校园网络规划和建设(毕业设计)

1、毕 业 设 计 （论 文）课题名称： 校园网络规划和建设 指导教师： 系 别： 专 业： 班 级： 姓 名： 摘 要随着网络的逐步普及，大部分学校正加紧对信息化教育的规划和建设，校园网络的规模和应用水平已成为衡量学校教学与科研综合实力的一个重要指标。安徽工商职业学院（新校区）的校园网络现状总体上还是不完善的，没有全面系统的铺设宽带，教室、宿舍等信息点需求量比较大的场所无法得到满足，大部分学生还只能选用单一的拨号上网方式。鉴于此，本设计针对校园目前的实际情况和在充分调研的基础上，结合目前技术的发展方向以及学院的实际需求，制订了以千兆网络为主干的学院校园网建设的整体设计方案，并通过校园网的设计与建

2、设，通过各种协议的链接与设备的选购，从而实现真正意义上的宽带多媒体网络，为师生提供教学、科研等得综合信息服务。其最终建设目标是建设一个借助信息化教育和管理手段的高水平的智能化、数字化的教学园区网络，最终完成统一软件资源平台的构建，实现统一网络管理、统一软件资源系统，并实现在线服务、教育资源共享等各种应用，利用现代信息技术从事管理、教学和科学研究的工作。关键词：校园网络 交换机 VLAN划分 设备选型目 录摘 要2一、引言31.1 背景及意义31.2 校园网建设的原则4二 校园网络需求分析52.1 学校主要建筑52.2 学校建筑现状分析62.3 信息点分布需求分析72.4 学校VLAN需求划分7

3、2.6 网络功能需求分析8三 校园网络规划设计93.1 校园网络拓扑图93.2 VLAN的划分103.3 VLAN及 IP 地址规划13四 网络管理和安全144.1 VLAN 配置划分144.2 IP地址设置164.3 VTP的应用164.4 STP生成树协议174.5 OSPF配置184.6 ACL的实现194.7 NAT的实现194.8 服务器的应用204.9 网络安全21五 设备选型及工程报价24总结27谢 辞28参考文献29一、引言（一）背景及意义信息时代的变革与发展，带动了整个世界的深刻变革。网络、计算机技术的进步和应用软件的提高，使计算机变的越来越容易使用，它们正被广泛地使用，并迅

4、速改变着人们的生活、学习、工作方式。在一个好的校园网里人们用计算机和网络进行工作、交流和学习，计算机改变了人的教学方式，同时也改变了人的学习方式。社会变的很快，我们必须跟上时代的步伐，因此在经济条件允许的情况下，尽快尽早的建设校园网好处将是显著的和长远的。信息技术的快速发展，教育信息化水平正成为衡量学校总体发展水平的重要因素，网络技术的应用对高校的教学手段和教育管理体系的促进作用是巨大的。1995 年中国教育和科研计算机网（Cernet）建设全面启动，全国各地的高校开始建设自己的计算机校园网。校园网建设是高校建设的重要组成部分，建设高质量的局域网， 才能充分发挥网络资源管理和应用的优势，进行信

5、息交流、资源共享、科学计算和科学研究与合作。 校园网的建设与应用，极大地丰富和完善了教育资源，拓宽了学生获取知识的渠道，改善了教学效果，提高了学校的现代化管理水平，促进了教育的社会化，因此，如何进一步搞好校园网的建设，充分发挥校园网的作用，组建高性能，低成本的校园网，是各个高校正在探索和思考的问题。简单来说，对于校园网，丰富的应用是关键，而稳定可靠的网络是基础，完善的安全和管理手段是保障。（二）校园网建设的原则校园网络系统的建设在实用的前提下，应当在投资保护及长远性方面做适当考虑，在技术上、系统能力上要保持五年左右的先进性。并且从学校的利益出发，从技术上讲应该采用标准、开放、可扩充的、能与其它

6、厂商产品配套使用的设计。根据校园网的总体需求，结合对应用系统的考虑，本次网络建设的设计目标是：高性能、高可靠性、高稳定性、高安全性、易管理的网络平台。我们遵循以下的原则进行网络设计：（1）稳定性在考虑技术先进性和开放性的同时，还应从系统结构、技术措施、设备性能、系统管理、厂商技术支持及保修能力等方面着手，确保系统运行的可靠性和稳定性，达到最大的平均无故障时间。（2）先进性在满足用户需求的前提下，充分考虑信息社会迅猛发展的趋势，在技术上适度超前，使提出的方案将布线系统建设成先进的、现代化的信息系统。采用最先进的组网技术，选用代表当今世界潮流趋势的网络产品，才能在未来的发展中保持技术领先。 （3）

