计算机科学与技术论文

局域网设计1 前言随着现代科技的发展及计算机技术与通讯技术的结合网络院校规模的不断扩大，设计一个功能强大内容丰富的局域网已经越来越迫切。本次局域网设计依据南阳理工学院软件学院整座教学楼为设计对象，根据教学楼的房间布局对软件学院教学工作地点进行具体可行的局域网设计。1.1 局域网设计背景软件学院15号教学楼主要用于学生上课和老师教学，由于学院性质特殊，对计算机网络要求较其他院系高，这就在局域网设计上提出更高的目标。教学楼的具体情况如下：整栋大楼共有七层（包含地下室），其中地下室为软件开发基地（有电脑将近300台，分为14个基地），其它楼层包括教师办公室、会议室、实验室，多媒体教室，普通教室。整个楼层终端突破1000台，每个网络广播流量比较大。要求每个实验室一个网络，教师办公室一个网络，所有多媒体教室一个网络，各个网络间具有快速交换和连接互联网功能，对网络资源的访问提供完善的权限控制，信息网络的建设在实现与校园网外部资源共享的同时，需要有效隔离不安全信息，保证校园网内外的安全交流。此外，基于成本控制考虑，要求方案必须具有良好的性价比，在降低资金投入的同时，又能获得高性能的网络，使专项资金得到物超所值的回报。1.2 可行性分析1.2.1 技术可行性局域网的组建硬件搭建就是网线的架构，网络的连通只是需要安装一些协议，对网络的配置需要一台便携计算机就可。Windows服务器的架设也是基础的知识。要求都很简单，操作上没有太大的复杂性，人员数量要求也不是十分严格。因此，从技术上考虑，系统的实现是不存在问题的，是可行的。1.2.2 经济可行性局域网设计经济要求成本都是很低的，综合布线原则根据教学楼的实际情况而定，网络传输介质基本上使用的都是五类双绞线，交换机、服务器使用数量小且使用的都是成本较低的机器。同时局域网搭建好以后，在经济上来说可以带来更大的经济效益，节省资金。因此从经济上考虑，整个项目是可行的。1.2.3 使用可行性本次局域网的设计，会对软件学院教学工作有很大的改进。不仅网络的规模扩大，网络质量大幅度提高，网络的吞吐量增大，彼此之间通信更加容易，而且管理员管理方便，教师与学生之间无论沟通和互动都会变得没有距离。作为小型的楼层局域网设计，可以利用现有资源，使用的新的资源则是相当少的，无论从硬件还是软件分析都能够达到局域网设计的基本要求，总的来说，局域网设计这个项目是十分可行的。2 需求分析2.1 编写目的对用户需求的完全理解对于更好的实现网络服务是至关重要的，需求说明任务是发现、规范的过程，有益于完善网络环境，便于网络服务配置过程中的控制和管理，便于服务器故障的维护和修理，便于提高网络质量，便于管理人员、维护人员、组建人员之间的交流、协作，并作为工作成果的原始依据，而且在升级网络和改造网络环境时提供初始模板。用户通过需求分析说明书在分析阶段即可初步判定网络环境能否满足其原来的期望，在需求分析完成后，如果用户追加需求，那么需求分析说明书将用于确定追加需求是否为新需求。如果是，网络人员必须针对新需求进行需求分析，扩充需求规格说明书，进行网络再设计。2.2 运行平台以及硬件规划(1)网卡 选择10Mb/s或100Mb/s自适应的PCI网卡，单一接口即可。(2)交换机 根据每个楼层房间数目，可选择多个端口（8个、16个、24个）的二层交换机，中心交换机(3)网线和RJ-45接头 局域网中常用的非屏蔽5类4对双绞线。水晶头的材料要求具有较好的可塑性，在压制时不会断裂。(4)操作系统 Windows2003系统同时添加IIS6.0组件。(5)服务器 小型服务器或配置很高的个人PC机2.3 网络需求描述(1)将整栋教学楼通过网络中心连入互联网。(2)将教师办公室和会议室划分一个网络，保证IP地址足够。(3)将所有的教学实验室、网络实验室、布线实验室各分为一个网络。(4)将所有的多媒体教室汇聚在一个网络。(5)将地下室单独划分成一个网络，并保证IP地址足够。(6)各个网络之间不能相互通讯，控制广播，避免广播风暴。(7)网络易于扩展，并且易于维护和管理。(8)window系统下架设服务器以达到文件资源共享需求。(9)要求整个局域网内部所有终端都可以与外部网络（互联网）通讯。2.4 主要组网技术和服务器架设2.4.1 虚拟局域网技术使用虚拟局域网（VLAN）技术把教学楼划分成不同的网络VLAN技术是二层交换机最重要的技术，它可以把一个物理的广播网络划分成多个不同的广播域，即虚拟局域网。这样可以有效地避免广播风暴，特别适用于网络终端数量比较多的场合。教学楼目前终端数量超过1000台，如果不划分广播域，就很容易造成广播风暴。VLAN技术可以让网络管理更快捷。目前很流行ARP病毒，它发作时，可以冒充整个网络的网关地址，从而使整个广播域内所有的上网主机受到欺骗，即把上网请求都发送给中ARP病毒的终端，而不能够发送给正常的网关。因为ARP会影响整个广播域内的主机，如果我们把教学楼通过VLAN技术划分成不同的网络以后，就可以把ARP病毒的影响缩小到某一个网络（比如：某一个实验室），其他所有的网络都不会受到攻击。当某一个机房上不去网时，我们就针对该机房进行故障诊断，因为故障被隔离在了一个小的网络内，所以排除故障也就比较容易了。综上我们选择华为公司提供的H3C2403H和神州数码公司提供的DCS-3926S设备作为楼层汇聚层交换机。并使用VLAN技术把每个实验室、所有的多媒体教室和教师办公室划成不同的VLAN。