DHCP服务器在校园网的使用与规划.doc

学号 密级 哈尔滨铁道职业技术学院毕业论文 DHCP服务器在校园网的使用与规划学 院 名 称 ：计算机学院专 业 名 称 ：计算机网络学 生 姓 名 ：张海莲指 导 教 师 ：张雪 讲师 二一一年六月郑 重 申 明本人呈交的毕业论文，是在指导教师的指导下，独立进行研究工作所取得的成果，所有数据、图片资料真实可靠。尽我所知，除文中已经注明引用的内容外，本毕业论文的研究成果不包含他人享有著作权的内容。对本论文所涉及的研究工作做出贡献的其他个人和集体，均已在文中以明确的方式标明。本毕业论文的知识产权归属于培养单位。本人签名： 日期： 指导教师签名： 日期： A GRADUATION DISSERTATION OF HARBIN RAILWAY TECHNICAL COLLEGEIN A DHCP SERVER CAMPUS-NET USE AND PLANNINGCollege ：Computer CollegeSubject ：Computer networkName ：Zhang hai lianDirector ：Zhangxue lecturer June 2011摘 要随着网络的逐步普及，校园网络的建设是学校向信息化发展的必然选择，校园网网络系统是一个非常庞大而复杂的系统，它不仅为现代化发展、综合信息管理和办公自动化等一系列应用提供基本操作平台，而且能提供多种应用服务，使信息能及时、准确地传送给各个系统。而校园网工程建设中主要应用了网络技术中的重要分支局域网技术来建设与管理的，其主要包括局域网的技术思想、网络设计方案、网络拓扑结构、布线系统、服务器的部署（FTP、邮件、DNS、DHCP等）服务、Intranet/Internet的应用、网络安全等。因此本毕业设计课题将主要以校园局域网络建设过程可能用到的技术及实施方案为设计方向，为校园网的建设提供理论依据和实践指导，建设一个现代化的校园网的网络。关键字：局域网、Internet、计算机网络、网络协议、服务器、防火墙 综合布线 ABSTRACTAlong with the network popularization, the campus network gradually to the informatization construction is the school the inevitable outcome of the development of campus network, the system is a very large and complex system, it is not only for modernization development and comprehensive information management and office automation and so on a series of applied to provide basic operation platform, and can provide various application service, make the information can timely, accurately transmitted to each system. And in engineering construction of campus network technology mainly used an important branch of local area network technology to construction and management, its main include LAN technology idea, network design, network topology structure, wiring system, server deployment (FTP, mail, DNS, Intranet DHCP, etc) services, Internet applications, network/safety