网络系统集成课程作业校园网网络系统集成方案

《网络系统集成课程作业校园网网络系统集成方案》由会员分享，可在线阅读，更多相关《网络系统集成课程作业校园网网络系统集成方案（16页珍藏版）》请在装配图网上搜索。

1、 网络系统集成课程作业系 部：数学与信息科技学院班 级： 学 号： 姓 名： 1.校园网络现状分析目前在学校的各院系所、图书馆、许多教研室和各党政领导部门都使用着计算机进行大量计算、统计、分析、管理和文字处理等工作。为了适应教学、科研和管理工作的需要，加强校内各部门之间的信息交流和共享，提高工作效率和水平，有必要建立一个全校范围内、有效、实用且快速的计算与通讯环境校园网络。2. 需求分析根据所了解的学校总体目标，利用先进实用的计算机技术和网络通信技术，把学校内所有的局域网、网段和单机用户都连接起来，组成个分布式网络系统。同时通过校园网向上连通省、市教委信息中心及CERNET和Internet连

2、接，向下覆盖全校，分享国内外的计算机资源信息，并建立基于校园网的应用系统。从如下几个方面进行需求分析。2.1.应用需求1) 网络办公管理功能2) 网络多媒体教学功能3) 电子图书馆功能4) Interneet/Intranet信息服务功能5) 系统管理和维护功能2.2.网络管理需求1) VLAN的划分：在内部主干网上要求作到能够划分跨越物理子网的虚拟网，以便使各种网段（尤其是办公网）的划分不受地理区域的限制，并有效地限制网间广播，控制网间访问；局域网的VLAN配置过程 1、设置vtp domain。 vtp domain 称为管理域 交换vtp更新信息的所有交换机必须配置为相同的管理域。如果所

3、有的交换机都以中继线相连，那么只要在核心交换机上设置一个管理域，网络上所有的交换机都加入该域，这样管理域里所有的交换机就能够了解彼此的vlan列表。 com#vlan database 进入vlan配置模式 com(vlan)#vtp domain com 设置vtp管理域名称 com com(vlan)#vtp server 设置交换机为服务器模式 par1#vlan database 进入vlan配置模式 par1(vlan)#vtp domain com 设置vtp管理域名称com par1(vlan)#vtp client 设置交换机为客户端模式 par2#vlan database

4、进入vlan配置模式 par2(vlan)#vtp domain com 设置vtp管理域名称com par2(vlan)#vtp client 设置交换机为客户端模式 par3#vlan database 进入vlan配置模式 par3(vlan)#vtp domain com 设置vtp管理域名称com par3(vlan)#vtp client 设置交换机为客户端模式这里设置核心交换机为server模式是指允许在该交换机上创建、修改、删除vlan及其他一些对整个vtp域的配置参数，同步本vtp域中其他交换机传递来的最新的vlan信息；client模式是指本交换机不能创建、删除、修改vla

5、n配置，也不能在nvram中存储vlan配置，但可同步由本vtp域中其他交换机传递来的vlan信息。2、配置中继为了保证管理域能够覆盖所有的分支交换机，必须配置中继 cisco交换机能够支持任何介质作为中继线，为了实现中继可使用其特有的isl标签。isl（interswitchlink）是一个在交换机之间、交换机与路由器之间及交换机与服务器之间传递多个vlan信息及vlan数据流的协议，通过在交换机直接相连的端口配置isl封装，即可跨越交换机进行整个网络的vlan分配和进行配置。在核心交换机端配置如下： com(config)#interface gigabitethernet 2/1 com

6、(config-if)#switchport com(config-if)#switchport trunk encapsulation isl 配置中继协议 com(config-if)#switchport mode trunk com(config)#interface gigabitethernet 2/2 com(config-if)#switchport com(config-if)#switchport trunk encapsulation isl 配置中继协议 com(config-if)#switchport mode trunk com(config)#interface