而VLAN是交换机的二层技术，且每台交换机上的VLAN数量不是太多，所以交换机是很轻松就可以应付的。2.4.2 路由交换技术使用路由式交换机技术完成不同VLAN间通信根据VLAN的规划，我们为了完成不同VLAN之间的通信，特别是所有VLAN和代理服务器所在的VLAN间通信。我们使用神州数码公司提供的多层核心交换机DCRS-7504设备。该设备支持IP网络路由功能，具有强大的交换能力和数据包转发能力（背板带宽128Gbps、包转发率96Mpps），面对上千信息点的网络来说，胜任网络负载异常轻松。我们通过核心交换机DCRS-7504设备把每个楼层的H3C2403H交换机设备或DCS-3926S设备通过100Mbps的全双工链路级联在一起。并使用Trunk技术把不同设备的相同VLAN ID的VLAN有机结合为一体。然后在核心交换机上为每个VLAN启用一个路由网关地址。并把核心交换机设备和网络中心机房的代理服务器内网网卡通过光纤+光电转换器互联在其一，并把代理服务器额外规划在另外一个VLAN中，并在核心交换机上为此VLAN也设置一个路由网关接口。2.4.3 地址转换技术使用NAT技术完成教学楼局域网所有终端的上网需求NAT技术可以完成由私有网络IP地址到公有网络IP地址相互转换的目的，是一种快捷的代理服务技术，特别适用于局域网的网络设计中。教学楼内部网络中，所有的终端不可能都可以分配到能够直接访问Internet的公网IP地址，所以只能通过一个有效的公网地址访问互联网。而NAT刚好可以满足需求，而且承载NAT的不是普通PC机，而是一台高性能的浪潮服务器（至强CPU、4GB内存、Intel10/100/1000Mbps网卡）。通过它我们可以解决教学楼所有终端的上网问题。2.4.4 环路避免使用STP（生成树协议）避免网络环路STP技术可以解决网络的环路问题，有效的避免广播风暴。因为实验室网络中很容易因误操作造成网络环路，如果不使用一些策略阻止的话，网络会经常出现故障，启用局域网中的生成树协议就是很好的解决办法，为了让一个网络的环路不至于影响另外一个网络，我们在核心交换机启用多实例生成树协议，为每个VLAN都创建一个生成树。网络中一旦产生环路，生成树协议就会自动启用阻断环路的产生，从而保证网络畅通。2.4.5 服务器的架设平时的教学工作需要，每个老师要有自己的主页上传课件和作业要求等内容可供学生访问下载上传，省去U盘拷贝的麻烦。实现这些资源共享就需要架设WEB和FTP服务器，同时为不同的人群分配不同的权限和访问控制。2.5 设计原则及一般要求(1)高带宽为了支持数据、话音、视像多媒体的传输能力，在技术上要到达一定的先进水平。要采用比较先进的网络技术，以适应大量数据和多媒体信息的传输，既要满足目前的教学能力，又要充分考虑未来的发展，为此应选用高带宽的先进技术。(2)高可靠性网络系统应具有高可靠性、高安全性，具体到本项目中，要求采用可靠性较高的产品和网络架构，在物理层、数据链路层和网络层等多个层次都有相应的技术，以最大程度的保证网络的正常运转。(3)易维护由于软件学院教学楼的网络系统较其他一般院系规模大，需要网络系统具有良好的可管理性，网管系统具有监测、故障诊断、故障隔离、过滤设置等功能，以便于系统的管理和维护。同时应尽可能选取集成度高、模块可通用的产品，以便于管理和维护(4)安全性网络系统应具有良好的安全性，要充分的保证网络的安全性，应该根据相应的管理制度和网络策略制定一套完善的安全政策，基于此安全政策，采用合适的技术手段，以达成目标，保证系统的安全性。(5)可扩展性和可升级性系统要有可扩展性和可升级性，随着学院的不断扩大和教学水平的提高，网络中的数据和信息流将按指数增长，需要网络有很好的可扩展性，并能随着技术的发展不断升级。(6)高容错性在设计一个实用的容错网络时,有一些基本的原则。其中最重要的原则就是将整个网络中所有重要的部分设计成冗余的，可以适时替换。3 局域网设计思路3.1 网络总体结构拓扑软件学院整体网络采用星型拓扑结构，使用双绞线作为网络传输介质，这种介质价格相对来说比较便宜。星型拓扑结构节点扩展、移动方便。节点扩展时只需从交换机等集中设备中拉一条线就行。星型拓扑结构维护容易，只需直接把出现故障的拆除即可，不会影响其它节点。另外，星型网络比其它网络的网速要快的多。教学楼的终端用户通过交换机连接起来，通过中心交换机与网络中心连接。一个机房考虑到每个网络中的电脑数量，一台24口的交换机不能满足，我们采用级联的方式将一个网络中的交换机连接起来。最后考虑到楼层交换机的分布，为了方便布线，将教学楼的总交换机放在三楼。网络结构连接图表说明，具体网络结构图如图3-1所示。图3-1 网络拓扑结构图3.2 网络规划3.2.1主要网络技术本次局域网设计主要运用交换机虚拟子网（VLAN）技术，交换机VLAN技术使网络工作组的划分突破地理位置的限制，而完全根据管理功能来划分，通过将网络划分为虚拟子网（VLAN），可以强化网络管理和网络安全，控制不必要的数据广播。数据广播在网络中起着非常重要的作用，随着教学楼计算机数量的增加，广播包的数量也会急剧增加，当广播包的数量占到总量的30%时，网络的传输速率将会明显下降。特别是当某种网络设备出现故障后，会不停的向网络发送广播，从而导致广播风暴，使网络通信陷入瘫痪。当网络中计算机数超过200台后就必须采取措施将网络分隔开来，将一个大的广播域划分为若干个小的广播域。