《校園網(wǎng)組網(wǎng)技術(shù)》課程設(shè)計(jì)報(bào)告一、設(shè)計(jì)時(shí)間二、設(shè)計(jì)地點(diǎn)三、設(shè)計(jì)目的四、設(shè)計(jì)小組成員五、指導(dǎo)教師六、設(shè)計(jì)課題1、校園局域網(wǎng)組建設(shè)某校需要建立校園網(wǎng)，主要有以下機(jī)構(gòu)組成：校機(jī)關(guān)、8個(gè)系（校機(jī)關(guān)在1號(hào)樓，8個(gè)系分別在2到9號(hào)樓），還有一個(gè)網(wǎng)絡(luò)中心位于10號(hào)樓，各單位距離網(wǎng)絡(luò)中心在1000米以內(nèi)。（1）以校網(wǎng)絡(luò)中心為中心，建立一個(gè)覆蓋全校的校園網(wǎng)，為全校師生提供校園內(nèi)部的電子郵件、以及Internet接入等服務(wù)，并要留有一定的擴(kuò)展余地。（2）校網(wǎng)絡(luò)中心和各系辦、校機(jī)關(guān)合在一起作為一個(gè)子網(wǎng)。（需要?jiǎng)澐肿泳W(wǎng)或做VLAN）（3）網(wǎng)絡(luò)中心要建立兩個(gè)服務(wù)器：一個(gè)www服務(wù)器，一個(gè)ftp服務(wù)器。各單位的機(jī)房配置情況如下：校機(jī)關(guān)20臺(tái)PC機(jī)，網(wǎng)絡(luò)中心20臺(tái)PC機(jī)，各系部各50臺(tái)PC機(jī)。七、方案及可行性分析方案：7.1網(wǎng)絡(luò)中心三臺(tái)服務(wù)器（WWW服務(wù)器，F(xiàn)TP服務(wù)器，電子郵件服務(wù)器）；16口千兆路由器為主路由器。7.22—9號(hào)樓各一個(gè)4口千兆路由器與主路由器相連（采用多模光纖）；各樓的一個(gè)24口百兆交換機(jī)與4口百兆路由器相連（采用雙絞線）；PC機(jī)與交換機(jī)相連（采用雙絞線）。7.31號(hào)和10號(hào)樓只用一個(gè)24口百兆交換機(jī)與主路由器相連（采用多膜光纖）。7.4服務(wù)器采用RedHatEnterpriseLinux系統(tǒng)7.5IP地址分配表VLAN號(hào)VLAN名稱(chēng)IP網(wǎng)段子網(wǎng)掩碼說(shuō)明VLAN1GL—55網(wǎng)絡(luò)中心VLAN（1，10號(hào)樓）VLAN10JSJX—55計(jì)算機(jī)系VLAN（2號(hào)樓）VLAN20WDX—55物電系VLAN（3號(hào)樓）VLAN30HHX—55化環(huán)系VLAN（4號(hào)樓）VLAN40ZWX—55中文系VLAN（5號(hào)樓）VLAN50WYX—55外語(yǔ)系VLAN（6號(hào)樓）VLAN60TMY—55土木院VLAN（7號(hào)樓）VLAN70JGX—55經(jīng)管系VLAN（8號(hào)樓）VLAN80CGY—55城管院VLAN（9號(hào)樓）7.6WWW服務(wù)器配置7.6.1Apache2.0的安裝Apache2.0的配置與安裝和Apache1.3的有很大的不同，他像其它的開(kāi)源軟件一樣，使用libtool和autoconf來(lái)配置環(huán)境。但不管是Apache幾通常都有兩種安裝方式：源代碼安裝和RPM包安裝。這兩種安裝類(lèi)型各有特色，RPM包安裝不需要編譯，而源代碼安裝則需要先配置編譯再安裝，RPM包安裝在一個(gè)固定的位置下，選擇固定的模塊，而源代碼安裝則可以讓你選擇安裝路徑，選擇你想要的模塊。下面分別以實(shí)例的形式來(lái)介紹兩種類(lèi)型的安裝方法。﹙1﹚使用源代碼安裝獲得源代碼并解開(kāi)壓縮包,然后配置進(jìn)行編譯與安裝最后測(cè)試．