7、 gigabitethernet 2/3 com(config-if)#switchport com(config-if)#switchport trunk encapsulation isl 配置中继协议 com(config-if)#switchport mode trunk 在分支交换机端配置如下： par1(config)#interface gigabitethernet 0/1 par1(config-if)#switchport mode trunk par2(config)#interface gigabitethernet 0/1 par2(config-if)#switch

8、port mode trunk par3(config)#interface gigabitethernet 0/1 par3(config-if)#switchport mode trunk此时，管理域算是设置完毕了。3、创建vlan一旦建立了管理域，就可以创建vlan了com(vlan)#vlan 10 name counter 创建了一个编号为10 名字为counter的 vlan com(vlan)#vlan 11 name market 创建了一个编号为11 名字为market的 vlan com(vlan)#vlan 12 name managing 创建了一个编号为12 名字为m

9、anaging的 vlan这里的vlan是在核心交换机上建立的，其实，只要是在管理域中的任何一台vtp 属性为server的交换机上建立vlan，它就会通过vtp通告整个管理域中的所有的交换机。但如果要将具体的交换机端口划入某个vlan，就必须在该端口所属的交换机上进行设置。4、将交换机端口划入vlan 例如，要将par1、par2、par3分支交换机的端口1划入counter vlan，端口2划入market vlan，端口3划入managing vlan par1(config)#interface fastethernet 0/1 配置端口1 par1(config-if)#switch

10、port access vlan 10 归属counter vlan par1(config)#interface fastethernet 0/2 配置端口2 par1(config-if)#switchport access vlan 11 归属market vlan par1(config)#interface fastethernet 0/3 配置端口3 par1(config-if)#switchport access vlan 12 归属managing vlan par2(config)#interface fastethernet 0/1 配置端口1 par2(config-i

11、f)#switchport access vlan 10 归属counter vlan par2(config)#interface fastethernet 0/2 配置端口2 par2(config-if)#switchport access vlan 11 归属market vlan par2(config)#interface fastethernet 0/3 配置端口3 par2(config-if)#switchport access vlan 12 归属managing vlan par3(config)#interface fastethernet 0/1 配置端口1 par3

12、(config-if)#switchport access vlan 10 归属counter vlan par3(config)#interface fastethernet 0/2 配置端口2 par3(config-if)#switchport access vlan 11 归属market vlan par3(config)#interface fastethernet 0/3 配置端口3 par3(config-if)#switchport access vlan 12 归属managing vlan5、配置三层交换 到这里，vlan已经基本划分完毕。但是，vlan间如何实现三层（网

13、络层）交换呢？这时就要给各vlan分配网络（ip）地址了。给vlan分配ip地址分两种情况，其一，给vlan所有的节点分配静态ip地址；其二，给vlan所有的节点分配动态ip地址。下面就这两种情况分别介绍。 假设给vlan counter分配的接口ip地址为172.16.58.1/24，网络地址为：172.16.58.0， vlan market 分配的接口ip地址为172.16.59.1/24，网络地址为：172.16.59.0， vlan managing分配接口ip地址为172.16.60.1/24， 网络地址为172.16.60.0 如果动态分配ip地址，则设网络上的dhcp服务器ip

14、地址为172.16.1.11。(1) 给vlan所有的节点分配静态ip地址。 首先在核心交换机上分别设置各vlan的接口ip地址。核心交换机将vlan做为一种接口对待，就象路由器上的一样。 com(config)#interface vlan 10 com(config-if)#ip address 172.16.58.1 255.255.255.0 vlan10接口ip com(config)#interface vlan 11 com(config-if)#ip address 172.16.59.1 255.255.255.0 vlan11接口ip com(config)#interfa

15、ce vlan 12 com(config-if)#ip address 172.16.60.1 255.255.255.0 vlan12接口ip 再在各接入vlan的计算机上设置与所属vlan的网络地址一致的ip地址，并且把默认网关设置为该vlan的接口地址。这样，所有的vlan也可以互访了。(2) 给vlan所有的节点分配动态ip地址。 首先在核心交换机上分别设置各vlan的接口ip地址和同样的dhcp服务器的ip地址。 com(config)#interface vlan 10 com(config-if)#ip address 172.16.58.1 255.255.255.0 vla