7、安全性网络的安全性是网络的一个重要的指标，网络设计从结构设计、产品选择以及网络管理上要对网络的安全性作出保证。既考虑信息资源的充分共享，更要注意信息的保护和隔离，因此系统应分别针对不同的应用和不同的网络通信环境，采取不同的措施，包括划分VLAN、路由过滤、系统安全机制、加密机制、多种数据访问权限控制等技术提升整个网络的安全性。在选材方面，高性能的防火墙等设备也是必要的选择。（4）实用性网络建设应始终贯彻面向应用，注重实效的方针，坚持实用、经济的原则。设备选型也不能过于超前，一定要经济实用。对于模块化的网络设备，要对模块进行有效的利用。在实现先进性、可靠性的前提下，达到功能和经济的优化设计。综合

8、布线系统各个部分都采用高质量材料和标准化部件，并按照标准施工和严格检测，保证系统技术性能优良可靠，满足目前和今后通信需要，且在维护管理中减少维修工作，节省管理费用。二 校园网络需求分析（一）学校主要建筑设计一个网络，首先要实地考察各个连接点的实际情况，为用户分析目前面临的主要问题，确定用户对网络的真正需求，才能选择、设计出合适的网络结构和网络技术。首先，看一下学校主要建筑，如图2-1所示：图2-1 学校建筑俯视图如图2-2可以看出，校园主要有行政楼、教学楼、实训楼、学生宿舍、食堂、图文信息中心六个建筑物，本案例以此划分子网。此外，实习基地、教职工宿舍区等建筑未在图中标出，这些地方的子网划分会在

9、下文中提及。 （二）学校建筑现状分析对学校建筑的分析如图2-2所示：学生宿舍110#（教工宿舍区）核心交换机行政楼（实习基地）教学楼AD图文信息中心食堂实训楼图2-2 学校建筑图如图分析，学校分为行政楼、实训楼、教学楼、学生宿舍、食堂、图文信息中心。其中行政楼有南北两栋建筑，教学楼分为A、B、C、D栋楼，学生宿舍共有10栋楼组成。（三）信息点分布需求分析对学校信息点进行了分析，每间教室（含多媒体教室）分配2个信息点，每间宿舍2个信息点，各办公室分配4个信息点，具体信息点数量如表2-1所示：大楼建筑规模信息点信息点合计行政楼4层514514实训楼5层134134教学楼A座100460B座100C

10、座100D座100办公室60学生宿舍1#8025922#803#804#4325#4326#4327#4328#809#43210#432食堂3层3030图文信息中心3层186186总计：3916表2-1 学校信息点的分析表（四）学校VLAN需求划分VLAN（Virtual Local Area Network）称为虚拟局域网，是指在逻辑上将物理的LAN分成不同小的逻辑子网，每一个逻辑子网就是一个单独的播域。简单地说，就是将一个大的物理的局域网（LAN）在交换机上通过软件划分成若干个小的虚拟的局域网（VLAN）。因为交换机通信的原理就是要通过“广播”来发现通往的目的MAC地址，以便在交换机内部

11、的MAC数据库建立MAC地址表，而广播不能跨越不同网段。例如学校的实训楼的VLAN划分，实训楼共有5层每层有近10间实验实训教室。划分VLAN可以分隔端口即使在同一个交换机上处于不通VLAN还是不能通信的，这样就避免了广播风暴，同时杜绝了网络通信的不安全，方便管理员的管理与配置,大大提高了校园网的性能。（五）网络功能需求分析1.校园基础应用平台 （1）信息共享：有关学校的各种资料、信息的上传和下载，如图书资料、教学资料、应用软件，以及一些最新的学校公告等都可通过网络进行查询。（2）信息交流：校园网可通过连接Internet实现与外部资源的互通，从而实现教学科研水平的交流。（4）现代化办公：通过

12、运用先进的计算机技术实现办公自动化，使学校的各种行政办公、财务结算、信息查询计算机化、无纸化，提高学校的办事效率和办公科学性。（5）办公学习：向全校师生提供学习资料，交流平台，提供在线答疑系统和留言答疑系统：方便师生之间的联系。（6）教务管理：为学生提供成绩管理、学生信息管理、学校通知等服务。（7）电子图书馆：为全院的师生提供电子图书的阅览服务。同时，还应具备档案管理、学生管理、教学管理、财务管理、物资管理等功能，网络必须具备较高的安全性、可靠性和容错性。2.Internet服务需求Internet，中文正式译名为因特网，又叫做国际互联网。它是由那些使用公用语言互相通信的计算机连接而成的全球网

