校園網(wǎng)安全整體解決方案設(shè)計(jì)

解決方案班級：計(jì)算機(jī)網(wǎng)絡(luò)101班姓名：高佩芮學(xué)號：JS0230130目錄TOC\o"1-3"\h\u1.緒論 11.1課題背景 11.2校園網(wǎng)的發(fā)展 22.校園網(wǎng)的發(fā)展現(xiàn)實(shí)狀況與分析 22.1校園網(wǎng)現(xiàn)實(shí)狀況 22.2校園網(wǎng)安全需求 32.3校園網(wǎng)安全面臨的威脅 43.校園網(wǎng)安全設(shè)計(jì)方略 43.1校園網(wǎng)安全管理 53.2校園網(wǎng)絡(luò)安全技術(shù) 53.2.1殺毒產(chǎn)品的布署。 63.2.2采用VLAN技術(shù)。 63.2.3內(nèi)容過濾器。 63.2.4防火墻。 63.2.5入侵檢測。 73.2.6漏洞掃描。 73.2.7數(shù)據(jù)加密。 73.2.8加強(qiáng)網(wǎng)絡(luò)安全管理。 74.本校網(wǎng)絡(luò)拓?fù)鋱D 84.1.簡化拓?fù)鋱D 84.2VLAN技術(shù)的虛擬實(shí)現(xiàn) 84.3防火墻功能的實(shí)現(xiàn) 94.4地址映射的實(shí)現(xiàn) 95、設(shè)備選型 105.1路由器的選擇 105.2互換機(jī)的選擇 115.3防火墻 155.4服務(wù)器 166.總結(jié) -1-1.緒論1.1課題背景校園網(wǎng)作為學(xué)校信息化建設(shè)的基礎(chǔ)設(shè)施，在教學(xué)、科研、管理和對外交流等方面都起著舉足輕重的作用。伴隨高校網(wǎng)絡(luò)規(guī)模的急劇膨脹，網(wǎng)絡(luò)顧客的迅速增長，網(wǎng)絡(luò)數(shù)據(jù)的急劇增長，校園網(wǎng)的安全問題也不停暴露出來，如病毒侵蝕、惡意軟件、黑象襲擊等，校園網(wǎng)時(shí)刻都會受到來自內(nèi)部和外部的威脅與危害，針對校園網(wǎng)的安全向題，構(gòu)建完善的網(wǎng)絡(luò)安全體系是越來越重要。并且校園網(wǎng)與其他網(wǎng)絡(luò)比具有如下某些特點(diǎn):(1)校園網(wǎng)的數(shù)據(jù)流量大、速度快、規(guī)模大近年來，伴隨高校擴(kuò)招和合并，校園網(wǎng)的顧客群體一般比較大，少則數(shù)千人、多則數(shù)萬人。許多校園網(wǎng)已經(jīng)發(fā)展為一種跨城域的網(wǎng)絡(luò)。校園網(wǎng)已發(fā)展成為了一種全面信息的化階段。多媒體教學(xué)和網(wǎng)絡(luò)視頻應(yīng)用的推廣對網(wǎng)絡(luò)互換速度和數(shù)據(jù)量提出更高的規(guī)定，同步也規(guī)定網(wǎng)絡(luò)安所有件要有更快的處理速度和更高的性能。(2)校園網(wǎng)中的設(shè)備來源多樣化、管理復(fù)雜校園網(wǎng)是一種平臺，面向高校的師生，校園網(wǎng)中的設(shè)備來源比較復(fù)雜。輕易出現(xiàn)計(jì)算機(jī)病毒“交叉感染”，無法分清責(zé)任。(3)活躍的顧客群體高校的學(xué)生是最活躍的網(wǎng)絡(luò)顧客，對網(wǎng)絡(luò)新技術(shù)充斥好奇，面對精力充沛的高校學(xué)生，網(wǎng)絡(luò)安全更為迫切。(4)有限的投入校園網(wǎng)的后期管理輕易被忽視，尤其是管理和維護(hù)吧人員方面的投入明顯局限性，無暇顧及、也沒有條件管理和維護(hù)千臺、萬臺計(jì)算機(jī)的安全。(5)盜版資源泛濫從網(wǎng)絡(luò)上隨意下載的軟件中也許隱藏木馬、后門等惡意代碼，許多系統(tǒng)因此被襲擊者侵入和運(yùn)用。1.2校園網(wǎng)的發(fā)展網(wǎng)絡(luò)技術(shù)的發(fā)展，尤其是Internet的出現(xiàn)，使我們校園生活、學(xué)習(xí)、工作和環(huán)境發(fā)生了巨大的變化。運(yùn)用學(xué)校計(jì)算機(jī)網(wǎng)絡(luò)，采用先進(jìn)的管理軟件，可規(guī)范學(xué)校的管理行為，提高管理水平和工作效率；在減輕工作量的同步，運(yùn)用計(jì)算機(jī)存儲量大、處理迅速精確的特點(diǎn)，為學(xué)校的決策提供精確及時(shí)的信息。在學(xué)校的辦公、信息交流和通信方面充足發(fā)揮計(jì)算機(jī)網(wǎng)絡(luò)的作用，在軟件的支持下實(shí)現(xiàn)網(wǎng)上協(xié)同工作。計(jì)算機(jī)網(wǎng)絡(luò)將使教學(xué)模式上有比較大突破，本來的老師、學(xué)生和網(wǎng)絡(luò)三者之間的關(guān)系將發(fā)生變化，教師不再是知識的惟一擁有者和權(quán)威者，把知識傳授給學(xué)生。學(xué)生應(yīng)是學(xué)習(xí)的主體，校園網(wǎng)為學(xué)生的探索式學(xué)習(xí)提供情景和資源，老師只作為學(xué)習(xí)的指導(dǎo)者。在教學(xué)過程中將采用網(wǎng)絡(luò)技術(shù)、多媒體技術(shù)，運(yùn)用網(wǎng)絡(luò)上豐富的教學(xué)資源，激發(fā)學(xué)生的學(xué)習(xí)愛好，提高教學(xué)質(zhì)量。