1、<p>　　校園網(wǎng)絡(luò)的搭建規(guī)劃設(shè)計與實現(xiàn)</p><p><b>　　摘要</b></p><p>　　隨著信息技術(shù)的高速發(fā)展，許多學校紛紛建立屬于自己的校園網(wǎng),將計算機引入教學、科研、管理等各個領(lǐng)域，從而引起了教學方法、教學手段和教學工具的重大改革，對提高教學質(zhì)量，推動我國教育現(xiàn)代化的快速發(fā)展起著重要的作用。</p><p>　　本

2、文在局域網(wǎng)技術(shù)和先進發(fā)展基礎(chǔ)上，分析了建立校園網(wǎng)的意義，建設(shè)原則和目的，并詳細闡述了其設(shè)計方案過程。文章從系統(tǒng)結(jié)構(gòu)、網(wǎng)絡(luò)方案、管理、布局等方面討論了校園網(wǎng)絡(luò)的設(shè)計方案。在網(wǎng)絡(luò)設(shè)計中，詳細介紹了網(wǎng)絡(luò)拓撲結(jié)構(gòu)、VLAN劃分、IP分配、擴展訪問、NAT配置。最后通過相關(guān)軟件對網(wǎng)絡(luò)進行管理以及實現(xiàn)網(wǎng)絡(luò)的安全性。</p><p>　　本課題正是以本校的校園網(wǎng)為例，建設(shè)一個開放的、靈活的、先進的、可擴展的、易于管理的、高速網(wǎng)

3、絡(luò)的校園網(wǎng)，完全能夠適應學校在相當長的一段時間里的使用要求。并且能夠?qū)崿F(xiàn)多媒體教學、網(wǎng)絡(luò)教學、數(shù)據(jù)安全等各種網(wǎng)絡(luò)服務，以滿足現(xiàn)代化教學的各種需求。</p><p>　　關(guān)鍵詞：網(wǎng)絡(luò)拓撲，VLAN，IP，擴展訪問，NAT </p><p>　　Design and Implementation of the Campus Network</p><p><b&g

4、t;　　ABSTRACT</b></p><p>　　With the quick development of information technology, many campus network are constructed in which computers is adopted in teaching, scientific research, management and so on.

5、 It results in great innovation in teaching means and tools, and play an important role in implementation of modern education of our country. </p><p>　　Based on local area network technology and advanced dev

6、elopment, analysis of the significance of the campus network, construction principle and purpose, and expounds the design process in detail. The article from the system structure, network, management and layout of the ca

7、mpus network is discussed in aspects of design. In network design, the paper introduces the network topology structure, the VLAN dividing, the IP allocation, expand access, dynamic routing configuration, NAT configuratio

8、n. Fi</p><p>　　This topic is the word of the school campus network as an example, the construction of an open, flexible, advanced, scalable, manageable, high-speed network of campus network, fully able to ad

9、apt to the school for quite a long time of use requirements. And be able to realize the multimedia teaching, network teaching, data security and other web services, to meet the diverse needs of modern teaching.</p>

10、<p>　　Key words: network topology, VLAN, IP, expanded access, NAT</p><p><b>　　目錄</b></p><p><b>　　1 前言1</b></p><p><b>　　1.1課題背景1</b></

11、p><p>　　1.2 目的和意義2</p><p>　　1.3 系統(tǒng)設(shè)計思想3</p><p><b>　　2需求分析4</b></p><p>　　2.1 業(yè)務需求分析4</p><p>　　2.2 用戶需求分析7</p><p>　　2.3 技術(shù)需求分析8&l

12、t;/p><p>　　3 校園網(wǎng)絡(luò)的結(jié)構(gòu)設(shè)計12</p><p>　　3.1 配置核心VLAN端口地址12</p><p>　　3.2 IP擴展訪問16</p><p>　　3.3 靜態(tài)NAT配置19</p><p>　　4 校園網(wǎng)絡(luò)的主體拓撲結(jié)構(gòu)22</p><p><b>　

13、　5 論文總結(jié)27</b></p><p><b>　　參考文獻28</b></p><p><b>　　指導教師簡介29</b></p><p><b>　　致謝30</b></p><p><b>　　1 前言</b></p&

14、gt;<p>　　在這個知識爆炸的社會中，對于合格人才的要求越來越多，需要他們掌握大量的各類知識，在教育中需要提高教學效率，這就要求學校的教學和管理工作向著信息交流網(wǎng)絡(luò)化、信息管理數(shù)據(jù)化、信息服務電子化發(fā)展。因此利用計算機網(wǎng)絡(luò)技術(shù)進行學術(shù)管理和開展互助教學已是勢在必行。</p><p>　　這就要求校園網(wǎng)絡(luò)是一個專業(yè)性很強的局域網(wǎng)。多媒體教學軟件開發(fā)的平臺，多媒體演示教室，教師備課系統(tǒng)，考試資料庫等

15、，都可以通過網(wǎng)絡(luò)運行工作。校園網(wǎng)應具有教學、管理和通信三大功能。對于目前的校園網(wǎng)建設(shè)來說，主要具有教學和通信功能，難以實現(xiàn)以熟悉化校園為核心的管理技術(shù)。</p><p>　　建設(shè)校園網(wǎng)對每個學校來說都不是一件容易的事，都要經(jīng)過周密的論證、謹慎的決策和緊張的施工。校園網(wǎng)建成了，各種問題也不斷涌現(xiàn)，比如，設(shè)計目標根本無法實現(xiàn)，后續(xù)的維護費用不堪承受等等。</p><p>　　我將按照“統(tǒng)一規(guī)劃

16、、講究實效、安全可靠”的原則，進行校園網(wǎng)絡(luò)的系統(tǒng)設(shè)計，確保系統(tǒng)運行可靠，經(jīng)濟性，投資合理，有良好的性能價格比，以滿足校園內(nèi)計算機網(wǎng)絡(luò)系統(tǒng)的需要。</p><p><b>　　1.1課題背景</b></p><p>　　高校校園網(wǎng)一直是國內(nèi)Internet發(fā)展的領(lǐng)頭羊。1994年7月 ，中國教育和科研計算機網(wǎng)CERNET示范工程啟動。也就是同一年，清華北大等頂尖大學建成