13、络。Internet以相互交流信息资源为目的，基于一些共同的协议，并通过许多路由器和公共互联网而成，它是一个信息资源和资源共享的集合。校园内共7000余师生，对上网冲浪、网络购物、收发电子邮件、资料查询、休闲娱乐等服务需求比较大，校园网能否高速连接国际互联网也是衡量一个网络规划设计优劣的指标。3.安全与管理需求网络安全对于网络系统来说是十分重要的，它直接关系到网络的正常使用。由于校园网与外部网进行互联特别是和Internet的互联，Internet是一个开放式网络系统，它的安全性是很差的。因此安全问题更加重要。应该采用一定的技术来加强校园网络的安全性，从内部和外部同时对网络资源的访问进行控制。

14、当前主要的网络安全技术有，用户身份验证、VLAN划分、ACL、防火墙等技术。4.实用经济性需求校园网的特点决定了网络系统必需要有实用与经济性。实用性使得网络便于管理、维护，以减少网络使用人员运用网络的难度，从而降低人为操作引起的网络故障，并使更多的人掌握网络的使用。应根据学校的实际情况，由于学校的建设资金有限，所以一般都要求网络具有较高的性价比，所以在建设校园网时一定要使用性价比高的网络技术和网络设备，以节约建设资金。三 校园网络规划设计（一）校园网络拓扑图根据学校的要求，为了保证网络的先进性、可靠性、可扩展性、可管理性、安全性等方面的需求，网络拓扑规划如图3-1所示： 图3-1 校园网络拓扑

15、结构图校园拓扑图采用经典的星形拓扑结构，以千兆以太网为骨干网络，百兆双绞线连接到桌面，满足各个连接点的信息需求。如图3-1，Internet或Cernet经由路由器接入防火墙，以千兆光纤接入核心层交换机，即进入内网，www服务器放在了防火墙专用的接口上面。内网采用了先进的三层交换技术，加快大型局域网内部的数据交换，所具有的路由功能也是为这个目的服务的，能够做到一次路由，多次转发。本方案以学校主要建筑物行政楼、实训楼、教学楼、学生宿舍、食堂、图文信息中心划分了六个子网，每个建筑主体分配一个汇聚层交换机，再以百兆双绞线连接接入层交换机直到桌面。整个网络结构简单、建网容易、控制相对简单，容易进行重新

16、配置。由于星型网络上的所有数据都要通过中心设备，并在中心设备汇集，所以维护起来比较容易，而且受故障影响的设备少，能够较好地处理。方案特点：(1)高性能全交换，千兆骨干（多模光纤）、百兆交换到桌面（UTP双绞线）； (2)虚拟局域网（VLAN）策略，提高局域网络内部安全与性能； (3)多业务，办公管理、远程通信一网实现；(4)系统安全，架设路由器、防火墙，提供互联网接入的安全保障；（5）操作性强，流行的星型拓扑结构简单，易于操作。（二）VLAN的划分如表2-3所示，学校校园网络VLAN的划分及IP的分配。子网名称网段IP网关IP备注行政楼子网19216810/2419216811Vlan 2实训

17、楼子网19216820/2419216821Vlan 3教学楼子网19216830/2419216831Vlan 4学生宿舍子网19216840/2419216841Vlan 5食堂子网19216850/2419216851Vlan 6图文信息中心子网19216860/2419216861Vlan 7服务器子网19216870/2419216871Vlan 8表2-3 学校校园网络VLAN划分及IP的分配此外，教职工宿舍区就近编入学生宿舍子网中，实习基地及其附属场地则编入了行政楼子网中，教学楼一楼、图书馆三楼以及学术报告厅的多媒体教室同样地按照就近接入校园网络的原则进行，以便于综合布线和管理。

18、这里仅以学校实训楼为例，其它建筑VLAN的划分可依次参照进行，下面介绍实训楼各楼层VLAN的详细划分。图3-2 实训楼各楼层网络拓扑图（三）VLAN及 IP 地址规划(1)核心交换机IP地址分配核心交换机接口IP地址连接物理地址f0/1行政楼F0/2实训楼F0/3教学楼F0/4学生宿舍F0/5食堂F0/6图文信息中心表3-1 核心交换机IP地址分配表(2)VLAN功能描述Vlan ID网络地址描述Vlan2/24行政楼Vlan3192.168

