《校园网网络建设设计 课程设计.doc》由会员分享,可在线阅读,更多相关《校园网网络建设设计 课程设计.doc(30页珍藏版)》请在三一办公上搜索。
1、校园网网络建设设计 班 级: 姓 名: 学 号: 时 间: 2015/1/4 前言3一、需求分析61.1用户需求:61.2 应用需求7二、系统设计原则82.1实用性82.2 先进性82.3安全性82.4可扩充性82.5可管理性9三、网络系统设计103.1系统构成103.2 设备选型103.3网络拓扑图143.4 校园网IP地址分配方案153.5 VLAN设计方案16四、校园网络系统的详细设计及实现184.1交换模块设计184.2 广域网接入模块设计244.3 远程访问模块设计264.4服务器模块设计28五、设计总结30前言项目相关背景信息时代的发展,影响着世界的每一个角落。每个人的生活和工作几
2、乎都与计算机密切相关。在速度越来越快的计算机硬件和日益更新的软件背后,网络作为中枢神经把我们联系在一起。也正是因为网络的出现与发展,使Internet为主要标志的网络技术构成了我们现代文化的重要组成部分,联系上亿人的Internet将我们带入了一个新的网络时代。在现今的网络建设中,校、企单位网络的建设是非常重要的。从早期的校、企单位网络主要是简单的数据共享,简单数据库的共享到现在内部全方位的数据共享,从过去单一的校、企单位网络到现在多个分支结构的全部互连,因而对网络的覆盖面要求越来越广。国内外发展状况早期校园网络主要是共用内部教育系统主机资源,共享简单数据库,多以二层交换为主,很少有三层应用,
3、存在访问速度慢、安全、可管理性较差等方面的问题。现在学校校园网建设要实现内部全方位的数据共享,应用三层交换,提供全面的QoS保障服务,使校园网实现安全可靠的高速访问,从而达到教育管理、多媒体教学、图书馆管理自动化的目的。而且还要通过Internet实现远程教学,提供可增值可管理的业务,必须具备高性能、高安全性、高可靠性,可管理、可增值特性以及开放性、兼容性、可扩展性。本着技术先进、投资合理、充分利用现有教学设备,在技术上和设备上适当超前的原则,建立规范化、技术先进、扩展性能良好、性能价格比高的校园网络信息系统。建成以先进的网络技术、计算机技术和多媒体技术为主要手段的多层开放式、全方位信息通讯与
4、信息管理系统。要在全院教学和行政管理两方面实现信息化,积极开发,广泛运用现代教育技术和信息资源,全面提高学院教师学生运用信息技术进行学习和工作的能力,全面推进信息技术与学科课程的整合、创造适应新时代要求的现代教学模式和管理模式,提高教育效益与质量,形成具有现代教育信息化的新特色。开发目的意义校园网是各种类型网络中的一大分支,有着非常广泛的应用。作为新技术的发祥地,学校、尤其是高等学校,和网络的关系十分密切,网络最初是在校园里进行实验并获得成功的,许多网络新技术也是首先在校园网中获得成功,进而才推向社会的。(1)校园网的建设和发展是推进素质教育的需要互联网已成为学校培养学生道德品质、创新能力等方
5、面的新环境,成为培养高素质人才的崭新的平台,是学校推进素质教育的需要。(2)校园网的建设和发展是学校教育改革的战略制高点创建丰富多彩的校园网络文化对于转变陈旧的教育思想和观念,促进教学内容、教学方法、教学结构和教学模式的改革,对于深化基础教育改革,提高教育质量,培养高素质的创新人才具有深远意义。(3)校园网的建设和发展是学校教育现代化的重点标志运用现代教育技术建设和发展校园网,营造清新的校园网络文化氛围,就是从根本上落实教育的战略地位,解放教师的生产力,推动和发展教师、学生的创造力的一种创新优势的重要标志。一、需求分析1.1用户需求:本校园网需要布置信息点:教学楼每栋240个信息点,三个校区共
6、有六栋,共1440个信息点;学校14个学院,每个学院240个信息点,共有3360个信息点,学院楼各自独立;图书馆电子阅览室500个信息点(分为2子网),50个借管信息点;本校园网线路要求:为适应学校将来对各种网络应用的需求,主干线使用单模或多模光纤,所有信息点都按超五类UTP标准布线且网络中心位于学校主教学楼内;本校园网需要实现的业务有:Web服务:所有合法用户可以通过Web浏览的方式获得校园网络中的信息,学生可以通过Web浏览的方式在线学习;FTP服务:教师可通过FTP服务器下载或上传课件资料;DNS、目录服务器:提供域名解析以及目录服务;邮件服务器:提供邮件收发服务;数据库服务器:提供各种