etc. So the graduation design task will mainly campus local area network construction process may use of technology in design and implementation plan for the construction of network directions, in order to provide theoretical basis and practical guidance, building a modern campus network. Key word: LAN, Internet, computer network, network protocol, server, firewall integrated wiring目 录第1章 项目概要1第2章 校园网现状和存在问题22.1 校园网现状22.2 组建校园网的要求分析22.2.1 网络性能及策略服务22.2.2 网络的可靠性22.2.3 支持VLAN功能22.2.4 网络的安全要求32.2.5 网络的管理要求32.2.6 计费要求3第3章 建设目标和建设内容43.1建设目标43.2 建设指导思想43.3 建设原则53.4 结构化布线53.4.1 工作区子系统53.4.2 水平子系统63.4.3 垂直干线系统63.4.4 管理子系统63.4.5 设备间子系统73.4.6 建筑群子系统7第4章 DHCP服务器的部署与VPN的实现84.1 DHCP的工作原理84.1.1 DHCP服务是什么84.1.2 DHCP中继代理的工作原理104.2 VPN的实现104.2.1 VPN 原理114.2.2 Windows Server 2003 支持以下两种VPN通信协议114.2.3 VPN使用的在以下两种场合11第5章 网络通信系统13第6章 网络安全与管理系统176.1防病毒176.2防火墙176.3入侵检测系统176.4网络管理18总 结19参考文献20致 谢21第1章 项目概要新校园网络工程是国家“西部大学校园计算机网络建设工程”之一，该工程需要对现有校园网进行全面改造和性能提升，其先进性、可扩展性、建设规模、包含内容等本次网络建设目前需要覆盖该校的A、B、C三校区，同时要考虑以后的扩展需要，如新扩展的3000亩校区等。该项目建设总体目标是：在一年之内，建成该校校园网网络基础设施，实现校内用户的高速互联互通、资源共享，校外与中国教育科研计算机网高速接入，同时建设一系列基于校园网环境的教学、科研和管理的应用系统。 该工程主要包括建设校园计算机光纤主干网、校园网网络中心、开放网络机房、多媒体网络教室、网络管理和运行系统、教学、科研、管理系统和网络安全保障体系等。要满足全校八千多学生、1千多教职员工的教学、科研、管理、生活、娱乐等的上网需要。 该工程的实施，不仅能全面提高大学校园网的水平和规模，扩大校园网的应用范围，为教师教学和科研以及学生进入网络平台提供了基本保证，而且将为国民经济和社会信息化的发展提供人才和智力支持，直接关系到“科教兴国”战略的实施和教育跨越式发展目标的实现。第2章 校园网现状和存在问题 2.1 校园网现状 大学目前网络信息流量巨增，新型网络应用的开展，如：网上多媒体教学、校内IP电话、远程教育、网上联合工程研究、数字化图书馆、校园办公自动化系统等对网络主干和网络服务器设备提出了新的要求，原有设备已经很难适应新的需求、因此需要重新规划建设新的校园网络，将各个校区的网络系统连接起来，建设统一的、规模较大的、能适应学校教研发展的校园网络系统2.2 组建校园网的要求分析2.2.1 网络性能及策略服务 新组建的大学网络系统应实现高带宽、多路交换特性，为校园内外部信息交换提供流畅的信息通道。网络应具有高性能，可实现链路汇聚（LAG）特性提供更高带宽。低延时特性应满足网上视频点播、IP电话、时实远程教育、多媒体教学的基本需求。主干网络设备支持四层以上的交换特性，实现对不同IP业务的策略控制与管理，提高QoS服务质量，将IP组播技术应用在网络系统中，为实施远程教育打下坚实的基础。 