DHCP服务器在校园网的使用与规划-职业学院毕业论文

学号 密级 哈尔滨铁道职业技术学院毕业论文 DHCP 服务器在校园网的使用与规划 学 院 名 称：计算机学院 专 业 名 称：计算机网络 学 生 姓 名： 指 导 教 师： 郑郑 重重 申申 明明 本人呈交的毕业论文，是在指导教师的指导下，独立进行研究 工作所取得的成果，所有数据、图片资料真实可靠。尽我所知，除文 中已经注明引用的内容外， 本毕业论文的研究成果不包含他人享有著 作权的内容。对本论文所涉及的研究工作做出贡献的其他个人和集 体，均已在文中以明确的方式标明。本毕业论文的知识产权归属于培 养单位。 本人签名：日期： 指导教师签名：日期： A GRADUATION DISSERTATION OF HARBIN RAILWAY TECHNICAL COLLEGE IN A DHCP SERVER CAMPUS-NET USE AND PLANNING College：Computer College Subject：Computernetwork Name：Zhang hai lian Director：Zhangxuelecturer June 2011 摘要 随着网络的逐步普及，校园网络的建设是学校向信息化发展的必然选择，校 园网网络系统是一个非常庞大而复杂的系统，它不仅为现代化发展、综合信息管 理和办公自动化等一系列应用提供基本操作平台，而且能提供多种应用服务，使 信息能及时、准确地传送给各个系统。而校园网工程建设中主要应用了网络技术 中的重要分支局域网技术来建设与管理的，其主要包括局域网的技术思想、网络 设计方案、网络拓扑结构、布线系统、服务器的部署（FTP、邮件、DNS、DHCP 等）服务、Intranet/Internet 的应用、网络安全等。因此本毕业设计课题将主 要以校园局域网络建设过程可能用到的技术及实施方案为设计方向， 为校园网的 建设提供理论依据和实践指导，建设一个现代化的校园网的网络。 关键字：局域网、Internet、计算机网络、网络协议、服务器、防火墙 综合布 线 ABSTRACT Along with the network popularization, the campus network gradually to the informatization construction is the school the inevitable outcome of the development of campus network, the system is a very large and complex system, it is not only for modernization development and comprehensive information management and office automation and so on a series of applied to provide basic operation platform, and can provide various application service, make the information can timely, accurately transmitted to each system. And in engineering construction of campus network technology mainly used an important branch of local area network technology to construction and management, its main include LAN technology idea, network design, network topology structure, wiring system, server deployment (FTP, mail, DNS, Intranet