7、数据库服务;打印服务器:提供打印机共享服务;网管服务器:对校园网网络设备进行综合管理。1.2 应用需求行政楼各部门和各院系单独组成子网,与网络中心万兆连接;部门和院系内部千兆到桌面,校园网内部使用内部IP地址,校园网通过中国电信500M,中国移动100M,中国联通100M联入Internet。通过 DDN专线500M将整个校园网连入教育科研网CERNET,即连入国际互联网。开通WWW、E-MAIL、FTP、TELNET、BBS等各种INTERNET服务。拨号服务,使校区内及家庭用户等零散单机可通过电话拨号连到网络上,形成一个广域的计算机网络。校园网的建立,可以实现全校开通办公自动化系统、视频点
8、播多媒体教学系统。二、系统设计原则2.1实用性 应当从实际情况出发,使之达到使用方便且能发挥效益的目的。采用成熟的技术和产品来建设该系统。要能将新系统与已有的系统兼容,保持资源的连续性和可用性。系统是安全的,可靠的。使用相当方便,不需要太多的培训即可容易的使用和维护。2.2 先进性采用当前国际先进成熟的主流技术,采用业界相关国际标准。设备选型要是先进和系列化的,系统应是可扩充的。便于进行升级换代。建Intranet/Internet模式的总体结构,符合当今信息化发展的趋势。通过Intranet/Internet的建立,加速国内外院校之间的信息交流。2.3安全性采用各种有效的安全措施,保证网络系
9、统和应用系统安全运行。安全包括4个层面-网络安全,操作系统安全,数据库安全,应用系统安全。由于Internet的开放性,世界各地的Internet用户也可访问校园网,校园网将采用防火墙、数据加密等技术防止非法侵入、防止窃听和篡改数据、路由信息的安全保护来保证安全。同时要建立系统和数据库的磁带备份系统。2.4可扩充性采用符合国际和国内工业标准的协议和接口,从而使校园网具有良好的开放性,实现与其他网络和信息资源的容易互联互通。并可以在网络的不同层次上增加节点和子网。一般包括开放标准、技术、结构、系统组件和用户接口等原则。在实用的基础上必须采用先进的成熟的技术,选购具有先进水平的计算机网络系统和设备
10、,并保留向ATM过渡的自然性。由于计算机技术的飞速发展和计算机网络技术的日新月异,网络系统扩充能力的大小已变得非常重要,因此考虑网络系统的可扩充性是相当重要的。2.5可管理性设计网络时充分考虑网络日后的管理和维护工作,并选用易于操作和维护的网络操作系统,大大减轻网络运营时的管理和维护负担。采用智能化网络管理,最大程度地降低网络的运行成本和维护。 三、网络系统设计3.1系统构成校园信息系统网络应是为办公、科研和管理服务的综合性网络系统。一个典型的信息系统网络通常由以下几部分组成: 网络主干,用于连接各个主要建筑物,为主要的部门提供上网条件,主干的选型和设计是信息系统网络的主要工作之一。 局域网(
11、LAN)系统,以各个职能部门为单位而建立、独立的计算环境和实验环境。 主机系统,网络中心的服务器和分布在各个LAN上的服务器是网络资源的载体,它的投资和建设也是信息系统网络建设的重要工作。 应用软件系统,包括网上Web公共信息发布系统、办公自动化系统、管理信息系统、电子邮件系统、行政办公系统、人事管理系统和财务系统等专用的系统。我们认为更主要的是建设内部的Intranet系统。 出口(通讯)系统,是指将信息系统网络与Cernet和Internet等广域网络相连接的系统,出口系统的主要问题包括两个方面:一个是选择合适的连接方式,如DDN、X.25、卫星、微波等方式连网;另一个是防火墙的建设,它与
12、出口系统的安全性有直接的关系。3.2 设备选型 基本参数产品型号LS-5800-56C-H3产品类型万兆以太网应用层级三层包转发率192硬件参数接口类型48个10/100/1000Base-T以太网端口,4个1/10G SFP+端口接口数目52口传输速率10/100/1000/10000Mbps端口结构非模块化网络与软件QoS支持支持QoSVLAN支持支持VLAN功能双工传输支持全双工MAC地址表32 汇聚层交换机H3C S5024P基本参数产品型号H3C S5024P产品类型千兆以太网应用层级二层包转发率35.71Mpps硬件参数接口类型24个10/100/1000BASE-T自协商的以太网