﹙2﹚使用RPM包安裝完成安裝后，配置文件在/etc/httpd/conf/目錄下，文件根目錄為/var/www/html,工具文件在/etc/rc.d/init.d/目錄下，日志文件在/var/log/httpd/目錄下。第三站Apache2.0的配置7.6.2配置虛擬主機(jī)虛擬主機(jī)是在一臺(tái)www服務(wù)器上為多個(gè)單獨(dú)的域名提供www服務(wù)，每個(gè)域名具有自己的目錄和配置，相當(dāng)于將一臺(tái)主機(jī)分為多臺(tái)主機(jī)，虛擬主機(jī)技術(shù)對(duì)于主機(jī)數(shù)量不足，但又想為不同的用戶提供獨(dú)立的Web服務(wù)的需求非常有效。而對(duì)于一個(gè)公司，利用價(jià)格昂貴的服務(wù)器只提供一種域名服務(wù)，似乎是不明智的，而現(xiàn)在越來(lái)越多的公司喜歡在一臺(tái)服務(wù)器上使用多個(gè)域名服務(wù)，架設(shè)不同的網(wǎng)站，這樣做的好處是顯而易見(jiàn)。7.6.3服務(wù)器端代理的配置服務(wù)器端代理與客戶端代理不同，它是在防火墻上安裝Apache服務(wù)器，使用它提供對(duì)WWW服務(wù)器的代理訪問(wèn)。這種方法把WWW服務(wù)器與外部隔開(kāi)，提高了安全性，而對(duì)用戶來(lái)說(shuō)，好像沒(méi)有變化一樣。假設(shè)在內(nèi)部局域網(wǎng)中WWW服務(wù)器的IP地址為，防火墻主機(jī)內(nèi)部IP地址為，外部IP地址為。

1)配置防火墻上的Apache2)配置局域網(wǎng)中的DNS服務(wù)器3)配置局域網(wǎng)內(nèi)部WWW服務(wù)器在Linux環(huán)境下，有一個(gè)非常流行的代理服務(wù)器軟件——Squid。他的功能非常的強(qiáng)大，支持HTTP,FTP,Gopher,SSL,和WAIS等協(xié)議的代理，而且設(shè)置簡(jiǎn)單，只需再配置文件中稍稍改動(dòng)就可以了。7.7FTP服務(wù)器的配置7.7.1定義用戶類(lèi)別創(chuàng)建用戶組，這個(gè)組中的成員預(yù)先定義可以訪問(wèn)FTP服務(wù)器。7.7.2登錄重試次數(shù)禁止或允許遠(yuǎn)程主機(jī)對(duì)特定賬戶的訪問(wèn)7.7.3密碼檢查控制哪些人、在什么時(shí)間、從什么地點(diǎn)可以連接服務(wù)器，并且可以對(duì)他們連接后所做的工作進(jìn)行檢查跟蹤。7.7.4登錄人數(shù)的限制為了確保FTP服務(wù)器安全，必須設(shè)置一些重要的配置文件，以更好地控制用戶的訪問(wèn)權(quán)限。7.8電子郵件服務(wù)器配置Linux下架設(shè)郵件服務(wù)器其實(shí)并不難。我們以RedHatLinux9.0為例。在linux下可供選擇的郵件服務(wù)器套件有Sendmail和Qmail。Qmail比較注意安全問(wèn)題，假如你需要一個(gè)安全的郵件網(wǎng)關(guān)，那它是一個(gè)不錯(cuò)的可選方案；而Sendmail在穩(wěn)定性、可移植性、及確保沒(méi)有bug方面具有一定特色，且可以在網(wǎng)絡(luò)中搜索到大量的使用資料，因此Linux下一般都選用此系統(tǒng)搭建，本文也是基于Sendmail為例。Linux下架設(shè)郵件服務(wù)器．7.8.1安裝Sendmail完全安裝RedHatLinux9.0時(shí)，Sendmail就會(huì)自動(dòng)內(nèi)置，版本號(hào)為8.12.8-4。