多媒體技術(shù)將文本、聲音、圖像、動(dòng)畫和視頻技術(shù)融為一體，使的教學(xué)活動(dòng)變得生動(dòng)且形式多變，從而提高學(xué)生學(xué)習(xí)的積極性、效率和效果。高校校園網(wǎng)初期應(yīng)用重要局限于行政辦公、后勤、教學(xué)與計(jì)算中心，分離性較大，大部分采用企業(yè)網(wǎng)模式。而目前大部分高校在規(guī)劃校園網(wǎng)時(shí)已計(jì)劃將網(wǎng)絡(luò)覆蓋至學(xué)生宿舍區(qū)以及教師家眷區(qū)，向在校學(xué)生及教職工提供園區(qū)內(nèi)部互連以及Internet接入服務(wù)。2.校園網(wǎng)的發(fā)展現(xiàn)實(shí)狀況與分析2.1校園網(wǎng)現(xiàn)實(shí)狀況校園網(wǎng)網(wǎng)絡(luò)信息十分豐富，網(wǎng)絡(luò)顧客的活動(dòng)也非?；钴S，校園網(wǎng)內(nèi)部網(wǎng)絡(luò)數(shù)據(jù)往往用于滿足學(xué)校正常的行政辦公需要、廣大師生的教務(wù)教學(xué)需要、學(xué)生們的課余校園文化生活等等，這些無論是波及個(gè)人隱私或利益的信息，還是學(xué)校行政辦公的文檔信息，以及用于政治宣傳和管理的信息都需要進(jìn)行完整性、真實(shí)性保護(hù)和控制，這就需要對進(jìn)出校園網(wǎng)的訪問行為進(jìn)行必要的、有效性的控制，封堵某些嚴(yán)禁的行為和業(yè)務(wù)，防止損失。校園網(wǎng)絡(luò)系統(tǒng)中接入著成百上千臺計(jì)算機(jī)，這些計(jì)算機(jī)的操作系統(tǒng)多種各樣，一般分布在不一樣的物理位置，由不一樣的顧客操作，用于不一樣的用途，由于這些差異，使得校園網(wǎng)網(wǎng)絡(luò)中計(jì)算機(jī)中的漏洞問題十分嚴(yán)重。由于使用者的安全意識不強(qiáng)，或者采用措施不及時(shí)導(dǎo)致的損失在校園網(wǎng)網(wǎng)內(nèi)時(shí)有發(fā)生，因此采用安全、及時(shí)的漏洞掃描技術(shù)對校園網(wǎng)網(wǎng)絡(luò)中的系統(tǒng)漏洞進(jìn)行掃描，在襲擊發(fā)生之前發(fā)現(xiàn)網(wǎng)絡(luò)和系統(tǒng)中的漏洞，并及時(shí)采用措施進(jìn)行修復(fù)，可以深入提高校園網(wǎng)絡(luò)信息安全保障水平。校園網(wǎng)接入互聯(lián)網(wǎng)后來，顧客通過校園網(wǎng)進(jìn)入互聯(lián)網(wǎng)。網(wǎng)絡(luò)上的多種信息良蕎不齊，色情、暴力、邪教內(nèi)容的網(wǎng)站泛濫，對正在形成世界觀和人生觀的學(xué)生來說，有也許還不能對的地看待此類內(nèi)容，這些違反人類道德原則和有關(guān)法律法規(guī)的有毒信息對他們危害極大，假如信息安全措施不好，不僅會有部分學(xué)生進(jìn)入這些網(wǎng)站，還也許在校園內(nèi)傳播此類不良信息。校園網(wǎng)網(wǎng)絡(luò)的以便快捷同步也為病毒的肆意傳播留下也許，下載的程序和電子郵件均有也許帶有病毒。通過網(wǎng)絡(luò)傳播病毒無論在傳播速度，還是破壞性和傳播范圍等方面都是單機(jī)病毒不能比擬的。大量病毒傳播不僅占用網(wǎng)絡(luò)資源，并且破壞服務(wù)器或單機(jī)，最終影響整個(gè)學(xué)校網(wǎng)絡(luò)系統(tǒng)的正常運(yùn)作，嚴(yán)重的還也許導(dǎo)致校園網(wǎng)網(wǎng)絡(luò)的癱瘓，因此郵件監(jiān)控和防病毒工作也是校園網(wǎng)絡(luò)信息安全的一種重要方面。教育信息化、校園網(wǎng)絡(luò)化作為網(wǎng)絡(luò)時(shí)代的教育方式和教育環(huán)境，己經(jīng)成為教育發(fā)展的方向。伴隨各高校網(wǎng)絡(luò)規(guī)模的急劇膨脹、網(wǎng)絡(luò)顧客的迅速增長，校園網(wǎng)網(wǎng)絡(luò)信息安全問題已經(jīng)成為目前各高校網(wǎng)絡(luò)建設(shè)中不可忽視的首要問題。伴隨網(wǎng)絡(luò)技術(shù)的發(fā)展與普及，校園網(wǎng)早已成為現(xiàn)代化教育建設(shè)的基礎(chǔ)設(shè)施，校園網(wǎng)建設(shè)己經(jīng)不僅僅只是局限于實(shí)現(xiàn)網(wǎng)絡(luò)內(nèi)部資源共享和外部信息互換。各學(xué)校為了可以實(shí)現(xiàn)以網(wǎng)養(yǎng)網(wǎng)，對網(wǎng)絡(luò)設(shè)計(jì)提出了更高的規(guī)定，可運(yùn)行、更安全、更實(shí)用成了今天對校園網(wǎng)絡(luò)關(guān)注的焦點(diǎn)。2.2校園網(wǎng)安全需求第一，高校面臨著嚴(yán)峻的網(wǎng)絡(luò)安全形勢。越來越多的報(bào)道表明高校校園網(wǎng)己意識的淡薄，而另首先，高校學(xué)生—這群精力充沛的年輕一族對新鮮事物有著強(qiáng)烈的好奇心，他們有著探索的高智商和沖勁，卻缺乏全面思索的責(zé)任感。