13、端口端口数目24端口控制1个Console口端口结构非模块化其它参数电源电压AC 100-240V,50-60Hz电源功率36W产品尺寸44026044mm环境标准工作温度:0-40工作湿度:5%-95%(非凝露)接入层交换机H3C S1224基本参数产品型号H3C S3100V2-26TP-SI产品类型千兆以太网应用层级二层传输速率10/100/1000Mbps硬件参数传输模式全双工/半双工自适应端口数目24端口描述24个10/100/1000Mbps自适应以太网端口端口结构非模块化其它参数电源电压AC 100-240V,50-60Hz电源功率20W产品尺寸3023044mm环境标准工作温度
14、:0-40工作湿度:5%-95%(非凝露) H3C MSR 30-40基本参数产品型号H3C MSR 30-40产品类型多业务路由器应用层级二层传输速率10/100/1000Mbps硬件参数局域网接口2个扩展模块4个SIC插槽+4个MIM插槽端口描述2个ESM插槽、3个VPM插槽、1个VCPM、2个USB接口端口结构模块化功能参数处理器RISC新一代处理器 533MHz产品内存最大内存:1GB产品尺寸442422.388.2mm环境标准工作温度:0-40工作湿度:5%-95%(非凝露)CISCO ASA5540-K8防火墙基本参数产品型号CISCO ASA5540-K8产品类型企业级防火墙吞吐
15、量650Mbp并发连接数400000硬件参数控制端口console,2个RJ-45网络端口4*10/100/1000,1*10/100,1*SSC/SSM安全标准UL 1950,CSA C22.2 No. 950,EN 60950 IEC 60950,AS/NZS3260,TS001用户数限制无用户数限制功能参数电源100240VAC,47/63Hz产品重量10kg产品尺寸362*200.4*44.5mm环境标准工作温度:0-40工作湿度:5%-95%(非凝露)3.3网络拓扑图 校园网络拓扑图3.4 校园网IP地址分配方案内部IP地址采用采用私网172.16.0.0- 172.31.255.2
16、55 之间的IP地址。行政楼IP分配方案:行政楼内有校办、人事处。财务处等8个部门,8个部门的IP地址网段分别是172.16.1.0-192.168.8.0。20个学院的IP地址网段分别是172.16.9.0-172.16.28.0。图书馆的IP地址网段是172.16.29.0-172.16.31.0。如图:Vlan编号Vlan名称IP网段默认网关备注Vlan1-172.16.0.1/24192.168.0.254管理Vlan10JWC172.16.1.0/24192.168.1.254教务处Vlan20XSSS172.16.2.0/24192.168.2.254学生宿舍Vlan30CWC17
17、2.16.3.0/24192.168.3.254财务处Vlan40JGSS172.16.4.0/24192.168.4.254教工宿舍Vlan50JZX172.16.5.0/24192.168.5.254建筑系Vlan60GLX172.16.6.0/24192.168.6.254管理系Vlan70JSJX172.16.7.0/24192.168.7.254计算机系Vlan100FWQ172.16.100.0/24192.168.100.254服务器3.5 VLAN设计方案 行政楼内8个部门,设计为8个VLAN,为VLAN2-9,对应IP地址为172.16.1.0-172.16.8.0。 每个学
18、院楼内可根据其专业数量设置相应的VLAN数量,如某学院有4个专业,则可设置4个VLAN,每个VLAN内有60个信息点,则专业1的主机IP地址范围为172.16.9.1-172.16.9.62 、专业2的主机IP地址范围为172.16.9.65-172.16.9.126、专业3的主机IP地址范围为172.16.9.129-172.16.9.190专业4的主机IP地址范围为172.16.9.193-172.16.9.254。 图书馆借管50台PC机使用网段172.16.29.0 电子阅览室使用172.16.30.0和172.16.31.0网段。设置电子阅览室PC处于VLAN2,借管PC处于VLAN