如果你不確定Linux是否已經(jīng)安裝有sendmail.7.8.2啟動(dòng)Sendmail服務(wù)系統(tǒng)使用帶參數(shù)的Sendmail命令控制郵件服務(wù)器的運(yùn)行：[root@ahpengroot]#sendmail-bd–q12h，后跟的參數(shù)解釋如下：-b：設(shè)定Sendmail服務(wù)運(yùn)行于后臺(tái)。-d：指定Sendmail以Daemon(守護(hù)進(jìn)程)方式運(yùn)行。此外，要檢測(cè)Sendmail服務(wù)器是否正常運(yùn)行.7.8.3配置Sendmail采用m4宏處理程序來(lái)生成所需的sendmail.cf文件(使用m4編譯工具一般不輕易出錯(cuò)，還可避免某些帶有安全漏洞的宏對(duì)服務(wù)器造成的破壞)。其配置文件位于/etc/mail/sendmail.cf，在創(chuàng)建的過(guò)程中還需要一個(gè)模板文件，Linux自帶有一個(gè)模板文件，位于/etc/mail/sendmail.mc。7.8.4建立電子郵件新帳號(hào)此步驟相對(duì)簡(jiǎn)樸，只需在Linux里新增一個(gè)用戶即可。依次進(jìn)入“主菜單-系統(tǒng)設(shè)置-用戶和組群”選項(xiàng)，接著打開(kāi)“RedHat用戶管理器”對(duì)話框，點(diǎn)“添加用戶”按鈕，在接著出現(xiàn)的“創(chuàng)建新用戶”窗口中輸入用戶名及密碼即可。7.8.5限制單個(gè)用戶郵箱容量如果對(duì)用戶的郵件容量不加限制，服務(wù)器的硬盤(pán)是不堪重負(fù)的。這可以使用“郵件限額”功能來(lái)實(shí)現(xiàn)：因?yàn)殡娮余]件的暫存空間是位于/var/spool/mail目錄下的，所以只需通過(guò)磁盤(pán)配額設(shè)定每一個(gè)郵件帳戶在此目錄下能使用的最大空間即可。7.8.6單一用戶設(shè)定多個(gè)郵件地址使用別名(alias)可以解決這個(gè)問(wèn)題。別名是sendmail最重要的功能之一。經(jīng)過(guò)以上步驟后，應(yīng)該就可以用OutlookExpress正常發(fā)送郵件了，但這時(shí)還不能用OutlookExpress從服務(wù)器端收取郵件的，因?yàn)閟endmail默認(rèn)狀態(tài)并不具備POP3功能，我們還得自己安裝并啟用它。7.9動(dòng)態(tài)DNS服務(wù)配置在網(wǎng)絡(luò)管理中，對(duì)于DNS服務(wù)的管理是一項(xiàng)基礎(chǔ)性的工作。隨著用戶規(guī)模的擴(kuò)大，頻繁地手工修改DNS的區(qū)域數(shù)據(jù)庫(kù)文件不是一件輕松的工作。關(guān)于動(dòng)態(tài)DNS(DDNS)的研究逐漸引起了人們的關(guān)注，不同的平臺(tái)都推出了自己的解決方案。在Linux下實(shí)現(xiàn)動(dòng)態(tài)DNS不僅需要Bind8以上的DNS軟件，還要有DHCPServerv3.0以上版本，因?yàn)橹挥?.0以上的版本才完全實(shí)現(xiàn)了對(duì)DDNS的支持。因此，本文的實(shí)現(xiàn)環(huán)境采用SlackwareLinux9.0作為DDNS服務(wù)器，其上同時(shí)運(yùn)行DNS和DHCP服務(wù)，其中DNSServer采用Bind9.2.2，DHCPServer采用DHCPServerv3.0pl2。

下面詳細(xì)介紹Linux環(huán)境下安全、動(dòng)態(tài)DNS的實(shí)現(xiàn)方法。

