校园局域网的组建

　学 生 姓 名：

　郜永兴

　学

　 号：

　1531748

　 专 业 班 级：

　计算机应用技术1501

　指 导 教 师：

　宋

　 翔

　摘

　要

　随着网络建设的逐步普及，大学高校局域网络的建设是高校向高水平、研究性大学跨进的必然选择，高校校园网网络系统是一个非常庞大而复杂的系统，它不仅为高校的发展、综合信息管理和办公自动化等一系列应用提供基本操作平台，而且，能够使教育、教学、科研三位一体，提高教育教学质量。而校园网网络建设中主要应用了网络技术中的重要分支局域网技术来建设与管理的，因此本毕业设计课题将主要以校园局域网络建设过程可能用到的各种技术及实施方案为设计方向，为校园网的建设提供理论依据和实践指导。高校校园网的网络建设与网络技术发展几乎是同步进行的。

　 高校不仅承担着教书育人的工作，更承担着部分国家级的科研任务，同时考虑未来几年网络平台的发展趋势, 为了充分满足高校骨干网对高速，智能，安全，认证计费等的需求,可以利用万兆以太网的校园网组网技术。构建校园网骨干网，实现各个分校区和本部之间的连接，以及实现端到端的以太网访问，提高了传输的效率，有效地保证了远程多媒体教学、数字图书馆等业务的开展。

　 关键词：校园网；网络设备；服务器；网络管理；网络安全

　目

　录

　摘

　要 I

　引

　言 1

　1

　绪论 2

　1.1背景及意义 2

　1.2 目前校园网络现状 3

　1.3 校园网建设的原则 3

　2 校园网需求分析 5

　2.1 学校建筑现状分析 5

　2.2 信息点分布需求分析 6

　2. 3 学校子网需求划分 6

　2. 4 学校VLAN需求划分 7

　2.5 校园网布线工程分析 9

　3 校园网络设备配置 10

　3.1 交换机模块设计 10

　3.1.1 交换机的选择 10

　3.1.2 核心层交换机的说明配置 11

　3.1.3 汇聚层交换机的说明配置 14

　3.1.4 接入层交换机的说明配置 15

　3.2 路由器模块设计 16

　3.2.1 路由协议的概念和种类 16

　3.2.3无线路由 18

　4 校园网服务器配置 22

　4.1 WWW服务器配置 22

　4.2 DNS服务器配置 23

　5 校园网络的管理与安全 25

　5.1 网络管理 25

　5.2 网络安全 26

　5.2.1 NAT 26

　5.2.2 ACL 28

　6 网络系统的测试 29

　结论 35

　致谢 36

　参考文献 37

　引

　言

　当今世界，各种先进的科学技术飞速发展，给人们的生活带来了深远的影响，它极大的改善我们的生活方式。在以计算机技术为代表的信息科技的发展更是日新月异，从各方面影响和改变着我们的生活，而其中的计算机网络技术的发展更为迅速，已经渗透到了我们生活的各个方面，人们已经离不开计算机网络，并且随着因特网的迅速普及，给我们的学习与生活条件带来更大的方便，我们与外部世界的联系将更加的紧密和迅速。

　 随着人们对于信息资源共享以及信息交流的迫切需求，促使网络技术的产生和快速发展，计算机网络的产生和使用为人类信息文明的发展带来革命性的变化。自1995年中国教育教研网（CERNET）建成后，校园网的建设已经进入到一个蓬勃发展的阶段。校园网的建成和使用，对于提高教学和科研的质量、改善教学和科研条件、加快学校的信息化进程，开展多媒体教学与研究以及使教学多出人才、科研多出成果有着十分重要而深远的意义。其主要包括各种局域网的技术思想、网络设计方案、网络系统的维护等内容。通过本毕业设计课题的论述，希望使读者能够了解校园网的建设过程以及涉及到的各种网络技术，并能对今后大家在学习网络技术知识或者是进行校园网的工程建设中有所借鉴。

　 校园网是各种类型网络中一大分支，有着非常广泛的应用。作为新技术的发祥地，学校、尤其是高等学校和网络的关系十分密切，网络最初是在校园里进行实验并获得成功的，许多网络新技术也是首先在校园网中获得成功，进而才推向社会的

　我们看看国内校园网现状，也正是因为看到网络与学校之间的密切关系，国家从1994年正式启动中国教育科研技术网（CERNET）以来，已与国内几百所学校相连，为广大师生及科研人员提供了一个全新的网络环境。随着信息技术的飞速发展，校园网的建设已经逐渐提到议事日程上来。对比国外校园网的建设和使用情况，我国目前的大多数校园网的结构、规模和应用都不是很完整，网络设备、计算机设备的功能没得到充分的挖掘和发挥。

　 怎样利用网络设备，进一步发挥各种设备功能，实现学校各项业务系统的集成，提高应用水平将是学校校园网建设的下一个工作重点。

　 注：页码，居中，底部，宋体，小五，正文起始页页码为1。

　 阅后删除此文本框。

　 1

　绪论

　1.1背景及意义

　高校校园网的网络建设与网络技术发展几乎是同步进行的。高校不仅承担着教书育人的工作，更承担着部分国家级的科研任务，同时考虑未来几年网络平台的发展趋势

　, 为了充分满足高校骨干网对高速，智能，安全，认证计费等的需求,可以利用万兆以太网的校园网组网技术。

　 构建校园网骨干网，实现各个分校区和本部之间的连接，以及实现端到端的以太网访问，提高了传输的效率，有效地保证了远程多媒体教学、数字图书馆等业务的开展。

　 随着信息技术的高速发展，教育信息化水平正成为衡量学校总体发展水平的重要因素，网络技术的应用对高校的教学手段和教育管理体系的促进作用是巨大的。1995 年CERNET （中国教育和科研计算机网）建设全面启动，全国各地的高校开始建设自己的计算机校园网。校园网建设是高校建设的重要组成部分，建设高质量的局域网， 才能充分发挥网络资源管理和应用的优势，进行信息交流、资源共享、科学计算和科学研究与合作。

　 校园网的建设与应用，极大地丰富和完善了教育资源，拓宽了学生获取知识的渠道，改善了教学效果，提高了学校的现代化管理水平，促进了教育的社会化，因此，如何进一步搞好校园网的建设，充分发挥校园网的作用，组建高性能，低成本的校园网，是各个高校正在探索和思考的问题。高校校园网从启动建立到现在，无论是高校校园网的网络技术，还是高校校园网的关注要点，大致可以分为三个阶段。

　 第一阶段是基础设施建设时期，时间大约从1994年到2000年。这期间各种网络技术在高校同时都有应用：以太网技术，FDDI，ATM网络技术。在这个阶段，由于校园网应用的技术比较繁杂，而且业务相对单一，因此，这一阶段，主要关注网络的连通性和兼容性，即如何保证校园网的连通，和各种不同网络技术的兼容和融合。