分隔广播域的方式有两种，一是物理分隔，即将一个完整的网络物理的一分为二或一分为多，然后通过一个能够隔离广播域的设备将彼此连接。二是逻辑分隔，即将一个大的网络划分为若干个小的虚拟子网，也就是交换机VLAN技术，各虚拟子网间通过路由设备连接实现通讯。使用交换VLAN技术的优点1.降低移动和变更的管理成本在学校里，由于教学人员的变更比较频繁，当把一台计算机从一个子网转移到另一个子网，如果使用VLAN，迁移的工作只是在交换机上重新定义VLAN即可。2.控制广播由于不同的VLAN都是一个独立的广播域，而广播只能在本地VLAN内进行，从而大大减少了广播对网络带宽的占用，提高了带宽传输效率，并可以有效地避免广播风暴的产生。3.增强网络的安全性由于交换机只能在同一VLAN内的端口之间交换数据，不同VLAN的端口不能直接访问。因此，通过划分VLAN可以提高网络的安全性。4.网络监督和管理的自动化网络管理员可以通过网管软件查询VLAN间和VLAN内通信的数据包分类信息，以及应用数据包的分类信息，这些信息对确定路由系统和经常访问的服务器的最佳配置十分有用。通过划分VLAN可以使网络管理变得更加有效、简单。软件学院教学楼整栋楼有将近1000台，如果把所有的计算机放在同一个大的局域网内很容易网络拥塞，造成广播风暴，严重影响网络质量。为了建造优质网络在此需要把整栋大楼根据用户的需求将彼此联系的用户分在同一网络，这样就可以减少网络冲突，为了实现这一目的，就需要采用VLAN技术。3.2.2 楼层布局说明各个楼层布局图如图3-2至3-8所示；各个楼层交换机端口说明表如表3-1至表3-7所示。地下室布局如图3-2所示。图3-2 地下室布局图地下室各个房间与楼层交换机对应端口说明如表3-1所示。表3-1 地下室交换机端口说明表房间号对应交换机端口号房间号对应交换机端口号JAVA教研组1腾飞工作室11Media2南阳37712天基协会3南阳百度13网络项目组4C#.net114埃文工作室5C#.net215VBS协会6信息管理16南工电脑网7地下室管委会17学生会办公室8总线23、24一楼布局如图3-3所示。图3-3 一楼布局图一楼各个房间与楼层交换机对应端口说明如表3-2所示。表3-2 一楼交换机端口说明表房间号对应交换机端口号房间号对应交换机端口号1011、2111121033、411213、141055、611315、161077、811417、181099、1011619、201101111721、22总 线23、24二楼布局如图3-4所示。图3-4 二楼布局图二楼各个房间与楼层交换机对应端口说明如表3-3所示。表3-3 二楼交换机端口说明表房间号对应交换机端口号房间号对应交换机端口号2021、220811、122043、421013、142055、621115、162067、8总 线23、24三楼布局如图3-5所示。图3-5 三楼布局图三楼各个房间与楼层交换机对应端口说明如表3-4所示。表3-4 三楼交换机端口说明表房间号对应交换机端口号房间号对应交换机端口号3021、230811、123043、431013、143055、631115、163067、8总 线23、24四楼布局如图3-6所示。图3-6 四楼布局图四楼各个房间与楼层交换机对应端口说明如表3-5所示。表3-5 四楼交换机端口说明表房间号对应交换机端口号房间号对应交换机端口号4021、241011、124043、4411（前）13、144065、6412（后）15、164087、8总 线23、24五楼布局如图3-7所示。图3-7 五楼布局图五楼各个房间与楼层交换机对应端口说明如表3-6所示。表3-6 五楼交换机端口说明表房间号对应交换机端口号房间号对应交换机端口号5021、251011、125043、451213、145065、651415、165087、8总 线23、24六楼布局如图3-8所示。图3-8 六楼布局图六楼各个房间与楼层交换机对应端口说明如表3-7所示。表3-7 六楼交换机端口说明表房间号对应交换机端口号房间号对应交换机端口号6021、261011、126043、461213、146065、661415、166087、8总 线23、24现在由于办学规模的扩大，现有的网络已经不能满足日常教学的需要，对部分教室进行改造，将五楼和六楼的普通教室（五六楼的楼层区域图空白区）改建为多媒体教室和计算机机房，将机房的总量由原来的11个增加为20个。3.2.3 实现VLAN技术 为了实现交换机VLAN技术，本方案采用基于端口的VLAN，就是将交换机中的若干个端口定义为一个VLAN，同一个VLAN中的计算机具有相同的网络地址，不同VLAN之间进行通讯需要通过三层路由协议。采用这种方式的VLAN在工作过程中，把一个网络节点迁移时，如果新旧端口不在一个交换机VLAN技术内，则对该端口重新设置就可以了。结合实际情况，这种途径实现起来最简单，管理也最方便。由上面的楼层布局图可以对教学楼进行如下的VLAN划分：软件学院每个机房终端数量较多，机房内部互相通信而机房之间不需要互相通信，所以每个机房都可以划分在一个单独的网络中，根据功能的不同将多媒体教室、网络实验室、教师办公室、地下社团分在不同的VLAN中，同时为每个VLAN分配IP地址段并确定网关地址。（NAT服务单独划分在一个网络中）具体划分情况用表说明如表3-8所示。