校園網路拓撲圖及設置

① 校園網基本網路搭建及網路安全設計分析

摘要：伴隨著Internet的日益普及，網路應用的蓬勃發展，網路信息資源的安全備受關注。校園網網路中的主機可能會受到非法入侵者的攻擊，網路中的敏感數據有可能泄露或被修改，保證網路系統的保密性、完整性、可用性、可控性、可審查性方面具有其重要意義。通過網路拓撲結構和網組技術對校園網網路進行搭建，通過物理、數據等方面的設計對網路安全進行完善是解決上述問題的有效 措施 。

關鍵詞：校園網；網路搭建；網路安全；設計。

以Internet為代表的信息化浪潮席捲全球，信息 網路技術 的應用日益普及和深入，伴隨著網路技術的高速發展，各種各樣的安全問題也相繼出現，校園網被「黑」或被病毒破壞的事件屢有發生，造成了極壞的社會影響和巨大的經濟損失。維護校園網網路安全需要從網路的搭建及網路安全設計方面著手。

一、 基本網路的搭建。

由於校園網網路特性（數據流量大，穩定性強，經濟性和擴充性）和各個部門的要求（製作部門和辦公部門間的訪問控制），我們採用下列方案：

1. 網路拓撲結構選擇：網路採用星型拓撲結構（如圖1）。它是目前使用最多，最為普遍的區域網拓撲結構。節點具有高度的獨立性，並且適合在中央位置放置網路診斷設備。

2.組網技術選擇：目前，常用的主幹網的組網技術有快速乙太網（100Mbps）、FDDI、千兆乙太網（1000Mbps）和ATM（155Mbps/622Mbps）。快速乙太網是一種非常成熟的組網技術，它的造價很低，性能價格比很高；FDDI也是一種成熟的組網技術，但技術復雜、造價高，難以升級；ATM技術成熟，是多媒體應用系統的理想網路平台，但它的網路帶寬的實際利用率很低；目前千兆乙太網已成為一種成熟的組網技術，造價低於ATM網，它的有效帶寬比622Mbps的ATM還高。因此，個人推薦採用千兆乙太網為骨幹，快速乙太網交換到桌面組建計算機播控網路。

二、網路安全設計。

1.物理安全設計 為保證校園網信息網路系統的物理安全，除在網路規劃和場地、環境等要求之外，還要防止系統信息在空間的擴散。計算機系統通過電磁輻射使信息被截獲而失密的案例已經很多，在理論和技術支持下的驗證工作也證實這種截取距離在幾百甚至可達千米的復原顯示技術給計算機系統信息的__帶來了極大的危害。為了防止系統中的信息在空間上的擴散，通常是在物理上採取一定的防護措施，來減少或干擾擴散出去的空間信號。正常的防範措施主要在三個方面：對主機房及重要信息存儲、收發部門進行屏蔽處理，即建設一個具有高效屏蔽效能的屏蔽室，用它來安裝運行主要設備，以防止磁鼓、磁帶與高輻射設備等的信號外泄。為提高屏蔽室的效能，在屏蔽室與外界的各項聯系、連接中均要採取相應的隔離措施和設計，如信號線、電話線、空調、消防控制線，以及通風、波導，門的關起等。對本地網 、區域網傳輸線路傳導輻射的抑制，由於電纜傳輸輻射信息的不可避免性，現均採用光纜傳輸的方式，大多數均在Modem出來的設備用光電轉換介面，用光纜接出屏蔽室外進行傳輸。

2.網路共享資源和數據信息安全設計 針對這個問題，我們決定使用VLAN技術和計算機網路物理隔離來實現。VLAN（Virtual LocalArea Network）即虛擬區域網，是一種通過將區域網內的設備邏輯地而不是物理地劃分成一個個網段從而實現虛擬工作組的新興技術。

IEEE於1999年頒布了用以標准化VLAN實現方案的802.1Q協議標准草案。VLAN技術允許網路管理者將一個物理的LAN邏輯地劃分成不同的廣播域（或稱虛擬LAN，即VLAN），每一個VLAN都包含一組有著相同需求的計算機工作站，與物理上形成的LAN有著相同的屬性。

但由於它是邏輯地而不是物理地劃分，所以同一個VLAN內的各個工作站無須放置在同一個物理空間里，即這些工作站不一定屬於同一個物理LAN網段。一個VLAN內部的廣播和單播流量都不會轉發到 其它 VLAN中，即使是兩台計算機有著同樣的網段，但是它們卻沒有相同的VLAN號，它們各自的廣播流也不會相互轉發，從而有助於控制流量、減少設備投資、簡化網路管理、提高網路的安全性。VLAN是為解決乙太網的廣播問題和安全性而提出的，它在乙太網幀的基礎上增加了VLAN頭，用VLANID把用戶劃分為更小的工作組，限制不同工作組間的用戶二層互訪，每個工作組就是一個虛擬區域網。虛擬區域網的好處是可以限制廣播范圍，並能夠形成虛擬工作組，動態管理網路。從目前來看，根據埠來劃分VLAN的方式是最常用的一種方式。許多VLAN廠商都利用交換機的埠來劃分VLAN成員，被設定的埠都在同一個廣播域中。例如，一個交換機的1，2，3，4，5埠被定義為虛擬網AAA，同一交換機的6，7，8埠組成虛擬網BBB。這樣做允許各埠之間的通訊，並允許共享型網路的升級。