DHCP, etc) services, Internet applications, network/safety etc. So the graduation design task will mainly campus local area network construction process may use of technology in design and implementation plan for the construction of network directions, in order to provide theoretical basis and practical guidance, building a modern campus network. Key word: LAN, Internet, computer network, network protocol, server, firewall integrated wiring I 目录 第 1 章 项目概要.1 第 2 章 校园网现状和存在问题.2 2.1 校园网现状.2 2.2 组建校园网的要求分析.2 2.2.1 网络性能及策略服务.2 2.2.2 网络的可靠性.2 2.2.3 支持 VLAN 功能.2 2.2.4 网络的安全要求.3 2.2.5 网络的管理要求.3 2.2.6 计费要求.3 第 3 章 建设目标和建设内容.4 3.1 建设目标.4 3.2 建设指导思想.4 3.3建设原则.5 3.4 结构化布线.5 3.4.1 工作区子系统.5 3.4.2 水平子系统.6 3.4.3 垂直干线系统.6 3.4.4 管理子系统.6 3.4.5 设备间子系统.6 3.4.6 建筑群子系统.7 第 4 章 DHCP 服务器的部署与 VPN 的实现.8 4.1 DHCP 的工作原理.8 4.1.1 DHCP 服务是什么.8 4.1.2 DHCP 中继代理的工作原理.10 4.2 VPN 的实现.10 4.2.1 VPN 原理.11 4.2.2Windows Server 2003 支持以下两种 VPN 通信协议.11 4.2.3VPN 使用的在以下两种场合.11 第 5 章 网络通信系统.13 II 第 6 章 网络安全与管理系统.17 6.1 防病毒.17 6.2 防火墙.17 6.3 入侵检测系统.17 6.4 网络管理.18 总结.19 参考文献.20 致谢.21 DHCP 服务器在校园网的使用与规划 1 第第 1 1 章章 项目概要项目概要 新校园网络工程是国家“西部大学校园计算机网络建设工程”之一，该工程 需要对现有校园网进行全面改造和性能提升，其先进性、可扩展性、建设规模、 包含内容等本次网络建设目前需要覆盖该校的 A、B、C 三校区，同时要考虑以后 的扩展需要，如新扩展的 3000 亩校区等。该项目建设总体目标是：在一年之内， 建成该校校园网网络基础设施，实现校内用户的高速互联互通、资源共享，校外 与中国教育科研计算机网高速接入，同时建设一系列基于校园网环境的教学、科 研和管理的应用系统。 该工程主要包括建设校园计算机光纤主干网、校园网网 络中心、开放网络机房、多媒体网络教室、网络管理和运行系统、教学、科研、 管理系统和网络安全保障体系等。要满足全校八千多学生、1 千多教职员工的教 学、科研、管理、生活、娱乐等的上网需要。 该工程的实施，不仅能全面提高 大学校园网的水平和规模，扩大校园网的应用范围，为教师教学和科研以及学生 进入网络平台提供了基本保证， 而且将为国民经济和社会信息化的发展提供人才 和智力支持， 直接关系到 “科教兴国” 战略的实施和教育跨越式发展目标的实现。 