表3-8 VLAN和IP地址划分说明表网络名称IP网络地址VLAN ID网关地址一号机房10.1.0.010110.1.250.250二号机房10.2.0.010210.2.250.250三号机房10.3.0.010310.3.250.250四号机房10.4.0.010410.4.250.250五号机房10.5.0.010510.5.250.250六号机房10.6.0.010610.6.250.250七号机房10.7.0.010710.7.250.250八号机房10.8.0.010810.8.250.250九号机房10.9.0.010910.9.250.250十号机房10.10.0.011010.10.250.250续表3-8十一号机房10.11.0.011110.11.250.250十二号机房10.12.0.011210.12.250.250十三号机房10.13.0.011310.13.250.250十四号机房10.14.0.011410.14.250.250十五号机房10.15.0.011510.15.250.250十六号机房10.16.0.011610.16.250.250十七号机房10.17.0.011710.17.250.250十八号机房10.18.0.011810.18.250.250十九号机房10.19.0.011910.19.250.250二十号机房10.20.0.020010.20.250.250多媒体教室10.30.0.0.30010.30.250.250网络实验室10.60.0.060010.60.250.250教师办公室10.80.0.019910.80.250.250地 下 室10.255.0.010010.255.0.1NAT服务172.16.0.01000172.16.250.2513.2.4 设备选购和清单在本次方案设计中，主要使用的网络设备就是交换机，所以选购交换机的正确与否对网络质量的好坏起着至关重要的作用。本次局域网中的交换机主要有接入层、汇聚层、核心层交换机。接入层目的是允许终端用户连接到网络，直接面向用户，所以需要低成本和高端口密度特性；汇聚层是多台接入层交换机的汇聚点，它必须能够处理来自接入层设备的所有通信量，并提供到核心层的上行链路，因此汇聚层交换机比接入层交换机需要更高的性能，更少的接口和更高的交换速率。网络的主干部分称为核心层，核心层的主要目的在于通过高速转发通信，提供优化，可靠的骨干传输结构，因此核心层交换机在选购上要求有更高的可靠性吞吐量和性能优良，主要设备清单如表3-9所示（由于设备较多只列出最主要的）。表3-9 主要设备清单序号设备名称设备描述数量1交换机4插槽核心路由交换机（带一个交流电源），附带一块48口10/100Base-TX模块；一块标准系列三层管理模块，含2口1000Base-LX千兆光纤接口，SC接口；一块标准系列全三层升级许可（DCRS-7504）1台 24口10/100Base-TX，带2个扩展插槽，可堆叠式接入层交换机（标准堆叠套件，包含2个单独堆叠模块和1根标准堆叠模块线缆） 24口10/100Base-TX，带2个扩展插槽，可网管式汇聚层交换机（H3C-2403H）7台2交换机柜19标准1.4m高1个3光纤跳线SC-ST10米2根4光电转换器100Base-LX转100Base-Tx 2个5服务器浪潮英信NP340R（含16GB内存、两块10/100/1000Mbps自适应网卡）2台6双绞线普通非屏蔽五类3.3 网络配置局域网设计中关键是网络的配置，网络配置原则要标识清楚清晰可见，易于管理员管理，为了避免网络中环路的出现，在每个VLAN中都要开启生成树协议（STP）BR-telnet15-centre#show run!Building configuration.!Current configuration : 5123 bytes!ver 07.6.04cT51!module 1 fi-2-port-gig-management-modulemodule 4 fi-jc48e-port-copper-mod!global-stpglobal-protocol-vlan!vlan 1 name DEFAULT-VLAN by port spanning-tree!vlan 101 by port tagged ethe 4/2 router-interface ve 101 spanning-tree!vlan 600 name to_netlab by port tagged ethe 4/2 to 4/6 router-interface ve 510 spanning-tree!vlan 103 by port tagged ethe 4/2 router-interface ve 103 spanning-tree!vlan 104 by port tagged ethe 4/2 router-interface ve 104 spanning-tree!vlan 105 by port tagged ethe 4/2 router-interface ve 105 spanning-tree!vlan 500 by port tagged ethe 4/2 router-interface ve 500 spanning-tree!vlan 106 name to_lab6 by port tagged ethe 4/2 to 4/6 