但是，這種劃分模式將虛擬網路限制在了一台交換機上。第二代埠VLAN技術允許跨越多個交換機的多個不同埠劃分VLAN，不同交換機上的若干個埠可以組成同一個虛擬網。以交換機埠來劃分網路成員，其配置過程簡單明了。

3.計算機病毒、黑客以及電子郵件應用風險防控設計 我們採用防病毒技術，防火牆技術和入侵檢測技術來解決相關的問題。防火牆和入侵檢測還對信息的安全性、訪問控制方面起到很大的作用。

第一，防病毒技術。病毒伴隨著計算機系統一起發展了十幾年，目前其形態和入侵途徑已經發生了巨大的變化，幾乎每天都有新的病毒出現在INTERNET上，並且藉助INTERNET上的信息往來，尤其是EMAIL進行傳播，傳播速度極其快。計算機黑客常用病毒夾帶惡意的程序進行攻擊。

為保護伺服器和網路中的工作站免受到計算機病毒的侵害，同時為了建立一個集中有效地病毒控制機制，天下論文網需要應用基於網路的防病毒技術。這些技術包括：基於網關的防病毒系統、基於伺服器的防病毒系統和基於桌面的防病毒系統。例如，我們准備在主機上統一安裝網路防病毒產品套間，並在計算機信息網路中設置防病毒中央控制台，從控制台給所有的網路用戶進行防病毒軟體的分發，從而達到統一升級和統一管理的目的。安裝了基於網路的防病毒軟體後，不但可以做到主機防範病毒，同時通過主機傳遞的文件也可以避免被病毒侵害，這樣就可以建立集中有效地防病毒控制系統，從而保證計算機網路信息安全。形成的整體拓撲圖。

第二，防火牆技術。企業防火牆一般是軟硬體一體的網路安全專用設備，專門用於TCP/IP體系的網路層提供鑒別，訪問控制，安全審計，網路地址轉換（NAT），IDS，，應用代理等功能，保護內部 區域網安全 接入INTERNET或者公共網路，解決內部計算機信息網路出入口的安全問題。

校園網的一些信息不能公布於眾，因此必須對這些信息進行嚴格的保護和保密，所以要加強外部人員對校園網網路的訪問管理，杜絕敏感信息的泄漏。通過防火牆，嚴格控制外來用戶對校園網網路的訪問，對非法訪問進行嚴格拒絕。防火牆可以對校園網信息網路提供各種保護，包括：過濾掉不安全的服務和非法訪問，控制對特殊站點的訪問，提供監視INTERNET安全和預警，系統認證，利用日誌功能進行訪問情況分析等。通過防火牆，基本可以保證到達內部的訪問都是安全的可以有效防止非法訪問，保護重要主機上的數據，提高網路完全性。校園網網路結構分為各部門區域網（內部安全子網）和同時連接內部網路並向外提供各種網路服務的安全子網。防火牆的拓撲結構圖。

內部安全子網連接整個內部使用的計算機，包括各個VLAN及內部伺服器，該網段對外部分開，禁止外部非法入侵和攻擊，並控制合法的對外訪問，實現內部子網的安全。共享安全子網連接對外提供的WEB，EMAIL，FTP等服務的計算機和伺服器，通過映射達到埠級安全。外部用戶只能訪問安全規則允許的對外開放的伺服器，隱藏伺服器的其它服務，減少系統漏洞。

參考文獻：

[1]Andrew S. Tanenbaum. 計算機網路（第4版）[M].北京：清華大學出版社，2008.8.

[2]袁津生，吳硯農。 計算機網路安全基礎[M]. 北京：人民郵電出版社，2006.7.

[3]中國IT實驗室。 VLAN及技術[J/OL], 2009.

