校园网的管理与安全设置.doc

校园网的管理与安全设置 根据教育部组织的“世界银行师范教育贷款项目”安排，乐山高等师范专科学校建立了计算机校园网，该网络采用快速以太网交换技术，并利用边缘路由和以太网交换技术实现各子网及广域网的连接和管理。 一、网络结构 ---- 整个校园网采用星形结构布线，用多模光纤光缆作主干布线，由以太交换机从网管中心向外连7个100Mbps主干接点；再用五类双绞线布线系统通过交换机和部分自适应集线器从以上7个100Mbps主干接点连接400余个10Mbps的信息点。 ---- 该项目立项较早，整体设计采用的是基于OSI第二层的以太交换技术，整个网络又是根据一个子网设计的，所以不能划分IP网段，如不采取相应的技术手段则不能满足目前的使用需要，并且也不便于网络管理。 ---- 针对以上情况，我们对原设计进行了技术上的补充，采取了相应的网管措施——增加了IP路由网关和防火墙主机。 校园网结构拓扑图见图1。 二、网段划分 ---- 利用CERNet丰富的IP资源，我们进行了IP地址的分段划分。IP地址的分配原则是：以主干网为线索，以物理子网为单位，便于IP路由的实现和网络的扩充。具体分配情况是：对于网管中心子网（主干IP），包括网络中心的所有资源服务器、管理服务器、与主干光缆连接的交换机端口等均采用同一个C类IP（192.168.1.*）；以地理位置划分的7个物理子网（即7个主干接点以外部分），每个子网单独分配一个C类IP地址，范围是从192.168.2.*到192.168.8.*。 三、 子网的设置 ---- 对于各子网，特别是学生机房，传统的做法往往是设置代理服务器，其突出的缺点是子网工作站访问速度慢，且不便纳入整个校园网的管理。 ---- 针对上述问题，我们采用的办法是，在每个需要隔离的子网与主干网之间，设置1台PC服务器，该服务器安装2块10/100Mbps自适应网卡。在这2块网卡上分别配置主干IP地址和该子网的IP地址，服务器上安装Windows NT Server 4.0，利用Windows NT提供的多协议路由器（MPR）功能，通过正确改写路由表使该机具有使子网通达访问校园网和广域网的完整的IP路由器功能。以上功能的实现是以主干IP和子网IP的合理分配为首要条件，而路由表的改写是成功的关键，具体做法如下。 ---- 1. 正确安装2块网卡和Windows NT Server 4.0操作系统。 ---- 2. 分别在2块网卡上正确设置主干地址IP和所属子网IP地址，例如本地网卡的IP地址为，“默认网关”指向它自己（）；与校园网连接的远端网卡的IP为主干IP（5）, “默认网关”指向校园网与广域连接的路由器以太网端口的IP地址54；子网掩码均为。 ---- 3. 利用“控制面版”*“网络”*“服务”*“添加”*“Internet通信协议RIP”安装RIP for IP。 ---- 4.在TCP/IP属性对话框的路由选择标签中选择“启用IP转发”。 ---- 5. 重新启动机器，启用动态IP Router。至此子网内的工作站能够正常访问校园网，但每次关机重启后不能正常访问广域网，用route命令查看路由表，发现是由于2条缺省路由所致，这可能是Windows NT本身的功能所限。为此，建立以下的批处理文件route.bat。 ---- 其中54为校园网路由器以太网端口的IP地址。 ---- 将route.bat加入Windows NT的“开始”*“启动”中，这样每次开机登录系统后都能自动改写路由表，以保证子网工作站既能访问校园网又能访问广域网。路由网关示意图见图2。 ---- 同时，在学生机房服务器上安装DHCP模块，子网内部实行动态IP分配，以便维护和节约IP资源。DHCP的安装与设置如下。 ---- 1. 利用“控制面版”*“网络”*“服务”*“添加”*“服务”，选定“Microsoft DHCP 服务器”安装DHCP模块。 ---- 2. 重新启动机器：根据分配的子网IP地址范围，建立可用的IP范围。 ---- 3. 启动“管理工具”*“DHCP管理器”，选择“DHCP服务器”，然后选择“作用域”*“创建”。 ---- 4. 在随即出现的对话框中的“起始地址”与“结束地址”区输入分配的子网的起始与结束IP地址范围，如到5。 ---- 5. 根据需要在同一对话框中填入相应的内容。 ---- 6. 选择“DHCP选项”，设置DHCP选项，在“领域”选项对话框中设置路由器IP地址54，同时进行相应的DNS Server设置。 ---- 7. 设置完成，重新启动。 四、 与广域网的连接 ---- 在路由器Cisco 2511与内部网络的主干网交换机之间设置防火墙主机，通过路由器和防火墙实