19、3。四、校园网络系统的详细设计及实现4.1交换模块设计校网网数据交换设备可以划分为三个层次:访问层、分布层、核心层。传统意义上的数据交换发生在OSI模型的第2层。现代交换技术还实现了第3层交换和多层交换。高层交换技术的引入不但提高了校园网数据交换的效率,更大大增强了校园网数据交换服务质量,满足了不同类型网络应用程序的需要。本网络还引入了虚拟局域网(Virtual LAN,VLAN)的概念。VLAN将广播域限制在单个VLAN内部,减小了各VLAN间主机的广播通信对其他VLAN 的影响。在 VLAN 间需要通信的时候,可以利用 VLAN 间路由技术来实现。当网络管理人员需要管理的交换机数量众多时,
20、可以使用 VLAN 中继协议( Vlan Trunking Protocol, VTP)简化管理,它只需在单独一台交换机上定义所有VLAN。然后通过VTP协议将VLAN定义传播到本管理域中的所有交换机上。这样,大大减轻了网络管理人员的工作负担和工作强度。当校园网络的交换机数量增多、交换机间链路增加时,交换网络的复杂性可能会造成交换环路问题,这需要通过在各交换机上运行生成树协议(SpanningTree Protocol, STP)来解决。访问层交换服务的实现配置访问层交换机访问层为所有的终端用户提供一个接入点。这里的访问层交换机采用H3C的交换机(H3C S1224)。交换机拥有24个10/1
21、00/1000Mbps自适应千兆以太网端口,运行的是H3C的Comware操作系统。配置访问层交换机AccessSwitch1的基本参数设置交换机名称:设置交换机名称,也就是出现在交换机CLI提示符中的名字。一般我们会以地理位置或行政划分来为交换机命名。当我们需要Telnet登录到若干台交换机以维护一个大型网络时,通过交换机名称提示符提示自己当前配置交换机的位置是很有必要的。语句如下:Switch(config)#hostname accessswitch1 Accessswitch1(config)#设置交换机的加密使能口令:当用户在普通用户模式而想要进入特权用户模式时,需要提供此口令。此口
22、令会以MD5的形式加密,因此,当用户查看配置文件时,无法看到明文形式的口令。将交换机的加密使能口令设置为secretpasswd。如下:Accessswitch1(config)#enable secret secrepaswd设置登录虚拟终端线时的口令:对于一个已经运行着的交换网络来说,交换机的带内远程管理为网络管理人员提供了很多的方便。但是,处于安全考虑,在能够远程管理交换机之前网络管理人员必须设置远程登录交换机的口令。:设置登录交换机时需要验证用户身份,同时设置口令为youguess设置终端线超时时间:为了安全考虑,可以设置终端线超时时间。在设置的时间内,如果没有检测到键盘输入,IOS将
23、断开用户和交换机之间的连接。设置登录交换机的控制台终端线路及虚拟终端线的超时时间为5分30秒钟设置禁用IP地址解析特性:在交换机默认配置的情况下,当我们输入一条错误的交换机命令时,交换机会尝试将其广播给网络上的DNS服务器并将其解析成对应的IP地址。利用命令noipdomain-lookup可以禁用这个特性。设置禁用IP地址解析特性设置启用消息同步特性:有时,用户输入的交换机配置命令会被交换机产生的消息打乱。可以使用命令loggingsynchronous设置交换机在下一行CLI提示符后复制用户的输入。配置访问层交换机AccessSwitch1的管理IP、默认网关访问层交换机是OSI参考模型的
24、第2层设备,即数据链路层的设备。因此,给访问层交换机的每个端口设置IP地址是没意义的。但是,为了使网络管理人员可以从远程登录到访问层交换机上进行管理,必要给访问层交换机设置一个管理用IP地址。这种情况下,实际上是将交换机看成和PC机一样的主机。给交换机设置管理用IP地址只能在VLAN1,即本征VLAN中进行。管理交换机设置管理用IP地址只能在VLAN1,即本征VLAN中进行。按照表2-1,管理VLAN所在的子网是:172.16.0.0/24,这里将访问层交换机AccessSwitch1的管理IP地址设为:172.16.0.5/24,显示了为访问层交换机AccessSwitch1设置管理IP并激
