN80/24文津樓B-1FVLAN81/24文津樓B-2FVLAN82/24文津樓B-3FVLAN83/24文津樓B-4FVLAN84/24文津樓B-5FVLAN85/24文津樓B-6FVLAN100/24文津樓C-1FVLAN110/24文津樓C-2FVLAN120/24文津樓C-3FVLAN130/24文津樓C-4FVLAN140/24文津樓C-5FVLAN150/24服務(wù)器VLAN10/24男宿舍樓VLAN20/24女宿舍樓4網(wǎng)絡(luò)設(shè)備選型4.1S師范大學(xué)B校區(qū)路由器選型出口設(shè)備的流量將承載整個(gè)S師范大學(xué)B校區(qū)所有的出口的流量，所以對(duì)設(shè)備性能要求較高，本次根據(jù)預(yù)算金額所采購(gòu)性價(jià)比較高路由器，如下圖4.1所示，基本參數(shù)如表4.1所示圖4.1思科7600系列集成路由器表4.1思科7600系列集成路由器基本參數(shù)基本參數(shù)類型數(shù)量說(shuō)明端口結(jié)構(gòu)采用模塊化結(jié)構(gòu)，可自由選擇光口或電口擴(kuò)展模塊2個(gè)主備引擎板卡，7個(gè)可選業(yè)務(wù)板卡電源采用雙電源16A重量52千克4.2S師范大學(xué)B校區(qū)匯聚交換機(jī)選型匯聚設(shè)備將承載整個(gè)S師范大學(xué)B校區(qū)內(nèi)網(wǎng)以及所有訪問(wèn)服務(wù)器的流量，所以對(duì)設(shè)備性能要求較高，本次根據(jù)預(yù)算金額所采購(gòu)性價(jià)比較高匯聚交換機(jī)，如下圖4.2所示，基本參數(shù)如表4.2所示圖4.2思科4500系列交換機(jī)表4.2思科4500系列交換機(jī)基本參數(shù)基本參數(shù)類型數(shù)量說(shuō)明包轉(zhuǎn)發(fā)率102Mpps擴(kuò)展模塊2個(gè)引擎板卡，4個(gè)可擴(kuò)展業(yè)務(wù)卡槽電源采用雙電源10A重量30千克4.3S師范大學(xué)B校區(qū)接入交換機(jī)選型接入交換機(jī)設(shè)備將承載所在位置的所有流量，所以對(duì)設(shè)備性能要求較低，只需有足夠的端口數(shù)量即可，本次根據(jù)預(yù)算金額所采購(gòu)性價(jià)比較高接入交換機(jī)，如下圖4.3所示，基本參數(shù)如表4.3所示圖4.3思科2960系列交換機(jī)表4.3思科2960系列交換機(jī)基本參數(shù)基本參數(shù)類型數(shù)量說(shuō)明包轉(zhuǎn)發(fā)率20.8Mpps端口數(shù)量48電口，4個(gè)千兆光口電源采用單電源10A重量8千克4.4S師范大學(xué)B校區(qū)服務(wù)器接入交換機(jī)選型服務(wù)器接入交換機(jī)設(shè)備將承載整個(gè)內(nèi)網(wǎng)流量，所以對(duì)設(shè)備性能要求較高，且背板帶寬要求大，數(shù)據(jù)包轉(zhuǎn)發(fā)率高，本次根據(jù)預(yù)算金額所采購(gòu)性價(jià)比較高接入交換機(jī)，如下圖4.4所示，基本參數(shù)如表4.4所示圖4.4思科3750系列交換機(jī)表4.4思科3750系列交換機(jī)基本參數(shù)基本參數(shù)類型數(shù)量說(shuō)明包轉(zhuǎn)發(fā)率101.2Mpps端口數(shù)量48電口，2個(gè)40G光口電源采用單電源10A重量12千克4.5S師范大學(xué)B校區(qū)服務(wù)器選型服務(wù)器將承載整個(gè)