DHCP 服务器在校园网的使用与规划 2 第第 2 2 章章 校园网现状和存在问题校园网现状和存在问题 2.12.1 校园网现状校园网现状 大学目前网络信息流量巨增，新型网络应用的开展，如：网上多媒体教学、 校内 IP 电话、远程教育、网上联合工程研究、数字化图书馆、校园办公自动化 系统等对网络主干和网络服务器设备提出了新的要求， 原有设备已经很难适应新 的需求、 因此需要重新规划建设新的校园网络， 将各个校区的网络系统连接起来， 建设统一的、规模较大的、能适应学校教研发展的校园网络系统 2.22.2 组建校园网的要求分析组建校园网的要求分析 .1 网络性能及策略服务网络性能及策略服务 新组建的大学网络系统应实现高带宽、多路交换特性，为校园内外部信息交 换提供流畅的信息通道。网络应具有高性能，可实现链路汇聚（LAG）特性提供 更高带宽。低延时特性应满足网上视频点播、IP 电话、时实远程教育、多媒体 教学的基本需求。主干网络设备支持四层以上的交换特性，实现对不同 IP 业务 的策略控制与管理，提高 QoS 服务质量，将 IP 组播技术应用在网络系统中，为 实施远程教育打下坚实的基础。 .2 网络的可靠性网络的可靠性 由于大学的校园网络支持的用户十分庞大，骨干网络应该具有很高的可靠 性，最好能够提供电信级的可靠性。应该从网络设计上和产品设计上提供相应的 可靠性保障。如网络设计时，骨干网络设计时应该考虑建立冗余连接，实现故障 自动链路切换。产品选择上应提供具有容错设计、无单一故障点的产品。 .3 支持支持 VLANVLAN 功能功能 为了加强 IP 管理，原则上一个单位在一个 IP 子网内。由于校园各单位的分 散性，会出现一个单位的站点分布在不同的楼群内，另一方面在校园网的同一个 DHCP 服务器在校园网的使用与规划 3 二级交换机上往往会连接多个 IP 子网，校园网分布式 VLAN 和集中式 VLAN 是当 前和今后学校二级 IP 子网组网的基本特性。 因此，在产品选择和网络设计时， 应细致考虑 VLAN 可定义的类型，VLAN 的中继能力，实现基于策略的 VLAN。 .4 网络的安全要求网络的安全要求 网络安全是任何一个建网单位都十分关心的问题， 网络设计必须能够提供一 整套安全性策略、安全性机制和安全性解决方案。另外由于大学的特殊情况应该 特别注意 IP 地址防盗用问题。大学校园网络与 CERNET 已连通，许多单位建立了 自己的域名服务器、WWW 等服务器。网络中心为各单位分配了正规的 IP 地址， 因此存在 IP 地址盗用问题；在划分了 IP 子网后，子网间的 IP 地址盗用问题解 决了，但子网内部仍存在 IP 地址盗用。除了以路由器或 PC 桥方式与校园网连接 的子网外，其它方式连接的子网应考虑防止 IP 盗用。在大学出口处设立防火墙， 防止外部网络对校园内部网络的攻击，请详细叙述 IP 盗用和网络安全的策略、 方法、措施。 2.22.2. .5 5 网络的管理要求网络的管理要求 构成大学校园网络的产品众多，网络管理是一个十分艰巨而重要的问题, 网管除了管理校园网骨干交换机、 二级交换机外， 还要管理路由器、 拨号服务器、 各二级单位的具有网管功能的交换机、路由器。 .6 计费要求计费要求 网络计费分局域网站用户计费和拨号用户计费。局域网用户计费按院、部、 处、实验室为单位进行结算，要求计费系统基于 IP 地址的流量计费或基于用户 的流量计费。家属区、学生区局域网络用户采用代理服务器上网，要求计费系统 基于用户的流量计费。拨号用户计费要求采用计时、计量相结合的办法。局域网 用户的流量要求区分国际、 国内的流入、 流出， 拨号用户只要求区分流入、 流出。 网络安全计费、灵活的用户管理、方便的用户计费查询是计费软件应达到的基本 要求。 DHCP 服务器在校园网的使用与规划 4 第第 3 3 章章 建设目标和建设内容建设目标和建设内容 3.13.1 建设目标建设目标 大学校园网建设工程项目的总体目标是：通过有线、无线等方式组建一个高 稳定性、强壮性、安全性、可管理性的计算机网络系统；多协议、多服务的计算 机网络体系；实现现有三校区的高速互连互通，并覆盖校园内每个角落，同时考 虑可扩展性，保证 35 年以内不落后，10 年以内可用，能够轻松方便地支持校 内办公自动化（OA）、教学管理、科研管理、数字图书馆、远程教育（网络教育） 、 校园一卡通及多媒体信息服务等应用的需求。 