17、了自己的校園網(wǎng)，實際上這些網(wǎng)絡(luò)也是中國Internet的開端。高校校園網(wǎng)從 1994年的啟動建立到現(xiàn)在的17年間，我國的網(wǎng)絡(luò)技術(shù)得到了很大的提高。其中很重要的原因就是校園網(wǎng)絡(luò)的高速發(fā)展，校園網(wǎng)絡(luò)的現(xiàn)代化程度代表了國家網(wǎng)絡(luò)整體的水平。所以建設(shè)現(xiàn)代化、人性化和高效的校園網(wǎng)絡(luò)迫在眉睫。</p><p><b>　　1.2 目的和意義</b></p><p>　　在做這次校園

18、網(wǎng)絡(luò)設(shè)計的過程中，我們學習到的不僅僅是如何設(shè)計和組建一個校園網(wǎng)絡(luò)，而且更重要的是通過這次畢業(yè)設(shè)計可以將在大學四年中所學習到的知識進行綜合利用，最后達到融會貫通。</p><p>　　學院現(xiàn)在正處于一個高速發(fā)展日益壯大的時期。每年都有更多的新同學進入學校學習，越來越多資源正處于學校的不同位置不同的環(huán)境中。在使用這些資源如圖書館的在線圖書查閱、訪問學校內(nèi)部文件服務器、登陸學校內(nèi)部網(wǎng)站等日常應用，如果無法實現(xiàn)的話,不但

19、造成了大量的現(xiàn)有資源的閑置而且隨著信息量的增大還會帶來工作效率降低等諸多弊端。所以要利用好現(xiàn)有的網(wǎng)絡(luò)資源組建一個現(xiàn)代化的校園網(wǎng)絡(luò)。</p><p>　　現(xiàn)今的網(wǎng)絡(luò)系統(tǒng)包括網(wǎng)絡(luò)交換機以及疊加其上的語音、數(shù)據(jù)、視頻裝置以及可變化的軟、硬件應用。它的開放式設(shè)計意味著更好的整體化及高品質(zhì)應用的能力。提供的帶寬可適合話音，圖像，數(shù)據(jù)的傳輸，這種帶寬結(jié)合設(shè)備廠商的優(yōu)秀網(wǎng)管模式，可以向用戶提供面對面的通訊。在建設(shè)校園網(wǎng)時，要達

20、到以下目標：</p><p>　　1．在校園內(nèi)部實現(xiàn)資源高度共享，為教學、科研、管理提供服務，為計劃、組織、管理與決策提供基礎(chǔ)信息和科學手段。</p><p>　　2．支持教育教學改革，提高教育技術(shù)的現(xiàn)代水平和教育信息化程度、為學校教師的備課、課件制作、教學演示提供網(wǎng)絡(luò)環(huán)境。</p><p>　　3．通過互聯(lián)網(wǎng)、錄像機、掃描儀、數(shù)碼相機等各種渠道獲得多媒體資料，實現(xiàn)

21、素材收集、電子備課功能。培養(yǎng)創(chuàng)新人才，提高學生收集處理信息的能力、獲取新知識的能力、分析和解決問題的能力、語言文字表達能力以及團結(jié)協(xié)作和社會活動的能力，使學生能自主學習、協(xié)商學習、發(fā)現(xiàn)探究式學習以及自我評價，為學生的全面發(fā)展創(chuàng)造相應的條件。</p><p>　　4．實現(xiàn)辦公自動化，提供與上級教育部門、社會、家庭之間通訊的出入口，提供電子函件、公告牌和教育教學信息查詢等服務，提高工作效率和管理水平。</p&g

22、t;<p>　　5．及時、準備、可靠地收集、處理、存儲、傳輸學校的教育教學信息完成與因特網(wǎng)的通訊和資源共享，實現(xiàn)社會教育、學校教育、家庭教育的有機整合。</p><p>　　6．實現(xiàn)課堂多媒體電化教學，具備適用于雙向課堂語音教學及語音室功能學習。以代替手提錄音機，實現(xiàn)音頻數(shù)字化資源共享、集中管理。</p><p>　　1.3 系統(tǒng)設(shè)計思想</p><p&g

23、t;　　采用先進成熟的技術(shù)和設(shè)計思想，運用先進的集成技術(shù)路線，以先進、實用、開放、安全、使用方便和易于操作為原則，突出系統(tǒng)功能的實用性，盡快投入使用，發(fā)揮較好的效能。</p><p>　　本系統(tǒng)在軟件配置和硬件設(shè)備，整個系統(tǒng)設(shè)計上依照以下原則確定。</p><p><b>　　1．先進性</b></p><p>　　世界上計算機技術(shù)的發(fā)展十分迅

24、速，更新?lián)Q代周期越來越短。所以，選購設(shè)備要充分注意先進性，選擇硬件要預測到未來發(fā)展方向，選擇軟件要考慮開放性，工具性和軟件集成優(yōu)勢。</p><p><b>　　2．實用性</b></p><p>　　系統(tǒng)的設(shè)計既要在相當長的時間內(nèi)保證其先進性，還應本著實用的原則，在實用的基礎(chǔ)上追求先進性，使系統(tǒng)便于聯(lián)網(wǎng)，實現(xiàn)信息資源共享。易于維護管理，具有廣泛兼容性，同時為適應我國

25、實際情況，設(shè)備應具有使用靈活、操作方便的漢字、圖形處理功能。</p><p><b>　　3．安全性</b></p><p>　　目前，計算機網(wǎng)絡(luò)都與外部網(wǎng)絡(luò)互連互通日益增加，都直接或間接與國際互連網(wǎng)連接。因此，在系統(tǒng)方案設(shè)計需考慮到系統(tǒng)的可靠性、信息安全性和保密性的要求。</p><p><b>　　4．易擴充性</b>

26、</p><p>　　系統(tǒng)規(guī)模及檔次要易于擴展，可以方便地進行設(shè)備擴充和適應工程的變化，以及靈活地進行軟件版本的更新和升級，保護用戶的投資。</p><p>　　目前，網(wǎng)絡(luò)向多平臺、多協(xié)議、異種機、異構(gòu)型網(wǎng)絡(luò)共存方向發(fā)展，其目標是將不同機器、不同操作系統(tǒng)、不同的網(wǎng)絡(luò)類型連成一個可協(xié)同工作的一個整體。所以所選網(wǎng)絡(luò)的通迅協(xié)議要符合國際標準，為將來系統(tǒng)的升級、擴展打下良好的基礎(chǔ)。</p&g

27、t;<p><b>　　5．靈活性</b></p><p>　　采用結(jié)構(gòu)化、模塊化的設(shè)計形式，滿足系統(tǒng)及用戶各種不同的應用要求，適應業(yè)務調(diào)整變化。</p><p><b>　　6．規(guī)范性</b></p><p>　　采用的技術(shù)標準按照國際標準和國家標準與規(guī)范，保證系統(tǒng)的延續(xù)性和可靠性。</p>