有關(guān)數(shù)字顯示，目前校園網(wǎng)遭受的惡意襲擊，70%來自高校網(wǎng)絡(luò)內(nèi)部，怎樣保障校園網(wǎng)絡(luò)的安全成為高校校園網(wǎng)絡(luò)建設(shè)時(shí)不得不考慮的問題。第二，網(wǎng)絡(luò)安全一定是全方位的安全。首先，網(wǎng)絡(luò)出口、數(shù)據(jù)中心、服務(wù)器等重點(diǎn)區(qū)域要做到安全過濾;另一方面，不管接入設(shè)備，還是骨干設(shè)備，設(shè)備自身需要具有強(qiáng)大的安全防護(hù),要具有強(qiáng)大的安全防護(hù)能力，并且安全方略布署不能影響到網(wǎng)絡(luò)的性能，不導(dǎo)致網(wǎng)絡(luò)單點(diǎn)故障;最終，要充足考慮全局統(tǒng)一的安全布署，需要可以從接入控制，到對網(wǎng)絡(luò)安全事件進(jìn)行深度探測，到既有安全設(shè)備有機(jī)的聯(lián)動(dòng)，到對安全事件觸發(fā)源的精確定位和根據(jù)身份進(jìn)行的隔離、修復(fù)措施，從而能對網(wǎng)絡(luò)形成一種由內(nèi)至外的整體安全架構(gòu)。2.3校園網(wǎng)安全面臨的威脅校園網(wǎng)內(nèi)的顧客數(shù)量較大，局域網(wǎng)絡(luò)數(shù)目較多，認(rèn)真分析可以總結(jié)出校園網(wǎng)面臨如下的安全威脅：

(1)多種操作系統(tǒng)以及應(yīng)用系統(tǒng)自身的漏洞帶來的安全威脅；(2)Internet網(wǎng)絡(luò)顧客對校園網(wǎng)存在非法訪問或惡意入侵的威脅；

(3)來自校園網(wǎng)內(nèi)外的多種病毒的威脅，外部顧客也許通過郵件以及文獻(xiàn)傳播等將病毒帶入校園內(nèi)網(wǎng)。內(nèi)部教職工以及學(xué)生也許由于使用盜版介質(zhì)將病毒帶入校園內(nèi)網(wǎng)；

(4)內(nèi)部顧客對Internet的非法訪問威脅，如瀏覽黃色、暴力、反動(dòng)等網(wǎng)站，以及由于下載文獻(xiàn)也許將木馬、蠕蟲、病毒等程序帶入校園內(nèi)網(wǎng)；(5)內(nèi)外網(wǎng)惡意顧客也許運(yùn)用運(yùn)用某些工具對網(wǎng)絡(luò)及服務(wù)器發(fā)起DOS/DDOS襲擊，導(dǎo)致網(wǎng)絡(luò)及服務(wù)不可用；(6)校園網(wǎng)內(nèi)的學(xué)生群體是重要的OICQ顧客，目前針對OICQ的黑客程序隨地可見；

(7)也許會由于校園網(wǎng)內(nèi)管理人員以及全體師生的安全意識不強(qiáng)、管理制度不健全，帶來校園網(wǎng)的威脅；3.校園網(wǎng)安全設(shè)計(jì)方略校園網(wǎng)的安全威脅既有來自校內(nèi)的，也有來自校外的，只有將技術(shù)和管理都重視起來，才能切實(shí)構(gòu)筑一種安全的校園網(wǎng)。一般來說，構(gòu)筑校園網(wǎng)絡(luò)安全體系，要從兩個(gè)方面著手：一是采用先進(jìn)的技術(shù)；二是不停改善管理措施。3.1校園網(wǎng)安全管理針對目前高校校園網(wǎng)安全現(xiàn)實(shí)狀況的認(rèn)識與理解，在防病毒軟件、防火墻或智能網(wǎng)關(guān)等構(gòu)成的防御體系下，對于防止來自校園網(wǎng)外的襲擊已經(jīng)足夠。如下五點(diǎn)是高校的安全方略：1、規(guī)范出口管理，實(shí)行校園網(wǎng)的整體安全架構(gòu)，必須處理多出口的問題。對于出口進(jìn)行規(guī)范統(tǒng)一的管理，使校園網(wǎng)絡(luò)安全體系可以得以實(shí)行。為校園網(wǎng)的安全提供最基礎(chǔ)的保障。2、配置完整系統(tǒng)的網(wǎng)絡(luò)安全設(shè)備，在網(wǎng)內(nèi)和網(wǎng)外接口處配置一定的統(tǒng)一網(wǎng)絡(luò)安全控制和監(jiān)管設(shè)備就可杜絕大部分的襲擊和破壞，一般包括：防火墻、入侵檢測系統(tǒng)、漏洞掃描系統(tǒng)、網(wǎng)絡(luò)版的防病毒系統(tǒng)等。此外，通過配置安全產(chǎn)品可以實(shí)現(xiàn)對校園網(wǎng)絡(luò)進(jìn)行系統(tǒng)的防護(hù)、預(yù)警和監(jiān)控，對大量的非法訪問和不健康信息起到有效的阻斷作用，對網(wǎng)絡(luò)的故障可以迅速定位并處理。3、處理顧客上網(wǎng)身份問題，建立全校統(tǒng)一的身份認(rèn)證系統(tǒng)。校園網(wǎng)絡(luò)必須要處理顧客上網(wǎng)身份問題，而身份認(rèn)證系統(tǒng)是整個(gè)校園網(wǎng)絡(luò)安全體系的基礎(chǔ)的基礎(chǔ)，否則即便發(fā)現(xiàn)了安全問題也大多只能不了了之，只有建立了基于校園網(wǎng)絡(luò)的全校統(tǒng)一身份認(rèn)證系統(tǒng)，才能徹底的處理顧客上網(wǎng)身份問題，同步也為校園信息化的各項(xiàng)應(yīng)用系統(tǒng)提供了安全可靠的保證。4、嚴(yán)格規(guī)范上網(wǎng)場所的管理，集中進(jìn)行監(jiān)控和管理。