3.23.2 建设指导思想建设指导思想 先进性：在保证系统能够稳定运行的基础上，以先进的设计思想，设计网络 结构、开发工具，采用市场覆盖率高、标准化和技术成熟的软硬件产品。保证技 术的前瞻性，延长系统的生命周期。 可靠性：具有容错功能，管理、维护方便。 对网络的设计、选型、安装、调试等各环节进行统一规划和分析，确保系统运行 可靠，并具有良好的性能价格比。 安全性：随着信息化的集中处理和基于 Internet 的访问激增，给校园网络带来的不利因素之一便是安全问题。从某种 角度上来看，使校园内部科研信息及其它信息等暴露的可能性增大，信息一经暴 露，给全系统带来的危害性加大。因此，方案设计时，充分考虑系统的抗外部攻 击和内部攻击的能力。 可扩展性：系统总体设计采用开放的结构，具有可扩展 性，同时系统设计应经济实用。 实用性：本着经济的原则，系统不追求大而全 和设备先进，选用实用、够用的设计方案，更着眼于系统整个的灵活性和可扩充 性，同时，考虑要利用和保护现有的资源、充分发挥设备效益。 开放性：系统 设计应采用开放的技术、开放的结构、开放的系统组建和开放的用户接口，以利 于网络维护、扩展升级和与外界信息的沟通。 灵活性：采用积木式模块组合和 结构化设计，使系统配置灵活，满足学校分步实施的建网原则，使网络具有强大 的可增长性。 DHCP 服务器在校园网的使用与规划 5 3.33.3建设原则建设原则 统一规划、分步实施、近期目标明确 统一设计，分布实施的原则基于系统 的可用性、扩展性和先进性的统一的需要，即应用系统的设计、网络方案设计充 分考虑网络系统建成后 510 年的发展需要，进行全方位整合；考虑校园园区网 络系统的设备、物理链路、业务发展状况、技术力量等多方面的综合因素，为未 来的发展留有余地。 坚持先进性、开放性、标准化的原则 建立一个大规模的综 合性园区网络系统，应该尽可能采用先进成熟的技术。选购具有当今主流先进技 术水平的计算机系统和网络设备， 这些设备或系统应该在相当长的时间内保证其 先进性。开发或选购的各种网络应用软件也尽可能先进，并有相当长时间的可用 性。现代计算机网络的一个最显著特点是具有极好的开放性。这种开放性靠标准 化实现，使得符合这些标准的计算机系统很容易进行网络互连。为此，应制定全 网统一的网络体系结构，并遵循统一的通信协议标准。网络体系结构和通信协议 应选择广泛使用的国际工业标准， 使得设计网络系统成为一个完全开放式的网络 计算环境。强调应用和服务 网络应用和服务在整个网络建设中应置于非常重要 的地位。建设好一个，投入使用一个，使网络的建设、应用及服务同步进行。应 用和服务才是用户可直接受益的部分。同时，提供网络系统强有力的售后保障体 系，也是应用和服务延伸的保证。 3.43.4 结构化布线结构化布线 综合布线系统设计原则：1，系统性 2，标准化 3，先进性和延续性 4，高 性能价格比 5，实用性 6，灵活方便 7，可管理 8，扩充性好 从功能上看，综合布线系统包括工作区子系统、水平子系统、管理子系统、 垂直干线子系统、设备间子系统、建筑群子系统六个子系统。我们的设计方案将 根据实际情况进行取舍.简要介绍如下。 .1 工作区子系统工作区子系统 它是将用户的通信设备连接到综合布线系统的子 DHCP 服务器在校园网的使用与规划 6 系统，包括各种型号的插座及将通信设备连到插足所需的各种配件。 .2 水平子系统水平子系统 水平子系统将干线子系统线路延伸到用户工作区， 大多数使用 4 对或 25 对非屏蔽双绞线，它们能支持现 代通信设备。在对宽带需求较大的应用时采用光缆。应 用于本次设计中语音和数据部分的产品为 MPS300E-262 超 5 类信息模块和 86 系列双孔面板。根据工作区信息点的数量及用户的要求， 语音和数据均采用 6 类 4 对非屏蔽双绞线，可支持 1Gbps 信息传输，光纤到桌面 信息点采用 LGBC 室内多模光纤。 .3 垂直干线系统垂直干线系统 它是综合布线系统的骨干。它是由电缆、光缆及其它各种支持设备组成的一 个综合子系统，支持所有的其它通信子系统。垂直干线系统将所有水平子系统连 接在一起，汇合成配线分支点，通常占有一个小房间或配线柜，并与户外系统相 接。 .4 管理子系统管理子系统 由交联、互联配线架、信息插座式配线架以及跳线 组成。管理点为连接其他子系统提供连接手段，交联和 互联可以将通信线路定位或重定位到建筑物的不同部 分，以便能更容易地管理通信线路。本项目采用的是 110DW2-100FT110 型 配 线 架 、 PM2151B-24GS 和 PM2151B-48GS 铜缆配线架。全部采用机柜式安装方式，这样既便于系统的联接 和管理，又安全可靠、美观大方。 .5 设备间子系统设备间子系统 设备间子系统也称设备子系统。设备间子系统由电缆、连接器和相关支撑硬 件组成。它把各种公共系统设备的多种不同设备互连起来，其中包括邮电部门的 DHCP 服务器在校园网的使用与规划 7 光缆、同轴电缆、程控交换机等。 设计时注意的要点为： （1）设备间要有足够的空间，保障设备的存放； （2）设备间要有良好的工作环境，如温度、湿度等； （3）设备间的建设标准应按机房建设标准设计。 .6 建筑群子系统建筑群子系统 它是连接楼群之间的通信设备， 包括支持楼群之间通信的传输介质及各种支 持设备，如电缆、光缆及电气保护设备。除了各种有线手段外，户外系统还包含 其它无线通信手段。 户外电缆在进入大楼时通常要在入口处经过一次转接接入户 内系统，在转接处可加上电气保护设备。 DHCP 服务器在校园网的使用与规划 8 第第 4 4 章章 DHCPDHCP 服务器的部署与服务器的部署与 VPNVPN 的实现的实现 4.14.1 DHCPDHCP 的工作原理的工作原理 4.14.1. .1 1 DHCPDHCP 服务是什么服务是什么 DHCP 称为动态主机配置协议。DHCP 服务允许工作站连接到网络并且自动获 取一个 IP 地址。配置 DHCP 服务的服务器可以为每一个网络客户提供一个 IP 地 址、子网掩码、缺省网关、一个 WINS 服务器的 IP 地址，以及一个 DNS 服务器的 IP 地址。 DHCP 是一个基于广播的协议，它的操作可以归结为四个阶段，这些阶 段是 IP 租用请求、IP 租用提供、IP 租用选择、IP 租用确认。 寻找 Server 当 DHCP 客户端第一次登录网路的时候也就是客户发现本机上没有任何 IP 资料设定它会向网路发出一个 DHCPDISCOVER 封包。因为客户端还不知道自己 属于哪一个网路所以封包的来源地址会为 而目的地址则为 55然后再附上 DHCPdiscover 的信息向网路进行广播。 网络上 每一台安装了 TCP/IP 协议的主机都会接收到这种广播信息， 但只有 DHCP 服务器 才会做出响应.DHCPdiscover 的等待时间预设为 1 秒也就是当客户端将第一个 DHCPdiscover 封包送出去之后在 1 秒之内没有得到回应的话就会进行第二次 DHCPdiscover 广播。在得不到回应的情况下客户端一共会有四次 DHCPdiscover 广播(包括第一次在内)除了第一次会等待 1 秒之外其余三次的等待时间分别是 9 13 16 秒。如果都没有得到 DHCP 服务器的回应客户端则会显示错误信息宣告 DHCPdiscover 的失败。之后基于使用者的选择系统会继续在 5 分钟之后再重一 次 DHCPdiscover 的要求。 提供 IP 租用位址 当DHCP服务器监听到客户端发出的DHCPdiscover广播后它会从那些还没 有租出的位址范围内选择最前面的的空置 IP，连同其它 TCP/IP 设定，回应给 客户端一个 DHCPOFFER 封包。由于客户端在开始的时候还没有 IP 位址所以在 其 DHCPdiscover 封包内会带有其 MAC 位址信息并且有一个 XID 编号来辨别该 封包DHCP 服务器回应的 DHCPoffer 封包则会根据这些资料传递给要求租约的 DHCP 服务器在校园网的使用与规划 9 客户。根据服务器端的设定DHCPoffer 封包会包含一个租约期限的信息。 