25、活本征VLAN。为了使网络管理人员可以在不同的子网管理此交换机,还应设置默认网关地址172.16.0.254。配置访问层交换机AccessSwitch1的VLAN及VTP从提高效率的角度出发,在本校园网实现实例中使用了VTP技术。同时,将分布层交换机DistributeSwitch1设置成为VTP服务器,其他交换机设置成为VTP客户机。这里访问层交换机AccessSwitch1将通过VTP获得在分布层交换机DistributeSwitch1中定义的所有VLAN的信息。设置访问层交换机AccessSwitch1成为VTP客户机 配置访问层交换机AccessSwitch1端口基本参数端口双工配置:
26、可以设定某端口根据对端设备双工类型自动调整本端口双工模式,也可以强制将端口双工模式设为半双工或全双工模式。在了解对端设备类型的情况下,建议手动设置端口双工模式。设置访问层交换机AccessSwitch1的所有端口均工作在全双工模式端口速度:可以设定某端口根据对端设备速度自动调整本端口速度,也可以强制将端口速度设为10Mpbs或100Mbps。在了解对端设备速度的情况下,建议手动设置端口速度。设置访问层交换机AccessSwitch1的所有端口的速度均为100Mbps配置访问层交换机AccessSwitch1的访问端口访问层交换机AccessSwitch1为终端用户提供接入服务。在图中,访问层交
27、换机AccessSwitch1为VLAN10、VLAN20提供接入服务。设置访问层交换机AccessSwitch1的端口110:设置访问层交换机AccessSwitch1的端口1端口10工作在访问(接入)模式。同时,设置端口1端口10为VLAN10的成员。设置访问层交换机AccessSwitch1的端口1120:设置访问层交换机AccessSwitch1的端口11端口20工作在访问(接入)模式。同时,设置端口1端口10为VLAN20的成员。(3)设置快速端口:默认情况下,交换机在刚加电启动时,每个端口都要经历生成树的四个阶段:阻塞、侦听、学习、转发。在能够转发用户的数据包之前,某个端口可能最多
28、要等50秒钟的时间(20秒的阻塞时间15秒的侦听延迟时间15秒的学习延迟时间)。对于直接接入终端工作站的端口来说,用于阻塞和侦听的时间是不必要的。为了加速交换机端口状态转化时间,可以设置将某端口设置成为快速端口(Portfast)。设置为快速端口的端口当交换机启动或端口有工作站接入时,将会直接进入转发状态,而不会经历阻塞、侦听、学习状态(假设桥接表已经建立)。设置访问层交换机AccessSwitch1的端口1端口20为快速端口。配置访问层交换机AccessSwitch1的主干道端口访问层交换机AccessSwitch1通过端口FastEthernet0/23上连到分布层交换机Distribut
29、eSwitch1的端口FastEthernet0/23。同时,访问层交换机AccessSwitch1还通过端口FastEthernet0/24上连到分布层交换机DistributeSwitch2的端口FastEthernet0/23。这两条上连链路将成为主干道链路,在这两条上连链路上将运输多个VLAN的数据。设置访问层交换机AccessSwitch1的端口FastEthernet0/23、FastEthernet0/24为主干道端口。配置访问层交换机AccessSwitch2访问层交换机AccessSwitch2为VLAN30和VLAN40的用户提供接入服务。同时分别通过自己的FastEthe
30、rnet0/23、FastEthernet0/24上连到分布层交换机DistributeSwitch1、DistributeSwitch2的端口FastEthernet0/24。对访问层交换机AccessSwitch2的配置步骤、命令和对访问层交换机AccessSwitch1的配置类似。这里,不再详细分析,只给出最后的配置文件内容(只留下了必要的命令)。需要指出的是,为了提供主干道的吞吐量,可以采用链路捆绑(快速以太网信道)技术增加可用带宽。例如,可以将访问层交换机AccessSwitch1的端口FastEthernet0/21和FastEthernet0/22捆绑在一起实现200Mbps的快