28、<p><b>　　7．綜合性</b></p><p>　　滿足系統(tǒng)目標與功能目標，總體方案設(shè)計合理，滿足用戶的應用要求，便于系統(tǒng)維護，以及系統(tǒng)二次開發(fā)與移植。</p><p><b>　　2需求分析</b></p><p>　　2.1 業(yè)務需求分析</p><p>　　1．骨干網(wǎng)絡(luò)高性能

29、和高穩(wěn)定可靠的需求</p><p>　　首先是高性能。高校校園網(wǎng)中用戶數(shù)在不斷增加，并且隨著網(wǎng)絡(luò)應用技術(shù)的不斷豐富，高校校園網(wǎng)應用也愈發(fā)復雜，例如FTP、VOD點播等大量數(shù)據(jù)的訪問，尤其目前流行的P2P的應用產(chǎn)生了巨大的網(wǎng)絡(luò)流量。如何進行網(wǎng)絡(luò)傳輸，對網(wǎng)絡(luò)設(shè)備的性能提出了很高的要求。實際情況中，依然使用的骨干設(shè)備是集中式表查詢和集中式轉(zhuǎn)發(fā)模式的。</p><p>　　其次是穩(wěn)定可靠性。一方面

30、，未來的社會是信息的社會，當隨著校內(nèi)師生員工的工作、科研、學習、生活、娛樂越來越離不開網(wǎng)絡(luò)（例如：無紙化辦公、網(wǎng)絡(luò)教學、視頻會議和視頻點播、網(wǎng)上購物等業(yè)務的開展），網(wǎng)絡(luò)的穩(wěn)定可靠性就顯得愈發(fā)重要——網(wǎng)絡(luò)隨便斷開幾小時也無所謂的歷史已經(jīng)過去。另一方面，在應用豐富的同時，網(wǎng)絡(luò)環(huán)境變得異常惡劣。近兩年，安全攻擊事件呈指數(shù)級上升而所需要的知識卻越來越弱化，各種攻擊工具在網(wǎng)絡(luò)上可以隨手躡來。這也及對網(wǎng)絡(luò)在網(wǎng)絡(luò)攻擊或者病毒泛濫情況下的穩(wěn)定可靠性提出

31、了挑戰(zhàn)。目前，在高校使用的設(shè)備中還存在大量早期采購的設(shè)備，這些在啟用了安全規(guī)則情況下性能急劇下降——在受到網(wǎng)絡(luò)攻擊或者病毒泛濫的時候，CPU利用率高居不下，設(shè)備穩(wěn)定性降低，很可能死機。</p><p>　　由此分析看來，隨著用戶數(shù)增加、應用的復雜，導致網(wǎng)絡(luò)流量的飛速提升，需要保證多用戶、大流量情況下骨干的高帶寬，骨干設(shè)備的線速轉(zhuǎn)發(fā)。隨著師生日常對于網(wǎng)絡(luò)的依賴性的增強，和網(wǎng)絡(luò)環(huán)境的日趨惡化，需要保證做到骨干網(wǎng)絡(luò)一定

32、級別的穩(wěn)定可靠性，如圖2.1所示。</p><p>　　圖2.1 高可靠性雙核心示意圖</p><p>　　2．方便運營管理的需求</p><p>　　首先，校園網(wǎng)需要進行合理的運營。第一、校園網(wǎng)的投資較大，加上每年的維護成本，對于學校并不是一筆可以忽視的開支；第二，根據(jù)各校的情況，進行合理的運營收費，依靠市場化的手段能夠推動校園網(wǎng)的運作規(guī)范化和提高假設(shè)水平。<

33、;/p><p>　　其次，有效的管理可以從用戶管理和設(shè)備管理兩方面來看。</p><p>　　對于用戶管理，最重要的是能夠?qū)崿F(xiàn)事前的身份認證和準確定位，事中的實時處理、事后的完善日志審計。事前的認證和定位是指可嚴格實現(xiàn)用戶身份證識別，根據(jù)用戶帳號、密碼、MAC地址、IP地址、交換機IP、交換機端口號、用戶所在的VLAN的靈活組合，來識別用戶身份。將網(wǎng)絡(luò)中的虛擬用戶和生活中的真實用戶相對應；事中

34、的實施處理是指對于正在使用網(wǎng)絡(luò)的用戶，如果出現(xiàn)私自撥號上網(wǎng)、使用代理、更改IP地址等，認證計費系統(tǒng)會強制用戶下線。對于感染病毒，出現(xiàn)安全事件的用戶，結(jié)合全局安全通過安全聯(lián)動來進行隔離、阻斷和修復，以保證校園網(wǎng)的安全。事后的日志審計時指紀律用戶上網(wǎng)的詳細信息（包括用戶名、IP、MAC等）及完善的用戶訪問外網(wǎng)的記錄（包括源IP、目的IP、源端口、目的端口、訪問時間），一旦出現(xiàn)安全事件，可以進行快速完整的審計，迅速定位到人。</p>

35、;<p>　　對于設(shè)備管理，需要的是統(tǒng)一有效的網(wǎng)絡(luò)管理系統(tǒng)。能夠直觀全面的監(jiān)控整個網(wǎng)絡(luò)和各種設(shè)備的運行狀態(tài)，記錄和深入分析網(wǎng)絡(luò)流量，及時報告各種故障和性能問題，協(xié)助管理員找到故障的起源，并且對網(wǎng)絡(luò)的性能變化和故障發(fā)生提前預測。</p><p>　　高校用戶數(shù)和網(wǎng)絡(luò)節(jié)點數(shù)眾多，因此難以一體化管理眾多的設(shè)備和用戶，出現(xiàn)網(wǎng)絡(luò)故障無法快速定位、IP地址盜用、IP地址沖突等問題日益嚴重，如何利用有限的人力物力

36、對網(wǎng)絡(luò)進行高效管理也成為學校考慮的著重點。</p><p><b>　　3．接入可控需求</b></p><p>　　首先，要能實現(xiàn)各種方式的靈活接入。一種是大多數(shù)學校采用的有線方式，這可以在樓棟建設(shè)、裝修過程中完成布線；另一種就是無線接入方式的補充或冗余。寢室區(qū)采用無線覆蓋主要針對：1）某些不方便布線的樓棟或者布線成本太高的樓棟。2）方便學生上網(wǎng)，擺脫有線束縛。&l