上網(wǎng)顧客不僅要通過統(tǒng)一的校級身份認(rèn)證系統(tǒng)確認(rèn)，并且，合法顧客上網(wǎng)的行為也要受到統(tǒng)一的監(jiān)控，上網(wǎng)行為的日志要集中保留在中心服務(wù)器上，保證了這個(gè)記錄的法律性和精確性。3.2校園網(wǎng)絡(luò)安全技術(shù)前述多種網(wǎng)絡(luò)安全威脅，都是通過網(wǎng)絡(luò)安全缺陷和系統(tǒng)軟硬件漏洞來對網(wǎng)絡(luò)發(fā)起襲擊的。為杜絕網(wǎng)絡(luò)威脅，重要手段就是完善網(wǎng)絡(luò)病毒監(jiān)管能力，堵塞網(wǎng)絡(luò)漏洞，從而到達(dá)網(wǎng)絡(luò)安全。3.2.1殺毒產(chǎn)品的布署。在該網(wǎng)絡(luò)防病毒方案中，要到達(dá)一種目的就是：要在整個(gè)局域網(wǎng)內(nèi)杜絕病毒的感染、傳播和發(fā)作。為了實(shí)現(xiàn)這一點(diǎn)，應(yīng)在整個(gè)網(wǎng)絡(luò)內(nèi)也許感染和傳播病毒的地方采用對應(yīng)的防病毒手段；同步為了有效、快捷地實(shí)行和管理整個(gè)網(wǎng)絡(luò)的防病毒體系，應(yīng)能實(shí)現(xiàn)遠(yuǎn)程安裝、智能升級、遠(yuǎn)程報(bào)警、集中管理、分布查殺等多種功能。3.2.2采用VLAN技術(shù)。VLAN技術(shù)是在局域網(wǎng)內(nèi)將工作站邏輯的劃提成多種網(wǎng)段，從而實(shí)現(xiàn)虛擬工作組的技術(shù)。VLAN技術(shù)根據(jù)不一樣的應(yīng)用業(yè)務(wù)以及不一樣的安全級別，將網(wǎng)絡(luò)分段并進(jìn)行隔離，實(shí)現(xiàn)互相間的訪問控制，可以到達(dá)限制顧客非法訪問的目的。3.2.3內(nèi)容過濾器。內(nèi)容過濾器是有效保護(hù)網(wǎng)絡(luò)系免于誤用和無意識服務(wù)拒絕的工具。同步，可以限制外來的垃圾郵件。3.2.4防火墻。在與Internet相連的每一臺電腦上都裝上防火墻，成為內(nèi)外網(wǎng)之間一道牢固的安全屏障。在防火墻設(shè)置上按照如下原則配置來提高網(wǎng)絡(luò)安全性:(1)根據(jù)校園網(wǎng)安全方略和安全目的，規(guī)劃設(shè)置對的的安全過濾規(guī)則，規(guī)則審核IP數(shù)據(jù)包的內(nèi)容包括：協(xié)議、端口、源地址、目的地址、流向等項(xiàng)目，嚴(yán)格嚴(yán)禁來自公網(wǎng)對校園內(nèi)部網(wǎng)不必要的、非法的訪問?？傮w上遵從“不被容許的服務(wù)就是被嚴(yán)禁”的原則.(2）嚴(yán)禁訪問系統(tǒng)級別的服務(wù)(如HTTP,FTP等)。局域網(wǎng)內(nèi)部的機(jī)器只容許訪問文獻(xiàn)、打印機(jī)共享服務(wù)。使用動(dòng)態(tài)規(guī)則管理，容許授權(quán)運(yùn)行的程序開放的端口服務(wù)，例如網(wǎng)絡(luò)游戲或者視頻語音電話軟件提供的服務(wù)。(3）假如你在局域網(wǎng)中使用你的機(jī)器，那么你就必須對的設(shè)置你在局域網(wǎng)中的IP，防火墻系統(tǒng)才能認(rèn)識哪些數(shù)據(jù)包是從局域網(wǎng)來，哪些是從互聯(lián)網(wǎng)來，從而保證你在局域網(wǎng)中正常使用網(wǎng)絡(luò)服務(wù)（如文獻(xiàn)、打印機(jī)共享）功能。(4）定期查看防火墻訪問日志，及時(shí)發(fā)現(xiàn)襲擊行為和不良上網(wǎng)記錄。(5）容許通過配置網(wǎng)卡對防火墻設(shè)置，提高防火墻管理安全性.3.2.5入侵檢測。入侵檢測系統(tǒng)是防火墻的合理補(bǔ)充，協(xié)助系統(tǒng)對付網(wǎng)絡(luò)襲擊。擴(kuò)展系統(tǒng)管理員的安全管理能力．提高信息安全基礎(chǔ)構(gòu)造的完整性。入侵檢測系統(tǒng)能實(shí)時(shí)捕捉內(nèi)外網(wǎng)之間傳播的數(shù)據(jù)，運(yùn)用內(nèi)置的襲擊特性庫，使用模式匹配和智能分析的措施，檢測網(wǎng)絡(luò)上發(fā)生的入侵行為和異?，F(xiàn)象，并記錄有關(guān)事件。入侵檢測系統(tǒng)還可以發(fā)出實(shí)時(shí)報(bào)警，使網(wǎng)絡(luò)管理員可以及時(shí)采用應(yīng)對措施。3.2.6漏洞掃描。伴隨軟件規(guī)模的不停增大．系統(tǒng)中的安全漏洞或“后門”也不可防止地存在．因此，應(yīng)采用先進(jìn)的漏洞掃描系統(tǒng)定期對工作站、服務(wù)器等進(jìn)行安全檢查，并寫出詳細(xì)的安全性分析匯報(bào)，及時(shí)地將發(fā)現(xiàn)的安全漏洞打上“補(bǔ)丁”。3.2.7數(shù)據(jù)加密。數(shù)據(jù)加密是關(guān)鍵的對策，是保障數(shù)據(jù)安全最基本的技術(shù)措施和理論基礎(chǔ)。3.2.8加強(qiáng)網(wǎng)絡(luò)安全管理。加強(qiáng)網(wǎng)絡(luò)管理重要是要做好兩方面的工作。首先，加強(qiáng)網(wǎng)絡(luò)安全知識的培訓(xùn)和普及；另一方面，是健全完善管理制度和對應(yīng)的考核機(jī)制，以提高網(wǎng)絡(luò)管理的效率。