31、速以太网信道,然后再上连到分布层交换机DistributeSwitch1。同样,也可以将访问层交换机AccessSwitch1的端口FastEthernet0/23和FastEthernet0/24捆绑在一起实现200Mbps的快速以太网信道,然后再上连到分布层交换机DistributeSwitch2。4.2 广域网接入模块设计广域网接入模块的功能是由广域网接入路由器InternetRouter 来完成的。采用的是H3C MSR 30-40路由器。它通过自己的串行接口 serial 2/0接入 Internet。其作用主要是在 Internet和校园网内网间路由数据包。除了完成主要的路由任务外
32、,利用访问控制列表( Access Control List,ACL),广域网接入路由器 InternetRouter 还可以用来完成以自身为中心的流量控制和过滤功能并实现一定的安全功能。配置接入路由器 InternetRouter 的基本参数对接入路由器InternetRouter的基本参数的配置步骤与对访问层交换机AccessSwitch1 的基本参数的配置类似。配置接入路由器 InternetRouter 的各接口参数对接入路由器InternetRouter的各接口参数的配置主要是对接口FastEthernet 0/0 以及接口 Serial 2/0 的 IP 地址、子网掩码的配置。配置
33、接入路由器 InternetRouter 的路由功能在接入路由器 InternetRouter 上需要定义两个方向上的路由:到校园网内部的静态路由以及到 Internet 上的缺省路由。到 Internet 上的路由需要定义一条缺省路由,其中,下一跳指定从本路由器的接口 serial 2/0 送出。到校园网内部的路由条目可以经过路由汇总后形成两条路由条目。配置接入路由器 InternetRouter 上的 NAT由于目前 IP 地址资源非常稀缺,不可能给校园网内部的所有工作站都分配一个公有 IP( Internet 可路由的)地址。为了解决所有工作站访问 Internet 的需要,必须使用 N
34、AT(网络地址转换)技术。为了接入 Internet,本校园网向当地ISP申请了2个C类段地址 IP 地址218.87.136.1218.87.137.255。其中一个IP地址:218.87.136.1 被分配给了 Internet 接入路由器的串行接口,另外 IP 地址 用作 NAT。NAT 的配置可以分为以下几个步骤:(1)定义 NAT 内部、外部接口(2)定义允许进行 NAT 的工作站的内部局部 IP 地址范围, (3)为服务器定义静态地址转换,其他工作站定义复用地址转换。配置接入路由器 InternetRouter 上的 ACL路由器是外网进入校园网内网的第一道关卡,是网络防御的前沿阵
35、地。路由器上的访问控制列表(Access Control List,ACL)是保护内网安全的有效手段。一个设计良好的访问控制列表不仅可以起到控制网络流量、流向的作用,还可以在不增加网络系统软、硬件投资的情况下完成一般软、硬件防火墙产品的功能。由于路由器介于校园内网和外网之间,是外网与内网进行通信时的第一道屏障,所以即使在网络系统安装了防火墙软件后,仍然有必要对路由器的访问控制列表进行缜密的设计,来对内网包括防火墙本身实施保护。4.3 远程访问模块设计远程访问也是校园网络必须提供的服务之一。它可以为家庭办公用户和出差在外的员工提供远程、移动接入服务。远程访问有三种可选的接入方式:专线连接、电路交
36、换和包交换。不同的广域网连接类型提供的服务质量不同,花费也不相同。在本设计中,考虑到面对的用户群规模较小、业务量较小,所以采用了异步拨号连接作为远程访问的接入方式。异步拨号连接属于电路交换类型的广域网连接,它是在传统公共交换电话网(Public Switched Telephone Network,PSTN)上提供服务的。传统 PSTN 提供的服务也被称为简易老式电话业务( Plan Old Telephone System,POTS)。因为目前存在着大量安装好的电话线,所以这样的环境是最容易满足的。因此,异步拨号连接也就成为最方便和普遍的远程访问类型。广域网连接可以采用不同类型的封装协议,如