37、t;/p><p>　　其次，要能對各種接入都能進行有效的控制。隨著技術(shù)的發(fā)展，網(wǎng)絡(luò)的接入將形成有線+無線的綜合環(huán)境。這就要求不僅能夠?qū)τ芯€用戶進行準入控制，還要對無線用戶進行接入的認證，同樣的IPv4和 IPv6兩種環(huán)境下也都能要保證只有申請開通的合法用戶才可以使用網(wǎng)絡(luò)。接入可控的需求還體現(xiàn)在以下兩個方面。</p><p>　　能夠?qū)尤胗脩暨M行帳號與IP、MAC、端口等多元素綁定，以唯一確定

38、用戶身份，同時做到準確定位。</p><p>　　針對目前用戶沉迷于網(wǎng)絡(luò)。以至于影響學業(yè)的實際情況，需要能夠?qū)τ脩舻慕尤肷暇W(wǎng)時間段做靈活的控制，如圖2.2所示。</p><p>　　圖2.2 網(wǎng)絡(luò)接入控制示意圖</p><p><b>　　4．計費需求</b></p><p>　　首先，很重要一點就是要有一套能夠符合我學

39、校運營管理特點的計費策略。提供針對不同用戶的不同計費需求的靈活計費策略的支持，詳細來說包括：1）對于上網(wǎng)時間較長的可以采取包年、包月、包學期等方式；2）對于上網(wǎng)時間不是特別長的，可能需要計時、或者計天的方式；3）可能有師生認為自己僅僅偶而上網(wǎng)看看網(wǎng)頁，聊聊天，自己流量不大，很希望能夠按流量或者計天但是是當天不用不扣費的模式；4）學生到了寒暑假，或者老師外出培訓、會議一段時間，就會需要一次交費資助分段開通的計費策略，這樣能夠最大化的保障用

40、戶的利益。 </p><p><b>　　5．網(wǎng)絡(luò)安全的需求</b></p><p>　　1）高校面臨著嚴峻網(wǎng)絡(luò)安全形勢。越來越多的報道表明高校校園網(wǎng)已逐漸成為黑客的聚集地。這一方面是由于網(wǎng)絡(luò)病毒、黑客工具的泛濫，用戶安全意識的淡薄，而另一方面，高校學生這群精力充沛的年輕一族對于新鮮事物有著強烈的好奇心，他們有著探索的高智商和沖動。如何保障校園網(wǎng)絡(luò)的安全成為校園網(wǎng)絡(luò)的

41、安全成為高校校園網(wǎng)絡(luò)建設(shè)時不得不考慮的問題。</p><p>　　2）網(wǎng)絡(luò)安全一定是全方位的安全。首先，網(wǎng)絡(luò)出口、數(shù)據(jù)中心、服務器等重點區(qū)域要做到的安全過濾；其次，不管接入設(shè)備，還是骨干設(shè)備，設(shè)備本身需要具備強的安全防護能力，并且安全策略部署不能影響網(wǎng)絡(luò)的性能，不造成網(wǎng)絡(luò)單點故障；最后，要充分考慮全局統(tǒng)一的安全部署，需要能夠從準入控制，到對網(wǎng)絡(luò)安全事件進行深度探測，到現(xiàn)有安全設(shè)備有機的聯(lián)動，到對安全事件觸發(fā)源的準

42、確定位和根據(jù)身份進行隔離。修復措施，從而能對網(wǎng)絡(luò)形成一個由內(nèi)至外的整體安全構(gòu)架。</p><p>　　所以，在對外出口等重點區(qū)域進行安全部署的同時，要更加全面的考慮安全問題，讓整個網(wǎng)絡(luò)從設(shè)備級的安全上升一個臺階，擺脫僅僅局部加強某個單點的安全強度的手段。</p><p>　　2.2 用戶需求分析</p><p>　　1．隨時隨地接入的需求</p>&l

43、t;p>　　首先，高校師生對于網(wǎng)絡(luò)接入有著強烈的需求。隨著近年來國家對高等教育的大力發(fā)展支持，高校在校生人數(shù)普及呈現(xiàn)上升趨勢。是由于國家經(jīng)濟實力的增強，技術(shù)的發(fā)展帶來的低成本，導致電腦的普及率也越來越高（據(jù)不完全統(tǒng)計，在很多的高校， PC的擁有率可以達到70%）。</p><p>　　其次，在部分熱點區(qū)域，或者難以布線的區(qū)域需要有一種行之有效的高性價比的接入方式。也就是采用無線作為補充或者備份。比如廣場/操

44、場、閱覽室、階梯教室等，這些區(qū)域?qū)τ诠P記本用戶需要能夠提供接入服務，而這是有線接入是行不通的。又比如校內(nèi)的某棟較偏遠的辦公樓或者某幾棟家屬樓，上網(wǎng)用戶有限，進行獨立布線成本較高，所以，同樣需求進行無線的接入方式。</p><p>　　簡言之，網(wǎng)絡(luò)作為一個底層的平臺需要師生能夠隨時隨地的方便的接入。這就強調(diào)有線網(wǎng)絡(luò)和無線網(wǎng)絡(luò)的集合，適合無線網(wǎng)絡(luò)的地方用無線網(wǎng)絡(luò)，適合有線網(wǎng)絡(luò)的地方用有線網(wǎng)絡(luò)。當然，兩者可以有一定的冗

45、余，甚至部分區(qū)域會采用無線網(wǎng)絡(luò)進行備份。如圖2.3所示。</p><p>　　圖2.3 多種接入示意圖</p><p><b>　　2．網(wǎng)絡(luò)安全需求</b></p><p>　　近年來、網(wǎng)絡(luò)病毒泛濫、安全事件頻頻發(fā)生。拿2010年上半年為例，蠕蟲、木馬、間諜軟件等惡意代碼在網(wǎng)絡(luò)上的傳播和活動頻繁。據(jù)CNCERT/CC統(tǒng)計，從2010年1月1日到

46、2010年6月30日，全球共新增蠕蟲、木馬、病毒等惡意代碼11851種，是前一年同期增長數(shù)量的1.2倍。安全將會越來越成為我們網(wǎng)絡(luò)穩(wěn)定可靠運營的一個保障。</p><p>　　那么，高校寢室網(wǎng)絡(luò)這樣一個特殊的用戶群環(huán)境中，如何保證網(wǎng)絡(luò)的安全運行？這就提出了“被動式安全”和“主動式安全”的需求。</p><p>　　首先，在發(fā)生安全事件的時候，我們要有應對措施。第一，需要設(shè)備本身具備強大的安