　 第二阶段是应用平台建设时期，时间大约是从2000年到2005年。这期间，随着网络技术的发展，各种应用也开始出现并发展迅速，包括BBS、WWW、FTP、E-mail，以及近两年流行的BT下载、视音频业务等等，这些应用都对带宽提出了挑战。另一个在此阶段发展迅速的校园网应用就是IPTV，更是被成为带宽的杀手级应用。与此同时，网络技术——特别是以太网技术迅猛发展，1000M以太网已经步入校园，万兆标准也已经公布。结合实际应用和网络技术来看，这个阶段主要关注：带宽和应用。

　 第三个阶段是信息资源建设时期。时间从2005年至今，乃至今后几年时间内。近两年，万兆以太网已经开始在高校校园网中规模化应用，下一代以太网标准也已经确立为10万兆标准。同时，随着cernet2的启动，IPV6技术也已经在校园网中实验并逐步应用。当基础设施、应用平台建设之后，信息资源的丰富与否决定了校园网络的真正价值。当信息资源充分丰富后，人们的工作、学习、生活、娱乐完全离不开网络，网络的安全与可信又成为头等重要的问题。纵观这两年整个网络世界，安全事件频发：冲击波、震荡波、ARP攻击等等。所以，安全可信成为了高校校园网当前关注的要点。

　 简单来说，对于校园网：丰富的应用是关键，而稳定可靠的网络是基础，完善的安全和管理手段是保障。

　 信息时代的变革与发展，带动了整个世界的深刻变革。网络、计算机技术的进步和应用软件的提高，使计算机变的越来越容易使用，它们正被广泛地使用，并迅速改变着人们的生活、学习、工作方式。在一个好的校园网里人们用计算机和网络进行工作、交流和学习，计算机改变了人的教学方式，同时也改变了人的学习方式。社会变的很快，我们必须跟上时代的步伐，因此在经济条件允许的情况下，尽快尽早的建设校园网好处将是显著的和长远的。

　 1.2 目前校园网络现状

　与其它网络一样，校园网面临的威胁大体可分为对网络中数据信息的危害和对网络设备的危害。具体来说，危害网络安全的主要威胁有：非授权访问，即对网络设备及信息资源进行非正常使用或越权使用等；冒充合法用户，即利用各种假冒或欺骗的手段非法获得合法用户的使用权限，以达到占用合法用户资源的目的；破坏数据的完整性，即使用非法手段，删除、修改、重发某些重要信息，以干扰用户的正常使用；干扰系统正常运行。

　 除此之外，Internet非法内容也形成了对网络的另一大威胁。IDC的统计曾显示，有30％－40％的Internet访问是与工作无关的，甚至有的是去访问色情、暴力、反动等站点。在这样的情况下，Internet资源被严重浪费。而对校园网来说，面对形形色色、良莠不分的网络资源，如不具有识别和过滤作用，不但会造成大量非法内容或邮件出入，占用大量流量资源，造成流量堵塞、上网速度慢等问题，而且某些网站如娱乐、游戏、暴力、色情、反动消息等不良网络内容，将极大地危害青少年的身心健康，导致无法想象的后果。

　 1.3 校园网建设的原则

　整体规划分步实施：一方面因为学校的资金情况，不能一步到位。二是依据需求，不能盲目投资。

　 注重应用系统建设：计算机网络要想发挥出它的作用，必须有建立在它之上的应用系统。这里有一个非常形象的比喻：网络就象路，而应用系统就象车，只修路但没车跑，路也不能发挥它的作用。这必须跟据学校的实际情况，选择恰当的应用系统。

　 把握当前先进性：要将未来的可扩展性和经济可行性结合起来。当前计算机网络技术发展很快，设备更新淘汰很快。校园网建设应当采用当前成熟先进的技术和设备，而这些设备应有良好的扩张性，即能够兼容未来可能的技术。

　 2 校园网需求分析

　2.1 学校建筑现状分析

　对学校建筑的分析如图2-1所示。

　 图2-1 学校建筑图

　如图所示学校分为学生公寓区，教师公寓区，行政区，图书馆，教学区。其中学生公寓区（A区、B、区、C区），教师公寓区（A区、B、区、C区），行政区（财务处、

　人事处、教务处、招生就业处），图书馆（学生阅览室、电子阅览室、网络中心、借书室），教学区（计科系、软件学院、经管系、机电系、外语系、信息工程系）。

　 2.2 信息点分布需求分析

　对学校信息点的分析，如表2-1所示。

　 表2-1

　学校信息点的分析表

　大楼

　功能分布

　信息点

　信息点合计

　距核心网络的距离

　学生公寓区

　A区

　5000

　15000

　250m

　B区

　5000

　C区

　5000

　教师公寓区

　A区

　5000

　15000

　250m

　B区

　5000

　C区

　5000

　行政区

　财务处

　20

　100

　500m

　人事处

　40

　教务处

　30

　招生就业处

　10

　图书馆

　学生阅览室

　30

　170

　1000m

　电子阅览室

　30

　网络中心

　100

　借书室

　10

　教学区

　计科系

　1000

　4500

　200m

　软件学院

　2000

　经管系

　500

　机电系

　500

　信息工程系

　500

　办公区

　A区

　100

　350

　250m

　B区

　150

　C区

　100

　合计

　34820

　2450m

　2.3 学校子网需求划分

　为了提高IP地址的使用效率，引入了子网的概念。将一个网络划分为子网：采用借位的方式，从主机位最高位开始借位变为新的子网位，所剩余的部分则仍为主机位。这使得IP地址的结构分为三级地址结构：网络位、子网位和主机位。这种层次结构便于IP地址分配和管理。它的使用关键在于选择合适的层次结构--如何既能适应各种现实的物理网络规模，又能充分地利用IP地址空间。子网的划分主要是根据子网掩码来区分的，掩码的作用就是用来告诉电脑把“大网”划分为多少个“小网”，以及每个子网中的主机数目。如表2-2所示，学校子网的划分。

　 表2-2

　学校子网的划分表

　序号

　子网名称

　包含的信息点

　1

　学生公寓子网

　学生公寓区所有的计算机

　2

　教师公寓子网

　教师公寓区所有的计算机

　3

　行政区子网

　行政区所有的计算机

　4

　图书馆子网

　图书馆区所有的计算机

　5

　教学区子网

　教学区所有的计算机

　6

　办公区子网

　办公区所有的计算机

　7

　服务器群子网

　该区所有的计算机

　8

　无线网络子网

　该区所有的计算机

　2.4 学校VLAN需求划分

　 VLAN（Virtual Local Area Network）称为虚拟局域网，是指在逻辑上将物理的LAN分成不同小的逻辑子网，每一个逻辑子网就是一个单独的播域。简单地说，就是将一个大的物理的局域网（LAN）在交换机上通过软件划分成若干个小的虚拟的局域网（VLAN）。因为交换机通信的原理就是要通过“广播”来发现通往的目的MAC地址，以便在交换机内部的MAC数据库建立MAC地址表，而广播不能跨越不同网段。