2.2.2 网络的可靠性 由于大学的校园网络支持的用户十分庞大，骨干网络应该具有很高的可靠性，最好能够提供电信级的可靠性。应该从网络设计上和产品设计上提供相应的可靠性保障。如网络设计时，骨干网络设计时应该考虑建立冗余连接，实现故障自动链路切换。产品选择上应提供具有容错设计、无单一故障点的产品。 2.2.3 支持VLAN功能 为了加强IP管理，原则上一个单位在一个IP子网内。由于校园各单位的分散性，会出现一个单位的站点分布在不同的楼群内，另一方面在校园网的同一个二级交换机上往往会连接多个IP子网，校园网分布式VLAN和集中式VLAN是当前和今后学校二级IP子网组网的基本特性。 因此，在产品选择和网络设计时，应细致考虑VLAN可定义的类型，VLAN的中继能力，实现基于策略的VLAN。 2.2.4 网络的安全要求网络安全是任何一个建网单位都十分关心的问题，网络设计必须能够提供一整套安全性策略、安全性机制和安全性解决方案。另外由于大学的特殊情况应该特别注意IP地址防盗用问题。大学校园网络与CERNET已连通，许多单位建立了自己的域名服务器、WWW等服务器。网络中心为各单位分配了正规的IP地址，因此存在IP地址盗用问题；在划分了IP子网后，子网间的IP地址盗用问题解决了，但子网内部仍存在IP地址盗用。除了以路由器或PC桥方式与校园网连接的子网外，其它方式连接的子网应考虑防止IP盗用。在大学出口处设立防火墙，防止外部网络对校园内部网络的攻击，请详细叙述IP盗用和网络安全的策略、方法、措施。2.2.5 网络的管理要求 构成大学校园网络的产品众多，网络管理是一个十分艰巨而重要的问题,网管除了管理校园网骨干交换机、二级交换机外，还要管理路由器、拨号服务器、各二级单位的具有网管功能的交换机、路由器。2.2.6 计费要求 网络计费分局域网站用户计费和拨号用户计费。局域网用户计费按院、部、处、实验室为单位进行结算，要求计费系统基于IP地址的流量计费或基于用户的流量计费。家属区、学生区局域网络用户采用代理服务器上网，要求计费系统基于用户的流量计费。拨号用户计费要求采用计时、计量相结合的办法。局域网用户的流量要求区分国际、国内的流入、流出，拨号用户只要求区分流入、流出。网络安全计费、灵活的用户管理、方便的用户计费查询是计费软件应达到的基本要求。第3章 建设目标和建设内容 3.1建设目标 大学校园网建设工程项目的总体目标是：通过有线、无线等方式组建一个高稳定性、强壮性、安全性、可管理性的计算机网络系统；多协议、多服务的计算机网络体系；实现现有三校区的高速互连互通，并覆盖校园内每个角落，同时考虑可扩展性，保证35年以内不落后，10年以内可用，能够轻松方便地支持校内办公自动化（OA）、教学管理、科研管理、数字图书馆、远程教育（网络教育）、校园一卡通及多媒体信息服务等应用的需求。 3.2 建设指导思想 先进性：在保证系统能够稳定运行的基础上，以先进的设计思想，设计网络结构、开发工具，采用市场覆盖率高、标准化和技术成熟的软硬件产品。保证技术的前瞻性，延长系统的生命周期。 可靠性：具有容错功能，管理、维护方便。对网络的设计、选型、安装、调试等各环节进行统一规划和分析，确保系统运行可靠，并具有良好的性能价格比。 安全性：随着信息化的集中处理和基于Internet的访问激增，给校园网络带来的不利因素之一便是安全问题。从某种角度上来看，使校园内部科研信息及其它信息等暴露的可能性增大，信息一经暴露，给全系统带来的危害性加大。因此，方案设计时，充分考虑系统的抗外部攻击和内部攻击的能力。 可扩展性：系统总体设计采用开放的结构，具有可扩展性，同时系统设计应经济实用。 实用性：本着经济的原则，系统不追求大而全和设备先进，选用实用、够用的设计方案，更着眼于系统整个的灵活性和可扩充性，同时，考虑要利用和保护现有的资源、充分发挥设备效益。 开放性：系统设计应采用开放的技术、开放的结构、开放的系统组建和开放的用户接口，以利于网络维护、扩展升级和与外界信息的沟通。 灵活性：采用积木式模块组合和结构化设计，使系统配置灵活，满足学校分步实施的建网原则，使网络具有强大的可增长性。