47、全防護能力（如：防Dos攻擊，防DHCP攻擊，方掃描等）；第二，某學生在網(wǎng)絡(luò)發(fā)布不良言論或者進行網(wǎng)絡(luò)攻擊后，我們要能夠通過日志審查，精確定位到個人。由于都是事件發(fā)生后才采取的應對措施，所以稱之為“被動式安全”。</p><p>　　其次，安全一定是安全局的安全，要能夠?qū)W(wǎng)絡(luò)行為進行實時地深入的數(shù)據(jù)監(jiān)測，并在局部出現(xiàn)病毒或者攻擊后，對攻擊源/病毒源采取措施，達到防治病毒擴散的效果。這些措施包括了；針對具體源頭進行的

48、警告信息發(fā)送，隔離到安全區(qū)域，并自動、手動下載升級補丁，如圖2.4所示。</p><p>　　圖2.4 網(wǎng)絡(luò)安全示意圖</p><p>　　3．寢室網(wǎng)絡(luò)高性能需求</p><p>　　1）今年校內(nèi)注冊上網(wǎng)用戶爆炸式增長。這主要是由于高校的招生人數(shù)的增加，以及電腦的日益普及。因此，需要系統(tǒng)認證計費效率，用戶的認證和計費不會對網(wǎng)絡(luò)性能造成瓶頸。與此同時，系統(tǒng)需要能支持幾

49、千級以上用戶同時在線并正常運行，而用戶不會感覺網(wǎng)絡(luò)速度慢。</p><p>　　2）寢室網(wǎng)的一個特點就是：上網(wǎng)的時間相對比較集中（主要集中在晚間和節(jié)假日），所以在此時段網(wǎng)絡(luò)訪問流量較大，在一些投入數(shù)的時候可能會出現(xiàn)大量的網(wǎng)絡(luò)突發(fā)流量。這對系統(tǒng)保持高性能，提供可靠運行提出了更高的要求。</p><p>　　2.3 技術(shù)需求分析</p><p>　　1．多出口部署的需要

50、</p><p>　　對于出口，最主要有兩個方面的需求：</p><p>　　一方面、需要進行多出口的策略部署。首先，可以解決資源訪問速度問題。由于CERNET與電信等運營商，以及運營商之間的互聯(lián)帶寬較小的原因，并且全國只在北京、上海、廣州建立有互聯(lián)中心，而實際上互聯(lián)網(wǎng)上大多數(shù)的資源都在電信，這樣的結(jié)果是，從教育網(wǎng)瀏覽電信資源就會很慢；其次，可以解決學校的費用問題。這是因為教育網(wǎng)規(guī)定了其免

51、費訪問的地址列表，在地址列表之外的都按照一定的公式計算費用。于此對應的是，電信等運營商提供的線路大多數(shù)是包月不限流量。</p><p>　　所以，也可以得出多出口部署的期望結(jié)果是：根據(jù)速度來選擇訪問線路走教育網(wǎng)還是電信還是網(wǎng)通等ISP；根據(jù)費用來判斷訪問線路走教育網(wǎng)還是非教育網(wǎng)。</p><p>　　另一方面，對于多出口的設(shè)備本身有一定的要求。隨著應用的增加，很多學校的出口流量也在不斷增加

52、，加上出口設(shè)備很多時候需要進行NAT的轉(zhuǎn)換，所以對于出口設(shè)備的性能，穩(wěn)定性以及可靠性提出了較高的要求，如圖2.5所示。</p><p>　　圖2.5 多出口部署示意圖</p><p>　　2．強大數(shù)據(jù)中心建立的需求</p><p>　　1）眾多高校仍然采用的是 直接存儲在服務器硬盤上的方式，也就是我們所說的直連存儲(DAS)。這種方式存在眾多的問題。1、不同的數(shù)據(jù)存

53、儲在不同服務器的硬盤上，造成有些服務器硬盤空間已滿，而有些服務器硬盤空間卻閑置。空間擴展比較困難，并且服務器之間無法進行空間共享。2、隨著應用的不斷豐富，訪問量的增加，辦公、教學、科研對網(wǎng)絡(luò)的依賴，服務器的性能收到強烈的考驗。最終可能成為性能的瓶頸，如圖2.6所示。</p><p>　　圖2.6 服務器數(shù)據(jù)存儲與備份意圖</p><p>　　2）對著計算機信息系統(tǒng)的不斷發(fā)展，用戶的核心業(yè)務

54、越來越依賴于信息系統(tǒng)的可靠運行，信息系統(tǒng)中的關(guān)鍵業(yè)務數(shù)據(jù)已經(jīng)成為用戶最為重要的資產(chǎn)。因此，對關(guān)鍵的業(yè)務數(shù)據(jù)進行備份保護刻不容緩。但是當前絕大多數(shù)國內(nèi)高校，對于關(guān)鍵數(shù)據(jù)，比如財務數(shù)據(jù)、學籍/檔案、學術(shù)論文等資料還沒有進行有效的備份或容災。一旦數(shù)據(jù)毀壞/丟失，后果不堪設(shè)想，如圖2.7所示。</p><p>　　圖2.7 異地容災示意圖</p><p>　　也正是基于對存在的問題的認識和目前各種

55、應用帶來的數(shù)據(jù)存儲的實際需求，很多高校已經(jīng)開始進行數(shù)據(jù)中心的建立，那么數(shù)據(jù)中心建設(shè)，應該到怎樣的目標？數(shù)據(jù)中心的存儲設(shè)備應該如何選擇？都是需要重點考慮的問題。</p><p><b>　　3．過度的要求</b></p><p>　　中國下一代互聯(lián)網(wǎng)絡(luò)示范工程CNGI是實施我國下一代互聯(lián)網(wǎng)發(fā)展戰(zhàn)略的起步工程，由國家發(fā)改委、科技部、信息產(chǎn)業(yè)部、教育部、中科院等八部委聯(lián)合領(lǐng)

56、導。2001年CERNET（中國教育科研網(wǎng)）提出建設(shè)CERNET2計劃。2003年12月，國家發(fā)改委批準了中國下一代互聯(lián)網(wǎng)示范工程CNGI建設(shè)項目。經(jīng)過兩年多的建設(shè)，2006年10月，CERNET2通過了10個原始領(lǐng)先的項目鑒定委員的鑒定驗收，整體平達到了世界領(lǐng)先水平?？梢灶A見的是IPV6是必然的趨勢。而學校積極主動的應對IPV6，有利于提升學校的應用水平和科研水平。并為IPV6真正大規(guī)模部署做好比要的技術(shù)儲備。實施上，各個高校在網(wǎng)絡(luò)改