　 VLAN技术的出现，使得管理员根据实际应用需求，把同一物理局域网内的不同用户逻 辑地划分成不同的广播域，每一个VLAN都包含一组有着相同需求的计算机工作站，与物理 上形成的LAN有着相同的属性。由于它是从逻辑上划分，而不是从物理上划分，所以同一个 VLAN内的各个工作站没有限制在同一个物理范围中，即这些工作站可以在不同物理LAN网段 。由VLAN的特点可知，一个VLAN内部的广播和单播流量都不会转发到其他VLAN中，从而有助于控制流量、减少设备投资、简化网络管理、提高网络的安全性。

　VLAN除了能将网络划 分为多个广播域，从而有效地控制广播风暴的发生，以及使网络的拓扑结构变得非常灵活的优点外，还可以用于控制网络中不同部门、不同站点之间的互相访问。

　 通过划分VLAN子网，能划小了广播域，避免了数据碰撞在大的物理LAN内产生严重后果的可能，也避免了广播风暴的产生。提高交换网络的交换效率，保证网络稳定。提高网络安全性，通过划分VLAN，LAN被划分不同子网段，因此不能直接通信。必要的通信必须经过路由来实现，因此可在路由器（或三层交换机）上配置访问列表来进行跨子网段的授权访问，从而提高校园内部网络访问的安全性。方便网络管理：采用VLAN技术来划分校园网络，一个VLAN可以根据不同的院系、办公室或者服务器组将不同地理位置的工作站划分为一个逻辑网段。在不改动网络物理连接的情况下可以任意地将工作站在子网之间移动，VLAN提供了网段和机构的弹性组合机制。VLAN技术很好的解决了网络管理的问题，能实现网络监督与管理的自动化，从而更有效的进行网络监控。

　 如表2-3所示，该学校校园网络Vlan的划分及IP的分配。

　 表2-3

　学校vlan的划分及IP的分配表

　序号

　子网名称

　网段IP

　网关IP

　备注

　1

　学生公寓子网

　172．16．0．0/16

　172．16．2．1

　Vlan 2

　2

　教师公寓子网

　172．17．0．0/16

　172．17．3．1

　Vlan 3

　3

　行政区子网

　192．168．4．0/24

　192．168．4．1

　Vlan 4

　4

　图书馆子网

　192．168．7．0/24

　192．168．7．1

　Vlan 7

　5

　教学区子网

　172．18．0．0/16

　172．18．6．1

　Vlan 6

　6

　办公区子网

　192．168．5．0/24

　192．168．5．1

　Vlan 5

　7

　服务器群子网

　192．168．8．0/24

　192．168．8．1

　Vlan 8

　8

　无线网子网

　192．168．0．0/24

　192．168．0．1

　Vlan 9

　另外，IP地址分为公网地址和私网地址两类，公有地址（Public address）由Inter NIC（Internet Network Information Center 因特网信息中心）负责。这些IP地址分配给注册并向Inter NIC提出申请的组织机构。通过它直接访问因特网。ISP分配给学校的全局IP地址地址段为: 202.106.0.3 --202.106.0.200/24.,私有地址（Private address）属于非注册地址，专门为组织机构内部使用。以下列出留用的内部私有地址

　A类 10.0.0.0--10.255.255.255

　B类 172.16.0.0--172.31.255.255

　C类 192.168.0.0--192.168.255.255

　2.5 校园网布线工程分析

　因为以上的需求特点和信息点分布，结合学校的实际情况总结得到如图2-2所示：

　 C区交换机

　图2-2 学校信息点的分布图

　3 校园网络设备配置

　本次的课题设计是在模拟软件的基础上实现的，因此此次的网络设备选择主要是依据该软件中具有的设备。Packet Tracer 5.2 是思科公司专门为CCNA考试人员设计的一块软件，通过这个软件能够让我们模拟出各种路由、交换协议，而且，能够测试各种设备的工作情况。

　 3.1 交换机模块设计

　使用双核心网络的主要目的是实现冗余的连接防止单点失效，从逻辑上，大型网络可分为核心层、分布层和接入层，每层都有其特点。层次化设计的优点可以总结为如下几点：

　 可扩展性：因为网络可模块化增长而不会遇到问题；

　简单性：通过将网络分成许多小单元，降低了网络的整体复杂性，使故障排除更容易，能隔离广播风暴的传播、防止路由循环等潜在的问题；

　设计的灵活性：使网络容易升级到最新的技术，升级任意层次的网络不会对其他层次造成影响，无需改变整个环境；

　可管理性：层次结构使单个设备的配置的复杂性大大降低，更易管理。

　 3.1.1 交换机的选择

　交换机分为二层交换机和三层交换机两种类型，其中二层交换机的工作原理是：

　 （1）当交换机从某个端口收到一个数据包，它先读取包头中的源MAC地址，这样它就知道源MAC地址的机器是连在哪个端口上的；

　 （2）再去读取包头中的目的MAC地址，并在地址表中查找相应的端口；

　（3）如表中有与这目的MAC地址对应的端口，把数据包直接复制到这端口上；

　（4）如表中找不到相应的端口则把数据包广播到所有端口上，当目的机器对源机器回应时，交换机又可以学习一目的MAC地址与哪个端口对应，在下次传送数据时就不再需要对所有端口进行广播了。

　 不断的循环这个过程，对于全网的MAC地址信息都可以学习到，二层交换机就是这样建立和维护它自己的地址表。

　 可以看出二层交换机没有路由功能，当不同的子网进行通信是要借助路由器实现数据包的转发，所以当子网数量较多时，路由器的接口数量就成了一个瓶颈，而三层交换机就能解决这一缺点。

　 三层交换机的最重要的功能是加快大型局域网络内部的数据的快速转发，加入路由功能也是为这个目的服务的。因此具有路由功能的快速转发的三层交换机就成为首选。

　 我们选择 CISCO 3560-24PS作为核心层交换机，这个设备有26个端口，其中有两个端口支持1Gbps的带宽，选择CISCO 2950-24二层交换机作为接入层交换机，这个设备有24个接口，能够实现10M/100M自适应到桌面的功能，而且，这两款交换机都支持vlan功能。

　 3.1.2 核心层交换机的说明配置

　核心层的功能主要是实现骨干网络之间的优化传输,核心层设计任务的重点通常是冗余能力、可靠性和高速的传输。网络的控制功能最好尽量少在核心层上实施。核心层一直被认为是所有流量的最终承受者和汇聚者，所以对核心层的设计以及网络设备的要求十分严格。

　 核心交换机采用两个三层交换机，该校园网分为7个vlan，vlan2、vlan3、vlan4分别接在核心交换机一的f0/1 、f0/2、 f0/3接口，vlan5、vlan6、vlan7、vlan8、vlan9分别接在核心交换机二的f0/1 、f0/2、 f0/3、f0/4接口。