接受 IP 租约 如果客户端收到网路上多台 DHCP 服务器的回应只会挑选其中一 DHCPoffer(通常是最先抵达的那个)并且会向网路发送一个 DHCPrequest 广播 封包告诉所有 DHCP 服务器它将指定接受哪一台服务器提供的 IP 位址。 之所以 要以广播方式回答，是为了通知所有的 DHCP 服务器，他将选择某台 DHCP 服务器 所提供的 IP 地址同时客户端还会向网路发送一个 ARP 封包查询网路上面有 没有其它机器使用该IP位址如果发现该IP已经被占用客户端则会送出一个 DHCPDECLINE 封包给 DHCP 服务器拒绝接受其 DHCPoffer并重新发送 DHCPdiscover 信息。事实上并不是所有 DHCP 客户端都会无条件接受 DHCP 服 务器的 offer尤其这些主机安装有其它 TCP/IP 相关的客户软件。客户端也可 以用 DHCPrequest 向服务器提出 DHCP 选择而这些选择会以不同的号码填写在 DHCPOptionField 里面。换一句话说在 DHCP 服务器上面的设定未必是客户 端全都接受客户端可以保留自己的一些 TCP/IP 设定。而主动权永远在客户端 这边。 确认阶段 即 DHCP 服务器确认所提供的 IP 地址的阶段。 当 DHCP 服务器收到 DHCP 客户 机回答的 DHCPrequest 请求信息之后，它便向 DHCP 客户机发送一个包含它所提 供的 IP 地址和其他设置的 DHCPack 确认信息， 告诉 DHCP 客户机可以使用它所提 供的 IP 地址。然后 DHCP 客户机便将其 TCP/IP 协议与网卡绑定，另外，除 DHCP 客户机选中的服务器外，其他的 DHCP 服务器都将收回曾提供的 IP 地址。 重新登录 以后 DHCP 客户机每次重新登录网络时， 就不需要再发送 DHCPdiscover 发现 信息了，而是直接发送包含前一次所分配的 IP 地址的 DHCPrequest 请求信息。 当 DHCP 服务器收到这一信息后，它会尝试让 DHCP 客户机继续使用原来的 IP 地 址，并回答一个 DHCPack 确认信息。如果此 IP 地址已无法再分配给原来的 DHCP 客户机使用时（比如此 IP 地址已分配给其它 DHCP 客户机使用），则 DHCP 服务 器给 DHCP 客户机回答一个 DHCPnack 否认信息。当原来的 DHCP 客户机收到此 DHCPnack 否认信息后， 它就必须重新发送 DHCPdiscover 发现信息来请求新的 IP 地址。 DHCP 服务器在校园网的使用与规划 10 .更新租约 DHCP 服务器向 DHCP 客户机出租的 IP 地址一般都有一个租借期限，期满后 DHCP 服务器便会收回出租的 IP 地址。如果 DHCP 客户机要延长其 IP 租约，则必 须更新其 IP 租约。DHCP 客户机启动时和 IP 租约期限过一半时，DHCP 客户机都 会自动向 DHCP 服务器发送更新其 IP 租约的信息。至于 IP 的租约期限却是非常 考究的并非如我们租房子那样简单DHCP 客户机除了在开机的时候发出 DHCPrequest 请求之外在租约期限一半的时候也会发出 DHCPrequest如果此 时得不到 DHCP 服务器的确认的话工作站还可以继续使用该 IP然后在剩下的 租约期限的再一半的时候(即租约的75%)还得不到确认的话那么工作站就不 能拥有这个 IP 了。要是您想退租，可以随时送出 DHCPLEREASE 命令解约就算 您的租约在前一秒钟才获得的。 DHCP 中继代理可以是一台计算机或者路由器，监听 DHCP 客户端发出的 DHCP/BOOTP 广播，然后转发这些信息到其他子网上的 DHCP 服务器。 .2 DHCPDHCP 中继代理的工作原理中继代理的工作原理 1、客户端广播 DHCP 请求； 2、中继代理转发 DHCP 请求信息到 DHCP 服务器； 3、DHCP 服务器发送 DHCP 供给信息给 DHCP 中继代理； 4、中继代理广播 DHCP 供给； 5、客户端广播 DHCP 选择； 6、中继代理转发 DHCP 选择给 DHCP 服务器； 7、DHCP 服务器发送 DHCP 确认给 DHCP 中继代理； 8、中继代理广播 DHCP 确认。 