19、.2.0/24实训楼Vlan4/24教学楼Vlan5/24学生宿舍Vlan6/24食堂Vlan7/24图文信息中心Vlan8/24服务器组表3-2 VLAN规划四 网络管理和安全（一）VLAN 配置划分为设备命名，方便区分各个设备，避免配置时因选错设备而产生的错误。在交换机和路由器上进入全局配置模式，使用hostname name命令对各个交换机或路由器进行命名。例如把核心交换机命名为henxins，指令如下：Switchenable /进入特权模式 Switch#configure

20、terminal /进入全局模式 Switch(config)#hostname hexins /将switch命名为hexinshenxins(config)#以太网VLAN ID的取值范围为11001。其中，VLAN 1为系统默认VLAN，不能被创建，也不能被删除。在基于IOS的交换机上配置VLAN，可以在两种管理模式下操作：在特权配置模式下和VLAN Database模式下创建，其中第二种模式在新型交换机上会有警告提示，说明此模式已不被厂商推荐使用，这里仅对第一种方式进行举例说明。在特权配置模式下配置VLAN步骤:Switch#configure terminal /进入全局配置模式Sw

21、itch(config)#vlan vlan-id /(输入一个VLAN号, 然后进入VLAN配置模式，可以输入一个新的VLAN号或旧的来进行修改。)Switch(config-vlan)#name vlan-name /(输入一个VLAN名，如果没有配置VLAN名，缺省的名字是VLAN号前面用0填满的4位数，如VLAN0010是VLAN10的缺省名字)Switch(config-vlan)#end /退出Switch#show vlan /验证VLAN配置结果。Switch#copy running-config startup config /保存配置可以使用接口配置模式来定义端口模式（接

22、入（access）还是干道（trunk），并向VLAN中添加或从中删除端口。将端口指定到特定的VLAN后，就是在处理接入链路而非trunk链路。可以使用switchport mode access定义端口成为VLAN成员模式，使用此命令的no形式，可以将一个端口从VLAN中去除。接下来，需要通过接口命令switchport access vlan vlan-id将端口指定到特定的VLAN中。使用此命令的no形式，也可以将一个端口从VLAN中去除。在接入模式下，接口仅属于一个VLAN。步骤:Switch#configure terminal /进入全局配置模式Switch(config)#int

23、erface interface-id /进入接口配置模式，进入要分配的端口，如本案例中FastEthernet 0/11Switch(config-if)#switchport mode access /定义交换机二层接口为接入模式Switch(config-if)#switchport access vlan vlan-id /把端口分配给某一VLAN。Switch(config-if)#end /退出接口配置模式Switch#show running-config interface interface-id /验证端口的VLAN号Switch#show interfaces inter

24、face-id switchport /验证端口的管理模式和VLAN情况Switch#copy running-config startup-config /保存配置默认情况下交换机上的所有端口都属于VLAN1中。你不能对VLAN1进行更改、删除或重命名，因为它是默认的VLAN。默认时VLAN1是所有交换机的本地VLAN，一般厂商都推荐你使用VLAN1作为负责管理的VLAN。本地VLAN的功能是指：“没有特别地分配到不同的数据包都将被发送到本地VLAN中。”这就是交换机在没有划分VLAN时，客户端能够通信的原理。若欲将某个端口从VLAN中删除，可以将该接口恢复为默认值，即可清除该接口的所有配置

25、，使之不再属于任何VLAN。步骤如下：Switch#configure terminal /进入全局配置模式Switch(config)#default interface interface-id /清除某接口的所有配置Switch(config)#end /返回特权配置模式Switch#copy running-config startup-config /保存对配置的修改删除VLAN管理员在配置VLAN过程中，很有可能输入错误的VLAN名称，如果要删除这些VLAN可用vlan database 进入VLAN配置状态，用no vlan vlan-id 来删除，也可以在特权配置模式下进行操作

26、。步骤：Switch#configure terminal /进入全局配置模式Switch(config)#no vlan vlan-id /删除某一VLAN，如：no vlan 11Switch(config)#end /返回特权配置模式Switch#show vlan brief /验证VLAN数据库的结果Switch#copy running-config startup config /保存对配置的修改根据校园网络的VLAN划分，IP地址的划分等分配，分别在教学楼、实训楼、教学楼、学生宿舍等楼群汇聚层的交换机配置相关的IP地址，并对其重要的部门和多媒体教室进行VLAN的划分。配置步骤相