4.本校網(wǎng)絡(luò)拓?fù)鋱D4.1.簡化拓?fù)鋱D圖4.14.2VLAN技術(shù)的虛擬實(shí)現(xiàn)將位于不一樣地理位置的主機(jī)劃分到同一種局域網(wǎng)之中，如圖4.1中，pc0與pc3不在同一種物理局域網(wǎng)之中，可以通過配置將其邏輯劃分到同一種局域網(wǎng)之中。!interfaceFastEthernet0/1switchportmodetrunk!interfaceFastEthernet0/2switchportaccessvlan10!!interfaceFastEthernet0/1switchportmodetrunk!interfaceFastEthernet0/2switchportaccessvlan20!interfaceFastEthernet0/3switchportaccessvlan10!4.3防火墻功能的實(shí)現(xiàn)通過對路由器端口流量規(guī)則的設(shè)置，實(shí)現(xiàn)外網(wǎng)只能訪問校園網(wǎng)web服務(wù)器，而不能訪問內(nèi)外，但校園網(wǎng)可以正常訪問外網(wǎng)。!access-list1deny55access-list1permit55!4.4地址映射的實(shí)現(xiàn)內(nèi)網(wǎng)訪問外網(wǎng)時(shí)，由于公網(wǎng)地址有限，往往采用地址映射來實(shí)現(xiàn)內(nèi)網(wǎng)對外網(wǎng)的訪問。!ipnatpoolcat0netmaskipnatinsidesourcelist1poolcatipclassless!5、設(shè)備選型5.1路由器的選擇銳捷RSR-08路由器是高性能、通用的骨干匯聚路由器，具有高背板帶寬、高包轉(zhuǎn)發(fā)率、構(gòu)造緊湊、端口密度高等特點(diǎn)，并能提供全范圍的光纖和銅纜接口。RSR-08路由器具有強(qiáng)大的業(yè)務(wù)能力，可以滿足目前所有的城域匯聚和接入需求，提供多協(xié)議原則互換(MPLS)第2或3層隧道技術(shù)、動(dòng)態(tài)帶寬控制和面向連接的數(shù)據(jù)搜集體系。作為多協(xié)議標(biāo)識（MPLS）PE路由器，他們使提供商的基于MPLS的業(yè)務(wù)具有高度的可擴(kuò)展性和可靠性。通過使用VPLS，可以運(yùn)用原有網(wǎng)絡(luò)和以太網(wǎng)基礎(chǔ)設(shè)施提供VOIP、互聯(lián)網(wǎng)接入、視頻以及多點(diǎn)虛擬專用網(wǎng)（VPN）等融合業(yè)務(wù)。

銳捷RSR-08路由器支持包括TDM、POS、ATM和千兆位以太網(wǎng)，速率高達(dá)OC-48。布署在多種應(yīng)用中，RSR-08路由器可用于搭建骨干匯聚路由器和關(guān)鍵層網(wǎng)絡(luò)，為顧客提供綜合的、高性能、功能強(qiáng)大的服務(wù),并提供高可用性網(wǎng)絡(luò)所需的冗余支持。設(shè)備性能互換容量32G包處理能力16.7MPPSACL2萬條路由表25萬條流表最多可達(dá)2,000,000個(gè)第4層應(yīng)用數(shù)據(jù)流最多可達(dá)3,500,000個(gè)第2層MAC地址MTBF>200,000小時(shí)（預(yù)測）協(xié)議支持路由協(xié)議OSPF、IS-IS、BGP、RIPv2、靜態(tài)路由組播協(xié)議IGMP、PIM-DM/SM、DVMRP、RP地址管理靜態(tài)、DHCP中繼MPLSMPLSLSR和LER支持、2547-bisMPLSL3VPN、MartiniMPLSL2VLL、MPLS透明局域網(wǎng)業(yè)務(wù)TLS、MPLS迅速重路由特色支持NAT、Loadbalancing、VSRP、Webcacheredirection、方略路由、HPS管理方式線速全組RMON/RMON2、簡樸網(wǎng)絡(luò)管理協(xié)議（SNMP）管理、SSH、RADIUS、TACACS＋、RS-232、命令行接口（CLI）物理指標(biāo)尺寸高8.75英寸×寬17.25英寸×深12.25英寸（22.23厘米×重量44.5磅（20.2環(huán)境規(guī)格操作溫度+0°C到+40°（32o到104存儲溫度-40°C到+70°C(-40相對操作濕度10%到90%（非冷凝）相對存儲濕度5%到95%（非冷凝）電源規(guī)格交流電源輸入電壓：100到240VAC輸入電流：12～6A頻率：50到60Hz直流電源輸入電壓：-48到-60VDC輸入電流：27A原則和規(guī)范安全性UL60950、CAN/CSA-C22.2No.60950、EN60950、IEC950、72/73/EEC電磁兼容性FCCPart15、CSAC108.8、EN55022、VCCI、EN55024、89/336/EECETSIETSIEN300-386、EN300-109、ETS300-753NEBSNEBSLevel3、GR-1089、GR-635.2互換機(jī)的選擇RG-S6800E是銳捷網(wǎng)絡(luò)推出的基于NP+ASIC構(gòu)架的新一代多業(yè)務(wù)萬兆關(guān)鍵路由互換機(jī)，RG-S6800E在保障高性能大容量的基礎(chǔ)上提供強(qiáng)大的安全防護(hù)能力，并且擁有業(yè)務(wù)按需疊加擴(kuò)展能力，到達(dá)業(yè)務(wù)和性能并重的設(shè)計(jì)需求。目前提供10豎插槽設(shè)計(jì)和6橫插槽設(shè)計(jì)兩種主機(jī)：RG-S6810E和RG-S6806E。