57、造，設(shè)備采購的時候都在考慮對IPV6的支持。并且值得關(guān)心的五難題是：在向IPV6過度的階段，如何充分利用現(xiàn)有設(shè)備，保護投資，該采用何種部署策略，保證應用的平滑過渡</p><p>　　4．網(wǎng)絡(luò)設(shè)備的選擇原則</p><p>　　1）安全、穩(wěn)定、可靠</p><p>　　作為整個校園網(wǎng)絡(luò)系統(tǒng)的硬件基礎(chǔ)，網(wǎng)絡(luò)設(shè)備必須是具備安全性、穩(wěn)定性和可靠性的特點。這是網(wǎng)絡(luò)系統(tǒng)穩(wěn)定運

58、行的最基本條件。最好是經(jīng)過相當長時間，在世界范圍內(nèi)被廣泛應用的網(wǎng)絡(luò)產(chǎn)品，所以在選擇產(chǎn)品時選用知名廠商的產(chǎn)品。</p><p><b>　　2）技術(shù)先進性</b></p><p>　　網(wǎng)絡(luò)設(shè)備僅僅具有安全、穩(wěn)定和可靠的特點是不夠的。作為高科技的產(chǎn)品，還應該具有技術(shù)先進性。在選擇網(wǎng)絡(luò)設(shè)備應該采用當今較先進的技術(shù)，能夠保持該設(shè)備在相當長的一段時間內(nèi)不會因為技術(shù)落后而被淘汰。

59、同時，在網(wǎng)絡(luò)規(guī)模進一步擴大，該設(shè)備不能承擔繁重的負荷時，能夠降級使用。</p><p><b>　　3）易于擴展性</b></p><p>　　由于信息技術(shù)和人們對于新技術(shù)的需求發(fā)展都非常迅速，為了避免不必要的重復投資，應選擇具有一定擴展能力的設(shè)備，能夠保證在網(wǎng)絡(luò)規(guī)模逐漸擴大的時候，不需要增加的設(shè)備，而只需要增加一定數(shù)量的模塊就行。最好能夠做到在網(wǎng)絡(luò)技術(shù)進一步發(fā)展，現(xiàn)

60、有模塊不支持新技術(shù)的情況下，只需要更換相應模塊，而不需要更換整個設(shè)備。</p><p><b>　　4）管理和維護方便</b></p><p>　　先進的設(shè)備必須配合先進的管理和維護的方法，才能夠發(fā)揮最大的作用。所以，在選擇設(shè)備時必須支持現(xiàn)有的、常用的網(wǎng)絡(luò)管理協(xié)議和多種網(wǎng)絡(luò)管理軟件，便于管理人員的維護。</p><p>　　3 校園網(wǎng)絡(luò)的結(jié)構(gòu)設(shè)

61、計</p><p>　　3.1 配置核心VLAN端口地址 </p><p>　　VLAN是一種通過將局域網(wǎng)內(nèi)的設(shè)備邏輯地而不是物理地劃分成一個個不同的網(wǎng)段，從而實現(xiàn)虛擬工作組的技術(shù)。不同VLAN之間的數(shù)據(jù)傳輸是通過網(wǎng)絡(luò)層的路由來實現(xiàn)的，因此，使用VLAN技術(shù)結(jié)合數(shù)據(jù)鏈路層和網(wǎng)絡(luò)層的交換設(shè)備，可搭建安全可靠的網(wǎng)絡(luò)。</p><p>　　劃分V

62、LAN的目的一是提高網(wǎng)絡(luò)安全性，不同VLAN的數(shù)據(jù)不能自由交流，需要接受第三層的檢驗。因此，在一定程度上加強了虛擬網(wǎng)間的隔離，有效防止外部用戶入侵，提高了安全性。二是隔離廣播信息，劃分VLAN后，廣播域縮小，有利于改善網(wǎng)絡(luò)性能，能夠?qū)V播風暴控制在一個VLAN內(nèi)部，同時使網(wǎng)絡(luò)管理趨于簡單。如圖3.1所示。</p><p>　　圖?3.1VLAN通信模型</p><p><b>　

63、　S3560</b></p><p><b>　　Switch>en</b></p><p>　　Switch#vlan database</p><p>　　Switch(vlan)#vlan 10</p><p>　　VLAN 10 added:</p><p>　　Name

64、: VLAN0010</p><p>　　Switch(vlan)#vlan 20</p><p>　　VLAN 20 added:</p><p>　　Name: VLAN0020</p><p>　　Switch(vlan)#exit</p><p>　　Switch#conf t</p><p

65、>　　Enter configuration commands, one per line. End with CNTL/Z.</p><p>　　Switch(config)#interface fa0/1</p><p>　　Switch(config-if)#switchport access vlan 10</p><p>　　Switch(conf

66、ig-if)#exit</p><p>　　Switch(config)#interface fa0/2</p><p>　　Switch(config-if)#switchport access vlan 20</p><p>　　Switch(config-if)#end</p><p>　　Switch#conf t</p>

67、<p>　　Switch(config)#interface vlan 10</p><p>　　Switch(config-if)#ip address 192.168.1.1 255.255.2555.0</p><p>　　Switch(config-if)#no shutdown </p><p>　　Switch(config-if)#ex

68、it</p><p>　　Switch(config)#interface vlan 20</p><p>　　Switch(config-if)#ip address 192.168.3.1 255.255.255.0</p><p>　　Switch(config-if)#no shutdown </p><p>　　Switch(con

69、fig-if)#end</p><p><b>　　R1</b></p><p><b>　　Router>en</b></p><p>　　Router#conf t</p><p>　　Router(config)#hostname R1</p><p>　　R1(

70、config)#interface fa0/0</p><p>　　R1(config-if)#no shutdown </p><p>　　R1(config-if)#ip address 192.168.3.2 255.255.255.0</p><p>　　R1(config-if)#exit</p><p>　　R1(config)#

71、interface se2/0</p><p>　　R1(config-if)#no shutdown </p><p>　　R1(config-if)#ip address 192.168.4.1 255.255.255.0</p><p>　　R1(config-if)#clock rate 64000</p><p>　　R1(conf

72、ig-if)#end</p><p><b>　　R1#</b></p><p><b>　　R2</b></p><p><b>　　Router>en</b></p><p>　　Router#conf t</p><p>　　Router(c