37、 HDLC、PPP 等。其中,PPP除了提供身份认证功能外,还可以提供其他很多可选项配置,包括链路压缩、多链路捆绑、回叫等,因此更具优势。本设计所采用封装协议是 PPP。配置物理线路的基本参数对物理线路的配置包括配置线路速度(DTE、 DCE之间的速率)、停止位位数、流控方式、允许呼入连接的协议类型、允许流量的方向等。配置接口基本参数并指定 IP 地址池对接口基本参数的配置包括:接口封装协议类型、接口异步模式、IP 地址、为远程客户分配IP 地址的方式等。这里,设置远程客户从IP地址池 huangrong 中获得 IP 地址,并建立一个 IP 地址池。配置身份认证PPP提供了两种可选的身份认证
38、方法:口令验证协议PAP( Password Authentication Protocol , PAP )和质询握手协议( Challenge HandshakeAuthentication Protocol,CHAP)。PAP是一个简单的、实用的身份验证协议。PAP认证进程只在双方的通信链路建立初期进行。如果认证成功,在通信过程中不再进行认证。如果认证失败,则直接释放链路。CHAP 认证比 PAP 认证更安全,因为 CHAP 不在线路上发送明文密码,而是发送经过摘要算法加工过的随机序列,也被称为“挑战字符串”。同时,身份认证可以随时进行,包括在双方正常通信过程中。因此,非法用户就算截获并成
39、功破解了一次密码,此密码也将在一段时间内失效。CHAP对端系统要求很高,因为需要多次进行身份质询、响应。这需要耗费较多的 CPU 资源,因此只用在对安全要求很高的场合。PAP虽然有着用户名和密码是明文发送的弱点,但是认证只在链路建立初期进行,因此节省了宝贵的链路带宽。本设计中将采用 PAP 身份认证方法。(1)建立本地口令数据库(2)设置进行 PAP 认证4.4服务器模块设计服务器模块用来对校园网的接入用户提供各种服务。在本设计中,所有的服务器被集中到VLAN 100 ,构成服务器群并通过分布层交换机DistributeSwitch1 的端口F1 10 接入校园网。校园网网络提供的常用服务(服
40、务器)包括:WEB 服务器,提供 WEB 网站服务。DNS、目录服务器,提供域名解析以及目录服务。FTP文件服务器,提供文件传输、共享服务。邮件服务器,提供邮件收发服务。数据库服务器,提供各种数据库服务。打印服务器,提供打印机共享服务。网管服务器,对校园网网络设备进行综合管理。给出了所有的服务器硬件平台、操作系统以及服务软件的选型表:编号服务器名称硬件平台操作系统服务软件Server 1WEB 服务器HP LH3000Windows2000 ServerIIS5.0Server 2FTP文件服务器HP LH3000Windows2000 ServerSER V-U5.0Server 3DNS、
41、目录服务器HP TC 4100Windows2000 ServerActiveDirectoryServer 4邮件服务器SUN E250Solaris 8.0EYOU MailServer 5数据库服务器HP TC 4100Windows2000 ServerSQLServer2000Server 6打印服务器HP TC 4100Windows2000 Server-Server 7网管服务器HP TC 4100Windows2000 ServerCisco Works 2000五、设计总结1、一个校园网络系统的组建需要从多方面进行考虑,不但涉及许多技术问题,而且包括网络设施、信息资源、专业应用、等众多成份的综合化以及信息化教学环境系统的建设。本方案是根据呈贡新校区具体情况作出的网络设计,设计了新校区的各学院、行政楼和图书馆的网络拓扑设计和IP地址分配方案,是一个可行的网络设计方案。2、路由器交换机的设备选型是针对现在国内网络的发展以及考虑校园网络将来的扩充作出的高性价比的选择方案,能够满足学校现在及将来十几年内对网络速率的要求。3、使用VLAN对各个学院专业和行政部门的划分,可以实现使用逻辑拓扑解决物理上的连接问题,并且具有一定安全性。