　 （1）基于端口vlan的划分这是最常应用的一种VLAN划分方法，应用也最为广泛、最有效，目前绝大多数VLAN协议的交换机都提供这种VLAN配置方法。这种划分VLAN的方法是根据以太网交换机的交换端口来划分的，它是将VLAN交换机上的物理端口和VLAN交换机内部的PVC（永久虚电路）端口分成若干个组，每个组构成一个虚拟网，相当于一个独立的VLAN交换机。从这种划分方法本身我们可以看出，这种划分的方法的优点是定义VLAN成员时非常简单，只要将所有的端口都定义为相应的VLAN组即可。适合于任何大小的网络。它的缺点是如果某用户离开了原来的端口，到了一个新的交换机的某个端口，必须重新定义。在核心交换机上的配置如下：

　 sw0(config)#int f 0/1

　sw0(config-if)#switchport mode trunk

　sw0(config-if)#switchport access vlan 2

　sw0(config)#int f 0/2

　sw0(config-if)#switchport mode trunk

　sw0(config-if)#switchport access vlan 3

　sw0(config)#int f 0/3

　sw0(config-if)#switchport mode trunk

　sw0(config-if)#switchport access vlan 4

　sw1(config)#int f 0/1

　sw1(config-if)#switchport mode trunk

　sw1(config-if)#switchport access vlan 5

　sw1(config)#int f 0/2

　sw1(config-if)#switchport mode trunk

　sw1(config-if)#switchport access vlan 6

　sw1(config)#int f 0/3

　sw1(config-if)#switchport mode trunk

　sw1(config-if)#switchport access vlan 7

　sw1(config)#int f 0/4

　sw1(config-if)#switchport mode trunk

　sw1(config-if)#switchport access vlan 8

　sw1(config)#int f 0/5

　sw1(config-if)#switchport access vlan 9

　（2）配置VLAN的各各接口的地址

　sw0(config)#int vlan 2

　sw0(config-if)#ip add 172.16.2.1 255.255.0.0

　sw0(config-if)#no shutdown

　sw0(config-if)#exit

　sw0(config)#int vlan 3

　sw0(config-if)#ip add 172.17.3.1 255.255.0.0

　sw0(config-if)#no shutdown

　sw0(config-if)#exit

　sw0(config)#int vlan 4

　sw0(config-if)#ip add 192.168.4.1 255.255.255.0

　sw0(config-if)#no shutdown

　sw1(config)#int vlan 5

　sw1(config-if)#ip add 192.168.5.1 255.255.255.0

　sw1(config-if)#no shutdown

　sw1(config-if)#exit

　sw1(config)#int vlan 6

　sw1(config-if)#ip add 172.18.6.1 255.255.0.0

　sw1(config-if)#no shutdown

　sw1(config-if)#exit

　sw1(config)#int vlan 7

　sw1(config-if)#ip add 192.168.7.1 255.255.255.0

　sw1(config-if)#no shut

　sw1(config-if)#exit

　sw1(config)#int vlan 8

　sw1(config-if)#ip add 192.168.8.1 255.255.255.0

　sw1(config-if)#no shut

　sw1(config)#int vlan 9

　sw1(config-if)#ip add 192.168.9.1 255.255.255.0

　sw1(config-if)#no shut

　(3)端口聚合提供冗余备份链路，端口聚合又称链路聚合，是指两台交换机之间在物理上将多个端口连接起来，将多条链路聚合成一条逻辑链路。从而增大链路带宽，解决交换网络中因带宽引起的网络瓶颈问题。多条物理链路之间能够相互冗余备份，其中任意一条链路断开，不会影响其他链路的正常转发数据。该核心交换机采用的是两条，具体配置如下：

　 Switch(config)#inter port-channel 1

　 Switch(config-if)#no switchport

　 Switch(config-if)#no shutdown

　 Switch(config-if)#ip address 172.19.0.1 255.255.0.0

　Switch(config)#inter gig0/1

　Switch(config-if)#channel-g

　Switch(config-if)#channel-group 1 m on

　Switch(config)#inter gig0/2

　Switch(config-if)#channel-group 1 m on

　(4)两个三层核心交换机之间的RIP路由协议，具体配置代码如下：

　 sw0(config)#router rip

　sw0(config-router)#network 172.16.0.0

　sw0(config-router)#network 172.17.0.0

　sw0(config-router)#network 172.19.0.0

　sw0(config-router)#network 172.20.0.0

　sw0(config-router)#network 192.168.4.0

　sw0(config-router)#version 2

　sw0(config-router)#no auto-summary

　sw1(config)#router rip

　sw1(config-router)#network 192.168.0.0

　sw1(config-router)#network 192.168.5.0

　sw1(config-router)#network 192.168.6.0

　sw1(config-router)#network 172.18.0.0

　sw1(config-router)#network 172.19.0.0

　sw1(config-router)#network 192.168.7.0

　sw1(config-router)#network 192.168.8.0

　sw1(config-router)#version 2

　sw1(config-router)#no auto-summary

　3.1.3 汇聚层交换机的说明配置

　分布层提供基于统一策略的互连性，它是核心层和访问层的分界点，定义了网络的边界，对数据包进行复杂的运算。在园区网络环境中，分布层主要提供如下功能：地址的聚集、部门和工作组的接入、广播域/多目传输域的定义、Inter VLAN路由、介质的转换、安全控制。

　 当网络管理人员需要管理的交换机数量众多时，可以使用VLAN中继协议（Vlan Trunking Protocol，VTP）简化管理，它只需在单独一台交换机上定义所有VLAN。然后通过VTP协议将VLAN定义传播到本管理域中的所有交换机上。这样，大大减轻了网络管理人员的工作负担和工作强度。将分布层交换机学生公寓区的交换机设置成为VTP服务器，其他交换机设置成为VTP客户机。

　 (1)访问层交换机学生公寓区的交换机作为服务器的配置如下：

　 s4#vlan database

　s4(vlan)#vtp domain dong

　s4(vlan)#vlan 2

　s4(vlan)#vlan 3

　s4(vlan)#vlan 4

　s4(vlan)#vlan 5

　s4(vlan)#vlan 6

　s4(vlan)#vlan 7

　s4(vlan)#vlan 8

　s4(vlan)#vlan 9

　s4(vlan)#vtp server

　(2)trunk端口

　在最普遍的路由与交换领域，VLAN的端口聚合也有的叫TRUNK，不过大多数都叫TRUNKING ，如CISCO公司。所谓的TRUNKING是用来在不同的交换机之间进行连接，以保证在跨越多个交换机上建立的同一个VLAN的成员能够相互通讯。其中交换机之间互联用的端口就称为TRUNK端口。与一般的交换机的级联不同，TRUNKING是基于OSI第二层数据链路层（DataLinkLayer)RUNKING技术，如果你在2个交换机上分别划分了多个VLAN（VLAN也是基于Layer2的），那么分别在两个交换机上的VLAN10和VLAN20的各自的成员如果要互通，就需要在A交换机上设为VLAN10的端口中取一个和交换机B上设为VLAN10的某个端口作级联连接。VLAN20也是这样。那么如果交换机上划了10个VLAN就需要分别连10条线作级联，端口效率就太低了。

　当交换机支持TRUNKING的时候，事情就简单了，只需要2个交换机之间有一条级联线，并将对应的端口设置为Trunk，这条线路就可以承载交换机上所有VLAN的信息。这样的话，就算交换机上设了上百个个VLAN也只用1个端口就解决了。如果是不同台的交换机上相同id的vlan要相互通信，那么可以通过共享的trunk端口就可以实现，如果是同一台上不同id的vlan/不同台不同id的vlan它们之间要相互通信，需要通过第三方的路由来实现。