7.9.1創(chuàng)建密鑰要實(shí)現(xiàn)DNS的動(dòng)態(tài)更新，首先要考慮的是怎樣保證安全地實(shí)現(xiàn)DDNS。由ISC給出的方法是創(chuàng)建進(jìn)行動(dòng)態(tài)更新的密鑰，在進(jìn)行更新時(shí)通過(guò)該密鑰加以驗(yàn)證。修改DNS的主配置文件密鑰生成后就要開(kāi)始對(duì)/etc/named.conf文件進(jìn)行編輯修改，主要目的是將密鑰信息添加到DNS的主配置文件中。至此完成對(duì)DNS服務(wù)器的配置，可以執(zhí)行#named運(yùn)行DNS服務(wù)。7.10路由器配置7.10.1在路由器Router1上配置接口的IP地址和串口上的時(shí)鐘頻率。進(jìn)入fastethernet1/0的配置模式,開(kāi)啟路由器fastethernet1/0接口進(jìn)入接口serial1/0配置模式,配置路由器接口serial1/0的ip地址,配置Router1的時(shí)鐘頻率（DCE）,開(kāi)啟路由器serial1/0接口,驗(yàn)證測(cè)試：驗(yàn)證路由器接口的配置7.10.2在路由器Router1上配置靜態(tài)路由,驗(yàn)證測(cè)試：驗(yàn)證Router1上的靜態(tài)路由配置7.10.3在路由器Router2上配置接口的IP地址和串口上的時(shí)鐘頻率。進(jìn)入fastethernet1/0的配置模式.配置路由器接口fastethernet1/0的ip地址.開(kāi)啟路由器fastethernet1/0接口,進(jìn)入接口serial1/0配置模式,配置路由器接口serial1/0的ip地址,開(kāi)啟路由器serial1/0接口,驗(yàn)證測(cè)試：驗(yàn)證路由器接口的配置7.10.4在路由器Router2上配置靜態(tài)路由,驗(yàn)證測(cè)試：驗(yàn)證Router2上的靜態(tài)路由配置7.10.5測(cè)試網(wǎng)絡(luò)的互聯(lián)互通性注意事項(xiàng)：如果兩臺(tái)路由器通過(guò)串口直接互聯(lián)，則必須在其中一端設(shè)置時(shí)鐘頻率（DCE）。7.11交換機(jī)設(shè)置物理連接好了我們就要打開(kāi)計(jì)算機(jī)和交換機(jī)電源進(jìn)行軟件配置了，下面我們以思科的一款網(wǎng)管型交換機(jī)“Catalyst1900”來(lái)講述這一配置過(guò)程。在正式進(jìn)入配置之前我們還需要進(jìn)入系統(tǒng).7.12網(wǎng)絡(luò)安全分析校園網(wǎng)的安全威脅既有來(lái)自校內(nèi)的，也有來(lái)自校外的，只有將技術(shù)和管理都重視起來(lái)，才能切實(shí)構(gòu)筑一個(gè)安全的校園網(wǎng)。國(guó)內(nèi)高校校園網(wǎng)的安全問(wèn)題有其歷史原因：在以前的網(wǎng)絡(luò)時(shí)期，一方面因?yàn)橐庾R(shí)與資金方面的原因，以及對(duì)技術(shù)的偏好和運(yùn)營(yíng)意識(shí)的不足，普遍都存在“重技術(shù)、輕安全、輕管理”的傾向，常常只是在內(nèi)部網(wǎng)與互聯(lián)網(wǎng)之間放一個(gè)防火墻就萬(wàn)事大吉，有些學(xué)校甚至直接連接互聯(lián)網(wǎng)，這就給病毒、黑客提供了充分施展身手的空間。而病毒泛濫、黑客攻擊、信息丟失、服務(wù)被拒絕等等，這些安全隱患只要發(fā)生一次，對(duì)整個(gè)網(wǎng)絡(luò)都將是致命性的。作為高等院校，如何構(gòu)筑相對(duì)可靠的校園網(wǎng)絡(luò)安全體系問(wèn)題，變得越來(lái)越突出了。一般來(lái)說(shuō)，構(gòu)筑校園網(wǎng)絡(luò)安全體系，要從兩個(gè)方面著手：一是采用先進(jìn)的技術(shù)；二是不斷改進(jìn)管理方法。