浅谈校园网设计

XXXX大学计算机学院

网络操作系统课程报告

——浅谈校园网设计

专业班级： 学生姓名： 学 号： 指导教师： 日 期：

自评等级： 一． 概述

校园网是为全校师生提供教学、科研和综合信息服务的宽带多媒体网络，是一个带宽大、具有交互功能且专业性很强的局域网络。多媒体教学软件开发平台、多媒体演示教室、教师备课系统、电子阅览室以及教学、考试资料库等，都可以在该网络上运行。其次，校园网应具有教务、行政和总务管理功能。校园网在学校的教学科研、行政管理以及日常生活中的作用越来越重要。我认为校园网应当是一个立足当下、面向未来的，网络化、信息化的，集教学、办公和娱乐为一体的，能够高效运行，容错性极强的多媒体网络。

二． 需求分析

① 需求：在接入层使用二层交换机，并采用一定的方法分隔广播域；

分析：采用划分虚拟局域网（VLAN）的方法，来缩小广播域的覆盖范围。 ② 需求：在分布层使用高性能的三层交换机，实现VLAN间的路由；

分析：三层交换机开启路由功能，实现VLAN间路由。

③ 需求：在核心层使用高性能的三层交换机，并且要采用双核心互为备份的形式，防止因 一台交换机的宕机导致整个网络的崩溃；

分析：两台交换机之间通过Trunk链路相连，并通过将多个端口封装成EthernetChannel

的方法来提高带宽和可靠性。

④ 需求：为了提高网络的可靠性，保证网络的高效快速运行，要防止网络环路的产生，避 免广播风暴；

分析：在整个网络中运行快速生成树协议（RSTP），有效地防止网络回路。

⑤ 需求：为了保证整个网络的安全运行，防范来自外部和内部的攻击，需要实施相关的安 全策略；

分析：通过地址转换（NAT），部署防火墙，采用访问控制列表（ACL），创建用户组、

用户名和相应权限、实施域控等方法实现安全策略。

⑥ 需求：本网络需要提供相应的服务，WEB服务、FTP服务、DNS服务等等；

分析：需要配置相应的服务器，包括WEB服务器、FTP服务器、DNS服务器等等。

三． 设计规划

(一) 层次结构

采用如图所示的层次结构，分为三层：接入层、分布层和核心层。 层次化结构设计的优点如下：

a.易扩展性：对网络进行模块化增长时，不会遇到问题。

b.便于管理：通过将网络划分为多个小的单元，降低了网络的整体复杂性，便于故障的排查

与维修。

c.容错性强：采用多条冗余链路，多核心且互为备份等方法确保当网络的一部分发生故障时，

网络仍然可以正常运行。

d.灵活性高：网络容易升级到最新的技术，对某一层次升级时，并不会影响到其他层次。 ①核心层

核心层为下两层提供优化的数据传输功能，它是一个高速的交换骨干，其作用是尽可能快地交换数据包。在设计时，一切影响传输速率的操作都应避免，不应该卷入具体的数据包运算中（ACL，流量过滤等），否则会降低数据包的交换速度。 ②分布层：

分布层提供基于统一策略的互连性，它是核心层和访问层的分界点，定义了网络的边界，读数据包进行复杂的运算。设计时，在该层实现地址的聚集、部门和工作组的接入、VLAN间路由以及安全策略。 ③接入层：

接入层的主要功能是为最终用户提供对网络访问的途径。设计时，在该层要实现带宽共享、MAC层过滤以及微分网段等功能。

(二) ip地址方案

由于校园网只是覆盖一个校区，校园网是一个内部网络，所以完全可以在该网络中使用私网地址。私网地址如下：10.x.x.x 、172.16.x.x至172.31.x.x 、192.168.x.x。如要连接Internet，那么校园网与ISP连接的路由器上或者是校园网的防火墙上实施网络地址转换（NAT）即可。若使用网络地址转换（NAT），那么校园网就不需要申请大量的公网ip地址。对于访问Internet的多台主机只要进行地址的复用（OverLoad）即可。这样既保护了内部网络（外网无法知道内网的架构及具体情况），也省去了申请大量公网地址的麻烦，降低了成本。

由于学校中存在财务管理处、行政管理处、教务管理处、学生管理处以及后勤服务处等多个部门，所以要划分为不同的VLAN。每个VLAN要使用不同的ip地址，且网络号彼此之间要不同。需要统计VLAN的总数和每个VLAN中的主机数，然后使用可变长子网掩码（VLSM）来划分子网，以期达到ip地址利用率的最大化。

通常，网关和服务器的ip地址使用每个网段中的最后一个合法ip地址，例如192.168.1.254。 校园网中的服务器要对外网提供相应服务时，那么在校园网的出口上应当对服务器的ip地址进行静态（Static）NAT转换。网内其余主机要连外网时，对主机的ip地址进行动态（Dynamic）NAT转换。