　 该层对学生公寓区交换机trunk配置如下：

　 s4(config)#int f 0/1

　s4(config-if)#switchport mode trunk

　s4(config)#int f 0/2

　s4(config-if)#switchport mode trunk

　s4(config)#int f 0/3

　s4(config-if)#switchport mode trunk

　s4(config)#int f 0/4

　s4(config-if)#switchport mode trunk

　3.1.4 接入层交换机的说明配置

　接入层是最终用户(教师、学生) 与网络的接口，它应该提供即插即用的特性，同时应该非常易于使用和维护。另外，通过VTP的设置，我们可以更好的将汇聚层的vlan信息导入到接入层，只需要将不同的端口加入不同的vlan，就能够是机器之间通信。在该层的一个交换机上的配置如下:

　!进入vtp数据库

　Switch#vlan datadase

　!设置vtp域名

　Switch(vlan)#vtp domain dong

　!设置vtp模式

　Switch(vlan)#vtp client

　Switch(vlan)#exit

　Switch#configgure terminal

　!配置接口F0/1为中继接口

　Switch(config-if)#int f0/1

　!设置为trun模式

　Switch(config-if)#switchport mode trunk

　3.2 路由器模块设计

　路由器是内部局域网和广域网的分界点，主要是能够进行数据包的转发和路径的选择。另外，路由器要能够支持不同网络提供商的接入，实现线路的冗余，我在次课题中我选择Cisco 1841路由器。

　 3.2.1 路由协议的概念和种类

　在大型局域网络的建设中熟练掌握路由和交换技术是不可缺少的，采取什么样的路由算法，要根据网络的拓扑结构而定，路由协议工作在OSI参考模型的第3层，因此它的作用主要是在通信子网间路由数据包。路由器具有在网络中传递数据时选择最佳路径的能力。下面简单的介绍几种常见的路由协议。

　 （1）RIP协议

　RIP(RoutinginformationProtocol)是应用较早、使用较普遍的内部网关协议(InteriorGatewayProtocol,简称IGP)，适用于小型同类网络，是典型的距离向量(distance-vector)协议。RIP通过广播UDP报文来交换路由信息，每30秒发送一次路由信息更新。RIP提供跳跃计数(hopcount)作为尺度来衡量路由距离，跳跃计数是一个包到达目标所必须经过的路由器的数目。如果到相同目标有二个不等速或不同带宽的路由器，但跳跃计数相同，则RIP认为两个路由是等距离的。RIP最多支持的跳数为15，即在源和目的网间所要经过的最多路由器的数目为15，跳数16表示不可达。

　 （2）EIGRP加强型内部网关路由协议

　EIGRP路由协议是Cisco的私有路由协议,它综合了距离矢量和链路状态2者的优点，其中包括：

　 ①快速收敛：链路状态包(Link-State Packet,LSP)的转发是不依靠路由计算的,所以大型网络可以较为快速的进行收敛.它只宣告链路和链路状态,而不宣告路由,所以即使链路发生了变化,不会引起该链路的路由被宣告.但是链路状态路由协议使用的是Dijkstra算法,该算法比较复杂,并且较占CPU和内存资源和其他路由协议单独计算路由相比,链路状态路由协议采用种扩散计算(diffusingcomputations ),通过多个路由器并行的记性路由计算,这样就可以在无环路产生的情况下快速的收敛

　。

　 ② 减少带宽占用:EIGRP不作周期性的更新,它只在路由的路径和度发生变化以后做部分更新.当路径信息改变以后,DUAL只发送那条路由信息改变了的更新,而不是发送整个路由表.和更新传输到一个区域内的所有路由器上的链路状态路由协议相比,DUAL只发送更新给需要该更新信息的路由器。

　在WAN低速链路上,EIGRP可能会占用大量带宽,默认只占用链路带宽50%,之后发布的IOS允许使用命令ip bandwidth-percent eigrp来修改这一默认值 。

　 ③无缝连接数据链路层协议和拓扑结构:EIGRP不要求对OSI参考模型的层2协议做特别是配置.不像OSPF,OSPF对不同的层2协议要做不同配置,比如以太网和帧中继总之,EIGRP能够有效的工作在LAN和WAN中,而且EIGRP保证网络不会产生环路(loop-free);而且配置起来很简单;支持VLSM;它使用多播和单播,不使用广播,这样做节约了带宽。

　 （3）OSPF开放最短路径优先路由协议

　OSPF(Open Shortest Path First开放式最短路径优先)是一个内部网关协议(Interior Gateway Protocol,简称IGP)，用于在单一自治系统(autonomous system,AS)内决策路由。与RIP相对，OSPF是链路状态路由协议，而RIP是距离向量路由协议。

　 链路是路由器接口的另一种说法，因此OSPF也称为接口状态路由协议。OSPF通过路由器之间通告网络接口的状态来建立链路状态数据库，生成最短路径树，每个OSPF路由器使用这些最短路径构造路由表。

　 OSPF路由协议是一种典型的链路状态（Link-state）的路由协议，一般用于同一个路由域内。在这里，路由域是指一个自治系统（Autonomous System），即AS，它是指一组通过统一的路由政策或路由协议互相交换路由信息的网络。在这个AS中，所有的OSPF路由器都维护一个相同的描述这个AS结构的数据库，该数据库中存放的是路由域中相应链路的状态信息，OSPF路由器正是通过这个数据库计算出其OSPF路由表的。

　作为一种链路状态的路由协议，OSPF将链路状态广播数据包LSA（Link State Advertisement）传送给在某一区域内的所有路由器，这一点与距离矢量路由协议不同。运行距离矢量路由协议的路由器是将部分或全部的路由表传递给与其相邻的路由器。

　 在一个OSPF区域中只能有一个骨干区域,可以有多个非骨干区域,骨干区域的区域号为0。各非骨干区域间是不可以交换信息的，他们只有与骨干区域相连，通过骨干区域相互交换信息。非骨干区域和骨干区域之间相连的路由叫边界路由（ABRs-Area Border Routers）,只有ABRs记载了各区域的所有路由表。各非骨干区域内的非ABRs只记载了本区域内的路由表，若要与外部区域中的路由相连，只能通过本区域的ABRs，由ABRs连到骨干区域的BR，再由骨干区域的BR连到要到达的区域。

　 骨干区域和非骨干区域的划分，大大降低了区域内工作路由的负担。

　 其中，RIP和OSPF路由协议是通用的路由协议，而EIGRP是cisco公司的专用协议，只有cisco公司的设备支持，因此这个协议具有局限性，在大部分局域网内，因此OSPF是首选的路由协议。

　 3.2.2 管理路由器的访问方式

　路由器的管理方式可分为两种:带内管理和带外管理。通过路由器的Console口管理交换机属于带外管理，不占用交换机的网络接口，特点是线缆特殊，需要近距离配置。telnet指路由器的网络接口，连接到网络中的某台主机。利用这台主机进行远程管理和配置，特点是网管可以进行远程控制。