7.14校園網(wǎng)安全的隱患由于缺乏統(tǒng)一的網(wǎng)絡(luò)出口、網(wǎng)絡(luò)管理軟件和網(wǎng)絡(luò)監(jiān)控、日志系統(tǒng)，使學(xué)校的網(wǎng)絡(luò)管理各自為政，缺乏上網(wǎng)的有效監(jiān)控和日志，上網(wǎng)用戶的身份無(wú)法唯一識(shí)別，存在極大的安全隱患。同時(shí)，校園網(wǎng)電子郵件系統(tǒng)極不完善，無(wú)任何安全管理和監(jiān)控的手段。網(wǎng)絡(luò)病毒泛濫，造成網(wǎng)絡(luò)性能急劇下降，重要數(shù)據(jù)丟失。因此缺乏集中管理、統(tǒng)一升級(jí)、統(tǒng)一監(jiān)控的針對(duì)網(wǎng)絡(luò)的防病毒體系。此外，校園網(wǎng)絡(luò)上的用戶網(wǎng)絡(luò)安全意識(shí)淡薄，沒(méi)有制訂完善的網(wǎng)絡(luò)安全管理制度。校園網(wǎng)常見(jiàn)的風(fēng)險(xiǎn):A、普遍存在的計(jì)算機(jī)系統(tǒng)的漏洞，對(duì)信息安全、系統(tǒng)的使用、網(wǎng)絡(luò)的運(yùn)行構(gòu)成嚴(yán)重的威脅；B、外來(lái)的系統(tǒng)入侵、攻擊等惡意破壞行為，有些計(jì)算機(jī)已經(jīng)被攻破，用作黑客攻擊的工具；拒絕服務(wù)攻擊目前越來(lái)越普遍，不少開(kāi)始針對(duì)重點(diǎn)高校的網(wǎng)站和服務(wù)器；C、校園網(wǎng)內(nèi)部用戶對(duì)網(wǎng)絡(luò)資源的濫用，有的校園網(wǎng)用戶利用免費(fèi)的校園網(wǎng)資源提供商業(yè)的或者免費(fèi)的視頻、軟件資源下載，占用了大量的網(wǎng)絡(luò)帶寬，影響了校園網(wǎng)的應(yīng)用；D、垃圾郵件、不良信息的傳播，有的利用校園網(wǎng)內(nèi)無(wú)人管理的服務(wù)器作為中轉(zhuǎn)，嚴(yán)重影響學(xué)校的聲譽(yù)。7.15具體解決方案7.15.1基本防護(hù)體系（包過(guò)濾防火墻＋NAT＋計(jì)費(fèi)）用戶需求：全部或部分滿足以下各項(xiàng)，即解決內(nèi)外網(wǎng)絡(luò)邊界安全，防止外部攻擊，保護(hù)內(nèi)部網(wǎng)絡(luò)；解決內(nèi)部網(wǎng)安全問(wèn)題，隔離內(nèi)部不同網(wǎng)段，建立VLAN；根據(jù)IP地址、協(xié)議類(lèi)型、端口進(jìn)行過(guò)濾；內(nèi)外網(wǎng)絡(luò)采用兩套IP地址，需要網(wǎng)絡(luò)地址轉(zhuǎn)換NAT功能；支持安全服務(wù)器網(wǎng)絡(luò)SSN；通過(guò)IP地址與MAC地址對(duì)應(yīng)防止IP欺騙；基于IP地址計(jì)費(fèi)；基于IP地址的流量統(tǒng)計(jì)與限制；基于IP地址的黑白名單。防火墻運(yùn)行在安全操作系統(tǒng)之上，防火墻為獨(dú)立硬件，防火墻無(wú)IP地址解決方案：采用網(wǎng)絡(luò)衛(wèi)士防火墻PLFW1000。7.15.2標(biāo)準(zhǔn)防護(hù)體系（包過(guò)濾防火墻＋NAT＋計(jì)費(fèi)＋代理＋VPN）用戶需求：在基本防護(hù)體系配置的基礎(chǔ)之上，全部或部分滿足以下各項(xiàng)，即提供應(yīng)用代理服務(wù)，隔離內(nèi)外網(wǎng)絡(luò)；用戶身份鑒別；權(quán)限控制；基于用戶計(jì)費(fèi)；基于用戶的流量統(tǒng)計(jì)與控制；基于WEB的安全管理；支持VPN及其管理；支持透明接入；具有自身保護(hù)能力，防范對(duì)防火墻的常見(jiàn)攻擊。