27、对简单，每楼群的配置方法也相似。只需将交换机划分VLAN，将相对应的客户端端口加入到VLAN中，并配置中继（要将交换机与交换机之间的连接以及交换机与路由器之间的连接端口设为主干模式 Trunk），应用交换机的互学习能力，减少网管人员的工作量，同时需要配置单臂路由使有些VLAN之间可以相互访问。（二）IP地址设置在路由器和交换机上为接口或VLAN设置IP地址，进入接口模式后，用ip address命令后加上IP地址和子网掩码，子网掩码不可以省略。例如：1.为端口分配IPRouter(config)#interface fastEthernet 0/1 /进入接口f0/1Router(config

28、-if)# ip address /为1号接口分配IP2.为VLAN分配IPSwitch(config)#interface vlan 2 /进入VLAN 2 Switch(config-if)#ip address /为VLAN2分配IP为（三）VTP的应用VTP(Vlan Trunk Protocol)即VLAN中继协议。VTP通过网络(ISL帧或cisco私有DTP帧)保持VLAN配置统一性。VTP在系统级管理增加，删除，调整的VLAN，自动地

29、将信息向网络中其它的交换机广播。此外，VTP减小了那些可能导致安全问题的配置。便于管理,只要在vtp server做相应设置,vtp client会自动学习vtp server上的vlan信息。本案例中应用VTP可以大大减少网管人员的工作量，网络维护更加便捷。图4-1 VTP的应用如图4-1，被设置为vtp server模式的交换机，其VLAN的变动会被设置为vtp client的交换机引用，具体配置命令如下：Switch#vlan database /进入Vlan Switch(vlan)#vtp domain shixun /建立名为shixun的VTP域 Switch(vlan)#vtp

30、 server|client /修改交换机vtp的模式,核心层交换机配置为vtp server，汇聚层交换机配置为vtp clientSwitch(vlan)#vtp password /配置vtp密码为Switch (vlan)# vtp pruning /配置VTP修剪 Switch#show vtp status /查看VTP运行状态Switch#show vtp counters /查看交换机收到和发出广告的数目（四）STP生成树协议STP的全称是spanning-tree protocol,STP协议是一个二层的链路管理协议，它在提供链路冗余的同时防止网络产生环路，与VLAN配合可以

31、提供链路负载均衡，默认是开启的。生成树协议最主要的应用是为了避免局域网中的网络环回，解决成环以太网网络的“广播风暴”问题，从某种意义上说是一种网络保护技术，可以消除由于失误或者意外带来的循环连接。生成树协议拓扑结构的思路是: 不论网桥(交换机)之间采用怎样物理联接,网桥(交换机)能够自动发现一个没有环路的拓扑结构的网路，这个逻辑拓扑结构的网路必须是树型的。生成树协议还能够确定有足够的连接通向整个网络的每一个部分。所有网络节点要么进入转发状态，要么进入阻塞状态,这样就建立了整个局域网的生成树。当首次连接网桥或者网络结构发生变化时，网桥都将进行生成树拓扑的重新计算。为稳定的生成树拓扑结构选择一个根

32、桥, 从一点传输数据到另一点, 出现两以上条路径时只能选择一条距离根桥最短的活动路径。 生成树协议这样的控制机制可以协调多个网桥(交换机)共同工作, 使计算机网络可以避免因为一个接点的失败导致整个网络联接功能的丢失, 而且冗余设计的网络环路不会出现广播风暴。具体的内容，这里仅作简要介绍。图4-2 STP的应用如图4-2，基本配置命令如下：Switch(config)#spanning-tree /开启STPSwitch(config)#spanning-tree priority 4096 /配置交换机的优先级为4096Switch(config)#int f0/1Switch(config-

33、if)#spanning-tree port-priority 32 /配置端口优先级为32Switch(config-if)#switchport trunk allowed vlan 2/这条命令配置trunk中继链路只能转发该vlan2但是，由于协议机制本身的局限，生成树协议通常需要50秒的时间才能完成拓扑收敛，极大地损坏了协议的使用性能。所以，一种基于STP的RSTP（rapid spanning tree protocol，快速生成树协议）应运而生，这种协议在网络结构发生变化时，能更快的收敛网络。（五）OSPF配置OSPF(Open Shortest Path First开放式最短路