　 配置路由器远程登录密码，代码如下：

　 Router(config)#line vty 0 4

　Router(config-line)#password dong

　Router(config-line)#login

　配置路由器特权模式密码：

　 Router(config)#enable password dong

　3.2.3无线路由

　考虑到学校无线网络可能要连接室外的信息点，以实现全面有效的网络覆盖，因此，方案中采用的是室外无线接入设备。

　 Cisco无线校园网的特点：

　 (1)无线室外路由器、无线AP和无线网卡组成了完整的无线系统，实施极为便利，免去布线的困难，节约用户建设校园网络环境的时间、精力和财力；

　(2) WAP200E室外无线路由器适应性出色，使用中避免了网络施工造成的环境破坏，利用无线网络空中连接校园内建筑物；

　(3)对于很多学校存在分校的现象予以充分考虑。产品的传输能力较强，稳定性好，能够方便的连接分校与本部的校园网络，解决校园外地域网络施工的难题；

　(4)网络的应变性好，使用灵活。能够充分配合学校举办的各类临时性或者应急性活动，根据需要迅速架设后者调整网络；

　(5)Cisco无线网络产品提供了可靠的安全保证，其全部无线网络产品均支持WPA/WPA2加密，并可扩充至256位的AES加密算法，为无线校园网络在覆盖区域内的全面应用提供了保障，无论是办公，还是个人传输，都能够放心应用。

　 (6)极高的网络安全性，网络设备支持802.1X的认证，结合校园网的认证计费系统，实现了校园网极高的安全控制策略；此外，通过IP地址、MAC地址、端口、VLAN号、用户帐号等多元素的绑定，实现多种方式的用户接入访问控制，保证用户接入的安全

　(7)无线局域网的发展为校园网的建设和升级换代带来了新的选择，通过运用无线局域网技术的几种的应用方式，我们可以在校园实现网络的覆盖。对于我校在楼宇内采用接入方式对办公室、会议室、校园广阔地进行无线网络覆盖。而对于学校两部则通过室外网桥连接方式实现网络互通。无线局域网作为一个有限局域网的补充和完善，在校园网建设中将会有更好的应用。我们在构建无线局域网时可以根据不同的需求选择不同的接入方式这将使无线局域网技术得到更好的应用。

　 具体的无线局域网的配置代码如下：

　 ip dhcp pool wireless

　network 192.168.0.0 255.255.255.0

　default-router 192.168.0.1

　dns-server 192.168.8.11

　无线路由器Internet自动获得的IP如图3-1所示。

　 图3-1 无线路由器Internet自动获得IP图

　无线路由器LAN的IP如图3-2所示。

　 图3-2 无线路由器LAN的IP图

　查看无线局域网的PC机自动获得IP的情况，如图3-3所示。

　 图3-3 局域网中PC机自动获得的IP图

　4 校园网服务器配置

　4.1 WWW服务器配置

　WWW是建立在客户机／服务器模型之上的。WWW是以超文本标注语言HTML(Hyper Markup Language)与超文本传输协议HTTP(Hyper Text Transfer Protocol)为基础。能够提供面向Internet服务的、一致的用户界面的信息浏览系统。其中WWW服务器采用超文本链路来链接信息页，这些信息页既可放置在同一主机上，也可放置在不同地理位置的主机上；本链路由统一资源定位器(URL)维持，WWW客户端软件(即WWW浏览器)负责信息显示与向服务器发送请求。

　Internet采用超文本和超媒体的信息组织方式，将信息的链接扩展到整个Internet上。目前，用户利用WWW不仅能访问到Web Server的信息，而且可以访问到FTP、Telnet等网络服务。因此，它已经成为Internet 上应用最广和最有前途的访问工具，并在商业范围内日益发挥着越来越重要的作用。WWW客户程序在Internet上被称为WWW浏览器（Browser），它是用来浏览Internet上WWW主页的软件。目前，最流行的浏览器软件主要有Netscape communicator 和Microsoft Internet Explorer。

　WWW浏览提供界面友好的信息查询接口，用户只需提出查询要求，至于到什么地方查询，如何查询则由WWW自动完成。因此WWW为用户带来的是世界范围的超级文本服务。用户只要操纵鼠标，就可以通过Internet从全世界任何地方调来所需的文本、图像、声音等信息。WWW使得非常复杂的Internet使用起来异常简单。WWW浏览器不仅为用户打开了寻找Internet上内容丰富、形式多样的主页信息资源的便捷途径，而且提供了Usenet新闻组电子邮件与FTP协议等功能强大的通信手段。

　 局域网WWW服务器的配置如图4-1所示。

　 图4-1 局域网WWW服务器配置图

　4.2 DNS服务器配置

　DNS服务器在互联网的作用是：把域名转换成为网络可以识别的ip地址。首先，要知道互联网的网站都是一台一台服务器的形式存在的，但是我们怎么去到要访问的网站服务器呢？这就需要给每台服务器分配IP地址，互联网上的网站无穷多，我们不可能记住每个网站的IP地址，这就产生了方便记忆的域名管理系统DNS，他可以把我们输入的好记的域名转换为要访问的服务器的IP地址.

　 简单的说，就是为了方便我们浏览互联网上的网站而不用去刻意记住每个主机的IP地址，DNS服务器就应运而生，提供将域名分析为IP的服务，从而使我们上网的时候能够用简短而好记的域名来访问互联网上的静态IP的主机。

　 局域网内DNS服务器的配置如图4-2所示。

　 图4-2 局域网DNS服务器的配置

　5 校园网络的管理与安全

　5.1 网络管理

　随着校园网的不断发展和应用，网络管理和安全防范问题也越来越复杂。为此，我校专门设立了网络管理中心，负责网络管理系统的建立和应用、线路和站点的监测、通信设备管理、全局目录管理、用户和文件管理及收费管理、用户培训等。同时，利用网管中心，可以方便地采取各种安全性措施，控制通信，购买硬件防火墙，即时下载系统漏洞，实施新的安全技术，数据备份等提高网络可靠和安全性能水平。

　 校园网管理的主要目的是保障网络运行的品质，如维持网络传送速率、降低传送错误率、确保网络安全等。所以校园网系统管理的技术人员可借网络管理工具或本身的技术经验实施网络管理，内容可分为下列6项：

　 l 系统管理随时掌握网络内任何设备的增减与变动，管理所有网络设备的设置参数。当故障发生时，管理人员得以重设或改变网络设备的参数，维持网络的正常运作。

　 l 故障管理为确保网络系统的高稳定性，在网络出现问题时，必须及时察觉问题的所在。它包含所有节点动作状态、故障记录的追踪与检查及平常对各种通讯协议的测试。

　 l 效率管理在于评估网络系统的运作，统计网络资源的运用及各种通讯协议的传输量等，更可提供未来网络提升或更新规划的依据。

　 l 安全管理为防范不被授权的用户擅自使用网络资源，以及用户蓄意破坏网络系统的安全，要随时做好安全措施，如合法的设备存取控制与加密等。

　 l 计费管理了解网络使用时间，能针对各个局部网络做使用统计。一则可作为使用网络计费的依据，更可作为日后网络升级或更新规划的参考。

　 l 信息管理网络上的信息分成两部分，一是由管理员放置的信息，它们的品质一般较高；另一部分是由用户放置的，可能会有一些问题，要对这部分信息进行管理。

　 l 人员培训。要真正提高校园网的应用水平，就必须坚持不懈地在教学和学习中应用网络，以切实提高教学水平、管理水平和学习水平，其中加强对相关人员的培训十分必要。为此我校正举办网络技术培训班，对校园网的四类实用人员，即学校领导、系统维护人员、课件制作人员和应用系统使用人员，分期分批进行网络培训，以提高全体师生的网络应用水平，并促进校园网的健康发展。