16、n10接口ip com(config-if)#ip helper-address 172.16.1.11 dhcp server ip com(config)#interface vlan 11 com(config-if)#ip address 172.16.59.1 255.255.255.0 vlan11接口ip com(config-if)#ip helper-address 172.16.1.11 dhcp server ip com(config)#interface vlan 12 com(config-if)#ip address 172.16.60.1 255.255.255

17、.0 vlan12接口ip com(config-if)#ip helper-address 172.16.1.11 dhcp server ip。 再在dhcp服务器上设置网络地址分别为172.16.58.0，172.16.59.0，172.16.60.0的作用域，并将这些作用域的“路由器”选项设置为对应vlan的接口ip地址。这样，可以保证所有的vlan也可以互访了。 最后在各接入vlan的计算机进行网络设置，将ip地址选项设置为自动获得ip地址即可。 2）虚拟网管理：对虚拟网的配置可以进行集中的控制管理，以便随时进行扩充、迁移等调整；3）设备及端口管理：对主干网上所有网络设备及连接局域网

18、的所有端口可以进行集中的控制管理；4）网络检测：对主干网的运行状态和故障进行集中检测、报警、统计。2.3.网络安全需求1)划分内部网和外部网：所有向Internet提供的信息发布服务放在外部网上、所有校内应用放在内部网上，内部网与外部网之间设置防火墙以保证内部网的安全.2)内部网的各个子网之间的互访可以控制，杜绝非授权的访问。2.4.广域网连接需求分析校园主干网广域网的连接需求主要表现在：1）能够与国际互联网连接；能够与Cernet、Chihanet连接，与国内各个单位交流信息。2）校园网总体设计3. 设计该方案的基本原则1.以满足校园内目前主要的网络应用项目为基本设计目标，为未来可能的应用项

19、目保留充分的扩充余地；2.采用目前通用的技术路线，但要充分考虑能够适应未来可能的技术发展；3.布线工程一次性连通学校内所有主要建筑物，根据应用项目的实际需要分期分批配置网络设备；4.充分注意保证网络的安全性，可靠性和可维护性。4. 网络系统关键技术比较与选择1.校园网拓扑结构的选择常用的网络拓扑结构有总线型、环型和星型结构，为了便于网络管理和网络扩展，本方案采用单星型拓扑结构，以化学实验楼计算中心为主要结点，其它的重要大楼做为外围主干结点。2.校园网组网技术的选择目前常用的校园网主干网组网技术有100Mbps的快速以太网，100Mbps的FDDI， ATM网络和千兆以太网。本校园网主要采用快速

20、以太交换网作为主干网的组网技术，快速以太交换网是性能较高的组网方式。它具有以下优点：技术成熟稳定；对传统的局域网及其应用有很好的支持；有效保护用户投资。5、路由器与交换机的配置5.1.1路由器的配置路由器CISCO 2811与内网的连接端口为f 0/0，此端口的IP地址为10.1.1.1。f0/1为外部端口，IP地址为207.160.130.131。通过以下对路由器CISCO 2811的配置完成了该校内部网络与外部Internet的通信，并使用NAT技术完成了外部网络对内部局域网访问的地址转换，配置ACL访问控制列表实现老师宿舍1栋无法访问图书馆。同时开启了此路由器的远程功能。router0

21、#启动路由器后进入用户模式router0enrouter0#configure terminalrouter0(config)#router0(config)#router ospf 100 #配置OSPF路由协议router0(config)#network 10.1.1.0 0.0.0.3 area 0router0(config)#redistribute rip subnets router0(config)#exitrouter0(config)#ip nat pool router 207.160.130.131 207.160.130.139netmask 255.255.255

22、.0 #定义用于转换的外部全局地址池router0(config)#access-list 1 permit any #定义需要转换的地址范围router0(config)#ip nat inside source list 1 pool router0 overload#配置端口地址转换router0(config)#interface fastEthernet 0/0 #定义f0/0为内部接口router0(config-if)#ip address 10.1.1.1 255.255.255.252router0(config-if)#ip nat insiderouter0(config