② 校園網路拓撲圖怎麼畫，很急，大學論文用

、規劃背景問題描述，計算機網路規劃需求分析2、網路總體方案設計（包括區域網、接入網等）、該方案的特點。(網路拓撲設計)3、網路體系結構設計：確定主幹網,分支網採取何種組網技術；4、選擇通信媒體：用戶端和中繼系統選定傳輸電纜和傳輸資源；5、節點規模設計：確定網路的主要節點設備（伺服器、客戶機、交換機等）的性能指標、台數；6、網路伺服器、工作站選型與配置。7IP地址子網劃分及方案。8、參考文獻（包括互聯網上的引用信息）。背景資料1、某市電業局網路規劃某市電業局新公樓高16層，共計有160個房間。主樓的南面是附樓，附樓高2層，每層有6個房間，共38個信息點。原電業局公樓（老樓）離新公樓約0.7公里，高5層。該市A區供電局與局新大樓相距100米，其他四個區的供電局（B區、C區、D區、E區）離局新大樓20公里以上。修驗廠在老樓院內，離老樓約100米。油務樓、保護儀表間距離老樓分別為150米、130米。油務樓周圍還有物資倉庫、高壓試驗樓、修驗廠房各有2個信息點，距離在80米之內。局新大樓一期網路工程可上網約120個信息點，老樓計算機應用已有一定規模和水平，目前已有48個信息點。隨著生產發展，對工作效率和管理水平現代化要求的提高，對數據流暢通和信息共享提出了更高的要求：1)對市電業局網路系統進行總體設計。2)保留原有計算機軟硬體資源，讓MIS原有功能模塊或子系統仍能繼續運行。3)解決全市局范圍內的網路通信、公自動化等問題，使網路系統性能、計算機應用水平達到一個新水平。4)考慮到今後的發展、擴充和先進技術的應用，一次布線後新樓最大可供500個信息點聯網，老樓最大可供200個信息點聯網。

③ 現在請你為某個學校做網路設計。（子網規劃，路由配置，防火牆配置部分）

一、子網劃分設計：
1、 將192.168.1.0分為8個子網，每個子網有32個地址。
2、 子網掩碼：255.255.255.224
3、 0子網和廣播子網不用。通過使用命令route(config)# ip subnet-zero 指定0子網可用。

如表所列：192.168.1. X （可表示為192.168.1.X / 255.255.255.224或 192.168.1.X / 27）
子網號192.168.1.X 0 32 64 96 128 160 192 224
地址段 0-31 32-63 64-95 96-127 128-159 160-191 192-223 224-255
擬分配資源 不用 連接盯做談 行政 教務 教室1 教室2 備用 不用
可用地址范圍 33-62 65-94 97-126 129-158 161-190
網關地址 33-34 65 97 129 161
備注 0子網 主胡頃頁66
代理68 廣播子網

二、網路拓撲設計圖：

三、靜態路由配置：
Teacher： ip route 0.0.0.0 0.0.0.0 172.16.9.1
ip route 192.168.1.128 255.255.255.192 192.168.1.34
(ip route 192.168.1.128 255.255.255.224 192.168.1.34)
(ip route 192.168.1.160 255.255.255.224 192.168.1.34)
Student： ip route 0.0.0.0 0.0.0.0 192.168.1.33

四、防火牆設置：(如圖,在teacher路由凱碰器S0和E0埠上設置)
1、ACL 100:
ip access-list extended 100
permit tcp any any established
permit tcp any host 192.168.1.66 eq 80
permit ip any host 192.168.1.68
deny tcp any 192.168.1.128 0.0.0.63 eq 80
permit ip any 192.168.1.128 0.0.0.63
應用在S0介面上:
interface s0
ip address 172.16.9.2 255.255.255.0
ip access-group 100 in

2、ACL 101:
ip access-list extended 101
permit tcp any any established
permit tcp any host 192.168.1.66 eq 80
permit ip any host 192.168.1.68
permit tcp any 192.168.1.96 0.0.0.31 eq 80
permit tcp any 192.168.1.96 0.0.0.31 eq 20
permit tcp any 192.168.1.96 0.0.0.31 eq 21
deny ip any 192.168.1.64 0.0.0.63
permit ip any any
應用在E0介面上:
interface e0
ip address 192.168.1.33 255.255.255.224
ip access-group 101 in

④ 校園網路的拓撲結構圖

結構圖如下：

由網路節點設備和通信介質構成的網路結構圖。網路拓撲定義了各種計算機、列印機、網路設備和其他設備的連接方式。換句話說，網路拓撲描述了線纜和網路設備的布局以及數據傳輸時所採用的路徑。網路拓撲會在很大程度上影響網路如何工作。

(4)校園網路拓撲圖及設置擴展閱讀

星型網路拓撲結構的一種擴充便是星行樹,如左圖所示。每個Hub與端用戶的連接仍為星型,Hub的級連而形成樹。然而,應當指出,Hub級連的個數是有限制的,並隨廠商的不同而有變化。

樹型結構是分級的集中控制式網路，與星型相比，它的通信線路總長度短，成本較低，節點易於擴充，尋找路徑比較方便，但除了葉節點及其相連的線路外，任一節點或其相連的線路故障都會使系統受到影響。

適用場合：只適用於低速、不用阻抗控制的信號，比如在沒有電源層的情況下，電源的布線就可以採用這種拓撲。

⑤ 校園網路方案網路拓撲圖解釋（雙核心交換機的使用）

沒看見圖

1、兩條核心間需要做「心跳」連接，也是為了數據交換，做到核心冗餘
2、每個匯聚，都需要連接到兩個獨立得核心，這樣，一台核心掛了，可以自動切換到另外一台
3、沒看到圖
4、也沒看到圖，猜想也是為了冗餘
5、上網需要有互聯網出口，根據IP規劃配置終端就可以了