4.24.2 VPNVPN 的实现的实现 虚拟专用网 （virtual private network,vpn) 让远程用户可以通过Internet 安全地访问校园内部的网络资源，进而降低远程传输的费用。Windows Server 2003 支持的 VPN 通信协议 PPTP（Point-to-point Tunneling protocol)与 L2TP(Layer Two Tunneling Protocol) DHCP 服务器在校园网的使用与规划 11 .1 VPNVPN 原理原理 Windows Server 2003 的“虚拟专用网（Virtual private network, VPN）”可以让远程用户与局域网（LAN）之间，通过 Internet(或其他的公 众网络）来建立起一个安全的通信管道。不过我们需要在局域网内建设一台 VPN 服务器，以便让 VPN 客户端来连接。 当远程的 vpn 客户端通过 Internet 连接到 VPN 服务器时。他们之间所传送 的信息会被加密，所以即使信息在 Internet 传送的过程中被拦截，也会因为信 息已被加密而无法识别，因此可以确保信息的安全性。 .2WindowsWindows ServerServer 20032003 支持以下两种支持以下两种 VPNVPN 通信协议通信协议： (1) PPTP （point-to-point tunneling protocol) 只是 IP 网络（例如 internet)才可以建立 PPTP 的 VPN。两个局域网之间若通过 PPTP 来连接，则两 端直接连接到 Intenet 的 VPN 服务器必须要执行 TCP/IP 通信协议，但网络内的 其他的计算机并不一定需要 TCP/IP。他们可以执行 TCP/IP、IPX 或 NetBEui 通 信协议，因为当他们通过 VPN 服务器与远程的计算机通信时，这些不同通信协议 的数据包会被封装（encapsulate)到 PPP 的数据包内，然后经过 Internet 传送， 信息到达目的地后，再由远程的 vpn 服务器将其还原为 TCP/IP、IPX 或 NetBEui 的数据包，PPTP 是利用 MPPE（microsoft point-to-point encryption)加密法 来讲信息加密。 (2) L2TP(layer two tunneling protocol) 它与 PPTP 类似，L2TP 也可以 将 TCP/IP、IPX 或 NetBEui 的数据包(packet),封装到 PPP 的数据包内。L2TP 同 时具有身份验证（authentication）、加密（encryption）与数据压缩 （compression）的功能。L2TP 的验证与加密方法都是采用 IPSec. .3VPNVPN 使用的在以下两种场合使用的在以下两种场合 如图所示图中校园总网络已经连接到 Internet,而用户在远程拨号连接 ISP 连接上 Internet 后，就可以通过 Internet 来与总公司的 VPN 服务器建立 PPTP 或 L2TP 的 VPN，并通过 VPN 来安全地传送信息。 DHCP 服务器在校园网的使用与规划 12 如图所示， 两个局域网的 VPN 服务器都连接到 Internet,并且通过 Internet 建立 PPTP 或 L2TP 的 VPN，它可以让两个网络之间安全地传送信息，例如甲网络 的计算机A与乙网络的计算机B之间所传送的信息， 在经过VPN服务器的加密后， 不用担心在 Internet 上传送时泄密。 DHCP 服务器在校园网的使用与规划 13 第第 5 5 章章 网络通信系统网络通信系统 网络系统总体结构 大学校园网是一个较复杂的网络系统。整个系统简化为 分层结构，分为水平层面上的核心层（网络主干）、汇聚层、接入层，其信息流 动模式是逐渐汇集于主干。在垂直层面上分为管理层和安全层。 