23、-if)#no shutdownrouter0(config-if)#interface fastEthernet 0/1#定义F0/1外部接口router0(config-if)#ip address 207.160.130.131 255.255.255.0router0(config-if)#ip nat outsiderouter0(config-if)#no shutdownrouter0(config-if)exitrouter0(config)#access-list deny 1 host 192.168.30.2 #配置ACL访问控制router0(config)#acces

24、s-list 1 permit anyrouter0(config)#exitrouter0(config)#interface fastEthernet 0/1 #将规则定义到指定的接口router0(config-if)#ip access-group 1 outrouter0(config-if)#exitrouter0(config)# #返回特权模式router0#write #保存配置5.1.2核心层交换机的配置IP地址端口对端设备对端IP地址对端端口OSPF区域10.1.1.1/30F0/0主教学楼10.1.1.2F0/18Area110.1.1.5/30F0/19学生宿舍10.

25、1.1.6/30F0/19Area210.1.1.9/30F0/20教师宿舍10.1.1.10F0/20Area310.1.1.13/30F0/21办公楼10.1.1.14/30F0/21Area410.1.1.17/30F0/22图书馆10.1.1.18/30F0/22Area510.1.1.21/30F0/23实训楼10.1.1.22/30F0/23Area6192.168.150.2/24F0/3Web server192.168.150.3/24F0/2E-mailserver192.168.150.4/24F0/1FTPserver表5-1-2为OSPF端口及区域的划分为了与计算机使

26、用的IP地址区分，因此必须划分相应的端口地址及网段，具体分配如表所示下面为华为S5328C-EI-24S交换机的具体配置：启动交换机后默认进入用户模式Switch #进入特权模式Switchenable #进入全局模式Switch#configure terminal Switch(config)#hostname Center #交换机名称配置Center(config)#enable password 123456 #配置进入特权模式口令Center(config)#enable secret CenterCenter(config)#vtp domain Center #配置VTP，设V

27、TP域名为CenterCenter(config)#vtp mode server #将VTP设置为服务器模式Center(config)#Center(config)#exit #返回到特权模式Center#configure terminal #进入全局模式Center(config)#interface fastEthernet 0/18 #进入接口0/18 并为其端口设置IPCenter (config-if)#no switchport Center (config-if)#ip address 10.1.1.2 255.255.255.252Center (config-if)no

28、 shutdownCenter (config-if)interface FastEthernet0/19Center (config-if)no switchportCenter (config-if)ip address 10.1.1.5 255.255.255.252Center (config-if)no shutdownCenter (config-if)interface FastEthernet0/20Center (config-if)no switchportCenter (config-if)ip address 10.1.1.9 255.255.255.252Center

29、 (config-if)no shutdownCenter (config-if)interface FastEthernet0/21Center (config-if)no switchportCenter (config-if)ip address 10.1.1.13 255.255.255.252Center (config-if)no shutdownCenter (config-if)interface FastEthernet0/22Center (config-if)no switchportCenter (config-if)ip address 10.1.1.17 255.2

30、55.255.252Center (config-if)no shutdownCenter (config-if)interface FastEthernet0/23Center (config-if)no switchportCenter (config-if)ip address 10.1.1.21 255.255.255.252Center (config-if)no shutdownCenter (config-if)interface FastEthernet0/24Center (config-if)no switchportCenter (config-if)ip address

31、 10.1.1.29 255.255.255.252Center (config-if)no shutdownCenter (config-if)#exit #返回全局模式Center (config)#Center (config)#router ospf 100 #配置OSPF路由（设OSPF的区号为100）Center (config-router)#network 10.1.1.0 0.0.0.3 area 0 #配置路由区域Center (config-router)#network 10.1.1.4 0.0.0.3 area 1Center (config-router)#netw