router-interface ve 106 spanning-tree!vlan 108 name to_lab8 by port untagged ethe 4/8 ethe 4/20 router-interface ve 108 spanning-tree!vlan 109 name to_lab9 by port tagged ethe 4/2 to 4/6 router-interface ve 109 spanning-tree!vlan 110 by port tagged ethe 4/2 to 4/6 router-interface ve 110 spanning-tree!vlan 111 by port tagged ethe 4/2 to 4/6 router-interface ve 111 spanning-tree!vlan 112 by port tagged ethe 4/2 to 4/6 router-interface ve 112 spanning-tree!vlan 113 by port tagged ethe 4/2 to 4/6 router-interface ve 113 spanning-tree!vlan 114 by port tagged ethe 4/2 to 4/6 router-interface ve 114 spanning-tree!vlan 115 by port tagged ethe 4/2 to 4/6 router-interface ve 115 spanning-tree!vlan 116 by port tagged ethe 4/2 to 4/6 router-interface ve 116 spanning-tree!vlan 200 name to_office by port tagged ethe 4/2 to 4/6 router-interface ve 200 spanning-tree!vlan 300 name to_duomeiti by port tagged ethe 4/2 to 4/6 router-interface ve 300 spanning-tree!vlan 107 name to_lab7 by port tagged ethe 4/2 to 4/6 router-interface ve 107 spanning-tree!vlan 1000 by port untagged ethe 4/48 router-interface ve 501 spanning-tree!vlan 117 by port tagged ethe 4/6 router-interface ve 117 spanning-tree!vlan 118 by port tagged ethe 4/6 router-interface ve 118 spanning-tree!vlan 119 by port tagged ethe 4/6 router-interface ve 119 spanning-tree!vlan 120 by port!vlan 2000 by port tagged ethe 4/6 spanning-tree!vlan 400 by port tagged ethe 4/6 router-interface ve 400 spanning-tree!vlan 401 by port tagged ethe 4/6 router-interface ve 401 spanning-tree!vlan 102 by port tagged ethe 4/2 router-interface ve 102 spanning-tree!vlan 800 by port tagged ethe 4/6 router-interface ve 199!vlan 999 by port tagged ethe 4/2 router-interface ve 333!system-max vlan 512system-max virtual-interface 512!enable telnet authenticationenable telnet password .hostname 15-centreip route 0.0.0.0 0.0.0.0 172.16.250.250!username soft password .!interface ethernet 4/2 port-name link-to-layer2!interface ethernet 4/3 port-name to_floor3!interface ethernet 4/4 port-name to 15#4!interface ethernet 4/5 port-name to-15#/5!interface ethernet 4/6 port-name link-to-layer6!interface ethernet 4/8 port-name link-to-lab8!interface ethernet 4/9 disable!interface ethernet 4/10 disable!interface ethernet 4/48 port-name