　 、

　5.2 网络安全

　主机安全技术：加强网络上结点计算机的安全，包括：系统防火墙的规则设置、更新。系统漏洞补丁升级更新，在人们的潜意识里增加安全防范意识等等。

　 身份认证技术：身份验证技术可以阻止或减少由于非法用户的登陆对系统的恶意或非法操作。在用户访问服务器上任何信息之前，可以要求用户提供有效的 Microsoft

　Windows用户帐户、用户名和密码。该标识过程称为“身份验证”。可以在网站或FTP站点、目录或文件级别设置身份验证。可以使用Internet信息服务（IIS提供的）身份验证方法来控制对网站和FTP站点的访问。（包括下列信息：网站验证：介绍符合您验证用户网站访问要求的身份验证方法。FTP站点身份验证：介绍符合您验证用户FTP站点访问要求的身份验证方法。）

　访问控制技术：对信息的权限的控制，阻止了非授权用户进行的信息的浏览，修改甚至破坏。适当地控制对Web和FTP内容的访问是安全运行Web服务器的关键。使用 Windows和IIS中的安全功能，您可以有效地控制用户访问您Web和FTP内容的方式。可以控制多级访问，从整个网站和FTP站点到单独的文件。每个帐户均被授予用户特权和权限。用户特权是指在计算机或网络上执行特定操作的权力。权限是与对象（如文件或文件夹）关联的规则，用于控制哪些帐户可以获得对象的访问权限。

　 防火墙技术：要主的技术有数据包过滤技术、应用网关和代理服务等；防火墙体系结构在网络中的设置应用。例如屏蔽子网型防火墙。它是由两个包过滤路由器和两个堡垒机组成。堡垒主机和服务器放置在一个处于内外网的小型网络（Dmz 安全区）中。连接外网的包过滤路由器主要用来防止外网的攻击。并管理外网对dmz的访问。第二给个包过滤路由器是它置接受源于堡垒主机的数据，负责管理Ｄmz和内网之间的访问。这样对外网，内部网是不可见的。同理对于内网外网是不可见的，内网眼通过代理服务才能访问外网。对于入侵者必须通过外部路由器和堡垒主机，内部路由器才能入侵到内网中。到目前可以认为是最安全的。

　 安全审计技术：安全策略的订制和授权信息的验证技术是该技术的重点部分。可以使用安全审核技术跟踪用户活动并检测对NTFS目录和文件的未经授权的访问。（可供审核的活动包括：用户成功和失败的登录。用户试图访问受到限制的帐户。用户试图执行受到限制的命令。）

　5.2.1 NAT

　网络地址转换(NAT,Network Address Translation)被广泛应用于各种类型Internet接入方式和各种类型的网络中。原因很简单，NAT不仅完美地解决了lP地址不足的问题，而且还能够有效地避免来自网络外部的攻击，隐藏并保护网络内部的计算机。虽然NAT可以借助于某些代理服务器来实现，但考虑到运算成本和网络性能，很多时候都是在路由器上来实现的。

　随着接入Internet的计算机数量的不断猛增，IP地址资源也就愈加显得捉襟见肘。事实上，除了中国教育和科研计算机网(CERNET)外，一般用户几乎申请不到整段的C类IP地址。在其他ISP那里，即使是拥有几百台计算机的大型局域网用户，当他们申请IP地址时，所分配的地址也不过只有几个或十几个IP地址。显然，这样少的IP地址根本无法满足网络用户的需求，于是也就产生了NAT技术。

　 NAT的实现方式有三种，即静态转换Static Nat、动态转换Dynamic Nat 和 端口多路复用OverLoad。

　 静态转换是指将内部网络的私有IP地址转换为公有IP地址，IP地址对是一对一的，是一成不变的，某个私有IP地址只转换为某个公有IP地址。借助于静态转换，可以实现外部网络对内部网络中某些特定设备(如服务器)的访问。

　 动态转换是指将内部网络的私有IP地址转换为公用IP地址时，IP地址对是不确定的，而是随机的，所有被授权访问上Internet的私有IP地址可随机转换为任何指定的合法IP地址。也就是说，只要指定哪些内部地址可以进行转换，以及用哪些合法地址作为外部地址时，就可以进行动态转换。动态转换可以使用多个合法外部地址集。当ISP提供的合法IP地址略少于网络内部的计算机数量时。可以采用动态转换的方式。

　 端口多路复用(Port address Translation,PAT)是指改变外出数据包的源端口并进行端口转换，即端口地址转换(PAT，Port Address Translation).采用端口多路复用方式。内部网络的所有主机均可共享一个合法外部IP地址实现对Internet的访问，从而可以最大限度地节约IP地址资源。同时，又可隐藏网络内部的所有主机，有效避免来自internet的攻击。因此，目前网络中应用最多的就是端口多路复用方式。

　 (1)外网主机访问内网服务器,采用的是静态转换。具体代码如下：

　 ip nat inside source static 192.168.8.10 202.106.0.20

　(2)实现局域网访问互联网，采用的是端口复用动态地址转换，当内部多个私有ip地址对应外部很少的公网地址时所使用的，它可以根据端口的不同来区分不同的服务和对应的内部地址。在这次的课题设计中局域网访问外网就是采用这种技术，具体代码如下：

　 Router(config)#int f 0/1

　Router(config-if)#ip nat inside

　Router(config-if)#exit

　Router(config)#int s 0/1/0

　Router(config-if)#ip nat outside

　Router(config-if)#exit

　Router(config)#ip nat pool test 202.106.0.3 202.106.0.200 netmask 255.255.255.0

　Router(config)#access-list 10 permit 172.16.0.0 0.0.255.255

　Router(config)#access-list 10 permit 172.17.0.0 0.0.255.255

　Router(config)#access-list 10 permit 192.168.4.0 0.0.0.255

　Router(config)#access-list 10 permit 192.168.5.0 0.0.0.255

　Router(config)#access-list 10 permit 172.18.0.0 0.0.255.255

　Router(config)#access-list 10 permit 192.168.7.0 0.0.0.255

　Router(config)#access-list 10 permit 192.168.8.0 0.0.0.255

　Router(config)#access-list 10 permit 172.19.0.0 0.0.255.255

　Router(config)#access-list 10 permit 172.20.0.0 0.0.255.255

　Router(config)#access-list 10 permit 192.168.0.0 0.0.0.255

　Router(config)#ip nat inside source list 10 pool test overload

　5.2.2 ACL

　访问控制列表（Access Control List，ACL） 是路由器和交换机接口的指令列表，用来控制端口进出的数据包。ACL适用于所有的被路由协议，如IP、IPX、AppleTalk等。这张表中包含了匹配关系、条件和查询语句，表只是一个框架结构，其目的是为了对某种访问进行控制。