32、ork 10.1.1.8 0.0.0.3 area 2Center (config-router)#network 10.1.1.12 0.0.0.3 area 3Center (config-router)#network 10.1.1.16 0.0.0.3 area 4Center (config-router)#network 10.1.1.20 0.0.0.3 area 5Center (config-router)#network 10.1.1.28 0.0.0.3 area 6Center (config-router)#exit #返回全局模式Center (config)#li

33、ne vty 0 1 #设置远程登录密码为123456Center (config-line)#loginCenter (config-line)#password 123456Center (config-line)#exitCenter (config)#exitCenter #write #返回到特权模式保存配置通过以上配置各汇聚层交换机与核心层交换机均采用OSPF路由协议，共划分了7个区域，路由器与中心机房配置成area0，其余为area1-area6（在模拟软件中都有标记），各汇聚层交换机与接入层交换机之间均采用RIP路由协议，各服务器与中心机房采用静态路由，另外在每个汇聚层交换机上

34、都配有远程登录。1.1. 5.1.3汇聚层交换机的配置汇聚层交换机以实训楼所在的汇聚交换机华为S5328C-EI-24S配置为详细说明，其它汇聚层交换华为S5328C-EI-24S交换机可参考本节的配置。下面是实验楼汇聚交换机的详细配置。Switch Switchenable #进入特权模式Switch#configure terminal #进入全局模式Switch(config)#hostname converge #为交换机配置名称converge(config)#enable password 123456 #配置进入特权模式口令converge(config)#enable secr

35、et testconverge(config)#vtp domain perry #配置VTP，设VTP域名为perry，并设为客户端 模式。converge(config)#vtp mode clientconverge(config)#converge# #返回到特权模式Converge#show vlan #查看VLANconverge#configure terminal #进入全局模式converge(config)#interface fastEthernet 0/19 #进入接口模式converge(config)#no switchportconverge(config-if)

36、#ip address 10.1.1.5 255.255.255.252converge(config-if)no shutdownconverge(config-if)interface fastEthernet 0/24 #进入24号端口，设置为trunk口converge(config-if)switchport mode trunkconverge(config-if)no shutdownconverge(config)exit #返回到全局模式converge(config)interface Vlan 2 #进入VLAN虚拟端口，并设其IPconverge(config-if)i

37、p address 192.168.10.254 255.255.255.0converge(config-if)interface Vlan 3converge(config-if)ip address 192.168.20.254 255.255.255.0converge(config-if)#exit #返回到全局模式converge(config)#router opsf 100 #配置OSPF及RIP路由converge(config-router)#network 10.1.1.0 0.0.0.3 area 1converge(config-router)#redistribut

38、e rip subnets converge(config-router)#exitconverge(config)#router ripconverge(config-router)#version 2converge(config-router)#network 192.168.10.0converge(config-router)#network 192.168.20.0converge(config-router)#network 10.1.1.0converge(config-router)#redistribute ospf 100 converge(config-router)#

39、exit #返回全局模式converge(config)#line vty 0 1 #配置远程登录converge(config-line)#loginconverge(config-line)#password 123456converge(config-line)#exitconverge#write #返回到特权模式保存配置1.2. 5.1.4办公室接入层交换机配置通过以下对办公楼所在的交换机配置命令，完成了对办公楼不同办公室区域网段的划分，同时开启了此台交换机的远程登录功能。办公楼接入交换机3COM(H3C)华为 S1526的24号端口与汇聚层交换机华为Quidway S3952P-S

40、I的24号端口相连，与其它设备端口连接如下表：端口对端设备端口所属VLANfastEthernet 0/1后勤处7fastEthernet 0/2教务处8fastEthernet 0/3学工处9表5-1-4为各办公室VLAN的端口划分下面为办公楼接入层交换机的详细配置。启动交换机后默认进入用户模式SwitchSwitchenableSwitch#configure terminal #为交换机配置名称（名称使为office）Switch(config)#hostname officeoffice(config)#enable password 123456 #配置进入特权模式口令office(