34、径优先)是一个内部网关协议(Interior Gateway Protocol,简称IGP)，用于在单一自治系统(autonomous system,AS)内决策路由。与RIP相比，OSPF是链路状态路由协议，而RIP是距离矢量路由协议。可以划分区域是OSPF能多适应大型复杂网络的一个特性，这里仅作简要的说明，OSPF配置基本命令如下：Router(config)#router ospf process-id /自定义process-idRouter(config-router)#network 55 area 0 /将指定路由器所在

35、的55子网配置进骨干域Router(config-router)#router-id /配置路由器id（六）ACL的实现访问控制列表（Access Control List，ACL） 是路由器和交换机接口的指令列表，用来控制端口进出的数据包。ACL适用于所有的被路由协议，如IP、IPX、AppleTalk等。这张表中包含了匹配关系、条件和查询语句，表只是一个框架结构，其目的是为了对某种访问进行控制。简单地说，ACL就是包过滤，根据数据包的报头中的ip地址、协议端口号等信息进行过滤，利用ACL可以实现安全控制。ACL并不复杂，但在实际应用中要想恰当地应用ACL，必

36、需要制定合理的策略。访问控制是网络安全防范和保护的主要策略。这里简单介绍一下在汇聚层交换机（实训楼）上配置访问控制列表，比如说，实训楼只能和服务器群进行通信，要求实训楼在每周星期一到星期五的早上8：00到下午18：00不能访问Internet网，命令如下：huijuenablehuiju#configure terminal /进入全局模式huiju(config)#time-range t /定义时间范围名称为thuiju(config)#time-range t periodic weekday 8:00 to 18:00 /配置访问权限时间huiju(config)#access-lis

37、t 110 deny ip 55 any time-range t /配置列表110在时间t范围内禁用ip协议 （七）NAT的实现网络地址转换(NAT,Network Address Translation)属接入广域网(WAN)技术，是一种将私有地址转化为合法IP地址的转换技术，它被广泛应用于各种类型Internet接入方式和各种类型的网络中。原因很简单，NAT不仅完美地解决了IP地址不足的问题，而且还能够有效地避免来自网络外部的攻击，隐藏并保护网络内部的计算机。在接入路由器上进行配置，下面以路由器为例，内部网段到网段192.168

38、.6.0都用1进行动态转换，实现内部网络的上网问题。配置命令如下：Router(config)#ip nat pool m 54 Netmask /配置全局IP地址池mRouter (config)#access-list 1 permit 55Router (config)#access-list 1 permit 55Router (config)#access-list 1 permit 192.168.3

39、.0 55Router (config)#access-list 1 permit 55Router (config)#access-list 1 permit 55Router (config)#access-list 1 permit 55/设置允许访问的内部IP地址列表Router (config)#interface s1/0Router (config-if)#ip nat outsideRouter (config-if)#no shutdown /将路由

40、器接口s1/0指定为外部端口Router (config)#interface f0/0Router (config-if)#ip nat insideRouter (config-if)#no shutdownRouter (config)#interface f0/1Router (config-if)#ip nat insideRouter (config-if)#no shutdown /将路由器接口f0/0和f1/0指定为内部端口Router (config)#ip nat inside source list 1 pool m overload/配置端口地址转换（八）服务器的应用

41、（1）www服务器WWW是建立在客户机服务器模型之上的。WWW是以超文本标注语言HTML(Hyper Markup Language)与超文本传输协议HTTP(Hyper Text Transfer Protocol)为基础。能够提供面向Internet服务的、一致的用户界面的信息浏览系统。其中WWW服务器采用超文本链路来链接信息页，这些信息页既可放置在同一主机上，也可放置在不同地理位置的主机上；本链路由统一资源定位器(URL)维持，WWW客户端软件(即WWW浏览器)负责信息显示与向服务器发送请求。 Internet采用超文本和超媒体的信息组织方式，将信息的链接扩展到整个Internet上。目

42、前，用户利用WWW不仅能访问到Web Server的信息，而且可以访问到FTP、Telnet等网络服务。因此，它已经成为Internet 上应用最广和最有前途的访问工具，并在商业范围内日益发挥着越来越重要的作用。WWW客户程序在Internet上被称为WWW浏览器（Browser），它是用来浏览Internet上WWW主页的软件。目前，最流行的浏览器软件主要有Netscape communicator 和Microsoft Internet Explorer。 WWW浏览提供界面友好的信息查询接口，用户只需提出查询要求，至于到什么地方查询，如何查询则由WWW自动完成。因此WWW为用户带来的是世