解決方案：（1）選用網(wǎng)絡(luò)衛(wèi)士防火墻PLFW2000；（2）防火墻基本配置＋網(wǎng)絡(luò)加密機(jī)（IP協(xié)議加密機(jī)）。校園網(wǎng)安全防護(hù)的解決方案可用下圖表示：網(wǎng)絡(luò)出口防護(hù)數(shù)據(jù)中心保護(hù)骨干網(wǎng)絡(luò)安全用戶計(jì)費(fèi)審計(jì)IPS保護(hù)應(yīng)用加速攻擊防護(hù)用戶認(rèn)證FW保護(hù)流量清洗內(nèi)網(wǎng)控制靈活計(jì)費(fèi)虛擬化服務(wù)安全加固遠(yuǎn)程安全接入行為監(jiān)管八、設(shè)計(jì)圖紙九、設(shè)備選型設(shè)備名稱(chēng)設(shè)備型號(hào)設(shè)備基本屬性設(shè)備單價(jià)（元）數(shù)量FTP服務(wù)器\o"聯(lián)想萬(wàn)全R350G7(D5504/16GB/SAS300G*4/RAID6)服務(wù)器"聯(lián)想萬(wàn)全R350G7(D5504/16GB/S千兆500001個(gè)Web服務(wù)器\o"聯(lián)想萬(wàn)全R350G7(D5504/16GB/SAS300G*4/RAID6)服務(wù)器"聯(lián)想萬(wàn)全R350G7(D5504/16GB/S千兆500001個(gè)郵件服務(wù)器\o"eWorld郵件服務(wù)器M50"eWorld郵件服務(wù)器M50千兆310001個(gè)主路由器TPMAIPUMP2700-1616口千兆路由器200001個(gè)操作系統(tǒng)LinuxLinux30003個(gè)分路由器騰達(dá)R60004口百兆路由器12008個(gè)交換機(jī)華為S2024C24口百兆交換機(jī)160026個(gè)光纖安普室外6芯光纖多模光纖16/米4650米雙絞線AMP超五類(lèi)屏蔽雙絞線雙絞線1100/95米8000米十、調(diào)試過(guò)程中出現(xiàn)的問(wèn)題及解決辦法10.1共享文件夾權(quán)限設(shè)置不論是Guest用戶共享，還是在本機(jī)為其它用戶建立賬號(hào)，都有可能碰到由于共享文件夾的權(quán)限設(shè)置不正確造成不能訪問(wèn)。調(diào)整共享文件夾權(quán)限的方法是：在共享文件夾上單擊右鍵，選擇“屬性”，在“共享”標(biāo)簽下按下“權(quán)限”按鈕，在跳出的對(duì)話框中就可以調(diào)節(jié)或添加用戶對(duì)此文件夾的權(quán)限設(shè)置了。而對(duì)于使用NTFS格式分區(qū)的用戶來(lái)說(shuō)，除了調(diào)節(jié)“共享”標(biāo)簽下的“權(quán)限，還需要對(duì)“安全”選項(xiàng)卡下的系統(tǒng)安全權(quán)限做同樣的調(diào)整。10.2Guest用戶的網(wǎng)絡(luò)訪問(wèn)權(quán)限被限制在“開(kāi)始→運(yùn)行”中輸入命令“secpol.msc”，啟動(dòng)“本地安全設(shè)置”，點(diǎn)擊左側(cè)的“用戶權(quán)限分配”，檢查“本地策略→從網(wǎng)絡(luò)訪問(wèn)此計(jì)算機(jī)”中是否包含Everyone，若是沒(méi)有，請(qǐng)自行加入；再檢查“拒絕從網(wǎng)絡(luò)訪問(wèn)這臺(tái)計(jì)算機(jī)”中有否Guest，有則刪除。另外，在“本地安全設(shè)置→本地策略”的“安全選項(xiàng)”下，雙擊“網(wǎng)絡(luò)訪問(wèn)：本地賬戶的共享和安全模式”，根據(jù)情況，選擇“經(jīng)典”或