41、config)#enable secret testoffice(config)#vtp domain perry #配置VTP，设VTP域名为perry，并设为客户端模式。office(config)#vtp mode clientoffice(config)#exit #返回到特权模式office#show vlanoffice#configure terminal #进入全局模式office(config-if)interface fastEthernet 0/24 #进入接口模式（进入24号端口，设置端口模式为trunk口）office(config-if)switchport mod

42、e trunkoffice(config-if)no shutdownoffice(config-if)interface fastEthernet 0/1 #为1号端口指定要对应VLANoffice(config-if)#switchport access vlan 7office(config-if)no shutdownoffice(config-if)# interface fastEthernet 0/2office(config-if)#switchport access vlan 8office(config-if)no shutdownoffice(config-if)# in

43、terface fastEthernet 0/3office(config-if)#switchport access vlan 9office(config-if)no shutdownoffice(config-router)#exit #返回全局模式office(config)#line vty 0 1 #配置远程登录office(config-line)#loginoffice(config-line)#password 123456office(config-line)#exitoffice#write #配置完成后回到特权模式保存配置1.3. 5.1.5学生宿舍接入层交换机配置把不

44、同楼的宿舍学生用户划分为不同的网段，并实现了交换机端口与学生宿舍电脑的MAC地址的绑定，同时开启了此交换机远程登录功能。对于学生宿舍的接入层交换机3COM(H3C)华为 S1526，学生宿舍的这台交换机与其它设备相连情况如下表：端口对端设备所属vlanfastEthernet 0/1学生宿舍14fastEthernet 0/2学生宿舍215fastEthernet 0/24学生宿舍汇聚端口trunk表5-1-5为学生宿舍VLAN端口的划分下面为学生宿舍交换机的详细配置。SwitchSwitchenableSwitch#configure terminalSwitch(config)#hostn

45、ame sdormitory sdormitory (config)#enable password 123456 #启动交换机后为设置主机名 与配置登录密码sdormitory (config)#enable secret test #设置加密密码sdormitory (config)#sdormitory (config)#vtp domain perry #配置VTP，设VTP域名为perry，并设为客户端模式。sdormitory (config)#vtp mode clientsdormitory (config)#exitsdormitory #show vlansdormitor

46、y#configure terminal #进入全局模式sdormitory(config)#interface fastEthernet 0/1 #进入接口模式配置sdormitory(config-if)#switchport access valn 4 #将1号端口添加到VLAN4sdormitory(config-if)#no shutdownsdormitory(config)#interface fastEthernet 0/2 sdormitory(config-if)#switchport access valn 15sdormitory(config-if)#no shutd

47、ownsdormitory(config)#interface fastEthernet 0/24sdormitory(config-if)#switchport mode trunksdormitory(config-if)#no shutdownsdormitory(config)#interface fastEthernet 0/1 #进入端口对学生用户的MAC地址与端口地址进行绑定sdormitory(config-if)#switchport mode access #将端口设为access模式sdormitory(config-if)#switchport port-securit

48、y #启动安全端口模式sdormitory(config-if)#switchport port-security mac-address 00D0.97B6.4996 #对MAC地址的绑定sdormitory(config-if)#switchport port-security maximum 1#设置端口可绑定MAC地址的最大值sdormitory(config-if)#switchport port-security violation shutdown #设置与端口绑定的MAC地址不符时自动关闭这些端口sdormitory(config-if#end #配置完成，返回到特权模式然后保

49、存sdormitory#write6. 校园网专项设计6.1虚拟网络设计VLAN端口划分及配置该校申请的IP地址为207.160.130.131，域名为，主DNS为218.76.138.66，辅助DNS为218.76.138.90。根据该学校的情况，将VLAN与IP分配如下表：表4-1-3为该校VLAN与IP网段的划分VLAN 号网段IP网关备注2192.168.10.0/24192.168.10.254多媒体13192.168.20.0/24192.168.20.254多媒体24192.168.30.0/24192.168.30.254学生宿舍1栋4192.168.40.0/24192.16