link-to-netcenter!interface ve 101 port-name to lab-1 ip address 10.1.250.250 255.255.0.0!interface ve 102 port-name to lab-2 ip address 10.2.250.250 255.255.0.0!interface ve 103 port-name to lab-3 ip address 10.3.250.250 255.255.0.0!interface ve 104 port-name to lab-4 ip address 10.4.250.250 255.255.0.0!interface ve 105 port-name to lab-5 ip address 10.5.250.250 255.255.0.0!interface ve 106 ip address 10.6.250.250 255.255.0.0!interface ve 107 ip address 10.7.250.250 255.255.0.0!interface ve 108 ip address 10.8.250.250 255.255.0.0!interface ve 109 port-name to lab9 ip address 10.9.250.250 255.255.0.0!interface ve 110 port-name to-lab10 ip address 10.10.250.250 255.255.0.0!interface ve 111 port-name to-lab11 ip address 10.11.250.250 255.255.0.0!interface ve 112 port-name to-lab12 ip address 10.12.250.250 255.255.0.0!interface ve 113 port-name to-lab13 ip address 10.13.250.250 255.255.0.0!interface ve 114 port-name to-lab14 ip address 10.14.250.250 255.255.0.0!interface ve 115 ip address 10.15.250.250 255.255.0.0!interface ve 116 ip address 10.16.250.250 255.255.0.0!interface ve 117 ip address 10.17.250.250 255.255.0.0!interface ve 118 ip address 10.18.250.250 255.255.0.0!interface ve 119 ip address 10.19.250.250 255.255.0.0!interface ve 199 ip address 10.80.250.250 255.255.0.0!interface ve 200 ip address 10.20.250.250 255.255.0.0!interface ve 300 port-name to-duomeiti ip address 10.30.250.250 255.255.0.0!interface ve 400 ip address 10.200.250.250 255.255.0.0!interface ve 401 ip address 10.210.250.250 255.255.0.0!interface ve 100 port-name to dixiashi ip address 10.255.0.1 255.255.0.0!interface ve 1000 ip address 172.16.250.251 255.255.255.0!End3.4 window系统下服务器架设3.4.1 NAT服务器配置局域网是一个把单一、分散的计算机终端连接在一起，最终组成一个数量较多终端的局部网络，网络内部的各个终端可以相互通信，实现资源共享，但是由于受IP地址资源的限制，局域网内部的计算机用户使用的私有IP地址，此IP地址不能访问互联网等外部网络，但是有时为了教学和学习目的，教学楼需要访问外部网络，利用更多的网络资源。这时就需要把局域网内部众多私有地址转换为认可的一个公网地址，这样可以用最少的IP资源获得最大的访问限度。局域网内部的这种地址转换就叫NAT。使用NAT的好处：安装简单，费用低廉，维护方便，易于管理。配置NAT服务无外乎两种手段：一种软件方法；一种硬件方法。考虑软件学院的实际情况，教学楼的计算机终端数量较多，为了网络的稳定性和可靠性，采用硬件方式更合理一些。所需要的设备就是内部带有两块网卡的服务器（两块网卡一块连接外网，一块连接内网）。具体的网络拓扑图如图3-9所示。图3-9 NAT服务网络拓扑图通过NAT共享上网和利用NAT来实现端口映射，配置NAT服务器，具体步骤如下：在Windows 2003 Server上，通过管理工具打开“路由与远程访问”服务，然后右击“本地服务器”新建服务器，弹出对话框，并选中“网络地址转换（NAT）”选项；下一步，选中外网网卡地址作为接入互联网接口；下一步，选择“我将稍后设置名称和地址服务”单击完成，此时成功完成路由和远程访问服务器安装向导，为Internet接口配置了NAT，当再次打开“路由和远程访问”就可以看到NAT服务，NAT服务就可以完成因为有两个网卡，其中内部网卡没有和教学楼终端网络处在同一个VLAN，所以对于代理服务器来说，其他VLAN是它的非直联网络，所以至此网络间由于找不到路径还是不能通信，为了实现彼此真正连通，需要手动配置静态路由。