RG-S6800E系列多業(yè)務(wù)萬兆關(guān)鍵路由互換機(jī)提供2.4T/1.2T背板帶寬，并支持未來擴(kuò)展到4.8T/2.4T的能力，高達(dá)857Mpps/428Mpps的二/三層包轉(zhuǎn)發(fā)速率可為顧客提供高速無阻塞的數(shù)據(jù)互換，強(qiáng)大的互換路由功能、安全智能技術(shù)可同銳捷各系列互換機(jī)配合，為顧客提供完整的端到端處理方案，是大型網(wǎng)絡(luò)關(guān)鍵骨干和大流量節(jié)點(diǎn)互換機(jī)的理想選擇。RG-S6800E互換機(jī)通過先進(jìn)的第三代高性能引擎可硬件支持方略路由、IPV6等協(xié)議，并可擴(kuò)展支持MPLS、loadbalancing、NAT、VPN、Firewall、IDS、webcacheredirect等豐富的業(yè)務(wù)功能，滿足客戶環(huán)境靈活而復(fù)雜的不一樣應(yīng)用需求。技術(shù)參數(shù)技術(shù)參數(shù)RG-S6810ERG-S6806E模塊插槽10個(gè)（2個(gè)用于管理引擎模塊）6個(gè)（2個(gè)用于管理引擎模塊）背板1.6T（可擴(kuò)展3.2T）2.4T（可擴(kuò)展4.8T）（V3.x）800G（可擴(kuò)展1.6T）1.2T（可擴(kuò)展2.4T）（V3.x）互換容量800G1.2T（V3.x引擎）400G600G（V3.x引擎）包轉(zhuǎn)發(fā)速率L2/L3：572MppsL2/L3：857Mpps（V3.x引擎）L2/L3：286MppsL2/L3：428M（V3.x引擎）路由表項(xiàng)256K802.1qVLAN4KL2協(xié)議IEEE802.3、IEEE802.3u、IEEE802.3z、IEEE802.3ab、IEEE802.3ae、IEEE802.3ak、IEEE802.3x、IEEE802.3ad、IEEE802.1p、IEEE802.1x、IEEE802.1Q、IEEEE802.1d、IEEEE802.1W、IEEEE802.1S、PortMirror、IgmpSnooping、JumboFrame(9Kbytes)、QinQ、GVRPL3協(xié)議BGP4、IS-IS、OSPF、RIPV1、RIPV2、IGMPv1/v2/v3、DVMRP、PIM-SSM/SM/DM、LPMRouting、Policy-basedRouting、ECMP、WCMP、VRRP病毒襲擊防護(hù)全面的ACL（基于以太網(wǎng)類型、協(xié)議、VLAN、MAC、IP、TCP/UDP端口號、時(shí)間等）、防源IP地址欺騙、防DOS/DDOS襲擊，防IP掃描管理方式SNMPv1/v2/v3、Telnet、Console、WEB、RMON、SSH其他協(xié)議SNTP、DHCPClient、DHCPRelay、DNSClient、ARPProxy、Radius、IPV6、MPLS、LoadBalancing、EAPS、NAT、VPN、Firewall、IDS、WebCacheRedirect、Syslog尺寸（長x寬x高）448mmx437mmx956mm508mmx437mmx647mm電源100VAC~240VAC，50Hz~60Hz，功率:1200WMTBF>200,000hours溫度工作溫度：0℃到存儲溫度：-40℃到濕度工作濕度:10%到90%RH存儲濕度:5%到95%RHRG-S6506是銳捷網(wǎng)絡(luò)推出的萬兆骨干路由互換機(jī)，擁有6個(gè)模塊擴(kuò)展槽，提供管理模塊冗余，支持萬兆、千兆和百兆模塊線速轉(zhuǎn)發(fā)，可以根據(jù)顧客的需求靈活配置，構(gòu)建彈性可擴(kuò)展的現(xiàn)代IP網(wǎng)絡(luò)。”RG-S6506互換機(jī)高達(dá)768G的背板帶寬和286Mpps的二/三層包轉(zhuǎn)發(fā)速率可為顧客提供高速無阻塞的線速互換，強(qiáng)大的互換路由功能、安全智能技術(shù)可同銳捷各系列互換機(jī)配合，為顧客提供完整的端到端處理方案，是小型網(wǎng)絡(luò)關(guān)鍵和大型網(wǎng)絡(luò)骨干互換機(jī)的理想選擇。技術(shù)參數(shù)背板構(gòu)架分布式CROSSBAR模塊插槽6個(gè)（2個(gè)用于管理引擎模塊）背板192G768G（V3.x）互換容量192G576G（第二代管理引擎）包轉(zhuǎn)發(fā)速率L2/L3：143MppsL2/L3：286Mpps（第二代管理引擎）MAC地址64K802.1qVLAN4KL2協(xié)議IEEE802.3、IEEE802.3u、IEEE802.3z、IEEE802.3ab、IEEE802.3ae、IEEE802.3ak、IEEE802.3x、IEEE802.3ad、IEEE802.1p、IEEE802.1x、IEEE802.1Q、IEEEE802.1d、IEEEE802.1W、IEEEE802.1S、PortMirror、IgmpSnooping、JumboFrame(9Kbytes)、QinQ、GVRPL3協(xié)議OSPF、RIPV1、RIPV2、IGMPv1/v2/v3、BGP4、DVMRP、PIM-SSM/SM/DM、LPMRouting、ECMP、WCMP、VRRPIpv6協(xié)議靜態(tài)路由、等價(jià)路由、方略路由、ICMPv6、ICMPv6重定向、DHCPv6、ACLv6、MLDv1/v2、PIM-SMv6、PIM-DMv6、PIM-SSMv6、OSPFV3、RIPng、手工隧道、ISATAP、6to4隧道病毒襲擊防護(hù)全面的ACL（基于以太網(wǎng)類型、協(xié)議、VLAN、MAC、IP、TCP/UDP端口號、時(shí)間等）、防源IP地址欺騙（SouceIPSpoofing）、防DOS襲擊（Synflood，Smurf），防掃描（PingSweep)管理方式SNMPv1/v2/v3、Telnet、Console、WEB、RMON其他協(xié)議SNTP、EAPS、DHCPClient、DHCPRelay、DNSClient、ARPProxy、Radius、Syslog尺寸（長x寬x高）440mmx540mmx559mm電源100VAC~240VAC，50Hz~60Hz，功率:600WMTBF>200,000hours溫度工作溫度：0℃到存儲溫度：-40℃到濕度工作濕度:10%到90%RH存儲濕度:5%到95%RHRG-S2924G是銳捷網(wǎng)絡(luò)推出的全千兆安全智能接入互換機(jī)，在提供高性能、高帶寬的同步，提供智能的流分類、完善的服務(wù)質(zhì)量（QoS）和組播應(yīng)用管理特性，并可以根據(jù)網(wǎng)絡(luò)的實(shí)際使用環(huán)境，實(shí)行靈活多樣的安全控制方略，有效防止和控制病毒傳播和網(wǎng)絡(luò)襲擊，控制非法顧客接入和使用網(wǎng)絡(luò)，保證合法顧客合理化使用網(wǎng)絡(luò)資源，充足保障了網(wǎng)絡(luò)高效安全、網(wǎng)絡(luò)合理化使用和運(yùn)行。

RG-S2924G特有的CPU保護(hù)控制機(jī)制，對發(fā)送到CPU的數(shù)據(jù)進(jìn)行帶寬控制，以防止非法者對CPU的惡意襲擊，充足保障了互換機(jī)的安全。

RG-S2924G為以便不一樣管理員的使用習(xí)慣，提供了多種形式的管理工具，如SNMP、Telnet、Web和Console口等。

RG-S2924G以極高的性價(jià)比為各類型網(wǎng)絡(luò)提供完善的端到端的QoS服務(wù)質(zhì)量、靈活豐富的安全方略管理和基于方略的網(wǎng)管，最大化滿足高速、高效、安全、智能的企業(yè)網(wǎng)新需求。支持生成樹協(xié)議802.1D、802.1w、802.1s，完全保證迅速收斂，提高容錯(cuò)能力，保證網(wǎng)絡(luò)的穩(wěn)定運(yùn)行和鏈路的負(fù)載均衡，合理使用網(wǎng)絡(luò)通道，提供冗余鏈路運(yùn)用率。技術(shù)參數(shù)技術(shù)參數(shù)產(chǎn)品型號RG-S2924G固定端口24個(gè)10/100/1000M電口，4個(gè)復(fù)用的SFP千兆光纖接口可用SFP模塊Mini-GBIC-SX：單口1000BASE-SXminiGBIC轉(zhuǎn)換模塊（LC接口）；Mini-GBIC-LX：單口1000BASE-LXminiGBIC轉(zhuǎn)換模塊（LC接口）；Mini-GBIC-LH：單口1000BASE-LXminiGBIC轉(zhuǎn)換模塊（LC接口），40Km；Mini-GBIC-ZX50：單口1000BASE-ZXminiGBIC轉(zhuǎn)換模塊（LC接口），50km；Mini-GBIC-ZX80：單口1000BASE-ZXminiGBIC轉(zhuǎn)換模塊（LC接口），80km端口互換容量48Gbps包轉(zhuǎn)發(fā)速率36MppsMAC16K802.1qVLAN4KIPv4ACL支持多種硬件ACL：原則IPACL（基于IP地址的硬件ACL）、擴(kuò)展IPACL（基于IP地址、傳播層端口號的硬件ACL）、MAC擴(kuò)展ACL（基于源MAC地址、目的MAC地址和可選的以太網(wǎng)類型的硬件ACL）、基于時(shí)間ACL、專家級ACL（可同步基于VLAN號、以太網(wǎng)類型、MAC地址、IP地址、TCP/UDP端口號、協(xié)議類型、時(shí)間靈活組合的硬件ACL)IPv6ACL&QoS支持硬件IPv6ACL：支持源/目的IPv6地址、源/目的端口、IPv6報(bào)文頭的流量類型（Trafficclass）、時(shí)間選項(xiàng)的硬件IPv6ACL和IPv6QoSL2協(xié)議IEEE802.3、IEEE802.3u、IEEE802.3z、IEEE802.3ab、IEEE802.3ae、IEEE802.3ak、IEEE802.3x、IEEE802.3ad、IEEE802.1p、IEEE802.1Q(GVRP)、IEEEE802.1d、IEEE802.1w、IEEE802.1s、IEEE802.1x、IGMPSnoopingv1/v2/v3、LLDP管理協(xié)議SNMPv1/v2C/v3、Web(JAVA)、CLI(Telnet/Console)、RMON(1,2,3,9)、SSH、Syslog、NTP、SNTP其他協(xié)議DHCPRelayJumboFrame支持尺寸（長×寬×高）440mm×260mm×44mm電源160VAC~240VAC，50Hz~60Hz溫度工作溫度：0℃到40℃存儲溫度：-40oC到70oC濕度工作濕度：10%到90%RH存儲濕度：5%到90%RH5.3防火墻為了后來擴(kuò)展的需要，因此采用了RG-WALL1000。