　信息点间通信，内外网络的通信都是企业网络中必不可少的业务需求，但是为了保证内网的安全性，需要通过安全策略来保障非授权用户只能访问特定的网络资源，从而达到对访问进行控制的目的。简而言之，ACL可以过滤网络中的流量，控制访问的一种网络技术手段。ACL技术用在了核心交换机的SW0上面，不允许学生公寓区访问行政区，其它的都可以，具体配置如下：

　 interface Vlan4

　ip address 192.168.4.1 255.255.255.0

　ip access-group 100 out

　access-list 100 deny ip 172.16.0.0 0.0.255.255 192.168.4.0 0.0.0.255

　6 网络系统的测试

　前面几个章节中，我们对如何设计一个较为完整的校园网网络进行了详细的介绍。当校园网初具规模后，还应该对校园网的整体运行情况做一下细致的测试和评估。

　 在这里我们通过ping、tracert、arp等网络命令，来观察机器的连通性和数据包的转发路径。为了说明问题，我们就用一个机器192.168.5.10作为代表来进行测设。

　 l 测试不同vlan之间的通信，如图6-1所示。

　 图6-1 测试不同vlan之间的通信图

　l 测试到服务器所走的路径，如图6-2所示。

　 图6-2测试到服务器所走的路径图

　l 测试DNS解析是否正常，如图6-3所示。

　 图6-3 测试DNS的解析图

　通过测试证明DNS解析正常。

　 l 测试NAT网络地址转换是否正常，如图6-4、图6-5所示。

　 图6-4测试内网主机访问外网WWW服务器图

　图6-5测试外网主机访问内网WWW服务器图

　l 测试ACL是否正确

　用学生公寓区的一台IP地址为172.16.34.10 ，办公区PC的IP为192.168.5.88分别访问财务处192.168.4.10，如下图所示。

　 图6-6 学生公寓区访问行政区图

　图6-7 办公区访问行政区图

　通过测试可知学生公寓区不能访问行政区，办公区可以访问行政区，说明ACL配置正确。

　 l 测试无线局域网能否访问内网和外网的WWW服务器，如下图所示。

　 图6-8 无线网主机访问内网WWW图

　图6-9无线网主机访问外网WWW图

　l 测试主机能否远程管理接入外网的路由器，如图6-10所示。

　 图6-10 主机对路由器的远程管理

　经过用不同的协议和路径的测试，我们发现，这次的网络设计是正常的，但是这仅仅是基本的构架，如果要设计出较完善的网络，还需要更加详细的配置。

　 结论

　一个设计方案的好坏，特别是校园组网。与设计人员对其电脑硬件和设备的方方面面地掌握程度息息相关。在本组网过程中，由于本人对网络知识的掌握有限，又是完全独立完成，可以说整个的组网过程是一边摸索一边实践出来的。但令人高兴的是，通过这样一个边学习边应用的过程，本人完成了校园网的组网的规划工作。本人考虑到可行性因素，在写这篇论文中，在网络中搜索了大量的资料和阅读了大量的书籍资料，考虑了方面齐全，收获也甚多。

　 但总的来说，该方案仍然存在许多不足之处。如：受开发条件和时间的限制，本方案校园网络的组建模式较简单，涉及的内容深度和一些细节的东西也许欠缺。对网络安全方面考虑较少，尤其是局域网的安全性，本人专业能力的有限。只是粗略的涉及。

　 这些都是需要完善的地方，该组网离实际还是有相当的距离，需要改进，需要不断地补充和完善。通过本次毕业设计我学到了不少新的东西，也发现了大量的问题，有些在设计过程中已经解决，有些还有待今后慢慢学习，如防火墙的配置和设置方面，网络安全方面。总的来说，只要学习就会有更多的问题，有更多的难点，但也会有更多的收获。

　 致谢

　在论文完成之际，我心情无法平静。本系统的研究和论文的撰写都是在宋翔老师的耐心指导下完成的。老师不厌其烦的指出设计中的不足及问题的解决方向，使我感受到宋老师的渊博学识、敏锐思维和民主严谨的作风。我最想该感谢的人就是我的导师——宋翔老师，并向她真诚的说一句谢谢。

　 在本次毕业设计的完成和论文的写作里我不仅学到了相关的专业知识，更领悟到了一些新的思想观念，看问题的角度变得更加多元化。

　 在过程中，我也曾经对课题有过不理解和论文写作上的逻辑不清晰，宋老师和我的同学们都尽最大的努力帮助我，帮我顺理思路，得以顺利完成毕业论文。

　 由衷感谢各位老师为评阅本论文将付出辛勤劳动，谢谢大家！

　参考文献

　[1]

　斯桃枝.局域网技术与局域网组建.北京:人民邮电出版社，2009-4.

　[2] [美]Richard Deal. CCNA学习指南——Cisco Certified Network Associate (Exam 640-802)(中文版).北京:人民邮电出版社，2009-4.

　[3]

　杨威,贾祥福,杨陟卓. 局域网组建、管理与维护.北京:人民邮电出版社，2009-2.

　[4]

　张晖,杨云.计算机网络实训教程.北京:人民邮电出版社,2008-11.

　[5]

　张基温. 计算机网络技术（第2版）.北京:高等教育出版社,2008-9.

　[6]

　冯昊,黄治虎,伍技祥.交换机/路由器的配置和管理.清华大学出版社,2005.

　[7]

　杜煜,姚鸿.计算机网络基础.人民邮电出版社,2001.

　[8]

　吴献文.计算机网络安全基础与技能训练.西安电子科技大学出版社,2008.

　[9]

　张浩军.计算机网络操作系统Windows Server 2003管理与配置.中国水利水电出版社,2004.

　[10] 张际平.校园网络技术与管理.东南大学出版社,2001.

　[11] 雷建军.计算机网络实用技术.北京：中国水利水电出版社,2003.

　[12] 胡道元.网络设计师.北京：清华大学出版社,2001.

　[13] 曾宪文.计算机网络技术.北京：机械工业出版社,2000.

　[14] Andrew S.Tanenbaum.计算机网络（第四版）.北京：清华大学出版社，2002.

　[15] 王祥仲.局域网组建实用培训教程北京：清华大学出版社,2002.

　[16] 张乃平.计算机网络技术.华南理工大学出版社,2015.

　[17] 何义伶,曹玉芳. 校园局域网：搭建自主探究学习的平台[J] . 中国现代教育装备, 2004.

　[18] 郭群.校园局域网的规划与管理[J] .电大理工,2000.

　[19] 尹安.校园网络安全状况及防护措施[J] .中国科教创新导刊,2008.

　[20] 高洪江,刘春江,贾杰.校园局域网建设中存在的问题及对策[J] . 教学与管理,2001.