73、onfig)#hostname R2</p><p>　　R2(config)#interface fa0/0</p><p>　　R2(config-if)#no shutdown </p><p>　　R2(config-if)#ip address 192.168.2.1 255.255.255.0</p><p>　　R2(confi

74、g-if)#exit</p><p>　　R2(config)#interface se2/0</p><p>　　R2(config-if)#no shutdown </p><p>　　R2(config-if)#ip address 192.168.4.2 255.255.255.0</p><p>　　R2(config-if)#en

75、d</p><p><b>　　測試網(wǎng)絡(luò)的連通性。</b></p><p>　　(1)PC1主機ping主機PC2的結(jié)果如下所示：</p><p>　?。?）PC2主機ping主機PC1的結(jié)果如下所示：</p><p>　　3.2 IP擴展訪問</p><p>　　訪問列表中定義的典型規(guī)則主要有以

76、下：源地址、目標地址、上層協(xié)議、時間區(qū)域；擴展IP訪問列表（編號100-199、2000、2699）使用以上四種組合來進行轉(zhuǎn)發(fā)或阻斷分組；可以根據(jù)數(shù)據(jù)包的源IP、目的IP、源端口、目的端口、協(xié)議來定義規(guī)則，進行數(shù)據(jù)包的過濾。</p><p>　　擴展IP訪問列表的配置包括以下兩步：</p><p>　　定義擴展IP訪問列表；將擴展IP訪問列表應用于特定接口上。如圖3.2所示</p&g

77、t;<p>　　圖?3.2 IP擴展訪問模型</p><p>　　路由器R0的基本配置</p><p><b>　　Router>en</b></p><p>　　Router#conf t</p><p>　　Router(config)#hostname R0</p><p&g

78、t;　　R0(config)#interface fa0/0</p><p>　　R0(config-if)#ip address 172.16.1.1 255.255.255.0</p><p>　　R0(config-if)#no shutdown </p><p>　　R0(config-if)#exit</p><p>　　R0(co

79、nfig)#interface fa1/0</p><p>　　R0(config-if)#ip address 172.16.2.1 255.255.255.0</p><p>　　R0(config-if)#no shutdown</p><p>　　路由器R1的基本配置</p><p><b>　　Router>en&l

80、t;/b></p><p>　　Router#conf t</p><p>　　Router(config)#hostname R1</p><p>　　R1(config)#interface fa1/0</p><p>　　R1(config-if)#ip address 172.16.2.2 255.255.255.0</p

81、><p>　　R1(config-if)#no shutdown </p><p>　　R1(config)#interface se2/0</p><p>　　R1(config-if)#ip address 172.16.3.1 255.255.255.0</p><p>　　R1(config-if)#no shutdown </p&

82、gt;<p>　　R1(config-if)#clock rate 64000</p><p>　　R1(config-if)#</p><p>　　路由器R2的基本配置</p><p><b>　　Router>en</b></p><p>　　Router#conf t</p>&l

83、t;p>　　Router(config)#hostname R2</p><p>　　R2(config)#interface se2/0</p><p>　　R2(config-if)#ip address 172.16.3.2 255.255.255.0</p><p>　　R2(config-if)#no shutdown </p><

84、;p>　　R2(config-if)#exit</p><p>　　R2(config)#interface fa0/0</p><p>　　R2(config-if)#ip address 172.16.4.1 255.255.255.0</p><p>　　R2(config-if)#no shutdown</p><p>　　路由

85、器R0上配置默認路由</p><p>　　R0(config-if)#exit</p><p>　　R0(config)#ip route 0.0.0.0 0.0.0.0 172.16.2.2</p><p>　　路由器R2上配置默認路由</p><p>　　R2(config-if)#exit</p><p>　　R

86、2(config)#ip route 0.0.0.0 0.0.0.0 172.16.3.1</p><p>　　路由器R1上配置靜態(tài)路由</p><p>　　R1(config-if)#exit</p><p>　　R1(config)#ip route 172.16.1.0 255.255.255.0 172.16.2.1</p><p>

87、　　R1(config)#ip route 172.16.4.0 255.255.255.0 172.16.3.2</p><p>　　測試PC機之間的連通性</p><p><b>　　PC0</b></p><p>　　ping 172.16.4.2(success)</p><p>　　Web瀏覽器：http://

88、172.16.4.2(success)</p><p>　　路由器R1上配置擴展訪問控制列表</p><p>　　R1(config)#access-list 100 permit tcp host 172.16.1.2 host 172.16.4.2 eq www</p><p>　　R1(config)#access-list 100 deny icmp ho

89、st 172.16.1.2 host 172.16.4.2 echo</p><p>　　R1(config)#interface se2/0</p><p>　　R1(config-if)#ip access-group 100 out</p><p>　　R1(config-if)#end</p><p>　　重新測試PC機之間的連通性&

90、lt;/p><p><b>　　PC0</b></p><p>　　Web瀏覽器：http://172.16.4.2(success)</p><p>　　ping 172.16.4.2(Reply from 172.16.2.2: Destination host unreachable)</p><p>　　3.3 靜態(tài)

91、NAT配置</p><p>　　靜態(tài)轉(zhuǎn)換是指將內(nèi)部網(wǎng)絡(luò)的私有IP地址轉(zhuǎn)換為公有IP地址，IP地址對是一對一的，是一成不變的，某個私有IP地址只轉(zhuǎn)換為某個公有IP地址。借助于靜態(tài)轉(zhuǎn)換，可以實現(xiàn)外部網(wǎng)絡(luò)對內(nèi)部網(wǎng)絡(luò)中某些特定設(shè)備(如服務器)的訪問。</p><p>　　靜態(tài) NAT 使用本地地址與全局地址的一對一映射，這些映射保持不變。靜態(tài) NAT 對于必須具有一致的地址、可從 Internet

92、 訪問的 Web 服務器或主機特別有用。這些內(nèi)部主機可能是企業(yè)服務器或網(wǎng)絡(luò)設(shè)備。</p><p>　　靜態(tài) NAT 為內(nèi)部地址與外部地址的一對一映射。靜態(tài) NAT 允許外部設(shè)備發(fā)起與內(nèi)部設(shè)備的連接。配置靜態(tài) NAT 轉(zhuǎn)換很簡單。首先需要定義要轉(zhuǎn)換的地址，然后在適當?shù)慕涌谏吓渲?NAT。從指定的 IP 地址到達內(nèi)部接口的數(shù)據(jù)包需經(jīng)過轉(zhuǎn)換。外部接口收到的以指定 IP 地址為目的地的數(shù)據(jù)包也需經(jīng)過轉(zhuǎn)換。如圖3.3所示&