50、8.40.254学生宿舍2栋5192.168.50.0/24192.168.50.254教师宿舍1栋6192.168.60.0/24192.168.60.254教师宿舍2栋7192.168.70.0/24192.168.70.254后勤处办公室8192.168.80.0/24192.168.80.254教务处办公室9192.168.90.0/24192.168.90.254学工处办公室10192.168.100.0/24192.168.100.254图书馆办公室11192.168.110.0/24192.168.110.254电子阅读室12192.168.120.0/24192.168.120

51、.254教学楼机房113192.168.130.0/24192.168.130.254教学楼机房214192.168.140.0/24192.168.140.254教学楼机房36.2网络管理设计网络管理是一个复杂网络必须考虑的关键技术问题，这里的网络管理主要指网络设备及其系统的管理，包括网络配置管理，网络性能管理，网络安全管理和网络故障管理。网络管理设计需要在配置每个网络设备时，都选择具有网络管理代理的，驻留有网络管理协议的设备，网络管理设计的另一方面，是配置一个网络管理中心，它一般是一台微机，配置网络管理平台，在平台上运行管理每个网络设备的应用软件。方案采用的HP OpenView Mana

52、geX网络管理系统可以对网络连通性进行自动检测，对网络上所连设备进行自动直找，自动监视和统计所有网络端口和各个虚拟网的流量和差错，自动向网络管理员主控台发出网络故障的告警，或其它的告警信息。所有Inter ES-500交换机，联想Ls5625和LS3016交换机。对网络的管理还体现在对各设备间不间断电源的管理，这是网络稳定、可靠的一个重要因素。因此应该配置配有网络监控功能APC UPS，可以通过网络远地监视UPS工作状态，辅助网络管理人员诊断网络故障。6.3网络安全性设计计算机网络的安全可以理解为计算机安全在网络环境下的扩展，以保证业主基于网络的应用安全、可靠。本方案中主要从如下几方面来实现计

53、算机网络的安全问题：1)校园网主干网内部安全控制在校园网内部，各部门除了其本身已有的局域网外，还可通过对它们采取虚拟网技术，使得外面用户无法进入“虚拟工作组” 。内部访问采取如下步骤以确保安全：a) 身份认证，以识别区分合法用户和非法用户，从而阻止非法用户访问系统；b) 权限控制，通过系统对用户的授权，决定哪些用户有资格访问哪些资源；c) 审计跟踪，它将记录哪个用户在何时访问了哪些资源，用于收费记帐和非法事件发生时能够有效地追踪；d) 对一些机密文件采用加密数据存放，用户一切合法后方可查阅。2)主干网关于安全性方面的设计仅仅提供安全控制的方法，具体的安全控制方案需求根据应用需求而定。网络安全性

54、的保证可通过网之间的访问控制功能，限定各个部门之间非授权的网络访问。6.4广域网连接设计学校网络中心计划通过（DDN、拨号、微波待定）作为校园网的出口，与CERNET和Internet相连。6.5网络扩展性设计根据业主的信息点需求情况，在网络的整体设计中充分考虑到网络的扩展性，主要从如下两个层次考虑：1)整个网络结构的扩展性。整个网络主干采用星型拓扑结构，可以很容易地扩展主干节点。二级以下的节点也采用星型拓扑结构，可以很灵活地接入微机和工作站。2)网络设备的扩展性。首先在网络主干允许的情况下，可以增加楼层Hub来扩展网络信息点。然后，可以增加二级节点交换机以增加交换的端口。最后，可以增加网络中

55、心交换机加强模块升级到1000M带宽。7.工程实施计划和服务维护承诺1. 工程组织工程实施单位和xxx学校联合成立校园网项目组，负责校园网的实施。根据整个工程的实际情况和任务成立3个职能小组，以确保优质高效地完成整个项目。领导小组：由双方有关领导和技术及商务负责人组成，全面负责系统工程的组织、工程计划安排以及人员的安排和协调。技术和实施小组：由双方有关技术人员人员组成方案设计和实施小组，其中方案设计人员主要负责整个系统的总体方案和具体方案的确定及调整，由工程人员(包括硬件工程师、网络工程师和软件工程师)具体负责整个项目的实施。在工程实施过程中，工程实施单位负责对用户的技术人员进行现场培训，同时