其中网络的核 心层（或称主干）部分是整个网络的信息汇集处，拥有足够的带宽和良好的升级 能力；具有足够的网络智能和承载多种服务类型的能力；同时具有很高可靠性。 而网络的汇聚层部分起着承上启下的作用， 是网络核心服务功能在更大范围的延 伸和扩展。它汇集下层网络的流动信息，并将其进一步汇集于主干。与核心层类 似，它也拥有足够的带宽和良好的升级能力；具有承载多种服务类型的能力；具 有高可靠性。 网络的接入层（或称接入层）作为网络的底层，直接面对用户， 具有极大的灵活性、易用性；多种服务接入能力。 从网络的管理层和安全层面 讲，网络应具有极强的贯穿 3 个水平层面的控制能力和网络安全能力。包括灵活 的计帐方式；基于策略的网络管理和基于物理层、链路层和网络层的性能测量和 故障监控，并提供远程配置和故障排除能力。 网络主干核心节点, 核心层是网 络高速交换的骨干，尽可能高速交换包，具有高可靠性、提供冗余、容错、低延 时和良好的可管理性、 避免使用减慢包处理的进程 （如访问控制列表、 包过滤等） 、 具有界定一致的网络路径。 网络中心核心交换机主要是实现骨干网络之间的优化 传输, 同时承担与校外 Internet,Cernet 的路由传输， 我们在网络中心采用交换 能力大于 90Mpps 多层交换机 2 台； 交换机之间实现全冗余连接和链路汇聚 （LAG） 保证网络链路的可靠性和高达 4G 以上的性能，并通过路由冗余协议 VRRP，两台 核心交换机互为备份、负载均衡。 无线网络 根据大学要在办公区域内实现计算机无线联网的实际要求，拟在 国际会议中心及体育大楼通过无线局域网（WLAN）形式，把区域内的固定和移动 工作站连结起来组成一个內部无线局域网络系统，并通过特定出口访问 Internet。 主机系统的选型 Internet/Intranet 服务器 根据大学校园网的建 设目标，主要是为了实现与 Cernet 和 Internet 的互连，以提供 Cernet 和 Internet 上的各种服务，为用户提供丰富的网络资源，并提供对外的 WWW 信息 服务，使校园网系统成为外界了解校园内部的一个重要窗口。 邮件服务器 邮件 DHCP 服务器在校园网的使用与规划 14 服务器的主要功能是为整个大学校园网络用户的邮件服务。 邮件服务对实时性要 求不是很高，因此要求主机的计算能力不是很高，但对其存储能力要求要高于其 他，作为邮件服务器，它至少要满足网络用户的邮件存储要求。 Web、FTP、DNS、 NAT 代理、网管服务器 提供 Web、FTP、DNS、NAT 代理服务的服务器。 DHCP 服务器在校园网的使用与规划 17 第第 6 6 章章 网络安全与管理系统网络安全与管理系统 网络安全由于大学这样一个大型网络系统内运行多种网络协议(TCP/IP， IPX/SPX，NETBEUI)，而这些网络协议并非专为安全通讯而设计。所以，网络系 统可能存在的安全威胁来自以下方面：操作系统的安全性、来自内部网用户的安 全威胁、软件缺乏安全性、Internet 的恶意攻击、应用服务的安全等。 6.16.1 防病毒防病毒 根据大学的需求与实际，实现全网络的病毒防护不可行，但必须在应用服务 器和数据库服务器上进行病毒防范。一个好的防病毒系统，应该是一个多层次、 全方位的防病毒体系，而不仅仅是几套防病毒软件，同时具有跨平台的技术及强 大功能。 大学网络采用配置 20 个用户的防病毒产品，主要保护网络中心服务器，其 要求是：较强的病毒防护能力、具有网络易管理特性、灵活管理客户端、灵活的 更新升级、产品的安全性高。 6.26.2 防火墙防火墙 为了提高大学出口 CERNET 的安全性和访问日志的可靠性，出口访问应通过 防火墙，防火墙都应记录日志。同时考虑网络的发展及大学出口访问量的因素， 因此防火墙采用高可靠性的防火墙。考虑到学校财务部门的需求，建议在 A 区财 务部门配置一台百兆防火墙，并在财务部门防火墙上配置 VPN 模块，保障该部门 特殊的网络安全，防火墙要求：具有公安部销售许可证、高性能、网络地址转换 技术、用户鉴别、用户认证、IP 和 MAC 地址绑定、入侵检测、透明代理、日志 审