3.3 建设原则 统一规划、分步实施、近期目标明确 统一设计，分布实施的原则基于系统的可用性、扩展性和先进性的统一的需要，即应用系统的设计、网络方案设计充分考虑网络系统建成后510年的发展需要，进行全方位整合；考虑校园园区网络系统的设备、物理链路、业务发展状况、技术力量等多方面的综合因素，为未来的发展留有余地。 坚持先进性、开放性、标准化的原则 建立一个大规模的综合性园区网络系统，应该尽可能采用先进成熟的技术。选购具有当今主流先进技术水平的计算机系统和网络设备，这些设备或系统应该在相当长的时间内保证其先进性。开发或选购的各种网络应用软件也尽可能先进，并有相当长时间的可用性。现代计算机网络的一个最显著特点是具有极好的开放性。这种开放性靠标准化实现，使得符合这些标准的计算机系统很容易进行网络互连。为此，应制定全网统一的网络体系结构，并遵循统一的通信协议标准。网络体系结构和通信协议应选择广泛使用的国际工业标准，使得设计网络系统成为一个完全开放式的网络计算环境。 强调应用和服务 网络应用和服务在整个网络建设中应置于非常重要的地位。建设好一个，投入使用一个，使网络的建设、应用及服务同步进行。应用和服务才是用户可直接受益的部分。同时，提供网络系统强有力的售后保障体系，也是应用和服务延伸的保证。3.4 结构化布线 综合布线系统设计原则：1，系统性 2，标准化 3，先进性和延续性 4，高性能价格比 5，实用性 6，灵活方便 7，可管理 8，扩充性好从功能上看，综合布线系统包括工作区子系统、水平子系统、管理子系统、垂直干线子系统、设备间子系统、建筑群子系统六个子系统。我们的设计方案将根据实际情况进行取舍.简要介绍如下。3.4.1 工作区子系统它是将用户的通信设备连接到综合布线系统的子系统，包括各种型号的插座及将通信设备连到插足所需的各种配件。3.4.2 水平子系统水平子系统将干线子系统线路延伸到用户工作区，大多数使用4对或25对非屏蔽双绞线，它们能支持现代通信设备。在对宽带需求较大的应用时采用光缆。应用于本次设计中语音和数据部分的产品为MPS300E-262 超5类信息模块和86系列双孔面板。根据工作区信息点的数量及用户的要求，语音和数据均采用6类4对非屏蔽双绞线，可支持1Gbps信息传输，光纤到桌面信息点采用LGBC室内多模光纤。3.4.3 垂直干线系统它是综合布线系统的骨干。它是由电缆、光缆及其它各种支持设备组成的一个综合子系统，支持所有的其它通信子系统。垂直干线系统将所有水平子系统连接在一起，汇合成配线分支点，通常占有一个小房间或配线柜，并与户外系统相接。3.4.4 管理子系统由交联、互联配线架、信息插座式配线架以及跳线组成。管理点为连接其他子系统提供连接手段，交联和互联可以将通信线路定位或重定位到建筑物的不同部分，以便能更容易地管理通信线路。本项目采用的是110DW2-100FT 110型配线架、PM2151B-24GS和PM2151B-48GS铜缆配线架。全部采用机柜式安装方式，这样既便于系统的联接和管理，又安全可靠、美观大方。3.4.5 设备间子系统设备间子系统也称设备子系统。设备间子系统由电缆、连接器和相关支撑硬件组成。它把各种公共系统设备的多种不同设备互连起来，其中包括邮电部门的光缆、同轴电缆、程控交换机等。设计时注意的要点为：（1）设备间要有足够的空间，保障设备的存放；（2）设备间要有良好的工作环境，如温度、湿度等；（3）设备间的建设标准应按机房建设标准设计。3.4.6 建筑群子系统它是连接楼群之间的通信设备，包括支持楼群之间通信的传输介质及各种支持设备，如电缆、光缆及电气保护设备。除了各种有线手段外，户外系统还包含其它无线通信手段。户外电缆在进入大楼时通常要在入口处经过一次转接接入户内系统，在转接处可加上电气保护设备。第4章 DHCP服务器的部署与VPN的实现4.1 DHCP的工作原理 4.1.1 DHCP服务是什么 DHCP称为动态主机配置协议。DHCP服务允许工作站连接到网络并且自动获取一个IP地址。配置DHCP服务的服务器可以为每一个网络客户提供一个IP地址、子网掩码、缺省网关、一个WINS服务器的IP地址，以及一个DNS服务器的IP地址。 