56、由双方技术人员共同整理有关文档，系统通过验收后，全部文档双方各保留一份，有助于系统的维护和管理。商务小组：具体负责系统工程进行中与商务合同有关的各项事物，如办理有关免税手续，设备订货，办理海关手续等事宜。2. 工程实施计划工程实施分成工程设备采购阶段：工程设备安装调试阶段；工程的验收测试阶段；工程的维护服务阶段；网络系统独立运行阶段。工程设备采购阶段，主要包括工程设备订购清单的确认，向国内外设备供应商采购设备，xxx学校的光缆及楼内布线系统的材料采购、实施及测试验收，网络设备安装现场的场地准备，细化工程实施方案和实施计划。工程设备安装调试阶段，主要工作包括连接网络设备，调试网络系统尤其是调试网

57、络管理系统，设置虚拟网结构和虚拟网之间的访问控制功能，开通基本的Internet服务，主要校园内拨号访问服务，最终对网络系统的全面测试。维护和服务阶段，该阶段的工作包括施工单位工程技术人员现场网络系统的维护，现场网络管理和维护技术培训、网络管理和维护技术的培训。该阶段主要的目标是施工单位调整优化网络配置，处理突发性的网络故障，尽快培训用户自己的技术人员，尽量在三个月时间内将网络管理交给用户自己技术人员负责，施工单位技术人员从负责到配合，逐步在实践中培养出用户自己的网络管理员和系统管理员。系统独立运行阶段，该系统交给业主自己管理，施工单位仍提供技术服务和技术支持。ut2ApOdfXXc02GyB

58、KsKCWw97MrqqWhoj5TL15Zt6jIPYytYCummtARp3v1N5luizi3xh3BhWYreKO8d9g7nmZQoWPJeTLDrw08gVS8DsDQQYGC3cE7moO2tLF0Jf1gK74IUXyBmtIVR97CkrfVqULT5fn2t6MpJR6rbzVPSortZvIj5NB5ndVvSr4iWr1TwLFKgLSPzuhRjQ3CmZU98eUOuijdLSZqPmvrw9zKupxf8WFUG9l2G9277g2rTipa1YpCZEuqxpKBhtVDCooQOzxUz3vJrZmOcijyM62zchmeooTYes8EBMm932tbz2

59、Yo09RtsZEYS8Zrd2Yktj8l6jEAzVAjnfbtryLvsm6oFbfToXVRFFn7OwIYgJlamkUNXJYbz5Rrb7r4VsuR9zpfZFMfsjhcfCA37lNW2VVLRKN7R8psz1BN6oRic5hU5Z6HCxAYqyNPOG8duYbAwqSl20CSg06Dh2sM8HLtgPkIcSkrgOPDpuHBj1LmPk7lYdvC6NNMwL3fwhZFTFVYAARY7lHSSxJ10V3pH3Y19BxYR77Ib7CpZSu2tijqe3hKqkKAu9KSkCpHKXUIKvvyJZpg2YijRkqfbGgOvyqKuxNWI9

60、oMnJtt6QilZxtyrF7d20FbmabcfiixrQKUsVNXBPPFUXyQ1fJSKFSUbkgs2DUVQC9sz4JkbgN4Qqv66pyoARjurNFJ3TxyfclZiEePtwFJthphEipDFNqnR2HjQKV2DzWtMPDJQkBcXmovdsjqCTJagjMdLsKPgaD2s0H0vmZGAHt36gyUEZ7UmANk1ndREuBeqdgrx0venqGnsyIB2ilq3SIQrNL4m56t7Z8Y8da5K0KUpn5Nzg4JvjdtfFHyt82AoGQkXo4VBLmLEiy2P7HtHBho07rCfttxodYDPPdtQsO7wx