93、lt;/p><p>　　圖?3.3 靜態(tài)NAT配置模型</p><p>　　路由器R1的基本配置。</p><p>　　Router#configure terminal </p><p>　　Router(config)#int f0/1 </p><p>　　Router(config-if)#

94、ip address 210.28.1.2 255.255.255.0</p><p>　　Router(config-if)#no shut </p><p>　　Router(config-if)#exit</p><p>　　Router(config)#int f0/0 </p><p>　　Router(co

95、nfig-if)#ip address 172.16.1.1 255.255.255.0 </p><p>　　Router(config-if)#no shut </p><p>　　Router(config-if)#exit</p><p>　　Router(config)#ip route 0.0.0.0 0.0.0.0 f0/1</p>

96、;<p>　　路由器R2 的基本配置。</p><p>　　Router#configure terminal </p><p>　　Router(config)#in f0/0 </p><p>　　Router(config-if)#ip address 192.168.1.1 255.255.255.0 </p&g

97、t;<p>　　Router(config-if)#exit</p><p>　　Router(config)#in f0/1 </p><p>　　Router(config-if)#ip address 210.28.1.1 255.255.255.0 </p><p>　　Router(config-if)#no shut

98、 </p><p>　　Router(config-if)#exit</p><p>　　Router(config)#ip route 0.0.0.0 0.0.0.0 f0/1</p><p><b>　　sw1的基本配置</b></p><p>　　Switch>en &l

99、t;/p><p>　　Switch#conf terminal </p><p>　　Switch(config)#in f0/24 </p><p>　　Switch(config-if)#switchport mode trunk </p><p>　　Switch(config-if)#exit</p>

100、;<p>　　在路由器 R1上配置靜態(tài) NAT。 </p><p>　　R1（config）# interface fastethernet 0/0 </p><p>　　R1（config-if）#ip nat inside </p><p>　　R1（config-if）#exit </p><p>　　R1（config

101、）# interface fastethernet 0/1 </p><p>　　R1（config-if）#ip nat outside//將 fa0/1 </p><p>　　R1（config-if）#exit </p><p>　　R1（config）#ip nat inside source static 172.16.1.10 210.28.1.10

102、</p><p>　　R1（config）#ip nat inside source static 172.16.1.11 210.28.1.11 </p><p>　　R1（config）#end </p><p><b>　　驗證信息：</b></p><p>　　PC1 ping Internet</p&g

103、t;<p>　　PC1>ping 192.168.1.10</p><p>　　4 校園網(wǎng)絡(luò)的主體拓撲結(jié)構(gòu)</p><p>　　根據(jù)設(shè)想的校園網(wǎng)絡(luò)結(jié)構(gòu)，我是將校園網(wǎng)絡(luò)分成了3塊：教師宿舍、教學樓機房以及教學辦公區(qū)。各家的電腦隔離但都能上網(wǎng)格，各家電腦地址邦定，教師宿舍能訪問教學機房的教學服務器，但不能訪問OFFICE， OFFICE 能訪問教學樓機房的教師資源服務器，但

104、不能訪問教師宿舍。.教學樓機房不能訪問教師宿舍和OFFICE。如圖4.1所示。</p><p>　　圖?4.1 校園網(wǎng)絡(luò)的主體拓撲結(jié)構(gòu)</p><p>　　1．思路：要求各家的電腦隔離，用交換機劃分VLAN 可實現(xiàn)，但開銷太大，故使教師宿舍的PC機在不同的網(wǎng)段內(nèi)也可實現(xiàn)隔離的作用，規(guī)劃的IP地址如上圖所示， PC4-PC7 配置IP 地址和PC8 相似，規(guī)劃方案如下：</p>

105、<p>　　PC1：192.168.1.1/30 PC2：192.168.1.5/30 </p><p>　　PC3：192.168.1.9/30 PC4；192.168.2.2/24</p><p>　　PC5：192.168.2.3/24 PC6：192.168.3.2/24</p><p

106、>　　PC7：192.168.3.3/24 PC8：192.168.5.2/24</p><p>　　R1 和R2 各端口IP 地址：</p><p>　　E0/0:192.168.1.2/30 e0/2:192.168.3.1/24</p><p>　　E0/0:192.168.1.9/30

107、 s1/0:202.98.4.1/24(內(nèi)部合法地址)</p><p>　　E0/0:192.168.1.5/30 s0:202.98.4.2/24(內(nèi)部合法地址)</p><p>　　E0/1:192.168.2.1/24 e0:192.168.5.1/24</p><p>　　2.各家電腦地址邦定及重地址配置：在

108、路由器R1上配置命令如下：</p><p><b>　　R1〉en</b></p><p><b>　　R1#conf t</b></p><p>　　R1(config)#int e0/0</p><p>　　R1(config-if)#ip address 192.168.1.1 255.255

109、.255.252 sencondly</p><p>　　R1(config-if)#ip address 192.168.1.5 255.255.255.252 sencondly</p><p>　　R1(config-if)#ip address 192.168.1.9255.255.255.252 sencondly</p><p>　　R1(config-

110、if)#arp 192.168.1.1 00E0.E150.2184 arpa</p><p>　　R1(config-if)#arp 192.168.1.5 0015.F22C.B01D arpa</p><p>　　R1(config-if)#arp 192.168.1.9 00E0.E1S0.221E arpa</p><p>　　R1(config-i

111、f)#no shut</p><p>　　3.配置路由協(xié)議及訪問控制列表，R1和R2上的配置如下：(只公布公用地址)</p><p><b>　　R1:</b></p><p>　　R1(config)#route rip </p><p>　　R1(config-route)#version 2</p>

112、<p>　　R1(config-route)#network 192.168.4.0</p><p>　　R1(config-route)#no auto-summary</p><p>　　R1(config-route)#exit</p><p><b>　　R2:</b></p><p>　　R2(con

113、fig)#route rip </p><p>　　R2(config-route)#version 2</p><p>　　R2(config-route)#network 192.168.4.0</p><p>　　R2(config-route)#network 192.168.5.0</p><p>　　R2(config-route

114、)#no auto-summary</p><p>　　R2(config-route)#exit</p><p>　　4.配置訪問控制列表：</p><p>　　1）要求教師宿舍能訪問教學機房的教學服務器，但不能訪問OFFICE </p><p><b>　　R1:</b></p><p>