DHCP是一个基于广播的协议，它的操作可以归结为四个阶段，这些阶段是IP租用请求、IP租用提供、IP租用选择、IP租用确认。 4.1.1.1寻找Server当DHCP客户端第一次登录网路的时候也就是客户发现本机上没有任何IP资料设定它会向网路发出一个DHCPDISCOVER封包。因为客户端还不知道自己属于哪一个网路所以封包的来源地址会为0.0.0.0而目的地址则为255.255.255.255然后再附上DHCPdiscover的信息向网路进行广播。网络上每一台安装了TCP/IP协议的主机都会接收到这种广播信息，但只有DHCP服务器才会做出响应.DHCPdiscover的等待时间预设为1秒也就是当客户端将第一个DHCPdiscover封包送出去之后在1秒之内没有得到回应的话就会进行第二次DHCPdiscover广播。在得不到回应的情况下客户端一共会有四次DHCPdiscover广播(包括第一次在内)除了第一次会等待1秒之外其余三次的等待时间分别是9 13 16秒。如果都没有得到DHCP服务器的回应客户端则会显示错误信息宣告DHCPdiscover的失败。之后基于使用者的选择系统会继续在5分钟之后再重一次DHCPdiscover的要求。4.1.1.2 提供IP租用位址当DHCP服务器监听到客户端发出的DHCPdiscover广播后它会从那些还没有租出的位址范围内选择最前面的的空置IP，连同其它TCP/IP设定，回应给客户端一个DHCPOFFER封包。由于客户端在开始的时候还没有IP位址所以在其DHCPdiscover封包内会带有其MAC位址信息并且有一个XID编号来辨别该封包DHCP服务器回应的DHCPoffer封包则会根据这些资料传递给要求租约的客户。根据服务器端的设定DHCPoffer封包会包含一个租约期限的信息。 4.1.1.3 接受IP租约如果客户端收到网路上多台DHCP服务器的回应只会挑选其中一DHCPoffer(通常是最先抵达的那个)并且会向网路发送一个DHCPrequest广播封包告诉所有DHCP服务器它将指定接受哪一台服务器提供的IP位址。之所以要以广播方式回答，是为了通知所有的DHCP服务器，他将选择某台DHCP服务器所提供的IP地址同时客户端还会向网路发送一个ARP封包查询网路上面有没有其它机器使用该IP位址如果发现该IP已经被占用客户端则会送出一个DHCPDECLINE封包给DHCP服务器拒绝接受其DHCPoffer并重新发送DHCPdiscover信息。事实上并不是所有DHCP客户端都会无条件接受DHCP服务器的offer尤其这些主机安装有其它TCP/IP相关的客户软件。客户端也可以用DHCPrequest向服务器提出DHCP选择而这些选择会以不同的号码填写在DHCPOptionField里面。换一句话说在DHCP服务器上面的设定未必是客户端全都接受客户端可以保留自己的一些TCP/IP设定。而主动权永远在客户端这边。4.1.1.4 确认阶段即DHCP服务器确认所提供的IP地址的阶段。当DHCP服务器收到DHCP客户机回答的DHCPrequest请求信息之后，它便向DHCP客户机发送一个包含它所提供的IP地址和其他设置的DHCPack确认信息，告诉DHCP客户机可以使用它所提供的IP地址。然后DHCP客户机便将其TCP/IP协议与网卡绑定，另外，除DHCP客户机选中的服务器外，其他的DHCP服务器都将收回曾提供的IP地址。4.1.1.5 重新登录以后DHCP客户机每次重新登录网络时，就不需要再发送DHCPdiscover发现信息了，而是直接发送包含前一次所分配的IP地址的DHCPrequest请求信息。当DHCP服务器收到这一信息后，它会尝试让DHCP客户机继续使用原来的IP地址，并回答一个DHCPack确认信息。如果此IP地址已无法再分配给原来的DHCP客户机使用时（比如此IP地址已分配给其它DHCP客户机使用），则DHCP服务器给DHCP客户机回答一个DHCPnack否认信息。当原来的DHCP客户机收到此DHCPnack否认信息后，它就必须重新发送DHCPdiscover发现信息来请求新的IP地址。4.1.1.6.