43、界范围的超级文本服务。（2）FTP服务器一般来说.用户联网的首要目的就是实现信息共享，文件传输是信息共享非常重要的一个内容之一。Internet上早期实现传输文件，并不是一件容易的事，我们知道 Internet是一个非常复杂的计算机环境，有PC，有工作站，有MAC，有大型机，据统计连接在Internet上的计算机已有上千万台，而这些计算机可能运行不同的操作系统，有运行Unix的服务器，也有运行Dos、Windows的PC机和运行MacOS的苹果机等等，而各种操作系统之间的文件交流问题，需要建立一个统一的文件传输协议，这就是所谓的FTP。基于不同的操作系统有不同的FTP应用程序，而所有这些应用程

44、序都遵守同一种协议，这样用户就可以把自己的文件传送给别人，或者从其它的用户环境中获得文件。 与大多数Internet服务一样，FTP也是一个客户机/服务器系统。用户通过一个支持FTP协议的客户机程序，连接到在远程主机上的FTP服务器程序。用户通过客户机程序向服务器程序发出命令，服务器程序执行用户所发出的命令，并将执行的结果返回到客户机。比如说，用户发出一条命令，要求服务器向用户传送某一个文件的一份拷贝，服务器会响应这条命令，将指定文件送至用户的机器上。客户机程序代表用户接收到这个文件，将其存放在用户目录中。（3）Data服务器运行在局域网中的一台或多台计算机和数据库管理系统软件共同构成了数据库

45、服务器，数据库服务器为客户应用提供服务，这些服务是查询、更新、事务管理、索引、高速缓存、查询优化、安全及多用户存取控制等。数据库服务器提供监控性能、并发控制等工具。数据库服务器提供统一的数据库备份和恢复、启动和停止数据库的管理工具。数据库服务器把数据管理及处理工作从客户机上分出来，使网络上各计算机的资源能各尽其用，学院一卡通、摄像头监控系统等设施主要也是基于此实现的。 （九）网络安全网络安全是指网络系统的硬件、软件及其系统中的数据受到保护，不因偶然的或者恶意的原因而遭受到破坏、更改、泄露，系统连续可靠正常地运行，网络服务不中断。计算机成为办公不可缺少的工具， 各个部门越来越依赖运行在网络之上的

46、各种应用系统，如生财务系统、管理系统等等的支撑来开展日常工作。一旦网络瘫痪或者运行状态不佳，数据流就会受到阻塞，关键数据将不能得到有效的共享和传递， 最终将直接导致混乱。网络上时时刻刻都在传递着大量的信息，而互联网上病毒泛滥，如果电脑不注意防护，感染病毒，轻的丢失文件，电脑运行速度变慢，严重的会导致网络瘫痪， 给学院的网络运行带来隐患。主要从硬件和软件两个方面确保网络安全：1.硬件方面网络的物理安全是整个网络系统安全的前提。在校园网工程建设中，由于网络系统属于弱电工程，耐压值很低。因此，在网络工程的设计和施工中，必须优先考虑保护人和网络设备不受电、火灾和雷击的侵害；考虑布线系统与照明电线、动力

47、电线、通信线路、暖气管道及冷热空气管道之间的距离；考虑布线系统和绝缘线、裸体线以及接地与焊接的安全；必须建设防雷系统，防雷系统不仅考虑建筑物防雷，还必须考虑计算机及其他弱电耐压设备的防雷。总体来说物理安全的风险主要有，地震、水灾、火灾等环境事故；电源故障；人为操作失误或错误；设备被盗、被毁；电磁干扰；线路截获；高可用性的硬件；双机多冗余的设计；机房环境及报警系统、安全意识等，因此要尽量避免网络的物理安全风险。2.软件方面系统安全1、Web Server应用安全Web Server是校园对外宣传、开展业务的重要基地。由于其重要性，成为Hacker攻击的首选目标之一。2、电子邮件系统安全电子邮件系

48、统也是网络与外部必须开放的服务系统。由于电子邮件系统的复杂性，其被发现的安全漏洞非常多，并且危害很大。3、操作系统安全市场上几乎所有的操作系统均已发现有安全漏洞，并且越流行的操作系统发现的问题越多。对操作系统的安全，除了不断地增加安全补丁外，还需要：(1) 检查系统设置(敏感数据的存放方式，访问控制，口令选择/更新)。(2) 基于系统的安全监控系统。防毒技术病毒历来是信息系统安全的主要问题之一。由于网络的广泛互联，病毒的传播途径和速度大大加快。病毒防护的主要技术如下：(1) 阻止病毒的传播。在防火墙、代理服务器、SMTP服务器、网络服务器、群件服务器上安装病毒过滤软件。在桌面PC安装病毒监控软