因为去往互联网的网络数量很多，而去往内网的网络数量有限（并且都是以10开头的网络），所以在NAT服务器的外网网卡上设置网关地址，内网网卡就不能设置默认网关了（不能在两个网卡上同时设置网关地址，否则会造成默认主机路由重复，网络失效），而对于去往内网的路由我们可以通过静态设定。在本案例中，需设置的静态路由为：Route add 10.0.0.0 mask 255.0.0.0 172.16.250.251去往外网为默认网关，即可。3.4.2 FTP和WEB服务器配置 在软件学院平时的教学工作中，所需要使用的服务主要的就是上传和下载，以及发布自己的主页，所以这里着重说明FTP和WEB服务器的配置。1.IIS安装 为了配置FTP和WEB时，必须使用IIS。使用一台装有windows server 2003系统的服务器，默认情况下，2003系统是没有安装IIS的，这需要我们自己手动安装。 打开控制面板添加删除程序添加删除windows组件 在windows组件向导中，选择应用程序服务器，查看详细信息，在出现的对话框中选择IIS项，并查看IIS项详细信息，选择下面的FTP项，一直确定，返回初始页，选择完成后，我们点击下一步开始安装，安装过程中，提示安装一些文件，我们把一张2003系统盘放入光驱中，所需要文件的话，就在光驱中找，这样就完成安装。对IIS进行测试，在IE中输入 http:/127.0.0.1 ，显示出来的页面为建设中，则说明我们创建成功。2.FTP服务首先需要为用户建立一个站点，建立的站点，我们选择隔离用户。根据IIS6.0隔离用户的要求，需要在FTP主目录下建立一个文件夹，命名为localuser ，并在这个文件夹下面创建用户文件夹，也就是每个用户上传文件存放的地方，需要注意的是，这个文件夹必须以用户的帐户名命名。打开IIS，在FTP站点右键，新建FTP站点，在弹出的对话框中，点击下一步，接着为站点命一个名称，命名完成后，接下来，提示需要为站点指定一个IP与端口，IP定义为本机IP，端口不变，如图3-10所示。图3-10 FTP创建向导图填写完成后，下一步，这时，需要定义用户使用隔离用户的模式，当然，我们选择隔离模式。选择以后，需要为站点确定一个主目录。这里的主目录，就是FTP文件所存放的根目录。下一步，设置FTP访问的权限，给予读取和写入。确定完成。此时，FTP服务站点已经创建完成，这时，我们需要把匿名用户登陆给取消，限制匿名登陆。在我们刚刚创建的站点右键-属性-安全帐户，把允许匿名用户访问前面的对号去掉。接下来，因为我们选择的是隔离模式，我们需要在localuser文件夹下面创建用户文件夹，与windows用户名字一致，如图3-11所示。图3-11 FTP创建完成图完成后，我们开始对FTP服务进行测试。在IE中输入ftp:/本机IP/ 提示登陆，我们随便输入任一用户帐户与密码，这时如果可以登陆，我们向空间中写入东西，并使用删除，重命名等操作，如无异常，说明我们FTP服务创建成功。3.WEB服务安装我们拥有了可以上传网页的空间，那我们也需要用一种简便的办法浏览我们网页。这时，需要创建一个WEB服务了，目地就是让我们更方便的查看我们上传的内容。当然，这里也需要创建站点，而且也要创建2个应用程序池，放入不同信息的网页。打开IIS，在WEB站点右键，新建WEB站点。这里跟FTP相似，但也有不同的地方，根据提示下一步，在给站点命名时，要跟主目录名字一致。当提示输入IP和端口时，需要给端口下面的主机头加入一个地址了，这个地址就是区分老师与学生的主要标示了，如图3-12所示图3-12 WEB安装向导图输入完成后，下一步，在确定主目录路径时，与FTP主目录一致，权限给予默认。下一步，这时我们的WEB主站点创建完成。同时，再创建一个主机头为 的站点，代表为学生的。下面我们需要创建两个应用程序池，就是前面所说的，可以把老师与学生的网站分别开来，这样减小出问题的范围。应用程序池在建立WEB站点的上面，IIS默认情况下，只有一个程序池，我们所创建的所有网站全部放在一个池中。下面我们需要创建两个池。右键新建应用程序池，在弹出的对话框中，标题处输入teacher代表老师，如图3-13所示。图3-13 添加teacher应用程序池图按照以上步骤，再创建一个student,代表学生的。下面，我们需要对2个站点进行设置。在WEB站点上右键属性主目录选项卡下，应用程序池处，选择对应的程序池即可（老师与学生的WEB站点都要设置）。区分好了程序应用池后，我们需要为每一个老师与学生建立目录，下面，我们就使用虚拟目录为老师与学生建立目录。在刚刚建立的WEB站点上，右键新建虚拟目录，为虚拟目录指定一个别名，这时，需要与目录文件夹的名字一致,下面需要为虚拟目录指定对应的文件夹位置。下一步，权限默认，完成创建。按照此步骤，我们为每一个老师与学生创建对应的虚拟目录，这样，我们就可以为每一个用户定义WEB站点了，如图3-14所示。图3-14 创建完成的WEB站点图当我们把所有用户的虚拟目录创建完了以后，WEB服务已经创建好了一半。