更新租约DHCP服务器向DHCP客户机出租的IP地址一般都有一个租借期限，期满后DHCP服务器便会收回出租的IP地址。如果DHCP客户机要延长其IP租约，则必须更新其IP租约。DHCP客户机启动时和IP租约期限过一半时，DHCP客户机都会自动向DHCP服务器发送更新其IP租约的信息。至于IP的租约期限却是非常考究的并非如我们租房子那样简单DHCP客户机除了在开机的时候发出DHCPrequest请求之外在租约期限一半的时候也会发出DHCPrequest如果此时得不到DHCP服务器的确认的话工作站还可以继续使用该IP然后在剩下的租约期限的再一半的时候(即租约的75%)还得不到确认的话那么工作站就不能拥有这个IP了。要是您想退租，可以随时送出DHCPLEREASE命令解约就算您的租约在前一秒钟才获得的。 DHCP 中继代理可以是一台计算机或者路由器，监听 DHCP 客户端发出的 DHCP/BOOTP 广播，然后转发这些信息到其他子网上的 DHCP 服务器。 4.1.2 DHCP中继代理的工作原理 1、客户端广播DHCP请求； 2、中继代理转发DHCP请求信息到DHCP服务器； 3、DHCP服务器发送DHCP供给信息给DHCP中继代理；4、中继代理广播DHCP供给；5、客户端广播DHCP选择；6、中继代理转发DHCP选择给DHCP服务器；7、DHCP服务器发送DHCP确认给DHCP中继代理；8、中继代理广播DHCP确认。4.2 VPN的实现虚拟专用网（virtual private network,vpn) 让远程用户可以通过Internet安全地访问校园内部的网络资源，进而降低远程传输的费用。Windows Server 2003 支持的VPN通信协议PPTP（Point-to-point Tunneling protocol)与L2TP(Layer Two Tunneling Protocol)4.2.1 VPN 原理 Windows Server 2003 的“虚拟专用网（Virtual private network,VPN）”可以让远程用户与局域网（LAN）之间，通过Internet(或其他的公众网络）来建立起一个安全的通信管道。不过我们需要在局域网内建设一台VPN服务器，以便让VPN客户端来连接。当远程的vpn客户端通过Internet 连接到VPN服务器时。他们之间所传送的信息会被加密，所以即使信息在Internet传送的过程中被拦截，也会因为信息已被加密而无法识别，因此可以确保信息的安全性。4.2.2 Windows Server 2003 支持以下两种VPN通信协议：(1) PPTP （point-to-point tunneling protocol) 只是IP网络（例如internet)才可以建立PPTP的VPN。两个局域网之间若通过PPTP来连接，则两端直接连接到Intenet的VPN服务器必须要执行TCP/IP通信协议，但网络内的其他的计算机并不一定需要TCP/IP。他们可以执行TCP/IP、IPX或NetBEui通信协议，因为当他们通过VPN服务器与远程的计算机通信时，这些不同通信协议的数据包会被封装（encapsulate)到PPP的数据包内，然后经过Internet传送，信息到达目的地后，再由远程的vpn服务器将其还原为TCP/IP、IPX或NetBEui的数据包，PPTP是利用MPPE（microsoft point-to-point encryption)加密法来讲信息加密。(2) L2TP(layer two tunneling protocol) 它与PPTP类似，L2TP也可以将TCP/IP、IPX或NetBEui的数据包(packet),封装到PPP的数据包内。L2TP同时具有身份验证（authentication）、加密（encryption）与数据压缩（compression）的功能。L2TP的验证与加密方法都是采用IPSec.4.2.3 VPN使用的在以下两种场合如图所示图中校园总网络已经连接到Internet,而用户在远程拨号连接ISP连接上Internet后，就可以通过Internet来与总公司的VPN服务器建立PPTP或L2TP的VPN，并通过VPN来安全地传送信息。