（三）ip路由

在ip地址方案中使用可变长子网掩码（VLSM）来划分子网，所以校园网内的路由协议应当是无类别的路由协议，而不能是主类别的路由协议。无类别的路由协议有，比如RIPv2、OSPF以及EIGRP，不推荐使用RIPv2，因为该协议会占用较大的带宽以及计算资源。如果校园网中存在非CISCO的设备，那么个人觉得可以使用OSPF。使用OSPF可以将校园网划分为多个区域（Area）。其中包括一个骨干区域（Area0）以及多个分支区域。区域之间通过区域边界路由器相连。这样可以提高整个网络的稳定性，即使发生故障，故障也会被限定在一个区域中，不会蔓延到其他的区域。

（四）创建用户组、用户名及相应权限

域控制器建立在网络的基础上，是安装有活动目录的计算机。校园网中应该部署域控制器来提供完善的用户管理机制，实现全面的用户认证、权限管理和计费功能。

①创建全局组。按照部门分类来创建组,如财务管理处、行政管理处、教务管理处、学生管理处以及后勤服务处等多个部门, 分别为它们分配不同的权限。分配方法是先选定组, 再选择相应的权限。

②选择“开始/ 程序管理工具/ 域用户管理器”, 则出现域用户管理窗口, 点击“用户/ 新用户”,输入用户名、全称、描述、密码即可。

③选择相应的账号组, 登录时间及登录机器限制, 用户账号过期限制等。

④在创建好各个账号后, 选择“规则” – “账号”, 配置每个账号属性, 在“规则/ 用户权限”中选择相应组账号下的各个账号的权限。 ⑤在“规则/ 审核”下选择相应的审核事件, 以后系统将把这些事件记入安全日志, 为网络维护带来很大方便。

（五）配置服务器

校园网要为广大师生以及外网提供多种服务，比如Web服务、DNS服务、FTP服务以及E-mail服务等。因此在校园网内要配置多种服务器，以满足各种需求。这里讲述一下FTP服务器的配置。配置步骤如下：

①依次单击“开始”->“控制面板”->“管理工具”，然后单击“Internet服务管理器”，打开IIS服务；

②右击“默认FTP站点”图标，在打开的菜单中选择“新建”->“站点”命令，新建一个FTP站点。

③设置FTP站点的ip地址（与服务器的ip地址一致），TCP端口为21； ④进行主目录的设置，对主目录的访问权限有读取和写入；

⑤为FTP站点添加安全账号，右击新建的FTP站点->“权限”->“安全”->“添加用户”， 同时设置用户的读写权限；

⑥设置主目录文件夹的安全性，右击文件夹->“属性”->“安全”，然后修改该文件夹的访问权限。

（六）网络安全 ①部署防火墙系统

防范来自外部网络攻击最常用的方法是在网络的入口部署防火墙。防火墙是指设置在不同网络或网络安全域之间的一系列部件的组合。它是不同网络或网络安全域之间信息的唯一出入口。防火墙可以确定哪些内部服务允许被外部访问，哪些外部主机被许可访问所允许的内部服务，哪些外部服务可由内部人员访问。并且防火墙本身具有较强的抗攻击能力。它是提供信息安全服务，实现网络和信息安全的基础设施。 ②部署入侵检测系统（IDS）

局域网攻击中的很大一部分是来自网络内部，也就是说内部人员作案，而这恰恰是防火墙的盲区。入侵检测系统(IDS)可以弥补防火墙的不足，为网络安全提供实时的入侵检测及采取相应的防护手段。

③部署入侵防御系统（IPS）

入侵防御系统（IPS）位于防火墙和网络设备之间。如果检测到攻击，IPS会在这种攻击扩散到网络的其它地方之前阻止这个恶意的通信。IDS只是起到报警的作用。IPS将检查入网的数据包，确定这种数据包的真正用途，然后决定是否允许这种数据包进入内部网络。IPS还

结合了常规的入侵检测技术，如基于签名的检测和异常检测。

四． 心得体会

网络操作系统是用户与计算机网络之间的接口，是专门为网络用户提供操作接口和各种网络服务的软件系统。

网络操作系统功能通常包括：处理机管理、存储器管理、设备管理、文件系统管理以及为了方便用户使用操作系统向用户提供的用户接口，网络环境下的通信、网络资源管理、网络应用等特定功能 。此外还有： 网络通信、资源管理、网络服务、网络管理、互操作能力等。

在这一学期的学习过程中，我学会了Windows Sever 2003和Linux9.0的安装、IIS服务器的配置、FTP服务器的配置、SMTP服务器的配置等操作。在实验的过程中遇到的问题很多，我通过查阅相关资料，请教老师和同学，最终将问题一一解决。课程已经结束，我对网络操作系统有了更深一步的认识，熟练地掌握了网络操作系统的各种配置与操作。

这一学期，我学到了很多关于网络操作系统的知识，而且我知道了凡事必须亲身实践才能得到自己想要的结果。与此同时，我认为网络操作系统这门课应该是理论与实践相结合的一门技术型课程。只有在学好理论知识的前提下，不断动手实践，才能提升自身的能力。