內(nèi)網(wǎng)業(yè)務(wù)應(yīng)用流量，所以對(duì)服務(wù)器的性能要求較高，且需要高內(nèi)存高CPU高配置設(shè)備，本次根據(jù)預(yù)算金額所采購(gòu)性價(jià)比較高服務(wù)器，如下圖4.5所示，基本參數(shù)如表4.5所示圖4.5浪潮英信NF5280系類服務(wù)器表4.5浪潮英信NF5280系類服務(wù)器基本參數(shù)基本參數(shù)類型數(shù)量說(shuō)明CPU2個(gè)CPU，64核內(nèi)存256G，最大支持512G電源采用雙電源10A硬盤4個(gè)1TB，最大支持8TB重量31千克5網(wǎng)絡(luò)連通性測(cè)試5.1內(nèi)網(wǎng)辦公終端訪問(wèn)WEB服務(wù)器以及教務(wù)系統(tǒng)聯(lián)通性測(cè)試通過(guò)模擬器中的命令行查看得知文源樓的PC的通過(guò)DHCP服務(wù)器自動(dòng)獲取IP地址并進(jìn)行ping服務(wù)器，如下圖5.1所示，圖5.1ping測(cè)試效果圖通過(guò)PC1去測(cè)試web服務(wù)器由下截圖5.2可見，測(cè)試成功。圖5.2測(cè)試效果圖通過(guò)PC1去測(cè)試教務(wù)系統(tǒng)由下截圖5.3可見，測(cè)試成功。圖5.3效果圖5.2公網(wǎng)訪問(wèn)WEB服務(wù)器由于私網(wǎng)地址無(wú)法在公網(wǎng)進(jìn)行路由，公網(wǎng)需要訪問(wèn)WEB服務(wù)器需進(jìn)行目的映射配置，地址映射在出口路由器上進(jìn)行配置，配置命令如下圖5.4，將內(nèi)網(wǎng)WEB服務(wù):443映射至0:443，禁止其他非業(yè)務(wù)端口對(duì)公網(wǎng)進(jìn)行放通，公網(wǎng)用戶采用https加密方式對(duì)WEB服務(wù)進(jìn)行訪問(wèn)，對(duì)傳輸數(shù)據(jù)進(jìn)行加密處理，PC0模擬公網(wǎng)用戶對(duì)WEB服務(wù)進(jìn)行訪問(wèn)，由下圖可見，除了https443以外http80以及ICMP測(cè)試都不通，效果圖如5.5所示，采用URL：0訪問(wèn)WEB應(yīng)用服務(wù)器正常，測(cè)試成功，詳情見下圖5.6效果圖。圖5.4配置命令圖圖5.5效果圖圖5.6效果圖5.3局域網(wǎng)不同區(qū)域訪問(wèn)控制測(cè)試為了處于安全考慮，該校區(qū)內(nèi)部的互相訪問(wèn)也需要進(jìn)行相關(guān)策略控制，就拿教務(wù)系統(tǒng)的訪問(wèn)控制來(lái)說(shuō)明，男女學(xué)生宿舍無(wú)反問(wèn)教務(wù)系統(tǒng)的需求，為避免學(xué)生的好奇研究對(duì)教務(wù)系統(tǒng)進(jìn)行攻擊等嘗試，有可能導(dǎo)致教務(wù)系統(tǒng)故障，造成教學(xué)事件發(fā)生，我們通過(guò)訪問(wèn)控制列表對(duì)教務(wù)系統(tǒng)的訪問(wèn)權(quán)限進(jìn)行控制配置命令如下圖5.7、圖5.8所示，禁止宿舍樓訪問(wèn)教務(wù)系統(tǒng)的權(quán)限，對(duì)TCP端口進(jìn)行限制，根據(jù)下圖可說(shuō)明，宿舍樓訪問(wèn)WEB服務(wù)正常，如下圖5.9所示，但無(wú)法訪問(wèn)教務(wù)系統(tǒng)，說(shuō)明訪問(wèn)控制策略生效，詳情見下圖5.10效果圖。圖5.7配置命令圖圖5.8配置命