RG-WALL1000采用銳捷網(wǎng)絡(luò)獨(dú)創(chuàng)的分類算法（ClassificationAlgorithm）設(shè)計(jì)的新一代安全產(chǎn)品——第三類防火墻，支持?jǐn)U展的狀態(tài)檢測（StatefulInspection）技術(shù)，具有高性能的網(wǎng)絡(luò)傳播功能；同步在啟用動(dòng)態(tài)端口應(yīng)用程序(如VoIP,H323等)時(shí)，可提供強(qiáng)有力的安全信道。采用銳捷獨(dú)創(chuàng)的分類算法使得RG-WALL產(chǎn)品的高速性能不受方略數(shù)和會話數(shù)多少的影響，產(chǎn)品安裝前后絲毫不會影響網(wǎng)絡(luò)速度；同步，RG-WALL在內(nèi)核層處理所有數(shù)據(jù)包的接受、分類、轉(zhuǎn)發(fā)工作，因此不會成為網(wǎng)絡(luò)流量的瓶頸。此外，RG-WALL具有入侵監(jiān)測功能，可判斷襲擊并且提供處理措施，且入侵監(jiān)測功能不會影響防火墻的性能。RG-WALL的重要功能包括：擴(kuò)展的狀態(tài)檢測功能、防備入侵及其他（如URL過濾、HTTP透明代理、SMTP代理、分離DNS、NAT功能和審計(jì)/匯報(bào)等）附加功能。技術(shù)參數(shù)RG-WALL1000千兆防火墻/VPN網(wǎng)關(guān)端口固化2個(gè)10/100BaseT+2個(gè)10/100/1000BaseT接口，可選配最多4個(gè)千兆電口/千兆SX/LX光口最大并發(fā)連接數(shù)1,000,000sessions吞吐量1.8Gbps（最大）方略數(shù)65,535VPN并發(fā)通道數(shù)10,000tunnelsVPN吞吐量(SHA-1,3-DES)400Mbps尺寸原則19英寸寬度，2U高度電氣性能電源類型：AC100-240V/50-60Hz電源功率：200W工作環(huán)境操作環(huán)境：溫度0℃~40存儲環(huán)境：溫度-40℃~80技術(shù)性能MTBF（平均故障間隔時(shí)間）：≥100,000小時(shí)5.4服務(wù)器天闊I650(r)-E服務(wù)器是曙光天闊服務(wù)器系列產(chǎn)品中，面向行業(yè)市場中等網(wǎng)絡(luò)規(guī)模顧客開發(fā)的一款部門級服務(wù)器產(chǎn)品。此款服務(wù)器支持雙路IntelXeon64bit處理器，主頻可達(dá)3.6GHz以上，系統(tǒng)前端總線頻率為800MHz，系統(tǒng)內(nèi)存由本來I650(r)-N的DDR配置升級為DDRII配置，最大支持16GBDDRII400內(nèi)存，為顧客帶來“海量處理”的應(yīng)用體驗(yàn)。

天闊I650(r)-E服務(wù)器以處理能力、可用性及可管理性等方面的強(qiáng)大優(yōu)勢，為電信、ISP/ICP/ASP等行業(yè)顧客提供了一款系統(tǒng)性能、可用性最佳的部門級服務(wù)器精品。天闊I650(r)-E服務(wù)器完全兼容Windows/、RedHatLinux、SUNSolaris、SCOOpenserver/Unixware、NovellNetware等多種操作系統(tǒng)平臺，顧客可以根據(jù)自己的需求在多種平臺上構(gòu)筑自己的網(wǎng)絡(luò)及應(yīng)用。

天闊I650(r)-E服務(wù)器提供了塔式天闊I650-E服務(wù)器及機(jī)架式天闊I650r-E服務(wù)器兩種機(jī)型，靈活滿足不一樣顧客環(huán)境下對部門級服務(wù)器的應(yīng)用需求。設(shè)備類型部門級服務(wù)器CPU類型IntelXeonDPCPU頻率3000MHz二級緩存1024KB目前CPU數(shù)1最大CPU數(shù)2內(nèi)存類型DDRII400ECCRegistered原則內(nèi)存容量1024MB最大內(nèi)存容量16000MB主板芯片組IntelE7520+6300ESB+6700PXHPCI插槽類型/數(shù)量1×64bit133MHzPCI-X；2×64bit100MHzPCI-X；2×PCI-Expressx8；1×32bit33MHzPCI主板I/O接口2×串口（其中一種需從主板引出）；1×并口；1×VGA接口；2×USB2.0接口（后置）；2×USB2.0接口（前置）；2×RJ45網(wǎng)口；1×鍵盤接口；1×鼠標(biāo)接口硬盤類型SCSISCSI控制器類型/數(shù)量集成雙通道Ultra320SCSI控制器，支持HOSTRAID，級別RAID0、1、0＋1，支持ZCR（s）IDE控制器類型/數(shù)量UltraATA100*2與否支持熱插拔硬盤支持硬盤標(biāo)配容量73*2GB外部驅(qū)動(dòng)器架數(shù)52XCD-ROM，1×3.5英寸原則軟驅(qū)顯示卡ATIRadeon7000顯卡顯存16MB與否支持磁盤陣列支持網(wǎng)卡型號集成兩個(gè)千兆網(wǎng)卡（RJ45接口）系統(tǒng)風(fēng)扇每處理器獨(dú)立散熱風(fēng)扇；機(jī)箱中