49、件。(2) 检查和清除病毒。使用防病毒软件检查和清除病毒。(3) 病毒数据库的升级。病毒数据库应不断更新，并下发到桌面系统。(4) 在防火墙、代理服务器及PC上安装Java及ActiveX控制扫描软件，禁止未经许可的控件下载和安装。此外，无论是建设中的网络，还是一个已建成的网络，都有可能会出现这样那样地故障。尤其是在一个已建成的网络出现的时候，在校园网络中这也显得相当重要，能够及时找到合适的解决方法，排除网络故障，使因网络故障而给校园网络带来的不便和损失最小化，下面介绍一些网络连通性的检查和解决步骤。面对一个已经发现和网络故障现象，首先要根据故障的情况分析可能的故障原因，可能原因有很多，可能是

50、线缆问题、接口的故障、设备和硬件原因、配置错误或丢失等。接下来，还需要通过一些检测手段来定位故障点，在检测的时候要把握几个关键点，第一是要分段检测，也就是先把大和网络分割成几段，一段一段地排除，最后把故障和范围缩小到一段上；然后分层判断，例如，根据交换机的指示灯判断是不是物理层的故障等。这样就可以很快地定位故障点，最后，知道了故障出现的位置才能找到有效的解决方法。下面将针对本案例的内容，了解一些故障产生的原因以及排除故障的方法。根据上面提到的网络故障排除方法，首先要分段检查，要上面的实例中，网络拓朴比较简单，因此可以首先去确定故障是出在交换机上还是在交换机之间的连接上。1.检查是否问题出在交换

51、机之间的连接上查看交换机的指示灯状态线缆的问题接口的问题：查看TRUNK接口的模式配置问题协议问题查看TRUNK端口可以承载的VLAN是否包含了所有需要转发的VLAN2.检查是否问题在某个交换机上查看VLAN ID 是否正确查看各接口是否属于应该在的VLAN检查交换机上同一个VLAN中的主机是否能通信检查交换机上端口所连接的主机检查交换机上VLAN是否配置正确检查交换机上端口是否开启检查路由器上子接口的配置定位了故障点,就可以采用适当的办法排除故障了。五 设备选型及工程报价设备选型是指购置设备时，根据生产工艺要求和市场供应情况，按照技术上先进、经济上合理，生产上适用的原则，以及可行性、维修性、

52、操作性和能源供应等要求，进行调查和分析比较，以确定设备的优化方案。网络技术和网络产品选型，不仅要考虑满足当前需要，还要考虑未来发展和应用的变化，同时更要考虑自身的实际需求，切不可一味追求产品技术的先进和高档次，以至投入过大又不能充分利用，造成资源浪费。要对整个网络系统进行综合分析，合理配置网络资源，以最小的投入获得最佳的网络性能，同时要注意主干交换、楼层分支和桌面的速度协调，以免形成瓶颈。所有网络设备尽可能选取同一厂家的产品，这样在设备可互连性、协议互操作性、技术支持和价格等方面都更有优势。从这个角度来看，产品线齐全、技术认证队伍力量雄厚、产品市场占有率高的厂商是网络设备品牌的首选。其产品经过

53、更多用户的检验，产品成熟度高，而且这些厂商出货频繁，生产量大，质保体系完备。思科系统公司是全球公认的网络互联解决方案的领先厂商，其提供的解决方案是世界各地成千上万的公司、大学、企业和政府部门建立互联网的基础，特别是在交换机、路由器、防火墙等网络设备方面以其过硬的产品质量、强大的技术支持以及成熟先进的理念，赢得了全球范围内许多客户的认可。同时，思科系统公司也是建立网络的中坚力量，目前互联网上近80%的信息流量经由思科系统公司的产品传递。思科已经成为毋庸置疑的网络领导者，所以本案例中主要选用思科的网络产品。具体选型方案及报价如下表：设备名称主要参数数量单价（元）金额核心层交换机CISCO WS-C4948-E 传输速率：10/100/1000Mbps 端口数量：52个 背板带宽：96Gbps 包转发率：72Mpps MAC地址：32K 网络标准：IEEE 802.3，IEEE 802.3u，IEEE 802.3z，IEEE