因为我们在主机头的位置输入了老师的和学生将要在互联网上显示的域名，一旦输入了域名，它就需要能够解析域名的服务，默认情况下，windows是没有解析域名的服务，所以需要我们创建DNS去解析域名。这样WEB服务器才可以使用。4.DNS域名解析服务在我们创建好了WEB服务以后，必定需要一个解析域名的服务，这时，就需要用到DNS域名解析服务了。这是windows一个组件，默认情况下，系统不会自动安装，当用户需要时，再进行手动安装。创建DNS的方法与IIS有点相似，也是在控制面板添加删除程序添加删除组件，选择网络服务组件里面的DNS服务。确定安装。安装完成后。开始进行设置。程序管理工具DNS。打开DNS，出现正向和反向搜索区域，我们需要设置正向搜索区域。在正向搜索区域右键新建区域，首先见到欢迎界面，下一步，这里出现选择区域类型，我们这里选择标准主要区域。下一步，提示让新建区域名，在创建WEB站点时，我们填写的主机头名，就是在这里体现，在这里输入与主机头一致。此时，一直点击下一步，直到显示这个画面，建立区域完成。为其添加一个主机。点击我们刚所建的区域，右键新建主机，在出现对话框中，IP地址处填写本机的IP，填写完点击添加主机即可。用同样的操作，我们一样需要创建学生的区域。此时,我们的DNS服务创建完毕，如图3-15所示。图3-15 DNS服务创建完成图DNS创建完成，我们来测试是否可以使用。我们把首选DNS改为自己的IP，也就是首选与IP相同，因为现在自身是一个DNS服务器。我们做一个网页，利用FTP，上传到自己的空间中，打开IE，输入http:/www.你所填的区域名/网页位于的文件夹 回车。例如，用teacher1上传了一个网页，那么应输入 回车，如果显示正确，说明DNS正常。这时，可以看到网页测试正常，我们可以多做几次这样的实验，测试下老师与学生的站点都是否正常，如图3-16所示。图3-16 测试WEB图5.用户空间大小分配我们需要对用户FTP空间的大小作些限制，防止用户有意无意的上传大文件，减小磁盘空间，影响正常用户使用。采用windows系统NTFS磁盘格式下磁盘配额功能。打开要定义FTP文件存放的磁盘，右键属性选择“配额”；点击启用配额管理，选择“拒绝将磁盘空间给超过配额限制的用户”，并开启“将磁盘空间限制为”后面输入大小和单位。这样操作是对所有用户分配统一的大小，如果分配不等空间，选择配额项，在弹出的对话框中设置，这样，对空间进行有效的管理，防止了因为空间大小而引起的问题，服务的稳定性得到了增强，如图3-17所示。图3-17 用户空间分配配置图6.用户权限设置 我们为每一个用户都创建了一个系统帐户，为了让用户不能破坏系统或文件，我们很有必要对这些用户做些设置，比如，不能通过网络访问，不能使用帐户登陆系统，这都需要拒绝。下面进行设置：需要查看系统是否开启默认共享，如果开启把它关闭（计算机管理共享文件夹共享，查看是否有共享文件夹）。如果里面显示有共享选择，描述的为默认共享的话，需要对它们进行关闭，一般情况，需要把这个里面的共享项全部关闭（右建选择停止共享）。我们再对用户进行登陆权限的设置，这时需要在组策略里面设置。在运行中输入gpedit.msc 打开组策略，按以下顺序找到对应项，计算机配置windows设置安全设置本地策略用户权限分配，找到拒绝本地登陆。找到这项后，通过对策略进行设置，就能有效的对用户限制，达到我们所需要的目地。当配置指派策略完成后，我们对用户进行测试，注消本机，然后用任一用户登陆，如果出现“此系统的本地策略不允许您交互登陆”字样，代表我们做的限制成功。为了使我们做的服务更有效，更稳定的为用户工作使用。我们有必要为服务器的安全性考虑详细，尽可能的做到有高安全性和高稳定性。防止黑客与恶意破坏者对服务的攻击，如图3-18、3-19所示。图3-18图3-19 用户权限设置图4 综合布线系统4.1 综合布线方案概述由于综合布线系统和网络技术息息相关，在设计综合布线系统的同时必须考虑到使用的网络技术，也就是布线设计要和网络技术相结合，尽量做到两者技术性能上的统一，避免硬件资源冗余和浪费，才能充分发挥综合布线系统的优点。以太网具有实用（软件、硬件丰富），速度快，升级方便，扩展性好（通过互连设备，交换机，路由器容易扩展），开放性好（软硬件协议开放），价格便宜（相比于ATM、FDDI），支持的厂家多等特点所以本方案采用的以太网技术。以太网的网络设备之间的有效距离100米左右，非常适合部门级的小局域网。快速以太网具有极好的扩充性，使用汇聚层交换机和接入层交换机，用户数的扩展对网格没有影响（正在使用时就可以扩展），很方便将来子网接入。 基于以上分析，结合综合布线系统和网格技术的要点，这里主要提供三种综合布线方案(1)采用全双绞线结构布线方案（快速以太网技术）这种方案是整个布线系统（垂直子系统、水平子系统、工作区子系统、设备间子系统、配线间子系统）全部采用五类双绞线，网络技术是采用快速以太网技术。优点是：布线造价便宜、网格设备便宜、管理方便，快速以太网技术相当成熟，它的交换是在第二层进行，无需人工干预。缺点是：如果楼层较高，这就有可能导致某些住处点的接线长度超过100米，众所周知，根据布线原则，双绞线一般不允许超过100米，这样会造成信号衰减以至畸变。其次由于所有的接线都从中心机房通过垂直子系统向其他楼层辐射，对竖井要求较高。再其次是全双绞线结构难于升级为千兆位以太