如图所示，两个局域网的VPN服务器都连接到Internet,并且通过Internet建立PPTP或L2TP的VPN，它可以让两个网络之间安全地传送信息，例如甲网络的计算机A与乙网络的计算机B之间所传送的信息，在经过VPN服务器的加密后，不用担心在Internet上传送时泄密。第5章 网络通信系统 网络系统总体结构 大学校园网是一个较复杂的网络系统。整个系统简化为分层结构，分为水平层面上的核心层（网络主干）、汇聚层、接入层，其信息流动模式是逐渐汇集于主干。在垂直层面上分为管理层和安全层。 其中网络的核心层（或称主干）部分是整个网络的信息汇集处，拥有足够的带宽和良好的升级能力；具有足够的网络智能和承载多种服务类型的能力；同时具有很高可靠性。 而网络的汇聚层部分起着承上启下的作用，是网络核心服务功能在更大范围的延伸和扩展。它汇集下层网络的流动信息，并将其进一步汇集于主干。与核心层类似，它也拥有足够的带宽和良好的升级能力；具有承载多种服务类型的能力；具有高可靠性。 网络的接入层（或称接入层）作为网络的底层，直接面对用户，具有极大的灵活性、易用性；多种服务接入能力。 从网络的管理层和安全层面讲，网络应具有极强的贯穿3个水平层面的控制能力和网络安全能力。包括灵活的计帐方式；基于策略的网络管理和基于物理层、链路层和网络层的性能测量和故障监控，并提供远程配置和故障排除能力。 网络主干核心节点, 核心层是网络高速交换的骨干，尽可能高速交换包，具有高可靠性、提供冗余、容错、低延时和良好的可管理性、避免使用减慢包处理的进程（如访问控制列表、包过滤等）、具有界定一致的网络路径。网络中心核心交换机主要是实现骨干网络之间的优化传输, 同时承担与校外Internet,Cernet的路由传输，我们在网络中心采用交换能力大于90Mpps多层交换机2台；交换机之间实现全冗余连接和链路汇聚（LAG）保证网络链路的可靠性和高达4G以上的性能，并通过路由冗余协议VRRP，两台核心交换机互为备份、负载均衡。 无线网络 根据大学要在办公区域内实现计算机无线联网的实际要求，拟在国际会议中心及体育大楼通过无线局域网（WLAN）形式，把区域内的固定和移动工作站连结起来组成一个內部无线局域网络系统，并通过特定出口访问Internet。 主机系统的选型 Internet/Intranet服务器 根据大学校园网的建设目标，主要是为了实现与Cernet和Internet的互连，以提供Cernet和Internet上的各种服务，为用户提供丰富的网络资源，并提供对外的WWW信息服务，使校园网系统成为外界了解校园内部的一个重要窗口。 邮件服务器 邮件服务器的主要功能是为整个大学校园网络用户的邮件服务。邮件服务对实时性要求不是很高，因此要求主机的计算能力不是很高，但对其存储能力要求要高于其他，作为邮件服务器，它至少要满足网络用户的邮件存储要求。 Web、FTP、DNS、NAT代理、网管服务器 提供Web、FTP、DNS、NAT代理服务的服务器。第6章 网络安全与管理系统网络安全由于大学这样一个大型网络系统内运行多种网络协议(TCP/IP，IPX/SPX，NETBEUI)，而这些网络协议并非专为安全通讯而设计。所以，网络系统可能存在的安全威胁来自以下方面：操作系统的安全性、来自内部网用户的安全威胁、软件缺乏安全性、Internet的恶意攻击、应用服务的安全等。 6.1防病毒根据大学的需求与实际，实现全网络的病毒防护不可行，但必须在应用服务器和数据库服务器上进行病毒防范。一个好的防病毒系统，应该是一个多层次、全方位的防病毒体系，而不仅仅是几套防病毒软件，同时具有跨平台的技术及强大功能。 大学网络采用配置20个用户的防病毒产品，主要保护网络中心服务器，其要求是：较强的病毒防护能力、具有网络易管理特性、灵活管理客户端、灵活的更新升级、产品的安全性高。 6.2防火墙 为了提高大学出口CERNET的安全性和访问日志的可靠性，出口访问应通过防火墙，防火墙都应记录日志。同时考虑网络的发展及大学出口访问量的因素，因此防火墙采用高可靠性的防火墙。考虑到学校财务部门的需求，建议在A区财务部门配置一台百兆防火墙，并在财务部门防火墙上配置VPN模块，保障该部门特殊的网络安全，防火墙要求：具有公安部销售许可证、高性能、网络地址转换技术、用户鉴别、用户认证、IP和MAC地址绑定、入侵检测、透明代理、日志审计、流量控制、强抗攻击能力、虚拟专用网（VPN）、非法网站内容过滤等。 6.3入侵检测系统 在大学校园网络入口安装入侵检测系统，实时入侵检测系统可以通过网络流量检查保护网络免受来自内外的攻击，当网络安全受到非法入侵者威胁时发出报警。利用网络实时监控，对计算机系统进行安全检测，在系统受到危害之前截取和响应黑客攻击和内部网络误用，无妨碍地监控网络传输并自动检测和响应可疑的行为，从而最大程度的为大学校园网提供安全。同时入侵检测系统须与防火墙联动，更加强了其安全保护。由于校园OA系统的重要性，建议在OA服务器上配置一套基于主机的入侵检测系统。6.4网络管理 大学校园网络系统是保证校园网络系统正常运行的前提。网络管理不但需要先进、实用的技术支持手段，对大中型网络而言，更需要合理、有效的组织体系和规章制度。网络管理是网络可用性的关键组成。网络管理包括故障管理、配置管理、网络性能管理、安全管理、系统资源管理、应用管理等功能。网络计费是网络管理系统的重要组成部分，网络计费可实现用户账号的授权、验证、管理和计费服务。 网络管理系统要求：无缝集成管理任何大小、形状或结构的网络系统及环境、确保管理信息的安全可靠、高度可扩充的，能随计算机系统和企业业务的增长而增长、简单易用、友好的图形界面，进行直观的操作和管理、能够提供标准的和开放的应用接口及开发工具，符合IT技术未来的发展方向、能够将IT资源的管理与业务相结合。 总 结学校校园网络建设是一个以办公自动化,计算机辅助教学,现代计算机校园文化及办公自动化为核心,以现代网络技术为依托,技术先进,扩展性强,能覆盖全校主要楼宇的校园主干网络,将学校的各种PC 机,工作站,终端设备和局域网连接起来,并与有关广域网相连,在网上宣传自己和获取Internet 网上的教育资源.形成结构合理,内外沟通的校园计算机网络系统,在此基础上建立能满足教学,科研和管理工作需要的软硬件环境,开发各类信息库和应用系统,为学校各类人员提供充分的网络信息服务. 结构化综合布线系统(Premises DistributionSystem,PDS)是建设校园网的基础.它为信息资源的传递提供了物质通道.因此寻求一种更合理,更优化,弹性强,稳定性和扩展性好的布线技术,已成为当务之急,它不但能够满足现在的需求,更重要的是迎接未来对配线系统的挑战。随着计算机及通讯应用的不断发展,学校的教学管理也相应的发生着变化.校园网的实施为学校更加充分的利用学校现有的教学资源进行教学,管理,又能达到事半功倍的效果.校园网的建设是现代教育发展的必然趋势,建设XX中学的校园网不仅能够更加合理有效地利用学校现有的各种资源,为学生学习,教师备课,教学管理以及从外界获取信息,掌握先进的信息工具创造了环境,同时对学校的日常工作也将起到重要的促进作用,为学校未来的不断发展奠定了基础,使之能够适宜信息时代的要求。参考文献1 戴有炜著.Windows Server 2003 网络专业指南. 清华大学出版社2 刘晓辉 杨卫东著. 综合布线与组网工程. 科学出版社3 程控 金文光著. 综合布线系统工程.清华大学出版社4 谭浩强著.计算机网络应用技术教程. 清华大学出版社5 蔡立军著. 计算机网络安全技术.中国水利水电出版社致 谢在论文完成之际，我要特别感谢我的指导老师张雪老师的热情关怀和悉心指导。在我撰写论文的过程中，张老师在论文的选题、构思和资料的收集方面给了我很大的帮助，还是在论文的研究方法以及成文定稿方面，我都得到了张老师悉心细致的教诲和无私的帮助，特别是他广博的学识、深厚的学术素养、严谨的治学精神和一丝不苟的工作作风使我终生受益，在此表示真诚地感谢和深深的谢意。在论文的写作过程中，也得到了许多同学的宝贵建议，同时还到许多在工作过程中许多同事的支持和帮助，在此一并致以诚挚的谢意。感谢所有关心、支持、帮助过我的良师益友。最后，向在百忙中抽出时间对本文进行评审并提出宝贵意